DE102007060522A1 - Aufrechterhaltung der Kommunikation zwischen Netzknoten die eine Paketattacke erfahren - Google Patents
Aufrechterhaltung der Kommunikation zwischen Netzknoten die eine Paketattacke erfahren Download PDFInfo
- Publication number
- DE102007060522A1 DE102007060522A1 DE102007060522A DE102007060522A DE102007060522A1 DE 102007060522 A1 DE102007060522 A1 DE 102007060522A1 DE 102007060522 A DE102007060522 A DE 102007060522A DE 102007060522 A DE102007060522 A DE 102007060522A DE 102007060522 A1 DE102007060522 A1 DE 102007060522A1
- Authority
- DE
- Germany
- Prior art keywords
- internet protocol
- enabled device
- packet
- packets
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
- Gebiet der Erfindung
- Die vorliegende Erfindung betrifft die Telekommunikation im Allgemeinen und spezieller das Aufrechterhalten der Kommunikation zwischen zwei Netzknoten, wenn einer der Netzknoten oder beide eine Paketattacke erleiden.
- Hintergrund der Erfindung
- Voice over Internet Protocol (oder "VoIP") beinhaltet das Weiterleiten von Unterhaltungen in Form gesprochener Sprache über das Internet oder über eine andere Netzart, das auf dem Internetprotokoll basiert. Sprachsignale von den Sprachunterhaltungen, die weitergeleitet werden sollen, werden digitalisiert und zu Datenpaketen formatiert, welche dann über das Netz übermittelt werden. Ein Telekommunikationsnetz, das auf VoIP basiert, ist in der Lage, Sprachkommunikation zwischen Einrichtungen, die auf das Netz zugreifen können, zu übermitteln.
1 stellt ein Schema eines Telekommunikationssystems100 gemäß dem Stand der Technik dar, das Sprachunterhaltungen zwischen Endnutzereinrichtungen wie beispielsweise Telefonen übertragen kann. Das Telekommunikationssystem100 umfasst: - i. ein Backbone-Paketnetz
101 ; - ii. ein lokales Netz (LAN)
102 ; - iii. Internetprotokoll-fähige
Endpunkte
103-1 bis103-R , wobei R eine positive ganze Zahl ist; - iv. Gateways
104-1 bis104-S , wobei S eine positive ganze Zahl ist; - v. ein öffentliches
Telefonvermittlungsnetz (PSTN)
105 ; - vi. ein PSTN-Telekommunikationsendgerät
106 ; und - vii. einen Gatekeeper
107 . - Sämtliche in
1 dargestellte Elemente sind untereinander wie gezeigt verbunden. - Das System
100 umfasst eine Mehrzahl von unterschiedlichen Netztypen, darunter ein Backbone-Paketnetz101 , ein lokales Netz102 und ein öffentliches Telefonvermittlungsnetz105 . Das Backbone-Paketnetz101 umfasst einen oder mehrere mit der Übertragung in Zusammenhang stehende Knoten, beispielsweise Router, die genutzt werden, um Datenpakete, im vorliegenden Fall Sprachpakete, von einer oder mehreren Quellen zu den korrekten Zielen dieser Pakete zu leiten. Das Netz101 ist in der Lage, Internetprotokoll-basierte Nachrichten abzuwickeln, die zwischen Internetprotokoll-fähigen Einrichtungen, beispielsweise den Endpunkten103-1 bis103-R , und Gateways, beispielsweise den Gateways104-1 bis104-S , übertragen werden. Das lokale Netz (oder "LAN") 102 ermöglicht die lokale Verteilung von Signalen, beispielsweise in einem Unternehmenssystem, und umfasst Vernetzungsausrüstung wie beispielsweise Hubs, Brücken und Switche zwischen dem Backbone-Paketnetz101 und den Internetprotokoll-fähigen Endpunkten103-1 bis103-R . Das LAN102 arbeitet entsprechend einem Netzwerkprotokoll wie beispielsweise Ethernet oder IEEE 802.3. Das öffentliche Telefonvermittlungsnetz105 umfasst einen oder mehrere mit der Übertragung in Zusammenhang stehende Knoten wie beispielsweise Vermittlungseinrichtungen, die genutzt werden, um mit Rufverbindungen in Zusammenhang stehende Signale von einer oder mehreren Quellen an die korrekten Ziele für diese Signale zu leiten. Das Netz105 ist in der Lage, entweder analoge oder digitale Trägerinformationen in leitungsvermittelten Rufverbindungen zwischen solchen Einrichtungen wie dem PSTN-Endgerät106 und dem Gateway104-1 abzuwickeln. - Das Backbone-Netz
101 wie auch einige der dargestellten Knoten werden durch den Protokollstandard H.323, spezifiziert von der International Telecommunication Union, gesteuert. Die in1 dargestellten Knoten, die durch den Standard H.323 gesteuert werden, umfassen die Endpunkte103-1 bis103-R , die Gateways104-1 bis104-S sowie den Gatekeeper107 , welche nachstehend beschrieben werden. Einige andere VoIP-Systeme als das System100 werden durch das Session Initiation Protocol (oder "SIP") oder ein proprietäres Protokoll gesteuert. - Der Internetprotokoll-fähige Endpunkt
103-r , für r = 1 bis R, stellt eine Kommunikationseinrichtung wie beispielsweise ein Arbeitsplatzgerät, eine Konferenzschaltungseinheit, ein drahtloses Endgerät, einen Arbeitsplatzrechner oder einen tragbaren Rechner (d.h. ein "Softwaretelefon"), ein Internettelefon usw. dar. Wie dargestellt, arbeitet der Endpunkt103-r in einem lokalen Netz. Der Endpunkt103-r ist in der Lage, Sprachsignale von seinem Nutzer zu digitalisieren und die digitalisierten Signale zu übertragbaren Datenpaketen zu formatieren, und zwar über eine Audio-Kompressor/Dekompressor-(oder "CODEC"-)Schaltung. Ähnlich ist die CODEC-Schaltung des Endpunkts103-r auch in der Lage, Datenpakete zu empfangen und die in diesen Paketen enthaltenen Informationen in Sprachsignale umzuwandeln, die für den Nutzer des Endpunkts verständlich sind. - Das Gateway
104-s , für s = 1 bis S, stellt ein Datenverarbeitungssystem dar, welches als Übersetzer zwischen zwei Arten von Netzen agiert; beispielsweise verbindet das Gateway104-1 das Backbone-Paketnetz101 und das öffentliche Telefonvermittlungsnetz105 und agiert als Übersetzer zwischen diesen. Da das Gateway104-s zwei unterschiedliche Typen von Netzen miteinander verbindet, besteht eine seiner Hauptfunktionen darin, für eine Umsetzung zwischen den unterschiedlichen Übertragungs- und Kodierungsverfahren, die in den beiden Netzen genutzt werden, zu sorgen. Das Gateway104-1 ist ein VoIP(Voice over Internet Protocol)-fähiges Gateway, welches die Umsetzung zwischen zeitgemultiplexten Sprachsignalen, die ihren Ursprung an einem Telekommunikationsendgerät eines leitungsvermittelten Telefonnetzes wie beispielsweise dem Endgerät106 haben, und VoIP-Signalen, die für einen Endpunkt eines Internetprotokoll-Netzes wie beispielsweise einen der IP-fähigen Endpunkte103-1 bis103-R bestimmt sind, als Teil eines Telefongesprächs zwischen zwei Parteien auszuführen. Das Gateway104-a führt ebenso die Umsetzung in der Rückrichtung aus (d.h. von einem IP-Endgerät zu einem PSTN-Endgerät) und ist in der Lage, gleichzeitig eine bidirektionale Umsetzung für mehrere Rufverbindungen auszuführen. - Der Gatekeeper
107 stellt ein Datenverarbeitungssystem dar, das jeweils eine Gruppe von IP-fähigen Endpunkteinrichtungen, die zu einer bestimmten Zone gehören, verwaltet. Der Gatekeeper107 stellt eine Adressübersetzung und Weiterleitung für die IP-fähigen Einrichtungen in ihrer Zone bereit. Außerdem stellt der Gatekeeper107 die Verbindungszulassungskontrolle bereit, welche das Spezifizieren beinhaltet, welche der IP-fähigen Einrichtungen103-1 bis103-R eine Rufverbindung mit anderen Einrichtungen in dem Telekommunikationsystem100 aufbauen darf. - Der Gatekeeper
107 empfängt eine oder mehrere Registrierungsnachrichten von jedem Internetprotokoll-fähigen Endpunkt103-r , wenn sich der Endpunkt erstmalig an das Netz anbindet. Die Registrierungsnachricht gibt die momentane IP-Adresse des Endpunkts an und ermöglicht dem Endpunkt103-r , das Netz zu nutzen, beispielsweise einen Anruf zu tätigen. Wenn der Nutzer des Endpunkts103-r einen Anruf tätigen möchte, sendet der Endpunkt eine Nachricht, welche die Zieltelefonnummer umfasst. Nachdem das Netzwerk101 bestimmt hat, welchem Gateway die Zieltelefonnummer entspricht, übermittelt der Gatekeeper107 die Adresse des Ziel-Gateways an den rufenden Endpunkt103-r . Der Endpunkt kann dann Pakete direkt an das Gateway (z.B. das Gateway104-1 usw.) senden, und das Gateway initiiert einen lokalen Anruf zu dem Zieltelefon (z.B. dem Endgerät106 usw.). - Wie anhand des soeben beschriebenen Verbindungssteuerungsszenarios zu ersehen ist, ist es für jeden Endpunkt
103-r und Gatekeeper107 wichtig, fortlaufend Kenntnis voneinander sowie fortlaufend die Fähigkeit zur Kommunikation miteinander aufrechtzuerhalten. Um diese fortlaufende Beziehung zueiander aufrechtzuerhalten, tauscht jeder Endpunkt103-r eine "Heartbeat"-Nachricht" (dt.: Herzschlag) mit dem Gatekeeper107 aus. Ein Ausfall des Heartbeats würde den betroffenen Endpunkt veranlassen, erneut einen Gatekeeper festzustellen, oder würde den betroffenen Gatekeeper veranlassen, den Endpunkt abzumelden, oder beides. -
2 stellt einen solchen Heartbeat-Mechanismus gemäß dem Stand der Technik dar, bei welchem der Endpunkt103-1 der Initiator der Heartbeat-Sequenz ist und der Gatekeeper107 auf jede Heartbeat-Nachricht anspricht, die er von dem Endpunkt103-1 empfängt. Man beachte, dass auch der Gatekeeper107 der Initiator einer Heartbeat-Sequenz mit dem Endpunkt103-1 oder mit einem anderen Endpunkt sein kann, dies ist hier aber nicht gezeigt. Wie dargestellt, hat der Endpunkt103-1 eine Reihe normaler "Keepalive"-Pakete gesendet, beispielsweise das Paket201 , und unter Ansprechen auf jedes Keepalive-Paket hat der Gatekeeper107 ein Bestätigungspaket wie beispielsweise das Paket202 gesendet. Der Endpunkt103-1 sendet die Keepalive-Pakete in regelmäßigen, vorgegebenen Intervallen. Wenn der Endpunkt103-1 kein Bestätigungspaket in Reaktion auf ein Keepalive-Paket empfängt, wie beispielsweise bei dem Keepalive-Paket203 , beginnt der Endpunkt Wiederholversuch-Keepalive-Pakete wie etwa die Pakete204 bis207 zu senden, aber mit einer schnelleren Rate als zuvor. Wenn die Wiederholversuch-Keepalive-Pakete unbeantwortet bleiben, meldet sich der Endpunkt103-1 schließlich ab und geht bei Ereignis208 in einen Erkennungsmodus über, in welchem er versucht, einen Gatekeeper zu finden und sich bei diesem neu zu registrieren. - Das vorstehend beschriebene Heartbeat-basierte Sicherheitsverfahren funktioniert unter normalen Bedingungen gut. Unter außergewöhnlichen Bedingungen jedoch kann es passieren, dass der Endpunkt
103-r oder der Gatekeeper107 oder beide einer so genannten "Paketattacke", bisweilen als "Denial-of-Service-Attack" bezeichnet, ausgesetzt sind, bei welcher es ein Eindringling auf eine oder mehrere Einrichtungen abgesehen haben kann und fortlaufend mit hoher Rate Pakete sendet, die an die anvisierte Einrichtung adressiert sind. Wenn eine Einrichtung wie beispielsweise der Endpunkt103-r oder der Gatekeeper107 eine Paketattacke erleidet, ist es möglich, dass die Einrichtung nicht über genügend Verarbeitungsleistung verfügt, um weiterhin Heartbeat-Nachrichten zu erzeugen oder zu verarbeiten. Wenn der Endpunkt103-r betroffen ist, wird der Gatekeeper107 den Endpunkt103-r letztendlich abmelden, wobei dieser dann in den Erkennungsmodus übergehen wird, um sich bei einem Gatekeeper neu zu registrieren. Wie bereits angemerkt, führt das Nichtvorhandensein eines Heartbeats zu zusätzlichem Nachrichtenverkehr in dem Netz und erhöht die Verarbeitungslast an dem Gatekeeper107 , dessen Leistungsverhalten sich möglicherweise verschlechtert und dessen Gesamtfähigkeit sich gegenüber den anderen Knoten in dem System100 möglicherweise reduziert. Wenn sich zudem eine große Anzahl von Endpunkten gleichzeitig neu registrieren würde, würde eine Flut von mit der Registrierung in Zusammenhang stehenden Nachrichten auftreten, die eine noch höhere Last an dem Gatekeeper107 erzeugt und letztendlich zu einem verschlechterten Leistungsverhalten in dem System100 führt. - Es wird ein Verfahren benötigt, um die Probleme, die durch eine Paketattacke bewirkt werden, zu vermindern, und zwar ohne dass einige der Nachteile des Standes der Technik zum Tragen kommen.
- Zusammenfassung der Erfindung
- Die vorliegende Erfindung ermöglicht die Entschärfung zumindest einiger der Probleme, die durch eine Paketattacke bewirkt werden, und das ohne einige der Nachteile des Standes der Technik. Wenn insbesondere eine erste Internetprotokoll(IP)-fähige Einrichtung eine Paketattacke erleidet, zeigt sie periodisch einer zweiten IP-fähigen Einrichtung an, dass bestimmte Kommunikationen mit der ersten Einrichtung ausgesetzt werden sollen. Entsprechend der beispielhaften Ausführungsform der vorliegenden Erfindung erfolgt das periodische Senden der Anzeige mit einer geringeren Rate als der Keepalive-Mechanismus, der normalerweise genutzt wird, um einen Verbindungsausfall zu erkennen. Wenn die zweite Einrichtung die gesendete Anzeige empfängt, unterlässt sie das Senden von Keepalive-Nachrichten an die erste Einrichtung für eine vorgegebene Zeitspanne. Währenddessen unterlässt auch die erste Einrichtung das Senden von Keepalive-Nachrichten an die zweite Einrichtung für eine ähnliche Zeitspanne. Durch Senden eines jeweiligen Aussetzpakets, welches als Anweisung für die zweite Einrichtung wirkt, ihre Kenntnis des Betriebszustandes der ersten Einrichtung zu erhalten, wird gemäß der beispielhaften Ausführungsform versucht zu verhindern, dass Paare von Kommunikationseinrichtungen, die Paketattacken erleiden, ihren Betrieb unter der fehlerhaften Annahme fortsetzen, dass die jeweilige Einrichtung nicht verfügbar ist.
- Die Aufgaben, die Bestandteil der Entschärfung des Paketattackenproblems sind, sollen hier beschrieben werden. Als erstes erkennt eine Einrichtung in dem Telekommunikationssystem gemäß der beispielhaften Ausführungsform eine Paketattacke. Danach wird ein sicherer, zuverlässiger Kanal zwischen der ersten Einrichtung, beispielsweise einem Endpunkt, und der zweiten Einrichtung, beispielsweise einem Gatekeeper, geöffnet. Die erste Einrichtung sendet periodisch ein Aussetzungspaket, um den Betriebsstatus der ersten Einrichtung an der zweiten Einrichtung zu bewahren (d.h. "einzufrieren"), wobei der Status der ersten Einrichtung z.B. anzeigen kann, ob die erste Einrichtung bei der zweiten Einrichtung registriert ist. Die zweite Einrichtung sendet ein Bestätigungspaket an die erste Einrichtung zurück und setzt das Senden von Keepalive-Paketen an die erste Einrichtung aus. Wenn die erste Einrichtung das Bestätigungspaket empfängt, kann sie ebenfalls das Senden von Keepalive-Paketen an die zweite Einrichtung für eine vorgegebene Dauer, die als "Zurückhalteperiode" bezeichnet wird, unterlassen. Jede Einrichtung wird das Senden von Keepalive-Nachrichten an die andere Einrichtung beenden und darauf warten, dass die Paketattacke endet. Wenn die Paketattacke nach der momentanen Zurückhalteperiode anhält, wird die erste Einrichtung gegebenenfalls weitere Aussetzungspakete senden. Sobald die erste Einrichtung erkennt oder dieser gemeldet wird, dass die Attacke vorüber ist, sendet sie ein Wiederaufnahmepaket an die zweite Einrichtung. Zu diesem Zeitpunkt nimmt die normale Heartbeat-Zustandsmaschine an der ersten Einrichtung wieder ihren Betrieb auf, und die zweite Einrichtung kann sich ebenfalls dafür entscheiden, ihre Heartbeat-Zustandsmaschine wieder zu betreiben.
- Bei einigen Ausführungsformen kann die IP-fähige Einrichtung gemäß der beispielhaften Ausführungsform die unmittelbare Auswirkung der Paketattacke entschärfen, indem sie Mechanismen zusätzlich zu dem Verfahren gemäß der beispielhaften Ausführungsform nutzt. Beispielsweise kann die Einrichtung die Schnittstelle für das lokale Netz, über welche der Datenstrom mit der Paketattacke ankommt, deaktivieren; dies hat die Wirkung, Prozesszyklen einzusparen, anstatt Prozesszyklen aufzuwenden, um den Attackenstrom zu behandeln.
- Die beispielhafte Ausführungsform entsprechend der vorliegenden Erfindung umfasst: das Erkennen einer Paket attacke, die eine erste Internetprotokoll-fähige Einrichtung betrifft, und das Senden, basierend auf der Erkennung der Paketattacke, eines ersten Pakets von der ersten Internetprotokoll-fähigen Einrichtung an eine zweite Internetprotokoll-fähige Einrichtung, mit welcher die erste Internetprotokoll-fähige Einrichtung eine Mehrzahl von Heartbeat-bezogenen Paketen ausgetauscht hat, die eine Reihe von Keepalive-Paketen umfassen, wobei das erste Paket anzeigt, dass die zweite Internetprotokoll-fähige Einrichtung das Senden weiterer Heartbeat-bezogener Pakete an die erste Internetprotokoll-fähige Einrichtung aussetzen soll.
- Kurze Beschreibung der Zeichnungen
-
1 stellt ein Schema eines Telekommunikationssystems100 gemäß dem Stand der Technik dar. -
2 stellt einen Heartbeat-Mechanismus gemäß dem Stand der Technik dar. -
3 stellt ein Schema eines Telekommunikationssystems300 gemäß der beispielhaften Ausführungsform der vorliegenden Erfindung dar. -
4 stellt Bestandteile eines verbesserten Internetprotokoll-fähigen Endpunkts303-q des Systems300 dar. -
5 stellt Bestandteile des verbesserten Gatekeepers307 des Systems300 dar. -
6 stellt ein Ablaufdiagramm der Aufgaben dar, die von einer ersten Internetprotokoll-fähigen Einrichtung entsprechend der beispielhaften Ausführungsform der vorliegenden Erfindung ausgeführt werden. -
7 stellt ein Ablaufdiagramm der Aufgaben dar, die von einer zweiten Internetprotokoll-fähigen Einrichtung entsprechend der beispielhaften Ausführungsform der vorliegenden Erfindung ausgeführt werden. -
8 stellt ein Nachrichtenflussdiagramm für die Kombination einiger der Nachrichten und Ereignisse dar, die in den6 und7 dargestellt sind. - Detaillierte Beschreibung
-
3 stellt ein Schema eines Telekommunikationssystems300 gemäß der beispielhaften Ausführungsform der vorliegenden Erfindung dar. Das Telekommunikationssystem300 umfasst: - i. ein Backbone-Paketnetz
101 ; - ii. ein lokales Netz
102 ; - iii. verbesserte Internetprotokoll-fähige Endpunkte
303-1 bis303-Q , wobei Q eine positive ganze Zahl ist; und - iv. einen verbesserten Gatekeeper
307 . - Sämtliche in
3 dargestellte Elemente sind untereinander wie gezeigt verbunden. Außerdem umfasst das System300 Gateways104-1 bis104-S , ein öffentliches Telefonvermittlungsnetz (PSTN)105 und ein PSTN-Telekommunikationsendgerät106 , die wie das Backbone-Paketnetz101 und das lokale Netz102 alle bereits zuvor und mit Bezugnahme auf1 beschrieben worden sind. - Das System
300 ähnelt dem System100 insofern, als es in der Lage ist, Sprachkommunikation zwischen Endnutzereinrichtungen zu übertragen. Wie Fachleute auf dem Gebiet jedoch erkennen werden, wird die vorliegende Erfindung in einigen alternativen Ausführungsformen der vorliegenden Erfindung ebenso für Telekommunikationssysteme geeignet sein, andere Arten von Trägerinformationen als Sprache, beispielsweise Video, zu übertragen. - Ferner ist das Telekommunikationssystem
300 , wie Fachleute auf dem Gebiet erkennen werden, bei einigen alternativen Ausführungsformen in der Lage, andere Arten von Netzwerken und andere Kombinationen von Netzwerken als die dargestellten zu behandeln. Bei einigen alternativen Ausführungsformen könnte jedes Netz wiederum weitere Netze umfassen, beispielsweise Mobiltelefonnetze und lokale Netze, die entweder drahtgebunden oder drahtlos sind. - Entsprechend der beispielhaften Ausführungsform wird das Backbone-Netz
101 durch den Protokollstandard H.323 gesteuert, der von der International Telecommunication Union spezifiziert worden ist. Die verbesserten Endpunkte303-1 bis 303-Q und der verbesserte Gatekeeper307 , die nachstehend beschrieben werden, werden ebenfalls mittels des H.323-Standards gesteuert. Wie Fachleute auf dem Gebiet erkennen werden, kann bei einigen alternativen Ausführungsformen ein Teil des Systems oder das gesamte System300 durch ein anderes Protokoll, beispielsweise das Session Initiation Protocol (oder "SIP"), entweder proprietär oder standardisiert, gesteuert werden. - Der verbesserte Internetprotokoll-fähige Endpunkt
303-q , für q = 1 bis Q, stellt eine Kommunikationseinrichtung wie beispielsweise ein Arbeitsplatzgerät, eine Konferenzschaltungseinheit, ein zellulares Telefon, einen Arbeitsplatzrechner oder einen tragbaren Rechner (d.h. ein "Softwaretelefon") usw. dar. Wichtige Bestandteile des Endpunkts303-q werden nachstehend und mit Bezug auf4 beschrieben. Wie dargestellt, wird der Endpunkt303-q in einem lokalen Netz betrieben, bei einigen alternativen Ausführungsformen kann der Endpunkt jedoch auch in einer anderen Art von Netz arbeiten. Der Endpunkt303-q ist in der Lage, Sprachsignale von seinem Nutzer zu digitalisieren und die digitalisierten Signale zu übertragbaren Datenpaketen zu formatieren, und zwar über eine Audio-Kompressor/Dekompressor-(oder "CODEC"-)Schaltung. Analog ist die CODEC-Schaltung des Endpunkts303-q auch in der Lage, Datenpakete zu empfangen und die in diesen Paketen enthaltenen Informationen in Sprachsignale umzuwandeln, die für den Nutzer des Endpunkts verständlich sind. - Außerdem ist der Endpunkt
303-q in der Lage, die Aufgaben auszuführen, die nachstehend und mit Bezug auf die6 bis8 entsprechend der beispielhaften Ausführungsform der vorliegenden Erfindung beschrieben werden. Für Fachleute auf dem Gebiet wird nach dem Lesen dieser Beschreibung klar sein, wie der verbesserte Internetprotokoll-fähige Endpunkt303-q auszuführen und zu nutzen ist. - Der verbesserte Gatekeeper
307 stellt ein Datenverarbeitungssystem dar, welches jeweils eine Gruppe von IP-fähigen Endpunkteinrichtungen verwaltet, die zu einer bestimmten Zone gehören. Wichtige Komponenten des Gatekeepers307 werden nachstehend und mit Bezug auf5 beschrieben. Der Gatekeeper,307 stellt eine Adressübersetzung und eine Weiterleitung für die IP-fähigen Einrichtungen in deren Zone bereit. Außerdem stellt der Gatekeeper307 die Verbindungszulassungskontrolle bereit, und zwar was das Spezifizieren betrifft, welche der verbesserten Internetprotokoll-fähigen Einrichtungen303-1 bis303-Q eine Rufverbindung mit anderen Einrichtungen in dem Telekommunikationssystem300 eingehen kann. Wenngleich ein einzelner Gatekeeper dargestellt ist, können weitere Gatekeeper vorhanden sein, wie Fachleute auf dem Gebiet erkennen werden. - Außerdem ist der Gatekeeper
307 in der Lage, die nachstehend und mit Bezug auf die6 bis8 beschriebenen Aufgaben entsprechend der beispielhaften Ausführungsform der vorliegenden Erfindung auszuführen. Für Fachleute auf dem Gebiet wird nach dem Lesen dieser Beschreibung klar sein, wie der Gatekeeper307 auszuführen und zu nutzen ist. - Um die Fähigkeit zur Kommunikation untereinander während der Perioden mit normalem Paketverkehr aufrechtzuerhalten, tauscht jeder Endpunkt
303-q eine "Heartbeat"-Nachricht mit seinem Gatekeeper (z.B. dem Gatekeeper307 , usw.) aus, wie bereits zuvor und mit Bezug auf2 für den Endpunkt103-r und den Gatekeeper107 beschrieben worden ist. Entsprechend der beispielhaften Ausführungsform tauschen der Endpunkt303-q und der Gatekeeper307 Heartbeat-bezogene Pakete aus und führen die Aufgaben gemäß der beispielhaften Ausführung aus. Wie Fachleute auf dem Gebiet jedoch erkennen werden, können bei einigen alternativen Ausführungsformen andere paketbasierte Einrichtungen Heartbeat-bezogene Signale austauschen wie auch die nachstehend und mit Bezug auf die6 bis8 beschriebenen Aufgaben ausführen. -
4 stellt die wesentlichen Bestandteile des verbesserten Internetprotokoll-fähigen Endpunkts303-q entsprechend der beispielhaften Ausführungsform der vorliegenden Erfindung dar. Der Endpunkt303-q umfasst eine Schnittstelle401 für ein lokales Netz (LAN), einen Prozessor402 und einen Speicher403 , die untereinander wie gezeigt verbunden sind. - Die LAN-Schnittstelle
401 ist in der Lage, Paketsignale von dem lokalen Netz102 zu empfangen, beispielsweise eingehende Pakete von anderen Internetprotokoll-fähigen Einrichtungen, und die in den Signalen kodierten Informationen in allgemein bekannter Weise zu dem Prozessor402 weiterzuleiten. Die LAN-Schnittstelle401 ist außerdem in der Lage, Informationen von dem Prozessor402 zu empfangen und Signale, welche diese Informationen kodieren, über das lokale Netz102 in allgemein bekannter Weise zu anderen Internetprotokoll-fähigen Einrichtungen zu übermitteln. Für Fachleute auf dem Gebiet wird nach dem Lesen dieser Beschreibung klar sein, wie die LAN-Schnittstelle401 auszuführen und zu nutzen ist. - Der Prozessor
402 ist ein Allzweckprozessor, welcher in der Lage ist, Informationen von der Schnittstelle401 zu empfangen, die in dem Speicher403 gespeicherten Anweisungen auszuführen, Daten aus dem Speicher403 zu lesen und Daten in diesen zu speichern, die später und mit Bezug auf die6 bis8 beschriebenen Aufgaben auszuführen und Informationen an die Schnittstelle401 zu übermitteln. Bei einigen alternativen Ausführungsformen der vorliegenden Erfindung könnte der Prozessor402 ein Spezialprozessor sein. In jedem Fall wird für Fachleute auf dem Gebiet nach dem Lesen der vorliegenden Beschreibung klar sein, wie der Prozessor402 auszuführen und zu nutzen ist. - Der Speicher
403 speichert die Instruktionen und Daten, die von dem Prozessor402 genutzt werden. Der Speicher403 . könnte jede beliebige Kombination aus dynamischem Direktzugriffsspeicher (RAM); Flash-Speicher, Plattenlaufwerk-Speicher und so weiter darstellen. Für Fachleute auf dem Gebiet wird nach dem Lesen der vorliegenden Beschreibung klar sein, wieder Speicher403 auszuführen und zu nutzen ist. -
5 stellt die wichtigen Bestandteile des verbesserten Gatekeepers307 entsprechend der beispielhaften Ausführungsform der vorliegenden Erfindung dar. Der Gatekeeper307 umfasst eine Schnittstelle501 für ein Internetprotokoll-Netz, einen Prozessor502 und einen Speicher503 , die untereinander wie gezeigt verbunden sind. - Die Schnittstelle
501 für das Internetprotokoll-Netz ist. in der Lage, Paketsignale von dem Backbone-Netz101 zu empfangen, beispielsweise eingehende Pakete von anderen Internetprotokoll-fähigen Einrichtungen, und die in den Signalen kodierten Informationen in allgemein bekannter Weise an den Prozessor502 weiterzuleiten. Die Internetprotokoll-Schnittstelle501 ist außerdem in der Lage, Informationen von dem Prozessor502 zu empfangen und Signale, welche diese Informationen kodieren, über das Backbone-Paketnetz101 in allgemein bekannter Weise an andere Internetprotokoll-fähige Einrichtungen zu übermitteln. Für Fachleute auf dem Gebiet wird nach dem Lesen dieser Beschreibung klar sein, wie die Internetprotokollnetz-Schnittstelle501 auszuführen und zu nutzen ist. - Der Prozessor
502 ist ein Allzweckprozessor, welcher in der Lage ist, Informationen von der Schnittstelle501 zu empfangen, die in dem Speicher503 gespeicherten Anweisungen auszuführen, Daten aus dem Speicher503 zu lesen und Daten in diesen zu speichern, die später und mit Bezug auf die6 bis8 beschriebenen Aufgaben auszuführen und Informationen an die Schnittstelle501 zu übermitteln. Bei einigen alternativen Ausführungsformen der vorliegenden Erfindung könnte der Prozessor502 ein Spezialprozessor sein. In jedem Fall wird für Fachleute auf dem Gebiet nach dem Lesen dieser Beschreibung klar sein, wie der Prozessor502 auszuführen und zu nutzen ist. - Der Speicher
503 speichert die Instruktionen und Daten, die von dem Prozessor502 genutzt werden. Der Speicher503 könnte jede beliebige Kombination aus dynamischem Direktzugriffsspeicher (RAM), Flash-Speicher, Plattenlaufwerk-Speicher und so weiter darstellen. Für Fachleute auf dem Gebiet wird nach dem Lesen der vorliegenden Beschreibung klar sein, wie der Speicher503 auszuführen und zu nutzen ist. - Die
6 und7 stellen Ablaufdiagramme der Aufgaben dar, die unter Ansprechen auf eine Paketattacke an entweder dem verbesserten Internetprotokoll-fähigen Endpunkt303-q oder dem verbesserten Gatekeeper307 oder beiden ausgeführt werden. Insbesondere stehen die Aufgaben in6 im Zusammenhang mit dem Senden eines oder mehrerer Pakete, welche anzeigen, dass die Einrichtung, die diese Pakete empfängt, das Senden von Keepalive-Paketen aussetzen soll. Die Aufgaben in7 stehen im Zusammenhang mit dem Empfangen eines oder mehrerer Pakete, welche das Aussetzen des Sendens von Keepalive-Paketen anzeigen. Außerdem stellt8 ein Nachrichtenflussdiagramm für die Kombination einiger der Nachrichten und Ereignisse, die in den6 und7 dargestellt sind, dar. - Wie Fachleute auf dem Gebiet erkennen werden, können einige der Aufgaben, die in den
6 und7 erscheinen, parallel oder in einer anderen Reihenfolge als der dargestellten ausgeführt werden. Ferner können, wie Fachleute auf dem Gebiet erkennen werden, mehrere Paare von Internetprotokoll-fähigen Einrichtungen in dem gesamten Telekommunikationssystem300 , die Heartbeat-Pakete miteinander austauschen, gleichzeitig die mit Bezug auf die6 und7 beschriebenen Aufgaben ausführen. Beispielsweise kann der Endpunkt303-1 die Aufgaben in6 ausführen, während sein Gatekeeper die Aufgaben in7 ausführen kann; gleichzeitig kann der Endpunkt303-2 ebenfalls die Aufgaben aus6 ausführen, während dessen Gatekeeper, möglicherweise der gleiche wie für den Endpunkt303-1 oder ein anderer, die Aufgaben aus7 ausführen kann. Außerdem kann jede Einrichtung eines speziellen Paares von Einrichtungen möglicherweise die Aufgaben aus beiden6 und7 ausführen, z.B. könnte der Endpunkt303-3 die Aufgaben aus6 ausführen, während der Gatekeeper307 die entsprechenden Aufgaben aus7 ausführt, und der Gatekeeper307 könnte die Aufgaben aus6 ausführend, während der Endpunkt303-3 die entsprechenden Aufgaben aus7 ausführt. Schließlich könnte eine einzelne Einrichtung wie beispielsweise der Gatekeeper307 die Aufgaben in6 oder7 oder beide mit mehr als einer weiteren Einrichtung, beispielsweise mit mehreren Endpunkten, ausführen. -
6 stellt ein Ablaufdiagramm der Aufgaben dar, die von einer ersten Internetprotokoll-fähigen Einrichtung entsprechend der beispielhaften Ausführungsform der vorliegenden Erfindung ausgeführt werden. Der einfacheren Darlegung halber werden die in Zusammenhang mit6 stehenden Aufgaben nachstehend als von dem verbesserten Internetprotokoll-fähigen Endpunkt303-1 ausgeführt beschrieben; wie Fachleute auf dem Gebiet jedoch erkennen werden, kann auch eine andere Einrichtung die Aufgaben, wie sie aufgezeigt sind, ausführen. - Bei Aufgabe
601 sendet der Endpunkt303-1 in allgemein bekannter Weise eine Reihe von Keepalive-Paketen an eine andere Internetprotokoll-fähige Einrichtung; in dem veranschaulichenden Beispiel sendet der Endpunkt303-1 die Reihe von Paketen an den Gatekeeper307 . In8 ist das Paket801 ein solches Keepalive-Paket, das der Endpunkt303-1 sendet und das durch ein Paket802 bestätigt wird. - Bei Aufgabe
602 erkennt eine Einrichtung in dem Telekommunikationssystem300 eine Paketattacke, welche zumindest den Endpunkt303-1 betrifft. Beispielsweise verhindert die Paketattacke, dass der Endpunkt303-1 in Reaktion auf das Keepalive-Paket803 ein Bestätigungspaket empfängt. Bei einigen Ausführungsformen erkennt der Endpunkt303-1 die Attacke, bei Ereignis804 , während bei einigen anderen Ausführungsformen eine andere Einrichtung als der Endpunkt303-1 , beispielsweise ein separates Eindringlingserkennungssystem, die Attacke erkennt und dem Endpunkt303-1 die Attacke meldet. - Bei Aufgabe
603 baut der Endpunkt303-1 einen sicheren, zuverlässigen Kanal, d.h. einen separaten Kanal zu dem zum Austausch von Heartbeat-bezogenen Paketen genutzen Kanal mit dem Gatekeeper307 in allgemein bekannter Weise auf. Der Kanal kann ein direkter Kanal sein oder kann über eine dritte Internetprotokoll-fähige Einrichtung wie beispielsweise das Eindringlingserkennungssystem verlaufen. - Bei Aufgabe
604 versucht eine Einrichtung in dem System300 , die Auswirkungen der Paketattacke auf den Endpunkt303-1 zu vermindern. Wenn zum Beispiel der Endpunkt303-1 selbst versucht, die Attacke zu mildern, kann er dies tun, indem er die Schnittstelle401 für das lokale Netz, über welche die attackierenden Pakete empfangen werden, deaktiviert, sodass weniger Prozessorzyklen bei der Behandlung der Attacke genutzt werden. - Bei Aufgabe
605 sendet der Endpunkt303-1 ein Paket805 an den Gatekeeper307 , wobei dieses Paket anzeigt, dass der Gatekeeper307 das Senden weiterer Heartbeat-bezogener Pakete (Keepalive-Pakete) an den Endpunkt303-1 aussetzen soll. Bei einigen Ausführungsformen zeigt das Aussetzungspaket an, dass der Gatekeeper307 das Senden der weiteren Pakete für eine vorgegebene Zeitspanne aussetzen soll; diese Zeitspanne ist länger als die Zeit zwischen zwei aufeinanderfolgenden Paketen in der Reihe von normalerweise gesendeten Keepalive- Paketen, die keine Wiederholversuch-Pakete darstellen. Die Zeitspanne basiert bei einigen Ausführungsformen auf der Art der Paketattacke, die erlitten wird. Bei einigen anderen Ausführungsformen basiert die Zeitspanne auf der Schwere der Paketattacke. Wie Fachleute auf dem Gebiet erkennen werden, kann die Zeitspanne bei einigen noch anderen Ausführungsformen auf noch einem anderen Merkmal der Paketattacke oder etwas anderem in dem System300 basieren. - Bei Aufgabe
606 empfängt der Endpunkt303-1 ein Bestätigungspaket806 von dem Gatekeeper307 unter Ansprechen darauf, dass er das bei Aufgabe605 Aussetzungspaket gesendet hat. - Bei Aufgabe
607 unterlässt der Endpunkt303-1 das Senden weiterer Keepalive-Pakete an den Gatekeeper307 während eines bestimmten Zurückhalteintervalls. Das Zurückhalteintervall wird basierend auf der vorgegebenen Zeitspanne festgelegt, die länger als die Zeit zwischen zwei aufeinanderfolgenden Paketen in der Reihe von Keepalive-Paketen ist, die normalerweise gesendet werden, um die Heartbeat-Beziehung mit dem Gatekeeper307 aufrechtzuerhalten, und die keine Wiederholversuchpakete darstellen. Die vorgegebene Zeitspanne kann auch basierend auf einem oder mehreren Merkmalen, die zuvor und mit Bezug auf Aufgabe605 beschrieben worden sind, festgelegt werden. - Bei Aufgabe
608 überwacht eine Einrichtung in dem Telekommunikationssystem300 die Paketattacke, um zu erkennen, ob sich die Attacke abschwächt. Entsprechend der beispielhaften Ausführungsform überwacht der Endpunkt303-1 die Attacke, während bei bestimmten alternativen Ausführungsformen eine andere Einrichtung die Attacke überwacht. - Bei Aufgabe
609 überprüft der Endpunkt303-1 , ob das Zurückhalteintervall abgelaufen ist. Wenn das Intervall abgelaufen ist, geht die Aufgabenausführung zur Aufgabe610 über. Wenn das Intervall noch nicht abgelaufen ist, geht die Aufgabenausführung zu Aufgabe607 zurück. - Bei Aufgabe
610 überprüft der Endpunkt303-1 (bei Ereignis807 oder810 ), ob die Paketattacke vorüber ist – das heißt, ob eine hinreichende Abschwächung der Paketattacke eingetreten ist, um zu ermöglichen, dass die normalen Heartbeat-bezogenen Übertragungen wieder aufgenommen werden. Der Endpunkt303-1 erhält Kenntnis des Status der Paketattacke basierend auf der bei Aufgabe608 ausgeführten Überwachung. Wenn sich die Attacke hinreichend abgeschwächt hat, geht die Aufgabenausführung zu Aufgabe611 über. Ansonsten geht die Aufgabenausführung zurück zu Aufgabe605 , um ein weiteres Aussetzungspaket wie beispielsweise das Paket808 zu senden und das entsprechende Bestätigungspaket wie beispielsweise das Paket809 zu empfangen. - Bei Aufgabe
611 sendet der Endpunkt303-1 ein Paket811 an den Gatekeeper307 , wobei dieses Paket anzeigt, dass der Gatekeeper307 das Senden von Keepalive-Paketen an den Endpunkt303-1 wieder aufnehmen soll. - Bei Aufgabe
612 empfängt der Endpunkt303-1 das Bestätigungspaket812 von dem Gatekeeper307 unter Ansprechen darauf, dass er in Aufgabe611 das Wiederaufnahmepaket gesendet hat. Der Endpunkt303-1 nimmt selbst sein eigenes Senden von Keepalive-Paketen an den Gatekeeper307 wieder auf und erwartet den Empfang eines Bestätigungspakets für jedes gesendete Keepalive-Paket. Danach endet die Aufgabenausführung. -
7 stellt ein Ablaufdiagramm der wesentlichsten Aufgaben dar, die von einer zweiten Internetprotokoll-fähigen Einrichtung entsprechend der beispielhaften Ausführungsform der vorliegenden Erfindung ausgeführt werden. Der einfacheren Darstellung halber werden die in Zusammenhang mit7 stehenden Aufgaben nachstehend als von dem verbesserten Gatekeeper307 ausgeführt beschrieben; wie Fachleute auf dem Gebiet jedoch erkennen werden, kann auch eine andere Einrichtung die Aufgaben, wie sie aufgezeigt sind, ausführen. - Bei Aufgabe
701 sendet der Gatekeeper307 eine Reihe von Keepalive-Paketen in allgemein bekannter Weise an eine andere Internetprotokoll-fähige Einrichtung; in dem veranschaulichenden Beispiel sendet der Gatekeeper307 die Reihe von Paketen an den Endpunkt303-1 . - Bei Aufgabe
702 empfängt der Gatekeeper ein Paket805 von dem Endpunkt303-1 , wobei dieses Paket anzeigt, dass der Gatekeeper307 das Senden weiterer Heartbeat-bezogener Pakete (Keepalive-Pakete) an den Endpunkt303-1 aussetzen soll. Bei einigen Ausführungsformen zeigt das Aussetzungspaket an, dass der Gatekeeper307 das Senden der weiteren Pakete für eine vorgegebene Zeitspanne aussetzen soll, die länger als die Zeit zwischen zwei aufeinanderfolgenden Paketen in der Reihe von normalerweise gesendeten Keepalive-Paketen ist, die keine Wiederholversuchspakete darstellen. Die Länge der Zeit wird bei einigen Ausführungsformen basierend auf der Art der Paketattacke, die erfolgt, festgelegt. Bei einigen anderen Ausführungsformen wird die Länge der Zeit basierend auf der Schwere der Paketattacke festgelegt. Wie Fachleute auf dem Gebiet erkennen werden, kann bei einigen noch anderen Ausführungsformen die Länge der Zeit basierend auf einem noch anderen Merkmal der Paketattacke oder irgendetwas anderem in dem System300 festgelegt werden. - Bei Aufgabe
703 sendet der Gatekeeper307 ein Bestätigungspaket806 an den Endpunkt303-1 unter Ansprechen darauf, dass er in Aufgabe702 das Aussetzungspaket empfangen hat. - Bei Aufgabe
704 unterlässt der Gatekeeper307 das Senden weiterer Keepalive-Pakete basierend darauf, dass er das Aussetzungspaket von dem Endpunkt303-1 empfangen hat, während eines bestimmten Zurückhalteintervalls. Das Zurückhalteintervall wird basierend auf einer vorgegebenen Zeitspanne festgelegt, die länger als die Zeit zwischen zwei aufeinanderfolgenden Paketen in der Reihe von Keepalive-Paketen ist, die normalerweise gesendet werden, um den Heartbeat mit dem Endpunkt303-1 aufrechtzuerhalten, und die keine Wiederholversuchpakete darstellen. Die vorgegebene Zeitspanne kann basierend auf einem oder mehreren Merkmalen wie zuvor und mit Bezugnahme auf Aufgabe605 beschrieben festgelegt werden. - Bei Aufgabe
705 überwacht der Gatekeeper307 in Hinsicht auf eine Anzeige, das Senden von Keepalive-Paketen wieder aufzunehmen. - Bei Aufgabe
706 überprüft der Gatekeeper307 , ob ein Wiederaufnahmepaket empfangen worden ist. Wenn ein Paket empfangen worden ist, welches die Wiederaufnahme des Sendens von Keepalive-Nachrichten anzeigt, geht die Aufgabenausführung zu Aufgabe709 über. Ansonsten geht die Aufgabenausführung zu Aufgabe707 über. - Bei Aufgabe
707 überprüft der Gatekeeper307 , ob im Gegensatz zu einem Wiederaufnahmepaket ein weiteres Aussetzungspaket empfangen worden ist. Wenn ein weiteres Paket empfangen worden ist, welches das Aussetzen des Sendens von Keepalive-Nachrichten anzeigt (beispielsweise das Paket808 ), geht die Aufgabenausführung zu Aufgabe703 über. Ansonsten geht die Aufgabenausführung zu Aufgabe708 über. - Bei Aufgabe
708 überprüft der Gatekeeper307 , ob das Zurückhalteintervall abgelaufen ist. Wenn das Intervall abgelaufen ist, geht die Aufgabenausführung zu Aufgabe709 über. Wenn das Intervall nicht abgelaufen ist, geht die Aufgabenausführung zu Aufgabe704 zurück. - In Aufgabe
709 nimmt der Gatekeeper307 das Senden von Keepalive-Paketen an den Endpunkt303-1 wieder auf. Danach endet die Aufgabenausführung. - Es sollte verstanden werden, dass die vorstehend beschriebenen Ausführungsformen lediglich die vorliegende Erfindung illustrieren und dass für Fachleute auf dem Gebiet viele Varianten der vorstehend beschriebenen Ausführungsformen in Betracht kommen können, ohne dass von dem Schutzumfang der Erfindung abgewichen wird. Beispielsweise sind in der vorliegenden Beschreibung zahlreiche spezielle Details angegeben, um die beispielhaften Ausführungsformen der vorliegenden Erfindung eingehend zu beschreiben und verständlich zu machen: Fachleute auf dem Gebiet werden jedoch erkennen, dass die Erfindung ohne das eine oder mehrere Details oder mit anderen Verfahren, Materialien, Komponenten, usw. ausgeführt werden kann.
- Darüber hinaus sind in einigen Fällen allgemein bekannte Strukturen, Materialien oder Vorgänge nicht im Einzelnen aufgezeigt oder beschrieben, um ein Verschleiern von Aspekten der beispielhaften Ausführungsformen zu vermeiden. Es versteht sich, dass die verschiedenen Ausführungsformen, die in den Figuren gezeigt sind, beispielhaft sind und nicht notwendigerweise maßstabsgerecht sind. Die Bezeichnungen "die eine Ausführungsform" oder "eine Ausführungsform" oder "einige Ausführungsformen" bedeuten in der gesamten Beschreibung, dass ein bestimmtes Merkmal, eine bestimmte Struktur, ein bestimmtes Material oder eine Eigenschaft, die in Verbindung mit der/den Ausführungsform(en) beschrieben ist, in zumindest einer Ausführungsform der vorliegenden Erfindung aber nicht notwendigerweise in allen Ausführungsformen umfasst ist. Folglich bezieht sich der Ausdruck "in der einen Ausführungsform", "in einer Ausführungsform" oder "in einigen Ausführungsformen", der an verschiedenen Stellen in der gesamten Beschreibung auftaucht, nicht notwendigerweise immer auf die gleiche Ausführungsform. Darüber hinaus können die speziellen Merkmale, Strukturen, Materialen oder Eigenschaften in beliebiger geeigneter Weise in einer oder mehreren Ausführungsformen kombiniert sein. Es ist daher beabsichtigt, solche Varianten mit dem Schutzumfang der folgenden Ansprüche und ihrer Äquivalente zu umfassen.
Claims (21)
- Verfahren, umfassend: Erkennen (
602 ) einer Paketattacke, die eine erste Internetprotokoll-fähige Einrichtung betrifft; und Senden (605 ), basierend auf der Erkennung der Paketattacke, eines ersten Pakets (805 ) von der ersten Internetprotokoll-fähigen Einrichtung an eine zweite Internetprotokoll-fähige Einrichtung, mit welcher die erste Internetprotokoll-fähige Einrichtung eine Mehrzahl von Heartbeat-bezogenen Paketen ausgetauscht hat, die eine Reihe von Keepalive-Paketen (801 ,803 ) umfassen; wobei das erste Paket (805 ) anzeigt, dass die zweite Internetprotokoll-fähige Einrichtung das Senden weiterer Heartbeat-bezogener Pakete an die erste Internetprotokoll-fähige Einrichtung aussetzen soll. - Verfahren nach Anspruch 1, wobei das erste Paket (
805 ) anzeigt, dass die zweite Internetprotokoll-fähige Einrichtung das Senden von weiteren Heartbeat-bezogenen Paketen an die erste Internetprotokoll-fähige Einrichtung für eine vorgegebene Zeitspanne aussetzen soll, und wobei die vorgegebene Zeitspanne länger als die längste Zeit zwischen zwei aufeinanderfolgenden Paketen in der Reihe von Keepalive-Paketen (801 ,803 ) ist. - Verfahren nach Anspruch 2, wobei die vorgegebene Zeitspanne basierend auf der Art der Paketattacke festgelegt wird.
- Verfahren nach Anspruch 2, wobei die vorgegebene Zeitspanne basierend auf der Schwere der Paketattacke festgelegt wird.
- Verfahren nach Anspruch 2, welches ferner das Unterlassen des Sendens jeglicher Heartbeat-bezogener Pakete an der ersten Internetprotokoll-fähigen Einrichtung für ein Intervall umfasst, das auf der vorgegebenen Zeitspanne basiert.
- Verfahren nach Anspruch 2, welches ferner das Senden, nach Abwarten eines Intervalls, das auf der vorgegebenen Zeitspanne basiert, eines zweiten Pakets (
808 ) von der ersten Internetprotokoll-fähigen Einrichtung an die zweite Internetprotokoll-fähige Einrichtung umfasst, wobei das zweite Paket anzeigt, dass die zweite Internetprotokoll-fähige Einrichtung das Aussetzen des Sendens von weiteren Heartbeat-bezogenen Paketen an die erste Internetprotokoll-fähige Einrichtung fortsetzen soll. - Verfahren nach Anspruch 1, ferner umfassend: Erkennen (
610 ), dass sich die Paketattacke ausreichend abgeschwächt hat, um zu ermöglichen, dass die erste Internetprotokoll-fähige Einrichtung und die zweite Internetprotokoll-fähige Einrichtung zuverlässig weitere Heartbeat-bezogene Pakete miteinander austauschen; und Senden (611 ) eines zweiten Pakets (811 ) von der ersten Internetprotokoll-fähigen Einrichtung an die zweite Internetprotokoll-fähige Einrichtung basierend auf der Erkennung, dass sich die Paketattacke ausreichend abgeschwächt hat; wobei das zweite Paket (811 ) anzeigt, dass die zweite Internetprotokoll-fähige Einrichtung das Senden weiterer Heartbeat-bezogener Pakete an die erste Internetprotokoll-fähige Einrichtung wieder aufnehmen soll. - Verfahren nach einem der Ansprüche 1 bis 7, wobei die Erkennung der Paketattacke durch eine dritte Internetprotokoll-fähige Einrichtung erfolgt.
- Verfahren, umfassend: Erkennen einer Paketattacke, die eine erste Internetprotokoll-fähige Einrichtung betrifft; und Senden, basierend auf der Erkennung der Paketattacke, eines ersten Pakets (
805 ) von der ersten Internetprotokoll-fähigen Einrichtung an eine zweite Internetprotokoll-fähige Einrichtung, mit welcher die erste Internetprotokoll-fähige Einrichtung eine Mehrzahl von Heartbeat-bezogenen Paketen ausgetauscht hat, die eine Reihe von Keepalive-Paketen (801 ,803 ) umfassen, wobei das erste Paket (805 ) anzeigt, dass die zweite Internetprotokoll-fähige Einrichtung das Senden weiterer Heartbeat-bezogener Pakete an die erste Internetprotokoll-fähige Einrichtung aussetzen soll; und Unterlassen, an der ersten Internetprotokoll-fähigen Einrichtung, des Sendens jeglicher Heartbeat-bezogener Pakete für ein Intervall, das auf einer vorgegebenen Zeitspanne basiert, wobei die vorgegebene Zeitspanne länger als die längste Zeit zwischen zwei aufeinanderfolgenden Paketen in der Reihe von Keepalive-Paketen (801 ,803 ) ist. - Verfahren nach Anspruch 9, wobei das erste Paket (
805 ) anzeigt, dass die zweite Internetprotokoll-fähige Einrichtung das Senden von weiteren Heartbeat-bezogenen Paketen an die erste Internetprotokoll-fähige Einrichtung für ein Intervall aussetzen soll, das basierend auf der vorgegebenen Zeitspanne festgelegt wird. - Verfahren nach Anspruch 10, wobei die vorgegebene Zeitspanne basierend auf der Art der Paketattacke festgelegt wird.
- Verfahren nach Anspruch 10, wobei die vorgegebene Zeitspanne basierend auf der Schwere der Paketattacke festgelegt wird.
- Verfahren nach Anspruch 10, welches ferner das Senden eines zweiten Pakets (
808 ) von der ersten Internetprotokoll-fähigen Einrichtung an die zweite Internetprotokoll-fähige Einrichtung nach Abwarten eines Intervalls, das auf der vorgegebenen Zeitspanne basiert, umfasst, wobei das zweite Paket anzeigt, dass die zweite Internetprotokoll-fähige Einrichtung das Aussetzen des Sendens von weiteren Heartbeat-bezogenen Paketen an die erste Internetprotokoll-fähige Einrichtung fortsetzen soll. - Verfahren nach Anspruch 9, ferner umfassend: Erkennen, dass sich die Paketattacke ausreichend abgeschwächt hat, um zu ermöglichen, dass die erste Internetprotokoll-fähige Einrichtung und die zweite Internetprotokoll-fähige Einrichtung zuverlässig die weiteren Heartbeat-bezogenen Pakete miteinander austauschen; und Senden eines zweiten Pakets (
811 ) von der ersten Internetprotokoll-fähigen Einrichtung an die zweite Internetprotokoll-fähige Einrichtung basierend auf der Erkennung, dass sich die Paketattacke ausreichend abgeschwächt hat; wobei das zweite Paket (811 ) anzeigt, dass die zweite Internetprotokoll-fähige Einrichtung das Senden weiterer Heartbeat-bezogener Pakete an die erste Internetprotokoll-fähige Einrichtung wieder aufnehmen soll. - Verfahren nach einem der Ansprüche 9 bis 14, wobei die Erkennung der Paketattacke durch eine dritte Internetprotokoll-fähige Einrichtung erfolgt.
- Verfahren nach Ansprüche 9 bis 15, wobei die erste Internetprotokoll-fähige Einrichtung ein Voice-over-Internet-Protocol-fähiger Endpunkt (303-q) ist.
- Verfahren, umfassend: Senden (
701 ) einer Reihe von Keepalive-Paketen (801 ,803 ) von einer zweiten Internetprotokoll-fähigen Einrichtung an eine erste Internetprotokoll-fähige Einrichtung; Empfangen (702 ), an der zweiten Internetprotokoll-fähigen Einrichtung, eines ersten Pakets (805 ) von der ersten Internetprotokoll-fähigen Einrichtung; Unterlassen (704 ) des Sendens weiterer Keepalive-Pakete an die erste Internetprotokoll-fähige Einrichtung an der zweiten Internetprotokoll-fähigen Einrichtung und nach dem Senden der Reihe von Keepalive-Paketen (801 ,803 ), wobei das Unterlassen (i) während eines Intervalls, das auf einer vorgegebenen Zeitspanne basiert, und (ii) basierend auf dem Empfang des ersten Pakets (805 ) erfolgt; und Senden (703 ) eines Bestätigungspakets (806 ) an die erste Internetprotokoll-fähige Einrichtung unter Ansprechen auf den Empfang des ersten Pakets (805 ). - Verfahren nach Anspruch 17, wobei das erste Paket (
805 ) die vorgegebene Zeitspanne angibt, und wobei die vorgegebene Zeitspanne länger als die längste Zeit zwischen zwei aufeinanderfolgenden Paketen (801 ,803 ) in der Reihe von Keepalive-Paketen ist. - Verfahren nach Anspruch 17, welches ferner, nach dem Abwarten des Intervalls, das Senden (
709 ) eines weiteren Keepalive-Paketes von der zweiten Internetprotokoll-fähigen Einrichtung an die erste Internetprotokoll-fähige Einrichtung umfasst. - Verfahren nach einem der Ansprüche 17 bis 19, wobei das Empfangen des ersten Pakets über eine dritte Internetprotokoll-fähige Einrichtung erfolgt, die eine Paketattacke erkennt, und wobei das Empfangen des ersten Pakets auf der Erkennung der Paketattacke durch die dritte Internetprotokoll-fähige Einrichtung basiert.
- Verfahren nach einem der Ansprüche 17 bis 20, wobei die zweite Internetprotokoll-fähige Einrichtung einen Voice-over-Internet-Protocol-Gatekeeper (
307 ) darstellt.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/610,489 | 2006-12-13 | ||
US11/610,489 US8353030B2 (en) | 2006-12-13 | 2006-12-13 | Maintaining communication between network nodes that are subjected to a packet attack |
Publications (2)
Publication Number | Publication Date |
---|---|
DE102007060522A1 true DE102007060522A1 (de) | 2008-06-19 |
DE102007060522B4 DE102007060522B4 (de) | 2015-05-21 |
Family
ID=39399988
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102007060522.8A Expired - Fee Related DE102007060522B4 (de) | 2006-12-13 | 2007-12-13 | Aufrechterhaltung der Kommunikation zwischen Netzknoten, die eine Paketattacke erfahren |
Country Status (2)
Country | Link |
---|---|
US (1) | US8353030B2 (de) |
DE (1) | DE102007060522B4 (de) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102790776A (zh) * | 2012-08-03 | 2012-11-21 | 中国联合网络通信集团有限公司 | 心跳连接归一处理方法、终端、服务器及通信系统 |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8094576B2 (en) | 2007-08-07 | 2012-01-10 | Net Optic, Inc. | Integrated switch tap arrangement with visual display arrangement and methods thereof |
US11025496B2 (en) * | 2008-01-16 | 2021-06-01 | Oracle International Corporation | Smart component monitoring |
US8090974B1 (en) * | 2008-02-08 | 2012-01-03 | Joviandata, Inc. | State machine controlled dynamic distributed computing |
US20090296726A1 (en) * | 2008-06-03 | 2009-12-03 | Brocade Communications Systems, Inc. | ACCESS CONTROL LIST MANAGEMENT IN AN FCoE ENVIRONMENT |
US9813448B2 (en) | 2010-02-26 | 2017-11-07 | Ixia | Secured network arrangement and methods thereof |
US9019863B2 (en) * | 2010-02-26 | 2015-04-28 | Net Optics, Inc. | Ibypass high density device and methods thereof |
US9749261B2 (en) | 2010-02-28 | 2017-08-29 | Ixia | Arrangements and methods for minimizing delay in high-speed taps |
US8732324B2 (en) * | 2010-05-25 | 2014-05-20 | Cisco Technology, Inc. | Keep-alive hiatus declaration |
TWI442259B (zh) * | 2010-11-05 | 2014-06-21 | Acer Inc | 權限控制系統及方法,及其電腦程式產品 |
US8762499B2 (en) * | 2010-12-20 | 2014-06-24 | Sonus Networks, Inc. | Systems and methods for handling a registration storm |
US8578022B2 (en) * | 2011-01-19 | 2013-11-05 | Cisco Technology, Inc. | Adaptive idle timeout for TCP connections in ESTAB state |
KR101890659B1 (ko) * | 2011-09-01 | 2018-09-28 | 삼성전자주식회사 | 휴대 단말기에서 ip 접속을 유지하는 장치 및 방법 |
US11310265B2 (en) * | 2020-02-27 | 2022-04-19 | Hewlett Packard Enterprise Development Lp | Detecting MAC/IP spoofing attacks on networks |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002016655A (ja) * | 2000-06-28 | 2002-01-18 | Sony Corp | 伝送方法、伝送システム、伝送装置及び伝送制御装置 |
US20020176378A1 (en) * | 2001-05-22 | 2002-11-28 | Hamilton Thomas E. | Platform and method for providing wireless data services |
US7162740B2 (en) | 2002-07-22 | 2007-01-09 | General Instrument Corporation | Denial of service defense by proxy |
US7710885B2 (en) | 2003-08-29 | 2010-05-04 | Agilent Technologies, Inc. | Routing monitoring |
KR100670685B1 (ko) | 2005-03-31 | 2007-01-17 | 주식회사 하이닉스반도체 | 반도체 소자의 출력 드라이버 |
CN101305350A (zh) | 2005-06-09 | 2008-11-12 | 惠而浦公司 | 与家用电器内的至少一个部件通信以及对其进行管理的软件体系系统和方法 |
US20060294588A1 (en) * | 2005-06-24 | 2006-12-28 | International Business Machines Corporation | System, method and program for identifying and preventing malicious intrusions |
-
2006
- 2006-12-13 US US11/610,489 patent/US8353030B2/en active Active
-
2007
- 2007-12-13 DE DE102007060522.8A patent/DE102007060522B4/de not_active Expired - Fee Related
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102790776A (zh) * | 2012-08-03 | 2012-11-21 | 中国联合网络通信集团有限公司 | 心跳连接归一处理方法、终端、服务器及通信系统 |
CN102790776B (zh) * | 2012-08-03 | 2015-02-04 | 中国联合网络通信集团有限公司 | 心跳连接归一处理方法、终端、服务器及通信系统 |
Also Published As
Publication number | Publication date |
---|---|
US20080144613A1 (en) | 2008-06-19 |
DE102007060522B4 (de) | 2015-05-21 |
US8353030B2 (en) | 2013-01-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE102007060522B4 (de) | Aufrechterhaltung der Kommunikation zwischen Netzknoten, die eine Paketattacke erfahren | |
EP3695577B1 (de) | Verfahren zur daten-kommunikation in einem tsn netzwerk, steuerungsverfahren und vorrichtung | |
DE60110974T2 (de) | Abfangverfahren und -vorrichtung zur Kompensation nachteiliger Eigenschaften eines Kommunikationsprotokolls | |
DE60023586T2 (de) | System und Verfahren zum Wiederanfahren von Signalisierungseinheiten in H.323-basierten Echtzeit-kommunikationsnetzen | |
DE60014234T2 (de) | System und Verfahren zum Ermöglichen von Fehlertolerante Systeme | |
DE60212108T2 (de) | Selektiver Schutz für Ringtopologien | |
DE60027875T2 (de) | Aktualisierung des Headerkompressionszustands in Paketübertragung | |
DE60031303T2 (de) | Verfahren und einrichtung zur effizienten anwendungsschicht-vermittlung für gemultiplexte-internet-medienströme | |
DE60014492T2 (de) | System und Verfahren zur direkten Benutzer-Signalisierung in H.323 Kommunikationsnetzen | |
DE60030343T2 (de) | System und Verfahren für die verteilte Anrufsignalisierung in LAN-Netzen mit Telephoniefunktionalität | |
DE69932674T2 (de) | Stille Überwachung in einer Sprach-über-Datennetzwerk Umgebung | |
DE112004001819B4 (de) | Endpunkt-Registrierung mit lokaler Verzögerungszeit in einem Rufabwicklungssystem | |
EP2387261B1 (de) | Bereitstellung einer Ende-zu-Ende-Verbindung von einer Endeinheit in ein Netz | |
DE10050447A1 (de) | Verfahren und Vorrichtung zum Optimieren der Paketlänge in ToL-Netzwerken | |
EP1761081A1 (de) | Kommunikationssystem, Vermittlungsknoten-Rechner und Verfahren zur Bestimmung eines Kontrollknotens | |
DE10085104B4 (de) | Verfahren und Anordnung in einem Telekommunikationssystem | |
EP1673918B1 (de) | Behandlung von Early Media-Daten I | |
EP1282280B1 (de) | Verfahren, Steuereinrichtung und Programmmodul zur Steuerung und Lenkung von Datenströmen einer Kommunikationsverbindung zwischen Teilnehmern eines Paketdatennetzes | |
EP2686995B1 (de) | Verfahren zum aufbau einer kommunikationsverbindung | |
EP1388996A1 (de) | Verfahren und Anordnung zum Steuern einer Konferenzschaltung in einem paketorientierten Kommunikationsnetz | |
DE60306425T2 (de) | Verfahren zur garantierten ablieferung von snmp-traps über ein grossflächiges netzwerk | |
DE602004006171T2 (de) | Sitzungseinleitungsprotokollsignalisierung (sip) | |
DE102008055968A1 (de) | Benachrichtigung über das bevorstehende Ausschöpfen der Ressourcen eines Medien-Gateways | |
DE10133648A1 (de) | Verfahren zur Unterstützung von Dienstgütemerkmalen in heterogenen Kommunikationsnetzen | |
EP1535477B1 (de) | Verfahren zum weiterleiten von signalisierungsnachrichten und zugehörige komponenten |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
R081 | Change of applicant/patentee |
Owner name: AVAYA INC., US Free format text: FORMER OWNER: AVAYA TECHNOLOGY LLC, BASKING RIDGE, US Effective date: 20120705 Owner name: AVAYA INC., BASKING RIDGE, US Free format text: FORMER OWNER: AVAYA TECHNOLOGY LLC, BASKING RIDGE, N.J., US Effective date: 20120705 |
|
R082 | Change of representative |
Representative=s name: BLUMBACH ZINNGREBE, DE Effective date: 20120705 Representative=s name: BLUMBACH ZINNGREBE PATENT- UND RECHTSANWAELTE, DE Effective date: 20120705 Representative=s name: BLUMBACH ZINNGREBE PATENT- UND RECHTSANWAELTE , DE Effective date: 20120705 |
|
R016 | Response to examination communication | ||
R016 | Response to examination communication | ||
R079 | Amendment of ipc main class |
Free format text: PREVIOUS MAIN CLASS: H04L0012560000 Ipc: H04L0012700000 |
|
R079 | Amendment of ipc main class |
Free format text: PREVIOUS MAIN CLASS: H04L0012560000 Ipc: H04L0012700000 Effective date: 20121120 |
|
R016 | Response to examination communication | ||
R016 | Response to examination communication | ||
R018 | Grant decision by examination section/examining division | ||
R020 | Patent grant now final | ||
R079 | Amendment of ipc main class |
Free format text: PREVIOUS MAIN CLASS: H04L0012700000 Ipc: H04L0045000000 |
|
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |