[发明专利]路由器及TCP端口防御方法

说明书

技术领域

本发明涉及一种计算机安全管理装置及方法，尤其涉及一种路由器及TCP(Transmi ssion Control Protocol，传输控制协议)端口防御方法。

背景技术

当本地计算机通过路由器以及网络与远程计算机或主机、服务器等相连时，若一台或多台远程计算机向本地计算机发出多个TCP封包以请求建立TCP连接时，路由器便无法为其他的远程计算机转发正常的封包。如此，可能会导致路由器中充斥着大量的垃圾封包，而无法正常连接网络。例如，本地计算机可能遭到端口扫描、病毒攻击等，使得路由器无法正常工作。

发明内容

鉴于以上内容，有必要提供一种路由器，可解决端口扫描的问题以及防御利用TCP连接发起的攻击。

此外，还有必要提供一种TCP端口防御方法，可解决端口扫描的问题以及防御利用TCP连接发起的攻击。

一种路由器，该路由器连接本地计算机与远程计算机，所述路由器包括：设置模块，用于设置第一时间段与第二时间段，以及设置远程计算机允许连接所述本地计算机次数的最大值；接收模块，用于接收TCP封包，所述TCP封包包括SYN封包；时钟模块，用于计时以及记录所述本地计算机接收每一个TCP封包的时间戳；计数模块，用于在接收到一个SYN封包时，根据该SYN封包的时间戳计算发送该SYN封包的远程计算机在该时间戳之前的第一时间段内与所述本地计算机建立了TCP连接但未传送数据的次数；及识别模块，用于在所述计数模块计算的次数超过了所设置的最大值时识别该远程计算机为攻击者，并在以该SYN封包的时间戳作为起点的第二时间段内将该远程计算机发送的所有TCP封包丢弃。

一种TCP端口防御方法，应用于路由器中，该路由器连接本地计算机与远程计算机，该方法包括：设置第一时间段与第二时间段，以及设置远程计算机允许连接所述本地计算机次数的最大值；所述本地计算机接收一个从远程计算机发出的SYN封包；记录接收该SYN封包的时间戳；根据该SYN封包的时间戳计算发送该SYN封包的远程计算机在该时间戳之前的第一时间段内与所述本地计算机建立了TCP连接但未传送数据的次数；及当所计算的次数超过了所设置的最大值时，识别该远程计算机为攻击者，并在以该SYN封包的时间戳作为起点的第二时间段内将该远程计算机发送的所有TCP封包丢弃。

相较于现有技术，所述的路由器及TCP端口防御方法，可解决端口扫描的问题以及防御利用TCP连接发起的攻击。

附图说明

图1是本发明路由器的较佳实施方式的运行环境图。

图2是本发明路由器的较佳实施方式的功能模块图。

图3是本发明路由器的较佳实施方式的建立TCP连接示意图。

图4是本发明TCP端口防御方法的第一实施方式的流程图。

图5是本发明TCP端口防御方法的第二实施方式的闲置连接确认流程图。

图6是本发明TCP端口防御方法的第二实施方式的流程图。

具体实施方式

如图1所示，是本发明路由器的较佳实施方式的运行环境图。多个远程计算机6(图1中仅画出一个远程计算机6)可通过网络5、调制解调器4以及路由器1与本地计算机3建立连接。本发明的目的在于防止远程计算机6对本地计算机3的传输控制协议(TransmissionControl Protocol，TCP)端口30进行扫描或进行攻击。

为实现该目的，在本较佳实施方式中，所述的路由器1用于识别所述远程计算机6是否对所述本地计算机3的TCP端口30进行扫描或进行攻击。

所述网络5，可以是因特网(Internet)，还可以是其它类型的通讯网络。

如图2所示，是本发明路由器的较佳实施方式的功能模块图。在本较佳实施方式中，所述的路由器1包括处理器10以及内存12。所述处理器10用于执行所述路由器1中安装或嵌入的各类软件。所述的内存12用于存储各类数据，例如，各类配置参数等。

在本较佳实施方式中，所述的路由器1还包括多个功能模块，分别是：设置模块20、接收模块21、时钟模块22、计数模块23、识别模块24。

所述的设置模块20，用于设置第一时间段与第二时间段，以及设置远程计算机6允许连接所述本地计算机3次数的最大值。所述第一时间段与第二时间段的用途将在下文作详细介绍。