DE10101616A1 - Verfahren zum Schutz gegen Netzwerküberflutungsangriffe mit Hilfe eines verbindungslosen Protokolls - Google Patents
Verfahren zum Schutz gegen Netzwerküberflutungsangriffe mit Hilfe eines verbindungslosen ProtokollsInfo
- Publication number
- DE10101616A1 DE10101616A1 DE2001101616 DE10101616A DE10101616A1 DE 10101616 A1 DE10101616 A1 DE 10101616A1 DE 2001101616 DE2001101616 DE 2001101616 DE 10101616 A DE10101616 A DE 10101616A DE 10101616 A1 DE10101616 A1 DE 10101616A1
- Authority
- DE
- Germany
- Prior art keywords
- host
- datagrams
- datagram
- server
- queue
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/30—Flow control; Congestion control in combination with information about buffer occupancy at either end or at transit nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Abstract
Die Erfindung verhindert, dass ein Server durch die Überflutung mit verbindungslosen Datagrammen, die durch einen beabsichtigten Angriff oder auf andere Weise verursacht wird, überlastet und möglicherweise zum Erliegen gebracht wird. Als Antwort auf ein Datagramm von einem Host für einen bestimmten Anschluss wird die Anzahl der Datagramme ermittelt, die von dem Host bereits in die Warteschlange des Anschlusses gestellt wurden. Wenn diese Anzahl einen ersten Schwellenwert überschreitet, wird das Datagramm verworfen. In der bevorzugten Ausführungsform wird der Schwellenwert festgelegt, indem ein Prozentsatz P mit der Anzahl der verfügbaren Warteschlangenschlitze, die für den Anschluss übrig bleiben, multipliziert wird.
Description
Die Erfindung betrifft allgemein den Bereich der
Netzwerktechnik und insbesondere den Schutz vor Angriffen
durch böswillige Benutzer, die versuchen, einen Server
lahmzulegen, indem sie ihn mit verbindungslosen Datagrammen
überfluten.
Überflutungsangriffe wurden in letzter Zeit immer häufiger
vorgenommen, um Server im Internet als Angriffsziel
auszuwählen und sie zum Erliegen zu bringen. Ein
Überflutungsangriff findet statt, wenn ein Benutzer
innerhalb eines verhältnismäßig kurzen Zeitraums eine große
Zahl von Anforderungen an einen Server in der Absicht
sendet, den Server zu überlasten und ihn dadurch zum
Erliegen zu bringen. Eine Flut von Paketen von einem
böswilligen Benutzer kann einen Server auf die gleiche Weise
überlasten, in der eine Flut von Paketen von einem falsch
konfigurierten System einen Server überlasten kann. Aber das
Endergebnis ist dasselbe; bei dem Versuch, die Anforderungen
zu bedienen, kommt es zu einer Überlastung des Servers. Dies
verhindert, dass legitime Anforderungen rechtzeitig bedient
werden und führt oftmals zu einem Ausfall oder Absturz des
Servers. Kürzlich wurde in den Nachrichten über eine Reihe
von Überflutungsangriffen auf einige bekannte Web-Sites
berichtet. Diese Angriffe waren durch eine Flut von
einzelnen Verbindungsanforderungen für den Aufbau von
Erstverbindungen charakterisiert. Eine verwandte
Patentanmeldung mit der US Seriennummer 09/502,478 legt
einen Algorithmus zum Schutz gegen solche
Verbindungsanforderungsangriffe offen. Es ist jedoch auch
möglich, einen Server anzugreifen, indem man ihn mit
verbindungslosen Datagrammen, wie sie beispielsweise im
"user datagram protocol" (UDP) vorkommen können, überflutet.
Die Wirkung ist im Grunde dieselbe; bei dem Versuch, die
Unmenge von Datagrammen zu bedienen, kommt es zu einer
Überlastung und möglicherweise sogar zu einem Totalausfall
des Servers. Da es schwierig ist festzustellen, ob der
Verkehr legitim ist oder nicht, sind Überflutungsangriffe
von herkömmlichen Intrusionserkennungssystemen sehr schwer
zu verhindern.
Die Erfindung erkennt, dass die Folgen von beabsichtigten
Überflutungsangriffen mit Datagrammen und unbeabsichtigten
Überlastungssituationen, die durch eine Flut von Datagrammen
verursacht werden, gemildert werden können, indem man die
herkömmliche Vorstellung, dass man zwischen legitimem und
nicht legitimem Verkehr zu unterscheiden versucht, fallen
lässt. Bei der Erfindung unterliegt der gesamte Datagramm-
Verkehr einem Regelwerk, das versucht zu gewährleisten, dass
legitime Arbeiten ausgeführt werden und ein Server in
Überflutungssituationen ungeachtet dessen, ob die
Überflutung durch legitimen oder nicht legitimen Datagramm-
Verkehr verursacht wird, nicht abstürzt. Die Erfindung trägt
dazu bei, den Absturz eines Servers aufgrund von Überlastung
zu verhindern, und sie verhindert, dass einer oder mehrere
Angreifer die gesamten Server-Ressourcen aufbrauchen.
Als Antwort auf die Ankunft eines Datagramms, das für einen
bestimmten Anschluss des Servers bestimmt ist, werden der
Sende-Host und die Anzahl der Datagramme, die sich für
denselben Host und denselben Anschluss bereits in der
Warteschlange befinden, ermittelt. Wenn diese Anzahl einen
ersten Schwellenwert überschreitet, wird die
Verbindungsanforderung abgewiesen.
In der bevorzugten Ausführungsform wird der erste
Schwellenwert dynamisch festgelegt. Der Eigner eines Servers
gibt für jeden Anschluss, welcher der Prüfung auf
Überflutung durch Datagramme unterzogen wird, eine
Höchstzahl von Datagrammen (M), die jederzeit in die
Warteschlange des Anschlusses gestellt werden dürfen, sowie
einen Kontrollprozentsatz (P) der verfügbaren
Warteschlangenschlitze, die für den Anschluss übrig bleiben,
an. Die Erfindung überwacht die Anzahl (A) der in die
Warteschlange gestellten Datagramme für den Anschluss und
berechnet die Anzahl der verfügbaren Warteschlangenschlitze
(I), indem sie die Anzahl der in die Warteschlange
gestellten Datagramme von der Höchstzahl der Datagramme
abzieht (I=M-A). Wenn die Anzahl der Datagramme, die
sich für den Sende-Host bereits in der Warteschlange
befinden, größer oder gleich P multipliziert mit der Anzahl
der übrig gebliebenen Warteschlangenschlitze ist (=<P.I),
wird das aktuelle Datagramm abgewiesen. Andernfalls wird das
Datagramm in die Warteschlange gestellt, und die Anzahl der
in die Warteschlange gestellten Datagramme (A) für den
Anschluss wird um eins erhöht.
Die Höchstzahl der Datagramme und der Schwellenwert-
Prozentsatz P sind für die meisten Eigner schwierig zu
konfigurieren. Deshalb wird ein "Statistik"-Modus
vorgesehen, der die normalen Verkehrsbelastungen von
verschiedenen Servern misst und einen geeigneten Höchstwert
sowie einen geeigneten Schwellenwert vorschlägt, der
ähnliche legitime Verkehrsbelastungen nicht behindert.
Dieser Statistik-Modus ist nicht Teil der beanspruchten
Erfindung und wird hier nicht weiter beschrieben.
Fig. 1 zeigt ein als erläuterndes Beispiel dienendes
Flussdiagramm von Operationen, die auf einem Server als
Antwort auf den Empfang eines Datagramms ausgeführt werden,
um sicherzustellen, dass eine Überflutungssituation nicht
die Abarbeitung von anderen Arbeiten verhindert und den
Server zum Absturz bringt.
Die Erfindung erfordert, dass ein Eigner eines Servers, der
die Erfindung einsetzt, den Server mit bestimmten Parametern
zur Verwendung durch die Erfindung konfiguriert.
Beispielsweise macht es die bevorzugte Ausführungsform
erforderlich, dass der Eigner für jede Anschluss-Nummer, die
der Prüfung auf Überflutung durch Datagramme unterzogen
wird, eine Höchstzahl von Datagrammen (M), die jederzeit in
die Warteschlange des Anschlusses gestellt werden dürfen,
sowie einen Kontrollprozentsatz (P) der verfügbaren
Warteschlangenschlitze, die für den Anschluss übrig bleiben,
angibt. Der Prozentsatz P dient zur Festlegung eines
Schwellenwerts, um die Weigerung, ein Datagramm zu bedienen,
durch einen Triggerimpuls auszulösen. Während Datagramme in
die Warteschlange gestellt und bedient werden, hält der
Server dynamisch die Anzahl der verfügbaren
Warteschlangenschlitze für jeden Anschluss fest, welcher der
Prüfung auf Überflutung unterzogen wird.
Ein Eintritt in den Schritt 100 in Fig. 1 erfolgt, wenn ein
Datagramm an einem Netzwerk-Server empfangen wird. Der erste
Schritt 106 stellt anhand des Datagramms die Nummer des
Anschlusses fest, an den das Datagramm gerichtet ist. Die in
einem Datagramm enthaltene Anschluss-Nummer stellt einen
Bestimmungsort in einem bestimmten Host-Rechner dar, an den
das Datagramm ausgeliefert werden soll. Manche Anschlüsse
sind für Standarddienste reserviert. Das Network File System
(NFS) ist ein Beispiel für einen Standarddienst, der UDP-
Datagramme empfängt.
Die Kennung (die IP-Adresse) des Sende-Hosts wird ebenfalls
anhand des Datagramms ermittelt. Die Anschluss-Nummer wird
vom Schritt 108 dazu verwendet, einen Speichersteuerblock
für den Anschluss zu lokalisieren oder, wenn gerade kein
Anschluss-Steuerblock vorhanden ist, einen zu erzeugen. An
den Anschluss-Steuerblock werden eine Vielzahl von Host-
Steuerblöcken für Hosts angefügt, die gerade ein oder
mehrere Datagramme in der Warteschlange haben. Wenn der
Sende-Host über keinen Host-Steuerblock verfügt, wird einer
erzeugt. Ein Host-Steuerblock enthält unter anderem den
Zählstand der Anschluss-Verbindungen, die dem Host gerade
zugeordnet sind.
Der Schritt 108 stellt anhand des Datagramms die Kennung des
Sende-Hosts fest, der das Datagramm eingeleitet hat, und mit
Hilfe der Anschluss-Nummer und der Kennung des Hosts
lokalisiert er einen Speichersteuerblock oder erzeugt einen
Speichersteuerblock, wenn gerade keiner vorhanden ist. Ein
vorhandener Speichersteuerblock enthält unter anderem den
Zählstand der Datagramme, die sich vom Host gerade in der
Warteschlange befinden. Der Schritt 108 ermittelt die Nummer
des Anschlusses, an den dieses Datagramm gerichtet ist.
Im Schritt 110 ruft der Server aus dem Speichersteuerblock
die Höchstzahl der in die Warteschlange gestellten
Datagramme M, die für diese Anschluss-Nummer angegeben sind,
den Kontrollprozentsatz P und die Anzahl A der in die
Warteschlange gestellten Datagramme ab. Der Schritt 112
berechnet die Anzahl I der verfügbaren
Warteschlangenschlitze als M-A. Der Schritt 114 stellt
fest, ob die Anzahl der Datagramme, die sich bereits in der
Warteschlange für den Sende-Host befinden, größer oder
gleich P multipliziert mit I ist. Wenn ja, wird das
Datagramm verworfen, und der
Warteschlangensteuerungsalgorithmus endet im Schritt 118.
Wenn die Anzahl der in die Warteschlange gestellten
Datagramme, die bereits vom Sende-Host eingeleitet wurden,
geringer als P multipliziert mit I ist, wird das Datagramm
im Schritt 116 andererseits zur Bedienung in die
Warteschlange gestellt, und A wird um eins erhöht, um die
Anzahl der Datagramme zu aktualisieren, die sich für diese
Anschluss-Nummer in der Warteschlange befinden.
Das beschriebene Rechnerprogramm kann auf praktisch jeder
Art von Rechner, vom Personal Computer bis zum Großrechner
wie zum Beispiel den IBM-Rechnern vom Typ System 390,
ausgeführt werden. Die einzige Voraussetzung ist, dass der
Rechner mit Netzwerkkommunikations-Software konfiguriert und
über das Netzwerk als Server zugänglich ist.
Der Fachmann in den Bereichen, die diese Erfindung betrifft,
erkennt, dass zahlreiche Veränderungen an den hier offen
gelegten Ausführungsformen vorgenommen werden können, die
dennoch unter den Umfang und die Wesensart der Erfindung
fallen.
Claims (8)
1. Verfahren, das dazu dient, einen Überflutungsangriff auf
einen Netzwerk-Server zu verhindern, auf dem eine große
Zahl von verbindungslosen Datagrammen empfangen wird, um
sie in die Warteschlange eines Anschlusses mit einer
bestimmten Nummer auf dem Server zu stellen, das
Folgendes umfasst:
als Antwort auf die Ankunft eines Datagramms von einem Host für eine Anschluss-Nummer auf dem Server wird festgestellt, ob die Anzahl der Datagramme, die von dem Host bereits in die Warteschlange des Anschlusses mit der bestimmten Nummer gestellt wurden, einen vorgegebenen Schwellenwert überschreitet, und wenn ja, wird das Datagramm verworfen.
als Antwort auf die Ankunft eines Datagramms von einem Host für eine Anschluss-Nummer auf dem Server wird festgestellt, ob die Anzahl der Datagramme, die von dem Host bereits in die Warteschlange des Anschlusses mit der bestimmten Nummer gestellt wurden, einen vorgegebenen Schwellenwert überschreitet, und wenn ja, wird das Datagramm verworfen.
2. Verfahren nach Anspruch 1, wobei die Feststellung, ob
die Anzahl der Datagramme, die von dem Host bereits in
die Warteschlange des Anschlusses mit der bestimmten
Nummer gestellt wurden, einen vorgegebenen Schwellenwert
überschreitet, des Weiteren Folgendes umfasst:
der vorgegebene Schwellenwert wird berechnet, indem ein Prozentsatz P mit der Anzahl der verfügbaren Warteschlangenschlitze für die Anschluss-Nummer multipliziert wird.
der vorgegebene Schwellenwert wird berechnet, indem ein Prozentsatz P mit der Anzahl der verfügbaren Warteschlangenschlitze für die Anschluss-Nummer multipliziert wird.
3. Vorrichtung, die dazu dient, einen Überflutungsangriff
auf einen Netzwerk-Server zu verhindern, auf dem eine
große Zahl von Datagrammen empfangen wird, um sie in die
Warteschlange eines Anschlusses mit einer bestimmten
Nummer auf dem Server zu stellen, die Folgendes umfasst:
ein Mittel, um als Antwort auf ein Datagramm von einem Host für eine Anschluss-Nummer auf dem Server festzustellen, ob die Anzahl der Datagramme, die von dem Host in die Warteschlange des Anschlusses gestellt wurden, einen vorgegebenen Schwellenwert überschreitet, und
ein Mittel, das auf das Feststellungsmittel anspricht, um das Datagramm zu verwerfen.
ein Mittel, um als Antwort auf ein Datagramm von einem Host für eine Anschluss-Nummer auf dem Server festzustellen, ob die Anzahl der Datagramme, die von dem Host in die Warteschlange des Anschlusses gestellt wurden, einen vorgegebenen Schwellenwert überschreitet, und
ein Mittel, das auf das Feststellungsmittel anspricht, um das Datagramm zu verwerfen.
4. Vorrichtung nach Anspruch 3, wobei das Mittel zur
Feststellung, ob die Anzahl der Datagramme, die von dem
Host bereits in die Warteschlange des Anschlusses
gestellt wurden, einen vorgegebenen Schwellenwert
überschreitet, des Weiteren Folgendes umfasst:
ein Mittel, um den vorgegebenen Schwellenwert zu berechnen, indem ein Prozentsatz P mit der Anzahl der verfügbaren Warteschlangenschlitze für die Anschluss- Nummer multipliziert wird.
ein Mittel, um den vorgegebenen Schwellenwert zu berechnen, indem ein Prozentsatz P mit der Anzahl der verfügbaren Warteschlangenschlitze für die Anschluss- Nummer multipliziert wird.
5. Speichermedium, das Programmcode-Segmente enthält, um
einen Überflutungsangriff auf einen Netzwerk-Server zu
verhindern, auf dem eine große Zahl von Datagrammen
empfangen werden, um sie in die Warteschlange eines
Anschlusses mit einer bestimmten Nummer auf dem Server
zu stellen, das Folgendes umfasst:
ein erstes Code-Segment, das als Antwort auf ein Datagramm von einem Host für eine Anschluss-Nummer auf dem Server aktiviert wird, um festzustellen, ob die Anzahl der Datagramme, die von dem Host bereits in die Warteschlange des Anschlusses gestellt wurden, einen vorgegebenen Schwellenwert überschreitet, und
ein zweites Code-Segment, das auf das erste Code-Segment anspricht, um das Datagramm zu verwerfen.
ein erstes Code-Segment, das als Antwort auf ein Datagramm von einem Host für eine Anschluss-Nummer auf dem Server aktiviert wird, um festzustellen, ob die Anzahl der Datagramme, die von dem Host bereits in die Warteschlange des Anschlusses gestellt wurden, einen vorgegebenen Schwellenwert überschreitet, und
ein zweites Code-Segment, das auf das erste Code-Segment anspricht, um das Datagramm zu verwerfen.
6. Speichermedium nach Anspruch 5, wobei das erste Code-
Segment des Weiteren Folgendes umfasst:
ein drittes Code-Segment, um den vorgegebenen Schwellenwert zu berechnen, indem ein Prozentsatz P mit der Anzahl der verfügbaren Warteschlangenschlitze für die Anschluss-Nummer multipliziert wird.
ein drittes Code-Segment, um den vorgegebenen Schwellenwert zu berechnen, indem ein Prozentsatz P mit der Anzahl der verfügbaren Warteschlangenschlitze für die Anschluss-Nummer multipliziert wird.
7. Trägerwelle, die Programmcode-Segmente enthält, um einen
Überflutungsangriff auf einen Netzwerk-Server zu
verhindern, auf dem eine große Zahl von Datagrammen
empfangen wird, um sie in die Warteschlange eines
Anschlusses mit einer bestimmten Nummer auf dem Server
zu stellen, die Folgendes umfasst:
ein erstes Code-Segment, das als Antwort auf ein Datagramm von einem Host aktiviert wird, um es in die Warteschlange eines Anschlusses mit einer bestimmten Nummer auf dem Server zu stellen, um festzustellen, ob die Anzahl der Datagramme, die von dem Host bereits in die Warteschlange des Anschlusses gestellt wurden, einen vorgegebenen Schwellenwert überschreitet, und
ein zweites Code-Segment, das auf das erste Code-Segment anspricht, um das Datagramm zu verwerfen.
ein erstes Code-Segment, das als Antwort auf ein Datagramm von einem Host aktiviert wird, um es in die Warteschlange eines Anschlusses mit einer bestimmten Nummer auf dem Server zu stellen, um festzustellen, ob die Anzahl der Datagramme, die von dem Host bereits in die Warteschlange des Anschlusses gestellt wurden, einen vorgegebenen Schwellenwert überschreitet, und
ein zweites Code-Segment, das auf das erste Code-Segment anspricht, um das Datagramm zu verwerfen.
8. Trägerwelle nach Anspruch 7, wobei das erste Code-
Segment des Weiteren Folgendes umfasst:
ein drittes Code-Segment, um den vorgegebenen Schwellenwert zu berechnen, indem ein Prozentsatz P mit der Anzahl der verfügbaren Warteschlangenschlitze für die Anschluss-Nummer multipliziert wird.
ein drittes Code-Segment, um den vorgegebenen Schwellenwert zu berechnen, indem ein Prozentsatz P mit der Anzahl der verfügbaren Warteschlangenschlitze für die Anschluss-Nummer multipliziert wird.
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US09/503,608 US7873991B1 (en) | 2000-02-11 | 2000-02-11 | Technique of defending against network flooding attacks using a connectionless protocol |
Publications (2)
Publication Number | Publication Date |
---|---|
DE10101616A1 true DE10101616A1 (de) | 2001-08-30 |
DE10101616C2 DE10101616C2 (de) | 2003-07-31 |
Family
ID=24002803
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE10101616A Expired - Lifetime DE10101616C2 (de) | 2000-02-11 | 2001-01-16 | Verfahren zum Schutz gegen Netzwerküberflutungsangriffe mit Hilfe eines verbindungslosen Protokolls |
Country Status (4)
Country | Link |
---|---|
US (1) | US7873991B1 (de) |
JP (1) | JP3560552B2 (de) |
KR (1) | KR100378330B1 (de) |
DE (1) | DE10101616C2 (de) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2003048963A1 (en) * | 2001-12-03 | 2003-06-12 | Kent Ridge Digital Labs | A method of connecting a plurality of remote sites to a server |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7996544B2 (en) * | 2003-07-08 | 2011-08-09 | International Business Machines Corporation | Technique of detecting denial of service attacks |
US8464276B1 (en) * | 2010-01-11 | 2013-06-11 | Sprint Communications Company L.P. | Channel monitoring in a messaging-middleware environment |
US9092282B1 (en) | 2012-08-14 | 2015-07-28 | Sprint Communications Company L.P. | Channel optimization in a messaging-middleware environment |
US9264338B1 (en) | 2013-04-08 | 2016-02-16 | Sprint Communications Company L.P. | Detecting upset conditions in application instances |
CN107566206B (zh) * | 2017-08-04 | 2020-09-04 | 华为技术有限公司 | 一种流量测量方法、设备及系统 |
CN110519265B (zh) * | 2019-08-27 | 2022-02-25 | 新华三信息安全技术有限公司 | 一种防御攻击的方法及装置 |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5898830A (en) * | 1996-10-17 | 1999-04-27 | Network Engineering Software | Firewall providing enhanced network security and user transparency |
JP3165366B2 (ja) | 1996-02-08 | 2001-05-14 | 株式会社日立製作所 | ネットワークセキュリティシステム |
US6219728B1 (en) * | 1996-04-22 | 2001-04-17 | Nortel Networks Limited | Method and apparatus for allocating shared memory resources among a plurality of queues each having a threshold value therefor |
US5878224A (en) * | 1996-05-24 | 1999-03-02 | Bell Communications Research, Inc. | System for preventing server overload by adaptively modifying gap interval that is used by source to limit number of transactions transmitted by source to server |
JPH10336202A (ja) * | 1997-06-03 | 1998-12-18 | Fuji Xerox Co Ltd | データ転送装置および方法 |
US6182226B1 (en) * | 1998-03-18 | 2001-01-30 | Secure Computing Corporation | System and method for controlling interactions between networks |
US6725378B1 (en) * | 1998-04-15 | 2004-04-20 | Purdue Research Foundation | Network protection for denial of service attacks |
US6317786B1 (en) * | 1998-05-29 | 2001-11-13 | Webspective Software, Inc. | Web service |
JP3225924B2 (ja) | 1998-07-09 | 2001-11-05 | 日本電気株式会社 | 通信品質制御装置 |
US6515963B1 (en) * | 1999-01-27 | 2003-02-04 | Cisco Technology, Inc. | Per-flow dynamic buffer management |
US6735702B1 (en) * | 1999-08-31 | 2004-05-11 | Intel Corporation | Method and system for diagnosing network intrusion |
-
2000
- 2000-02-11 US US09/503,608 patent/US7873991B1/en not_active Expired - Fee Related
-
2001
- 2001-01-16 DE DE10101616A patent/DE10101616C2/de not_active Expired - Lifetime
- 2001-01-29 KR KR10-2001-0004007A patent/KR100378330B1/ko not_active IP Right Cessation
- 2001-02-02 JP JP2001026567A patent/JP3560552B2/ja not_active Expired - Fee Related
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2003048963A1 (en) * | 2001-12-03 | 2003-06-12 | Kent Ridge Digital Labs | A method of connecting a plurality of remote sites to a server |
Also Published As
Publication number | Publication date |
---|---|
JP3560552B2 (ja) | 2004-09-02 |
KR20010082018A (ko) | 2001-08-29 |
US7873991B1 (en) | 2011-01-18 |
JP2001265678A (ja) | 2001-09-28 |
DE10101616C2 (de) | 2003-07-31 |
KR100378330B1 (ko) | 2003-03-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE60016613T2 (de) | Abschreckungssystem gegen aufschaltung und missbrauch | |
DE69818232T2 (de) | Verfahren und system zur verhinderung des herunterladens und ausführens von ausführbaren objekten | |
DE60114181T2 (de) | Prozessteuerungssystem mit intelligenter rückkopplungsschleife | |
DE60213391T2 (de) | Persönlicher Firewall mit Positionsdetektion | |
DE60201430T2 (de) | Erkennung von computerviren in einem netzwerk unter verwendung eines köderservers | |
DE69825801T2 (de) | Vorrichtung und Verfahren zur Ermöglichung gleichranginger Zugangskontrolle in einem Netz | |
DE60307581T2 (de) | Verbessertes geheimes Hashen der TCP SYN/FIN-Korrespondenz | |
EP1285514B1 (de) | Verfahren und transaktionsinterface zum gesicherten datenaustausch zwischen unterscheidbaren netzen | |
DE60220004T2 (de) | System und Verfahren zur Verhinderung unverlangter elektronischer Post | |
DE60308722T2 (de) | Verfahren, vorrichtung und computersoftware-produkt zur reaktion auf computereinbrüche | |
DE60220214T2 (de) | Methode und System zum Entdecken von Eindringlingen | |
DE69532736T2 (de) | Betriebsverfahren für Rechnernetz | |
DE69936384T2 (de) | System und verfahren für die sicherheit eines kodes | |
DE60130902T2 (de) | Verfahren zum Erkennen des Eindringens in ein Datenbanksystem | |
DE60312235T2 (de) | Verfahren und system zur eindringverhinderung und ablenkung | |
DE69823368T2 (de) | Verfahren und system zur identifizierung und unterdrückung von ausführbaren objekten | |
EP1178409A1 (de) | Cookiemanager zur Kontrolle des Cookietransfers in Internet-Client-Server Computersystem | |
DE112012002054T5 (de) | Spoofing-Angriff-Abwehrverfahren unter Verwendung eines Blockierungsservers | |
DE60114763T2 (de) | Verfahren und Vorrichtung für filtern von Zugriff, und Computerprodukt | |
DE112013006417B4 (de) | Verlustfreie Schalterstruktur mit niedriger Latenzzeit zum Gebrauch in einem Rechenzentrum | |
DE602004011864T2 (de) | Die DOS Angriffsmitigation mit vorgeschlagenen Mitteln von upstream Router | |
DE60306823T2 (de) | Schutzvorrichtung und Verfahren für Server-Computer zur Steuerung von Datenübertragung durch dieselbe | |
JP3560553B2 (ja) | サーバへのフラッド攻撃を防止する方法及び装置 | |
DE102019203773A1 (de) | Dynamische Firewall-Konfiguration und -Steuerung zum Zugreifen auf Dienste, die in virtuellen Netzwerken gehostet werden | |
DE10101616A1 (de) | Verfahren zum Schutz gegen Netzwerküberflutungsangriffe mit Hilfe eines verbindungslosen Protokolls |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8304 | Grant after examination procedure | ||
8364 | No opposition during term of opposition | ||
8320 | Willingness to grant licences declared (paragraph 23) | ||
8328 | Change in the person/name/address of the agent |
Representative=s name: DUSCHER, R., DIPL.-PHYS. DR.RER.NAT., PAT.-ANW., 7 |
|
R071 | Expiry of right |