TWI713501B - 識別網路環路的方法、裝置、流量清洗設備及系統 - Google Patents
識別網路環路的方法、裝置、流量清洗設備及系統 Download PDFInfo
- Publication number
- TWI713501B TWI713501B TW105107425A TW105107425A TWI713501B TW I713501 B TWI713501 B TW I713501B TW 105107425 A TW105107425 A TW 105107425A TW 105107425 A TW105107425 A TW 105107425A TW I713501 B TWI713501 B TW I713501B
- Authority
- TW
- Taiwan
- Prior art keywords
- address
- destination
- network
- traffic
- loop
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/18—Loop-free operations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/20—Hop count for routing purposes, e.g. TTL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5076—Update or notification mechanisms, e.g. DynDNS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本發明提供一種識別網路環路的方法、裝置、流量清洗設備及系統,該方法包括:從被牽引的網路流量中確定存活時長小於第一預設閾值的第一資料訊息並確定所述第一資料訊息的目的IP位址;在確定所述第一資料訊息的目的IP位址之後的第一設定時間段內,確定接收到的需要發往所述目的IP位址的多個第二資料訊息;根據所述多個第二資料訊息的存活時長確定所述目的IP位址是否存在網路環路。在本發明的技術方案可以及時發現網路環路並停止牽引存在網路環路的IP位址,避免網路環路影響網路可用性。
Description
本發明關於網路技術領域,尤其關於一種識別網路環路的方法、裝置、流量清洗設備及系統。
隨著網路的發展,攻擊流量越來越大,在旁路部署的模式下,透過靜態路由、邊界閘道協議(Border Gateway Protocol,簡稱為BGP)路由等動態路由將流量動態的指向清洗分散式拒絕服務(Distributed Denial of Service,簡稱為DDoS)清洗設備,DDoS清洗設備再透過各種流量注入方式,將流量回注到鏈路中。然而,DDoS清洗設備在旁路部署的模式下,會由於策略路由配置錯誤牽引網路之間網際網路協定(Internet Protocol,簡稱為IP)位址錯誤,從而導致網路存在環路,進而導致網路不可用。
有鑑於此,本發明提供一種新的技術方案,可以透過資料訊息識別出網路環路,避免由於策略路由配置導致的網路環路影響網路可用性。
為實現上述目的,本發明提供技術方案如下:根據本發明的第一方面,提出了一種識別網路環路的方法,包括:從被牽引的網路流量中確定存活時長小於第一預設閾值的第一資料訊息並確定所述第一資料訊息的目的IP位址;在確定所述第一資料訊息的目的IP位址之後的第一設定時間段內,確定接收到的需要發往所述目的IP位址的多個第二資料訊息;根據所述多個第二資料訊息的存活時長確定所述目的IP位址是否存在網路環路。
根據本發明的第二方面,提出了一種識別網路環路的裝置,包括:第一確定模組,用於從被牽引的網路流量中確定存活時長小於第一預設閾值的第一資料訊息並確定所述第一資料訊息的目的IP位址;第二確定模組,用於在所述第一確定模組確定所述第一資料訊息的目的IP位址之後的第一設定時間段內,確定接收到的需要發往所述目的IP位址的多個第二資料訊息;第三確定模組,用於根據所述第二確定模組確定的所述多個第二資料訊息的存活時長確定所述目的IP位址是否存在網路環路。
根據本發明的協力廠商面,提出了一種流量清洗設
備,包括:處理器;用於儲存所述處理器可執行指令的記憶體;其中,所述處理器,用於從被牽引的網路流量中確定存活時長小於第一預設閾值的第一資料訊息並確定所述第一資料訊息的目的IP位址;在確定所述第一資料訊息的目的IP位址之後的第一設定時間段內,確定接收到的需要發往所述目的IP位址的多個第二資料訊息;根據所述多個第二資料訊息的存活時長確定所述目的IP位址是否存在網路環路。
根據本發明的協力廠商面,提出了一種流量清洗設備,包括流量檢測設備和上述技術方案所述的識別網路環路的裝置;其中,所述流量檢測裝置,用於檢測流經路由器的網路流量中屬於攻擊流量的資料訊息;所述識別網路環路的裝置,用於透過屬於所述攻擊流量的資料訊息中的TTL識別網路環路,將存在所述網路環路的目的IP位址儲存在環路牽引黑名單中。
根據本發明的第四方面,提出了一種流量清洗系統,包括:流量檢測設備和流量清洗設備;其中,所述流量檢測設備,用於檢測由路由器鏡像的網路流量中屬於攻擊流量的資料訊息;所述流量清洗設備,用於透過屬於所述攻擊流量的資料訊息中的存活時長識別網路環路,停止清洗存在所述網路環路的目的IP位址的網路流量。
根據本發明的第五方面,提出了一種流量清洗系統,包括:流量檢測設備和流量清洗設備;其中,所述流量檢測設備,用於檢測由路由器鏡像的網路流量中屬於攻擊流量的資料訊息,透過屬於所述攻擊流量的資料訊息中的存活時長識別網路環路;所述流量清洗設備,用於在所述流量檢測設備確定所述屬於攻擊流量的資料訊息的目的IP位址存在網路環路後,停止清洗存在所述網路環路的目的IP位址的網路流量。
由以上技術方案可見,本發明從被牽引的網路流量中確定存活時長小於第一預設閾值的第一資料訊息並確定第一資料訊息的目的IP位址,根據需要發往目的IP位址的多個第二資料訊息的存活時長確定目的IP位址是否存在網路環路,可以及時發現網路環路並停止牽引存在網路環路的IP位址,避免網路環路影響網路可用性。
11‧‧‧流量清洗設備
12‧‧‧伺服器
13‧‧‧第一路由器
14‧‧‧第二路由器
15‧‧‧流量清洗設備
16‧‧‧伺服器
17‧‧‧第三路由器
18‧‧‧第四路由器
51‧‧‧流量檢測設備
52‧‧‧流量清洗設備
53‧‧‧流量檢測設備
54‧‧‧流量清洗設備
71‧‧‧第一確定模組
72‧‧‧第二確定模組
73‧‧‧第三確定模組
74‧‧‧第四確定模組
75‧‧‧監控模組
76‧‧‧第一記錄模組
77‧‧‧控制模組
78‧‧‧刪除模組
79‧‧‧第二記錄模組
201,202,203‧‧‧方法步驟
301,302,303,304,305,306,307‧‧‧方法步驟
401,402,403‧‧‧方法步驟
511‧‧‧流量預警模組
521‧‧‧流量牽引模組
522‧‧‧流量清洗模組
523‧‧‧環路牽引黑名單
524‧‧‧識別網路環路的裝置
531‧‧‧環路牽引黑名單
532‧‧‧流量預警模組
533‧‧‧識別網路環路的裝置
541‧‧‧流量牽引模組
542‧‧‧流量清洗模組
731‧‧‧第一確定單元
732‧‧‧第二確定單元
圖1A示出了本發明實施例所適用的網路架構的示意圖之一;圖1B示出了本發明實施例所適用的網路架構的示意圖之二;圖2示出了根據本發明的一示例性實施例的識別網路環路的方法的流程示意圖;圖3示出了根據本發明的又一示例性實施例的識別網
路環路的方法的流程示意圖;圖4示出了根據本發明的再一示例性實施例的識別網路環路的方法的流程示意圖;圖5A示出了根據本發明的一示例性實施例的流量清洗系統的結構示意圖;圖5B示出了根據本發明的又一示例性實施例的流量清洗系統的結構示意圖;圖6示出了根據本發明的一示例性實施例的流量清洗設備的結構示意圖;圖7示出了根據本發明的一示例性實施例的識別網路環路的裝置的結構示意圖;圖8示出了根據本發明的又一示例性實施例的識別網路環路的裝置的結構示意圖。
這裡將詳細地對示例性實施例進行說明,其示例表示在附圖中。下面的描述關於附圖時,除非另有表示,不同附圖中的相同數字表示相同或相似的要素。以下示例性實施例中所描述的實施方式並不代表與本發明相一致的所有實施方式。相反,它們僅是與如所附申請專利範圍書中所詳述的、本發明的一些方面相一致的裝置和方法的例子。
在本發明使用的術語是僅僅出於描述特定實施例的目的,而非旨在限制本發明。在本發明和所附申請專利範圍中所使用的單數形式的“一種”、“所述”和“該”也旨
在包括多數形式,除非上下文清楚地表示其他含義。還應當理解,本文中使用的術語“和/或”是指並包含一個或多個相關聯的列出專案的任何或所有可能組合。
應當理解,儘管在本發明可能採用術語第一、第二、第三等來描述各種資訊,但這些資訊不應限於這些術語。這些術語僅用來將同一類型的資訊彼此區分開。例如,在不脫離本發明範圍的情況下,第一資訊也可以被稱為第二資訊,類似地,第二資訊也可以被稱為第一資訊。取決於語境,如在此所使用的詞語“如果”可以被解釋成為“在……時”或“當……時”或“回應於確定”。
圖1A示出了本發明實施例所適用的網路架構的示意圖之一,圖1B示出了本發明實施例所適用的網路架構的示意圖之二;在圖1A所示的網路架構中,流量清洗設備11設置在近目的端的伺服器12側,旁路引起網路環路的可能性為:第一路由器13使用BGP協定將流量從第一路由器13牽引到流量清洗設備11,在流量清洗設備11對流量清洗完成後,將流量注入回第一路由器13,此時需要配置策略路由(Policy-Based Routing,簡稱為PBR)將清洗後的流量直接指向第二路由器14,從而可以避免反復牽引。如果PBR配置出現錯誤,那麼網路就會存在環路,致使網路不可用。
在圖1B所示的網路架構中,流量清洗設備15設置在近源端的伺服器16側,旁路引起網路環路的可能性為:流量清洗設備15牽引的流量以外部IP為目的地址,例
如,伺服器16內部的用戶IPA需要訪問internet中的用戶IPB,則第三路由器17需要牽引用戶IPB的IP位址,從而正常工作,如果攻擊檢測錯誤,將用戶IPA的IP位址牽引到流量清洗設備15,那麼流量清洗設備15清洗後的流量經過PBR,指向第四路由器18,第四路由器18發現IP地址為用戶IPA的IP地址,仍然會將流量指向第三路由器17,從而再次環路。
本發明可以識別出上述圖1A和圖1B所示的網路架構存在的網路環路,例如,流量清洗設備11從第一路由器13牽引的流量中識別出TTL=0的資料訊息(或者,流量清洗設備15從第三路由器17牽引的流量中識別出TTL=0的資料訊息),對TTL=0的目的IP位址進行記錄,統計所記錄的需要發往目的IP位址的資料訊息中的TTL的變化情況,如果發現同一個資料訊息在流量清洗設備11(或者,流量清洗設備15)處存在TTL減小的情形,則確定該目的IP位址存在網路環路,其中,TTL在每一環路中減小的值可以視網路架構而不同,圖1A所示由於流量清洗設備11設置在近目的端的伺服器12端,網路環路存在於第一路由器13和流量清洗設備11之間,因此同一個資料訊息在經過第一路由器13後,減小1跳,再次被牽引到流量清洗設備11;圖1B所示由於流量清洗設備15設置在近源端的伺服器16端,網路環路存在於第一路由器17、第二路由器18以及流量清洗設備15之間,因此同一個資料訊息在經過第一路由器17以及第二
路由器18,各自減小1跳,共減小2跳,再次被牽引到流量清洗設備15。
此外,在對本發明進行進一步說明之前,先解釋下本發明中資料訊息中的存活時長(Time-To-Live,簡稱為TTL)欄位,該TTL欄位是IPv4包頭的一個8bit欄位,指定了資料訊息被路由器丟棄之前允許透過的最大網段數量,由資料訊息的發送者設置,在資料訊息從源到目的的整個轉發路徑上,每經過一個路由器,路由器都會修改TTL欄位的值,具體的做法是把該TTL欄位的值減1,然後再將資料訊息轉發出去。如果在資料訊息到達目的IP之前,TTL減少為0,路由器將丟棄收到的TTL=0的資料訊息並向資料訊息的發送者發送網際網路控制訊息訊息協定(Internet Control Message Protocol,簡稱為ICMP)時間延時(time exceeded)消息。
為對本發明進行進一步說明,提供下列實施例:圖2示出了根據本發明的一示例性實施例的識別網路環路的方法的流程示意圖;如圖2所示,包括如下步驟:步驟201,從被牽引的網路流量中確定存活時長小於第一預設閾值的第一資料訊息並確定第一資料訊息的目的IP位址;步驟202,在確定第一資料訊息的目的IP位址之後的第一設定時間段內,確定接收到的需要發往目的IP位址的多個第二資料訊息;步驟203,根據多個第二資料訊息的存活時長確定目
的IP位址是否存在網路環路。
在步驟201中,第一預設閾值可以為一個較小的整數值,例如,第一預設閾值為1或者2,從該第一網路訊息中的TTL可以篩選出需要監控是否存在網路環路的目的IP位址。
在步驟202和步驟203中,第一設定時間段可以透過流量清洗設備的用戶來自訂設置,也可以透過試驗統計得到,例如,該第一設定時間段為1秒。在一實施例中,可以在第一設定時間段內統計需要發往該目的IP位址的資料訊息中的TTL的減小量,如果在第一設定時間段內監測到同一個第二資料訊息的TTL連續減小,並在該第一設定時間段內TTL減小到了小於第二預設閾值,則可以認為該資料訊息對應的目的IP位址存在異常,如果在該第一設定時間段檢測到多個第二資料訊息均存在上述異常,則可以確定該目的IP位址存在網路環路。
由上述描述可知,本發明實施例根據從被牽引的網路流量中確定存活時長小於第一預設閾值的第一資料訊息並確定第一資料訊息的目的IP位址,根據需要發往目的IP位址的多個第二資料訊息的存活時長確定目的IP位址是否存在網路環路,可以及時發現網路環路並停止牽引存在網路環路的IP位址,避免網路環路影響網路可用性。
圖3示出了根據本發明的又一示例性實施例的識別網路環路的方法的流程示意圖圖;如圖3所,包括如下步驟:
步驟301,從被牽引的網路流量中確定存活時長小於第一預設閾值的第一資料訊息並確定第一資料訊息的目的IP位址;步驟302,將第一資料訊息的目的IP位址記錄在用於監測網路環路的IP位址名單中;步驟303,在確定第一資料訊息的目的IP位址之後的第一設定時間段內,確定接收到的需要發往目的IP位址的多個第二資料訊息;步驟304,在第一設定時間段內確定多個第二資料訊息對應的多個存活時長中是否存在設定個數的減少到第二預設閾值的存活時長,如果存在設定個數的減少到第二預設閾值的存活時長,執行步驟305,如果不存在設定個數的減少到第二預設閾值的存活時長,執行步驟306;步驟305,如果多個第二資料訊息對應的多個存活時長中存在設定個數的減少到第二預設閾值的存活時長,確定目的IP位址存在網路環路;步驟306,如果多個第二資料訊息對應的多個存活時長中不存在設定個數的減少到第二預設閾值的存活時長,確定目的IP位址不存在網路環路;步驟307,在確定目的IP位址不存在網路環路之後的第二設定時間段內,繼續監控來自目的IP位址的資料訊息。
步驟301和步驟303的描述請參見上述圖2所示實施例的相關描述,在此不再詳述。
在步驟302中,在一實施例中,用於監測網路環路的IP位址名單中可以儲存在流量清洗設備中,從而可以使流量清洗設備識別出牽引的流量的目的IP位址是否存在用於監測網路環路的IP位址名單上。
在步驟304中,在一實施例中,設定個數可以由流量清洗設備的提供者來設置,本發明對設定個數的具體數值不做限制。
在步驟306和步驟307中,在一實施例中,可以對該目的IP位址繼續監控第二設定時間段,並對該目的IP位址不做任何處理,如果在第二設定時間段內仍不符合上述步驟304的規定,不再監控該目的IP位址。
作為一個示例性場景,有資料訊息A、資料訊息B、資料訊息C、資料訊息D需要被路由器牽引到流量清洗設備,檢測到資料訊息A的TTL為0(也可以為1或者2等較小的整數),資料訊息A即為本發明中的第一資料訊息,記錄資料訊息A的目的IP位址,並確定該目的IP位址為1.1.1.1,在此後的1秒內,檢測到需要發往1.1.1.1的資料訊息有資料訊息E、資料訊息F和資料訊息G,資料訊息E、資料訊息F和資料訊息G均為本發明中的第二資料訊息,其中,資料訊息E、資料訊息F和資料訊息G來自不同的源IP位址,資料訊息E、資料訊息F和資料訊息G三個訊息的TTL分別為128、126、125,如果資料訊息E、資料訊息F和資料訊息G在第一設定時間段內又被重新環路到流量清洗設備,則資料訊息E、資料訊息F
和資料訊息G三個訊息的TTL分別為127、125、124,在第一設定時間段內經過多次環路後,資料訊息E、資料訊息F和資料訊息G三個訊息的TTL會持續減小,一直減小到為0或者小於第二預設閾值,即可確定目的IP位址1.1.1.1存在網路環路。
當檢測到需要發往1.1.1.1的資料訊息有大量(例如,1000個資料訊息)的資料訊息時,例如,從該1000個訊息中確定出100個(本發明中的設定個數)資料訊息與上述資料訊息E、資料訊息F和資料訊息G中類似的TTL會持續減小,一直減小到為0或者小於第二預設閾值,即可根據該100個資料訊息的TTL確定存在網路環路。
本實施例在具有上述實施例的有益技術效果的基礎上,透過在第一設定時間段內確定多個第二資料訊息對應的多個存活時長中是否存在設定個數的減少到第二預設閾值的存活時長,實現了透過存活時長的減小量來識別存在環路的目的IP位址,大大提高了流量清洗服務提供者的靈活性。
圖4示出了根據本發明的再一示例性實施例的識別網路環路的方法的流程示意圖;如圖4所示,包括如下步驟:步驟401,如果目的IP位址存在網路環路,將目的IP位址記錄在環路牽引黑名單中;步驟402,停止對需要發往目的IP位址的資料訊息的
牽引;步驟403,在檢測到該目的IP位址對應的網路環路修復後,從環路牽引黑名單中刪除該目的IP位址。
本實施例中,透過將目的IP位址記錄在環路牽引黑名單中,可以在識別出存在網路環路的目的IP位址後,停止對該目的IP位址的流量牽引,避免了對該目的IP位址的二次牽引;當檢測到該目的IP位址對應的網路環路修復後,從環路牽引黑名單刪除該目的IP位址,從而確保流量能夠正常到達該目的IP位址對應的伺服器。
圖5A示出了根據本發明的一示例性實施例的流量清洗系統的結構示意圖;如圖5A所示,流量清洗系統包括:流量檢測設備51,用於檢測由路由器(如圖1A中所述的第一路由器13或者圖1B中所述的第三路由器17)鏡像的網路流量中屬於攻擊流量的資料訊息;流量清洗設備52,用於透過屬於攻擊流量的資料訊息中的TTL識別網路環路,停止清洗存在網路環路的目的IP位址的網路流量。
本實施例中,本發明透過資料訊息中的TTL識別網路環路,從而可以使流量清洗設備52停止清洗存在網路環路的目的IP位址的網路流量。
在一實施例中,流量清洗設備52可包括:流量牽引模組521,用於將來自流量檢測設備的屬於攻擊流量的資料訊息牽引到流量清洗模組521;
流量清洗模組522,用於查詢環路牽引黑名單523中是否記錄有屬於攻擊流量的資料訊息的目的IP位址,如果目的IP位址存在網路環路,停止將目的IP位址牽引到路由器,環路牽引黑名單523用於記錄存在網路環路的目的IP位址。
在一實施例中,流量清洗設備還可包括:識別網路環路的裝置524,用於從屬於攻擊流量的資料訊息中確定TTL小於第一預設閾值的第一資料訊息並確定第一資料訊息的目的IP位址;在確定第一資料訊息的目的IP位址之後的第一設定時間段內,確定接收到的需要發往目的IP位址的多個第二資料訊息;根據多個第二資料訊息的TTL確定目的IP位址是否存在網路環路;將存在網路環路的目的IP位址記錄在環路牽引黑名單中。
本實施例中的識別網路環路的裝置524可以為上述實施例中的識別網路環路的裝置,因此其技術效果也可以參見上述實施例,此處不再詳述。
圖5B示出了根據本發明的又一示例性實施例的流量清洗系統的結構示意圖;如圖5B所示,流量清洗系統包括:流量檢測設備53和流量清洗設備54;其中,流量檢測設備53,用於檢測由路由器(如圖1A中所述的第一路由器13或者圖1B中所述的第三路由器17)鏡像的網路流量中屬於攻擊流量的資料訊息,透過屬於攻擊流量的資料訊息中的TTL識別網路環路;
流量清洗設備54,用於在流量檢測設備53確定屬於攻擊流量的資料訊息的目的IP位址存在網路環路後,停止清洗存在網路環路的目的IP位址的網路流量。
在一實施例中,流量清洗設備54可包括:流量牽引模組541,用於將來自流量檢測設備的屬於攻擊流量的資料訊息牽引到流量清洗模組542;流量清洗模組542,用於查詢流量檢測設備53中的環路牽引黑名單531中是否記錄有屬於攻擊流量的資料訊息的目的IP位址,如果目的IP位址存在網路環路,停止將目的IP位址牽引到路由器,環路牽引黑名單531用於記錄存在網路環路的目的IP位址。
在一實施例中,流量檢測設備53可包括:流量預警模組532,用於檢測由路由器鏡像的網路流量中屬於攻擊流量的資料訊息;識別網路環路的裝置533,用於從屬於攻擊流量的資料訊息中確定TTL小於第一預設閾值的第一資料訊息並確定第一資料訊息的目的IP位址;在確定第一資料訊息的目的IP位址之後的第一設定時間段內,確定接收到的需要發往目的IP位址的多個第二資料訊息;根據多個第二資料訊息的TTL確定目的IP位址是否存在網路環路;將存在網路環路的目的IP位址記錄在環路牽引黑名單531中。
本實施例中的識別網路環路的裝置533可以為上述實施例中的識別網路環路的裝置,因此其技術效果也可以參
見上述實施例,此處不再詳述。
透過上述描述可知,本發明相較於現有技術中的DDoS流量清洗設備的聯動包括DDoS攻擊預警、DDoS流量牽引調度、DDoS流量清洗,實現了基於牽引到的資料訊息的TTL的變化情況來識別哪些目的IP位址發生了網路環路情況,從而實現了在流量清洗設備處進行網路環路檢測,自動停止旁路BGP路由牽引,從而發現並解決環路問題,使得旁路牽引和近源清洗的方案得以保障。
對應於上述的識別網路環路的方法,本發明還提出了圖6所示的根據本發明的一示例性實施例的流量清洗設備的示意結構圖。請參考圖6,在硬體層面,該流量清洗設備包括處理器、內部匯流排、網路介面、記憶體以及非易失性記憶體,當然還可能包括其他業務所需要的硬體。處理器從非易失性記憶體中讀取對應的電腦程式到記憶體中然後運行,在邏輯層面上形成識別網路環路的裝置。當然,除了軟體實現方式之外,本發明並不排除其他實現方式,比如邏輯裝置抑或軟硬體結合的方式等等,也就是說以下處理流程的執行主體並不限定於各個邏輯單元,也可以是硬體或邏輯裝置。
圖7示出了根據本發明的一示例性實施例的識別網路環路的裝置的結構示意圖;如圖7所示,該識別網路環路的裝置可以包括:第一確定模組71、第二確定模組72、第三確定模組73。其中:第一確定模組71,用於從被牽引的網路流量中確定
存活時長小於第一預設閾值的第一資料訊息並確定第一資料訊息的目的IP位址;第二確定模組72,用於在第一確定模組71確定第一資料訊息的目的IP位址之後的第一設定時間段內,確定接收到的需要發往目的IP位址的多個第二資料訊息;第三確定模組73,用於根據第二確定模組72確定的多個第二資料訊息的存活時長確定目的IP位址是否存在網路環路。
圖8示出了根據本發明的又一示例性實施例的識別網路環路的裝置的結構示意圖;如圖8所示,在上述圖7所示實施例的基礎上,在一實施例中,第三確定模組73可包括:第一確定單元731,用於在第一設定時間段內確定多個第二資料訊息對應的多個存活時長中是否存在設定個數的減少到第二預設閾值的存活時長;第二確定單元732,用於如果第一確定單元731確定存在設定個數的減少到第二預設閾值的存活時長,確定目的IP位址存在網路環路。
在一實施例中,識別網路環路的裝置還可包括:第四確定模組74,用於如果第一確定單元731確定不存在設定個數的減少到第二預設閾值的存活時長,確定目的IP位址不存在網路環路;監控模組75,用於在第四確定模組74確定目的IP位址不存在網路環路之後的第二設定時間段內,繼續監控來
自目的IP位址的資料訊息。
在一實施例中,識別網路環路的裝置還可包括:第一記錄模組76,用於如果第三確定模組73確定目的IP位址存在網路環路,將目的IP位址記錄在環路牽引黑名單中;控制模組77,用於在第三確定模組73確定目的IP位址存在網路環路後,停止對需要發往目的IP位址的資料訊息的牽引;刪除模組78,用於在檢測到目的IP位址對應的網路環路修復後,從第一記錄模組76記錄的環路牽引黑名單中刪除目的IP位址。
在一實施例中,識別網路環路的裝置還可包括:第二記錄模組79,用於將第一確定模組71確定的第一資料訊息的目的IP位址記錄在用於監測網路環路的IP位址名單中。
上述實施例可見,本發明實現了基於牽引到的資料訊息的TTL的變化情況來識別哪些目的IP位址發生了網路環路情況,從而實現了在流量清洗設備處進行網路環路檢測,自動停止旁路BGP路由牽引,從而發現並解決環路問題,使得旁路牽引和近源清洗的方案得以保障。
本領域技術人員在考慮說明書及實踐這裡揭示的發明後,將容易想到本發明的其它實施方案。本發明旨在涵蓋本發明的任何變型、用途或者適應性變化,這些變型、用途或者適應性變化遵循本發明的一般性原理並包括本發明
未揭示的本技術領域中的公知常識或慣用技術手段。說明書和實施例僅被視為示例性的,本發明的真正範圍和精神由下面的申請專利範圍指出。
還需要說明的是,術語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含,從而使得包括一系列要素的過程、方法、商品或者設備不僅包括那些要素,而且還包括沒有明確列出的其他要素,或者是還包括為這種過程、方法、商品或者設備所固有的要素。在沒有更多限制的情況下,由語句“包括一個......”限定的要素,並不排除在包括所述要素的過程、方法、商品或者設備中還存在另外的相同要素。
以上所述僅為本發明的較佳實施例而已,並不用以限制本發明,凡在本發明的精神和原則之內,所做的任何修改、等同替換、改進等,均應包含在本發明保護的範圍之內。
Claims (17)
- 一種識別網路環路的方法,其特徵在於,所述方法包括:從被牽引的網路流量中確定存活時長小於第一預設閾值的第一資料訊息並確定該第一資料訊息的目的IP位址,該第一資料訊獲自於該被牽引的網路流量;在確定該第一資料訊息的目的IP位址之後的第一設定時間段內,確定接收到的需要發往該目的IP位址的多個第二資料訊息,該多個第二資料訊息獲自於該被牽引的網路流量;根據該多個第二資料訊息對應的多個存活時長,確定該目的IP位址是否存在網路環路,包括:確定該多個存活時長中是否存在至少設定個數的減少到第一預設閾值的存活時長;以及回應於確定存在至少該設定個數的減少到該第一預設閾值的存活時長,確定該目的IP位址存在網路環路;以及回應於確定該目的IP位址存在網路環路的確定步驟:將該目的IP位址記錄在環路牽引黑名單中;以及停止對需要發往該目的IP位址的資料訊息的牽引。
- 根據申請專利範圍第1項所述的方法,其中,該 根據該多個第二資料訊息的存活時長確定該目的IP位址是否存在網路環路,包括:在該第一設定時間段內確定該多個第二資料訊息對應的多個存活時長中是否存在設定個數的減少到第二預設閾值的存活時長;以及如果存在設定個數的減少到該第二預設閾值的存活時長,確定該目的IP位址存在網路環路。
- 根據申請專利範圍第2項所述的方法,其中,該方法還包括:如果不存在設定個數的減少到該第二預設閾值的存活時長,確定該目的IP位址不存在該網路環路;以及在確定該目的IP位址不存在該網路環路之後的第二設定時間段內,繼續監控來自該目的IP位址的資料訊息。
- 根據申請專利範圍第1項所述的方法,其中,該方法還包括:在檢測到該目的IP位址對應的網路環路修復後,從該環路牽引黑名單中刪除該目的IP位址。
- 根據申請專利範圍第1項所述的方法,其中,該方法還包括:將該第一資料訊息的目的IP位址記錄在用於監測網路環路的IP位址名單中。
- 一種識別網路環路的裝置,其特徵在於,該裝置包括: 第一確定模組,用於從被牽引的網路流量中確定存活時長小於第一預設閾值的第一資料訊息並確定該第一資料訊息的目的IP位址,該第一資料訊息獲自於該被牽引的網路流量;第二確定模組,用於在該第一確定模組確定該第一資料訊息的目的IP位址之後的第一設定時間段內,確定接收到的需要發往該目的IP位址的多個第二資料訊息,該多個第二資料訊息獲自於該被牽引的網路流量;第三確定模組,用於根據該第二確定模組,確定的該多個第二資料訊息對應的多個存活時長,確定該目的IP位址是否存在網路環路,包括:確定該多個存活時長中是否存在至少設定個數的減少到第一預設閾值的存活時長;以及回應於確定存在至少該設定個數的減少到該第一預設閾值的存活時長,確定該目的IP位址存在網路環路;以及第一記錄模組,用於如果該第三確定模組確定該目的IP位址存在網路環路,將該目的IP位址記錄在環路牽引黑名單中;以及控制模組,用於在該第三確定模組確定該目的IP位址存在網路環路後,停止對需要發往該目的IP位址的資料訊息的牽引。
- 根據申請專利範圍第6項所述的裝置,其中,該第三確定模組包括: 第一確定單元,用於在該第一設定時間段內確定該多個第二資料訊息對應的多個存活時長中是否存在設定個數的減少到第二預設閾值的存活時長;以及第二確定單元,用於如果該第一確定單元確定存在設定個數的減少到該第二預設閾值的存活時長,確定該目的IP位址存在網路環路。
- 根據申請專利範圍第7項所述的裝置,其中,該裝置還包括:第四確定模組,用於如果該第一確定單元確定不存在設定個數的減少到該第二預設閾值的存活時長,確定該目的IP位址不存在該網路環路;以及監控模組,用於在該第四確定模組確定該目的IP位址不存在該網路環路之後的第二設定時間段內,繼續監控來自該目的IP位址的資料訊息。
- 根據申請專利範圍第6項所述的裝置,其中,該裝置還包括:刪除模組,用於在檢測到該目的IP位址對應的網路環路修復後,從該第一記錄模組記錄的該環路牽引黑名單中刪除該目的IP位址。
- 根據申請專利範圍第6至9項中任一項所述的裝置,其中,該裝置還包括:第二記錄模組,用於將該第一確定模組確定的該第一資料訊息的目的IP位址記錄在用於監測網路環路的IP位址名單中。
- 一種流量清洗設備,其特徵在於,該流量清洗設備包括:處理器;以及記憶體,用於儲存該處理器可執行指令,其中,該處理器執行該等指令時,實施以下步驟:檢測由路由器鏡像的網路流量中屬於攻擊流量的資料訊息;透過屬於該攻擊流量的資料訊息中的存活時長識別網路環路,其中,識別網路環路包括:從被牽引的網路流量中確定存活時長小於第一預設閾值的第一資料訊息並確定該第一資料訊息的目的IP位址,該第一資料訊息獲自於該被牽引的網路流量;在確定該第一資料訊息的目的IP位址之後的第一設定時間段內,確定接收到的需要發往該目的IP位址的多個第二資料訊息,該多個第二資料訊息獲自於該被牽引的網路流量;根據該多個第二資料訊息對應的多個存活時長,確定該目的IP位址是否存在網路環路,包括:確定該多個存活時長中是否存在至少設定個數的減少到第一預設閾值的存活時長;以及回應於確定存在至少該設定個數的減少 到該第一預設閾值的存活時長,確定該目的IP位址存在網路環路;以及停止清洗存在該網路環路的目的IP位址的網路流量。
- 一種流量清洗系統,其特徵在於,該流量清洗系統包括:流量檢測設備和流量清洗設備,其中,該流量檢測設備,用於檢測由路由器鏡像的網路流量中屬於攻擊流量的資料訊息;以及該流量清洗設備,用於透過屬於該攻擊流量的資料訊息中的存活時長識別網路環路,停止清洗存在該網路環路的目的IP位址的網路流量,其中,識別網路環路包括:從被牽引的網路流量中確定存活時長小於第一預設閾值的第一資料訊息並確定該第一資料訊息的目的IP位址,該第一資料訊息獲自於該被牽引的網路流量;在確定該第一資料訊息的目的IP位址之後的第一設定時間段內,確定接收到的需要發往該目的IP位址的多個第二資料訊息,該多個第二資料訊息獲自於該被牽引的網路流量;根據該多個第二資料訊息對應的多個存活時長,確定該目的IP位址是否存在網路環路,包括:確定該多個存活時長中是否存在至少設定個數的減少到第一預設閾值的存活時長;以及回應於確定存在至少該設定個數的減少到該 第一預設閾值的存活時長,確定該目的IP位址存在網路環路。
- 根據申請專利範圍第12項所述的系統,其中,該流量清洗設備包括:流量牽引模組,用於將來自該流量檢測設備的屬於攻擊流量的資料訊息牽引到流量清洗模組;以及該流量清洗模組,用於查詢環路牽引黑名單中是否記錄有屬於攻擊流量的資料訊息的目的IP位址,如果該目的IP位址存在網路環路,停止將該目的IP位址牽引到該路由器,該環路牽引黑名單用於記錄存在網路環路的目的IP位址。
- 根據申請專利範圍第13項所述的系統,其中,該流量清洗設備還包括:識別網路環路的裝置,用於從屬於該攻擊流量的資料訊息中確定存活時長小於第一預設閾值的第一資料訊息並確定該第一資料訊息的目的IP位址;在確定該第一資料訊息的目的IP位址之後的第一設定時間段內,確定接收到的需要發往該目的IP位址的多個第二資料訊息;根據該多個第二資料訊息的存活時長確定該目的IP位址是否存在網路環路;以及環路牽引黑名單,用於記錄存在該網路環路的該目的IP位址。
- 一種流量清洗系統,其特徵在於,該流量清洗系統包括:流量檢測設備和流量清洗設備,其中, 該流量檢測設備,用於檢測由路由器鏡像的網路流量中屬於攻擊流量的資料訊息,透過屬於該攻擊流量的資料訊息中的存活時長識別網路環路,其中,識別網路環路包括:從被牽引的網路流量中確定存活時長小於第一預設閾值的第一資料訊息並確定該第一資料訊息的目的IP位址,該第一資料訊息獲自於該被牽引的網路流量;在確定該第一資料訊息的目的IP位址之後的第一設定時間段內,確定接收到的需要發往該目的IP位址的多個第二資料訊息,該多個第二資料訊息獲自於該被牽引的網路流量;根據該多個第二資料訊息對應的多個存活時長,確定該目的IP位址是否存在網路環路,包括:確定該多個存活時長中是否存在至少設定個數的減少到第一預設閾值的存活時長;以及回應於確定存在至少該設定個數的減少到該第一預設閾值的存活時長,確定該目的IP位址存在網路環路;以及該流量清洗設備,用於在該流量檢測設備確定該屬於攻擊流量的資料訊息的目的IP位址存在網路環路後,停止清洗存在該網路環路的目的IP位址的網路流量。
- 根據申請專利範圍第15項所述的系統,其中,該流量清洗設備包括: 流量牽引模組,用於將來自該流量檢測設備的屬於攻擊流量的資料訊息牽引到流量清洗模組;以及該流量清洗模組,用於查詢該流量監測設備中的環路牽引黑名單中是否記錄有屬於攻擊流量的資料訊息的目的IP位址,如果該目的IP位址存在網路環路,停止將該目的IP位址牽引到該路由器,該環路牽引黑名單用於記錄存在網路環路的目的IP位址。
- 根據申請專利範圍第15項所述的系統,其中,該流量檢測設備包括:流量預警模組,用於檢測由路由器鏡像的網路流量中屬於攻擊流量的資料訊息;識別網路環路的裝置,用於從屬於該攻擊流量的資料訊息中確定存活時長小於第一預設閾值的第一資料訊息並確定該第一資料訊息的目的IP位址;在確定該第一資料訊息的目的IP位址之後的第一設定時間段內,確定接收到的需要發往該目的IP位址的多個第二資料訊息;根據該多個第二資料訊息的存活時長確定該目的IP位址是否存在網路環路;以及環路牽引黑名單,用於記錄存在該網路環路的該目的IP位址。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510612181.8 | 2015-09-23 | ||
| CN201510612181.8A CN106549820A (zh) | 2015-09-23 | 2015-09-23 | 识别网络环路的方法、装置、流量清洗设备及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201713094A TW201713094A (zh) | 2017-04-01 |
| TWI713501B true TWI713501B (zh) | 2020-12-21 |
Family
ID=58283491
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW105107425A TWI713501B (zh) | 2015-09-23 | 2016-03-10 | 識別網路環路的方法、裝置、流量清洗設備及系統 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US10243969B2 (zh) |
| EP (1) | EP3353957B1 (zh) |
| CN (1) | CN106549820A (zh) |
| TW (1) | TWI713501B (zh) |
| WO (1) | WO2017052970A1 (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11750622B1 (en) | 2017-09-05 | 2023-09-05 | Barefoot Networks, Inc. | Forwarding element with a data plane DDoS attack detector |
| US11108812B1 (en) | 2018-04-16 | 2021-08-31 | Barefoot Networks, Inc. | Data plane with connection validation circuits |
| CN109347678B (zh) * | 2018-11-06 | 2021-05-25 | 杭州迪普科技股份有限公司 | 一种路由环路的确定方法及装置 |
| US11283704B2 (en) | 2020-01-16 | 2022-03-22 | Cisco Technology, Inc. | Diagnosing and resolving issues in a network using probe packets |
| CN115244910B (zh) * | 2021-02-01 | 2024-01-23 | 北京小米移动软件有限公司 | 网络路径确定方法、装置、通信设备及存储介质 |
| US11201887B1 (en) * | 2021-03-23 | 2021-12-14 | Lookingglass Cyber Solutions, Inc. | Systems and methods for low latency stateful threat detection and mitigation |
| CN114095426B (zh) * | 2021-09-28 | 2023-04-04 | 浪潮软件科技有限公司 | 一种vpp平台的报文处理方法及装置 |
| CN114172861B (zh) * | 2021-12-07 | 2024-04-19 | 北京天融信网络安全技术有限公司 | 一种网络地址转换设备的识别方法及装置 |
| CN114500117B (zh) * | 2022-04-15 | 2022-07-05 | 北京全路通信信号研究设计院集团有限公司 | 基于环网风暴流量特征的环网Master配置错误判断方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101431449A (zh) * | 2008-11-04 | 2009-05-13 | 中国科学院计算技术研究所 | 一种网络流量清洗系统 |
| US20090161567A1 (en) * | 2007-12-21 | 2009-06-25 | At&T Labs, Inc. | Detection of routing loops based on time-to-live expiries |
| WO2011102086A1 (ja) * | 2010-02-19 | 2011-08-25 | 日本電気株式会社 | ループ検出装置、システム、方法およびプログラム |
| US20120240185A1 (en) * | 2000-09-25 | 2012-09-20 | Harsh Kapoor | Systems and methods for processing data flows |
| WO2013119777A1 (en) * | 2012-02-10 | 2013-08-15 | Huawei Technologies, Co., Ltd. | Virtual local area network identifier substitution as time to live method |
| US20150124587A1 (en) * | 2013-11-05 | 2015-05-07 | Cisco Technology, Inc. | Loop detection and repair in a multicast tree |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7028228B1 (en) | 2001-03-28 | 2006-04-11 | The Shoregroup, Inc. | Method and apparatus for identifying problems in computer networks |
| WO2004070509A2 (en) * | 2001-08-14 | 2004-08-19 | Riverhead Networks Inc. | Detecting and protecting against worm traffic on a network |
| US6717922B2 (en) | 2002-03-04 | 2004-04-06 | Foundry Networks, Inc. | Network configuration protocol and method for rapid traffic recovery and loop avoidance in ring topologies |
| US7154861B1 (en) | 2002-04-22 | 2006-12-26 | Extreme Networks | Method and system for a virtual local area network to span multiple loop free network topology domains |
| US7725708B2 (en) | 2004-10-07 | 2010-05-25 | Genband Inc. | Methods and systems for automatic denial of service protection in an IP device |
| JP2007274535A (ja) * | 2006-03-31 | 2007-10-18 | Fujitsu Ltd | レイヤ3ネットワークにおけるループ特定装置およびループ特定方法 |
| US7969898B1 (en) | 2007-03-09 | 2011-06-28 | Cisco Technology, Inc. | Technique for breaking loops in a communications network |
| TW201002008A (en) * | 2008-06-18 | 2010-01-01 | Acer Inc | Method and system for preventing from communication by hackers |
| US9060322B2 (en) | 2011-10-25 | 2015-06-16 | Aruba Networks, Inc. | Method and system for preventing loops in mesh networks |
| US9258213B2 (en) | 2012-05-30 | 2016-02-09 | Cisco Technology, Inc. | Detecting and mitigating forwarding loops in stateful network devices |
| CN102916850B (zh) * | 2012-08-23 | 2015-08-26 | 歌尔声学股份有限公司 | 一种计算机网络环路检测方法 |
| US9270693B2 (en) * | 2013-09-19 | 2016-02-23 | The Boeing Company | Detection of infected network devices and fast-flux networks by tracking URL and DNS resolution changes |
| US9954891B2 (en) * | 2015-05-18 | 2018-04-24 | Verizon Digital Media Services Inc. | Unobtrusive and dynamic DDoS mitigation |
-
2015
- 2015-09-23 CN CN201510612181.8A patent/CN106549820A/zh active Pending
-
2016
- 2016-03-10 TW TW105107425A patent/TWI713501B/zh active
- 2016-08-24 US US15/246,000 patent/US10243969B2/en active Active
- 2016-08-25 WO PCT/US2016/048670 patent/WO2017052970A1/en unknown
- 2016-08-25 EP EP16849291.6A patent/EP3353957B1/en active Active
-
2019
- 2019-02-06 US US16/269,438 patent/US10798110B2/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120240185A1 (en) * | 2000-09-25 | 2012-09-20 | Harsh Kapoor | Systems and methods for processing data flows |
| US20090161567A1 (en) * | 2007-12-21 | 2009-06-25 | At&T Labs, Inc. | Detection of routing loops based on time-to-live expiries |
| CN101431449A (zh) * | 2008-11-04 | 2009-05-13 | 中国科学院计算技术研究所 | 一种网络流量清洗系统 |
| WO2011102086A1 (ja) * | 2010-02-19 | 2011-08-25 | 日本電気株式会社 | ループ検出装置、システム、方法およびプログラム |
| WO2013119777A1 (en) * | 2012-02-10 | 2013-08-15 | Huawei Technologies, Co., Ltd. | Virtual local area network identifier substitution as time to live method |
| US20150124587A1 (en) * | 2013-11-05 | 2015-05-07 | Cisco Technology, Inc. | Loop detection and repair in a multicast tree |
Also Published As
| Publication number | Publication date |
|---|---|
| US10798110B2 (en) | 2020-10-06 |
| US10243969B2 (en) | 2019-03-26 |
| US20170085531A1 (en) | 2017-03-23 |
| WO2017052970A1 (en) | 2017-03-30 |
| EP3353957B1 (en) | 2022-07-06 |
| CN106549820A (zh) | 2017-03-29 |
| US20190190924A1 (en) | 2019-06-20 |
| EP3353957A4 (en) | 2019-09-04 |
| TW201713094A (zh) | 2017-04-01 |
| EP3353957A1 (en) | 2018-08-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI713501B (zh) | 識別網路環路的方法、裝置、流量清洗設備及系統 | |
| US11044190B2 (en) | Managing forwarding elements at edge nodes connected to a virtual network | |
| US10560280B2 (en) | Network security analysis for smart appliances | |
| US11757932B2 (en) | Event driven route control | |
| US20210243117A1 (en) | In-situ operation, administration, and maintenance in segment routing with multiprotocol label switching networks | |
| EP2509262B1 (en) | Unaddressed device communication from within an MPLS network | |
| US10237088B2 (en) | Systems and methods for avoiding inadvertent loops in a layer 2 switched network | |
| WO2020083272A1 (zh) | 处理策略的生成方法、系统及存储介质 | |
| JP6939726B2 (ja) | 攻撃対処箇所選択装置及び攻撃対処箇所選択方法 | |
| CA2983429C (en) | Network security analysis for smart appliances | |
| WO2022057647A1 (zh) | 一种报文的处理方法、系统及设备 | |
| WO2017028391A1 (zh) | 虚拟网络通信的方法及装置 | |
| US10003524B2 (en) | Routing loop determining method and device | |
| WO2020052499A1 (zh) | 防仿冒攻击检查的方法、设备和系统 | |
| JP2008211690A (ja) | ネットワーク制御方法 | |
| CN114513453A (zh) | 故障处理方法和装置 | |
| US9319277B2 (en) | Network router employing enhanced prefix limiting | |
| KR20210066432A (ko) | 이름 데이터 네트워킹(ndn) 에서 인터레스트 플러딩 공격, 검출 방법 및 방어 방법 | |
| WO2023222028A1 (zh) | 一种网络编程技术处理方法、系统及存储介质 | |
| US20230113518A1 (en) | Distributed Network Flow Record | |
| JP4516612B2 (ja) | ネットワーク制御方法およびネットワーク制御装置 | |
| US20190394143A1 (en) | Forwarding data based on data patterns | |
| JP2016092756A (ja) | 制御装置、通信システム、ループ抑止方法及びプログラム |