DE602004011864T2 - Die DOS Angriffsmitigation mit vorgeschlagenen Mitteln von upstream Router - Google Patents

Die DOS Angriffsmitigation mit vorgeschlagenen Mitteln von upstream Router Download PDF

Info

Publication number
DE602004011864T2
DE602004011864T2 DE602004011864T DE602004011864T DE602004011864T2 DE 602004011864 T2 DE602004011864 T2 DE 602004011864T2 DE 602004011864 T DE602004011864 T DE 602004011864T DE 602004011864 T DE602004011864 T DE 602004011864T DE 602004011864 T2 DE602004011864 T2 DE 602004011864T2
Authority
DE
Germany
Prior art keywords
node
attack
measure
dos
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE602004011864T
Other languages
English (en)
Other versions
DE602004011864D1 (de
Inventor
Scott David Ottawa D'Souza
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alcatel Lucent SAS
Original Assignee
Alcatel Lucent SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alcatel Lucent SAS filed Critical Alcatel Lucent SAS
Publication of DE602004011864D1 publication Critical patent/DE602004011864D1/de
Application granted granted Critical
Publication of DE602004011864T2 publication Critical patent/DE602004011864T2/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

  • Bereich der Erfindung
  • Die vorliegende Erfindung bezieht sich auf computerbasierte Kommunikationssysteme, wie beispielsweise das Internet, und insbesondere auf Systeme und Verfahren zur Abwehr gegen DoS-Angriffe (Diensteverweigerung) auf solche Systeme.
  • Hintergrund
  • Computerbasierte Kommunikationssysteme, und insbesondere das Internet sind anfällig für zahlreiche Arten von Sicherheitsangriffen. Zu solchen Angriffen gehören Diensteverweigerungsangriffe, bei denen ein oder mehrere Knoten im System aufgrund von übermäßigem Verkehr überlastet werden. In dieser Hinsicht beinhaltet ein Diensteangriff die Blockierung der Fähigkeit von Nutzern, einen bestimmten Dienst im Netz zu nutzen. DoS-Angriffe (Diensteverweigerung) kommen im Internet häufig vor, wobei viele Angriffe mit verschiedenen Zielen gestartet werden. Viele Angriffe beinhalten speziell konzipierte Pakete, die entweder Fehler in der Software nutzen oder Ressourcen innerhalb von Geräten belegen. Diese sind auch als Paketüberflutungsangriffe bekannt.
  • Bei einigen Paketüberflutungsangriffen, insbesondere bei der Bandbreitenbelegung, ist das Opfer nicht in der Lage, den Angriff abzuwehren. Das Opfer kann Mechanismen implementieren, um Systemabstürze zu verhindern, im Fall eines Bandbreitenangriffs kann es jedoch keinen gültigen Verkehr empfangen.
  • Es wurden und werden auf jeden Fall erhebliche Anstrengungen unternommen, um Verfahren und Systeme zur Bekämpfung von DoS-Angriffen zu entwickeln. Um Bekämpfungsmaßnahmen gegen einen Angriff zu implementieren, müssen die Maßnahmen upstream vor dem Opfer an einem Punkt implementiert werden, an dem der Angriffsverkehr weniger als 100% der eingehenden Daten ausmacht. Ein typisches Verfahren zur Reaktion auf einen Angriff auf ein Paketüberflutungsopfer bestünde darin, den Netzbetreiber außerhalb des Nutzkanals zu kontaktieren und gegebenenfalls eine Sperrvorschrift einzurichten, um den Verkehr des Angreifers abzuwehren, falls dies möglich ist.
  • Für eine Anfrage über den Nutzkanal, die an einen upstream angeordneten Netzbetreiber gesandt werden soll, muss das Opfer in der Lage sein, dem Betreiber gegenüber die Berechtigung für diese Anfrage nachzuweisen. Andernfalls könnte ein böswilliger Nutzer Diensteverweigerungen einfach nur dadurch verursachen, indem er einen Router anweist, bestimmte Adressen zu blockieren. Lösungen für dieses Problem nach dem gegenwärtigen Stand der Technik erfordern ein verschlüsseltes Messagingsystem, für das gegebenenfalls eine Public Key-Infrastruktur verwaltet werden muss.
  • In der Veröffentlichung von Mahajan, Ratul mit dem Titel „Controlling High Bandwidth Aggregates in the Network", AT&T Center for Research at ICSI (ACIRI) and AT&T Labs Research, 13. Juli 2001, wird eine Lösung vorgeschlagen, bei der ein Host ermittelt, dass er angegriffen wird und eine Meldung an einen Upstream-Router sendet, in der er aufgefordert wird, eine bestimmte Abwehr-Policy zu implementieren. Bei diesem Verfahren wird eine Überlastungssignatur erstellt und zur Sperrung an den Router weitergeleitet.
  • In Systemen, in dem sich das Opfer an einen Upstream-Router wenden muss, um einen Abwehrmechanismus einzuleiten, muss das Opfer in der Lage sein, dem Router gegenüber seine Identität nachzuweisen. Andernfalls könnte ein böswilliger Nutzer, wie oben erwähnt, Abwehrmechanismen gegen Nutzer veranlassen, die normal arbeiten, und auf diese Weise einen Diensteverweigerungsangriff herbeiführen.
  • Um dies zu verhindern, erfordern Lösungen nach dem gegenwärtigen Stand der Technik einen Authentifizierungsmechanismus zwischen den Nutzern und ihren Upstream-Routern. Für die ICMP-Rückverfolgung wird eine digitale Signatur eingesetzt. Für die Anzahl an Nutzern, die üblicherweise beteiligt sind (zu viele für eine „Shared Secret"-Verschlüsselung), besteht die häufig vorgeschlagene Lösung in der Implementierung einer Public Key-Infrastruktur. PKIs sind jedoch nicht einfach zu implementieren und erfordern einen erheblichen Ressourcen-Overhead.
  • Im Patent WO 03/005666 werden eine Vorrichtung und ein Verfahren für eine sichere, automatische Reaktion auf verteilte Diensteverweigerungsangriffe (DDoS) beschrieben. Das Verfahren umfasst insbesondere die Meldung eines DDoS-Angriffs, die von einem Internet-Host empfangen wird. Sobald diese vom Internet-Host empfangen wird, erstellt der Internet-Host eine Sicherheits-Authentifizierung des Upstream-Routers, von dem der Angriffsverkehr, der von einem oder mehreren Host-Computern übermittelt wurde, empfangen wurde. Der Internet-Host übermittelt anschließend Filter an den Upstream-Router, die auf der Basis der Eigenschaften des Angriffsverkehrs generiert wurden. Nach der Installation durch den Upstream-Router wird der Angriffsverkehr blockiert, um den DDoS-Angriff zu beenden. Zudem kann der Router einen oder mehrere Upstream- Router ermitteln, von denen der Angriffsverkehr empfangen wurde, und den/die Filter auf sichere Weise an die Upstream-Router weiterleiten, wenn ein Routing-Protokoll aktualisiert wird, um den Angriffsverkehr an einem Punkt zu blockieren, der näher an der Quelle des DDoS-Angriffs liegt.
  • Zusammenfassung der Erfindung
  • In der vorliegenden Erfindung wird eine Lösung vorgeschlagen, die dem Opfer eines Paketüberflutungsangriffs ermöglicht, die Auslösung eines Abwehrmechanismus mit Hilfe eines Nutzkanals mit leichter Authentifizierung zu veranlassen, bei dem es sich nicht um eine Public Key-Infrastruktur handeln muss. Die hier vorgeschlagene Lösung nutzt einen anderen Ansatz zur Bekämpfung von Paketüberflutungsangriffen. Bei Lösungen nach dem derzeitigen Stand der Technik muss das Opfer die Freigabe des Abwehrmechanismus bei einem Upstream-Router anfordern, wogegen der Upstream-Router bei der vorliegenden Lösung dem Opfer Abwehrmaßnahmen vorschlägt. Das Opfer kann dann entscheiden, ob es die vorgeschlagenen Mittel annimmt oder ablehnt.
  • Dieser Gegenstand wird durch ein Verfahren, das die Merkmale aus Anspruch 1 aufweist, sowie durch ein System gelöst, das die Merkmale aus Anspruch 12 aufweist. Vorteilhafte Ausführungsvarianten der Erfindung werden in den entsprechenden abhängigen Ansprüchen definiert.
  • Kurze Beschreibung der Zeichnungen
  • Die Erfindung wird im Folgenden in Bezug auf die beiliegenden Zeichnungen genauer beschrieben, wobei:
  • 1 ein typisches Router-Szenario darstellt;
  • 2 ein Szenario darstellt, in dem ein möglicher Angriff erfasst und dem Opfer eine Meldung zugesandt wird;
  • 3 ein Szenario darstellt, in dem die Meldung bestätigt und dem Router eine Lösung vorgeschlagen wird; und
  • 4 die Implementierung der neuen Policy darstellt, wobei der Verkehr an das Opfer temporär unterbrochen wird.
  • Detaillierte Beschreibung der Erfindung
  • Wie in den Abbildungen dargestellt, berücksichtigt die vorliegende Erfindung eine Umgebung, in der der Router an der Kante des Internet den Verkehr an einzelne Stationen 14 leitet, wie dem Fachmann bekannt ist. In der vorliegenden Implementierung ist der Router 12, im Gegensatz zum derzeitigen Stand der Technik, mit Mitteln zur Analyse des Datenflusses an jeden Downstream-Knoten und zur Erfassung von Veränderungen des Verkehrsmusters ausgerüstet, die auf einen laufenden Angriff hinweisen könnten. Wenn ein Angriff erfasst wird, wird dem potenziellen Opfer vom Router eine Meldung übermittelt, z. B. eine RUOK-Abfragemeldung (Are you ok?). Dies ist in 2 dargestellt. Das Opfer kann entweder bestätigen, dass derzeit ein Angriff läuft, oder eigene Untersuchungen anstellen, um zu ermitteln, ob die Meldung korrekt ist. Ist diese korrekt, kann es dem Router entweder ein Abwehrmittel gegen den Angriff vorschlagen oder den Router einfach anweisen, eine bekannte Maßnahme zu implementieren. In beiden Fällen ergreift der Router nach dem Empfang der Meldung die entsprechende Maßnahme.
  • Die in der vorliegenden Erfindung vorgeschlagene Lösung ist speziell für die Abwehr vor Paketüberflutungsangriffen konzipiert. Während das Opfer bei Lösungen nach dem derzeitigen Stand der Technik einen Abwehrmechanismus veranlassen musste, der vom Router freigegeben wurde, schlägt der Router in der vorliegenden Erfindung dem Opfer Lösungen vor.
  • Um diese Lösung zu implementieren, analysiert der Router den ihn passierenden Verkehr auf mögliche schädliche oder verdächtige Daten. Der Router prüft zudem die Ressourcenauslastung für jeden Ausgangsport. Werden irgendwelche Abnormitäten erfasst, wird vom Router eine Abfragemeldung (RUOK), in der die Anomalie dokumentiert wird, an das potenzielle Opfer gesandt. Die Meldung kann zudem ein Zufallswort oder eine andere Authentifizierungsinformation enthalten, die dem Router die Möglichkeit gibt, die Antworten auf die RUOK-Meldung mit der ursprünglichen Anfrage abzugleichen. Dies macht es für böswillige Angreifer zudem schwieriger, die Identität des Opfers zu übernehmen oder eine Zufallsabwehr für mit dem Router verbundene Hosts einzuleiten.
  • Ist der Router in der Lage, die Ursache zu ermitteln, kann die RUOK-Meldung eine vorgeschlagene Maßnahme beinhalten, um die Situation zu beheben. Dies könnte beispielsweise Sperrvorschriften oder bestimmte Formen der Geschwindigkeitseinschränkung beinhalten. Andernfalls enthält die RUOK-Meldung einfach nur eine Mitteilung über das verdächtige Verhalten.
  • Der Host, d. h. der Downstream-Knoten, kann sich dafür entscheiden, auf die RUOK-Protokollmeldungen zu antworten. Eine RUOK-Antwort würde aus dem erforderlichen Mittel, das implementiert werden soll, und der Zeitdauer, die das Mittel eingesetzt werden soll, bestehen. Die Zeitdauer sollte begrenzt sein. Waren in der ursprünglichen Meldung Authentifizierungsinformationen enthalten, müssen diese auch in der Antwort enthalten sein. Bei Hosts, die das RUOK-Protokoll nicht implementieren oder die sich dafür entscheiden, die Meldung zu ignorieren, erfolgen keine Änderungen an der Verkehrs-Policy.
  • Die einfachsten Implementierungen durch den Host würden das vom Router vorgeschlagene Mittel einfach nur annehmen oder ablehnen. Weiter entwickelte Implementierungen können die Prüfung der offenen Ports, der erforderlichen Ressourcen etc. beinhalten. Anhand der durch die Selbstanalyse gewonnenen Informationen kann der Host anschließend das vom Router vorgeschlagene Mittel gegebenenfalls ändern oder sogar ablehnen.
  • Nach dem Empfang einer Antwort des Hosts prüft der Router das Zufallswort. Ist das Zufallswort akzeptabel, werden die in der Antwortmeldung enthaltenen Maßnahmen für den angegebenen Zeitraum implementiert.
  • Es ist auch möglich, dieses Verfahren zu nutzen, um Meldungen zwischen Routern auszutauschen. Wenn beispielsweise ein Core-Router einen Angriff an einer seiner Schnittstellen erfasst, könnte er eine RUOK-Meldung an einen Kantenrouter senden. Erfasst der Kantenrouter einen Angriff entweder durch weitere RUOK-Anfragen oder durch Selbstanalyse, kann er die von dem Core-Router umgesetzten Abwehrmechanismen abfragen.
  • Ein Vorteil dieses Verfahrens besteht darin, dass die Technologie der Public Key-Infrastruktur nicht erforderlich ist. Der Authentifizierungsmechanismus ist sehr einfach (Zufallswort), schränkt jedoch den Missbrauch des Systems durch böswillige Nutzer aufgrund der Tatsache ein, dass der Router selbst den Prozess einleitet. Ein System muss einem Angriff ausgesetzt sein oder zumindest muss der Verdacht dafür bestehen, ehe Meldungen zwischen Routern und Opfern ausgetauscht werden können.
  • Bei Systemen nach dem derzeitigen Stand der Technik geht man davon aus, dass die Opfer in der Lage sind, geeignete Gegenmaßnahmen zu ergreifen, wenn ein Angriff vorliegt, in manchen Fällen verfügen sie jedoch gegebenenfalls nicht über die Ressourcen, die für eine solche Entscheidung erforderlich sind. Bei dieser Lösung können hochintelligente Router dem Host Expertenvorschläge als Reaktionsmechanismen gegen einen Angriff unterbreiten. In einer Situation, in der der Host über eine effektivere Maßnahme gegen einen Angriff verfügt, steht es ihm immer noch frei, den Vorschlag des Routers für seinen Bedarf zu modifizieren.
  • Dies ist ein Vorteil für die Netzbetreiber, da sie dem Endnutzer ermöglichen können, die Verantwortung für die Freigabe oder Ablehnung von möglichen Abwehrverfahren innerhalb des Routers zu übernehmen.
  • Obwohl es sich bei dem hier vorgeschlagenen Authentifizierungsverfahren nicht um ein starkes Verfahren handelt, wie es bei PKI der Fall wäre, ist die Authentifizierung per Zufallswort aufgrund des erheblichen Ressourcen-Overheads, der für PKI erforderlich ist, für diese Anwendung „gut genug".
  • Wenn der Router einen ihn durchlaufenden Angriff nicht erkennt, kann kein Abwehrmechanismus freigegeben werden, da dem Opfer keine Abfragemeldung übermittelt wird. In diesem Fall ist das Opfer in keiner besseren oder schlechteren Lage als ohne diesen Mechanismus.
  • Es ist auch möglich, dass der Router einen ihn durchlaufenden Angriff falsch einschätzt und eine Anfragemeldung an das mögliche Opfer sendet. In diesem Fall könnte eine einfache Host-Implementierung das vorgeschlagene Mittel bestätigen und schließlich legitimen Nutzern den Zugriff verwehren. Komplexere Host-Implementierungen können in der Lage sein, die vorgeschlagenen Maßnahmen zu überschreiben und das Problem auf diese Weise verhindern.
  • Obwohl bestimmte Ausführungsvarianten der Erfindung beschrieben und dargestellt werden können, ist es für den Fachmann offensichtlich, dass zahlreiche Änderungen vorgenommen werden können, ohne vom Umfang des grundlegenden Konzepts der Erfindung abzuweichen. Es versteht sich jedoch von selbst, dass solche Änderungen in vollem Umfang in den Rahmen der Erfindung, der in den beiliegenden Ansprüchen definiert wird, fallen.

Claims (14)

  1. Ein Verfahren zur Abwehr eines Diensteverweigerungsangriffs, DOS, in einem ersten Knoten (14) in einem Datenkommunikationsnetz, dadurch gekennzeichnet, dass es die folgenden Schritte umfasst: a) Erfassung eines Verkehrsmusters in einem zweiten Knoten (12), der vor dem ersten Knoten (14) angeordnet ist, das auf einen möglichen DoS-Angriff auf den ersten Knoten (14) hinweist; b) Senden einer Mitteilung über den möglichen Angriff vom zweiten Knoten (12) an den ersten Knoten (14); und c) wenn der genannte erste Knoten (14) einen laufenden DoS-Angriff identifiziert, Übertragung einer Antwort auf die genannte Mitteilung vom ersten Knoten (14) an den zweiten Knoten (12), in der der genannte zweite Knoten (12) angewiesen wird, eine Maßnahme zur Angriffsabwehr auszuführen; und d) Implementierung der genannten Maßnahme zur Angriffsabwehr im zweiten Knoten (12) zur Abwehr des Angriffs auf den ersten Knoten (14).
  2. Das Verfahren aus Anspruch 1, wobei Schritt a) die Analyse des Verkehrs umfasst, der den genannten zweiten Knoten (14) passiert, um ein Verkehrsmuster zu erfassen, das auf einen möglichen DoS-Angriff auf den genannten ersten Knoten (12) hinweist.
  3. Das Verfahren aus Anspruch 1 oder 2, wobei Schritt a) die Prüfung der Ressourcenauslastung für die Ausgangsports des genannten zweiten Knotens umfasst, um Verkehrsmuster zu erfassen, die auf einen möglichen DoS-Angriff hinweisen.
  4. Das Verfahren gemäß der Definition in einem der Ansprüche 1 bis 3, wobei die Mitteilung vom zweiten Knoten (12) ein Zufallswort oder eine andere Authentifizierungsinformation umfasst, anhand der die Antwort des ersten Knotens (14) überprüft werden kann.
  5. Das Verfahren gemäß der Definition in einem der Ansprüche 1 bis 3, wobei die Mitteilung vom zweiten Knoten (12) einen Vorschlag für eine Maßnahme zur Angriffsabwehr umfasst.
  6. Das Verfahren gemäß der Definition in einem der Ansprüche 1 bis 3, wobei die Antwort des ersten Knotens (14) an den zweiten Knoten (12) eine Maßnahme zur Angriffsabwehr umfasst.
  7. Das Verfahren gemäß der Definition in einem der Ansprüche 1 bis 6, wobei die Antwort des ersten Knotens (14) an den zweiten Knoten (12) die Zeitspanne für die Implementierung der Abwehrmaßnahme umfasst.
  8. Das Verfahren aus Anspruch 2, wobei Schritt c) Folgendes umfasst: – Als Antwort auf die genannte Mitteilung, die Bestätigung, dass am genannten ersten Knoten (14) ein DoS-Angriff vorliegt; – Ermittlung, ob die genannte Mitteilung einen Vorschlag für eine Maßnahme zur Angriffsabwehr umfasst; – Wenn die genannte Mitteilung einen Vorschlag für eine Maßnahme zur Angriffsabwehr umfasst, Feststellung, ob die genannte Maßnahme zur Angriffsabwehr geeignet ist, den genannten DoS-Angriff abzuwehren; und – Anweisung des genannten zweiten Knotens (12) in der genannten Antwort, den genannten Vorschlag für ein Abwehrverfahren zu implementieren, wenn der genannte Vorschlag für eine Maßnahme zur Angriffsabwehr geeignet ist, den genannten DoS-Angriff abzuwehren.
  9. Das Verfahren aus Anspruch 2, wobei Schritt c) Folgendes umfasst: – Als Antwort auf die genannte Mitteilung, Feststellung, dass der genannte DoS-Angriff an dem genannten ersten Knoten (14) vorliegt; – Ermittlung, ob die genannte Mitteilung einen Vorschlag für eine Maßnahme zur Angriffsabwehr umfasst; – Wenn die genannte Mitteilung einen Vorschlag für eine Maßnahme zur Angriffsabwehr umfasst, Feststellung, ob der genannte Vorschlag für eine Maßnahme zur Angriffsabwehr geeignet ist, den genannten DoS-Angriff abzuwehren; und – Wenn der genannte erste Knoten (14) bestätigt, dass der genannte Vorschlag für eine Maßnahme zur Angriffsabwehr nicht geeignet ist, den genannten DoS-Angriff abzuwehren, Anweisung des genannten zweiten Knotens (12), das von dem genannten ersten Knoten (14) erstellte Abwehrverfahren zu implementieren.
  10. Das Verfahren aus Anspruch 1, wobei es sich bei dem genannten zweiten Knoten (12) um einen Router handelt, der eine Vielzahl von ersten Knoten (14) mit dem Internet verbindet.
  11. Das Verfahren aus Anspruch 1, wobei es sich bei den genannten ersten (14) und zweiten Knoten (12) um Router handelt.
  12. Ein System zur Abwehr eines Diensteverweigerungsangriffs (DoS) auf einen ersten Knoten (14) in einem Datenkommunikationsnetz, dadurch gekennzeichnet, dass es in einem zweiten Knoten (12), der upstream vor dem ersten Knoten (14) angeordnet ist, Folgendes umfasst: Mittel zur Erfassung eines Verkehrsmusters, das auf einen möglichen DoS-Angriff auf den ersten Knoten (14) hinweist; Mittel zum Senden einer Mitteilung über den möglichen Angriff von dem zweiten Knoten (12) an den ersten Knoten (14); und Mittel zur Implementierung einer Maßnahme zur Angriffsabwehr, um einen DoS-Angriff auf den ersten Knoten (14) abzuwehren, und zwar als Reaktion auf den ersten Knoten (14), der den DoS-Angriff bestätigt und die genannte Maßnahme zur Angriffsabwehr identifiziert.
  13. Das System aus Anspruch 12, wobei der genannte erste Knoten (14) Folgendes umfasst: Mittel im ersten Knoten (14) zum Empfang von Informationen von einem zweiten Knoten (12), der upstream vor dem genannten ersten Knoten (14) angeordnet ist, die auf einen möglichen DoS-Angriff auf den ersten Knoten (14) hinweisen; Mittel im ersten Knoten (14) zur Feststellung, ob die Informationen gültig sind; und Mittel zur Reaktion auf den ersten Knoten (12).
  14. Das System gemäß der Definition in Anspruch 13, wobei der erste Knoten (14) Informationen in Bezug auf eine Maßnahme zur Angriffsabwehr liefert.
DE602004011864T 2003-09-11 2004-09-10 Die DOS Angriffsmitigation mit vorgeschlagenen Mitteln von upstream Router Active DE602004011864T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US659341 2003-09-11
US10/659,341 US7254713B2 (en) 2003-09-11 2003-09-11 DOS attack mitigation using upstream router suggested remedies

Publications (2)

Publication Number Publication Date
DE602004011864D1 DE602004011864D1 (de) 2008-04-03
DE602004011864T2 true DE602004011864T2 (de) 2009-02-12

Family

ID=34194701

Family Applications (1)

Application Number Title Priority Date Filing Date
DE602004011864T Active DE602004011864T2 (de) 2003-09-11 2004-09-10 Die DOS Angriffsmitigation mit vorgeschlagenen Mitteln von upstream Router

Country Status (4)

Country Link
US (1) US7254713B2 (de)
EP (1) EP1519541B1 (de)
AT (1) ATE387056T1 (de)
DE (1) DE602004011864T2 (de)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8510834B2 (en) * 2006-10-09 2013-08-13 Radware, Ltd. Automatic signature propagation network
US8009559B1 (en) * 2008-08-28 2011-08-30 Juniper Networks, Inc. Global flow tracking system
US8458769B2 (en) 2009-12-12 2013-06-04 Akamai Technologies, Inc. Cloud based firewall system and service
EP2807574A4 (de) 2012-01-24 2015-11-18 L 3 Comm Corp Verfahren und vorrichtung zur verwaltung von netzwerkverkehr
US11095665B2 (en) * 2012-08-31 2021-08-17 Fastly, Inc. User access rate limiting among content delivery nodes
US9215248B1 (en) * 2012-08-31 2015-12-15 Fastly Inc. User access rate limiting among content delivery nodes
US9225735B1 (en) * 2013-12-23 2015-12-29 Symantec Corporation Systems and methods for blocking flanking attacks on computing systems
US9973472B2 (en) 2015-04-02 2018-05-15 Varmour Networks, Inc. Methods and systems for orchestrating physical and virtual switches to enforce security boundaries
US9774611B1 (en) * 2014-03-11 2017-09-26 Amazon Technologies, Inc. Dynamically deploying a network traffic filter
WO2016130430A1 (en) * 2015-02-11 2016-08-18 Arris Enterprises, Inc. Wireless video performance self-monitoring and alert system
US9438634B1 (en) 2015-03-13 2016-09-06 Varmour Networks, Inc. Microsegmented networks that implement vulnerability scanning
US9294442B1 (en) 2015-03-30 2016-03-22 Varmour Networks, Inc. System and method for threat-driven security policy controls
US10193929B2 (en) 2015-03-13 2019-01-29 Varmour Networks, Inc. Methods and systems for improving analytics in distributed networks
US9467476B1 (en) 2015-03-13 2016-10-11 Varmour Networks, Inc. Context aware microsegmentation
US10178070B2 (en) 2015-03-13 2019-01-08 Varmour Networks, Inc. Methods and systems for providing security to distributed microservices
US9380027B1 (en) 2015-03-30 2016-06-28 Varmour Networks, Inc. Conditional declarative policies
US9525697B2 (en) * 2015-04-02 2016-12-20 Varmour Networks, Inc. Delivering security functions to distributed networks
US9483317B1 (en) 2015-08-17 2016-11-01 Varmour Networks, Inc. Using multiple central processing unit cores for packet forwarding in virtualized networks
US10171492B2 (en) * 2016-06-24 2019-01-01 Fortinet, Inc. Denial-of-service (DoS) mitigation based on health of protected network device
US10673890B2 (en) 2017-05-30 2020-06-02 Akamai Technologies, Inc. Systems and methods for automatically selecting an access control entity to mitigate attack traffic
US11310201B2 (en) 2018-10-23 2022-04-19 Akamai Technologies, Inc. Network security system with enhanced traffic analysis based on feedback loop

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5794047A (en) * 1994-09-29 1998-08-11 International Business Machines Corporation Method of walking-up a call stack for a client/server program that uses remote procedure call
DE60110792T2 (de) 2000-06-30 2006-02-23 British Telecommunications P.L.C. Paketkommunikationssystem
US20030005090A1 (en) 2001-06-30 2003-01-02 Sullivan Robert R. System and method for integrating network services
US7028179B2 (en) * 2001-07-03 2006-04-11 Intel Corporation Apparatus and method for secure, automated response to distributed denial of service attacks

Also Published As

Publication number Publication date
US20050060573A1 (en) 2005-03-17
DE602004011864D1 (de) 2008-04-03
ATE387056T1 (de) 2008-03-15
EP1519541B1 (de) 2008-02-20
EP1519541A1 (de) 2005-03-30
US7254713B2 (en) 2007-08-07

Similar Documents

Publication Publication Date Title
DE602004011864T2 (de) Die DOS Angriffsmitigation mit vorgeschlagenen Mitteln von upstream Router
DE60312235T2 (de) Verfahren und system zur eindringverhinderung und ablenkung
DE102005037968B4 (de) Schutzsystem für eine Netzwerkinformationssicherheitszone
DE10249888B4 (de) Knoten eines Netzes, das ein Einbruchserfassungssystem betreibt, Verfahren zum Ausführen einer Einbruchsprävention an einem Knoten eines Netzes, sowie computerlesbares Medium
DE19740547B4 (de) Vorrichtung und Verfahren zum Sicherstellen sicherer Kommunikation zwischen einer anfordernden Entität und einer bedienenden Entität
DE10394008B4 (de) System und Verfahren zum Detektieren und Nachverfolgen von Denial of Service-Angriffen
DE60307581T2 (de) Verbessertes geheimes Hashen der TCP SYN/FIN-Korrespondenz
DE10249887A1 (de) Verfahren, computerlesbares Medium und Knoten für ein dreischichtiges Einbruchspräventionssystem zur Erfassung von Netzausbeutungen
EP3192226B1 (de) Vorrichtung und verfahren zur steuerung eines kommunikationsnetzwerks
DE602004002198T2 (de) Verfahren und Vorrichtung zur Verhinderung von Angriffen auf einen Call-Server
DE10249843A1 (de) Verfahren und computerlesbares Medium zum Unterdrücken einer Ausführung von Signaturdateianweisung während einer Netzwerkausbeutung
DE102014107793B4 (de) Verfahren zur Weiterleitung von Daten zwischen Computersystemen, Computernetz-Infrastruktur sowie Computerprogramm-Produkt
EP3318033B1 (de) Anti-cracking verfahren mit hilfe eines vermittlungscomputer
DE60302003T2 (de) Handhabung von zusammenhängenden Verbindungen in einer Firewall
DE102014101835A1 (de) Verfahren zur Kommunikation zwischen abgesicherten Computersystemen sowie Computernetz-Infrastruktur
EP2987301B1 (de) Überwachung der funktionalität einer netzwerkfiltereinrichtung
DE102019210226A1 (de) Vorrichtung und Verfahren für Angriffserkennung in einem Kommunikationsnetzwerk
EP1464150B1 (de) Verfahren, datenträger, computersystem und computerprogrammprodukt zur erkennung und abwehr von angriffen auf serversysteme von netzwerk-diensteanbietern und -betreibern
DE102015107071B3 (de) Vorrichtung und Verfahren zur Steuerung eines Kommunikationsnetzwerks
DE102014109906B4 (de) Verfahren zum Freischalten externer Computersysteme in einer Computernetz-Infrastruktur, verteiltes Rechnernetz mit einer solchen Computernetz-Infrastruktur sowie Computerprogramm-Produkt
DE102014112466A1 (de) Verfahren zur Kommunikation zwischen abgesicherten Computersystemen, Computernetz-Infrastruktur sowie Computerprogramm-Produkt
DE60314813T2 (de) Verfahren und Vorrichtung zur Erkennung von Denial-of-Service-Angriffen mittels Frequenzbereichanalyse
EP2186285B1 (de) Verfahren und einrichtung zur authentisierung übertragener nutzdaten
DE102014017671B4 (de) Verfahren zur Sicherung vernetzter Systeme
DE60313195T2 (de) Verfahren, system und computerprogrammprodukt zum übertragen eines media-stroms zwischen client-endgeräten

Legal Events

Date Code Title Description
8364 No opposition during term of opposition