当目的端设备接收的报文的目的地址为目的端设备的地址且被判定 为攻击报文时,目的端设备会自动向源端设备发送包括攻击报文类型的暂停报文,使得源 端设备(即发送攻击报文的设备)在第一预设时长内暂停发送暂停报文中包括的协议类型 的报文;若被判定为攻击报文的报文确实为攻击报文,就避免了攻击的发生;若被判定为 攻击报文的报文实质为正常业务的报文,由于报文会在第一预设时长之后继续发送,送样 就使得攻击的防御避免影响正常的业务。
[0101] 实施例二
[0102] 本发明是实例二提供另一种防御攻击的方法,如图2所示,该方法可W包括:
[0103] S201、源端设备接收目的端设备发送的暂停报文,暂停报文的目的地址为源端设 备的地址;其中,暂停报文包括报文类型。
[0104] 可选的,若暂停报文中包括的报文类型指示二层协议报文,则目的地址为第一目 的MC地址。
[0105] 若暂停报文中包括的报文类型指示H层协议报文,则目的地址为目的IP地址。
[0106] 进一步的,若暂停报文中包括的报文类型指示H层协议报文,暂停报文需要进行 H层交换,暂停报文的目的MC地址为源端设备的MC地址。
[0107] 需要说明的是,对于报文类型指示报文性质,已经在实施例一中进行了描述。
[010引需要说明的是,源端设备可W为路由器或交换机或个人计算机。
[0109] S202、源端设备在第一预设时长内暂停向目的端设备发送协议类型为暂停报文中 包括的报文类型的报文。
[0110] 其中,暂停报文是协议规定的控制报文,协议规定处理暂停报文的设备,需按照暂 停报文的指示,暂停发送协议类型为暂停报文包括的报文类型的报文;网络中的设备均需 根据协议规定进行通信。
[0111] 需要说明的是,对于第一预设时长,已在实施例一中进行了详细描述。
[0112] 还需要说明的是,源端设备暂停向目的端设备发送协议类型为暂停报文中包括的 报文类型的报文的端口,通常是源端设备接收该暂停报文的端口。
[0113] 示例性的,若源端设备从端口 1接收到的暂停报文1如表5所示,源端设备判断暂 停报文的目的地址为源端设备的地址,则源端设备自接收到暂停报文1起30ms内暂停从端 口1发送报文类型为类型1的报文。
[0114] 表 5
[011引需要说明的是,在第一预设时长内,源端设备只暂停向目的端设备发送暂停报文 中包括的报文类型的报文,还可W继续发送除暂停报文中包括的报文类型W外的其他类型 的报文。
[0117] 本发明实施例提供一种防御攻击的方法,通过源端设备接收目的端设备发送的暂 停报文,暂停报文的目的地址为源端设备的地址;其中,暂停报文包括报文类型;源端设备 在第一预设时长内暂停向目的端设备发送协议类型为报文类型的报文。由于源端设备发送 的报文若被目的端设备判定为攻击报文时,目的端设备会自动向源端设备发送暂停报文, 并在暂停报文中包括被判定为攻击报文的报文类型;源端设备接收暂停报文,根据该暂停 报文在第一预设时长内暂停向目的端设备发送暂停报文包括的报文类型的报文,若被目的 端设备判定为攻击报文的报文确实为攻击报文,就避免了攻击的发生;若被目的端设备判 定为攻击报文的报文实质为正常业务的报文,由于报文会在第一预设时长之后继续发送, 送样就使得攻击的防御避免影响正常的业务。
[om] 实施例S
[0119] 本发明实施例H提供又一种防御攻击的方法;如图3所示,网络设备A通过网络设 备B W及网络设备C与外网进行通信,网络设备A的Al端口与网络设备B的Bl端口连接, 网络设备B的B2端口与网络设备C的Cl端口连接;
[0120] 假设网络设备A通过类型1的报文(H层协议报文)攻击网络设备C,郝么,网络 设备A为源端设备,网络设备C为目的端设备。
[0121] 再假设判断类型1的报文是否为攻击报文的规则为;统计在接收报文之前Is内的 接收的类型1的传输速率是否大于或等于预设阔值512肺PS ;若大于,则为攻击报文,否则, 不是攻击报文。
[0122] 本实施例W网络设备A向网络设备C发送的类型为类型1的报文3的处理过程为 例,对图1和图2所示的方法进行详细说明;假设网络设备A在向网络设备C发送报文3之 前已经向网络设备C发送了 600邸报文类型为类型1的报文;
[0123] 如图4所示,该方法可W包括:
[0124] S401、网络设备A向网络设备C发送报文3 ;
[0125] 示例性的,网络设备A从Al端口发送的报文3如表6所示,报文3的源IP地址为 网络设备A的IP地址,报文3的目的IP地址为网络设备C的IP地址,报文3的目的MC 地址为网络设备B的MC地址。
[0126] 表 6
[0127]
[0128] S402、网络设备B将报文3转发;
[0129] 示例性的,假设网络设备B接收到如表6所示的报文3,网络设备B判断报文3中 包括的目的MC地址(MAC-B)与网络设备B的MC地址(MAC-B)相同,进一步判断报文3 中包括的目的IP地址(IP-C)与网络设备B的IP地址(IP-B)不相同,因此,网络设备B将 报文3的目的MC地址修改为报文3的目的IP地址对应的下一跳的MC地址,之后转发; 其中,报文3的目的IP地址对应的下一跳的MAC地址可W由表7体现。
[0130] 网络设备B将报文3中包括的目的MC地址(MAC-B)修改为报文3中目的IP地 址(IP-C)对应的MC地址(MAC-C),修改后的报文3如表8所示;
[0131] 网络设备B从B2端口将修改后的报文3(表8所示)发出,修改后的报文3的目 的IP地址为网络设备C的IP地址,修改后的报文3的目的MC地址为网络设备C的MC 地址。
[013? 表7
[0133]
[0134] 表 8
[0135]
[0136] S403、网络设备C接收目的IP地址为网络设备C的IP地址的报文3,确定报文3 为攻击报文。
[0137] 其中,网络设备C从Cl端口接收到的报文3,是S402中修改目的MC地址后的报 文3。
[0138] 网络设备C统计在接收到报文3之前的1砂内,接收的目的IP地址为网络设备C 的IP地址的类型1的报文的传输速率为600肺P,网络设备C判断在接收到报文3之前Is 内类型1的报文的传输速率大于预设阔值,因此,确定报文3为攻击报文。
[0139] S404、网络设备C向网络设备A发送暂停报文1 ;
[0140] 示例性的,W S402中的示例为基础,网络设备C从接收报文3的端口(即Cl端 口)发送的暂停报文1可W如表9所示,暂停报文1的目的IP地址为网络设备A的IP地 址,暂停报文1的目的MC地址为与网络设备A的IP地址对应的下一跳的MC地址(即网 络设备B的MC地址)。
[0141] 表 9
[0143] S405、网络设备B将暂停报文1转发;
[0144] 示例性的,假设网络设备B接收到的暂停报文1如表9所示,网络设备B判断暂停 报文1中包括的目的MC地址(MAC-B)与网络设备B的MC地址(MAC-B)相同,进一步判 断目的IP地址(IP-A)与网络设备B的IP地址(IP-B)不相同,因此,网络设备B将暂停报 文1的目的MC地址修改为暂停报文1的目的IP地址对应的下一跳的MC地址,之后转发; 其中,暂停报文1的目的IP地址对应的下一跳的MAC地址可W由表7体现。
[014引网络设备B将暂停报文1中包括的目的MC地址(MAC-B)修改为暂停报文1中包 括的目的IP地址(IP-A)对应的MC地址(MAC-A),修改后的暂停报文1如表10所示。
[0146] 网络设备B从Bl端口发送修改后的暂停报文1,修改后的暂停报文1的目的IP地 址为网络设备A的IP地址,修改后的暂停报文的目的MC地址为网络设备A的MC地址。
[0147] 表 10 [014 引
[0149] S406、网络设备A接收目的IP地址为网络设备A的IP地址的暂停报文I,在第一 预设时长内暂停向网络设备C发送报文类型为类型1的报文。
[0150] 其中,网络设备A接收的暂停报文为S405中修改后的暂停报文1。
[0151] 示例性的,网络设备A从Al端口接收到如表10所示的修改后的暂停报文1,暂停 报文1的目的MC地址为网络设备A的MC地址,暂停报文1的目的IP地址为网络设备A 的IP地址也,网络设备A自收到暂停报文起,从Al端口暂停