[发明专利]基于FPGA的网络Smurf攻击特征瞬时防御电路实现方法

权利要求书

1.一种基于FPGA的网络Smurf攻击特征瞬时防御电路实现方法，其特征在于，所述防御电路设置在以太网接口的数据链路层和数据物理层之间；所述防御电路通过MII接口分别与MAC和PHY连接；所述方法包括如下步骤：

A、所述MII接口接收到报文发送信号或报文接收信号后启动所述防御电路；

B、半字节计数控制器将网络数据帧的字段分配到寄存器锁存；

C、数值比较器将所述寄存器与特征数值编码进行数值比较；

D、组合逻辑电路控制FIFO缓存模块电路对所述网络数据帧进行丢弃或通过处理。

2.如权利要求1所述的一种基于FPGA的网络Smurf攻击特征瞬时防御电路实现方法，其特征在于，所述步骤A中的所述防御电路包括出向数据防御电路和入向数据防御电路。

3.如权利要求2所述的一种基于FPGA的网络Smurf攻击特征瞬时防御电路实现方法，其特征在于，所述出向数据防御电路的寄存器包括报文类型寄存器、源IP地址寄存器、IP报文类型寄存器、报文分段标志寄存器、IP报文类型寄存器、ICMP报文类型寄存器、目的IP地址寄存器和备份目的IP地址寄存器。

4.如权利要求1或3所述的一种基于FPGA的网络Smurf攻击特征瞬时防御电路实现方法，其特征在于，所述步骤C中的所述数值比较器将所述寄存器与所述特征数值编码比较包括：

所述报文类型寄存器与0x0800比较，若比较结果相同则所述网络数据帧为IP报文；

所述源IP地址寄存器与本网口IP地址比较；

所述IP报文类型寄存器与0x01比较，若比较结果相同则所述网络数据帧为ICMP报文；

所述报文分段标志寄存器与0x02比较，若比较结果相同则所述网络数据帧为分段报文；

所述ICMP报文类型寄存器与0x08或0x0d比较，若比较结果相同则所述网络数据帧为请求报文；

所述目的IP地址寄存器与所述备份目的IP地址寄存器的上一个网络数据帧锁存的备份目的IP地址比较；所述目的IP地址寄存器与所述备份目的IP地址寄存器的数值比较器的输出电平与时钟计数器输出的20ms时钟脉冲电平进行逻辑或运算，用于确保20ms内所述网络数据帧的目的IP地址不等于所述上一个网络数据帧的目的IP地址,防止Smurf攻击时的连续数据包。

5.如权利要求2所述的一种基于FPGA的网络Smurf攻击特征瞬时防御电路实现方法，其特征在于，所述入向数据防御电路的寄存器包括报文类型寄存器、IP报文类型寄存器、ICMP报文类型寄存器和ICMP报文类型Code寄存器。

6.如权利要求1或5所述的一种基于FPGA的网络Smurf攻击特征瞬时防御电路实现方法，其特征在于，所述数值比较器将所述寄存器与所述特征数值编码比较包括：

所述报文类型寄存器与0x0800比较，若比较结果相同则所述网络数据帧为IP报文；

所述IP报文类型寄存器与0x01比较，若比较结果相同则所述网络数据帧为ICMP报文；

所述ICMP报文类型寄存器与0x03比较，若比较结果相同则所述网络数据帧为目的不可达报文；

所述ICMP报文类型Code寄存器与0x03比较，若比较结果相同则所述网络数据帧为端口不可达报文。

7.如权利要求1或2所述的一种基于FPGA的网络Smurf攻击特征瞬时防御电路实现方法，其特征在于，所述步骤D中的FIFO缓存模块电路包括出向FIFO缓存模块电路和入向FIFO缓存模块电路；

所述出向数据防御电路中的组合逻辑电路依据所述数值比较器的输出电平控制出向FIFO缓存模块电路将所述网络数据帧输出到所述PHY芯片或进行丢弃处理；

所述入向数据防御电路中的组合逻辑电路依据所述数值比较器的输出电平控制入向FIFO缓存模块电路将所述网络数据帧输入到所述MAC芯片或进行丢弃处理。

8.如权利要求1所述的一种基于FPGA的网络Smurf攻击特征瞬时防御电路实现方法，其特征在于，所述防御电路解析报文到达或离开节点的标记时刻为在所述网络数据帧开始标志字节的最后一位的结束和所述数据链路层的目的地址第一个字节的第一位到来之前的时刻。