CN103458061A - 用于限制ip网络的广播域中节点通信的方法和系统 - Google Patents
用于限制ip网络的广播域中节点通信的方法和系统 Download PDFInfo
- Publication number
- CN103458061A CN103458061A CN2013100841445A CN201310084144A CN103458061A CN 103458061 A CN103458061 A CN 103458061A CN 2013100841445 A CN2013100841445 A CN 2013100841445A CN 201310084144 A CN201310084144 A CN 201310084144A CN 103458061 A CN103458061 A CN 103458061A
- Authority
- CN
- China
- Prior art keywords
- node
- address resolution
- nodes
- address
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/145—Detection or countermeasures against cache poisoning
Abstract
一种用于限制IP网络的广播域中的第一节点与一个或多个其他节点进行通信的方法和系统。该第一节点和该一个或多个其他节点中的每一个都具有各自的转换表,该转换表将一个IP地址映射为该第一节点和该一个或多个其他节点与之进行过通信的所有节点的各自的物理地址。本发明的实施例描述了获取包括地址解析消息的通信数据并接入代表该网络中的地址解析活动的地址解析表。响应于指示该第一节点正与其他节点进行通信的通信数据,通过使用存储在该地址解析表中的信息而产生并传送一个限制地址解析消息来限制该第一节点的通信,该限制地址解析消息包括一个替代物理地址。
Description
本申请是申请号为200780051195.0、申请日为2007年11月7日、发明名称为“用于限制IP(因特网协议)网络的广播域中一个节点与其他节点进行通信的方法和系统”的PCT国际发明专利申请的分案申请。
技术领域
本发明涉及于通信网络。更具体地,本发明涉及通信网络的安全以及涉及于在一个通信网络中限制节点与其他节点进行通信。
背景技术
图1是包括节点的IP网络101、106的示意图。该图示出了两种网络拓扑,而本领域技术人员应当明白许多其他拓扑也是可能的,因此所图示的拓扑并不是限制性的。以下,连接到该网络的每个物理元件都构成了一个节点。所图示的网络101构成了局域网(LAN),其经由路由器103被连接到因特网102.该路由器103可直接连接到端节点104,包括比如个人计算机(PC)的工作站、比如UNIX工作站的服务器、比如X终端的终端等等。可选地,该路由器103可连接到一个或多个集线器105,额外的端节点104也可连接到该集线器。应注意在这种情况中,该集线器105是一个简单的集线器(即其是非交换的集线器),因此,那些连接到该集线器的节点和连接到路由器103的端节点处于同一广播域中。此外,本领域技术人员应当明白路由器可以具有将其连接到不同网络或网络各部分的多于一个的网络接口卡,因此应当明白,以下(整个说明书),路由器103代表了一个接口,其将该路由器连接到该网络101。还应注意,路由器(比如路由器103)、集线器(比如集线器105)、端节点104和包括网络接口的其他物理元件一同构成了“节点”。106是IP网络的另一个例子,其包括交换机107,端节点104被连接到该交换机。应当明白类似于网络101,网络106也构成了一个广播域。此外,本领域技术人员应当明白可以经由路由器(比如路由器103)将网络106连接到因特网,并且,已经指出了路由器可以具有多个网络接口卡,并且图1中的确存在两个这种网络接口卡,一个用于将该路由器连接到网络106,而另一个用于将其连接到因特网102.因此,只有将路由器连接到网络106的NIC被认为是该广播域中的成员,并因此在图1中呈现出路由器仅有一部分是该网络的一部分,而其另一部分在网络外部。
现有技术中已知多种网络协议,其允许了通信网络中的不同的功能性。例如,请求注解(RFC)826(于1982年公布)论述了转换协议地址(例如IP地址)为本地网络地址(例如以太网地址),一个已知的协议是地址解析请求(ARP),RFC826是公众可获得的并在此被结合进来作为参考。
根据RFC826,当一个分组被通过网络层向下发送时,路由确定用于该分组的下一跳的协议地址以及在哪一片硬件上其期望能找到具有直接目标协议地址的站点。在10Mbit以太网的情况中,需要地址解析并且一些较低层(可能是硬件驱动器)必须咨询地址解析模块(也许在该以太网支持模块中实施)以将该<协议类型,目标协议地址>配对转换为48bit的以太网地址。该地址解析模块尝试在“转换表”或“ARP缓存”中找到该配对。如果找到了该配对,其将相应的48bit以太网地址返回给该访问者(硬件驱动器),然后该访问者发送该分组。如果其没有找到该配对,那么其可能通知该访问者其将丢弃该分组(假设该分组将由更高网络层传输)。然后这使得该分组被广播到由路由机制所原始确定的以太网电缆上的所有站点。
当接收到地址解析分组时,该接收以太网模块将该分组交给地址解析模块,该地址解析模块在检查是否其应产生一个回复之前将该<协议类型,发送者协议地址,发送者硬件地址>三元组合并到其本地转换表中。注意,如果已经存在了用于<协议类型,发送者协议地址>配对的入口,那么新的硬件地址取代旧的。然后,如果该操作码是REQUEST并且该目标协议地址与该接收机器的协议地址相匹配,那么该接收机器产生REPLY,并发送它到产生该REQUEST的机器。此外,应当注意,当与对该LAN来说是远程的机器进行通信时,该路由器的物理地址被解析,而不是该机器的地址。
根据RFC826,有时发生主机走下去或移动的情况(例如,当该协议地址(比如IP地址)被重新指派给一个不同的物理硬件时)。为了保持该转换表是最新的,可以执行超时,其中在构成一个“ARP检查超时”的一个合适的超时之后,该机器考虑从其中移除一个入口。其可发送一个具有操作码REQUEST(即ARP请求)的地址解析分组直接到该表中的以太网地址。如果在一小段时间之后没有看见REPLY(即ARP回复),该入口被从该转换表中删除。
应当注意根据RFC826,这里描述的地址解析协议和分组格式被允许用于非10Mbit以太网。因此,以下,作为对“以太网地址”的替代,“物理地址”被参考,其更普遍。
应注意,根据多个地址解析协议,操作系统维持两个不同预定值用于ARP检查超时,也就是会话中ARP超时和会话外ARP超时,其中该会话中ARP超时长于该会话外ARP超时。例如,操作系统(例如包括Microsoft Windows、Microsoft Windows和Microsoft Windows)维持会话中ARP超时为10分钟,即这些操作系统在发送ARP请求到一个入口的各个目标节点之前、以及在它们将该入口从该转换表中移除之前,在它们的转换表中维持该入口10分钟(当在会话中时)。如果目前没有进程在进行中,那么 操作系统(例如包括Microsoft Windows、Microsoft Windows和Microsoft Windows)维持会话外ARP检查超时为2分钟。
此外,根据多个地址解析协议,当在从该转换表中移除一个入口之前发送具有操作码REQUEST的地址解析分组时,该地址解析分组被广播,而不是将其直接发送到表中的物理地址。
US7,124,197(“用于局域网的安全装置和方法”(”Security apparatus andmethod for local area networks”),2006年公开)描述了一种用于通过客户端设备控制数据链路层访问计算机网络上的受保护服务器的方法和装置。由该寻找对任何网络设备的访问的客户端设备广播的地址解析请求被接收然后被处理以确定该客户端设备是否为未知。如果该客户端设备是未知的,那么限制地址解析回复被传送给该受保护的设备以限制该客户端设备对该受保护的设备的访问并允许其对认证服务器的访问。该认证服务器被监视以确定该客户端设备是否由该认证服务器授权或未授权。如果该客户端设备被授权,那么允许到该受保护的设备的访问。如果该客户端设备为未授权,那么阻止地址解析回复在该计算机网络上被发送以阻止该客户端设备对所有其他网络设备的访问。
WO2005/053230(“用于收集关于一个通信网络的信息的方法和系统”(“Method and system for collecting information relating to a communicationnetwork”),2005年公开)描述了一种用于收集关于一个通信网络的信息的方法和系统。操作在该通信网络中的节点所传送的数据以透明于这些节点的方式被检测。该检测到的数据被分析用于识别关于该通信网络的信息以及用于识别丢失的信息。根据WO2005/053230,为了完成该丢失的信息,查询一个或多个节点。
发明内容
在此图示了一种用于限制一个IP(因特网协议)网络的一个广播域中的第一节点与一个或多个其他节点进行通信的方法,该第一节点和该一个或多个其他节点中的每一个都具有各自的转换表,该转换表将一个IP地址映射为该第一节点和该一个或多个其他节点与之进行过通信的所有节点的各自的物理地址,该方法包括:
获取包括地址解析消息的通信数据;
访问代表了该网络中的地址解析活动的地址解析表;以及
响应于所述指示该第一节点正与其他节点进行通信的通信数据,通过使用存储在该地址解析表中的信息而产生并传送一个限制地址解析消息来限制该第一节点的通信,该限制地址解析消息包括一个替代物理地址。
在此还图示了一种用于维护代表网络中的地址解析活动的地址解析表的方法,该方法包括:
获取包括在第一节点和一个或多个其他节点之间交换的地址解析消息的通信数据,该第一节点和该一个或多个其他节点中的每一个都具有各自的转换表,该转换表将IP地址映射为该第一节点和该一个或多个其他节点与之有过通信的所有节点的各自的物理地址;以及
更新存储在所述地址解析表中的信息以表示存储在该转换表中的关于该第一节点和该一个或多个节点的信息的改变。
在此还图示了一种用于限制一个IP(因特网协议)网络的一个广播域中的第一节点与一个或多个其他节点进行通信的装置,该第一节点和该一个或多个其他节点中的每一个都具有各自的转换表,该转换表将一个IP地址映射为该第一节点和该一个或多个其他节点与之进行过通信的所有节点的各自的物理地址,该装置包括:
网络监视器,用于获取包括地址解析消息的通你信数据;
限制处理器,连接到所述网络监视器并具有对代表该网络中的地址解析活动的地址解析表的访问,该限制处理器响应于指示该第一节点正与其他节点进行通信的通信数据,用于通过使用存储在该地址解析表中的信息而产生并传送一个限制地址解析消息来限制该第一节点的通信,该限制地址解析消息包括一个替代物理地址。
此外,还图示了一种用于维护代表网络中的地址解析活动的地址解析表的装置,该装置包括:
网络监视器,用于获取包括在第一节点和一个或多个其他节点之间交换的地址解析消息的通信数据,该第一节点和该一个或多个其他节点中的每一个都具有各自的转换表,该转换表将IP地址映射为该第一节点和该一个或多个其他节点与之有过通信的所有节点的各自的物理地址;以及
表管理器,连接到所述网络监视器并响应于指示该第一节点正与其他节点进行通信的通信数据,用于更新存储在所述地址解析表中的信息以表示存储在该转换表中的关于该第一节点和该一个或多个节点的信息的改变。
此外,还图示了一种计算机程序,包括计算机程序代码装置,用于在所述程序运行在计算机上时执行用于限制一个IP(因特网协议)网络的一个广播域中的第一节点与一个或多个其他节点进行通信的方法。
此外,还图示了一种计算机程序,包括计算机程序代码装置,用于执行用于维护代表网络中的地址解析活动的地址解析表的方法。
附图说明
为了理解本发明并明白其在现实中是如何实施的,将通过仅为非限制性的例子并参照附图来描述实施例,附图中:
图1是包括多个节点的IP网络的示意图;
图2是根据本发明一个实施例的包括限制装置的IP网络的示意图;
图3是根据本发明特定实施例示意性地示出限制装置的框图;
图4是根据本发明特定实施例表示对地址解析表的维护的流程图;
图5是根据本发明特定实施例图示对地址解析表的更新以进一步获取地址解析请求的流程图;
图6是根据本发明特定实施例图示当限制一个在IP网络中进行通信的节点的通信时所执行的操作的流程图;
图7是根据本发明特定实施例图示限制与一个节点的通信的流程图;
图8是根据本发明特定实施例表示对地址解析表的维护的流程图;
图9是根据本发明特定实施例图示当获得地址解析请求时对地址解析表的维护的流程图;
图10是根据本发明特定实施例图示当获得地址解析回复时对地址解析表的维护的流程图;
图11是根据本发明其他实施例图示当获得地址解析回复时对地址解析表的维护的流程图;以及
图12是根据本发明特定实施例图示当获得广播的地址解析回复时所执行的操作的流程图。
具体实施方式
在下面描述中,在一个以上的附图中共同的部件将由相同的附图标记参引。
下面,除非特别指出,术语IP是指因特网协议。
图2是根据本发明一个实施例的包括限制装置202的IP网络201的示意图。类似于图1中的网络106,IP网络201包括交换机107和端节点104,并且其被经由路由器103连接到因特网102。然而,不同于网络106,当前网络201包括限制装置202,其允许对节点与网络201中的其他节点的通信进行限制。根据特定实施例,该限制装置202是网络201中的一个节点,然而,应当明白,该限制装置可以包括一个以上的接口卡并因此具有一个以上的物理地址。例如,该限制装置可包括网络监视器、网络检测器和/或通信控制器;所有这些都在下面参照图3被描述(分别参见301、302和307)。通常,网络中的每个节点可以包括一个以上的接口卡并因此具有一个以上的物理地址。在这种情况下,下面描述的实施例分别涉及作为广播域一部分的接口卡中的每一个,就像它们是分立的节点一样。
本领域技术人员应明白,为了使局域网(LAN)的一个广播域中任意两个节点之间得以通信,或者换句话说为了使IP网络的一个广播域中任意两个节点之间得以通信,这两个节点中的每一个都必须具有与另一个节点有关的信息,包括各自的物理地址,也就是媒体访问控制(MAC)地址。例如,知道广播域中节点‘B’的IP地址的节点‘A’必须解析或者确定‘B’的物理地址以能够与其通信。反之亦然。为了与‘A’通信,‘B’必须知道其IP地址并解析‘A’的物理地址。对广播域中一个节点的物理地址进行解析的一种非限制方式是使用在RFC826中定义的地址解析协议(ARP)。然而,本发明并不局限于ARP,其同样可与其他地址解析协议一起使用,其中ARP只是被拿来在下文中作为例子。理解了这一点,应当明白根据本发明多个实施例,通过阻止‘A’解析‘B’的物理地址,和/或通过阻止‘B’解析‘A’的物理地址,这两个节点间的通信就可被限制。应当明白,当与和该广播域中任一其他节点自由通信的其他节点相比时,一个与操作在广播域中的所有节点中的至少一个节点的通信被限制的节点具有降低的通信能力。因此,理解了“至少一个节点”有时意味着“操作在该广播域中的所有节点”,也就明白了“限制”有时意味着完全阻止(该节点与该广播域中所有的其他节点的通信都被限制),而有时意味着该节点不能与一个或多个节点通信,还有时其可以和其他节点通信。
根据特定实施例,在开始时,或在安装时,限制装置获取与操作在其所在的广播域中的节点的身份有关以及还可能与操作在这些节点上的操作系统和它们各自的IP和物理地址有关的“网络信息”。这个在开始时获取的网络信息构成“原始资料(baseline)”。用于获取该原始资料的一种方式是使用WO2005/053230中所提出的方法。然而,这是非限制性的并且用于获取该网络信息的任何其他方法都是可行的,例如包括由Ofir Arkin等在2003年7月发表的(其是在因特网上公开的)“Xprobe2的现状与未来”(”The Present and Future of Xprobe2”)中所描述的方法,或者甚至手工添加节点的身份信息。
此外,理解了IP网络是动态网络(即节点可以从该网络断开,而其他节点可以连接到该网络,并且其他节点还可以移动),该限制装置就需要不断地监视该网络以保持该网络信息是最新的。这也可以依照任何可用的方法(比如WO2005/053230,和/或上面提到的“Xprobe2的现状与未来”)来完成。被该限制装置所监视的任何节点都构成一个“被监视节点”。
图3是根据本发明特定实施例示意性地图示限制装置202的框图。网络监视器301获取原始资料并继续监视该网络和该网络中所包括的节点以保持该网络信息是最新的。此外,该限制装置还包括或被耦合到网络检测器302,比如已知的本质监听器(per se sniffer),其检测通信数据。应注意到该通信数据包括地址解析通信(比如地址解析请求、地址解析回复和无偿(gratuitous)地址解析消息)但并不局限于此。例如,通信数据还可以包括非地址解析通信,比如第三(3)层分组,比如因特网协议(IP)分组。
而且,该限制装置具有对构成“地址解析表”的表的访问,该“地址解析表”有时也被叫做“虚拟ARP表”或简称为“ARP表”303。该地址解析表表示了该网络中的地址解析活动(比如ARP活动)并且其包括入口304。表管理器305被耦合到该地址解析表并且使对该表及其中包括的数据得以维护。应当明白该表管理器305被耦合到网络监视器301和网络检测器302,以从它们那里获取信息并根据所获取的信息进行响应操作。此外,接入该地址解析表303的限制处理器306能够限制节点与该网络中的其他节点进行通信。此外,307是一个通信控制器。该通信控制器307被连接到该网络并具有物理地址和IP地址,这些地址使其得以从操作在网络中的节点处获取数据并传递数据到这些节点。
最后,限制装置202的特定实施例还可以包括存储器308,其还可包括易失性存储器309,比如RAM,和非易失性存储器310,比如磁盘和/或闪存等。应注意到,例如,网络监视器301可提供存储在存储器例如易失性存储器中的网络信息作为输出。类似地,网络检测器302还可提供将输出存储在非易失性存储器310中,而表管理器305可以将该地址解析表存储在非易失性存储器310中,而通信控制器307能够使用存储器设备(309和/或310)以提供信息给表管理器305、和/或中继通信、和/或存储可选节点的列表等。
明白了每个地址解析请求(比如一个ARP请求)都从“源节点”被发送以解析已知IP地址的“目标节点”的物理地址,并且源节点与目标节点中的每一个都具有分别的将一个IP地址映射为与该源和目标节点通信过的所有节点的各个物理地址的转换表,应注意到,对于每个源节点,在该地址解析表303中都存在一个入口304。该入口包括该源节点的IP地址,以及“节点列表”,该节点列表是代表节点的IP地址的列表,这些节点的物理地址对该源节点为已知的,这些节点例如包括从该源节点发送的地址解析请求中的目标节点。因此,地址解析表303代表了该网络中的地址解析活动。
图3的实施例是非限制性的。根据本发明的不同实施例,限制装置202可以在该地址解析表为空时(或者换句话说,当原始资料为空时)开始操作并使用从网络检测器302获取的除指示通信数据的信息之外还有数据来逐渐地填写该地址解析表,而不是从网络监视器301获取原始资料。可选地,在限制装置202的操作终止之前,有可能在非易失性存储设备中存储该地址解析表的图像,即存储在其中的数据的拷贝。那么,当限制装置202的操作恢复时,其可能用包括数据的地址解析表来开始操作,而不是开始于空的地址解析表,该数据是之前存储在非易失性存储器310中的,例如在限制装置202终止操作之前存储在其中的数据,然后从网络检测器302获取指示通信数据的信息之后更新该地址解析表。根据其他实施例,该地址解析表的初始内容,也就是“原始资料”,可以从任何其他源获得,比如图3中没有描述的该系统外部的源,因为其对于该限制装置202而言是外部的。
此外,根据可选实施例,表管理器305和地址解析表303可以对该限制装置202来说是外部的。那么,该限制装置可以接入该地址解析表303,以使用存储在其中的信息来限制通信。
在本发明的背景技术中解释了根据RFC826,为了保持转换表是最新的,在一个构成“AEP检测超时”的合适时间段之后,源节点可以直接向目标节点的以太网地址发送ARP请求,如在其转换表中所列的,以此来检查该目标节点自从上次对该转换表的更新以来没有移动过。因此,应当明白,除了以长于ARP检测超时的时间段来监视该网络,该限制装置还可以检测从源节点发送的一个以上的地址解析请求,这些请求尝试解析每个目标节点的物理地址。因此,根据特定实施例,时间戳对于地址解析表的入口的节点列表中每个目标节点的IP地址而添加。每当包括地址解析请求或地址解析回复的地址解析消息被检测到时,关于其源节点和目标节点的入口被更新,其中该时间戳代表该地址解析消息被检测到时的时间。然而,也可以有替换方案。例如,如果该地址解析消息包括与其相关的各自的时间戳,那么有可能代表各自的时间戳而不是该地址解析消息被检测到时的时间。
例如,在17:04:20开始之后(即当地址解析表为空时),网络检测器检测到从IP地址为192.168.1.10的源节点发送的为了解析IP地址为192.168.1.5的目标节点的物理地址的地址解析请求。因此,在更新地址解析表之后,还根据本发明特定实施例(参见例如下面描述的图9),其将包括两个入口,每个在其节点列表中都具有一个目标节点,如下:
192.168.1.10:192.168.1.5(17:04:20)
192.168.1.5:192.168.1.10(17:04:20)
在17:04:21,该网络检测器检测到另一个地址解析请求,其发送自同一源节点192.168.1.10,为了解析目标节点192.168.1.7的物理地址。因此,关于192.168.1.10的入口被更新以将192.168.1.7包括在其节点列表中;并且该地址解析表的内容变为:
192.168.1.10:192.168.1.5(17:04:20);192.168.1.7(17:04:21)
192.168.1.5:192.168.1.10(17:04:20)
192.168.1.7:192.168.1.10(17:04:21)
本领域技术人员应当明白当一个地址解析请求(比如由192.168.1.10发送的、为了解析192.168.1.7的物理地址的地址解析请求)被广播时,192.168.1.5同样可以看见该请求,并且由于192.168.1.10被列在其转换表中,所以其入口将被更新。因此,192.168.1.5中的192.168.1.10的时间戳也被更新,那么该表的内容变为:
192.168.1.10:192.168.1.5(17:04:20);192.168.1.7(17:04:21)
192.168.1.5:192.168.1.10(17:04:21)
192.168.1.7:192.168.1.10(17:04:21)
这被认为是“间接更新”并且其被参照下面例子进一步解释:应当明白根据RFC826,当源节点广播尝试解析一个目标节点的物理地址的ARP请求时,远离该目标节点的其他节点获得该ARP请求。如果这些节点中的一个或多个发现该源节点被列在它们的转换表中,那么它们使用该ARP请来更新它们的转换表,尽管它们并不是其物理地址需要被解析的目标节点。因此,根据本发明的特定实施例,当检测到发送自源节点的、为了解析目标节点的物理地址的地址解请求时,地址解析表的入口被检查以识别该源节点是否被列在关于它们中任何一个的节点列表中。如果该源节点被发现列在任何一个节点列表中,那么其时间戳被更新以反映该请求被检测到时的时间。
因此,返回到上一个例子,如果在17:04:42,该网络检测器检测到发送自源节点192.168.1.5的、为了解析目标节点192.168.1.9的物理地址的ARP请求,关于192.168.1.5的入口被更新以将192.168.1.9包括在列表中;一个新的入口被添加用于192.168.1.9,以将192.168.1.5包括在其节点列表中,并且除此之外,在关于192.168.1.10的入口的节点列表中关于192.168.1.5的时间戳被更新。该地址解析表的内容变为:
192.168.1.10:192.168.1.5(17:04:42);192.168.1.7(17:04:21)
192.168.1.5:192.168.1.10(17:04:21);192.168.1.9(17:04:42)
192.168.1.9:192.168.1.5(17:04:42)
192.168.1.7:192.168.1.10(17:04:21)
根据本发明特定实施例,当网络监视器301检测到特定节点在该网络中不再存在时(有可能是断开连接或关闭,其被称作“未连接节点”),该未连接节点的入口被从该地址解析表中移除。然而,如果该未连接节点被列在任何其他入口的节点列表中,那么该节点列表不被修改。
返回到上面呈现的例子中,如果网络监视器将节点192.168.1.5是未连接节点通知给限制装置,那么该节点的入口被从地址解析表中移除,但是关于节点192.168.1.10和节点192.168.1.9的入口并不改变,尽管192.168.1.5被列在其节点列表中。然后地址解析表的内容变为:
192.168.1.10:192.168.1.5(17:04:42);192.168.1.7(17:04:21)
192.168.1.9:192.168.1.5(17:04:42)
192.168.1.7:192.168.1.10(17:04:21)
此外,根据特定实施例,“过期超时”被定义。如果限制装置或表管理器发现包括在地址解析表中的任何节点列表包括各自的时间戳久于过期超时的IP地址,那么该IP地址连同该各自时间戳被从该节点列表中删除。
过期超时的数值的一个非限制性例子是“T+Δ”,其中T的数值在根据操作在目标节点上的操作系统确定的会话中ARP检查超时(in-session-ARP-check-timeout)和会话外ARP检查超时(out-of-session-ARP-check-timeout)中是较长的。在操作系统的例子(包括例如Microsoft Windows、Microsoft Windows和Microsoft Windows)中,T变成10分钟的会话中ARP检查超时。
应注意到,例如在那些其中网络监视器301依据WO2005/053230操作的实施例中,该网络检测器能够检测操作在该网络中每个节点上的操作系统,因此T的预定值可被相应地为每个目标节点设置。然而,这是非限制性的并且除了使其等于目标节点的ARP检查时间超时数值之外,其他实施例可以使用其他用于确定T的数值的方法。例如,根据一个替换实施例,可存在单一的T用于所有的目标节点。该单一的T例如可以被确定为以操作在网络中各节点上的操作系统为特征的最长ARP检查时间超时。可选地,如果操作在一个具有特定IP地址的节点上的操作系统是未知的,那么可以使T具有默认值。
在上面呈现的例子中,已注意到过期超时可被设置为T+Δ,尽管根据一个例子Δ=1分钟。现在可以明白Δ被添加以检验由源节点(包括入口)发送的ARP请求没有被错过。还应明白Δ的数值是可配置的并且可被设定为任何可应用于该情况的数值,包括长于或短于1分钟的时间段,包括0(零)或“无限”,当可应用时。此外,根据特定实施例,关于不同的入口和/或列举在节点列表中的不同的目标节点还可以具有不同的Δ数值。应注意到通过将Δ设定为无限,各个目标节点将不会过期。
图4是根据本发明特定实施例表示对地址解析表的维护的流程图。根据特定实施例,该流程图中所描述的方法可由表管理器305来执行,尽管其可被限制装置202外部的其他模块或装置来执行,因此应当明白,通常,图4的方法可由用于维护地址解析表的装置来执行。
还应注意到该流程图中描述的方法是事件驱动的并且特征在于时序操作。这是通过401、402、403和404来反映的。然而,替换实施例可以存在,其中每种事件都通过例如不同的管理器来处理,该管理器例如操作为分立的处理器,或者甚至可操作为单个表管理器的线程。其他替换实施例也是可能的,比如在处理完所获取的每个地址解析请求之后扫描过期的目标节点(以及删除的目标节点)等。
如果在402确定下一事件是地址解析请求,该请求在405被获取并且该地址解析请求在406被处理以更新该地址解析表。如果该地址解析请求在第一节点和一个或多个其他节点之间被交换,并且明白第一节点和一个或多个其他节点中的每一个都具有各自的转换表,该转换表将IP地址映射为该第一节点和该一个或多个其他节点与其有过通信的所有节点的分别的物理地址,406代表更新存储在该地址解析表中的信息以表示存储在转换表中的关于该第一节点和该一个或多个节点的信息的改变。
一种在获取到地址解析请求时更新该表的非限制性方式被图示在图5中:如果在501发现关于该源节点的入口不存在于地址解析表中,那么在502该入口被创建。然后,如果在503发现其物理地址将被解析的目标节点的IP地址并没有列举在该源节点的入口的节点列表中,那么在504其被(和时间戳一起)添加到其中。否则,如果目标节点的IP地址列举在其中,那么在505,其时间戳被更新。在506,源节点的IP地址的所有出现的时间戳都被更新,也就是说,与该源节点的IP地址相关联的时间戳出现在其他入口的节点列表中,以此来反映对这些其他入口所对应的其他节点的转换表的间接更新。然后,回到图4,并且在406更新该地址解析表之后,该方法将准备好处理下一事件,如401所指示的。
根据图4所示的方法,当获取到地址解析请求时,该请求的源节点的入口与已经被列举在其他入口的节点列表中的关于该请求的源节点的IP地址的时间戳一起被更新。应当注意到替换方案也是允许的,例如在下面参照图9描述的替换方案中看到的那样。
现在返回到402,如果在此确定下一事件不是地址解析请求,那么该事件有可能是节点的断开连接报告(参见403),于是该节点的入口被从该地址解析表中移除(在407)。可选地,该事件也有可能是对到了扫描节点列表的时间的指示,并找出其时间戳久于过期超时的那些目标节点的IP地址(参见404),在408删除它们。
除了事件管理,其他替换方式也可存在以用于图4中所示的实施例。例如,根据特定实施例,每当网络监视器301报告一个节点连接到该网络时,入口被添加到该地址解析表。因此,根据这种实施例,关于该网络中每个节点的入口在获取到原始资料时被添加到该地址解析表,然后,新的入口在网络监视器301报告有节点正在连接时被添加,而当网络监视器301报告节点从该网络断开连接时已有的入口被删除。
根据本发明另一个实施例,过期超时不被检查(例如不同于404和408),因此节点的IP地址仅在获取到节点的断开连接报告时才被从节点列表中删除(例如,参见403)。
此外,任何其他实施例也是允许的,如果可用的话,包括组合。根据一个这样的组合,入口不仅依据网络监视器301的报告而添加或移除。然而,如果地址解析消息例如地址解析请求被检测到,其各个源节点在该表中没有入口,那么这种入口被创建(类似于图5中的502)。
为了进一步理解该表管理器以及该地址解析表的维护,应当明白有时需要通过限制其与网络中其他节点的通信来隔离构成操作在IP网路中第一节点的通信设备。根据多个实施例,这包括隔离该第一节点,并且将其屏蔽于该网络以及附着到该网络的通信设备(即将其屏蔽于网络中的其他节点)。
对其通信将被限制的那些节点的选择可以依照不同的方法和策略来完成。例如,可以优选地限制连接到该网络的每个节点的通信,直到特权操作员(例如安全管理员或计算机检查员)确认了该节点是非加密的并且能够自由地通信。可选地,没有被限制通信的节点可以变成受限节点,这归咎于其上的可疑活动(例如,用户多次尝试通过错误的密码登陆到特定应用中)。根据其他实施例,受限节点有时被允许与可选的节点进行通信,例如,当存在应当优选地被提供给受限节点的服务时,等等。应当明白在后一种情况中,声明该受限节点被允许与可选节点进行通信的一种可选方式,是可以声明该受限节点被限制与可选节点的通信。维护限制装置和/或该通信网络的操作员可以指示哪些节点构成了受限节点被允许与之进行通信的可选节点,并且他还可以指示哪些节点构成了受限节点被限制与之进行通信的可选节点。
当构成第一节点的通信节点的通信需要被限制时,限制处理器306访问地址解析表,并使用存储在其中的信息来限制该第一节点的通信。
图6是根据本发明的特定实施例图示当限制在IP网络中通信的第一节点的通信时所执行的操作的流程图。在601,限制处理器获取该第一节点的IP地址,并且在602,其在地址解析表中查找该第一节点的入口。在603,关于该入口的节点列表中所列举的所有目标节点的时间戳被检查,如果它们中任何一个被发现久于该第一节点的ARP检查超时,那么在604,各个目标节点的IP地址被从该节点列表中移除。然而,对于其时间戳在602中被发现没有超出或等于该第一节点的ARP检查超时的每个目标节点,在605,该节点与该目标节点的通信被限制。
一种限制通信的非限制性方式被通过图7的流程图来呈现,其中在701,限制处理器产生具有目标节点的替代物理地址和IP地址的第一地址解析回复,而在702,该第一地址解析回复被传送给第一节点。本领域技术人员应当明白在获取到第一地址解析回复之后,该第一节点将该替代物理地址插入到其转换表中,并在其中将其与目标节点的IP地址绑定。因此,当该第一节点尝试与该目标节点进行通信并向其传送数据时,其实际上是透明地传递数据到该替代物理地址,以此来限制该第一节点的通信。因此,该第一地址解析回复构成了“限制地址解析消息”。然后,在703,第二地址解析回复被产生,其具有第一节点的替代物理地址和IP地址,而在704,该第二地址解析回复被传送给目标节点。本领域技术人员应当明白,类似于第一节点,在获取到该第二地址解析回复之后,该目标节点将该替代物理地址插入到其转换表中,并在其中将其与该第一节点的IP地址绑定。因此,当该目标节点尝试与该第一节点进行通信并向其传送数据时,其实际上将透明地传送数据到该替代物理地址,以此来限制与该第一节点的通信。因此,该第二地址解析回复同样构成了“限制地址解析消息”。而且,应注意到,如果该第一节点在获取到第一地址解析回复时和该目标节点在获取到第二地址解析回复时正处于通信会话的过程中,那么该会话将停止或中断。
除了传送这两个地址解析回复之外,在705,在节点列表中关于该目标节点的时间戳被更新以实际地指示这两个地址解析回复被发送的时间。此外,在706,限制处理器在地址解析表中找到该目标节点的入口,并且在707,其类似地更新该目标节点的入口的节点列表中关于该第一节点的IP地址的时间戳,以指示这两个地址解析请求被发送的实际时间。
然而应注意到,图7中所呈现的实施例是非限制性的,并且在适用的情况下可存在替换方式。例如,根据特定实施例,包括在第一地址解析回复中的替代物理地址(参见701)可以不同于包括在第二地址解析回复中的替代物理地址(参见703),虽然根据替换实施例相同的物理地址可被使用在这两个回复中。此外,根据特定实施例,该替代物理地址(或地址)可以是不存在的或并不存在于网络中的“假的”地址。本领域技术人员应当明白通过这样做,第一节点和/或目标节点将传送数据到空白点。可选地,该替代物理地址(或地址)可以是操作在网络中的节点的物理地址,比如通信控制器307的物理地址。这样的话通信控制器将成为能够中继第一节点和目标节点之间所传输的通信的中间代理,或阻挡该数据,因此可避免将其转发到其目的地,以此来限制通信。
应当明白地址解析请求能够触发对其他节点的转换表和地址解析表的间接更新(例如参见图5中的506),本发明的可选实施例可以存在,其中第二地址解析回复被传送到其他节点,间接地更新于该源节点的物理地址,除了在704将其传送到目标节点之外。为了这样做,在708,限制处理器检查在地址解析表中是否还存在其节点列表列举了第一节点的IP地址的入口(注意,该第一节点是受限节点)。如果是肯定的,那么这些入口之一在709被选择(注意,该入口变成“检查过的”,因此在限制处理器下次到达708时其将不会被考虑),在710,第二地址解析回复(例如参见703)被传送到由所选择的入口所表示的节点,并且在711,在所选择的入口的节点列表中关于该第一节点的IP地址的时间戳被更新。
此外,根据图6和7的实施例,该限制处理器限制第一节点和该广播域中任意其他节点之间的通信,包括其IP地址由该第一节点的入口的节点列表所表示的目标节点或通过该第一节点的物理地址间接更新的节点中的任何一个。应当明白根据特定可选实施例,限制该第一节点和一个或多个其他节点之间的通信,同时又允许其与其他节点的通信,是有可能的。也就是说,根据该后一种可选方式,该第一节点的通信被限制,但是允许其与可选的节点通信。一种实现这种操作的方式是使用比如通信控制器307的特定的节点来中继该受限节点和可选节点之间的通信(如上面解释的)而阻挡与其他的、非可选节点的通信。然而,本领域技术人员应当明白中继节点会降低通信速度并因此期望使用一替换实施例,其中,例如,在603,在检查目标节点的各个时间戳是否久于第一节点的ARP检查超时之前,可以检查第一节点与当前目标节点之间的通信是否应当被阻挡,如果不是,直接移动到节点列表中所列举的下一目标节点,以此跳过604或605。除了这样做或取而代之,在传送第二解析回复到间接更新的节点(参见710)之前,可以检查该第一节点与该间接更新的节点之间的通信是否应当被阻挡,如果不是,直接移动到708。
根据另一可选方式,有可能依照图6和7的方法来操作,以此来限制任意两个节点之间的通信,包括可选节点。然后,可以通过向其传送纠正的地址解析包来采取纠正措施,包括接入受限节点和可选节点的转换表,以此来强制受限节点的转换表通过可选节点的物理地址被更新,而可选节点的转换表通过受限节点的物理地址被更新。该纠正措施可以周期性地被采取,例如每隔z秒,其中z是可配置的。应当明白在强制受限节点和可选节点的转换表被更新之后,这些节点不需要地址解析,以此来绕过限制机制并允许这两个节点之间的通信。
更进一步地对于后面的实施例,并且返回到例如图2所示的网络,应当明白有可能限制受限节点和网络中的任何其他节点之间的通信,包括路由器103。通过限制受限节点与路由器103进行通信,而允许其与该系统中的所有其他节点通信,有可能允许该受限节点在该广播域中的自由操作,而阻止了该受限节点接入操作在该广播域之外的其他节点,也就是说,不是该广播域一部分的那些节点,例如包括因特网102。可选地,在理解了通信控制器307可变成位于受限节点和路由器之间的中间代理之后,应当明白有可能限制或允许该受限节点与不是该广播域一部分的一个或多个可选节点之间的通信。通过限制与不是该广播域一部分的可选节点的通信的同时允许与所有其他节点的通信,该通信控制器307可以阻挡指派给任何一个可选节点或从任何一个可选节点发起的数据,并中继指派给其他节点或从其他节点发起的数据。通过允许与不是该广播域一部分的可选节点进行通信的同时限制与所有其他节点的通信,该通信控制器307可以中继指派给任何一个可选节点或从任何一个可选节点发起的数据,并阻止指派给其他节点或从其他节点发起的数据。
根据特定实施例,作为对在603比较时间戳和第一节点的ARP检查超时的替代,可以将时间戳与表达式相比较,比如T或T+Δ。根据参照图6描述的实施例,T的数值是第一节点的ARP检查超时,该ARP检查超时是根据操作在其上的操作系统或会话中ARP检查超时和会话外ARP检查超时中最长的一个而确定的,同时应注意到,例如在网络监视器301根据WO2005/053230进行操作的那些实施例中,网络检测器能够检测操作在第一节点上的操作系统,因此T的预定值可被设定。然而,这是非限制性的,并且其他实施例可使用其他方法用于确定T的数值,除了使其类似于第一节点的ARP检查超时数值。例如,根据可选实施例,可以存在一个单独的T值用于系统中的所有节点,包括第一节点,而不管操作在其上的操作系统。该单独的T例如可被确定为表征操作在网络中的节点上的操作系统的最长ARP检查超时。可选地,如果操作在该第一节点上或一个或多个其他节点上的操作系统是未知的,那么可以使T具有缺省值。
在上面已指出(在603)可以将时间戳与表达式相比较,比如T+Δ,而根据一个例子,Δ=1分钟。现在应当明白Δ被添加以检验由第一节点(包括入口)发送的地址解析请求没有被错过。还应当明白Δ的数值是可配置的并且可被设置为可应用于该情况的任何数值,包括长于或短于1分钟的时间段,包括0(零)或“无限”,当可应用的时候。应注意到通过将Δ设置为无限,各个目标节点的IP地址将不会被从节点列表中移除。
应注意到在603所比较的数值之间和上面参照图4(例如参见404)所描述的过期超时之间没有必然的联系。在603与时间戳相比较的数值可以和第一节点的过期超时相同,或者它也可以与其不同。类似地,其可以与目标节点的过期超时相同或与其不同。
取而代之,或者与上面建议的可选方式相组合,有可能仅产生和传送第一地址解析回复(参见701和702)或第二地址解析回复(703、704和/或710)分别到第一节点、目标节点或间接更新的节点。通过这样做,获取了具有替代物理地址的地址解析回复的节点将继续传送数据到正确的目的地,然而,其将不会获得响应,包括IP握手、确认消息等,因此在这两个节点之间将不可能开始通信会话。如果这两个节点已经在一个会话中,那么该会话将很快被更高级的协议断开连接,比如TCP(传输控制协议),其将不会获得确认消息。
在理解了到目前为止所呈现的实施例之后,替换方式现在将被描述。但是在这之前,应当明白存在可用于解析网络中的节点的物理地址的多种地址解析消息类型。例如:
·广播到该广播域中所有节点的地址解析请求。应当明白在ARP中,地址解析请求构成了“ARP请求”,并且广播到该广播域中多个节点的ARP请求构成了“广播的ARP请求”。当构成“获取节点”的一个节点获取到广播的ARP请求时,其中该节点的转换表包括代表该ARP请求的源节点的入口,该入口被更新以包括如在广播的ARP请求中所指示的该源节点的物理地址。然而,如果在转换表中没有用于该源节点的入口,那么该表没有被更新,除非该获取节点是目标节点,其物理地址将被解析,在此,代表该源节点的入口将被添加到该表,将该源节点的IP地址与如在广播的ARP请求中所列举的它的物理地址相绑定。
·特定传送给目标节点的地址解析请求,该目标节点的物理地址将被解析(不像广播的解析请求)。应当明白在ARP中,该地址解析请求构成了“单播ARP请求”。当获取到单播ARP请求时,目标节点将以类似于其响应广播的ARP请求的方式来响应,尽管应当明白另一个节点将不会获取到该单播ARP请求。
·“单播地址解析回复”,其是特定向节点的物理地址发送的地址解析回复。应当明白在ARP中,地址解析回复构成了“ARP回复”并且特定向节点的物理地址发送的ARP回复构成了“单播ARP回复”。应注意到通常在ARP中,单播ARP回复被由目标节点传送到源节点以响应从源节点获取到ARP请求。当获取到单播ARP回复时,如果该源节点的转换表包括代表目标节点的入口,那么该入口被更新,以此来将目标节点的IP地址绑定到在ARP回复中所列举的物理地址。
·广播到包括在一个广播域中的节点的地址解析回复。应当明白这种地址解析消息构成了“广播的地址解析回复”,而尤其是在ARP中,广播到一个广播域中的ARP回复构成了“广播的ARP回复”。应当明白在ARP中,广播的ARP回复仅影响那些包括关于其地址将由该回复而被解析的节点的入口的转换表,而该广播域中所有的其他节点的转换表都将保持不被影响。
·“无偿的地址解析请求”是源节点的IP地址和目标节点的IP地址相同的地址解析请求,其被广播到该广播域中。在ARP中,这种地址解析请求构成了“无偿的ARP请求”。
·应注意到尽管在一些地址解析协议中,比如ARP,有可能产生和传送包括关于产生节点的协议地址和物理地址的信息的地址解析消息,而没有先前的地址解析请求。这种消息构成了“无偿的地址解析消息”。在ARP中,无偿的地址解析消息构成了“无偿的ARP消息”。应注意到在一些协议中,无偿的地址解析消息可以使用地址解析回复的数据结构(例如包括操作码回复的消息),在这种情况中该消息也可被称作“无偿的地址解析回复”。应当明白特定向一个节点发送的无偿的地址解析消息构成了“单播无偿的地址解析消息”,而广播到该广播域的无偿的地址解析消息构成了“广播的无偿的地址解析消息”。
现在返回到图4,应注意到,这里呈现的实施例在获取到地址解析请求时更新地址解析表。例如参见402和405。然而,应当明白图4的方法是非限制性的并且可以存在其他实施例。例如,地址解析表可以被更新以响应于获取到其他类型的地址解析消息,而不像更新仅是响应于获取到地址解析请求。因此,图8是图4中所示方法的概括。在该图中,地址解析表在获取到任何类型的地址解析消息时(参见801和802)都被更新(406)。
根据可选实施例,在408,当检查到表示一个受限节点的IP地址的时间戳久于过期超时时,可以使用短于ARP检查超时的过期超时,即会话中ARP检查超时和会话外ARP检查超时中最短的过期超时,或者甚至是比这两个超时中最短的那个还短的过期超时,只要可用于这种情况。
如图4的实施例,如果在802获取的地址解析消息是地址解析请求,那么可以依照图5的实施例来执行406。然而,根据本发明其他实施例,例如由图9的流程图所示出的,在501除了检查在地址解析表中是否存在用于该地址解析请求的源节点的入口之外,如果需要的话还添加一个入口(在502)并且更新时间戳和节点列表(参见504、505和506),根据当前实施例,901检查在地址解析表中是否存在用于该目标节点的入口,如果没有的话,这样的入口在902被创建。然后,在903,如果发现该源节点的IP地址没有被列举在该目标节点的入口的节点列表中,那么在904,其被列举在其中(和时间戳一起)。否则,如果该源节点的IP地址已经被列举,那么在905各个时间戳被更新。
然而,图9的实施例描述了在获得地址解析请求之后如何更新地址解析表,该地址解析请求可能是广播的地址解析请求或单播的地址解析请求。例如,在ARP中,广播的ARP请求将类似于单播ARP请求那样被处理。应当明白根据本发明其他实施例,可以在获取到任何类型(即广播的地址解析回复或单播地址解析回复)的地址解析回复和/或无偿的地址解析消息时更新地址解析表。一种这样的非限制性实施例被图示在图10中。然而,在把注意力转向该附图之前,应当指出,一般来讲,地址解析请求从源节点被传送,以解析目标节点的物理地址,然后目标节点传送地址解析回复给该源节点。因此,当处理地址解析回复时,看起来是目标节点传送该回复到源节点,而源和目标节点可能被读者混淆。当该地址解析回复是广播的无偿的地址解析消息时混淆会变得更明显,其中没有该消息将被传送到的指定节点,或者换句话说,没有该消息将被传送到的“源节点”。为了避免这种混淆,作为使用术语“源节点”和“目标节点”的替换,术语“发起节点”将被用来指其物理地址将被地址解析消息解析的节点,而术语“目的地节点”被用来指其当发起节点实际上不是组成和传送该消息的节点时,该信息被指定到的节点。应注意到,如果该地址解析消息是广播的无偿的地址解析消息,那么作为具有指定目的地节点的替换,该消息被传送到该广播域中对该消息感兴趣的任何节点,而例如依照ARP,这些是将发起节点表示在它们的转换表中的所有节点。
图10和图11是根据本发明两个不同的非限制性实施例图示在获取到单播地址解析回复时对地址解析表的维护的流程图。请注意这两个附图都涉及具有发起和目的地节点的地址解析回复消息,并且它们可以被替换为图8中的406,因此而不替换图5或图9。
类似于图5的实施例,依据图10的流程图操作的那些实施例检验(在1001)该回复的目的地节点在地址解析表中具有一个代表它的入口,并且如果这样的入口不存在,那么其在1002被创建。然后,发起节点的IP地址被列举在该入口的节点列表中并且代表它的时间戳被更新(参见1003、1004和1005)。在1006,关于目的地节点的IP地址的时间戳被更新,该目的地节点的IP地址出现在任何其他入口的节点列表中,以此来反映对由这些其他入口所表示的节点的间接更新。
在图11的实施例中,除了那些依照图10的实施例(1001至1006)被采用的步骤之外,额外的步骤也被采用来反映在该回复的源节点的转换表中发生的更新。如果在1101确定该转换表不包括代表该地址解析回复的源节点的入口,那么这种入口在1102被创建。然后发起节点的IP地址被列举在该入口的节点列表中并且代表它的时间戳被更新(参见1103、1104和1105)。
根据其他实施例,如果地址解析消息是单播地址解析回复和/或单播无偿的地址解析消息,那么图10或11方法的应用可以有变形,据此,1006被跳过,因此,与出现在其他入口的节点列表中的该消息的目的地节点的IP地址相关联的时间戳不被更新。
图12是根据本发明特定实施例图示当获取到广播的地址解析回复时所执行的操作的流程图。之前解释过广播的地址解析回复也可被认为是被传送到该广播域中在其转换表中包括关于该发起节点的项的节点。因此,在获取到这种广播的地址解析回复时,在其节点列表中包括该回复的发起节点的IP地址的所有地址解析表的入口都被检查(参见1202),并且对于它们中的任何一个(参见1203),关于该发起节点的IP地址的时间戳被更新(1204)。
进一步地理解根据本发明不同实施例地址解析表是如何维护的以响应获取到不同类型的地址解析消息,以及进一步理解图6的实施例及其多个替换方式,本领域技术人员应当明白受限节点(也被称作第一节点)可以不断地发布单播和/或广播的地址解析请求到该广播域中的不同节点。例如,在从受限节点的转换表中移除一个入口之前,该受限节点可以发送单播地址解析请求到节点的替代物理地址。根据一个不同的例子,在从受限节点的转换表中移除一个入口之后,该受限节点可以发送广播的地址解析请求,该请求尝试解析该广播域中的一个节点的地址,例如以与其重新通信。当使用例如网络检测器302从网络获取地址解析请求时,限制处理器306可以使用它例如来触发图6的方法(或任何它的可应用的替换方式),以此来继续限制该第一节点进行通信。此外,根据那些替代物理地址例如属于通信控制器307的实施例,当获取到地址解析请求时,通信控制器可以传送该请求、或者指示它的信息到限制处理器306以触发图6的方法(或任何它可以应用的替换方式)。可选地,根据其他实施例,作为等待第一节点的地址解析请求的替代,可以使限制处理器中具有一个短于该第一节点的ARP检查超时的限制计时器,或可选地,短于会话中ARP检查超时和会话外ARP检查超时中最短的,如果可应用的话。每当该定时器超时,图6的方法(或任何它的可应用的替换方式)就被触发,以此来自动地产生和传送地址解析回复到第一节点,以防止它发送地址解析请求到替代物理地址。后一个替换方式在那些替代物理地址是不存在的地址并使得该第一节点发送该地址解析请求到空白点的情况下也是可操作的(当通信控制器307,如果存在的话,不能传送该请求或指示它的信息给限制处理器306的话,那只是因为其没有获取到它)。此外,应当明白这种使得定时器短于该第一节点的ARP检查超时的替换方式中,该第一节点广播该地址解析请求,而不是将其直接传送到替代物理地址。由于自动产生和传送的地址解析回复,该第一节点的ARP检查超时将不会过期并且该第一节点将不会发布地址解析请求,或者是传送到通信控制器的物理地址,或者是传送到空白点,或者是广播到该广播域中的每个节点。
根据特定实施例,当从尝试解析一个受限节点的物理地址的请求节点获取到地址解析请求时,应当明白该解析请求应当包括受限节点的IP地址。返回到图5和/或9,如果该受限节点在地址解析表中没有入口,那么可为其创建新入口,并且该请求节点的IP地址与时间戳一起被添加到该受限节点的入口的节点列表中。此外,如果该请求节点在该表中没有入口,那么可为其创建新入口。该受限节点的IP地址与时间戳一起被添加到该请求节点的入口的节点列表中。然后,类似于图7的701、702、703和704,包括替代物理地址的第一地址解析回复被产生并被传送到该受限节点,以限制其通信。作为对第一地址解析请求的替代或补充,包括替代物理地址的第二地址解析回复可被产生并传送到请求节点,以限制与该受限节点的通信。
作为响应,当受限节点传送地址解析回复到请求节点(其为非受限的)时,在检测到该回复时,该限制装置可以操作以限制通信。该限制装置可以产生一个第一消息,将其传送到该受限节点(例如对应于图7中的701和702),和/或产生一个第二消息,将其传送到请求节点(例如对应于图7中的703和704),和/或其也可将该第二消息传送到那些通过该受限节点所发送的请求来间接更新的所有节点(例如对应于图7中的708到711)。
类似地,根据本发明特定实施例,当受限节点发送尝试解析网络中另一个节点的物理地址的地址解析请求时,该受限节点的IP地址被与时间戳一起添加到该另一个节点的入口的节点列表中(如果需要的话,这样的入口被创建),并且该另一个节点的IP地址被与时间戳一起添加到该受限节点的入口的节点列表中(如果需要的话,这样的入口被创建)。然后,对于列举在该受限节点的入口的节点列表中的每个目标节点,包括替代物理地址的第一和/或第二地址解析回复被产生并被发送到该受限节点和/或该另一节点。如前面那样,特定实施例可以在获取到除了地址解析请求之外的其他类型的地址解析消息时限制从该受限节点发出的通信或与该限受限节点的通信,该其他类型的地址解析消息比如是单播地址解析回复、广播的地址解析回复、无偿的地址解析消息(单播或广播的)等等。而且,为了限制其他节点与该受限节点进行通信,该第二地址解析回复也可被传送到那些由该受限节点的请求而间接更新的所有节点(例如对应于图7中的708至711)。
此外,本领域技术人员应当明白当该第一节点发送地址解析请求到目标节点时,在该目标节点获取到该请求之前经过了“第一时间间隔”。然后该目标节点处理该地址解析请求并将地址解析回复传送回该第一节点。从传送该地址解析请求到地址解析回复被第一节点获取所经过的时间间隔构成了“第二时间间隔”。返回到图7,如果限制装置传送第二地址解析回复到目标节点(参见704)快于该第一时间间隔,那么该目标节点可能在获取到该第二地址解析回复之后才获取到该第一节点的地址解析请求(即该受限节点的地址解析请求),因此重新更新它各个转换表以包括该第一节点的实际物理地址而不是替代地址,并绕过了该限制机制,形成了“第一绕过”。为了防止该第一绕过的发生,根据本发明特定实施例,可以不止一次地传送该第二地址解析回复,以确保第一次传送到最后一次传送之间所经过的时间间隔长于该第一时间间隔。
此外,如果该限制装置传送该第一地址解析回复到该第一节点(参见702),即到该受限节点,快于该第二时间间隔,那么该第一节点将在获取到该第一地址解析回复之后才获取到该目标节点的地址解析回复,因此重新更新它各个转换表以包括该目标节点的实际的物理地址而不是替代地址,并绕过该限制机制,形成了“第二绕过”。为了防止该第二绕过的发生,根据本发明特定实施例,可以不止一次地传送该第一地址解析回复,以确保第一次传送到最后一次传送之间所经过的时间间隔长于该第二时间间隔。
此外,根据替换实施例,作为产生和传送该第一和/或第二地址解析回复的替代,可以产生和传送第一和/或第二地址解析请求。在该第一地址解析请求中,该源IP地址是目标节点的IP地址,而该源物理地址是替代地址,因此,当传送该第一地址解析请求到第一节点之后,它将用绑定到目标节点的IP地址上的该替代物理地址来更新其转换表,以此来限制与其的通信。应注意,传送该第一地址解析请求是通过单播该请求来完成的,而不是广播它。因此,该第一地址解析请求也构成了“限制地址解析消息”。另一方面,在第二地址解析请求中,源IP地址是第一节点的IP地址,而源物理地址是替代地址,因此,在传送该第二地址解析请求到目标节点后,其将用绑定到第一节点的IP地址的该替代物理地址来更新其转换表,以此来限制与其的通信。应注意,传送该第二地址解析请求是通过单播该请求来完成的而不是广播它。因此,该第二地址解析请求也构成了“限制地址解析消息”。
参照图3,已经指出通信数据并不局限于地址解析通信。因此,应当明白当网络监测器302检测到另一类型的通信时,这指明了在该广播域中(该网络监测器操作在其中)至少有一个与另一个节点进行通信的节点。如果该至少一个节点是受限节点,并且该受限节点正与其进行通信的另一个节点具有不同于替代物理地址的物理地址,那么这表明需要采取进一步的操作以限制与该受限节点的通信。根据特定实施例,在这种情况下,地址解析表被保持为像一个请求被从该受限节点发送到该另一个节点一样。此外,第一和第二地址解析回复可被产生和传送到该受限节点和该另一个节点,类似于在获取到从该受限节点发送的地址解析请求之后进一步描述的操作,例如依照图7那样。
已经指出上面描述的实施例可被用于确保一个通信网络的安全。
应当理解根据本发明的系统可以是被合适编程的计算机。同样,本发明还想到一种用来执行本发明的方法的计算机可读的计算机程序。本发明进一步想到一种有形的机器可读存储器,其记录了可由执行本发明的方法的机器来执行的指令的程序。
本发明已经通过特定的特性角度被描述,但是本领域技术人员将很容易明白在不脱离下面的权利要求的范围的情况下可以做出各种改变和修改。
Claims (24)
1.一种用于限制IP(因特网协议)网络的广播域中的第一节点与一个或多个其他节点进行通信的方法,该第一节点和该一个或多个其他节点中的每一个都具有各自的转换表,该转换表将一IP地址映射为该第一节点和该一个或多个其他节点与之进行过通信的所有节点的各自的物理地址,其中该方法通过可操作地连接至IP网络的计算设备提供,该方法包括:
获取包括地址解析消息的通信数据;
接入代表了IP网络中地址解析活动的虚拟地址解析表;
响应于指示该第一节点正与其他节点进行通信的所述通信数据,通过使用存储在所述虚拟地址解析表中的信息而产生并传送一限制地址解析消息来限制该第一节点的通信,该限制地址解析消息包括一替代物理地址;以及
更新存储在该虚拟地址解析表中的信息以表示存储在转换表中的关于该第一节点和该一个或多个其他节点的信息的改变,其中更新存储在该虚拟地址解析表中的信息包括关于在IP网络上每个对应节点上运行的操作系统的更新。
2.根据权利要求1的方法,进一步包括在该限制地址解析消息内提供第一节点的IP地址。
3.根据权利要求1的方法,进一步包括传送该限制地址解析消息到第一节点和/或该一个或多个其他节点。
4.根据权利要求1的方法,进一步包括在该限制地址解析消息内提供该其他节点之一的IP地址。
5.根据权利要求1的方法,进一步包括更新存储在该虚拟地址解析表中关于对操作在该广播域中的节点中的转换表的间接更新的信息。
6.根据权利要求1的方法,进一步包括提供该地址解析消息作为地址解析请求、地址解析回复和无偿的地址解析消息。
7.根据权利要求1的方法,其中该替代物理地址是不存在的物理地址,即不存在于该广播域中。
8.根据权利要求1的方法,其中该替代物理地址是操作在该广播域中的一个节点的物理地址。
9.根据权利要求1的方法,其中该一个或多个其他节点是操作在该广播域中的所有其他节点。
10.根据权利要求1的方法,进一步包括从操作在该广播域中的所有节点之中选择一个或多个其他节点。
11.根据权利要求1的方法,进一步包括在一个或多个其他节点内提供至少一个操作在该广播域之外的节点。
12.根据权利要求1的方法,进一步包括提供地址解析消息作为通信数据,所述通信数据指示该第一节点正与其他节点进行通信。
13.一种用于限制IP(因特网协议)网络的广播域中的第一节点与一个或多个其他节点进行通信的方法,该第一节点和该一个或多个其他节点中的每一个都具有各自的转换表,该转换表将一IP地址映射为该第一节点和该一个或多个其他节点与之进行过通信的所有节点的各自的物理地址,其中该方法通过可操作地连接至IP网络的计算设备提供,该方法包括:
获取包括地址解析消息的通信数据;
接入代表了IP网络中地址解析活动的虚拟地址解析表;
响应于指示该第一节点正与其他节点进行通信的所述通信数据,通过使用存储在所述虚拟地址解析表中的信息而产生并传送一限制地址解析消息来限制该第一节点的通信,其中存储在该虚拟地址解析表中的信息包括关于在IP网络上每个对应节点上运行的操作系统保持的信息,该限制地址解析消息包括一替代物理地址;以及
提供非地址解析通信作为通信数据,所述通信数据指示该第一节点正与其他节点进行通信。
14.根据权利要求13的方法,进一步包括提供第三层通信作为非地址解析通信。
15.一种用于限制IP(因特网协议)网络的广播域中的第一节点与一个或多个其他节点进行通信的方法,该第一节点和该一个或多个其他节点中的每一个都具有各自的转换表,该转换表将一IP地址映射为该第一节点和该一个或多个其他节点与之进行过通信的所有节点的各自的物理地址,其中该方法通过可操作地连接至IP网络的计算设备提供,该方法包括:
获取包括地址解析消息的通信数据;
接入代表了IP网络中地址解析活动的虚拟地址解析表;
响应于指示该第一节点正与其他节点进行通信的所述通信数据,通过使用存储在所述虚拟地址解析表中的信息而产生并传送一限制地址解析消息来限制该第一节点的通信,该限制地址解析消息包括一替代物理地址;以及
响应于限制定时器的超时产生和传送限制地址解析消息;以及
由操作在所述第一节点上的操作系统所预定的ARP检查超时影响限制定时器。
16.一种用于维护代表网络中的虚拟地址解析活动的地址解析表的方法,其中该方法通过可操作地连接至IP网络的计算设备提供,该方法包括:
获取包括在第一节点和一个或多个其他节点之间交换的地址解析消息的通信数据,该第一节点和该一个或多个其他节点中的每一个都具有各自的转换表,该转换表将IP(因特网协议)地址映射为该第一节点和该一个或多个其他节点与之有过通信的所有节点的各自的物理地址;以及
更新存储在所述虚拟地址解析表中的信息以表示存储在该转换表中的关于该第一节点和该一个或多个节点的信息的改变,其中更新存储在该虚拟地址解析表中的信息包括关于在IP网络上每个对应节点上运行的操作系统的更新。
17.根据权利要求16的方法,从该虚拟地址解析表中删除代表一个或多个过期节点的信息。
18.一种用于限制IP(因特网协议)网络的广播域中的第一节点与一个或多个其他节点进行通信的装置,该第一节点和该一个或多个其他节点中的每一个都具有各自的转换表,该转换表将IP地址映射为该第一节点和该一个或多个其他节点与之进行过通信的所有节点的各自的物理地址,该装置包括:
网络监视器,被配置为用于获取包括地址解析消息的通信数据;以及
限制处理器,连接到所述网络监视器并接入代表IP网络中的地址解析活动的虚拟地址解析表,所述限制处理器响应于指示该第一节点正与其他节点进行通信的所述通信数据,而且所述限制处理器被配置为用于通过使用存储在该虚拟地址解析表中的信息而产生并传送限制地址解析消息来限制该第一节点的通信,其中存储在该虚拟地址解析表中的信息包括关于在IP网络上每个对应节点上运行的操作系统保持的信息,所述限制地址解析消息包括替代物理地址;以及
表管理器,其耦合到所述网络监视器并响应于指示该第一节点正与一个或多个其他节点进行通信的通信数据,所述表管理器被配置为更新存储在该虚拟地址解析表中的信息以表示对存储在该转换表中的关于该第一节点和该一个或多个其他节点的信息的改变。
19.根据权利要求18的装置,其中该限制处理器被配置为用于产生限制地址解析消息,该限制地址解析消息除了包括该替代物理地址之外还包括第一节点的IP地址。
20.根据权利要求18的装置,其中该限制地址解析消息被传送到一个或多个其他节点。
21.根据权利要求18的装置,其中该限制处理器被配置为用于产生一个限制地址解析消息,该限制地址解析消息除了包括该替代物理地址之外还包括其他节点中的一个的IP地址。
22.根据权利要求18的装置,其中该限制地址解析消息被传送到第一节点。
23.一种用于限制IP(因特网协议)网络的广播域中的第一节点与一个或多个其他节点进行通信的装置,该第一节点和该一个或多个其他节点中的每一个都具有各自的转换表,该转换表将IP地址映射为该第一节点和该一个或多个其他节点与之进行过通信的所有节点的各自的物理地址,该装置包括:
网络监视器,被配置为用于获取包括地址解析消息的通信数据;以及
限制处理器,连接到所述网络监视器并接入代表IP网络中的地址解析活动的虚拟地址解析表,所述限制处理器响应于指示该第一节点正与其他节点进行通信的所述通信数据,而且所述限制处理器被配置为用于通过使用存储在该虚拟地址解析表中的信息而产生并传送限制地址解析消息来限制该第一节点的通信,所述限制地址解析消息包括替代物理地址;以及
表管理器,其耦合到所述网络监视器并响应于指示该第一节点正与一个或多个其他节点进行通信的通信数据,所述表管理器被配置为更新存储在该虚拟地址解析表中关于在IP网络上每个对应节点上运行的操作系统的信息。
24.一种用于维护代表网络中的地址解析活动的虚拟地址解析表的装置,该装置包括:
网络监视器,包括非瞬态计算机可读介质,存储计算机可读程序代码,用于使得计算机获取包括在第一节点和一个或多个其他节点之间交换的地址解析消息的通信数据,该第一节点和该一个或多个其他节点中的每一个都具有各自的转换表,该转换表将IP(因特网协议)地址映射为该第一节点和该一个或多个其他节点与之有过通信的所有节点的各自的物理地址;以及
表管理器,耦合到所述网络监视器并响应于指示该第一节点正与其他节点进行通信的通信数据,所述表管理器包括非瞬态计算机可读介质,存储计算机可读程序代码,用于使得计算机更新存储在所述虚拟地址解析表中的信息以表示存储在该转换表中的关于该第一节点和该一个或多个节点的信息的改变,其中所述表管理器被配置为更新存储在该虚拟地址解析表中的关于在该网络上每个对应节点上运行的操作系统的信息。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US87427306P | 2006-12-12 | 2006-12-12 | |
US60/874,273 | 2006-12-12 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2007800511950A Division CN101611608A (zh) | 2006-12-12 | 2007-11-07 | 用于限制ip(因特网协议)网络的广播域中一个节点与其他节点进行通信的方法和系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103458061A true CN103458061A (zh) | 2013-12-18 |
Family
ID=39512173
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2007800511950A Pending CN101611608A (zh) | 2006-12-12 | 2007-11-07 | 用于限制ip(因特网协议)网络的广播域中一个节点与其他节点进行通信的方法和系统 |
CN2013100841445A Pending CN103458061A (zh) | 2006-12-12 | 2007-11-07 | 用于限制ip网络的广播域中节点通信的方法和系统 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2007800511950A Pending CN101611608A (zh) | 2006-12-12 | 2007-11-07 | 用于限制ip(因特网协议)网络的广播域中一个节点与其他节点进行通信的方法和系统 |
Country Status (4)
Country | Link |
---|---|
US (1) | US8369346B2 (zh) |
EP (1) | EP2127309A2 (zh) |
CN (2) | CN101611608A (zh) |
WO (1) | WO2008072220A2 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108430038A (zh) * | 2018-01-29 | 2018-08-21 | 盾钰(上海)互联网科技有限公司 | 基于蓝牙多端对多端通讯的方法及系统 |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8261351B1 (en) | 2008-01-22 | 2012-09-04 | F5 Networks, Inc. | DNS flood protection platform for a network |
US20100318633A1 (en) * | 2009-06-16 | 2010-12-16 | Microsoft Corporation | Dynamic Time Weighted Network Identification and Fingerprinting for IP Based Networks Based on Collection |
BR112012005749A2 (pt) * | 2009-09-16 | 2019-09-24 | Siemens Ag | método de execução de uma subestação de um sistema de fornecimento de energia elétrica |
GB2494136B (en) * | 2011-08-30 | 2018-07-11 | Metaswitch Networks Ltd | Processing requests |
US9009220B2 (en) * | 2011-10-14 | 2015-04-14 | Mimecast North America Inc. | Analyzing stored electronic communications |
WO2014132954A1 (ja) * | 2013-02-26 | 2014-09-04 | 日本電気株式会社 | 通信システム、制御装置、通信方法及びプログラム |
CN104811321A (zh) * | 2015-05-11 | 2015-07-29 | 杭州迈可行通信股份有限公司 | 一种ip广播系统装置的实现方法 |
US9935862B2 (en) | 2015-09-08 | 2018-04-03 | At&T Intellectual Property I, L.P. | Low-impact proactive monitoring of customer access to virtualized network elements in a cloud platform |
US10776520B2 (en) * | 2015-09-14 | 2020-09-15 | Northwestern University | System and method for proxy-based data access mechanism in enterprise mobility management |
US9917754B2 (en) * | 2015-11-16 | 2018-03-13 | International Business Machines Corporation | Management of decommissioned server assets in a shared data environment |
US10440044B1 (en) * | 2018-04-08 | 2019-10-08 | Xm Cyber Ltd. | Identifying communicating network nodes in the same local network |
US11082505B2 (en) * | 2019-07-29 | 2021-08-03 | Cisco Technology, Inc. | Dynamic discovery of available storage servers |
US20220294781A1 (en) * | 2021-03-10 | 2022-09-15 | Ciena Corporation | Preventing network discovery by untrusted devices |
CN115484227B (zh) * | 2022-08-31 | 2024-03-08 | 湖南锐思华创科技有限公司 | 一种hud自动适配方法、系统、装置及车辆 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6961336B2 (en) * | 2001-03-06 | 2005-11-01 | Watchguard Technologies, Inc. | Contacting a computing device outside a local network |
US7124197B2 (en) * | 2002-09-11 | 2006-10-17 | Mirage Networks, Inc. | Security apparatus and method for local area networks |
US7448076B2 (en) * | 2002-09-11 | 2008-11-04 | Mirage Networks, Inc. | Peer connected device for protecting access to local area networks |
JP4174392B2 (ja) * | 2003-08-28 | 2008-10-29 | 日本電気株式会社 | ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置 |
KR100432675B1 (ko) * | 2003-09-19 | 2004-05-27 | 주식회사 아이앤아이맥스 | 네트워크상의 장비들 간의 통신제어방법 및 이를 위한 장치 |
EP2372954B1 (en) | 2003-11-28 | 2014-01-08 | Insightix Ltd | Method and system for collecting information relating to a communication network |
US8255996B2 (en) * | 2005-12-30 | 2012-08-28 | Extreme Networks, Inc. | Network threat detection and mitigation |
US20070192858A1 (en) * | 2006-02-16 | 2007-08-16 | Infoexpress, Inc. | Peer based network access control |
-
2007
- 2007-11-07 WO PCT/IL2007/001350 patent/WO2008072220A2/en active Application Filing
- 2007-11-07 US US12/518,807 patent/US8369346B2/en active Active
- 2007-11-07 CN CNA2007800511950A patent/CN101611608A/zh active Pending
- 2007-11-07 CN CN2013100841445A patent/CN103458061A/zh active Pending
- 2007-11-07 EP EP07827323A patent/EP2127309A2/en not_active Ceased
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108430038A (zh) * | 2018-01-29 | 2018-08-21 | 盾钰(上海)互联网科技有限公司 | 基于蓝牙多端对多端通讯的方法及系统 |
CN108430038B (zh) * | 2018-01-29 | 2019-09-06 | 盾钰(上海)互联网科技有限公司 | 基于蓝牙多端对多端通讯的方法及系统 |
US10972907B2 (en) | 2018-01-29 | 2021-04-06 | Fengping ZHAO | Method and system for Bluetooth-based multi-end to multi-end communication |
Also Published As
Publication number | Publication date |
---|---|
CN101611608A (zh) | 2009-12-23 |
US8369346B2 (en) | 2013-02-05 |
EP2127309A2 (en) | 2009-12-02 |
US20100027551A1 (en) | 2010-02-04 |
WO2008072220A2 (en) | 2008-06-19 |
WO2008072220A3 (en) | 2008-10-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103458061A (zh) | 用于限制ip网络的广播域中节点通信的方法和系统 | |
JP5364671B2 (ja) | ネットワーク認証における端末接続状態管理 | |
CN101827134B (zh) | 自动释放为宽带接入网内的用户设备保留的资源 | |
US8214537B2 (en) | Domain name system using dynamic DNS and global address management method for dynamic DNS server | |
US20160191364A1 (en) | Communication device, server device, communication method, and non-transitory computer readable medium | |
JP4902878B2 (ja) | リンク管理システム | |
US20110047261A1 (en) | Information communication apparatus, information communication method, and program | |
CN102118398B (zh) | 访问控制方法、装置及系统 | |
US7701934B2 (en) | System and method for managing devices within a private network via a public network | |
CN104662848B (zh) | 用于动态域名系统(ddns)的方法和系统 | |
CN102598637B (zh) | 通信系统 | |
CN103188153A (zh) | 一种广播网链路上bfd报文发送方法和设备 | |
CN112217911A (zh) | 一种基于服务器的本地地址分配协议的方法和装置 | |
CN101771529A (zh) | 终端装置、中继装置、处理方法和记录介质 | |
EP3188492A1 (en) | Multicast security control method and device based on dns | |
US8276204B2 (en) | Relay device and relay method | |
CN102594938A (zh) | Portal二次地址认证方法和装置 | |
CN102656846A (zh) | 通信系统、通信设备、通信控制方法和非瞬时计算机可读介质 | |
JP5310734B2 (ja) | 通信装置、通信装置の制御方法、及びネットワークシステム | |
CN105025028A (zh) | 基于流量分析的ip黑洞发现方法 | |
JP4526127B2 (ja) | 帯域内管理網における管理トラヒックを再送する通信方法、装置及びプログラム | |
US20180270319A1 (en) | Network device, wireless communication terminal and non-transitory computer readable medium | |
JP2007166234A (ja) | Ipアドレス管理方法及び当該方法を用いた遠隔監視装置 | |
CN103595629A (zh) | 一种irdp网络中主机网关快速切换的方法和装置 | |
JP2005033427A (ja) | ネットワーク品質測定方法およびサーバ |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20131218 |