CN102752304A - 防止半连接攻击的方法及系统 - Google Patents

防止半连接攻击的方法及系统 Download PDF

Info

Publication number
CN102752304A
CN102752304A CN2012102338507A CN201210233850A CN102752304A CN 102752304 A CN102752304 A CN 102752304A CN 2012102338507 A CN2012102338507 A CN 2012102338507A CN 201210233850 A CN201210233850 A CN 201210233850A CN 102752304 A CN102752304 A CN 102752304A
Authority
CN
China
Prior art keywords
network equipment
physical interface
connects
maximum
higher limit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2012102338507A
Other languages
English (en)
Other versions
CN102752304B (zh
Inventor
陈海滨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Opzoon Technology Co Ltd
Original Assignee
Opzoon Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Opzoon Technology Co Ltd filed Critical Opzoon Technology Co Ltd
Priority to CN201210233850.7A priority Critical patent/CN102752304B/zh
Publication of CN102752304A publication Critical patent/CN102752304A/zh
Application granted granted Critical
Publication of CN102752304B publication Critical patent/CN102752304B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种防止半连接攻击的方法及系统,涉及网络通信技术领域,所述方法包括:获取网络设备所支持的最大连接数M,所述M为大于0的正整数;将所述网络设备的内网节点根据所连接的物理接口进行划分,并对划分结果分别设置最大连接上限值,所述物理接口为所述网络设备上的物理接口。本发明通过将所述网络设备的内网节点根据所连接的物理接口进行划分,并对划分结果分别设置最大连接上限值,使得在某个物理接口连接的内网节点遭受半连接攻击时,不会导致网络设备的内存资源被耗尽。

Description

防止半连接攻击的方法及系统
技术领域
本发明涉及网络通信技术领域,特别涉及一种防止半连接攻击的方法及系统。
背景技术
目前,网络设备大多以连接的方式对报文进行快速处理。例如防火墙通过ip(网络之间互连的协议,internet protocol)五元组将报文分成不同的连接(也可称为不同的流),对所有相同五元组的报文匹配到相同的连接上,做相同的处理流程。对于网络上的半连接攻击(例如,用户数据报协议udp或传输控制协议tcp等,只发送了请求报文而无回应报文的情况就叫做半连接攻击),此连接在网络设备上是有一定资源数限制的,大量的半连接会占用全局的半连接上限值,导致网络设备的内存耗尽,从而使得网络设备的系统崩溃。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何防止网络设备在遭受半连接攻击时,网络设备的内存资源被耗尽。
(二)技术方案
为解决上述技术问题,本发明提供了一种防止半连接攻击的方法,所述方法包括:
获取网络设备所支持的最大连接数M,所述M为大于0的正整数;
将所述网络设备的内网节点根据所连接的物理接口进行划分,并对划分结果分别设置最大连接上限值,所述物理接口为所述网络设备上的物理接口。
其中,所述最大连接上限值的取值范围满足下式,
M C &le; X < M
其中,X为最大连接上限值,C为所述网络设备上的物理接口总数。
其中,所述最大连接上限值X的取值为
Figure BDA00001860786400022
其中,将所述网络设备的内网节点根据所连接的物理接口进行划分之前,
判断所述网络设备上的物理接口是否遭受了半连接攻击,若是,则执行后续步骤。
其中,判断所述网络设备上的物理接口是否遭受了半连接攻击时,通过如下逻辑关系式(1)进行判断,若满足逻辑关系式(1),则判定所述网络设备上的物理接口遭受了半连接攻击,
T L &le; V - - - ( 1 )
其中,T为所述网络设备上的物理接口的数据流量,L为所述网络设备上的连接数,V为预设阈值。
本发明还公开了一种防止半连接攻击的系统,所述系统包括:
连接获取模块,用于获取网络设备所支持的最大连接数M,所述M为大于0的正整数;
上限划分模块,用于将所述网络设备的内网节点根据所连接的物理接口进行划分,并对划分结果分别设置最大连接上限值,所述物理接口为所述网络设备上的物理接口。
(三)有益效果
本发明通过将所述网络设备的内网节点根据所连接的物理接口进行划分,并对划分结果分别设置最大连接上限值,使得在某个物理接口连接的内网节点遭受半连接攻击时,不会导致网络设备的内存资源被耗尽。
附图说明
图1是按照本发明一种实施方式的防止半连接攻击的方法的流程图;
图2是按照本发明一种实施方式的防止半连接攻击的系统的结构框图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
图1是按照本发明一种实施方式的防止半连接攻击的方法的流程图;参照图1,所述方法包括:
S101:获取网络设备(所述网络设备可为防火墙、路由器、交换机等设备)所支持的最大连接数M,所述M为大于0的正整数;
S102:将所述网络设备的内网节点根据所连接的物理接口进行划分,并对划分结果分别设置最大连接上限值,所述物理接口为所述网络设备上的物理接口。
优选地,所述最大连接上限值的取值范围满足下式,
M C &le; X < M
其中,X为最大连接上限值,C为所述网络设备上的物理接口总数;假设网络设备上支持最大连接数M为60万条,所述网络设备上的物理接口总数为8个,则可将每个物理接口的最大连接上限值设为75000~600000条,为了更好的利用所述网络设备,一般是将所述最大连接上限值X的取值为
Figure BDA00001860786400032
即最大连接上限值设为75000条。
优选地,步骤S102中将所述网络设备的内网节点根据所连接的物理接口进行划分之前,所述方法还包括以下步骤:
判断所述网络设备上的物理接口是否遭受了半连接攻击,若是,则执行后续步骤,否则按照现有的方式进行处理,即不进行最大连接上限值的设置。
优选地,判断所述网络设备上的物理接口是否遭受了半连接攻击时,通过如下逻辑关系式(1)进行判断,若满足逻辑关系式(1),则判定所述网络设备上的物理接口遭受了半连接攻击,
T L &le; V - - - ( 1 )
其中,T为所述网络设备上的物理接口的数据流量,L为所述网络设备上的连接数,V为预设阈值。
本发明还公开了一种防止半连接攻击的系统,参照图2,所述系统包括:
连接获取模块201,用于获取网络设备所支持的最大连接数M,所述M为大于0的正整数;
上限划分模块202,用于将所述网络设备的内网节点根据所连接的物理接口进行划分,并对划分结果分别设置最大连接上限值,所述物理接口为所述网络设备上的物理接口。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。

Claims (6)

1.一种防止半连接攻击的方法,其特征在于,所述方法包括:
获取网络设备所支持的最大连接数M,所述M为大于0的正整数;
将所述网络设备的内网节点根据所连接的物理接口进行划分,并对划分结果分别设置最大连接上限值,所述物理接口为所述网络设备上的物理接口。
2.如权利要求1所述的方法,其特征在于,所述最大连接上限值的取值范围满足下式,
M C &le; X < M
其中,X为最大连接上限值,C为所述网络设备上的物理接口总数。
3.如权利要求2所述的方法,其特征在于,所述最大连接上限值X的取值为
Figure FDA00001860786300012
4.如权利要求1所述的方法,其特征在于,将所述网络设备的内网节点根据所连接的物理接口进行划分之前,
判断所述网络设备上的物理接口是否遭受了半连接攻击,若是,则执行后续步骤。
5.如权利要求4所述的方法,其特征在于,判断所述网络设备上的物理接口是否遭受了半连接攻击时,通过如下逻辑关系式(1)进行判断,若满足逻辑关系式(1),则判定所述网络设备上的物理接口遭受了半连接攻击,
T L &le; V - - - ( 1 )
其中,T为所述网络设备上的物理接口的数据流量,L为所述网络设备上的连接数,V为预设阈值。
6.一种防止半连接攻击的系统,其特征在于,所述系统包括:
连接获取模块,用于获取网络设备所支持的最大连接数M,所述M为大于0的正整数;
上限划分模块,用于将所述网络设备的内网节点根据所连接的物理接口进行划分,并对划分结果分别设置最大连接上限值,所述物理接口为所述网络设备上的物理接口。
CN201210233850.7A 2012-07-06 2012-07-06 防止半连接攻击的方法及系统 Expired - Fee Related CN102752304B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210233850.7A CN102752304B (zh) 2012-07-06 2012-07-06 防止半连接攻击的方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210233850.7A CN102752304B (zh) 2012-07-06 2012-07-06 防止半连接攻击的方法及系统

Publications (2)

Publication Number Publication Date
CN102752304A true CN102752304A (zh) 2012-10-24
CN102752304B CN102752304B (zh) 2015-11-18

Family

ID=47032204

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210233850.7A Expired - Fee Related CN102752304B (zh) 2012-07-06 2012-07-06 防止半连接攻击的方法及系统

Country Status (1)

Country Link
CN (1) CN102752304B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104202297A (zh) * 2014-07-30 2014-12-10 杭州华三通信技术有限公司 一种动态地适应服务器性能的防攻击方法和设备
CN110336824A (zh) * 2019-07-10 2019-10-15 中国民航信息网络股份有限公司 一种弱口令检测方法、检测控制设备及弱口令检测系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020101819A1 (en) * 2001-01-31 2002-08-01 Goldstone Jonathan S. Prevention of bandwidth congestion in a denial of service or other internet-based attack
CN101299765A (zh) * 2008-06-19 2008-11-05 中兴通讯股份有限公司 抵御ddos攻击的方法
CN101547198A (zh) * 2009-01-22 2009-09-30 联想网御科技(北京)有限公司 一种网络安全设备的连接控制方法及设备

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020101819A1 (en) * 2001-01-31 2002-08-01 Goldstone Jonathan S. Prevention of bandwidth congestion in a denial of service or other internet-based attack
CN101299765A (zh) * 2008-06-19 2008-11-05 中兴通讯股份有限公司 抵御ddos攻击的方法
CN101547198A (zh) * 2009-01-22 2009-09-30 联想网御科技(北京)有限公司 一种网络安全设备的连接控制方法及设备

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
朱艳红等: "计算机园区网络安全解决方案", 《兵工自动化》 *
梁成国: "DDoS攻击原理剖析和防御策略", 《广西大学学报(自然科学版)》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104202297A (zh) * 2014-07-30 2014-12-10 杭州华三通信技术有限公司 一种动态地适应服务器性能的防攻击方法和设备
CN104202297B (zh) * 2014-07-30 2018-09-14 新华三技术有限公司 一种动态地适应服务器性能的防攻击方法和设备
CN110336824A (zh) * 2019-07-10 2019-10-15 中国民航信息网络股份有限公司 一种弱口令检测方法、检测控制设备及弱口令检测系统
CN110336824B (zh) * 2019-07-10 2021-12-03 中国民航信息网络股份有限公司 一种弱口令检测方法、检测控制设备及弱口令检测系统

Also Published As

Publication number Publication date
CN102752304B (zh) 2015-11-18

Similar Documents

Publication Publication Date Title
KR102424658B1 (ko) 디폴트 서비스 품질(QoS) 제어 방법 및 장치
CN105072670B (zh) WiFi热点的共享方法和电子设备
KR20090031778A (ko) 무선 통신 시스템에서 정책 실행을 위한 방법 및 장치
US10321482B2 (en) Method and device for processing carrier resource of unlicensed carrier and transmission node
CN106330742B (zh) 一种流量控制的方法及网络控制器
CN108768667B (zh) 一种用于多核处理器片内核间网络通信的方法
US20150230074A1 (en) Charging Control Method, Device, and System for Data Service of Roaming Subscriber
CN111355686B (zh) 泛洪攻击的防御方法、装置、系统和存储介质
CN104333882A (zh) 一种无线网络流量控制的方法
CN107968848B (zh) 一种获取ip地址的方法、终端设备及存储介质
CN106330762A (zh) 交换机加速处理数据的方法、cpu核和交换机
Boujnoui et al. Mathematical Model based on Game Theory and Markov Chains for Analysing the Transmission Cost in SA-ZD Mechanism.
CN105337895A (zh) 一种网络设备主机单元、网络设备子卡以及网络设备
CN102752208A (zh) 防止半连接攻击的方法及系统
KR20120121668A (ko) 네트워크 기반 고성능 유해사이트 차단 시스템 및 방법
CN107948104A (zh) 一种网络地址转换环境中报文转发的方法及交换设备
CN112838989A (zh) 一种数据流管理方法、网络设备及存储介质
CN102752304A (zh) 防止半连接攻击的方法及系统
CN115914164A (zh) 一种隧道连接方法、装置、电子设备和存储介质
CN108650237A (zh) 一种基于存活时间的报文安全检查方法及系统
JP5091975B2 (ja) 情報処理装置及び情報処理システム
CN114567481B (zh) 一种数据传输方法、装置、电子设备及存储介质
CN115915098A (zh) 一种5g与tsn跨域ptp中bmca实现方法
CN109617818B (zh) 一种报文转发方法及装置
CN103595631A (zh) 一种路径建立的方法和装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20151118

Termination date: 20180706