CN106982225A - 防攻击方法及装置 - Google Patents

防攻击方法及装置 Download PDF

Info

Publication number
CN106982225A
CN106982225A CN201710293928.7A CN201710293928A CN106982225A CN 106982225 A CN106982225 A CN 106982225A CN 201710293928 A CN201710293928 A CN 201710293928A CN 106982225 A CN106982225 A CN 106982225A
Authority
CN
China
Prior art keywords
dhcp
message
found
target information
attack protection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710293928.7A
Other languages
English (en)
Other versions
CN106982225B (zh
Inventor
林长望
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Technologies Co Ltd
Original Assignee
New H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Technologies Co Ltd filed Critical New H3C Technologies Co Ltd
Priority to CN201710293928.7A priority Critical patent/CN106982225B/zh
Publication of CN106982225A publication Critical patent/CN106982225A/zh
Application granted granted Critical
Publication of CN106982225B publication Critical patent/CN106982225B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本申请提供一种防攻击方法及装置。其中,防攻击方法包括:接收动态主机配置协议DHCP发现报文;确认DHCP发现报文所属的虚拟交换接口VSI实例使能防攻击设置,并获取与DHCP发现报文相关联的目标信息,该目标信息包括:发送DHCP发现报文的DHCP客户端的硬件标识、DHCP发现报文的源MAC地址、DHCP发现报文所属的VXLAN以及接收DHCP发现报文的物理端口;统计第一预设时长内与目标信息相匹配的DHCP发现报文数量;若DHCP发现报文数量超过第一预设数量,则启动防攻击策略,以丢弃与目标信息相匹配的DHCP发现报文。本申请实施例可以实现DHCP防攻击,并且不会导致正常的DHCP报文被丢弃。

Description

防攻击方法及装置
技术领域
本申请涉及通信技术,尤其涉及一种防攻击方法及装置。
背景技术
动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)采用客户端-服务器模式,由服务器为客户端动态地分配IP地址等网络配置参数。DHCP客户端和DHCP服务器处于不同物理网段时,客户端可以通过DHCP中继与服务器通信,获取IP地址及其他配置信息。
可扩展虚拟局域网络(Virtual eXtensible LAN,VXLAN)是基于因特网互联协议(IP)网络、采用“媒体访问控制在用户数据报协议中(MAC in UDP)”封装形式的二层虚拟专用网络(VPN)技术。VXLAN主要应用于数据中心网络。
在VXLAN分布式网关的组网中,DHCP客户端和DHCP服务器可以分别与组网中的叶子(leaf)设备相连。而相关技术中,防攻击策略通常部署在DHCP服务器侧,DHCP服务器通常通过DHCP报文限速来解决报文攻击问题,但是通过DHCP报文限速会导致正常的DHCP报文被丢弃。
发明内容
有鉴于此,本申请提供一种防攻击方法及装置。
具体地,本申请是通过如下技术方案实现的:
根据本发明实施例的第一方面,提供一种防攻击方法,所述方法包括:
接收动态主机配置协议DHCP发现报文;
确认所述DHCP发现报文所属的虚拟交换接口VSI实例使能防攻击设置,并获取与所述DHCP发现报文相关联的目标信息,所述目标信息包括:发送所述DHCP发现报文的DHCP客户端的硬件标识、所述DHCP发现报文的源媒体访问控制MAC地址、所述DHCP发现报文所属的虚拟可扩展局域网VXLAN以及接收所述DHCP发现报文的物理端口;
统计第一预设时长内与所述目标信息相匹配的DHCP发现报文数量;
若所述DHCP发现报文数量超过第一预设数量,则启动防攻击策略,以丢弃与所述目标信息相匹配的DHCP发现报文。
根据本发明实施例的第二方面,提供一种防攻击装置,所述装置包括:
接收模块,用于接收动态主机配置协议DHCP发现报文;
确认获取模块,用于确认所述接收模块接收的所述DHCP发现报文所属的虚拟交换接口VSI实例使能防攻击设置,并获取与所述DHCP发现报文相关联的目标信息,所述目标信息包括:发送所述DHCP发现报文的DHCP客户端的硬件标识、所述DHCP发现报文的源媒体访问控制MAC地址、所述DHCP发现报文所属的虚拟可扩展局域网VXLAN以及接收所述DHCP发现报文的物理端口;
第一统计模块,用于统计第一预设时长内与所述确认获取模块获取的所述目标信息相匹配的DHCP发现报文数量;
启动模块,用于若所述第一统计模块统计的所述DHCP发现报文数量超过第一预设数量,则启动防攻击策略,以丢弃与所述目标信息相匹配的DHCP发现报文。
在本申请实施例中,通过在确认接收的DHCP发现报文所属的虚拟交换接口VSI实例使能防攻击设置前提下,获取与DHCP发现报文相关联的目标信息,并在统计的第一预设时长内与目标信息相匹配的DHCP发现报文数量超过第一预设数量时,启动防攻击策略,以丢弃与目标信息相匹配的DHCP发现报文,从而实现DHCP防攻击,并且不会导致正常的DHCP报文被丢弃。
附图说明
图1是本申请一示例性实施例示出的一种DHCP客户端和DHCP服务器在VXLAN分布式网关下的组网示意图;
图2A是本申请一示例性实施例示出的一种防攻击方法的流程图;
图2B是本申请一示例性实施例示出的另一种防攻击方法的流程图;
图3是本申请一示例性实施例示出的另一种防攻击方法的流程图;
图4是本申请一示例性实施例示出的另一种防攻击方法的流程图;
图5是本申请一示例性实施例示出的另一种防攻击方法的流程图;
图6是本申请防攻击装置所在设备的一种硬件结构图;
图7是本申请一示例性实施例示出的一种防攻击装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
在本申请实施例中,DHCP客户端和DHCP服务器在分布式网关下的组网结构可以如图1所示,其中,叶子设备11对于DHCP客户端12或DHCP服务器13而言,可能是中继(relay)设备,也可能是监听(snooping)设备。本申请实施例提供的防攻击方法可应用于叶子设备上,也可以应用于DHCP服务器上,该防攻击方法通过获取与DHCP发现(discover)报文相关联的目标信息,并统计第一预设时长内与目标信息相匹配的DHCP发现报文数量,若DHCP发现报文数量超过第一预设数量,则启动防攻击策略,以丢弃与目标信息相匹配的DHCP发现报文。上述防攻击方法可以丢弃DHCP攻击报文,但不会导致正常的DHCP报文被丢弃。下面结合具体实施例对本申请的实现过程进行详细描述。
图2A是本申请一示例性实施例示出的一种防攻击方法的流程图,该实施例可应用于叶子设备上,也可以应用于DHCP服务器上。如图2A所示,该防攻击方法包括:
步骤S201,接收DHCP发现报文。
步骤S202,确认DHCP发现报文所属的虚拟交换接口(VSI)实例使能防攻击设置,并获取与DHCP发现报文相关联的目标信息。
在该实施例中,可以通过获取DHCP发现报文所属的VSI实例,并根据VSI实例的配置信息来确认VSI实例是否使能防攻击设置,若配置信息中VSI实例的防攻击设置选项值为使能,则确认VSI实例使能防攻击设置,若配置信息中VSI实例的防攻击设置选项值为去使能,则确认VSI实例去使能防攻击设置。
只有在VSI实例使能防攻击设置的前提下,才获取与DHCP发现报文相关联的目标信息。为了更好地防攻击,该实施例的目标信息可以包含多种内容,以实现多维度的防攻击方案。例如,目标信息可以包含发送DHCP发现报文的DHCP客户端的硬件标识、DHCP发现报文的源媒体访问控制(MAC)地址、DHCP发现报文所属的VXLAN以及接收DHCP发现报文的物理端口。
其中,DHCP客户端的硬件标识可以为DHCP客户端所在主机的网卡MAC地址。对于正常报文而言,DHCP客户端的硬件标识与源MAC地址是相同的,但是对于攻击报文而言,二者都有可能被篡改,因此,该实施例可以分别基于硬件标识和源MAC地址进行防攻击。
步骤S203,统计第一预设时长内与目标信息相匹配的DHCP发现报文数量。
其中,第一预设时长可以根据需要灵活设置,例如可以为1分钟等。
具体地,可以统计第一预设时长内DHCP客户端的硬件标识相同的DHCP发现报文数量,第一预设时长内源MAC地址相同的DHCP发现报文数量,以及第一预设时长内属于同一VXLAN且通过同一物理接口接收的DHCP发现报文数量。
步骤S204,若DHCP发现报文数量超过第一预设数量,则启动防攻击策略,以丢弃与目标信息相匹配的DHCP发现报文。
其中,第一预设数量可以根据需要灵活设置。假设,第一预设时长内DHCP客户端的硬件标识相同的DHCP发现报文数量超过第一预设数量,则可以启动防攻击策略,以丢弃与上述DHCP客户端的硬件标识相同的DHCP发现报文;假设,第一预设时长内源MAC地址相同的DHCP发现报文数量超过第一预设数量,则可以启动防攻击策略,以丢弃与上述源MAC地址相同的DHCP发现报文;假设,第一预设时长内属于同一VXLAN且通过同一物理接口接收的DHCP发现报文数量超过第一预设数量,则可以启动防攻击策略,以丢弃属于上述VXLAN且通过上述物理接口接收的DHCP发现报文。
通过上述多种防攻击方案,可以有效地防止DHCP攻击报文的攻击。
上述实施例,通过在确认接收的DHCP发现报文所属的虚拟交换接口VSI实例使能防攻击设置前提下,获取与DHCP发现报文相关联的目标信息,并在统计的第一预设时长内与目标信息相匹配的DHCP发现报文数量超过第一预设数量时,启动防攻击策略,以丢弃与目标信息相匹配的DHCP发现报文,从而实现DHCP防攻击,并且不会导致正常的DHCP报文被丢弃。
图2B是本申请一示例性实施例示出的另一种防攻击方法的流程图,如图2B所示,在上述步骤S204之后,该方法还可以包括:
步骤S205,统计自启动防攻击策略起第二预设时长内丢弃的DHCP发现报文数量。
步骤S206,判断丢弃的DHCP发现报文数量是否超过第二预设数量,若未超过第二预设数量,则停止防攻击策略;若丢弃的DHCP发现报文数量超过第二预设数量,则执行步骤S207。
步骤S207,在下一个第二预设时长内继续丢弃DHCP发现报文,转向步骤S206。
上述实施例,通过统计自启动防攻击策略起第二预设时长内丢弃的DHCP发现报文数量,将丢弃的DHCP发现报文数量与第二预设数量进行比较,并根据比较结果决定停止丢弃或继续丢弃DHCP发现报文,从而进一步提升防攻击效果。
为了实现更好的防攻击效果,本申请实施例中可以在每个叶子设备和DHCP服务器上执行多种防攻击方案,下面以图3、图4和图5为例来示例性地描述三种防攻击方案。
图3是本申请一示例性实施例示出的另一种防攻击方法的流程图,该实施例基于DHCP客户端的硬件标识进行防攻击,如图3所示,该方法包括:
步骤S301,接收DHCP发现报文。
步骤S302,获取DHCP发现报文所属的VSI实例,并根据VSI实例的配置信息来确认VSI实例使能防攻击设置。
步骤S303,从DHCP发现报文中获取DHCP客户端的硬件标识。
Leaf设备或DHCP服务器可以从DHCP发现报文的报文头中获取该硬件标识。
步骤S304,统计第一预设时长内DHCP客户端的硬件标识相同的DHCP发现报文数量。
统计第一预设时长内DHCP客户端的硬件标识相同的DHCP发现报文数量,也即统计第一预设时长内包含同一DHCP客户端的硬件标识的DHCP发现报文数量。
步骤S305,若DHCP发现报文数量超过第一预设数量,则启动防攻击策略,以丢弃与上述DHCP客户端的硬件标识相同的DHCP发现报文。
步骤S306,统计自启动防攻击策略起第二预设时长内丢弃的DHCP发现报文数量。
步骤S307,判断丢弃的DHCP发现报文数量是否超过第二预设数量,若未超过第二预设数量,则停止防攻击策略;若丢弃的DHCP发现报文数量超过第二预设数量,则执行步骤S308。
步骤S308,在下一个第二预设时长内继续丢弃DHCP发现报文,转向步骤S307。
上述实施例,通过统计第一预设时长内DHCP客户端的硬件标识相同的DHCP发现报文数量,并在DHCP发现报文数量超过第一预设数量时,启动防攻击策略,以丢弃与上述DHCP客户端的硬件标识相同的DHCP发现报文,然后统计自启动防攻击策略起第二预设时长内丢弃的DHCP发现报文数量,将丢弃的DHCP发现报文数量与第二预设数量进行比较,并根据比较结果决定停止丢弃或继续丢弃DHCP发现报文,从而实现防攻击目的,且不会导致正常的DHCP报文被丢弃。
图4是本申请一示例性实施例示出的另一种防攻击方法的流程图,该实施例基于DHCP发现报文的源MAC地址进行防攻击,如图4所示,该方法包括:
步骤S401,接收DHCP发现报文。
步骤S402,获取DHCP发现报文所属的VSI实例,并根据VSI实例的配置信息来确认VSI实例使能防攻击设置。
步骤S403,获取DHCP发现报文的源MAC地址。
步骤S404,统计第一预设时长内源MAC地址相同的DHCP发现报文数量。
统计第一预设时长内源MAC地址相同的DHCP发现报文数量,也即统计第一预设时长内包含同一源MAC地址的DHCP发现报文数量。
步骤S405,若DHCP发现报文数量超过第一预设数量,则启动防攻击策略,以丢弃与上述源MAC地址相同的DHCP发现报文。
步骤S406,统计自启动防攻击策略起第二预设时长内丢弃的DHCP发现报文数量。
步骤S407,判断丢弃的DHCP发现报文数量是否超过第二预设数量,若未超过第二预设数量,则停止防攻击策略;若丢弃的DHCP发现报文数量超过第二预设数量,则执行步骤S408。
步骤S408,在下一个第二预设时长内继续丢弃DHCP发现报文,转向步骤S407。
上述实施例,通过统计第一预设时长内源MAC地址相同的DHCP发现报文数量,并在DHCP发现报文数量超过第一预设数量时,启动防攻击策略,以丢弃与上述源MAC地址相同的DHCP发现报文,然后统计自启动防攻击策略起第二预设时长内丢弃的DHCP发现报文数量,将丢弃的DHCP发现报文数量与第二预设数量进行比较,并根据比较结果决定停止丢弃或继续丢弃DHCP发现报文,从而实现防攻击目的,且不会导致正常的DHCP报文被丢弃。
图5是本申请一示例性实施例示出的另一种防攻击方法的流程图,该实施例基于DHCP发现报文所属的虚拟可扩展局域网VXLAN以及接收DHCP发现报文的物理端口进行防攻击,如图5所示,该方法包括:
步骤S501,接收DHCP发现报文。
步骤S502,获取DHCP发现报文所属的VSI实例,并根据VSI实例的配置信息来确认VSI实例使能防攻击设置。
步骤S503,获取DHCP发现报文所属的VXLAN以及接收DHCP发现报文的物理端口。
步骤S504,统计第一预设时长内属于同一VXLAN且通过同一物理接口接收的DHCP发现报文数量。
步骤S505,若DHCP发现报文数量超过第一预设数量,则启动防攻击策略,以丢弃属于上述VXLAN且通过上述物理接口接收的DHCP发现报文。
步骤S506,统计自启动防攻击策略起第二预设时长内丢弃的DHCP发现报文数量。
步骤S507,判断丢弃的DHCP发现报文数量是否超过第二预设数量,若未超过第二预设数量,则停止防攻击策略;若丢弃的DHCP发现报文数量超过第二预设数量,则执行步骤S508。
步骤S508,在下一个第二预设时长内继续丢弃DHCP发现报文,转向步骤S507。
上述实施例,通过统计属于同一VXLAN且通过同一物理接口接收的DHCP发现报文数量,并在DHCP发现报文数量超过第一预设数量时,启动防攻击策略,以丢弃属于上述VXLAN且通过上述物理接口接收的DHCP发现报文,然后统计自启动防攻击策略起第二预设时长内丢弃的DHCP发现报文数量,将丢弃的DHCP发现报文数量与第二预设数量进行比较,并根据比较结果决定停止丢弃或继续丢弃DHCP发现报文,从而实现防攻击目的,且不会导致正常的DHCP报文被丢弃。
与前述防攻击方法的实施例相对应,本申请还提供了防攻击装置的实施例。
本申请防攻击装置的实施例可以应用在叶子设备或DHCP服务器上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图6所示,是本申请防攻击装置600所在设备的一种硬件结构图,该设备包括:存储器610和处理器620。
存储器610存储指令代码。
处理器620与存储器610通信,读取和执行存储器中存储的所述指令代码,实现本申请上述示例公开的防攻击操作。
这里,存储器可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(Radom AccessMemory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
需要说明的是,当防攻击装置应用到DHCP服务器上时,DHCP服务器是一个VXLAN隧道终端(VTEP)设备。
图7是本申请一示例性实施例示出的一种防攻击装置的框图,该装置可应用于叶子设备上,也可以应用于DHCP服务器上,如图7所示,该防攻击装置包括:接收模块71、确认获取模块72、第一统计模块73和启动模块74。
接收模块71用于接收动态主机配置协议DHCP发现报文。
确认获取模块72用于确认接收模块71接收的DHCP发现报文所属的虚拟交换接口VSI实例使能防攻击设置,并获取与DHCP发现报文相关联的目标信息。
第一统计模块73用于统计第一预设时长内与确认获取模块72获取的目标信息相匹配的DHCP发现报文数量。
启动模块74用于若第一统计模块73统计的DHCP发现报文数量超过第一预设数量,则启动防攻击策略,以丢弃与目标信息相匹配的DHCP发现报文。
在其中另一种实施方式中,该装置还可以包括:第二统计模块75、停止模块76和处理模块77。
第二统计模块75用于在启动模块74启动防攻击策略,以丢弃与目标信息相匹配的DHCP发现报文之后,统计自启动防攻击策略起第二预设时长内丢弃的DHCP发现报文数量。
停止模块76用于若第二统计模块75统计的丢弃的DHCP发现报文数量未超过第二预设数量,则停止防攻击策略。
处理模块77用于若第二统计模块75统计的丢弃的DHCP发现报文数量超过第二预设数量,则在下一个第二预设时长内继续丢弃DHCP发现报文,并调用停止模块76工作。
在其中另一种实施方式中,确认获取模块72可以具体用于:获取DHCP发现报文所属的VSI实例,并根据VSI实例的配置信息确认VSI实例使能防攻击设置。
在其中另一种实施方式中,目标信息可以包括:DHCP发现报文的报文头中封装的媒体访问控制MAC地址、DHCP发现报文的源MAC地址、DHCP发现报文所属的虚拟可扩展局域网VXLAN以及接收DHCP发现报文的物理端口。
当目标信息包括DHCP客户端的硬件标识时,与目标信息相匹配的DHCP发现报文数量可以包括:DHCP客户端的硬件标识相同的DHCP发现报文数量;当目标信息包括源MAC地址时,与目标信息相匹配的DHCP发现报文数量可以包括:源MAC地址相同的DHCP发现报文数量;当目标信息包括DHCP发现报文所属的VXLAN和接收DHCP发现报文的物理端口时,与目标信息相匹配的DHCP发现报文数量可以包括:属于同一VXLAN且通过同一物理接口接收的DHCP发现报文数量。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
上述实施例,通过在确认接收的DHCP发现报文所属的虚拟交换接口VSI实例使能防攻击设置前提下,获取与DHCP发现报文相关联的目标信息,并在统计的第一预设时长内与目标信息相匹配的DHCP发现报文数量超过第一预设数量时,启动防攻击策略,以丢弃与目标信息相匹配的DHCP发现报文,从而实现DHCP防攻击,并且不会导致正常的DHCP报文被丢弃。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (10)

1.一种防攻击方法,其特征在于,所述方法包括:
接收动态主机配置协议DHCP发现报文;
确认所述DHCP发现报文所属的虚拟交换接口VSI实例使能防攻击设置,并获取与所述DHCP发现报文相关联的目标信息,所述目标信息包括:发送所述DHCP发现报文的DHCP客户端的硬件标识、所述DHCP发现报文的源媒体访问控制MAC地址、所述DHCP发现报文所属的虚拟可扩展局域网VXLAN以及接收所述DHCP发现报文的物理端口;
统计第一预设时长内与所述目标信息相匹配的DHCP发现报文数量;
若所述DHCP发现报文数量超过第一预设数量,则启动防攻击策略,以丢弃与所述目标信息相匹配的DHCP发现报文。
2.根据权利要求1所述的方法,其特征在于,在所述启动防攻击策略,以丢弃与所述目标信息相匹配的DHCP发现报文之后,所述方法还包括:
统计自启动所述防攻击策略起第二预设时长内丢弃的DHCP发现报文数量;
若所述丢弃的DHCP发现报文数量未超过第二预设数量,则停止所述防攻击策略;
若所述丢弃的DHCP发现报文数量超过所述第二预设数量,则在下一个所述第二预设时长内继续丢弃所述DHCP发现报文,直至所述丢弃的DHCP发现报文数量未超过所述第二预设数量。
3.根据权利要求1所述的方法,其特征在于,所述确认所述DHCP发现报文所属的虚拟交换接口VSI实例使能防攻击设置,包括:
获取所述DHCP发现报文所属的VSI实例,并根据所述VSI实例的配置信息确认所述VSI实例使能防攻击设置。
4.根据权利要求1所述的方法,其特征在于,所述DHCP客户端的硬件标识包括所述DHCP客户端所在主机的网卡MAC地址。
5.根据权利要求4所述的方法,其特征在于,当所述目标信息包括所述DHCP客户端的硬件标识时,所述与所述目标信息相匹配的DHCP发现报文数量包括:所述DHCP客户端的硬件标识相同的DHCP发现报文数量;
当所述目标信息包括所述源MAC地址时,所述与所述目标信息相匹配的DHCP发现报文数量包括:所述源MAC地址相同的DHCP发现报文数量;
当所述目标信息包括所述DHCP发现报文所属的VXLAN和所述接收所述DHCP发现报文的物理端口时,所述与所述目标信息相匹配的DHCP发现报文数量包括:属于同一VXLAN且通过同一物理接口接收的DHCP发现报文数量。
6.一种防攻击装置,其特征在于,所述装置包括:
接收模块,用于接收动态主机配置协议DHCP发现报文;
确认获取模块,用于确认所述接收模块接收的所述DHCP发现报文所属的虚拟交换接口VSI实例使能防攻击设置,并获取与所述DHCP发现报文相关联的目标信息,所述目标信息包括:发送所述DHCP发现报文的DHCP客户端的硬件标识、所述DHCP发现报文的源MAC地址、所述DHCP发现报文所属的虚拟可扩展局域网VXLAN以及接收所述DHCP发现报文的物理端口;
第一统计模块,用于统计第一预设时长内与所述确认获取模块获取的所述目标信息相匹配的DHCP发现报文数量;
启动模块,用于若所述第一统计模块统计的所述DHCP发现报文数量超过第一预设数量,则启动防攻击策略,以丢弃与所述目标信息相匹配的DHCP发现报文。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第二统计模块,用于在所述启动模块启动防攻击策略,以丢弃与所述目标信息相匹配的DHCP发现报文之后,统计自启动所述防攻击策略起第二预设时长内丢弃的DHCP发现报文数量;
停止模块,用于若所述第二统计模块统计的所述丢弃的DHCP发现报文数量未超过第二预设数量,则停止所述防攻击策略;
处理模块,用于若所述第二统计模块统计的所述丢弃的DHCP发现报文数量超过所述第二预设数量,则在下一个所述第二预设时长内继续丢弃所述DHCP发现报文,并调用所述停止模块工作。
8.根据权利要求6所述的装置,其特征在于,所述确认获取模块,具体用于:
获取所述DHCP发现报文所属的VSI实例,并根据所述VSI实例的配置信息确认所述VSI实例使能防攻击设置。
9.根据权利要求6所述的装置,其特征在于,所述DHCP客户端的硬件标识包括所述DHCP客户端所在主机的网卡MAC地址。
10.根据权利要求9所述的装置,其特征在于,当所述目标信息包括所述DHCP客户端的硬件标识时,所述与所述目标信息相匹配的DHCP发现报文数量包括:所述DHCP客户端的硬件标识相同的DHCP发现报文数量;
当所述目标信息包括所述源MAC地址时,所述与所述目标信息相匹配的DHCP发现报文数量包括:所述源MAC地址相同的DHCP发现报文数量;
当所述目标信息包括所述DHCP发现报文所属的VXLAN和所述接收所述DHCP发现报文的物理端口时,所述与所述目标信息相匹配的DHCP发现报文数量包括:属于同一VXLAN且通过同一物理接口接收的DHCP发现报文数量。
CN201710293928.7A 2017-04-28 2017-04-28 防攻击方法及装置 Active CN106982225B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710293928.7A CN106982225B (zh) 2017-04-28 2017-04-28 防攻击方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710293928.7A CN106982225B (zh) 2017-04-28 2017-04-28 防攻击方法及装置

Publications (2)

Publication Number Publication Date
CN106982225A true CN106982225A (zh) 2017-07-25
CN106982225B CN106982225B (zh) 2020-05-12

Family

ID=59341556

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710293928.7A Active CN106982225B (zh) 2017-04-28 2017-04-28 防攻击方法及装置

Country Status (1)

Country Link
CN (1) CN106982225B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107547684A (zh) * 2017-08-15 2018-01-05 新华三技术有限公司 一种IPv6地址分配方法和装置
CN115175177A (zh) * 2022-06-16 2022-10-11 烽火通信科技股份有限公司 一种报文传输方法及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101345755A (zh) * 2008-08-29 2009-01-14 中兴通讯股份有限公司 一种防止地址解析协议报文攻击的方法和系统
CN101415002A (zh) * 2008-11-11 2009-04-22 华为技术有限公司 防止报文攻击的方法、数据通信设备及通信系统
US20110026529A1 (en) * 2009-07-31 2011-02-03 Saugat Majumdar Method And Apparatus For Option-based Marking Of A DHCP Packet
CN105791248A (zh) * 2014-12-26 2016-07-20 中兴通讯股份有限公司 网络攻击分析方法和装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101345755A (zh) * 2008-08-29 2009-01-14 中兴通讯股份有限公司 一种防止地址解析协议报文攻击的方法和系统
CN101415002A (zh) * 2008-11-11 2009-04-22 华为技术有限公司 防止报文攻击的方法、数据通信设备及通信系统
US20110026529A1 (en) * 2009-07-31 2011-02-03 Saugat Majumdar Method And Apparatus For Option-based Marking Of A DHCP Packet
CN105791248A (zh) * 2014-12-26 2016-07-20 中兴通讯股份有限公司 网络攻击分析方法和装置

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107547684A (zh) * 2017-08-15 2018-01-05 新华三技术有限公司 一种IPv6地址分配方法和装置
CN107547684B (zh) * 2017-08-15 2021-01-26 新华三技术有限公司 一种IPv6地址分配方法和装置
CN115175177A (zh) * 2022-06-16 2022-10-11 烽火通信科技股份有限公司 一种报文传输方法及装置
CN115175177B (zh) * 2022-06-16 2024-04-16 烽火通信科技股份有限公司 一种报文传输方法及装置

Also Published As

Publication number Publication date
CN106982225B (zh) 2020-05-12

Similar Documents

Publication Publication Date Title
CN107070691B (zh) Docker容器的跨主机通信方法和系统
CN108011837B (zh) 报文处理方法及装置
CN101542979B (zh) Mac地址的重复消除方法、网络设备管理系统、服务器以及信息设备
CN107104872B (zh) 接入控制方法、装置及系统
CN103609089B (zh) 一种防止附连到子网的主机上拒绝服务攻击的方法及装置
CN106101617B (zh) 一种报文传输方法、装置及系统
US10764243B2 (en) Method and apparatus for keeping network address translation mapping alive
CN108965092B (zh) 一种数据报文传输方法和装置
JP2019521619A (ja) パケット転送
CN113132202B (zh) 一种报文传输方法及相关设备
CN107888500A (zh) 报文转发方法及装置、存储介质、电子设备
CN109428884B (zh) 通信保护装置、控制方法以及记录介质
CN108259632A (zh) 一种cgn实现方法及装置
CN106982225A (zh) 防攻击方法及装置
CN108718276B (zh) 一种报文转发方法和装置
CN103338275A (zh) 端口分配方法和装置
EP3618407B1 (en) Method for implementing three-layer communication
CN107579988B (zh) 配置安全策略的方法和装置
CN109039947A (zh) 网络包去重方法、装置、网络分流设备及存储介质
CN112738290A (zh) 一种nat转换方法、装置及设备
CN107105072A (zh) 一种创建arp表项的方法和装置
JP6418232B2 (ja) ネットワーク管理装置、ネットワークシステム、ネットワーク管理方法およびプログラム
US10256992B2 (en) Tunnel encapsulation
CN113472799B (zh) 一种基于云平台的互联管理方法、装置及设备
CN112565381B (zh) 一种数据包转发方法、装置及设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant