专利名称:防止半连接攻击的方法及系统的制作方法
技术领域:
本发明涉及网络通信技 术领域,特别涉及一种防止半连接攻击的方法及系统。
背景技术:
目前,网络设备大多以连接的方式对报文进行快速处理。例如防火墙通过ip (网络之间互连的协议,internet protocol)五元组将报文分成不同的连接(也可称为不同的流),对所有相同五元组的报文匹配到相同的连接上,做相同的处理流程。对于网络上的半连接攻击(例如,用户数据报协议udp或传输控制协议tcp等,只发送了请求报文而无回应报文的情况就叫做半连接攻击),此连接在网络设备上是有一定资源数限制的,大量的半连接会占用全局的半连接上限值,导致网络设备的内存耗尽,从而使得网络设备的系统崩溃。
发明内容
(一)要解决的技术问题本发明要解决的技术问题是如何防止网络设备在遭受半连接攻击时,网络设备的内存资源被耗尽。(二)技术方案为解决上述技术问题,本发明提供了一种防止半连接攻击的方法,所述方法包括获取网络设备所支持的最大连接数M,所述M为大于0的正整数;将所述网络设备的内网节点进行划分,并对划分结果分别设置第一最大连接上限值。其中,将所述网络设备的内网节点按照所述内网节点的内网ip地址进行划分,所述第一最大连接上限值的取值范围满足下式,J7< X < M其中,X为第一最大连接上限值,C为内网ip地址的总数。其中,将所述网络设备的内网节点进行划分,并对划分结果分别设置第一最大连接上限值后,当内网节点W的连接数达到设置的第一最大连接上限值时,不再允许所述内网节点W建立新的连接,所述内网节点W具有唯一的内网ip地址。其中,将所述网络设备的内网节点按照所述内网节点所属的内网ip地址段进行划分,所述第一最大连接上限值的取值范围满足下式,
KA<Y< M ,
])其中,Y为第一最大连接上限值,D为内网ip地址段的总数。其中,将所述网络设备的内网节点进行划分,并对划分结果分别设置第一最大连接上限值后,
当内网ip地址段V的连接数达到设置的第一最大连接上限值时,不再允许所述内网ip地址段V内的内网节点建立新的连接。其中,将所述内网ip地址段按照所述内网节点的内网ip地址进行再次划分,并对再次划分结果分别设置第二最大连接上限值,所述第二最大连接上限值的取值范围满足下式,
}■— < Z < }
E其中,Z为第二最大连接上限值,E为所述内网ip地址段中内网ip地址的总数。其中,将所述内网ip地址段按照所述内网节点的内网ip地址进行再次划分,并对 再次划分结果分别设置第二最大连接上限值后,当内网ip地址段内的内网节点Q的连接数达到设置的第二最大连接上限值时,不再允许所述内网节点Q建立新的连接。本发明还公开了一种防止半连接攻击的系统,所述系统包括连接数获取模块,用于获取网络设备所支持的最大连接数M,所述M为大于0的正整数;划分设置模块,用于将所述网络设备的内网节点进行划分,并对划分结果分别设置第一最大连接上限值。(三)有益效果本发明通过将所述网络设备的内网节点进行划分,并对划分结果分别设置第一最大连接上限值,使得在某个内网节点遭受半连接攻击时,不会导致网络设备的内存资源被耗尽。
图I是按照本发明一种实施方式的防止半连接攻击的方法的流程图;图2是按照本发明一种实施方式的防止半连接攻击的系统的结构框图。
具体实施例方式下面结合附图和实施例,对本发明的具体实施方式
作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。图I是按照本发明一种实施方式的防止半连接攻击的方法的流程图;参照图1,所述方法包括SlOl :获取网络设备(所述网络设备可为防火墙、路由器、交换机等设备)所支持的最大连接数M,所述M为大于0的正整数;S102:将所述网络设备的内网节点进行划分,并对划分结果分别设置第一最大连接上限值。本发明的划分方式可采用两种,一种是对内网ip地址进行划分,另一种是对内网ip地址段进行划分。优选地,将所述网络设备的内网节点按照所述内网节点的内网ip地址进行划分时,所述第一最大连接上限值的取值范围满足下式,
权利要求
1.一种防止半连接攻击的方法,其特征在于,所述方法包括 获取网络设备所支持的最大连接数M,所述M为大于O的正整数; 将所述网络设备的内网节点进行划分,并对划分结果分别设置第一最大连接上限值。
2.如权利要求I所述的方法,其特征在于,将所述网络设备的内网节点按照所述内网节点的内网ip地址进行划分,所述第一最大连接上限值的取值范围满足下式, —<X<M C 其中,X为第一最大连接上限值,C为内网ip地址的总数。
3.如权利要求2所述的方法,其特征在于,将所述网络设备的内网节点进行划分,并对划分结果分别设置第一最大连接上限值后, 当内网节点W的连接数达到设置的第一最大连接上限值时,不再允许所述内网节点W建立新的连接,所述内网节点W具有唯一的内网ip地址。
4.如权利要求I所述的方法,其特征在于,将所述网络设备的内网节点按照所述内网节点所属的内网ip地址段进行划分,所述第一最大连接上限值的取值范围满足下式, A/ T7,,, —S y < M o I) 其中,Y为第一最大连接上限值,D为内网ip地址段的总数。
5.如权利要求4所述的方法,其特征在于,将所述网络设备的内网节点进行划分,并对划分结果分别设置第一最大连接上限值后, 当内网ip地址段V的连接数达到设置的第一最大连接上限值时,不再允许所述内网ip地址段V内的内网节点建立新的连接。
6.如权利要求4所述的方法,其特征在于,将所述内网ip地址段按照所述内网节点的内网ip地址进行再次划分,并对再次划分结果分别设置第二最大连接上限值,所述第二最大连接上限值的取值范围满足下式,—s Z < }。
E 其中,Z为第二最大连接上限值,E为所述内网ip地址段中内网ip地址的总数。
7.如权利要求6所述的方法,其特征在于,将所述内网ip地址段按照所述内网节点的内网ip地址进行再次划分,并对再次划分结果分别设置第二最大连接上限值后, 当内网ip地址段内的内网节点Q的连接数达到设置的第二最大连接上限值时,不再允许所述内网节点Q建立新的连接。
8.一种防止半连接攻击的系统,其特征在于,所述系统包括 连接数获取模块,用于获取网络设备所支持的最大连接数M,所述M为大于O的正整数; 划分设置模块,用于将所述网络设备的内网节点进行划分,并对划分结果分别设置第一最大连接上限值。
全文摘要
本发明公开了一种防止半连接攻击的方法及系统,涉及网络通信技术领域,所述方法包括获取网络设备所支持的最大连接数M,所述M为大于0的正整数;将所述网络设备的内网节点进行划分,并对划分结果分别设置第一最大连接上限值。本发明通过将所述网络设备的内网节点进行划分,并对划分结果分别设置第一最大连接上限值,使得在某个内网节点遭受半连接攻击时,不会导致网络设备的内存资源被耗尽。
文档编号H04L29/06GK102752208SQ20121023389
公开日2012年10月24日 申请日期2012年7月6日 优先权日2012年7月6日
发明者陈海滨 申请人:汉柏科技有限公司