[发明专利]防止攻击的网络的配置方法、防止攻击的方法和装置

说明书

技术领域

本发明涉及通信领域，尤其涉及一种防止攻击的网络的配置方法、防止攻击的方法和装置。

背景技术

ARP(Address Resolution Protocol，地址解析协议)攻击是针对网络设备的一种常见攻击形式，具体的攻击方式有：(1)向网关设备发送大量的ARP请求/应答报文，此攻击方式会占用设备端口带宽、网关设备忙于处理ARP报文，占用设备的CPU资源，引起网络能力下降，中断等故障；(2)向网关设备发送目的地址连续变化的扫描报文，如PING包；此攻击方式会引起网关设备产生大量的ARP miss报文(表示ARP表项不存在的消息)，占用设备CPU资源，引起网络能力下降、中断等故障。

现有技术中，在网络设备上使用访问控制列表(Access Control List，ACL)可以按照源、目的地址过滤进入网络设备的报文。当ARP攻击发生时，通过人工干预识别出攻击来源，再按照攻击报文的特征配置ACL规则将攻击报文过滤掉。该方案需要人工干预，难以实现在攻击发生时自动保护；而且攻击者变换报文的源、目的地址后即可避开ACL规则的过滤。

另一种现有技术是按源、目的地址限制ARP报文的速率。网络管理员按照网络的实际情况配置一个合理的ARP报文的速率上限，当某个源地址或目的地址的ARP报文速率超过了设置的速率上限时认为发生了ARP攻击，这时超过限制速率上限部分的报文将被丢弃，其他的ARP报文不受影响。由于此方案必须要保留所有的ARP报文的访问时间，因此消耗的资源较大，而且在攻击者的地址频繁变化的时候可能失效。

发明内容

本发明的实施方式提供防止攻击的网络的配置方法、防止攻击的方法和装置，解决目前通信网络中防止特定类型报文攻击的问题。

为解决上述技术问题，本发明的一个实施方式提供了一种防止攻击的网络的配置方法，该网络包括路由设备和用户设备，所述用户设备通过所述路由设备与接入运营商网络通信，配置该网络的方法包括：为所述用户设备配置用户VLAN ID；在所述路由设备的用户接入接口为所述用户设备配置QinQ方式接入；该用户设备报文封装为QinQ报文后发送；根据QinQ报文内层的用户VLAN ID配置特定类型的报文的抑制速率和缺省行为。

为解决上述技术问题，本发明的另一个实施方式提供了一种防止攻击的方法，该方法用于配置QinQ接入的网络中，根据QinQ内层的用户VLAN ID来识别用户，该方法包括：判断收到的特定类型的报文是否已经配置了报文限速，如果是，则判断该特定类型的报文的速率是否达到速率上限，如果是，则丢弃该报文；如果收到的特定类型的报文没有配置报文限速，则执行缺省动作。

为解决上述技术问题，本发明的另一个实施方式提供了一种一种防止攻击的装置，包括配置单元、限速判断单元、限速上限判断单元、执行单元，其中，所述配置单元，用于在路由设备的用户接入接口配置QinQ方式接入，根据QinQ报文内层的用户VLAN ID配置特定类型报文的速率上限和缺省动作；所述限速判断单元，用于判断收到的特定类型报文是否已经配置了报文限速，如果已经配置了报文的所述速率上限，则交由所述限速上限判断单元判断该特定类型的报文的速率是否达到所述速率上限，所述执行单元根据所述限速上限判断单元的判断结果执行动作；如果所述限速判断单元确定收到的特定类型报文没有配置报文的所述速率上限，则转执行单元执行所述缺省动作。

与现有技术相比，采用本发明的实施方式，组网配置完成后可以自动防护特定类型报文攻击，不需人工干预；即使发生攻击，也可以将攻击影响的范围缩小到特定用户，不会影响到同一接口下其他拥有不同VLAN ID的用户或用户群的正常网络连接；攻击者变换源、目的IP地址也难以规避安全策略的防护，同时不会带来额外的性能开销；根据连接的用户配置防护策略，系统资源的消耗有限，减小对硬件性能的压力；防止特定类型报文攻击的同时可以阻断网段扫描攻击。

附图说明

图1为本发明一个实施方式的组网图；

图2为本发明一个实施方式防止攻击的配置方法流程图；

图3为本发明另一实施方式防止攻击的方法流程图；

图4为本发明另一实施方式防止攻击的装置流程图；

具体实施方式

以下结合具体实施方式来说明本发明的实现过程。