一种报文处理的方法和装置的制造方法

一种报文处理的方法和装置的制造方法
【专利摘要】本申请提供一种报文处理的方法和装置，该方法包括：从第一端口接收客户端发送的数据报文，并将第一端口和数据报文中的第一MAC地址的对应关系存储至第一地址表；判断第一地址表中第一MAC地址对应的端口是否唯一；在确定第一地址表中第一MAC地址对应的端口不唯一时，对与第一MAC地址对应的端口进行攻击端口判断，以解决在MAC地址攻击场景下，接入设备无法对接收报文的端口是否为攻击端口进行判断的技术问题。
【专利说明】
一种报文处理的方法和装置
技术领域
[0001]本申请涉及互联网领域，尤其涉及一种报文处理的方法和装置。【背景技术】
[0002]在数据报文传输过程中，接入设备在接收到数据报文后，将该数据报文中的客户端的MAC(Media Access Control，媒体访问控制)地址与接收该数据报文的接收端口 1建立对应表项，从而将该MAC地址学习到该接收端口 1上，若再有客户端向接入设备的接收端口 2 发送包含相同MAC地址的数据报文的时候，接入设备会丢弃从接收端口 2接收到的数据报文。
[0003]在存在MAC地址攻击时，攻击客户端获取到客户端的MAC地址，并通过接收端口 2向接入设备持续发送包含该MAC地址的数据报文，此时，该接收端口 2相当于攻击端口，在该 MAC地址和接收端口 1的对应表项达到老化时间后，由于接入设备从接收端口 2接收数据报文，因此，接入设备根据接收的数据报文建立该MAC地址与接收端口 2的对应表项，并且由于攻击客户端通过接收端口 2向接入设备持续发送包含该MAC地址的数据报文，因此该MAC地址与接收端口 2的对应表项的老化时间一直被更新，使得该MAC地址一直学习在该接收端口 2上，从而导致接入设备无法对接收报文的端口是否为攻击端口进行判断。
【发明内容】

[0004]有鉴于此，本申请提供一种报文处理的方法和装置，以解决在MAC地址攻击场景下，接入设备无法对接收报文的端口是否为攻击端口进行判断的技术问题。
[0005]具体地，本申请是通过如下技术方案实现的:
[0006]—方面，提供一种报文处理的方法，应用于接入设备，该方法包括:从第一端口接收客户端发送的数据报文，并将所述第一端口和所述数据报文中的第一 MAC地址的对应关系存储至第一地址表;判断所述第一地址表中所述第一 MAC地址对应的端口是否唯一;在确定所述第一地址表中所述第一 MAC地址对应的端口不唯一时，对与所述第一 MAC地址对应的端口进行攻击端口判断。
[0007]另一方面，提供一种报文处理的装置，其特征在于，应用于接入设备，包括:接收单元，用于从第一端口接收客户端发送的数据报文，并将所述第一端口和所述数据报文中的第一 MAC地址的对应关系存储至第一地址表;检索单元，用于判断所述第一地址表中所述第一 M A C地址对应的端口是否唯一；攻击判断单元，用于在确定所述第一地址表中所述第一 MAC地址对应的端口不唯一时，对与所述第一 MAC地址对应的端口进行攻击端口判断。
[0008]采用上述报文处理的方法和装置，从第一端口接收客户端发送的数据报文，并将该第一端口和该数据报文中的第一 MAC地址的对应关系存储至第一地址表;判断该第一地址表中该第一 MAC地址对应的端口是否唯一;在确定该第一地址表中该第一 MAC地址对应的端口不唯一时，对与该第一 MAC地址对应的端口进行攻击端口判断。这样，在MAC地址攻击场景下，第一地址表中记录第一MAC地址的登陆过的端口，并根据第一地址表中所述第一MAC地址对应的端口是否唯一对接收数据报文的端口是否为攻击端口进行判断，从而解决在 MAC地址攻击场景下，接入设备无法对接收报文的端口是否为攻击端口进行判断的技术问题。【附图说明】
[0009]图1是本申请一示例性实施例示出的一种报文处理方法的流程示意图；
[0010]图2是本申请一示例性实施例示出的一种报文处理装置的结构示意图；
[0011]图3是本申请一示例性实施例示出的另一种报文处理的装置的结构示意图；
[0012]图4是本申请一示例性实施例示出的又一种报文处理的装置的结构示意图；
[0013]图5是本申请一示例性实施例示出的第四种报文处理的装置的结构示意图；
[0014]图6是本申请一示例性实施例示出的第五种报文处理的装置的结构示意图；
[0015]图7是本申请一示例性实施例示出的第六种报文处理的装置的结构示意图；
[0016]图8是本申请一示例性实施例示出的一种接入设备的硬件结构示意图。【具体实施方式】
[0017]这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
[0018]在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。 在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
[0019]应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当…… 时”或“响应于确定”。
[0020]本发明以下实施例可以应用于数据报文的传输，也可以应用于对客户端的portal 认证，本发明根据第一地址表中所述第一 MAC地址对应的端口是否唯一对接收数据报文的端口是否为攻击端口进行判断，从而解决在现有的MAC地址攻击场景下，接入设备无法对接收报文的端口是否为攻击端口进行判断的技术问题。
[0021]下面结合具体实施例对本发明进行进一步地说明。
[0022]图1为本发明实施例提供的一种报文处理的方法，如图1所示，该方法应用于接入设备，该方法包括:
[0023]S101、从第一端口接收客户端发送的数据报文，并将该第一端口和该数据报文中的第一 MAC地址的对应关系存储至第一地址表。
[0024]其中，接入设备可以将该对应关系以表项的形式写入第一地址表中。
[0025]S102、判断该第一地址表中该第一 MAC地址对应的端口是否唯一。
[0026]在本步骤中，接入设备可以在该第一地址表中查询与该第一MAC地址表相关的对应表项，该对应表项表示第一MAC地址与端口的对应关系，若该第一地址表中该第一MAC地址对应的表项唯一，则确定第一 MAC地址对应的端口唯一，若该第一地址表中该第一 MAC地址对应的表项不唯一，则确定第一 MAC地址对应的端口不唯一。
[0027]S103、在确定该第一地址表中该第一MAC地址对应的端口不唯一时，对与该第一 MAC地址对应的端口进行攻击端口判断。
[0028]可选地，接入设备在确定该第一地址表中该第一 MAC地址对应的端口不唯一时，删除该第二地址表中该第一MAC地址的对应关系，从而避免在对与该第一MAC地址对应的端口进行攻击端口判断前，接入设备直接根据第二地址表中的对应关系处理该数据报文。[〇〇29] 在本步骤中，可以通过以下三种方式对与该第一 MAC地址对应的端口进行攻击端口判断:
[0030]方式一、接入设备获取与该第一 MAC地址对应的端口在第一预设时间内接收该数据报文的次数;在确定该次数大于或者等于预设阈值时，确定与该第一 MAC地址对应的端口为攻击端口；在确定该次数小于该预设阈值时，确定与该第一 MAC地址对应的端口为非攻击端口。
[0031]其中，接入设备可以针对每个端口分别统计接收该数据报文的次数，并且针对不同的端口设置不同的预设阈值，这样，通过对每个端口进行独立的攻击端口判断，能够灵活的判断端口是否为攻击端口。
[0032]方式二、接入设备通过与该第一MAC地址对应的端口向该客户端发送地址请求报文;在第二预设时间内未通过与该第一 MAC地址对应的端口接收到该客户端发送的地址响应报文时，确定与该第一MAC地址对应的端口为攻击端口；在该第二预设时间内通过与该第一 MAC地址对应的端口接收到该客户端发送的地址响应报文时，从该地址响应报文中获取第二MAC地址，并判断该第二MAC地址与该第一 MAC地址是否相同；在确定该第二MAC地址与该第一 MAC地址不同时，确定与该第一 MAC地址对应的端口为攻击端口；在确定该第二MAC地址与该第一 MAC地址相同时，确定与该第一 MAC地址对应的端口为非攻击端口。[〇〇33]其中，该地址请求报文可以是ARP请求报文或者Ping请求报文。
[0034] 在该地址请求报文是ARP请求报文时，接入设备通过与该第一 MAC地址对应的端口向客户端发送ARP请求报文，其中，接入设备可以根据第一地址表中第一MAC地址对应的IP 地址向该客户端发送ARP请求报文，该IP地址为发送该数据报文的客户端的IP地址;在第二预设时间内未通过与该第一 MAC地址对应的端口接收到该客户端根据该ARP请求报文发送的ARP响应报文时，确定与该第一 MAC地址对应的端口为攻击端口；在该第二预设时间内通过与该第一 MAC地址对应的端口接收到该客户端根据该ARP请求报文发送的ARP响应报文时，从该ARP响应报文中获取第二MAC地址，并判断该第二MAC地址与该第一 MAC地址是否相同；在确定该第二MAC地址与该第一 MAC地址不同时，确定与该第一 MAC地址对应的端口为攻击端口；在确定该第二MAC地址与该第一 MAC地址相同时，确定与该第一 MAC地址对应的端口为非攻击端口。[〇〇35]在该地址请求报文是Ping请求报文时，接入设备与该第一MAC地址对应的端口向客户端发送Ping请求报文，其中，接入设备可以根据第一地址表中第一MAC地址对应的IP地址向该客户端发送Ping请求报文;在第二预设时间内未通过与该第一 MAC地址对应的端口接收到该客户端根据该Ping请求报文发送的Ping响应报文时，确定与该第一 MAC地址对应的端口为攻击端口；在该第二预设时间内通过与该第一MAC地址对应的端口接收到该客户端根据该Ping请求报文发送的Ping响应报文时，从该Ping响应报文中获取第二MAC地址，并判断该第二MAC地址与该第一 MAC地址是否相同；在确定该第二MAC地址与该第一 MAC地址不同时，确定与该第一 MAC地址对应的端口为攻击端口；在确定该第二MAC地址与该第一 MAC地址相同时，确定与该第一 MAC地址对应的端口为非攻击端口。
[0036]为了更准确的判断与该第一 MAC地址对应的端口是否为攻击端口，在本实施例中还提供一种可能的实现方式，该实现方式是将上述发送ARP请求报文和Ping请求报文相结合，具体地，接入设备与该第一MAC地址对应的端口向客户端发送ARP请求报文，在第二预设时间内未通过与该第一 MAC地址对应的端口接收到该客户端根据该ARP请求报文发送的ARP 响应报文时，确定与该第一 MAC地址对应的端口为攻击端口；在该第二预设时间内通过与该第一MAC地址对应的端口接收到该客户端根据该ARP请求报文发送的ARP响应报文时，从该 ARP响应报文中获取第二MAC地址，并判断该第二MAC地址与该第一 MAC地址是否相同；在确定该第二MAC地址与该第一 MAC地址不同时，确定与该第一 MAC地址对应的端口为攻击端口； 在确定该第二MAC地址与该第一MAC地址相同时，通过与该第一MAC地址对应的端口向该客户端发送Ping请求报文;在第四预设时间内未通过与该第一 MAC地址对应的端口接收到该客户端根据该Ping请求报文发送的Ping响应报文时，确定与该第一 MAC地址对应的端口为攻击端口；在第四预设时间内通过与该第一MAC地址对应的端口接收到该客户端根据该 Ping请求报文发送的Ping响应报文时，从该Ping响应报文中获取第三MAC地址，并判断该第三MAC地址与该第一 MAC地址是否相同:在该第三MAC地址与该第一 MAC地址不同时，确定与该第一 MAC地址对应的端口为攻击端口；在该第二MAC地址与该第一 MAC地址相同时，确定与该第一 MAC地址对应的端口为非攻击端口。[0〇37] 方式三、接入设备通过与该第一 MAC地址对应的端口向该客户端发送portal认证请求报文;在第三预设时间内未接收到该客户端发送的portal认证信息时，确定与该第一 M A C地址对应的端口为攻击端口；在接收到该客户端发送的p 〇 r t a 1认证信息时，根据该 portal认证信息判断与该第一 MAC地址对应的端口是否认证通过，在认证通过时，确定与该第一MAC地址对应的端口为非攻击端口，在认证未通过时，确定与该第一MAC地址对应的端口为攻击端口。[〇〇38]其中，上述认证信息可以是用户名和密码，本实施例对此不作限定。
[0039]需要说明的是，上述三种实现方式可以单独执行或者依次执行其中任两种实现方式，也可以按照预定顺序依次执行上述三种方式，从而更准确的判断攻击端口，其中，该预定顺序可以是先执行方式一、再执行方式二，最后执行方式三，或者先执行方式二、再执行方式一，最后执行方式三等顺序，本发明对具体的执行顺序不作限定。
[0040]下面本实施例对按照预定顺序依次执行上述三种方式进行具体的说明，以先执行方式一、再执行方式二，最后执行方式三为例:
[0041]接入设备获取与第一 MAC地址对应的端口在第一预设时间内接收该数据报文的次数;在确定该次数大于或者等于预设阈值时，确定与该第一 MAC地址对应的端口为攻击端 □ 〇
[0042]在确定该次数小于该预设阈值时，判断第一地址表中与第一MAC地址对应且接收该数据报文的次数小于该预设阈值的端口(记为第一待确定端口)是否唯一，在确定该第一待确定端口唯一时，则确定该第一待确定端口为非攻击端口，在确定该第一待确定端口不唯一时，接入设备通过该第一待确定端口向该客户端发送地址请求报文;在第二预设时间内未通过该第一待确定端口接收到该客户端发送的地址响应报文时，确定该第一待确定端口为攻击端口。
[0043]在该第二预设时间内通过该第一待确定端口接收到该客户端发送的地址响应报文时，从该地址响应报文中获取第二MAC地址，并判断该第二MAC地址与该第一 MAC地址是否相同；在确定该第二MAC地址与该第一 MAC地址不同时，确定该端口为攻击端口。
[0044]在确定该第二MAC地址与该第一 MAC地址相同时，进一步判断第一地址表中与第一 MAC地址对应且该第二MAC地址与该第一MAC地址相同的端口(记为第二待确定端口)是否唯一，在该第二待确定端口唯一时，则确定该第二待确定端口为非攻击端口，在该第二待确定端口不唯一时，接入设备通过该第二待确定端口向该客户端发送portal认证请求报文;在第三预设时间内未接收到该客户端发送的portal认证信息时，确定第二待确定端口为攻击端口；在接收到该客户端发送的portal认证信息时，根据该portal认证信息判断该第二待确定端口是否认证通过，在认证通过时，确定该第二待确定端口为非攻击端口，在认证未通过时，确定该第二待确定端口为攻击端口。
[0045]这样，通过依次执行上述方式一至方式三，从而准确的从第一 MAC地址对应的端口中确定出攻击端口和非攻击端口。
[0046]可选地，在确定该第一地址表中该第一 MAC地址对应的端口唯一时，将该对应关系存储至第二地址表，并根据该第二地址表中的该对应关系处理该数据报文。
[0047]其中，接入设备在确定该第一地址表中该第一MAC地址对应的端口唯一时，可以将该对应关系存储至第二地址表，并根据该第二地址表中的该对应关系处理该数据报文，例如，接入设备可以将该对应关系以表项的形式写入第二地址表，并根据第二地址表中的表项处理该数据报文。
[0048]需要说明的是，在本实施例中，该第一地址表中的每个表项对应有表项状态，其中，该表项状态可以包括以下三种状态:未保护状态(如表项对应的表项状态被置为N)，保护状态(如表项对应的表项状态被置为Protected)，中间状态(如表项对应的表项状态被置为Protecting)，其中，当表项的状态为未保护状态时，则将该表项同步至第二地址表；当表项的状态为保护状态时，则不向第二地址表同步该表项；当表项的状态为中间状态时，则暂时不向第二地址表同步该表项，直至该状态变更为未保护状态或者保护状态。
[0049]因此，在本步骤S103中，若确定端口为攻击端口时，可以将该第一地址表中的该端口与第一 MAC地址对应的表项的表项状态由中间状态更改为保护状态，在确定该端口为非攻击端口时，可以将该第一地址表中的该端口与第一 MAC地址对应的表项的表项状态由中间状态更改为未保护状态，并将表象状态为未保护状态的表项写入第二地址表，以便接入设备根据该第二地址表对数据报文进行处理，如转发或者认证。
[0050]在步骤S101中，接入设备在将该第一端口和该数据报文中的第一 MAC地址的对应关系存储至第一地址表后，该第一 MAC地址与第一端口在第一地址表中的表项默认为中间状态。[0051 ]下面对在确定该第一地址表中该第一 MAC地址对应的端口唯一时，接入设备对数据报文的处理进行详细说明。
[0052]在本实施例中，接入设备对数据报文的处理可以包括以下两种情况，一种情况是接入设备在确定第二地址表中包括该对应关系时，直接转发该数据报文;在另一种情况中， 该数据报文可以是portal认证请求报文，则接入设备在确定第二地址表中包括该对应关系时，根据该portal认证请求报文对该客户端进行portal认证，具体地portal认证可以包括以下两种实现方式:一种实现方式是通过认证服务器进行认证，接入设备在接收到客户端发送的portal认证请求报文后，通过Web认证页面提示用户输入认证信息(如用户名和密码)，并在接收到该认证信息后，将该认证信息发送至认证服务器，并接收该认证服务器根据该认证信息发送的认证确认消息，该认证确认消息用于指示该客户端的认证是否通过， 认证服务器在确定认证信息与存储的该客户端的认证信息相同，则确定认证通过，并向接入设备发送指示认证通过的认证确认消息;认证服务器在确定认证信息与存储的该客户端的认证信息不同，则确定认证未通过，并向接入设备发送指示认证未通过的认证确认消息。 [〇〇53]另一种实现方式是接入设备在本地进行认证，其中，接入设备存储有用户注册的认证信息，接入设备在接收到客户端发送的portal认证请求报文后，通过Web认证页面提示用户输入认证信息，并在接收到该认证信息后，若确定认证信息与存储的该客户端的认证信息相同，则确定认证通过;若确定认证信息与存储的该客户端的认证信息不同，则确定认证未通过。[〇〇54] 采用上述方法，在MAC地址攻击场景下，第一地址表中记录第一MAC地址的登陆过的端口，并根据第一地址表中所述第一MAC地址对应的端口是否唯一对接收数据报文的端口是否为攻击端口进行判断，从而解决在MAC地址攻击场景下，接入设备无法对接收报文的端口是否为攻击端口进行判断的技术问题。
[0055]图2为本发明实施例提供的一种报文处理的装置，应用于接入设备，如图2所示，该装置包括:
[0056]接收单元201，用于从第一端口接收客户端发送的数据报文，并将该第一端口和该数据报文中的第一 MAC地址的对应关系存储至第一地址表；[〇〇57] 检索单元202，用于判断该第一地址表中该第一 MAC地址对应的端口是否唯一； [〇〇58] 攻击判断单元203,用于在确定该第一地址表中该第一MAC地址对应的端口不唯一时，对与该第一 MAC地址对应的端口进行攻击端口判断。[〇〇59] 可选地，如图3所示，该装置还包括:处理单元204，用于在确定该第一地址表中该第一 MAC地址对应的端口唯一时，将该对应关系存储至第二地址表;根据该第二地址表中的该对应关系处理该数据报文。
[0060] 可选地，如图4所示，该攻击判断单元203包括:[〇〇611获取模块2031，用于获取与该第一MAC地址对应的端口在第一预设时间内接收该数据报文的次数；[〇〇62]确定模块2032,用于在确定该次数大于或者等于预设阈值时，确定与该第一 MAC地址对应的端口为攻击端口；在确定该次数小于该预设阈值时，确定与该第一 MAC地址对应的端口为非攻击端口。[〇〇63] 可选地，如图5所示，该攻击判断单元203包括:[〇〇64] 发送模块2033,用于通过与该第一MAC地址对应的端口向该客户端发送地址请求报文；
[0065]确定模块2034,用于在第二预设时间内未通过与该第一MAC地址对应的端口接收到该客户端发送的地址响应报文时，确定与该第一 MAC地址对应的端口为攻击端口；[〇〇66]判断模块2035,用于在该第二预设时间内通过与该第一MAC地址对应的端口接收到该客户端发送的地址响应报文时，从该地址响应报文中获取第二MAC地址，并判断该第二 MAC地址与该第一 MAC地址是否相同；[〇〇67] 该确定模块2034,用于在确定该第二MAC地址与该第一MAC地址不同时，确定与该第一 MAC地址对应的端口为攻击端口；在确定该第二MAC地址与该第一 MAC地址相同时，确定与该第一 MAC地址对应的端口为非攻击端口。[〇〇68] 可选地，如图6所示，该攻击判断单元203包括:[0〇69] 发送模块2036，用于通过与该第一MAC地址对应的端口向该客户端发送portal认证请求报文；[0〇7〇]确定模块2037,用于在第三预设时间内未接收到该客户端发送的portal认证信息时，确定与该第一 MAC地址对应的端口为攻击端口；在接收到该客户端发送的portal认证信息时，根据该portal认证信息判断与该第一 MAC地址对应的端口是否认证通过;在认证通过时，确定与该第一MAC地址对应的端口为非攻击端口，在认证未通过时，确定与该第一MAC地址对应的端口为攻击端口。
[0071] 可选地，如图7所示，该装置还包括:删除单元205,用于删除该第二地址表中该第一 MAC地址的对应关系。[〇〇72] 采用上述装置，在MAC地址攻击场景下，第一地址表中记录第一MAC地址的登陆过的端口，并根据第一地址表中所述第一MAC地址对应的端口是否唯一对接收数据报文的端口是否为攻击端口进行判断，从而解决在MAC地址攻击场景下，接入设备无法对接收报文的端口是否为攻击端口进行判断的技术问题。[〇〇73]本申请的报文处理的装置的实施例可以应用在接入设备上。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在接入设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，如图8所示，为本申请报文处理的装置所在接入设备的一种硬件结构图，除了图8所示的处理器、内存、网络接口、以及非易失性存储器之夕卜，还可以包括其他硬件，对此不再赘述。
[0074]上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。
[0075]对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
[0076]以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。
【主权项】
1.一种报文处理的方法，其特征在于，应用于接入设备，该方法包括:从第一端口接收客户端发送的数据报文，并将所述第一端口和所述数据报文中的第一 媒体访问控制MAC地址的对应关系存储至第一地址表；判断所述第一地址表中所述第一 MAC地址对应的端口是否唯一；在确定所述第一地址表中所述第一 MAC地址对应的端口不唯一时，对与所述第一 MAC地 址对应的端口进行攻击端口判断。2.根据权利要求1所述的方法，其特征在于，在判断所述第一地址表中所述第一 MAC地 址对应的端口是否唯一之后，所述方法还包括:在确定所述第一地址表中所述第一 MAC地址对应的端口唯一时，将所述对应关系存储 至第二地址表；根据所述第二地址表中的所述对应关系处理所述数据报文。3.根据权利要求1所述的方法，其特征在于，所述对与所述第一 MAC地址对应的端口进 行攻击端口判断包括:获取与所述第一 MAC地址对应的端口在第一预设时间内接收所述数据报文的次数；在确定所述次数大于或者等于预设阈值时，确定与所述第一MAC地址对应的端口为攻 击端口；在确定所述次数小于所述预设阈值时，确定与所述第一MAC地址对应的端口为非攻击端口。4.根据权利要求1所述的方法，其特征在于，所述对与所述第一 MAC地址对应的端口进 行攻击端口判断包括:通过与所述第一MAC地址对应的端口向所述客户端发送地址请求报文；在第二预设时间内未通过与所述第一 MAC地址对应的端口接收到所述客户端发送的地 址响应报文时，确定与所述第一 MAC地址对应的端口为攻击端口；在所述第二预设时间内通过与所述第一 MAC地址对应的端口接收到所述客户端发送的 地址响应报文时，从所述地址响应报文中获取第二MAC地址，并判断所述第二MAC地址与所 述第一 MAC地址是否相同；在确定所述第二MAC地址与所述第一MAC地址不同时，确定与所述第一MAC地址对应的 端口为攻击端口；在确定所述第二MAC地址与所述第一MAC地址相同时，确定与所述第一MAC地址对应的 端口为非攻击端口。5.根据权利要求1所述的方法，其特征在于，所述对与所述第一 MAC地址对应的端口进 行攻击端口判断包括:通过与所述第一 MAC地址对应的端口向所述客户端发送portal认证请求报文；在第三预设时间内未接收到所述客户端发送的portal认证信息时，确定与所述第一 MAC地址对应的端口为攻击端口；在接收到所述客户端发送的portal认证信息时，根据该portal认证信息判断与该第一 MAC地址对应的端口是否认证通过;在认证通过时，确定与所述第一 MAC地址对应的端口为 非攻击端口，在认证未通过时，确定与所述第一MAC地址对应的端口为攻击端口。6.根据权利要求2至5任一项所述的方法，其特征在于，在所述对与所述第一 MAC地址对应的端口进行攻击端口判断之前，所述方法还包括:删除所述第二地址表中所述第一 MAC地址的对应关系。7.—种报文处理的装置，其特征在于，应用于接入设备，包括:接收单元，用于从第一端口接收客户端发送的数据报文，并将所述第一端口和所述数 据报文中的第一 MAC地址的对应关系存储至第一地址表；检索单元，用于判断所述第一地址表中所述第一 MAC地址对应的端口是否唯一；攻击判断单元，用于在确定所述第一地址表中所述第一 MAC地址对应的端口不唯一时， 对与所述第一 MAC地址对应的端口进行攻击端口判断。8.根据权利要求7所述的装置，其特征在于，所述装置还包括:处理单元，用于在确定所述第一地址表中所述第一 MAC地址对应的端口唯一时，将所述 对应关系存储至第二地址表;根据所述第二地址表中的所述对应关系处理所述数据报文。9.根据权利要求7所述的装置，其特征在于，所述攻击判断单元包括:获取模块，用于获取与所述第一MAC地址对应的端口在第一预设时间内接收所述数据 报文的次数；确定模块，用于在确定所述次数大于或者等于预设阈值时，确定与所述第一 MAC地址对 应的端口为攻击端口；在确定所述次数小于所述预设阈值时，确定与所述第一 MAC地址对应 的端口为非攻击端口。10.根据权利要求7所述的方法，其特征在于，所述攻击判断单元包括:发送模块，用于通过与所述第一MAC地址对应的端口向所述客户端发送地址请求报文；确定模块，用于在第二预设时间内未通过与所述第一MAC地址对应的端口接收到所述 客户端发送的地址响应报文时，确定与所述第一 MAC地址对应的端口为攻击端口；判断模块，用于在所述第二预设时间内通过与所述第一 MAC地址对应的端口接收到所 述客户端发送的地址响应报文时，从所述地址响应报文中获取第二MAC地址，并判断所述第 二MAC地址与所述第一 MAC地址是否相同；所述确定模块，用于在确定所述第二MAC地址与所述第一MAC地址不同时，确定与所述 第一 MAC地址对应的端口为攻击端口；在确定所述第二MAC地址与所述第一 MAC地址相同时， 确定与所述第一 MAC地址对应的端口为非攻击端口。11.根据权利要求7所述的装置，其特征在于，所述攻击判断单元包括:发送模块，用于通过与所述第一MAC地址对应的端口向所述客户端发送portal认证请 求报文；确定模块，用于在第三预设时间内未接收到所述客户端发送的portal认证信息时，确 定与所述第一 MAC地址对应的端口为攻击端口；在接收到所述客户端发送的portal认证信 息时，根据该portal认证信息判断与该第一 MAC地址对应的端口是否认证通过;在认证通过 时，确定与所述第一MAC地址对应的端口为非攻击端口，在认证未通过时，确定与所述第一 MAC地址对应的端口为攻击端口。12.根据权利要求8至11任一项所述的装置，其特征在于，所述装置还包括:删除单元，用于删除所述第二地址表中所述第一 MAC地址的对应关系。
【文档编号】H04L29/06GK105978859SQ201610263705
【公开日】2016年9月28日
【申请日】2016年4月25日
【发明人】王岳宁
【申请人】杭州华三通信技术有限公司