WO2020020911A1 - Method for processing a data packet and associated device, switching equipment and computer program - Google Patents

Method for processing a data packet and associated device, switching equipment and computer program Download PDF

Info

Publication number
WO2020020911A1
WO2020020911A1 PCT/EP2019/069844 EP2019069844W WO2020020911A1 WO 2020020911 A1 WO2020020911 A1 WO 2020020911A1 EP 2019069844 W EP2019069844 W EP 2019069844W WO 2020020911 A1 WO2020020911 A1 WO 2020020911A1
Authority
WO
WIPO (PCT)
Prior art keywords
port
address
data packet
equipment
source
Prior art date
Application number
PCT/EP2019/069844
Other languages
French (fr)
Inventor
Zakaria ABOU EL HOUDA
Salaheddine ZERKANE
David ESPES
Cao Thanh Phan
Original Assignee
Fondation B-Com
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fondation B-Com filed Critical Fondation B-Com
Publication of WO2020020911A1 publication Critical patent/WO2020020911A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services

Definitions

  • the field of the invention is that of processing data packets from a data stream sent from a first device to a second device connected to a telecommunications network according to the Internet protocol (for “Internet Protocol”). .
  • the invention can in particular, but not exclusively, be applied to the management of identity theft attacks.
  • Identity theft refers to the fact that an attacking device forges messages using the IP address of another device, called the target device. This fraudulent use of the identity of an IP device is therefore used in numerous attacks such as amplification attacks.
  • An amplification attack consists of a Denial of Service or DoS attack on the target device. It is therefore a computer attack aimed at rendering the target equipment or a service offered by this target equipment unusable. Amplification attack is very often used when the load of a communication is asymmetrical between a source and a destination. Indeed, some protocols work by request-response. On receipt of a request, the server generates a response. The latter can therefore be much larger than the request and generate traffic to the target machine much higher than that which the attacker would contribute to generate by directly attacking the target.
  • An example of a service typically targeted is the distributed computer service, or DNS (for “Domain Name System”) used to translate Internet domain names into IP addresses, for which the size of the responses is approximately 50 times larger than that of requests.
  • Identity theft can therefore be done in two possible places: internally of a network of an entity which can be a company, a telecommunications operator, an individual etc or externally.
  • an attack external to the entity the scope of the latter can be limited by the protective measures employed by the entity, such as a firewall located at the periphery.
  • protection against the latter proves to be much more complex to carry out, especially when the users are mobile.
  • IP that is to say at the level of the first device to which a host machine is connected. This is for example a switching equipment (for "switch” in English) or a router.
  • a disadvantage of a static method is that its table is quite complex to maintain over time. When the network is large, it is tedious to configure the IP Source ⁇ -> Port correspondence table in each edge equipment. Likewise, changes in topology require a reconfiguration of the equipment affected by such a change.
  • BCP 38 The objective of BCP 38 is for the edge network equipment to verify that the source IP address belongs to an IP network to which it is directly connected. If it is not the case, in this case, the identity of the source is impersonated and therefore the packet deleted. Learning directly connected networks can be achieved in connection with the IP configuration of network equipment, thus automating such operation.
  • the RPF algorithm uses the routing table to see if a packet is legitimate or not. When a packet arrives at the network equipment, the latter will check whether it arrives at the interface of the network equipment which makes it possible to reach the source. If this is not the case, the packet is deleted otherwise it is transmitted
  • o Automatic Port-IP link This method allows network equipment to learn the topology by jointly using several services. When a machine connects, it will generally request an IP address from the entity's DHCP service. When the network equipment receives the DHCP message, the network equipment will fill its IP ⁇ -> Port correspondence table. It will thus be able to verify the legitimacy of the packets according to the assigned IP address and the port number used.
  • BCP 38 has limited scope. Indeed, it does not prevent identity theft attacks in an entity IP network. It only checks if a source IP address belongs to the directly connected network. It simplifies the management of the topology because the granularity is quite coarse but it does not prevent all of this type of attack. The same is true for RPF. As the routing table of a device contains only the addresses of the destination networks, the granularity is the same as BCP 38. RPF cannot therefore prevent an impersonation of two machines which are located in the same network.
  • Port-IP Link method An advantage of the last automatic Port-IP Link method is its efficiency. However, it relies on the joint work of several departments to ensure security against usurpation. Although it improves security and prevents this type of attack in a given entity, unfortunately it opens the door to new attacks. Indeed, possible attacks on the DHCP server can now have a much greater impact than before. In fact, preventing identity theft is limited to the robustness of the DHCP server.
  • This specific operation in DNS can be used to verify the legitimacy of an IP address.
  • a legitimate server can interface between the machine and the DNS server.
  • the legitimate server intercepts the DNS request, it will generate a response with a random CNAME. Only the legitimate machine with the source IP address of the request will receive this response. If the latter makes a DNS request containing the random CNAME, then the legitimacy of the machine sending the first request is checked.
  • This operation is described in the American patent application published under the number US 7,620,733 B1, in 2009.
  • a disadvantage of such a method, dependent on a third-party service, is that the scope of the prevention is limited to the third-party service itself.
  • this type of method adds extra latency and bandwidth for each DNS request, which is difficult to imagine in networks subject to real-time or resource use constraints.
  • the invention improves the situation.
  • the invention particularly aims to overcome these drawbacks of the prior art.
  • an objective of the invention is to propose a solution for managing identity theft attacks which is dynamic, independent of the topology of the network and of the service used.
  • a method of processing a data packet received by switching equipment of a telecommunications network comprising a source IP address, a source port, a destination IP address and a destination port and belonging to an upstream data stream transmitted by a first terminal device to a second terminal device, comprising the following steps:
  • the invention is based on an entirely new and inventive approach to the management of identity theft attacks in a communication network, which consists on the one hand of replacing the source IP address and the port source of the data packet by a unique pair of IP address and port of the switching equipment and on the other hand to store in memory a physical port of the switching equipment through which the attacking equipment transmits the data packet with the spoofed source address, in association with this unique couple and the source IP address and source port pairs. Thanks to this address translation, a second data flow is created between the switching equipment and the second terminal equipment (recipient).
  • the physical port of the equipment can be a tangible or intangible switching port (more commonly called virtual) which has its own identifier within the equipment.
  • the method of processing a data packet comprises, on reception of a data packet belonging to a downward data stream sent by the second equipment to the switching equipment intended for the first equipment, the data packet comprising a source IP address, a source port, a destination IP address and a destination port, the following steps:
  • the invention provides a solution to protect the equipment connected to a communication network against a denial of service attack by identity theft. Unlike the filtering solutions of the prior art, which seek to prevent attacks, the invention ensures that the downward flow emitted in response to the attacker's request spares the target of the attack and is redirected towards the 'attacker.
  • the step of obtaining a record comprises a step of searching in an address translation table stored in a memory and, when a record has been found, a step of reading IP address and port changed in said record.
  • the method comprises recording in a memory of said association.
  • this record is stored in a table, called a translation or address translation table.
  • the method for processing a data packet comprises a step of receiving a message from a control equipment of the switching equipment, said message comprising an IP address equipment switching, a port of the switching equipment and a physical port of the switching equipment to be associated with the source IP address of the first equipment and with the source port of the first equipment.
  • the invention can be implemented in an SDN architecture, according to which a controller equipment descends from the rules for processing data packets to the switching equipment for which it is responsible.
  • the invention also relates to a device for processing a data packet adapted to implement the method according to any one of the particular embodiments defined above.
  • This processing device could of course include the various characteristics relating to the method of processing a data packet according to the invention.
  • Such a device is at least configured to:
  • the device is further configured to:
  • search for a record comprising the IP address and the port of the switching equipment switching associated with an IP address, a port of a first terminal equipment and a physical port of the switching equipment;
  • such a processing device is included in switching equipment of a telecommunications network.
  • the invention therefore relates to a switching equipment of a communication network capable of receiving a data packet of a data stream transmitted by a first terminal equipment intended for a second terminal equipment, comprising a processing device of a data packet according to the invention.
  • said switching equipment is able to receive a data packet from a data stream transmitted by the second terminal equipment intended for the first terminal equipment and the device for processing a data packet is in accordance with one embodiment of the invention.
  • the invention also relates to a computer program comprising instructions for implementing the steps of a method for processing a data packet as described above, when this program is executed by a processor.
  • This program can use any programming language. It can be downloaded from a communication network and / or saved on a computer-readable medium.
  • the invention relates to recording media, readable by a processor, integrated or not in the device for coding an image or a sequence of images and in the decoding device according to the invention, possibly removable, respectively storing a computer program implementing a processing method and a computer program implementing a decoding method, as described above. 6. List of figures
  • FIG. 1 schematically illustrates a first embodiment of the invention
  • FIG. 2 schematically describes the steps of a method for processing a data packet originating from a first flow of a communication sent by a first terminal equipment intended for a second terminal equipment according to the invention
  • FIG. 3 schematically describes the steps of a method for processing a data packet originating from a second communication flow between the second terminal equipment and the first terminal equipment, according to the invention
  • Figure 4 schematically illustrates a second embodiment of the invention
  • FIG. 5 schematically illustrates a first example of a hardware structure of a device for processing a data packet, according to an embodiment of the invention
  • FIG. 6 schematically illustrates a second example of a hardware structure of a device for processing a data packet, according to an embodiment of the invention.
  • the general principle of the invention is based on the translation of the pair of IP address / source port of a data packet transmitted by a first device intended for a second device into a pair of IP address / modified port, from the switching equipment and by recording an association between the source torque, the modified torque and a physical port of the switching equipment.
  • a telecommunications network comprising at least one switching equipment SW1 (for "switch", in English) capable of connecting one or more terminal equipment ET1, ET2 to the network .
  • the switching equipment constitutes the network access equipment for the terminal equipment ET1 and ET2.
  • a first client equipment ET1 also called source equipment, transmits an uplink data stream FDM1 to a second client equipment ET2, said destination equipment
  • This uplink is part of a communication between the first and second equipment.
  • This communication is defined by a quadruplet comprising an IP address and a port of the first device, an IP address and a port of the second device. It will be noted that the invention applies equally well to communication with or without connection.
  • the first client equipment ET1 is connected to the network RT via the switching equipment SW1.
  • the upstream data stream FDM transmitted by the terminal equipment ET1 comprises several data packets DPI to DPM, with M non-zero integer.
  • the upstream data stream FDM1 that it transmits is intended to trigger the transmission by the second terminal equipment ET2 of a downward data flow towards a third terminal equipment ET3, the first terminal equipment ET1 of which has usurped the identity.
  • This third terminal equipment ET3 is connected to the switching equipment SW1. It therefore constitutes the target of the attack carried out by the terminal equipment ET1.
  • the switching equipment SW1 is at least suitable for and configured to process the data packets of levels L2, L3 and L4 of the OSI model (for “Open System Interconnections”, in English) , which corresponds respectively to the link, network and transport layers.
  • the data packet DPi is received by the switching equipment SW1.
  • T2 it obtains a source IP address @IPS, a destination IP address @IPD included in a header added by the network layer and a source port PS, a destination port PD included in a header added by the transport layer of the packet DPi data.
  • the same is true for the source port PS P3.
  • the destination address and port are, for example, those of a server device which performs a service. For example, it is a DNS server and the amount data stream issued by ET3 is a DNS request.
  • NTP Network Time Protocol
  • SNMP Simple Network Management Protocol
  • T3 it obtains a physical port PPsw from the switching equipment SW1 on which the data packet from the first equipment ET1 is received. This information is known at the L2 level.
  • T4 obtains a REC record of the source IP address and of the source port obtained associated with the physical port of the switching equipment, an IP address of the switching equipment and a port chosen from a plurality of unused switching equipment.
  • two cases are considered:
  • the record exists in a local or remote memory of the switching equipment SW1. This means that the DPi data packet is not the first in the FDM 1 data stream.
  • This record can take the form of a row in a table, called address translation, which associates with the IP address. source, the source port and the physical port PPSW1, an IP address @ IPSW1, a port PSW1 of the switching equipment SW1. Step T4 then consists in reading the recorded information;
  • the record does not exist and the step comprises obtaining a pair of IP address and port of the switching equipment SW1 and creating the record REC as previously described.
  • the DPi data packet is modified by replacing its source IP address with the IP address @ IPSW1 of the switching equipment and replacement of the source port of the data packet with the chosen port PSW1.
  • T6 the modified DPim data packet is sent. It is understood that a second data stream FDM2 has thus been generated between the switching equipment SW1 and the destination equipment ET2.
  • the data packet DP'i is received by the switching equipment SW1. In T8, it obtains the destination IP address @IPD 'and the destination port PD' in a header of the data packet DPi '.
  • this record corresponds to a line of a so-called translation table of the switching equipment SW1.
  • This table can be the same as that used for the upstream flow or a translation table specific to the downward flow.
  • the elements sought between the upward flow and the downward flow are not the same. Indeed, in the case of the uplink flow, we will search the table for an entry containing the source IP address, the source port, and the physical port of the switch on which the packet is received. In the descending case, we will look for an entry containing the destination IP address and the destination port of the packet. Having two separate tables can be interesting in systems such as relational databases where the fields of the entries are indexed. In fact, in the upstream table, the indexed entries will be the fields: source IP address, source port, and physical port of the switch, while in the downstream case, the indexed entries will be the fields: destination IP and port of destination.
  • the modified packet DP im is transmitted in Tll on the physical port PPswi of the switching equipment intended for the first equipment ET1. In this way, the data packet is sent to the terminal equipment ET1 which has usurped the IP address and the port of the terminal equipment ET3.
  • the terminal equipment ET3 has previously established a communication with the destination terminal equipment ET2, for example in connected mode, according to the communication protocol TCP (for “Transmission Control Protocol”, in English), such as specified in IETF RFC 793.
  • TCP Transmission Control Protocol
  • the destination equipment will establish two different connections with the switching equipment SW1 instead of one. Thanks to the association between the source and destination IP addresses with physical ports distinct from the switching equipment SW1, the responses to each of the requests contained in the upstream data stream FDM1 and FDM1 'will be redirected to the sending equipment, that is to say the legitimate source equipment for the first flow FDM1 'and the attacking equipment for the second flow FDM1.
  • the solution therefore does not prevent identity theft but it avoids the consequences by reversing the attacker's attack against the latter. In this way, the scope thereof is reduced. Indeed, as part of an amplification attack perpetrated by the attacker, the latter will receive the traffic it intended for the target. In addition, the DoS will be performed on the attacker which will have the effect of preventing him from harming.
  • the telecommunications network RT is managed by an entity, which can for example be an operator, a company or an individual. It is organized according to an architecture of SDN type (for “Software Defined Network”, in English) and that it comprises at least one CT control equipment able to control one or more switching equipment. For simplicity, only one CT control equipment is shown in Figure 4.
  • the SDN concept describes a network architecture presenting a control plane separate from the data plane.
  • Data plane equipment such as the switching equipment 20 implements the routing of data packets between the client or source communication equipment EC and the server or destination communication equipment ES, while one or more several CT control equipment (s) or “controller” of the control plan manages (s), programs (s) and maintains (s) the data plan equipment.
  • Control equipment has a global and detailed view of all or part of the network. It is hosted on a platform which is logically centralized but can also be physically distributed.
  • the main goal of SDN is to reduce the complexity and high costs associated with the heterogeneity of applications and equipment used in the network. It is based on standard protocols which allow different devices to communicate.
  • the network is fully programmable through the applications that run at the controller level. The management and implementation of network policy is therefore facilitated by the implementation of the control plan.
  • An IOF interface module allows the control equipment 20 to install processing rules in the switching equipment SW1 and SW2 of the data plane. These rules implement the operation of the data plan as programmed by the control plan.
  • the switching equipment does not have intelligence and that it is the SDN controller which commands them how to process a received data packet, by means of a dedicated processing rule. For this, each packet for which the switching equipment has not transmitted an appropriate processing rule will be transmitted to the controller. To do this, it is encapsulated in a message called "packet-in". Depending on the packet-in received, the controller defines the processing to be applied by the switching equipment to the current packet, as well as to any another packet of the up and down streams of the same communication. For this, the control equipment will transmit processing rules adapted to the switching equipment.
  • SW1 and SW2 switching equipment is L2 / L3 / L4 level equipment as stipulated by the OpenFlow standard. They therefore all have an L3 layer routing table for relaying the received data packets to the destination network. It will be assumed that the routing tables are entered in an OpenFlow table called number 1 of each switching equipment.
  • This table is done in a standardized manner, that is to say by the execution of a standardized routing protocol such as the IS-IS protocol (for “Intermediate System to Intermediate System”, in English) or OSPF (for "Open Shortest Path First", in English).
  • a standardized routing protocol such as the IS-IS protocol (for “Intermediate System to Intermediate System”, in English) or OSPF (for "Open Shortest Path First", in English).
  • a third terminal equipment ET3 is also connected to the switching equipment SW2.
  • the destination terminal equipment ET3 is a DNS server reachable on the Internet. Its role is to respond to DNS queries made to it by source terminal equipment.
  • DNS requests are included in communication messages conforming to the UDP protocol (for “User Datagram Protocol”, in English) specified in RFC 768.
  • UDP protocol for “User Datagram Protocol”, in English
  • This protocol is based on the transport layer of the OSI model and belongs to the L4 layer, like TCP. The role of this protocol is to allow the transmission of data (in the form of datagrams) in a very simple way between two entities, each of which is defined by an IP address and a port number.
  • UDP uses a connectionless transmission mode. No prior communication is required to establish the connection, unlike TCP which uses the "handshaking" process.
  • a DNS request is sent to the IP address of a DNS server device on port 53.
  • the recipient DNS server evaluates the domain name contained in the request and returns a response containing the IP address corresponding to this name.
  • the DNS service is the most used means to carry out amplification attacks.
  • a large number of DNS servers are available on the Internet and with free access. They are usually called "openresolvers".
  • the attack is therefore particularly simplified.
  • such an attack can only be initiated from the entity's network, because the entity's firewall on the edge of the Internet suppresses DNS responses that are not linked to a request initiated by a machine of the entity. .
  • the switching equipment SW1 and SW2 each have two tables: A routing table, called the OpenFlow OF table number 1;
  • a rules table called OpenFlow OF table number 0.
  • the entry Table_Miss is executed, because SW1 has no other rule for processing this message.
  • the packet is therefore encapsulated in a packet-in message which is transmitted to the CT controller.
  • the controller then generates the following OpenFlow rules and sends them to the switching equipment SW1 which will add them to its OpenFlow table number 0:
  • the first rule is added in order to keep the same translation or translation of addresses for all the packets of the same flow sent by the terminal equipment ET1 to the server equipment ET3.
  • IP addresses Network Address Translation
  • NAT Network Address Translation
  • a common case is to allow machines with addresses that are part of an intranet and are neither unique nor routable Internet-wide, to communicate with the rest of the Internet by appearing to use unique, routable external addresses.
  • Rule 1 not only performs an IP address and port translation (at transport level L4), but also associates the translated address pairs with the physical port by which the switching equipment SW1 has received the request message.
  • the physical port number is essential in translation. Indeed, if the attacker can be connected to the same switching equipment SW1, it is the knowledge of this physical port which will make it possible to differentiate the attacker from the target and therefore to route the response packets to the attacker.
  • rule 1 leads to the recording in the routing table of the association between the couple @ ET1, PET1, @ SW1, PSW1, PP1.
  • Rule 2 makes it possible to manage the data packets of a response message sent by the DNS server intended for the equipment ET1, in the return direction. In particular, it makes sure to redirect the data packets to the correct port number of the switching equipment SW1 and to replace the information of the message by carrying out the reverse operation of the address translation carried out on the message of request.
  • the controller CT extracts information from the packet-in which contains it and in particular the physical port PP by which the switching equipment received this packet. It generates the following OpenFlow rules and sends them to the switching equipment SW2 (the one to which the attacker is connected) which will add them to its OpenFlow table number 0:
  • Port_Destination 7000>
  • Action ⁇ set_field: 192.168.1.2 -> @ IP_Destination
  • the two entries have the same role as previously described. It is assumed here that the controller is able to deduce that the message received is a message external to the entity, therefore that it can order the switching equipment to replace the IP_Source address of the header of the data packet. by its own public IP address.
  • the response of the spoofed request is indeed routed by the telecommunications network RT towards the attacker and not the target.
  • the invention does not prevent the attack but defuses it by redirecting the traffic generated by this attack to the attacker.
  • the invention which has just been described in its various embodiments therefore rests on the translation of the torque (@IPs, Ps) towards a couple (@IPsw, Psw) of the switching equipment, which implements the invention.
  • the port of the transport layer being coded on 16 bits, this makes it possible to cover 2 16 possible translations per IP address available to the switching equipment. This limited number may however prove to be insufficient to be able to process all the flows received simultaneously by the switching equipment.
  • a simple solution for increasing the number of entries in the address translation table is to provide the switching equipment with a range of IP addresses rather than just one. If the switching equipment has N IP addresses, with N non-zero integer greater than 1, its address translation table may contain Nx2 16 different entries.
  • the invention has the principle of redirecting the traffic induced by the attack to the attacker himself, one consequence is that this traffic crosses the network and generates a processing load. A propagation of the attack by cascade effect could therefore take place within the network. Indeed, switching equipment could be at least partially saturated by traffic of attack crossing them. As a result, although the attack does not reach the attacker's intended target and cannot make it ineffective, the attack could affect the proper functioning of the telecommunications network by rebound, if it is unable to absorb attack traffic. The latter may see these communication possibilities reduced due to the inability to absorb attack traffic by the network.
  • one solution is to set up a security mechanism which limits the incoming traffic so that it does not reach the bandwidth capacity of the network.
  • a security mechanism which limits the incoming traffic so that it does not reach the bandwidth capacity of the network.
  • RT For example, a thresholding mechanism on the equipment of the entity's network in connection with the Internet will be installed. When, for a given communication, the traffic exceeds the set threshold, some or all of the data packets can be dropped.
  • a mechanism known as a “leaky bucket”, known to those skilled in the art is entirely suitable for carrying out targeted thresholding.
  • the threshold can be linked to the bandwidth of a stream. Beyond a certain bandwidth, packets exceeding this bandwidth will be deleted.
  • the threshold can be defined manually by the administrator or dynamically as a function of the load borne by the network equipment of the entity.
  • the invention which has just been presented is particularly effective in the context of amplification attacks, that is to say when the service is distributed and asymmetrical (that is to say that the load in the server direction- > client is much more important than in the client-> server direction) and outside the entity.
  • module and/or hardware components, can correspond either to a software component, or to a hardware component, or even to a set of hardware and / or software components, capable of implementing performs the function or functions described for the module or entity concerned.
  • the device 100 is adapted to process a data packet, transmitted by a first terminal equipment intended for a second terminal equipment.
  • the processing device 100 is notably configured to:
  • the device on reception of a data packet belonging to a downward data stream sent by the second equipment to the switching equipment intended for the first equipment, the data packet comprising a source IP address, a source port , a destination IP address and a destination port and, the device is configured to:
  • search for a record including the IP address, the port of the switching equipment associated with an IP address, a port of a first device and a physical port of the switching equipment;
  • the processing device 100 has the conventional architecture of a computer and comprises in particular, a processing unit 110, equipped with a processor pi, and controlled by a Pgi computer program 120, stored in a memory 130 and implementing the method according to the invention.
  • a processing unit 110 equipped with a processor pi
  • a Pgi computer program 120 stored in a memory 130 and implementing the method according to the invention.
  • the code instructions of the Pgi computer program 120 are for example loaded into a memory RAM MEM1 before being executed by the processor of the processing unit 110.
  • the processor of the processing unit 110 implements the steps of the method described above, according to the instructions of the computer program 120.
  • the coding method is implemented by functional modules.
  • the coding device 100 comprises at least the following functional modules:
  • a module for obtaining (OBT. @IPS, PS) the source IP address and the source port in a header of the data packet;
  • a module for obtaining (OBT. PPSW) a physical port of the switching equipment on which the data packet from the first equipment is received;
  • a module for obtaining (OBT. Rec) a record of the source IP address and the source port obtained associated with the physical port of the switching equipment, an IP address of the switching equipment and a chosen port from a plurality of unused switching equipment ports;
  • a modification module (MOD. DP) of the data packet by replacing the source IP address of the data packet with the IP address of the switching equipment and replacing the source port of the data packet with the chosen port;
  • a transmission module (SEND DPm) of the modified data packet is included in the modified data packet.
  • the device on reception of a data packet belonging to a downward data stream transmitted by the second equipment to the switching equipment intended for the first equipment, the data packet comprising an IP address source, a source port, a destination IP address and a destination port and, the device includes the following modules:
  • search for a record comprising the IP address, the port of the equipment of switching associated with an IP address, a port of a first device and a physical port of the switching device;
  • the device 100 further comprises a memory M1 for storing the records, for example in one or more address translation tables.
  • These units are controlled by the processor m ⁇ of the processing unit 110.
  • the processing unit 110 cooperates with the different functional modules described above and the memories MEM1 and Ml in order to implement the steps of the processing method.
  • the different functional modules described above can be in hardware and / or software.
  • a functional module can comprise a processor, a memory and program code instructions for implementing the function corresponding to the module when the code instructions are executed by the processor.
  • such a functional module can be implemented by any type of suitable encoding circuits, such as for example and without limitation microprocessors, signal processing processors (DSP for Digital Signal Processor in English) , application-specific integrated circuits (ASICs for “Application Specifies Integrated Circuit” in English), FPGA circuits (for “Field Programmable Gate Arrays” in English), wiring of logic units.
  • DSP Digital Signal Processor
  • ASICs application-specific integrated circuits
  • FPGA circuits for “Field Programmable Gate Arrays” in English
  • such a device 100 can be integrated into switching equipment.
  • the device 100 is then arranged to cooperate at least with the following module of the switching equipment:
  • a data transmission / reception E / R module via which the data packets are received or transmitted via a telecommunications network RT.
  • the invention also works in a generic way, that is to say for all traffic which is identified by a quadruplet ⁇ IP Source, Port Source, IP destination, Port destination> which is the case for l all current communications, regardless of the transport layer protocol;
  • the invention is completely independent of a third-party service and processing is carried out as close as possible to the sending entity. It therefore does not add any additional cost to the transit of a data packet between its source and its destination.

Abstract

The invention relates to a method for processing a data packet received by a piece of switching equipment on a telecommunications network, the data packet comprising a source IP address, a source port, a destination IP address and a destination port and belonging to a data flow, referred to as ascending, transmitted by a first piece of equipment to a second piece of equipment, characterized in that the method comprises the following steps: - Obtaining (T1) the source IP address and the source port in a header of the data packet; - Obtaining (T2) a physical port of the piece of switching equipment on which the data packet is received from the first piece of equipment; - Obtaining (T3) a recording comprising the obtained source IP address, source port and physical port that are associated with an IP address and a port of the switching equipment chosen from among a plurality of unused ports of the piece of switching equipment; - Modifying (T4) the data packet by replacing the source IP address of the data packet with the IP address of the piece of switching equipment and replacing the source port of the data packet with the chosen port; and -Transmitting (T5) the modified data packet.

Description

Procédé de traitement d'un paquet de données, dispositif, équipement de commutation et programme d'ordinateur associés  Method for processing a data packet, associated device, switching equipment and computer program
1. Domaine de l'invention 1. Field of the invention
Le domaine de l'invention est celui du traitement des paquets de données d'un flux de données émis d'un premier équipement vers un deuxième équipement connectés à un réseau de télécommunications selon le protocole Internet (pour « Internet Protocol », en anglais). The field of the invention is that of processing data packets from a data stream sent from a first device to a second device connected to a telecommunications network according to the Internet protocol (for “Internet Protocol”). .
L'invention peut notamment, mais non exclusivement, s'appliquer à la gestion des attaques par usurpation d'identité. The invention can in particular, but not exclusively, be applied to the management of identity theft attacks.
2. Présentation de l'art antérieur 2. Presentation of the prior art
On désigne par usurpation d'identité le fait qu'un équipement attaquant forge des messages en utilisant l'adresse IP d'un autre équipement, dit équipement cible. Cet usage frauduleux de l'identité d'un équipement IP est donc utilisé dans de nombreuses attaques telles que les attaques par amplification.  Identity theft refers to the fact that an attacking device forges messages using the IP address of another device, called the target device. This fraudulent use of the identity of an IP device is therefore used in numerous attacks such as amplification attacks.
Une attaque par amplification consiste en une attaque par « Déni de Service » ou DoS (pour « Deny of Service », en anglais) sur l'équipement cible. Il s'agit donc d'une attaque informatique ayant pour but de rendre l'équipement cible ou un service proposé par cet équipement cible, inutilisable. L'attaque par amplification est très souvent utilisée lorsque la charge d'une communication est asymétrique entre une source et une destination. En effet, certains protocoles fonctionnent par requête-réponse. A la réception d'une requête, le serveur génère une réponse. Cette dernière peut donc être de taille largement plus importante que la requête et générer un trafic vers la machine cible bien supérieur à celui que l'attaquant contribuerait à générer en attaquant directement la cible. Un exemple de service typiquement visé est le service informatique distribué, ou DNS (pour « Domain Name System », en anglais) utilisé pour traduire les noms de domaine Internet en adresse IP, pour lequel la taille des réponses est environ 50 fois plus importante que celle des requêtes. An amplification attack consists of a Denial of Service or DoS attack on the target device. It is therefore a computer attack aimed at rendering the target equipment or a service offered by this target equipment unusable. Amplification attack is very often used when the load of a communication is asymmetrical between a source and a destination. Indeed, some protocols work by request-response. On receipt of a request, the server generates a response. The latter can therefore be much larger than the request and generate traffic to the target machine much higher than that which the attacker would contribute to generate by directly attacking the target. An example of a service typically targeted is the distributed computer service, or DNS (for “Domain Name System”) used to translate Internet domain names into IP addresses, for which the size of the responses is approximately 50 times larger than that of requests.
Avec l'accroissement de l'usage d'Internet et des services en libre accès, ce type d'attaque va se répandre de plus en plus dans les années à venir. A titre d'exemple, pour le service DNS, de plus en plus de serveurs de résolution DNS (pour « resolvers DNS », en anglais), appelés communément openresolvers, sont accessibles depuis partout dans le monde. Un attaquant qui usurpe l'adresse IP d'une machine cible peut donc faire une attaque DoS massive contre cette dernière en envoyant des requêtes DNS à plusieurs serveurs openresolvers accessibles. With the increase in the use of the Internet and open access services, this type of attack will spread more and more in the years to come. For example, for the DNS service, more and more DNS resolution servers (for “DNS resolvers”, in English), commonly called openresolvers, are accessible from anywhere in the world. An attacker who spoofs the IP address a target machine can therefore make a massive DoS attack against it by sending DNS queries to several accessible openresolvers servers.
L'usurpation d'identité peut donc se faire à deux endroits possibles : en interne d'un réseau d'une entité qui peut être une entreprise, un opérateur de télécommunications, un particulier etc ou en externe. Dans le cadre d'une attaque externe à l'entité, la portée de cette dernière peut être limitée par les mesures de protection employées par l'entité, telles qu'un pare-feu situé en périphérie. Dans le cadre d'une attaque interne, la protection contre cette dernière s'avère bien plus complexe à réaliser, surtout lorsque les utilisateurs sont mobiles. Identity theft can therefore be done in two possible places: internally of a network of an entity which can be a company, a telecommunications operator, an individual etc or externally. In the context of an attack external to the entity, the scope of the latter can be limited by the protective measures employed by the entity, such as a firewall located at the periphery. In the context of an internal attack, protection against the latter proves to be much more complex to carry out, especially when the users are mobile.
On connaît du document de McPherson et al., intitulé "Source Address Validation Improvement (SAVI) Threat Scope", publié dans le RFC 6959, par l'IETF en 2013, des techniques de filtrage des paquets de données en bordure du réseau de télécommunications IP, c'est-à-dire au niveau du premier équipement auquel est connecté une machine hôte. Il s'agit par exemple d'un équipement de commutation (pour « switch », en anglais) ou d'un routeur. We know from the document by McPherson et al., Entitled "Source Address Validation Improvement (SAVI) Threat Scope", published in RFC 6959, by the IETF in 2013, techniques for filtering data packets at the edge of the telecommunications network. IP, that is to say at the level of the first device to which a host machine is connected. This is for example a switching equipment (for "switch" in English) or a router.
Ce type de filtrage nécessite une connaissance assez fine de la topologie du réseau. On distingue deux types de fonctionnement : This type of filtering requires a fairly fine knowledge of the network topology. There are two types of operation:
Statique Static
o Affectation d'une adresse IP à un port : Le filtrage sur chaque équipement de bordure maintient une table de correspondance entre l'adresse IP de la machine qui a émis le paquet de données et le numéro de port auquel elle est connectée. Lorsqu'un paquet est reçu par l'équipement réseau sur un certain port et dont l'adresse IP source ne correspond pas à celle attendu dans sa table, le paquet est supprimé, sinon il est relayé. L'administrateur réalise l'opération de configuration de la table manuellement.  o Assignment of an IP address to a port: The filtering on each edge equipment maintains a correspondence table between the IP address of the machine which sent the data packet and the port number to which it is connected. When a packet is received by the network equipment on a certain port and whose source IP address does not correspond to that expected in its table, the packet is deleted, otherwise it is relayed. The administrator performs the table configuration operation manually.
Un inconvénient d'une méthode statique est que sa table est assez complexe à maintenir dans le temps. Lorsque le réseau est conséquent, il est fastidieux de configurer la table de correspondance IP Source <-> Port dans chaque équipement de bordure. De même, les changements de topologie nécessitent une reconfiguration des équipements touchés par un tel changement. A disadvantage of a static method is that its table is quite complex to maintain over time. When the network is large, it is tedious to configure the IP Source <-> Port correspondence table in each edge equipment. Likewise, changes in topology require a reconfiguration of the equipment affected by such a change.
Dynamique Dynamic
o BCP 38 : L'objectif de BCP 38 est que l'équipement réseau en bordure vérifie que l'adresse IP source appartient à un réseau IP auquel il est directement connecté. Si ce n'est pas le cas, dans ce cas, l'identité de la source est usurpée et donc le paquet supprimé. L'apprentissage des réseaux directement connectés peut être réalisé en lien avec la configuration IP des équipements réseaux, automatisant ainsi un tel fonctionnement. o BCP 38: The objective of BCP 38 is for the edge network equipment to verify that the source IP address belongs to an IP network to which it is directly connected. If it is not the case, in this case, the identity of the source is impersonated and therefore the packet deleted. Learning directly connected networks can be achieved in connection with the IP configuration of network equipment, thus automating such operation.
o RPF : L'algorithme RPF utilise la table de routage pour voir si un paquet est légitime ou non. Lorsqu'un paquet arrive à l'équipement réseau, ce dernier va regarder s'il parvient bien sur l'interface de l'équipement réseau qui permet d'atteindre la source. Si ce n'est pas le cas, le paquet est supprimé sinon il est transmis  o RPF: The RPF algorithm uses the routing table to see if a packet is legitimate or not. When a packet arrives at the network equipment, the latter will check whether it arrives at the interface of the network equipment which makes it possible to reach the source. If this is not the case, the packet is deleted otherwise it is transmitted
o Liaison Port-IP automatique : Cette méthode permet à un équipement réseau d'apprendre la topologie en utilisant conjointement plusieurs services. Lorsqu'une machine se connecte, elle va généralement demander une adresse IP au service DHCP de l'entité. Lors de la réception du message DHCP par l'équipement réseau, ce dernier va remplir sa table de correspondance IP <-> Port. Il pourra ainsi vérifier la légitimité des paquets en fonction de l'adresse IP affectée et du numéro de port utilisé.  o Automatic Port-IP link: This method allows network equipment to learn the topology by jointly using several services. When a machine connects, it will generally request an IP address from the entity's DHCP service. When the network equipment receives the DHCP message, the network equipment will fill its IP <-> Port correspondence table. It will thus be able to verify the legitimacy of the packets according to the assigned IP address and the port number used.
Un avantage de ces techniques est qu'elles sont_mieux adaptées à un environnement complexe. Un inconvénient de la méthode BCP 38 est sa portée limitée. En effet, elle ne prévient pas des attaques d'usurpation d'identité dans un réseau IP de l'entité. Elle regarde uniquement si une adresse IP source appartient bien au réseau directement connecté. Ca simplifie la gestion de la topologie car la granularité est assez grossière mais ça ne prévient pas la totalité de ce type d'attaque. En ce qui concerne RPF, c'est le même constat. Comme la table de routage d'un équipement contient uniquement les adresses des réseaux de destination, la granularité est la même que BCP 38. RPF ne peut donc pas prévenir une usurpation d'identité de deux machines qui se situent dans le même réseau. An advantage of these techniques is that they are better suited to a complex environment. One drawback of the BCP 38 method is its limited scope. Indeed, it does not prevent identity theft attacks in an entity IP network. It only checks if a source IP address belongs to the directly connected network. It simplifies the management of the topology because the granularity is quite coarse but it does not prevent all of this type of attack. The same is true for RPF. As the routing table of a device contains only the addresses of the destination networks, the granularity is the same as BCP 38. RPF cannot therefore prevent an impersonation of two machines which are located in the same network.
Un avantage de la dernière méthode Liaison Port-IP automatique est son efficacité. Cependant, elle repose sur le travail conjoint de plusieurs services pour assurer la sécurité contre l'usurpation. Bien que ça améliore la sécurité et prévient ce type d'attaque dans une entité donnée, malheureusement elle ouvre la porte à de nouvelles attaques. En effet, les attaques possibles sur le serveur DHCP peuvent dorénavant avoir un impact bien plus important qu'au préalable. De fait, la prévention de l'usurpation d'identité est limitée à la robustesse du serveur DHCP. An advantage of the last automatic Port-IP Link method is its efficiency. However, it relies on the joint work of several departments to ensure security against usurpation. Although it improves security and prevents this type of attack in a given entity, unfortunately it opens the door to new attacks. Indeed, possible attacks on the DHCP server can now have a much greater impact than before. In fact, preventing identity theft is limited to the robustness of the DHCP server.
Outre le filtrage, il est également possible d'utiliser les spécificités de certains services pour éviter l'usurpation d'identité associée à ce service. C'est par exemple le cas du service DNS. Suivant le standard, lorsqu'une machine fait une requête DNS pour connaître l'adresse IP associé à un nom de domaine, si la réponse associée à cette requête contient un CNAME du nom de domaine, dans ce cas la machine refait une requête contenant cette fois le CNAME. La réponse assortie contiendra soit un autre CNAME (et la procédure se réitère) soit l'adresse IP correspondant à ce dernier. In addition to filtering, it is also possible to use the specific features of certain services to avoid identity theft associated with this service. This is for example the case with the DNS service. According to the standard, when a machine makes a DNS request to find the IP address associated with a name of domain, if the response associated with this request contains a CNAME of the domain name, in this case the machine redoes a request this time containing the CNAME. The matched response will contain either another CNAME (and the procedure is repeated) or the corresponding IP address.
Ce fonctionnement spécifique au DNS peut être utilisé pour vérifier la légitimité d'une adresse IP. En effet, un serveur légitime peut s'interfacer entre la machine et le serveur DNS. Lorsque le serveur légitime intercepte la requête DNS, il va générer une réponse avec un CNAME aléatoire. Seule la machine légitime possédant l'adresse IP Source de la requête va recevoir cette réponse. Si cette dernière refait une requête DNS contenant le CNAME aléatoire, alors la légitimité de la machine émettrice de la première requête est vérifiée. Ce fonctionnement est décrit dans la demande de brevet américain publiée sous le numéro US 7.620,733 Bl, en 2009. This specific operation in DNS can be used to verify the legitimacy of an IP address. Indeed, a legitimate server can interface between the machine and the DNS server. When the legitimate server intercepts the DNS request, it will generate a response with a random CNAME. Only the legitimate machine with the source IP address of the request will receive this response. If the latter makes a DNS request containing the random CNAME, then the legitimacy of the machine sending the first request is checked. This operation is described in the American patent application published under the number US 7,620,733 B1, in 2009.
Un inconvénient d'une telle méthode, dépendante d'un service tiers, est que la portée de la prévention est limitée au service tiers lui-même. En outre, ce type de méthode rajoute un surcoût en latence et bande passante pour chaque requête DNS ce qui est difficilement concevable dans des réseaux soumis à des contraintes temps-réel ou d'utilisation des ressources. A disadvantage of such a method, dependent on a third-party service, is that the scope of the prevention is limited to the third-party service itself. In addition, this type of method adds extra latency and bandwidth for each DNS request, which is difficult to imagine in networks subject to real-time or resource use constraints.
3. Objectifs de l'invention 3. Objectives of the invention
L'invention vient améliorer la situation.  The invention improves the situation.
L'invention a notamment pour objectif de pallier ces inconvénients de l’art antérieur. The invention particularly aims to overcome these drawbacks of the prior art.
Plus précisément, un objectif de l'invention est de proposer une solution pour gérer les attaques par usurpation d'identité qui soit dynamique, indépendante de la topologie du réseau et du service utilisé. More specifically, an objective of the invention is to propose a solution for managing identity theft attacks which is dynamic, independent of the topology of the network and of the service used.
4. Exposé de l'invention 4. Statement of the invention
Ces objectifs, ainsi que d'autres qui apparaîtront par la suite, sont atteints à l'aide d'un procédé de traitement d'un paquet de données reçu par un équipement de commutation d'un réseau de télécommunications, le paquet de données comprenant une adresse IP source, un port source, une adresse IP destination et un port destination et appartenant à un flux de données montant émis par un premier équipement terminal vers un deuxième équipement terminal, comprenant les étapes suivantes : These objectives, as well as others which will appear subsequently, are achieved using a method of processing a data packet received by switching equipment of a telecommunications network, the data packet comprising a source IP address, a source port, a destination IP address and a destination port and belonging to an upstream data stream transmitted by a first terminal device to a second terminal device, comprising the following steps:
Obtention de l'adresse IP source et du port source dans un en-tête du paquet de données ; - Obtention d'un port physique de l'équipement de commutation sur lequel est reçu le paquet de données en provenance du premier équipement ; Obtaining the source IP address and the source port in a header of the data packet; - Obtaining a physical port of the switching equipment on which the data packet from the first equipment is received;
- Obtention d'un enregistrement comprenant l'adresse IP source, le port source et le port physique obtenus associés avec une adresse IP et un port de l'équipement de commutation choisi parmi une pluralité de ports de l'équipement de commutation non utilisés ; - Obtaining a record comprising the source IP address, the source port and the physical port obtained associated with an IP address and a port of the switching equipment chosen from a plurality of unused ports of the switching equipment;
- Modification du paquet de données par remplacement de l'adresse IP source du paquet de données par l'adresse IP de l'équipement de commutation et remplacement du port source du paquet de données par le port choisi; et - Modification of the data packet by replacing the source IP address of the data packet with the IP address of the switching equipment and replacement of the source port of the data packet with the chosen port; and
- Emission du paquet de données modifié. - Transmission of the modified data packet.
L'invention s'appuie sur une approche tout-à-fait nouvelle et inventive de la gestion d'attaques par usurpation d'identité dans un réseau de communication, qui consiste d'une part à remplacer l'adresse IP source et le port source du paquet de données par un couple unique d'adresse IP et de port de l'équipement de commutation et d'autre part à stocker en mémoire un port physique de l'équipement de commutation par l'intermédiaire duquel l'équipement attaquant émet le paquet de données avec l'adresse source usurpée, en association avec ce couple unique et les couple adresse IP source, port source. Grâce à cette traduction d'adresses, un deuxième flux de données est créé entre l'équipement de commutation et le deuxième équipement terminal (destinataire). Le fait de garder en mémoire la connaissance de ce port physique associée aux couples d'adresse IP port source/modifié permet de garantir que les paquets de données d'un flux descendant du deuxième équipement généré en réponse au flux montant seront réacheminés vers l'équipement de commutation auquel s'est rattaché l'équipement terminal émetteur. De la sorte, s'il s'agit d'un attaquant qui a usurpé l'adresse IP source et le port source d'un équipement terminal cible, c'est bien l'attaquant et non la cible qui recevra le flux de réponse. The invention is based on an entirely new and inventive approach to the management of identity theft attacks in a communication network, which consists on the one hand of replacing the source IP address and the port source of the data packet by a unique pair of IP address and port of the switching equipment and on the other hand to store in memory a physical port of the switching equipment through which the attacking equipment transmits the data packet with the spoofed source address, in association with this unique couple and the source IP address and source port pairs. Thanks to this address translation, a second data flow is created between the switching equipment and the second terminal equipment (recipient). Keeping in memory the knowledge of this physical port associated with the pairs of IP address source / modified port makes it possible to guarantee that the data packets of a downstream stream from the second device generated in response to the upstream stream will be forwarded to the switching equipment to which the transmitting terminal equipment is attached. In this way, if it is an attacker who has usurped the source IP address and the source port of a target terminal device, it is the attacker and not the target who will receive the response stream .
Le port physique de l'équipement peut être un port de commutation tangible ou intangible (plus communément appelé virtuel) qui possède un identifiant propre au sein de l'équipement. The physical port of the equipment can be a tangible or intangible switching port (more commonly called virtual) which has its own identifier within the equipment.
Selon un aspect de l'invention, le procédé de traitement d'un paquet de données comprend, sur réception d'un paquet de données appartenant à un flux de données descendant émis par le deuxième équipement vers l'équipement de commutation à destination du premier équipement, le paquet de données comprenant une adresse IP source, un port source, une adresse IP destination et un port destination, les étapes suivantes : According to one aspect of the invention, the method of processing a data packet comprises, on reception of a data packet belonging to a downward data stream sent by the second equipment to the switching equipment intended for the first equipment, the data packet comprising a source IP address, a source port, a destination IP address and a destination port, the following steps:
Obtention de l'adresse IP destination et du port destination dans un en-tête du paquet de données ; - Lorsque l'adresse IP destination est égale à une adresse IP de l'équipement de commutation et le port destination égal à un port de l'équipement de commutation, obtention d'un enregistrement comprenant l'adresse IP, le port de l'équipement de commutation associé à une adresse IP, un port d'un premier équipement et un port physique de l'équipement de commutation ; Obtaining the destination IP address and the destination port in a header of the data packet; - When the destination IP address is equal to an IP address of the switching equipment and the destination port equal to a port of the switching equipment, obtaining a record comprising the IP address, the port of the switching equipment associated with an IP address, a port of a first equipment and a physical port of the switching equipment;
- Lorsqu'un enregistrement a été trouvé, modification du paquet de données par remplacement de l'adresse IP de destination du paquet de données par l'adresse IP du premier équipement et remplacement du port source du paquet de données par le port du premier équipement; et - When a record has been found, modification of the data packet by replacing the destination IP address of the data packet with the IP address of the first device and replacement of the source port of the data packet with the port of the first device ; and
- Envoi du paquet modifié sur le port physique de l'équipement de commutation à destination du premier équipement. - Sending the modified packet on the physical port of the switching equipment to the first equipment.
Avec l'invention, un paquet d'un flux descendant comprenant une réponse à un flux montant émis par un équipement usurpateur de l'identité d'un autre équipement est systématiquement renvoyé vers l'équipement usurpateur, sans qu'aucune connaissance de la topologie ne soit requise. Grâce à cet effet « boomerang », l'invention fournit une solution pour protéger les équipements connectés à un réseau de communication contre une attaque de déni de service par usurpation d'identité. Contrairement aux solutions de filtrage de l'art antérieur, qui cherchent à prévenir les attaques, l'invention fait en sorte que le flux descendant émis en réponse à la requête de l'attaquant épargne la cible de l'attaque et soit réacheminée vers l'attaquant. With the invention, a packet of a downstream stream comprising a response to an upstream stream sent by a usurper device of the identity of another device is systematically returned to the usurper device, without any knowledge of the topology is required. Thanks to this “boomerang” effect, the invention provides a solution to protect the equipment connected to a communication network against a denial of service attack by identity theft. Unlike the filtering solutions of the prior art, which seek to prevent attacks, the invention ensures that the downward flow emitted in response to the attacker's request spares the target of the attack and is redirected towards the 'attacker.
Selon un aspect de l'invention, l'étape d'obtention d'un enregistrement comprend une étape de recherche dans une table de traduction d'adresses stockée dans une mémoire et, lorsqu'un enregistrement a été trouvé, une étape de lecture de l'adresse IP et du port modifiés dans ledit enregistrement. According to one aspect of the invention, the step of obtaining a record comprises a step of searching in an address translation table stored in a memory and, when a record has been found, a step of reading IP address and port changed in said record.
Si un enregistrement existe déjà, c'est qu'un paquet de données du même flux a déjà été traité, on réutilise le couple d'adresse IP/port modifiés. If a record already exists, it means that a data packet of the same stream has already been processed, the pair of modified IP address / port is reused.
Selon un autre aspect de l'invention, lorsqu'aucun enregistrement n'a été trouvé, le procédé comprend l'enregistrement dans une mémoire de ladite association. According to another aspect of the invention, when no record has been found, the method comprises recording in a memory of said association.
Par exemple, cet enregistrement est mémorisé dans une table, dite de translation ou de traduction d'adresses. For example, this record is stored in a table, called a translation or address translation table.
Selon encore un autre aspect de l'invention, le procédé de traitement d'un paquet de données comprend une étape de réception d'un message en provenance d'un équipement de contrôle de l'équipement de commutation, ledit message comprenant une adresse IP de l'équipement de commutation, un port de l'équipement de commutation et un port physique de l'équipement de commutation à associer à l'adresse IP source du premier équipement et au port source du premier équipement. According to yet another aspect of the invention, the method for processing a data packet comprises a step of receiving a message from a control equipment of the switching equipment, said message comprising an IP address equipment switching, a port of the switching equipment and a physical port of the switching equipment to be associated with the source IP address of the first equipment and with the source port of the first equipment.
Avantageusement, l'invention peut être mise en œuvre dans une architecture SDN, selon laquelle un équipement contrôleur descend des règles de traitement des paquets de données à l'équipement de commutation dont il a la charge. Advantageously, the invention can be implemented in an SDN architecture, according to which a controller equipment descends from the rules for processing data packets to the switching equipment for which it is responsible.
L’invention concerne également un dispositif de traitement d'un paquet de données adapté pour mettre en œuvre le procédé selon l’un quelconque des modes particuliers de réalisation définis ci- dessus. Ce dispositif de traitement pourra bien sûr comporter les différentes caractéristiques relatives au procédé de traitement d'un paquet de données selon l'invention. The invention also relates to a device for processing a data packet adapted to implement the method according to any one of the particular embodiments defined above. This processing device could of course include the various characteristics relating to the method of processing a data packet according to the invention.
Ainsi, un tel dispositif est au moins configuré pour : Thus, such a device is at least configured to:
- obtenir l'adresse IP source et du port source dans un en-tête du paquet de données ; - obtain the source IP address and the source port in a header of the data packet;
- Obtenir un port physique de l'équipement de commutation sur lequel est reçu le paquet de données en provenance du premier équipement ; - Obtain a physical port of the switching equipment on which the data packet from the first equipment is received;
- Obtenir un enregistrement comprenant l'adresse IP source, le port source et le port physique obtenus associés avec une adresse IP et un port de l'équipement de commutation choisi parmi une pluralité de ports de l'équipement de commutation non utilisés ; - Obtain a record comprising the source IP address, the source port and the physical port obtained associated with an IP address and a port of the switching equipment chosen from among a plurality of unused ports of the switching equipment;
- Modifier le paquet de données par remplacement de l'adresse IP source du paquet de données par l'adresse IP de l'équipement de commutation et remplacement du port source du paquet de données par le port choisi; et - Modify the data packet by replacing the source IP address of the data packet with the IP address of the switching equipment and replacing the source port of the data packet with the chosen port; and
- Emettre le paquet de données modifié. - Send the modified data packet.
Selon un autre aspect de l'invention, le dispositif est en outre configuré pour : According to another aspect of the invention, the device is further configured to:
- Recevoir un paquet de données appartenant à un flux de données descendant émis par le deuxième équipement terminal vers l'équipement de commutation à destination du premier équipement, le paquet de données comprenant une adresse IP source, un port source, une adresse IP destination et un port destination et, ledit dispositif est configuré pour : Receive a data packet belonging to a downstream data stream sent by the second terminal equipment to the switching equipment intended for the first equipment, the data packet comprising a source IP address, a source port, a destination IP address and a destination port and, said device is configured to:
- Obtenir l'adresse IP destination et du port destination dans un en-tête du paquet de données ; - Obtain the destination IP address and the destination port in a header of the data packet;
- Lorsque l'adresse IP destination est égale à une adresse IP de l'équipement de commutation et le port destination égal à un port de l'équipement de commutation, rechercher un enregistrement comprenant l'adresse IP et le port de l'équipement de commutation associé à une adresse IP, un port d'un premier équipement terminal et un port physique de l'équipement de commutation ; - When the destination IP address is equal to an IP address of the switching equipment and the destination port equal to a port of the switching equipment, search for a record comprising the IP address and the port of the switching equipment switching associated with an IP address, a port of a first terminal equipment and a physical port of the switching equipment;
- Lorsqu'un enregistrement a été trouvé, modifier le paquet de données par remplacement de l'adresse IP de destination du paquet de données par l'adresse IP source de l'équipement de commutation et remplacement du port source du paquet de données par le port source choisi; et - When a record has been found, modify the data packet by replacing the destination IP address of the data packet with the source IP address of the switching equipment and replacing the source port of the data packet with the source port chosen; and
- Envoyer le paquet modifié sur le port physique de l'équipement de commutation à destination du premier équipement. - Send the modified packet on the physical port of the switching equipment to the first equipment.
Selon un mode particulier de réalisation de l’invention, un tel dispositif de traitement est compris dans un équipement de commutation d'un réseau de télécommunications. According to a particular embodiment of the invention, such a processing device is included in switching equipment of a telecommunications network.
Corrélativement, l'invention concerne donc un équipement de commutation d'un réseau de communication apte à recevoir un paquet de données d'un flux de données émis par un premier équipement terminal à destination d'un deuxième équipement terminal, comprenant un dispositif de traitement d'un paquet de données selon l'invention.  Correlatively, the invention therefore relates to a switching equipment of a communication network capable of receiving a data packet of a data stream transmitted by a first terminal equipment intended for a second terminal equipment, comprising a processing device of a data packet according to the invention.
Avantageusement ledit équipement de commutation est apte à recevoir un paquet de données d'un flux de données émis par le deuxième équipement terminal à destination du premier équipement terminal et le dispositif de traitement d'un paquet de données est conforme à un mode de réalisation de l'invention. Advantageously, said switching equipment is able to receive a data packet from a data stream transmitted by the second terminal equipment intended for the first terminal equipment and the device for processing a data packet is in accordance with one embodiment of the invention.
L'invention concerne aussi un programme d'ordinateur comportant des instructions pour la mise en œuvre des étapes d'un procédé de traitement d'un paquet de données tel que décrit précédemment, lorsque ce programme est exécuté par un processeur. The invention also relates to a computer program comprising instructions for implementing the steps of a method for processing a data packet as described above, when this program is executed by a processor.
Ce programme peut utiliser n'importe quel langage de programmation. Il peut être téléchargé depuis un réseau de communication et/ou enregistré sur un support lisible par ordinateur. This program can use any programming language. It can be downloaded from a communication network and / or saved on a computer-readable medium.
L'invention se rapporte enfin à des supports d'enregistrement, lisibles par un processeur, intégrés ou non au dispositif de codage d'une image ou d'une séquence d'images et au dispositif de décodage selon l'invention, éventuellement amovible, mémorisant respectivement un programme d'ordinateur mettant en œuvre un procédé de traitement et un programme d'ordinateur mettant en œuvre un procédé de décodage, tel que décrits précédemment. 6. Liste des figures Finally, the invention relates to recording media, readable by a processor, integrated or not in the device for coding an image or a sequence of images and in the decoding device according to the invention, possibly removable, respectively storing a computer program implementing a processing method and a computer program implementing a decoding method, as described above. 6. List of figures
D'autres avantages et caractéristiques de l'invention apparaîtront plus clairement à la lecture de la description suivante d'un mode de réalisation particulier de l'invention, donné à titre de simple exemple illustratif et non limitatif, et des dessins annexés, parmi lesquels : la figure 1 illustre de façon schématique un premier exemple de réalisation de l'invention ; la figure 2 décrit de façon schématique les étapes d'un procédé de traitement d'un paquet de données issu d'un premier flux d'une communication émis par un premier équipement terminal à destination d'un deuxième équipement terminal selon l'invention ; la figure 3 décrit de façon schématique les étapes d'un procédé de traitement d'un paquet de données issu d'un deuxième flux de la communication entre le deuxième équipement terminal et le premier équipement terminal, selon l'invention ; la figure 4 illustre de façon schématique un deuxième exemple de réalisation de l'invention ; la figure 5 illustre de façon schématique un premier exemple de structure matérielle d'un dispositif de traitement d'un paquet de données, selon un mode de réalisation de l'invention ; et la figure 6 illustre de façon schématique un deuxième exemple de structure matérielle d'un dispositif de traitement d'un paquet de données, selon un mode de réalisation de l'invention. Other advantages and characteristics of the invention will appear more clearly on reading the following description of a particular embodiment of the invention, given by way of simple illustrative and nonlimiting example, and the appended drawings, among which : Figure 1 schematically illustrates a first embodiment of the invention; FIG. 2 schematically describes the steps of a method for processing a data packet originating from a first flow of a communication sent by a first terminal equipment intended for a second terminal equipment according to the invention; FIG. 3 schematically describes the steps of a method for processing a data packet originating from a second communication flow between the second terminal equipment and the first terminal equipment, according to the invention; Figure 4 schematically illustrates a second embodiment of the invention; FIG. 5 schematically illustrates a first example of a hardware structure of a device for processing a data packet, according to an embodiment of the invention; and FIG. 6 schematically illustrates a second example of a hardware structure of a device for processing a data packet, according to an embodiment of the invention.
7. Description d'un mode de réalisation particulier de l'invention 7. Description of a particular embodiment of the invention
Le principe général de l'invention repose sur la traduction du couple d'adresse IP/port source d'un paquet de données émis par un premier équipement à destination d'un deuxième équipement en un couple d'adresse IP/port modifié, de l'équipement de commutation et par l'enregistrement d'une association entre le couple source, le couple modifié et un port physique de l'équipement de commutation. The general principle of the invention is based on the translation of the pair of IP address / source port of a data packet transmitted by a first device intended for a second device into a pair of IP address / modified port, from the switching equipment and by recording an association between the source torque, the modified torque and a physical port of the switching equipment.
Dans la suite de la description, comme illustré par la Figure 1, on considère un réseau de télécommunications comprenant au moins un équipement de commutation SW1 (pour « switch », en anglais) apte à connecter un ou plusieurs équipements terminaux ET1, ET2 au réseau. On comprend que l'équipement de commutation constitue l'équipement d'accès au réseau pour les équipements terminaux ET1 et ET2. Un premier équipement client ET1, dit aussi équipement source, émet un flux de données montant FDM1 vers un deuxième équipement client ET2, dit équipement destination Ce flux montant fait partie d'une communication entre le premier et le deuxième équipements. Cette communication est définie par un quadruplet comprenant une adresse IP et un port du premier équipement, une adresse IP et un port du deuxième équipement. On notera que l'invention s'applique aussi bien à une communication avec ou sans connexion. In the following description, as illustrated in Figure 1, we consider a telecommunications network comprising at least one switching equipment SW1 (for "switch", in English) capable of connecting one or more terminal equipment ET1, ET2 to the network . It is understood that the switching equipment constitutes the network access equipment for the terminal equipment ET1 and ET2. A first client equipment ET1, also called source equipment, transmits an uplink data stream FDM1 to a second client equipment ET2, said destination equipment This uplink is part of a communication between the first and second equipment. This communication is defined by a quadruplet comprising an IP address and a port of the first device, an IP address and a port of the second device. It will be noted that the invention applies equally well to communication with or without connection.
Dans cet exemple, le premier équipement client ET1 est connecté au réseau RT par l'intermédiaire de l'équipement de commutation SW1. In this example, the first client equipment ET1 is connected to the network RT via the switching equipment SW1.
Le flux de données montant FDM émis par l'équipement terminal ET1 comprend plusieurs paquets de données DPI à DPM, avec M entier non nul. The upstream data stream FDM transmitted by the terminal equipment ET1 comprises several data packets DPI to DPM, with M non-zero integer.
On suppose que l'équipement terminal ET1 est un attaquant. Le flux de données montant FDM1 qu'il émet est destiné à déclencher l'émission par le deuxième équipement terminal ET2 d'un flux de données descendant vers un troisième équipement terminal ET3, dont le premier équipement terminal ET1 a usurpé l'identité. It is assumed that the terminal equipment ET1 is an attacker. The upstream data stream FDM1 that it transmits is intended to trigger the transmission by the second terminal equipment ET2 of a downward data flow towards a third terminal equipment ET3, the first terminal equipment ET1 of which has usurped the identity.
Ce troisième équipement terminal ET3 est connecté à l'équipement de commutation SW1. Il constitue donc la cible de l'attaque menée par l'équipement terminal ET1. This third terminal equipment ET3 is connected to the switching equipment SW1. It therefore constitutes the target of the attack carried out by the terminal equipment ET1.
Dans la suite de la description, on suppose que l'équipement de commutation SW1 est au moins apte à et configuré pour traiter les paquets de données de niveaux L2, L3 et L4 du modèle OSI (pour « Open System Interconnections », en anglais), ce qui correspond respectivement aux couches de liaison, de réseau et de transport. In the following description, it is assumed that the switching equipment SW1 is at least suitable for and configured to process the data packets of levels L2, L3 and L4 of the OSI model (for “Open System Interconnections”, in English) , which corresponds respectively to the link, network and transport layers.
En relation avec la Figure 2, on décrit un procédé de traitement d'un paquet de données DPi, avec i entier compris entre 1 et M, du flux FDM1 selon un mode de réalisation de l'invention. In connection with FIG. 2, a method of processing a data packet DPi, with i integer between 1 and M, of the stream FDM1 is described according to an embodiment of the invention.
Au cours d'une étape Tl, le paquet de donnée DPi est reçu par l'équipement de commutation SW1. During a step T1, the data packet DPi is received by the switching equipment SW1.
En T2, il obtient une adresse IP source @IPS, une adresse IP destination @IPD compris dans un en tête ajouté par la couche réseau et un port source PS, un port destination PD compris dans un en tête ajoutée par la couche transport du paquet de données DPi. Comme évoqué précédemment, l'adresse IP source est celle de l'équipement terminal cible ET3 @IPS=@IP3, usurpée par ET1. Il en est de même pour le port source PS=P3. L'adresse et le port de destination sont par exemple ceux d'un équipement serveur qui réalise un service. Par exemple, il s'agit d'un serveur DNS et le flux de données montant émis par ET3 est une requête DNS. Il est également possible de réaliser des attaques par amplification en utilisant un service de synchronisation temporelle, appelé communément NTP (pour « Network Time Protocol », en anglais), ou encore un service de gestion de réseau, appelé communément SNMP (pour «Simple Network Management Protocol », en anglais). In T2, it obtains a source IP address @IPS, a destination IP address @IPD included in a header added by the network layer and a source port PS, a destination port PD included in a header added by the transport layer of the packet DPi data. As mentioned above, the source IP address is that of the target terminal equipment ET3 @ IPS = @ IP3, usurped by ET1. The same is true for the source port PS = P3. The destination address and port are, for example, those of a server device which performs a service. For example, it is a DNS server and the amount data stream issued by ET3 is a DNS request. It is also possible to carry out amplification attacks using a time synchronization service, commonly known as NTP (for “Network Time Protocol”, in English), or even a network management service, commonly known as SNMP (for “Simple Network Management Protocol”, in English) .
En T3, il obtient un port physique PPsw de l'équipement de commutation SW1 sur lequel est reçu le paquet de données en provenance du premier équipement ET1. Cette information est connue au niveau de la couche L2. In T3, it obtains a physical port PPsw from the switching equipment SW1 on which the data packet from the first equipment ET1 is received. This information is known at the L2 level.
En T4, il obtient un enregistrement REC de l'adresse IP source et du port source obtenus associé avec le port physique de l'équipement de commutation, une adresse IP de l'équipement de commutation et un port choisi parmi une pluralité de ports de l'équipement de commutation non utilisés. A ce stade, deux cas sont envisagés : In T4, it obtains a REC record of the source IP address and of the source port obtained associated with the physical port of the switching equipment, an IP address of the switching equipment and a port chosen from a plurality of unused switching equipment. At this stage, two cases are considered:
L'enregistrement existe dans une mémoire locale ou distante de l'équipement de commutation SW1. Cela signifie que le paquet de données DPi n'est pas le premier du flux de données FDM 1. Cet enregistrement peut prendre la forme d'une ligne d'une table, dite de traduction d'adresses, qui associe à l'adresse IP source, le port source et le port physique PPSW1, une adresse IP @IPSW1, un port PSW1 de l'équipement de commutation SW1. L'étape T4 consiste alors en une lecture des informations enregistrées ; The record exists in a local or remote memory of the switching equipment SW1. This means that the DPi data packet is not the first in the FDM 1 data stream. This record can take the form of a row in a table, called address translation, which associates with the IP address. source, the source port and the physical port PPSW1, an IP address @ IPSW1, a port PSW1 of the switching equipment SW1. Step T4 then consists in reading the recorded information;
L'enregistrement n'existe pas et l'étape comprend l'obtention d'un couple d'adresse IP et de port de l'équipement de commutation SW1 et la création de l'enregistrement REC tel que précédemment décrit. The record does not exist and the step comprises obtaining a pair of IP address and port of the switching equipment SW1 and creating the record REC as previously described.
En T5, on modifie le paquet de données DPi en remplaçant son adresse IP source par l'adresse IP @IPSW1 de l'équipement de commutation et remplacement du port source du paquet de données par le port choisi PSW1. In T5, the DPi data packet is modified by replacing its source IP address with the IP address @ IPSW1 of the switching equipment and replacement of the source port of the data packet with the chosen port PSW1.
En T6, on émet le paquet de donnée DPim modifié. On comprend qu'on a généré ainsi un deuxième flux de données FDM2 entre l'équipement de commutation SW1 et l'équipement destination ET2. In T6, the modified DPim data packet is sent. It is understood that a second data stream FDM2 has thus been generated between the switching equipment SW1 and the destination equipment ET2.
Les étapes T0 à T6 du procédé sont répétées pour les autres paquets de données du flux montantThe steps T0 to T6 of the method are repeated for the other data packets of the uplink
FDM 1. FDM 1.
On suppose que le deuxième flux de données montant FDM2 est ensuite transmis par le réseau de télécommunications RT jusqu'à l'équipement destination ET3 = ESI, que cet équipement a traité la requête contenue dans le flux FDM2 et qu'il a émis en réponse un flux de données descendant FDD1. Il est donc destiné à l'équipement de commutation SW1. It is assumed that the second uplink data stream FDM2 is then transmitted by the telecommunications network RT to the destination equipment ET3 = ESI, that this equipment has processed the request contained in the flow FDM2 and that it has sent in response a downstream data stream FDD1. It is therefore intended for switching equipment SW1.
On considère en particulier un paquet de données DP'i de ce flux descendant. En relation avec la Figure 3, on décrit maintenant les étapes du procédé de traitement d'un tel paquet de données selon l'invention. We consider in particular a data packet DP'i of this downward flow. In relation to FIG. 3, the steps of the method for processing such a data packet according to the invention are now described.
En T7, le paquet de données DP'i est reçu par l'équipement de commutation SW1. En T8, il obtient l'adresse IP destination @IPD' et le port destination PD' dans un en-tête du paquet de données DPi'. In T7, the data packet DP'i is received by the switching equipment SW1. In T8, it obtains the destination IP address @IPD 'and the destination port PD' in a header of the data packet DPi '.
Lorsque l'adresse IP destination est égale à une adresse IP de l'équipement de commutation et le port destination égal à un port de l'équipement de commutation, par exemple lorsque @IPD' = @IPSW1 et PD'=PSW1, on recherche en T9 dans une mémoire locale ou distante de l'équipement SW1, un enregistrement comprenant cette adresse IP et ce port. Avantageusement, cet enregistrement correspond à une ligne d'une table dite de traduction de l'équipement de commutation SW1. When the destination IP address is equal to an IP address of the switching equipment and the destination port equal to a port of the switching equipment, for example when @IPD '= @ IPSW1 and PD' = PSW1, we search in T9 in a local or remote memory of the equipment SW1, a record comprising this IP address and this port. Advantageously, this record corresponds to a line of a so-called translation table of the switching equipment SW1.
Cette table peut être la même que celle utilisée pour le flux montant ou bien une table de traduction spécifique au flux descendant. Les éléments recherchés entre le flux montant et le flux descendant ne sont pas les mêmes. En effet dans le cas du flux montant on va rechercher dans la table une entrée contenant l'adresse IP source, le port source, et le port physique du switch sur lequel est reçu le paquet. Dans le cas descendant, on va rechercher une entrée contenant l'adresse IP de destination et le port de destination du paquet. Avoir deux tables distinctes peut être intéressant dans les systèmes tels que les bases de données relationnelles où les champs des entrées sont indexés. En effet dans la table des flux montants, les entrées indexées seront les champs : adresse IP source, port source, et port physique du switch alors que dans le cas du flux descendant, les entrées indexées seront les champs : IP de destination et port de destination.  This table can be the same as that used for the upstream flow or a translation table specific to the downward flow. The elements sought between the upward flow and the downward flow are not the same. Indeed, in the case of the uplink flow, we will search the table for an entry containing the source IP address, the source port, and the physical port of the switch on which the packet is received. In the descending case, we will look for an entry containing the destination IP address and the destination port of the packet. Having two separate tables can be interesting in systems such as relational databases where the fields of the entries are indexed. In fact, in the upstream table, the indexed entries will be the fields: source IP address, source port, and physical port of the switch, while in the downstream case, the indexed entries will be the fields: destination IP and port of destination.
Cet enregistrement associe à l'adresse IP @IPSW1 et au port PD'=PSW1 de l'équipement de commutation l'adresse IP @IPS et le port PS du premier équipement terminal ET1, et le port physique PPswi de l'équipement de commutation SW1;  This record associates with the IP address @ IPSW1 and with the port PD '= PSW1 of the switching equipment the IP address @IPS and the PS port of the first terminal equipment ET1, and the physical port PPswi of the switching equipment SW1;
Lorsqu'un enregistrement a été trouvé, le paquet de données DPi est modifié en T10 par remplacement de l'adresse IP de destination du paquet de données par l'adresse IP source @IPS =@IP3 et remplacement du port source du paquet de données par le port source PS = P3. When a record has been found, the DPi data packet is changed to T10 by replacing the destination IP address of the data packet with the source IP address @IPS = @ IP3 and replacing the source port of the data packet via the source port PS = P3.
Le paquet modifié DPim est transmis en Tll sur le port physique PPswi de l'équipement de commutation à destination du premier équipement ET1. De la sorte, le paquet de données est bien envoyé à l'équipement terminal ET1 qui a usurpé l'adresse IP et le port de l'équipement terminal ET3. The modified packet DP im is transmitted in Tll on the physical port PPswi of the switching equipment intended for the first equipment ET1. In this way, the data packet is sent to the terminal equipment ET1 which has usurped the IP address and the port of the terminal equipment ET3.
En effet on suppose que l'équipement terminal ET3 a préalablement établi une communication avec l'équipement terminal de destination ET2, par exemple en mode connecté, selon le protocole de communication TCP (pour « Transmission Control Protocol », en anglais), tel que spécifié dans la RFC 793 de l'IETF. Dans le modèle OSI, ce protocole appartient à la couche transport L4, intermédiaire de la couche réseau et de la couche session. Pour ce faire, il a émis un paquet de données de type TCP SYN à destination de l'équipement terminal ET2, avec le port source PS = 5000 et le port destination PD=80. Ce paquet de données appartient à un flux de données FDM1'. A réception de ce paquet de données, l'équipement de commutation SW1 a complété sa table de traduction d'adresses en créant un enregistrement REC3,2 = < @IPS = 192.168.1.2, PS = 5000, PPSW1 = 1, IPD = 192.168.2.1, PD = 6000>. In fact, it is assumed that the terminal equipment ET3 has previously established a communication with the destination terminal equipment ET2, for example in connected mode, according to the communication protocol TCP (for “Transmission Control Protocol”, in English), such as specified in IETF RFC 793. In the OSI model, this protocol belongs to the L4 transport layer, which is the intermediary of the network layer and the session layer. To do this, it sent a TCP SYN type data packet to the terminal equipment ET2, with the source port PS = 5000 and the destination port PD = 80. This data packet belongs to a data stream FDM1 '. On receipt of this data packet, the switching equipment SW1 has completed its address translation table by creating a record REC3,2 = <@IPS = 192.168.1.2, PS = 5000, PPSW1 = 1, IPD = 192.168 .2.1, PD = 6000>.
Lorsque l'équipement de commutation SW1 reçoit le paquet de données DPi du flux FDM1, il crée l'enregistrement REC1,2 = < @IPS = 192.168.1.2, PS = 5000, PPSW1 = 2, IPD = 192.168.2.1, PD = 6000> et émet un flux de données montant FDM2 vers l'équipement terminal ET2. When the switching equipment SW1 receives the data packet DPi from the stream FDM1, it creates the record REC1,2 = <@IPS = 192.168.1.2, PS = 5000, PPSW1 = 2, IPD = 192.168.2.1, PD = 6000> and sends an upstream data stream FDM2 to the terminal equipment ET2.
On comprend qu'avec l'invention, l'équipement de destination va établir deux connexions différentes avec l'équipement de commutation SW1 au lieu d'une seule. Grâce à l'association entre les adresses IP source et destination avec des ports physiques distincts de l'équipement de commutation SW1, les réponses à chacune des requêtes contenues dans le flux de données montants FDM1 et FDM1' seront redirigées vers l'équipement émetteur, c'est-à-dire l'équipement source légitime pour le premier flux FDM1' et l'équipement attaquant pour le second flux FDM1. It is understood that with the invention, the destination equipment will establish two different connections with the switching equipment SW1 instead of one. Thanks to the association between the source and destination IP addresses with physical ports distinct from the switching equipment SW1, the responses to each of the requests contained in the upstream data stream FDM1 and FDM1 'will be redirected to the sending equipment, that is to say the legitimate source equipment for the first flow FDM1 'and the attacking equipment for the second flow FDM1.
La solution ne permet donc pas de prévenir l'usurpation d'identité mais elle en évite les conséquences en retournant l'attaque de l'attaquant contre ce dernier. De la sorte, la portée de celle-ci se trouve réduite. En effet, dans le cadre d'une attaque par amplification perpétrée par l'attaquant, ce dernier recevra le trafic qu'il destinait à la cible. En outre, le DoS sera effectué sur l'attaquant ce qui aura pour effet de l'empêcher de nuire.  The solution therefore does not prevent identity theft but it avoids the consequences by reversing the attacker's attack against the latter. In this way, the scope thereof is reduced. Indeed, as part of an amplification attack perpetrated by the attacker, the latter will receive the traffic it intended for the target. In addition, the DoS will be performed on the attacker which will have the effect of preventing him from harming.
La solution qui vient d'être décrite peut s'appliquer dans n'importe quel équipement de commutation auquel sont connectés directement un ou plusieurs équipements terminaux. The solution which has just been described can be applied in any switching equipment to which one or more terminal devices are directly connected.
En relation avec la Figure 4, on décrit maintenant un autre exemple de mis en œuvre du procédé de traitement d'un paquet de données selon l'invention. Dans cet exemple, on suppose que le réseau de télécommunications RT est géré par une entité, qui peut être par exemple un opérateur, une entreprise ou un particulier. Il est organisé selon une architecture de type SDN (pour «Software Defined Network », en anglais) et qu'il comprend au moins un équipement de contrôle CT apte à contrôler un ou plusieurs équipements de commutation. Par simplicité, on a représenté un seul équipement de contrôle CT sur la Figure 4. In connection with FIG. 4, another example of implementation of the method for processing a data packet according to the invention will now be described. In this example, it is assumed that the telecommunications network RT is managed by an entity, which can for example be an operator, a company or an individual. It is organized according to an architecture of SDN type (for “Software Defined Network”, in English) and that it comprises at least one CT control equipment able to control one or more switching equipment. For simplicity, only one CT control equipment is shown in Figure 4.
Le concept SDN décrit une architecture de réseau présentant un plan de contrôle séparé du plan de données. Des équipements du plan de données tels que l'équipement de commutation 20 mettent en œuvre l'acheminement de paquets de données entre l'équipement de communication client ou source EC et l'équipement de communication serveur ou destination ES, tandis qu'un ou plusieurs équipement(s) de contrôle CT ou « contrôleur » du plan de contrôle gère(nt), programme(nt) et maintien(nen)t les équipements du plan de données. Un équipement de contrôle bénéficie d'une vue globale et détaillée sur tout ou partie du réseau. Il est hébergé sur une plateforme qui est logiquement centralisée mais peut aussi être physiquement distribuée. The SDN concept describes a network architecture presenting a control plane separate from the data plane. Data plane equipment such as the switching equipment 20 implements the routing of data packets between the client or source communication equipment EC and the server or destination communication equipment ES, while one or more several CT control equipment (s) or "controller" of the control plan manages (s), programs (s) and maintains (s) the data plan equipment. Control equipment has a global and detailed view of all or part of the network. It is hosted on a platform which is logically centralized but can also be physically distributed.
Le principal but du SDN est de réduire la complexité et les coûts élevés liés à l'hétérogénéité des applications et des équipements utilisés dans le réseau. Il s'appuie sur des protocoles standards qui permettent à différents équipements de communiquer. Le réseau est entièrement programmable par le biais des applications qui s'exécutent au niveau du contrôleur La gestion et l'implémentation de la politique réseau sont donc facilitées par la mise en œuvre du plan de contrôle. The main goal of SDN is to reduce the complexity and high costs associated with the heterogeneity of applications and equipment used in the network. It is based on standard protocols which allow different devices to communicate. The network is fully programmable through the applications that run at the controller level. The management and implementation of network policy is therefore facilitated by the implementation of the control plan.
On considère en particulier une norme appelée « OpenFlow » destinée à spécifier une interface standard, dite interface sud, entre le plan de contrôle et le plan de données. Un module d'interface IOF permet à l'équipement de contrôle 20 d'installer des règles de traitement dans les équipements de commutation SW1 et SW2 du plan de données. Ces règles implémentent le fonctionnement du plan de données tel que programmé par le plan de contrôle. We consider in particular a standard called "OpenFlow" intended to specify a standard interface, called southern interface, between the control plane and the data plane. An IOF interface module allows the control equipment 20 to install processing rules in the switching equipment SW1 and SW2 of the data plane. These rules implement the operation of the data plan as programmed by the control plan.
On notera toutefois que l'invention n'est pas limitée à OpenFlow et que l'utilisation d'un autre protocole au niveau de l'interface sud ne changerait pas le fonctionnement défini ici.  Note, however, that the invention is not limited to OpenFlow and that the use of another protocol at the level of the southern interface would not change the operation defined here.
On comprend que les équipements de commutation ne possèdent pas d'intelligence et que c'est le contrôleur SDN qui leur commande comment traiter un paquet de données reçu, par le biais d'une règle de traitement dédiée. Pour cela, chaque paquet pour lequel l'équipement de commutation n'a pas transmis de règle de traitement adaptée sera transmis au contrôleur. Pour ce faire, il est encapsulé dans un message appelé « packet-in ». En fonction du « packet-in » reçu, le contrôleur définit le traitement à appliquer par l'équipement de commutation au paquet courant, ainsi qu'à tout autre paquet des flux montant et descendant d'une même communication. Pour cela, l'équipement de contrôle transmettra des règles de traitement adaptées à l'équipement de commutation. It is understood that the switching equipment does not have intelligence and that it is the SDN controller which commands them how to process a received data packet, by means of a dedicated processing rule. For this, each packet for which the switching equipment has not transmitted an appropriate processing rule will be transmitted to the controller. To do this, it is encapsulated in a message called "packet-in". Depending on the packet-in received, the controller defines the processing to be applied by the switching equipment to the current packet, as well as to any another packet of the up and down streams of the same communication. For this, the control equipment will transmit processing rules adapted to the switching equipment.
L'architecture du réseau RT de la Figure 4 est donc composée de trois sous-réseaux au sein de l'entité. Ils sont associés aux adresses IP suivantes : 192.168.1.0/24, 192.168.2.0/24 et 192.168.3.0/24) . Les équipements de commutation SW1 et SW2 sont des équipements de niveau L2/L3/L4 tel que stipulé par le standard OpenFlow. Ils possèdent donc tous une table de routage en couche L3 pour relayer les paquets de données reçus vers le réseau de destination. On supposera que les tables de routages sont renseignées dans une table OpenFlow dite numéro 1 de chaque équipement de commutation. Le remplissage de cette table se fait de manière standardisée c'est-à- dire par l'exécution d'un protocole de routage normalisé tel que le protocole IS-IS (pour « Intermediate System to Intermediate System », en anglais) ou OSPF (pour « Open Shortest Path First », en anglais). The architecture of the RT network in Figure 4 is therefore composed of three subnetworks within the entity. They are associated with the following IP addresses: 192.168.1.0/24, 192.168.2.0/24 and 192.168.3.0/24). SW1 and SW2 switching equipment is L2 / L3 / L4 level equipment as stipulated by the OpenFlow standard. They therefore all have an L3 layer routing table for relaying the received data packets to the destination network. It will be assumed that the routing tables are entered in an OpenFlow table called number 1 of each switching equipment. The filling of this table is done in a standardized manner, that is to say by the execution of a standardized routing protocol such as the IS-IS protocol (for “Intermediate System to Intermediate System”, in English) or OSPF (for "Open Shortest Path First", in English).
On considère un premier équipement terminal ET1 connecté à l'équipement de commutation SW1 et un deuxième équipement terminal ET2 connecté à l'équipement de commutation SW2. Un troisième équipement terminal ET3 est lui aussi connecté à l'équipement de commutation SW2. Dans cet exemple l'équipement terminal ET3 de destination est un serveur DNS joignable sur Internet. Son rôle est de répondre aux requêtes DNS qui lui sont faites par des équipements terminaux sources. We consider a first terminal equipment ET1 connected to the switching equipment SW1 and a second terminal equipment ET2 connected to the switching equipment SW2. A third terminal equipment ET3 is also connected to the switching equipment SW2. In this example, the destination terminal equipment ET3 is a DNS server reachable on the Internet. Its role is to respond to DNS queries made to it by source terminal equipment.
Les requêtes DNS sont incluses dans des messages de communication conformes au protocole UDP (pour « User Datagram Protocol », en anglais) spécifié dans la RFC 768. Ce protocole s'appuie sur la couche transport du modèle OSI et appartient à la couche L4, comme TCP. Le rôle de ce protocole est de permettre la transmission de données (sous forme de datagrammes) de manière très simple entre deux entités, chacu ne étant définie par une adresse IP et u n numéro de port. UDP utilise un mode de transmission sans connexion. Aucune communication préalable n’est requise pour établir la connexion, au contraire de TCP qui utilise le procédé de « poignées de mains » (pour « handshaking », en anglais). DNS requests are included in communication messages conforming to the UDP protocol (for “User Datagram Protocol”, in English) specified in RFC 768. This protocol is based on the transport layer of the OSI model and belongs to the L4 layer, like TCP. The role of this protocol is to allow the transmission of data (in the form of datagrams) in a very simple way between two entities, each of which is defined by an IP address and a port number. UDP uses a connectionless transmission mode. No prior communication is required to establish the connection, unlike TCP which uses the "handshaking" process.
Classiquement, une requête DNS est émise à destination de l'adresse IP d'un équipement serveur DNS sur le port 53. A la réception d'une requête, le serveur DNS destinataire évalue le nom de domaine contenu dans la requête et renvoie une réponse contenant l'adresse IP correspondant à ce nom . Typically, a DNS request is sent to the IP address of a DNS server device on port 53. On receipt of a request, the recipient DNS server evaluates the domain name contained in the request and returns a response containing the IP address corresponding to this name.
Le service DNS est le moyen le plus utilisé pour réaliser des attaques par amplification. En effet, un grand nombre de serveurs DNS sont disponibles sur Internet et en accès libre. Ils sont généralement appelés « openresolvers ». L'attaque est donc particulièrement simplifiée. Cependant une telle attaque peut uniquement être initiée depuis le réseau de l'entité, car le pare-feu de l'entité en périphérie d'Internet supprime les réponses DNS qui ne sont pas liées à une requête initiée par une machine de l'entité. The DNS service is the most used means to carry out amplification attacks. In fact, a large number of DNS servers are available on the Internet and with free access. They are usually called "openresolvers". The attack is therefore particularly simplified. However, such an attack can only be initiated from the entity's network, because the entity's firewall on the edge of the Internet suppresses DNS responses that are not linked to a request initiated by a machine of the entity. .
De façon connue, les équipements de commutation SW1 et SW2 possèdent chacun deux tables : Une table de routage, dite table OpenFlow OF numéro 1 ; In known manner, the switching equipment SW1 and SW2 each have two tables: A routing table, called the OpenFlow OF table number 1;
Une table de règles, dite table OpenFlow OF numéro 0. Par défaut, cette table comprend une entrée ou enregistrement, appelée règle par défaut (pour « table miss », en anglais) qui prend la forme suivante : <Table_miss, Action = forward_to_controller> ;  A rules table, called OpenFlow OF table number 0. By default, this table includes an entry or record, called default rule (for “table miss”, in English) which takes the following form: <Table_miss, Action = forward_to_controller> ;
Dans un premier temps, nous décrivons le cas de l'émission d'une requête DNS par l'équipement terminal ET1, dans une situation normale, c'est-à-dire sans usurpation d'identité. ET1 émet une requête DNS contenue dans un message IP/UDP contenant les champs : <@IP_Source=@ETl = 192.168.1.2, @IP_destination=@ET3 = 80.0.0.1, Port_Source=5000, Port_destination=53>. First, we describe the case of the transmission of a DNS request by the terminal equipment ET1, in a normal situation, that is to say without identity theft. ET1 emits a DNS request contained in an IP / UDP message containing the fields: <@ IP_Source = @ ETl = 192.168.1.2, @ IP_destination = @ ET3 = 80.0.0.1, Port_Source = 5000, Port_destination = 53>.
A la réception de ce message par l'équipement de commutation SW1, l'entrée Table_Miss est exécutée, car SW1 ne dispose d'aucune autre règle de traitement de ce message. Le paquet est donc encapsulé dans un message packet-in qui est transmis au contrôleur CT. Selon l'invention, le contrôleur génère alors les règles OpenFlow suivantes et les envoie à l'équipement de commutation SW1 qui les ajoutera dans sa table OpenFlow numéro 0 : On reception of this message by the switching equipment SW1, the entry Table_Miss is executed, because SW1 has no other rule for processing this message. The packet is therefore encapsulated in a packet-in message which is transmitted to the CT controller. According to the invention, the controller then generates the following OpenFlow rules and sends them to the switching equipment SW1 which will add them to its OpenFlow table number 0:
1) Entry=< Match=<@IP_Source= 192.168.1.2, Port_Source=5000,Port_SWl=PPl>, Action =- s et _ field : 192.168.2.1->@IP_Source, set_field :6000->Port_Source, goto_table: 1}> 1) Entry = <Match = <@ IP_Source = 192.168.1.2, Port_Source = 5000, Port_SWl = PPl>, Action = - s and _ field: 192.168.2.1 -> @ IP_Source, set_field: 6000-> Port_Source, goto_table: 1 }>
2) Entry=<Match = <@IP_Destination = 192.168.2.1,Port_Destination=6000>,Action=-(set_fiel d : 192.168.1.2- >@IP_Destination,set_field : 5000- >Port_Desti nation, output: PPl}>.  2) Entry = <Match = <@IP_Destination = 192.168.2.1, Port_Destination = 6000>, Action = - (set_fiel d: 192.168.1.2-> @ IP_Destination, set_field: 5000-> Port_Desti nation, output: PPl}>.
La première règle est ajoutée afin de conserver la même traduction ou translation d'adresses pour l'ensemble des paquets d'un même flux émis par l'équipement terminal ET1 à destination de l'équipement serveur ET3. The first rule is added in order to keep the same translation or translation of addresses for all the packets of the same flow sent by the terminal equipment ET1 to the server equipment ET3.
On dit qu’un équipement de communication d'un réseau, tel qu'un routeur fait une traduction d'adresse réseau ou NAT (pour « Network Address Translation », en anglais) lorsqu'il fait correspondre des adresses IP à d'autres adresses IP. En particulier, un cas courant est de permettre à des machines disposant d'adresses qui font partie d'un intranet et ne sont ni uniques ni routables à l'échelle d'Internet, de communiquer avec le reste d'Internet en semblant utiliser des adresses externes uniques et routables. Ainsi, il est possible de faire correspondre une seule adresse externe publique visible sur Internet à toutes les adresses d'un réseau privé, afin de pallier l'épuisement des adresses IPv4 par exemple. Communication equipment on a network, such as a router, is said to do Network Address Translation (NAT) when it maps IP addresses to others. IP addresses. In particular, a common case is to allow machines with addresses that are part of an intranet and are neither unique nor routable Internet-wide, to communicate with the rest of the Internet by appearing to use unique, routable external addresses. Thus, it is possible to match a single public external address visible on the Internet to all the addresses of a private network, in order to compensate for the exhaustion of IPv4 addresses for example.
La règle 1 réalise non seulement une traduction d'adresse IP et de port (de niveau transport L4), mais aussi associe aux couples d'adresses traduits le port physique par lequel l'équipement de commutation SW1 a reçu le message de requête. Contrairement à une traduction d'adresse de type NAT-P qui permet de remplacer une adresse IP source et un port IP Source du paquet de données par une adresse IP source et un port IPSource de l'équipement de commutation, le numéro de port physique est essentiel dans la translation. En effet, si l'attaquant peut être connecté au même équipement de commutation SW1, c'est la connaissance de ce port physique qui permettra de différencier l'attaquant de la cible et donc de router les paquets de réponse vers l'attaquant. Rule 1 not only performs an IP address and port translation (at transport level L4), but also associates the translated address pairs with the physical port by which the switching equipment SW1 has received the request message. Unlike a NAT-P type address translation which replaces a source IP address and a Source IP port of the data packet with a source IP address and an IPSource port of the switching equipment, the physical port number is essential in translation. Indeed, if the attacker can be connected to the same switching equipment SW1, it is the knowledge of this physical port which will make it possible to differentiate the attacker from the target and therefore to route the response packets to the attacker.
L'exécution de la règle 1 conduit à l'enregistrement dans la table de routage de l'association entre le couple @ET1,PET1, @SW1, PSW1, PP1. The execution of rule 1 leads to the recording in the routing table of the association between the couple @ ET1, PET1, @ SW1, PSW1, PP1.
C'est donc grâce à cet enregistrement que l'équipement de commutation SW1 va identifier avec certitude que la provenance du paquet de données. Un mécanisme de translation d'adresse conventionnel est donc incapable de cela. It is therefore thanks to this recording that the switching equipment SW1 will identify with certainty that the source of the data packet. A conventional address translation mechanism is therefore incapable of this.
La règle 2 permet de gérer les paquets de données d'un message de réponse émis par le serveur DNS à destination de l'équipement ET1, dans le sens retour. En particulier, elle fait en sorte de rediriger les paquets de données sur le bon numéro de port de l'équipement de commutation SW1 et de remplacer les informations du message en réalisant l'opération inverse de la traduction d'adresses effectuée sur le message de requête. Rule 2 makes it possible to manage the data packets of a response message sent by the DNS server intended for the equipment ET1, in the return direction. In particular, it makes sure to redirect the data packets to the correct port number of the switching equipment SW1 and to replace the information of the message by carrying out the reverse operation of the address translation carried out on the message of request.
Le fait d'enregistrer le triplet <@IP_Source= 192.168.1.2, Port_Source=5000, Port_Sl = PPl > permet de garantir l'unicité de la correspondance au niveau de SW1 et de bien différencier un trafic d'attaque d'un trafic normal lorsque l'attaquant et la cible sont sur le même équipement de commutation. Saving the triplet <@ IP_Source = 192.168.1.2, Port_Source = 5000, Port_Sl = PPl> makes it possible to guarantee the uniqueness of the correspondence at SW1 level and to clearly differentiate attack traffic from normal traffic when the attacker and the target are on the same switching equipment.
On suppose maintenant que l'équipement terminal ET1 est la cible d'u ne attaque par amplification lancée par l'équipement terminal ET2. We now assume that the terminal equipment ET1 is the target of an amplification attack launched by the terminal equipment ET2.
Pour ce faire, ET2 émet une requête DNS portée par un message IP/UDP avec les mêmes paramètres que précédemment, c'est-à-dire qu'il usurpe l'adresse IP de la cible ET1 : <@IP_Source= 192.168.1.2, @IP_destination=80.0.0.1, Port_Source=5000, Port_destination=53> . A la réception d'un paquet de données de ce message, le contrôleur CT extrait des informations de du packet-in qui le contient et notamment le port physique PP par lequel l'équipement de commutation a reçu ce paquet. Il génère les règles OpenFlow suivantes et les envoie à l'équipement de commutation SW2 (celui auquel est connecté l'attaquant) qui les ajoutera dans sa table OpenFlow numéro 0 : To do this, ET2 issues a DNS request carried by an IP / UDP message with the same parameters as above, that is to say that it spoofs the IP address of the target ET1: <@ IP_Source = 192.168.1.2 , @ IP_destination = 80.0.0.1, Port_Source = 5000, Port_destination = 53>. On receipt of a data packet from this message, the controller CT extracts information from the packet-in which contains it and in particular the physical port PP by which the switching equipment received this packet. It generates the following OpenFlow rules and sends them to the switching equipment SW2 (the one to which the attacker is connected) which will add them to its OpenFlow table number 0:
1) Entry =< Match = <@IP_Source= 192.168.1.2, Port_Source=5000,Port_SW2=PPl>, Action ={set_field :@Internet_SW2->@IP_Source, set_field :7000->Port_Source, goto_table: 1}>1) Entry = <Match = <@ IP_Source = 192.168.1.2, Port_Source = 5000, Port_SW2 = PPl>, Action = {set_field: @ Internet_SW2 -> @ IP_Source, set_field: 7000-> Port_Source, goto_table: 1}>
2) Entry =< Match = <@IP_Destination=@Internet_S2, 2) Entry = <Match = <@ IP_Destination = @ Internet_S2,
Port_Destination =7000>, Action ={set_field : 192.168.1.2->@IP_Destination,  Port_Destination = 7000>, Action = {set_field: 192.168.1.2 -> @ IP_Destination,
set_field : 5000- >Port_Desti nation, output: PPl}>  set_field: 5000-> Port_Desti nation, output: PPl}>
Les deux entrées ont le même rôle que précédemment décrit. On suppose ici que le contrôleur est capable de déduire que le message reçu est un message externe à l'entité donc qu'il peut commander à l'équipement de commutation de remplacer l'adresse IP_Source de l'en-tête du paquet de données par sa propre adresse IP publique. The two entries have the same role as previously described. It is assumed here that the controller is able to deduce that the message received is a message external to the entity, therefore that it can order the switching equipment to replace the IP_Source address of the header of the data packet. by its own public IP address.
Dans un tel cas, la réponse de la requête usurpée est bien acheminée par le réseau de télécommunications RT vers l'attaquant et non la cible. L'invention ne prévient pas l'attaque mais la désamorce en redirigeant le trafic généré par cette attaque vers l'attaquant. In such a case, the response of the spoofed request is indeed routed by the telecommunications network RT towards the attacker and not the target. The invention does not prevent the attack but defuses it by redirecting the traffic generated by this attack to the attacker.
L'invention qui vient d'être décrite dans ses différents modes de réalisation repose donc sur la translation du couple (@IPs, Ps) vers un couple (@IPsw, Psw) de l'équipement de commutation, qui met en œuvre l'invention. Le port de la couche transport étant codé sur 16 bits, ceci permet de couvrir 216 translations possibles par adresse IP à disposition de l'équipement de commutation. Ce nombre limité peut toutefois s'avérer insuffisant pour pouvoir les traiter tous les flux reçus simultanément par l'équipement de commutation. The invention which has just been described in its various embodiments therefore rests on the translation of the torque (@IPs, Ps) towards a couple (@IPsw, Psw) of the switching equipment, which implements the invention. The port of the transport layer being coded on 16 bits, this makes it possible to cover 2 16 possible translations per IP address available to the switching equipment. This limited number may however prove to be insufficient to be able to process all the flows received simultaneously by the switching equipment.
Une solution simple pour augmenter le nombre d'entrées dans la table de translation d'adresses est de mettre à disposition de l'équipement de commutation une plage d'adresses IP plutôt qu'une seule. Si l'équipement de commutation dispose de N adresses IP, avec N entier non nul supérieur à 1, sa table de traduction d'adresses pourra contenir Nx216 entrées différentes. A simple solution for increasing the number of entries in the address translation table is to provide the switching equipment with a range of IP addresses rather than just one. If the switching equipment has N IP addresses, with N non-zero integer greater than 1, its address translation table may contain Nx2 16 different entries.
Du fait que l'invention a pour principe de rediriger le trafic induit par l'attaque sur l'attaquant lui- même, une conséquence est que ce trafic traverse le réseau et génère une charge de traitement. Une propagation de l'attaque par effet cascade pourrait donc avoir lieu au sein du réseau. En effet, des équipements de commutation pourraient être au moins partiellement saturés par le trafic d'attaque qui les traverse. Il en résulterait, que bien que l'attaque n'atteigne pas la cible visée par l'attaquant et ne parvienne pas à la rendre inopérante, l'attaque pourrait nuire au bon fonctionnement du réseau de télécommunications par effet rebond, s'il n'est pas capable d'absorber le trafic d'attaque. Cette dernière peut voir ces possibilités de communication réduite du fait de l'incapacité d'absorption du trafic d'attaque par le réseau. Because the invention has the principle of redirecting the traffic induced by the attack to the attacker himself, one consequence is that this traffic crosses the network and generates a processing load. A propagation of the attack by cascade effect could therefore take place within the network. Indeed, switching equipment could be at least partially saturated by traffic of attack crossing them. As a result, although the attack does not reach the attacker's intended target and cannot make it ineffective, the attack could affect the proper functioning of the telecommunications network by rebound, if it is unable to absorb attack traffic. The latter may see these communication possibilities reduced due to the inability to absorb attack traffic by the network.
Avantageusement, afin de protéger le réseau de télécommunications et éviter de mettre en péril son architecture, une solution est de mettre en place un mécanisme de sécurité qui limite le trafic entrant de sorte qu'il n'atteigne pas la capacité en bande passante du réseau RT. Par exemple, un mécanisme de seuillage sur l'équipement du réseau de l'entité en connexion avec Internet sera installé. Lorsque pour une communication donnée, le trafic dépasse le seuil fixé, une partie ou la totalité des paquets de données peut être supprimée. Par exemple, un mécanisme dit du « seau percé » (« leaky ou token-bucket » en anglais), connu de l'homme de métier, est tout à fait adapté à réaliser un seuillage ciblé. Ainsi le seuil peut être lié à la bande passante d'un flux. Au-delà d'une certaine bande passante, les paquets excédant cette bande passante se verront supprimées. Avantageusement, le seuil peut être défini manuellement par l'administrateur ou dynamiquement en fonction de la charge supportée par l'équipement réseau de l'entité. Advantageously, in order to protect the telecommunications network and avoid jeopardizing its architecture, one solution is to set up a security mechanism which limits the incoming traffic so that it does not reach the bandwidth capacity of the network. RT. For example, a thresholding mechanism on the equipment of the entity's network in connection with the Internet will be installed. When, for a given communication, the traffic exceeds the set threshold, some or all of the data packets can be dropped. For example, a mechanism known as a “leaky bucket”, known to those skilled in the art, is entirely suitable for carrying out targeted thresholding. Thus the threshold can be linked to the bandwidth of a stream. Beyond a certain bandwidth, packets exceeding this bandwidth will be deleted. Advantageously, the threshold can be defined manually by the administrator or dynamically as a function of the load borne by the network equipment of the entity.
L'invention qui vient d'être présentée est particulièrement efficace dans le cadre des attaques par amplification, c'est-à-dire lorsque le service est distribué et asymétrique (c'est-à-dire que la charge dans le sens serveur->client est bien plus importante que dans le sens client->serveur) et extérieur à l'entité. The invention which has just been presented is particularly effective in the context of amplification attacks, that is to say when the service is distributed and asymmetrical (that is to say that the load in the server direction- > client is much more important than in the client-> server direction) and outside the entity.
On notera que l'invention qui vient d'être décrite, peut être mise en œuvre au moyen de composants logiciels et/ou matériels. Dans cette optique, les termes « module » et « entité », utilisés dans ce document, peuvent correspondre soit à un composant logiciel, soit à un composant matériel, soit encore à un ensemble de composants matériels et/ou logiciels, aptes à mettre en œuvre la ou les fonctions décrites pour le module ou l'entité concerné(e). It will be noted that the invention which has just been described, can be implemented by means of software and / or hardware components. In this perspective, the terms "module" and "entity", used in this document, can correspond either to a software component, or to a hardware component, or even to a set of hardware and / or software components, capable of implementing performs the function or functions described for the module or entity concerned.
En relation avec la Figure 5, on présente maintenant la structure simplifiée d'un dispositif de traitement 100 adapté pour mettre en œuvre le procédé selon l’un quelconque des modes particuliers de réalisation de l’invention qui viennent d'être décrit en relation avec les figures 1 à 4. In relation to FIG. 5, we now present the simplified structure of a processing device 100 adapted to implement the method according to any one of the particular embodiments of the invention which have just been described in relation to Figures 1 to 4.
Le dispositif 100 est adapté pour traiter un paquet de données, émis par un premier équipement terminal à destination d'un deuxième équipement terminal.  The device 100 is adapted to process a data packet, transmitted by a first terminal equipment intended for a second terminal equipment.
Le dispositif de traitement 100 est notamment configuré pour:  The processing device 100 is notably configured to:
Obtenir l'adresse IP source et le port source dans un en-tête du paquet de données ; Obtenir un port physique de l'équipement de commutation sur lequel est reçu le paquet de données en provenance du premier équipement ; Obtain the source IP address and the source port in a header of the data packet; Obtaining a physical port of the switching equipment on which the data packet from the first equipment is received;
Obtenir un enregistrement de l'adresse IP source et du port source obtenus associé avec le port physique de l'équipement de commutation, une adresse IP de l'équipement de commutation et un port choisi parmi une pluralité de ports de l'équipement de commutation non utilisés ; Obtain a record of the obtained source IP address and source port associated with the physical port of the switching equipment, an IP address of the switching equipment and a port selected from a plurality of ports of the switching equipment. not used;
Modifier le paquet de données par remplacement de l'adresse IP source du paquet de données par l'adresse IP de l'équipement de commutation et remplacement du port source du paquet de données par le port choisi; Modify the data packet by replacing the source IP address of the data packet with the IP address of the switching equipment and replacing the source port of the data packet with the chosen port;
Emettre le paquet de données modifié. Send the modified data packet.
Selon l'invention, sur réception d'un paquet de données appartenant à un flux de données descendant émis par le deuxième équipement vers l'équipement de commutation à destination du premier équipement, le paquet de données comprenant une adresse IP source, un port source, une adresse IP destination et un port destination et, le dispositif est configuré pour : According to the invention, on reception of a data packet belonging to a downward data stream sent by the second equipment to the switching equipment intended for the first equipment, the data packet comprising a source IP address, a source port , a destination IP address and a destination port and, the device is configured to:
Obtenir l'adresse IP destination et le port destination dans un en-tête du paquet de données ; Obtain the destination IP address and the destination port in a header of the data packet;
Lorsque l'adresse IP destination est égale à une adresse IP de l'équipement de commutation et le port destination égal à un port de l'équipement de commutation, rechercher un enregistrement comprenant l'adresse IP, le port de l'équipement de commutation associé à une adresse IP, un port d'un premier équipement et un port physique de l'équipement de commutation ; When the destination IP address equals an IP address of the switching equipment and the destination port equals a port of the switching equipment, search for a record including the IP address, the port of the switching equipment associated with an IP address, a port of a first device and a physical port of the switching equipment;
Lorsqu'un enregistrement a été trouvé, modifier le paquet de données par remplacement de l'adresse IP de destination du paquet de données par l'adresse IP du premier équipement et remplacer le port source du paquet de données par le port du premier équipement; et When a record has been found, modify the data packet by replacing the destination IP address of the data packet with the IP address of the first device and replace the source port of the data packet with the port of the first device; and
Envoyer le paquet modifié sur le port physique de l'équipement de commutation à destination du premier équipement. Send the modified packet on the physical port of the switching equipment to the first equipment.
Selon un mode particulier de réalisation de l’invention illustré par la Figure 5, le dispositif de traitement 100 a l’architecture classique d’un ordinateur et comprend notamment, une unité de traitement 110, équipée d'un processeur pi, et pilotée par un programme d'ordinateur Pgi 120, stocké dans une mémoire 130 et mettant en œuvre le procédé de selon l'invention. A l'initialisation, les instructions de code du programme d'ordinateur Pgi 120 sont par exemple chargées dans une mémoire RAM MEM1 avant d'être exécutées par le processeur de l'unité de traitement 110. Le processeur de l'unité de traitement 110 met en œuvre les étapes du procédé décrit précédemment, selon les instructions du programme d'ordinateur 120. According to a particular embodiment of the invention illustrated in FIG. 5, the processing device 100 has the conventional architecture of a computer and comprises in particular, a processing unit 110, equipped with a processor pi, and controlled by a Pgi computer program 120, stored in a memory 130 and implementing the method according to the invention. On initialization, the code instructions of the Pgi computer program 120 are for example loaded into a memory RAM MEM1 before being executed by the processor of the processing unit 110. The processor of the processing unit 110 implements the steps of the method described above, according to the instructions of the computer program 120.
Selon un autre mode particulier de réalisation de l'invention illustré par la Figure 6, le procédé de codage est mis en œuvre par des modules fonctionnels. Pour cela, le dispositif de codage 100 comprend au moins les modules fonctionnels suivants : According to another particular embodiment of the invention illustrated in FIG. 6, the coding method is implemented by functional modules. For this, the coding device 100 comprises at least the following functional modules:
Un module d'obtention (OBT. @IPS, PS) de l'adresse IP source et du port source dans un en-tête du paquet de données ;  A module for obtaining (OBT. @IPS, PS) the source IP address and the source port in a header of the data packet;
Un module d'obtention (OBT. PPSW) d'un port physique de l'équipement de commutation sur lequel est reçu le paquet de données en provenance du premier équipement ; A module for obtaining (OBT. PPSW) a physical port of the switching equipment on which the data packet from the first equipment is received;
Un module d'obtention (OBT. Rec) d'un enregistrement de l'adresse IP source et du port source obtenus associé avec le port physique de l'équipement de commutation, une adresse IP de l'équipement de commutation et un port choisi parmi une pluralité de ports de l'équipement de commutation non utilisés ; A module for obtaining (OBT. Rec) a record of the source IP address and the source port obtained associated with the physical port of the switching equipment, an IP address of the switching equipment and a chosen port from a plurality of unused switching equipment ports;
Un module de modification (MOD. DP) du paquet de données par remplacement de l'adresse IP source du paquet de données par l'adresse IP de l'équipement de commutation et remplacement du port source du paquet de données par le port choisi; et A modification module (MOD. DP) of the data packet by replacing the source IP address of the data packet with the IP address of the switching equipment and replacing the source port of the data packet with the chosen port; and
Un module d'émission (SEND DPm) du paquet de données modifié. A transmission module (SEND DPm) of the modified data packet.
Selon un aspect de l'I'invention, sur réception d'un paquet de données appartenant à un flux de données descendant émis par le deuxième équipement vers l'équipement de commutation à destination du premier équipement, le paquet de données comprenant une adresse IP source, un port source, une adresse IP destination et un port destination et, le dispositif comprend les modules suivants : According to one aspect of the invention, on reception of a data packet belonging to a downward data stream transmitted by the second equipment to the switching equipment intended for the first equipment, the data packet comprising an IP address source, a source port, a destination IP address and a destination port and, the device includes the following modules:
Obtention de l'adresse IP destination et du port destination dans un en-tête du paquet de données ; Obtaining the destination IP address and the destination port in a header of the data packet;
Lorsque l'adresse IP destination est égale à une adresse IP de l'équipement de commutation et le port destination égal à un port de l'équipement de commutation, recherche d'un enregistrement comprenant l'adresse IP, le port de l'équipement de commutation associé à une adresse IP, un port d'un premier équipement et un port physique de l'équipement de commutation ; When the destination IP address is equal to an IP address of the switching equipment and the destination port equal to a port of the switching equipment, search for a record comprising the IP address, the port of the equipment of switching associated with an IP address, a port of a first device and a physical port of the switching device;
Lorsqu'un enregistrement a été trouvé, modification du paquet de données par remplacement de l'adresse IP de destination du paquet de données par l'adresse IP du premier équipement et remplacement du port source du paquet de données par le port du premier équipement; et When a record has been found, modifying the data packet by replacing the destination IP address of the data packet with the IP address of the first device and replacing the source port of the data packet with the port of the first device; and
Envoi du paquet modifié sur le port physique de l'équipement de commutation à destination du premier équipement. Sending the modified packet on the physical port of the switching equipment to the first equipment.
Le dispositif 100 comprend en outre une mémoire Ml de stockage des enregistrements, par exemple dans une ou plusieurs tables de traduction d'adresses.  The device 100 further comprises a memory M1 for storing the records, for example in one or more address translation tables.
Ces unités sont pilotées par le processeur mΐ de l'unité de traitement 110. These units are controlled by the processor mΐ of the processing unit 110.
L’unité de traitement 110 coopère avec les différents modules fonctionnels décrits ci-dessus et les mémoires MEM1 et Ml afin de mettre en œuvre les étapes du procédé de traitement. Les différents modules fonctionnels décrits ci-dessus peuvent être sous forme matérielle et/ou logicielle. Sous une forme logicielle, un tel module fonctionnel peut comprendre un processeur, une mémoire et des instructions de code de programme pour mettre en œuvre la fonction correspondante au module lorsque les instructions de code sont exécutées par le processeur. Sous une forme matérielle, un tel module fonctionnel peut mis en œuvre par tout type de circuits d’encodage adaptés, tels que par exemple et de manière non limitative des microprocesseurs, des processeurs de traitement du signal (DSP pour Digital Signal Processor en anglais), des circuits intégrés spécifiques à des applications (ASICs pour « Application Spécifie Integrated Circuit » en anglais), des circuits FPGA (pour « Field Programmable Gâte Arrays » en anglais), un câblage d’unités logiques. The processing unit 110 cooperates with the different functional modules described above and the memories MEM1 and Ml in order to implement the steps of the processing method. The different functional modules described above can be in hardware and / or software. In software form, such a functional module can comprise a processor, a memory and program code instructions for implementing the function corresponding to the module when the code instructions are executed by the processor. In hardware form, such a functional module can be implemented by any type of suitable encoding circuits, such as for example and without limitation microprocessors, signal processing processors (DSP for Digital Signal Processor in English) , application-specific integrated circuits (ASICs for “Application Specifies Integrated Circuit” in English), FPGA circuits (for “Field Programmable Gate Arrays” in English), wiring of logic units.
De façon avantageuse, un tel dispositif 100 peut être intégré à un équipement de commutation. Le dispositif 100 est alors agencé pour coopérer au moins avec le module suivant de l'équipement de commutation :  Advantageously, such a device 100 can be integrated into switching equipment. The device 100 is then arranged to cooperate at least with the following module of the switching equipment:
un module E/R d'émission/réception de données, par l'intermédiaire duquel les paquets de données sont reçus ou émis via un réseau de télécommunications RT.  a data transmission / reception E / R module, via which the data packets are received or transmitted via a telecommunications network RT.
L'invention qui vient d'être présentée présente de nombreux avantages. En effet, le fonctionnement modifié d'un équipement de commutation qu'elle propose permet de garantir les 5 propriétés suivantes : 1) Etre dynamique : la méthode apprend le trafic émis et sait quel trafic est attendu. Aucune intervention humaine n'est requise ; The invention which has just been presented has numerous advantages. Indeed, the modified operation of a switching equipment which it offers makes it possible to guarantee the following 5 properties: 1) Be dynamic: the method learns the traffic sent and knows what traffic is expected. No human intervention is required;
2) Ne pas dépendre d'une connaissance de la topologie partielle : l'invention est indépendante de la connaissance de la topologie du réseau. En effet, la solution ne filtre nullement les paquets de données. Elle s'assure que les messages entrants qui constituent une réponse aux messages sortants émis par un équipement terminal, lui parviennent en retour. Notre méthode est donc indépendante de cette connaissance ;  2) Do not depend on knowledge of the partial topology: the invention is independent of knowledge of the network topology. Indeed, the solution in no way filters the data packets. It ensures that the incoming messages which constitute a response to the outgoing messages sent by a terminal equipment, reach it in return. Our method is therefore independent of this knowledge;
3) Ne pas dépendre d'un autre service : elle ne repose sur aucun service tiers pour garantir la sécurité d'équipements appartenant à une même entité. La sécurité de la solution ne peut donc être remise en cause par les problèmes de sécurité d'un service tiers. Peu importe les services déployés au sein du réseau, et leur sécurisation, la méthode préviendra l'usurpation d'identité au sein de l'entité ;  3) Do not depend on another service: it does not rely on any third-party service to guarantee the security of equipment belonging to the same entity. The security of the solution cannot therefore be called into question by the security problems of a third-party service. Regardless of the services deployed within the network, and their security, the method will prevent identity theft within the entity;
4) Etre générique : l'invention fonctionne également de façon générique, c'est-à-dire pour tout trafic qui est identifié par un quadruplet <IP Source, Port Source, IP destination, Port destination> ce qui est le cas pour l'ensemble des communications actuelles, peu importe le protocole de la couche transport ;  4) Being generic: the invention also works in a generic way, that is to say for all traffic which is identified by a quadruplet <IP Source, Port Source, IP destination, Port destination> which is the case for l all current communications, regardless of the transport layer protocol;
5) Ne pas avoir d'impact sur les métriques du service (latence, bande passante...) : l'invention est totalement indépendante d'un service tiers et le traitement se fait au plus proche de l'entité émettrice. Elle n'ajoute donc aucun surcoût au transit d'un paquet de données entre sa source et sa destination.  5) Have no impact on the metrics of the service (latency, bandwidth, etc.): the invention is completely independent of a third-party service and processing is carried out as close as possible to the sending entity. It therefore does not add any additional cost to the transit of a data packet between its source and its destination.
Il va de soi que les modes de réalisation qui ont été décrits ci-dessus ont été donnés à titre purement indicatif et nullement limitatif, et que de nombreuses modifications peuvent être facilement apportées par l'homme de l'art sans pour autant sortir du cadre de l'invention. It goes without saying that the embodiments which have been described above have been given for purely indicative and in no way limitative, and that numerous modifications can be easily made by those skilled in the art without departing from the scope. of the invention.

Claims

REVENDICATIONS
1. Procédé de traitement d'un paquet de données reçu par un équipement de commutation d'un réseau de télécommunications, le paquet de données comprenant une adresse IP source, un port source, une adresse IP destination et un port destination et appartenant à un flux de données, dit montant, émis par un premier équipement vers un deuxième équipement, caractérisé en ce que le procédé comprend les étapes suivantes :  1. Method for processing a data packet received by a switching equipment of a telecommunications network, the data packet comprising a source IP address, a source port, a destination IP address and a destination port and belonging to a data stream, said amount, sent by a first device to a second device, characterized in that the method comprises the following steps:
Obtention (T2) de l'adresse IP source et du port source dans un en-tête du paquet de données ; Obtaining (T2) the source IP address and the source port in a header of the data packet;
Obtention (T3) d'un port physique de l'équipement de commutation sur lequel est reçu le paquet de données en provenance du premier équipement ;  Obtaining (T3) a physical port of the switching equipment on which the data packet from the first equipment is received;
- Obtention (T4) d'un enregistrement comprenant l'adresse IP source, le port source et le port physique de l'équipement de commutation obtenus, associés avec une adresse IP et un port de l'équipement de commutation choisi parmi une pluralité de ports de l'équipement de commutation non utilisés ; - Obtaining (T4) a record comprising the source IP address, the source port and the physical port of the switching equipment obtained, associated with an IP address and a port of the switching equipment chosen from among a plurality of unused switching equipment ports;
Modification (T5) du paquet de données par remplacement de l'adresse IP source du paquet de données par l'adresse IP de l'équipement de commutation et remplacement du port source du paquet de données par le port choisi; et Modification (T5) of the data packet by replacing the source IP address of the data packet with the IP address of the switching equipment and replacing the source port of the data packet with the chosen port; and
Emission (T6) du paquet de données modifié vers le deuxième équipement. Transmission (T6) of the modified data packet to the second device.
2. Procédé de traitement d'un paquet de données, selon la revendication 1, caractérisé en ce que, sur réception (T7) d'un paquet de données appartenant à un flux de données, dit descendant, émis par le deuxième équipement vers l'équipement de commutation à destination du premier équipement, le paquet de données comprenant une adresse IP source, un port source, une adresse IP destination et un port destination et, ledit procédé comprenant les étapes suivantes : 2. Method for processing a data packet, according to claim 1, characterized in that, on reception (T7) of a data packet belonging to a data stream, said to be descending, transmitted by the second equipment to the switching equipment intended for the first equipment, the data packet comprising a source IP address, a source port, a destination IP address and a destination port and, said method comprising the following steps:
Obtention (T8) de l'adresse IP destination et du port destination dans un en-tête du paquet de données ; Obtaining (T8) the destination IP address and the destination port in a header of the data packet;
Lorsque l'adresse IP destination est égale à une adresse IP de l'équipement de commutation et le port destination égal à un port de l'équipement de commutation, obtention (T9) d'un enregistrement comprenant l'adresse IP, le port de l'équipement de commutation associé à une adresse IP, un port d'un premier équipement et un port physique de l'équipement de commutation ; Lorsqu'un enregistrement a été trouvé, modification (T10) du paquet de données par remplacement de l'adresse IP de destination du paquet de données par l'adresse IP du premier équipement et remplacement du port source du paquet de données par le port du premier équipement; et When the destination IP address is equal to an IP address of the switching equipment and the destination port equal to a port of the switching equipment, obtaining (T9) a record comprising the IP address, the port of the switching equipment associated with an IP address, a port of first equipment and a physical port of the switching equipment; When a record has been found, modification (T10) of the data packet by replacing the destination IP address of the data packet with the IP address of the first device and replacing the source port of the data packet with the port of the first equipment; and
Envoi (Tll) du paquet modifié sur le port physique de l'équipement de commutation à destination du premier équipement. Sending (Tll) of the modified packet on the physical port of the switching equipment to the first equipment.
3. Procédé de traitement d'un paquet de données selon la revendication 1 ou 2, caractérisé en ce que l'étape d'obtention d'un enregistrement comprend une étape de recherche dans une table de traduction d'adresses stockée dans une mémoire et en ce que, lorsqu'un enregistrement a été trouvé, une étape de lecture de l'adresse IP et du port modifiés dans ledit enregistrement. 3. Method for processing a data packet according to claim 1 or 2, characterized in that the step of obtaining a record comprises a step of searching in an address translation table stored in a memory and in that, when a record has been found, a step of reading the IP address and the port modified in said record.
4. Procédé de traitement d'un paquet de données selon la revendication 1, caractérisé en ce que, lorsqu'aucun enregistrement n'a été trouvé, le procédé comprend l'enregistrement dans une mémoire de ladite association. 4. Method for processing a data packet according to claim 1, characterized in that, when no record has been found, the method comprises recording in a memory of said association.
5. Procédé de traitement d'un paquet de données selon la revendication 4, caractérisé en ce qu'il comprend une étape de réception d'un message en provenance d'un équipement de contrôle de l'équipement de commutation, ledit message comprenant une adresse IP de l'équipement de commutation, un port de l'équipement de commutation et un port physique de l'équipement de commutation à associer à l'adresse IP source du premier équipement et au port source du premier équipement. 5. A method of processing a data packet according to claim 4, characterized in that it comprises a step of receiving a message from a control equipment of the switching equipment, said message comprising a IP address of the switching equipment, a port of the switching equipment and a physical port of the switching equipment to be associated with the source IP address of the first equipment and the source port of the first equipment.
6 Dispositif (100) de traitement d'un paquet de données reçu par un équipement de commutation d'un réseau de télécommunications, le paquet de données comprenant une adresse IP source, un port source, une adresse IP destination et un port destination et appartenant à un flux de données, dit montant, émis par un premier équipement vers un deuxième équipement, caractérisé en ce qu'il est configuré pour : 6 Device (100) for processing a data packet received by a switching equipment of a telecommunications network, the data packet comprising a source IP address, a source port, a destination IP address and a destination port and belonging to to a data stream, said amount, sent by a first device to a second device, characterized in that it is configured for:
Obtenir (OBT. @IPS, PS) l'adresse IP source et le port source dans un en-tête du paquet de données ; Obtain (OBT. @IPS, PS) the source IP address and the source port in a header of the data packet;
Obtenir (OBT. PPSW) un port physique de l'équipement de commutation sur lequel est reçu le paquet de données en provenance du premier équipement ; Obtain (OBT. PPSW) a physical port of the switching equipment on which the data packet from the first equipment is received;
- Obtenir (OBT. Rec) un enregistrement comprenant l'adresse IP source, le port source et le port physique de l'équipement de commutation obtenus, associés avec une adresse IP et un port de l'équipement de commutation choisi parmi une pluralité de ports de l'équipement de commutation non utilisés ; - Obtain (OBT. Rec) a record comprising the source IP address, the source port and the physical port of the switching equipment obtained, associated with a IP address and a port of the switching equipment chosen from a plurality of unused ports of the switching equipment;
Modifier (MOD. DP) le paquet de données par remplacement de l'adresse IP source du paquet de données par l'adresse IP de l'équipement de commutation et remplacement du port source du paquet de données par le port choisi; et Modify (MOD. DP) the data packet by replacing the source IP address of the data packet with the IP address of the switching equipment and replacing the source port of the data packet with the chosen port; and
Emettre (SEND DPm) le paquet de données modifié vers le deuxième équipement. Send (SEND DPm) the modified data packet to the second device.
7. Dispositif (100) de traitement d'un paquet de données, selon la revendication 6, caractérisé en ce que, sur réception d'un paquet de données appartenant à un flux de données descendant émis par le deuxième équipement vers l'équipement de commutation à destination du premier équipement, le paquet de données comprenant une adresse IP source, un port source, une adresse IP destination et un port destination et, ledit dispositif est configuré pour : 7. Device (100) for processing a data packet, according to claim 6, characterized in that, on reception of a data packet belonging to a downward data stream transmitted by the second equipment to the equipment of switching to the first device, the data packet comprising a source IP address, a source port, a destination IP address and a destination port and, said device is configured to:
- Obtenir l'adresse IP destination et du port destination dans un en-tête du paquet de données ; - Obtain the destination IP address and the destination port in a header of the data packet;
- Lorsque l'adresse IP destination est égale à une adresse IP de l'équipement de commutation et le port destination égal à un port de l'équipement de commutation, rechercher un enregistrement comprenant l'adresse IP, le port de l'équipement de commutation associé à une adresse IP, un port d'un premier équipement et un port physique de l'équipement de commutation ; - When the destination IP address is equal to an IP address of the switching equipment and the destination port equal to a port of the switching equipment, search for a record comprising the IP address, the port of the switching equipment switching associated with an IP address, a port of a first device and a physical port of the switching device;
- Lorsqu'un enregistrement a été trouvé, modifier le paquet de données par remplacement de l'adresse IP de destination du paquet de données par l'adresse IP source de l'équipement de commutation et remplacement du port source du paquet de données par le port source choisi; et - When a record has been found, modify the data packet by replacing the destination IP address of the data packet with the source IP address of the switching equipment and replacing the source port of the data packet with the source port chosen; and
- Envoyer le paquet modifié sur le port physique de l'équipement de commutation à destination du premier équipement. - Send the modified packet on the physical port of the switching equipment to the first equipment.
8 Equipement de commutation (SW1,SW2) d'un réseau de communication apte à recevoir un paquet de données d'un flux de données émis par un premier équipement terminal à destination d'un deuxième équipement terminal, caractérisé en ce qu'il comprend un dispositif (100) de traitement d'un paquet de données selon l'une des revendications 6 8 Switching equipment (SW1, SW2) of a communication network capable of receiving a data packet of a data stream transmitted by a first terminal equipment intended for a second terminal equipment, characterized in that it comprises a device (100) for processing a data packet according to one of claims 6
9. Equipement de commutation (SW1,SW2) selon la revendication 8, apte à recevoir un paquet de données d'un flux de données émis par le deuxième équipement terminal à destination du premier équipement terminal, caractérisé en ce que le dispositif (100) de traitement d'un paquet de données est conforme à la revendication 7. 9. Switching equipment (SW1, SW2) according to claim 8, capable of receiving a data packet of a data stream sent by the second terminal equipment to the first terminal equipment, characterized in that the device (100) The processing of a data packet conforms to claim 7.
10. Programme d'ordinateur (Pgl) comportant des instructions pour la mise en œuvre du procédé de traitement d'un paquet de données selon l'une quelconque des revendications 1 à 5, lorsque ledit programme est exécuté par un processeur. 10. Computer program (Pgl) comprising instructions for implementing the method for processing a data packet according to any one of claims 1 to 5, when said program is executed by a processor.
11. Support d'enregistrement lisible par un ordinateur, sur lequel est enregistré un programme d’ordinateur comprenant des instructions de code de programme pour l'exécution des étapes du procédé selon l'une des revendications 1 à 5. 11. Recording medium readable by a computer, on which a computer program is recorded comprising program code instructions for executing the steps of the method according to one of claims 1 to 5.
PCT/EP2019/069844 2018-07-27 2019-07-23 Method for processing a data packet and associated device, switching equipment and computer program WO2020020911A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1857048 2018-07-27
FR1857048A FR3084550B1 (en) 2018-07-27 2018-07-27 PROCESS FOR PROCESSING A DATA PACKAGE, DEVICE, COMMUNICATION EQUIPMENT AND ASSOCIATED COMPUTER PROGRAM

Publications (1)

Publication Number Publication Date
WO2020020911A1 true WO2020020911A1 (en) 2020-01-30

Family

ID=66640991

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2019/069844 WO2020020911A1 (en) 2018-07-27 2019-07-23 Method for processing a data packet and associated device, switching equipment and computer program

Country Status (2)

Country Link
FR (1) FR3084550B1 (en)
WO (1) WO2020020911A1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7620733B1 (en) 2005-03-30 2009-11-17 Cisco Technology, Inc. DNS anti-spoofing using UDP
US20160020993A1 (en) * 2014-07-21 2016-01-21 Big Switch Networks, Inc. Systems and methods for performing debugging operations on networks using a controller
EP3029897A1 (en) * 2013-11-25 2016-06-08 Huawei Technologies Co., Ltd. Network packet transmission method and device
US20160261611A1 (en) * 2015-03-02 2016-09-08 David Paul Heilig Identifying malware-infected network devices through traffic monitoring

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7620733B1 (en) 2005-03-30 2009-11-17 Cisco Technology, Inc. DNS anti-spoofing using UDP
EP3029897A1 (en) * 2013-11-25 2016-06-08 Huawei Technologies Co., Ltd. Network packet transmission method and device
US20160020993A1 (en) * 2014-07-21 2016-01-21 Big Switch Networks, Inc. Systems and methods for performing debugging operations on networks using a controller
US20160261611A1 (en) * 2015-03-02 2016-09-08 David Paul Heilig Identifying malware-infected network devices through traffic monitoring

Also Published As

Publication number Publication date
FR3084550B1 (en) 2020-07-24
FR3084550A1 (en) 2020-01-31

Similar Documents

Publication Publication Date Title
US9634943B2 (en) Transparent provisioning of services over a network
US9537824B2 (en) Transparent provisioning of network access to an application
US7032031B2 (en) Edge adapter apparatus and method
US7114008B2 (en) Edge adapter architecture apparatus and method
JP3443529B2 (en) Method of providing firewall service and computer system providing firewall service
Ford et al. Issues with IP address sharing
JP3492920B2 (en) Packet verification method
US7657011B1 (en) Lawful intercept trigger support within service provider networks
US20160164825A1 (en) Policy Implementation Based on Data from a Domain Name System Authoritative Source
US20110154477A1 (en) Dynamic content-based routing
FR2801754A1 (en) Double IP address assignment procedure uses configuration file allows resource control across networks of LANs.
FR2855697A1 (en) IPv4-BASED DATA CONVERSION SYSTEM TO IPv6-BASED DATA TO BE TRANSMITTED THROUGH AN IP SWITCHED NETWORK
US9917928B2 (en) Network address translation
EP2692089B1 (en) Incoming redirection mechanism on a reverse proxy
JP2003198637A (en) Packet verifying method
EP2294798B1 (en) Method and related device for routing a data packet in a network
KR20220101190A (en) Methods and systems for preventing attacks associated with the domain name system
EP1672849B1 (en) Method for using a LAN connected to a remote private network via an IPsec tunnel
Moghaddam et al. Anonymizing masses: Practical light-weight anonymity at the network level
WO2020020911A1 (en) Method for processing a data packet and associated device, switching equipment and computer program
FR3023098A1 (en) METHOD AND SYSTEM FOR PROCESSING A REQUEST FOR RESOLUTION OF A NAME OF A SERVER, ISSUED BY A CLIENT APPLICATION ON A COMMUNICATION NETWORK.
FR2848046A1 (en) Information accessing method for computer network e.g. Internet, modeling finite state machine using state transition matrix and generating analysis module for each application protocol using interpreter to filter transmitted data
WO2024068722A1 (en) Methods for name resolution, communication, message processing and server, corresponding client device and relay node
Boucadair et al. RFC 6269: Issues with IP Address Sharing

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 19753257

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 19753257

Country of ref document: EP

Kind code of ref document: A1