[发明专利]网络攻击防御方法及装置

权利要求书

1.一种网络攻击防御方法，其特征在于，应用于本端通信设备，该本端通信设备与对端通信设备进行通信，所述方法包括：

根据本端通信设备与对端通信设备之间的通信数据，检测所述本端通信设备是否满足预定的源端防攻击条件；

在检测到本端通信设备满足所述源端防攻击条件时，向所述对端通信设备发送远端防攻击通知，使该对端通信设备启动远端防攻击处理；

其中，所述根据本端通信设备与对端通信设备之间的通信数据，检测所述本端通信设备是否满足预定的源端防攻击条件的步骤，包括：

根据从所述对端通信设备接收到的待处理报文的目的IP地址发送ARP探测报文；

若在第一预设时长内未接收到其它主机针对所述ARP探测报文回复的ARP响应报文，则判断该本端通信设备满足所述源端防攻击条件；

其中，所述根据从所述对端通信设备接收到的待处理报文的目的IP地址发送ARP探测报文的步骤，包括：

检测该本端通信设备的ARP缓存表中是否记录有与所述待处理报文的目的IP地址对应的MAC地址；

若检测到所述ARP缓存表中未记录有对应的MAC地址，则启动源端防攻击处理，针对该目的IP地址发送ARP探测报文，并生成第一黑洞路由，所述第一黑洞路由用于丢弃与所述待处理报文的目的IP地址相同的报文；

其中，所述向所述对端通信设备发送远端防攻击通知的步骤，包括：

根据所述待处理报文的目的I P地址生成所述远端防攻击通知，并将所述远端防攻击通知发送给所述对端通信设备，使所述对端通信设备根据所述远端防攻击通知启动远端防攻击处理生成第二黑洞路由，所述第二黑洞路由用于丢弃与所述待处理报文的目的IP地址相同的报文。

2.根据权利要求1所述的方法，其特征在于，

所述方法还包括：

若在第一预设时长内接收到其它主机针对所述ARP探测报文回复的ARP响应报文，则删除所述第一黑洞路由。

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

在发送所述远端防攻击通知之后接收到针对所述ARP探测报文的ARP响应报文时，向所述对端通信设备发送解除通知，所述解除通知包括所述待处理报文的目的IP地址，使所述对端通信设备根据所述解除通知删除相应的第二黑洞路由。

4.根据权利要求1所述的方法，其特征在于，所述方法还包括：

检测该本端通信设备上生成的源端口为同一隧道口的第一黑洞路由是否超过第一阈值；

若源端口为同一隧道口的第一黑洞路由超过所述第一阈值，则加快源端口为该隧道口的第一黑洞路由的老化速度。

5.根据权利要求1所述的方法，其特征在于，所述根据本端通信设备与对端通信设备之间的通信数据，持续检测本端通信设备是否满足预定的源端防攻击条件的步骤，包括：

检测该本端通信设备上来自同一端口的预设状态的TCP连接数量是否超过第二阈值；

所述在检测到本端通信设备满足所述源端防攻击条件时，向所述对端通信设备发送远端防攻击通知的步骤，包括：

在检测到任一端口的TCP连接数量超过第二阈值时，则向与该端口连接的对端通信设备发送远端防攻击通知，使该对端通信设备启动远端防攻击处理检测自身路由表中记录的每个端口对应目的IP地址的数量，并在检测到该对端通信设备上任一端口对应的目的IP地址数量超过第三阈值时，丢弃从该端口收到的TCP报文。

6.根据权利要求5所述的方法，其特征在于，所述方法还包括：

接收所述对端通信设备在检测到该对端通信设备上任一端口对应的目的IP地址数量超过第三阈值时发送的源端防攻击通知，启动源端防攻击处理加快所述本端通信设备针对所述预设状态的TCP连接老化速度。