DE102006011449B4 - Protokollunabhängiges Abhörnetzwerkgerät - Google Patents

Protokollunabhängiges Abhörnetzwerkgerät Download PDF

Info

Publication number
DE102006011449B4
DE102006011449B4 DE102006011449.3A DE102006011449A DE102006011449B4 DE 102006011449 B4 DE102006011449 B4 DE 102006011449B4 DE 102006011449 A DE102006011449 A DE 102006011449A DE 102006011449 B4 DE102006011449 B4 DE 102006011449B4
Authority
DE
Germany
Prior art keywords
listening device
packet
content
package
payload
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102006011449.3A
Other languages
English (en)
Other versions
DE102006011449A1 (de
Inventor
Slawomir K. Ilnicki
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Viavi Solutions Inc
Original Assignee
JDS Uniphase Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by JDS Uniphase Corp filed Critical JDS Uniphase Corp
Publication of DE102006011449A1 publication Critical patent/DE102006011449A1/de
Application granted granted Critical
Publication of DE102006011449B4 publication Critical patent/DE102006011449B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)

Abstract

Verfahren, das folgende Schritte umfasst:
Erfassen eines Pakets (105), das über ein Kommunikationsnetzwerk kommuniziert wird, durch ein Abhörgerät (104);
Abtasten der Nutzdaten des Pakets (105) durch das Abhörgerät (104); und
Bestimmen durch das Abhörgerät (104), ob in den Nutzdaten des Pakets (105) ein Identifizierer (202) enthalten ist, der das Paket (105) derart identifiziert, dass es Inhalt von Interesse (203) für das Abhörgerät (104) enthält;
Authentifizieren der Nutzdaten des Pakets durch das Abhörgerät (104) unter Verwendung eines Authentifizierungstokens, das in den Nutzdaten des Pakets enthalten ist; und
basierend zumindest teilweise auf dem Bestimmen, dass die Nutzdaten des Pakets (105) den Identifizierer (202) umfassen, Verwenden des Inhalts von Interesse, der in den Nutzdaten des Pakets enthalten ist, durch das Abhörgerät (104),
wobei der Inhalt von Interesse Daten umfasst, die durch eine Quelle (101) der Daten für das Abhörgerät (104) bestimmt sind.

Description

  • Kommunikationsnetzwerke sind heutzutage weit verbreitet. Es gibt verschiedene Typen von Kommunikationsnetzwerken, einschließlich, ohne Beschränkung, das Internet und andere weite Netze (WANs), lokale Netze (LANs), Telefonnetze und drahtlose Netze. Außerdem gibt es heute viele unterschiedliche Kommunikationsprotokolle. Informationen werden häufig über Kommunikationsnetzwerke von einer Quelle (oder einem „Sender”) an einen oder mehrere Bestimmungsorte kommuniziert. Außerdem können in dem Netzwerk Überwachungsgeräte implementiert sein, zum Überwachen von Kommunikation entlang solchen Netzwerken. Solche Überwachungsgeräte können allgemein als „Abhörgeräte” bezeichnet werden, weil dieselben im Allgemeinen nicht an der Kommunikation teilhaben und statt dessen eine solche Kommunikation aus einem bestimmten Grund überwachen, wie z. B. für Leistungsüberwachung des Netzwerks, zum Testen und/oder aus anderen Gründen. Ein Abhörgerät kann beispielsweise Pakete erfassen, die entlang dem Netzwerk gesendet werden, und einen Zeitstempel in die Pakete einfügen oder dieselben analysieren, für die Verwendung bei der Überwachung der Leistungsfähigkeit des Kommunikationsnetzwerks.
  • Wenn Pakete an ein spezifisches Netzwerkgerät einschließlich Abhörgeräten gesendet werden, wird herkömmlicherweise eine Form von Netzwerkadressierung verwendet. Das Gerät könnte explizit adressiert werden, entweder beispielsweise durch eine Datenverbindungsschichtadresse (z. B. Internetadresse) oder durch eine Netzwerkschichtadresse (z. B. IP-Adresse). In diesem Schema muss jedes Netzwerkgerät, einschließlich den Abhörnetzwerkgeräten, netzwerkadressierbar sein. Falls von einem bestimmten Ausgangspunkt eines Netzwerkes (z. B. von einer Datenquelle) ein aktiver Test durchgeführt wird, und für eine spezifische Position (z. B. einen Datenbestimmungsort) bestimmt ist, dann muss die Quelle die Datenverbindungs- oder die Netzwerkschichtadresse verwenden, um den Bestimmungsort zu erreichen. Falls der Bestimmungsort ein Abhörgerät ist, dann muss das Abhörgerät bei diesem traditionellen Schema eine Netzwerkadresse haben. Falls die genaue Adresse des Abhörgeräts nicht im Voraus bekannt ist, dann könnte die Quelle entweder Sammelsendungs- oder Rundsendungsadressen verwenden. Es soll angemerkt werden, dass in vielen Fällen die Verwendung von Rundsendungs- und Sammelsendungsadressen nicht erlaubt oder nicht praktisch sein kann.
  • In einigen Fällen kann es wünschenswert sein, dass ein Abhörgerät Kommunikation empfängt, die von einer Quelle für einen anderen Bestimmungsort als die Abhörvorrichtung bestimmt ist. Das heißt, es kann wünschenswert sein, dass das Abhörgerät Kommunikation empfängt, die nicht an ein solches Abhörgerät adressiert ist, aber stattdessen an einen anderen Bestimmungsort adressiert ist. Auf diese Weise kann das Abhörgerät die Pakete überwachen, die entlang einem Weg von einer Quelle zu einem gewünschten Bestimmungsort kommuniziert werden, anstatt zu erfordern, dass die Pakete an das Abhörgerät gerichtet werden. In einigen Fällen ist es wünschenswert, dass einem Abhörgerät keine eindeutige Netzwerkadresse zugeordnet ist. Um beispielsweise die Gesamtzahl von IP-Adressen zu minimieren, die für Geräte auf dem Netzwerk erforderlich sind, kann es sein, dass bestimmten Geräten keine eindeutige IP-Adresse zugewiesen ist. Beispielsweise kann einem Router, der mehrere Tore hat, eine einzige IP-Adresse zugewiesen sein, anstatt dass jedem seiner Tore eine eigene IP-Adresse für zugewiesen ist.
  • Es ist somit wünschenswert, eine Möglichkeit für das Abhörgerät zu schaffen, um Pakete zu identifizieren, die für dasselbe von Interesse sind. Beispielsweise können bestimmte Pakete Informationen umfassen, die das Abhörgerät zum Analysieren, Testen, zum Ändern seiner Konfiguration, usw. wünscht. Somit können Informationen, die für die Verwendung durch das Abhörgerät bestimmt sind, in bestimmten Paketen enthalten sein, die über das Netzwerk kommuniziert werden.
  • Herkömmlicherweise bewerten Abhörgeräte Informationen, die in dem Anfangsblock von Paketen enthalten sind, um die Pakete zu identifizieren, die für das Abhörgerät von Interesse sind, z. B. die Pakete, die Testinformationen, Konfigurationsinformationen und/oder andere Informationen umfassen, die für das Abhörgerät bestimmt sind. Ein Paketfilter kann beispielsweise eine IP-Bestimmungsortadresse mit einer Gerät-IP-Adresse übereinstimmen. Als weiteres Beispiel kann ein Rahmenfilter für ein Ethernetgerät prüfen, ob die Bestimmungsort-MAC-Adresse in einem erfassten Rahmen mit der MAC-Adresse übereinstimmt. Diese Adressen befinden sich an sehr spezifischen Positionen entsprechender Anfangsblöcke, wie es in der Technik gut bekannt ist. Bei Ethernet ist die Bestimmungsort-MAC-Adresse beispielsweise die ersten sechs Bytes des Rahmen. Dies erfordert, dass das Abhörgerät mit Kenntnis bezüglich des Protokolls implementiert wird, das durch die Pakete verwendet wird, die dasselbe erfasst. Das heißt, das Abhörgerät muss die Fähigkeit haben, die Kommunikationsprotokolle zu verstehen, auf die es trifft, so dass es die Anfangsblockinformationen erfolgreich bewerten kann, die in den Paketen gemäß den verschiedenen Protokollen enthalten sind. Es gibt viele Protokolle und Protokolle ändern sich und werden weiterentwickelt, was für das Implementieren/Aktualisieren von Abhörgeräten mühsam ist, die in der Lage sind, Pakete zu bewerten, die über eines der verschiedenen Protokolle kommuniziert werden, um die Pakete zu identifizieren, die von Interesse sind.
  • Folglich müssen herkömmliche Abhörgeräte implementiert werden, um Kenntnis bezüglich der Protokolle aufzuweisen, auf die dieselben treffen könnten. Die erhöht die Komplexität der Geräte, was ihre Größe und ihre Verarbeitungszeit unerwünscht erhöhen kann. Ferner erhöht eine solche Komplexität die Zeit und Ressourcen, die zum Herstellen der Abhörgeräte erforderlich sind.
  • Die WO 01/47222 A2 beschreibt ein System und ein Verfahren zur Überwachung von Datenkommunikationen, gemäß dem eine Kommunikation empfangen wird und in ein lesbares Format umgewandelt wird. Das System fängt eine Kommunikation ab und übergibt eine Kopie der Kommunikation an ein Überwachungszentrum in dem lesbaren Format.
  • Die WO 2004/103006 A1 beschreibt ein Verfahren zum Abfangen von Sitzungen (Sessionen), wobei das Verfahren den Schritt des Identifizierens eines Pakets einer Sitzung, die abzufangen ist, umfasst. Die Identifizierung erfolgt basierend auf den Medienkomponenteninformationen der Sitzung, und sofern das Paket abzufangen ist, wird eine Kopie des Pakets an ein entsprechendes Überwachungselement weitergeleitet.
  • Die WO 2004/057517 A1 beschreibt einen Autorisierungsmechanismus innerhalb eines Peer-to-Peer-Netzwerks. Wenn ein Benutzer eine Datei von einem Peer-Knoten abzurufen wünscht, muss der Peer-Knoten des Benutzers ein Berechtigungstoken von einem zentralen Server erhalten, der den Benutzer authentifiziert. Der Peer-Knoten des Benutzers stellt dann das Berechtigungstoken zusammen mit der Anfrage nach der Datei dem anderen Peer-Knoten bereit, der nach Überprüfung des Berechtigungstokens mit der angeforderten Datei antwortet.
  • Es ist die Aufgabe der vorliegenden Erfindung, ein Verfahren und ein Kommunikationspaket mit verbesserten Charakteristika zu schaffen.
  • Diese Aufgabe wird durch ein Verfahren gemäß Anspruch 1 und 9 sowie ein Kommunikationspakte gemäß Anspruch 15 gelöst.
  • Ausführungsbeispiele der vorliegenden Erfindung liefern ein protokollunabhängiges bzw. protokollgenerisches (oder ein „protokollunbewusstes”) Abhörgerät, das in der Lage ist, Verkehr zu überwachen, der über ein Kommunikationsnetzwerk kommuniziert wird, und Pakete, die für das Abhörgerät von Interesse sind, in einem solchen Verkehr zu identifizieren. Wie es hierin ferner beschrieben ist, sind Techniken vorgesehen, die Paketidentifikation und Paketauthentifizierung ermöglichen. Wie es hierin nachfolgend näher beschrieben wird, authentifiziert eine solche „Paketauthentifizierung” bei bestimmten Ausführungsbeispielen nicht das gesamte Paket, sonder authentifiziert stattdessen die ID und den Inhalt, der für das Abhörgerät bestimmt ist. Somit kann ein Abhörgerät Pakete identifizieren, die von Interesse sind, und kann die Identifizierungsinformationen und die Informationen, die für das Abhörgerät von Interesse sind, authentifizieren. Ausführungsbeispiele der vorliegenden Erfindung sind protokollunabhängig und erfordern somit nicht, dass das Abhörgerät eine A priori-Kenntnis über das verwendete Kommunikationsprotokoll hat, damit das Abhörgerät in der Lage ist, Pakete von Interesse zu identifizieren und solche Pakete zu authentifizieren. Somit kann das protokollunabhängige Abhörgerät verwendet werden und dynamisch angepasst werden an jedes Kommunikationsprotokoll, das auf dem Kommunikationsnetzwerk verwendet werden kann, ohne eine Modifikation des Abhörgeräts zu erfordern.
  • Wie es nachfolgend beschrieben wird, anstatt Informationen auf protokollspezifische Weise in einem Paket aufzunehmen (wie z. B. in dem Anfangsblock von Paketen), zum Identifizieren des Pakets als eines, das für das Abhörgerät von Interesse ist, umfassen Ausführungsbeispiele der vorliegenden Erfindung einen Identifizierer in einer protokollunabhängigen Weise. Ein Identifizierer kann beispielsweise in den Nutzdaten des Paktes enthalten sein. Bei bestimmten Ausführungsbeispielen kann das Abhörgerät die Nutzdaten eines erfassten Pakets für einen Identifizierer abtasten und auf das Erkennen des Identifizierers hin Techniken zum Authentifizieren des Pakets verwenden.
  • Gemäß einem Ausführungsbeispiel umfasst ein Verfahren das Erfassen eines Pakets, das über ein Kommunikationsnetzwerk kommuniziert wird, durch ein Abhörgerät. Das Abhörgerät tastet die Nutzdaten des Pakets ab und bestimmt, ob in den Nutzdaten des Pakets ein Identifizierer enthalten ist, der das Paket identifiziert, dass es Inhalte von Interesse für das Abhörgerät enthält. Basierend zumindest teilweise auf dem Bestimmen, dass die Nutzdaten des Pakets einen solchen Identifizierer umfassen, verwendet das Abhörgerät den Inhalt von Interesse, der in den Nutzdaten des Pakets enthalten ist.
  • Gemäß einem Ausführungsbeispiel umfasst ein Verfahren das Bilden eines Pakets, das Inhalt enthält, der für ein Abhörgerät bestimmt ist, wobei das Paket einen Anfangsblockabschnitt und einen Nutzdatenabschnitt umfasst. Der Nutzdatenabschnitt umfasst a) einen vordefinierten Identifizierer, der das Paket identifiziert, das Inhalt enthält, der für das Abhörgerät bestimmt ist, b) den Inhalt, der für das Abhörgerät bestimmt ist, und c) ein Authentifizierungstoken zum Authentifizieren des vordefinierten Identifizierers und des Inhalts, der für das Abhörgerät bestimmt ist. Das Verfahren umfasst ferner das Richten des Pakets an einen Bestimmungsort über ein Kommunikationsnetzwerk. Bei bestimmten Ausführungsbeispielen ist der Bestimmungsort, an den das Paket gerichtet wird, ein anderer Bestimmungsort als das Abhörgerät, wobei das Abhörgerät ein solches Paket abfängt und erkennt, dass dasselbe Inhalt beinhaltet, der für das Abhörgerät bestimmt ist.
  • Das Vorhergehende hat die Merkmale der vorliegenden Erfindung eher grob skizziert, damit die detaillierte Beschreibung der Erfindung, die nun folgt, besser verständlich wird. Zusätzliche Merkmale und Vorteile der Erfindung, die Teil des Gegenstands der Ansprüche der Erfindung bilden, werden hierin nachfolgend beschrieben. Es sollte klar sein, dass das Konzept und das spezifisch offenbarte Ausführungsbeispiel ohne Weiteres als Basis verwendet werden können zum Modifizieren oder Entwerfen anderer Strukturen zum Ausführen der gleichen Zwecke der vorliegenden Erfindung. Es sollte auch klar sein, dass solche äquivalenten Aufbauten nicht von der Erfindung abweichen, wie sie in den angehängten Ansprüche beschrieben ist. Die neuartigen Merkmale, die charakteristisch für die Erfindung sind, sowohl bezüglich ihres Aufbaus als auch ihrer Funktionsweise, werden zusammen mit weiteren Aufgaben und Vorteilen von der folgenden Beschreibung im Zusammenhang mit den beiliegenden Zeichnungen besser verständlich. Es ist jedoch ausdrücklich klar, dass jede der Figuren nur zu Darstellungs- und Beschreibungszwecken geliefert wird und nicht als Definition der Begrenzungen der vorliegenden Erfindung beabsichtigt ist.
  • Bevorzugte Ausführungsbeispiele der vorliegenden Erfindung werden nachfolgend Bezug nehmend auf beiliegende Zeichnungen näher erläutert. Es zeigen:
  • 1 ein beispielhaftes System, das ein Ausführungsbeispiel der vorliegenden Erfindung verwendet;
  • 2 eine beispielhafte Konfiguration eines Kommunikationspakets gemäß einem Ausführungsbeispiel der vorliegenden Erfindung; und
  • 3 ein Betriebsflussdiagramm gemäß einem Ausführungsbeispiel der vorliegenden Erfindung.
  • Ausführungsbeispiele der vorliegenden Erfindung liefern ein protokollunabhängiges (oder „protokollunbewusstes”) Abhörgerät, das in der Lage ist, Verkehr zu überwachen, über ein Kommunikationsnetzwerk kommuniziert, und Pakete in einem solchen Verkehr zu identifizieren, die für das Abhörgerät von Interesse sind. Wie es hierin nachfolgend näher beschrieben wird, sind Techniken vorgesehen, die Paketidentifikation und Paketauthentifizierung ermöglichen. Das heißt, ein Abhörgerät kann Pakete identifizieren, die von Interesse sind, und kann solche Pakete authentifizieren. Ausführungsbeispiele der vorliegenden Erfindung sind protokollunabhängig und erfordern somit nicht, dass das Abhörgerät eine A priori-Kenntnis über das verwendete Kommunikationsprotokoll hat, damit das Abhörgerät in der Lage ist, Pakete zu identifizieren, die von Interesse sind, und solche Pakete zu authentifizieren. Somit kann das Paket protokollunabhängige Abhörgerät verwendet werden und dynamisch angepasst werden an jedes Kommunikationsprotokoll, das auf dem Kommunikationsnetzwerk verwendet werden kann, ohne Modifikationen des Abhörgerät zu erfordern.
  • Wie es nachfolgend näher beschrieben ist, anstatt Informationen auf protokollspezifische Weise (wie z. B. in dem Anfangsblock von Paketen) in einem Paket aufzunehmen, zum Identifizieren des Pakets als eines, das für das Abhörgerät von Interesse ist, umfassen Ausführungsbeispiele der vorliegenden Erfindung einen Identifizierer in einer protokollunabhängigen Weise. Ein Identifizierer kann beispielsweise in den Nutzdaten des Pakets enthalten sein. Bei bestimmten Ausführungsbeispielen kann das Abhörgerät die Nutzdaten eines erfassten Pakets für einen Identifizierer abtasten und auf das Erkennen des Identifizierers hin Techniken zum Authentifizieren des Pakets verwenden.
  • Bei bestimmten Ausführungsbeispielen können Informationen, die für ein Abhörgerät bestimmt sind, als Paket in dem Paket angesehen werden. Das heißt, ein Teil der Nutzdaten des Pakets, die für das Abhörgerät bestimmt ist, können als Paket angesehen werden, während das Gesamtpaket als ein „Trägerpaket” (oder „Handtaschenpaket”) bezeichnet werden kann und der Abschnitt des Gesamtpakets, der für das Abhörgerät bestimmt ist, kann als ein „eingebettetes Paket” (oder „Brieftaschenpaket”) bezeichnet werden. Genau so wie eine Handtasche eine Brieftasche (die selbst bestimmte Elemente trägt) tragen kann, kann ein Handtaschenpaket ein Brieftaschenpaket tragen, das Informationen umfasst, die für das Abhörgerät bestimmt sind. Der Brieftaschenabschnitt des tragenden Pakets (d. h. der Abschnitt, der für das Abhörgerät bestimmt ist) kann durch einen Identifizierer identifiziert werden, der in den Nutzdaten eines solchen Tragepakets enthalten ist. Der Brieftaschenabschnitt des Tragepakets kann Informationen umfassen, die für das Abhörgerät bestimmt sind, wie z. B. Test- oder Konfigurationsinformationen. Folglich umfasst der Brieftaschenabschnitt des Tragepakets einen Identifizierer (ID) und Inhalt, der für das Abhörgerät bestimmt ist. Ferner kann eine Authentifizierungstechnik zum Authentifizieren des Brieftaschenabschnitts des Tragepakets verwendet werden. Somit kann das Tragepaket ferner ein Authentifizierungstoken umfassen, das zum Authentifizieren des Brieftaschenabschnitts des Tragepakets verwendet werden kann. Wie es nachfolgend näher beschrieben wird, fördert eine solche Authentifizierung einen sicheren Betrieb und eliminiert falsch-Positive, die andernfalls angetroffen werden können.
  • 1 zeigt ein beispielhaftes System 100, das ein Ausführungsbeispiel der vorliegenden Erfindung verwendet. Das System 100 umfasst ein Datenquellgerät 101 und ein Bestimmungsortgerät 102, die über ein Kommunikationsnetzwerk 103 miteinander gekoppelt sind. Das Kommunikationsnetzwerk 103 kann jeder Kommunikationsnetzwerktyp sein, der nun bekannt ist oder später entwickelt wird, einschließlich, ohne Beschränkung, dem Internet und/oder anderen WANs, LANs, Telefonnetzwerken, drahtlosen Netzwerken und/oder jede Kombination der vorhergehenden. Das Kommunikationsnetzwerk 103 ist vorzugsweise ein paketvermitteltes Netzwerk. Obwohl bei diesem Beispiel nur zwei Geräte 101 und 102 als über ein gemeinsames Kommunikationsnetzwerk 103 miteinander gekoppelt gezeigt sind, sollte klar sein, dass jede Anzahl von Geräten so verbunden sein kann. In der Praxis sind typischerweise viele Geräte über ein Kommunikationsnetzwerk miteinander gekoppelt, so dass dieselben auf die Weise miteinander kommunizieren können, die bei diesem darstellendem Beispiel für die Geräte 101 und 102 beschreiben ist. Obwohl bei diesem Beispiel das Gerät 101 als eine Quelle angezeigt ist und das Gerät 102 als ein Bestimmungsort angezeigt ist, ist ferner klar, dass die Kommunikation bidirektional sein kann, so dass bei einigen Fällen das Gerät 102 die Quelle ist und das Gerät 101 der Bestimmungsort. Das protokollunabhängige Abhörgerät 104 wird in dem Kommunikationsnetzwerk 103 verwendet zum Überwachen von Paketen, die über ein solches Netzwerk kommuniziert werden, wie z. B. das Paket 105, das bei diesem darstellenden Beispiel von der Quelle 101 zu dem Bestimmungsort 102 kommuniziert wird.
  • Das protokollunabhängige Abhörgerät 104 ist in der Lage, Pakete zu erfassen (z. B. abzufangen), die von der Quelle 101 zu dem Bestimmungsort 102 verlaufen, und zu bestimmen, ob einer erfasstes Paket Informationen von Interesse für das Abhörgerät umfasst, wie z. B. Test- oder Konfigurationsinformationen. Bei dem Beispiel von 1 nehme man an, dass das Paket 105 ein Test/Konfigurationspaket ist, das von der Quelle 101 zu dem Bestimmungsort 102 verläuft. Auf dem Weg zu dem Bestimmungsort 102 wird das Paket 105 durch das protokollunabhängige Abhörgerät (oder die „Sonde”) 104 abgefangen. Das protokollunabhängige Abhörgerät 104 erkennt das Paket 105 als ein spezielles Test-/Konfigurationspaket, durch Abtasten nach einer ID, die in die Nutzdaten des Pakets eingebettet ist, und Finden derselben. Eine solche ID kann durch die Quelle des Pakets in die Nutzdaten des Pakets injiziert werden. Die Quelle 101, die auch ein Abhörgerät sein kann, kann beispielsweise ein vorbeigehendes Paket nachbilden und seinen Inhalt (Nutzdaten) ändern durch Einfügen der ID und anderer Informationen, die für das Abhörgerät 104 bestimmt sind.
  • Eine beispielhafte Konfiguration des Pakets 105 gemäß einem Ausführungsbeispiel ist in 2 als Paket 105 A gezeigt. Das Paket 105 A umfasst einen Paketanfangsblock 201, wie er typischerweise in Paketen enthalten ist. Das Paket 105 A umfasst ferner eine ID 202 gefolgt durch Inhalt 203, der für das Abhörgerät 104 bestimmt ist. Wie es oben angemerkt wurde, kann das Paket 105 A als ein Trage- oder Handtaschenpaket bezeichnet werden, und die Abschnitte 202 und 203 des Pakets 105 A können als ein eingebettetes oder Brieftaschenpaket bezeichnet werden. Das Paket 105 A umfasst auch ein Authentifizierungstoken 204 zum Authentifizieren der Abschnitte 202 und 203. Bei diesem Beispiel ist das Authentifizierungstoken 204 ein HMAC-(Hashbasierter Mitteilungsauthentifizierungscode-)Authentifizierungstoken, das unter Verwendung einer gut bekannten Authentifizierungstechnik erzeugt wird, wie es nachfolgend näher beschrieben wird. Selbstverständlich kann bei anderen Ausführungsbeispielen jede andere Authentifizierungstechnik, die nun bekannt ist oder später entwickelt wird, verwendet werden.
  • Es sollte klar sein, dass Ausführungsbeispiele der vorliegenden Erfindung bestehende Verfahren nicht negieren, sondern eher erweitern durch Spezifizieren, dass ein spezielles Paket, das für ein Abhörgerät bestimmt ist, durch eine Form der Identität identifiziert werden kann, die in die Nutzdaten des Pakets eingebettet ist. Damit beispielsweise ein Test-/Konfigurationspaket 105 A durch das protokollunabhängige Abhörgerät 104 als spezielles Paket erkannt wird, muss ein solches Abhörgerät ID(s) 202 kennen, die durch die Quelle 101 eingefügt werden können, um Pakete als speziell zu identifizieren (z. B. können bekannte IDs lokal an dem Abhörgerät gespeichert werden, für die Verwendung im Vergleich mit potentiellen IDs, die in den empfangenen Paketen enthalten sind). Jeder geeignete Typ des Identifizierens von Informationen kann als ID(s) 202 verwendet werden. Die ID 202 könnte beispielsweise eine eindeutige MAC-Adresse einer spezifischen Sonde oder eine Sammelsendungs-MAC-Adresse sein, die eine Gruppe von Sonden adressiert. Die Quelle 101 und die Sonde sind bei diesem Ausführungsbeispiel implementiert, um zu wissen, wo die ID 202 in dem Paket einzufügen ist, und um zu wissen, wie dieselbe zu finden ist. Die ID kann eine Zeichenfolge von Bytes oder jede Struktur sein (die auch als ein „Fingerabdruck” bezeichnet werden kann), die in die Nutzdaten des Pakets eingefügt wird und mit gut bekannten Zeichenfolgen abgegrenzt ist. Die ID kann beispielsweise eine Zeichenfolge umfassen, die mit „GBIC” beginnt und mit „CIBG” endet. Gleichartig dazu kann die ID bei bestimmten Ausführungsbeispielen einen Teil einer solchen ID vor dem Inhalt 203 und einen Teil am Ende des Inhalts 203 umfassen, ähnlich zu Tags, die in XML/HTML verwendet werden. Beispielsweise kann „GBIC” eine ID sein, die den Anfang des Inhalts 203 anzeigt, und „CIBG” kann das Ende des Inhalts 203 anzeigen, wobei nur wenn sowohl die Anfangs- als auch End-ID gefunden wird, das Paket als ein „spezielles” Paket angesehen wird, das von Interesse ist. Als weiteres Beispiel kann die ID 202 eine Struktur sein, die an oder über einen gut bekannten Versatz von dem Anfang des Rahmens/Pakets oder spezifischen Paketanfangsblocks angeordnet ist. Es sollte klar sein, dass bei einer solchen Implementierung die ID 202 nicht genau an dem Versatz eingefügt werden muss, sondern eher an einer Position über den Versatz hinaus, so dass das protokollunabhängige Abhörgerät 104 implementiert sein kann, um seine Suche durch das Paket nach einem solchen Versatz zu beginnen, auf der Suche nach einer ID 202. Anders ausgedrückt, das protokollunabhängige Abhörgerät 104 kann Strukturanpassung durchführen, beginnend von dem Versatz bei einem Paket, um zu bestimmen, ob die ID 202 gefunden wird. Bei bestimmten Ausführungsbeispielen könnte die Größe der ID 202 für eine spezifische ID oder für alle möglichen ID-Typen festgelegt sein. Selbstverständlich muss bei bestimmten Ausführungsbeispielen, wie z. B. denjenigen, die ID-Abgrenzung verwenden, eine Versatzposition und ID-Größe nicht vordefiniert werden für ein Paket, das als speziell zu identifizieren ist.
  • Beim Betrieb eines Ausführungsbeispiels tastet das abfangende protokollunabhängige Abhörgerät 104 die Nutzdaten des erfassten Pakets 105 A auf der Suche nach einer ID 202 ab und halt bei der ersten Übereinstimmung an. Wenn daher bei bestimmten Ausführungsbeispielen die ID 202 in das Paket 105 A eingefügt wird, stellt die Quelle 101 sicher, dass der Platz zwischen der ID 202 und dem Anfang des Paketabtastbereichs keine Informationen enthält, die fälschlicherweise als spezielle ID identifiziert werden könnten. Bei einem Ausführungsbeispiel kann die Quelle 101 jeden Platz füllen, der fälschlicherweise als ID identifiziert werden könnte, mit Null Bytes. Das Modifizieren eines solchen Abschnitts eines Pakets auf diese Weise kann jedoch nicht immer wünschenswert oder möglich sein, und ob es richtig ist, eine solche Technik zu verwenden, kann auch von der verwendeten Authentifizierungstechnik abhängen. Bei bestimmten Ausführungsbeispielen kann, anstatt oder zusätzlich zu der Verwendung von solchen Null-Bytes-Versätzen eine Authentifizierungstechnik verwendet werden, um das Abhörgerät zu benachrichtigen, falls es versucht, die falsche ID zu berücksichtigen. Das heißt, falls vor der wahren ID eine falsch-positive ID in dem Paket existiert, dann könnte der Inhalt nach der falsch-positiven ID nicht durch das Token 204 authentifiziert werden. Daher könnte das Abhörgerät erfassen, dass die falsch-positive ID nicht wahr ist, und das Abtasten des Pakets für weitere Ids fortsetzen, bis es die wahre ID, die authentifiziert wird, oder das Ende des Pakets erreicht.
  • Es sollte angemerkt werden, dass für Test/Konfigurationspakete 105 A der Paketanfangsblock 201 die IP-Adresse eines Routers oder Netzwerkgeräts enthalten kann, zu dem das Paket verlaufen wird. Wenn das protokollunabhängige Abhörgerät 104 das Paket abfängt, tastet ein solches Abhörgerät 104 die Nutzdaten auf der Suche nach der ID 202 ab. Durch Übereinstimmen der ID in dem Paket 105 A mit ID(s), die dem Abhörgerät 104 bekannt sind, könnte das Abhörgerät 104 dasselbe als ein spezielles Test/Konfigurationspaket erkennen und auf den Test/Konfigurationsinhalt einwirken, der der ID 202 folgt. Erneut könnte das ID-Feld 202 als jeder Typ von Identifizierer implementiert werden. Als ein Beispiel könnte die ID 202 eine Kombination von MAC-Adresse und VLAN-IDs sein. Falls die MAC-Adresse beispielsweise eine Rundsendung ist und die VLAN-ID mit der VLAN-ID des Abhörgeräts übereinstimmt, könnte dieselbe als ein spezielles Test/Konfigurationspaket erkannt werden, das durch Abhörgeräte verarbeitet werden kann, die zu der gleichen VLAN gehören.
  • In den Paketnutzdaten nach der ID 202 befinden sich Informationen 203, die für das Abhörgerät bestimmt sind (oder für das Abhörgerät von Interesse sind), wie z. B. Test/Konfigurationsinhalt mit einem Format, das dem Abhörgerät bekannt ist. Ein solcher Inhalt 203 könnte beispielsweise die Größe des Test-/Konfigurationsinhalt sein, gefolgt von einem Operationscode, einer Folgenummer, einem Zeitstempel und einigen anderen Attributen für eine aktive Testpaketmessverzögerung. Das Authentifizierungstoken (z. B. HMAC-Authentifizierungstoken) 204, das dem Inhalt 203 folgt, wird zumindest teilweise zum Eliminieren von falschen Positiven verwendet, wie es nachfolgend näher beschrieben wird.
  • Während der Paketnutzdatenabtastung kann es zufällig passieren, dass der Inhalt eines regulären Pakets mit einer der IDs übereinstimmt, die dem protokollunabhängigen Abhörgerät 104 bekannt sind. Dies kann dazu führen, dass das Abhörgerät 104 glaubt, dass Daten, die dem übereinstimmenden Wert folgen, Informationen von Interesse darstellen (z. B. Test- oder Konfigurationsdaten). Um solche falsch-Positive zu verhindern, können die Paketnutzdaten ferner ein Authentifizierungstoken 204 umfassen. Bei einem Ausführungsbeispiel wird eine HMAC-Authentifizierung des Pakets verwendet, die eine gut bekannte Authentifizierungstechnik ist. Bei einem Ausführungsbeispiel ist diese Authentifizierung nur für den „Brieftaschen”-Abschnitt des Pakets 105A. Das heilt, es authentifiziert die ID 202 und den Inhaltsabschnitt 203 des Pakets 105 A. Diese Authentifizierung kann auf einem gemeinsamen Geheimnis basieren, das mit den Paketnutzdaten hash-codiert ist. Bei einem Ausführungsbeispiel identifiziert die HMAC-Authentifizierung nicht nur positiv Pakete als Test-/Konfigurationspakete, sondern identifiziert auch, dass dieselben von einer ungefälschten Quelle 101 kommen. Es sollte angemerkt werden, dass bei einem Ausführungsbeispiel das gemeinsame Geheimnis zwischen der Quelle der Test-/Konfigurationspakete 105A (Quelle 101 von 1) und den protokollunabhängigen Abhörgeräten 104 geteilt wird. Um das Paket als besonders zu identifizieren, kann der HMAC-Authentifizierungshashwert Paketanfangsblockinformationen umfassen, die sich während dem Routing nicht ändern und keine Paketnutzdaten umfassen, die dem HMAC-Authentifizierungstoken folgen. Dies bedeutet beispielsweise dass die IP-Anfangsblock-TTL (TTL = Time To Live, restliche Lebensdauer) bei diesem Beispiel nicht in dem Hash-Wert enthalten ist, weil sich dieselbe von Teilstrecke zu Teilstrecke ändert. Um die Implementierung einfach zu machen, d. h. ohne alle Felder zu berücksichtigen, kann die Quelle 101 den Paketanfangsblock einfach zu den Nutzdaten kopieren. Das Abhörgerät 104 könnte dann nicht nur die HMAC-Authentifizierung verifizieren, sondern auch, ob der Paketanfangsblock in den Nutzdaten mit Teilen des echten Paketanfangsblocks übereinstimmt. Diese Form des Schutzes wirkt gegen Impersonationsangriffe, wo der Angreifer den Inhalt unter Verwendung seiner eigenen Pakete ausschneiden und kopieren könnte.
  • Es sollte klar sein, dass der Inhalt der Datenpakete auf viele Weisen authentifiziert werden kann. HMAC ist eine beispielhafte Technik, die grundsätzlich ein Hash-Wert der Datennutzlast mit einem gemeinsamen Geheimnis ist. Erneut sind Ausführungsbeispiele der vorliegenden Erfindung nicht auf eine solche HMAC-Athentifizierungstechnik begrenzt.
  • 3 zeigt ein Betriebsflussdiagramm gemäß einem Ausführungsbeispiel der vorliegenden Erfindung. Bei dem Betriebsblock 301 erfasst ein Abhörgerät 104 ein Paket 105, das über ein Kommunikationsnetzwerk 103 kommuniziert wird, das von einer Quelle 101 für einen anderen Bestimmungsort 102 als das Abhörgerät bestimmt ist. Bei dem Betriebsblock 302 tastet das Abhörgerät 104 die Nutzdaten des erfassten Pakets ab und sucht nach einem vordefinierten Identifizierer 202 in denselben. Bei dem Betriebsblock 303 bestimmt das Abhörgerät 104, ob sich der vorbestimmte Identifizierer 202 in den Nutzdaten des Pakets befindet. Falls kein solcher vordefinierter Identifizierer 202 gefunden wird, schreitet der Betrieb zu Block 304 fort, um zu bestimmen, ob das Ende des Pakets erreicht ist. Falls das Ende des Pakets nicht erreicht ist, kehrt der Betrieb zu Block 302 zurückt, wo das Gerät das Abtasten des Pakets fortsetzt. Falls das Ende des Pakets erreicht ist, wird das Paket so betrachtet, dass es keine Informationen von Interesse für das Abhörgerät umfasst, und der Betrieb kehrt zu Block 302 zurück, um das nächste Paket zu erfassen.
  • Gemäß einem Ausführungsbeispiel beginnt das Gerät mit dem Lesen des Inhalts 203 nach einer gefundenen Hash-ID 202, bis es das Authentifizierungstoken 204 erreicht. Falls das Abhörgerät nicht a priori weiß, wo das Authentifizierungstoken 204 mit jedem hash-codierten Byte ist, prüft es, ob die folgenden Bytes des Authentifizierungstoken darstellen. Dies ist in diesem Falle in sehr aufwendiger Prozess, weil jedes Mal, wenn das neue Byte gelesen wird, das Gerät das Produkt mit dem gemeinsamen Geheimnis hash-codieren muss und mit den folgenden Bytes vergleichen muss. Bei einer typischen Anwendung dieses Ausführungsbeispiels der Erfindung kann die ID 202 die Größe des Inhalts 203 anzeigen, und wo das Authentifizierungstoken 204 zu finden ist. Somit kann die ID 202 nicht nur Informationen umfassen, die dieselbe so identifizieren, dass sie Inhalte von Interesse für das Abhörgerät umfasst, sondern dieselbe kann auch bestimmte variable Informationsfelder umfassen, die das Abhörgerät verstehen kann als die Länge des Inhalts 203 spezifizierend, und wo das Authentifizierungstoken 204 zu finden ist. Falls sich der vordefinierte Identifizierer 202 in den Nutzdaten des Pakets befindet, schreitet der Berieb von Block 303 zu Block 305 fort, wo das Abhörgerät ein Authentifizierungstoken 204 verwendet, das in den Nutzdaten des Pakets enthalten ist, um das Paket zu authentifizieren. Bei dem Betriebsblock 305 bestimmt das Abhörgerät, ob die ID und der Inhalt des Paktes erfolgreich authentifiziert wird. Falls nicht, kehrt der Betrieb zu Block 302 zurück und setzt Abtastungen vor der Stelle fort, wo die vorhergehende ID in dem Paket gefunden wurde, um zu bestimmen, ob eine weitere (wahre) ID darin enthalten ist. Bei einer FPGA- oder ASIC-Implementierung kann es jedes Mal, wenn eine ID gefunden wird, parallele Hash-Werte erstellen.
  • Falls die ID und der Paketinhalt erfolgreich authentifiziert werden, schreitet der Betrieb von Block 306 zu Block 307 fort, wo das Abhörgerät bestimmt, dass die Nutzdaten des Pakets Inhalt 203 von Interesse für das Abhörgerät enthalten. Ansprechend darauf kann das Abhörgerät ausgelöst werden, um weitere Aktionen durchzuführen, wie z. B. Einwirken auf die Inhalte von Interesse oder anderweitiges Verwenden des Inhalts von Interesse auf irgendeine Weise. Der Inhalt kann beispielsweise als Konfigurationsinformation verwendet werden, und/oder das Gerät kann einen Zeitstempel extrahieren, der durch einen Knoten früher eingefügt wurde, um eine Einwegverzögerung zu bestimmen. Eine Sendesonde kann beispielsweise eine Folgenummer und einen Zeitstempel in die Paketnutzdaten einfügen, sowie einen Operationscode, der die Abgriffsonde bzw. Sinksonde informiert, die ersten 128 Bytes des Pakets zu holen und diese Informationen mit einem Zeitstempel zu senden, wenn das Paket an der Abgriffsonde zu einem Datenkollektor ankommt. Die 128 Bytes des Pakets könnten durch den Kollektor syntaktisch analysiert werden, um zu bestimmen, worum es in diesem Paket geht, und von der Folgenummer und den Zeitstempeln könnte dasselbe Paketverzögerung, Paketverzögerungsschwankung und Paketverlust bestimmen, falls es mehr Pakete der gleichen Art gibt, die an dem Datenkollektor erfasst und analysiert werden. Die Sonden könnten vollständig unwissend sein über das, worum es in den Paketen geht. Der Betrieb kehrt dann zu Block 301 zurück, wo das Abhörgerät ein weiteres Paket erfasst und der oben beschriebene Prozess wiederholt werden kann.
  • Bezüglich der obigen Ausführungen erfordern bestimmte Ausführungsbeispiele der vorliegenden Erfindung nicht die Verwendung einer Datenverbindungs- oder Netzwerkschichtadresse in dem Paketanfangsblock, um Pakete zu identifizieren, die der Verarbeitung als Test- und Konfigurationspaket durch ein Abhörgerät unterworfen sind. Statt dessen ist eine protokollunabhängige Technik vorgesehen, die durch Abhörgeräte zum Identifizieren von Paketen, die von Interesse sind, wie z. B. Test-/Konfigurationspaketen, verwendet werden kann. Eine Anwendung von Ausführungsbeispielen der vorliegenden Erfindung ist für die Konfiguration von Netzwerkgeräten, die über eine IP-Adresse von der Quelle nicht netzwerkadressierbar sind. Beispielsweise hat das Gerät keine IP-Adresse, die bereits konfiguriert ist, oder es kann sein, dass nicht genug IP-Adressen auf dem Teilnetz verfügbar sind, auf dem das Gerät angeordnet ist. Der Begriff „Abhörgerät” wird hierin verwendet, um jedes Netzwerkgerät zu umfassen, das nicht netzwerkadressierbar ist, sowie jedes Netzwerkgerät, das netzwerkadressierbar ist, aber Pakete abfängt, die für einen anderen Bestimmungsort bestimmt sind. Das heißt, das Gerät 104 in 1 kann jeder dieser Gerätetypen sein. Beispielsweise ist es übliche Praxis, dass auf einem Teilnetz, das nur zwei Router verbindet, das Teilnetz nur zwei IP-Adressen erlaubt. In diesem Fall ist es nicht möglich, ein drittes Gerät hinzuzufügen, das netzwerkadressierbar ist. Das Ändern der Teilnetzstruktur der bestehenden Netzwerke könnte eine riesige Aufgabe sein und kann nicht sinnvoll/wünschenswert sein, weil der IP-Adressraum ein wertvolles Gut ist.
  • Heutzutage werden aktive Leistungstests durchgeführt, die beispielsweise verwendet werden können, um Konnektivität bzw. Anschlussfähigkeit, Paketverzögerungsschwankungen und Paketverlust zu bestimmen, und können Pakete verwenden, die spezielle Paketanfangsblöcke haben. Es kann sein, dass diese Pakete nicht die echten Pakete darstellen, die durch das Netzwerk verlaufen, und daher können dieselben durch die Netzwerkinfrastruktur unterschiedlich behandelt werden. Beispielsweise verwendet das Ping-Hilfsprogramm sehr spezifische UDP-Pakete; das gleiche kann über das Ablaufverfolgungshilfsprogramm gesagt werden. Ausführungsbeispiele der vorliegenden Erfindung ermöglichen jedoch die Verwendung von allen Paketanfangsbläcken, einschließlich denjenigen, die echten Verkehr darstellen. Dies bedeutet, dass aktive Testpakete dem gleichen Weg folgen und der Gegenstand der gleichen Leitungsregeln sind wie realer normaler Verkehr. Anders ausgedrückt, Ausführungsbeispiele der vorliegenden Erfindung ermöglichen die Identifikation dieser Pakete als spezielle Test- und Konfigurationspakete, unabhängig von den Paketanfangsblockinhalten. Ferner muss die Quelle 101 nicht a priori den Weg kennen, um ein spezielles Paket zu senden, damit dasselbe durch ein spezifisches Abhörgerät abgefangen wird, gemäß bestimmten Ausführungsbeispielen der vorliegenden Erfindung. Dies ist vorteilhaft, weil die Quelle 101 in einigen Fällen den Pfad nicht kennt, wie es früher erwähnt wurde, aufgrund des Mangels an verfügbaren IP-Adressen. Folglich ermöglichen es Ausführungsbeispiel der vorliegenden Erfindung, das Testpakete zu dem Bestimmungsort verlaufen, und diese Pakete könnten durch verschiedene Netzwerkgeräte (die hierin als „Abhörgeräte” bezeichnet werden) auf ihrem Weg abgefangen werden und durch die abfangenden Geräte als ein Testpaket identifiziert werden.
  • Bestimmte Ausführungsbeispiel der vorliegenden Erfindung liefern vorteilhafterweise eine flexible Möglichkeit zum Adressieren von Netzwerkgeräten im Vergleich zu dem, was bisher durchgeführt wurde. Spezielle Test- und Konfigurationspakete müssen nicht die Datenverbindungs- oder Netzwerkschichtadressen verwenden, die sich explizit in den Paketanfangsblöcken befinden. Ausführungsbeispiele der vorliegenden Erfindung ermöglichen es, dass Testpakete von dem Standpunkt des Paketanfangsblocks aus wie jedes andere reale normale Paket aussehen, was bedeutet, dass solche Pakete dem realen normalen Verkehrsweg folgen können und den gleichen Leitungsregeln unterworfen sein können wie der echte Verkehr. Wie es oben beschrieben wurde ermöglichen Techniken eine protokollunabhängige Art und Weise zum Identifizieren von Paketen als von Interesse für ein Abhörgerät.

Claims (15)

  1. Verfahren, das folgende Schritte umfasst: Erfassen eines Pakets (105), das über ein Kommunikationsnetzwerk kommuniziert wird, durch ein Abhörgerät (104); Abtasten der Nutzdaten des Pakets (105) durch das Abhörgerät (104); und Bestimmen durch das Abhörgerät (104), ob in den Nutzdaten des Pakets (105) ein Identifizierer (202) enthalten ist, der das Paket (105) derart identifiziert, dass es Inhalt von Interesse (203) für das Abhörgerät (104) enthält; Authentifizieren der Nutzdaten des Pakets durch das Abhörgerät (104) unter Verwendung eines Authentifizierungstokens, das in den Nutzdaten des Pakets enthalten ist; und basierend zumindest teilweise auf dem Bestimmen, dass die Nutzdaten des Pakets (105) den Identifizierer (202) umfassen, Verwenden des Inhalts von Interesse, der in den Nutzdaten des Pakets enthalten ist, durch das Abhörgerät (104), wobei der Inhalt von Interesse Daten umfasst, die durch eine Quelle (101) der Daten für das Abhörgerät (104) bestimmt sind.
  2. Verfahren gemäß Anspruch 1, bei dem das Paket (105) von der Quelle (101) für einen anderen Bestimmungsort als das Abhörgerät (104) bestimmt ist.
  3. Verfahren gemäß Anspruch 1 oder 2, bei dem das Abhörgerät (104) den Inhalt von Interesse verwendet, falls bestimmt wird, dass die Nutzdaten des Pakets den Identifizierer (202) umfassen und die Nutzdaten des Pakets authentifiziert sind.
  4. Verfahren gemäß einem der Ansprüche 1 bis 4, bei dem das Authentifizierungstoken den Identifizierer (202) und den Inhalt von Interesse in dem Paket (105) authentifiziert.
  5. Verfahren gemäß einem der Ansprüche 1 bis 4, bei dem die Daten Testdaten umfassen.
  6. Verfahren gemäß Anspruch 5, bei dem die Testdaten Daten zum Messen der Verzögerung des Kommunizierens des Pakets von der Quelle (101) zu dem Abhörgerät (104) umfassen.
  7. Verfahren gemäß einem der Ansprüche 1 bis 4, bei dem die Daten Konfigurationsdaten zum Konfigurieren des Abhörgeräts (104) umfassen.
  8. Verfahren gemäß einem der Ansprüche 1 bis 7, bei dem das Paket (105) einen Brieftaschenabschnitt umfasst, der den vordefinierten Identifizierer (202) und den Inhalt von Interesse umfasst, und wobei das Authentifizierungstoken den Brieftaschenabschnitt authentifiziert.
  9. Verfahren, das folgende Schritte umfasst: Bilden eines Pakets (105), das Inhalt (203) enthält, der für ein Abhörgerät (104) bestimmt ist, wobei das Paket (105) einen Anfangsblockabschnitt (201) und einen Nutzdatenabschnitt umfasst, wobei der Nutzdatenabschnitt folgende Merkmale umfasst: a) einen vordefinierten Identifizierer (202), der das Paket (105) derart identifiziert, dass es Inhalt enthält, der für das Abhörgerät bestimmt ist, b) den Inhalt (203), der für das Abhörgerät bestimmt ist, und c) ein Authentifizierungstoken (204) zum Authentifizieren des vordefinierten Identifizierers (202) und des Inhalts, der für das Abhörgerät bestimmt ist; und Richten des Pakets über ein Kommunikationsnetzwerk an einen Bestimmungsort (102), wobei der Inhalt Daten umfasst, die durch eine Quelle (101) der Daten für das Abhörgerät (104) bestimmt sind.
  10. Verfahren gemäß Anspruch 9, bei dem der Bestimmungsort einen anderen Bestimmungsort (102) als das Abhörgerät (104) umfasst.
  11. Verfahren gemäß Anspruch 10, das ferner folgenden Schritt umfasst: Abfangen des Pakets durch das Abhörgerät.
  12. Verfahren gemäß einem der Ansprüche 9 bis 11, bei dem der Inhalt, der für das Abhörgerät bestimmt ist, Testdaten umfasst.
  13. Verfahren gemäß Anspruch 12, bei dem die Testdaten Daten zum Messen der Verzögerung des Kommunizierens des Pakets von der Quelle (101) zu dem Abhörgerät (104) umfassen.
  14. Verfahren gemäß einem der Ansprüche 9 bis 13, bei dem der Inhalt, der für das Abhörgerät bestimmt ist, Konfigurationsdaten zum Konfigurieren des Abhörgeräts umfasst.
  15. Kommunikationspaket, das in einem computerlesbaren Medium gespeichert ist, wobei das Kommunikationspaket folgende Merkmale umfasst: einen Anfangsblockabschnitt; und einen Nutzdatenabschnitt, der einen vordefinierten Identifizierer (202), der den Nutzdatenabschnitt derart identifiziert, dass derselbe Inhalt von Interesse für ein Abhörgerät enthält, den Inhalt, der für das Abhörgerät von Interesse ist, und ein Authentifizierungstoken zum Authentifizieren des vordefinierten Identifizierers und des Inhalts von Interesse umfasst, wobei der Inhalt von Interesse Daten umfasst, die durch eine Quelle (101) der Daten für das Abhörgerät (104) bestimmt sind.
DE102006011449.3A 2005-05-12 2006-03-13 Protokollunabhängiges Abhörnetzwerkgerät Active DE102006011449B4 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/127,486 US7917950B2 (en) 2005-05-12 2005-05-12 Protocol-generic eavesdropping network device
US11/127,486 2005-05-12

Publications (2)

Publication Number Publication Date
DE102006011449A1 DE102006011449A1 (de) 2006-11-16
DE102006011449B4 true DE102006011449B4 (de) 2015-06-03

Family

ID=36571717

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102006011449.3A Active DE102006011449B4 (de) 2005-05-12 2006-03-13 Protokollunabhängiges Abhörnetzwerkgerät

Country Status (4)

Country Link
US (1) US7917950B2 (de)
JP (1) JP5047536B2 (de)
DE (1) DE102006011449B4 (de)
GB (1) GB2426145B (de)

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7941827B2 (en) * 2004-02-26 2011-05-10 Packetmotion, Inc. Monitoring network traffic by using a monitor device
US7813292B2 (en) * 2005-08-01 2010-10-12 Lamprey Networks, Inc. Communication protocol testing system
US8050273B2 (en) * 2006-06-22 2011-11-01 Alcatel Lucent Lawful interception in IP networks
US20080005558A1 (en) * 2006-06-29 2008-01-03 Battelle Memorial Institute Methods and apparatuses for authentication and validation of computer-processable communications
EP2127291B1 (de) * 2006-12-12 2019-10-16 Vestas Wind Systems A/S Mehrprotokoll-windturbinensystem und verfahren
JP2008167318A (ja) * 2006-12-28 2008-07-17 Fujitsu Ltd パケット測定システム、パケット測定プログラム、プローブおよびパケット測定方法
JP4773978B2 (ja) * 2007-01-05 2011-09-14 富士通株式会社 経路探索装置、経路探索プログラム、経路探索方法および経路探索システム
US8321538B2 (en) * 2007-09-24 2012-11-27 Hewlett-Packard Development Company, L.P. Autonomous network device configuration method
KR100934188B1 (ko) 2008-01-16 2009-12-29 (주)제너시스템즈 미디어 흐름 제어를 이용한 감청 방법 및 시스템
US8363836B2 (en) * 2009-01-16 2013-01-29 Cisco Technology, Inc. Using authentication tokens to authorize a firewall to open a pinhole
KR101034389B1 (ko) * 2009-04-22 2011-05-16 (주) 시스메이트 패킷 내 시그니처 위치에 따른 시그니처 검색 방법
US8848720B2 (en) * 2010-03-25 2014-09-30 Infinera Corporation Method and apparatus for determining propagation delay in a network
EP2387180B1 (de) * 2010-05-14 2019-12-18 Viavi Solutions Inc. Netzwerkkommunikation mit unadressierten Netzwerkvorrichtungen
US8705395B2 (en) 2010-06-15 2014-04-22 Jds Uniphase Corporation Method for time aware inline remote mirroring
US9065723B2 (en) * 2011-04-04 2015-06-23 Jds Uniphase Corporation Unaddressed device communication from within an MPLS network
EP2772019B1 (de) * 2011-10-24 2017-12-20 Tekelec, Inc. Verfahren, systeme, und computerlesbare medien zum testen eines durchmesserroutingknotens
US9397895B2 (en) 2011-12-13 2016-07-19 Viavi Solutions Inc. Method and system for collecting topology information
US9253062B2 (en) * 2011-12-23 2016-02-02 Ixia Byte by byte received data integrity check
US9141506B2 (en) * 2012-02-15 2015-09-22 Jds Uniphase Corporation Method and system for network monitoring using signature packets
US9769051B2 (en) 2014-01-13 2017-09-19 Viavi Solutions Inc. Demarcation unit enclosure and method
TWI563853B (en) * 2014-02-27 2016-12-21 Beseye Cloud Security Co Ltd Surveillance system and the operation process thereof
TWI591983B (zh) * 2015-11-05 2017-07-11 Chunghwa Telecom Co Ltd Path State Return Algorithm Based on Centralized Control Plane
EP3973677A4 (de) * 2019-05-21 2023-07-12 Genetec Inc. Verfahren und systeme zur codec-detektion in videodatenströmen

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001047222A2 (en) * 1999-12-23 2001-06-28 Ericsson Inc. Transparent communication interception in a core transport network
WO2004057517A2 (en) * 2002-12-19 2004-07-08 International Business Machines Corporation Method and system for peer-to-peer authorization
WO2004103006A1 (en) * 2003-05-16 2004-11-25 Nokia Corporation Multimedia component interception in a gateway gprs support node (ggsn)

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2972440B2 (ja) * 1992-05-13 1999-11-08 四国日本電気ソフトウェア株式会社 中継装置
US5613069A (en) * 1994-12-16 1997-03-18 Tony Walker Non-blocking packet switching network with dynamic routing codes having incoming packets diverted and temporarily stored in processor inputs when network ouput is not available
FI105753B (fi) * 1997-12-31 2000-09-29 Ssh Comm Security Oy Pakettien autentisointimenetelmä verkko-osoitemuutosten ja protokollamuunnosten läsnäollessa
US6563796B1 (en) * 1998-03-18 2003-05-13 Nippon Telegraph And Telephone Corporation Apparatus for quality of service evaluation and traffic measurement
US6442141B1 (en) * 1998-08-31 2002-08-27 3Com Corporation Network delay and loss simulator
US6820042B1 (en) * 1999-07-23 2004-11-16 Opnet Technologies Mixed mode network simulator
US6560720B1 (en) * 1999-09-09 2003-05-06 International Business Machines Corporation Error injection apparatus and method
JP2001251321A (ja) * 2000-03-08 2001-09-14 Ricoh Co Ltd 遠隔操作システム及び遠隔操作方法
JP2001358756A (ja) * 2000-06-09 2001-12-26 Nec Corp ルータ設定方法およびルータ設定装置
US7280495B1 (en) * 2000-08-18 2007-10-09 Nortel Networks Limited Reliable broadcast protocol in a wireless local area network
US6862291B2 (en) * 2000-11-03 2005-03-01 Telcordia Technologies, Inc. Method and system for quality of service provisioning for IP virtual private networks
US7681032B2 (en) * 2001-03-12 2010-03-16 Portauthority Technologies Inc. System and method for monitoring unauthorized transport of digital content
US6886029B1 (en) * 2001-03-13 2005-04-26 Panamsat Corporation End to end simulation of a content delivery system
US20030037132A1 (en) * 2001-08-20 2003-02-20 Abdollahi Mahshid Ellie Controlling multiple nodes using SNMP
US6978223B2 (en) * 2001-09-06 2005-12-20 Bbnt Solutions Llc Systems and methods for network performance measurement using packet signature collection
JP2003110620A (ja) * 2001-09-27 2003-04-11 Nippon Telegr & Teleph Corp <Ntt> パケット通信網の遅延測定方法及びシステム並びにゲートウェイ装置
US7016948B1 (en) * 2001-12-21 2006-03-21 Mcafee, Inc. Method and apparatus for detailed protocol analysis of frames captured in an IEEE 802.11 (b) wireless LAN

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001047222A2 (en) * 1999-12-23 2001-06-28 Ericsson Inc. Transparent communication interception in a core transport network
WO2004057517A2 (en) * 2002-12-19 2004-07-08 International Business Machines Corporation Method and system for peer-to-peer authorization
WO2004103006A1 (en) * 2003-05-16 2004-11-25 Nokia Corporation Multimedia component interception in a gateway gprs support node (ggsn)

Also Published As

Publication number Publication date
DE102006011449A1 (de) 2006-11-16
JP5047536B2 (ja) 2012-10-10
GB2426145B (en) 2009-05-27
GB0607386D0 (en) 2006-05-24
JP2006319973A (ja) 2006-11-24
US7917950B2 (en) 2011-03-29
GB2426145A (en) 2006-11-15
US20060259966A1 (en) 2006-11-16

Similar Documents

Publication Publication Date Title
DE102006011449B4 (de) Protokollunabhängiges Abhörnetzwerkgerät
DE60115615T2 (de) System, einrichtung und verfahren zur schnellen paketfilterung und -verarbeitung
DE69929268T2 (de) Verfahren und System zur Überwachung und Steuerung der Netzzugriffe
DE60110792T2 (de) Paketkommunikationssystem
DE60210408T2 (de) Ueberwachung des Datenflusses zur Verbesserung des Netzwerksicherheitsschutzes
DE69730452T2 (de) Verfahren und vorrichtung zur cachespeicherung von politik zur verwendung in einem kommunikationsgerät
DE10297269B4 (de) Kennzeichnung von Paketen mit einem Nachschlageschlüssel zur leichteren Verwendung eines gemeinsamen Paketweiterleitungs-Cache
DE69935683T2 (de) Paketversendegerät mit einer Flussnachweistabelle
DE60302051T2 (de) Verfahren, netzwerk und gerät zur konfiguration und steuerung von netzressourcen beim zurverfügungstellen von inhalten mit verteilungsregeln
EP2387180B1 (de) Netzwerkkommunikation mit unadressierten Netzwerkvorrichtungen
DE60310645T2 (de) Verhinderung von Paketzerteilung
DE69727447T2 (de) Übertragungstrennung und Ebene-3-Netzwerk-Vermittlung
CN109995740A (zh) 基于深度协议分析的威胁检测方法
DE60311800T2 (de) Verfahren und vorrichtung zur verbesserung der netzwerkleitweglenkung
DE102005025907A1 (de) Verfahren zum Erzeugen eines Überwachungsdatagramms
DE60015186T2 (de) Verfahren und system für rahmen- und protokollklassifikation
DE60109038T2 (de) Zugangskontrolleinrichtung zwischen atm-netzen
WO2018099736A1 (de) Verfahren für ein kommunikationsnetzwerk und elektronische kontrolleinheit
DE60121133T2 (de) Verfahren und Vorrichtung zur Behandlung von unerlaubten Zugriffsdaten
EP3542510A1 (de) Verfahren für ein kommunikationsnetzwerk und elektronische kontrolleinheit
DE69722699T2 (de) Verfahren und Vorrichtung zur automatischen Bestimmung von LAN-Daten in einem WAN-Rahmen
DE60207687T2 (de) Verfahren und vorrichtung zum klassifizieren von abfrageknoten
DE102010009642B4 (de) System und Verfahren zum Senden von Paketen mit Hilfe der Netzadresse eines anderen Geräts
CN103491081B (zh) 检测dhcp攻击源的方法和装置
EP3059926B1 (de) Verfahren zum erkennen eines denial-of-service angriffs in einem kommunikationsnetzwerk

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8127 New person/name/address of the applicant

Owner name: AGILENT TECHNOLOGIES, INC. (N.D.GES.D. STAATES, US

R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012560000

Ipc: H04L0012700000

R016 Response to examination communication
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012560000

Ipc: H04L0012700000

Effective date: 20121121

R081 Change of applicant/patentee

Owner name: JDS UNIPHASE CORP. (N. D. GES. D. STAATES DELA, US

Free format text: FORMER OWNER: AGILENT TECHNOLOGIES, INC. (N.D.GES.D. STAATES DELAWARE), SANTA CLARA, CALIF., US

Effective date: 20130620

Owner name: VIAVI SOLUTIONS INC. (N. D. GES. D. STAATES DE, US

Free format text: FORMER OWNER: AGILENT TECHNOLOGIES, INC. (N.D.GES.D. STAATES DELAWARE), SANTA CLARA, CALIF., US

Effective date: 20130620

Owner name: JDS UNIPHASE CORP. (N. D. GES. D. STAATES DELA, US

Free format text: FORMER OWNER: AGILENT TECHNOLOGIES, INC. (N.D.GES.D. STAATES DELAWARE), SANTA CLARA, US

Effective date: 20130620

R082 Change of representative

Representative=s name: SCHOPPE, ZIMMERMANN, STOECKELER, ZINKLER, SCHE, DE

Effective date: 20130620

Representative=s name: MURGITROYD & COMPANY, DE

Effective date: 20130620

Representative=s name: SCHOPPE, ZIMMERMANN, STOECKELER, ZINKLER & PAR, DE

Effective date: 20130620

R018 Grant decision by examination section/examining division
R082 Change of representative

Representative=s name: MURGITROYD & COMPANY, DE

R020 Patent grant now final
R082 Change of representative

Representative=s name: MURGITROYD & COMPANY, DE

R081 Change of applicant/patentee

Owner name: VIAVI SOLUTIONS INC. (N. D. GES. D. STAATES DE, US

Free format text: FORMER OWNER: JDS UNIPHASE CORP. (N. D. GES. D. STAATES DELAWARE), MILPITAS, CALIF., US

R082 Change of representative

Representative=s name: MURGITROYD & COMPANY, DE

R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012700000

Ipc: H04L0045000000