CN102752208A - 防止半连接攻击的方法及系统 - Google Patents
防止半连接攻击的方法及系统 Download PDFInfo
- Publication number
- CN102752208A CN102752208A CN2012102338973A CN201210233897A CN102752208A CN 102752208 A CN102752208 A CN 102752208A CN 2012102338973 A CN2012102338973 A CN 2012102338973A CN 201210233897 A CN201210233897 A CN 201210233897A CN 102752208 A CN102752208 A CN 102752208A
- Authority
- CN
- China
- Prior art keywords
- intranet
- maximum
- higher limit
- network equipment
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种防止半连接攻击的方法及系统,涉及网络通信技术领域,所述方法包括:获取网络设备所支持的最大连接数M,所述M为大于0的正整数;将所述网络设备的内网节点进行划分,并对划分结果分别设置第一最大连接上限值。本发明通过将所述网络设备的内网节点进行划分,并对划分结果分别设置第一最大连接上限值,使得在某个内网节点遭受半连接攻击时,不会导致网络设备的内存资源被耗尽。
Description
技术领域
本发明涉及网络通信技术领域,特别涉及一种防止半连接攻击的方法及系统。
背景技术
目前,网络设备大多以连接的方式对报文进行快速处理。例如防火墙通过ip(网络之间互连的协议,internet protocol)五元组将报文分成不同的连接(也可称为不同的流),对所有相同五元组的报文匹配到相同的连接上,做相同的处理流程。对于网络上的半连接攻击(例如,用户数据报协议udp或传输控制协议tcp等,只发送了请求报文而无回应报文的情况就叫做半连接攻击),此连接在网络设备上是有一定资源数限制的,大量的半连接会占用全局的半连接上限值,导致网络设备的内存耗尽,从而使得网络设备的系统崩溃。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何防止网络设备在遭受半连接攻击时,网络设备的内存资源被耗尽。
(二)技术方案
为解决上述技术问题,本发明提供了一种防止半连接攻击的方法,所述方法包括:
获取网络设备所支持的最大连接数M,所述M为大于0的正整数;
将所述网络设备的内网节点进行划分,并对划分结果分别设置第一最大连接上限值。
其中,将所述网络设备的内网节点按照所述内网节点的内网ip地址进行划分,所述第一最大连接上限值的取值范围满足下式,
其中,X为第一最大连接上限值,C为内网ip地址的总数。
其中,将所述网络设备的内网节点进行划分,并对划分结果分别设置第一最大连接上限值后,
当内网节点W的连接数达到设置的第一最大连接上限值时,不再允许所述内网节点W建立新的连接,所述内网节点W具有唯一的内网ip地址。
其中,将所述网络设备的内网节点按照所述内网节点所属的内网ip地址段进行划分,所述第一最大连接上限值的取值范围满足下式,
其中,Y为第一最大连接上限值,D为内网ip地址段的总数。
其中,将所述网络设备的内网节点进行划分,并对划分结果分别设置第一最大连接上限值后,
当内网ip地址段V的连接数达到设置的第一最大连接上限值时,不再允许所述内网ip地址段V内的内网节点建立新的连接。
其中,将所述内网ip地址段按照所述内网节点的内网ip地址进行再次划分,并对再次划分结果分别设置第二最大连接上限值,所述第二最大连接上限值的取值范围满足下式,
其中,Z为第二最大连接上限值,E为所述内网ip地址段中内网ip地址的总数。
其中,将所述内网ip地址段按照所述内网节点的内网ip地址进行再次划分,并对再次划分结果分别设置第二最大连接上限值后,
当内网ip地址段内的内网节点Q的连接数达到设置的第二最大连接上限值时,不再允许所述内网节点Q建立新的连接。
本发明还公开了一种防止半连接攻击的系统,所述系统包括:
连接数获取模块,用于获取网络设备所支持的最大连接数M,所述M为大于0的正整数;
划分设置模块,用于将所述网络设备的内网节点进行划分,并对划分结果分别设置第一最大连接上限值。
(三)有益效果
本发明通过将所述网络设备的内网节点进行划分,并对划分结果分别设置第一最大连接上限值,使得在某个内网节点遭受半连接攻击时,不会导致网络设备的内存资源被耗尽。
附图说明
图1是按照本发明一种实施方式的防止半连接攻击的方法的流程图;
图2是按照本发明一种实施方式的防止半连接攻击的系统的结构框图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
图1是按照本发明一种实施方式的防止半连接攻击的方法的流程图;参照图1,所述方法包括:
S101:获取网络设备(所述网络设备可为防火墙、路由器、交换机等设备)所支持的最大连接数M,所述M为大于0的正整数;
S102:将所述网络设备的内网节点进行划分,并对划分结果分别设置第一最大连接上限值。
本发明的划分方式可采用两种,一种是对内网ip地址进行划分,另一种是对内网ip地址段进行划分。
优选地,将所述网络设备的内网节点按照所述内网节点的内网ip地址进行划分时,所述第一最大连接上限值的取值范围满足下式,
其中,X为第一最大连接上限值,C为内网ip地址的总数;假设网络设备上支持最大连接数M为60万条,内网ip地址的总数为200个,则可将每个内网ip地址的第一最大连接上限值设为3000条,而由于内网ip地址一般浮动性较强,即总数变化较快,为了更好的利用所述网络设备,可将内网ip地址的第一最大连接上限值设为5000条。
优选地,将所述网络设备的内网节点进行划分,并对划分结果分别设置第一最大连接上限值后,
当内网节点W的连接数达到设置的第一最大连接上限值时,不再允许所述内网节点W建立新的连接,所述内网节点W具有唯一的内网ip地址。
优选地,将所述网络设备的内网节点按照所述内网节点所属的内网ip地址段进行划分时,所述第一最大连接上限值的取值范围满足下式,
其中,Y为第一最大连接上限值,D为内网ip地址段的总数;假设网络设备上支持最大连接数M为60万条,内网ip地址段的总数为20个,则可将每个内网ip地址段的第一最大连接上限值设为3万条,而由于内网ip地址一般浮动性较强,即总数变化较快,为了更好的利用所述网络设备,可将内网ip地址段的第一最大连接上限值设为5万条。
优选地,将所述网络设备的内网节点进行划分,并对划分结果分别设置第一最大连接上限值后,
当内网ip地址段V的连接数达到设置的第一最大连接上限值时,不再允许所述内网ip地址段V内的内网节点建立新的连接。
为进一步提高防止半攻击的效果,优选地,在对内网ip地址段进行划分后,还可将所述内网ip地址段按照所述内网节点的内网ip地址进行再次划分,并对再次划分结果分别设置第二最大连接上限值,所述第二最大连接上限值的取值范围满足下式,
其中,Z为第二最大连接上限值,E为所述内网ip地址段中内网ip地址的总数;假设内网ip地址段的第一最大连接上限值设为5万条,内网ip地址段内的内网节点的内网ip地址为20个,则可将内网ip地址段内每个内网ip地址的第二最大连接上限值设为2500条,而由于内网ip地址一般浮动性较强,即总数变化较快,为了更好的利用所述网络设备,可将每个内网ip地址的第二最大连接上限值设为3000条。
优选地,将所述内网ip地址段按照所述内网节点的内网ip地址进行再次划分,并对再次划分结果分别设置第二最大连接上限值后,
当内网ip地址段内的内网节点Q的连接数达到设置的第二最大连接上限值时,不再允许所述内网节点Q建立新的连接。
本发明还公开了一种防止半连接攻击的系统,参照图2,所述系统包括:
连接数获取模块201,用于获取网络设备所支持的最大连接数M,所述M为大于0的正整数;
划分设置模块202,用于将所述网络设备的内网节点进行划分,并对划分结果分别设置第一最大连接上限值。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (8)
1.一种防止半连接攻击的方法,其特征在于,所述方法包括:
获取网络设备所支持的最大连接数M,所述M为大于0的正整数;
将所述网络设备的内网节点进行划分,并对划分结果分别设置第一最大连接上限值。
2.如权利要求1所述的方法,其特征在于,将所述网络设备的内网节点按照所述内网节点的内网ip地址进行划分,所述第一最大连接上限值的取值范围满足下式,
其中,X为第一最大连接上限值,C为内网ip地址的总数。
3.如权利要求2所述的方法,其特征在于,将所述网络设备的内网节点进行划分,并对划分结果分别设置第一最大连接上限值后,
当内网节点W的连接数达到设置的第一最大连接上限值时,不再允许所述内网节点W建立新的连接,所述内网节点W具有唯一的内网ip地址。
4.如权利要求1所述的方法,其特征在于,将所述网络设备的内网节点按照所述内网节点所属的内网ip地址段进行划分,所述第一最大连接上限值的取值范围满足下式,
其中,Y为第一最大连接上限值,D为内网ip地址段的总数。
5.如权利要求4所述的方法,其特征在于,将所述网络设备的内网节点进行划分,并对划分结果分别设置第一最大连接上限值后,
当内网ip地址段V的连接数达到设置的第一最大连接上限值时,不再允许所述内网ip地址段V内的内网节点建立新的连接。
6.如权利要求4所述的方法,其特征在于,将所述内网ip地址段按照所述内网节点的内网ip地址进行再次划分,并对再次划分结果分别设置第二最大连接上限值,所述第二最大连接上限值的取值范围满足下式,
其中,Z为第二最大连接上限值,E为所述内网ip地址段中内网ip地址的总数。
7.如权利要求6所述的方法,其特征在于,将所述内网ip地址段按照所述内网节点的内网ip地址进行再次划分,并对再次划分结果分别设置第二最大连接上限值后,
当内网ip地址段内的内网节点Q的连接数达到设置的第二最大连接上限值时,不再允许所述内网节点Q建立新的连接。
8.一种防止半连接攻击的系统,其特征在于,所述系统包括:
连接数获取模块,用于获取网络设备所支持的最大连接数M,所述M为大于0的正整数;
划分设置模块,用于将所述网络设备的内网节点进行划分,并对划分结果分别设置第一最大连接上限值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210233897.3A CN102752208B (zh) | 2012-07-06 | 2012-07-06 | 防止半连接攻击的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210233897.3A CN102752208B (zh) | 2012-07-06 | 2012-07-06 | 防止半连接攻击的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102752208A true CN102752208A (zh) | 2012-10-24 |
| CN102752208B CN102752208B (zh) | 2015-12-02 |
Family
ID=47032112
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210233897.3A Expired - Fee Related CN102752208B (zh) | 2012-07-06 | 2012-07-06 | 防止半连接攻击的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102752208B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104202297A (zh) * | 2014-07-30 | 2014-12-10 | 杭州华三通信技术有限公司 | 一种动态地适应服务器性能的防攻击方法和设备 |
| WO2015043537A1 (en) * | 2013-09-29 | 2015-04-02 | Hangzhou H3C Technologies Co., Ltd. | Defending against flow attacks |
| CN104601542A (zh) * | 2014-12-05 | 2015-05-06 | 国云科技股份有限公司 | 一种适用于虚拟机的ddos主动防护方法 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111385363B (zh) * | 2020-03-17 | 2020-12-22 | 杭州优云科技有限公司 | 一种资源分配方法和资源分配装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6816910B1 (en) * | 2000-02-17 | 2004-11-09 | Netzentry, Inc. | Method and apparatus for limiting network connection resources |
| CN101969637A (zh) * | 2009-07-28 | 2011-02-09 | 华为技术有限公司 | 网络连接管理方法以及相关装置 |
| CN102281295A (zh) * | 2011-08-06 | 2011-12-14 | 黑龙江大学 | 一种缓解分布式拒绝服务攻击的方法 |
-
2012
- 2012-07-06 CN CN201210233897.3A patent/CN102752208B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6816910B1 (en) * | 2000-02-17 | 2004-11-09 | Netzentry, Inc. | Method and apparatus for limiting network connection resources |
| CN101969637A (zh) * | 2009-07-28 | 2011-02-09 | 华为技术有限公司 | 网络连接管理方法以及相关装置 |
| CN102281295A (zh) * | 2011-08-06 | 2011-12-14 | 黑龙江大学 | 一种缓解分布式拒绝服务攻击的方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015043537A1 (en) * | 2013-09-29 | 2015-04-02 | Hangzhou H3C Technologies Co., Ltd. | Defending against flow attacks |
| CN104202297A (zh) * | 2014-07-30 | 2014-12-10 | 杭州华三通信技术有限公司 | 一种动态地适应服务器性能的防攻击方法和设备 |
| CN104202297B (zh) * | 2014-07-30 | 2018-09-14 | 新华三技术有限公司 | 一种动态地适应服务器性能的防攻击方法和设备 |
| CN104601542A (zh) * | 2014-12-05 | 2015-05-06 | 国云科技股份有限公司 | 一种适用于虚拟机的ddos主动防护方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102752208B (zh) | 2015-12-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108322467B (zh) | 基于ovs的虚拟防火墙配置方法、电子设备及存储介质 | |
| CN102571587B (zh) | 报文转发方法和设备 | |
| EP2974147B1 (en) | Loop-free hybrid network | |
| MY160082A (en) | Method and apparatus for providing host node awareness for multiples nat64 environments | |
| CN103685009A (zh) | 数据包的处理方法、控制器及系统 | |
| ATE547860T1 (de) | Hierarchische verarbeitung und verbreitung von partiellen fehlern in einem paketnetzwerk | |
| CN106878343B (zh) | 一种云计算环境下提供网络安全即服务的系统 | |
| CN104486228A (zh) | 一种路由更新的方法及路由更新装置 | |
| CN104301238A (zh) | 一种报文处理方法、装置及系统 | |
| EP3148156A1 (en) | Sending method and apparatus and computer storage medium of notification message | |
| CN108718320B (zh) | 一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法 | |
| CN102752208A (zh) | 防止半连接攻击的方法及系统 | |
| WO2021135382A1 (zh) | 一种网络安全防护方法及防护设备 | |
| CN104333882A (zh) | 一种无线网络流量控制的方法 | |
| CN105592141A (zh) | 一种连接数控制方法及装置 | |
| CN105187312A (zh) | 批量终端设备进行网络通信方法、装置及路由器 | |
| CN102761485B (zh) | 网络设备处理连接的方法及系统 | |
| CN104065554A (zh) | 一种组网方法以及组网装置 | |
| CN105357332B (zh) | 一种网络地址转换方法及装置 | |
| CN102752304B (zh) | 防止半连接攻击的方法及系统 | |
| CN103532852A (zh) | 一种路由调度方法、装置及网络设备 | |
| CN108199965B (zh) | Flow spec表项下发方法、网络设备、控制器及自治系统 | |
| CN106411771A (zh) | 一种数据转发方法及系统 | |
| CN110995609A (zh) | 报文发送方法、装置、电子设备及存储介质 | |
| CN109617818B (zh) | 一种报文转发方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20151202 Termination date: 20180706 |