[发明专利]一种基于MAC分流的保护方法

权利要求书

1.一种基于MAC分流的保护方法，其特征在于包括如下内容：

上联口接收报文后，将报文原封不动的拷贝给下联口；

下联口接收报文后，分析报文协议类型，若存在异常，则修改报文目的MAC地址为保护链路设备的MAC地址，将报文发送到保护链路上发送出去；若不存在异常，则修改报文中的目的MAC为默认链路的MAC地址，使报文从默认链路上发送出去；

下联口接收报文后，具体进行如下步骤：

步骤a，判断是否是802.1q报文，若不是则直接发送到出接口,结束此过程；若是则转到步骤b；

步骤b，继续判断是否是IP报文，若是则转到步骤c，若不是则转到步骤e；

步骤c，继续判断IP报文头中的源IP地址是否已经在黑名单中，若是则转到步骤h，若不是则转到步骤d；

步骤d，继续判断该IP报文类型是否是TCP报文，若不是则转到步骤i，若是则转到步骤g；

步骤e，继续判断报文是否是ARP报文，若不是则转到步骤i，若是则转到步骤f；

步骤f.继续判断报文中的源IP地址是否已经在黑名单中，若是则转到步骤h，若不是则转到步骤i；

步骤g，通过规则匹配模块进一步处理，具体的，通过规则匹配模块对TCP报文进行解析，当解析出来的TCP报文头符合规定长度，则对其内容进行匹配；若匹配中，说明流量异常，有人访问了探针软件，则将源IP地址记录到黑名单中，转到步骤h；若未匹配中，则转到步骤i；

步骤h,修改报文目的MAC地址为保护链路设备的MAC地址，将报文发送到保护链路上，发送出去，结束此过程；

步骤i,修改报文中的目的MAC为默认链路的MAC地址，使报文从默认链路上发送出去，结束此过程。

2.根据权利要求1所述的基于MAC分流的保护方法，其特征在于：所述下联口报文处理过程主要通过如下三个模块进行处理：

下联任务配置模块：处理CLI或者WEB下发的参数配置命令，参数配置命令包括两个监听接口，保护链路的MAC地址和默认链路的MAC地址，黑名单刷新间隔；

报文识别模块：通过报文识别模块分析报文协议类型；

规则匹配模块，当解析出来的TCP报文头符合规定长度，用于对其内容进行匹配。

3.一种基于MAC分流的保护系统，其特征在于，包括所有用户上网必须经过的分流保护设备、保护链路设备和默认链路设备，通过分流保护设备分析后为异常流量，则修改为保护链路的MAC地址，并发送到保护链路设备进行发送；否则修改为默认链路的MAC地址，并发送到默认链路设备进行发送；具体的，所述分流保护设备的分析方法，包括如下步骤：

步骤a，判断是否是802.1q报文，若不是则直接发送到出接口,结束此过程；若是则转到步骤b；

步骤b，继续判断是否是IP报文，若是则转到步骤c，若不是则转到步骤e；

步骤c，继续判断IP报文头中的源IP地址是否已经在黑名单中，若是则转到步骤h，若不是则转到步骤d；

步骤d，继续判断该IP报文类型是否是TCP报文，若不是则转到步骤i，若是则转到步骤g；

步骤e，继续判断报文是否是ARP报文，若不是则转到步骤i，若是则转到步骤f；

步骤f.继续判断报文中的源IP地址是否已经在黑名单中，若是则转到步骤h，若不是则转到步骤i；

步骤g，通过规则匹配模块进一步处理，具体的，通过规则匹配模块对TCP报文进行解析，当解析出来的TCP报文头符合规定长度，则对其内容进行匹配；若匹配中，说明流量异常，有人访问了探针软件，则将源IP地址记录到黑名单中，转到步骤h；若未匹配中，则转到步骤i；

步骤h,修改报文目的MAC地址为保护链路设备的MAC地址，将报文发送到保护链路上，发送出去，结束此过程；

步骤i,修改报文中的目的MAC为默认链路的MAC地址，使报文从默认链路上发送出去，结束此过程。