防攻击方法及装置制造方法及图纸

本申请提供一种防攻击方法及装置。其中，防攻击方法包括：接收动态主机配置协议DHCP发现报文；确认DHCP发现报文所属的虚拟交换接口VSI实例使能防攻击设置，并获取与DHCP发现报文相关联的目标信息，该目标信息包括：发送DHCP发现报文的DHCP客户端的硬件标识、DHCP发现报文的源MAC地址、DHCP发现报文所属的VXLAN以及接收DHCP发现报文的物理端口；统计第一预设时长内与目标信息相匹配的DHCP发现报文数量；若DHCP发现报文数量超过第一预设数量，则启动防攻击策略，以丢弃与目标信息相匹配的DHCP发现报文。本申请实施例可以实现DHCP防攻击，并且不会导致正常的DHCP报文被丢弃。

Anti attack method and device

The present application provides an anti attack method and device. Among them, including anti attack methods: receiving dynamic host configuration protocol DHCP message; DHCP found confirmation message belongs to virtual exchange interface VSI instance can prevent attack set, and get the message associated with the target information and the target information of DHCP, including: send DHCP found hardware identification and DHCP messages in the DHCP client found the source MAC address, the DHCP message that message belongs to VXLAN and DHCP found that receiving physical port message; statistics for the first time with the preset target information to match the DHCP found that the number of packets; if DHCP found the number of packets exceeds a first preset number, then start to discard the anti attack strategy, and target information matching DHCP discovery message. The embodiment of the present invention can realize DHCP attack prevention and will not cause the normal DHCP message to be discarded.

【技术实现步骤摘要】
防攻击方法及装置
本申请涉及通信技术，尤其涉及一种防攻击方法及装置。
技术介绍
动态主机配置协议(DynamicHostConfigurationProtocol，DHCP)采用客户端-服务器模式，由服务器为客户端动态地分配IP地址等网络配置参数。DHCP客户端和DHCP服务器处于不同物理网段时，客户端可以通过DHCP中继与服务器通信，获取IP地址及其他配置信息。可扩展虚拟局域网络(VirtualeXtensibleLAN，VXLAN)是基于因特网互联协议(IP)网络、采用“媒体访问控制在用户数据报协议中(MACinUDP)”封装形式的二层虚拟专用网络(VPN)技术。VXLAN主要应用于数据中心网络。在VXLAN分布式网关的组网中，DHCP客户端和DHCP服务器可以分别与组网中的叶子(leaf)设备相连。而相关技术中，防攻击策略通常部署在DHCP服务器侧，DHCP服务器通常通过DHCP报文限速来解决报文攻击问题，但是通过DHCP报文限速会导致正常的DHCP报文被丢弃。
技术实现思路
有鉴于此，本申请提供一种防攻击方法及装置。具体地，本申请是通过如下技术方案实现的：根据本专利技术实施例的第一方面，提供一种防攻击方法，所述方法包括：接收动态主机配置协议DHCP发现报文；确认所述DHCP发现报文所属的虚拟交换接口VSI实例使能防攻击设置，并获取与所述DHCP发现报文相关联的目标信息，所述目标信息包括：发送所述DHCP发现报文的DHCP客户端的硬件标识、所述DHCP发现报文的源媒体访问控制MAC地址、所述DHCP发现报文所属的虚拟可扩展局域网VXLAN以及接收所述DHCP发现报文的物理端口；统计第一预设时长内与所述目标信息相匹配的DHCP发现报文数量；若所述DHCP发现报文数量超过第一预设数量，则启动防攻击策略，以丢弃与所述目标信息相匹配的DHCP发现报文。根据本专利技术实施例的第二方面，提供一种防攻击装置，所述装置包括：接收模块，用于接收动态主机配置协议DHCP发现报文；确认获取模块，用于确认所述接收模块接收的所述DHCP发现报文所属的虚拟交换接口VSI实例使能防攻击设置，并获取与所述DHCP发现报文相关联的目标信息，所述目标信息包括：发送所述DHCP发现报文的DHCP客户端的硬件标识、所述DHCP发现报文的源媒体访问控制MAC地址、所述DHCP发现报文所属的虚拟可扩展局域网VXLAN以及接收所述DHCP发现报文的物理端口；第一统计模块，用于统计第一预设时长内与所述确认获取模块获取的所述目标信息相匹配的DHCP发现报文数量；启动模块，用于若所述第一统计模块统计的所述DHCP发现报文数量超过第一预设数量，则启动防攻击策略，以丢弃与所述目标信息相匹配的DHCP发现报文。在本申请实施例中，通过在确认接收的DHCP发现报文所属的虚拟交换接口VSI实例使能防攻击设置前提下，获取与DHCP发现报文相关联的目标信息，并在统计的第一预设时长内与目标信息相匹配的DHCP发现报文数量超过第一预设数量时，启动防攻击策略，以丢弃与目标信息相匹配的DHCP发现报文，从而实现DHCP防攻击，并且不会导致正常的DHCP报文被丢弃。附图说明图1是本申请一示例性实施例示出的一种DHCP客户端和DHCP服务器在VXLAN分布式网关下的组网示意图；图2A是本申请一示例性实施例示出的一种防攻击方法的流程图；图2B是本申请一示例性实施例示出的另一种防攻击方法的流程图；图3是本申请一示例性实施例示出的另一种防攻击方法的流程图；图4是本申请一示例性实施例示出的另一种防攻击方法的流程图；图5是本申请一示例性实施例示出的另一种防攻击方法的流程图；图6是本申请防攻击装置所在设备的一种硬件结构图；图7是本申请一示例性实施例示出的一种防攻击装置的框图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。在本申请实施例中，DHCP客户端和DHCP服务器在分布式网关下的组网结构可以如图1所示，其中，叶子设备11对于DHCP客户端12或DHCP服务器13而言，可能是中继(relay)设备，也可能是监听(snooping)设备。本申请实施例提供的防攻击方法可应用于叶子设备上，也可以应用于DHCP服务器上，该防攻击方法通过获取与DHCP发现(discover)报文相关联的目标信息，并统计第一预设时长内与目标信息相匹配的DHCP发现报文数量，若DHCP发现报文数量超过第一预设数量，则启动防攻击策略，以丢弃与目标信息相匹配的DHCP发现报文。上述防攻击方法可以丢弃DHCP攻击报文，但不会导致正常的DHCP报文被丢弃。下面结合具体实施例对本申请的实现过程进行详细描述。图2A是本申请一示例性实施例示出的一种防攻击方法的流程图，该实施例可应用于叶子设备上，也可以应用于DHCP服务器上。如图2A所示，该防攻击方法包括：步骤S201，接收DHCP发现报文。步骤S202，确认DHCP发现报文所属的虚拟交换接口(VSI)实例使能防攻击设置，并获取与DHCP发现报文相关联的目标信息。在该实施例中，可以通过获取DHCP发现报文所属的VSI实例，并根据VSI实例的配置信息来确认VSI实例是否使能防攻击设置，若配置信息中VSI实例的防攻击设置选项值为使能，则确认VSI实例使能防攻击设置，若配置信息中VSI实例的防攻击设置选项值为去使能，则确认VSI实例去使能防攻击设置。只有在VSI实例使能防攻击设置的前提下，才获取与DHCP发现报文相关联的目标信息。为了更好地防攻击，该实施例的目标信息可以包含多种内容，以实现多维度的防攻击方案。例如，目标信息可以包含发送DHCP发现报文的DHCP客户端的硬件标识、DHCP发现报文的源媒体访问控制(MAC)地址、DHCP发现报文所属的VXLAN以及接收DHCP发现报文的物理端口。其中，DHCP客户端的硬件标识可以为DHCP客户端所在主机的网卡MAC地址。对于正常报文而言，DHCP客户端的硬件标识与源MAC地址是相同的，但是对于攻击报文而言，二者都有可能被篡改，因此，该实施例可以分别基于硬件标识和源MAC地址进行防攻击。步骤S203，统计第一预设时长内与目标信息相匹配的DHCP发现报文数量。其中，第一预设时长本文档来自技高网...

【技术保护点】
一种防攻击方法，其特征在于，所述方法包括：接收动态主机配置协议DHCP发现报文；确认所述DHCP发现报文所属的虚拟交换接口VSI实例使能防攻击设置，并获取与所述DHCP发现报文相关联的目标信息，所述目标信息包括：发送所述DHCP发现报文的DHCP客户端的硬件标识、所述DHCP发现报文的源媒体访问控制MAC地址、所述DHCP发现报文所属的虚拟可扩展局域网VXLAN以及接收所述DHCP发现报文的物理端口；统计第一预设时长内与所述目标信息相匹配的DHCP发现报文数量；若所述DHCP发现报文数量超过第一预设数量，则启动防攻击策略，以丢弃与所述目标信息相匹配的DHCP发现报文。

【技术特征摘要】
1.一种防攻击方法，其特征在于，所述方法包括：接收动态主机配置协议DHCP发现报文；确认所述DHCP发现报文所属的虚拟交换接口VSI实例使能防攻击设置，并获取与所述DHCP发现报文相关联的目标信息，所述目标信息包括：发送所述DHCP发现报文的DHCP客户端的硬件标识、所述DHCP发现报文的源媒体访问控制MAC地址、所述DHCP发现报文所属的虚拟可扩展局域网VXLAN以及接收所述DHCP发现报文的物理端口；统计第一预设时长内与所述目标信息相匹配的DHCP发现报文数量；若所述DHCP发现报文数量超过第一预设数量，则启动防攻击策略，以丢弃与所述目标信息相匹配的DHCP发现报文。2.根据权利要求1所述的方法，其特征在于，在所述启动防攻击策略，以丢弃与所述目标信息相匹配的DHCP发现报文之后，所述方法还包括：统计自启动所述防攻击策略起第二预设时长内丢弃的DHCP发现报文数量；若所述丢弃的DHCP发现报文数量未超过第二预设数量，则停止所述防攻击策略；若所述丢弃的DHCP发现报文数量超过所述第二预设数量，则在下一个所述第二预设时长内继续丢弃所述DHCP发现报文，直至所述丢弃的DHCP发现报文数量未超过所述第二预设数量。3.根据权利要求1所述的方法，其特征在于，所述确认所述DHCP发现报文所属的虚拟交换接口VSI实例使能防攻击设置，包括：获取所述DHCP发现报文所属的VSI实例，并根据所述VSI实例的配置信息确认所述VSI实例使能防攻击设置。4.根据权利要求1所述的方法，其特征在于，所述DHCP客户端的硬件标识包括所述DHCP客户端所在主机的网卡MAC地址。5.根据权利要求4所述的方法，其特征在于，当所述目标信息包括所述DHCP客户端的硬件标识时，所述与所述目标信息相匹配的DHCP发现报文数量包括：所述DHCP客户端的硬件标识相同的DHCP发现报文数量；当所述目标信息包括所述源MAC地址时，所述与所述目标信息相匹配的DHCP发现报文数量包括：所述源MAC地址相同的DHCP发现报文数量；当所述目标信息包括所述DHCP发现报文所属的VXLAN和所述接收所述DHCP发现报文的物理端口时，所述与所述目标信息相匹配的DHCP发现报文数量包括：属于同一VXLAN且通过同一物理接口接收的DHCP发现报文数量。6.一种防攻击装置，其特征在于，所述装置包括：接收模块，用于接收...

【专利技术属性】
技术研发人员：林长望，
申请(专利权)人：新华三技术有限公司，
类型：发明
国别省市：浙江,33