DE102006045306A1 - Netzwerkvorrichtung mit einer Filtervorrichtung zum Filtern empfangener Datenpakete und Verfahren zum Betreiben einer solchen Netzwerkvorrichtung - Google Patents

Netzwerkvorrichtung mit einer Filtervorrichtung zum Filtern empfangener Datenpakete und Verfahren zum Betreiben einer solchen Netzwerkvorrichtung Download PDF

Info

Publication number
DE102006045306A1
DE102006045306A1 DE200610045306 DE102006045306A DE102006045306A1 DE 102006045306 A1 DE102006045306 A1 DE 102006045306A1 DE 200610045306 DE200610045306 DE 200610045306 DE 102006045306 A DE102006045306 A DE 102006045306A DE 102006045306 A1 DE102006045306 A1 DE 102006045306A1
Authority
DE
Germany
Prior art keywords
filter
mode
data packets
network device
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE200610045306
Other languages
English (en)
Inventor
Steffen Fries
Wolfgang Schmid
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE200610045306 priority Critical patent/DE102006045306A1/de
Publication of DE102006045306A1 publication Critical patent/DE102006045306A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Die erfindungsgemäße Netzwerkvorrichtung weist auf: eine Schnittstellenvorrichtung, welche mit einem Netzwerk koppelbar ist und zumindest Datenpakete von dem Netzwerk empfängt; eine zentrale Verarbeitungsvorrichtung, welche die empfangenen Datenpakete verarbeitet und dazu geeignet ist, einen Filtermodus und/oder entsprechende Filterregeln für eine Filterung der empfangenen Datenpakete vorzubestimmen; und eine zwischen der Schnittstellenvorrichtung und der Verarbeitungsvorrichtung gekoppelte Filtervorrichtung, welche die empfangenen Datenpakete in Abhängigkeit des vorbestimmten Filtermodus und/oder der vorbestimmten Filterregeln für die Verarbeitungsvorrichtung filtert.

Description

  • Die Erfindung betrifft eine Netzwerkvorrichtung mit einer Filtervorrichtung zum Filtern empfangener Datenpakete und ein Verfahren zum Betreiben einer solchen Netzwerkvorrichtung.
  • Das technische Gebiet der Erfindung betrifft das Filtern von empfangenen Datenpaketen eines paketorientierten Netzwerkes, wie zum Beispiel dem Internet, und die Abwehr von Attacken oder Angriffen auf eine die Datenpakete empfangende Netzwerkvorrichtung, wie beispielsweise einen Computer, einen Server oder einen Telefonie-Server. Eine Netzwerkvorrichtung bezeichnet hierbei jede Einrichtung oder Vorrichtung, die geeignet ist, zur Kommunikation mit einem Netzwerk, wie dem Internet, verbunden zu werden.
  • Nachdem immer mehr elektronische Geräte netzwerkfähig gemacht werden, sind diese auch anfällig für Bedrohungen oder Attacken, die in dem jeweiligen Netz, wie dem Internet oder einem Intranet, existieren. Durch die hohe Leistungsfähigkeit der zum Anmeldetag der vorliegenden Patentanmeldung aktuellen Hardware ist es möglich, bestimmte Angriffe, wie zum Beispiel einen DoS (Denial of Service)-Angriff, von handelsüblicher Hardware aus dem Consumerbereich durchzuführen.
  • Eine bekannte Lösung, um zumindest einen Großteil dieser Angriffe zu verhindern oder abzuwehren, ist der Einsatz einer speziellen Software, insbesondere einer Firewall, welche von der CPU (Central Processing Unit) oder zentralen Verarbeitungsvorrichtung der Netzwerkvorrichtung ausgeführt wird. Dadurch erfolgt eine gezielte Abschottung vom jeweiligen Netzwerk. In einigen Fällen ist dieser Lösungsansatz nicht oder nur sehr eingeschränkt anwendbar. Dies ist beispielsweise dann der Fall, wenn eine Kommunikations- und/oder Datenver bindung vom Netzwerk zur Netzwerkvorrichtung aufgebaut werden soll, wie zum Beispiel im Falle einer Internet-Telefonie-Verbindung. In diesem Fall muss eine Verbindung über die Firewall oder parallel zu ihr hergestellt werden, über welcher der Ruf oder Anruf erfolgt. Ein Beispiel für eine solche Netzwerkvorrichtung ist ein Telefonie-Server, der allerdings insbesondere durch die Tatsache, dass die IP-Telefonie auch Echtzeitdienste und Notrufe unterstützen soll, einer erhöhten Bedrohung ausgesetzt ist.
  • Ein weiterer Nachteil des Einsatzes einer softwaretechnischen Firewall liegt darin, dass diese die CPU der Netzwerkvorrichtung belastet. Insbesondere kann diese zusätzliche Belastung der CPU bei einem DoS-Angriff, wie beispielsweise einer Flooding-Attacke, die CPU stark überbelasten, was das inhärente Ziel eines DoS-Angriffes ist.
  • Demnach liegt der vorliegenden Erfindung die Aufgabe zugrunde, die bei einer Netzwerkvorrichtung eingehenden Datenpakete ohne eine zusätzliche Belastung der zentralen Verarbeitungseinrichtung oder CPU zu filtern.
  • Eine weitere Aufgabe ist es, eine Filterung der bei der Netzwerkvorrichtung eingehenden Datenpakete auch für Echtzeitdienste, insbesondere ohne eine Einschränkung der Sicherheit, zu gewährleisten.
  • Außerdem ist es eine Aufgabe, eine Filterung der bei der Netzwerkvorrichtung eingehenden Datenpakete für Echtzeitdienste ohne eine zusätzliche Belastung der zentralen Verarbeitungsvorrichtung zu gewährleisten.
  • Erfindungsgemäß wird zumindest eine dieser gestellten Aufgaben durch eine Netzwerkvorrichtung mit den Merkmalen des Patentanspruchs 1 und/oder durch ein Verfahren zum Betreiben einer Netzwerkvorrichtung mit den Merkmalen des Patentanspruchs 14 gelöst.
  • Demnach wird eine Netzwerkvorrichtung zum Empfang und zur Verarbeitung von Datenpaketen vorgeschlagen, die aufweist:
    • – eine Schnittstellenvorrichtung, welche mit einem Netzwerk koppelbar ist und zumindest Datenpakete von dem Netzwerk empfängt;
    • – eine zentrale Verarbeitungsvorrichtung, welche die empfangenen Datenpakete verarbeitet und dazu geeignet ist, einen Filtermodus und/oder entsprechende Filterregeln für eine Filterung der empfangenen Datenpakete vorzubestimmen; und
    • – eine zwischen der Schnittstellenvorrichtung und der Verarbeitungsvorrichtung gekoppelten Filtervorrichtung, welche die empfangenen Datenpakete in Abhängigkeit des vorbestimmten Filtermodus und/oder der vorbestimmten Filterregeln für die Verarbeitungsvorrichtung filtert.
  • Des Weiteren wird ein Verfahren zum Betreiben einer Netzwerkvorrichtung zum Empfang und zur Verarbeitung von Datenpaketen vorgeschlagen, das folgende Schritte aufweist:
    • – Koppeln der Netzwerkvorrichtung mit einem Netzwerk mittels einer Schnittstellenvorrichtung;
    • – Empfangen von Datenpaketen von dem Netzwerk mittels der Schnittstellenvorrichtung;
    • – Vorbestimmen eines Filtermodus und/oder entsprechender Filterregeln für eine Filterung der empfangenen Datenpakete;
    • – Filtern der empfangenen Datenpakete in Abhängigkeit des vorbestimmten Filtermodus und/oder der vorbestimmten Filterregeln für die Verarbeitungsvorrichtung mittels einer zwischen der Schnittstellenvorrichtung und der Verarbeitungsvorrichtung gekoppelten Filtervorrichtung.
  • Die der vorliegenden Erfindung zugrunde liegende Idee liegt im Wesentlichen darin, die Filterung empfangener Datenpakete mittels einer dedizierten Hardware, der Filtervorrichtung, durchzuführen. Dabei ist die Filtervorrichtung der zentralen Verarbeitungsvorrichtung (CPU) vorgeschaltet. Infolge dieser Vorschaltung und/oder infolge der festverdrahteten Lösung der Filterung ergeben sich deutliche Geschwindigkeitsvorteile gegenüber einer softwaretechnischen Lösung. Aufgrund dieser Geschwindigkeitsvorteile ist es erfindungsgemäß möglich, eine Filterung der empfangenen Datenpakete auch bei einer Einhaltung der Echtzeitfähigkeit zu gewährleisten.
  • Ein weiterer Vorteil der vorliegenden Erfindung besteht darin, dass dadurch, dass die dedizierte Filtervorrichtung die Aufgabe des Filterns für die zentrale Verarbeitungsvorrichtung übernimmt, die zentrale Verarbeitungsvorrichtung durch die Filterung nicht belastet wird und ihre Ressourcen anderen Aufgaben zur Verfügung stellen kann. Insbesondere bei Attacken, wie einer DoS-Attacke, ist damit die zentrale Verarbeitungsvorrichtung vor einer Überlastung oder Überbelastung geschützt.
  • Vorteilhafte Ausgestaltungen und Weiterbildungen der Erfindung ergeben sich aus den Unteransprüchen sowie der Beschreibung unter Bezugnahme auf die Zeichnungen.
  • Gemäß einer bevorzugten Weiterbildung der Erfindung ist eine Treibervorrichtung vorgesehen. Die Treibervorrichtung ist zwischen der zentralen Verarbeitungsvorrichtung und der Filtervorrichtung gekoppelt. Die Treibervorrichtung empfängt zumindest ein für den vorbestimmten Filtermodus indikatives Filtermodus-Signal und/oder zumindest ein für die entsprechenden Filterregeln indikatives Filterregel-Signal und überträgt das empfangene Filtermodus-Signal und/oder das empfangene Filterregel-Signal zum Treiben der Filtervorrichtung an die Filtervorrichtung.
  • Gemäß einer bevorzugten Ausgestaltung der Erfindung weist der Filtermodus einen Vorfilter-Modus und/oder einen Überwachungs-Modus und/oder einen Abwehr-Modus und/oder einen Lern-Modus und/oder einen Notfall-Modus und/oder einen adaptiven Filter-Modus auf. Vorteilhafterweise kann der Filtermodus derart ausgestaltet werden, dass er jede beliebige Kombination des Vorfilter-Modus, der Überwachungs-Modus, des Abwehr-Modus, Lern-Modus, des Notfall-Modus und des adaptiven Filter-Modus aufweisen kann.
  • Gemäß einer weiteren bevorzugten Ausgestaltung vorbestimmt die zentrale Verarbeitungsvorrichtung die dem jeweiligen Filtermodus entsprechenden Filterregeln in Abhängigkeit von Datenpaketparametern, wie zum Beispiel Datenpaketlänge und/oder Fragmentierungs-Offset und/oder IP-Adresse, und/oder in Abhängigkeit von Überwachungsregeln, wie zum Beispiel Schwellwerte für eine Anzahl empfangener Datenpakete über einen bestimmten Port der Schnittstellenvorrichtung.
  • Gemäß einer weiteren bevorzugten Ausgestaltung filtert die in dem Vorfilter-Modus betriebene Filtervorrichtung das jeweilige empfangene Datenpaket in Abhängigkeit der vorbestimmten Filterregeln und stellt ein jeweiliges Ergebnis der Filterung der Verarbeitungsvorrichtung mittels eines Anzeigesignals bereit.
  • Gemäß einer weiteren bevorzugten Ausgestaltung überwacht die in dem Überwachungs-Modus betriebene Filtervorrichtung die empfangenen Datenpakete vorbestimmte IP-Adressen und/oder vorbestimmter Verbindungen in Abhängigkeit der vorbestimmten Filterregeln, insbesondere der Überwachungsregeln, und stellt ein jeweiliges Ergebnis der Überwachung der Verarbeitungsvorrichtung mittels eines Anzeigesignals bereit.
  • Gemäß einer weiteren bevorzugten Ausgestaltung filtert die in dem Abwehr-Modus betriebene Filtervorrichtung das jeweilige empfangene Datenpaket in Abhängigkeit der vorbestimmten Filterregeln und entscheidet in Abhängigkeit des jeweiligen Ergebnisses der Filterung, ob das entsprechende Datenpaket an die Verarbeitungsvorrichtung weitergeleitet oder ob es geblockt wird.
  • Gemäß einer weiteren bevorzugten Ausgestaltung überwacht die in dem Lern-Modus betriebene Filtervorrichtung die empfangenen Datenpakete in Abhängigkeit der vorbestimmten Filterregeln, insbesondere der Überwachungsregeln, zur Generierung statistischer Informationen über die empfangenen Datenpakete und stellt die statistischen Informationen der Verarbeitungsvorrichtung bereit.
  • Gemäß einer weiteren bevorzugten Weiterbildung weist die Filtervorrichtung eine Speichervorrichtung auf, welche die generierten statistischen Informationen speichert.
  • Gemäß einer weiteren bevorzugten Ausgestaltung filtert die in dem Notfall-Modus betriebene Filtervorrichtung die empfangenen Datenpakete in Abhängigkeit der vorbestimmten Filterregeln und senkt Zeitschwellen für einen Verbindungsaufbau zur Reduktion vorzuhaltender Ressourcen der Netzwerkvorrichtung oder beendet bestehende Verbindungen in Abhängigkeit einer Vorgabe der Netzwerkvorrichtung bei Feststellung eines DoS-Angriffes durch eine Mehrzahl empfangener Datenpakete mittels des Vorfilter-Modus und der Verarbeitungsvorrichtung oder mittels des Lern-Modus.
  • Gemäß einer weiteren bevorzugten Ausgestaltung beinhaltet und kombiniert der adaptive Filtermodus den Lern-Modus, den Abwehr-Modus und den Notfall-Modus.
  • Gemäß einer weiteren bevorzugten Weiterbildung ist die Filtervorrichtung zumindest teilweise als eine ASIC-Schaltung oder als eine FPGA-Schaltung ausgebildet. Vorzugsweise ist die Filtervorrichtung als ASIC oder FPGA ausgebildet.
  • Gemäß einer weiteren bevorzugten Ausgestaltung ist die Netzwerkvorrichtung als ein Computer, ein Personal-Computer, ein Laptop, ein Personal-Digital-Assistant (PDA), ein Server oder ein Telefonie-Server ausgebildet.
  • Die Erfindung wird nachfolgend anhand der in den schematischen Figuren angegebenen Ausführungsbeispiele näher erläutert. Es zeigen:
  • 1 ein schematisches Blockschaltbild eines bevorzugten Ausführungsbeispiels der erfindungsgemäßen Netzwerkvorrichtung; und
  • 2 ein schematisches Ablaufdiagramm eines bevorzugten Ausführungsbeispiels des erfindungsgemäßen Verfahrens zum Betreiben der Netzwerkvorrichtung.
  • 1 zeigt ein schematisches Blockschaltbild eines bevorzugten Ausführungsbeispiels der erfindungsgemäßen Netzwerkvorrichtung 1 zum Empfang und zur Verarbeitung von Datenpaketen DP von einem Netzwerk 3. Das Netzwerk 3 ist beispielsweise das Internet.
  • Die Netzwerkvorrichtung 1 weist eine Schnittstellenvorrichtung 2, eine zentrale Verarbeitungsvorrichtung 4 oder CPU (Central Processing Unit) und eine zwischen der Schnittstellenvorrichtung 2 und der Verarbeitungsvorrichtung 4 gekoppelte Filtervorrichtung 5 auf.
  • Die Schnittstellenvorrichtung 2 ist mit dem Netzwerk 3 koppelbar oder verbindbar und empfängt zumindest Datenpakete DP von dem Netzwerk 3. Vorzugsweise sind mittels der Schnittstellenvorrichtung 2 auch Datenpakete DP an das bzw. über das Netzwerk 3 versendbar.
  • Die zentrale Verarbeitungsvorrichtung 4 ist dazu geeignet, die empfangenen Datenpaket DP zu verarbeiten und einen Filtermodus M oder entsprechende Filterregeln R für eine Filterung der empfangenen Datenpakete DP vorzubestimmen. Zur Speicherung des Filtermodus M und der Filterregeln R kann die zentrale Verarbeitungsvorrichtung 4 eine Speichervorrichtung 8 aufweisen.
  • Die zwischen der Schnittstellenvorrichtung 2 und der Verarbeitungsvorrichtung 4 gekoppelte Filtervorrichtung 5 filtert die empfangenen Datenpakete DP in Abhängigkeit des vorbestimmten Filtermodus M und/oder der vorbestimmten Filterregeln R für die Verarbeitungsvorrichtung 4.
  • Vorzugsweise weist die Netzwerkvorrichtung 1 eine Treibervorrichtung 6 auf. Die Treibervorrichtung 6 empfängt zumindest ein für den vorbestimmten Filtermodus M indikatives Filtermodus-Signal m und/oder zumindest ein für die entsprechenden Filterregeln R indikatives Filterregel-Signal r und überträgt diese zum Treiben der Filtervorrichtung 5 an die Filtervorrichtung 5.
  • Vorzugsweise stellt die Verarbeitungsvorrichtung 4 die dem jeweiligen Filtermodus M entsprechenden Filterregeln R in Abhängigkeit von Datenpaketparametern, wie zum Beispiel Datenpaketlänge und/oder Fragmentierungs-Offset und/oder IP-Adresse und/oder in Abhängigkeit von Überwachungsregeln, wie zum Beispiel Schwellwerte für eine Anzahl von empfangenen Datenpaketen DP über einen Port (nicht gezeigt) der Schnittstellenvorrichtung 2, ein.
  • Insbesondere ist der Filtermodus M durch einen Modus oder eine Kombination der nachfolgenden Modi bestimmt: Vorfilter-Modus, Überwachungs-Modus, Abwehr-Modus, Lern-Modus, Notfall-Modus und adaptiver Filtermodus.
  • Im Folgenden wird erläutert, wie die erfindungsgemäße Filtervorrichtung 5 in dem jeweiligen Filtermodus M arbeitet:
  • Vorfilter-Modus:
  • Die in dem Vorfilter-Modus betriebene Filtervorrichtung 5 filtert das jeweilige empfangene Datenpaket DP in Abhängigkeit der vorbestimmten Filterregeln R und stellt ein jeweiliges Ergebnis der Filterung der Verarbeitungsvorrichtung 4 mittels eines Anzeigesignals A bereit. In Abhängigkeit des empfangenen Anzeigesignals A kann die Verarbeitungsvorrichtung 4 entscheiden, welche Schritte eingeleitet werden sollen. Diese Entscheidung kann mittels einer in der Speichervorrichtung 8 gespeicherten Vorgabe durchgeführt werden.
  • Überwachungs-Modus:
  • Die in dem Überwachungs-Modus betriebene Filtervorrichtung 5 überwacht die empfangenen Datenpakete DP vorbestimmter IP-Adressen und/oder vorbestimmter Verbindungen in Abhängigkeit der vorbestimmten Filterregeln R, dabei insbesondere in Abhängigkeit der Überwachungsregeln. Das jeweilige Ergebnis der Überwachung stellt die Filtervorrichtung 5 der Verarbeitungsvorrichtung 4 mittels eines Anzeigesignals A bereit. Die Filtervorrichtung 5 kann dabei den eingehenden Verkehr der empfangenen Datenpakete DP beispielsweise auf folgende Anomalien überwachen:
    • – zu wenige oder zu viele Datenpakete für eine bestimmte Verbindung; oder
    • – ungewöhnliche Datenpaket-Header.
  • Beispielsweise falls ein vorgegebener Schwellwert innerhalb einer vorbestimmten Zeitspanne überschritten wird oder ungewöhnliche Header-Werte detektiert werden, kann ein Interrupt als Anzeigesignal A die zentrale Verarbeitungsvorrichtung 4 informieren. Dazu kann die Filtervorrichtung 5 eine Speichervorrichtung 7, welche insbesondere als ein Register ausgebildet ist und diese Information speichert, aufweisen.
  • Vorzugsweise ist die Filtervorrichtung 5 derart konfigurierbar, dass sie für eine erste Anzahl vorbestimmter Verbindungen in dem Vorfilter-Modus arbeitet und für eine zweite Anzahl vorbestimmter Verbindungen in dem Überwachungs-Modus arbeitet.
  • Abwehr-Modus:
  • Die in dem Abwehr-Modus betriebene Filtervorrichtung 5 filtert das jeweilige empfangene Datenpaket DP in Abhängigkeit der vorbestimmten Filterregeln R und entscheidet in Abhängigkeit des jeweiligen Ergebnisses der Filterung, ob das entsprechende Datenpaket DP an die Verarbeitungsvorrichtung 4 weitergeleitet wird oder ob es geblockt wird. Demnach arbeitet die Filtervorrichtung 5 in dem Abwehr-Modus unabhängig von der zentralen Verarbeitungsvorrichtung 4. Der Abwehr-Modus ist somit der schnellste Filtermodus, in dem keine zusätzlichen Informationen zwischen der zentralen Verarbeitungsvorrichtung 4 und der Filtervorrichtung 5 ausgetauscht werden müssen.
  • Lern-Modus:
  • Die in dem Lern-Modus betriebene Filtervorrichtung 5 überwacht die empfangenen Datenpakete DP in Abhängigkeit der vorbestimmten Filterregeln R, dabei insbesondere in Abhängigkeit der Überwachungsregeln, zur Generierung statistischer Informationen I über die empfangenen Datenpakete DP. Die Filtervorrichtung 5 stellt dann die generierten statistischen Informationen I der Verarbeitungsvorrichtung 4 bereit. Dazu kann die Filtervorrichtung 5 die generierten statistischen Informationen I in einen externen Speicher (nicht gezeigt) schreiben. Alternativ kann die Filtervorrichtung 5 auch mit der internen Speichervorrichtung 7 ausgestattet werden, welche die generierten statistischen Informationen I speichert.
  • In dem Lern-Modus überwacht die Filtervorrichtung 5 also den "normalen" Verkehr der eingehenden Datenpakete DP und unterstützt die zentrale Verarbeitungsvorrichtung 4 bei der Generierung statistischer Informationen I über die eingehenden Netzwerk-Daten. Dieser "normale" Verkehr kann auch als Referenz dienen, um plötzliche Anstiege im Verkehr, insbesondere im IP-Verkehr, zu erkennen. Ein solcher Anstieg kann insbesondere auf einen DoS-Angriff hinweisen. Die statistischen Informationen I, welche die Filtervorrichtung 5 sammelt, sind insbesondere abhängig von den vorgegebenen Filterregeln R der Verarbeitungsvorrichtung 4. Untenstehende Liste gibt eine beispielhafte Auswahl von statistischen Informationen I, welche die Filtervorrichtung 5 für die Verarbeitungsvorrichtung 4 sammeln oder generieren kann:
    • – Anzahl der pro Zeitrahmen empfangenen Pakete;
    • – Anzahl der seit dem letzten Reset empfangenen Pakete;
    • – minimale/maximale/Durchschnitts-Paketlänge
    • – minimale/maximale/Durchschnitts-Paketlänge bezüglich des verwendeten Protokolls;
    • – minimale/maximale/Durchschnitts-Paketlänge pro Verbindung;
    • – minimale/maximale/Durchschnitts-Paketlänge pro Verbindung und verwendetem Protokoll;
    • – Gesamtzahl der empfangenen Bytes;
    • – Anzahl der pro Zeitrahmen empfangenen Bytes;
    • – Anzahl der seit dem letzten Reset empfangenen Bytes;
    • – Anzahl pro Zeitrahmen empfangener Fragmente;
    • – Anzahl der empfangenen Fragmente seit dem letzten Reset;
    • – minimale/maximale/Durchschnitts-Fragmentlänge;
    • – minimale/maximale/Durchschnitts-Fragmentlänge pro Verbindung;
    • – minimaler/maximaler/Durchschnitts-Anstieg des Verkehrs.
  • Bei der Generierung der statistischen Informationen I kann die Filtervorrichtung 5 derart ausgestaltet werden, dass sie auch Rahmenparameter, wie die Tageszeit, einbezieht.
  • Das Anzeigeflag A kann eine Vielzahl von Flags beinhalten. Beispielsweise kann ein erstes Flag den Gesamtverkehr über die Schnittstellenvorrichtung 2 indizieren und jeweils ein zweites Flag kann eine offene Verbindung indizieren. Somit kann zwischen dem Gesamtverkehr und dem Verkehr über eine of fene Verbindung differenziert werden. Somit kann auch ein Angriff auf eine einzige Verbindung, der keinen signifikanten Einfluss auf den gesamten Verkehr hat, durch das jeweilige zweite Flag kommuniziert werden.
  • Das erste Flag zeigt also einen Angriff auf die Netzwerkvorrichtung als solche an, die zum Beispiel als ein Telefonie-Server ausgebildet ist. Das zweite Flag zeigt jeweils einen Angriff auf eine einzelne Verbindung gegen einen einzelnen Nutzer des Telefonie-Servers an. Vorzugsweise können die Flags der Filtervorrichtung 5 einen Interrupt bei der Verarbeitungsvorrichtung 4 initialisieren.
  • Des Weiteren ist die Filtervorrichtung 5 geeignet, eine schwarze Liste derjenigen IP-Adressen zu generieren, welche Quellen von Datenpaketen DP sind, die zu einer Attacke zugehörig sind.
  • Notfall-Modus:
  • Die in dem Notfall-Modus betriebene Filtervorrichtung 5 filtert die empfangenen Datenpakete DP in Abhängigkeit der vorbestimmten Filterregeln R und senkt Zeitschwellen für einen Verbindungsaufbau zur Reduktion vorzuhaltender Ressourcen der Netzwerkvorrichtung 1 oder beendet bestehende Verbindungen in Abhängigkeit einer Vorgabe der Netzwerkvorrichtung 1 bei Feststellung eines DoS-Angriffs durch eine Mehrzahl empfangener Datenpakete DP mittels des Vorfilter-Modus und der Verarbeitungsvorrichtung 4 oder mittels des Lern-Modus.
  • Erfindungsgemäß kann also ein DoS-Angriff durch eine Mehrzahl empfangener Datenpakete DP mittels des Vorfilter-Modus und einer nachgeschalteten Analyse der Verarbeitungsvorrichtung 4 selektiert werden. Alternativ kann ein DoS-Angriff auch mittels der statistischen Informationen I, die im Lern-Modus generiert werden, durch die Filtervorrichtung 4 selbst erkannt werden.
  • Bei Feststellung eines solchen DoS-Angriffs kann beispielsweise zwischen zwei Alternativen gewählt werden. Bei der ersten Alternative werden Zeitschwellen für einen Verbindungsaufbau gesenkt. Bei der zweiten Alternative werden bestehende Verbindungen in Abhängigkeit einer Vorgabe der Netzwerkvorrichtung 1 beendet.
  • Die erste Alternative hat den Vorteil der Minimierung des Risikos des Fehlens von verfügbarem Speicher und dass der jeweilige Service für die legitimen Nutzer zumindest für die offenen Verbindungen erhalten bleibt. Die zweite Alternative hat ebenso den Vorteil, der Minimierung des Risikos des Fehlens von verfügbarem Speicher und des Verfügbarhaltens von Service für legitime Nutzer zumindest für die bereits offenen Verbindungen. Des Weiteren stellt die zweite Alternative die Vorteile bereit, dass Verbindungen offen bleiben und dass die Verkehrslast in einem gewissen Grad stabil bleibt, falls die Rate, in welcher Verbindungen geschlossen werden, dynamisch verwaltet wird.
  • Beim Beenden der Verbindungen hinsichtlich der zweiten Alternative können diese zufällig, die mit dem geringsten Verkehr, die mit der geringsten Priorität oder die mit dem geringsten oder höchsten Durchsatz gewählt werden.
  • adaptiver Filtermodus:
  • Der adaptive Filtermodus beinhaltet und kombiniert den Lern-Modus, den Abwehr-Modus und den Notfall-Modus. Durch diese Kombination kann die in dem adaptiven Filtermodus betriebene Filtervorrichtung 5 automatisch und autark DoS-Attacken behandeln und abwehren. Aufgrund der Verwendung des Lern-Modus und des Abwehr-Modus ist die Filtervorrichtung 5 selbstadaptierend hinsichtlich der eingehenden Datenpakete DP.
  • 2 zeigt ein schematisches Ablaufdiagramm eines bevorzugten Ausführungsbeispiels des erfindungsgemäßen Verfahrens zum Betreiben der Netzwerkvorrichtung 1 gemäß 1. Nach folgend wird das erfindungsgemäße Verfahren anhand des Blockschaltbildes in 2 mit Verweis auf die Netzwerkvorrichtung gemäß 1 erläutert. Das erfindungsgemäße Verfahren weist folgende Verfahrensschritte S1 bis S4 auf:
  • Verfahrensschritt S1:
  • Die Netzwerkvorrichtung 1 wird mittels einer Schnittstellenvorrichtung 2 mit einem Netzwerk 3 gekoppelt oder verbunden.
  • Verfahrensschritt S2:
  • Mittels der Schnittstellenvorrichtung 2 werden Datenpakete DP von dem Netzwerk 3 empfangen.
  • Verfahrensschritt S3:
  • Ein Filtermodus M und/oder entsprechende Filterregeln R für eine Filterung der empfangenen Datenpakete DP werden vorbestimmt. Diese Vorbestimmung wird vorzugsweise durch die Verarbeitungsvorrichtung 4 durchgeführt.
  • Verfahrensschritt S4:
  • Die empfangenen Datenpakete DP werden in Abhängigkeit des vorbestimmten Filtermodus M und/oder der vorbestimmten Filterregeln R für die Verarbeitungsvorrichtung 4 mittels einer zwischen der Schnittstellenvorrichtung 2 und der Verarbeitungsvorrichtung 4 gekoppelten Filtervorrichtung 5 gefiltert.
  • Obgleich die vorliegende Erfindung vorstehend anhand der bevorzugten Ausführungsbeispiele beschrieben wurde, ist sie darauf nicht beschränkt, sondern auf vielfältige Art und Weise modifizierbar. Beispielsweise ist denkbar, den Lern-Modus und den Abwehr-Modus zu einem Filtermodus zu kombinieren.

Claims (14)

  1. Netzwerkvorrichtung (1) zum Empfangen und zur Verarbeitung von Datenpaketen (DP) mit: (a) einer Schnittstellenvorrichtung (2), welche mit einem Netzwerk (3) koppelbar ist und zumindest Datenpakete (DP) von dem Netzwerk (3) empfängt; (b) einer zentralen Verarbeitungsvorrichtung (4), welche die empfangenen Datenpakete (DP) verarbeitet und dazu geeignet ist, einen Filtermodus (M) und/oder entsprechende Filterregeln (R) für eine Filterung der empfangenen Datenpakete (DP) vorzubestimmen; und (c) einer zwischen der Schnittstellenvorrichtung (2) und der Verarbeitungsvorrichtung (4) gekoppelten Filtervorrichtung (5), welche die empfangenen Datenpakete (DP) in Abhängigkeit des vorbestimmten Filtermodus (M) und/oder der vorbestimmten Filterregeln (R) für die Verarbeitungsvorrichtung (4) filtert.
  2. Netzwerkvorrichtung nach Anspruch 1, dadurch gekennzeichnet, dass eine Treibervorrichtung (6) vorgesehen ist, welche zumindest ein für den vorbestimmten Filtermodus (M) indikatives Filtermodus-Signal (m) und/oder zumindest ein für die entsprechenden Filterregeln (R) indikatives Filterregel-Signal (r) empfängt und das empfangene Filtermodus-Signal (m) und/oder das empfangene Filterregel-Signal (r) zum Treiben der Filtervorrichtung (5) an die Filtervorrichtung (5) überträgt.
  3. Netzwerkvorrichtung nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass der Filtermodus (M) einen Vorfilter-Modus und/oder einen Überwachungs-Modus und/oder einen Abwehr-Modus und/oder einen Lern-Modus und/oder einen Notfall-Modus und/oder einen adaptiven Filtermodus aufweist.
  4. Netzwerkvorrichtung nach Anspruch 1 oder einem der Ansprüche 2 oder 3, dadurch gekennzeichnet, dass die Verarbeitungsvorrichtung (4) die dem jeweiligen Filtermodus (M) entsprechenden Filterregeln (R) in Abhängigkeit von Datenpaketparametern, wie beispielsweise Datenpaketlänge und/oder Fragmentierungs-Offset und/oder IP-Adresse, und/oder in Abhängigkeit von Überwachungsregeln, wie beispielsweise Schwellwerte für eine Anzahl von empfangenen Datenpaketen (DP) über einen Port der Schnittstellenvorrichtung (2), vorbestimmt oder einstellt.
  5. Netzwerkvorrichtung nach Anspruch 3 oder 4, dadurch gekennzeichnet, dass die in dem Vorfilter-Modus betriebene Filtervorrichtung (5) das jeweilige empfangene Datenpaket (DP) in Abhängigkeit der vorbestimmten Filterregeln (R) filtert und ein jeweiliges Ergebnis der Filterung der Verarbeitungsvorrichtung (4) mittels eines Anzeigesignals (A) bereitstellt.
  6. Netzwerkvorrichtung nach Anspruch 3 oder 4, dadurch gekennzeichnet, dass die in dem Überwachungs-Modus betriebene Filtervorrichtung (5) die empfangenen Datenpakete (DP) vorbestimmter IP-Adressen und/oder vorbestimmter Verbindungen in Abhängigkeit der vorbestimmten Filterregeln (R), insbesondere der Überwachungsregeln, überwacht und ein jeweiliges Ergebnis der Überwachung der Verarbeitungsvorrichtung (4) mittels eines Anzeigesignals (A) bereitstellt.
  7. Netzwerkvorrichtung nach Anspruch 3 oder 4, dadurch gekennzeichnet, dass die in dem Abwehr-Modus betriebene Filtervorrichtung (5) das jeweilige empfangene Datenpaket (DP) in Abhängigkeit der vorbestimmten Filterregeln (R) filtert und in Abhängigkeit des jeweiligen Ergebnisses der Filterung entscheidet, ob das entsprechende Datenpaket (DP) an die Verarbeitungsvorrichtung (4) weitergeleitet oder ob es geblockt wird.
  8. Netzwerkvorrichtung nach Anspruch 3 oder 4, dadurch gekennzeichnet, dass die in dem Lern-Modus betriebene Filtervorrichtung (5) die empfangenen Datenpakete (DP) in Abhängigkeit der vorbestimmten Filterregeln (R), insbesondere der Überwachungsregeln, zur Generierung statistischer Informationen (I) über die empfangenen Datenpakete (DP) überwacht und die generierten statistischen Informationen (I) der Verarbeitungsvorrichtung (4) bereitstellt.
  9. Netzwerkvorrichtung nach Anspruch 8, dadurch gekennzeichnet, dass die Filtervorrichtung (5) eine Speichervorrichtung (7) aufweist, welche die generierten statistischen Informationen (I) speichert.
  10. Netzwerkvorrichtung nach Anspruch 5 oder 8, dadurch gekennzeichnet, dass die in dem Notfall-Modus betriebene Filtervorrichtung (5) die empfangenen Datenpakete (DP) in Abhängigkeit der vorbestimmten Filterregeln (R) filtert und bei Feststellung eines DoS-Angriffes durch eine Mehrzahl empfangener Datenpakete (DP) mittels des Vorfilter-Modus und der Verarbeitungsvorrichtung (4) oder mittels des Lern-Modus Zeitschwellen für einen Verbindungsaufbau zur Reduktion vorzuhaltender Ressourcen der Netzwerkvorrichtung (1) senkt oder bestehende Verbindungen in Abhängigkeit einer Vorgabe der Netzwerkvorrichtung (1) beendet.
  11. Netzwerkvorrichtung nach den Ansprüchen 5, 7 und 10, dadurch gekennzeichnet, dass der adaptive Filtermodus den Lern-Modus, den Abwehr-Modus und den Notfall-Modus beinhaltet und kombiniert.
  12. Netzwerkvorrichtung nach Anspruch 1 oder einem oder mehreren der Ansprüche 2 bis 11, dadurch gekennzeichnet, dass die Filtervorrichtung (5) zumindest teilweise als eine ASIC-Schaltung oder eine FPGA-Schaltung ausgebildet ist.
  13. Netzwerkvorrichtung nach Anspruch 1 oder einem oder mehreren der Ansprüche 2 bis 12, dadurch gekennzeichnet, dass die Netzwerkvorrichtung (1) aus einem Computer, einem Personal-Computer, einem Laptop, einem Personal-Digital-Assistant, einem Server oder einem Telefonie-Server ausgebildet ist.
  14. Verfahren zum Betreiben einer Netzwerkvorrichtung (1) zum Empfang und zur Verarbeitung von Datenpaketen (DP) mit den Schritten: – Koppeln der Netzwerkvorrichtung mit einem Netzwerk mittels einer Schnittstellenvorrichtung; – Empfangen von Datenpaketen von dem Netzwerk mittels der Schnittstellenvorrichtung; – Vorbestimmen eines Filtermodus und/oder entsprechender Filterregeln für eine Filterung der empfangenen Datenpakete; – Filtern der empfangenen Datenpakete in Abhängigkeit des vorbestimmten Filtermodus und/oder der vorbestimmten Filterregeln für die Verarbeitungsvorrichtung mittels einer zwischen der Schnittstellenvorrichtung und der Verarbeitungsvorrichtung gekoppelten Filtervorrichtung.
DE200610045306 2006-09-26 2006-09-26 Netzwerkvorrichtung mit einer Filtervorrichtung zum Filtern empfangener Datenpakete und Verfahren zum Betreiben einer solchen Netzwerkvorrichtung Withdrawn DE102006045306A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE200610045306 DE102006045306A1 (de) 2006-09-26 2006-09-26 Netzwerkvorrichtung mit einer Filtervorrichtung zum Filtern empfangener Datenpakete und Verfahren zum Betreiben einer solchen Netzwerkvorrichtung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE200610045306 DE102006045306A1 (de) 2006-09-26 2006-09-26 Netzwerkvorrichtung mit einer Filtervorrichtung zum Filtern empfangener Datenpakete und Verfahren zum Betreiben einer solchen Netzwerkvorrichtung

Publications (1)

Publication Number Publication Date
DE102006045306A1 true DE102006045306A1 (de) 2008-04-10

Family

ID=39154462

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200610045306 Withdrawn DE102006045306A1 (de) 2006-09-26 2006-09-26 Netzwerkvorrichtung mit einer Filtervorrichtung zum Filtern empfangener Datenpakete und Verfahren zum Betreiben einer solchen Netzwerkvorrichtung

Country Status (1)

Country Link
DE (1) DE102006045306A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8554978B2 (en) 2010-05-12 2013-10-08 Wago Verwaltungsgesellschaft Mbh Automation appliance and method for accelerated processing of selected process data

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004045126A2 (en) * 2002-11-07 2004-05-27 Tippingpoint Technologies, Inc. Active network defense system and method
US20040114741A1 (en) * 2002-12-12 2004-06-17 Tekelec Methods and systems for defining and distributing data collection rule sets and for filtering messages using same

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004045126A2 (en) * 2002-11-07 2004-05-27 Tippingpoint Technologies, Inc. Active network defense system and method
US20040114741A1 (en) * 2002-12-12 2004-06-17 Tekelec Methods and systems for defining and distributing data collection rule sets and for filtering messages using same

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
LIAO, Wanjiun; YANG, De-Nian: Receiver-Initiated Group Membership Protocol (RGMP): A New Group Management Protocol for IP Multicasting. IEEE Transactions on Broadcasting, Vol. 50, Nr. 3, 2004, S. 278-288 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8554978B2 (en) 2010-05-12 2013-10-08 Wago Verwaltungsgesellschaft Mbh Automation appliance and method for accelerated processing of selected process data

Similar Documents

Publication Publication Date Title
DE10249888B4 (de) Knoten eines Netzes, das ein Einbruchserfassungssystem betreibt, Verfahren zum Ausführen einer Einbruchsprävention an einem Knoten eines Netzes, sowie computerlesbares Medium
DE60115615T2 (de) System, einrichtung und verfahren zur schnellen paketfilterung und -verarbeitung
DE10394008B4 (de) System und Verfahren zum Detektieren und Nachverfolgen von Denial of Service-Angriffen
DE69825801T2 (de) Vorrichtung und Verfahren zur Ermöglichung gleichranginger Zugangskontrolle in einem Netz
DE60124295T2 (de) Flussbasierte erfassung eines eindringens in ein netzwerk
DE69818232T2 (de) Verfahren und system zur verhinderung des herunterladens und ausführens von ausführbaren objekten
DE60016613T2 (de) Abschreckungssystem gegen aufschaltung und missbrauch
DE102005037968B4 (de) Schutzsystem für eine Netzwerkinformationssicherheitszone
EP3542511B1 (de) Verfahren für ein kommunikationsnetzwerk und elektronische kontrolleinheit
DE10249428B4 (de) Verfahren zum Definieren der Sicherheitsanfälligkeiten eines Computersystems
DE60312235T2 (de) Verfahren und system zur eindringverhinderung und ablenkung
EP2975801B1 (de) Verfahren zum Erkennen eines Angriffs in einem Computernetzwerk
DE10249427A1 (de) System und Verfahren zum Definieren des Sicherheitszustands eines Computersystems
DE102006004202B4 (de) Verfahren zum Schutz von SIP basierten Anwendungen
EP3451624A1 (de) Vorrichtung und verfahren zur steuerung eines kommunikationsnetzwerks
DE10330079B4 (de) Router und Verfahren zur Aktivierung eines deaktivierten Computers
DE102020201988A1 (de) Vorrichtung zur Verarbeitung von Daten mit wenigstens zwei Datenschnittstellen und Betriebsverfahren hierfür
DE102019210227A1 (de) Vorrichtung und Verfahren zur Anomalieerkennung in einem Kommunikationsnetzwerk
EP1298529A2 (de) Proxy-Einheit und Verfahren zum rechnergestützten Schützen eines Applikations-Server-Programms
DE60302003T2 (de) Handhabung von zusammenhängenden Verbindungen in einer Firewall
DE102006045306A1 (de) Netzwerkvorrichtung mit einer Filtervorrichtung zum Filtern empfangener Datenpakete und Verfahren zum Betreiben einer solchen Netzwerkvorrichtung
DE10241974A1 (de) Überwachung von Datenübertragungen
EP3796164A1 (de) Verfahren zur überlastabwehr in einer container-virtualisierten rechenvorrichtung
DE10101616C2 (de) Verfahren zum Schutz gegen Netzwerküberflutungsangriffe mit Hilfe eines verbindungslosen Protokolls
DE102019210223A1 (de) Vorrichtung und Verfahren für Angriffserkennung in einem Rechnernetzwerk

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8130 Withdrawal