CN113132342B - 方法、网络装置、隧道入口点装置及存储介质 - Google Patents
方法、网络装置、隧道入口点装置及存储介质 Download PDFInfo
- Publication number
- CN113132342B CN113132342B CN202011183855.4A CN202011183855A CN113132342B CN 113132342 B CN113132342 B CN 113132342B CN 202011183855 A CN202011183855 A CN 202011183855A CN 113132342 B CN113132342 B CN 113132342B
- Authority
- CN
- China
- Prior art keywords
- header information
- network
- ipv4
- ipv6
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/32—Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2592—Translation of Internet protocol [IP] addresses using tunnelling or encapsulation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/686—Types of network addresses using dual-stack hosts, e.g. in Internet protocol version 4 [IPv4]/Internet protocol version 6 [IPv6] networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及方法、网络装置、隧道入口点装置及存储介质。示例网络装置经由网络隧道接收封装的网络分组;从封装的网络分组中提取IPv6报头信息;从封装的网络分组中提取IPv4报头信息;基于IPv6报头信息和IPv4报头信息,确定封装的网络分组是冒名顶替的网络分组;并且响应于检测到冒名顶替的网络分组,向隧道入口点(TEP)装置发送消息,该消息包括表示IPv6报头信息和IPv4报头信息的数据。隧道入口点(TEP)装置可以接收该消息,并使用该消息来检测冒名顶替的IPv6流量,例如,当封装分组的IPv6报头和IPv4报头与消息中指定的IPv6报头和IPv4报头匹配时。以这种方式,TEP装置可以阻止、速率限制或重定向冒名顶替的网络流量。
Description
技术领域
本公开涉及计算机网络,并且更具体地,涉及防止计算机网络内的攻击。
背景技术
计算机网络是交换数据和共享资源的互连计算装置的集合。在基于分组的网络(例如,互联网)中,计算装置通过将数据分成称为分组的小块来传送数据。分组使用互联网协议(IP)地址和传输控制协议(TCP)通过网络从源装置单独路由到目的装置。目的装置从分组中提取数据,并将数据组装成原始形式。将数据分成分组,使得源装置能够仅重新发送那些在传输期间可能丢失的单个分组。
专用网络可以包括由单个企业拥有或管理的多个装置,例如,计算机。这些装置可以被分组到多个站点网络中,这些站点网络又可以在地理上分布在广阔的区域中。每个站点网络可以包括一个或多个局域网(LAN)。随着虚拟专用网(VPN)技术的出现,企业现在可以通过公共网络(例如,互联网)在站点网络之间安全地共享数据。在一个典型的实现中,一个或多个“网络隧道”通过中间网络被设计成在地理上分布的站点之间传输数据和其他网络通信。
IP版本4(IPv4)是至今仍在使用的IP的早期版本。IP版本6(IPv6)是至今也在使用的较新版本的IP。因为有些网络使用IPv4,而其他网络使用IPv6,所以许多计算机网络将IPv4分组封装到IPv6分组中,反之亦然,以便分别在使用IPv6或IPv4的网络中传输。例如,两个站点网络可以使用IPv4,在两个站点网络之间传输数据的网络隧道可以使用IPv6。结果,网络装置可以使用具有封装的地址和端口映射(MAP-E)或其他中继技术,以将IPv4分组封装成IPv6分组以便在IPv6网络隧道内传输。在可在https://tools.ietf.org/html/rfc7597处获得的O.Troan、Ed.等人的“Mapping of Address and Port withEncapsulation(MAP-E)”RFC 7597,2015年7月中讨论更多关于MAP-E的细节,其全部内容通过引用结合于此。
传统隧道入口点(TEP)路由器假定任何给定的上游计算装置都可以受“信任”,来仅发送有效的封装分组。然而,这带来了潜在的安全漏洞,因为TEP路由器可能会从恶意源接收封装的分组。即,恶意源可以通过将无效的IPv4分组封装到具有有效IPv6报头信息的IPv6分组中,来“冒名顶替(spoof)”上游计算装置。当接收站点网络的MAPE-E边界中继(BR)装置试图通过丢弃封装的分组来防止冒名顶替时,在该封装的分组中,来自IPv6报头的源地址和端口号与封装的IPv4分组中的源地址和端口号不相关,此时,因为封装的分组已经通过隧道网络传输而已经消耗了网络资源。这使得这些网络容易受到分布式拒绝服务(DDoS)攻击。
发明内容
通常,本公开描述了触发网络隧道的安全动作以防止冒名顶替的技术。具体地,描述了用于扩展流规范(FlowSpec)以包括要匹配的封装分组的外部报头类型和内部报头类型组件的技术,以触发一个或多个安全动作。例如,网络装置(例如,路由器、边界中继(BR)装置)终止网络隧道,以向隧道入口点(TEP)装置发送扩展的FlowSpec消息(例如,分组流规范),该消息具有基于关于在网络装置处检测到的一个或多个冒名顶替分组的信息,在TEP装置处丢弃、速率限制或重定向未来分组的指示。FlowSpec消息可以是包括封装分组的IPv4和IPv6 NLRI类型的边界网关协议(BGP)网络层可达信息(NLRI)消息。在一些示例中,网络装置可以为每个CPE隧道的检测到的冒名顶替分组的数量保持相应的计数,并且可以响应于确定相应的计数超过一个或多个阈值,触发FlowSpec消息的传输和/或其他安全动作。例如,如果超过较小阈值,则网络装置可以在网络装置处记录关于冒名顶替分组的信息,如果超过中间阈值(大于较小阈值),则在网络装置处丢弃冒名顶替分组,和/或如果超过较大阈值(大于中间阈值),则向TEP装置发送消息。
在一个示例中,一种方法包括:在网络装置处经由网络隧道接收封装的网络分组;由网络装置从封装的网络分组中提取IPv6报头信息;由网络装置从封装的网络分组中提取IPv4报头信息;由网络装置确定封装的网络分组是冒名顶替的网络分组,包括:由网络装置根据IPv4报头信息确定相应的IPv6报头信息;由网络装置将提取的IPv6报头信息与确定的相应IPv6报头信息进行比较;并且由网络装置确定提取的IPv6报头信息与确定的相应IPv6报头信息不匹配;并且响应于检测到冒名顶替的网络分组,向隧道入口点(TEP)装置发送包括表示IPv6报头信息和IPv4报头信息的数据的消息。
在另一示例中,一种方法包括:在隧道入口点(TEP)装置处,从网络装置接收包括表示IPv6报头信息和IPv4报头信息的数据的消息;在TEP装置处接收封装的网络分组;由TEP装置确定封装的网络分组是冒名顶替的网络分组,包括:将IPv6报头信息与封装分组的外部报头信息进行匹配;将IPv4报头信息与封装分组的内部报头信息进行匹配;并且响应于检测到冒名顶替的网络分组,在TEP装置处丢弃封装的网络分组。
在另一示例中,一种存储有指令的计算机可读存储介质,指令在被执行时使得网络装置的处理器:经由网络隧道接收封装的网络分组;从封装的网络分组中提取IPv6报头信息;从封装的网络分组中提取IPv4报头信息;从IPv6报头信息中确定相应的IPv4报头信息;将IPv4报头信息和相应的IPv4报头信息进行比较;基于IPv6报头信息与IPv4报头信息不匹配,确定封装的网络分组是冒名顶替的网络分组;并且响应于检测到冒名顶替的网络分组,向隧道入口点(TEP)装置发送表示IPv6报头信息和IPv4报头信息的数据的消息。
在附图和以下描述中阐述一个或多个示例的细节。从说明书和附图以及权利要求书中,其他特征、目的和优点将变得显而易见。
附图说明
图1是示出根据本公开的技术的包括边界中继(BR)装置的示例系统的框图,该边界中继装置检测冒名顶替的分组并执行安全动作。
图2是示出根据本公开的技术的网络装置的组件的示例设置的框图。
图3A是示出根据本公开的技术的概念IPv4分组的框图。
图3B是示出根据本公开的技术的概念封装的IPv6分组的框图。
图4是示出根据本公开的技术的触发针对冒名顶替的安全动作的示例方法的流程图。
图5是示出根据本公开的技术的用于执行针对冒名顶替的安全动作的示例操作的流程图。
图6A是示出根据本公开的技术的示例消息模板的示图。
图6B是示出根据本公开的技术的从网络装置到上游装置的示例消息数据的示图。
图7A是示出根据本公开的技术的示例消息模板的示图。
图7B是示出根据本公开的技术的从网络装置到上游装置的示例消息数据的示图。
图8A是示出根据本公开的技术的示例消息模板的示图。
图8B是示出根据本公开的技术的从网络装置到上游装置的示例消息数据的示图。
图9是示出根据本公开的技术的应对冒名顶替的示例操作的流程图。
图10A、图10B、图10C是示出根据本公开的技术的将来自消息的报头信息与来自封装分组的相应报头信息进行匹配的示例操作的流程图。
具体实施方式
图1是示出根据本公开的技术的包括网络装置(ND)110的示例系统的框图,该网络装置110检测冒名顶替分组并执行安全动作。通常,客户装置(CD)102可以经由中间网络108向目的网络114内的目的装置(未示出)发送分组流。出于解释的目的,假设目的网络114包括将分组流量导向目的装置的路由器或交换机。在一些示例中,客户装置102可以是源网络(未示出)的一部分。源网络和目的网络114可以使用IP版本4(IPv4),以及中间网络108可以使用IP版本6(IPv6)。为了将分组流传输到目的网络114,客户驻地设备(CPE)104(或源网络)可以将IPv4分组封装成IPv6分组(反之亦然),以便经由网络隧道116通过中间网络108传输。在一些示例中,CPE 104还可以被配置为将封装的IPv6分组解封为IPv4分组(反之亦然)。
例如,客户装置102可以耦接(例如,经由数据链路)到CPE 104,该CPE 104可以被配置为在使用具有封装的地址和端口的映射(MAP-E)部署中充当客户边缘路由器。在一些示例中,CPE 104可以从CD 102接收一个或多个IPv4分组,并且基于IPv4分组报头信息(例如,使用MAP-E)将那些一个或多个IPv4分组封装成一个或多个IPv6分组。例如,CPE 104可以根据来自IPv4报头信息的IPv4源地址和IPv4源端口号来确定IPv6源地址(例如,使用网络地址和端口转换(NAPT)或其他地址映射技术)。类似地,CPE 104可以基于IPv4目的地址以及可选地来自IPv4报头信息的目的端口号来确定IPv6目的地址。一个或多个封装的分组传输(例如,经由数据链路)到隧道入口点(TEP)装置106,隧道入口点装置106基于一个或多个封装的分组的IPv6报头信息,通过网络隧道116将一个或多个封装的分组转发到网络装置110。在可在https://tools.ietf.org/html/rfc7597处获得的O.Troan、Ed.等人的“Mapping of Address and Port with Encapsulation(MAP-E)”,RFC 7597,2015年7月中可以找到关于MAP-E的进一步示例细节,其全部内容通过引用结合于此。尽管在本文使用如MAP-E描述用于通过中间网络108传输IPv4分组的技术,但是这些技术也可以使用其他中继技术,例如,6over4、6to4、站内自动隧道寻址协议(ISATAP)、或IPv6快速部署在IPv4基础设施上(6rd)。
在一些示例中,网络装置110包括终止网络隧道116并将中间网络108连接到目的网络114的路由器。在一些示例中,来自CPE 104(或来自通过中间网络108传输分组流量的其他CPE)的所有封装的分组流量被转发到轴辐式配置中的网络装置110。在一些示例中,网络装置110包括处于“网状”模式配置的目的网络114的CPE。无论哪种方式,网络装置110从接收到的封装的分组中解封IPv4分组,并基于IPv4报头信息将IPv4分组转发到目的网络114。
在一些示例中,网络装置110可以对接收到的封装分组执行分组验证,以帮助防止冒名顶替。例如,网络装置110可以从封装分组中提取IPv6报头信息和IPv4报头信息,并比较该报头信息,以确定封装分组是否有效。在一些示例中,网络装置110可以根据IPv4报头信息的IPv4源地址和IPv4源端口来确定相应的IPv6源地址,并且将相应的IPv6源地址与来自封装分组的IPv6报头信息的IPv6源地址进行比较,并且确定相应的IPv6源地址是否与封装分组的IPv6源地址匹配(例如,相关联)。在其他示例中,网络装置110可以从封装分组的IPv6报头信息的IPv6源地址中提取相应的IPv4源地址和相应的IPv4源端口号,并确定相应的IPv4源地址和相应的IPv4源端口号是否与封装分组的IPv4报头信息的IPv4源地址和IPv4源端口号相关联。无论哪种方式,网络装置110将确定IPv6报头信息是否与封装分组的IPv4报头信息匹配(例如,相关联)。如果IPv6报头信息与封装分组的IPv4报头信息匹配(例如,相关联),则封装分组有效,并且网络装置110可以将封装分组转发到目的网络114。
如果IPv6报头信息与封装分组的IPv4报头信息不相关,则封装分组是无效的冒名顶替分组,因为它源自未知源(例如,除了CD 102或CPE 104之外),并且网络装置110可以执行一个或多个安全动作。在一些示例中,网络装置110可以避免将该IPv4分组转发到目的网络114,并且丢弃封装分组。在一些示例中,网络装置110可以对封装分组进行速率限制或重定向。在一些示例中,网络装置110可以经由对等会话(例如,使用外部边界网关协议(eBGP)、内部BGP(iBGP)、多协议BGP(MP-BGP)或任何其他边界网关协议)向TEP装置106发送消息118,该消息118具有基于从冒名顶替的封装分组中提取的IPv4分组报头信息和IPv6分组报头信息在TEP装置106处丢弃、速率限制或重定向未来分组的指示。在一些示例中,网络装置110可以经由其他对等会话向其他TEP装置发送(例如,广播)相同的消息118。以这种方式,网络装置110可以帮助防止分布式拒绝服务(DDoS)。
在一些示例中,消息118可以包括边界网关协议网络层可达信息(NLRI)消息。例如,消息118可以扩展流规范(FlowSpec),以包括要匹配的封装分组的外部(例如,IPv6)报头类型和内部(例如,IPv4)报头类型组件。具体地,消息118可以包括一个或多个外部报头类型组件(例如,源IPv6地址或目的IPv6地址)以及一个或多个内部报头类型组件,例如,IPv4协议、源IPv4地址、源IPv4端口号、目的IPv4地址或目的IPv4端口号。在一些示例中,消息118可以包括访问控制列表(ACL)动作或规则,用于基于外部和内部报头信息过滤冒名顶替的封装分组。无论哪种方式,消息118可以定义封装分组的IPv6报头和/或IPv4报头值的组合,以在TEP装置106处丢弃、速率限制或重定向。以这种方式,冒名顶替的分组将不会不必要地消耗中间网络108的网络资源。
在一些示例中,网络装置110可以为每个CD、CPE、TEP和/或网络隧道保持相应的冒名顶替分组计数,并且每当在网络装置110处检测到据称来自该CD、CPE、TEP或网络隧道的冒名顶替分组时,递增相应的冒名顶替分组计数。例如,网络装置110可以保持CPE 104的第一冒名顶替分组计数,并且网络装置110可以针对其检测到的据称来自CPE 104的每个冒名顶替的封装分组,递增该第一冒名顶替分组计数。在一些示例中,网络装置110执行的一个或多个安全动作可以取决于相应的冒名顶替分组计数的值。例如,如果超过较小阈值,则网络装置110可以在网络装置110处记录关于冒名顶替分组的信息,如果超过中间阈值(大于较小阈值),则在网络装置110处丢弃冒名顶替分组,和/或如果超过较大阈值(大于中间阈值),则向TEP装置106(以及可选地,其他对等TEP装置)发送消息118。以这种方式,在消耗中间网络108和/或网络隧道116处的网络资源之前,网络装置110可以帮助防止TEP 106处的拒绝服务(DoS)攻击或DDoS攻击。
图2是示出根据本公开的技术的网络装置110的组件的示例设置的框图。图2是示出网络装置110(图1)的组件的示例设置的框图。在图2的示例中,网络装置110包括输入网络接口30、控制单元32、封装分组处理模块34、嵌套报头比较单元28、消息生成单元36、转发组件31、输出网络接口38、TEP网络装置接口42和安全管理模块45。虽然在图2的示例中描绘了三个不同的网络接口,但是其他示例可以包括执行归属于输入网络接口30、输出网络接口38和/或TEP网络装置接口42的功能的单个网络接口。
安全管理模块45呈现用户接口,管理员43通过该用户接口配置网络装置110。例如,管理员43可以配置网络装置110以监控企业网络的特定子网。此外,安全管理模块45呈现用户接口,通过该用户接口管理员43可以指定攻击定义44,安全管理模块45将该攻击定义44转发给嵌套报头比较单元28。在一个示例中,攻击定义44包括复合攻击定义。在一些示例中,可以由管理员43经由由安全管理模块45呈现的另一用户接口查看日志数据48(例如,包括对应于在网络装置110处接收的冒名顶替封装分组的IPv6报头信息和/或IPv4报头信息)来确定攻击定义44。此外,安全管理模块45可以呈现用户接口,通过该用户接口管理员43可以修改关于分组流特征的假设,例如,用于监控的最高优先级分组流、应用的端口绑定、或者确定与分组流相关联的应用和协议的类型的其他特征。
在所示的示例中,网络装置110包括转发平面23,该转发平面透明地监控入站网络流量25(例如,封装的IPv6分组),并转发网络流量作为出站网络流量26(例如,IPv4分组)。在图2所示的示例中,转发平面23包括输入网络接口30、封装分组处理模块34、嵌套报头比较单元28、多个消息生成单元36、转发组件31、输出网络接口38和TEP网络装置接口42。
网络装置110包括执行封装分组处理模块34、嵌套报头比较单元28、消息生成单元36和转发组件31的控制单元32。控制单元32可以包括用于执行属于控制单元32的功能的硬件、固件和/或软件的任意组合。例如,控制单元32可以包括执行存储在计算机可读存储介质中的指令的可编程处理器。网络装置110可以包括用针对封装分组处理模块34、嵌套报头比较单元28、消息生成单元36和/或转发组件31的指令编码的计算机可读存储介质。或者,封装分组处理模块34、嵌套报头比较单元28、消息生成单元36和/或转发组件31可以包括分立的硬件单元,例如,数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、或任何其他等效集成或分立的逻辑电路、或硬件、固件和/或软件的任何组合。
通常,封装分组处理模块34从接收到的封装IPv6分组中解封IPv4分组。具体地,封装分组处理模块34从在输入网络接口30接收的封装分组(例如,使用MAP-E)中提取外部IPv6报头信息、内部IPv4报头信息和IPv4分组。外部IPv6报头信息可以包括IPv6源地址或IPv6目的地址。IPv4报头信息可以包括五元组(例如,源IPv4地址、目的IPv4地址、源IPv4端口、目的IPv4端口、IPv4协议)。
嵌套报头比较单元28检查嵌套的分组报头信息,以识别冒名顶替的封装分组。在一些示例中,嵌套报头比较单元28可以确定提取的外部IPv6报头是否与内部IPv4报头信息匹配(例如,相关联)。例如,嵌套报头比较单元28可以根据IPv4报头信息的IPv4源地址和IPv4源端口来确定相应的IPv6源地址,并且将相应的IPv6源地址与来自封装分组的IPv6报头信息的IPv6源地址进行比较,并且确定相应的IPv6源地址是否与封装分组的IPv6源地址匹配(例如,相关联)。在其他示例中,嵌套报头比较单元28可以从封装分组的IPv6报头信息的IPv6源地址中导出(或提取)相应的IPv4源地址和相应的IPv4源端口号,并且确定从IPv6报头信息中导出的相应的IPv4源地址和相应的IPv4源端口号是否与来自封装分组的内部IPv4报头信息的IPv4源地址和IPv4源端口号相关联。如果IPv6报头信息与封装分组的IPv4报头信息不相关联,则封装分组是无效的冒名顶替分组,因为它来自未知来源。在一些示例中,嵌套报头比较单元28和/或安全管理模块45在计数数据50中保持一个或多个冒名顶替分组计数,每当嵌套报头比较单元28检测到冒名顶替分组时,这些冒名顶替分组计数递增。在一些示例中,如果计数数据50中的冒名顶替分组计数超过特定阈值(例如,如上文参考图1所述),则安全管理模块45检测到DoS攻击或DDoS攻击。当嵌套报头比较单元28检测到冒名顶替分组时,嵌套报头比较单元28可以执行编程的响应(例如,安全动作),例如,向安全管理模块45发送警报41或者指示转发组件31丢弃、速率限制或重定向分组流的分组。嵌套报头比较单元28还可以对分组流进行速率限制,即,将对应于检测到的冒名顶替分组的网络会话节流到某个位率,例如,10Mbits/秒。在一些示例中,警报41可以包括外部IPv6报头信息、内部IPv4报头信息或关于网络会话或冒名顶替分组的其他信息。安全管理模块45可以在日志数据48中记录关于冒名顶替分组的信息,基于警报41在计数数据50中递增一个或多个相应的冒名顶替分组计数,和/或触发消息生成单元36。
消息生成单元36可以构建消息118,以发送到其他网络装置,例如,TEP装置或其他上游路由器,以阻止或以其他方式响应来自源网络装置的分组流,对于该分组流,嵌套报头比较单元28基于从冒名顶替封装分组中提取的IPv4分组报头信息和IPv6分组报头信息检测到冒名顶替分组(例如,如上参考图1所述)。在一些示例中,消息118可以包括TEP装置106从封装分组中提取IPv4报头信息/值所必需的数据(例如,如下面参考图6A至图8B和图10A至图10C所述)。以这种方式,可以在TEP(例如,TEP装置106)或其他上游路由器处丢弃、速率限制或重定向冒名顶替分组,以减少不必要的网络资源消耗。
在检测到冒名顶替分组的情况下,嵌套报头比较单元28向安全管理模块45输出警报41,用于记录和进一步分析。此外,嵌套报头比较单元28可以根据策略定义采取附加动作,例如,输出消息118、丢弃与通信会话相关联的分组、限制通信会话的速率、重定向分组、自动关闭通信会话或其他动作。如果对于给定的通信会话没有检测到冒名顶替分组,则转发组件31继续转发对等体之间的分组流。转发组件31可以例如保持路由表,该路由表根据企业网络的拓扑存储路由,用于转发分组流。
在一些示例中,网络装置110的嵌套报头比较单元28和/或安全管理模块45可以在计数数据50中保持用于CD、CPE、TEP和/或网络隧道的相应的冒名顶替分组计数,并且每当嵌套报头比较单元28检测到冒名顶替分组时,递增相应的冒名顶替分组计数。例如,安全管理模块45可以保持用于CPE 104的第一冒名顶替分组计数,并且安全管理模块45可以针对嵌套报头比较单元28检测到的据称来自CPE 104的每个冒名顶替封装分组,递增该第一冒名顶替分组计数(例如,响应于接收到警报41)。在一些示例中,由网络装置110执行的一个或多个安全动作或编程的响应,可以取决于相应的冒名顶替分组计数的值。例如,如果超过较小阈值,则网络装置110可以在网络装置110处记录关于冒名顶替分组的信息,如果超过中间阈值(大于较小阈值),则指示转发组件31丢弃冒名顶替分组,和/或如果超过较大阈值(大于中间阈值),则触发消息生成单元36以生成消息118并将其发送给TEP装置106(以及可选地,其他对等TEP装置)。以这种方式,在消耗中间网络108和/或网络隧道116处的网络资源之前,网络装置110可以帮助防止TEP 106处的拒绝服务(DoS)攻击或分布式拒绝服务(DDoS)攻击。
图3A是示出根据本公开的技术的概念IPv4分组300的框图。在这个示例中,IPv4分组300包括IPv4报头302和IPv4有效载荷。IPv4报头302可以包括IPv4版本(即,4)、协议(例如,传输控制协议(TCP)、用户数据报协议(UDP)、IPv6封装(ENCAP))、报头校验和、32位IPv4源地址和32位IPv4目的地址等。IPv4有效载荷304包括将由IPv4分组300传输的数据。IPv4有效载荷304的内容取决于所使用的协议。在一些示例中,取决于所使用的协议,IPv4报头302或IPv4有效载荷可以包括源端口号和/或目的端口号。
图3B是示出根据本公开的技术的概念封装IPv6分组的框图。在该示例中,IPv6封装分组310包括IPv6报头312和IPv6有效载荷314。IPv6报头312可以包括IPv6版本(即,6)、128位IPv6源地址和128位IPv6目的地址等。IPv6有效载荷314包括要由封装IPv6分组310传输的数据。在该示例中,封装IPv6有效载荷的内容是图3A的IPv4分组300。IPv6报头312中的IPv6源地址可以基于来自IPv4报头302和/或IPv4有效载荷304的32位IPv4源地址和源端口号。类似地,IPv6报头312中的IPv6目的地址可以基于来自IPv4报头302和/或IPv4有效载荷304的32位IPv4目的地址和目的端口号。以这种方式,可以使用IPv4源地址和目的地址以及端口号来验证IPv6源地址和目的地址。在一些示例中,可以使用MAP-E或其他中继技术(例如,6over4、6to4、ISATAP、6rd)将IPv4分组300封装到IPv6分组310中。虽然用封装到IPv6分组内部的IPv4分组来描述本公开的技术,但是可以用封装到IPv4分组内部的IPv6分组上执行这种技术。
图4是示出根据本公开的技术的触发针对冒名顶替的安全动作的示例方法400的流程图。出于示例和解释的目的,针对图1和图2的网络装置110来解释图4的方法400。然而,应当理解,其他网络装置可以被配置为执行这种或类似的方法。
首先,网络装置110接收封装分组(例如,图3B的封装IPv6分组310)(402)。出于示例和解释的目的,封装分组可以包括使用MAP-E封装到IPv6分组中的IPv4分组。然而,应当理解,可以对封装到IPv4分组中和/或使用另一种中继/封装技术的IPv6分组执行类似的方法。在一些示例中,网络装置110经由网络隧道(例如,图1的网络隧道116)接收封装分组,该网络隧道被配置为将封装分组从隧道入口点(例如,图1的TEP装置106)传输到网络装置110。
网络装置110从封装分组中提取IPv6报头信息和IPv4分组(404)。例如,网络装置110可以从图3B的IPv6封装分组310中提取IPv6报头312和包括图3A的IPv4分组300的IPv6有效载荷314。网络装置100还可以从IPv6有效载荷314中提取IPv4报头。然后网络装置110将提取的IPv6报头信息和IPv4分组进行比较(406),以确定封装的IPv6报头信息是否与IPv4分组匹配(例如,相关联)(408)。例如,网络装置110可以根据IPv4分组的IPv4源地址和IPv4源端口确定相应的IPv6源地址,并且将相应的IPv6源地址与来自封装分组的IPv6报头信息的IPv6源地址进行比较,并且确定相应的IPv6源地址是否与封装分组的IPv6源地址匹配(例如,相关联)。在其他示例中,网络装置110可以从封装分组的IPv6报头信息的IPv6源地址中提取相应的IPv4源地址和相应的IPv4源端口号,并确定相应的IPv4源地址和相应的IPv4源端口号是否与封装分组中包含的IPv4分组的IPv4源地址和IPv4源端口号相关联。无论哪种方式,网络装置110可以确定IPv6报头信息是否与封装分组中包含的IPv4分组匹配(例如,相关联)。如果IPv6报头信息与封装分组中包含的IPv4分组匹配(例如,相关联)(408的“是”分支),则封装分组有效,并且网络装置110可以将IPv4分组转发到目的网络114(412)。在一些示例中,网络装置110将包括IPv4报头的封装分组转发到目的网络114。
如果IPv6报头信息不对应于封装分组的IPv4报头信息(408的“否”分支),则封装分组是无效的冒名顶替分组,因为它源自未知源(例如,除了图1的CD 102或CPE 104之外),并且网络装置110可以生成消息(例如,消息118),该消息具有基于从冒名顶替的封装分组中提取的IPv4分组报头信息和IPv6分组报头信息来丢弃、速率限制、或者重定向未来分组(例如,如下面参考图6A至图8B中的任何一个所描述的)的指示,并且网络装置110经由对等会话(例如,使用eBGP、iBGP、MP-BGP或任何其他边界网关协议)将该消息传输到一个或多个上游网络装置(例如,TEP装置106)(410)。在一些示例中,网络装置110也可以避免将该IPv4分组转发到目的网络114,并且丢弃封装分组。
在一些示例中,该消息可以包括BGP NLRI消息。例如,该消息可以扩展FlowSpec,以包括要匹配的封装分组的外部(例如,IPv6)报头类型和内部(例如,IPv4)报头类型组件。具体地,该消息可以包括一个或多个外部报头类型组件(例如,源IPv6地址或目的IPv6地址)以及一个或多个内部报头类型组件,例如,IPv4协议、源IPv4地址、源IPv4端口号、目的IPv4地址或目的IPv4端口号。在可在https://tools.ietf.org/html/rfc5575处获得的P.Marques等人的“Dissemination of Flow Specification Rules”,RFC 5575,2009年8月中可以找到关于FlowSpec的更多示例细节,其全部内容通过引用结合于此。在一些示例中,消息118可以包括ACL动作或规则,用于基于外部和内部报头信息过滤冒名顶替的封装分组。无论哪种方式,消息可以定义封装分组的IPv6报头和IPv4报头值的组合,以在一个或多个上游网络装置处丢弃、限制速率或重定向。以这种方式,网络资源就不会被冒名顶替分组不必要地消耗。
图5是示出根据本公开的技术的执行针对冒名顶替的安全动作的示例操作的流程500。流程500是由网络装置110在图4的步骤410执行的功能的一个示例。
网络装置110可以响应于检测到冒名顶替分组而递增相应的冒名顶替分组计数(502)。在一些示例中,网络分组110可以针对每个CD、CPE、TEP和/或网络隧道保持单独的相应的冒名顶替分组计数,并且每当在网络装置110处检测到据称来自该CD、CPE、TEP或网络隧道的冒名顶替分组时,递增相应的冒名顶替分组计数。例如,网络装置110可以保持CPE104的第一冒名顶替分组计数,并且网络装置110可以针对其检测到的据称来自CPE 104的每个冒名顶替封装分组,递增该第一冒名顶替分组计数。以这种方式,网络装置110可以通过使分组看起来是来自CPE 104来确定恶意行为者何时是冒名顶替分组。在一些示例中,网络装置110可以类似地保持CD 102和/或网络隧道116相应的冒名顶替分组计数。
网络装置110可以确定相应的冒名顶替分组计数是否超过一个或多个阈值,这可能表示正在发生DoS攻击或DDoS攻击。在一些示例中,网络装置110执行的一个或多个安全动作可以取决于检测到的冒名顶替分组的数量(即,相应的冒名顶替分组计数的值)。例如,网络装置110可以确定相应的冒名顶替分组计数是否超过较大阈值(例如,高到足以检测DoS攻击或DDoS攻击的值)(504)。响应于确定相应的冒名顶替分组计数超过较大阈值(504的“是”分支),网络装置110可以向一个或多个上游网络装置发送消息,该消息具有基于从冒名顶替分组中提取的IPv4分组报头信息和IPv6分组报头信息而在一个或多个上游网络装置处丢弃未来分组、记录关于冒名顶替分组的信息、并丢弃冒名顶替分组的指示(506)。例如,网络装置110可以向TEP装置106发送消息118,记录从冒名顶替分组中提取的IPv6报头信息和/或IPv4报头信息,包括IPv6源地址、IPv6目的地址、IPv4源地址、IPv4源端口号和/或IPv4目的端口号,并且丢弃冒名顶替分组(例如,如以上关于图1和图2所述)。以这种方式,在路由冒名顶替分组而不必要地消耗网络资源之前,网络装置110可以帮助防止在一个或多个上游网络装置处的DoS攻击或DDoS攻击。
响应于确定相应的冒名顶替分组计数没有超过较大阈值(504的“否”分支),网络装置110可以确定相应的冒名顶替分组计数是否超过中间阈值(例如,低于较大阈值)(508)。响应于确定相应的冒名顶替分组计数超过中间阈值(508的“是”分支),网络装置110可以记录从冒名顶替分组中提取的IPv6报头信息和/或IPv4报头信息,包括IPv6源地址、IPv6目的地址、IPv4源地址、IPv4源端口号和/或IPv4目的端口号,并且基于冒名顶替分组的外部和内部报头信息来配置ACL动作或规则,以在没有发送基于从冒名顶替分组中提取的IPv4分组报头信息和IPv6分组报头信息而在一个或多个上游网络装置处丢弃未来分组的指示的情况下,丢弃这个冒名顶替分组和未来的冒名顶替分组(例如,如以上关于图1和图2所述)(510)。在一些示例中,可以不执行步骤508或步骤510(即,网络装置可以不检查是否超过中间阈值),并且网络装置110可以响应于确定相应的冒名顶替分组计数没有超过较大阈值(从504的“否”分支继续到512),来确定相应的冒名顶替分组计数是否超过较小阈值(例如,低于较大阈值)(512)。
响应于确定相应的冒名顶替分组计数没有超过中间阈值(508的“否”分支),网络装置110可以确定相应的冒名顶替分组计数是否超过较小阈值(例如,低于较大和中间阈值)(512)。响应于确定相应的冒名顶替分组计数超过较小阈值(512的“是”分支),网络装置110可以记录从冒名顶替分组中提取的IPv6报头信息和/或IPv4报头信息,包括IPv6源地址、IPv6目的地址、IPv4源地址、IPv4源端口号和/或IPv4目的端口号,并且在没有发送基于从冒名顶替分组中提取的IPv4分组报头信息和IPv6分组报头信息而在一个或多个上游网络装置处丢弃未来分组的指示的情况下丢弃IPv4分组(514)。响应于确定相应的冒名顶替分组计数没有超过较小阈值(512的“否”分支),网络装置110可以在没有记录关于冒名顶替分组的信息的情况下或在没有发送基于从冒名顶替分组提取的IPv4分组报头信息和IPv6分组报头信息而在一个或多个上游网络装置处丢弃未来分组的指示的情况下,丢弃IPv4分组(516)。通过不记录关于冒名顶替分组的信息或没有发送基于从冒名顶替分组中提取的IPv4分组报头信息和IPv6分组报头信息而在一个或多个上游网络装置处丢弃未来分组的指示,网络装置110不会过早地干扰分组流流量(包括有效的分组流流量)。
图6A是示出根据本公开的技术的示例消息模板600的示图。在一些示例中,消息模板600可以扩展FlowSpec,以包括嵌套报头类型组件(例如,封装分组的IPv4和IPv6 NLRI类型)。具体地,消息模板600可以包括要匹配的封装分组的外部报头类型和内部报头类型,以触发特定的FlowSpec动作(例如,丢弃、速率限制或重定向分组)。在一些示例中,消息模板600可以用于了解内部报头的上游装置,即,用于可以从封装IPv6分组中提取内部IPv4报头信息而不需要额外信息的上游装置。
如图6A所示,消息模板600包括外部报头类型602、定界符604和内部报头类型606。此外,消息模板600可以包括FlowSpec动作,包括流量速率和/或重定向,以指示与外部报头类型602和内部报头类型606匹配的分组应该分别被速率限制(或丢弃)或重定向。
在一些示例中,外部报头类型可以包括来自封装分组的任何IPv6报头信息,例如,源IPv6地址、目的IPv6地址等。内部报头类型606可以包括来自封装分组中的IPv4分组的任何IPv4报头信息,例如,IPv4协议、源IPv4地址、源IPv4端口号、目的IPv4地址、目的IPv4端口号等。在一些示例中,消息模板600可以包括任何其他FlowSpec NLRI类型,作为外部报头类型602或内部报头类型606的一部分。定界符604将外部报头类型602和内部报头类型606分隔开。在一些示例中,定界符604将内部报头类型606和其他内部报头类型606分隔开。
图6B是示出根据本公开的技术的从网络装置(例如,网络装置110)到上游装置(例如,TEP装置106)的示例消息数据650的示图。在该示例中,外部报头类型602包括外部IPv6源地址“2001:db8::1”和下一报头值“4”,指示内部报头类型606对应于IPv4分组。内部报头类型606包括内部IPv4协议“UDP”和内部IPv4源端口号“1000”。在这个示例中,当上游装置接收到外部IPv6源地址为“2001:db8::1”、内部IPv4协议为“UDP”、以及内部IPv4源端口号为“1000”的分组时,上游装置将在消息数据650中执行FlowSpec动作(未示出)。例如,FlowSpec动作可以是丢弃、速率限制或重定向与这些外部报头类型602和内部报头类型606匹配的任何分组。
图7A是示出根据本公开的技术的示例消息模板700的示图。在一些示例中,消息模板700可以扩展FlowSpec,以包括嵌套报头类型组件(例如,封装分组的IPv4和IPv6 NLRI类型)。具体地,消息模板700可以包括要匹配的外部报头类型和表示封装分组的内部报头类型的类型长度值(TLV)数据结构,以触发特定FlowSpec动作(例如,丢弃、速率限制或重定向分组)。在一些示例中,消息模板700可以用于不了解内部报头的上游装置,即,用于在没有额外信息的情况下无法从封装IPv6分组中提取内部IPv4报头信息的上游装置。
如图7A所示,消息模板700包括外部报头类型702、TLV元素数量704和TLV数据结构706。此外,消息模板700可以包括FlowSpec动作,包括流量速率和/或重定向,以指示与外部报头类型702和来自TLV数据结构706的内部报头值匹配的分组应该分别被速率限制(或丢弃)或重定向。
在一些示例中,外部报头类型可以包括来自封装分组的任何IPv6报头信息,例如,源IPv6地址、目的IPv6地址等。TLV数据结构706可以包括表示特定TLV值所在(例如,内部报头值所在)的封装分组的外部报头之后的字节数的“偏移(offset)”、指示该值的长度的“值-长度(value-len)”、表示要匹配的内部报头值的“值(value)”、以及可选地应用于由“偏移”和“值-长度”识别的字节的“掩码(mask)”。TLV数据结构706可以包括来自封装分组中的IPv4分组的任何IPv4报头信息的值,例如,IPv4协议、源IPv4地址、源IPv4端口号、目的IPv4地址、目的IPv4端口号、IPv4 DIP、GRE协议类型等。在一些示例中,消息模板700可以包括任何其他FlowSpec NLRI类型,作为外部报头类型702或TLV数据结构706的一部分。
图7B是示出根据本公开的技术的从网络装置(例如,网络装置110)到上游装置(TEP装置106)的示例消息数据750的示图。在该示例中,外部报头类型702包括外部IPv6源地址“2001:db8::1”和指示内部报头类型对应于IPv4分组的下一报头值“4”。TLV元素数量704为“2”。TLV数据结构706包括对应于IPv4协议和IPv4端口号的两个值。具体地,TLV数据结构706指示上游装置应该将内部IPv4协议映射到“17”(对应于UDP)和内部IPv4源端口号为“1000”。在这个示例中,当上游装置接收到外部IPv6源地址为“2001:db8::1”、内部IPv4协议为“UDP”、以及内部IPv4源端口号为“1000”的分组时,上游装置将在消息数据750中执行FlowSpec动作(未示出)。例如,FlowSpec动作可以是将与这些外部报头类型702和来自TLV数据结构706的内部报头类型值匹配的任何分组进行丢弃、速率限制或重定向。
图8A是示出根据本公开的技术的示例消息模板800的示图。在一些示例中,消息模板800可以扩展FlowSpec,以包括嵌套报头类型组件(例如,封装分组的IPv4和IPv6 NLRI类型)。具体地,消息模板800可以包括要匹配的封装分组的外部报头类型和内部报头类型,以触发特定FlowSpec动作(例如,丢弃、速率限制或重定向分组)。在一些示例中,消息模板800可以用于了解某些内部报头类型但不知道其他类型的内部报头的上游装置。
如图8A所示,消息模板800包括外部报头类型802、定界符804、内部报头类型806、TLV元素数量808和TLV数据结构810。此外,消息模板800可以包括FlowSpec动作,包括流量速率和/或重定向,以指示与外部报头类型802、内部报头类型806和/或来自TLV数据结构810的内部报头值匹配的分组应该分别被速率限制(或丢弃)或重定向。
在一些示例中,外部报头类型可以包括来自封装分组的任何IPv6报头信息,例如,源IPv6地址、目的IPv6地址等。内部报头类型806可以包括来自封装分组中的IPv4分组的任何IPv4报头信息,例如,IPv4协议、源IPv4地址、源IPv4端口号、目的IPv4地址、目的IPv4端口号等。TLV数据结构810可以包括表示特定TLV值所在(例如,内部报头值所在)的封装分组的外部报头之后的字节数的“偏移”、指示该值的长度的“值-长度”、表示要匹配的内部报头值的“值”、以及可选地应用于由“偏移”和“值-长度”识别的字节的“掩码”。TLV数据结构810可以包括来自封装分组中的IPv4分组的任何IPv4报头信息的值,例如,IPv4协议、源IPv4地址、源IPv4端口号、目的IPv4地址、目的IPv4端口号、IPv4 DIP、GRE协议类型等。在一些示例中,消息模板800可以包括任何其他FlowSpec NLRI类型,作为外部报头类型802、内部报头类型806或TLV数据结构810的一部分。定界符804将外部报头类型802和内部报头类型806分隔开。
图8B是示出根据本公开的技术的从网络装置(例如,网络装置110)到上游装置(例如,TEP装置106)的示例消息数据的示图。在该示例中,外部报头类型802包括外部IPv6目的地址“1111:2222::3”和指示内部报头类型对应于IPv4分组的下一报头值“4”。内部报头类型806包括内部IPv4 DIP“1.1.1.1”和内部IPv4源端口号“1000”。TLV元素数量808为“2”。TLV数据结构810包括对应于GRE IPv4协议和最内部IPv4 DIP的两个值。具体地,TLV数据结构810指示上游装置应该将GRE IPv4协议映射到“4”,并将最内部的IPv4 DIP映射到“0x02020202”。在该示例中,当上游装置接收到外部IPv6目的地址为“1111:2222::3”、内部IPv4 DIP为“1.1.1.1”、内部IPv4源端口号为“1000”、GRE IPv4协议为“4”、最内部IPv4 DIP为“0x02020202”的分组时,上游装置将在消息数据850中执行FlowSpec操作(未示出)。例如,FlowSpec动作可以是将与这些外部报头类型802、内部报头类型806和来自TLV数据结构810的内部报头类型值匹配的任何分组进行丢弃、速率限制或重定向。
图9是示出根据本公开的技术的应对冒名顶替的示例操作的流程900。出于示例和解释的目的,针对图1的网络装置110和TEP装置106来解释图9的流程900。然而,应当理解,其他网络装置可以被配置为执行这种方法或类似的方法。
首先,网络装置110接收第一封装分组(例如,图3B的封装IPv6分组310)(902)。网络装置110从第一封装分组的外部报头提取IPv6报头信息,并且从第一封装分组的内部报头提取IPv4报头信息(904)。
然后网络装置110将提取的IPv6报头信息和提取的IPv4报头信息进行比较,并确定第一封装分组是否是冒名顶替分组(906)。例如,网络装置110可以根据IPv4报头信息的IPv4源地址和IPv4源端口来确定相应的IPv6源地址,将相应的IPv6源地址与来自第一封装分组的IPv6报头信息的IPv6源地址进行比较,并且确定相应的IPv6源地址与第一封装分组的IPv6源地址不匹配。在其他示例中,网络装置110可以从第一封装分组的IPv6报头信息的IPv6源地址中提取相应的IPv4源地址和相应的IPv4源端口号,并且确定相应的IPv4源地址和相应的IPv4源端口号与第一封装分组的内部报头的IPv4信息的IPv4源地址和IPv4源端口号不匹配。无论哪种方式,网络装置110确定IPv6报头信息与第一封装分组的IPv4报头信息不匹配(例如,不相关)。
然后,网络装置110基于从冒名顶替的封装分组中提取的IPv4分组报头信息和IPv6分组报头信息,生成具有丢弃、速率限制或重定向未来分组的指示的消息(例如,消息118)(例如,如上参考图6A至图8B中任一个所述)(908),并且网络装置110经由对等会话(例如,使用eBGP、iBGP、MP-BGP或任何其他边界网关协议)将该消息发送到一个或多个上游网络装置(例如,TEP装置106)(910)。在一些示例中,网络装置110还可以避免将该IPv4分组转发到目的网络114,并且丢弃封装分组。
TEP装置106可以从网络装置110接收消息(912)。该消息可以包括丢弃、速率限制或重定向未来封装的分组的指示,该未来封装的分组具有与消息中的IPv6报头信息和IPv4报头信息匹配的相应IPv6报头信息和相应IPv4报头信息。在一些示例中,TEP装置106可以将该指示存储为过滤器、规则或ACL动作。
随后TEP装置106可以基于第二封装分组的相应IPv6报头信息接收第二封装分组,用于通过网络隧道116转发到网络装置110(例如,如上参考图1所述)(914)。TEP装置106可以将来自消息的IPv6报头信息和IPv4报头信息与第二封装分组的相应IPv6报头信息和相应IPv4报头信息进行匹配(916),并且确定第二封装分组是冒名顶替分组。响应于确定第二封装分组是冒名顶替分组,TEP装置106可以执行如消息中概述的关于IPv4分组的一个或多个安全动作(918)。例如,TEP装置106可以避免将该IPv4分组转发到网络装置110,并且丢弃该封装分组。在一些示例中,TEP装置可以如消息中概述的对封装分组进行速率限制或重定向。无论哪种方式,TEP装置106都可以帮助防止冒名顶替分组消耗中间网络108、网络隧道116和/或网络装置110的资源。
图10A是示出根据本公开的技术的将来自图6B的消息数据650的报头信息与来自封装分组的相应报头信息进行匹配的示例操作的流程1000。流程1000是在图9的步骤916由TEP装置106执行的功能的一个示例。
首先,TEP装置106从消息数据650中提取外部报头信息(例如,外部报头类型602的外部IPv6源地址)(1002)。然后,TEP装置106检测消息数据650中的定界符604(1004),并从消息数据650中提取定界符604之后的内部报头信息(例如,内部IPv4协议和内部报头类型606的内部IPv4源端口号)(1006)。
TEP装置106从相应的封装分组(例如,在图9的步骤914接收的第二封装分组)中提取相应的外部报头信息(1008)。TEP装置106还从相应的封装分组中提取相应的内部报头信息(1010)。在这个示例中,TEP装置106知道内部报头,并且可以在不需要附加信息的情况下提取相应的内部报头信息。然后,TEP装置106将从消息数据650中提取的外部报头信息和内部报头信息与从相应的封装分组中提取的相应的外部报头信息和相应的内部报头信息进行比较和匹配(1012)。
图10B是示出根据本公开的技术的将来自图7B的消息数据750的报头信息与来自封装分组的相应的报头信息进行匹配的示例操作的流程1020。流程1020是在图9的步骤916中由TEP装置106执行的功能的一个示例。
首先,TEP装置106从消息数据750中提取外部报头信息(例如,外部报头类型702的外部IPv6源地址)(1022)。然后TEP装置106从消息数据750中提取TLV元素数量704和TLV数据结构706(1024)。TEP装置106还使用TLV元素数量704从消息数据750的TLV数据结构706中提取内部报头信息(例如,内部IPv4协议和内部IPv4源端口号)(1026)。
TEP装置106从相应的封装分组(例如,在图9的步骤914接收的第二封装分组)中提取相应的外部报头信息(1028)。TEP装置106还使用来自消息数据750的TLV数据结构706从相应的封装分组中提取相应的内部报头信息(1030)。在这个示例中,TEP装置106不知道内部报头,并且在没有附加信息的情况下不能提取相应的内部报头信息。例如,对于TLV元素数量704中的每一个(例如,图7B的消息数据750中的两个),TEP装置106使用相应的TLV数据结构706的“偏移”和“值-长度”来识别相应的封装分组中相应的内部报头元素的开始和长度,并提取相应的内部报头元素。提取的相应的内部报头元素形成相应的封装分组的相应的内部报头信息。然后TEP装置106将从消息数据750中提取的外部报头信息和内部报头信息与从相应的封装分组中提取的相应的外部报头信息和相应的内部报头信息进行比较和匹配(1032)。
图10C是示出根据本公开的技术将来自图8B的消息数据850的报头信息与来自封装分组的相应的报头信息进行匹配的示例操作的流程1040。流程1040是在图9的步骤916中由TEP装置106执行的功能的一个示例。
首先,TEP装置106从消息数据850中提取外部报头信息(例如,外部报头类型802的外部IPv6目的地址)(1042)。然后TEP装置106检测消息数据850中的定界符804,并从消息数据850中提取定界符804之后的至少一些内部报头信息(例如,内部报头类型806的内部目的IPv4协议和内部IPv4源端口号)(1044)。
然后,TEP装置106从消息数据850中提取TLV元素数量808和TLV数据结构810(1046)。TEP装置106还使用TLV元素数量808从消息数据850的TLV数据结构810中提取附加的内部报头信息(例如,GRE IPv4协议和最内部的IPv4 DIP)(1048)。
TEP装置106从相应的封装分组(例如,在图9的步骤914接收的第二封装分组)中提取相应的外部报头信息(1050)。TEP装置106还在不使用TLV数据结构810的情况下从相应的封装分组中提取至少一些相应的内部报头信息,并且使用来自消息数据850的TLV数据结构810提取至少一些更多的相应的内部报头信息(1052)。在这个示例中,TEP装置106知道某些内部报头类型的内部报头,但不知道其他类型的内部报头,并且可以在没有附加信息的情况下仅提取一些相应的内部报头信息。例如,TEP装置106可以在没有附加信息的情况下提取某些内部报头类型的至少一些相应的内部报头信息,并且对于TLV元素数量808中的每一个(例如,图8B的消息数据850中的两个),TEP装置106使用相应的TLV数据结构810的“偏移”和“值-长度”来识别相应的封装分组中相应的内部报头元素的开始和长度,并且提取相应的内部报头元素。所提取的至少一些相应的内部报头信息和所提取的相应的内部报头元素形成相应的封装分组的相应的内部报头信息。然后,TEP装置106将从消息数据850中提取的外部报头信息和内部报头信息与从相应的封装分组中提取的相应外部报头信息和相应内部报头信息进行比较和匹配(1054)。
本公开中描述的技术可以至少部分地以硬件、软件、固件或其任意组合来实现。例如,所描述的技术的相应方面可以在一个或多个处理器中实现,包括一个或多个微处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、或任何其他等效的集成或分立逻辑电路以及这些组件的任何组合。术语“处理器”或“处理电路”通常可以指任何前述逻辑电路(单独或与其他逻辑电路组合)或任何其他等效电路。包括硬件的控制单元也可以执行本公开的一种或多种技术。
这种硬件、软件和固件可以在同一装置内或在单独的装置内实现,以支持本公开中描述的各种操作和功能。此外,任何描述的单元、模块或组件可以一起或单独实现为分立但可互操作的逻辑装置。将不同特征描述为模块或单元,旨在突出不同的功能方面,并不一定表示这些模块或单元必须由单独的硬件或软件组件来实现。相反,与一个或多个模块或单元相关联的功能可以由单独的硬件或软件组件来执行,或者集成在公共或单独的硬件或软件组件中。
也可以在包含指令的计算机可读介质中体现或编码本公开中描述的技术,例如,计算机可读存储介质。在计算机可读介质中嵌入或编码的指令可以使可编程处理器或其他处理器执行该方法,例如,当执行指令时。计算机可读存储介质可以包括随机存取存储器(RAM)、只读存储器(ROM)、可编程只读存储器(PROM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)、闪存、硬盘、CD-ROM、软盘、盒式磁带、磁介质、光学介质或其他计算机可读存储介质。应当理解,术语“计算机可读存储介质”是指物理存储介质,而不是信号或载波,尽管除了物理存储介质之外,术语“计算机可读介质”还可以包括瞬态介质,例如,信号。
已经描述了各种示例。这些和其他示例在所附权利要求的范围内。
Claims (19)
1.一种用于计算机网络的方法,包括:
在网络装置处经由IPv6网络的网络隧道接收封装的网络分组,其中隧道入口点TEP路由装置用作所述IPv6网络的所述网络隧道的入口点,并且其中所述网络装置用作所述网络隧道的终止点;
由所述网络装置从所述封装的网络分组中提取IPv6报头信息;
由所述网络装置从所述封装的网络分组中提取IPv4报头信息;
由所述网络装置确定所述封装的网络分组是冒名顶替的网络分组,包括:
由所述网络装置根据所述IPv4报头信息确定相应的IPv6报头信息;
由所述网络装置将提取的所述IPv6报头信息与确定的所述相应的IPv6报头信息进行比较;并且
由所述网络装置确定提取的所述IPv6报头信息与确定的所述相应的IPv6报头信息不匹配;并且
响应于检测到所述冒名顶替的网络分组,由所述网络装置向所述TEP路由装置发送消息,所述消息包括表示所述IPv6报头信息和所述IPv4报头信息的数据并指示所述IPv6报头信息是冒名顶替的。
2.根据权利要求1所述的方法,
还包括由所述网络装置针对检测到的对应于所述网络隧道的所述冒名顶替的网络分组,递增冒名顶替的分组计数;并且
响应于检测到所述冒名顶替的网络分组以及确定所述冒名顶替的分组计数超过较小阈值,由所述网络装置记录至少一些所述IPv6报头信息和至少一些所述IPv4报头信息。
3.根据权利要求2所述的方法,其中,发送所述消息包括响应于确定所述冒名顶替的分组计数超过大于所述较小阈值的中间阈值,向所述TEP路由装置发送所述消息。
4.根据权利要求1至3中任一项所述的方法,其中,所述封装的网络分组包括封装方式映射地址和端口MAP-E的分组,并且所述网络装置包括边界中继BR装置。
5.根据权利要求1至3中任一项所述的方法,其中,所述消息包括指定所述封装的网络分组的外部报头的所述IPv6报头信息、所述封装的网络分组的内部报头的所述IPv4报头信息以及所述IPv6报头信息和所述IPv4报头信息之间的定界符的数据。
6.根据权利要求1至3中任一项所述的方法,其中,所述消息包括数据,所述数据指定:
所述封装的网络分组的外部报头的所述IPv6报头信息;以及
元素值,指示所述IPv6报头信息之后是一个或多个类型-长度-值TLV数据结构,一个或多个TLV数据结构包括表示所述IPv4报头信息的数据。
7.根据权利要求6所述的方法,其中,表示所述IPv4报头信息的所述数据包括协议、源IPv4地址、源端口、目的地IPv4地址和目的地端口中的一项或多项。
8.根据权利要求1至3中任一项所述的方法,其中,所述消息包括数据,所述数据指定:
所述封装的网络分组的外部报头的所述IPv6报头信息;
所述封装的网络分组的内部报头的至少一些所述IPv4报头信息;
所述IPv6报头信息和所述IPv4报头信息之间的定界符;
元素值,指示所述IPv6报头信息或至少一些所述IPv4报头信息后面是一个或多个类型-长度-值TLV数据结构;以及
一个或多个TLV数据结构包括表示至少更多一些的所述IPv4报头信息的数据。
9.一种用于计算机网络的方法,包括:
在用作IPv6网络的网络隧道的入口点的隧道入口点TEP路由装置处,从用作所述网络隧道的终止点的网络装置接收消息,所述消息包括表示IPv6报头信息和IPv4报头信息的数据并指示所述IPv6报头信息是冒名顶替的;
在所述TEP路由装置处接收封装的网络分组;
由所述TEP路由装置确定所述封装的网络分组是冒名顶替的网络分组,包括:
将所述IPv6报头信息与所述封装的网络分组的外部报头信息进行匹配;并且
将所述IPv4报头信息与所述封装的网络分组的内部报头信息进行匹配;并且
响应于检测到所述冒名顶替的网络分组,在所述TEP路由装置处丢弃所述封装的网络分组。
10.根据权利要求9所述的方法,其中,所述封装的网络分组包括封装方式映射地址和端口MAP-E的分组,并且所述网络装置包括边界中继BR装置。
11.根据权利要求9和10中任一项所述的方法,其中,所述消息包括指定相应的封装的网络分组的外部报头的所述IPv6报头信息、所述相应的封装的网络分组的内部报头的所述IPv4报头信息、以及所述IPv6报头信息和所述IPv4报头信息之间的定界符的数据。
12.根据权利要求9和10中任一项所述的方法,其中,所述消息包括数据,所述数据指定:
相应的封装的网络分组的外部报头的所述IPv6报头信息;以及
元素值,指示所述IPv6报头信息之后是一个或多个类型-长度-值TLV数据结构,一个或多个TLV数据结构包括表示所述IPv4报头信息的数据。
13.根据权利要求12所述的方法,其中,表示所述IPv4报头信息的所述数据包括协议、源IPv4地址、源端口、目的地IPv4地址和目的地端口中的一项或多项。
14.根据权利要求12所述的方法,还包括:
从所述封装的网络分组中提取所述外部报头信息;并且
使用所述元素值和所述一个或多个TLV数据结构从所述封装的网络分组中提取所述内部报头信息。
15.根据权利要求9和10中任一项所述的方法,其中,所述消息包括数据,所述数据指定:
相应的封装的网络分组的外部报头的所述IPv6报头信息;
所述相应的封装的网络分组的内部报头的至少一些所述IPv4报头信息;
所述IPv6报头信息和所述IPv4报头信息之间的定界符;
元素值,指示所述IPv6报头信息或至少一些所述IPv4报头信息后面是一个或多个类型-长度-值TLV数据结构;以及
一个或多个TLV数据结构包括表示至少更多一些的所述IPv4报头信息的数据。
16.根据权利要求15所述的方法,还包括:
从所述封装的网络分组中提取所述外部报头信息;
在不使用所述元素值和所述一个或多个TLV数据结构的情况下,从所述封装的网络分组中提取至少一些所述内部报头信息;并且
使用所述元素值和所述一个或多个TLV数据结构从所述封装的网络分组中提取至少更多一些的所述内部报头信息。
17.一种网络装置,包括一个或多个处理器,所述一个或多个处理器被配置为:
经由IPv6网络的网络隧道接收封装的网络分组,其中隧道入口点TEP路由装置用作所述IPv6网络的所述网络隧道的入口点,并且其中所述网络装置用作所述网络隧道的终止点;
从所述封装的网络分组中提取IPv6报头信息;
从所述封装的网络分组中提取IPv4报头信息;
确定所述封装的网络分组是冒名顶替的网络分组,其中,为了确定所述封装的网络分组是所述冒名顶替的网络分组,所述一个或多个处理器被配置为:
从所述IPv4报头信息中确定相应的IPv6报头信息;
将提取的所述IPv6报头信息与确定的所述相应的IPv6报头信息进行比较;并且
确定提取的所述IPv6报头信息与确定的所述相应的IPv6报头信息不匹配;并且
响应于检测到所述冒名顶替的网络分组,向所述TEP路由装置发送消息,所述消息包括表示所述IPv6报头信息和所述IPv4报头信息的数据并指示所述IPv6报头信息是冒名顶替的。
18.一种隧道入口点路由装置,用作IPv6网络的网络隧道的入口点,所述隧道入口点路由装置包括一个或多个处理器,所述一个或多个处理器被配置为:
从用作所述网络隧道的终止点的网络装置接收消息,所述消息包括表示IPv6报头信息和IPv4报头信息的数据并指示所述IPv6报头信息是冒名顶替的;
接收封装的网络分组;
确定所述封装的网络分组是冒名顶替的网络分组,其中,为了确定所述封装的网络分组是所述冒名顶替的网络分组,所述一个或多个处理器被配置为:
将所述IPv6报头信息与所述封装的网络分组的外部报头信息进行匹配;并且
将所述IPv4报头信息与所述封装的网络分组的内部报头信息进行匹配;并且
响应于检测到所述冒名顶替的网络分组,丢弃所述封装的网络分组。
19.一种存储有指令的计算机可读存储介质,所述指令在被执行时使得网络装置的处理器执行根据权利要求1至16中任一项所述的方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/732,140 US11570207B2 (en) | 2019-12-31 | 2019-12-31 | Dynamic security actions for network tunnels against spoofing |
| US16/732,140 | 2019-12-31 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113132342A CN113132342A (zh) | 2021-07-16 |
| CN113132342B true CN113132342B (zh) | 2023-06-23 |
Family
ID=73039883
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011183855.4A Active CN113132342B (zh) | 2019-12-31 | 2020-10-29 | 方法、网络装置、隧道入口点装置及存储介质 |
Country Status (3)
| Country | Link |
|---|---|
| US (2) | US11570207B2 (zh) |
| EP (1) | EP3846406A1 (zh) |
| CN (1) | CN113132342B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10742746B2 (en) | 2016-12-21 | 2020-08-11 | Nicira, Inc. | Bypassing a load balancer in a return path of network traffic |
| US11570207B2 (en) | 2019-12-31 | 2023-01-31 | Juniper Networks, Inc. | Dynamic security actions for network tunnels against spoofing |
| US11606294B2 (en) | 2020-07-16 | 2023-03-14 | Vmware, Inc. | Host computer configured to facilitate distributed SNAT service |
| US11616755B2 (en) * | 2020-07-16 | 2023-03-28 | Vmware, Inc. | Facilitating distributed SNAT service |
| US11683327B2 (en) * | 2020-07-23 | 2023-06-20 | Micro Focus Llc | Demand management of sender of network traffic flow |
| US11611613B2 (en) | 2020-07-24 | 2023-03-21 | Vmware, Inc. | Policy-based forwarding to a load balancer of a load balancing cluster |
| US11451413B2 (en) | 2020-07-28 | 2022-09-20 | Vmware, Inc. | Method for advertising availability of distributed gateway service and machines at host computer |
| US11902050B2 (en) | 2020-07-28 | 2024-02-13 | VMware LLC | Method for providing distributed gateway service at host computer |
| US11930037B2 (en) * | 2020-10-08 | 2024-03-12 | Charter Communications Operating, Llc | Validation and implementation of flow specification (Flowspec) rules |
| US11252672B1 (en) * | 2020-12-18 | 2022-02-15 | Versa Networks, Inc. | Access point radio channel configuration using multiprotocol border gateway protocol |
| US20240015177A1 (en) * | 2022-07-11 | 2024-01-11 | Armis Security Ltd. | Malicious lateral movement detection using remote system protocols |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102948121A (zh) * | 2010-06-17 | 2013-02-27 | 微软公司 | 用于ipv4应用的4-到-6网络堆栈 |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US3406232A (en) | 1964-08-03 | 1968-10-15 | American Optical Corp | Process for molding eyeglass frames |
| US7039954B2 (en) * | 2001-05-04 | 2006-05-02 | International Business Machines Corporation | Method for enabling a network-addressable device to detect use of its identity by a spoofer |
| CA2479577A1 (en) * | 2002-03-27 | 2003-10-09 | British Telecommunications Public Limited Company | Tunnel broker management |
| JP2003289340A (ja) * | 2002-03-27 | 2003-10-10 | Toshiba Corp | 識別子問い合わせ方法、通信端末及びネットワークシステム |
| US20040236966A1 (en) * | 2003-05-19 | 2004-11-25 | Alcatel | Queuing methods for mitigation of packet spoofing |
| KR100636186B1 (ko) * | 2004-10-28 | 2006-10-19 | 삼성전자주식회사 | 양방향 터널 설정 방법 및 시스템 |
| WO2006090392A2 (en) * | 2005-02-24 | 2006-08-31 | Rsa Security Inc. | System and method for detecting and mitigating dns spoofing trojans |
| US7609691B2 (en) * | 2005-03-21 | 2009-10-27 | Cisco Technology, Inc. | Method and system for automatically interconnecting IPv4 networks across an IPv6 network |
| US8079080B2 (en) * | 2005-10-21 | 2011-12-13 | Mathew R. Syrowik | Method, system and computer program product for detecting security threats in a computer network |
| JP4747197B2 (ja) * | 2005-10-28 | 2011-08-17 | パナソニック株式会社 | トンネリングループ検出制御装置 |
| GB0601913D0 (en) * | 2006-01-31 | 2006-03-08 | Ericsson Telefon Ab L M | Packet re-direction in a communication network |
| KR100757881B1 (ko) * | 2006-09-20 | 2007-09-11 | 삼성전자주식회사 | Nat를 이용한 자동 터널링 방법 및 그 시스템 |
| WO2010108431A1 (zh) * | 2009-03-26 | 2010-09-30 | 华为技术有限公司 | 实现IPv6主机访问IPv4主机的方法、获取IPv6地址前缀的方法和转换装置 |
| US9756013B2 (en) * | 2014-07-10 | 2017-09-05 | Cisco Technology, Inc. | Distributed mapping of address and port (MAP) between a provider edge device and customer premise equipment devices |
| US9774530B2 (en) * | 2015-06-30 | 2017-09-26 | Cable Television Laboratories, Inc. | Mapping of address and port (MAP) provisioning |
| US10887231B2 (en) * | 2018-05-18 | 2021-01-05 | Juniper Networks, Inc. | Packet fragment forwarding without reassembly |
| US11570207B2 (en) | 2019-12-31 | 2023-01-31 | Juniper Networks, Inc. | Dynamic security actions for network tunnels against spoofing |
-
2019
- 2019-12-31 US US16/732,140 patent/US11570207B2/en active Active
-
2020
- 2020-10-29 CN CN202011183855.4A patent/CN113132342B/zh active Active
- 2020-10-29 EP EP20204674.4A patent/EP3846406A1/en active Pending
-
2022
- 2022-12-22 US US18/145,788 patent/US11882150B2/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102948121A (zh) * | 2010-06-17 | 2013-02-27 | 微软公司 | 用于ipv4应用的4-到-6网络堆栈 |
Non-Patent Citations (1)
| Title |
|---|
| Security Considerations for 6to4;Savola、Patel;《Request for Comments: 3964》;20041231;第3-31页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3846406A1 (en) | 2021-07-07 |
| US20230130595A1 (en) | 2023-04-27 |
| US20210203688A1 (en) | 2021-07-01 |
| US11882150B2 (en) | 2024-01-23 |
| US11570207B2 (en) | 2023-01-31 |
| CN113132342A (zh) | 2021-07-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113132342B (zh) | 方法、网络装置、隧道入口点装置及存储介质 | |
| US7467408B1 (en) | Method and apparatus for capturing and filtering datagrams for network security monitoring | |
| US7360245B1 (en) | Method and system for filtering spoofed packets in a network | |
| EP3138243B1 (en) | Network service insertion | |
| US7797411B1 (en) | Detection and prevention of encapsulated network attacks using an intermediate device | |
| US11533334B2 (en) | Infrastructure distributed denial of service protection | |
| US7583667B2 (en) | Automatic determination of connectivity problem locations or other network-characterizing information in a network utilizing an encapsulation protocol | |
| US8537818B1 (en) | Packet structure for mirrored traffic flow | |
| US6668282B1 (en) | System and method to monitor and determine if an active IPSec tunnel has become disabled | |
| US7389537B1 (en) | Rate limiting data traffic in a network | |
| US7721084B2 (en) | Firewall for filtering tunneled data packets | |
| US9398043B1 (en) | Applying fine-grain policy action to encapsulated network attacks | |
| EP3355514B1 (en) | Method and device for transmitting network attack defense policy and method and device for defending against network attack | |
| US8320249B2 (en) | Method and system for controlling network access on a per-flow basis | |
| US9258213B2 (en) | Detecting and mitigating forwarding loops in stateful network devices | |
| US8483069B1 (en) | Tracing Ethernet frame delay between network devices | |
| US10819617B1 (en) | Loop-back packet for determining operational capabilities of border relay device | |
| JP5178573B2 (ja) | 通信システムおよび通信方法 | |
| CN116939033A (zh) | 一种应用代理方法、装置及电子设备和存储介质 | |
| KR101060615B1 (ko) | 올아이피네트워크 환경의 공격 탐지 및 추적 시스템 및 방법 | |
| EP3073701B1 (en) | Network protection entity and method for protecting a communication network against fraud messages | |
| EP3270569B1 (en) | Network protection entity and method for protecting a communication network against malformed data packets | |
| JP4167866B2 (ja) | データ伝送方法、データ伝送システム及びデータ伝送装置 | |
| US20240022451A1 (en) | Loop detection in virtual extensible local area network overlay | |
| Bahnasse et al. | Security of Dynamic and Multipoint Virtual Private Network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |