CN101771608A - 一种旁路阻断方式技术 - Google Patents
一种旁路阻断方式技术 Download PDFInfo
- Publication number
- CN101771608A CN101771608A CN200910204833A CN200910204833A CN101771608A CN 101771608 A CN101771608 A CN 101771608A CN 200910204833 A CN200910204833 A CN 200910204833A CN 200910204833 A CN200910204833 A CN 200910204833A CN 101771608 A CN101771608 A CN 101771608A
- Authority
- CN
- China
- Prior art keywords
- illegally
- application
- bypass
- network
- technology
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种旁路阻断方法技术,具有易部署、易维护、降低设备故障时对网络的影响等特性,旨在提供一种配置简易、工作高效、且尽量不改变现有的网络拓扑结构的网络阻断技术,使网络管理员能够轻松的实现阻断一些“非法”的业务流,同时不会增加太高的维护成本。
Description
技术领域
IP网络的一种过滤技术。
背景技术
目前,无论是防火墙还是审计系统的acl过滤都是在网络主干上进行的,其原理是在网关设备收到“非法”的报文直接丢掉而不去转发从而达到了过滤“非法”报文(会话)的目的;这样做的一个缺点是:1由于网关设备同时担任过滤和转发的任务,所以会消耗网关处理报文的时间;2在主干上做过滤阻断增加了网络上故障的危险。为了回避在主干做阻断的缺点我们提出了与此相对的旁路阻断,旁路阻断顾名思义就是在网络中插入一台旁路阻断设备(不在网络的主干上插入),这台设备通过交换机的镜像技术来监视流经网络主干的报文并审计,一旦发现有“非法”的报文,就采取引流分离“非法”的报文或会话,从而达到了过滤“非法”报文或会话的目的。
发明内容
旁路阻断技术主要包括如下几个方面:
1阻断设备通过交换机的镜像技术来监视网络主干上的报文并审计之。
2阻断设备发现有“非法”的报文时,利用arp欺骗技术引流“非法”主机(发送“非法”报文的机器)的所有报文。
3阻断设备过滤掉“非法”的报文并转发合法的报文。
附图说明
图1阻断设备接入网络的拓普。
具体实施方式
1将阻断设备以旁路的方式接入网络,一个网口监视用,一个网口发送arp报文和转发报文(如图1所示);
2当监视口监视到有“非法”的报文时,设备会从发包口发送arp欺骗报文到“非法”主机;
3在阻断设备上对引流过来的数据流进行处理:丢弃“非法”的报文转发合法的报文。
Claims (1)
1.旁路阻断技术是相对于主干上的阻断技术而言的,它的优点是:容易部署、不会增加网络的单点故障等优点;基本设计思想是:利用旁路的包检测和L7的应用审计技术分析所有流经被检测线路的应用,并识别出其L7的应用类别,当发现有“非法”(符合过滤规则)的L7应用通过时利用arp欺骗技术分离出“非法”主机(发送“非法”应用的主机)的应用(“合法”和“非法”应用集合)到旁路阻断设备,然后过滤掉“非法”的应用并转发“合法”的应用。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910204833A CN101771608A (zh) | 2009-10-14 | 2009-10-14 | 一种旁路阻断方式技术 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910204833A CN101771608A (zh) | 2009-10-14 | 2009-10-14 | 一种旁路阻断方式技术 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101771608A true CN101771608A (zh) | 2010-07-07 |
Family
ID=42504220
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910204833A Pending CN101771608A (zh) | 2009-10-14 | 2009-10-14 | 一种旁路阻断方式技术 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101771608A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109587156A (zh) * | 2018-12-17 | 2019-04-05 | 广州天懋信息系统股份有限公司 | 异常网络访问连接识别与阻断方法、系统、介质和设备 |
| CN112350939A (zh) * | 2020-10-29 | 2021-02-09 | 腾讯科技(深圳)有限公司 | 旁路阻断方法、系统、装置、计算机设备及存储介质 |
| CN113472761A (zh) * | 2021-06-22 | 2021-10-01 | 杭州默安科技有限公司 | 一种网站欺骗方法和系统 |
-
2009
- 2009-10-14 CN CN200910204833A patent/CN101771608A/zh active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109587156A (zh) * | 2018-12-17 | 2019-04-05 | 广州天懋信息系统股份有限公司 | 异常网络访问连接识别与阻断方法、系统、介质和设备 |
| CN112350939A (zh) * | 2020-10-29 | 2021-02-09 | 腾讯科技(深圳)有限公司 | 旁路阻断方法、系统、装置、计算机设备及存储介质 |
| CN112350939B (zh) * | 2020-10-29 | 2023-11-10 | 腾讯科技(深圳)有限公司 | 旁路阻断方法、系统、装置、计算机设备及存储介质 |
| CN113472761A (zh) * | 2021-06-22 | 2021-10-01 | 杭州默安科技有限公司 | 一种网站欺骗方法和系统 |
| CN113472761B (zh) * | 2021-06-22 | 2023-04-18 | 杭州默安科技有限公司 | 一种网站欺骗方法和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2461520A3 (en) | Service-centric communication network monitoring | |
| CA2500993C (fr) | Procede d'echange d'informations entre deux reseaux fonctionnant sous des protocoles de routage differents | |
| CN104104558B (zh) | 一种智能变电站过程层通信中网络风暴抑制的方法 | |
| US20060236402A1 (en) | Methods, systems, and computer program products for detecting and mitigating denial of service attacks in a telecommunications signaling network | |
| EP2410693A4 (en) | ENFORCEMENT PROCEDURE, SYSTEM AND LOGGING METHOD FOR TERMINALS ACCESSIBLE BY SEVERAL ACCESS NETWORKS | |
| WO2007062010A3 (en) | Method for responding to denial of service attacks at the session layer or above | |
| WO2011061509A3 (en) | Detecting malicious behaviour on a network | |
| EP2555486A3 (en) | Multi-method gateway-based network security systems and methods | |
| US20200053833A1 (en) | Method and devices for transmitting data between a first network and a second network of a rail vehicle | |
| CN101567884A (zh) | 网络窃密木马检测方法 | |
| CN103210609A (zh) | 包括识别不期望数据的保护电路的用于在数据网络中进行通信的电子设备 | |
| WO2010103407A3 (en) | Intrusion detection for virtual layer-2 services | |
| CN101771608A (zh) | 一种旁路阻断方式技术 | |
| CN102130792A (zh) | 通信量监视系统 | |
| WO2008114364A1 (ja) | 中継装置及びその導通確認方法並びに導通確認回路 | |
| CN104104669A (zh) | 适用于因特网数据中心领域的抗DDoS攻击防护系统 | |
| WO2007056197A3 (en) | Methods and apparatuses to provide a back up power supply for a network interface device | |
| CN105099805B (zh) | 一种双向转发检测方法及系统 | |
| CN101834759A (zh) | 捆绑链路的检测方法及分布式设备 | |
| EP1177682A1 (en) | A status monitoring and data processing system suitable for use in a bi-directional communication device | |
| CN105306303B (zh) | 基于终端网络设备的故障实时监听系统及终端网络设备 | |
| WO2007056230A3 (en) | Methods and apparatuses to provide fault monitoring for a network interface device | |
| WO2013069629A1 (ja) | 無線伝送装置、障害情報転送方法及び障害情報通知方法 | |
| JP2008211637A (ja) | Pon通信システム、局側装置及び加入者側装置 | |
| CN101888386A (zh) | 一种用于七号信令网的防火墙装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20100707 |