一种防御ICMP flood攻击的方法和装置制造方法及图纸

本发明专利技术实施例提供一种防御ICMP flood攻击的方法和装置，以使目的主机在防御ICMP flood攻击的过程中，可以向目的主机发送ICMP信息，从而保证目的主机的通信质量。该方法包括：交换设备获取接收到的ICMP报文的速率；其中，ICMP报文携带目的主机的地址，用于指示将ICMP报文发送至目的主机；交换设备根据ICMP报文的类型和速率，确定目的主机待受的ICMP flood攻击的攻击类型；ICMP报文的类型包括ICMP请求报文或ICMP回应报文；交换设备根据攻击类型，在后续流程中拒绝接收引起ICMP flood攻击的ICMP报文。

【技术实现步骤摘要】

本专利技术涉及防御领域，尤其涉及一种防御ICMPflood攻击的方法和装置。
技术介绍
若路由器接收到源主机发送的大量的控制报文(internetcontrolmessageprotocol，ICMP)ICMP报文，其中，ICMP报文携带目的主机的地址，则根据目的主机的地址将该大量的ICMP报文发送给目的主机。该情况下，可以认为目的主机受到ICMPflood(洪水)攻击。ICMPflood攻击会使目的主机的处理器的占有率过高，从而使目的主机的系统崩溃。目前，一种防御ICMPflood攻击的方法包括：路由器若接收到大量的携带目的主机的地址的ICMP报文，则不向该目的主机发送任何ICMP报文。虽然，上述方法中，路由器可以防御目的主机不受到ICMPflood攻击；然而，路由器在防御目的主机不受到ICMPflood攻击的过程中，目的主机无法接收正常的通过ICMP协议传递的消息，影响目的主机的正常通信。
技术实现思路
本专利技术的实施例提供一种防御ICMPflood攻击的方法和装置，以使目的主机在防御ICMPflood攻击的过程中，可以向目的主机发送ICMP信息，从而保证目的主机的通信质量。为达到上述目的，本专利技术的实施例采用如下技术方案：一方面，提供一种防御ICMPflood攻击的方法，该方法可以包括：交换设备获取接收到的ICMP报文的速率，其中，ICMP报文携带目的主机的地址，用于指示将ICMP报文发送至目的主机；交换设备根据ICMP报文的类型和速率，确定目的主机待受的ICMPflood攻击的攻击类型，ICMP报文的类型包括ICMP请求报文或ICMP回应报文；交换设备根据攻击类型，在后续流程中拒绝接收引起ICMPflood攻击的ICMP报文。另一方面，提供一种防御ICMPflood攻击装置，该装置可以包括：接收单元，用于接收ICMP报文；获取单元，用于获取接收单元接收到的ICMP报文的速率；其中，ICMP报文携带目的主机的地址，用于指示将ICMP报文发送至目的主机；确定单元，用于根据ICMP报文的类型和速率，确定目的主机待受的ICMPflood攻击的攻击类型；ICMP报文的类型包括ICMP请求报文或ICMP回应报文；接收单元还用于，根据攻击类型，在后续流程中拒绝接收引起ICMPflood攻击的ICMP报文。本专利技术实施例提供的技术方案中，根据ICMP报文的类型和速率，确定目的主机待受到的ICMPflood攻击的攻击类型，并根据不同的攻击类型ICMPflood攻击，拒绝接收引起ICMPflood攻击的ICMP报文。与现有技术相比，本专利技术实施例在防御目的主机受到ICMPflood攻击的同时，可以接收ICMP报文和正常通过ICMP协议传递的消息；而现有技术在防御目的主机受到ICMPflood攻击的同时不可以接收ICMP报文和正常通过ICMP协议传递的消息；因此，本专利技术实施例提供的技术方案不影响目的主机的正常通信。附图说明图1为本专利技术实施例提供技术方案所适用的一种系统架构示意图；图2为本专利技术实施例提供的一种防御ICMPflood攻击方法流程图；图3为本专利技术实施例提供的一种防御直接攻击和伪造攻击方法流程图；图4为本专利技术实施例提供的一种防御反射攻击的方法的流程示意图；图5为本专利技术实施例提供的一种防御ICMPflood攻击装置结构示意图；图6为本专利技术实施例提供的另一种防御ICMPflood攻击装置结构示意图。具体实施方式本申请提供的实施例适用于如图1所示的系统架构中，图1所示的系统包括：源主机、第三方主机、交换设备和目的主机。源主机经交换设备向目的主机发送ICMP报文。ICMP报文是指通过ICMP报文协议传递的报文。ICMP报文可以包括源地址和目的地址。交换设备可根据ICMP报文中的目的地址，将ICMP报文发送给目的主机，其中，目的地址为目的主机的地址。交换设备具体可以是路由器和交换机。第三方主机是网络中除源主机和目的主机之外的任一主机。第三方主机可通过交换设备向源主机和目的主机发送ICMP报文。本文中的术语“第一”和“第二”等是用于区别不同的对象，而不是用于描述对象的特定顺序。本文中的术语“多个”是指两个或两个以上。本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。下面结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行示例性描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。如图2所示，为本专利技术实施例提供的一种防御ICMPflood攻击的方法流程示意图；该方法包括：S101：交换设备获取接收到的ICMP报文的速率；其中，ICMP报文携带目的主机的地址，用于指示将ICMP报文发送至目的主机。在S101之前，交换设备接收源主机和第三方主机发送的ICMP报文；并根据接收的ICMP报文的目的地址，将ICMP报文发送给目的主机和第三方主机；该情况下，交换设备记录在单位时间内接收的ICMP报文的个数。其中，目的主机可以是网络中的任一主机。ICMP报文包括ICMP请求报文、ICMP回应报文、ICMP超时报文和ICMP重定向报文；其中，引起ICMPflood攻击的ICMP报文包括ICMP请求报文和ICMP回应报文，正常的通过ICMP协议传递的消息包括除ICMP请求报文和ICMP回应报文之外的，其它类型的ICMP报文。ICMP报文的速率用于表示交换设备在单位时间内接收到的ICMP报文的个数。S102：交换设备根据ICMP报文的类型和速率，确定目的主机待受的ICMPflood攻击的攻击类型；ICMP报文的类型包括ICMP请求报文或ICMP回应报文。在S102之前，交换设备确定ICMP报文的速率是否等于或大于预设阈值；若大于或等于预设阈值，则确定目的主机会受到ICMPflood攻击；若小于预设阈值，则确定目的主机不会受到ICMPflood攻击。该情况下，交换设备若确定目的主机会受到ICMPflood攻击，则确定目的主机待受到ICMPflood攻击的攻击类型。其中，ICMPflood攻击的攻击类型可以包括：直接攻击、伪造攻击和反射攻击。直接攻击是指源主机通过交换设备向目的主机发送大量的ICMP请求报文，该ICMP请求报文中的源地址为源主机的地址，目的地址为目的主机的地址。伪造攻击是指源主机通过交换设备向目的主机发送大量的ICMP请求报文，其中，该ICMP请求报文中的源地址为第三方主机的地址，目的地址为目的主机的地址。反射攻击是指源主机通过交换设备向多个第三方主机发送大量的ICMP请求报文，其中，该ICMP请求报文中的源地址为目的主机的地址，目的地址为第三方主机的地址。因此，第三方主机根据ICMP请求报文的源地址，通过交换设备向目的主机发送大量的ICMP回应报文。S103：交换设备根据攻击类型，在后续流程中拒绝接收引起ICMPflood攻击的ICMP报文。其中，拒绝接收引起ICMPflood攻击的ICMP报文包括：拒绝接收源地址发送的所有ICMP报文，或限制ICMP报文的速率。具体的，交换设备若确定目的主机会受到直接攻击，则在后续流程中拒绝接收引起直接攻击的ICMP请求报文的源地址发送的任何ICMP报文和通过I本文档来自技高网...

【技术保护点】
一种防御ICMP flood攻击的方法，其特征在于，包括：交换设备获取接收到的ICMP报文的速率；其中，所述ICMP报文携带目的主机的地址，用于指示将ICMP报文发送至所述目的主机；所述交换设备根据所述ICMP报文的类型和所述速率，确定所述目的主机待受的ICMP flood攻击的攻击类型；所述ICMP报文的类型包括ICMP请求报文或ICMP回应报文；所述交换设备根据所述攻击类型，在后续流程中拒绝接收引起所述ICMP flood攻击的所述ICMP报文。

【技术特征摘要】
1.一种防御ICMPflood攻击的方法，其特征在于，包括：交换设备获取接收到的ICMP报文的速率；其中，所述ICMP报文携带目的主机的地址，用于指示将ICMP报文发送至所述目的主机；所述交换设备根据所述ICMP报文的类型和所述速率，确定所述目的主机待受的ICMPflood攻击的攻击类型；所述ICMP报文的类型包括ICMP请求报文或ICMP回应报文；所述交换设备根据所述攻击类型，在后续流程中拒绝接收引起所述ICMPflood攻击的所述ICMP报文。2.根据权利要求1所述的方法，其特征在于，所述ICMP报文包括所述ICMP请求报文，所述ICMP请求报文携带源主机的地址；所述方法还包括：所述交换设备获取单位时间内接收到的ICMP请求报文的类型的个数，以及所述单位时间内接收到的至少一种类型的ICMP请求报文的个数；其中，所述单位时间是指所述速率对应的单位时间，携带同一源主机的地址的ICMP请求报文为同一类型的ICMP请求报文；所述交换设备根据所述ICMP报文的类型和所述速率，确定所述目的主机待受的ICMPflood攻击的攻击类型，包括：若所述速率大于或等于第一预设阈值、所述单位时间内接收到的ICMP请求报文的类型的个数小于或等于第二预设阈值、且所述至少一种类型的ICMP请求报文的个数大于或等于第三预设阈值，则确定所述目的主机待受的ICMPflood攻击为直接攻击；或，若所述速率大于或等于第一预设阈值、所述单位时间内接收到的ICMP请求报文的类型的个数大于第二预设阈值、且所述至少一种类型的ICMP请求报文的个数大于或等于第四预设阈值，则确定所述目的主机待受到的ICMPflood攻击为伪造攻击。3.根据权利要求2所述的方法，其特征在于，所述交换设备根据所述攻击类型，在后续流程中拒绝接收引起所述ICMPflood攻击的所述ICMP报文，包括：若确定的所述目的主机待受的ICMPflood攻击为直接攻击，则所述交换设备在所述单位时间的后续单位时间内，拒绝接收个数大于或等于所述第三预设阈值的类型的ICMP请求报文。4.根据权利要求2所述的方法，其特征在于，所述交换设备根据所述攻击类型，在后续流程中拒绝接收引起所述ICMPflood攻击的所述ICMP报文，包括：若确定的所述目的主机待受的ICMPflood攻击为伪造攻击，则所述交换设备限制在所述单位时间的后续单位时间内接收ICMP请求报文的最大数量。5.根据权利要求1所述的方法，其特征在于，所述ICMP报文包括所述ICMP回应报文；所述交换设备根据所述ICMP报文的类型和所述速率，确定所述目的主机待受的ICMPflood攻击的攻击类型，包括：若所述速率大于或等于第五预设阈值，则所述交换设备确定所述目的主机待受的ICMPflood攻击为反射攻击。6.根据权利要求5所述的方法，其特征在于，所述交换设备根据所述攻击类型，在后续流程中拒绝接收引起所述ICMPflood攻击的所述ICMP报文，包括：所述交换设备限制在所述单位时间的后续单位时间内接收ICMP回应报文的最大数量。7.根据权利要求1至6任一项所述的方法，其特征在于，在所述交换设备获取接收到的ICMP报文的速率之前，所述方法还包括：所述交换设备筛...

【专利技术属性】
技术研发人员：刘千仞，王光全，廖军，文湘江，武成洁，左冰，任梦璇，
申请(专利权)人：中国联合网络通信集团有限公司，
类型：发明
国别省市：北京;11