CN102752208B - 防止半连接攻击的方法及系统 - Google Patents

防止半连接攻击的方法及系统 Download PDF

Info

Publication number
CN102752208B
CN102752208B CN201210233897.3A CN201210233897A CN102752208B CN 102752208 B CN102752208 B CN 102752208B CN 201210233897 A CN201210233897 A CN 201210233897A CN 102752208 B CN102752208 B CN 102752208B
Authority
CN
China
Prior art keywords
intranet
higher limit
node
network equipment
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201210233897.3A
Other languages
English (en)
Other versions
CN102752208A (zh
Inventor
陈海滨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Opzoon Technology Co Ltd
Original Assignee
Opzoon Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Opzoon Technology Co Ltd filed Critical Opzoon Technology Co Ltd
Priority to CN201210233897.3A priority Critical patent/CN102752208B/zh
Publication of CN102752208A publication Critical patent/CN102752208A/zh
Application granted granted Critical
Publication of CN102752208B publication Critical patent/CN102752208B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明公开了一种防止半连接攻击的方法及系统,涉及网络通信技术领域,所述方法包括:获取网络设备所支持的最大连接数M,所述M为大于0的正整数;将所述网络设备的内网节点进行划分,并对划分结果分别设置最大连接上限值。本发明通过将所述网络设备的内网节点进行划分,并对划分结果分别设置最大连接上限值,使得在某个内网节点遭受半连接攻击时,不会导致网络设备的内存资源被耗尽。

Description

防止半连接攻击的方法及系统
技术领域
本发明涉及网络通信技术领域,特别涉及一种防止半连接攻击的方法及系统。
背景技术
目前,网络设备大多以连接的方式对报文进行快速处理。例如防火墙通过ip(网络之间互连的协议,internetprotocol)五元组将报文分成不同的连接(也可称为不同的流),对所有相同五元组的报文匹配到相同的连接上,做相同的处理流程。对于网络上的半连接攻击(例如,用户数据报协议udp或传输控制协议tcp等,只发送了请求报文而无回应报文的情况就叫做半连接攻击),此连接在网络设备上是有一定资源数限制的,大量的半连接会占用全局的半连接上限值,导致网络设备的内存耗尽,从而使得网络设备的系统崩溃。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何防止网络设备在遭受半连接攻击时,网络设备的内存资源被耗尽。
(二)技术方案
为解决上述技术问题,本发明提供了一种防止半连接攻击的方法,所述方法包括:
获取网络设备所支持的最大连接数M,所述M为大于0的正整数;
将所述网络设备的内网节点进行划分,并对划分结果分别设置最大连接上限值。
其中,将所述网络设备的内网节点按照所述内网节点的内网ip地址进行划分,所述最大连接上限值的取值范围满足下式,
M C &le; X < M
其中,X为第一最大连接上限值,C为内网ip地址的总数。
其中,将所述网络设备的内网节点进行划分,并对划分结果分别设置第一最大连接上限值后,
当内网节点W的连接数达到设置的第一最大连接上限值时,不再允许所述内网节点W建立新的连接,所述内网节点W具有唯一的内网ip地址。
其中,将所述网络设备的内网节点按照所述内网节点所属的内网ip地址段进行划分,所述最大连接上限值的取值范围满足下式,
M D &le; Y < M
其中,Y为第二最大连接上限值,D为内网ip地址段的总数。
其中,将所述网络设备的内网节点进行划分,并对划分结果分别设置第二最大连接上限值后,
当内网ip地址段V的连接数达到设置的第二最大连接上限值时,不再允许所述内网ip地址段V内的内网节点建立新的连接。
其中,将所述内网ip地址段按照所述内网节点的内网ip地址进行再次划分,并对再次划分结果分别设置最大连接上限值,所述最大连接上限值的取值范围满足下式,
Y E &le; Z < Y
其中,Z为第三最大连接上限值,E为所述内网ip地址段中内网ip地址的总数。
其中,将所述内网ip地址段按照所述内网节点的内网ip地址进行再次划分,并对再次划分结果分别设置第三最大连接上限值后,
当内网ip地址段内的内网节点Q的连接数达到设置的第三最大连接上限值时,不再允许所述内网节点Q建立新的连接。
本发明还公开了一种防止半连接攻击的系统,所述系统包括:
连接数获取模块,用于获取网络设备所支持的最大连接数M,所述M为大于0的正整数;
划分设置模块,用于将所述网络设备的内网节点进行划分,并对划分结果分别设置最大连接上限值。
(三)有益效果
本发明通过将所述网络设备的内网节点进行划分,并对划分结果分别设置最大连接上限值,使得在某个内网节点遭受半连接攻击时,不会导致网络设备的内存资源被耗尽。
附图说明
图1是按照本发明一种实施方式的防止半连接攻击的方法的流程图;
图2是按照本发明一种实施方式的防止半连接攻击的系统的结构框图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
图1是按照本发明一种实施方式的防止半连接攻击的方法的流程图;参照图1,所述方法包括:
S101:获取网络设备(所述网络设备可为防火墙、路由器、交换机等设备)所支持的最大连接数M,所述M为大于0的正整数;
S102:将所述网络设备的内网节点进行划分,并对划分结果分别设置最大连接上限值。
本发明的划分方式可采用两种,一种是对内网ip地址进行划分,另一种是对内网ip地址段进行划分。
优选地,将所述网络设备的内网节点按照所述内网节点的内网ip地址进行划分时,所述最大连接上限值的取值范围满足下式,
M C &le; X < M
其中,X为第一最大连接上限值,C为内网ip地址的总数;假设网络设备上支持最大连接数M为60万条,内网ip地址的总数为200个,则可将每个内网ip地址的第一最大连接上限值设为3000条,而由于内网ip地址一般浮动性较强,即总数变化较快,为了更好的利用所述网络设备,可将内网ip地址的第一最大连接上限值设为5000条。
优选地,将所述网络设备的内网节点进行划分,并对划分结果分别设置第一最大连接上限值后,
当内网节点W的连接数达到设置的第一最大连接上限值时,不再允许所述内网节点W建立新的连接,所述内网节点W具有唯一的内网ip地址。
优选地,将所述网络设备的内网节点按照所述内网节点所属的内网ip地址段进行划分时,所述最大连接上限值的取值范围满足下式,
M D &le; Y < M
其中,Y为第二最大连接上限值,D为内网ip地址段的总数;假设网络设备上支持最大连接数M为60万条,内网ip地址段的总数为20个,则可将每个内网ip地址段的第二最大连接上限值设为3万条,而由于内网ip地址一般浮动性较强,即总数变化较快,为了更好的利用所述网络设备,可将内网ip地址段的第二最大连接上限值设为5万条。
优选地,将所述网络设备的内网节点进行划分,并对划分结果分别设置第二最大连接上限值后,
当内网ip地址段V的连接数达到设置的第二最大连接上限值时,不再允许所述内网ip地址段V内的内网节点建立新的连接。
为进一步提高防止半攻击的效果,优选地,在对内网ip地址段进行划分后,还可将所述内网ip地址段按照所述内网节点的内网ip地址进行再次划分,并对再次划分结果分别设置最大连接上限值,所述最大连接上限值的取值范围满足下式,
Y E &le; Z < Y
其中,Z为第三最大连接上限值,E为所述内网ip地址段中内网ip地址的总数;假设内网ip地址段的第二最大连接上限值设为5万条,内网ip地址段内的内网节点的内网ip地址为20个,则可将内网ip地址段内每个内网ip地址的第三最大连接上限值设为2500条,而由于内网ip地址一般浮动性较强,即总数变化较快,为了更好的利用所述网络设备,可将每个内网ip地址的第三最大连接上限值设为3000条。
优选地,将所述内网ip地址段按照所述内网节点的内网ip地址进行再次划分,并对再次划分结果分别设置第三最大连接上限值后,
当内网ip地址段内的内网节点Q的连接数达到设置的第三最大连接上限值时,不再允许所述内网节点Q建立新的连接。
本发明还公开了一种防止半连接攻击的系统,参照图2,所述系统包括:
连接数获取模块201,用于获取网络设备所支持的最大连接数M,所述M为大于0的正整数;
划分设置模块202,用于将所述网络设备的内网节点进行划分,并对划分结果分别设置最大连接上限值。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。

Claims (7)

1.一种防止半连接攻击的方法,其特征在于,所述方法包括:
获取网络设备所支持的最大连接数M,所述M为大于0的正整数;
将所述网络设备的内网节点进行划分,并对划分结果分别设置最大连接上限值;
将所述网络设备的内网节点按照所述内网节点的内网ip地址进行划分,所述最大连接上限值的取值范围满足下式,
M C &le; X < M
其中,X为第一最大连接上限值,C为内网ip地址的总数。
2.如权利要求1所述的方法,其特征在于,将所述网络设备的内网节点进行划分,并对划分结果分别设置第一最大连接上限值后,
当内网节点W的连接数达到设置的第一最大连接上限值时,不再允许所述内网节点W建立新的连接,所述内网节点W具有唯一的内网ip地址。
3.如权利要求1所述的方法,其特征在于,将所述网络设备的内网节点按照所述内网节点所属的内网ip地址段进行划分,所述最大连接上限值的取值范围满足下式,
M D &le; Y < M
其中,Y为第二最大连接上限值,D为内网ip地址段的总数。
4.如权利要求3所述的方法,其特征在于,将所述网络设备的内网节点进行划分,并对划分结果分别设置第二最大连接上限值后,
当内网ip地址段V的连接数达到设置的第二最大连接上限值时,不再允许所述内网ip地址段V内的内网节点建立新的连接。
5.如权利要求3所述的方法,其特征在于,将所述内网ip地址段按照所述内网节点的内网ip地址进行再次划分,并对再次划分结果分别设置最大连接上限值,所述最大连接上限值的取值范围满足下式,
Y E &le; Z < Y
其中,Z为第三最大连接上限值,E为所述内网ip地址段中内网ip地址的总数。
6.如权利要求5所述的方法,其特征在于,将所述内网ip地址段按照所述内网节点的内网ip地址进行再次划分,并对再次划分结果分别设置第三最大连接上限值后,
当内网ip地址段内的内网节点Q的连接数达到设置的第三最大连接上限值时,不再允许所述内网节点Q建立新的连接。
7.一种防止半连接攻击的系统,其特征在于,所述系统包括:
连接数获取模块,用于获取网络设备所支持的最大连接数M,所述M为大于0的正整数;
划分设置模块,用于将所述网络设备的内网节点进行划分,并对划分结果分别设置最大连接上限值;
将所述网络设备的内网节点按照所述内网节点的内网ip地址进行划分,所述最大连接上限值的取值范围满足下式,
M C &le; X < M
其中,X为第一最大连接上限值,C为内网ip地址的总数。
CN201210233897.3A 2012-07-06 2012-07-06 防止半连接攻击的方法及系统 Expired - Fee Related CN102752208B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210233897.3A CN102752208B (zh) 2012-07-06 2012-07-06 防止半连接攻击的方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210233897.3A CN102752208B (zh) 2012-07-06 2012-07-06 防止半连接攻击的方法及系统

Publications (2)

Publication Number Publication Date
CN102752208A CN102752208A (zh) 2012-10-24
CN102752208B true CN102752208B (zh) 2015-12-02

Family

ID=47032112

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210233897.3A Expired - Fee Related CN102752208B (zh) 2012-07-06 2012-07-06 防止半连接攻击的方法及系统

Country Status (1)

Country Link
CN (1) CN102752208B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111385363A (zh) * 2020-03-17 2020-07-07 杭州圆石网络安全技术有限公司 一种资源分配方法和资源分配装置

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104519021B (zh) * 2013-09-29 2018-07-20 新华三技术有限公司 防止恶意流量攻击的方法及装置
CN104202297B (zh) * 2014-07-30 2018-09-14 新华三技术有限公司 一种动态地适应服务器性能的防攻击方法和设备
CN104601542A (zh) * 2014-12-05 2015-05-06 国云科技股份有限公司 一种适用于虚拟机的ddos主动防护方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6816910B1 (en) * 2000-02-17 2004-11-09 Netzentry, Inc. Method and apparatus for limiting network connection resources
CN101969637A (zh) * 2009-07-28 2011-02-09 华为技术有限公司 网络连接管理方法以及相关装置
CN102281295B (zh) * 2011-08-06 2015-01-21 黑龙江大学 一种缓解分布式拒绝服务攻击的方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6816910B1 (en) * 2000-02-17 2004-11-09 Netzentry, Inc. Method and apparatus for limiting network connection resources
CN101969637A (zh) * 2009-07-28 2011-02-09 华为技术有限公司 网络连接管理方法以及相关装置
CN102281295B (zh) * 2011-08-06 2015-01-21 黑龙江大学 一种缓解分布式拒绝服务攻击的方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111385363A (zh) * 2020-03-17 2020-07-07 杭州圆石网络安全技术有限公司 一种资源分配方法和资源分配装置
CN111385363B (zh) * 2020-03-17 2020-12-22 杭州优云科技有限公司 一种资源分配方法和资源分配装置

Also Published As

Publication number Publication date
CN102752208A (zh) 2012-10-24

Similar Documents

Publication Publication Date Title
MY160082A (en) Method and apparatus for providing host node awareness for multiples nat64 environments
CN102752208B (zh) 防止半连接攻击的方法及系统
CN103200190B (zh) 一种面向QualNet网络半实物仿真的实物接入方法
WO2014209901A3 (en) Efficient communication for devices of a home network
EP3073688A1 (en) Data transmission method, core forwarding device and end point forwarding device
US9917766B2 (en) Loop-free hybrid network
ATE547860T1 (de) Hierarchische verarbeitung und verbreitung von partiellen fehlern in einem paketnetzwerk
CN106789425B (zh) 一种确定重复报文的方法及装置
CN104618375B (zh) 一种网络设备的发现方法及装置
CN103336684B (zh) 一种并发处理ap消息的ac及其处理方法
CN108718320B (zh) 一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法
EP2852110A3 (en) Method and apparatus for service control on access node
WO2013005996A3 (ko) 고정 호스트 주소에 기반하여 복수의 이종망들을 선택적으로 사용하여 데이터 송수신할 수 있게 하는 장치와 이를 위한 방법
CN105681490B (zh) 一种基于软件定义网络的防ip地址冲突方法
CN103428185B (zh) 报文过滤/限速方法、系统及装置
CN106302182A (zh) 基于sdn的主机发现方法及系统
CN106027459A (zh) 一种访问控制列表的查询方法及装置
CN101631148A (zh) 串行通信协议中地址动态分配的通信方法
CN104363084A (zh) 一种链路状态同步方法及装置
CN105187312A (zh) 批量终端设备进行网络通信方法、装置及路由器
CN105589749A (zh) 云计算环境下的网络ip资源分配方法及装置
EP2381652A3 (en) A method and device for network address configuration
CN102752304B (zh) 防止半连接攻击的方法及系统
CN102761485B (zh) 网络设备处理连接的方法及系统
CN103532852B (zh) 一种路由调度方法、装置及网络设备

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20151202

Termination date: 20180706