CN106170015A - 一种限制并发会话数的方法及装置 - Google Patents
一种限制并发会话数的方法及装置 Download PDFInfo
- Publication number
- CN106170015A CN106170015A CN201610602546.3A CN201610602546A CN106170015A CN 106170015 A CN106170015 A CN 106170015A CN 201610602546 A CN201610602546 A CN 201610602546A CN 106170015 A CN106170015 A CN 106170015A
- Authority
- CN
- China
- Prior art keywords
- address
- session number
- statistical variable
- session
- information group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/143—Termination or inactivation of sessions, e.g. event-controlled end of session
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种限制并发会话数的方法及装置,该方法可以包括:根据接收到报文的源IP地址,确定与所述源IP地址对应的信息组;根据所述源IP地址与所述IP地址范围之间的相对数值关系,从对应的信息组中获取相应的会话数统计变量;当所述会话数统计变量不大于第一预设数值时,丢弃所述报文。通过本申请的技术方案,将信息组中每个会话数统计变量在该信息组内的相对位置,和每个IP地址与IP地址范围之间的相对数值关系对应起来,使得网络中间设备不需要根据接收到报文的源IP地址计算哈希值,即可完成对会话数统计变量的匹配,从而极大地提升了对会话数统计变量的匹配效率、降低了对网络中间设备的处理资源占用。
Description
技术领域
本申请涉及网络通信技术领域,尤其涉及一种限制并发会话数的方法及装置。
背景技术
在实际的网络环境中,例如由僵尸网络建立的大量会话,导致当前执行的会话数超过节点设备所能同时正常处理的最多会话数,从而该节点设备由于会话过载,无法正常工作。
在现有技术中,多采用哈希算法来匹配某个节点设备当前处理的会话数。网络中间设备根据接收到报文的源IP地址,计算哈希值来匹配哈希节点,当匹配到的哈希节点上的会话数限制值为0时,网络中间设备丢弃该接收到的报文,不再创建新的会话。
然而,网络中间设备根据接收到报文的源IP地址计算哈希值,占用了网络中间设备的处理资源。同时,由于可能存在哈希冲突的情况(根据不同的源IP地址计算出相同的哈希值),当出现哈希冲突时,网络中间设备再根据接收到报文的源IP地址,匹配哈希节点中存储的IP地址,最终才能获取匹配到哈希节点上的会话数限制值,这就降低了匹配效率。而且,当检测到某个节点设备的会话数超过限制时,网络中间设备只是丢弃接收到的报文,不再创建新的会话,后续如果接收到源IP地址相同的报文时,网络中间设备还会执行上述匹配流程,降低了网络中间设备对会话的阻断效率。
发明内容
有鉴于此,本申请提供一种限制并发会话数的方法及装置,可以提升网络中间设备对会话数限制值的匹配效率,同时可以提升网络中间设备对会话的阻断效率。
为实现上述目的,本申请提供技术方案如下:
根据本申请的第一方面,提出了一种限制并发会话数的方法,包括:
根据接收到报文的源IP地址,确定与所述源IP地址对应的信息组,所述信息组包含IP地址范围和所述IP地址范围内每个IP地址的会话数统计变量;其中,任一会话数统计变量在所述信息组内的相对位置,匹配于所述任一会话数统计变量对应的IP地址与所述IP地址范围之间的相对数值关系;
根据所述源IP地址与所述IP地址范围之间的相对数值关系,从对应的信息组中获取相应的会话数统计变量;
当所述会话数统计变量不大于第一预设数值时,丢弃所述报文。
根据本申请的第二方面,提出了一种限制并发会话数的装置,包括:
确定单元,根据接收到报文的源IP地址,确定与所述源IP地址对应的信息组,所述信息组包含IP地址范围和所述IP地址范围内每个IP地址的会话数统计变量;其中,任一会话数统计变量在所述信息组内的相对位置,匹配于所述任一会话数统计变量对应的IP地址与所述IP地址范围之间的相对数值关系;
获取单元,根据所述源IP地址与所述IP地址范围之间的相对数值关系,从对应的信息组中获取相应的会话数统计变量;
丢弃单元,当所述会话数统计变量不大于第一预设数值时,丢弃所述报文。
由以上技术方案可见,本申请通过接收到报文的源IP地址来确定与该源IP地址对应的信息组,从而根据该源IP地址与该信息组的IP地址范围之间的相对数值关系,获取相应的会话数统计变量,不用根据该报文的源IP地址计算哈希值,从而匹配到存储在哈希节点上的会话数限制值,同时,避免了出现哈希冲突的情况,提高了网络中间设备对每个IP地址对应的会话数限制值的匹配效率。
附图说明
图1是相关技术中网络中间设备匹配某一IP地址的会话数限制值的示意图。
图2是本申请一示例性实施例提供的一种限制并发会话数的方法的流程图。
图3是本申请一示例性实施例提供的另一种限制并发会话数的方法的流程图。
图4是本申请一示例性实施例提供的一种电子设备的结构示意图。
图5是本申请一示例性实施例提供的一种限制并发会话数的装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
图1是相关技术中网络中间设备匹配某一IP地址的会话数限制值的示意图,如图1所示,可以包括以下步骤:
步骤101,网络中间设备接收来自节点设备的报文。
步骤102,根据该报文的源IP地址匹配对应的策略,若匹配到对应的策略,则转入步骤103A,否则转入步骤103B。
其中,匹配到的策略中包含为该节点设备配置的会话数限制值,该会话数限制值为该节点设备在正常工作状态下可以同时处理的最大会话数。
步骤103A,根据接收到报文的五元组信息匹配当前处理的会话。若匹配到当前处理的会话,则转入步骤104,否则转入步骤103B。
其中,当存在与报文的五元组信息(源IP地址、源端口、目的IP地址、目的端口和传输层协议)相匹配的会话时,表明相应的会话已被创建,无需再次创建。
步骤103B,继续后续业务处理。
其中,在承接于步骤102的情况下,当网络中间设备根据接收到报文的源IP地址,没有匹配到对应的策略时,表示不存在对应于该报文源IP地址的策略,即针对该源IP地址的会话数不做限制。
在承接于步骤103A的情况下,当网络中间设备根据接收到报文的五元组信息,匹配到当前处理的会话时,表示本次会话已被创建,不需要再创建新的会话。
步骤104,根据接收到报文的源IP地址计算哈希值。
步骤105,根据计算的哈希值匹配对应的哈希节点,若匹配到了对应的哈希节点,则转入步骤106B,否则转入步骤106A。
其中,哈希节点中存储有IP地址和该IP地址对应的会话数限制值(该IP地址对应的策略针对该IP地址的会话数限制值)。当没出现哈希冲突的情况时,哈希值与哈希节点为一对一的对应关系,可以直接根据计算出的哈希值匹配到对应的哈希节点,从而获取该哈希节点上记载的会话数限制值;当出现哈希冲突的情况时,哈希值与哈希节点为一对多的对应关系,网络中间设备需要再进而根据接收到报文的源IP地址,在该哈希值对应的各个哈希节点中匹配与该源IP地址对应的哈希节点,从而确定该源IP地址对应的会话数限制值。
步骤106A,新建哈希节点。
其中,当网络中间设备没有匹配到接收到报文的源IP地址对应的哈希节点时,新建哈希节点,将策略上配置的会话数限制值存储到该新建的哈希节点中,该策略为由上述步骤102匹配到的策略。
步骤106B,判断匹配到的哈希节点上的会话数限制值是否为0,若为0,则转入步骤107A,否则转入107B。
步骤107A,丢弃接收到的报文,不再创建会话。
当该哈希节点上的会话数限制值为0时,表示该节点设备正常工作状态下,当前同时处理的会话数已经达到了最大限制,如果再继续创建新的会话,将会导致该节点设备会话过载,无法正常工作。
步骤107B,匹配到的哈希节点上的会话数限制值减1,继续后续业务处理。
当该哈希节点上的会话数限制值不为0时,表示该节点设备正常工作状态下,还可以继续处理新创建的会话。
其中,当该节点设备的一会话被老化删除时,通过该会话对应的IP地址匹配对应的哈希节点,并将该哈希节点上的会话数限制值加1,该处理进程和上述步骤中处理报文的进程可以同时进行。
可见,在相关技术中,网络中间设备在确定接收到报文对应的会话数限制值时,需要根据该报文的源IP地址计算哈希值并匹配哈希节点,占用了网络中间设备的大量处理资源。同时,在出现哈希冲突的情况下,网络中间设备不仅需要计算哈希值,还需要通过匹配IP地址来进一步筛选哈希节点,极大降低了匹配效率。而且,当检测到某个节点设备的会话数超过限制时,网络中间设备只是丢弃接收到的报文,导致后续再次接收到同一源IP地址的报文时,网络中间设备还需要执行上述的匹配流程,降低了网络中间设备对会话的阻断效率。
图2是本申请一示例性实施例示出的一种限制并发会话数的方法的流程图,如图2所示,该方法应用于网络中间设备,可以包括以下步骤:
步骤201,根据接收到报文的源IP地址,确定与所述源IP地址对应的信息组,所述信息组包含IP地址范围和所述IP地址范围内每个IP地址的会话数统计变量;其中,任一会话数统计变量在所述信息组内的相对位置,匹配于所述任一会话数统计变量对应的IP地址与所述IP地址范围之间的相对数值关系。
在本实施例中,通过将信息组中每个会话数统计变量在该信息组内的相对位置,和每个IP地址(与每个会话数统计变量对应)与IP地址范围之间的相对数值关系一一对应起来,使得网络中间设备不需要根据接收到报文的源IP地址计算哈希值,即可完成对会话数统计变量的匹配,从而极大地提升了对会话数统计变量的匹配效率、降低了对网络中间设备的处理资源占用。
步骤202,根据所述源IP地址与所述IP地址范围之间的相对数值关系,从对应的信息组中获取相应的会话数统计变量。
在本实施例中,根据接收到报文的源IP地址,计算出该源IP地址与对应IP地址范围之间的相对数值关系,再根据该相对数值关系,与该源IP地址对应的会话数统计变量在信息组内的相对位置的对应关系,获取相应的会话数统计变量。
步骤203,当所述会话数统计变量不大于第一预设数值时,丢弃所述报文。
由以上技术方案可见,本申请通过将信息组中每个会话数统计变量在该信息组内的相对位置,和每个IP地址(与每个会话数统计变量对应)与IP地址范围之间的相对数值关系对应起来,使得网络中间设备不需要根据接收到报文的源IP地址计算哈希值,即可完成对会话数统计变量的匹配,降低了对网络中间设备的处理资源占用;同时,该对应关系为一一对应,避免了出现哈希冲突的情况,从而极大地提升了网络中间设备对会话数统计变量的匹配效率。
为了便于理解,下面结合图3对本申请的技术方案进行详细说明。请参见图3,图3是本申请一示例性实施例的一种限制并发会话数的方法的流程图,该方法可以包括以下步骤:
步骤301,网络中间设备接收来自节点设备的报文。
步骤302,网络中间设备根据该报文的源IP地址匹配对应的策略,若匹配到对应的策略,则转入步骤303A,否则转入步骤303B。
在本实施例中,每个策略中包含策略ID、IP地址范围和该IP地址范围内每个IP地址的会话数限制值,该会话数限制值为该节点设备在正常工作状态下可以同时处理的最大会话数。网络中间设备根据接收到报文的源IP地址,匹配该源IP地址所在的IP地址范围,从而确定对应的策略。
步骤303A,网络中间设备根据接收到报文的五元组信息匹配当前处理的会话。若匹配到当前处理的会话,则转入步骤303B,否则转入步骤304。
在本实施例中,网络中间设备根据接收到报文的五元组信息(源IP地址、源端口、目的IP地址、目的端口和传输层协议),判断本次会话是否为当前正在处理的会话,即判断本次会话是否为已经创建的会话。
步骤303B,继续后续业务处理。
在本实施例中,在承接于步骤302的情况下,当网络中间设备根据接收到报文的源IP地址,没有匹配到对应的策略时,表示不存在对应于该报文源IP地址的策略,即针对该源IP地址的会话数不做限制。
在承接于步骤303A的情况下,当网络中间设备根据接收到报文的五元组信息,匹配到当前处理的会话时,表示本次会话已被创建,不需要再创建新的会话。
步骤304,网络中间设备根据接收到报文的源IP地址,确定与该源IP地址对应的信息组,并从对应的信息组中获取相应的会话数统计变量。
此处结合表1,详细描述网络中间设备根据接收到报文的源IP地址,获取与该源IP地址对应会话数统计变量的过程。参见表1:
| Start-IP1 | End-IP1 | cnt1 | cnt2 | cnt3 | … |
| Start-IP2 | End-IP2 | cnt4 | cnt5 | cnt6 | … |
| Start-IP3 | End-IP3 | cnt7 | cnt8 | cnt9 | … |
| … | … | … | … | … | … |
表1
表1描述的是一个二维数组,所有信息组存储在同一个预设二维数组中,其中,每行数据信息即为一个信息组,每个信息组对应一个策略,即该二维数组包含的信息组数量等于预配置策略的数量。每个策略包含策略ID、IP地址范围和该IP地址范围内每个IP地址的会话数限制值,相应的,每个信息组包含对应策略的IP地址范围和该IP地址范围内每个IP地址的会话数统计变量。其中,每个IP地址的会话数统计变量的初始值,等于相应策略中针对对应IP地址的会话数限制值。
预配置策略的数量以及每个策略的IP地址范围可以根据实际网络环境需要来设定,本申请并不对此进行限制。
Start-IP为起始IP地址,End-IP为结束IP地址,起始IP地址与结束IP地址组成一个IP地址范围,cnt为相应信息组内每个IP地址对应的会话数统计变量,其中,每一信息组中的起始IP地址、结束IP地址和相应IP地址范围内每个IP地址的会话数统计变量,按照预设顺序存储在该预设二维数组的相应数组元素中。
任一会话数统计变量在信息组内的相对位置,匹配于该任一会话数统计变量对应的IP地址与该IP地址范围之间的相对数值关系,该相对数值关系为接收到报文的源IP地址减去对应IP地址范围中起始IP地址的值。
举例而言,所有策略的策略ID按照各个策略的起始IP地址的数值大小来排序。例如,可以使得策略ID的值随着策略的起始IP地址的数值增大而增大,比如,预先配置有三个策略,其IP地址范围分别为192.168.0.1-192.168.0.3、192.168.0.4-192.168.0.6、192.168.0.7-192.168.0.9,则这三个策略的ID可以分别为1、2、3。那么,分别与策略1、策略2、策略3对应的信息组可以分别存储在同一二维数组的第一行、第二行、第三行。当然,只要确保利用策略ID能够获取相应的信息组,也可以通过其他方式配置策略ID与信息组的对应关系,本申请并不对此进行限制。
假定策略1(IP地址范围为192.168.0.1-192.168.0.3)对应的会话数限制值分别为a、b、c(192.168.0.1的会话数限制值为a,192.168.0.2的会话数限制值为b,192.168.0.3的会话数限制值为c),相应的,与策略1对应的信息组内的会话数统计变量分别为a、b、c;策略2(IP地址范围为192.168.0.4-192.168.0.6)对应的会话数限制值分别为d、e、f(192.168.0.4的会话数限制值为d,192.168.0.5的会话数限制值为e,192.168.0.6的会话数限制值为f),相应的,与策略2对应的信息组内的会话数统计变量分别为d、e、f;策略3(IP地址范围为192.168.0.7-192.168.0.9)对应的会话数限制值分别为g、h、i(192.168.0.7的会话数限制值为g,192.168.0.8的会话数限制值为h,192.168.0.9的会话数限制值为i),相应的,与策略3对应的信息组内的会话数统计变量分别为g、h、i。与各个策略对应的信息组可以按照IP地址的数值从小到大的顺序排列上述会话数统计变量,此时,预配置的二维数组中,各个信息组的排列顺序,以及各个信息组内所有会话数统计变量的相对位置如表2所示:
| 192.168.0.1 | 192.168.0.3 | a | b | c |
| 192.168.0.4 | 192.168.0.6 | d | e | f |
| 192.168.0.7 | 192.168.0.9 | g | h | i |
表2
其中,会话数统计变量a、d、g分别为各自所对应的信息组中的第1个会话数统计变量;会话数统计变量b、e、h分别为各自所对应的信息组中的第2个会话数统计变量;会话数统计变量c、f、i分别为各自所对应的信息组中的第3个会话数统计变量。
假定网络中间设备接收到报文的源IP地址为192.168.0.5,则该源IP地址与策略2对应,即与二维数组中第二行的信息组对应,此时该源IP地址与对应的IP地址范围(192.168.0.4-192.168.0.6)之间的相对数值关系为1(192.168.0.5减去192.168.0.4的值为1),表示当前与该IP地址对应的会话数统计变量为对应信息组中第2个会话数统计变量(按照对应IP地址的数值从小到大的排列顺序),即为e。
在本实施例中,将所有信息组存储在同一二维数组中,并且每个信息组中每个会话数统计变量在该信息组内的相对位置,和每个IP地址(与每个会话数统计变量对应)与IP地址范围之间的相对数值关系对应起来,且其对应关系为一一对应,同时,不需要根据接收到报文的源IP地址计算哈希值,从而提升了网络中间设备对会话数统计变量的匹配效率。
步骤305,判断获取的会话数统计变量是否大于0,若大于0,则转入步骤306B,否则转入步骤306A。
在本实施例中,通过将会话数统计变量与第一预设数值进行比较,以确定对报文的处理方式。其中,第一预设数值可以设置为上述的0,当然,只要能够限定会话数统计变量的值,也可以为其他任意数值,本申请并不对此进行限制。
步骤306A,丢弃接收到的报文,不再创建新的会话,将该报文的源IP地址加入到黑名单中。
在本实施例中,当网络中间设备获取的会话数统计变量不大于0时,表示该会话数统计变量对应的节点设备在正常工作状态下,当前同时处理的会话数已经达到了最大限制,如果再继续创建新的会话,将会导致该节点设备会话过载,无法正常工作。同时,将该丢弃的报文的源IP地址加入到黑名单中,当后续网络中间设备再次接收到该源IP地址的报文时,利用黑名单直接将该报文屏蔽,而不需要执行上述步骤302-306的操作,这就极大提升了在不能创建新的会话的情况下,网络中间设备对会话的阻断效率。
步骤306B,该会话数统计变量减1,网络中间设备进行后续业务处理。
在本实施例中,当该会话数统计变量大于0时,表示该会话数统计变量对应的节点设备当前处理的会话数还没有达到最大限制,可以继续创建新的会话。其中,每创建一新的会话,相应信息组中对应IP地址的会话数统计变量可以减去第二预设数值,比如该第二预设数值可以为上述的1;当然,第二预设数值也可以为其他任意数值,本申请并不对此进行限制。
在本申请的技术方案中,当某一个会话被老化删除时(该会话对应的源IP地址此时可以再进行一新的会话而不会超过会话数的限制),提取该会话的源IP地址,根据上述步骤304的匹配过程,获取对应的会话数统计变量,将该会话数统计变量加上上述第二预设数值。若该源IP地址在黑名单中,由于此时该源IP地址对应的会话数统计变量大于0,所以不需要网络中间设备阻断该源IP地址对应的会话,将该源IP地址从该黑名单中删除。
图4示出了根据本申请的一示例性实施例的电子设备的示意结构图。请参考图4,在硬件层面,该电子设备包括处理器402、内部总线404、网络接口406、内存408以及非易失性存储器410,当然还可能包括其他业务所需要的硬件。处理器402从非易失性存储器410中读取对应的计算机程序到内存402中然后运行,在逻辑层面上形成限制并发会话数的装置。当然,除了软件实现方式之外,本申请并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
请参考图5,在软件实施方式中,该限制并发会话数的装置可以包括确定单元501、获取单元502、丢弃单元503和添加单元504。其中:
确定单元501,根据接收到报文的源IP地址,确定与所述源IP地址对应的信息组,所述信息组包含IP地址范围和所述IP地址范围内每个IP地址的会话数统计变量;其中,任一会话数统计变量在所述信息组内的相对位置,匹配于所述任一会话数统计变量对应的IP地址与所述IP地址范围之间的相对数值关系;
获取单元502,根据所述源IP地址与所述IP地址范围之间的相对数值关系,从对应的信息组中获取相应的会话数统计变量;
丢弃单元503,当所述会话数统计变量不大于第一预设数值时,丢弃所述报文。
可选的,还包括:
添加单元504,将丢弃的报文的源IP地址加入到黑名单中。
可选的,所述相对数值关系为接收到报文的源IP地址减去对应IP地址范围中起始IP地址的值。
可选的,所述会话数统计变量的初始值为对应信息组中相应IP地址下的会话数限制值;
对应于每一会话的创建,所述信息组中相应IP地址下的会话数统计变量被减去第二预设数值;
对应于每一会话的老化,所述信息组中相应IP地址下的会话数统计变量被加上所述第二预设数值。
可选的,所有信息组存储在同一个预设二维数组中;其中,每一信息组中的起始IP地址、结束IP地址和相应IP地址范围内每个IP地址的会话数统计变量,按照预设顺序存储在所述预设二维数组的相应数组元素中。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种限制并发会话数的方法,其特征在于,包括:
根据接收到报文的源IP地址,确定与所述源IP地址对应的信息组,所述信息组包含IP地址范围和所述IP地址范围内每个IP地址的会话数统计变量;其中,任一会话数统计变量在所述信息组内的相对位置,匹配于所述任一会话数统计变量对应的IP地址与所述IP地址范围之间的相对数值关系;
根据所述源IP地址与所述IP地址范围之间的相对数值关系,从对应的信息组中获取相应的会话数统计变量;
当所述会话数统计变量不大于第一预设数值时,丢弃所述报文。
2.根据权利要求1所述的方法,其特征在于,还包括:
将丢弃的报文的源IP地址加入到黑名单中。
3.根据权利要求1所述的方法,其特征在于,所述相对数值关系为接收到报文的源IP地址减去对应IP地址范围中起始IP地址的值。
4.根据权利要求1所述的方法,其特征在于,所述会话数统计变量的初始值为对应信息组中相应IP地址下的会话数限制值;
对应于每一会话的创建,所述信息组中相应IP地址下的会话数统计变量被减去第二预设数值;
对应于每一会话的老化,所述信息组中相应IP地址下的会话数统计变量被加上所述第二预设数值。
5.根据权利要求1所述的方法,其特征在于,所有信息组存储在同一个预设二维数组中;其中,每一信息组中的起始IP地址、结束IP地址和相应IP地址范围内每个IP地址的会话数统计变量,按照预设顺序存储在所述预设二维数组的相应数组元素中。
6.一种限制并发会话数的装置,其特征在于,包括:
确定单元,根据接收到报文的源IP地址,确定与所述源IP地址对应的信息组,所述信息组包含IP地址范围和所述IP地址范围内每个IP地址的会话数统计变量;其中,任一会话数统计变量在所述信息组内的相对位置,匹配于所述任一会话数统计变量对应的IP地址与所述IP地址范围之间的相对数值关系;
获取单元,根据所述源IP地址与所述IP地址范围之间的相对数值关系,从对应的信息组中获取相应的会话数统计变量;
丢弃单元,当所述会话数统计变量不大于第一预设数值时,丢弃所述报文。
7.根据权利要求6所述的装置,其特征在于,还包括:
添加单元,将丢弃的报文的源IP地址加入到黑名单中。
8.根据权利要求6所述的装置,其特征在于,所述相对数值关系为接收到报文的源IP地址减去对应IP地址范围中起始IP地址的值。
9.根据权利要求6所述的装置,其特征在于,所述会话数统计变量的初始值为对应信息组中相应IP地址下的会话数限制值;
对应于每一会话的创建,所述信息组中相应IP地址下的会话数统计变量被减去第二预设数值;
对应于每一会话的老化,所述信息组中相应IP地址下的会话数统计变量被加上所述第二预设数值。
10.根据权利要求6所述的装置,其特征在于,所有信息组存储在同一个预设二维数组中;其中,每一信息组中的起始IP地址、结束IP地址和相应IP地址范围内每个IP地址的会话数统计变量,按照预设顺序存储在所述预设二维数组的相应数组元素中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610602546.3A CN106170015A (zh) | 2016-07-26 | 2016-07-26 | 一种限制并发会话数的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610602546.3A CN106170015A (zh) | 2016-07-26 | 2016-07-26 | 一种限制并发会话数的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106170015A true CN106170015A (zh) | 2016-11-30 |
Family
ID=58064903
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610602546.3A Pending CN106170015A (zh) | 2016-07-26 | 2016-07-26 | 一种限制并发会话数的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106170015A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111147520A (zh) * | 2019-12-31 | 2020-05-12 | 奇安信科技集团股份有限公司 | 由防火墙执行的信息处理方法和装置 |
| CN114221847A (zh) * | 2021-12-10 | 2022-03-22 | 北京天融信网络安全技术有限公司 | 网络会话管理方法、装置及设备、存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1463121A (zh) * | 2002-05-29 | 2003-12-24 | 华为技术有限公司 | 网络地址转换中私网用户访问资源分配方法 |
| CN1585341A (zh) * | 2003-08-23 | 2005-02-23 | 华为技术有限公司 | 网络会话管理方法 |
| CN101083665A (zh) * | 2007-07-30 | 2007-12-05 | 杭州华三通信技术有限公司 | 限制会话数的方法及装置 |
| JP2008205925A (ja) * | 2007-02-21 | 2008-09-04 | Canon Inc | 通信装置、その制御方法、プログラム |
| CN101883078A (zh) * | 2009-05-08 | 2010-11-10 | 上海清鹤数码科技有限公司 | 流媒体服务器应用层ddos攻击防御系统及方法 |
| CN101958841A (zh) * | 2010-10-26 | 2011-01-26 | 杭州华三通信技术有限公司 | 限制p2p应用的方法及设备 |
| CN102771084A (zh) * | 2009-12-23 | 2012-11-07 | 思杰系统有限公司 | 用于在多核gslb设备中管理静态邻近性的系统和方法 |
-
2016
- 2016-07-26 CN CN201610602546.3A patent/CN106170015A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1463121A (zh) * | 2002-05-29 | 2003-12-24 | 华为技术有限公司 | 网络地址转换中私网用户访问资源分配方法 |
| CN1585341A (zh) * | 2003-08-23 | 2005-02-23 | 华为技术有限公司 | 网络会话管理方法 |
| JP2008205925A (ja) * | 2007-02-21 | 2008-09-04 | Canon Inc | 通信装置、その制御方法、プログラム |
| CN101083665A (zh) * | 2007-07-30 | 2007-12-05 | 杭州华三通信技术有限公司 | 限制会话数的方法及装置 |
| CN101883078A (zh) * | 2009-05-08 | 2010-11-10 | 上海清鹤数码科技有限公司 | 流媒体服务器应用层ddos攻击防御系统及方法 |
| CN102771084A (zh) * | 2009-12-23 | 2012-11-07 | 思杰系统有限公司 | 用于在多核gslb设备中管理静态邻近性的系统和方法 |
| CN101958841A (zh) * | 2010-10-26 | 2011-01-26 | 杭州华三通信技术有限公司 | 限制p2p应用的方法及设备 |
Non-Patent Citations (2)
| Title |
|---|
| 13763325541: "计算机基础强化1选择题答案", 《百度文库》 * |
| DAVID BUSER等: "《ASP3初级编程》", 30 June 2001 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111147520A (zh) * | 2019-12-31 | 2020-05-12 | 奇安信科技集团股份有限公司 | 由防火墙执行的信息处理方法和装置 |
| CN111147520B (zh) * | 2019-12-31 | 2022-02-25 | 奇安信科技集团股份有限公司 | 由防火墙执行的信息处理方法和装置 |
| CN114221847A (zh) * | 2021-12-10 | 2022-03-22 | 北京天融信网络安全技术有限公司 | 网络会话管理方法、装置及设备、存储介质 |
| CN114221847B (zh) * | 2021-12-10 | 2024-01-23 | 北京天融信网络安全技术有限公司 | 网络会话管理方法、装置及设备、存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3069484B1 (en) | Shortening of service paths in service chains in a communications network | |
| CN104579940B (zh) | 查找访问控制列表的方法及装置 | |
| CN111052686A (zh) | 在公共云中执行在线服务 | |
| US9015330B2 (en) | Intercepting file transfers in multi-node topologies | |
| CN109361606B (zh) | 一种报文处理系统及网络设备 | |
| CN106878194B (zh) | 一种报文处理方法和装置 | |
| CN106411924B (zh) | 一种创建会话转发表项的方法、转发报文的方法及装置 | |
| DE202016107377U1 (de) | Systeme zur Auslagerung von Netzwerkfunktionen über Paket-Trunking | |
| CN106878474A (zh) | 一种p2p连接建立的方法和装置 | |
| CN106878181A (zh) | 一种报文传输方法和装置 | |
| CN109496409B (zh) | 一种数据传送的方法和虚拟交换机 | |
| CN105939284B (zh) | 报文控制策略的匹配方法及装置 | |
| CN103763194A (zh) | 一种报文转发方法及装置 | |
| CN106921578A (zh) | 一种转发表项的生成方法和装置 | |
| CN105939325A (zh) | Tcp旁路阻断的方法及装置 | |
| CN106105098A (zh) | 交换机及业务请求报文的处理方法 | |
| CN106170015A (zh) | 一种限制并发会话数的方法及装置 | |
| CN102201996B (zh) | 网络地址转换环境中报文转发的方法及设备 | |
| CN105939308A (zh) | 报文的处理方法和装置 | |
| CN104869064A (zh) | 一种流表更新方法及装置 | |
| CN115514586A (zh) | 访问控制策略配置方法及电子设备 | |
| US9893997B2 (en) | System and method for creating session entry | |
| US20150195122A1 (en) | Method and System for Transparent Network Acceleration | |
| CN105991627A (zh) | 数据连接建立方法及装置 | |
| CN106789713A (zh) | 一种报文转发的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant after: Hangzhou Dipu Polytron Technologies Inc Address before: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant before: Hangzhou Dipu Technology Co., Ltd. |
|
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20161130 |