TWI332159B - Method, system, analyser, router, and computer readable medium of detecting a distributed denial of service (ddos) attack in the internet - Google Patents
Method, system, analyser, router, and computer readable medium of detecting a distributed denial of service (ddos) attack in the internet Download PDFInfo
- Publication number
- TWI332159B TWI332159B TW094121128A TW94121128A TWI332159B TW I332159 B TWI332159 B TW I332159B TW 094121128 A TW094121128 A TW 094121128A TW 94121128 A TW94121128 A TW 94121128A TW I332159 B TWI332159 B TW I332159B
- Authority
- TW
- Taiwan
- Prior art keywords
- packet
- router
- internet
- attack
- time zone
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/141—Denial of service attacks against endpoints in a network
Description
1332159 •年.¥日修正替換頁 .穿號:94121128 $7年7月11日修正-替換頁 九、發明說明: 【發明所屬之技術領域】 祕在封^料鱗巾,辨齡狀拒絕服務 及防禦鱗攻擊之核。㈣言之,本發 月係關於辨識DD〇S攻擊目標(犧牲)裝 相連的_統,以及關於減緩此 類攻擊對目目標影響之方法。 胃 【先前技術】 ^拒絕服務(Dos)攻擊係一種攻擊者(或複數個攻擊者) 二式:方止或削弱(impair)電腦主機端、路由器、词服器網 ‘路或類似設備之合法使用,而進行之明確的嘗試簽入(_也 • 行為。當此類攻擊可以在目標網路系統中被啟動時, =壓倒性多數之此類攻擊將可由外部純以及與網際網路 相連之網路系統中加以啟動。現今之網際網路連接裝置、系统 •與網路均面臨快速發展以及對於DgS之攻擊威#。此類攻擊 • ^只損害特定目標,且威脅網際網路本身的穩定度。舉例來 况,大多數的DoS攻擊動機多出於電腦骇客們(hacker)之「, 耀(showoff)」所驅使、表達憤怒、或尋求報復。然而,有證 據顯示DoS攻擊有被電腦#犯增加使用於恐嚇⑴純遍) 止業的趨勢,這些企業由線上(以網路網路為基礎的)活動而 得利,而令人擔心的是恐怖份子會利用D〇s攻擊以作為中 斷政府組織(governmental organization)良好治理之手段。 對於DgS攻擊可以在,網際網路内部被啟動的方便性 1332159
(ease),乃是使網際網路得^ 網路係以功能性而非安全性加 =得以成功之特_直接結果。網際
自由,使得如㈤DoS攻擊之類的濫用有機會產生二 (c〇nrnp〇liey)。讀制者_參__路的設計
DoS攻擊係利用網際、網路之資源有限的事實。互聯自主系 統(ASes,Autonomous System)包含網際網路核心以及盥並 才目連之網路、系統、裝置,且由有限頻寬、處理能力、以及儲 存空間所組成,而這些都是DqS攻擊的常見目標;因為d〇s 係設計以雜目標相當數量之可时源,作為達成某種程度的 服務失效(chsrupticm)。此外,網際網路上的安全係互相依賴 (interdependent)的程度报高。亦即7Dos攻擊通常由安全相 ,之妥協(compromises)而被破壞的系統處所發動侵入防 衛系統並非僅保護所支援的網際網路資源,其亦幫助防止此類 資源被使用於攻擊其他網際網路連接的系統或網路。因此,鉦 論網際網路資源被保護的多好,其安全性亦與網際網路上其^ 不刀之女全性息息相關。其他對於允許DoS攻擊在網際網路 中產生的自由係在於’多數需要用於端點主機間之服務保證的 清報係位於端點主機上而非在網際網路上,且網際網路於中介 網路間使用寬頻通道,可帶給目標大量的訊息。
I332·59 M I · .. ; ' . .·-.- .·-·->'-:案號:94121128 • _ -..........」97年7月11日修正-替換頁 早期DgS攻擊麟涉及,從n關單—目的地產生 傳送封包的簡單工具。此些攻擊通常係手動地設定,因此其頻 率與效能亦有限制,例如且討經由來源位置封包碱器而被 . 快速地防禦。然而,開發用於自動執行多重資源而對於一或多 個目標之攻擊工具組稱為分散式D〇s攻擊(DD〇s)。此工具 組輕易地從骇客網站中下载且容易使用,即使是不熟練的網際 網路使用者亦可建立DDoS攻擊。 在-目標上的多重資源攻擊是目前由網路上相連之設 備、系統、網路所啟動的攻擊中常見的DD〇s攻擊類型❶此類 .攻擊利用網際網路與目標間的大量資源不對稱(asym卿), .累積大量的被人侵域端,在同-時間内傳送無用的封包到該 目標。結合的流量通常大到足以使目標系統或網路當機 (crash)且/或减於其網際網路連結中,藉此有效地將目尸 從網際網路中移除,致少在攻擊持續的時間内。此釋攻擊通; φ 成為封包氾濫的DDoS攻擊。 對於單-資源的DD〇S攻擊來說,追縱其攻擊來源 如,封包中含有的來源位置)及使用封包過濾器(用以排 其他資源接收之封包)是可能的。DD〇s攻擊係惡意地在 個被破壞的主機傳送無用封包到一目標,其數目係數以萬計 (甚至十萬)’且以虛偽位置遮蓋(masking)被破壞主機身产 的手段亦屬常用。假使無_包的來源可以被辨識,亦對於:
年另3修正f、換I ^案號:94121128 97年7月11曰修正-替換頁 紫其本身亚無幫助。因為魏的封包可能是來自合法的來源而 僅係快速地轉送封包到目標,此稱為反射(邊 或非直 接的DDoS攻擊。從這些來源端阻擋封包也會影響到合法使用 者的封包。 -個成功的DDgS可容易地在目標處被彳貞測到,因為其可 檢視所有造賴和與纽赋擊桃。雜侧DDqS攻擊允 許目標執行如同封包财般的防禦,同時健有—些可用封包 處理資源並沒有被攻擊所㈣,攻擊之侧麟必定會造成有 效的過濾封包作用t維持該目標某種程度的服務。因為攻擊的 天然之分散性’在目標處或鄰近之封包過細通常投下正常的 (合法的)封包’且因為封包過渡器無法用以區別攻擊封包中 導致目標服務之至少-損害。因此大致上,在目標上债測 DDoS的防禦方式並非有效’因為其總是來不及輯(m_) 對目標之有效防禦措施。 面對目標網路的困難之處在於,個DD〇s攻擊的能力越 接近目標麟觸大,而猶封包_免攻擊封包的效率也是 越靠近目標網關效率越好,亦即,既然此種過射太可能會 去轉指向目標合法封包,考慮在靠近攻縣源㈣過遽攻擊 1332159 年 曰修正替換頁 案號:94121128 97年7月11日修正·替換頁 藉此有效地在目標網路停止所有服務,且否定目標網 以保護該網路免於DDoS的攻擊。 忭用 制DDoS攻擊的—個解決方案在於,在攻擊封包 ”積絲(aggregatede細)出現前將網際網路“ 系統從網際網路中的配置移除。此類在網際網路中某些選 點使用關於網職量讎行為之資訊线,用以決定攻擊 f。此種系統是現行可用的,且一般用稱為『網際網路防火 牆』。此類系統在網際網路中監看通過節點間的封包, :累積封包留的行為併嘗試判斷是否顯著地偏離了正常^ 為邮以作為翻DDoS攻擊之方法。題在於#試定性出 =胃正常行為由何組成,如制翻傳到給定目標位置的封 ^數目,或是使用者資料通訊協定(⑽仏吨職MW 咖)與傳輪控制協定(Transmissi〇nC〇咖1Pr〇t〇c〇1Tcp)’ =封包比值之限制。如基於合法的理由,流量型態可被快速的 ^變’例如新設網路變的受歡迎,或是配置新應用程式。如同 、=TCP SYN與ACK訊息之比值,可以顺某些D〇s攻擊, ,疋攻擊者顯示了其他令人印象深刻的能力,_不同的參數 可以快速地跳過偵測工具。 二不官1)1)〇8在哪裡或是如何被偵測,現行可行用於防禦此 ,攻擊的方法’除了簡單的放棄所有指向目目標封包(無論攻 罩的或是合法的),包含至少該目標且/或其ISP執行入口處 執行封包過濾。此係關於用ISP驗證該封包來源位置係適用於 1332159 Μ 7.ϋ ' '. ' 案號:94121128 - 97年7月11日修正-替換頁 接鍾而來的目標系統連線。‘然而,此需要脱去升級1裝備, 但因為BP很少從來自其客戶之_的DD〇S攻擊而整個_
痕’故ISP欠缺升級的動機。因此這就成為了 Isp冑者不願魚 . 倉扭的音杯。 I 另-種防禦DD〇S攻擊之包是包含強化(augmenting)封 包的日常資訊以允許遠端ISP得以辨識可能的連結(封包且有 特定來源位置時)。然而’此亦需ISP業者升級其裝備,然效 w 果卻有限,特別對ISP無法依此對目標收取費用。 利用存在網際網路通訊協定(〇>)内的標頭(header)外, . 用於包含允許、給定足夠封包的資訊之攔位,接收器會重建封 . 包所選擇的路㈣方式,可以允許接收H過赫攻擊封包。然 而,此種方法仍然可能被攻擊者濫用於搬運(convey)大量的 假為訊到目標(接收器),故其效果亦屬有限。. 、 • 跟隨(tai〗gate)存在封包的一個小子集,及利用藉由指出 封包經過之路由器而指出封包來源之特定控制封包,亦可幫助 接收器過濾攻擊封包。然而,此方法並無針對(address)辨識 合法路由器以及產生附加流量的問題,這在DD0S攻擊發生時 是有利的’然而在其他時間從網路容量觀點而言,則並非有利。 因此問題仍然在於如何辨識DDoS攻擊以及如何阻擋之 或減少其發生時所產生的影響。 1332159
案號:94121128 97年7月11日修正-替換頁 存在於網際網路某些選定節點(或複數節點),基於隨時 間向度變化參數之_ DDgS攻擊的絲,其有.形成網際 網路進步的技術而引領過去的技術轉型。因此需要一種基於參 數的方法,不姨著技術進步而改變以及可財很高的機 測出多數的DDoS攻擊。 貝 儘官有配置DDoS攻擊偵測系統到網際網路的動作,然而 大夕數DDoS伽ij與防禦系統均位於網際網路的邊緣,而由欲 保護其網路、系統及裝置之端點主機(接收器、可能目桿 操作。此類防禦系統主要是靠封包财而防禦攻擊,而基於;巳 濫封包的大量性’猶纽必須具妓量處理之能力以免本 先被癱瘓而失效。現今,就ISP的競爭而言,無法提供充 力讓ISP業者提升網路設備以防禦DD〇s攻擊,雖然當立法上 的堡力對全世界施加時,此情況鱗纽義此供之— 種方法’使得接收||可以變成更聰明的接收封包的過據器 產生其他相連網路與系統協助此一程序的動力。 【發明内容】 本發明提供在網際網路内合適節點上偵測DD0S攻 方法,其緩和(mitigates)且/或排除(obviates)已知系 統之缺點’特別是對於如現行網際網路防火牆等之偵測系統'、 入侵(intrusion)。本發明亦提供執行此方式的新穎裝置:的 12 £7Λ. h 日修正替換氧 案號:94121128 97年7月11日修正-替換頁 本發明亦提供在目標網路或類似欄位,吏聰明地過濾接收 封包的方法’魏和且/或排除現存DDoS防禦系統之缺點, 且提供執行該方法之裝置。 本發明之第一實施例在於提供一種偵測網際網路中分散 式拒、’、邑服務攻擊之方法,其特徵在於纟、統包含下列步驟: 在苐預疋時段(first determined time period )内之數個 時區(time intervals)内,於網際網路中的節點處採樣 (sampling)多個封包’以取得有關於該封包之來源位址 (source address)以及該相關時區之資料;對於每一個時區, 分析該資料以得到至少—個與封包度量(paeketmetric)相關 之參數,從節點分別在不同特定地理區域所擷取的封包中,分 析資料已制至少-個與封包度量相_度量參數;以及對於 下一次一預定時段之一時區中’從一特定地理區域所接收封包 而=析得到的封包度量參數,與第一預定時段,所對應時區内 所得的度量參數所推導出(deiived)的一門檻值作比較,藉由 上述比較的結果決定是否存在一 dd〇s攻擊。 本發明之第一實施例在於,提供一系統用於谓測網際網路 中刀散式拒絕服務糸統,特徵在於該系統包含,一封包採樣 态,用以在第一預定時段内之數個時區内,於網際網路中之節 點處採樣多個封包,以取得有關於該封包之來源位置以及該相 關時區之資料;一分析器,用以對於每一個時區,分析該資料 以得到至少一個與封包度量相關之參數,該節點從分別的特定 -13- 1332159 1 月1日修正替換昊: I 案號:94121128 97年7月11日修正-替換頁 地理區域接收該封包;以及,對於次一預定時段之一時區,比 較在該時區N,從-特定地理區域所接收封包之一封包度量參 數’與從在該第-敢時段⑽對應的時區簡制的該至少 了封ΪΪ量參數所推導出之一門檻值之差異,該比較的結果用 以決定是否存在一 DDoS攻擊。 本發明之第二實施例在於,提供分析n用㈣測網際網路 中/分散,魏服務之攻擊,特徵在於其包含:—處理單元,用 二從t料儲存⑨備取得資料,該資料係g於,在該網際網路 —之節點上接ijt複數個被採樣封包之各別該來源位置,以及 ^被採樣時之—時區’該時區包含—預料段;該處 躲體碼,該軟體碼包含—分析程式,以對每 〉—參數,該至少—參數與從各卿魏理區 卩點所触之封㈣封包度量有關;料了在次一預定 傭,地理__包之封包度 之對應的時區該(第-)預定時段 結果用峨味,該比較之
月,J 本發明之第五實施例在於,提供-電腦可讀 處理器 取媒體,包含 之可執行電_式碼,讀神料— -14· -------- 年月日沒玉頁: 案號:94121128 97年7月11日修正-替換頁 法。 方味本蝴在於,提供—齡路由11驗證封包的 牛驟H盗位於傳送主機與接收主機之間,該方法包含下列 二:被該傳送主機插入該封包之標頭(header)中之一符 組(tokendataset)巾’讀取符記之值,該符記資料組 ^數個路由H中獲得’該路由器在該連結的賴處具有該連 …於該路由ϋ處’驗觀被讀取符記;以及,於鎌證步驟 之該結果為真之處,提供該封包一提升服務的品質(⑽, quality of service ) ° 本發明之第七實補在於,提供—種路由$,用以驗證在 傳送主機與接收域間之連結巾之該路由器接收—封包。其特 徵在於包含了 :-資料細單元,祕㈣該傳駐機插入該 封包之報頭巾之-符記資料組巾,讀取符記之值,符記資料 組從數個路由器中獲得’該路由器在該連結的起始處包含該連 結,於該路由器處,驗證該被讀取符記;以及,於該驗證步驟 之該結果為真之處,提供該封包一提升品質的服務(Q〇s)。 本發明之第八實施例在於,提供一種包含一記憶體之電 月ki,該έ己憶體儲存可由處理單元執行之程式碼,用以執行如本 發明第六實施例所述之方法。 本發明之第九實施例在於提供一種電腦可讀取媒體,包含 97, 97, 曰修正皆換頁 ^:94121128 97年7月11日修正-替換胃 處理單元可執行隻電腦程式碼, 施例之方法。 用以執行前述之本發明第六實 本發明之其他特徵在後附之「請求項」處有清楚的說明。 【實施方式】 所謂網際網路係-全球性的網路,其經由稱為網際網路通 訊,定(ip)之簡單的第三層(layer>3)狀,連結許多不同 之第二層(layer-2)網路。傳輸控制協定(TCp)係位於在網 際網路中使_軟體系、纟納之協定,㈣雜資訊傳輸之組成 封包在未毀損(uncomipted)的情況下接收,以及用正確的順 序重組,而IP則是位於允許封包資訊取得ιρ位置之軟體系統 之通訊協定。網際網路上之每一個計算裝置均配有一唯一的 32位元的IP位置,通常由四個分隔的數字所表示如 193.32.2.36。基於計算裝置以及ISP間連接的性質,分配給該 裝置之IP位置可以是永遠的或是暫時的,但均是唯一的。網 際網路總註冊中心(IANA,Internet Assigned Numbers Authority)係一全球性的組織,負責發布IP位置。因此,網 際網路係TCP/IP為基礎之封包資料網路,故其包含封包轉換 網路(packet switched network),而非電路轉換網路(circuit switched network);相反的,比較傳統的電話網路則是採用 電路轉換方式,例如公用轉換電話系統(PSTN,Public Switched Telephone System)。 -16- 1332159 I....... -....I-------- 案號:94121128 97年7月11日修正-替換頁 射勺1 ’圖1係—示4圖,顯示「端點—到—端點」之 二、,’乂連結的情形,包含位於網際網路(以雲狀圖表示〕14 中$ (來源)端主機⑻1()以及接收(目的)端主機(幻 (hnks)卜2、3、4與5。該傳送端主機10以及 ‘腦機B12可包含一獨立(stand_alone)裝置,如個人 且/式输/是類似的裝置,位於無_路14連接之系統 ΐ 替代地’例如傳送端主機iG且/或接收端主機 豆你古止::網路之網站飼服器(webserver)或路由器,或 ^他$ IP位置且可用於傳送及接收正封 (enabled)裝置。 ·, 刻 際網1〇經由網際網路服務提供者(ISP) 16與網 ;道路由網際網路服務提供者(lsp) 16包含網路端 主機ίο輕Γ以傳送正封包且接收1P封包位址到來源端 所古心 來源端主機1〇以及1SP 16 fa1的鏈結1可包含 櫚㈣^合的鍵結,例如,經由PS™的數據機鏈結、乙太 可勺八i(LAN)等。該來源主機端1〇且/或接收端主機 :卜與網際網路連接的網路(事實上通常是自己本身 二二’。= 自際網路_之大企業、學術單位、或政府 門:首路A接收知主機12經由鍵結5與1证22之網際網路 閘道路由器2〇相連結。 26、ΓΓΓ包含如同1SP16、22或其他中介網路24、 荨之網路。端點到端點封包轉換連結15經由此 1332159 pnu---- . 年月日修正替換頁 ' ------案號:94121128 97年7月11日修正-替換頁 些網路而形成,以從來源端主機1〇傳輸Ip封包到接收端主機 。類似地,封包轉換連結(未圖示)亦可於接收端主機12 與來源端主機ίο間執行,以反向(inareversedirecti〇n)傳輸 〇>封包’然此處反向連結不需要跟前向(f〇贿d)連結w 同樣路徑。該中介網路24、26、28、30可包含嫩且/或網 路服務提供者(NSPs)。 如圖2所示’一 IPv4資料(封包)1〇〇具有一標頭部分 102以及一負載置(待送給接收節點的資料)部分1⑽(並未 依照比例圖示)該報頭部分1G2包含多個欄位,包含: 1,版本攔位("version field) 1〇6,通常設定為4,作為現在 網際網路中最廣為使用的IP版本(IPv4)之識別。 2·1?標頭長度(IHL)攔位1〇8,其識別出形成標頭部分 102之32位元的數字。通常為5。 3.區別服務攔位110 ’包含一碼點(DSCp),通常設定 為〇,但其亦可指向網路所需要的特定服務品質(q〇s)。 4·資料欄位(datagramfield) 112顯示了 IP標頭部分1〇2 與1P封包100之負載量1〇4結合後之大小。 、5.辨識攔位(identificationfield) 114包含一 16位元數目 X及辨識該封包之來源位置。於重組封包片段(fragmented Packet)時’該接收器使用該攔位。 ~ ^迄今時間(TTL ’ time to live)攔位116包含數個供封 ^决定路線之跳躍/鏈結(hops/links)。 •協定欄位118或服務存取點(SAP)指出傳輸封包的 18 9aXTB -- 牛月曰修正替換頁 案號:94121128 98年06月18曰修正一替換頁 類型。此處之值其意義為:1=ICMP ; 2=IGMP ; 6=TCP ;以及 7=UDP。ICMP為網際網路控制訊息協定(Intemet c〇ntf〇1 Message Protocol),用於與網路運作或錯誤操作有關之頻寬 外(out-of-band )訊息。IGMP為網際網路群組訊息協定(Intemet Group Message Protocol),設立網際網路中多重播送 (multi-cast)訊息之標準。 8. 來源地址欄位120包含佔去32位元空間之數字型態之 IP位置,顯示封包傳送者之位置。 〜 9. 目的位置(destination address)攔位122包含佔去32 位元空間之數子型態之IP位置,顯示封包最後之目的位置。 10. 選項攔位(options field) 124除非IHL大於32位元, 否則通常不會關選項欄位124,雖然「記祕由(Rec〇rd Route)」選項可被設定來追蹤(trace) Ip資料經過的路徑。 此選項包含資料流經過之路由器之Ip位置。 可瞭解的是,前述之領域列表並未全部用盡㈣福㈤ IPv4標頭部分1〇2中的攔位’當路由器將Ip封包切成片段時, 其包含作為胳旗標攔位(fragmentatiGnflagfield)之此麵 位(未圖示於圖2),以及片段差距值(〇ffset)搁位。 再回到圖1,從來源端主機傳送到接收端主機12之„> 封包’以卿(hGp)的方式被轉送。當傳送端主機10係-且 有唯- 〇>位置之IP啟練置,該主機1G將會經由鏈結i傳 迗封包到其ISP 16(在其封包之標頭部分丨〇2中插入其本身之 1332159 ii ,,:: . ! v L ·· ·一 . · ---------------------- 案號:94121128 ' 97年7月11日修正-替換頁 IP位置’如同來源位置以及欲傳送目的之IP位置例如在 此例子中包含接收端主機12)之閘道路由器18。在接收封包 時’閘道路由器18檢驗該IP目的位置炳檢查其路徑表(routing table),其中包含目的位置/下次跳躍(nexthop)組(pair)。 若在閘道路由器之路徑表中發現目的ιρ位置,則該封包被轉 送到相關的下一次跳躍(鏈結2)到於接收端主機12之路徑 中的下-個路由[若在閘道路由器之路徑表巾沒有發現目的 IP位置,則該封包依照原定路徑傳送到上一階層(hierarchy) 之中介網路24、26、28、30到希望知道將該封包傳送到何處 之路由器。在每一個路由器中接收封包時重複該程序,直到達 到(經由鏈結3、4、5)其目的位置或封包内正標頭之該TTL - 值減少至零。 每-個中介網路24、26、28、30均包含自主系統(AS, autonomous system)型式之一路由器網路。自主系統(as) 定義於網際網路工程工作小組(Imemet Engineeriffg㈣ • F〇rCe)之編號1930網路技術文件(RFC,Request For Comment,1996年三月)巾’為單一技術管控下之一組路由 器,利用内部閘道協定(IGP )以及共用度量(c〇mm〇n metrics ) f自主系統(AS)巾而決定封包之路徑,以及湘外部閘道 疋(EGP)決定其他自主系統之封包之路徑。當許多自主系統 使用數個IGP與自主系統中數組標準時,自^统之管理機 制應該出現(appear)於其他自主系統,如具有一致的 (coherent)内在路徑計劃,以及呈現出經此網路可到達何處 -20· 1332159 j 案號:94121128 97年7月11日修正-替換頁 的一致表現。在圖1中,中介網路24可以視為包含具有一定 數目之外部閘道路由器24a ’以及一定數目内在閘道路由器 24b的自主系統。ISP 16、22亦可包含數個自主系統。
現請參考圖3,顯示攻擊者40精心設計的直接式分散式 拒絕服務攻擊網路’用於攻擊網際網路14上之目標機器(τ) 50。攻擊者40包含’利用一簡單獨立個人電腦(pc)設立起 包3數個處理或控制裝置幻(handler or master device),以 及^量的代理裝置(agentdevice),(通常稱為僵屍(z〇mbies) 或常駐程式(daemons) ) 44之DDoS攻擊網路。處理裝置42 係被入侵(compromised)類型的電腦,被攻擊者4〇用於掃描 其他容易人侵的(vul_ble)域以及安裝如Tri_、Tribe F1〇〇dNetw〇rk3000 及 Stracheldracht 等程式。電腦病毒盥電 腦蟲通常用於安裝此雛門(backd〇〇r)以及/或控制程式。
-但攻擊祕架設絲,·攻擊者觸—目標機器5〇且對 該目標IP位置發動攻擊命令,在攻擊_,攻擊方法以及並 ,置42。每個處理裝置42傳遞指令給; =裝置44。在攻擊者40、處理震置&以及代理裝置44間 的溝通’通常係_如_際網路中繼 ΐ攻 =T42以及代理裝置44之擁有者而言,= 攸攻擊者4G處所接收命令之麵顯得赠困難或不可能。 通常用於DDGS攻擊之封故_類,包含具有針對目標 -21 , 1332159 修正雜頁| 纖:94121128 97年7月11日修正-替換頁 50之不同旗標組(flagS set)之TCP封包流,ICMp回應() 要求/回覆(ping )封包以及UDP封包。在TCP的案例中,s w 氾濫(flooding)係最著名的攻擊。攻擊者4〇通常經由偽造 (spoofing )封包内來源位置攔位以隱藏代理裝置料的身分, 因此代理裝置44為來還可以被重複用於攻擊同一或不同目 標。處理裝置42以及代理裝置44均被顯示出分耻於同一陣 營的網路雲43、45令内,請注意如此安排僅係簡化圖示且 j理裝置42與代理裝置44均包含連結到網際轉μ之被入 侵電腦。這些電腦位於與網際網路内(連結)的每一處,且可 或甚至包含單一機器。通常,家庭f:腦擁 ^者較缺乏識,而會忽略其電腦可能被輕易的入侵 成網路攻擊的一部份。 雙 發動時,目標5()面觀濫於網際網路連結5以及 癱癌其處理程序之大量無用封包。 如圖4所示’在非直接或反射之攻擊内如同路由器以 及/或,務等數個中介節點46,被無辜的被作為攻擊發動者。 如同先則所述’攻擊者4〇建立攻擊網路,然使』 傳送要求聽給巾介節點46,其必需贼^ 、 源位置’其係設㈣目標機器5G之Ip :置。在= 封包之來源位置係偽造的情況下,中 的類型,而使得目標機器5W濫著回 ^據要求封包 可被利用(响^來細直接攻擊。此麵了^= •22- 1332159
97. 7. II 案號:94121128 町年7月11日修正-替換頁 置44呈現「一對一」 而有如圖4所示之中介節點46 的關係,請讀者注意。 又 系統ί Γί 測係最有效率地接近目標網路、 MS立;,網路的節點上偵測,常會造成 曰知在3 U建立有效的防御 i 一 (overwhelmed;)。本發明之第 則[已經先失效 路内之- dd〇s侧Mm實^在於提供位於網際網 出現前,_ 之攻擊聚集效應 享咖s攻擊侧纽。 類蚊_系統分 月參考圖5 ’本發明之第一實施例包含一 dd〇s攻擊偵測 糸統200。該攻擊债測系統2〇〇位於網際網路μ之節點,其 中其可以採樣經由兩網路(如lsp 16、22以及卿2心^ 兩個自主系統’如NSPs24與3G)間鏈結所傳送的封包。摘 測系統200可以實體地位於任何lsp、卿或自主系統端之路 由器/閘道H ’㈣為網關週邊介面之路由器/閘道器。 如圖6所述,偵測系統200包含用於捕捉資料之封包採樣 器210’以及用以分析採樣器21〇所捕捉之資料之分析器22〇。 該採樣器210包含網路處理器212。網路處理器212位於網際 網路14内,而得以在兩網路(兩自主系統或類似系統)間之 鏈結3上,從網路流中採樣封包。該網路處理器212位於兩個 自主系統之個別外部閘道路由器(EGRs,exteri〇r gateway -23- I332.159 、 'Wlit , ' .一 ;' . ------------------.D 號:94121128 97年7月11日修正-替換頁 _ers)間’如此其接收所有經網際網路i4連結到該節點而 傳送之封包。細路處理器212被安排於讀取至少某些封包以 導出(derive)至少含有該封包來源IP位置以及接收次數的資 •料。此㈣可包絲_目的部分,協移_及封包大小。 較佳地’網路處理器212可用於在網際網路主幹線速率下操 作,且被安排於讀取該封包以取得來源相關之Ip位置資料以 及接收次數。 該取樣器210包含資料處理設施214,例如,用於儲存累 積來源_ ΠΜ立置資料以及封包接收次數之資料庫。該資料 儲存設施214透過鏈結216與網路處理器212連接,但在某些 實施例中,資料儲存設施214可以與網路處理器212位共同位 置(co-located),或可位於遠端而經由網際網路相連接。
舉例而έ ’分析器220可包含一 Linux個人電腦,其與採 樣器210之儲存設施214,透過分散式處理環境⑽e〉而相 溝通,如同共同物件要求仲介架構(c〇RBA, request broker architecture)以啟動介面222取得累積的資料。 然而,必須瞭解的是,分析器220可包含所有適合於計算之裝 置而不必-^要是Linux作業的裝置。c〇RBA係—“ 的(vender-independent)之架構(architecture)盥基本建設 (mfmstructure)標準,讓電腦應用程式可以在網路1 一起: 作。分析器22〇具有-處理器224,可執行分析器程式,包含 適用於分析從儲存設施214取得(取得方式如後述)之資料的 -24- 1332159 yr. “ ii» 年月日修正分 ----------gy: 94121128 97年7月11日修正-替換頁 程式碼。當DDoS攻擊被處理單$ 224 _到時包含有事件 =(event_age,即DD〇s攻擊資料)之資料被轉送到事 =刀配^ 226重其會依序公告(publish)事件給事件處理器 228。至少-個事件處理器228具有—介面挪,與其他在網 際網路14巾其恤置__貞屬統 200可以在其他的個別處理單元中使用事件資:至ΠΪ 件,理器228具有介面232用以參照適合的過遽器以重設網路 二件’而阻擋DDoS攻擊封包。該事件分配器226與事件處理 裔228以功能為基礎的軟體。該用以重設網路元件(裝置)之 至少-事件處理H,可經由此類裝置所支援之適當管理介面而 亦可執行此魏。此介面可岐任何合適的管财面, (SMNP,simp,enetw〇rkmanagementM 【SNMP才對?】啟動介面或asc〇I〇s啟動介面。 對照侵入偵測系統所使用之現行方法,例如,依靠基於隨 ,速變更(舰依分鐘計算之順序)之參數,辨識網路流量 中的異常情況找火絲_ DDgS攻擊。本發明第—實施例 =方法看起來與電腦行為無關,而與人類行為有關,以作為取 得t適參數(於套用網際網路技術時不會改變者,且本質上允 許π可n DDoS攻軸測)的手段。在已知的網際網路不 會改變之人類行為稱為日常行為(diumal behavi0u0,即在 全=網際網路所言胃「跟隨太陽⑽ow the sun)」之流量型式。 所明跟隨太陽」係指,在任何特定之地理區域(世界上的某 一糊位)’吾人可預測,相較於凌晨三時而言,午後三點會有 -25- 1332159 1 案號:94121128 98年06月18曰修正一替換頁 較大的流量量產生於該地理區域。依顧史理由,之iana IPv4網域(domain)的部分命名空間會保留起來用於某些地 理區域。例如’所有具有「193」於Ip位置之第一個八位元 (octet)的IP位置均位於歐洲;而所有具有「199」於正位 置,第-組之裝置均位於美國;而所有具有「61」於lp位置 之第-組裝置均位於亞洲。經由簡單的辨識Ip 分,可以知道發送主機端的地理位置。 ‘,”著#
本發明之方法使用IP位置之全轉徵。其包含在網際網 路中兩個主要網路(如自主系統As)之邊緣路由關之節點 觀察封包流,以轉譯具有IP來源位置封包之特定容量之第一 定義(預定)時間之特性資料(proflle),mp來源位置指出 其個別的全球地理位置n定義時間以24小時為較佳, 因為這代表了觀察網際網路14上人醜個完整時間循 環。因此,網路處理器212被安排於讀取位於
修正替換頁 之鏈結3中之觀察網路封包流的一定比例,心存設= 中累積包含絲源11>位置之讀取封㈣及魏時間(搁 的資料。此累積資料保存於齡設施叫直到被分析電腦22〇 二斤取:。在較佳實施财,在觀察網路之所有的封包流被網路 處理器212所讀取。 =要增進網路處理器犯捕捉含有讀取封包來源正位 摘之⑽的效率,精確的接收時間並沒有被記錄 下來。相反的,網路處理器212被安排在一連串的時區内收集 -26- 1332159 法—-. " --------------------,一一i 案號:94121128 97年7月11日修!£、替_胃 資料,直到經過整個第一定義時間為止。 因此此資料包含具有讀取封包來源Ip位置以及相關之時 區的資料。時區可以是整個包含定義時段,或是可包含定義時 間之-^分。換言之’第—定義時間可被分成複數個等長的、 連續的資料捕捉時區間’如—分鐘,則在24小時的定義時間 内,總共會有1440個擷取資料時區。或是定義時間内的在 η個時,資取—次,n為大於—的正整數。當在讀取下— φ 個或後續的定義時段時,網路處理器犯亦捕捉包含讀取封包 ,源f位置以及時區的資料。該下一個或後續的定義時間與 第一疋義時間延時相同,最好為24小時,且最好安排為具有 同樣的資料補充區間。 ~ 5亥第一定義時間被視為學習時間,在其間假設沒有發生與 觀察網結3有關之DDos攻擊。該分析器22〇之處理單^ 224取得資料累積於儲存設施214並處理之,以取得與來自個
,地理位置之封包容量㈣之參數。此些參數包含從個別地理 區域位置(與每一個時段有關)而來之封包容量改變 一定義時段内)。 弟 —當在下一個在特定時區或序列連續區間中,觀察到來自特 理4立置之封包谷置時,該參數允許關於來自其他地理位置 之封包容量可能改變之觀察。從這些觀察推導出門檻值,並基 於此而決定未來可能偵測DDoS攻擊手段(利用觀察的鏈結 •27-
案號:94121128 97年7月11日修正-替換頁 對於下-個定義的時段,分析器22〇之處理單元224從儲 存4 214取得累積的資料並分析在定義時間之區段内,來 自别地理位置彼此間之封包容量資料之互相關聯之變異數(舉 例於在下-個絲時間内之__連串連續時區之—給定的 ,區而Q具有IP來驗置之封包容量的改變,可顯私出特 定地理區域與-或多個域值比較的結果。該域值係由,與在相 =時區練時間(training)内,或是一連串的時區之内觀 察之流$容量有_參數推導而來。例如.,在時段n-1到n之 間。’給疋具有IP來源位置之封包容量,顯示出亞洲增加了 10%二以職在此時段内,具有指向歐洲之〗p來源位置的 i fr里會增加3-5%,然而指向美國之1P來源位置的封包容 里可此只增加1%。然而,DdgS攻擊會鴨扭曲(distort)經 由1 來源位置指定之特定攔位之封包容量資訊。因此,若封 包谷里改變大於門播值’則處理單元224判斷DDoS攻擊可能 毛生—並於觀察鏈結3傳送封包。在給定時段内或二連串時段 内’每—個域值可包含,對鱗定地區與其他地區間封包容量 ,比例。可替代地,每—個域值可包含特定地區内—個區間 或二連串區間内之封包容量之變異數,與另一個地區以相似的 測式所的結果相比較而得到之比例。此處測量了三個地區 容量,在比較步驟中會產出兩個域值,可選用其—或兩 在之後每一個定義時間令,此程序會重複執行。在訓練時 Ι332Ί59 9%* 7. —----- 案號:94121128 97年7月11日修正-替換頁 ’年月日修正替換頁j 間建立的關會雜狄來,而可如在下—做義時間所獲 得之比例取代之。更新該比例且因此導出的門根值可包含決定 對於個別時區之相應比例之總和值。藉此推導出的比例鱼門禮 ,’可被儲存於處理單元之查詢表中,表單項目細時區為順 序而排列。在較佳實施例中,定義的時段設定為24小時,可 瞭解的是該定義咖延時中可包含其他延時,例如—週、一日 層月或甚至是一年。 本發明之_具有IP來源㈣封包容量 二漏攻擊侧方法,奴義時間(24小時)中,於網際^ 4日之兩個主要網路之間的—節點上觀察,絲示出具有預期 增量比例之侧全球之地區位置^ #只有四分之—的指' (來源)位置提供地理位置,這樣高的比例已足夠啟動有用的 觀察。有鐘於此,對於DDos攻擊者而言,要輕易將攻 成來自分㈣攻擊來源IP是很_的,無論有無造假,均、 太可能與在監控網路層鏈結3上所觀察到的資料相符。舉 言’若攻擊者從所有的IP位置範圍中,隨機的指派造假的來 源位置給被域的代理裝置44,.部地區的封包容 大致上同時間地同樣增加’而這是網際網路使用者的 為。即使攻擊者利用模擬網際網路使用者日f行為時間之 位置,而嘗試去觸代理裝置44之數目,攻擊者亦 二 網路鏈結3上精碟的比例,故此種嘗試模擬之行為無&掩飾= 擊竹為。 •29· 1332159
號:94121128 97年7月11日修正_替換胃 當利用觀察鏈結3關斷發生DDgS攻料,處理軍元 224發布-包含事件(event)之資料訊息給事件分配者细, 其會依序公佈該事件給複數個事件處理器228。此外議會 DDoS攻擊警告’該事件訊息可包含與網路中攻擊可疑 ,置有關的纽、可能是攻擊的機率、以及計算出該機率之演 算法。至少-個事件處理器228與其他同於運作的偵測系統間 有一個介面230,用於提醒他們注意DD〇s攻擊之偵測結果。 相似地’事件處理器228亦可從此介面接收來自其他同時運作 偵測系統之警告。以此方式,同時運作關嶋統可分享情報 以及在網際網路14上不同節點所發生之DD〇s攻擊事件。該 介面230可包含一 COBRA相容介面。該介面230亦可包含網 路連結。 ” 分析器220之處理單元224可安排於考量其他同時操作偵 測系統發現之DDoS攻擊之情報,以修正基於門檻值比較的決 定,如此則此決定並非完全依據流量容量改變參數與一或多個 門檻值之比較,而亦包含有從先前之式中推導出的機率函數。 舉例而言,若事件處理器228接收到了指出鄰近網路偵測到 DDoS攻擊之事件訊息,被套用於比較網路容量改變參數與一 或多個門檻值之機率函數,相較於沒有此類事件訊息的情況而 吕,對於產生肯定的結果會佔有較重的權重。該機率函數可能 只考量所接收事件訊息之數目,以及鄰近網路所辨識出的事件 訊息,然而隨著接受到訊息時間的增加,重要性亦減弱。機率 函數可以由貝氏理論(Bayes Theorem)之應用所推導出。由 -30- QV r. — ....... ______ 溘號:94121128 97年7月11曰修正_替換頁 =單7L 224所執行的比較步驟可包含具有一個以上的流量 奋變參數演算法之應用程式,以判斷現在之DD〇s攻擊。 ,廣f法可包含數個不同的門檻值’同前所述同咖於流量容 ^改變參數’以及/或經機率函數修正後之應雜式。結合平 行執行流量容量改變演算法之應雜式結果以形成债測 DDoS攻擊結果的決定。 處理單元224可根據被偵測系統2〇〇以及同時運作之偵測 系統偵測出之DDoS攻擊之增生(pn)liferatiGn),而用於改變 (alter)網路處理器212之取樣率,當_到之攻擊增加時, 取樣率亦增加,反之亦然。然而,吾人可觀察到網路處理器 212與處理單元224之間的通訊係非同步的(郎⑽), 通訊流會以處理單元224為優先。 至〆事件處理器228具有介面232以續傳重設訊息到盆 侧路元件縣n來崎DDgS攻擊。在爛6所干ς 實施例中,其顯示介面23+2與網路處理器2ΐ2相連結,網 理器212可包含-個經由事件處理器228重設之網路元 過;DDoS攻擊封包。這會啟動事件處理器as來更新網 處理器212套用於接收封包之過濾規則。 侧系統200可位於網際網路14中任何便利於採 流、或位於社要網路(如自主網路)間封包流的節點:= 際網路14中多個位置安裝本發明之啊操作偵 、·冯
Hn;-------- 年月日修正替換頁 案號:94121128 97年7月11日修正-替換頁 数目不必像初期看起來這樣的多。現今,全 ==_個自主網路。假使-個自主網路與其他 (-rse P〇wer law), 姓的自主赚M貞裝⑻監看少數的連結或是高度連 i可能。間’而要達到在網際網路14上有好的”覆蓋率亦 目標擊,時’娜統罵可啟動阻擋所有指向 之^入人㈣。雖然僅停止經由鏈結3指向目標裝置50 攻擊的)封包,目標裝置%本身對於執行 緣’而沒有影響其他路徑上之合法(或攻 ㈤本發日月執行封鎖目標裝置5〇之數個同時運作偵 &癱瘓严ίΪ:預防其他攻擊封包,藉由滲透網際網路連結5 或靡瘓處U,而到達目標裝置%。因此 運作偵測系統2⑻作為-分散式的封包過I系統,= ,上的攻擊效果,測裝置可執行封包=目 ^=3巾少㈣麵lp位置之封包,以更聰鴨: 中體中^ ^則取得儲存於儲存設施214或處理單元224 中之。己丨思體中之來源ip位置標準。 本發明之偵測系、統2〇〇可被Isp所執行,當作對客 包含歸客戶卿喊量4峨協助客戶基於所 有已知過慮方法或本發明第二實施例所述之方法,封鎖攻擊 -32- ^ 7. 11 j 与 案號:94121128 97年7月11日修正-替換頁 流量(封包)。 鎖=11二實施例之方法在於,觸網_路所連接之封 鎖DoS攻擊最有效果的實體(entity),其係一 二路本身(與1sp業者有對價關:。除 DD〇S攻擊他的網路實體缺乏協助目標實體封鎖 =r標裝置5。來防紫_s攻擊,亦提= &主機iQw及中介節點來執行此方法的利益。 本發明第二實施例之方法將如後圖7到圖9所詳述,一般 描述仍可參相6。當傳送駐機⑴希望啟動資料傳 送團體’例如傳輸封包到-接收端主機12之連結u,提供 比基本气未授權層級的服務(服務品質,QoS)好的品質。^ 使用封包(此處為了簡化,稱為封包A),具有附加標頭部& 300 (圖7)用於從路由器18、24、30、20 (在連結〔5中遇 到封包A的部分)處蒐集憑證(credential)。如圖7所示之 心頭部分300包含碼攔位(c〇de fidd) 31〇,被設定來顯示路 由器處理封包A ’路由器會提供資料(憑證)給標頭部分300。 標頭部分300可以選擇性的包含一長度欄位32〇,顯示在八位 凡(octet)(位元組)中,實際以及/或總允許(permissible) 長度。標頭部分300包含一指標欄位330,指出資料部分340 中下一個未填滿資料欄位34〇n_x。該指標攔位33〇指出開始 於下一個資料攔位34〇n_x之八位元,且下一個路由器插入其 丄丄 :號:94121128 97年7月11日修正-替換頁 憑證於其中。除了此「領域罟 (arithmetic)編碼亦屬可能,而不需要「下:卜個」貝=^ , 係由指標攔位330指出, i=tHken),路由^必須要依序看聰包跟隨同 在接收端^ 推雜去鱗提供馳㈣階之服務。 頭部份3GG之_位341藉此包 (在連結W Μ到封包A)所插入 f。從路由器收集符記資料可經由一修正的IPv4或 路捏記錄(Record Route),,選項而得。在1p網路中 ^仏己錄選項,機油使用指標攔位以及資料空間(資料欄 位),而聚集在路徑上之路由器ιρ位置。 、 除了符記之外,每-個路由器可以選擇性的插入苴正位 =下-個空白的資料攔位34〇則乍為交互參照該符記之' 手以啟動該路由ϋ作㈣斷,辨認對於後續跟隨同樣路 而符記讀為該路由器插入符記之之封包,而非由其他路由 盗插入符記,確剛好有相同值之封包。事實上,因為該封包標 頭之外的部分會被標示為TTL (或Ιρν6之跳躍數)欄位 會使得標頭3G0更祕紅益加速程序,故該值並不需要。該 攔位可被直接地使財賤作轉取,而不錢尋插入符記^ 表。此亦會排除對該330攔位之需求。然而,在較佳實施例令, 路由為插入第二非位置相關值到資料攔位34〇η·χ作為交互參 -34- 1332159 年月日修正替換頁I案號:9彻128 —--」97年7月11日修正-替換頁 :=之==二Ϊ係關於,該路由器在封包於連結!-5中 俨十之迄人時門f由為中之位置。該第二值可包含一TTL(路 ;該她被ϋ為在1Pv4標頭 主機有關之位置相關。=^^與該路由器與接收端 _符口此备後縯封包經由網際網路14而 进者5…路控傳輸,對每一個封包而言,在每一個 到的m轉會—樣,故插人符記可假設為與將其插入3 由器關,然而’隨著不同路徑而來之封包其於τ几值與 連結1·5之路由器間之聯繫會消失,如同路由器與插入符記間 的聯繫一般。 接收端封包Α之接收主機端12或是預定數目知此類封包 會回傳訊息給傳送端主機1〇,以辨識應該被插入於位置指向 接收端主機12之後續封包内之字串或符記,以作為啟動連結 1 5中路由器之手段,以准許後續封包隨同樣路徑之更高階服 •務。在後續於接收端主機1〇所接收之訊息可包含字串或符 記,且其被傳送端主機10插入於每一個後續封包中之第二附 加標頭部分400 (圖9a)。可替代地,訊息可包含由其TTL 值索引之符記之一陣列(圖9b),係由傳送主機端1〇插入到 每一個後續封包中之第二附加標頭部分400。該第二附加標頭 部分400可包含碼欄位410 ’當設於顯示出後續封包遭遇的路 由器時’該封包被處理而用於驗證符記資料組中之次一符記之 較高階之服務。不允許傳送器(sender) 10提升層級之接收主 機端12可能不會回傳任何資訊或假資訊,其均會造成低品質 -35- 1332159 2 7- 111 案號:94121128 97年7月11日修正-替換頁 的處理。 • .該符記資料絲封包(此處稱為封的型式,應 該考里W避免傳送端主機10再沒有完整的回溯到接收端主 機I2時,而意外地得知封包所賴的某些或全部符記資料。 舉例來說,在連結I·5巾巾介路由器上符㈣料縫封包造成 錯誤訊息被傳送之事件中,該符記資料可能會過早地被回傳到 傳送主機端10。在網際網路中,網際網路控制訊息(ICMp) _ 城錯純傳朝包含許乡原始訊息之傳送域端1Ge接收 =類包含大部份或全部符記·之錯誤訊息,可能會使具有惡 意的傳送主機藉此判斷哪些符記資料可用於得到進階的 • Q〇s,而使得本發明之目的無法達成。 前述問題可以由在符記資料荒集封包上加人某些限制而 獲知解決。例如’該荒集封包之初始TTL/跳躍數目可以設定 的很高’例如255 (該攔位中之最大值),以避免ICMP°「超 • 過TTL/跳躍數目」之封包在中介媒體處產生。或者是,其訊 息大小可以設定低於最小鏈結之最大傳輸單元, Maximum Transmit Unit)大小以避免ICMP發出「需要分割 (Fragmentationneeded)」的封包。替代方案是在蒐集封包端 點處聚集符記· ’如關當原麟包之主要部分被招回傳送 端作為部分之ICMP封包時,此類㈣會肋轉。進一步的 替代方案可以是將荒集封包當作1(^封包,藉此防止其觸發 錯誤回覆封包。 又 •36·
案號:94121128 97年7月11日修正-替換頁 跟隨同樣路徑接收後續的封包時,在連結丨_5中每一個路 由器辨識在苐二個附加的標頭部分4〇〇中出現的符記資料,並 在索引之符記上執行其TTL值之驗證測試。若驗證為真則 提供給該封包更高雜之服務。服務#朗·分絲本或進階的 兩階段。當未通猶證,騎仏、有基轉_贿,不管該 封。包之標射有無任何趙品㈣級的絲。此外,事實上路 由器在標射伽職效崎求時,會通知其下游的路由器。 連結1-5充滿了顯示為基本服務等級,以及未通過驗證而 ,傳送之封包(在DD〇S攻擊何能會發生),献只傳送一 -人之具有進階等級之封包,均經由該路徑而傳送。 於基封包可經由複數個服務等級高 收端主^ Ρ 傳送。對於在傳送端主機10以及接 包烟路彳㈣來之制耽,顯示此些封 之訊· Φ。Ϊ之彳日標包含在從接收駐機12關符記資料組 質於i送主;^送端主機1G接受之訊息之服務指示器值之品 此,每」個在被插入f 一個後續封包之Q〇s欄位。因 由器,根攄复rT _5中藉由其TTL值驗證符記為真的路 服務等級x。若驗1=所顯示的等級而提供該封包服務不同的 掉低的等不符’則該封包之⑽值會被條降到 至疋基本等級。即使只有兩等級亦可適用。 -37- sz
I3321M 案號:94121128 97年7月11日修正-替換頁 包’由™ «引之 將會映射(map)到提供給接收端主機12 此付ΐ之路由器,而從其他傳送主機處而來之封包、或是來自 相=傳送主機10但非經由相同路徑但經過其中某些=由写之 ^,將不會與整個路徑簡聯繫。ϋ此,在每-個路由器, 之驗證可簡單的包含一個在字串或陣列中相關位置 =己是否具有與路由器中儲存之秘密值相同之判斷。i是f 上的簡化型式。在從所謂v值位置之處選 f節點係在連結Μ中之編_的啟動節點, 祖動㈣位於其前。在節點之來源(例如,代理裝 地可玄以錯k誤的請求更高階服務之機率,係由下列函數值 ^入。例如’其中該路由器之數目等於6,且該符 2 3早一位兀值’如厂1」或「〇」。該來源只能在每64個 :匕中的1」時’錯誤的得到進階服務。現今典型的路經要 經過約2G個路由ϋ。若每—個路由器均有此類系統啟動,錯 誤的得到趙服務的解為22G分之…亦即圆別分之 一,使的攻擊效率極低。只需要2〇位元(bk)或2 5位元組 (byte)之儲存量即可達成(未計算可能包含指標或類似内容 之固定的標頭大小)。 驗證測试包含簡單地比較符記值與儲存於路由器之秘密 值’此處缺點在於儲存於路由器之秘密值可容易地被代理裝置 44 +驾到或經由试誤法(tria】erf〇r)而猜出。因此在較佳 只轭例中,驗證測試包含執行於與封包相關之符記計算,以及 -38· 1332159 «·. γτ-τΤ-- 案號:94121128 97年7月11日修正-替換頁 年月日修正益換頁 其-或兩者皆有。在此驗證測 值。最咖加;1之全球秘密 本不需要很重的斗筲旦仏果不合易被猜出,儘管此處原 函數以及〇>㈣包含 1。下於符記上之用於執行計算之合適的 符記值=H (來源位置,目標位置,秘密 示雜乱函數(hashWion);以及 此處Η ()表 此處Ejkey} 符記值=Ε」秘密值}*(來源位置,目標位置), ()係一編碼函數。 作為由接收端主機12所提供之插入符 料或陣列資料)於每-個後續封包、^^ (予串資 之替娜,該傳送主機端10 分’藉此否定包含第二附加標頭部分 e f。p 傳送主機端H)插入到對應的資料欄位 3=-貝料組被 頭部分300,且亦設定碼攔位3H)為-“ 頭部分通之資料部分340之路由器,但是讀取到標 位中資料以騎顧證_的值n :中^含攔 亦可包含-⑽攔㈣⑷ 接收端主機接收之QoS指標值到其中。 可插入從 在嚴重流量狀況或DDqS攻擊所造成崎路丨_5錄情况 •39-
9Z
U .j 案號:94121128 97年7月11日修正·替換頁 I封ΐ 機端ω'。經被接收端主機12允許高階服務 、匕,θ比來自其他傳送主機的封包 =攻:概。此些來源的封包會4= 務= 來源f試去虛偽請求較高階的服務,其封包 之驗證測驗執行之主流中,且因此可以些許降低其 攻擊目此本發明之核提供減㈣於目標5G之DD0S 斟,因騎於攻擊封包執行基本服親級,或是 中=ΐ求封包服務品質之降級之決定,已在網際網路η 二個即點、以及離目標5G較遠而與攻擊元較近之處作 離目標5〇更遠處之攻擊會被停止或減緩越靠近目標5〇 的郎點或其他鏈結的影響越低。 ϋ明第二實施例之方法係在每一個連結節點(包含傳送 機10、接收端主機12以及在經過ISP 16、22以及NSP =二!〇之通路1-5中之所有中介節點(路由器))執行’ 乍為該卽點之封包處理單元執行之軟體,匕,在現存之網際 ,路軟體及架構下’用於執行方法之軟體係完全反向相^ ^ackWard_compatible)的。然而,那些未執行該方法之傳送 知主機封包,由路徑丨-5之路由器,其服鱗級會下降甚至降 到基本等級,而在流量繁忙時娜響嚴重之DDoS攻擊亦狭。 因此’為了傳送駐機以对介制節點(_是脱)的利 显’以執行财法⑽料繼。本㈣n施例之方法 因此=傳送駐機以及中介媒體節歸生更新其軟體以包含 執行前述方法之軟體的動機’以避免變成服務等級較低的節 1332159
案號:94121128 97年7月11日修正-替換頁 點(從Q〇S觀點視之) /丨於1SP 22依次的負载而言’對目標5。之DD〇S載餅 ν ',、、問題。典型之ISp具有多組的輪入路由器。藉由至少在 = = ISP 22之路由益中部署本發明第二實施例之方法,提 二·於DDoS攻擊之封包喊效應之崎的減少,而不會造 寸、其他客戶(DDos攻擊之潛在目標)之負擔。如 刖κ 〇S攻擊或欲減緩之目標50越遠,對目桿5〇、豆 = 充鏈結、以及節點的影響越小。因此,藉2獅 ΪίΓ 目標%之處,此方法配合用於支持接收端 王機12。 此方法之缺點在於執行時會增加封包的大小但此可利用 tr第—實施例所述之方法(當本發明第4要實施例的方 去偵測到DDoS攻擊時)而解決。 該偵查系統200之事件處理器228被安 5 ,網路節點’以執行财法本發明第二實施例戶斤;IS U任何-個共同運作之偵測系統2_測到DD〇s攻擊時)。 本發㈣二實施狀方法可娜正於增加其朗率且允 程紅朗制,如録近枝與魏端 主機12有畴過某段時間之傳送端主機1G之不同即為一例。 如圖KM2所述’當傳送主機⑴希望初始化與接收端主機η 1332159 月台泛換頁1 案號:94121128 97年7月11日修正-替換貞 之連結,如前所述,其傳送封包A到接收端主機以從(封包A 在連結5所遭遇之)路由器提供憑證。在封包A所遭遇之路 由器中,路由器插入短期符記(TST)以及長期符記(Tlt)於 顯示附加標頭部分之指示攔位530之次一空白資料區 54〇n-x。該短期符記與儲存於路由器之第一秘密值有關,其可 隨著路由器而每隔一或數小時而改變。而長期符記則與第二秘 密值有關,其可在經過數天或更長的時間後而改變。該路由器 必須檢查後續封包中之至少-個或兩個符記,以使該路由起提 供某些較高階之服務給此類封包。
次如圖12所述,從封包A在接收端主機12接收之該符記 為料組,具有一短期付記之陣列以及一由個別TTl值為索引 之長期符記。此資料組傳送於傳送端主機1〇,其插入於每一 個傳送到接收端主機12之接續封包之第二附加標頭_。可 替代的,該符記資料組可以被置於相應具有碼欄位HO組之 一封包之第一附加標頭部分5〇〇中傳遞。 一如前所述,位於路徑W之每一個路由器,存取包含餘第 -附加標頭部> 600之符記資料組’且執行—驗證測驗於至 二短期^記tst或長期符記Tlt。在一較佳實施例中,該路由 D '、第秘饴值有關之短期符記上執行—驗證測試若 桃其⑽值雌示的服務等級。若第-驗證 關的長期符記執行驗證,若通過,則提供比 = -42- 1332159
• * . / - ► ^ I 乂_號:94121128 - …i97年7月11曰修正-替換頁 服務。前述後例中’路由器可能被安排於減少封包之Q0S值 所示之服料級,作域供在_符記有效_巾最後與接 收端主機有聯繫之傳送端域ω,發布優先處理封包之手段。 ^通過驗證測試之事件,封包接受一降級的服務等級, 甚至疋最基本等級之服務。
利赌鋪記與韻符記,軌絲由器優域理最近斑 ====機之封包’但仍然允許持續-段時間 傳送主機之封包,可以請求高於基本服 2服務4級。在本方法的修正中,路由器可以儲存一系列過 ==或:#卿值且配置一系列與過去秘密值有關之 ;封〇 以啟動傳送端主機與接收端主機門的
H接收駐機傳賴符記資料組,包含由每—舞由器發 ^傳送端主機,用以插互後續封包之該符記之職向^ 接,端主機之後續封包於每—個路由器^行 姑符記仙尋找—奴結果(細職⑴。失 =去娜密值有關之短期符記執行驗證測 二 =去長_密做關之長期觀執行驗證職= ;= 序會一值進行直到真的結果出現或所有的測試^ 過4包===的Γ包會優先處理,但是對於:證 列表中之順織====綱較符記在其 1332159 年月日玟正替换頁 案號:94121128 97年7月11日修正-替換頁 秘密贿—組與個別 收主機問之新心士、序與對(於建立傳送主機以及接 動了接收端騎A之侧QGS值魏糊。此啟 此該接收端主機傳送給該傳送端主機二== 含有選自路由器提供之符記組 ,機心己貝顺,包 值,與每一個接收端主機為傳送駐機所選擇 用於插入在位置於接收端主機之後續封包办機溝通, 長度有歷史 ⑽值之-咖敎 ’其中 s=l-(l/v)h。 在夫法之更進一步修正中,每個路由器被安排於,不要 弟-次驗證測試’立刻降低封包服務等級。該路由哭 *黯獻_购,職哨㈣紐結果。當 计數裔達到預定的Η檻值時,接著調降記 = 服務等級之步驟會開始進行。此修正使得該方法二1 -44 - _路徑之改變或當流量 有用
:94121128 年7月11曰修正-替換頁 流量改變時更_餘之情形更加 0、1在:Γ’Τ:二Γ個路由器可能具有三個可能值V, 「個人=攔位」。與其分派2位元給每一個 330 行比較步斜,其攔位」。當執 MOD 3。 興1^EGER (「儲存欄位」/3〜) 【圖式簡單說明】 圖1係一示意圖,鞀+「 網路間轉換連接的情形;、祕—到—祕」之封包在網際 圖2係*思圖,顯示一逆料資料之結構; 圖3係-示意圖,顯示直接類型之dd〇s攻擊網路; 型之顯權_細(她_)類 DD 不思圖’顯示本發明第一主要實施例之包含 DDoS偵測糸統之網際網路; 丨係—區塊示意圖,顯示本發明第一主要實施例之 DDoS偵測系統; 轉圖’顯示執行本發明第二主要實施例之方法 之封包的弟-附加標頭(heade〇部分; 圖8係7^思圖,顯示了,包含如圖7所視標頭之資料空 -45· 案號:94121128 97年7月11日修正-替換頁 間(dataspace)之資料攔位之資料元件; 第二代的第二標頭部分,執行本發明 之::^:=行本發明第二實施例所述 之資了包含圖1G所述之標頭之資料空間中資料搁位 修本㈣:糊所述之 【主要元件符號說明】 10傳送端主機 14網際網路 卜2、3、4、5鏈結;連結 12接收端主機 16 22 ’’周際網路服務提供者(Bp) 18、20、24'30閘道路由器 24、26、28、30中介網路 24a外部閘道路由器 40攻擊者 42處理裴置 43、45網路雲 100 IPv4資料(封包) 104負載量部分 24b内在閘道路由器 50目標機器(τ);目標 44代理裝置 46中介節點 102標頭部分 106版本攔位 -46- I33Z159
' 丨案號:94121128 4 97年7月11日修正-替換頁
108 IP標頭長度欄位 112資料欄位 116迄今時間攔位 120來源地址攔位 124選項欄位 200攻擊偵測系統 212網路處理器 216鏈結 222介面 226事件分配器 230介面 300標頭部分 320長度欄位 330指標攔位 400標頭部分 500標頭部分 530指示欄位 600標頭部分 110區別服務攔位 114辨識攔位 118協定欄位 122目的位置欄位 210採樣器 214資料儲存設施 220分析器 224處理單元 228事件處理器 232介面 310碼欄位 325 QoS欄位 340資料部分 410碼欄位 510碼棚位 540空白資料區 -47 -
Claims (1)
1332159 案號:94121128 97年7月11日修正-替換頁 十、申請專利範圍: 1. 一種偵測網際網路中分散式拒絕服務(distributed denial 〇f service, DDoS)攻擊的方法,該方法包含下列步驟: 在弟預疋 又(first determined time period )内之數 個時區(time intervals)内,於網際網路中的節點處採樣 (sampling)多個封包,以取得有關於該封包之來源位址 (sourceaddress)以及該相關時區之資料; 對於每-辦區’從節點分別在不嗎定地理區域所 掘取的封包中,分析該資料以得到至少一個與封包度量 (packetmetric)相關的度量參數;以及 ,、 對於下-次-預料段之—時區中,從—特定地理區 域所接收到封包而分析得到的封包度量參數,與第一預定 時段内所對麟區所得的度量參數所推導⑷的一 _上述啸縣絲歧是否存在一 2 ΪΐΊ1所述之方法,射,該封包度量包含下述其一 〜厂目的結合,包含有:所接收封 (ν〇1_)、所接收封包的大小(size)。 3 tΪ項1或2所述之方法,其中,在該網路中一節點採 :邊包包際瓣互連之_網路間的 •48· 1332159 年月日修正替換頁 案號:94121128 97年7月11曰修正·替換頁 4.如請求項3所述之方法,其中該兩個網路分別包含一自主 系統(AS,autonomous system )。 5.如請求項3所述之方法’其中,該兩個網路分別包含一企 業網路(enterprise network )、一網際網路服務提供者(lsp internet service provider)、或網路服務提供者(Nsp,加加她 service provider ) ° 6. 8. 9. 如請求項1或2所述之方法,其中’該採樣封包的採樣速 率係以-網際網路主幹速率(internetbackb〇nerate)執行。 如請求項1或2所述之方法,其巾,在該網際網路之 =所接收之所有封包均被採樣,以取得具有_其來源位 置以及與該封包相關的時區之資料。 如請求項1或2所述之方法,並中.,力 包之該步驟包含,在每-個時區(包含^樣, 内,採樣所接__包。 以預疋時段) -49-
'…---........-案號:941211¾ 97年7月11日修正-替換頁 1〇.如。月求項1或2所述之方法,f由 32 節點所接收封包之關纽該網際網路中該 理位置之資料,決定該特定地 射對於每—個封包,該龍 位兀IP來源位址。 刀97 該所述之方法’其中’經由位於該網際網路之 1W所接㈣母—個封包之該32位元數位來源位置之 一第—個八位元(_),決賴特定的地理區域。 - 1或2所述之方法,其+ ’該第—預^時段包含 (tfaining periGd)’用以獲得該期間之每一個 ’二之至少—參數,該參數與在網際嚇中賴節點從各 別特定地理區域所接收封包之一封包度量有關。 如明求項1或2所述之方法,其中從一特定地理區所接收 到封包而分析得觸封包度量參數,與第—預定時段内所 對應時區所得的度量參數所推導的—門檻值作比較之步 驟係為了 一隨後的(subsequent)預定時區之時段而被 執行。 14 月求項13所述之方法,其中,該第一預定時段之該持 、=期間(duration)、該次一預定時段且/或該隨後的預定時 丰又係24小呀、—週、一月(㈤⑶知咖她)、或一年的 其中之一。 -50- 1332159 S7年7.砵修正替換頁 案號:94121128 97年7月11日修正-替換頁 15.如請求項1或2所述之方法,其中,該第一預定時段、該 次一預定時區與該隨後的預定時段之該時區的期間包含 一預定持續期間,該持續期間係該預定時段之一部份 (fraction)。 16.如請求項1或2所述之方法,其中,對於該第一預定時段 之每一個時區,從該網際網路之該節點分別在不同特定地 理區域所接收到的封包中,該至少一封包度量參數係利 用為次一個且/或一隨後的預定時段之相應時區而決定該 封包度量參數而更新。 π.=請求項1或2所述之方法,其中’從為了該第一預定時 &之時區而獲得之該封包度量參數中推導出該門檻值 (threshold ),該門檻值包含由該特定地理區域之封包容量 與在相同時區内另-地理區域之封包容量的比例,或是包 含,^定地理區域之封包容量變異與另—地理區域之封 包容量變異量的比例。 18 1/戈2所述之方法’其中,在比較從該特定地理 =在-巧内所接收封包之—封包度量參數,與從該至 >—封包度量參數所推導出之一門播值的步驟中 較該封包度量參數,與複數個從該至少—封包度量I 對於5亥第—預定時段之該對應之時區而取得)所推^出 •51 - 1332159 97. 7, m ' ;年月日修正替換頁案號:94121128 • L ------ I 97年7月11曰修正_替換頁 之門檻值’該比較結果被結合以決定一 DDoS攻擊之存在。 19.如請求項1或2所述之方法,其中,將在一時段中從該特 定地理區域接收之一封包度量改變參數(packet metrie change parameter) ’與在該第一預定期間内之該相對應時 區内,從該封包度量參數中推導一門檻值相比較之步驟 中’包含比較該封包度量參數與複數個該門檻值,該門播 值係由該第一預定時段之相應的時區内之該至少一封包 度量參數所推導出,該比較之結果被結合以決定一 DD〇s 攻擊之存在。 20.如明求項1或2所述之方法,更包含從一 攻擊偵測 系統分散貢訊的步驟’該系統包含從該系統到另一個位於 ,,用際凋路_L其他#點之其他共剛祕(⑺哪咖㈣) 攻擊_系、統中,所偵測到之一 DDoS攻擊之資訊。
21.如請求項i或2所述之方法,更包含從—DD〇s攻擊侦測 系統分散資訊到其他網路節點(n〇de ),以重設 jrecwifigure)該即點以過渡封包流量以回應在該〇歸 偵測系統中偵測到一 DD〇s攻擊。 或2所述之方法,更包含—變 廡一 換在棚際網路巾該節點之封包採樣率 ,以回 應在一贿偵測系統中接收到,關於該系統或同時運作 •52- 1332159
案號:94121128 98年06月18日修正一替換頁 偵測系統所偵測到之DDoS攻擊等級之資訊。 23.如請求項1或2所述之方法,更包含一阻擋(bl〇cking) 步驟’當- DDoS攻擊偵測指出(targeting) 一特定ιρ位 置時’該步驟用以崎在絲樣節點所接㈣有具有該特 定IP位置之封包。 24. 如請求項1或2所述之方法,更包含一阻擋(bl〇cking) 步驟’ §在已知的IP位址度量(metrics)中偵測到一 DD〇s 攻擊,該步驟用以在該取樣點阻擋具有很少出現的㈤咖 encountered)之一來源正位置所接收之封包。 25. 如請求項1或2所述之方法,其中,一時區可包含一 的連續時區。
26. -種用於偵測網際網路中分散式拒絕服務(出祕_ denial0fservice,DD〇s)攻擊系統,該系統包含 一封包採樣器’用以在第—預定時段内之數個時區 内,於網際網路中的節點處採樣多個封包,以取得有關於 έ亥封包之來源位址以及該相關時區之資料; ^析^用以對於每一個時區,從節點分別 特疋地理區域所擷取的封包中分析該㈣以得到至少一 個與封包度|相_度量參數;以及,躲下 時段的-時區中對於下—次—就時段的—時區中,2 >53- RXts ~—j [年,Γ日修正替換頁 特疋^理區域所接收到封包而分析得到的封包度量參 數’與第一預定時段内所對應時區所得的度量參數所推導 的一門檻_時’勤上述比較的結果來決定是否存在 一 DDoS攻擊。 27.如請求,26所述之系統’其中,該分析器所用來獲得一 封匕度里參數之該封包度量,包含下述其—或下述項目的 結合,包含有··所接收封包的容量(v〇lume)、所接收 包的大小(size)。 28.=財項26或27所述之系統,其中,用以在該網路中一 節點採樣封包找封包鎌||,包含明際網路互連 個網路間的一邊界處採樣封包。
案號:94121128 98年06月丨8日修正一替換頁 29.如請求項26或27所之系統,其中,該封包採樣器包含_ 網路處理器,且包含-資料儲存設備以儲存資料該 與被採樣的封包之來源位置及相關的時區有關。/ 30.如請求項28所述之系統,其中該兩個網路分別包含—自 主系統(AS, autonomous system )。 ^明求項28所述之系統,其中’該兩個網路分別包含一 企業網路(enterprise network)、-網際網路服務提二 (ISP, internet service provider)、或網路服務提供者(Nsp -54· 32. 32. 衅叫4修正替換頁 案號:94121128 98年〇6月18曰修正一替換頁 network service provider) 〇 2求項26或27所述之系統,其中該封包採樣器被安排 二個時區(包含該第—預定時段)内,採樣所接收到 的封包。 ^ Γ ^項26或27所述之系統,其中該封包採樣器被安排 個時區(包含該第—預定時段)内,採樣所接收 到的封包,其中n係大於一的正整數。 4 t求項26或27所述之系統,其中該分析器被安排於, ^該網際網路t該節點所接收封包之關於該來源位置之 ’決定該特定地理區域’其中對於每一個封包,該資 料I含部分的一 32位元ip來源位置。 、 35· 求項26或27所述之系統,其中,該分析器包含一事 ::處理β (event handler)用以從該或另一個DD〇s攻擊 分散資訊,該_她貞測_純錢胃 ^到另—條於網際網路上其他節點之其他共同操作 (:P_ng) DDgS攻擊偵_統中,所偵測到之一 DD〇S攻擊之資訊。 •55- 36’ ====== 1332159
日修正替換頁 98年〇6月 案號:94121128 18曰修正—替換頁 重設Ueconfigure)該節點輯渡封包流量,以回應在該 偵測系統中偵测到一 DDoS攻擊。 、 37.如請求項35所述之系統,其中,該分析器之—處理單元 被安排用以變換該封包採樣器之封包採樣率,以回應在該 統中接收到,關於該系統或同時 運作偵測系統所偵測到之DDoS攻擊等級之資訊。
統’其巾,魏包採樣11安排於阻 IP位置之封包’以回應該事件處理 _系統所接收到,關於指出該IP 置之DDoS攻擊的資訊。 之系統’其中,該封包採樣器安排於, 搞Ί /、吊出現之來源Ip位置的一採樣點,阻撞在嗜
ιίίΐΐΓί封包,朗賴事件處㈣倾或另一個 貞測系統所接收到,關於—DDoS攻擊偵測的資訊。 擊的貞,網際網路中分散之服務的拒絕(DDoS)攻 、刀析盗(analySer),該分析器包含: 係關於處^Γ70用以從—資料儲存設備取得資料,該資料 包4別該中之一節點上接收複數個被採樣封 區,W二以及每一個封包被採樣時之-時 日可&包含一預定時段; 丁 -56· 1332159 9车6月1 %修正替換頁 索號:94121128 98年06月18日修正—替換頁 該處理單元被安排以執行軟體碼,該軟體碼包含一分 析程式,以對每一個時區取得至少一參數,該至少一參數 與該節點從各別特定地理區域所接收之封包的封包度量 有關,且為了在次一預定時段内之一時區,將從一特定地 理區域接收之封包之封包度量參數,與(第一)預定時段 之對應的時區所獲得的該至少一封包度量參數所推導之 一門檻值相比較’該比較之結果用以決定一 DDoS攻擊是 否存在。 41. 一種在一傳送主機(sending h〇st)與一接收主機(〜㈣ host)間之一路由器認證一封包的方法,該方法包含下列 步驟: 從一符s己資料組(token data set)中讀取一符記之一 值’該符記資料組藉由該傳送主機插入該封包的標頭,該 符記資料組從數個路由器中獲得,該路由器在該連結的起 始處包含該連結; 於該路由器處,驗證該被讀取符記;以及 於該驗證轉之縣果域之處,提健封包一提升 服務的品質(Q〇S,quality of service )。 42.如=求項41所述之方法’其中,於該路由器驗證該被讀 取符記之频,包含··基於齡於該路由H之-秘密值 (secret) ’驗證該被讀取符記。 -57,
—月18曰以= 43.如清求項41或42所述之太、'土甘a . 值、^_ ^ 其令,在該接收主機從該 2达主機接收到至少—封包,經由該接收主機,該符記資 提供給轉送主機,以勤該接收主機插入在隨 後被傳送到該接收主機的封包中。 44· 所述之方法,其中該符記 位置,該路由㈣含位於該傳送與接收主機之間 的孩運結。 45· ^請求項42所述之方法,其中,從包含位於該傳送與該 ,收之該連結之該路由器所接受_符記資料 ,,母個路由器包含一第二(sec〇nd)、非位置相關值 (non-address related value),^ . 與一連㈣包含該連結之路由器之該路㈣位置有關。 46. ί請ir5之方法,其中,該第二、非位置相關值包含 ^時間(TimetoLive)或是在該路徑值(摊⑽㈣ T之距離。 t明未項42所述之方法’其中,該符記資料組具有-相 t ’供向遇到包含碼攔位的一封包之一路由器辨識,該 路由杰執行被歓㈣封㈣之敎㈣組之 驗證步驟。 J 1332159 丨年·/8日修正替換頁I :94121128 ---—_/ 98年06月18日修正_替換頁 攸=請求項42所述之方法,其尹,被該傳送主機插入於封 匕中之該符記資料組,包含一 f柄QqS等級係從複數 ::該連針之該路由器可執行之可能的Q 所選出。 收如請求項42所述之方法,其令,該 讀取符記上執行-密媽(c__c)言^3在郝 50. 如請求項42所述之方法,其令,該 =一)’則該路由器不提供:提升的Q: 51. 如請求項50所述之方法,其中,該 結果(胸,,則該路由器減低該ί ί之Qc^及定 52. 如請求項42所述之方汰 ^ , 路—包含:短期的 A -個該連結 記,此處該短期與長期卜”且、匕3短期符記與一長期符 秘密值有關。/㈣刀別與儲存於各該路由器中之 54·如請求項53所述之方法,其中,在該驗證步驟中包含首 -59- 1332159 9砵6 ·月18日修正替換頁 案號:94121128 98年06月18日修正一替換頁 先驗證一短_記,若❹卜奴結果,提供該封包-提 升的QoS。 55.如請求項54所述之方法,其卜在該短麟記之該驗證 步驟ΐϋ回一否定結果處,該驗證步—彳 έ己’若得到-肯定結果,提供該封包—提升的⑽。 56·如請求項55所述之方法,其中,提供該Q〇s給一封包, 以回應從該長麟記找驗步财所糾之 #,_供給’117應該峨符記之該驗i 步驟中仔到一肯定結果之QoS等級。 A 以認證在—傳送主機與—接收主機間之一封包的 路由器’該路由器包含:一處理單元用以: 從一符記資料組中,讀取一符甲 _ =由該傳送主機插入該封包的標頭,該符記資 :路由器增,綱_物树== 於該路由器處,驗證該被讀取符記;以及 於該驗證步叙該結果域之處 品質的服務(Q〇s,qu御ofservic小…封包一料 58_如請求項57所述之路由器,更包含 秘密值,藉此執行驗證該被讀取符記之該^。以健存— -60- 1332159 ’ ---- 牛月曰修正替換頁 案號:94121128 L-------1 98年06月丨8日修正一替換頁 59. 如§青求項57或58所述之路由器,其中,該處理單元被安 排於辨認與該符記資料組有關之一碼攔位(c〇de field), 且藉由辨識該碼欄位,執行該符記資料之該驗證步驟。 60. 如明求項57或58所述之路由器,其中,該處理單元被安 排於在該被櫝取符記上執行一密碼(crypt〇graphic)計算。
61.如請求項58所述之路由器,其中,該記憶體中儲存有對 應於一短期符記之一第一秘密值,以及對應於一長期符記 之一第二秘密值。 ’ ° .如請求項61所述之路由器,其中,該處理單元被安排於 先利用該第一秘密值而驗證-_符記,若得到—肯定杜 果,提供該封包一提升的Q〇s。 ' ° 63. ^請求項62所述之路由器,其中,該處理單元於該短期 付。己利用第—秘岔值之該驗證步驟中傳回—否定結果 處,接著執打該長期符記之一驗證步驟,若得到一 果,提供該封包一提升的QoS。 ° 種可以執仃偵測網際網路中分散式拒絕服務攻带 月包’其特徵為具有一記憶體,用以儲存可被處理單元甩 =:以執行請求項42到56,或丨到25中任―項; 61 1332159 _,_, 0 I g ~ 牛月日修正替換頁 案號:94121128 _1 98年06月18日修正一替換頁 65. —種電腦可讀取媒體,包含可被處理單元執行之電腦程式 碼,以執行請求項42到56,或1到25中任一項所述的方 . 法0
-62 - 1332159
案號:9412彳128 97年7月11日修正-替換頁 七、指定代表® : (一) 、本案指定代表圖為:圖卜 (二) 、本代表圖之元件代表符號簡單說明·· 1、2、3、4、5鏈結;連結 10傳送端主機 12接收端主機 14網際網路 16、22網際網路服務提供者(ISP) 18、20、24、30閘道路由器 24、26、28、30中介網路 2知外部閘道路由器 24b内在間道路由器 八、本案若有化學式時,誚揭示最能顯示發明特敗的化學式:
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP04405438 | 2004-07-09 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW200617705A TW200617705A (en) | 2006-06-01 |
| TWI332159B true TWI332159B (en) | 2010-10-21 |
Family
ID=35542747
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW094121128A TWI332159B (en) | 2004-07-09 | 2005-06-24 | Method, system, analyser, router, and computer readable medium of detecting a distributed denial of service (ddos) attack in the internet |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US20060010389A1 (zh) |
| KR (1) | KR100773006B1 (zh) |
| CN (1) | CN100370757C (zh) |
| TW (1) | TWI332159B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI463842B (zh) * | 2013-01-03 | 2014-12-01 | D Link Corp | A mobile router capable of automatically detecting a connection pattern and performing connection settings and a method thereof |
| TWI478561B (zh) * | 2012-04-05 | 2015-03-21 | Inst Information Industry | 網域追蹤方法與系統及其電腦可讀取記錄媒體 |
| TWI777117B (zh) * | 2020-01-02 | 2022-09-11 | 財團法人資訊工業策進會 | 用於測試待測裝置的網路防禦機制的測試裝置、測試方法及非暫態有形機器可讀介質 |
Families Citing this family (124)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6957348B1 (en) * | 2000-01-10 | 2005-10-18 | Ncircle Network Security, Inc. | Interoperability of vulnerability and intrusion detection systems |
| US7181769B1 (en) * | 2000-08-25 | 2007-02-20 | Ncircle Network Security, Inc. | Network security system having a device profiler communicatively coupled to a traffic monitor |
| US8359650B2 (en) * | 2002-10-01 | 2013-01-22 | Skybox Secutiry Inc. | System, method and computer readable medium for evaluating potential attacks of worms |
| US8407798B1 (en) | 2002-10-01 | 2013-03-26 | Skybox Secutiry Inc. | Method for simulation aided security event management |
| US8059551B2 (en) * | 2005-02-15 | 2011-11-15 | Raytheon Bbn Technologies Corp. | Method for source-spoofed IP packet traceback |
| US7987493B1 (en) * | 2005-07-18 | 2011-07-26 | Sprint Communications Company L.P. | Method and system for mitigating distributed denial of service attacks using centralized management |
| EP1811415A1 (en) | 2005-12-23 | 2007-07-25 | Nagracard S.A. | Secure system-on-chip |
| US8656191B2 (en) | 2005-12-23 | 2014-02-18 | Nagravision S.A. | Secure system-on-chip |
| EP1802030A1 (en) * | 2005-12-23 | 2007-06-27 | Nagracard S.A. | Secure system-on-chip |
| US8689326B2 (en) * | 2006-01-16 | 2014-04-01 | Cyber Solutions Inc. | Device for analyzing and diagnosing network traffic, a system for analyzing and diagnosing network traffic, and a system for tracing network traffic |
| US7697418B2 (en) * | 2006-06-12 | 2010-04-13 | Alcatel Lucent | Method for estimating the fan-in and/or fan-out of a node |
| EP1881435A1 (fr) * | 2006-07-18 | 2008-01-23 | France Télécom | Procédé et dispositif de detection d'attaques de réseau par déterminer des correlations temporelles de données |
| US7554987B2 (en) * | 2006-10-10 | 2009-06-30 | Motorola, Inc. | Quality of service modification using a token in a communication network |
| US7788198B2 (en) | 2006-12-14 | 2010-08-31 | Microsoft Corporation | Method for detecting anomalies in server behavior using operational performance and failure mode monitoring counters |
| US8272044B2 (en) * | 2007-05-25 | 2012-09-18 | New Jersey Institute Of Technology | Method and system to mitigate low rate denial of service (DoS) attacks |
| US9014047B2 (en) * | 2007-07-10 | 2015-04-21 | Level 3 Communications, Llc | System and method for aggregating and reporting network traffic data |
| US20090113039A1 (en) * | 2007-10-25 | 2009-04-30 | At&T Knowledge Ventures, L.P. | Method and system for content handling |
| KR100950900B1 (ko) * | 2007-11-12 | 2010-04-06 | 주식회사 안철수연구소 | 분산서비스거부 공격 방어방법 및 방어시스템 |
| US8099764B2 (en) * | 2007-12-17 | 2012-01-17 | Microsoft Corporation | Secure push and status communication between client and server |
| ES2401163T3 (es) * | 2008-04-11 | 2013-04-17 | Deutsche Telekom Ag | Procedimiento y sistema para la estrangulación o el bloqueo de áreas geográficas para la mitigación de los ataques de denegación distribuida de servicio usando una interfaz gráfica de usuario |
| ES2345957T3 (es) * | 2008-04-11 | 2010-10-06 | Deutsche Telekom Ag | Metodo y sistema para mitigar la denegacion distribuida de ataques de servicio utilizando informacion de fuente geografica y de tiempo. |
| CN101267313B (zh) * | 2008-04-23 | 2010-10-27 | 成都市华为赛门铁克科技有限公司 | 泛洪攻击检测方法及检测装置 |
| CN101282340B (zh) * | 2008-05-09 | 2010-09-22 | 成都市华为赛门铁克科技有限公司 | 网络攻击处理方法及处理装置 |
| US8601604B2 (en) * | 2008-05-13 | 2013-12-03 | Telefonaktiebolaget Lm Ericsson (Publ) | Verifying a message in a communication network |
| CN101588246B (zh) * | 2008-05-23 | 2012-01-04 | 成都市华为赛门铁克科技有限公司 | 防范分布式阻断服务DDoS攻击的方法、网络设备和网络系统 |
| TWI387259B (zh) * | 2008-08-01 | 2013-02-21 | Kathy T Lin | 監控網站應用程式使用情境安全性之系統、方法、監控程式產品及電腦可讀取記錄媒體 |
| US8739269B2 (en) * | 2008-08-07 | 2014-05-27 | At&T Intellectual Property I, L.P. | Method and apparatus for providing security in an intranet network |
| CN101378394B (zh) * | 2008-09-26 | 2012-01-18 | 成都市华为赛门铁克科技有限公司 | 分布式拒绝服务检测方法及网络设备 |
| US8161155B2 (en) * | 2008-09-29 | 2012-04-17 | At&T Intellectual Property I, L.P. | Filtering unwanted data traffic via a per-customer blacklist |
| US8085681B2 (en) * | 2008-10-21 | 2011-12-27 | At&T Intellectual Property I, Lp | Centralized analysis and management of network packets |
| KR100900491B1 (ko) * | 2008-12-02 | 2009-06-03 | (주)씨디네트웍스 | 분산 서비스 거부 공격의 차단 방법 및 장치 |
| KR100927240B1 (ko) * | 2008-12-29 | 2009-11-16 | 주식회사 이글루시큐리티 | 가상환경을 통한 악성코드탐지방법 |
| CN101447996B (zh) * | 2008-12-31 | 2012-08-29 | 成都市华为赛门铁克科技有限公司 | 分布式拒绝服务攻击防护方法、系统及设备 |
| CN101465864B (zh) * | 2009-01-14 | 2012-09-05 | 中国科学院计算技术研究所 | 一种带宽消耗随机伪造源地址攻击的过滤方法及系统 |
| CN101540761B (zh) * | 2009-04-24 | 2012-02-01 | 成都市华为赛门铁克科技有限公司 | 一种分布式拒绝服务攻击的监控方法和监控设备 |
| US8751627B2 (en) | 2009-05-05 | 2014-06-10 | Accenture Global Services Limited | Method and system for application migration in a cloud |
| US8543807B2 (en) * | 2009-07-14 | 2013-09-24 | Electronics And Telecommunications Research Institute | Method and apparatus for protecting application layer in computer network system |
| KR100942456B1 (ko) | 2009-07-23 | 2010-02-12 | 주식회사 안철수연구소 | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 |
| KR100973076B1 (ko) * | 2009-08-28 | 2010-07-29 | (주)넷코아테크 | 분산 서비스 거부 공격 대응 시스템 및 그 방법 |
| US20110072515A1 (en) * | 2009-09-22 | 2011-03-24 | Electronics And Telecommunications Research Institute | Method and apparatus for collaboratively protecting against distributed denial of service attack |
| FR2956542B1 (fr) * | 2010-02-17 | 2012-07-27 | Alcatel Lucent | Filtre d'une attaque de deni de service |
| US8332626B2 (en) * | 2010-04-15 | 2012-12-11 | Ntrepid Corporation | Method and apparatus for authentication token-based service redirection |
| US20120180126A1 (en) * | 2010-07-13 | 2012-07-12 | Lei Liu | Probable Computing Attack Detector |
| US9071616B2 (en) | 2010-11-18 | 2015-06-30 | Microsoft Technology Licensing, Llc | Securing partner-enabled web service |
| US8966622B2 (en) | 2010-12-29 | 2015-02-24 | Amazon Technologies, Inc. | Techniques for protecting against denial of service attacks near the source |
| CA2827941C (en) * | 2011-02-24 | 2017-09-12 | The University Of Tulsa | Network-based hyperspeed communication and defense |
| US8789176B1 (en) * | 2011-03-07 | 2014-07-22 | Amazon Technologies, Inc. | Detecting scans using a bloom counter |
| KR20130017333A (ko) | 2011-08-10 | 2013-02-20 | 한국전자통신연구원 | 응용 계층 기반의 슬로우 분산서비스거부 공격판단 시스템 및 방법 |
| US9432385B2 (en) | 2011-08-29 | 2016-08-30 | Arbor Networks, Inc. | System and method for denial of service attack mitigation using cloud services |
| US9843488B2 (en) * | 2011-11-07 | 2017-12-12 | Netflow Logic Corporation | Method and system for confident anomaly detection in computer network traffic |
| CN103197922A (zh) * | 2012-01-06 | 2013-07-10 | 周晓红 | 用html开发(web)动态脚本的技术方法 |
| US20130198805A1 (en) * | 2012-01-24 | 2013-08-01 | Matthew Strebe | Methods and apparatus for managing network traffic |
| TWI489826B (zh) * | 2013-01-14 | 2015-06-21 | Univ Nat Taiwan Science Tech | 基於流量統計的封包頭偵測分散式阻斷之方法 |
| US8978138B2 (en) | 2013-03-15 | 2015-03-10 | Mehdi Mahvi | TCP validation via systematic transmission regulation and regeneration |
| US9043912B2 (en) | 2013-03-15 | 2015-05-26 | Mehdi Mahvi | Method for thwarting application layer hypertext transport protocol flood attacks focused on consecutively similar application-specific data packets |
| US9197362B2 (en) | 2013-03-15 | 2015-11-24 | Mehdi Mahvi | Global state synchronization for securely managed asymmetric network communication |
| CN103179132B (zh) * | 2013-04-09 | 2016-03-02 | 中国信息安全测评中心 | 一种检测和防御cc攻击的方法及装置 |
| US10073858B2 (en) * | 2013-05-16 | 2018-09-11 | Oracle International Corporation | Systems and methods for tuning a storage system |
| US9647985B2 (en) * | 2013-05-23 | 2017-05-09 | Check Point Software Technologies Ltd | Location-aware rate-limiting method for mitigation of denial-of-service attacks |
| WO2014194495A1 (en) * | 2013-06-05 | 2014-12-11 | Beijing Blue I.T. Technologies Co., Ltd | Method and apparatus for detecting attack on server |
| US9282113B2 (en) * | 2013-06-27 | 2016-03-08 | Cellco Partnership | Denial of service (DoS) attack detection systems and methods |
| US9148440B2 (en) * | 2013-11-25 | 2015-09-29 | Imperva, Inc. | Coordinated detection and differentiation of denial of service attacks |
| CN103916379B (zh) * | 2013-12-04 | 2017-07-18 | 哈尔滨安天科技股份有限公司 | 一种基于高频统计的cc攻击识别方法及系统 |
| US20150161389A1 (en) * | 2013-12-11 | 2015-06-11 | Prism Technologies Llc | System and method for the detection and prevention of battery exhaustion attacks |
| EP2887602A1 (en) * | 2013-12-17 | 2015-06-24 | Stonesoft Corporation | Session level mitigation of service disrupting attacks |
| CN103701795B (zh) * | 2013-12-20 | 2017-11-24 | 北京奇安信科技有限公司 | 拒绝服务攻击的攻击源的识别方法和装置 |
| JP6252254B2 (ja) * | 2014-02-28 | 2017-12-27 | 富士通株式会社 | 監視プログラム、監視方法および監視装置 |
| US9888033B1 (en) * | 2014-06-19 | 2018-02-06 | Sonus Networks, Inc. | Methods and apparatus for detecting and/or dealing with denial of service attacks |
| US10474470B2 (en) * | 2014-06-24 | 2019-11-12 | The Boeing Company | Techniques deployment system |
| US9497207B2 (en) * | 2014-08-15 | 2016-11-15 | International Business Machines Corporation | Securing of software defined network controllers |
| EP3195127B1 (en) * | 2014-09-15 | 2023-04-05 | PerimeterX, Inc. | Analyzing client application behavior to detect anomalies and prevent access |
| WO2016108415A1 (ko) * | 2014-12-31 | 2016-07-07 | 주식회사 시큐아이 | 네트워크 보안 장비 및 그것의 디도스 공격 탐지 방법 |
| US10193922B2 (en) * | 2015-01-13 | 2019-01-29 | Level 3 Communications, Llc | ISP blacklist feed |
| US10560466B2 (en) * | 2015-01-13 | 2020-02-11 | Level 3 Communications, Llc | Vertical threat analytics for DDoS attacks |
| EP3108614B1 (en) * | 2015-03-18 | 2022-08-24 | Certis Cisco Security Pte Ltd | System and method for information security threat disruption via a border gateway |
| CN104796301A (zh) * | 2015-03-31 | 2015-07-22 | 北京奇艺世纪科技有限公司 | 网络流量异常判断方法和装置 |
| CN106302318A (zh) | 2015-05-15 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 一种网站攻击防御方法及装置 |
| US9621577B2 (en) | 2015-05-28 | 2017-04-11 | Microsoft Technology Licensing, Llc | Mitigation of computer network attacks |
| CN104917765A (zh) * | 2015-06-10 | 2015-09-16 | 杭州华三通信技术有限公司 | 一种防范攻击的方法和设备 |
| US10021130B2 (en) * | 2015-09-28 | 2018-07-10 | Verizon Patent And Licensing Inc. | Network state information correlation to detect anomalous conditions |
| CN105323259B (zh) * | 2015-12-07 | 2018-07-31 | 上海斐讯数据通信技术有限公司 | 一种防止同步包攻击的方法和装置 |
| EP3396900B1 (en) * | 2015-12-25 | 2019-10-30 | Panasonic Intellectual Property Management Co., Ltd. | Fraudulent message detection |
| CN106453242A (zh) * | 2016-08-29 | 2017-02-22 | 四川超腾达物联科技有限公司 | 一种网络安全防护系统 |
| CN106411934B (zh) | 2016-11-15 | 2017-11-21 | 平安科技(深圳)有限公司 | DoS/DDoS攻击检测方法和装置 |
| TWI617939B (zh) | 2016-12-01 | 2018-03-11 | 財團法人資訊工業策進會 | 攻擊節點偵測裝置、方法及其電腦程式產品 |
| TWI610196B (zh) | 2016-12-05 | 2018-01-01 | 財團法人資訊工業策進會 | 網路攻擊模式之判斷裝置、判斷方法及其電腦程式產品 |
| US10547636B2 (en) * | 2016-12-28 | 2020-01-28 | Verisign, Inc. | Method and system for detecting and mitigating denial-of-service attacks |
| CN111641585B (zh) * | 2016-12-29 | 2023-11-10 | 华为技术有限公司 | 一种DDoS攻击检测方法及设备 |
| US10616271B2 (en) | 2017-01-03 | 2020-04-07 | Microsemi Frequency And Time Corporation | System and method for mitigating distributed denial of service attacks |
| WO2018141432A1 (en) * | 2017-01-31 | 2018-08-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and attack detection function for detection of a distributed attack in a wireless network |
| CN107454065B (zh) * | 2017-07-12 | 2020-07-10 | 北京神州绿盟信息安全科技股份有限公司 | 一种UDP Flood攻击的防护方法及装置 |
| US10516695B1 (en) * | 2017-09-26 | 2019-12-24 | Amazon Technologies, Inc. | Distributed denial of service attack mitigation in service provider systems |
| US11184369B2 (en) * | 2017-11-13 | 2021-11-23 | Vectra Networks, Inc. | Malicious relay and jump-system detection using behavioral indicators of actors |
| US10567441B2 (en) | 2018-01-14 | 2020-02-18 | Cisco Technology, Inc. | Distributed security system |
| CN108540309B (zh) * | 2018-03-06 | 2022-05-13 | 中国互联网络信息中心 | 一种潜在风险IPv6地址定位方法及定位服务器 |
| US10944783B2 (en) | 2018-07-12 | 2021-03-09 | At&T Intellectual Property I, L.P. | Dynamic denial of service mitigation system |
| FR3086821A1 (fr) * | 2018-09-28 | 2020-04-03 | Orange | Procedes de collaboration et de demande de collaboration entre services de protection associes a au moins un domaine, agents et programme d’ordinateur correspondants. |
| CN109257445B (zh) * | 2018-11-12 | 2021-05-07 | 郑州昂视信息科技有限公司 | 一种Web服务动态调度方法及动态调度系统 |
| US11265235B2 (en) * | 2019-03-29 | 2022-03-01 | Intel Corporation | Technologies for capturing processing resource metrics as a function of time |
| US11153334B2 (en) * | 2019-04-09 | 2021-10-19 | Arbor Networks, Inc. | Automatic detection of malicious packets in DDoS attacks using an encoding scheme |
| CN111918280B (zh) * | 2019-05-07 | 2022-07-22 | 华为技术有限公司 | 一种终端信息的处理方法、装置及系统 |
| CN110266766B (zh) * | 2019-05-22 | 2022-01-21 | 深圳华科云动力科技有限公司 | 一种抗攻击分布式网络节点的构建方法、系统及终端设备 |
| CN110365667B (zh) * | 2019-07-03 | 2021-11-23 | 杭州迪普科技股份有限公司 | 攻击报文防护方法、装置、电子设备 |
| TWI711284B (zh) * | 2019-07-05 | 2020-11-21 | 動力安全資訊股份有限公司 | 分散式阻斷服務攻擊的處理方法 |
| DE102019210224A1 (de) * | 2019-07-10 | 2021-01-14 | Robert Bosch Gmbh | Vorrichtung und Verfahren für Angriffserkennung in einem Rechnernetzwerk |
| CN110719169A (zh) * | 2019-11-07 | 2020-01-21 | 北京小米移动软件有限公司 | 传输路由器安全信息的方法及装置 |
| CN111092912B (zh) * | 2019-12-31 | 2022-12-23 | 中国银行股份有限公司 | 安全防御方法及装置 |
| TWI698102B (zh) * | 2020-01-06 | 2020-07-01 | 財團法人資訊工業策進會 | 用於行動通訊系統之威脅偵測系統及其中心裝置與本地裝置 |
| CN114902615A (zh) * | 2020-01-15 | 2022-08-12 | 三菱电机株式会社 | 中继装置以及中继方法 |
| US11381594B2 (en) * | 2020-03-26 | 2022-07-05 | At&T Intellectual Property I, L.P. | Denial of service detection and mitigation in a multi-access edge computing environment |
| US11444973B2 (en) * | 2020-04-09 | 2022-09-13 | Arbor Networks, Inc. | Detecting over-mitigation of network traffic by a network security element |
| US11563765B2 (en) * | 2020-04-10 | 2023-01-24 | AttackIQ, Inc. | Method for emulating a known attack on a target computer network |
| US11677775B2 (en) * | 2020-04-10 | 2023-06-13 | AttackIQ, Inc. | System and method for emulating a multi-stage attack on a node within a target network |
| CN111726774B (zh) * | 2020-06-28 | 2023-09-05 | 阿波罗智联(北京)科技有限公司 | 防御攻击的方法、装置、设备及存储介质 |
| CA3185921A1 (en) * | 2020-08-25 | 2022-03-03 | Stefan Prandl | A system for and method of detecting an anomaly |
| FR3117296A1 (fr) * | 2020-10-22 | 2022-06-10 | Orange | Procédé et dispositif de priorisation de flux de paquets |
| CN112910918A (zh) * | 2021-02-26 | 2021-06-04 | 南方电网科学研究院有限责任公司 | 基于随机森林的工控网络DDoS攻击流量检测方法及装置 |
| US11962615B2 (en) | 2021-07-23 | 2024-04-16 | Bank Of America Corporation | Information security system and method for denial-of-service detection |
| CN114338206B (zh) * | 2021-12-31 | 2024-05-07 | 曙光网络科技有限公司 | Ddos攻击检测方法、装置、设备以及存储介质 |
| CN114553543A (zh) * | 2022-02-23 | 2022-05-27 | 安天科技集团股份有限公司 | 一种网络攻击检测方法、硬件芯片及电子设备 |
| US20230362192A1 (en) * | 2022-05-09 | 2023-11-09 | Centurylink Intellectual Property Llc | Systems and methods for mitigating denial of service attacks |
| CN117318947A (zh) * | 2022-06-21 | 2023-12-29 | 中国移动通信有限公司研究院 | 报文校验方法、装置、相关设备及存储介质 |
| CN115134250B (zh) * | 2022-06-29 | 2024-03-15 | 北京计算机技术及应用研究所 | 一种网络攻击溯源取证方法 |
| CN117675413B (zh) * | 2024-01-31 | 2024-04-16 | 北京中关村实验室 | 受攻击工业节点间的防御资源分布式调度方法及装置 |
Family Cites Families (65)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6738814B1 (en) * | 1998-03-18 | 2004-05-18 | Cisco Technology, Inc. | Method for blocking denial of service and address spoofing attacks on a private network |
| US6578147B1 (en) * | 1999-01-15 | 2003-06-10 | Cisco Technology, Inc. | Parallel intrusion detection sensors with load balancing for high speed networks |
| US6954775B1 (en) * | 1999-01-15 | 2005-10-11 | Cisco Technology, Inc. | Parallel intrusion detection sensors with load balancing for high speed networks |
| US6725377B1 (en) * | 1999-03-12 | 2004-04-20 | Networks Associates Technology, Inc. | Method and system for updating anti-intrusion software |
| US6981146B1 (en) * | 1999-05-17 | 2005-12-27 | Invicta Networks, Inc. | Method of communications and communication network intrusion protection methods and intrusion attempt detection system |
| EP1063814A1 (en) * | 1999-06-24 | 2000-12-27 | Alcatel | A method to forward a multicast packet |
| US7154858B1 (en) * | 1999-06-30 | 2006-12-26 | Cisco Technology, Inc. | System and method for measuring latency of a selected path of a computer network |
| US6597957B1 (en) * | 1999-12-20 | 2003-07-22 | Cisco Technology, Inc. | System and method for consolidating and sorting event data |
| US6775657B1 (en) * | 1999-12-22 | 2004-08-10 | Cisco Technology, Inc. | Multilayered intrusion detection system and method |
| US6873600B1 (en) * | 2000-02-04 | 2005-03-29 | At&T Corp. | Consistent sampling for network traffic measurement |
| JP2001251351A (ja) * | 2000-03-02 | 2001-09-14 | Nec Corp | パケット交換機における入力パケット処理方式 |
| JP2001292167A (ja) * | 2000-04-10 | 2001-10-19 | Fujitsu Ltd | ネットワーク中継システムおよび中継装置 |
| US7120662B2 (en) * | 2000-04-17 | 2006-10-10 | Circadence Corporation | Conductor gateway prioritization parameters |
| US6738361B1 (en) * | 2000-05-31 | 2004-05-18 | Nokia Ip Inc. | Method, apparatus and computer program for IP traffic prioritization in IP networks |
| US6826172B1 (en) * | 2000-06-09 | 2004-11-30 | Steven Augart | Network probing using overlapping probe packets |
| US7200673B1 (en) * | 2000-06-09 | 2007-04-03 | Steven Augart | Determining the geographic location of a network device |
| US6778524B1 (en) * | 2000-06-09 | 2004-08-17 | Steven Augart | Creating a geographic database for network devices |
| US7043759B2 (en) * | 2000-09-07 | 2006-05-09 | Mazu Networks, Inc. | Architecture to thwart denial of service attacks |
| US7188366B2 (en) * | 2000-09-12 | 2007-03-06 | Nippon Telegraph And Telephone Corporation | Distributed denial of service attack defense method and device |
| US7080161B2 (en) * | 2000-10-17 | 2006-07-18 | Avaya Technology Corp. | Routing information exchange |
| US6920493B1 (en) * | 2001-03-19 | 2005-07-19 | Networks Associates Technology, Inc. | System and method for communicating coalesced rule parameters in a distributed computing environment |
| US6778498B2 (en) * | 2001-03-20 | 2004-08-17 | Mci, Inc. | Virtual private network (VPN)-aware customer premises equipment (CPE) edge router |
| US7308715B2 (en) * | 2001-06-13 | 2007-12-11 | Mcafee, Inc. | Protocol-parsing state machine and method of using same |
| US7028179B2 (en) * | 2001-07-03 | 2006-04-11 | Intel Corporation | Apparatus and method for secure, automated response to distributed denial of service attacks |
| US7356689B2 (en) * | 2001-07-09 | 2008-04-08 | Lucent Technologies Inc. | Method and apparatus for tracing packets in a communications network |
| US20040187032A1 (en) * | 2001-08-07 | 2004-09-23 | Christoph Gels | Method, data carrier, computer system and computer progamme for the identification and defence of attacks in server of network service providers and operators |
| US8438241B2 (en) * | 2001-08-14 | 2013-05-07 | Cisco Technology, Inc. | Detecting and protecting against worm traffic on a network |
| US7171683B2 (en) * | 2001-08-30 | 2007-01-30 | Riverhead Networks Inc. | Protecting against distributed denial of service attacks |
| US7299297B2 (en) * | 2001-08-16 | 2007-11-20 | Lucent Technologies Inc. | Method and apparatus for protecting electronic commerce from distributed denial-of-service attacks |
| US7207062B2 (en) * | 2001-08-16 | 2007-04-17 | Lucent Technologies Inc | Method and apparatus for protecting web sites from distributed denial-of-service attacks |
| US7107619B2 (en) * | 2001-08-31 | 2006-09-12 | International Business Machines Corporation | System and method for the detection of and reaction to denial of service attacks |
| US7443822B2 (en) * | 2001-09-27 | 2008-10-28 | Telefonaktiebolaget L M Ericsson (Publ) | Method for multihop routing for distributed WLAN networks |
| US7356596B2 (en) * | 2001-12-07 | 2008-04-08 | Architecture Technology Corp. | Protecting networks from access link flooding attacks |
| US7657934B2 (en) * | 2002-01-31 | 2010-02-02 | Riverbed Technology, Inc. | Architecture to thwart denial of service attacks |
| US7743415B2 (en) * | 2002-01-31 | 2010-06-22 | Riverbed Technology, Inc. | Denial of service attacks characterization |
| AU2003212910A1 (en) * | 2002-02-07 | 2003-09-02 | University Of Massachusetts | Probabalistic packet marking |
| US7096498B2 (en) * | 2002-03-08 | 2006-08-22 | Cipher Trust, Inc. | Systems and methods for message threat management |
| JP3609381B2 (ja) * | 2002-03-22 | 2005-01-12 | 日本電信電話株式会社 | 分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラム |
| US7373663B2 (en) * | 2002-05-31 | 2008-05-13 | Alcatel Canada Inc. | Secret hashing for TCP SYN/FIN correspondence |
| US7519991B2 (en) * | 2002-06-19 | 2009-04-14 | Alcatel-Lucent Usa Inc. | Method and apparatus for incrementally deploying ingress filtering on the internet |
| AU2003244895A1 (en) * | 2002-06-20 | 2004-01-06 | Nokia Corporation | QoS SIGNALING FOR MOBILE IP |
| AU2003261154A1 (en) * | 2002-07-12 | 2004-02-02 | The Penn State Research Foundation | Real-time packet traceback and associated packet marking strategies |
| KR100523483B1 (ko) * | 2002-10-24 | 2005-10-24 | 한국전자통신연구원 | 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법 |
| CN1494291A (zh) * | 2002-11-02 | 2004-05-05 | 深圳市中兴通讯股份有限公司 | 以太网点到点协议防止拒绝服务攻击的方法 |
| KR100481614B1 (ko) * | 2002-11-19 | 2005-04-08 | 한국전자통신연구원 | 서비스 거부와 분산 서비스 거부 공격으로부터 정상트래픽을 보호하는 방법 및 그 장치 |
| KR100479202B1 (ko) * | 2002-12-26 | 2005-03-28 | 한국과학기술정보연구원 | 분산서비스거부 공격 대응 시스템 및 방법과 그프로그램을 기록한 기록매체 |
| US20040128539A1 (en) * | 2002-12-30 | 2004-07-01 | Intel Corporation | Method and apparatus for denial of service attack preemption |
| US20040148520A1 (en) * | 2003-01-29 | 2004-07-29 | Rajesh Talpade | Mitigating denial of service attacks |
| JP4354201B2 (ja) * | 2003-03-18 | 2009-10-28 | 富士通株式会社 | 不正アクセス対処システム、及び不正アクセス対処処理プログラム |
| US7039950B2 (en) * | 2003-04-21 | 2006-05-02 | Ipolicy Networks, Inc. | System and method for network quality of service protection on security breach detection |
| US7426634B2 (en) * | 2003-04-22 | 2008-09-16 | Intruguard Devices, Inc. | Method and apparatus for rate based denial of service attack detection and prevention |
| US7681235B2 (en) * | 2003-05-19 | 2010-03-16 | Radware Ltd. | Dynamic network protection |
| US7464409B2 (en) * | 2003-06-27 | 2008-12-09 | University Of Florida Research Foundation, Inc. | Perimeter-based defense against data flooding in a data communication network |
| US7526807B2 (en) * | 2003-11-26 | 2009-04-28 | Alcatel-Lucent Usa Inc. | Distributed architecture for statistical overload control against distributed denial of service attacks |
| US7613179B2 (en) * | 2003-11-26 | 2009-11-03 | Nortel Networks Limited | Technique for tracing source addresses of packets |
| US20060085861A1 (en) * | 2004-03-12 | 2006-04-20 | Andrey Belenky | Tracing slaves from reflectors with deterministic packet marking |
| US20050249214A1 (en) * | 2004-05-07 | 2005-11-10 | Tao Peng | System and process for managing network traffic |
| US20050278779A1 (en) * | 2004-05-25 | 2005-12-15 | Lucent Technologies Inc. | System and method for identifying the source of a denial-of-service attack |
| KR100777751B1 (ko) * | 2004-10-12 | 2007-11-19 | 니폰덴신뎅와 가부시키가이샤 | 서비스 불능 공격 방어 시스템, 서비스 불능 공격 방어방법 및 서비스 불능 공격 방어 프로그램 |
| US7779471B2 (en) * | 2005-04-05 | 2010-08-17 | Cisco Technology, Inc. | Method and system for preventing DOS attacks |
| US20060248588A1 (en) * | 2005-04-28 | 2006-11-02 | Netdevices, Inc. | Defending Denial of Service Attacks in an Inter-networked Environment |
| US20060288411A1 (en) * | 2005-06-21 | 2006-12-21 | Avaya, Inc. | System and method for mitigating denial of service attacks on communication appliances |
| US20070130619A1 (en) * | 2005-12-06 | 2007-06-07 | Sprint Communications Company L.P. | Distributed denial of service (DDoS) network-based detection |
| US20070245417A1 (en) * | 2006-04-17 | 2007-10-18 | Hojae Lee | Malicious Attack Detection System and An Associated Method of Use |
| US8510834B2 (en) * | 2006-10-09 | 2013-08-13 | Radware, Ltd. | Automatic signature propagation network |
-
2005
- 2005-05-16 CN CNB2005100726847A patent/CN100370757C/zh not_active Expired - Fee Related
- 2005-06-24 TW TW094121128A patent/TWI332159B/zh not_active IP Right Cessation
- 2005-07-04 KR KR1020050059743A patent/KR100773006B1/ko not_active IP Right Cessation
- 2005-07-08 US US11/177,573 patent/US20060010389A1/en not_active Abandoned
-
2008
- 2008-05-26 US US12/126,976 patent/US7921462B2/en not_active Expired - Fee Related
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI478561B (zh) * | 2012-04-05 | 2015-03-21 | Inst Information Industry | 網域追蹤方法與系統及其電腦可讀取記錄媒體 |
| TWI463842B (zh) * | 2013-01-03 | 2014-12-01 | D Link Corp | A mobile router capable of automatically detecting a connection pattern and performing connection settings and a method thereof |
| TWI777117B (zh) * | 2020-01-02 | 2022-09-11 | 財團法人資訊工業策進會 | 用於測試待測裝置的網路防禦機制的測試裝置、測試方法及非暫態有形機器可讀介質 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW200617705A (en) | 2006-06-01 |
| KR100773006B1 (ko) | 2007-11-05 |
| US20060010389A1 (en) | 2006-01-12 |
| US7921462B2 (en) | 2011-04-05 |
| KR20060049821A (ko) | 2006-05-19 |
| CN1719783A (zh) | 2006-01-11 |
| CN100370757C (zh) | 2008-02-20 |
| US20080271146A1 (en) | 2008-10-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI332159B (en) | Method, system, analyser, router, and computer readable medium of detecting a distributed denial of service (ddos) attack in the internet | |
| Sharafaldin et al. | Toward generating a new intrusion detection dataset and intrusion traffic characterization. | |
| Protić | Review of KDD Cup ‘99, NSL-KDD and Kyoto 2006+ datasets | |
| Belenky et al. | On IP traceback | |
| Chonka et al. | Cloud security defence to protect cloud computing against HTTP-DoS and XML-DoS attacks | |
| Goldberg et al. | How secure are secure interdomain routing protocols | |
| Portokalidis et al. | Sweetbait: Zero-hour worm detection and containment using low-and high-interaction honeypots | |
| Barker et al. | Using traffic analysis to identify the second generation onion router | |
| Nur et al. | Record route IP traceback: Combating DoS attacks and the variants | |
| US11838319B2 (en) | Hardware acceleration device for denial-of-service attack identification and mitigation | |
| CN110166480A (zh) | 一种数据包的分析方法及装置 | |
| Ahmed et al. | Traceback model for identifying sources of distributed attacks in real time | |
| Tan et al. | Data-plane defenses against routing attacks on Tor | |
| CN107659534A (zh) | 一种ospf协议脆弱性分析与检测系统 | |
| Gong et al. | Toward a Practical Packet Marking Approach for IP Traceback. | |
| KR101072981B1 (ko) | 분산 서비스 거부 공격의 방어 시스템 | |
| Maltinsky et al. | On network neutrality measurements | |
| Amiri et al. | Theoretical and experimental methods for defending against DDoS attacks | |
| Aghaei-Foroushani et al. | On evaluating ip traceback schemes: a practical perspective | |
| Hussain et al. | An adaptive SYN flooding attack mitigation in DDOS environment | |
| Kwon et al. | Digital forensic readiness for financial network | |
| Aspnes et al. | Towards better definitions and measures of Internet security | |
| Wang et al. | Transparent discovery of hidden service | |
| Burke et al. | Tracking botnets on Nation Research and Education Network | |
| Bocovich | Recipes for Resistance: A Censorship circumvention cookbook |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |