WO2007028889A1 - Relachement de session dans un reseau ip - Google Patents

Relachement de session dans un reseau ip Download PDF

Info

Publication number
WO2007028889A1
WO2007028889A1 PCT/FR2006/002039 FR2006002039W WO2007028889A1 WO 2007028889 A1 WO2007028889 A1 WO 2007028889A1 FR 2006002039 W FR2006002039 W FR 2006002039W WO 2007028889 A1 WO2007028889 A1 WO 2007028889A1
Authority
WO
WIPO (PCT)
Prior art keywords
packets
equipment
server
client
server equipment
Prior art date
Application number
PCT/FR2006/002039
Other languages
English (en)
Inventor
Christophe Delesalle
François Bougant
Bertrand Mathieu
Original Assignee
France Telecom
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom filed Critical France Telecom
Publication of WO2007028889A1 publication Critical patent/WO2007028889A1/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/23Reliability checks, e.g. acknowledgments or fault reporting

Definitions

  • the invention relates to the field of IP networks (for "Internet Protocol” in English).
  • An application session of communication in an IP network is performed by the transmission of datagrams, also called packets, between a first piece of equipment, called client equipment, and a second piece of equipment, called server equipment.
  • first packets packets sent by a client equipment to a server equipment
  • first packets packets sent by the server equipment to the client equipment
  • second packets The first and second packets contain the IP addresses of the client and server equipment, allowing proper routing in the IP network.
  • a session can rely on a connection managed by a level 4 protocol as defined in the OSI (Open System Interconnection) model.
  • OSI Open System Interconnection
  • Transmission Control Protocol in English between a client equipment and a server equipment, in connection with the sending of an electronic mail by the user of a personal computer.
  • the client equipment may for example comprise a personal computer of a user or a mail relay
  • the server equipment may for example include a server installed on a relay mail, or even a mail server.
  • the TCP protocol makes it possible to build a reliable point-to-point connection between the client equipment and the server equipment.
  • Useful fields comprising for example client and server port numbers, a sequencing number of the packets, are inserted in the IP packets.
  • TCP packets carry SMTP commands and / or information data.
  • a first packet may for example contain the SMTP command "MAIL FROM" with the sender's e-mail address.
  • Another first packet may for example include an address of the client equipment, which may be distinct from the address of the sender, particularly when the client equipment includes a mail relay.
  • Another first packet may include a "RCPT TO" command and an address of a destination device.
  • Another first packet comprising the "DATA" command with at least a part of the body of the transmitted electronic mail is sent by the client equipment to the server equipment.
  • the body of the email depending on its size, can be divided into several parts, each part being conveyed in a different packet: a packet contains the SMTP command "DATA" and the beginning of the body of the email, the first following packets containing just the other parts of the body of the email.
  • the TCP protocol provides that each first packet received by the server equipment must normally contain an acknowledgment field containing an identifier of the last second packet received by the client equipment. In the same way, each second packet received by the client equipment must contain an acknowledgment field containing an identifier of the last first packet received by the server equipment. Client and server devices use this mechanism to detect packet loss, and retransmit lost packets.
  • the SMTP application protocol provides that the server equipment must return an SMTP response adapted to each message it receives from the client equipment. For example, if the command has been taken into account and the client equipment is allowed to continue sending SMTP commands, the server equipment issues an acknowledgment response message as an SMTP response.
  • the response of the server equipment may also consist of a refusal of the transmission of one or more first packets.
  • a first unwanted packet may for example contain a SMTP command "MAIL FROM" with an email address registered in a database as that of a user massively emitting unsolicited e-mails (or spam or "spam” in English) or that of a user belonging to a group with illegal activities, for example a group of a pedophile network.
  • the server equipment If the server equipment receives a first undesirable packet, the server equipment sends as a SMTP response a refusal reply message containing a particular code.
  • This particular code makes it possible to indicate to the client equipment that the server equipment does not take into account the transmission of the corresponding e-mail for a given reason.
  • the client equipment thus notified of the refusal of the server equipment to continue transmitting the email and the cause of this refusal, closes the SMTP session and releases the associated TCP connection.
  • a package can be identified as undesirable for many reasons.
  • An unwanted package may for example have been issued for advertising or dishonest purposes, or even include a virus.
  • a connection may be judged to be broken, based on information received at the application level.
  • the client equipment having sent the first undesirable packet then receives from the server equipment a refusal message according to the application protocol in question.
  • the server equipment initiates the release of the application session by sending an end-of-session application message.
  • the connection can then also be closed when the application session has been closed.
  • the client equipment may also release the connection and / or the session at the end of treatment.
  • the session can be released due to the client equipment.
  • the client equipment may also release the session being processed, particularly when the client wishes to cancel the current transmission.
  • such loosening may mean the server to delete the received information and to cancel the transmission.
  • Figure 1 shows an example of release device according to the prior art.
  • a third-party device C is cut off on a data link between client equipment A and server B communicating with each other via a TCP connection. This connection is opened on any port on the side of the client equipment A and on the port 25 on the side of the server equipment B.
  • the port 25 is the TCP port of the SMTP standard.
  • the third-party device C receives first packets P1 sent by the client equipment A to the server equipment B, as well as second packets P2, for example packets containing acknowledgment response messages, transmitted by the server equipment B. to the client equipment A.
  • the third party device C normally transmits the first packets P1 received from the client equipment A to the server equipment B and transmits to the client equipment A the second packets P2 received from the server equipment B. If a first packet P1 is detected as undesirable, the third party device C blocks all transmission of the first and second packets, as shown in FIG. 1.
  • the client equipment A and the server equipment B no longer receiving packets, close the packet. connection after a specified time (or "timeouf in English). It is known that by releasing a connection, for example a TCP connection, the application protocol session is also closed a fortiori.
  • TCP stacks may reveal, after the timeout period has passed, some original errors network to the SMTP application of the client equipment.
  • the client equipment is thus able to detect the non-transmission of all or part of the first packets, via the messages of the TCP stack or via the use of network analyzers. More generally, when a connection is cut off, the client equipment having sent the first packets may receive network origin error information, or at least be able to detect the non-transmission of all or part of the first packets. .
  • a session for example an SMTP session
  • the client equipment receives a refusal message from the server equipment.
  • the client equipment is thus informed of the non-transmission of all or part of the first packets.
  • the client equipment may be configured to, in case of non-transmission of all or part of the first packets, establish a new session and issue again the same first packets to the server equipment.
  • Other equipment upstream of the client equipment for example a personal computer, can also be configured to react if the transmission of the first packets fails.
  • the mail client devices on these personal computers can permanently reset the blocked TCP connections, the objective being to forward unsolicited email as much as possible.
  • the network between the client and server equipment is thus polluted by this traffic, and the performance of any third-party devices may be exceeded by the number of TCP reconnects.
  • a user of a personal computer having issued first unwanted packets can be informed of the non-transmission of these unwanted packets. It is possible that this user is looking for another way to transmit the first unwanted packets.
  • the present invention makes it possible to obtain a non-transmission of packets detected as undesirable while avoiding a reaction, automatic or manual, on the side of the client equipment.
  • the subject of the invention is an unwanted packet management device intended to receive, as part of an application session between a client equipment and a server equipment, the first packets sent by the client equipment to the equipment. server and second packets issued by the server equipment to the client equipment.
  • the management device includes operation control means in an idle mode, wherein said management device transmits the first packets received from the client equipment to the server equipment and the second packets received from the server equipment to the server equipment.
  • client equipment respectively in an active mode, wherein said management device sends the client equipment at least one acknowledgment packet to hide the non-transmission of all or part of said first and second packets.
  • the command to change from inactive mode to active mode is performed on detection of at least one of said first packets as undesirable.
  • the management device simulates the behavior of the server equipment vis-à-vis the client equipment, so that the client equipment receives the acknowledgment packets or expected in case of successful transmission of the first packets.
  • the client equipment therefore believes that the transmission of the first or unwanted packets is performed correctly.
  • the non-transmission of all or part of the first packets is hidden to the client equipment.
  • the device according to this aspect of the invention makes it possible to avoid an unwanted reaction of the customer equipment or other possible equipment upstream of the customer equipment.
  • the non-transmission of all or part of the second packets issued by the server equipment to the client equipment is also hidden from the client equipment, These second packets could indeed reveal to the client equipment the non-reception by the server equipment of all or part of the first packets.
  • the client equipment believes that the transmission of the first packets is successful and the automatic reaction is avoided.
  • the network between the client and server equipment is thus not polluted by a traffic of first packets retransmitted by the client equipment.
  • the management device thus saves bandwidth.
  • the management device according to this aspect of the invention also saves resources of network equipment, for example the management device or the customer equipment itself.
  • the device makes it possible to avoid a manual reaction.
  • a malicious user who, if informed of the non-transmission of first packets, could look for another way to transmit the first undesirable packets, believes, because of the reception of the acknowledgment packets, that the first undesirable packets have been correctly transmitted and will not look for another way to transmit the first unwanted packets.
  • An acknowledgment packet may comprise an acknowledgment field with a suitable value and possibly an acknowledgment response message according to an application protocol.
  • the acknowledgment field may for example be an acknowledgment TCP field.
  • the present invention is not limited by the form of the acknowledgment packet or packets transmitted by the management device.
  • the management device is capable of simultaneously managing numerous connections between a plurality of client equipments and a plurality of equipments. servers.
  • the management device is dedicated to a given client equipment and a given server equipment.
  • the present invention is not limited by the nature of the client equipment or the nature of the server equipment.
  • the third-party device according to the prior art is content, in the event of detecting unwanted packets, to block any transmission of packets.
  • the client equipment and the server equipment no longer receiving packets, close the connection after a set time.
  • the resources of the client equipment and the server equipment are therefore at least partially occupied during this defined period.
  • the management device simulates a successful transmission of the first packets, thereby freeing the resources of the client equipment faster than in the prior art.
  • said management device comprises sending means for, in active mode, send to the server equipment at least one end packet to terminate the application session.
  • the server equipment is thus informed that the exchange of packets with the client equipment has been completed.
  • Such a management device makes it possible to release the resources of the server equipment more quickly than in the prior art, allowing for there to improve the effective performance of server equipment.
  • the present invention is not limited by such an arrangement.
  • the management device may simply block all or part of the first and second packets and make the client device believe that the transmission of the first packets is correctly performed.
  • the management device may include means for detecting unwanted packets among the first packets transmitted by the client equipment.
  • the management device itself detects the first undesirable packets, thereby allowing a switch to the active mode relatively quickly after detection of first undesirable packets.
  • a detection device separate from the management device can be used. The detection device detects unwanted packets. The detection device can, in case of undesired packet detection, transmit to the management device a reaction signal. Upon receipt of the feedback signal, the management device switches from inactive mode to active mode. The transmission of the first and second packets by the management device is blocked and the management device simulates the behavior of the server equipment vis-à-vis the client equipment to hide the non-transmission of all or part of the first and second messages.
  • the present invention relates to a method for managing unwanted packets sent by a client equipment to a server equipment in the context of an application session.
  • First packets sent by the client equipment to the server equipment and second packets sent by the server equipment to the client equipment are received.
  • the first packets received from the client equipment are transmitted to the server equipment and the second packets received from the server equipment are transmitted to the client equipment.
  • In an active mode at least one acknowledgment packet is sent to the client equipment to mask the non-transmission of all or part of said first and second packets to the client equipment.
  • the command to change from inactive mode to active mode is performed on detection of at least one of said first packets as undesirable.
  • the method according to one aspect of the invention comprises, in active mode, a step of sending at least one end packet to the server equipment to terminate the session. This step allows the server equipment to avoid waiting for a defined delay as in the prior art.
  • the step of sending one or more end packets may for example cause the closure of the connection with the server equipment and / or the closure of the application protocol session with the server equipment.
  • Such an application protocol termination step may in particular be carried out when the undesirable nature of the first packets is detected relatively early, for example during the exchange of commands.
  • the closing step of the application protocol session makes it possible for the server equipment to believe that this end-of-session request emanates from the client equipment.
  • the server equipment may be unaware that a management device is acting on the connection.
  • the application protocol termination step may or may not be followed by a step of closing the connection with the server equipment.
  • the closing step of the connection with the server equipment can also be carried out without an application protocol termination step having been performed before, especially when the undesired nature of the first packets is detected relatively late, for example when transmitting first packets comprising information data. It is then possible that the server equipment is able to realize that the fence does not emanate from the client equipment.
  • the session closing step may include a cancellation step and / or a session abort step.
  • the end packets can therefore include cancellation messages and abandonment messages according to the application protocol.
  • the connection closing step may also include a connection cancellation step and / or a connection termination step.
  • the end packets may for example comprise a cancellation flag, for example an RST flag for a TCP connection, with a value indicating a cancellation of the connection.
  • drop flag for example a FIN flag for a TCP connection, with a value indicating a drop in the connection.
  • the method according to one aspect of the invention is of course not limited by this step of sending end packets to the server equipment, nor by the nature or the form of the sent end packets.
  • the connection with the server equipment may be a TCP connection, but this feature can not limit the invention.
  • the present invention finds a particularly advantageous application for application protocols such that the client equipment is assured of the transmission of the first packets only by acknowledgment packets, for example the SMTP or FTP protocol (for "File Transfer
  • the invention may also be used with other application protocols, for example HTTP (for "Hyperlext Transfer Protocol” in English)
  • HTTP for "Hyperlext Transfer Protocol” in English
  • the method according to the present invention may, for example, make it possible to protect against a malicious application. trying to access a given web page a large number of times, in an Internet voting system If the malicious nature of the first packets corresponding to requests for access to this web page is detected, these first packets are blocked and the malicious application receives acknowledgment packets, the malicious application thus believes to have managed to modify the result of the vote while the access request packets have been blocked.
  • the subject of the invention is a computer program product stored in a memory of a device, and / or on a removable medium capable of cooperating with a reader of said equipment, and / or downloadable via a network of telecommunications, characterized in that it comprises instructions for the implementation of the method according to one aspect of the invention.
  • This computer program product makes it possible to execute the steps of the method according to one aspect of the invention and thus has the same advantages.
  • This computer program product is intended to be executed by a management device according to the first aspect of the invention.
  • the management device may comprise third-party equipment.
  • This third-party equipment may be a new equipment dedicated to the management of unwanted packets, or an existing equipment, for example a proxy server (or "proxy server” in English), a IP router, SMTP relay or switch.
  • the computer program product according to one aspect of the invention can therefore be installed on existing equipment.
  • Third party equipment may have an IP address or not. Third-party equipment may have a MAC address (such as "Media Access ControF”) or not.
  • the management device can also be part of the server equipment or customer equipment.
  • the computer program product according to one aspect of the invention can for example be executed at the TCP protocol layers of the server equipment or the client equipment.
  • the management method according to one aspect of the invention can for example be implemented in the form of an extended TCP stack.
  • Fig. 2A is a diagram of an example of an idle release device according to one embodiment of the invention.
  • Fig. 2B is a diagram of an example of an active mode release device according to the embodiment of Fig. 2A.
  • Fig. 3 is a flowchart illustrating an exemplary undesirable packet management method according to one embodiment of the invention.
  • Figs. 2A and 2B are diagrams of an exemplary session releasing device according to an embodiment of the invention.
  • the release device shown comprises a client equipment A and a server equipment B.
  • the client equipment A comprises a personal computer
  • the server equipment B comprises a mail server.
  • a device for managing unwanted packets C receives, as part an application protocol session, the first packets P1 sent by the client equipment A to the server equipment B, and the second packets P2 sent by the server equipment B to the client equipment A.
  • the management device C comprises operating control means 22 in an inactive mode, respectively according to an active mode.
  • Inactive mode operation may be an initial operating mode by default. Control of the transition from idle mode to active mode is performed when the unwanted nature of a first packet is detected. This detection is performed by detection means 21. If a first packet is detected as undesirable, the detection means 21 send to the control means 22 a reaction signal (not shown).
  • the management device In idle mode, as shown in FIG. 2A, the management device merely transmits the received packets, that is to say that the first packets P1 are transmitted to the server equipment B and the second packets P2 are transmitted to the server. customer equipment A.
  • the management device When the control means 22 receive the feedback signal, the management device goes into active mode. As shown in FIG. 2B, the management device C then blocks the transmission of the first and second packets. The management device C then sends to the client equipment A acknowledgment packets (represented generically by the reference ACK in FIG. 2B) that would have been issued by the server equipment to signify the successful reception of the first packets. The client equipment believes that the transmission of the first packets P1 is carried out normally and possibly continues to issue first packets Pl Moreover, the management device C comprises sending means 23 for sending to the server equipment B packets end (generically represented as END in FIG. 2B) to terminate the session.
  • the server equipment B packets end (generically represented as END in FIG. 2B) to terminate the session.
  • the sending means 23 are controlled by the control means 22 and, in addition to sending the end packets END in active mode, send ACK acknowledgment packets in active mode, and the transmissions of the first and second packets P1, P2 into inactive mode,
  • the detection means are distinct from the management device.
  • the detection means may for example comprise a device dedicated to the detection.
  • the detection means may for example be part of the client equipment or the server equipment. In the latter case, the server equipment detects the undesirable nature of the first packets. The server equipment then initiates the release of the session by issuing a refusal message according to the application protocol in question to the client equipment.
  • This refusal message is received by the management device which then passes, because of the reception of the refusal message, from the inactive mode to the active mode.
  • the rejection message is blocked as a second packet.
  • the client equipment receives acknowledgment packets.
  • the management device can continue the release of the application session initiated by the server equipment.
  • FIG. 3 shows an exemplary method according to one embodiment of the invention.
  • the application protocol is a protocol
  • the connection between the client device and the server device is a TCP connection.
  • the client equipment sends first TCP connection start packets, for example a synchronization sequence, to establish a TCP connection.
  • an SMTP session can be established.
  • the communication between the client equipment and the server equipment is then performed according to the SMTP protocol.
  • the first packets emitted during an SMTP session may include commands and / or information data.
  • the information data conventionally comprises the body of an email.
  • the client equipment When the TCP connection is established, the client equipment transmits first SMTP session start packets 1 comprising for example an EHLO command, to establish an SMTP session.
  • first packets comprising information data may be transmitted by the client equipment to the server equipment.
  • the detection means examines at least some of the first packets to detect any unwanted nature.
  • the management device receives and transmits the first packets, that is to say for example the synchronization sequences, the first packet containing an EHLO command, the first packet containing a command RCPT TO, the first packet or packets of the email etc.
  • the management device also receives and transmits the second packets transmitted by the server equipment to the client equipment.
  • a second packet may for example contain an acknowledgment response message.
  • the management device In idle mode, the management device is transparent in the exchanges of first packets and second packets.
  • a reaction signal SR can be transmitted by the detection means (step 31 in FIG. 3), and the management device switches to active mode.
  • the operation of the active mode management device varies according to the nature of the first packet detected as undesirable.
  • the method comprises for this purpose a step of reading the first packet detected as undesirable (step 32) and a test step with respect to this first packet (step 33).
  • this first packet includes a command selected from the SMTP commands EHLO, MAIL FROM, RCPT TO, DATA, QUIT, RST, that is to say if the undesirable character is detected sufficiently early in the session, during the exchange of orders , the management device closes the SMTP session (steps 36), then the TCP connection (step 37) with the server equipment.
  • the server equipment is not able to know that the fence does not emanate from the client equipment.
  • the closing step of the SMTP session 36 includes a step of sending an SMTP RST cancellation message.
  • the server equipment receives this SMTP RST Cancel message and deletes the first packets received as part of this session.
  • the closing step of the SMTP session 36 includes a step of sending an exit SMTP QUIT message terminating the session.
  • the TCP connection is closed directly (steps 47). Indeed, the undesirable nature was then detected either during the establishment of the TCP connection, in which case only the TCP connection may possibly be closed, or during exchange of information data constituting the body of the email. In the latter case, the server equipment assimilates all the first packets transmitted according to an SMTP protocol to information data, so that in order to terminate the session with the server equipment, the TCP connection must be terminated directly.
  • the closing steps of the session or the connection are known to those skilled in the art and will not be detailed here.
  • a test step with respect to the server side reaction is performed.
  • the first packet detected as undesirable in step 31 may be preceded, in the context of the same connection, of one or more other first packets also detected as undesirable. It is therefore possible that the closing of the session and / or the connection with the server equipment is already done or in progress. If the server-side reaction on the TCP connection has already occurred, that is, if the management appliance has already started sending end packets to end the session, you do not have to start closing the session again. connection and / or session with the server equipment.
  • the management device sends (steps 34 and 44) to the client equipment one or more acknowledgment packets (represented generically by the reference ACK in Figure 3). These acknowledgment packets make it possible to simulate with the client equipment a successful transmission of the first packets.
  • the acknowledgment packets may comprise SMTP-compliant response messages (not shown) and TCP acknowledgment fields (not shown) with adequate value.
  • a computer program product may include instructions for performing the steps of the method of FIG. 3 in case of detection of a first unwanted package.
  • the management device can for example be used to filter unsolicited emails.
  • the means for detecting the undesirable nature of the first packets may make it possible to analyze at least some of the first packets.
  • the analysis can relate to the content of the first packets, for example the address of the sender or the body of the email.
  • the analysis can also focus on how the first packets are emitted.
  • the detection means can estimate that a sender emitting several thousand emails per second emits unsolicited emails or even flood attack messages.
  • the detection means As soon as the detection means detect an unsolicited electronic mail, the detection means sends a feedback message to the control means and the management device goes into active mode.
  • the management device terminates the session with the server equipment, thereby releasing relatively quickly the resources of the server equipment and optimizing the processing capacity of the server equipment.
  • the management device sends acknowledgment packets to the client equipment, in order to avoid any reaction of the client equipment to non-transmission of the first packets.
  • the management device also blocks any transmission of the first packets. Unsolicited e-mails can thus be blocked at the source, that is to say at the level of the sender or the customer equipment if it is separate from the sender. Blocking unsolicited e-mail at the source, compared to blocking on receipt, saves network equipment resources and the bandwidth needed to relay unsolicited e-mail.
  • the management device can also be used to prevent the proliferation of certain viruses in a network.
  • the management device can then be coupled to virus detection means propagating through e-mail for example.
  • the detection means observe the connections that are established between the client equipment and the server equipment. As soon as a virus signature is detected in the content of the e-mails transmitted during SMTP sessions, or when a behavior of the client equipment is recognized as symptomatic of its infection by a virus, the management device is immediately terminated. at this session, thus limiting the contamination of new equipment.
  • equipment that emits or relays email-embedded viruses can be isolated, saving resources for relaying viruses and eradicating viruses.
  • the method of managing the first undesirable packets can also be used to isolate a user.
  • the detection means perceive that the first packets come from an equipment of a given user
  • the management device goes into active mode and blocks any transmission of the first packets.
  • the client equipment receives acknowledgment packets, so that the user does not know that he is isolated from the rest of the network.
  • the method for managing the first undesirable packets can also be used to isolate a server, for example a server from a revisionist site. For example, it is possible to block all e-mails destined for this server without that the users who emit these emails know it.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Un procédé de gestion de paquets indésirables émis par un équipement client (A) vers un équipement serveur (B) dans le cadre d'une session d'un protocole applicatif. Le procédé comprend une étape de réception de premiers paquets (P1 ) émis par l'équipement client vers l'équipement serveur et des seconds paquets (P2) émis par l'équipement serveur vers l'équipement client. Selon un mode inactif, les premiers paquets reçus de l'équipement client sont transmis à l'équipement serveur et les seconds paquets reçus de l'équipement serveur sont transmis à l'équipement client. Selon un mode actif, au moins un paquet d'acquittement (ACK) est envoyé à l'équipement client pour masquer à l'équipement client la non-transmission de tout ou partie desdits premiers et seconds paquets. La commande de passage du mode inactif vers le mode actif est effectuée sur détection d'au moins un desdits premiers paquets comme indésirable.

Description

RELACHEMENT DE SESSION DANS UN RESEAU IP
L'invention concerne le domaine des réseaux IP (pour "Internet Protocol" en anglais).
Une session applicative de communication dans un réseau IP est réalisée par la transmission de datagrammes, également appelés paquets, entre un premier équipement, dit équipement client, et un second équipement, dit équipement serveur.
Dans la suite de la description, les paquets émis par un équipement client vers un équipement serveur seront désignés sous le terme de "premiers paquets", tandis que des paquets émis par l'équipement serveur vers l'équipement client seront désignés sous le terme de "seconds paquets". Les premiers et seconds paquets contiennent les adresses IP des équipements client et serveur, permettant un acheminement correct dans le réseau IP.
Pour garantir la transmission et le séquencement des paquets entre les équipements, une session peut s'appuyer sur une connexion gérée par un protocole de niveau 4 tel que défini dans le modèle OSI (de l'anglais "Open System Interconnection").
A titre d'exemple, le protocole applicatif SMTP (pour "Simple Mail
Transfer ProtocoF' en anglais) est utilisé sur une connexion TCP (pour
"Transmission Control Protocof en anglais) entre un équipement client et un équipement serveur, dans le cadre de l'envoi d'un courrier électronique par l'utilisateur d'un ordinateur personnel.
L'équipement client peut par exemple comprendre un ordinateur personnel d'un utilisateur ou bien encore un relais de messagerie, et l'équipement serveur peut par exemple comprendre un serveur installé sur un relais de messagerie, ou bien encore un serveur de messagerie.
Le protocole TCP permet de construire une connexion point-à-point fiable entre l'équipement client et l'équipement serveur. Des champs utiles, comprenant par exemple des numéros de port client et serveur, un numéro de séquencement des paquets, sont insérés dans les paquets IP.
Une fois que la connexion TCP est établie entre l'équipement client et l'équipement serveur, les paquets TCP permettent de transporter des commandes SMTP et/ou des données d'informations.
Un premier paquet peut par exemple contenir la commande SMTP "MAIL FROM" avec l'adresse électronique de l'expéditeur. Un autre premier paquet peut par exemple comprendre une adresse de l'équipement client, laquelle peut être distincte de l'adresse de l'expéditeur, en particulier lorsque l'équipement client comprend un relais de messagerie. Un autre premier paquet peut comprendre une commande "RCPT TO" et une adresse d'un équipement destinataire.
Après de tels échanges de commandes, un autre premier paquet comprenant la commande "DATA" avec comme paramètre au moins une partie du corps du courrier électronique transmis est émis par l'équipement client vers l'équipement serveur. Le corps du courrier électronique, suivant sa taille, peut éventuellement être découpé en plusieurs parties, chaque partie étant acheminée dans un paquet différent : un paquet contient la commande SMTP "DATA" et le début du corps du courrier électronique, les premiers paquets suivants contenant juste les autres parties du corps du courrier électronique.
Le protocole TCP prévoit que chaque premier paquet reçu par l'équipement serveur doit normalement contenir un champ d'acquittement contenant un identifiant du dernier second paquet reçu par l'équipement client. De la même manière, chaque second paquet reçu par l'équipement client doit contenir un champ d'acquittement contenant un identifiant du dernier premier paquet reçu par l'équipement serveur. Les équipements client et serveur utilisent ce mécanisme pour détecter la perte de paquets, et retransmettre les paquets perdus.
Le protocole applicatif SMTP prévoit que l'équipement serveur doit retourner une réponse SMTP adaptée â chaque message qu'il reçoit de l'équipement client. Par exemple, si la commande a bien été prise en compte et si l'équipement client est autorisé à continuer d'envoyer des commandes SMTP, l'équipement serveur émet un message de réponse d'acquittement en guise de réponse SMTP. La réponse de l'équipement serveur peut également consister en un refus de la transmission d'un ou plusieurs premiers paquets.
Un premier paquet indésirable peut par exemple contenir une commande SMTP "MAIL FROM" avec une adresse électronique inscrite dans une base de données comme étant celle d'un utilisateur émettant massivement des courriers électroniques non sollicités (ou pourriel ou "spam" en anglais) ou celle d'un utilisateur faisant partie d'un groupe ayant des activités illégales, par exemple un groupe d'un réseau pédophile.
Si l'équipement serveur reçoit un premier paquet indésirable, l'équipement serveur envoie en guise de réponse SMTP un message de réponse de refus contenant un code particulier. Ce code particulier permet de signifier à l'équipement client que l'équipement serveur ne prend pas en compte la transmission du courriel correspondant pour une raison donnée. L'équipement client, ainsi notifié du refus de l'équipement serveur de continuer la transmission du courriel et de la cause de ce refus, clôture la session SMTP et relâche la connexion TCP associée.
Un paquet peut être identifié comme indésirable pour de multiples raisons. Un paquet indésirable peut par exemple avoir été émis à des fins publicitaires ou malhonnêtes, ou bien encore inclure un virus.
Plus généralement, quelque soit les natures des connexions et sessions applicatives utilisées, une connexion peut être jugée comme devant être rompue, sur la base d'informations reçues au niveau applicatif. L'équipement client ayant émis le premier paquet indésirable reçoit alors de l'équipement serveur un message de refus selon le protocole applicatif en question. Selon l'implémentation du protocole sur les équipements, et à la suite d'un nombre donné de paquets refusés, l'équipement serveur initie le relâchement de la session applicative en envoyant un message applicatif de fin de session. La connexion peut ensuite aussi être fermée lorsque la session applicative a été fermée.
Il est également connu de relâcher la session de protocole applicatif en fermant ou réinitialisant directement la connexion, par exemple une connexion TCP. Ce relâchement de connexion peut être le fait de l'équipement serveur ou d'un équipement tiers.
Bien entendu, l'équipement client peut lui aussi relâcher la connexion et/ou la session en fin de traitement. Par exemple, dans le cas d'une session SMTP, si tous les courriers électroniques ont été émis, la session peut être relâchée du fait de l'équipement client. L'équipement client peut également relâcher la session en cours de traitement, en particulier lorsque le client souhaite annuler la transmission en cours. Par exemple dans le cas d'une session SMTP, un tel relâchement peut signifier au serveur de supprimer les informations reçues et d'annuler la transmission. La figure 1 montre un exemple de dispositif de relâchement selon l'art antérieur. Un dispositif tiers C est mis en coupure sur une liaison de données entre des équipements client A et serveur B communiquant entre eux par une connexion TCP. Cette connexion est ouverte sur un port quelconque du coté de l'équipement client A et sur le port 25 du coté de l'équipement serveur B. Le port 25 est le port TCP du standard SMTP.
Le dispositif tiers C reçoit des premiers paquets P1 émis par l'équipement client A vers l'équipement serveur B, ainsi que des seconds paquets P2, par exemple des paquets contenant des messages de réponse d'acquittement, émis par l'équipement serveur B vers l'équipement client A. Le dispositif tiers C transmet normalement les premiers paquets P1 reçus de l'équipement client A vers l'équipement serveur B et transmet vers l'équipement client A les seconds paquets P2 reçus de l'équipement serveur B. Si un premier paquet P1 est détecté comme indésirable, le dispositif tiers C bloque toute transmission des premiers et seconds paquets, comme représenté sur la figure 1. L'équipement client A et l'équipement serveur B, ne recevant plus de paquets, ferment la connexion au bout d'un délai défini (ou "timeouf en anglais). II est connu qu'en relâchant une connexion, par exemple une connexion TCP, la session de protocole applicatif est également fermée a fortiori.
Lorsqu'une connexion TCP ouverte dans le cadre d'une session SMTP est coupée soudainement, que ce soit du fait de l'équipement serveur ou du dispositif tiers, des piles TCP peuvent révéler, après expiration du délai défini, des erreurs d'origine réseau à l'application SMTP de l'équipement client. L'équipement client est ainsi capable de détecter la non-transmission de tout ou partie des premiers paquets, via les messages de la pile TCP ou via l'utilisation d'analyseurs réseau. Plus généralement, lorsqu'une connexion est coupée, l'équipement client ayant émis les premiers paquets peut recevoir des informations d'erreurs d'origine réseau, ou tout au moins être capable de détecter la non-transmission de tout ou partie des premiers paquets.
De la même façon, lorsqu'une session, par exemple une session SMTP, est clôturée par un équipement serveur, l'équipement client reçoit de l'équipement serveur un message de refus. L'équipement client est ainsi informé de la non-transmission de tout ou partie des premiers paquets.
L'équipement client peut être configuré pour, en cas de non- transmission de tout ou partie des premiers paquets, établir une nouvelle session et émettre à nouveau les mêmes premiers paquets vers l'équipement serveur. D'autres équipements en amont de l'équipement client, par exemple un ordinateur personnel, peuvent également être configurés pour réagir en cas d'échec de la transmission des premiers paquets.
Par exemple, dans le cadre de la diffusion de courriers électroniques non sollicités par des ordinateurs personnels infectés par des virus informatiques, il est possible que les équipements clients de messagerie sur ces ordinateurs personnels réinitialisent en permanence les connexions TCP bloquées, l'objectif étant de transmettre les courriers électroniques non sollicités autant que possible. Le réseau entre les équipements client et serveur est ainsi pollué par ce trafic, et les performances d'éventuels dispositifs tiers risquent d'être dépassées par le nombre de reconnexions TCP. De plus, un utilisateur d'un ordinateur personnel ayant émis des premiers paquets indésirables peut être informé de la non-transmission de ces paquets indésirables. Il est possible que cet utilisateur cherche un autre moyen pour transmettre les premiers paquets indésirables. La présente invention permet d'obtenir une non-transmission de paquets détectés comme indésirables tout en évitant une réaction, automatique ou manuelle, du coté de l'équipement client.
Selon un premier aspect, l'invention a pour objet un dispositif de gestion de paquets indésirables destiné à recevoir dans le cadre d'une session applicative entre un équipement client et un équipement serveur des premiers paquets émis par l'équipement client vers l'équipement serveur et des seconds paquets émis par l'équipement serveur vers l'équipement client. Le dispositif de gestion comprend des moyens de commande de fonctionnement suivant un mode inactif, dans lequel ledit dispositif de gestion transmet les premiers paquets reçus de l'équipement client à l'équipement serveur et les seconds paquets reçus de l'équipement serveur à l'équipement client, respectivement suivant un mode actif, dans lequel ledit dispositif de gestion envoie à l'équipement client au moins un paquet d'acquittement pour masquer la non transmission de tout ou partie desdits premiers et seconds paquets. La commande de passage du mode inactif vers le mode actif est effectuée sur détection d'au moins un desdits premiers paquets comme indésirable.
Ainsi, le dispositif de gestion simule le comportement de l'équipement serveur vis-à-vis de l'équipement client, de sorte que l'équipement client reçoit le ou les paquets d'acquittement attendus en cas de transmission réussie des premiers paquets. L'équipement client croit donc que la transmission du ou des premiers paquets indésirables est effectuée correctement. La non transmission de tout ou partie des premiers paquets est cachée à l'équipement client. Le dispositif selon cet aspect de l'invention permet d'éviter une réaction non souhaitée de l'équipement client ou d'autres éventuels équipements en amont de l'équipement client.
La non transmission de tout ou partie des seconds paquets émis par l'équipement serveur vers l'équipement client est également cachée à l'équipement client, Ces seconds paquets pourraient en effet révéler à l'équipement client la non réception par l'équipement serveur de tout ou partie des premiers paquets. Ainsi, même si la configuration de l'équipement client prévoit une réaction automatique en cas de non transmission des premiers paquets, par exemple établir une nouvelle session et émettre à nouveau les mêmes premiers paquets vers l'équipement serveur, l'équipement client croit que la transmission des premiers paquets est réussie et la réaction automatique est évitée. Le réseau entre les équipements client et serveur n'est ainsi pas 10 pollué par un trafic de premiers paquets réémis par l'équipement client. Le dispositif de gestion selon cet aspect de l'invention permet ainsi d'économiser de la bande passante. Le dispositif de gestion selon cet aspect de l'invention permet également d'économiser des ressources des équipements du réseau, par exemple le dispositif de gestion ou encore l'équipement client lui-même.
De la même façon, le dispositif selon cet aspect de l'invention permet d'éviter une réaction manuelle. Un utilisateur malveillant qui, s'il était informé de la non transmission de premiers paquets, pourrait chercher un autre moyen pour transmettre les premiers paquets indésirables, croit, du fait de la réception des paquets d'acquittement, que les premiers paquets indésirables ont été correctement transmis et ne cherchera pas un autre moyen pour transmettre les premiers paquets indésirables.
Un paquet d'acquittement peut comprendre un champ d'acquittement avec une valeur adéquate et éventuellement un message de réponse d'acquittement selon un protocole applicatif. Le champ d'acquittement peut par exemple être un champ TCP d'acquittement. La présente invention n'est pas limitée par la forme du ou des paquets d'acquittement transmis par le dispositif de gestion.
Avantageusement, le dispositif de gestion selon le premier aspect de l'invention est capable de gérer simultanément de nombreuses connexions entre une pluralité d'équipements clients et une pluralité d'équipements serveurs. Alternativement, le dispositif de gestion est dédié à un équipement client donné et un équipement serveur donné.
La présente invention n'est pas limitée par la nature de l'équipement client ni par la nature de l'équipement serveur. Le dispositif tiers selon l'art antérieur se contente, en cas de détection de paquets indésirables, de bloquer toute transmission de paquets. L'équipement client et l'équipement serveur, ne recevant plus de paquets, ferment la connexion au bout d'un délai défini. Les ressources de l'équipement client et de l'équipement serveur sont donc au moins partiellement occupées pendant ce délai défini.
Le dispositif de gestion selon l'invention simule une transmission réussie des premiers paquets, permettant par-là de libérer les ressources de l'équipement client plus rapidement que dans l'art antérieur.
Avantageusement, ledit dispositif de gestion comprend des moyens d'envoi pour, en mode actif, envoyer à l'équipement serveur au moins un paquet de fin pour mettre fin à la session applicative.
L'équipement serveur est ainsi informé de ce que l'échange de paquets avec l'équipement client est terminé, Un tel dispositif de gestion permet de libérer les ressources de l'équipement serveur plus rapidement que dans l'art antérieur, permettant par-là d'améliorer les performances effectives des équipements serveurs.
La présente invention n'est pas limitée par un tel agencement. Le dispositif de gestion peut se contenter de bloquer tout ou partie des premiers et seconds paquets et de faire croire à l'équipement client que la transmission des premiers paquets est correctement effectuée.
Avantageusement, le dispositif de gestion peut comprendre des moyens de détection des paquets indésirables parmi les premiers paquets émis par l'équipement client.
Le dispositif de gestion détecte ainsi lui-même les premiers paquets indésirables, permettant par-là un passage vers le mode actif relativement rapidement après une détection de premiers paquets indésirables. Alternativement, un dispositif de détection distinct du dispositif de gestion peut être utilisé. Le dispositif de détection permet de détecter les paquets indésirables. Le dispositif de détection peut, en cas de détection de paquet indésirable, transmettre au dispositif de gestion un signal de réaction. A la réception du signal de réaction, le dispositif de gestion passe du mode inactif au mode actif. La transmission des premiers et seconds paquets par le dispositif de gestion est bloquée et le dispositif de gestion simule le comportement de l'équipement serveur vis-à-vis de l'équipement client pour masquer la non transmission de tout ou partie des premiers et seconds messages. Selon un deuxième aspect, la présente invention a pour objet un procédé de gestion de paquets indésirables émis par un équipement client vers un équipement serveur dans le cadre d'une session applicative. Des premiers paquets émis par l'équipement client vers l'équipement serveur et des seconds paquets émis par l'équipement serveur vers l'équipement client sont reçus. Suivant un mode inactif, les premiers paquets reçus de l'équipement client sont transmis à l'équipement serveur et les seconds paquets reçus de l'équipement serveur sont transmis à l'équipement client. Suivant un mode actif, au moins un paquet d'acquittement est envoyé à l'équipement client pour masquer à l'équipement client la non-transmission de tout ou partie desdits premiers et seconds paquets. La commande de passage du mode inactif vers le mode actif est effectuée sur détection d'au moins un desdits premiers paquets comme indésirable.
Ce procédé peut être mis en oeuvre par un dispositif de gestion selon le premier aspect de l'invention et présente donc les mêmes avantages. Avantageusement, le procédé selon un aspect de l'invention comprend, en mode actif, une étape d'envoi d'au moins un paquet de fin à l'équipement serveur pour mettre fin à la session. Cette étape permet à l'équipement serveur d'éviter d'attendre pendant un délai défini comme dans l'art antérieur.
L'étape d'envoi de un ou plusieurs paquets de fin peut par exemple entraîner la clôture de la connexion avec l'équipement serveur et/ou la clôture de la session de protocole applicatif avec l'équipement serveur. Une telle étape de clôture de session de protocole applicatif peut en particulier être effectuée lorsque le caractère indésirable des premiers paquets est détecté relativement tôt, par exemple lors d'échanges de commandes. L'étape de clôture de la session de protocole applicatif permet de laisser croire à l'équipement serveur que cette requête de fin de session émane de l'équipement client. L'équipement serveur peut ignorer qu'un dispositif de gestion agit sur la connexion.
L'étape de clôture de session de protocole applicatif peut être suivie ou non d'une étape de clôture de la connexion avec l'équipement serveur. L'étape de clôture de la connexion avec l'équipement serveur peut également être effectuée sans qu'une étape de clôture de session de protocole applicatif ait été effectuée auparavant, en particulier lorsque le caractère indésirable des premiers paquets est détecté relativement tard, par exemple lors de l'émission de premiers paquets comprenant des données d'information. Il est alors possible que l'équipement serveur soit capable de se rendre compte que la clôture n'émane pas de l'équipement client.
L'étape de clôture de session peut comprendre une étape d'annulation et/ou une étape d'abandon de session. Les paquets de fin peuvent donc comprendre des messages d'annulation et des messages d'abandon selon le protocole applicatif.
L'étape de clôture de connexion peut également comprendre une étape d'annulation de connexion et/ou une étape d'abandon de connexion. Les paquets de fin peuvent par exemple comprendre un drapeau (ou "flag en anglais) d'annulation, par exemple un drapeau RST pour une connexion TCP, avec une valeur indiquant une annulation de la connexion. Les paquets de fin peuvent par exemple comprendre un drapeau d'abandon, par exemple un drapeau FIN pour une connexion TCP, avec une valeur indiquant un abandon de la connexion.
Le procédé selon un aspect de l'invention n'est bien entendu pas limité par cette étape d'envoi de paquets de fin à l'équipement serveur, ni par la nature ou la forme du ou des paquets de fin envoyés. La connexion avec l'équipement serveur peut être une connexion TCP, mais cette caractéristique ne saurait limiter l'invention.
La présente invention trouve une application particulièrement avantageuse pour des protocoles applicatifs tels que l'équipement client est assuré de la transmission des premiers paquets seulement par des paquets d'acquittement, par exemple le protocole SMTP ou FTP (pour "File Transfer
ProtocoP' en anglais).
L'invention pourra également être utilisée avec d'autres protocoles applicatifs, par exemple HTTP (pour "Hyperîext Transfer Protocol' en anglais). Dans ce dernier cas, le procédé selon la présente invention peut par exemple permettre de se protéger contre une application malveillante cherchant à accéder un grand nombre de fois à une page web donnée, dans un système de vote sur Internet. Si le caractère malveillant des premiers paquets correspondant à des requêtes d'accès à cette page web est détecté, ces premiers paquets sont bloqués et l'application malveillante reçoit des paquets d'acquittement. L'application malveillante croit ainsi avoir réussi à modifier le résultat du vote alors que les paquets de requête d'accès ont été bloqués.
Selon un troisième aspect, l'invention a pour objet un produit programme d'ordinateur stocké dans une mémoire d'un équipement, et/ou sur un support amovible propre à coopérer avec un lecteur dudit équipement, et/ou téléchargeable via un réseau de télécommunications, caractérisé en ce qu'il comporte des instructions pour la mise en oeuvre du procédé selon un aspect de l'invention.
Ce produit programme d'ordinateur permet d'exécuter les étapes du procédé selon un aspect de l'invention et présente donc les mêmes avantages. Ce produit programme d'ordinateur est destiné à être exécuté par un dispositif de gestion selon le premier aspect de l'invention.
Le dispositif de gestion selon le premier aspect de l'invention peut comprendre un équipement tiers. Cet équipement tiers peut être un nouvel équipement dédié à la gestion de paquets indésirables, ou bien un équipement existant, par exemple un serveur mandataire (ou "proxy server" en anglais), un routeur IP, un relais SMTP ou encore un commutateur. Le produit programme d'ordinateur selon un aspect de l'invention peut donc être installé sur un équipement existant.
L'équipement tiers peut posséder une adresse IP ou non. L'équipement tiers peut posséder une adresse MAC (comme "Media Access ControF' en anglais) ou non.
Le dispositif de gestion selon le premier aspect de l'invention peut également faire partie de l'équipement serveur ou de l'équipement client. Le produit programme d'ordinateur selon un aspect de l'invention peut par exemple être exécuté au niveau des couches de protocole TCP de l'équipement serveur ou de l'équipement client. Le procédé de gestion selon un aspect de l'invention peut par exemple être implémenté sous la forme d'une pile TCP étendue.
La présente invention n'est donc pas limitée par l'implémentation du procédé selon un aspect de l'invention. D'autres particularités et avantages de la présente invention apparaîtront dans la description ci-après.
La figure 1 , déjà commentée, montre un exemple de dispositif de relâchement selon l'art antérieur.
La figure 2A est un schéma d'un exemple de dispositif de relâchement en mode inactif selon un mode de réalisation de l'invention.
La figure 2B est un schéma d'un exemple de dispositif de relâchement en mode actif selon le mode de réalisation de la figure 2A.
La figure 3 est un organigramme illustrant un exemple de procédé de gestion de paquets indésirables selon un mode de réalisation de l'invention. Les figures 2A et 2B sont des schémas d'un exemple de dispositif de relâchement de sessions selon un mode de réalisation de l'invention. Le dispositif de relâchement représenté comprend un équipement client A et un équipement serveur B. Dans le mode de réalisation représenté, l'équipement client A comprend un ordinateur personnel et l'équipement serveur B comprend un serveur de messagerie.
Un dispositif de gestion de paquets indésirables C reçoit, dans le cadre d'une session de protocole applicatif, des premiers paquets P1 émis par l'équipement client A vers l'équipement serveur B, et des seconds paquets P2 émis par l'équipement serveur B vers l'équipement client A.
Le dispositif de gestion C comprend des moyens de commande 22 de fonctionnement suivant un mode inactif, respectivement suivant un mode actif. Le fonctionnement en mode inactif peut être un mode de fonctionnement initial par défaut. La commande du passage du mode inactif vers le mode actif est effectuée lorsque le caractère indésirable d'un premier paquet est détecté. Cette détection est effectuée par des moyens de détection 21. Si un premier paquet est détecté comme indésirable, les moyens de détection 21 envoient aux moyens de commande 22 un signal de réaction (non représenté).
En mode inactif, comme représenté figure 2A, le dispositif de gestion se contente de transmettre les paquets reçus, c'est-à-dire que les premiers paquets P1 sont transmis à l'équipement serveur B et les seconds paquets P2 sont transmis à l'équipement client A.
Lorsque les moyens de commande 22 reçoivent le signal de réaction, le dispositif de gestion passe en mode actif. Comme représenté sur la figure 2B, le dispositif de gestion C bloque alors la transmission des premiers et seconds paquets. Le dispositif de gestion C envoie alors à l'équipement client A des paquets d'acquittement (représentés de façon générique par la référence ACK sur la figure 2B) qu'aurait émis l'équipement serveur pour signifier la réception réussie des premiers paquets. L'équipement client croit que la transmission des premiers paquets P1 s'effectue normalement et continue éventuellement à émettre des premiers paquets Pl Par ailleurs, le dispositif de gestion C comprend des moyens d'envoi 23 pour envoyer à l'équipement serveur B des paquets de fin (représentés de façon générique par la référence END sur la figure 2B) pour mettre fin à la session.
Dans le mode de réalisation représenté, les moyens d'envoi 23 sont contrôlés par les moyens de commande 22 et effectuent, outre l'envoi des paquets de fin END en mode actif, l'envoi des paquets d'acquittement ACK en mode actif, et les transmissions des premiers et seconds paquets P1 , P2 en mode inactif,
La présente invention n'est bien entendu pas limitée par une telle implémentation.
Par exemple, dans un mode de réalisation alternatif et non représenté, des moyens de transmission distincts des moyens d'envoi sont activés par les moyens de commande en mode inactif pour effectuer les transmissions des premiers et seconds paquets. Les moyens d'envoi sont activés par les moyens de commande en mode actif pour effectuer les envois des paquets d'acquittement et de fin. Selon un autre mode de réalisation alternatif et non représenté, les moyens de détection sont distincts du dispositif de gestion. Les moyens de détection peuvent par exemple comprendre un équipement dédié à la détection. Alternativement, les moyens de détection peuvent par exemple faire partie de l'équipement client ou de l'équipement serveur. Dans ce dernier cas, c'est l'équipement serveur qui détecte le caractère indésirable des premiers paquets. L'équipement serveur initie alors le relâchement de la session en émettant un message de refus selon le protocole applicatif en question vers l'équipement client. Ce message de refus est reçu par le dispositif de gestion qui passe alors, du fait de la réception du message de refus, du mode inactif vers le mode actif. Le message de refus est bloqué en tant que second paquet. L'équipement client reçoit des paquets d'acquittement. Le dispositif de gestion peut continuer le relâchement de la session applicative initié par l'équipement serveur.
La figure 3 montre un exemple de procédé selon un mode de réalisation de l'invention. Dans ce mode de réalisation, le protocole applicatif est un protocole
SMTP et la connexion entre le dispositif client et le dispositif serveur est une connexion TCP.
Pour établir une connexion, l'équipement client émet des premiers paquets de début de connexion TCP, par exemple une séquence de synchronisation, pour établir une connexion TCP.
Lorsque la connexion TCP est établie, une session SMTP peut être établie. La communication entre l'équipement client et l'équipement serveur est alors effectuée selon le protocole SMTP.
Les premiers paquets émis lors d'une session SMTP peuvent comprendre des commandes et/ou des données d'information. Les données d'information comprennent classiquement le corps d'un courrier électronique.
Les échanges de commandes permettent de préparer la transmission des données d'information.
Lorsque la connexion TCP est établie, l'équipement client émet des premiers paquets de début de session SMTP1 comprenant par exemple une commande EHLO, pour établir une session SMTP.
Si la session SMTP est établie normalement, l'équipement client émet d'autres premiers paquets contenant des commandes, par exemple une commande MAIL FROM qui précise l'adresse électronique de l'expéditeur, ou une commande RCPT TO qui précise l'adresse électronique du destinataire. Après ces échanges de commande et un premier paquet comprenant une commande DATA annonçant le début d'un corps de message, des premiers paquets comprenant des données d'information peuvent être émis par l'équipement client vers l'équipement serveur.
Les moyens de détection examinent au moins certains des premiers paquets afin de détecter un éventuel caractère indésirable.
Tant qu'aucun caractère indésirable n'est détecté, le dispositif de gestion reste en mode inactif. Le dispositif de gestion reçoit et transmet les premiers paquets, c'est-à-dire par exemple les séquences de synchronisation, le premier paquet contenant une commande EHLO, le premier paquet contenant une commande RCPT TO, le ou les premiers paquets de corps de courriel etc. Le dispositif de gestion reçoit et transmet également les seconds paquets émis par l'équipement serveur vers l'équipement client. Un second paquet peut par exemple contenir un message de réponse d'acquittement.
En mode inactif, le dispositif de gestion est donc transparent dans les échanges de premiers paquets et de seconds paquets.
En revanche, lorsqu'un premier paquet est détecté comme indésirable, un signal de réaction SR peut être émis par les moyens de détection (étape 31 sur la figure 3), et le dispositif de gestion passe en mode actif. Dans le mode de réalisation représenté figure 3, le fonctionnement du dispositif de gestion en mode actif varie selon la nature du premier paquet détecté comme indésirable. Le procédé comprend à cet effet une étape de lecture du premier paquet détecté comme indésirable (étape 32) et une étape de test quant à ce premier paquet (étape 33).
Si ce premier paquet comprend une commande choisie parmi les commandes SMTP EHLO, MAIL FROM, RCPT TO, DATA, QUIT, RST, c'est-à- dire si le caractère indésirable est détecté suffisamment tôt dans la session, lors des échanges de commandes, le dispositif de gestion clôture la session SMTP (étapes 36), puis la connexion TCP (étape 37) avec l'équipement serveur. L'équipement serveur n'est alors pas capable de savoir que la clôture n'émane pas de l'équipement client. L'étape de clôture de la session SMTP 36 comprend une étape d'envoi d'un message d'annulation SMTP RST. L'équipement serveur reçoit ce message d'annulation SMTP RST et supprime les premiers paquets reçus dans le cadre de cette session. L'étape de clôture de la session SMTP 36 comprend une étape d'envoi d'un message d'abandon SMTP QUIT mettant fin à la session.
En revanche, si le premier paquet ne comprend aucune des commandes susmentionnées, la connexion TCP est clôturée directement (étapes 47). En effet, le caractère indésirable a alors été détecté soit lors de l'établissement de la connexion TCP, auquel cas seule la connexion TCP peut éventuellement être clôturée, soit lors d'échanges de données d'information constituant le corps du courrier électronique. Dans ce dernier cas, l'équipement serveur assimile tous les premiers paquets émis selon un protocole SMTP à des données d'information, de sorte que pour mettre fin à la session avec l'équipement serveur, il faut clôturer directement la connexion TCP. Les étapes de clôture de la session ou de la connexion (étapes 36, 37 et 47) sont connues de l'homme du métier et ne seront pas détaillées ici. Quelque soit le résultat du test sur le premier paquet détecté comme indésirable (étape 33), une étape de test quant à la réaction côté serveur (étape 35 ou 45) est effectuée. En effet, le premier paquet détecté comme indésirable lors de l'étape 31 est peut-être précédé, dans le cadre de la même connexion, d'un ou plusieurs autres premiers paquets également détectés comme indésirables. Il est donc possible que la clôture de la session et/ou de la connexion avec l'équipement serveur soit déjà effectuée ou en cours. Si la réaction côté serveur sur la connexion TCP a déjà eu lieu, c'est-à-dire si le dispositif de gestion a déjà commencé à envoyer des paquets de fin pour mettre fin à la session, il est inutile de recommencer à clôturer la connexion et/ou la session avec l'équipement serveur.
Par ailleurs, quelque soit le résultat du test sur le premier paquet détecté comme indésirable (étape 32), le dispositif de gestion envoie (étapes 34 et 44) à l'équipement client un ou plusieurs paquets d'acquittement (représentés de façon générique par la référence ACK sur la figure 3). Ces paquets d'acquittement permettent de simuler auprès de l'équipement client une transmission réussie des premiers paquets.
Lorsque le caractère indésirable est détecté suffisamment tôt dans la session, les paquets d'acquittement peuvent comprendre des messages de réponse d'acquittement selon le protocole SMTP (non représentés) et des champs d'acquittement TCP (non représentés) avec une valeur adéquate.
Dans le cas contraire, l'acquittement s'effectue au niveau TCP seulement. Les paquets d'acquittement peuvent comprendre des champs d'acquittement TCP (non représentés) avec une valeur adéquate. Toutefois, si le premier paquet détecté comme indésirable est un paquet de fin de connexion TOP (étape de test 48), le dispositif de gestion se contente d'accepter de clôturer la connexion TCP (étapes 49). Les paquets d'acquittement envoyés par le dispositif de gestion comprennent alors un paquet de fin de connexion TCP. Un produit programme d'ordinateur peut comprendre des instructions pour exécuter les étapes du procédé de la figure 3 en cas de détection d'un premier paquet indésirable.
Le dispositif de gestion peut par exemple être utilisé pour filtrer des courriers électroniques non sollicités. Les moyens de détection du caractère indésirable des premiers paquets peuvent permettre d'analyser au moins certains des premiers paquets. L'analyse peut porter sur le contenu des premiers paquets, par exemple l'adresse de l'expéditeur ou le corps du courriel.
L'analyse peut également porter sur la façon dont les premiers paquets sont émis. Par exemple, les moyens de détection peuvent estimer qu'un expéditeur émettant plusieurs milliers de courriels par seconde émet des courriers électroniques non sollicités, voire des messages d'attaque par inondation.
De manière générale, de tels moyens de détection sont connus de l'homme du métier et ne seront pas détaillés davantage.
Dès que les moyens de détection détectent un courrier électronique 10 non sollicité, les moyens de détection envoient un message de réaction aux moyens de commande et le dispositif de gestion passe en mode actif. Le dispositif de gestion met fin à la session avec l'équipement serveur, permettant ainsi de libérer relativement rapidement les ressources de l'équipement serveur et d'optimiser la capacité de traitement de l'équipement serveur.
Le dispositif de gestion envoie à l'équipement client des paquets d'acquittement, afin d'éviter toute réaction de l'équipement client face à une non transmission des premiers paquets.
Le dispositif de gestion bloque également toute transmission des premiers paquets. Les courriers électroniques non sollicités peuvent ainsi être bloqués à la source, c'est-à-dire au niveau de l'expéditeur ou de l'équipement client si ce dernier est distinct de l'expéditeur. Le blocage des courriers électroniques non sollicités à la source permet, par rapport au blocage à la réception, d'économiser les ressources des équipements réseau et la bande passante nécessaires pour relayer les courriers électroniques non sollicités.
Le dispositif de gestion peut également être utilisé pour empêcher la prolifération de certains virus dans un réseau. Le dispositif de gestion peut être alors couplé à des moyens de détection de virus se propageant par l'intermédiaire de courriers électroniques par exemple.
Les moyens de détection observent les connexions qui s'établissent entre l'équipement client et l'équipement serveur. Dès qu'une signature de virus est détectée dans le contenu des courriers électroniques transmis au cours de sessions SMTP, ou qu'un comportement de l'équipement client est reconnu comme symptomatique de son infection par un virus, le dispositif de gestion met immédiatement fin à cette session, limitant ainsi la contamination de nouveaux équipements.
De la même façon que pour les courriers électroniques non sollicités, l'équipement qui émet ou relaie des virus incrustés dans des courriels peut être isolé, ce qui permet d'économiser les ressources utilisées pour relayer les virus et pour éradiquer les virus.
Le procédé de gestion des premiers paquets indésirables peut également être utilisé pour isoler un utilisateur. Lorsque les moyens de détection s'aperçoivent que des premiers paquets proviennent d'un équipement d'un utilisateur donné, le dispositif de gestion passe en mode actif et bloque toute transmission des premiers paquets. L'équipement client reçoit cependant des paquets d'acquittement, de sorte que l'utilisateur ne sait pas qu'il est isolé du reste du réseau. De la même façon, le procédé de gestion des premiers paquets indésirables peut également être utilisé pour isoler un serveur, par exemple un serveur d'un site révisionniste, II est par exemple possible de bloquer tous les courriers électroniques à destination de ce serveur, sans que les utilisateurs ayant émis ces courriers électroniques le sachent.

Claims

REVENDICATIONS
1. Dispositif de gestion (C) de paquets indésirables destiné à recevoir dans le cadre d'une session applicative entre un équipement client (A) et un équipement serveur (B) des premiers paquets (P1) émis par l'équipement client vers l'équipement serveur et des seconds paquets (P2) émis par l'équipement serveur vers l'équipement client, ledit dispositif de gestion incluant au moins des moyens de commande (22) de fonctionnement suivant un mode inactif, dans lequel ledit dispositif de gestion transmet les premiers paquets reçus de l'équipement client à l'équipement serveur et les seconds paquets reçus de l'équipement serveur à l'équipement client, respectivement suivant un mode actif, dans lequel ledit dispositif de gestion envoie à l'équipement client au moins un paquet d'acquittement (ACK) pour masquer la non-transmission de tout ou partie desdits premiers et seconds paquets, la commande du passage du mode inactif vers le mode actif étant effectuée sur détection d'au moins un desdits premiers paquets comme indésirable.
2. Dispositif de gestion (C) de paquets indésirables selon la revendication 1 , comprenant des moyens d'envoi (23) pour, en mode actif, envoyer à l'équipement serveur (B) au moins un paquet de fin (END) pour mettre fin à la session applicative.
3. Dispositif de gestion (C) de paquets indésirables selon l'une des revendications précédentes, comprenant en outre des moyens de détection (21) des paquets indésirables parmi les premiers paquets (P1 ) émis par l'équipement client (A).
4. Procédé de gestion de paquets indésirables émis par un équipement client (A) vers un équipement serveur (B) dans le cadre d'une session applicative, comprenant les étapes consistant à recevoir des premiers paquets (P1) émis par l'équipement client vers l'équipement serveur et des seconds paquets (P2) émis par l'équipement serveur vers l'équipement client, et selon un mode inactif, transmettre les premiers paquets reçus de l'équipement client à l'équipement serveur et les seconds paquets reçus de l'équipement serveur à l'équipement client, et selon un mode actif, envoyer à l'équipement client au moins un paquet d'acquittement (ACK) pour masquer à l'équipement client la non-transmission de tout ou partie desdits premiers et seconds paquets, la commande de passage du mode inactif vers le mode actif étant effectuée sur détection d'au moins un desdits premiers paquets comme indésirable.
5. Procédé de gestion de paquets indésirables selon la revendication 4, comprenant en outre l'étape consistant à détecter les paquets indésirables parmi les premiers paquets.
6. Procédé de gestion de paquets indésirables selon l'une des revendications 4 ou 5, comprenant en outre, en mode actif, l'étape consistant à envoyer à l'équipement serveur (B) au moins un paquet de fin (END) pour mettre fin à la session applicative.
7. Procédé de gestion de paquets indésirables selon la revendication 6, dans lequel l'étape d'envoi de paquets de fin (TCP RESET, TCP FIN) à l'équipement serveur (B) permet de clôturer la connexion avec l'équipement serveur.
8. Procédé de gestion de paquets indésirables selon l'une des revendications 6 ou 7, dans lequel l'étape d'envoi de paquets de fin (SMTP RST, SMTP QUIT) à l'équipement serveur (B) permet de clôturer la session applicative avec l'équipement serveur.
9. Procédé de gestion de paquets indésirables selon l'une des revendications 4 à 8, dans lequel la connexion avec l'équipement serveur est une connexion TCP.
10. Procédé de gestion de paquets indésirables selon l'une des revendications 4 à 9 dans lequel la session applicative est une session SMTP.
11. Produit programme d'ordinateur stocké dans une mémoire d'un équipement, et/ou sur un support amovible propre à coopérer avec un lecteur dudit équipement, et/ou téléchargeable via un réseau de télécommunications, caractérisé en ce qu'il comporte des instructions pour la mise en oeuvre du procédé selon l'une des revendications 4 à 10.
PCT/FR2006/002039 2005-09-07 2006-09-05 Relachement de session dans un reseau ip WO2007028889A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0509139 2005-09-07
FR0509139 2005-09-07

Publications (1)

Publication Number Publication Date
WO2007028889A1 true WO2007028889A1 (fr) 2007-03-15

Family

ID=36398583

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2006/002039 WO2007028889A1 (fr) 2005-09-07 2006-09-05 Relachement de session dans un reseau ip

Country Status (1)

Country Link
WO (1) WO2007028889A1 (fr)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003044617A2 (fr) * 2001-10-03 2003-05-30 Reginald Adkins Systeme de controle de courrier electronique autorise
EP1496655A2 (fr) * 2003-06-20 2005-01-12 Microsoft Corporation Prevention des messages sortants de courrier électronique non sollicité (spam)
WO2005055535A1 (fr) * 2003-11-27 2005-06-16 Boots Board Limited Systeme et procede de reseau informatique

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003044617A2 (fr) * 2001-10-03 2003-05-30 Reginald Adkins Systeme de controle de courrier electronique autorise
EP1496655A2 (fr) * 2003-06-20 2005-01-12 Microsoft Corporation Prevention des messages sortants de courrier électronique non sollicité (spam)
WO2005055535A1 (fr) * 2003-11-27 2005-06-16 Boots Board Limited Systeme et procede de reseau informatique

Similar Documents

Publication Publication Date Title
US9288078B2 (en) Apparatus and methods for managing content exchange on a wireless device
US8280971B2 (en) Suppression of undesirable email messages by emulating vulnerable systems
EP2092703B1 (fr) Contrôle de message a transmettre depuis un domaine d'émetteur vers un domaine de destinataire
EP3556130B1 (fr) Procédé de surveillance d'un réseau de télécommunications mis en oeuvre par un point d'accès
EP1872543A1 (fr) Procede et systeme de transmission d un flux multicast en reseau d echange de donnees
WO2006108989A2 (fr) Procede de lutte contre l'envoi d'information vocale non sollicitee
WO2007085763A1 (fr) Systeme de fiabilisation de transmission de donnees multidiffusees
CA2722377C (fr) Detection statistique de pourriels
FR2860369A1 (fr) Localisation de points d'entree de flux dans un reseau de communications
US8825804B2 (en) Method and system for avoiding an unintentional time-out for communications in a client-proxy-server environment
EP2939450B1 (fr) Transmission d'un message multimédia doublée par émission d'un message textuel
US20100211640A1 (en) Unsolicited message communication characteristics
FR2888695A1 (fr) Detection d'une intrusion par detournement de paquets de donnees dans un reseau de telecommunication
EP1758338B1 (fr) Procédé et équipement de communication sécurisé pour le traitement des paquets de données selon le mécanisme SEND
CN111555958A (zh) 基于透明代理的邮件过滤方法与系统
WO2007028889A1 (fr) Relachement de session dans un reseau ip
WO2008096086A2 (fr) Procede de traitement de perte de paquets
US7827303B1 (en) Loop protection for a protective proxy
WO2021105626A1 (fr) Procede de coordination de la mitigation d'une attaque informatique, dispositif et systeme associes
WO2011051268A1 (fr) Procédé d'établissement d'une session applicative, dispositif et notification correspondante
WO2023078993A1 (fr) Procédé de gestion d'une retransmission de données échangées sur un chemin établi entre un premier équipement de communication et un deuxième équipement de communication au moyen d'une valeur d'un paramètre de performance intermédiaire
WO2023078995A2 (fr) Procédé de vérification de la fiabilité d'une première valeur d'un paramètre de contrôle de flux relatif à une connexion destinée à être établie entre un premier équipement de communication et un deuxième équipement de communication reliés par un chemin comprenant au moins un nœud intermédiaire au moyen d'une valeur d'un paramètre de performance intermédiaire déterminée par le nœud intermédiaire
EP3076615B1 (fr) Procédé de protection d'un réseau de communication, dispositif, équipement de contrôle et programme d'ordinateur associés
EP1794956A1 (fr) Procede de surveillance de flux de messagerie emis et/ou recus par un client d'un fournisseur d'acces internet au sein d'un reseau de telecommunication
WO2005055535A1 (fr) Systeme et procede de reseau informatique

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application
NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 06808067

Country of ref document: EP

Kind code of ref document: A1