专利名称:防止半连接攻击的方法及系统的制作方法
技术领域:
本发明涉及网络通信技术领域,特别涉及一种防止半连接攻击的方法及系统。
背景技术:
目前,网络设备大多以连接的方式对报文进行快速处理。例如防火墙通过ip (网络之间互连的协议,internet protocol)五元组将报文分成不同的连接(也可称为不同的流),对所有相同五元组的报文匹配到相同的连接上,做相同的处理流程。对于网络上的半连接攻击(例如,用户数据报协议udp或传输控制协议tcp等,只发送了请求报文而无回应报文的情况就叫做半连接攻击),此连接在网络设备上是有一定资源数限制的,大量的半连接会占用全局的半连接上限值,导致网络设备的内存耗尽,从而使得网络设备的系统崩溃。
发明内容
(一)要解决的技术问题本发明要解决的技术问题是如何防止网络设备在遭受半连接攻击时,网络设备的内存资源被耗尽。(二)技术方案为解决上述技术问题,本发明提供了一种防止半连接攻击的方法,所述方法包括获取网络设备所支持的最大连接数M,所述M为大于0的正整数;将所述网络设备的内网节点根据所连接的物理接口进行划分,并对划分结果分别设置最大连接上限值,所述物理接口为所述网络设备上的物理接口。其中,所述最大连接上限值的取值范围满足下式,—< X <M
C其中,X为最大连接上限值,C为所述网络设备上的物理接口总数。
\A其中,所述最大连接上限值X的取值为f .其中,将所述网络设备的内网节点根据所连接的物理接口进行划分之前,判断所述网络设备上的物理接口是否遭受了半连接攻击,若是,则执行后续步骤。其中,判断所述网络设备上的物理接口是否遭受了半连接攻击时,通过如下逻辑关系式(I)进行判断,若满足逻辑关系式(1),则判定所述网络设备上的物理接口遭受了半连接攻击,-<V(I)
L其中,T为所述网络设备上的物理接口的数据流量,L为所述网络设备上的连接数,V为预设阈值。本发明还公开了一种防止半连接攻击的系统,所述系统包括
连接获取模块,用于获取网络设备所支持的最大连接数M,所述M为大于0的正整数;上限划分模块,用于将所述网络设备的内网节点根据所连接的物理接口进行划分,并对划分结果分别设置最大连接上限值,所述物理接口为所述网络设备上的物理接口。(三)有益效果本发明通过将所述网络设备的内网节点根据所连接的物理接口进行划分,并对划分结果分别设置最大连接上限值,使得在某个物理接口连接的内网节点遭受半连接攻击时,不会导致网络设备的内存资源被耗尽。
图I是按照本发明一种实施方式的防止半连接攻击的方法的流程图;图2是按照本发明一种实施方式的防止半连接攻击的系统的结构框图。
具体实施例方式下面结合附图和实施例,对本发明的具体实施方式
作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。图I是按照本发明一种实施方式的防止半连接攻击的方法的流程图;参照图1,所述方法包括SlOl :获取网络设备(所述网络设备可为防火墙、路由器、交换机等设备)所支持的最大连接数M,所述M为大于0的正整数;S102:将所述网络设备的内网节点根据所连接的物理接口进行划分,并对划分结果分别设置最大连接上限值,所述物理接口为所述网络设备上的物理接口。优选地,所述最大连接上限值的取值范围满足下式,
权利要求
1.一种防止半连接攻击的方法,其特征在于,所述方法包括 获取网络设备所支持的最大连接数M,所述M为大于O的正整数; 将所述网络设备的内网节点根据所连接的物理接口进行划分,并对划分结果分别设置最大连接上限值,所述物理接口为所述网络设备上的物理接口。
2.如权利要求I所述的方法,其特征在于,所述最大连接上限值的取值范围满足下式,
3.如权利要求2所述的方法,其特征在于,所述最大连接上限值X的取值为*。
4.如权利要求I所述的方法,其特征在于,将所述网络设备的内网节点根据所连接的物理接口进行划分之前, 判断所述网络设备上的物理接口是否遭受了半连接攻击,若是,则执行后续步骤。
5.如权利要求4所述的方法,其特征在于,判断所述网络设备上的物理接口是否遭受了半连接攻击时,通过如下逻辑关系式(I)进行判断,若满足逻辑关系式(I ),则判定所述网络设备上的物理接口遭受了半连接攻击,-<¥(I) L 其中,T为所述网络设备上的物理接口的数据流量,L为所述网络设备上的连接数,V为预设阈值。
6.一种防止半连接攻击的系统,其特征在于,所述系统包括 连接获取模块,用于获取网络设备所支持的最大连接数M,所述M为大于O的正整数; 上限划分模块,用于将所述网络设备的内网节点根据所连接的物理接口进行划分,并对划分结果分别设置最大连接上限值,所述物理接口为所述网络设备上的物理接口。
全文摘要
本发明公开了一种防止半连接攻击的方法及系统,涉及网络通信技术领域,所述方法包括获取网络设备所支持的最大连接数M,所述M为大于0的正整数;将所述网络设备的内网节点根据所连接的物理接口进行划分,并对划分结果分别设置最大连接上限值,所述物理接口为所述网络设备上的物理接口。本发明通过将所述网络设备的内网节点根据所连接的物理接口进行划分,并对划分结果分别设置最大连接上限值,使得在某个物理接口连接的内网节点遭受半连接攻击时,不会导致网络设备的内存资源被耗尽。
文档编号H04L29/06GK102752304SQ201210233850
公开日2012年10月24日 申请日期2012年7月6日 优先权日2012年7月6日
发明者陈海滨 申请人:汉柏科技有限公司