TW588242B - System and method for handling denial of service server attacks - Google Patents

Description

588242

發明領域 本發明一 般係關於網路伺服器 上處理攻擊的系統與方法。尤其是，4;;m 網路祠服器上處理阻絕服㈣服器攻擊μ種在 發明背 網 對客戶 器之間 去交換 統上， 許 及服務 伺服器 歡迎的 售，傷 復上線 京 路伺服器（ 提供資訊（ 建立連接， 資料（例如 客戶重新開 多伺服器經 。然而，透 谷易遭受到 網際網路飼 害合作願景 因而損失許 例如，網 例如，個 而且然後 ，超文件 始與伺服 由網際網 過網際網 惡意攻擊 服器無法 以及須要 多錢。 際網路 人電腦 客戶與 標不語 器連接 路對公 路開放 。這樣 運作， 足夠的 網站伺服 )。在客 伺服器可 言（h t m 1 ο 眾會員提 伺服器給 的攻擊使 使得目標 技術努力 器）透過網路 戶電腦與伺服 以經由該連接 )網頁）。傳 供資訊、娛樂 公眾存取使得 得伺服器，受 公司無法消 去使伺服器回 攻整伺服Ϊ攻擊的一種形式是阻絕服務（"D〇S,，）攻擊。 向伺:ί疋型式是以比伺服器能夠處理更多的連接請求流 採用二ί、。再者，阻絕服務（” D〇S,，）攻擊可能會從傳統 方法去連繫通訊（TWHS : three-way-hand-shake )過程 ' 建立客戶與伺服器之間的連接中去獲利。 立客第:圖是傳送圖100說明如何使用TWHS安全常式去建 戶與祠服器之間的連接。TCP/IP，在網際網路上最常 4 588242 4

使用的通訊協定，使用這種形式的TWHS安全常式去建立 戶102與伺服器104之間的連接。 傳統上，客戶102藉由傳送一連接請求1〇6給伺服器 104去初始化該連接過程。為回應該連接請求1〇6，伺服器 104傳送一連接請求1〇8，其包含以客戶1〇2傳送一連接請 求106之確認（acknowledgment)。最後，為回應該連^ 請求與確認108，客戶102傳送以伺服器1〇4傳送之連接請 求108之確認110。當伺服器1〇4接收確認11〇，完成該連 接。 在TCP/IP協疋的專門術語（termin〇i〇gy),以，，^^ (同步序列號碼旗標）作為連接請求之參考。以,,Ack"千 為確認的參考。有時”D0S"(參考”Syn"攻擊）攻擊的一 種形式是’ -個或以個以上的客戶以Syn流入祠服器、，但 從未以ACK回應。 第一圖是傳統伺服器通訊軟體的方塊圖，且將有助於 說明從授權的客戶如何D〇s攻擊（例如Syn攻擊）以避免、 祠服器接受連接。#統的伺服器軟體包含飼服器應用程式

(a=llcati〇n) 202，通訊協定堆疊（stack) 2〇4，與連 接仔列（queue ) 206。伺服器應用程式2〇2經由以通訊協 ，堆疊204建立的連接與客戶（在第二圖中未顯示）通 =。連接佇列20 6對處理中的連接請求（pCRs )提供儲 予1而且概念性地區分成完全連接請求2〇8的完全連接佇 3二不完全連接請求210的不完全連接佇列。熟悉該項技 氟、人士都知道並不需要將連接佇列2〇6實質化區分成完

第5頁 588242

五、發明說明（3) ' --- 全連接佇列與不完全連接佇列，但是不論完全與否pcRs的 總數不可以超過一預定數目（例如丨〇 〇 〇 )。 以下將敘述通訊協定堆疊204處理如第一圖的^“安 王书式。當接收到客戶連接請求，通訊協定堆疊2 0 4在連 接佇列20 6中放置接收到的連接請求當作不完全的pcR 210，且傳送連接請求與確認給客戶。然後將不完全的pcR 210放置連接佇列206中直到客戶接收到確認。當客戶接收 到確認（即，TWHS完成），通訊協定堆疊2〇4將不完全的 PCR 210轉換成凡全的pcr 208。傳統上不完全的pcr 210

=在連接列20 6中放置很短的時間直到被祠服器應用程 ’ 202接文而且從連接佇列2〇6中移除。如果連接佇列 是滿的，通訊協定堆疊204必須疏忽下一個客戶連接請 求0 在Syn攻擊中，攻擊者傳送複數個連接請求，但卻不 確^“服器的回應（即’客戶傳送Syn但不會攻擊AcM司 服為Syns)。於是，連接佇列2〇6充滿不完全的pcR 21〇， :士不再從授權的客戶中接受連接請求。已知的通訊協定 二具有逾時（time —out )的特徵，如果在預定時間間隔 β(例如75秒）内未確認，自動刪除不完全的pCR 21〇，但 疋逾時的特徵並不能夠去阻止充斥Syn攻擊的連接佇列。 =可以藉由每秒傳送13. 3syns去填滿在具有l〇〇〇pCR 合7 5心逾時的連接佇列。再者，由於必須允許授權客 戶有足夠的時間去完成TWHS程序，所以不能突然去縮短逾 時J間。另外，在伺服器上處理單元上處理大量的連接請

义，货明詋明（4) - i成服器應用程式減低有價值的處理循環， 接授ΞΪ戶u訊模組有助於在咖攻擊的面對中連 全預測而去處理：攻ϊ訊1莫；；夠：，攻擊與包含安 理單元去處理DOS攻擊負擔的系統與種方^夠除去在祠服器處 發明概述 本發明藉由提供一種且古；查拉从 組去克服與習知技藝關連：妾：：清除能力的通訊模 務攻擊期間從連接件列中去删㈣助於在阻絕服 提供：授權客戶去建立與飼服器連接的：^;求，藉由 本發明的-個方法包含接收：：：機會視 連接仵列是滿的，如果是滿的m’ ★定是否 接佇列，以及在連接佇 =乂 a除一部分的連 在特定實施例中，從連接的客戶連接請求。 完全連接請求。在另_實;*去一個或一個以上的不 或一個以上的最早的連接^求。’從連接仔列中除去-個 式。：::定的時後包含安全常 中多餘的請求1在另—^:王*式去清除在連接佇列 安全列表（例如，授權：；：中"運作該安全常式去維持 據該:巧去許可或除 ：攻擊專等）而且依 本發明可以在各式各樣網路元^實施，其可以包人 588242 五 發明說明（5) 但=限於，主要的伺服器、代理伺服器、轉接器等等。在 特定實施例中揭露，在供網際網路網站伺服器使用的轉接 器卡中崁入佇列清除（(lueue —clearing)通訊模組與代理 伺服器。 較佳實施例之說明詳述 本發明藉由提供一種具有連接佇列清除能力的通訊模 、、且去克服與習知技藝關連的問題。在以下敘述中，宣布數 二標示細節（例如，連接佇列能力、特定協定等等）以提 、皆、對本發明完整的了解 '然而，&悉該項技藝的人士都知 ^兒明適用於本發明的特定實施例，因此 2多變形而不背離本發明的精神。在部分範例中了 二:設備與實糊如，實質媒介、資料封包内容等等 本；㊁技藝的人士都知道已經省略細節部>，卻不會影響 第三圖是說明經由實質網路媒介3〇4耦合到互聯 ^nternetwork)3〇2的系統3〇〇之方塊圖。在特定實 :際網路網㈣服器，互聯刪2是網際網 服器去執行本發日月。 U ^任㈣式的網路伺 系統300包含檔案伺服器（例如 3。6與轉•器卡308。在互聯網3〇2 :=服器） :器卡3。8對客戶309提供資料與從客戶;由轉 客戶309與轉接器卡3〇8之間轉 、〆在 得接為卡308建立與維持網路 第8頁 588242 五、發明說明（6) 連接，而且建立在伺服器3〇6與轉接器卡3〇8之間建立匯流 排連接。於是連接後，轉接器卡3 〇 8行使伺服器3 〇 6從客戶 30 9接收通訊，送出通訊給伺服器3〇6，從伺服器3〇6行使 客戶309接收回應，而且送出回應給客戶309。 伺服器306包含非揮發性（n〇n —v〇latile)記憶體 310，工作記憶體312，伺服器大量資料儲存314，處理單 元316，與一個或一個以上的使用者輸入/輸出（1/〇 )裝 置318，彼此經由伺服器匯流排32〇 (例如，pci匯流排）

互相通訊。非揮發性記憶體3丨〇 (例如，唯讀記憶體與/或 一個或一個以上的硬碟驅動器）即使伺服器3 〇 6是關機時 對存在的資料與碼提供儲存。工作記憶體3丨2 (例如，隨 機存取記憶體）提供可供伺服器3 〇 6運作的記憶體，且包 含在啟動期間載入可執行碼（例如，作業系統）。在其他 程式之間，工作記憶體312包含伺服器應用程式321與通訊 協定堆璺322。伺服器應用程式321包含網路軟體應用程式 (例如，FTP，HTTP，等等），其允許伺服器3〇6作用如一 網路伺服器。通訊協定堆疊322是標準協定堆疊（例如 TCP/IP)透過互聯網有助於與其他機器通訊。標準協定堆 疊疋眾所周知的習知技藝。例如可參閱W . ^

Stevens，TCP/IP Illustrated，第一冊 (Addisi〇n-Wesley，1 994 )，在此可併入作為參考。伺服 器大量資料儲存314提供對資料（例如，耵虬網頁，圖像 檔案，等等”乍資料儲存（例如，一個或一個以上的硬碟 驅動器），祠服器提供給客戶30 9附加到互聯網3〇2上。處

588242 五、發明說明（7) 理單元316在工作記憶體312令執行指令使得伺服器3〇6執 打基本的功能（例如，對客戶提供資料與從客戶接收資 料）。傳統上I/O裝置318包含鍵盤、監視器、及/或其他 有助於讓使用者/管理者與伺服器3〇6互動的裝置。在像是 網際網路網站伺服器的網路伺服器中可以發現到每一傳統 使用的上述元件。 轉接器卡308包含非揮發性記憶體323，工作記憶體 324，處理單元326，匯流排協定橋接器328，與網路控制 器329，全部可經由轉接器匯流排33〇互相通訊。即使轉接 器308是關機時非揮發性記憶體323對存在的資料與碼（例 如，啟動碼）提供儲存。處理單元326藉由執行在工作記 憶體324的碼給予轉接器卡3〇8功能。在轉接器匯流排33〇 與伺服器匯流排320之間匯流排協定橋接器328提供界面， 與在轉接器匯流排3 3 0與網路媒介3 〇 4之間網路控制器3 2 g 提供界面。 工作記憶體324提供可供轉接器卡3〇8運作的記憶體， 且包含代理應用程式332，連接佇列333 ,與佇列清^訊 模組3 34。在啟動時從非揮發性記憶體3 23載入代理器332 與佇列清除通訊模組334到工作記憶體324，而且在運作期 間以通訊模組334產生連接佇列333。最好，從一個或一個 以上的替代原始，包含但並不限於非揮發性記憶體3丨〇或 伺服器30 6的大量資料儲存314去載入代理器332與協定堆 疊322 (P9 L8 )。當以處理單元32 6執行時，代理器332經 由佇列清除通訊模組334去接受與管理上述在轉接器3〇8與 588242 五、發明說明（8) 飼服器30 6之間及在轉接器3〇8與客戶3〇9之間的連接。

在本發明的特定實施例中，協定堆疊322是標準（例 =，tcp/ip)協定堆疊，而且通訊模組334是標準協定堆 豐’根據本發明其已經被修改成具有仔列清除能力。在轉 接器308中使用標準通訊協定堆疊的修正版本有助於使用 已經在大部分主要的網路伺服器中出現之標準通訊軟體 (例如’協定堆疊3 2 2 )。雖然，熟悉該項技藝的人士都 知道’該特定元件（即使沒有明確強調，如同其他描述的 元件）不是本發明的必要元件。例如，在伺服器3 〇 6與轉 接器30 8二者可能以習用通訊軟體（例如，在伺服器應用 程式321與通訊模組334或代理器33 2之間直接通訊）執行 本發明。再者，在本發明的特定實施例中，可以藉由提供 代理器3 3 2去直接存取在伺服器3 〇 6的資源（例如，伺服器 大量資料儲存3 1 4 )而省略該元件。在另一範例中，在伺 服器3 0 6的工作記憶體3丨2中可以直接採用佇列清除通訊模 組334與連接佇列333，而不須要在轉接器卡3〇8中的代理 器應用程式或協定堆疊。在另一範例中，經由網路連接與 祠服器30 6通訊，在與伺服器3〇6分離的代理伺服器中執行 代理器332，連接佇列333，與佇列清除通訊模組334。提 供列出範例是為了解說本發明的彈性，卻不希望被認為是 想要提供本發明的可能實施例之全部表列。 轉接器卡308經由在匯流排協定橋接器328 (P7 L2) 與祠服器匯流排320之間匯流排連接336耦合到伺服器 3 0 6 °在該特定實施例中，匯流排連接336是傳統的匯流排

第11頁 588242 五、發明說明（9)

擴充槽，例如PC I插槽。雖然，熟悉該項技藝的人士都知 道’可此以其他形式的匯流排連接執行本發明，包含彳曰不 限於I S A插槽，USB插槽，序列插槽，或平行插槽。在代理 Is 3 3 2與伺服器應用程式3 2 1之間匯流排連接3 3 6有利於高 速、大封包容量、相當少的失誤（與網路連接相比較）通 訊，大量降低在伺服器306之處理單元316上連接管理負 擔。另外，在該特定實施例中，轉接器卡3〇8之處理單元 3 26處理DOS攻擊的負擔，釋放處理單元31 6去執行伺服器 3 06的基本功能。總結，代理器332 (在處理單元326上^ 行）與客戶3 09透過慢速、錯誤傾向（prone )網路連接通 訊，而且然後行使客戶309上透過高速匯流排連接336與祠 服器應用程式321通訊。再者，將參考第四圖去描述，即 使是在DOS攻擊時佇列清除通訊模組334在處理單元326上 執行而且建立與客戶309之連接。

第四圖是工作記憶體324之方塊圖以較詳盡說明連接 仔列333與佇列清除通訊模組334。熟悉該項技藝的人士都 知道’當說明通訊模組3 3 4的各式各樣軟體模組作為互連 (interconnect )功能方塊，軟體模組是在當以處理單元 3 26 (第三圖）執行彼此通訊的工作記憶體324中所儲存可 執行碼之實際方塊。 再者’連接佇列333包含不完全連接請求426與完全連 接請求428二者，但不一定必須是工作記憶體324的特定實 體部分。更可能，連接佇列33 3是由具有預定最大數目的 處理中連接請求（PCRs )之通訊模組334產生的列表。該

588242

列表包含完全PCRs與不完全PCRs二者，而且可以概念性地 區分成完全連接佇列與不完全連接佇列，但是pCRs的總數 不能超過連接佇列333的預定容量。 在本發明的特定實施例中，佇列清除通訊模組334是 修正過的TCP/IP.疊包含插槽層（s〇cket iayer)4i〇， $正過的TCP層412，IP層414，與裝置層41 6包含網路驅動 器6與伺服器匯流排驅動器4丨8。除了 Tcp層41 2外，協定 隹且3 3 4的母一個別層之功能，是屬於習知技藝，因此， 不在此詳細討論。

修正過的TCP層412包含傳輸控制（TC)模組42〇 ,清 f仔列模組422 ’與安全模組424。傳輸控制模組42〇與習 知的tcp層功能是相同除了傳輸控制模組42〇具有能力去呼 叫清除佇列模組422與安全模組424中之一個或二者，當接 收到$戶連接請求且連接佇列333是在滿的狀態時。

當以傳輸控制（TC)模組420呼叫清除佇列模組422 立丄藉由從連接佇列333至少除去一個pcr而去清除至少一 j =的連接佇列3 3 3，而且傳送一重設信號給被刪除連接 ^ ♦有關連之客戶3〇9(第三圖）。在本發明的特定實施 歹^中，清除佇列模組422從連接佇列333刪除最早的不完全 生R 雖然，熟悉該項技藝的人士都知道，可能採用佇列 ’、Π要’包含但不限於從連接仔列μ 3刪除複數個p [ r s 或依據一些準則（例如，原始IP位址，等等）而不是在連 接件列333的時間去刪除pCRs。 當TC模組420決定連接佇列333是在滿的狀態時，以κ

第13頁 588242 五、發明說明（11) 模組420呼叫之安全模組424是一般目的安全模組。可替換 地，安全模組424區段的掃瞄連接佇列333而且自我執行 (self-executing )去回應連接佇列333當其是在滿的狀 態。在另一狀態下，一旦依據一些準則（例如，原始丨p位 址）啟動安全模組4 2 4去過濾進來的客戶連接請求。例 如，從特定原始（即，攻擊者）疏忽所有進來的連接請 求。 以下將敘述仔列清除通訊模組41 2建立在代理器3 3 2與 客戶3 0 9之間連接。當T C模組4 2 0接收到從客戶3 〇 9之連接 請求，TC模組420在連接佇列333中放置連接請求作為不完 全PCR 426且傳送Syn/Ack給關連的客戶3〇9。然後，當TC 模組420接收到從客戶之ACK (完成TWHS )，不完全pcr 426被轉換成完全PCR 428，然後以代理器332接受而且從 連接彳τ列3 3 3除去。當接收到客戶連接請求時如果連接佇 列3 33是在滿的狀態時（已經有最大數目之實體），缺後 TC模組420呼叫清除佇列模組422去清除至少一部分的連接 佇列333以提供空間給進來的客戶連接請求。然後，tc模 組420在連接佇列333中放置進來的客戶連接請求。 、 清除至少一部分（例如，最早的不完全PCR)的連接 二列3 3 3以提供空間給進來的客戶連接請求以提供給授權 戶去建立與代理器332連接的機會視窗，而且要求攻擊 者產生較高頻率的連接請求以阻擋與代理器332的連接。 u習知的協定堆叠中’當逾時期間（period)乘上 連接明求抵達速率（rate)大於連接佇列的容量時阻絕服

第14頁 588242 五、發明說明（12) =發生。在1 000 PCRS的連接仔列容量與75秒的逾時期 間，攻擊者每秒將只須要產生丨3 絕服務發生。 ^連接研求就此彳丨起阻 根據本發明’雖然’作列清除通訊模組似繼續接典 進來的連接請求，從連接佇列清除至少一pCR，且在 放置進來的連接請求。結果是以連接仔列去循環進 pH/請求，給授權客戶機會（即，在連接仔列422中 p口cr主的時間）視窗去完成聰與完成pcR。當清除模組 除不完全PCR，在機會視窗内不須要一定要由代理器 接文元全的PCR。連接的全程旅遊時間（rtt : Tound^trip-time )是伺服器的連接請求抵達到客戶與客 戶t 抵達伺服器之需要時間的總和。現今對大部分互 網連接之RTT是小於250微秒（millsecond)。因此，當丄 連接佇列中之授權客戶的PCR是至少25〇微秒，可能是^ 連接。 +為了使攻擊者在伺服器上引起阻絕服務執行本發明， 將需要夠高的連接請求抵達速率以減少時間在連接仔列 =3中耗費不完全pcR 426低於連接的RTT。例如，在連接 中停留的不完全PCR時間是等於以連接請求抵達速率 區分之連接佇列333的容量。對具有1〇〇〇實體容量與25〇微 2'RTT的連接佇列範例，攻擊者每秒將須要產生4〇〇〇連接 f求^能引起阻絕服務。速率是大於在前述範例之習知協 1堆疊上所要求的阻絕服務（每秒13· 33連接請求）之3〇〇 倍。換言之，本發明實施例範例提供比習知技藝強3〇〇倍 第15頁 588242

保護。 第五圖是根據本發明有助於在客戶與伺服器 之特定方法5 0 0的概述流程圖，而且將來二σ 的實施例範例去描述。然而，本發明之四圖說明 限制在第三-四圖說明的特定實施例。實際上，’ 樣系統中，包含但不限於獨立（shndifoM)祠服^各 代理伺服器、轉接器卡等等，預期本發明的方法是有用 的0 在第一步驟50 2，TC模組420接收到從客戶3〇9之連接 請求（Syn) ’在第二步驟504,決定是否連接仔列333是 滿的（例如，最大數目的PCRs)。如果連接仔列333不$ 滿的，然後到第三步驟506。了(：模組420在連接佇列333 = 放置連接請求作為不完全PCR 426且傳送請求/確認 (Syn/Ack)給客戶30 9。接下來，在第四步驟5〇8"，代模 組420決定是否客戶30 9已經確認該不完全pCR 426。如果 客戶30 9尚未確認該不完全pCR 426，然後到第五步驟 510，TC模組420決定是否該不完全PCR 426已經逾時 (即’在連接佇列333是大於預定時間限制）。如果該不 完全PCR 426已經逾時，然後到第六步驟512，Tc模組42〇

傳送 重5又仏5虎給客戶3 0 9 ’且在第七步驟5 1 4中從連接仔 列333刪除不完全pcr 426。 T 如果在第四步驟508，TC模組420決定連接仔列333是 滿的，然後方法50 0進入第八步驟516其中TC模組420從連 接佇列333刪除最怎的不完全pcr。接下來，在第九步驟

588242 五、發明說明（14) 518中，TC模組420呼叫安全模組424去執行安全的安全常 式（例如，原始IP位址去過滤下一個不完全的連接請 求）。方法5 0 0返回第三步驟5 0 6。 如果在第四步驟508，TC模組420決定客戶3〇9已經接 收到該不完全p C R之確認，方法5 0 0進入第十步驟5 2 〇其中 TC模組420將不完全PCR 426轉換成完全pCr 428。接下、 來，在第十一步驟522中，TC模組420決定是否完全連接 PCR已經被代理器332接受。如果沒有，周期性重複第十一 步驟5 22 ’直到完全pcr 428被代理器332接受。方法50 〇返 回第七步驟5 1 4。 現在完成本發明的特定

可以作出許多變形 範圍旨在包括落在 在此描述的仔列清 執行，可以在任何 伺服器之間的連接 貫施，包含但不限 卡等等。熟習本記 有方面的考慮是作 而不背離 本發明的 除通訊模 通訊軟體 。另外， 於主要的 憶者須了 為示例性 實施例 本發明 範圍和 組不須 中實施 本發明 伺服器 解本發 的而不 之描述。因此應該明έ 的精神。附加申請專牙 精神内的變形。例如， 要在TCP/IP協定堆疊今 以建立或安排在客戶病 可以在不同網路元件中 、代理祠服器、轉接器 明所揭露的實施例在糾 是為了進行限制。

588242

本發明參考下列圖示去描述， 表示相同的元件。 其中標示的參考號碼是 ==H;S安全常式的傳送圈用來去建立客戶與词服器 第二圖是說明傳統伺服器通訊軟體的方塊圖； 第三圖是根據本發明伺服器之方塊圖，伺服器包含具有件 列清除通訊協定堆疊的轉接器卡； τ 第四圖是較詳盡說明第三圖中佇列清除通訊協定堆疊的特 定實施例之方塊圖；以及 第五圖是根據本發明有助於與伺服器的客戶連接之特定方 法的概述流程圖。 圖式元件符號

102 客戶 104 伺服器 106 連接請求 202 伺服器應用程式 204 通訊協定堆疊 206 連接佇列 208 完全連接請求 210 不完全連接請求 300 系統 302 互聯網 第18頁 588242

第19頁 圖式簡單說明 304 網路媒介 306 伺服器 308 轉接器卡 333 連接佇列 310 非揮發性記憶體 312 工作記憶體 314 伺服器大量資料儲存 316 處理單元 318 輸入/輸出（I/O )裝置 320 伺服器匯流排 321 伺服器應用程式 322 通訊協定堆疊 326 處理單元 328 匯流排協定橋接器 329 網路控制器 323 非揮發性記憶體 332 代理器 333 連接佇列 334 佇列清除通訊模組 426 不完全連接請求 428 完全連接請求

Claims (1)

1. 588242 /、、申清專利範園 ^種以伺服器促進網路連接的方法，包括 接收客戶連接請求， 括 決定f否連接佇列是滿的， 如果是滿的狀況時至少音一 放置該接收的客戶;；；；，刀的連接仔列，以及 2的= = 項的方法，其中該至少清除-部分 3如Π奎包括從該連接佇列刪除-連接锖喪 3. 如申凊專利範圍第2項的方法遲？求。 一連接請求之步驟包括σ & 、+ -連接彳τ列刪除 4. 如申凊專利範圍第3項的方法運接:求。 除-不完全的連接請求之該步驟包括3遠連接“i只刪 早的不完全連接請求。 μ連接彳τ列刪除最 5. 如申請專利範圍第2項的方法，α 一連接請求之該步驟包括從兮·，、之以連接佇列刪除 連接請求。^ "括從°亥連接符列刪除最早的不完全 6. 如申請專利範圍第2項的方法，1 一連接請求之該步驟包括傳送—4、中==接彳宁列刪除 求有關連之客戶。 °又。唬…被刪除連接請 7·如申請專利範圍第1項的方 連接佇列是滿的時後包含安全常式、。l如果當決定 8·如申請專利範圍第7項的方法，工苴♦兮 火 據他們的原始IP位址去過據下_ Χ王:式匕括依 求。 卜個不元全的客戶連接請 9·如申請專利範圍第1項的方法，其中接收客戶連接請求

   第20頁 588242 六、申請專利範圍

   作為該伺服器的代理 之該步驟包括接收該客戶連接請求 器。 10· 一種電腦可讀取的媒體，在其中且 電腦去執行如申請專利範圍第丨項的方法，入螞用來 u· 一種電腦可讀取的媒體，在其中且古二 電腦去執行如申請專利範圍第2項的方法^入碼用來 I2· 一種電腦可讀取的媒體，在其中且古二 電腦去執行如申請專利範圍第3項的；J戍入碼用來引起 一種電腦可讀取的媒體，在其中且. 電腦去執行如申請專利範圍第4項的2炭入碼用來引起 • 種電腦可言買取的媒體，在其中且古山 電腦去執行如巾請專利範圍第5項的^ 來引起 I5· 一種電腦可讀取的媒體，在其 /二 電腦去執行如申請專利範圍第6項的^法，入碼用來引起 16·—種電腦可讀取的媒體，在其 '二 電腦去執行如申請專利範圍第7:員的；法，入碼用來引起 17·—種電腦可讀取的媒體，在1 二二 電腦去執行如申請專利範圍第8項的；，入碼用來引起 18·—種電腦可讀取的媒體，在其 / 。 電腦去執行如申請專利範圍第9項；崁入碼用來引起 19·—種伺服器用來在網路上建 < 。 包括： 14客戶連接，該伺服器 網路控制器用來經由該網路去 -記憶體裝置用來儲存資料與碼 ：連接請求； 4竭包含一連接仔列與

   588242 六、申請專利範圍 —通訊模組，該通訊模組是用來接收該客戶 二果”接佇列是滿的狀況時運作至少清除:的 2列與在該連接仔列中放置該客戶連接請求，以及連接 —處理裝置，耦合到該記憶體裝置盘 執行該碼。 H用路控制器，用來 20.如申請專利範圍第19項的伺服器，宜 ^疋滿的運作用來接收該客戶連接請求之該关卄 k該連接佇列去刪除一個連接請求。 〇 以 21 ·如申請專利範圍第2 〇項的伺服器，i 列是滿的運作用來接收該客戶連接請求、果3模連接符 2，該連由接J宁列去刪除-個不完全的連接請；模組’以 =是滿的運作用來接收該客戶連接請求之中該如果=接件 從該連接仔列去刪广一彳导 — ° 4、、、且’以 23·如申蜻鼻刹」除一個最早的不元全的連接請求。 甲明專利乾圍第20項的伺服器，豆中如 列是滿的運作用水垃^ ^ 土 八〒如果該連接佇 從該連接佇歹:去：J收f :戶連接請求之該通訊模組，以 到去刪除一個最早的連接請求。 击凊專利範圍第20項的伺服器，其中該诵 戶。 傳送一重設信號給被刪除連接請求有關連之客 2 5.如申諳直糾# 該記憶體/置利二圍第19項的伺服器’其中： 當連接仵歹 =包括一安全模組；以及 26如申的時後該安全模組包含安全常式。 • %寻利範圍第25項的伺服器，其中該安全常式包

   第22頁 ⑽242 六、申請專利範圍 B從该連接佇列去清除多餘的連接。 如申請專利範圍第26項的飼服器，其中該安全常式包 維護授權客戶的列表；以及 接仔列去清除其它多餘的連接時，從該授權客戶 允許多餘連接請求以在該連接佇列中維持。 2括8.二申2專利範圍第25項的伺服器，其中該安全常式包 29 Λ Λ的原始1?位址去過攄不完全的連接請求。 ▲ •如申㈣專利範圍第1 9項的伺服器，其中： 讀飼服器是代理伺服器；以及 器Λ包含一有助於與第二伺服器溝通的轉接器。 〇·如申靖專利範圍第29項的伺服器，1 該祠服器是崁入在轉接器卡中；^及/、 · =轉接器有助於與第二伺服器匯流排連結。 上·如申請專利範圍第19項的伺服器，i中： 遠通訊模組是崁入在轉接器卡中；以及、 ί轉包轉接11有助於與耗服器匯流排連結。 μ & _ & $ 列去/月除多餘的連接請求。 ^作如去申清專利範圍第32項的伺服器，其中該通訊模組是 維護授權客戶的列表；以及 g处該連接狩列去、、主w甘^ 允$彡#、^ 1除八他多餘的連接時，從該授權客戶 允。斗夕餘連接請求以在該連接符列中維持。 戶

   第23頁