CN101779415A - 防止对移动装置的基于tcp的拒绝服务攻击的方法 - Google Patents
防止对移动装置的基于tcp的拒绝服务攻击的方法 Download PDFInfo
- Publication number
- CN101779415A CN101779415A CN200780100183A CN200780100183A CN101779415A CN 101779415 A CN101779415 A CN 101779415A CN 200780100183 A CN200780100183 A CN 200780100183A CN 200780100183 A CN200780100183 A CN 200780100183A CN 101779415 A CN101779415 A CN 101779415A
- Authority
- CN
- China
- Prior art keywords
- mobile device
- bag
- tcp
- base station
- connection request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/126—Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Communication Control (AREA)
Abstract
提供了一种防止对移动装置进行基于传输控制协议(TCP)的拒绝服务(DoS)攻击的方法。该方法有效地防止了对移动装置的DoS攻击,其中,该攻击利用TCP协议无线地且不断地向移动装置传输TCP包,并从而耗尽无线网络资源以及依靠电池的移动装置的电池电量。通常在有线网络中由滥用基于TCP的三次握手而进行的攻击在移动装置的无线网络中更加严重。为了防止对移动装置进行的这种攻击,能够对三次握手和每个转变操作进行检查的方法使移动装置检查接收到的TCP包是否合法。从而,可以有效地防止DoS攻击耗尽无线资源和移动装置的电池电量。
Description
技术领域
本发明涉及防止对移动装置的基于传输控制协议(TCP)的拒绝服务(Denial of Service,DoS)攻击的方法,尤其涉及有效防止对移动装置的DoS攻击的方法,其中,该攻击利用TCP协议无线地且不断地向移动装置传输TCP包,从而耗尽无线网络资源以及依靠电池的移动装置的电池电量。
背景技术
通常,由于互联网服务已经从有线服务扩展到了无线服务,并且移动装置的类型和服务已经多样化,因此用户可以通过移动装置从虚拟的任何位置接入互联网。
出于此原因,可以预期在有线网络中进行的服务攻击将逐渐扩展到无线网络。尤其,这些攻击可能由于有线网络的受限资源而在无线网络中更加严重。
图1是用于描述一般状态转换操作的总体概念图,并且示出了用于更好地描述用于建立和结束TCP连接的TCP协议的完整的标准有限状态机。在图1中,为可靠起见示出了所有的状态和转变。
首先,如下定义TCP连接状态。
LISTEN:执行服务器的后台程序并等待连接请求的状态。
SYN_SENT:本地客户机应用程序已经请求远程主机进行连接的状态。
SYN_RCVD:服务器已经从远程客户机接收到连接请求、已经应答了该客户机、但是还没有接收到确认消息的状态。
ESTABLISHED:服务器和客户机在完成三次握手后彼此连接在一起的状态。
FIN_WAIT_1,CLOSE_WAIT,FIN_WAIT_2:服务器请求客户机终止连接、接收应答、以及终止连接的状态。
CLOSING:确认消息在传输过程中丢失的罕见状态。
TIME_WAIT:尽管连接已经终止、但报路(socket)将为可能已丢失的慢速段(slow segment)开放一段时间的状态。
CLOSED:连接完全终止的状态。
根据建立和终止TCP连接的TCP通信的连接原理(如在之前的文献(例如,传输控制协议,RFC 793,Jon Postel,DARPA互联网程序协议规范,1981.9)中所定义的),必须执行三次握手过程以在客户机和服务器之间建立TCP连接。
更具体地,连接请求(同步SYN)、连接请求/确认(同步/确认SYN/ACK)、和确认(确认ACK)包必须被传输和接收,以使客户机与服务器进行TCP通信。
此处,当连续执行了连接请求SYN、连接请求/确认SYN/ACK、和确认ACK的三次握手过程时,TCP连接在客户机和服务器之间建立,这意味着由客户机请求的服务器的TCP通信端口对通信开放。
这种传统的TCP状态转变显示了根据包的标记TCP状态转变所处于的TCP栈的状态。然而,根据传统的TCP状态转变,没有彻底地对输入的包进行验证,因此,这种攻击的滥用频繁发生。
即,可以通过互联网进行滥用三次握手过程的攻击,例如,诸如SYN淹没(flooding)的DoS攻击。
同时,根据安装在移动装置中的操作***可能支持或可能不支持全部上述的TCP状态转变。在最初的三次握手步骤中,没有TCP规范建议的执行全部TCP状态转变的检查过程。因此,当由用作对大部分时间处于休眠状态以节省能量的移动装置的基于TCP的DoS攻击的SYN淹没攻击频繁尝试进行网络连接时,该移动装置转换到唤醒状态并消耗能量。
此外,即使传输给移动装置的包用于无用的理由,但是,其可以不断尝试到移动装置的连接,并唤醒该移动装置。在此情况中,不但占用了无线链路的资源,还浪费了移动装置的电池电量。
发明内容
技术问题
本发明旨在提供一种有效防止对移动装置的拒绝服务(DoS)攻击的方法,其中,该攻击利用TCP协议无线地且不断地向移动装置传输TCP包,从而耗尽无线网络资源以及依靠电池的移动装置的电池电量。
技术方案
本发明的第一方面提供了一种通过检查利用传输控制协议(TCP)在基站和移动装置之间传输的包流来防止拒绝服务(DoS)攻击的方法,该方法包括以下步骤:当基站向移动装置传输TCP连接的连接请求SYN包、然后移动装置接收到传输来的连接请求SYN包,在移动装置向基站传输连接请求确认SYN/ACK_1包;当接收到传输来的连接请求确认SYN/ACK_1包时,在基站向移动装置传输对应于连接请求确认SYN/ACK_1包的确认ACK_2包;当移动装置接收到传输来的确认ACK_2包时,建立TCP连接;以及当建立了TCP连接、然后移动装置接收到从基站传输来的其中设置了复位RST或连接请求SYN标记的包时,终止建立的TCP连接。
此处,当建立了TCP连接、然后移动装置在预先设定的超时周期内不能接收到任何包时,可以确定基站已经异常地终止了TCP连接,从而移动装置可以安全地终止TCP连接。
超时周期可以被设置为0.5秒。
本发明的第二方面提供了一种通过检查利用TCP协议在基站和移动装置之间传输的包流来防止DoS攻击的方法,该方法包括以下步骤:当基站向移动装置传输TCP连接的连接请求SYN包、然后移动装置接收到传输来的连接请求SYN包时,在移动装置向基站传输连接请求确认SYN/ACK_1包;在基站接收传输来的连接请求确认SYN/ACK_1包,然后向移动装置传输完成FIN包;以及当移动装置接收到传输的完成FIN包时,终止TCP连接。
本发明的第三方面提供了一种通过检查利用TCP协议在基站和移动装置之间传输的包流来防止DoS攻击的方法,该方法包括以下步骤:当基站向移动装置传输TCP连接的连接请求SYN包、然后移动装置接收到传输来的连接请求SYN包时,在移动装置向基站传输连接请求确认SYN/ACK_1包;在基站接收传输来的连接请求确认SYN/ACK_1包,然后向移动装置传输确认完成ACK_2/FIN包,其中,确认完成ACK_2/FIN包设置了FIN标记和对应于连接请求确认SYN/ACK_1包的确认ACK_2标记;以及当移动装置接收到传输来的确认完成ACK_2/FIN包时,终止TCP连接。
本发明的第四方面提供了一种通过检查利用TCP协议在基站和移动装置之间传输的包流来防止DoS攻击的方法,该方法包括以下步骤:当基站向移动装置传输TCP连接的连接请求SYN包、然后移动装置接收到传输来的连接请求SYN包时,在移动装置向基站传输连接请求确认SYN/ACK_1包;在基站接收传输来的连接请求确认SYN/ACK包,然后向该移动装置转发连接请求SYN包;以及当移动装置接收到转发来的连接请求SYN包时,终止TCP连接。
此处,在向基站传输了连接请求确认SYN/ACK_1包之后,当移动装置在预先设定的超时周期内不能接收到任何包时,可以确定基站已经异常地终止了TCP连接,从而移动装置可以安全地终止TCP连接。
超时周期可以被设置为0.5秒。
本发明的第五方面提供了一种通过检查利用TCP协议在基站和移动装置之间传输的包流来防止DoS攻击的方法,该方法包括以下步骤:当在基站和移动装置之间建立了TCP连接之后、移动装置向基站传输了用于正常终止TCP连接的完成/确认FIN/ACK包、然后在预先设定的超时周期内不能从基站接收到确认ACK_3包时,安全地终止TCP连接。
此处,超时周期可以被设置为0.5秒。
本发明的第六方面提供了一种存储程序的记录介质,该程序用于执行上述防止对移动装置进行基于TCP的DoS攻击的方法。
技术效果
根据提出的防止对移动装置进行的基于传输控制协议(TCP)的拒绝服务(DoS)攻击的方法,可以防止DoS攻击浪费无线资源和移动装置的电池电量。此外,当DoS攻击企图通过无线网络进行连接时,可以在早期阶段安全地保护移动装置。
附图说明
图1是用于描述一般状态转变操作的总体概念图;
图2是用于实施根据本发明示例性实施方式的防止对移动装置进行基于传输控制协议(TCP)拒绝服务(DoS)攻击的方法的模型的总体概念。
图3示出了在基站和移动装置之间正常建立TCP连接的过程中包流和TCP状态转变操作;
图4示出了在基站和移动装置之间正常终止TCP连接的过程中包流和TCP状态转变操作;
图5示出了异常TCP连接的第一实例中包流和TCP状态转变操作;
图6示出了异常TCP连接的第二实例中包流和TCP状态转变操作;
图7示出了异常TCP连接的第三实例中包流和TCP状态转变操作;
图8示出了异常TCP连接的第四实例中包流和TCP状态转变操作;以及
图9示出了异常TCP连接的第五实例中包流和TCP状态转变操作。
具体实施方式
下文中,将详细描述本发明的示例性实施方式。然而,本发明不限于下面所公开的示例性实施方式,而是可以以各种改进的形式来实施。提供本示例性实施方式以使本领域技术人员能够实现和实施本发明。
首先,本发明可以应用于提供有来自电池的电能的移动装置无线地接收传输控制协议(TCP)包从而接收服务的任何情况。本发明是可以应用于使用例如个人数字助理(PDA)、第二代(2G)演进数据最优化(EVDO)蜂窝网络、3G/4G数据服务蜂窝网络等能够在还没有为其确定协议的传感器网络领域之外的TCP服务的网络的移动装置、智能电话等的保护手段。
此外,本发明在移动装置中实现,并检查和处理资源消耗TCP包。因此,本发明是有效管理无线资源和移动装置的资源的方法,并且还可以用作在拒绝服务(DoS)攻击通过无线网络企图进行连接时安全保护移动装置的方法。
图2是用于实现根据本发明的示例性实施方式的防止对移动装置进行基于TCP的DoS攻击的方法的模型的总体概念图。
参照图2,用于实现根据本发明的示例性实施方式的防止对移动装置进行基于TCP的DoS攻击的方法的整个模型包括0至4的5个状态,并且这5个状态根据在基站和移动装置(例如,蜂窝电话、PDA、WebPDA、能够支持TCP网络的另一无线移动装置等)之间传输/接收的包流以各种形式进行连接。
同时,应用于本发明示例性实施方式的模型检查并确定为TCP状态转变所传输和接收的包是否符合TCP规范,同时监控在基站和该移动装置之间传输和接收的包。
即,本发明根据TCP状态转变执行传统的检查功能。因此,在每一步骤中,可以根据所传输和接收的包的标记来检查接下来是什么状态,以及在当前状态必须在接收到的包中设置什么标记。
此外,根据输入到移动装置中的所有包,一个会话经历第一状态0到第五状态4并返回至第一状态0。使用构成该会话的包的标记,可以检查步骤0到步骤4的顺序,以及是否接收到了不应被输入的包。此处,第一状态0表示一个会话的开始和结束。
图3示出了在基站和移动装置之间正常建立TCP连接的过程中的包流和TCP状态转变操作。
参照图2和图3,当首先在基站100和移动装置200之间建立会话时,移动装置200的TCP状态被设置成第一状态0,其表示一个会话的开始和结束。
随后,基站100向期望连接至该基站的移动装置200的特定端口传输连接请求SYN包,其中,在该包中设置了SYN标记。当移动装置200根据本发明对从基站100传输来的连接请求SYN包的接收进行检查时,移动装置200的TCP状态从第一状态0改变为第二状态1。
然后,移动装置200在接收连接请求的通道中向基站100传输连接请求确认SYN/ACK_1包,其中,在该包中设置了移动装置200的连接请求SYN标记和确认ACK_1标记。当移动装置200根据本发明对向基站100的连接请求确认SYN/ACK_1包的传输进行检查时,移动装置200的TCP状态从第二状态1改变为第三状态2。
接下来,基站100向移动装置200传输对应于连接请求确认SYN/ACK_1包的确认ACK_2包。当移动装置200根据本发明对从基站100传输来的确认ACK_2包的接收进行检查时,移动装置200的TCP状态从第三状态2改变为第四状态3,从而建立了TCP连接。此后,可以在基站100和移动装置200之间执行数据传输。
当最初对TCP连接进行尝试时,由移动装置200接收到的TCP包必须是连接请求SYN包。通过三次握手,建立了与对其尝试TCP连接的节点的TCP连接。
因此,响应于连接请求SYN包,移动装置200传输连接请求确认SYN/ACK_1包,并接收作为对连接请求确认SYN/ACK_1包的应答的确认ACK_2包。当完全执行该过程后,一个TCP连接建立。
本发明提供了第一状态0至第四状态3的步骤的指针,使得移动装置200可以对建立TCP连接的每个步骤逐一进行检查。由于指针在从连接请求SYN包最初尝试TCP连接一直到三次握手完成的每个步骤中都一直存在,因此可以立即抓住过程异常执行的时机,并还可以适当地处理该故障。
图4示出了在正常终止基站和移动装置之间的TCP连接的过程中包流和TCP状态转变操作。
参照图2和图4,在第四状态3中,其中,在基站100和移动装置200之间建立了TCP连接,移动装置200向基站100的特定端口传输其中设置了FIN标记的完成确认FIN/ACK_3包,以终止与基站100的TCP连接。当接收到从移动装置200传输来的完成确认FIN/ACK_3包时,基站100向移动装置200传输对应于完成确认FIN/ACK_3包的确认ACK_4包,以通已经识别到TCP连接的终止。
此处,当移动终端200根据本发明对向基站100的完成确认FIN/ACK_3包的传输进行检查时,移动装置200的TCP状态从第四状态3改变为第五状态4。
接下来,基站100传输对应于完成确认FIN/ACK_3包的确认ACK_4包。当移动装置200根据本发明对从基站100传输的确认ACK_4包的接收进行检查时,移动装置200的TCP状态从第五状态4改变为第一状态0,从而终止TCP连接。
同时,当基站100在先终止了连接而没有在第五状态4中传输确认ACK_4包时,引起超时,移动装置200还转换到第一状态0,以终止TCP连接。
即,当移动装置200不能在预先设置的超时周期(其可以约为0.5秒)内接收到确认ACK_4包时,移动装置200的TCP状态从第五状态4改变为第一状态0,从而安全地终止TCP连接。
下面将参照若干个异常TCP连接的实例来详细描述根据本发明示例性实施方式的防止对移动装置进行基于TCP的DoS攻击的方法。
即,描述了当进行DoS攻击时,移动装置200能够如何使用应用于本发明的模型来检查并应对DoS攻击。移动装置200能应对的大部分DoS攻击都进行建立TCP连接的异常尝试。
图5示出了异常TCP连接第一实例中的包流和TCP状态转变操作。
参照图2和图5,当移动装置200对从基站100传输来的连接请求SYN包的接收进行检查时,移动装置200的TCP状态从第一状态0改变为第二状态1。然后,当移动装置200对向基站100的连接请求确认SYN/ACK_1包的传输进行检查时,移动装置200的TCP状态从第二状态1改变为第三状态2。
接下来,当移动装置200对从基站100传输来的确认ACK_2包的接收进行检查时,移动装置200的TCP状态从第三状态2改变为第四状态4,从而建立TCP连接。
此后,当移动装置200对从基站100传输的包(其中设置了复位RST和连接请求SYN标记,即连接请求包)的接收进行检查时,移动装置200的TCP状态从第四状态3直接改变为第一状态0,从而安全地终止TCP连接。
同时,当基站100异常终止连接而在第四状态3中不传输任何包时,根据本发明引起超时,移动装置200直接转换到第一状态0以终止TCP连接。
即,当移动装置200不能在预先设置的超时周期(可以为约0.5秒)内接收到任何包时,移动装置200的TCP状态从第四状态3直接改变为第一状态0,从而安全地终止TCP连接。
在考虑异常TCP连接的第一实例中的所有描述之后,经常出现在无线网络中连接请求SYN包不断被传输至移动装置200的情况。在此情况中,浪费了无线网络资源,并且移动装置200保持唤醒状态,消耗电池电量。
因此,当在三次握手后输入复位RST和连接请求SYN包时,该包被认为是异常包。然后,移动装置200如前所述顺序地从第一状态0转换到第四状态3,然后转换返回第一状态0,从而不接收包。
图6示出了异常TCP连接第二实例中的包流和TCP状态转变操作。
参照图2和图6,当移动装置200对从基站100传输来的连接请求SYN包的接收进行检查时,移动装置200的TCP状态从第一状态0改变为第二状态1。然后,当移动装置200对向基站100的连接请求确认SYN/ACK_1包的传输进行检查时,移动装置200的TCP状态从第二状态1改变为第三状态2。
接下来,当移动装置200接收到从基站100传输来的完成FIN包时,就确定基站100已经异常地终止了连接,并且移动装置200的TCP状态从第三状态2直接改变为第一状态0,从而安全地终止TCP连接。
同时,当基站100异常地终止了连接而在第三状态2中不传输任何包时,引起超时,移动装置200还直接转换到第一状态0,以终止TCP连接。
即,当移动装置200不能在预先设置的超时周期(可以约为0.5秒)内接收到任何包时,移动装置200的TCP状态从第三状态2直接改变为第一状态0,从而安全地终止TCP连接。
在考虑异常TCP连接的第二实例中的所有描述之后,出现了在三次握手过程中意外地接收到完成FIN包的情况。即,移动装置200中的操作***等待确认ACK_2包来完成三次握手过程。
然而,当从基站100接收到意外的完成FIN包时,移动装置200经常地在唤醒状态中等待,并消耗电池电量。因此,在此情况中,移动装置200顺序地从第一状态0转换到第三状态2,并转换回第一状态0,从而终止TCP连接以防止资源的浪费。
即,当确认了移动装置200的TCP状态顺序地从第一状态0改变为第三状态2、并改变回第一状态0,然后终止了TCP连接时,就可以解决电池消耗以及资源分配的问题。
图7示出了异常TCP连接第三实例中的包流和TCP状态转变操作。
参照图2和图7,示出了在完成三次握手的同时传输完成FIN包的情况。首先,当移动装置200对从基站100传输来的连接请求SYN包的接收进行检查时,移动装置200的TCP状态从第一状态0改变为第二状态1。然后,当移动装置200对向基站100的连接请求确认SYN/ACK_1包的传输进行检查时,移动装置200的TCP状态从第二状态1改变为第三状态2。
接下来,基站100可以向移动装置200传输确认完成ACK_2/FIN包,其中,该包中设置了对应于连接请求确认SYN/ACK_1包的确认ACK_2标记和FIN标记。当移动装置200根据本发明对从基站100传输来的确认完成ACK_2/FIN包的接收进行检查时,移动装置200的TCP状态从第三状态2直接改变为第一状态0,从而终止TCP连接。
同时,当基站100异常地终止该连接而不在第三状态2中传输任何包时,根据本发明引起超时,并且移动装置200还直接转换到第一状态0,以终止TCP连接。
即,当移动装置200不能在预先设置的超时周期(可以为约0.5秒)内接收到任何包时,移动装置200的TCP状态从第三状态2直接改变为第一状态0,从而安全地终止TCP连接。
图8示出了异常TCP连接第四实例中的包流和TCP状态转变操作。
参照图2和图8,当移动装置200对从基站100传输来的连接请求SYN包的接收进行检查时,移动装置200的TCP状态从第一状态0改变为第二状态1。然后,当移动装置200对向基站100的连接请求确认SYN/ACK_1包的传输进行检查时,移动装置200的TCP状态从第二状态1改变为第三状态2。
此处,同一基站100可以连续向第三状态2中的移动装置200传输相同的连接请求SYN包。当移动装置200对来自同一基站100的连接请求SYN包的接收进行检查时,移动装置200的TCP状态从第三状态2直接改变为第一状态0,从而安全地终止TCP连接。
在考虑异常TCP连接的第四实例中的所有描述之后,出现了在三次握手期间连续传输相同的连接请求SYN包的情况。在此情况中,连续传输连接请求SYN包以使移动装置200处于唤醒状态。此处,根据本发明的方法,移动装置200顺序地从第一状态0转换到第三状态2,然后在接收到相同的连接请求SYN包时转换回第一状态0,从而安全地终止TCP连接。因此,可以有效地防止浪费无线资源以及移动装置200的电池电量。
图9示出了异常TCP连接第五实例中的包流和TCP状态转变操作。在该第五实例中,引起了超时。
参照图2和图9,当在基站100和移动装置200之间建立了TCP连接(即处于第四状态3)之后,移动装置200想要终止该TCP连接时,移动装置200从第四状态3转换到第五状态4,并在向基站100传输完成确认FIN/ACK_1包之后等待来自基站100的确认ACK_2包。在这里,当在预先设置的超时周期内没有应答时,移动装置200的TCP状态从第五状态4直接改变为第一状态0,从而安全地终止TCP连接。
同时,根据本发明示例性实施方式的防止对移动装置进行基于TCP的DoS攻击的方法可以使用计算机代码存储在计算机可读记录介质中。该计算机可读记录介质可以是存储可由计算机***读取的数据的任何可记录装置。
例如,计算机可读记录介质可以是只读存储器(ROM)、随机存取存储器(RAM)、光盘只读存储器(CD-ROM)、磁带、硬盘、软磁盘、移动存储装置、非易失性存储器(闪存)、光数据存储装置等。此外,例如,计算机可读记录介质可以是通过互联网传输的载波。
此外,计算机可读记录介质可以分布在经由通信网络连接的计算机***之中,并且以可以由分散方法读取和执行的代码的形式进行存储。
尽管已经参照本发明的某些示例性实施方式示出并描述了本发明,但是本领域技术人员应该理解,在不背离由所附权利要求限定的本发明的精神和范围的条件下,可以对本发明进行各种形式和细节上的改变。
Claims (11)
1.一种通过检查利用传输控制协议(TCP)在基站和移动装置之间传输的包流来防止拒绝服务(DoS)攻击的方法,所述方法包括以下步骤:
当所述基站向所述移动装置传输TCP连接的连接请求SYN包、然后所述移动装置接收到传输来的连接请求SYN包时,在所述移动装置向所述基站传输连接请求确认SYN/ACK_1包;
当接收到传输来的连接请求确认SYN/ACK_1包时,在所述基站向所述移动装置传输对应于所述连接请求确认SYN/ACK_1包的确认ACK_2包;
当所述移动装置接收到传输来的确认ACK_2包时,建立所述TCP连接;以及
当建立了所述TCP连接、然后所述移动装置接收到从基站传输来的其中设置了复位RST或连接请求SYN标记的包时,终止建立的TCP连接。
2.根据权利要求1所述的方法,其中,当建立了所述TCP连接、然后所述移动装置在预先设定的超时周期内不能接收到任何包时,就确定所述基站已经异常地终止了所述TCP连接,从而所述移动装置安全地终止所述TCP连接。
3.根据权利要求2所述的方法,其中,所述超时周期被设置为0.5秒。
4.一种通过检查利用传输控制协议(TCP)在基站和移动装置之间传输的包流来防止拒绝服务(DoS)攻击的方法,所述方法包括以下步骤:
当所述基站向所述移动装置传输TCP连接的连接请求SYN包、然后所述移动装置接收到传输来的连接请求SYN包时,在所述移动装置向所述基站传输连接请求确认SYN/ACK_1包;
在所述基站接收传输来的连接请求确认SYN/ACK_1包,然后向所述移动装置传输完成FIN包;以及
当所述移动装置接收到传输来的完成FIN包时,终止所述TCP连接。
5.一种通过检查利用传输控制协议(TCP)在基站和移动装置之间传输的包流来防止拒绝服务(DoS)攻击的方法,所述方法包括以下步骤:
当所述基站向所述移动装置传输TCP连接的连接请求SYN包、然后所述移动装置接收到传输来的连接请求SYN包时,在所述移动装置向所述基站传输连接请求确认SYN/ACK_1包;
在所述基站接收传输来的连接请求确认SYN/ACK_1包,然后向所述移动装置传输确认完成ACK_2/FIN包,其中,在所述确认完成ACK_2/FIN包中设置了FIN标记和对应于所述连接请求确认SYN/ACK_1包的确认ACK_2标记;以及
当所述移动装置接收到传输来的确认完成ACK_2/FIN包时,终止所述TCP连接。
6.一种通过检查利用传输控制协议(TCP)在基站和移动装置之间传输的包流来防止拒绝服务(DoS)攻击的方法,所述方法包括以下步骤:
当所述基站向所述移动装置传输TCP连接的连接请求SYN包、然后所述移动装置接收到传输来的连接请求SYN包时,在所述移动装置向所述基站传输连接请求确认SYN/ACK_1包;
在所述基站接收传输来的连接请求确认SYN/ACK_1包,然后向所述移动装置转发所述连接请求SYN包;以及
当所述移动装置接收到转发来的连接请求SYN包时,终止所述TCP连接。
7.根据权利要求4至6中的任一项所述的方法,其中,当在向所述基站传输了所述连接请求确认SYN/ACK_1包之后、所述移动装置在预先设定的超时周期内不能接收到任何包时,确定所述基站已经异常地终止了所述TCP连接,从而所述移动装置安全地终止所述TCP连接。
8.根据权利要求7所述的方法,其中,所述超时周期被设置为0.5秒。
9.一种通过检查利用传输控制协议(TCP)在基站和移动装置之间传输的包流来防止拒绝服务(DoS)攻击的方法,所述方法包括以下步骤:
当在所述基站和所述移动装置之间建立了TCP连接之后、所述移动装置向所述基站传输了用于正常终止TCP连接的完成/确认FIN/ACK包、然后在预先设定的超时周期内不能从所述基站接收到确认ACK_3包时,安全终止TCP连接。
10.根据权利要求9所述的方法,其中,所述超时周期被设置为0.5秒。
11.一种计算机可读记录介质,用于存储能够执行根据权利要求1至10中任一项所述的方法的计算机程序。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020070079637A KR100889670B1 (ko) | 2007-08-08 | 2007-08-08 | 모바일 디바이스상에서 tcp 기반의 서비스거부 공격의 차단 방법 |
| KR10-2007-0079637 | 2007-08-08 | ||
| PCT/KR2007/004440 WO2009020255A1 (en) | 2007-08-08 | 2007-09-14 | Method of preventing tcp-based denial-of-service attacks on mobile devices |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101779415A true CN101779415A (zh) | 2010-07-14 |
| CN101779415B CN101779415B (zh) | 2013-03-27 |
Family
ID=40341466
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007801001832A Expired - Fee Related CN101779415B (zh) | 2007-08-08 | 2007-09-14 | 防止对移动装置的基于tcp的拒绝服务攻击的方法 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US9055099B2 (zh) |
| EP (1) | EP2176989B1 (zh) |
| JP (1) | JP2010536221A (zh) |
| KR (1) | KR100889670B1 (zh) |
| CN (1) | CN101779415B (zh) |
| HK (1) | HK1146168A1 (zh) |
| WO (1) | WO2009020255A1 (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100977365B1 (ko) * | 2007-12-20 | 2010-08-20 | 삼성에스디에스 주식회사 | 바이러스 및 네트워크 공격에 대한 자기 방어 기능을 갖는모바일 디바이스 및 이를 이용한 자기 방어 방법 |
| KR101231801B1 (ko) * | 2009-07-14 | 2013-02-08 | 한국전자통신연구원 | 네트워크 상의 응용 계층 보호 방법 및 장치 |
| US8543807B2 (en) | 2009-07-14 | 2013-09-24 | Electronics And Telecommunications Research Institute | Method and apparatus for protecting application layer in computer network system |
| WO2011102312A1 (ja) * | 2010-02-16 | 2011-08-25 | 日本電気株式会社 | パケット転送装置、通信システム、処理規則の更新方法およびプログラム |
| US9590913B2 (en) * | 2011-02-07 | 2017-03-07 | LiveQoS Inc. | System and method for reducing bandwidth usage of a network |
| CN102244663B (zh) * | 2011-08-16 | 2013-12-18 | 山东盛世光明软件技术有限公司 | 基于构造tcp数据包技术的用户身份识别方法和*** |
| KR20130084442A (ko) * | 2012-01-17 | 2013-07-25 | 삼성전자주식회사 | 통신 시스템에서 서비스 거부 공격을 감지하기 위한 기지국 및 그 방법 |
| TWI566616B (zh) * | 2015-03-04 | 2017-01-11 | 瑞昱半導體股份有限公司 | 三方交握方法以及電腦可讀媒體 |
| KR20180082697A (ko) * | 2017-01-10 | 2018-07-19 | (주) 코콤 | 효율적인 수요관리를 위한 보안성이 강화된 홈 영역 네트워크 운영방법 |
| KR101952357B1 (ko) * | 2017-08-03 | 2019-02-26 | (주)엔토빌소프트 | Tls/ssl 통신 연결을 제어하는 장치 및 그 방법 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040252671A1 (en) * | 2003-05-13 | 2004-12-16 | Benq Corporation | TCP/IP header compression format over wireless network |
| US20060190720A1 (en) * | 2003-08-08 | 2006-08-24 | T.T.T. Kabushikikaisha | TCP/IP-based communication system and associated methodology providing an enhanced transport layer protocol |
Family Cites Families (54)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ATE390788T1 (de) * | 1999-10-14 | 2008-04-15 | Bluearc Uk Ltd | Vorrichtung und verfahren zur hardware-ausführung oder hardware-beschleunigung von betriebssystemfunktionen |
| FR2805112B1 (fr) * | 2000-02-11 | 2002-04-26 | Mitsubishi Electric Inf Tech | Procede et unite de controle de flux d'une connexion tcp sur un reseau a debit controle |
| TW518864B (en) * | 2000-05-12 | 2003-01-21 | Ibm | Methods and system for defeating TCP SYN flooding attacks |
| US6950947B1 (en) * | 2000-06-20 | 2005-09-27 | Networks Associates Technology, Inc. | System for sharing network state to enhance network throughput |
| JP2002073433A (ja) | 2000-08-28 | 2002-03-12 | Mitsubishi Electric Corp | 侵入検知装置及び不正侵入対策管理システム及び侵入検知方法 |
| US7398317B2 (en) * | 2000-09-07 | 2008-07-08 | Mazu Networks, Inc. | Thwarting connection-based denial of service attacks |
| JP2002290407A (ja) | 2001-03-23 | 2002-10-04 | Mitsubishi Electric Corp | 安全通信保証装置 |
| WO2003009539A1 (fr) * | 2001-07-10 | 2003-01-30 | Fujitsu Limited | Systeme de communication a terminal mobile et procede de communication |
| US7644171B2 (en) * | 2001-09-12 | 2010-01-05 | Netmotion Wireless, Inc. | Mobile networking system and method using IPv4 and IPv6 |
| US6851062B2 (en) | 2001-09-27 | 2005-02-01 | International Business Machines Corporation | System and method for managing denial of service attacks |
| US20030084321A1 (en) | 2001-10-31 | 2003-05-01 | Tarquini Richard Paul | Node and mobile device for a mobile telecommunications network providing intrusion detection |
| US6785259B2 (en) * | 2001-11-16 | 2004-08-31 | Nokia Corporation | Enhanced transmission of critical data |
| JP3895982B2 (ja) * | 2001-12-20 | 2007-03-22 | 株式会社東芝 | 移動通信端末装置 |
| US7543056B2 (en) * | 2002-01-15 | 2009-06-02 | Mcafee, Inc. | System and method for network vulnerability detection and reporting |
| JP3923346B2 (ja) * | 2002-03-29 | 2007-05-30 | 京セラ株式会社 | 無線通信機 |
| CN1251446C (zh) * | 2002-07-18 | 2006-04-12 | 华为技术有限公司 | 一种防御网络传输控制协议同步报文泛滥攻击的方法 |
| US7069438B2 (en) * | 2002-08-19 | 2006-06-27 | Sowl Associates, Inc. | Establishing authenticated network connections |
| US7307952B2 (en) * | 2002-12-20 | 2007-12-11 | Intel Corporation | Method and apparatus to determine whether data flow is restricted by a sending node, a receiving node, or by a network |
| GB0308991D0 (en) * | 2003-04-17 | 2003-05-28 | Psion Digital Ltd | A data access replication or communication system comprising a distributed software application |
| US7483990B2 (en) * | 2003-05-22 | 2009-01-27 | International Business Machines Corporation | Method, apparatus, and program for informing a client when a server is busy in the transfer control protocol |
| KR100548154B1 (ko) * | 2003-06-11 | 2006-01-31 | (주)엔텔스 | 유무선 통신망에서의 패킷 전송 제어 및 패킷 과금 데이터생성을 위한 방법 및 장치 |
| US7440425B2 (en) * | 2003-09-04 | 2008-10-21 | Samsung Electronics Co., Ltd. | Apparatus and method for reducing paging channel loading for broadcast multicast services in a wireless network |
| US20050060535A1 (en) * | 2003-09-17 | 2005-03-17 | Bartas John Alexander | Methods and apparatus for monitoring local network traffic on local network segments and resolving detected security and network management problems occurring on those segments |
| US7321567B2 (en) * | 2003-09-30 | 2008-01-22 | Motorola, Inc. | Method and apparatus for preventing a spurious retransmission after a planned interruption of communications |
| US7203961B1 (en) * | 2004-01-09 | 2007-04-10 | Cisco Technology, Inc. | Preventing network reset denial of service attacks |
| US7472416B2 (en) * | 2004-01-09 | 2008-12-30 | Cisco Technology, Inc. | Preventing network reset denial of service attacks using embedded authentication information |
| KR100602651B1 (ko) * | 2004-02-13 | 2006-07-19 | 삼성전자주식회사 | Tcp 커넥션 관리 장치 및 방법 |
| US20060031571A1 (en) * | 2004-04-29 | 2006-02-09 | International Business Machines Corporation | Data communications through a split connection proxy |
| US20050267965A1 (en) * | 2004-05-13 | 2005-12-01 | Ixi Mobile (R&D) Ltd. | Mobile router graceful shutdown system and method |
| US20050286527A1 (en) * | 2004-06-28 | 2005-12-29 | Ivivity, Inc. | TCP segment re-ordering in a high-speed TOE device |
| US7613813B2 (en) * | 2004-09-10 | 2009-11-03 | Cavium Networks, Inc. | Method and apparatus for reducing host overhead in a socket server implementation |
| US8700695B2 (en) * | 2004-12-30 | 2014-04-15 | Citrix Systems, Inc. | Systems and methods for providing client-side accelerated access to remote applications via TCP pooling |
| WO2006082507A1 (en) | 2005-02-04 | 2006-08-10 | Nokia Corporation | Apparatus, method and computer program product to reduce tcp flooding attacks while conserving wireless network bandwidth |
| WO2006090461A1 (ja) * | 2005-02-24 | 2006-08-31 | Fujitsu Limited | 情報処理装置、情報処理装置の回線開放プログラムおよび情報処理装置の回線開放方法 |
| US7515926B2 (en) | 2005-03-30 | 2009-04-07 | Alcatel-Lucent Usa Inc. | Detection of power-drain denial-of-service attacks in wireless networks |
| US20060230450A1 (en) * | 2005-03-31 | 2006-10-12 | Tian Bu | Methods and devices for defending a 3G wireless network against a signaling attack |
| US7535907B2 (en) * | 2005-04-08 | 2009-05-19 | Oavium Networks, Inc. | TCP engine |
| JP4557815B2 (ja) * | 2005-06-13 | 2010-10-06 | 富士通株式会社 | 中継装置および中継システム |
| US7486673B2 (en) * | 2005-08-29 | 2009-02-03 | Connect Technologies Corporation | Method and system for reassembling packets prior to searching |
| JP4545671B2 (ja) * | 2005-09-29 | 2010-09-15 | 京セラ株式会社 | 無線通信端末及び無線通信方法 |
| US7716472B2 (en) * | 2005-12-29 | 2010-05-11 | Bsecure Technologies, Inc. | Method and system for transparent bridging and bi-directional management of network data |
| JP4898225B2 (ja) * | 2006-01-06 | 2012-03-14 | キヤノン株式会社 | アプリケーション装置及びアプリケーション装置の電力の復帰方法 |
| US7698437B2 (en) * | 2006-01-18 | 2010-04-13 | Digital Acoustics L.L.C. | Method and apparatus for multiple audio connections over networks |
| KR20070079274A (ko) * | 2006-02-01 | 2007-08-06 | 삼성전자주식회사 | 무선 통신 장치의 절전 방법 |
| US7609701B2 (en) * | 2006-02-22 | 2009-10-27 | Zheng Yang | Communication using private IP addresses of local networks |
| US8151323B2 (en) * | 2006-04-12 | 2012-04-03 | Citrix Systems, Inc. | Systems and methods for providing levels of access and action control via an SSL VPN appliance |
| US20090238344A1 (en) * | 2006-07-04 | 2009-09-24 | Duaxes Corporation | Communication control device and communication control method |
| US8295802B2 (en) * | 2006-07-04 | 2012-10-23 | Duaxes Corporation | Communication control device and communication control method for an emergency call over the internet |
| FR2906425B1 (fr) * | 2006-09-21 | 2009-10-23 | Ipanema Technologies Sa | Procede d'optimisation du controle du trafic dans un reseau de telecommunication par paquets |
| FI20060936A0 (fi) * | 2006-10-24 | 2006-10-24 | Nokia Corp | Menetelmä kanavanvaihtojen suorittamiseksi viestintäjärjestelmässä |
| GB0621774D0 (en) * | 2006-11-01 | 2006-12-13 | Level 5 Networks Inc | Driver level segmentation |
| KR100806492B1 (ko) | 2006-11-13 | 2008-02-21 | 삼성에스디에스 주식회사 | Tcp 상태천이를 이용한 서비스거부 공격의 차단방법 |
| US7593331B2 (en) * | 2007-01-17 | 2009-09-22 | Cisco Technology, Inc. | Enhancing transmission reliability of monitored data |
| US7639625B2 (en) * | 2007-03-02 | 2009-12-29 | Cisco Technology, Inc. | Tracing connection paths through transparent proxies |
-
2007
- 2007-08-08 KR KR1020070079637A patent/KR100889670B1/ko not_active IP Right Cessation
- 2007-09-14 WO PCT/KR2007/004440 patent/WO2009020255A1/en active Application Filing
- 2007-09-14 EP EP07808231.0A patent/EP2176989B1/en not_active Not-in-force
- 2007-09-14 US US12/672,408 patent/US9055099B2/en not_active Expired - Fee Related
- 2007-09-14 JP JP2010519844A patent/JP2010536221A/ja active Pending
- 2007-09-14 CN CN2007801001832A patent/CN101779415B/zh not_active Expired - Fee Related
-
2011
- 2011-01-13 HK HK11100332.4A patent/HK1146168A1/xx not_active IP Right Cessation
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040252671A1 (en) * | 2003-05-13 | 2004-12-16 | Benq Corporation | TCP/IP header compression format over wireless network |
| US20060190720A1 (en) * | 2003-08-08 | 2006-08-24 | T.T.T. Kabushikikaisha | TCP/IP-based communication system and associated methodology providing an enhanced transport layer protocol |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2176989A1 (en) | 2010-04-21 |
| US9055099B2 (en) | 2015-06-09 |
| EP2176989A4 (en) | 2014-03-05 |
| WO2009020255A1 (en) | 2009-02-12 |
| KR100889670B1 (ko) | 2009-03-19 |
| EP2176989B1 (en) | 2015-06-17 |
| US20100299753A1 (en) | 2010-11-25 |
| KR20090015364A (ko) | 2009-02-12 |
| CN101779415B (zh) | 2013-03-27 |
| JP2010536221A (ja) | 2010-11-25 |
| HK1146168A1 (en) | 2011-05-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101779415B (zh) | 防止对移动装置的基于tcp的拒绝服务攻击的方法 | |
| CN100403716C (zh) | 服务器设备及其控制方法和使用该服务器建立连接的方法 | |
| CN102640471B (zh) | 多径通信的方法和装置 | |
| CN101636968A (zh) | 使用传输控制协议状态转换防止拒绝服务攻击的方法 | |
| CN101548503A (zh) | 为移动操作环境提供安全的应用程序间通信 | |
| CN101147376A (zh) | 降低tcp洪泛攻击同时节省无线网络带宽的装置、方法和计算机程序产品 | |
| CN102769603A (zh) | 一种数据传输的方法、***及设备 | |
| WO2011041735A1 (en) | Wlan peer-to-peer group owner negotiation | |
| CN101621368A (zh) | 一种重传数据包的方法、装置及*** | |
| CN103795632A (zh) | 一种数据报文传输方法及相关设备、*** | |
| CN103329609A (zh) | 用于使用于音频/视频网络中的内容保护的时延最小化的方法和*** | |
| CN101489294A (zh) | 调整功率的方法、路由器和网络设备 | |
| CN110545265B (zh) | 一种依赖于att和指示进行适配的数据通信***及方法 | |
| CN110545318B (zh) | 一种依赖于gatt和指示进行适配的数据通信方法及*** | |
| CN110493775B (zh) | 通过att和异常处理来适配的通信方法及*** | |
| CN102685777A (zh) | 基于干扰容限的数据并发传输***及方法 | |
| EP3490293B1 (en) | Data receiving method, data sending method, receiving device and system | |
| JP3439320B2 (ja) | データ通信方法、データ通信装置、およびデータ通信プログラム記録媒体 | |
| CN114040368A (zh) | 一种基于ble蓝牙的数据传输方法、***及蓝牙模块 | |
| CN102984814A (zh) | 一种大规模的gprs终端设备联网方法 | |
| CN101473599A (zh) | 用于控制无线端点处的带宽的***和方法 | |
| CN108966319B (zh) | 数据包传输控制方法、移动终端以及装置 | |
| CN101217434A (zh) | 一种接入网关状态检测方法 | |
| CN101132355A (zh) | 网络加速方法、软件及硬件装置 | |
| CN103916937A (zh) | 无线局域网接入点关闭方法和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1146168 Country of ref document: HK |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: GR Ref document number: 1146168 Country of ref document: HK |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130327 Termination date: 20200914 |