[发明专利]一种封堵网络攻击的方法和装置

权利要求书

1.一种封堵网络攻击的方法，其特征在于，包括：

获取目标网络设备发送的数据包途径的至少一个设备的互联网协议地址，所述目标网络设备表征发起网络攻击的设备；

根据本地网络设备清单从所述数据包途径的至少一个设备中确定边界网络设备，所述边界网络设备包括连接在本地网络与非本地网络之间的本地网络设备，所述本地网络设备清单包括本地网络设备的互联网协议地址；

控制所述边界网络设备对所述目标网络设备的互联网协议地址执行封堵操作。

2.如权利要求1所述的方法，其特征在于，根据本地网络设备清单确定边界网络设备，包括：

根据本地网络设备清单确定第一网络设备和第二网络设备，所述第一网络设备和所述第二网络设备为所述数据包途径的至少一个设备中相互连接的网络设备，所述第一网络设备的互联网协议地址表征所述第一网络设备为本地网络设备，所述第二网络设备的互联网协议地址表征所述第二网络设备为非本地网络设备；

将所述第一网络设备确定为所述边界网络设备。

3.如权利要求2所述的方法，其特征在于，控制所述边界网络设备对所述目标网络设备的互联网协议地址执行封堵操作，包括：

当所述目标网络设备的互联网协议地址表征所述目标网络设备为非本地网络设备时，生成包含所述目标网络设备的互联网协议地址的访问控制列表，所述访问控制列表用于拒绝所述目标网络设备接入本地网络；

控制所述第一网络设备根据所述访问控制列表对所述目标网络设备的互联网协议地址执行封堵操作。

4.如权利要求2所述的方法，其特征在于，控制所述边界网络设备对所述目标网络设备的互联网协议地址执行封堵操作，包括：

当所述目标网络设备的互联网协议地址表征所述目标网络设备为非本地网络设备时，生成包含所述目标网络设备的互联网协议地址的黑洞路由条目，所述黑洞路由条目用于将所述目标网络设备的互联网协议地址转向伪接口；

控制所述第一网络设备根据所述黑洞路由条目对所述目标网络设备的互联网协议地址执行封堵操作。

5.如权利要求2所述的方法，其特征在于，控制所述边界网络设备对所述目标网络设备的互联网协议地址执行封堵操作，包括：

当所述目标网络设备的互联网协议地址表征所述目标网络设备为本地网络设备时，根据所述目标网络设备的互联网协议地址生成地址解析协议信息，所述地址解析协议信息用于拒绝所述目标网络设备接入本地网络；

控制所述第一网络设备根据所述地址解析协议信息对所述目标网络设备的互联网协议地址执行封堵操作。

6.如权利要求5所述的方法，其特征在于，所述地址解析协议信息包括所述目标网络设备的互联网协议地址和与所述目标网络设备不对应的物理地址；

其中，控制所述第一网络设备根据所述地址解析协议信息对所述目标网络设备的互联网协议地址执行封堵操作，包括：

向所述第一网络设备的本地端口绑定所述地址解析协议信息，以拒绝所述目标网络设备通过所述目标网络设备的互联网协议地址接入本地网络。

7.如权利要求6所述的方法，其特征在于，在向所述第一网络设备的本地端口绑定所述地址解析协议信息之后，还包括：

获取所述第一网络设备的地址解析协议信息；

根据目标网络设备的互联网协议地址和所述第一网络设备的地址解析协议信息确定对所述目标网络设备的互联网协议地址的封堵结果。

8.一种封堵网络攻击的装置，其特征在于，包括：

获取模块，获取目标网络设备发送的数据包途径的至少一个设备的互联网协议地址，所述目标网络设备表征发起网络攻击的设备；

确定模块，根据本地网络设备清单从所述数据包途径的至少一个设备中确定边界网络设备，所述边界网络设备包括连接在本地网络与非本地网络之间的本地网络设备，所述本地网络设备清单包括本地网络设备的互联网协议地址；

控制模块，控制所述边界网络设备对所述目标网络设备的互联网协议地址执行封堵操作。