CN102752304B - 防止半连接攻击的方法及系统 - Google Patents
防止半连接攻击的方法及系统 Download PDFInfo
- Publication number
- CN102752304B CN102752304B CN201210233850.7A CN201210233850A CN102752304B CN 102752304 B CN102752304 B CN 102752304B CN 201210233850 A CN201210233850 A CN 201210233850A CN 102752304 B CN102752304 B CN 102752304B
- Authority
- CN
- China
- Prior art keywords
- network equipment
- physical interface
- connection
- described network
- higher limit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种防止半连接攻击的方法及系统,涉及网络通信技术领域,所述方法包括:获取网络设备所支持的最大连接数M,所述M为大于0的正整数;将所述网络设备的内网节点根据所连接的物理接口进行划分,并对划分结果分别设置最大连接上限值,所述物理接口为所述网络设备上的物理接口。本发明通过将所述网络设备的内网节点根据所连接的物理接口进行划分,并对划分结果分别设置最大连接上限值,使得在某个物理接口连接的内网节点遭受半连接攻击时,不会导致网络设备的内存资源被耗尽。
Description
技术领域
本发明涉及网络通信技术领域,特别涉及一种防止半连接攻击的方法及系统。
背景技术
目前,网络设备大多以连接的方式对报文进行快速处理。例如防火墙通过ip(网络之间互连的协议,internetprotocol)五元组将报文分成不同的连接(也可称为不同的流),对所有相同五元组的报文匹配到相同的连接上,做相同的处理流程。对于网络上的半连接攻击(例如,用户数据报协议udp或传输控制协议tcp等,只发送了请求报文而无回应报文的情况就叫做半连接攻击),此连接在网络设备上是有一定资源数限制的,大量的半连接会占用全局的半连接上限值,导致网络设备的内存耗尽,从而使得网络设备的系统崩溃。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何防止网络设备在遭受半连接攻击时,网络设备的内存资源被耗尽。
(二)技术方案
为解决上述技术问题,本发明提供了一种防止半连接攻击的方法,所述方法包括:
获取网络设备所支持的最大连接数M,所述M为大于0的正整数;
将所述网络设备的内网节点根据所连接的物理接口进行划分,并对划分结果分别设置最大连接上限值,所述物理接口为所述网络设备上的物理接口。
其中,所述最大连接上限值的取值范围满足下式,
其中,X为最大连接上限值,C为所述网络设备上的物理接口总数。
其中,所述最大连接上限值X的取值为
其中,将所述网络设备的内网节点根据所连接的物理接口进行划分之前,
判断所述网络设备上的物理接口是否遭受了半连接攻击,若是,则执行后续步骤。
其中,判断所述网络设备上的物理接口是否遭受了半连接攻击时,通过如下逻辑关系式(1)进行判断,若满足逻辑关系式(1),则判定所述网络设备上的物理接口遭受了半连接攻击,
其中,T为所述网络设备上的物理接口的数据流量,L为所述网络设备上的连接数,V为预设阈值。
本发明还公开了一种防止半连接攻击的系统,所述系统包括:
连接获取模块,用于获取网络设备所支持的最大连接数M,所述M为大于0的正整数;
上限划分模块,用于将所述网络设备的内网节点根据所连接的物理接口进行划分,并对划分结果分别设置最大连接上限值,所述物理接口为所述网络设备上的物理接口。
(三)有益效果
本发明通过将所述网络设备的内网节点根据所连接的物理接口进行划分,并对划分结果分别设置最大连接上限值,使得在某个物理接口连接的内网节点遭受半连接攻击时,不会导致网络设备的内存资源被耗尽。
附图说明
图1是按照本发明一种实施方式的防止半连接攻击的方法的流程图;
图2是按照本发明一种实施方式的防止半连接攻击的系统的结构框图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
图1是按照本发明一种实施方式的防止半连接攻击的方法的流程图;参照图1,所述方法包括:
S101:获取网络设备(所述网络设备可为防火墙、路由器、交换机等设备)所支持的最大连接数M,所述M为大于0的正整数;
S102:将所述网络设备的内网节点根据所连接的物理接口进行划分,并对划分结果分别设置最大连接上限值,所述物理接口为所述网络设备上的物理接口。
优选地,所述最大连接上限值的取值范围满足下式,
其中,X为最大连接上限值,C为所述网络设备上的物理接口总数;假设网络设备上支持最大连接数M为60万条,所述网络设备上的物理接口总数为8个,则可将每个物理接口的最大连接上限值设为75000~600000条,为了更好的利用所述网络设备,一般是将所述最大连接上限值X的取值为即最大连接上限值设为75000条。
优选地,步骤S102中将所述网络设备的内网节点根据所连接的物理接口进行划分之前,所述方法还包括以下步骤:
判断所述网络设备上的物理接口是否遭受了半连接攻击,若是,则执行后续步骤,否则按照现有的方式进行处理,即不进行最大连接上限值的设置。
优选地,判断所述网络设备上的物理接口是否遭受了半连接攻击时,通过如下逻辑关系式(1)进行判断,若满足逻辑关系式(1),则判定所述网络设备上的物理接口遭受了半连接攻击,
其中,T为所述网络设备上的物理接口的数据流量,L为所述网络设备上的连接数,V为预设阈值。
本发明还公开了一种防止半连接攻击的系统,参照图2,所述系统包括:
连接获取模块201,用于获取网络设备所支持的最大连接数M,所述M为大于0的正整数;
上限划分模块202,用于将所述网络设备的内网节点根据所连接的物理接口进行划分,并对划分结果分别设置最大连接上限值,所述物理接口为所述网络设备上的物理接口。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (5)
1.一种防止半连接攻击的方法,其特征在于,所述方法包括:
获取网络设备所支持的最大连接数M,所述M为大于0的正整数;
将所述网络设备的内网节点根据所连接的物理接口进行划分,并对划分结果分别设置最大连接上限值,所述物理接口为所述网络设备上的物理接口;
所述最大连接上限值的取值范围满足下式,
其中,X为最大连接上限值,C为所述网络设备上的物理接口总数。
2.如权利要求1所述的方法,其特征在于,所述最大连接上限值X的取值为
3.如权利要求1所述的方法,其特征在于,将所述网络设备的内网节点根据所连接的物理接口进行划分之前,
判断所述网络设备上的物理接口是否遭受了半连接攻击,若是,则执行后续步骤。
4.如权利要求3所述的方法,其特征在于,判断所述网络设备上的物理接口是否遭受了半连接攻击时,通过如下逻辑关系式(1)进行判断,若满足逻辑关系式(1),则判定所述网络设备上的物理接口遭受了半连接攻击,
其中,T为所述网络设备上的物理接口的数据流量,L为所述网络设备上的连接数,V为预设阈值。
5.一种防止半连接攻击的系统,其特征在于,所述系统包括:
连接获取模块,用于获取网络设备所支持的最大连接数M,所述M为大于0的正整数;
上限划分模块,用于将所述网络设备的内网节点根据所连接的物理接口进行划分,并对划分结果分别设置最大连接上限值,所述物理接口为所述网络设备上的物理接口;
所述最大连接上限值的取值范围满足下式,
其中,X为最大连接上限值,C为所述网络设备上的物理接口总数。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210233850.7A CN102752304B (zh) | 2012-07-06 | 2012-07-06 | 防止半连接攻击的方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210233850.7A CN102752304B (zh) | 2012-07-06 | 2012-07-06 | 防止半连接攻击的方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102752304A CN102752304A (zh) | 2012-10-24 |
CN102752304B true CN102752304B (zh) | 2015-11-18 |
Family
ID=47032204
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210233850.7A Expired - Fee Related CN102752304B (zh) | 2012-07-06 | 2012-07-06 | 防止半连接攻击的方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102752304B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104202297B (zh) * | 2014-07-30 | 2018-09-14 | 新华三技术有限公司 | 一种动态地适应服务器性能的防攻击方法和设备 |
CN110336824B (zh) * | 2019-07-10 | 2021-12-03 | 中国民航信息网络股份有限公司 | 一种弱口令检测方法、检测控制设备及弱口令检测系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101299765A (zh) * | 2008-06-19 | 2008-11-05 | 中兴通讯股份有限公司 | 抵御ddos攻击的方法 |
CN101547198A (zh) * | 2009-01-22 | 2009-09-30 | 联想网御科技(北京)有限公司 | 一种网络安全设备的连接控制方法及设备 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7301899B2 (en) * | 2001-01-31 | 2007-11-27 | Comverse Ltd. | Prevention of bandwidth congestion in a denial of service or other internet-based attack |
-
2012
- 2012-07-06 CN CN201210233850.7A patent/CN102752304B/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101299765A (zh) * | 2008-06-19 | 2008-11-05 | 中兴通讯股份有限公司 | 抵御ddos攻击的方法 |
CN101547198A (zh) * | 2009-01-22 | 2009-09-30 | 联想网御科技(北京)有限公司 | 一种网络安全设备的连接控制方法及设备 |
Non-Patent Citations (2)
Title |
---|
DDoS攻击原理剖析和防御策略;梁成国;《广西大学学报(自然科学版)》;20060630;第31卷;第296-299页 * |
计算机园区网络安全解决方案;朱艳红等;《兵工自动化》;20070415;第26卷(第4期);第53-55页 * |
Also Published As
Publication number | Publication date |
---|---|
CN102752304A (zh) | 2012-10-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9967201B2 (en) | Data transmission method, core forwarding device, and endpoint forwarding device | |
CN105072670B (zh) | WiFi热点的共享方法和电子设备 | |
CN103561048A (zh) | 一种确定tcp端口扫描的方法及装置 | |
CN106330742B (zh) | 一种流量控制的方法及网络控制器 | |
ATE547860T1 (de) | Hierarchische verarbeitung und verbreitung von partiellen fehlern in einem paketnetzwerk | |
CN103152341A (zh) | 一种虚实结合的网络安全态势感知仿真方法及系统 | |
US20100262679A1 (en) | Method and system for checking automatically connectivity status of an ip link on ip network | |
CN102752208B (zh) | 防止半连接攻击的方法及系统 | |
CN104333882A (zh) | 一种无线网络流量控制的方法 | |
CN107968848B (zh) | 一种获取ip地址的方法、终端设备及存储介质 | |
CN102752304B (zh) | 防止半连接攻击的方法及系统 | |
CN105337895A (zh) | 一种网络设备主机单元、网络设备子卡以及网络设备 | |
CN105210398A (zh) | 资源处理方法和资源处理装置 | |
CN102761485B (zh) | 网络设备处理连接的方法及系统 | |
CN104486187B (zh) | 一种动态同步的can通讯设备和方法 | |
CN103905407A (zh) | 一种防火墙访问控制策略的分析方法及装置 | |
CA3075193A1 (en) | Sequence-based signal processing method and apparatus | |
JP5091975B2 (ja) | 情報処理装置及び情報処理システム | |
CN103973598A (zh) | 实现网关QoS保障的动态带宽调整系统及方法 | |
EP2498565A1 (en) | Channel occupying method, mobile AP and external STA | |
US9705742B2 (en) | Method and apparatus for enabling M2M service and H2H service to coexist | |
US10419939B2 (en) | Resource partition aggregating method and device | |
CN104410643A (zh) | 一种sdn控制器基于统计值的防攻击方法 | |
CN104394599A (zh) | 一种应用于m2m网络的csma/ca协议的设计方法 | |
CN108900477B (zh) | 一种基于网关抑制外部网络干扰的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20151118 Termination date: 20180706 |