防攻击方法及装置制造方法及图纸

本申请提供一种防攻击方法及装置。其中，防攻击方法包括：接收动态主机配置协议DHCP发现报文；确认DHCP发现报文所属的虚拟交换接口VSI实例使能防攻击设置，并获取与DHCP发现报文相关联的目标信息，该目标信息包括：发送DHCP发现报文的DHCP客户端的硬件标识、DHCP发现报文的源MAC地址、DHCP发现报文所属的VXLAN以及接收DHCP发现报文的物理端口；统计第一预设时长内与目标信息相匹配的DHCP发现报文数量；若DHCP发现报文数量超过第一预设数量，则启动防攻击策略，以丢弃与目标信息相匹配的DHCP发现报文。本申请实施例可以实现DHCP防攻击，并且不会导致正常的DHCP报文被丢弃。

Anti attack method and device

The present application provides an anti attack method and device. Among them, including anti attack methods: receiving dynamic host configuration protocol DHCP message; DHCP found confirmation message belongs to virtual exchange interface VSI instance can prevent attack set, and get the message associated with the target information and the target information of DHCP, including: send DHCP found hardware identification and DHCP messages in the DHCP client found the source MAC address, the DHCP message that message belongs to VXLAN and DHCP found that receiving physical port message; statistics for the first time with the preset target information to match the DHCP found that the number of packets; if DHCP found the number of packets exceeds a first preset number, then start to discard the anti attack strategy, and target information matching DHCP discovery message. The embodiment of the present invention can realize DHCP attack prevention and will not cause the normal DHCP message to be discarded.

【技术实现步骤摘要】
防攻击方法及装置
本申请涉及通信技术，尤其涉及一种防攻击方法及装置。
技术介绍
动态主机配置协议(DynamicHostConfigurationProtocol，DHCP)采用客户端-服务器模式，由服务器为客户端动态地分配IP地址等网络配置参数。DHCP客户端和DHCP服务器处于不同物理网段时，客户端可以通过DHCP中继与服务器通信，获取IP地址及其他配置信息。可扩展虚拟局域网络(VirtualeXtensibleLAN，VXLAN)是基于因特网互联协议(IP)网络、采用“媒体访问控制在用户数据报协议中(MACinUDP)”封装形式的二层虚拟专用网络(VPN)技术。VXLAN主要应用于数据中心网络。在VXLAN分布式网关的组网中，DHCP客户端和DHCP服务器可以分别与组网中的叶子(leaf)设备相连。而相关技术中，防攻击策略通常部署在DHCP服务器侧，DHCP服务器通常通过DHCP报文限速来解决报文攻击问题，但是通过DHCP报文限速会导致正常的DHCP报文被丢弃。
技术实现思路
有鉴于此，本申请提供一种防攻击方法及装置。具体地，本申请是通过如下技术方案实现的：根据本专利技术实施例的第本文档来自技高网...

【技术保护点】
一种防攻击方法，其特征在于，所述方法包括：接收动态主机配置协议DHCP发现报文；确认所述DHCP发现报文所属的虚拟交换接口VSI实例使能防攻击设置，并获取与所述DHCP发现报文相关联的目标信息，所述目标信息包括：发送所述DHCP发现报文的DHCP客户端的硬件标识、所述DHCP发现报文的源媒体访问控制MAC地址、所述DHCP发现报文所属的虚拟可扩展局域网VXLAN以及接收所述DHCP发现报文的物理端口；统计第一预设时长内与所述目标信息相匹配的DHCP发现报文数量；若所述DHCP发现报文数量超过第一预设数量，则启动防攻击策略，以丢弃与所述目标信息相匹配的DHCP发现报文。

【技术特征摘要】
1.一种防攻击方法，其特征在于，所述方法包括：接收动态主机配置协议DHCP发现报文；确认所述DHCP发现报文所属的虚拟交换接口VSI实例使能防攻击设置，并获取与所述DHCP发现报文相关联的目标信息，所述目标信息包括：发送所述DHCP发现报文的DHCP客户端的硬件标识、所述DHCP发现报文的源媒体访问控制MAC地址、所述DHCP发现报文所属的虚拟可扩展局域网VXLAN以及接收所述DHCP发现报文的物理端口；统计第一预设时长内与所述目标信息相匹配的DHCP发现报文数量；若所述DHCP发现报文数量超过第一预设数量，则启动防攻击策略，以丢弃与所述目标信息相匹配的DHCP发现报文。2.根据权利要求1所述的方法，其特征在于，在所述启动防攻击策略，以丢弃与所述目标信息相匹配的DHCP发现报文之后，所述方法还包括：统计自启动所述防攻击策略起第二预设时长内丢弃的DHCP发现报文数量；若所述丢弃的DHCP发现报文数量未超过第二预设数量，则停止所述防攻击策略；若所述丢弃的DHCP发现报文数量超过所述第二预设数量，则在下一个所述第二预设时长内继续丢弃所述DHCP发现报文，直至所述丢弃的DHCP发现报文数量未超过所述第二预设数量。3.根据权利要求1所述的方法，其特征在于，所述确认所述DHCP发现报文所属的虚拟交换接口VSI实例使能防攻击设置，包括：获取所述DHCP发现报文所属的VSI实例，并根据所述VSI实例的配置信息确认所述VSI实例使能防攻击设置。4.根据权利要求1所述的方法，其特征在于，所述DHCP客户端的硬件标识包括所述DHCP客户端所在主机的网卡MAC地址。5.根据权利要求4所述的方法，其特征在于，当所述目标信息包括所述DHCP客户端的硬件标识时，所述与所述目标信息相匹配的DHCP发现报文数量包括：所述DHCP客户端的硬件标识相同的DHCP发现报文数量；当所述目标信息包括所述源MAC地址时，所述与所述目标信息相匹配的DHCP发现报文数量包括：所述源MAC地址相同的DHCP发现报文数量；当所述目标信息包括所述DHCP发现报文所属的VXLAN和所述接收所述DHCP发现报文的物理端口时，所述与所述目标信息相匹配的DHCP发现报文数量包括：属于同一VXLAN且通过同一物理接口接收的DHCP发现报文数量。6.一种防攻击装置，其特征在于，所述装置包括：接收模块，用于接收...

【专利技术属性】
技术研发人员：林长望，
申请(专利权)人：新华三技术有限公司，
类型：发明
国别省市：浙江,33