ES2662173T3 - Identificación de servicios proporcionados en conexiones seguras que usan el almacenamiento en caché de DNS - Google Patents
Identificación de servicios proporcionados en conexiones seguras que usan el almacenamiento en caché de DNS Download PDFInfo
- Publication number
- ES2662173T3 ES2662173T3 ES15172891.2T ES15172891T ES2662173T3 ES 2662173 T3 ES2662173 T3 ES 2662173T3 ES 15172891 T ES15172891 T ES 15172891T ES 2662173 T3 ES2662173 T3 ES 2662173T3
- Authority
- ES
- Spain
- Prior art keywords
- services
- dns
- service
- session
- type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/062—Generation of reports related to network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2483—Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1069—Session establishment or de-establishment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/568—Storing data temporarily at an intermediate stage, e.g. caching
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5003—Managing SLA; Interaction between SLA and QoS
- H04L41/5019—Ensuring fulfilment of SLA
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5058—Service discovery by the service manager
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
Abstract
Un método de comunicación que comprende: interceptar el Sistema de Nombre de Dominio, DNS, mensajes que son enviados en una red de comunicación en preparación para fijar las respectivas sesiones de comunicación que proporcionan los respectivos servicios asociados con los respectivos tipos de servicios, en donde las sesiones de comunicación están asociadas con los respectivos usuarios (32) que consumen los respectivos servicios, y con las respectivas áreas geográficas (42) en las que las sesiones de comunicación son entregadas; extraer de los mensajes DNS interceptados una información DNS que es indicativa de los respectivos tipos de servicios, y almacenar en caché la información DNS extraída globalmente para pluralidades de usuarios por área geográfica (42) y no sólo por usuario (32); e identificar un tipo de servicio (220) asociado con una sesión de comunicación dada que usa la información DNS globalmente almacenada en caché, y aplicar una policía de tráfico (232) a la sesión de comunicación dada dependiendo del tipo de servicio identificado.
Description
5
10
15
20
25
30
35
40
45
50
55
En algunas realizaciones un único ordenador principal servidor puede hospedar muchos nombres del ordenador principal de DNS en la misma dirección IP, correspondiendo cada uno a un servicio diferente. En tales realizaciones el UE puede enviar al ordenador principal servidor una solicitud que incluye una Indicación de Nombre del Servidor (SNI), que identifica un nombre del ordenador principal seleccionado entre los múltiples nombres del ordenador principal en el ordenador principal servidor. Un SNI dado corresponde típicamente a un único tipo de servicio. El SNI está definido, por ejemplo, en las especificaciones IETF RFC 3546, tituladas “Ampliaciones de Seguridad de la Capa de Transporte (TLS)”, publicadas en Junio de 2003.
Cuando se recibe una solicitud de UE que incluye una SNI, el ordenador principal servidor responde presentando al UE un certificado que incluye el nombre del ordenador principal que está asociado con el SNI. En contraste con los SNIs, un certificado puede corresponder a un único tipo de servicio o a muchos tipos de servicios, por ejemplo cuando el ordenador principal servidor incluye un único nombre del ordenador principal o muchos nombres del ordenador principal, respectivamente.
Como se ha descrito antes, el procesador 52 comprende un de SNI / analizador de certificado 68 que intercepta mensajes relacionados con la fase de establecimiento de sesiones protegidas. Cuando el SNI / analizador de certificado 68 intercepta un mensaje de solicitud de UE que incluye un SNI, el analizador 68 asigna el SNI a un respectivo servicio predefinido y envía este tipo de servicio basado en SNI a la unidad de decisión 66.
Cuando el analizador 68 intercepta además la respuesta del ordenador principal servidor, incluyendo el respectivo certificado, el analizador 68 asigna la información relacionada del tipo de servicio integrada en el certificado en los respectivos uno o más tipos de servicios predefinidos y envía estos tipos de servicios basados en certificados a la unidad de decisión 66.
El procesador 52 comprende un estado 72 de la sesión, que gestiona información del estado de las sesiones activas que son interceptadas por el gestor de tráfico 50. El procesador 52 puede identificar sesiones individuales en el estado 72 de la sesión usando cualquier método apropiado tal como, por ejemplo, asignando a cada sesión un respectivo identificador de la sesión. El estado 72 de la sesión almacena los tipos de servicios generados a partir de la unidad de decisión 66 en asociación con la respectiva sesión de comunicación.
En algunos casos los mensajes de respuesta de DNS del DNS 48 no están disponibles. Por ejemplo, el UE puede almacenar en caché la dirección IP del ordenador principal internamente y por lo tanto no solicita la dirección IP al DNS 48. Como otro ejemplo, la fase del DNS puede haber ocurrido cuando el UE fue servido por otro BS y por lo tanto el analizador de DNS podría no interceptar los mensajes de DNS. El procesador 52 comprende un IP / analizador de sesión 76 que intercepta las direcciones IP del ordenador principal relacionadas con las sesiones activas almacenadas en el estado 72 de la sesión. El procesador usa la dirección IP interceptada para consultar el área global del DNS caché 54 para recuperar los respectivos tipos de servicios basados en IP.
Cuando un mensaje interceptado pertenece a una sección activa para la que el tipo de servicio es todavía desconocido, el IP / analizador de sesión 76 extrae la dirección IP del ordenador principal del mensaje interceptado, y consulta la dirección IP en el DNS caché 54. Si la dirección IP es encontrada en el caché de área local o en el caché de área global, el DNS caché 54 entrega el o los tipos de servicios basados en IP respectivos a la unidad de decisión 66 que genera uno o más tipos de servicios actualizados como se ha descrito antes. El procesador 52 almacena a continuación el o los tipos de servicios actualizados en el estado 72 de la sesión.
Cuando los servicios basados en IP no están disponibles en el DNS caché, el procesador puede usar un tipo de servicio por defecto, o intentar derivar uno o más tipos de servicios, por ejemplo, a partir de la información integrada en los mensajes de establecimiento de la sesión, o a partir de las características del flujo, como se describirá con detalle más adelante.
En algunas realizaciones el IP / analizador de sesión 76 infiere información con respecto al tipo de servicio de una sesión dada monitorizando ciertas características de flujo de la sesión. Por ejemplo, en una realización el IP / analizador de sesión 76 monitoriza el volumen de datos entregado desde la iniciación de la sesión y distingue entre una descarga o servicio de navegación basado en el volumen de datos. Por ejemplo, cuando el volumen de datos excede un volumen predefinido (por ejemplo, en bytes), el procesador puede inferir que el tipo de servicio se refiere a un servicio de descarga y no a una navegación por la web. Otras características de flujo que pueden indicar el tipo de servicio incluyen el tamaño del paquete, el paso del paquete, y la fluctuación de los intervalos entre paquetes. Por ejemplo, una corriente de voz típicamente comprende paquetes cortos a alguna velocidad constante, en tanto que una corriente de vídeo típicamente comprende unos paquetes mayores a una velocidad constante.
El procesador 52 comprende además una policía de tráfico 80 y un controlador de tráfico 84. La policía de tráfico 80 mantiene unas reglas de control de tráfico múltiples que el controlador de tráfico 84 puede aplicar a sesiones de comunicación individuales. Las acciones que el controlador de tráfico 84 puede emprender incluyen, por ejemplo, la regulación del tráfico, posponiendo la entrega del tráfico a un momento posterior, y el bloqueo del tráfico. Alternativa
o adicionalmente, el controlador de tráfico 84 puede ser usado para monitorizar el tráfico así como para informar del tráfico. El controlador de tráfico 84 puede aplicar la policía de tráfico separadamente por UE o por área geográfica tal como por BSs 42.
7
Claims (1)
-
imagen1 imagen2
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201414341809 | 2014-07-27 | ||
US14/341,809 US9521060B2 (en) | 2014-07-27 | 2014-07-27 | Identifying services provided over secured connections using DNS caching |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2662173T3 true ES2662173T3 (es) | 2018-04-05 |
Family
ID=53496428
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES15172891.2T Active ES2662173T3 (es) | 2014-07-27 | 2015-06-19 | Identificación de servicios proporcionados en conexiones seguras que usan el almacenamiento en caché de DNS |
Country Status (3)
Country | Link |
---|---|
US (1) | US9521060B2 (es) |
EP (1) | EP2981046B1 (es) |
ES (1) | ES2662173T3 (es) |
Families Citing this family (29)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150188949A1 (en) * | 2013-12-31 | 2015-07-02 | Lookout, Inc. | Cloud-based network security |
US10171532B2 (en) * | 2014-09-30 | 2019-01-01 | Citrix Systems, Inc. | Methods and systems for detection and classification of multimedia content in secured transactions |
US10320739B2 (en) | 2014-12-12 | 2019-06-11 | Donuts Inc. | Communication using DNS repurposing |
US10855645B2 (en) * | 2015-01-09 | 2020-12-01 | Microsoft Technology Licensing, Llc | EPC node selection using custom service types |
ES2793016T3 (es) | 2015-03-10 | 2020-11-12 | Microsoft Technology Licensing Llc | Manejo de redireccionamiento mejorado del servidor de políticas |
JP6726968B2 (ja) * | 2016-01-19 | 2020-07-22 | キヤノン株式会社 | 遠隔支援システム、画像形成装置、外部端末、それらの制御方法、及びプログラム |
WO2017161081A1 (en) * | 2016-03-16 | 2017-09-21 | Affirmed Networks, Inc. | Systems and methods for intelligent transport layer security |
US10298650B2 (en) | 2016-04-20 | 2019-05-21 | Vasona Networks, Inc. | Maximum sustainable encoding bit rates for video downloads |
US10944836B2 (en) * | 2016-10-31 | 2021-03-09 | Vivint, Inc. | Dynamically addressable network services |
US20180139229A1 (en) * | 2016-11-11 | 2018-05-17 | Verisign, Inc. | Profiling domain name system (dns) traffic |
JP6743906B2 (ja) * | 2016-11-30 | 2020-08-19 | 日本電気株式会社 | 通信装置、通信方法、プログラム |
US11089100B2 (en) | 2017-01-12 | 2021-08-10 | Vivint, Inc. | Link-server caching |
US10548140B2 (en) | 2017-05-02 | 2020-01-28 | Affirmed Networks, Inc. | Flexible load distribution and management in an MME pool |
WO2018204924A1 (en) | 2017-05-05 | 2018-11-08 | Affirmed Networks, Inc. | Methods of and systems of service capabilities exposure function (scef) based internet-of-things (iot) communications |
JP7234141B2 (ja) | 2017-05-31 | 2023-03-07 | マイクロソフト テクノロジー ライセンシング,エルエルシー | Ipsecの地理的冗長性のための分離した制御プレーンおよびデータプレーンの同期 |
US10856134B2 (en) | 2017-09-19 | 2020-12-01 | Microsoft Technolgy Licensing, LLC | SMS messaging using a service capability exposure function |
US10637906B2 (en) | 2017-10-31 | 2020-04-28 | Cisco Technology, Inc. | Dynamic socket QoS settings for web service connections |
US10305812B1 (en) | 2017-11-05 | 2019-05-28 | Vasona Networks, Inc. | Tracking flows having encrypted sequence and acknowledgement numbers |
WO2019164864A1 (en) | 2018-02-20 | 2019-08-29 | Affirmed Networks, Inc. | Dynamic selection of network elements |
EP3531626A1 (en) * | 2018-02-23 | 2019-08-28 | Rohde & Schwarz GmbH & Co. KG | Device, method, and computer program for identifying application triggered connections |
AU2019238187B2 (en) | 2018-03-20 | 2022-08-25 | Microsoft Technology Licensing, Llc | Systems and methods for network slicing |
WO2020023511A1 (en) | 2018-07-23 | 2020-01-30 | Affirmed Networks, Inc. | System and method for intelligently managing sessions in a mobile network |
US11025589B1 (en) * | 2018-08-31 | 2021-06-01 | Cisco Technology, Inc | Location-independent data-object name mapping |
US10992777B2 (en) * | 2019-06-19 | 2021-04-27 | Netscout Systems, Inc | System and method for identifying OTT applications and services |
US11755503B2 (en) | 2020-10-29 | 2023-09-12 | Storj Labs International Sezc | Persisting directory onto remote storage nodes and smart downloader/uploader based on speed of peers |
TW202241091A (zh) * | 2021-04-07 | 2022-10-16 | 聚騰科技股份有限公司 | 網路連線的服務類型的辨識方法 |
US11602009B2 (en) | 2021-07-20 | 2023-03-07 | Netscout Systems, Inc. | Enrichment of monitoring user plane data using PFCP monitoring |
US11723105B2 (en) * | 2021-07-20 | 2023-08-08 | Netscout Systems, Inc. | 5G N3 data plane enrichment using N11 interface in a monitoring system |
US20230198938A1 (en) * | 2021-12-18 | 2023-06-22 | Microsoft Technology Licensing, Llc | Using entity name mapping for routing network traffic having encrypted server name identification (sni) headers |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7769875B1 (en) | 2004-08-03 | 2010-08-03 | Juniper Networks, Inc. | Managing a network flow using application classification information and active signaling relay |
US8745191B2 (en) * | 2009-01-28 | 2014-06-03 | Headwater Partners I Llc | System and method for providing user notifications |
US9557889B2 (en) * | 2009-01-28 | 2017-01-31 | Headwater Partners I Llc | Service plan design, user interfaces, application programming interfaces, and device management |
US9237168B2 (en) * | 2012-05-17 | 2016-01-12 | Cisco Technology, Inc. | Transport layer security traffic control using service name identification |
TW201409986A (zh) | 2012-06-04 | 2014-03-01 | Interdigital Patent Holdings | 在非核心閘道執行區域選擇ip訊務卸載及區域ip存取合法截取 |
US20130332986A1 (en) * | 2012-06-08 | 2013-12-12 | Bluebox | Methods and apparatus for dynamically reducing virtual private network traffic from mobile devices |
US9071984B1 (en) * | 2013-02-15 | 2015-06-30 | Sprint Spectrum L.P. | Modifying a data flow mechanism variable in a communication network |
US9887881B2 (en) * | 2013-10-30 | 2018-02-06 | Cisco Technology, Inc. | DNS-assisted application identification |
-
2014
- 2014-07-27 US US14/341,809 patent/US9521060B2/en active Active
-
2015
- 2015-06-19 EP EP15172891.2A patent/EP2981046B1/en not_active Not-in-force
- 2015-06-19 ES ES15172891.2T patent/ES2662173T3/es active Active
Also Published As
Publication number | Publication date |
---|---|
EP2981046A1 (en) | 2016-02-03 |
US20160028607A1 (en) | 2016-01-28 |
US9521060B2 (en) | 2016-12-13 |
EP2981046B1 (en) | 2017-12-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2662173T3 (es) | Identificación de servicios proporcionados en conexiones seguras que usan el almacenamiento en caché de DNS | |
US11816033B2 (en) | Anonymized network addressing in content delivery networks | |
US10623515B2 (en) | Stenographic marking using network addressing | |
US10142291B2 (en) | System for providing DNS-based policies for devices | |
JP6030805B2 (ja) | ネットワークトラフィックマッピング及び性能分析 | |
ES2963965T3 (es) | Sistema y procedimiento de seguimiento de nombres de dominio para la gestión de redes | |
CN104468865B (zh) | 域名解析控制、响应方法及相应的装置 | |
US20170155678A1 (en) | Attack mitigation in content delivery networks using stenographic network addressing | |
US9712422B2 (en) | Selection of service nodes for provision of services | |
TWI727059B (zh) | 處理網路流量的方法及裝置 | |
US9660833B2 (en) | Application identification in records of network flows | |
CN104283983B (zh) | 一种软件定义网络中虚拟机ip地址分配方法及装置 | |
US20160164825A1 (en) | Policy Implementation Based on Data from a Domain Name System Authoritative Source | |
US20150032892A1 (en) | Interest forwarding for interactive client anonymity | |
US20130254872A1 (en) | System and method for mitigating a denial of service attack using cloud computing | |
US20210243214A1 (en) | Nonce injection and observation system for detecting eavesdroppers | |
US9942050B2 (en) | Method and apparatus for bulk authentication and load balancing of networked devices | |
US10237151B2 (en) | Attributing network address translation device processed traffic to individual hosts | |
GB2543312A (en) | Network identification as a service | |
WO2021135950A1 (zh) | 数据管理方法及系统、关联子系统和计算机可读介质 | |
CA2939978A1 (en) | Manage encrypted network traffic using spoofed addresses | |
EP2963880B1 (en) | Data sending and processing method and router | |
CN106453421B (zh) | 融合LTE的智慧标识网络对服务篡改DoS攻击的协同防御方法 | |
CN104065688B (zh) | 一种调用底层服务的方法及装置 | |
US10560480B1 (en) | Rule enforcement based on network address requests |