CPU技术白皮书V1.docVIP

CPU技术白皮书V1.0 1 概述：CPP的提出 ? ??? 随着交换机应用的逐渐普及，以及网络攻击的不断增多，越来越需要为数据交换机提供一种保护机制，对发往交换机CPU的数据流，进行流分类和优先级分级处理，以及CPU的带宽限速，以确保在任何情况下CPU都不会出现负载过高的状况，从而能为用户提供一个稳定的网络环境，这种保护机制就是CPU Protect Policy，简称CPP。 ? ??? 目前由于协议或者某些应用的需要，要求将报文trap到CPU进行处理，但是当同时有大量报文送到CPU（这种情况往往是恶意的），超过CPU负载时，引起CPU利用率高，这样就可能使一些正常需要执行的任务被长时间挂起，造成交换机瘫痪并导致网络中断。目前CPU保护问题主要包括以下几点： ? 1.1 网络交换机的设计特点 ? ??? 从交换机的体系结构来看，交换机有两部分组成：ASIC芯片用于高速的转发数据包，而CPU主要是来处理一些更为复杂的事务，对网络管理方面任务和请求进行处理；处理各种协议报文，包括L2管理报文如BPDU、GVRP、ARP；L3管理报文如RIP、PIM、OSPF、VRRP、IGMP、ICMP；数据报文，包括未知单播IP数据包，未知组播的数据报文，RPF失败报文，各种错误报文。 ? ??? 常见的DoS攻击实际上就是让主机没有资源去应付这些正常的请求，把大量的资源都用在处理那些攻击性质的请求和事务上，从而导致系统的不可用。 ? ??? 当前网络中经常受到各种类型病毒的攻击，例如蠕虫病毒、尼姆达杀手、Slammer等蠕虫病毒。而它们对交换机的冲击，经常是利用了流转发技术的三层交换机的工作原理，第一个数据包进来的时候，三层交换机要像路由器那样通过查找路由表，确定如何转发，并形成一个用ASIC完成转发查找的硬件流转发表。感染Slammer等蠕虫病毒的计算机会在很大的一段地址空间中，逐个发送指向不同IP地址的数据包。这种行为是恶意的。这样的操作会导致交换机的硬件流转发表溢出，导致CPU资源的大量浪费，甚至使交换机的CPU资源完全耗尽。类似的情况还有ARP请求，一个交换机收到了Slammer病毒产生的很多数据包，其目的网段就指向交换机连接的一个端口，交换机并不知道这些目的IP地址并不存在，会发很多ARP请求，期待对方给予回应。这些ARP请求也会占用CPU资源。类似的情况还有很多，比如发送大量的错误包，对交换机的Web管理界面、Telnet管理进行DoS攻击，对交换机的网管系统进行ICMP的DoS攻击和SNMP的DoS攻击。 ? 1.2 协议的工作特点或缺陷 ? ??? 最初的网络设计者在设计时更多地考虑如何保证网络的联通性，而很少考虑网络的安全性。同样，很多专家开发了能够自动发现拓扑结构、自动维系网络设备关系的协议，如路由协议，这些协议能够减少网管员的工作量，提高网络的可用性，但是很多协议存在潜在漏洞，使网络面临被攻击的风险。 ? 生成树攻击 ? ??? 假如在网络中用一台PC机模拟生成树协议，不断发布BPDU包，就会导致一定范围内的生成树拓扑结构定期地发生变化。虽然没有流量，但是由于生成树不稳定，仍会导致整个网络不断发生动荡，使网络不可用，使网络设备的CPU压力剧增。 ? 路由协议攻击 ? ??? 另一个类似的攻击就是使用路由协议发起的攻击，这一点更容易实现，虽然一些路由协议使用了加密和认证算法，来传递路由的更新信息，但是目前网络很少真正启用这些功能。假如网络设计不合理，路由器配置不妥当，很容易让用户在一个原本应该是STUB的网段里，向整个网络发送路由信息，对整个网络的动态路由造成影响，导致路由震荡，有可能把一些通往重要方向的数据包指向错误的方向。而且即使网络启用了路由加密和认证，大量的攻击包虽然不影响网络的路由震荡，但依然让CPU无法承受。 ? ??? 实际还有很多利用协议缺陷和交换机的设计点的攻击方式，这里只是做一个简单介绍。通过以上分析，可以明确，CPP模块对于交换机和稳定工作是必不可少的。 ? 2 技术介绍 ? 2.1 原理 ? ??? 从第一章的分析可以了解到，目前的网络协议对于安全的考虑性不足，以及交换机本身设计的特点，对CPP功能的需求就显得越来越强。CPP功能早期只是作为某些单一功能出现的，如ARP check，IP sysguard，这一种CPP主要是反攻击的。随着市场应用的逐渐增多，对于CPU保护提出了更高的要求，第二种cpp应用需要对trap到CPU的管理报文进行分类处理，第一类是作为维护基础协议的BPDU、GVRP和VRRP，第二类是作为维护路由协议的PIM，OSPF，IGMP，RIP报文，第三类是作为需要CPU处理的IP数据报文，第四类是堆叠中的管理报文，通过对这些报文的分级处理，确定优先关系，确保在CPU高负