CN114785564A - 一种基于以太网桥规则的防跳板机的通用方法 - Google Patents
一种基于以太网桥规则的防跳板机的通用方法 Download PDFInfo
- Publication number
- CN114785564A CN114785564A CN202210337087.6A CN202210337087A CN114785564A CN 114785564 A CN114785564 A CN 114785564A CN 202210337087 A CN202210337087 A CN 202210337087A CN 114785564 A CN114785564 A CN 114785564A
- Authority
- CN
- China
- Prior art keywords
- filtering
- data packet
- rule
- ethernet bridge
- rules
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于以太网桥规则的防跳板机的通用方法,采用一种以太网桥过滤数据包的配置方式,利用Linux内核中对数据链路层流量过滤数据包的配置工具ebtables,当数据包发送到Linux宿主机时,宿主机检测处理该数据包的过滤规则并过滤,由于多vlan部署的蜜罐桥接在Linux宿主机上,当攻击者攻击蜜罐时,利用ebtables对FORWARD链进行限制,FORWARD链规则不进入用户控件,负责转发流经主机但不进入本机的数据包。本发明采用一种以太网桥规则,在Linux宿主机上桥接多vlan创建大量蜜罐,形成大范围部署的蜜网,通过限制与允许端口流量的操作,使蜜罐独立于真实业务,进行防跳板操作。
Description
技术领域
本发明涉及网络信息安全技术领域,具体涉及一种基于以太网桥规则的防跳板机的通用方法。
背景技术
现有的技术中,防跳板方式是通过在整体业务范围增加一个防火墙,或者通过每个蜜罐自身配置防火墙进行防跳板防护。然而,在整体业务范围增加防火墙,容易影响已有的业务功能,不利于机动配置。如果使用蜜罐自身配置防火墙进行防跳板,容易在攻击者获得超级管理员权限之后,修改自身防跳板,使其失效。
发明内容
发明目的:本发明的目的在于针对现有技术的不足,提供一种基于以太网桥规则的防跳板机的通用方法,通过限制与允许端口流量的操作,使得蜜罐可以独立于真实业务,解决了宿主机直接对桥接的蜜罐进行流量限制的问题。
本发明公开的一种基于以太网桥规则的防跳板机的通用方法,其特征在于,包括以下步骤:
步骤1:将多vlan部署的蜜罐桥接在Linux宿主机上,使所有流向目的为蜜罐的网络流量均通过Linux宿主机进行转发;
步骤2:采用以太网桥过滤数据包的配置方式,当数据包行进到数据链路层时,利用Linux内核中对数据链路层流量过滤数据包的配置工具ebtables,配置过滤数据包的规则,系统检测对应节点的过滤规则并进行过滤;
步骤3:配置后,当数据包发送到Linux宿主机时,Linux宿主机检测处理该数据包的过滤规则并且进行过滤;
步骤4:当攻击者攻击蜜罐时,利用ebtables对FORWARD链进行限制,ebtables用于对以太网帧的过滤,在配置FORWARD参数时,DROP掉从蜜罐对真实业务的帧,放行攻击者对蜜罐的帧。
进一步地,所述ebtables的配置分为表、链和规则三级,每个链中设有一系列规则,每个规则定义一系列过滤选项。
进一步地,所述FORWARD链规则不进入用户控件,负责转发流经主机但不进入本机的数据包。
进一步地,所述蜜罐为桥接的Kvm虚拟机。
进一步地,所述过滤规则为Linux宿主机本机配置的ebtables以太网桥防火墙规则。
本发明技术方案带来的有益效果有:
1、使用一种新的以太网桥防火墙进行蜜罐的流量控制,通过在宿主机上进行蜜罐防跳板比直接在蜜罐上进行防跳板操作要容易管理,也避免了蜜罐失陷之后防跳板机制失效;
2、使运维人员直接通过以太网桥防火墙进行流量控制,在大规模部署蜜网之后进行更便捷、更安全的防跳板配置;
3、由于蜜罐本身是用来诱捕攻击者的,加强蜜罐防跳板机制,也可以防止攻击者在内网中进行横向移动,保护其余资产。
附图说明
图1为本发明的一种基于以太网桥规则的防跳板机的通用方法的示意图。
具体实施方式
下面对本发明技术方案进行详细说明,但是本发明的保护范围不局限于所述实施例。
本发明公开了一种基于以太网桥规则的防跳板机的通用方法,包括以下步骤:
步骤一:将多vlan部署的蜜罐桥接在Linux宿主机上。
本步骤中,使用桥接的方式,在Linux宿主机上多vlan创建大量蜜罐,形成更大范围部署的蜜网,Linux宿主机在每个vlan上均拥有一个地址,并创建ip为这些vlan中的地址的蜜罐,增加真实性与覆盖面,其中,蜜罐是诱导攻击者攻击的虚拟机,将蜜罐进行真实部署,Linux宿主机上的蜜罐通过桥接技术,相当于直接与宿主机连接的网络进行连接。同时,因为是桥接的方式,网络流量是通过linux宿主机进行转发,即所有流向目的为蜜罐的流量,都会经过Linux宿主机,因此,形成了极佳的流量控制的机制,也就是所有的蜜罐的流量都受linux宿主机控制,若宿主机不进行转发,则流量进入不到蜜罐里,同样不进行转发。而桥接的流量没办法用Linux宿主机自带的动态防火墙firewalld与静态防火墙iptables进行流量限制。firewalld与iptables只能限制对Linux宿主机自身的(也就是来源或者目的地为Linux宿主机本身的)进出流量,来源或者目的地为桥接在Linux宿主机上的蜜罐,宿主机没有办法通过自身的firewalld和iptabels来限制。因此,采用一种数据链路层的防火墙方式,也就是ebtables实现,ebtables是Linux内核自带的防火墙模块,流经本机的流量一共有两种,一种是来源或去向至少一个是本机的,这类使用iptables进行限制,另一种是来源和去向都不是本机的,ebtables可以作为常用防火墙的补充进行配置。
步骤二:采用以太网桥过滤数据包的配置方式,利用Linux内核中对数据链路层流量过滤数据包的配置工具ebtables进行配置。
本步骤中,采用以太网桥过滤数据包,利用配置工具ebtables进行配置。ebtables为以太网桥防火墙,是专门对桥接流量进行管理的Linux防火墙模块。ebtables进行配置主要是配置规则,如同常用防火墙一样,配置的对象即为防火墙规则。规则明确规定可以接受的流量的类型,或者拒绝等操作,从而达到限制的效果。
数据包从进入到离开系统,经过PreRoute,Input,Forward,Output,PostRoute五个阶段,每个阶段中包括了多个节点,每个节点就是一个过滤时机。当数据包行进到某个节点时,系统检测对应节点的过滤规则并进行过滤。
ebtables配置分为表、链、规则,每个链中有一系列规则,每个规则定义了一些过滤选项。每个数据包都会匹配这些项,一但匹配成功就会执行对应的动作。动作即是过滤行为,过滤行为有四种,包括ACCEPT,DROP,RETURN和CONTINUE,常用的就是ACCEPT和DROP。
步骤三:配置后,当数据包发送到Linux宿主机时,Linux宿主机检测处理该数据包的过滤规则并且进行过滤。
本步骤中,过滤规则为ebtables过滤规则,具体指定参数,例如-t指定表,-I或者-A指定插入规则的顺序,-p指定ipv4或ipv6,--ip-dst指定数据包发送的目的地址。--ip-proto指定协议(tcp,udp或icmp),-j指定操作(ACCEPT接受数据包或者DROP丢弃数据包等)。
步骤四:当攻击者攻击蜜罐时,利用ebtables对FORWARD链进行限制,ebtables用于对以太网帧的过滤,在配置FORWARD参数时,DROP掉从蜜罐对真实业务的帧,放行攻击者对蜜罐的帧。
本步骤中,对于在数据链路层发现的forward链,来源和去向都不是本机的桥接流量,利用ebtables指定-I FORWARD进行通过限制。例如ebtables -t filter -A FORWARD -p IPv4 --ip-dst 10.0.0.0/8 --ip-proto tcp -j DROP。使用DROP限制其流量,若不接受该流量,则直接把流经的数据包丢弃。
本发明中,利用以太网桥,解决桥接在Linux宿主机上的蜜罐的流量控制问题,主要规则有四种。其中IP代指一个IP地址,NETMASK代指子网掩码,例如10.0.0.0/8。
指定filter表,配置FORWARD链,指定协议(IPV4或IPV6),如IPV4地址,指定目的地址为一个IPV4地址/子网掩码,指定可以通过的端口为80端口,指定过滤动作为accept。例如: ebtables -t filter -I FORWARD -p IPv4 --ip-dst 10.0.0.0/8 --ip-proto tcp--ip-dport 80 -j ACCEPT。
由于数据都是双向的,数据发送到蜜罐的相应端口之后,需要相应端口产生数据包回应。因此,ebtables指定filter表,配置FORWARD链,指定协议(IPV4或IPV6),如IPV4地址,指定源地址为同样的A段地址,指定可以通过的端口为80端口,指定过滤动作为accept。例如: ebtables -t filter -I FORWARD -p IPv4 --ip-dst 10.0.0.0/8 --ip-prototcp --ip-sport 80 -j ACCEPT。
IP地址由两部分组成,即网络地址和主机地址。A类地址一般用于大型网络,B类地址一般用于中型网络;C类地址一般用于小型网络;D类地址为多播地址;E类地址保留今后使用。由于蜜罐需要大范围部署覆盖到网络中,因此选用A段地址进行操作。
当指定所有的可以允许通过的端口之后,指定同样的地址,指定目标地址为过滤动作为DROP。例如ebtables -t filter -A FORWARD -p IPv4 --ip-dst 10.0.0.0/8 --ip-proto tcp -j DROP。
指定同样的地址,指定来源为该IP地址的FORWARD链数据包的过滤动作为DROP。例如ebtables -t filter -A FORWARD -p IPv4 --ip-src 10.0.0.0/8 --ip-proto tcp -jDROP)这样,指定的地址可以包含10.0.0.0/8包含的所有IP地址。如有其它网段的地址或端口也如上添加即可。一次添加之后,保存到配置文件中,就可以以后都执行ebtabels规则进行数据包过滤。
本发明公开了一种基于以太网桥规则的防跳板机的通用方法,在具有一定规模的蜜网环境下实现,其采用了以太网桥过滤数据包的配置方式,利用Linux内核中对数据链路层流量过滤数据包的配置工具ebtables进行配置,当数据包发送到Linux宿主机时,宿主机检测处理该数据包的过滤规则并过滤,由于多vlan部署的蜜罐桥接在Linux宿主机上,因此,当攻击者攻击蜜罐时,利用ebtables对FORWARD链进行限制,FORWARD链规则不进入用户控件,负责转发流经主机但不进入本机的数据包。本发明采用一种以太网桥规则,在Linux宿主机上桥接多vlan创建大量蜜罐,形成大范围部署的蜜网,通过限制与允许端口流量的操作,使蜜罐独立于真实业务,进行防跳板操作。在宿主机上进行蜜罐防跳板比直接在蜜罐上进行防跳板操作更易管理,也避免了蜜罐失陷之后防跳板机制失效,使运维人员直接通过以太网桥防火墙进行流量控制,使得蜜罐系统拥有更加强大的防火墙能力,在大规模部署蜜网之后进行更便捷、更安全的防跳板配置。
如上所述,尽管参照特定的优选实施例已经表示和表述了本发明,但其不得解释为对本发明自身的限制。在不脱离所附权利要求定义的本发明的精神和范围前提下,可对其在形式上和细节上做出各种变化。
Claims (5)
1.一种基于以太网桥规则的防跳板机的通用方法,其特征在于,包括以下步骤:
步骤1:将多vlan部署的蜜罐桥接在Linux宿主机上,使所有流向目的为蜜罐的网络流量均通过Linux宿主机进行转发;
步骤2:采用以太网桥过滤数据包的配置方式,当数据包行进到数据链路层时,利用Linux内核中对数据链路层流量过滤数据包的配置工具ebtables,配置过滤数据包的规则,系统检测对应节点的过滤规则并进行过滤;
步骤3:配置后,当数据包发送到Linux宿主机时,Linux宿主机检测处理该数据包的过滤规则并且进行过滤;
步骤4:当攻击者攻击蜜罐时,利用ebtables对FORWARD链进行限制,ebtables用于对以太网帧的过滤,指定filter表,配置FORWARD链,在配置FORWARD参数时,DROP掉从蜜罐对真实业务的帧,放行攻击者对蜜罐的帧。
2.根据权利要求1所述的一种基于以太网桥规则的防跳板机的通用方法,其特征在于,所述的ebtables的配置分为表、链和规则三级,每个链中设有一系列规则,每个规则定义一系列过滤选项。
3.根据权利要求1所述的一种基于以太网桥规则的防跳板机的通用方法,其特征在于,所述的FORWARD链规则不进入用户控件,转发流经主机但不进入本机的数据包。
4.根据权利要求1所述的一种基于以太网桥规则的防跳板机的通用方法,其特征在于,所述的蜜罐为桥接的Kvm虚拟机。
5.根据权利要求1所述的一种基于以太网桥规则的防跳板机的通用方法,其特征在于,所述的过滤规则为Linux宿主机本机配置的ebtables以太网桥防火墙规则。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210337087.6A CN114785564A (zh) | 2022-04-01 | 2022-04-01 | 一种基于以太网桥规则的防跳板机的通用方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210337087.6A CN114785564A (zh) | 2022-04-01 | 2022-04-01 | 一种基于以太网桥规则的防跳板机的通用方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114785564A true CN114785564A (zh) | 2022-07-22 |
Family
ID=82427775
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210337087.6A Pending CN114785564A (zh) | 2022-04-01 | 2022-04-01 | 一种基于以太网桥规则的防跳板机的通用方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114785564A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115883354A (zh) * | 2023-02-21 | 2023-03-31 | 塔比星信息技术(深圳)有限公司 | 应用自动化部署方法、装置、设备及存储介质 |
Citations (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7849502B1 (en) * | 2006-04-29 | 2010-12-07 | Ironport Systems, Inc. | Apparatus for monitoring network traffic |
US8156541B1 (en) * | 2007-10-17 | 2012-04-10 | Mcafee, Inc. | System, method, and computer program product for identifying unwanted activity utilizing a honeypot device accessible via VLAN trunking |
CN103595826A (zh) * | 2013-11-01 | 2014-02-19 | 国云科技股份有限公司 | 一种防止虚拟机ip和mac伪造的方法 |
CN109831447A (zh) * | 2019-03-05 | 2019-05-31 | 浙江大学 | 一种基于nfv的智能蜜网系统 |
CN110266718A (zh) * | 2019-07-03 | 2019-09-20 | 广州非凡信息安全技术有限公司 | 基于vlan标签的在多个网段部署蜜罐的系统及方法 |
CN110798482A (zh) * | 2019-11-11 | 2020-02-14 | 杭州安恒信息技术股份有限公司 | 基于linux网络过滤器的系统级蜜罐网络隔离系统 |
US20200177629A1 (en) * | 2018-11-30 | 2020-06-04 | Cisco Technology, Inc. | Dynamic honeypots |
CN111756712A (zh) * | 2020-06-12 | 2020-10-09 | 广州锦行网络科技有限公司 | 一种基于虚拟网络设备伪造ip地址防攻击的方法 |
CN111818077A (zh) * | 2020-07-21 | 2020-10-23 | 北方工业大学 | 一种基于sdn技术的工控混合蜜罐系统 |
CN112019545A (zh) * | 2020-08-28 | 2020-12-01 | 杭州安恒信息安全技术有限公司 | 一种蜜罐网络部署方法、装置、设备及介质 |
US20200389487A1 (en) * | 2019-06-04 | 2020-12-10 | Qatar Foundation For Education, Science And Community Development | Methods and systems for reducing unwanted data traffic in a computer network |
CN112272177A (zh) * | 2020-10-23 | 2021-01-26 | 广州锦行网络科技有限公司 | 一种批量部署蜜网诱捕节点的方法 |
US20210051175A1 (en) * | 2019-08-15 | 2021-02-18 | Uchicago Argonne, Llc | Software defined networking moving target defense honeypot |
CN112714137A (zh) * | 2021-03-25 | 2021-04-27 | 江苏天翼安全技术有限公司 | 一种基于虚拟交换跨vlan大规模部署蜜网的方法 |
CN113259387A (zh) * | 2021-06-21 | 2021-08-13 | 江苏天翼安全技术有限公司 | 一种基于虚拟交换的防止蜜罐被控成为跳板机的方法 |
CN113872973A (zh) * | 2021-09-29 | 2021-12-31 | 武汉众邦银行股份有限公司 | 一种基于iptables的拟态蜜罐的实现方法及装置 |
-
2022
- 2022-04-01 CN CN202210337087.6A patent/CN114785564A/zh active Pending
Patent Citations (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7849502B1 (en) * | 2006-04-29 | 2010-12-07 | Ironport Systems, Inc. | Apparatus for monitoring network traffic |
US8156541B1 (en) * | 2007-10-17 | 2012-04-10 | Mcafee, Inc. | System, method, and computer program product for identifying unwanted activity utilizing a honeypot device accessible via VLAN trunking |
CN103595826A (zh) * | 2013-11-01 | 2014-02-19 | 国云科技股份有限公司 | 一种防止虚拟机ip和mac伪造的方法 |
US20200177629A1 (en) * | 2018-11-30 | 2020-06-04 | Cisco Technology, Inc. | Dynamic honeypots |
CN109831447A (zh) * | 2019-03-05 | 2019-05-31 | 浙江大学 | 一种基于nfv的智能蜜网系统 |
US20200389487A1 (en) * | 2019-06-04 | 2020-12-10 | Qatar Foundation For Education, Science And Community Development | Methods and systems for reducing unwanted data traffic in a computer network |
CN110266718A (zh) * | 2019-07-03 | 2019-09-20 | 广州非凡信息安全技术有限公司 | 基于vlan标签的在多个网段部署蜜罐的系统及方法 |
US20210051175A1 (en) * | 2019-08-15 | 2021-02-18 | Uchicago Argonne, Llc | Software defined networking moving target defense honeypot |
CN110798482A (zh) * | 2019-11-11 | 2020-02-14 | 杭州安恒信息技术股份有限公司 | 基于linux网络过滤器的系统级蜜罐网络隔离系统 |
CN111756712A (zh) * | 2020-06-12 | 2020-10-09 | 广州锦行网络科技有限公司 | 一种基于虚拟网络设备伪造ip地址防攻击的方法 |
CN111818077A (zh) * | 2020-07-21 | 2020-10-23 | 北方工业大学 | 一种基于sdn技术的工控混合蜜罐系统 |
CN112019545A (zh) * | 2020-08-28 | 2020-12-01 | 杭州安恒信息安全技术有限公司 | 一种蜜罐网络部署方法、装置、设备及介质 |
CN112272177A (zh) * | 2020-10-23 | 2021-01-26 | 广州锦行网络科技有限公司 | 一种批量部署蜜网诱捕节点的方法 |
CN112714137A (zh) * | 2021-03-25 | 2021-04-27 | 江苏天翼安全技术有限公司 | 一种基于虚拟交换跨vlan大规模部署蜜网的方法 |
CN113259387A (zh) * | 2021-06-21 | 2021-08-13 | 江苏天翼安全技术有限公司 | 一种基于虚拟交换的防止蜜罐被控成为跳板机的方法 |
CN113872973A (zh) * | 2021-09-29 | 2021-12-31 | 武汉众邦银行股份有限公司 | 一种基于iptables的拟态蜜罐的实现方法及装置 |
Non-Patent Citations (8)
Title |
---|
FARID DARYABAR等: "Analysis of virtual honeynet and VLAN-based virtual networks", 2011 INTERNATIONAL SYMPOSIUM ON HUMANITIES, SCIENCE AND ENGINEERING RESEARCH * |
MA YUE等: "Researches on the IPv6 Network safeguard linked system", 2010 3RD INTERNATIONAL CONFERENCE ON COMPUTER SCIENCE AND INFORMATION TECHNOLOGY * |
吴文洁;葛昕;胡德敏;: "基于虚拟化技术的分布式蜜网", 计算机系统应用, no. 03 * |
张骏;熊桂林;朱明旱;: "一种基于VLAN技术的蜜网设计与实现", 湖南工程学院学报(自然科学版), no. 01 * |
杨伟;李培峰;朱巧明;钱培德;: "基于Linux的网桥防火墙的应用研究", 苏州大学学报(自然科学版), no. 02 * |
王涵等: "一种拟态蜜罐系统的设计与研究", 网络安全技术与应用, no. 2021 * |
秦玉杰: "一种基于分布式蜜罐技术的勒索蠕虫病毒监测方法", 信息技术与网络安全, no. 2018 * |
许显月;张凤斌;: "基于两级重定向机制的密网研究和设计", 计算机技术与发展, no. 05 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115883354A (zh) * | 2023-02-21 | 2023-03-31 | 塔比星信息技术(深圳)有限公司 | 应用自动化部署方法、装置、设备及存储介质 |
CN115883354B (zh) * | 2023-02-21 | 2023-05-19 | 塔比星信息技术(深圳)有限公司 | 应用自动化部署方法、装置、设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10110485B2 (en) | Techniques for traffic diversion in software defined networks for mitigating denial of service attacks | |
EP3172875B1 (en) | Method for performing logical network forwarding using a controller | |
US7225270B2 (en) | Selective diversion and injection of communication traffic | |
US9185056B2 (en) | System and methods for controlling network traffic through virtual switches | |
CN104954367B (zh) | 一种互联网全向跨域DDoS攻击防护方法 | |
US8340092B2 (en) | Switching system and method in switching system | |
Wang et al. | Towards mitigating link flooding attack via incremental SDN deployment | |
JPH10154998A (ja) | パケット・トラフィック減少プロセスおよびパケット・トラフィック減少装置 | |
CN111163062B (zh) | 一种针对交火攻击的多网络地址跳变安全防御方法 | |
EP1616269B1 (en) | Selective diversion and injection of communication traffic | |
Yao et al. | VASE: Filtering IP spoofing traffic with agility | |
CN113630315A (zh) | 网络引流方法、装置、电子设备和存储介质 | |
CN114785564A (zh) | 一种基于以太网桥规则的防跳板机的通用方法 | |
JP2019213182A (ja) | ネットワーク防御装置およびネットワーク防御システム | |
US7877505B1 (en) | Configurable resolution policy for data switch feature failures | |
CN113259387B (zh) | 一种基于虚拟交换的防止蜜罐被控成为跳板机的方法 | |
Balagopal et al. | NetWatch: Empowering software-defined network switches for packet filtering | |
CN111885068B (zh) | 一种旁路部署的流量分发方法及其系统 | |
US7409458B2 (en) | Network system with shared filtering information | |
Cisco | Configuring Transparent Bridging | |
Cisco | Configuring Transparent Bridging | |
Cisco | Configuring Transparent Bridging | |
Cisco | Configuring Transparent Bridging | |
Cisco | Configuring Transparent Bridging | |
Cisco | Configuring Unicast Reverse Path Forwarding |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |