[发明专利]一种基于网络交换设备的有效防御洪水攻击的方法

摘要

本发明涉及一种基于网络交换设备的有效防御洪水攻击的方法，用于通过网络设备对物理接口的控制抵御网络中的洪水攻击。所述方法步骤为：(1)网络交换设备收集设备的系统负荷状态、各个物理接口的数据流量突发状态以及各个物理接口的ARP安全状态；(2)当监测到一个物理接口出现了ARP病毒，则将该物理接口标记为危险；(3)当监测到系统负荷状态超过了安全上限，停止该物理接口的转发处理或将数据流量突发状态最大的物理接口进行流量控制；(4)在安全待定时间内，如果设备的系统负荷状态始终保持平稳，则将被停止转发的物理接口的转发处理开启。本发明一种基于网络交换设备的有效防御洪水攻击的方法，能够有效防御洪水攻击。

主权项

一种基于网络交换设备的有效防御洪水攻击的方法，其特征在于：所述方法步骤为：(1)网络交换设备通过内置的信息收集程序收集设备的系统负荷状态、各个物理接口的数据流量突发状态以及各个物理接口的ARP安全状态；(2)当监测到一个物理接口出现了ARP病毒，并且突发频率超过了危险界限，则将该物理接口标记为危险；(3)当监测到系统负荷状态超过了安全上限，如果有物理接口被标记为危险，则停止该物理接口的转发处理，否则，将数据流量突发状态最大的物理接口进行流量控制；(4)在安全待定时间内，如果设备的系统负荷状态始终保持平稳，则将被停止转发的物理接口的转发处理开启，或者将被控制了流量的物理接口流量复原；上述步骤(2)中还包括：判断一个物理接口出现了ARP病毒的步骤如下：(A1)在设备中建立一种包括设备的物理接口安全范围、MAC地址基于物理接口的安全定义、IP地址基于MAC地址的安全定义的安全机制；(A2)设备在接收到ARP报文后，会自动将ARP报文中包括数据包的源IP地址、数据包的源MAC地址的安全定义模块提取出来；(A3)根据接收到ARP报文的物理接口判断该物理接口是否属于安全范围，如果是的话，则进入下述第(A4)步；如果不是，则正常转发；(A4)将安全定义模块中的源MAC地址进行安全级别定义，即源MAC地址是否被基于物理接口安全定义过：如果该MAC地址被安全定义过，即则进入下述第(A5)步；如果该MAC地址未被安全定义过，则将该ARP报文被判定为ARP病毒，并将数据包丢弃；(A5)将安全定义模块中的源IP地址进行安全级别定义，即源IP地址是否被基于MAC地址安全定义过：如果该IP地址被安全定义过，则正常转发；如果该IP地址未被安全定义过，则将该ARP报文被判定为ARP病毒，并将数据包丢弃；上述步骤(4)中物理接口的转发功能归还步骤如下：(B1)当网络设备停止了物理接口的转发处理或者对物理接口进行了流量控制之后就开始进入安全待定状态；(B2)判断是否存在被停止了转发处理的物理接口，如果有则进入下述第(B3)步；如果没有则进入下述第(B4)步；(B3)判断被监听的物理接口是否仍然在接收ARP病毒报文，如果有则返回到(B1)步；如果没有则进入下述第(B4)步；(B4)开始进行安全待定时间倒计时；(B5)判断安全待定时间是否已经倒计时结束，如果是则将转发功能规划或者将流量复原；如果不是，则进入下述第(B6)步；(B6)判断网络设备的系统负荷状态是否稳定，如果是则继续(B4)步；如果不是则重置安全待定时间，且继续(B4)步。