【技术实现步骤摘要】
【国外来华专利技术】
本专利技术一般地涉及计算机网络中的网络元件,例如交换机和路由器。更具体而言,本专利技术涉及通过检查应用层消息来保护网络和应用免受拒绝服务攻击。
技术介绍
这一部分中描述的方法可以实现,但是不一定是先前已想到或已实现的方法。因此,除非另外指出,否则这一部分中描述的方法不是该申请的权利要求的现有技术,并且也不应当因为被包括在这一部分中而看作是现有技术。在商业到商业环境中,运行在计算机上的应用一般会与运行在其他计算机上的其他应用通信。例如,运行在计算机“X”上的应用“A”可能向运行在计算机“Y”上的应用“B”发送指示订单的实质内容的消息。计算机“X”可能远离计算机“Y”。为了使计算机“X”发送消息到计算机“Y”,计算机“X”可能通过计算机网络发送消息,计算机网络例如是局域网(LAN)、广域网(WAN)或互联网,例如因特网。为了通过这种网络发送消息,计算机“X”可能使用一套通信协议。例如,计算机“X”可能使用诸如因特网协议(IP)之类的网络层协议以及诸如传输控制协议(TCP)之类的传输层协议来发送消息。假定消息利用TCP发送,则消息被封装到一个或多个数据分组中;同一消息的不同部分可以在不同分组中发送。继续以上示例,计算机“X”通过网络向计算机“Y”发送数据分组。处于计算机“X”和计算机“Y”之间的一个或多个网络元件可以接收分组,确定分组的下一“跳”,并向计算机“Y”发送分组。例如, ...
【技术保护点】
一种保护网络和应用免受拒绝服务攻击的方法,所述方法包括以下由计算机实现的步骤: 在网络元件处接收总地包含应用层消息的一个或多个数据分组; 在所述网络元件处从所述一个或多个数据分组的一个或多个有效载荷部分中确定所述应用层消息; 确定所述应用层消息是否满足一个或多个指定标准;以及 如果所述应用层消息满足所述一个或多个指定标准,则阻止所述一个或多个数据分组被所述应用层消息想要去往的应用所接收。
【技术特征摘要】
【国外来华专利技术】US 2004-12-7 11/007,1521.一种保护网络和应用免受拒绝服务攻击的方法,所述方法包括以下
由计算机实现的步骤:
在网络元件处接收总地包含应用层消息的一个或多个数据分组;
在所述网络元件处从所述一个或多个数据分组的一个或多个有效载荷
部分中确定所述应用层消息;
确定所述应用层消息是否满足一个或多个指定标准;以及
如果所述应用层消息满足所述一个或多个指定标准,则阻止所述一个
或多个数据分组被所述应用层消息想要去往的应用所接收。
2.如权利要求1所述的方法,其中在所述网络元件接收所述一个或多
个数据分组的步骤包括在所述网络元件处截取所述一个或多个数据分组,
并且所述一个或多个数据分组的目的地地址标识容宿在与所述网络元件相
分离的设备上的应用。
3.如权利要求1所述的方法,其中所述网络元件是网络路由器或交换
机。
4.如权利要求1所述的方法,其中从所述一个或多个数据分组的一个
或多个有效载荷部分中确定所述应用层消息的步骤包括在所述网络元件处
组装两个或更多个所述有效载荷部分的内容以确定所述应用层消息。
5.如权利要求1所述的方法,其中所述应用层消息是可扩展标记语言
(XML)文档或非XML文档。
6.如权利要求1所述的方法,还包括以下步骤:
如果所述应用层消息不满足所述一个或多个指定标准,则将所述一个
或多个数据分组发送到所述应用。
7.如权利要求1所述的方法,还包括以下步骤:
当在所述网络元件处接收到一个或多个数据分组之后,在所述网络元
件处接收所述一个或多个指定标准;以及
将所述一个或多个指定标准应用到在所述网络元件处接收到的后续数
据分组。
8.如权利要求1所述的方法,其中从所述一个或多个数据分组的一个
或多个有效载荷部分中确定所述应用层消息的步骤包括在所述网络元件处
对所述一个或多个有效载荷部分的经加密内容进行解密。
9.如权利要求1所述的方法,其中确定所述应用层消息是否满足所述
一个或多个指定标准的步骤包括确定所述应用层消息的至少一部分是否大
于指定大小。
10.如权利要求1所述的方法,其中确定所述应用层消息是否满足所
述一个或多个指定标准的步骤包括确定所述应用层消息是否未能在句法和
语义上遵从应用所期望的指定规划。
11.如权利要求10所述的方法,其中所述指定规划被存储在所述网络
元件处,并且所述指定规划是从可信源获得的。
12.如权利要求1所述的方法,其中确定所述应用层消息是否满足所
述一个或多个指定标准的步骤包括:
确定与在所述一个或多个数据分组的一个或多个IP头部中指示的因特
网协议(IP)地址相关联的一个或多个特定标准;以及
确定所述应用层消息是否满足所述一个或多个特定标准。
13.如权利要求12所述的方法,还包括以下步骤:
当在所述网络元件处接收到一个或多个数据分组之后,在所述网络元
件处接收用户指定的内容匹配约束或标准,其中所述指定的内容匹配约束
或标准指定所述IP地址和所述一个或多个特定标准;以及
响应于接收到所述指定的内容匹配约束或标准,在所述网络元件处建
立所述IP地址和所述一个或多个特定标准之间的关联。
14.如权利要求1所述的方法,其中确定所述应用层消息是否满足所
述一个或多个指定标准的步骤包括:
确定所述应用层消息被传输所依据的应用层协议;
从多个防火墙机制中选择被映射到所述应用层协议的特定防火墙机
制;以及
将所述特定防火墙机制应用到所述应用层消息。
15.如权利要求1所述的方法,其中确定所述应用层消息是否满足所
述一个或多个指定标准的步骤包括:
确定所述应用层消息遵从的消息格式;
从多个防火墙机制中选择被映射到所述消息格式的特定防火墙机制;
以及
将所述特定防火墙机制应用到所述应用层消息。
16.如权利要求1所述的方法,其中所述应用层消息在所述一个或多
个数据分组的一个或多个有效载荷部分中遵从应用层协议。
17.如权利要求1所述的方法,其中确定所述应用层消息是否满足一
个或多个指定标准的步骤包括确定所述应用层消息是否包含一个或多个指
定关键字。
18.如权利要求1所述的方法,其中所述应用层消息包括多部分
MIME消息,所述方法还包括彼此分开并且独立地处理所述多部分MIME
消息的每个部分。
19.如权利要求18所述的方法,还包括:
确定所述多部分MIME消息的第一部分的类型;
确定所述多部分MIME消息的第二部分的类型;
利用与所述第一部分的类型相关联的第一检查机制检查所述第一部
分;以及
利用与所述第二部分的类型相关联的第二检查机制检查所述第二部
分;
其中所述第一检查机制不同于所述第二检查机制。
20.如权利要求18所述的方法,还包括:
利用第一密钥对所述第一部分解密;以及
利用不同于所述第一密钥的第二密钥对所述第二部分解密。
21.如权利要求18所述的方法,还包括允许所述第一部分被转发出所
述网络元件,并且阻止所述第二部分被转发出所述网络元件。
22.如权利要求18所述的方法,其中所述指定标准比在另一网络元件
处指定的标准更加严格。
23.如权利要求18所述的方法,还包括:
将防火墙机制配置为阻止满足指定标准的数据分组到达所述网络元件
的配置所述防火墙机制的机制。
24.如权利要求1所述的方法,还包括:
如果以超过指定阈值速率的速率接收数据分组,则将一个或多个数据
分组重路由到不同网络元件。
25.如权利要求1所述的方法,还包括:
在所述网络元件处对以下消息执行操作,所述消息是请求消息、响应
消息、异常处理消息或者不在客户端应用和服务器应用之间发送的消息。
26.如权利要求1所述的方法,其中确定所述应用层消息是否满足所
述一个或多个指定标准的步骤包括确定所述应用层消息是否小于指定大
小。
27.如权利要求1所述的方法,还包括:
...
【专利技术属性】
技术研发人员:桑迪普库马尔,金叶,苏尼尔波迪,克里斯多佛R韦伯尔,
申请(专利权)人:思科技术公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。