TW503349B

TW503349B - Technique of defending against network connection flooding attacks

Info

Publication number: TW503349B
Application number: TW089125769A
Authority: TW
Inventors: Kira Sterling Attwood; Linwood Hugh Overby Jr; Chien-En Sun
Original assignee: Ibm
Priority date: 2000-02-11
Filing date: 2000-12-04
Publication date: 2002-09-21
Also published as: GB0101192D0; GB2363951A; JP3560553B2; US7137144B1; GB2363951B; JP2001273209A

Description

A7

五、發明說明（1 ) 經濟部智慧財產局員工消費合作社印製技術領域本發明一般相關於網路的領域並特定於防護免於心懷不軌的使用者嘗試藉由以網路流量來大量連結伺服器使伺服益不能作用的攻擊。 1明背景大量連結的攻擊在最近被日益頻繁地用來針對並使網際 ”罔路上的伺服态不能作用。一大量連結攻擊發生在使用者在相當短的時間期間内送出很大數目的要求給一伺服器，止圖要過載並使伺服器無法作用。來自惡意使用者的大量封包可以使伺服器過載，如同來自組態錯誤之手統的封包可以使伺服器過載。但是最終的結果是一樣的；伺服器嘗試：務此要求而過載。這阻擋了合法要求的及時服務並常使侍伺服益無法作用或使之當機。最近報紙報導幾個大量連…攻#有名的網站之標的。大量連結攻擊很難用傳統的入侵檢測系統來防範，因爲很難去決定一流量是否爲合法的0 發明概要本發明忒知到蓄意大量連結攻擊及由於暴增的連接要求造成的無意過載情形的影響可以藉由摒棄嘗試區別合法與不法流量的傳統想法而加以緩和。本發明巾，所有的流量 ^項嘗試保證合法的作業將會被執行而飼服器不會在大里連-的^形下當機之—政策的對象，不管這個大量連結是由合法的或是由非法的流量造成的。本發明協助防止词服时因爲過載造成的當機並防止因爲—或多個攻擊者而耗 -4- 本紙張尺㈣财目_轉~ - —---------AWI ^--------^--------- (請先閱讀背面之注意事項再填寫本頁) A7 B7 五、發明說明（2 ) 經濟部智慧財產局消費合作社印製盡所有何服器資源。 /應-主機對一词服器上㈣碼的連接要求，決疋給此主機此埠的途接盤㈢曰佶，一、… 如果此數目超過第-臨限匕、广接勺要求被拒絕。在較佳具體實例中，可以否決一決定來拒絕一連接要屯，4里士日 / 所連接要木如果有關於要求主機的服務品貝/數允樣的否決。然而，在較佳具體實例中，如果此，的可用連接數目少於第：臨限値，任何情況下此連接 :::被拒絕。拒絕特定主機的連接緩和蓄意或無意的連接 ^暴增。否決決㈣定要求根據要求主機特定的服務品貝參數有助於符合對指定主機做出的服務保證。然而，即使出現否決服務品質參數，在抑制性的將可用埠連接數變小的連接拒絕有助於防止伺服器完全的不能作用。在較佳具體實例中，擁有者指定每個大量連結檢查對的蜂號碼一個在任何時間點最大的允許連結數目（M)給個皁以及這個埠剩餘未指定（可用的）控制百分比（p)。發明這蹤一個埠的被指定（不可用）的連接數目並由最大％接數目減去不可用的連接數目來計算出可用的埠連接數目。百分比P係用來建立觸發拒絕一連接要求的起始決定的第臨限値。特定的，如果指定給要求主機的原有連結數目等於或大於可用連接的臨限百分比的話則觸發此起始拒絕。、對於大部分的擁有者而言，連接的最大數目及臨限値很難去设足。因此，提供"統計，，模式，其測量不同伺服器的正常 >瓦量負載並建議不會阻礙合法流量負載的適當最大値目象這本連訂 -5· 本紙張尺度適用中國國家標準（CNS)A4規格— X 297公釐）經濟部智慧財產局員工消費合作社印製刈3349 五、發明說明（3 ) 與限値。這個統計模式不是所揭示發明的部份並且不在此進一步説明。一類似技術可以應用在非連接性的流量，例如UDp資料流。這是專利申請案號一_的主題内容。 ' 圖示簡沭圖示中：圖1及2顯示在一伺服器上執行回應對一埠收到連接要求的動作以確保大量連接要求不會妨礙其他工作的完成且不會使伺服器當機之説明性流程圖。詳細説明本發明使用I發明的词服器擁冑者設定伺服器的某 f參數。範例的方式’較佳的具體實例需要擁有者指定大里連，fe且對象的每個埠號碼一個在任何時間對此埠可允許的最大連接數目（M)以及此埠剩餘可用連接的臨限百分比（P)。一埠的可用連接百分比p建立拒絕一連接要求的第一臨限値。當連接被指定且釋放時，此伺服器維護每個埠指定給每個主機的連接數目。伺服器因而可以在接收一新 f求的時間點動態的計算-料可用連接數目，從指定的最大數目與已經指定給此埠的連接數目。在一連接的TCP/S YN要求在一網路伺服器上第_次接收 =在圖1的步驟1〇〇建立一資料項。一SYN要求爲傳統上建互一 TCP連接時需要的三個流程通訊協定中的第一個同步。、在步驟1〇2,此TCP/SYN要求的認可由伺服器傳回到要求連接的主機。在步驟104，要求的主機傳回一 Tcp認 ------——裝--------訂------— (請先閱讀背面之注意事項再填寫本頁) -6- A7

503349 五、發明說明（4 ) 可。這完成同步的通訊協定。步驟106從要求主機的認可中決定出此要求導向的埠號碼。在TCP中，埠號碼代表特定主機電腦中的要求連接的目的。某些埠已經保留給標準的服務。例如，習慣上指定埠2 1是給檔案傳輸通訊協定 (FTP)使用。要求主機的識別（IP位址）也在此同步通訊協疋期間決定。此埠號碼在步驟1 〇 8用來找出此埠的記憶體仏制£塊或者如果璋控制區塊並不存在的話則建立一個。附加在此埠控制區塊的是目前有一或多個作用中連接的主機的複數個主機控制區塊。如果要求主機並沒有一個.主機控制區塊，則建立一個。一主機控制區塊包含，在其他事物間，目前指定給此主機的埠連接計數。在步驟110，伺服器取得指定給這個埠號碼的最大連接數目Μ，控制百分比P及作用中連接數目A。步驟112&M_ A計算可用連接的數目I。步驟114決定指定給要求主機的連接數目是否等於或大於P乘以I。如果是，則連接要求將被拒絕除非某些其他預防措施否決此拒絕。另一方面，如果已經指定給要求主機的連接數目小於p乘以I，此連接要求在步驟116上被允許，而A遞增一來更新這個埠號碼的作用中連接數目。圖2中的連接點A由步驟114進入，如果已經指定給要求王機的連接數目等於或大於P乘以I。步驟2〇2首先決定出此埠是否在限制狀態下。如果此埠剩餘的間置連接數目等於或小於此埠允許的最大連接數目Μ的某給百分比X的話，此埠是在限制狀態下。在較佳具體實例中χ爲百分之本紙張尺度適用中國國家標準（CNS)A4規格（210 χ 297公釐） — -I -------牵裝—— (請先閱讀背面之注咅？事項再填寫本頁) 訂· 經濟部智慧財產局員工消費合作社印製 503349 五、發明說明（5 ) 。如果是這樣的話’連接要求在步驟m被拒絕。然而：，果此埠並未受到限制，則關於特定於要求主機的服務品免（QOS)規格可以否決法佘方乂么夬决疋來拒絕此連接。在這個案例中，此要求可以在步驟2()6上被允許，該案例中參數八被遞〜W更新。換句話説，步驟2()2、2〇4及細與實做拒絕連接要求的政策有關，㈣有關要纟者的Q〇s政策否決拒絕。但是’如果要求的埠是在限制狀態下，表示此璋只剩下少數的連接，此要求在任何情況下都被拒絕。上已加以説明的電腦程式可以實際的在任何形態的電腦執行，從個人電腦到大型主機例如ΙβΜ的System 39〇如器。唯一的要求是此電腦要組態有網路通訊軟體並且可伺服器地經由網路存取。本發明有關這個領域中的熟練工藝家將可認知到可以對在此揭示的具體實例做出爲數眾多的修改並仍維持在本於明的精神與範轉中。經濟部智慧財產局員工消費合作社印制衣 -8 -

Claims

第089125769號專利申請案中文申請專利範圍修正本(91年8月) 申請專利範圍 !種防護網路伺服器免於遭受大量連接攻擊的方法，其中接收到對飼服器上-埠號碼連接的大量要求，其包含：回應來自一王機對此伺服器上一埠號碼連接的要求，決定出指定給此主機的埠連接數目是否超過—指定的臨限值，而如果是的話，拒絕一連接的要求。 2.如中請專利範圍第1項的方法，其中拒絕此要求還包含：否決此拒絕並允許此要求，如果有關要求主機的服務品質參數允許此項否決。 3·如申請專利範圍第2項的方法，其中如果此埠的可用連接數目少於—限制臨限值的話’則-連接要求在任何情況均被抠絕。 4.如申請專利範圍第丨，2或3項的方法，還包含：精由將百分比P乘以此埠剩餘可用連接數目來計算指定的臨限值。 5· —種預防對網路伺服器大量連結攻並置接收到對飼服器上一璋號碼連接的大量要；中= 含：回應於來自主機對此伺服器上埠號碼的連接要求，用以決定指定給此主機的埠連接數目是否超過一指定的臨限值的裝置，以及回應於此決定裝置來拒絕一連接的要求的裝置。 6·如申明專利範圍第5項的裝置，其中拒絕的裝置還包 ΟΛ67\67924·910807. D〇C\ 503349 六、申請專利範圍

含：回應有關要求主機服務品質參數來允許此要求的裝置。否決要求的拒絕並 7. 如申請專利範圍第6項的裝置，還包含 8· ，在任何情況下拒絕連接要求的裝置，如果此琿的可用連接數目少於一限制的臨限值。如申請專利範圍第5，6或7項的裝置，還包含：用以藉由將百分比P乘以此埠剩餘的可用^接數目計算指定臨限值的裝置。 9· 一種包含用來預防對網路伺服器免於大量連結攻擊的程式碼區段的儲存媒體，其中接收到對伺服器上一埠號碼連接的大量要求，其包含：一啟動來回應來自一主機對伺服器上一埠號碼連接的要求的第一程式碼區段，用來決定指定給此主機的埠連接數目是否超過指定的臨限值，以及回應弟一私式碼區段的弟二程式碼區段，用來拒絕對一連接的要求。 10·如申請專利範圍第9項的媒體，其中第二程式碼區段還包含：一第三程式碼區段，用來否決拒絕並允許此要求，如果有關此要求主機的服務品質參數允許此項否決。 11·如申請專利範圍第1 〇項的媒體，還包含一第四程式碼區段，用來在任何情況下拒絕連接要求的裝置，如果此埠的可用連接數目少於一限制的臨限值。 O:\67\67924-910807.DOQ -2 - 本紙張尺度適用中國國家標準(CNS) A4規格(210X297公釐)

12·如申印專利範圍第9，1 0或1丨項的媒體，還包含：一第五程式碼區段，用來藉由將百分比ρ乘以此埠剩餘的可用連接數目計算指定臨限值。 13· —種包含程式碼區段以預防對網路伺服器大量連結攻擊的載波，其中接收到對秽服器上一蟑號碼連接的大量要求，其包含：一啟動來回應來自一主機對伺服器上一埠號碼連接的要求的第一秸式碼區段，用來決定指定給此主機的埠連接數目是否超過指定的臨限值，以及一回應第一程式碼區段的第二程式碼區段，用來拒絕對一連接的要求。 14.如申明專利範圍第} 3項的載波，其中第二程式碼區段還包含：一第二程式碼區段，用來否決拒絕並允許此要求，如果有關此要求主機的服務品質參數允許此項否決的話。 15·如申請專利範圍第1 4項的載波，還包含一第四程式碼區段，用來在任何情況下拒絕連接要求的裝置，如果此埠的可用連接數目少於一限制的臨限值。 16·如申請專利範圍第} 3，} 4或1 5項的載波，還包含：一第五私式碼區段，用來藉由將百分比p乘以此埠剩餘的可用連接數目計算指定臨限值。 -3- O:\67\67924-910807.D〇a 5 本紙張尺度適用中國國家標準(CNS) A4規格(210X297公釐)