JP5624973B2 - フィルタリング装置 - Google Patents
フィルタリング装置 Download PDFInfo
- Publication number
- JP5624973B2 JP5624973B2 JP2011241840A JP2011241840A JP5624973B2 JP 5624973 B2 JP5624973 B2 JP 5624973B2 JP 2011241840 A JP2011241840 A JP 2011241840A JP 2011241840 A JP2011241840 A JP 2011241840A JP 5624973 B2 JP5624973 B2 JP 5624973B2
- Authority
- JP
- Japan
- Prior art keywords
- filtering
- access
- request
- client device
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本明細書で開示される主題は、クライアントとサービス提供サーバ間におけるHTTP通信のフィルタリングを行う、フィルタリングシステム及びフィルタリング方法に関する。
従来のHTTP通信のフィルタリング方式には、HTTPプロキシ方式や透過型プロキシ方式がある(特許文献1、段落0002〜0005)。
しかし、これらの方式には以下の課題が指摘されている。
前者のHTTPプロキシ方式では、HTTPクライアントがHTTPプロキシを使用する設定を行っていない場合はフィルタリングを行うことができない(特許文献1、段落0006)。
また、後者の透過型プロキシ方式では、TCPセッションの終端処理が複雑でありソフトウェアによる処理が必要であるため、スループットの低下が発生する(特許文献1、段落0007、0008)。
これらの課題を解決するため、通常時はTCP終端処理を行わず、受信パケットからHTTPアクセスの要求ラインにおけるURLを抽出し、URLの通過/アクセス拒否判定を実施し、判定結果がアクセス拒否であった場合にTCP終端処理を実施する方式が提案されている(特許文献1、段落0013、0014)。
しかしながら、特許文献1が開示する技術は、クライアントからのアクセスを遮断(規制)するケースにおいて、一度クライアントからWebサーバへのTCP 3way-handshakeを透過転送しTCP接続を確立した後に、アクセス拒否と判定して、サーバ側TCP終端処理を行っている(特許文献1、段落0030〜0034および図3)。
この方法では、Webサーバにとっては、TCP接続が行なわれた後、HTTP要求を受信せずに、クライアント側からTCP切断が行われるように見える。
このような処理が頻繁に行われた場合、Webサーバ側は、DoS(Denial of Service)攻撃と誤認識し、Webサーバ管理者が、当該クライアント側ネットワークからの接続に対し、IPアドレスベースでのアクセス遮断といったセキュリティ対策を取る可能性がある。
アクセス遮断されると、それ以降、当該クライアント側ネットワークに接続しているクライアントは、Webサーバに接続できなくなってしまうという問題がある。
この問題を回避するためには、アクセスを遮断するケースにおいても、フィルタリング装置からWebサーバにTCP接続後、Webサーバに対してHTTP要求を送信せずにTCP切断、というシーケンスが頻繁に行われないようにしなければならない。
上記課題を解決するために、開示されるフィルタリングシステムは、
Webサーバ装置などのサービスサーバ装置(以下、Webサーバ装置と総称する)が提供するサービスが、アクセスするユーザにとって、アクセス規制の対象である場合に、当該サービスへの頻繁なTCP接続を遮断可能な構成を備えることを特徴とする。
Webサーバ装置などのサービスサーバ装置(以下、Webサーバ装置と総称する)が提供するサービスが、アクセスするユーザにとって、アクセス規制の対象である場合に、当該サービスへの頻繁なTCP接続を遮断可能な構成を備えることを特徴とする。
具体的には、同一クライアントから同一Webサーバにおけるアクセス規制対象データへの頻繁なアクセスの検知手段と、当該手段での検知後に当該WebサーバへのTCP接続の遮断手段と、を備えることを第一の特徴とする。
さらに、ある同一のアクセス規制対象データを提供するWebサーバが複数存在しており、あるホスト名に対するDNS名前解決時の応答データ中に異なる複数のIPアドレスが記載されていた場合、それらの異なる複数のIPアドレスを有する当該Webサーバ群のアクセス規制対象データへのアクセスを同一のものとして扱い、前記検知手段による検知後、当該Webサーバ群へのTCP接続の遮断手段と、を備えることを第二の特徴とする。
さらに、クライアントからの、Webサーバのホスト名の名前解決時において、前記検知手段による検知後、アクセス規制対象データを提供するWebサーバの名前解決要求でのアクセス遮断手段と、を備えることを第三の特徴とする。
より具体的な態様の一つは、クライアント装置とサービスサーバ装置との間で確立されたTCP接続、並びに、TCP接続を利用して送受信される、HTTP要求及びHTTP応答、を中継する機能と、クライアント装置からサービスサーバ装置が提供するアクセス規制対象サービスへのアクセスを遮断する機能とを備えるフィルタリング装置を備えるネットワークシステムであって、
フィルタリング装置は、検知処理と遮断処理を行うフィルタリング処理部を備え、
検知処理は、同一のクライアント装置から、サービスサーバ装置が提供する同一のアクセス規制対象サービスへの頻繁なHTTPアクセスを、HTTPアクセスが利用するTCP接続の確立要求により検知する処理であり、
遮断処理は、検知処理によって頻繁なHTTPアクセスが利用するTCP接続の確立要求が検知されると、TCP接続の確立要求をサービスサーバ装置へ転送せずに、当該フィルタリング装置を終端とするTCP接続の、確立と遮断とを行う処理であることを特徴とする。
フィルタリング装置は、検知処理と遮断処理を行うフィルタリング処理部を備え、
検知処理は、同一のクライアント装置から、サービスサーバ装置が提供する同一のアクセス規制対象サービスへの頻繁なHTTPアクセスを、HTTPアクセスが利用するTCP接続の確立要求により検知する処理であり、
遮断処理は、検知処理によって頻繁なHTTPアクセスが利用するTCP接続の確立要求が検知されると、TCP接続の確立要求をサービスサーバ装置へ転送せずに、当該フィルタリング装置を終端とするTCP接続の、確立と遮断とを行う処理であることを特徴とする。
上記フィルタリング処理部は、遮断処理において、確立したTCP接続を利用したクライアント装置からのHTTP要求を受信したら、アクセス規制メッセージをクライアント装置へ送信し、TCP接続を遮断するように構成してもよい。
また、フィルタリング処理部は、検知処理において、TCP接続の確立要求が、アクセス規制対象サービスへの頻繁なHTTPアクセスが利用するTCP接続の確立要求ではない、と判断された場合、TCP接続の確立要求をサービスサーバ装置へ転送し、要求されたTCP接続の確立を可能にし、確立したTCP接続を利用するHTTP要求が、アクセス規制対象サービスへのHTTP要求であれば、頻繁なアクセスとなるか否かを判断するために、HTTP要求数をカウントアップするように構成してもよい。
また、フィルタリング処理部は、
クライアント装置の接続元IPアドレスと、サービスサーバ装置が提供するサービスへの接続先IPアドレスと、接続先IPアドレスへのアクセスにより提供されるサービスが、クライアント装置のユーザによるアクセスの規制対象か否かを示す情報と、を対応付けて管理する
ように構成してもよい。
クライアント装置の接続元IPアドレスと、サービスサーバ装置が提供するサービスへの接続先IPアドレスと、接続先IPアドレスへのアクセスにより提供されるサービスが、クライアント装置のユーザによるアクセスの規制対象か否かを示す情報と、を対応付けて管理する
ように構成してもよい。
さらに、フィルタリング処理部は、
検知処理において、クライアント装置から受信した名前解決要求を名前解決サーバに転送し、名前解決サーバから名前解決応答を受信し、受信する名前解決応答に含まれる接続先IPアドレスを、上記で管理する接続先IPアドレスとし、名前解決要求に含まれるホスト名と対応付けて、管理するように構成してもよい。
検知処理において、クライアント装置から受信した名前解決要求を名前解決サーバに転送し、名前解決サーバから名前解決応答を受信し、受信する名前解決応答に含まれる接続先IPアドレスを、上記で管理する接続先IPアドレスとし、名前解決要求に含まれるホスト名と対応付けて、管理するように構成してもよい。
さらに、フィルタリング処理部は、
検知処理において、上記で管理する一つのホスト名と、名前解決サーバから受信する名前解決応答に含まれる複数の接続先IPアドレスとを対応付けて管理するように構成してもよい。
検知処理において、上記で管理する一つのホスト名と、名前解決サーバから受信する名前解決応答に含まれる複数の接続先IPアドレスとを対応付けて管理するように構成してもよい。
また、フィルタリング処理部は、
検知処理において、クライアント装置およびサービスサーバ装置を識別し、クライアント装置の接続元IPアドレスからアクセス規制対象データへの、一定時間内のHTTP要求数をカウンタ値として保持し、カウンタ値がある閾値を超過すると、頻繁なアクセスが発生したとみなすように構成してもよい。
検知処理において、クライアント装置およびサービスサーバ装置を識別し、クライアント装置の接続元IPアドレスからアクセス規制対象データへの、一定時間内のHTTP要求数をカウンタ値として保持し、カウンタ値がある閾値を超過すると、頻繁なアクセスが発生したとみなすように構成してもよい。
また、他の態様は、クライアント装置とサービスサーバ装置との間でHTTP要求及びHTTP応答、を中継する機能と、クライアント装置からサービスサーバ装置が提供するアクセス規制対象サービスへのアクセスを遮断する機能とを備えるフィルタリング装置を備えるネットワークシステムであって、
フィルタリング装置は、検知処理と遮断処理を行うフィルタリング処理部を備え、
クライアント装置の接続元IPアドレスと、クライアント装置から受信する名前解決要求に含まれるホスト名と、名前解決サーバから受信する名前解決応答に含まれる接続先IPアドレスと、接続先IPアドレスへのアクセスにより提供されるサービスが、クライアント装置のユーザによるアクセスの規制対象か否かを示す情報と、を対応付けて管理し、
検知処理において、クライアント装置からの、サービスサーバ装置の名前解決要求を検知すると、遮断処理において、名前解決要求に対する応答として、サービスサーバ装置とは異なる他のサーバ装置のIPアドレスを応答することにより、アクセス規制対象サービスへのアクセスを遮断することを特徴とする。
フィルタリング装置は、検知処理と遮断処理を行うフィルタリング処理部を備え、
クライアント装置の接続元IPアドレスと、クライアント装置から受信する名前解決要求に含まれるホスト名と、名前解決サーバから受信する名前解決応答に含まれる接続先IPアドレスと、接続先IPアドレスへのアクセスにより提供されるサービスが、クライアント装置のユーザによるアクセスの規制対象か否かを示す情報と、を対応付けて管理し、
検知処理において、クライアント装置からの、サービスサーバ装置の名前解決要求を検知すると、遮断処理において、名前解決要求に対する応答として、サービスサーバ装置とは異なる他のサーバ装置のIPアドレスを応答することにより、アクセス規制対象サービスへのアクセスを遮断することを特徴とする。
上記システムは、さらに、アクセス規制メッセージを応答するSorryサーバ装置を備え、
フィルタリング処理部は、遮断処理において、名前解決要求に対する応答として、Sorryサーバ装置のIPアドレスを、クライアント装置に応答し、クライアント装置に、Sorryサーバ装置との間で、TCP接続の確立要求と、HTTP要求とを、行わせるように構成してもよい。
フィルタリング処理部は、遮断処理において、名前解決要求に対する応答として、Sorryサーバ装置のIPアドレスを、クライアント装置に応答し、クライアント装置に、Sorryサーバ装置との間で、TCP接続の確立要求と、HTTP要求とを、行わせるように構成してもよい。
開示によれば、フィルタリング装置が、クライアントからのアクセスを遮断する場合であっても、その後の処理において、Webサーバ管理者にDoS攻撃と誤認識される可能性を低減することができる。
以下、本発明の実施の形態について、図面を用いて説明する。
なお、同じ番号が付与される要素、ステップがある場合は、それぞれ、同じ機能を備え、同じ処理内容を実施するものとする。
(実施の形態1)
図1は、本明細書で開示するフィルタリングシステム1の構成例を示すブロック図である。
図1は、本明細書で開示するフィルタリングシステム1の構成例を示すブロック図である。
フィルタリングシステム1は、フィルタリング装置20、アクセス制御サーバ装置30、認証サーバ装置40を備える。
フィルタリングシステム1は、一つ以上のクライアント装置10、Webサーバ装置50、DNSサーバ装置60と、それぞれLAN(Local Area Network)や無線ネットワークなどのネットワークを経由して通信が可能な状態にある。
クライアント装置10は、HTTP(HyperText Transfer Protocol)などのTCP/IP上のプロトコルを用いてWebサーバ装置50に接続し、サービス要求を行う装置である。クライアント装置10は、Webサーバ装置50にアクセスする前に、DNSサーバ装置60に対して、DNSプロトコルを用いて、Webサーバ装置50の代表ドメイン名の名前解決要求を送信する。そして、その応答としてWebサーバ装置50のIPアドレスを受信する。
Webサーバ装置50は、クライアント装置10に対し、Webサービスを提供するサーバプロセスが稼働する装置である。
DNSサーバ装置60は、名前解決サービスを提供するサーバ装置である。
アクセス制御サーバ装置30は、あるURLに対するアクセス制御情報要求を受信すると、URLデータベースを検索し、そのURLがアクセス規制の対象かどうかを示すアクセス制御情報を応答するサーバ装置である。
認証サーバ装置40は、ユーザを識別するための情報とともにユーザ認証要求を受信し、そのユーザがフィルタリングの対象ユーザかどうかを示すユーザ種別情報を応答するサーバ装置である。
ここで、ユーザを識別するための情報の例としては、IPアドレスやユーザID情報などがある。
フィルタリング装置20は、クライアント装置10とWebサーバ装置50間におけるHTTP通信のフィルタリングを行う装置である。
クライアント装置10、フィルタリング装置20、アクセス制御サーバ装置30、認証サーバ装置40、Webサーバ装置50、DNSサーバ装置60などの各サーバ装置のハードウェア構成の例を図15に示す。
これらのサーバ装置は、CPU1001、主記憶装置1002、HDD等の外部記憶装置1005、CD-ROMやDVD-ROM等の可搬性を有する記憶媒体1008から情報を読み出す読取装置1003、ディスプレイ、キーボードやマウスなどの入出力装置1006、ネットワーク1010に接続するためのNIC(Network Interface Card)等の通信装置1004、及びそれらの装置間を接続するバスなどの内部通信線1007を備えた一般的なコンピュータ1000により実現できる。例えば、後述の通信管理テーブル221は、主記憶装置1002の一部の領域を用いて実現する。
また、各装置は、それぞれの外部記憶装置1005に記憶されている各種プログラムを主記憶装置1002にロードしてCPU1001で実行し、通信装置1004を用いてネットワーク1010に接続してクライアント装置10や他サーバ装置とのネットワーク通信を行うことで、本実施例における各種処理部と、それらによる各種処理を実現する。
フィルタリング装置20は、フィルタリング処理部21と通信管理情報記憶部22とを備える。通信管理情報記憶部22は、通信管理テーブル221を備える。
フィルタリング処理部21は、フィルタリング装置20が行う全ての通信処理を制御する。
ここで図2を用いて、通信管理テーブル221の詳細について説明する。
実施の形態1における通信管理テーブル221(221Aという)は、接続元IPアドレスフィールド2211と、ユーザ種別フィールド2212と、接続先IPアドレスフィールド2213と、アクセス制御情報フィールド2214と、規制カウンタ2215と、有効期限フィールド2216と、を備える。
接続元IPアドレスフィールド2211は、接続元であるクライアント装置10のIPアドレスを記憶する領域である。クライアント装置10のIPアドレスは、クライアント装置10からWebサーバ装置50へのTCP接続開始時のSYNパケットの送信元IPアドレスヘッダより得る。
ユーザ種別フィールド2212は、クライアント装置10がフィルタリング対象か非対象かを示すユーザ種別情報を記憶する領域である。ユーザ種別情報は、認証サーバ40に問い合わせた結果より得る。
接続先IPアドレスフィールド2213は、クライアント装置10からWebサーバ装置50への通信における、接続先であるWebサーバ装置50側のIPアドレスを記憶する領域である。接続先IPアドレスは、クライアント装置10からWebサーバ装置50へのTCP接続開始時のSYNパケットの送信先IPアドレスヘッダより得る。
アクセス制御情報フィールド2214は、接続先IPアドレス2213の値が示すWebサーバ装置50がアクセス規制対象かどうかを示す値(アクセス制御情報)を記憶する領域である。アクセス制御情報は、アクセス制御サーバ装置30にアクセス制御情報要求を送信して、受信した応答結果より得る。
規制カウンタ2215は、接続先IPアドレス2213の示すWebサーバ装置50に対して送信したHTTP要求のうち、所定時間内に宛先URLが、アクセス制御サーバ装置30から応答されたアクセス制御情報でアクセス規制対象となってアクセス規制を行った数を示すカウンタ領域である。フィルタリング処理部21は、アクセス規制対象URLへのHTTP要求を受信する毎に規制カウンタ2215の値をカウントアップする。
有効期限フィールド2216は、通信管理テーブル221の各エントリの有効期限日時を記憶する領域である。接続元IPアドレス及び/もしくは接続先IPアドレスを検索キーワードとして検索して得たエントリの有効期限2216の値が現在日時より過去であれば、当該エントリは無効とし、規制カウンタ2215を0クリアする。そして、再度新しくエントリを作成するか、上書き登録する。
以下、図3ないし図8を用いて、実施の形態1でのフィルタリング装置20におけるフィルタリング処理部21でのフィルタリング方法について説明する。
図3は、名前解決要求受信時の処理を例示するシーケンス図である。
フィルタリング装置20は、クライアント装置10から名前解決要求を受信すると、通信プロトコルの判定処理を行う(ステップS101)。
例えば、パケットの宛先ポート番号をチェックし、53番ポートであればDNSプロトコルとして判定する。もしくは、80番ポート以外であればHTTP以外のプロトコルとして判定する。
以降は送信元IPアドレス、送信元ポート番号、送信先IPアドレス、送信先ポート番号の4つ組で通信を管理および識別する。一度プロトコルチェックを行った通信については、通信が完了するまでプロトコルチェックをスキップする。
そして、HTTP以外のプロトコルであれば、透過転送処理を行う(ステップS102)。
図4は、TCP接続要求受信時の処理を例示するシーケンス図である。
フィルタリング装置20は、クライアント装置10からSYNパケットを受信すると、プロトコルチェック処理を行う(ステップS101)。
HTTPであると判定すると、SYNパケットの接続元IPアドレスヘッダより得た接続元IPアドレスを検索キーワードとして通信管理テーブル221Aを検索する(ステップS202)。
エントリが存在し、かつ有効期限内であれば、中継処理(S206)に進み、そうでなければ、通信管理テーブル221Aにエントリを作成し、ステップS202で得た接続元IPアドレスを接続元IPアドレスフィールド2211に、フィルタリング非対象を示すユーザ種別情報をユーザ種別フィールド2212に、SYNパケットの送信先IPアドレスヘッダより得た接続先IPアドレスを接続先IPアドレスフィールド2213に、アクセス規制非対象を示すアクセス制御情報をアクセス制御情報フィールド2214に、0という値を規制カウンタ2215に、あらかじめフィルタリング装置20に設定ファイルなどで設定した有効期間を現在日時に足した値を有効期限日時として有効期限フィールド2216に、それぞれ格納し、ステップS204に進む(ステップS203)。
ここで、エントリはあるが有効期限フィールド2216に記憶した値が有効期限切れであった場合は、有効期間を現在日時に足した値を有効期限日時として有効期限フィールド2216に更新したうえで、他のフィールド2211〜2215に上書きしても良い。そして、認証サーバ装置40に、接続元IPアドレス情報を付与してユーザ認証要求を送信する(ステップS204)。
認証サーバ装置40から受信したユーザ認証応答よりユーザ種別情報を取得し、ステップS204で作成した通信管理テーブル221Aのエントリのユーザ種別フィールド2212に記憶する(ステップS205)。
その後、中継処理(S206)に進む。
次に、図5を用いて、中継処理(ステップS206)の詳細について説明する。
まず、通信管理テーブル221Aの該当エントリについて、ユーザ種別2212より、ユーザ種別情報を取得し(ステップS301)、ユーザ種別がフィルタリング対象かどうかをチェックする(ステップS302)。
フィルタリング対象でなければ、当該通信における通信データを透過転送する(ステップS310)。ここで、透過転送期間は、有効期限2216が示す日時までとしてよい。
また、フィルタリング対象であれば、接続先IPアドレス2213の情報が、該当エントリに登録されているかチェックし(ステップS303)、なければ登録する(ステップS304)。
そして、アクセス制御情報2214が規制対象であるかをチェックする(ステップS305)。
規制対象以外であれば、または、規制対象か否かが記録されていなければ、透過転送処理(TCP接続確立)(S309)に進む。
規制対象であれば、規制カウンタ2215の値を取得し(ステップS306)、あらかじめ登録済みの閾値超過チェックを行う(ステップS307)。ここで、閾値をフィルタリング装置20の設定ファイルに記載しておき、フィルタリング装置20起動時に設定ファイルから読み取り、メモリ1002領域に記憶しておいても良い。
規制カウンタ2215の値が閾値を超過していれば、代理応答処理(みなしフィルタリング)(S308)に進む。
超過していなければ、透過転送処理(TCP接続確立)(S309)に進む。
次に、図6を用いて、透過転送処理(TCP接続確立)(ステップS309)の詳細について説明する。
まず、当該通信におけるクライアント装置10とWebサーバ装置50間でのTCP接続シーケンス(TCP 3way-handshake)については透過転送する(ステップS401)。
次にHTTPフィルタ処理(S402)を行い、最後にサーバ側TCP接続を強制終了させるため、RSTパケットを送信する(ステップS403)。
次に、上記HTTPフィルタ処理(S402)について、図7を用いて、実施の形態1におけるステップS402A)の詳細を説明する。
HTTP要求を受信すると、リクエスト行に記載されているURLに関するアクセス制御情報を、アクセス制御サーバ装置30に送信して問い合わせ、アクセス規制情報を取得する(ステップS501)。
そして、取得した情報を用いて、通信管理テーブル221Aのアクセス制御情報フィールド2214を更新する(空欄の場合は、新規に登録する)(ステップS502)。
次に、アクセス規制情報を参照して、アクセス制御情報フィールド2214の値を、チェックし、アクセス規制対象かどうかを比較する(ステップS503)。
アクセス規制対象でなければ、当該HTTP要求をWebサーバ装置50に送信し、Webサーバ装置50からのHTTP応答をクライアント装置10に送信する(透過転送処理(HTTP通信))(ステップS504)。そして、次のHTTP要求を受信すると、S501に戻って処理を継続する。
そして、クライアント装置10もしくはWebサーバ装置50からTCP切断要求を受信した場合、または、クライアント装置10及びWebサーバ装置50と無通信状態のまま一定時間が経過(タイムアウト)した場合は、TCP切断ケースとみなし、クライアント装置10及びWebサーバ装置の両方に対してTCP切断シーケンスを行う。そうでなければ、S501に戻って処理を継続する(ステップS505)。
アクセス規制対象であれば、通信管理テーブル221Aの規制カウンタ2215の値をカウントアップし、当該URLへのアクセスを規制した旨を表すアクセス規制メッセージを、HTTP応答としてクライアント装置10に応答し、クライアント装置10とのTCP切断を行う(代理応答処理(HTTPエラー応答))(ステップS506)。
次に、図8を用いて、代理応答処理(みなしフィルタリング)(ステップS308)の詳細について説明する。
クライアント装置10から受信したTCP接続のためのSYNパケットに対して、自フィルタリング装置20を終端とするTCP接続受付シーケンス(TCP 3way-handshake)を行い(ステップS601)、次に代理応答処理(HTTPエラー応答)(S506)を行う。
以上のように、本実施の形態では、
通常時はTCP終端処理を行わず、受信パケットからHTTPアクセスの要求ラインにおけるURLを抽出し、URLの通過/アクセス拒否判定を実施し、アクセス拒否の判定結果であった場合にTCP終端処理を実施する方式において、
アクセス規制対象データを提供するWebサーバへの頻繁なTCP接続を遮断できるようにしたため、
Webサーバ管理者にDoS攻撃と誤認識される危険性を回避することができる、という効果を有する。
通常時はTCP終端処理を行わず、受信パケットからHTTPアクセスの要求ラインにおけるURLを抽出し、URLの通過/アクセス拒否判定を実施し、アクセス拒否の判定結果であった場合にTCP終端処理を実施する方式において、
アクセス規制対象データを提供するWebサーバへの頻繁なTCP接続を遮断できるようにしたため、
Webサーバ管理者にDoS攻撃と誤認識される危険性を回避することができる、という効果を有する。
(実施の形態2)
図9を用いて、本発明に関わるフィルタリングシステム1の実施の形態2について説明する。
図9を用いて、本発明に関わるフィルタリングシステム1の実施の形態2について説明する。
本実施の形態では、フィルタリングシステム1は、実施の形態1の構成に加えて、更にアクセス制御情報記憶部23を備える。
また、通信管理情報記憶部22の備える通信管理テーブル221の構成に変更がある。
以下、図10を用いて、実施の形態2における通信管理テーブル221(221Bという)の構成について説明する。
通信管理テーブル221Bは、接続元IPアドレスフィールド2211と、ユーザ種別2212と、接続先情報2217と、規制カウンタ2215と、有効期限2216とを備える。接続元IPアドレスフィールド2211と、ユーザ種別2212と、規制カウンタ2215と、有効期限2216については、実施の形態1と同じである。
接続先情報2217は、アクセス制御情報記憶部23の備えるアクセス制御管理テーブル231のエントリ番号を記憶する領域である。
図11を用いて、アクセス制御管理テーブル231について説明する。
アクセス制御管理テーブル231は、接続先Webサーバ装置50に関する詳細な情報を管理する。
アクセス制御管理テーブル231は、宛先ホスト名フィールド2311と、複数のIPアドレスフィールド2312と、アクセス制御情報フィールド2313と、有効期限フィールド2314とを備える。
アクセス制御情報2313は、実施の形態1におけるアクセス制御情報2214と同じ情報を記憶する領域である。
次に、図12を用いて、名前解決要求受信時の処理の詳細を説明する。
フィルタリング装置20は、クライアント装置10から名前解決要求を受信すると、通信プロトコルの判定処理を行う(S101)。
ここで、パケットの宛先ポート番号をチェックし、53番ポートであればDNSプロトコルとして判定する。
DNSプロトコルであれば、名前解決要求をDNSサーバ装置60に転送し、名前解決応答を受信する(ステップS701)。
そして、受信した名前解決応答のデータを解析し、名前解決対象のホスト名を宛先ホスト名フィールド2311に、IPアドレス情報をIPアドレスフィールド2312に登録し、有効期限2314の日時を更新する(ステップS702)。名前解決応答で未登録のIPアドレスがDNSサーバ装置60から応答された場合は、新たなIPアドレスフィールド2312を追加し、複数のIPアドレスを登録する。
そして、名前解決応答をクライアント装置10に転送する(ステップS703)。
また、図5の中継処理(S206)でのS305の処理においては、宛先IPアドレスを検索キーワードとして、アクセス制御管理テーブル231のIPアドレスフィールド2312に対して検索を行い、マッチしたエントリのアクセス制御情報2313を用いて、規制対象かどうかを判定する。ここで、1つのエントリの複数のIPアドレスフィールド2312にIPアドレスの登録がある場合は、すべてのIPアドレスフィールド2312について検索を行う。
次に、図13を用いて、実施の形態2におけるHTTPフィルタ処理を説明する。
HTTP要求を受信すると、アクセス規制情報を取得する(S501)。
そして、取得した情報を用いて、アクセス制御情報管理テーブル231のアクセス制御情報フィールド2313を更新する(ステップS801)。
そして、通信管理テーブル221Bの接続先情報2217に、S801で更新したエントリのエントリIDを記憶する(ステップS802)。
次に、アクセス制御情報フィールド2313の値をチェックし、アクセス規制対象かどうかを比較する(ステップS803)。
アクセス規制情報より、当該URLがアクセス規制対象でなければ、当該HTTP要求をWebサーバ装置50に送信し、Webサーバ装置50からのHTTP応答をクライアント装置10に送信する(透過転送処理(HTTP通信))(ステップS504)。そして、次のHTTP要求を受信すると、S501に戻って処理を継続する。
そして、クライアント装置10もしくはWebサーバ装置50からTCP切断要求を受信した場合、または、クライアント装置10及びWebサーバ装置50と無通信状態のまま一定時間が経過(タイムアウト)した場合は、TCP切断ケースとみなし、クライアント装置10及びWebサーバ装置の両方に対してTCP切断シーケンスを行う。そうでなければ、S501に戻って処理を継続する(ステップS505)。
アクセス規制対象であれば、通信管理テーブル221Bの規制カウンタ2215の値をカウントアップし、当該URLへのアクセスを規制した旨を表すアクセス規制メッセージを、HTTP応答としてクライアント装置10に応答し、クライアント装置10とのTCP切断を行う(代理応答処理(HTTPエラー応答))(ステップS506)。
以上のように、本実施の形態では、
ある同一のアクセス規制対象データを提供するWebサーバ装置50が複数存在している場合に、当該Webサーバ装置50群のアクセス規制対象データへのアクセスを同一のものとして扱い、当該Webサーバ装置50群へのTCP接続の遮断を行うことができるという効果を有する。
ある同一のアクセス規制対象データを提供するWebサーバ装置50が複数存在している場合に、当該Webサーバ装置50群のアクセス規制対象データへのアクセスを同一のものとして扱い、当該Webサーバ装置50群へのTCP接続の遮断を行うことができるという効果を有する。
(実施の形態3)
図9および図14を用いて、本発明に関わるフィルタリングシステム1の実施の形態3について説明する。
図9および図14を用いて、本発明に関わるフィルタリングシステム1の実施の形態3について説明する。
図9において、本実施の形態では、フィルタリングシステム1は、実施の形態2の構成に加えて、Sorryサーバアドレス記憶部24と、Sorryサーバ装置70と、を備える。
Sorryサーバ装置70は、クライアント装置10からHTTPアクセスを受信すると、常に、当該アクセス先へのアクセスを規制している旨をユーザに知らせるアクセス規制メッセージを応答するサーバ装置である。前述のアクセス規制メッセージは、例えば、「当該Webサイトへのアクセスは規制されています。」というような文言である。
Sorryサーバアドレス記憶部24は、Sorryサーバ装置70のIPアドレスを記憶する領域である。ここで、SorryサーバのIPアドレスを、フィルタリング装置20の設定ファイルに記載しておき、フィルタリング装置20起動時に設定ファイルから読み取り、Sorryサーバアドレス記憶部24に記憶しても良い。
図14を用いて、実施の形態3における、名前解決要求受信時の処理を説明する。
フィルタリング装置20は、クライアント装置10から名前解決要求を受信すると、通信プロトコルの判定処理を行う(S101)。
ここで、パケットの宛先ポート番号をチェックし、53番ポートであればDNSプロトコルとして判定する。
DNSプロトコルであれば、名前解決対象のホスト名を検索キーワードとして、アクセス制御管理テーブル231の宛先ホスト名フィールド2311を検索する(ステップS901)。
検索して得られたエントリのアクセス制御情報2313が規制対象であり、かつ、名前解決要求の送信元IPアドレスを検索キーワードとして通信管理テーブル221Bの接続元IPアドレスフィールド2211を検索し、得られたエントリのユーザ種別2212がフィルタ対象であるかを判定する(ステップS902)。
条件を満たしていれば、Sorryサーバアドレス記憶部24に記憶しているSorryサーバのIPアドレスを、名前解決応答としてクライアント装置10に応答する(ステップS903)。
以上のように、本実施の形態によれば、クライアント装置10はSorryサーバ装置70と直接HTTP通信を行い、アクセス規制メッセージを受信することになるため、フィルタリング装置20へのトラフィックを削減することができる、という効果を有する。
なお、本発明は、上記実施形態に限定されず、種々の変形や応用が可能である。
1:フィルタリングシステム
10:クライアント装置
20:フィルタリング装置
21:フィルタリング処理部
22:通信管理情報記憶部
23:アクセス制御情報記憶部
24:Sorryサーバアドレス記憶部
30:アクセス制御サーバ装置
40:認証サーバ装置
50:Webサーバ装置
60:DNSサーバ装置
70:Sorryサーバ装置
221:通信管理テーブル
231:アクセス制御管理テーブル
1000:コンピュータ
1001:CPU
1002:主記憶装置
1003:読取装置
1004:通信装置
1005:外部記憶装置
1006:入出力装置
1007:内部バス
1008:可搬記憶媒体
1010:ネットワーク
10:クライアント装置
20:フィルタリング装置
21:フィルタリング処理部
22:通信管理情報記憶部
23:アクセス制御情報記憶部
24:Sorryサーバアドレス記憶部
30:アクセス制御サーバ装置
40:認証サーバ装置
50:Webサーバ装置
60:DNSサーバ装置
70:Sorryサーバ装置
221:通信管理テーブル
231:アクセス制御管理テーブル
1000:コンピュータ
1001:CPU
1002:主記憶装置
1003:読取装置
1004:通信装置
1005:外部記憶装置
1006:入出力装置
1007:内部バス
1008:可搬記憶媒体
1010:ネットワーク
Claims (9)
- クライアント装置とサービスサーバ装置との間で確立されたTCP接続、並びに、前記TCP接続を利用して送受信される、HTTP要求及びHTTP応答、を中継する機能と、前記クライアント装置から前記サービスサーバ装置が提供するアクセス規制対象サービスへのアクセスを遮断する機能と、を備えるフィルタリング装置であって、
検知処理と遮断処理を行うフィルタリング処理部を備え、
前記検知処理は、同一の前記クライアント装置から、前記サービスサーバ装置が提供する同一の前記アクセス規制対象サービスへの頻繁なHTTPアクセスを、前記HTTPアクセスが利用するTCP接続の確立要求により検知する処理であり、
前記遮断処理は、前記検知処理によって前記頻繁なHTTPアクセスが利用するTCP接続の確立要求が検知されると、前記TCP接続の確立要求を前記サービスサーバ装置へ転送せずに、当該フィルタリング装置を終端とする前記TCP接続の、確立と遮断とを行う処理である
ことを特徴とするフィルタリング装置。 - 請求項1に記載のフィルタリング装置であって、
前記フィルタリング処理部は、
前記遮断処理において、
確立した前記TCP接続を利用した前記クライアント装置からのHTTP要求を受信したら、アクセス規制メッセージを前記クライアント装置へ送信し、前記TCP接続を遮断する
ことを特徴とするフィルタリング装置。 - 請求項1または2に記載のフィルタリング装置であって、
前記フィルタリング処理部は、
前記検知処理において、
前記TCP接続の確立要求が、前記アクセス規制対象サービスへの頻繁なHTTPアクセスが利用するTCP接続の確立要求ではない、と判断された場合、前記TCP接続の確立要求を前記サービスサーバ装置へ転送し、要求されたTCP接続の確立を可能にし、
確立した前記TCP接続を利用するHTTP要求が、前記アクセス規制対象サービスへのHTTP要求であれば、前記頻繁なアクセスとなるか否かを判断するために、前記HTTP要求数をカウントアップする
ことを特徴とするフィルタリング装置。 - 請求項1から3のいずれか一に記載のフィルタリング装置であって、
前記フィルタリング処理部は、
前記クライアント装置の接続元IPアドレスと、前記サービスサーバ装置が提供するサービスへの接続先IPアドレスと、前記接続先IPアドレスへのアクセスにより提供される前記サービスが、前記クライアント装置のユーザによるアクセスの規制対象か否かを示す情報と、を対応付けて管理する
ことを特徴とするフィルタリング装置。 - 請求項4に記載のフィルタリング装置において、
前記フィルタリング処理部は、
前記検知処理において、
前記クライアント装置から受信した名前解決要求を名前解決サーバに転送し、前記名前解決サーバから名前解決応答を受信し、
受信する前記名前解決応答に含まれる接続先IPアドレスを、前記管理される前記接続先IPアドレスとし、前記名前解決要求に含まれるホスト名と対応付けて、管理する
ことを特徴とするフィルタリング装置。 - 請求項5に記載のフィルタリング装置において、
前記フィルタリング処理部は、
前記検知処理において、
前記管理される一つの前記ホスト名と、前記名前解決サーバから受信する名前解決応答に含まれる複数の接続先IPアドレスとを対応付けて管理する
ことを特徴とするフィルタリング装置。 - 請求項1から6のいずれか一に記載のフィルタリング装置であって、
前記フィルタリング処理部は、
前記検知処理において、
前記クライアント装置および前記サービスサーバ装置を識別し、
前記クライアント装置の接続元IPアドレスから前記アクセス規制対象サービスへの、一定時間内のHTTP要求数をカウンタ値として保持し、
前記カウンタ値がある閾値を超過すると、前記頻繁なアクセスが発生したとみなす
ことを特徴とするフィルタリング装置。 - 請求項1に記載のフィルタリング装置であって、
前記クライアント装置の接続元IPアドレスと、前記クライアント装置から受信する名前解決要求に含まれるホスト名と、名前解決サーバから受信する名前解決応答に含まれる接続先IPアドレスと、前記接続先IPアドレスへのアクセスにより提供される前記サービスが、前記クライアント装置のユーザによるアクセスの規制対象か否かを示す情報と、を対応付けて管理し、
前記検知処理において、前記クライアント装置からの、前記サービスサーバ装置の名前解決要求を検知すると、
前記遮断処理において、前記名前解決要求に対する応答として、前記サービスサーバ装置とは異なる他のサーバ装置のIPアドレスを応答することにより、前記アクセス規制対象サービスへのアクセスを遮断する
ことを特徴とするフィルタリング装置。 - 請求項8に記載のフィルタリング装置であって、
前記フィルタリング処理部は、
前記遮断処理において、
前記名前解決要求に対する応答として、アクセス規制メッセージを応答するSorryサーバ装置のIPアドレスを、前記クライアント装置に応答し、
前記クライアント装置に、前記Sorryサーバ装置との間で、前記TCP接続の確立要求と、HTTP要求とを、行わせる
ことを特徴とするフィルタリング装置。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011241840A JP5624973B2 (ja) | 2011-11-04 | 2011-11-04 | フィルタリング装置 |
| CN2012104175330A CN103095676A (zh) | 2011-11-04 | 2012-10-26 | 过滤系统以及过滤方法 |
| EP12190765.3A EP2590379A2 (en) | 2011-11-04 | 2012-10-31 | Filtering system and filtering method |
| US13/667,405 US8935419B2 (en) | 2011-11-04 | 2012-11-02 | Filtering device for detecting HTTP request and disconnecting TCP connection |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011241840A JP5624973B2 (ja) | 2011-11-04 | 2011-11-04 | フィルタリング装置 |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2013098880A JP2013098880A (ja) | 2013-05-20 |
| JP2013098880A5 JP2013098880A5 (ja) | 2013-11-21 |
| JP5624973B2 true JP5624973B2 (ja) | 2014-11-12 |
Family
ID=47429530
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011241840A Expired - Fee Related JP5624973B2 (ja) | 2011-11-04 | 2011-11-04 | フィルタリング装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8935419B2 (ja) |
| EP (1) | EP2590379A2 (ja) |
| JP (1) | JP5624973B2 (ja) |
| CN (1) | CN103095676A (ja) |
Families Citing this family (46)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9705729B2 (en) * | 2012-06-01 | 2017-07-11 | Dell Products L.P. | General client engine with load balancing for client-server communication |
| JP6007644B2 (ja) * | 2012-07-31 | 2016-10-12 | 富士通株式会社 | 通信装置、プログラムおよびルーティング方法 |
| US9716740B2 (en) | 2013-06-14 | 2017-07-25 | Dell Products L.P. | Web-based transcoding to clients for client-server communication |
| US9300669B2 (en) | 2013-06-14 | 2016-03-29 | Dell Products L.P. | Runtime API framework for client-server communication |
| US9407725B2 (en) | 2013-06-14 | 2016-08-02 | Dell Products L.P. | Generic transcoding service for client-server communication |
| JP6242707B2 (ja) * | 2014-02-07 | 2017-12-06 | 富士通株式会社 | 管理プログラム、管理方法、及び管理システム |
| CN104967632B (zh) * | 2014-04-22 | 2017-02-15 | 腾讯科技(深圳)有限公司 | 网页异常数据处理方法、数据服务器及系统 |
| CN104270405A (zh) * | 2014-08-29 | 2015-01-07 | 小米科技有限责任公司 | 基于路由器的联网控制方法及装置 |
| US9678773B1 (en) | 2014-09-30 | 2017-06-13 | Amazon Technologies, Inc. | Low latency computational capacity provisioning |
| US9600312B2 (en) | 2014-09-30 | 2017-03-21 | Amazon Technologies, Inc. | Threading as a service |
| US9146764B1 (en) | 2014-09-30 | 2015-09-29 | Amazon Technologies, Inc. | Processing event messages for user requests to execute program code |
| US9413626B2 (en) | 2014-12-05 | 2016-08-09 | Amazon Technologies, Inc. | Automatic management of resource sizing |
| US9733967B2 (en) | 2015-02-04 | 2017-08-15 | Amazon Technologies, Inc. | Security protocols for low latency execution of program code |
| US9588790B1 (en) | 2015-02-04 | 2017-03-07 | Amazon Technologies, Inc. | Stateful virtual compute system |
| CN104994108A (zh) * | 2015-07-14 | 2015-10-21 | 中国联合网络通信集团有限公司 | 一种url的过滤方法、装置和系统 |
| CN106528396B (zh) * | 2015-09-09 | 2019-06-11 | 阿里巴巴集团控股有限公司 | 用于处理应用请求的方法与设备 |
| US9910713B2 (en) | 2015-12-21 | 2018-03-06 | Amazon Technologies, Inc. | Code execution request routing |
| US11132213B1 (en) | 2016-03-30 | 2021-09-28 | Amazon Technologies, Inc. | Dependency-based process of pre-existing data sets at an on demand code execution environment |
| JP6571591B2 (ja) * | 2016-05-27 | 2019-09-04 | 日本電信電話株式会社 | 端末隔離通知システム |
| US10102040B2 (en) | 2016-06-29 | 2018-10-16 | Amazon Technologies, Inc | Adjusting variable limit on concurrent code executions |
| CN108134803B (zh) * | 2018-01-29 | 2021-02-26 | 杭州迪普科技股份有限公司 | 一种url攻击防护方法及装置 |
| CN110392032B (zh) * | 2018-04-23 | 2021-03-30 | 华为技术有限公司 | 检测异常url的方法、装置及存储介质 |
| US10853115B2 (en) | 2018-06-25 | 2020-12-01 | Amazon Technologies, Inc. | Execution of auxiliary functions in an on-demand network code execution system |
| US11146569B1 (en) | 2018-06-28 | 2021-10-12 | Amazon Technologies, Inc. | Escalation-resistant secure network services using request-scoped authentication information |
| US10949237B2 (en) | 2018-06-29 | 2021-03-16 | Amazon Technologies, Inc. | Operating system customization in an on-demand network code execution system |
| US11099870B1 (en) | 2018-07-25 | 2021-08-24 | Amazon Technologies, Inc. | Reducing execution times in an on-demand network code execution system using saved machine states |
| US11243953B2 (en) | 2018-09-27 | 2022-02-08 | Amazon Technologies, Inc. | Mapreduce implementation in an on-demand network code execution system and stream data processing system |
| US11099917B2 (en) | 2018-09-27 | 2021-08-24 | Amazon Technologies, Inc. | Efficient state maintenance for execution environments in an on-demand code execution system |
| US11943093B1 (en) * | 2018-11-20 | 2024-03-26 | Amazon Technologies, Inc. | Network connection recovery after virtual machine transition in an on-demand network code execution system |
| JP7155942B2 (ja) | 2018-11-27 | 2022-10-19 | 株式会社リコー | 制御装置、ネットワークシステム、アクセス制御方法およびプログラム |
| US11010188B1 (en) | 2019-02-05 | 2021-05-18 | Amazon Technologies, Inc. | Simulated data object storage using on-demand computation of data objects |
| US11861386B1 (en) | 2019-03-22 | 2024-01-02 | Amazon Technologies, Inc. | Application gateways in an on-demand network code execution system |
| GB2583736B (en) | 2019-05-07 | 2021-12-22 | F Secure Corp | Method for inspection and filtering of TCP streams in gateway router |
| US11119809B1 (en) | 2019-06-20 | 2021-09-14 | Amazon Technologies, Inc. | Virtualization-based transaction handling in an on-demand network code execution system |
| US11190609B2 (en) | 2019-06-28 | 2021-11-30 | Amazon Technologies, Inc. | Connection pooling for scalable network services |
| US11159528B2 (en) | 2019-06-28 | 2021-10-26 | Amazon Technologies, Inc. | Authentication to network-services using hosted authentication information |
| US11115404B2 (en) | 2019-06-28 | 2021-09-07 | Amazon Technologies, Inc. | Facilitating service connections in serverless code executions |
| US11119826B2 (en) | 2019-11-27 | 2021-09-14 | Amazon Technologies, Inc. | Serverless call distribution to implement spillover while avoiding cold starts |
| CN111027945A (zh) * | 2019-12-27 | 2020-04-17 | 四川亨通网智科技有限公司 | 景区官网系统 |
| US11714682B1 (en) | 2020-03-03 | 2023-08-01 | Amazon Technologies, Inc. | Reclaiming computing resources in an on-demand code execution system |
| US11188391B1 (en) | 2020-03-11 | 2021-11-30 | Amazon Technologies, Inc. | Allocating resources to on-demand code executions under scarcity conditions |
| US11593270B1 (en) | 2020-11-25 | 2023-02-28 | Amazon Technologies, Inc. | Fast distributed caching using erasure coded object parts |
| US11550713B1 (en) | 2020-11-25 | 2023-01-10 | Amazon Technologies, Inc. | Garbage collection in distributed systems using life cycled storage roots |
| US11388210B1 (en) | 2021-06-30 | 2022-07-12 | Amazon Technologies, Inc. | Streaming analytics using a serverless compute system |
| US11968280B1 (en) | 2021-11-24 | 2024-04-23 | Amazon Technologies, Inc. | Controlling ingestion of streaming data to serverless function executions |
| US12015603B2 (en) | 2021-12-10 | 2024-06-18 | Amazon Technologies, Inc. | Multi-tenant mode for serverless code execution |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7155539B2 (en) * | 2000-04-17 | 2006-12-26 | Circadence Corporation | Conductor gateway buffer prioritization |
| US7657628B1 (en) * | 2000-11-28 | 2010-02-02 | Verizon Business Global Llc | External processor for a distributed network access system |
| JP3963690B2 (ja) * | 2001-03-27 | 2007-08-22 | 富士通株式会社 | パケット中継処理装置 |
| US7143180B2 (en) * | 2001-08-16 | 2006-11-28 | International Business Machines Corporation | System and method for protecting a TCP connection serving system from high-volume of TCP connection requests |
| JP4434551B2 (ja) * | 2001-09-27 | 2010-03-17 | 株式会社東芝 | サーバー計算機保護装置、サーバー計算機保護方法、サーバー計算機保護プログラム及びサーバー計算機 |
| EP1771998B1 (en) * | 2004-07-23 | 2015-04-15 | Citrix Systems, Inc. | Systems and methods for optimizing communications between network nodes |
| JP4284248B2 (ja) * | 2004-08-20 | 2009-06-24 | 日本電信電話株式会社 | アプリケーションサービス拒絶攻撃防御方法及びシステム並びにプログラム |
| CN100589489C (zh) * | 2006-03-29 | 2010-02-10 | 华为技术有限公司 | 针对web服务器进行DDOS攻击的防御方法和设备 |
| CN101572700B (zh) * | 2009-02-10 | 2012-05-23 | 中科正阳信息安全技术有限公司 | 一种HTTP Flood分布式拒绝服务攻击防御方法 |
| US8880619B2 (en) * | 2009-03-24 | 2014-11-04 | Blackberry Limited | Direct access electronic mail (email) distribution and synchronization system with trusted or verified IMAP-Idle implementation |
| JP5219903B2 (ja) * | 2009-04-01 | 2013-06-26 | 三菱電機株式会社 | Urlフィルタリング装置およびurlフィルタリング方法 |
| JP5458752B2 (ja) * | 2009-09-04 | 2014-04-02 | 富士通株式会社 | 監視装置、監視方法 |
| JP5230824B2 (ja) * | 2010-01-06 | 2013-07-10 | 三菱電機株式会社 | 無線通信装置および無線通信方法 |
| US8982738B2 (en) * | 2010-05-13 | 2015-03-17 | Futurewei Technologies, Inc. | System, apparatus for content delivery for internet traffic and methods thereof |
| JP5557689B2 (ja) * | 2010-10-22 | 2014-07-23 | 株式会社日立製作所 | ネットワークシステム |
| US8799400B2 (en) * | 2011-02-02 | 2014-08-05 | Imvu, Inc. | System and method for managing multiple queues of non-persistent messages in a networked environment |
-
2011
- 2011-11-04 JP JP2011241840A patent/JP5624973B2/ja not_active Expired - Fee Related
-
2012
- 2012-10-26 CN CN2012104175330A patent/CN103095676A/zh active Pending
- 2012-10-31 EP EP12190765.3A patent/EP2590379A2/en not_active Withdrawn
- 2012-11-02 US US13/667,405 patent/US8935419B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| EP2590379A2 (en) | 2013-05-08 |
| JP2013098880A (ja) | 2013-05-20 |
| US20130151587A1 (en) | 2013-06-13 |
| CN103095676A (zh) | 2013-05-08 |
| US8935419B2 (en) | 2015-01-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5624973B2 (ja) | フィルタリング装置 | |
| EP2633667B1 (en) | System and method for on the fly protocol conversion in obtaining policy enforcement information | |
| US8463915B1 (en) | Method for reducing DNS resolution delay | |
| US8434141B2 (en) | System for preventing normal user being blocked in network address translation (NAT) based web service and method for controlling the same | |
| JP6007458B2 (ja) | パケット受信方法、ディープ・パケット・インスペクション装置及びシステム | |
| WO2017004947A1 (zh) | 防止域名劫持的方法和装置 | |
| JP5326974B2 (ja) | 中継装置、異なる端末装置間のサービス継続方法、及び中継プログラム | |
| US8914510B2 (en) | Methods, systems, and computer program products for enhancing internet security for network subscribers | |
| US20190182270A1 (en) | System and method for inquiring ioc information by p2p protocol | |
| CN101009607A (zh) | 用于检测并防止网络环境中的洪流攻击的系统和方法 | |
| US11381666B1 (en) | Regulation methods for proxy services | |
| KR101127246B1 (ko) | Ip 주소를 공유하는 단말을 검출하는 방법 및 그 장치 | |
| CN103916379A (zh) | 一种基于高频统计的cc攻击识别方法及系统 | |
| EP2640035B1 (en) | Hypertext transfer protocol (http) stream association method and device | |
| JP5876788B2 (ja) | 通信遮断装置、通信遮断方法、及びプログラム | |
| JP5661682B2 (ja) | 情報処理装置及び方法 | |
| KR101265448B1 (ko) | 네트워크 필터 드라이버를 이용한 피싱 사이트 검사방법 | |
| EP2226988A1 (en) | Method for accessing to local resources of a client terminal in a client/server architecture | |
| CN106357536B (zh) | 一种报文的传输方法及装置 | |
| JP2004220075A (ja) | ネットワーク認証アクセス制御サーバ、アプリケーション認証アクセス制御サーバ、および統合型認証アクセス制御システム | |
| KR20150031083A (ko) | 웹사이트 접속 시간 단축 방법 및 이를 위한 장치 | |
| EP4227828A1 (en) | Web scraping through use of proxies, and applications thereof | |
| US20230269236A1 (en) | Automatic proxy system, automatic proxy method and non-transitory computer readable medium | |
| JP2018085101A (ja) | 複数のプロフィールを作成してプロファイリングを低減する方法及びシステム | |
| WO2023166336A1 (en) | System and method to prevent an attack on an application programming interface |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131007 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20131007 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140207 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140311 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140425 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140902 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140929 |
|
| LAPS | Cancellation because of no payment of annual fees |