[发明专利]网络攻击的防御方法及装置、网络设备

说明书

技术领域

本发明涉及数据通信系统，具体地，涉及一种网络攻击的防御方法及装置、网络设备。

背景技术

目前，在大型网络中，通常在接入交换机上部署接入控制安全功能，以防御网络攻击。例如，在如图1中所示的网络中，接入交换机SW1通过Port1-Port4连接个人电脑(PC，Personal Computer)PC1-PC4，接入交换机SW2通过Port1-Port3连接PC5-PC7，SW1分别通过Port5、Port6连接至汇聚交换机SW3的Port1、SW4的Port1，SW2通过Port4连接至汇聚交换机SW5的Port1，SW3与SW4之间均通过Port2连接，SW3通过port3连接至核心交换机SW8的port2，SW4通过port3连接至SW8的port1，SW5通过port2连接至核心交换机SW6的port1，SW6与核心交换机SW7分别通过port2连接，SW6与SW8分别通过port3连接，SW8通过port4与SW7的port1连接，在接入交换机SW1、SW2上部署接入控制安全功能，例如802.1x、WEB认证等，能够有效地控制接入PC的身份合法性，接入交换机只转发来自合法的互联网协议(IP，Internet Protocol)和媒体接入控制(MAC，Media Access Control)地址的PC发出的报文。

目前虽然通过控制用户的身份能够防御非法用户发起的网络攻击，但是，上述方法无法防御具备合法身份的用户发起的攻击，即具备合法的IP+MAC地址的PC，也发起非法的网络攻击，这种可能是用户有意的攻击、也可能是因为感染病毒后由病毒自动发起的攻击。例如图1所示，PC1使用合法的IP+MAC正在对核心交换机SW7攻击，攻击报文由PC1发至SW1的port1，SW1将攻击报文经由port5发至SW3的port1，SW3将攻击报文经由port3发至SW8的port2，SW8将攻击报文经由port4发至SW7的port1。目前，现有技术中有两种方法来应对由合法用户发起的网络攻击，具体如下所述。

第一种方法是在交换机SW7上配置基础网络保护策略(NFPP，Network Foundation Protection Policy)来防御合法用户发起的网络攻击，该策略能够对攻击报文进行限速、对攻击用户进行隔离。但是这种方法只是对攻击报文进行限速，攻击报文依然在网络中存在，极大的浪费了网络的带宽，例如，在图1中，SW7所处的位置是核心交换机，下联的用户比较多，若存在大量攻击的话，需要浪费很多的硬件资源去隔离这些攻击用户，若被攻击者为路由器，每个攻击报文都会送给SW7的CPU，需要使用SW7软件资源对攻击源进行判断是否过滤，极大地占用了软件资源，降低了CPU处理正常业务的性能，并且即使隔离了该报文对SW7造成的攻击，该攻击报文流依然在网络中存在，极大地浪费了网络的带宽。

第二种方法是被攻击的设备通过发送告警信息给网络管理员，由网络管理员去查找攻击者具体在哪台交换机上，然后在该交换机上通过手动绑定一条过滤表项、来过滤掉该攻击源，或者通过对称多处理器结构(SMP，Symmetric Multi-Processor)服务器来对交换机下发阻断策略，过滤掉该攻击报文。但是，这种方法需要人工来查找定位攻击源，处理过程费时费力效率低下。

综上所述，可见在现有技术中，对于合法用户发起的攻击、网络中存在大量转发的攻击报文、浪费网络带宽资源、占用网络设备系统处理资源的问题。

发明内容

有鉴于此，本发明实施例提供了一种网络攻击的防御方法，用以解决现有技术中对于合法用户发起的攻击、网络中存在大量转发的攻击报文、浪费网络带宽资源、占用网络设备系统处理资源的问题。

相应地，本发明实施例还提供了一种网络攻击的防御装置及网络设备。

本发明实施例的技术方案如下：

一种网络攻击的防御方法，包括：网络设备监测受到网络攻击后，获取攻击报文的源地址信息和类型信息；判断接收到该攻击报文的端口是否为预设的攻击隔离点；在判断该端口是攻击隔离点的情况下，将获取的攻击报文的源地址信息和类型信息绑定在该端口上；在判断该端口不是攻击隔离点的情况下，构建包括获取的攻击报文的源地址信息和类型信息的隔离报文，将构建的隔离报文发送给与该端口相连接的网络设备。