一种IP分片攻击防御方法、装置和网络攻击防御设备制造方法及图纸

本发明专利技术涉及网络攻击防御技术领域，提供了一种IP分片攻击防御方法、装置和网络攻击防御设备，该方法包括：通过第一IP分片报文触发计时，在计时期间，将第一IP分片报文存入等待队列，若在计时期间不存在第二IP分片报文被接收，则依据网络攻击防御策略自终止时刻防御第一IP分片攻击；若在计时期间存在第二IP分片报文被接收，则将第二IP分片报文存入等待队列，自终止时刻起，从等待队列中取出第一IP分片报文和第二IP分片报文，通过网络攻击防御策略及其攻击检测第一IP分片报文和第二IP分片报文之后得到的检测结果防御第二IP分片攻击，有效防御第一IP分片攻击和第二IP分片攻击，保证了防御IP分片攻击的时效性、可靠性和准确性，有助于提升防御效率。

An IP fragment attack defense method, device and network attack defense device

【技术实现步骤摘要】
一种IP分片攻击防御方法、装置和网络攻击防御设备
本专利技术涉及网络攻击防御
，具体涉及一种IP分片攻击防御方法、装置和网络攻击防御设备。
技术介绍
IP分片攻击是指作为攻击报文的IP分片报文绕过网络设备访问或/和引发网络设备拒绝服务等网络攻击，例如：不符合规范的第一个IP分文或者互有重叠的两个IP分片报文容易引发拒绝服务攻击，该拒绝服务攻击诸如：pingo'death攻击、jolt2攻击和teardrop攻击等。现有IP分片攻击防御方法通常依据针对用以防御特定一种IP分片攻击防御的网络攻击防御策略拦截或丢弃IP分片报文，以防御与网络攻击防御策略对应的IP分片攻击，却难以有效地防御不同IP分片攻击。
技术实现思路
针对现有IP分片攻击防御方法难以有效防御不同IP分片攻击的问题，本专利技术提供一种IP分片攻击防御方法、装置和网络攻击防御设备。本专利技术第一方面提供一种IP分片攻击防御方法，包括：当接收到第一IP分片报文时，记录所述第一IP分片报文的接收时刻，将所述接收时刻设置为起始时刻，从所述起始本文档来自技高网...

【技术保护点】
1.一种IP分片攻击防御方法，其特征在于，包括：/n当接收到第一IP分片报文时，记录所述第一IP分片报文的接收时刻，将所述接收时刻设置为起始时刻，从所述起始时刻计时到终止时刻；/n在所述起始时刻到所述终止时刻的计时期间，将所述第一IP分片报文存入等待队列，并等待接收第二IP分片报文；/n若在所述计时期间未接收到所述第二IP分片报文，则依据预设的网络攻击防御策略自所述终止时刻起防御所述第一IP分片报文在所述等待队列中引发第一IP分片攻击；/n若在所述计时期间接收到所述第二IP分片报文，则将所述第二IP分片报文存入所述等待队列；/n自所述终止时刻起，从所述等待队列中取出所述第一IP分片报文和所述第...

【技术特征摘要】
1.一种IP分片攻击防御方法，其特征在于，包括：
当接收到第一IP分片报文时，记录所述第一IP分片报文的接收时刻，将所述接收时刻设置为起始时刻，从所述起始时刻计时到终止时刻；
在所述起始时刻到所述终止时刻的计时期间，将所述第一IP分片报文存入等待队列，并等待接收第二IP分片报文；
若在所述计时期间未接收到所述第二IP分片报文，则依据预设的网络攻击防御策略自所述终止时刻起防御所述第一IP分片报文在所述等待队列中引发第一IP分片攻击；
若在所述计时期间接收到所述第二IP分片报文，则将所述第二IP分片报文存入所述等待队列；
自所述终止时刻起，从所述等待队列中取出所述第一IP分片报文和所述第二IP分片报文；
依据所述网络攻击防御策略对所述第一IP分片报文和所述第二IP分片报文进行攻击检测，得到检测结果；
依据所述网络攻击防御策略和所述检测结果防御所述第一IP分片报文与所述第二IP分片报文协同引发第二IP分片攻击。


2.根据权利要求1所述的IP分片攻击防御方法，其特征在于，依据网络攻击防御策略自所述终止时刻起防御所述第一IP分片报文在所述等待队列中引发第一IP分片攻击，具体包括：
从所述网络攻击防御策略中获取第一防御规则；
依据所述第一防御规则在所述终止时刻释放所述等待队列，以防御所述第一IP分片攻击。


3.根据权利要求1所述的IP分片攻击防御方法，其特征在于，依据所述网络攻击防御策略对所述第一IP分片报文和所述第二IP分片报文进行攻击检测，得到检测结果，具体包括：
从所述网络攻击防御策略中获取报文攻击检测规则；
依据所述报文攻击检测规则检测所述第一IP分片报文与所述第二IP分片报文协同的报文类型；
若所述报文类型为合法类型，则设置用于指示所述第一IP分片报文与所述第二IP分片报文协同为合法报文的所述检测结果；
若所述报文类型为攻击类型，则设置用于指示所述第一IP分片报文与所述第二IP分片报文协同为攻击报文的所述检测结果。


4.根据权利要求3所述的IP分片攻击防御方法，其特征在于，依据所述报文攻击检测规则检测所述第一IP分片报文与所述第二IP分片报文协同的报文类型，具体包括：
从所述第一IP分片报文中获取第一报头信息；
从所述第二IP分片报文中获取第二报头信息；
若所述第一报头信息和所述第二报头信息符合所述报文攻击检测规则，则将所述报文类型确定为所述合法类型；
若所述第一报头信息或/和所述第二报头信息不符合所述报文攻击检测规则，则将所述报文类型确定为攻击类型。


5.根据权利要求1-4任一项所述的IP分片攻击防御方法，其特征在于，依据所述网络攻击防御策略和所述检测结果防御所述第一IP分片报文与所述第二IP分片报文协同引发第二IP分片攻击，具体包括：
从所述网络攻击防御策略中获取第二防御规则；
若所述检测结果指示所述第一IP分片报文与所述第二IP分片报文协同为合法报文，则依据所述第二防御规则停止防御所述第二IP分片攻击；
若所述检测结果指示所述第一IP分片报文与所述第二IP分片报文协同为攻击报文，则依据所述第二防御规则持续防御所述第二IP分片攻击。


6.一种IP分片攻击防御装置，其特征在于，包括：
计时控制模块、写入控制模块、第一...

【专利技术属性】
技术研发人员：陈军，雷棋，兰海翔，李卫群，周发辉，
申请(专利权)人：贵阳忆联网络有限公司，
类型：发明
国别省市：贵州;52