技術領域

本發明涉及通信領域，特別涉及一種防止網絡攻擊的方法和網 絡設備。

背景技術

隨著因特網的迅速發展，網絡攻擊也日益頻繁，攻擊除了針對終 端設備也包括網絡設備，例如針對路由器，交換機等，攻擊者一般通 過在短時間內向其發送大量的需要其處理的偽造報文，導致系統忙于 處理這些報文，而使其他正常的任務處理受到影響以達到攻擊的目 的。在嚴重的情況，這種攻擊會導致系統資源耗盡，使設備宕機。

為了防止這類網絡攻擊，在網絡設備上采用CAR(Committed Access?Rate，約定訪問速率)進行限制是一種較常見的方法。CAR 是通信領域中經常采用的流量控制技術，通常在網絡設備通過設置 CAR來控制報文以約定的速率進出，達到提供特定網絡服務質量的 目的。

采用CAR進行流量的控制，能夠有效的保護網絡設備，網絡上即 使出現了攻擊報文，網絡設備也仍然能夠正常工作。但是，目前利用 CAR技術進行防攻擊一般是對所有上送處理的報文進行統一的速率 限定，而不關心報文從哪里來、是什么類型的報文等等。如果來自某 一個端口的攻擊報文流量過大，則即使采用了CAR進行流量的控制， 來自其他端口正常上送的報文仍然可能會被擠掉。類似的，如果來自 某一種協議的攻擊報文流量過大，那么即使采用了CAR進行流量的 控制，來自其他協議正常上送的報文仍然可能會被擠掉。這兩種情況 都會導致合法用戶的正常通信中斷。

發明內容

有鑒于此，本發明的實施例提供了一種防止網絡攻擊的方法和網 絡設備，以改善現有技術中防止網絡攻擊效果。

一種防止網絡攻擊的方法，包括：

為進入網絡設備的每一種協議的報文預先設置至少兩個約定訪問 速率CAR速率通道和至少一個速率閾值；

根據通過所述網絡設備的每一個端口的所述每一種協議的報文的 上送速率與所述預先為每一種協議的報文設置的速率閾值之間的關 系，選擇相應的CAR速率通道上送所述每一種協議的報文。

一種防止網絡攻擊的網絡設備，包括：

設置模塊，用于為進入所述網絡設備的每一種協議的報文預先設 置至少兩個CAR速率通道和至少一個速率閾值；

上送模塊，用于根據通過所述網絡設備的每一個端口的每一種協 議的報文的上送速率與所述設置模塊預先為所述每一種協議的報文 設置的速率閾值之間的關系，選擇相應的CAR速率通道上送所述每 一種協議報文。

在本發明的實施例中，通過為每種協議的報文設置多個CAR速率 通道，統計進入網絡設備每一個端口的各種協議報文的速率，判斷其 是否超過相應的閾值，設定進入網絡設備的每一種協議的報文走不同 的CAR速率通道，能夠有效解決目前網絡設備對報文只使用一個 CAR進行統一速率限定，而可能出現合法用戶的正常上送報文被攻 擊報文擠掉，導致通信中斷的缺陷。

附圖說明

圖1為本發明一個實施例中防止網絡攻擊的方法流程圖；

圖2為本發明另一實施例中防止網絡攻擊的方法流程圖；

圖3為本發明又一實施例中防止網絡攻擊的網絡設備的結構圖；

圖4為本發明又一實施例中防止網絡攻擊的網絡設備的結構圖；

圖5為本發明又一實施例中設置模塊300的結構圖；

圖6為本發明又一實施例中統計模塊320的結構圖。

具體實施方式

為使本發明實施例的目的、技術方案及優點更加清楚明白，以下 參照附圖，對本發明的實施例作進一步地詳細說明。

在本發明的實施例中，為進入網絡設備每一種協議的報文預先設 置至少兩個CAR速率通道，并且，也為每一種協議的報文預先設置 至少一個速率閾值；根據通過網絡設備的每一個端口的每一種協議報 文的上送速率與預先為每一種協議報文設置的速率閾值之間的關系， 選擇相應的CAR速率通道上送每一種協議報文。

在本發明的實施例中，CAR速率通道是指可以保證報文以不高于 指定CAR速率進行上送的數據通道。

一般情況下，為每一種協議的報文預先設置速率閾值時，會考慮 這一種協議的報文在網絡中的正常流量值，例如，較常用的，就可以 預先設置速率閾值的值與該協議報文在網絡中的正常流量值大致相 匹配，或者是稍大于該協議報文在網絡中的正常流量值。