[发明专利]一种攻击定位、辅助定位装置和方法

说明书

技术领域

本发明涉及网络技术领域，尤其涉及一种攻击定位、辅助定位装置和方法。

背景技术

随着互联网技术的发展，越来越多的企业或者团体内部使用局域网来通信，局域网可以实现文件管理、应用软件共享、打印机共享等功能，传输速度快，并且便于管理。但与此同时，网络安全问题也在困扰着用户。

在局域网内，如果某个主机中毒或者遇到攻击，网关通常是将攻击报文丢掉。具体地，网关根据报文的流量和本地保存的表项，来识别攻击报文，在确认攻击后丢弃攻击报文，或者是对攻击报文进行限速。然而这种方法只是被动的防御，攻击报文仍然在局域网内范洪，消耗大量的网络带宽，同时占用大量的中央处理器（CPU）处理资源。

发明内容

有鉴于此，本发明提供一种攻击定位装置，所述装置包括：

位置探测模块，用于在确认局域网内发生攻击行为后，向局域网内的交换机发送位置探测报文，所述位置探测报文中携带有攻击者的介质访问控制MAC地址A-MAC；

位置确认模块，用于接收局域网内的各交换机发送的位置应答报文，所述位置应答报文中携带所述A-MAC对应的接入端口以及该交换机距离网关设备的跳数，将携带最大跳数的位置应答报文作为目标位置应答报文，并根据该目标位置应答报文中携带的所述A-MAC对应的接入端口以及发送该目标位置应答报文的交换机来确定攻击者的位置；

其中，位置应答报文为局域网中的交换机接收到位置探测报文，并基于所述A－MAC得到对应的接入端口后返回的响应报文；所述跳数用于表示位置探测报文在局域网内经过的交换机数量。

本发明还提供一种攻击辅助定位装置，所述装置包括：

解析更新模块，用于在接收到网关设备发送的位置探测报文后，获取该位置探测报文中携带的攻击者的介质访问控制MAC地址A-MAC，查找所述A-MAC对应的接入端口，并更新所述位置探测报文的跳数，其中，所述跳数用于表示所述位置探测报文在局域网内经过的交换机数量；

回复应答模块，用于将所述A-MAC对应的接入端口和更新后的跳数携带在位置应答报文中发送给网关设备；

定位转发模块，用于将更新后的跳数携带在所述位置探测报文中从所述A-MAC对应的接入端口转发。

本发明还提供一种攻击定位方法，应用在网关设备上，所述方法包括：

在确认局域网内发生攻击行为后，向局域网内的交换机发送位置探测报文，所述位置探测报文中携带有攻击者的介质访问控制MAC地址A-MAC；

接收局域网内的各交换机发送的位置应答报文，所述位置应答报文中携带所述A-MAC对应的接入端口以及该交换机距离网关设备的跳数，将携带最大跳数的位置应答报文作为目标位置应答报文，并根据该目标位置应答报文中携带的所述A-MAC对应的接入端口以及发送该目标位置应答报文的交换机来确定攻击者的位置；

其中，位置应答报文为局域网中的交换机接收到位置探测报文，并基于所述A－MAC得到对应的接入端口后返回的响应报文；所述跳数用于表示位置探测报文在局域网内经过的交换机数量。

本发明还提供一种攻击辅助定位方法，应用在交换机上，所述方法包括：

在接收到网关设备发送的位置探测报文后，获取该位置探测报文中携带的攻击者的介质访问控制MAC地址A-MAC，查找所述A-MAC对应的接入端口，并更新所述位置探测报文的跳数，其中，所述跳数用于表示所述位置探测报文在局域网内经过的交换机数量；

将所述A-MAC对应的接入端口和更新后的跳数携带在位置应答报文中发送给网关设备；

将更新后的跳数携带在所述位置探测报文中从所述A-MAC对应的接入端口转发。

由以上技术方案可见，本发明通过交换机对攻击者MAC地址的逐级反向查找，找到攻击者MAC地址对应的接入端口，进而确定攻击者在局域网中的位置。

附图说明

图1是本发明实施例一提供的攻击定位方法流程示意图；

图2是本发明实施例二提供的攻击辅助定位方法流程示意图；

图3是本发明实施例三提供的攻击定位、辅助定位方法交互的流程示意图；

图4是本发明实施例三提供的一种典型组网环境图；

图5是本发明实施例四提供的攻击定位装置的结构示意图；

图6是本发明实施例五提供的攻击辅助定位装置的结构示意图。

具体实施方式