本申请提供一种网络攻击防御方法及装置,应用于本端通信设备,该本端通信设备与对端通信设备进行通信,所述方法包括:根据本端通信设备与对端通信设备之间的通信数据,持续检测本端通信设备是否满足预定的源端防攻击条件;在检测到本端通信设备满足源端防攻击条件时,向对端通信设备发送远端防攻击通知,使对端通信设备启动远端防攻击处理,同时本端通信设备本地也启动源端防攻击处理对网络攻击的防御。如此,相较于现有技术仅在本端通信设备本身启动防御的方式,本申请提供的方案可以是整个网络系统协同进行防御,提高的对恶意攻击防御的有效性,减少网络攻击对整个网络造成的影响。
【技术实现步骤摘要】
网络攻击防御方法及装置
本申请涉及网络安全
,具体而言,涉及一种网络攻击防御方法及装置。
技术介绍
在网络通信中,时长会遇到恶意的主机发起网络攻击,在检测到网络攻击时,需要通信设备针对网络攻击启动防御。现有技术中,当作为攻击目标的通信设备在检测到受到网络攻击时,仅针对自身启动防御机制对攻击报文进行处理,但通常情况下,作为攻击目标的通信设备与发起攻击的主机之间的其他通信设备也会受到网络攻击的影响,仅针对攻击目标本身启动防御机制存在很大的局限性,不能有效减少攻击对整个网络系统造成的影响。
技术实现思路
第一方面,本申请提供一种网络攻击防御方法,应用于本端通信设备,该本端通信设备与对端通信设备进行通信,所述方法包括:根据本端通信设备与对端通信设备之间的通信数据,检测所述本端通信设备是否满足预定的源端防攻击条件;在检测到本端通信设备满足所述源端防攻击条件时,向所述对端通信设备发送远端防攻击通知,使该对端通信设备启动远端防攻击处理。可选地,所述根据本端通信设备与对端通信设备之间的通信数据,检测所述本端通信设备是否满足预定的源端防攻击条件的步骤,包括:根据从所述对端通信设备接收到的待处理报文的目的IP地址发送ARP探测报文;若在第一预设时长内未接收到其它主机针对所述ARP探测报文回复的ARP响应报文,则判断该本端通信设备满足所述源端防攻击条件。可选地,所述根据从所述对端通信设备接收到的待处理报文的目的IP地址发送ARP探测报文的步骤,包括:检测该本端通信设备的ARP缓存表中是否记录有与所述待处理报文的目的IP地址对应的MAC地址;若检测到所述ARP缓存表中未记录有对应的MAC地址,则启动源端防攻击处理,针对该目的IP地址发送ARP探测报文,并生成第一黑洞路由,所述第一黑洞路由用于丢弃与所述待处理报文的目的IP地址相同的报文;所述方法还包括:若在第一预设时长内接收到其它主机针对所述ARP探测报文回复的ARP响应报文,则删除所述第一黑洞路由可选地,所述向所述对端通信设备发送远端防攻击通知的步骤,包括:根据所述待处理报文的目的IP地址生成所述远端防攻击通知,并将所述远端防攻击通知发送给所述对端通信设备,使所述对端通信设备根据所述远端防攻击通知启动远端防攻击处理生成第二黑洞路由,所述第二黑洞路由用于丢弃与所述待处理报文的目的IP地址相同的报文。可选地,所述方法还包括:在所述本端通信设备在发送所述远端防攻击通知之后接收到针对所述ARP探测报文的ARP响应报文时,向所述对端通信设备发送解除通知,所述解除通知包括所述待处理报文的目的IP地址,使所述对端通信设备根据所述解除通知删除相应的第二黑洞路由。可选地,所述方法还包括:检测该本端通信设备上生成的源端口为同一隧道口的第一黑洞路由是否超过第一阈值;若源端口为同一隧道口的第一黑洞路由超过所述第一阈值,则加快源端口为该隧道口的第一黑洞路由的老化速度。可选地,所述根据本端通信设备与对端通信设备之间的通信数据,持续检测本端通信设备是否满足预定的源端防攻击条件的步骤,包括:检测该本端通信设备上来自同一端口的预设状态的TCP连接数量是否超过第二阈值;所述在检测到本端通信设备满足所述源端防攻击条件时,向所述对端通信设备发送远端防攻击通知的步骤,包括:在检测到任一端口的TCP连接数量超过第二阈值时,则向与该端口连接的对端通信设备发送远端防攻击通知,使该对端通信设备启动远端防攻击处理检测自身路由表中记录的该对端通信设备每个端口对应目的IP地址的数量,并在检测到该对端通信设备上任一端口对应的目的IP地址数量超过第三阈值时,丢弃从该端口收到的TCP报文。可选地,所述方法还包括:接收所述对端通信设备在检测到该对端通信设备上任一端口对应的目的IP地址数量超过第三阈值时发送的源端防攻击通知,启动源端防攻击处理加快该本端通信设备针对所述预设状态的TCP连接老化速度。第二方面,本申请提供一种网络攻击防御装置,应用于本端通信设备,该本端通信设备与对端通信设备进行通信,所述装置包括:检测模块,用于根据本端通信设备与对端通信设备之间的通信数据,持续检测本端通信设备是否满足预定的源端防攻击条件;通知模块,用于在检测到本端通信设备满足所述源端防攻击条件时,向所述对端通信设备发送远端防攻击通知,使该对端通信设备启动远端防攻击处理。可选地,所述检测模块具体用于根据从所述对端通信设备接收到的待处理报文的目的IP地址发送ARP探测报文;若在第一预设时长内未接收到其它主机针对所述ARP探测报文回复的ARP响应报文,则判断该本端通信设备满足所述源端防攻击条件。可选地,所述通知模块具体用于根据所述待处理报文的目的IP地址生成所述远端防攻击通知,并将所述远端防攻击通知发送给所述对端通信设备,使所述对端通信设备根据所述远端防攻击通知启动远端防攻击处理生成第二黑洞路由,所述第二黑洞路由用于丢弃与所述待处理报文的目的IP地址相同的报文。可选地,所述检测模块具体用于检测该本端通信设备上来自同一端口的预设状态的TCP连接数量是否超过第二阈值;所述通知模块具体用于在检测到任一端口的TCP连接数量超过第二阈值时,则向与该端口连接的对端通信设备发送远端防攻击通知,使该对端通信设备启动远端防攻击处理检测自身路由表中记录的该对端通信设备每个端口对应目的IP地址的数量,并在检测到该对端通信设备上任一端口对应的目的IP地址数量超过第三阈值时,丢弃从该端口收到的TCP报文。可选地,所述装置还包括:本地防御模块,用于接收所述对端通信设备在检测到该对端通信设备上任一端口对应的目的IP地址数量超过第三阈值时发送的源端防攻击通知,启动源端防攻击处理加快该本端通信设备针对所述预设状态的TCP连接老化速度。相对于现有技术而言,本申请具有以下有益效果:本申请提供的网络攻击防御方法及装置,通过在本端通信设备检测到受到网络攻击时,通知网络攻击来源路径上的对端通信设备启动防御,如此,相较于现有技术仅在本端通信设备本身启动防御的方式,本申请提供的方案可以是整个网络系统协同进行防御,提高的对恶意攻击防御的有效性,减少网络攻击对整个网络造成的影响。附图说明为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。图1为本申请实施例提供的网络攻击防御方法的流程示意图;图2为本申请实施例第一个例子提供的应用场景示意图;图3为本申请实施例第一个例子提供的通知报文格式示意图;图4为本申请实施例第二个例子提供的应用场景示意图;图5为本申请实施例提供的本端通信设备的硬件结构示意图;图6为本申请实施例提供的网络攻击防御装置的功能模块示意图。具体实施方式为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本本文档来自技高网...
【技术保护点】
1.一种网络攻击防御方法,其特征在于,应用于本端通信设备,该本端通信设备与对端通信设备进行通信,所述方法包括:根据本端通信设备与对端通信设备之间的通信数据,检测所述本端通信设备是否满足预定的源端防攻击条件;在检测到本端通信设备满足所述源端防攻击条件时,向所述对端通信设备发送远端防攻击通知,使该对端通信设备启动远端防攻击处理。
【技术特征摘要】
1.一种网络攻击防御方法,其特征在于,应用于本端通信设备,该本端通信设备与对端通信设备进行通信,所述方法包括:根据本端通信设备与对端通信设备之间的通信数据,检测所述本端通信设备是否满足预定的源端防攻击条件;在检测到本端通信设备满足所述源端防攻击条件时,向所述对端通信设备发送远端防攻击通知,使该对端通信设备启动远端防攻击处理。2.根据权利要求1所述的方法,其特征在于,所述根据本端通信设备与对端通信设备之间的通信数据,检测所述本端通信设备是否满足预定的源端防攻击条件的步骤,包括:根据从所述对端通信设备接收到的待处理报文的目的IP地址发送ARP探测报文;若在第一预设时长内未接收到其它主机针对所述ARP探测报文回复的ARP响应报文,则判断该本端通信设备满足所述源端防攻击条件。3.根据权利要求2所述的方法,其特征在于,所述根据从所述对端通信设备接收到的待处理报文的目的IP地址发送ARP探测报文的步骤,包括:检测该本端通信设备的ARP缓存表中是否记录有与所述待处理报文的目的IP地址对应的MAC地址;若检测到所述ARP缓存表中未记录有对应的MAC地址,则启动源端防攻击处理,针对该目的IP地址发送ARP探测报文,并生成第一黑洞路由,所述第一黑洞路由用于丢弃与所述待处理报文的目的IP地址相同的报文;所述方法还包括:若在第一预设时长内接收到其它主机针对所述ARP探测报文回复的ARP响应报文,则删除所述第一黑洞路由。4.根据权利要求2所述的方法,其特征在于,所述向所述对端通信设备发送远端防攻击通知的步骤,包括:根据所述待处理报文的目的IP地址生成所述远端防攻击通知,并将所述远端防攻击通知发送给所述对端通信设备,使所述对端通信设备根据所述远端防攻击通知启动远端防攻击处理生成第二黑洞路由,所述第二黑洞路由用于丢弃与所述待处理报文的目的IP地址相同的报文。5.根据权利要求4所述的方法,其特征在于,所述方法还包括:在发送所述远端防攻击通知之后接收到针对所述ARP探测报文的ARP响应报文时,向所述对端通信设备发送解除通知,所述解除通知包括所述待处理报文的目的IP地址,使所述对端通信设备根据所述解除通知删除相应的第二黑洞路由。6.根据权利要求2所述的方法,其特征在于,所述方法还包括:检测该本端通信设备上生成的源端口为同一隧道口的第一黑洞路由是否超过第一阈值;若源端口为同一隧道口的第一黑洞路由超过所述第一阈值,则加快源端口为该隧道口的第一黑洞路由的老化速度。7.根据权利要求1所述的方法,其特征在于,所述根据本端通信设备与对端通信设备之间的通信数据,持续检测本端通信设备是否满足预定的源端防攻击条件的步骤,包括:检测该本端通信设备上来自同一端口的预设状态的TCP连接数量是否超过第二阈值...
【专利技术属性】
技术研发人员:吴云,
申请(专利权)人:新华三技术有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。