家庭网关对大流量未知单播攻击的保护系统及其方法技术方案

本发明专利技术涉及一种家庭网对大流量未知单播攻击的保护系统及其方法，该保护方法通过对其接收到的报文进行转发前的判断来实现对未知单播攻击的保护，所述的保护系统包括依次连接的计算模块、判断模块和转发模块，所述的判断模块接收报文，所述的计算模块用以计算该保护系统中所有计算功能，所述的转发模块用以根据判断模块的判断转发报文，三者合作，在未知单播洪泛前加入对瞬间大量未知单播的判断处理来保护CPU不受冲击，同时保证其他业务正常使用。且本发明专利技术的系统消耗较小，不占用运算空间的同时能实现效果较好的未知单播攻击防御，具有较大的实际意义。

Home gateway protection system for large flow unknown unicast attack and method thereof

The invention relates to a protection system of the family network for large flow attack and unknown unicast method, the protection method based on the received message to achieve the protection of the unknown unicast attacks before forwarding the judgment, the protection system includes calculation module, connection judgment module and a transmitting module, receiving module judgment the message said, in order to calculate all the protection system with the function of calculation calculation module, the transmitting module according to the judgment of judging module forwarding the message, the three cooperation, join in judging and processing instant number of unknown unicast unknown unicast flooding before CPU to protect against impact and guarantee other normal business. Moreover, the system consumption of the invention is small, and when the computing space is not occupied, the defense of the unknown unicast attack with better effect can be realized, so the invention has great practical significance.

【技术实现步骤摘要】

本专利技术涉及家用路由器领域，尤其涉及家用路由器收到上层设备转发大流量未知单播报文时的一种保护机构，具体是指一种家庭网关对大流量未知单播攻击的保护系统及其方法。
技术介绍
现有的固网PON已经逐渐取代了上一代的DSL/LAN上行网络设备，随着PON设备的普及，带宽的增加，网络环境中大流量的报文变得不再可控。现有的家用路由器中，由于带宽的日渐提升，网络中不可预知的大流量未知单播报文对家用路由器的安全、稳定地使用带来了越来越大的影响。因为路由器芯片方案的处理能力有限，在大流量未知单播报文从上层设备转发给路由器时，路由器就在不停地学习这些未知单播，消耗了大部分的CPU资源，导致其他业务用户无法正常使用。在使用家用路由器时，经常出现WAN侧收到大流量的未知单播报文冲击路由器的CPU，在家用路由器判断出该报文无法根据DST(Destination)port(目的端口)去转发时，会将该报文直接转发给所有端口，导致上网、语音、IPTV业务无法正常使用。这种情况下，路由器需要一种保护机构来处理这些未知单播报文，同时又不影响正常的单播报文交互。
技术实现思路
为了克服上述现有技术中的问题，本专利技术提出了一种克服固网环境下的风险缺陷、提供对家庭路由器收到大流量未知单播报文的保护的家庭网关对大流量未知单播攻击的保护系统及其方法。本专利技术的家庭网关对大流量未知单播攻击的保护系统及其方法具体如下：该家庭网关对大流量未知单播攻击的保护系统，其主要特点是，所述的保护系统包括安装于该家庭网关中的一内置处理机构，该处理机构包括依次连接的计算模块、判断模块和转发模块，所述的内置处理机构还设置有一收包所需时间和一速率限制值，所述的计算模块用以获取当前报文与该保护系统接收的上一报文之间的收包时间间隔和当前报文的处理依据，并将所述的收包时间间隔和当前报文的处理依据发送给所述的判断模块，所述的判断模块用以收取报文并根据当前报文的处理依据、速率限制值、收包时间间隔以及该报文的实际情况对报文转发情况进行判断并做相应处理，所述的转发模块用于进行报文到端口的转发。较佳地，所述的当前报文的处理依据包括一由所述的收包所需时间、速率限制值和收包时间间隔所决定的unknow_rate_bucket值，且该unknow_rate_bucket值用以获取所述的收包所需时间和收包时间间隔的比较关系，所述的报文的实际情况包括该报文中是否包含可获取的目的端口DST_port。较佳地，所述的速率限制值为1。基于以上所述的保护系统实现对大流量未知单播攻击的保护的方法，其主要特点是，该方法为：所述的保护系统通过计算模块获取该报文的收包时间间隔以及当前报文的处理依据，并将该收包时间间隔与当前报文的处理依据发送给所述的判断模块，且所述的判断模块根据其接收到的收包时间间隔与当前报文的处理依据、速率限制值、收包时间间隔以及该报文的实际情况对该报文转发情况进行判断并做相应处理，将报文丢弃或交由所述的转发模块进行转发。较佳地，所述的当前报文的处理依据包括一由所述的收包所需时间、速率限制值和收包时间间隔所决定的unknow_rate_bucket值，所述的保护系统通过计算模块获取该报文的收包时间间隔以及当前报文的处理依据具体为：所述的计算模块根据所述的收包时间间隔、速率限制值与收包所需时间获取一unknow_rate_bucket值，用以获取所述的收包所需时间和收包时间间隔的比较关系，并通过该保护系统获取其接收到当前的报文的时间和其接收到上一报文的时间之间的差值t获取所述的收包时间间隔。更佳地，所述的报文的实际情况包括报文中是否包含可获取的目的端口DST_port，且所述的判断模块根据其接收到的收包时间间隔与当前报文的处理依据、速率限制值、收包时间间隔以及该报文的实际情况对该报文进行相应处理具体包括以下步骤：(1)所述的判断模块判断接收到的报文是否包括可获取的目的端口DST_port，如果有，则所述的保护系统获取该目的端口DST_port并将该报文通过转发模块发送到目的端口DST_port指向的端口进行转发；否则继续步骤(2)；(2)所述的判断模块判定所述的内置处理机构中是否设置有所述的速率限制值，如果有，则继续步骤(3)；否则所述的保护系统通过转发模块将该报文转发到所有端口；(3)所述的判断模块判定所述的收包时间间隔与所述的速率限制值的大小关系，如果所述的收包时间间隔大于所述的速率限制值，则所述的内置处理机构将该接收到的报文转发到所有端口；否则继续步骤(4)；(4)所述的判断模块判断该unknow_rate_bucket值与0的大小关系，如果大于0，则所述的内置处理机构将该接收到的报文转发到所有端口并将该unknow_rate_bucket值减1；否则丢弃该报文，并清除该unknow_rate_bucket值。尤佳地，所述的步骤(3)后还有一步骤：(4.0)所述的判断模块判断该保护系统内是否有所述的unknow_rate_bucket值，如果有，则继续所述的步骤(4)；否则所述的计算模块根据所述的收包时间间隔、速率限制值与收包所需时间获取一unknow_rate_bucket值，并继续所述步骤(4)。采用该种家庭网关对大流量未知单播攻击的保护系统及其方法，由于其通过判断机制、计算机制对接收到的单播报文进行判断，简易判断其是否为单播洪泛攻击，从而在较低的运算代价的基础上实现较好的单播攻击防御，并保护CPU不受冲击的同时，其他业务能够正常使用。附图说明图1为现有技术中的家庭网关转发未知单播报文的机制示意图。图2为本专利技术的家庭网关对大流量未知单播攻击保护系统的保护方法的一种具体实施例中的机制示意图。具体实施方式为了更好的说明对本专利技术进行说明，下面举出一些实施例来对本专利技术进行进一步的说明。该家庭网关对大流量未知单播攻击的保护系统，其主要特点是，所述的保护系统包括安装于该家庭网关中的一内置处理机构，该处理机构包括依次连接的计算模块、判断模块和转发模块，所述的内置处理机构还设置有一收包所需时间和一速率限制值，所述的计算模块用以获取当前报文与该保护系统接收的上一报文之间的收包时间间隔和当前报文的处理依据，并将所述的收包时间间隔和当前报文的处理依据发送给所述的判断模块，所述的判断模块用以收取报文并根据当前报文的处理依据、速率限制值、收包时间间隔以及该报文的实际情况对报文转发情况进行判断并做相应处理，所述的转发模块用于进行报文到端口的转发。所述的当前报文的处理依据包括一由所述的收包所需时间、速率限制值和收包时间间隔所决定的unknow_rate_bucket值，且该unknow_rate_bucket值用以获取所述的收包所需时间和收包时间间隔的比较关系，所述的报文的实际情况包括该报文中是否包含可获取的目的端口DST_port。所述的速率限制值为1。基于以上所述的保护系统实现对大流量未知单播攻击的保护的方法，其主要特点是，该方法为：所述的保护系统通过计算模块获取该报文的收包时间间隔以及当前报文的处理依据，并将该收包时间间隔与当前报文的处理依据发送给所述的判断模块，且所述的判断模块根据其接收到的收包时间间隔与当前报文的处理依据、速率限制值、收包时间间隔以及该报文的实际情况对该报文转发情况进行判断并做相应本文档来自技高网...

【技术保护点】
一种家庭网关对大流量未知单播攻击的保护系统，其特征在于，所述的保护系统包括安装于该家庭网关中的一内置处理机构，该处理机构包括依次连接的计算模块、判断模块和转发模块，所述的内置处理机构还设置有一收包所需时间和一速率限制值，所述的计算模块用以获取当前报文与该保护系统接收的上一报文之间的收包时间间隔和当前报文的处理依据，并将所述的收包时间间隔和当前报文的处理依据发送给所述的判断模块，所述的判断模块用以收取报文并根据当前报文的处理依据、速率限制值、收包时间间隔以及该报文的实际情况对报文转发情况进行判断并做相应处理，所述的转发模块用于进行报文到端口的转发。

【技术特征摘要】
1.一种家庭网关对大流量未知单播攻击的保护系统，其特征在于，所述的保护系统包括安装于该家庭网关中的一内置处理机构，该处理机构包括依次连接的计算模块、判断模块和转发模块，所述的内置处理机构还设置有一收包所需时间和一速率限制值，所述的计算模块用以获取当前报文与该保护系统接收的上一报文之间的收包时间间隔和当前报文的处理依据，并将所述的收包时间间隔和当前报文的处理依据发送给所述的判断模块，所述的判断模块用以收取报文并根据当前报文的处理依据、速率限制值、收包时间间隔以及该报文的实际情况对报文转发情况进行判断并做相应处理，所述的转发模块用于进行报文到端口的转发。2.根据权利要求1所述的家庭网关对大流量未知单播攻击的保护系统，其特征在于，所述的当前报文的处理依据包括一由所述的收包所需时间、速率限制值和收包时间间隔所决定的unknow_rate_bucket值，且该unknow_rate_bucket值用以获取所述的收包所需时间和收包时间间隔的比较关系，所述的报文的实际情况包括该报文中是否包含可获取的目的端口DST_port。3.根据权利要求1所述的家庭网关对大流量未知单播攻击的保护系统，其特征在于，所述的速率限制值为1。4.一种基于权利要求1至3中任一项所述的保护系统实现对大流量未知单播攻击的保护的方法，其特征在于，该方法为：所述的保护系统通过计算模块获取该报文的收包时间间隔以及当前报文的处理依据，并将该收包时间间隔与当前报文的处理依据发送给所述的判断模块，且所述的判断模块根据其接收到的收包时间间隔与当前报文的处理依据、速率限制值、收包时间间隔以及该报文的实际情况对该报文转发情况进行判断并做相应处理，将报文丢弃或交由所述的转发模块进行转发。5.根据权利要求4所述的实现对大流量未知单播攻击的保护的方法，其特征在于，所述的当前报文的处理依据包括一由所述的收包所需时间、速率限制值和收包时间间隔所决定的unknow_rate_bucket值，所述的保护系统通过计算模块获取该报文的收包时间间隔以及当前报文的处理依据具体为：所述...

【专利技术属性】
技术研发人员：黄海进，
申请(专利权)人：上海市共进通信技术有限公司，
类型：发明
国别省市：上海;31