技術領域

本發明涉及互聯網領域，特別是涉及一種網絡攻擊的防范方法和系統。

背景技術

在互聯網中，任何一個網絡協議都有可能遭受到非法用戶的攻擊。隨著網絡技術的進步，網絡攻擊的種類也在不斷翻新，網絡攻擊的防范也就成了一個永恒的話題。

大部分網絡設備的網絡攻擊防范功能都是通過下發防攻擊表項來實現的，過程簡要示意如圖1所示，網絡設備在檢測到網絡攻擊之后，下發防攻擊表項用來防范網絡攻擊。

對于一臺網絡設備而言，其防攻擊表項資源是有限的，下發一條防攻擊表項就占用一個防攻擊表項資源。換句話說，同一臺網絡設備同時只能下發數量有限的防攻擊表項。因此當網絡設備遭受分布式拒絕服務攻擊（distributed?denial?of?service，DDOS）等大規模網絡攻擊時，容易因為防攻擊表項資源不足而導致網絡防范失效，造成潛在的危險。

而且，防攻擊表項資源的數量是由設備芯片硬件決定，擴大網絡設備的防攻擊表項資源的數量成本很大。

目前一種網絡攻擊的防范方法為：攻擊檢測設備在檢測到網絡攻擊后，直接將防攻擊信息發送到攻擊源設備接入的交換機。

雖然發送防攻擊表項信息不占用攻擊檢測設備的防攻擊表項資源，但是此方法需要查詢到攻擊源設備接入的交換機，尤其是在攻擊檢測設備與攻擊源設備之間跨越多個網絡層級的情況下，查詢交換機的難度更大，該查詢過程增加了網絡攻擊防范處理的復雜度。

而且，查詢交換機的過程時間長，還會造成網絡攻擊防范效率低的問題。

發明內容

本發明提供了一種網絡攻擊的防范方法和系統，以解決攻擊檢測設備的防攻擊資源有限，無法防范大規模網絡攻擊的問題，以及，查詢攻擊源設備接入的交換機難度大、時間長，網絡攻擊防范效率低的問題。

為了解決上述問題，本發明提供了一種網絡攻擊的防范方法，所述方法應用于至少由具備攻擊檢測能力的攻擊檢測設備，不具備攻擊檢測能力的一個或多個攻擊防范設備，以及攻擊源設備構成的多層級網絡中，按照所述攻擊源設備發出網絡攻擊而產生的攻擊流量的流向路徑，所述攻擊源設備為所述攻擊防范設備的上游設備，所述攻擊防范設備為所述攻擊檢測設備的上游設備，所述方法包括：

攻擊檢測設備在檢測到攻擊源設備發出的網絡攻擊后，將檢測得到的防攻擊信息封裝到報文中；

所述攻擊檢測設備從本地的受攻擊端口將所述報文發送至作為所述攻擊檢測設備的上游設備的攻擊防范設備，以利用所述攻擊防范設備對所述網絡攻擊進行防范；

其中，攻擊防范設備具備根據所述防攻擊信息下發防攻擊表項對網絡攻擊進行防范的能力。

優選的，所述攻擊檢測設備將檢測得到的防攻擊信息封裝到報文中，包括：

所述攻擊檢測設備以報文選項的形式添加防攻擊信息到報文中；

其中，所述報文選項包括選項類型、選項長度和選項數據；所述選項數據包括一個或多個防攻擊信息，所述防攻擊信息包括防攻擊表項類型、防攻擊表項長度、防攻擊表項有效時間和防攻擊表項。

優選的，所述攻擊檢測設備將檢測得到的防攻擊信息封裝到報文中，具體包括：

所述攻擊檢測設備將檢測得到的防攻擊信息中的一部分封裝到報文中，以便利用其上游設備對該部分防攻擊信息對應的網絡攻擊進行防范。

優選的，所述攻擊檢測設備將檢測得到的防攻擊信息中的一部分封裝到報文中，具體包括：

所述攻擊檢測設備根據檢測得到的防攻擊信息下發的防攻擊表項占用資源，大于預設的資源閾值時，將多出的防攻擊信息封裝到報文中。

優選的，所述攻擊檢測設備從本地的受攻擊端口將所述報文發送至作為所述攻擊檢測設備的上游設備的攻擊防范設備之后，所述方法還包括：

如果所述攻擊檢測設備在預設第一時間段內再次檢測到所述網絡攻擊時，所述攻擊檢測設備根據封裝到所述報文中的防攻擊信息在本地的受攻擊端口下發防攻擊表項。

優選的，所述報文為鏈路層發現協議報文。

本發明還提供了一種網絡攻擊的防范方法，所述方法應用于至少由具備攻擊檢測能力的攻擊檢測設備，不具備攻擊檢測能力的一個或多個攻擊防范設備，以及攻擊源設備構成的多層級網絡中，所述方法包括：

攻擊防范設備接收到來自其下游設備發送的封裝有防攻擊信息的報文；

所述攻擊防范設備根據所述報文中封裝的防攻擊信息，下發防攻擊表項對所述防攻擊信息對應的網絡攻擊進行防范。