TWM620231U - 避免大量網路連結攻擊之防護裝置 - Google Patents

避免大量網路連結攻擊之防護裝置 Download PDF

Info

Publication number
TWM620231U
TWM620231U TW110209744U TW110209744U TWM620231U TW M620231 U TWM620231 U TW M620231U TW 110209744 U TW110209744 U TW 110209744U TW 110209744 U TW110209744 U TW 110209744U TW M620231 U TWM620231 U TW M620231U
Authority
TW
Taiwan
Prior art keywords
external host
port
connection
large number
server
Prior art date
Application number
TW110209744U
Other languages
English (en)
Inventor
梁雲詔
Original Assignee
狄亞有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 狄亞有限公司 filed Critical 狄亞有限公司
Priority to TW110209744U priority Critical patent/TWM620231U/zh
Publication of TWM620231U publication Critical patent/TWM620231U/zh

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本新型係關於一種避免大量網路連結攻擊之防護裝置,其主要提供防止伺服器過度負荷,以及因為故意攻擊或其他造成大量連接要求可能會造成伺服器的重大損害;其中回應於來自外部主機對一指定埠的連接要求,決定出指定給該外部主機的埠之連接數目,如果這個數目超過第一臨限值,此要求被拒絕;如果附屬於該外部主機服務參數品質允許這樣的否決,亦可能否決這項拒絕;然而,如果該埠的可用連接數目少於第二臨限值,不管怎樣都拒絕此連接要求。

Description

避免大量網路連結攻擊之防護裝置
本新型涉及一種電腦網路之應用領域,尤指一種用於防護免於心懷不軌的使用者嘗試以網路流量來大量連結伺服器而使伺服器不能運作之攻擊。
按,大量連結的攻擊在最近被日益頻繁地用來針對並使網際網路上的伺服器不能作用,一大量連結攻擊發生在使用者在相當短的時間期間內送出很大數目的要求給一伺服器,企圖要過載並使伺服器無法作用。亦即來自惡意使用者的大量封包可以使伺服器過載,如同來自組態錯誤之系統的封包可以使伺服器過載。
但是最終的結果是一樣的;伺服器嘗試服務此要求而過載。這阻擋了合法要求的及時服務並常使得伺服器無法作用或使之當機。最近報紙報導幾個大量連結攻擊有名的網站之標的,而大量連結攻擊很難用傳統的入侵檢測系統來防範,因為很難去決定一流量是否為合法的。
緣此,本新型認知到蓄意大量連結攻擊及由於暴增的連接要求造成的意外過載情形的影響,可以藉由摒棄嘗試區別合法與非法流量的傳統想法而加以解決。因此,本新型創作人乃開發出一種避免大量網路連結攻擊之防護裝置,故本新型之主要目的在於:提供可以辨認出惡意的大量 網路連結攻擊並予以拒絕連結,據以保護伺服器。
為達上述目的及功能,本新型裝置運用如下技術手段:回應外部主機對一伺服器上埠號碼的連接要求,決定出指定給此外部主機此埠的連接數目。如果此數目超過第一臨限值,一連接的要求被拒絕。
在較佳具體實例中,可以否決來拒絕一連接要求之一決定,如果有關於要求外部主機的服務品質參數允許這樣的否決。
然而,在較佳具體實例中,如果此埠的可用連接數目少於第二臨限值,任何情況下此連接要求都會被拒絕。拒絕特定外部主機的連接可以緩和蓄意或無意的連接要求暴增。
而否決決定特定要求係根據外部主機特定的服務品質參數要求,此有助於符合對指定外部主機做出的服務保證。然而,即使出現否決服務品質參數,在抑制性地將可用埠連接數目變小的連接拒絕,則有助於防止伺服器完全的不能作用。
在較佳具體實例中,擁有者指定每個大量連結檢查對象的埠號碼一個在任何時間點最大的允許連結數目M給這個埠,以及這個埠剩餘未指定(可用的)控制百分比P。換言之,本新型裝置會追蹤一個埠的被指定(不可用)的連接數目並由最大連接數目減去不可用的連接數目來計算出可用的埠連接數目。百分比P係用來建立觸發拒絕一連接要求的起始決定的第一臨限值。特別地,如果指定給要求外部主機的原有連結數目等於或大於可用連接的臨限百分比的話則觸發此起始拒絕。
對於大部分的擁有者而言,連接的最大數目及臨限值很難去設定。因此,提供"統計"模式,其測量不同伺服器的正常流量負載並建議不 會阻礙合法流量負載的適當最大值與臨限值。這個統計模式不是所揭示發明的部份並且不在此進一步說明。
據此,本新型裝置藉由上述技術手段,可以達成如下功效:讓裝置中所有的流量是一項嘗試保證合法的作業將會被執行而伺服器不會在大量連結的情形下當機,不管這個大量連結是由合法的或是由非法的流量造成的。換言之,本新型協助防止伺服器因為過載造成的當機並防止因為一或多個攻擊者而耗盡所有伺服器資源。
1:伺服器
11:決定裝置
12:連接要求裝置
2:外部主機
100:步驟
101:步驟
102:步驟
103:步驟
104:步驟
110:步驟
111:步驟
112:步驟
113:步驟
114:步驟
201:步驟
202:步驟
203:步驟
204:步驟
〔圖1〕係本新型避免大量網路連結攻擊之防護裝置之示意圖。
〔圖2〕及〔圖3〕係在一伺服器上執行回應對一埠收到連接要求的動作以確保大量連接要求不會妨礙其他工作的完成且不會使伺服器當機之流程圖。
本新型涉及一種避免大量網路連結攻擊之防護裝置,如圖1所示者,係接收到對一伺服器1上一埠號碼連接的大量要求,其包含:一決定裝置11,係為回應於來自外部主機2對該伺服器1上該埠號碼的連接要求,用以決定指定給該外部主機2的該埠連接數目是否超過一指定的臨限值的裝置;及一連接要求裝置12,係具回應於該決定裝置11外,並可拒絕外部主機2連接的要求的裝置。
首先,本新型需要讓伺服器擁有者設定伺服器的某些參數,換言之,需要擁有者指定大量連結檢查對象的每個埠號碼一個在任何時間 對此埠可允許的最大連接數目M以及此埠剩餘可用連接的臨限百分比P。一埠的可用連接百分比P建立拒絕一連接要求的第一臨限值。
當連接被指定且釋放時,此伺服器會維護每個埠指定給每個外部主機2的連接數目,因此,伺服器從指定的最大數目與已經指定給此埠的連接數目,因而可以在接收一新要求的時間點動態的計算一埠的可用連接數目。
在一連接的TCP/SYN要求在一網路伺服器上第一次接收時在圖2的步驟100建立一資料項,即一SYN要求為傳統上建立一TCP連接時需要的三個流程通訊協定中的第一個同步。
在步驟101,此TCP/SYN要求的認可由伺服器傳回到要求連接的外部主機2。在步驟102,要求的外部主機2傳回一TCP認可。這完成同步的通訊協定。步驟103從要求外部主機2的認可中決定出此要求導向的埠號碼。在TCP中,埠號碼代表特定外部主機2電腦中的要求連接的目的。某些埠已經保留給標準的服務。
例如,習慣上指定埠是給檔案傳輸通訊協定(FTP)使用。要求外部主機2的識別(IP位址)也在此同步通訊協定期間決定。此埠號碼在步驟104用來找出此埠的記憶體控制區塊或者如果埠控制區塊並不存在的話則建立一個。附加在此埠控制區塊的是目前有一或多個作用中連接的外部主機2的複數個外部主機2控制區塊。如果要求外部主機2並沒有一個外部主機2控制區塊,則建立一個。一外部主機2控制區塊包含,在其他事物間,目前指定給此外部主機2的埠連接計數。
在步驟110,伺服器取得指定給這個埠號碼的最大連接數目 M,控制百分比P及作用中連接數目A。步驟111以M-A計算可用連接的數目I。步驟113決定指定給要求外部主機2的連接數目是否等於或大於P乘以I。如果是,則連接要求將被拒絕除非某些其他預防措施否決此拒絕。另一方面,如果已經指定給要求外部主機2的連接數目小於P乘以I,此連接要求在步驟114上被允許,而A遞增一來更新這個埠號碼的作用中連接數目。
在圖3中的連接點A由步驟113進入,如果已經指定給要求外部主機2的連接數目等於或大於P乘以I。步驟201首先決定出此埠是否在限制狀態下。如果此埠剩餘的閒置連接數目等於或小於此埠允許的最大連接數目M的某給百分比X的話,此埠是在限制狀態下。
在較佳具體實例中X為百分之10。如果是這樣的話,連接要求在步驟202被拒絕。然而,如果此埠並未受到限制,則關於特定於要求外部主機2的服務品質(QOS)規格可以否決決定來拒絕此連接。在這個案例中,此要求可以在步驟203上被允許,該案例中參數A被遞增一的更新。換句話說,步驟201、202及203與實做拒絕連接要求的政策有關,除非有關要求者的QOS政策否決拒絕。但是,如果要求的埠是在限制狀態下,表示此埠只剩下少數的連接,此要求在任何情況下都被拒絕。
已加以說明的電腦程式可以實際的在任何形態的電腦上執行,從個人電腦到大型電腦外部主機2。唯一的要求是此電腦要組態有網路通訊軟體並且可如伺服器地經由網路存取。
綜上所述,上文已相當廣泛地詳述本新型之技術手段及其優點功效,俾使所屬技術領域中具有通常知識者應能瞭解,若相當利用本新型所揭示之概念及其實施例,而僅稍作修改以實現與本新型,這類等效建 構仍無法跳脫本新型申請專利範圍所界定之精神及範疇。
1:伺服器
11:決定裝置
12:連接要求裝置
2:外部主機

Claims (4)

  1. 一種避免大量網路連結攻擊之防護裝置,係接收到對一伺服器上一埠號碼連接的大量要求,其包含:
    一決定裝置,係為回應於來自外部主機對該伺服器上該埠號碼的連接要求,用以決定指定給該外部主機的該埠連接數目是否超過一指定的臨限值的裝置;及
    一連接要求裝置,係具回應於該決定裝置外,並可拒絕外部主機連接的要求的裝置。
  2. 如請求項1所述避免大量網路連結攻擊之防護裝置,其中該連接要求裝置還包含:回應有關要求的外部主機服務品質參數,以否決該外部主機要求連接的拒絕並允許該外部主機的連接要求。
  3. 如請求項1所述避免大量網路連結攻擊之防護裝置,其中在該埠的可用連接數目少於一限制的臨限值的情況下,該連接要求裝置則拒絕該外部主機的連接要求。
  4. 如請求項1、2或3所述避免大量網路連結攻擊之防護裝置,其中該指定的臨限值係藉由將所設定一百分比P乘以該埠剩餘的可用連接數目以計算出。
TW110209744U 2021-08-18 2021-08-18 避免大量網路連結攻擊之防護裝置 TWM620231U (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
TW110209744U TWM620231U (zh) 2021-08-18 2021-08-18 避免大量網路連結攻擊之防護裝置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW110209744U TWM620231U (zh) 2021-08-18 2021-08-18 避免大量網路連結攻擊之防護裝置

Publications (1)

Publication Number Publication Date
TWM620231U true TWM620231U (zh) 2021-11-21

Family

ID=79909172

Family Applications (1)

Application Number Title Priority Date Filing Date
TW110209744U TWM620231U (zh) 2021-08-18 2021-08-18 避免大量網路連結攻擊之防護裝置

Country Status (1)

Country Link
TW (1) TWM620231U (zh)

Similar Documents

Publication Publication Date Title
JP3560553B2 (ja) サーバへのフラッド攻撃を防止する方法及び装置
US7457965B2 (en) Unauthorized access blocking apparatus, method, program and system
US20050283831A1 (en) Security system and method using server security solution and network security solution
US8091132B2 (en) Behavior-based traffic differentiation (BTD) for defending against distributed denial of service (DDoS) attacks
US7346924B2 (en) Storage area network system using internet protocol, security system, security management program and storage device
US11212310B2 (en) System for reducing application programming interface (API) risk and latency
US20060282893A1 (en) Network information security zone joint defense system
KR100908404B1 (ko) 분산서비스거부공격의 방어방법 및 방어시스템
JP2004507978A (ja) ネットワークノードに対するサービス拒絶アタックに対抗するシステム及び方法
US20090007266A1 (en) Adaptive Defense System Against Network Attacks
US10397225B2 (en) System and method for network access control
US20070289014A1 (en) Network security device and method for processing packet data using the same
CN115065564B (zh) 一种基于零信任机制的访问控制方法
Dharmadhikari et al. A study of DDoS attacks in software defined networks
Shoeb et al. Resource management of switches and Controller during saturation time to avoid DDoS in SDN
CN113972992B (zh) 用于sdp控制器的访问方法及装置、计算机可存储介质
CN111556068B (zh) 基于流量特征识别的分布式拒绝服务的监控和防控方法
US7380010B1 (en) Method and apparatus for performing denial of service for call requests
TWM620231U (zh) 避免大量網路連結攻擊之防護裝置
KR100378330B1 (ko) 무선 프로토콜을 이용한 네트워크 플러딩 공격을 방지하는 방법 및 장치와 저장 매체
CN111865954A (zh) 一种数据对冲式的计算机网络安全系统及其工作方法
US20080052402A1 (en) Method, a Computer Program, a Device, and a System for Protecting a Server Against Denial of Service Attacks
KR100728446B1 (ko) 하드웨어 기반의 침입방지장치, 시스템 및 방법
US20100157806A1 (en) Method for processing data packet load balancing and network equipment thereof
KR100447896B1 (ko) 블랙보드기반의 네트워크 보안 시스템 및 이의 운용방법

Legal Events

Date Code Title Description
MM4K Annulment or lapse of a utility model due to non-payment of fees