攻击防御方法及装置.pdf

《攻击防御方法及装置.pdf》由会员分享，可在线阅读，更多相关《攻击防御方法及装置.pdf（13页完成版）》请在专利查询网上搜索。

1、(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 201910947231.6 (22)申请日 2019.09.29 (71)申请人 新华三信息安全技术有限公司 地址 230001 安徽省合肥市高新区创新大 道2800号创新产业园二期H2栋541室 (72)发明人 徐燕成 (74)专利代理机构 北京柏杉松知识产权代理事 务所(普通合伙) 11413 代理人 孟维娜高莺然 (51)Int.Cl. H04L 29/06(2006.01) (54)发明名称 一种攻击防御方法及装置 (57)摘要 本公开实施例提供了一种攻击防御方法及 装。

2、置， 应用于服务器的BMC， 涉及网络安全技术领 域。 方法包括： 若BMC受到攻击， 则分别统计第一 预设时长内接收的每种特征信息的报文的数量； 获取所统计的数量大于第一预设数量的至少一 种报文的特征信息； 从获取的至少一种特征信息 中选择目标特征信息； 将所选择的目标特征信息 下发给服务器的网卡， 以使网卡丢弃与所选择的 目标特征信息匹配的报文。 应用本公开实施例提 供的技术方案， 在实现攻击防御的情况下， 降低 了对BMC的冲击， 减少了丢失的数据信息。 权利要求书2页 说明书7页 附图3页 CN 110661809 A 2020.01.07 CN 110661809 A 1.一种攻击防。

3、御方法， 其特征在于， 应用于服务器的基板控制器BMC， 所述方法包括： 若所述BMC受到攻击， 则分别统计第一预设时长内接收的每种特征信息的报文的数量； 获取所统计的数量大于第一预设数量的至少一种报文的特征信息； 从获取的至少一种特征信息中选择目标特征信息； 将所选择的目标特征信息下发给所述服务器的网卡， 以使所述网卡丢弃与所选择的目 标特征信息匹配的报文。 2.根据权利要求1所述的方法， 其特征在于， 所述从获取的至少一种特征信息中选择目 标特征信息， 包括： 从所获取的至少一种特征信息中， 选择所统计的数量最大的第二预设数量的报文的特 征信息， 作为目标特征信息。 3.根据权利要求1所述。

4、的方法， 其特征在于， 所述将所选择的目标特征信息下发给所述 服务器的网卡， 包括： 分别生成包括所选择的每种目标特征信息的拒绝规则； 将生成的拒绝规则分别下发给所述服务器的网卡， 以使所述网卡丢弃与拒绝规则包括 的目标特征信息匹配的报文。 4.根据权利要求3所述的方法， 其特征在于， 所述拒绝规则的老化时长为第二预设时 长， 以使所述网卡在获取到所述拒绝规则的第二预设时长后， 删除所述拒绝规则。 5.根据权利要求1-4任一项所述的方法， 其特征在于， 所述特征信息包括源网络协议IP 地址和目的IP地址； 或 所述特征信息包括源IP地址、 目的IP地址、 源媒体访问控制MAC地址和目的MAC地。

5、址； 或 所述特征信息包括源IP地址、 目的IP地址、 源MAC地址、 目的MAC地址和目的端口号。 6.一种攻击防御装置， 其特征在于， 应用于服务器的基板控制器BMC， 所述装置包括： 统计单元， 用于若所述BMC受到攻击， 则分别统计第一预设时长内接收的每种特征信息 的报文的数量； 获取单元， 用于获取所统计的数量大于第一预设数量的至少一种报文的特征信息； 选择单元， 用于从获取的至少一种特征信息中选择目标特征信息； 下发单元， 用于将所选择的目标特征信息下发给所述服务器的网卡， 以使所述网卡丢 弃与所选择的目标特征信息匹配的报文。 7.根据权利要求6所述的装置， 其特征在于， 所述选择。

6、单元， 具体用于： 从所获取的至少一种特征信息中， 选择所统计的数量最大的第二预设数量的报文的特 征信息， 作为目标特征信息。 8.根据权利要求6所述的装置， 其特征在于， 所述下发单元， 具体用于： 分别生成包括所选择的每种目标特征信息的拒绝规则； 将生成的拒绝规则分别下发给所述服务器的网卡， 以使所述网卡丢弃与拒绝规则包括 的目标特征信息匹配的报文。 9.根据权利要求8所述的装置， 其特征在于， 所述拒绝规则的老化时长为第二预设时 长， 以使所述网卡在获取到所述拒绝规则的第二预设时长后， 删除所述拒绝规则。 10.根据权利要求6-9任一项所述的装置， 其特征在于， 所述特征信息包括源网络协。

7、议 IP地址和目的IP地址； 或 权利要求书 1/2 页 2 CN 110661809 A 2 所述特征信息包括源IP地址、 目的IP地址、 源媒体访问控制MAC地址和目的MAC地址； 或 所述特征信息包括源IP地址、 目的IP地址、 源MAC地址、 目的MAC地址和目的端口号。 11.一种基板控制器BMC， 其特征在于， 包括处理器和机器可读存储介质， 所述机器可读 存储介质存储有能够被所述处理器执行的机器可执行指令， 所述处理器被所述机器可执行 指令促使： 实现权利要求1-5任一所述的方法步骤。 12.一种机器可读存储介质， 其特征在于， 所述机器可读存储介质存储有能够被所述处 理器执行的。

8、机器可执行指令， 所述处理器被所述机器可执行指令促使： 实现权利要求1-5任 一所述的方法步骤。 权利要求书 2/2 页 3 CN 110661809 A 3 一种攻击防御方法及装置 技术领域 0001 本公开涉及网络安全技术领域， 特别是涉及一种攻击防御方法及装置。 背景技术 0002 目前， 网络中存在大量的攻击， 例如针对服务器的攻击等。 BMC(Baseboard Management Controller， 基板控制器)作为服务器上带外管理的硬件， 也会受到攻击， 且由 于BMC的报文处理能力不足， 在受到攻击时BMC很容易挂死， 导致失去对服务器健康状态的 监控， 不能及时向网络管。

9、理员反馈服务器状态。 发明内容 0003 本公开实施例的目的在于提供一种攻击防御方法及装置， 以在实现攻击防御的情 况下， 降低对BMC的冲击， 减少丢失的数据信息。 具体技术方案如下： 0004 第一方面， 本公开实施例提供了一种攻击防御方法， 应用于服务器的BMC， 所述方 法包括： 0005 若是所述BMC受到攻击， 则分别统计第一预设时长内接收的每种特征信息的报文 的数量； 0006 获取所统计的数量大于第一预设数量的至少一种报文的特征信息； 0007 从获取的至少一种特征信息中选择目标特征信息； 0008 将所选择的目标特征信息下发给所述服务器的网卡， 以使所述网卡丢弃与所选择 的目。

10、标特征信息匹配的报文。 0009 第二方面， 本公开实施例提供了一种攻击防御装置， 应用于服务器的BMC， 所述装 置包括： 0010 统计单元， 用于若所述BMC受到攻击， 则分别统计第一预设时长内接收的每种特征 信息的报文的数量； 0011 获取单元， 用于获取所统计的数量大于第一预设数量的至少一种报文的特征信 息； 0012 选择单元， 用于从获取的至少一种特征信息中选择目标特征信息； 0013 下发单元， 用于将所选择的目标特征信息下发给所述服务器的网卡， 以使所述网 卡丢弃与所选择的目标特征信息匹配的报文。 0014 第三方面， 本公开实施例提供了一种BMC， 包括处理器和机器可读存。

11、储介质， 所述 机器可读存储介质存储有能够被所述处理器执行的机器可执行指令， 所述处理器被所述机 器可执行指令促使： 实现上述任一攻击防御方法步骤。 0015 第四方面， 本公开实施例提供了一种机器可读存储介质， 所述机器可读存储介质 存储有能够被所述处理器执行的机器可执行指令， 所述处理器被所述机器可执行指令促 使： 实现上述任一攻击防御方法步骤。 0016 本公开实施例提供的一种攻击防御方法及装置， 服务器包括网卡和BMC。 在检测到 说明书 1/7 页 4 CN 110661809 A 4 受到攻击后， BMC获取目标特征信息， 并将目标特征信息下发给服务器的网卡。 网卡丢弃与 目标特征。

12、信息匹配的报文， 实现攻击防御。 本公开实施例中， 由网卡负责报文的丢弃， 而不 将报文上送至BMC， 降低了对BMC的冲击。 另外， 目标特征信息为大于第一预设数量的报文的 特征信息， 也就是目标特征信息最可能是攻击报文的特征信息， 网卡丢弃与目标特征信息 匹配的报文， 转发与目标特征信息不匹配的报文， 减少了丢失的数据信息。 0017 当然， 实施本公开的任一产品或方法必不一定需要同时达到以上所述的所有优 点。 附图说明 0018 为了更清楚地说明本公开实施例或现有技术中的技术方案， 下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍， 显而易见地， 下面描述中的附图仅仅是本 公。

13、开的一些实施例， 对于本领域普通技术人员来讲， 在不付出创造性劳动的前提下， 还可以 根据这些附图获得其他的附图。 0019 图1为本公开实施例提供的攻击防御方法的一种流程示意图； 0020 图2为本公开实施例提供的攻击防御方法的一种信令示意图； 0021 图3为本公开实施例提供的攻击防御装置的一种结构示意图； 0022 图4为本公开实施例提供的BMC的一种结构示意图。 具体实施方式 0023 下面将结合本公开实施例中的附图， 对本公开实施例中的技术方案进行清楚、 完 整地描述， 显然， 所描述的实施例仅仅是本公开一部分实施例， 而不是全部的实施例。 基于 本公开中的实施例， 本领域普通技术人。

14、员在没有做出创造性劳动前提下所获得的所有其他 实施例， 都属于本公开保护的范围。 0024 为保证对服务器健康状态的监控， BMC上开启攻击防御。 0025 目前， BMC的攻击防御方式为： 在检测到受到攻击时， 丢弃后续接收的报文， 不再处 理后续的报文。 这种攻击防御方式， 能够避免BMC因受到攻击而挂死。 但， 在检测到受到攻击 时， BMC仍然会处理后续接收的报文， 即丢弃后续接收的所有报文， 这仍然会对BMC产生一定 的冲击。 另外， 后续接收的报文中可能存在重要报文， 这将导致重要报文被丢弃， 进而导致 数据信息的丢失。 0026 为解决上述问题， 本公开实施例提供了一种攻击防御方。

15、法。 该攻击防御方法可以 是针对广播报文的攻击防御方法， 也可以是针对组播报文的攻击防御方法， 还可以是针对 广播报文和组播报文的攻击防御方法。 0027 该攻击防御方法中， 服务器包括网卡和BMC。 在检测到受到攻击后， BMC获取目标特 征信息， 并将目标特征信息下发给服务器的网卡。 网卡丢弃与目标特征信息匹配的报文， 实 现攻击防御。 本公开实施例中， 由网卡负责报文的丢弃， 而不将报文上送至BMC， 降低了对 BMC的冲击。 另外， 目标特征信息为大于第一预设数量的报文的特征信息， 也就是目标特征 信息最可能是攻击报文的特征信息， 网卡丢弃与目标特征信息匹配的报文， 转发与目标特 征信。

16、息不匹配的报文， 减少了丢失的数据信息。 0028 下面通过具体实施例， 对本公开实施例提供的攻击防御方法进行详细说明。 说明书 2/7 页 5 CN 110661809 A 5 0029 参考图1， 图1为本公开实施例提供的攻击防御方法的一种流程示意图， 该方法应 用于服务器的BMC。 服务器可以包括BMC和网卡。 该方法包括如下步骤。 0030 步骤101， 检测BMC是否受到攻击。 若是， 则执行步骤102。 若否， 则重新执行步骤 101。 0031 一个实施例中， BMC统计第一预设时长内接收的报文的总数量， 检测统计的总数量 是否大于预设数量阈值。 若是， 则确定BMC受到攻击， 。

17、执行步骤102。 若否， 则确定BMC未受到 攻击， 重新执行步骤101。 其中， 第一预设时长和预设数量阈值可以根据实际需求进行设定。 0032 例如， 第一预设时长为2秒。 预设数量阈值为2000。 若BMC检测到2秒收的报文的总 数量大于2000， 则确定BMC受到攻击， 执行步骤102。 若BMC检测到2秒收的报文的总数量小于 等于2000， 则确定BMC未受到攻击， 执行步骤101。 0033 本公开实施例提供的攻击防御方法可以是针对广播报文的攻击防御方法， 也可以 是针对组播报文的攻击防御方法， 还可以是针对广播报文和组播报文的攻击防御方法。 0034 若本公开实施例提供的攻击防御。

18、方法可以是针对广播报文的攻击防御方法， 则在 检测BMC是否受到攻击时， BMC统计第一预设时长内接收的广播报文的总数量。 0035 若本公开实施例提供的攻击防御方法可以是针对组播报文的攻击防御方法， 则在 检测BMC是否受到攻击时， BMC统计第一预设时长内接收的组播报文的总数量。 0036 若本公开实施例提供的攻击防御方法可以是针对广播报文和组播报文的攻击防 御方法， 则在检测BMC是否受到攻击时， BMC统计第一预设时长内接收的广播报文和组播报 文的总数量。 0037 步骤102， 分别统计第一预设时长内接收的每种特征信息的报文的数量。 0038 例如， BMC在第一预设时长内接收到25。

19、00个报文。 BMC统计这2500个报文中， 具有特 征信息1的报文1000个， 具有特征信息2的报文800个， 具有特征信息3的报文200个， 具有特 征信息4的报文500个。 0039 本公开实施例中， 特征信息可以包括源IP(Internet Protocol， 网络协议)地址和 目的IP地址。 特征信息也可以包括源IP地址、 目的IP地址、 源MAC(Media Access Control， 媒体访问控制)地址和目的MAC地址。 特征信息还可以包括源IP地址、 目的IP地址、 源MAC地 址、 目的MAC地址和目的端口号。 具体的特征信息包括的内容可以根据实际需求进行设定。 0040。

20、 以特征信息包括源IP地址、 目的IP地址、 源MAC地址、 目的MAC地址和目的端口号为 例。 特征信息1为源IP地址为1.1.1.1、 目的IP地址为255.255.255.255、 源MAC地址为1-1-1、 目的MAC地址FFFF-FFFF-FFFF-FFFF、 目的端口号为8080； 特征信息2为源IP地址为1.1.1.2、 目的IP地址为224.0.0.1、 源MAC地址为1-1-2、 目的MAC地址0100-005e-0001、 目的端口号为 8080； 特征信息3为源IP地址为1.1.1.3、 目的IP地址为255.255.255.255、 源MAC地址为1-1- 3、 目的M。

21、AC地址FFFF-FFFF-FFFF-FFFF、 目的端口号为8080； 特征信息4为源IP地址为 1.1.1.4、 目的IP地址为224.0.0.1、 源MAC地址为1-1-4、 目的MAC地址0100-005e-0001、 目的 端口号为8080。 此时， 统计的预设时长内接收的每种特征信息的报文的数量如表1所示。 0041 表1 0042 源IP目的IP端口号源MAC目的MAC报文个数 特征信息11.1.1.1.255.255.255.25580801-1-1FFFF-FFFF-FFFF1000 特征信息21.1.1.2224.0.0.180801-1-20100-005e-000180。

22、0 说明书 3/7 页 6 CN 110661809 A 6 特征信息31.1.1.3255.255.255.25580801-1-3FFFF-FFFF-FFFF200 特征信息41.1.1.4224.0.0.180801-1-40100-005e-0001500 0043 步骤103， 获取所统计的数量大于第一预设数量的至少一种报文的特征信息。 0044 对于每种特征信息的报文， BMC均统计得到了该种特征信息的报文在第一预设时 长内所接收到的数量。 BMC从多种特征信息的报文中获取所统计的数量大于第一预设数量 的至少一种报文， 进而从获取的报文中获取到至少一种特征信息。 0045 本公开实。

23、施例中， 第一预设数量可以根据实际需求进行设定。 一个示例中， 第一预 设数量可以为固定数值， 如500、 600等。 另一个示例中， 第一预设数量可以基于预设比值和 第一预设时长内接收的报文的总数量确定。 例如预设比值为10， 若第一预设时长内接收 的报文的总数量为2000， 则第一预设数量为2000*10200。 预设比值还可以为其他值， 如 20、 40等， 本公开实施例对此不进行设定。 0046 仍以表1为例进行说明。 若第一预设数量为400。 基于表1可确定： 特征信息1的报文 的数量1000400， 特征信息2的报文的数量800400， 基于特征信息4的报文的数量500400。 因。

24、此， BMC获取特征信息1、 特征信息2和特征信息4。 0047 步骤104， 从获取的至少一种特征信息中选择目标特征信息。 0048 其中， 目标特征信息可以为一个或多个。 BMC可将获取的至少一种特征信息均作为 目标特征信息， 也可以将从获取的至少一种特征信息中选择部分特征信息作为目标特征信 息。 0049 步骤105， 将所选择的目标特征信息下发给服务器的网卡。 网卡丢弃与所选择的目 标特征信息匹配的报文。 0050 BMC在确定目标特征信息后， 可通过NCSI(Network Controller Sideband Interface， 网卡芯片边带接口)通道， 将目标特征信息下发给服。

25、务器的网卡。 网卡将目标特 征信息记录在网卡MAC层。 之后， 当接收到报文后， 若报文与网卡MAC层记录的目标特征信息 匹配， 即报文与目标特征信息相同， 则网卡丢弃该报文。 0051 例如， BMC确定的目标特征信息有特征信息1、 特征信息2。 BMC特征信息1、 特征信息 2下发给服务器的网卡。 网卡接收到报文的特征信息为特征信息1的报文， 或接收到报文的 特征信息为特征信息2的报文， 则丢弃该报文。 0052 本公开实施例中， 在BMC受到攻击时， 由网卡负责报文的丢弃， 这在硬件层面丢弃 报文， 实现了软件主动防御。 另外， 在实现攻击防御时报文并未上送至BMC， 降低了对BMC的 。

26、冲击。 另外， 目标特征信息为大于第一预设数量的报文的特征信息， 也就是目标特征信息最 可能是攻击报文的特征信息， 网卡丢弃与目标特征信息匹配的报文， 转发与目标特征信息 不匹配的报文， 减少了丢失的数据信息。 0053 在本公开的一个实施例中， 上述步骤104可以为： BMC将所获取的至少一个特征信 息均确定为目标特征信息。 0054 仍以步骤103中的例子为例进行说明。 BMC获取到特征信息1、 特征信息2和特征信 息4， 则将特征信息1、 特征信息2和特征信息4均确定为目标特征信息。 0055 在本公开的另一个实施例中， 上述步骤104可以为： BMC从所获取的至少一种特征 信息中， 选。

27、择所统计的数量最大的第二预设数量的报文的特征信息， 作为目标特征信息。 0056 其中， 第二预设数量可以根据实际需求进行设定， 如第二预设数量为1、 2等。 说明书 4/7 页 7 CN 110661809 A 7 0057 仍以步骤103中的例子为例进行说明。 假设第二预设数量为2。 BMC获取到特征信息 1、 特征信息2和特征信息4。 其中， 特征信息1的报文的数量1000， 特征信息2的报文的数量 800， 基于特征信息4的报文的数量500， 1000800500， 即特征信息1、 特征信息2和特征信息 4中， 数量最大的2种特征信息为特征信息1和特征信息2。 BMC选择特征信息1和特。

28、征信息2作 为目标特征信息。 0058 本公开实施例中， 若所获取的至少一种特征信息的数量大于第二预设数量， 则BMC 可从大于第一预设数量的报文的特征信息中， 选择最大的第二预设数量的报文的特征信 息， 作为目标特征信息。 若所获取的至少一种特征信息的数量小于等于第二预设数量， 则 BMC将大于第一预设数量的报文的特征信息均作为目标特征信息。 0059 本公开实施例中， 大于第一预设数量的报文的特征信息为最可能是攻击报文的特 征信息， BMC从大于第一预设数量的报文的特征信息中， 选择最大的第二预设数量的报文的 特征信息， 作为目标特征信息。 进而网卡丢弃与目标特征信息匹配的报文。 这在实现。

29、攻击防 御的情况下， 进一步减少了丢失的数据信息。 0060 在本公开的一个实施例中， BMC在所选择的目标特征信息后， 对于所选择的每种目 标特征信息， 生成包括该目标特征信息的拒绝规则。 该拒绝规则的匹配项为该目标特征信 息， 该拒绝规则的动作项为报文丢弃。 BMC将生成的拒绝规则下发给服务器的网卡。 网卡将 生成的拒绝规则分别记录在网卡MAC层。 之后， 当接收到报文后， 若该报文与网卡MAC层记录 的一拒绝规则包括的目标特征信息匹配， 网卡基于该拒绝规则包括的动作项丢弃该报文。 0061 本公开实施例中， 为便于拒绝规则的生成和下发， BMC上可设置安全模块， BMC将目 标特征信息下。

30、发给安全模块。 安全模块通过高级ACL(AccessControl List， 访问控制列表) 方式， 生成包括目标特征信息的拒绝规则， 并通过NCSI通道， 将拒绝规则下发给网卡。 0062 在本公开的一个实施例中， 为拒绝规则配置老化时长为第二预设时长。 网卡在获 取到一拒绝规则的第二预设时长后， 删除该拒绝规则。 这样， 网卡又可以正常的将报文上送 至BMC， 保证报文的正常处理。 0063 其中， 第二预设时长可以根据实际需求进行设定。 例如， 第二预设时长为30分钟、 40分钟等。 0064 在本公开的一个实施例中， HDM(Hardware Device Management， 硬。

31、件设备管理)系 统页面可以增加防御使能页签。 当使能该防御使能页签时， 服务器执行步骤101-105， 进行 攻击防御。 若未使能该防御使能页签， 则不执行步骤101-105， 可以按照现有攻击防御方法 进行攻击防御， 如在检测到受到攻击时， 丢弃后续接收的报文。 通过这种方式， 提高了攻击 防御执行的灵活性。 0065 另外， 通过HDM系统页面还可以设置第一预设时长、 第二预设时长、 第一预设数量、 第二预设数量和预设比值等。 本公开实施例对此不进行设定。 0066 本公开实施例中， 通过HDM系统页面还可以设置一个或多个口生效。 例如， 通过HDM 系统页面设置网卡向BMC发送报文的接口。

32、生效， 这样， 当网卡接收到向BMC发送的报文时， 依 据步骤101-105进行攻击防御。 再例如， 通过HDM系统页面设置网卡向BMC和OS(Operating Systems， 操作系统)发送报文的接口生效， 这样， 当网卡接收到向BMC和OS发送的报文时， 依 据步骤101-105进行攻击防御。 此时， 可以协助BMC和OS进行攻击防御， 提高了服务器的安全 性。 说明书 5/7 页 8 CN 110661809 A 8 0067 下面结合图2所示的攻击防御的信令图， 对本公开实施例提供的攻击防御方法进 行说明。 0068 步骤201， BMC检测BMC是否受到攻击。 若是， 则执行步骤。

33、202。 若否， 则重新执行步骤 201。 0069 步骤202， BMC分别统计第一预设时长内接收的每种特征信息的报文的数量。 0070 步骤203， BMC获取所统计的数量大于第一预设数量的至少一种报文的特征信息。 0071 步骤204， BMC检测所获取的至少一种特征信息的数量是否大于第二预设数量。 若 是， 则执行步骤205。 若否， 则执行步骤206。 0072 步骤205， BMC从获取的至少一种特征信息中选择目标特征信息， 执行步骤207。 0073 步骤206， BMC将所获取的至少一种特征信息均作为目标特征信息， 执行步骤207。 0074 步骤207， BMC将所选择的目标。

34、特征信息下发给安全模块。 0075 步骤208， 安全模块通过高级ACL方式， 分别生成包括所选择的每种目标特征信息 的拒绝规则。 0076 步骤209， 安全模块通过NCSI通道， 将生成的拒绝规则分别下发给网卡。 0077 步骤210， 网卡丢弃与拒绝规则包括的目标特征信息匹配的报文。 0078 步骤211， 网卡在获取到拒绝规则的第二预设时长后， 删除拒绝规则。 0079 上述步骤201-211部分描述相对简单， 具体可参考图1实施例部分的相关描述。 0080 与上述攻击防御方法实施例对应， 本公开实施例还提供了一种攻击防御装置。 参 考图3， 图3为本公开实施例提供的攻击防御装置的一种。

35、结构示意图。 该装置应用于服务器 的BMC， 包括： 统计单元301、 获取单元302、 选择单元303和下发单元304。 0081 其中， 统计单元301， 用于若BMC受到攻击， 则分别统计第一预设时长内接收的每种 特征信息的报文的数量。 0082 获取单元302， 用于获取所统计的数量大于第一预设数量的至少一种报文的特征 信息。 0083 选择单元303， 用于从获取的至少一种特征信息中选择目标特征信息 0084 下发单元304， 用于将所选择的目标特征信息下发给服务器的网卡， 以使网卡丢弃 与所选择的目标特征信息匹配的报文。 0085 在本公开的一个实施例中， 选择单元303， 具体可。

36、以用于： 0086 从所获取的至少一种特征信息中， 选择所统计的数量最大的第二预设数量的报文 的特征信息， 作为目标特征信息。 0087 在本公开的一个实施例中， 下发单元304， 具体可以用于： 0088 分别生成包括所选择的每种目标特征信息的拒绝规则； 0089 将生成的拒绝规则分别下发给服务器的网卡， 以使网卡丢弃与拒绝规则包括的目 标特征信息匹配的报文。 0090 在本公开的一个实施例中， 拒绝规则的老化时长为第二预设时长， 以使网卡在获 取到拒绝规则的第二预设时长后， 删除拒绝规则。 0091 在本公开的一个实施例中， 特征信息可以包括源IP地址和目的IP地址； 或 0092 特征信。

37、息可以包括源IP地址、 目的IP地址、 源MAC地址和目的MAC地址； 或 0093 特征信息可以包括源IP地址、 目的IP地址、 源MAC地址、 目的MAC地址和目的端口 说明书 6/7 页 9 CN 110661809 A 9 号。 0094 本公开实施例提供的攻击防御装置中， 由网卡负责报文的丢弃， 而不将报文上送 至BMC， 降低了对BMC的冲击。 另外， 目标特征信息为大于第一预设数量的报文的特征信息， 也就是目标特征信息最可能是攻击报文的特征信息， 网卡丢弃与目标特征信息匹配的报 文， 转发与目标特征信息不匹配的报文， 减少了丢失的数据信息。 0095 基于相同的发明构思， 根据上。

38、述攻击防御方法， 本公开实施例还提供了一种BMC， 如图4所示， 包括处理器401和机器可读存储介质402， 机器可读存储介质402存储有能够被 处理器401执行的机器可执行指令。 处理器701被机器可执行指令促使实现上述攻击防御方 法的任一步骤。 0096 一个可选的实施例中， 如图4所示， BMC还可以包括： 通信接口403和通信总线404； 其中， 处理器401、 机器可读存储介质402、 通信接口403通过通信总线404完成相互间的通 信， 通信接口403用于上述BMC与其他设备或模块之间的通信。 0097 基于相同的发明构思， 根据上述攻击防御方法， 本公开实施例还提供了一种机器 可。

39、读存储介质， 机器可读存储介质存储有能够被处理器执行的机器可执行指令。 处理器被 机器可执行指令促使实现上述攻击防御方法的任一步骤。 0098 上述通信总线可以是PCI(Peripheral Component Interconnect， 外设部件互连 标准)总线或EISA(Extended Industry Standard Architecture， 扩展工业标准结构)总线 等。 该通信总线可以分为地址总线、 数据总线、 控制总线等。 0099 上述机器可读存储介质可以包括RAM(Random Access Memory， 随机存取存储器)， 也可以包括NVM(Non-Volatile M。

40、emory， 非易失性存储器)， 例如至少一个磁盘存储器。 另 外， 机器可读存储介质还可以是至少一个位于远离前述处理器的存储装置。 0100 上述处理器可以是通用处理器， 包括CPU(Central Processing Unit， 中央处理 器)、 NP(Network Processor， 网络处理器)等； 还可以是DSP(Digital Signal Processing， 数字信号处理器)、 ASIC(Application Specific Integrated Circuit， 专用集成电路)、 FPGA(Field-Programmable Gate Array， 现场可编程门。

41、阵列)或其他可编程逻辑器件、 分立 门或者晶体管逻辑器件、 分立硬件组件。 0101 需要说明的是， 在本文中， 诸如第一和第二等之类的关系术语仅仅用来将一个实 体或者操作与另一个实体或操作区分开来， 而不一定要求或者暗示这些实体或操作之间存 在任何这种实际的关系或者顺序。 而且， 术语 “包括” 、“包含” 或者其任何其他变体意在涵盖 非排他性的包含， 从而使得包括一系列要素的过程、 方法、 物品或者设备不仅包括那些要 素， 而且还包括没有明确列出的其他要素， 或者是还包括为这种过程、 方法、 物品或者设备 所固有的要素。 在没有更多限制的情况下， 由语句 “包括一个” 限定的要素， 并不排。

42、除在 包括所述要素的过程、 方法、 物品或者设备中还存在另外的相同要素。 0102 本说明书中的各个实施例均采用相关的方式描述， 各个实施例之间相同相似的部 分互相参见即可， 每个实施例重点说明的都是与其他实施例的不同之处。 尤其， 对于攻击防 御装置、 BMC、 机器可读存储介质实施例而言， 由于其基本相似于攻击防御方法实施例， 所以 描述的比较简单， 相关之处参见攻击防御方法实施例的部分说明即可。 0103 以上所述仅为本公开的较佳实施例而已， 并非用于限定本公开的保护范围。 凡在本 公开的精神和原则之内所作的任何修改、 等同替换、 改进等， 均包含在本公开的保护范围内。 说明书 7/7 页 10 CN 110661809 A 10 图1 说明书附图 1/3 页 11 CN 110661809 A 11 图2 图3 说明书附图 2/3 页 12 CN 110661809 A 12 图4 说明书附图 3/3 页 13 CN 110661809 A 13 。