CN108989271A - 一种家庭网关端口防攻击的方法和装置 - Google Patents
一种家庭网关端口防攻击的方法和装置 Download PDFInfo
- Publication number
- CN108989271A CN108989271A CN201710413920.XA CN201710413920A CN108989271A CN 108989271 A CN108989271 A CN 108989271A CN 201710413920 A CN201710413920 A CN 201710413920A CN 108989271 A CN108989271 A CN 108989271A
- Authority
- CN
- China
- Prior art keywords
- port
- pcp
- entity
- bras
- request message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
- H04L12/2869—Operational details of access network equipments
- H04L12/287—Remote access server, e.g. BRAS
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种家庭网关端口防攻击的方法和装置,涉及通信领域。本发明公开的一种家庭网关HG端口防攻击的方法,包括:HG实体检测到端口受到攻击时,向宽带远程接入服务器BRAS实体发送携带有受攻击端口信息的端口控制协议PCP端口关闭的请求消息,用于请求所述BRAS实体关闭该受攻击端口的数据转发功能。本申请技术方案,解决了现网中大部分终端设备以及服务器的防攻击功能是通过防火墙来关闭本端设备的端口,攻击的数据报文仍然可以到达终端设备以及服务器的问题。
Description
技术领域
本发明涉及通信领域,具体地涉及一种家庭网关端口防攻击的方法和装置。
背景技术
随着互联网时代的高速发展,现网中设备经常会受到黑客入侵,而端口是黑客入侵的一种常用通道。按照协议类型可以将端口划分为TCP和UDP端口:TCP端口是指传输控制协议端口,需要在客户端和服务器端建立连接,提供可靠的数据传输;UDP端口指用户协议包协议端口,不需要在客户端和服务器端建立连接。为了保护终端设备以及服务器更好的工作,需要使得设备和服务器端口免受网络侧的攻击。
BRAS(Broadband Remote Access Server,宽带远程接入服务器)是面向宽带网络应用的新型接入网关。它位于骨干网络的边缘层,它是宽带接入网和骨干网之间的桥梁,提供基本的接入手段和宽带接入网的管理功能。提供宽带接入服务、实现多种业务的汇聚与转发,能满足不同用户对传输容量和带宽利用率的要求,因此是宽带用户接入的核心设备。BRAS是用来完成各种宽带接入方式的宽带网络用户的接入、认证、计费、控制、管理的网络设备,是宽带网络可运营、可管理的基石。
HG(Home Gate,家庭网关)宽带接入作为一种常见的接入类型,为用户提供高速上网,无线连接,IPTV(Internet Protocol Television,因特网协议电视),语音电话等业务。兼容多种外部宽带网络接入方式,网络侧接口类型包括:ADSL、VDSL、LAN、EPON、GPON等。BRAS设备作为HG的接入服务器,为HG提供地址分配以及数据转发网关功能。
现网中大部分终端设备以及服务器的防攻击功能是通过防火墙来关闭本端设备的端口,这样攻击的数据报文仍然可以到达终端设备以及服务器,无形中对终端设备以及服务器的数据报文处理能力有更高的要求,但是处理数据协议报文并不是HG的强项。
发明内容
本文提供一种家庭网关端口防攻击的方法和装置,可以解决相关技术中通过防火墙关闭本端设备的端口实现防攻击功能时,攻击的数据报文仍然可以到达终端设备以及服务器的问题。
本文公开了一种家庭网关HG端口防攻击的方法,包括:
HG实体检测到端口受到攻击时,向宽带远程接入服务器BRAS实体发送携带有受攻击端口信息的端口控制协议PCP端口关闭的请求消息,用于请求所述BRAS实体关闭该受攻击端口的数据转发功能。
可选地,上述方法中,所述HG实体向所述BRAS发送携带有受攻击端口信息的PCP端口关闭的请求消息为新增的PCP指令;或者
所述HG实体向所述BRAS实体发送携带有受攻击端口信息的PCP端口关闭的请求消息为扩展的现行PCP指令,其中,通过扩展的现行PCP指令中的扩展PCP选项携带所述受攻击端口信息。
可选地,上述方法还包括:
所述HG实体接收所述BRAS实体反馈的PCP端口关闭的请求消息的响应消息。
可选地,上述方法中,所述HG实体接收到所述BRAS实体反馈的PCP端口关闭的请求消息的响应消息后,该方法还包括:
所述HG实体向所述BRAS实体发送PCP端口开启的请求消息,用于请求所述BRAS实体重新开启已关闭的端口的数据转发功能。
可选地,上述方法中,所述HG实体向所述BRAS实体发送PCP端口开启的请求消息为新增的PCP指令;或者
所述HG实体向所述BRAS实体发送PCP端口开启的请求消息为扩展的现行PCP指令,其中,通过扩展的现行PCP指令中的扩展PCP选项携带请求开启的端口信息。
本文还公开了一种家庭网关HG端口防攻击的方法,包括:
宽带远程接入服务器BRAS实体接收到的HG实体发送携带有受攻击端口信息的PCP端口关闭的请求消息时,生成端口流量关闭规则表,该端口流量关闭规则表中至少包括受到攻击的HG的IP地址、端口协议类型和端口号;
所述BRAS实体根据所述端口流量关闭规则表,关闭受攻击的端口的数据转发功能。
可选地,上述方法还包括:
所述BRAS实体接收所述HG实体发送的PCP端口开启的请求消息,删除对应的端口流量关闭规则表信息;
所述BRAS开启所删除的端口流量关闭规则表中对应端口的数据转发功能。
本文还公开了一种家庭网关HG端口防攻击的装置,采用HG实体,包括防火墙攻击检测模块和端口控制协议PCP客户端模块:
所述防火墙攻击检测模块,在检测到端口受到攻击时,向所述PCP客户端模块上报端口受到攻击的指令;
所述PCP客户端模块,接收到所述端口受到攻击的指令时,向宽带远程接入服务器BRAS实体发送携带有受攻击端口信息的端口控制协议PCP端口关闭的请求消息,用于请求所述BRAS实体关闭该受攻击端口的数据转发功能。
可选地,上述装置中,所述PCP客户端模块向所述BRAS发送携带有受攻击端口信息的PCP端口关闭的请求消息为新增的PCP指令;或者
所述PCP客户端模块向所述BRAS实体发送携带有受攻击端口信息的PCP端口关闭的请求消息为扩展的现行PCP指令,其中,通过扩展的现行PCP指令中的扩展PCP选项携带受攻击端口信息。
可选地,上述装置中,所述PCP客户端模块,还接收所述BRAS实体反馈的PCP端口关闭的请求消息的响应消息。
可选地,上述装置中,所述PCP客户端模块,收到所述BRAS实体反馈的PCP端口关闭的请求消息的响应消息后,还向所述BRAS实体发送PCP端口开启的请求消息,用于请求所述BRAS实体重新开启已关闭的端口的数据转发功能。
可选地,上述装置中,所述PCP客户端模块向所述BRAS实体发送PCP端口开启的请求消息为新增的PCP指令;或者
所述PCP客户端模块向所述BRAS实体发送PCP端口开启的请求消息为扩展的现行PCP指令,其中,通过扩展的现行PCP指令中的扩展PCP选项携带请求开启的端口信息。
本文还公开了一种家庭网关HG端口防攻击的装置,采用宽带远程接入服务器BRAS实体,至少包括端口控制协议PCP服务器模块和防火墙攻击防护实施模块:
所述PCP服务器模块,接收HG实体发送的携带有受攻击端口信息的PCP端口关闭的请求消息,并向所述防火墙攻击防护实施模块发送PCP端口关闭的指令;
所述防火墙攻击防护实施模块,接收所述PCP端口关闭的指令,并生成端口流量关闭规则表,该端口流量关闭规则表中至少包括受到攻击的HG的IP地址、端口协议类型和端口号,以及根据所述端口流量关闭规则表,关闭受攻击的端口的数据转发功能。
可选地,上述装置中,所述PCP服务器模块,还接收所述HG实体发送的PCP端口开启的请求消息,并向所述防火墙攻击防护实施模块发送PCP端口开启的指令;
所述防火墙攻击防护实施模块,接收所述PCP端口开启的指令,删除对应的端口流量关闭规则表信息,以及开启所删除的端口流量关闭规则表中对应端口的数据转发功能。
本申请技术方案,解决了现网中大部分终端设备以及服务器的防攻击功能是通过防火墙来关闭本端设备的端口,攻击的数据报文仍然可以到达终端设备以及服务器的问题。
附图说明
图1为本发明中HG实体和BRAS实体的模块组成示意图;
图2为本发明HG实体端口关闭请求的申请过程示意图;
图3为本发明HG实体端口开启请求的申请过程示意图;
图4为本发明BRAS实体防火墙攻击防护实施流程示意图;
图5为家庭网关接入部署组网图;
图6为具体实施例中PCP端口关闭流程图;
图7为具体实施中例PCP端口开启流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文将结合具体实施方式对本发明技术方案作进一步详细说明。需要说明的是,在不冲突的情况下,本申请的实施例和实施例中的特征可以任意相互组合。
相关技术中,端口控制协议(PCP)是解决NAT内部网络数据流接收的一种协议。当NAT(Net Address Translation,网络地址转换)内部网络的节点接收外部网络的流量时,如果内部节点没有和该流量的源端进行过连接,那么该流量在NAT设备上被丢弃。当流量经过NAT网络之前,使用PCP技术在NAT网络上建立关于该流量的映射,当流量到来时,能够穿过NAT网络而到达到其内部接收节点。其中,PCP分为PCP客户端和PCP服务器端,PCP客户端通过PCP请求消息向PCP服务器端申请或者释放映射。且PCP具有良好的可扩展性,可以通过扩展PCP报文的操作码(Opcode)字段或者增加新的PCP option选项扩展新的功能。因此,本申请发明人提出,基于上述PCP的特性,可以通过PCP服务器端的关闭以防受到攻击,阻止攻击报文的数据转发实现终端的端口保护功能。例如:家庭网关设备防火墙在检测到TCP和UDP端口受到攻击的时候,通过PCP client模块向BRAS的PCP server模块发送端口关闭请求,在PCP server端形成端口关闭流量规则表,那么WAN侧数据报文在经网络侧网关(BRAS)攻击终端网关(HG)时丢弃报文,那么数据报文无法到达终端网关设备以及LAN侧服务器,从而保护该设备。
基于上述思想,本申请提供一种家庭网关HG端口防攻击的装置,可以是HG实体和BRAS实体,如图1所示。
HG实体包含PCP客户端模块和防火墙攻击检测模块;
防火墙攻击检测模块,检测端口受攻击的情况,在检测到端口受到攻击时,向PCP客户端模块上报端口受到攻击的指令;
PCP客户端模块:接受HG实体防火墙攻击检测模块关闭端口请求指令,以主动向BRAS实体的PCP服务器模块发送PCP端口关闭的请求消息用于请求BRAS实体关闭该受攻击端口的数据转发功能,其包括TCP和UDP端口;
另外,PCP客户端模块还会接收BRAS实体的PCP服务器模块返回的PCP端口关闭的请求消息的响应消息。
PCP客户端模块,在收到PCP端口关闭的请求消息的响应消息后,还包括主动向BRAS实体的PCP服务器模块发送PCP端口开启请求消息,其包括TCP和UDP端口;接收BRAS实体的PCP服务器模块返回的PCP端口开启的请求消息的响应消息;同时也包括接受HG实体防火墙攻击检测模块端口开启请求指令,以及反馈请求指令处理结果。
BRAS实体包含PCP服务器模块和防火墙攻击防护实施模块。
PCP服务器模块:接收HG实体的PCP客户端模块发送的端口关闭申请请求消息,包括TCP和UDP端口;同时也包括向BRAS防火墙攻击防护模块发送关闭端口数据转发指令和接收防火墙攻击防护模块对指令的处理结果。
防火墙攻击防护实施模块,接收所述PCP端口关闭的指令,并生成端口流量关闭规则表,该端口流量关闭规则表中至少包括受到攻击的HG的IP地址、端口协议类型和端口号,以及根据所述端口流量关闭规则表,关闭受攻击的端口的数据转发功能。
另外,PCP服务器模块,还将PCP端口关闭的请求消息的响应消息发送给HG实体的PCP客户端模块;
PCP服务器模块还包括接收HG实体的PCP客户端模块发送端口开启请求消息,包括TCP和UDP端口;将PCP服务器端口开启的请求消息的响应消息发送给PCP客户端模块;同时也包括向BRAS防火墙攻击防护模块发送开启端口数据转发指令和接收防火墙模块对指令的处理结果。此时,对应的,防火墙攻击防护实施模块,接收PCP端口开启的指令,删除对应的端口流量关闭规则表信息,以及开启所删除的端口流量关闭规则表中对应端口的数据转发功能。要说明的是,本实施例中,HG实体和BRAS实体交互过程中所涉及的PCP关闭端口请求消息为PCP协议扩展的消息类型:当PCP客户端需要关闭TCP和UDP端口时,封装PCP客户端需要关闭的端口请求消息,发送给PCP服务器;当PCP客户端需要开启端口请求消息时,封装PCP客户端需要开启的端口请求消息发送给PCP服务器。所述的扩展PCP协议可以通过新增新的Opcode进行扩展,也可通过新增PCP option选项进行扩展。当通过Opcode进行扩展时,PCP服务器解析出的Opcode为关闭端口类型,PCP服务器为PCP客户端关闭对应端口的数据转发。当通过PCP option选项扩展时,新增端口关闭请求选项,PCP服务器解析出端口关闭请求选项,PCP服务器为PCP客户端关闭端口数据转发。
基于上述装置,本实施例还提供一种HG端口防攻击的方法,主要从HG侧进行说明,该方法主要包括:
HG实体检测到端口受到攻击时,向BRAS实体发送携带有受攻击端口信息的端口控制协议PCP端口关闭的请求消息,用于请求BRAS实体关闭该受攻击端口的数据转发功能。
其中,HG实体可以使用PCP协议封装受攻击端口信息以生成PCP端口关闭的请求消息。例如,可以采用新增的PCP指令作为PCP端口关闭的请求消息,或者复用现行PCP指令作为PCP端口关闭的请求消息,即采用扩展的现行PCP指令作为PCP端口关闭的请求消息,其中,在现行扩展的PCP指令的扩展PCP选项中携带受攻击端口信息。
对应的,HG实体会接收到BRAS实体反馈的PCP端口关闭的请求消息的响应消息,以通知HG实体端口关闭成功。
另外,在HG实体接收到上述PCP端口关闭的请求消息的响应消息后,HG实体还可以主动向BRAS实体发送PCP端口开启的请求消息,用于请BRAS实体重新开启已关闭的端口的数据转发功能。要说明的是,HG实体可以是在检测受攻击的端口已不再受攻击时,发送PCP端口开启的请求消息。
与PCP端口关闭的请求消息相同,HG实体向BRAS实体发送PCP端口开启的请求消息也可以使用PCP协议封装开启端口信息以生成PCP端口开启的请求消息。例如,可以采用新增的PCP指令作为PCP端口开启的请求消息,或者复用现行PCP指令作为PCP端口开启的请求消息,即采用扩展的现行PCP指令作为PCP端口开启的请求消息,其中,在现行扩展PCP指令的扩展PCP选项携带开启端口信息。
本申请还提供一种家庭网关HG端口防攻击的方法,主要从BRAS侧进行说明,该方法主要包括:
BRAS实体接收到的HG实体发送携带有受攻击端口信息的PCP端口关闭的请求消息时,生成端口流量关闭规则表,该端口流量关闭规则表中至少包括受到攻击的HG的IP地址、端口协议类型和端口号;
BRAS实体根据端口流量关闭规则表,关闭受攻击的端口的数据转发功能。
对应地,上述方法还可以包括:BRAS实体接收HG实体发送的PCP端口开启的请求消息,删除对应的端口流量关闭规则表信息,之后BRAS开启所删除的端口流量关闭规则表中对应端口的数据转发功能。
下面详细说明上述方案的具体实施。
首先介绍HG实体的端口关闭请求的申请过程,如图2所示,包括如下步骤201至206:
步骤201:HG实体的防火墙攻击检测模块检测到TCP或者UDP端口受到攻击时,向PCP客户端上报端口受到攻击消息。
步骤202:HG实体的PCP客户端模块获取HG实体的TCP和UDP端口受到攻击的消息,封装PCP端口关闭的请求消息,发送到BRAS实体。
步骤203:BRAS实体的PCP服务器模块接收到PCP客户端发来的PCP端口关闭的请求消息,通知BRAS防火墙攻击防护模块生成端口流量关闭规则表,该表包括受到攻击的HG的IP地址、端口协议类型(TCP、UDP)、端口号。
步骤204:BRAS实体的防火墙攻击防护模块根据生成的端口流量关闭规则表,关闭该端口的数据转发,并通知PCP服务器模块已关闭该端口的数据转发。
步骤205:BRAS实体的PCP服务器模块向HG实体PCP客户端模块反馈PCP端口关闭的请求消息的响应消息。
步骤206:HG实体PCP客户端模块通知防火墙攻击检测模块关闭成功。
HG实体开启端口请求的申请过程如图3所示,包括如下步骤301至306:
步骤301:HG实体的防火墙攻击检测模块通知PCP客户端模块端口开启请求;
步骤302:HG实体的PCP客户端模块获取HG实体的需要开启的TCP和UDP端口请求,封装PCP端口开启的请求消息,发送到BRAS实体。
步骤303:BRAS实体的PCP服务器模块收到PCP客户端模块发送的PCP端口开启的请求消息,通知BRAS防火墙攻击防护模块删除对应的端口流量关闭规则表信息。
步骤304:BRAS防火墙攻击防护模块删除端口流量关闭规则表,开启相应端口的数据转发功能,并且通知PCP服务器模块已开启该端口的数据转发功能。
步骤305:BRAS实体的PCP服务器模块向HG实体反馈PCP端口开启的请求消息的响应消息。
步骤306:HG实体的PCP客户端通知防火墙攻击检测模块端口开启成功。
BRAS实体防火墙攻击防护实施模块的工作流程如图4所示。
根据图2和图3信息,BRAS防火墙攻击防护实施模块会生成、更新端口流量关闭规则表,该表包括HG的IP地址、受到攻击的端口号以及TCP或者UDP协议类型。具体的操作包括如下步骤401至402:
步骤401:BRAS防火墙攻击防护模块在收到网络侧发送过来的数据流时,首先检查数据报文的目的IP地址,判断该IP地址是否在端口流量关闭规则表中,如果不存在,则直接转发,如果存在,则转到步骤402。
步骤402:BRAS防火墙攻击防护模块检查网络侧数据报文的目的端口号和端口号协议类型是否存在端口流量关闭规则表中,如果存在,则丢弃数据报文,如果不存在,则直接转发。
下面以图5所示家庭网关接入部署组网为例详细说明上述该方案。其中,家庭网关通过接入网上联到BRAS,BRAS连接接入网和骨干网,并且为家庭网关分配IP地址,以及负责为家庭网关关闭、开启端口数据转发功能。
上述场景中,PCP端口关闭流程如图6所示,包括如下步骤601至604:
步骤601:HG向BRAS申请IPv4地址为10.10.10.11,或者申请ipv6地址为2001::11/64;
步骤602:HG检测到TCP端口80收到异常报文攻击后,向BRAS发送PCP端口关闭的请求消息,该PCP端口关闭的请求消息使用PCP协议封装受到攻击的端口号信息;
具体HG设备如何检测到端口受到攻击有比较成熟的技术,在这里不做赘述。
步骤603:BRAS收到PCP端口关闭的请求消息后,从中提取IP地址信息、端口协议、端口号信息,生成端口流量关闭规则表。
同时过滤WAN侧数据报文来达到关闭端口功能,根据数据报文的目的IP地址、端口协议以及端口号查看流量关闭转发表中是否存在,如果存在该记录则丢弃报文;如果不存在该记录则直接转发。对于目的地址为10.10.10.11或者2001::11,目的端口号为TCP协议的80端口数据报文全部丢弃。
步骤604:BRAS向HG反馈PCP端口关闭的成功消息。
PCP端口开启流程,如图7所示,包括如下步骤701至703:
要说明的是,默认情况下BRAS对所有端口均为开启的状态,所以图7中端口开启流程是建立在端口关闭之后的工作流程。
步骤701:HG通过PCP协议报文向BRAS发送端口(TCP:80)开启的请求消息;
步骤702:BRAS收到HG的PCP端口开启的请求消息后,从中提取IP地址信息、端口协议、端口号信息,在流量关闭规则表中查询到后做删除处理,更新流量关闭规则表;
同时过滤网络侧数据报文,原先的端口流量关闭规则表中已经没有目的端口为TCP协议80,目的IP为HG地址的记录,所以转发所有目的地址为HG地址、端口为TCP协议80端口的所有报文。
步骤703:BRAS通过PCP协议报文向HG发送PCP端口开启的请求消息的响应消息。
从上述实施例中可以看出,采用本申请技术方案,家庭网关可以通过PCP协议动态发送PCP端口关闭的请求信息,使得在BRAS数据网关处理数据转发时根据端口号以及IP地址信息,关闭对应的家庭网关受到攻击的端口的数据转发功能,从而家庭网关侧无法收到对应端口的攻击报文,充分利用了BRAS宽带接入网关的数据处理能力优势,大大减轻了家庭网关受到攻击时的对数据处理能力的负担,提高了家庭网关的工作稳定性。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本申请不限制于任何特定形式的硬件和软件的结合。
以上所述,仅为本发明的较佳实例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (14)
1.一种家庭网关HG端口防攻击的方法,包括:
HG实体检测到端口受到攻击时,向宽带远程接入服务器BRAS实体发送携带有受攻击端口信息的端口控制协议PCP端口关闭的请求消息,用于请求所述BRAS实体关闭该受攻击端口的数据转发功能。
2.如权利要求1所述的方法,其特征在于,
所述HG实体向所述BRAS发送携带有受攻击端口信息的PCP端口关闭的请求消息为新增的PCP指令;或者
所述HG实体向所述BRAS实体发送携带有受攻击端口信息的PCP端口关闭的请求消息为扩展的现行PCP指令,其中,通过扩展的现行PCP指令中的扩展PCP选项携带所述受攻击端口信息。
3.如权利要求1或2所述的方法,其特征在于,该方法还包括:
所述HG实体接收所述BRAS实体反馈的PCP端口关闭的请求消息的响应消息。
4.如权利要求3所述的方法,其特征在于,所述HG实体接收到所述BRAS实体反馈的PCP端口关闭的请求消息的响应消息后,该方法还包括:
所述HG实体向所述BRAS实体发送PCP端口开启的请求消息,用于请求所述BRAS实体重新开启已关闭的端口的数据转发功能。
5.如权利要求4所述的方法,其特征在于,
所述HG实体向所述BRAS实体发送PCP端口开启的请求消息为新增的PCP指令;或者
所述HG实体向所述BRAS实体发送PCP端口开启的请求消息为扩展的现行PCP指令,其中,通过扩展的现行PCP指令中的扩展PCP选项携带请求开启的端口信息。
6.一种家庭网关HG端口防攻击的方法,包括:
宽带远程接入服务器BRAS实体接收到的HG实体发送携带有受攻击端口信息的PCP端口关闭的请求消息时,生成端口流量关闭规则表,该端口流量关闭规则表中至少包括受到攻击的HG的IP地址、端口协议类型和端口号;
所述BRAS实体根据所述端口流量关闭规则表,关闭受攻击的端口的数据转发功能。
7.如权利要求6所述的方法,其特征在于,所述方法还包括:
所述BRAS实体接收所述HG实体发送的PCP端口开启的请求消息,删除对应的端口流量关闭规则表信息;
所述BRAS开启所删除的端口流量关闭规则表中对应端口的数据转发功能。
8.一种家庭网关HG端口防攻击的装置,采用HG实体,包括防火墙攻击检测模块和端口控制协议PCP客户端模块:
所述防火墙攻击检测模块,在检测到端口受到攻击时,向所述PCP客户端模块上报端口受到攻击的指令;
所述PCP客户端模块,接收到所述端口受到攻击的指令时,向宽带远程接入服务器BRAS实体发送携带有受攻击端口信息的端口控制协议PCP端口关闭的请求消息,用于请求所述BRAS实体关闭该受攻击端口的数据转发功能。
9.如权利要求8所述的装置,其特征在于,
所述PCP客户端模块向所述BRAS发送携带有受攻击端口信息的PCP端口关闭的请求消息为新增的PCP指令;或者
所述PCP客户端模块向所述BRAS实体发送携带有受攻击端口信息的PCP端口关闭的请求消息为扩展的现行PCP指令,其中,通过扩展的现行PCP指令中的扩展PCP选项携带受攻击端口信息。
10.如权利要求8或9所述的装置,其特征在于,
所述PCP客户端模块,还接收所述BRAS实体反馈的PCP端口关闭的请求消息的响应消息。
11.如权利要求10所述的装置,其特征在于,
所述PCP客户端模块,收到所述BRAS实体反馈的PCP端口关闭的请求消息的响应消息后,还向所述BRAS实体发送PCP端口开启的请求消息,用于请求所述BRAS实体重新开启已关闭的端口的数据转发功能。
12.如权利要求11所述的装置,其特征在于,
所述PCP客户端模块向所述BRAS实体发送PCP端口开启的请求消息为新增的PCP指令;或者
所述PCP客户端模块向所述BRAS实体发送PCP端口开启的请求消息为扩展的现行PCP指令,其中,通过扩展的现行PCP指令中的扩展PCP选项携带请求开启的端口信息。
13.一种家庭网关HG端口防攻击的装置,采用宽带远程接入服务器BRAS实体,至少包括端口控制协议PCP服务器模块和防火墙攻击防护实施模块:
所述PCP服务器模块,接收HG实体发送的携带有受攻击端口信息的PCP端口关闭的请求消息,并向所述防火墙攻击防护实施模块发送PCP端口关闭的指令;
所述防火墙攻击防护实施模块,接收所述PCP端口关闭的指令,并生成端口流量关闭规则表,该端口流量关闭规则表中至少包括受到攻击的HG的IP地址、端口协议类型和端口号,以及根据所述端口流量关闭规则表,关闭受攻击的端口的数据转发功能。
14.如权利要求13所述的装置,其特征在于,
所述PCP服务器模块,还接收所述HG实体发送的PCP端口开启的请求消息,并向所述防火墙攻击防护实施模块发送PCP端口开启的指令;
所述防火墙攻击防护实施模块,接收所述PCP端口开启的指令,删除对应的端口流量关闭规则表信息,以及开启所删除的端口流量关闭规则表中对应端口的数据转发功能。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710413920.XA CN108989271B (zh) | 2017-06-05 | 2017-06-05 | 一种家庭网关端口防攻击的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710413920.XA CN108989271B (zh) | 2017-06-05 | 2017-06-05 | 一种家庭网关端口防攻击的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108989271A true CN108989271A (zh) | 2018-12-11 |
| CN108989271B CN108989271B (zh) | 2022-06-10 |
Family
ID=64501933
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710413920.XA Active CN108989271B (zh) | 2017-06-05 | 2017-06-05 | 一种家庭网关端口防攻击的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108989271B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111404916A (zh) * | 2020-03-11 | 2020-07-10 | 杭州迪普科技股份有限公司 | 主动防御网络攻击的系统和方法 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1917477A (zh) * | 2006-09-14 | 2007-02-21 | 杭州华为三康技术有限公司 | 防止流控帧干扰的方法及装置 |
| CN101247217A (zh) * | 2008-03-17 | 2008-08-20 | 北京星网锐捷网络技术有限公司 | 防止地址解析协议流量攻击的方法、单元和系统 |
| CN101494536A (zh) * | 2009-02-20 | 2009-07-29 | 华为技术有限公司 | 一种防arp攻击的方法、装置和系统 |
| CN102447630A (zh) * | 2011-12-28 | 2012-05-09 | 中兴通讯股份有限公司 | 协议报文的传输方法、家庭网关及运营商级网络转换设备 |
| CN102611571A (zh) * | 2012-02-13 | 2012-07-25 | 华为技术有限公司 | 端口控制协议快速恢复方法和装置 |
| EP2484082A1 (en) * | 2009-09-29 | 2012-08-08 | NEC Europe Ltd. | A method and network for optimizing a connection from a end user device |
| CN103906037A (zh) * | 2012-12-25 | 2014-07-02 | 中兴通讯股份有限公司 | 采用端口控制协议完成网络地址转换保活的方法及设备 |
| CN104917719A (zh) * | 2014-03-10 | 2015-09-16 | 国基电子(上海)有限公司 | 用户端网络设备及远程登录的方法 |
| CN105471612A (zh) * | 2014-09-10 | 2016-04-06 | 中兴通讯股份有限公司 | 一种家庭网关远程控制方法、装置及家庭网关设备 |
| WO2016119257A1 (zh) * | 2015-01-30 | 2016-08-04 | 华为技术有限公司 | 一种获取带宽信息的方法及装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103580880B (zh) * | 2012-08-03 | 2017-12-29 | 华为技术有限公司 | 一种快速通知cgn异常的方法、设备及系统 |
| CN103535015B (zh) * | 2013-05-24 | 2016-11-23 | 华为技术有限公司 | 公网地址资源的管理方法、端口控制协议服务器及客户端 |
| CN104243628A (zh) * | 2014-09-11 | 2014-12-24 | 杭州华三通信技术有限公司 | 一种连续多端口申请方法和装置 |
-
2017
- 2017-06-05 CN CN201710413920.XA patent/CN108989271B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1917477A (zh) * | 2006-09-14 | 2007-02-21 | 杭州华为三康技术有限公司 | 防止流控帧干扰的方法及装置 |
| CN101247217A (zh) * | 2008-03-17 | 2008-08-20 | 北京星网锐捷网络技术有限公司 | 防止地址解析协议流量攻击的方法、单元和系统 |
| CN101494536A (zh) * | 2009-02-20 | 2009-07-29 | 华为技术有限公司 | 一种防arp攻击的方法、装置和系统 |
| EP2484082A1 (en) * | 2009-09-29 | 2012-08-08 | NEC Europe Ltd. | A method and network for optimizing a connection from a end user device |
| CN102447630A (zh) * | 2011-12-28 | 2012-05-09 | 中兴通讯股份有限公司 | 协议报文的传输方法、家庭网关及运营商级网络转换设备 |
| CN102611571A (zh) * | 2012-02-13 | 2012-07-25 | 华为技术有限公司 | 端口控制协议快速恢复方法和装置 |
| CN103906037A (zh) * | 2012-12-25 | 2014-07-02 | 中兴通讯股份有限公司 | 采用端口控制协议完成网络地址转换保活的方法及设备 |
| CN104917719A (zh) * | 2014-03-10 | 2015-09-16 | 国基电子(上海)有限公司 | 用户端网络设备及远程登录的方法 |
| CN105471612A (zh) * | 2014-09-10 | 2016-04-06 | 中兴通讯股份有限公司 | 一种家庭网关远程控制方法、装置及家庭网关设备 |
| WO2016119257A1 (zh) * | 2015-01-30 | 2016-08-04 | 华为技术有限公司 | 一种获取带宽信息的方法及装置 |
| CN106464580A (zh) * | 2015-01-30 | 2017-02-22 | 华为技术有限公司 | 一种获取带宽信息的方法及装置 |
Non-Patent Citations (2)
| Title |
|---|
| VIJAY SIVARAMAN等: ""Network-level security and privacy control for smart-home IoT devices"", 《2015 IEEE 11TH INTERNATIONAL CONFERENCE ON WIRELESS AND MOBILE COMPUTING, NETWORKING AND COMMUNICATIONS (WIMOB)》 * |
| 崔宁: ""ARP防攻击技术的研究 "", 《电子技术与软件工程》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111404916A (zh) * | 2020-03-11 | 2020-07-10 | 杭州迪普科技股份有限公司 | 主动防御网络攻击的系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108989271B (zh) | 2022-06-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100486176C (zh) | 一种穿越网络地址翻译网关对用户侧设备进行管理的方法 | |
| Fall et al. | Tcp/ip illustrated | |
| US6202081B1 (en) | Method and protocol for synchronized transfer-window based firewall traversal | |
| CN104519121B (zh) | 计算机网络内的会话感知服务链 | |
| CN100566294C (zh) | 单播反向路径转发方法 | |
| US7970878B1 (en) | Method and apparatus for limiting domain name server transaction bandwidth | |
| JP4410791B2 (ja) | アドレス詐称チェック装置およびネットワークシステム | |
| WO2006114037A1 (fr) | Systeme de communication dote d’un module de commande de session en peripherie et procede de transmission de paquet de signalisation | |
| CN102244688A (zh) | 一种报文转发的方法、装置及系统 | |
| CN106604119B (zh) | 一种用于智能电视私有云设备的网络穿透方法及系统 | |
| CN101662423A (zh) | 单一地址反向传输路径转发的实现方法及装置 | |
| US8724630B2 (en) | Method and system for implementing network intercommunication | |
| CN111131448B (zh) | ADSL Nat的运维管理的边缘管理方法、边缘端代理设备及计算机可读存储介质 | |
| US20220174085A1 (en) | Data Processing Method and Apparatus | |
| CN107453861B (zh) | 一种基于ssh2协议的数据采集方法 | |
| JPWO2015174100A1 (ja) | パケット転送装置、パケット転送システム及びパケット転送方法 | |
| CN106878259A (zh) | 一种报文转发方法及装置 | |
| CN103916489B (zh) | 一种单域名多ip的域名解析方法及系统 | |
| CN107135185A (zh) | 一种攻击处理方法、设备及系统 | |
| CN104994113B (zh) | 一种adsl无线路由器及使用该路由器在桥接模式下实现强制门户的方法和系统 | |
| CN108989271A (zh) | 一种家庭网关端口防攻击的方法和装置 | |
| CN106454823A (zh) | 网络安全接入的认证方法及其实现该方法的认证系统 | |
| JP2014127866A (ja) | 通信システムと装置と方法とプログラム | |
| JP2003008638A (ja) | 通信システム | |
| EP2073432A1 (en) | The access terminal, and the method for binding the access terminal and the operator |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |