RU2496136C1 - Method for interaction of terminal client device with server over internet with high level of security from ddos attack and system for realising said method - Google Patents
Method for interaction of terminal client device with server over internet with high level of security from ddos attack and system for realising said method Download PDFInfo
- Publication number
- RU2496136C1 RU2496136C1 RU2012119668/08A RU2012119668A RU2496136C1 RU 2496136 C1 RU2496136 C1 RU 2496136C1 RU 2012119668/08 A RU2012119668/08 A RU 2012119668/08A RU 2012119668 A RU2012119668 A RU 2012119668A RU 2496136 C1 RU2496136 C1 RU 2496136C1
- Authority
- RU
- Russia
- Prior art keywords
- server
- address
- client
- addresses
- terminal device
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
Изобретение относится к телекоммуникации и вычислительной технике и может быть использовано для организации работы публичных компьютерных сетей, обеспечивающих взаимодействие терминального устройства со стороны клиента и сервера (модель клиент-сервер) с повышенной устойчивостью к сетевым атакам DDoS.The invention relates to telecommunications and computer technology and can be used to organize the operation of public computer networks that provide the interaction of the terminal device from the client and server (client-server model) with increased resistance to network DDoS attacks.
Известный способ взаимодействия клиент-сервер (В.Г.Олифер, Н.А.Олифер, Компьютерные сети. Принципы, технологии, протоколы. 4-е издание, 2010), схема реализации которого представлена на фиг.1, использует терминальное устройство, выступающее в качестве клиента 1, которое подключено к сети Интернет 5 через маршрутизатор 2. В свою очередь сервер 3 подключен к сети Интернет 5 через маршрутизатор 4. Неотъемлемой частью сети для взаимодействия терминала и сервера является также доступный в сети интернет-сервер доменных имен (DNS), обозначенный блоком 6, и система серверов 7 обеспечения безопасного соединения (SSL), выполняющих функции авторизации клиентского терминала и передачи ему ключа для соединения с сервером.A known method of client-server interaction (V.G. Olifer, N.A. Olifer, Computer networks. Principles, technologies, protocols. 4th edition, 2010), the implementation scheme of which is presented in Fig. 1, uses a terminal device as a
Функционирование известной защищенной системы клиент-сервер определяется следующими основными процессами. Терминальное устройство 1 направляет через свой маршрутизатор 2 и далее через сеть Интернет 5 последовательность IP пакетов, адресованных серверу DNS 6, определяющих запрос на получение IP адреса сервера 3. DNS сервер 6 формирует последовательность IP пакетов в адрес терминального устройства 1, содержащих информацию об IP адресе сервера 3. Эта последовательность пакетов доставляется терминалу 1 через сеть Интернет 5 и конечный маршрутизатор 2, к выходному порту которого подключено терминальное устройство 1. Терминальное устройство 1, получив IP адрес сервера 3, направляет в его адрес последовательность IP пакетов, определяющих запрос на получение идентификационных данных в форме стандартизованного сертификата. Сервер 3 отправляет устройству 1 копию сертификата, содержащего подпись удостоверяющего центра для проверки правильности сертификата. Терминальное устройство 1, получив копию сертификата по подписи удостоверяющего центра, определяет IP адрес сервера удостоверяющего центра 7 и направляет в этот адрес последовательность пакетов, определяющих запрос на доверие полученному от сервера 3 сертификату. Сервер 7 отправляет последовательность пакетов подтверждения доверия сертификату терминальному устройству 1, которое, получив подтверждение доверия от сервера 7, посылает серверу 3 последовательность пакетов на установление соединения. Сервер 3 отправляет терминальному устройству 1 последовательность пакетов подтверждения начала защищенной сессии, содержащих электронную подпись сервера 3. Терминальное устройство 1, используя секретный ключ, шифрует свои данные и передает их в виде последовательности пакетов серверу 3. В свою очередь, сервер 3 шифрует свои данные своим секретным ключом перед передачей последовательности пакетов терминальному устройству 1. Так осуществляется безопасный обмен данными между терминальным устройством 1 и сервером 3, подключенными к сети Интернет.The functioning of the known secure client-server system is determined by the following main processes. The
Однако описанное функционирование системы клиент-сервер становится невозможным, если число терминальных устройств 1, посылающих последовательность пакетов на IP адрес сервера 3, становится настолько большим, что сервер 3 не успевает установить со всеми терминальными устройствами соединение для обмена данными. Это явление называется перегрузкой сервера 3. Для борьбы с перегрузкой сервера необходимо повышать производительность его аппаратуры или организовывать параллельную работу нескольких комплектов аппаратуры с одним и тем же IP адресом. Явление перегрузки сервера используется злоумышленниками в сети Интернет для выведения из строя избранных серверов. Такой способ выведения сервера из строя называется атакой на сервер типа «отказ в обслуживании» - DoS (DoS - Denial of Service). Обычно для увеличения потока запросов на сервер используют не один терминал, а большое число одновременно посылающих запросы терминалов. В этом случае атаку называют «распределенной атакой» - DDoS (Distributed Denial of Service). Поскольку увеличение потока запросов создается увеличением числа терминалов, называемых при использовании для атаки «ботами», то борьба с DDoS атаками представляет сложную, трудноразрешимую задачу. Какой бы уровень производительности сервера не был достигнут, начиная с некоторого числа ботов, создаваемый ими поток запросов может превысить допустимый уровень для любого сервера.However, the described operation of the client-server system becomes impossible if the number of
Из уровня техники известны технические решения для решения задачи защиты сервера от DDoS атак.The prior art technical solutions for solving the problem of protecting the server from DDoS attacks.
Так, в заявке на патент США №20100031315 «SYSTEMS AND METHODS FOR PROTECTING AGAINST DENIAL OF SERVICE ATTACKS» представлено решение на уровне приложений. Согласно описанию изобретения процесс работы системы включает следующие основные этапы. Сначала терминальное устройство клиента направляет первый запрос на доступ к серверному ресурсу. Сервером создается запрос доказательства работы, который передается клиенту. Далее этот запрос обрабатывается для выработки нового URL (текстового адреса запроса), направляется второй запрос по выработанному URL, при этом сервер вырабатывает значение, основанное на точности совпадения полученного ответа и сделанного запроса доказательства работы. При попадании выработанного значения в заданные пороговые значения нагрузки на сервер, присваивается уровень приоритета второму запросу клиента, и запрос обрабатывается сервером. Таким образом, предлагаемое решение основано на применении на стороне сервера верификационного фильтра, управляющего установкой приоритета для клиентских запросов в зависимости от уровня нагрузки на сервер к моменту получения запроса от нового терминального устройства клиента.So, in application for US patent No. 201331315 "SYSTEMS AND METHODS FOR PROTECTING AGAINST DENIAL OF SERVICE ATTACKS" presents a solution at the application level. According to the description of the invention, the process of the system includes the following main steps. First, the client terminal device sends the first request for access to the server resource. The server creates a request for proof of work, which is transmitted to the client. Next, this request is processed to generate a new URL (the text address of the request), the second request is sent to the generated URL, and the server generates a value based on the accuracy of the match of the received response and the request for proof of work. When the developed value falls into the set threshold values of the server load, the priority level is assigned to the second client request, and the request is processed by the server. Thus, the proposed solution is based on the use of a verification filter on the server side that controls the setting of priority for client requests depending on the level of load on the server by the time the request is received from the new client terminal device.
В заявке на патент США №20100235632 «PROTECTING AGAINST DENIAL OF SERVICE ATTACKS USING TRUST, QUALITY OF SERVICE, PERSONALIZATION, AND HIDE PORT MESSAGE» предложено следующее решение. Терминальное устройство клиента получает доступ к серверу только после получения оценки уровня доверия данному клиенту с помощью дополнительно установленного сервера создания и обновления криптографически защищенных токенов. Таким образом, сущность предлагаемого в этом патенте решения состоит во введении доступа к серверу с помощью защитного экрана, проверяющего уровень доступа каждого клиента с помощью процедуры передачи клиенту специального программного скрипта JavaScript, выполнение которого порождает ответ серверу для принятия решения о допуске клиента к обмену данными с сервером. Сам процесс выполнения загруженного скрипта JavaScript зависит при этом от получения клиентом подтверждения своего уровня доверия от некоторой внешней сущности, описанной в патенте, которая идентифицирует клиента и выдает ему текущий ключ для обработки упомянутого выше запроса от сервера на выполнение скрипта.US Patent Application No. 201,0235632, PROTECTING AGAINST DENIAL OF SERVICE ATTACKS USING TRUST, QUALITY OF SERVICE, PERSONALIZATION, AND HIDE PORT MESSAGE, proposes the following solution. The client terminal device gets access to the server only after receiving an assessment of the level of trust in this client using the additionally installed server for creating and updating cryptographically protected tokens. Thus, the essence of the solution proposed in this patent consists in introducing access to the server using a firewall that checks the access level of each client using the procedure for transmitting a special JavaScript program script to the client, the execution of which generates a response to the server for deciding whether the client will be allowed to exchange data with server. The process of executing the loaded JavaScript script depends on the client receiving confirmation of his level of trust from some external entity described in the patent, which identifies the client and gives him the current key for processing the above request from the server to execute the script.
Однако данные технические решения также реализуют защиту от DDoS атак на уровне прикладного протокола и не затрагивают уровень передачи IP пакетов.However, these technical solutions also implement protection against DDoS attacks at the application protocol level and do not affect the level of transmission of IP packets.
В заявке на патент США 20110283367 «SECURING A COMMUNICATION PROTOCOL AGAINST ATTACKS» предложено использовать разделение потока передаваемых данных между двумя системами, соединенными через пакетную сеть, на два последовательных сегмента в рамках TCP протокола и сравнение ключей текущего и последующего сегментов с целью детектирования наличия сегмента «чужого» атакующего источника. При обнаружении сегментов, не принадлежащих легальному источнику, прием данных блокируется, предотвращая угрозу атаки.US Patent Application 20110283367 SECURING A COMMUNICATION PROTOCOL AGAINST ATTACKS proposes to use the separation of the transmitted data stream between two systems connected via a packet network into two consecutive segments within the TCP protocol and comparing the keys of the current and subsequent segments in order to detect the presence of a segment someone else’s "attacking source. When segments that do not belong to a legal source are detected, data reception is blocked, preventing the threat of attack.
Известные решения применяют дополнительные средства, позволяющие отличать пакеты атакующих ботов от пакетов, идущих от клиентов на уровне приложений, и не обеспечивают устойчивость системы по отношению к атакам на IP адрес сервера «грубой силы» (т.е. с большой интенсивностью).Known solutions use additional tools to distinguish packets of attacking bots from packets coming from clients at the application level, and do not provide system stability with respect to attacks on the IP address of a brute force server (that is, with high intensity).
Задачей изобретения является создание способа и системы взаимодействия терминального устройства клиента и сервера данных через сеть Интернет, обеспечивающих повышенную устойчивость к сетевым атакам (DDoS).The objective of the invention is to create a method and system for the interaction of the terminal device of the client and the data server via the Internet, providing increased resistance to network attacks (DDoS).
Технический результат заключается в существенном уменьшении влияния на работоспособность сервера пакетов, поступающих на сервер от атакующих ботов.The technical result consists in a significant reduction in the impact on the performance of the server packages arriving at the server from attacking bots.
Поставленная задача решается тем, что, в способе взаимодействия терминального устройства клиента с сервером по сети Интернет, включающем формирование запроса от терминального устройства клиента через сеть Интернет на получение IP адреса сервера, проверку сертификата сервера и сертификата клиента и установление безопасного соединения с последующей передачей пакетов данных, согласно изобретению перед установлением безопасного соединения осуществляют формирование одной или нескольких таблиц IP адресов в виде двоичных кодов посредством выбора псевдослучайной последовательности IP адресов из пула свободных IP адресов, выделенных серверу, и передачей, по крайней мере, одной сформированной таблицы терминальному устройству клиента после установления безопасного соединения с сервером, а передачу одного или нескольких пакетов данных между терминальным устройством клиента и сервером осуществляют с изменением IP адреса сервера, который выбирают из таблицы IP адресов.The problem is solved in that, in the method of interaction of the client terminal device with the server via the Internet, including the formation of a request from the client terminal device via the Internet to obtain the server IP address, check the server certificate and client certificate and establish a secure connection with subsequent transmission of data packets , according to the invention, before establishing a secure connection, one or more tables of IP addresses are formed in the form of binary codes selecting a pseudo-random sequence of IP addresses from the pool of free IP addresses allocated to the server, and transferring at least one generated table to the client terminal device after establishing a secure connection to the server, and transferring one or more data packets between the client terminal device and the server IP addresses of the server that is selected from the IP address table.
Для передачи пакета данных между терминальным устройством клиента и сервером с изменением IP адреса сервера используют последовательность, в соответствии с которой сначала инициируют передачу данных от клиента серверу, при этом в первом пакете, отправляемом клиентом, производят замену инициального адреса сервера на первый адрес из полученной таблицы и передачу пакета данных серверу, на роутере которого при получении пакета от клиента производят сравнение адреса назначения с первым адресом из таблицы и при совпадении адресов производят замену адреса назначения на истинный адрес сервера, после чего осуществляет прием и обработку пакета сервером; затем инициируют отправку пакета данных от сервера клиенту, где в адресе отправителя указывают истинный адрес сервера, который поступает в роутер сервера, в котором осуществляют замену истинного адреса отправителя на первый адрес из таблицы, с последующей передачей пакета на роутер клиента, где осуществляют замену адреса отправителя на инициальный адрес сервера; при отправке второго и последующих пакетов от клиента серверу производят замену инициального адреса сервера из полученной таблицы на второй и последующий адреса, соответственно, и передачу пакета данных серверу аналогично передаче первого пакета. Формирование одной или нескольких таблиц IP адресов осуществляют при загрузке сервера из пула адресов. При проверке совпадения адресов используют штамп времени. Таблицы могут быть сформированы с использованием генератора случайных чисел путем случайной выборки IP адресов из диапазона IP адресов, выделенных для сервера, например, с помощью функции Rand(), при этом таблица содержит не менее двух IP адресов. При формировании нескольких таблиц выбор рабочей таблицы осуществляют в зависимости от соответствующего ей определенного параметра, например заданного промежутка времени, или диапазона адресов клиента, или иного параметра. Для передачи таблицы IP адресов терминальному устройству клиента может формироваться код таблицы, например, в виде набора двоичных чисел, определяющих сдвиг IP адреса от инициального, при этом передачу сформированной таблицы от сервера данных клиенту осуществляют посредством пересылки авторизованному клиенту по безопасному соединению кода, обеспечивающего генерацию таблицы на терминальном устройстве клиента. Формирование таблицы может осуществляться через определенные промежутки времени или на каждую сессию. Изменение IP адреса сервера данных на IP адрес из таблицы может осуществляться по времени, при этом синхронизацию терминального устройства клиента и сервера данных осуществляют с помощью сервера единого времени.To transfer a data packet between the terminal device of the client and the server with a change in the server IP address, a sequence is used in accordance with which the data is first transferred from the client to the server, and in the first packet sent by the client, the server initial address is replaced with the first address from the received table and transferring the data packet to the server, on the router of which, upon receipt of the packet from the client, the destination address is compared with the first address from the table and, if the addresses match, replacing the destination address to the real address of the server, and then receives and processes the packet server; then initiate the sending of a data packet from the server to the client, where the sender address indicates the true address of the server that arrives at the server router, in which the true sender address is replaced with the first address from the table, followed by the transfer of the packet to the client router, where the sender address is replaced to the server’s initial address; when sending the second and subsequent packets from the client to the server, the server initial address is replaced from the received table with the second and subsequent addresses, respectively, and the transmission of the data packet to the server is similar to the transmission of the first packet. The formation of one or more tables of IP addresses is carried out when loading the server from the address pool. When checking for address matches, a time stamp is used. Tables can be generated using a random number generator by randomly selecting IP addresses from the range of IP addresses allocated to the server, for example, using the Rand () function, and the table contains at least two IP addresses. When forming several tables, the selection of the working table is carried out depending on the corresponding specific parameter, for example, a given period of time, or a range of client addresses, or another parameter. To transmit a table of IP addresses to a client terminal device, a table code can be generated, for example, in the form of a set of binary numbers defining the shift of an IP address from the initial one, while the generated table is transmitted from the data server to the client by sending a code to the authorized client via a secure connection that provides table generation on the client terminal device. The formation of the table can be carried out at certain intervals or for each session. Changing the IP address of the data server to the IP address from the table can be done in time, and the terminal device of the client and the data server are synchronized using a single time server.
Поставленная задача решается также тем, что система для взаимодействия терминального устройства клиента с сервером по сети Интернет, включающая, по крайней мере, одно терминальное устройство клиента, сервер данных, сервер доменных имен, сервер обеспечения безопасного соединения, два маршрутизатора, при этом сервер обеспечения безопасного соединения выполнен с возможностью авторизации терминального устройства клиента и передачи ему ключа для соединения с сервером данных, а терминальное устройство клиента, выполнено с возможностью подключения к сети Интернет через первый маршрутизатор, сервер данных выполнен с возможностью подключения к сети Интернет через второй маршрутизатор, согласно изобретению снабжена блоком, обеспечивающим возможность формирования одной или нескольких таблиц IP адресов в виде двоичных кодов, посредством выбора псевдослучайной последовательности IP адресов из пула свободных IP адресов, выделенных серверу, и смены IP адреса по таблице, назначаемой для каждого из соединений с авторизованным терминальным устройством клиента.The problem is also solved by the fact that the system for interaction of the client terminal device with the server via the Internet, including at least one client terminal device, data server, domain name server, secure connection server, two routers, while the secure server the connection is configured to authorize the client terminal device and transmit to him a key for connecting to the data server, and the client terminal device is configured to connecting to the Internet via the first router, the data server is configured to connect to the Internet via the second router, according to the invention it is equipped with a unit that enables the formation of one or more tables of IP addresses in the form of binary codes by selecting a pseudo-random sequence of IP addresses from the free IP pool addresses allocated to the server, and changing the IP address according to the table assigned for each of the connections with the authorized terminal device of the client.
Блок, обеспечивающий реализацию возможности смены IP адреса сервера, содержит блок управления адресом IP пакетов, включенный между первым маршрутизатором и терминальным устройством клиента, блок адресного мультиплексора, включенный между вторым маршрутизатором и сервером данных и отдельным управляющим входом, подключенным к дополнительному адресуемому входу маршрутизатора, а также сервер единого времени, выполненный с возможностью подключения к сети Интернет. Блок управления адресом может включать блок терминального сетевого интерфейса, соединенного с внешним сетевым интерфейсом через блок формирования запроса на получение ключа и блок замены IP адреса в IP пакетах, а также блок приема подтверждения, соединенный через блок задания последовательности изменения адреса с блоком замены IP адреса в IP пакетах. Блок адресного мультиплексора может включать внешний сетевой интерфейс, соединенный с серверным сетевым интерфейсом через блок маршрутизации и блок замены адреса, управляющий сетевой интерфейс, соединенный с блоком маршрутизации и с блоком замены IP адреса через блок хранения последовательности IP адресов и блок задания текущего адреса, а также управляющий блок, соединенный с управляющим сетевым интерфейсом и блоком хранения последовательности IP адресов.The block that provides the possibility of changing the IP address of the server contains an IP packet address control unit included between the first router and the client terminal device, an address multiplexer unit connected between the second router and the data server and a separate control input connected to the additional addressable input of the router, and also a single time server configured to connect to the Internet. The address management unit may include a terminal network interface unit connected to an external network interface via a key request generation unit and an IP address replacement unit in IP packets, as well as a confirmation receiving unit connected via an address change sequence setting unit to an IP address replacement unit in IP packets. The address multiplexer unit may include an external network interface connected to the server network interface through the routing unit and the address replacement unit, a control network interface connected to the routing unit and the IP address replacement unit through the IP address sequence storage unit and the current address setting unit, as well as a control unit connected to the control network interface and the storage unit sequence of IP addresses.
Сущность изобретения заключается в том, что с целью защиты от DDoS атак IP адрес сервера выбирается из выделенного для данного сервера пула адресов, и изменяется по специальному расписанию в соответствии с одной из псевдослучайных последовательностей, назначаемой для каждого из соединений с авторизованным клиентом, или назначаемой для заданного промежутка времени, или сочетание этих двух способов. IP адрес сервера меняется случайным образом по алгоритму, который позволяет использовать весь выделенный для сервера пул адресов, при этом авторизованным клиентам передаются для использования закодированные (в виде ключей) псевдослучайные последовательности IP адресов сервера. IP адреса из данных последовательностей применяются для связи клиента с сервером в определенные временные промежутки, и/или сессии связи.The essence of the invention lies in the fact that in order to protect against DDoS attacks, the server IP address is selected from the address pool allocated for this server and is changed according to a special schedule in accordance with one of the pseudorandom sequences assigned for each connection with an authorized client, or assigned for a given period of time, or a combination of these two methods. The server’s IP address is changed randomly according to an algorithm that allows the use of the entire pool of addresses allocated to the server, while encoded (in the form of keys) pseudorandom sequences of server IP addresses are transmitted to authorized clients. IP addresses from these sequences are used to communicate a client with a server at certain time intervals, and / or communication sessions.
Изобретение поясняется чертежами, где на фиг.1 представлена система, обеспечивающая одно из стандартных взаимодействий клиент-сервер: на фиг 2 - представлена система, реализующая взаимодействие клиент-сервер по заявляемому способу; на фиг.3 и 4 представлен пример реализации блоков 8 и 9 системы фиг.2; на фиг.5 представлен процесс преобразования адресов по пути от клиента 1 к серверу 3 и обратно; на фиг.6 - алгоритм взаимодействия блоков системы; на фиг.7 - схема работы блока адресного мультиплексора при замене адреса прибывающего IP пакета на реальный адрес сервера.The invention is illustrated by drawings, where Fig. 1 shows a system that provides one of the standard client-server interactions: Fig. 2 shows a system that implements client-server interaction according to the claimed method; figure 3 and 4 presents an example implementation of
Позициями на чертежах обозначены: 1 - терминальное устройство клиента (клиент), 2 - маршрутизатор (или роутер), установленный со стороны клиента, 3 - сервер (или сервер данных), 4 - маршрутизатор (или роутер), установленный со стороны сервера, 5 - сеть Интернет, 6 - система серверов доменных имен, например DNS, 7 - система серверов обеспечения безопасного соединения, например SSL, 8 - блок управления адресом IP пакетов, установленный со стороны клиента, 9 - блок адресного мультиплексора, установленный со стороны сервера, 10 - сервер единого времени. Далее перечислены позиции элементов, составляющих блок 8, а именно: 11 - блок терминального сетевого интерфейса, 12 - блок внешнего сетевого интерфейса, 13 - блок замены IP адреса в IP пакетах, 14 - блок формирования запроса на получение ключа, 15 - блок задания последовательности изменения IP адреса, 16 - блок приема подтверждения. Далее перечислены позиции элементов, составляющих блок 9, а именно: 17 - блок внешнего сетевого интерфейса, 18 - блок серверного сетевого интерфейса, 19 - блок управляющего сетевого интерфейса, 20 - блок хранения последовательности IP адресов, 21 - блок задания текущего адреса, 22 - блок маршрутизации, 23 - блок замены IP адреса, 24 - управляющий блок.The positions in the drawings indicate: 1 - the client terminal device (client), 2 - the router (or router) installed on the client side, 3 - the server (or data server), 4 - the router (or router) installed on the server side, 5 - the Internet, 6 - a system of domain name servers, for example DNS, 7 - a server system for providing a secure connection, for example SSL, 8 - an IP packet address control unit installed on the client side, 9 - an address multiplexer unit installed on the server side, 10 - server of uniform time. The following are the positions of the elements making up
Заявляемый способ может быть реализован с помощью системы, представленной на фиг.2, которая содержит стандартные блоки: терминальное устройство клиента 1, роутеры 2 и 4, установленные со стороны клиента и сервера, соответственно, сервер 3, сеть Интернет 5, систему серверов доменных имен 6, систему серверов обеспечения безопасного соединения 7, а также новые блоки: блок управления адресом IP пакетов 8, блок адресного мультиплексора 9 и сервер единого времени 10. Блок 8 включен в разрыв соединения терминальное устройство клиента 1 - маршрутизатор 2. Блок 9 включен в разрыв соединения маршрутизатор 4 - сервер 3 и отдельным управляющим входом подключен к дополнительному адресуемому входу маршрутизатора сервера.The inventive method can be implemented using the system shown in figure 2, which contains standard units: the terminal device of the
Работа системы построена на принципе обязательной авторизации терминальных устройств клиентов и установления безопасного соединения терминального устройства клиента с сервером, которое может быть реализовано по алгоритму, представленному при описании работы аналога (фиг.1). В соответствии с данным алгоритмом клиенты должны зарегистрироваться и получить цифровую подпись (централизованный сертификат).The system operation is based on the principle of mandatory authorization of client terminal devices and establishing a secure connection between the client terminal device and the server, which can be implemented according to the algorithm presented in the description of the analogue operation (Fig. 1). In accordance with this algorithm, customers must register and receive a digital signature (centralized certificate).
Отличительной особенностью работы заявляемой системы является наличие операции формирования таблицы IP адресов, которую осуществляет блок 9, который может входить в состав сервера 3, посредством выбора сервером 3 IP адресов из принадлежащего ему пула адресов. Таким образом, таблица IP адресов формируется из подмножества IP адресов, выделенного сетью сервера или сетью провайдера. Для адресации сервера используется не один IP адрес, а набор IP адресов из таблицы. При этом IP адрес сервера изменяют по специальному расписанию в соответствии с одной из псевдослучайных последовательностей, назначаемой для каждого из соединений с авторизованным клиентом, или по времени. Формирование таблицы IP адресов осуществляют до начала установления безопасного соединения, например в момент загрузки сервера 3. Минимальный размер таблицы должен включать не менее двух IP адресов, максимальный - ограничен объемом выделенного диапазона доступных адресов и объемом памяти, отводимой для хранения таблицы у клиента и на сервере. При этом устойчивость к атакам будет пропорциональна длине таблицы. Формирование таблицы может осуществляться, например, в два этапа. На первом этапе присваивают номер каждому имеющемуся свободному адресу из пула адресов, на втором - с помощью генератора случайных чисел (например, используя функцию генератора случайных чисел, которая присутствует в стандартном окружении) определяют номер, по которому происходит выбор IP адреса из имеющегося пула адресов. Процесс формирования таблицы может быть связан, например, с такими параметрами как время - дни недели, время суток и т.д., или иными параметрами, например, формироваться на каждый запрос или сессию.A distinctive feature of the operation of the claimed system is the presence of the operation of generating a table of IP addresses, which is carried out by
После окончания этапа формирования таблицы осуществляют ее кодирование в виде ключа с последующей передачей данного ключа терминальному устройству клиента. С помощью этого ключа на стороне терминального устройства клиента генерируют таблицу, эквивалентную таблице, которая хранится в блоке 9. Таким образом, при получении терминальным устройством клиента инициального адреса сервера и ключа таблицы, клиент осуществляет восстановление таблицы IP адресов сервера. Ключ может быть реализован в виде последовательности чисел, каждое из которых представляет сдвиг последующего IP адреса от инициального. Инициальным адресом является тот IP адрес, под которым данный сервер известен внешней системе и который сообщает DNS сервер.After the stage of forming the table is completed, it is encoded in the form of a key, followed by transmission of this key to the client terminal device. Using this key, a table equivalent to the table that is stored in
В процессе реализации взаимодействия клиент-сервер осуществляют синхронизацию времени терминального устройства клиента и сервера. Кроме того, в каждый IP пакет записывают метку времени (штамп времени) для учета временного сдвига при прохождении пакета через сеть, по которой проверяют этот пакет на соответствие его адресу, актуальному на момент передачи пакета. Отправитель пакета, например клиент, берет адрес из таблицы, получает информацию от сервера единого времени, добавляя ее в виде метки времени в отправляемый пакет. А получатель пакета, например сервер, анализирует время и IP адрес в полученном пакете, а также время и IP адрес в таблице адресов сервера. В случае, если на указанное в полученном пакете время адреса из пакета и таблицы IP адресов совпадают, пакет передается для дальнейшей обработки сервером. Каждый пакет может передаваться с новым IP адресом.In the process of implementing client-server interaction, the time synchronization of the terminal device of the client and server is performed. In addition, a time stamp (time stamp) is recorded in each IP packet to take into account the time shift during the passage of the packet through the network, by which this packet is checked for compliance with its address that was current at the time the packet was transmitted. The sender of the packet, for example, the client, takes the address from the table, receives information from the single time server, adding it as a time stamp to the packet being sent. And the packet receiver, for example, the server, analyzes the time and IP address in the received packet, as well as the time and IP address in the server address table. If the addresses from the packet and the IP address table match at the time indicated in the received packet, the packet is sent for further processing by the server. Each packet can be transmitted with a new IP address.
Из одного и того же пула IP адресов, выделенных для сервера, может быть построено несколько различных таблиц IP адресов в виде псевдослучайных последовательностей. В один момент времени различные клиенты могут работать по разным таблицам. Таблицы могут быть разными и для разных интервалов времени (по суткам или по часам). Таблицы генерируют на сервере, например, при загрузке, обеспечивая двойной уровень защиты. При работе сервера осуществляют сначала выбор одной из таблиц, затем выбор адреса из выбранной таблицы, что обеспечивает большую устойчивость системы к DDoS атакам.From the same pool of IP addresses allocated for the server, several different tables of IP addresses in the form of pseudo-random sequences can be built. At one point in time, different clients can work on different tables. Tables can be different for different time intervals (by day or by hour). Tables are generated on the server, for example, at boot time, providing a double level of protection. When the server is working, first one of the tables is selected, then the address is selected from the selected table, which ensures greater system resistance to DDoS attacks.
Подключение к работе системы только авторизованных (т.е. имеющих цифровой сертификат) клиентов позволяет системе проводить разграничение между клиентами и ботами. При этом поведение сервера 3 отличается для авторизованного пользователя от поведения сервера по отношению к боту. В известных решениях авторизованный клиент использует для соединения один IP адрес (инициальный адрес сервера), который является единственным в туннеле. И в случае сетевых атак на данный адрес пакеты, отправляемые клиентом на этот адрес, не могут быть обработаны, т.е. происходит отказ в обслуживании. Заявляемый способ значительно повышает устойчивость к DDoS атакам посредством введения оригинальной операции по формированию таблицы IP адресов и использования меняющихся адресов из этой таблицы при передаче пакетов данных после установления безопасного соединения.Connecting to the system only authorized (i.e., having a digital certificate) clients allows the system to distinguish between clients and bots. At the same time, the behavior of
В одном из вариантов исполнения системы, реализующей заявляемый способ, в качестве терминального устройства клиента может выступать и сам роутер 2, блок 8 может быть встроен в роутер 2 со стороны клиента, а блок 9 - в роутер 4 со стороны сервера. Алгоритмы работы блоков 8 и 9 могут быть реализованы аппаратным и/или программным путем.In one embodiment of a system that implements the claimed method,
В частном варианте исполнения внутреннее устройство блока управления адресом IP пакета 8 включает в себя блок терминального сетевого интерфейса 11 и внешнего сетевого интерфейса 12, блок замены IP адреса в IP пакетах 13, блок формирования запроса на получение ключа 16, блок задания последовательности изменения адреса 15 и блок приема подтверждения 14 (фиг.3).In a private embodiment, the internal device of the IP address block control unit of
Блок 9 имеет внутренний состав, также включающий в себя сетевые интерфейсы 17 - внешний сетевой интерфейс, 18 - серверный сетевой интерфейс и 19 - управляющий сетевой интерфейс. Блок замены IP адреса 23 подключен к блоку задания текущего адреса 21 и блоку маршрутизации 22. Блок хранения последовательности IP адресов 20, выход которого подключен к блоку 21, управляется командами от управляющего блока 24 и может изменять свое содержимое из сети через управляющий сетевой интерфейс 19. Управляющий блок 24 взаимодействует с внешними устройствами также через блок 19 (фиг.4).
Важной особенностью заявляемого решения является использование механизма защиты на сетевом уровне протоколов - т.е. более низком, чем известные способы. Для обеспечения снижения нагрузки на сервер от производящих атаку «ботов» и получения всех сетевых пакетов от авторизованного клиента используется смена адреса сервера по расписанию (алгоритму), известному только авторизованному клиенту. При этом клиент в течение сессии обмена данными с сервером меняет по этому алгоритму IP адрес сервера на своей стороне. Боты не имеют достоверной информации о расписании смены IP адреса сервера, не могут сформировать поток пакетов в адрес сервера, а следовательно, значительной нагрузки, нарушающей его нормальное функционирование.An important feature of the proposed solution is the use of a security mechanism at the network level of protocols - i.e. lower than known methods. In order to reduce the load on the server from the “bots” that carry out the attack and receive all network packets from an authorized client, the server address is changed according to a schedule (algorithm) known only to the authorized client. At the same time, the client during the data exchange session with the server changes according to this algorithm the server IP address on its side. Bots do not have reliable information about the schedule for changing the server IP address, cannot form a packet stream to the server address, and therefore, a significant load that disrupts its normal functioning.
Авторизованный клиент и сервер используют согласованную и/или синхронную смену IP адреса сервера, тем самым обеспечивая непрерывный процесс передачи информации, причем только авторизованный клиент знает о расписании изменения IP адреса сервера, для других неавторизованных пользователей это расписание не известно.The authorized client and server use a coordinated and / or synchronous change of the server IP address, thereby ensuring a continuous process of information transfer, and only the authorized client knows about the schedule for changing the server IP address, for other unauthorized users this schedule is not known.
В частном случае, система, реализующая заявленный способ, работает следующим образом.In the particular case, a system that implements the claimed method works as follows.
Сервер 3 с помощью блока 9 формирует одну или несколько таблиц IP адресов из пула (диапазона) свободных адресов, выделенных серверу провайдером. Формирование таблицы IP адресов происходит путем построения из них псевдослучайной последовательности - т.е такой последовательности, когда адреса в таблице представлены не последовательно из используемого пула адресов, а свободные адреса из пула выбираются псевдослучайным образом. Таблицы IP адресов могут формироваться для использования в различные промежутки времени, и/или для разных сессий и/или для разных клиентов. После формирования таблиц сервер готовит соответствующие ключи для передачи таблицы клиенту для переключения IP адресов (например, в виде последовательности двоичных чисел, которые представляют величину сдвига адреса по отношению к инициальному) для дальнейшей передачи их авторизованным клиентам (и расшифровки на стороне клиента) через защищенное SSL соединение.
Клиент 1 формирует запрос на получение адреса сервера 3 в виде передачи последовательности пакетов через блок 8 и маршрутизатор 2 в сеть Интернет 5 к серверу системы DNS 6. Сервер 6 обрабатывает запрос, используя имеющиеся данные о соответствии имени запрашиваемого сервера его IP адресам. В качестве IP адреса сервера используется адрес, записанный в стандартную DNS запись владельцем сервера. Возвращаемый системой DNS адрес не является реальным адресом сервера 3, а принадлежит блоку 9 - адресному мультиплексору. Этот адрес называют инициальным адресом сервера 3.
Получив IP адрес от системы DNS, клиент формирует запрос на установление соединения с сервером 3 по полученному им инициальному IP адресу. Этот запрос в виде последовательности IP пакетов передается через сеть 5 и маршрутизатор 4 на блок адресного мультиплексора 9. Через сетевой интерфейс блока 17 запрос поступает в блок маршрутизации 22, где формируется ответ клиенту, содержащий требование перейти на расширенный защищенный протокол SSL и сертификат безопасности сервера. Этот ответ передается последовательностью пакетов через 17 в сеть 5 и далее к клиенту 1 через маршрутизатор 2 и блок управления адресом 8. Клиент 1, получив это требование, формирует собственный сертификат безопасности, удостоверенный на сервере обеспечения безопасного соединения 7, и отправляет зашифрованный запрос серверу 3. Зашифрованный запрос на соединение по расширенному безопасному протоколу через сеть 5, маршрутизатор 4 поступает в блок 9 на блок маршрутизации 22. Блок 22 вычисляет корректность запроса. В случае его некорректности запрос игнорируется и процесс завершается.Having received the IP address from the DNS system, the client generates a request to establish a connection with
В случае корректности блок 22 вырабатывает сигнал на управляющий блок 24, который формирует запрос получения данных штампа единого времени и направляет его в виде последовательности пакетов через сетевой интерфейс 19 к серверу единого времени 10. Сервер единого времени, получив запрос на штамп единого времени, возвращает данные о текущем времени, которые в виде последовательности пакетов поступают через маршрутизатор 4 и сетевой интерфейс 19 внутрь блока 9 на управляющий блок 24. В этом блоке данные о времени используются совместно с сигналом о корректности с блока 22 для выработки сигнала на блок 20 выбора последовательности IP адресов для сервера 3 и назначения его текущего адреса. Последовательности адресов IP сервера 3 хранятся в виде таблиц адресов в памяти блока 20. Выбор последовательности определяется данными штампа единого времени и выработанным шифрованным ключом, вычисляемым по сертификату сервера. Сервер отправляет в ответ подготовленные ключи таблицы IP адресов через блок 22 и сетевой интерфейс 19, отправляет ответ по расширенному безопасному протоколу клиенту 1 и блоку управления 8 в виде последовательности IP пакетов через сетевой интерфейс 17 и маршрутизатор 4 в сеть 5 и далее на маршрутизатор 2 и через блок 8. Блок 8, получив ответ от 9, формирует запрос на сервер 10 для получения данных о штампе единого времени. Получив ответ от сервера системы единого времени 10 через сетевой интерфейс 12 блок 8 производит следующие действия. Полученные ответ от блока 9 и данные от сервера 10 в виде последовательности пакетов проходят через сетевой интерфейс 12 на управляющий блок 14, в котором вырабатывается сигнал установки текущего адреса запроса к серверу 3. Сигнал поступает на блок 13, в котором хранится расшифрованная из полученного ключа от сервера таблица IP адресов последовательности смены адресов. Для выбора текущего IP адреса сервера используют штамп единого времени, определяющий адрес в этой таблице. В каждый IP пакет записывается метка времени. На стороне сервера при приеме IP пакета анализируется эта метка времени и принимается решение - был ли актуален полученный пакет в момент передачи, т.е. соответствует ли IP адрес в полученном пакете IP адресу из таблицы на указанный в пакете момент времени.If correct, block 22 generates a signal to the
Клиент 1 посылает следующий запрос к серверу 3, используя инициальный адрес сервера. Запрос проходит через блок 8 в виде последовательности IP пакетов и в каждом из них блок 14 изменяет IP адрес на другой, определяемый блоком 13 из таблицы IP адресов. Для обмена информацией с сервером клиент может использовать отдельные пакеты или группы пакетов IP. При дальнейшем взаимодействии с сервером, для каждого отдельного IP пакета или для группы пакетов IP, инициатива перехода по таблице всегда принадлежит клиенту - если клиент не передает запросов - таблица не сканируется, адреса не выбираются.
Пакеты следуют через сетевой интерфейс 12 на маршрутизатор 2 и далее в сеть 5. Все адреса в последовательности IP адресов сервера 3 принадлежат пространству адресов маршрутизатора 4 и поэтому все пакеты, направленные на эти адреса, поступают через маршрутизатор 4 на блок 9. Получив очередной пакет через сетевой интерфейс 17, блок 22 передает его блоку 23, в котором осуществляется проверка адреса в IP пакете на совпадение с текущим адресом сервера на момент времени, определенный штампом единого времени. Если эти адреса совпадают, то в пакете производится замена IP адреса на реальный IP адрес сервера 3 и пакет попадает на вход сервера 3 через сетевой интерфейс 18.Packets go through
Таким образом, стек протоколов сервера работает как обычно в соответствии со стандартным набором протоколов. Клиент 1 в процессе обмена пакетами также работает через стандартный стек протоколов. Однако во всех передаваемых терминалом пакетах с помощью блока 8 производится замена IP адреса получателя на адрес, который берется из таблицы IP адресов и по штампу времени на передаваемом пакете. Такие пакеты предаются через сеть в соответствии с правилами маршрутизации и собираются на маршрутизаторе 4, которому принадлежит вся сетка адресов из используемой последовательности, затем поступают в блок 9, который, анализирует (сравнивает) адреса в принимаемых пакетах и производит замену адреса на реальный адрес сервера на тех пакетах, которые содержат правильный адрес, совпадающий с текущим адресом для конкретной отметки времени. Такие пакеты образуют поток пакетов, направляемый на сервер 3 и обрабатываемый его стеком по обычным алгоритмам.Thus, the server protocol stack works as usual in accordance with the standard set of protocols.
Фиг.5 иллюстрирует процесс преобразования адресов по пути от клиента 1 к серверу 3 и обратно. При этом на фиг.5 терминами «Серия 1» и «Серия 2» обозначены две альтернативные таблицы IP адресов сервера, хранящиеся в блоках 13 и 20 и используемые в зависимости от содержимого полученного ключа, a s(l), s(k) и s(n) -обозначены IP адреса, которые используются в принимаемых и передаваемых пакетах. Фиг.6 показывает диаграмму взаимодействия блоков системы. Фиг.7 более детально раскрывает функциональность работы блоков 20, 21, 23 при замене адреса прибывающего IP пакета на реальный адрес сервера.Figure 5 illustrates the process of translating addresses along the path from
Одним из вариантов заполнения таблицы адресов является ее заполнение псевдослучайной последовательностью, т.е. таким образом, чтобы по наблюдаемым ранее адресам было максимально затруднено прогнозирование последующего значения адреса.One of the options for filling the address table is to fill it with a pseudo-random sequence, i.e. so that at the addresses previously observed it was most difficult to predict the subsequent value of the address.
Следует отметить, что принцип замены адреса в принимаемых пакетах применяется в настоящее время в маршрутизаторах Интернет при использовании технологии, называемой Network Address Translation (NAT). В отличие от предлагаемого способа эта замена осуществляется путем назначения соответствия переменного внешнего адреса устройства на период сессии из пула адресов внутреннему постоянному адресу. Этот механизм применяется для обеспечения коллективного использования внешних сетевых адресов большим числом устройств, не имеющих необходимости постоянного соединения через Интернет. Все пакеты, поступающие к устройству, должны иметь одинаковый IP адрес в течение всей сессии, поэтому такое использование преобразования адресов не решает поставленной в настоящем изобретении задачи.It should be noted that the principle of replacing an address in received packets is currently applied in Internet routers using a technology called Network Address Translation (NAT). Unlike the proposed method, this replacement is carried out by assigning the correspondence of the variable external device address for the session period from the address pool to the internal permanent address. This mechanism is used to ensure the collective use of external network addresses with a large number of devices that do not need a permanent connection via the Internet. All packets arriving at the device must have the same IP address throughout the session; therefore, this use of address translation does not solve the problem posed in the present invention.
В данном изобретении предлагается использование следующих технических приемов: изменение IP адреса сервера по специальному расписанию в соответствии с одной из псевдослучайных последовательностей, назначаемой для каждого из соединений с авторизованным (сертифицированным) клиентом, преобразование IP адресов «на лету» (технология NAT), шифрование с открытым ключом (технология SSL). Использование данных приемов позволяет решить актуальную задачу защиты сервера от DDoS атак, тем самым увеличить уровень надежности работы сервера и информационной безопасности в сети.This invention proposes the use of the following techniques: changing the server IP address according to a special schedule in accordance with one of the pseudorandom sequences assigned for each connection with an authorized (certified) client, converting IP addresses on the fly (NAT technology), encryption with public key (SSL technology). Using these techniques allows you to solve the urgent task of protecting the server from DDoS attacks, thereby increasing the level of reliability of the server and information security in the network.
Claims (14)
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2012119668/08A RU2496136C1 (en) | 2012-05-14 | 2012-05-14 | Method for interaction of terminal client device with server over internet with high level of security from ddos attack and system for realising said method |
PCT/RU2013/000397 WO2013172743A1 (en) | 2012-05-14 | 2013-05-13 | Method for protected interaction between a client device and a server via the internet |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2012119668/08A RU2496136C1 (en) | 2012-05-14 | 2012-05-14 | Method for interaction of terminal client device with server over internet with high level of security from ddos attack and system for realising said method |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2496136C1 true RU2496136C1 (en) | 2013-10-20 |
Family
ID=49357284
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2012119668/08A RU2496136C1 (en) | 2012-05-14 | 2012-05-14 | Method for interaction of terminal client device with server over internet with high level of security from ddos attack and system for realising said method |
Country Status (2)
Country | Link |
---|---|
RU (1) | RU2496136C1 (en) |
WO (1) | WO2013172743A1 (en) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2576488C1 (en) * | 2015-02-17 | 2016-03-10 | Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования "Нижегородский государственный технический университет им. Р.Е. Алексеева" (НГТУ) | METHOD OF CONSTRUCTING DATA NETWORKS WITH HIGH LEVEL OF SECURITY FROM DDoS ATTACKS |
WO2018088942A1 (en) * | 2016-11-08 | 2018-05-17 | Elida, Ltd | Device and method for administration of a server |
RU2656735C1 (en) * | 2017-05-17 | 2018-06-06 | Федеральное государственное бюджетное учреждение науки Институт проблем управления им. В.А. Трапезникова Российской академии наук | Method of organization of client interaction with the server of applications using the service browser |
RU2683486C1 (en) * | 2015-05-15 | 2019-03-28 | Алибаба Груп Холдинг Лимитед | Method and device for protection against network attacks |
RU2684575C1 (en) * | 2018-05-14 | 2019-04-09 | Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации | METHOD FOR CONTROL OF DISTRIBUTED INFORMATION SYSTEM DATA STREAMS IN DDoS ATTACKS |
CN113726917A (en) * | 2020-05-26 | 2021-11-30 | 网神信息技术(北京)股份有限公司 | Domain name determination method and device and electronic equipment |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112087427B (en) * | 2020-08-03 | 2022-09-30 | 飞诺门阵(北京)科技有限公司 | Communication verification method, electronic device, and storage medium |
CN113784354B (en) * | 2021-09-17 | 2024-04-09 | 城云科技(中国)有限公司 | Request conversion method and device based on gateway |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2261472C1 (en) * | 2004-03-29 | 2005-09-27 | Военный университет связи | Method for monitoring safety of automated systems |
US20100138921A1 (en) * | 2008-12-02 | 2010-06-03 | Cdnetworks Co., Ltd. | Countering Against Distributed Denial-Of-Service (DDOS) Attack Using Content Delivery Network |
US7827272B2 (en) * | 2002-11-04 | 2010-11-02 | Riverbed Technology, Inc. | Connection table for intrusion detection |
US7865945B2 (en) * | 2000-05-17 | 2011-01-04 | Sharp Clifford F | System and method for detecting and eliminating IP spoofing in a data transmission network |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1404080A1 (en) * | 2002-09-25 | 2004-03-31 | Siemens Aktiengesellschaft | Method for defense against attacks on nodes in a communication network |
JP4417128B2 (en) * | 2004-02-12 | 2010-02-17 | 株式会社エヌ・ティ・ティ・データ | Communications system |
US8181227B2 (en) * | 2006-08-29 | 2012-05-15 | Akamai Technologies, Inc. | System and method for client-side authenticaton for secure internet communications |
-
2012
- 2012-05-14 RU RU2012119668/08A patent/RU2496136C1/en not_active IP Right Cessation
-
2013
- 2013-05-13 WO PCT/RU2013/000397 patent/WO2013172743A1/en active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7865945B2 (en) * | 2000-05-17 | 2011-01-04 | Sharp Clifford F | System and method for detecting and eliminating IP spoofing in a data transmission network |
US7827272B2 (en) * | 2002-11-04 | 2010-11-02 | Riverbed Technology, Inc. | Connection table for intrusion detection |
RU2261472C1 (en) * | 2004-03-29 | 2005-09-27 | Военный университет связи | Method for monitoring safety of automated systems |
US20100138921A1 (en) * | 2008-12-02 | 2010-06-03 | Cdnetworks Co., Ltd. | Countering Against Distributed Denial-Of-Service (DDOS) Attack Using Content Delivery Network |
Non-Patent Citations (2)
Title |
---|
US 7865945 B2 (DEEP NINES, INC.), 04.01.2011. * |
Олифер В.Г. и др. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов, 3-е изд., СПб, 2006. * |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2576488C1 (en) * | 2015-02-17 | 2016-03-10 | Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования "Нижегородский государственный технический университет им. Р.Е. Алексеева" (НГТУ) | METHOD OF CONSTRUCTING DATA NETWORKS WITH HIGH LEVEL OF SECURITY FROM DDoS ATTACKS |
RU2683486C1 (en) * | 2015-05-15 | 2019-03-28 | Алибаба Груп Холдинг Лимитед | Method and device for protection against network attacks |
RU2724322C2 (en) * | 2015-05-15 | 2020-06-22 | Алибаба Груп Холдинг Лимитед | Method and device for protection against network attacks |
US10931710B2 (en) | 2015-05-15 | 2021-02-23 | Alibaba Group Holding Limited | Method and device for defending against network attacks |
WO2018088942A1 (en) * | 2016-11-08 | 2018-05-17 | Elida, Ltd | Device and method for administration of a server |
RU2656692C2 (en) * | 2016-11-08 | 2018-06-06 | ООО "Элида" | Device and method of server administration |
RU2656735C1 (en) * | 2017-05-17 | 2018-06-06 | Федеральное государственное бюджетное учреждение науки Институт проблем управления им. В.А. Трапезникова Российской академии наук | Method of organization of client interaction with the server of applications using the service browser |
RU2684575C1 (en) * | 2018-05-14 | 2019-04-09 | Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации | METHOD FOR CONTROL OF DISTRIBUTED INFORMATION SYSTEM DATA STREAMS IN DDoS ATTACKS |
CN113726917A (en) * | 2020-05-26 | 2021-11-30 | 网神信息技术(北京)股份有限公司 | Domain name determination method and device and electronic equipment |
CN113726917B (en) * | 2020-05-26 | 2024-04-12 | 奇安信网神信息技术(北京)股份有限公司 | Domain name determination method and device and electronic equipment |
Also Published As
Publication number | Publication date |
---|---|
WO2013172743A1 (en) | 2013-11-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2496136C1 (en) | Method for interaction of terminal client device with server over internet with high level of security from ddos attack and system for realising said method | |
KR100811419B1 (en) | Countermeasure Against Denial-of-Service Attack in Authentication Protocols Using Public-Key Encryption | |
US8302170B2 (en) | Method for enhancing network application security | |
US7600255B1 (en) | Preventing network denial of service attacks using an accumulated proof-of-work approach | |
CA2422334C (en) | Authentication of network users | |
CN106789997B (en) | Encryption method for preventing replay attack | |
KR20030010667A (en) | Systems, methods and software for remote password authentication using multiple servers | |
CN101867473B (en) | Connection establishment method and access authentication system for blocking-attacking resistant shared media terminal | |
RU2530691C1 (en) | Method for protected remote access to information resources | |
Sani et al. | Xyreum: A high-performance and scalable blockchain for iiot security and privacy | |
Rothenberg et al. | Self-routing denial-of-service resistant capabilities using in-packet Bloom filters | |
JP4783340B2 (en) | Protecting data traffic in a mobile network environment | |
CN106657002A (en) | Novel crash-proof base correlation time multi-password identity authentication method | |
CN100512108C (en) | Method for identifying physical uniqueness of networked terminal, and access authentication system for terminals | |
CN111726346A (en) | Data secure transmission method, device and system | |
US11503079B2 (en) | Network security system using statistical object identification | |
Demir et al. | SeReCP: a secure and reliable communication platform for the smart grid | |
Alzahrani et al. | Key management in information centric networking | |
Costea et al. | Secure opportunistic multipath key exchange | |
RU2684575C1 (en) | METHOD FOR CONTROL OF DISTRIBUTED INFORMATION SYSTEM DATA STREAMS IN DDoS ATTACKS | |
Dinu et al. | DHCPAuth—a DHCP message authentication module | |
CN101827079A (en) | Blocking and attacking-resistant terminal connection building method and terminal access authenticating system | |
Halgamuge | Latency estimation of blockchain-based distributed access control for cyber infrastructure in the iot environment | |
US11095687B2 (en) | Network security system using statistical object identification | |
Stulman et al. | Spraying techniques for securing key exchange in large ad-hoc networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PC41 | Official registration of the transfer of exclusive right |
Effective date: 20150331 |
|
MM4A | The patent is invalid due to non-payment of fees |
Effective date: 20160515 |