[发明专利]一种防攻击处理方法及网络设备

说明书

本发明提供一种防攻击处理方法及网络设备，该方法包括：CPU将已开启的TCP服务端口号发送给硬件转发芯片，由硬件转发芯片对目的端口号不在TCP服务端口号范围内的TCP SYN报文进行丢弃，从而有效防御TCP SYN攻击，节约网络设备资源。

技术领域

本发明涉及网络通信技术领域，尤其涉及一种防攻击处理方法及网络设备。

背景技术

SYN(同步)Flood(泛洪)是一种大量伪造非法IP(Internet Protocol，网际协议)地址向网络设备发送SYN报文的攻击方式，导致网络设备长时间维持与非法IP地址的半连接状态，消耗网络设备的系统资源(处理器满负荷或内存不足)，影响正常业务的处理。

目前，针对SYN Flood攻击的主要防御方法是向硬件转发芯片发送包含TCP(Transmission Control Protocol，传输控制协议)SYN攻击报文五元组信息的攻击表项，由硬件转发芯片对命中攻击表项的TCP SYN报文进行丢弃或限速，以达到防御SYN Flood攻击、减少网络设备资源消耗的目的。但是，该防御方法仍存在一些不必要的资源消耗，例如，当目的端口不在本设备开启的服务端口范围内时，TCP SYN报文仍会被发送给CPU(CentralProcessing Unit，中央处理器)处理，造成对CPU的冲击，且该不存在的目的端口的攻击表项，仍然消耗硬件转发芯片的表项资源。

发明内容

本发明的目的在于提供一种防攻击处理方法及网络设备，用以进一步降低TCPSYN攻击对网络设备的资源消耗。

为实现上述发明目的，本发明提供了技术方案：

本发明提供一种防攻击处理方法，应用于网络设备，所述网络设备包括中央处理器CPU和硬件转发芯片，所述方法包括：

CPU将本设备开启的传输控制协议TCP服务端口号发送给本设备的硬件转发芯片；

当所述硬件转发芯片接收到TCP同步SYN报文时，所述硬件转发芯片判断是否存在与所述TCP SYN报文的目的端口号匹配的TCP服务端口号；

当不存在与所述TCP SYN报文的目的端口号匹配的TCP服务端口号时，所述硬件转发芯片丢弃所述TCP SYN报文。

本发明还提供一种网络设备，所述设备包括：

CPU，用于将开启的传输控制协议TCP服务端口号发送给硬件转发芯片；

硬件转发芯片，用于当接收到TCP同步SYN报文时，判断是否存在与所述TCP SYN报文的目的端口号匹配的TCP服务端口号；当不存在与所述TCP SYN报文的目的端口号匹配的TCP服务端口号时，丢弃所述TCP SYN报文。

由以上描述可以看出，本发明通过CPU将本设备开启的TCP服务端口号发送到硬件转发芯片中，由硬件转发芯片对目的端口号不在本设备TCP服务端口号范围内的TCP SYN报文进行丢弃，从而避免目的端口号不在本设备TCP服务端口号范围内的TCP SYN报文发送给CPU，不仅节约了CPU资源，同时也节约了硬件转发芯片中的表项资源。

附图说明

图1是本发明实施例示出的防攻击处理方法流程图；

图2是本发明实施例示出的组网示意图；

图3是本发明实施例示出的网络设备的结构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。