ES2662173T3 - Identificación de servicios proporcionados en conexiones seguras que usan el almacenamiento en caché de DNS - Google Patents

Identificación de servicios proporcionados en conexiones seguras que usan el almacenamiento en caché de DNS Download PDF

Info

Publication number
ES2662173T3
ES2662173T3 ES15172891.2T ES15172891T ES2662173T3 ES 2662173 T3 ES2662173 T3 ES 2662173T3 ES 15172891 T ES15172891 T ES 15172891T ES 2662173 T3 ES2662173 T3 ES 2662173T3
Authority
ES
Spain
Prior art keywords
services
dns
service
session
type
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES15172891.2T
Other languages
English (en)
Inventor
Ofer Weill
Roni BAR-YANAI
Ishai Asa
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Vasona Networks Inc
Original Assignee
Vasona Networks Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Vasona Networks Inc filed Critical Vasona Networks Inc
Application granted granted Critical
Publication of ES2662173T3 publication Critical patent/ES2662173T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2483Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1069Session establishment or de-establishment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/568Storing data temporarily at an intermediate stage, e.g. caching
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5003Managing SLA; Interaction between SLA and QoS
    • H04L41/5019Ensuring fulfilment of SLA
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5058Service discovery by the service manager
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS

Abstract

Un método de comunicación que comprende: interceptar el Sistema de Nombre de Dominio, DNS, mensajes que son enviados en una red de comunicación en preparación para fijar las respectivas sesiones de comunicación que proporcionan los respectivos servicios asociados con los respectivos tipos de servicios, en donde las sesiones de comunicación están asociadas con los respectivos usuarios (32) que consumen los respectivos servicios, y con las respectivas áreas geográficas (42) en las que las sesiones de comunicación son entregadas; extraer de los mensajes DNS interceptados una información DNS que es indicativa de los respectivos tipos de servicios, y almacenar en caché la información DNS extraída globalmente para pluralidades de usuarios por área geográfica (42) y no sólo por usuario (32); e identificar un tipo de servicio (220) asociado con una sesión de comunicación dada que usa la información DNS globalmente almacenada en caché, y aplicar una policía de tráfico (232) a la sesión de comunicación dada dependiendo del tipo de servicio identificado.

Description

imagen1
imagen2
imagen3
imagen4
imagen5
5
10
15
20
25
30
35
40
45
50
55
En algunas realizaciones un único ordenador principal servidor puede hospedar muchos nombres del ordenador principal de DNS en la misma dirección IP, correspondiendo cada uno a un servicio diferente. En tales realizaciones el UE puede enviar al ordenador principal servidor una solicitud que incluye una Indicación de Nombre del Servidor (SNI), que identifica un nombre del ordenador principal seleccionado entre los múltiples nombres del ordenador principal en el ordenador principal servidor. Un SNI dado corresponde típicamente a un único tipo de servicio. El SNI está definido, por ejemplo, en las especificaciones IETF RFC 3546, tituladas “Ampliaciones de Seguridad de la Capa de Transporte (TLS)”, publicadas en Junio de 2003.
Cuando se recibe una solicitud de UE que incluye una SNI, el ordenador principal servidor responde presentando al UE un certificado que incluye el nombre del ordenador principal que está asociado con el SNI. En contraste con los SNIs, un certificado puede corresponder a un único tipo de servicio o a muchos tipos de servicios, por ejemplo cuando el ordenador principal servidor incluye un único nombre del ordenador principal o muchos nombres del ordenador principal, respectivamente.
Como se ha descrito antes, el procesador 52 comprende un de SNI / analizador de certificado 68 que intercepta mensajes relacionados con la fase de establecimiento de sesiones protegidas. Cuando el SNI / analizador de certificado 68 intercepta un mensaje de solicitud de UE que incluye un SNI, el analizador 68 asigna el SNI a un respectivo servicio predefinido y envía este tipo de servicio basado en SNI a la unidad de decisión 66.
Cuando el analizador 68 intercepta además la respuesta del ordenador principal servidor, incluyendo el respectivo certificado, el analizador 68 asigna la información relacionada del tipo de servicio integrada en el certificado en los respectivos uno o más tipos de servicios predefinidos y envía estos tipos de servicios basados en certificados a la unidad de decisión 66.
El procesador 52 comprende un estado 72 de la sesión, que gestiona información del estado de las sesiones activas que son interceptadas por el gestor de tráfico 50. El procesador 52 puede identificar sesiones individuales en el estado 72 de la sesión usando cualquier método apropiado tal como, por ejemplo, asignando a cada sesión un respectivo identificador de la sesión. El estado 72 de la sesión almacena los tipos de servicios generados a partir de la unidad de decisión 66 en asociación con la respectiva sesión de comunicación.
En algunos casos los mensajes de respuesta de DNS del DNS 48 no están disponibles. Por ejemplo, el UE puede almacenar en caché la dirección IP del ordenador principal internamente y por lo tanto no solicita la dirección IP al DNS 48. Como otro ejemplo, la fase del DNS puede haber ocurrido cuando el UE fue servido por otro BS y por lo tanto el analizador de DNS podría no interceptar los mensajes de DNS. El procesador 52 comprende un IP / analizador de sesión 76 que intercepta las direcciones IP del ordenador principal relacionadas con las sesiones activas almacenadas en el estado 72 de la sesión. El procesador usa la dirección IP interceptada para consultar el área global del DNS caché 54 para recuperar los respectivos tipos de servicios basados en IP.
Cuando un mensaje interceptado pertenece a una sección activa para la que el tipo de servicio es todavía desconocido, el IP / analizador de sesión 76 extrae la dirección IP del ordenador principal del mensaje interceptado, y consulta la dirección IP en el DNS caché 54. Si la dirección IP es encontrada en el caché de área local o en el caché de área global, el DNS caché 54 entrega el o los tipos de servicios basados en IP respectivos a la unidad de decisión 66 que genera uno o más tipos de servicios actualizados como se ha descrito antes. El procesador 52 almacena a continuación el o los tipos de servicios actualizados en el estado 72 de la sesión.
Cuando los servicios basados en IP no están disponibles en el DNS caché, el procesador puede usar un tipo de servicio por defecto, o intentar derivar uno o más tipos de servicios, por ejemplo, a partir de la información integrada en los mensajes de establecimiento de la sesión, o a partir de las características del flujo, como se describirá con detalle más adelante.
En algunas realizaciones el IP / analizador de sesión 76 infiere información con respecto al tipo de servicio de una sesión dada monitorizando ciertas características de flujo de la sesión. Por ejemplo, en una realización el IP / analizador de sesión 76 monitoriza el volumen de datos entregado desde la iniciación de la sesión y distingue entre una descarga o servicio de navegación basado en el volumen de datos. Por ejemplo, cuando el volumen de datos excede un volumen predefinido (por ejemplo, en bytes), el procesador puede inferir que el tipo de servicio se refiere a un servicio de descarga y no a una navegación por la web. Otras características de flujo que pueden indicar el tipo de servicio incluyen el tamaño del paquete, el paso del paquete, y la fluctuación de los intervalos entre paquetes. Por ejemplo, una corriente de voz típicamente comprende paquetes cortos a alguna velocidad constante, en tanto que una corriente de vídeo típicamente comprende unos paquetes mayores a una velocidad constante.
El procesador 52 comprende además una policía de tráfico 80 y un controlador de tráfico 84. La policía de tráfico 80 mantiene unas reglas de control de tráfico múltiples que el controlador de tráfico 84 puede aplicar a sesiones de comunicación individuales. Las acciones que el controlador de tráfico 84 puede emprender incluyen, por ejemplo, la regulación del tráfico, posponiendo la entrega del tráfico a un momento posterior, y el bloqueo del tráfico. Alternativa
o adicionalmente, el controlador de tráfico 84 puede ser usado para monitorizar el tráfico así como para informar del tráfico. El controlador de tráfico 84 puede aplicar la policía de tráfico separadamente por UE o por área geográfica tal como por BSs 42.
7
imagen6
imagen7

Claims (1)

  1. imagen1
    imagen2
ES15172891.2T 2014-07-27 2015-06-19 Identificación de servicios proporcionados en conexiones seguras que usan el almacenamiento en caché de DNS Active ES2662173T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US201414341809 2014-07-27
US14/341,809 US9521060B2 (en) 2014-07-27 2014-07-27 Identifying services provided over secured connections using DNS caching

Publications (1)

Publication Number Publication Date
ES2662173T3 true ES2662173T3 (es) 2018-04-05

Family

ID=53496428

Family Applications (1)

Application Number Title Priority Date Filing Date
ES15172891.2T Active ES2662173T3 (es) 2014-07-27 2015-06-19 Identificación de servicios proporcionados en conexiones seguras que usan el almacenamiento en caché de DNS

Country Status (3)

Country Link
US (1) US9521060B2 (es)
EP (1) EP2981046B1 (es)
ES (1) ES2662173T3 (es)

Families Citing this family (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150188949A1 (en) * 2013-12-31 2015-07-02 Lookout, Inc. Cloud-based network security
US10171532B2 (en) * 2014-09-30 2019-01-01 Citrix Systems, Inc. Methods and systems for detection and classification of multimedia content in secured transactions
US10320739B2 (en) 2014-12-12 2019-06-11 Donuts Inc. Communication using DNS repurposing
US10855645B2 (en) * 2015-01-09 2020-12-01 Microsoft Technology Licensing, Llc EPC node selection using custom service types
ES2793016T3 (es) 2015-03-10 2020-11-12 Microsoft Technology Licensing Llc Manejo de redireccionamiento mejorado del servidor de políticas
JP6726968B2 (ja) * 2016-01-19 2020-07-22 キヤノン株式会社 遠隔支援システム、画像形成装置、外部端末、それらの制御方法、及びプログラム
WO2017161081A1 (en) * 2016-03-16 2017-09-21 Affirmed Networks, Inc. Systems and methods for intelligent transport layer security
US10298650B2 (en) 2016-04-20 2019-05-21 Vasona Networks, Inc. Maximum sustainable encoding bit rates for video downloads
US10944836B2 (en) * 2016-10-31 2021-03-09 Vivint, Inc. Dynamically addressable network services
US20180139229A1 (en) * 2016-11-11 2018-05-17 Verisign, Inc. Profiling domain name system (dns) traffic
JP6743906B2 (ja) * 2016-11-30 2020-08-19 日本電気株式会社 通信装置、通信方法、プログラム
US11089100B2 (en) 2017-01-12 2021-08-10 Vivint, Inc. Link-server caching
US10548140B2 (en) 2017-05-02 2020-01-28 Affirmed Networks, Inc. Flexible load distribution and management in an MME pool
WO2018204924A1 (en) 2017-05-05 2018-11-08 Affirmed Networks, Inc. Methods of and systems of service capabilities exposure function (scef) based internet-of-things (iot) communications
JP7234141B2 (ja) 2017-05-31 2023-03-07 マイクロソフト テクノロジー ライセンシング,エルエルシー Ipsecの地理的冗長性のための分離した制御プレーンおよびデータプレーンの同期
US10856134B2 (en) 2017-09-19 2020-12-01 Microsoft Technolgy Licensing, LLC SMS messaging using a service capability exposure function
US10637906B2 (en) 2017-10-31 2020-04-28 Cisco Technology, Inc. Dynamic socket QoS settings for web service connections
US10305812B1 (en) 2017-11-05 2019-05-28 Vasona Networks, Inc. Tracking flows having encrypted sequence and acknowledgement numbers
WO2019164864A1 (en) 2018-02-20 2019-08-29 Affirmed Networks, Inc. Dynamic selection of network elements
EP3531626A1 (en) * 2018-02-23 2019-08-28 Rohde & Schwarz GmbH & Co. KG Device, method, and computer program for identifying application triggered connections
AU2019238187B2 (en) 2018-03-20 2022-08-25 Microsoft Technology Licensing, Llc Systems and methods for network slicing
WO2020023511A1 (en) 2018-07-23 2020-01-30 Affirmed Networks, Inc. System and method for intelligently managing sessions in a mobile network
US11025589B1 (en) * 2018-08-31 2021-06-01 Cisco Technology, Inc Location-independent data-object name mapping
US10992777B2 (en) * 2019-06-19 2021-04-27 Netscout Systems, Inc System and method for identifying OTT applications and services
US11755503B2 (en) 2020-10-29 2023-09-12 Storj Labs International Sezc Persisting directory onto remote storage nodes and smart downloader/uploader based on speed of peers
TW202241091A (zh) * 2021-04-07 2022-10-16 聚騰科技股份有限公司 網路連線的服務類型的辨識方法
US11602009B2 (en) 2021-07-20 2023-03-07 Netscout Systems, Inc. Enrichment of monitoring user plane data using PFCP monitoring
US11723105B2 (en) * 2021-07-20 2023-08-08 Netscout Systems, Inc. 5G N3 data plane enrichment using N11 interface in a monitoring system
US20230198938A1 (en) * 2021-12-18 2023-06-22 Microsoft Technology Licensing, Llc Using entity name mapping for routing network traffic having encrypted server name identification (sni) headers

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7769875B1 (en) 2004-08-03 2010-08-03 Juniper Networks, Inc. Managing a network flow using application classification information and active signaling relay
US8745191B2 (en) * 2009-01-28 2014-06-03 Headwater Partners I Llc System and method for providing user notifications
US9557889B2 (en) * 2009-01-28 2017-01-31 Headwater Partners I Llc Service plan design, user interfaces, application programming interfaces, and device management
US9237168B2 (en) * 2012-05-17 2016-01-12 Cisco Technology, Inc. Transport layer security traffic control using service name identification
TW201409986A (zh) 2012-06-04 2014-03-01 Interdigital Patent Holdings 在非核心閘道執行區域選擇ip訊務卸載及區域ip存取合法截取
US20130332986A1 (en) * 2012-06-08 2013-12-12 Bluebox Methods and apparatus for dynamically reducing virtual private network traffic from mobile devices
US9071984B1 (en) * 2013-02-15 2015-06-30 Sprint Spectrum L.P. Modifying a data flow mechanism variable in a communication network
US9887881B2 (en) * 2013-10-30 2018-02-06 Cisco Technology, Inc. DNS-assisted application identification

Also Published As

Publication number Publication date
EP2981046A1 (en) 2016-02-03
US20160028607A1 (en) 2016-01-28
US9521060B2 (en) 2016-12-13
EP2981046B1 (en) 2017-12-20

Similar Documents

Publication Publication Date Title
ES2662173T3 (es) Identificación de servicios proporcionados en conexiones seguras que usan el almacenamiento en caché de DNS
US11816033B2 (en) Anonymized network addressing in content delivery networks
US10623515B2 (en) Stenographic marking using network addressing
US10142291B2 (en) System for providing DNS-based policies for devices
JP6030805B2 (ja) ネットワークトラフィックマッピング及び性能分析
ES2963965T3 (es) Sistema y procedimiento de seguimiento de nombres de dominio para la gestión de redes
CN104468865B (zh) 域名解析控制、响应方法及相应的装置
US20170155678A1 (en) Attack mitigation in content delivery networks using stenographic network addressing
US9712422B2 (en) Selection of service nodes for provision of services
TWI727059B (zh) 處理網路流量的方法及裝置
US9660833B2 (en) Application identification in records of network flows
CN104283983B (zh) 一种软件定义网络中虚拟机ip地址分配方法及装置
US20160164825A1 (en) Policy Implementation Based on Data from a Domain Name System Authoritative Source
US20150032892A1 (en) Interest forwarding for interactive client anonymity
US20130254872A1 (en) System and method for mitigating a denial of service attack using cloud computing
US20210243214A1 (en) Nonce injection and observation system for detecting eavesdroppers
US9942050B2 (en) Method and apparatus for bulk authentication and load balancing of networked devices
US10237151B2 (en) Attributing network address translation device processed traffic to individual hosts
GB2543312A (en) Network identification as a service
WO2021135950A1 (zh) 数据管理方法及系统、关联子系统和计算机可读介质
CA2939978A1 (en) Manage encrypted network traffic using spoofed addresses
EP2963880B1 (en) Data sending and processing method and router
CN106453421B (zh) 融合LTE的智慧标识网络对服务篡改DoS攻击的协同防御方法
CN104065688B (zh) 一种调用底层服务的方法及装置
US10560480B1 (en) Rule enforcement based on network address requests