[发明专利]一种基于网络交换设备的有效防御洪水攻击的方法

权利要求书

1.一种基于网络交换设备的有效防御洪水攻击的方法，其特征在于：所述方法步骤为：

(1)网络交换设备通过内置的信息收集程序收集设备的系统负荷状态、各个物理接口的数据流量突发状态以及各个物理接口的ARP安全状态；

(2)当监测到一个物理接口出现了ARP病毒，并且突发频率超过了危险界限，则将该物理接口标记为危险；

(3)当监测到系统负荷状态超过了安全上限，如果有物理接口被标记为危险，则停止该物理接口的转发处理，否则，将数据流量突发状态最大的物理接口进行流量控制；

(4)在安全待定时间内，如果设备的系统负荷状态始终保持平稳，则将被停止转发的物理接口的转发处理开启，或者将被控制了流量的物理接口流量复原；

上述步骤(2)中还包括：判断一个物理接口出现了ARP病毒的步骤如下：

(A1)在设备中建立一种包括设备的物理接口安全范围、MAC地址基于物理接口的安全定义、IP地址基于MAC地址的安全定义的安全机制；

(A2)设备在接收到ARP报文后，会自动将ARP报文中包括数据包的源IP地址、数据包的源MAC地址的安全定义模块提取出来；

(A3)根据接收到ARP报文的物理接口判断该物理接口是否属于安全范围，如果是的话，则进入下述第(A4)步；如果不是，则正常转发；

(A4)将安全定义模块中的源MAC地址进行安全级别定义，即源MAC地址是否被基于物理接口安全定义过：如果该MAC地址被安全定义过，即则进入下述第(A5)步；如果该MAC地址未被安全定义过，则将该ARP报文被判定为ARP病毒，并将数据包丢弃；

(A5)将安全定义模块中的源IP地址进行安全级别定义，即源IP地址是否被基于MAC地址安全定义过：如果该IP地址被安全定义过，则正常转发；如果该IP地址未被安全定义过，则将该ARP报文被判定为ARP病毒，并将数据包丢弃；

上述步骤(4)中物理接口的转发功能归还步骤如下：

(B1)当网络设备停止了物理接口的转发处理或者对物理接口进行了流量控制之后就开始进入安全待定状态；

(B2)判断是否存在被停止了转发处理的物理接口，如果有则进入下述第(B3)步；如果没有则进入下述第(B4)步；

(B3)判断被监听的物理接口是否仍然在接收ARP病毒报文，如果有则返回到(B1)步；如果没有则进入下述第(B4)步；

(B4)开始进行安全待定时间倒计时；

(B5)判断安全待定时间是否已经倒计时结束，如果是则将转发功能规划或者将流量复原；如果不是，则进入下述第(B6)步；

(B6)判断网络设备的系统负荷状态是否稳定，如果是则继续(B4)步；如果不是则重置安全待定时间，且继续(B4)步。

2.根据权利要求1所述的一种基于网络交换设备的有效防御洪水攻击的方法，其特征在于：所述步骤(1)中网络交换设备内置的信息收集程序运行在CPU或转发芯片中。

3.根据权利要求1所述的一种基于网络交换设备的有效防御洪水攻击的方法，其特征在于：所述步骤(3)中停止物理接口的转发处理的手段为强行将物理接口关闭或在不关闭物理接口的情况下禁止物理接口转发数据包。

4.根据权利要求1或3所述的一种基于网络交换设备的有效防御洪水攻击的方法，其特征在于：被停止转发处理的物理接口为直连终端机的接口或级联网络设备的物理接口。

5.根据权利要求1或3所述的一种基于网络交换设备的有效防御洪水攻击的方法，其特征在于：网络设备在停止了物理接口的转发处理之后，会继续监控物理接口接收的数据包情况，如果持续发现ARP病毒包，则网络设备始终处于安全待定状态，否则，开启安全待定时间倒计时。

6.根据权利要求4所述的一种基于网络交换设备的有效防御洪水攻击的方法，其特征在于：网络设备在停止了物理接口的转发处理之后，会继续监控物理接口接收的数据包情况，如果持续发现ARP病毒包，则网络设备始终处于安全待定状态，否则，开启安全待定时间倒计时。