1.一種攻擊防御方法，其特征在于，應用于檢測設備，所述方法包括：

接收用戶設備向服務器發送的第一報文；

檢測所述服務器當前是否處于正常工作狀態；

若處于正常工作狀態，則檢測所述第一報文是否為掃描報文；所述檢測所述第一報文是否為掃描報文的步驟，包括：

檢測所述第一報文的目的端口是否為所述服務器提供服務的端口，并檢測所述第一報文請求的內容是否為所述服務器提供的服務內容；如果為所述服務器提供服務的端口且為所述服務器提供服務內容，則確定所述第一報文不是掃描報文；否則，則確定所述第一報文是掃描報文；

若是掃描報文，則將所述第一報文發送給監測設備，以使所述監測設備記錄所述第一報文的源網絡協議IP地址與所述第一報文的目的端口的對應關系，根據已記錄的所述第一報文的源IP地址對應的目的端口，確定所述用戶設備的威脅等級，根據所述用戶設備的威脅等級進行反攻擊處理；

若處于異常工作狀態，則檢測所述第一報文是否為探測報文；

若是探測報文，則將所述第一報文發送給監測設備，以使所述監測設備檢測是否已記錄所述第一報文的源IP地址；若記錄，則更新所述用戶設備的威脅等級，根據所述用戶設備更新后的威脅等級進行反攻擊處理；若未記錄，則記錄所述第一報文的源IP地址。