专利名称:过滤系统以及过滤方法
技术领域:
本发明涉及进行客户机与服务提供服务器之间的HTTP通信的过滤的过滤系统以及过滤方法。
背景技术:
在现有的HTTP通信的过滤方式中,具有HTTP代理(proxy)方式或透明型代理方式(日本特开2010-244134号公报(称为文献I)、段落0002 0005)。但是,在这些方式中指出了以下的课题。在前者的HTTP代理方式中,在HTTP客户机没有进行使用HTTP代理的设定时无法进行过滤(文献I,段落0006)。此外,在后者的透明型代理方式中,TCP会话的终结处理复杂,需要基于软件的处理,因此产生吞吐量降低的问题(文献1,段落0007、0008)。为了解决这些课题,提出了以下的方式(文献1、段落0013、0014),通常时不进行TCP终结处理,从接收数据包中提取HTTP访问的请求行中的URL,执行URL的通过/访问拒绝判定,在判定结果为拒绝访问时,执行TCP终结处理。但是,文献I公开的技术,在切断(限制)来自客户机的访问的情况下,一度透明转发从客户机向Web服务器的TCP 3way-handshake (TCP三路握手)并确立了 TCP连接后,判定为拒绝访问,在服务器侧进行TCP终结处理(文献1,段落0030、034以及图3)。在该方法中,对于Web服务器来说,看起来在进行了 TCP连接后,不接收HTTP请求地从客户机一侧进行TCP切断。在频繁地进行这样的处理时,在Web服务器ー侧误识别为DoS (DenialQfService:拒绝服务)攻击,Web服务器管理者对于来自该客户机侧网络的连接,可能采取以IP地址为基础的访问切断的安全対策。当访问被切断时,之后存在与该客户机侧网络连接的客户机无法与Wb服务器连接的问题。为了避免该问题,必须即便在切断访问的情况下,也不频繁地进行以下的过程:在从过滤器装置对Web服务器进行TCP连接后,对于Web服务器不发送HTTP请求地进行TCP切断。
发明内容
为了解决上述课题,公开的过滤系统的特征为:具有在Web服务器装置等服务服务器装置(以下总称为Web服务器装置)提供的服务对于要进行访问的用户来说为访问限制对象的情况下,能够切断向该服务的频繁的TCP连接的结构。具体地说,第一特征为:具备从同一客户机向同一 Web服务器中的访问限制对象数据的频繁的访问的检测单元;在该单元检测到频繁的访问后切断向该Web服务器的TCP连接的切断単元。
并且,第二特征为:具备当存在多个提供某相同的访问限制对象数据的Web服务器,在针对某个主机名的DNS名称解析时的应答数据中记载了不同的多个IP地址时,把向具有这些不同的多个IP地址的该Web服务器组的访问限制对象数据的访问作为同一访问来处理,在通过所述检测单元检测到之后,切断向该Web服务器组的TCP连接的切断単元。第三特征为:具备在来自客户机的Web服务器的主机名的名称解析时,在通过所述检测単元检测到之后,切断向提供访问限制对象数据的Web服务器的名称解析请求的访问的访问切断単元。更具体的ー个方式是ー种网络系统,其,具备过滤装置,该过滤装置具有对在客户机装置与服务服务器装置之间确立的TCP连接以及利用TCP连接收发的HTTP请求以及HTTP应答进行中继的功能、和切断从客户机装置向服务服务器装置所提供的访问限制对象服务的访问的功能,其中,过滤装置具有进行检测处理和切断处理的过滤处理部,检测处理是通过从同一客户机装置向由服务服务器装置提供的同一访问限制对象服务的频繁的HTTP访问所利用的TCP连接的确立请求,来检测HTTP访问的处理,切断处理是当通过检测处理检测到频繁的HTTP访问所利用的TCP连接的确立请求时,不向服务服务器装置转发TCP连接的确立请求,进行把该过滤装置作为终端的TCP连接的确立和切断的处理。上述过滤处理部还可以在切断处理中,如果接收到来自利用了所确立的TCP连接的客户机装置的HTTP请求,则向客户机装置发送访问限制消息并切断TCP连接。此外,过滤处理部可以在检测处理中,在判断为TCP连接的确立请求不是向访问限制对象服务的频繁的HTTP访问所利用的TCP连接的确立请求时,向服务服务器装置转发TCP连接的确立请求,使得能够确立被请求的TCP连接,如果利用所确立的TCP连接的HTTP请求是向坊问限制对象服务的HTTP请求,则为了判断是否成为频繁的访问,使HTTP请求数增加。另外,过滤处理部可以把客户机装置的连接源IP地址、向服务服务器装置提供的服务的连接目的地IP地址、以及表示通过向连接目的地IP地址的访问所提供的服务是否为客户机装置的用户进行的访问的限制对象的信息相对应地进行管理。并且,过滤处理部可以在检测处理中,把从客户机装置接收到的名称解析请求转发给名称解析服务器,从名称解析服务器接收名称解析应答,把接收的名称解析应答中包含的连接目的地IP地址作为被管理的连接目的地IP地址,将其与名称解析请求中包含的URL相对应地进行管理。 并且,过滤处理部可以在检测处理中,把被管理的ー个URL与从名称解析服务器接收的名称解析应答中包含的多个连接目的地IP地址相对应地进行管理。此外,过滤处理部可以在检测处理中,识别客户机装置以及服务服务器装置,把一定时间内从客户机装置的连接源IP地址向访问限制对象数据的HTTP请求数作为计数值进行保存,当计数值超过某个阈值时,看做发生了频繁的访问。此外,另ー方式为ー种网络系统,其具备过滤装置,该过滤装置具有在客户机装置与服务服务器装置之间对HTTP请求以及HTTP应答进行中继的功能、和切断从客户机装置向服务服务器装置所提供的访问限制对象服务的访问的功能,其中,过滤装置具有进行检测处理和切断处理的过滤处理部,把客户机装置的连接源IP地址、从客户机装置接收的名称解析请求中包含的URL、从名称解析服务器接收的名称解析应答中包含的连接目的地IP地址、以及表示通过向连接目的地IP地址的访问所提供的服务是否为客户机装置的用户进行的访问的限制对象的信息相对应地进行管理,当在检测处理中检测到来自客户机装置的服务服务器装置的名称解析请求时,在切断处理中应答与服务服务器装置不同的其他服务器装置的IP地址,作为针对名称解析请求的应答,由此切断向访问限制对象服务的访问。在上述系统中还可以具备应答访问限制消息的抱歉服务器装置,过滤处理部在切断处理中,向客户机装置应答抱歉服务器装置的IP地址,作为针对名称解析请求的应答,使客户机装置在与抱歉服务器装置之间进行TCP连接的确立请求和HTTP请求。根据以上的公开,即使在过滤装置切断来自客户机的访问时,在之后的处理中,也能够降低被Web服务器管理者误识别为DoS攻击的可能性。
图1表示实施方式I的过滤系统的结构例子。图2表示实施方式I的过滤装置20的通信管理表的结构例子。图3例示了实施方式I的接收名称解析请求时的处理过程。图4例示了实施方式I的接收TCP连接请求时的处理过程。图5例示了实施方式I的过滤装置20的中继处理的流程图。图6例示了实施方式I的过滤装置20的透明转发处理(TCP连接确立)过程。图7例示了实施方式I的过滤装置20的HTTP过滤处理过程。图8例示了实施方式I的过滤装置20的代理应答处理(视同过滤)过程。图9表示实施方式2的过滤系统的结构例子。图10表示实施方式2的过滤装置20的通信管理表的结构例子。图11表示实施方式2的过滤装置20的访问控制管理表的结构例子。图12例示了实施方式2的接收名称解析请求时的处理过程。图13例示了实施方式2的过滤装置20的HTTP过滤处理过程。图14例示了实施方式3的接收名称解析请求时的处理过程。图15表示各装置的硬件结构的例子。
具体实施例方式
以下使用附图对实施方式进行说明。在存在被赋予了相同的编号的要素、步骤时,假定分别具有相同的功能,执行相同的处理内容。(实施方式I)图1是表示在本说明书中公开的过滤系统I的结构例子的框图。过滤系统I具有过滤装置20、访问控制服务器装置30、认证服务器装置40。过滤系统I处于ー个以上的客户机装置10、Web服务器装置50、DNS服务器装置60分别能够经由LAN (Local Area Network:局域网)或无线网络等网络通信的状态。客户机装置10是使用HTTP (Hyper Text Transfer Protocol:超文本传输协议)等TCP/IP上的协议与Web服务器装置50连接,进行服务请求的装置。客户机装置10在访问Web服务器装置50之前,对DNS服务器装置60使用DNS协议发送Web服务器装置50的代表域名的名称解析请求。然后,作为其应答,接收Web服务器装置50的IP地址。Web服务器装置50是对客户机装置10提供Web服务的服务器处理所运行的装置。DNS服务器装置60是提供名称解析服务的服务器装置。访问控制服务器装置30是当接收到针对某个URL的访问控制信息请求时,检索URL数据库,应答表示该URL是否为访问限制对象的访问控制信息的服务器装置。认证服务器装置40是一同接收用于识别用户的信息和用户认证请求,应答表示该用户是否为过滤对象用户的用户类别信息的服务器装置。在此,作为用于识别用户的信息的例子,具有IP地址或用户ID信息等。过滤装置20是进行客户机装置10与Web服务器装置50之间的HTTP通信的过滤的装置。图15表示了客户机装置10、过滤装置20、访问控制服务器装置30、认证服务器装置40、Web服务器装置50、DNS服务器装置60等各服务器装置的硬件结构的例子。这些服务器装置可以通过一般的计算机1000来实现,该一般的计算机1000具有CPU1001、主存储装置1002、HDD等外部存储装置1005、从CD-ROM或DVD-ROM等可移动的存储介质1008读出信息的读取装置1003、显示器、键盘或鼠标等输入输出装置1006、用于与网络1010连接的NIC (Networklnterface Card)等通信装置1004、以及在这些装置之间连接的总线等内部通信线1007。例如,后述的通信管理表221使用主存储装置1002的一部分区域来实现。此外,各装置把各自的外部存储装置1005中存储的各种程序加载到主存储装置1002中由CPU1001来执行,使用通信装置1004与网络1010连接,与客户机装置10或其他服务器装置进行网络通信,由此实现本实施例中的各种处理部以及通过这些处理部进行的各种处理。过滤装置20具备过滤处理部21和通信管理信息存储部22。通信管理信息存储部22具备通信管理表221。过滤处理部21控制由过滤装置20进行的全部的通信处理。在此,使用图2详细说明通信管理表221。实施方式I中的通信管理表221 (称为221A),具备连接源IP地址字段2211、用户类别字段2212、连接目的地IP地址字段2213、访问控制信息字段2214、限制计数器2215、有效期限字段2216。连接源IP地址字段2211是存储作为连接源的客户机装置10的IP地址的区域。能够从客户机装置10向Web服务器装置50开始TCP连接时的SYN数据包的发送源IP地址头部(header)取得客户机装置10的IP地址。用户类别字段2212是存储表示客户机装置10是过滤对象还是非过滤对象的用户类别信息的区域。能够从对认证服务器40进行询问后的结果,得到用户类别信息。连接目的地IP地址字段2213是存储从客户机装置10向Web服务器装置50的通信中的作为连接目的地的Web服务器装置50侧的IP地址的区域。能够从客户机装置10向Web服务器装置50开始TCP连接时的SYN数据包的发送目的地IP地址头部取得连接目的地IP地址。
访问控制信息字段2214是存储表示由连接目的地IP地址2213的值表示的Web服务器装置50是否为访问限制对象的值(访问控制信息)的区域。向访问控制服务器装置30发送访问控制信息请求,能够从接收到的应答结果得到访问控制信息。限制计数器2215是计数器区域,其表示在对连接目的地IP地址2213所示的Web服务器装置50发送的HTTP请求中,在预定时间内,通过从访问控制服务器装置30应答的访问控制信息,发送目的地URL成为访问限制对象,进行了访问限制的次数。过滤处理部21在每次接收到向访问限制对象URL的HTTP请求时,使限制计数器2215的值增加。有效期限字段2216是存储通信管理表221的各条目的有效期限日期时间的区域。如果把连接源IP地址以及/或者连接目的地IP地址作为检索关键字检索所得到的条目的有效期限2216的值在当前日期时间之前,则设该条目设为无效,将限制计数器2215清零。然后,再次重新生成条目,进行覆盖登录。以下,使用图3至图8说明实施方式I中的过滤装置20中的过滤处理部21的过
滤方法。图3是例示了接收名称解析请求时的处理的过程图。过滤装置20当从客户机装置10接收名称解析请求吋,进行通信协议的判定处理(步骤 S 101)。例如,检查数据包的发送目的地端ロ号码,如果是53号端ロ,则判定为DNS协议。或者,如果是80号端ロ以外,则判定为HTTP以外的协议。之后,通过发送源IP地址、发送源端口号码、发送目的地IP地址、发送目的地端ロ号码这四个组,管理以及识别通信。关于一度进行了协议检查的通信,在通信完成之前跳过协议检查。然后,如果是HTTP以外的协议,则进行透明转发处理(步骤S102)。图4是例示了接收TCP连接请求时的处理的过程图。过滤装置20当从客户机装置10接收到SYN数据包时,进行协议检查处理(步骤S101)。当判定为HTTP时,把从SYN数据包的连接源IP地址头部取得的连接源IP地址作为检索关键字,检索通信管理表221A (步骤S202)。如果存在条目,并且在有效期限内,则前进到中继处理(S206),否则,在通信管理表221A中生成条目,在连接源IP地址字段2211中存储在步骤S202中取得的连接源IP地址,在用户类别字段2212中存储表示非过滤对象的用户类别信息,在连接目的地IP地址字段2213中存储从SYN数据包的发送目的地IP地址头部得到的连接目的地IP地址,在访问控制信息字段2214中存储表示非访问限制对象的访问控制信息,在限制计数器2215中存储值“0”,并且把预先在过滤装置20中通过设定文件等设定的有效期与当前日期时间相加后的值作为有效期限日期时间,存储在有效期限字段2216中,前进到步骤S204 (步骤S203)。在此,在虽然具有条目但在有效期限字段2216中存储的值已经超过有效期限吋,可以把有效期与当前日期时间相加后的值作为有效期限日期时间,在有效期限字段2216中更新,然后覆盖其他的字段221广2215。然后,赋予连接源IP地址信息来把用户认证请求发送给认证服务器装置40 (步骤S204)。
从认证服务器装置40接收到的用户认证应答中取得用户类别信息,存储在在步骤S204中生成的通信管理表221A的条目的用户类别字段2212中(步骤S205)。然后,前进到中继处理(S206)。然后,使用图5详细说明中继处理(步骤S206)。首先,关于通信管理表221A的相应条目,从用户类别2212取得用户类别信息(步骤S301),检查用户类别是否为过滤对象(步骤S302 )。如果不是过滤对象,则透明转发该通信中的通信数据(步骤S310)。在此,可以将透明转发期间设为直到有效期限2216表示的日期时间为止。此外,如果是过滤对象,则检查在相应条目中是否登录了连接目的地IP地址2213的信息(步骤S303),如果没有登录则进行登录(步骤S304)。然后,检查访问控制信息2214是否为限制对象(步骤S305)。如果是限制对象以外,或者没有登录是否为限制对象,则前进到透明转发处理(TCP连接确立)(S309)。如果是限制对象,则取得限制计数器2215的值(步骤S306),进行预先已登录的阈值超过检查(步骤S307)。在此,在过滤装置20的设定文件中记载有阈值,可以在过滤装置20启动时从设定文件中读取,存储在存储器1002区域中。如果限制过滤器2215的值超过了阈值,则前进到代理应答处理(视同过滤)(S308)。如果没有超过,则前进到透明转发处理(TCP连接确立)(S309)。然后,使用图6详细说明透明转发处理(TCP连接确立)(步骤S309)。首先,关于该通信中的客户机装置10与Web服务器装置50之间的TCP连接过程(sequence) (TCP 3way_handshake)进行透明转发(步骤 S401)。然后进行HTTP过滤处理(S402),最后,为了强制结束服务器侧TCP连接,发送RST数据包(步骤S403)。然后,关于上述HTTP过滤处理(S402),使用图7详细说明实施方式I的步骤S402A。当接收到HTTP请求时,把与请求行中记载的URL相关的访问控制信息发送给访问控制服务器装置30来进行询问,取得访问限制信息(步骤S501)。然后,使用取得的信息更新通信管理表221A的访问控制信息字段2214(在为空栏时,新登录)(步骤S502)。然后,參照访问限制信息,检查访问控制信息字段2214的值,比较是否为访问限制对象(步骤S503)。如果不是访问限制对象,则把该HTTP请求发送给Web服务器装置50,井向客户机装置10发送来自Web服务器装置50的HTTP应答(透明转发处理(HTTP通信))(步骤S504)。然后,当接收到下一 HTTP请求时,返回S501继续进行处理。然后,在从客户机装置10或Web服务器装置50接收到TCP切断请求时,或者在与客户机装置10以及Web服务器装置50的无通信状态经过了一定时间(超吋)时,看做TCP切断情况,对于客户机装置10以及Web服务器装置的双方进行TCP切断过程。否则,返回S501继续处理(步骤S505)。
如果是访问限制对象,则使通信管理表221A的限制计数器2215的值增加,把表示限制向该URL访问的主g的访问限制消息作为HTTP应答,向客户机装置10应答,进行与客户机装置10的TCP切断(代理应答处理(HTTP错误应答))(步骤S506)。然后,使用图8详细说明代理应答处理(视同过滤)(步骤S308)。针对从客户机装置10接收到的用于TCP连接的SYN数据包,进行把本过滤装置20作为终端的TCP连接受理过程(TCP 3way_handshake)(步骤S601 ),然后进行代理应答处理(HTTP 错误应答)(S506)。如上所述,在本实施方式中,在通常时不进行TCP终结处理,从接收数据包中提取HTTP访问的请求行中的URL,执行URL的通过/访问拒绝判定,在为拒绝访问的判定结果时执行TCP终结处理的方式中,因为能够切断向提供访问限制对象数据的Web服务器的频繁的TCP连接,所以具有能够避免被Web服务器管理者误识别为DoS攻击的危险性的效果。(实施方式2)使用图9说明实施方式2。在本实施方式中,过滤系统I除了实施方式I的结构之外还具有访问控制信息存储部23。此外,通信管理信息存储部22具备的通信管理表221的结构也存在变更。以下使用图10说明实施方式2的通信管理表221 (称为221B)的结构。通信管理表221B具备连接源IP地址字段2211、用户类别2212、连接目的地信息2217、限制计数器2215、有效期限2216。连接源IP地址字段2211、用户类别2212、限制计数器2215、有效期限2216与实施方式I相同。连接目的地信息2217是存储访问控制信息存储部23具备的访问控制管理表231的条目号码的区域。使用图11说明访问控制管理表231。访问控制管理表231管理与连接目的地Web服务器装置50有关的详细信息。访问控制管理表231具备发送目的地主机名字段2311、多个IP地址字段2312、访问控制信息字段2313、有效期限字段2314。访问控制信息2313是存储与实施方式I中的访问控制信息2214相同的信息的区域。然后,使用图12详细说明接收名称解析请求时的处理。过滤装置20当从客户机装置10接收到名称解析请求时,进行通信协议的判定处S(SIOI)0在此,检查数据包的发送目的地端ロ号码,如果是53号端ロ,则判定为DNS协议。如果是DNS协议,则把名称解析请求转发给DNS服务器装置60,接收名称解析应答(步骤 S701)。然后,对接收到的名称解析应答的数据进行解析,把名称解析对象的主机名登录到发送目的地主机名字段2311中,把IP地址信息登录到IP地址字段2312中,更新有效期限2314的日期时间(步骤S702)。在通过名称解析应答从DNS服务器装置60应答了未登录的IP地址时,追加新的IP地址字段2312,登录多个IP地址。
然后,把名称解析应答转发给客户机装置10 (步骤S703)。此外,在图5的中继处理(S206)中的S305的处理中,把发送目的地IP地址作为检索关键字,对访问控制管理表231的IP地址字段2312进行检索,使用匹配的条目的访问控制信息2313判定是否为限制对象。在此,当在ー个条目的多个IP地址字段2312中登录了 IP地址时,对于全部的IP地址字段2312进行检索。然后,使用图13说明实施方式2的HTTP过滤处理。当接收到HTTP请求时,取得访问限制信息(S501)。然后,使用取得的信息,更新访问控制信息管理表231的访问控制信息字段2313(步骤 S801)。然后,在通信管理表221B的连接目的地信息2217中,存储在S801中更新后的条目的条目ID (步骤S802)。然后,检查访问控制信息字段2313的值,比较是否为访问限制对象(步骤S803)。根据访问限制信息,如果该URL不是访问限制对象,则把该HTTP请求发送给Web服务器装置50,井向客户机装置10发送来自Web服务器装置50的HTTP应答(透明转发处理(HTTP通信))(步骤S504)。然后,当接收到下一 HTTP请求时,返回S501继续进行处理。然后,在从客户机装置10或Web服务器装置50接收到TCP切断请求时,或者在与客户机装置10以及Web服务器装置50的无通信状态经过了一定时间(超吋)时,看做TCP切断情况,对于客户机装置10以及Web服务器装置的双方进行TCP切断过程。否则,返回S501继续处理(步骤S505)。如果是访问限制对象,则使通信管理表221B的限制计数器2215的值增加,把表示限制向该URL访问的主g的访问限制消息作为HTTP应答向客户机装置10进行应答,进行与客户机装置10的TCP切断(代理应答处理(HTTP错误应答))(步骤S506)。如上所述,在本实施方式中,当存在多个提供某相同的访问限制对象数据的Web服务器装置50时,把向该Web服务器装置50组的访问限制对象数据的访问作为同一访问来进行处理,具有能够切断向该Web服务器装置50组的TCP连接的效果。(实施方式3)使用图9以及图14说明实施方式3。在图9中,在本实施方式中,过滤系统I除了实施方式2的结构之外,还具有抱歉(Sorry)服务器地址存储部24和抱歉服务器装置70。抱歉服务器装置70是当从客户机装置10接收到HTTP请求时,始終应答使用户得知限制向该访问目的地的访问的访问限制消息的服务器装置。上述的访问限制消息,例如是“向该Web站点的访问被限制”这样的语句。抱歉服务器地址存储部24是存储抱歉服务器装置70的IP地址的区域。在此,可以把抱歉服务器装置的IP地址预先记载在过滤装置20的设定文件中,在过滤装置20启动时从设定文件中读出,然后存储在抱歉服务器地址存储部24中。使用图14说明实施方式3的接收名称解析请求时的处理。过滤装置20当从客户机装置10接收到名称解析请求时,进行通信协议的判定处理(S 101)。
在此,检查数据包的发送目的地端口号码,如果是53号端ロ,则判定为DNS协议。如果是DNS协议,则把名称解析对象的主机名作为关键关键字,检索访问控制管理表231的发送目的地主机名字段2311 (步骤S901)。检索而得到的条目的访问控制信息2313是限制对象,并且把名称解析请求的发送源IP地址作为检索关键字,检索通信管理表221B的连接源IP地址字段2211,判定得到的条目的用户类别2212是否为过滤对象(步骤S902)。如果满足条件,则把在抱歉服务器地址存储部24中存储的抱歉服务器的IP地址作为名称解析应答,向客户机装置10进行应答(步骤S903)。如上所述,根据本实施方式,客户机装置10与抱歉服务器装置70直接进行HTTP通信,接收访问限制消息,所以具有能够削减向过滤装置20的通信量的效果。
权利要求
1.一种网络系统,其具备过滤装置,该过滤装置具有对在客户机装置与服务服务器装置之间确立的TCP连接以及利用所述TCP连接收发的HTTP请求以及HTTP应答进行中继的功能、和切断从所述客户机装置向所述服务服务器装置所提供的访问限制对象服务的访问的功能,所述网络系统的特征在干, 所述过滤装置具有进行检测处理和切断处理的过滤处理部, 所述检测处理是通过从同一所述客户机装置向由所述服务服务器装置提供的同一所述访问限制对象服务的频繁的HTTP访问所利用的TCP连接的确立请求,来检测所述HTTP访问的处理, 所述切断处理是当通过所述检测处理检测到所述频繁的HTTP访问所利用的TCP连接的确立请求时,不向所述服务服务器装置转发所述TCP连接的确立请求,进行把该过滤装置作为终端的所述TCP连接的确立和切断的处理。
2.根据权利要求1所述的网络系统,其特征在干, 所述过滤处理部,在所述切断处理中,如果接收到来自利用了所确立的所述TCP连接的所述客户机装置的HTTP请求,则向所述客户机装置发送访问限制消息并切断所述TCP连接。
3.根据权利要求1或2所述的网络系统,其特征在干, 所述过滤处理部,在所述检测处理中,在判断为所述TCP连接的确立请求不是向所述访问限制对象服务的频繁的HTTP访问所利用的TCP连接的确立请求吋,向所述服务服务器装置转发所述TCP连接的确立请求,使得能够确立被请求的TCP连接, 如果利用所确立的所述TCP连接的HTTP请求是向所述访问限制对象服务的HTTP请求,则为了判断是否成为 所述频繁的访问,使所述HTTP请求数増加。
4.根据权利要求1至3的任意ー项所述的网络系统,其特征在干, 所述过滤处理部,把所述客户机装置的连接源IP地址、向所述服务服务器装置提供的服务的连接目的地IP地址、以及表示通过向所述连接目的地IP地址的访问所提供的所述服务是否为所述客户机装置的用户进行的访问的限制对象的信息相对应地进行管理。
5.根据权利要求4所述的网络系统,其特征在干, 所述过滤处理部在所述检测处理中,把从所述客户机装置接收到的名称解析请求转发给名称解析服务器,从所述名称解析服务器接收名称解析应答, 把接收的所述名称解析应答中包含的连接目的地IP地址作为所述被管理的所述连接目的地IP地址,将其与所述名称解析请求中包含的URL相对应地进行管理。
6.根据权利要求5所述的网络系统,其特征在干, 所述过滤处理部在所述检测处理中,把所述被管理的一个所述URL与从所述名称解析服务器接收的名称解析应答中包含的多个连接目的地IP地址相对应地进行管理。
7.根据权利要求1至6的任意ー项所述的网络系统,其特征在干, 所述过滤处理部在所述检测处理中, 识别所述客户机装置以及所述服务服务器装置, 把一定时间内从所述客户机装置的连接源IP地址向所述访问限制对象数据的HTTP请求数作为计数值进行保存, 当所述计数值超过某个阈值时,看做发生了所述频繁的访问。
8.一种网络系统,其具备过滤装置,该过滤装置具有在客户机装置与服务服务器装置之间对HTTP请求以及HTTP应答进行中继的功能、和切断从所述客户机装置向所述服务服务器装置所提供的访问限制对象服务的访问的功能,所述网络系统的特征在干, 所述过滤装置具有进行检测处理和切断处理的过滤处理部, 把所述客户机装置的连接源IP地址、从所述客户 机装置接收的名称解析请求中包含的URL、从名称解析服务器接收的名称解析应答中包含的连接目的地IP地址、以及表示通过向所述连接目的地IP地址的访问所提供的所述服务是否为所述客户机装置的用户进行的访问的限制对象的信息相对应地进行管理, 当在所述检测处理中检测到来自所述客户机装置的所述服务服务器装置的名称解析请求时, 在所述切断处理中应答与所述服务服务器装置不同的其他服务器装置的IP地址,作为针对所述名称解析请求的应答,由此切断向所述访问限制对象服务的访问。
9.根据权利要求8所述的网络系统,其特征在干, 还具备应答访问限制消息的抱歉服务器装置, 所述过滤处理部在所述切断处理中,向所述客户机装置应答所述抱歉服务器装置的IP地址,作为针对所述名称解析请求的应答, 使所述客户机装置在与所述抱歉服务器装置之间进行所述TCP连接的确立请求和HTTP请求。
全文摘要
本发明提供过滤系统以及过滤方法。在进行客户机与Web服务器之间的HTTP通信的过滤时,在过滤装置中,在通常时不进行TCP终结处理,从接收数据包中提取HTTP访问的请求行中的URL,执行URL的通过/访问拒绝判定,在为拒绝访问的判定结果时执行TCP终结处理的方式中,在频繁地进行成为切断情况的HTTP访问的情况下,具有在Web服务器一侧被误识别为DoS攻击的危险性。网络系统具有从同一客户机向同一Web服务器中的访问限制对象数据的频繁的访问的检测单元、和在该单元检测到频繁的访问后切断向该Web服务器的TCP连接的切断单元,切断向提供访问限制对象数据的Web服务器的频繁的TCP连接。
文档编号H04L29/06GK103095676SQ20121041753
公开日2013年5月8日 申请日期2012年10月26日 优先权日2011年11月4日
发明者竹岛由晃, 原口直规 申请人:株式会社日立制作所