[发明专利]一种攻击防范方法和装置

权利要求书

1.一种攻击防范方法，其特征在于，所述方法应用于中间设备，所述方法包括：

接收第一报文，所述第一报文的目的IP地址为所述中间设备保护的服务器的IP地址；

若保存的第一IP地址列表中包括所述第一报文的源IP地址，则发送转发所述第一报文；

若保存的第一IP地址列表和第二IP地址列表中均不包括所述第一报文的源IP地址，则将所述第一报文的源IP地址添加到所述第二IP地址列表中，并发送第二报文，所述第二报文的源IP地址为所述第一报文的目的IP地址或所述中间设备的地址，所述第二报文的目的IP地址为所述第一报文的源IP地址，所述第二报文的目的端口号为预设范围内的一端口号；

若接收到针对所述第二报文的用于指示所述第二报文错误的响应报文，则将所述第一报文的源IP地址添加到所述第一IP地址列表中。

2.如权利要求1所述的方法，其特征在于，所述方法还包括：

若所述第一IP地址列表中不包括所述第一报文的源IP地址，且所述第二IP地址列表中包括所述第一报文的源IP地址，则丢弃所述第一报文。

3.如权利要求1所述的方法，其特征在于，所述第二报文的目的端口号具体为32768至65535内的一端口号；所述响应报文为ICMP端口不可达报文。

4.如权利要求2所述的方法，其特征在于，若保存的第一IP地址列表中包括所述第一报文的源IP地址，则发送转发所述第一报文：

若接收到所述第一报文之前的预设时间内收到的目的IP地址为所述中间设备保护的服务器的IP地址的报文的数量超过设定的阈值且保存的第一IP地址列表中包括所述第一报文的源IP地址，则发送转发所述第一报文；

若保存的第一IP地址列表和第二IP地址列表中均不包括所述第一报文的源IP地址，则将所述第一报文的源IP地址添加到所述第二IP地址列表中，并发送第二报文：

若接收到所述第一报文之前的预设时间内收到的目的IP地址为所述中间设备保护的服务器的IP地址的报文的数量超过设定的阈值且保存的第一IP地址列表和第二IP地址列表中均不包括所述第一报文的源IP地址，则将所述第一报文的源IP地址添加到所述第二IP地址列表中，并发送第二报文；

若所述第一IP地址列表中不包括所述第一报文的源IP地址，且所述第二IP地址列表中包括所述第一报文的源IP地址，则丢弃所述第一报文：

若接收到所述第一报文之前的预设时间内收到的目的IP地址为所述中间设备保护的服务器的IP地址的报文的数量超过设定的阈值且所述第一IP地址列表中不包括所述第一报文的源IP地址，且所述第二IP地址列表中包括所述第一报文的源IP地址，则丢弃所述第一报文。

5.如权利要求4所述的方法，其特征在于，所述方法还包括：

若接收到所述第一报文之前的预设时间内收到的目的IP地址为所述中间设备保护的服务器的IP地址的报文的数量低于设定的阈值，则转发所述第一报文。

6.一种攻击防范装置，其特征在于，所述装置应用于中间设备，所述装置包括：

收发单元，用于接收第一报文，所述第一报文的目的IP地址为所述中间设备保护的服务器的IP地址；

攻击防范单元，用于若保存的第一IP地址列表中包括所述第一报文的源IP地址，则指示所述收发单元发送转发所述第一报文；若保存的第一IP地址列表和第二IP地址列表中均不包括所述第一报文的源IP地址，则将所述第一报文的源IP地址添加到所述第二IP地址列表中，并指示所述收发单元发送第二报文，所述第二报文的源IP地址为所述第一报文的目的IP地址或所述中间设备的地址，所述第二报文的目的IP地址为所述第一报文的源IP地址，所述第二报文的目的端口号为预设范围内的一端口号；若所述收发单元接收到针对所述第二报文的用于指示所述第二报文错误的响应报文，则将所述第一报文的源IP地址添加到所述第一IP地址列表中。

7.如权利要求6所述的装置，其特征在于，

所述攻击防范单元，还用于若所述第一IP地址列表中不包括所述第一报文的源IP地址，且所述第二IP地址列表中包括所述第一报文的源IP地址，则丢弃所述第一报文。