[发明专利]防止网络数据注入攻击

摘要

本发明公开了用于防止分组交换网络中的TCP数据注入攻击的方法。第一方法规定丢弃接收到的携带这样的ACK值的片段：该ACK值小于下一个未确认序列值减去最大窗口大小。这种方法有助于使伪造的注入片段不能进入TCP重组装缓冲器。在第二种方法中，采用了试探法来检查新到达的片段的序列号，并且当序列号是下一个期望序列号时，则使用新到达的片段并且不考虑重组装缓冲器的内容。此外，如果新到达的片段的数据有效载荷在顺序上重叠已经在重组装缓冲器中的片段，则重组装缓冲器中的重叠片段被认为是伪造的，并且被丢弃。从而，如果第一方法出于某种原因未能防止数据进入重组装缓冲器，则此方法有助于从重组装缓冲器中去除伪造的数据。

主权项

1.一种防止网络上的攻击的方法，其中所述攻击包括向发送者和接收者之间的TCP连接中注入伪造的传输控制协议(TCP)片段，所述方法包括以下由计算机实现的步骤：接收携带ACK值的TCP片段；确定所述ACK值是否小于下一个未确认序列值与(a)所述TCP连接中发送的字节的总数或(b)与所述TCP连接相关联的最大窗口大小中较小的那个之间的差；以及当所述ACK值小于下一个未确认序列值与(a)所述TCP连接中发送的字节的总数或(b)与所述TCP连接相关联的最大窗口大小中较小的那个之间的差时，丢弃所述TCP片段。