基于NP芯片的ACL防攻擊研究與實現

王嘉楠，吳軍平

（1.武漢郵電科學研究院烽火學院，湖北武漢 430074；2.烽火通信科技股份有限公司，湖北武漢 430073）

海量設備的接入使得互聯網的規模快速擴大，一方面提升了用戶的體驗，另一方面5G 安全也面臨不小的挑戰，其安全防護需要各界相互配合、共同努力，體系化、立體化地做好5G 安全防護[1]。網絡規模擴大的同時還增加了大量需要上送CPU 處理的報文和針對CPU的惡意攻擊報文，CPU的處理壓力與日俱增,為防范各種攻擊，保障網絡和業務安全，迫切需要對交換機進行加固[2-3]。NP芯片可用微碼編程，其高速響應的特點正適合應用于通信領域分組業務中包處理、協議分析的任務[4]。

在位于網絡邊緣的交換機和路由器端口上綁定ACL，將其以太幀頭部信息、多協議標簽交換（Multi-Protocol Label Switching，MPLS）的標記、端口號等字段作為匹配信息，根據匹配結果決定數據包是轉發或丟棄，過濾接入的用戶和數據報文，以此完成對數據報文安全性的校驗和網絡某一連接流量的限制[5-7]。

1 ACL基本原理

1.1 概述

高端路由器上執行數據包轉發的是包轉發引擎PFE（Packet Forwarding Engine），通常是位于上行或下行接口板的NP芯片。NP芯片不僅要實現報文接收、解析、轉發、交換、封裝，還要進行其他處理，其中包過濾就是一項十分關鍵的處理。從應用到包過濾分為3 個部分：流分類、流動作和流策略[8]。先設定ACL 匹配規則，再針對某類流量定義流動作，將流分類和流動作關聯后應用到相應接口上。

1.2 ACL分類

根據不同的匹配層次和不同的匹配信息可以定義多種規則，如表1 所示[9-10]。

表1 ACL分類信息

但是由于NP芯片自身暫不支持INTF_ACL的綁定，所以INTF_ACL 在后續的應用中默認為全匹配，全部執行“通過”動作，從而使ETH_ACL的規則編號擴展為1～1 999，使用報文接口和以太幀頭部信息同時進行匹配。

2 ACL的實現

ACL的實現需要網絡處理平臺中各層聯通，大致將網絡平臺分為平臺側和驅動側，主要完成對數據的配置及下發、數據間邏輯關系的映射、數據結構的轉換并寫入底層的NP芯片。通過在NP芯片上預先編碼，微碼側能夠對流入的流量按照寫入的配置進行解析和轉發，實現相應功能。

2.1 平臺側

網管網元管理接口將配置下發到網絡操作平臺后，平臺中的網元管理接口子系統（Network Entity Management Subsystem）將配置傳遞到統一業務管理子系統（Unified Service Management Subsystem），根據所需功能定義在USM 中構建平臺中FDPO的字段和數據結構，同時設計依賴鏈關系，主控盤通過映射模型構建ID 管理組件中的DDPO，并且選擇相應的映射關系，然后將配置下發到業務盤，業務盤中UDM組件負責業務的配置處理，接收到主控數據后，從FDPO 中構建出DDPO，通過MAC 地址狀態查詢組件、性能采集和事件告警組件后，下發到SDA。

FDPO 中的依賴鏈關系由ACL_RULE 建立，ACL_RULE 包含了acl_id（ACL 編號）、match_type（匹配類型）、etype（以太幀中以太類型字段）、dst_mac/src_mac（目的MAC 地址和源MAC 地址）、ovid/ivid（內外層和內層VLAN 號）、dscp（IP 頭部中DSCP 字段）等屬性。FDPO之間的迭代關系有兩種：依賴關系和父子關系，兩種關系的建立都需要使用外鍵作為連接橋梁，其中，acl_id 就是用來完成迭代關系的外鍵。

通過外鍵acl_id 索引到ACL_ACL 結構,ACL_ACL 包含了acl_id、acl_type 和phook 等屬性。通過外鍵logic_port_index 索引到IFMGR_IF_NET，再由IFMGR_IF_NET 中的外鍵索引到IFMGR_IF_LAG。其中，所有字段的數據均由網絡操作平臺下發。

2.2 驅動側

SDA 層主要完成從FDPO 中將依賴鏈關系映射到DDPO 中，同時轉換部分數據。DDOP 元素與FDPO 元素為一對一或一對多映射，使用工具生成簡單映射代碼，復雜映射需要通過手寫映射函數實現映射關系。DDPO 涉及3 種操作：創建、更新和刪除。DDPO 所需的FDPO 數據完整時才會觸發DDPO的創建，只有在DDPO的數據發生變化之后才會觸發更新操作，刪除操作可以通過FDPO 更新改變key值和刪除Start FDPO 來觸發。PSN 層完成DDPO 到微碼數據類型的轉換和配置的下發，將獲取的數據下發到NP芯片，處理數據流。

ACL 分為KEY 和DATA 兩個部分，KEY 即為匹配的規則，DATA 為進行的動作。驅動側有兩種KEY的模板，支持INTF_ACL 和IP_ACL，DATA的動作包括通過、拒絕和鏡像到CPU 等。定義匹配規則時，可以對KEY 值部分進行任意比特的掩碼操作，取相應有效位。查找時按照訪問列表中的語句順序查找，首先判斷當前業務是否配置了ACL，存在則從acl_id 最小的開始，一旦匹配到其中某一匹配條件就結束匹配，不檢查后續的語句。

2.3 微碼側

1）定義table acl_160_te0 和table acl_320_te0 兩種表項，使用不同大小的三態內容尋址存儲器表（Ternary Content Addressable Memory，TCAM）分別處理ETH_ACL 和IP_ACL，微碼側定義的TCAM 表項如圖1 所示。TCAM 使用的逐條匹配法足以保證查找的準確性和有效性[11]。

圖1 微碼側定義TCAM表項的代碼

其中，key_tpye 對應驅動側KEY的部分，value_type 對應驅動側DATA的部分。struct ethernet_header_key 中定義了以太幀頭部信息，struct acl_320_request_t 中定義了鏡像過濾、IPv4、IPv6 和攜帶MPLS 標簽的報文的數據結構。

2）在入/出接口處理流程中判斷acl_id范圍，進入對應流程中，從報文的首部讀取相應的信息匹配規則，得到返回數據acl_response，判斷其中acl_action是否為deny，是則做丟包處理，反之則讀取其他信息或進入業務功能處理流程中（如RFC2544、Remark 或NetFlow等）執行相應acl_action，從而實現包過濾。

2.4 實驗測試

測試方案：以Egress 側帶有MPLS 標簽的ACL 流程為例完成測試。在設備中使能ACL 功能，然后進入鏡像流程。使用Spirent Testcenter 儀表配置帶有MPLS 標簽的二層業務流量，從pipo0的5 槽5 口（邏輯口：0x1c）進入，再從3 槽0 口（邏輯口：0x1d）發出，同時將流鏡像到3 槽8 口（邏輯口：0x1f），若在6 槽0口的出口計數，有流量通過就可以證明帶有標簽的NNI 側160_ACL 匹配成功。

測試步驟：

1）登陸到主控：進入到NP芯片的pipo0 上，打印各個端口流量的收發情況，確定0x1c、0x1d 和0x1f 端口的收發情況，查詢邏輯出口0x1d的配置情況，獲取acl_id 信息；

2)根據acl_id 查詢硬表信息：key+mask、mirror_to_port鏡像流走入0x1f口，獲取contid后查找出端口計數，驗證到ACL已經匹配成功，如圖2、圖3所示。

圖2 查詢該acl_id硬表的配置

圖3 獲取計數結果

3 ACL的應用——防攻擊

3.1 防攻擊概述

開啟防攻擊功能后，需要在報文上送CPU 之前進行檢查，提前過濾掉有缺陷的、有欺騙性質的、洪泛攻擊的報文，從而保證路由器在受到來自網絡的攻擊時仍然保持與其他設備正常通信的能力，提供持續而穩定的服務。由于大量的網絡攻擊主要是信令攻擊，所以通過協議聯動（Relative）、黑桶（Black）、白名單、用戶自定義4 種策略將ACL 功能綁定在設備接口上，如圖4 所示。所謂協議聯動，就是各協議模塊根據互相建立的會話信息來自動下發協議類型、端口號、IP 地址等數據配置ACL 規則，將可以正常上送的報文加入到協議聯動桶中。用戶可以根據實際需求選擇防攻擊的策略，配置信令報文匹配規則、優先級、上送速率，達到攔截攻擊報文、降低CPU占用率、保證正常業務處理能力等目的。

圖4 開啟防攻擊信令后上送流程

3.2 基于ACL的防攻擊實現

3.2.1 防攻擊策略

1）識別到畸形報文（如目的地址為網絡的A、B、C 類地址廣播地址的Smurf 攻擊報文、長度大于64 K的Ping of Death 攻擊報文、源IP 地址和目的IP 地址相等的Land 攻擊報文等）后直接丟棄[12-14]。

2）在邏輯接口配置相關信令，提取使能開關，當該接口的開關使能時才對該信令執行提取操作，否則默認丟棄，如圖5 所示。

圖5 相關信令提取使能開關

3）配置全局開關，全局開關打開后才提取信令，否則默認丟棄，如圖6 所示。

圖6 全局開關的配置

4）防攻擊協議聯動桶命中后，已經被識別為正常信令的報文以高優先級上送，如圖7 所示。

圖7 協議聯動桶的配置

5）防攻擊黑桶配置的限速處理如圖8 所示。

圖8 黑桶的配置

3.2.2 防攻擊測試

測試方案：進入主控配置視圖創建防攻擊策略后使能畸形報文開關，將防攻擊策略與端口槽位綁定，提交配置。通過儀表向設備發送正常IPv4 報文以及特征是源IP 地址和目的IP 地址均為192.85.1.1的TCP SYN 報文的land 畸形攻擊報文、源IP 地址為255.255.255.255的ICMP Request 畸形攻擊報文，然后使用tcpdump 抓包分析報文。再進入配置中去除使能開關，提交配置后繼續發送混合的報文流量，繼續使用Tcpdump 抓包對比兩次抓到的報文。

通過對比可以驗證，在使能畸形報文防攻擊開關后，打開正常的IPv4 流、Smurf 攻擊報文流和Land攻擊報文流時，本機Tcpdump 抓不到攻擊報文，能抓到正常的數據報文流；在關閉使能畸形報文防攻擊開關后，再打開Smurf 攻擊報文流、Land 攻擊報文流和正常的IPv4 流，本機Tcpdump 抓到了攻擊報文，如圖9、圖10 所示。實驗結果表明，基于NP芯片配置ACL 能夠防止惡意攻擊報文對CPU的沖擊，有效降低CPU的占用率，保證正常通信服務質量。

圖9 打開使能開關后獲取的報文

圖10 關閉使能開關后獲取的報文

4 結論

5G 時代帶來了機遇的同時也帶來了挑戰，各種數據流量的接入對網絡提出了更高的要求，也向網絡安全發起了挑戰[15-16]，可以看出，對接入的數據流量進行流策略包過濾是非常必要的。通過測試可以驗證，基于NP芯片實現ACL 包過濾，同時將ACL 應用在防止報文攻擊上，在信令報文上送CPU 之前先基于IP 地址、源端口和目的端口、以太類型等數據對報文篩選過濾實現限速的目的，有效攔截了攻擊報文，防止上送過程中CPU 頻繁處理非正常報文后卡死，也可以更加合理地分配網絡帶寬資源，提高通信質量和服務保障能力。可見，在數據業務高速發展的時代，ACL 是十分重要的功能。