專利名稱:降低tcp洪泛攻擊同時節(jié)省無線網(wǎng)絡(luò)帶寬的裝置、方法和計算機(jī)程序產(chǎn)品的制作方法
技術(shù)領(lǐng)域:
且尤其涉及在無線通信網(wǎng)絡(luò)中用于保護(hù)免受傳輸控制協(xié)議(TCP )洪 泛攻擊(flooding attack )和其他類似類型的惡意^f于為傷害的安全程 序����。
背景技術(shù):
在因特網(wǎng)中各種類型的攻擊都是可能的,例如那些眾所周知的 TCP SYN洪泛�、死亡之Ping和陸地攻擊�����。除了易受所有這些攻擊外����, 包括蜂窩網(wǎng)絡(luò)的無線通信網(wǎng)絡(luò)存在使它們易受新攻擊的特點(diǎn)����,或者 甚至更易受到當(dāng)前現(xiàn)有的一個的攻擊。例如����,蜂窩網(wǎng)絡(luò)的空中接口 是稀有的、有限的和昂貴的資源�,用戶需要為這些資源付費(fèi)。結(jié)果����, 新類型的攻擊特別指向破壞空中接口 ���,例如在2002年向GSM聯(lián)盟 報告的超額計費(fèi)類型的攻擊���。簡要地說���,通過洪泛任意受害人操作 的此攻擊使用預(yù)先建立的并且由惡意方保持開放的TCP連接。使用 私有和公有因特網(wǎng)協(xié)議(IP)地址操作的超額計費(fèi)攻擊不要求受害 者建立連接并且繞過(有狀態(tài))防火墻����。無論受害者處于其歸屬網(wǎng) 絡(luò)中還是處于漫游中,超額計費(fèi)攻擊都是等效的��。
未請求進(jìn)入業(yè)務(wù)對于用戶和運(yùn)營商兩者可以導(dǎo)致很多不希望的 影響��。這些影響包括但不限于��,超額計費(fèi)攻擊�、網(wǎng)絡(luò)運(yùn)營商資源的 不必要消耗以及受害者電池壽命的降低。然而����,為了支持推送(Push ) 服務(wù)和其他未來應(yīng)用和場景(例如,主管服務(wù)器的無線終端)���,有 效進(jìn)入分組必須能夠到達(dá)蜂窩用戶的無線終端��。不幸地��,此要求在 無線終端(也稱作移動臺(MS),例如蜂窩電話和其他類型的包括
個人數(shù)字助理(PDA)的無線使能設(shè)備)上為甚至更多攻擊打開了 門路��。
3GPP2標(biāo)準(zhǔn)已經(jīng)認(rèn)識到了此問題����,并且網(wǎng)絡(luò)防火墻控制和配置 (NFCC)努力已經(jīng)測試了最小化未請求業(yè)務(wù)并最小化外部方惡意攻 擊移動臺的機(jī)會的解決方案(見3GPP2網(wǎng)絡(luò)防火墻配置和控制-階 段1要求,2004年12月)���。
迄今為止��,蜂窩網(wǎng)絡(luò)中支持的大部分應(yīng)用是基于客戶端-服務(wù)器 模型(例如�,web瀏覽)�����,其中蜂窩用戶連接到外部網(wǎng)絡(luò)中的服務(wù) 器�����。隨著無線終端啟動連接�,迄今為止,有狀態(tài)檢查分組過濾器的 布設(shè)已經(jīng)為用戶和運(yùn)營商兩者提供了足夠的保護(hù)(見�����,例如����,Check Point NG VPN-1/FireWall-1; Jim Noble等,Syngress出版乂>司��,2003 年)�。
然而,當(dāng)考慮到支持新的應(yīng)用(例如����,推送服務(wù)和點(diǎn)到點(diǎn)(P2P) 應(yīng)用)和場景時(例如,無線終端主管服務(wù)器)��,無線終端將不總 是客戶端�,而是可以發(fā)揮服務(wù)器的功能。結(jié)果��,可能必須由外部網(wǎng) 絡(luò)中的端點(diǎn)朝向蜂窩網(wǎng)絡(luò)中的無線終端啟動連接����,并且進(jìn)入的分組 必須能夠到達(dá)無線終端。
然而����,此類型的操作可能會導(dǎo)致不同類型的攻擊,因為進(jìn)入的 業(yè)務(wù)可能是惡意業(yè)務(wù)。參考圖1A,惡意節(jié)點(diǎn)l可能正在經(jīng)由例如因 特網(wǎng)的外部網(wǎng)絡(luò)2并通過防火墻3向蜂窩網(wǎng)絡(luò)4發(fā)送業(yè)務(wù)�����。從蜂窩 網(wǎng)絡(luò)4起�,惡意業(yè)務(wù)通過空中接口 5傳遞至受害者無線終端6。假設(shè) 無線終端6與蜂窩網(wǎng)絡(luò)用戶相關(guān)聯(lián)���。這可以在蜂窩網(wǎng)絡(luò)4中導(dǎo)致各 種問題�����,例如上文提到的涉及超額計費(fèi)���、受害者電池壽命降低、以 及空中接口帶寬的不必要消耗之類的問題�。
因此,需要一種最小化朝向無線終端6的未請求業(yè)務(wù)的技術(shù)�����, 并且尤其是減少對于無線(例如�����,蜂窩)網(wǎng)絡(luò)用戶的攻擊的發(fā)生或 可能性的技術(shù)。
在3GPP2中����,已經(jīng)提出建議以使用下列方法來減少到無線終端 6的惡意進(jìn)入業(yè)務(wù)的威脅建議每個第一個進(jìn)入分組應(yīng)該通過保護(hù)蜂
窩網(wǎng)絡(luò)4的防火墻3;如果終端6決定接受邀請并且建立連接���,則終 端6進(jìn)行答復(fù)���,并且基于終端的答復(fù),防火墻3創(chuàng)建用于對應(yīng)于此 流的后續(xù)分組的狀態(tài)��;如果終端6決定不接受連接�,則它不答復(fù)。 在缺少來自于終端6的答復(fù)時��,防火墻3攔截對應(yīng)于此流的所有后 續(xù)進(jìn)入分組�。
提出的這個解決方案存在幾個問題,并且沒有實(shí)際減少威脅���, 因為在大部分服務(wù)拒絕(DoS)攻擊中��,源IP地址域是偽造的�����。如 此��,惡意節(jié)點(diǎn)1因而仍舊可以使用無效的進(jìn)入業(yè)務(wù)淹沒蜂窩用戶(惡 意節(jié)點(diǎn)1僅需要發(fā)送很多其源IP地址是隨機(jī)生成的"第一消息�����,�����,)����。
此問題的其他解決方案已經(jīng)提出。例如Feng等人已經(jīng)提出在IP 層處使用基于質(zhì)詢-響應(yīng)的方法����,重用謎題(puzzle)以驗證分組的 源IP i也址的有步文'性(Wu-chang feng, Ed Kaiser, Wu-chi feng�����, Antoine Luu�, " The Design and Implementation of Network Puzzles ,�����,, INFOCOM 2005論文集中,2005年3月)���。然而,采用此方法將需 要^f奮改因特網(wǎng)協(xié)議(v4和v6)��。
P2P應(yīng)用�,HTTP和大部分其他應(yīng)用運(yùn)行在TCP上。已經(jīng)提出 對TCP的若干擴(kuò)展以減少潛在的DoS攻擊����,包括TCP cookie(見SYN cookies, D丄Bernstein, http:〃cr.yp.to/syncookies.html)和TCP緩存的 <吏用(見���,Resisting SYN flood DoS attacks with a SYN cache, J丄emon�, 在USENIX BSDCon 2002論文集中�,San Francisco, 2002年2月)。 然而��,這些方法仍將需要潛在的惡意分組到達(dá)端點(diǎn)��,并且因此在無 線終端6是端點(diǎn)的情況下將不保護(hù)空中接口 5����。
SYN中繼方法(Check Point NG VPN國1/FireWall-1; Jim Noble 等��,Syngress出版7>司����,2003年)可以部分地解決該問題�,因為在 此方法中,防火墻3通過向客戶端發(fā)送SYN/ACK而代表服務(wù)器對所 有SYN分組做出響應(yīng)����。 一旦從客戶端接收到ACK,則防火墻3將連 接傳遞到服務(wù)器�����。使用此方法�,假設(shè)服務(wù)器從不接收無效的連接嘗 試,因為防火墻3不傳遞初始SYN分組直到它已經(jīng)接收到來自客戶 端的相應(yīng)ACK���。盡管此技術(shù)可以為服務(wù)器(此情況中是終端6)提
供保護(hù)(其將包括對空中接口 5的保護(hù))�,但防火墻3需要在服務(wù) 器和客戶端之間發(fā)揮中繼的功能���。這在防火墻3處施加重大的開銷����, 并且最重要的是,它打破了連接的端到端屬性����,因為來自于客戶端l 的TCP連接在防火墻3處首先停止了,然后�,其重新創(chuàng)建另一個到 服務(wù)器的TCP連接。此方法的一個結(jié)果是在終端6處和防火墻3處 的TCP序列號將不同���,導(dǎo)致不能使用IPsec。如果TCP連接需要通 過包括傳輸層安全(TLS)的其他方法保證安全���,則此方法也將產(chǎn)生 困難����。因此��,希望提供解決這些安全問題的技術(shù)��。 發(fā)明內(nèi)容根據(jù)這些教導(dǎo)的非限制和示例性實(shí)施例���,克服了前述和其他問 題����,并且實(shí)現(xiàn)到了其他有益效果。尤其是�����,本發(fā)明的示例性實(shí)施例 提供支持在服務(wù)器節(jié)點(diǎn)和客戶端節(jié)點(diǎn)之間形成安全連接的技術(shù)��,就 像由插入兩個節(jié)點(diǎn)之間的防火墻所監(jiān)視并且初始支持的那樣�。在本發(fā)明的示例性實(shí)施例中,提供了 一種用于操作防火墻的方 法��、 一種防火墻�、 一種用于操作防火墻的計算機(jī)程序產(chǎn)品和一種用 于操作防火墻的無線網(wǎng)絡(luò)。防火墻的操作包括響應(yīng)于接收到從第 二節(jié)點(diǎn)向第一節(jié)點(diǎn)發(fā)送的包括序列值("seq")的TCPSYN請求 分組��,向第二節(jié)點(diǎn)發(fā)送SYNiACK分組���,所述SYNiACK分組包括seq 和ack—sequence值("ack—seq�����,��,)���,其中SYN|ACK分組的ack—seq 不等于TCP SYN請求分組的s叫+l;以及�,響應(yīng)于從第二節(jié)點(diǎn)接收 到TCP RST分組���,檢驗TCP RST分組中的s叫是否與SYN|ACK分 組的ack—s叫匹配�;如果匹配���,則指定與第二節(jié)點(diǎn)的連接作為授權(quán)的 連接�。在本發(fā)明的額外的示例性實(shí)施例中��,提供了 一種用于操作防火 墻的方法�����、 一種防火墻��、 一種用于操作防火墻的計算機(jī)程序產(chǎn)品和 一種用于操作防火墻的無線網(wǎng)絡(luò)�。防火墻的操作包括響應(yīng)于接收 到從第二節(jié)點(diǎn)向第一節(jié)點(diǎn)發(fā)送的包括序列值("seq���,����,)的TCPSYN
請求分組,向第二節(jié)點(diǎn)發(fā)送SYNIACK分組����,所述SYNIACK分組包 括seq和ack—sequence值("ack一seq,�,), 其中ack一seq由利用防火 墻已知的秘密值的函數(shù)、IP地址的串接和HASH (哈希)函數(shù)來確 定����。在本發(fā)明的另 一個示例性實(shí)施例中,提供了 一種用于操作防火 墻的方法���、 一種防火墻����、 一種用于操作防火墻的計算機(jī)程序產(chǎn)品和 一種用于操作防火墻的無線網(wǎng)絡(luò)���。防火墻的操作包括響應(yīng)于接收 到從第二節(jié)點(diǎn)向第一節(jié)點(diǎn)發(fā)送的包括序列值("s叫")的TCPSYN請求分組���,向第二節(jié)點(diǎn)發(fā)送SYNIACK分組,所述SYNIACK分組包 括seq和ack—sequence值("ack—seq")�, 其中ack—seq由 ack—seq=make32 ( HASH ( LK|IP|TCP ))確定,其中LK是防火墻已 知的秘密,IP指在SYN分組中發(fā)現(xiàn)的源IP地址和目的地IP地址串 接的結(jié)果����,TCP指TCP端口號串接的結(jié)果,并且函數(shù)make32采用 由HASH函數(shù)產(chǎn)生的字符串并且生成32-比特數(shù)�;以及,響應(yīng)于從第 二節(jié)點(diǎn)接收到TCP RST分組���,檢驗TCP RST分組中的s叫是否與 SYN!ACK分組的ack—seq匹配���;并且如果匹配,則指定與第二節(jié)點(diǎn) 的連接作為授權(quán)的連接�。在本發(fā)明的其他示例性實(shí)施例中,提供了 一種用于操作防火墻 的方法����、 一種防火墻、 一種用于操作防火墻的計算機(jī)程序產(chǎn)品和一 種用于操作防火墻的無線網(wǎng)絡(luò)��。防火墻的操作包括響應(yīng)于接收到 從第二節(jié)點(diǎn)向第一節(jié)點(diǎn)發(fā)送的包括序列值("seq")的TCPSYN請求分組��,向第二節(jié)點(diǎn)發(fā)送SYNIACK分組�,所述SYNIACK分組包 括s叫和ack_squence值("ack—s叫���,��,)��,其中SYNIACK分組的 ack—s叫不等于TCP SYN請求分組的s叫+l;響應(yīng)于接收到TCP SYN 請求分組���,向第二節(jié)點(diǎn)發(fā)送額外的TCP分組�,其中額外的TCP分組 不具有SYN或ACK標(biāo)記���,但包括等于TCP SYN請求分組的s叫的 序列值("s叫")�����;響應(yīng)于從第二節(jié)點(diǎn)接收到TCPRST分組�,檢驗 TCP RST分組中的seq是否與SYN|ACK分組的ack—seq匹配��,并且 如果匹配��,則指定與第二節(jié)點(diǎn)的連接作為授權(quán)的連接�����;在指定與第
二節(jié)點(diǎn)的連接作為授權(quán)的連接之后�,使用額外接收的TCPRST分組 的s叫來構(gòu)造類似于初始TCP SYN請求分組的SYN分組��;并且向第 一節(jié)點(diǎn)發(fā)送構(gòu)造的SYN分組以進(jìn)一步是支持安全連接�����。在本發(fā)明的另 一 個示例性實(shí)施例中���,提供了一種支持在無線節(jié) ,泉和數(shù)據(jù)通信網(wǎng)絡(luò)間傳輸分組數(shù)據(jù)的無線網(wǎng)絡(luò)。該無線網(wǎng)絡(luò)包括無 線網(wǎng)絡(luò)安全組件���。所述無線網(wǎng)絡(luò)安全組件包括響應(yīng)于接收到從數(shù) 據(jù)通信網(wǎng)絡(luò)向無線節(jié)點(diǎn)發(fā)送的包括序列值("seq")的TCPSYN 請求分組��,用于向第二節(jié)點(diǎn)發(fā)送SYNIACK分組的裝置���,所述 SYN|ACK分組包括s叫和ack—s叫uence值("ack_seq"),其中 SYN|ACK分組的ack—s叫不等于TCP SYN請求分組的s叫+l;以及 響應(yīng)于從數(shù)據(jù)通信網(wǎng)絡(luò)接收到TCP RST分組,用于檢驗TCP RST分 組中的seq是否與SYN|ACK分組的ack_sq匹配�����,并且如果匹配�, 則指定與數(shù)據(jù)通信網(wǎng)絡(luò)的連接作為授權(quán)的連接的裝置。在本發(fā)明的其他示例性實(shí)施例中�����,提供了 一種支持在無線節(jié)點(diǎn) 和數(shù)據(jù)通信網(wǎng)絡(luò)之間傳輸分組數(shù)據(jù)的無線網(wǎng)絡(luò)��。該無線網(wǎng)絡(luò)包括無 線網(wǎng)絡(luò)安全組件����。所述無線網(wǎng)絡(luò)安全組件包括響應(yīng)于接收到從無 線節(jié)點(diǎn)向數(shù)據(jù)通信網(wǎng)絡(luò)發(fā)送的包括序列值("seq")的TCP SYN 請求分組,用于向第二節(jié)點(diǎn)發(fā)送SYNIACK分組的裝置���,所述 SYN|ACK分組包括seq和ack—sequence值("ack—s叫")��,其中 SYN|ACK分組的ack—s叫不等于TCP SYN請求分組的seq+1;以及�, 響應(yīng)于從無線節(jié)點(diǎn)接收到TCP RST分組��,用于檢驗TCP RST分組中 的s叫與SYNIACK分組的ack—s叫匹配����,并且如果匹配,則指定與 無線節(jié)點(diǎn)的連接作為授權(quán)的連接的裝置����。在本發(fā)明的另 一個示例性實(shí)施例中,提供了 一種用于操作防火 墻的方法���、 一種防火墻和一種用于操作防火墻的計算機(jī)程序產(chǎn)品����。 防火墻的操作包括確定符合觸發(fā)條件;并且作為響應(yīng)���,從有狀態(tài) 模式切換到無狀態(tài)模式���。在本發(fā)明的其他示例性實(shí)施例中,提供了 一種用于操作防火墻 的方法��、 一種防火墻和一種用于操作防火墻的計算機(jī)程序產(chǎn)品����。防
火墻的操作包括確定符合觸發(fā)條件,并且當(dāng)符合觸發(fā)條件時從有 狀態(tài)模式切換到無狀態(tài)模式����,其中觸發(fā)條件包括由等于閥值的連接 嘗試引起的存儲器消耗。在本發(fā)明的其他示例性實(shí)施例中���,提供了 一種用于操作防火墻 的方法�����、 一種防火墻和一種用于操作防火墻的計算機(jī)程序產(chǎn)品�。防 火墻的操作包括當(dāng)符合觸發(fā)條件時從有狀態(tài)模式切換到無狀態(tài)模 式,其中有狀態(tài)模式包括響應(yīng)于接收到從第二節(jié)點(diǎn)向第一節(jié)點(diǎn)發(fā) 送的包括序列值("s叫")的TCP SYN請求分組����,向第二節(jié)點(diǎn)發(fā) 送SYN|ACK分組����,所述SYN|ACK分組包括seq和ack—s叫uence值 ("ack—s叫"),其中SYN|ACK分組的ack—seq不等于TCP SYN 請求分組的s叫+l;并且響應(yīng)于從第二節(jié)點(diǎn)^接收到TCPRST分組���, 檢驗TCP RST分組中的s叫是否與SYN|ACK分組的ack—s叫匹配���, 并且如果匹配,則指定與第二節(jié)點(diǎn)的連接作為授權(quán)的連接�。在本發(fā)明的另 一個示例性實(shí)施例中,提供了 一種用于操作防火 墻的方法�、 一種防火墻和一種用于操作防火墻的計算機(jī)程序產(chǎn)品。 防火墻的操作包括當(dāng)符合觸發(fā)條件時從有狀態(tài)模式切換S U無狀態(tài) 模式�,其中無狀態(tài)模式包括響應(yīng)于接收到從第二節(jié)點(diǎn)向第一節(jié)點(diǎn) 發(fā)送的包括序列值("seq")的TCP SYN請求分組,向第二節(jié)點(diǎn) 發(fā)送SYN|ACK分組���,所述SYN|ACK分組包括s叫和ack—sequence 值("ack—s叫�����,�,),其中SYNIACK分組的ack_seq不等于TCP SYN 請求分組的s叫+l;響應(yīng)于接收到TCP SYN請求分組�����,向第二節(jié)點(diǎn) 發(fā)送額外的TCP分組����,其中額外的TCP分組不具有SYN或ACK標(biāo) 記,但包括等于TCP SYN請求分組的s叫的序列值("s叫")���;響 應(yīng)于從第二節(jié)點(diǎn)接收到TCP RST分組��,檢驗TCP RST分組中的s叫 是否與SYNiACK分組的ack—seq匹配�����,并且如果匹配�����,則指定與第 二節(jié)點(diǎn)的連接作為授權(quán)的連接�����;在指定與第二節(jié)點(diǎn)的連接作為授權(quán) 的連接之后���,使用額外接收的TCP RST分組的s叫來構(gòu)造類似于初 始TCP SYN請求分組的SYN分組��;并且向第一節(jié)點(diǎn)發(fā)送構(gòu)造的SYN 分組以進(jìn)一步支持安全連接�。
當(dāng)結(jié)合附圖一起閱讀時�����,在下列詳細(xì)的描述中�����,本發(fā)明實(shí)施例的前述和其他方面將變得更加清楚明了�,其中圖1A描述了經(jīng)由外部網(wǎng)絡(luò)���、防火墻���、蜂窩網(wǎng)絡(luò)和蜂窩網(wǎng)絡(luò)的空 中接口向無線終端發(fā)送惡意業(yè)務(wù)的惡意節(jié)點(diǎn),并且說明了由本發(fā)明 的示例性實(shí)施例解決的問題���;圖1B示出了傳統(tǒng)的TCP報頭格式��;圖2是示出了 TCP連接建立的消息序列圖�;圖3是說明了 SYN cookie為何不能與服務(wù)器防火墻一起使用的 消息序列圖;圖4是說明了本發(fā)明從客戶端請求RST的有狀態(tài)實(shí)施例的消息 序列圖����;圖5是說明了本發(fā)明從客戶端請求RST的無狀態(tài)實(shí)施例的消息 序列圖;圖6是根據(jù)本發(fā)明的示例性實(shí)施例的邏輯流程圖�����;以及 圖7說明了 CDMA網(wǎng)絡(luò)����,其是一個在其中實(shí)現(xiàn)了本發(fā)明的教導(dǎo) 的適合的環(huán)境。
具體實(shí)施方式
下面將變得明顯�����,本發(fā)明的實(shí)施例解決上面討論的問題�����,并且 定義方法�����、裝置和計算機(jī)程序產(chǎn)品以減少惡意的進(jìn)入業(yè)務(wù),并且丟 棄網(wǎng)絡(luò)上進(jìn)入的惡意業(yè)務(wù)�����,從而在保護(hù)網(wǎng)絡(luò)運(yùn)營商和網(wǎng)絡(luò)的訂戶或 用戶的同時����,節(jié)省了寶貴的空中接口。當(dāng)本發(fā)明的實(shí)施例尤其涉及 3GPP2標(biāo)準(zhǔn)時�,這些實(shí)施例沒有限制于cdma2000網(wǎng)絡(luò)��,而是可通常 地應(yīng)用于其他類型的網(wǎng)絡(luò)��。本發(fā)明的實(shí)施例提供方法����、裝置和計算機(jī)程序產(chǎn)品以減少到達(dá) 無線終端的攻擊的發(fā)生,并且尤其集中于TCP�����。本發(fā)明的實(shí)施例有 益地減少了 DoS攻擊的發(fā)生��,例如使用帶有偽造源IP地址的TCPSYN的那些攻擊的發(fā)生。術(shù)語"防火墻"在這里認(rèn)為是意圖加強(qiáng)安全策略的硬件或者軟 件實(shí)體����。通常,并且如非限制例子��,防火墻部署在可信任的��、受保 護(hù)的私有網(wǎng)絡(luò)和不可信任的公共網(wǎng)絡(luò)之間以保護(hù)私有網(wǎng)絡(luò)免受未授 權(quán)的接入���、惡意損害和攻擊的傷害���。圖IB示出了傳統(tǒng)的TCP報頭格式(見RFC793, Transmission Control Protocol, DARPA Internet Program, Protocol Specification, 1981年9月)��。在傳統(tǒng)有線線路情況下�����,TCP服務(wù)器使用SYN Cookie機(jī)制以保 護(hù)免受CPU和存儲器耗盡攻擊��。如圖2中所示�,使用SYN、SYN|ACK 和ACK分組(即�����,對于圖IB中描述的TCP分組報頭格式,相應(yīng)地 設(shè)置SYN���、 SYN|ACK和ACK比特)的交換而在服務(wù)器和客戶端之 間發(fā)生TCP連接�����。在SYN分組中�����,TCP客戶端選擇隨機(jī)序列號X���, 并且期望服務(wù)器通過將X加一而確認(rèn)它����。當(dāng)服務(wù)器接收帶有序列號 X的SYN分組時,它將其加一����,并且將結(jié)果力文入TCP分組的ack_seq 域。而且����,TCP服務(wù)器選擇它自己的序列號Y,并且將作為結(jié)果的 SYNIACK分組發(fā)送到客戶端�����。在接收SYNIACK時�,客戶端首先檢 -瞼該分組的ack—seq域是否是X+l��。如果是�,則那個客戶端通過發(fā)送 ACK分組的ack—seq號中的Y+l確認(rèn)SYN|ACK分組。如果由客戶 端接收的ack—seq不是X+l,那么客戶端將RST消息發(fā)回到服務(wù)器���。 在TCP報頭中設(shè)置的RST (重置)比特指示的是�����,接收方應(yīng)該刪除 連接而不進(jìn)行進(jìn)一步的交互�����。在傳統(tǒng)有線線路情況下���,為了保護(hù)免受CPU和存儲器耗盡攻擊, 在接收SYN分組時��,TCP發(fā)送方不分配所有要求的存儲器空間。由 于服務(wù)器不知道SYN分組是從有效的節(jié)點(diǎn)到達(dá)還是從惡意節(jié)點(diǎn)到 達(dá)��,所以在分配存儲器之前�����,它等待直到接收到它的SYN|ACK的 ACK���。由于SYN|ACK的ACK僅可以由有效的客戶端(或在到有效 客戶端路徑上的節(jié)點(diǎn))生成��,所以它保證盲SYN洪泛攻擊將不能影 響TCP服務(wù)器���。
盡管SYN Cookie很好地工作免受CPU和存儲器耗盡攻擊,但 是他們不能保護(hù)免受電池能量���、超額計費(fèi)或者帶寬耗盡攻擊�。為了 保護(hù)免受這些攻擊��,必須在攻擊分組在空中接口上發(fā)送之前保護(hù)擔(dān) 當(dāng)服務(wù)器的移動終端����。達(dá)到此目的的一個方式是使用服務(wù)器防火墻�����。對于網(wǎng)絡(luò)中保護(hù)TCP服務(wù)器的防火墻(即,圖1A的終端6), 它驗證發(fā)送SYN請求的客戶端是否確實(shí)存在��。然而�����,與其中服務(wù)器 發(fā)送SYN Cookie的有線線路情況不同的是��,由于防火墻不知道服務(wù) 器將使用什么序列號Y,所以防火墻不能發(fā)送SYN Cookie�。例如, 在圖3中�,可以假設(shè)防火墻代表TCP服務(wù)器選擇序列號89。當(dāng)客戶 端確認(rèn)此序列號時�����,防火墻將允許此分組通過����。然而,服務(wù)器不知 道防火墻代表其自己分配了序列號89���。盡管設(shè)計服務(wù)器防火墻和服 務(wù)器本身之間的協(xié)議可以解決此問題����,但是這樣的方法需要改變 TCP棧以及將要在服務(wù)器和防火墻之間定義的新協(xié)議,而這兩者都 是不希望的����。因此,本發(fā)明目前優(yōu)選的實(shí)施例使用避免這些問題和 其他問題的不同方法�����。為了解決前述問題��,勝于確認(rèn)帶有正確序列號X+1的SYN分組�����, 替代的是���,防火墻確認(rèn)帶有無效序列號的SYN請求��。參看圖4,當(dāng) 根據(jù)本發(fā)明的示例性實(shí)施例操作的防火墻40發(fā)送無效SYN|ACK時��, TCP客戶端節(jié)點(diǎn)1使用重置消息RST代替確認(rèn)消息ACK來響應(yīng)���。 由于只有有效的客戶端l可以在RST消息中生成此帶有正確序列號 的RST消息,所以帶有正確序列號的RST消息的存在保證該客戶端 l是真實(shí)的(有效的)�。因為TCP服務(wù)器(例如,MS 10�,見圖7) 不需要知道關(guān)于RST消息和不正確的序列號,所以一旦防火墻40 已經(jīng)檢驗了客戶端1是有效的�����,則連接可以正常繼續(xù)進(jìn)行���。注意��, 如果存在�,則這些交換可以通過客戶端防火墻l'透明地發(fā)生�。例如,在圖4中���,在接收SYN分組時����,防火墻40發(fā)送SYNIACK, 但是代替將序列號遞增1并且發(fā)送帶有ack=10+l=ll的有效 SYN|ACK,它發(fā)送不正確的ACK序列號��。由于客戶端正期望著例如 ll的ACK序列號,但是接收到例如8的ACK序列號�,它〗吏用其序列號是8的RST消息進(jìn)行響應(yīng)。當(dāng)防火墻40接收到RST消息時���, 它檢驗RST消息中的序列號是否實(shí)際是8����。如果是�����,那么防火墻重 新創(chuàng)建SYN以進(jìn)行到服務(wù)器10�。從那點(diǎn)起,連接可以正常繼續(xù)進(jìn)行�。此方法的一個方面是防火墻40維持用于每個SYN請求的最少 40字節(jié)狀態(tài)。然而��,在大量SYN洪泛攻擊的情況下���,攻擊者在嘗試 使防火墻40處存儲器耗盡時可以以防火墻40自身為目標(biāo)�。圖5描述了本發(fā)明的無狀態(tài)實(shí)施例�,這與圖4的有狀態(tài)實(shí)施例 相反。在無狀態(tài)實(shí)施例中��,防火墻40不需要維持任何狀態(tài)直到客戶 端使用有效的RST消息響應(yīng)為止。為了實(shí)現(xiàn)此目的�����,防火墻40維持 除了防火墻40以外不為任何人所知的長期秘�����、密����。例如���,參看如LK 的秘密���。當(dāng)防火墻40接收了 SYN請求,它發(fā)送兩個分組��。首先是�, SYN|ACK,其中分組的ack—s叫uence號計算如下ack—seq=make32 ( HASH ( LK|IP|TCP ) ) , ( 1 )其中IP指在SYN分組中發(fā)現(xiàn)的源IP地址和目的地IP地址串接 的結(jié)果,并且TCP指TCP端口號串接的32比特結(jié)果��。Make32是產(chǎn) 生用于由HASH函數(shù)生成的字符串的32-比特數(shù)的通用函數(shù)����。在最簡 單的情況下���,make32可以輸出HASH函數(shù)的前32個比特,但是在 其他情況下���,更優(yōu)選的�,make32的輸出可以從32-比特偽隨才幾數(shù)發(fā) 生器獲得���,它的種子是HASH函數(shù)的結(jié)果����。通常��,防火墻40可以使 用make32函數(shù)許多可能實(shí)現(xiàn)的任意一種��。一旦防火墻40已經(jīng)生成ack—seq號���,它將SYN|ACK分組發(fā)送 到客戶端1以確?��?蛻舳耸怯行У牟⑶掖_實(shí)存在。當(dāng)客戶端1接收 了此SYNIACK,根據(jù)RFC793,它使用其序列號與等式(1 )中生成 的ack一seq號相同的序列號的RST分組進(jìn)行響應(yīng)��。當(dāng)來自于客戶端 的此RST分組由防火墻接收到時,對RST分組中的序列號是否匹配 做出確認(rèn)�����。如果匹配���,那么指定連接為授權(quán)的�����。與圖4中防火墻40 構(gòu)造SYN并且將它發(fā)送到服務(wù)器10的有狀態(tài)實(shí)施例不同的是,防 火墻40不了解連接的序列號(如沒有狀態(tài)被保存)�����。為了獲得正確 的序列號��,防火墻40發(fā)送另 一個TCP分組(沒有SYN標(biāo)記或者ACK 標(biāo)記����,即,純數(shù)據(jù)分組)���,該TCP分組的序列號與進(jìn)入的SYN分組 的序列號相同���。如RFC793中定義的�,當(dāng)連接沒有建立時�����,正在接 收純數(shù)據(jù)分組的TCP客戶端發(fā)送RST分組�,該RST分組的序列號 與進(jìn)入分組的序列號相同(如果分組中數(shù)據(jù)量是零)。因此�,由防 火墻40進(jìn)行的純數(shù)據(jù)分組發(fā)送達(dá)到了回響(echo-back)效果。在授 權(quán)之后��,防火墻40使用來自于回響RST消息的序列號構(gòu)造SYN分 組并且將它發(fā)送到服務(wù)器����。應(yīng)該指出的是,如果RST消息在網(wǎng)絡(luò)中丟失���,則TCP客戶端將 重傳初始SYN�。如果防火墻40已經(jīng)認(rèn)證連4妾(即����,源地址和IP地 址),則它可以允許重傳的SYN分組通過���。優(yōu)選的��,當(dāng)用于未認(rèn)證的TCP連接的存儲器消耗上升到某些固 定的或可變的閾值上時��,防火墻40使用圖5的無狀態(tài)方法或模式�����。 注意可以設(shè)置門限�����,以便如果存儲器耗盡攻擊在進(jìn)行中并且用來保 存SYN請求狀態(tài)的存儲量達(dá)到某預(yù)定的量���,則防火墻40可以通過 從使用圖4的有狀態(tài)實(shí)施例切換到圖5的無狀態(tài)實(shí)施例來適應(yīng)。應(yīng)該指出����,服務(wù)器(例如,無線終端)不需要了解防火墻40已 經(jīng)保護(hù)它免受可能的DoS攻擊?���,F(xiàn)在進(jìn)一步詳細(xì)地描述用于實(shí)現(xiàn)本發(fā)明前述實(shí)施例的目前優(yōu)選 的過程。還參考圖6的邏輯流程圖�。A. 當(dāng)防火墻40接收到SYN消息時���,它從SYN分組中抽取序 列域,并且將它存4諸在局部變量中client—s叫二s叫�����。防火墻40也優(yōu) 選地存儲接收的SYN TCP分組用于將來的使用��。B. 防火墻40生成n-比特(例如�,16-比特)隨機(jī)數(shù)R,并且使 用由正確的IP地址和端口號構(gòu)造TCP SYN|ACK分組。防火墻40設(shè) 置該分組中的ack_seq域為ack—seq=seq-R���。除了在步驟A中存儲的 TCP分組之外���,防火墻40還存儲ack一s叫的值以便它可以隨后檢驗 進(jìn)入的RST分組。在無狀態(tài)模式中(圖5) , TCP防火墻40優(yōu)選地不保存任何狀 態(tài)(例如����,序列號和SYN TCP分組),^旦是代替的是發(fā)送一個TCP 數(shù)據(jù)分組��。SYN|ACK分組的ack—sequence 號優(yōu)選地如上描述生成���,但數(shù)據(jù)分組的序列號優(yōu)選地與進(jìn)入SYN分 組的序列號相同���。C.如果防火墻40沒有接收到RST分組��,或者如果它接收的 RST分組的序列值不等于步驟B中的ack一seq,則它從防火墻40中 移除TCP狀態(tài)����。注意如由J.Postel��, "Transmission Control Protocol Functional Specification" ����, RFC793. URL: http:〃www.ietf.org/rfc/ rfc0793 .txt, 36頁指出的����,帶有用于TCP連接的狀態(tài)的有效TCP客戶 端將通過發(fā)送其s叫號與SYN|ACK分組的ack—s叫號相同的RST進(jìn) 4亍響應(yīng)。然而����,當(dāng)防火墻40隨才幾生成ack—s叫號時��,-丈擊者不能預(yù) 測RST分組中的正確s叫號��。還要注意TCP客戶端由于SYN|ACK 中不正確的序列號而不關(guān)閉其連接(為獲取此過程的詳細(xì)描述,參 見RFC793 )�。如果聲明RST分組有效,則防火墻40標(biāo)記那個TCP連接為授 權(quán)的���,并且向服務(wù)器發(fā)送SYN分組�����。其后���,TCP連接可以以傳統(tǒng)的 方式繼續(xù)進(jìn)行。在無狀態(tài)方法或才莫式中�����,防火墻40優(yōu)選地基于在RST分組中 接收的序列號向連接授權(quán)(即���,如果防火墻40接收了 RST分組序列 號�,該序列號等于根據(jù)上面等式1計算的一個)����。直到連接被認(rèn)證, 防火墻40優(yōu)選地不轉(zhuǎn)發(fā)任何TCP分組到服務(wù)器(無線終端10)�����。 一旦連接被認(rèn)證,并且如果連接接收了 RST消息��,則防火墻40優(yōu)選 地使用RST消息中的序列號構(gòu)造TCP SYN分組����,并且將TCP SYN 分組發(fā)送到TCP服務(wù)器。如果認(rèn)證的連接沒有接收RST消息�����,但是 替代地接收了 SYN分組(例如��,如果客戶端超時并且對其進(jìn)行重傳)����, 則優(yōu)選地讓SYN分組通過防火墻40。通常�,應(yīng)該指出的是,無狀態(tài)情況(圖5)使用客戶端和服務(wù)器 端點(diǎn)間延遲的連接建立來折衷防火墻40中的存儲器消耗����。本發(fā)明的實(shí)施例可以如上描述地在防火墻40中實(shí)現(xiàn)����,或者在另 一個網(wǎng)絡(luò)實(shí)體中實(shí)現(xiàn)(例如�����,參考圖7如下描述的����,在分組數(shù)據(jù)服
務(wù)節(jié)點(diǎn)28中)���。出于本發(fā)明的目的����,可以認(rèn)為防火墻40是插入在 無線終端服務(wù)器10和客戶端節(jié)點(diǎn)1之間的任何網(wǎng)絡(luò)節(jié)點(diǎn)����,并且還可 以假設(shè)包括至少 一個數(shù)據(jù)處理器,該數(shù)據(jù)處理器在計算機(jī)程序的控 制下操作�����,該計算機(jī)程序存儲在例如磁盤�、帶和/或半導(dǎo)體存儲器的 計算機(jī)可讀介質(zhì)上或內(nèi),以便實(shí)現(xiàn)本發(fā)明的有狀態(tài)(圖4)或無狀態(tài) (圖5)實(shí)施例的一個或者兩者和其變形�����。在這點(diǎn)上更進(jìn)一步,可以參考圖7��,圖7示出的是適用于實(shí)踐本 發(fā)明教導(dǎo)的無線通信系統(tǒng)�����,具體而言是CDMA 2000 1X的簡化框圖����。 提供圖7的描述是為了將本發(fā)明的實(shí)施例置入合適的技術(shù)上下文中。 然而����,應(yīng)該理解圖7中示出的特定網(wǎng)絡(luò)架構(gòu)和拓樸不是以本發(fā)明實(shí) 施例上的限制性意義來構(gòu)造,因為可以在具有不同于圖7所示的架 構(gòu)和拓樸的網(wǎng)絡(luò)中實(shí)踐本發(fā)明的實(shí)施方式����。而且,本發(fā)明的一l殳概 念也可在基于TDMA的以及其他移動TCP/IP網(wǎng)絡(luò)中實(shí)現(xiàn)�,因此, 不限于僅在CDMA網(wǎng)絡(luò)中使用�����。GSM和寬帶CDMA兩種(WCDMA ) 網(wǎng)絡(luò)可以從使用本發(fā)明的實(shí)施例中獲益。通常�,本發(fā)明的實(shí)施例在無線技術(shù)中發(fā)現(xiàn)效用����,其中在圖7中 稱作MS 10的無線終端6,至少部分地起服務(wù)器的作用�����,用于至少 一個起客戶端l作用的節(jié)點(diǎn)��。同樣��,當(dāng)閱讀后續(xù)描述時�����,應(yīng)該注意 雖然該描述的某些方面專用于CDMA網(wǎng)絡(luò)���,但在實(shí)現(xiàn)�����、使用和/或?qū)?踐本發(fā)明的時候�,圖7的描述并不能以限制性意義來閱讀。在圖7中示出的無線通信系統(tǒng)包括至少一個MS 10����。 MS IO可 以是或者可以包括蜂窩電話,或者任何類型的具有無線通信能力的 移動終端(MT)或者移動節(jié)點(diǎn)(MN),包括但不限于便攜式計算 機(jī)��、個人數(shù)字助理(PDA)�、因特網(wǎng)裝置、游戲設(shè)備��、成像設(shè)備和 具有這些和/或其他功能組合的設(shè)備���。假設(shè)MS 10與網(wǎng)絡(luò)12使用的 物理的和更高層信號格式和協(xié)議相兼容���,并且能夠經(jīng)由包括空中接 口的無線鏈路11與網(wǎng)絡(luò)12耦合。在目前優(yōu)選的本發(fā)明的實(shí)施例中����, 無線鏈路11是射頻(RF)鏈路,盡管在其他實(shí)施例中����,無線鏈路 11可以是光鏈^^。括通過IS-41映射接口連接到拜訪者位 置寄存器(VLR) 16的移動交換中心(MSC) 14����。 VLR 16進(jìn)而通過 IS-41映射接口連接到7號交換系統(tǒng)(SS-7)網(wǎng)絡(luò)18并且從此連接 到與MS 10的歸屬接入提供商網(wǎng)絡(luò)相關(guān)聯(lián)的歸屬位置寄存器(HLR) 20�。 MSC 14也通過Al接口 (用于電路交換(CS)和分組交換(PS) 業(yè)務(wù))并通過A5/A2接口 (僅CS服務(wù))連接到第一無線網(wǎng)絡(luò)(RN) 22A��。第一RN22A包括基站(BS ) 24A,該基站(BS ) 24A包括基 站收發(fā)機(jī)站(BTS)和通過A8/A9接口連接到分組控制功能(PCF) 26A的基站中心(BSC ) ����。 PCF 26A經(jīng)由R-P ( PDSN/PCF ) 4妄口 27 (也稱作A10/A11接口 )連接到第一分組數(shù)據(jù)服務(wù)節(jié)點(diǎn)(PDSN)28A 并由此連4妻到IP網(wǎng)絡(luò)30 (經(jīng)由Pi 4妻口 )����。也示出PDSN 28A經(jīng)由 Pi和遠(yuǎn)程認(rèn)證撥入服務(wù)(RADIUS )接口連接到拜訪的接入、授權(quán)和 計費(fèi)(AAA)節(jié)點(diǎn)32,其進(jìn)而經(jīng)由RADIUS接口連接到IP網(wǎng)絡(luò)30���。 還示出經(jīng)由RADIUS接口連接到IP網(wǎng)絡(luò)30的是歸屬IP網(wǎng)絡(luò)AAA 節(jié)點(diǎn)34和代理(Broker) IP網(wǎng)絡(luò)AAA節(jié)點(diǎn)36���。歸屬IP網(wǎng)絡(luò)/歸屬 接入提供商網(wǎng)絡(luò)/私有網(wǎng)絡(luò)歸屬代理38經(jīng)由移動IPv4接口連接到IP 網(wǎng)絡(luò)。根據(jù)RFC3220�����,歸屬代理38是移動節(jié)點(diǎn)(在此描述中的MS 10 ) 歸屬網(wǎng)絡(luò)上的路由器���,當(dāng)該移動接點(diǎn)遠(yuǎn)離歸屬地時���,其隧穿數(shù)據(jù)報 以傳遞到移動節(jié)點(diǎn)�,并且其維持用于移動節(jié)點(diǎn)的當(dāng)前位置信息�。(見 RFC3220, C.Perkins(Ed.), "IP Mobility Support for IPv4",網(wǎng)絡(luò)工作 組����,2002年1月)在圖7中還示出經(jīng)由A3/A7接口連接到第一RN22A的第二RN 22B。第二脂22A包括BS 24B和PCF 26B并且連接到第二 PDSN 28B�。 PDSN 28A和PDSN 28B通過P-P接口 29 ( PDSN到PDSN接 口,在IS835C中定義)連接在一起�����。如上提到的����,根據(jù)本發(fā)明(圖4和/或5 )的防火墻40的功能性 可以合并到PDSN 28,或者合并到另 一個位于例如PCF 26的無線鏈 路(空中接口 ) 11 (其中存在感興趣的TCP分組)之前的網(wǎng)絡(luò)節(jié)點(diǎn) 中��。在其他類型的無線系統(tǒng)中�����,可以使用處理等同功能節(jié)點(diǎn)的分組。 盡管存在于無線系統(tǒng)的上下文中����,但如圖7中,本發(fā)明的示例 性實(shí)施例也可以在有線系統(tǒng)中實(shí)現(xiàn)�����。本領(lǐng)域技術(shù)人員應(yīng)該理解�,圖7中示出的一個或多個設(shè)備將包括一個或多個數(shù)據(jù)處理器和一個或多個存儲器。本發(fā)明的示例性實(shí) 施例可以使用 一個或多個合適程序的處理器來實(shí)現(xiàn)�����。防火墻功能可以位于網(wǎng)絡(luò)系統(tǒng)中的任何地方����。作為非限制性例子�����,防火墻功能可以位于MS IO節(jié)點(diǎn)中����。例如,防火墻功能可以插 入到TCP/IP層和以服務(wù)器的方式執(zhí)行功能的應(yīng)用層之間。括但不必限于下列內(nèi)容(a)本發(fā)明實(shí)施例的使用保持了 TCP的端到端性質(zhì)���;(b )本發(fā)明實(shí)施例的使用不需要TCP服務(wù)器和防火墻40之間 的任何合作�,并且可以在不了解TCP服務(wù)器的情況下透明地操作��;(c)本發(fā)明實(shí)施例的使用不需要對現(xiàn)有協(xié)議(例如TCP��, IP) 估文出任^K奮改���;并且(d )本發(fā)明實(shí)施例的使用不需要對客戶端或服務(wù)器做出任何修改�。應(yīng)該進(jìn)一步指出的是本發(fā)明實(shí)施例的使用將連接建立延遲了 一 個往返行程��,即���,檢驗客戶端所花費(fèi)的消息收發(fā)往返行程可以生成 正確的RST消息����。應(yīng)該指出在客戶端防火墻40攔截帶有錯誤序列號的進(jìn)入 SYN|ACK的情況下�,優(yōu)選地使用防火墻管理接口以允許不正確的序 列號通過。而且�,如果不希望錯誤的序列號通過防火墻40,則客戶 端防火墻40可以代表客戶端利用RST消息進(jìn)行響應(yīng)��。前面描述已經(jīng)通過示例性和非限制性例子的方式提供了目前由 發(fā)明人為了執(zhí)行該發(fā)明而設(shè)計的最好的方法和設(shè)備的全面的和信息 性描述。然而����,當(dāng)結(jié)合附圖和所附權(quán)利要求書一起閱讀時,在著眼 于前面的描述的情況下���,各種修改和調(diào)整對本技術(shù)人員可以變得清 楚明了�����。但是作為一個例子�����,本領(lǐng)域技術(shù)人員可以嘗試使用其他類 似或者等同的消息收發(fā)格式。作為另一個例子�,應(yīng)該指出在接收到第一 RST分組(圖5中的消息4 )之后,可以發(fā)送純數(shù)據(jù)分組(圖5 中的消息3),但是在此情況下�����,防火墻40將需要存儲SYN分組更 長時間�����,其可以對達(dá)到(基本上)無狀態(tài)目標(biāo)產(chǎn)生千擾。因此�,至 少在圖5中示出的分組順序是目前優(yōu)選的,但是不應(yīng)該^皮看作對本 發(fā)明實(shí)施例的限制����。所有對本發(fā)明的內(nèi)容的這樣的和類似的修改將 仍舊落在本發(fā)明實(shí)施例的范圍之內(nèi)。通常�����,本發(fā)明實(shí)施例的使用在其中惡意攻擊者可以通過限制帶 寬的通信信道到達(dá)服務(wù)器��,并希望節(jié)省信道帶寬以供合法使用的任 何網(wǎng)絡(luò)拓樸中是有益的��。而且�����,在不相應(yīng)使用其他特征的情況下����,本發(fā)明優(yōu)選的實(shí)施例 的某些特征可以產(chǎn)生有益效果。同樣��,應(yīng)該認(rèn)為前面的描述僅是本 發(fā)明原理�、教導(dǎo)和實(shí)施例的說明���,而不是對其進(jìn)行的限制。
權(quán)利要求
1. 一種操作防火墻的方法����,包括響應(yīng)于接收到從第二節(jié)點(diǎn)向第一節(jié)點(diǎn)發(fā)送的包括序列值("s叫") 的TCPSYN請求分組,向所述第二節(jié)點(diǎn)發(fā)送SYNIACK分組����,所述 SYNIACK分組包括s叫和ack—sequence值("ack—s叫"),其中所 述SYNIACK分組的acl^s叫不等于所述TCP SYN請求分組的s叫+l; 以及響應(yīng)于從所述第二節(jié)點(diǎn)接收到TCPRST分組���,4企驗所述TCP RST分組中的seq是否與所述SYNIACK分組的ack_seq匹配����,并且 如果匹配����,則指定與所述第二節(jié)點(diǎn)的連接作為授權(quán)的連接�����。
2. 根據(jù)權(quán)利要求1所述的方法�����,其中所述SYNIACK分組的 ack—s叫由利用所述防火墻已知的秘密值的函數(shù)、IP地址的串接和 HASH函^t來確定���。
3. 根據(jù)權(quán)利要求1所述的方法���,其中所述SYNIACK分組的 ack—seq由下式確定ack—s叫-make32 ( HASH ( LK|IP|TCP )),其中LK是所述防火墻已知的秘密,IP是指在所述SYN分組中 發(fā)現(xiàn)的源IP地址和目的地IP地址串接的結(jié)果�����,TCP是指TCP端口 號串接的結(jié)果�,并且函數(shù)make32采用由HASH函數(shù)產(chǎn)生的字符串并 且生成32-比特數(shù)。
4. 根據(jù)權(quán)利要求1所述的方法��,還包括向所述第二節(jié)點(diǎn)發(fā)送額外的TCP分組���,其中所述額外的TCP分 組不具有SYN或ACK標(biāo)記�,但包括等于所述TCP SYN請求分組的 s叫的序列值("s叫");在指定與所述第二節(jié)點(diǎn)的連接作為授權(quán)的連接之后�����,使用額外 4妄收的TCP RST分組的s叫以構(gòu)造類似于初始TCP SYN請求分組的 SYN分組����;并且向所述第一節(jié)點(diǎn)發(fā)送構(gòu)造的SYN分組以進(jìn)一步支持安全連接���。
5. —種防火墻,包括響應(yīng)于接收到從第二節(jié)點(diǎn)向第一節(jié)點(diǎn)發(fā)送的包括序列值("s叫�,,) 的TCP SYN請求分組���,用于向所述第二節(jié)點(diǎn)發(fā)送SYN]ACK分組的 裝置��,所述SYN|ACK分組包括seq和ack—sequence值("ack—seq"), 其中所述SYN|ACK分組的ack—s叫不等于所述TCP SYN請求分組 的seq+1;以及響應(yīng)于從所述第二節(jié)點(diǎn)接收到TCPRST分組���,用于檢驗所述 TCP RST分組中的seq是否與所述SYNIACK分組的ack_sq匹配, 并且如果匹配����,則指定與所述第二節(jié)點(diǎn)的連接作為授權(quán)的連接的裝置。
6. 根據(jù)權(quán)利要求5所述的防火墻����,其中所述SYNIACK分組的 ack—seq由利用所述防火墻已知的秘密值的函數(shù)、IP地址的串接和 HASH函數(shù)來確定���。
7. 根據(jù)權(quán)利要求5所述的防火墻�,其中所述SYNIACK分組的 所述ack—seq由下式確定ack—s叫make32 ( HASH ( LK|IP|TCP ))�����,其中LK是所述防火墻已知的秘密�,IP是指在所述SYN分組中 發(fā)現(xiàn)的源IP地址和目的地IP地址串接的結(jié)果,TCP是指TCP端口 號串接的結(jié)果���,并且函數(shù)make32采用由HASH函數(shù)產(chǎn)生的字符串并 且生成32-比特數(shù)�����。
8. 根據(jù)權(quán)利要求5所述的防火墻�����,還包括響應(yīng)于接收到所述TCP SYN請求�����,用于向所述第二節(jié)點(diǎn)發(fā)送額 外的TCP分組的裝置���,其中所述額外的TCP分組不具有SYN或ACK 標(biāo)記,但包括等于所述TCPSYN請求分組的s叫的序列值("s叫")����;在指定與所述第二節(jié)點(diǎn)的連接作為授權(quán)的連接之后�����,使用額外 接收的TCP RST分組的s叫以構(gòu)造類似于初始TCP SYN請求分組的 SYN分組���;以及向所述第一節(jié)點(diǎn)發(fā)送構(gòu)造的SYN分組以進(jìn)一步支持安全連接。
9. 一種用于操作防火墻的計算機(jī)程序產(chǎn)品��,包括包含在有形的計算機(jī)可讀介質(zhì)上的程序指令�����,所述計算機(jī)程序的執(zhí)行導(dǎo)致的操作包括響應(yīng)于接收到從第二節(jié)點(diǎn)向第一節(jié)點(diǎn)發(fā)送的包括序列值("seq") 的TCPSYN請求分組���,向所述第二節(jié)點(diǎn)發(fā)送SYNIACK分組���,所述 SYNIACK分組包括seq和ack—s叫uence值("ack—s叫"),其中所 述SYNIACK分組的ack—s叫不等于所述TCP SYN請求分組的s叫+l; 以及響應(yīng)于從所述第二節(jié)點(diǎn)接收到TCPRST分組���,檢驗所述TCP RST分組中的所述seq是否與所述SYN|ACK分組的ack—seq匹配����, 并且如果匹配,則指定與所述第二節(jié)點(diǎn)的連接作為授權(quán)的連接����。
10. 根據(jù)權(quán)利要求9所述的計算機(jī)程序產(chǎn)品�����,其中所述SYNjACK 分組的ack—seq由利用防火墻已知的秘密值的函數(shù)���、IP地址的串接 和HASH函數(shù)來確定�。
11. 根據(jù)權(quán)利要求9所述的計算機(jī)程序產(chǎn)品��,其中所述SYN|ACK 分組的ack—seq由下式確定ackseq=make32 ( HASH ( LK|IP|TCP )),其中LK是所述防火墻已知的秘密����,IP是指在所述SYN分組中 發(fā)現(xiàn)的源IP地址和目的地IP地址串接的結(jié)果,TCP是指TCP端口 號串接的結(jié)果����,并且函數(shù)make32采用由HASH函數(shù)產(chǎn)生的字符串并 且生成32-比特數(shù)。
12. 根據(jù)權(quán)利要求9所述的計算機(jī)程序產(chǎn)品�����,其中所述程序指令 執(zhí)行的結(jié)果還包括下列操作向所述第二節(jié)點(diǎn)發(fā)送額外的TCP分組,其中所述額外的TCP分 組不具有SYN或ACK標(biāo)記����,但包括等于所述TCP SYN請求分組的 seq的序列4直("seq");在指定與所述第二節(jié)點(diǎn)的連接作為授權(quán)的連接之后,使用額外 接收的TCP RST分組的seq以構(gòu)造類似于初始TCP SYN請求分組的 SYN分組����;并且向所述第 一節(jié)點(diǎn)發(fā)送構(gòu)造的SYN分組以進(jìn)一步支持安全連接。
13. —種用于操作防火墻的方法�,包括 確定符合觸發(fā)條件;并且作為響應(yīng)�,從有狀態(tài)模式切換到無狀態(tài)模式。
14. 根據(jù)權(quán)利要求13所述的方法����,其中所述觸發(fā)條件包括由等于 閥值的連接嘗試引起的存儲器;肖耗。
15. 根據(jù)權(quán)利要求13所述的方法����,其中有狀態(tài)模式包括響應(yīng)于接收到從第二節(jié)點(diǎn)向第 一 節(jié)點(diǎn)發(fā)送的包括序列值("s叫") 的TCPSYN請求分組,向所述第二節(jié)點(diǎn)發(fā)送SYNIACK分組��,所述 SYNIACK分組包括s叫和ack—s叫uence值("ack—s叫")���,其中所 述SYNIACK分組的acl^s叫不等于所述TCP SYN請求分組的seq+l; 以及響應(yīng)于從所述第二節(jié)點(diǎn)接收到TCPRST分組���,檢驗所述TCP RST分組中的s叫是否與所述SYN|ACK分組的ack—seq匹配����,并且 如果匹配����,則指定與所述第二節(jié)點(diǎn)的連接作為授權(quán)的連接����。
16. 根據(jù)權(quán)利要求13所述的方法,其中無狀態(tài)模式包括 響應(yīng)于接收到從第二節(jié)點(diǎn)向第一節(jié)點(diǎn)發(fā)送的包括序列值("seq")的TCPSYN請求分組��,向所述第二節(jié)點(diǎn)發(fā)送SYN|ACK分組��,所述 SYNIACK分組包括seq和ack—s叫uence值("ack—s叫")�,其中所 述SYNIACK分組的ack—s叫不等于所述TCP SYN請求分組的seq+1;響應(yīng)于接收到所述TCP SYN請求分組,向所述第二節(jié)點(diǎn)發(fā)送額 外的TCP分組��,其中所述額外的TCP分組不具有SYN或ACK標(biāo)記���, 但包括等于所述TCP SYN請求分組的s叫的序列值("seq");響應(yīng)于從所述第二節(jié)點(diǎn)接收到TCP RST分組����,檢驗所述TCP RST分組中的seq是否與所述SYN|ACK分組的ack_seq匹配,并且 如果匹配��,則指定與所述第二節(jié)點(diǎn)的連接作為授權(quán)的連接��;在指定與所述第二節(jié)點(diǎn)的連接作為授權(quán)的連接之后��,使用額外接收的TCP RST分組的seq以構(gòu)造類似于初始TCP SYN請求分組的 SYN分組�;并且向所述第一節(jié)點(diǎn)發(fā)送構(gòu)造的SYN分組以進(jìn)一步支持安全連接。
17. —種防火墻�,包括用于響應(yīng)于觸發(fā)條件而從有狀態(tài)模式切換 到無狀態(tài)模式的裝置。
18. 根據(jù)權(quán)利要求17所述的防火墻�,其中所述觸發(fā)條件包括由 等于閥值的連接嘗試引起的存儲器;肖耗。
19. 根據(jù)權(quán)利要求17所述的防火墻�����,其中所述有狀態(tài)模式包括 響應(yīng)于接收到從第二節(jié)點(diǎn)向第一節(jié)點(diǎn)發(fā)送的包括序列值("s叫")的TCPSYN請求分組��,用于向所述第二節(jié)點(diǎn)發(fā)送SYNIACK分組的 裝置�����,所述SYN|ACK分組包括s叫和ack—s叫uence值("ack—s叫")����, 其中所述SYN|ACK分組的ack—s叫不等于所述TCP SYN請求分組 的seq+1;并且響應(yīng)于從所述第二節(jié)點(diǎn)接收到TCPRST分組����,用于才企驗所述 TCP RST分組中的s叫是否與所述SYN|ACK分組的ack—s叫匹配���, 并且如果匹配����,則指定與所述第二節(jié)點(diǎn)的連接作為授權(quán)的連接的裝置��。
20. 根據(jù)權(quán)利要求17所述的防火墻���,其中所述無狀態(tài)模式包括 響應(yīng)于接收到從第二節(jié)點(diǎn)向第 一節(jié)點(diǎn)發(fā)送的包括序列值("s叫,����,)的TCPSYN請求分組,用于向所述第二節(jié)點(diǎn)發(fā)送SYNIACK分組的 裝置�,所述SY阜CK分組包括scq和ack—sequence值("ack—s叫,���,)��, 其中所述SYN|ACK分組的ack—seq不等于所述TCP SYN請求分組 的seq+1;響應(yīng)于接收到所述TCP SYN請求分組���,用于向所述第二節(jié)點(diǎn)發(fā) 送額外的TCP分組的裝置���,其中所述額外的TCP分組不具有SYN 或ACK標(biāo)記,但包括等于所述TCP SYN請求分組的s叫的序列值 ("s叫")�;響應(yīng)于從所述第二節(jié)點(diǎn)接收到TCPRST分組,用于檢驗所述 TCP RST分組中的seq是否與所述SYN|ACK分組的ack—s叫匹配���, 并且如果匹配�,則指定與所述第二節(jié)點(diǎn)的連接作為授權(quán)的連接的裝. 置����;在指定與所述第二節(jié)點(diǎn)的所述連接作為授權(quán)的連接之后,使用 組的SYN分組的裝置���;以及用于向所述第一節(jié)點(diǎn)發(fā)送構(gòu)造的SYN分組以進(jìn)一步支持安全連接的裝置����。
21. —種用于操作防火墻的計算機(jī)程序產(chǎn)品����,包括包含在有形的 計算機(jī)可讀介質(zhì)上的程序指令����,所述計算機(jī)程序的執(zhí)行導(dǎo)致的操作 包括當(dāng)符合觸發(fā)條件時���,從有狀態(tài)模式切換至'j無狀態(tài)模式����。
22. 根據(jù)權(quán)利要求21所述的計算機(jī)產(chǎn)品��,其中所述觸發(fā)條件包 括由等于閥值的連接嘗試引起的存儲器;肖耗���。
23. 根據(jù)權(quán)利要求21所述的計算機(jī)產(chǎn)品��,其中所述有狀態(tài)模式 包括響應(yīng)于接收到從第二節(jié)點(diǎn)向第一節(jié)點(diǎn)發(fā)送的包括序列值("s叫") 的TCPSYN請求分組���,向所述第二節(jié)點(diǎn)發(fā)送SYNiACK分組�����,所述 SYNiACK分組包括seq和ack—sequence值("ack—s叫")�,其中所 述SYNIACK分組的ack—seq不等于所述TCP SYN請求分組的seq+l; 并且響應(yīng)于從所述第二節(jié)點(diǎn)接收到TCPRST分組,檢驗所述TCP RST分組中的s叫是否與所述SYNIACK分組的ack—s叫匹配�,并且 如果匹配��,則指定與所述第二節(jié)點(diǎn)的連接作為授權(quán)的連接�。
24. 根據(jù)權(quán)利要求21所述的計算機(jī)產(chǎn)品��,其中所述無狀態(tài)模式 包括響應(yīng)于接收到從第二節(jié)點(diǎn)向第一節(jié)點(diǎn)發(fā)送的包括序列值("s叫") 的TCPSYN請求分組���,向所述第二節(jié)點(diǎn)發(fā)送SYNIACK分組�,所述 SYNIACK分組包括s叫和ack—sequence值("ack—s叫")����,其中所 述SYNIACK分組的ack—s叫不等于所述TCP SYN請求分組的seq+1;向所述第二節(jié)點(diǎn)發(fā)送額外的TCP分組,其中所述額外的TCP分 組不具有SYN或ACK標(biāo)記��,但包括等于TCP SYN請求分組的s叫 的序列值("s叫")��;響應(yīng)于從所述第二節(jié)點(diǎn)接收到TCPRST分組�����,檢驗所述TCP RST分組中的s叫是否與所述SYN|ACK分組的ack_seq匹配����,并且 如果匹配,則指定與所述第二節(jié)點(diǎn)的連接作為授權(quán)的連接;在指定與所述第二節(jié)點(diǎn)的所述連接作為授權(quán)的連接之后�,使用 額外接收的TCP RST分組的s叫以構(gòu)造類似于初始TCP SYN請求分 組的SYN分組;并且向所述第 一節(jié)點(diǎn)發(fā)送構(gòu)造的SYN分組以進(jìn)一步支持安全連接���。
25. —種能夠在無線節(jié)點(diǎn)和數(shù)據(jù)通信網(wǎng)絡(luò)間傳輸分組數(shù)據(jù)的無 線網(wǎng)絡(luò)����,包^^舌無線網(wǎng)絡(luò)安全組件��,所述無線網(wǎng)絡(luò)安全組件包括 響應(yīng)于接收到從第二節(jié)點(diǎn)向第 一節(jié)點(diǎn)發(fā)送的包括序列值("s叫") 的TCPSYN請求分組�����,用于向所述第二節(jié)點(diǎn)發(fā)送SYNIACK分組的 裝置���,所述SYN|ACK分組包括seq和ack_sequence值("ack—s叫"), 其中所述SYN|ACK分組的ack_seq不等于所述TCP SYN請求分組 的seq+1;以及響應(yīng)于從所述第二節(jié)點(diǎn)接收到TCPRST分組�����,用于檢驗所述 TCP RST分組中的s叫是否與所述SYN|ACK分組的ack—seq匹配�����, 并且如果匹配,則指定與所述第二節(jié)點(diǎn)的連接作為授權(quán)的連接的裝置�。
26. 根據(jù)權(quán)利要求25所述的無線網(wǎng)絡(luò)�����,其中無線節(jié)點(diǎn)是所述第 一節(jié)點(diǎn)并且數(shù)據(jù)通信網(wǎng)絡(luò)是所述第二節(jié)點(diǎn)�����。
27. 根據(jù)權(quán)利要求25所述的無線網(wǎng)絡(luò)�,其中數(shù)據(jù)通信網(wǎng)絡(luò)是所 述第一節(jié)點(diǎn)并且無線節(jié)點(diǎn)是所述第二節(jié)點(diǎn)�����。
28. 根據(jù)權(quán)利要求25所述的無線網(wǎng)絡(luò)���,其中所述SYNIACK分 組的ack_seq由利用防火墻已知的秘密值的函數(shù)�����、IP地址的串接和 HASH函數(shù)來確定����。
29. 根據(jù)權(quán)利要求25所述的無線網(wǎng)絡(luò)����,其中所述SYNIACK分 纟且的ack—seq由下式確定ack—seq=make32 ( HASH ( LK|IP|TCP )),其中LK是所述防火墻已知的秘密���,IP是指在所述SYN分組中 發(fā)現(xiàn)的源IP地址和目的地IP地址串接的結(jié)果,TCP是指TCP端口 號串接的結(jié)果�����,并且函數(shù)make32采用由HASH函數(shù)產(chǎn)生的字符串并 且生成32-比特數(shù)���。
30. 根據(jù)權(quán)利要求25所述的無線網(wǎng)絡(luò)�,還包括 響應(yīng)于接收到所述TCP SYN請求����,用于向所述第二節(jié)點(diǎn)發(fā)送額外的TCP分組的裝置,其中所述額外的TCP分組不具有SYN或ACK 標(biāo)記��,^f旦包括等于所述TCP SYN請求分組的seq的序列值("seq");在指定與所述第二節(jié)點(diǎn)的所述連接作為授權(quán)的連接之后�����,用以 使用額外接收的TCP RST分組的s叫以構(gòu)造類似于初始TCP SYN請 求分組的SYN分組的裝置�;以及用于向所述第一節(jié)點(diǎn)發(fā)送構(gòu)造的SYN分組以進(jìn)一步支持安全連 接的裝置。
31. —種操作服務(wù)器節(jié)點(diǎn)和客戶端節(jié)點(diǎn)間插入的防火墻的方法�����, 包括響應(yīng)于所述防火墻接收到包含從所述客戶端向所述服務(wù)器發(fā)送 的序列號的TCP SYN請求分組��,向所述客戶端發(fā)送包含 ack—sequence號的SYN|ACK分組�,其中所述分組的ack_sequence號 計算如下<formula>formula see original document page 9</formula>其中LK是所述防火墻已知的秘密,IP是指在所述SYN分組中 發(fā)現(xiàn)的源IP地址和目的地IP地址串接的結(jié)果����,TCP是指TCP端口 號串接的結(jié)果,并且函數(shù)make32采用由HASH函數(shù)產(chǎn)生的字符串并 且生成32-比特數(shù)��;從所述防火墻向所述客戶端發(fā)送純數(shù)據(jù)分組���,該純數(shù)據(jù)分組具 有等于在所述TCP SYN請求分組中接收的所述序列號的序列號����;響應(yīng)于所述客戶端接收到所述SYNIACK分組����,使用具有等于 ack—seq號的序列號的TCP RST分組進(jìn)行響應(yīng);響應(yīng)于所述防火墻接收到所述TCP RST分組�����,4全-驗所述TCP RST分組中的所述序列號是否與所述ack—s叫號匹配,并且如果匹 配��,則指定與所述客戶端的連接作為授權(quán)的連接����;響應(yīng)于在所述客戶端處接收到所述純數(shù)據(jù)分組,向所述防火墻發(fā)送第二 TCP RST分組��,該第二 TCP RST分組的序列號等于所述 TCP SYN請求分組的所述序列號����;并且在所述防火墻處使用來自于所述第二 TCP RST消息的序列號來 構(gòu)造SYN分組以發(fā)送到所述服務(wù)器。
全文摘要
一種用于操作防火墻的方法���,包括響應(yīng)于防火墻接收到從第二節(jié)點(diǎn)向第一節(jié)點(diǎn)發(fā)送的包括序列值(“seq”)的TCP SYN請求分組��,向第二節(jié)點(diǎn)發(fā)送SYN|ACK分組���,所述SYN|ACK分組包括seq和ack_sequence值(“ack_seq”),其中SYN|ACK分組的ack_seq不等于TCP SYN請求分組的seq+1�����;以及����,響應(yīng)于防火墻從第二節(jié)點(diǎn)接收到TCP RST分組�,檢驗TCP RST分組中的seq是否與SYN|ACK分組的ack_seq匹配����,并且如果匹配��,則指定與第二節(jié)點(diǎn)的連接作為授權(quán)的連接�。
文檔編號H04L29/06GK101147376SQ200680009531
公開日2008年3月19日 申請日期2006年2月3日 優(yōu)先權(quán)日2005年2月4日
發(fā)明者F·勒, Y·P·斯沃米 申請人:諾基亞公司