[发明专利]报文处理方法、系统和设备

说明书

技术领域

本发明涉及网络通信技术领域，尤其涉及一种报文处理方法、系统和设备。

背景技术

随着网络规模的扩大和网络复杂度的提高，网络配置越来越复杂，经常出现计算机位置变化和计算机数量超过可分配IP地址的情况，现有技术通常采用DHCP(Dynamic Host Configuration Protocol，动态主机配置协议)，来解决IP地址动态分配的问题，DHCP具有对重新使用的网络地址进行自动分配和附加配置选项的功能。

DHCP在应用过程中遇到很多安全方面的问题，攻击者利用DHCP进行攻击的主要手段包括：DoS(Denial OfService，拒绝服务)攻击、DHCP Server仿冒攻击以及中间人攻击和IP/MAC(Media Access Control，媒体接入控制)欺骗攻击等。其中，中间人攻击和IP/MAC欺骗攻击主要是由攻击者向受害者发送带有欺骗信息的虚假报文，让受害者学习到该欺骗信息，并根据该欺骗信息进行报文的转发，从而使得受害者无法正常接收或发送报文。

现有技术通常采用在接入用户终端的网络设备处使能DHCP Snooping(Dynamic Host Configuration Protocol Snooping，动态主机配置协议监听)功能，DHCP Snooping协议栈通过监听DHCP报文，建立IP、MAC、端口和VLAN(Virtual Local Area Network，虚拟局域网)绑定表；在转发报文时，利用绑定表对ARP(Address Resolution Protocol，地址解析协议)报文、IP报文进行检查，解决上述的欺骗攻击安全问题。

图1是现有技术中采用DHCP Snooping解决欺骗攻击安全问题的示意图。如图1所示，在接入用户终端的网关交换机上，使能DHCP Snooping功能，则无论是正常用户终端，如用户终端B，还是其它可能有攻击行为的用户终端，如用户终端C，首先必须通过DHCP进行首次IP地址申请。网关交换机监听申请过程中的所有DHCP报文，通过分析往来的DHCP报文，建立图1所示的DHCP Snooping绑定表。那么，当攻击者发起欺骗攻击时，如用户终端C发起一个免费ARP报文给B欺骗用户终端B说，IP地址为10.1.1.1网关路由器的MAC为C，那么在网关交换机处将对此ARP报文进行检测，该ARP报文携带的信息，包括其源MAC地址，源IP地址以及入接口信息，如图1所示，MAC地址为C、IP地址为10.1.1.1、PORT(端口)为E2、VLAN(VirtualLocal Area Network，虚拟局域网)为3，去查找绑定表，由于没有对应的表项，因此网关交换机将该报文丢弃，则此欺骗ARP报文将无法到达其它任何用户终端，包括用户终端B，从而制止了用户终端C的攻击行为。

但是，现有技术中采用DHCP Snooping解决攻击者攻击的方法中，由于对攻击者的行为没有任何记录，因此，无法有效跟踪攻击者的具体行为和信息，从而导致故障的定位和排除非常困难。

发明内容

本发明实施例提供一种报文处理方法、系统和设备，以解决现有技术中采用DHCP Snooping解决报文攻击安全问题时，对攻击者的行为没有跟踪记录，故障定位排除困难的缺陷。

为达上述目的，本发明实施例提供了一种报文处理方法，包括：

网络设备接收用户终端发送的报文，所述报文携带标识信息；

根据所述标识信息确定是否命中正常绑定表项；

当未命中时，将所述标识信息存储在黑名单绑定表项中，所述网络设备记录所述报文的接收时间和命中次数，所述网络设备根据所述接收时间和命中次数计算所述报文的发送频率，所述网络设备将所述发送频率存储在所述黑名单绑定表项中。

本发明实施例还提供了一种报文处理系统，包括：

用户终端，用于向网络设备发送报文，所述报文携带标识信息；

网络设备，用于判断所述报文是否命中正常绑定表项，当未命中时，将所述标识信息存储在黑名单绑定表项中，记录所述报文的接收时间和命中次数，根据所述接收时间和命中次数计算所述报文的发送频率，将所述发送频率存储在所述黑名单绑定表项中。

本发明实施例还提供了一种网络设备，包括：

报文判断单元，用于判断所接收的报文是否命中正常绑定表项；

信息存储单元，用于当所述报文未命中所述正常绑定表项时，将所述报文的标识信息进行存储，并记录所述报文的发送频率；