CN101340440A - 一种防御网络攻击的方法及其装置 - Google Patents
一种防御网络攻击的方法及其装置 Download PDFInfo
- Publication number
- CN101340440A CN101340440A CNA2008101444979A CN200810144497A CN101340440A CN 101340440 A CN101340440 A CN 101340440A CN A2008101444979 A CNA2008101444979 A CN A2008101444979A CN 200810144497 A CN200810144497 A CN 200810144497A CN 101340440 A CN101340440 A CN 101340440A
- Authority
- CN
- China
- Prior art keywords
- send
- priority
- data message
- management layer
- traffic filter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种防御网络攻击的方法及其装置,在网络设备的转发层面对上送业务过滤器配置数据报文的过滤规则,按照所述规则,过滤掉禁止访问的用户的数据报文,并按照访问网络设备的用户身份的不同,将各自对应的数据报文划分不同的优先级,并使所述数据报文通过内部通信接口内不同的优先级通道传送到控制层面和/或管理层面的业务服务模块中进行处理。采用本发明,能够区分有用的数据报文与网络攻击报文,并过滤掉非法用户的数据报文,有效降低了网络攻击报文对网络设备的负荷,提高了网络设备防御网络攻击的能力。
Description
技术领域
本发明涉及数据通信领域的网络安全技术,尤其涉及一种防御网络攻击的方法及其装置。
背景技术
随着互联网技术的高速发展和互联网应用程度的日益深入,网络用户的规模也在日益壮大,很多人的工作和生活已经离不开网络,与此同时,网络安全问题也变得越来越重要。由于互联网协议(IP)网络的开放性特点,互联网中的各种网络设备,譬如:路由器、三层交换机等,也成为网络黑客和各种网络病毒攻击的对象。由于具有复杂、高级功能的网络设备需要对用户报文进行较深入的分析处理,因此,更容易受到来自网络的攻击。以路由器为例,此类网络设备在网络层级中所处的地位较高,一旦遭受攻击出现故障,将会造成较大范围的不良影响或一定的破坏性损失,若网络核心遭到攻击,譬如:路由协议,甚至可能导致整个网络瘫痪。
目前,对网络设备进行攻击的方式主要是拒绝服务(DoS,Deny of Service)攻击。DoS攻击的原理是利用服务请求来占用过多的服务资源,从而使合法用户无法得到有效的服务响应。尽管Dos攻击的方法很多,但它们都具有一些共同的典型特征,例如:使用欺骗的源地址、使用网络协议的缺陷、使用操作系统或软件的漏洞、在网络上产生大量的无用数据报文消耗服务资源等。
所述DoS攻击,通常可以分为两大类:
一类是针对性的DoS攻击;这种攻击首先通过对网络设备进行服务端口扫描或采用公认开放的各种服务端口,采用传输控制协议同步洪流(TCP SYNflood)、传输控制协议重设洪流(TCP RST flood)、Ping指令洪流(Ping flood)等各种具有明确的攻击目标地址的报文对网络设备的指定端口发起大量的攻击报文,致使网络设备的系统资源被大量消耗,无法再对正常的用户提供服务,导致用户无法正常通信。
另一类是利用各种规范机制中的漏洞,如,利用生存时间(TTL)=1的报文、地址解析协议/反向地址解析协议(ARP/RARP)广播报文、ping广播、IP分片包、组播报文上送等协议机制漏洞,发起大量不具有明确的攻击目标的数据报文,同样也能造成路由器的中央处理器(CPU)等资源被大量消耗,从而降低对正常报文的处理速度影响正常服务的提供。
由于网络设备的嵌入式特点,使得它对DoS攻击等网络攻击的识别和防御能力较弱。
图1为现有网络设备的功能结构示意图,如图1所示,网络设备的处理功能通常分布在三个层面,即转发层面、控制层面以及管理层面,所述转发层面通过内部通信接口与所述管理层面和控制层面进行数据通信以及协议报文的传递;所述控制层面和管理层面分别包含有多个业务服务模块,网络管理者通过相应的配置,可使其用于为网络提供远程登录服务、路由协议服务等。其中:
转发层面,负责网络数据报文的处理和转发。该层面通常采用专用集成电路(ASIC)或网络处理器(NP)等高性能硬件处理单元以实现对网络链路的流量的线速处理,由于该层面主要对网络数据报文进行转发处理,通常不存在受网络攻击影响的问题。
控制层面,负责网络链路拓扑、路由等信息的计算和维护。该层面通常采用基于CPU的软件处理单元来实现其功能,由于该层面涉及路由协议等报文的深层处理,且处理性能有限,因此存在遭受网络攻击的可能。
管理层面,负责网络设备的管理和维护(OAM)。该层面通常也采用基于CPU的软件处理单元来实现其功能,由于该层面涉及管理等报文的深层处理,且该层面的处理性能有限,因此也存在遭到网络攻击的风险。
这里,所述对网络设备的控制层面和管理层面的DoS攻击等网络攻击数据报文,首先需要在转发层面进行处理,当识别出所述数据报文为需要上送到控制层面的数据报文,如路由协议报文,或者为上送到管理层面的数据报文,如远程登录报文之后,再由转发层面分别通过上送通道上送到相应的控制层面或管理层面进行相关处理。当DoS等网络攻击的数据报文成功到达上层软件层面后,即形成了对上层软件的攻击。由于现有网络设备的转发层面均采用ASIC或NP等高性能、逻辑相对简单的硬件处理单元进行处理,不能在这一层面实现复杂的检测和防御网络攻击的功能。
发明内容
有鉴于此,本发明的主要目的在于提供一种防御网络攻击的方法及其装置,以提高网络设备防御网络攻击的能力。
为达到上述目的,本发明的技术方案是这样实现的:
一种防御网络攻击的方法,包括:
通过管理层面对网络设备的上送业务数据报文设置上送业务过滤规则;
根据所述上送业务过滤规则对转发层面的上送业务过滤器进行规则配置;
上送业务数据报文通过转发层面的上送业务过滤器进行处理,并将通过所述上送业务过滤器的数据报文按照优先级转发给内部通信接口中对应的优先级通道;
将通过优先级通道的数据报文传送给控制层面和/或管理层面进行处理。
其中,所述设置上送业务过滤规则,是按照发送业务数据流者的身份进行制定的,具体为:对可信合法的用户访问给予高优先级、对非法的用户访问进行拒绝、对临时的用户访问给予低优先级以及拒绝非指定的访问。
其中,管理层面和控制层面的业务服务模块根据自身状态,对上送业务过滤器配置模块进行过滤规则的设置。
其中,将数据报文通过转发层面的上送业务过滤器进行处理,包括:对非法的用户访问的数据报文做丢弃处理,以及对设置上送优先级的用户的数据报文按照设定的上送优先级进入内部通信接口中对应的优先级通道。
其中,数据报文按照优先级转发给对应的优先级通道,具体为:对设置上送优先级用户的数据报文按照预先设定的上送优先级进入相应的上送优先级通道、对允许的未设置优先级的数据报文按照默认的优先级进入相应的上送优先级通道。
其中,将通过优先级通道的数据报文传送给控制层面和/或管理层面进行处理,具体为:将所述数据报文分别传送给控制层面和/或管理层面中对应的业务服务模块进行处理。
一种防御网络攻击的装置,包括转发层面、控制层面、管理层面以及连接所述转发层面与所述控制层面和所述管理层面的内部通信接口;其中,所述控制层面和所述管理层面中包含有用于处理本地网络服务的业务服务模块;所述管理层面包括上送业务过滤器配置模块;所述转发层面包括上送业务过滤器以及所述内部通信接口中包括多个优先级通道;其中:
上送业务过滤器配置模块,用于通过内部通信接口对上送业务过滤器进行过滤规则的配置和对上送业务数据报文的优先级进行设定;
上送业务过滤器,用于对经转发层面上送到控制层面和管理层面的数据报文进行过滤处理以及对上送业务数据报文按照预设的优先级进行处理;以及
优先级通道,用于将通过上送业务过滤器上传的不同等级的数据报文按照对应的优先级进行处理,并将通过所述优先级通道的数据报文传送到对应的控制层面和/或管理层面的业务服务模块。
本发明所提供的防御网络攻击的方法及其装置,具有以下优点:
本发明通过对访问网络设备的用户身份进行区分,并通过边界网关协议(BGP)对上送业务过滤器进行数据报文优先级和过滤规则的设置,使网络设备能够区分合法访问和非法访问以及普通临时用户的数据报文,通过过滤非法用户的数据报文以及按照优先级对其他用户的数据报文进行区别处理,有效地降低了网络攻击的数据报文对网络设备的影响,从而提高了网络设备防御网络攻击的能力。
附图说明
图1为现有网络设备的功能结构示意图;
图2为本发明实施例中网络设备的功能结构及工作过程示意图;
图3为本发明实施例中网络设备防御网络攻击的实现过程流程图。
具体实施方式
下面结合附图及本发明的实施例对本发明的方法作进一步详细的说明。
图2为本发明实施例中网络设备的功能结构及工作过程示意图,如图2所示,该网络设备包括转发层面-A、控制层面-B、管理层面-C三个处理层以及内部通信接口-D;所述转发层面-A,包括网络接口201、上送业务过滤器202;所述控制层面-B,包括多个不同的业务服务模块203;所述管理层面-C,包括多个业务服务模块203和上送业务过滤器配置模块204;所述转发层面-A通过内部通信接口-D分别与所述控制层面-B和管理层面-C进行数据通信以及相关协议报文的传递;所述内部通信接口-D中包括多个不同等级的优先级通道205。
转发层面-A,负责网络数据流的处理以及将待上送的数据报文通过内部通信接口-D上送到控制层面-B及管理层面-C;其中,
网络接口201,用于为网络数据流的接收和发送提供传输通道;
上送业务过滤器202,用于对经转发层面上送到控制层面和管理层面的数据报文进行过滤处理和对上送业务按照预设的优先级进行处理;所述上送业务过滤器202位于转发层面,转发层面的上送需要通过该上送业务过滤器过滤处理后再进行上送。所述上送业务过滤器的功能,包括:
指定某个邻居/对象对某个服务的访问采用某种优先级上送数据报文;
指定禁止某个邻居/对象对某个服务的访问;
指定除特定的邻居外,禁止其他对象访问某个服务;以及
指定允许任何对象访问某个服务,并指定其上送数据报文的优先级。
这里,所述邻居/对象,是指通过BGP协议配置网络设备时,与该设备相连的其他网络节点设备。
控制层面-B,用于网络设备的控制和本地网络控制协议报文的处理;其中,
业务服务模块203,位于管理层面和控制层面的功能模块,用于处理本地相应的网络服务,如远程登录服务、路由协议服务等。
管理层面-C,用于网络设备的管理和本地管理协议报文的处理;其中,
上送业务过滤器配置模块204,用于通过内部通信接口对上送业务过滤器进行过滤规则的配置和对所上送业务的优先级进行设定;
另外,管理层面-C还包括用于对网络设备进行管理的网络管理者和用于连接网络管理者与网络设备管理层面的网管接口。
内部通信接口-D,负责转发层面、控制层面和管理层面之间的数据通信和协议报文的传递;其中,
优先级通道205,用于将通过上送业务过滤器上传的不同等级的数据报文按照不同的优先级等级进行处理,并将通过所述优先级通道的数据报文传送到对应的控制层面和/或管理层面的业务服务模块;所述处理过程为:内部通信接口对相应的数据报文进行优先级化分,对转发层面上送到控制层面/管理层面的数据报文提供不同的上送优先级通道,高优先级的通道的数据报文被优先上送。
图3为本发明实施例中网络设备防御网络攻击的实现过程流程图,如图3所示,该过程包括:
步骤301:通过管理层面的上送业务过滤器配置模块设置上送业务过滤器对业务数据报文的过滤规则。
这里,所述设置的过滤规则包括对可信合法的用户访问给予高优先级上送、对非法的用户访问进行拒绝、对临时的用户访问给予低优先级、拒绝任何非指定的访问等。
所述可信合法的、非法的、不确定的以及非指定的用户等是通过边界网关协议(BGP,Border Gateway Protocol)设定的,具体上送业务过滤器的规则如下:
Permit 100.1.1.1BGP high //设置可信的BGP邻居高优先级上送;
Deny any BGP //禁止其他用户访问BGP;
Permit 101.1.1.1OSPF high //设置可信的OSPF邻居高优先级上送;
Permit any RIP set middle //设置RIP报文的上送优先级为中;
Permit any ARP set low //设置ARP报文的上送优先级为低;
Permit 110.1.1.1SNMP high //设置可信的SNMP客户端高优先级上送;
Deny any SNMP //禁止其他用户访问SNMP;
Permit any any //允许其他用户的数据报文上送,即按照默认优先级上送。
其中,所述OSPF,为最短路径优先路由协议;所述RIP,为路由信息协议;所述SNMP,为简单网络管理协议。
较佳地,管理层面的业务服务功能模块和控制层面的业务服务功能模块也可以根据自身的状态,通过内部通信接口对上送业务过滤器配置模块进行配置,实现对上送业务过滤器的过滤规则的设置。
步骤302:管理层面的上送过滤器配置模块根据管理层面和控制层面生成的上送过滤器规则对转发层面的上送业务过滤器进行规则配置。
这里,所述对上送业务过滤器进行规则配置,是指将通过步骤301所设置的业务数据报文过滤规则写入上送业务过滤器的配置文件中,以便网络数据流通过所述网络设备的转发层面时启用这些过滤规则,降低上送业务的数据流量。
步骤303:转发层面对上送业务的数据报文通过上送业务过滤器进行处理。
这里,所述上送业务过滤器的具体处理过程为:将非法的用户即被拒绝访问的用户的数据报文做丢弃处理,对设置上送优先级用户的数据报文按照设定的上送优先级进入相应的内部通信接口的上送优先级通道、对允许的未设置优先级的数据报文按照默认的优先级进入相应的上送内部通信接口的各个优先级通道。
步骤304:内部通信接口按照高优先级优先上送的方式将各个上送优先级通道的数据报文上传到对应的控制和/或管理层面,由控制层面和/或管理层面的业务服务模块进行对应的处理。
这里,在所述内部通信接口中,包含多个不同等级的优先级通道,每个优先级通道对应控制层面或管理层面中的一个或多个业务服务模块,当流经转发层面的数据报文通过所述上送业务过滤器时,所述过滤器按照优先级等级将所述数据报文传送到各自对应的优先级通道,通过这些优先级通道将所述数据报文分别传送给控制层面和/或管理层面中对应的业务服务模块进行处理,以实现数据报文的不同的网络服务功能,如:远程登录服务、路由协议服务等。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (7)
1、一种防御网络攻击的方法,其特征在于,包括:
通过管理层面对网络设备的上送业务数据报文设置上送业务过滤规则;
根据所述上送业务过滤规则对转发层面的上送业务过滤器进行规则配置;
上送业务数据报文通过转发层面的上送业务过滤器进行处理,并将通过所述上送业务过滤器的数据报文按照优先级转发给内部通信接口中对应的优先级通道;
将通过优先级通道的数据报文传送给控制层面和/或管理层面进行处理。
2、根据权利要求1所述的方法,其特征在于,所述设置上送业务过滤规则,是按照发送业务数据流者的身份进行制定的,具体为:对可信合法的用户访问给予高优先级、对非法的用户访问进行拒绝、对临时的用户访问给予低优先级以及拒绝非指定的访问。
3、根据权利要求1所述的方法,其特征在于,管理层面和控制层面的业务服务模块根据自身状态,对上送业务过滤器配置模块进行过滤规则的设置。
4、根据权利要求1所述的方法,其特征在于,将数据报文通过转发层面的上送业务过滤器进行处理,包括:对非法的用户访问的数据报文做丢弃处理,以及对设置上送优先级的用户的数据报文按照设定的上送优先级进入内部通信接口中对应的优先级通道。
5、根据权利要求1所述的方法,其特征在于,数据报文按照优先级转发给对应的优先级通道,具体为:对设置上送优先级用户的数据报文按照预先设定的上送优先级进入相应的上送优先级通道、对允许的未设置优先级的数据报文按照默认的优先级进入相应的上送优先级通道。
6、根据权利要求1所述的方法,其特征在于,将通过优先级通道的数据报文传送给控制层面和/或管理层面进行处理,具体为:将所述数据报文分别传送给控制层面和/或管理层面中对应的业务服务模块进行处理。
7、一种防御网络攻击的装置,包括转发层面、控制层面、管理层面以及连接所述转发层面与所述控制层面和所述管理层面的内部通信接口;其中,所述控制层面和所述管理层面中包含有用于处理本地网络服务的业务服务模块;其特征在于,所述管理层面包括上送业务过滤器配置模块;所述转发层面包括上送业务过滤器以及所述内部通信接口中包括多个优先级通道;其中:
上送业务过滤器配置模块,用于通过内部通信接口对上送业务过滤器进行过滤规则的配置和对上送业务数据报文的优先级进行设定;
上送业务过滤器,用于对经转发层面上送到控制层面和管理层面的数据报文进行过滤处理以及对上送业务数据报文按照预设的优先级进行处理;以及
优先级通道,用于将通过上送业务过滤器上传的不同等级的数据报文按照对应的优先级进行处理,并将通过所述优先级通道的数据报文传送到对应的控制层面和/或管理层面的业务服务模块。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2008101444979A CN101340440A (zh) | 2008-08-11 | 2008-08-11 | 一种防御网络攻击的方法及其装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2008101444979A CN101340440A (zh) | 2008-08-11 | 2008-08-11 | 一种防御网络攻击的方法及其装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101340440A true CN101340440A (zh) | 2009-01-07 |
Family
ID=40214393
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2008101444979A Pending CN101340440A (zh) | 2008-08-11 | 2008-08-11 | 一种防御网络攻击的方法及其装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101340440A (zh) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102316022A (zh) * | 2011-07-05 | 2012-01-11 | 杭州华三通信技术有限公司 | 一种协议报文转发方法和通信设备 |
CN103248472A (zh) * | 2013-04-16 | 2013-08-14 | 华为技术有限公司 | 一种处理操作请求的方法、系统以及攻击识别装置 |
CN104283882A (zh) * | 2014-10-11 | 2015-01-14 | 武汉烽火网络有限责任公司 | 一种路由器的智能安全防护方法 |
CN104410580A (zh) * | 2014-11-28 | 2015-03-11 | 深圳市华威世纪科技股份有限公司 | 可信安全WiFi路由器及其数据处理方法 |
CN102137072B (zh) * | 2010-01-27 | 2016-07-06 | 中兴通讯股份有限公司 | 防护网络攻击的方法和系统 |
CN107395550A (zh) * | 2016-05-16 | 2017-11-24 | 腾讯科技(深圳)有限公司 | 一种网络攻击的防御方法及服务器 |
CN108965427A (zh) * | 2018-07-12 | 2018-12-07 | 北京万相融通科技股份有限公司 | 一种离线巡检数据处理的方法及装置 |
CN109104337A (zh) * | 2018-11-01 | 2018-12-28 | 郑州云海信息技术有限公司 | 一种测试网络访问控制工具的方法、装置及设备 |
CN109639699A (zh) * | 2018-12-24 | 2019-04-16 | 华为技术有限公司 | 一种网络管理方法和装置 |
CN111147524A (zh) * | 2020-02-19 | 2020-05-12 | 深圳市腾讯计算机系统有限公司 | 报文发送端的识别方法、装置和计算机可读存储介质 |
WO2021036535A1 (zh) * | 2019-08-27 | 2021-03-04 | 中兴通讯股份有限公司 | 一种防报文攻击方法、装置及存储介质 |
CN112887312A (zh) * | 2016-12-29 | 2021-06-01 | 华为技术有限公司 | 一种慢协议报文处理方法及相关装置 |
-
2008
- 2008-08-11 CN CNA2008101444979A patent/CN101340440A/zh active Pending
Cited By (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102137072B (zh) * | 2010-01-27 | 2016-07-06 | 中兴通讯股份有限公司 | 防护网络攻击的方法和系统 |
CN102316022A (zh) * | 2011-07-05 | 2012-01-11 | 杭州华三通信技术有限公司 | 一种协议报文转发方法和通信设备 |
CN103248472A (zh) * | 2013-04-16 | 2013-08-14 | 华为技术有限公司 | 一种处理操作请求的方法、系统以及攻击识别装置 |
CN104283882A (zh) * | 2014-10-11 | 2015-01-14 | 武汉烽火网络有限责任公司 | 一种路由器的智能安全防护方法 |
CN104283882B (zh) * | 2014-10-11 | 2018-01-12 | 武汉烽火网络有限责任公司 | 一种路由器的智能安全防护方法 |
CN104410580A (zh) * | 2014-11-28 | 2015-03-11 | 深圳市华威世纪科技股份有限公司 | 可信安全WiFi路由器及其数据处理方法 |
CN107395550A (zh) * | 2016-05-16 | 2017-11-24 | 腾讯科技(深圳)有限公司 | 一种网络攻击的防御方法及服务器 |
CN107395550B (zh) * | 2016-05-16 | 2020-03-03 | 腾讯科技(深圳)有限公司 | 一种网络攻击的防御方法及服务器 |
CN112887312A (zh) * | 2016-12-29 | 2021-06-01 | 华为技术有限公司 | 一种慢协议报文处理方法及相关装置 |
CN112887312B (zh) * | 2016-12-29 | 2022-07-22 | 华为技术有限公司 | 一种慢协议报文处理方法及相关装置 |
CN108965427A (zh) * | 2018-07-12 | 2018-12-07 | 北京万相融通科技股份有限公司 | 一种离线巡检数据处理的方法及装置 |
CN108965427B (zh) * | 2018-07-12 | 2021-07-27 | 北京万相融通科技股份有限公司 | 一种离线巡检数据处理的方法及装置 |
CN109104337A (zh) * | 2018-11-01 | 2018-12-28 | 郑州云海信息技术有限公司 | 一种测试网络访问控制工具的方法、装置及设备 |
CN109104337B (zh) * | 2018-11-01 | 2022-02-18 | 郑州云海信息技术有限公司 | 一种测试网络访问控制工具的方法、装置及设备 |
CN109639699A (zh) * | 2018-12-24 | 2019-04-16 | 华为技术有限公司 | 一种网络管理方法和装置 |
CN112448912A (zh) * | 2019-08-27 | 2021-03-05 | 中兴通讯股份有限公司 | 一种防报文攻击方法、装置及存储介质 |
WO2021036535A1 (zh) * | 2019-08-27 | 2021-03-04 | 中兴通讯股份有限公司 | 一种防报文攻击方法、装置及存储介质 |
CN112448912B (zh) * | 2019-08-27 | 2023-08-01 | 中兴通讯股份有限公司 | 一种防报文攻击方法、装置及存储介质 |
CN111147524A (zh) * | 2020-02-19 | 2020-05-12 | 深圳市腾讯计算机系统有限公司 | 报文发送端的识别方法、装置和计算机可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101340440A (zh) | 一种防御网络攻击的方法及其装置 | |
Fichera et al. | OPERETTA: An OPEnflow-based REmedy to mitigate TCP SYNFLOOD Attacks against web servers | |
US7735114B2 (en) | Multiple tiered network security system, method and apparatus using dynamic user policy assignment | |
US7870611B2 (en) | System method and apparatus for service attack detection on a network | |
EP2093943B1 (en) | A method, forwarding engine and communication device for message acces control | |
US8904514B2 (en) | Implementing a host security service by delegating enforcement to a network device | |
US8645537B2 (en) | Deep packet scan hacker identification | |
US8879388B2 (en) | Method and system for intrusion detection and prevention based on packet type recognition in a network | |
Moorthy et al. | Security and privacy attacks during data communication in software defined mobile clouds | |
CN113037731B (zh) | 基于sdn架构和蜜网的网络流量控制方法及系统 | |
Yao et al. | VASE: Filtering IP spoofing traffic with agility | |
US7551559B1 (en) | System and method for performing security actions for inter-layer binding protocol traffic | |
Nagai et al. | Design and implementation of an openflow-based tcp syn flood mitigation | |
RU2576488C1 (ru) | СПОСОБ ПОСТРОЕНИЯ СЕТЕЙ ПЕРЕДАЧИ ДАННЫХ С ПОВЫШЕННЫМ УРОВНЕМ ЗАЩИТЫ ОТ DDоS-АТАК | |
Wong et al. | Network infrastructure security | |
Fowler et al. | Impact of denial of service solutions on network quality of service | |
Nguyen et al. | Distributed defense of distributed DoS using pushback and communicate mechanism | |
JP2005354410A (ja) | パケットフィルタ設定方法およびパケットフィルタ設定システム | |
WO2010133013A1 (zh) | 一种安全能力协商方法和系统 | |
Fu et al. | Mitigating denial of capability attacks using sink tree based quota allocation | |
CN116170389B (zh) | 业务容器引流方法、系统及计算机集群 | |
CN115776406B (zh) | 安全防护方法、装置、电子设备及存储介质 | |
Chen et al. | AID: A global anti-DoS service | |
JP2006050361A (ja) | フロー制御機能を有する通信システム及びそのネットワーク機器 | |
JP2008028720A (ja) | 送信元ipアドレス詐称ipパケットを制御可能なipネットワーク装置および送信元ipアドレス詐称ipパケット制御方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Open date: 20090107 |