專(zhuān)利名稱(chēng):防御攻擊的網(wǎng)絡(luò)連接系統(tǒng)及路由器的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種防御攻擊的網(wǎng)絡(luò)連接系統(tǒng)及路由器���。
背景技術(shù):
一般的網(wǎng)絡(luò)連接系統(tǒng)中的路由器在偵測(cè)到接收到攻擊封包之后�����,可不再接收該攻擊封包��,如此保護(hù)與該路由器相連的局域網(wǎng)絡(luò)中的用戶(hù)終端的安全�����,但不能將該攻擊封包阻隔在源頭���,從而不能使其他的網(wǎng)絡(luò)終端也免受該攻擊封包的攻擊。
發(fā)明內(nèi)容
有鑒于此�,故需要提供一種防御攻擊的網(wǎng)絡(luò)連接系統(tǒng)及路由器,可找到發(fā)出攻擊 的用戶(hù)終端�,并阻止其向外發(fā)出攻擊封包。該網(wǎng)絡(luò)連接系統(tǒng)包括一攻擊偵測(cè)端及至少一路由器����,該攻擊偵測(cè)端為偵測(cè)到攻擊封包的路由器,且該攻擊偵測(cè)端及至少一路由器均包括多個(gè)端口�����,該攻擊偵測(cè)端在偵測(cè)到與其連接的用戶(hù)終端受到攻擊后����,則攔截攻擊封包,并獲取攻擊訊息�,然后判斷接收攻擊封包的端口�����,并通過(guò)接收到攻擊封包的端口發(fā)送該攻擊信息��,該攻擊信息包括攻擊者的IP地址�,通訊端口及通訊協(xié)議�;該至少一路由器接收該攻擊訊息,并判斷該攻擊訊息中包括的攻擊者的IP地址是否是當(dāng)前路由器的IP地址���;若不是當(dāng)前路由器的IP地址�,則根據(jù)該IP地址確定下一個(gè)路由器���,并傳送該攻擊訊息至所確定的下一個(gè)路由器��;若是當(dāng)前路由器的IP地址���,則根據(jù)攻擊訊息中的通訊端口及通訊協(xié)議確定發(fā)出攻擊的用戶(hù)終端,并通過(guò)與該發(fā)出攻擊的用戶(hù)終端連接的路由器攔截發(fā)出攻擊用戶(hù)終端發(fā)出的封包�,并發(fā)送已攔截攻擊封包的回饋訊息至攻擊偵測(cè)端。該路由器包括多個(gè)端口��,在偵測(cè)到與該路由器連接的用戶(hù)終端受到攻擊后,攔截攻擊封包��,并獲取攻擊訊息��,然后判斷接收攻擊封包的端口��,并發(fā)送該攻擊訊息至接收攻擊封包的端口�,該攻擊信息包括攻擊者的IP地址���,通訊端口及通訊協(xié)議����;在接收到一攻擊訊息后��,判斷該攻擊訊息中包括的攻擊者的IP地址是否是當(dāng)前路由器的IP地址��;若不是當(dāng)前路由器的IP地址�����,則傳送該攻擊訊息至與該路由器連接的下一個(gè)路由器�����;若是當(dāng)前路由器的IP地址,則根據(jù)攻擊訊息中的通訊端口及通訊協(xié)議確定發(fā)出攻擊的用戶(hù)終端�,并通過(guò)與該發(fā)出攻擊的用戶(hù)終端連接的路由器攔截該IP地址的的用戶(hù)終端發(fā)出的封包,并發(fā)送已攔截攻擊封包的回饋訊息至偵測(cè)到攻擊封包的路由器�。相較于現(xiàn)有技術(shù),本發(fā)明在網(wǎng)絡(luò)系統(tǒng)中的一個(gè)路由器接收到攻擊封包之后���,從攻擊封包中獲取攻擊信息�,根據(jù)攻擊信息找到發(fā)出攻擊的用戶(hù)終端�,并阻止該用戶(hù)終端向外發(fā)出攻擊封包,如此�����,可使網(wǎng)絡(luò)系統(tǒng)中的其他用戶(hù)終端也免受該攻擊封包的攻擊����。
圖I為本發(fā)明第一種可防御攻擊的網(wǎng)絡(luò)連接系統(tǒng)的架構(gòu)圖。圖2為本發(fā)明第二種可防御攻擊的網(wǎng)絡(luò)連接系統(tǒng)的架構(gòu)圖�。
圖3為可防御攻擊的網(wǎng)絡(luò)連接系統(tǒng)防御攻擊的方法的流程圖。主要元件符號(hào)說(shuō)明
權(quán)利要求
1.一種防御攻擊的網(wǎng)絡(luò)連接系統(tǒng)���,該網(wǎng)絡(luò)連接系統(tǒng)包括一攻擊偵測(cè)端及至少一路由器���,該攻擊偵測(cè)端為偵測(cè)到攻擊封包的路由器,且該攻擊偵測(cè)端及至少一路由器均包括多個(gè)端口,其特征在于�����, 該攻擊偵測(cè)端在偵測(cè)到與其連接的用戶(hù)終端受到攻擊后��,則攔截攻擊封包��,并獲取攻擊訊息���,然后判斷接收攻擊封包的端口,并通過(guò)接收到攻擊封包的端口發(fā)送該攻擊信息��,該攻擊信息包括攻擊者的IP地址�����,通訊端口及通訊協(xié)議�; 該至少一路由器接收該攻擊訊息,并判斷該攻擊訊息中包括的攻擊者的IP地址是否是當(dāng)前路由器的IP地址�; 若不是當(dāng)前路由器的IP地址,則根據(jù)該IP地址確定下一個(gè)路由器�,并傳送該攻擊訊息至所確定的下一個(gè)路由器; 若是當(dāng)前路由器的IP地址�����,則根據(jù)攻擊訊息中的通訊端口及通訊協(xié)議確定發(fā)出攻擊的用戶(hù)終端,并通過(guò)與該發(fā)出攻擊的用戶(hù)終端連接的路由器攔截發(fā)出攻擊用戶(hù)終端發(fā)出的封包����,并發(fā)送已攔截攻擊封包的回饋訊息至攻擊偵測(cè)端。
2.如權(quán)利要求I所述的防御攻擊的網(wǎng)絡(luò)連接系統(tǒng)����,其特征在于,在該路由器確定發(fā)出攻擊的用戶(hù)終端后����,可進(jìn)一步驗(yàn)證該用戶(hù)終端是否發(fā)出攻擊;若確認(rèn)該用戶(hù)終端發(fā)出攻擊后���,再通過(guò)與該發(fā)出攻擊的用戶(hù)終端連接的路由器攔截該IP地址的的用戶(hù)終端發(fā)出的封包�,并發(fā)送已攔截攻擊封包的回饋訊息至攻擊偵測(cè)端�����;若驗(yàn)證該用戶(hù)終端未發(fā)出該攻擊���,則發(fā)送一回饋信息至該攻擊偵測(cè)端���。
3.如權(quán)利要求I所述的防御攻擊的網(wǎng)絡(luò)連接系統(tǒng)��,其特征在于����,該路由器驗(yàn)證該用戶(hù)終端是否發(fā)出攻擊的方式為��,偵測(cè)該用戶(hù)在一預(yù)設(shè)時(shí)間內(nèi)是否發(fā)出該攻擊封包��。
4.如權(quán)利要求I所述的防御攻擊的網(wǎng)絡(luò)連接系統(tǒng)��,其特征在于��,該攻擊訊息中還包括一攻擊封包的攻擊類(lèi)型信息����,在當(dāng)前路由器確認(rèn)攻擊信息中的IP地址即為當(dāng)前路由器的IP地址��,則根據(jù)該攻擊類(lèi)型信息判斷是否可以識(shí)別該攻擊封包�,若能識(shí)別,則再確定發(fā)出攻擊的用戶(hù)終端���,若不能識(shí)別��,則將該攻擊包類(lèi)型信息發(fā)送給一特定服務(wù)器識(shí)別�����,在該特定服務(wù)器識(shí)別出該攻擊封包的攻擊類(lèi)型之后��,再確定發(fā)出攻擊的用戶(hù)終端��。
5.一種防御攻擊的路由器�����,該路由器包括多個(gè)端口����,其特征在于, 在偵測(cè)到與該路由器連接的用戶(hù)終端受到攻擊后����,攔截攻擊封包,并獲取攻擊訊息�����,然后判斷接收攻擊封包的端口���,并發(fā)送該攻擊訊息至接收攻擊封包的端口�,該攻擊信息包括攻擊者的IP地址,通訊端口及通訊協(xié)議�����; 在接收到一攻擊訊息后�����,判斷該攻擊訊息中包括的攻擊者的IP地址是否是當(dāng)前路由器的IP地址����;若不是當(dāng)前路由器的IP地址,則傳送該攻擊訊息至與該路由器連接的下一個(gè)路由器�����; 若是當(dāng)前路由器的IP地址��,則根據(jù)攻擊訊息中的通訊端口及通訊協(xié)議確定發(fā)出攻擊的用戶(hù)終端�,并通過(guò)與該發(fā)出攻擊的用戶(hù)終端連接的路由器攔截該IP地址的的用戶(hù)終端發(fā)出的封包���,并發(fā)送已攔截攻擊封包的回饋訊息至偵測(cè)到攻擊封包的路由器�。
6.如權(quán)利要求5所述的防御攻擊的路由器,其特征在于��,在該路由器確定發(fā)出攻擊的用戶(hù)終端后����,可進(jìn)一步驗(yàn)證該用戶(hù)終端是否發(fā)出攻擊;若確認(rèn)該用戶(hù)終端發(fā)出攻擊后����,再通過(guò)與該發(fā)出攻擊的用戶(hù)終端連接的路由器攔截該IP地址的的用戶(hù)終端發(fā)出的封包,并發(fā)送已攔截攻擊封包的回饋訊息至偵測(cè)到攻擊的路由器�����;若驗(yàn)證該用戶(hù)終端未發(fā)出該攻擊��,則發(fā)送一回饋信息至該偵測(cè)到攻擊的路由器����。
7.如權(quán)利要求5所述的防御攻擊的路由器,其特征在于���,該路由器驗(yàn)證該用戶(hù)終端是否發(fā)出攻擊的方式為�,偵測(cè)該用戶(hù)在一預(yù)設(shè)時(shí)間內(nèi)是否發(fā)出該攻擊封包�����。
8.如權(quán)利要求5所述的防御攻擊的網(wǎng)絡(luò)連接系統(tǒng),其特征在于����,該攻擊訊息中還包括一攻擊封包的攻擊類(lèi)型信息,在路由器確認(rèn)攻擊信息中的IP地址即為該路由器的IP地址��,則根據(jù)該攻擊類(lèi)型信息判斷是否可以識(shí)別該攻擊封包���,若能識(shí)別����,則再則確定發(fā)出攻擊的用戶(hù)終端����,若不能識(shí)別,則將該攻擊包類(lèi)型信息發(fā)送給一特定服務(wù)器識(shí)別,在該特定服務(wù)器識(shí)別出該攻擊封包的攻擊類(lèi)型之后,再確定發(fā)出攻擊的用戶(hù)終端���。
全文摘要
提供一種防御攻擊的網(wǎng)絡(luò)連接系統(tǒng)�,該網(wǎng)絡(luò)連接系統(tǒng)包括一攻擊偵測(cè)端及至少一路由器�����,該攻擊偵測(cè)端在偵測(cè)到與其連接的用戶(hù)終端受到攻擊后,則攔截攻擊封包�����,并獲取攻擊訊息����,該攻擊信息中包括攻擊端的IP地址,通訊端口及通訊協(xié)議信息���,并通過(guò)接收到攻擊封包的端口發(fā)送該攻擊信息至攻擊信息中的IP地址對(duì)應(yīng)的路由器����;當(dāng)該攻擊信息發(fā)送至該IP地址對(duì)應(yīng)的路由器后�,該路由器根據(jù)攻擊訊息中的通訊端口及通訊協(xié)議確定攻擊端,并通過(guò)發(fā)送該攻擊封包的路由器攔截攻擊端發(fā)出的封包�����,并發(fā)送已攔截攻擊封包的回饋訊息至攻擊偵測(cè)端����。同時(shí)提供一防御攻擊的路由器�。使用本發(fā)明�����,在網(wǎng)絡(luò)系統(tǒng)中的一個(gè)路由器檢測(cè)到攻擊封包后�,可使網(wǎng)絡(luò)中的其他終端也免受攻擊。
文檔編號(hào)H04L29/06GK102724166SQ20111007657
公開(kāi)日2012年10月10日 申請(qǐng)日期2011年3月29日 優(yōu)先權(quán)日2011年3月29日
發(fā)明者丁軍 申請(qǐng)人:國(guó)基電子(上海)有限公司, 鴻海精密工業(yè)股份有限公司