CN101030977A - 用于防御非法通信的装置及其网络系统 - Google Patents
用于防御非法通信的装置及其网络系统 Download PDFInfo
- Publication number
- CN101030977A CN101030977A CN200710084904.7A CN200710084904A CN101030977A CN 101030977 A CN101030977 A CN 101030977A CN 200710084904 A CN200710084904 A CN 200710084904A CN 101030977 A CN101030977 A CN 101030977A
- Authority
- CN
- China
- Prior art keywords
- grouping
- address
- connection request
- unit
- syn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
Abstract
一种通信装置,一种非法通信防御装置,以及用于提供非法通信防御的网络系统。通信装置连接到网络,用于接收网络上发送和接收的分组,并根据分组目的地传输分组,所述通信装置包括控制单元、以及用于存储路由表的存储单元,其中所述路由表存储了目的信息。当有来自所接收的分组的连接请求时,控制单元将该分组的传输源地址以及接收到该分组的线路号存储到路由表中,当没有来自所接收的分组的连接请求时,控制单元参考路由表,获取链接到匹配该分组的目的地址的地址的线路号,并经由所获取的线路号发送应用分组。
Description
优先权声明
本发明要求2006年2月28日提交的日本申请JP 2006-052181的优先权,将其内容引入本申请中以供参考。
技术领域
本发明涉及一种用于防止非法通信的通信装置以及一种非法通信防御装置及其网络系统。
背景技术
近年来,由于保护个人信息的法律和以因特网为代表的IP(因特网协议)网络联络线的建立,网络安全已变得愈发重要。
许多公司和个人在与通信服务提供商的接入点处例行地安装诸如FW(防火墙)、IDS(入侵检测系统)、以及IPS(入侵防御系统)等用于防御非法通信的装置,以防止对该网络安装的服务器的攻击并防止信息从该网络中安装的PC泄露,并以此保护其信息资源。
这些类型的防御非法通信的装置检测试图进行非法通信的主机,并同时拒绝来自所检测到的主机的非法通信或限制非法通信的带宽,并保护合法通信。
通过诸如在会话表中存储通信状态以及根据通过SYN-ACK分组的代理应答判断该通信是否合法等方法,拒绝使用TCP协议的非法通信,而保护使用TCP协议的合法通信(见Christoph L.Schuba,IvanV.Krsul,Markus G.Kuhn,Eugene H.Spafford,Aurobindo Sundarum,Diego Zamboni的“Analysis of a Denial of Service Attack on a TCP”,IEEE Symposium,1997年5月,P.208-223)。
但是仍有一些攻击仅通过在接入点安装这些非法通信防御装置(FW、IDS、IPS)不能防止。例如攻击者可能使用已攻占的服务器和多个僵尸服务器(zombie server)向客户端PC正在与Web服务器进行通信的通信路径上的路由器发送大量分组,以降低该路由器的分组传输能力。这样在PC和服务器之间流动的分组在受攻击的路由器被丢弃,以至于不能正常通信。
抵御这种攻击需要通信服务提供商在与该网络的上游侧的其它网络的连接点的边缘路由器中增加防御非法通信的功能,分析网络上进行的所有通信,可靠地检测并拒绝所有类型的非法通信以防止对路由器和服务器的攻击,包括DDoS(分布式拒绝服务)以及诸如P2P(对等)的大量通信。
尽管公司和私有网络通常在一个点处与通信服务提供商的网络连接,但是另一方面通信服务提供商的网络在多个点处与其他多个通信服务提供商网络连接。
通信服务提供商的网络使用诸如RIP(见C.Hedrick,“RoutingInformation Protocol”,RFC1058,1998年6月。)和OSPF(见J.Moy,“OSPF Version 2”,RFC1583,1994年3月。)的最短路径搜索算法作为网络内的路由协议。因此在一些情况下,在与主机的通信期间前向路径和返回路径可能不同。
防御非法通信需要制定会话表,该会话表用于记录包括连接请求源地址、连接请求目的地址、以及示出最近通信发生时间的记录时间的通信数据。
覆盖会话表中所记录的通信数据的方法包括使用散列标记来搜索表格,若没有匹配数据,则覆盖多个通信数据中记录时间最早的数据(见“Resisting SYN flooding DoS attacks with a SYN cache”,Proceeding of USENIX BSDCon’2002,2002年2月,p.89-98。)
发明内容
有多种攻击不能只通过在私人或公司网络和通信服务提供商网络之间的联络点处安装非法通信防御装置而防止。因此,必须通过在与该网络上游端的其他网络的连接点处的边缘路由器中添加功能以防御非法通信,检测进行非法通信的主机,以及拒绝非法通信或限制来自该检测到的主机的非法通信的带宽,来保护合法通信。
下面参考图22描述通过使用防御这类非法通信(攻击)的装置来拒绝非法通信的过程。
具有虚假传输源IP地址、以A作为传输序列号(SEQ号)的SYN分组1703从攻击用户的主机1701发送到另一个主机1702。当这一SYN分组1703到达非法通信防御装置1700时,随机值B附加到SYN-ACK分组1704的SEQ号(过程1708)并且这一SYN-ACK分组1704返回到虚假传输源IP地址。因为传输源IP地址是虚假的,所以攻击用户的主机1701不能接收到这一SYN-ACK分组1704(过程1706),防御装置1700不知道附加在SYN-ACK分组1704的SEQ号的值B。即使假设攻击用户主机1701预测值B是E,并向连接请求目的主机1702发送ACK号设定为E+1的ACK分组1705(过程1707),该ACK号不匹配预测值B+1,使得判断传输源IP地址和连接请求主机1702之间的通信是非正常的,并丢弃ACK分组1705(过程1709)。
由于非法通信的传输源、SEQ号和ACK号是虚假的,所以防御装置1700以这一方式服务于该通信。
另一方面,当如图2中所示在非法通信防御期间判断分组是合法通信时,该分组的前向路径和返回路径必须是相同路径以便执行过程1619,过程1619用于通过使用从连接请求目的主机1602发送的SYN-ACK分组1610中所写的SEQ号C对来自连接请求目的主机1602的数据分组1613的SEQ号进行转换。但是在使用非专利文件2和3中的技术进行路由的通信服务提供商的网络上,前向路径和返回路径不同,因此使用上述非法通信防御导致合法(正常)通信不可用的问题。
当使用上述非法通信防御而前向和返回通信路径不同时,正常通信变成不可用的问题在下面参考图23和图24描述。
图23示出真实(授权)用户1811与主机1812通信的情况。在真实用户主机1811和主机1812之间有四个网络1801到1804,前向路径沿着路径1840经由网络1801和非法通信防御装置1820设置;而返回路径由通信装置1822沿着路径1850经由网络1803而设置。当真实用户的主机1811向主机1812发送以A作为序列号(SEQ号)的SYN分组1903时,非法通信防御装置1820向主机1811返回附加有随机值B到SEQ号的SYN-ACK分组1904(过程1910)。然后,当主机1811向连接请求目的主机1812发送ACK分组1905时,非法通信防御装置1820判断ACK分组1905的接收序列号(ACK号)是否匹配过程1910中的SEQ号+1。只有当序列号匹配(过程1911)时,非法通信防御装置1820识别其为真实通信,并向连接请求目的主机1812发送以A作为SEQ号、0作为ACK号的SYN分组1908。接收到SYN分组1908的连接请求目的主机1812向连接请求源主机1811返回附加了随机值C到SEQ号的SYN-ACK分组1906(过程1913)。这一SYN-ACK分组1906通过路径1850到达真实用户主机1811,所以非法通信防御装置1820未进行SEQ号的转换。SYN-ACK分组1906的SEQ号与真实用户主机1811预期的B值不同,因此该分组被丢弃(过程1830和1912)。此外,非法通信防御装置1820未接收到SYN-ACK分组1906,所以真实用户主机1811不能传递传输的数据分组1907(过程1914)。非法通信防御装置1820可以排除来自攻击用户1810的非法通信1860。
在上述非法通信防御中,当从虚假传输源地址随机生成的大量连接请求被连续发送到特定主机时,记录在会话表中的通信数据量大量增长。真实(正确)通信的通信数据在连接请求源主机和连接请求目的主机之间具有很大的RTT(往返时间)以及延时状态转换,因此其更新(重写)频率很低,这使得其易于被覆盖,并导致对真实(或正确)通信的保护很可能失败。
为了解决这些问题,本发明提供一种通信装置,包括在与通信服务提供商网络联络的多个点处进行非法通信控制可用的路由方法;以及一种非法通信防御装置,包括通过即使在非法通信大规模发送时也能在保护具有大的RTT的真实通信时使得失败率最小化以防御非法通信的方法;以及包含这些装置的网络系统。
在本发明的一个方面中,一种通信装置连接到网络,用于接收网络上交换的分组,并根据分组目的地传输分组,所述通信装置其特征在于包含:控制单元;存储单元,用于存储存储有所述目的信息的路由表;并且当所接收的分组是连接请求时,所述控制单元将链接到接收所述分组的线路号的分组的传输源地址存储到路由表中,并且当没有来自所接收的分组的连接请求时,所述控制单元参照所述路由表,获取链接到与所述分组的目的地址相匹配的地址的线路号,并经由所获取的线路号发送可应用的分组。
本发明包括具有在与通信服务提供商网络联络的多个点处实现非法通信控制的路由方法的装置和网络系统;并进一步包括防御非法通信的方法,即使在非法通信大规模发送时,该方法也能使得失败的可能性最小化以保护具有长RTT的正常通信;
附图说明
图1是描述本发明实施例的网络系统的图;
图2是示出本发明实施例的网络系统的操作的序列图;
图3是本发明实施例中的非法通信防御装置、通信装置、以及主机之间的通信的序列图;
图4是示出本发明实施例的网络系统的操作的序列图;
图5是示出本发明实施例的通信装置的结构的方框图;
图6是示出本发明实施例的通信装置的结构的方框图;
图7是描述本发明实施例的分组数据的图;
图8A是示出本发明实施例的路由类型注册表的一个实例的图;
图8B是示出本发明实施例的正常注册表的一个实例的图;
图8C是示出本发明实施例的TCP路由表的一个实例的图;
图9是本发明实施例的路由单元中的处理的流程图;
图10是示出本发明实施例的非法通信防御装置的结构的方框图;
图11是示出本发明实施例的非法通信防御装置的结构的方框图;
图12A是示出本发明实施例的SIP-DIP表的实例的图;
图12B是示出本发明实施例的时间表的实例的图;
图12C是示出本发明实施例的限制时间表的实例的图;
图12D是示出本发明实施例的SEQ号表的实例的图;
图12E是示出本发明实施例的状态表的实例的图;
图12F是示出本发明实施例的SEQ差表的实例的图;
图13是示出本发明实施例中的SIP-DIP更新单元的操作的流程图;
图14是示出本发明实施例的时间更新单元的流程图;
图15是本发明实施例的限制时间更新单元的流程图;
图16是示出本发明实施例的SEQ号更新单元的操作的流程图;
图17是示出本发明实施例的状态更新单元的操作的流程图;
图18是示出本发明实施例的SEQ差更新单元的操作的流程图;
图19是示出本发明实施例的SEQ号转换器单元的操作的流程图;
图20是示出本发明实施例的ACK号转换器单元的操作的流程图;
图21是示出本发明实施例的分组更新单元的操作的流程图;
图22是本发明实施例的非法通信防御单元拒绝非法通信的序列图;
图23是示出相关技术的保护正常(合法)通信失败的情况的图;以及
图24是示出相关技术的保护正常(合法)通信失败的情况的序列图。
具体实施方式
本发明实施例的网络系统在下文中描述。
图1是描述本发明实施例的网络系统的概念图。该图示出了防御非法通信的过程,在网络中上游多个联络点处安装多个非法通信防御装置1600。
图1中所示的网络系统包括网络1504和上游网络1501、1502和1503,其中网络1504包含通信装置1522、以及非法通信防御装置1600和1521。
主机1601连接到网络1502,而主机1602连接到网络1504。主机1601注册为用于向主机1602发送真实连接请求的真实用户的主机。
主机1601通过网络1502、1501和1504向主机1602发送连接请求。这一连接请求通过非法通信防御装置1600,经由网络1504上的路径1540沿着网络1501发送到主机1602。
非法通信防御装置1600根据发送到网络1504的通信数据的内容判断通信是否非法。如果非法,那么非法通信防御装置1600服务该通信。
通信装置1522包含路由单元并发送所接收的分组到正确的目的地。
上述结构的网络的操作在下面描述。
图2是示出本发明实施例的网络系统的操作的序列图。
图2中的序列图示出了经由网络1504中的非法通信防御装置1600将从作为真实用户的主机的主机1601发送来的连接请求发送到主机1602的过程。
真实用户的主机1601将SYN分组1603发送到作为目的地的主机1602,其中SYN分组1603的传输序列号(下文称为“SEQ号”)设为“A”,且接收序列号(下文称为“ACK号”)设为“0”。网络1504中的非法通信防御装置1600经由网络1502和1501接收SYN分组1603。
当非法通信防御装置1600接收到SYN分组1603时,其向SEQ号附加随机值“B”,向ACK号附加“A+1”,以生成SYN-ACK分组1604(过程1614)。装置1600将该SYN-ACK分组1604返回到作为连接请求源的主机1601。
当接收到SYN-ACK分组1604时,主机1601将SEQ号设为“A+1”,将ACK号设为“B+1”,并将ACK分组1605发送到作为目的地的连接请求主机1602。
当非法通信防御装置1600接收到ACK分组1605时,其检查该ACK分组1605的ACK号并判断该ACK号是否匹配向过程1614中的SEQ号加1的值。如果这一ACK号匹配该值,那么非法通信防御装置1600判断其为真实(合法)通信(过程1615)。然后装置1600生成SYN分组1609,分别将SEQ号设为“A”,ACK号设为“0”。然后将这一SYN分组1609发送到作为来自主机1601的连接请求目的地的目的主机1602。这一SYN分组1609经由通信装置1522发送到网络1504上的主机1602。
当作为连接请求目的地的主机1602接收到SYN分组1609时,其生成(过程1617)SYN-ACK分组1610,将随机值“C”附加到SEQ号,“A+1”附加到ACK号。主机1602向连接请求源主机1601返回这一SYN-ACK分组1610。
当非法通信防御装置1600接收到SYN-ACK分组1610时,其向作为目的地的连接请求目的主机1602发送ACK分组1611,分别设置SEQ号为“A+1”,ACK号为“C+1”。
在连接请求源主机1601发送ACK分组1605后,其向作为目的地的主机1602发送正常数据分组1606。
非法通信防御装置1600在缓冲区中存储所接收的数据分组1606(过程1616),直到完成向连接请求目的主机1602发送ACK分组1611的过程。当向连接请求目的主机1602发送ACK分组1611的过程结束时,非法通信防御装置1600从ACK号中减去SYN-ACK分组1604的SEQ号“B”和SYN-ACK分组1610的SEQ号“C”之间的差值,以重新计算TCP校验和(过程1618)。然后将附加有这一TCP校验和的数据分组1612发送到作为目的地的连接请求目的主机1602。
另一方面,非法通信防御装置1600接收从连接请求目的主机1602发送的数据分组1613。非法通信防御装置1600向SEQ号加上SYN-ACK分组1604的SEQ号“B”和SYN-ACK分组1610的SEQ号“C”之间的差值,以重新计算TCP校验和(过程1619)。然后将附加有这一TCP校验和的数据分组1608发送到作为目的地的连接请求源主机1601。
图3是网络1504中的非法通信防御装置1600、通信装置1522以及主机1602之间的通信的序列图。
网络1504中的通信装置1522从非法通信防御装置接收地址为连接请求目的主机1602的SYN分组1609。
通信装置1522从所接收SYN分组获得传输源IP地址和输入线路号,并将它们分别注册到TCP路由表中作为目的IP地址和输出线路号(过程301)。然后通信装置1522根据正常路由表传送SYN分组1609(过程302)。
当连接请求目的主机1602接收到SYN分组1609时,其生成SYN-ACK分组1610,其中附加随机值“C”到SEQ号(过程1617),并返回这一地址是连接请求源主机1601的SYN-ACK分组1610。
当通信装置1522接收到这一SYN-ACK分组1610时,其获得目的IP地址,并检查TCP路由表。然后通信装置1522将这一SYN-ACK分组1610传送(过程303)到过程301中所注册的SYN分组1609的输入线路。
通信装置1522中的这一处理确保SYN-ACK分组1610将沿着网络1504上的路径1550通过并总是到达接收SYN分组1609的非法通信防御装置1600,而不是另一个非法通信防御装置1521。这样,通过这种方式正确执行了向连接请求目的主机1602发送ACK分组1611的处理,以及从数据分组1616的ACK号中减去SYN-ACK分组1604的SEQ号“B”和SYN-ACK分组1610的SEQ号“C”之间的差值并重新计算TCP校验和的过程1618。
从作为连接请求目的地的主机1602发送的数据分组1613以相同方式传送到过程301中的TCP路由表中所注册的SYN分组1609的输入线路。因此数据分组1611总是到达非法通信防御装置1600。因此正确执行了向数据分组1613的SEQ号加上SYN-ACK分组1604的SEQ号“B”和SYN-ACK分组1610的SEQ号“C”之间的差值并重新计算TCP校验和的过程1619。非法通信防御装置1600排除了来自攻击用户1510的非法通信。
图4是示出本发明实施例的网络系统的操作的序列图。图4示出了当没有非法通信防御装置100的缓冲区存储处理1616时的处理。
如上所述由连接请求源主机1601发送的、地址为连接请求目的主机1602的SYN分组1603,经由非法通信防御装置1600作为SYN分组1609进行发送。连接请求目的主机1602以连接请求源主机1601为地址发送SYN-ACK分组1610。当非法通信防御装置1600接收到这一SYN-ACK分组1610时,其发送ACK分组1611。
这里,在连接请求源主机1601发送了ACK分组1605后,其发送地址为主机1602的正常数据分组1606。
非法通信防御装置1600丢弃所接收的数据分组1606(过程2316),直到向连接请求目的主机1602发送ACK分组1611的过程完成。
当发现数据分组1606被丢弃时,连接请求源主机1601重发这一数据分组2306(过程2317)。
当非法通信防御装置1600接收到数据分组2306时,在完成向连接请求目的主机1602发送ACK分组1611的处理后,非法通信防御装置1600如上所述从ACK号中减去SYN-ACK分组1604的SEQ号“B”和SYN-ACK分组1610的SEQ号“C”之间的差值,并重新计算TCP校验和(过程2318)。然后非法通信防御装置1600以连接请求目的主机1602为地址发送附加了这一TCP校验和的数据分组2312。从该点起的过程与图2中所描述的相同。
这样,网络1504上的非法通信防御装置1600、通信装置1522中的处理确保了发送和接收的分组总是经由为该分组的传输源接收该分组的非法通信防御装置1600发送。
本发明的通信装置在下面描述。
图5是示出本发明实施例的通信装置的结构的方框图。
当分组接收时,通信装置2000从该分组的头信息中提取ACK号、SYN号和目的IP地址,根据该信息进行路由,并将其发送到正确的目的地。
通信装置2000包含N个网络接口2001-n(n=1到N)以及一个交换单元2002。
交换单元2002将分组切换到正确的网络接口2001。
网络接口2001-n包括:对应于各条线路2003-n-k的K条线路2003-n-k(k=1到K),线路号分配器单元2004-n-k(k=1到K),线路号删除器单元2004-n-k(k=1到K),输入分组收集器单元2006-n,路由单元100-n,流控制单元2007-n,内部交换单元2009-n,TCP-SYN鉴别器单元2011-n,输出分组收集器单元2012-n,以及输出分组配线单元2010-n。n=1的情况在下面描述。
线路号分配器单元2004-1-k(k=1到K)为从线路2003-1-k输入的分组分配线路号,并将其转换为内部装置格式。输入分组收集器单元2006-1收集来自线路号分配器单元2004-1的分组数据和来自TCP-SYN鉴别器单元2011-1的分组数据。路由单元100-1确定从所收集的分组数据的输出线路号。流控制单元2007-1调节诸如QoS(服务质量)控制的分组流。内部交换单元2009-1向交换单元2002输出输出线路号不是以线路2003-1-k为地址的分组数据2020-1。以线路2003-1-k为地址的分组数据的输出线路号被输出到输出分组收集器2012-1。当从交换单元2002接收的交换分组数据2021-1是使用TCP协议的SYN分组时,它们被TCP-SYN鉴别器单元2011-1输出到输入分组收集器单元2006-1。如果它们不是使用TCP协议的SYN分组,那么它们被输出到后面描述的输出分组收集器单元2012-1。输出分组收集器单元2012-1从内部交换单元2009-1和TCP-SYN鉴别器单元2011-1收集分组数据。输出分组配线单元2010-1根据分组数据的输出线路号向任意线路号删除器单元2005-1-k(k-1到K)输出分组数据。线路号删除器单元2005-1-k从装置内部格式分组数据中删除线路号,将其返回到原始格式,并发送该分组到线路2003-1-k。
通信装置2000的路由单元100在下面描述。
图6是示出通信装置2000内的路由单元100的结构的方框图。
路由单元100包括IP头提取器单元101、TCP头提取器单元102、输入线路号提取器单元103、TCP鉴别器单元105、SYN鉴别器单元106、路由类型注册表113、路由鉴别器单元108、正常路由表115、TCP路由表116、输出线路号搜索单元1(110)、输出线路号搜索单元2(111)、表写入单元112、输出线路号选择单元107,以及输出线路号分配器单元104。
IP头提取器单元101从输入分组数据120中提取IP头。TCP头提取器单元102从输入分组数据120中提取TCP头。输入线路号提取器单元103从输入分组数据120中提取输入线路号。TCP鉴别器单元105判断输入分组数据120的协议是否是TCP。SYN鉴别器单元106判断输入数据120的TCP标志是否是SYN。路由类型注册表113为每种分组注册路由类型,设置正常路由或TCP路由。路由鉴别器单元108通过使用路由类型注册表113判断输入分组数据120的路由类型。正常路由表115通过使用路由协议记录每个目的IP地址的输出线路号。TCP路由表116通过使用TCP标志是SYN的分组的输入线路号和传输源IP地址记录每个目的IP地址的输出线路号。输出线路号搜索单元1(110)在正常路由表115中搜索对应于输入分组数据120的目的IP地址的输出线路号。输出线路号搜索单元2(111)在TCP路由表116中搜索对应于输入分组数据120的目的IP地址的输出线路号。表写入单元112使用输入分组数据120记录每个目的IP地址的输出线路号。输出线路号选择单元107根据路由类型和分组类型选择输出线路号搜索单元2(111)的搜索结果或输出线路号搜索单元1(110)的搜索结果。输出线路号分配器单元104分配输出线路号选择单元107所选择的输出线路号128给输入分组数据120。
图7是描述输入到路由单元100的分组数据120的图。
在通信装置2000中,线路号分配器单元2004-1-k分配其自己的线路号给所接收的分组,并制成内部分组数据120。这一内部分组数据120通过输入分组收集器单元2006输入到路由单元100。
分组数据120包括:InLine(入口线路)2201、OutLine(出口线路)2202、SMAC 2203、DMAC 2204、Proto 2205、SIP2206、DIP 2207、Sport 2208、Dport 2209,Flag(标志)2210、ChkSum(校验和)2211、SEQ2212、ACK 2213、OtherHeader(其它头)2214,以及Payload(负载)2215。
InLine 2201存储作为分组被输入的线路的标识号的输入线路号。OutLine 2202存储作为输出分组的线路的标识号的输出线路号。SMAC 2203存储作为数据链路层的传输源地址的传输源MAC地址。DMAC 2204存储作为目的地址的目的MAC地址。Proto 2205存储网络层的协议。SIP 2206存储传输源IP地址,也就是作为传输侧主机地址的传输源IP地址。DIP 2207存储目的地址,也就是作为接收侧主机地址的目的IP地址。Sport 2208存储TCP传输端口。Dport 2209存储TCP目的端口。Flag 2210存储TCP标志。ChkSum 2211存储TCP校验和。SEQ 2212存储传输序列号(SEQ号)。ACK 2213存储接收序列号(ACK号)。OtherHeader 2214存储其它IP/TCP头数据。Payload 2215存储除分组数据外的数据。
路由单元100的操作在下面描述。
路由单元100对输入的分组数据120进行路由,并将其作为分组数据124输出。
输入到路由单元100的输入分组数据120被输入到IP头提取器单元101、TCP头提取器单元102、输入线路号提取器单元103,以及路由鉴别器单元108。
IP头提取器单元101从输入分组数据120中提取IP头125,其包含Proto 2205、SIP 2206、DIP 2207。然后将所提取的IP头数据125输出到TCP鉴别器单元105、输出线路号搜索单元1(110)、输出线路号搜索单元2(111)以及表写入单元112。
TCP头提取器单元102从输入分组数据120中提取包括Flag 2210的TCP头数据126。然后将所提取的TCP头数据输出到SYN鉴别器单元106。
输入线路号提取器单元103从输入分组数据120中提取包括InLine 2201的输入线路号数据127。然后将所提取的输入线路号127输出到表写入单元112。
路由鉴别器108搜索路由类型注册表113。
图8A是示出路由类型注册表113的一个实例的图。
路由类型注册表113包含M个条目113(113-1到113-M)。
条目113-m(m=1到M)包括:InLine 113-m-1(m=1到M)、OutLine113-m-2(m=1到M)、SMAC 113-m-3(m=1到M)、DMAC 113-m-4(m=1到M)、Proto 113-m-5(m=1到M)、SIP 113-m-6(m=1到M)、DIP113-m-7(m=1到M)、Sport 113-m-8(m=1到M)、Dport 113-m-9(m=1到M),以及RoutingType(路由类型)113-m-10(m=1到M)。
InLine 113-m-1存储输入线路号的条件。OutLine 113-m-2存储输出线路号的条件。SMAC 113-m-3存储传输源MAC地址的条件。DMAC 113-m-4存储目的MAC地址的条件。Proto 113-m-5存储网络层协议的条件。SIP 113-m-6存储传输源IP地址的条件。DIP 113-m-7存储目的IP地址的条件。Sport 113-m-8存储TCP传输源端口。Dport113-m-9存储TCP的目的端口。RoutingType 113-m-10存储示出正常路由或TCP路由的信息。
更具体的说,路由鉴别器单元108在路由类型注册表113中搜索具有匹配输入分组数据120的条件的条目113-m(过程132)。然后将搜索到的条目113-m中所包含的RoutingType 113-m-10作为路由类型确定结果129输出到表写入单元112和输出线路选择单元107。
由IP头提取器单元101输出的IP头数据125被输入到TCP鉴别器单元105。
TCP鉴别器单元105参考(搜索)IP头数据125中所包含的Proto2205,并确定协议是否是TCP。如果TCP鉴别器单元105确定协议是TCP,那么向表写入单元112和输出线路选择单元107输出表示“匹配”的TCP确定结果130,而如果确定协议不是TCP,那么向表写入单元112和输出线路选择单元107输出表示“不匹配”的TCP确定结果130。
由TCP头提取器单元102输出的TCP头数据126被输入到SYN鉴别器单元106。
SYN鉴别器单元106参考(搜索)TCP头数据126中所包含的Flag2210,并确定TCP标志是否是SYN。如果TCP标志是SYN,那么向表写入单元112和输出线路选择单元107输出表示“匹配”的SYN确定结果131,而如果TCP标志不是SYN,那么向表写入单元112和输出线路选择单元107输出表示“不匹配”的SYN确定结果131。
从IP头提取器单元101输出的IP头数据125被输入到输出线路号搜索单元110和输出线路搜索单元111。
输出线路号搜索单元110参考(检查)正常路由表115,搜索对应于IP头数据125中所包含的DIP 2207的输出线路号。
图8B是示出正常路由表115的一个实例的图。
正常路由表115包括M个条目115-m(m=1到M)。
条目115-m包括DIP 115-m-1(m=1到M),以及OutLine115-m-2(m=1到M)。DIP 115-m-1存储目的IP地址的条件。OutLine115-m-2存储输出线路号。
更具体的说,输出线路号搜索单元1(110)检查正常路由表115,搜索与IP头数据125中所包含的DIP 2207的目的IP地址匹配的条目115-m(过程134)。然后输出线路号搜索单元1(110)向输出线路选择单元107输出包含在条目115-m中的OutLine 115-m-2,作为正常路由表搜索结果140。
输出线路号搜索单元2(111)检查TCP路由表116,并搜索对应于IP头数据125中所包含的DIP 2207的输出线路号。
图8C是示出TCP路由表116的一个实例的图。
TCP路由表116包含M个条目116-m(m=1到M)。
条目116-m包含DIP 116-m-1(m=1到M)和OutLine 116-m-2(m=1到M)。DIP 116-m-1存储目的IP地址的条件。OutLine 116-m-2(m=1到M)存储输出线路号。
更具体的说,输出线路号搜索单元2(111)检查TCP路由表116,并搜索(过程135)与IP头数据125中所包含的DIP 2207的目的IP地址匹配的条目116-m。然后输出线路号搜索单元2(111)向输出线路选择单元107输出包含在条目116-m中的OutLine 116-m-1,作为TCP路由表搜索结果141。
将IP头提取器101输出的IP头数据125、路由鉴别器单元108输出的路由类型确定结果129、TCP鉴别器单元105输出的TCP确定结果130、SYN鉴别器单元106输出的SYN确定结果131,以及输入线路号提取器103输出的输入线路号数据127输入到表写入单元112。
当路由类型确定结果129是TCP路由,TCP确定结果130是“匹配”,并且SYN确定结果131也是“匹配”时,表写入单元112获得IP头数据125中所包含的SIP 2206和输入线路号数据127中所包含的InLine 2201。然后表写入单元112将所获得的SIP 2206设置到DIP116-m-1,并将将InLine 2201设置为OutLine 116-m-2的条目116-m注册到TCP路由表116中(过程136)。
将路由鉴别器单元108输出的路由类型确定结果129、TCP鉴别器单元105输出的TCP确定结果130、SYN鉴别器单元106输出的SYN确定结果131、输出线路搜索号单元110输出的正常路由表搜索结果140,以及输出线路号搜索单元111输出的TCP路由表搜索结果141输入到输出线路号选择单元107。
当路由类型确定结果129不是TCP路由,或者当路由类型确定结果129是TCP路由而TCP确定结果130是“不匹配”;或者当路由类型确定结果129是TCP路由且TCP确定结果130是“匹配”并且SYN确定结果131是“匹配”时,那么输出线路号选择单元107向输出线路号分配器单元104输出作为输出线路号128的包含在正常路由表搜索结果140中的OutLine 115-m-2,作为最终路由搜索结果。另一方面,当路由类型确定结果129是TCP路由且TCP确定结果130是“匹配”并且SYN确定结果131是“不匹配”时,那么输出线路号选择单元107向输出线路号分配器单元104输出作为输出线路号128的包含在TCP路由搜索结果141中的OutLine 116-m-2,作为最终路由搜索结果。
输入到路由单元100的输入分组数据120,以及由输出线路号选择单元107输出的输出线路号128被输入到输出线路号分配器单元104。
输出线路号分配器单元104向所接收的输入分组数据120添加作为OutLine 2202的输出线路号128,并生成新的分组数据124。然后这一分组数据124被输出到流控制单元2007。
图9是路由单元100的处理的流程图。
路由类型鉴别器单元108首先确定路由类型是否是TCP路由(步骤201)。如果确定是TCP路由,那么TCP鉴别器单元105确定输入分组数据120是否是TCP分组(步骤202)。如果确定是TCP分组,那么SYN鉴别器单元106确定输入分组数据120是否是SYN分组(步骤203)。如果确定是SYN分组,那么表写入单元112将作为包含在IP头数据125中的传输源IP的SIP 2206以及包含在输入线路号数据127中的InLine 2201分别设置到DIP 116-m-1和输出线路号OutLine116-m-2。然后表写入单元112将这些116-m-1条目注册到TCP路由表116中(步骤204)。
另一方面,当步骤201中的检查结果不是TCP路由,当步骤202中的检查结果不是TCP分组,或者当步骤203中的检查结果是SYN分组时,包含在正常路由表搜索结果140中的OutLine 115-m-2成为最终搜索结果128。换句话说,分组数据120根据正常路由表搜索结果140(步骤205)被路由(步骤205)。
当在步骤203确定检查结果不是SYN分组时,那么包含在TCP路由表搜索结果141中的OutLine 116-m-2被确定为最终搜索结果128。换句话说,分组数据120根据TCP路由表搜索结果141(步骤206)被路由(步骤205)。
本发明的非法通信防御装置在下面描述。
图10是示出本发明实施例的非法通信防御装置的结构的方框图。
非法通信防御装置2100包括N个网络接口2101-n(n=1到N),以及一个交换单元2102,用于将分组切换到正确的网络接口2102-n。
网络接口2101-n包括K条线路2103-n-k(k=1到K)、对应于每条线路2103-n-k的线路号分配器单元2104-n-k和线路号删除器单元2105-n-k(k=1到K)、输入分组收集器2106-n、路由单元2108-n和分组收集器单元2112-n、非法通信防御单元400-n、流控制单元2107-n、内部交换单元2109-n,以及输出分组写入单元2110-n。下面描述当n=1的情况。
非法通信防御单元400-1检测发送非法通信的主机,并且在控制带宽或从主机排除非法通信的同时保护真实合法的通信。
与前述路由单元100不同,路由单元2108-1只进行真实路由。换句话说,路由单元2108-1通过通常路由表路由接收到的分组并输出那些结果。
该结构的其他部分本质上与前述通信装置2000相同。即,该结构包括K条线路2103-n-k(k=1到K),线路号分配器单元2104-n-1到k,用于向从线路2103-n-k输入的分组分配线路号并转换为装置内部格式;输入分组收集器2106-n,用于收集来自线路号分配器单元2104-n-k的分组数据;分组收集器单元2112-n,用于收集从路由单元2108-n接收的分组数据以及从交换单元2102接收的已交换的分组数据;流控制单元2107-n,用于为QoS(服务质量)控制等控制分组流;内部交换单元2109-n,用于向交换单元2102输出输出线路号不是指向线路2103-n-k(k=1到K)的分组数据2120-n以及还向输出分组配线单元2110-n输出输出线路号指向线路2103-n-k(k=1到K)的分组数据;输出分组配线单元2110-n,用于根据分组数据的输出线路号向任意线路号删除器单元2105-n-k(k=1到K)输出分组数据;以及线路号删除器单元2105-n,用于从装置内部格式分组数据删除线路号并将其返回到原始格式。
输入到非法通信防御单元400的分组数据470与前述图7中的相同。
即,分组数据470包括:InLine 2201,用于存储作为分组被输入的线路的标识号的输入线路号;OutLine 2202,用于存储作为输出分组的线路的标识号的输出线路号;SMAC 2203,用于存储作为数据链路的传输源地址的传输源MAC地址;DMAC 2204,用于存储作为目的地址的目的MAC地址;Proto 2205存储网络层协议;SIP 2206,用于存储作为传输源IP地址(传输端的主机的地址)的传输源IP地址;DIP 2207,用于存储作为目的地址(接收端的主机的地址)的目的IP地址;Sport 2208,用于存储TCP传输源端口;Dport 2209,用于存储TCP目的端口;flag 2210存储TCP标志;ChkSum 2211,用于存储TCP校验和;SEQ 2212,用于存储传输序列号(SEQ号);ACK 2213,用于存储接收序列号(ACK号);OtherHeader 2214,用于存储其它IP/TCP头数据;以及Payload 2215,用于存储除了分组数据以外的数据。
图11是示出本发明实施例的非法通信防御装置2100的非法通信防御单元400的结构的方框图。
非法通信防御单元400包括非法通信检测器单元471、过滤单元479、带宽限制器单元480、IP头提取器单元401、TCP头提取器单元402、地址生成器单元407、TCP鉴别器单元408、SYN鉴别器单元409、SYN-ACK鉴别器单元410、ACK鉴别器单元411、计时器429、SIP-DIP表422、SIP-DIP更新单元412、SIP-DIP匹配检查器413、DIP-SIP匹配检查器414、时间更新单元415、限制时间表424、时间超限检查器单元416、限制时间更新单元417、限制时间保持器单元428、SEQ号表425、SEQ号更新单元418、ACK匹配检查器单元419、状态表426、状态更新单元420、差分SEQ表427、差分SEQ更新单元421、缓冲区累积器单元432、SEQ号转换器单元403、ACK号转换器单元404、分组更新单元405、校验和更新单元406,以及分组收集器单元475。
非法通信监测器单元471根据输入分组数据470检测非法通信,并根据检测结果输出任意输入分组数据430、472、473或474。过滤单元479过滤分组数据并从那些结果中输出未被丢弃的分组数据477。带宽限制器单元480限制分组数据的带宽,并从那些结果中输出未被丢弃的分组数据478。IP头提取器单元401从输入分组数据430提取IP头数据437。TCP头提取器单元402从输入分组数据430提取TCP头数据438。地址生成器单元407根据由IP头提取器单元401所提取的IP头数据437生成表地址439。TCP鉴别器单元408检查IP头数据437并确定该协议是否是TCP。SYN鉴别器单元409检查TCP头数据438并确定该TCP标志是否是SYN。SYN-ACK鉴别器单元410检查TCP头数据438并确定该TCP标志是否是SYN-ACK。ACK鉴别器单元411检查TCP头数据438并确定该TCP标志是否是ACK。计时器429生成当前时间441。SIP-DIP更新单元412更新在由SIP-DIP表422的表地址439所指定的区域中记录的目的IP地址(DIP)和传输源IP地址(SIP)的内容。SIP-DIP匹配检查器413确定在由SIP-DIP表422的表地址439所指定的区域中记录的目的IP地址(DIP)和传输源IP地址(SIP)是否匹配包含在IP头数据437中的SIP和DIP。DIP-SIP匹配检查器414确定在由SIP-DIP表422的表地址439所指定的区域中记录的目的IP地址(DIP)和传输源IP地址(SIP)是否匹配包含在IP头数据437中的SIP和DIP。时间更新单元415更新在由时间表423的表地址439所指定的区域中记录的最近通信的时间。时间超限检查器单元416确定当前时间441和在由时间表423的表地址439所指定的区域中记录的通信时间之间的差值是否超出在由限制时间表424的表地址439所指定的区域中记录的时间限制。限制时间更新单元417更新在由限制时间表424的表地址439所指定的区域中记录的限制时间。限制时间保持器单元428预先记录限制时间更新单元417所使用的限制时间。SEQ号更新单元418更新在由SEQ号表425的表地址439所指定的区域中记录的SEQ号。ACK匹配检查器单元419确定在由SEQ号表425的表地址439所指定的区域中记录的SEQ号是否匹配包含在TCP头数据438中的ACK号加1的值。状态更新单元420更新在由状态表426的表地址439所指定的区域中记录的确定结果。差分SEQ更新单元421改变用于转换在由差分SEQ表427的表地址439所指定的区域中记录的序列号的值。缓冲区累积器单元432临时累积输入分组数据430,直到确定通过或丢弃该分组。SEQ号转换器单元403转换确定通过的分组的SEQ号。ACK号转换器单元404转换确定通过的包的ACK号。当记录在限制时间表424中的限制时间被限制时间更新单元417更新时,或者当记录在状态表426中的确定数据结果被状态更新单元420更新时,分组更新单元405转换分组数据434,生成分组数据435,并向校验和更新单元406输出这一分组数据435。校验和更新单元406重新计算分组数据435的TCP校验和并生成分组数据436,并向分组收集器单元475输出这一分组数据436。分组收集器单元475根据接收到的分组数据472、436、477以及478生成分组数据476并向流控制单元2107输出这一生成的分组数据476。
SIP-DIP表422在表地址439所指定的区域中记录目的IP地址(DIP)和传输源IP地址(SIP)。时间表423当进行通信时在表地址439所指定的区域中记录最近通信的时间。限制时间表424在表地址439所指定的区域中记录指定用于限制数据覆盖的时间的限制时间。SEQ号表425记录用于附加到SYN-ACK分组的传输序列号(SEQ号)。状态表426记录是通过还是丢弃该分组的确定结果作为通过/丢弃结果。差分SEQ表427记录在转换允许通过的分组的序列号时所使用的值。
下面描述非法通信防御装置2100的操作。
非法通信防御单元400处理输入的分组数据470,并将其作为处理过的分组数据476输出。
输入到非法通信防御单元400的分组数据470被输入到非法通信检测器单元471。
非法通信检测器单元471确定分组数据470是非法还是合法。如果确定分组数据470是非法的,则识别非法通信的类型(DDoS攻击、DoS攻击、蠕虫攻击、P2P通信量,等等)。如果识别为合法通信,则分组数据470被输出到分组收集器单元476作为分组数据474。将非法通信的并且被识别为DDoS攻击或DoS攻击的分组数据470作为分组数据430输出到IP头提取器单元401和TCP头提取器单元402。将非法通信的并且被识别为蠕虫攻击的分组数据470作为分组数据473输出到过滤单元479。将非法通信的并且被识别为P2P通信量的分组数据470作为分组数据472输出到带宽限制器单元480。
由非法通信检测器单元471输出的分组数据430被输入到IP头提取器单元401和TCP头提取器单元402。
IP头提取器单元401从分组数据430中提取包含Proto 2205、SIP2206和DIP 2207的IP头数据437。TCP头提取器单元402从分组数据430中提取包含Flag 2210、SEQ 2212和ACK 2213的TCP头数据438。
从IP头提取器单元401提取的IP头数据437被输入到地址生成器单元407和TCP鉴别器单元408。
地址生成器单元407根据包含在IP头数据437中的SIP 2206和DIP 2207生成散列值。地址生成器单元407输出这一散列值作为表地址439。
TCP鉴别器单元408通过使用包含在IP头数据437中的Proto2205确定协议是否是TCP。如果协议是TCP,则TCP鉴别器单元408输出显示“匹配”的TCP确定结果440,如果协议是非TCP,则输出显示“不匹配”的TCP确定结果440。
从TCP头提取器单元402输出的TCP头数据438被输入到SYN鉴别器单元409、SYN-ACK鉴别器单元410以及ACK鉴别器单元411。
SYN鉴别器单元409通过使用包含在TCP头数据438中的Flag2210确定TCP标志是否是SYN。如果TCP标志是SYN,那么SYN鉴别器单元409输出“匹配”作为SYN确定结果446,而如果TCP标志不是SYN,那么输出“不匹配”作为SYN确定结果446。SYN-ACK鉴别器单元410通过使用包含在TCP头数据438中的Flag 2210确定TCP标志是否是SYN-ACK。如果TCP标志是SYN-ACK,那么SYN-ACK鉴别器单元410输出“匹配”作为SYN-ACK确定结果445,而如果TCP标志不是SYN-ACK,那么输出“不匹配”作为SYN-ACK确定结果445。ACK鉴别器单元411通过使用包含在TCP头数据438中的Flag 2210确定TCP标志是否是ACK。如果TCP标志是ACK那么ACK鉴别器单元411输出“匹配”作为ACK确定结果444,而如果TCP标志不是ACK,那么输出“不匹配”作为ACK确定结果444。
IP头提取器单元401输出的IP头数据437被输入到SIP-DIP匹配检查器413。
SIP-DIP匹配检查器413确定包含在IP头数据437中的SIP 2206和DIP 2207是否匹配在SIP-DIP表422中记录的传输源IP地址和目的IP地址。
图12A是示出SIP-DIP表422的一个实例的图。
SIP-DIP表422包含M个条目422-m(m=1到M)。每个条目422-m包含SIP 422-m-1(m=1到M)和DIP 422-m-2(m=1到M)。SIP 422-m-1存储传输源IP地址。DIP 422-m-2存储目的IP地址。
更具体的说,SIP-DIP匹配检查器413通过使用用于指定该地址的表地址439来获得SIP-DIP表422内的条目422-m(过程456)。此外,SIP-DIP匹配检查器413确定包含在IP头数据437中的SIP 2206和DIP 2207匹配还是不匹配包含在条目422-m中的SIP 422-m和DIP422-m-2,并输出确定结果作为SIP-DIP匹配确定结果443。
IP头提取器单元401输出的IP头数据437被输入到DIP-SIP匹配检查器414。
DIP-SIP匹配检查器414通过使用表地址439获得SIP-DIP表422内的条目22-m(过程456)。DIP-SIP匹配检查器414进一步确定包含在IP头数据437中的DIP 2207和SIP 2206是否匹配包含在条目422-m中的DIP 422-m-2和SIP 422-m-1,并输出那些确定结果作为DIP-SIP匹配结果447。
计时器429生成当前时间441。这一当前时间441被输入到时间超限检查器单元416。
时间超限检查器单元416确定计时器429所生成的当前时间441和记录在时间表423中的通信时间之间的差值是否超过记录在限制时间表424中的限制时间。
图12B是示出时间表423的一个实例的图。
时间表423包括M个通信时间TIME 423-m(m=1到M),其示出进行通信的最近时间。
图12C是示出限制时间表424的一个实例的图。
限制时间表424包括M个限制时间TIME_LIMIT 424-m(m=1到M),其指定限制数据覆盖的时间。
更具体的说,时间超限检查器单元416使用表地址439获得时间表423的通信时间TIME 423-m(过程458)以及限制时间表424的限制时间TIME_LIMIT 424-m(过程452)。时间超限检查器单元416然后确定计时器429所生成的当前时间441和通信时间TIME 423-m之间的差值是否超过限制时间TIME_LIMIT 424-m。时间超限检查器单元416然后输出那些检查结果作为超限时间检查结果442。
TCP头提取器单元402输出的TCP头数据438被输入到ACK匹配检查器单元419。
ACK匹配检查器单元419确定包含在TCP头数据438中的ACK2213是否匹配记录在SEQ号表425中的SEQ号加1的值。
图12D是示出SEQ号表425的一个实例的图。
SEQ号表425包括M个SEQ 425-m(m=1到M),其示出附加在SYN-ACK分组的传输SEQ号。
更具体的说,ACK匹配检查器单元419通过使用表地址439中的地址获得SEQ号表425的SEQ 425-m(m=1到M)(过程461)。然后ACK匹配检查器单元419确定包含在TCP头数据438中的ACK 2213是否匹配SEQ 425-m加1的值。
IP头提取器单元401输出的IP头数据437、SIP-DIP匹配检查器413输出的SIP-DIP匹配确定结果443,以及时间超限检查器单元416输出的超限时间检查结果442被输入到SIP-DIP更新单元412。
图13是示出SIP-DIP更新单元412的操作的流程图。
SIP-DIP更新单元412确定所接收的SIP-DIP匹配确定结果443是否是“不匹配”,以及所接收的超限时间检查结果442是否超过(步骤601)。当确定所接收的SIP-DIP匹配确定结果443是“不匹配”,并且确定所接收的超限时间检查结果442超过时,SIP-DIP更新单元412将由SIP-DIP表422的表地址439所指定的条目422-m中所包含的SIP 422-m-1和DIP 422-m-2分别改变为包含在IP头数据中的SIP2206和DIP 2207,并更新该条目(步骤602)(过程455)。
该过程更新SIP-DIP表422的条目。
计数器429所生成的当前时间441、SIP-DIP匹配检查器413输出的SIP-DIP匹配确定结果443,以及时间超限检查器单元416输出的超限时间检查结果442被输入到时间更新单元415。
图14是时间更新单元415的操作的流程图。
时间更新单元415确定所接收的SIP-DIP匹配确定结果443是否是“匹配”或者所接收的超限时间检查结果442是否超过(步骤701)。当确定所接收的SIP-DIP匹配确定结果443是“匹配”或者所接收的超限时间检查结果442是超过时,时间更新单元415将时间表423的表地址439所指定的通信时间TIME 423-m改变为当前时间441,并更新当前时间TIME 423-m(步骤702)(过程457)。
这一过程更新时间表423的条目。
SIP-DIP匹配检查器413输出的SIP-DIP匹配确定结果443、DIP-SIP匹配检查器414输出的DIP-SIP匹配确定结果447、时间超限检查器单元416输出的超限时间检查结果442、TCP鉴别器单元408输出的TCP确定结果440、SYN鉴别器单元409输出的SYN确定结果446、ACK鉴别器单元411输出的ACK确定结果444,以及ACK匹配检查器单元419输出的ACK匹配确定结果448,都被输入到限制时间更新单元417。
图15是限制时间更新单元417的操作的流程图。
当所接收的SIP-DIP匹配确定结果443是“不匹配”时,限制时间更新单元417确定所接收的超限时间检查结果442是否超过(步骤501)。当所接收的SIP-DIP匹配确定结果443是“不匹配”时,限制时间更新单元417确定所接收的超限时间检查结果442是否超过,然后将限制时间表424的表地址439所指定的限制时间TIME_LIMIT424-m改变为从限制时间保持器单元428获得的限制时间T1465,并且更新限制时间T1(步骤502)(过程459)。
限制时间更新单元417接着确定所接收的TCP确定结果440是否是“匹配”,所接收的SYN确定结果446是否是“匹配”,以及进一步地限制时间表424的表地址439所指定的限制时间TIME_LIMIT424-m是否是T1(步骤503)。如果所接收的TCP确定结果440是“匹配”,所接收的SYN确定结果446是“匹配”,以及进一步地限制时间表424的表地址439所指定的限制时间TIME_LIMIT 424-m是T1;那么限制时间更新单元417将限制时间表424的表地址439所指定的限制时间TIME_LIMIT 424-m改变为从限制时间保持器单元428所获得的限制时间T2465,并更新限制时间T2(步骤504)(过程459)。
限制时间更新单元417接着确定所接收的SIP-DIP匹配确定结果443是否是“匹配”,所接收的TCP检查结果440是否是“匹配”,所接收的ACK确定结果444是否是“匹配”,所接收的ACK匹配结果448是否是“匹配”,以及进一步地限制时间表424的表地址所指定的限制时间TIME_LIMIT 424-m是否是T2(步骤505)。如果满足这些条件,那么限制时间更新单元417将限制时间表424的表地址439所指定的限制时间TIME_LIMIT 424-m改变为从限制时间保持器428所获得的限制时间T3465,并更新限制时间T3(步骤506)(过程459)。
限制时间更新单元417接着确定所接收的DIP-SIP匹配确定结果447是否是“匹配”,TCP检查结果440是否是“匹配”,SYN-ACK确定结果445是否是“匹配”,以及进一步地限制时间表424的表地址439所指定的限制时间TIME_LIMIT 424-m是否是T3(步骤507)。如果满足这些条件,那么限制时间更新单元417将限制时间表424的表地址439所指定的限制时间TIME_LIMIT 424-m改变为从限制时间保持器428所获得的限制时间T4 465,并更新限制时间T4(步骤508)(过程459)。然后限制时间更新单元417在更新前后输出限制时间(T1,T2,T3,T4),作为限制时间449。
限制时间保持器428所保留的限制时间(T1,T2,T3,T4)值可以通过使用从外部终端464输入的命令466来改变。推荐:设置T1为尽可能小的值,设置T2为大于连接请求源主机和非法通信防御装置之间的最大RTT时间的值,设置T3为大于连接请求源主机和非法通信防御装置之间的RT时间的值,并且设置T4为几分钟的值。
SIP-DIP匹配检查器413输出的SIP-DIP匹配确定结果443、时间超限检查器单元416输出的超限时间检查结果442、TCP鉴别器单元408输出的TCP确定结果440、以及SYN鉴别器单元409输出的SYN确定结果446被输入到SEQ号更新单元418。
图16是示出SEQ号更新单元418的操作的流程图。
SEQ号更新单元418确定SIP-DIP匹配确定结果443是否是“不匹配”,所接收的超限时间检查结果442是否超过,TCP检查结果440是否是“匹配”,所接收的SYN确定结果446是否是“匹配”,以及进一步地限制时间表424的表地址439所指定的限制时间TIME_LIMIT 424-m是否是T1(步骤801)。如果满足这些条件,那么SEQ号更新单元418将SEQ号表425的表地址439所指定的SEQ425-m(m=1到M)改变为随机生成值460(步骤802)。然后这一随机生成值作为随机生成值450输出。
SIP-DIP匹配检查器413输出的SIP-DIP匹配确定结果443、DIP-SIP匹配检查器414输出的DIP-SIP匹配确定结果447、时间超限检查器单元416输出的超限时间检查结果442、TCP鉴别器单元408输出的TCP确定结果440以及SYN-ACK鉴别器单元410输出的SYN-ACK确定结果445被输入到状态更新单元420。
状态更新单元420更新记录在状态表426中用于指定通过还是丢弃该分组的检查结果。
图12E是示出状态表426的一个实例的图。状态表426包括M个通过/丢弃检查结果STATE 426_m(m=1到M),其存储关于通过或丢弃该分组的确定结果。
图17是示出状态更新单元420的操作的流程图。
状态更新单元420确定所接收的SIP-DIP匹配确定结果443是否是“不匹配”,所接收的超限时间检查结果442是否超过(步骤901)。如果SIP-DIP匹配确定结果443是“不匹配”,且所接收的超限时间检查结果442超过,那么状态更新单元420将状态表426的表地址439所指定的通过/丢弃检查结果STATE 426-m改变为“丢弃”(步骤902)(过程462)。
状态更新单元420接着确定所接收的DIP-SIP匹配确定结果447是否是“匹配”,TCP确定结果440是否是“匹配”,SYN-ACK确定结果445是否是“匹配”,以及进一步地限制时间表424的表地址439所指定的时间限制TIME_LIMIT 424-m是否是T3(步骤903)。如果满足这些条件,那么状态更新单元420将状态表426的表地址439所指定的通过/丢弃检查结果STATE 426-m改变为“通过”(步骤904)。那么修改前后的通过/丢弃检查结果都作为通过/丢弃检查结果451输出。
TCP头提取器单元402输出的TCP头数据438、SIP-DIP匹配检查器413输出的SIP-DIP匹配确定结果443、DIP-SIP匹配检查器414输出的DIP-SIP匹配确定结果447、时间超限检查器单元416输出的超限时间检查结果442、TCP鉴别器单元408输出的TCP检查结果440以及SYN-ACK鉴别器单元410输出的SYN-ACK确定结果445都被输入到差分SEQ更新单元421。
差分SEQ更新单元421重写SEQ差表427指定为在对被判断为通过的分组的序列号进行转换时所使用的值。
图12F是示出差分SEQ表427的一个实例的图。
差分SEQ表427包括M个差值ΔSEQ 427-m(m=1到M),用于记录对被确定为“通过”的分组的序列号进行转换时所使用的值。
图18是示出差分SEQ更新单元4的操作的流程图。
差分SEQ更新单元421确定所接收的SIP-DIP匹配确定结果443是否是“不匹配”,以及所接收的超限时间检查结果442是否是超过(步骤1001)。当差分SEQ更新单元421确定SIP-DIP匹配确定结果443是“不匹配”,并且所接收的超限时间检查结果442是超过时,将差分SEQ表427的表地址439所指定的差分值ΔSEQ 427-m改变为0(步骤1002)(过程463)。
接着,差分SEQ更新单元421确定所接收的DIP-SIP匹配确定结果447是否是“匹配”,TCP检查结果440是否是“匹配”,SYN-ACK确定结果445是否是“匹配”,以及进一步地限制时间表424的表地址439所指定的时间限制TIME_LIMIT 424-m是否是T3,并进一步确定状态表426的表地址439所指定的通过/丢弃检查结果STATE426-m是否是“丢弃”(步骤1003)。如果满足这些条件,那么差分SEQ更新单元421将差分SEQ表427的表地址439所指定的差分SEQΔSEQ 427-m改变为表地址439所指定的SEQ 425-m和包含在TCP头数据438中的SEQ 2212之间的差值(步骤1004)(过程463)。
非法通信检测器单元471输出的输入分组数据430、限制时间更新单元417输出的限制时间449、状态更新单元420输出的通过/丢弃检查结果451,以及地址生成器单元407输出的表地址439都被输入到缓冲区累积器单元432。
缓冲区累积器单元432包含由存储器等组成的缓冲区。当修改前的限制时间449和修改后的限制时间449都是T3时,缓冲区累积器单元432将输入分组数据430存储到缓冲区内通过表地址439所指定的一个区域。在所有其他情况下,缓冲区累积器单元432输出输入分组数据430作为分组数据431。累积的输入分组数据430在修改后的通过/丢弃检查结果451改变为通过之后装载,并作为分组数据431输出。该分组数据431的格式与输入分组数据430相同。
缓冲区累积器单元432输出的分组数据431、DIP-SIP匹配检查器414输出的DIP-SIP匹配结果447、TCP鉴别器单元408输出的TCP检查数据结果440、限制时间表424的表地址439所指定的时间限制TIME_LIMIT 424-m、通过状态表426的表地址439指定所获得的通过/丢弃检查结果STATE 426-m,以及从差分SEQ表427的表地址439指定所获得的差分SEQΔSEQ 427-m都被输入到SEQ号转换器单元403。
图19是SEQ号转换器单元403的操作的流程图。
SEQ号转换器单元403确定所接收的DIP-SIP匹配确定结果447是否是“匹配”,接收的TCP检查数据结果440是否是“匹配”,以及进一步地时间限制TIME_LIMIT 424-m是否是T3,并进一步确定通过/丢弃检查结果STATE 426-m是否是“通过”(步骤1101)。如果满足这些条件,那么SEQ号转换器单元403向包含在分组数据431中的SEQ 2212加上差分SEQΔSEQ 427-m(步骤1102)。这一处理过的分组数据作为分组数据433输出。这一分组数据433的格式与输入分组数据430相同。
SEQ号转换器单元403输出的分组数据433、SIP-DIP匹配检查器413输出的SIP-DIP匹配确定结果443、TCP鉴别器单元408输出的TCP检查数据结果440、通过限制时间表424的表地址439指定所获得的时间限制TIME_LIMIT 424-m、通过状态表426的表地址439指定所获得的通过/丢弃检查结果STATE 426-m,以及通过差分SEQ表427的表地址439指定所获得的差分SEQΔSEQ427-m都被输入到ACK号转换器单元404。
图20是示出ACK号转换器单元404的操作的流程图。
ACK号转换器单元404确定所接收的SIP-DIP匹配确定结果443是否是“匹配”,所接收的TCP检查数据440是否是“匹配”,所接收的时间限制TIME_LIMIT 424-m是否是T3,以及进一步地所接收的通过/丢弃检查结果STATE 426-m是否是“通过”(步骤1201)。如果满足这些条件,那么ACK号转换器单元404从包含在分组数据433中的ACK 2213中减去差分SEQΔSEQ 427-m(步骤1202)。这一处理过的分组数据作为分组数据434输出。这一分组数据434的格式与输入分组数据430相同。
ACK号转换器单元404输出的分组数据434、时间更新单元415输出的限制时间449、状态更新单元420输出的通过/丢弃检查结果451,以及SEQ号更新单元418输出的随机生成值450;都被输入到分组更新单元405。
图21是示出分组更新单元405的操作的流程图。
分组更新单元405确定包括在所接收的限制时间449中的修改前的限制时间是否是T1,并确定修改后的限制时间是否是T2(步骤1301)。如果包括在所接收的限制时间449中的修改前的限制时间是T1,且修改后的限制时间是T2,那么交换分组数据434的InLine 2201的值和OutLine 2202的值。还交换分组数据434的DMAC 2204和SMAC 2203的值。还交换分组数据434的DIP 2207和SIP 2206的值。还交换分组数据434的Dport 2209和Sport 2208的值。分组数据434中的Flag 2210的值也从2改变为18。换句话说,该值从指示SYN的值2改变为指示SYN-ACK的值18。此外,分组数据434中的SEQ2212值被设为随机生成值450。ACK 2213值被改变为SEQ 2212值加1(步骤1302)。
下面,分组更新单元405确定包括在所接收的限制时间449中的修改前的限制时间是否是T2,以及修改后的限制时间是否是T3(步骤1303)。如果所接收的限制时间449中的修改前的限制时间是T2,并且修改后的限制时间是T3,那么分组更新单元405将分组数据434的Flag 2210的值从16改变为2。换句话说,该值从指示ACK的值16改变为指示SYN的值2。还从SEQ 2212中减去1。ACK 2213的值改变为0(步骤1304)。
下面,分组更新单元405确定包括在所接收的通过/丢弃检查结果451中的修改前的通过/丢弃检查结果是否是“丢弃”,并且所接收的修改后的通过/丢弃检查结果是否是“通过”(步骤1305)。如果包括在通过/丢弃检查结果451中的修改前的通过/丢弃检查结果是“丢弃”,并且修改后的通过/丢弃检查结果是“通过”,那么交换分组数据434的OutLine 2202的值和InLine 2201的值。还交换分组数据434的DMAC 2204和SMAC 2203的值。还交换分组数据434的DIP 2207和SIP 2206的值。还交换分组数据434的Dport 2209和Sport 2208的值。还将分组数据434中的Flag 2210值从18改变为16。换句话说,该值从指示SYN-ACK的值18改变为指示ACK的值16。SEQ 2212的值改变为ACK 2213。ACK 2213值改变为SEQ 2212值加1(步骤1306)。
下面,分组更新单元405确定包括在所接收的限制时间449中的修改前的限制时间是否是T1,并确定修改后的限制时间是否是T2;或者确定包括在限制时间449中的修改前的限制时间是否是T2,并确定修改后的限制时间是否是T3;或者确定包括在所接收的通过/丢弃检查结果451中的修改后的通过/丢弃检查结果是否是“通过”(步骤1307)。如果即使满足这些条件中的一个,那么分组更新单元405输出分组数据434作为分组数据435(步骤1308)。另一方面,如果这些条件都不满足,那么丢弃分组数据434(步骤1309)。这一分组数据435的格式与输入分组数据430相同。
分组更新单元405输出的分组数据435、TCP鉴别器单元408输出的TCP确定结果440、限制时间更新单元417输出的限制时间449、状态更新单元420输出的通过/丢弃检查结果451、SIP-DIP匹配检查器413输出的SIP-DIP匹配确定结果443,以及DIP-SIP匹配检查器414输出的DIP-SIP匹配确定结果447;都被输入到校验和更新单元406。
校验和更新单元406确定包括在所接收的限制时间449中的修改前的限制时间是否是T1,并确定修改后的限制时间是否是T2;或者确定包括在所接收的限制时间449中的修改前的限制时间是否是T2,并确定修改后的限制时间是否是T3;或者确定包括在所接收的通过/丢弃检查结果451中的修改后的通过/丢弃检查结果是否是“通过”,所接收的TCP检查数据440是否是“匹配”,以及SIP-DIP匹配确定结果443或者DIP-SIP匹配确定结果447是否是“匹配”。如果满足这些条件,那么校验和更新单元406重新计算分组数据435的TCP校验和ChkSum 2211。存储这一新校验和的处理过的分组数据作为分组数据436输出。
本发明实施例的非法通信防御单元400的上述处理通过这种方式在保护具有大RTT的合法(真实)通信,甚至在非法通信大规模生成时错误的概率最小。
Claims (10)
1、一种连接到网络的通信装置,用于接收网络上发送的分组,并根据分组目的地传输分组,所述通信装置包含:控制单元;存储单元,含有至少一个用于存储关于所述分组目的地的信息的路由表;
其中,当所接收的分组是向所述分组目的地连接的请求时,所述控制单元在所述路由表中与用于接收所述分组的识别出的线路相关联地存储所述分组的传输源地址,以及
当所接收的分组不是连接请求时,所述控制单元检查所述路由表,获取与匹配所述分组的目的地址的目的地址相关联的线路,并经由所获取的线路发送所述分组。
2、根据权利要求1所述的通信装置,其中所述控制单元包括:
类型检测器单元,用于识别所述分组的协议类型,以及
附加信息检测器单元,用于识别附加到所述分组的标志的类型,并且其中
当所述类型检测器单元识别所接收的分组的协议为TCP协议,并且所述附加信息检测器单元识别附加到所述分组的标志为SYN时,所述控制单元在所述路由表中与用于接收所述分组的所述线路相关联地存储所述分组的传输源地址,以及
当所述类型检测器单元识别所接收的分组的协议为TCP协议,并且所述附加信息检测器单元识别附加到所述分组的标志为非SYN时,所述控制单元检查所述路由表,获取与匹配所述分组的目的地址的目的地址相关联的线路,并经由所获取的线路发送所述分组。
3、根据权利要求2所述的通信装置,其中所述存储单元包括:
第一路由表,用于TCP协议,以及
第二路由表,用于非TCP协议,并且其中
当发送所述分组时,所述存储单元存储路由类型注册信息,所述路由类型注册信息包含用于设置使用所述第一路由表还是所述第二路由表的信息;并且其中
所述控制单元包含路由鉴别器单元,用于检查所述路由类型注册信息,并确定传送所接收的分组所使用的所述路由表,并且其中
当所述路由鉴别器单元确定传送所接收的分组所使用的所述路由表是所述第一路由表,并且所述附加信息检测器单元识别附加到所述分组的标志为SYN时,所述控制单元在所述路由表中与用于接收所述分组的所述线路相关联地存储所述分组的所述传输源地址,以及
当所述路由鉴别器单元识别传送所接收的分组所使用的所述路由表为所述第一路由表,并且所述附加信息检测器单元识别附加到所述分组的标志为非SYN时,所述控制单元从所述第一路由表获取与匹配所述分组的所述目的地址的所述目的地址相关联的所述线路,并经由所获取的线路发送所述分组,以及
当所述路由鉴别器单元识别用于所接收的分组的所述路由表为所述第二路由表,或者所接收的分组的所述协议是非TCP协议时,所述控制单元从所述第二路由表获取链接所述分组的所述目的地址和所述匹配分组地址的所述线路,并经由所获取的线路发送所述分组。
4、一种连接到网络的非法通信防御装置,用于接收通过所述网络交换的分组,根据分组目的地传输所述分组中的分组,并在所述分组为非法时限制所述分组的传输,所述非法通信防御装置包括:
控制单元;以及存储单元,其中
所述存储单元包含:
所述分组的连接请求源IP地址、所述分组的连接请求目的IP地址,以及用于与限制时间相关联地记录所述分组到达的到达时间的会话信息,其中所述限制时间表示限制重写关于所述分组的信息的时间段,以及
当当前时间和所述会话信息中所记录的所述到达时间之间的差值超过会话表中所记录的所述限制时间时,所述控制单元允许重写关于所述分组的信息。
5、根据权利要求4所述的非法通信防御装置,其中所述限制时间根据从如下组中选择的至少一个而改变,所述组包括所述分组的所述连接请求源IP地址、所述分组的所述连接请求目的IP地址,以及所述当前时间和所述会话信息中所记录的所述到达时间之间的所述差值。
6、根据权利要求4所述的非法通信防御装置,其中,
当接收到从所述连接请求源IP地址发送到所述连接请求目的IP地址的第一分组,其协议是TCP协议,并且附加到所述第一分组的标志是SYN时,所述控制单元分别将所述第一分组的所述连接请求源IP地址改变为所述连接请求目的IP地址,将所述第一分组的所述连接请求目的IP地址改变为所述连接请求源IP地址;并将所述标志改变为SYN-ACK,并生成附加了根据随机值生成的传输序列号的第二分组,并将所述第二分组发送到所述连接请求源IP地址,以及
当接收到从所述连接请求源IP地址发送到所述连接请求目的IP地址的第三分组,其协议是TCP协议,其附加的标志是ACK,并且其附加的接收序列号是所述传输序列号加1的值时,所述控制单元确定所述连接请求目的IP地址和所述连接请求源IP地址之间的通信是合法的,将所述第三分组标志改变为SYN,从所述传输序列号减1,生成所述接收序列号为0的第四分组,并向所述连接请求目的IP地址发送所述第四分组,以及
当接收到从所述连接请求目的IP地址发送到所述连接请求源IP地址的第五分组,其协议是TCP协议,并且其附加的标志是SYN-ACK时,所述控制单元分别将所述第五分组的所述连接请求源IP地址改变为所述连接请求目的IP地址,将所述第五分组的所述连接请求目的IP地址改变为所述连接请求源IP地址;将所述标志改变为ACK,分别将所述传输序列号改变为所述接收序列号,将所述接收序列号改变为所述传输序列号,并且还生成所述接收序列号加1的第六分组,并通过向所述连接请求目的IP地址发送所述第六分组,允许所述连接请求目的IP地址和所述连接请求源IP地址之间的通信。
7、根据权利要求6所述的非法通信防御装置,其中当接收到所述第三分组或第五分组时改变所述会话表中所记录的所述限制时间。
8、根据权利要求6所述的非法通信防御装置,其中,
在确定通过所述分组后,所述控制单元允许在所述连接请求源IP地址和所述连接请求目的IP地址之间发送和接收分组,以及
当接收到从所述连接请求源IP地址发送到所述连接请求目的IP地址的第七分组时,在从附加到所述第七分组的所述接收序列号中减去附加到所述第五分组的所述传输序列号和附加到所述第二分组的所述传输序列号之间的差值后重新计算TCP校验和,以及
当接收到从所述连接请求目的IP地址发送到所述连接请求源IP地址的第八分组时,在向附加到所述第八分组的所述传输序列号加上所述第二分组的所述传输序列号和所述第五分组的所述传输序列号之间的差值后重新计算所述TCP校验和,以及
在做出分组通过决定前,所述连接请求源IP地址和所述连接请求目的IP地址之间发送和接收的所述分组被丢弃,或者被累积到缓冲区中。
9、一种连接到一个或多个通信装置的网络系统,所述通信装置用于接收沿着网络发送和接收的分组,并用于根据所述分组的目的地址发送所述分组,并且其
连接到单个或多个非法通信防御装置,所述非法通信防御装置用于接收沿着网络发送和接收的分组,根据所述分组的目的地址发送所述分组,并且当分组非法时限制该分组的传输,所述通信装置包含:
第一控制单元;第一存储单元,用于存储包含关于所述分组的目的地的信息的路由表;其中
当所接收的分组是连接请求时,所述第一控制单元将分组传输源地址和所述分组的接收线路相关联并将其存储到所述路由表中,以及
当所接收的分组不是连接请求时,所述第一控制单元检查所述路由表,获取关联所述分组的所述目的地址和匹配目的地址的线路,并经由所获取的线路发送所述分组;
所述非法通信防御装置包括第二控制单元,以及第二存储单元;其中
所述第二存储单元包括所述分组的连接请求源IP地址、所述分组的连接请求目的IP地址、用于与限制时间相关联地记录所述分组到达的到达时间的会话信息,其中所述限制时间表示限制重写关于所述分组的信息的时间段,以及
当所述会话表中所记录的所述到达时间和当前时间之间的差值超过所述限制时间时,所述第二控制单元允许重写所述分组。
10、一种安全路由器,包含:
至少两条输入线路;
至少两条输出线路;
序列生成器;以及
至少一个状态表;
其中所述安全路由器经由所述两条输入线路和所述两条输出线路,在至少一个用户以及主机和第二路由器中的至少一个之间对合法通信进行路由;其中合法通信包含这样的通信:从所述序列生成器随机初始化开始,在所述两条输出或两条输入线路的适当一个上适当增长并发送或接收而未绕过所述安全路由器的通信和根据所述至少一个状态表处于合法状态不超过允许的时间限制的通信。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP052181/2006 | 2006-02-28 | ||
| JP2006052181A JP4634320B2 (ja) | 2006-02-28 | 2006-02-28 | 対異常通信防御を行うための装置とネットワークシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101030977A true CN101030977A (zh) | 2007-09-05 |
| CN101030977B CN101030977B (zh) | 2013-11-06 |
Family
ID=38443911
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200710084904.7A Expired - Fee Related CN101030977B (zh) | 2006-02-28 | 2007-02-16 | 用于防御非法通信的装置及其网络系统 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US8175096B2 (zh) |
| JP (1) | JP4634320B2 (zh) |
| CN (1) | CN101030977B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102045302A (zh) * | 2009-10-10 | 2011-05-04 | 中兴通讯股份有限公司 | 网络攻击的防范方法、业务控制节点及接入节点 |
| CN104967572A (zh) * | 2015-06-05 | 2015-10-07 | 小米科技有限责任公司 | 网络访问方法、装置及设备 |
| CN105049489A (zh) * | 2015-06-25 | 2015-11-11 | 上海斐讯数据通信技术有限公司 | 一种在uboot上实现三次握手的方法 |
| CN106100839A (zh) * | 2016-08-16 | 2016-11-09 | 电子科技大学 | 一种基于tcp数据包和自定义算法的网络通信安全方法 |
| CN109845195A (zh) * | 2017-07-26 | 2019-06-04 | 松下电器(美国)知识产权公司 | 通信装置、通信方法以及通信系统 |
Families Citing this family (48)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6226680B1 (en) * | 1997-10-14 | 2001-05-01 | Alacritech, Inc. | Intelligent network interface system method for protocol processing |
| US7945705B1 (en) | 2004-05-25 | 2011-05-17 | Chelsio Communications, Inc. | Method for using a protocol language to avoid separate channels for control messages involving encapsulated payload data messages |
| US7660306B1 (en) | 2006-01-12 | 2010-02-09 | Chelsio Communications, Inc. | Virtualizing the operation of intelligent network interface circuitry |
| US7724658B1 (en) | 2005-08-31 | 2010-05-25 | Chelsio Communications, Inc. | Protocol offload transmit traffic management |
| US7715436B1 (en) | 2005-11-18 | 2010-05-11 | Chelsio Communications, Inc. | Method for UDP transmit protocol offload processing with traffic management |
| US7616563B1 (en) | 2005-08-31 | 2009-11-10 | Chelsio Communications, Inc. | Method to implement an L4-L7 switch using split connections and an offloading NIC |
| US7660264B1 (en) | 2005-12-19 | 2010-02-09 | Chelsio Communications, Inc. | Method for traffic schedulign in intelligent network interface circuitry |
| US7760733B1 (en) | 2005-10-13 | 2010-07-20 | Chelsio Communications, Inc. | Filtering ingress packets in network interface circuitry |
| US8935406B1 (en) | 2007-04-16 | 2015-01-13 | Chelsio Communications, Inc. | Network adaptor configured for connection establishment offload |
| US8589587B1 (en) | 2007-05-11 | 2013-11-19 | Chelsio Communications, Inc. | Protocol offload in intelligent network adaptor, including application level signalling |
| US8060644B1 (en) | 2007-05-11 | 2011-11-15 | Chelsio Communications, Inc. | Intelligent network adaptor with end-to-end flow control |
| US7826350B1 (en) | 2007-05-11 | 2010-11-02 | Chelsio Communications, Inc. | Intelligent network adaptor with adaptive direct data placement scheme |
| US7831720B1 (en) | 2007-05-17 | 2010-11-09 | Chelsio Communications, Inc. | Full offload of stateful connections, with partial connection offload |
| US7852756B2 (en) * | 2007-06-13 | 2010-12-14 | 02Micro International Limited | Network interface system with filtering function |
| JP2009152953A (ja) * | 2007-12-21 | 2009-07-09 | Nec Corp | ゲートウェイ装置およびパケット転送方法 |
| US8064362B2 (en) * | 2008-08-21 | 2011-11-22 | Cisco Technology, Inc. | Wide area network optimization proxy routing protocol |
| WO2011025876A1 (en) * | 2009-08-27 | 2011-03-03 | Interdigital Patent Holdings, Inc. | Method and apparatus for solving limited addressing space in machine-to-machine (m2m) environments |
| US8625421B2 (en) * | 2012-02-03 | 2014-01-07 | Telefonaktiebolaget L M Ericsson (Publ) | DAD-NS triggered address resolution for DoS attack protection |
| US8887280B1 (en) * | 2012-05-21 | 2014-11-11 | Amazon Technologies, Inc. | Distributed denial-of-service defense mechanism |
| CN102946387B (zh) * | 2012-11-01 | 2016-12-21 | 惠州Tcl移动通信有限公司 | 一种防御拒接服务攻击的方法 |
| US9288227B2 (en) * | 2012-11-28 | 2016-03-15 | Verisign, Inc. | Systems and methods for transparently monitoring network traffic for denial of service attacks |
| JP2016031749A (ja) * | 2014-07-30 | 2016-03-07 | 富士通株式会社 | パケット監視装置、パケット監視方法及びパケット監視プログラム |
| US10320629B2 (en) | 2015-04-17 | 2019-06-11 | Level 3 Communications, Llc | Illicit route viewing system and method of operation |
| US10374904B2 (en) | 2015-05-15 | 2019-08-06 | Cisco Technology, Inc. | Diagnostic network visualization |
| US9967158B2 (en) | 2015-06-05 | 2018-05-08 | Cisco Technology, Inc. | Interactive hierarchical network chord diagram for application dependency mapping |
| US10142353B2 (en) | 2015-06-05 | 2018-11-27 | Cisco Technology, Inc. | System for monitoring and managing datacenters |
| US10536357B2 (en) | 2015-06-05 | 2020-01-14 | Cisco Technology, Inc. | Late data detection in data center |
| US10289438B2 (en) | 2016-06-16 | 2019-05-14 | Cisco Technology, Inc. | Techniques for coordination of application components deployed on distributed virtual machines |
| US10708183B2 (en) | 2016-07-21 | 2020-07-07 | Cisco Technology, Inc. | System and method of providing segment routing as a service |
| US10972388B2 (en) | 2016-11-22 | 2021-04-06 | Cisco Technology, Inc. | Federated microburst detection |
| US10708152B2 (en) | 2017-03-23 | 2020-07-07 | Cisco Technology, Inc. | Predicting application and network performance |
| US10523512B2 (en) | 2017-03-24 | 2019-12-31 | Cisco Technology, Inc. | Network agent for generating platform specific network policies |
| US10764141B2 (en) | 2017-03-27 | 2020-09-01 | Cisco Technology, Inc. | Network agent for reporting to a network policy system |
| US10594560B2 (en) | 2017-03-27 | 2020-03-17 | Cisco Technology, Inc. | Intent driven network policy platform |
| US10250446B2 (en) | 2017-03-27 | 2019-04-02 | Cisco Technology, Inc. | Distributed policy store |
| US10873794B2 (en) | 2017-03-28 | 2020-12-22 | Cisco Technology, Inc. | Flowlet resolution for application performance monitoring and management |
| US10680887B2 (en) | 2017-07-21 | 2020-06-09 | Cisco Technology, Inc. | Remote device status audit and recovery |
| US10554501B2 (en) | 2017-10-23 | 2020-02-04 | Cisco Technology, Inc. | Network migration assistant |
| US10523541B2 (en) | 2017-10-25 | 2019-12-31 | Cisco Technology, Inc. | Federated network and application data analytics platform |
| US10594542B2 (en) | 2017-10-27 | 2020-03-17 | Cisco Technology, Inc. | System and method for network root cause analysis |
| KR102354699B1 (ko) * | 2017-10-31 | 2022-01-24 | 삼성전자주식회사 | 네트워크 연결 제어 장치 및 그 방법 |
| US11233821B2 (en) | 2018-01-04 | 2022-01-25 | Cisco Technology, Inc. | Network intrusion counter-intelligence |
| US10574575B2 (en) | 2018-01-25 | 2020-02-25 | Cisco Technology, Inc. | Network flow stitching using middle box flow stitching |
| US10798015B2 (en) | 2018-01-25 | 2020-10-06 | Cisco Technology, Inc. | Discovery of middleboxes using traffic flow stitching |
| US10826803B2 (en) | 2018-01-25 | 2020-11-03 | Cisco Technology, Inc. | Mechanism for facilitating efficient policy updates |
| US10999149B2 (en) | 2018-01-25 | 2021-05-04 | Cisco Technology, Inc. | Automatic configuration discovery based on traffic flow data |
| US11128700B2 (en) | 2018-01-26 | 2021-09-21 | Cisco Technology, Inc. | Load balancing configuration based on traffic flow telemetry |
| CN110493228B (zh) * | 2019-08-21 | 2021-10-26 | 中国工商银行股份有限公司 | 一种终端违规联网检测方法及装置 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5793763A (en) * | 1995-11-03 | 1998-08-11 | Cisco Technology, Inc. | Security system for network address translation systems |
| CA2248577C (en) * | 1996-04-24 | 2002-11-05 | Northern Telecom Limited | Internet protocol filter |
| JPH10154995A (ja) * | 1996-11-20 | 1998-06-09 | Fujitsu Ltd | ゲートウェイ装置及びパケット中継方法 |
| US6477595B1 (en) * | 1999-10-25 | 2002-11-05 | E-Cell Technologies | Scalable DSL access multiplexer with high reliability |
| JP3730480B2 (ja) * | 2000-05-23 | 2006-01-05 | 株式会社東芝 | ゲートウェイ装置 |
| US6772334B1 (en) * | 2000-08-31 | 2004-08-03 | Networks Associates, Inc. | System and method for preventing a spoofed denial of service attack in a networked computing environment |
| US7096497B2 (en) * | 2001-03-30 | 2006-08-22 | Intel Corporation | File checking using remote signing authority via a network |
| JP3581345B2 (ja) * | 2001-12-13 | 2004-10-27 | 株式会社東芝 | パケット転送装置およびパケット転送方法 |
| US7483437B1 (en) * | 2003-11-20 | 2009-01-27 | Juniper Networks, Inc. | Method of communicating packet multimedia to restricted endpoints |
| US7050940B2 (en) * | 2004-03-17 | 2006-05-23 | International Business Machines Corporation | Method and system for maintaining and examining timers for network connections |
| KR100608136B1 (ko) * | 2005-02-18 | 2006-08-08 | 재단법인서울대학교산학협력재단 | 티씨피 연결의 스테이트풀 인스펙션에 있어서의 보안성능향상방법 |
| US7688829B2 (en) * | 2005-09-14 | 2010-03-30 | Cisco Technology, Inc. | System and methods for network segmentation |
-
2006
- 2006-02-28 JP JP2006052181A patent/JP4634320B2/ja not_active Expired - Fee Related
-
2007
- 2007-01-25 US US11/657,556 patent/US8175096B2/en not_active Expired - Fee Related
- 2007-02-16 CN CN200710084904.7A patent/CN101030977B/zh not_active Expired - Fee Related
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102045302A (zh) * | 2009-10-10 | 2011-05-04 | 中兴通讯股份有限公司 | 网络攻击的防范方法、业务控制节点及接入节点 |
| CN104967572A (zh) * | 2015-06-05 | 2015-10-07 | 小米科技有限责任公司 | 网络访问方法、装置及设备 |
| CN104967572B (zh) * | 2015-06-05 | 2019-04-12 | 小米科技有限责任公司 | 网络访问方法、装置及设备 |
| CN105049489A (zh) * | 2015-06-25 | 2015-11-11 | 上海斐讯数据通信技术有限公司 | 一种在uboot上实现三次握手的方法 |
| CN106100839A (zh) * | 2016-08-16 | 2016-11-09 | 电子科技大学 | 一种基于tcp数据包和自定义算法的网络通信安全方法 |
| CN109845195A (zh) * | 2017-07-26 | 2019-06-04 | 松下电器(美国)知识产权公司 | 通信装置、通信方法以及通信系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4634320B2 (ja) | 2011-02-16 |
| US20070201474A1 (en) | 2007-08-30 |
| CN101030977B (zh) | 2013-11-06 |
| US8175096B2 (en) | 2012-05-08 |
| JP2007235341A (ja) | 2007-09-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101030977A (zh) | 用于防御非法通信的装置及其网络系统 | |
| CN1309214C (zh) | 基于协同入侵检测的大规模网络安全防御系统 | |
| CN1914862A (zh) | 集群系统、集群成员、故障恢复方法及程序 | |
| CN1855825A (zh) | 计算机系统 | |
| CN1799241A (zh) | Ip移动性 | |
| CN1829195A (zh) | 分组转发装置 | |
| CN101040497A (zh) | 防火墙系统和防火墙控制方法 | |
| US7768921B2 (en) | Identification of potential network threats using a distributed threshold random walk | |
| CN101052934A (zh) | 用于检测网络上未经授权的扫描的方法、系统和计算机程序 | |
| CN1855847A (zh) | 公共与专用网络服务管理系统和方法 | |
| CN1434611A (zh) | 生成树绕过方法和装置 | |
| CN1242593C (zh) | 源地址选择系统、路由器装置、通信节点和源地址选择方法 | |
| CN1574839A (zh) | 多层防火墙结构 | |
| CN1503526A (zh) | 地址转换装置和地址转换规则的管理方法 | |
| CN1750512A (zh) | 单播反向路径转发方法 | |
| CN1524361A (zh) | 计算机安全和管理系统 | |
| CN1713617A (zh) | 通信统计收集装置 | |
| CN1898922A (zh) | 防御设备、防御方法、防御程序以及网络攻击防御系统 | |
| CN1533102A (zh) | 数据分组通信设备 | |
| CN1574792A (zh) | 用于执行网络防火墙的基于多层的方法 | |
| CN101075911A (zh) | 统计信息收集系统及统计信息收集装置 | |
| CN1531274A (zh) | 具有独立协议堆栈体系结构的多业务网络交换机 | |
| CN1674554A (zh) | 数据包传送装置 | |
| CN1716943A (zh) | 获取隧道网关环境中路径最大传输长度的方法及系统 | |
| CN1416247A (zh) | 用于连接服务器和客户机的方法和路由器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20131106 Termination date: 20160216 |