TWI410080B - 無線路由器及利用該無線路由器預防惡意掃描的方法 - Google Patents
無線路由器及利用該無線路由器預防惡意掃描的方法 Download PDFInfo
- Publication number
- TWI410080B TWI410080B TW98131435A TW98131435A TWI410080B TW I410080 B TWI410080 B TW I410080B TW 98131435 A TW98131435 A TW 98131435A TW 98131435 A TW98131435 A TW 98131435A TW I410080 B TWI410080 B TW I410080B
- Authority
- TW
- Taiwan
- Prior art keywords
- packet
- response packet
- icmp
- wireless router
- normal
- Prior art date
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
本發明涉及一種無線路由器及利用該無線路由器預防惡意掃描的方法。
一般無線路由器本身或是LAN(Local Area Network,局域網)端的伺服器都會開啟一些UDP(User Datagram Protocol,用戶資料報協定)埠,給用戶端電腦提供相應的服務。但網路上惡意的使用者會利用掃描以及聽取埠的方法來得知哪些埠是開啟的,再利用這些埠做為進入點或是攻擊點。所以預防惡意攻擊者的掃描是保護無線路由器本身或是LAN端伺服器最有效方法。
鑒於以上內容,有必要提供一種無線路由器及利用該無線路由器預防惡意掃描的方法,其讓惡意使用者無法得知所掃描的埠是否開啟,保護無線路由器本身或是LAN端伺服器。
一種無線路由器,安裝有日誌系統並分別與至少一台WAN用戶端電腦以及至少一台LAN端伺服器相連。所述的無線路由器包括:轉發模組,用於當WAN用戶端電腦發送UDP埠掃描封
包時,將此封包轉發至LAN端伺服器;接收模組,用於接收來自LAN端伺服器的回應封包;判斷模組,用於根據接收模組所接收的回應封包的報文格式判斷所接收的回應封包是不是ICMP埠無法到達封包;所述的判斷模組還用於當該回應封包是ICMP埠無法到達封包時,若此回應封包屬於先前正常建立連線之後又斷線所產生的正常響應封包,或者該封包是之前曾進入過LAN端伺服器進行過資料交換的連線產生的正常回應封包,則判斷該回應封包為正常的回應封包,以及當在單一時間內該回復的ICMP埠無法到達封包超過一定數量,則判斷該響應封包不是正常的回應封包;保護模組,用於當該回應封包是ICMP埠無法到達封包且不是正常的回應封包時,將此回應封包丟棄,並通知日誌系統記錄此次埠掃描事件。
一種利用無線路由器預防惡意掃描的方法,該方法包括步驟:當WAN用戶端電腦發送UDP埠掃描封包時,無線路由器將該UDP埠掃描封包轉發至LAN端伺服器;無線路由器接收LAN端伺服器的回應封包;根據所接收的回應封包的報文格式判斷所接收的回應封包是否為ICMP埠無法到達封包;當所接收的回應封包是ICMP埠無法到達封包時,若此回應封包屬於先前正常建立連線之後又斷線所產生的正常響應封包,或者該封包是之前曾進入過LAN端伺服器進行過資料交換的連線產生的正常回應封包,則判斷該回應封包為正常的回應封包,以及當在單一時間內該回復的ICMP埠無法到達封包超過一定數量,則判斷該響應封包不是正常的回應封包;當此回應封包
不是正常的回應封包時,將此回應封包丟棄,通知日誌系統記錄此次UDP埠掃描事件。
相較於習知技術,本發明所述預防惡意掃描的方法,若存在攻擊者對LAN端伺服器作掃描,則無線路由器通過丟棄LAN端伺服器產生的ICMP(Internet Control Message Protocol,網際控制報文協議)埠無法到達封包,避免洩漏LAN端伺服器的埠之開關狀態,從而保護無線路由器本身或是LAN端伺服器不被惡意使用者攻擊。
1‧‧‧WAN用戶端電腦
2‧‧‧無線路由器
21‧‧‧日誌系統
3‧‧‧LAN端伺服器
201‧‧‧轉發模組
202‧‧‧接收模組
203‧‧‧判斷模組
204‧‧‧保護模組
S10‧‧‧將WAN用戶端電腦發送的UDP埠掃描封包轉發至LAN伺服器
S11‧‧‧接收LAN伺服器的回應封包
S12‧‧‧判斷所接收的回應封包是否為ICMP埠無法到達封包
S13‧‧‧將其轉發給WAN用戶端電腦進行處理
S14‧‧‧判斷是否是正常的回應封包
S15‧‧‧將此回應封包丟棄並通知日誌系統記錄此次UDP埠被掃描事件
S16‧‧‧將此回應封包丟棄
圖1為本發明預防惡意掃描的方法較佳實施例的架構示意圖。
圖2為本發明無線路由器的功能模組圖。
圖3為本發明預防惡意掃描的方法的較佳實施例的流程圖。
針對本發明的專業辭彙注釋如下:
埠(Port):指網路中面向連接服務和無連接服務的通信協定埠,是一種抽象的軟體結構,包括一些資料結構和I/O(基本輸入輸出)緩衝區。它是一個軟體結構,被客戶程式或服務進程用來發送和接收資訊。一個埠對應一個16比特的數。邏輯意義上的埠,一般是指TCP/IP協議(傳輸控制協定/網際互連協議)中的埠,埠號的範圍從0到65535,比如用於瀏覽網頁服務的80埠,用於FTP服務的21埠等等。
埠掃描:Port Scanning,是通過連接到目標系統的TCP協定或UDP協定埠,來確定什麼服務正在運行。
UDP埠掃描(UDP Port Scanning):是執行埠掃描來決定哪個用戶資料報協定(UDP)埠是開放的過程。UDP掃描能夠被駭客用於發起攻擊或用於合法的目的。UDP埠掃描的建立基礎為向一個關閉的UDP埠發送資料時會得到ICMP PORT Unreachable消息回應,如果向我們想掃描的主機發送UDP資料,沒有接受到ICMP PORT Unreachable消息時,可以假設這個埠是開放的。
ICMP:Internet Control Message Protocol,Internet控制報文協議。是TCP/IP協定族的一個子協定,用於在IP主機、路由器之間傳遞控制消息。控制消息是指網路通不通、主機是否可達、路由是否可用等網路本身的消息。
如圖1所示是本發明預防惡意掃描的方法較佳實施例的架構示意圖。所述的架構包括至少一台WAN用戶端電腦11、無線路由器(AP).2以及至少一台LAN端伺服器3。所述的WAN用戶端電腦1的ADSL Modern(圖中未示出)或者Cable Modern(圖中未示出)通過網路線與無線路由器2的WAN埠(圖中未示出)相連,所述的LAN端伺服器3通過網路線與無線路由器2的LAN埠相連(圖中未示出)。
所述的無線路由器2中安裝日誌系統21。所述的日誌系統21用於準確及時的記錄系統發生的所有事件,例如記錄UDP埠(
圖中未示出)被掃描的事件。
如圖2所示,是本發明無線路由器的功能模組圖。所述的無線路由器還包括轉發模組201、接收模組202、判斷模組203以及保護模組204。
所述的轉發模組201,用於當WAN用戶端電腦1發送UDP埠掃描封包時,將此封包轉發至LAN端伺服器3。
所述的接收模組202,用於接收來自LAN端伺服器3的回應封包。
所述的判斷模組203,用於根據接收模組202所接收的回應封包的報文格式判斷所接收的回應封包是不是ICMP PORT Unreachable(ICMP埠無法到達)封包。當所接收的回應封包的報文格式中IP頭部的Protocol位為1,當Type=3和Code=3時,判斷此回應封包即為ICMP PORT Unreachable封包;否則判斷此回應封包不是ICMP PORT Unreachable封包。
所述的轉發模組201,還用於當所接收的回應封包不是ICMP PORT Unreachable封包時,將此回應封包轉發給WAN用戶端電腦1進行處理。
所述的判斷模組203還用於根據此回應封包的連線記錄判斷此ICMP PORT Unreachable封包是不是正常的回應封包。當此回應封包屬於先前正常建立連線之後又斷線所產生的正常回應封包時,或者當該封包是之前曾進入過LAN端伺服器3進行過資料交換的UDP連線產生的正常回應封包時,則判斷
模組203判斷該ICMP PORT Unreachable封包為正常的回應封包;當在單一時間內該回復的ICMP PORT Unreachable超過一定數量,則判斷模組203判斷其不是正常的回應封包。
所述的保護模組204,用於當判斷模組203判斷此回應封包是ICMP PORT Unreachable封包且不是正常的回應封包時,將此回應封包丟棄,通知日誌系統21記錄此次UDP埠被掃描事件,並顯示給使用者知道。
所述的保護模組204還用於當判斷模組203判斷此回應封包是ICMP PORT Unreachable封包且是正常的回應封包時,將此回應封包丟棄。
如圖3所示,是本發明預防惡意掃描的方法較佳實施例的流程圖。
步驟S10,當WAN用戶端電腦1發送UDP埠掃描封包時,轉發模組201將WAN用戶端電腦1所發送的UDP埠掃描封包轉發至LAN端伺服器3。
步驟S11,接收模組202接收LAN端伺服器3的回應封包。
步驟S12,判斷模組203判斷所接收的回應封包是否為ICMP PORT Unreachable封包。若此回應封包是ICMP PORT Unreachable封包,則進入步驟S14;若此回應封包不是ICMP PORT Unreachable封包,則進入步驟S13。
步驟S13,轉發模組201將此回應封包轉發給WAN用戶端電腦1
進行處理,結束流程。
步驟S14,判斷模組203根據此回應封包的連線記錄判斷此IMCP PORT Unreachable封包是否是正常的回應封包。若判斷此IMCP PORT Unreachable封包不是正常的回應封包,則進入步驟S15。若判斷此IMCP PORT Unreachable封包是正常的回應封包,則進入步驟S16。
步驟S15,保護模組204將此回應封包丟棄,避免洩漏LAN端伺服器3的埠的開關狀態,保護無線路由器2本身或是LAN端伺服器3不被惡意使用者攻擊,同時通知日誌系統21記錄此次UDP埠被掃描的事件,並顯示給使用者知道,結束流程。
步驟S16,保護模組204將此回應封包丟棄,然後結束流程。
綜上所述,本發明符合發明專利要件,爰依法提出專利申請。惟,以上所述者僅為本發明之較佳實施例,本發明之範圍並不以上述實施例為限,舉凡熟悉本案技藝之人士援依本發明之精神所作之等效修飾或變化,皆應涵蓋於以下申請專利範圍內。
S10‧‧‧將WAN用戶端電腦發送的UDP埠掃描封包轉發至LAN伺服器
S11‧‧‧接收LAN伺服器的回應封包
S12‧‧‧判斷所接收的回應封包是否為ICMP埠無法到達封包
S13‧‧‧將其轉發給WAN用戶端電腦進行處理
S14‧‧‧判斷是否是正常的回應封包
S15‧‧‧將此回應封包丟棄並通知日誌系統記錄此次UDP埠被掃描事件
S16‧‧‧將此回應封包丟棄
Claims (6)
- 一種無線路由器,該無線路由器安裝有日誌系統並分別與至少一台WAN用戶端電腦以及至少一台LAN端伺服器相連,所述的無線路由器包括:轉發模組,用於當WAN用戶端電腦發送UDP埠掃描封包時,將此封包轉發至LAN端伺服器;接收模組,用於接收來自LAN端伺服器的回應封包;判斷模組,用於根據所接收的回應封包的報文格式判斷所接收的回應封包是不是ICMP埠無法到達封包;所述的判斷模組還用於當該回應封包是ICMP埠無法到達封包時,若此回應封包屬於先前正常建立連線之後又斷線所產生的正常響應封包,或者該封包是之前曾進入過LAN端伺服器進行過資料交換的連線產生的正常回應封包,則判斷該回應封包為正常的回應封包,以及當在單一時間內該回復的ICMP埠無法到達封包超過一定數量,則判斷該響應封包不是正常的回應封包;保護模組,用於當該回應封包是ICMP埠無法到達封包且不是正常的回應封包時,將此回應封包丟棄,並通知日誌系統記錄此次埠掃描事件。
- 如專利申請範圍第1項所述之無線路由器,所述的保護模組還用於當該封包是ICMP埠無法到達封包且是正常的回應封包時,將此回應封包丟棄。
- 如專利申請範圍第1項所述之無線路由器,所述的轉發模組還用於當該回應封包不是ICMP埠無法到達封包時,將該回應封包轉發至WAN用戶端電腦處理。
- 一種利用無線路由器預防惡意掃描的方法,所述的無線路由器安裝有日誌系統並分別與至少一台WAN用戶端電腦以及至少一台LAN端伺服器相連,該方法包括步驟:a.當WAN用戶端電腦發送UDP埠掃描封包時,無線路由器將該UDP埠掃描封包轉發至LAN端伺服器;b.無線路由器接收LAN端伺服器的回應封包;c.根據所接收的回應封包的報文格式判斷所接收的回應封包是否為ICMP埠無法到達封包;d.當所接收的回應封包是ICMP埠無法到達封包時,若此回應封包屬於先前正常建立連線之後又斷線所產生的正常響應封包,或者該封包是之前曾進入過LAN端伺服器進行過資料交換的連線產生的正常回應封包,則判斷該回應封包為正常的回應封包,以及當在單一時間內該回復的ICMP埠無法到達封包超過一定數量,則判斷該響應封包不是正常的回應封包;e.當此回應封包不是正常的回應封包時,將此回應封包丟棄,通知日誌系統記錄此次UDP埠掃描事件。
- 如專利申請範圍第4項所述之利用無線路由器預防惡意掃描的方法,該方法還包括步驟:當所接收的回應封包不是ICMP埠無法到達封包時,將此回應封包轉發給WAN用戶端電腦進行處理。
- 如專利申請範圍第4項所述之利用無線路由器預防惡意掃描的方法,該方法還包括:當此回應封包是ICMP埠無法到達封包且是正常的回應封包時,將此回應封包丟棄。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW98131435A TWI410080B (zh) | 2009-09-18 | 2009-09-18 | 無線路由器及利用該無線路由器預防惡意掃描的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW98131435A TWI410080B (zh) | 2009-09-18 | 2009-09-18 | 無線路由器及利用該無線路由器預防惡意掃描的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201112675A TW201112675A (en) | 2011-04-01 |
| TWI410080B true TWI410080B (zh) | 2013-09-21 |
Family
ID=44909331
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW98131435A TWI410080B (zh) | 2009-09-18 | 2009-09-18 | 無線路由器及利用該無線路由器預防惡意掃描的方法 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI410080B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI785374B (zh) * | 2020-09-01 | 2022-12-01 | 威聯通科技股份有限公司 | 網路惡意行為偵測方法與利用其之交換系統 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020144156A1 (en) * | 2001-01-31 | 2002-10-03 | Copeland John A. | Network port profiling |
| US20040117478A1 (en) * | 2000-09-13 | 2004-06-17 | Triulzi Arrigo G.B. | Monitoring network activity |
| US20050021740A1 (en) * | 2001-08-14 | 2005-01-27 | Bar Anat Bremler | Detecting and protecting against worm traffic on a network |
| US6957348B1 (en) * | 2000-01-10 | 2005-10-18 | Ncircle Network Security, Inc. | Interoperability of vulnerability and intrusion detection systems |
-
2009
- 2009-09-18 TW TW98131435A patent/TWI410080B/zh not_active IP Right Cessation
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6957348B1 (en) * | 2000-01-10 | 2005-10-18 | Ncircle Network Security, Inc. | Interoperability of vulnerability and intrusion detection systems |
| US20040117478A1 (en) * | 2000-09-13 | 2004-06-17 | Triulzi Arrigo G.B. | Monitoring network activity |
| US20020144156A1 (en) * | 2001-01-31 | 2002-10-03 | Copeland John A. | Network port profiling |
| US20050021740A1 (en) * | 2001-08-14 | 2005-01-27 | Bar Anat Bremler | Detecting and protecting against worm traffic on a network |
Also Published As
| Publication number | Publication date |
|---|---|
| TW201112675A (en) | 2011-04-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7940757B2 (en) | Systems and methods for access port ICMP analysis | |
| Handley et al. | Internet denial-of-service considerations | |
| KR101054705B1 (ko) | 위조 발생지 어드레스를 가진 포트 스캔을 탐지하기 위한 방법 및 장치 | |
| EP2127313B1 (en) | A containment mechanism for potentially contaminated end systems | |
| Sieklik et al. | Evaluation of TFTP DDoS amplification attack | |
| EP1775910B1 (en) | Application layer ingress filtering | |
| CN110198293B (zh) | 服务器的攻击防护方法、装置、存储介质和电子装置 | |
| US20070033645A1 (en) | DNS based enforcement for confinement and detection of network malicious activities | |
| Gadge et al. | Port scan detection | |
| US7818795B1 (en) | Per-port protection against denial-of-service and distributed denial-of-service attacks | |
| US20120227088A1 (en) | Method for authenticating communication traffic, communication system and protective apparatus | |
| Gont | Security assessment of the internet protocol version 4 | |
| CN101227287B (zh) | 一种数据报文处理方法及数据报文处理装置 | |
| JPWO2015174100A1 (ja) | パケット転送装置、パケット転送システム及びパケット転送方法 | |
| WO2014075485A1 (zh) | 网络地址转换技术的处理方法、nat设备及bng设备 | |
| WO2019096104A1 (zh) | 攻击防范 | |
| Li et al. | TuDoor Attack: Systematically Exploring and Exploiting Logic Vulnerabilities in DNS Response Pre-processing with Malformed Packets | |
| WO2005004410A1 (fr) | Procede pour controler la retransmission d'un message de donnees dans un dispositif d'acheminement | |
| TWI410080B (zh) | 無線路由器及利用該無線路由器預防惡意掃描的方法 | |
| TW201132055A (en) | Routing device and related packet processing circuit | |
| KR101088868B1 (ko) | 네트워크 스위치의 에이알피 패킷 처리 방법 | |
| Wu et al. | A three-layer defense mechanism based on web servers against distributed denial of service attacks | |
| Farraposo et al. | Network security and DoS attacks | |
| WO2024209608A1 (ja) | 監視装置、監視方法及び監視プログラム | |
| Kavisankar et al. | T-RAP:(TCP reply acknowledgement packet) a resilient filtering model for DDoS attack with spoofed IP address |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |