DE102007060522A1 - Aufrechterhaltung der Kommunikation zwischen Netzknoten die eine Paketattacke erfahren - Google Patents

Aufrechterhaltung der Kommunikation zwischen Netzknoten die eine Paketattacke erfahren Download PDF

Info

Publication number
DE102007060522A1
DE102007060522A1 DE102007060522A DE102007060522A DE102007060522A1 DE 102007060522 A1 DE102007060522 A1 DE 102007060522A1 DE 102007060522 A DE102007060522 A DE 102007060522A DE 102007060522 A DE102007060522 A DE 102007060522A DE 102007060522 A1 DE102007060522 A1 DE 102007060522A1
Authority
DE
Germany
Prior art keywords
internet protocol
enabled device
packet
packets
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102007060522A
Other languages
English (en)
Other versions
DE102007060522B4 (de
Inventor
Akshay Santa Clara Adhikari
Sachin Garg
Anjur Sundaresan Krishnakumar
Navjot Singh
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Avaya Inc
Original Assignee
Avaya Technology LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Avaya Technology LLC filed Critical Avaya Technology LLC
Publication of DE102007060522A1 publication Critical patent/DE102007060522A1/de
Application granted granted Critical
Publication of DE102007060522B4 publication Critical patent/DE102007060522B4/de
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Es wird ein Verfahren offenbart, welches eine Entschärfung zumindest einiger Probleme ermöglicht, die durch eine Paketattacke bewirkt werden. Wenn eine erste Internetprotokoll(IP)-fähige Einrichtung eine Paketattacke erleidet, zeigt sie periodisch einer zweiten IP-fähigen Einrichtung an, dass bestimmte Kommunikationen mit der ersten Einrichtung ausgesetzt werden sollen. Das periodische Senden der Anzeige erfolgt mit einer geringeren Rate als der Keepalive-Mechanismus, der normalerweise genutzt wird, um einen Ausfall der Verbindungsfähigkeit zu erkennen. Wenn die zweite Einrichtung die gesendete Anzeige empfängt, unterlässt sie das Senden von Keepalive-Nachrichten an die erste Einrichtung für ein vorgegebenes Intervall. Währenddessen unterlässt auch die erste Einrichtung das Senden von Keepalive-Nachrichten an die zweite Einrichtung während eines ähnlichen Intervalls. Mit dem Senden der Aussetzungsanzeige wird gemäß der beispielhaften Ausführungsform versucht zu verhindern, dass Paare von Kommunikationseinrichtungen, welche Paketattacken erleiden, ihren Betrieb unter der fehlerhaften Annahme fortsetzen, dass die jeweilige Einrichtung nicht verfügbar ist.

Description

  • Gebiet der Erfindung
  • Die vorliegende Erfindung betrifft die Telekommunikation im Allgemeinen und spezieller das Aufrechterhalten der Kommunikation zwischen zwei Netzknoten, wenn einer der Netzknoten oder beide eine Paketattacke erleiden.
  • Hintergrund der Erfindung
  • Voice over Internet Protocol (oder "VoIP") beinhaltet das Weiterleiten von Unterhaltungen in Form gesprochener Sprache über das Internet oder über eine andere Netzart, das auf dem Internetprotokoll basiert. Sprachsignale von den Sprachunterhaltungen, die weitergeleitet werden sollen, werden digitalisiert und zu Datenpaketen formatiert, welche dann über das Netz übermittelt werden. Ein Telekommunikationsnetz, das auf VoIP basiert, ist in der Lage, Sprachkommunikation zwischen Einrichtungen, die auf das Netz zugreifen können, zu übermitteln. 1 stellt ein Schema eines Telekommunikationssystems 100 gemäß dem Stand der Technik dar, das Sprachunterhaltungen zwischen Endnutzereinrichtungen wie beispielsweise Telefonen übertragen kann. Das Telekommunikationssystem 100 umfasst:
    • i. ein Backbone-Paketnetz 101;
    • ii. ein lokales Netz (LAN) 102;
    • iii. Internetprotokoll-fähige Endpunkte 103-1 bis 103-R, wobei R eine positive ganze Zahl ist;
    • iv. Gateways 104-1 bis 104-S, wobei S eine positive ganze Zahl ist;
    • v. ein öffentliches Telefonvermittlungsnetz (PSTN) 105;
    • vi. ein PSTN-Telekommunikationsendgerät 106; und
    • vii. einen Gatekeeper 107.
  • Sämtliche in 1 dargestellte Elemente sind untereinander wie gezeigt verbunden.
  • Das System 100 umfasst eine Mehrzahl von unterschiedlichen Netztypen, darunter ein Backbone-Paketnetz 101, ein lokales Netz 102 und ein öffentliches Telefonvermittlungsnetz 105. Das Backbone-Paketnetz 101 umfasst einen oder mehrere mit der Übertragung in Zusammenhang stehende Knoten, beispielsweise Router, die genutzt werden, um Datenpakete, im vorliegenden Fall Sprachpakete, von einer oder mehreren Quellen zu den korrekten Zielen dieser Pakete zu leiten. Das Netz 101 ist in der Lage, Internetprotokoll-basierte Nachrichten abzuwickeln, die zwischen Internetprotokoll-fähigen Einrichtungen, beispielsweise den Endpunkten 103-1 bis 103-R, und Gateways, beispielsweise den Gateways 104-1 bis 104-S, übertragen werden. Das lokale Netz (oder "LAN") 102 ermöglicht die lokale Verteilung von Signalen, beispielsweise in einem Unternehmenssystem, und umfasst Vernetzungsausrüstung wie beispielsweise Hubs, Brücken und Switche zwischen dem Backbone-Paketnetz 101 und den Internetprotokoll-fähigen Endpunkten 103-1 bis 103-R. Das LAN 102 arbeitet entsprechend einem Netzwerkprotokoll wie beispielsweise Ethernet oder IEEE 802.3. Das öffentliche Telefonvermittlungsnetz 105 umfasst einen oder mehrere mit der Übertragung in Zusammenhang stehende Knoten wie beispielsweise Vermittlungseinrichtungen, die genutzt werden, um mit Rufverbindungen in Zusammenhang stehende Signale von einer oder mehreren Quellen an die korrekten Ziele für diese Signale zu leiten. Das Netz 105 ist in der Lage, entweder analoge oder digitale Trägerinformationen in leitungsvermittelten Rufverbindungen zwischen solchen Einrichtungen wie dem PSTN-Endgerät 106 und dem Gateway 104-1 abzuwickeln.
  • Das Backbone-Netz 101 wie auch einige der dargestellten Knoten werden durch den Protokollstandard H.323, spezifiziert von der International Telecommunication Union, gesteuert. Die in 1 dargestellten Knoten, die durch den Standard H.323 gesteuert werden, umfassen die Endpunkte 103-1 bis 103-R, die Gateways 104-1 bis 104-S sowie den Gatekeeper 107, welche nachstehend beschrieben werden. Einige andere VoIP-Systeme als das System 100 werden durch das Session Initiation Protocol (oder "SIP") oder ein proprietäres Protokoll gesteuert.
  • Der Internetprotokoll-fähige Endpunkt 103-r, für r = 1 bis R, stellt eine Kommunikationseinrichtung wie beispielsweise ein Arbeitsplatzgerät, eine Konferenzschaltungseinheit, ein drahtloses Endgerät, einen Arbeitsplatzrechner oder einen tragbaren Rechner (d.h. ein "Softwaretelefon"), ein Internettelefon usw. dar. Wie dargestellt, arbeitet der Endpunkt 103-r in einem lokalen Netz. Der Endpunkt 103-r ist in der Lage, Sprachsignale von seinem Nutzer zu digitalisieren und die digitalisierten Signale zu übertragbaren Datenpaketen zu formatieren, und zwar über eine Audio-Kompressor/Dekompressor-(oder "CODEC"-)Schaltung. Ähnlich ist die CODEC-Schaltung des Endpunkts 103-r auch in der Lage, Datenpakete zu empfangen und die in diesen Paketen enthaltenen Informationen in Sprachsignale umzuwandeln, die für den Nutzer des Endpunkts verständlich sind.
  • Das Gateway 104-s, für s = 1 bis S, stellt ein Datenverarbeitungssystem dar, welches als Übersetzer zwischen zwei Arten von Netzen agiert; beispielsweise verbindet das Gateway 104-1 das Backbone-Paketnetz 101 und das öffentliche Telefonvermittlungsnetz 105 und agiert als Übersetzer zwischen diesen. Da das Gateway 104-s zwei unterschiedliche Typen von Netzen miteinander verbindet, besteht eine seiner Hauptfunktionen darin, für eine Umsetzung zwischen den unterschiedlichen Übertragungs- und Kodierungsverfahren, die in den beiden Netzen genutzt werden, zu sorgen. Das Gateway 104-1 ist ein VoIP(Voice over Internet Protocol)-fähiges Gateway, welches die Umsetzung zwischen zeitgemultiplexten Sprachsignalen, die ihren Ursprung an einem Telekommunikationsendgerät eines leitungsvermittelten Telefonnetzes wie beispielsweise dem Endgerät 106 haben, und VoIP-Signalen, die für einen Endpunkt eines Internetprotokoll-Netzes wie beispielsweise einen der IP-fähigen Endpunkte 103-1 bis 103-R bestimmt sind, als Teil eines Telefongesprächs zwischen zwei Parteien auszuführen. Das Gateway 104-a führt ebenso die Umsetzung in der Rückrichtung aus (d.h. von einem IP-Endgerät zu einem PSTN-Endgerät) und ist in der Lage, gleichzeitig eine bidirektionale Umsetzung für mehrere Rufverbindungen auszuführen.
  • Der Gatekeeper 107 stellt ein Datenverarbeitungssystem dar, das jeweils eine Gruppe von IP-fähigen Endpunkteinrichtungen, die zu einer bestimmten Zone gehören, verwaltet. Der Gatekeeper 107 stellt eine Adressübersetzung und Weiterleitung für die IP-fähigen Einrichtungen in ihrer Zone bereit. Außerdem stellt der Gatekeeper 107 die Verbindungszulassungskontrolle bereit, welche das Spezifizieren beinhaltet, welche der IP-fähigen Einrichtungen 103-1 bis 103-R eine Rufverbindung mit anderen Einrichtungen in dem Telekommunikationsystem 100 aufbauen darf.
  • Der Gatekeeper 107 empfängt eine oder mehrere Registrierungsnachrichten von jedem Internetprotokoll-fähigen Endpunkt 103-r, wenn sich der Endpunkt erstmalig an das Netz anbindet. Die Registrierungsnachricht gibt die momentane IP-Adresse des Endpunkts an und ermöglicht dem Endpunkt 103-r, das Netz zu nutzen, beispielsweise einen Anruf zu tätigen. Wenn der Nutzer des Endpunkts 103-r einen Anruf tätigen möchte, sendet der Endpunkt eine Nachricht, welche die Zieltelefonnummer umfasst. Nachdem das Netzwerk 101 bestimmt hat, welchem Gateway die Zieltelefonnummer entspricht, übermittelt der Gatekeeper 107 die Adresse des Ziel-Gateways an den rufenden Endpunkt 103-r. Der Endpunkt kann dann Pakete direkt an das Gateway (z.B. das Gateway 104-1 usw.) senden, und das Gateway initiiert einen lokalen Anruf zu dem Zieltelefon (z.B. dem Endgerät 106 usw.).
  • Wie anhand des soeben beschriebenen Verbindungssteuerungsszenarios zu ersehen ist, ist es für jeden Endpunkt 103-r und Gatekeeper 107 wichtig, fortlaufend Kenntnis voneinander sowie fortlaufend die Fähigkeit zur Kommunikation miteinander aufrechtzuerhalten. Um diese fortlaufende Beziehung zueiander aufrechtzuerhalten, tauscht jeder Endpunkt 103-r eine "Heartbeat"-Nachricht" (dt.: Herzschlag) mit dem Gatekeeper 107 aus. Ein Ausfall des Heartbeats würde den betroffenen Endpunkt veranlassen, erneut einen Gatekeeper festzustellen, oder würde den betroffenen Gatekeeper veranlassen, den Endpunkt abzumelden, oder beides.
  • 2 stellt einen solchen Heartbeat-Mechanismus gemäß dem Stand der Technik dar, bei welchem der Endpunkt 103-1 der Initiator der Heartbeat-Sequenz ist und der Gatekeeper 107 auf jede Heartbeat-Nachricht anspricht, die er von dem Endpunkt 103-1 empfängt. Man beachte, dass auch der Gatekeeper 107 der Initiator einer Heartbeat-Sequenz mit dem Endpunkt 103-1 oder mit einem anderen Endpunkt sein kann, dies ist hier aber nicht gezeigt. Wie dargestellt, hat der Endpunkt 103-1 eine Reihe normaler "Keepalive"-Pakete gesendet, beispielsweise das Paket 201, und unter Ansprechen auf jedes Keepalive-Paket hat der Gatekeeper 107 ein Bestätigungspaket wie beispielsweise das Paket 202 gesendet. Der Endpunkt 103-1 sendet die Keepalive-Pakete in regelmäßigen, vorgegebenen Intervallen. Wenn der Endpunkt 103-1 kein Bestätigungspaket in Reaktion auf ein Keepalive-Paket empfängt, wie beispielsweise bei dem Keepalive-Paket 203, beginnt der Endpunkt Wiederholversuch-Keepalive-Pakete wie etwa die Pakete 204 bis 207 zu senden, aber mit einer schnelleren Rate als zuvor. Wenn die Wiederholversuch-Keepalive-Pakete unbeantwortet bleiben, meldet sich der Endpunkt 103-1 schließlich ab und geht bei Ereignis 208 in einen Erkennungsmodus über, in welchem er versucht, einen Gatekeeper zu finden und sich bei diesem neu zu registrieren.
  • Das vorstehend beschriebene Heartbeat-basierte Sicherheitsverfahren funktioniert unter normalen Bedingungen gut. Unter außergewöhnlichen Bedingungen jedoch kann es passieren, dass der Endpunkt 103-r oder der Gatekeeper 107 oder beide einer so genannten "Paketattacke", bisweilen als "Denial-of-Service-Attack" bezeichnet, ausgesetzt sind, bei welcher es ein Eindringling auf eine oder mehrere Einrichtungen abgesehen haben kann und fortlaufend mit hoher Rate Pakete sendet, die an die anvisierte Einrichtung adressiert sind. Wenn eine Einrichtung wie beispielsweise der Endpunkt 103-r oder der Gatekeeper 107 eine Paketattacke erleidet, ist es möglich, dass die Einrichtung nicht über genügend Verarbeitungsleistung verfügt, um weiterhin Heartbeat-Nachrichten zu erzeugen oder zu verarbeiten. Wenn der Endpunkt 103-r betroffen ist, wird der Gatekeeper 107 den Endpunkt 103-r letztendlich abmelden, wobei dieser dann in den Erkennungsmodus übergehen wird, um sich bei einem Gatekeeper neu zu registrieren. Wie bereits angemerkt, führt das Nichtvorhandensein eines Heartbeats zu zusätzlichem Nachrichtenverkehr in dem Netz und erhöht die Verarbeitungslast an dem Gatekeeper 107, dessen Leistungsverhalten sich möglicherweise verschlechtert und dessen Gesamtfähigkeit sich gegenüber den anderen Knoten in dem System 100 möglicherweise reduziert. Wenn sich zudem eine große Anzahl von Endpunkten gleichzeitig neu registrieren würde, würde eine Flut von mit der Registrierung in Zusammenhang stehenden Nachrichten auftreten, die eine noch höhere Last an dem Gatekeeper 107 erzeugt und letztendlich zu einem verschlechterten Leistungsverhalten in dem System 100 führt.
  • Es wird ein Verfahren benötigt, um die Probleme, die durch eine Paketattacke bewirkt werden, zu vermindern, und zwar ohne dass einige der Nachteile des Standes der Technik zum Tragen kommen.
  • Zusammenfassung der Erfindung
  • Die vorliegende Erfindung ermöglicht die Entschärfung zumindest einiger der Probleme, die durch eine Paketattacke bewirkt werden, und das ohne einige der Nachteile des Standes der Technik. Wenn insbesondere eine erste Internetprotokoll(IP)-fähige Einrichtung eine Paketattacke erleidet, zeigt sie periodisch einer zweiten IP-fähigen Einrichtung an, dass bestimmte Kommunikationen mit der ersten Einrichtung ausgesetzt werden sollen. Entsprechend der beispielhaften Ausführungsform der vorliegenden Erfindung erfolgt das periodische Senden der Anzeige mit einer geringeren Rate als der Keepalive-Mechanismus, der normalerweise genutzt wird, um einen Verbindungsausfall zu erkennen. Wenn die zweite Einrichtung die gesendete Anzeige empfängt, unterlässt sie das Senden von Keepalive-Nachrichten an die erste Einrichtung für eine vorgegebene Zeitspanne. Währenddessen unterlässt auch die erste Einrichtung das Senden von Keepalive-Nachrichten an die zweite Einrichtung für eine ähnliche Zeitspanne. Durch Senden eines jeweiligen Aussetzpakets, welches als Anweisung für die zweite Einrichtung wirkt, ihre Kenntnis des Betriebszustandes der ersten Einrichtung zu erhalten, wird gemäß der beispielhaften Ausführungsform versucht zu verhindern, dass Paare von Kommunikationseinrichtungen, die Paketattacken erleiden, ihren Betrieb unter der fehlerhaften Annahme fortsetzen, dass die jeweilige Einrichtung nicht verfügbar ist.
  • Die Aufgaben, die Bestandteil der Entschärfung des Paketattackenproblems sind, sollen hier beschrieben werden. Als erstes erkennt eine Einrichtung in dem Telekommunikationssystem gemäß der beispielhaften Ausführungsform eine Paketattacke. Danach wird ein sicherer, zuverlässiger Kanal zwischen der ersten Einrichtung, beispielsweise einem Endpunkt, und der zweiten Einrichtung, beispielsweise einem Gatekeeper, geöffnet. Die erste Einrichtung sendet periodisch ein Aussetzungspaket, um den Betriebsstatus der ersten Einrichtung an der zweiten Einrichtung zu bewahren (d.h. "einzufrieren"), wobei der Status der ersten Einrichtung z.B. anzeigen kann, ob die erste Einrichtung bei der zweiten Einrichtung registriert ist. Die zweite Einrichtung sendet ein Bestätigungspaket an die erste Einrichtung zurück und setzt das Senden von Keepalive-Paketen an die erste Einrichtung aus. Wenn die erste Einrichtung das Bestätigungspaket empfängt, kann sie ebenfalls das Senden von Keepalive-Paketen an die zweite Einrichtung für eine vorgegebene Dauer, die als "Zurückhalteperiode" bezeichnet wird, unterlassen. Jede Einrichtung wird das Senden von Keepalive-Nachrichten an die andere Einrichtung beenden und darauf warten, dass die Paketattacke endet. Wenn die Paketattacke nach der momentanen Zurückhalteperiode anhält, wird die erste Einrichtung gegebenenfalls weitere Aussetzungspakete senden. Sobald die erste Einrichtung erkennt oder dieser gemeldet wird, dass die Attacke vorüber ist, sendet sie ein Wiederaufnahmepaket an die zweite Einrichtung. Zu diesem Zeitpunkt nimmt die normale Heartbeat-Zustandsmaschine an der ersten Einrichtung wieder ihren Betrieb auf, und die zweite Einrichtung kann sich ebenfalls dafür entscheiden, ihre Heartbeat-Zustandsmaschine wieder zu betreiben.
  • Bei einigen Ausführungsformen kann die IP-fähige Einrichtung gemäß der beispielhaften Ausführungsform die unmittelbare Auswirkung der Paketattacke entschärfen, indem sie Mechanismen zusätzlich zu dem Verfahren gemäß der beispielhaften Ausführungsform nutzt. Beispielsweise kann die Einrichtung die Schnittstelle für das lokale Netz, über welche der Datenstrom mit der Paketattacke ankommt, deaktivieren; dies hat die Wirkung, Prozesszyklen einzusparen, anstatt Prozesszyklen aufzuwenden, um den Attackenstrom zu behandeln.
  • Die beispielhafte Ausführungsform entsprechend der vorliegenden Erfindung umfasst: das Erkennen einer Paket attacke, die eine erste Internetprotokoll-fähige Einrichtung betrifft, und das Senden, basierend auf der Erkennung der Paketattacke, eines ersten Pakets von der ersten Internetprotokoll-fähigen Einrichtung an eine zweite Internetprotokoll-fähige Einrichtung, mit welcher die erste Internetprotokoll-fähige Einrichtung eine Mehrzahl von Heartbeat-bezogenen Paketen ausgetauscht hat, die eine Reihe von Keepalive-Paketen umfassen, wobei das erste Paket anzeigt, dass die zweite Internetprotokoll-fähige Einrichtung das Senden weiterer Heartbeat-bezogener Pakete an die erste Internetprotokoll-fähige Einrichtung aussetzen soll.
  • Kurze Beschreibung der Zeichnungen
  • 1 stellt ein Schema eines Telekommunikationssystems 100 gemäß dem Stand der Technik dar.
  • 2 stellt einen Heartbeat-Mechanismus gemäß dem Stand der Technik dar.
  • 3 stellt ein Schema eines Telekommunikationssystems 300 gemäß der beispielhaften Ausführungsform der vorliegenden Erfindung dar.
  • 4 stellt Bestandteile eines verbesserten Internetprotokoll-fähigen Endpunkts 303-q des Systems 300 dar.
  • 5 stellt Bestandteile des verbesserten Gatekeepers 307 des Systems 300 dar.
  • 6 stellt ein Ablaufdiagramm der Aufgaben dar, die von einer ersten Internetprotokoll-fähigen Einrichtung entsprechend der beispielhaften Ausführungsform der vorliegenden Erfindung ausgeführt werden.
  • 7 stellt ein Ablaufdiagramm der Aufgaben dar, die von einer zweiten Internetprotokoll-fähigen Einrichtung entsprechend der beispielhaften Ausführungsform der vorliegenden Erfindung ausgeführt werden.
  • 8 stellt ein Nachrichtenflussdiagramm für die Kombination einiger der Nachrichten und Ereignisse dar, die in den 6 und 7 dargestellt sind.
  • Detaillierte Beschreibung
  • 3 stellt ein Schema eines Telekommunikationssystems 300 gemäß der beispielhaften Ausführungsform der vorliegenden Erfindung dar. Das Telekommunikationssystem 300 umfasst:
    • i. ein Backbone-Paketnetz 101;
    • ii. ein lokales Netz 102;
    • iii. verbesserte Internetprotokoll-fähige Endpunkte 303-1 bis 303-Q, wobei Q eine positive ganze Zahl ist; und
    • iv. einen verbesserten Gatekeeper 307.
  • Sämtliche in 3 dargestellte Elemente sind untereinander wie gezeigt verbunden. Außerdem umfasst das System 300 Gateways 104-1 bis 104-S, ein öffentliches Telefonvermittlungsnetz (PSTN) 105 und ein PSTN-Telekommunikationsendgerät 106, die wie das Backbone-Paketnetz 101 und das lokale Netz 102 alle bereits zuvor und mit Bezugnahme auf 1 beschrieben worden sind.
  • Das System 300 ähnelt dem System 100 insofern, als es in der Lage ist, Sprachkommunikation zwischen Endnutzereinrichtungen zu übertragen. Wie Fachleute auf dem Gebiet jedoch erkennen werden, wird die vorliegende Erfindung in einigen alternativen Ausführungsformen der vorliegenden Erfindung ebenso für Telekommunikationssysteme geeignet sein, andere Arten von Trägerinformationen als Sprache, beispielsweise Video, zu übertragen.
  • Ferner ist das Telekommunikationssystem 300, wie Fachleute auf dem Gebiet erkennen werden, bei einigen alternativen Ausführungsformen in der Lage, andere Arten von Netzwerken und andere Kombinationen von Netzwerken als die dargestellten zu behandeln. Bei einigen alternativen Ausführungsformen könnte jedes Netz wiederum weitere Netze umfassen, beispielsweise Mobiltelefonnetze und lokale Netze, die entweder drahtgebunden oder drahtlos sind.
  • Entsprechend der beispielhaften Ausführungsform wird das Backbone-Netz 101 durch den Protokollstandard H.323 gesteuert, der von der International Telecommunication Union spezifiziert worden ist. Die verbesserten Endpunkte 303-1 bis 303-Q und der verbesserte Gatekeeper 307, die nachstehend beschrieben werden, werden ebenfalls mittels des H.323-Standards gesteuert. Wie Fachleute auf dem Gebiet erkennen werden, kann bei einigen alternativen Ausführungsformen ein Teil des Systems oder das gesamte System 300 durch ein anderes Protokoll, beispielsweise das Session Initiation Protocol (oder "SIP"), entweder proprietär oder standardisiert, gesteuert werden.
  • Der verbesserte Internetprotokoll-fähige Endpunkt 303-q, für q = 1 bis Q, stellt eine Kommunikationseinrichtung wie beispielsweise ein Arbeitsplatzgerät, eine Konferenzschaltungseinheit, ein zellulares Telefon, einen Arbeitsplatzrechner oder einen tragbaren Rechner (d.h. ein "Softwaretelefon") usw. dar. Wichtige Bestandteile des Endpunkts 303-q werden nachstehend und mit Bezug auf 4 beschrieben. Wie dargestellt, wird der Endpunkt 303-q in einem lokalen Netz betrieben, bei einigen alternativen Ausführungsformen kann der Endpunkt jedoch auch in einer anderen Art von Netz arbeiten. Der Endpunkt 303-q ist in der Lage, Sprachsignale von seinem Nutzer zu digitalisieren und die digitalisierten Signale zu übertragbaren Datenpaketen zu formatieren, und zwar über eine Audio-Kompressor/Dekompressor-(oder "CODEC"-)Schaltung. Analog ist die CODEC-Schaltung des Endpunkts 303-q auch in der Lage, Datenpakete zu empfangen und die in diesen Paketen enthaltenen Informationen in Sprachsignale umzuwandeln, die für den Nutzer des Endpunkts verständlich sind.
  • Außerdem ist der Endpunkt 303-q in der Lage, die Aufgaben auszuführen, die nachstehend und mit Bezug auf die 6 bis 8 entsprechend der beispielhaften Ausführungsform der vorliegenden Erfindung beschrieben werden. Für Fachleute auf dem Gebiet wird nach dem Lesen dieser Beschreibung klar sein, wie der verbesserte Internetprotokoll-fähige Endpunkt 303-q auszuführen und zu nutzen ist.
  • Der verbesserte Gatekeeper 307 stellt ein Datenverarbeitungssystem dar, welches jeweils eine Gruppe von IP-fähigen Endpunkteinrichtungen verwaltet, die zu einer bestimmten Zone gehören. Wichtige Komponenten des Gatekeepers 307 werden nachstehend und mit Bezug auf 5 beschrieben. Der Gatekeeper, 307 stellt eine Adressübersetzung und eine Weiterleitung für die IP-fähigen Einrichtungen in deren Zone bereit. Außerdem stellt der Gatekeeper 307 die Verbindungszulassungskontrolle bereit, und zwar was das Spezifizieren betrifft, welche der verbesserten Internetprotokoll-fähigen Einrichtungen 303-1 bis 303-Q eine Rufverbindung mit anderen Einrichtungen in dem Telekommunikationssystem 300 eingehen kann. Wenngleich ein einzelner Gatekeeper dargestellt ist, können weitere Gatekeeper vorhanden sein, wie Fachleute auf dem Gebiet erkennen werden.
  • Außerdem ist der Gatekeeper 307 in der Lage, die nachstehend und mit Bezug auf die 6 bis 8 beschriebenen Aufgaben entsprechend der beispielhaften Ausführungsform der vorliegenden Erfindung auszuführen. Für Fachleute auf dem Gebiet wird nach dem Lesen dieser Beschreibung klar sein, wie der Gatekeeper 307 auszuführen und zu nutzen ist.
  • Um die Fähigkeit zur Kommunikation untereinander während der Perioden mit normalem Paketverkehr aufrechtzuerhalten, tauscht jeder Endpunkt 303-q eine "Heartbeat"-Nachricht mit seinem Gatekeeper (z.B. dem Gatekeeper 307, usw.) aus, wie bereits zuvor und mit Bezug auf 2 für den Endpunkt 103-r und den Gatekeeper 107 beschrieben worden ist. Entsprechend der beispielhaften Ausführungsform tauschen der Endpunkt 303-q und der Gatekeeper 307 Heartbeat-bezogene Pakete aus und führen die Aufgaben gemäß der beispielhaften Ausführung aus. Wie Fachleute auf dem Gebiet jedoch erkennen werden, können bei einigen alternativen Ausführungsformen andere paketbasierte Einrichtungen Heartbeat-bezogene Signale austauschen wie auch die nachstehend und mit Bezug auf die 6 bis 8 beschriebenen Aufgaben ausführen.
  • 4 stellt die wesentlichen Bestandteile des verbesserten Internetprotokoll-fähigen Endpunkts 303-q entsprechend der beispielhaften Ausführungsform der vorliegenden Erfindung dar. Der Endpunkt 303-q umfasst eine Schnittstelle 401 für ein lokales Netz (LAN), einen Prozessor 402 und einen Speicher 403, die untereinander wie gezeigt verbunden sind.
  • Die LAN-Schnittstelle 401 ist in der Lage, Paketsignale von dem lokalen Netz 102 zu empfangen, beispielsweise eingehende Pakete von anderen Internetprotokoll-fähigen Einrichtungen, und die in den Signalen kodierten Informationen in allgemein bekannter Weise zu dem Prozessor 402 weiterzuleiten. Die LAN-Schnittstelle 401 ist außerdem in der Lage, Informationen von dem Prozessor 402 zu empfangen und Signale, welche diese Informationen kodieren, über das lokale Netz 102 in allgemein bekannter Weise zu anderen Internetprotokoll-fähigen Einrichtungen zu übermitteln. Für Fachleute auf dem Gebiet wird nach dem Lesen dieser Beschreibung klar sein, wie die LAN-Schnittstelle 401 auszuführen und zu nutzen ist.
  • Der Prozessor 402 ist ein Allzweckprozessor, welcher in der Lage ist, Informationen von der Schnittstelle 401 zu empfangen, die in dem Speicher 403 gespeicherten Anweisungen auszuführen, Daten aus dem Speicher 403 zu lesen und Daten in diesen zu speichern, die später und mit Bezug auf die 6 bis 8 beschriebenen Aufgaben auszuführen und Informationen an die Schnittstelle 401 zu übermitteln. Bei einigen alternativen Ausführungsformen der vorliegenden Erfindung könnte der Prozessor 402 ein Spezialprozessor sein. In jedem Fall wird für Fachleute auf dem Gebiet nach dem Lesen der vorliegenden Beschreibung klar sein, wie der Prozessor 402 auszuführen und zu nutzen ist.
  • Der Speicher 403 speichert die Instruktionen und Daten, die von dem Prozessor 402 genutzt werden. Der Speicher 403. könnte jede beliebige Kombination aus dynamischem Direktzugriffsspeicher (RAM); Flash-Speicher, Plattenlaufwerk-Speicher und so weiter darstellen. Für Fachleute auf dem Gebiet wird nach dem Lesen der vorliegenden Beschreibung klar sein, wieder Speicher 403 auszuführen und zu nutzen ist.
  • 5 stellt die wichtigen Bestandteile des verbesserten Gatekeepers 307 entsprechend der beispielhaften Ausführungsform der vorliegenden Erfindung dar. Der Gatekeeper 307 umfasst eine Schnittstelle 501 für ein Internetprotokoll-Netz, einen Prozessor 502 und einen Speicher 503, die untereinander wie gezeigt verbunden sind.
  • Die Schnittstelle 501 für das Internetprotokoll-Netz ist. in der Lage, Paketsignale von dem Backbone-Netz 101 zu empfangen, beispielsweise eingehende Pakete von anderen Internetprotokoll-fähigen Einrichtungen, und die in den Signalen kodierten Informationen in allgemein bekannter Weise an den Prozessor 502 weiterzuleiten. Die Internetprotokoll-Schnittstelle 501 ist außerdem in der Lage, Informationen von dem Prozessor 502 zu empfangen und Signale, welche diese Informationen kodieren, über das Backbone-Paketnetz 101 in allgemein bekannter Weise an andere Internetprotokoll-fähige Einrichtungen zu übermitteln. Für Fachleute auf dem Gebiet wird nach dem Lesen dieser Beschreibung klar sein, wie die Internetprotokollnetz-Schnittstelle 501 auszuführen und zu nutzen ist.
  • Der Prozessor 502 ist ein Allzweckprozessor, welcher in der Lage ist, Informationen von der Schnittstelle 501 zu empfangen, die in dem Speicher 503 gespeicherten Anweisungen auszuführen, Daten aus dem Speicher 503 zu lesen und Daten in diesen zu speichern, die später und mit Bezug auf die 6 bis 8 beschriebenen Aufgaben auszuführen und Informationen an die Schnittstelle 501 zu übermitteln. Bei einigen alternativen Ausführungsformen der vorliegenden Erfindung könnte der Prozessor 502 ein Spezialprozessor sein. In jedem Fall wird für Fachleute auf dem Gebiet nach dem Lesen dieser Beschreibung klar sein, wie der Prozessor 502 auszuführen und zu nutzen ist.
  • Der Speicher 503 speichert die Instruktionen und Daten, die von dem Prozessor 502 genutzt werden. Der Speicher 503 könnte jede beliebige Kombination aus dynamischem Direktzugriffsspeicher (RAM), Flash-Speicher, Plattenlaufwerk-Speicher und so weiter darstellen. Für Fachleute auf dem Gebiet wird nach dem Lesen der vorliegenden Beschreibung klar sein, wie der Speicher 503 auszuführen und zu nutzen ist.
  • Die 6 und 7 stellen Ablaufdiagramme der Aufgaben dar, die unter Ansprechen auf eine Paketattacke an entweder dem verbesserten Internetprotokoll-fähigen Endpunkt 303-q oder dem verbesserten Gatekeeper 307 oder beiden ausgeführt werden. Insbesondere stehen die Aufgaben in 6 im Zusammenhang mit dem Senden eines oder mehrerer Pakete, welche anzeigen, dass die Einrichtung, die diese Pakete empfängt, das Senden von Keepalive-Paketen aussetzen soll. Die Aufgaben in 7 stehen im Zusammenhang mit dem Empfangen eines oder mehrerer Pakete, welche das Aussetzen des Sendens von Keepalive-Paketen anzeigen. Außerdem stellt 8 ein Nachrichtenflussdiagramm für die Kombination einiger der Nachrichten und Ereignisse, die in den 6 und 7 dargestellt sind, dar.
  • Wie Fachleute auf dem Gebiet erkennen werden, können einige der Aufgaben, die in den 6 und 7 erscheinen, parallel oder in einer anderen Reihenfolge als der dargestellten ausgeführt werden. Ferner können, wie Fachleute auf dem Gebiet erkennen werden, mehrere Paare von Internetprotokoll-fähigen Einrichtungen in dem gesamten Telekommunikationssystem 300, die Heartbeat-Pakete miteinander austauschen, gleichzeitig die mit Bezug auf die 6 und 7 beschriebenen Aufgaben ausführen. Beispielsweise kann der Endpunkt 303-1 die Aufgaben in 6 ausführen, während sein Gatekeeper die Aufgaben in 7 ausführen kann; gleichzeitig kann der Endpunkt 303-2 ebenfalls die Aufgaben aus 6 ausführen, während dessen Gatekeeper, möglicherweise der gleiche wie für den Endpunkt 303-1 oder ein anderer, die Aufgaben aus 7 ausführen kann. Außerdem kann jede Einrichtung eines speziellen Paares von Einrichtungen möglicherweise die Aufgaben aus beiden 6 und 7 ausführen, z.B. könnte der Endpunkt 303-3 die Aufgaben aus 6 ausführen, während der Gatekeeper 307 die entsprechenden Aufgaben aus 7 ausführt, und der Gatekeeper 307 könnte die Aufgaben aus 6 ausführend, während der Endpunkt 303-3 die entsprechenden Aufgaben aus 7 ausführt. Schließlich könnte eine einzelne Einrichtung wie beispielsweise der Gatekeeper 307 die Aufgaben in 6 oder 7 oder beide mit mehr als einer weiteren Einrichtung, beispielsweise mit mehreren Endpunkten, ausführen.
  • 6 stellt ein Ablaufdiagramm der Aufgaben dar, die von einer ersten Internetprotokoll-fähigen Einrichtung entsprechend der beispielhaften Ausführungsform der vorliegenden Erfindung ausgeführt werden. Der einfacheren Darlegung halber werden die in Zusammenhang mit 6 stehenden Aufgaben nachstehend als von dem verbesserten Internetprotokoll-fähigen Endpunkt 303-1 ausgeführt beschrieben; wie Fachleute auf dem Gebiet jedoch erkennen werden, kann auch eine andere Einrichtung die Aufgaben, wie sie aufgezeigt sind, ausführen.
  • Bei Aufgabe 601 sendet der Endpunkt 303-1 in allgemein bekannter Weise eine Reihe von Keepalive-Paketen an eine andere Internetprotokoll-fähige Einrichtung; in dem veranschaulichenden Beispiel sendet der Endpunkt 303-1 die Reihe von Paketen an den Gatekeeper 307. In 8 ist das Paket 801 ein solches Keepalive-Paket, das der Endpunkt 303-1 sendet und das durch ein Paket 802 bestätigt wird.
  • Bei Aufgabe 602 erkennt eine Einrichtung in dem Telekommunikationssystem 300 eine Paketattacke, welche zumindest den Endpunkt 303-1 betrifft. Beispielsweise verhindert die Paketattacke, dass der Endpunkt 303-1 in Reaktion auf das Keepalive-Paket 803 ein Bestätigungspaket empfängt. Bei einigen Ausführungsformen erkennt der Endpunkt 303-1 die Attacke, bei Ereignis 804, während bei einigen anderen Ausführungsformen eine andere Einrichtung als der Endpunkt 303-1, beispielsweise ein separates Eindringlingserkennungssystem, die Attacke erkennt und dem Endpunkt 303-1 die Attacke meldet.
  • Bei Aufgabe 603 baut der Endpunkt 303-1 einen sicheren, zuverlässigen Kanal, d.h. einen separaten Kanal zu dem zum Austausch von Heartbeat-bezogenen Paketen genutzen Kanal mit dem Gatekeeper 307 in allgemein bekannter Weise auf. Der Kanal kann ein direkter Kanal sein oder kann über eine dritte Internetprotokoll-fähige Einrichtung wie beispielsweise das Eindringlingserkennungssystem verlaufen.
  • Bei Aufgabe 604 versucht eine Einrichtung in dem System 300, die Auswirkungen der Paketattacke auf den Endpunkt 303-1 zu vermindern. Wenn zum Beispiel der Endpunkt 303-1 selbst versucht, die Attacke zu mildern, kann er dies tun, indem er die Schnittstelle 401 für das lokale Netz, über welche die attackierenden Pakete empfangen werden, deaktiviert, sodass weniger Prozessorzyklen bei der Behandlung der Attacke genutzt werden.
  • Bei Aufgabe 605 sendet der Endpunkt 303-1 ein Paket 805 an den Gatekeeper 307, wobei dieses Paket anzeigt, dass der Gatekeeper 307 das Senden weiterer Heartbeat-bezogener Pakete (Keepalive-Pakete) an den Endpunkt 303-1 aussetzen soll. Bei einigen Ausführungsformen zeigt das Aussetzungspaket an, dass der Gatekeeper 307 das Senden der weiteren Pakete für eine vorgegebene Zeitspanne aussetzen soll; diese Zeitspanne ist länger als die Zeit zwischen zwei aufeinanderfolgenden Paketen in der Reihe von normalerweise gesendeten Keepalive- Paketen, die keine Wiederholversuch-Pakete darstellen. Die Zeitspanne basiert bei einigen Ausführungsformen auf der Art der Paketattacke, die erlitten wird. Bei einigen anderen Ausführungsformen basiert die Zeitspanne auf der Schwere der Paketattacke. Wie Fachleute auf dem Gebiet erkennen werden, kann die Zeitspanne bei einigen noch anderen Ausführungsformen auf noch einem anderen Merkmal der Paketattacke oder etwas anderem in dem System 300 basieren.
  • Bei Aufgabe 606 empfängt der Endpunkt 303-1 ein Bestätigungspaket 806 von dem Gatekeeper 307 unter Ansprechen darauf, dass er das bei Aufgabe 605 Aussetzungspaket gesendet hat.
  • Bei Aufgabe 607 unterlässt der Endpunkt 303-1 das Senden weiterer Keepalive-Pakete an den Gatekeeper 307 während eines bestimmten Zurückhalteintervalls. Das Zurückhalteintervall wird basierend auf der vorgegebenen Zeitspanne festgelegt, die länger als die Zeit zwischen zwei aufeinanderfolgenden Paketen in der Reihe von Keepalive-Paketen ist, die normalerweise gesendet werden, um die Heartbeat-Beziehung mit dem Gatekeeper 307 aufrechtzuerhalten, und die keine Wiederholversuchpakete darstellen. Die vorgegebene Zeitspanne kann auch basierend auf einem oder mehreren Merkmalen, die zuvor und mit Bezug auf Aufgabe 605 beschrieben worden sind, festgelegt werden.
  • Bei Aufgabe 608 überwacht eine Einrichtung in dem Telekommunikationssystem 300 die Paketattacke, um zu erkennen, ob sich die Attacke abschwächt. Entsprechend der beispielhaften Ausführungsform überwacht der Endpunkt 303-1 die Attacke, während bei bestimmten alternativen Ausführungsformen eine andere Einrichtung die Attacke überwacht.
  • Bei Aufgabe 609 überprüft der Endpunkt 303-1, ob das Zurückhalteintervall abgelaufen ist. Wenn das Intervall abgelaufen ist, geht die Aufgabenausführung zur Aufgabe 610 über. Wenn das Intervall noch nicht abgelaufen ist, geht die Aufgabenausführung zu Aufgabe 607 zurück.
  • Bei Aufgabe 610 überprüft der Endpunkt 303-1 (bei Ereignis 807 oder 810), ob die Paketattacke vorüber ist – das heißt, ob eine hinreichende Abschwächung der Paketattacke eingetreten ist, um zu ermöglichen, dass die normalen Heartbeat-bezogenen Übertragungen wieder aufgenommen werden. Der Endpunkt 303-1 erhält Kenntnis des Status der Paketattacke basierend auf der bei Aufgabe 608 ausgeführten Überwachung. Wenn sich die Attacke hinreichend abgeschwächt hat, geht die Aufgabenausführung zu Aufgabe 611 über. Ansonsten geht die Aufgabenausführung zurück zu Aufgabe 605, um ein weiteres Aussetzungspaket wie beispielsweise das Paket 808 zu senden und das entsprechende Bestätigungspaket wie beispielsweise das Paket 809 zu empfangen.
  • Bei Aufgabe 611 sendet der Endpunkt 303-1 ein Paket 811 an den Gatekeeper 307, wobei dieses Paket anzeigt, dass der Gatekeeper 307 das Senden von Keepalive-Paketen an den Endpunkt 303-1 wieder aufnehmen soll.
  • Bei Aufgabe 612 empfängt der Endpunkt 303-1 das Bestätigungspaket 812 von dem Gatekeeper 307 unter Ansprechen darauf, dass er in Aufgabe 611 das Wiederaufnahmepaket gesendet hat. Der Endpunkt 303-1 nimmt selbst sein eigenes Senden von Keepalive-Paketen an den Gatekeeper 307 wieder auf und erwartet den Empfang eines Bestätigungspakets für jedes gesendete Keepalive-Paket. Danach endet die Aufgabenausführung.
  • 7 stellt ein Ablaufdiagramm der wesentlichsten Aufgaben dar, die von einer zweiten Internetprotokoll-fähigen Einrichtung entsprechend der beispielhaften Ausführungsform der vorliegenden Erfindung ausgeführt werden. Der einfacheren Darstellung halber werden die in Zusammenhang mit 7 stehenden Aufgaben nachstehend als von dem verbesserten Gatekeeper 307 ausgeführt beschrieben; wie Fachleute auf dem Gebiet jedoch erkennen werden, kann auch eine andere Einrichtung die Aufgaben, wie sie aufgezeigt sind, ausführen.
  • Bei Aufgabe 701 sendet der Gatekeeper 307 eine Reihe von Keepalive-Paketen in allgemein bekannter Weise an eine andere Internetprotokoll-fähige Einrichtung; in dem veranschaulichenden Beispiel sendet der Gatekeeper 307 die Reihe von Paketen an den Endpunkt 303-1.
  • Bei Aufgabe 702 empfängt der Gatekeeper ein Paket 805 von dem Endpunkt 303-1, wobei dieses Paket anzeigt, dass der Gatekeeper 307 das Senden weiterer Heartbeat-bezogener Pakete (Keepalive-Pakete) an den Endpunkt 303-1 aussetzen soll. Bei einigen Ausführungsformen zeigt das Aussetzungspaket an, dass der Gatekeeper 307 das Senden der weiteren Pakete für eine vorgegebene Zeitspanne aussetzen soll, die länger als die Zeit zwischen zwei aufeinanderfolgenden Paketen in der Reihe von normalerweise gesendeten Keepalive-Paketen ist, die keine Wiederholversuchspakete darstellen. Die Länge der Zeit wird bei einigen Ausführungsformen basierend auf der Art der Paketattacke, die erfolgt, festgelegt. Bei einigen anderen Ausführungsformen wird die Länge der Zeit basierend auf der Schwere der Paketattacke festgelegt. Wie Fachleute auf dem Gebiet erkennen werden, kann bei einigen noch anderen Ausführungsformen die Länge der Zeit basierend auf einem noch anderen Merkmal der Paketattacke oder irgendetwas anderem in dem System 300 festgelegt werden.
  • Bei Aufgabe 703 sendet der Gatekeeper 307 ein Bestätigungspaket 806 an den Endpunkt 303-1 unter Ansprechen darauf, dass er in Aufgabe 702 das Aussetzungspaket empfangen hat.
  • Bei Aufgabe 704 unterlässt der Gatekeeper 307 das Senden weiterer Keepalive-Pakete basierend darauf, dass er das Aussetzungspaket von dem Endpunkt 303-1 empfangen hat, während eines bestimmten Zurückhalteintervalls. Das Zurückhalteintervall wird basierend auf einer vorgegebenen Zeitspanne festgelegt, die länger als die Zeit zwischen zwei aufeinanderfolgenden Paketen in der Reihe von Keepalive-Paketen ist, die normalerweise gesendet werden, um den Heartbeat mit dem Endpunkt 303-1 aufrechtzuerhalten, und die keine Wiederholversuchpakete darstellen. Die vorgegebene Zeitspanne kann basierend auf einem oder mehreren Merkmalen wie zuvor und mit Bezugnahme auf Aufgabe 605 beschrieben festgelegt werden.
  • Bei Aufgabe 705 überwacht der Gatekeeper 307 in Hinsicht auf eine Anzeige, das Senden von Keepalive-Paketen wieder aufzunehmen.
  • Bei Aufgabe 706 überprüft der Gatekeeper 307, ob ein Wiederaufnahmepaket empfangen worden ist. Wenn ein Paket empfangen worden ist, welches die Wiederaufnahme des Sendens von Keepalive-Nachrichten anzeigt, geht die Aufgabenausführung zu Aufgabe 709 über. Ansonsten geht die Aufgabenausführung zu Aufgabe 707 über.
  • Bei Aufgabe 707 überprüft der Gatekeeper 307, ob im Gegensatz zu einem Wiederaufnahmepaket ein weiteres Aussetzungspaket empfangen worden ist. Wenn ein weiteres Paket empfangen worden ist, welches das Aussetzen des Sendens von Keepalive-Nachrichten anzeigt (beispielsweise das Paket 808), geht die Aufgabenausführung zu Aufgabe 703 über. Ansonsten geht die Aufgabenausführung zu Aufgabe 708 über.
  • Bei Aufgabe 708 überprüft der Gatekeeper 307, ob das Zurückhalteintervall abgelaufen ist. Wenn das Intervall abgelaufen ist, geht die Aufgabenausführung zu Aufgabe 709 über. Wenn das Intervall nicht abgelaufen ist, geht die Aufgabenausführung zu Aufgabe 704 zurück.
  • In Aufgabe 709 nimmt der Gatekeeper 307 das Senden von Keepalive-Paketen an den Endpunkt 303-1 wieder auf. Danach endet die Aufgabenausführung.
  • Es sollte verstanden werden, dass die vorstehend beschriebenen Ausführungsformen lediglich die vorliegende Erfindung illustrieren und dass für Fachleute auf dem Gebiet viele Varianten der vorstehend beschriebenen Ausführungsformen in Betracht kommen können, ohne dass von dem Schutzumfang der Erfindung abgewichen wird. Beispielsweise sind in der vorliegenden Beschreibung zahlreiche spezielle Details angegeben, um die beispielhaften Ausführungsformen der vorliegenden Erfindung eingehend zu beschreiben und verständlich zu machen: Fachleute auf dem Gebiet werden jedoch erkennen, dass die Erfindung ohne das eine oder mehrere Details oder mit anderen Verfahren, Materialien, Komponenten, usw. ausgeführt werden kann.
  • Darüber hinaus sind in einigen Fällen allgemein bekannte Strukturen, Materialien oder Vorgänge nicht im Einzelnen aufgezeigt oder beschrieben, um ein Verschleiern von Aspekten der beispielhaften Ausführungsformen zu vermeiden. Es versteht sich, dass die verschiedenen Ausführungsformen, die in den Figuren gezeigt sind, beispielhaft sind und nicht notwendigerweise maßstabsgerecht sind. Die Bezeichnungen "die eine Ausführungsform" oder "eine Ausführungsform" oder "einige Ausführungsformen" bedeuten in der gesamten Beschreibung, dass ein bestimmtes Merkmal, eine bestimmte Struktur, ein bestimmtes Material oder eine Eigenschaft, die in Verbindung mit der/den Ausführungsform(en) beschrieben ist, in zumindest einer Ausführungsform der vorliegenden Erfindung aber nicht notwendigerweise in allen Ausführungsformen umfasst ist. Folglich bezieht sich der Ausdruck "in der einen Ausführungsform", "in einer Ausführungsform" oder "in einigen Ausführungsformen", der an verschiedenen Stellen in der gesamten Beschreibung auftaucht, nicht notwendigerweise immer auf die gleiche Ausführungsform. Darüber hinaus können die speziellen Merkmale, Strukturen, Materialen oder Eigenschaften in beliebiger geeigneter Weise in einer oder mehreren Ausführungsformen kombiniert sein. Es ist daher beabsichtigt, solche Varianten mit dem Schutzumfang der folgenden Ansprüche und ihrer Äquivalente zu umfassen.

Claims (21)

  1. Verfahren, umfassend: Erkennen (602) einer Paketattacke, die eine erste Internetprotokoll-fähige Einrichtung betrifft; und Senden (605), basierend auf der Erkennung der Paketattacke, eines ersten Pakets (805) von der ersten Internetprotokoll-fähigen Einrichtung an eine zweite Internetprotokoll-fähige Einrichtung, mit welcher die erste Internetprotokoll-fähige Einrichtung eine Mehrzahl von Heartbeat-bezogenen Paketen ausgetauscht hat, die eine Reihe von Keepalive-Paketen (801, 803) umfassen; wobei das erste Paket (805) anzeigt, dass die zweite Internetprotokoll-fähige Einrichtung das Senden weiterer Heartbeat-bezogener Pakete an die erste Internetprotokoll-fähige Einrichtung aussetzen soll.
  2. Verfahren nach Anspruch 1, wobei das erste Paket (805) anzeigt, dass die zweite Internetprotokoll-fähige Einrichtung das Senden von weiteren Heartbeat-bezogenen Paketen an die erste Internetprotokoll-fähige Einrichtung für eine vorgegebene Zeitspanne aussetzen soll, und wobei die vorgegebene Zeitspanne länger als die längste Zeit zwischen zwei aufeinanderfolgenden Paketen in der Reihe von Keepalive-Paketen (801, 803) ist.
  3. Verfahren nach Anspruch 2, wobei die vorgegebene Zeitspanne basierend auf der Art der Paketattacke festgelegt wird.
  4. Verfahren nach Anspruch 2, wobei die vorgegebene Zeitspanne basierend auf der Schwere der Paketattacke festgelegt wird.
  5. Verfahren nach Anspruch 2, welches ferner das Unterlassen des Sendens jeglicher Heartbeat-bezogener Pakete an der ersten Internetprotokoll-fähigen Einrichtung für ein Intervall umfasst, das auf der vorgegebenen Zeitspanne basiert.
  6. Verfahren nach Anspruch 2, welches ferner das Senden, nach Abwarten eines Intervalls, das auf der vorgegebenen Zeitspanne basiert, eines zweiten Pakets (808) von der ersten Internetprotokoll-fähigen Einrichtung an die zweite Internetprotokoll-fähige Einrichtung umfasst, wobei das zweite Paket anzeigt, dass die zweite Internetprotokoll-fähige Einrichtung das Aussetzen des Sendens von weiteren Heartbeat-bezogenen Paketen an die erste Internetprotokoll-fähige Einrichtung fortsetzen soll.
  7. Verfahren nach Anspruch 1, ferner umfassend: Erkennen (610), dass sich die Paketattacke ausreichend abgeschwächt hat, um zu ermöglichen, dass die erste Internetprotokoll-fähige Einrichtung und die zweite Internetprotokoll-fähige Einrichtung zuverlässig weitere Heartbeat-bezogene Pakete miteinander austauschen; und Senden (611) eines zweiten Pakets (811) von der ersten Internetprotokoll-fähigen Einrichtung an die zweite Internetprotokoll-fähige Einrichtung basierend auf der Erkennung, dass sich die Paketattacke ausreichend abgeschwächt hat; wobei das zweite Paket (811) anzeigt, dass die zweite Internetprotokoll-fähige Einrichtung das Senden weiterer Heartbeat-bezogener Pakete an die erste Internetprotokoll-fähige Einrichtung wieder aufnehmen soll.
  8. Verfahren nach einem der Ansprüche 1 bis 7, wobei die Erkennung der Paketattacke durch eine dritte Internetprotokoll-fähige Einrichtung erfolgt.
  9. Verfahren, umfassend: Erkennen einer Paketattacke, die eine erste Internetprotokoll-fähige Einrichtung betrifft; und Senden, basierend auf der Erkennung der Paketattacke, eines ersten Pakets (805) von der ersten Internetprotokoll-fähigen Einrichtung an eine zweite Internetprotokoll-fähige Einrichtung, mit welcher die erste Internetprotokoll-fähige Einrichtung eine Mehrzahl von Heartbeat-bezogenen Paketen ausgetauscht hat, die eine Reihe von Keepalive-Paketen (801, 803) umfassen, wobei das erste Paket (805) anzeigt, dass die zweite Internetprotokoll-fähige Einrichtung das Senden weiterer Heartbeat-bezogener Pakete an die erste Internetprotokoll-fähige Einrichtung aussetzen soll; und Unterlassen, an der ersten Internetprotokoll-fähigen Einrichtung, des Sendens jeglicher Heartbeat-bezogener Pakete für ein Intervall, das auf einer vorgegebenen Zeitspanne basiert, wobei die vorgegebene Zeitspanne länger als die längste Zeit zwischen zwei aufeinanderfolgenden Paketen in der Reihe von Keepalive-Paketen (801, 803) ist.
  10. Verfahren nach Anspruch 9, wobei das erste Paket (805) anzeigt, dass die zweite Internetprotokoll-fähige Einrichtung das Senden von weiteren Heartbeat-bezogenen Paketen an die erste Internetprotokoll-fähige Einrichtung für ein Intervall aussetzen soll, das basierend auf der vorgegebenen Zeitspanne festgelegt wird.
  11. Verfahren nach Anspruch 10, wobei die vorgegebene Zeitspanne basierend auf der Art der Paketattacke festgelegt wird.
  12. Verfahren nach Anspruch 10, wobei die vorgegebene Zeitspanne basierend auf der Schwere der Paketattacke festgelegt wird.
  13. Verfahren nach Anspruch 10, welches ferner das Senden eines zweiten Pakets (808) von der ersten Internetprotokoll-fähigen Einrichtung an die zweite Internetprotokoll-fähige Einrichtung nach Abwarten eines Intervalls, das auf der vorgegebenen Zeitspanne basiert, umfasst, wobei das zweite Paket anzeigt, dass die zweite Internetprotokoll-fähige Einrichtung das Aussetzen des Sendens von weiteren Heartbeat-bezogenen Paketen an die erste Internetprotokoll-fähige Einrichtung fortsetzen soll.
  14. Verfahren nach Anspruch 9, ferner umfassend: Erkennen, dass sich die Paketattacke ausreichend abgeschwächt hat, um zu ermöglichen, dass die erste Internetprotokoll-fähige Einrichtung und die zweite Internetprotokoll-fähige Einrichtung zuverlässig die weiteren Heartbeat-bezogenen Pakete miteinander austauschen; und Senden eines zweiten Pakets (811) von der ersten Internetprotokoll-fähigen Einrichtung an die zweite Internetprotokoll-fähige Einrichtung basierend auf der Erkennung, dass sich die Paketattacke ausreichend abgeschwächt hat; wobei das zweite Paket (811) anzeigt, dass die zweite Internetprotokoll-fähige Einrichtung das Senden weiterer Heartbeat-bezogener Pakete an die erste Internetprotokoll-fähige Einrichtung wieder aufnehmen soll.
  15. Verfahren nach einem der Ansprüche 9 bis 14, wobei die Erkennung der Paketattacke durch eine dritte Internetprotokoll-fähige Einrichtung erfolgt.
  16. Verfahren nach Ansprüche 9 bis 15, wobei die erste Internetprotokoll-fähige Einrichtung ein Voice-over-Internet-Protocol-fähiger Endpunkt (303-q) ist.
  17. Verfahren, umfassend: Senden (701) einer Reihe von Keepalive-Paketen (801, 803) von einer zweiten Internetprotokoll-fähigen Einrichtung an eine erste Internetprotokoll-fähige Einrichtung; Empfangen (702), an der zweiten Internetprotokoll-fähigen Einrichtung, eines ersten Pakets (805) von der ersten Internetprotokoll-fähigen Einrichtung; Unterlassen (704) des Sendens weiterer Keepalive-Pakete an die erste Internetprotokoll-fähige Einrichtung an der zweiten Internetprotokoll-fähigen Einrichtung und nach dem Senden der Reihe von Keepalive-Paketen (801, 803), wobei das Unterlassen (i) während eines Intervalls, das auf einer vorgegebenen Zeitspanne basiert, und (ii) basierend auf dem Empfang des ersten Pakets (805) erfolgt; und Senden (703) eines Bestätigungspakets (806) an die erste Internetprotokoll-fähige Einrichtung unter Ansprechen auf den Empfang des ersten Pakets (805).
  18. Verfahren nach Anspruch 17, wobei das erste Paket (805) die vorgegebene Zeitspanne angibt, und wobei die vorgegebene Zeitspanne länger als die längste Zeit zwischen zwei aufeinanderfolgenden Paketen (801, 803) in der Reihe von Keepalive-Paketen ist.
  19. Verfahren nach Anspruch 17, welches ferner, nach dem Abwarten des Intervalls, das Senden (709) eines weiteren Keepalive-Paketes von der zweiten Internetprotokoll-fähigen Einrichtung an die erste Internetprotokoll-fähige Einrichtung umfasst.
  20. Verfahren nach einem der Ansprüche 17 bis 19, wobei das Empfangen des ersten Pakets über eine dritte Internetprotokoll-fähige Einrichtung erfolgt, die eine Paketattacke erkennt, und wobei das Empfangen des ersten Pakets auf der Erkennung der Paketattacke durch die dritte Internetprotokoll-fähige Einrichtung basiert.
  21. Verfahren nach einem der Ansprüche 17 bis 20, wobei die zweite Internetprotokoll-fähige Einrichtung einen Voice-over-Internet-Protocol-Gatekeeper (307) darstellt.
DE102007060522.8A 2006-12-13 2007-12-13 Aufrechterhaltung der Kommunikation zwischen Netzknoten, die eine Paketattacke erfahren Expired - Fee Related DE102007060522B4 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/610,489 2006-12-13
US11/610,489 US8353030B2 (en) 2006-12-13 2006-12-13 Maintaining communication between network nodes that are subjected to a packet attack

Publications (2)

Publication Number Publication Date
DE102007060522A1 true DE102007060522A1 (de) 2008-06-19
DE102007060522B4 DE102007060522B4 (de) 2015-05-21

Family

ID=39399988

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102007060522.8A Expired - Fee Related DE102007060522B4 (de) 2006-12-13 2007-12-13 Aufrechterhaltung der Kommunikation zwischen Netzknoten, die eine Paketattacke erfahren

Country Status (2)

Country Link
US (1) US8353030B2 (de)
DE (1) DE102007060522B4 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102790776A (zh) * 2012-08-03 2012-11-21 中国联合网络通信集团有限公司 心跳连接归一处理方法、终端、服务器及通信系统

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8094576B2 (en) 2007-08-07 2012-01-10 Net Optic, Inc. Integrated switch tap arrangement with visual display arrangement and methods thereof
US11025496B2 (en) * 2008-01-16 2021-06-01 Oracle International Corporation Smart component monitoring
US8090974B1 (en) * 2008-02-08 2012-01-03 Joviandata, Inc. State machine controlled dynamic distributed computing
US20090296726A1 (en) * 2008-06-03 2009-12-03 Brocade Communications Systems, Inc. ACCESS CONTROL LIST MANAGEMENT IN AN FCoE ENVIRONMENT
US9813448B2 (en) 2010-02-26 2017-11-07 Ixia Secured network arrangement and methods thereof
US9019863B2 (en) * 2010-02-26 2015-04-28 Net Optics, Inc. Ibypass high density device and methods thereof
US9749261B2 (en) 2010-02-28 2017-08-29 Ixia Arrangements and methods for minimizing delay in high-speed taps
US8732324B2 (en) * 2010-05-25 2014-05-20 Cisco Technology, Inc. Keep-alive hiatus declaration
TWI442259B (zh) * 2010-11-05 2014-06-21 Acer Inc 權限控制系統及方法,及其電腦程式產品
US8762499B2 (en) * 2010-12-20 2014-06-24 Sonus Networks, Inc. Systems and methods for handling a registration storm
US8578022B2 (en) * 2011-01-19 2013-11-05 Cisco Technology, Inc. Adaptive idle timeout for TCP connections in ESTAB state
KR101890659B1 (ko) * 2011-09-01 2018-09-28 삼성전자주식회사 휴대 단말기에서 ip 접속을 유지하는 장치 및 방법
US11310265B2 (en) * 2020-02-27 2022-04-19 Hewlett Packard Enterprise Development Lp Detecting MAC/IP spoofing attacks on networks

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002016655A (ja) * 2000-06-28 2002-01-18 Sony Corp 伝送方法、伝送システム、伝送装置及び伝送制御装置
US20020176378A1 (en) * 2001-05-22 2002-11-28 Hamilton Thomas E. Platform and method for providing wireless data services
US7162740B2 (en) 2002-07-22 2007-01-09 General Instrument Corporation Denial of service defense by proxy
US7710885B2 (en) 2003-08-29 2010-05-04 Agilent Technologies, Inc. Routing monitoring
KR100670685B1 (ko) 2005-03-31 2007-01-17 주식회사 하이닉스반도체 반도체 소자의 출력 드라이버
CN101305350A (zh) 2005-06-09 2008-11-12 惠而浦公司 与家用电器内的至少一个部件通信以及对其进行管理的软件体系系统和方法
US20060294588A1 (en) * 2005-06-24 2006-12-28 International Business Machines Corporation System, method and program for identifying and preventing malicious intrusions

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102790776A (zh) * 2012-08-03 2012-11-21 中国联合网络通信集团有限公司 心跳连接归一处理方法、终端、服务器及通信系统
CN102790776B (zh) * 2012-08-03 2015-02-04 中国联合网络通信集团有限公司 心跳连接归一处理方法、终端、服务器及通信系统

Also Published As

Publication number Publication date
US20080144613A1 (en) 2008-06-19
DE102007060522B4 (de) 2015-05-21
US8353030B2 (en) 2013-01-08

Similar Documents

Publication Publication Date Title
DE102007060522B4 (de) Aufrechterhaltung der Kommunikation zwischen Netzknoten, die eine Paketattacke erfahren
EP3695577B1 (de) Verfahren zur daten-kommunikation in einem tsn netzwerk, steuerungsverfahren und vorrichtung
DE60110974T2 (de) Abfangverfahren und -vorrichtung zur Kompensation nachteiliger Eigenschaften eines Kommunikationsprotokolls
DE60023586T2 (de) System und Verfahren zum Wiederanfahren von Signalisierungseinheiten in H.323-basierten Echtzeit-kommunikationsnetzen
DE60014234T2 (de) System und Verfahren zum Ermöglichen von Fehlertolerante Systeme
DE60212108T2 (de) Selektiver Schutz für Ringtopologien
DE60027875T2 (de) Aktualisierung des Headerkompressionszustands in Paketübertragung
DE60031303T2 (de) Verfahren und einrichtung zur effizienten anwendungsschicht-vermittlung für gemultiplexte-internet-medienströme
DE60014492T2 (de) System und Verfahren zur direkten Benutzer-Signalisierung in H.323 Kommunikationsnetzen
DE60030343T2 (de) System und Verfahren für die verteilte Anrufsignalisierung in LAN-Netzen mit Telephoniefunktionalität
DE69932674T2 (de) Stille Überwachung in einer Sprach-über-Datennetzwerk Umgebung
DE112004001819B4 (de) Endpunkt-Registrierung mit lokaler Verzögerungszeit in einem Rufabwicklungssystem
EP2387261B1 (de) Bereitstellung einer Ende-zu-Ende-Verbindung von einer Endeinheit in ein Netz
DE10050447A1 (de) Verfahren und Vorrichtung zum Optimieren der Paketlänge in ToL-Netzwerken
EP1761081A1 (de) Kommunikationssystem, Vermittlungsknoten-Rechner und Verfahren zur Bestimmung eines Kontrollknotens
DE10085104B4 (de) Verfahren und Anordnung in einem Telekommunikationssystem
EP1673918B1 (de) Behandlung von Early Media-Daten I
EP1282280B1 (de) Verfahren, Steuereinrichtung und Programmmodul zur Steuerung und Lenkung von Datenströmen einer Kommunikationsverbindung zwischen Teilnehmern eines Paketdatennetzes
EP2686995B1 (de) Verfahren zum aufbau einer kommunikationsverbindung
EP1388996A1 (de) Verfahren und Anordnung zum Steuern einer Konferenzschaltung in einem paketorientierten Kommunikationsnetz
DE60306425T2 (de) Verfahren zur garantierten ablieferung von snmp-traps über ein grossflächiges netzwerk
DE602004006171T2 (de) Sitzungseinleitungsprotokollsignalisierung (sip)
DE102008055968A1 (de) Benachrichtigung über das bevorstehende Ausschöpfen der Ressourcen eines Medien-Gateways
DE10133648A1 (de) Verfahren zur Unterstützung von Dienstgütemerkmalen in heterogenen Kommunikationsnetzen
EP1535477B1 (de) Verfahren zum weiterleiten von signalisierungsnachrichten und zugehörige komponenten

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
R081 Change of applicant/patentee

Owner name: AVAYA INC., US

Free format text: FORMER OWNER: AVAYA TECHNOLOGY LLC, BASKING RIDGE, US

Effective date: 20120705

Owner name: AVAYA INC., BASKING RIDGE, US

Free format text: FORMER OWNER: AVAYA TECHNOLOGY LLC, BASKING RIDGE, N.J., US

Effective date: 20120705

R082 Change of representative

Representative=s name: BLUMBACH ZINNGREBE, DE

Effective date: 20120705

Representative=s name: BLUMBACH ZINNGREBE PATENT- UND RECHTSANWAELTE, DE

Effective date: 20120705

Representative=s name: BLUMBACH ZINNGREBE PATENT- UND RECHTSANWAELTE , DE

Effective date: 20120705

R016 Response to examination communication
R016 Response to examination communication
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012560000

Ipc: H04L0012700000

R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012560000

Ipc: H04L0012700000

Effective date: 20121120

R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012700000

Ipc: H04L0045000000

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee