本發明公開了一種攻擊處理方法及裝置，屬于通信技術領域。該攻擊處理方法包括：從接收的報文流中搜索請求響應報文對，基于請求響應報文對制定流表，并將流表下發至交換機，以使交換機按照流表對報文流執行相應操作，可以在阻止定向攻擊報文傳輸的同時正常傳輸其他報文，保障傀儡機受到攻擊時正常業務不中斷。

技術領域

本發明涉及通信技術領域，具體涉及一種攻擊處理方法及裝置。

背景技術

隨著信息技術的發展，越來越多的企業和校園建立了自己的內部網，這些內部網屬于園區網的范疇。園區網的接入終端數量巨大，且業務種類較多，網絡安全問題頻發，因此，保障園區網的網絡安全非常重要。DDoS(Distributed Denial of Service，分布式拒絕服務)攻擊是威脅網絡安全的主要攻擊手段之一，該類攻擊由黑客控制傀儡機向受害者主機發送大量虛假報文，從而造成網絡擁塞或者受害者主機崩潰。在網絡中安裝分布式拒絕服務攻擊物理清洗設備是檢測和處理分布式拒絕服務攻擊的重要手段，然而，由于分布式拒絕服務攻擊物理清洗設備價格昂貴，所以一般不會在園區網中配置。隨著云數據中心的發展以及軟件定義網絡技術廣泛應用，利用軟件定義網絡技術僅需較小成本即可檢測DDoS攻擊，因此，利用軟件定義網絡技術檢測DDoS攻擊已經成為新趨勢。但是，目前利用軟件定義網絡技術檢測到網絡中存在DDoS攻擊時的處理方式通常是對傀儡機所連接的交換機端口進行限速。這種處理方式雖然避免了DDoS報文在網絡中的傳播，但是也會導致傀儡機正常業務的中斷。

因此，在網絡受到DDoS攻擊時，如何在避免DDoS報文傳輸的同時保障傀儡機的正常業務不中斷，成為本領域亟待解決的問題。

發明內容

為此，本發明提供一種攻擊處理方法及裝置，以解決網絡受到DDoS攻擊時，通過對傀儡機連接交換機端口限速以避免DDoS報文傳輸的同時，也會導致傀儡機正常業務中斷的問題。

為了實現上述目的，本發明第一方面提供一種攻擊處理方法，包括：

從接收的報文流中搜索請求響應報文對；

基于所述請求響應報文對制定流表；

將所述流表下發至交換機，以使所述交換機按照所述流表對所述報文流執行相應操作。

進一步地，所述基于所述請求響應報文對制定流表，包括：

將符合所述請求響應報文對四元組信息的用戶設置為白名單；

確定報文流表規則；其中，所述報文流表規則為對報文發送用戶或報文接收用戶位于所述白名單的報文執行轉發操作，對報文發送用戶或報文接收用戶沒有位于所述白名單的報文執行丟棄操作；

基于所述白名單和所述報文流表規則獲得所述流表。

進一步地，將所述轉發操作設置為第一優先級，將所述丟棄操作設置為第二優先級。

進一步地，所述從接收的報文流中搜索請求響應報文對，包括：

接收所述報文流；

從所述報文流中提取四元組信息；其中，所述四元組信息包括源IP、目標IP、源端口和目的端口；

搜索所述四元組信息，并將所述源IP與所述目標IP相同，且所述源端口與所述目的端口相同的報文對作為所述請求響應報文對。

進一步地，所述從接收的報文流中搜索請求響應報文對之前，還包括：

判斷接收的所述報文流中是否存在定向攻擊報文；

當確定存在所述定向攻擊報文時，搜索所述報文流以獲取所述請求響應報文對。

進一步地，所述判斷接收的所述報文流中是否存在定向攻擊報文，包括：

在預設時間窗口內接收所述報文流；