專利名稱:服務(wù)器計(jì)算機(jī)保護(hù)的裝置、方法、程序產(chǎn)品和服務(wù)器計(jì)算機(jī)裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及客戶計(jì)算機(jī)和服務(wù)器計(jì)算機(jī)之間的網(wǎng)絡(luò)系統(tǒng),更具體地說(shuō),涉及服務(wù)器計(jì)算機(jī)保護(hù)裝置,用于保護(hù)服務(wù)器計(jì)算機(jī),抵御故意干擾服務(wù)器計(jì)算機(jī)處理的非法訪問(wèn)。
背景技術(shù):
今天廣泛使用著計(jì)算機(jī)服務(wù)器系統(tǒng),其中確定或不確定數(shù)目的客戶計(jì)算機(jī),通過(guò)數(shù)據(jù)包交換網(wǎng)絡(luò)連接到服務(wù)器計(jì)算機(jī),按照來(lái)自客戶計(jì)算機(jī)的請(qǐng)求數(shù)據(jù)包,從服務(wù)器計(jì)算機(jī)提供數(shù)據(jù)的數(shù)據(jù)包。一個(gè)數(shù)據(jù)包就是通過(guò)網(wǎng)絡(luò)發(fā)送的一定數(shù)目的數(shù)據(jù)。數(shù)據(jù)包基本上包括頭部和數(shù)據(jù)體。頭部包含傳輸目的地的IP(因特網(wǎng)協(xié)議)地址、數(shù)據(jù)源的IP地址、表示數(shù)據(jù)包之間順序關(guān)系的傳輸序列號(hào)等等。
TCP/IP(傳輸控制協(xié)議/IP)中的正常訪問(wèn)請(qǐng)求過(guò)程,是連接類(lèi)型協(xié)議的一個(gè)實(shí)例。例如,
圖18顯示了該過(guò)程,其中(a)客戶計(jì)算機(jī)向服務(wù)器計(jì)算機(jī)發(fā)送連接請(qǐng)求數(shù)據(jù)包(SYN(同步)數(shù)據(jù)包),(b)服務(wù)器計(jì)算機(jī)向客戶計(jì)算機(jī)發(fā)送連接請(qǐng)求確認(rèn)數(shù)據(jù)包(SYN+ACK(確認(rèn))數(shù)據(jù)包),(c)客戶計(jì)算機(jī)向服務(wù)器計(jì)算機(jī)發(fā)送確認(rèn)數(shù)據(jù)包(ACK數(shù)據(jù)包),以建立局部通信路徑(連接),這稱為“三路信號(hào)交換方案”,(d)已經(jīng)建立了連接之后,客戶計(jì)算機(jī)向服務(wù)器計(jì)算機(jī)發(fā)送數(shù)據(jù)請(qǐng)求數(shù)據(jù)包,其中數(shù)據(jù)請(qǐng)求數(shù)據(jù)包為例如URL(統(tǒng)一資源定位器)數(shù)據(jù)包,(e)服務(wù)器計(jì)算機(jī)向客戶計(jì)算機(jī)發(fā)送數(shù)據(jù)的數(shù)據(jù)包,它是來(lái)自客戶計(jì)算機(jī)的URL數(shù)據(jù)包請(qǐng)求的。
來(lái)自客戶計(jì)算機(jī)的非法訪問(wèn)攻擊服務(wù)器計(jì)算機(jī)的趨勢(shì)在增長(zhǎng)。非法訪問(wèn)的攻擊意圖是干擾例如服務(wù)器計(jì)算機(jī)提供的服務(wù)。如果完成了從客戶計(jì)算機(jī)向服務(wù)器計(jì)算機(jī)的正常訪問(wèn)請(qǐng)求,在客戶計(jì)算機(jī)一側(cè)就會(huì)實(shí)際收到和使用響應(yīng)正常訪問(wèn)請(qǐng)求而從服務(wù)器計(jì)算機(jī)提供的數(shù)據(jù)。不過(guò),試圖攻擊服務(wù)器計(jì)算機(jī)的訪問(wèn)請(qǐng)求不是為了接收數(shù)據(jù)提供,而是為了非法訪問(wèn)。
通過(guò)從一臺(tái)客戶計(jì)算機(jī)向服務(wù)器計(jì)算機(jī)發(fā)送大量類(lèi)似的訪問(wèn)請(qǐng)求,使目標(biāo)服務(wù)器計(jì)算機(jī)提供的數(shù)據(jù)提供服務(wù)癱瘓,這種攻擊被稱為DoS攻擊(拒絕服務(wù)攻擊)。DoS攻擊很難與正??蛻舻脑L問(wèn)相區(qū)分,因此很難采取有效的措施來(lái)抵御這種攻擊。還有另一種形式的攻擊,多臺(tái)客戶計(jì)算機(jī)一起進(jìn)行DoS攻擊。
例如,因特網(wǎng)上一般的DoS攻擊用以下方式危害服務(wù)器計(jì)算機(jī)。
(1)如圖19所示,發(fā)送大量的SYN數(shù)據(jù)包,其數(shù)量超過(guò)服務(wù)器計(jì)算機(jī)的能力,因而阻止服務(wù)器計(jì)算機(jī)發(fā)送任何SYN+ACK數(shù)據(jù)包(后文中的“SYN洪流”)。
(2)如圖20所示,一臺(tái)或多臺(tái)非法的客戶計(jì)算機(jī)向服務(wù)器計(jì)算機(jī)發(fā)送大量的SYN和ACK數(shù)據(jù)包,與該服務(wù)器計(jì)算機(jī)建立連接。在預(yù)定的時(shí)間期間,這些客戶不發(fā)送任何源自客戶計(jì)算機(jī)一側(cè)送出的數(shù)據(jù)包,比如URL數(shù)據(jù)包。因而使服務(wù)器計(jì)算機(jī)處于保持連接(后文中的“建立洪流”)。
(3)如圖21所示,每臺(tái)客戶計(jì)算機(jī)都通過(guò)建立的連接發(fā)送URL數(shù)據(jù)包進(jìn)行正常的訪問(wèn),如同正常的客戶計(jì)算機(jī)一樣。這種正常的訪問(wèn)是由許多客戶計(jì)算機(jī)幾乎在同時(shí)進(jìn)行的(例如在一個(gè)預(yù)定的時(shí)間)。從而大量的訪問(wèn)集中在一臺(tái)特定的服務(wù)器計(jì)算機(jī)上,其處理負(fù)載增加至干擾該服務(wù)器計(jì)算機(jī)的正常操作。這種攻擊特別被稱為DDoS攻擊(分布的拒絕服務(wù)攻擊)(后文中的“訪問(wèn)洪流”)。
當(dāng)某臺(tái)服務(wù)器計(jì)算機(jī)遭受這種攻擊時(shí),就會(huì)浪費(fèi)資源,比如服務(wù)器計(jì)算機(jī)內(nèi)的存儲(chǔ)器,因?yàn)樗仨毚_保每個(gè)連接請(qǐng)求的例如數(shù)據(jù)提供存儲(chǔ)器。這就極大地干擾了來(lái)自沒(méi)有惡意的客戶計(jì)算機(jī)的正常訪問(wèn)。
為了保護(hù)服務(wù)器計(jì)算機(jī)抵御這種攻擊,在服務(wù)器計(jì)算機(jī)和網(wǎng)絡(luò)之間通常配備了服務(wù)器計(jì)算機(jī)保護(hù)裝置。對(duì)于SYN洪流,常規(guī)的服務(wù)器計(jì)算機(jī)保護(hù)裝置僅僅處理重復(fù)次數(shù)如同正常連接請(qǐng)求的連接請(qǐng)求,或者僅僅處理已經(jīng)進(jìn)行了正常訪問(wèn)的客戶發(fā)出的訪問(wèn)請(qǐng)求,將其作為正常連接請(qǐng)求對(duì)待。這個(gè)裝置將其它類(lèi)型的訪問(wèn)視為非法訪問(wèn)而拒絕它們,并拋棄相應(yīng)的數(shù)據(jù)包。
不過(guò),如果攻擊者向常規(guī)計(jì)算機(jī)保護(hù)裝置多次發(fā)出同樣的連接請(qǐng)求,一個(gè)攻擊就成功了。不僅如此,常規(guī)裝置無(wú)法應(yīng)付建立洪流和訪問(wèn)洪流。
這種常規(guī)的服務(wù)器計(jì)算機(jī)保護(hù)裝置運(yùn)行時(shí),僅僅阻止有效探測(cè)出的非法訪問(wèn)。服務(wù)器計(jì)算機(jī)保護(hù)裝置需要的保護(hù)服務(wù)器計(jì)算機(jī)的過(guò)程是,確定某個(gè)訪問(wèn)是否正常,然后,如果確定該訪問(wèn)為正常就允許該訪問(wèn)通過(guò)該裝置,否則使不能通過(guò)該裝置的訪問(wèn)留在其中。
發(fā)明內(nèi)容
本發(fā)明的一個(gè)目的是提供一種服務(wù)器計(jì)算機(jī)保護(hù)方法和裝置,它們能夠全面地保護(hù)服務(wù)器計(jì)算機(jī)抵御DoS攻擊。
依據(jù)本發(fā)明的若干實(shí)施例,其中提供了一種服務(wù)器計(jì)算機(jī)保護(hù)裝置,通過(guò)僅僅允許一臺(tái)或多臺(tái)客戶計(jì)算機(jī)發(fā)出的正常訪問(wèn)到達(dá)該服務(wù)器計(jì)算機(jī),來(lái)保護(hù)服務(wù)器計(jì)算機(jī),該裝置包括一種訪問(wèn)請(qǐng)求接收單元,配置為代替服務(wù)器計(jì)算機(jī)接收客戶計(jì)算機(jī)發(fā)出的訪問(wèn)請(qǐng)求;一種訪問(wèn)請(qǐng)求檢驗(yàn)單元,配置為檢驗(yàn)每個(gè)收到的訪問(wèn)請(qǐng)求,以確定收到的訪問(wèn)請(qǐng)求是否正常;以及一種訪問(wèn)請(qǐng)求傳遞單元,配置為僅僅向服務(wù)器計(jì)算機(jī)傳遞確定為正常的訪問(wèn)請(qǐng)求,而防止把確定為不正常的其他訪問(wèn)請(qǐng)求傳遞到服務(wù)器計(jì)算機(jī)。
依據(jù)本發(fā)明的若干實(shí)施例,其中提供了一種服務(wù)器計(jì)算機(jī)保護(hù)方法,通過(guò)僅僅允許一臺(tái)或多臺(tái)客戶計(jì)算機(jī)發(fā)出的正常訪問(wèn)到達(dá)該服務(wù)器計(jì)算機(jī),來(lái)保護(hù)服務(wù)器計(jì)算機(jī),該方法包括代替服務(wù)器計(jì)算機(jī)接收客戶計(jì)算機(jī)發(fā)出的訪問(wèn)請(qǐng)求;檢驗(yàn)訪問(wèn)請(qǐng)求,以確定每個(gè)收到的訪問(wèn)請(qǐng)求是否正常;以及僅僅向服務(wù)器計(jì)算機(jī)傳遞確定為正常的訪問(wèn)請(qǐng)求,而防止把確定為不正常的其他訪問(wèn)請(qǐng)求傳遞到服務(wù)器計(jì)算機(jī)。
依據(jù)本發(fā)明的若干實(shí)施例,其中提供了一種服務(wù)器計(jì)算機(jī)裝置,它與一臺(tái)或多臺(tái)客戶計(jì)算機(jī)通信,包括一種服務(wù)器計(jì)算機(jī)單元;以及一種服務(wù)器計(jì)算機(jī)保護(hù)單元,包括一種訪問(wèn)請(qǐng)求接收單元,配置為代替服務(wù)器計(jì)算機(jī)單元接收客戶計(jì)算機(jī)發(fā)出的訪問(wèn)請(qǐng)求;一種訪問(wèn)請(qǐng)求檢驗(yàn)單元,配置為檢驗(yàn)每個(gè)收到的訪問(wèn)請(qǐng)求,以確定收到的訪問(wèn)請(qǐng)求是否正常;以及一種訪問(wèn)請(qǐng)求傳遞單元,配置為僅僅向服務(wù)器計(jì)算機(jī)單元傳遞確定為正常的訪問(wèn)請(qǐng)求,而防止把確定為不正常的其他訪問(wèn)請(qǐng)求傳遞到服務(wù)器計(jì)算機(jī)單元。
依據(jù)本發(fā)明的若干實(shí)施例,其中提供了一種計(jì)算機(jī)程序產(chǎn)品,包括一種計(jì)算機(jī)存儲(chǔ)介質(zhì)和記錄在該計(jì)算機(jī)存儲(chǔ)介質(zhì)上的一種計(jì)算機(jī)程序代碼機(jī)制,用于使某臺(tái)計(jì)算機(jī)通過(guò)僅僅允許一臺(tái)或多臺(tái)客戶計(jì)算機(jī)裝置發(fā)出的正常訪問(wèn)到達(dá)該服務(wù)器計(jì)算機(jī)裝置,來(lái)保護(hù)服務(wù)器計(jì)算機(jī)裝置,該計(jì)算機(jī)代碼機(jī)制包括一種代碼段,用于代替服務(wù)器計(jì)算機(jī)裝置接收客戶計(jì)算機(jī)裝置發(fā)出的訪問(wèn)請(qǐng)求;一種代碼段,用于檢驗(yàn)每個(gè)收到的訪問(wèn)請(qǐng)求,以確定收到的訪問(wèn)請(qǐng)求是否正常;以及一種代碼段,用于僅僅向服務(wù)器計(jì)算機(jī)裝置傳遞確定為正常的訪問(wèn)請(qǐng)求,而防止把確定為不正常的其他訪問(wèn)請(qǐng)求傳遞到服務(wù)器計(jì)算機(jī)裝置。
附圖簡(jiǎn)要說(shuō)明圖1是一個(gè)網(wǎng)絡(luò)系統(tǒng),對(duì)它應(yīng)用了依據(jù)本發(fā)明的某個(gè)實(shí)施例中的服務(wù)器計(jì)算機(jī)保護(hù)裝置;
圖2是一個(gè)框圖,展示了依據(jù)本發(fā)明的第一個(gè)實(shí)施例中服務(wù)器計(jì)算機(jī)保護(hù)裝置的示意性結(jié)構(gòu);圖3是一張流程圖,顯示了依據(jù)第一個(gè)實(shí)施例的服務(wù)器計(jì)算機(jī)保護(hù)裝置的處理操作;圖4是一個(gè)框圖,展示了依據(jù)本發(fā)明的第二個(gè)實(shí)施例中服務(wù)器計(jì)算機(jī)保護(hù)裝置的示意性結(jié)構(gòu);圖5A和圖5B是兩張流程圖,顯示了依據(jù)第二個(gè)實(shí)施例的服務(wù)器計(jì)算機(jī)保護(hù)裝置的處理操作;圖6是一個(gè)框圖,展示了依據(jù)本發(fā)明的第三個(gè)實(shí)施例中服務(wù)器計(jì)算機(jī)保護(hù)裝置的示意性結(jié)構(gòu);圖7是一張流程圖,顯示了依據(jù)第三個(gè)實(shí)施例的服務(wù)器計(jì)算機(jī)保護(hù)裝置的處理操作;圖8是一個(gè)框圖,展示了依據(jù)本發(fā)明的第四個(gè)實(shí)施例中服務(wù)器計(jì)算機(jī)保護(hù)設(shè)備的示意性結(jié)構(gòu);圖9顯示了TCP/IP中典型的IP頭部;圖10顯示了TCP/IP中典型的TCP頭部;圖11顯示了保護(hù)裝置實(shí)現(xiàn)的頭部校正的一個(gè)實(shí)施例;圖12是一個(gè)框圖,展示了依據(jù)本發(fā)明的第五個(gè)實(shí)施例中服務(wù)器計(jì)算機(jī)保護(hù)裝置的示意性結(jié)構(gòu);圖13顯示了連接控制單元的結(jié)構(gòu);圖14是一個(gè)框圖,展示了依據(jù)本發(fā)明的第六個(gè)實(shí)施例中服務(wù)器計(jì)算機(jī)保護(hù)裝置的示意性結(jié)構(gòu);圖15是一個(gè)框圖,展示了依據(jù)本發(fā)明的第六個(gè)實(shí)施例修改方案中服務(wù)器計(jì)算機(jī)保護(hù)裝置的示意性結(jié)構(gòu);圖16是一個(gè)框圖,展示了依據(jù)本發(fā)明的第七個(gè)實(shí)施例中服務(wù)器計(jì)算機(jī)保護(hù)裝置的示意性結(jié)構(gòu);圖17是一張流程圖,顯示了依據(jù)本發(fā)明第七個(gè)實(shí)施例的服務(wù)器計(jì)算機(jī)保護(hù)裝置的處理操作;圖18顯示了訪問(wèn)請(qǐng)求過(guò)程(三路信號(hào)交換方案)的一個(gè)實(shí)例;
圖19顯示了一種攻擊模式(SYN洪流)的一個(gè)實(shí)例;圖20顯示了一種攻擊模式(建立洪流)的另一個(gè)實(shí)例;圖21顯示了一種攻擊模式(訪問(wèn)洪流)的另一個(gè)實(shí)例。
具體實(shí)施例方式
下面,將參考附圖介紹本發(fā)明的若干實(shí)施例。
圖1是一張示意圖,顯示了一個(gè)網(wǎng)絡(luò)系統(tǒng),其中實(shí)現(xiàn)了依據(jù)本發(fā)明的若干實(shí)施例中的服務(wù)器計(jì)算機(jī)保護(hù)裝置。在該系統(tǒng)中,服務(wù)器計(jì)算機(jī)104通過(guò)服務(wù)器計(jì)算機(jī)保護(hù)設(shè)備103連接到網(wǎng)絡(luò)102。服務(wù)器計(jì)算機(jī)104務(wù)必通過(guò)服務(wù)器計(jì)算機(jī)保護(hù)設(shè)備103,與連接到網(wǎng)絡(luò)102的客戶計(jì)算機(jī)101-1、101-2、101-3(后文中統(tǒng)一稱為“客戶計(jì)算機(jī)101”)交換數(shù)據(jù)包。
(第一個(gè)實(shí)施例)圖2是一個(gè)框圖,展示了依據(jù)本發(fā)明的第一個(gè)實(shí)施例中服務(wù)器計(jì)算機(jī)保護(hù)裝置(后文中的“保護(hù)裝置”)103的示意性結(jié)構(gòu)。保護(hù)裝置103包括訪問(wèn)請(qǐng)求接收單元201、訪問(wèn)請(qǐng)求檢驗(yàn)單元202和訪問(wèn)請(qǐng)求傳遞單元203。保護(hù)裝置103代替服務(wù)器計(jì)算機(jī)104,接收和檢驗(yàn)發(fā)往服務(wù)器計(jì)算機(jī)104的訪問(wèn)請(qǐng)求。
從客戶計(jì)算機(jī)101發(fā)出的訪問(wèn)請(qǐng)求數(shù)據(jù)包,在檢驗(yàn)前是由訪問(wèn)請(qǐng)求接收單元201接收,然后傳遞到訪問(wèn)請(qǐng)求檢驗(yàn)單元202。訪問(wèn)請(qǐng)求數(shù)據(jù)包包括三個(gè)階段中的數(shù)據(jù)包,也就是連接請(qǐng)求數(shù)據(jù)包(SYN數(shù)據(jù)包)、確認(rèn)數(shù)據(jù)包(ACK數(shù)據(jù)包)和數(shù)據(jù)請(qǐng)求數(shù)據(jù)包(在某些實(shí)施例的解釋中作為實(shí)例稱為“URL數(shù)據(jù)包”)。訪問(wèn)請(qǐng)求檢驗(yàn)單元202檢驗(yàn)訪問(wèn)請(qǐng)求數(shù)據(jù)包的序列是否在正常的期間以正常的順序到達(dá)。
訪問(wèn)請(qǐng)求檢驗(yàn)單元202對(duì)訪問(wèn)請(qǐng)求數(shù)據(jù)包的檢驗(yàn)結(jié)果,通知訪問(wèn)請(qǐng)求接收單元201。經(jīng)過(guò)檢驗(yàn)的訪問(wèn)請(qǐng)求數(shù)據(jù)包被送到訪問(wèn)請(qǐng)求傳遞單元203。如果檢驗(yàn)結(jié)果正常,經(jīng)過(guò)檢驗(yàn)的訪問(wèn)請(qǐng)求數(shù)據(jù)包就從訪問(wèn)請(qǐng)求傳遞單元203傳遞到服務(wù)器計(jì)算機(jī)104。
下面將參考圖3中的流程圖,介紹服務(wù)器計(jì)算機(jī)保護(hù)設(shè)備103的整個(gè)處理流程。首先,收到從客戶計(jì)算機(jī)101發(fā)出的連接請(qǐng)求數(shù)據(jù)包(SYN數(shù)據(jù)包)之后,服務(wù)器計(jì)算機(jī)保護(hù)設(shè)備103向客戶計(jì)算機(jī)發(fā)送連接請(qǐng)求確認(rèn)(SYN+ACK)數(shù)據(jù)包(S101),并在下一階段轉(zhuǎn)變到一種等待訪問(wèn)請(qǐng)求數(shù)據(jù)包(即ACK數(shù)據(jù)包或URL數(shù)據(jù)包)的狀態(tài)(S102)。
這時(shí),訪問(wèn)請(qǐng)求檢驗(yàn)單元202在步驟S103中,檢驗(yàn)該訪問(wèn)請(qǐng)求是不是正常的訪問(wèn)請(qǐng)求(也可以說(shuō)成是“它是不是非法的訪問(wèn)請(qǐng)求”)。用于檢驗(yàn)的條件包括,例如,在建立連接之后,確定URL數(shù)據(jù)包是否在預(yù)定的時(shí)間期間內(nèi)從客戶計(jì)算機(jī)101發(fā)出。應(yīng)當(dāng)注意,對(duì)于訪問(wèn)請(qǐng)求的條件不應(yīng)當(dāng)是關(guān)于非法訪問(wèn)請(qǐng)求的,而應(yīng)當(dāng)是關(guān)于正常訪問(wèn)請(qǐng)求的。
在這個(gè)實(shí)施例的步驟S103中,在發(fā)生包括建立洪流的SYN洪流的情況下,在背景技術(shù)中介紹的包括建立洪流的SYN洪流會(huì)作為非法訪問(wèn)而被排除,因?yàn)樵陬A(yù)定的時(shí)間期間之內(nèi)沒(méi)有發(fā)送URL數(shù)據(jù)包。
如果檢驗(yàn)后確定訪問(wèn)請(qǐng)求為正常請(qǐng)求,訪問(wèn)請(qǐng)求傳遞單元203就連接到服務(wù)器計(jì)算機(jī)104(S104),并把正常的訪問(wèn)請(qǐng)求傳遞到服務(wù)器計(jì)算機(jī)104(S105)。服務(wù)器計(jì)算機(jī)104通過(guò)服務(wù)器計(jì)算機(jī)保護(hù)設(shè)備103,以數(shù)據(jù)包的形式向客戶計(jì)算機(jī)101提供URL數(shù)據(jù)包指定的數(shù)據(jù)(S106)。數(shù)據(jù)提供完成之后,服務(wù)器計(jì)算機(jī)保護(hù)設(shè)備103斷開(kāi)與服務(wù)器計(jì)算機(jī)104的連接(S107),也斷開(kāi)與客戶計(jì)算機(jī)101的連接。如果在步驟S103中確定訪問(wèn)請(qǐng)求為非法請(qǐng)求,則轉(zhuǎn)向S108,對(duì)客戶執(zhí)行斷開(kāi)連接處理。
例如,下面介紹本發(fā)明更實(shí)際的實(shí)施例的限制。
保護(hù)裝置103包括某個(gè)時(shí)鐘單元,在與客戶計(jì)算機(jī)101建立連接后直到數(shù)據(jù)請(qǐng)求數(shù)據(jù)包到達(dá),用于測(cè)量時(shí)間的進(jìn)程。如果預(yù)定類(lèi)型的數(shù)據(jù)包(例如數(shù)據(jù)請(qǐng)求數(shù)據(jù)包)沒(méi)有發(fā)送到數(shù)據(jù)請(qǐng)求接收單元201,保護(hù)裝置103就確定有某個(gè)非法訪問(wèn),并取消連接。因而防止了保護(hù)裝置103中的資源分配過(guò)大,某些資源比如存儲(chǔ)器就能夠很快地分配給正常的客戶計(jì)算機(jī)101的連接操作。
同樣,保護(hù)裝置103可以確定某個(gè)訪問(wèn)(在建立連接后直到數(shù)據(jù)請(qǐng)求數(shù)據(jù)包到達(dá),它已經(jīng)過(guò)了很長(zhǎng)的時(shí)間)為非法訪問(wèn)并取消連接。
保護(hù)裝置103可以進(jìn)一步配備某個(gè)計(jì)數(shù)單元,用于在預(yù)定的時(shí)間期間內(nèi)對(duì)同一臺(tái)客戶計(jì)算機(jī)對(duì)同一數(shù)據(jù)進(jìn)行請(qǐng)求的次數(shù)進(jìn)行計(jì)數(shù)。
如果在預(yù)定的時(shí)間期間內(nèi),對(duì)同一數(shù)據(jù)請(qǐng)求的次數(shù)大于預(yù)定的數(shù)目,保護(hù)裝置103就確定該訪問(wèn)是非法的并取消連接。
依據(jù)上面介紹的實(shí)施例,保護(hù)了服務(wù)器計(jì)算機(jī)抵御DoS攻擊,比如包括建立洪流的SYN洪流。全面保護(hù)服務(wù)器計(jì)算機(jī)抵御包括(背景技術(shù)中介紹的)訪問(wèn)洪流的攻擊的結(jié)構(gòu),將在另一個(gè)實(shí)施例中解釋。
本領(lǐng)域的技術(shù)人員將會(huì)理解,訪問(wèn)請(qǐng)求檢驗(yàn)單元202在步驟S103中檢驗(yàn)?zāi)硞€(gè)訪問(wèn)請(qǐng)求所用的條件,并不限于上面介紹的URL數(shù)據(jù)包到達(dá)前的時(shí)間期間(例如,只發(fā)送SYN數(shù)據(jù)包的訪問(wèn)請(qǐng)求被排除)。例如,決不可能給予服務(wù)器計(jì)算機(jī)104的訪問(wèn)請(qǐng)求,也可以作為判斷條件。在這種情況下,例如,若是某個(gè)訪問(wèn)請(qǐng)求不是明顯的非法URL數(shù)據(jù)包,就允許該訪問(wèn)作為正常訪問(wèn)通過(guò)。
本實(shí)施例可以修改如下。在訪問(wèn)請(qǐng)求接收單元201收到所有階段的數(shù)據(jù)包之前,組成訪問(wèn)請(qǐng)求的諸階段之一的每個(gè)數(shù)據(jù)包都不傳遞到服務(wù)器計(jì)算機(jī)104。在訪問(wèn)請(qǐng)求接收單元201收到所有階段的數(shù)據(jù)包之后,收到的數(shù)據(jù)包再在數(shù)據(jù)請(qǐng)求檢驗(yàn)單元202處進(jìn)行檢驗(yàn),并確定為正常的訪問(wèn)請(qǐng)求,然后訪問(wèn)請(qǐng)求傳遞單元203把確定后的數(shù)據(jù)包傳遞到服務(wù)器計(jì)算機(jī)104。
(第二個(gè)實(shí)施例)圖4是一個(gè)框圖,展示了依據(jù)本發(fā)明的第二個(gè)實(shí)施例中服務(wù)器計(jì)算機(jī)保護(hù)裝置的示意性結(jié)構(gòu)。本實(shí)施例涉及探測(cè)非法請(qǐng)求數(shù)據(jù)包的服務(wù)器計(jì)算機(jī)保護(hù)裝置,這種數(shù)據(jù)包可能使服務(wù)器計(jì)算機(jī)104超載,該裝置是基于來(lái)自服務(wù)器計(jì)算機(jī)104的數(shù)據(jù)提供狀態(tài),所以服務(wù)器計(jì)算機(jī)104受到保護(hù)。圖4所示的保護(hù)裝置103確定,客戶計(jì)算機(jī)101發(fā)送的連接請(qǐng)求的數(shù)目(SYN數(shù)據(jù)包的數(shù)目),與服務(wù)器計(jì)算機(jī)104的數(shù)據(jù)提供數(shù)目相比,是否屬于過(guò)度提供。如果連接請(qǐng)求的數(shù)目變?yōu)檫^(guò)度提供,保護(hù)裝置103就確定,服務(wù)器計(jì)算機(jī)104超載,并限制向服務(wù)器計(jì)算機(jī)104的訪問(wèn)請(qǐng)求傳遞(或者停止傳遞并拒絕訪問(wèn)請(qǐng)求)。
如圖4所示,這個(gè)實(shí)施例的服務(wù)器保護(hù)裝置103包括連接請(qǐng)求計(jì)數(shù)單元303和服務(wù)器負(fù)載檢驗(yàn)單元302,配備它是為了取代第一個(gè)實(shí)施例中介紹的用于檢驗(yàn)訪問(wèn)請(qǐng)求內(nèi)容的訪問(wèn)請(qǐng)求檢驗(yàn)單元202。
訪問(wèn)請(qǐng)求接收單元201接收客戶計(jì)算機(jī)101發(fā)出的連接請(qǐng)求數(shù)據(jù)包(SYN數(shù)據(jù)包)。連接請(qǐng)求數(shù)據(jù)包也輸入給連接請(qǐng)求計(jì)數(shù)單元303。連接請(qǐng)求計(jì)數(shù)單元303對(duì)服務(wù)器計(jì)算機(jī)104的連接請(qǐng)求數(shù)目進(jìn)行計(jì)數(shù)。連接請(qǐng)求數(shù)目包括SYN數(shù)據(jù)包的總數(shù)目,它們是從包括客戶計(jì)算機(jī)101的所有客戶計(jì)算機(jī)向服務(wù)器計(jì)算機(jī)104請(qǐng)求的數(shù)據(jù)包。注意,一般說(shuō)來(lái),在一臺(tái)客戶計(jì)算機(jī)和某臺(tái)服務(wù)器計(jì)算機(jī)之間設(shè)立著多個(gè)連接。
已提供的數(shù)據(jù)計(jì)數(shù)單元301一直或周期地對(duì)服務(wù)器計(jì)算機(jī)104提供的數(shù)據(jù)進(jìn)行計(jì)數(shù)。已提供數(shù)據(jù)的數(shù)目表明受到給定的連接請(qǐng)求后,通過(guò)建立的連接實(shí)際提供數(shù)據(jù)的次數(shù)。
下面將參考圖5A中的流程圖,介紹保護(hù)裝置103整個(gè)處理的流程。
首先,保護(hù)裝置103處于等待連接請(qǐng)求的狀態(tài)(S201)。當(dāng)連接請(qǐng)求計(jì)數(shù)單元303接受來(lái)自客戶計(jì)算機(jī)101的某個(gè)SYN(連接請(qǐng)求)數(shù)據(jù)包時(shí),服務(wù)器負(fù)載檢驗(yàn)單元302根據(jù)計(jì)數(shù)單元301計(jì)數(shù)的已提供數(shù)據(jù)數(shù)目和連接請(qǐng)求計(jì)數(shù)單元303計(jì)數(shù)的連接請(qǐng)求數(shù)目,檢驗(yàn)服務(wù)器計(jì)算機(jī)104上的負(fù)載是否過(guò)度(S202)。特別地例如,假若已提供數(shù)據(jù)的數(shù)目與連接請(qǐng)求數(shù)據(jù)包(SYN數(shù)據(jù)包)的數(shù)目相比相對(duì)較小,就確定連接請(qǐng)求數(shù)據(jù)包的數(shù)目過(guò)大,而且服務(wù)器計(jì)算機(jī)104也可能超載。注意,在步驟S202中,連接請(qǐng)求計(jì)數(shù)單元303可以對(duì)數(shù)據(jù)請(qǐng)求的數(shù)目(URL數(shù)據(jù)包的總數(shù)目)進(jìn)行計(jì)數(shù),以取代對(duì)連接請(qǐng)求的數(shù)目(SYN數(shù)據(jù)包的總數(shù)目)進(jìn)行計(jì)數(shù)。
如果在步驟S202中確定連接請(qǐng)求的數(shù)目不過(guò)大,保護(hù)裝置103連接到已經(jīng)請(qǐng)求訪問(wèn)的客戶計(jì)算機(jī)101(S203),并轉(zhuǎn)變到等待數(shù)據(jù)請(qǐng)求的狀態(tài)(S204)。這時(shí),服務(wù)器負(fù)載檢驗(yàn)單元302把連接數(shù)目增加1(S205)。
然后,保護(hù)裝置103連接到服務(wù)器計(jì)算機(jī)104(S206),并向服務(wù)器計(jì)算機(jī)104傳遞客戶計(jì)算機(jī)101發(fā)出的數(shù)據(jù)請(qǐng)求數(shù)據(jù)包(URL數(shù)據(jù)包)(S207)。服務(wù)器計(jì)算機(jī)104向客戶計(jì)算機(jī)101提供了數(shù)據(jù)(S208)之后,保護(hù)裝置103斷開(kāi)與客戶計(jì)算機(jī)101和服務(wù)器計(jì)算機(jī)104的連接(S209)。服務(wù)器負(fù)載檢驗(yàn)單元302把連接的數(shù)目減少1(S210)。
與之相反,如果在步驟S202中確定連接請(qǐng)求的數(shù)目過(guò)大,也就是服務(wù)器計(jì)算機(jī)104已經(jīng)超載,保護(hù)裝置則轉(zhuǎn)變到等待連接請(qǐng)求的狀態(tài)(S201)。
依據(jù)這個(gè)實(shí)施例,可能防止服務(wù)器計(jì)算機(jī)104由于DoS攻擊而超載,并保持服務(wù)器的吞吐量不下降。
圖5B顯示了圖5A所示處理操作的一種修改。
如果在步驟S202中確定連接請(qǐng)求的數(shù)目過(guò)大,圖5B中的步驟S202’確定是否應(yīng)當(dāng)取消還沒(méi)有受到連接處理的連接中最早的一個(gè)。如果連接請(qǐng)求的數(shù)目超過(guò)保護(hù)裝置103能夠處理之連接的數(shù)目,就取消最早的連接。然后,處理過(guò)程轉(zhuǎn)到步驟S203,連接到某個(gè)客戶計(jì)算機(jī)。隨后的處理如同圖5A所示處理。如果在步驟S202’中確定連接的數(shù)目沒(méi)有超過(guò)保護(hù)裝置103能夠處理之連接的數(shù)目,就恢復(fù)等待連接請(qǐng)求的狀態(tài)(S201)。
依據(jù)這項(xiàng)修改,通過(guò)取消連接中最早的一個(gè),即使保護(hù)裝置本身受到DoS攻擊時(shí),也能夠繼續(xù)服務(wù)。第二個(gè)實(shí)施例特別適用于對(duì)付包括訪問(wèn)洪流的攻擊,在背景技術(shù)中介紹過(guò)訪問(wèn)洪流。
(第三個(gè)實(shí)施例)圖6是一個(gè)框圖,顯示了依據(jù)第三個(gè)實(shí)施例中服務(wù)器計(jì)算機(jī)保護(hù)裝置103的示意性結(jié)構(gòu)。圖7是一張流程圖,展示了依據(jù)這個(gè)實(shí)施例的裝置進(jìn)行的處理操作。這個(gè)實(shí)施例包括許多個(gè)已提供數(shù)據(jù)的計(jì)數(shù)單元301,它們對(duì)提供給每臺(tái)發(fā)送訪問(wèn)請(qǐng)求的客戶計(jì)算機(jī)的數(shù)據(jù)進(jìn)行計(jì)數(shù),以及許多個(gè)服務(wù)器負(fù)載檢驗(yàn)單元302,它們也檢驗(yàn)每臺(tái)客戶計(jì)算機(jī)對(duì)服務(wù)器計(jì)算機(jī)造成的負(fù)載,在第二個(gè)實(shí)施例中介紹過(guò)該檢驗(yàn)單元。應(yīng)當(dāng)注意,如果數(shù)據(jù)計(jì)數(shù)單元301和服務(wù)器負(fù)載檢驗(yàn)單元302具有簡(jiǎn)單的計(jì)算功能,便足以勝任,所以即使提供了大量的這種單元,也不會(huì)耗費(fèi)保護(hù)裝置103的很多存儲(chǔ)器和CPU資源。因此,可以為1000至10000臺(tái)客戶計(jì)算機(jī)分別提供同樣數(shù)目的數(shù)據(jù)計(jì)數(shù)單元301和服務(wù)器負(fù)載檢驗(yàn)單元302對(duì)。另外也可能使特定客戶計(jì)算機(jī)已經(jīng)建立的多個(gè)連接中的每一個(gè),關(guān)聯(lián)到一個(gè)數(shù)據(jù)計(jì)數(shù)單元301和服務(wù)器負(fù)載檢驗(yàn)單元302對(duì)。
如圖7所示,在初始階段,保護(hù)裝置103處于等待連接請(qǐng)求的狀態(tài)(S301)。然后,當(dāng)裝置103從某個(gè)特定的客戶計(jì)算機(jī)(例如,圖1所示的101-1、101-2、101-3中任何一個(gè))收到某個(gè)SYN數(shù)據(jù)包和ACK數(shù)據(jù)包時(shí),保護(hù)裝置103與該特定的客戶計(jì)算機(jī)建立連接(S302)。然后,該裝置把特定的客戶計(jì)算機(jī)與一個(gè)數(shù)據(jù)計(jì)數(shù)單元301和服務(wù)器負(fù)載檢驗(yàn)單元302對(duì)相關(guān)聯(lián)。對(duì)于某個(gè)已經(jīng)為其建立了某個(gè)其它連接的其它的特定客戶計(jì)算機(jī),與之相關(guān)聯(lián)的是某個(gè)其它的數(shù)據(jù)計(jì)數(shù)單元301和服務(wù)器負(fù)載檢驗(yàn)單元302對(duì)。
然后,保護(hù)裝置103置為等待狀態(tài),等待來(lái)自特定客戶計(jì)算機(jī)的訪問(wèn)請(qǐng)求(S304)。從特定的客戶計(jì)算機(jī)發(fā)送訪問(wèn)請(qǐng)求時(shí),該訪問(wèn)請(qǐng)求立即被訪問(wèn)請(qǐng)求接收單元201收到并送到訪問(wèn)請(qǐng)求傳遞單元203。訪問(wèn)請(qǐng)求傳遞單元203把訪問(wèn)請(qǐng)求傳遞到服務(wù)器計(jì)算機(jī)104,因此在特定的客戶計(jì)算機(jī)和服務(wù)器計(jì)算機(jī)104之間就建立了連接(S305)。
已提供的數(shù)據(jù)計(jì)數(shù)單元301對(duì)提供給特定客戶計(jì)算機(jī)(服務(wù)器計(jì)算機(jī)104正在向它提供請(qǐng)求的數(shù)據(jù))的數(shù)據(jù)進(jìn)行計(jì)數(shù),服務(wù)器負(fù)載檢驗(yàn)單元302檢驗(yàn)特定的客戶計(jì)算機(jī)是否使服務(wù)器超載(S306)。
如果負(fù)載沒(méi)有超過(guò)預(yù)定的負(fù)載,服務(wù)器負(fù)載檢驗(yàn)單元302就指示訪問(wèn)請(qǐng)求傳遞單元203,把URL數(shù)據(jù)包傳遞到服務(wù)器計(jì)算機(jī)104(S307)。然后,服務(wù)器計(jì)算機(jī)104向特定的客戶計(jì)算機(jī)提供所請(qǐng)求的數(shù)據(jù)(S308)。數(shù)據(jù)提供完成之后,保護(hù)裝置103切斷特定的客戶計(jì)算機(jī)和服務(wù)器計(jì)算機(jī)之間的連接。
如果負(fù)載超過(guò)了預(yù)定的負(fù)載,步驟S306中的處理就再執(zhí)行一遍,以阻止訪問(wèn)請(qǐng)求傳遞單元203向服務(wù)器計(jì)算機(jī)104傳遞數(shù)據(jù)請(qǐng)求數(shù)據(jù)包,保護(hù)裝置103等待至提供給特定客戶計(jì)算機(jī)數(shù)據(jù)的數(shù)目下降。在特定的客戶計(jì)算機(jī)未被授權(quán)的情況下,最好是在等待了某個(gè)預(yù)定期間之后,應(yīng)當(dāng)強(qiáng)行切斷連接。
上面介紹的實(shí)施例能夠防止服務(wù)器計(jì)算機(jī)104超載,也能夠防止特定的客戶計(jì)算機(jī)占有服務(wù)器計(jì)算機(jī)104,因此它對(duì)其它客戶計(jì)算機(jī)數(shù)據(jù)提供產(chǎn)生的干擾受到了壓制。所以,這也可以對(duì)付“背景技術(shù)”中介紹的訪問(wèn)洪流。
(第四個(gè)實(shí)施例)圖8是一個(gè)框圖,顯示了依據(jù)第四個(gè)實(shí)施例中服務(wù)器計(jì)算機(jī)保護(hù)裝置103的示意性結(jié)構(gòu)。這個(gè)實(shí)施例基本上與第一個(gè)實(shí)施例相同,不過(guò)具有頭部校正單元210。配備頭部校正單元210是為了適當(dāng)?shù)臄?shù)據(jù)包序列控制,該控制在連接過(guò)程之后進(jìn)行,即使在客戶計(jì)算機(jī)101和服務(wù)器計(jì)算機(jī)104連接之前,處于這些計(jì)算機(jī)之間的保護(hù)裝置103檢驗(yàn)了數(shù)據(jù)包。
圖9顯示了TCP/IP通信中一般的IP頭部,圖10展示了TCP頭部。頭部校正單元210校正IP頭部的內(nèi)容檢驗(yàn)和500、源IP地址501和目的地IP地址502。另外,頭部校正單元210還校正TCP頭部的內(nèi)容序列號(hào)503、ACK號(hào)504和檢驗(yàn)和505。
數(shù)據(jù)包的傳輸/接收序列通常是根據(jù)序列號(hào)503來(lái)控制。在服務(wù)器計(jì)算機(jī)104和客戶計(jì)算機(jī)101之間,在接收和傳送兩個(gè)方向上傳遞序列號(hào)503,確定數(shù)據(jù)包的順序。
不過(guò),要應(yīng)用這個(gè)實(shí)施例的保護(hù)裝置103時(shí),從客戶計(jì)算機(jī)101到服務(wù)器計(jì)算機(jī)104的連接操作(圖3中的步驟S104),是在檢驗(yàn)了來(lái)自客戶計(jì)算機(jī)101的數(shù)據(jù)請(qǐng)求的有效性(圖3中的步驟S103)之后進(jìn)行的。所以,對(duì)客戶計(jì)算機(jī)101的連接處理,必然不可避免地以服務(wù)器計(jì)算機(jī)的保護(hù)裝置103任意產(chǎn)生的保護(hù)裝置序列號(hào)來(lái)執(zhí)行(圖3中的步驟S101)。由于這個(gè)保護(hù)裝置序列號(hào)不同于檢驗(yàn)之后進(jìn)行的服務(wù)器計(jì)算機(jī)連接處理(圖3中的步驟S104)中,服務(wù)器計(jì)算機(jī)104通知的服務(wù)器計(jì)算機(jī)的序列號(hào),如果所傳送的受請(qǐng)求數(shù)據(jù)的數(shù)據(jù)包沒(méi)有任何變化,使用TCP/IP協(xié)議就不能進(jìn)行數(shù)據(jù)傳輸。由于這個(gè)原因,使用頭部校正單元210來(lái)校正這些序列號(hào)之間的差異,如果需要,其它頭部信息(例如傳輸目的地IP地址或者說(shuō)目的地IP地址)也要校正以便匹配,從而允許從服務(wù)器計(jì)算機(jī)104到客戶計(jì)算機(jī)101的通信。圖11顯示了保護(hù)裝置103進(jìn)行的頭部校正的一個(gè)實(shí)例。
例如,對(duì)一個(gè)數(shù)據(jù)請(qǐng)求,這個(gè)實(shí)施例的保護(hù)裝置103要進(jìn)行以下操作(a)至(c)(a)由訪問(wèn)請(qǐng)求接收單元201、數(shù)據(jù)請(qǐng)求檢驗(yàn)單元202和數(shù)據(jù)請(qǐng)求傳遞單元203檢驗(yàn)來(lái)自客戶計(jì)算機(jī)101的連接請(qǐng)求,然后在客戶計(jì)算機(jī)101和服務(wù)器計(jì)算機(jī)104之間建立連接;(b)使用頭部校正單元210,校正客戶計(jì)算機(jī)101通過(guò)這個(gè)連接發(fā)出的數(shù)據(jù)請(qǐng)求數(shù)據(jù)包的頭部,然后把數(shù)據(jù)包傳遞到服務(wù)器計(jì)算機(jī)104;以及(c)使用頭部校正單元210,校正服務(wù)器計(jì)算機(jī)104通過(guò)這個(gè)連接發(fā)出的數(shù)據(jù)數(shù)據(jù)包的頭部,然后把數(shù)據(jù)包傳遞到客戶計(jì)算機(jī)101。
依據(jù)這個(gè)實(shí)施例,如果保護(hù)裝置介入檢驗(yàn)訪問(wèn)請(qǐng)求數(shù)據(jù)包,在服務(wù)器計(jì)算機(jī)104和客戶計(jì)算機(jī)101之間進(jìn)行的通信能夠建立,沒(méi)有問(wèn)題。
(第五個(gè)實(shí)施例)圖12是一個(gè)框圖,展示了依據(jù)本發(fā)明的第五個(gè)實(shí)施例中服務(wù)器計(jì)算機(jī)保護(hù)裝置的示意性結(jié)構(gòu)。如同第四個(gè)實(shí)施例中介紹的頭部校正單元210,加入第二個(gè)實(shí)施例的安排中。
如同上面的介紹,第二個(gè)實(shí)施例的保護(hù)裝置103,通過(guò)探測(cè)可能對(duì)服務(wù)器計(jì)算機(jī)104施加沉重負(fù)載的非法連接請(qǐng)求,根據(jù)數(shù)據(jù)提供的狀態(tài)保護(hù)服務(wù)器計(jì)算機(jī)104。為了這個(gè)目的,在第五個(gè)實(shí)施例的保護(hù)裝置中也配備了已提供的數(shù)據(jù)計(jì)數(shù)單元301和服務(wù)器負(fù)載檢驗(yàn)單元302。根據(jù)已提供的數(shù)據(jù)計(jì)數(shù)單元301計(jì)數(shù)的已提供數(shù)據(jù)數(shù)目和根據(jù)連接請(qǐng)求計(jì)數(shù)單元303計(jì)數(shù)的連接請(qǐng)求數(shù)目,服務(wù)器負(fù)載檢驗(yàn)單元302檢驗(yàn)服務(wù)器104是否超載。特別地例如,假若已提供數(shù)據(jù)的數(shù)目與連接請(qǐng)求數(shù)據(jù)包(SYN數(shù)據(jù)包)的數(shù)目相比相對(duì)較小,就確定連接請(qǐng)求的數(shù)目過(guò)大,因此服務(wù)器計(jì)算機(jī)104承受著沉重的負(fù)載。
頭部校正單元210校正TCP/IP的頭部,使得在連接過(guò)程之后能夠適當(dāng)?shù)剡M(jìn)行數(shù)據(jù)包序列控制,即使保護(hù)裝置103在客戶計(jì)算機(jī)101和服務(wù)器計(jì)算機(jī)104之間檢驗(yàn)服務(wù)器計(jì)算機(jī)104的負(fù)載。
圖13顯示了連接管理單元的安排,它用于當(dāng)頭部校正單元210管理客戶計(jì)算機(jī)101和服務(wù)器計(jì)算機(jī)104之間的連接時(shí)。連接管理單元通過(guò)使用哈希函數(shù)601和哈希表602,管理客戶計(jì)算機(jī)101的IP地址、服務(wù)器計(jì)算機(jī)104的IP地址和端口號(hào)之間的對(duì)應(yīng)關(guān)系(連接)。
這種連接管理單元能夠用于檢驗(yàn)服務(wù)器的負(fù)載,例如圖5所示的步驟S202。明確地說(shuō),當(dāng)哈希表602溢出時(shí),服務(wù)器負(fù)載檢驗(yàn)單元302就在步驟603中確定服務(wù)器計(jì)算機(jī)104超載。
注意,圖13所示的連接管理單元可以加入第二個(gè)實(shí)施例的安排中。
(第六個(gè)實(shí)施例)圖14是一個(gè)框圖,展示了依據(jù)本發(fā)明的第六個(gè)實(shí)施例中服務(wù)器計(jì)算機(jī)保護(hù)裝置的示意性結(jié)構(gòu)。如同第四個(gè)實(shí)施例中介紹的頭部校正單元210,加入第三個(gè)實(shí)施例的安排中。如同上面的介紹,第三個(gè)實(shí)施例的保護(hù)裝置103對(duì)向客戶計(jì)算機(jī)提供的數(shù)據(jù)進(jìn)行計(jì)數(shù),以檢驗(yàn)服務(wù)器計(jì)算機(jī)104的負(fù)載。為了這個(gè)目的,在第六個(gè)實(shí)施例的保護(hù)裝置中也配備了大量的已提供的數(shù)據(jù)計(jì)數(shù)單元301和服務(wù)器負(fù)載檢驗(yàn)單元302。由于對(duì)一個(gè)已提供的數(shù)據(jù)計(jì)數(shù)單元301和一個(gè)服務(wù)器負(fù)載檢驗(yàn)單元302只配備了足以勝任的簡(jiǎn)單的計(jì)算功能,所以大量的已提供的數(shù)據(jù)計(jì)數(shù)單元301或服務(wù)器負(fù)載檢驗(yàn)單元302也僅僅消耗保護(hù)裝置103中少量的存儲(chǔ)器或CPU資源。因此,為了應(yīng)付1000至10000臺(tái)數(shù)目的客戶計(jì)算機(jī),可以提供如此多的已提供的數(shù)據(jù)計(jì)數(shù)單元301和服務(wù)器負(fù)載檢驗(yàn)單元302組。注意,對(duì)于特定的客戶計(jì)算機(jī),對(duì)于已經(jīng)建立的多個(gè)連接中的每一個(gè),可以分別關(guān)聯(lián)到已提供的數(shù)據(jù)計(jì)數(shù)單元301和服務(wù)器負(fù)載檢驗(yàn)單元302組。
頭部校正單元210校正TCP/IP的頭部,使得在連接過(guò)程之后能夠適當(dāng)?shù)剡M(jìn)行數(shù)據(jù)包序列控制,即使保護(hù)裝置103插入客戶計(jì)算機(jī)101和服務(wù)器計(jì)算機(jī)104之間,并且保護(hù)裝置103檢驗(yàn)服務(wù)器計(jì)算機(jī)104關(guān)于大量客戶計(jì)算機(jī)的負(fù)載。
圖15是一個(gè)框圖,展示了依據(jù)本發(fā)明的第六個(gè)實(shí)施例修改方案中服務(wù)器計(jì)算機(jī)保護(hù)裝置的示意性結(jié)構(gòu)。這種修改包括服務(wù)器連接計(jì)數(shù)單元401,用于對(duì)服務(wù)器計(jì)算機(jī)保護(hù)裝置103和服務(wù)器計(jì)算機(jī)104之間的連接進(jìn)行計(jì)數(shù)。服務(wù)器連接計(jì)數(shù)單元401的輸出結(jié)果輸入到為每臺(tái)客戶計(jì)算機(jī)配備的服務(wù)器負(fù)載檢驗(yàn)單元302。為每臺(tái)客戶計(jì)算機(jī)進(jìn)行連接的數(shù)目可以由為每臺(tái)客戶計(jì)算機(jī)配備的已提供的數(shù)據(jù)計(jì)數(shù)單元301進(jìn)行計(jì)數(shù)。由于連接的任何數(shù)目都包括保護(hù)裝置103和服務(wù)器計(jì)算機(jī)104之間的連接數(shù)目,并且為每臺(tái)客戶計(jì)算機(jī)進(jìn)行連接的數(shù)目可以在服務(wù)器計(jì)算機(jī)保護(hù)裝置103內(nèi)部進(jìn)行計(jì)數(shù),所以能夠簡(jiǎn)化對(duì)于每臺(tái)客戶計(jì)算機(jī)的服務(wù)器負(fù)載檢驗(yàn)。
(第七個(gè)實(shí)施例)圖16是一個(gè)框圖,展示了依據(jù)本發(fā)明的第七個(gè)實(shí)施例中服務(wù)器計(jì)算機(jī)保護(hù)裝置的示意性結(jié)構(gòu)。圖17是一張流程圖,顯示了依據(jù)本發(fā)明第七個(gè)實(shí)施例的服務(wù)器計(jì)算機(jī)保護(hù)裝置的處理操作。這個(gè)實(shí)施例可以與其它實(shí)施例相結(jié)合,并且包括代理響應(yīng)單元501,用于取代服務(wù)器計(jì)算機(jī)104響應(yīng)客戶計(jì)算機(jī)101。為了允許代理響應(yīng)單元501替代服務(wù)器計(jì)算機(jī)104,代理響應(yīng)單元501必須具有圖8中介紹的頭部校正單元210。
在圖17中,通過(guò)如同上面介紹的過(guò)程(S401至S404),依據(jù)TCP/IP在客戶計(jì)算機(jī)101和保護(hù)裝置103之間建立了連接。所以,也就是,在客戶計(jì)算機(jī)101發(fā)出數(shù)據(jù)請(qǐng)求之前,代理響應(yīng)單元501取代服務(wù)器計(jì)算機(jī)104響應(yīng)客戶計(jì)算機(jī)101(S405)。
響應(yīng)意味著以高于TCP/IP級(jí)別的協(xié)議返回某個(gè)響應(yīng),例如某個(gè)對(duì)話協(xié)議,它可能是例如SMTP(簡(jiǎn)單郵政傳遞協(xié)議)或者POP(郵局協(xié)議)。在SMTP的情況下,該響應(yīng)可能是一條消息,指示一種狀態(tài),此時(shí)服務(wù)器計(jì)算機(jī)104可以接收電子郵件。同樣,在POP的情況下,該響應(yīng)可能是一條消息,指示POP版本(例如POP3)。一般說(shuō)來(lái),代理響應(yīng)單元501返回一條消息,內(nèi)容包括服務(wù)器計(jì)算機(jī)104運(yùn)行正常時(shí)返回給客戶的內(nèi)容,通過(guò)保護(hù)裝置103和服務(wù)器計(jì)算機(jī)104之間恰在響應(yīng)操作之前進(jìn)行的基于上層協(xié)議的連接操作,服務(wù)器計(jì)算機(jī)104返回的內(nèi)容等等。
接收響應(yīng)的客戶計(jì)算機(jī)101確定,與服務(wù)器計(jì)算機(jī)104的連接操作已經(jīng)由較高級(jí)別的協(xié)議完成,并轉(zhuǎn)向下一項(xiàng)操作,比如生成數(shù)據(jù)傳遞請(qǐng)求。
數(shù)據(jù)請(qǐng)求接收單元201接收來(lái)自客戶計(jì)算機(jī)101的數(shù)據(jù)請(qǐng)求。數(shù)據(jù)請(qǐng)求檢驗(yàn)單元202檢驗(yàn)該數(shù)據(jù)請(qǐng)求的內(nèi)容。然后,該數(shù)據(jù)請(qǐng)求傳遞到服務(wù)器計(jì)算機(jī)104。服務(wù)器計(jì)算機(jī)104根據(jù)傳遞的內(nèi)容,向客戶計(jì)算機(jī)101返回預(yù)定的數(shù)據(jù)。隨后,執(zhí)行斷開(kāi)連接過(guò)程(S413至S417)。這種檢驗(yàn)的實(shí)例是檢驗(yàn)數(shù)據(jù)請(qǐng)求是否偏離預(yù)定的傳遞形式以及檢驗(yàn)是否請(qǐng)求了不可能的數(shù)據(jù)。
如果客戶計(jì)算機(jī)101的數(shù)據(jù)請(qǐng)求是正常的,如上所述,保護(hù)裝置103執(zhí)行關(guān)于服務(wù)器計(jì)算機(jī)104的連接操作,并從客戶計(jì)算機(jī)101向服務(wù)器計(jì)算機(jī)104傳遞該請(qǐng)求。這項(xiàng)連接操作之后服務(wù)器計(jì)算機(jī)104返回的響應(yīng),可能會(huì)與服務(wù)器計(jì)算機(jī)保護(hù)裝置103先前返回給服務(wù)器計(jì)算機(jī)104響應(yīng)弄錯(cuò)。由于這個(gè)原因,只要該數(shù)據(jù)請(qǐng)求的處理中沒(méi)有發(fā)生問(wèn)題,這個(gè)響應(yīng)就不傳遞給客戶。如果確定要發(fā)生問(wèn)題,保護(hù)裝置103就應(yīng)當(dāng)取消服務(wù)器計(jì)算機(jī)104和客戶計(jì)算機(jī)101之間的連接。
上面介紹的第一個(gè)至第七個(gè)實(shí)施例可以修改為,上面的服務(wù)器計(jì)算機(jī)保護(hù)裝置加入服務(wù)器計(jì)算機(jī)中。在這種情況下,需要服務(wù)器計(jì)算機(jī)加入硬件,比如用于服務(wù)器計(jì)算機(jī)保護(hù)裝置的存儲(chǔ)器。
(對(duì)記錄介質(zhì)的應(yīng)用)上面實(shí)施例中的處理可以由某個(gè)程序來(lái)實(shí)現(xiàn),該程序可由某臺(tái)計(jì)算機(jī)執(zhí)行,并且該程序能夠以計(jì)算機(jī)可讀的存儲(chǔ)介質(zhì)來(lái)提供。
注意,這種存儲(chǔ)介質(zhì)可以采取任何存儲(chǔ)形式,例如磁盤(pán)、軟盤(pán)、硬盤(pán)、光盤(pán)(CD-ROM、CD-R、DVD等等)、磁光盤(pán)(MO等等),或者半導(dǎo)體存儲(chǔ)器,只要該程序能夠存放并能夠被計(jì)算機(jī)讀出。
另外,根據(jù)從存儲(chǔ)介質(zhì)裝入計(jì)算機(jī)的某個(gè)程序的指令在計(jì)算機(jī)上運(yùn)行的OS(操作系統(tǒng))、某個(gè)MW(中間件)比如數(shù)據(jù)庫(kù)管理軟件或網(wǎng)絡(luò)等等都可能部分地執(zhí)行每個(gè)處理步驟,以實(shí)現(xiàn)這個(gè)實(shí)施例。
這種存儲(chǔ)介質(zhì)不限于獨(dú)立于計(jì)算機(jī)的介質(zhì),如果程序是通過(guò)LAN、因特網(wǎng)等等發(fā)送,存放著或者暫時(shí)存放著這種程序的存儲(chǔ)介質(zhì)也包括在內(nèi)。不僅如此,存儲(chǔ)介質(zhì)的數(shù)目也不限于一個(gè)。當(dāng)這個(gè)實(shí)施例中的處理要使用多個(gè)介質(zhì)來(lái)執(zhí)行時(shí),它們就加入到本發(fā)明的存儲(chǔ)介質(zhì)中。該介質(zhì)可以采取任何安排。
注意,上面的計(jì)算機(jī)根據(jù)存儲(chǔ)介質(zhì)中存放的程序執(zhí)行這個(gè)實(shí)施例中的每個(gè)處理步驟,并可以采取任何安排,例如,單個(gè)裝置比如一臺(tái)PC,或者由多個(gè)裝置通過(guò)網(wǎng)絡(luò)相互連接而成的一個(gè)系統(tǒng)。
另外,上面的計(jì)算機(jī)包括信息處理裝置、微機(jī)等以及個(gè)人計(jì)算機(jī)內(nèi)含的運(yùn)算處理器,并且是一個(gè)通用術(shù)語(yǔ),用于可以通過(guò)程序?qū)崿F(xiàn)這個(gè)實(shí)施例中功能的設(shè)備和裝置。
對(duì)于本領(lǐng)域的技術(shù)人員,不難發(fā)現(xiàn)另外的優(yōu)點(diǎn)和修改。所以,本發(fā)明在其邊界方面不限于文中顯示和介紹的特定細(xì)節(jié)和代表實(shí)施例。因此,可以進(jìn)行多種修改而不脫離一般發(fā)明概念的實(shí)質(zhì)和范圍,如附帶的權(quán)利要求書(shū)及其等效材料所規(guī)定。
權(quán)利要求
1.一種服務(wù)器計(jì)算機(jī)保護(hù)裝置,通過(guò)僅僅允許一臺(tái)或多臺(tái)客戶計(jì)算機(jī)發(fā)出的正常訪問(wèn)到達(dá)該服務(wù)器計(jì)算機(jī),來(lái)保護(hù)服務(wù)器計(jì)算機(jī),該裝置包括一種訪問(wèn)請(qǐng)求接收單元,配置為代替服務(wù)器計(jì)算機(jī)接收客戶計(jì)算機(jī)發(fā)出的訪問(wèn)請(qǐng)求;一種訪問(wèn)請(qǐng)求檢驗(yàn)單元,配置為檢驗(yàn)每個(gè)收到的訪問(wèn)請(qǐng)求,以確定收到的訪問(wèn)請(qǐng)求是否正常;以及一種訪問(wèn)請(qǐng)求傳遞單元,配置為僅僅向服務(wù)器計(jì)算機(jī)傳遞確定為正常的訪問(wèn)請(qǐng)求,而防止把確定為不正常的其他訪問(wèn)請(qǐng)求傳遞到服務(wù)器計(jì)算機(jī)。
2.根據(jù)權(quán)利要求1的服務(wù)器計(jì)算機(jī)保護(hù)裝置,其特征在于,該訪問(wèn)請(qǐng)求包括一系列的連接請(qǐng)求數(shù)據(jù)包、確認(rèn)數(shù)據(jù)包和數(shù)據(jù)請(qǐng)求數(shù)據(jù)包,其特征還在于,如果訪問(wèn)請(qǐng)求接收單元收到連接請(qǐng)求數(shù)據(jù)包和連接請(qǐng)求數(shù)據(jù)包后跟隨的確認(rèn)數(shù)據(jù)包,然后在特定的時(shí)間內(nèi)收到確認(rèn)數(shù)據(jù)包后跟隨的數(shù)據(jù)請(qǐng)求數(shù)據(jù)包,訪問(wèn)請(qǐng)求檢驗(yàn)單元就確定訪問(wèn)請(qǐng)求為正常。
3.根據(jù)權(quán)利要求2的服務(wù)器計(jì)算機(jī)保護(hù)裝置,進(jìn)一步包括一種服務(wù)器負(fù)載檢驗(yàn)單元,配置為根據(jù)連接請(qǐng)求數(shù)據(jù)包數(shù)目和數(shù)據(jù)提供到服務(wù)器計(jì)算機(jī)次數(shù)的比值,檢驗(yàn)服務(wù)器計(jì)算機(jī)的負(fù)載是否上升,其中,如果負(fù)載上升,訪問(wèn)請(qǐng)求檢驗(yàn)單元就確定訪問(wèn)請(qǐng)求不正常,以抵御分布的拒絕服務(wù)攻擊。
4.根據(jù)權(quán)利要求3的服務(wù)器計(jì)算機(jī)保護(hù)裝置,其特征在于,服務(wù)器負(fù)載檢驗(yàn)單元關(guān)于每臺(tái)客戶計(jì)算機(jī)或每個(gè)連接檢驗(yàn)服務(wù)器計(jì)算機(jī)的負(fù)載。
5.根據(jù)權(quán)利要求1的服務(wù)器計(jì)算機(jī)保護(hù)裝置,其特征在于,進(jìn)一步包括一種頭部校正單元,配置為校正訪問(wèn)請(qǐng)求數(shù)據(jù)包的頭部,用于客戶計(jì)算機(jī)和服務(wù)器計(jì)算機(jī)之間的序列控制。
6.根據(jù)權(quán)利要求1的服務(wù)器計(jì)算機(jī)保護(hù)裝置,其特征在于,進(jìn)一步包括一種代理響應(yīng)單元,配置為根據(jù)高于TCP/IP級(jí)別的會(huì)話協(xié)議,代替服務(wù)器計(jì)算機(jī)響應(yīng)客戶計(jì)算機(jī)。
7.一種服務(wù)器計(jì)算機(jī)保護(hù)方法,通過(guò)僅僅允許一臺(tái)或多臺(tái)客戶計(jì)算機(jī)發(fā)出的正常訪問(wèn)到達(dá)該服務(wù)器計(jì)算機(jī),來(lái)保護(hù)服務(wù)器計(jì)算機(jī),該方法包括代替服務(wù)器計(jì)算機(jī)接收客戶計(jì)算機(jī)發(fā)出的訪問(wèn)請(qǐng)求;檢驗(yàn)訪問(wèn)請(qǐng)求,以確定每個(gè)收到的訪問(wèn)請(qǐng)求是否正常;以及僅僅向服務(wù)器計(jì)算機(jī)傳遞確定為正常的訪問(wèn)請(qǐng)求,而防止把確定為不正常的其他訪問(wèn)請(qǐng)求傳遞到服務(wù)器計(jì)算機(jī)。
8.根據(jù)權(quán)利要求7的服務(wù)器計(jì)算機(jī)保護(hù)方法,其特征在于,該訪問(wèn)請(qǐng)求包括一系列的連接請(qǐng)求數(shù)據(jù)包、確認(rèn)數(shù)據(jù)包和數(shù)據(jù)請(qǐng)求數(shù)據(jù)包,其特征還在于,如果收到連接請(qǐng)求數(shù)據(jù)包和連接請(qǐng)求數(shù)據(jù)包后跟隨的確認(rèn)數(shù)據(jù)包,然后在特定的時(shí)間內(nèi)收到確認(rèn)數(shù)據(jù)包后跟隨的數(shù)據(jù)請(qǐng)求數(shù)據(jù)包,訪問(wèn)請(qǐng)求就確定為正常。
9.根據(jù)權(quán)利要求8的服務(wù)器計(jì)算機(jī)保護(hù)方法,進(jìn)一步包括根據(jù)連接請(qǐng)求數(shù)據(jù)包數(shù)目和數(shù)據(jù)提供到服務(wù)器計(jì)算機(jī)次數(shù)的比值,檢驗(yàn)服務(wù)器計(jì)算機(jī)的負(fù)載是否上升;以及如果負(fù)載上升,就確定訪問(wèn)請(qǐng)求不正常,以抵御分布的拒絕服務(wù)攻擊。
10.根據(jù)權(quán)利要求9的服務(wù)器計(jì)算機(jī)保護(hù)方法,其特征在于,關(guān)于每臺(tái)客戶計(jì)算機(jī)或每個(gè)連接檢驗(yàn)服務(wù)器計(jì)算機(jī)的負(fù)載。
11.根據(jù)權(quán)利要求7的服務(wù)器計(jì)算機(jī)保護(hù)方法,進(jìn)一步包括校正訪問(wèn)請(qǐng)求數(shù)據(jù)包的頭部,用于客戶計(jì)算機(jī)和服務(wù)器計(jì)算機(jī)之間的序列控制。
12.根據(jù)權(quán)利要求7的服務(wù)器計(jì)算機(jī)保護(hù)方法,進(jìn)一步包括根據(jù)高于TCP/IP級(jí)別的會(huì)話協(xié)議,代替服務(wù)器計(jì)算機(jī)響應(yīng)客戶計(jì)算機(jī)。
13.一種服務(wù)器計(jì)算機(jī)裝置,它與一臺(tái)或多臺(tái)客戶計(jì)算機(jī)通信,包括一種服務(wù)器計(jì)算機(jī)單元;以及一種服務(wù)器計(jì)算機(jī)保護(hù)單元,包括一種訪問(wèn)請(qǐng)求接收單元,配置為代替服務(wù)器計(jì)算機(jī)單元接收客戶計(jì)算機(jī)發(fā)出的訪問(wèn)請(qǐng)求;一種訪問(wèn)請(qǐng)求檢驗(yàn)單元,配置為檢驗(yàn)每個(gè)收到的訪問(wèn)請(qǐng)求,以確定收到的訪問(wèn)請(qǐng)求是否正常;以及一種訪問(wèn)請(qǐng)求傳遞單元,配置為僅僅向服務(wù)器計(jì)算機(jī)單元傳遞確定為正常的訪問(wèn)請(qǐng)求,而防止把確定為不正常的其他訪問(wèn)請(qǐng)求傳遞到服務(wù)器計(jì)算機(jī)單元。
14.根據(jù)權(quán)利要求13的服務(wù)器計(jì)算機(jī)裝置,其特征在于,該訪問(wèn)請(qǐng)求包括一系列的連接請(qǐng)求數(shù)據(jù)包、確認(rèn)數(shù)據(jù)包和數(shù)據(jù)請(qǐng)求數(shù)據(jù)包,其特征還在于,如果訪問(wèn)請(qǐng)求接收單元收到連接請(qǐng)求數(shù)據(jù)包和連接請(qǐng)求數(shù)據(jù)包后跟隨的確認(rèn)數(shù)據(jù)包,然后在特定的時(shí)間內(nèi)收到確認(rèn)數(shù)據(jù)包后跟隨的數(shù)據(jù)請(qǐng)求數(shù)據(jù)包,訪問(wèn)請(qǐng)求檢驗(yàn)單元就確定訪問(wèn)請(qǐng)求為正常。
15.一種計(jì)算機(jī)程序產(chǎn)品,包括一種計(jì)算機(jī)存儲(chǔ)介質(zhì)和記錄在該計(jì)算機(jī)存儲(chǔ)介質(zhì)上的一種計(jì)算機(jī)程序代碼機(jī)制,用于使某臺(tái)計(jì)算機(jī)通過(guò)僅僅允許一臺(tái)或多臺(tái)客戶計(jì)算機(jī)裝置發(fā)出的正常訪問(wèn)到達(dá)該服務(wù)器計(jì)算機(jī)裝置,來(lái)保護(hù)服務(wù)器計(jì)算機(jī)裝置,該計(jì)算機(jī)代碼機(jī)制包括一個(gè)代碼段,用于代替服務(wù)器計(jì)算機(jī)裝置接收客戶計(jì)算機(jī)裝置發(fā)出的訪問(wèn)請(qǐng)求;一個(gè)代碼段,用于檢驗(yàn)每個(gè)收到的訪問(wèn)請(qǐng)求,以確定收到的訪問(wèn)請(qǐng)求是否正常;以及一個(gè)代碼段,用于僅僅向服務(wù)器計(jì)算機(jī)裝置傳遞確定為正常的訪問(wèn)請(qǐng)求,而防止把確定為不正常的其他訪問(wèn)請(qǐng)求傳遞到服務(wù)器計(jì)算機(jī)裝置。
16.根據(jù)權(quán)利要求15的計(jì)算機(jī)程序產(chǎn)品,其特征在于,該訪問(wèn)請(qǐng)求包括一系列的連接請(qǐng)求數(shù)據(jù)包、確認(rèn)數(shù)據(jù)包和數(shù)據(jù)請(qǐng)求數(shù)據(jù)包,其特征還在于,如果用于接收的代碼段收到連接請(qǐng)求數(shù)據(jù)包和連接請(qǐng)求數(shù)據(jù)包后跟隨的確認(rèn)數(shù)據(jù)包,然后在特定的時(shí)間內(nèi)收到確認(rèn)數(shù)據(jù)包后跟隨的數(shù)據(jù)請(qǐng)求數(shù)據(jù)包,用于檢驗(yàn)的代碼段就確定訪問(wèn)請(qǐng)求為正常。
17.根據(jù)權(quán)利要求15的計(jì)算機(jī)程序產(chǎn)品,其特征在于,該計(jì)算機(jī)代碼機(jī)制進(jìn)一步包括一個(gè)代碼段,用于根據(jù)連接請(qǐng)求數(shù)據(jù)包數(shù)目和數(shù)據(jù)提供到服務(wù)器計(jì)算機(jī)裝置次數(shù)的比值,檢驗(yàn)服務(wù)器計(jì)算機(jī)裝置的負(fù)載是否上升;以及一個(gè)代碼段,用于如果負(fù)載上升,就確定訪問(wèn)請(qǐng)求不正常,以抵御分布的拒絕服務(wù)攻擊。
18.根據(jù)權(quán)利要求17的計(jì)算機(jī)程序產(chǎn)品,其特征在于,關(guān)于每臺(tái)客戶計(jì)算機(jī)裝置或每個(gè)連接檢驗(yàn)服務(wù)器計(jì)算機(jī)裝置的負(fù)載。
19.根據(jù)權(quán)利要求15的計(jì)算機(jī)程序產(chǎn)品,其特征在于,該計(jì)算機(jī)代碼機(jī)制進(jìn)一步包括一個(gè)代碼段,用于校正訪問(wèn)請(qǐng)求數(shù)據(jù)包的頭部,用于客戶計(jì)算機(jī)裝置和服務(wù)器計(jì)算機(jī)裝置之間的序列控制。
20.根據(jù)權(quán)利要求15的計(jì)算機(jī)程序產(chǎn)品,其特征在于,該計(jì)算機(jī)代碼機(jī)制進(jìn)一步包括一個(gè)代碼段,用于根據(jù)高于TCP/IP級(jí)別的會(huì)話協(xié)議,代替服務(wù)器計(jì)算機(jī)裝置響應(yīng)客戶計(jì)算機(jī)裝置。
全文摘要
一種服務(wù)器計(jì)算機(jī)保護(hù)裝置,通過(guò)僅僅允許一臺(tái)或多臺(tái)客戶計(jì)算機(jī)發(fā)出的正常訪問(wèn)到達(dá)該服務(wù)器計(jì)算機(jī),來(lái)保護(hù)服務(wù)器計(jì)算機(jī)。訪問(wèn)請(qǐng)求接收單元代替服務(wù)器計(jì)算機(jī),接收客戶計(jì)算機(jī)發(fā)出的訪問(wèn)請(qǐng)求。訪問(wèn)請(qǐng)求檢驗(yàn)單元檢驗(yàn)每個(gè)收到的訪問(wèn)請(qǐng)求,以確定收到的訪問(wèn)請(qǐng)求是否正常。訪問(wèn)請(qǐng)求傳遞單元僅僅向服務(wù)器計(jì)算機(jī)傳遞確定為正常的訪問(wèn)請(qǐng)求,而防止把確定為不正常的其他訪問(wèn)請(qǐng)求傳遞到服務(wù)器計(jì)算機(jī)。
文檔編號(hào)G06F21/20GK1410899SQ0214351
公開(kāi)日2003年4月16日 申請(qǐng)日期2002年9月27日 優(yōu)先權(quán)日2001年9月27日
發(fā)明者菅野伸一, 楯岡正道 申請(qǐng)人:株式會(huì)社東芝