一种基于路由器防御DDoS攻击的方法和系统

摘要

本发明涉及一种基于路由器防御DDoS攻击的方法和系统，其中，基于路由器防御DDoS攻击的方法，应用于由路由器、连接设备和服务端构成的系统中，包括：路由器将连接设备的设备信息和流量统计信息周期性地上报给服务端；服务端对路由器上报的信息进行数据分析和统计，判断连接设备是否在对外发起DDoS攻击；当判定有连接设备正在对外发起DDoS攻击时，服务端向路由器发送抓取指定连接设备的报文指令，路由器将抓取的报文发送给服务端；服务端基于报文的攻击特征，生成新的安全防护策略并通知路由器下载新的安全防护策略；路由器执行新的安全防护策略进行攻击防护。本发明通过服务端针对不断变化的DDoS攻击，智能动态地调整安全防护策略，阻止DDoS攻击的发生。

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于路由器防御DDoS攻击的方法和系统。

背景技术

DDoS，全称“Distributed Denial of Service”，中文名叫分布式拒绝服务，其原理是将多个计算机联合起来作为攻击平台，用虚假的访问来耗光攻击目标的全部服务器资源，导致服务系统瘫痪而正常用户无法访问的情况。过去，会成为“肉鸡”的一般都是个人电脑以及少量智能手机。但随着网络安全技术的发展和人们防范意识的提升，这种攻击的成本越来越高了，黑客们逐渐将物联网设备和家庭联网设备作为新的攻击目标。家庭中的智能冰箱、智能摄像头、智能网关等设备普遍存在长时间在线和安全性薄弱的特点，极易被网络黑客利用变成僵尸网络中的“肉鸡”设备，用于大规模的DDoS攻击。

在家庭网络中，家用路由器是物联网设备和家庭智能终端连接网络的第一级设备，是发现这些智能设备正在做什么的最佳位置。如果在路由器上可以及时发现并限制设备对外发送的攻击流量，那么就可以从源头上阻止设备参与DDoS攻击。

现有家用路由器上防范DDoS攻击的方法普遍都是采用本地化防护的方法，例如，在家用路由器的默认防火墙上进行手动配置访问控制列表或者监控网络的本地流量，当总流量超过设定的障碍条件时，判断参与了DDoS攻击，进而实行限流限速等防护措施。然而，现有的这些技术方法存在着一些不足，例如，采用手动配置方法对于防护DDoS攻击具有严重的滞后性，不能根据动态变化的DDoS攻击及时做出响应；总流量阈值检查策略不能根据设备类型进行区分，不能够动态调整总流量阈值，会对部分设备的联网访问造成限制误判等等。因此，研究在家庭路由器上如何防止对外发起DDoS攻击，需要更进一步分析和研究。

发明内容

本发明实施例提供了一种基于路由器防御DDoS攻击的方法和系统，用以解决现有技术中基于家庭路由器进行联网的设备被劫持作为“肉鸡”对外进行DDoS攻击时，不能够被及时发现和不能够针对不同的设备实施不同的安全防护策略以及不能够智能动态地更新路由器的安全防护策略的问题。

为实现上述目的，本发明一方面提供了一种基于路由器防御DDoS攻击的方法，应用于由路由器、连接设备和服务端构成的系统中，包括以下步骤：路由器将连接设备的设备信息和流量统计信息周期性地上报给服务端；服务端对所述路由器上报的信息进行数据分析和统计，判断所述连接设备是否在对外发起DDoS攻击；当判定有连接设备正在对外发起DDoS攻击时，服务端向所述路由器发送抓取指定连接设备的报文指令，所述路由器将抓取的报文发送给服务端；服务端基于所述报文的攻击特征，生成新的安全防护策略并通知所述路由器下载所述新的安全防护策略；所述路由器执行所述新的安全防护策略进行攻击防护。

优选地，服务端判断所述连接设备是否在对外发起DDoS攻击，具体包括：所述路由器根据在最近N个上报周期中上报给服务端的流量统计数据进行判断；当最近N个上报周期中的每个周期内的流量统计数据中,所述连接设备的流量数据都大于给定的监控流量阈值，则判定所述连接设备正在对外发起DDoS攻击。

优选地，还包括：当最近N个上报周期中的至少N/2个周期内的流量统计数据中,所述连接设备的流量数据都大于给定的监控流量阈值，则判定所述连接设备可能正在对外发起DDoS攻击；服务端向路由器发送抓取报文指令后，分析所述路由器抓取的报文，判断所述报文是否存在攻击流量报文；当所述报文存在攻击流量报文，则判定所述连接设备正在对外DDoS攻击，并通知所述路由器调整流量统计的上报周期间隔为原来的1/2。

优选地，所述连接设备的监控流量阈值，包括：服务端在初始化时，给所述路由器的每个连接设备分配一个初始监控流量阈值；在运行期间，当服务端检测到所述连接设备在最近的历史周期M内都没有对外发起DDoS攻击，则调整所述连接设备的监控流量阈值；更新所述监控流量阈值为历史周期M内各上报周期统计时间段内的平均值；服务端保存所述连接设备更新后的各个时间段的监控流量阈值。

优选地，服务端向所述路由器发送抓取指定连接设备的报文指令，具体包括：服务端向所述路由器发送周期性抓取指定设备的报文指令；所述抓取报文指令中通过连接设备的MAC地址来指定路由器的具体连接设备；所述抓取报文指令中包含多个路由器的连接设备的MAC地址。

优选地，服务端基于所述路由器抓取报文的攻击特征，具体包括：所述新的安全防护策略限定用于正在对外发起DDoS攻击的连接设备；服务端根据所述路由器回复的周期性报文，持续地生成更所述新的安全防护策略；当服务端重新检测到所述路由器指定连接设备的流量统计数据不满足预设的故障条件时，服务端向所述路由器发送停止抓取指定连接设备的报文指令；当所述路由器的上报周期间隔有被调整，则通知所述路由器将上报周期间隔恢复为默认值。

另一方面提供了一种一种基于路由器防御DDoS攻击的系统，包括：路由器、连接设备和服务端构成；路由器将连接设备的设备信息和流量统计信息周期性地上报给服务端；服务端对所述路由器上报的信息进行数据分析和统计，判断所述连接设备是否在对外发起DDoS攻击；当判定有连接设备正在对外发起DDoS攻击时，服务端向所述路由器发送抓取指定连接设备的报文指令，所述路由器将抓取的报文发送给服务端；服务端基于所述报文的攻击特征，生成新的安全防护策略并通知所述路由器下载所述新的安全防护策略；所述路由器执行所述新的安全防护策略进行攻击防护。

优选地，所述服务端包括：接收模块，用于接收所述路由器的数据请求相关信息、周期性上报的数据信息和所述路由器抓取的报文；分析模块，用于分析所述路由器上报的设备信息、流量统计信息和所述路由器抓取的报文；存储模块，用于存储所述路由器的上报周期间隔、连续判定周期数N、各个连接设备在运行周期M内各时间段的监控流量阈值和所述路由器最新的安全防护策略；判断模块，用于根据所述路由器上报的设备信息、流量统计信息和所述连接设备的监控流量阈值，判断所述连接设备是否在对外发起DDoS攻击；用于根据所述路由器抓取的报文，判断是否存在攻击；策略生成模块，根据所述路由器抓取的报文的攻击特征，生成新的安全防护策略；发送模块，用于向所述路由器发送相关信息和消息指令，包括抓取所述路由器指定连接设备的报文指令、调整所述路由器上报周期间隔的指令和通知所述路由器下载新的安全防护策略的指令。

优选地，所述路由器包括：数据接收模块，用于接收服务端向所述路由器发送的抓取指定连接设备的报文指令和调整数据上报周期间隔的指令；数据统计模块，用于周期性地统计所述路由器连接设备的设备信息和流量统计信息；报文抓取模块，用于根据从服务端收到的抓取报文指令对所述路由器进行抓取报文；安全防御模块，用于下载和执行服务端下载的所述新的安全防护策略，对所述路由器上正在对外发起的DDoS攻击的连接设备进行访问限制；数据发送模块，用于向服务端请求所述路由器的相关属性信息、周期性地向服务端发送所述路由器连接设备的设备信息和流量统计信息、向服务器发送抓取的报文和下载所述新的安全防护策略。

本发明实施例提供的一种基于路由器防御DDoS攻击的方法和系统，可以从源头上阻止路由器的连接设备对外发起DDoS攻击，服务端可以动态地更新路由器的安全防护参数，有效保护路由器连接设备不被恶意劫持作为攻击源。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍。显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的基于路由器防御DDoS攻击的方法的系统架构关系示意图；

图2为本申请实施例提供的基于路由器防御DDoS攻击的方法流程图；

图3为本申请实施例提供的服务端判断路由器的连接设备是否正在对外发送DDOS攻击的流程图；

图4为本申请实施例提供的服务端动态调整路由器连接设备的监控流量阈值的流程图；

图5为本申请实施例提供的基于路由器防御DDoS攻击的服务端的组成结构图；

图6为本申请实施例提供的基于路由器防御DDoS攻击的路由器的组成结构图。

具体实施方式

为使本发明实施例的技术方案以及优点表达的更清楚，下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

图1为本发明实施例提供的基于路由器防御DDoS攻击的方法的系统架构关系示意图。如图1所示，家庭环境下相关的物联网设备和部分其他智能终端设备，通过连接家庭路由器进行外部访问。现实的环境中经常发现除了正常的流量访问以外，黑客会利用物联网设备和家庭联网设备作为攻击源，对互联网发送大量的攻击流量。本发明利用路由器的技术特点，可以在网络中及时发现联网的设备并且可以收集他们的流量，然后周期性地将设备的流量统计数据上报给服务端，进一步地，服务端根据路由器上报的流量统计数据和由历史流量数据确定的路由器连接设备的流量监控阈值，判断路由器的连接设备是否在对外发起DDOS攻击，如果判定发生了DDoS攻击，服务端通过路由器抓取报文分析攻击报文的特征，生成对应的安全防护策略限制攻击流量的产生，这样可以及时阻止设备加入僵尸网络参与DDoS攻击。因此，在家用路由器上安装本发明装置可以从源头上阻止家庭环境下的设备参与DDoS攻击。

图2为本申请实施例提供的基于路由器防御DDoS攻击的方法流程图。如图2所示，本发明一方面提供了一种基于路由器防御DDoS攻击的方法，应用于由路由器、连接设备和服务端构成的系统中，包括以下步骤：

步骤S201，路由器将连接设备的设备信息和流量统计信息周期性地上报给服务端。

具体的，路由器搜集路由器连接设备的设备信息和流量统计信息，然后根据收集的信息周期性上传给服务端。

其中，设备信息包括Mac地址、设备类型、设备名称、设备的IP地址等基本信息。

步骤S202，服务端对所述路由器上报的信息进行数据分析和统计，判断所述连接设备是否在对外发起DDoS攻击。

具体的，路由器根据在最近N个上报周期中上报给服务端的流量统计数据进行判断；

当最近N个上报周期中的每个周期内的流量统计数据中,连接设备的流量数据都大于给定的监控流量阈值，则判定连接设备正在对外发起DDoS攻击；

当最近N个上报周期中的至少N/2个周期内的流量统计数据中,连接设备的流量数据都大于给定的监控流量阈值，则判定连接设备可能正在对外发起DDoS攻击；

服务端向路由器发送抓取报文指令后，分析路由器抓取的报文，判断报文是否存在攻击流量报文；

当报文存在攻击流量报文，则判定连接设备正在对外DDoS攻击，通知路由器调整流量统计的上报周期间隔为原来的1/2，否则判定连接设备没有对外发起DDoS攻击。

本发明判断连接设备是否在对外发起DDoS攻击的过程中，连接设备的监控流量阈值是一个重要判断依据，下面结合附图3说明服务端是如何确定连接设备的监控流量阈值以及如何进行动态调整。

步骤S401，服务端在初始化时，给路由器的每个连接设备分配一个初始监控流量阈值，然后到步骤S402；

步骤S402，在运行期间，服务端检测路由器的连接设备，在最近的历史周期M内是否有对外发起DDoS攻击；如果是，则保持监控流量阈值不变，继续执行S402，如果否，则执行步骤S403；

步骤S403：更新所述监控流量阈值为历史周期M内各上报周期统计时间段内的平均值，然后到步骤S404；

步骤S404：服务端保存连接设备更新后的各个时间段的监控流量阈值。

在一优选的实施方式中，服务端在最开始没有路由器各个连接设备的监控流量阈值时，会给各个连接设备分别预分配一个较大的监控流量阈值；在运行一定周期M时间内，如果检测到连接的设备没有对外发起DDoS攻击，则可以将监控流量阈值调低；如果检测到连接设备可能存在DDoS攻击，通过抓取报文分析报文特征又不存在攻击，则说明连接设备运行过程中的流量有增大，则可以将监控流量阈值调高；如果运行过程中检测有发生DDoS攻击，监控流量阈值保持不变；上述调整的监控流量阈值大小都等于历史周期M内各上报周期统计时间段内的平均值。

步骤S203，当判定有连接设备正在对外发起DDoS攻击时，服务端向所述路由器发送抓取指定连接设备的报文指令，所述路由器将抓取的报文发送给服务端。

服务端向路由器发送抓取指定设备的报文指令，具体可以向路由器发送周期性抓取指定连接设备的报文指令；在抓取报文指令中通过设备的MAC地址来指定路由器的具体连接设备，报文中可以包含多个路由器连接设备的MAC地址。

步骤S204，服务端基于报文的攻击特征，生成新的安全防护策略并通知路由器下载新的安全防护策略；路由器执行新的安全防护策略进行攻击防护。

服务端基于路由器抓取报文的攻击特征，生成新的安全防护策略，可以限定只用于正在对外发起DDoS攻击的设备；根据路由器回复的周期性报文，持续地生成更新的安全防护策略；当服务端重新检测到路由器指定设备的流量统计数据不满足预设的故障条件时，向路由器发送停止抓取指定设备的报文指令。如果路由器的上报周期间隔有被调整，则通知路由器将上报周期间恢复为默认值。

在一优先的实施方式中，当判断连接设备是否在对外发起DDoS攻击时，如果结论是一个模糊的判定结果即判定路由器可能在对外发起DDoS攻击，这种情况下需要通过路由器抓取报文来进一步分析确定。如果服务端通过抓取报文分析存在攻击报文，那么攻击方的攻击流量发送间隔比我们上报的流量间隔小，此时服务端通知路由器调小数据的上报周期间隔，每次调整的值等于原来的1/2，服务端同时根据攻击报文的特征生成相应的安全防护策略，路由器下载新的安全防护策略后，根据路由器新上报的流量统计数据判定攻击流量已经消除或限制后，服务端再将路由器的上报周期间隔恢复成默认值。

本发明另一方面提供了一种基于路由器防御DDoS攻击的系统，包括：路由器、连接设备和服务端构成；

路由器将连接设备的设备信息和流量统计信息周期性地上报给服务端；

服务端对路由器上报的信息进行数据分析和统计，判断连接设备是否在对外发起DDoS攻击；

当判定有连接设备正在对外发起DDoS攻击时，服务端向路由器发送抓取指定连接设备的报文指令，路由器将抓取的报文发送给服务端；

服务端基于报文的攻击特征，生成新的安全防护策略并通知路由器所述新的安全防护策略；路由器执行新的安全防护策略进行攻击防护。

具体的，服务端的组成结构如图5所示，包括：

接收模块，用于接收路由器的数据请求相关信息、周期性上报的数据信息和路由器抓取的报文；

分析模块，用于分析路由器上报的设备信息、流量统计信息和路由器抓取的报文；

存储模块，用于存储路由器的上报周期间隔、连续判定周期数N、各个连接设备在运行周期M内各时间段的监控流量阈值和路由器最新的安全防护策略；

判断模块，用于根据路由器上报的设备信息、流量统计信息和连接设备的监控流量阈值，判断连接设备是否在对外发起DDoS攻击；用于根据路由器抓取的报文，判断是否存在攻击；

策略生成模块，根据路由器抓取的报文的攻击特征，生成新的安全防护策略；

发送模块，用于向路由器发送相关信息和消息指令，包括抓取路由器指定连接设备的报文指令、调整路由器上报周期间隔的指令和通知路由器下载新的安全防护策略的指令。

在下面的具体实施方式中，描述服务端的各模块的工作流程。

首先，接收模块收到路由器周期性上报的流量统计信息，然后，将信息交给分析模块进行分析，分析模块从中得到路由器各连接设备在某个时间段内的流量统计值，将这些信息交给判断模块进行判定，同时存储模块存储各连接设备在某个时间段内的流量统计值；判断模块将路由器上报时间段内连接设备的流量统计值K1和存储模块中的连接设备的监控流量阈值S1进行比较，如果K1大于S1，则标记该周期存在异常，如果连续N个周期都存在异常，则判定连接设备正在对外发起DDoS攻击，则通过发送模块向路由器发送抓取报文指令；接收模块收到路由器的抓取报文数据交给分析模块进行分析，然后判断模块进一步判断是否存在攻击报文，如果有攻击报文，则交给策略生成模块生成新的安全防护策略，再通过发送模块通知路由器下载新的安全防护策略，同时将新的安全防护策略存到存储模块中。

上述服务端的策略生成模块为路由器更新的安全防护策略很多，主要列出以下几种：

(1)设置报文的访问控制策略

在实际应用中，根据五元组(源IP地址、目的IP地址、源端口号、目的端口号、协议)，可以确定放行或丢弃两种不同的访问控制策略；

(2)对报文发送的syn、ack、http、udp等协议报文修改防护参数阈值，其中，防护参数阈值的单位可以是比特每秒bps，也可以是包每秒pps；

(3)设置协议特征字段的匹配规则

在具体实施过程中，针对某些协议，比如udp协议，可以根据分析模块分析路由器抓取的报文中udp协议的payload特征，在配置防护策略时，可以针对匹配的报文确定是否丢弃还是放行。

(4)设置报文的访问速度

对报文发送的syn、ack、http、udp、icmp等协议报文发送速率设置限速参数。

具体的，路由器的组成结构如图6所示，包括：

数据接收模块，用于接收服务端向路由器发送的抓取指定连接设备的报文指令和调整数据上报周期间隔的指令；

数据统计模块，用于周期性地统计路由器连接设备的设备信息和流量统计信息；

报文抓取模块，用于根据从服务端收到的抓取报文指令对路由器进行抓取报文；

安全防御模块，用于下载和执行服务端下载的新的安全防护策略，对路由器上正在对外发起的DDoS攻击的连接设备进行访问限制；

数据发送模块，用于向服务端请求路由器的相关属性信息、周期性地向服务端发送路由器连接设备的设备信息和流量统计信息、向服务器发送抓取的报文和下载新的安全防护策略。

在下面的具体实施方式中，描述路由器的各模块的工作流程。

数据统计模块搜集路由器连接设备的信息包括MAC地址、设备类型、设备名称、设备的IP地址等基本信息；同时也搜集路由器的属性信息，至少包括路由器的设备编号、路由器MAC地址，路由器名称以及路由器的IP地址，保证路由器在整个服务端的唯一性。服务端根据路由器上报的设备信息形成对应的路由器信息数据库。路由器根据服务端指定的上报周期间隔，将路由器连接设备的设备信息和流量统计信息周期性地通过数据发送模块发送给服务端；服务端分析路由器的上报信息后，如果判定有连接设备正在发送DDoS攻击，则通知路由器进行抓取报文，路由器通过数据接收模块收到抓取报文指令后，交给报文抓取模块进行抓取报文，抓取报文完成后通过数据发送模块发送给服务端；服务端分析报文的攻击特征后生成新的安全防护策略，通知路由器下载新的安全防护策略，路由器通过数据接收模块收到通知下载新的安全防护策略的指令，然后路由器的安全防御模块通过数据发送模块向服务端发起下载新的安全防护策略的请求，然后再接收新的安全防护策略，最后交给安全防御模块在路由器上执行新的安全防护策略。

本发明实施例提供的一种基于路由器防御DDoS攻击的方法和系统，当服务端判定路由器的连接设备在对外发送DDoS攻击时，可以实时动态地为路由器更新防护参数；服务端根据路由器连接设备的运行状态和历史流量数据，可以动态地调整路由器上报数据的周期间隔和连接设备的监控流量阈值，更加智能化地进行监控；服务端向路由器发送周期性抓取报文指令，可以持续地为路由器生成更新的安全防护策略，直到检测到路由器的连接设备已经不满足预设的故障条件时为止。

综上，服务端可以针对不断变化的DDoS攻击方法，智能动态地调整安全防护策略，减少了人工干预，提前预防了路由器的连接设备成为“肉鸡”的可能，从源头上阻止了DDoS攻击的发生。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。