CN108600110B - 一种pim报文处理方法和装置 - Google Patents
一种pim报文处理方法和装置 Download PDFInfo
- Publication number
- CN108600110B CN108600110B CN201810374584.7A CN201810374584A CN108600110B CN 108600110 B CN108600110 B CN 108600110B CN 201810374584 A CN201810374584 A CN 201810374584A CN 108600110 B CN108600110 B CN 108600110B
- Authority
- CN
- China
- Prior art keywords
- address
- white list
- equipment
- pim
- characteristic information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/16—Multipoint routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种PIM报文处理方法和装置,该方法包括:在接收到PIM报文后,从所述PIM报文中获取地址特征信息;查询已存储的白名单中是否存在与所述地址特征信息匹配的白名单表项;其中,所述白名单的每个白名单表项用于记录合法PIM报文的地址特征信息;如果是,则根据所述PIM报文的类型进行对应的处理。通过本申请的技术方案,网络设备可以优先处理正常的PIM报文,可以基于PIM报文生成组播表项,使得组播数据正常传输,避免组播业务的中断,提高用户使用感受。
Description
技术领域
本申请涉及通信技术领域,尤其是涉及一种PIM报文处理方法和装置。
背景技术
组播又可以称为多播,是介于单播和广播之间的一种分组传送形式,组播源产生组播数据后,组播源不关心接收者的位置,只需要将组播数据发送到约定的组播地址即可。组播数据可以经过网络分发到接收者,在组播数据传输过程中,既不指定明确的接收者,也不是将组播数据分发给网络上的所有主机。
在将组播数据从组播源传输到接收者的过程中,PIM(Protocol IndependentMulticast,协议无关组播)协议是一种重要组播协议,PIM协议可以包括PIM-DM(ProtocolIndependent Multicast-Dense Mode,协议无关组播-密集模式)以及PIM-SM(ProtocolIndependent Multicast-Sparse Mode,协议无关组播-稀疏模式)。
网络设备可以基于PIM报文生成组播表项,并基于组播表项传输组播数据。但是,攻击者会伪造大量的PIM报文,并向网络设备发送这些伪造的PIM报文,从而对网络设备进行攻击。
由于网络设备需要处理这些伪造的PIM报文,从而导致无法处理正常的PIM报文,并导致无法基于PIM报文生成组播表项,也就无法正常传输组播数据,从而造成组播业务的中断,影响用户使用感受。
发明内容
本申请提供一种PIM报文处理方法和装置,用于使网络设备优先处理正常的PIM报文,使得组播数据正常传输。
一方面,本申请提供一种协议无关组播PIM报文处理方法,应用于网络设备,所述方法包括:
在接收到PIM报文后,从所述PIM报文中获取地址特征信息;
查询已存储的白名单中是否存在与所述地址特征信息匹配的白名单表项;其中,所述白名单的每个白名单表项用于记录合法PIM报文的地址特征信息;
如果是,则根据所述PIM报文的类型进行对应的处理。
另一方面,本申请提供一种协议无关组播PIM报文处理装置,应用于网络设备,所述装置包括:
获取模块,用于在接收到PIM报文后,从所述PIM报文中获取地址特征信息;
查询模块,用于查询已存储的白名单中是否存在与所述地址特征信息匹配的白名单表项;其中,所述白名单的每个白名单表项用于记录合法PIM报文的地址特征信息;
处理模块,用于当查询结果为是时,则根据所述PIM报文的类型进行对应的处理。
再一方面,本申请提供一种网络设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;所述处理器用于执行机器可执行指令,以实现上述的方法步骤。
再一方面,本申请提供一种机器可读存储介质,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现上述的方法步骤。
基于上述技术方案,本申请实施例中,通过将合法PIM报文的地址特征信息记录到白名单的白名单表项中,这样,网络设备接收到PIM报文后,从PIM报文中获取地址特征信息,并查询已存储的白名单中是否存在与该地址特征信息匹配的白名单表项;如果是,则优先根据PIM报文的类型进行对应的处理。
因此,攻击者伪造大量的PIM报文,并向网络设备发送这些伪造的PIM报文时,由于这些伪造的PIM报文无法命中白名单表项,因此,网络设备不会优先处理这些伪造的PIM报文,而且,由于正常的PIM报文能够命中白名单表项,因此,网络设备可以优先处理正常的PIM报文,可以基于PIM报文生成组播表项,使得组播数据正常传输,避免组播业务的中断,提高用户使用感受。
附图说明
为了更加清楚地说明本申请实施例或者现有技术中的技术方案,下面将对本申请实施例或者现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据本申请实施例的这些附图获得其他的附图。
图1是本申请一种实施方式中的应用场景示意图;
图2是本申请一种实施方式中的白名单表项的建立过程的流程图;
图3是本申请一种实施方式中的PIM报文处理方法的流程图;
图4是本申请一种实施方式中的PIM报文处理装置的结构图;
图5是本申请一种实施方式中的网络设备的硬件结构图。
具体实施方式
在本申请实施例使用的术语仅仅是出于描述特定实施例的目的,而非限制本申请。本申请和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。还应当理解,本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请实施例可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
本申请实施例提出一种PIM报文(如PIM协议报文)处理方法,可以应用于网络设备(如路由器、交换机等),该网络设备是支持PIM协议(如PIM-DM协议和PIM-SM协议等)的网络设备。参见图1所示,为本申请实施例的应用场景示意图,当然,图1只是示例,实际应用中,网络设备的数量可以更多。
在一个例子中,上述网络设备的角色可以包括但不限于:组播源设备(如组播源路由器)、RP(Rendezvous Point,汇聚点)设备、BSR(Boot Strap Router,自举路由器)设备、接收者设备(如接收者路由器)、普通的转发设备。
其中,组播源设备是与组播源连接的网络设备,如组播源设备可以为网络设备11,组播源设备也可以称为组播源侧的DR(Designated Router,指定路由器)设备,用于接收组播源发送的组播数据,并将组播数据发送给RP设备。此外,接收者设备是与接收者连接的网络设备,如接收者设备可以为网络设备15,接收者设备也可以称为接收者侧的DR设备,用于将组播数据发送给接收者。
其中,RP设备可以是组播数据的汇聚点,组播源设备是将组播数据发送给RP设备,且由RP设备将组播数据发送给接收者设备,所有网络设备均需要获知哪个网络设备是RP设备。具体的,组播数据可以沿着共享树进行转发,而共享树就是以RP设备为树根的转发路径,共享树是由RP设备到接收者设备的最短路径所构成的转发树。基于此,组播源设备可以向共享树的树根(即RP设备)发送组播数据,而RP设备可以沿着共享树向接收者设备转发组播数据。
其中,BSR设备用于收集候选RP设备(即C-RP)发送的宣告报文,该宣告报文中携带候选RP设备的IP地址、优先级、服务的组范围等信息,BSR设备可以将这些信息汇总为RP-Set(RP集),并将RP集封装在自举报文中,即自举报文中携带所有候选RP设备的信息。然后,BSR设备将自举报文发送给网络中的所有网络设备,各网络设备依据自举报文的RP集中的信息,使用相同规则(对此规则不做限制)从多个候选RP设备中选举RP设备。由于所有网络设备使用相同规则选举RP设备,因此,选举的RP设备相同。基于上述处理,所有网络设备可以获知哪个网络设备是RP设备,继而实现组播数据的传输。
其中,可以将组播源设备、RP设备、BSR设备、接收者设备之外的其它网络设备,称为普通的转发设备,如图1中的网络设备12,对此不做限制。
在上述应用场景下,本申请实施例中,为了防止PIM报文的攻击,网络设备可以建立白名单,并将合法PIM报文的地址特征信息记录到白名单的白名单表项。基于此,网络设备接收到PIM报文后,可以从PIM报文中获取地址特征信息,并查询已存储的白名单中是否存在与该地址特征信息匹配的白名单表项。如果是,则确定该PIM报文是合法的PIM报文,网络设备可以优先处理该PIM报文,即根据该PIM报文的类型进行对应的处理;如果否,则确定该PIM报文是攻击的PIM报文,网络设备可以对该PIM报文进行限速,即统计预设时间内接收到的所有PIM报文的数量;如果该数量大于预设阈值,则丢弃PIM报文;如果该数量不大于预设阈值,则根据该PIM报文的类型进行对应的处理。
综上所述,本申请实施例中,可以涉及白名单表项的建立过程、基于白名单表项的PIM报文处理过程,以下结合具体实施例对这两个过程进行说明。
参见图2所示,为白名单表项建立过程的示意图,该方法可以包括:
步骤201,网络设备获取合法PIM报文的地址特征信息。
步骤202,网络设备在白名单中建立白名单表项,通过该白名单表项记录合法PIM报文的地址特征信息。其中,可以将白名单的每个表项称为白名单表项,即白名单表项是白名单的一条记录,用于记录合法PIM报文的地址特征信息。
以下结合几个具体情况,对上述白名单表项建立过程进行详细说明,当然,下面这几种情况只是本申请的示例,对此白名单表项建立过程不做限制。
情况一、网络设备在与对端设备建立邻居关系(如PIM邻居关系)时,则可以确定合法PIM报文的地址特征信息是:源IP地址为对端设备的IP地址,目的IP地址为组播地址。网络设备可以在白名单中建立一个白名单表项,并通过该白名单表项记录该合法PIM报文的地址特征信息。例如,网络设备可以在该白名单表项中记录源IP地址为对端设备的IP地址,目的IP地址为组播地址。
在一个例子中,每个网络设备均可以周期性地发送PIM Hello报文(以下简称Hello报文),以发现PIM邻居,网络设备可以利用Hello报文与对端设备建立PIM邻居关系,并维护PIM邻居关系。基于此,为保证PIM邻居的正常建立与维护,需要保证Hello报文被正常处理,避免Hello报文被攻击,即网络设备接收到大量伪造的PIM报文时,也优先处理Hello报文。因此,网络设备可以将Hello报文的地址特征信息确定为合法PIM报文的地址特征信息,在白名单中建立一个白名单表项,通过该白名单表项记录Hello报文的地址特征信息。
其中,由于Hello报文的源IP地址为对端设备的IP地址,目的IP地址为组播地址(即预先规划的地址,后续224.0.0.13为例),因此,Hello报文的地址特征信息可以是:源IP地址为对端设备的IP地址,目的IP地址为组播地址。
参见图1所示,以网络设备13为例,其它网络设备(如网络设备11、网络设备12、网络设备14和网络设备15)的处理参见网络设备13,后续不再赘述。
网络设备13的对端设备为网络设备12和网络设备14,网络设备13获取网络设备12的IP地址12和组播地址224.0.0.13,并确定合法PIM报文的地址特征信息是:源IP地址为IP地址12,目的IP地址为224.0.0.13。网络设备13在白名单中建立白名单表项1,并通过白名单表项1记录源IP地址为IP地址12,目的IP地址为224.0.0.13。
此外,网络设备13获取网络设备14的IP地址14和组播地址224.0.0.13,并确定合法PIM报文的地址特征信息是:源IP地址为IP地址14,目的IP地址为224.0.0.13。网络设备13在白名单中建立白名单表项2,并通过白名单表项2记录源IP地址为IP地址14,目的IP地址为224.0.0.13。
参见表1所示,为白名单的示例,该白名单包括两个白名单表项(即白名单表项1和白名单表项2),当然,表1只是一个示例,对此不做限制。
表1
| 序号 | 内容 |
| 白名单表项1 | 源IP地址为IP地址12,目的IP地址为224.0.0.13 |
| 白名单表项2 | 源IP地址为IP地址14,目的IP地址为224.0.0.13 |
在一个例子中,网络设备在与对端设备断开邻居关系时,则可以从白名单中删除源IP地址为对端设备的IP地址,目的IP地址为组播地址的白名单表项。
其中,网络设备在与对端设备断开邻居关系时,还可以确定失效的地址特征信息是:源IP地址为对端设备的IP地址,目的IP地址为组播地址。进一步,网络设备还可以从白名单中删除所述失效的地址特征信息对应的白名单表项。
例如,网络设备13与网络设备12断开邻居关系时,可以获取网络设备12的IP地址12和组播地址224.0.0.13,并确定失效的地址特征信息是:源IP地址为IP地址12,目的IP地址为224.0.0.13。网络设备13从白名单中删除源IP地址为IP地址12,目的IP地址为224.0.0.13的白名单表项,即删除白名单表项1。
情况二、若本网络设备为组播源设备,则网络设备可以确定合法PIM报文的地址特征信息是:源IP地址为RP设备的IP地址。网络设备可以在白名单中建立白名单表项,并通过该白名单表项记录该合法PIM报文的地址特征信息。例如,网络设备可以在该白名单表项中记录源IP地址为RP设备的IP地址。
在一个例子中,组播源注册过程可以包括:组播源设备在接收到组播数据后,可以将该组播数据封装成注册报文,并通过单播方式发送给RP设备。RP设备在接收到注册报文后,可以向组播源设备逐跳发送加入报文,RP设备与组播源设备之间的各网络设备形成SPT(最短路径树)。组播源设备在接收到加入报文后,可以利用该加入报文生成组播表项。组播源设备利用组播表项发送组播数据,该组播数据沿着SPT到达RP设备。RP设备从SPT接收到组播数据后,通过单播方式向组播源设备发送注册停止报文,组播源注册过程结束。
显然,上述过程中,组播源设备可以接收到注册停止报文,组播源设备利用注册停止报文确定组播源注册过程结束。为保证组播源注册过程的正常处理,需要保证注册停止报文被正常处理,避免注册停止报文被攻击,即网络设备接收到大量伪造的PIM报文时,也可以优先处理注册停止报文。因此,可以将注册停止报文的地址特征信息,确定为合法PIM报文的地址特征信息,在白名单中建立一个白名单表项,通过该白名单表项记录注册停止报文的地址特征信息。
在一个例子中,由于注册停止报文的源IP地址为RP设备的IP地址,因此,注册停止报文的地址特征信息可以是源IP地址为RP设备的IP地址。
参见图1所示,网络设备11是组播源设备,网络设备11可以获取RP设备(即网络设备13)的IP地址13,并确定合法PIM报文的地址特征信息是:源IP地址为IP地址13。然后,网络设备11在白名单中建立白名单表项1,并通过白名单表项1记录源IP地址为IP地址13。参见表2所示,为白名单的示例。
表2
| 序号 | 内容 |
| 白名单表项1 | 源IP地址为IP地址13 |
在一个例子中,若本网络设备为组播源设备,在RP设备对应的所有组播表项被删除时,则从白名单中删除源IP地址为RP设备的IP地址的白名单表项。
其中,在RP设备对应的所有组播表项被删除时,组播源设备还可以确定失效的地址特征信息是:源IP地址为RP设备的IP地址。进一步的,组播源设备还可以从白名单中删除所述失效的地址特征信息对应的白名单表项。
例如,在RP设备对应的所有组播表项被删除时,表示RP设备不会再向网络设备11发送注册停止报文,网络设备11可以获取RP设备的IP地址13,并确定失效的地址特征信息是:源IP地址为IP地址13。然后,网络设备11从白名单中删除源IP地址为IP地址13的白名单表项,即删除白名单表项1。
情况三、若本网络设备为RP设备,则网络设备可以确定合法PIM报文的地址特征信息是:目的IP地址为RP设备的IP地址。网络设备可以在白名单中建立白名单表项,并通过该白名单表项记录该合法PIM报文的地址特征信息。例如,网络设备可以在该白名单表项中记录目的IP地址为RP设备的IP地址。
在一个例子中,组播源设备可以向RP设备发送注册报文,因此,RP设备可以接收到注册报文。为了保证注册报文被正常处理,避免注册报文被攻击,即网络设备接收到大量伪造的PIM报文时,也可以优先处理注册报文,则可以将注册报文的地址特征信息,确定为合法PIM报文的地址特征信息,在白名单中建立一个白名单表项,通过该白名单表项记录注册报文的地址特征信息。
在一个例子中,由于注册报文的目的IP地址为RP设备的IP地址,因此,注册报文的地址特征信息可以是目的IP地址为RP设备的IP地址。
参见图1所示,网络设备13是RP设备,网络设备13可以获取RP设备的IP地址13,并确定合法PIM报文的地址特征信息是:目的IP地址为IP地址13。然后,网络设备13在白名单中建立白名单表项3,并通过白名单表项3记录目的IP地址为IP地址13。参见表3所示,为在表1的基础上,白名单的示例。
表3
| 序号 | 内容 |
| 白名单表项1 | 源IP地址为IP地址12,目的IP地址为224.0.0.13 |
| 白名单表项2 | 源IP地址为IP地址14,目的IP地址为224.0.0.13 |
| 白名单表项3 | 目的IP地址为IP地址13 |
在一个例子中,若本网络设备从RP设备变为非RP设备(即不再是RP设备),则可以从白名单中删除目的IP地址为RP设备的IP地址的白名单表项。
其中,在网络设备从RP设备变为非RP设备时,网络设备还可以确定失效的地址特征信息是:目的IP地址为RP设备的IP地址。进一步的,网络设备还可以从白名单中删除所述失效的地址特征信息对应的白名单表项。
例如,在网络设备13从RP设备变为非RP设备时,则表示网络设备13不再是RP设备,因此,网络设备13可以获取RP设备的IP地址13,并确定失效的地址特征信息是:目的IP地址为IP地址13。然后,网络设备13可以从白名单中删除目的IP地址为IP地址13的白名单表项,即删除白名单表项3。
情况四、若本网络设备为BSR设备,则网络设备可以确定合法PIM报文的地址特征信息是:目的IP地址为BSR设备的IP地址。网络设备可以在白名单中建立白名单表项,并通过该白名单表项记录该合法PIM报文的地址特征信息。例如,网络设备可以在该白名单表项中记录目的IP地址为BSR设备的IP地址。
在一个例子中,所有候选RP设备均可以向BSR设备发送宣告报文,因此,BSR设备可以接收到宣告报文。为保证宣告报文被正常处理,避免宣告报文被攻击,即网络设备接收到大量伪造的PIM报文时,也优先处理宣告报文,则可以将宣告报文的地址特征信息,确定为合法PIM报文的地址特征信息,并在白名单中建立一个白名单表项,通过该白名单表项记录宣告报文的地址特征信息。
在一个例子中,由于宣告报文的目的IP地址可以为BSR设备的IP地址,因此,宣告报文的地址特征信息可以是目的IP地址为BSR设备的IP地址。
参见图1所示,网络设备14是BSR设备,因此,网络设备14可以获取BSR设备的IP地址14,并确定合法PIM报文的地址特征信息是:目的IP地址为IP地址14。然后,网络设备14可以在白名单中建立白名单表项1,并通过白名单表项1记录目的IP地址为IP地址14。参见表4所示,为白名单的一个示例。
表4
| 序号 | 内容 |
| 白名单表项1 | 目的IP地址为IP地址14 |
在一个例子中,若本网络设备从BSR设备变为非BSR设备(即不再是BSR设备),则从白名单中删除目的IP地址为BSR设备的IP地址的白名单表项。
其中,在网络设备从BSR设备变为非BSR设备时,网络设备还可以确定失效的地址特征信息是:目的IP地址为BSR设备的IP地址。进一步的,网络设备还可以从白名单中删除所述失效的地址特征信息对应的白名单表项。
例如,在网络设备14从BSR设备变为非BSR设备时,则表示网络设备14不再是BSR设备,因此,网络设备14可以获取BSR设备的IP地址14,并确定失效的地址特征信息是:目的IP地址为IP地址14。然后,网络设备14可以从白名单中删除目的IP地址为IP地址14的白名单表项,即删除白名单表项1。
基于上述处理,可以在白名单中建立白名单表项,并通过白名单表项记录合法PIM报文的地址特征信息。基于白名单表项中记录的合法PIM报文的地址特征信息,本申请实施例中提出的PIM报文处理方法,可以参见图3所示。
步骤301,网络设备在接收到PIM报文后,从该PIM报文中获取地址特征信息,该地址特征信息可以包括源IP地址和/或目的IP地址等。
步骤302,网络设备查询已存储的白名单中是否存在与该地址特征信息匹配的白名单表项;其中,白名单中的每个白名单表项用于记录合法PIM报文的地址特征信息,具体的记录过程,可以参见图2所示的流程。
如果是,则可以执行步骤303;如果否,则可以执行步骤304。
步骤303,网络设备根据该PIM报文的类型进行对应的处理。
步骤304,网络设备对该PIM报文进行限速。具体的,网络设备可以统计预设时间内接收到的所有PIM报文的数量;如果数量大于预设阈值,则丢弃该PIM报文;如果数量不大于预设阈值,则根据PIM报文的类型进行对应的处理。
在一个例子中,网络设备还可以包括但不限于硬件芯片以及CPU(CentralProcessing Unit,中央处理器),上述白名单可以下发到网络设备的硬件芯片。
基于此,硬件芯片在接收到PIM报文后,可以从该PIM报文中获取地址特征信息,并可以查询白名单中是否存在与该地址特征信息匹配的白名单表项。
如果是,则硬件芯片将该PIM报文上送给CPU,由CPU根据PIM报文的类型进行对应的处理。例如,若PIM报文的类型是hello报文,则CPU利用PIM报文建立PIM邻居;又例如,若PIM报文的类型是注册报文,则CPU利用PIM报文向组播源设备逐跳发送加入报文;又例如,若PIM报文的类型是宣告报文,则CPU利用PIM报文发送自举报文。当然,上述只是CPU根据PIM报文的类型进行对应的处理的几个示例,对此处理过程不做限制。
如果否,则硬件芯片对该PIM报文进行限速。例如,硬件芯片统计预设时间内所有PIM报文的上送数量(即上送CPU的PIM报文数量);若该数量不大于预设阈值,则硬件芯片可以将该PIM报文上送给CPU,由CPU根据该PIM报文的类型进行对应的处理;若该数量大于预设阈值,则硬件芯片可以不再将该PIM报文上送给CPU,而是直接丢弃该PIM报文。
参见图1所示,以网络设备13为例,其它网络设备(如网络设备11、网络设备12、网络设备14和网络设备15)的处理参见网络设备13,后续不再赘述。
网络设备13的硬件芯片接收到PIM报文后,从PIM报文中获取源IP地址和目的IP地址,并通过源IP地址和目的IP地址查询表3所示的白名单。若源IP地址为IP地址12,目的IP地址为224.0.0.13,则白名单中存在与源IP地址和目的IP地址匹配的白名单表项1。若源IP地址为IP地址14,目的IP地址为224.0.0.13,则白名单中存在与源IP地址和目的IP地址匹配的白名单表项2。若目的IP地址为IP地址13,则白名单中存在与目的IP地址匹配的白名单表项3。
在上述实施例中,白名单可以采用ACL(Access Control List,访问控制列表)形式下发到硬件芯片,或采用其它形式下发到硬件芯片,对此不做限制。
基于上述技术方案,本申请实施例中,通过将合法PIM报文的地址特征信息记录到白名单的白名单表项中,这样,网络设备在接收到PIM报文后,从PIM报文中获取地址特征信息,并查询已存储的白名单中是否存在与该地址特征信息匹配的白名单表项;如果是,则优先根据PIM报文的类型进行对应的处理。基于此,攻击者伪造大量的PIM报文,并向网络设备发送这些伪造的PIM报文时,由于这些伪造的PIM报文无法命中白名单表项,因此,网络设备不会优先处理这些伪造的PIM报文,而且,由于正常的PIM报文能够命中白名单表项,因此,网络设备可以优先处理正常的PIM报文,可以基于PIM报文生成组播表项,使得组播数据正常传输,避免组播业务的中断,提高用户使用感受。
基于与上述方法同样的申请构思,本申请实施例中还提出一种PIM报文处理装置,可以应用于网络设备,如图4所示,为该装置的结构图,该装置包括:
获取模块401,用于在接收到PIM报文后,从所述PIM报文中获取地址特征信息;
查询模块402,用于查询已存储的白名单中是否存在与所述地址特征信息匹配的白名单表项;其中,所述白名单的每个白名单表项用于记录合法PIM报文的地址特征信息;
处理模块403,用于当查询结果为是时,则根据所述PIM报文的类型进行对应的处理。
所述获取模块401,还用于获取合法PIM报文的地址特征信息;
所述装置还包括(图中未示出):建立模块,用于在所述白名单中建立白名单表项,并通过所述白名单表项记录所述合法PIM报文的地址特征信息。
所述获取模块401获取合法PIM报文的地址特征信息时具体用于以下一种或者多种:在与对端设备建立邻居关系时,则确定合法PIM报文的地址特征信息是源IP地址为所述对端设备的IP地址,目的IP地址为组播地址;
若所述网络设备为组播源设备,则确定合法PIM报文的地址特征信息是源IP地址为汇聚点RP设备的IP地址;
若所述网络设备为RP设备,则确定合法PIM报文的地址特征信息是目的IP地址为RP设备的IP地址;
若所述网络设备为自举路由器BSR设备,则确定合法PIM报文的地址特征信息是目的IP地址为BSR设备的IP地址。
所述建立模块还用于:在与对端设备断开邻居关系时,从所述白名单中删除源IP地址为所述对端设备的IP地址,目的IP地址为组播地址的白名单表项;
若所述网络设备为组播源设备,在RP设备对应的所有组播表项被删除时,则从所述白名单中删除源IP地址为RP设备的IP地址的白名单表项;
若所述网络设备从RP设备变为非RP设备,则从所述白名单中删除目的IP地址为RP设备的IP地址的白名单表项;
若所述网络设备从BSR设备变为非BSR设备,则从所述白名单中删除目的IP地址为BSR设备的IP地址的白名单表项。
所述处理模块403,还用于当查询结果为否时,则统计预设时间内接收到的所有PIM报文的数量;如果所述数量大于预设阈值,则丢弃所述PIM报文;如果所述数量不大于所述预设阈值,则根据所述PIM报文的类型进行对应的处理。
基于上述方案,攻击者伪造大量的PIM报文,并向网络设备发送这些伪造的PIM报文时,由于这些伪造的PIM报文无法命中白名单表项,因此,网络设备不会优先处理这些伪造的PIM报文,由于正常的PIM报文能够命中白名单表项,因此,网络设备可以优先处理正常的PIM报文,可以基于PIM报文生成组播表项,使得组播数据正常传输,避免组播业务的中断,提高用户使用感受。
本申请实施例提供的网络设备,从硬件层面而言,其硬件架构示意图具体可以参见图5所示,可以包括:机器可读存储介质和处理器,其中:所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;所述处理器用于执行机器可执行指令,以实现本申请上述示例公开的PIM报文处理操作。所述机器可读存储介质存储的机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现本申请上述示例公开的PIM报文处理操作。
这里,机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(RadomAccess Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
而且,这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (8)
1.一种协议无关组播PIM报文处理方法,其特征在于,应用于网络设备,所述方法包括:
在接收到PIM报文后,从所述PIM报文中获取地址特征信息;
查询已存储的白名单中是否存在与所述地址特征信息匹配的白名单表项;其中,所述白名单的每个白名单表项用于记录合法PIM报文的地址特征信息;
如果是,则根据所述PIM报文的类型进行对应的处理;
其中,所述查询已存储的白名单中是否存在与所述地址特征信息匹配的白名单表项之前,所述方法还包括:获取合法PIM报文的地址特征信息;在所述白名单中建立白名单表项,并通过所述白名单表项记录所述合法PIM报文的地址特征信息;所述地址特征信息包括以下一种或者多种:源IP地址为对端设备的IP地址,目的IP地址为组播地址;源IP地址为汇聚点RP设备的IP地址;目的IP地址为RP设备的IP地址;目的IP地址为BSR设备的IP地址。
2.根据权利要求1所述的方法,其特征在于,所述获取合法PIM报文的地址特征信息,包括以下一种或者多种:
在与对端设备建立邻居关系时,则确定合法PIM报文的地址特征信息是源IP地址为所述对端设备的IP地址,目的IP地址为组播地址;
若所述网络设备为组播源设备,则确定合法PIM报文的地址特征信息是源IP地址为汇聚点RP设备的IP地址;
若所述网络设备为RP设备,则确定合法PIM报文的地址特征信息是目的IP地址为RP设备的IP地址;
若所述网络设备为自举路由器BSR设备,则确定合法PIM报文的地址特征信息是目的IP地址为BSR设备的IP地址。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
在与对端设备断开邻居关系时,则从所述白名单中删除源IP地址为所述对端设备的IP地址,目的IP地址为组播地址的白名单表项;
若所述网络设备为组播源设备,在RP设备对应的所有组播表项被删除时,则从所述白名单中删除源IP地址为RP设备的IP地址的白名单表项;
若所述网络设备从RP设备变为非RP设备,则从所述白名单中删除目的IP地址为RP设备的IP地址的白名单表项;
若所述网络设备从BSR设备变为非BSR设备,则从所述白名单中删除目的IP地址为BSR设备的IP地址的白名单表项。
4.根据权利要求1所述的方法,其特征在于,所述查询已存储的白名单中是否存在与所述地址特征信息匹配的白名单表项之后,所述方法还包括:
如果否,则统计预设时间内接收到的所有PIM报文的数量;
如果所述数量大于预设阈值,则丢弃所述PIM报文;
如果所述数量不大于所述预设阈值,则根据所述PIM报文的类型进行对应的处理。
5.一种协议无关组播PIM报文处理装置,其特征在于,应用于网络设备,所述装置包括:
获取模块,用于在接收到PIM报文后,从所述PIM报文中获取地址特征信息;
查询模块,用于查询已存储的白名单中是否存在与所述地址特征信息匹配的白名单表项;其中,所述白名单的每个白名单表项用于记录合法PIM报文的地址特征信息;
处理模块,用于当查询结果为是时,则根据所述PIM报文的类型进行对应的处理;
其中,所述获取模块,还用于获取合法PIM报文的地址特征信息;所述装置还包括:建立模块,用于在所述白名单中建立白名单表项,并通过所述白名单表项记录所述合法PIM报文的地址特征信息;所述地址特征信息包括以下一种或者多种:源IP地址为对端设备的IP地址,目的IP地址为组播地址;源IP地址为汇聚点RP设备的IP地址;目的IP地址为RP设备的IP地址;目的IP地址为BSR设备的IP地址。
6.根据权利要求5所述的装置,其特征在于,所述获取模块获取合法PIM报文的地址特征信息时具体用于以下一种或者多种:
在与对端设备建立邻居关系时,则确定合法PIM报文的地址特征信息是源IP地址为所述对端设备的IP地址,目的IP地址为组播地址;
若所述网络设备为组播源设备,则确定合法PIM报文的地址特征信息是源IP地址为汇聚点RP设备的IP地址;
若所述网络设备为RP设备,则确定合法PIM报文的地址特征信息是目的IP地址为RP设备的IP地址;
若所述网络设备为自举路由器BSR设备,则确定合法PIM报文的地址特征信息是目的IP地址为BSR设备的IP地址。
7.根据权利要求6所述的装置,其特征在于,所述建立模块还用于:
在与对端设备断开邻居关系时,则从所述白名单中删除源IP地址为所述对端设备的IP地址,目的IP地址为组播地址的白名单表项;
若所述网络设备为组播源设备,在RP设备对应的所有组播表项被删除时,则从所述白名单中删除源IP地址为RP设备的IP地址的白名单表项;
若所述网络设备从RP设备变为非RP设备,则从所述白名单中删除目的IP地址为RP设备的IP地址的白名单表项;
若所述网络设备从BSR设备变为非BSR设备,则从所述白名单中删除目的IP地址为BSR设备的IP地址的白名单表项。
8.根据权利要求5所述的装置,其特征在于,
所述处理模块,还用于当查询结果为否时,则统计预设时间内接收到的所有PIM报文的数量;
如果所述数量大于预设阈值,则丢弃所述PIM报文;
如果所述数量不大于所述预设阈值,则根据所述PIM报文的类型进行对应的处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810374584.7A CN108600110B (zh) | 2018-04-24 | 2018-04-24 | 一种pim报文处理方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810374584.7A CN108600110B (zh) | 2018-04-24 | 2018-04-24 | 一种pim报文处理方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108600110A CN108600110A (zh) | 2018-09-28 |
| CN108600110B true CN108600110B (zh) | 2020-12-29 |
Family
ID=63614537
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810374584.7A Active CN108600110B (zh) | 2018-04-24 | 2018-04-24 | 一种pim报文处理方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108600110B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1921490A (zh) * | 2006-09-14 | 2007-02-28 | 杭州华为三康技术有限公司 | 配置协议无关组播稀疏模式协议汇合点的方法及装置 |
| CN102546666A (zh) * | 2012-02-28 | 2012-07-04 | 神州数码网络(北京)有限公司 | 防止igmp欺骗和攻击的方法及装置 |
| CN102724048A (zh) * | 2012-04-27 | 2012-10-10 | 杭州华三通信技术有限公司 | 稀疏模式协议无关组播通知汇聚点的方法和装置 |
| CN102761542A (zh) * | 2012-06-25 | 2012-10-31 | 杭州华三通信技术有限公司 | 一种防止组播数据攻击的方法和设备 |
| CN103326882A (zh) * | 2013-05-16 | 2013-09-25 | 浙江宇视科技有限公司 | 一种视频监控网络管理方法及装置 |
| CN107708194A (zh) * | 2017-11-10 | 2018-02-16 | 珠海市魅族科技有限公司 | 一种报文过滤方法及装置、终端和可读存储介质 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100596141C (zh) * | 2005-09-15 | 2010-03-24 | 杭州华三通信技术有限公司 | 优化建立pim-dm路由表项的方法 |
| CN1960321B (zh) * | 2005-10-31 | 2011-03-16 | 中兴通讯股份有限公司 | 一种实现组播安全的控制方法 |
| CN101795223B (zh) * | 2009-12-14 | 2011-12-28 | 福建星网锐捷网络有限公司 | 组播安全控制方法、系统及传输节点 |
| CN104754070A (zh) * | 2013-12-31 | 2015-07-01 | 华为技术有限公司 | 地址解析协议表项学习方法、装置及网络设备 |
| US9479349B2 (en) * | 2013-12-31 | 2016-10-25 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd | VLAG PIM multicast traffic load balancing |
| US9660898B2 (en) * | 2014-12-19 | 2017-05-23 | Juniper Networks, Inc. | Enhanced protocol independent multicast source registration over a reliable transport |
| US11102313B2 (en) * | 2015-08-10 | 2021-08-24 | Oracle International Corporation | Transactional autosave with local and remote lifecycles |
-
2018
- 2018-04-24 CN CN201810374584.7A patent/CN108600110B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1921490A (zh) * | 2006-09-14 | 2007-02-28 | 杭州华为三康技术有限公司 | 配置协议无关组播稀疏模式协议汇合点的方法及装置 |
| CN102546666A (zh) * | 2012-02-28 | 2012-07-04 | 神州数码网络(北京)有限公司 | 防止igmp欺骗和攻击的方法及装置 |
| CN102724048A (zh) * | 2012-04-27 | 2012-10-10 | 杭州华三通信技术有限公司 | 稀疏模式协议无关组播通知汇聚点的方法和装置 |
| CN102761542A (zh) * | 2012-06-25 | 2012-10-31 | 杭州华三通信技术有限公司 | 一种防止组播数据攻击的方法和设备 |
| CN103326882A (zh) * | 2013-05-16 | 2013-09-25 | 浙江宇视科技有限公司 | 一种视频监控网络管理方法及装置 |
| CN107708194A (zh) * | 2017-11-10 | 2018-02-16 | 珠海市魅族科技有限公司 | 一种报文过滤方法及装置、终端和可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108600110A (zh) | 2018-09-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3148128B1 (en) | Information-centric networking with small multi-path or single-path forwarding state | |
| ES2684769T3 (es) | Método y dispositivo para soportar una suscripción de contenido en una red de contenidos | |
| CN107547391B (zh) | 一种报文传输方法和装置 | |
| EP2115971B1 (en) | Multicast support by mobile routers in a mobile ad hoc network | |
| US10454820B2 (en) | System and method for stateless information-centric networking | |
| KR101376014B1 (ko) | 복수의 랑데뷰 포인트에서 모바일 멀티캐스트 소스로부터의 멀티캐스트 트래픽을 함께 처리하기 위한 방법 및 장치 | |
| US20150049760A1 (en) | Source routing in multicast transmissions | |
| EP3054635B1 (en) | System and method for on-demand content exchange with adaptive naming in information-centric networks | |
| CN107786450B (zh) | 一种数据报文传输方法、装置及机器可读存储介质 | |
| CN107580079B (zh) | 一种报文传输方法和装置 | |
| CN108134748B (zh) | 一种基于快速转发表项的丢包方法和装置 | |
| CN109981308B (zh) | 报文传输方法及装置 | |
| EP3148124A1 (en) | System and method for eliminating undetected interest looping in information-centric networks | |
| CN108600109B (zh) | 一种报文转发方法和装置 | |
| CN106921578B (zh) | 一种转发表项的生成方法和装置 | |
| US10594598B2 (en) | Path setup in a mesh network | |
| KR20140144579A (ko) | 컨텐츠 중심 네트워크에서 컨텐츠를 엿듣는 노드의 통신 방법 및 그 노드 | |
| EP3121995B1 (en) | Method and device for maintaining multicast members in a software defined network | |
| CN112333097A (zh) | 一种报文转发方法、装置及网关设备 | |
| CN108600110B (zh) | 一种pim报文处理方法和装置 | |
| CN107547377B (zh) | 一种组播流量传输方法和装置 | |
| CN111600798B (zh) | 一种发送和获取断言报文的方法和设备 | |
| CN105429887B (zh) | 一种站点漫游时互联网组管理协议窥探处理的方法和系统 | |
| CN110661628A (zh) | 一种实现数据组播的方法、装置和系统 | |
| Fenner et al. | RFC 7761: Protocol Independent Multicast-Sparse Mode (PIM-SM): Protocol Specification (Revised) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230626 Address after: 310052 11th Floor, 466 Changhe Road, Binjiang District, Hangzhou City, Zhejiang Province Patentee after: H3C INFORMATION TECHNOLOGY Co.,Ltd. Address before: 310052 Changhe Road, Binjiang District, Hangzhou, Zhejiang Province, No. 466 Patentee before: NEW H3C TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right |