CN100459611C - 超文本传输协议服务的安全管理方法 - Google Patents
超文本传输协议服务的安全管理方法 Download PDFInfo
- Publication number
- CN100459611C CN100459611C CNB2004100554579A CN200410055457A CN100459611C CN 100459611 C CN100459611 C CN 100459611C CN B2004100554579 A CNB2004100554579 A CN B2004100554579A CN 200410055457 A CN200410055457 A CN 200410055457A CN 100459611 C CN100459611 C CN 100459611C
- Authority
- CN
- China
- Prior art keywords
- equipment
- service
- message
- providing device
- service request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000007726 management method Methods 0.000 title 1
- 238000000034 method Methods 0.000 claims abstract description 36
- 238000012546 transfer Methods 0.000 claims description 29
- 238000012790 confirmation Methods 0.000 claims description 17
- 230000005540 biological transmission Effects 0.000 claims description 10
- 238000012360 testing method Methods 0.000 abstract 2
- 230000000977 initiatory effect Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000006378 damage Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000007704 transition Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明涉及互联网技术,公开了一种超文本传输协议服务的安全管理方法,使得代理设备能够有效地屏蔽HTTP服务的完成三次握手的拒绝服务攻击对服务提供设备的影响,保证真正的服务请求设备能够得到正常的服务。这种超文本传输协议服务的安全管理方法针对HTTP服务的完成三次握手的DoS型攻击,通过代理设备对服务请求设备的连接请求进行合法性验证,在服务请求者和服务提供者之间提供透明的代理服务。并且,代理设备同服务请求设备完成TCP三次握手之后,等待服务请求设备根据HTTP协议特点,发送HTTP协议请求报文,并对此报文进行合法性检查,只有合法性检查通过之后,代理设备才会代理服务请求者向服务提供者发起连接请求。
Description
技术领域
本发明涉及互联网技术,特别涉及超文本传输协议服务的安全管理技术。
背景技术
随着因特网的蓬勃发展,以及全球信息化进程的加速,人类生活模式业已发生改变。然而随着信息便利而来的,则是出现了各种形形色色的网络攻击和破坏,产生了日益令人担忧的因特网信息安全问题,信息安全形势骤然严峻起来。针对现如今大范围地出现基于因特网办公的情况,因特网信息安全技术必须要达到更高的安全标准和要求,这样才能够防范各种各样的网络攻击和破坏。
目前,在因特网上,拒绝服务(Deny of Service,简称“DoS”)攻击对网络造成的损害已经成为困扰用户的一个主要问题,尤其是针对超文本传输协议(Hyper Text Transfer Protocol,简称“HTTP”)服务的传输控制协议(Transfer Control Protocol,简称“TCP”)类型的DoS攻击。TCP服务被认为是基于连接的可靠服务,服务请求设备向服务提供设备发起请求报文,称为同步序列编号(Synchronize Sequence Numbers,简称“SYN”)报文,服务提供设备然后回复同步应答(Synchronize Sequence NumbersAcknowledgment,简称“SYN ACK”)报文,服务请求设备再次发送应答(ACK)报文,此时服务请求设备、服务提供设备认为连接已经建立,开始在这个会话中传输数据,此过程称为TCP的三次握手。在此过程中,服务提供设备为每一个服务请求设备分配Socket等资源,并且服务提供设备的资源总量是受到设备自身的限制,是存在上限的。在超过这个上限之后服务提供设备将不能为新的服务请求设备分配资源,也即不能为新的服务请求设备提供服务了。
在因特网中,HTTP服务是最基本也是最主要的服务类型之一,对HTTP服务进行攻击,会造成用户无法成功进行访问。同时,由于网络中存在大量基于HTTP服务进行用户认证的设备,如果攻击者实施了针对HTTP服务的攻击,会造成用户无法成功认证,导致无法正常登录网络的后果。HTTP服务属于TCP连接类型,针对TCP的连接方式,目前有两种主要的保护方法:1.TCP代理连接方式;2.基于统计的对用户的连接数量进行限制的方法。
下面具体讲述现有技术中的上述两种方法。
第一种TCP代理连接技术是解决TCP类型DoS攻击的一种方案,经由前文可以得知,服务提供设备会为每个正常的SYN请求报文分配资源,攻击者利用这个特性,伪造大量的SYN报文,使服务提供设备的资源被无效的SYN报文占用,由于攻击者很容易在极短的时间里使服务提供设备的资源被耗尽,因此,即使服务提供设备存在快速释放此种没有完成三次握手的连接的机制,也无法正常的响应服务请求设备的连接请求。
TCP代理连接技术是利用代理设备的处理能力,由代理设备而不是服务提供设备去回复SYN请求报文,如果代理设备得到了ACK报文,那么就认为,此连接的发起者是真正的服务请求设备,代理设备就代理服务请求设备向服务提供设备发起连接请求,在两个连接之间中转报文,一方面使服务请求设备能得到正常的服务,另一方面保护了服务提供设备不受伪冒SYN报文的困扰。
第二种基于统计的用户连接数量限制方法,可以根据限制的源或目的网间互联协议(Internet Protocol,简称“IP”)地址的不同,组合出三种限制方案:
a.在代理设备上根据源IP地址进行统计,限制每个服务请求设备发起连接的数量,如果该IP地址所代表的服务请求设备发起的连接数量超过了预先设定的许可范围,则代理设备丢弃由这个IP地址所发送的后续连接请求。
b.在代理设备上根据目的IP地址进行统计,限制到每个服务提供设备的连接请求的数量,如果到某个IP地址所代表的服务提供设备的连接请求数量超过了预先设定的许可范围,则代理设备丢弃由这个IP地址所发送的后续连接请求。
c.在代理设备上同时根据源/目的IP地址进行统计,限制每个服务请求设备发起的到达特定服务提供设备的连接的数量,如果特定源IP地址所代表的服务请求设备发起的到达特定目的IP地址所代表的服务提供设备的连接数量超过了预先设定的许可范围,对此特定源IP地址发送到特定目的IP地址的后续连接请求,则通过代理设备丢弃掉。
在实际应用中,上述方案存在以下问题:对于TCP代理连接方法而言,其关键问题是仅对不完成三次握手的DoS攻击方式有效,TCP代理在收到ACK报文之后就认为连接请求是正常的,直接向B发起了连接请求,但如果攻击者在完成三次握手之后不再发送任何报文,而是短时间内不断向服务提供者发出连接请求,并完成三次握手,则服务提供者的连接资源仍然会被消耗,同样造成DoS攻击的事实。
另一方面,对于基于统计的用户连接数量限制的方案来讲,则存在下面三个方面的问题。首先,当在代理设备上进行基于连接请求源IP地址的限制时,由于DoS攻击可以来自多台设备,尽管每台设备所发起的连接请求都被限制住了,但多台设备对被攻击设备所发起连接的累积值可能也会超过被攻击设备的能力限制,同样可以造成DoS攻击。同时,由于蠕虫病毒的存在,攻击行为有可能在设备的拥有者所不知情的情况下进行,因此设备拥有者在通过代理设备发起正常连接的时候,由于该IP地址的发起连接数量已经到达上限,设备拥有者的正常请求将被代理设备丢弃,造成无法正常使用。其次,当在代理设备上进行基于连接请求目的IP地址的限制时,这种限制保证了到达被攻击设备的连接数量在许可范围之内,保证了被攻击设备的正常运行,但攻击设备有可能造成对被攻击设备的连接数量到达代理设备上允许的连接数量范围上限,因此后续到达被攻击设备的连接请求将被代理设备丢弃,不管它是来自攻击设备还是其他正常请求服务的设备。因此造成了事实上的DoS攻击,无法起到设定限制的原意。最后一点,当在代理设备上进行基于连接请求源/目的IP地址组合的限制时,同仅仅限制源IP的方案相类似,当攻击来自多台设备时,攻击设备所发起的连接的累积值同样有可能超过被攻击设备的许可能力,同样可以造成DoS攻击。
发明内容
有鉴于此,本发明的主要目的在于提供一种超文本传输协议服务的安全管理方法,使得代理设备可以有效地屏蔽HTTP服务的完成三次握手的拒绝服务攻击对服务提供设备的影响,保证真正的服务请求设备能够得到正常的服务。
为实现上述目的,本发明提供了一种超文本传输协议服务的安全管理方法,包含以下步骤:
A当代理设备收到来自服务请求设备的连接请求时,与服务请求设备完成传输控制协议三次握手;
B当所述代理设备收到来自所述服务请求设备的超文本传输协议请求报文时,对该请求报文进行合法性检查,如果检查通过,则代理所述服务请求设备向服务提供设备发起连接请求,并与该服务提供设备完成传输控制协议三次握手,如果检查不通过则丢弃该请求报文,并放弃与所述服务请求设备的会话连接。
其中,所述步骤A完成以后,当所述代理设备在预先设定的时间段内收不到来自所述服务请求设备的超文本传输协议请求报文时,则放弃与所述服务请求设备的会话连接。
还包含以下步骤:
所述代理设备与所述服务提供设备完成三次握手之后,向所述服务请求设备发送确认报文,对所述步骤A中所述传输控制协议三次握手的连接请求进行确认;
所述服务请求设备向所述代理设备重新发送超文本传输协议请求报文;
所述代理设备调整所述超文本传输协议请求报文的确认号,并向所述服务提供设备转发该超文本传输协议请求报文。
还包含以下步骤:
所述代理设备与所述服务提供设备完成三次握手之后,向所述服务请求设备发送确认报文,对所述步骤B中所述超文本传输协议请求报文进行确认;
所述代理设备调整所述超文本传输协议请求报文的确认号,并向所述服务提供设备转发该超文本传输协议请求报文。
所述方法还包含以下步骤:
当所述代理设备向所述服务提供设备转发所述超文本传输协议请求报文之后,所述代理设备根据与所述服务请求设备的会话序列号和与所述服务提供设备的会话序列号之间的差值,调整报文的序列号和确认号后,在所述服务请求设备和所述服务提供设备之间进行报文中转。
还包含所述代理设备为该连接请求创建中间数据结构的步骤,所述中间数据结构用于相关报文的组建、序列号和确认号的调整,并且,所述中间数据结构包含服务请求设备的网间互联协议地址、传输控制协议服务的端口号、服务提供设备的网间互联协议地址、被请求的传输控制协议服务端口号、传输层的协议类型。
所述步骤A中的三次握手包含以下子步骤:
所述服务请求设备向所述代理设备发送同步报文;
所述代理设备向所述服务请求设备回应同步确认报文;
所述服务请求设备向所述代理设备回应确认报文。
所述步骤B中的三次握手包含以下子步骤:
所述代理设备向所述服务提供设备转发来自所述服务请求设备的同步报文;
所述服务提供设备向所述代理设备回应同步确认报文;
所述代理设备向所述服务提供设备回应确认报文。
通过比较可以发现,本发明的技术方案与现有技术的区别在于,针对HTTP服务的完成三次握手的DoS型攻击,通过代理设备对服务请求设备的连接请求进行合法性验证,在服务请求者和服务提供者之间提供透明的代理服务。并且,代理设备同服务请求设备完成TCP三次握手之后,仍然不向服务提供设备发起连接请求,而是等待服务请求设备根据HTTP协议特点,发送HTTP协议请求报文,并对此报文进行合法性检查,只有合法性检查通过之后,代理设备才会代理服务请求者向服务提供者发起连接请求。
这种技术方案上的区别,带来了较为明显的有益效果,即能够有效保护服务提供者的资源不被DoS型攻击占用,确保真正的服务请求者的正常服务请求被代理设备正常中转,而恶意的攻击者的服务请求被代理设备拒绝,从而更好地保障因特网信息安全性能。
附图说明
图1是根据本发明的一个实施例的超文本传输协议服务认证处理的代理设备状态迁移过程示意图;
图2是根据本发明的一个实施例的超文本传输协议服务认证处理的安全管理方法的具体实施流程示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述。
总的来说,本发明方案是通过代理设备的HTTP服务认证方法对连接请求进行有效地验证以防范针对HTTP服务的完成三次握手的拒绝服务型攻击,从而保障了服务请求设备和服务提供设备之间正常的连接服务。
具体地说,本发明方案通过代理设备在服务请求设备和服务提供设备之间提供透明的代理服务,改进TCP代理机制,利用代理设备对服务请求的连接进行验证,只有在确认HTTP请求的真实性之后代理设备便代替服务的请求设备向服务的提供设备发起连接请求,并在两个连接都建立好之后再中转报文。通过本发明这种方法,既保护了服务提供设备的资源不被资源耗尽型攻击所消耗,又保证了服务请求设备的正常连接请求不被拒绝。
图1示出了根据本发明的一个实施例的HTTP服务认证处理的代理设备状态迁移过程。
如图所示,其中的服务请求设备A20是服务请求设备,服务提供设备B22是服务提供设备,代理设备21则是本发明用以在服务请求设备和服务提供设备之间提供代理服务的设备。
首先,在步骤200中,服务请求设备A20向代理设备21发送连接请求的SYN报文。本发明利用现有的TCP代理连接技术,由代理设备21而不是服务提供设备B22来直接接受并回复相应的连接请求,通过代理设备21的处理能力来验证服务请求设备A20连接请求的真实性,避免了攻击者利用大量伪造的SYN报文而直接造成对服务提供设备B22中资源的侵占和消耗。在代理设备21接收到服务请求设备A20发送过来的SYN报文后,便进入步骤210。
在步骤210中,代理设备进入T0状态,响应服务请求设备A20的连接请求,为该连接请求创建中间数据结构。所创建的中间数据结构是由服务请求设备A20的IP地址和TCP服务的端口号、服务提供设备B22的IP地址和TCP服务端口号、以及传输层的协议类型,即TCP类型数据组成的。其中,需要说明的是,服务提供设备B22的IP地址和被请求的TCP服务端口号在本发明中特别指定为HTTP服务所监听的端口,包含标准端口(80)和各种非标准端口。以上述数据作为标识一个会话的唯一信息,而关联于这组信息的相关参数则包含会话过程中报文的序列号、确认号、窗口大小,以及服务请求设备A20到代理设备21会话的序列号和代理设备21到服务提供设备B22之间会话的序列号的差值。
接下来,在步骤220中,代理设备21保存服务请求设备A20的连接请求信息,并代替服务提供设备B22向服务请求设备A20回复同步应答(SYNACK)报文,然后,进入步骤230。
在步骤230中,服务请求设备A20向代理设备21返回ACK报文,完成三次握手。随后,在步骤240中,代理设备21跃迁到T2状态,丢弃上述步骤中接收到的报文,并进入步骤250。
在步骤250中,代理设备21进入状态T3。代理设备21在T3状态中,于是便根据HTTP应用协议的特点,对收到的HTTP协议报文的合法性进行认证。如果对报文验证发现其不合法,于是代理设备21便丢弃此报文并放弃同服务请求设备A20的会话连接,另一方面,如果服务请求设备A20根本就没有后续报文发送,代理设备21可以通过超时检查机制来释放这个会话连接。在上面两种异常情况下服务提供设备B22根本没有接受到任何连接请求,于是便达到了保护服务提供设备B22的处理资源不被DoS型攻击所消耗的目的。如果没有任何异常出现,也即可以确认HTTP请求报文是合法的,于是在随后的步骤260中将上述在T0状态所保存的服务请求设备A20的连接请求向服务提供设备B21发送,代理服务请求设备A20发起连接请求,并进入下面的步骤270。
在步骤270中,服务提供设备B22向代理设备21返回SYN ACK报文,然后,进入步骤280。
在步骤280中,代理设备21进入T4状态。代理设备21在T4状态中调整报文序列号,并在接下来的步骤290中向服务请求设备A20发送ACK报文,确认其序列号S1。并且,在随后的步骤300中,代理设备21向服务提供设备B22发送ACK报文,确认序列号为S3的报文。此后在步骤310中,服务请求设备A20在接收到确认序列号S1的ACK报文之后,根据TCP的重传机制,再次向代理设备21发送HTTP协议请求报文。接下来,进入步骤320。
在步骤320中,代理设备21跃迁到T6状态,代理设备21调整HTTP请求报文的确认号,并在随后的步骤330中,向服务提供设备B22转发该HTTP请求报文。然后,进入步骤340。
在步骤340中,代理设备21根据与服务请求者服务请求设备A20的会话序列号和与服务提供设备B22的会话序列号之间的差值,调整报文的序列号和确认号后,在服务请求设备A20与服务提供设备B22之间进行报文中转。
根据上述内容可以看出,本发明方案利用代理设备21对服务请求者服务请求设备A20的验证以及基于真实性验证后的文件中转,一方面有效的防范了服务提供设备B22的资源不被HTTP服务的完成三次握手的DoS型攻击所无效的消耗,屏蔽了攻击者的连接请求,另一方面又确保了服务请求者正常的连接请求通过代理设备21得以中转到服务提供设备B22。
为了更容易理解和掌握本发明,接下来再参照图2,进一步说明根据本发明的一个实施例的HTTP服务认证处理的安全管理方法的具体实施流程。
如图2所示,首先在步骤400中,代理设备收到来自服务请求设备的连接请求,并与服务请求设备完成TCP三次握手。其中TCP的三次握手过程如下:先是由服务请求设备向代理设备发送同步报文;然后,代理设备响应服务请求设备的连接请求,为该连接请求创建中间数据结构,并向服务请求设备回应同步确认报文;最后,服务请求设备向代理设备回应确认报文。需要说明的是,代理设备为服务请求设备所创建的中间数据结构用于相关报文的组建以及对序列号和确认号的调整,并且如上所述,中间数据结构包含服务请求设备的IP地址、TCP服务的端口号、服务提供设备的IP地址、被请求的TCP服务端口号、传输层的协议类型。
接下来,在步骤410中,检测在预先设定的时间段内是否收到来自服务请求设备的HTTP请求报文。如果没有在预先设定的时间段内收到来自服务请求设备的HTTP请求报文,则在随后的步骤420中放弃与服务请求设备的会话连接。如果在预先设定的时间段内收到了来自服务请求设备的HTTP请求报文,则进入步骤430。
在步骤430中,代理设备对收到的来自服务请求设备的HTTP请求报文进行合法性检查,并检测是否通过。如果对该请求报文进行的合法性检查没有通过,则进入步骤420中丢弃该请求报文,并放弃与服务请求设备的会话连接。另一方面,如果该请求报文通过了对其进行的合法性检查的话,则在随后的步骤440中通过代理服务请求设备向服务提供设备发起连接请求,并与该服务提供设备完成TCP三次握手,随后进入步骤450。
在步骤450中,代理设备向服务请求设备发送确认报文,针对在步骤400中与服务请求设备完成的TCP三次握手的连接请求进行确认。然后,进入步骤460。
在步骤460中,服务请求设备向代理设备重新发送HTTP请求报文,此后,进入步骤470。
在步骤470中,代理设备调整HTTP请求报文的确认号,并向服务提供设备转发该HTTP请求报文,随后,进入步骤480。
在步骤480,当代理设备向服务提供设备转发HTTP请求报文之后,代理设备根据与服务请求设备的会话序列号和与服务提供设备的会话序列号之间的差值,调整报文的序列号和确认号后,在服务请求设备和服务提供设备之间进行报文中转。
需要说明的是,上述步骤450中,在代理设备与所述服务提供设备完成三次握手之后,本发明方案也可以通过服务请求设备发送确认报文,对前文所述步骤410中的HTTP请求报文进行确认。然后,再通过代理设备调整HTTP请求报文的确认号,并向服务提供设备转发该HTTP请求报文。通过上述方案,同样也可以在进入最后的步骤480后实现服务请求设备和服务提供设备之间进行报文中转。
虽然通过参照本发明的某些优选实施例,已经对本发明进行了图示和描述,但本领域的普通技术人员应该明白,可以在形式上和细节上对其作各种各样的改变,而不偏离所附权利要求书所限定的本发明的精神和范围。
Claims (8)
1.一种超文本传输协议服务的安全管理方法,其特征在于,包含以下步骤:
A当代理设备收到来自服务请求设备的连接请求时,与服务请求设备完成传输控制协议三次握手;
B当所述代理设备收到来自所述服务请求设备的超文本传输协议请求报文时,对该请求报文进行合法性检查,如果检查通过,则代理所述服务请求设备向服务提供设备发起连接请求,并与该服务提供设备完成传输控制协议三次握手,如果检查不通过则丢弃该请求报文,并放弃与所述服务请求设备的会话连接。
2.根据权利要求1所述的超文本传输协议服务的安全管理方法,其特征在于,所述步骤A完成以后,当所述代理设备在预先设定的时间段内收不到来自所述服务请求设备的超文本传输协议请求报文时,则放弃与所述服务请求设备的会话连接。
3.根据权利要求2所述的超文本传输协议服务的安全管理方法,其特征在于,还包含以下步骤:
所述代理设备与所述服务提供设备完成三次握手之后,向所述服务请求设备发送确认报文,对所述步骤A中所述的连接请求进行确认;
所述服务请求设备向所述代理设备重新发送超文本传输协议请求报文;所述代理设备调整所述重新发送的超文本传输协议请求报文的确认号,并向所述服务提供设备转发该重新发送的超文本传输协议请求报文。
4.根据权利要求2所述的超文本传输协议服务的安全管理方法,其特征在于,还包含以下步骤:
所述代理设备与所述服务提供设备完成三次握手之后,向所述服务请求设备发送确认报文,对所述步骤B中所述超文本传输协议请求报文进行确认;
所述代理设备调整所述超文本传输协议请求报文的确认号,并向所述服务提供设备转发该超文本传输协议请求报文。
5.根据权利要求3或4所述的超文本传输协议服务的安全管理方法,其特征在于,所述方法还包含以下步骤:
当所述代理设备向所述服务提供设备执行所述转发所述超文本传输协议请求报文之后,所述代理设备根据与所述服务请求设备的会话序列号和与所述服务提供设备的会话序列号之间的差值,调整报文的序列号和确认号后,在所述服务请求设备和所述服务提供设备之间进行报文中转。
6.根据权利要求1所述的超文本传输协议服务的安全管理方法,其特征在于,还包含所述代理设备为该连接请求创建中间数据结构的步骤,所述中间数据结构用于相关报文的组建、序列号和确认号的调整,并且,所述中间数据结构包含所述服务请求设备的网间互联协议地址、所述服务请求设备的传输控制协议服务的端口号、所述服务提供设备的网间互联协议地址、被请求的传输控制协议服务端口号和传输层的协议类型。
7.根据权利要求1所述的超文本传输协议服务的安全管理方法,其特征在于,所述步骤A中的三次握手包含以下子步骤:
所述服务请求设备向所述代理设备发送同步报文;
所述代理设备向所述服务请求设备回应同步确认报文;
所述服务请求设备向所述代理设备回应确认报文。
8.根据权利要求7所述的超文本传输协议服务的安全管理方法,其特征在于,所述步骤B中的三次握手包含以下子步骤:
所述代理设备向所述服务提供设备转发来自所述服务请求设备的同步报文;
所述服务提供设备向所述代理设备回应同步确认报文;
所述代理设备向所述服务提供设备回应确认报文。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2004100554579A CN100459611C (zh) | 2004-08-06 | 2004-08-06 | 超文本传输协议服务的安全管理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2004100554579A CN100459611C (zh) | 2004-08-06 | 2004-08-06 | 超文本传输协议服务的安全管理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1731784A CN1731784A (zh) | 2006-02-08 |
CN100459611C true CN100459611C (zh) | 2009-02-04 |
Family
ID=35964080
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB2004100554579A Expired - Fee Related CN100459611C (zh) | 2004-08-06 | 2004-08-06 | 超文本传输协议服务的安全管理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN100459611C (zh) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101325539B (zh) * | 2007-06-15 | 2012-01-11 | 中兴通讯股份有限公司 | 一种局域网内可靠通信的方法 |
CN101127744B (zh) * | 2007-09-29 | 2010-10-13 | 杭州华三通信技术有限公司 | 对非法客户端进行隔离提示的方法和系统以及网关设备 |
CN101388768B (zh) * | 2008-10-21 | 2011-03-23 | 北京启明星辰信息技术股份有限公司 | 检测恶意http请求的方法及装置 |
CN101594269B (zh) * | 2009-06-29 | 2012-05-02 | 成都市华为赛门铁克科技有限公司 | 一种异常连接的检测方法、装置及网关设备 |
BR112015013943A2 (pt) | 2012-12-19 | 2017-07-11 | Nec Corp | nó de comunicação, aparelho de controle, sistema de comunicação, método de processamento de pacotes, método de controle de nó de comunicação e programa |
CN103124238B (zh) * | 2013-01-17 | 2015-09-16 | 深圳市共进电子股份有限公司 | 一种提高宽带路由器的管理页面登录安全性的方法 |
CN109600379B (zh) * | 2018-12-19 | 2021-08-17 | 锐捷网络股份有限公司 | Https重定向的降噪方法及装置 |
CN111447144A (zh) * | 2020-04-01 | 2020-07-24 | 中核武汉核电运行技术股份有限公司 | 一种基于透明代理的应用路由方法 |
CN114500021B (zh) * | 2022-01-18 | 2024-07-26 | 神州绿盟成都科技有限公司 | 一种攻击检测方法、装置、电子设备及存储介质 |
CN115589426A (zh) * | 2022-09-08 | 2023-01-10 | 中冶赛迪信息技术(重庆)有限公司 | 一种网络服务调用方法及系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040015721A1 (en) * | 2002-07-22 | 2004-01-22 | General Instrument Corporation | Denial of service defense by proxy |
CN1510872A (zh) * | 2002-12-24 | 2004-07-07 | 中联绿盟信息技术(北京)有限公司 | 一种dns和应用代理相结合对抗拒绝服务攻击的方法 |
-
2004
- 2004-08-06 CN CNB2004100554579A patent/CN100459611C/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040015721A1 (en) * | 2002-07-22 | 2004-01-22 | General Instrument Corporation | Denial of service defense by proxy |
CN1510872A (zh) * | 2002-12-24 | 2004-07-07 | 中联绿盟信息技术(北京)有限公司 | 一种dns和应用代理相结合对抗拒绝服务攻击的方法 |
Non-Patent Citations (2)
Title |
---|
SYN Flooding 攻击对策研究. 陈波,于泠.计算机工程,第27卷第7期. 2001 |
SYN Flooding 攻击对策研究. 陈波,于泠.计算机工程,第27卷第7期. 2001 * |
Also Published As
Publication number | Publication date |
---|---|
CN1731784A (zh) | 2006-02-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101390064B (zh) | 利用嵌入的认证信息防止网络重置拒绝服务攻击 | |
US8800001B2 (en) | Network authentication method, method for client to request authentication, client, and device | |
CN101378395B (zh) | 一种防止拒绝访问攻击的方法及装置 | |
JP4376711B2 (ja) | アクセス管理方法及びその装置 | |
De Vivo et al. | Internet vulnerabilities related to TCP/IP and T/TCP | |
US20090144806A1 (en) | Handling of DDoS attacks from NAT or proxy devices | |
US20070118894A1 (en) | Method for responding to denial of service attacks at the session layer or above | |
CN101420455A (zh) | 反向http网关数据传输系统和/或方法及其网络 | |
CN100459611C (zh) | 超文本传输协议服务的安全管理方法 | |
CN1921488A (zh) | IPv6子网内基于签名认证的防止源地址伪造的方法 | |
WO2011029357A1 (zh) | 认证通信流量的方法、通信系统和防护装置 | |
CN101594359A (zh) | 防御传输控制协议同步洪泛攻击方法及传输控制协议代理 | |
WO2010000171A1 (zh) | 一种通信的建立方法、系统和装置 | |
CN101715009A (zh) | 一种安全的地址分配方法、检测装置、设备和系统 | |
US8406223B2 (en) | Mechanism for protecting H.323 networks for call set-up functions | |
CN107277058A (zh) | 一种基于bfd协议的接口认证方法及系统 | |
CN1905553B (zh) | 在dos攻击或者设备过载时保障所选用户访问的方法 | |
EP1154610A2 (en) | Methods and system for defeating TCP Syn flooding attacks | |
CN111416824B (zh) | 一种网络接入认证控制系统 | |
CN1658553B (zh) | 一种采用公开密钥密码算法加密模式的强鉴别方法 | |
US20130055349A1 (en) | Method and apparatus for releasing tcp connections in defense against distributed denial of service attacks | |
WO2011035618A1 (zh) | 路由地址的安全处理方法和系统 | |
CN109688104A (zh) | 一种实现将网络中的主机隐藏的系统及方法 | |
JP4768547B2 (ja) | 通信装置の認証システム | |
US20060225141A1 (en) | Unauthorized access searching method and device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090204 |
|
CF01 | Termination of patent right due to non-payment of annual fee |