[发明专利]一种防攻击方法和装置

说明书

本公开公开了一种防攻击方法和装置。所述方法应用于网络转发设备，包括：接收由转发层面上传的命中流级防攻击表项的报文，获取所述报文中携带的丢包数；统计预设时间内所述报文的总数；若判断预设时间内所述报文的总数超过设定阈值，则将下发到转发层面的所述流级防攻击表项的动作设置为丢弃接收由转发层面上传的命中流级防攻击表项的报文，获取报文中携带的丢包数，从而统计预设时间内该流的报文的准确总数；根据该准确的报文总数，若判断预设时间内报文总数超过设定阈值，可确认该报文为攻击报文，将转发层面的流级防攻击表项的动作设置为丢弃，可准确确定攻击流进行丢弃处理，达到防攻击的目的。

技术领域

本公开涉及通信技术领域，特别涉及一种防攻击方法和装置。

背景技术

随着互联网在当前的环境下应用越来越广，网络攻击也日益频繁，海量的攻击访问会导致转发设备的瘫痪，影响网络的正常运行。其中，硬转发设备包括底层的转发芯片(可称为转发层面)和控制面CPU(可称为控制层面)，。转发层面处理能力强大，但其控制层面的处理能力有限。控制层面提供了转发层面转发所必须的各种网络信息和转发查询表项等。通常转发层面与控制层面间的通道转发能力不会大于控制层面处理能力，如通过GE或10GE传输速率的端口进行转发。攻击者通过向硬件转发设备发起海量的消息请求，导致转发层面与控制层面间的通道阻塞，从而导致正常业务报文不能上送到控制层面处理，既而引发正常的业务交互流程阻塞，达到拒绝服务的目的。

发明内容

本公开提供了一种防攻击方法和装置，以解决现有技术中转发设备受到攻击导致转发层面与控制层面通道阻塞的问题，从而避免硬件转发设备被攻击瘫痪。

依据本公开的一个方面，提供了一种防攻击方法，所述方法应用于网络转发设备，包括：

接收由转发层面上传的命中流级防攻击表项的报文，获取所述报文中携带的丢包数；

统计预设时间内所述报文的总数；

若判断预设时间内所述报文的总数超过设定阈值，则将下发到转发层面的所述流级防攻击表项的动作设置为丢弃。

依据本公开的另一个方面，提供了一种防攻击方法，所述方法应用于网络转发设备，包括：

记录命中流级防攻击表项的报文丢包数；

在上传给控制层面的命中所述流级防攻击表项的报文中，携带所述丢包数。

依据本公开的又一个方面，提供了一种防攻击装置，所述装置应用于网络转发设备，包括：

获取单元，用于接收由转发层面上传的命中流级防攻击表项的报文，获取所述报文中携带的丢包数；

统计单元，用于统计预设时间内所述报文的总数；

处理单元，用于在判断预设时间内所述报文的总数超过设定阈值时，将下发到转发层面的所述流级防攻击表项的动作设置为丢弃。

依据本公开的再一个方面，提供了一种防攻击装置，所述装置应用于网络转发设备，包括：

记录单元，用于记录命中流级防攻击表项的报文丢包数；

上传单元，用于在上传给控制层面的命中所述流级防攻击表项的报文中，携带所述丢包数。

本公开的有益效果是：应用在网络转发设备上，接收由转发层面上传的命中流级防攻击表项的报文，获取所述报文中携带的丢包数，进而统计预设时间内所述报文的总数；若判断预设时间内所述报文的总数超过设定阈值，可确认所述报文为攻击报文，将下发到转发层面的所述流级防攻击表项的动作设置为丢弃，由于统计的报文总数包括有报文携带的报文的丢包数，因而统计更加精确，可准确确定攻击流进行丢弃处理，达到防攻击的目的。

附图说明

图1为本公开一个实施例的防攻击方法的流程示意图；