Claims (10)
1. Способ для распознавания и защиты от атак на серверные системы поставщиков и провайдеров сетевых услуг посредством электронного прибора, подсоединяемого к компьютерной сети, который имеет компьютерную программу, отличающийся тем, что включает в себя следующие составные части и этапы способа: защита от атак типа DoS (отказ от обслуживания) и DDoS (распространенный отказ от обслуживания) (DoS- и DDoS-атак), причем каждый IP Syn (синхронизирующий символ протокола IP) регистрируется, и для сохранения установленного IP-протоколом временного ограничения на него отвечают посредством Syn Ack, в то время как зарегистрированный Syn-пакет проверяется на действительность и на доступные услуги в целевой системе, и установление соединения с целевой системой инициируется, и принятый пакет данных передается к целевой системе для дальнейшей обработки, если проверка успешно завершена, и тем временем от запрашивающей извне системы приняты подлежащее посылке подтверждение Ack, а также следующий за этим действительный пакет данных, и/или защита на уровне канала, при этом подлежащие проверке пакеты данных непосредственно принимаются с OSI-уровня 2 (уровень канала), и/или контроль действительного IP-заголовка, при этом структура каждого IP-пакета перед последующей его пересылкой к целевой системе проверяется на действительность, и каждый недействительный IP-пакет отбрасывается, и/или контроль IP-пакета путем проверки, в особенности длины и контрольной суммы IP-пакета на совпадение данных в TCP- или IP-заголовке со структурой IP-пакета, и/или защита от снятия TCP/IP-"отпечатков пальцев", при этом исходящий в качестве ответа трафик данных от защищенных систем к запрашивающим извне системам нейтрализуется тем, что применяются образцовые идентификаторы протокола, и/или блокировка всех UDP-сетевых пакетов для предотвращения атак на защищаемые системы через сетевой протокол UDP (протокол передачи дейтаграмм пользователя), тем что достижимые через UDP требуемые услуги целенаправленно регистрируются и разблокируются, при этом сообщения пропускаются на определенные для UDP порты, а остальные порты остаются закрытыми, и/или ограничение по длине пакетов протокола ICMP (протокол управляющих сообщений в сети Интернет), при этом ICMP-сообщения только с предварительно заданной максимальной длиной распознаются как действительные пакеты данных, а отличающиеся от этого ICMP-пакеты отбрасываются, и/или исключение определенных внешних IP-адресов из информационного обмена с целевой системой, и/или функция брандмауэра пакетного уровня, при этом входящие и исходящие IP-пакеты контролируются посредством свободно определяемых правил, и на основе этих правил отклоняются или пересылаются к целевой системе, и/или защита достижимых услуг целевой системы за счет исключения определенных услуг и/или пользователей и/или переадресация запросов услуг на другие серверы.1. A method for recognizing and protecting against attacks on server systems of network service providers and providers by means of an electronic device connected to a computer network, which has a computer program, characterized in that it includes the following components and method steps: protection against DoS attacks (denial of service) and DDoS (common denial of service) (DoS and DDoS attacks), with each IP Syn (IP protocol synchronizing symbol) being registered, and to preserve the time limit set by the IP protocol and it is answered via Syn Ack, while the registered Syn packet is checked for validity and available services in the target system, and the connection with the target system is initiated, and the received data packet is transmitted to the target system for further processing if the verification is successfully completed and in the meantime, Ack confirmation to be sent from the system requesting from the outside, as well as the next valid data packet and / or protection at the channel level, and the data packets to be checked, are not received. mediocre received from OSI-level 2 (channel level), and / or control of a valid IP header, while the structure of each IP packet is checked for validity before it is forwarded to the target system, and each invalid IP packet is discarded, and / or control of the IP packet by checking, in particular, the length and checksum of the IP packet for the data in the TCP or IP header to match the structure of the IP packet, and / or protection against the removal of TCP / IP fingerprints, while outgoing as a response, data traffic from protected systems to systems requesting from the outside is neutralized by the use of exemplary protocol identifiers and / or blocking of all UDP network packets to prevent attacks on protected systems via the UDP network protocol (user datagram protocol), so that the required services reached via UDP are purposefully registered and unblocked, in this case, messages are passed to UDP-specific ports, and the remaining ports remain closed, and / or ICMP protocol packet length restriction (control message protocol in the network Internet), in this case, ICMP messages with only a predetermined maximum length are recognized as valid data packets, and ICMP packets differing from this are discarded, and / or the exclusion of certain external IP addresses from information exchange with the target system, and / or the firewall function packet level, while incoming and outgoing IP packets are controlled by freely defined rules, and based on these rules are rejected or forwarded to the target system, and / or protection of the achievable services of the target system due to ie the exclusion of certain services and / or users and / or forwarding service requests to other servers.
2. Способ по п.1, отличающийся тем, что при ограничении длины ICMP-пакетов недействительная длина ICMP-пакета сокращается до допустимой длины.2. The method according to claim 1, characterized in that when limiting the length of the ICMP packets, the invalid length of the ICMP packet is reduced to an acceptable length.
3. Способ по п.1, отличающийся тем, что при ограничении длины ICMP-пакетов, отдельные типы ICMP-пакетов полностью блокируются.3. The method according to claim 1, characterized in that when restricting the length of ICMP packets, individual types of ICMP packets are completely blocked.
4. Способ по п.1, отличающийся тем, что устанавливаются правила для функции брандмауэра пакетного уровня на основе определенных критериев IP-пакета, в частности, в отношении исключений, ограничений и выдачи регистрации.4. The method according to claim 1, characterized in that the rules for the function of the packet level firewall are established based on certain criteria of the IP packet, in particular with respect to exceptions, restrictions and issuing registrations.
5. Способ по пп.1-4, отличающийся тем, что для контролируемого конфигурирования и обеспечения неограниченного функционирования способа административные вмешательства осуществляются только с консоли или через защищенные сетевые соединения.5. The method according to claims 1 to 4, characterized in that for the controlled configuration and ensuring unlimited operation of the method, administrative interventions are carried out only from the console or through secure network connections.
6. Способ по п.1, отличающийся тем, что доступ к целевой системе конкретным образом ограничивается за счет свободно устанавливаемых временных окон.6. The method according to claim 1, characterized in that access to the target system is specifically limited by freely settable time windows.
7. Носитель данных, содержащий компьютерную программу для распознавания и защиты от атак на серверные системы поставщиков и провайдеров сетевых услуг для использования в электронном приборе, предназначенном для включения в компьютерную сеть, отличающийся тем, что содержит следующие программные этапы: защита от DoS- и DDoS-атак, причем каждый IP Syn (синхронизирующий символ протокола IP) регистрируется, и для сохранения установленного IP-протоколом временного ограничения на него отвечают посредством Syn Ack, в то время как зарегистрированный Syn-пакет проверяется на действительность и на доступные услуги в целевой системе, и установление соединения с целевой системой инициируется, и принятый пакет данных передается к целевой системе для дальнейшей обработки, если проверка успешно завершена, и тем временем от запрашивающей извне системы приняты подлежащее посылке подтверждение Ack, а также следующий за этим действительный пакет данных, и/или защита на уровне канала, при этом подлежащие проверке пакеты данных непосредственно принимаются с OSI-уровня 2 (уровень канала), и/или контроль действительного IP-заголовка, при этом структура каждого IP-пакета перед последующей его пересылкой к целевой системе проверяется на действительность, и каждый недействительный IP-пакет отбрасывается, и/или контроль IP-пакета путем проверки, в особенности, длины и контрольной суммы IP-пакета на совпадение данных в TCP- или IP-заголовке со структурой IP-пакета, и/или защита от снятия TCP/IP-"отпечатков пальцев", при этом исходящий в качестве ответа трафик данных от защищенных систем к запрашивающим извне системам нейтрализуется тем, что применяются образцовые идентификаторы протокола, и/или блокировка всех UDP-сетевых пакетов для предотвращения атак на защищаемые системы через сетевой протокол UDP (протокол передачи дейтаграмм пользователя), тем что достижимые через UDP требуемые услуги целенаправленно регистрируются и разблокируются, при этом сообщения пропускаются на определенные для UDP порты, а остальные порты остаются закрытыми, и/или ограничение по длине пакетов протокола ICMP (протокол управляющих сообщений в сети Интернет), при этом ICMP-сообщения только с предварительно заданной максимальной длиной распознаются как действительные пакеты данных, а отличающиеся от этого ICMP-пакеты отбрасываются, и/или исключение определенных внешних IP-адресов из информационного обмена с целевой системой, и/или функция брандмауэра пакетного уровня, при этом входящие и исходящие IP-пакеты контролируются посредством свободно определяемых правил, и на основе этих правил отклоняются или пересылаются к целевой системе, и/или защита достижимых услуг целевой системы за счет исключения определенных услуг и/или пользователей и/или переадресация запросов услуг на другие серверы.7. A storage medium containing a computer program for recognizing and protecting against attacks on server systems of network service providers and providers for use in an electronic device intended for inclusion in a computer network, characterized in that it comprises the following program steps: protection against DoS- and DDoS - attack, and each IP Syn (IP protocol synchronization symbol) is registered, and to save the time limit set by the IP protocol, it is answered via Syn Ack, while the registered Syn-packet it is checked for validity and for available services in the target system, and the connection with the target system is initiated, and the received data packet is transmitted to the target system for further processing if the verification is successfully completed, and in the meantime, the confirmation Ack to be sent from the outside system is received, there is also a valid data packet following this, and / or protection at the channel level, while the data packets to be verified are directly received from OSI-level 2 (channel level), and / or control a valid IP header, and the structure of each IP packet is checked for validity before being forwarded to the target system, and each invalid IP packet is discarded and / or the IP packet is checked by checking, in particular, the length and checksum of the IP packet to match the data in the TCP or IP header with the structure of the IP packet, and / or protection against TCP / IP fingerprints, while the outgoing data traffic from protected systems to external requesting systems is neutralized by what sample apply protocol identifiers and / or blocking of all UDP network packets to prevent attacks on protected systems via the UDP network protocol (user datagram protocol), so that the required services reachable via UDP are targeted and unblocked, while messages are transmitted to UDP-specific ones ports, and the remaining ports remain closed, and / or a restriction on the length of packets of the ICMP protocol (control message protocol on the Internet), with ICMP messages only with a predefined maxim they are recognized as valid data packets with a long length, and ICMP packets that differ from this are discarded, and / or the exclusion of certain external IP addresses from information exchange with the target system, and / or the packet-level firewall function, while incoming and outgoing IP packets are monitored through freely defined rules, and on the basis of these rules are rejected or forwarded to the target system, and / or protection of the achievable services of the target system by excluding certain services and / or users and / or forwarding service requests to other servers.
8. Носитель данных по п.7, отличающийся тем, что он выполнен как стираемая программируемая постоянная память (EPROM, СППЗУ) и является составной частью электронного прибора.8. The storage medium according to claim 7, characterized in that it is designed as an erasable programmable read-only memory (EPROM, EPROM) and is an integral part of the electronic device.
9. Компьютерная система, которая связана с сетью, такой как Интернет (6), интранет и тому подобное, содержит один или несколько компьютеров, которые конфигурированы как компьютеры-серверы (2) или как компьютеры-клиенты, отличающаяся тем, что в защищаемое соединение (5, 7, 8) передачи данных между сетью (6) и компьютером-сервером (2) или компьютером-клиентом включен электронный прибор (4), который снабжен носителем данных, который содержит компьютерную программу, включающую в себя следующие программные этапы: защита от DoS- и DDoS-атак, причем каждый IP Syn (синхронизирующий символ протокола IP) регистрируется, и для сохранения установленного IP-протоколом временного ограничения на него отвечают посредством Syn Ack, в то время как зарегистрированный Syn-пакет проверяется на действительность и на доступные услуги в целевой системе, и установление соединения с целевой системой инициируется, и принятый пакет данных передается к целевой системе для дальнейшей обработки, если проверка успешно завершена и тем временем от запрашивающей извне системы приняты подлежащее посылке подтверждение Ack, а также следующий за этим действительный пакет данных, и/или защита на уровне канала, при этом подлежащие проверке пакеты данных непосредственно принимаются с OSI-уровня 2 (уровень канала), и/или контроль действительного IP-заголовка, при этом структура каждого IP-пакета перед последующей его пересылкой к целевой системе проверяется на действительность, и каждый недействительный IP-пакет отбрасывается, и/или контроль IP-пакета путем проверки, в особенности, длины и контрольной суммы IP-пакета на совпадение данных в TCP- или IP-заголовке со структурой IP-пакета, и/или защита от снятия TCP/IP-"отпечатков пальцев", при этом исходящий в качестве ответа трафик данных от защищенных систем к запрашивающим извне системам нейтрализуется тем, что применяются образцовые идентификаторы протокола, и/или блокировка всех UDP-сетевых пакетов для предотвращения атак на защищаемые системы через сетевой протокол UDP (протокол передачи дейтаграмм пользователя), тем что достижимые через UDP требуемые услуги целенаправленно регистрируются и разблокируются, при этом сообщения пропускаются на определенные для UDP порты, а остальные порты остаются закрытыми, и/или ограничение по длине пакетов протокола ICMP (протокол управляющих сообщений в сети Интернет), при этом ICMP-сообщения только с предварительно заданной максимальной длиной распознаются как действительные пакеты данных, а отличающиеся от этого ICMP-пакеты отбрасываются, и/или исключение определенных внешних IP-адресов из информационного обмена с целевой системой, и/или функция брандмауэра пакетного уровня, при этом входящие и исходящие IP-пакеты контролируются посредством свободно определяемых правил, и на основе этих правил отклоняются или пересылаются к целевой системе, и/или защита достижимых услуг целевой системы за счет исключения определенных услуг и/или пользователей и/или переадресация запросов услуг на другие серверы.9. A computer system that is connected to a network, such as the Internet (6), an intranet, and the like, contains one or more computers that are configured as server computers (2) or as client computers, characterized in that in a secure connection (5, 7, 8) data transmission between the network (6) and the server computer (2) or the client computer includes an electronic device (4), which is equipped with a data carrier that contains a computer program that includes the following program steps: protection from DoS and DDoS attacks, with each IP Syn ( the IP protocol synchronizing symbol) is registered, and in order to maintain the time limit set by the IP protocol, it is answered by Syn Ack, while the registered Syn packet is checked for validity and available services in the target system, and the connection with the target system is initiated, and the received data packet is transmitted to the target system for further processing if the verification is successfully completed and in the meantime, the Ack confirmation to be sent is received from the requesting system from the outside, and the next valid data packet and / or protection at the channel level, while the data packets to be verified are directly received from OSI-level 2 (channel level), and / or the control of a valid IP header, with the structure of each IP packet before its subsequent transfer to the target system is checked for validity, and each invalid IP packet is discarded, and / or the IP packet is checked by checking, in particular, the length and checksum of the IP packet for the data in the TCP or IP header to match the structure IP pack this and / or protection against the removal of TCP / IP fingerprints, while the outgoing data traffic from protected systems to external requesting systems is neutralized by the use of exemplary protocol identifiers and / or blocking of all UDP network packets to prevent attacks on protected systems via the UDP network protocol (user datagram transfer protocol), so that the required services reached via UDP are purposefully registered and unblocked, while messages are passed to UDP-specific ports, the remaining ports remain closed and / or ICMP (Internet Protocol Control Message Protocol) packet length limit, while ICMP messages with only a predetermined maximum length are recognized as valid data packets, and ICMP packets that are different from this are discarded, and / or the exclusion of certain external IP addresses from the exchange of information with the target system, and / or the function of the packet level firewall, while incoming and outgoing IP packets are controlled by freely defined rules, and based on these rules, they are rejected or forwarded to the target system, and / or protection of the achievable services of the target system by excluding certain services and / or users and / or forwarding service requests to other servers.
10. Компьютерный программный продукт, имеющий код компьютерной программы для распознавания и защиты от атак на серверные системы поставщиков и провайдеров сетевых услуг посредством подключаемого в компьютерную сеть электронного прибора, который содержит упомянутую компьютерную программу, отличающийся следующими программными этапами: защита от DoS- и DDoS-атак, причем каждый IP Syn (синхронизирующий символ протокола IP) регистрируется, и для сохранения установленного IP-протоколом временного ограничения на него отвечают посредством Syn Ack, в то время как зарегистрированный Syn-пакет проверяется на действительность и на доступные услуги в целевой системе, и установление соединения с целевой системой инициируется, и принятый пакет данных передается к целевой системе для дальнейшей обработки, если проверка успешно завершена, и тем временем от запрашивающей извне системы приняты подлежащее посылке подтверждение Ack, а также следующий за этим действительный пакет данных, и/или защита на уровне канала, при этом подлежащие проверке пакеты данных непосредственно принимаются с OSI-уровня 2 (уровень канала), и/или контроль действительного IP-заголовка, при этом структура каждого IP-пакета перед последующей его пересылкой к целевой системе проверяется на действительность, и каждый недействительный IP-пакет отбрасывается, и/или контроль IP-пакета путем проверки, в особенности, длины и контрольной суммы IP-пакета на совпадение данных в TCP- или IP-заголовке со структурой IP-пакета, и/или защита от снятия TCP/IP-"отпечатков пальцев", при этом исходящий в качестве ответа трафик данных от защищенных систем к запрашивающим извне системам нейтрализуется тем, что применяются образцовые идентификаторы протокола, и/или блокировка всех UDP-сетевых пакетов для предотвращения атак на защищаемые системы через сетевой протокол UDP (протокол передачи дейтаграмм пользователя), тем что достижимые через UDP требуемые услуги целенаправленно регистрируются и разблокируются, при этом сообщения пропускаются на определенные для UDP порты, а остальные порты остаются закрытыми, и/или ограничение по длине пакетов протокола ICMP (протокол управляющих сообщений в сети Интернет), при этом ICMP-сообщения только с предварительно заданной максимальной длиной распознаются как действительные пакеты данных, а отличающиеся от этого ICMP-пакеты отбрасываются, и/или исключение определенных внешних IP-адресов из информационного обмена с целевой системой, и/или функция брандмауэра пакетного уровня, при этом входящие и исходящие IP-пакеты контролируются посредством свободно определяемых правил, и на основе этих правил отклоняются или пересылаются к целевой системе, и/или защита достижимых услуг целевой системы за счет исключения определенных услуг и/или пользователей и/или переадресация запросов услуг на другие серверы.10. A computer program product having a computer program code for recognizing and protecting against attacks on server systems of network service providers and providers by means of an electronic device connected to a computer network, which contains the computer program, characterized by the following program steps: protection against DoS- and DDoS- attacks, and each IP Syn (IP protocol synchronization symbol) is registered, and to save the time limit set by the IP protocol, it is answered via Syn Ack, while Remy as a registered Syn-packet is checked for validity and for available services in the target system, and the connection with the target system is initiated, and the received data packet is transmitted to the target system for further processing if the verification is successfully completed, and meanwhile Ack confirmation to be sent, as well as the next valid data packet, and / or protection at the channel level, while the data packets to be verified are directly received from OSI level 2 (channel level), and / or control of a valid IP header, while the structure of each IP packet before being forwarded to the target system is checked for validity, and each invalid IP packet is discarded, and / or control of the IP packet by checking, in particular, the length and checksum of the IP packet to match the data in the TCP or IP header with the structure of the IP packet, and / or protection against the removal of TCP / IP fingerprints, while the data traffic coming from the response from secure systems to neutral requesting externally This is due to the fact that exemplary protocol identifiers are used and / or blocking of all UDP network packets to prevent attacks on protected systems via the UDP network protocol (user datagram protocol), so that the required services reachable via UDP are purposefully registered and unblocked, while messages are allowed on UDP-specific ports, and the remaining ports remain closed, and / or ICMP (Internet Control Message Protocol) packet length restriction, while ICMP messages only o with a predefined maximum length are recognized as valid data packets, and ICMP packets differing from this are discarded, and / or the exclusion of certain external IP addresses from information exchange with the target system, and / or the packet level firewall function, while incoming and outgoing IP packets are monitored through freely defined rules, and based on these rules are rejected or forwarded to the target system, and / or protection of the achievable services of the target system by excluding certain services and / or users and / or forwarding service requests to other servers.