CN102045302A - 网络攻击的防范方法、业务控制节点及接入节点 - Google Patents
网络攻击的防范方法、业务控制节点及接入节点 Download PDFInfo
- Publication number
- CN102045302A CN102045302A CN2009101788815A CN200910178881A CN102045302A CN 102045302 A CN102045302 A CN 102045302A CN 2009101788815 A CN2009101788815 A CN 2009101788815A CN 200910178881 A CN200910178881 A CN 200910178881A CN 102045302 A CN102045302 A CN 102045302A
- Authority
- CN
- China
- Prior art keywords
- strategy
- access node
- user
- strick precaution
- business control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络攻击的防范方法、业务控制节点及接入节点,该方法包括:业务控制节点在确定有用户进行网络攻击后,将与用户进行的网络攻击对应的防范策略发送给接入节点;接入节点执行防范策略。通过本发明能够针对某一具体的用户的攻击行为进行动态的防范,提高了防范的针对性以及效率,并且能够避免合法的控制消息被丢弃,同时在接入网络中实现网络攻击流量处理,并降低业务节点集中处理的性能压力。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种网络攻击的防范方法、业务控制节点及接入节点。
背景技术
近年来,随着电信业的飞速发展,互联网的普及率也在快速提升,大众对于网络的了解程度同时也在普遍提升,网络设备所受攻击的频率和猛烈程度也随之不断增长,如何更好地、在更大的范围内防范网络攻击已经成为越来越重要的研究课题。
业务控制节点(Service Node,简称为SN),例如,远端宽带接入服务器(Broadband Remote Access Server,简称为BRAS)、业务路由器(Service Router,简称为SR),业务控制节点是宽带网络的业务控制网元,在网络中扮演着用户管理、用户业务控制的重要角色,SN节点的故障会导致大规模宽带用户的业务受到影响,因此,对SN提供足够的安全性保障显得尤为重要。
在目前的宽带接入网络中,SN节点扮演着宽带用户网关的角色,是从用户到因特网之间唯一用户“可见”的设备,面临用户非法攻击的危险远大于其它的网络设备。当前的SN设备都是分布式架构的产品,控制和转发各有独立的硬件,其中安全性危险较大的是控制面硬件(例如,主控板CPU等),所有的用户控制层的报文都会由转发面硬件通过转发/控制面传送通道上送控制面硬件进行统一处理,用户对于SN控制面的报文攻击(例如,大量发送PPPoE、DHCP协议控制消息等)不但会直接导致控制面硬件负担增大、进而影响控制层硬件对其它控制消息处理能力,而且会导致转发/控制面传送通道拥塞、造成其它控制消息的处理延迟甚至丢失,对SN安全性影响很大。
当前的处理方法是:在转发/控制面传送通道上启动流量监管功能,对不同的报文类型进行限流操作,例如,以大网点对点协议(Point to Point over Ethernet,简称为PPPoE)控制消息、动态主机配置协议(Dynamic Host Configure Protocol,简称为DHCP)控制消息、开放式最短路径优先(Open Shortest Path First,简称为OSPF)协议报文等,以保证控制消息的激增影响控制面对其它类型报文的处理。这种方法的缺陷是,对同一类型的控制消息做限流可能会导致其中的攻击报文占用了绝大部分的传送带宽,而合法控制消息反而被丢弃,在保障了控制面安全性的情况下,降低了设备的可用性。由于SN同时管理了大规模的宽带用户,且无法预知哪些用户可能会发送攻击报文,所以也无法针对用户级别在转发/控制传送通道上进行限流。
与此同时,对于用户对SN节点网络侧设备的攻击,当前的处理方法是,当SN检测到或SN通过与内置/外置攻击检测设备(例如,深度报文检测(Deep Packet Inspection,简称为DPI)设备等)的联动检测到用户对SN节点网络侧设备的攻击后,在SN上统一对这些攻击报文执行攻击方法策略。这种方法产生了两个问题,一是AN与SN之间的接入网络对这些攻击流量没有做处理,二是在大量用户自主或被动(例如,感染病毒)发起网络攻击时,SN设备需要同时针对多个攻击流量执行网络攻击策略,对SN设备的处理性能要求很高,而这种处理往往是通过独立的硬件支持的,这就增加了SN设备的复杂度和成本。
发明内容
针对相关技术中对在攻击防范中对不同的报文类型进行限流而导致的合法的控制消息有可能被丢弃以及无法针对用户进行限流的问题,及业务控制节点集中执行网络攻击防范策略造成的接入网络对攻击流量没有处理以及业务控制节点处理性能要求高的问题而提出本发明,为此,本发明的主要目的在于提供一种网络攻击的防范方案,以解决上述问题。
为了实现上述目的,根据本发明的一个方面,提供了一种网络攻击的防范方法。
根据本发明的网络攻击的防范方法包括:业务控制节点在确定有用户进行网络攻击后,将与用户进行的网络攻击对应的防范策略发送给接入节点;接入节点执行防范策略。
优选地,在业务控制节点将防范策略发送给接入节点之后,上述方法还包括:业务控制节点向接入节点发送消息,其中,消息中携带有撤销防范策略的信息;接入节点根据消息撤销防范策略。
优选地,防范策略中携带有撤销防范策略的信息,接入节点根据信息撤销防范策略。
优选地,网络攻击的类型包括:用户对业务控制节点的攻击和/或用户对业务控制节点网络侧设备的攻击。
优选地,接入节点为用户与业务控制节点之间的支持业务控制节点和接入节点之间通讯协议的网络节点。
优选地,接入节点为最靠近用户并且能够执行防范策略的网络节点。
为了实现上述目的,根据本发明的另一方面,提供了一种业务控制节点。
根据本发明的业务控制节点包括:确定模块,用于确定有用户进行网络攻击;策略模块,用于制定与用户进行的网络攻击对应的防范策略;第一发送模块,用于将防范策略发送给接入节点。
优选地,上述业务控制节点还包括:第二发送模块,用于向接入节点发送消息,其中,消息中携带有撤销防范策略的信息,以便于接入节点根据消息撤销防范策略。
优选地,策略模块还用于在防范策略中携带撤销防范策略的信息,以便于接入节点根据信息撤销防范策略。
为了实现上述目的,根据本发明的另一方面,还提供了一种接入节点。
根据本发明的接入节点包括:接收模块,用于在业务控制节点确定有用户进行网络攻击之后,从业务控制节点接收与用户进行的网络攻击对应的防范策略;执行模块,用于执行防范策略。
优选地,上述接入节点还包括:获取模块,用于获取撤销防范策略的信息;撤销模块,用于根据信息撤销防范策略。
通过本发明,采用了业务控制节点在受到攻击或检测到网络侧设备受到攻击之后,向接入节点发送防范策略,解决了相关技术中对不同的报文类型进行限流操作而导致的合法的控制消息有可能被丢弃以及无法针对用户进行限流的问题,及业务控制节点集中执行攻击防范策略造成的接入网络对攻击流量没有处理以及业务控制节点性能要求高的问题,进而能够针对某一具体的用户的攻击行为进行动态的防范,提高了防范的针对性以及效率,并且能够避免合法的控制消息被丢弃,同时在接入网络中实现网络攻击流量处理,并降低业务节点集中处理的性能压力。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的的网络拓扑的示意图;
图2为本发明防范网络攻击的分布式处理方法的流程图;
图3是根据本发明实施例的业务控制节点的结构框图;
图4是根据本发明实施例的业务控制节点具体的结构框图;
图5是根据本发明实施例的接入节点的结构框图;
图6是根据本发明实施例的接入节点具体的结构框图。
具体实施方式
功能概述
本发明实施例提供了一种防范网络攻击的分布式处理方案,即网络攻击的防范方案。图1是根据本发明实施例的的网络拓扑的示意图,如图1所示,在本方案中,当SN发现某用户大量发送控制消息进行报文攻击时,动态生成用户策略,例如,用户上行流量控制、接入控制列表(Access Control List,简称为ACL)、AN接口媒介接入控制(MediaAccess Control,简称为MAC)表容量限制或黑白名单等,并通过SN与接入节点(Access Node,简称为AN,如DSLAM、交换机等)之间的通信协议将该策略发送到AN,例如,接入节点控制协议(Access Node Control Protocol,简称为ANCP,实现对用户攻击报文的分布式处理。该方案也适用于网络中多个用户同时攻击SN的情况,以及通过SN与内置/外置攻击检测设备(例如,DPI设备等)的联动实现对网络侧服务器攻击防范的分布式处理方法。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
在以下实施例中,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
方法实施例
根据本发明的实施例,提供了一种网络攻击的防范方法,图1是根据本发明实施例的网络攻击的防范方法的流程图,如图1所示,该方法包括如下的步骤S202至步骤S206:
步骤S202,业务控制节点确定有用户进行网络攻击,即,SN设备控制层发现某用户正在进行网络攻击。优选地,网络攻击的类型可以包括:用户对业务控制节点的攻击和/或用户对业务控制节点网络侧设备的攻击。
在该步骤中,可以是SN发现某用户正在大量发送控制消息对SN进行网络攻击,或者SN通过与内置/外置攻击检测设备(例如,DPI设备等)联动发现某用户正在对SN网络侧设备进行攻击。
步骤S204,业务控制节点将与用户进行的网络攻击对应的防范策略发送给接入节点,其中,SN可以通过SN与AN之间的通讯协议向AN发送防范策略(即,用户策略)。
在该步骤中,SN与AN之间的通讯协议可以是ANCP协议,当然也可以是其他协议;防范策略可以是用户上行流量控制、ACL、AN接口MAC表容量限制、黑白名等中的一种或者组合。
步骤S206,接入节点根据防范策略防范用户进行的网络攻击,即,接入节点执行该策略,优选地,接入节点可以向业务控制节点返回执行成功或失败确认消息。
接入节点撤销该防范策略的方式有两种:方式一,业务控制节点向接入节点发送消息,其中,消息中携带有撤销防范策略的信息;方式二,防范策略中携带有撤销防范策略的信息。
优选地,接入节点可以是用户与业务控制节点之间的支持业务控制节点和接入节点之间通讯协议的任一网络节点,最佳的接入节点为最靠近用户并且能够执行防范策略的网络节点。
通过上述的步骤S202至S206,可以利用AN节点的现有机制(例如,ACL、MAC地址表)来动态实现分布式的攻击防范,只是扩展了SN与AN之间的通信协议的参数,而不需要为AN节点增加新的功能。
接入节点撤销该防范策略的方式有两种:方式一,业务控制节点向接入节点发送消息,其中,消息中携带有撤销防范策略的信息即,通过SN再次下发撤销消息来实现,这就要求SN记录每一条下发的执行策略;方式二,防范策略中携带有撤销防范策略的信息。即,SN在下发执行策略的同时,携带该策略的执行时间,AN记录该策略的执行时间并在时间结束之后主动撤销该策略,这种方法不需要SN记录每一条下发的执行策略。其中,可以针对不同类型的执行策略,可以选择上述两种策略撤销方法之一进行实施。
优选地,接入节点可以是用户与业务控制节点之间的支持业务控制节点和接入节点之间通讯协议的任一网络节点,最佳的接入节点为最靠近用户并且能够执行防范策略的网络节点。即,上述的AN节点不一定是与用户直连的网络节点,在与用户直连的网络节点不支持任何一种AN与SN之间的通信协议的情况下,可以选择该网络节点与SN节点之间的任一支持该类协议的网络节点作为AN节点,其中,AN节点的选择,应在支持AN与SN之间的通信协议的网络节点中,尽量选择靠近用户的网络节点。
下面将结合实例对本发明实施例的实现过程进行详细描述。
在以下实施例中,在SN发现某用户对SN或其网络侧设备进行攻击时,通过SN与AN间的通信协议将攻击防范策略下发到AN。
实例一
PPPoE用户发送大量PPP控制消息攻击BRAS。
步骤A1,BRAS收到大量PPPoE控制消息,判断为某用户正在对SN进行报文攻击;
步骤B1,BRAS通过ANCP协议将该用户对应的Option82信息(用户为之信息,用户上线时DSLAM将该信息加入用户的控制消息中发送给BRAS,BRAS可以将该信息绑定用户的用户名和密码对用户进行认证)以黑名单的形式下发到该用户直连的DSLAM;
步骤C1,DSLAM接收到该ANCP消息后,根据收到的Option82信息,对该用户的接入链路进行限速或丢弃所有的流量,并向BRAS返回执行成功的确认消息;
步骤D1,BRAS判断该用户攻击停止,向上述DSLAM节点发送ANCP撤销该策略;
步骤E1,DSLAM接收到策略撤销消息后,撤销接入链路的限制并返回撤销成功消息给BRAS。
实例二
DHCP用户以传输控制协议(Transmission Control Protocol,简称为TCP)半连接方式对SR网络侧服务器发起攻击。
步骤A2,SR通过旁挂或内置的攻击检测设备(例如,DPI设备等),发现某DHCP用户正在以TCP半连接方式攻击SR网络侧的某台服务器;
步骤B2,SR通过ANCP协议向与该用户的MAC地址信息以黑名单的方式发送给与该用户直连的交换机;
步骤C2,交换机收到该ANCP消息后,对该MAC地址对应的用户端口进行上行流量限速或丢弃所有的流量,并向SR返回执行成功的确认消息;
步骤D2,SR通过内置/外置攻击检测设备(例如,DPI设备等)发现该用户攻击停止,向上述交换机节点发送ANCP撤销该策略;
步骤E2,交换机收到策略撤销消息后,撤销接入链路的限制并返回撤销成功消息给SR。
实例三
DHCP用户针对SR网络服务器进行MAC地址轮询攻击。
步骤A3,SR通过旁挂或内置的攻击检测设备(例如,DPI设备等),发现某用户正在对网络侧某台服务器进行MAC地址轮询攻击;
步骤B3,SR根据该用户报文的VLAN信息找到对应的交换机,并通过ANCP协议向该交换机发送MAC地址学习能力限制消息,附带VLAN信息和设定的策略执行时间;
步骤C3,交换机收到该ANCP消息之后,在该VLAN内部进行MAC地址学习能力限制,对于超过设定的学习能力的报文进行丢弃处理,并向SR返回执行成功的确认消息;
步骤D2,交换机在策略执行时间达到上述ANCP消息中附带的设定时间时,取消MAC地址学习能力限制。
装置实施例
对应与上述的方法实施例中的方法,根据本发明的实施例,提供了一种业务控制节点,图3是根据本发明实施例的业务控制节点的结构框图,如图3所示,该业务控制节点包括:确定模块32、策略模块34、第一发送模块36,下面对该结构进行详细的说明。
确定模块32,用于确定有用户进行网络攻击;策略模块34连接至确定模块32,用于制定与用户进行的网络攻击对应的防范策略;第一发送模块36连接至策略模块34,用于将防范策略发送给接入节点。
图4是根据本发明实施例的业务控制节点具体的结构框图,优选地,如图4所示,该业务控制节点还包括:第二发送模块42,该模块用于向接入节点发送消息,其中,消息中携带有撤销防范策略的信息,以便于接入节点根据消息撤销防范策略。
优选地,策略模块34还用于在防范策略中携带撤销防范策略的信息,以便于接入节点根据信息撤销防范策略。
对应于上述方法实施例中的方法,根据本发明的实施例,还提供了一种接入节点,图5是根据本发明实施例的接入节点的结构框图,如图5所示,该接入节点包括:接收模块52、执行模块54,下面对给结构进行详细的说明。
接收模块52,用于在业务控制节点确定有用户进行网络攻击之后,从业务控制节点接收与用户进行的网络攻击对应的防范策略;执行模块54连接至接收模块52,用于根据防范策略防范用户进行的报文攻击。
图6是根据本发明实施例的接入节点具体的结构框图,如图6所示,该接入节点还包括:获取模块62、撤销模块64,下面对此进行详细的说明。
获取模块62,用于获取撤销防范策略的信息,其中,该撤销该防范策略的信息可以从业务控制节点获取;撤销模块64连接至获取模块62,用于根据信息撤销防范策略。
需要说明的是,装置实施例中描述的业务控制节点和接入节点对应于上述的方法实施例,其具体的实现方法在方法实施例中已经进行过详细说明,在此不再赘述。
综上所述,通过本发明的上述实施例,解决了相关技术中对不同的报文类型进行限流操作而导致的合法的控制消息有可能被丢弃以及无法针对用户进行限流的问题,进而能够针对某一具体的用户的攻击行为进行动态的防范,提高了防范的针对性以及效率,并且能够避免合法的控制消息被丢弃。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (11)
1.一种网络攻击的防范方法,其特征在于,包括:
业务控制节点在确定有用户进行网络攻击后,将与所述用户进行的网络攻击对应的防范策略发送给接入节点;
所述接入节点执行所述防范策略。
2.根据权利要求1所述的方法,其特征在于,在所述业务控制节点将所述防范策略发送给所述接入节点之后,所述方法还包括:
所述业务控制节点向所述接入节点发送消息,其中,所述消息中携带有撤销所述防范策略的信息;
所述接入节点根据所述消息撤销所述防范策略。
3.根据权利要求1所述的方法,其特征在于,所述防范策略中携带有撤销所述防范策略的信息,所述接入节点根据所述信息撤销所述防范策略。
4.根据权利要求1所述的方法,其特征在于,所述网络攻击的类型包括:用户对业务控制节点的攻击和/或用户对业务控制节点网络侧设备的攻击。
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述接入节点为所述用户与所述业务控制节点之间的支持业务控制节点和接入节点之间通讯协议的网络节点。
6.根据权利要求5所述的方法,其特征在于,所述接入节点为最靠近用户并且能够执行所述防范策略的网络节点。
7.一种业务控制节点,其特征在于,包括:
确定模块,用于确定有用户进行网络攻击;
策略模块,用于制定与所述用户进行的网络攻击对应的防范策略;
第一发送模块,用于将所述防范策略发送给接入节点。
8.根据权利要求7所述的业务控制节点,其特征在于,还包括:
第二发送模块,用于向所述接入节点发送消息,其中,所述消息中携带有撤销所述防范策略的信息,以便于所述接入节点根据所述消息撤销所述防范策略。
9.根据权利要求7所述的业务控制节点,其特征在于,所述策略模块还用于在所述防范策略中携带撤销所述防范策略的信息,以便于所述接入节点根据所述信息撤销所述防范策略。
10.一种接入节点,其特征在于,包括:
接收模块,用于在业务控制节点确定有用户进行网络攻击之后,从所述业务控制节点接收与所述用户进行的网络攻击对应的防范策略;
执行模块,用于执行所述防范策略。
11.根据权利要求10所述的接入节点,其特征在于,还包括:
获取模块,用于获取撤销所述防范策略的信息;
撤销模块,用于根据所述信息撤销所述防范策略。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101788815A CN102045302A (zh) | 2009-10-10 | 2009-10-10 | 网络攻击的防范方法、业务控制节点及接入节点 |
| PCT/CN2009/076201 WO2010145181A1 (zh) | 2009-10-10 | 2009-12-29 | 网络攻击的防范方法、业务控制节点及接入节点 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101788815A CN102045302A (zh) | 2009-10-10 | 2009-10-10 | 网络攻击的防范方法、业务控制节点及接入节点 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102045302A true CN102045302A (zh) | 2011-05-04 |
Family
ID=43355720
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009101788815A Pending CN102045302A (zh) | 2009-10-10 | 2009-10-10 | 网络攻击的防范方法、业务控制节点及接入节点 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN102045302A (zh) |
| WO (1) | WO2010145181A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014008664A1 (zh) * | 2012-07-13 | 2014-01-16 | 华为技术有限公司 | 深度报文检测的方法及装置 |
| CN106209784A (zh) * | 2016-06-24 | 2016-12-07 | 杭州华三通信技术有限公司 | 一种数据过滤方法和装置 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105187380A (zh) * | 2015-08-05 | 2015-12-23 | 全球鹰(福建)网络科技有限公司 | 一种安全访问方法及系统 |
| CN107135187A (zh) * | 2016-02-29 | 2017-09-05 | 阿里巴巴集团控股有限公司 | 网络攻击的防控方法、装置及系统 |
| CN111092840B (zh) * | 2018-10-23 | 2022-06-21 | 中兴通讯股份有限公司 | 处理策略的生成方法、系统及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006146837A (ja) * | 2004-11-25 | 2006-06-08 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃防御方法およびファイアウォールシステム |
| CN101030977A (zh) * | 2006-02-28 | 2007-09-05 | 株式会社日立制作所 | 用于防御非法通信的装置及其网络系统 |
| CN101111053A (zh) * | 2006-07-18 | 2008-01-23 | 中兴通讯股份有限公司 | 移动网络中防御网络攻击的系统和方法 |
| CN101299724A (zh) * | 2008-07-04 | 2008-11-05 | 杭州华三通信技术有限公司 | 流量清洗的方法、系统和设备 |
| CN101321173A (zh) * | 2008-07-21 | 2008-12-10 | 华为技术有限公司 | 一种防止网络攻击的方法、系统及装置 |
-
2009
- 2009-10-10 CN CN2009101788815A patent/CN102045302A/zh active Pending
- 2009-12-29 WO PCT/CN2009/076201 patent/WO2010145181A1/zh active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006146837A (ja) * | 2004-11-25 | 2006-06-08 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃防御方法およびファイアウォールシステム |
| CN101030977A (zh) * | 2006-02-28 | 2007-09-05 | 株式会社日立制作所 | 用于防御非法通信的装置及其网络系统 |
| CN101111053A (zh) * | 2006-07-18 | 2008-01-23 | 中兴通讯股份有限公司 | 移动网络中防御网络攻击的系统和方法 |
| CN101299724A (zh) * | 2008-07-04 | 2008-11-05 | 杭州华三通信技术有限公司 | 流量清洗的方法、系统和设备 |
| CN101321173A (zh) * | 2008-07-21 | 2008-12-10 | 华为技术有限公司 | 一种防止网络攻击的方法、系统及装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014008664A1 (zh) * | 2012-07-13 | 2014-01-16 | 华为技术有限公司 | 深度报文检测的方法及装置 |
| CN103718513A (zh) * | 2012-07-13 | 2014-04-09 | 华为技术有限公司 | 深度报文检测的方法及装置 |
| CN103718513B (zh) * | 2012-07-13 | 2017-02-01 | 华为技术有限公司 | 深度报文检测的方法及装置 |
| CN106209784A (zh) * | 2016-06-24 | 2016-12-07 | 杭州华三通信技术有限公司 | 一种数据过滤方法和装置 |
| CN106209784B (zh) * | 2016-06-24 | 2019-09-17 | 新华三技术有限公司 | 一种数据过滤方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2010145181A1 (zh) | 2010-12-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20190132287A1 (en) | Intelligent sorting for n-way secure split tunnel | |
| EP2845365B1 (en) | Method and devices for protecting neighbour discovery cache against dos attacks | |
| CN102035676B (zh) | 基于arp协议交互的链路故障检测与恢复的方法和设备 | |
| CN109525601B (zh) | 内网中终端间的横向流量隔离方法和装置 | |
| CN106487556B (zh) | 业务功能sf的部署方法及装置 | |
| WO2007133786A2 (en) | Dynamic vlan ip network entry | |
| WO2008080314A1 (fr) | Procédé, moteur de retransmission et dispositif de communication pour la commande d'accès aux messages | |
| CN102045302A (zh) | 网络攻击的防范方法、业务控制节点及接入节点 | |
| WO2011021145A1 (en) | Link state identifier collision handling | |
| Lospoto et al. | Rethinking virtual private networks in the software-defined era | |
| CN101141396B (zh) | 报文处理方法和网络设备 | |
| JP5941465B2 (ja) | 拒否された加入者局によって消費されるリソースの制限 | |
| Marro | Attacks at the data link layer | |
| CN101247346A (zh) | 一种基于网关模式对局域网数据报文进行控制的方法 | |
| CN113422783A (zh) | 一种网络攻击防护方法 | |
| CN1937619A (zh) | 运营商的运营商情况下生存时间分区安全机制的实现方法 | |
| Convery | Hacking layer 2: Fun with Ethernet switches | |
| CN101252474A (zh) | 一种基于网桥模式对局域网数据报文进行控制的方法 | |
| CN103856571B (zh) | 一种自适应网路连接方法和系统 | |
| CN114978563B (zh) | 一种封堵ip地址的方法及装置 | |
| CN101909021A (zh) | Bgp网关设备及利用该设备实现通断网关功能的方法 | |
| Chatterjee | Design and development of a framework to mitigate dos/ddos attacks using iptables firewall | |
| Bhaiji | Understanding, preventing, and defending against layer 2 attacks | |
| Cisco | Dial Solutions Quick Configuration Guide Cisco IOS Release 12.0 | |
| CN114448653A (zh) | 策略执行方法、相关装置以及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20110504 |