DE602004011864T2 - Die DOS Angriffsmitigation mit vorgeschlagenen Mitteln von upstream Router - Google Patents
Die DOS Angriffsmitigation mit vorgeschlagenen Mitteln von upstream Router Download PDFInfo
- Publication number
- DE602004011864T2 DE602004011864T2 DE602004011864T DE602004011864T DE602004011864T2 DE 602004011864 T2 DE602004011864 T2 DE 602004011864T2 DE 602004011864 T DE602004011864 T DE 602004011864T DE 602004011864 T DE602004011864 T DE 602004011864T DE 602004011864 T2 DE602004011864 T2 DE 602004011864T2
- Authority
- DE
- Germany
- Prior art keywords
- node
- attack
- measure
- dos
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
- Bereich der Erfindung
- Die vorliegende Erfindung bezieht sich auf computerbasierte Kommunikationssysteme, wie beispielsweise das Internet, und insbesondere auf Systeme und Verfahren zur Abwehr gegen DoS-Angriffe (Diensteverweigerung) auf solche Systeme.
- Hintergrund
- Computerbasierte Kommunikationssysteme, und insbesondere das Internet sind anfällig für zahlreiche Arten von Sicherheitsangriffen. Zu solchen Angriffen gehören Diensteverweigerungsangriffe, bei denen ein oder mehrere Knoten im System aufgrund von übermäßigem Verkehr überlastet werden. In dieser Hinsicht beinhaltet ein Diensteangriff die Blockierung der Fähigkeit von Nutzern, einen bestimmten Dienst im Netz zu nutzen. DoS-Angriffe (Diensteverweigerung) kommen im Internet häufig vor, wobei viele Angriffe mit verschiedenen Zielen gestartet werden. Viele Angriffe beinhalten speziell konzipierte Pakete, die entweder Fehler in der Software nutzen oder Ressourcen innerhalb von Geräten belegen. Diese sind auch als Paketüberflutungsangriffe bekannt.
- Bei einigen Paketüberflutungsangriffen, insbesondere bei der Bandbreitenbelegung, ist das Opfer nicht in der Lage, den Angriff abzuwehren. Das Opfer kann Mechanismen implementieren, um Systemabstürze zu verhindern, im Fall eines Bandbreitenangriffs kann es jedoch keinen gültigen Verkehr empfangen.
- Es wurden und werden auf jeden Fall erhebliche Anstrengungen unternommen, um Verfahren und Systeme zur Bekämpfung von DoS-Angriffen zu entwickeln. Um Bekämpfungsmaßnahmen gegen einen Angriff zu implementieren, müssen die Maßnahmen upstream vor dem Opfer an einem Punkt implementiert werden, an dem der Angriffsverkehr weniger als 100% der eingehenden Daten ausmacht. Ein typisches Verfahren zur Reaktion auf einen Angriff auf ein Paketüberflutungsopfer bestünde darin, den Netzbetreiber außerhalb des Nutzkanals zu kontaktieren und gegebenenfalls eine Sperrvorschrift einzurichten, um den Verkehr des Angreifers abzuwehren, falls dies möglich ist.
- Für eine Anfrage über den Nutzkanal, die an einen upstream angeordneten Netzbetreiber gesandt werden soll, muss das Opfer in der Lage sein, dem Betreiber gegenüber die Berechtigung für diese Anfrage nachzuweisen. Andernfalls könnte ein böswilliger Nutzer Diensteverweigerungen einfach nur dadurch verursachen, indem er einen Router anweist, bestimmte Adressen zu blockieren. Lösungen für dieses Problem nach dem gegenwärtigen Stand der Technik erfordern ein verschlüsseltes Messagingsystem, für das gegebenenfalls eine Public Key-Infrastruktur verwaltet werden muss.
- In der Veröffentlichung von Mahajan, Ratul mit dem Titel „Controlling High Bandwidth Aggregates in the Network", AT&T Center for Research at ICSI (ACIRI) and AT&T Labs Research, 13. Juli 2001, wird eine Lösung vorgeschlagen, bei der ein Host ermittelt, dass er angegriffen wird und eine Meldung an einen Upstream-Router sendet, in der er aufgefordert wird, eine bestimmte Abwehr-Policy zu implementieren. Bei diesem Verfahren wird eine Überlastungssignatur erstellt und zur Sperrung an den Router weitergeleitet.
- In Systemen, in dem sich das Opfer an einen Upstream-Router wenden muss, um einen Abwehrmechanismus einzuleiten, muss das Opfer in der Lage sein, dem Router gegenüber seine Identität nachzuweisen. Andernfalls könnte ein böswilliger Nutzer, wie oben erwähnt, Abwehrmechanismen gegen Nutzer veranlassen, die normal arbeiten, und auf diese Weise einen Diensteverweigerungsangriff herbeiführen.
- Um dies zu verhindern, erfordern Lösungen nach dem gegenwärtigen Stand der Technik einen Authentifizierungsmechanismus zwischen den Nutzern und ihren Upstream-Routern. Für die ICMP-Rückverfolgung wird eine digitale Signatur eingesetzt. Für die Anzahl an Nutzern, die üblicherweise beteiligt sind (zu viele für eine „Shared Secret"-Verschlüsselung), besteht die häufig vorgeschlagene Lösung in der Implementierung einer Public Key-Infrastruktur. PKIs sind jedoch nicht einfach zu implementieren und erfordern einen erheblichen Ressourcen-Overhead.
- Im Patent
WO 03/005666 - Zusammenfassung der Erfindung
- In der vorliegenden Erfindung wird eine Lösung vorgeschlagen, die dem Opfer eines Paketüberflutungsangriffs ermöglicht, die Auslösung eines Abwehrmechanismus mit Hilfe eines Nutzkanals mit leichter Authentifizierung zu veranlassen, bei dem es sich nicht um eine Public Key-Infrastruktur handeln muss. Die hier vorgeschlagene Lösung nutzt einen anderen Ansatz zur Bekämpfung von Paketüberflutungsangriffen. Bei Lösungen nach dem derzeitigen Stand der Technik muss das Opfer die Freigabe des Abwehrmechanismus bei einem Upstream-Router anfordern, wogegen der Upstream-Router bei der vorliegenden Lösung dem Opfer Abwehrmaßnahmen vorschlägt. Das Opfer kann dann entscheiden, ob es die vorgeschlagenen Mittel annimmt oder ablehnt.
- Dieser Gegenstand wird durch ein Verfahren, das die Merkmale aus Anspruch 1 aufweist, sowie durch ein System gelöst, das die Merkmale aus Anspruch 12 aufweist. Vorteilhafte Ausführungsvarianten der Erfindung werden in den entsprechenden abhängigen Ansprüchen definiert.
- Kurze Beschreibung der Zeichnungen
- Die Erfindung wird im Folgenden in Bezug auf die beiliegenden Zeichnungen genauer beschrieben, wobei:
-
1 ein typisches Router-Szenario darstellt; -
2 ein Szenario darstellt, in dem ein möglicher Angriff erfasst und dem Opfer eine Meldung zugesandt wird; -
3 ein Szenario darstellt, in dem die Meldung bestätigt und dem Router eine Lösung vorgeschlagen wird; und -
4 die Implementierung der neuen Policy darstellt, wobei der Verkehr an das Opfer temporär unterbrochen wird. - Detaillierte Beschreibung der Erfindung
- Wie in den Abbildungen dargestellt, berücksichtigt die vorliegende Erfindung eine Umgebung, in der der Router an der Kante des Internet den Verkehr an einzelne Stationen
14 leitet, wie dem Fachmann bekannt ist. In der vorliegenden Implementierung ist der Router12 , im Gegensatz zum derzeitigen Stand der Technik, mit Mitteln zur Analyse des Datenflusses an jeden Downstream-Knoten und zur Erfassung von Veränderungen des Verkehrsmusters ausgerüstet, die auf einen laufenden Angriff hinweisen könnten. Wenn ein Angriff erfasst wird, wird dem potenziellen Opfer vom Router eine Meldung übermittelt, z. B. eine RUOK-Abfragemeldung (Are you ok?). Dies ist in2 dargestellt. Das Opfer kann entweder bestätigen, dass derzeit ein Angriff läuft, oder eigene Untersuchungen anstellen, um zu ermitteln, ob die Meldung korrekt ist. Ist diese korrekt, kann es dem Router entweder ein Abwehrmittel gegen den Angriff vorschlagen oder den Router einfach anweisen, eine bekannte Maßnahme zu implementieren. In beiden Fällen ergreift der Router nach dem Empfang der Meldung die entsprechende Maßnahme. - Die in der vorliegenden Erfindung vorgeschlagene Lösung ist speziell für die Abwehr vor Paketüberflutungsangriffen konzipiert. Während das Opfer bei Lösungen nach dem derzeitigen Stand der Technik einen Abwehrmechanismus veranlassen musste, der vom Router freigegeben wurde, schlägt der Router in der vorliegenden Erfindung dem Opfer Lösungen vor.
- Um diese Lösung zu implementieren, analysiert der Router den ihn passierenden Verkehr auf mögliche schädliche oder verdächtige Daten. Der Router prüft zudem die Ressourcenauslastung für jeden Ausgangsport. Werden irgendwelche Abnormitäten erfasst, wird vom Router eine Abfragemeldung (RUOK), in der die Anomalie dokumentiert wird, an das potenzielle Opfer gesandt. Die Meldung kann zudem ein Zufallswort oder eine andere Authentifizierungsinformation enthalten, die dem Router die Möglichkeit gibt, die Antworten auf die RUOK-Meldung mit der ursprünglichen Anfrage abzugleichen. Dies macht es für böswillige Angreifer zudem schwieriger, die Identität des Opfers zu übernehmen oder eine Zufallsabwehr für mit dem Router verbundene Hosts einzuleiten.
- Ist der Router in der Lage, die Ursache zu ermitteln, kann die RUOK-Meldung eine vorgeschlagene Maßnahme beinhalten, um die Situation zu beheben. Dies könnte beispielsweise Sperrvorschriften oder bestimmte Formen der Geschwindigkeitseinschränkung beinhalten. Andernfalls enthält die RUOK-Meldung einfach nur eine Mitteilung über das verdächtige Verhalten.
- Der Host, d. h. der Downstream-Knoten, kann sich dafür entscheiden, auf die RUOK-Protokollmeldungen zu antworten. Eine RUOK-Antwort würde aus dem erforderlichen Mittel, das implementiert werden soll, und der Zeitdauer, die das Mittel eingesetzt werden soll, bestehen. Die Zeitdauer sollte begrenzt sein. Waren in der ursprünglichen Meldung Authentifizierungsinformationen enthalten, müssen diese auch in der Antwort enthalten sein. Bei Hosts, die das RUOK-Protokoll nicht implementieren oder die sich dafür entscheiden, die Meldung zu ignorieren, erfolgen keine Änderungen an der Verkehrs-Policy.
- Die einfachsten Implementierungen durch den Host würden das vom Router vorgeschlagene Mittel einfach nur annehmen oder ablehnen. Weiter entwickelte Implementierungen können die Prüfung der offenen Ports, der erforderlichen Ressourcen etc. beinhalten. Anhand der durch die Selbstanalyse gewonnenen Informationen kann der Host anschließend das vom Router vorgeschlagene Mittel gegebenenfalls ändern oder sogar ablehnen.
- Nach dem Empfang einer Antwort des Hosts prüft der Router das Zufallswort. Ist das Zufallswort akzeptabel, werden die in der Antwortmeldung enthaltenen Maßnahmen für den angegebenen Zeitraum implementiert.
- Es ist auch möglich, dieses Verfahren zu nutzen, um Meldungen zwischen Routern auszutauschen. Wenn beispielsweise ein Core-Router einen Angriff an einer seiner Schnittstellen erfasst, könnte er eine RUOK-Meldung an einen Kantenrouter senden. Erfasst der Kantenrouter einen Angriff entweder durch weitere RUOK-Anfragen oder durch Selbstanalyse, kann er die von dem Core-Router umgesetzten Abwehrmechanismen abfragen.
- Ein Vorteil dieses Verfahrens besteht darin, dass die Technologie der Public Key-Infrastruktur nicht erforderlich ist. Der Authentifizierungsmechanismus ist sehr einfach (Zufallswort), schränkt jedoch den Missbrauch des Systems durch böswillige Nutzer aufgrund der Tatsache ein, dass der Router selbst den Prozess einleitet. Ein System muss einem Angriff ausgesetzt sein oder zumindest muss der Verdacht dafür bestehen, ehe Meldungen zwischen Routern und Opfern ausgetauscht werden können.
- Bei Systemen nach dem derzeitigen Stand der Technik geht man davon aus, dass die Opfer in der Lage sind, geeignete Gegenmaßnahmen zu ergreifen, wenn ein Angriff vorliegt, in manchen Fällen verfügen sie jedoch gegebenenfalls nicht über die Ressourcen, die für eine solche Entscheidung erforderlich sind. Bei dieser Lösung können hochintelligente Router dem Host Expertenvorschläge als Reaktionsmechanismen gegen einen Angriff unterbreiten. In einer Situation, in der der Host über eine effektivere Maßnahme gegen einen Angriff verfügt, steht es ihm immer noch frei, den Vorschlag des Routers für seinen Bedarf zu modifizieren.
- Dies ist ein Vorteil für die Netzbetreiber, da sie dem Endnutzer ermöglichen können, die Verantwortung für die Freigabe oder Ablehnung von möglichen Abwehrverfahren innerhalb des Routers zu übernehmen.
- Obwohl es sich bei dem hier vorgeschlagenen Authentifizierungsverfahren nicht um ein starkes Verfahren handelt, wie es bei PKI der Fall wäre, ist die Authentifizierung per Zufallswort aufgrund des erheblichen Ressourcen-Overheads, der für PKI erforderlich ist, für diese Anwendung „gut genug".
- Wenn der Router einen ihn durchlaufenden Angriff nicht erkennt, kann kein Abwehrmechanismus freigegeben werden, da dem Opfer keine Abfragemeldung übermittelt wird. In diesem Fall ist das Opfer in keiner besseren oder schlechteren Lage als ohne diesen Mechanismus.
- Es ist auch möglich, dass der Router einen ihn durchlaufenden Angriff falsch einschätzt und eine Anfragemeldung an das mögliche Opfer sendet. In diesem Fall könnte eine einfache Host-Implementierung das vorgeschlagene Mittel bestätigen und schließlich legitimen Nutzern den Zugriff verwehren. Komplexere Host-Implementierungen können in der Lage sein, die vorgeschlagenen Maßnahmen zu überschreiben und das Problem auf diese Weise verhindern.
- Obwohl bestimmte Ausführungsvarianten der Erfindung beschrieben und dargestellt werden können, ist es für den Fachmann offensichtlich, dass zahlreiche Änderungen vorgenommen werden können, ohne vom Umfang des grundlegenden Konzepts der Erfindung abzuweichen. Es versteht sich jedoch von selbst, dass solche Änderungen in vollem Umfang in den Rahmen der Erfindung, der in den beiliegenden Ansprüchen definiert wird, fallen.
Claims (14)
- Ein Verfahren zur Abwehr eines Diensteverweigerungsangriffs, DOS, in einem ersten Knoten (
14 ) in einem Datenkommunikationsnetz, dadurch gekennzeichnet, dass es die folgenden Schritte umfasst: a) Erfassung eines Verkehrsmusters in einem zweiten Knoten (12 ), der vor dem ersten Knoten (14 ) angeordnet ist, das auf einen möglichen DoS-Angriff auf den ersten Knoten (14 ) hinweist; b) Senden einer Mitteilung über den möglichen Angriff vom zweiten Knoten (12 ) an den ersten Knoten (14 ); und c) wenn der genannte erste Knoten (14 ) einen laufenden DoS-Angriff identifiziert, Übertragung einer Antwort auf die genannte Mitteilung vom ersten Knoten (14 ) an den zweiten Knoten (12 ), in der der genannte zweite Knoten (12 ) angewiesen wird, eine Maßnahme zur Angriffsabwehr auszuführen; und d) Implementierung der genannten Maßnahme zur Angriffsabwehr im zweiten Knoten (12 ) zur Abwehr des Angriffs auf den ersten Knoten (14 ). - Das Verfahren aus Anspruch 1, wobei Schritt a) die Analyse des Verkehrs umfasst, der den genannten zweiten Knoten (
14 ) passiert, um ein Verkehrsmuster zu erfassen, das auf einen möglichen DoS-Angriff auf den genannten ersten Knoten (12 ) hinweist. - Das Verfahren aus Anspruch 1 oder 2, wobei Schritt a) die Prüfung der Ressourcenauslastung für die Ausgangsports des genannten zweiten Knotens umfasst, um Verkehrsmuster zu erfassen, die auf einen möglichen DoS-Angriff hinweisen.
- Das Verfahren gemäß der Definition in einem der Ansprüche 1 bis 3, wobei die Mitteilung vom zweiten Knoten (
12 ) ein Zufallswort oder eine andere Authentifizierungsinformation umfasst, anhand der die Antwort des ersten Knotens (14 ) überprüft werden kann. - Das Verfahren gemäß der Definition in einem der Ansprüche 1 bis 3, wobei die Mitteilung vom zweiten Knoten (
12 ) einen Vorschlag für eine Maßnahme zur Angriffsabwehr umfasst. - Das Verfahren gemäß der Definition in einem der Ansprüche 1 bis 3, wobei die Antwort des ersten Knotens (
14 ) an den zweiten Knoten (12 ) eine Maßnahme zur Angriffsabwehr umfasst. - Das Verfahren gemäß der Definition in einem der Ansprüche 1 bis 6, wobei die Antwort des ersten Knotens (
14 ) an den zweiten Knoten (12 ) die Zeitspanne für die Implementierung der Abwehrmaßnahme umfasst. - Das Verfahren aus Anspruch 2, wobei Schritt c) Folgendes umfasst: – Als Antwort auf die genannte Mitteilung, die Bestätigung, dass am genannten ersten Knoten (
14 ) ein DoS-Angriff vorliegt; – Ermittlung, ob die genannte Mitteilung einen Vorschlag für eine Maßnahme zur Angriffsabwehr umfasst; – Wenn die genannte Mitteilung einen Vorschlag für eine Maßnahme zur Angriffsabwehr umfasst, Feststellung, ob die genannte Maßnahme zur Angriffsabwehr geeignet ist, den genannten DoS-Angriff abzuwehren; und – Anweisung des genannten zweiten Knotens (12 ) in der genannten Antwort, den genannten Vorschlag für ein Abwehrverfahren zu implementieren, wenn der genannte Vorschlag für eine Maßnahme zur Angriffsabwehr geeignet ist, den genannten DoS-Angriff abzuwehren. - Das Verfahren aus Anspruch 2, wobei Schritt c) Folgendes umfasst: – Als Antwort auf die genannte Mitteilung, Feststellung, dass der genannte DoS-Angriff an dem genannten ersten Knoten (
14 ) vorliegt; – Ermittlung, ob die genannte Mitteilung einen Vorschlag für eine Maßnahme zur Angriffsabwehr umfasst; – Wenn die genannte Mitteilung einen Vorschlag für eine Maßnahme zur Angriffsabwehr umfasst, Feststellung, ob der genannte Vorschlag für eine Maßnahme zur Angriffsabwehr geeignet ist, den genannten DoS-Angriff abzuwehren; und – Wenn der genannte erste Knoten (14 ) bestätigt, dass der genannte Vorschlag für eine Maßnahme zur Angriffsabwehr nicht geeignet ist, den genannten DoS-Angriff abzuwehren, Anweisung des genannten zweiten Knotens (12 ), das von dem genannten ersten Knoten (14 ) erstellte Abwehrverfahren zu implementieren. - Das Verfahren aus Anspruch 1, wobei es sich bei dem genannten zweiten Knoten (
12 ) um einen Router handelt, der eine Vielzahl von ersten Knoten (14 ) mit dem Internet verbindet. - Das Verfahren aus Anspruch 1, wobei es sich bei den genannten ersten (
14 ) und zweiten Knoten (12 ) um Router handelt. - Ein System zur Abwehr eines Diensteverweigerungsangriffs (DoS) auf einen ersten Knoten (
14 ) in einem Datenkommunikationsnetz, dadurch gekennzeichnet, dass es in einem zweiten Knoten (12 ), der upstream vor dem ersten Knoten (14 ) angeordnet ist, Folgendes umfasst: Mittel zur Erfassung eines Verkehrsmusters, das auf einen möglichen DoS-Angriff auf den ersten Knoten (14 ) hinweist; Mittel zum Senden einer Mitteilung über den möglichen Angriff von dem zweiten Knoten (12 ) an den ersten Knoten (14 ); und Mittel zur Implementierung einer Maßnahme zur Angriffsabwehr, um einen DoS-Angriff auf den ersten Knoten (14 ) abzuwehren, und zwar als Reaktion auf den ersten Knoten (14 ), der den DoS-Angriff bestätigt und die genannte Maßnahme zur Angriffsabwehr identifiziert. - Das System aus Anspruch 12, wobei der genannte erste Knoten (
14 ) Folgendes umfasst: Mittel im ersten Knoten (14 ) zum Empfang von Informationen von einem zweiten Knoten (12 ), der upstream vor dem genannten ersten Knoten (14 ) angeordnet ist, die auf einen möglichen DoS-Angriff auf den ersten Knoten (14 ) hinweisen; Mittel im ersten Knoten (14 ) zur Feststellung, ob die Informationen gültig sind; und Mittel zur Reaktion auf den ersten Knoten (12 ). - Das System gemäß der Definition in Anspruch 13, wobei der erste Knoten (
14 ) Informationen in Bezug auf eine Maßnahme zur Angriffsabwehr liefert.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US659341 | 2003-09-11 | ||
US10/659,341 US7254713B2 (en) | 2003-09-11 | 2003-09-11 | DOS attack mitigation using upstream router suggested remedies |
Publications (2)
Publication Number | Publication Date |
---|---|
DE602004011864D1 DE602004011864D1 (de) | 2008-04-03 |
DE602004011864T2 true DE602004011864T2 (de) | 2009-02-12 |
Family
ID=34194701
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE602004011864T Active DE602004011864T2 (de) | 2003-09-11 | 2004-09-10 | Die DOS Angriffsmitigation mit vorgeschlagenen Mitteln von upstream Router |
Country Status (4)
Country | Link |
---|---|
US (1) | US7254713B2 (de) |
EP (1) | EP1519541B1 (de) |
AT (1) | ATE387056T1 (de) |
DE (1) | DE602004011864T2 (de) |
Families Citing this family (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8510834B2 (en) * | 2006-10-09 | 2013-08-13 | Radware, Ltd. | Automatic signature propagation network |
US8009559B1 (en) * | 2008-08-28 | 2011-08-30 | Juniper Networks, Inc. | Global flow tracking system |
US8458769B2 (en) | 2009-12-12 | 2013-06-04 | Akamai Technologies, Inc. | Cloud based firewall system and service |
EP2807574A4 (de) | 2012-01-24 | 2015-11-18 | L 3 Comm Corp | Verfahren und vorrichtung zur verwaltung von netzwerkverkehr |
US11095665B2 (en) * | 2012-08-31 | 2021-08-17 | Fastly, Inc. | User access rate limiting among content delivery nodes |
US9215248B1 (en) * | 2012-08-31 | 2015-12-15 | Fastly Inc. | User access rate limiting among content delivery nodes |
US9225735B1 (en) * | 2013-12-23 | 2015-12-29 | Symantec Corporation | Systems and methods for blocking flanking attacks on computing systems |
US9973472B2 (en) | 2015-04-02 | 2018-05-15 | Varmour Networks, Inc. | Methods and systems for orchestrating physical and virtual switches to enforce security boundaries |
US9774611B1 (en) * | 2014-03-11 | 2017-09-26 | Amazon Technologies, Inc. | Dynamically deploying a network traffic filter |
WO2016130430A1 (en) * | 2015-02-11 | 2016-08-18 | Arris Enterprises, Inc. | Wireless video performance self-monitoring and alert system |
US9438634B1 (en) | 2015-03-13 | 2016-09-06 | Varmour Networks, Inc. | Microsegmented networks that implement vulnerability scanning |
US9294442B1 (en) | 2015-03-30 | 2016-03-22 | Varmour Networks, Inc. | System and method for threat-driven security policy controls |
US10193929B2 (en) | 2015-03-13 | 2019-01-29 | Varmour Networks, Inc. | Methods and systems for improving analytics in distributed networks |
US9467476B1 (en) | 2015-03-13 | 2016-10-11 | Varmour Networks, Inc. | Context aware microsegmentation |
US10178070B2 (en) | 2015-03-13 | 2019-01-08 | Varmour Networks, Inc. | Methods and systems for providing security to distributed microservices |
US9380027B1 (en) | 2015-03-30 | 2016-06-28 | Varmour Networks, Inc. | Conditional declarative policies |
US9525697B2 (en) * | 2015-04-02 | 2016-12-20 | Varmour Networks, Inc. | Delivering security functions to distributed networks |
US9483317B1 (en) | 2015-08-17 | 2016-11-01 | Varmour Networks, Inc. | Using multiple central processing unit cores for packet forwarding in virtualized networks |
US10171492B2 (en) * | 2016-06-24 | 2019-01-01 | Fortinet, Inc. | Denial-of-service (DoS) mitigation based on health of protected network device |
US10673890B2 (en) | 2017-05-30 | 2020-06-02 | Akamai Technologies, Inc. | Systems and methods for automatically selecting an access control entity to mitigate attack traffic |
US11310201B2 (en) | 2018-10-23 | 2022-04-19 | Akamai Technologies, Inc. | Network security system with enhanced traffic analysis based on feedback loop |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5794047A (en) * | 1994-09-29 | 1998-08-11 | International Business Machines Corporation | Method of walking-up a call stack for a client/server program that uses remote procedure call |
DE60110792T2 (de) | 2000-06-30 | 2006-02-23 | British Telecommunications P.L.C. | Paketkommunikationssystem |
US20030005090A1 (en) | 2001-06-30 | 2003-01-02 | Sullivan Robert R. | System and method for integrating network services |
US7028179B2 (en) * | 2001-07-03 | 2006-04-11 | Intel Corporation | Apparatus and method for secure, automated response to distributed denial of service attacks |
-
2003
- 2003-09-11 US US10/659,341 patent/US7254713B2/en active Active
-
2004
- 2004-09-10 AT AT04300593T patent/ATE387056T1/de not_active IP Right Cessation
- 2004-09-10 DE DE602004011864T patent/DE602004011864T2/de active Active
- 2004-09-10 EP EP04300593A patent/EP1519541B1/de not_active Not-in-force
Also Published As
Publication number | Publication date |
---|---|
US20050060573A1 (en) | 2005-03-17 |
DE602004011864D1 (de) | 2008-04-03 |
ATE387056T1 (de) | 2008-03-15 |
EP1519541B1 (de) | 2008-02-20 |
EP1519541A1 (de) | 2005-03-30 |
US7254713B2 (en) | 2007-08-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE602004011864T2 (de) | Die DOS Angriffsmitigation mit vorgeschlagenen Mitteln von upstream Router | |
DE60312235T2 (de) | Verfahren und system zur eindringverhinderung und ablenkung | |
DE102005037968B4 (de) | Schutzsystem für eine Netzwerkinformationssicherheitszone | |
DE10249888B4 (de) | Knoten eines Netzes, das ein Einbruchserfassungssystem betreibt, Verfahren zum Ausführen einer Einbruchsprävention an einem Knoten eines Netzes, sowie computerlesbares Medium | |
DE19740547B4 (de) | Vorrichtung und Verfahren zum Sicherstellen sicherer Kommunikation zwischen einer anfordernden Entität und einer bedienenden Entität | |
DE10394008B4 (de) | System und Verfahren zum Detektieren und Nachverfolgen von Denial of Service-Angriffen | |
DE60307581T2 (de) | Verbessertes geheimes Hashen der TCP SYN/FIN-Korrespondenz | |
DE10249887A1 (de) | Verfahren, computerlesbares Medium und Knoten für ein dreischichtiges Einbruchspräventionssystem zur Erfassung von Netzausbeutungen | |
EP3192226B1 (de) | Vorrichtung und verfahren zur steuerung eines kommunikationsnetzwerks | |
DE602004002198T2 (de) | Verfahren und Vorrichtung zur Verhinderung von Angriffen auf einen Call-Server | |
DE10249843A1 (de) | Verfahren und computerlesbares Medium zum Unterdrücken einer Ausführung von Signaturdateianweisung während einer Netzwerkausbeutung | |
DE102014107793B4 (de) | Verfahren zur Weiterleitung von Daten zwischen Computersystemen, Computernetz-Infrastruktur sowie Computerprogramm-Produkt | |
EP3318033B1 (de) | Anti-cracking verfahren mit hilfe eines vermittlungscomputer | |
DE60302003T2 (de) | Handhabung von zusammenhängenden Verbindungen in einer Firewall | |
DE102014101835A1 (de) | Verfahren zur Kommunikation zwischen abgesicherten Computersystemen sowie Computernetz-Infrastruktur | |
EP2987301B1 (de) | Überwachung der funktionalität einer netzwerkfiltereinrichtung | |
DE102019210226A1 (de) | Vorrichtung und Verfahren für Angriffserkennung in einem Kommunikationsnetzwerk | |
EP1464150B1 (de) | Verfahren, datenträger, computersystem und computerprogrammprodukt zur erkennung und abwehr von angriffen auf serversysteme von netzwerk-diensteanbietern und -betreibern | |
DE102015107071B3 (de) | Vorrichtung und Verfahren zur Steuerung eines Kommunikationsnetzwerks | |
DE102014109906B4 (de) | Verfahren zum Freischalten externer Computersysteme in einer Computernetz-Infrastruktur, verteiltes Rechnernetz mit einer solchen Computernetz-Infrastruktur sowie Computerprogramm-Produkt | |
DE102014112466A1 (de) | Verfahren zur Kommunikation zwischen abgesicherten Computersystemen, Computernetz-Infrastruktur sowie Computerprogramm-Produkt | |
DE60314813T2 (de) | Verfahren und Vorrichtung zur Erkennung von Denial-of-Service-Angriffen mittels Frequenzbereichanalyse | |
EP2186285B1 (de) | Verfahren und einrichtung zur authentisierung übertragener nutzdaten | |
DE102014017671B4 (de) | Verfahren zur Sicherung vernetzter Systeme | |
DE60313195T2 (de) | Verfahren, system und computerprogrammprodukt zum übertragen eines media-stroms zwischen client-endgeräten |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8364 | No opposition during term of opposition |