專利名稱:服務(wù)器計(jì)算機(jī)保護(hù)的裝置����、方法�、程序產(chǎn)品和服務(wù)器計(jì)算機(jī)裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及客戶計(jì)算機(jī)和服務(wù)器計(jì)算機(jī)之間的網(wǎng)絡(luò)系統(tǒng),更具體地說�����,涉及服務(wù)器計(jì)算機(jī)保護(hù)裝置���,用于保護(hù)服務(wù)器計(jì)算機(jī)�����,抵御故意干擾服務(wù)器計(jì)算機(jī)處理的非法訪問�。
背景技術(shù):
今天廣泛使用著計(jì)算機(jī)服務(wù)器系統(tǒng),其中確定或不確定數(shù)目的客戶計(jì)算機(jī)���,通過數(shù)據(jù)包交換網(wǎng)絡(luò)連接到服務(wù)器計(jì)算機(jī)�����,按照來自客戶計(jì)算機(jī)的請求數(shù)據(jù)包,從服務(wù)器計(jì)算機(jī)提供數(shù)據(jù)的數(shù)據(jù)包���。一個數(shù)據(jù)包就是通過網(wǎng)絡(luò)發(fā)送的一定數(shù)目的數(shù)據(jù)����。數(shù)據(jù)包基本上包括頭部和數(shù)據(jù)體�����。頭部包含傳輸目的地的IP(因特網(wǎng)協(xié)議)地址�����、數(shù)據(jù)源的IP地址�����、表示數(shù)據(jù)包之間順序關(guān)系的傳輸序列號等等�。
TCP/IP(傳輸控制協(xié)議/IP)中的正常訪問請求過程���,是連接類型協(xié)議的一個實(shí)例。例如���,
圖18顯示了該過程��,其中(a)客戶計(jì)算機(jī)向服務(wù)器計(jì)算機(jī)發(fā)送連接請求數(shù)據(jù)包(SYN(同步)數(shù)據(jù)包)��,(b)服務(wù)器計(jì)算機(jī)向客戶計(jì)算機(jī)發(fā)送連接請求確認(rèn)數(shù)據(jù)包(SYN+ACK(確認(rèn))數(shù)據(jù)包)����,(c)客戶計(jì)算機(jī)向服務(wù)器計(jì)算機(jī)發(fā)送確認(rèn)數(shù)據(jù)包(ACK數(shù)據(jù)包)��,以建立局部通信路徑(連接)���,這稱為“三路信號交換方案”����,(d)已經(jīng)建立了連接之后��,客戶計(jì)算機(jī)向服務(wù)器計(jì)算機(jī)發(fā)送數(shù)據(jù)請求數(shù)據(jù)包�����,其中數(shù)據(jù)請求數(shù)據(jù)包為例如URL(統(tǒng)一資源定位器)數(shù)據(jù)包,(e)服務(wù)器計(jì)算機(jī)向客戶計(jì)算機(jī)發(fā)送數(shù)據(jù)的數(shù)據(jù)包�����,它是來自客戶計(jì)算機(jī)的URL數(shù)據(jù)包請求的��。
來自客戶計(jì)算機(jī)的非法訪問攻擊服務(wù)器計(jì)算機(jī)的趨勢在增長��。非法訪問的攻擊意圖是干擾例如服務(wù)器計(jì)算機(jī)提供的服務(wù)����。如果完成了從客戶計(jì)算機(jī)向服務(wù)器計(jì)算機(jī)的正常訪問請求�����,在客戶計(jì)算機(jī)一側(cè)就會實(shí)際收到和使用響應(yīng)正常訪問請求而從服務(wù)器計(jì)算機(jī)提供的數(shù)據(jù)����。不過,試圖攻擊服務(wù)器計(jì)算機(jī)的訪問請求不是為了接收數(shù)據(jù)提供�����,而是為了非法訪問。
通過從一臺客戶計(jì)算機(jī)向服務(wù)器計(jì)算機(jī)發(fā)送大量類似的訪問請求��,使目標(biāo)服務(wù)器計(jì)算機(jī)提供的數(shù)據(jù)提供服務(wù)癱瘓����,這種攻擊被稱為DoS攻擊(拒絕服務(wù)攻擊)。DoS攻擊很難與正?��?蛻舻脑L問相區(qū)分�����,因此很難采取有效的措施來抵御這種攻擊�。還有另一種形式的攻擊����,多臺客戶計(jì)算機(jī)一起進(jìn)行DoS攻擊。
例如���,因特網(wǎng)上一般的DoS攻擊用以下方式危害服務(wù)器計(jì)算機(jī)��。
(1)如圖19所示��,發(fā)送大量的SYN數(shù)據(jù)包����,其數(shù)量超過服務(wù)器計(jì)算機(jī)的能力,因而阻止服務(wù)器計(jì)算機(jī)發(fā)送任何SYN+ACK數(shù)據(jù)包(后文中的“SYN洪流”)��。
(2)如圖20所示�,一臺或多臺非法的客戶計(jì)算機(jī)向服務(wù)器計(jì)算機(jī)發(fā)送大量的SYN和ACK數(shù)據(jù)包,與該服務(wù)器計(jì)算機(jī)建立連接�。在預(yù)定的時間期間,這些客戶不發(fā)送任何源自客戶計(jì)算機(jī)一側(cè)送出的數(shù)據(jù)包�����,比如URL數(shù)據(jù)包��。因而使服務(wù)器計(jì)算機(jī)處于保持連接(后文中的“建立洪流”)���。
(3)如圖21所示,每臺客戶計(jì)算機(jī)都通過建立的連接發(fā)送URL數(shù)據(jù)包進(jìn)行正常的訪問�����,如同正常的客戶計(jì)算機(jī)一樣���。這種正常的訪問是由許多客戶計(jì)算機(jī)幾乎在同時進(jìn)行的(例如在一個預(yù)定的時間)����。從而大量的訪問集中在一臺特定的服務(wù)器計(jì)算機(jī)上,其處理負(fù)載增加至干擾該服務(wù)器計(jì)算機(jī)的正常操作���。這種攻擊特別被稱為DDoS攻擊(分布的拒絕服務(wù)攻擊)(后文中的“訪問洪流”)�。
當(dāng)某臺服務(wù)器計(jì)算機(jī)遭受這種攻擊時����,就會浪費(fèi)資源,比如服務(wù)器計(jì)算機(jī)內(nèi)的存儲器����,因?yàn)樗仨毚_保每個連接請求的例如數(shù)據(jù)提供存儲器。這就極大地干擾了來自沒有惡意的客戶計(jì)算機(jī)的正常訪問�����。
為了保護(hù)服務(wù)器計(jì)算機(jī)抵御這種攻擊�,在服務(wù)器計(jì)算機(jī)和網(wǎng)絡(luò)之間通常配備了服務(wù)器計(jì)算機(jī)保護(hù)裝置。對于SYN洪流�����,常規(guī)的服務(wù)器計(jì)算機(jī)保護(hù)裝置僅僅處理重復(fù)次數(shù)如同正常連接請求的連接請求����,或者僅僅處理已經(jīng)進(jìn)行了正常訪問的客戶發(fā)出的訪問請求���,將其作為正常連接請求對待。這個裝置將其它類型的訪問視為非法訪問而拒絕它們���,并拋棄相應(yīng)的數(shù)據(jù)包���。
不過,如果攻擊者向常規(guī)計(jì)算機(jī)保護(hù)裝置多次發(fā)出同樣的連接請求���,一個攻擊就成功了���。不僅如此,常規(guī)裝置無法應(yīng)付建立洪流和訪問洪流����。
這種常規(guī)的服務(wù)器計(jì)算機(jī)保護(hù)裝置運(yùn)行時��,僅僅阻止有效探測出的非法訪問�����。服務(wù)器計(jì)算機(jī)保護(hù)裝置需要的保護(hù)服務(wù)器計(jì)算機(jī)的過程是,確定某個訪問是否正常����,然后,如果確定該訪問為正常就允許該訪問通過該裝置�����,否則使不能通過該裝置的訪問留在其中��。
發(fā)明內(nèi)容
本發(fā)明的一個目的是提供一種服務(wù)器計(jì)算機(jī)保護(hù)方法和裝置���,它們能夠全面地保護(hù)服務(wù)器計(jì)算機(jī)抵御DoS攻擊���。
依據(jù)本發(fā)明的若干實(shí)施例,其中提供了一種服務(wù)器計(jì)算機(jī)保護(hù)裝置���,通過僅僅允許一臺或多臺客戶計(jì)算機(jī)發(fā)出的正常訪問到達(dá)該服務(wù)器計(jì)算機(jī)�����,來保護(hù)服務(wù)器計(jì)算機(jī)�����,該裝置包括一種訪問請求接收單元���,配置為代替服務(wù)器計(jì)算機(jī)接收客戶計(jì)算機(jī)發(fā)出的訪問請求��;一種訪問請求檢驗(yàn)單元��,配置為檢驗(yàn)每個收到的訪問請求���,以確定收到的訪問請求是否正常;以及一種訪問請求傳遞單元��,配置為僅僅向服務(wù)器計(jì)算機(jī)傳遞確定為正常的訪問請求�,而防止把確定為不正常的其他訪問請求傳遞到服務(wù)器計(jì)算機(jī)。
依據(jù)本發(fā)明的若干實(shí)施例�,其中提供了一種服務(wù)器計(jì)算機(jī)保護(hù)方法,通過僅僅允許一臺或多臺客戶計(jì)算機(jī)發(fā)出的正常訪問到達(dá)該服務(wù)器計(jì)算機(jī)�����,來保護(hù)服務(wù)器計(jì)算機(jī)�,該方法包括代替服務(wù)器計(jì)算機(jī)接收客戶計(jì)算機(jī)發(fā)出的訪問請求;檢驗(yàn)訪問請求��,以確定每個收到的訪問請求是否正常���;以及僅僅向服務(wù)器計(jì)算機(jī)傳遞確定為正常的訪問請求���,而防止把確定為不正常的其他訪問請求傳遞到服務(wù)器計(jì)算機(jī)。
依據(jù)本發(fā)明的若干實(shí)施例����,其中提供了一種服務(wù)器計(jì)算機(jī)裝置,它與一臺或多臺客戶計(jì)算機(jī)通信��,包括一種服務(wù)器計(jì)算機(jī)單元���;以及一種服務(wù)器計(jì)算機(jī)保護(hù)單元���,包括一種訪問請求接收單元,配置為代替服務(wù)器計(jì)算機(jī)單元接收客戶計(jì)算機(jī)發(fā)出的訪問請求�����;一種訪問請求檢驗(yàn)單元�,配置為檢驗(yàn)每個收到的訪問請求,以確定收到的訪問請求是否正常����;以及一種訪問請求傳遞單元����,配置為僅僅向服務(wù)器計(jì)算機(jī)單元傳遞確定為正常的訪問請求�,而防止把確定為不正常的其他訪問請求傳遞到服務(wù)器計(jì)算機(jī)單元。
依據(jù)本發(fā)明的若干實(shí)施例��,其中提供了一種計(jì)算機(jī)程序產(chǎn)品�����,包括一種計(jì)算機(jī)存儲介質(zhì)和記錄在該計(jì)算機(jī)存儲介質(zhì)上的一種計(jì)算機(jī)程序代碼機(jī)制����,用于使某臺計(jì)算機(jī)通過僅僅允許一臺或多臺客戶計(jì)算機(jī)裝置發(fā)出的正常訪問到達(dá)該服務(wù)器計(jì)算機(jī)裝置,來保護(hù)服務(wù)器計(jì)算機(jī)裝置���,該計(jì)算機(jī)代碼機(jī)制包括一種代碼段���,用于代替服務(wù)器計(jì)算機(jī)裝置接收客戶計(jì)算機(jī)裝置發(fā)出的訪問請求;一種代碼段����,用于檢驗(yàn)每個收到的訪問請求,以確定收到的訪問請求是否正常;以及一種代碼段����,用于僅僅向服務(wù)器計(jì)算機(jī)裝置傳遞確定為正常的訪問請求�����,而防止把確定為不正常的其他訪問請求傳遞到服務(wù)器計(jì)算機(jī)裝置����。
附圖簡要說明圖1是一個網(wǎng)絡(luò)系統(tǒng),對它應(yīng)用了依據(jù)本發(fā)明的某個實(shí)施例中的服務(wù)器計(jì)算機(jī)保護(hù)裝置��;
圖2是一個框圖���,展示了依據(jù)本發(fā)明的第一個實(shí)施例中服務(wù)器計(jì)算機(jī)保護(hù)裝置的示意性結(jié)構(gòu)�;圖3是一張流程圖��,顯示了依據(jù)第一個實(shí)施例的服務(wù)器計(jì)算機(jī)保護(hù)裝置的處理操作�����;圖4是一個框圖�����,展示了依據(jù)本發(fā)明的第二個實(shí)施例中服務(wù)器計(jì)算機(jī)保護(hù)裝置的示意性結(jié)構(gòu);圖5A和圖5B是兩張流程圖���,顯示了依據(jù)第二個實(shí)施例的服務(wù)器計(jì)算機(jī)保護(hù)裝置的處理操作����;圖6是一個框圖�,展示了依據(jù)本發(fā)明的第三個實(shí)施例中服務(wù)器計(jì)算機(jī)保護(hù)裝置的示意性結(jié)構(gòu);圖7是一張流程圖��,顯示了依據(jù)第三個實(shí)施例的服務(wù)器計(jì)算機(jī)保護(hù)裝置的處理操作�����;圖8是一個框圖���,展示了依據(jù)本發(fā)明的第四個實(shí)施例中服務(wù)器計(jì)算機(jī)保護(hù)設(shè)備的示意性結(jié)構(gòu)��;圖9顯示了TCP/IP中典型的IP頭部����;圖10顯示了TCP/IP中典型的TCP頭部�����;圖11顯示了保護(hù)裝置實(shí)現(xiàn)的頭部校正的一個實(shí)施例;圖12是一個框圖����,展示了依據(jù)本發(fā)明的第五個實(shí)施例中服務(wù)器計(jì)算機(jī)保護(hù)裝置的示意性結(jié)構(gòu);圖13顯示了連接控制單元的結(jié)構(gòu)���;圖14是一個框圖,展示了依據(jù)本發(fā)明的第六個實(shí)施例中服務(wù)器計(jì)算機(jī)保護(hù)裝置的示意性結(jié)構(gòu)����;圖15是一個框圖,展示了依據(jù)本發(fā)明的第六個實(shí)施例修改方案中服務(wù)器計(jì)算機(jī)保護(hù)裝置的示意性結(jié)構(gòu)����;圖16是一個框圖,展示了依據(jù)本發(fā)明的第七個實(shí)施例中服務(wù)器計(jì)算機(jī)保護(hù)裝置的示意性結(jié)構(gòu)�;圖17是一張流程圖,顯示了依據(jù)本發(fā)明第七個實(shí)施例的服務(wù)器計(jì)算機(jī)保護(hù)裝置的處理操作�;圖18顯示了訪問請求過程(三路信號交換方案)的一個實(shí)例;
圖19顯示了一種攻擊模式(SYN洪流)的一個實(shí)例���;圖20顯示了一種攻擊模式(建立洪流)的另一個實(shí)例����;圖21顯示了一種攻擊模式(訪問洪流)的另一個實(shí)例。
具體實(shí)施例方式
下面����,將參考附圖介紹本發(fā)明的若干實(shí)施例。
圖1是一張示意圖��,顯示了一個網(wǎng)絡(luò)系統(tǒng)��,其中實(shí)現(xiàn)了依據(jù)本發(fā)明的若干實(shí)施例中的服務(wù)器計(jì)算機(jī)保護(hù)裝置���。在該系統(tǒng)中��,服務(wù)器計(jì)算機(jī)104通過服務(wù)器計(jì)算機(jī)保護(hù)設(shè)備103連接到網(wǎng)絡(luò)102���。服務(wù)器計(jì)算機(jī)104務(wù)必通過服務(wù)器計(jì)算機(jī)保護(hù)設(shè)備103,與連接到網(wǎng)絡(luò)102的客戶計(jì)算機(jī)101-1�����、101-2��、101-3(后文中統(tǒng)一稱為“客戶計(jì)算機(jī)101”)交換數(shù)據(jù)包����。
(第一個實(shí)施例)圖2是一個框圖��,展示了依據(jù)本發(fā)明的第一個實(shí)施例中服務(wù)器計(jì)算機(jī)保護(hù)裝置(后文中的“保護(hù)裝置”)103的示意性結(jié)構(gòu)�����。保護(hù)裝置103包括訪問請求接收單元201����、訪問請求檢驗(yàn)單元202和訪問請求傳遞單元203���。保護(hù)裝置103代替服務(wù)器計(jì)算機(jī)104,接收和檢驗(yàn)發(fā)往服務(wù)器計(jì)算機(jī)104的訪問請求��。
從客戶計(jì)算機(jī)101發(fā)出的訪問請求數(shù)據(jù)包��,在檢驗(yàn)前是由訪問請求接收單元201接收��,然后傳遞到訪問請求檢驗(yàn)單元202�。訪問請求數(shù)據(jù)包包括三個階段中的數(shù)據(jù)包,也就是連接請求數(shù)據(jù)包(SYN數(shù)據(jù)包)��、確認(rèn)數(shù)據(jù)包(ACK數(shù)據(jù)包)和數(shù)據(jù)請求數(shù)據(jù)包(在某些實(shí)施例的解釋中作為實(shí)例稱為“URL數(shù)據(jù)包”)���。訪問請求檢驗(yàn)單元202檢驗(yàn)訪問請求數(shù)據(jù)包的序列是否在正常的期間以正常的順序到達(dá)���。
訪問請求檢驗(yàn)單元202對訪問請求數(shù)據(jù)包的檢驗(yàn)結(jié)果�����,通知訪問請求接收單元201����。經(jīng)過檢驗(yàn)的訪問請求數(shù)據(jù)包被送到訪問請求傳遞單元203�。如果檢驗(yàn)結(jié)果正常,經(jīng)過檢驗(yàn)的訪問請求數(shù)據(jù)包就從訪問請求傳遞單元203傳遞到服務(wù)器計(jì)算機(jī)104��。
下面將參考圖3中的流程圖���,介紹服務(wù)器計(jì)算機(jī)保護(hù)設(shè)備103的整個處理流程�����。首先�����,收到從客戶計(jì)算機(jī)101發(fā)出的連接請求數(shù)據(jù)包(SYN數(shù)據(jù)包)之后��,服務(wù)器計(jì)算機(jī)保護(hù)設(shè)備103向客戶計(jì)算機(jī)發(fā)送連接請求確認(rèn)(SYN+ACK)數(shù)據(jù)包(S101)�����,并在下一階段轉(zhuǎn)變到一種等待訪問請求數(shù)據(jù)包(即ACK數(shù)據(jù)包或URL數(shù)據(jù)包)的狀態(tài)(S102)���。
這時����,訪問請求檢驗(yàn)單元202在步驟S103中�,檢驗(yàn)該訪問請求是不是正常的訪問請求(也可以說成是“它是不是非法的訪問請求”)。用于檢驗(yàn)的條件包括��,例如��,在建立連接之后��,確定URL數(shù)據(jù)包是否在預(yù)定的時間期間內(nèi)從客戶計(jì)算機(jī)101發(fā)出�。應(yīng)當(dāng)注意���,對于訪問請求的條件不應(yīng)當(dāng)是關(guān)于非法訪問請求的����,而應(yīng)當(dāng)是關(guān)于正常訪問請求的。
在這個實(shí)施例的步驟S103中�����,在發(fā)生包括建立洪流的SYN洪流的情況下���,在背景技術(shù)中介紹的包括建立洪流的SYN洪流會作為非法訪問而被排除�,因?yàn)樵陬A(yù)定的時間期間之內(nèi)沒有發(fā)送URL數(shù)據(jù)包���。
如果檢驗(yàn)后確定訪問請求為正常請求����,訪問請求傳遞單元203就連接到服務(wù)器計(jì)算機(jī)104(S104)��,并把正常的訪問請求傳遞到服務(wù)器計(jì)算機(jī)104(S105)��。服務(wù)器計(jì)算機(jī)104通過服務(wù)器計(jì)算機(jī)保護(hù)設(shè)備103���,以數(shù)據(jù)包的形式向客戶計(jì)算機(jī)101提供URL數(shù)據(jù)包指定的數(shù)據(jù)(S106)�����。數(shù)據(jù)提供完成之后�,服務(wù)器計(jì)算機(jī)保護(hù)設(shè)備103斷開與服務(wù)器計(jì)算機(jī)104的連接(S107),也斷開與客戶計(jì)算機(jī)101的連接����。如果在步驟S103中確定訪問請求為非法請求,則轉(zhuǎn)向S108�,對客戶執(zhí)行斷開連接處理。
例如��,下面介紹本發(fā)明更實(shí)際的實(shí)施例的限制���。
保護(hù)裝置103包括某個時鐘單元��,在與客戶計(jì)算機(jī)101建立連接后直到數(shù)據(jù)請求數(shù)據(jù)包到達(dá)��,用于測量時間的進(jìn)程����。如果預(yù)定類型的數(shù)據(jù)包(例如數(shù)據(jù)請求數(shù)據(jù)包)沒有發(fā)送到數(shù)據(jù)請求接收單元201�,保護(hù)裝置103就確定有某個非法訪問,并取消連接����。因而防止了保護(hù)裝置103中的資源分配過大,某些資源比如存儲器就能夠很快地分配給正常的客戶計(jì)算機(jī)101的連接操作���。
同樣�,保護(hù)裝置103可以確定某個訪問(在建立連接后直到數(shù)據(jù)請求數(shù)據(jù)包到達(dá)���,它已經(jīng)過了很長的時間)為非法訪問并取消連接�����。
保護(hù)裝置103可以進(jìn)一步配備某個計(jì)數(shù)單元����,用于在預(yù)定的時間期間內(nèi)對同一臺客戶計(jì)算機(jī)對同一數(shù)據(jù)進(jìn)行請求的次數(shù)進(jìn)行計(jì)數(shù)���。
如果在預(yù)定的時間期間內(nèi)�����,對同一數(shù)據(jù)請求的次數(shù)大于預(yù)定的數(shù)目�,保護(hù)裝置103就確定該訪問是非法的并取消連接����。
依據(jù)上面介紹的實(shí)施例,保護(hù)了服務(wù)器計(jì)算機(jī)抵御DoS攻擊,比如包括建立洪流的SYN洪流���。全面保護(hù)服務(wù)器計(jì)算機(jī)抵御包括(背景技術(shù)中介紹的)訪問洪流的攻擊的結(jié)構(gòu)�����,將在另一個實(shí)施例中解釋�。
本領(lǐng)域的技術(shù)人員將會理解�����,訪問請求檢驗(yàn)單元202在步驟S103中檢驗(yàn)?zāi)硞€訪問請求所用的條件���,并不限于上面介紹的URL數(shù)據(jù)包到達(dá)前的時間期間(例如����,只發(fā)送SYN數(shù)據(jù)包的訪問請求被排除)���。例如��,決不可能給予服務(wù)器計(jì)算機(jī)104的訪問請求��,也可以作為判斷條件����。在這種情況下����,例如,若是某個訪問請求不是明顯的非法URL數(shù)據(jù)包�,就允許該訪問作為正常訪問通過。
本實(shí)施例可以修改如下����。在訪問請求接收單元201收到所有階段的數(shù)據(jù)包之前,組成訪問請求的諸階段之一的每個數(shù)據(jù)包都不傳遞到服務(wù)器計(jì)算機(jī)104�。在訪問請求接收單元201收到所有階段的數(shù)據(jù)包之后,收到的數(shù)據(jù)包再在數(shù)據(jù)請求檢驗(yàn)單元202處進(jìn)行檢驗(yàn)�����,并確定為正常的訪問請求���,然后訪問請求傳遞單元203把確定后的數(shù)據(jù)包傳遞到服務(wù)器計(jì)算機(jī)104�����。
(第二個實(shí)施例)圖4是一個框圖����,展示了依據(jù)本發(fā)明的第二個實(shí)施例中服務(wù)器計(jì)算機(jī)保護(hù)裝置的示意性結(jié)構(gòu)。本實(shí)施例涉及探測非法請求數(shù)據(jù)包的服務(wù)器計(jì)算機(jī)保護(hù)裝置����,這種數(shù)據(jù)包可能使服務(wù)器計(jì)算機(jī)104超載,該裝置是基于來自服務(wù)器計(jì)算機(jī)104的數(shù)據(jù)提供狀態(tài)����,所以服務(wù)器計(jì)算機(jī)104受到保護(hù)。圖4所示的保護(hù)裝置103確定���,客戶計(jì)算機(jī)101發(fā)送的連接請求的數(shù)目(SYN數(shù)據(jù)包的數(shù)目)��,與服務(wù)器計(jì)算機(jī)104的數(shù)據(jù)提供數(shù)目相比��,是否屬于過度提供���。如果連接請求的數(shù)目變?yōu)檫^度提供,保護(hù)裝置103就確定����,服務(wù)器計(jì)算機(jī)104超載,并限制向服務(wù)器計(jì)算機(jī)104的訪問請求傳遞(或者停止傳遞并拒絕訪問請求)��。
如圖4所示,這個實(shí)施例的服務(wù)器保護(hù)裝置103包括連接請求計(jì)數(shù)單元303和服務(wù)器負(fù)載檢驗(yàn)單元302��,配備它是為了取代第一個實(shí)施例中介紹的用于檢驗(yàn)訪問請求內(nèi)容的訪問請求檢驗(yàn)單元202��。
訪問請求接收單元201接收客戶計(jì)算機(jī)101發(fā)出的連接請求數(shù)據(jù)包(SYN數(shù)據(jù)包)�。連接請求數(shù)據(jù)包也輸入給連接請求計(jì)數(shù)單元303���。連接請求計(jì)數(shù)單元303對服務(wù)器計(jì)算機(jī)104的連接請求數(shù)目進(jìn)行計(jì)數(shù)�。連接請求數(shù)目包括SYN數(shù)據(jù)包的總數(shù)目�����,它們是從包括客戶計(jì)算機(jī)101的所有客戶計(jì)算機(jī)向服務(wù)器計(jì)算機(jī)104請求的數(shù)據(jù)包�。注意,一般說來���,在一臺客戶計(jì)算機(jī)和某臺服務(wù)器計(jì)算機(jī)之間設(shè)立著多個連接��。
已提供的數(shù)據(jù)計(jì)數(shù)單元301一直或周期地對服務(wù)器計(jì)算機(jī)104提供的數(shù)據(jù)進(jìn)行計(jì)數(shù)���。已提供數(shù)據(jù)的數(shù)目表明受到給定的連接請求后,通過建立的連接實(shí)際提供數(shù)據(jù)的次數(shù)�����。
下面將參考圖5A中的流程圖,介紹保護(hù)裝置103整個處理的流程�����。
首先�����,保護(hù)裝置103處于等待連接請求的狀態(tài)(S201)�����。當(dāng)連接請求計(jì)數(shù)單元303接受來自客戶計(jì)算機(jī)101的某個SYN(連接請求)數(shù)據(jù)包時�����,服務(wù)器負(fù)載檢驗(yàn)單元302根據(jù)計(jì)數(shù)單元301計(jì)數(shù)的已提供數(shù)據(jù)數(shù)目和連接請求計(jì)數(shù)單元303計(jì)數(shù)的連接請求數(shù)目�,檢驗(yàn)服務(wù)器計(jì)算機(jī)104上的負(fù)載是否過度(S202)。特別地例如�����,假若已提供數(shù)據(jù)的數(shù)目與連接請求數(shù)據(jù)包(SYN數(shù)據(jù)包)的數(shù)目相比相對較小�����,就確定連接請求數(shù)據(jù)包的數(shù)目過大,而且服務(wù)器計(jì)算機(jī)104也可能超載�����。注意��,在步驟S202中�����,連接請求計(jì)數(shù)單元303可以對數(shù)據(jù)請求的數(shù)目(URL數(shù)據(jù)包的總數(shù)目)進(jìn)行計(jì)數(shù)�,以取代對連接請求的數(shù)目(SYN數(shù)據(jù)包的總數(shù)目)進(jìn)行計(jì)數(shù)����。
如果在步驟S202中確定連接請求的數(shù)目不過大,保護(hù)裝置103連接到已經(jīng)請求訪問的客戶計(jì)算機(jī)101(S203)����,并轉(zhuǎn)變到等待數(shù)據(jù)請求的狀態(tài)(S204)。這時���,服務(wù)器負(fù)載檢驗(yàn)單元302把連接數(shù)目增加1(S205)����。
然后,保護(hù)裝置103連接到服務(wù)器計(jì)算機(jī)104(S206)����,并向服務(wù)器計(jì)算機(jī)104傳遞客戶計(jì)算機(jī)101發(fā)出的數(shù)據(jù)請求數(shù)據(jù)包(URL數(shù)據(jù)包)(S207)。服務(wù)器計(jì)算機(jī)104向客戶計(jì)算機(jī)101提供了數(shù)據(jù)(S208)之后�,保護(hù)裝置103斷開與客戶計(jì)算機(jī)101和服務(wù)器計(jì)算機(jī)104的連接(S209)。服務(wù)器負(fù)載檢驗(yàn)單元302把連接的數(shù)目減少1(S210)���。
與之相反�,如果在步驟S202中確定連接請求的數(shù)目過大�,也就是服務(wù)器計(jì)算機(jī)104已經(jīng)超載,保護(hù)裝置則轉(zhuǎn)變到等待連接請求的狀態(tài)(S201)�。
依據(jù)這個實(shí)施例,可能防止服務(wù)器計(jì)算機(jī)104由于DoS攻擊而超載����,并保持服務(wù)器的吞吐量不下降。
圖5B顯示了圖5A所示處理操作的一種修改��。
如果在步驟S202中確定連接請求的數(shù)目過大����,圖5B中的步驟S202’確定是否應(yīng)當(dāng)取消還沒有受到連接處理的連接中最早的一個�����。如果連接請求的數(shù)目超過保護(hù)裝置103能夠處理之連接的數(shù)目�����,就取消最早的連接�����。然后����,處理過程轉(zhuǎn)到步驟S203���,連接到某個客戶計(jì)算機(jī)。隨后的處理如同圖5A所示處理���。如果在步驟S202’中確定連接的數(shù)目沒有超過保護(hù)裝置103能夠處理之連接的數(shù)目���,就恢復(fù)等待連接請求的狀態(tài)(S201)。
依據(jù)這項(xiàng)修改,通過取消連接中最早的一個���,即使保護(hù)裝置本身受到DoS攻擊時����,也能夠繼續(xù)服務(wù)����。第二個實(shí)施例特別適用于對付包括訪問洪流的攻擊,在背景技術(shù)中介紹過訪問洪流��。
(第三個實(shí)施例)圖6是一個框圖����,顯示了依據(jù)第三個實(shí)施例中服務(wù)器計(jì)算機(jī)保護(hù)裝置103的示意性結(jié)構(gòu)。圖7是一張流程圖�,展示了依據(jù)這個實(shí)施例的裝置進(jìn)行的處理操作。這個實(shí)施例包括許多個已提供數(shù)據(jù)的計(jì)數(shù)單元301�����,它們對提供給每臺發(fā)送訪問請求的客戶計(jì)算機(jī)的數(shù)據(jù)進(jìn)行計(jì)數(shù)�,以及許多個服務(wù)器負(fù)載檢驗(yàn)單元302,它們也檢驗(yàn)每臺客戶計(jì)算機(jī)對服務(wù)器計(jì)算機(jī)造成的負(fù)載�����,在第二個實(shí)施例中介紹過該檢驗(yàn)單元。應(yīng)當(dāng)注意����,如果數(shù)據(jù)計(jì)數(shù)單元301和服務(wù)器負(fù)載檢驗(yàn)單元302具有簡單的計(jì)算功能,便足以勝任����,所以即使提供了大量的這種單元,也不會耗費(fèi)保護(hù)裝置103的很多存儲器和CPU資源����。因此,可以為1000至10000臺客戶計(jì)算機(jī)分別提供同樣數(shù)目的數(shù)據(jù)計(jì)數(shù)單元301和服務(wù)器負(fù)載檢驗(yàn)單元302對����。另外也可能使特定客戶計(jì)算機(jī)已經(jīng)建立的多個連接中的每一個,關(guān)聯(lián)到一個數(shù)據(jù)計(jì)數(shù)單元301和服務(wù)器負(fù)載檢驗(yàn)單元302對�。
如圖7所示�,在初始階段,保護(hù)裝置103處于等待連接請求的狀態(tài)(S301)�����。然后,當(dāng)裝置103從某個特定的客戶計(jì)算機(jī)(例如���,圖1所示的101-1����、101-2����、101-3中任何一個)收到某個SYN數(shù)據(jù)包和ACK數(shù)據(jù)包時,保護(hù)裝置103與該特定的客戶計(jì)算機(jī)建立連接(S302)����。然后,該裝置把特定的客戶計(jì)算機(jī)與一個數(shù)據(jù)計(jì)數(shù)單元301和服務(wù)器負(fù)載檢驗(yàn)單元302對相關(guān)聯(lián)�����。對于某個已經(jīng)為其建立了某個其它連接的其它的特定客戶計(jì)算機(jī)�,與之相關(guān)聯(lián)的是某個其它的數(shù)據(jù)計(jì)數(shù)單元301和服務(wù)器負(fù)載檢驗(yàn)單元302對。
然后����,保護(hù)裝置103置為等待狀態(tài),等待來自特定客戶計(jì)算機(jī)的訪問請求(S304)��。從特定的客戶計(jì)算機(jī)發(fā)送訪問請求時,該訪問請求立即被訪問請求接收單元201收到并送到訪問請求傳遞單元203�����。訪問請求傳遞單元203把訪問請求傳遞到服務(wù)器計(jì)算機(jī)104�,因此在特定的客戶計(jì)算機(jī)和服務(wù)器計(jì)算機(jī)104之間就建立了連接(S305)。
已提供的數(shù)據(jù)計(jì)數(shù)單元301對提供給特定客戶計(jì)算機(jī)(服務(wù)器計(jì)算機(jī)104正在向它提供請求的數(shù)據(jù))的數(shù)據(jù)進(jìn)行計(jì)數(shù)����,服務(wù)器負(fù)載檢驗(yàn)單元302檢驗(yàn)特定的客戶計(jì)算機(jī)是否使服務(wù)器超載(S306)。
如果負(fù)載沒有超過預(yù)定的負(fù)載�,服務(wù)器負(fù)載檢驗(yàn)單元302就指示訪問請求傳遞單元203,把URL數(shù)據(jù)包傳遞到服務(wù)器計(jì)算機(jī)104(S307)��。然后�����,服務(wù)器計(jì)算機(jī)104向特定的客戶計(jì)算機(jī)提供所請求的數(shù)據(jù)(S308)��。數(shù)據(jù)提供完成之后��,保護(hù)裝置103切斷特定的客戶計(jì)算機(jī)和服務(wù)器計(jì)算機(jī)之間的連接�����。
如果負(fù)載超過了預(yù)定的負(fù)載����,步驟S306中的處理就再執(zhí)行一遍,以阻止訪問請求傳遞單元203向服務(wù)器計(jì)算機(jī)104傳遞數(shù)據(jù)請求數(shù)據(jù)包���,保護(hù)裝置103等待至提供給特定客戶計(jì)算機(jī)數(shù)據(jù)的數(shù)目下降���。在特定的客戶計(jì)算機(jī)未被授權(quán)的情況下,最好是在等待了某個預(yù)定期間之后��,應(yīng)當(dāng)強(qiáng)行切斷連接��。
上面介紹的實(shí)施例能夠防止服務(wù)器計(jì)算機(jī)104超載��,也能夠防止特定的客戶計(jì)算機(jī)占有服務(wù)器計(jì)算機(jī)104��,因此它對其它客戶計(jì)算機(jī)數(shù)據(jù)提供產(chǎn)生的干擾受到了壓制����。所以,這也可以對付“背景技術(shù)”中介紹的訪問洪流��。
(第四個實(shí)施例)圖8是一個框圖�����,顯示了依據(jù)第四個實(shí)施例中服務(wù)器計(jì)算機(jī)保護(hù)裝置103的示意性結(jié)構(gòu)。這個實(shí)施例基本上與第一個實(shí)施例相同�����,不過具有頭部校正單元210���。配備頭部校正單元210是為了適當(dāng)?shù)臄?shù)據(jù)包序列控制���,該控制在連接過程之后進(jìn)行,即使在客戶計(jì)算機(jī)101和服務(wù)器計(jì)算機(jī)104連接之前��,處于這些計(jì)算機(jī)之間的保護(hù)裝置103檢驗(yàn)了數(shù)據(jù)包�����。
圖9顯示了TCP/IP通信中一般的IP頭部�,圖10展示了TCP頭部。頭部校正單元210校正IP頭部的內(nèi)容檢驗(yàn)和500�����、源IP地址501和目的地IP地址502。另外�,頭部校正單元210還校正TCP頭部的內(nèi)容序列號503、ACK號504和檢驗(yàn)和505��。
數(shù)據(jù)包的傳輸/接收序列通常是根據(jù)序列號503來控制����。在服務(wù)器計(jì)算機(jī)104和客戶計(jì)算機(jī)101之間��,在接收和傳送兩個方向上傳遞序列號503���,確定數(shù)據(jù)包的順序���。
不過,要應(yīng)用這個實(shí)施例的保護(hù)裝置103時����,從客戶計(jì)算機(jī)101到服務(wù)器計(jì)算機(jī)104的連接操作(圖3中的步驟S104),是在檢驗(yàn)了來自客戶計(jì)算機(jī)101的數(shù)據(jù)請求的有效性(圖3中的步驟S103)之后進(jìn)行的����。所以,對客戶計(jì)算機(jī)101的連接處理�����,必然不可避免地以服務(wù)器計(jì)算機(jī)的保護(hù)裝置103任意產(chǎn)生的保護(hù)裝置序列號來執(zhí)行(圖3中的步驟S101)。由于這個保護(hù)裝置序列號不同于檢驗(yàn)之后進(jìn)行的服務(wù)器計(jì)算機(jī)連接處理(圖3中的步驟S104)中����,服務(wù)器計(jì)算機(jī)104通知的服務(wù)器計(jì)算機(jī)的序列號,如果所傳送的受請求數(shù)據(jù)的數(shù)據(jù)包沒有任何變化���,使用TCP/IP協(xié)議就不能進(jìn)行數(shù)據(jù)傳輸���。由于這個原因,使用頭部校正單元210來校正這些序列號之間的差異��,如果需要���,其它頭部信息(例如傳輸目的地IP地址或者說目的地IP地址)也要校正以便匹配��,從而允許從服務(wù)器計(jì)算機(jī)104到客戶計(jì)算機(jī)101的通信�。圖11顯示了保護(hù)裝置103進(jìn)行的頭部校正的一個實(shí)例�。
例如,對一個數(shù)據(jù)請求�����,這個實(shí)施例的保護(hù)裝置103要進(jìn)行以下操作(a)至(c)(a)由訪問請求接收單元201、數(shù)據(jù)請求檢驗(yàn)單元202和數(shù)據(jù)請求傳遞單元203檢驗(yàn)來自客戶計(jì)算機(jī)101的連接請求��,然后在客戶計(jì)算機(jī)101和服務(wù)器計(jì)算機(jī)104之間建立連接��;(b)使用頭部校正單元210�����,校正客戶計(jì)算機(jī)101通過這個連接發(fā)出的數(shù)據(jù)請求數(shù)據(jù)包的頭部����,然后把數(shù)據(jù)包傳遞到服務(wù)器計(jì)算機(jī)104��;以及(c)使用頭部校正單元210�,校正服務(wù)器計(jì)算機(jī)104通過這個連接發(fā)出的數(shù)據(jù)數(shù)據(jù)包的頭部,然后把數(shù)據(jù)包傳遞到客戶計(jì)算機(jī)101�。
依據(jù)這個實(shí)施例,如果保護(hù)裝置介入檢驗(yàn)訪問請求數(shù)據(jù)包����,在服務(wù)器計(jì)算機(jī)104和客戶計(jì)算機(jī)101之間進(jìn)行的通信能夠建立,沒有問題��。
(第五個實(shí)施例)圖12是一個框圖���,展示了依據(jù)本發(fā)明的第五個實(shí)施例中服務(wù)器計(jì)算機(jī)保護(hù)裝置的示意性結(jié)構(gòu)�。如同第四個實(shí)施例中介紹的頭部校正單元210,加入第二個實(shí)施例的安排中���。
如同上面的介紹�,第二個實(shí)施例的保護(hù)裝置103�,通過探測可能對服務(wù)器計(jì)算機(jī)104施加沉重負(fù)載的非法連接請求,根據(jù)數(shù)據(jù)提供的狀態(tài)保護(hù)服務(wù)器計(jì)算機(jī)104�。為了這個目的,在第五個實(shí)施例的保護(hù)裝置中也配備了已提供的數(shù)據(jù)計(jì)數(shù)單元301和服務(wù)器負(fù)載檢驗(yàn)單元302��。根據(jù)已提供的數(shù)據(jù)計(jì)數(shù)單元301計(jì)數(shù)的已提供數(shù)據(jù)數(shù)目和根據(jù)連接請求計(jì)數(shù)單元303計(jì)數(shù)的連接請求數(shù)目�,服務(wù)器負(fù)載檢驗(yàn)單元302檢驗(yàn)服務(wù)器104是否超載。特別地例如��,假若已提供數(shù)據(jù)的數(shù)目與連接請求數(shù)據(jù)包(SYN數(shù)據(jù)包)的數(shù)目相比相對較小�����,就確定連接請求的數(shù)目過大�����,因此服務(wù)器計(jì)算機(jī)104承受著沉重的負(fù)載�����。
頭部校正單元210校正TCP/IP的頭部,使得在連接過程之后能夠適當(dāng)?shù)剡M(jìn)行數(shù)據(jù)包序列控制��,即使保護(hù)裝置103在客戶計(jì)算機(jī)101和服務(wù)器計(jì)算機(jī)104之間檢驗(yàn)服務(wù)器計(jì)算機(jī)104的負(fù)載����。
圖13顯示了連接管理單元的安排,它用于當(dāng)頭部校正單元210管理客戶計(jì)算機(jī)101和服務(wù)器計(jì)算機(jī)104之間的連接時�����。連接管理單元通過使用哈希函數(shù)601和哈希表602��,管理客戶計(jì)算機(jī)101的IP地址��、服務(wù)器計(jì)算機(jī)104的IP地址和端口號之間的對應(yīng)關(guān)系(連接)����。
這種連接管理單元能夠用于檢驗(yàn)服務(wù)器的負(fù)載���,例如圖5所示的步驟S202�。明確地說���,當(dāng)哈希表602溢出時��,服務(wù)器負(fù)載檢驗(yàn)單元302就在步驟603中確定服務(wù)器計(jì)算機(jī)104超載�����。
注意�����,圖13所示的連接管理單元可以加入第二個實(shí)施例的安排中��。
(第六個實(shí)施例)圖14是一個框圖��,展示了依據(jù)本發(fā)明的第六個實(shí)施例中服務(wù)器計(jì)算機(jī)保護(hù)裝置的示意性結(jié)構(gòu)����。如同第四個實(shí)施例中介紹的頭部校正單元210,加入第三個實(shí)施例的安排中��。如同上面的介紹���,第三個實(shí)施例的保護(hù)裝置103對向客戶計(jì)算機(jī)提供的數(shù)據(jù)進(jìn)行計(jì)數(shù)�����,以檢驗(yàn)服務(wù)器計(jì)算機(jī)104的負(fù)載�。為了這個目的,在第六個實(shí)施例的保護(hù)裝置中也配備了大量的已提供的數(shù)據(jù)計(jì)數(shù)單元301和服務(wù)器負(fù)載檢驗(yàn)單元302�����。由于對一個已提供的數(shù)據(jù)計(jì)數(shù)單元301和一個服務(wù)器負(fù)載檢驗(yàn)單元302只配備了足以勝任的簡單的計(jì)算功能�,所以大量的已提供的數(shù)據(jù)計(jì)數(shù)單元301或服務(wù)器負(fù)載檢驗(yàn)單元302也僅僅消耗保護(hù)裝置103中少量的存儲器或CPU資源。因此�,為了應(yīng)付1000至10000臺數(shù)目的客戶計(jì)算機(jī),可以提供如此多的已提供的數(shù)據(jù)計(jì)數(shù)單元301和服務(wù)器負(fù)載檢驗(yàn)單元302組�����。注意�����,對于特定的客戶計(jì)算機(jī)����,對于已經(jīng)建立的多個連接中的每一個��,可以分別關(guān)聯(lián)到已提供的數(shù)據(jù)計(jì)數(shù)單元301和服務(wù)器負(fù)載檢驗(yàn)單元302組�����。
頭部校正單元210校正TCP/IP的頭部,使得在連接過程之后能夠適當(dāng)?shù)剡M(jìn)行數(shù)據(jù)包序列控制���,即使保護(hù)裝置103插入客戶計(jì)算機(jī)101和服務(wù)器計(jì)算機(jī)104之間��,并且保護(hù)裝置103檢驗(yàn)服務(wù)器計(jì)算機(jī)104關(guān)于大量客戶計(jì)算機(jī)的負(fù)載����。
圖15是一個框圖���,展示了依據(jù)本發(fā)明的第六個實(shí)施例修改方案中服務(wù)器計(jì)算機(jī)保護(hù)裝置的示意性結(jié)構(gòu)�����。這種修改包括服務(wù)器連接計(jì)數(shù)單元401�,用于對服務(wù)器計(jì)算機(jī)保護(hù)裝置103和服務(wù)器計(jì)算機(jī)104之間的連接進(jìn)行計(jì)數(shù)�。服務(wù)器連接計(jì)數(shù)單元401的輸出結(jié)果輸入到為每臺客戶計(jì)算機(jī)配備的服務(wù)器負(fù)載檢驗(yàn)單元302。為每臺客戶計(jì)算機(jī)進(jìn)行連接的數(shù)目可以由為每臺客戶計(jì)算機(jī)配備的已提供的數(shù)據(jù)計(jì)數(shù)單元301進(jìn)行計(jì)數(shù)�����。由于連接的任何數(shù)目都包括保護(hù)裝置103和服務(wù)器計(jì)算機(jī)104之間的連接數(shù)目����,并且為每臺客戶計(jì)算機(jī)進(jìn)行連接的數(shù)目可以在服務(wù)器計(jì)算機(jī)保護(hù)裝置103內(nèi)部進(jìn)行計(jì)數(shù)�,所以能夠簡化對于每臺客戶計(jì)算機(jī)的服務(wù)器負(fù)載檢驗(yàn)���。
(第七個實(shí)施例)圖16是一個框圖�����,展示了依據(jù)本發(fā)明的第七個實(shí)施例中服務(wù)器計(jì)算機(jī)保護(hù)裝置的示意性結(jié)構(gòu)����。圖17是一張流程圖��,顯示了依據(jù)本發(fā)明第七個實(shí)施例的服務(wù)器計(jì)算機(jī)保護(hù)裝置的處理操作��。這個實(shí)施例可以與其它實(shí)施例相結(jié)合��,并且包括代理響應(yīng)單元501�,用于取代服務(wù)器計(jì)算機(jī)104響應(yīng)客戶計(jì)算機(jī)101��。為了允許代理響應(yīng)單元501替代服務(wù)器計(jì)算機(jī)104����,代理響應(yīng)單元501必須具有圖8中介紹的頭部校正單元210��。
在圖17中�,通過如同上面介紹的過程(S401至S404)����,依據(jù)TCP/IP在客戶計(jì)算機(jī)101和保護(hù)裝置103之間建立了連接。所以��,也就是��,在客戶計(jì)算機(jī)101發(fā)出數(shù)據(jù)請求之前�����,代理響應(yīng)單元501取代服務(wù)器計(jì)算機(jī)104響應(yīng)客戶計(jì)算機(jī)101(S405)��。
響應(yīng)意味著以高于TCP/IP級別的協(xié)議返回某個響應(yīng)�,例如某個對話協(xié)議,它可能是例如SMTP(簡單郵政傳遞協(xié)議)或者POP(郵局協(xié)議)�。在SMTP的情況下,該響應(yīng)可能是一條消息����,指示一種狀態(tài),此時服務(wù)器計(jì)算機(jī)104可以接收電子郵件。同樣�,在POP的情況下,該響應(yīng)可能是一條消息�,指示POP版本(例如POP3)。一般說來��,代理響應(yīng)單元501返回一條消息�����,內(nèi)容包括服務(wù)器計(jì)算機(jī)104運(yùn)行正常時返回給客戶的內(nèi)容����,通過保護(hù)裝置103和服務(wù)器計(jì)算機(jī)104之間恰在響應(yīng)操作之前進(jìn)行的基于上層協(xié)議的連接操作,服務(wù)器計(jì)算機(jī)104返回的內(nèi)容等等��。
接收響應(yīng)的客戶計(jì)算機(jī)101確定���,與服務(wù)器計(jì)算機(jī)104的連接操作已經(jīng)由較高級別的協(xié)議完成����,并轉(zhuǎn)向下一項(xiàng)操作��,比如生成數(shù)據(jù)傳遞請求�����。
數(shù)據(jù)請求接收單元201接收來自客戶計(jì)算機(jī)101的數(shù)據(jù)請求�。數(shù)據(jù)請求檢驗(yàn)單元202檢驗(yàn)該數(shù)據(jù)請求的內(nèi)容。然后�,該數(shù)據(jù)請求傳遞到服務(wù)器計(jì)算機(jī)104。服務(wù)器計(jì)算機(jī)104根據(jù)傳遞的內(nèi)容�,向客戶計(jì)算機(jī)101返回預(yù)定的數(shù)據(jù)。隨后�,執(zhí)行斷開連接過程(S413至S417)。這種檢驗(yàn)的實(shí)例是檢驗(yàn)數(shù)據(jù)請求是否偏離預(yù)定的傳遞形式以及檢驗(yàn)是否請求了不可能的數(shù)據(jù)�。
如果客戶計(jì)算機(jī)101的數(shù)據(jù)請求是正常的,如上所述����,保護(hù)裝置103執(zhí)行關(guān)于服務(wù)器計(jì)算機(jī)104的連接操作,并從客戶計(jì)算機(jī)101向服務(wù)器計(jì)算機(jī)104傳遞該請求�����。這項(xiàng)連接操作之后服務(wù)器計(jì)算機(jī)104返回的響應(yīng)�,可能會與服務(wù)器計(jì)算機(jī)保護(hù)裝置103先前返回給服務(wù)器計(jì)算機(jī)104響應(yīng)弄錯。由于這個原因����,只要該數(shù)據(jù)請求的處理中沒有發(fā)生問題,這個響應(yīng)就不傳遞給客戶。如果確定要發(fā)生問題����,保護(hù)裝置103就應(yīng)當(dāng)取消服務(wù)器計(jì)算機(jī)104和客戶計(jì)算機(jī)101之間的連接。
上面介紹的第一個至第七個實(shí)施例可以修改為���,上面的服務(wù)器計(jì)算機(jī)保護(hù)裝置加入服務(wù)器計(jì)算機(jī)中����。在這種情況下�,需要服務(wù)器計(jì)算機(jī)加入硬件,比如用于服務(wù)器計(jì)算機(jī)保護(hù)裝置的存儲器����。
(對記錄介質(zhì)的應(yīng)用)上面實(shí)施例中的處理可以由某個程序來實(shí)現(xiàn),該程序可由某臺計(jì)算機(jī)執(zhí)行��,并且該程序能夠以計(jì)算機(jī)可讀的存儲介質(zhì)來提供�����。
注意����,這種存儲介質(zhì)可以采取任何存儲形式��,例如磁盤�、軟盤���、硬盤、光盤(CD-ROM��、CD-R�、DVD等等)、磁光盤(MO等等)�,或者半導(dǎo)體存儲器,只要該程序能夠存放并能夠被計(jì)算機(jī)讀出�。
另外,根據(jù)從存儲介質(zhì)裝入計(jì)算機(jī)的某個程序的指令在計(jì)算機(jī)上運(yùn)行的OS(操作系統(tǒng))�、某個MW(中間件)比如數(shù)據(jù)庫管理軟件或網(wǎng)絡(luò)等等都可能部分地執(zhí)行每個處理步驟,以實(shí)現(xiàn)這個實(shí)施例���。
這種存儲介質(zhì)不限于獨(dú)立于計(jì)算機(jī)的介質(zhì)����,如果程序是通過LAN��、因特網(wǎng)等等發(fā)送�����,存放著或者暫時存放著這種程序的存儲介質(zhì)也包括在內(nèi)。不僅如此����,存儲介質(zhì)的數(shù)目也不限于一個。當(dāng)這個實(shí)施例中的處理要使用多個介質(zhì)來執(zhí)行時�����,它們就加入到本發(fā)明的存儲介質(zhì)中�。該介質(zhì)可以采取任何安排。
注意��,上面的計(jì)算機(jī)根據(jù)存儲介質(zhì)中存放的程序執(zhí)行這個實(shí)施例中的每個處理步驟��,并可以采取任何安排��,例如�,單個裝置比如一臺PC,或者由多個裝置通過網(wǎng)絡(luò)相互連接而成的一個系統(tǒng)���。
另外��,上面的計(jì)算機(jī)包括信息處理裝置���、微機(jī)等以及個人計(jì)算機(jī)內(nèi)含的運(yùn)算處理器����,并且是一個通用術(shù)語�,用于可以通過程序?qū)崿F(xiàn)這個實(shí)施例中功能的設(shè)備和裝置。
對于本領(lǐng)域的技術(shù)人員���,不難發(fā)現(xiàn)另外的優(yōu)點(diǎn)和修改。所以�����,本發(fā)明在其邊界方面不限于文中顯示和介紹的特定細(xì)節(jié)和代表實(shí)施例�。因此,可以進(jìn)行多種修改而不脫離一般發(fā)明概念的實(shí)質(zhì)和范圍�,如附帶的權(quán)利要求書及其等效材料所規(guī)定。
權(quán)利要求
1.一種服務(wù)器計(jì)算機(jī)保護(hù)裝置�����,通過僅僅允許一臺或多臺客戶計(jì)算機(jī)發(fā)出的正常訪問到達(dá)該服務(wù)器計(jì)算機(jī)���,來保護(hù)服務(wù)器計(jì)算機(jī)��,該裝置包括一種訪問請求接收單元����,配置為代替服務(wù)器計(jì)算機(jī)接收客戶計(jì)算機(jī)發(fā)出的訪問請求;一種訪問請求檢驗(yàn)單元�����,配置為檢驗(yàn)每個收到的訪問請求��,以確定收到的訪問請求是否正常�;以及一種訪問請求傳遞單元,配置為僅僅向服務(wù)器計(jì)算機(jī)傳遞確定為正常的訪問請求����,而防止把確定為不正常的其他訪問請求傳遞到服務(wù)器計(jì)算機(jī)。
2.根據(jù)權(quán)利要求1的服務(wù)器計(jì)算機(jī)保護(hù)裝置���,其特征在于��,該訪問請求包括一系列的連接請求數(shù)據(jù)包�����、確認(rèn)數(shù)據(jù)包和數(shù)據(jù)請求數(shù)據(jù)包�����,其特征還在于���,如果訪問請求接收單元收到連接請求數(shù)據(jù)包和連接請求數(shù)據(jù)包后跟隨的確認(rèn)數(shù)據(jù)包����,然后在特定的時間內(nèi)收到確認(rèn)數(shù)據(jù)包后跟隨的數(shù)據(jù)請求數(shù)據(jù)包��,訪問請求檢驗(yàn)單元就確定訪問請求為正常����。
3.根據(jù)權(quán)利要求2的服務(wù)器計(jì)算機(jī)保護(hù)裝置����,進(jìn)一步包括一種服務(wù)器負(fù)載檢驗(yàn)單元,配置為根據(jù)連接請求數(shù)據(jù)包數(shù)目和數(shù)據(jù)提供到服務(wù)器計(jì)算機(jī)次數(shù)的比值����,檢驗(yàn)服務(wù)器計(jì)算機(jī)的負(fù)載是否上升,其中��,如果負(fù)載上升�,訪問請求檢驗(yàn)單元就確定訪問請求不正常�����,以抵御分布的拒絕服務(wù)攻擊��。
4.根據(jù)權(quán)利要求3的服務(wù)器計(jì)算機(jī)保護(hù)裝置��,其特征在于����,服務(wù)器負(fù)載檢驗(yàn)單元關(guān)于每臺客戶計(jì)算機(jī)或每個連接檢驗(yàn)服務(wù)器計(jì)算機(jī)的負(fù)載���。
5.根據(jù)權(quán)利要求1的服務(wù)器計(jì)算機(jī)保護(hù)裝置�,其特征在于����,進(jìn)一步包括一種頭部校正單元,配置為校正訪問請求數(shù)據(jù)包的頭部�����,用于客戶計(jì)算機(jī)和服務(wù)器計(jì)算機(jī)之間的序列控制�����。
6.根據(jù)權(quán)利要求1的服務(wù)器計(jì)算機(jī)保護(hù)裝置,其特征在于���,進(jìn)一步包括一種代理響應(yīng)單元��,配置為根據(jù)高于TCP/IP級別的會話協(xié)議��,代替服務(wù)器計(jì)算機(jī)響應(yīng)客戶計(jì)算機(jī)�����。
7.一種服務(wù)器計(jì)算機(jī)保護(hù)方法��,通過僅僅允許一臺或多臺客戶計(jì)算機(jī)發(fā)出的正常訪問到達(dá)該服務(wù)器計(jì)算機(jī)����,來保護(hù)服務(wù)器計(jì)算機(jī)�����,該方法包括代替服務(wù)器計(jì)算機(jī)接收客戶計(jì)算機(jī)發(fā)出的訪問請求�����;檢驗(yàn)訪問請求�����,以確定每個收到的訪問請求是否正常�;以及僅僅向服務(wù)器計(jì)算機(jī)傳遞確定為正常的訪問請求,而防止把確定為不正常的其他訪問請求傳遞到服務(wù)器計(jì)算機(jī)���。
8.根據(jù)權(quán)利要求7的服務(wù)器計(jì)算機(jī)保護(hù)方法����,其特征在于�,該訪問請求包括一系列的連接請求數(shù)據(jù)包、確認(rèn)數(shù)據(jù)包和數(shù)據(jù)請求數(shù)據(jù)包����,其特征還在于,如果收到連接請求數(shù)據(jù)包和連接請求數(shù)據(jù)包后跟隨的確認(rèn)數(shù)據(jù)包��,然后在特定的時間內(nèi)收到確認(rèn)數(shù)據(jù)包后跟隨的數(shù)據(jù)請求數(shù)據(jù)包�,訪問請求就確定為正常。
9.根據(jù)權(quán)利要求8的服務(wù)器計(jì)算機(jī)保護(hù)方法�����,進(jìn)一步包括根據(jù)連接請求數(shù)據(jù)包數(shù)目和數(shù)據(jù)提供到服務(wù)器計(jì)算機(jī)次數(shù)的比值,檢驗(yàn)服務(wù)器計(jì)算機(jī)的負(fù)載是否上升�;以及如果負(fù)載上升,就確定訪問請求不正常�,以抵御分布的拒絕服務(wù)攻擊。
10.根據(jù)權(quán)利要求9的服務(wù)器計(jì)算機(jī)保護(hù)方法���,其特征在于�,關(guān)于每臺客戶計(jì)算機(jī)或每個連接檢驗(yàn)服務(wù)器計(jì)算機(jī)的負(fù)載����。
11.根據(jù)權(quán)利要求7的服務(wù)器計(jì)算機(jī)保護(hù)方法,進(jìn)一步包括校正訪問請求數(shù)據(jù)包的頭部��,用于客戶計(jì)算機(jī)和服務(wù)器計(jì)算機(jī)之間的序列控制�。
12.根據(jù)權(quán)利要求7的服務(wù)器計(jì)算機(jī)保護(hù)方法,進(jìn)一步包括根據(jù)高于TCP/IP級別的會話協(xié)議���,代替服務(wù)器計(jì)算機(jī)響應(yīng)客戶計(jì)算機(jī)�。
13.一種服務(wù)器計(jì)算機(jī)裝置�,它與一臺或多臺客戶計(jì)算機(jī)通信�,包括一種服務(wù)器計(jì)算機(jī)單元;以及一種服務(wù)器計(jì)算機(jī)保護(hù)單元�,包括一種訪問請求接收單元,配置為代替服務(wù)器計(jì)算機(jī)單元接收客戶計(jì)算機(jī)發(fā)出的訪問請求;一種訪問請求檢驗(yàn)單元����,配置為檢驗(yàn)每個收到的訪問請求,以確定收到的訪問請求是否正常�����;以及一種訪問請求傳遞單元�,配置為僅僅向服務(wù)器計(jì)算機(jī)單元傳遞確定為正常的訪問請求,而防止把確定為不正常的其他訪問請求傳遞到服務(wù)器計(jì)算機(jī)單元�����。
14.根據(jù)權(quán)利要求13的服務(wù)器計(jì)算機(jī)裝置��,其特征在于�����,該訪問請求包括一系列的連接請求數(shù)據(jù)包�、確認(rèn)數(shù)據(jù)包和數(shù)據(jù)請求數(shù)據(jù)包,其特征還在于�,如果訪問請求接收單元收到連接請求數(shù)據(jù)包和連接請求數(shù)據(jù)包后跟隨的確認(rèn)數(shù)據(jù)包,然后在特定的時間內(nèi)收到確認(rèn)數(shù)據(jù)包后跟隨的數(shù)據(jù)請求數(shù)據(jù)包����,訪問請求檢驗(yàn)單元就確定訪問請求為正常����。
15.一種計(jì)算機(jī)程序產(chǎn)品�����,包括一種計(jì)算機(jī)存儲介質(zhì)和記錄在該計(jì)算機(jī)存儲介質(zhì)上的一種計(jì)算機(jī)程序代碼機(jī)制�,用于使某臺計(jì)算機(jī)通過僅僅允許一臺或多臺客戶計(jì)算機(jī)裝置發(fā)出的正常訪問到達(dá)該服務(wù)器計(jì)算機(jī)裝置,來保護(hù)服務(wù)器計(jì)算機(jī)裝置�����,該計(jì)算機(jī)代碼機(jī)制包括一個代碼段���,用于代替服務(wù)器計(jì)算機(jī)裝置接收客戶計(jì)算機(jī)裝置發(fā)出的訪問請求���;一個代碼段,用于檢驗(yàn)每個收到的訪問請求���,以確定收到的訪問請求是否正常���;以及一個代碼段����,用于僅僅向服務(wù)器計(jì)算機(jī)裝置傳遞確定為正常的訪問請求����,而防止把確定為不正常的其他訪問請求傳遞到服務(wù)器計(jì)算機(jī)裝置���。
16.根據(jù)權(quán)利要求15的計(jì)算機(jī)程序產(chǎn)品�,其特征在于�����,該訪問請求包括一系列的連接請求數(shù)據(jù)包���、確認(rèn)數(shù)據(jù)包和數(shù)據(jù)請求數(shù)據(jù)包�,其特征還在于�,如果用于接收的代碼段收到連接請求數(shù)據(jù)包和連接請求數(shù)據(jù)包后跟隨的確認(rèn)數(shù)據(jù)包,然后在特定的時間內(nèi)收到確認(rèn)數(shù)據(jù)包后跟隨的數(shù)據(jù)請求數(shù)據(jù)包����,用于檢驗(yàn)的代碼段就確定訪問請求為正常。
17.根據(jù)權(quán)利要求15的計(jì)算機(jī)程序產(chǎn)品����,其特征在于��,該計(jì)算機(jī)代碼機(jī)制進(jìn)一步包括一個代碼段�����,用于根據(jù)連接請求數(shù)據(jù)包數(shù)目和數(shù)據(jù)提供到服務(wù)器計(jì)算機(jī)裝置次數(shù)的比值���,檢驗(yàn)服務(wù)器計(jì)算機(jī)裝置的負(fù)載是否上升;以及一個代碼段���,用于如果負(fù)載上升����,就確定訪問請求不正常�����,以抵御分布的拒絕服務(wù)攻擊��。
18.根據(jù)權(quán)利要求17的計(jì)算機(jī)程序產(chǎn)品�,其特征在于,關(guān)于每臺客戶計(jì)算機(jī)裝置或每個連接檢驗(yàn)服務(wù)器計(jì)算機(jī)裝置的負(fù)載。
19.根據(jù)權(quán)利要求15的計(jì)算機(jī)程序產(chǎn)品���,其特征在于���,該計(jì)算機(jī)代碼機(jī)制進(jìn)一步包括一個代碼段��,用于校正訪問請求數(shù)據(jù)包的頭部�,用于客戶計(jì)算機(jī)裝置和服務(wù)器計(jì)算機(jī)裝置之間的序列控制。
20.根據(jù)權(quán)利要求15的計(jì)算機(jī)程序產(chǎn)品�����,其特征在于��,該計(jì)算機(jī)代碼機(jī)制進(jìn)一步包括一個代碼段����,用于根據(jù)高于TCP/IP級別的會話協(xié)議,代替服務(wù)器計(jì)算機(jī)裝置響應(yīng)客戶計(jì)算機(jī)裝置��。
全文摘要
一種服務(wù)器計(jì)算機(jī)保護(hù)裝置��,通過僅僅允許一臺或多臺客戶計(jì)算機(jī)發(fā)出的正常訪問到達(dá)該服務(wù)器計(jì)算機(jī)����,來保護(hù)服務(wù)器計(jì)算機(jī)���。訪問請求接收單元代替服務(wù)器計(jì)算機(jī),接收客戶計(jì)算機(jī)發(fā)出的訪問請求��。訪問請求檢驗(yàn)單元檢驗(yàn)每個收到的訪問請求��,以確定收到的訪問請求是否正常����。訪問請求傳遞單元僅僅向服務(wù)器計(jì)算機(jī)傳遞確定為正常的訪問請求,而防止把確定為不正常的其他訪問請求傳遞到服務(wù)器計(jì)算機(jī)���。
文檔編號G06F21/20GK1410899SQ0214351
公開日2003年4月16日 申請日期2002年9月27日 優(yōu)先權(quán)日2001年9月27日
發(fā)明者菅野伸一, 楯岡正道 申請人:株式會社東芝