Distributed Denial of Service Ddos Attack

Attacke und Verteidigung | Shui Yu Shui Yu Yu

Dieses Dossier bietet dem Leser eine umfassende und in sich geschlossene Informationsquelle über DDoS-Angriffe und wie er sich dagegen wehren kann. Die Entwicklung in diesem immer wichtiger werdenden Bereich sowie das Hintergrund- und Untersuchungsmaterial werden vorgestellt. Das Leben und Arbeiten mit DDoS-Angriffen, DDoS-Angriffserkennungsmethoden, der Verfolgung von DDoS-Angriffsquellen und Details zur Organisation von DDoS-Angriffen durch Hacker.

Der Autor schließt mit zukünftigen Richtungen für die Domain, einschließlich der Auswirkungen von DDoS-Angriffen auf Cloud Computing und Cloud-Technologie. Die Natur dieses Briefings macht ihn zu einem idealen Nachschlagewerk für Forscher und Fachleute, die sich mit DDoS-Angriffen beschäftigen.

Déni de service distribué (DDoS)

Die Kontaktstelle des Landeskriminalamtes NRW für Cyberkriminalität ist 24 Stunden am Tag erreichbar: Sie können nie ohne Abstimmung mit dem Landkriminalamt in direkten Kontakt mit Erpressern kommen. Die Mitglieder (IT-Systemadministrator/Abteilung, Management und Unternehmenskommunikation) in Ihrem Unternehmen oder bei Ihrem IT-Dienstleister. Besonders wachsam sein bei einem DDoS-Angriff - Angreifer nutzen DDoS-Angriffe oft als Ablenkungsmanöver, um über andere Netzwerk-Schwachstellen auf Unternehmensdaten zuzugreifen.

Im nombreux casinos wird sich Ihr ISP mit Ihnen in Verbindung setzen, um Sie auf einen DDoS-Angriff aufmerksam zu machen. Der Schutz vor kleinen Angriffen gegen Geschäftskunden ist oft der Basisschutz. Für die Angriffe wird empfohlen, sich an ein auf Anti-DDoS spezialisiertes Unternehmen zu wenden. Die Unternehmen Link11, Akamai und Cloudflare bieten 24-Stunden-Notrufnummern und Support:

Procédérationsverfahren und -vorrichtung zur Verhinderung eines Denial-of-Service (DOS)-Angriffs durch selektive Drosselung von TCP

Die Erfindung betrifft in der Regel Client/Server-Datenkommunikationssysteme und ist insbesondere auf eine Methode und ein Gerät ausgerichtet, das automatisch vor einem möglichen DoS-Angriff schützt. Die Informationssysteme sind in der Kunst bekannt und haben sich zu einem Grundnahrungsmittel entwickelt und sind auch in vielen Haushalten zu finden.

Eine der wichtigsten Eigenschaften, die der Geschäftswelt angeboten werden, ist die Verwendung von elektronischer Post (E-Mail) zum Senden und Empfangen von Nachrichten und anderen Informationen zwischen ihnen in einem geschäftlichen Kontext. Die Mitarbeiter von Heimcomputern, wie Desktops oder Laptops, und anderen Informationsgeräten, wie z. B. PDA, ermöglichen Telearbeit, so dass ein Benutzer eine Verbindung zum Arbeitsserver des Benutzers herstellen und Nachrichten herunterladen kann.

Das elektronische Postsystem ermöglicht es Clients eines Netzwerksystems, die von einem Serversystem verwaltet werden, Nachrichten oder Daten von einem Benutzer an einen anderen zu senden. Durch die Minimierung des Speicherplatzes und der Anforderungen sowie die Maximierung der Funktionalität und Konsistenz der im Netzwerksystem verwendeten E-Mail-Engine befindet sich die Engine in der Regel auf dem Server und ist für einen Client einfach zugänglich, um Nachrichten an einen anderen Benutzer oder Client auf dem Serversystem zu senden oder abzurufen.

Der Kunde kann auf diese Weise in der Regel Operationen wie das Verfassen, Aktualisieren und Versenden von Nachrichten durchführen, während der Server eines solchen Systems zum Teil ein serverbasiertes Nachrichten-Repository sowie Funktionen zum Senden und Empfangen von Nachrichten auf Benutzerebene auf Client-Ebene bereitstellt.

1 zeigt ein 100-Messaging-System, das für große verteilte Netzwerke wie das Internet oder große Intranet-Systeme geeignet ist. Das Système 100 umfasst in der Regel einen zentralen Dienst, der sich in einem Computersystem 104 befindet, das die Form eines Mainframe-Systems oder eines verteilten Computersystems annehmen kann.

Lorsque 100 ist ein Mailsystem, z.B. ein Mailsystem, wobei der zentrale 102 als zentraler Mailserver an eine Schnittstelle, z.B. eine Firewall 106, gekoppelt ist, die den Informationsfluss zwischen dem Mailserver 102 und seinen n als Client 108, Client 110 und Client 112 dargestellten Clients vermittelt.

Typischerweise erzeugt der Client 108, wenn er beispielsweise einen Kanal zum Service 102 aufbauen möchte, eine Anforderung, eine Verbindung zum Mailserver 102 über eine Vielzahl von Transporten und Protokollen zu öffnen, die direkt vom Client 108 übermittelt werden, beispielsweise über TCP/IP als SMTP-Nachricht von einem Internet-System.

Sie können eine solche Verbindungsanfrage über ein Wählmodem mit PhoneNet-Protokoll, DECnet als MAIL-11-Nachricht, DECnet als SMTP-Nachricht, UVP, X.400-Transport, SNA, etc. stellen. Beispielsweise werden Internetadressen an Standorten mit einer Internetverbindung normalerweise über einen SMTP-Kanal über TCP/IP geroutet an Standorten mit nur einer UUCP-Verbindung werden Internetadressen jedoch über einen UUCP-Kanal geroutet.

Ein Kanal zwischen dem anfragenden Client 108 und dem Server-Rechner 102 wird geöffnet und ermöglicht den Datentransfer. Im Einzelfall kann der anfragende Client jedoch absichtlich oder unabsichtlich den Betrieb des Servers stören, indem er in relativ kurzer Zeit eine große Anzahl von Verbindungsanfragen erzeugt (d.h. die Verbindungsanforderungsrate).

Ein Angreifer, der beabsichtigt, eine Verbindung zum Dienst zu unterbrechen oder sogar zu stoppen, indem er den Dienst 102 zwingt, Ressourcen für die Verarbeitung der Vielzahl von Anfragen bereitzustellen, wurde als Denial-of-Service (DoS)-Angriff definiert.

Außerdem ist ein Denial-of-Service-Angriff ein Vorfall, bei dem ein Benutzer oder eine Organisation der Dienste einer Ressource beraubt wird, die sie normalerweise erwarten würden. Allgemeines ist der Verlust des Dienstes die Unfähigkeit eines bestimmten Netzwerkdienstes, wie z.B. eines elektronischen Postfachs, verfügbar zu sein oder der vorübergehende Verlust aller Verbindungen und Dienste im Netzwerk.

Eine Attacke auf einen Denial-of-Service kann auch die Programmierung und Dateien eines Computersystems zerstören. Eine Verteidigungskonvention gegen solche DoS-Angriffe basiert auf dem Konzept, die Identifizierung eines potentiellen Angreifers durch Überwachung der Verbindungsanforderungsrate für jeden anfragenden Client zu ermitteln. Ein Kunde, dessen Verbindungsanforderungsrate über einem vorgegebenen Schwellenwert liegt, wird als Angreifer identifiziert und entsprechend blockiert.

Malheureusement hat zwar das Potenzial, den DoS-Angriff zu vereiteln, aber es gibt einige Probleme mit diesem Ansatz. Die Probleme bestehen unter anderem darin, dass der Angreifer nun darüber informiert wurde, dass der Angriff entdeckt wurde und der Angreifer nur noch den Standort wechseln muss.

Dieser Prozess der Identifizierung, Sperrung und Verlagerung kann immer wieder wiederholt werden, was in jedem Fall eine erhebliche Menge an Server-Verarbeitungsressourcen erfordert. Ein anderes Projekt mit diesem Ansatz ist, dass in einigen Fällen ein legitimer anfragender Kunde kurzfristig eine Explosion von Verbindungsanfragen haben kann, ohne ein Angriff zu sein. In diesem Fall wäre es wünschenswert, eine verbesserte Methode und ein verbessertes Gerät zu haben, um einen DoS-Angriff zu verhindern.

Für die Erreichung der oben genannten, und im Einklang mit dem Zweck dieser Erfindung, die Methode, Gerät und computerlesbaren Medium zu verhindern, dass ein DoS-Angriff ohne Vorwarnung der DoS-Angreifer offen gelegt werden. Im Rahmen einer Client/Server-Umgebung wird in einem Fall eine Methode zur Verhinderung eines Denial-of-Service (DoS)-Angriffs durch einen anfragenden Client auf einem Server-Computer beschrieben.

Eine sofortige Verbindungsanforderung zu einem Zeitpunkt tn innerhalb eines Drosselintervalls ist möglich und wenn die Zeit tn nicht am Anfang des Drosselintervalls steht, wird ein Verbindungsanforderungsintervall eingeführt. Wenn die Forderung nach einer Verbindung im Intervall besteht, die größer ist als eine Ablehnungsschwelle, die dem anfordernden Client zugeordnet ist, wird die Forderung nach einer Verbindung abgelehnt.

In diesem Fall wird jedoch festgestellt, dass die Anzahl der Verbindungsanfragen im Intervall zwischen den einzelnen Anfragen nicht größer als die Ablehnungsschwelle ist, wartet der Server-Rechner eine Wartezeit zwischen den einzelnen Anfragen. Dans une une développement de l'Erfindung wird ein Abwehrmittel gegen einen DoS-Angriff beschrieben. Das Gerät umfasst eine Verbindungsanforderungsempfangseinheit zum Empfangen einer Verbindungsanfrage zu einem Zeitpunkt tn innerhalb eines Drosselintervalls des Kunden, eine mit der Verbindungsanforderungsempfangseinheit gekoppelte Inkrementeinheit zum Inkrementieren eines Verbindungsanforderungsintervalls für temporäre Verbindungen zu einem Zeitpunkt tn, der nicht am Anfang des Drosselintervalls liegt.

Das Gerät umfasst auch eine Prozessoreinheit, die mit dem m-Intervall-Verbindungsanforderungs-Zählpuffernetz gekoppelt ist, um festzustellen, ob die Anzahl der m-Intervall-Verbindungsanfragen größer ist als eine Ablehnungsschwelle, die dem anfordernden Client zugeordnet ist, und eine mit dem Prozessoreinheitsnetz verbundene Anforderungsdrosseleinheit, um die Verbindungsanfrage abzulehnen, wenn festgestellt wird, dass die Anzahl der m-Intervall-Verbindungsanfragen größer ist als die Ablehnungsschwelle, und wartet auf eine m-Intervall-Wartezeit, wenn festgestellt wird, dass die Anzahl der m-Intervall-Verbindungsanfragen nicht größer ist als die Ablehnungsschwelle, bevor die Verbindungsanforderung abgelehnt wird.

Im Rahmen einer weiteren Inkarnation der Erfindung werden computerlesbare Medien, einschließlich Computerprogrammcode zur Verhinderung eines Denial-of-Service (DoS)-Angriffs durch einen anfragenden Client auf einem Server-Computer, offengelegt. Die Unterstützung für das computerlesbare Programm umfasst einen Computerprogrammcode zum Empfangen einer Verbindungsanforderung zu einem Zeitpunkt tn innerhalb eines Drosselintervalls und einen Computerprogrammcode zum Inkrementieren eines Verbindungsanforderungsintervalls für den Fall, dass die Zeit tn nicht am Anfang des Drosselintervalls liegt.

Die Unterstützung des computerlesbaren Mediums umfasst auch einen Computerprogrammcode zur Ablehnung der Verbindungsanforderung, wenn festgestellt wird, dass die Anzahl der Verbindungsanforderungen im Intervall höher als die Ablehnungsschwelle ist, einen Computerprogrammcode zum Warten auf eine Wartezeit im Intervall der Verbindungsanforderung.

BILD 1 zeigt ein Messaging-System, das für große verteilte Netzwerke wie das Internet oder große Intranet-Systeme geeignet ist. BILD 3 A und BILD 3 B veranschaulicht die Drosselung eines Verbindungsanforderungsflusses auf Basis einer Ablehnungsschwelle nach einer Erfindungsrealisierung. BILD 5A und BILD 5B zeigen die Drosselung eines Anschlussleistungsflusses auf Basis einer Verzögerungsschwelle nach einer Erfindungsrealisierung.

BILD 7 zeigt ein typisches Mehrzweck-Computersystem, das an die Umsetzung der vorliegenden Erfindung angepasst ist. Wenn die Erfindung auch in Verbindung mit einer bevorzugten Inkarnation beschrieben wird, so ist es doch nicht beabsichtigt, die Erfindung auf eine einzige bevorzugte Inkarnation zu beschränken. Die Erfindung beschreibt im Allgemeinen eine IP-Drossel, die ein auf Internet-Standards basierendes Protokoll und Sytem zur Abwehr eines möglichen Denial-of-Service (DoS)-Angriffs ist.

Das IP-Dreieck soll Denial-of-Service-Angriffe verhindern, indem es die Verarbeitung von Verbindungen zwischen der IP-Adresse eines Angreifers und dem Server künstlich verlangsamt oder zusätzliche Verbindungen für einen bestimmten Zeitraum verweigert. Wenn ein Kunde ein potentieller Angreifer ist, protokolliert der IP-Throttler alle Verbindungs-IP-Adressen, so dass der Server Angreifer erkennen kann, sobald das Volumen der Verbindungsanfragen von einer bestimmten IP-Adresse höher ist als erwartet.

Wenn ein IP-Teilnehmer festgestellt hat, dass eine bestimmte IP-Adresse die eines Angreifers ist, antwortet der IP-Throttler entweder, indem er eine gewisse Zeit wartet, bevor er Verbindungen von dieser IP-Adresse annimmt, oder in einigen Fällen, indem er einige der Verbindungsanforderungen des Angreifers ablehnt. Bei einer Inkarnation wird die Zeit in Intervalle unterteilt (eines davon wird als Drosselintervall bezeichnet), in denen die Anzahl der Verbindungen pro Client-IP-Adresse aufgezeichnet wird.

Wenn der Kunde die Verbindungsanforderungsrate eines bestimmten Clients höher ist als die Ablehnungsschwelle, die mit diesem Client verbunden ist, wird die IP-Drossel jede neue Verbindung vom Client bis zum Beginn des nächsten Drosselintervalls ablehnen. Zusätzlich zur Ablehnungsschwelle bietet eine Verzögerungsschwelle die maximale Anzahl von Verbindungen pro Zeitintervall (z.B. ein Drosselintervall) von einer bestimmten IP-Adresse, die der Server bereit ist zu akzeptieren, ohne neue eingehende Verbindungen zu verlangsamen.

Wenn die Verbindung der jeweiligen IP-Adresse immer unter der Verzögerungsschwelle bleibt, wird keine Einschränkung für diese IP-Adresse vorgenommen. Im Rahmen des vorangegangenen Drosselintervalls werden jedoch Verbindungen, die die Verzögerungsschwelle überschreiten, über eine so genannte Wartezeit verzögert.

Insbesondere bezieht sich die Wartezeit auf die Anzahl der Verbindungsanfragen (Hits) oberhalb der Verzögerungsschwelle, der so genannten Verzögerungsrate. Beispielsweise stellt die Verzögerungsrate die Anzahl der stündlichen Verbindungen dar, die die Verzögerungsschwelle überschreiten und eine Sekunde Wartezeit verursachen. Die Beschreibung des Systems und des Systems zur DoS-Abwehr gegen einen Server-Computer in einer verteilten Umgebung wird im Folgenden beschrieben.

Diese Umgebungen werden durch Netzwerke veranschaulicht, die SMTP-Anfragen und -Antworten verwenden. Die Erfindung wird zunächst als ein multi-threaded, objektorientiertes Computersystem beschrieben, das mit Hilfe von SMTP-Anfragen und -Antworten implementiert wird, wobei zu beachten ist, dass die vorliegende Erfindung in jedem Fall in der Lage ist, genau definierte Anfragen und Antworten über ein verteiltes Netzwerk zu verarbeiten.

Wenn die Erfindung auch im Hinblick auf das Internet beschrieben wird, so kann doch jedes verteilte Netz angemessen genutzt werden, um jede gewünschte Realisierung der Erfindung zu realisieren. Die Erfindung wird nun in Form eines elektronischen Nachrichtensystems, wie z.B. eines elektronischen Mailsystems, beschrieben, das einen Server-Computer hat, der Teil eines typischen großen Computernetzwerks ist, z.B. das Internet, das mit einem Client-Computer gekoppelt ist, der in der Lage ist, eine beliebige Anzahl von Verbindungsanfragen in einem bestimmten Zeitintervall zu erzeugen.

Das Messagesystem 200 umfasst einen Server-Rechner 202, der über ein vernetztes Netzwerk von Rechnern 206, in diesem Beispiel das Internet, mit einem Client-Rechner 204 gekoppelt ist. Der Ordinateur-Client erzeugt eine Verbindungsanfrage, die typischerweise auf dem bekannten TCP/IP-Protokoll basiert, wenn er mit dem Server-Computer 202 kommunizieren möchte, um z.B. eine E-Mail-Nachricht zu senden.

Tandis IP übernimmt die Datenübermittlung, während TCP die Verfolgung einzelner Dateneinheiten (sog. Pakete) übernimmt, in denen eine Nachricht für ein effizientes Internet-Routing aufgeteilt ist. Nach der Installation des Internetprotokolls ist eine IP-Adresse eine Nummer (derzeit eine 32-Bit-Nummer), die jeden Absender oder Empfänger von über das Internet gesendeten Paketinformationen identifiziert.

Beispielsweise enthält der Internetprotokoll-Teil von TCP/IP eine IP-Adresse, die dem Empfänger in der Nachricht zugeordnet ist, und sendet sie an die IP-Adresse, die durch die Suche nach dem Domänennamen im Universal Resource Manager in einer Anfrage vom Typ HTTP (d. h. Webseite) oder in der E-Mail-Adresse in einer Anfrage vom Typ e-Mail.

Une adresse IP besteht aus zwei Teilen: der Kennung eines bestimmten Netzwerks im Internet und einer Kennung des bestimmten Geräts (das ein Dienst oder eine Arbeitsstation sein kann) innerhalb dieses Netzwerks. Der Ordinateur-Clientrechner 204 ist daher in der Tabelle in Abbildung 2 sowohl mit einer eindeutigen IP-Adresse (Client-IP) als auch mit dem Serverrechner 202 (IPserver) verknüpft.

Für die Anforderung einer Verbindung zum Server-Computer 202 generiert der Client-Computer 204 eine TCP/IP-Verbindungsanforderung, die sowohl die Client-IP-Adresse als auch die Server-IP-Adresse IPserver enthält. Die Anforderung der Verbindung wurde erfolgreich an den 202 Server-Computer weitergeleitet, und eine Firewall 206, die mit dem 202 Server-Computer gekoppelt ist, überwacht alle eingehenden Verbindungsanforderungen.

Bei der Inkarnation enthält die 206-Firewall eine Drosselklappeneinheit, die verwendet wird, um Denial-of-Service (DoS)-Angriffe zu identifizieren und zu verhindern. Die Einheit 208 enthält einen Verbindungsanforderungsmonitor 210, der die Anzahl der von einem bestimmten anfragenden Client empfangenen Verbindungsanfragen anhand der eindeutigen IP-Adresse des anfragenden Clients überwacht.

Eine Einheit mit 212 Prozessoren ist so konfiguriert, dass sie die Anzahl der Verbindungsanfragen für einen bestimmten Requester auf der Grundlage der zugehörigen IP-Adresse pro Zeiteinheit, auch bekannt als Drosselintervall, zählt. Eine 214er Speichereinheit, die mit der 212er Prozessoreinheit gekoppelt ist, wird verwendet, um verschiedene Schwellenwerte zu speichern, die verwendet werden, um festzustellen, ob ein bestimmter Client als Angreifer charakterisiert werden kann oder nicht, und wenn ja, wie man verhindern kann, dass der Angriff den Betrieb des 202er-Rechners negativ beeinflusst.

Beispielsweise wird bei BILD 2, BILD 2A und BILD 2B die Zeit in Intervalle unterteilt (eines dieser Intervalle wird als Drosselintervall bezeichnet), in denen die Anzahl der Verbindungen pro Client-IP-Adresse im Speicher 214 gespeichert ist. Die maximale Anzahl von Verbindungen pro Drosselintervall (Verbindungsanforderungsrate) von einer IP-Adresse, die der Server-Computer 202 akzeptieren kann, ohne eingehende Verbindungen abzulehnen.

Wenn ein Kunde die Verbindungsanforderungsrate über der von Processing Rt. 212 festgelegten Ablehnungsschwelle für diesen Kunden liegt, weist Processing 212 eine Drosselklappe 216 an, jede neue Verbindungsanfrage des Kunden bis zum Beginn des nächsten Engpassintervalls abzulehnen.

Insbesondere stellte Processing 212 fest, dass während eines Engpassintervalls n die Verbindungsanforderungsrate eines bestimmten Clients die zugehörige Ablehnungsrate Rt überschreitet. 212 weist Processing 212 Processing Units 216 an, neue Verbindungsanfragen des beleidigenden Antragstellers bis zum Beginn eines nächsten n+1-Engpassintervalls abzulehnen.

Die Fassade des DoS-Angriffs ist dem Angreifer somit nicht bekannt, so dass kein Anreiz besteht, die IP-Adressen der Clients zu ändern. Zusätzlich zur Rt-Ablehnungsschwelle bietet eine SLDt-Abschaltschwelle die maximale Anzahl von Verbindungen pro Zeiteinheit (z.B. eine Stunde) von einer IP-Adresse, die der Server-Computer 202 akzeptieren kann, ohne neue eingehende Verbindungen zu verlangsamen.

Für den Fall, dass die eingehende Verbindungsrate einer IP-Adresse immer unter der SLDt-Verzögerungsschwelle bleibt, gilt keine Einschränkung für den Fluss von Verbindungsanfragen von einer bestimmten IP-Adresse. Si e im vorangegangenen Drosselintervall jedoch höher als die SLDt-Verzögerungsschwelle ist, verlangsamt die IP 216-Drosselstelle den Verbindungsnachfragefluss um eine sogenannte Wartezeit.

Bei einer Inkarnation basiert die Wartezeit auf der langsamen Erhöhung der Anzahl der Verbindungen pro Zeiteinheit (z.B. eine Stunde), die eine Sekunde Wartezeit verursacht. Im Rahmen einer Implementierung wird nach dem Ende eines Drosselintervalls die mit einer IP-Adresse verbundene Wartezeit basierend auf der Anzahl der Verbindungen von dieser IP-Adresse während dieses Drosselintervalls berechnet bzw. aktualisiert.

Die Beziehung zwischen der SLDt-Verzögerungsschwelle und der Rt-Freigabe kann entsprechend den Bedürfnissen eines bestimmten Systems definiert werden. 5B wird die Zeit in Drosselintervalle aufgeteilt, in denen die Anzahl der Verbindungen pro Client-IP-Adresse von der 210 Überwachungseinheit überwacht und im Speicher 214 gespeichert wird.

Wenn der Kunde die Verbindungsanforderungsrate für ein Drosselintervall m größer als die SLDt-Verzögerungsschwelle ist, weist die Prozessoreinheit 212 die IP 216-Drosseleinheit an, den eingehenden Verbindungsanforderungsfluss um ein Wt für das nächste Drosselintervall m+1 zu verlangsamen.

Die Fassade des DoS-Angriffs ist dem Angreifer somit nicht bekannt, so dass kein Anreiz besteht, die IP-Adressen der Clients zu ändern. Beispielsweise wird in Abbildung 5B das Intervall zwischen der TCP-Akzeptanz und der von der Anwendung akzeptierten Verbindung um die Wartezeit Wt im Intervall m+1 erhöht.

BILD 6 zeigt ein Flussdiagramm, das einen 600er Prozess zur Drosselung eines Verbindungsanforderungsflusses gemäß einer Realisierung der Erfindung beschreibt. Der Prozess 600 beginnt bei 602, indem festgestellt wird, ob eine neue Verbindungsanwendung empfangen wurde oder nicht. Eine neue Verbindungsanfrage stellt fest, ob es sich um den Beginn eines neuen Intervalls handelt oder nicht.

S' festgestellt, dass ein neues Intervall begonnen hat, wird eine neue Wartezeit Wt mit 606 berechnet. Im Rahmen einer Implementierung basiert die neue Wartezeit auf der Anzahl der während des Intervalls empfangenen Verbindungen, der SLDT-Verzögerungsschwelle und der vorherigen Wartezeit. Für die Berechnung der neuen Wartezeit wird die Anzahl der nconn-Verbindungen auf 608 und 610 zurückgesetzt, die Verbindungsanforderung wird um eine Zeitspanne verzögert, die der neuen Wt Wartezeit entspricht, danach wird die Verbindung von der 612-Anwendung angenommen.

Nach 604, wenn festgestellt wurde, dass das Intervall nicht der Anfang eines neuen Intervalls ist, wird bei 614 die Anzahl der nconn-Verbindungen erhöht. A 616 Wenn festgestellt wird, dass die inkrementierte nconn über der Rt-Ablehnungsschwelle liegt, wird die Verbindungsanforderung bei 618 abgewiesen, andernfalls wird die Verbindungsanforderung um eine aktuelle Wartezeit von 620 verzögert.

Beispielsweise ist in einer Implementierung das Intervall zwischen der TCP-Akzeptanz und der von der Anwendung akzeptierten Verbindung die aktuelle Zeit Wt. Der Anschluss wird nach Ablauf der Wartezeit von der Anfrage 612 angenommen. BILD 7 zeigt ein typisches Mehrzweck-Computersystem, das an die Umsetzung der vorliegenden Erfindung angepasst ist.

Der Massenspeicher 708 ist ein computerlesbares Gerät, das zum Speichern von Programmen, einschließlich Computercode, Daten usw. verwendet werden kann. Der Massenspeicher 708 ist ein computerlesbares Gerät, das zum Speichern von Programmen, einschließlich Computercode, Daten usw. verwendet werden kann. Die Informationen, die im Massenspeicher 708 gespeichert sind, können in geeigneten Fällen standardmäßig als virtueller Speicher in den Arbeitsspeicher 706 integriert werden.

Die Zentralen der 702-CPUs sind auch mit einem oder mehreren 710-E/A-Geräten gekoppelt, die unter anderem Videomonitore, Trackballs, Mäuse, Tastaturen, Mikrofone, Touchscreens, Wandlerkartenleser, Band- oder Papierleser, Tabletts, Stylus, Sprach- oder Schreiberkennungsgeräte oder andere bekannte Eingabegeräte wie natürlich andere Computer umfassen können.

Die zentralen 702 CPUs können über eine Netzwerkverbindung an ein Computer- oder Telekommunikationsnetzwerk, z.B. ein Internetzugang oder ein Netzwerk, gekoppelt werden, wie in Abbildung 712 dargestellt. Mit einer Verbindung ist vorgesehen, dass die 702 CPUs während der Ausführung der oben beschriebenen Schritte Informationen aus dem Netzwerk empfangen oder an das Netzwerk senden können.

Diese Informationen, die oft als eine Folge von Befehlen dargestellt werden, die mit 702 CPUs ausgeführt werden, können empfangen und an das Netzwerk gesendet werden, z.B. als ein in eine Trägerwelle eingebettetes Computerdatensignal. Die Bekleidung und das Material, das oben beschrieben wurde, sind denjenigen vertraut, die sich mit Computer-Hardware und Softwarekunst auskennen.

Bien que l'année d'études d'études d'études d'études, d'études d'études d'études d'études, d'études d'études d'études et d'études, ohne vom Geist oder vom Anwendungsbereich der vorliegenden Erfindung abzuweichen. Nachdem sich Methoden zur Verhinderung eines DoS-Angriffs in einem verteilten Netzwerk nach dieser Erfindung besonders für die Implementierung in einer auf Java? basierenden Umgebung eignen, können die Methoden in der Regel in jeder objektbasierten Umgebung eingesetzt werden.

Es ist nicht auszuschließen, dass Methoden auch in einigen verteilten objektorientierten Systemen implementiert werden können.