CN1859209A - 一种数字用户线路接入复用器的安全防护方法 - Google Patents

一种数字用户线路接入复用器的安全防护方法 Download PDF

Info

Publication number
CN1859209A
CN1859209A CNA2006100348975A CN200610034897A CN1859209A CN 1859209 A CN1859209 A CN 1859209A CN A2006100348975 A CNA2006100348975 A CN A2006100348975A CN 200610034897 A CN200610034897 A CN 200610034897A CN 1859209 A CN1859209 A CN 1859209A
Authority
CN
China
Prior art keywords
protocol message
cpu
specific protocol
described specific
veneer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA2006100348975A
Other languages
English (en)
Other versions
CN100384158C (zh
Inventor
钟宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CNB2006100348975A priority Critical patent/CN100384158C/zh
Publication of CN1859209A publication Critical patent/CN1859209A/zh
Priority to AT07100143T priority patent/ATE472903T1/de
Priority to DE602007007385T priority patent/DE602007007385D1/de
Priority to EP07100143A priority patent/EP1843624B1/en
Priority to US11/621,667 priority patent/US7680066B2/en
Application granted granted Critical
Publication of CN100384158C publication Critical patent/CN100384158C/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q11/00Selecting arrangements for multiplex systems
    • H04Q11/04Selecting arrangements for multiplex systems for time-division multiplexing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M11/00Telephonic communication systems specially adapted for combination with other electrical systems
    • H04M11/06Simultaneous speech and data transmission, e.g. telegraphic transmission over the same conductors
    • H04M11/062Simultaneous speech and data transmission, e.g. telegraphic transmission over the same conductors using different frequency bands for speech and other data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/13003Constructional details of switching devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/13039Asymmetrical two-way transmission, e.g. ADSL, HDSL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/13106Microprocessor, CPU
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/13164Traffic (registration, measurement,...)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/13166Fault prevention
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/13204Protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/13298Local loop systems, access network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2213/00Indexing scheme relating to selecting arrangements in general and for multiplex systems
    • H04Q2213/13339Ciphering, encryption, security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Signal Processing For Digital Recording And Reproducing (AREA)

Abstract

本发明公开了一种数字用户线路接入复用器的安全防护方法,涉及计算机网络和电信网络技术领域。该方法包括:单板硬件从与其对应的每个XDSL端口捕获特定协议报文送给单板CPU;单板CPU对收到的所述特定协议报文进行检测;单板CPU判断单位时间内所述特定协议报文的流量是否超过预设的阈值,若不超过,则单板CPU将所述特定协议报文上交主机CPU进行处理;否则,单板CPU停止将所述特定协议报文上交主机CPU。本发明不需要在用户接入端口手工配置MAC地址或者设置MAC地址的最大学习数目,减少维护的工作量;另一方面,减少重要协议报文的丢失,降低CPU占用率。

Description

一种数字用户线路接入复用器的安全防护方法
[技术领域]
本发明涉及计算机网络和电信网络技术领域,尤其涉及一种数字用户线路接入复用器的安全防护方法。
[背景技术]
随着运营商提出宽带网络扁平化(即指网络层次减少)以节省投资的需求,DSLAM(Digital Subscriber Line Access Multiplexer数字用户线路接入复用器)实现了更多的高层协议报文处理、以及IP转发等原来二、三层交换机或者路由器才实现的功能,由于大量的协议报文是需要软件模块分析的,因此DSLAM设备的CPU负载通常会很高,如果处理的协议报文太多,会导致CPU占用率为100%,进而导致其他重要进程得不到及时处理而“饿死”,带来的危害是不可预知的,可能会造成整个DSLAM设备复位等非常严重的后果。
为了让DSLAM在网络上安全运行,防止各种非法报文的冲击,现有技术中通常有两种安全防护的措施:
第一种,为了防止用户侧多个终端设备同时接入或者攻击,通过配置静态MAC地址绑定XDSL(数字用户线路)端口或者通过设置端口MAC地址最大学习数目的方式,限制了用户接入的数量,从而起到安全防护的作用。采用此方法主要存在的缺陷是,每个用户接入端口都需要手工配置,管理维护的工作量很大,而且也需要了解接入终端的MAC地址,大量端口的配置难度很大。
第二种,单个终端用户也可以向用户发起攻击,通过报文发送工具软件发送大量的协议报文攻击DSLAM设备,其规避方法是DSLAM设备主机软件模块分析单位时间内需要处理的协议报文(不关心协议报文的类型),限制每秒内处理报文的数量,多余的报文直接丢弃(无论那种报文)。采用此方法主要存在的缺陷是,没有对报文类别进行细分,有些不是攻击报文,而是需要CPU进行处理的报文也有可能被丢弃,导致重要的协议状态紊乱,同时,报文统一由主机处理,其CPU占用率依然很高。
当前网络上的攻击报文一般都从用户侧即ADSL接入侧发起的,非法用户利用计算机的一些报文发送工具向上层网络发送大量报文,而DSLAM设备主要会处理从用户侧来的ARP(Address Resolution Protocol地址解析协议)、IGMP(Internet GroupManagement Protocol互联网组管理协议)、PPPOE(PPP over Ethernet以太网上点对点协议)和DHCP(Dynamic Host Configuration Protocol动态主机配置协议)几种报文,如果用户侧发送大量的这些协议报文到DSLAM上,而DSLAM都需要做处理的话,将会导致DSLAM设备CPU占用率非常之高,进而可能导致设备复位的危险,即便通过上述的两种方法可以在一定程度上限制攻击流量,但管理难度大或者可能导致其他重要协议报文丢失,也不是彻底解决问题的办法。
[发明内容]
本发明要解决的技术问题是提供一种数字用户线路接入复用器的安全防护方法,一方面,不需要在用户接入端口手工配置MAC地址或者设置MAC地址的最大学习数目,减少维护的工作量;另一方面,减少重要协议报文的丢失,降低CPU占用率。
本发明是通过下面的技术方案来实现的:
一种数字用户线路接入复用器的安全防护方法,包括以下步骤:
101、单板硬件从与其对应的每个XDSL端口捕获特定协议报文送给单板CPU;
102、单板CPU对收到的所述特定协议报文进行检测;
103、单板CPU判断单位时间内所述特定协议报文的流量是否超过预设的阈值,若不超过,则单板CPU将所述特定协议报文上交主机CPU进行处理;否则,单板CPU停止将所述特定协议报文上交主机CPU。
步骤103中单板CPU停止将所述特定协议报文上交主机CPU时,还包括:单板CPU向主机发出所述XDSL端口存在攻击的信息,主机将所述XDSL端口列入黑名单。
步骤103中主机将所述XDSL端口列入黑名单后,还包括:单板CPU判断单位时间内所述特定协议报文的流量是否还超过预设的阈值,若不超过,则单板CPU向主机发出所述XDSL端口不存在攻击的信息,主机将所述XDSL端口清出黑名单,并接收和处理所述特定协议报文;否则,单板CPU不向主机发出任何信息。
本发明的进一步改进在于:单板CPU以一定的时间间隔对所述特定协议报文的流量进行判断。
步骤103中单板CPU停止将所述特定协议报文上交主机CPU时,还包括:单板CPU直接丢弃所述特定协议报文。
本发明的进一步改进在于:所述特定协议报文为地址解析协议报文、互联网组管理协议报文、以太网上点对点协议报文和动态主机配置协议报文中的一种或者多种。
由于采用了以上的技术方案,DSLAM设备中各个业务单板CPU对每个XDSL端口单位时间内收到的协议报文类型进行区分,并相应限定协议报文的流量,在减少重要协议报文丢失的同时,使主机CPU免于处理一些不必要的协议报文,减轻了主机CPU的负担,降低了主机CPU的占用率;DSLAM设备中的主机CPU只对业务单板CPU送来的协议报文进行处理,而对协议报文的区分和流量限定则由各个业务单板CPU来分担处理,提高了DSLAM设备对大量协议报文防护的处理效率,使设备安全、稳妥,避免设备受到非法报文的攻击;DSLAM设备中设置了统一管理黑名单的方式,方便了运营管理和网管维护;本发明可以针对端口级限制,根据具体的情况,对端口协议报文流量的阈值进行设定,以及对端口重新开放的延时进行设定,提高了DSLAM设备对非法协议报文进行防护的灵活性,有效限制了特定用户大量非法报文对设备的冲击,不影响合法用户的正常连接,甚至非法用户的正常业务也可以不中断;在遭受攻击的时候不影响主机对正常协议报文的处理,也不影响其他业务的运行;本发明的技术方案实现简单,易于维护,不需人工配置,减少了维护的工作量。
[附图说明]
图1是本发明中DSLAM设备的分布式总线机制的组网示意图。
图2是本发明DSLAM设备的安全防护方法流程图。
[具体实施方式]
下面以ADSL(非对称数字用户线路)为例结合附图对本发明进行进一步阐述:
如图1所示,是DSLAM设备的分布式总线机制的组网示意图,图中的虚线框内为DSLAM设备,其包括一个主机和多个ADSL单板,多个ADSL单板都分别与主机相连,主机的上行口连接到上层网络中,用户侧的PC机则通过MODEM连接到对应的ADSL单板上,主机中设置有主机CPU,各个ADSL单板中也分别设置有各自的单板CPU。在网络正常的情况下,用户侧的PC机发送的各种协议报文依次通过MODEM、ADSL单板传输到主机上,当协议报文从用户侧的PC机发送到ADSL单板上以后,单板硬件会把协议报文捕获到单板CPU,然后送至主机CPU统一处理。
如图2所示,是本发明DSLAM设备的安全防护方法流程图,该方法能够自动判断每个ADSL用户单位时间内特定协议报文流量超出阈值后,主动对特定协议报文流量超出阈值的ADSL用户实施流量抑制,并把该ADSL用户列入黑名单由主机进行统一管理,经过一定时间间隔后,再次判断黑名单中ADSL用户的报文流量,以便对该受流量抑制的ADSL用户重新进行开放,具体过程如下:
单板硬件从与其对应的ADSL端口(即图1中ADSL单板与MODEM连接的端口)捕获特定协议报文送给单板CPU,即步骤01。
之后执行步骤02,即单板CPU对收到的特定协议报文进行检测,并判断单位时间内所述特定协议报文的流量是否超过预设的阈值,若不超过,则执行步骤03,即单板CPU将所述特定协议报文上交主机CPU进行处理;否则,执行步骤04,即单板CPU停止将所述特定协议报文上交主机CPU。
单板CPU停止将所述特定协议报文上交主机CPU时,执行步骤05,即单板CPU直接丢弃所述特定协议报文,同时,执行步骤06,即单板CPU向主机发出所述ADSL端口存在攻击的信息,主机将所述ADSL端口列入黑名单实施统一管理,同时不处理所述ADSL端口已经上报的特定协议报文。
在主机将所述ADSL端口列入黑名单后,执行步骤07,即经过一定的时间间隔单板CPU再次判断单位时间内所述特定协议报文的流量是否还超过预设的阈值,若超过,则执行步骤08,即单板CPU不向主机发出任何信息,等待一定的时间间隔,单板CPU又一次判断单位时间内所述特定协议报文的流量,如此周而复始;否则,执行步骤09,即单板CPU向主机发出所述ADSL端口不存在攻击的信息,主机放开对所述ADSL端口的监管,将所述ADSL端口清出黑名单,并正常接收和处理所述特定协议报文。
另外,ADSL端口存在攻击的情况下,单板CPU停止将所述特定协议报文上交主机CPU,分担了主机的CPU负载,同时,主机不需要处理该ADSL端口已经上报的特定协议报文,主机的CPU负载不会很大。从用户侧PC机送上来的报文主要是业务流(其中包含少量协议报文),而ADSL业务单板只捕获特定协议报文到主机CPU处理,该ADSL端口其他的业务流量则通过硬件转发,因此实现对攻击报文隔离的情况下还保证了普通业务流的正常运行。
需要指出的是,所述特定协议报文是地址解析协议报文(ARP)、互联网组管理协议报文(IGMP)、以太网上点对点协议报文(PPPOE)和动态主机配置协议报文(DHCP)中的一种或者多种,用户可以根据实际的组网情况和用户自身的特点进行选择,这样在提高DSLAM设备对攻击协议报文防护能力的同时,也增加了防护的灵活性。
本发明的DSLAM设备中各个业务单板CPU对每个ADSL端口单位时间内收到的协议报文类型进行区分,并设定相应协议报文流量的阈值,使得ADSL端口的协议报文流量在合理的范围之内,避免DSLAM设备受到非法报文的攻击,在减少重要协议报文丢失的同时,使主机CPU免于处理一些不必要的协议报文,降低CPU占用率。

Claims (6)

1、一种数字用户线路接入复用器的安全防护方法,其特征在于,包括以下步骤:
101、单板硬件从与其对应的每个XDSL端口捕获特定协议报文送给单板CPU;
102、单板CPU对收到的所述特定协议报文进行检测;
103、单板CPU判断单位时间内所述特定协议报文的流量是否超过预设的阈值,若不超过,则单板CPU将所述特定协议报文上交主机CPU进行处理;否则,单板CPU停止将所述特定协议报文上交主机CPU。
2、根据权利要求1所述的一种数字用户线路接入复用器的安全防护方法,其特征在于,步骤103中单板CPU停止将所述特定协议报文上交主机CPU时,还包括:单板CPU向主机发出所述XDSL端口存在攻击的信息,主机将所述XDSL端口列入黑名单。
3、根据权利要求2所述的一种数字用户线路接入复用器的安全防护方法,其特征在于,步骤103中主机将所述XDSL端口列入黑名单后,还包括:单板CPU判断单位时间内所述特定协议报文的流量是否还超过预设的阈值,若不超过,则单板CPU向主机发出所述XDSL端口不存在攻击的信息,主机将所述XDSL端口清出黑名单,并接收和处理所述特定协议报文;否则,单板CPU不向主机发出任何信息。
4、根据权利要求3所述的一种数字用户线路接入复用器的安全防护方法,其特征在于:单板CPU以一定的时间间隔对所述特定协议报文的流量进行判断。
5、根据权利要求1所述的一种数字用户线路接入复用器的安全防护方法,其特征在于,步骤103中单板CPU停止将所述特定协议报文上交主机CPU时,还包括:单板CPU直接丢弃所述特定协议报文。
6、根据权利要求1所述的一种数字用户线路接入复用器的安全防护方法,其特征在于:所述特定协议报文为地址解析协议报文、互联网组管理协议报文、以太网上点对点协议报文和动态主机配置协议报文中的一种或者多种。
CNB2006100348975A 2006-04-04 2006-04-04 一种数字用户线路接入复用器的安全防护方法 Active CN100384158C (zh)

Priority Applications (5)

Application Number Priority Date Filing Date Title
CNB2006100348975A CN100384158C (zh) 2006-04-04 2006-04-04 一种数字用户线路接入复用器的安全防护方法
AT07100143T ATE472903T1 (de) 2006-04-04 2007-01-05 Verfahren zum schutz von dsl-zugriffsmultiplexer, dslam- und xdsl-einzeldienstplatte
DE602007007385T DE602007007385D1 (de) 2006-04-04 2007-01-05 Verfahren zum Schutz von DSL-Zugriffsmultiplexer, DSLAM- und XDSL-Einzeldienstplatte
EP07100143A EP1843624B1 (en) 2006-04-04 2007-01-05 Method for protecting digital subscriber line access multiplexer, DSLAM and XDSL single service board
US11/621,667 US7680066B2 (en) 2006-04-04 2007-01-10 Method for protecting digital subscriber line access multiplexer, DSLAM and XDSL single service board

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CNB2006100348975A CN100384158C (zh) 2006-04-04 2006-04-04 一种数字用户线路接入复用器的安全防护方法

Publications (2)

Publication Number Publication Date
CN1859209A true CN1859209A (zh) 2006-11-08
CN100384158C CN100384158C (zh) 2008-04-23

Family

ID=37298075

Family Applications (1)

Application Number Title Priority Date Filing Date
CNB2006100348975A Active CN100384158C (zh) 2006-04-04 2006-04-04 一种数字用户线路接入复用器的安全防护方法

Country Status (5)

Country Link
US (1) US7680066B2 (zh)
EP (1) EP1843624B1 (zh)
CN (1) CN100384158C (zh)
AT (1) ATE472903T1 (zh)
DE (1) DE602007007385D1 (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101459605B (zh) * 2008-12-31 2012-03-21 成都市华为赛门铁克科技有限公司 一种流量控制方法和设备
CN102447711A (zh) * 2012-01-18 2012-05-09 中兴通讯股份有限公司 协议报文发送方法及装置
CN106254266A (zh) * 2016-08-17 2016-12-21 中国联合网络通信集团有限公司 一种报文处理方法及网络设备
CN111371668A (zh) * 2020-02-26 2020-07-03 平安科技(深圳)有限公司 基于免费arp的周期性发送方法、装置、设备及存储介质

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101202756B (zh) * 2007-12-20 2011-02-02 杭州华三通信技术有限公司 一种报文处理方法和设备
CA2707934C (en) * 2007-12-21 2015-10-06 General Instrument Corporation System and method for preventing unauthorised use of digital media
US9960965B2 (en) * 2011-02-04 2018-05-01 Arris Enterprises Llc Stateless admission control
US9001699B2 (en) * 2011-12-26 2015-04-07 Jaya MEGHANI Systems and methods for communication setup via reconciliation of internet protocol addresses
CN105159763B (zh) * 2015-08-05 2018-08-07 瑞斯康达科技发展股份有限公司 一种cpu利用率控制方法及装置

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6092110A (en) * 1997-10-23 2000-07-18 At&T Wireless Svcs. Inc. Apparatus for filtering packets using a dedicated processor
WO2002037730A2 (en) 2000-10-31 2002-05-10 Firebit Ltd. A router-based system for providing multi-level data filtering and security services in a broadband environment
GB2376854A (en) 2001-06-19 2002-12-24 Hewlett Packard Co Centralised security service for ISP environment
CN1213569C (zh) * 2002-07-12 2005-08-03 华为技术有限公司 一种追踪数字用户线接入设备黑客的方法
JP2006504178A (ja) * 2002-10-22 2006-02-02 ウンホ チェ Itインフラにおける総合侵害事故対応システムおよびその動作方法
US7260840B2 (en) 2003-06-06 2007-08-21 Microsoft Corporation Multi-layer based method for implementing network firewalls
EP1542116A1 (en) * 2003-12-11 2005-06-15 Alcatel Access multiplexer with remote intrusion detection capability
JP2005236854A (ja) * 2004-02-23 2005-09-02 Kddi Corp xDSLモデム装置の制御方法及びxDSLモデム装置
CN1750455A (zh) * 2004-09-17 2006-03-22 联想(北京)有限公司 计算机系统的保护方法
CN100466569C (zh) * 2004-11-18 2009-03-04 上海大亚科技有限公司 实现adsl调制解调器与无线局域网综合接入功能的设备
US7672293B2 (en) * 2006-03-10 2010-03-02 Hewlett-Packard Development Company, L.P. Hardware throttling of network traffic sent to a processor based on new address rates
US20070234418A1 (en) * 2006-03-30 2007-10-04 Samsung Electronics Co., Ltd. Method and apparatus of remote access message differentiation in VPN endpoint routers

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101459605B (zh) * 2008-12-31 2012-03-21 成都市华为赛门铁克科技有限公司 一种流量控制方法和设备
CN102447711A (zh) * 2012-01-18 2012-05-09 中兴通讯股份有限公司 协议报文发送方法及装置
CN106254266A (zh) * 2016-08-17 2016-12-21 中国联合网络通信集团有限公司 一种报文处理方法及网络设备
CN106254266B (zh) * 2016-08-17 2020-02-04 中国联合网络通信集团有限公司 一种报文处理方法及网络设备
CN111371668A (zh) * 2020-02-26 2020-07-03 平安科技(深圳)有限公司 基于免费arp的周期性发送方法、装置、设备及存储介质
WO2021169281A1 (zh) * 2020-02-26 2021-09-02 平安科技(深圳)有限公司 基于免费arp的周期性发送方法、装置、设备及存储介质

Also Published As

Publication number Publication date
US7680066B2 (en) 2010-03-16
ATE472903T1 (de) 2010-07-15
EP1843624B1 (en) 2010-06-30
US20070230348A1 (en) 2007-10-04
CN100384158C (zh) 2008-04-23
DE602007007385D1 (de) 2010-08-12
EP1843624A1 (en) 2007-10-10

Similar Documents

Publication Publication Date Title
CN100384158C (zh) 一种数字用户线路接入复用器的安全防护方法
EP2127313B1 (en) A containment mechanism for potentially contaminated end systems
US8533823B2 (en) System and method for source IP anti-spoofing security
EP1737189B1 (en) Apparatus and method for mitigating denial of service attacks on communication appliances
US8353003B2 (en) System and method for controlling a flow of data a network interface controller to a host processor
US7627677B2 (en) Process to thwart denial of service attacks on the internet
US20050195840A1 (en) Method and system for preventing denial of service attacks in a network
CN101547187B (zh) 宽带接入设备的网络攻击防护方法
WO2002003084A1 (en) Method for preventing denial of service attacks
CN1893375A (zh) 用于检测和减轻分布式拒绝服务攻击的系统和方法
CN1725705A (zh) 流量攻击网络设备的报文特征的检测方法
CN1889510A (zh) 一种通过报文处理提高网络安全性的方法
CN1808998A (zh) 一种检测和维护ppp链路的方法
CN1394041A (zh) 一种因特网服务提供者安全防护的实现方法
CN101188607A (zh) 基于网络处理器的dslam设备防止协议包攻击的方法
CN101136917B (zh) 一种传输控制协议拦截模块及其软切换方法
CN105429944A (zh) 一种arp攻击自动识别调整的方法及路由器
US20070140121A1 (en) Method of preventing denial of service attacks in a network
Yuste et al. Inerte: integrated nexus-based real-time fault injection tool for embedded systems
CN113037716A (zh) 一种基于内容分发网络的攻击防御方法
JP2006254269A (ja) Dos/DDos攻撃を防ぐ加入者線終端装置及びユーザ端末
JP2004140618A (ja) パケットフィルタ装置および不正アクセス検知装置
JP2009219128A (ja) Dos/DDos攻撃を防ぐ加入者線終端装置及びユーザ端末
CN101030945A (zh) PPPoE防止私设服务器和假冒服务器攻击的方法
CN101616075A (zh) Arp代理技术

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant