DE60110792T2 - Paketkommunikationssystem - Google Patents

Paketkommunikationssystem Download PDF

Info

Publication number
DE60110792T2
DE60110792T2 DE60110792T DE60110792T DE60110792T2 DE 60110792 T2 DE60110792 T2 DE 60110792T2 DE 60110792 T DE60110792 T DE 60110792T DE 60110792 T DE60110792 T DE 60110792T DE 60110792 T2 DE60110792 T2 DE 60110792T2
Authority
DE
Germany
Prior art keywords
traffic
network
node
packet forwarding
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60110792T
Other languages
English (en)
Other versions
DE60110792D1 (de
Inventor
Andrea Soppera
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
British Telecommunications PLC
Original Assignee
British Telecommunications PLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by British Telecommunications PLC filed Critical British Telecommunications PLC
Application granted granted Critical
Publication of DE60110792D1 publication Critical patent/DE60110792D1/de
Publication of DE60110792T2 publication Critical patent/DE60110792T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

  • Die vorliegende Erfindung bezieht sich auf Paketdatenkommunikation, insbesondere, aber nicht ausschließlich, auf Prozeduren, Mechanismen und eine Vorrichtung für die Erfassung und Abmilderung von Dienstverweigerungsangriffen in einem öffentlichen Datenkommunikationsnetzwerk, wie etwa dem Internet.
  • Dienstverweigerungsangriffe werden dafür entworfen, die Ressourcen eines Netzwerkhosts oder des Netzwerks selbst zu verbrauchen, wodurch der Dienst für legitimierte Benutzer verweigert oder wenigstens verschlechtert wird. Dienstverweigerungsangriffe sind aktuell ein schwierig zu lösendes Sicherheitsproblem, weil sie einfach zu implementieren, schwierig zu erfassen und sehr schwierig nachzuverfolgen sind. Die meiste Arbeit in diesem Bereich hat sich auf das Tolerieren von Angriffen konzentriert, indem die Effekte auf das Opfer abgemildert wurden. Eine andere Möglichkeit ist, Angriffe zu ihrem Ursprung zurückzuverfolgen, sodass sie in der Nähe der Quelle eliminiert werden können.
  • Das Feststellen der Quelle eines Angriffs, was als Rückverfolgungsproblem bekannt ist, ist wegen des staatenlosen Wesens der Leitweglenkung im Internet extrem schwierig. Angreifer verstecken ihren Standort mit falschen oder „verulkten" IP-Quelladressen. Da diese Pakete über das Internet laufen, geht der wahre Ursprung verloren und das Opfer verbleibt ohne nützliche Informationen bezüglich des Standorts des Angreifers. Eine Lösung ist, probabilistisch ein Verfolgungspaket, das ein „itrace"-Paket genannt wird, mit dem verfolgten Paket zu einem Weiterleitungsrouter zu senden, wie in Bellovin: ICMP Traceback messages („draft-bellovin-itrace-00.txt") AT&T Labs, März 2000 beschrieben ist.
  • Wenn sie Pakete weiterleiten, erzeugen Router, die itrace-aktiviert sind, mit extrem geringer Wahrscheinlichkeit eine Rückverfolgungsnachricht, die parallel den gleichen Weg mit den Daten zu dem Ziel gesendet wird. Mit genug Rückverfolgungsnachrichten von genug Routern entlang des Pfades können die Quelle des Verkehrs und der Pfad von dem angegriffenen Host festgestellt werden.
  • US-A-5371731 veröffentlicht ein Verwaltungssystem für Netzwerkverkehr und ein Verfahren, bei dem ein Weiterleitungsknoten N eine falsche Übertragung eines Frames detektieren und den Frame verwerfen kann.
  • Bellovin „ICMP Traceback Messages", XP002158911, unter http://community.roxen.com/developers/idocs/drafts/draft-bellovin-itrace-00.txt veröffentlicht das Konzept der Verwendung von ICMP-Rückverfolgungsnachrichten, um den Pfad zu erfahren, den die Pakete durch das Internet nehmen.
  • US-A-6005851 und US-A-5649110 veröffentlichen Systeme, durch die Elemente an dem Endgerät an der Quelle die Einstellungen der Dienstqualität für Pakete verändern.
  • Entsprechend einem Aspekt der Erfindung wird ein Verfahren mit den Merkmalen von Anspruch 1 geschaffen.
  • Folglich kann der Netzwerkknoten Probleme mit Verkehrsdaten lösen, indem er die Daten über die Zusammenarbeit mit einem entfernten Paketweiterleitungsknoten auflistet, als ob er in einem Weiterleitungspfad für Daten wäre, die an dem Netzwerkknoten empfangen werden.
  • Der entfernte Paketweiterleitungsknoten kann die Bearbeitung von Datenverkehr, der an den Netzwerkknoten gerichtet ist, selektiv verändern, wodurch ermöglicht wird, die Probleme des Netzwerkknotens mit Datenverkehr zu lösen, ohne die Lieferung von Verkehr an andere Netzwerkknoten zu beeinflussen.
  • Die Anfrage kann zum Beispiel sein, weitergeleiteten Datenverkehr mit einem Merkmal zu markieren, das ermöglicht, den weitergeleiteten Datenverkehr von Datenverkehr von Datenverkehr zu unterscheiden, der über einen anderen Pfad weitergeleitet wird, um dem Netzwerkknoten zu ermöglichen, Daten zu klassifizieren, die über den ausgewählten Datenweiterleitungsknoten empfangen werden.
  • Die Anfrage kann alternativ den entfernten Paketweiterleitungsknoten veranlassen, den Umfang des Datenverkehrs zu verringern, der an dem Netzwerkknoten empfangen wird, um dadurch Probleme mit Daten des Verkehrs zu lösen, die an dem Netzwerkknoten auftreten.
  • Nach einem weiteren Aspekt der Erfindung wird ein Verfahren zur Verwaltung von Datenverkehr geschaffen, der an einem Paketweiterleitungsknoten in einem Paketdatenkommunikationsnetzwerk empfangen wird, wobei das Verfahren die Schritte von Anspruch 10 umfasst.
  • Nach noch einem weiteren Anspruch der Erfindung wird ein Verfahren zur Verringerung von Stauproblemen geschaffen, die ein Netzwerkknoten erfährt, indem die Bearbeitung von Datenverkehr an einem Paketweiterleitungsknoten in einem Paketdatenkommunikationsnetzwerk verändert wird, wobei das Verfahren die Schritte von Anspruch 11 umfasst.
  • Merkmale und Vorteile der verschiedenen Aspekte der Erfindung werden aus der Betrachtung der folgenden Beschreibung von bevorzugten Ausführungen der Erfindung klar, die nur als Beispiel angegeben werden, und die sich auf die Zeichnungen im Anhang beziehen, in denen:
  • 1 eine schematische Darstellung eines Paketdatenkommunikationsnetzwerks zeigt;
  • 2 eine schematische Darstellung eines Rückverfolgungspakets zeigt;
  • 3 eine schematische Darstellung eines Protokollstapels zeigt, den verschiedene Einheiten des Netzwerks gemeinsam nutzen,
  • 4 eine schematische Darstellung eines Überwachungsagenten zeigt;
  • 5 eine schematische Darstellung von Daten zeigt, die in dem Überwachungsagenten gespeichert sind;
  • 6 eine schematische Darstellung einer Markierungsprozedur für Datenverkehr zeigt;
  • 7 eine schematische Darstellung eines Kommunikationsmechanismus zwischen einem Opfer und einem entfernten Router zeigt;
  • 8 eine schematische Darstellung einer Filterprozedur für Datenverkehr zeigt; und
  • 9 eine schematische Darstellung einer Prozedur zur Verringerung der Dienstqualität von Datenverkehr zeigt.
  • 1 stellt eine beispielhafte Ausführung eines paketvermittelten öffentlichen Datenkommunikationsnetzwerks dar, wie das Internet, in dem die vorliegende Erfindung implementiert werden kann. Das gesamte Netzwerk besteht aus einer Anzahl von verschiedenen Subnetzwerken, oder Domains, die jede von einer anderen Einheit verwaltet werden, auf die sich als ein Internetdienstanbieter (ISP, Internet Service Provider) bezogen wird. Diese verschiedenen Domains enthalten eine Kernrouterdomain 100, die ein Backbone-Netzwerk bildet, durch das große Mengen von Daten des Verkehrs geleitet werden, und eine Anzahl von Zugangsdomains 108, 114, 208 und 210, die jede von einem anderen ISP verwaltet werden, und die eine variable Anzahl von Paketvermittlungsroutern enthalten.
  • 1 stellt einen Dienstverweigerungsangriff dar, der auf einen Benutzer 102 verübt wird, auf den sich als das Opfer bezogen wird, das mit dem Netzwerk über den lokalen ISP 208 verbunden ist. Das Opfer 102 kann z. B. ein lokales Intranet sein, das mit dem ISP 208 über eine Firewall verbunden ist. Die Ressourcen auf der Seite des Opfers können zum Beispiel einen Webserver enthalten, der Kunden Daten über das öffentliche Datenkommunikationsnetzwerk zur Verfügung stellt. Die Kunden in dem öffentlichen Datenkommunikationsnetzwerk schließen legitimierte Benutzer 106 und 112 ein, die mit dem Netzwerk über ihren eigenen lokalen ISP 108 und 114 verbunden sind. Während eines Dienstverweigerungsangriffs richtet der Angreifer 104 eine große Menge böswilligen Verkehrs an das Opfer 102. Der Angreifer 104 kann an irgend einem Router an das öffentlichen Datenkommunikationsnetzwerk angeschlossen sein. In dem in 1 gezeigten Beispiel ist der Angreifer 104 über einen ISP 210 angeschlossen, der von dem ISP 218 des Opfers entfernt liegt.
  • Die itrace-Nachricht ist ein Paket nach dem Nachrichtenprotokoll für die Internetsteuerung (ICMP, Internet Control Message Protocol) mit verschiedenen definierten Eigenschaften. Sein Format ist in 2 dargestellt. Der IP-Kopf enthält als die Quelladresse 102 die Adresse des Routers, der das Paket erzeugt und sendet. Das Lebenszeitfeld (TTL, Time to Live) 104 am Anfang muss auf 255 gesetzt werden. Wenn das Rückverfolgungspaket dem gleichen Pfad wie die Datenpakete folgt, liefert dies eine Anzeige des Abstands von diesem Router zum Ziel, das von jedem Router dekrementiert wird, den es durchläuft.
  • Die ICMP-Nutzlast 106 enthält ein Feld 108, das den Schnittstellennamen des Erzeugers enthält. Das Rückverbindungsfeld 110 enthält Informationen des letzten Sprungs. Das Weiterverbindungsfeld 112 enthält die Informationen des nächsten Sprungs. Diese zwei Verbindungen können verwendet werden, um eine Kette von Rückverfolgungsnachrichten leicht zu rekonstruieren.
  • Das Feld 114 mit dem Zuordnungsstring der Verbindungsebene enthält Informationen, die Routern bekannt sind und von ihnen genutzt werden, um Nachrichten zusammenzubündeln, die von benachbarten Routern gesendet werden.
  • Das Zeitstempelfeld 116, das Informationen im NTP-Format enthält, ist sehr nützlich für die Authentifizierung der Nachricht. Es kann wie ein Ad-Hoc-Wert verwendet werden, um jedes Paket zu charakterisieren und verschieden zu machen. Wenn der Router den Verlauf der gesendeten ICMP-Nachrichten hat, können diese Information in irgendeinem Prozess verwendet werden, um die ICMP-Rückverfolgungsnachrichten zu authentifizieren. Das Opfer verwendet dieses Feld während des Überwachungsprozesses.
  • In dieser Ausführung der Erfindung werden zwei neue Subfelder vorgesehen, nämlich ein Feld 118 mit der Wahrscheinlichkeitsrate und ein Feld mit dem ISP-Identifikator 120. Das Feld 118 mit der Wahrscheinlichkeitsrate enthält konfigurierbare Informationen. Im Protokoll nach dieser Ausführung kann eine Steuernachricht die Rate der Rückverfolgungspakete an einem Router einstellen. Wenn verschiedene Router auf verschiedene Wahrscheinlichkeitsraten eingestellt sind, wird dieses Feld verwendet, um einem Rückverfolgungspaket während der Auswahl des Pfades des Angreifers oder während eines Überwachungsprozesses die richtige Gewichtung zu geben, was unten in weiteren Details beschrieben wird.
  • Das Feld mit dem ISP-Identifikator 120 gibt an, welche Einheit den Router verwaltet, der das Rückverfolgungspaket gesendet hat. Dieses Feld wird während der Authentifizierung der Rückverfolgungsnachricht verwendet.
  • Das Feld 122 des nachverfolgten Pakets enthält Kopien von Informationen aus dem nachverfolgten Paket, das die Erzeugung des Rückverfolgungspakets ausgelöst hat. Die Informationen im Kopf dieses nachverfolgten Pakets oder das gesamte Paket können kopiert werden.
  • Das Authentifizierungsdatenfeld 124 enthält Authentifizierungsdaten für das Rückverfolgungspaket. Sie können die Form eines Zertifikates für eine Infrastruktur mit öffentlichem Schlüssel (PKI, public key infrastructure) oder einen Authentifizierungskode einer Nachricht mit geheimem Schlüssel sein, vorzugsweise ein HMAC, wie in RFC-2104: HMAC: Keyed-Hashing for Message Authentification, IETF beschrieben ist. HMAC erfordert eine kryptographische Hash-Funktion (H) und einen geheimen Schlüssel (K). Der Schlüssel K wird in XOR mit dem Nachrichtenfeld verwendet.
  • Jeder ISP hat geheime Informationen (K) für die Router, die er verwaltet. Das Geheimnis kann für jeden Router ähnlich sein, der bei dem selben ISP registriert ist. Mit dem ISP-Identifikator kann der ISP kontaktiert werden, um die Rückverfolgungsnachricht zu authentifizieren. Der Kontakt wird vorzugsweise von einem ISP zu einem anderen hergestellt. Die ISPs, die Protokolle nach dieser Erfindung implementieren, können mit asymmetrischer Kryptographie kommunizieren, um Nachrichten auszutauschen, einschließlich der geheimen Information (K), die verwendet wird, um die Rückverfolgungsnachrichten zu unterzeichnen. Ein Server, der die Verschlüsselungsinformationen und die Schlüssel hat, ist in jedem ISP installiert.
  • 3 stellt ein neues Protokoll dar, das nach dieser Ausführung der Erfindung implementiert ist, und das von einem Protokollstapel 200 dargestellt wird, der in verschiedenen Einheiten sowohl auf der Netzwerkseite als auch auf der Seite des Benutzers (potenzielles Opfer) implementiert ist. Auf der Benutzerseite wird legitimierter Verkehr, böswilliger Verkehr und Rückverfolgungsnachrichten an einer Firewall 202 empfangen, die zwischen dem lokalen ISP-Netzwerk und dem Intranet des Opfers angeordnet ist. Ein Überwachungsagent 204 sortiert Informationen, die in Rückverfolgungsnachrichten empfangen wurden, die ihm von der Firewall 202 weitergeleitet werden, und erfasst eine Dienstverweigerungssituation, wenn sie entsteht. Über das Protokoll 200 kann der Überwachungsagent 204 mit verschiedenen Einheiten auf der Netzwerkseite kommunizieren, einschließlich ent weder direkt oder indirekt mit einem ausgewählten entfernten Router 206, von dem ermittelt wurde, dass er entlang eines wahrscheinlichen Pfades von böswilligem Verkehr liegt, der auf der Seite des Benutzers empfangen wurde. Sowohl der lokale ISP 208 als auch der entfernte ISP 210, der den entfernten Router 206 verwaltet, kann an dem Prozess über das Protokoll 200 beteiligt sein. Nachdem eine Dienstverweigerungssituation erfasst worden ist, wird ein Angriffabmilderungsagent 212 auf der Seite des Benutzers verwendet, um eine oder mehrere Angriffabmilderungsprozeduren einzuleiten. Der Angriffabmilderungsagent 212 kommuniziert entweder direkt oder indirekt mit einem ausgewählten entfernten Router 206, um Filtern oder andere Prozeduren an dem entfernten Router 206 zu implementieren. Sowohl der lokale ISP 208 als auch der entfernte ISP 210 können an dieser Prozedur beteiligt sein.
  • 4 stellt Elemente des Überwachungsagenten 204 detaillierter dar. Daten von Rückverfolgungsnachrichten, die von der Firewall 202 empfangen werden, werden in dem Zugangsfeld 224 abgelegt, das entsprechend der TTL-Informationen indiziert ist, die in dem Rückverfolgungspaket empfangen wurden. Eine Vorgehensweise bezüglich der Zeit 228 wird verwendet, um die Zeitspanne festzustellen, in der Daten, die sich auf ein Paket beziehen, in dem Zugangsfeld bleiben. Vorzugsweise werden Informationen, die sich auf ein Rückverfolgungspaket beziehen, in dem Zugangsfeld 224 für einen vorher festgelegten Zeitraum gespeichert, nach dem sie verworfen werden. Dieses Zugangsfeld 224 wird kontinuierlich bzgl. einem verbundenen Satz von Kombinationen von Rückverbindung/Quelladresse/Weiterleitungsverbindung analysiert, die einen Satz von Rückverfolgungspaketen anzeigen, die entlang eines Pfades empfangen wurden, über den ein signifikanter Umfang des Verkehrs auf der Benutzerseite empfangen wird. Wenn ein solcher Verkehrspfad erfasst wird, werden die Daten in einer Pfadmatrix 226 gespeichert. Die Pfadmatrix 226 ist derart angeordnet, dass im Falle einer Dienstverweigerungssituation der Pfad, entlang dem der meiste böswillige Verkehr empfangen wird, im Allgmeinen von anderen Pfaden unterschieden werden kann, über die legitimierter Verkehr empfangen wird. Eine Vorgehensweise bei der Gewichtung 230 wird eingesetzt, um die Gewichtung von verschiedenen Verkehrspfaden einzustellen, die in der Pfadmatrix detektiert werden, sodass dem wahrscheinlichsten Pfad des Angreifers die höchste Gewichtung gegeben wird. Die Vorgehensweise bezüglich der Zeit 228 wird auch auf die Pfadmatrix 226 angewendet, sodass die identifizierten Pfade nur für einen vorher festgelegten Zeitraum in der Pfadmatrix bleiben, wenn der Pfad nicht durch die Erfassung von gleichen oder wenigstens übereinstimmenden Pfaden in dem Zugangsfeld innerhalb dieses vorher festgelegten Zeitraums erneuert wird.
  • Wie in 5A gezeigt ist, enthalten die Daten in dem Zugangsfeld, die sich auf die empfangenen Rückverfolgungspakete beziehen, die drei IP-Adressen des nächsten Routers, des Quellrouters und des vorangehenden Routers von dem Router, von dem das Rückverfolgungspaket erzeugt wurde. Wie in 5B gezeigt ist, kann eine verlinkte Liste von Rückverfolgungspaketen, die einen Verkehrspfad (A, B, C, D, E und F sind alle IP-Adressen von Routern entlang des identifizierten Pfades) angeben, in dem Zugangsfeld erfasst werden, indem die Quell- und die vorangehenden IP-Adressen von einem Router mit den nächsten und den Quell-IP-Adressen von einem Router, der einen Sprung weiter weg ist, abgeglichen werden. Der erfasste Pfad wird dann in der Pfadmatrix abgelegt, 5C. Eine Gewichtung kann jedem detektierten Verkehrspfad zugeordnet werden, indem eine Vorgehensweise bezüglich der Gewichtung implementiert wird, die von dem Abstand des erzeugenden Routers von dem Opfer abhängt, wie er in dem TTL-Feld angegeben ist. Die Vorgehensweise favorisiert vorzugsweise die Rückverfolgungspakete, die von Routern empfangen wurden, die nahe am Opfer sind, zum Beispiel eine, bei der die Gewichtung, die jedem Paket zugeordnet ist, sich mit jedem zusätzlichen Sprung weiter weg um die Hälfte verringert, wie in der Tabelle unten gezeigt ist.
  • Figure 00110001
  • Die Gewichtung, die für einen bestimmten erfassten Pfad berechnet wird, wird als Aggregat, z. B. eine Summe, aus den einzelnen Gewichtungen der Pakete, die den Pfad bilden, berechnet. Deshalb enthält ein Pfad, der in der Pfadmatrix erfasst und abgelegt ist, eine berechnete aggregierte Gewichtung. Die aggregierte Gewichtung hängt von dem Abstand zu dem Opfer ab, den der Pfad überspannt. Die höhere Gewichtung, die Routern gegeben wird, die ein nähergelegener Router offensichtlich bekommt, bezieht sich auf die Tatsache, dass, während es möglich ist, eine Rückverfolgungsnachricht mit einer TTL, die größer als der Abstand ist, den der Angreifer von dem Opfer hat, zu "verulken", da eine TTL von 255 die maximal mögliche TTL ist, und sie für jeden durchlaufenen Router dekrementiert wird, es dem Angreifer unmöglich ist, ein Paket mit einer TTL zu "verulken", die kleiner als sein Abstand zur dem Opfer ist. Deshalb werden Rückverfolgungsnachrichten, die von einem näher gelegenen Router empfangen werden, als sicherer bewertet und ihnen eine höhere Gewichtung gegeben.
  • Die Frequenz des Erscheinens von Pfaden in den empfangenen Rückverfolgungsnachrichten spiegelt sich auch in der Gewichtung wieder, die in der Pfadmatrix gespeichert ist. Wenn ein Pfad nach einer vorangegangenen Erfassung wieder erfasst wird, wird der Gewichtungswert des gesamten Pfades erhöht, z. B. verdoppelt.
  • Wenn eine Gewichtung in der Pfadmatrix einmal eine Schwelle überschreitet, löst dies eine Verarbeitungsprozedur für einen vermuteten Angriff aus. Es kann natürlich sein, dass der Empfang von starkem Verkehr aus legitimen Gründen auftritt, die dem Benutzer bekannt sind (zum Beispiel die Veröffentlichung einer neuen Software auf der Seite), und es ist wichtig, dem Benutzer zu ermöglichen, zu entscheiden, ob ein Dienstverweigerungsangriff stattfindet.
  • Während eines Dienstverweigerungsangriffs kann ein Angriff gestartet werden, um das Opfer zum Erkennen eines falschen Pfades des Angreifers zu verleiten. Außerdem kann ein Angriff auch gestartet werden, um das Opfer mit verulkten Rückverfolgungsnachrichten zu überfluten, was den Betrieb des Überwachungsagenten während dieses Überwachungsprozesses verhindert. Die Weiterleitungsrate von Nachrichten kann durch die Firewall begrenzt sein, die vor dem Benutzernetzwerk installiert ist. Auf diese Weise kann die Firewall einen Teil der Rückverfolgungspakete verwerfen, wenn die Rate zu hoch ist. Die Gewichtung eines Pfades in der Pfadmatrix hängt auch von der Frequenz des Empfangs von Rückverfolgungspaketen von Quellen entlang des Pfades ab, folglich kann ein böswilliger Benutzer mit einem Rückverfolgungsangriff eine Pfadinformation erzeugen, die stark gewichtet ist. Eine Lösung wird durch das Protokoll geschaffen, in dem der Überwachungsagent entweder direkt oder indirekt bei einem entfernten Router anfordern kann, wenn von dem Router vermutet wird, dass er sich entlang des Pfades des Angreifers befindet, seine Erzeugungsfrequenz von Rückverfolgungsnachrichten zu erhöhen, um zu ermöglichen, dass der wirkliche Pfad leichter erfasst wird. Ein sicherer Signalisierungsmechanismus, wie unten mit Bezug auf 7 beschrieben ist, kann benutzt werden.
  • Der Überwachungsagent 204 verwendet den Authentifizierungsteil 222, um richtige und falsche Pfade zu unterscheiden. Um den Verarbeitungs- und Signalisierungsverwaltungsaufwand zu verringern, wird die Authentifizierung vorzugsweise nur während einer vermuteten Dienstverweigerungssituation verwendet. Wenn die Ressourcen des Systems wegen böswilligen Verkehrs, der das System überflutet, verstopft werden, authentifiziert der Überwachungsagent 204 folglich die Ketten in der Pfadmatrix. Bei diesem Verfahren verwenden wir eine TTP (vertrauenswürdige dritte Partei, Trusted Third Party). Jeder ISP hat seinen eigenen geheimen Schlüssel, der vorzugsweise kontinuierlich variiert wird, und wird von seinen Routern verwendet, um die Rückverfolgungsnachrichten zu signieren, die sie erzeugen. Der ISP verteilt den aktuellen geheimen Schlüssel an die rückverfolgungfähigen Router unter seiner Steuerung, und verteilt dann dieses Geheimnis sicher an die anderen ISPs, die die Rückverfolgungsprotokolle unterstützen. Die Router, die Rückverfolgungsnachrichten erzeugen, signieren sie mit der Information H (geheimer Schlüssel des ISPs, Nachricht), wobei Nachricht der Rest der Rückverfolgungsnachricht ist.
  • Die Rückverfolgungsnachricht enthält ein Feld, das den ISP identifiziert, der den Router verwaltet. Ein Opfer, das eine Nachricht authentifizieren möchte, sendet eine Anfrage an den ISP des Opfers, die den Identifikator des ISP angibt, der den Router verwaltet, und es kann entweder einem geheimen Schlüssel von seinem ISP empfangen, um die Nachricht selbst zu authentifizieren, oder die Nachricht an den ISP zur Authentifizierung weiterleiten, und eine Nachricht erhalten, die anzeigt, ob die Nachricht echt oder falsch ist. Der geheime Schlüssel jedes ISPs wird periodisch aktualisiert, zum Beispiel alle 15 Minuten. Die selektive Authentifizierung des Rückverfolgungspakets erfordert keine exzessive Bearbeitungsbelastung, aber das Opfer kann weiterhin einen Pfad eines Angreifers unter der Verwendung von ausschließlich sicheren Informationen auswerten. Zum Beispiel kann die Authentifizierung nur bei einem vermuteten Dienstverweigerungsangriff ausgeführt werden, und optional nur, wenn eine unverhältnismäßige Anzahl von Rückverfolgungsnachrichten empfangen wird. Folglich findet Authentifizierung eines Rückverfolgungspakets nur statt, nachdem ein Pfad des Verkehrs eine vorher festgelegte Gewichtung in dem entsprechenden Eintrag in der Pfadmatrix erreicht. Wenn der Pfad des Verkehrs dieser Authentifizierung nicht standhält, wird der verworfen.
  • Nach dem ein wahrscheinlicher Pfad des Angreifers erfasst und während eines Dienstverweigerungsangriffs authentifiziert wurde, wird der Pfad zu dem Angriffabmilderungsagenten 212 weitergeleitet, damit er mit seinen Abmilderungsprozeduren beginnt.
  • Während eines Dienstverweigerungsangriffs kann sogar ein Pfad, der in der Pfadmatrix erfasst und authentifiziert wurde, nicht der richtige oder einzige Angreiferpfad sein. Der Angriffabmilderungsagent soll mit einem Router zusammenarbeiten, der von dem Opfer entfernt und so nah wie möglich an dem Angreifer ist, um den Angriff zu beenden, und verwendet vorzugsweise zuerst eine Markierungsprozedur in dem ausgewählten Router für den Verkehr in Richtung des Opfers.
  • Dieser Router ist normalerweise ein Router am Netzwerkrand nahe an dem Angreifer. Die Markierungsprozedur ermöglicht dem Opfer, den Verkehr zu charakterisieren, der von dieser Netzwerkeinheit kommt. Wenn der Verkehr am Ort des Opfers ankommt, kann das Opfer überprüfen, ob dieser Verkehr für die Dienstverweigerungssituation verantwortlich ist, und kann den Angreiferpfad weiter verifizieren. Die Markierung wird auf der Basis einer genau definierten Zieladresse (der des Opfers) ausgeführt, wie in 6 dargestellt ist. Wenn ein Paket, das an das Opfer gerichtet ist, an dem ausgewählten Router 300 ankommt, markiert der Router das Paket. Dieser ausgewählte Router muss den Protokollstapel 200 implementieren, um dem Opfer zu ermöglichen, damit zu kommunizieren, entweder direkt oder indirekt (über die ISPs), um die Markierungsprozedur einzuleiten. Die Markierungsprozedur wird vorzugsweise von dem Opfer mit einem sicheren Signalisierungsmechanismus eingeleitet und gesteuert. Ein bevorzugter Signalisierungsmechanismus, wie in 7 dargestellt ist, ist einer, bei dem das Opfer seinen ISP in dem Signalisierungsmechanismus als eine vertrauenswürdige dritte Partei (TTP, Trusted Third Party) behandelt, der wiederum den entfernten ISP als weitere TTP behandelt. Der entfernte ISP führt dann die angeforderte Aktion mit dem entfernten Router aus.
  • Mit Bezug auf 7 kann ein Opfer eine Nachricht M an den entfernten Router sicher kommunizieren. Die Nachricht enthält die IP-Adresse des Opfers und des entfernten Routers und eine Anfrage an den entfernten Router, eine Aktion auszuführen, die sich auf den Verkehr bezieht, der an die IP-Adresse des Opfers gerichtet ist, um eine Erzeugungsrate von Rückverfolgungsnachrichten zu verändern und mit der Markierung von Paketen zu beginnen oder einen Filter zu installieren (der unten beschrieben wird). Das System des Opfers verschlüsselt zuerst die Nachricht mit seinem eigenen geheimen Schlüs sel Ks_Vic, den es mit seinem ISP teilt, und verschlüsselt dann das Ergebnis mit dem öffentlichen Schlüssel des ISPs Kp_ISP. Das Ergebnis wird zu dem lokalen ISP 208 gesendet. Der lokale ISP entschlüsselt die Nachricht, identifiziert den ISP des entfernten Routers, verschlüsselt die Nachricht M mit seinem eigenen geheimen Schlüssel Ks_V_ISP, den er mit dem entfernten ISP 210 teilt, und verschlüsselt das Ergebnis mit dem öffentlichen Schlüssel des entfernten ISPs Kp_R_ISP. Das Ergebnis wird zu dem entfernten ISP gesendet. Der entfernte ISP entschlüsselt die Nachricht, liest sie und stellt fest, ob die angeforderte Aktion in seiner eigenen Vorgehensweise bei der Routerverwaltung enthalten ist. Wenn dies so ist, verschlüsselt er die Nachricht mit dem geheimen Schlüssel des ausgewählten Routers Ks_R, und sendet sie zu dem ausgewählten Router. Nach dem Empfang entschlüsselt der ausgewählte Router die Nachricht und führt die angeforderte Aktion aus. Der entfernte ISP sendet auch einen Statusbericht direkt an das Opfer.
  • In einer Ausführung wird die Markierung in dem TTL-Feld des IP-Kopfes ausgeführt. Normalerweise wird das Feld von einem Sender auf 64 gesetzt. In unserem Fall wird die TTL-Information von dem ausgewählten Router auf eine variable Zahl, die von 64 verschieden ist, eingestellt, was nicht zu einer TTL führt, die von dem Opfer empfangen wird, die gleich der irgendeines signifikanten Anteils des aktuellen Verkehrs ist. Das Opfer gibt diese Zahl dem Router an, folglich erkennt er Pakete, die mittels einer charakteristischen TTL ankommen, die gleich der angegebenen anfänglichen TTL abzüglich der Anzahl von Sprüngen ist, die der Router entfernt ist. Das Opfer kennt den Abstand zu dem ausgewählten Router aus den Informationen in den authentifizierten Rückverfolgungspaketen. Um die Tatsache zu berücksichtigen, dass die Pakete nicht immer dem gleichen Pfad in dem Netzwerk folgen, was während einer Stausituation wie einem Überflutungsangriff sogar wahrscheinlicher ist, kann das Opfer den markierten Verkehr durch einen Bereich von TTL-Werten charakterisieren.
  • Ein Vorteil von dieser Prozedur ist, dass der Angreifer die Identität des ausgewählten Routers nicht wissen kann, der die TTL-Information konfiguriert. Darüber hinaus verursacht die Markierungsprozedur keinen zusätzlichen Verkehr in dem Netzwerk, was eine wichtige Überlegung ist, da die Bandbreite des Netzwerks der am stärksten belasteten Parameter während eines Überflutungsangriffs ist.
  • Ein potenzielles Problem ist die Möglichkeit einer Schleife in der Leitweglenkung an dem Router, der das Paket markiert, und wenn der Router die TTL kontinuierlich aktualisiert, kann das Paket für unendliche Zeit in dem Netzwerk bleiben. Dieses Problem kann gelöst werden, indem in dem Protokoll angegeben wird, dass der Wert der TTL im Vergleich mit der TTL des ankommenden Pakets von dem ausgewählten Router und/oder durch Markieren nur eines Anteils der Pakete, die an das Opfer gerichtet sind, statt einen Markierungsvorgang auf alle Pakete anzuwenden, die an das Opfer gerichtet sind, nicht erhöht werden darf.
  • Der Angriffabmilderungsagent 212 überwacht dann die ankommenden markierten Pakete, um festzustellen, ob der böswillige Verkehr vorherrscht oder nicht, oder wenigstens den ausgewählten Router signifikant durchläuft. Um böswilligen Verkehr von legitimem Verkehr zu unterscheiden, können bekannte Verfahren verwendet werden. Der Angriffabmilderungsagent kann auch feststellen, ob ein signifikanter Anteil von seinem Verkehr, der den ausgewählten Router durchläuft, legitim ist. Wenn dies so ist, kann er entscheiden, eine Markierungsprozedur an einem anderen ausgewählten Leitweg einzusetzen, um festzustellen, ob der Effekt auf den legitimen Verkehr geringer ist, wenn ein Ausgangsfilter installiert würde. Eine Art, das Problem von anonymen Überflutungsangriffen zu lösen, ist, nur böswilligen Verkehr in einem Router nahe am Angreifer zu eliminieren. Das Opfer muss jedoch den bösartigen Verkehr gut genug charakterisieren können, sodass er von dem legitimen Verkehr perfekt unterschieden werden kann. Das Problem ist, dass eine solche Charakterisierung nicht leicht und manchmal unmöglich auszuführen ist, und auf jeden Fall zeitraubend ist, und folglich im Umgang mit hochentwickelten Dienstverweigerungsangriffen, wie sie auftreten, nicht nützlich sein kann.
  • Deswegen ist das bevorzugte Verfahren nach der vorliegenden Erfindung, geeignete Router auszuwählen, um nahe an dem Angreifer zu sein, und die Auswirkungen auf den legitimen Verkehr wenn möglich zu minimieren, und allen Verkehr, der an das Opfer gerichtet ist, an dieser Stelle gleich zu behandeln.
  • Ein Verfahren, das in 8 dargestellt ist, ist, den ausgewählten Router zu konfigurieren, sodass er Pakete blockiert, die mit der Zieladresse des Opfers ankommen. Dieser Ansatz erfordert nur die Fähigkeit des Routers, einen Ausgangsfilter einzusetzen. Der Angriffabmilderungsagent 212 kann den Einsatz eines Ausgangsfilters an dem ausgewählten entfernten Server mit einem sicheren Signalisierungsmechanismus wie mit Bezug auf 7 oben beschrieben einleiten. Der entfernte Router 300 verwirft dann alle ankommenden Pakete, die an die IP-Adresse des Opfers gerichtet sind, während einer vorher festgelegten Zeitdauer, wenn er nicht von dem Opfer über seinen ISP anders angewiesen wird.
  • Statt der Installation eines Filters in einem Router, der durch sich selbst einen Angreifer mit einer gewünschten Dienstverweigerung für legitimierte Benutzer darstellen kann, deren Verkehr auch ausgefiltert wird, kann eine Dienstqualitäts(QoS, Quality of Service)-Funktion des weiterleitenden Netzwerks genutzt werden. Traditionell liefert QoS ein Netzwerk mit der Fähigkeit, ausgewähltem Netzwerkverkehr bessere Dienste bereitzustellen. Bei dieser Alternative wird der Verkehr, der an das Ziel gerichtet ist, an dem ausgewählten Router 300 eine geringere Kategorie der QoS-Priorität zugewiesen als dem normalen, nach besten Möglichkeiten weitergeleiteten Verkehr, was folglich ermöglicht, böswilligen Verkehr über die QoS-Funktionen zu verwalten. In dieser Ausführung kann diese Kategorisierung von dem Opfer in Zusammenarbeit mit dem ausgewählten Router mit einem QoS-Protokoll ausgeführt werden, auf das sich als Differenzierter Dienst bezogen wird.
  • Differenzierter Dienst (DS), wie er in S. Blake et al: RFC-2475, An Architecture for Differentiated Service beschrieben ist, ist ein multiples Dienstmodell, das unterschiedliche Anforderungen der QoS befriedigen kann. Die Architektur ist flexibel in dem Sinne, dass sie keine speziellen Dienste definiert. Pakete, die an dem Rand des Netzwerks ankommen (der erste Router, der DS-fähig ist) werden markiert. Bei diesem Markierungsvorgang wird ein Feld des Differenzierten Dienstes auf einen ausgewählten Wert gesetzt. Die Markierung, die ein Paket bekommt, identifiziert die Verkehrsklasse, zu der es gehört. Nachdem es markiert wurde, kann ein Paket dann in das Netzwerk weitergeleitet, verzögert oder verworfen werden. Wenn ein DS-markiertes Paket an einem DS-fähigen Router ankommt, wird das Paket zu seinem nächsten Sprung entsprechend dem sogenannten Pro-Sprung-Verhalten (per-hop behaviour), das der Paketklasse zugeordnet ist, weitergeleitet. Das Pro-Sprung-Verhalten gibt an, wie das Paket verwaltet wird. Diese Information wird von dem DS-Feld bestimmt.
  • Für einen Differenzierten Dienst versucht das Netzwerk 302, eine besondere Art von Dienst auf Basis der QoS zu liefern, der von jedem Paket angegeben wird. Die Funktionen von DS am Rand des Netzwerks, bei denen Pakete mit einer QoS-Kategorie markiert werden, werden in dieser Ausführung durch einen ausgewählten Router 300 erreicht, der einen geeigneten Wert in dem DS-Feld auf Anfrage von dem Opfer einstellt. Wiederum kann ein sicherer Signalisierungsmechanismus, wie oben in Bezug auf 7 beschrieben, verwendet werden. Die Pakete werden mit einer geringen Priorität markiert, und können von dem Stauvermeidungsalgorithmus, der von den QoS-Protokollen bereitgestellt wird, verworfen oder verzögert werden. Dies löst das Problem der vollständigen Lahmlegung des Verkehrs, das bei einem Ausgangsfilter auftritt. Alle ankommenden Pakete werden nicht automatisch von dem ausgewählten Router verworfen, sondern werden nur mit einer QoS-Kategorie mit geringerer Priorität markiert, und können das Opfer erreichen, wenn zum Beispiel der Dienstverweigerungsangriffs abklingt. Der Überflutungsangriff wird nicht nur von dem Opfer oder nur von dem ausgewählten Router verwaltet. Alle Netzwerkeinheiten entlang dem Pfad des Angreifers können zur Abmilderung des Angriffs beitragen. Wenn der markierte Verkehr manche Teile des Netzwerks verstopft, kann er leicht verworfen werden.
  • Folglich liefert die vorliegende Erfindung eine effektive und verlässliche Art, mit Dienstverweigerungsangriffen umzugehen. Das Netzwerk des Opfers wird nicht von dem feindlichen Verkehr verstopft und die Verbindungsfähigkeit des Opfers bleibt erhalten.
  • Es sei erwähnt, dass Variationen und Modifikationen in Bezug auf die oben beschriebenen Ausführungen gemacht werden können, ohne den Bereich der Erfindung zu verlassen, der durch die angehängten Ansprüche definiert ist. Zum Beispiel können, statt Pakete, die separat gesendet werden, zu den Daten zurückzuverfolgen, die ihre Erzeugung auslösen, Verfolgungsdaten von Weiterleitungsroutern in Pakete integriert oder daran angehängt werden.

Claims (15)

  1. Verfahren zur Verwaltung von Datenverkehr, der an einem Netzwerkknoten empfangen wird und von einem Paketdatenkommunikationsnetzwerk an diesen gerichtet wird, wobei das Verfahren durch folgende Schritte in dem Netzwerkknoten gekennzeichnet ist: a) Überwachung von Nachverfolgungsdaten, die ermöglichen, dass die Identität von wenigstens einem entfernten Paketweiterleitungsknoten in dem Netzwerk gefunden wird, der für die Weiterleitung von wenigstens etwas des empfangenen Datenverkehrs an den Netzwerkknoten verantwortlich ist; und b) Senden einer Anfrage von dem Netzwerkknoten an den entfernten Paketweiterleitungsknoten, um seine Bearbeitung von Datenverkehr zu ändern, der für den Netzwerkknoten bestimmt ist.
  2. Verfahren nach Anspruch 1, bei dem die Anfrage für den entfernten Paketweiterleitungsknoten darin besteht, die Bearbeitung von Datenverkehr, der an den Netzwerkknoten gerichtet ist, selektiv zu verändern.
  3. Verfahren nach Anspruch 1 oder 2, bei dem die Anfrage darin besteht, Datenverkehr, der weitergeleitet wird, mit einem Merkmal zu markieren, was ermöglicht, den Datenverkehr, der weitergeleitet wird, von Datenverkehr zu unterscheiden, der über einen anderen Pfad weitergeleitet wird.
  4. Verfahren nach Anspruch 3, bei dem die Markierung in einem Kopffeld von Datenpaketen, die den Datenverkehr bilden, ausgeführt wird, wobei das Kopffeld Daten enthält, die von einem Paketweiterleitungsknoten, der die Pakete weiterleitet, dekrementiert werden.
  5. Verfahren nach Anspruch 1 oder 2, bei dem die Anfrage darin besteht, den entfernten Paketweiterleitungsknoten zu veranlassen, den Umfang des Datenverkehrs zu verringern, der an dem Netzwerkknoten empfangen wird.
  6. Verfahren nach Anspruch 5, bei dem die Anfrage an den entfernten Paketweiterleitungsknoten darin besteht, wenigstens einen Anteil des Datenverkehrs auszufiltern.
  7. Verfahren nach Anspruch 5, bei dem die Anfrage an den entfernten Paketweiterleitungsknoten darin besteht, den Datenverkehr derart zu markieren, dass der Datenverkehr eine verringerte Dienstqualität im Kommunikationsnetzwerk erfährt.
  8. Verfahren nach einem der vorangehenden Ansprüche, bei dem die Anfrage von dem Netzwerkknoten an eine Verwaltungseinheit für die Domain weitergeleitet wird, in der der Netzwerkknoten Dienste von dem Kommunikationsnetzwerk empfängt.
  9. Verfahren nach Anspruch 8, das weiter das Senden der Anfrage von der Verwaltungseinheit an eine weitere Verwaltungseinheit für die Domain umfasst, in der sich der entfernte Paketweiterleitungsknoten befindet.
  10. Verfahren zur Verwaltung von Datenverkehr, der an einem Paketweiterleitungsknoten in einem Paketdatenkommunikationsnetzwerk empfangen wird, wobei das Verfahren folgende Schritte in dem Paketweiterleitungsknoten umfasst: a) Weiterleiten von Datenverkehr, der für einen Netzwerkknoten bestimmt ist, in Richtung dieses Knotens; und gekennzeichnet ist durch b) Empfangen einer Anfrage von dem Netzwerkknoten an den entfernten Paketweiterleitungsknoten, dessen Bearbeitung von Datenverkehr zu verändern, der für den Netzwerkknoten bestimmt ist; und c) Verändern der Bearbeitung von Verkehrsdaten in dem entfernten Paketweiterleitungsknoten entsprechend der Anfrage.
  11. Verfahren zur Verringerung von Stauproblemen, die in einem Netzwerkknoten auftreten, indem die Bearbeitung von Datenverkehr in einem Paketweiterleitungsknoten in einem Paketdatenkommunikationsnetzwerk verändert wird, wobei das Verfahren in dem Paketweiterleitungsknoten durch folgende Schritte gekennzeichnet ist: a) Empfangen der Daten des Verkehrs in dem Paketweiterleitungsknoten; und b) Verringern einer Einstellung für die Dienstqualität für die empfangenen Daten des Verkehrs, derart, dass die Daten des Verkehrs wahrscheinlicher von den nachfolgenden Paketweiterleitungsknoten in dem Kommunikationsnetzwerk verworfen werden, an die die Daten des Verkehrs weitergeleitet werden.
  12. Verfahren nach Anspruch 11, das die Erfassung des Datenverkehrs, der an den Netzwerkknoten gerichtet ist, und das selektive Verringern einer Einstellung der Dienstqualität für den erfassten Datenverkehr umfasst.
  13. Verfahren nach Anspruch 11 oder 12, das die selektive Ausführung des Verringerungsschritts als Reaktion auf den Empfang einer Anfrage von einer Einheit im Netzwerk umfasst.
  14. Verfahren nach Anspruch 13, bei dem die Anfrage von dem Netzwerkknoten stammt.
  15. Verfahren nach Anspruch 13 oder 14, bei dem die empfangene Anfrage unter Übereinstimmung eines Merkmals eines sicheren Mechanismus einer Einheit im Netzwerk empfangen wird, der der Paketweiterleitungsknoten vertraut.
DE60110792T 2000-06-30 2001-06-26 Paketkommunikationssystem Expired - Lifetime DE60110792T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP00305556 2000-06-30
EP00305556 2000-06-30
PCT/GB2001/002833 WO2002003653A2 (en) 2000-06-30 2001-06-26 Packet data communications

Publications (2)

Publication Number Publication Date
DE60110792D1 DE60110792D1 (de) 2005-06-16
DE60110792T2 true DE60110792T2 (de) 2006-02-23

Family

ID=8173095

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60110792T Expired - Lifetime DE60110792T2 (de) 2000-06-30 2001-06-26 Paketkommunikationssystem

Country Status (6)

Country Link
US (1) US7367054B2 (de)
EP (1) EP1295454B1 (de)
AU (1) AU2001266174A1 (de)
CA (1) CA2410522C (de)
DE (1) DE60110792T2 (de)
WO (1) WO2002003653A2 (de)

Families Citing this family (80)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040073617A1 (en) 2000-06-19 2004-04-15 Milliken Walter Clark Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail
AU2002255568B8 (en) * 2001-02-20 2014-01-09 Adidas Ag Modular personal network systems and methods
US7171683B2 (en) * 2001-08-30 2007-01-30 Riverhead Networks Inc. Protecting against distributed denial of service attacks
US7295516B1 (en) * 2001-11-13 2007-11-13 Verizon Services Corp. Early traffic regulation techniques to protect against network flooding
EP1335535A1 (de) * 2002-01-31 2003-08-13 BRITISH TELECOMMUNICATIONS public limited company Auswahl von Netzwerkdiensten
AU2003212910A1 (en) * 2002-02-07 2003-09-02 University Of Massachusetts Probabalistic packet marking
US7693947B2 (en) 2002-03-08 2010-04-06 Mcafee, Inc. Systems and methods for graphically displaying messaging traffic
US7694128B2 (en) 2002-03-08 2010-04-06 Mcafee, Inc. Systems and methods for secure communication delivery
US8132250B2 (en) 2002-03-08 2012-03-06 Mcafee, Inc. Message profiling systems and methods
US7903549B2 (en) 2002-03-08 2011-03-08 Secure Computing Corporation Content-based policy compliance systems and methods
US7870203B2 (en) 2002-03-08 2011-01-11 Mcafee, Inc. Methods and systems for exposing messaging reputation to an end user
US8561167B2 (en) 2002-03-08 2013-10-15 Mcafee, Inc. Web reputation scoring
US7124438B2 (en) 2002-03-08 2006-10-17 Ciphertrust, Inc. Systems and methods for anomaly detection in patterns of monitored communications
US20060015942A1 (en) 2002-03-08 2006-01-19 Ciphertrust, Inc. Systems and methods for classification of messaging entities
US20030172291A1 (en) 2002-03-08 2003-09-11 Paul Judge Systems and methods for automated whitelisting in monitored communications
US8578480B2 (en) 2002-03-08 2013-11-05 Mcafee, Inc. Systems and methods for identifying potentially malicious messages
US6941467B2 (en) * 2002-03-08 2005-09-06 Ciphertrust, Inc. Systems and methods for adaptive message interrogation through multiple queues
US8161145B2 (en) 2003-02-27 2012-04-17 International Business Machines Corporation Method for managing of denial of service attacks using bandwidth allocation technology
JP2004266389A (ja) * 2003-02-28 2004-09-24 Matsushita Electric Ind Co Ltd パケット転送制御方法及びパケット転送制御回路
US7979694B2 (en) * 2003-03-03 2011-07-12 Cisco Technology, Inc. Using TCP to authenticate IP source addresses
EP1629651A1 (de) 2003-05-30 2006-03-01 International Business Machines Corporation Erkennung von netzwerkangriffen
US9100431B2 (en) 2003-07-01 2015-08-04 Securityprofiling, Llc Computer program product and apparatus for multi-path remediation
US9118711B2 (en) 2003-07-01 2015-08-25 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US8984644B2 (en) * 2003-07-01 2015-03-17 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US9118709B2 (en) 2003-07-01 2015-08-25 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US9118708B2 (en) 2003-07-01 2015-08-25 Securityprofiling, Llc Multi-path remediation
US20070113272A2 (en) 2003-07-01 2007-05-17 Securityprofiling, Inc. Real-time vulnerability monitoring
US7565426B2 (en) * 2003-08-07 2009-07-21 Alcatel Lucent Mechanism for tracing back anonymous network flows in autonomous systems
US7254713B2 (en) * 2003-09-11 2007-08-07 Alcatel DOS attack mitigation using upstream router suggested remedies
US7415018B2 (en) * 2003-09-17 2008-08-19 Alcatel Lucent IP Time to Live (TTL) field used as a covert channel
US7761515B2 (en) * 2003-09-18 2010-07-20 Intel Corporation Group intercom, delayed playback, and ad-hoc based communications system and method
US7421737B1 (en) * 2004-05-04 2008-09-02 Symantec Corporation Evasion detection
US7529187B1 (en) 2004-05-04 2009-05-05 Symantec Corporation Detecting network evasion and misinformation
US7478429B2 (en) * 2004-10-01 2009-01-13 Prolexic Technologies, Inc. Network overload detection and mitigation system and method
KR100777752B1 (ko) * 2004-10-28 2007-11-19 니폰덴신뎅와 가부시키가이샤 서비스 불능 공격 검지 시스템 및 서비스 불능 공격 검지방법
US8635690B2 (en) 2004-11-05 2014-01-21 Mcafee, Inc. Reputation based message processing
US7568224B1 (en) * 2004-12-06 2009-07-28 Cisco Technology, Inc. Authentication of SIP and RTP traffic
US7653938B1 (en) * 2005-02-03 2010-01-26 Cisco Technology, Inc. Efficient cookie generator
US8059551B2 (en) * 2005-02-15 2011-11-15 Raytheon Bbn Technologies Corp. Method for source-spoofed IP packet traceback
US8806634B2 (en) * 2005-04-05 2014-08-12 Donald N. Cohen System for finding potential origins of spoofed internet protocol attack traffic
US20060248588A1 (en) * 2005-04-28 2006-11-02 Netdevices, Inc. Defending Denial of Service Attacks in an Inter-networked Environment
US7937480B2 (en) 2005-06-02 2011-05-03 Mcafee, Inc. Aggregation of reputation data
TW200644495A (en) * 2005-06-10 2006-12-16 D Link Corp Regional joint detecting and guarding system for security of network information
US8091131B2 (en) * 2005-07-06 2012-01-03 At&T Intellectual Property Ii, L.P. Method and apparatus for communicating intrusion-related information between internet service providers
US7624447B1 (en) 2005-09-08 2009-11-24 Cisco Technology, Inc. Using threshold lists for worm detection
US7797738B1 (en) * 2005-12-14 2010-09-14 At&T Corp. System and method for avoiding and mitigating a DDoS attack
US7865717B2 (en) * 2006-07-18 2011-01-04 Motorola, Inc. Method and apparatus for dynamic, seamless security in communication protocols
WO2008047141A1 (en) * 2006-10-18 2008-04-24 British Telecommunications Public Limited Company Method and apparatus for monitoring a digital network
EP1928144A1 (de) * 2006-11-29 2008-06-04 Thomson Licensing Verfahren und Vorrichtung zur sicheren Distanzberechnung in Kommunikationsnetzen
US8156557B2 (en) * 2007-01-04 2012-04-10 Cisco Technology, Inc. Protection against reflection distributed denial of service attacks
US8179798B2 (en) 2007-01-24 2012-05-15 Mcafee, Inc. Reputation based connection throttling
US7949716B2 (en) 2007-01-24 2011-05-24 Mcafee, Inc. Correlation and analysis of entity attributes
US8214497B2 (en) 2007-01-24 2012-07-03 Mcafee, Inc. Multi-dimensional reputation scoring
US8763114B2 (en) 2007-01-24 2014-06-24 Mcafee, Inc. Detecting image spam
US7779156B2 (en) 2007-01-24 2010-08-17 Mcafee, Inc. Reputation based load balancing
EP1973275A1 (de) * 2007-03-22 2008-09-24 British Telecommunications Public Limited Company Datenübertragungsverfahren und -vorrichtung
US8584236B2 (en) * 2007-03-28 2013-11-12 British Telecommunications Public Limited Company Method and apparatus for detecting abnormal traffic in a network
FR2915598A1 (fr) * 2007-04-27 2008-10-31 France Telecom Procede de filtrage de flots indesirables en provenance d'un terminal presume malveillant
US8185930B2 (en) 2007-11-06 2012-05-22 Mcafee, Inc. Adjusting filter or classification control settings
US8045458B2 (en) 2007-11-08 2011-10-25 Mcafee, Inc. Prioritizing network traffic
US8370937B2 (en) * 2007-12-03 2013-02-05 Cisco Technology, Inc. Handling of DDoS attacks from NAT or proxy devices
US8160975B2 (en) 2008-01-25 2012-04-17 Mcafee, Inc. Granular support vector machine with random granularity
US8589503B2 (en) 2008-04-04 2013-11-19 Mcafee, Inc. Prioritizing network traffic
US8009559B1 (en) * 2008-08-28 2011-08-30 Juniper Networks, Inc. Global flow tracking system
US8621638B2 (en) 2010-05-14 2013-12-31 Mcafee, Inc. Systems and methods for classification of messaging entities
US8499348B1 (en) * 2010-12-28 2013-07-30 Amazon Technologies, Inc. Detection of and responses to network attacks
US8151341B1 (en) 2011-05-23 2012-04-03 Kaspersky Lab Zao System and method for reducing false positives during detection of network attacks
CN102523221B (zh) * 2011-12-20 2014-11-19 国家计算机网络与信息安全管理中心 数据报文的检测方法及网络安全检测设备
EP3651437B1 (de) 2012-03-29 2021-02-24 Arilou Information Security Technologies Ltd. Schutz eines elektronischen fahrzeugsystems
EP2852096B1 (de) * 2012-06-20 2016-04-06 Huawei Technologies Co., Ltd. Verfahren, knoten, mobiles endgerät und system zur identifizierung von netzwerkteilungsverhalten
US9060019B2 (en) * 2013-02-25 2015-06-16 Quantum RDL, Inc. Out-of band IP traceback using IP packets
JP5902264B2 (ja) * 2014-08-28 2016-04-13 ソフトバンク株式会社 通信制御装置、通信制御システム、通信制御方法、および通信制御プログラム
US10616270B2 (en) 2014-11-10 2020-04-07 Nippon Telegraph And Telephone Corporation Optimization apparatus, optimization method, and optimization program
US10142355B2 (en) * 2015-09-18 2018-11-27 Telus Communications Inc. Protection of telecommunications networks
CN105262535B (zh) * 2015-10-29 2017-07-18 电子科技大学 一种全光网络中基于随机下一节点的监测迹设计方法
CN105429700B (zh) * 2015-11-26 2017-09-12 电子科技大学 一种全光网络中结合波长分配的监测迹生成联合优化方法
SG10201912933VA (en) * 2016-03-23 2020-02-27 Agency Science Tech & Res Cloud-based forensic ip traceback
US10887344B2 (en) * 2017-09-22 2021-01-05 Nec Corporation Network endpoint spoofing detection and mitigation
US20200322168A1 (en) * 2017-11-30 2020-10-08 Agency For Science, Technology And Research Privacy preserving ip traceback using group signature
CN111970244B (zh) * 2020-07-20 2022-06-03 北京邮电大学 基于环形架构的匿名通信网络的构建、消息转发方法

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU8636391A (en) * 1990-10-10 1992-05-20 British Telecommunications Public Limited Company Network traffic management
US5367523A (en) * 1993-08-26 1994-11-22 International Business Machines Corporation Adaptive rate-based congestion and flow control in packet communications networks
US5649110A (en) * 1994-11-07 1997-07-15 Ben-Nun; Michael Traffic shaping system with virtual circuit table time stamps for asynchronous transfer mode networks
US5692124A (en) * 1996-08-30 1997-11-25 Itt Industries, Inc. Support of limited write downs through trustworthy predictions in multilevel security of computer network communications
US6005851A (en) * 1997-10-10 1999-12-21 Nortel Networks Corporation Adaptive channel control for data service delivery
US6971028B1 (en) * 1999-08-30 2005-11-29 Symantec Corporation System and method for tracking the source of a computer attack
US6735702B1 (en) * 1999-08-31 2004-05-11 Intel Corporation Method and system for diagnosing network intrusion
US7062782B1 (en) * 1999-12-22 2006-06-13 Uunet Technologies, Inc. Overlay network for tracking denial-of-service floods in unreliable datagram delivery networks
US6816910B1 (en) * 2000-02-17 2004-11-09 Netzentry, Inc. Method and apparatus for limiting network connection resources
US6973040B1 (en) * 2000-03-13 2005-12-06 Netzentry, Inc. Method of maintaining lists of network characteristics
US20010047387A1 (en) * 2000-03-27 2001-11-29 Exoplex, Inc. Systems and methods for providing distributed cross-enterprise portals
US20020032871A1 (en) * 2000-09-08 2002-03-14 The Regents Of The University Of Michigan Method and system for detecting, tracking and blocking denial of service attacks over a computer network
US20020035698A1 (en) * 2000-09-08 2002-03-21 The Regents Of The University Of Michigan Method and system for protecting publicly accessible network computer services from undesirable network traffic in real-time
US20020120853A1 (en) * 2001-02-27 2002-08-29 Networks Associates Technology, Inc. Scripted distributed denial-of-service (DDoS) attack discrimination using turing tests
US7171688B2 (en) * 2001-06-25 2007-01-30 Intel Corporation System, method and computer program for the detection and restriction of the network activity of denial of service attack software

Also Published As

Publication number Publication date
CA2410522A1 (en) 2002-01-10
EP1295454A2 (de) 2003-03-26
US20030172289A1 (en) 2003-09-11
WO2002003653A3 (en) 2002-05-16
CA2410522C (en) 2010-01-26
DE60110792D1 (de) 2005-06-16
AU2001266174A1 (en) 2002-01-14
WO2002003653A2 (en) 2002-01-10
EP1295454B1 (de) 2005-05-11
US7367054B2 (en) 2008-04-29

Similar Documents

Publication Publication Date Title
DE60110792T2 (de) Paketkommunikationssystem
DE60206856T2 (de) Verfahren und Vorrichtung zum Schutz von Internetanlagen gegen Denial-of-Service Angriffen
Douligeris et al. DDoS attacks and defense mechanisms: classification and state-of-the-art
Abliz Internet denial of service attacks and defense mechanisms
Belenky et al. On IP traceback
Mahajan et al. Controlling high bandwidth aggregates in the network
CN101175078B (zh) 应用分布式阈值随机漫步的潜在网络威胁识别
DE102014224694B4 (de) Netzwerkgerät und Netzwerksystem
DE60307581T2 (de) Verbessertes geheimes Hashen der TCP SYN/FIN-Korrespondenz
DE602004009356T2 (de) Verfahren und Vorrichtung zum Schutz einer Netzwerkinfrastruktur und zur gesicherten Kommunikation von Kontrollinformationen
DE60127978T2 (de) System und Verfahren zur Verteidigung gegen Denial-of-Service angriffe auf die Netzwerkknoten
DE602005000121T2 (de) Methode und Vorrichtung zum Reduzieren von e-Mail Spam und der Verbreitung von Viren in einem Kommunikationsnetz durch Authentifizierung der Herkunft von e-Mail Nachrichten
DE60201716T2 (de) Verfahren und Vorrichtung zum Schutz von E-Commerce-Site gegen Distributed-Denial-of-Service Angriffen
CN107835199A (zh) 适于解决网络安全的sdn系统的工作方法
US8726384B2 (en) Apparatus, and system for determining and cautioning users of internet connected clients of potentially malicious software and method for operating such
DE60116754T2 (de) Sicherere registrierung von domänennamen
Sahay et al. Adaptive policy-driven attack mitigation in SDN
EP1721235B1 (de) Kommunikationssystem und verfahren zur bereitstellung eines mobilen kommunikationsdienstes
DE102006060040B4 (de) Verfahren und Server zum Bereitstellen einer geschützten Datenverbindung
CN113037731A (zh) 基于sdn架构和蜜网的网络流量控制方法及系统
Singh et al. Performance analysis of agent based distributed defense mechanisms against DDOS attacks
Mahajan et al. Controlling high-bandwidth aggregates in the network (extended version)
CH693921A5 (de) Verfahren, Datentraeger, Computersystem und Computerprogrammprodukt zur Erkennung und Abwehr von Angriffen auf Serversysteme von Netzwerk-Diensteanbietern und -betreibern.
EP1776821B1 (de) System und verfahren zum sicheren anmelden in einem kommuniktionssystem mit netzwerkverbindungs- und verbindungssteuerungs-rechnern
DE102016100692A1 (de) Netzwerkschutzentität und Verfahren zum Schutz eines Kommunikationsnetzwerks gegen betrügerische Nachrichten

Legal Events

Date Code Title Description
8364 No opposition during term of opposition