CN110661809B - 一种攻击防御方法及装置 - Google Patents

一种攻击防御方法及装置 Download PDF

Info

Publication number
CN110661809B
CN110661809B CN201910947231.6A CN201910947231A CN110661809B CN 110661809 B CN110661809 B CN 110661809B CN 201910947231 A CN201910947231 A CN 201910947231A CN 110661809 B CN110661809 B CN 110661809B
Authority
CN
China
Prior art keywords
characteristic information
address
bmc
network card
messages
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910947231.6A
Other languages
English (en)
Other versions
CN110661809A (zh
Inventor
徐燕成
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Security Technologies Co Ltd
Original Assignee
New H3C Security Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Security Technologies Co Ltd filed Critical New H3C Security Technologies Co Ltd
Priority to CN201910947231.6A priority Critical patent/CN110661809B/zh
Publication of CN110661809A publication Critical patent/CN110661809A/zh
Application granted granted Critical
Publication of CN110661809B publication Critical patent/CN110661809B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开实施例提供了一种攻击防御方法及装置,应用于服务器的BMC,涉及网络安全技术领域。方法包括:若BMC受到攻击,则分别统计第一预设时长内接收的每种特征信息的报文的数量;获取所统计的数量大于第一预设数量的至少一种报文的特征信息;从获取的至少一种特征信息中选择目标特征信息;将所选择的目标特征信息下发给服务器的网卡,以使网卡丢弃与所选择的目标特征信息匹配的报文。应用本公开实施例提供的技术方案,在实现攻击防御的情况下,降低了对BMC的冲击,减少了丢失的数据信息。

Description

一种攻击防御方法及装置
技术领域
本公开涉及网络安全技术领域,特别是涉及一种攻击防御方法及装置。
背景技术
目前,网络中存在大量的攻击,例如针对服务器的攻击等。BMC(BaseboardManagement Controller,基板控制器)作为服务器上带外管理的硬件,也会受到攻击,且由于BMC的报文处理能力不足,在受到攻击时BMC很容易挂死,导致失去对服务器健康状态的监控,不能及时向网络管理员反馈服务器状态。
发明内容
本公开实施例的目的在于提供一种攻击防御方法及装置,以在实现攻击防御的情况下,降低对BMC的冲击,减少丢失的数据信息。具体技术方案如下:
第一方面,本公开实施例提供了一种攻击防御方法,应用于服务器的BMC,所述方法包括:
若是所述BMC受到攻击,则分别统计第一预设时长内接收的每种特征信息的报文的数量;
获取所统计的数量大于第一预设数量的至少一种报文的特征信息;
从获取的至少一种特征信息中选择目标特征信息;
将所选择的目标特征信息下发给所述服务器的网卡,以使所述网卡丢弃与所选择的目标特征信息匹配的报文。
第二方面,本公开实施例提供了一种攻击防御装置,应用于服务器的BMC,所述装置包括:
统计单元,用于若所述BMC受到攻击,则分别统计第一预设时长内接收的每种特征信息的报文的数量;
获取单元,用于获取所统计的数量大于第一预设数量的至少一种报文的特征信息;
选择单元,用于从获取的至少一种特征信息中选择目标特征信息;
下发单元,用于将所选择的目标特征信息下发给所述服务器的网卡,以使所述网卡丢弃与所选择的目标特征信息匹配的报文。
第三方面,本公开实施例提供了一种BMC,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述任一攻击防御方法步骤。
第四方面,本公开实施例提供了一种机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述任一攻击防御方法步骤。
本公开实施例提供的一种攻击防御方法及装置,服务器包括网卡和BMC。在检测到受到攻击后,BMC获取目标特征信息,并将目标特征信息下发给服务器的网卡。网卡丢弃与目标特征信息匹配的报文,实现攻击防御。本公开实施例中,由网卡负责报文的丢弃,而不将报文上送至BMC,降低了对BMC的冲击。另外,目标特征信息为大于第一预设数量的报文的特征信息,也就是目标特征信息最可能是攻击报文的特征信息,网卡丢弃与目标特征信息匹配的报文,转发与目标特征信息不匹配的报文,减少了丢失的数据信息。
当然,实施本公开的任一产品或方法必不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本公开实施例提供的攻击防御方法的一种流程示意图;
图2为本公开实施例提供的攻击防御方法的一种信令示意图;
图3为本公开实施例提供的攻击防御装置的一种结构示意图;
图4为本公开实施例提供的BMC的一种结构示意图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
为保证对服务器健康状态的监控,BMC上开启攻击防御。
目前,BMC的攻击防御方式为:在检测到受到攻击时,丢弃后续接收的报文,不再处理后续的报文。这种攻击防御方式,能够避免BMC因受到攻击而挂死。但,在检测到受到攻击时,BMC仍然会处理后续接收的报文,即丢弃后续接收的所有报文,这仍然会对BMC产生一定的冲击。另外,后续接收的报文中可能存在重要报文,这将导致重要报文被丢弃,进而导致数据信息的丢失。
为解决上述问题,本公开实施例提供了一种攻击防御方法。该攻击防御方法可以是针对广播报文的攻击防御方法,也可以是针对组播报文的攻击防御方法,还可以是针对广播报文和组播报文的攻击防御方法。
该攻击防御方法中,服务器包括网卡和BMC。在检测到受到攻击后,BMC获取目标特征信息,并将目标特征信息下发给服务器的网卡。网卡丢弃与目标特征信息匹配的报文,实现攻击防御。本公开实施例中,由网卡负责报文的丢弃,而不将报文上送至BMC,降低了对BMC的冲击。另外,目标特征信息为大于第一预设数量的报文的特征信息,也就是目标特征信息最可能是攻击报文的特征信息,网卡丢弃与目标特征信息匹配的报文,转发与目标特征信息不匹配的报文,减少了丢失的数据信息。
下面通过具体实施例,对本公开实施例提供的攻击防御方法进行详细说明。
参考图1,图1为本公开实施例提供的攻击防御方法的一种流程示意图,该方法应用于服务器的BMC。服务器可以包括BMC和网卡。该方法包括如下步骤。
步骤101,检测BMC是否受到攻击。若是,则执行步骤102。若否,则重新执行步骤101。
一个实施例中,BMC统计第一预设时长内接收的报文的总数量,检测统计的总数量是否大于预设数量阈值。若是,则确定BMC受到攻击,执行步骤102。若否,则确定BMC未受到攻击,重新执行步骤101。其中,第一预设时长和预设数量阈值可以根据实际需求进行设定。
例如,第一预设时长为2秒。预设数量阈值为2000。若BMC检测到2秒收的报文的总数量大于2000,则确定BMC受到攻击,执行步骤102。若BMC检测到2秒收的报文的总数量小于等于2000,则确定BMC未受到攻击,执行步骤101。
本公开实施例提供的攻击防御方法可以是针对广播报文的攻击防御方法,也可以是针对组播报文的攻击防御方法,还可以是针对广播报文和组播报文的攻击防御方法。
若本公开实施例提供的攻击防御方法可以是针对广播报文的攻击防御方法,则在检测BMC是否受到攻击时,BMC统计第一预设时长内接收的广播报文的总数量。
若本公开实施例提供的攻击防御方法可以是针对组播报文的攻击防御方法,则在检测BMC是否受到攻击时,BMC统计第一预设时长内接收的组播报文的总数量。
若本公开实施例提供的攻击防御方法可以是针对广播报文和组播报文的攻击防御方法,则在检测BMC是否受到攻击时,BMC统计第一预设时长内接收的广播报文和组播报文的总数量。
步骤102,分别统计第一预设时长内接收的每种特征信息的报文的数量。
例如,BMC在第一预设时长内接收到2500个报文。BMC统计这2500个报文中,具有特征信息1的报文1000个,具有特征信息2的报文800个,具有特征信息3的报文200个,具有特征信息4的报文500个。
本公开实施例中,特征信息可以包括源IP(Internet Protocol,网络协议)地址和目的IP地址。特征信息也可以包括源IP地址、目的IP地址、源MAC(Media Access Control,媒体访问控制)地址和目的MAC地址。特征信息还可以包括源IP地址、目的IP地址、源MAC地址、目的MAC地址和目的端口号。具体的特征信息包括的内容可以根据实际需求进行设定。
以特征信息包括源IP地址、目的IP地址、源MAC地址、目的MAC地址和目的端口号为例。特征信息1为源IP地址为1.1.1.1、目的IP地址为255.255.255.255、源MAC地址为1-1-1、目的MAC地址FFFF-FFFF-FFFF-FFFF、目的端口号为8080;特征信息2为源IP地址为1.1.1.2、目的IP地址为224.0.0.1、源MAC地址为1-1-2、目的MAC地址0100-005e-0001、目的端口号为8080;特征信息3为源IP地址为1.1.1.3、目的IP地址为255.255.255.255、源MAC地址为1-1-3、目的MAC地址FFFF-FFFF-FFFF-FFFF、目的端口号为8080;特征信息4为源IP地址为1.1.1.4、目的IP地址为224.0.0.1、源MAC地址为1-1-4、目的MAC地址0100-005e-0001、目的端口号为8080。此时,统计的预设时长内接收的每种特征信息的报文的数量如表1所示。
表1
源IP 目的IP 端口号 源MAC 目的MAC 报文个数
特征信息1 1.1.1.1. 255.255.255.255 8080 1-1-1 FFFF-FFFF-FFFF 1000
特征信息2 1.1.1.2 224.0.0.1 8080 1-1-2 0100-005e-0001 800
特征信息3 1.1.1.3 255.255.255.255 8080 1-1-3 FFFF-FFFF-FFFF 200
特征信息4 1.1.1.4 224.0.0.1 8080 1-1-4 0100-005e-0001 500
步骤103,获取所统计的数量大于第一预设数量的至少一种报文的特征信息。
对于每种特征信息的报文,BMC均统计得到了该种特征信息的报文在第一预设时长内所接收到的数量。BMC从多种特征信息的报文中获取所统计的数量大于第一预设数量的至少一种报文,进而从获取的报文中获取到至少一种特征信息。
本公开实施例中,第一预设数量可以根据实际需求进行设定。一个示例中,第一预设数量可以为固定数值,如500、600等。另一个示例中,第一预设数量可以基于预设比值和第一预设时长内接收的报文的总数量确定。例如预设比值为10%,若第一预设时长内接收的报文的总数量为2000,则第一预设数量为2000*10%=200。预设比值还可以为其他值,如20%、40%等,本公开实施例对此不进行设定。
仍以表1为例进行说明。若第一预设数量为400。基于表1可确定:特征信息1的报文的数量1000>400,特征信息2的报文的数量800>400,基于特征信息4的报文的数量500>400。因此,BMC获取特征信息1、特征信息2和特征信息4。
步骤104,从获取的至少一种特征信息中选择目标特征信息。
其中,目标特征信息可以为一个或多个。BMC可将获取的至少一种特征信息均作为目标特征信息,也可以将从获取的至少一种特征信息中选择部分特征信息作为目标特征信息。
步骤105,将所选择的目标特征信息下发给服务器的网卡。网卡丢弃与所选择的目标特征信息匹配的报文。
BMC在确定目标特征信息后,可通过NCSI(Network Controller SidebandInterface,网卡芯片边带接口)通道,将目标特征信息下发给服务器的网卡。网卡将目标特征信息记录在网卡MAC层。之后,当接收到报文后,若报文与网卡MAC层记录的目标特征信息匹配,即报文与目标特征信息相同,则网卡丢弃该报文。
例如,BMC确定的目标特征信息有特征信息1、特征信息2。BMC特征信息1、特征信息2下发给服务器的网卡。网卡接收到报文的特征信息为特征信息1的报文,或接收到报文的特征信息为特征信息2的报文,则丢弃该报文。
本公开实施例中,在BMC受到攻击时,由网卡负责报文的丢弃,这在硬件层面丢弃报文,实现了软件主动防御。另外,在实现攻击防御时报文并未上送至BMC,降低了对BMC的冲击。另外,目标特征信息为大于第一预设数量的报文的特征信息,也就是目标特征信息最可能是攻击报文的特征信息,网卡丢弃与目标特征信息匹配的报文,转发与目标特征信息不匹配的报文,减少了丢失的数据信息。
在本公开的一个实施例中,上述步骤104可以为:BMC将所获取的至少一个特征信息均确定为目标特征信息。
仍以步骤103中的例子为例进行说明。BMC获取到特征信息1、特征信息2和特征信息4,则将特征信息1、特征信息2和特征信息4均确定为目标特征信息。
在本公开的另一个实施例中,上述步骤104可以为:BMC从所获取的至少一种特征信息中,选择所统计的数量最大的第二预设数量的报文的特征信息,作为目标特征信息。
其中,第二预设数量可以根据实际需求进行设定,如第二预设数量为1、2等。
仍以步骤103中的例子为例进行说明。假设第二预设数量为2。BMC获取到特征信息1、特征信息2和特征信息4。其中,特征信息1的报文的数量1000,特征信息2的报文的数量800,基于特征信息4的报文的数量500,1000>800>500,即特征信息1、特征信息2和特征信息4中,数量最大的2种特征信息为特征信息1和特征信息2。BMC选择特征信息1和特征信息2作为目标特征信息。
本公开实施例中,若所获取的至少一种特征信息的数量大于第二预设数量,则BMC可从大于第一预设数量的报文的特征信息中,选择最大的第二预设数量的报文的特征信息,作为目标特征信息。若所获取的至少一种特征信息的数量小于等于第二预设数量,则BMC将大于第一预设数量的报文的特征信息均作为目标特征信息。
本公开实施例中,大于第一预设数量的报文的特征信息为最可能是攻击报文的特征信息,BMC从大于第一预设数量的报文的特征信息中,选择最大的第二预设数量的报文的特征信息,作为目标特征信息。进而网卡丢弃与目标特征信息匹配的报文。这在实现攻击防御的情况下,进一步减少了丢失的数据信息。
在本公开的一个实施例中,BMC在所选择的目标特征信息后,对于所选择的每种目标特征信息,生成包括该目标特征信息的拒绝规则。该拒绝规则的匹配项为该目标特征信息,该拒绝规则的动作项为报文丢弃。BMC将生成的拒绝规则下发给服务器的网卡。网卡将生成的拒绝规则分别记录在网卡MAC层。之后,当接收到报文后,若该报文与网卡MAC层记录的一拒绝规则包括的目标特征信息匹配,网卡基于该拒绝规则包括的动作项丢弃该报文。
本公开实施例中,为便于拒绝规则的生成和下发,BMC上可设置安全模块,BMC将目标特征信息下发给安全模块。安全模块通过高级ACL(AccessControl List,访问控制列表)方式,生成包括目标特征信息的拒绝规则,并通过NCSI通道,将拒绝规则下发给网卡。
在本公开的一个实施例中,为拒绝规则配置老化时长为第二预设时长。网卡在获取到一拒绝规则的第二预设时长后,删除该拒绝规则。这样,网卡又可以正常的将报文上送至BMC,保证报文的正常处理。
其中,第二预设时长可以根据实际需求进行设定。例如,第二预设时长为30分钟、40分钟等。
在本公开的一个实施例中,HDM(Hardware Device Management,硬件设备管理)系统页面可以增加防御使能页签。当使能该防御使能页签时,服务器执行步骤101-105,进行攻击防御。若未使能该防御使能页签,则不执行步骤101-105,可以按照现有攻击防御方法进行攻击防御,如在检测到受到攻击时,丢弃后续接收的报文。通过这种方式,提高了攻击防御执行的灵活性。
另外,通过HDM系统页面还可以设置第一预设时长、第二预设时长、第一预设数量、第二预设数量和预设比值等。本公开实施例对此不进行设定。
本公开实施例中,通过HDM系统页面还可以设置一个或多个口生效。例如,通过HDM系统页面设置网卡向BMC发送报文的接口生效,这样,当网卡接收到向BMC发送的报文时,依据步骤101-105进行攻击防御。再例如,通过HDM系统页面设置网卡向BMC和OS(OperatingSystems,操作系统)发送报文的接口生效,这样,当网卡接收到向BMC和OS发送的报文时,依据步骤101-105进行攻击防御。此时,可以协助BMC和OS进行攻击防御,提高了服务器的安全性。
下面结合图2所示的攻击防御的信令图,对本公开实施例提供的攻击防御方法进行说明。
步骤201,BMC检测BMC是否受到攻击。若是,则执行步骤202。若否,则重新执行步骤201。
步骤202,BMC分别统计第一预设时长内接收的每种特征信息的报文的数量。
步骤203,BMC获取所统计的数量大于第一预设数量的至少一种报文的特征信息。
步骤204,BMC检测所获取的至少一种特征信息的数量是否大于第二预设数量。若是,则执行步骤205。若否,则执行步骤206。
步骤205,BMC从获取的至少一种特征信息中选择目标特征信息,执行步骤207。
步骤206,BMC将所获取的至少一种特征信息均作为目标特征信息,执行步骤207。
步骤207,BMC将所选择的目标特征信息下发给安全模块。
步骤208,安全模块通过高级ACL方式,分别生成包括所选择的每种目标特征信息的拒绝规则。
步骤209,安全模块通过NCSI通道,将生成的拒绝规则分别下发给网卡。
步骤210,网卡丢弃与拒绝规则包括的目标特征信息匹配的报文。
步骤211,网卡在获取到拒绝规则的第二预设时长后,删除拒绝规则。
上述步骤201-211部分描述相对简单,具体可参考图1实施例部分的相关描述。
与上述攻击防御方法实施例对应,本公开实施例还提供了一种攻击防御装置。参考图3,图3为本公开实施例提供的攻击防御装置的一种结构示意图。该装置应用于服务器的BMC,包括:统计单元301、获取单元302、选择单元303和下发单元304。
其中,统计单元301,用于若BMC受到攻击,则分别统计第一预设时长内接收的每种特征信息的报文的数量。
获取单元302,用于获取所统计的数量大于第一预设数量的至少一种报文的特征信息。
选择单元303,用于从获取的至少一种特征信息中选择目标特征信息
下发单元304,用于将所选择的目标特征信息下发给服务器的网卡,以使网卡丢弃与所选择的目标特征信息匹配的报文。
在本公开的一个实施例中,选择单元303,具体可以用于:
从所获取的至少一种特征信息中,选择所统计的数量最大的第二预设数量的报文的特征信息,作为目标特征信息。
在本公开的一个实施例中,下发单元304,具体可以用于:
分别生成包括所选择的每种目标特征信息的拒绝规则;
将生成的拒绝规则分别下发给服务器的网卡,以使网卡丢弃与拒绝规则包括的目标特征信息匹配的报文。
在本公开的一个实施例中,拒绝规则的老化时长为第二预设时长,以使网卡在获取到拒绝规则的第二预设时长后,删除拒绝规则。
在本公开的一个实施例中,特征信息可以包括源IP地址和目的IP地址;或
特征信息可以包括源IP地址、目的IP地址、源MAC地址和目的MAC地址;或
特征信息可以包括源IP地址、目的IP地址、源MAC地址、目的MAC地址和目的端口号。
本公开实施例提供的攻击防御装置中,由网卡负责报文的丢弃,而不将报文上送至BMC,降低了对BMC的冲击。另外,目标特征信息为大于第一预设数量的报文的特征信息,也就是目标特征信息最可能是攻击报文的特征信息,网卡丢弃与目标特征信息匹配的报文,转发与目标特征信息不匹配的报文,减少了丢失的数据信息。
基于相同的发明构思,根据上述攻击防御方法,本公开实施例还提供了一种BMC,如图4所示,包括处理器401和机器可读存储介质402,机器可读存储介质402存储有能够被处理器401执行的机器可执行指令。处理器701被机器可执行指令促使实现上述攻击防御方法的任一步骤。
一个可选的实施例中,如图4所示,BMC还可以包括:通信接口403和通信总线404;其中,处理器401、机器可读存储介质402、通信接口403通过通信总线404完成相互间的通信,通信接口403用于上述BMC与其他设备或模块之间的通信。
基于相同的发明构思,根据上述攻击防御方法,本公开实施例还提供了一种机器可读存储介质,机器可读存储介质存储有能够被处理器执行的机器可执行指令。处理器被机器可执行指令促使实现上述攻击防御方法的任一步骤。
上述通信总线可以是PCI(Peripheral Component Interconnect,外设部件互连标准)总线或EISA(Extended Industry Standard Architecture,扩展工业标准结构)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。
上述机器可读存储介质可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-Volatile Memory,非易失性存储器),例如至少一个磁盘存储器。另外,机器可读存储介质还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital Signal Processing,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于攻击防御装置、BMC、机器可读存储介质实施例而言,由于其基本相似于攻击防御方法实施例,所以描述的比较简单,相关之处参见攻击防御方法实施例的部分说明即可。
以上所述仅为本公开的较佳实施例而已,并非用于限定本公开的保护范围。凡在本公开的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本公开的保护范围内。

Claims (12)

1.一种攻击防御方法,其特征在于,应用于服务器的基板控制器BMC,所述方法包括:
若所述BMC受到攻击,则分别统计第一预设时长内接收的每种特征信息的报文的数量;
获取所统计的数量大于第一预设数量的至少一种报文的特征信息;
从获取的至少一种特征信息中选择目标特征信息;
将所选择的目标特征信息下发给所述服务器的网卡,以使所述网卡丢弃与所选择的目标特征信息匹配的报文。
2.根据权利要求1所述的方法,其特征在于,所述从获取的至少一种特征信息中选择目标特征信息,包括:
从所获取的至少一种特征信息中,选择所统计的数量最大的第二预设数量的报文的特征信息,作为目标特征信息。
3.根据权利要求1所述的方法,其特征在于,所述将所选择的目标特征信息下发给所述服务器的网卡,包括:
分别生成包括所选择的每种目标特征信息的拒绝规则;
将生成的拒绝规则分别下发给所述服务器的网卡,以使所述网卡丢弃与拒绝规则包括的目标特征信息匹配的报文。
4.根据权利要求3所述的方法,其特征在于,所述拒绝规则的老化时长为第二预设时长,以使所述网卡在获取到所述拒绝规则的第二预设时长后,删除所述拒绝规则。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述特征信息包括源网络协议IP地址和目的IP地址;或
所述特征信息包括源IP地址、目的IP地址、源媒体访问控制MAC地址和目的MAC地址;或
所述特征信息包括源IP地址、目的IP地址、源MAC地址、目的MAC 地址和目的端口号。
6.一种攻击防御装置,其特征在于,应用于服务器的基板控制器BMC,所述装置包括:
统计单元,用于若所述BMC受到攻击,则分别统计第一预设时长内接收的每种特征信息的报文的数量;
获取单元,用于获取所统计的数量大于第一预设数量的至少一种报文的特征信息;
选择单元,用于从获取的至少一种特征信息中选择目标特征信息;
下发单元,用于将所选择的目标特征信息下发给所述服务器的网卡,以使所述网卡丢弃与所选择的目标特征信息匹配的报文。
7.根据权利要求6所述的装置,其特征在于,所述选择单元,具体用于:
从所获取的至少一种特征信息中,选择所统计的数量最大的第二预设数量的报文的特征信息,作为目标特征信息。
8.根据权利要求6所述的装置,其特征在于,所述下发单元,具体用于:
分别生成包括所选择的每种目标特征信息的拒绝规则;
将生成的拒绝规则分别下发给所述服务器的网卡,以使所述网卡丢弃与拒绝规则包括的目标特征信息匹配的报文。
9.根据权利要求8所述的装置,其特征在于,所述拒绝规则的老化时长为第二预设时长,以使所述网卡在获取到所述拒绝规则的第二预设时长后,删除所述拒绝规则。
10.根据权利要求6-9任一项所述的装置,其特征在于,所述特征信息包括源网络协议IP地址和目的IP地址;或
所述特征信息包括源IP地址、目的IP地址、源媒体访问控制MAC地址和目的MAC地址;或
所述特征信息包括源IP地址、目的IP地址、源MAC地址、目的MAC地址和目的端口号。
11.一种基板控制器BMC,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1-5任一所述的方法步骤。
12.一种机器可读存储介质,其特征在于,所述机器可读存储介质存储有能够被处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1-5任一所述的方法步骤。
CN201910947231.6A 2019-09-29 2019-09-29 一种攻击防御方法及装置 Active CN110661809B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910947231.6A CN110661809B (zh) 2019-09-29 2019-09-29 一种攻击防御方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910947231.6A CN110661809B (zh) 2019-09-29 2019-09-29 一种攻击防御方法及装置

Publications (2)

Publication Number Publication Date
CN110661809A CN110661809A (zh) 2020-01-07
CN110661809B true CN110661809B (zh) 2021-07-30

Family

ID=69040043

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910947231.6A Active CN110661809B (zh) 2019-09-29 2019-09-29 一种攻击防御方法及装置

Country Status (1)

Country Link
CN (1) CN110661809B (zh)

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100588201C (zh) * 2006-12-05 2010-02-03 苏州国华科技有限公司 一种针对DDoS攻击的防御方法
CN101883054B (zh) * 2010-07-09 2013-07-24 北京星网锐捷网络技术有限公司 组播报文处理方法、装置和设备
CN102281162B (zh) * 2011-09-15 2014-03-19 百度在线网络技术(北京)有限公司 数据网络和管理网络的融合方法、系统及其装置
US9800547B2 (en) * 2015-04-16 2017-10-24 International Business Machines Corporation Preventing network attacks on baseboard management controllers
JP2018092353A (ja) * 2016-12-02 2018-06-14 富士通株式会社 起動制御装置、情報処理システムおよびプログラム
US10686833B2 (en) * 2017-03-31 2020-06-16 Samsung Electronics Co., Ltd. System and method of detecting and countering denial-of-service (DoS) attacks on an NVMe-of-based computer storage array
CN108234473B (zh) * 2017-12-28 2021-02-09 新华三技术有限公司 一种报文防攻击方法及装置
CN109617905B (zh) * 2018-12-29 2022-04-08 新华三技术有限公司 多播攻击的处理方法、装置和实现装置

Also Published As

Publication number Publication date
CN110661809A (zh) 2020-01-07

Similar Documents

Publication Publication Date Title
CN109327395B (zh) 一种报文处理方法及装置
CN110417747B (zh) 一种暴力破解行为的检测方法及装置
CN110519265B (zh) 一种防御攻击的方法及装置
CN103856470A (zh) 分布式拒绝服务攻击检测方法及检测装置
US20140330960A1 (en) Systems and Methods for Identifying Applications in Mobile Networks
WO2020103574A1 (zh) 报文处理方法及装置、存储介质
CN108390856B (zh) 一种DDoS攻击检测方法、装置及电子设备
CN110061998B (zh) 一种攻击防御方法及装置
CN108259426B (zh) 一种DDoS攻击检测方法及设备
US20200244675A1 (en) Malicious port scan detection using port profiles
CN111327615A (zh) 一种cc攻击防护方法及其系统
CN109981478B (zh) 一种报文处理方法及装置
CN113285918A (zh) 针对网络攻击的acl过滤表项建立方法及装置
CN109347810B (zh) 一种处理报文的方法和装置
CN113992403A (zh) 访问限速拦截方法及装置、防御服务器和可读存储介质
CN101883054B (zh) 组播报文处理方法、装置和设备
CN109495404B (zh) 一种报文处理方法、装置、交换机设备及存储介质
CN110661809B (zh) 一种攻击防御方法及装置
CN113821410A (zh) 一种日志处理方法和装置
CN113595812A (zh) 一种客户端识别方法、装置、存储介质及网络设备
CN110445703B (zh) 环路报文拦截方法、转发设备及控制器
Sharma et al. An empirical study of clock skew behavior in modern mobile and hand-held devices
CN106357688B (zh) 一种防御ICMP flood攻击的方法和装置
CN112929347B (zh) 一种限频方法、装置、设备及介质
CN103368850B (zh) 一种目的未知单播报文的处理方法和设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant