[发明专利]攻击防护方法及装置、设备及可读存储介质

说明书

本发明公开了一种攻击防护方法及装置、设备及可读存储介质，方法包括：当监测到目的IP遭受到ICMP FLOOD攻击时，拦截发往该目的IP的ICMP报文，确定该ICMP报文是否为重传报文，当是重传报文时，将该ICMP报文转发至服务器，当不是重传报文时，丢弃该ICMP报文。考虑到攻击目的IP的发送端是无规律发送ICMP报文的，且不存在重传报文，因此，通过验证发往目的IP的ICMP报文是否是重传报文的方式，可以有效确定发送端是攻击端还是正常端，使得对于攻击端发送的非重传报文能够丢弃，对于正常端发送的ICMP报文能够转发，在防护ICMP FLOOD攻击的同时，避免对正常报文的误杀，避免引起业务异常的误报。

技术领域

本发明涉及网络通信安全技术领域，尤其涉及一种攻击防护方法及装置、设备及可读存储介质。

背景技术

因特网控制报文协议泛洪(Internet Control Message Protocol FLOOD，ICMPFLOOD)攻击为常见的分布式拒绝服务(Distributed Denial of Service，DDOS)攻击的一种，ICMP FLOOD为典型的阻塞带宽性的DDOS攻击手法，通过僵尸网络对被攻击服务器发起大量ICMP垃圾报文，使得被攻击服务器带宽阻塞，正常请求无法响应，达到拒绝服务的目的。

现有技术中是采用限制传输的ICMP报文的数量的方式(限速方式)防护ICMPFLOOD攻击，然而这种方式存在以下缺点：(1)限制了正常ICMP报文的传输，存在误杀的情况，且误杀ICMP报文会导致拨测误判，从而引起业务异常的误报。(2)现网中有很多拨测服务器，专门利用ICMP报文做批量探测，如果该种服务器遭受到ICMP FLOOD攻击而使用限速方式，会严重影响探测服务器的业务，导致探测服务不可用。(3)在攻击端过于分散的情况下，限速方式透传的ICMP报文的数量会比较大，导致业务不可用。

发明内容

本发明的主要目的在于提供一种攻击防护方法及装置、设备及可读存储介质，旨在解决现有技术中攻击防护方法存在误杀，且会引起业务异常的误报；影响探测服务器的业务，导致探测服务不可用；在攻击端过于分散的情况下导致业务不可用的技术问题。

为实现上述目的，本发明第一方面提供一种攻击防护方法，包括：

当监测到目的网络之间互联的协议IP遭受到ICMP FLOOD攻击时，拦截发往所述目的IP的ICMP报文；

当所述ICMP报文是重传报文时，将所述ICMP报文转发至服务器；

当所述ICMP报文不是重传报文时，丢弃所述ICMP报文。

为实现上述目的，本发明第二方面提供一种攻击防护装置，包括：

拦截模块，用于当监测到目的网络之间互联的协议IP遭受到ICMP FLOOD攻击时，拦截发往所述目的IP的ICMP报文；

第一转发模块，用于当所述ICMP报文是重传报文时，将所述ICMP报文转发至服务器；

丢弃模块，用于当所述ICMP报文不是重传报文时，丢弃所述ICMP报文。

为实现上述目的，本发明第三方面提供一种设备，包括：存储器、处理器及存储在所述存储器上且在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时，实现如本发明实施例第一方面提供的攻击防护方法中的各个步骤。

为实现上述目的，本发明第四方面提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时，实现如本发明第一方面提供的攻击防护方法中的各个步骤。