網絡攻擊的防禦方法及裝置、網絡設備的製作方法

2023-05-21 16:11:31

專利名稱：網絡攻擊的防禦方法及裝置、網絡設備的製作方法
技術領域：
本發明涉及數據通信系統，具體地，涉及一種網絡攻擊的防禦方法及裝置、網絡設備。
背景技術：
目前，在大型網絡中，通常在接入交換機上部署接入控制安全功能，以防禦網絡攻擊。例如，在如圖I中所示的網絡中，接入交換機SWl通過Portl-Port4連接個人電腦(PC， Personal Computer) PC1-PC4，接入交換機 SW2 通過 Portl_Port3 連接 PC5-PC7，Sffl 分別通過Port5、Port6連接至匯聚交換機SW3的Port I、SW4的Portl, Sff 2通過Port4連接至匯聚交換機SW5的Portl，SW3與SW4之間均通過Port2連接，SW3通過port3連接至核心交換機SW8的port2, SW4通過port3連接至SW8的portl, SW5通過port2連接至核心交換機 SW6的portl，SW6與核心交換機SW7分別通過port2連接，SW6與SW8分別通過port3連接，SW8通過port4與SW7的portl連接，在接入交換機SWl、SW2上部署接入控制安全功能， 例如802. lx、WEB認證等，能夠有效地控制接入PC的身份合法性，接入交換機只轉發來自合法的網際網路協議(IP, Internet Protocol)和媒體接入控制(MAC,Media Access Control) 地址的PC發出的報文。目前雖然通過控制用戶的身份能夠防禦非法用戶發起的網絡攻擊，但是，上述方法無法防禦具備合法身份的用戶發起的攻擊，即具備合法的IP+MAC地址的PC，也發起非法的網絡攻擊，這種可能是用戶有意的攻擊、也可能是因為感染病毒後由病毒自動發起的攻擊。例如圖I所示，PCl使用合法的IP+MAC正在對核心交換機SW7攻擊，攻擊報文由PCl發至SWl的portl, SWl將攻擊報文經由port5發至SW3的portl, SW3將攻擊報文經由port3 發至SW8的port2，SW8將攻擊報文經由port4發至SW7的portl。目前，現有技術中有兩種方法來應對由合法用戶發起的網絡攻擊，具體如下所述。第一種方法是在交換機SW7上配置基礎網絡保護策略(NFPP，Network Foundation Protection Policy)來防禦合法用戶發起的網絡攻擊,該策略能夠對攻擊報文進行限速、 對攻擊用戶進行隔離。但是這種方法只是對攻擊報文進行限速，攻擊報文依然在網絡中存在，極大的浪費了網絡的帶寬，例如，在圖I中，SW7所處的位置是核心交換機，下聯的用戶比較多，若存在大量攻擊的話，需要浪費很多的硬體資源去隔離這些攻擊用戶，若被攻擊者為路由器，每個攻擊報文都會送給SW7的CPU，需要使用SW7軟體資源對攻擊源進行判斷是否過濾，極大地佔用了軟體資源，降低了 CPU處理正常業務的性能，並且即使隔離了該報文對SW7造成的攻擊，該攻擊報文流依然在網絡中存在，極大地浪費了網絡的帶寬。第二種方法是被攻擊的設備通過發送告警信息給網絡管理員，由網絡管理員去查找攻擊者具體在哪臺交換機上，然後在該交換機上通過手動綁定一條過濾表項、來過濾掉該攻擊源，或者通過對稱多處理器結構(SMP, Symmetric Multi-Processor)伺服器來對交換機下發阻斷策略，過濾掉該攻擊報文。但是，這種方法需要人工來查找定位攻擊源，處理過程費時費力效率低下。
綜上所述，可見在現有技術中，對於合法用戶發起的攻擊、網絡中存在大量轉發的攻擊報文、浪費網絡帶寬資源、佔用網絡設備系統處理資源的問題。

發明內容
有鑑於此，本發明實施例提供了一種網絡攻擊的防禦方法，用以解決現有技術中對於合法用戶發起的攻擊、網絡中存在大量轉發的攻擊報文、浪費網絡帶寬資源、佔用網絡設備系統處理資源的問題。相應地，本發明實施例還提供了一種網絡攻擊的防禦裝置及網絡設備。本發明實施例的技術方案如下一種網絡攻擊的防禦方法，包括網絡設備監測受到網絡攻擊後，獲取攻擊報文的源地址信息和類型信息；判斷接收到該攻擊報文的埠是否為預設的攻擊隔離點；在判斷該埠是攻擊隔離點的情況下，將獲取的攻擊報文的源地址信息和類型信息綁定在該埠上；在判斷該埠不是攻擊隔離點的情況下，構建包括獲取的攻擊報文的源地址信息和類型信息的隔離報文，將構建的隔離報文發送給與該埠相連接的網絡設備。一種網絡攻擊的防禦裝置，包括獲取模塊，用於在網絡設備監測受到攻擊後，獲取攻擊報文的源地址信息和類型信息；第一判斷模塊，用於判斷接收到該攻擊報文的埠是否預設為攻擊隔離點；綁定模塊，用於在所述第一判斷模塊判斷該埠是攻擊隔離點的情況下，將所述獲取模塊獲取的攻擊報文的源地址信息和類型信息綁定在該埠上；構建模塊，用於在所述第一判斷模塊判斷該埠不是攻擊隔離點的情況下，構建包括所述獲取模塊獲取的攻擊報文的源地址信息和類型信息的隔離報文；發送模塊，用於將所述構建模塊構建的隔離報文發送給與該埠相連接的網絡設備。一種網絡攻擊的防禦方法，包括網絡設備接收到隔離報文後，根據該隔離報文中的攻擊報文源地址信息，判斷網絡設備接收到該隔離報文中所指示的攻擊報文的埠是否為預設的攻擊隔離點；在判斷該埠是攻擊隔離點的情況下，將該隔離報文中的攻擊報文源地址信息和類型信息綁定在該埠上；在判斷該埠不是攻擊隔離點的情況下，將接收到的隔離報文發送給與該埠相連接的網絡設備。一種網絡攻擊的防禦裝置，包括接收模塊，用於接收隔離報文；第一判斷模塊， 用於根據所述接收模塊接收到的隔離報文中的攻擊報文源地址信息、判斷網絡設備接收到該隔離報文所指示的攻擊報文的埠是否為預設的攻擊隔離點；綁定模塊，用於在所述第一判斷模塊判斷該埠是攻擊隔離點的情況下，將所述接收模塊接收到的隔離報文中的攻擊報文源地址信息和類型信息綁定在該埠上；發送模塊，用於在所述第一判斷模塊判斷該埠不是攻擊隔離點的情況下，將所述接收模塊接收到的隔離報文發送給與接收到所述攻擊報文的埠相連接的網絡設備。一種網絡設備，包括如上所述的第一種網絡攻擊的防禦裝置和/或第二種網絡攻擊的防禦裝置。在本發明實施例中，受到網絡攻擊的網絡設備判斷接收到攻擊報文的埠為預設的攻擊隔離點時，將攻擊報文的源地址信息和類型信息綁定在該埠上，判斷該埠不是預設的攻擊隔離點時，構建包括獲取攻擊報文的源地址信息和類型信息的隔離報文，將構建的隔離報文發送給與該埠相連接的網絡設備；接收到隔離報文的網絡設備，判斷接收到攻擊報文的埠為預設的攻擊隔離點時，將攻擊報文的源地址信息和類型信息綁定在該埠上，判斷該埠不是預設的攻擊隔離點時，將接收到的隔離報文發送給與接收到攻擊報文的埠相連接的網絡設備，能夠通過預設為攻擊隔離點的埠過濾掉攻擊報文，能夠減少網絡中多餘轉發的攻擊報文，釋放網絡帶寬資源、提高網絡帶寬的利用率，減少佔用的網絡設備系統處理資源、提高網絡設備系統處理資源的利用率，從而能夠解決現有技術中、 對於合法用戶發起的攻擊、網絡中存在大量轉發的攻擊報文、浪費網絡帶寬資源、佔用網絡設備系統處理資源的問題。本發明的其它特徵和優點將在隨後的說明書中闡述，並且，部分地從說明書中變得顯而易見，或者通過實施本發明而了解。本發明的目的和其他優點可通過在所寫的說明書、權利要求書、以及附圖中所特別指出的結構來實現和獲得。


圖I為現有技術中網絡拓撲結構示意圖2為根據本發明實施例的網絡攻擊的防禦方法的工作流程圖3為圖2所示方法的優選實施處理方式的工作流程圖4為根據本發明實施例的網絡攻擊的防禦裝裝置的結構框圖5為圖4所示裝置的優選實施方式的結構框圖6為根據發明實施例的網絡攻擊的防禦方法的另一種工作流程圖7為圖6所示方法的優選實施處理方式的工作流程圖8為根據本發明實施例的網絡攻擊的防禦裝置的結構框圖9為圖8所示裝置的優選實施方式的結構框圖10為根據本發明實施例具體應用的網絡攻擊的防禦系統的結構示意圖。
具體實施方式
以下結合附圖對本發明的實施例進行說明，應當理解，此處所描述的實施例僅用於說明和解釋本發明，並不用於限定本發明。
針對現有技術中、對於合法用戶發起的攻擊、網絡中存在大量轉發的攻擊報文、浪
費網絡帶寬資源、佔用系統處理資源的問題，本發明實施例提出了一種網絡攻擊的防禦方案，以解決該問題。本發明實施例提供的網絡攻擊的防禦方案中，首先提供了一種對攻擊報文的隔離機制。該隔離機制包括預先將選定的網絡設備的埠設置為攻擊隔離點；網絡設備受到網絡攻擊後，判斷接收到攻擊報文的埠為預先設置的攻擊隔離點時，將攻擊報文的源地址信息和類型信息綁定在該埠上，以使該埠對後續接收到的攻擊報文進行過濾隔離，判斷接收到攻擊報文的埠不是預設的攻擊隔離點時，構建包括攻擊報文的源地址信息和類型信息的隔離報文，將該隔離報文發送給與該埠相連接的網絡設備；接收到隔離報文的網絡設備，判斷接收到隔離報文中所指示的攻擊報文的埠是預設的攻擊隔離點時，將隔離報文中攜帶的攻擊報文的源地址信息和類型信息綁定在接收到攻擊報文的埠上，以使該埠對後續接收到的攻擊報文進行過濾隔離，判斷該埠不是預設的攻擊隔離點時，將接收到的隔離報文發送給與該埠相連接的網絡設備。通過上述方案，能夠通過預設的攻擊隔離點(即網絡設備上接收到攻擊報文的埠)將攻擊報文隔離在該攻擊隔離點之外，減少網絡中多餘轉發的攻擊報文、提高網絡帶寬利用率，減少攻擊報文佔用的網絡系統資源、提高網絡系統處理資源的利用率。本發明實施例提供的網絡攻擊的防禦方案中，還提供了一種隔離確認機制和一種隔離無效後的補救機制。下面對本發明實施例進行詳細說明。圖2示出了根據本發明實施例的網絡攻擊的防禦方法的工作流程圖，如圖I所示， 該方法包括如下處理過程。步驟21、網絡設備監測受到網絡攻擊後，獲取攻擊報文的源地址信息和類型信步驟22、判斷接收到該攻擊報文的埠是否為預設的攻擊隔離點；步驟23、在判斷該埠是攻擊隔離點的情況下，將獲取的攻擊報文的源地址信息和類型信息綁定在該埠上；步驟24、在判斷該埠不是攻擊隔離點的情況下，構建包括獲取的攻擊報文的源地址信息和類型信息的隔離報文，將構建的隔離報文發送給與該埠相連接的網絡設備。網絡設備受到網絡攻擊後，在判斷接收到攻擊報文的埠是預設的攻擊隔離點的情況下，將攻擊報文的源地址信息和類型信息綁定在該埠上，以使該埠對後續接收到的攻擊報文進行過濾隔離，能夠對合法用戶發送的網絡攻擊報文進行隔離，並將攻擊報文隔離在網絡設備上預設為攻擊隔離點的埠之外，減少網絡上多餘轉發的攻擊報文、減少攻擊報文佔用的網絡帶寬、提高網絡帶寬的利用率，減少網絡設備對攻擊報文的處理、釋放網絡設備的系統處理資源、提高網絡設備的系統處理效率，從而能夠解決現有技術中存在的對於合法用戶發起的攻擊、網絡中存在大量轉發的攻擊報文、浪費網絡帶寬資源、佔用系統處理資源的問題。圖3示出了圖2所示方法的優選實施處理方式，如圖3所示，該優選處理方式包括如下過程。步驟31、預先對選定的網絡設備的埠設置攻擊隔離點標識，具體地，可以根據網絡實際運行的需要、將網絡設備上連接下層網絡設備的一個或多個物理埠設置為攻擊隔離點，或者根據需要選定網絡上特定位置上的網絡設備的物理埠作為攻擊隔離點，例如， 根據實際需要，可以選擇匯聚層網絡設備的埠作為攻擊隔離點，或者選擇接入層網絡設備的埠作為攻擊隔離點；步驟32、監測網絡設備受到網絡攻擊後，獲取攻擊報文的源地址信息和類型信步驟33、判斷接收到該攻擊報文的埠是否預設為攻擊隔離點，具體包括判斷接收到攻擊報文的埠已經設置有攻擊隔離點標識的情況下，確定該埠是攻擊隔離點， 處理進行到步驟34 ;判斷接收到攻擊報文的埠沒有設置攻擊隔離點標識的情況下，確定該埠不是攻擊隔離點，處理進行到步驟35 ；步驟34、將獲取的攻擊報文的源地址信息和類型信息綁定在接收到攻擊報文的埠上，以使該埠對後續接收到的攻擊報文進行過濾；一種優選的方式，將源地址信息相同、類型不同的多個攻擊報文合併為一條記錄綁定在該埠上，該記錄用於指示對來自該相同源地址的報文均進行過濾；一種優選的方式，在接收到攜帶有隔離失敗信息的隔離報文後，將隔離報文中的攻擊報文源地址信息和類型信息綁定在接收到攜帶有隔離失敗信息的隔離報文的埠上，以使該埠對後續接收到的攻擊報文進行過濾；處理結束。步驟35、構建包括獲取的攻擊報文的源地址信息和類型信息的隔離報文；一種優選的方式，在隔離報文中設置對攻擊報文進行過濾隔離的時長信息；步驟36、根據攻擊報文的源地址信息中包括的源網際網路協議IP位址信息，判斷網絡設備自身與源攻擊設備是否處於直連網段，在判斷處於直連網段的情況下，處理進行到步驟37 ;在判斷處於非直連網段的情況下，處理進行到步驟38 ；步驟37、將構建的隔離報文組播發送給與接收到攻擊報文的埠相連接的網絡設備，處理進行到步驟39 ；步驟38、將構建隔離報文單播發送給與接收到攻擊報文的埠相連接的、轉發該攻擊報文的網絡設備；一種優選的方式，在攻擊報文的源地址信息中還包括攻擊報文的源媒體接入控制MAC地址信息的情況下，將構建的隔離報文中的攻擊報文源MAC地址信息設置為零，在現有技術中，在網絡設備接收到的轉發的報文中，MAC地址並不是發送該報文的源設備的MAC地址，而是上一次轉發該報文的網絡設備的MAC地址，因此，攻擊報文中的MAC 地址並不是發起網絡攻擊的設備的MAC地址，而且上一次轉發攻擊報文的網絡設備的MAC 地址，根據攻擊報文中的MAC地址去尋址將會導致定位到錯誤的網絡設備上，所以，此處將構建的隔離報文中的攻擊報文源MAC地址信息設置為零，並將設置後的隔離報文單播發送給與接收到攻擊報文的埠相連接的、轉發該攻擊報文網絡設備；步驟39、在預定時間內未接收到隔離成功消息的情況下，在構建的隔離報文中添加找不到攻擊隔離點的信息，將添加後的隔離報文組播發送給與接收到攻擊報文的埠相連接的網絡設備。通過圖3所示的處理過程，網絡設備受到網絡攻擊後，在接收到攻擊報文的埠是預設的攻擊隔離點的情況下，能夠將攻擊報文的源地址信息和類型信息綁定在作為攻擊隔離點的埠上、以使該攻擊隔離點對後續接收到的攻擊報文進行過濾隔離，能夠減少網絡上轉發的攻擊報文，當具有攻擊隔離點的網絡設備位於較低的網絡架構層次上時，就能夠過濾隔離更多的攻擊報文、更顯著地減少網絡上多餘轉發的攻擊報文，相應地能夠減少網絡設備對攻擊報文的處理，減少攻擊報文佔用的網絡設備的系統處理資源，提高網絡設備的系統處理效率。在圖3所示的處理過程中，判斷攻擊源設備與網絡設備自身是否處於直連網段、 以對隔離報文進行組播或單播發送，能夠對網絡設備和攻擊源設備之間的網絡關係進行區別、以節約網絡設備及網絡系統的處理資源。在圖3所示的處理過程中，還提供了一種確認機制，該機制針對具備攻擊隔離點的網絡設備為非目的攻擊設備、攻擊隔尚點對攻擊報文進行隔尚成功與否的情況進行處理，該機制包括兩種策略，第一種策略為對過濾成功後的確認處理，第二種策略為對過濾失敗後的補救處理。根據第一種策略，網絡設備對攻擊報文進行過濾隔離成功後，向攻擊報文的目的設備發送隔離成功報文、以確認攻擊報文已被成功隔離。根據第二種策略，在受到網絡攻擊的網絡設備超時未接收到隔離成功報文的情況下，受到攻擊的網絡設備在隔離報文中添加找不到攻擊隔離點的信息，並將該隔離報文組播發送給與接收到攻擊報文的埠相連接的網絡設備，以使接收到該隔離報文的網絡設備均對該攻擊報文進行隔離，該策略能夠使位於網絡架構中有效工作的、層次較低的網絡設備對攻擊報文進行過濾，防止具備攻擊隔離點的網絡設備出現故障、或攻擊隔離點無效，從而使整個網絡無法對攻擊報文進行過濾的問題，提高對攻擊報文的過濾隔離的有效率。在圖3所示的處理過程中，還提供了一種隔離無效後的補救機制。根據該機制， 當網絡設備接收到攜帶有隔離失敗信息的隔離報文時，說明具備攻擊隔離點的網絡設備無法有效地將攻擊報文過濾掉，接收到攜帶有隔離失敗信息的隔離報文後，網絡設備將接收到的該隔離報文中的攻擊報文的源地址信息和類型信息、綁定在接收到該隔離報文的埠上，以使該埠對後續接收到的攻擊報文進行過濾。該機制在具備攻擊隔離點的網絡設備無法對攻擊報文進行有效過濾時，能夠使該網絡設備的上層網絡設備對攻擊報文進行過濾，防止攻擊隔離點無法有效過濾攻擊報文的問題，提高對攻擊報文的過濾隔離的有效率。為實現上述功能，本發明實施例這裡的網絡攻擊的防禦方法可以通過硬體實現， 也可以通過下述軟體程序實現，即網絡設備中包括以下的網絡攻擊的防禦裝置。圖4示出了根據本發明實施例的網絡攻擊的防禦裝裝置的結構框圖，如圖4所示， 該裝置包括獲取模塊41、第一判斷模塊42、綁定模塊43、構建模塊44、發送模塊45 ;其中，獲取模塊41，用於在網絡設備監測受到攻擊後，獲取攻擊報文的源地址信息和類型信息；第一判斷模塊42，用於判斷接收到該攻擊報文的埠是否預設為攻擊隔離點；綁定模塊43，連接至獲取模塊41、第一判斷模塊42，用於在第一判斷模塊42判斷該埠是攻擊隔離點的情況下，將獲取模塊41獲取的攻擊報文的源地址信息和類型信息綁定在該埠上，以使該埠對後續接收到的攻擊報文進行過濾；構建模塊44，連接至獲取模塊41、第一判斷模塊42，用於在第一判斷模塊42判斷該埠不是攻擊隔離點的情況下，構建包括獲取模塊41獲取的攻擊報文的源地址信息和類型信息的隔離報文；發送模塊45,連接至構建模塊44,用於將構建模塊44構建的隔離報文發送給與該埠相連接的網絡設備。通過圖4所示的裝置，在網絡設備受到網絡攻擊後，在接收到攻擊報文的埠是預設的攻擊隔離點的情況下，能夠將攻擊報文的源地址信息和類型信息綁定在作為攻擊隔離點的埠上、以使該攻擊隔離點對後續接收到的攻擊報文進行過濾隔離，能夠減少網絡上轉發的攻擊報文，當具有攻擊隔離點的網絡設備位於較低的網絡架構層次上時，就能夠更早地過濾隔離攻擊報文、顯著地減少網絡上多餘轉發的攻擊報文,相應地能夠減少網絡設備對攻擊報文的處理，減少攻擊報文佔用的網絡設備的系統處理資源，提高網絡設備的系統處理效率。圖4所示裝置的工作原理如圖2所示,這裡不再贅述。一種優選的方式，圖5示出了圖4所示裝置的優選實施結構，如圖5所示，該結構包括預設模塊46、獲取模塊41、第一判斷模塊42、綁定模塊43、構建模塊44、發送模塊45、 第二判斷模塊47、設置模塊48、接收模塊49、定時器50;其中，上述模塊如圖4中的已述結構和功能不再贅述；
預設模塊46，用於對預先選定的網絡設備的埠設置攻擊隔離點標識；第一判斷模塊42，具體用於判斷接收到攻擊報文的埠已經設置有所述攻擊隔離點標識的情況下，確定該埠是攻擊隔離點；判斷接收到攻擊報文的埠沒有設置所述攻擊隔離點標識的情況下，確定該埠不是攻擊隔離點；綁定模塊43，還用於在第一判斷模塊42判斷接收到攻擊報文的埠是攻擊隔離點的情況下，將源地址信息相同、類型不同的多個攻擊報文合併為一條記錄、將攻擊報文的源地址信息綁定在該埠上；構建模塊44，還用於在隔離報文中設置對攻擊報文進行過濾隔離的時長信息；接收模塊49，用於接收隔離成功報文；定時器50，用於對接收模塊49接收到隔離成功報文的預定時長進行定時；第二判斷模塊47，連接至獲取模塊41，用於根據獲取模塊41獲取的攻擊報文的源地址信息中的源網際網路協議IP位址信息，判斷網絡設備自身與源攻擊設備是否處於直連網段；設置模塊48，連接至構建模塊44、第二判斷模塊47、接收模塊49、定時器50，用於在第二判斷模塊判斷處於非直連網段的情況下，將構建模塊44構建的隔離報文中的源地址信息的攻擊報文源媒體接入控制MAC地址信息設置為零；還用於在定時器50超時、接收模塊49未接收到隔離成功報文的情況下，在構建模塊44構建的隔離報文中添加找不到攻擊隔尚點的信息；發送模塊45，具體用於在第二判斷模塊47判斷處於直連網段的情況下，將構建模塊44構建的隔離報文組播發送給與接收到攻擊報文的埠相連接的網絡設備；在判斷處於非直連網段的情況下，將構建模塊44構建的隔離報文單播發送給與接收到攻擊報文的埠相連接的、轉發該攻擊報文的網絡設備，或者，將設置模塊48將攻擊報文源MAC地址信息設置為零後的隔離報文單播發送給與接收到攻擊報文的埠相連接的、轉發該攻擊報文的網絡設備；還用於將設置模塊48添加了找不到攻擊隔離點的信息後的隔離報文、組播發送給與接收到攻擊報文的埠相連接的網絡設備。圖5所示裝置的工作原理如圖3所示,這裡不再贅述。通過圖5所示的裝置，能夠減少網絡中多餘轉發的攻擊報文、提高網絡帶寬的利用率，提高網絡設備的處理效率；還能夠實現對攻擊隔離點過濾攻擊報文成功與否的確認機制，提高對攻擊報文隔離的有效率。圖6示出了根據發明實施例的網絡攻擊的防禦方法的另一種工作流程圖，如圖6 所示，該流程包括如下處理過程。步驟61、網絡設備接收到隔離報文後，根據該隔離報文中的攻擊報文源地址信息， 判斷網絡設備接收到該隔離報文中所指示的攻擊報文的埠是否為預設的攻擊隔離點；步驟62、在判斷該埠是攻擊隔離點的情況下，將該隔離報文中的攻擊報文源地址信息和類型信息綁定在該埠上步驟63、在判斷該埠不是攻擊隔離點的情況下，將接收到的隔離報文發送給與該埠相連接的網絡設備。根據如圖6所示的處理過程，接收到隔離報文的網絡設備，在判斷網絡設備自身接收到隔離報文中指示的攻擊報文的埠為攻擊隔離點時，將隔離報文中的攻擊報文的源地址信息和類型信息綁定在該埠上，以使該埠對後續接收到的攻擊報文進行過濾隔離，能夠對合法用戶發送的網絡攻擊報文隔離，將攻擊報文隔離在網絡設備上預設為攻擊隔離點的埠之外，減少網絡上多餘轉發的攻擊報文、減少攻擊報文佔用的網絡帶寬、提高網絡帶寬的利用率，減少網絡設備對攻擊報文的處理、釋放網絡設備的系統處理資源、提高網絡設備的系統處理效率，從而能夠解決現有技術中存在的對於合法用戶發起的攻擊、網絡中存在大量轉發的攻擊報文、浪費網絡帶寬資源、佔用系統處理資源的問題。圖7示出了圖6所示方法的優選實施方式，如圖7所示，該優選實施方式包括如下處理過程步驟71、預先對選定的網絡設備上連接下層網絡設備的埠設置攻擊隔離點標步驟72、網絡設備接收到隔離報文後，根據隔離報文中的攻擊報文的源IP位址信息，判斷網絡設備自身接收到該隔離報文中所指示的攻擊報文的埠是否為預設的攻擊隔離點，具體包括判斷網絡設備自身接收到該隔離報文所指示的攻擊報文的埠已經設置有所述攻擊隔離點標識的情況下，確定該埠是攻擊隔離點，處理進行到步驟73 ;判斷網絡設備自身接收到該隔離報文所指示的攻擊報文的埠沒有設置所述攻擊隔離點標識的情況下，確定該埠不是攻擊隔離點，處理進行到步驟75 ；步驟73、將該隔離報文中的攻擊報文源地址信息和類型信息綁定在該埠上，以使該埠對後續接收到的攻擊報文進行過濾；一種優選的方式，將源地址信息相同、類型不同的多個攻擊報文合併為一條記錄，將攻擊報文的源地址信息綁定在該埠上；一種優選的方式，在接收到攜帶有隔離失敗信息的隔離報文後，將隔離報文中的攻擊報文源地址信息和類型信息綁定在接收到攜帶有隔離失敗信息的隔離報文的埠上， 以使該埠對後續接收到的攻擊報文進行過濾；一種優選的方式，在接收到攜帶有找不到攻擊隔離點信息的隔離報文後，將隔離報文中的攻擊報文源地址信息和類型信息綁定在接收到攻擊報文的埠上，以使該埠對後續接收到的隔離報文中指示的攻擊報文進行過濾，並將攜帶有找不到攻擊隔離點信息的隔離報文廣播發送給與接收到該隔離報文中指示的攻擊報文的埠相連接的網絡設備；步驟74、監測到埠對所述攻擊報文過濾失敗後，在所述隔離報文中攜帶隔離失敗信息，將攜帶有隔離失敗信息的隔離報文發送給與接收到隔離報文的埠相連接的網絡設備；監測到埠對攻擊報文過濾成功後，向隔離報文中的攻擊報文的目的地址信息所指的網絡設備發送隔離成功消息，處理結束。步驟75、將接收到的隔離報文發送給與接收到攻擊報文的埠相連接的網絡設備，具體包括根據隔離報文中的攻擊報文源IP位址信息、判斷網絡設備自身與該攻擊報文源IP位址信息所指的網絡設備是否處於直連網段，在判斷處於直連網段的情況下，處理進行到步驟76 ;在判斷處於非直連網段的情況下，處理進行到步驟77 ；步驟76、將該隔離報文組播發送給與接收到所述攻擊報文的埠相連接的網絡設備；一種優選方式，由於網絡設備與攻擊報文源IP位址信息所指的網絡設備處於直連網段，就可以根據隔離報文中的攻擊報文的源IP位址信息、在網絡設備自身上查找到與該源 IP位址信息相對應的攻擊報文的源MAC地址信息，即發送攻擊報文的源設備的MAC地址信息，將該源MAC地址信息添加到所述隔離報文中，將攜帶有所述攻擊報文源MAC地址信息的隔離報文組播發送給與接收到所述攻擊報文的埠相連接的網絡設備，這樣使接收到該攜帶有攻擊報文源MAC地址信息的隔離報文的網絡設備、能夠更準確地對接收到攻擊報文的埠以及發送攻擊報文的源設備進行定位，處理結束。步驟77、將該隔離報文單播發送給與接收到所述攻擊報文的埠相連接的、轉發所述攻擊報文的網絡設備，處理結束。根據如圖7所示的處理流程，網絡設備在接收到隔離報文後，判斷網絡設備自身接收到攻擊報文的埠為預設的網絡節點的情況下，將隔離報文中的攻擊報文的源地址信息和類型信息綁定在作為攻擊隔離點的埠上、以使該攻擊隔離點對後續接收到的攻擊報文進行過濾隔離，能夠減少網絡上轉發的攻擊報文，當具有攻擊隔離點的網絡設備位於較低的網絡架構層次上時，就能夠過濾隔離更多的攻擊報文、減少更多網絡上多餘轉發的攻擊報文，相應地能夠減少網絡設備對攻擊報文的處理，減少攻擊報文佔用的網絡設備的系統處理資源，提高網絡設備的系統處理效率。在圖7所示的處理過程中，判斷攻擊源設備與網絡設備自身是否處於直連網段、 以對隔離報文進行組播或單播發送，能夠對網絡設備和攻擊源設備之間的網絡關係進行區別、以節約網絡設備及網絡系統的處理資源。在圖7所示的處理過程中，還應用了如上所述的確認機制和隔離無效後的補救機制，這裡不再贅述。為實現上述功能，本發明實施例這裡的網絡攻擊的防禦方法可以通過硬體實現， 也可以通過下述軟體程序實現，即網絡設備中包括以下的網絡攻擊的防禦裝置。圖8示出了本發明實施例提供的網絡攻擊的防禦裝置的結構框圖，如圖8所示，該裝置包括接收模塊81、第一判斷模塊82、綁定模塊83、發送模塊84 ;其中，接收模塊81，用於接收隔離報文；第一判斷模塊82，連接至接收模塊81，用於根據接收模塊81接收到的隔離報文中的攻擊報文源地址信息、判斷網絡設備接收到該隔離報文所指示的攻擊報文的埠是否為預設的攻擊隔尚點；綁定模塊83，連接至接收模塊81、第一判斷模塊82，用於在第一判斷模塊82判斷該埠是攻擊隔離點的情況下，將接收模塊81接收到的隔離報文中的攻擊報文源地址信息和類型信息綁定在該埠上，以使該埠對後續接收到的攻擊報文進行過濾；發送模塊84，連接至接收模塊81、第一判斷模塊82，用於在第一判斷模塊82判斷該埠不是攻擊隔離點的情況下，將接收模塊81接收到的隔離報文發送給與接收到所述攻擊報文的埠相連接的網絡設備。圖8所示裝置的工作原理如圖7所示,這裡不再贅述。根據如圖8所示的裝置，接收到隔離報文的網絡設備，在判斷網絡設備自身接收到隔離報文中指示的攻擊報文的埠為攻擊隔離點時，將隔離報文中的攻擊報文的源地址信息和類型信息綁定在該埠上，以使該埠對後續接收到的攻擊報文進行過濾隔離，能夠對合法用戶發送的網絡攻擊報文隔離，將攻擊報文隔離在網絡設備上預設為攻擊隔離點的埠之外，減少網絡上多餘轉發的攻擊報文、減少攻擊報文佔用的網絡帶寬、提高網絡帶寬的利用率，減少網絡設備對攻擊報文的處理、釋放網絡設備的系統處理資源、提高網絡設備的系統處理效率，從而能夠解決現有技術中存在的對於合法用戶發起的攻擊、網絡中存在大量轉發的攻擊報文、浪費網絡帶寬資源、佔用系統處理資源的問題。圖9示出了圖8所示裝置的優選實施結構,如圖9所示,該結構包括接收模塊81、 第一判斷模塊82、綁定模塊83、發送模塊84、第二判斷模塊85、查找模塊86、設置模塊87、 監測模塊88、預設模塊89 ;其中，上述模塊在圖8中的已述結構和功能不再贅述；預設模塊89，用於預先對選定的網絡設備上連接下層網絡設備的埠設置攻擊隔離點標識；第一判斷模塊82，具體用於判斷網絡設備接收到該隔離報文所指示的攻擊報文的埠已經設置有所述攻擊隔離點標識的情況下，確定該埠是攻擊隔離點；判斷網絡設備自身接收到該隔離報文所指示的攻擊報文的埠沒有設置所述攻擊隔離點標識的情況下， 確定該埠不是攻擊隔離點；第二判斷模塊85，連接至接收模塊81，用於根據接收模塊81接收到的隔離報文中的攻擊報文源網際網路協議IP位址信息、判斷網絡設備自身與該攻擊報文源IP位址信息所指的網絡設備是否處於直連網段；查找模塊86，連接至接收模塊81，用於根據接收模塊81接收到的隔離報文中的攻擊報文的源IP位址信息、查找到與該源IP位址信息相對應的攻擊報文的源MAC地址信息；監測模塊88，用於對埠過濾攻擊報文的情況進行監測；設置模塊87，連接至接收模塊81、第一判斷模塊82、查找模塊86、監測模塊88，用於將查找模塊86查找到的攻擊報文的源MAC地址信息添加到接收模塊81接收到的隔離報文中；還用於在第一判斷模塊82判斷接收到攻擊報文的埠是攻擊隔離點的情況下，監測模塊88監測該埠對攻擊報文過濾失敗後，在接收模塊81接收到的隔離報文中添加隔離失敗息;接收模塊81，還用於接收攜帶有隔離失敗信息的隔離報文；用於接收攜帶有找不到攻擊隔尚點信息的隔尚報文；綁定模塊83，還連接至接收模塊81，還用於在接收模塊81接收到攜帶有隔離失敗信息的隔離報文後，將該隔離報文中的攻擊報文源地址信息和類型信息、綁定在接收到攜帶有隔離失敗信息的隔離報文的埠上，以使該埠對後續接收到的攻擊報文進行過濾; 還用於在第一判斷模塊82判斷接收到攻擊報文的埠是攻擊隔離點的情況下，將源地址信息相同、類型不同的多個攻擊報文合併為一條記錄、將攻擊報文的源地址信息綁定在該埠上；還用於將接收模塊81接收到攜帶有找不到攻擊隔離點信息的隔離報文的情況下， 將該隔離報文中的攻擊報文源地址信息和類型信息綁定在接收到該隔離報文中所指示的攻擊報文的埠上，以使該埠對後續接收到的攻擊報文進行過濾；發送模塊84，還連接至接收模塊81、第二判斷模塊85、監測模塊88，具體用於在第二判斷模塊85判斷處於直連網段的情況下，將接收模塊81接收到的隔離報文組播發送給與接收到攻擊報文的埠相連接的網絡設備，一種優選的方式，具體用於將設置模塊87添加了攻擊報文源MAC地址信息後的隔離報文組播發送給與接收到攻擊報文的埠相連接的網絡設備；在第二判斷模塊85判斷處於非直連網段的情況下，將接收模塊81接收到的隔離報文單播發送給與接收到攻擊報文的埠相連接的、轉發攻擊報文的網絡設備；在監測模塊88監測埠對攻擊報文過濾成功後，向攻擊報文的目的地址信息所指的網絡設備發送隔離成功消息；將接收模塊81接收到的攜帶有找不到攻擊隔離點信息的隔離報文廣播發送給與接收到該隔離報文中指示的攻擊報文的埠相連接的網絡設備。圖9所示裝置的工作原理如圖7所示,這裡不再贅述。如圖9所示的裝置，能夠減少網絡中多餘轉發的攻擊報文、提高網絡帶寬的利用率，提高網絡設備的處理效率；還能夠實現對攻擊隔離點過濾攻擊報文成功與否的確認機制，提高對攻擊報文隔離的有效率。本發明實施例還提供了一種網絡設備，該網絡設備包括如圖4和圖8所示的網絡攻擊的防禦裝置，該網絡設備的工作原理分別如圖2和圖6所示，這裡不再贅述。一種優選的方式，包括如圖4和圖8所示裝置的網絡設備的優選實施結構，可包括如圖5和圖9所示的結構，其工作原理分別如圖3和圖7所示，這裡不再贅述。本發明實施例還提供了一種網絡攻擊的防禦系統，該系統具有多個包括如圖4和 /或圖8所示裝置的網絡設備，該系統的優選實施結構為具有多個包括如圖5和/或圖9所述裝置的網絡設備，該系統的工作原理如上所述，這裡不再贅述。下面對本發明實施例具體應用的情況進行說明。圖10示出了本發明實施例具體應用的網絡攻擊的防禦系統的結構示意圖，如圖 10所示，接入交換機SWl通過Portl-Port4連接PC1-PC4，接入交換機SW2通過Portl-Port3 連接PC5-PC7，Sffl分別通過Port5、Port6連接至匯聚交換機SW3的Portl、SW4的Portl， SW2通過Port4連接至匯聚交換機SW5的Portl，SW3與SW4之間均通過Port2連接，SW3 通過port3連接至核心交換機SW8的port2, SW4通過port3連接至SW8的portl, Sff5 通過port2連接至核心交換機SW6的portl, SW6與核心交換機SW7分別通過port2連接，SW6與SW8分別通過port3連接，SW8通過port4與SW7的portl連接，在接入交換機SWl、SW2上部署接入控制安全功能，例如802. lx、WEB認證等，能夠有效地控制接入PC 的身份合法性，接入交換機只轉發來自合法的IP位址和MAC地址的PC發出的報文。在圖10所示的系統中，PCl的IP位址為192. 168. 3. 2/24、MAC地址為00d0. f800. 0001， Sffl 的管理 IP 地址為 192. 168. I. 1/24，SW3 的 portl 的 IP 地址為 192. 168. 3. 1/24、 port3 的 IP 地址為 192. 168. 8. 2/24，SW8 的 port2 的 IP 地址為 192. 168. 8. 1/24、portl 的 IP 地址為 192. 168. 7. 2/24，SW7 的 portl 的 IP 地址為 192. 168. 7. 1/24，PC5 的 IP 地址為 192. 168. 5. 2/24，SW2 的管理 IP 地址為 192. 168. 2. 1/24，SW5 的 portl 的 IP 地址為 192. 168. 5. 1/24。場景一在如圖10所示的系統中，預先將SWl的portl至port4均設置為攻擊隔離點，對這四個埠分別設置攻擊隔離點標識。PCl通過認證後以合法的身份通過埠 1234對SW7的埠 7進行用戶數據包協議(UDP, User Datagram Protocol)的環回攻擊，SW7上檢測到攻擊信息,檢測到攻擊的方法可以為NFPP、或者其他應用層協議。SW7檢測到攻擊後，根據以下處理步驟對攻擊報文進行防禦。步驟一、SW7監測到受到網絡攻擊、即埠 I接收到攻擊協議數據單元(rou， Protocol Data Unit)後，獲取攻擊I3DU的相關信息、主要包括攻擊報文的源地址信息和類型信息，如表I所示，攻擊PDU的相關信息包括攻擊報文的源MAC地址、攻擊報文類型、 攻擊報文源IP、目的IP，攻擊報文協議號、源埠、目的埠號，其中，只有傳輸控制協議(TCP, Transmission Control Protocol)或者UDP報文的攻擊，才攜帶源埠和目的埠號，只有當攻擊報文是IPv4或者IPv6報文時，該攻擊PDU的相關信息才攜帶協議號；在表I中，源MAC是192. 168. 7. 2對應的源MAC，這是因為經過跨網段轉發後，源 MAC信息會被修改為上一跳轉發報文的IP位址對應的MAC地址；表I
權利要求
1.一種網絡攻擊的防禦方法，其特徵在於，包括網絡設備監測受到網絡攻擊後，獲取攻擊報文的源地址信息和類型信息；判斷接收到該攻擊報文的埠是否為預設的攻擊隔離點；在判斷該埠是攻擊隔離點的情況下，將獲取的攻擊報文的源地址信息和類型信息綁定在該埠上；在判斷該埠不是攻擊隔離點的情況下，構建包括獲取的攻擊報文的源地址信息和類型信息的隔離報文，將構建的隔離報文發送給與該埠相連接的網絡設備。
2.根據權利要求I所述的方法，其特徵在於，所述攻擊報文的源地址信息包括所述攻擊報文的源網際網路協議IP位址信息；將構建的隔離報文發送給與該埠相連接的網絡設備，具體包括根據所述攻擊報文的源IP位址信息、判斷網絡設備與源攻擊設備是否處於直連網段， 在判斷處於直連網段的情況下，將該隔離報文組播發送給與所述埠相連接的網絡設備， 在判斷處於非直連網段的情況下，將該隔離報文單播發送給與所述埠相連接的、轉發所述攻擊報文的網絡設備。
3.根據權利要求2所述的方法，其特徵在於，所述攻擊報文的源地址信息還包括攻擊報文的源媒體接入控制MAC地址信息；在判斷處於非直連網段的情況下，將該隔離報文單播發送給與所述埠相連接的、轉發所述攻擊報文的網絡設備，具體包括將該隔離報文中的攻擊報文源MAC地址信息設置為零，將設置後的隔離報文單播發送給與所述埠相連接的、轉發所述攻擊報文的網絡設備。
4.根據權利要求I所述的方法，其特徵在於，所述方法還包括在預定時間內未接收到隔離成功消息的情況下，在構建的隔離報文中添加用於指示找不到攻擊隔離點的信息，將添加信息後的隔離報文組播發送給與接收到攻擊報文的埠相連接的網絡設備。
5.根據權利要求I所述的方法，其特徵在於，所述方法還包括在接收到攜帶有隔離失敗信息的隔離報文後，將隔離報文中的攻擊報文源地址信息和類型信息綁定在接收到攜帶有隔離失敗信息的隔離報文的埠上。
6.根據權利要求I所述的方法，其特徵在於，所述方法還包括在所述接收到攻擊報文的埠是攻擊隔離點，並且存在多個源地址信息相同、類型不同的攻擊報文的情況下，將攻擊報文的源地址信息綁定在該埠上。
7.—種網絡攻擊的防禦裝置，其特徵在於，包括獲取模塊，用於在網絡設備監測受到攻擊後，獲取攻擊報文的源地址信息和類型信第一判斷模塊，用於判斷接收到該攻擊報文的埠是否預設為攻擊隔離點；綁定模塊，用於在所述第一判斷模塊判斷該埠是攻擊隔離點的情況下，將所述獲取模塊獲取的攻擊報文的源地址信息和類型信息綁定在該埠上；構建模塊，用於在所述第一判斷模塊判斷該埠不是攻擊隔離點的情況下，構建包括所述獲取模塊獲取的攻擊報文的源地址信息和類型信息的隔離報文；發送模塊，用於將所述構建模塊構建的隔離報文發送給與該埠相連接的網絡設備。
8.根據權利要求7所述的裝置，其特徵在於，所述裝置還包括第二判斷模塊，用於根據所述獲取模塊獲取的攻擊報文的源地址信息中的源網際網路協議IP位址信息，判斷網絡設備與源攻擊設備是否處於直連網段；所述發送模塊，具體用於在所述第二判斷模塊判斷處於直連網段的情況下，將該隔離報文組播發送給與所述埠相連接的網絡設備，在判斷處於非直連網段的情況下，將該隔離報文單播發送給與所述埠相連接的、轉發所述攻擊報文的網絡設備。
9.根據權利要求8所述的裝置，其特徵在於，所述裝置還包括設置模塊，用於在所述第二判斷模塊判斷處於非直連網段的情況下，將所述構建模塊構建的隔離報文中的攻擊報文源地址信息的源媒體接入控制MAC地址信息設置為零；所述發送模塊，具體用於將所述設置模塊設置後的隔離報文單播發送給與所述埠相連接的、轉發所述攻擊報文的網絡設備。
10.根據權利要求7所述的裝置，其特徵在於，所述裝置還包括接收模塊，用於接收隔離成功報文；定時器，用於對所述接收模塊接收到隔離成功報文的預定時長進行定時；所述設置模塊，還用於在所述定時器超時、所述接收模塊未接收到隔離成功報文的情況下，在所述構建模塊構建的隔離報文中添加用於指示找不到攻擊隔離點的信息；所述發送模塊，還用於將所述設置模塊添加信息後的隔離報文、組播發送給與接收到攻擊報文的埠相連接的網絡設備。
11.根據權利要求7所述的裝置，其特徵在於，所述裝置還包括接收模塊，用於接收攜帶有隔離失敗信息的隔離報文；所述綁定模塊，還用於在所述接收模塊接收到攜帶有隔離失敗信息的隔離報文後，將該隔離報文中的攻擊報文源地址信息和類型信息綁定在接收到攜帶有隔離失敗信息的隔離報文的埠上。
12.根據權利要求7所述的裝置，其特徵在於，所述綁定模塊，還用於在所述第一判斷模塊判斷接收到所述攻擊報文的埠是攻擊隔離點，並且存在多個源地址信息相同、類型不同的攻擊報文的情況下，將攻擊報文的源地址信息綁定在該埠上。
13.—種網絡攻擊的防禦方法，其特徵在於，包括網絡設備接收到隔離報文後，根據該隔離報文中的攻擊報文源地址信息，判斷網絡設備接收到該隔離報文中所指示的攻擊報文的埠是否為預設的攻擊隔離點；在判斷該埠是攻擊隔離點的情況下，將該隔離報文中的攻擊報文源地址信息和類型信息綁定在該埠上；在判斷該埠不是攻擊隔離點的情況下，將接收到的隔離報文發送給與該埠相連接的網絡設備。
14.根據權利要求13所述的方法，其特徵在於，所述攻擊報文的源地址信息包括所述攻擊報文的源網際網路協議IP位址信息；在判斷該埠不是攻擊隔離點的情況下，將接收到的隔離報文發送給與接收到所述攻擊報文的埠相連接的網絡設備，具體包括根據隔離報文中的攻擊報文源IP位址信息、判斷網絡設備與該攻擊報文源IP位址信息所指的網絡設備是否處於直連網段，在判斷處於直連網段的情況下，將該隔離報文組播發送給與接收到所述攻擊報文的埠相連接的網絡設備，在判斷處於非直連網段的情況下，將該隔離報文單播發送給與接收到所述攻擊報文的埠相連接的、轉發所述攻擊報文的網絡設備。
15.根據權利要求14所述的方法，其特徵在於，在判斷處於直連網段的情況下，將該隔離報文組播發送給與接收到所述攻擊報文的埠相連接的網絡設備，具體包括根據所述攻擊報文的源IP位址信息、查找到與該源IP位址信息相對應的攻擊報文的源媒體接入控制MAC地址信息，將該源MAC地址信息添加到所述隔離報文中，將攜帶有所述攻擊報文源MAC地址信息的隔離報文組播發送給與接收到所述攻擊報文的埠相連接的網絡設備。
16.根據權利要求13所述的方法，其特徵在於，所述方法還包括在接收到所述攻擊報文的埠是攻擊隔離點的情況下，在監測該埠對所述攻擊報文過濾失敗後，在所述隔離報文中添加隔離失敗信息，將添加了隔離失敗信息的隔離報文發送給與接收到隔離報文的埠相連接的網絡設備；網絡設備在接收到攜帶有隔離失敗信息的隔離報文後，將隔離報文中的攻擊報文源地址信息和類型信息綁定在接收到攜帶有隔離失敗信息的隔離報文的埠上。
17.根據權利要求13所述的方法，其特徵在於，所述方法還包括在接收到所述攻擊報文的埠是攻擊隔離點的情況下，將源地址信息相同、類型不同的多個攻擊報文合併為一條記錄綁定在該埠上。
18.根據權利要求13所述的方法，其特徵在於，所述方法還包括接收到攜帶有找不到攻擊隔離點信息的隔離報文後，將該隔離報文中的攻擊報文源地址信息和類型信息綁定在接收到該隔離報文中所指示的攻擊報文的埠上，並將接收到的該隔離報文組播發送給與接收到該隔離報文中所指示的攻擊報文的埠相連接的網絡設備。
19.根據權利要求13所述的方法，其特徵在於，所述隔離報文中還包括攻擊報文的目的地址信息；所述方法還包括在監測到所述埠對所述攻擊報文過濾成功後，向攻擊報文的目的地址信息所指的網絡設備發送隔離成功消息。
20.一種網絡攻擊的防禦裝置，其特徵在於，包括接收模塊，用於接收隔離報文；第一判斷模塊，用於根據所述接收模塊接收到的隔離報文中的攻擊報文源地址信息、 判斷網絡設備接收到該隔離報文所指示的攻擊報文的埠是否為預設的攻擊隔離點；綁定模塊，用於在所述第一判斷模塊判斷該埠是攻擊隔離點的情況下，將所述接收模塊接收到的隔離報文中的攻擊報文源地址信息和類型信息綁定在該埠上；發送模塊，用於在所述第一判斷模塊判斷該埠不是攻擊隔離點的情況下，將所述接收模塊接收到的隔離報文發送給與接收到所述攻擊報文的埠相連接的網絡設備。
21.根據權利要求20所述的裝置，其特徵在於，所述裝置還包括第二判斷模塊，用於根據所述接收模塊接收到的隔離報文中的攻擊報文源網際網路協議 IP位址信息、判斷網絡設備與該攻擊報文源IP位址信息所指的網絡設備是否處於直連網段；所述發送模塊，具體用於在所述第二判斷模塊判斷處於直連網段的情況下，將所述接收模塊接收到的隔離報文組播發送給與接收到所述攻擊報文的埠相連接的網絡設備，在所述第二判斷模塊判斷處於非直連網段的情況下，將所述接收模塊接收到的隔離報文單播發送給與接收到所述攻擊報文的埠相連接的、轉發所述攻擊報文的網絡設備。
22.根據權利要求21所述的裝置，其特徵在於，所述裝置還包括查找模塊，用於根據所述接收模塊接收到的隔離報文中的攻擊報文的源IP位址信息、 查找到與該源IP位址信息相對應的攻擊報文的源媒體接入控制MAC地址信息；設置模塊，用於將所述查找模塊查找到的攻擊報文的源MAC地址信息添加到所述接收模塊接收到的隔離報文中；所述發送模塊，具體用於將所述設置模塊添加了攻擊報文源MAC地址信息後的隔離報文組播發送給與接收到所述攻擊報文的埠相連接的網絡設備。
23.根據權利要求20所述的裝置，其特徵在於，所述裝置還包括監測模塊，用於對埠過濾攻擊報文的情況進行監測；所述設置模塊，還用於在第一判斷模塊判斷接收到所述攻擊報文的埠是攻擊隔離點的情況下，所述監測模塊監測該接收到所述攻擊報文的埠對所述攻擊報文過濾失敗後， 在所述接收模塊接收到的隔離報文中添加隔離失敗信息；所述發送模塊，還用於將所述設置模塊添加了隔離失敗信息後的隔離報文發送給與接收到隔離報文的埠相連接的網絡設備；所述接收模塊，還用於接收攜帶有隔離失敗信息的隔離報文；所述綁定模塊，還用於在所述接收模塊接收到攜帶有隔離失敗信息的隔離報文後，將該隔離報文中的攻擊報文源地址信息和類型信息、綁定在接收到攜帶有隔離失敗信息的隔離報文的埠上。
24.根據權利要求20所述的裝置，其特徵在於，所述綁定模塊，還用於在所述第一判斷模塊判斷所述接收到攻擊報文的埠是攻擊隔離點，並且存在多個源地址信息相同、類型不同的攻擊報文的情況下，將攻擊報文的源地址信息綁定在該埠上。
25.根據權利要求20所述的裝置，其特徵在於，所述接收模塊，還用於接收攜帶有找不到攻擊隔尚點信息的隔尚報文；所述綁定模塊，還用於將所述接收模塊接收到的該隔離報文中的攻擊報文源地址信息和類型信息綁定在接收到該隔離報文中所指示的攻擊報文的埠上；所述發送模塊，還用於將所述接收模塊接收到的該隔離報文組播發送給與接收到該隔離報文中所指示的攻擊報文的埠相連接的網絡設備。
26.根據權利要求20所述的裝置，其特徵在於，所述裝置還包括監測模塊，用於對埠過濾攻擊報文的情況進行監測；所述發送模塊，還用於在所述監測模塊監測所述埠對所述攻擊報文過濾成功後，向攻擊報文的目的地址信息所指的網絡設備發送隔離成功消息。
27.—種網絡設備，其特徵在於，包括如權利要求7至12中任一項所述的網絡攻擊的防禦裝置、和/或如權利要求20至26中任一項所述的網絡攻擊的防禦裝置。
全文摘要
本發明公開了一種網絡攻擊的防禦方法及裝置、網絡設備，其中，該方法包括網絡設備監測受到網絡攻擊後，獲取攻擊報文的源地址信息和類型信息；判斷接收到該攻擊報文的埠是否為預設的攻擊隔離點；在判斷該埠是攻擊隔離點的情況下，將獲取的攻擊報文的源地址信息和類型信息綁定在該埠上；否則，構建包括獲取的攻擊報文的源地址信息和類型信息的隔離報文，將構建的隔離報文發送給與該埠相連接的網絡設備。該方法能夠通過預設為攻擊隔離點的埠過濾掉攻擊報文，減少網絡中多餘的攻擊報文，從而能夠解決現有技術中網絡中轉發大量的攻擊報文浪費網絡帶寬資源、佔用網絡設備系統處理資源的問題。
文檔編號H04L29/06GK102594834SQ20121006241
公開日2012年7月18日 申請日期2012年3月9日 優先權日2012年3月9日
發明者賴鵬飛 申請人:北京星網銳捷網絡技術有限公司