设备90可W包括:
[0185] 至少一个处理器901、存储器902、总线903, W太网端口 904;
[0186] 处理器901可W是一个CPU,访问存储器902。
[0187] 存储器902用于存储程序代码,并将该程序代码传输给该处理器901,处理器901 根据程序代码执行下述步骤。存储器902可W是易失性存储器(英文;volatile memory), 例如RAM ;或者非易失性存储器(英文;non-volatile memcxry),例如ROM,快闪存储器(英 文;flash memo巧),皿D或SSD ;或者上述种类的存储器的组合。
[0188] 其中,处理器901,用于通过W太网端口 904接收目的端设备发送的暂停报文,所 述暂停报文的目的地址为该网络设备90的地址;其中,暂停报文包括报文类型。
[0189] 处理器901,用于若接收到暂停报文,在第一预设时长内暂停向所述目的端设备发 送所述报文类型的报文。
[0190] 具体的,若报文类型指示二层协议报文,目的地址为第一目的MC地址。
[0191] 若所述报文类型指示H层协议报文,目的地址为目的IP地址。
[0192] 本发明实施例提供一种网络设备90,通过接收目的端设备发送的暂停报文,暂停 报文的目的地址为所述源端设备的地址;其中,暂停报文包括报文类型;在第一预设时长 内暂停向目的端设备发送暂停报文中包括的报文类型的报文。由于发送的报文若被目的端 设备判定为攻击报文时,目的端设备会自动发送暂停报文,并在暂停报文中包括被判定为 攻击报文的报文类型;网络设备90接收暂停报文,根据该暂停报文在第一预设时长内暂停 向目的端设备发送暂停报文包括的报文类型的报文,若被目的端设备判定为攻击报文的报 文确实为攻击报文,就避免了攻击的发生;若被目的端设备判定为攻击报文的报文实质为 正常业务的报文,由于报文会在第一预设时长之后继续发送,送样就使得攻击的防御避免 影响正常的业务。
[0193] 在本申请所提供的几个实施例中,应该理解到,所掲露的系统,装置和方法,可W 通过其它的方式实现。例如,W上所描述的装置实施例仅仅是示意性的,例如,所述单元的 划分,仅仅为一种逻辑功能划分,实际实现时可W有另外的划分方式,例如多个单元或组件 可W结合或者可W集成到另一个系统。另一点,所显示或讨论的相互之间的禪合或直接禪 合或通信连接可W是通过一些接口,装置或单元的间接禪合或通信连接,可W是电性或其 它的形式。
[0194] 所述作为分离部件说明的单元可W是或者也可W不是物理上分开的,作为单元显 示的部件可W是或者也可W不是物理单元,即可W位于一个地方,或者也可W分布到多个 网络单元上。
[0195] 另外,在本发明各个实施例中的各功能单元可W集成在一个处理单元中,也可W 是各个单元单独物理包括,也可W两个或两个W上单元集成在一个单元中。上述集成的单 元既可W采用硬件的形式实现,也可W采用硬件加软件功能单元的形式实现。
[0196] 上述W软件功能单元的形式实现的集成的单元,可W存储在一个计算机可读取存 储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用W使得一台计算机 设备(可W是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的部 分步骤。而前述的存储介质包括;快闪存储器(英文;flash memory)、移动硬盘、R0M、RAM、 磁碟或者光盘等各种可W存储程序代码的介质。
[0197] 最后应说明的是;W上实施例仅用W说明本发明的技术方案,而非对其限制;尽 管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然 可W对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替 换;而送些修改或者替换,并不使相应技术方案脱离权利要求的范围。
【主权项】
1. 一种防御攻击的方法,其特征在于,所述方法包括: 目的端设备接收源端设备发送的报文;其中,所述报文的目的地址为第一目的地址,所 述第一目的地址为所述目的端设备的地址,所述报文的源地址为所述源端设备的地址; 若所述报文为攻击报文,所述目的端设备向所述源端设备发送暂停报文;其中,所述暂 停报文包括所述攻击报文的报文类型以指示所述源端设备在第一预设时长内暂停向所述 目的端设备发送协议类型为所述报文类型的报文; 所述暂停报文的目的地址为第二目的地址,所述第二目的地址为所述源端设备的地 址。2. 根据权利要求1所述的方法,其特征在于, 若所述报文为二层协议报文,所述源地址为源媒体访问控制MAC地址,所述第一目的 地址为第一目的MAC地址; 若所述报文为三层协议报文,所述源地址为源互联网协议IP地址,所述第一目的地址 为目的IP地址;所述暂停报文的目的MAC地址为与所述源IP地址对应的MAC地址。3. 根据权利要求1或2所述的方法,其特征在于,在所述接收源端设备发送的报文之 后,所述方法还包括: 统计在接收所述报文之前的第二预设时长内,接收到的所述第一目的地址为所述目的 端设备的地址的协议类型为所述报文类型的报文的传输速率; 若所述传输速率大于或等于预设阈值,则确定所述报文为攻击报文。4. 一种防御攻击的方法,其特征在于,所述方法包括: 源端设备接收目的端设备发送的暂停报文,所述暂停报文的目的地址为所述源端设备 的地址;其中,所述暂停报文包括报文类型; 在第一预设时长内暂停向所述目的端设备发送协议类型为所述报文类型的报文。5. 根据权利要求4所述的方法,其特征在于, 若所述报文类型指示二层协议报文,所述目的地址为第一目的媒体访问控制MAC地 址; 若所述报文类型指示三层协议报文,所述目的地址为目的互联网协议IP地址。6. -种防御攻击的装置,其特征在于,包括于源端设备,所述装置包括: 接收单元,用于接收源端设备发送的报文;其中,所述报文的目的地址为第一目的地 址,所述第一目的地址为所述目的端设备的地址,所述报文的源地址为所述源端设备的地 址; 发送单元,用于若所述报文为攻击报文,向所述源端设备发送暂停报文;其中,所述暂 停报文包括所述攻击报文的报文类型以指示所述源端设备在第一预设时长内暂停向所述 目的端设备发送协议类型为所述报文类型的报文; 所述暂停报文的目的地址为第二目的地址,所述第二目的地址为所述源端设备的地 址。7. 根据权利要求6所述的装置,其特征在于, 若所述报文为二层协议报文,所述源地址为源媒体访问控制MAC地址,所述第一目的 地址为第一目的MAC地址; 若所述报文为三层协议报文,所述源地址为源互联网协议IP地址,所述第一目的地址 为目的IP地址;所述暂停报文的目的MAC地址为与所述源IP地址对应的MAC地址。8. 根据权利要求6或7所述的装置,其特征在于,所述装置还包括: 统计单元,用于统计在接收所述报文之前的第二预设时长内,接收到的所述第一目的 地址为所述目的端设备的地址的协议类型为所述报文类型的报文的传输速率; 确定单元,用于若所述传输速率大于或等于预设阈值,则确定所述报文为攻击报文。9. 一种防御攻击的装置,其特征在于,包括于源端设备,所述装置包括: 接收单元,用于接收目的端设备发送的暂停报文,所述暂停报文的目的地址为所述源 端设备的地址;其中,所述暂停报文包括报文类型; 发送单元,用于若所述接收单元接收到暂停报文,在第一预设时长内暂停向所述目的 端设备发送所述报文类型的报文。10. 根据权利要求9所述的装置,其特征在于, 若所述报文类型指示二层协议报文,所述目的地址为第一目的媒体访问控制MAC地 址; 若所述报文类型指示三层协议报文,所述目的地址为目的互联网协议IP地址。
【专利摘要】本发明实施例提供一种防御攻击的方法及装置,涉及通信技术领域,实现了避免影响正常业务的攻击防御;本发明提供的方案包括:目的端设备接收源端设备发送的报文;其中,报文的目的地址为第一目的地址,第一目的地址为目的端设备的地址,所述报文的源地址为源端设备的地址;若报文为攻击报文,目的端设备向源端设备发送暂停报文;其中,暂停报文包括攻击报文的报文类型以指示源端设备在第一预设时长内暂停向目的端设备发送协议类型为报文类型的报文;暂停报文的目的地址为第二目的地址,第二目的地址为源端设备的地址。本发明用于报文处理防御攻击。
【IPC分类】H04L29/06
【公开号】CN105704097
【申请号】CN201410695795
【发明人】周广证, 刘飞, 管志宾, 张帅
【申请人】华为数字技术(苏州)有限公司
【公开日】2016年6月22日
【申请日】2014年11月26日