EP2087688A2 - Dispositif de controle de paquets, pour un routeur d'un reseau de communication, en vue du routage de paquets suspects vers des equipements d'analyse dedies - Google Patents

Dispositif de controle de paquets, pour un routeur d'un reseau de communication, en vue du routage de paquets suspects vers des equipements d'analyse dedies

Info

Publication number
EP2087688A2
EP2087688A2 EP07821869A EP07821869A EP2087688A2 EP 2087688 A2 EP2087688 A2 EP 2087688A2 EP 07821869 A EP07821869 A EP 07821869A EP 07821869 A EP07821869 A EP 07821869A EP 2087688 A2 EP2087688 A2 EP 2087688A2
Authority
EP
European Patent Office
Prior art keywords
packet
router
destination address
address
control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP07821869A
Other languages
German (de)
English (en)
Inventor
Olivier Marce
François TABURET
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alcatel Lucent SAS
Original Assignee
Alcatel Lucent SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alcatel Lucent SAS filed Critical Alcatel Lucent SAS
Publication of EP2087688A2 publication Critical patent/EP2087688A2/fr
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/60Router architectures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Definitions

  • the invention relates to communication networks capable of transmitting data packets, and more specifically the routing of packets within such networks.
  • Many communication devices, attached to communication networks, are the object, usually via the Internet, of computer attacks by means of attack traffic (consisting of data packets defining, for example, a virus, a to or Trojan horse) generated by malicious people.
  • attack traffic consisting of data packets defining, for example, a virus, a to or Trojan horse
  • IP destination address
  • packets traffic attack
  • attack detection system communication
  • IDS intrusion detection System
  • honeypot devices are typically connected to the Internet and each have an IP ("Internet Protocol”) address that is not usually made public. Therefore, any attempt to connect to such equipment is considered suspicious and a potential attack.
  • IP Internet Protocol
  • a first solution is to multiply the number of honeypot devices in the largest possible number of networks, so that each of them automatically receives attack traffic targeting its own IP address. But, such a solution is expensive and difficult to manage.
  • a second solution consists in making each honeypot type of equipment accessible by several IP addresses. This allows to receive numerous attacks, then to analyze them in the same equipment and to correlate the attacks.
  • a honeypot type of equipment can receive and analyze only attack traffic targeting an IP address of the network or networks for which it works. In order to be able to receive and analyze a large number of attack traffic, it must therefore be attached to several ⁇ multi-homed ⁇ networks, which requires that it can be reached by means of several different network addresses. This constraint strongly limits the ability of a honeypot-type device to scale up, since it is difficult to obtain for the same equipment multiple network accesses (this requires several links, possibly virtual).
  • honeypot-type device since the number of IP addresses of a honeypot device depends on the number of networks to which it is attached, its detection is facilitated. However, as soon as a honeypot-type device is detected, it becomes useless and it compromises the confidence that one can have in its analyzes since it can be the object of misleading attacks intended to overload it at the same time. time as the IDSs that it feeds into signatures.
  • a third solution is to implement in various places of the Internet equipment called "funnel". These devices are responsible for receiving the attack traffic on their own address or address ranges which are respectively allocated to them, and to transfer these received attack traffic to a honeypot type of equipment (generally via a transmission channel tunnel type).
  • This solution is advantageous because when a funnel-type device is detected, it does not compromise the entire attack detection system. In addition, it does not require manage only a limited number of honeypot-type equipment. But, it requires to install at least one funnel-type equipment in each network where honeypot-type equipment is installed, which is expensive because of the number of equipment to be deployed and because of the deployment and management costs. of all of said equipment.
  • control device intended to be coupled to, or to be part of (at least partially) a communication network router comprising analysis means responsible for determining in the header of a packet. of data, that it has just received, the destination address it contains, for the purpose of routing this packet to this destination address.
  • analysis means responsible for determining in the header of a packet. of data, that it has just received, the destination address it contains, for the purpose of routing this packet to this destination address.
  • the invention therefore applies to any packet network routed on the destination address, and therefore applies particularly well to IP type networks.
  • Control means loaded, when the router analysis means have determined in a header an unassigned or inaccessible destination address, to extract the packet containing this header, and - processing means to associate with a packet retrieved by the control means a chosen alternative destination address, which has been assigned to a packet analysis equipment, for example honeypot type, so that the router the route to this associated replacement destination address.
  • the device according to the invention may comprise other characteristics that can be taken separately or in combination, and in particular:
  • its processing means may be responsible for associating with a received packet transmitted by packet analysis equipment, for example of the honeypot type, in response to a previous packet extracted by the control means, the source address ( original) of said previous packet extracted by the control means, so that the router routes the received packet to the source address (original) that has been associated with it by the processing means; its processing means may be responsible for placing a packet extracted by its control means in a new packet provided with a header containing the chosen alternative destination address, and then providing the router with the new packet containing the extracted packet; alternatively, its processing means may be responsible for replacing by a chosen alternative destination address the destination address that is contained in a packet that has been extracted by the control means, and then to provide the router with the extracted packet. with his new alternate destination address; its control means may for example be located in a data plane (or "data plane") of the router;
  • its processing means may, for example, be implanted in a so-called control plane of the router;
  • its processing means can be loaded, when the router analysis means have determined in a header an unassigned or inaccessible destination address, to prevent the router from sending an error message to the equipment (source ) who issued the packet containing that heading and which is designated in the latter;
  • management means responsible for configuring the control means so that they do not extract a packet containing an unassigned or inaccessible destination address provided that it satisfies at least one chosen criterion and / or configuring the processing means so that they can proceed to the alternative destination address associations according to at least one selected criterion; each criterion is for example chosen from at least one criterion of membership of the destination address to a set of chosen addresses, a criterion of belonging of the source address to a set of chosen addresses, a criterion of the membership of the content type of the packet to a set of selected content types, a criterion relating to the local time of the router, a criterion of the occupancy rate of at least one selected buffer of the router, and a criterion relating to the value of a chosen meter; > his means of management can be responsible for configuring the means control and / or processing means by transmitting rules defining at least some of the criteria to be applied and / or correspondence tables between criteria
  • its management means may be responsible for configuring control means and / or processing means located in at least two routers of its network;
  • its management means can for example be implemented in the control plane of the router.
  • the invention also proposes a router (communication network) comprising analysis means of the aforementioned type and a control device of the type of that presented above and coupled to said analysis means.
  • the invention is particularly well suited, although not exclusively, to Internet Protocol (IP) communication networks.
  • IP Internet Protocol
  • FIG. 1 very schematically illustrates two communication networks connected to the Internet and comprising analysis equipment as well as routers each equipped with a control device according to the invention
  • FIG. 2 schematically and functionally illustrates a router equipped with an exemplary embodiment of a control device according to the invention.
  • the attached drawings may not only serve to complete the invention, but also contribute to its definition, if any.
  • the object of the invention is to enable a large number of suspect traffics (transmitted as packets via one or more packetized communication networks routed to the destination address, as well as than possibly via the Internet) to reach equipment for analyzing suspicious traffic, for example of the honeypot type.
  • FIG. 1 schematically illustrates an example of a communication installation embodying the invention.
  • This installation comprises here, by way of purely illustrative and nonlimiting example, two communication networks N1 and N2 capable of transmitting data packets, for example of the IP (Internet protocol) type, and both connected to the Internet.
  • network the communication networks N1 and N2
  • IP packet a data packet transmitted by an N1 or N2 network.
  • the number of routers represented here is equal to four, but it can take any value greater than or equal to one. Note that it is preferable, for reasons of efficiency, that each router of the first network N1 is equipped with one, or coupled to a control device D. It can indeed be envisaged that only one, or some of the routers of the first network N1 are equipped with, or coupled to, a control device D.
  • communication equipment EA1, EA2, ES1
  • a first equipment for analyzing suspicious traffics (packets) EA1 a second equipment for analyzing suspicious traffics (packets) EA2 and a communication terminal ES1 are connected to the first network N1 .
  • the number of routers represented here is equal to three, but it can take any value greater than or equal to one.
  • communication equipment EA3, EA4, ES2
  • each having a communication address such as an IP address
  • a third equipment for analyzing suspicious traffic (packets) EA3, a fourth equipment for analyzing suspicious traffic (packets) EA4 and an communication terminal ES2 are connected to the second network N2.
  • the first EA1, second EA2, third EA3 and fourth EA4 suspected traffic analysis equipment (packets) are "honeypot” type equipment.
  • the communication terminals ES1 and ES2 are equipment belonging to malicious people wishing to attack, by means of attack traffic (consisting of packets defining, for example, a worm, a virus or a Trojan), other communication equipment (of any type) connected to the first N1 or second N2 network or any other network accessible via the first N1 or second network N2.
  • attack traffic consisting of packets defining, for example, a worm, a virus or a Trojan
  • Such an (communication) terminal ES1 or ES2 is provided with an address scanning system enabling it to automatically generate any IP address and thus transmit traffic (packets) of attack to all the addresses IP possible, or at least to a large subgroup of all IP addresses.
  • each router Ri or R'j is responsible for routing each packet (here of IP type) that it receives to the destination address (IP) that is contained in the header (IP) of this packet (IP).
  • IP the IP header of an IP packet includes, among other things, the source address of the source equipment that sent said IP packet and the destination address of the equipment that is the recipient of said IP packet.
  • each router Ri or R'j comprises, in particular, an analysis module MA and a routing module (or matrix) MR.
  • the analysis module MA is responsible for analyzing the contents of each IP header in order to determine the destination address that it contains, then determining how to route the packet containing this IP header according to routing information (generally stored in a routing table).
  • the routing module MR is responsible for routing (router) a received packet to the communication equipment that is designated by the destination IP address determined by the analysis module MA in its IP header, according to the instructions of routing provided by the MA analysis module.
  • the analysis module MA is generally part of what the person skilled in the art calls the data plane (or "data plane”) PD of the router Ri or R'j. But, it could be otherwise.
  • the routing module MR is generally distributed between the PD data plane and what the skilled person calls the control plane (or "control plane”) PC router Ri or R'j. But, it could be otherwise.
  • each control device D comprises at least one control module MC and an processing module MT coupled to each other.
  • the control module MC is coupled to the analysis module MA. When it is located in a router Ri or R'j, it is preferably part of its PD data plane. This control module MC is responsible for observing the result of the analysis performed by the analysis module MA on each IP header of a received IP packet. When the analysis module MA has determined in the header of an IP packet to route an unassigned or inaccessible destination address, the control module MC extracts the corresponding packet and transmits it to the processing module MT. It is important to note that the extraction can possibly be done according to at least one selected criterion. The application of some of these criteria may possibly require the analysis of the IP header and / or the content (payload) of the packet. Many criteria may be used, and in particular:
  • control module MC may be configured to transmit an IP packet to the processing module MT provided that its IP header includes a destination address belonging to a set of chosen addresses,
  • control module MC can be configured to transmit an IP packet to the processing module MT provided that its IP header includes a source address belonging to a set of chosen addresses,
  • control module MC can be configured to transmit an IP packet to the processing module MT provided that its content corresponds to a type belonging to a set of selected types.
  • control module MC may be optionally configured to select the honeypot type equipment to which an extracted packet must be routed. To do this, it can optionally apply at least one selected criterion). Many criteria can be used for this purpose, including:
  • the control module MC can be configured to choose the honeypot type equipment to which an extracted packet must be routed according to the local time. This can in particular allow the distribution of traffic (or "load balancing"). For example, it may order the transmission of an extracted packet to the first honeypot equipment EA1 for the second (or minute) pairs, and to the second equipment of the honeypot type EA2 for the odd seconds (or minutes); a criterion of the occupancy rate of at least one selected buffer of the router Ri or R'j.
  • buffers for example of the FIFO type associated with each of the honeypot type of equipment, in order to place the extracted packets awaiting routing according to the honeypot type of equipment recipient.
  • an initially extracted packet intended for a first honeypot EA1 type equipment item is placed in the buffer memory associated with the second honeypot equipment item EA2 when the occupancy rate of the buffer memory associated with the first equipment item honeypot type EA1 exceeds a chosen threshold. It can also be used to make the distribution of traffic;
  • a criterion relating to the value of a chosen meter may be provided.
  • each time the control module MC orders the routing of an extracted IP packet to a honeypot-type device it increments by one unit the value of the counter which is associated with the latter.
  • the control module MC orders the routing to the second honeypot equipment EA2 of the following extracted IP packet which should normally be routed to the first equipment type honeypot EA1. This can also be used to make the distribution of traffic.
  • control module MC therefore transmits to the processing module
  • the processing module MT Whenever the processing module MT receives a packet extracted by the control module MC, it associates it with a chosen alternative destination address (assigned to a honeypot type equipment), so that the router Ri or R'j the route to this associated alternate destination address.
  • This alternative address association can be done in at least two different ways.
  • a first way is to replace with a chosen alternative destination address the destination address that is contained in the extracted IP packet.
  • the processing module MT then supplies to the router Ri or R'j, and more specifically to its data plane PD, the extracted IP packet which now comprises a new replacement destination address.
  • a second, currently preferred, way is to place the extracted IP packet in a new packet with a header that contains the alternative destination address chosen.
  • the processing module MT then supplies the router Ri or R'j, and more precisely its data plane PD, with the new IP packet that contains the extracted IP packet.
  • the replacement destination address which is associated with an extracted IP packet, may be designated (chosen) by the control module MC following the application of one or more selected criteria.
  • this address (or its designation) is for example communicated to the processing module MT at the same time as the extracted IP packet concerned.
  • the data plane PD receives from the processing module MT the IP packet that has been the subject of the association of a replacement destination address, it processes it as if it were a new IP packet. come. Therefore, it is again analyzed by the analysis module MA, then routed to the replacement destination address it contains, since it is now known and accessible.
  • control device D When the control device D is located in a router Ri or R'j, its processing module MT is preferably part of what the skilled person calls the control plane (or "control plane") PC of the router.
  • the criteria relating to the IP header or the content type of an IP packet are applied by the control module MC, while the other criteria relating to the selection of the honeypot type equipment is applied by the processing module MT.
  • the processing module MT receives an extracted IP packet, to be the subject of a replacement destination address association, it applies one or more criteria to it to determine the honeypot-type equipment to which it must be directed, then he associates him with the destination address of the latter.
  • the criteria concerning the header (IP) and / or the content type of a packet (IP) are applied by the processing module MT.
  • the criteria concerning the header (IP) and / or the content type of a packet (IP) may be applied by the control module MC and / or the processing module MT.
  • a router Ri or R'j when a router Ri or R'j detects an unassigned or inaccessible destination address, it automatically addresses the source equipment ES1 (or ES2), which has issued the corresponding IP packet and which is designated in the IP header, an error message (usually ICMP type) stating the reason why it could not route this IP packet (equipment unreachable because the address of destination does not exist ("host unreachable” - especially in the case of non-existence of an ARP "Address Resolution Protocol" (RFC 826)), or network unreachable because we can not find a route to access the 'network unreachable').
  • ES1 or ES2
  • RRC 826 Address Resolution Protocol
  • the processing module MT may for example be loaded with to forbid its analysis module MA to generate this type of error message when it detects an unassigned or inaccessible destination address.
  • some suspicious packet analysis equipment EA1-EA4 may be arranged to respond to the attack messages they receive. Since they now receive a message of attack from a router which is equipped with a control device D according to the invention, they transmit to the same router the response to said attack message, while that This is for ES1 source equipment or ES2.
  • the processing module MT of a control device D can be responsible for associating with a received packet transmitted by a device EA1 packet analysis in response to a previous suspect packet extracted by its MC control module, the source address (original) of this previous packet. For this purpose, each time a control module MC extracts a suspicious packet, it stores its source address in a memory of its device D or its router Ri or R'j.
  • a control module MC finds that the analysis module MA of its router Ri or R'j has detected a packet transmitted by a packet analysis equipment EA1 in response to a packet that it had previously extracted it determines in the memory the source address which corresponds to this received packet and transmits it to its processing means MT so that it associates it with the received packet.
  • the routing module MR of the router Ri or R'j can then route the received packet to the source address that has been associated with it by the processing module MT.
  • the processing module MT that can determine in the memory the source address that it must associate with a received packet to be routed to a source equipment ES1 or ES2.
  • the control device D can also and optionally include a management module MG responsible for configuring the control module MC and / or the processing module MT, in particular so that it (s) Applies to extracted IP packets one or more selected criteria.
  • the management module MG can be used to define rules that define at least some of the criteria to be applied and / or correspondence tables between criteria to be applied and alternative destination addresses, and then (or only ) to transmit some of these rules and / or some of these correspondence tables auo control module MC and / or the processing module MT, according to instructions received from the network manager to which belongs the router Ri or R'j dont it is part of (or to which it is coupled).
  • the MG management module can also be responsible for activating or deactivate the control device D at times chosen according to instructions received or a possible programming.
  • the management module MG may also be responsible for configuring the address or addresses of the EA1 and EA2 packet analysis equipment to which the suspect packets will be sent.
  • the management module MG may also be responsible for configuring control modules MC and / or processing modules MT which are located in (or coupled to) several (at least two) routers.
  • a management module MG can be used to configure the control modules MC and / or the processing modules MT of all the routers of its network or only a part of them. In this case, it can be either implanted in one of the control devices D or in a network equipment of another type.
  • control device D When the control device D is located in a router Ri or R'j, its management module MG is preferably part of the control plane PC of this router.
  • control device D and in particular its control module MC and processing module MT, as well as its possible management module MG, can be implemented in the form of electronic circuits, software (or computer) modules, or a combination of circuits and software.
  • control device and router are not limited to the embodiments of control device and router described above, only by way of example, but it encompasses all variants that may be considered by those skilled in the art within the scope of the invention. claims below.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Un dispositif de contrôle (D) est destiné à faire partie d'un routeur (R1 ) d'un réseau de communication. Ce routeur (R1 ) comprend des moyens d'analyse (MA) chargés de déterminer dans l'entête d'un paquet de données, reçu et à router, l'adresse de destination qu'il contient, en vue du routage de ce paquet reçu vers cette adresse de destination. Le dispositif (D) comprend i) des moyens de contrôle (MC) chargés, en cas de détermination par les moyens d'analyse (MA) d'un entête comprenant une adresse de destination non attribuée ou inaccessible, d'extraire le paquet contenant cet entête, et ii) des moyens de traitement (MT) chargés d'associer à un paquet extrait par les moyens de contrôle (MC) une adresse de destination de remplacement choisie, attribuée à un équipement d'analyse de paquets (EA1 ), afin que le routeur (R1 ) le route vers cette adresse de destination de remplacement associée.

Description

DISPOSITIF DE CONTRÔLE DE PAQUETS, POUR UN ROUTEUR D'UN RÉSEAU DE COMMUNICATION, EN VUE DU ROUTAGE DE PAQUETS SUSPECTS VERS DES ÉQUIPEMENTS D'ANALYSE DÉDIÉS
L'invention concerne les réseaux de communication capables de transmettre des paquets de données, et plus précisément le routage de paquets au sein de tels réseaux.
De nombreux équipements de communication, rattachés à des réseaux de communication, sont l'objet, généralement via l'Internet, d'attaques informatiques au moyen de trafics d'attaque (constitués de paquets de données définissant, par exemple, un virus, un vers ou un cheval de Troie) générés par des personnes mal intentionnées.
Il est rappelé qu'il existe des dispositifs de balayage d'adresses permettant de générer de façon automatisée n'importe quelle adresse de destination (par exemple IP) et donc de transmettre des trafics (paquets) d'attaque vers toutes les adresses de destination (IP) possibles, ou au moins vers un sous-groupe important de l'ensemble des adresses de destination (IP). Comme le sait l'homme de l'art, il a été proposé d'équiper les réseaux
(de communication) d'équipements d'analyse (appelés « honeypots ») dédiés à la détection et l'analyse des trafics d'attaque, à la compréhension des attaques définies par ces trafics d'attaque et si possible à la génération de signatures caractéristiques de ces attaques et utiles aux systèmes de détection d'intrusion (ou IDS (pour « Intrusion Détection System »)).
Ces équipements honeypots sont généralement connectés à l'Internet et disposent chacun d'une adresse IP (« Internet Protocol ») qui n'est habituellement pas rendue publique. Par conséquent, toute tentative de connexion à un tel équipement est considérée comme suspecte et comme une attaque potentielle.
Il est donc important que le plus grand nombre possible de trafics d'attaque parviennent au niveau des équipements de type honeypot afin de pouvoir contrer le plus vite possible leurs attaques.
Plusieurs solutions ont été proposées à cet effet.
Une première solution consiste à multiplier le nombre d'équipements de type honeypot dans le plus grand nombre de réseaux possible, de sorte que chacun d'entre eux reçoive automatiquement les trafics d'attaque visant sa propre adresse IP. Mais, une telle solution est coûteuse et difficile à gérer.
Une deuxième solution consiste à rendre chaque équipement de type honeypot accessible par plusieurs adresses IP. Cela permet de recevoir de nombreuses attaques, puis de les analyser dans un même équipement et de corréler les attaques. Cependant, de par la conception d'un réseau IP un équipement de type honeypot ne peut recevoir et analyser que les trafics d'attaque qui visent une adresse IP du ou des réseaux pour lesquels il travaille. Afin de pouvoir recevoir et analyser de très nombreux trafics d'attaque il doit donc être rattaché à plusieurs réseaux {« multi-homed »), ce qui nécessite qu'il puisse être joint au moyen de plusieurs adresses réseau différentes. Cette contrainte limite fortement l'aptitude d'un équipement de type honeypot au changement d'échelle, étant donné qu'il est difficile d'obtenir pour un même équipement de multiples accès réseau (cela nécessite plusieurs liaisons, éventuellement virtuelles). En outre, comme le nombre d'adresses IP d'un équipement de type honeypot dépend du nombre de réseaux auxquels il est rattaché, sa détection est facilitée. Or, dès qu'un équipement de type honeypot est détecté, il devient inutile et il compromet la confiance que l'on peut avoir dans ses analyses étant donné qu'il peut faire l'objet d'attaques trompeuses destinées à le surcharger en même temps que les IDSs qu'il alimente en signatures.
Une troisième solution consiste à implanter en divers endroits de l'Internet des équipements appelés « funnel ». Ces équipements sont chargés de recevoir les trafics d'attaque sur leur propre adresse ou sur des plages d'adresse qui leurs sont respectivement allouées, et de transférer ces trafics d'attaque reçus vers un équipement de type honeypot (généralement via un canal de transmission de type tunnel). Cette solution est avantageuse, car lorsqu'un équipement de type funnel est détecté, il ne compromet pas l'ensemble du système de détection d'attaques. En outre, elle ne nécessite de gérer qu'un nombre restreint d'équipements de type honeypot. Mais, elle nécessite d'installer au moins un équipement de type funnel dans chaque réseau où se trouve implanté un équipement de type honeypot, ce qui est onéreux du fait du nombre d'équipements à déployer et du fait des frais de déploiement et de gestion de l'ensemble desdits équipements.
Aucune solution connue n'apportant une entière satisfaction, l'invention a donc pour but d'améliorer la situation.
Elle propose à cet effet un dispositif de contrôle destiné à être couplé à, ou à faire partie (au moins partiellement) d'un, routeur de réseau de communication comprenant des moyens d'analyse chargés de déterminer dans l'entête d'un paquet de données, qu'il vient de recevoir, l'adresse de destination qu'il contient, en vue du routage de ce paquet vers cette adresse de destination. L'invention s'applique donc à tout réseau à paquet routé sur l'adresse de destination, et s'applique donc particulièrement bien aux réseaux de type IP.
Ce dispositif de contrôle se caractérise par le fait qu'il comprend :
- des moyens de contrôle chargés, lorsque les moyens d'analyse du routeur ont déterminé dans un entête une adresse de destination non attribuée ou inaccessible, d'extraire le paquet contenant cet entête, et - des moyens de traitement chargés d'associer à un paquet extrait par les moyens de contrôle une adresse de destination de remplacement choisie, qui a été attribuée à un équipement d'analyse de paquets, par exemple de type honeypot, de sorte que le routeur le route vers cette adresse de destination de remplacement associée. Le dispositif selon l'invention peut comporter d'autres caractéristiques qui peuvent être prises séparément ou en combinaison, et notamment :
- ses moyens de traitement peuvent être chargés d'associer à un paquet reçu, émis par un équipement d'analyse de paquets, par exemple de type honeypot, en réponse à un précédent paquet extrait par les moyens de contrôle, l'adresse source (d'origine) du dit précédent paquet extrait par les moyens de contrôle, de sorte que le routeur route le dit paquet reçu vers cette adresse source (d'origine) qui lui a été associée par les moyens de traitement ; - ses moyens de traitement peuvent être chargés de placer un paquet extrait par ses moyens de contrôle dans un nouveau paquet muni d'un entête contenant l'adresse de destination de remplacement choisie, puis de fournir au routeur le nouveau paquet contenant le paquet extrait ; - en variante, ses moyens de traitement peuvent être chargés de remplacer par une adresse de destination de remplacement choisie l'adresse de destination qui est contenue dans un paquet qui a été extrait par les moyens de contrôle, puis de fournir au routeur le paquet extrait avec sa nouvelle adresse de destination de remplacement ; - ses moyens de contrôle peuvent par exemple être implantés dans un plan dit de données (ou « data plane ») du routeur ;
- ses moyens de traitement peuvent par exemple être implantés dans un plan dit de contrôle (ou « control plane ») du routeur ;
- ses moyens de traitement peuvent être chargés, lorsque les moyens d'analyse du routeur ont déterminé dans un entête une adresse de destination non attribuée ou inaccessible, d'interdire au routeur d'adresser un message d'erreur à l'équipement (source) qui a émis le paquet contenant cet entête et qui est désigné dans ce dernier ;
- il peut comprendre des moyens de gestion chargés de configurer les moyens de contrôle afin qu'ils n'extraient un paquet contenant une adresse de destination non attribuée ou inaccessible qu'à condition qu'il satisfasse à au moins un critère choisi et/ou de configurer les moyens de traitement afin qu'ils puissent procéder aux associations d'adresse de destination de remplacement en fonction d'au moins un critère choisi ; > chaque critère est par exemple choisi parmi au moins un critère d'appartenance de l'adresse de destination à un ensemble d'adresses choisies, un critère d'appartenance de l'adresse source à un ensemble d'adresses choisies, un critère d'appartenance du type de contenu du paquet à un ensemble de types de contenu choisis, un critère relatif à l'heure locale du routeur, un critère de taux d'occupation d'au moins une mémoire tampon choisie du routeur, et un critère relatif à la valeur d'un compteur choisi ; > ses moyens de gestion peuvent être chargés de configurer les moyens de contrôle et/ou les moyens de traitement en leur transmettant des règles définissant certains au moins des critères à appliquer et/ou des tables de correspondance entre des critères à appliquer et des adresses de destination de remplacement; > ses moyens de gestion peuvent être chargés de configurer la ou les adresses des équipements d'analyse de paquets vers lesquels les paquets suspects seront envoyés ;
> ses moyens de gestion peuvent être chargés de configurer des moyens de contrôle et/ou des moyens de traitement localisés dans au moins deux routeurs de son réseau ;
> ses moyens de gestion peuvent par exemple être implantés dans le plan de contrôle du routeur.
L'invention propose également un routeur (de réseau de communication) comprenant des moyens d'analyse du type précité et un dispositif de contrôle du type de celui présenté ci-avant et couplé auxdits moyens d'analyse.
L'invention est particulièrement bien adaptée, bien que de façon non exclusive, aux réseaux de communication à protocole Internet (ou IP).
D'autres caractéristiques et avantages de l'invention apparaîtront à l'examen de la description détaillée ci-après, et des dessins annexés, sur lesquels :
- la figure 1 illustre de façon très schématique deux réseaux de communication connectés à l'Internet et comprenant des équipements d'analyse ainsi que des routeurs équipés chacun d'un dispositif de contrôle selon l'invention, et
- la figure 2 illustre de façon schématique et fonctionnelle un routeur équipé d'un exemple de réalisation d'un dispositif de contrôle selon l'invention.
Les dessins annexés pourront non seulement servir à compléter l'invention, mais aussi contribuer à sa définition, le cas échéant. L'invention a pour objet de permettre à un grand nombre de trafics suspects (transmis sous forme de paquets via un ou plusieurs réseaux de communication à paquet routé sur l'adresse de destination, ainsi qu'éventuellement via l'Internet) d'atteindre des équipements d'analyse de trafics suspects, par exemple de type honeypot.
Dans ce qui suit, on considère à titre d'exemple non limitatif que les réseaux de communication sont des réseaux IP filaires de type xDSL (par exemple ADSL), connectés à l'Internet. Mais, l'invention n'est pas limitée à ce type de réseau de communication. Elle concerne en effet tout type de réseau de communication à paquet routé sur l'adresse de destination, qu'il soit de type filaire ou radio (ou hertzien, et plus généralement par voie d'ondes) et de type terrestre et/ou satellitaire. On a schématiquement illustré sur la figure 1 un exemple d'installation de communication mettant en œuvre l'invention. Cette installation comprend ici, à titre d'exemple purement illustratif et non limitatif, deux réseaux de communication N1 et N2 capables de transmettre des paquets de données, par exemple de type IP (Internet protocol), et connectés tous les deux à l'Internet. Afin de simplifier la description, on appelle ci-après « réseau » les réseaux de communication N1 et N2, et « paquet IP » un paquet de données transmis par un réseau N1 ou N2.
Dans l'exemple illustré, le premier réseau N1 comprend, notamment, un ensemble de routeurs Ri (R1 à R4, i = 1 à 4), chacun équipés d'un dispositif de contrôle D selon l'invention. Le nombre de routeurs représentés est ici égal à quatre, mais il peut prendre n'importe quelle valeur supérieure ou égale à un. On notera qu'il est préférable, pour des raisons d'efficacité, que chaque routeur du premier réseau N1 soit équipé d'un, ou couplé à un, dispositif de contrôle D. On peut en effet envisager que seul l'un, ou quelques uns, des routeurs du premier réseau N1 soi(en)t équipé(s) d'un, ou couplé(s) à un, dispositif de contrôle D.
Comme illustré, des équipements de communication (EA1 , EA2, ES1), disposant chacun d'une adresse de communication (comme par exemple une adresse IP), sont connectés au premier réseau N1. Plus précisément, dans l'exemple non limitatif illustré, un premier équipement d'analyse de trafics (paquets) suspects EA1, un second équipement d'analyse de trafics (paquets) suspects EA2 et un terminal de communication ES1 sont connectés au premier réseau N1. Par ailleurs, dans l'exemple illustré, le second réseau N2 comprend, notamment, un ensemble de routeurs R'j (R'1 à R'3, j = 1 à 3), chacun équipés d'un dispositif de contrôle D selon l'invention. Le nombre de routeurs représentés est ici égal à trois, mais il peut prendre n'importe quelle valeur supérieure ou égale à un.
Comme illustré, des équipements de communication (EA3, EA4, ES2), disposant chacun d'une adresse de communication (comme par exemple une adresse IP), sont connectés au second réseau N2. Plus précisément, dans l'exemple non limitatif illustré, un troisième équipement d'analyse de trafics (paquets) suspects EA3, un quatrième équipement d'analyse de trafics (paquets) suspects EA4 et un terminal de communication ES2 sont connectés au second réseau N2.
On considère ci-après que les premier EA1 , deuxième EA2, troisième EA3 et quatrième EA4 équipements d'analyse de trafics (paquets) suspects sont des équipements de type « honeypot ». Par ailleurs, on considère ci- après que les terminaux de communication ES1 et ES2 sont des équipements appartenant à des personnes mal intentionnées désirant attaquer, au moyen de trafics d'attaque (constitués de paquets définissant, par exemple, un vers, un virus ou un cheval de Troie), d'autres équipements de communication (de tout type) connectés au premier N1 ou second N2 réseau ou à tout autre réseau accessible via le premier N1 ou second N2 réseau. Un tel terminal (de communication) ES1 ou ES2 est pourvu d'un système de balayage d'adresses lui permettant de générer de façon automatisée n'importe quelle adresse IP et donc de transmettre des trafics (paquets) d'attaque vers toutes les adresses IP possibles, ou au moins vers un sous-groupe important de l'ensemble des adresses IP.
Comme cela est illustré schématiquement et fonctionnellement sur la figure 2, chaque routeur Ri ou R'j est chargé de router chaque paquet (ici de type IP) qu'il reçoit vers l'adresse (IP) de destination qui est contenue dans l'entête (IP) de ce paquet (IP). Il est rappelé que l'entête IP d'un paquet IP comprend entre autre l'adresse source de l'équipement source qui a émis ledit paquet IP et l'adresse de destination de l'équipement qui est le destinataire dudit paquet IP. Pour assurer ce routage, chaque routeur Ri ou R'j comprend, notamment, un module d'analyse MA et un module (ou une matrice) de routage MR. Le module d'analyse MA est chargé d'analyser le contenu de chaque entête IP afin de déterminer l'adresse de destination qu'il contient, puis de déterminer comment router le paquet contenant cet entête IP en fonction d'informations de routage (généralement stockées dans une table de routage).
Le module de routage MR est chargé d'aiguiller (router) un paquet reçu vers l'équipement de communication qui est désigné par l'adresse IP de destination déterminée par le module d'analyse MA dans son entête IP, en fonction des instructions de routage fournies par le module d'analyse MA.
Le module d'analyse MA fait généralement partie de ce que l'homme de l'art appelle le plan de données (ou « data plane ») PD du routeur Ri ou R'j. Mais, il pourrait en être autrement. Le module de routage MR est généralement réparti entre le plan de données PD et ce que l'homme de l'art appelle le plan de contrôle (ou « control plane ») PC du routeur Ri ou R'j. Mais, il pourrait en être autrement.
Comme cela est illustré schématiquement et fonction nellement sur la figure 2, chaque dispositif de contrôle D, selon l'invention, comprend au moins un module de contrôle MC et un module de traitement MT couplés l'un à l'autre.
Le module de contrôle MC est couplé au module d'analyse MA. Lorsqu'il est implanté dans un routeur Ri ou R'j, il fait de préférence partie de son plan de données PD. Ce module de contrôle MC est chargé d'observer le résultat de l'analyse effectuée par le module d'analyse MA sur chaque entête IP d'un paquet IP reçu. Lorsque le module d'analyse MA a déterminé dans l'entête d'un paquet IP à router une adresse de destination non attribuée ou inaccessible, le module de contrôle MC extrait le paquet correspondant et le transmet au module de traitement MT. II est important de noter que l'extraction peut éventuellement se faire en fonction d'au moins un critère choisi. L'application de certains de ces critères peut éventuellement nécessiter l'analyse de l'entête IP et/ou du contenu (données utiles (ou « payload »)) du paquet. De nombreux critères peuvent être utilisés, et notamment :
- un critère d'appartenance de l'adresse de destination (contenue dans l'entête du paquet reçu) à un ensemble d'adresses choisies. En effet, le module de contrôle MC peut être configuré de manière à transmettre un paquet IP au module de traitement MT à condition que son entête IP comporte une adresse de destination faisant partie d'un ensemble d'adresses choisies,
- un critère d'appartenance de l'adresse source (contenue dans l'entête du paquet reçu) à un ensemble d'adresses choisies. En effet, le module de contrôle MC peut être configuré de manière à transmettre un paquet IP au module de traitement MT à condition que son entête IP comporte une adresse source faisant partie d'un ensemble d'adresses choisies,
- un critère d'appartenance du type du contenu du paquet à un ensemble de types de contenu choisis. En effet, le module de contrôle MC peut être configuré de manière à transmettre un paquet IP au module de traitement MT à condition que son contenu corresponde à un type faisant partie d'un ensemble de types choisis.
Plusieurs de ces critères peuvent être éventuellement appliqués à un même paquet IP extrait. On notera que lorsque plusieurs équipements de type honeypot sont connectés à un réseau, le module de contrôle MC peut être éventuellement configuré de manière à sélectionner l'équipement de type honeypot vers lequel un paquet extrait doit être routé. Pour ce faire, il peut éventuellement appliquer au moins un critère choisi). De nombreux critères peuvent être utilisés à cet effet, et notamment :
- un critère relatif à l'heure locale du routeur Ri ou R'j. En effet, le module de contrôle MC peut être configuré de manière à choisir l'équipement de type honeypot vers lequel un paquet extrait doit être routé en fonction de l'heure locale. Cela peut notamment permettre de faire de la répartition de trafic (ou « load balancing »). Par exemple, il peut ordonner la transmission d'un paquet extrait vers le premier équipement de type honeypot EA1 pendant les secondes (ou minutes) paires, et vers le deuxième équipement de type honeypot EA2 pendant ies secondes (ou minutes) impaires ; - un critère de taux d'occupation d'au moins une mémoire tampon choisie du routeur Ri ou R'j. En effet, on peut prévoir des mémoires tampon (par exemple de type FIFO) associées à chacun des équipements de type honeypot, afin d'y placer les paquets extraits en attente de routage en fonction de l'équipement de type honeypot destinataire. Dans ce cas, on peut envisager qu'un paquet extrait initialement destiné à un premier équipement de type honeypot EA1 soit placé dans la mémoire tampon associée au deuxième équipement de type honeypot EA2 lorsque le taux d'occupation de la mémoire tampon associée au premier équipement de type honeypot EA1 dépasse un seuil choisi. Cela peut également permettre de faire de la répartition de trafic ;
- un critère relatif à la valeur d'un compteur choisi. En effet, on peut prévoir des compteurs associés à chacun des équipements de type honeypot. Dans ce cas, chaque fois que le module de contrôle MC ordonne le routage d'un paquet IP extrait vers un équipement de type honeypot, il incrémente d'une unité la valeur du compteur qui est associé à ce dernier. Ainsi, lorsque la valeur d'un compteur associé à un premier équipement de type honeypot EA1 dépasse un seuil, le module de contrôle MC ordonne le routage vers le deuxième équipement de type honeypot EA2 du paquet IP extrait suivant qui devait être normalement routé vers le premier équipement de type honeypot EA1. Cela peut également permettre de faire de la répartition de trafic.
Plusieurs de ces critères peuvent être éventuellement appliqués à un même paquet IP extrait. Le module de contrôle MC transmet donc au module de traitement
MT chaque paquet IP qu'il a extrait et éventuellement sélectionné en fonction d'au moins un critère, accompagné d'une éventuelle instruction désignant l'équipement de type honeypot vers lequel ce paquet IP doit être routé.
Chaque fois que le module de traitement MT reçoit un paquet extrait par le module de contrôle MC, il lui associe une adresse de destination de remplacement choisie (attribuée à un équipement de type honeypot), afin que le routeur Ri ou R'j le route vers cette adresse de destination de remplacement associée. Cette association d'adresse de remplacement peut se faire d'au moins deux façons différentes.
Une première façon consiste à remplacer par une adresse de destination de remplacement choisie l'adresse de destination qui est contenue dans le paquet IP extrait. Dans ce cas, le module de traitement MT fournit ensuite au routeur Ri ou R'j, et plus précisément à son plan de données PD, le paquet IP extrait qui comprend désormais une nouvelle adresse de destination de remplacement.
Une seconde façon, actuellement préférée, consiste à placer le paquet IP extrait dans un nouveau paquet muni d'un entête qui contient l'adresse de destination de remplacement choisie. Dans ce cas, le module de traitement MT fournit ensuite au routeur Ri ou R'j, et plus précisément à son plan de données PD, le nouveau paquet IP qui contient le paquet IP extrait.
Comme indiqué précédemment, l'adresse de destination de remplacement, qui est associée à un paquet IP extrait, peut être désignée (choisie) par le module de contrôle MC consécutivement à l'application d'un ou plusieurs critères choisis. Dans ce cas, cette adresse (ou sa désignation) est par exemple communiquée au module de traitement MT en même temps que le paquet IP extrait concerné. Lorsque le plan de données PD reçoit du module de traitement MT le paquet IP qui a fait l'objet de l'association d'une adresse de destination de remplacement, il le traite comme s'il s'agissait d'un paquet IP nouvellement arrivé. Par conséquent, il est de nouveau analysé par le module d'analyse MA, puis routé vers l'adresse de destination de remplacement qu'il contient, puisque celle-ci est désormais connue et accessible.
Lorsque le dispositif de contrôle D est implanté dans un routeur Ri ou R'j, son module de traitement MT fait de préférence partie de ce que l'homme de l'art appelle le plan de contrôle (ou « control plane ») PC du routeur.
On notera que dans une variante de fonctionnement, on peut envisager que les critères qui concernent l'entête IP ou le type de contenu d'un paquet IP soient appliqués par le module de contrôle MC, tandis que les autres critères qui concernent la sélection de l'équipement de type honeypot sont appliqués par le module de traitement MT. Dans ce cas, lorsque le module de traitement MT reçoit un paquet IP extrait, devant faire l'objet d'une association d'adresse de destination de remplacement, il lui applique un ou plusieurs critères afin de déterminer l'équipement de type honeypot vers lequel il doit être aiguillé, puis il lui associe l'adresse de destination de ce dernier.
Dans une autre variante de fonctionnement, on peut envisager que les critères qui concernent l'entête (IP) et/ou le type de contenu d'un paquet (IP) soient appliqués par le module de traitement MT. D'une manière générale, les critères qui concernent l'entête (IP) et/ou le type de contenu d'un paquet (IP) peuvent être appliqués par le module de contrôle MC et/ou le module de traitement MT.
Comme le sait l'homme de l'art, dans un réseau IP, lorsqu'un routeur Ri ou R'j détecte une adresse de destination non attribuée ou inaccessible, il adresse automatiquement à l'équipement source ES1 (ou ES2), qui a émis le paquet IP correspondant et qui est désigné dans l'entête IP, un message d'erreur (généralement de type ICMP) précisant la raison pour laquelle il n'a pas pu router ce paquet IP (équipement injoignable car l'adresse de destination n'existe pas (« host unreachable » - notamment en cas de non existence d'une entrée de type ARP « Address Resolution Protocol » (RFC 826)), ou réseau injoignable car on ne peut pas trouver de route pour accéder à l'adresse de destination (« network unreachable »)).
Afin d'éviter que le routeur Ri ou R'j ne transmette un tel message d'erreur à destination d'un équipement source ES1 ou ES2, ce qui pourrait attirer son attention, le module de traitement MT peut par exemple être chargé d'interdire à son module d'analyse MA de générer ce type de message d'erreur lorsqu'il détecte une adresse de destination non attribuée ou inaccessible.
Par ailleurs, certains équipements d'analyse de paquets suspects EA1-EA4 peuvent être agencés de manière à répondre aux messages d'attaque qu'ils reçoivent. Etant donné qu'ils reçoivent désormais un message d'attaque d'un routeur qui est équipé d'un dispositif de contrôle D selon l'invention, ils transmettent à ce même routeur la réponse au dit message d'attaque, alors que celle-ci est destinée à un équipement source ES1 ou ES2.
Pour qu'une réponse puisse parvenir à un équipement source ES1 ou ES2 sans qu'il s'en aperçoive, le module de traitement MT d'un dispositif de contrôle D peut être chargé d'associer à un paquet reçu, émis par un équipement d'analyse de paquets EA1 en réponse à un précédent paquet suspect extrait par son module de contrôle MC, l'adresse source (d'origine) de ce précédent paquet. A cet effet, chaque fois qu'un module de contrôle MC extrait un paquet suspect, il stocke son adresse source dans une mémoire de son dispositif D ou de son routeur Ri ou R'j. Et, lorsqu'un module de contrôle MC constate que le module d'analyse MA de son routeur Ri ou R'j a détecté un paquet émis par un équipement d'analyse de paquets EA1 en réponse à un paquet qu'il avait précédemment extrait, il détermine dans la mémoire l'adresse source qui correspond à ce paquet reçu et la transmet à son moyen de traitement MT afin qu'il l'associe au paquet reçu. Le module de routage MR du routeur Ri ou R'j peut alors router le paquet reçu vers l'adresse source qui lui a été associée par le module de traitement MT.
En variante, c'est le module de traitement MT qui peut déterminer dans la mémoire l'adresse source qu'il doit associer à un paquet reçu devant être routé vers un équipement source ES1 ou ES2. o Comme cela est illustré sur la figure 2, le dispositif de contrôle D peut également et éventuellement comprendre un module de gestion MG chargé de configurer le module de contrôle MC et/ou le module de traitement MT, notamment pour qu'il(s) applique(nt) aux paquets IP extraits un ou plusieurs critères choisis. 5 Par exemple, le module de gestion MG peut être utilisé pour définir des règles qui définissent certains au moins des critères à appliquer et/ou des tables de correspondance entre des critères à appliquer et des adresses de destination de remplacement, puis (ou bien seulement) pour transmettre certaines de ces règles et/ou certaines de ces tables de correspondance auo module de contrôle MC et/ou au module de traitement MT, en fonction d'instructions reçues du gestionnaire du réseau auquel appartient le routeur Ri ou R'j dont il fait partie (ou auquel il est couplé).
Le module de gestion MG peut être également chargé d'activer ou désactiver le dispositif de contrôle D à des instants choisis en fonction d'instructions reçues ou d'une éventuelle programmation.
Le module de gestion MG peut être également chargé de configurer la ou les adresses des équipements d'analyse de paquets EA1 et EA2 vers lesquels seront envoyés les paquets suspects.
Le module de gestion MG peut être également chargé de configurer des modules de contrôle MC et/ou des modules de traitement MT qui sont implantés dans (ou couplés à) plusieurs (au moins deux) routeurs. En d'autres termes, un module de gestion MG peut être utilisé pour configurer les modules de contrôle MC et/ou les modules de traitement MT de tous les routeurs de son réseau ou bien d'une partie seulement d'entre eux. Dans ce cas, il peut être soit implanté dans l'un des dispositifs de contrôle D ou bien dans un équipement de réseau d'un autre type.
Lorsque le dispositif de contrôle D est implanté dans un routeur Ri ou R'j, son module de gestion MG fait de préférence partie du plan de contrôle PC de ce routeur.
Le dispositif de contrôle D selon l'invention, et notamment ses module de contrôle MC et module de traitement MT, ainsi que son éventuel module de gestion MG, peuvent être réalisés sous la forme de circuits électroniques, de modules logiciels (ou informatiques), ou d'une combinaison de circuits et de logiciels.
L'invention ne se limite pas aux modes de réalisation de dispositif de contrôle et de routeur décrits ci-avant, seulement à titre d'exemple, mais elle englobe toutes les variantes que pourra envisager l'homme de l'art dans le cadre des revendications ci-après.

Claims

REVENDICATIONS
1. Dispositif de contrôle (D) pour un routeur (R1 ) d'un réseau de communication, ledit routeur (R1) comprenant des moyens d'analyse (MA) agencés pour déterminer dans l'entête d'un paquet de données, reçu et à router, l'adresse de destination qu'il contient, en vue du routage dudit paquet reçu vers cette adresse de destination, caractérisé en ce qu'il comprend i) des moyens de contrôle (MC) agencés, en cas de détermination par lesdits moyens d'analyse (MA) d'un entête comprenant une adresse de destination non attribuée ou inaccessible, pour extraire le paquet contenant cet entête, et ii) des moyens de traitement (MT) agencés pour associer à un paquet extrait par lesdits moyens de contrôle (MC) une adresse de destination de remplacement choisie, attribuée à un équipement d'analyse de paquets (EA1), de sorte que ledit routeur (R1) le route vers ladite adresse de destination de remplacement associée.
2. Dispositif selon la revendication 1 , caractérisé en ce que lesdits moyens de traitement (MT) sont agencés pour associer à un paquet reçu, émis par un équipement d'analyse de paquets (EA1) en réponse à un précédent paquet contenant une adresse source et extrait par lesdits moyenso de contrôle (MC), ladite adresse source dudit précédent paquet, de sorte que ledit routeur (R1 ) route ledit paquet reçu vers cette adresse source associée par lesdits moyens de traitement (MT).
3. Dispositif selon la revendication 1 , caractérisé en ce que lesdits moyens de traitement (MT) sont agencés pour placer un paquet extrait par5 lesdits moyens de contrôle (MC) dans un nouveau paquet muni d'un entête contenant ladite adresse de destination de remplacement choisie, puis pour fournir audit routeur (R1 ) ledit nouveau paquet contenant le paquet extrait.
4. Dispositif selon la revendication 1 , caractérisé en ce que lesdits moyens de traitement (MT) sont agencés pour remplacer par une adresse deo destination de remplacement choisie l'adresse de destination qui est contenue dans un paquet extrait par lesdits moyens de contrôle (MC), puis pour fournir audit routeur (R1) le paquet extrait avec sa nouvelle adresse de destination de remplacement.
5. Dispositif selon la revendication 1 , caractérisé en ce que lesdits moyens de contrôle (MC) sont implantés dans un plan dit de données dudit routeur (R1).
6. Dispositif selon la revendication 1 , caractérisé en ce que lesdits s moyens de traitement (MT) sont implantés dans un plan dit de contrôle dudit routeur (R1).
7. Dispositif selon la revendication 1 , caractérisé en ce que lesdits moyens de traitement (MT) sont agencés, en cas de détermination par lesdits moyens d'analyse (MA) d'une adresse de destination non attribuée ouo inaccessible, pour interdire audit routeur (R1) d'adresser un message d'erreur à l'équipement qui a émis le paquet correspondant et qui est désigné dans son entête.
8. Dispositif selon la revendication 1 , caractérisé en ce qu'il comprend des moyens de gestion (MG) agencés pour configurer lesdits moyens de5 contrôle (MC) de sorte qu'ils n'extraient un paquet contenant une adresse de destination non attribuée ou inaccessible qu'à condition qu'il satisfasse à au moins un critère choisi et/ou pour configurer lesdits moyens de traitement (MT) de sorte qu'ils puissent procéder aux associations d'adresse de destination de remplacement en fonction d'au moins un critère choisi. 0
9. Dispositif selon la revendication 8, caractérisé en ce que chaque critère est choisi dans un groupe comprenant au moins un critère d'appartenance d'une adresse de destination à un ensemble d'adresses choisies, un critère d'appartenance d'une adresse source à un ensemble d'adresses choisies, un critère d'appartenance d'un type de contenu de 5 paquet à un ensemble de types de contenu choisis, un critère relatif à l'heure locale du routeur (R1), un critère de taux d'occupation d'au moins une mémoire tampon choisie du routeur (R1 ), et un critère relatif à la valeur d'un compteur choisi.
10. Dispositif selon la revendication 8, caractérisé en ce que lesdits
30 moyens de gestion (MG) sont agencés pour configurer lesdits moyens de contrôle (MC) et/ou lesdits moyens de traitement (MT) en leur transmettant des règles définissant certains au moins des critères à appliquer et/ou des tables de correspondance entre des critères à appliquer et des adresses de destination de remplacement.
11. Dispositif selon la revendication 8, caractérisé en ce que lesdits moyens de gestion (MG) sont agencés pour configurer chaque adresse d'un équipement d'analyse de paquets vers lequel des paquets suspects seront envoyés.
12. Dispositif selon la revendication 8, caractérisé en ce que lesdits moyens de gestion (MG) sont agencés pour configurer des moyens de contrôle (MC) et/ou des moyens de traitement (MT) localisés dans au moins deux routeurs dudit réseau.
13. Dispositif selon la revendication 8, caractérisé en ce que lesdits moyens de gestion (MG) sont implantés dans un plan dit de contrôle dudit routeur (R1).
14. Routeur (R1 ) pour un réseau de communication, ledit routeur (R1 ) comprenant des moyens d'analyse (MA) agencés pour déterminer dans l'entête d'un paquet de données, reçu et à router, l'adresse de destination qu'il contient, en vue du routage dudit paquet reçu vers cette adresse de destination, caractérisé en ce qu'il comprend un dispositif de contrôle (D) selon l'une des revendications précédentes et couplé auxdits moyens d'analyse (MA).
15. Utilisation du dispositif de contrôle (D) et du routeur (R1 ) selon l'une des revendications précédentes dans un réseau de communication à protocole Internet (IP).
EP07821869A 2006-10-27 2007-10-26 Dispositif de controle de paquets, pour un routeur d'un reseau de communication, en vue du routage de paquets suspects vers des equipements d'analyse dedies Withdrawn EP2087688A2 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0654592A FR2907998B1 (fr) 2006-10-27 2006-10-27 Dispositif de controle de paquets, pour un routeur d'un reseau de communication, en vue du routage de paquets suspects vers des equipements d'analyses dedies
PCT/EP2007/061506 WO2008049908A2 (fr) 2006-10-27 2007-10-26 Dispositif de controle de paquets, pour un routeur d'un reseau de communication, en vue du routage de paquets suspects vers des equipements d'analyse dedies

Publications (1)

Publication Number Publication Date
EP2087688A2 true EP2087688A2 (fr) 2009-08-12

Family

ID=38325505

Family Applications (1)

Application Number Title Priority Date Filing Date
EP07821869A Withdrawn EP2087688A2 (fr) 2006-10-27 2007-10-26 Dispositif de controle de paquets, pour un routeur d'un reseau de communication, en vue du routage de paquets suspects vers des equipements d'analyse dedies

Country Status (3)

Country Link
EP (1) EP2087688A2 (fr)
FR (1) FR2907998B1 (fr)
WO (1) WO2008049908A2 (fr)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106961414B (zh) * 2016-01-12 2020-12-25 阿里巴巴集团控股有限公司 一种基于蜜罐的数据处理方法、装置及系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6775657B1 (en) * 1999-12-22 2004-08-10 Cisco Technology, Inc. Multilayered intrusion detection system and method
WO2002098100A1 (fr) * 2001-05-31 2002-12-05 Preventon Technologies Limited Systemes de controle d'acces
US20040078592A1 (en) * 2002-10-16 2004-04-22 At & T Corp. System and method for deploying honeypot systems in a network

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
None *

Also Published As

Publication number Publication date
WO2008049908A2 (fr) 2008-05-02
WO2008049908B1 (fr) 2008-07-24
FR2907998A1 (fr) 2008-05-02
FR2907998B1 (fr) 2009-04-10
WO2008049908A3 (fr) 2008-06-12

Similar Documents

Publication Publication Date Title
US11522827B2 (en) Detecting relayed communications
US10805325B2 (en) Techniques for detecting enterprise intrusions utilizing active tokens
US8977747B2 (en) System and method for detection of aberrant network behavior by clients of a network access gateway
US20050060535A1 (en) Methods and apparatus for monitoring local network traffic on local network segments and resolving detected security and network management problems occurring on those segments
US20150200960A1 (en) Techniques for protecting against denial of service attacks near the source
US20070094722A1 (en) Detecting networks attacks
US20040255161A1 (en) System and method for network edge data protection
US20070266091A1 (en) Network advertising system
WO2006013292A1 (fr) Procede, dispositif et systeme de protection d'un serveur contre des attaques de deni de service dns
TW200951757A (en) Malware detection system and method
WO2012021906A2 (fr) Dispositifs, systèmes et procédés destinés à activer et à reconfigurer des services pris en charge par un réseau de dispositifs
CN105743878A (zh) 使用蜜罐的动态服务处理
EP3556130B1 (fr) Procédé de surveillance d'un réseau de télécommunications mis en oeuvre par un point d'accès
EP2087688A2 (fr) Dispositif de controle de paquets, pour un routeur d'un reseau de communication, en vue du routage de paquets suspects vers des equipements d'analyse dedies
CN100561492C (zh) 网络攻击检测的方法和装置
WO2024121281A1 (fr) Procédé de gestion d'un ensemble d'adresses ip, procédé de collaboration et dispositifs configurés pour mettre en œuvre ces procédés
WO2004015953A2 (fr) Procede et architecture de communication entre un equipement client et un module intermediaire situes tous les deux sur un reseau local
Rayes Advanced Security Management in Metro Ethernet Networks

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20090527

AK Designated contracting states

Kind code of ref document: A2

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU LV MC MT NL PL PT RO SE SI SK TR

DAX Request for extension of the european patent (deleted)
RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: ALCATEL LUCENT

111Z Information provided on other rights and legal means of execution

Free format text: AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU LV MC MT NL PL PT RO SE SI SK TR

Effective date: 20130410

RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: ALCATEL LUCENT

D11X Information provided on other rights and legal means of execution (deleted)
17Q First examination report despatched

Effective date: 20161102

RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: ALCATEL LUCENT

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20180131