技術領域

本發明涉及通信領域，尤其涉及一種防止攻擊的網絡的配置方法、防止攻擊的方法和裝置。

背景技術

ARP(Address?Resolution?Protocol，地址解析協議)攻擊是針對網絡設備的一種常見攻擊形式，具體的攻擊方式有：(1)向網關設備發送大量的ARP請求/應答報文，此攻擊方式會占用設備端口帶寬、網關設備忙于處理ARP報文，占用設備的CPU資源，引起網絡能力下降，中斷等故障；(2)向網關設備發送目的地址連續變化的掃描報文，如PING包；此攻擊方式會引起網關設備產生大量的ARP?miss報文(表示ARP表項不存在的消息)，占用設備CPU資源，引起網絡能力下降、中斷等故障。

現有技術中，在網絡設備上使用訪問控制列表(Access?Control?List，ACL)可以按照源、目的地址過濾進入網絡設備的報文。當ARP攻擊發生時，通過人工干預識別出攻擊來源，再按照攻擊報文的特征配置ACL規則將攻擊報文過濾掉。該方案需要人工干預，難以實現在攻擊發生時自動保護；而且攻擊者變換報文的源、目的地址后即可避開ACL規則的過濾。

另一種現有技術是按源、目的地址限制ARP報文的速率。網絡管理員按照網絡的實際情況配置一個合理的ARP報文的速率上限，當某個源地址或目的地址的ARP報文速率超過了設置的速率上限時認為發生了ARP攻擊，這時超過限制速率上限部分的報文將被丟棄，其他的ARP報文不受影響。由于此方案必須要保留所有的ARP報文的訪問時間，因此消耗的資源較大，而且在攻擊者的地址頻繁變化的時候可能失效。

發明內容

本發明的實施方式提供防止攻擊的網絡的配置方法、防止攻擊的方法和裝置，解決目前通信網絡中防止特定類型報文攻擊的問題。

為解決上述技術問題，本發明的一個實施方式提供了一種防止攻擊的網絡的配置方法，該網絡包括路由設備和用戶設備，所述用戶設備通過所述路由設備與接入運營商網絡通信，配置該網絡的方法包括：為所述用戶設備配置用戶VLAN?ID；在所述路由設備的用戶接入接口為所述用戶設備配置QinQ方式接入；該用戶設備報文封裝為QinQ報文后發送；根據QinQ報文內層的用戶VLAN?ID配置特定類型的報文的抑制速率和缺省行為。

為解決上述技術問題，本發明的另一個實施方式提供了一種防止攻擊的方法，該方法用于配置QinQ接入的網絡中，根據QinQ內層的用戶VLAN?ID來識別用戶，該方法包括：判斷收到的特定類型的報文是否已經配置了報文限速，如果是，則判斷該特定類型的報文的速率是否達到速率上限，如果是，則丟棄該報文；如果收到的特定類型的報文沒有配置報文限速，則執行缺省動作。

為解決上述技術問題，本發明的另一個實施方式提供了一種一種防止攻擊的裝置，包括配置單元、限速判斷單元、限速上限判斷單元、執行單元，其中，所述配置單元，用于在路由設備的用戶接入接口配置QinQ方式接入，根據QinQ報文內層的用戶VLAN?ID配置特定類型報文的速率上限和缺省動作；所述限速判斷單元，用于判斷收到的特定類型報文是否已經配置了報文限速，如果已經配置了報文的所述速率上限，則交由所述限速上限判斷單元判斷該特定類型的報文的速率是否達到所述速率上限，所述執行單元根據所述限速上限判斷單元的判斷結果執行動作；如果所述限速判斷單元確定收到的特定類型報文沒有配置報文的所述速率上限，則轉執行單元執行所述缺省動作。

與現有技術相比，采用本發明的實施方式，組網配置完成后可以自動防護特定類型報文攻擊，不需人工干預；即使發生攻擊，也可以將攻擊影響的范圍縮小到特定用戶，不會影響到同一接口下其他擁有不同VLAN?ID的用戶或用戶群的正常網絡連接；攻擊者變換源、目的IP地址也難以規避安全策略的防護，同時不會帶來額外的性能開銷；根據連接的用戶配置防護策略，系統資源的消耗有限，減小對硬件性能的壓力；防止特定類型報文攻擊的同時可以阻斷網段掃描攻擊。

附圖說明

圖1為本發明一個實施方式的組網圖；

圖2為本發明一個實施方式防止攻擊的配置方法流程圖；

圖3為本發明另一實施方式防止攻擊的方法流程圖；

圖4為本發明另一實施方式防止攻擊的裝置流程圖；

具體實施方式

以下結合具體實施方式來說明本發明的實現過程。