[发明专利]攻击防护方法及装置、设备及可读存储介质

权利要求书

1.一种攻击防护方法，其特征在于，所述方法包括：

当监测到目的网络之间互联的协议IP遭受到因特网控制报文协议泛洪ICMP FLOOD攻击时，拦截发往所述目的IP的ICMP报文，获取所述ICMP报文的ICMP类型，ICMP包长及分片字段值；

当所述ICMP类型是预设的合法类型，且所述ICMP包长小于预设包长，且所述分片字段值标识所述ICMP报文为非分片报文时，获取所述ICMP报文的报文信息；所述报文信息包括源IP、目的IP及ICMP类型；

查找首包报文数据库，确定是否存在与所述报文信息相同的首包报文信息，所述首包报文数据库包含发送端发送的首个ICMP报文的首包报文信息及所述首个ICMP报文的接收时间的对应关系；当查找到与所述报文信息相同的首包报文信息，且距离所述相同的首包报文信息对应的接收时间的时长小于或等于预置时长时，则确定所述ICMP报文为重传报文；当未查找到与所述报文信息相同的首包报文信息时，或者，当查找到与所述报文信息相同的首包报文信息，且距离所述相同的首包报文信息对应的接收时间的时长大于所述预置时长时，则确定所述ICMP报文不是重传报文；

当所述ICMP报文是重传报文时，在不信任列表中查找所述ICMP报文的源IP，若未查找到则将所述ICMP报文转发至服务器；若查找到则将所述ICMP报文丢弃；其中，所述不信任列表中包含对信任列表进行监测确定的恶意源IP，所述信任列表包含已验证为重传报文的ICMP报文的源IP，所述恶意源IP是指在预置的时间段内发送的ICMP报文的数量大于或等于预设阈值的所述信任列表中的源IP；

当所述ICMP报文不是重传报文时，丢弃所述ICMP报文，并将所述ICMP报文的报文信息及接收时间的对应关系，添加至所述首包报文数据库中；

还包括：

对所述信任列表中的源IP发送的ICMP报文的数量进行监测；

当监测到在预置的时间段内，源IP发送的ICMP报文的数量大于或等于预设阈值时，将所述源IP从所述信任列表中删除。

2.根据权利要求1所述的方法，其特征在于，所述获取所述ICMP报文的报文信息之前，或者，所述丢弃所述ICMP报文之前，还包括：

获取所述ICMP报文的发送端信息；

查找所述信任列表；

当所述信任列表中未查找到所述发送端信息时，继续执行所述获取所述ICMP报文的报文信息的步骤，或者继续执行所述放弃所述ICMP报文的步骤；

当所述信任列表中查找到所述发送端信息时，将所述ICMP报文转发至服务器。

3.根据权利要求2所述的方法，其特征在于，所述方法还包括：

当所述ICMP报文是重传报文时，将所述ICMP报文的发送端信息添加至所述信任列表中。

4.根据权利要求2或3所述的方法，其特征在于，所述发送端信息包括源IP，或者包括源IP及生存时间值；

所述将所述源IP从所述信任列表中删除包括：

将所述源IP及生存时间值从所述信任列表中删除。

5.根据权利要求1所述的方法，其特征在于，所述方法还包括：

当所述ICMP类型不是预设的合法类型时，或者当所述ICMP包长大于或等于预设包长时，或者，当所述分片字段值标识所述ICMP报文为分片报文时，确定所述ICMP报文为攻击报文，丢弃所述ICMP报文。