[发明专利]一种检测洪水攻击的方法及装置

权利要求书

1.一种检测洪水攻击的方法，应用于局域网的接入交换机，其特征在于，包括：

根据预设的会话表的会话表项的五元组中的源IP更新预设的用户表的用户表项中的发起会话数；其中，所述会话表包括五元组、会话状态和会话建立时间的映射关系，所述用户表包括IP地址、发起会话数和异常会话数的映射关系；

根据所述会话表的会话表项的会话状态和会话建立时间更新所述用户表的用户表项中的所述异常会话数；

周期性遍历所述用户表，确定各用户表项的发起会话数是否达到预设的第一阈值，以及，确定各用户表项的异常会话数是否到达预设的第二阈值；

如果所述用户表项的发起会话数达到所述第一阈值或者所述用户表项的异常会话数达到所述第二阈值，确定所述用户表项中的IP地址为攻击源的IP地址；

所述根据所述会话表的会话表项的会话状态和会话建立时间更新所述用户表的用户表项中的所述异常会话数，包括：

周期性遍历所述会话表，依次将各会话表项选为目标会话表项；

基于当前时间和所述目标会话表项中的会话建立时间确定所述目标会话表项是否已建立达到预设的状态更新时长；

如果所述目标会话表项已建立达到所述状态更新时长，确定所述目标会话表项中的会话状态是否为完全状态；

如果是，将下一个会话表项选为目标会话表项；

如果否，将所述目标会话表项的五元组中的源IP查找所述用户表，将查找到的用户表项中的异常会话数加1。

2.根据权利要求1所述的方法，其特征在于，所述根据会话表的会话表项的五元组中的源IP更新用户表的用户表项中的发起会话数，包括：

新建会话表项，或者，更新会话表的会话表项；

根据所述会话表项的五元组中的源IP查找所述用户表，确定是否查找到对应的用户表项；

如果是，将查找到的所述用户表项中的所述发起会话数加1；

如果否，根据所述会话表项的五元组中的源IP新建用户表项，并将所述发起会话数置为1。

3.根据权利要求2所述的方法，其特征在于，所述新建会话表项，或者，更新会话表的会话表项，包括：

接收到报文并提取报文的五元组；

根据所述五元组查找所述会话表，确定是否查找到对应的会话表项；

如果是，更新所述会话表项中的会话状态；其中，所述会话状态包括未完全状态和完全状态，所述未完全状态指会话双方尚未互相通信，所述完全状态指会话双方已经互相通信；

如果否，基于所述五元组新建会话表项，并将所述会话表项中的会话状态置为未完全状态。

4.根据权利要求1所述的方法，其特征在于，所述方法还包括：

确定所述攻击源的IP地址后，对所述攻击源发送的报文进行丢弃。

5.根据权利要求1所述的方法，其特征在于，所述接入交换机与管理服务器对接，所述方法还包括：

确定所述攻击源的IP地址后，将所述攻击源的用户表项上报至所述管理服务器，以由所述管理服务器进一步确认所述用户表项中的IP地址为洪水攻击的攻击源的IP地址并下发阻断命令；

接收到所述阻断命令，对所述攻击源发送的报文进行丢弃。