[发明专利]一种防攻击方法和装置

权利要求书

1.一种防攻击方法，其特征在于，所述方法应用于网络转发设备，包括：

接收由转发层面上传的命中流级防攻击表项的报文，获取所述报文中携带的丢包数，所述丢包数为命中流级防攻击表项的报文丢包数；

统计预设时间内该流的报文的总数，该总数包含丢包数；

若判断预设时间内所述报文的总数超过设定阈值，则将下发到转发层面的所述流级防攻击表项的动作设置为丢弃。

2.根据权利要求1所述的防攻击方法，其特征在于，所述流级防攻击表项通过如下方式下发到转发层面：

获取转发层面上传的报文中携带的各协议硬件队列的丢包信息；

根据所述各协议硬件队列的丢包信息，确定存在丢包的协议硬件队列，检测存在丢包的协议硬件队列在限定时间内上传的报文；

针对所述存在丢包的协议硬件队列在限定时间内上传的报文，创建所述流级防攻击表项，并下发到转发层面。

3.根据权利要求1所述的防攻击方法，其特征在于，在将下发到转发层面的所述流级防攻击表项的动作设置为丢弃时，该方法还包括：

设定定时器，当定时器定时到时时，修改下发到转发层面的流级防攻击表项的动作为限速，以检测是否仍然存在从转发层面上传的所述报文；

若仍然存在从转发层面上传的所述报文，则修改下发到转发层面的流级防攻击表项的动作为丢弃，重置所述定时器，并延长所述定时器的定时时间。

4.一种防攻击方法，其特征在于，所述方法应用于网络转发设备，包括：

记录命中流级防攻击表项的报文丢包数；

在上传给控制层面的命中所述流级防攻击表项的报文中，携带所述丢包数；

控制层面统计预设时间内该流的报文的总数，该总数包括丢包数，若判断预设时间内报文总数超过设定阈值，可确认该报文为攻击报文，将转发层面的流级防攻击表项的动作设置为丢弃。

5.根据权利要求4所述的防攻击方法，其特征在于，所述方法还包括：在上传给控制层面的报文中，携带各协议硬件队列的丢包信息，以使控制层面根据所述丢包信息确定存在丢包的协议硬件队列，创建对应的流级防攻击表项。

6.一种防攻击装置，其特征在于，所述装置应用于网络转发设备，包括：

获取单元，用于接收由转发层面上传的命中流级防攻击表项的报文，获取所述报文中携带的丢包数，所述丢包数为命中流级防攻击表项的报文丢包数；

统计单元，用于统计预设时间内该流的报文的总数，该总数包含丢包数；

处理单元，用于在判断预设时间内所述报文的总数超过设定阈值时，将下发到转发层面的所述流级防攻击表项的动作设置为丢弃。

7.根据权利要求6所述的防攻击装置，其特征在于，所述获取单元还用于：

获取转发层面上传的报文中携带的各协议硬件队列的丢包信息；

所述装置还包括：

检测单元，用于根据所述各协议硬件队列的丢包信息，确定存在丢包的协议硬件队列，检测存在丢包的协议硬件队列在限定时间内上传的报文；

创建下发单元，用于针对所述存在丢包的协议硬件队列在限定时间内上传的报文，创建所述流级防攻击表项，并下发到转发层面。

8.根据权利要求6所述的防攻击装置，其特征在于，所述处理单元还用于：

在将下发到转发层面的所述流级防攻击表项的动作设置为丢弃时，设定定时器，当定时器定时到时时，修改下发到转发层面的流级防攻击表项的动作为限速，以检测是否仍然存在从转发层面上传的所述报文；

若仍然存在从转发层面上传的所述报文，则修改下发到转发层面的流级防攻击表项的动作为丢弃，重置所述定时器，并延长所述定时器的定时时间。