[发明专利]网络攻击防御方法及装置

说明书

本申请提供一种网络攻击防御方法及装置，应用于本端通信设备，该本端通信设备与对端通信设备进行通信，所述方法包括：根据本端通信设备与对端通信设备之间的通信数据，持续检测本端通信设备是否满足预定的源端防攻击条件；在检测到本端通信设备满足源端防攻击条件时，向对端通信设备发送远端防攻击通知，使对端通信设备启动远端防攻击处理，同时本端通信设备本地也启动源端防攻击处理对网络攻击的防御。如此，相较于现有技术仅在本端通信设备本身启动防御的方式，本申请提供的方案可以是整个网络系统协同进行防御，提高的对恶意攻击防御的有效性，减少网络攻击对整个网络造成的影响。

技术领域

本申请涉及网络安全技术领域，具体而言，涉及一种网络攻击防御方法及装置。

背景技术

在网络通信中，时长会遇到恶意的主机发起网络攻击，在检测到网络攻击时，需要通信设备针对网络攻击启动防御。现有技术中，当作为攻击目标的通信设备在检测到受到网络攻击时，仅针对自身启动防御机制对攻击报文进行处理，但通常情况下，作为攻击目标的通信设备与发起攻击的主机之间的其他通信设备也会受到网络攻击的影响，仅针对攻击目标本身启动防御机制存在很大的局限性，不能有效减少攻击对整个网络系统造成的影响。

发明内容

第一方面，本申请提供一种网络攻击防御方法，应用于本端通信设备，该本端通信设备与对端通信设备进行通信，所述方法包括：

根据本端通信设备与对端通信设备之间的通信数据，检测所述本端通信设备是否满足预定的源端防攻击条件；

在检测到本端通信设备满足所述源端防攻击条件时，向所述对端通信设备发送远端防攻击通知，使该对端通信设备启动远端防攻击处理。

可选地，所述根据本端通信设备与对端通信设备之间的通信数据，检测所述本端通信设备是否满足预定的源端防攻击条件的步骤，包括：

根据从所述对端通信设备接收到的待处理报文的目的IP地址发送ARP探测报文；

若在第一预设时长内未接收到其它主机针对所述ARP探测报文回复的ARP响应报文，则判断该本端通信设备满足所述源端防攻击条件。

可选地，所述根据从所述对端通信设备接收到的待处理报文的目的IP地址发送ARP探测报文的步骤，包括：

检测该本端通信设备的ARP缓存表中是否记录有与所述待处理报文的目的IP地址对应的MAC地址；

若检测到所述ARP缓存表中未记录有对应的MAC地址，则启动源端防攻击处理，针对该目的IP地址发送ARP探测报文，并生成第一黑洞路由，所述第一黑洞路由用于丢弃与所述待处理报文的目的IP地址相同的报文；

所述方法还包括：

若在第一预设时长内接收到其它主机针对所述ARP探测报文回复的ARP响应报文，则删除所述第一黑洞路由

可选地，所述向所述对端通信设备发送远端防攻击通知的步骤，包括：

根据所述待处理报文的目的IP地址生成所述远端防攻击通知，并将所述远端防攻击通知发送给所述对端通信设备，使所述对端通信设备根据所述远端防攻击通知启动远端防攻击处理生成第二黑洞路由，所述第二黑洞路由用于丢弃与所述待处理报文的目的IP地址相同的报文。

可选地，所述方法还包括：在所述本端通信设备在发送所述远端防攻击通知之后接收到针对所述ARP探测报文的ARP响应报文时，向所述对端通信设备发送解除通知，所述解除通知包括所述待处理报文的目的IP地址，使所述对端通信设备根据所述解除通知删除相应的第二黑洞路由。

可选地，所述方法还包括：检测该本端通信设备上生成的源端口为同一隧道口的第一黑洞路由是否超过第一阈值；

若源端口为同一隧道口的第一黑洞路由超过所述第一阈值，则加快源端口为该隧道口的第一黑洞路由的老化速度。