技術領域

本發明涉及網絡技術領域，尤其涉及一種攻擊定位、輔助定位裝置和方法。

背景技術

隨著互聯網技術的發展，越來越多的企業或者團體內部使用局域網來通信，局域網可以實現文件管理、應用軟件共享、打印機共享等功能，傳輸速度快，并且便于管理。但與此同時，網絡安全問題也在困擾著用戶。

在局域網內，如果某個主機中毒或者遇到攻擊，網關通常是將攻擊報文丟掉。具體地，網關根據報文的流量和本地保存的表項，來識別攻擊報文，在確認攻擊后丟棄攻擊報文，或者是對攻擊報文進行限速。然而這種方法只是被動的防御，攻擊報文仍然在局域網內范洪，消耗大量的網絡帶寬，同時占用大量的中央處理器（CPU）處理資源。

發明內容

有鑒于此，本發明提供一種攻擊定位裝置，所述裝置包括：

位置探測模塊，用于在確認局域網內發生攻擊行為后，向局域網內的交換機發送位置探測報文，所述位置探測報文中攜帶有攻擊者的介質訪問控制MAC地址A-MAC；

位置確認模塊，用于接收局域網內的各交換機發送的位置應答報文，所述位置應答報文中攜帶所述A-MAC對應的接入端口以及該交換機距離網關設備的跳數，將攜帶最大跳數的位置應答報文作為目標位置應答報文，并根據該目標位置應答報文中攜帶的所述A-MAC對應的接入端口以及發送該目標位置應答報文的交換機來確定攻擊者的位置；

其中，位置應答報文為局域網中的交換機接收到位置探測報文，并基于所述A－MAC得到對應的接入端口后返回的響應報文；所述跳數用于表示位置探測報文在局域網內經過的交換機數量。

本發明還提供一種攻擊輔助定位裝置，所述裝置包括：

解析更新模塊，用于在接收到網關設備發送的位置探測報文后，獲取該位置探測報文中攜帶的攻擊者的介質訪問控制MAC地址A-MAC，查找所述A-MAC對應的接入端口，并更新所述位置探測報文的跳數，其中，所述跳數用于表示所述位置探測報文在局域網內經過的交換機數量；

回復應答模塊，用于將所述A-MAC對應的接入端口和更新后的跳數攜帶在位置應答報文中發送給網關設備；

定位轉發模塊，用于將更新后的跳數攜帶在所述位置探測報文中從所述A-MAC對應的接入端口轉發。

本發明還提供一種攻擊定位方法，應用在網關設備上，所述方法包括：

在確認局域網內發生攻擊行為后，向局域網內的交換機發送位置探測報文，所述位置探測報文中攜帶有攻擊者的介質訪問控制MAC地址A-MAC；

接收局域網內的各交換機發送的位置應答報文，所述位置應答報文中攜帶所述A-MAC對應的接入端口以及該交換機距離網關設備的跳數，將攜帶最大跳數的位置應答報文作為目標位置應答報文，并根據該目標位置應答報文中攜帶的所述A-MAC對應的接入端口以及發送該目標位置應答報文的交換機來確定攻擊者的位置；

其中，位置應答報文為局域網中的交換機接收到位置探測報文，并基于所述A－MAC得到對應的接入端口后返回的響應報文；所述跳數用于表示位置探測報文在局域網內經過的交換機數量。

本發明還提供一種攻擊輔助定位方法，應用在交換機上，所述方法包括：

在接收到網關設備發送的位置探測報文后，獲取該位置探測報文中攜帶的攻擊者的介質訪問控制MAC地址A-MAC，查找所述A-MAC對應的接入端口，并更新所述位置探測報文的跳數，其中，所述跳數用于表示所述位置探測報文在局域網內經過的交換機數量；

將所述A-MAC對應的接入端口和更新后的跳數攜帶在位置應答報文中發送給網關設備；

將更新后的跳數攜帶在所述位置探測報文中從所述A-MAC對應的接入端口轉發。

由以上技術方案可見，本發明通過交換機對攻擊者MAC地址的逐級反向查找，找到攻擊者MAC地址對應的接入端口，進而確定攻擊者在局域網中的位置。

附圖說明

圖1是本發明實施例一提供的攻擊定位方法流程示意圖；

圖2是本發明實施例二提供的攻擊輔助定位方法流程示意圖；

圖3是本發明實施例三提供的攻擊定位、輔助定位方法交互的流程示意圖；

圖4是本發明實施例三提供的一種典型組網環境圖；

圖5是本發明實施例四提供的攻擊定位裝置的結構示意圖；

圖6是本發明實施例五提供的攻擊輔助定位裝置的結構示意圖。

具體實施方式