過濾系統以及過濾方法
2023-04-26 12:55:41 2
專利名稱:過濾系統以及過濾方法
技術領域:
本發明涉及進行客戶機與服務提供伺服器之間的HTTP通信的過濾的過濾系統以及過濾方法。
背景技術:
在現有的HTTP通信的過濾方式中,具有HTTP代理(proxy)方式或透明型代理方式(日本特開2010-244134號公報(稱為文獻I)、段落0002 0005)。但是,在這些方式中指出了以下的課題。在前者的HTTP代理方式中,在HTTP客戶機沒有進行使用HTTP代理的設定時無法進行過濾(文獻I,段落0006)。此外,在後者的透明型代理方式中,TCP會話的終結處理複雜,需要基於軟體的處理,因此產生吞吐量降低的問題(文獻1,段落0007、0008)。為了解決這些課題,提出了以下的方式(文獻1、段落0013、0014),通常時不進行TCP終結處理,從接收數據包中提取HTTP訪問的請求行中的URL,執行URL的通過/訪問拒絕判定,在判定結果為拒絕訪問時,執行TCP終結處理。但是,文獻I公開的技術,在切斷(限制)來自客戶機的訪問的情況下,一度透明轉發從客戶機向Web伺服器的TCP 3way-handshake (TCP三路握手)並確立了 TCP連接後,判定為拒絕訪問,在伺服器側進行TCP終結處理(文獻1,段落0030、034以及圖3)。在該方法中,對於Web伺服器來說,看起來在進行了 TCP連接後,不接收HTTP請求地從客戶機一側進行TCP切斷。在頻繁地進行這樣的處理時,在Web伺服器ー側誤識別為DoS (DenialQfService:拒絕服務)攻擊,Web伺服器管理者對於來自該客戶機側網絡的連接,可能採取以IP位址為基礎的訪問切斷的安全対策。當訪問被切斷時,之後存在與該客戶機側網絡連接的客戶機無法與Wb伺服器連接的問題。為了避免該問題,必須即便在切斷訪問的情況下,也不頻繁地進行以下的過程:在從過濾器裝置對Web伺服器進行TCP連接後,對於Web伺服器不發送HTTP請求地進行TCP切斷。
發明內容
為了解決上述課題,公開的過濾系統的特徵為:具有在Web伺服器裝置等服務伺服器裝置(以下總稱為Web伺服器裝置)提供的服務對於要進行訪問的用戶來說為訪問限制對象的情況下,能夠切斷向該服務的頻繁的TCP連接的結構。具體地說,第一特徵為:具備從同一客戶機向同一 Web伺服器中的訪問限制對象數據的頻繁的訪問的檢測單元;在該單元檢測到頻繁的訪問後切斷向該Web伺服器的TCP連接的切斷単元。
並且,第二特徵為:具備當存在多個提供某相同的訪問限制對象數據的Web伺服器,在針對某個主機名的DNS名稱解析時的應答數據中記載了不同的多個IP位址時,把向具有這些不同的多個IP位址的該Web伺服器組的訪問限制對象數據的訪問作為同一訪問來處理,在通過所述檢測單元檢測到之後,切斷向該Web伺服器組的TCP連接的切斷単元。第三特徵為:具備在來自客戶機的Web伺服器的主機名的名稱解析時,在通過所述檢測単元檢測到之後,切斷向提供訪問限制對象數據的Web伺服器的名稱解析請求的訪問的訪問切斷単元。更具體的ー個方式是ー種網絡系統,其,具備過濾裝置,該過濾裝置具有對在客戶機裝置與服務伺服器裝置之間確立的TCP連接以及利用TCP連接收發的HTTP請求以及HTTP應答進行中繼的功能、和切斷從客戶機裝置向服務伺服器裝置所提供的訪問限制對象服務的訪問的功能,其中,過濾裝置具有進行檢測處理和切斷處理的過濾處理部,檢測處理是通過從同一客戶機裝置向由服務伺服器裝置提供的同一訪問限制對象服務的頻繁的HTTP訪問所利用的TCP連接的確立請求,來檢測HTTP訪問的處理,切斷處理是當通過檢測處理檢測到頻繁的HTTP訪問所利用的TCP連接的確立請求時,不向服務伺服器裝置轉發TCP連接的確立請求,進行把該過濾裝置作為終端的TCP連接的確立和切斷的處理。上述過濾處理部還可以在切斷處理中,如果接收到來自利用了所確立的TCP連接的客戶機裝置的HTTP請求,則向客戶機裝置發送訪問限制消息並切斷TCP連接。此外,過濾處理部可以在檢測處理中,在判斷為TCP連接的確立請求不是向訪問限制對象服務的頻繁的HTTP訪問所利用的TCP連接的確立請求時,向服務伺服器裝置轉發TCP連接的確立請求,使得能夠確立被請求的TCP連接,如果利用所確立的TCP連接的HTTP請求是向坊問限制對象服務的HTTP請求,則為了判斷是否成為頻繁的訪問,使HTTP請求數增加。另外,過濾處理部可以把客戶機裝置的連接源IP位址、向服務伺服器裝置提供的服務的連接目的地IP位址、以及表示通過向連接目的地IP位址的訪問所提供的服務是否為客戶機裝置的用戶進行的訪問的限制對象的信息相對應地進行管理。並且,過濾處理部可以在檢測處理中,把從客戶機裝置接收到的名稱解析請求轉發給名稱解析伺服器,從名稱解析伺服器接收名稱解析應答,把接收的名稱解析應答中包含的連接目的地IP位址作為被管理的連接目的地IP位址,將其與名稱解析請求中包含的URL相對應地進行管理。 並且,過濾處理部可以在檢測處理中,把被管理的ー個URL與從名稱解析伺服器接收的名稱解析應答中包含的多個連接目的地IP位址相對應地進行管理。此外,過濾處理部可以在檢測處理中,識別客戶機裝置以及服務伺服器裝置,把一定時間內從客戶機裝置的連接源IP位址向訪問限制對象數據的HTTP請求數作為計數值進行保存,當計數值超過某個閾值時,看做發生了頻繁的訪問。此外,另ー方式為ー種網絡系統,其具備過濾裝置,該過濾裝置具有在客戶機裝置與服務伺服器裝置之間對HTTP請求以及HTTP應答進行中繼的功能、和切斷從客戶機裝置向服務伺服器裝置所提供的訪問限制對象服務的訪問的功能,其中,過濾裝置具有進行檢測處理和切斷處理的過濾處理部,把客戶機裝置的連接源IP位址、從客戶機裝置接收的名稱解析請求中包含的URL、從名稱解析伺服器接收的名稱解析應答中包含的連接目的地IP位址、以及表示通過向連接目的地IP位址的訪問所提供的服務是否為客戶機裝置的用戶進行的訪問的限制對象的信息相對應地進行管理,當在檢測處理中檢測到來自客戶機裝置的服務伺服器裝置的名稱解析請求時,在切斷處理中應答與服務伺服器裝置不同的其他伺服器裝置的IP位址,作為針對名稱解析請求的應答,由此切斷向訪問限制對象服務的訪問。在上述系統中還可以具備應答訪問限制消息的抱歉伺服器裝置,過濾處理部在切斷處理中,向客戶機裝置應答抱歉伺服器裝置的IP位址,作為針對名稱解析請求的應答,使客戶機裝置在與抱歉伺服器裝置之間進行TCP連接的確立請求和HTTP請求。根據以上的公開,即使在過濾裝置切斷來自客戶機的訪問時,在之後的處理中,也能夠降低被Web伺服器管理者誤識別為DoS攻擊的可能性。
圖1表示實施方式I的過濾系統的結構例子。圖2表示實施方式I的過濾裝置20的通信管理表的結構例子。圖3例示了實施方式I的接收名稱解析請求時的處理過程。圖4例示了實施方式I的接收TCP連接請求時的處理過程。圖5例示了實施方式I的過濾裝置20的中繼處理的流程圖。圖6例示了實施方式I的過濾裝置20的透明轉發處理(TCP連接確立)過程。圖7例示了實施方式I的過濾裝置20的HTTP過濾處理過程。圖8例示了實施方式I的過濾裝置20的代理應答處理(視同過濾)過程。圖9表示實施方式2的過濾系統的結構例子。圖10表示實施方式2的過濾裝置20的通信管理表的結構例子。圖11表示實施方式2的過濾裝置20的訪問控制管理表的結構例子。圖12例示了實施方式2的接收名稱解析請求時的處理過程。圖13例示了實施方式2的過濾裝置20的HTTP過濾處理過程。圖14例示了實施方式3的接收名稱解析請求時的處理過程。圖15表示各裝置的硬體結構的例子。
具體實施例方式
以下使用附圖對實施方式進行說明。在存在被賦予了相同的編號的要素、步驟時,假定分別具有相同的功能,執行相同的處理內容。(實施方式I)圖1是表示在本說明書中公開的過濾系統I的結構例子的框圖。過濾系統I具有過濾裝置20、訪問控制伺服器裝置30、認證伺服器裝置40。過濾系統I處於ー個以上的客戶機裝置10、Web伺服器裝置50、DNS伺服器裝置60分別能夠經由LAN (Local Area Network:區域網)或無線網絡等網絡通信的狀態。客戶機裝置10是使用HTTP (Hyper Text Transfer Protocol:超文本傳輸協議)等TCP/IP上的協議與Web伺服器裝置50連接,進行服務請求的裝置。客戶機裝置10在訪問Web伺服器裝置50之前,對DNS伺服器裝置60使用DNS協議發送Web伺服器裝置50的代表域名的名稱解析請求。然後,作為其應答,接收Web伺服器裝置50的IP位址。Web伺服器裝置50是對客戶機裝置10提供Web服務的伺服器處理所運行的裝置。DNS伺服器裝置60是提供名稱解析服務的伺服器裝置。訪問控制伺服器裝置30是當接收到針對某個URL的訪問控制信息請求時,檢索URL資料庫,應答表示該URL是否為訪問限制對象的訪問控制信息的伺服器裝置。認證伺服器裝置40是一同接收用於識別用戶的信息和用戶認證請求,應答表示該用戶是否為過濾對象用戶的用戶類別信息的伺服器裝置。在此,作為用於識別用戶的信息的例子,具有IP位址或用戶ID信息等。過濾裝置20是進行客戶機裝置10與Web伺服器裝置50之間的HTTP通信的過濾的裝置。圖15表示了客戶機裝置10、過濾裝置20、訪問控制伺服器裝置30、認證伺服器裝置40、Web伺服器裝置50、DNS伺服器裝置60等各伺服器裝置的硬體結構的例子。這些伺服器裝置可以通過一般的計算機1000來實現,該一般的計算機1000具有CPU1001、主存儲裝置1002、HDD等外部存儲裝置1005、從CD-ROM或DVD-ROM等可移動的存儲介質1008讀出信息的讀取裝置1003、顯示器、鍵盤或滑鼠等輸入輸出裝置1006、用於與網絡1010連接的NIC (Networklnterface Card)等通信裝置1004、以及在這些裝置之間連接的總線等內部通信線1007。例如,後述的通信管理表221使用主存儲裝置1002的一部分區域來實現。此外,各裝置把各自的外部存儲裝置1005中存儲的各種程序加載到主存儲裝置1002中由CPU1001來執行,使用通信裝置1004與網絡1010連接,與客戶機裝置10或其他伺服器裝置進行網絡通信,由此實現本實施例中的各種處理部以及通過這些處理部進行的各種處理。過濾裝置20具備過濾處理部21和通信管理信息存儲部22。通信管理信息存儲部22具備通信管理表221。過濾處理部21控制由過濾裝置20進行的全部的通信處理。在此,使用圖2詳細說明通信管理表221。實施方式I中的通信管理表221 (稱為221A),具備連接源IP位址欄位2211、用戶類別欄位2212、連接目的地IP位址欄位2213、訪問控制信息欄位2214、限制計數器2215、有效期限欄位2216。連接源IP位址欄位2211是存儲作為連接源的客戶機裝置10的IP位址的區域。能夠從客戶機裝置10向Web伺服器裝置50開始TCP連接時的SYN數據包的發送源IP位址頭部(header)取得客戶機裝置10的IP位址。用戶類別欄位2212是存儲表示客戶機裝置10是過濾對象還是非過濾對象的用戶類別信息的區域。能夠從對認證伺服器40進行詢問後的結果,得到用戶類別信息。連接目的地IP位址欄位2213是存儲從客戶機裝置10向Web伺服器裝置50的通信中的作為連接目的地的Web伺服器裝置50側的IP位址的區域。能夠從客戶機裝置10向Web伺服器裝置50開始TCP連接時的SYN數據包的發送目的地IP位址頭部取得連接目的地IP位址。
訪問控制信息欄位2214是存儲表示由連接目的地IP位址2213的值表示的Web伺服器裝置50是否為訪問限制對象的值(訪問控制信息)的區域。向訪問控制伺服器裝置30發送訪問控制信息請求,能夠從接收到的應答結果得到訪問控制信息。限制計數器2215是計數器區域,其表示在對連接目的地IP位址2213所示的Web伺服器裝置50發送的HTTP請求中,在預定時間內,通過從訪問控制伺服器裝置30應答的訪問控制信息,發送目的地URL成為訪問限制對象,進行了訪問限制的次數。過濾處理部21在每次接收到向訪問限制對象URL的HTTP請求時,使限制計數器2215的值增加。有效期限欄位2216是存儲通信管理表221的各條目的有效期限日期時間的區域。如果把連接源IP位址以及/或者連接目的地IP位址作為檢索關鍵字檢索所得到的條目的有效期限2216的值在當前日期時間之前,則設該條目設為無效,將限制計數器2215清零。然後,再次重新生成條目,進行覆蓋登錄。以下,使用圖3至圖8說明實施方式I中的過濾裝置20中的過濾處理部21的過
濾方法。圖3是例示了接收名稱解析請求時的處理的過程圖。過濾裝置20當從客戶機裝置10接收名稱解析請求吋,進行通信協議的判定處理(步驟 S 101)。例如,檢查數據包的發送目的地端ロ號碼,如果是53號端ロ,則判定為DNS協議。或者,如果是80號端ロ以外,則判定為HTTP以外的協議。之後,通過發送源IP位址、發送源埠號碼、發送目的地IP位址、發送目的地端ロ號碼這四個組,管理以及識別通信。關於一度進行了協議檢查的通信,在通信完成之前跳過協議檢查。然後,如果是HTTP以外的協議,則進行透明轉發處理(步驟S102)。圖4是例示了接收TCP連接請求時的處理的過程圖。過濾裝置20當從客戶機裝置10接收到SYN數據包時,進行協議檢查處理(步驟S101)。當判定為HTTP時,把從SYN數據包的連接源IP位址頭部取得的連接源IP位址作為檢索關鍵字,檢索通信管理表221A (步驟S202)。如果存在條目,並且在有效期限內,則前進到中繼處理(S206),否則,在通信管理表221A中生成條目,在連接源IP位址欄位2211中存儲在步驟S202中取得的連接源IP位址,在用戶類別欄位2212中存儲表示非過濾對象的用戶類別信息,在連接目的地IP位址欄位2213中存儲從SYN數據包的發送目的地IP位址頭部得到的連接目的地IP位址,在訪問控制信息欄位2214中存儲表示非訪問限制對象的訪問控制信息,在限制計數器2215中存儲值「0」,並且把預先在過濾裝置20中通過設定文件等設定的有效期與當前日期時間相加後的值作為有效期限日期時間,存儲在有效期限欄位2216中,前進到步驟S204 (步驟S203)。在此,在雖然具有條目但在有效期限欄位2216中存儲的值已經超過有效期限吋,可以把有效期與當前日期時間相加後的值作為有效期限日期時間,在有效期限欄位2216中更新,然後覆蓋其他的欄位221廣2215。然後,賦予連接源IP位址信息來把用戶認證請求發送給認證伺服器裝置40 (步驟S204)。
從認證伺服器裝置40接收到的用戶認證應答中取得用戶類別信息,存儲在在步驟S204中生成的通信管理表221A的條目的用戶類別欄位2212中(步驟S205)。然後,前進到中繼處理(S206)。然後,使用圖5詳細說明中繼處理(步驟S206)。首先,關於通信管理表221A的相應條目,從用戶類別2212取得用戶類別信息(步驟S301),檢查用戶類別是否為過濾對象(步驟S302 )。如果不是過濾對象,則透明轉發該通信中的通信數據(步驟S310)。在此,可以將透明轉發期間設為直到有效期限2216表示的日期時間為止。此外,如果是過濾對象,則檢查在相應條目中是否登錄了連接目的地IP位址2213的信息(步驟S303),如果沒有登錄則進行登錄(步驟S304)。然後,檢查訪問控制信息2214是否為限制對象(步驟S305)。如果是限制對象以外,或者沒有登錄是否為限制對象,則前進到透明轉發處理(TCP連接確立)(S309)。如果是限制對象,則取得限制計數器2215的值(步驟S306),進行預先已登錄的閾值超過檢查(步驟S307)。在此,在過濾裝置20的設定文件中記載有閾值,可以在過濾裝置20啟動時從設定文件中讀取,存儲在存儲器1002區域中。如果限制過濾器2215的值超過了閾值,則前進到代理應答處理(視同過濾)(S308)。如果沒有超過,則前進到透明轉發處理(TCP連接確立)(S309)。然後,使用圖6詳細說明透明轉發處理(TCP連接確立)(步驟S309)。首先,關於該通信中的客戶機裝置10與Web伺服器裝置50之間的TCP連接過程(sequence) (TCP 3way_handshake)進行透明轉發(步驟 S401)。然後進行HTTP過濾處理(S402),最後,為了強制結束伺服器側TCP連接,發送RST數據包(步驟S403)。然後,關於上述HTTP過濾處理(S402),使用圖7詳細說明實施方式I的步驟S402A。當接收到HTTP請求時,把與請求行中記載的URL相關的訪問控制信息發送給訪問控制伺服器裝置30來進行詢問,取得訪問限制信息(步驟S501)。然後,使用取得的信息更新通信管理表221A的訪問控制信息欄位2214(在為空欄時,新登錄)(步驟S502)。然後,參照訪問限制信息,檢查訪問控制信息欄位2214的值,比較是否為訪問限制對象(步驟S503)。如果不是訪問限制對象,則把該HTTP請求發送給Web伺服器裝置50,井向客戶機裝置10發送來自Web伺服器裝置50的HTTP應答(透明轉發處理(HTTP通信))(步驟S504)。然後,當接收到下一 HTTP請求時,返回S501繼續進行處理。然後,在從客戶機裝置10或Web伺服器裝置50接收到TCP切斷請求時,或者在與客戶機裝置10以及Web伺服器裝置50的無通信狀態經過了一定時間(超吋)時,看做TCP切斷情況,對於客戶機裝置10以及Web伺服器裝置的雙方進行TCP切斷過程。否則,返回S501繼續處理(步驟S505)。
如果是訪問限制對象,則使通信管理表221A的限制計數器2215的值增加,把表示限制向該URL訪問的主g的訪問限制消息作為HTTP應答,向客戶機裝置10應答,進行與客戶機裝置10的TCP切斷(代理應答處理(HTTP錯誤應答))(步驟S506)。然後,使用圖8詳細說明代理應答處理(視同過濾)(步驟S308)。針對從客戶機裝置10接收到的用於TCP連接的SYN數據包,進行把本過濾裝置20作為終端的TCP連接受理過程(TCP 3way_handshake)(步驟S601 ),然後進行代理應答處理(HTTP 錯誤應答)(S506)。如上所述,在本實施方式中,在通常時不進行TCP終結處理,從接收數據包中提取HTTP訪問的請求行中的URL,執行URL的通過/訪問拒絕判定,在為拒絕訪問的判定結果時執行TCP終結處理的方式中,因為能夠切斷向提供訪問限制對象數據的Web伺服器的頻繁的TCP連接,所以具有能夠避免被Web伺服器管理者誤識別為DoS攻擊的危險性的效果。(實施方式2)使用圖9說明實施方式2。在本實施方式中,過濾系統I除了實施方式I的結構之外還具有訪問控制信息存儲部23。此外,通信管理信息存儲部22具備的通信管理表221的結構也存在變更。以下使用圖10說明實施方式2的通信管理表221 (稱為221B)的結構。通信管理表221B具備連接源IP位址欄位2211、用戶類別2212、連接目的地信息2217、限制計數器2215、有效期限2216。連接源IP位址欄位2211、用戶類別2212、限制計數器2215、有效期限2216與實施方式I相同。連接目的地信息2217是存儲訪問控制信息存儲部23具備的訪問控制管理表231的條目號碼的區域。使用圖11說明訪問控制管理表231。訪問控制管理表231管理與連接目的地Web伺服器裝置50有關的詳細信息。訪問控制管理表231具備發送目的地主機名欄位2311、多個IP位址欄位2312、訪問控制信息欄位2313、有效期限欄位2314。訪問控制信息2313是存儲與實施方式I中的訪問控制信息2214相同的信息的區域。然後,使用圖12詳細說明接收名稱解析請求時的處理。過濾裝置20當從客戶機裝置10接收到名稱解析請求時,進行通信協議的判定處S(SIOI)0在此,檢查數據包的發送目的地端ロ號碼,如果是53號端ロ,則判定為DNS協議。如果是DNS協議,則把名稱解析請求轉發給DNS伺服器裝置60,接收名稱解析應答(步驟 S701)。然後,對接收到的名稱解析應答的數據進行解析,把名稱解析對象的主機名登錄到發送目的地主機名欄位2311中,把IP位址信息登錄到IP位址欄位2312中,更新有效期限2314的日期時間(步驟S702)。在通過名稱解析應答從DNS伺服器裝置60應答了未登錄的IP位址時,追加新的IP位址欄位2312,登錄多個IP位址。
然後,把名稱解析應答轉發給客戶機裝置10 (步驟S703)。此外,在圖5的中繼處理(S206)中的S305的處理中,把發送目的地IP位址作為檢索關鍵字,對訪問控制管理表231的IP位址欄位2312進行檢索,使用匹配的條目的訪問控制信息2313判定是否為限制對象。在此,當在ー個條目的多個IP位址欄位2312中登錄了 IP位址時,對於全部的IP位址欄位2312進行檢索。然後,使用圖13說明實施方式2的HTTP過濾處理。當接收到HTTP請求時,取得訪問限制信息(S501)。然後,使用取得的信息,更新訪問控制信息管理表231的訪問控制信息欄位2313(步驟 S801)。然後,在通信管理表221B的連接目的地信息2217中,存儲在S801中更新後的條目的條目ID (步驟S802)。然後,檢查訪問控制信息欄位2313的值,比較是否為訪問限制對象(步驟S803)。根據訪問限制信息,如果該URL不是訪問限制對象,則把該HTTP請求發送給Web伺服器裝置50,井向客戶機裝置10發送來自Web伺服器裝置50的HTTP應答(透明轉發處理(HTTP通信))(步驟S504)。然後,當接收到下一 HTTP請求時,返回S501繼續進行處理。然後,在從客戶機裝置10或Web伺服器裝置50接收到TCP切斷請求時,或者在與客戶機裝置10以及Web伺服器裝置50的無通信狀態經過了一定時間(超吋)時,看做TCP切斷情況,對於客戶機裝置10以及Web伺服器裝置的雙方進行TCP切斷過程。否則,返回S501繼續處理(步驟S505)。如果是訪問限制對象,則使通信管理表221B的限制計數器2215的值增加,把表示限制向該URL訪問的主g的訪問限制消息作為HTTP應答向客戶機裝置10進行應答,進行與客戶機裝置10的TCP切斷(代理應答處理(HTTP錯誤應答))(步驟S506)。如上所述,在本實施方式中,當存在多個提供某相同的訪問限制對象數據的Web伺服器裝置50時,把向該Web伺服器裝置50組的訪問限制對象數據的訪問作為同一訪問來進行處理,具有能夠切斷向該Web伺服器裝置50組的TCP連接的效果。(實施方式3)使用圖9以及圖14說明實施方式3。在圖9中,在本實施方式中,過濾系統I除了實施方式2的結構之外,還具有抱歉(Sorry)伺服器地址存儲部24和抱歉伺服器裝置70。抱歉伺服器裝置70是當從客戶機裝置10接收到HTTP請求時,始終應答使用戶得知限制向該訪問目的地的訪問的訪問限制消息的伺服器裝置。上述的訪問限制消息,例如是「向該Web站點的訪問被限制」這樣的語句。抱歉伺服器地址存儲部24是存儲抱歉伺服器裝置70的IP位址的區域。在此,可以把抱歉伺服器裝置的IP位址預先記載在過濾裝置20的設定文件中,在過濾裝置20啟動時從設定文件中讀出,然後存儲在抱歉伺服器地址存儲部24中。使用圖14說明實施方式3的接收名稱解析請求時的處理。過濾裝置20當從客戶機裝置10接收到名稱解析請求時,進行通信協議的判定處理(S 101)。
在此,檢查數據包的發送目的地埠號碼,如果是53號端ロ,則判定為DNS協議。如果是DNS協議,則把名稱解析對象的主機名作為關鍵關鍵字,檢索訪問控制管理表231的發送目的地主機名欄位2311 (步驟S901)。檢索而得到的條目的訪問控制信息2313是限制對象,並且把名稱解析請求的發送源IP位址作為檢索關鍵字,檢索通信管理表221B的連接源IP位址欄位2211,判定得到的條目的用戶類別2212是否為過濾對象(步驟S902)。如果滿足條件,則把在抱歉伺服器地址存儲部24中存儲的抱歉伺服器的IP位址作為名稱解析應答,向客戶機裝置10進行應答(步驟S903)。如上所述,根據本實施方式,客戶機裝置10與抱歉伺服器裝置70直接進行HTTP通信,接收訪問限制消息,所以具有能夠削減向過濾裝置20的通信量的效果。
權利要求
1.一種網絡系統,其具備過濾裝置,該過濾裝置具有對在客戶機裝置與服務伺服器裝置之間確立的TCP連接以及利用所述TCP連接收發的HTTP請求以及HTTP應答進行中繼的功能、和切斷從所述客戶機裝置向所述服務伺服器裝置所提供的訪問限制對象服務的訪問的功能,所述網絡系統的特徵在幹, 所述過濾裝置具有進行檢測處理和切斷處理的過濾處理部, 所述檢測處理是通過從同一所述客戶機裝置向由所述服務伺服器裝置提供的同一所述訪問限制對象服務的頻繁的HTTP訪問所利用的TCP連接的確立請求,來檢測所述HTTP訪問的處理, 所述切斷處理是當通過所述檢測處理檢測到所述頻繁的HTTP訪問所利用的TCP連接的確立請求時,不向所述服務伺服器裝置轉發所述TCP連接的確立請求,進行把該過濾裝置作為終端的所述TCP連接的確立和切斷的處理。
2.根據權利要求1所述的網絡系統,其特徵在幹, 所述過濾處理部,在所述切斷處理中,如果接收到來自利用了所確立的所述TCP連接的所述客戶機裝置的HTTP請求,則向所述客戶機裝置發送訪問限制消息並切斷所述TCP連接。
3.根據權利要求1或2所述的網絡系統,其特徵在幹, 所述過濾處理部,在所述檢測處理中,在判斷為所述TCP連接的確立請求不是向所述訪問限制對象服務的頻繁的HTTP訪問所利用的TCP連接的確立請求吋,向所述服務伺服器裝置轉發所述TCP連接的確立請求,使得能夠確立被請求的TCP連接, 如果利用所確立的所述TCP連接的HTTP請求是向所述訪問限制對象服務的HTTP請求,則為了判斷是否成為 所述頻繁的訪問,使所述HTTP請求數増加。
4.根據權利要求1至3的任意ー項所述的網絡系統,其特徵在幹, 所述過濾處理部,把所述客戶機裝置的連接源IP位址、向所述服務伺服器裝置提供的服務的連接目的地IP位址、以及表示通過向所述連接目的地IP位址的訪問所提供的所述服務是否為所述客戶機裝置的用戶進行的訪問的限制對象的信息相對應地進行管理。
5.根據權利要求4所述的網絡系統,其特徵在幹, 所述過濾處理部在所述檢測處理中,把從所述客戶機裝置接收到的名稱解析請求轉發給名稱解析伺服器,從所述名稱解析伺服器接收名稱解析應答, 把接收的所述名稱解析應答中包含的連接目的地IP位址作為所述被管理的所述連接目的地IP位址,將其與所述名稱解析請求中包含的URL相對應地進行管理。
6.根據權利要求5所述的網絡系統,其特徵在幹, 所述過濾處理部在所述檢測處理中,把所述被管理的一個所述URL與從所述名稱解析伺服器接收的名稱解析應答中包含的多個連接目的地IP位址相對應地進行管理。
7.根據權利要求1至6的任意ー項所述的網絡系統,其特徵在幹, 所述過濾處理部在所述檢測處理中, 識別所述客戶機裝置以及所述服務伺服器裝置, 把一定時間內從所述客戶機裝置的連接源IP位址向所述訪問限制對象數據的HTTP請求數作為計數值進行保存, 當所述計數值超過某個閾值時,看做發生了所述頻繁的訪問。
8.一種網絡系統,其具備過濾裝置,該過濾裝置具有在客戶機裝置與服務伺服器裝置之間對HTTP請求以及HTTP應答進行中繼的功能、和切斷從所述客戶機裝置向所述服務伺服器裝置所提供的訪問限制對象服務的訪問的功能,所述網絡系統的特徵在幹, 所述過濾裝置具有進行檢測處理和切斷處理的過濾處理部, 把所述客戶機裝置的連接源IP位址、從所述客戶 機裝置接收的名稱解析請求中包含的URL、從名稱解析伺服器接收的名稱解析應答中包含的連接目的地IP位址、以及表示通過向所述連接目的地IP位址的訪問所提供的所述服務是否為所述客戶機裝置的用戶進行的訪問的限制對象的信息相對應地進行管理, 當在所述檢測處理中檢測到來自所述客戶機裝置的所述服務伺服器裝置的名稱解析請求時, 在所述切斷處理中應答與所述服務伺服器裝置不同的其他伺服器裝置的IP位址,作為針對所述名稱解析請求的應答,由此切斷向所述訪問限制對象服務的訪問。
9.根據權利要求8所述的網絡系統,其特徵在幹, 還具備應答訪問限制消息的抱歉伺服器裝置, 所述過濾處理部在所述切斷處理中,向所述客戶機裝置應答所述抱歉伺服器裝置的IP位址,作為針對所述名稱解析請求的應答, 使所述客戶機裝置在與所述抱歉伺服器裝置之間進行所述TCP連接的確立請求和HTTP請求。
全文摘要
本發明提供過濾系統以及過濾方法。在進行客戶機與Web伺服器之間的HTTP通信的過濾時,在過濾裝置中,在通常時不進行TCP終結處理,從接收數據包中提取HTTP訪問的請求行中的URL,執行URL的通過/訪問拒絕判定,在為拒絕訪問的判定結果時執行TCP終結處理的方式中,在頻繁地進行成為切斷情況的HTTP訪問的情況下,具有在Web伺服器一側被誤識別為DoS攻擊的危險性。網絡系統具有從同一客戶機向同一Web伺服器中的訪問限制對象數據的頻繁的訪問的檢測單元、和在該單元檢測到頻繁的訪問後切斷向該Web伺服器的TCP連接的切斷單元,切斷向提供訪問限制對象數據的Web伺服器的頻繁的TCP連接。
文檔編號H04L29/06GK103095676SQ20121041753
公開日2013年5月8日 申請日期2012年10月26日 優先權日2011年11月4日
發明者竹島由晃, 原口直規 申請人:株式會社日立製作所