The invention relates to a protection system of the family network for large flow attack and unknown unicast method, the protection method based on the received message to achieve the protection of the unknown unicast attacks before forwarding the judgment, the protection system includes calculation module, connection judgment module and a transmitting module, receiving module judgment the message said, in order to calculate all the protection system with the function of calculation calculation module, the transmitting module according to the judgment of judging module forwarding the message, the three cooperation, join in judging and processing instant number of unknown unicast unknown unicast flooding before CPU to protect against impact and guarantee other normal business. Moreover, the system consumption of the invention is small, and when the computing space is not occupied, the defense of the unknown unicast attack with better effect can be realized, so the invention has great practical significance.
【技术实现步骤摘要】
本专利技术涉及家用路由器领域,尤其涉及家用路由器收到上层设备转发大流量未知单播报文时的一种保护机构,具体是指一种家庭网关对大流量未知单播攻击的保护系统及其方法。
技术介绍
现有的固网PON已经逐渐取代了上一代的DSL/LAN上行网络设备,随着PON设备的普及,带宽的增加,网络环境中大流量的报文变得不再可控。现有的家用路由器中,由于带宽的日渐提升,网络中不可预知的大流量未知单播报文对家用路由器的安全、稳定地使用带来了越来越大的影响。因为路由器芯片方案的处理能力有限,在大流量未知单播报文从上层设备转发给路由器时,路由器就在不停地学习这些未知单播,消耗了大部分的CPU资源,导致其他业务用户无法正常使用。在使用家用路由器时,经常出现WAN侧收到大流量的未知单播报文冲击路由器的CPU,在家用路由器判断出该报文无法根据DST(Destination)port(目的端口)去转发时,会将该报文直接转发给所有端口,导致上网、语音、IPTV业务无法正常使用。这种情况下,路由器需要一种保护机构来处理这些未知单播报文,同时又不影响正常的单播报文交互。
技术实现思路
为了克服上述现有技术中的问题,本专利技术提出了一种克服固网环境下的风险缺陷、提供对家庭路由器收到大流量未知单播报文的保护的家庭网关对大流量未知单播攻击的保护系统及其方法。本专利技术的家庭网关对大流量未知单播攻击的保护系统及其方法具体如下:该家庭网关对大流量未知单播攻击的保护系统,其主要特点是,所述的保护系统包括安装于该家庭网关中的一内置处理机构,该处理机构包括依次连接的计算模块、判断模块和转发模块,所述的内置处理机构还设 ...
【技术保护点】
一种家庭网关对大流量未知单播攻击的保护系统,其特征在于,所述的保护系统包括安装于该家庭网关中的一内置处理机构,该处理机构包括依次连接的计算模块、判断模块和转发模块,所述的内置处理机构还设置有一收包所需时间和一速率限制值,所述的计算模块用以获取当前报文与该保护系统接收的上一报文之间的收包时间间隔和当前报文的处理依据,并将所述的收包时间间隔和当前报文的处理依据发送给所述的判断模块,所述的判断模块用以收取报文并根据当前报文的处理依据、速率限制值、收包时间间隔以及该报文的实际情况对报文转发情况进行判断并做相应处理,所述的转发模块用于进行报文到端口的转发。
【技术特征摘要】
1.一种家庭网关对大流量未知单播攻击的保护系统,其特征在于,所述的保护系统包括安装于该家庭网关中的一内置处理机构,该处理机构包括依次连接的计算模块、判断模块和转发模块,所述的内置处理机构还设置有一收包所需时间和一速率限制值,所述的计算模块用以获取当前报文与该保护系统接收的上一报文之间的收包时间间隔和当前报文的处理依据,并将所述的收包时间间隔和当前报文的处理依据发送给所述的判断模块,所述的判断模块用以收取报文并根据当前报文的处理依据、速率限制值、收包时间间隔以及该报文的实际情况对报文转发情况进行判断并做相应处理,所述的转发模块用于进行报文到端口的转发。2.根据权利要求1所述的家庭网关对大流量未知单播攻击的保护系统,其特征在于,所述的当前报文的处理依据包括一由所述的收包所需时间、速率限制值和收包时间间隔所决定的unknow_rate_bucket值,且该unknow_rate_bucket值用以获取所述的收包所需时间和收包时间间隔的比较关系,所述的报文的实际情况包括该报文中是否包含可获取的目的端口DST_port。3.根据权利要求1所述的家庭网关对大流量未知单播攻击的保护系统,其特征在于,所述的速率限制值为1。4.一种基于权利要求1至3中任一项所述的保护系统实现对大流量未知单播攻击的保护的方法,其特征在于,该方法为:所述的保护系统通过计算模块获取该报文的收包时间间隔以及当前报文的处理依据,并将该收包时间间隔与当前报文的处理依据发送给所述的判断模块,且所述的判断模块根据其接收到的收包时间间隔与当前报文的处理依据、速率限制值、收包时间间隔以及该报文的实际情况对该报文转发情况进行判断并做相应处理,将报文丢弃或交由所述的转发模块进行转发。5.根据权利要求4所述的实现对大流量未知单播攻击的保护的方法,其特征在于,所述的当前报文的处理依据包括一由所述的收包所需时间、速率限制值和收包时间间隔所决定的unknow_rate_bucket值,所述的保护系统通过计算模块获取该报文的收包时间间隔以及当前报文的处理依据具体为:所述...
【专利技术属性】
技术研发人员:黄海进,
申请(专利权)人:上海市共进通信技术有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。