[发明专利]一种攻击定位、辅助定位装置和方法

权利要求书

1.一种攻击定位装置，其特征在于，所述装置包括：

位置探测模块，用于在确认局域网内发生攻击行为后，向局域网内的交换机发送位置探测报文，所述位置探测报文中携带有攻击者的介质访问控制MAC地址A-MAC；

位置确认模块，用于接收局域网内的各交换机发送的位置应答报文，所述位置应答报文中携带所述A-MAC对应的接入端口以及该交换机距离网关设备的跳数，将携带最大跳数的位置应答报文作为目标位置应答报文，并根据该目标位置应答报文中携带的所述A-MAC对应的接入端口以及发送该目标位置应答报文的交换机来确定攻击者的位置；

其中，位置应答报文为局域网中的交换机接收到位置探测报文，并基于所述A－MAC得到对应的接入端口后返回的响应报文；所述跳数用于表示位置探测报文在局域网内经过的交换机数量。

2.根据权利要求1所述的装置，其他特征在于，所述位置确认模块进一步包括：将所述目标位置应答报文中携带的所述A-MAC对应的接入端口和发送该目标位置应答报文的交换机上报给网管。

3.根据权利要求2所述的装置，其特征在于，所述装置还包括：

控制处理模块，用于在确定攻击行为后的预定的时间内检测攻击行为仍然持续进行时，发送控制报文给发送该目标位置应答报文的交换机，通知其关闭所述A-MAC对应的接入端口。

4.根据权利要求1所述的装置，其特征在于，所述位置探测模块，具体用于从接收到攻击报文的端口发送所述位置探测报文。

5.根据权利要求1－4任一所述的装置，其特征在于，所述位置探测模块，具体用于发送的位置探测报文的目的MAC地址为用于交换机识别该位置探测报文的预定MAC地址。

6.根据权利要求5所述的装置，其特征在于，所述预定MAC地址为组播MAC地址。

7.一种攻击辅助定位装置，其特征在于，所述装置包括：

解析更新模块，用于在接收到网关设备发送的位置探测报文后，获取该位置探测报文中携带的攻击者的介质访问控制MAC地址A-MAC，查找所述A-MAC对应的接入端口，并更新所述位置探测报文的跳数，其中，所述跳数用于表示所述位置探测报文在局域网内经过的交换机数量；

回复应答模块，用于将所述A-MAC对应的接入端口和更新后的跳数携带在位置应答报文中发送给网关设备；

定位转发模块，用于将更新后的跳数携带在所述位置探测报文中从所述A-MAC对应的接入端口转发。

8.根据权利要求7所述的装置，其特征在于，所述装置还包括：

报文判断模块，用于查看接收到的报文是否携带预定MAC地址，如果是，则判定该报文为位置探测报文。

9.根据权利要求7所述的装置，其特征在于，所述定位转发模块，还用于所述解析更新模块没有查找到所述A－MAC对应的接入端口时，将更新后的跳数携带在所述位置探测报文中在交换机上除接收到该报文的端口上转发。

10.根据权利要求7所述的装置，其特征在于，所述装置还包括：

控制响应模块，用于在接收到网关设备发送的控制报文后，关闭所述控制报文中携带的A-MAC对应的端口。

11.一种攻击定位方法，其特征在于，所述方法包括：

在确认局域网内发生攻击行为后，向局域网内的交换机发送位置探测报文，所述位置探测报文中携带有攻击者的介质访问控制MAC地址A-MAC；

接收局域网内的各交换机发送的位置应答报文，所述位置应答报文中携带所述A-MAC对应的接入端口以及该交换机距离网关设备的跳数，将携带最大跳数的位置应答报文作为目标位置应答报文，并根据该目标位置应答报文中携带的所述A-MAC对应的接入端口以及发送该目标位置应答报文的交换机来确定攻击者的位置；

其中，位置应答报文为局域网中的交换机接收到位置探测报文，并基于所述A-MAC得到对应的接入端口后返回的响应报文；所述跳数用于表示位置探测报文在局域网内经过的交换机数量。

12.根据权利要求11所述的方法，其特征在于，所述方法还包括：

将所述目标位置应答报文中携带的所述A-MAC对应的接入端口和发送该目标位置应答报文的交换机上报给网管。