本申請提供一種攻擊防范方法和裝置，該方法應用于中間設備，該方法包括：接收第一報文，第一報文的目的IP地址為中間設備保護的服務器的IP地址；若保存的第一IP地址列表中包括第一報文的源IP地址，則發送轉發第一報文；若保存的第一IP地址列表和第二IP地址列表中均不包括第一報文的源IP地址，則將第一報文的源IP地址添加到第二IP地址列表中，并發送第二報文，第二報文的源IP地址為第一報文的目的IP地址或中間設備的地址，第二報文的目的IP地址為第一報文的源IP地址，第二報文的目的端口號為預設范圍內的一端口號；若接收到針對第二報文的用于指示第二報文錯誤的響應報文，則將第一報文的源IP地址添加到第一IP地址列表中。

技術領域

本申請涉及通信技術領域，尤其涉及一種攻擊防范方法和裝置。

背景技術

隨著網絡的發展，組網環境日趨復雜，隨之而來的網絡攻擊也日益頻繁，尤其以DOS(Denial of Service,拒絕服務)攻擊(包括DDOS(Distributed Deny of Service，分布式拒絕服務)攻擊)最為常見。DOS攻擊中，攻擊者在短時間內使用大量數據包或畸形報文，向網絡設備不斷發起連接或請求響應，導致網絡設備由于負荷過重而不能處理合法報文，出現業務異常甚至設備癱瘓的情況。

現在防范DOS攻擊的一種常用方法是：網絡安全設備檢測發往特定目的地址的報文速率，當速率超過設定的閾值時丟棄發往該特定目的地址的報文，當速率低于上述設定的閾值時，允許報文發往該特定目的地址。

這種方法存在以下不足：當正常報文與攻擊報文摻雜在一起時，啟動DOS攻擊防范后，不僅會丟棄攻擊報文，還會將正常報文也丟棄；如果正常報文多次被丟棄，則正常業務將受到影響。可見這種方法并不能有效減小DOS攻擊對網絡設備的業務造成的影響。

發明內容

有鑒于此，本申請提供一種攻擊防范方法和裝置，用以在正常報文和攻擊報文摻雜在一起時，可以識別出正常報文和攻擊報文，使得正常報文不會多次被當成攻擊報文丟棄。

具體地，本申請是通過如下技術方案實現的：

本申請第一方面，提供了一種攻擊防范方法，所述方法應用于中間設備，所述方法包括：

接收第一報文，所述第一報文的目的IP地址為所述中間設備保護的服務器的IP地址；

若保存的第一IP地址列表中包括所述第一報文的源IP地址，則發送轉發所述第一報文；

若保存的第一IP地址列表和第二IP地址列表中均不包括所述第一報文的源IP地址，則將所述第一報文的源IP地址添加到所述第二IP地址列表中，并發送第二報文，所述第二報文的源IP地址為所述第一報文的目的IP地址或所述中間設備的地址，所述第二報文的目的IP地址為所述第一報文的源IP地址，所述第二報文的目的端口號為預設范圍內的一端口號；

若接收到針對所述第二報文的用于指示所述第二報文錯誤的響應報文，則將所述第一報文的源IP地址添加到所述第一IP地址列表中。

本申請第二方面，提供了一種攻擊防范裝置，所述裝置可以應用于中間設備。所述裝置具有實現上述方法的功能，所述功能可以通過硬件實現，也可以通過硬件執行相應的軟件實現。所述硬件或軟件包括一個或多個與上述功能相對應的模塊或單元。

一種實現方式中，所述裝置可以包括：

收發單元，用于接收第一報文，所述第一報文的目的IP地址為所述中間設備保護的服務器的IP地址；