[发明专利]针对网络攻击的ACL过滤表项建立方法及装置

说明书

本发明公开了一种针对网络攻击的ACL过滤表项建立方法及装置，该方法包括：若接收到网络攻击的攻击报文类型的待处理报文，则在第一ACL表中添加包括待处理报文的VLAN标识对应的各个端口、五元组信息中除源IP地址之外的四元组信息和源IP地址的子网掩码的ACL统计表项；基于添加的各个ACL统计表项确定五元组信息对应的第一攻击源端口；通过第一攻击源端口发送携带五元组信息、设定MAC地址和VLAN标识的IP请求报文；若在设定时长内接收到与IP请求报文对应的IP响应报文，则在第一ACL表中删除添加的各个ACL统计表项；若未接收到IP响应报文，则在第一ACL表中删除添加的各个ACL统计表项，并在第一ACL表中ACL过滤表项。该方案可以实现仅过滤攻击报文，转发正常报文。

技术领域

本发明涉及通信技术领域，尤指一种针对网络攻击的ACL过滤表项建立方法及装置。

背景技术

目前，在网络中经常会出现一些恶意的网络攻击，如地址解析协议(AddressResolution Protocol，ARP)攻击、互联网协议(Internet Protocol，IP)攻击等，网络攻击会利用大量的报文砸向网络设备的中央处理器(Central Processing Unit，CPU)，大量消耗CPU的资源，使CPU一直处于高负载状态，导致正常的协议流和管理流无法被CPU处理，带来协议震荡或者无法管理。

为了防止网络攻击对CPU的不良影响，通常会在访问控制列表(Access ControlList，ACL)表中建立ACL过滤表项来过滤网络攻击对应的攻击报文。在针对网络攻击的ACL过滤表项建立过程中，会基于网络攻击对应的攻击报文类型建立ACL过滤表项，从而过滤掉该攻击报文类型的所有报文。

由上可见，上述针对网络攻击的ACL过滤表项建立方式会过滤掉攻击报文，同时也会过滤掉正常报文，从而影响正常报文的转发。

发明内容

本发明实施例提供一种针对网络攻击的ACL过滤表项建立方法及装置，用以解决现有技术中存在的过滤掉攻击报文同时也会过滤掉正常报文，从而影响正常报文的转发的问题。

根据本发明实施例，提供一种针对网络攻击的ACL过滤表项建立方法，应用于目标网络包括的核心网络设备中，所述目标网络还包括至少一个其他网络设备，包括：

检测到网络攻击后，确定网络攻击的攻击报文类型；

若接收到所述攻击报文类型的待处理报文，则获取所述待处理报文的五元组信息和虚拟局域网VLAN标识，在第一访问控制列表ACL表中添加包括所述VLAN标识对应的各个端口、所述五元组信息中除源互联网协议IP地址之外的四元组信息和所述源IP地址的子网掩码的ACL统计表项，各个ACL统计表项包括的端口不同；

基于添加的各个ACL统计表项从所述VLAN标识对应的各个端口中确定所述五元组信息对应的第一攻击源端口；

通过所述第一攻击源端口发送携带所述五元组信息、设定媒体访问控制MAC地址和所述VLAN标识的IP请求报文；

若在设定时长内接收到与所述IP请求报文对应的IP响应报文，则在所述第一ACL表中删除添加的各个ACL统计表项；若在所述设定时长内未接收到所述IP响应报文，则在所述第一ACL表中删除添加的各个ACL统计表项，并在所述第一ACL表中添加包括所述第一攻击源端口和所述五元组信息的ACL过滤表项，所述IP响应报文是所述至少一个其他网络设备中接收到所述IP请求报文的第一选定网络设备确定所述IP请求报文携带所述设定MAC地址后返回的。

具体的，基于添加的各个ACL统计表项从所述VLAN标识对应的各个端口中确定所述五元组信息对应的第一攻击源端口，具体包括：

在设定时长内基于各个ACL统计表项分别统计对应的端口接收到的携带所述五元组信息的报文的数量；