随着网络规模的扩大和网络复杂度的提高，网络配置越来越复杂，经常 出现计算机位置变化和计算机数量超过可分配IP地址的情况，现有技术通常 采用DHCP(Dynamic Host Configuration Protocol，动态主机配置协议)，来 解决IP地址动态分配的问题，DHCP具有对重新使用的网络地址进行自动分 配和附加配置选项的功能。
DHCP在应用过程中遇到很多安全方面的问题，攻击者利用DHCP进行 攻击的主要手段包括：DoS(Denial OfService，拒绝服务)攻击、DHCP Server 仿冒攻击以及中间人攻击和IP/MAC(Media Access Control，媒体接入控制) 欺骗攻击等。其中，中间人攻击和IP/MAC欺骗攻击主要是由攻击者向受害 者发送带有欺骗信息的虚假报文，让受害者学习到该欺骗信息，并根据该欺 骗信息进行报文的转发，从而使得受害者无法正常接收或发送报文。
现有技术通常采用在接入用户终端的网络设备处使能DHCP Snooping (Dynamic Host Configuration Protocol Snooping，动态主机配置协议监听)功 能，DHCP Snooping协议栈通过监听DHCP报文，建立IP、MAC、端口和 VLAN(Virtual Local Area Network，虚拟局域网)绑定表；在转发报文时， 利用绑定表对ARP(Address Resolution Protocol，地址解析协议)报文、IP 报文进行检查，解决上述的欺骗攻击安全问题。
图1是现有技术中采用DHCP Snooping解决欺骗攻击安全问题的示意图。 如图1所示，在接入用户终端的网关交换机上，使能DHCP Snooping功能， 则无论是正常用户终端，如用户终端B，还是其它可能有攻击行为的用户终 端，如用户终端C，首先必须通过DHCP进行首次IP地址申请。网关交换机 监听申请过程中的所有DHCP报文，通过分析往来的DHCP报文，建立图1 所示的DHCP Snooping绑定表。那么，当攻击者发起欺骗攻击时，如用户终 端C发起一个免费ARP报文给B欺骗用户终端B说，IP地址为10.1.1.1网关 路由器的MAC为C，那么在网关交换机处将对此ARP报文进行检测，该ARP 报文携带的信息，包括其源MAC地址，源IP地址以及入接口信息，如图1 所示，MAC地址为C、IP地址为10.1.1.1、PORT(端口)为E2、VLAN(Virtual Local Area Network，虚拟局域网)为3，去查找绑定表，由于没有对应的表 项，因此网关交换机将该报文丢弃，则此欺骗ARP报文将无法到达其它任何 用户终端，包括用户终端B，从而制止了用户终端C的攻击行为。
但是，现有技术中采用DHCP Snooping解决攻击者攻击的方法中，由于 对攻击者的行为没有任何记录，因此，无法有效跟踪攻击者的具体行为和信 息，从而导致故障的定位和排除非常困难。

本发明实施例提供一种报文处理方法、系统和设备，以解决现有技术中 采用DHCP Snooping解决报文攻击安全问题时，对攻击者的行为没有跟踪记 录，故障定位排除困难的缺陷。
为达上述目的，本发明实施例提供了一种报文处理方法，包括：
网络设备接收用户终端发送的报文，所述报文携带标识信息；
根据所述标识信息确定是否命中正常绑定表项；
当未命中时，将所述标识信息存储在黑名单绑定表项中，所述网络设备 记录所述报文的接收时间和命中次数，所述网络设备根据所述接收时间和命 中次数计算所述报文的发送频率，所述网络设备将所述发送频率存储在所述 黑名单绑定表项中。
本发明实施例还提供了一种报文处理系统，包括：
用户终端，用于向网络设备发送报文，所述报文携带标识信息；
网络设备，用于判断所述报文是否命中正常绑定表项，当未命中时，将 所述标识信息存储在黑名单绑定表项中，记录所述报文的接收时间和命中次 数，根据所述接收时间和命中次数计算所述报文的发送频率，将所述发送频 率存储在所述黑名单绑定表项中。
本发明实施例还提供了一种网络设备，包括：
报文判断单元，用于判断所接收的报文是否命中正常绑定表项；
信息存储单元，用于当所述报文未命中所述正常绑定表项时，将所述报 文的标识信息进行存储，并记录所述报文的发送频率；
所述信息存储单元包括：
标识信息存储子单元，用于存储所述报文的标识信息；
记录子单元，用于记录所述报文的接收时间和命中次数；
频率计算子单元，用于根据所述接收时间和命中次数计算所述报文的发 送频率；
频率存储子单元，用于存储所述报文的发送频率。
与现有技术相比，本发明实施例增加了黑名单绑定表项，可以有效跟踪 攻击者的具体行为和信息，方便了故障的定位和排除。

图1是现有技术中采用DHCP Snooping解决欺骗攻击安全问题的示意图；
图2是本发明实施例一的报文处理方法流程图；
图3是本发明实施例二的报文处理方法流程图；
图4是本发明实施例绑定表信息异常丢失的示意图；
图5是本发明实施例设置黑名单绑定表项的示意图；
图6是本发明实施例重新建立绑定表项的示意图；
图7是本发明实施例三的报文处理方法流程图；
图8是本发明实施例一种报文处理系统的示意图。

下面以具体实施例结合附图对本发明进一步加以阐述。
本发明实施例提供了一种报文处理方法。现有技术中的绑定表只包括有 KEY，如图1中所示的源MAC、源IP、PORT和VLAN，本发明的实施例在保 持现有技术KEY不变的基础上，增加了两个字段，其中一个字段用来表示该 绑定表的类型，一类是正常DHCP Snooping绑定表项，另一类是非正常DHCP Snooping绑定表项，由于某报文没有命中正常绑定表项而从该报文中提取相关 信息创建的绑定表项，也称为黑名单绑定表项；另一个字段用来表示该黑名 单绑定表项被命中的频率。通过对用户终端的信息在黑名单绑定表项被命中 频率的统计，从而有效监控攻击者的行为和信息。本发明实施例采用一个字 段来标识同一绑定表中的正常绑定表项和黑名单绑定表项，当然，在实际应 用中，也可采用单独的绑定表来分别存储正常绑定表项和黑名单绑定表项的 信息。
本发明实施例一的报文处理方法的流程图，如图2所示，包括以下步骤：
步骤201，网络设备接收用户终端发送的报文，该报文中携带标识信息。 该报文包括用户终端的正常上网报文，当然也可能存在攻击者发送的攻击报 文。
步骤202，网络设备根据该标识信息确定是否命中正常绑定表项。
网络设备所接收的报文中包括用户终端的正常上网报文，但是也可能存 在攻击者发送的攻击报文，网络设备需要对所接收的报文进行辨别。
由于在网络设备的入端口使能了DHCP Snooping功能，因此，网络设备 需要对所有接收到的报文进行分析判断，解析所接收报文的标识信息，该标 识信息包括报文的：源MAC地址、源IP地址、PORT和VLAN，然后将该 源MAC地址、源IP地址、PORT和VLAN与网络设备正常绑定表项中对应 的源MAC地址、源IP地址、PORT和VLAN信息进行匹配。也就是说，网 络设备根据所接收报文的标识信息，查找正常绑定表项中有无对应的信息， 若查找到对应信息，则信息匹配成功；若没有查找到对应信息，则信息匹配 不成功。若信息匹配成功，则称命中正常绑定表项；若信息匹配不成功，则 称没有命中正常绑定表项。本发明实施例中是将报文标识信息中的源MAC地 址、源IP地址、PORT和VLAN进行匹配，当然，在实际应用中，用来进行 匹配的标识信息也可根据具体需要，在源MAC地址、源IP地址、PORT和 VLAN之间进行任意搭配。
步骤203，当未命中时，网络设备将该标识信息存储在黑名单绑定表项中。
当网络设备接收到的报文未命中正常绑定表项时，网络设备从没命中正 常绑定表项的报文中提取源MAC地址、源IP地址、PORT和VLAN信息， 并将该些源MAC地址、源IP地址、PORT和VLAN信息存储在黑名单绑定 表项的对应各表项中。并且网络设备记录该没命中正常绑定表项报文的接收 时间和命中次数，通过记录的接收时间和命中次数计算出该非正常报文的发 送频率，并将计算出的发送频率存储在黑名单绑定表项中用来存储频率信息 的字段中。
上述本发明的实施例，在现有绑定表的基础上增加黑名单绑定表项类型， 用来存储没命中正常绑定表项的报文的相关信息，并且通过对报文命中黑名 单绑定表项的频率进行统计，从而可实现对攻击者的攻击行为和信息进行有 效跟踪和监控。
在实际应用中，也会出现用户终端发送的正常报文无法命中网络设备正 常绑定表项的情况，例如：网络设备中正常绑定表项信息的异常丢失。网络 设备正常绑定表项信息异常丢失的原因有很多种，包括：
由于一个网络设备上要接入大量的用户终端，而用于存放正常绑定表项 的空间有限，因此，需要对长期没有命中的正常绑定表项项进行删除；
或者，由于使能DHCP Snooping功能的网络设备重新启动，而原正常绑定 表项保存恢复过程中发生部分数据丢失；
或者，使能DHCP Snooping功能的网络设备由于自身内部通信原因，而造 成的正常绑定表项中的数据丢失；
再或者，网络设备的一个端口上一旦使能DHCP Snooping功能，那么在使 能前已经通过DHCP获得IP地址的用户终端将在网络设备中没有DHCP绑定表 项，此时也可以理解为该用户终端的绑定表数据异常丢失。
现有技术中采用DHCP Snooping对报文进行监听，一旦用户终端通过 DHCP动态申请IP地址成功以后，能否上网，完全取决于用户终端报文的相 关信息能否与网络设备正常绑定表项中某一项匹配，如果不匹配，用户终端 报文将被丢弃，用户终端将无法上网。在由于上述正常绑定表项异常丢失， 导致用户终端无法正常上网的情况下，如果用户终端需要继续上网，则只能 通过手工触发用户终端重新通过DHCP进行IP地址申请，或者等目前申请的 IP地址过期后再上网。
所谓手工触发用户终端重新通过DHCP进行IP地址申请，是指用户终端 释放现有的IP地址，然后向网络设备重新发送IP地址申请请求；通过重新发 送IP地址申请，用户终端重新获得新的IP地址，同时在网络设备上建立新的 绑定表信息。手工触发用户终端重新进行IP地址申请，需要用户终端首先感 知到已无法正常上网的情况，但是在实际应用中，从用户终端无法正常上网 到用户终端感知到无法正常上网的时间会比较长，因此会导致较长时间的用 户终端上网中断。
所谓等目前申请的IP地址过期后再上网，是指等用户终端目前申请的IP 地址过期后，用户终端会检测到IP地址过期，然后自动向网络设备发送IP地 址申请请求；通过重新发送IP地址申请，用户终端重新获得新的IP地址，同 时在网络设备上建立新的绑定表信息。等目前申请的IP地址过期后再上网， 显然更需要用户终端等待较长的时间，从而会导致用户终端长时间的上网中 断。
针对上述的问题，本发明实施例二在网络设备接收到用户终端发送的报 文无法命中正常绑定表项的情况下，主动向用户终端发送IP地址不可用信息， 触发用户终端向网络设备重新发送IP地址申请请求，立即申请新的IP地址，快 速恢复上网。如图3所示，图3为本发明实施例二的报文处理方法流程图，包 括以下步骤：
步骤301，网络设备接收用户终端发送的报文无法命中正常绑定表项。
在网络设备上由于前述的某种原因，或者其它原因，导致网络设备的正 常绑定表项信息丢失，则一般用户终端无法感知此情况的发生，甚至很有可 能都不知道在网络设备上使能了DHCP Snooping功能。此时，用户终端会继续 正常上网，并向网络设备发送报文，该发送的报文包括两种类型：一种是用 户终端正常上网的数据报文，如IP报文或ARP报文等；另一种是由于IP租约期 将至，用户终端发送的租期续约请求报文。
网络设备从所接收的报文中提取源MAC地址、源IP地址、PORT和VLAN 信息，然后将该源MAC地址、源IP地址、PORT和VLAN信息与网络设备正常 绑定表项中对应的源MAC地址、源IP地址、PORT和VLAN信息进行匹配，无 法匹配成功，也即用户终端发送的报文没有命中网络设备的正常绑定表项。
例如，如图4所示的本发明实施例绑定表信息异常丢失示意图。用户终端 B向网关交换机发送报文，该报文中携带有用户终端的源IP地址和源MAC地址 信息，源IP地址信息为：10.1.1.2，源MAC地址信息为：B。网关交换机接收 到该报文后，从中提取源MAC地址信息和源IP地址信息，再加上网关交换机 的端口信息，也即网关交换机的端口号和VLAN信息，去查找绑定表中的对应 信息。但是，由于网关交换机中对应用户终端B的绑定表信息丢失，因此无法 查找到绑定表中的对应信息，也就无法命中绑定表。
步骤302，网络设备将没命中正常绑定表项的报文标识信息存储在黑名单 绑定表项中。
网络设备从没命中正常绑定表项的报文中提取源MAC地址、源IP地址、 PORT和VLAN信息，并将该些源MAC地址、源IP地址、PORT和VLAN信息存 储在黑名单绑定表项中。并且网络设备在黑名单绑定表项中，记录该没命中 正常绑定表项报文的接收时间和命中次数，通过记录的接收时间和命中次数 计算出该没命中正常绑定表项的报文发送频率，并将计算出的发送频率存储 在黑名单绑定表项中用来存储频率信息的字段中。
仍以步骤301中的举例为例，用户终端B发送的报文没能命中网关交换机 的绑定表，因此该报文被网关交换机判定为非正常报文。网关交换机会对应 绑定表中的存储表项，从该报文中提取源IP地址、源MAC地址信息、端口号 和VLAN等信息，将该些信息存入绑定表的对应表项中。网关交换机还会记录 该报文的接收时间和当前命中次数，通过记录的接收时间和命中次数计算出 该没命中正常绑定表项的报文发送频率，并将计算出的发送频率存储在黑名 单绑定表项中用来存储频率信息的字段中。在黑名单绑定表项中建立一个字 段来标识该段绑定表信息的类型，即非正常报文。举例来说，该黑名单绑定 表项如图5中所示，在绑定表中建立BLK字段，在该BLK字段中设置不同的标 识，代表该段绑定表的不同类型。Y代表该段绑定表为正常绑定表项，N代表 该段绑定表为黑名单绑定表项；并在绑定表中建立一个RATE(频率)字段， 将计算出没命中正常绑定表项的报文发送频率存储在RATE字段中。
步骤303，网络设备向用户终端发送IP地址不可用信息。
网络设备向用户终端发送IP地址不可用信息，以告知该用户终端当前的IP 地址已经不可用。用户终端接收到网络设备发送的IP地址不可用信息后，得知 当前的IP地址已经不能再使用，用户终端若再使用当前的IP地址已不能再上 网。若用户终端需要继续上网，可以向网络设备重新发送IP地址申请请求，重 新申请新的IP地址。
接续步骤302中的举例，网关交换机将该没命中正常绑定表项的报文重定 向到DHCP Snooping功能模块，并由DHCP Snooping功能模块向用户终端B发 送一个DHCPNAK报文，仿冒DHCP服务器告知用户终端B其IP地址不可用。 DHCPNAK，是DHCP服务器用来告诉用户终端其IP地址已经不正确，或租约 期时间过期，而向用户终端发送的报文。如果用户终端B收到DHCPNAK消息 后，它将不再使用原有的IP地址，而重新启动DHCP配置流程来重新申请新的 IP地址。
步骤304，用户终端接收到IP地址不可用信息后，向网络设备重新发送IP 地址申请请求。
用户终端接收到网络设备发送的IP地址不可用信息后，得知当前的IP地址 已经不能再使用，用户终端若再使用当前的IP地址已不能再上网。若用户终端 需要继续上网，则可以向网络设备重新发送IP地址申请请求，重新申请新的IP 地址。网络设备按照正常的DHCP Snooping流程，通过监听用户终端发送的 DHCP报文，重新建立针对该用户终端的绑定表，则该用户终端在申请IP地址 成功之后可以照常上网了。
接续步骤303中的举例，用户终端B接收到网关交换机发送的DHCPNAK 报文后，得知当前的IP地址已经不能再使用，于是按照DHCP流程，用户终端 B向网关交换机重新发起首次IP地址申请的请求。网关交换机按照正常的 DHCP Snooping流程，通过监听用户终端B发送的DHCP报文，重新建立针对 用户终端B的绑定表项，如图6所示，图6是本发明实施例重新建立绑定表项的 示意图，该重新建立的绑定表项包括源IP地址、源MAC地址、端口号、VLAN 和BLK等信息，由于用户终端B在网关交换机上重新建立的绑定表项属于正常 绑定表项，绑定表项中的BLK标识为Y，而RATE表项是用来记录没命中正常 绑定表项的报文的频率信息，因此该重新建立的绑定表项中也就不存在RATE 信息，也可认为RATE信息为空。用户终端B在申请新的IP地址成功之后即可 照常上网了。
上述本发明的实施例，在网络设备接收到的报文无法命中正常绑定表项 的情况下，主动向用户终端发送IP地址不可用信息，从而能够触发因网络异常 导致无法正常上网的用户终端重新发起IP地址申请流程，即可快速恢复上网功 能，大大提高了网络服务质量。
但是，考虑到实际应用中，攻击者会向网络设备频繁发送无法通过DHCP Snooping认证的报文，由于该报文无法命中正常绑定表项，按照本发明实施例 二的流程，网络设备则会频繁向用户终端发送IP地址不可用信息，从而会增加 网络设备的处理工作量，降低系统性能。
针对上述问题，本发明实施例三对前述的实施例进行改进，在网络设备 中设定一个阀值，将黑名单绑定表项中的报文发送频率和该阀值进行比较， 当报文发送频率大于阀值的时候，网络设备则停止向发送该报文的用户终端 发送IP地址不可用信息。当然，上述阀值可以预先在网络设备上设定好，也可 在实际应用中根据具体情况进行修改，重新设定。如图7所示，图7是本发明 实施例三的报文处理方法流程图，具体包括以下步骤：
步骤701，网络设备接收用户终端发送的报文无法命中正常绑定表项。该 步骤的具体实施过程与前述相同，在此不再多述。
步骤702，网络设备将没命中正常绑定表项的报文标识信息存储在黑名单 绑定表项中。该步骤的具体实施过程与前述相同，在此也不再多述。
步骤703，网络设备根据黑名单绑定表项中的频率信息判断是否向用户终 端发送IP地址不可用信息。
该频率信息是网络设备根据记录报文的发送时间和命中次数计算出来 的，网络设备每收到一次该没命中正常绑定表项的报文，则记录该报文的发 送时间和命中次数，然后根据记录的发送时间和命中次数计算出该报文的频 率信息。网络设备将该频率和设定的阀值进行比较，若该频率小于阀值，则 网络设备向用户终端发送IP地址不可用信息；若该频率大于阀值，则网络设备 停止向用户终端发送IP地址不可用信息。网络设备将发送频率大于阀值的报文 判定为攻击报文，网络设备对该攻击报文直接丢弃，不再做任何处理。
上述本发明的实施例，将发送频率大于设定的阀值的报文判定为攻击报 文，并停止向发送攻击报文的用户终端发送IP地址不可用信息，可有效避免攻 击者的频繁攻击。
本发明的实施例还提供了一种报文处理系统，如图8所示，包括：用户终 端100和网络设备200。其中，用户终端100，用于向网络设备200发送报文。
网络设备200，用于将所接收报文中，没命中正常绑定表项的报文标识信 息存储在黑名单绑定表项中。
其中，网络设备200包括：报文判断单元210和信息存储单元220。报文判 断单元210，用于判断所接收报文是否命中正常绑定表项。报文判断单元210 根据所接收报文的标识信息，查找正常绑定表项中有无对应的信息，若查找 到对应信息，则信息匹配成功；若没有查找到对应信息，则信息匹配不成功。 若信息匹配成功，则命中正常绑定表项；若信息匹配不成功，则没有命中正 常绑定表项。信息存储单元220，用于存储没命中正常绑定表项的报文标识信 息。网络设备200从没命中正常绑定表项的报文中提取相关信息，并将该些信 息存入信息存储单元220的对应表项中。
信息存储单元220包括：标识信息存储子单元221、记录子单元222、频 率计算子单元223和频率存储子单元224。标识信息存储子单元221，用于存 储没命中绑定表报文的标识信息。记录子单元222，连接标识信息存储子单元 221，用于记录没命中绑定表报文的接收时间和命中次数。频率计算子单元 223，连接记录子单元222，用于根据记录子单元222中所记录报文的接收时 间和命中次数计算没命中绑定表报文的发送频率。频率存储子单元224，连接 频率计算子单元223，用于存储没命中绑定表报文的发送频率。
本发明另一实施例在上述网络设备200的基础上，增设了频率比较单元 230和信息发送单元240。频率比较单元230，连接信息存储单元220，用于 将信息存储单元220中没命中绑定表报文的发送频率和设定的阀值进行比较， 作为是否向用户终端发送IP地址不可用信息的依据。信息发送单元240，连 接信息存储单元220和频率比较单元230，用于没命中绑定表报文的发送频率 小于阀值时，向用户终端发送IP地址不可用信息。
本发明的实施例增加了一种黑名单绑定表项类型，可以有效跟踪攻击者 的具体行为和信息，了解攻击者的攻击频率，以及主要攻击对象。本发明的 实施例中，在用户终端的报文无法命中绑定表，从而导致用户终端无法正常 上网的情况下，可以主动触发用户终端重新发起地址申请流程，即可快速恢 复上网功能，大大提高了网络服务质量。本发明实施例中的网络设备包括交 换机、路由器等具有报文处理能力的网络设备。且本发明实施例中对应的软 件可以存储在一个计算机可读取存储介质中。
以上公开的仅为本发明的几个具体实施例，但是，本发明并非局限于此， 任何本领域的技术人员能思之的变化都应落入本发明的保护范围。