[发明专利]阻止分布式拒绝服务攻击的方法及对应的设备

说明书

一种阻止分布式拒绝服务攻击的方法及对应的设备。网关监视其LAN设备和WAN之间的通信，并按照每个LAN设备对到目标IP地址的请求的数量进行计数。如果LAN设备到目标IP地址的请求的数量超过第一值X，则在目的地处向所有其他网关发送警报消息，该消息包括目标IP地址。网关根据按照每个目标IP地址收到的警报消息来监视请求计数器值之和。如果该和超过第二值VALUE_DDOS，则检测到DDoS攻击。检测到DDoS攻击的网关验证该网关是否具有向被攻击的IP地址发送数量超过值X的请求的LAN设备，并且在适当的情况下通过阻止从设备到WAN的数据通信将这样的LAN设备放入隔离区。

技术领域

本公开总体上涉及防止和阻止分布式拒绝服务(DDoS)攻击的领域。DDoS攻击是一种大量连接到互联网的设备被用于恶意执行协作DoS攻击的网络攻击。

背景技术

本文描述的任何背景信息旨在向读者介绍本领域中可能与以下描述的本实施例相关的各个方面。这样的讨论有助于向读者提供背景信息以便帮助更好地理解本公开的各方面。因此，应当理解，这些陈述应以这种方式被解读。

典型地，诸如机顶盒(STB)、高清晰度电视(HDTV)和互联网协议电话机的用户终端将通过由接入点(AP)控制的局域网(LAN)或由服务提供商提供的网关(GW)连接到服务提供商(SP)或互联网服务提供商(ISP)。网关提供用于连接LAN设备的无线通信和有线通信。网关还具有网络接口，网络接口使网关能够连接到广域网(WAN)，以用于连接到互联网，特别是用于连接到服务提供商的服务器。在部署IPTV和/或三重播放业务(IPTV+IP电话+互联网)的情况下，服务提供商可能在数百万客户端处安装了类似数量个网关和机顶盒。由于大量机顶盒设备具有类似操作系统和类似应用软件，恶意软件可能在试图发起互联网的DDoS攻击时将这些设备作为目标，破坏为服务提供商的客户或任何其他互联网企业提供的服务，以达到破坏、敲诈和勒索的目的。由于声名狼藉的Mirai僵尸网络(botnet)的缘故，很明显，由于弱密码(缺省)和安全保护差，目前已部署的物联网设备中很大一部分是感染恶意软件的最佳目标。然后，这些设备可能会加入这种僵尸网络，被犯罪分子用来组织DDoS攻击。这些物联网设备通常不是服务提供商提供的，却使用服务提供商的网关来访问互联网网络。对于服务提供商来说，希望防止这些设备，特别是服务提供商提供的设备的不当使用，以避免服务破坏或者服务提供商的设备所提供的LAN中不当使用的设备的DDos攻击所涉及的其他实体的抱怨。

因此，需要一种解决方案来改善对服务提供商的设备的不当使用的早期检测，以防止或阻止服务提供商提供的LAN中的设备引起的DDoS攻击。

发明内容

根据本公开的一个方面，提供了一种阻止来自局域网中的设备的分布式拒绝服务攻击的方法。该方法由连接到广域网并且向设备提供局域网的接入点来实现。该方法包括：按照每个设备并且按照广域网中的每个目的地互联网协议地址对第一总数的请求进行计数；针对局域网中的设备，如果第一总数超过第一值，则发送以广域网中的接入点为目的地的警报消息，该消息包括目的地互联网协议地址；接收警报消息并且基于所接收到的警报消息按照每个目的地互联网协议地址对第二总数的请求进行计数；如果到目的地互联网协议地址的第二总数的请求超过第二数值，并且针对局域网中的设备，到目的地互联网协议地址的第一总数的请求的第一值被超过，则阻止从该设备到广域网的数据通信。

根据阻止来自局域网中的设备的分布式拒绝服务攻击的方法的另一方面，阻止数据通信包括：阻止来自第一值被超过的设备且去往第二值被超过的目的地互联网协议地址的传出数据通信。

根据阻止来自局域网中的设备的分布式拒绝服务攻击的方法的另一方面，阻塞数据通信包括：阻止来自第一值被超过的设备的传出数据通信，并且阻止去往第一值被超过的设备的传入数据通信。

根据阻止来自局域网中的设备的分布式拒绝服务攻击的方法的另一方面，第一值和第二值是出厂预设的。