TWM504990U - 網路防護系統 - Google Patents
網路防護系統 Download PDFInfo
- Publication number
- TWM504990U TWM504990U TW104205323U TW104205323U TWM504990U TW M504990 U TWM504990 U TW M504990U TW 104205323 U TW104205323 U TW 104205323U TW 104205323 U TW104205323 U TW 104205323U TW M504990 U TWM504990 U TW M504990U
- Authority
- TW
- Taiwan
- Prior art keywords
- packet
- network
- traffic
- filtering
- protection system
- Prior art date
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
本創作係有關於一種網路防護系統,特別係指一種透過交換裝置與過濾模組將其流量封包進行導向與過濾之網路防護系統。
隨著網際網路迅速發展,人們對網路使用程度亦逐漸增加,相對地關於網路安全問題亦隨之而來,特別是伺服器或電腦主機遭受網路攻擊事件層出不窮,因而安全的網路環境更受到重視。
目前許多網路安全機制多半是針對IPv4所制訂,而IPv4的防火牆模型已用了十餘年之久,每個人都能想到的最大問題也許是這模型該被淘汰,而IPv4的設計讚網路安全的考量較少,因此導致以下常見的攻擊行為: 1.服務阻斷攻擊(DoS) 2.惡意程式散播(Malicious code distribution) 3.分散攻擊(Fragmentation Attacks) 4.埠口掃描攻擊(Port Scanning) 5.ARP欺騙及ICMP重導攻擊(ARP poisoning and ICMP redirect)
而IPv6的設計與發展提供更完整的網路安全機制強化,但並非萬能藥,能有許多安全性的挑戰,例如IPv6網路存在封包被攔截的可能,由於採取路由廣播訊息(RA)已協調網域中主機自動獲取位址,可能發生節點假扮路由器並發出錯誤的RA廣播訊息的問題等等。
較佳的方法可能是有一個比較分散的架構,這個構想是把防火牆的功能分散在每一部主機上,並且集中在一點管理,使用IPsec與專屬的管理協定,然,該架構不易在短期內達成且需要完成許多開發與測試,而且要確定這樣的通訊可以標準化,因此開發與測試的時間還得加上標準化的時程。
而IPv4網路所存在的分散式阻斷攻擊即是常見透過大量網路封包攻擊電腦之例子,主要透過大量請求網路服務之封包傳遞,以破壞提供服務主機的正常運作,藉此造成消耗頻寬、消耗主機資源、甚至癱瘓作業系統等情況。目前對於這種大規模分散式阻斷攻擊的處理措施並不完善,像是:以客戶端自行建置防護設備的處理措施而言,其防護效果受限於所申請的頻寬,當攻擊數量超過其頻寬則無法有效阻擋;以考量增加頻寬或提升伺服器效能的處理措施而言,由於攻擊規模動輒數百MB甚至以GB計算,如此規模遠高於一般企業頻寬及主機效能所能承受範圍;以請求網際網路服務提供者(ISP)將被攻擊IP封鎖的處理措施而言,此法會造成該IP無法提供服務;以封鎖攻擊來源IP的處理措施而言,由於其攻擊來源IP大多過於分散,因而無法將攻擊來源IP完全封鎖;以針對來自國外攻擊可考量封鎖國外攻擊流量的處理措施而言,其並無法完全阻擋攻擊,且會把國外正常流量擋住;以更換被攻擊IP以避免被攻擊的處理措施而言,因更換IP需一併更改企業內DNS主機設定,同時其他外部DNS主機學習到新IP需要花費時間,這段期間恐導致正常使用者無法連結該網站,況且分散式阻斷攻擊者還是可以找到更換後IP繼續攻擊。
綜合上述技術問題,不論於使用者端、企業主機、服務供應伺服器或甚至是ISP業者,對於這類分散式阻斷攻擊的防護明顯不足,通常是等待被攻擊主機出問題才察覺,且處理方式僅能被動封鎖攻擊來源或者消極地封鎖或更換被攻擊IP,但恐造成與該攻擊來源同路線的正常封包遭到波及或形成提供服務中斷等情況,因此,目前針對此類分散式阻斷攻擊防禦仍有待加強。
本創作之一主要目的就是在於提供一種網路防護系統,其藉由對網路異常流量進行偵測與監控,並將異常流量進行過濾與導向,以避免影響客戶端之網路正常運作。
為達上述目的,本創作揭露一種網路防護系統,其包含有一偵測設備,其用以偵測分散式阻斷攻擊,並將所偵測到的分散式阻斷攻擊之流量封包進行導向;以及一防護設備,其用以接收該偵測設備所導入之流量封包,並過濾該流量封包,該防護設備具有複數個過濾模組,其根據一過濾規則分別過濾該流量封包內之異常封包; 其中,該複數個過濾模組前後端分別連接一前端封包交換裝置及一後端封包交換裝置,且前端封包交換裝置與後端封包交換裝置係透過雜湊運算以決定該流量封包所流向之過濾模組,藉此同時提供非連線型與連線型封包進行過濾處理。
承上所述之網路防護系統,其中更包含有一前端路由裝置與一後端路由裝置,其分別用以接收未過濾與過濾後之流量封包,而該後端路由裝置係將過濾後之流量封包傳送至客戶端。
承上所述之網路防護系統,其中偵測設備係設置於網路之各主要路由節點上,以提供該路由節點流量封包之監控。
承上所述之網路防護系統,其中偵測設備係用以針對網路異常流量進行判斷,以將該網路異常流量之封包導入到該防護設備。
承上所述之網路防護系統,其中過濾規則係為該客戶端之連線數量門檻值、允許連線數量、網址存取頻率及/或存取要求數量之任一者或任意組合。
承上所述之網路防護系統,其中,上述第四表面進一步設有一螢光部。
承上所述之網路防護系統,其中,上述第四表面更包覆有一防水膜。
為了能夠更進一步瞭解本創作之特徵、特點和技術內容,請參閱以下有關本創作之詳細說明與附圖,惟所附圖式僅提供參考與說明用,非用以限制本創作。
本創作藉由以下具體實例說明其技術內容,熟悉此技藝之人士可由本說明書所揭示之內容輕易地瞭解本發明之其他優點與功效。
請參閱第1圖,其係本創作之網路防護系統之封包導向圖,主要用以顯示網際網路上攻擊封包的走向;一般而言,骨幹網路上具有連接眾多網路的主要路由節點,如圖所示之路由節點10、11,當攻擊端網路12發動攻擊時,係將大量攻擊封包透過主要路由節點10經路徑a傳遞至路由節點11,再傳送到客戶端網路13,因而難以在傳送過程中提供防護功能。本發明之分散式阻斷攻擊防護系統,係於路由節點10設置用於偵測之設備,當出現攻擊狀況時,則將整個流量封包導向防護區域1(透過路徑b)以進行過濾處理,最後,再將過濾後剩餘流量封包送回客戶端網路13,藉此減緩分散式阻斷攻擊所造成傷害。
請參閱第2圖,其係為本創作之網路防護系統之系統架構圖,該網路防護系統2係用於網路中針對分散式阻斷攻擊之偵測及防禦,包含有一偵測設備21以及一防護設備22。
偵測設備21係用於偵測分散式阻斷攻擊,且將所偵測到的分散式阻斷攻擊之流量封包進行導向;具體言之,偵測設備21係設置於骨幹網路上各主要路由節點處,如第1圖所示之路由節點10、11處,主要提供路由節點網路流量封包之監控,由於分散式阻斷攻擊(DoS)非屬病毒攻擊,而是透過大量封包傳遞以癱瘓主機伺服器,因此,偵測設備21主要針對網路異常流量進行判斷,若發現流量異常則將該異常流量之封包導入防護設備22,而偵測設備21具有多項參數設定並依據需求可進行微調,如設定10M流量為流向異常或是50M為攻擊異常等。
防護設備22係用以接收偵測設備21所導入之流量封包,以將該流量封包進行過濾,其中,防護設備22係包括複數個過濾模組221、221’,以提供將流量封包分配進行過濾處理,具體而言,當異常網路流量封包被導向至防護設備22後,係經一前端路由裝置200接收以及一前端封包交換裝置211分配轉送,以讓複數個過濾模組221、221’之其中一者進行過濾處理,而過濾後之流量封包同樣經由一後端封包交換裝置212及一後端路由裝置222傳送至客戶端,並且可同時對非連線型封包,例如使用者資料包通訊協定(User Datagram Protocol;UDP)或網際網路控制訊息協定(Internet Control Message Protocol;ICMP)封包,與連線型封包,例如傳輸控制協定(Transmission Control Protocol;TCP)封包,進行過濾處理,可由前端封包交換裝置211與後端封包交換裝置212內進行雜湊運算(hash),以決定流量封包之流向。
透過複數個過濾模組之設置並設定其過濾規則,而該過濾規則係為該客戶端之連線數量門檻值、允許連線數量、網址存取頻率及/或存取要求數量之任意一者或任意組合,能使整個分散式阻斷攻擊防護系統更具延展性,以便隨著攻擊規模擴大而對防護設備進行擴充以承載攻擊量。較佳者,可將各個過濾模組依據不同封包型態進行過濾處理,藉此不僅可分散過濾模組之負載,亦讓處理設備可依據封包特性加快處理速度。至於過濾模組之數量,則可視實際需求予以調整。
呈上所述,本實施例係於前端封包交換裝置211與後端封包交換裝置212內進行雜湊運算,以決定流量封包傳送所流經的過濾模組,藉此可同時提供非連線型與連線型封包進行過濾處理,具體來說,前端封包交換裝置211係以來源IP進行雜湊運算,以決定該流量封包係由某一埠(port)往下流向其中之一過濾模組,而後端封包交換裝置212係以目的IP再次以同一演算法進行雜湊運算,以決定該流量封包由哪一埠往上流回原先流量封包所經之過濾模組。
呈上所述,因而本實施例之前端封包交換裝置211與後端封包交換裝置212可由封包交換器(switch)來實現,換言之,該前端封包交換裝置211可同時具有處理破碎封包功能以及將流量封包交換分配,使得其所連接的過濾模組221、221’達到負載平衡,透過多個過濾模組可達到負載平衡,且可對非連線型與連線型封包同時處理過濾,進而達到封包過濾、負載平衡以及兼顧系統擴充性。
綜上所述,本創作揭露一種網路防護系統,相較於習知缺點,本發明提供主動偵測網路異常流量,以將異常流量之封包導入防護區域,藉由將其中的異常封包過濾掉,進而達到多層次防禦效果,以降低及減緩分散式阻斷攻擊所造成客戶端網路服務中斷等異常之情況。
以上所述僅為本創作之較佳可行實施例,非因此即侷限本創作之專利範圍,舉凡運用本創作說明書及圖式內容所為之等效結構變化,均理同包含於本創作之範圍內,合予陳明。
1‧‧‧防護區域
10、11‧‧‧路由節點
12‧‧‧攻擊端網路
13‧‧‧客戶端網路
2‧‧‧網路防護系統
200‧‧‧前端路由裝置
21‧‧‧偵測設備
211‧‧‧前端封包交換裝置
212‧‧‧後端封包交換裝置
22‧‧‧防護設備
221、221’‧‧‧過濾模組
222‧‧‧後端路由裝置
10、11‧‧‧路由節點
12‧‧‧攻擊端網路
13‧‧‧客戶端網路
2‧‧‧網路防護系統
200‧‧‧前端路由裝置
21‧‧‧偵測設備
211‧‧‧前端封包交換裝置
212‧‧‧後端封包交換裝置
22‧‧‧防護設備
221、221’‧‧‧過濾模組
222‧‧‧後端路由裝置
第 1 圖係為本創作之流量封包導向示意圖。 第 2 圖係為本創作之網路路防護系統架構示意圖。
2‧‧‧網路防護系統
200‧‧‧前端路由裝置
21‧‧‧偵測設備
211‧‧‧前端封包交換裝置
212‧‧‧後端封包交換裝置
22‧‧‧防護設備
221、221’‧‧‧過濾模組
222‧‧‧後端路由裝置
Claims (5)
- 一種網路防護系統,其包含有: 一偵測設備,其用以偵測分散式阻斷攻擊,並將所偵測到的分散式阻斷攻擊之流量封包進行導向;以及 一防護設備,其用以接收該偵測設備所導入之流量封包,並過濾該流量封包,該防護設備具有複數個過濾模組,其根據一過濾規則分別過濾該流量封包內之異常封包; 其中,該複數個過濾模組前後端分別連接一前端封包交換裝置及一後端封包交換裝置,且該前端封包交換裝置與該後端封包交換裝置係透過雜湊運算以決定該流量封包所流向之過濾模組,藉此同時提供非連線型與連線型封包進行過濾處理。
- 如申請專利範圍第1項之網路防護系統,其中更包含有一前端路由裝置與一後端路由裝置,其分別用以接收未過濾與過濾後之流量封包,而該後端路由裝置係將過濾後之流量封包傳送至客戶端。
- 如申請專利範圍第1項之網路防護系統,其中該偵測設備係設置於網路之各主要路由節點上,以提供該路由節點流量封包之監控。
- 如申請專利範圍第1項之網路防護系統,其中該偵測設備係用以針對網路異常流量進行判斷,以將該網路異常流量之封包導入到該防護設備。
- 如申請專利範圍第1項之網路防護系統,其中該過濾規則係為該客戶端之連線數量門檻值、允許連線數量、網址存取頻率及/或存取要求數量之任一者或任意組合。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW104205323U TWM504990U (zh) | 2015-04-09 | 2015-04-09 | 網路防護系統 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW104205323U TWM504990U (zh) | 2015-04-09 | 2015-04-09 | 網路防護系統 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| TWM504990U true TWM504990U (zh) | 2015-07-11 |
Family
ID=54152821
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW104205323U TWM504990U (zh) | 2015-04-09 | 2015-04-09 | 網路防護系統 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWM504990U (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107342967A (zh) * | 2016-05-03 | 2017-11-10 | 宏碁股份有限公司 | 僵尸网络检测系统及其方法 |
| TWI616771B (zh) * | 2016-04-25 | 2018-03-01 | 宏碁股份有限公司 | 殭屍網路偵測系統及其方法 |
-
2015
- 2015-04-09 TW TW104205323U patent/TWM504990U/zh not_active IP Right Cessation
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI616771B (zh) * | 2016-04-25 | 2018-03-01 | 宏碁股份有限公司 | 殭屍網路偵測系統及其方法 |
| US10122738B2 (en) | 2016-04-25 | 2018-11-06 | Acer Incorporated | Botnet detection system and method |
| CN107342967A (zh) * | 2016-05-03 | 2017-11-10 | 宏碁股份有限公司 | 僵尸网络检测系统及其方法 |
| CN107342967B (zh) * | 2016-05-03 | 2020-07-31 | 安碁资讯股份有限公司 | 僵尸网络检测系统及其方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8533823B2 (en) | System and method for source IP anti-spoofing security | |
| CA2902206C (en) | Protecting networks from cyber attacks and overloading | |
| US9369434B2 (en) | Whitelist-based network switch | |
| US7979903B2 (en) | System and method for source IP anti-spoofing security | |
| WO2022088405A1 (zh) | 一种网络安全防护方法、装置及系统 | |
| RU2480937C2 (ru) | Система и способ уменьшения ложных срабатываний при определении сетевой атаки | |
| Mahimkar et al. | dFence: Transparent Network-based Denial of Service Mitigation. | |
| TWI492090B (zh) | 分散式阻斷攻擊防護系統及其方法 | |
| US11968174B2 (en) | Systems and methods for blocking spoofed traffic | |
| Oktian et al. | Mitigating denial of service (dos) attacks in openflow networks | |
| Rengaraju et al. | Detection and prevention of DoS attacks in Software-Defined Cloud networks | |
| AbdelSalam et al. | Mitigating ARP spoofing attacks in software-defined networks | |
| KR100479202B1 (ko) | 분산서비스거부 공격 대응 시스템 및 방법과 그프로그램을 기록한 기록매체 | |
| CN105337890A (zh) | 一种控制策略生成方法以及装置 | |
| US20180270199A1 (en) | Methods, systems, and computer readable media for advertising network security capabilities | |
| CN113014530B (zh) | Arp欺骗攻击防范方法及系统 | |
| TWM504990U (zh) | 網路防護系統 | |
| JP2006067078A (ja) | ネットワークシステムおよび攻撃防御方法 | |
| US20230208874A1 (en) | Systems and methods for suppressing denial of service attacks | |
| Talpur et al. | A survey on DDoS attacks: Router-based threats and defense mechanism in real-world data centers | |
| US10050937B1 (en) | Reducing impact of network attacks in access networks | |
| Strugaru et al. | The impact of using Source Address Validation filtering on processing resources | |
| Joshna et al. | A study on different attacks on transport, network and data link layer in tcp/ip | |
| Bull et al. | VLAN hopping, ARP poisoning and man-in-the-middle attacks in virtualized environments | |
| WO2023142493A1 (zh) | 一种攻击防御方法、设备及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4K | Annulment or lapse of a utility model due to non-payment of fees |