DE10394008T5 - System und Verfahren zum Detektieren und Nachverfolgen von Denial of Service-Angriffen - Google Patents
System und Verfahren zum Detektieren und Nachverfolgen von Denial of Service-Angriffen Download PDFInfo
- Publication number
- DE10394008T5 DE10394008T5 DE10394008T DE10394008T DE10394008T5 DE 10394008 T5 DE10394008 T5 DE 10394008T5 DE 10394008 T DE10394008 T DE 10394008T DE 10394008 T DE10394008 T DE 10394008T DE 10394008 T5 DE10394008 T5 DE 10394008T5
- Authority
- DE
- Germany
- Prior art keywords
- attack
- network
- denial
- packet
- initialization
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/141—Denial of service attacks against endpoints in a network
Abstract
Verfahren
zum Nachverfolgen eines Denial of Service-Angriffes, wobei das Verfahren
umfaßt:
Zur-Verfügung-Stellen einer Mehrzahl an Angriffsdetektionsmodulen und einer Mehrzahl an Brokermodulen, die einsetzbar sind, kommunizierfähig an ein Netzwerk zu koppeln;
Empfangen einer Anzeige von einem ersten Angriffsdetektionsmodul aus der Mehrzahl an Angriffsdetektionsmodulen, daß ein Denial of Service-Angriff im Gange sein kann;
Empfangen von zwischengespeicherter Netzwerkpaketinformation von einem oder mehreren der Angriffsdetektionsmodule;
Bestimmen einer Angriffssignatur aus der zwischengespeicherten Netzwerkpaketinformation; und
Senden von auf der Angriffssignatur basierenden Angriffsfalldaten an eines oder mehrere der Mehrzahl an Brokermodulen.
Zur-Verfügung-Stellen einer Mehrzahl an Angriffsdetektionsmodulen und einer Mehrzahl an Brokermodulen, die einsetzbar sind, kommunizierfähig an ein Netzwerk zu koppeln;
Empfangen einer Anzeige von einem ersten Angriffsdetektionsmodul aus der Mehrzahl an Angriffsdetektionsmodulen, daß ein Denial of Service-Angriff im Gange sein kann;
Empfangen von zwischengespeicherter Netzwerkpaketinformation von einem oder mehreren der Angriffsdetektionsmodule;
Bestimmen einer Angriffssignatur aus der zwischengespeicherten Netzwerkpaketinformation; und
Senden von auf der Angriffssignatur basierenden Angriffsfalldaten an eines oder mehrere der Mehrzahl an Brokermodulen.
Description
- Technisches Gebiet
- Die Erfindung bezieht sich generell auf computerisierte Systeme und Verfahren zur Handhabung von Denial of Service-Angriffen und insbesondere auf das Detektieren eines Angriffs und des Nachverfolgens eines Angriffs zurück zu einer Quelle.
- Urheberrechtsnotiz/-erlaubnis
- Ein Teil der Offenbarung dieses Patentdokuments beinhaltet Material, das Urheberrechtsschutz unterliegt. Der Urheberrechtsbesitzer hat keine Einwände gegen das originalgetreue Reproduzieren des Patentdokuments oder der Patentoffenbarung durch irgend jemanden, wie sie in den Patentakten oder Unterlagen des Patent- und Markenamtes erscheinen, aber behält sich ansonsten jegliche Urheberrechte vor. Die folgende Notiz bezieht sich auf die Software und Daten, wie sie unten und in den dazugehörigen Zeichnungen beschrieben werden: Copyright© 2002, Intel Corporation. Alle Rechte vorbehalten.
- Hintergrund
- Die Nutzung von Computernetzwerken und insbesondere des Internets aus sowohl geschäftlichen als auch privaten Gründen wächst in einem rasanten Tempo weiter. Zum Beispiel vertrauen Nutzer zunehmend auf das Internet für Geschäfts- und Privatkommunikation, kommerzielle Transaktionen und zum Verteilen und Sammeln von Informationen aller Art. Mit diesem zunehmenden Vertrauen entsteht jedoch auch eine zunehmende Verwundbarkeit durch Schaden verursacht durch Netzwerkausfälle.
- Ein Weg, auf dem böswillige Nutzer versuchen, diese Verwundbarkeit auszunutzen, ist durch einen Denial of Service (DoS)-Angriff. Denial of Service-Angriffe sind Versuche, Systeme, die an ein Netzwerk, wie zum Beispiel das Internet, angeschlossen sind, durch wiederholtes Beschießen des Systems mit soviel Daten zu überlasten oder zum Absturz zu bringen, daß es berechtigte Anfragen nicht mehr rechtzeitig bearbeiten kann. Ein DoS-Angriff kann ein System tatsächlich bis zu dem Punkt, daß es abstürzt, überhäufen. Solche Angriffe verursachen ökonomischen Schaden, da das Opfer des Angriffs Zeit aufwenden muß, um zu versuchen, die Quelle des Angriffs zu bestimmen, und kann bei dem Opfer ebenso zu verlorenem Umsatz führen, der, hätte es die Attacke nicht gegeben, eingetreten wäre.
- Mit der Zeit sind DoS-Angriffe ausgefeilter geworden. Ein Beispiel dafür ist der verteilte Denial of Service-Angriff (DDoS). Die ersten DoS-Angriffe wurden typischerweise von einem einzelnen System gestartet. In einem DDoS-Angriff werden mehrere Systeme benutzt, um das Opfersystem mit Anfragen zu überfluten. Häufig sind sich die an einem DDoS-Angriff teilnehmenden Systeme gar nicht bewußt, daß sie Teilnehmer sind, wie es für Systeme der Fall ist, die mit einem Virus, der den Angriff startet, infiziert sind.
- Um den Schaden, der durch DoS- und DDos-Angriffe verursacht wird, zu lindern, ist es wünschenswert, sowohl solche Angriffe früh zu detektieren als auch Angriffe auf ihre Quelle zurückzuverfolgen. Wenn jedoch die Angriffe von mehreren Quellen kommen, ist es für gegenwärtige Detektionssysteme schwierig, den Angriff auf die verschiedenen Quellen zurückzuverfolgen.
- Angesichts der obigen Probleme besteht ein Bedarf in der Technik für die vorliegende Erfindung.
- Kurze Beschreibung der Zeichnungen
-
1 ist ein Blockdiagramm, welches eine Systemebenenübersicht einer beispielhaften Umgebung darstellt, in der eine Ausführung der Erfindung betrieben werden kann; -
2 ist ein Diagramm, welches das Initialisieren einer Netzwerksitzung darstellt; -
3A ist ein Flußdiagramm, welches ein Verfahren entsprechend einer Ausführungsformsform der Erfindung zum Detektieren und Nachverfolgen eines Denial of Service-Angriffs darstellt; -
3B ist ein Flußdiagramm, welches weitere Details eines Verfahrens entsprechend einer Ausführungsform der Erfindung zum Nachverfolgen eines Denial of Service-Angriffes liefert; und -
4 ist ein Flußdiagramm, welches ein Verfahren entsprechend einer Ausführungsform der Erfindung zum Detektieren eines Denial of Service-Angriffes darstellt. - Detaillierte Beschreibung
- In der folgenden detaillierten Beschreibung beispielhafter Ausführungsformen der Erfindung wird Bezug auf die begleitenden Zeichnungen genommen, die einen Teil hiervon bilden, und in denen zur Illustration spezifische beispielhafte Ausführungsformen, in denen die Erfindung betrieben werden kann, gezeigt werden. Diese Ausführungsformen werden in ausreichendem Detail beschrieben, um dem Fachmann das Ausführen der Erfindung zu ermöglichen, und es ist zu verstehen, daß andere Ausführungsformen verwendet werden können und daß logische, mechanische, elektrische und andere Änderungen gemacht werden können, ohne vom Umfang der vorliegenden Erfindung abzuweichen. Die folgende detaillierte Beschreibung ist daher nicht in einem limitierenden Sinn zu verstehen.
- In den Abbildungen wird durchgehend die gleiche Bezugsziffer genutzt, um auf eine identische Komponente, die in mehreren Abbildungen auftaucht, Bezug zu nehmen. Auf Signale und Verbindungen kann mit Hilfe der gleichen Bezugsziffer oder Kennzeichnung Bezug genommen werden, und die tatsächliche Bedeutung wird durch deren Verwendung im Kontext der Beschreibung klar werden. Des weiteren wird in der Beschreibung und den Abbildungen die gleiche Basisbezugsziffer (z. B.
150 ) genutzt, wenn generisch auf die Aktionen oder Charakteristiken einer Gruppe von identischen Komponenten Bezug genommen wird. Ein numerischer Index, der durch einen Dezimalpunkt eingeführt wird (z. B.150.1 ), wird benutzt, wenn eine spezifische Komponente aus der Gruppe identischer Komponenten eine Aktion bewirkt oder ein Charakteristikum aufweist. - Die detaillierte Beschreibung ist in mehrere Abschnitte unterteilt. Im ersten Abschnitt wird ein System und eine Softwarebetriebsumgebung der verschiedenen Ausführungsformen der Erfindung beschrieben. Im zweiten Abschnitt werden Verfahren entsprechend bestehender Ausführungsformen der Erfindung beschrieben. Im letzten Abschnitt wird eine Schlußfolgerung geliefert.
- System und Softwarebetriebsumgebung
-
1 zeigt ein Blockdiagramm einer System- und Softwareumgebung100 , welche verschiedene Ausführungsformen der Erfindung beinhaltet. Die Systeme und Verfahren der vorliegenden Erfindung können auf jedem Hardware- oder Softwaresystem, das einen Netzwerkbetrieb unterstützt, zur Verfügung gestellt werden. Typischerweise umfaßt solche Hardware Switches, Routers, Gateways, Hubs, Bridges, Personal Computer, Server Computer, Mainframe Computer, Laptop Computer, tragbare Handheld Computer, PDAs, netzwerkfähige Mobiltelefone und Hybride der genannten Geräte. In einigen Ausführungsformen der Erfindung umfaßt die Betriebsumgebung100 ein Opfersystem102 , Angriffsdetektionsmodule104 , Brokermodule106 und Angreifersysteme150 . Die Systeme in der Betriebsumgebung können mit Hilfe eines oder mehrerer Netzwerke130 kommunizierfähig gekoppelt sein. Die Softwarekomponenten, die in der Betriebsumgebung laufen, werden typischerweise aus einem maschinenlesbaren Medium gelesen und unter der Kontrolle eines Betriebssystems ausgeführt und weisen eine Schnittstelle zu dem Betriebssystem auf. Beispiele solcher maschinenlesbarer Medien umfassen Festplatten, Disketten, CD-ROMs, DVD-ROMs. Des weiteren umfassen maschinenlesbare Medien drahtgebundene und drahtlose Signale, die über ein Netzwerk übertragen werden. Beispiele von Betriebssystemen umfassen Windows 95®, Windows 98®, Windows Me®, Windows CE®, Windows NT®, Windows 2000® und Windows XP® der Microsoft Corporation. Jedoch ist die vorliegende Erfindung nicht auf ein spezielles Betriebssystem beschränkt und in alternativen Ausführungsformen können die Softwarekomponenten unter dem Palm OS® von Palm Inc., Varianten des UNIX- und Linux-Betriebssystems und Mobiltelephonbetriebssystemen laufen. - Das Angreifersystem
150 umfaßt Computersysteme, die dazu in der Lage sind, einen Denial of Service-Angriff durchzuführen. Der Denial of Service-Angriff kann eine SYN Flood, Ping Flood, „Ping of Death" Flood oder ein Port Scan sein, die alle im Stand der Technik bekannt sind. Die Erfindung ist nicht beschränkt auf das Handhaben irgendeines speziellen Typs an Denial of Service-Angriffen. - Das Opfersystem
102 umfaßt ein System, welches das Ziel eines oder mehrerer Angreifersysteme150 ist. Das Opfersystem102 kann irgendeine Art von Computersystem sein, einschließlich eines Servers, Personal Computers, Mainframe Computers, Routers, Bridge, Switch oder eines anderen an das Netzwerk angeschlossenen System. - Das Opfersystem
102 und das Angreifersystem150 können durch ein oder mehrere Netzwerke kommunizierfähig gekoppelt sein. Das Netzwerk130 kann irgendeine Art eines drahtgebundenen oder drahtlosen Netzwerks sein, die Erfindung ist nicht auf eine spezielle Art des Netzwerks beschränkt. In einigen Ausführungsformen der Erfindung ist das Netzwerkprotokoll IP (Internet Protocol). In weiteren Ausführungsformen der Erfindung ist das Netzwerkprotokoll TCP/IP (Transmission Control Protocol/Internet Protocol). In noch weiteren Ausführungsformen ist das Netzwerkprotokoll UDP/IP (User Datagram Protocol/Internet Protocol). Jedoch ist die Erfindung nicht auf eine spezielle Art des Netzwerkprotokolls beschränkt. Des weiteren umfaßt in einigen Ausführungsformen der Erfindung eines oder mehrere der Netzwerke130 das Internet. In noch weiteren Ausführungsformen der Erfindung umfaßt eines oder mehrere der Netzwerke130 ein Corporate Intranet. - Das Angriffsdetektionsmodul
104 umfaßt eine kommunizierfähig an ein Netzwerk130 gekoppelte Vorrichtung, die den Netzwerkverkehr an den Eingangs- und Ausgangspunkten des Netzwerks130 überwachen und/oder manipulieren kann. Das Angriffsdetektionsmodul104 arbeitet, um Informationen über den durch es hindurchlaufende Netzwerkverkehr zwischenzuspeichern und kann des weiteren betrieben werden, Statistiken bezüglich des Netzwerkverkehrs zu führen. Angriffsdetektionsmodul104 analysiert in einigen Ausführungsformen die zwischengespeicherten Informationen, um nach Signaturen, die verschiedenen Typen von Denial of Service-Angriffe entsprechen, zu suchen. In einigen Ausführungsformen der Erfindung besteht das Angriffsdekektionsmodul104 aus einem SmartLink-Gerät, welches von Intel Corp. erhältlich ist. Das Angriffsdetektionsmodul104 kann Konfigurationsdaten von einem Brokermodul106 erhalten. Solche Konfigurationsdaten können policy-based sein, wie es im Stand der Technik bekannt ist. - Das Brokermodul
106 arbeitet, um Hinweise auf Denial of Service-Angriffe von einem oder mehreren der Angriffsdetektionsmodule104 zu empfangen. Bei Erhalt solch eines Hinweises, kann Brokermodul106 betrieben werden, Angriffsfalldaten von dem Angriffsdetektionsmodul zu erhalten und kann die Angriffsfalldaten an gleichrangige Brokermodule106 kommunizieren. - Der Betrieb des oben beschriebenen Systems wird nun mit Bezug auf ein Beispiel eines TCP/IP SYN-Angriffs beschrieben. Der nachfolgend beschriebene Systembetrieb ist jedoch auch auf andere Arten eines Denial of Service-Angriffes anwendbar. Weitere Details bezüglich des Betriebs verschiedener Ausführungsformen der Erfindung sind in dem Verfahrensabschnitt unten enthalten.
-
2 ist ein Diagramm, welches den Netzwerkverbindunginitialisierungsverkehr in einer TCP/IP-Umgebung darstellt. Der Verbindungsprozeß in der TCP/IP-Umgebung wird generell als ein Dreiwege-Handshake bezeichnet. Eine Verbindung wird initiiert, wenn ein System, typischerweise ein Clientsystem202 , das eine Verbindung mit einem anderen System herstellen möchte, ein SYN-Paket210 an ein zweites System, typischerweise ein Serversystem204 , ausgibt. Serversystem204 antwortet dann mit einem SYN/ACK-Paket212 . Schließlich antwortet das Clientsystem202 mit einem ACK-Paket214 . Der Fachmann wird anerkennen, daß der oben beschriebene Verbindungsprozeß in Peer to Peer-Systemen und in Multi-Tier-Systemen entsprechend arbeitet. - In einem typischen SYN Flood Denial of Service-Angriff gibt ein angreifendes System
202 ein SYN-Paket210 aus, aber läßt kein ACK-Paket214 folgen. Dies beläßt das Serversystem202 durch Warten auf das ACK-Paket214 in einem „halboffenen" Zustand. Das Serversystem204 muß, während es sich in diesem halboffenen Zustand befindet, Prozessor und/oder Speicherressourcen vorhalten, die ansonsten für berechtigte Verbindungen verfügbar wären. Wenn genügend halboffene Verbindungen erzeugt werden, können dem Server204 die Ressourcen ausgehen, und er kann nicht mehr dazu in der Lage sein, weitere Verbindungsversuche zu bearbeiten, was verursacht, daß berechtigten Clients der Dienst versagt wird. - Zurückkehrend zu
1 nehme man an, daß die Angreifersysteme150.1 und150.2 einen Denial of Service-Angriff gegen das Opfersystem102 initiieren. Um ein Verschleiern der Erfindung zu vermeiden, sind in1 nur zwei Quellen für eine DDoS gezeigt. Der Fachmann auf dem Gebiet wird anerkennen, daß die tatsächliche Anzahl an Angreifersystemen in einer typischen DDoS variieren kann und wahrscheinlich größer sein wird als zwei. - Die Angriffe vom Angreifersystem
150.1 werden einem Pfad folgen, der Netzwerke130.4 ,130.5 und130.1 umfaßt. Die Angriffe vom Angreifersystem150.2 werden einem Pfad folgen, der Netzwerke130.3 ,130.6 und130.1 umfaßt. Das Angriffsdetektionsmodul104.1 detektiert den anomalen Verkehr, der einen potentiellen Denial of Service-Angriff anzeigt. Angriffsdetektionsmodul104.1 kann einen Alarm an das Brokermodul106.1 senden. Man beachte, daß die Angriffsdetektionsmodule104 die Cache-Informationen, die sie gesammelt haben, ebenso an die gleichrangigen Brokermodule106 senden können. Aufgrund des durch das Angriffsdetektionsmodul104.1 erzeugten Alarms, kann Brokermodul106.1 die Informationen im Cache zum Herausfiltern möglicher Quellen des Angriffs analysieren. Jeder Angriff wird typischerweise eine eigene Signatur aufweisen, und Brokermodul106.1 kann mit Hilfe der Angriffssignatur die relevanten Einträge filtern. - Zum Beispiel wird in dem Fall des TCP SYN Flood-Angriffs, der oben beschrieben wurde, das Brokermodul
106.1 den Cache benutzen, um Cache-Daten, die für TCP-Verkehr stehen, zu bestimmen, und eine engere Auswahlliste der Quelladressen, die eine unvollständige Verbindungseinrichtung aufweisen, erstellen, d. h. Cache-Einträge, für die das Protokoll TCP anzeigt und für die das SYN-Bit gesetzt, aber nicht das ACK-Bit gesetzt ist. In einigen Ausführungsformen prüft das Brokermodul zusätzlich den Cache auf einen entsprechenden umgekehrten Eintrag im Cache, der das SYN-ACK-Bit gesetzt hat. Dieser zeigt die Verbindungsversuche an, für die der Server mit einem SYN-ACK geantwortet hat, aber der Client den Handshake nicht vervollständigt hat. - Für den Fall eines Port Scanning-Angriffs sucht das Brokermodul
106.1 nach jenen Cache-Einträgen, die die gleiche Quelladresse und Zieladresse, aber verschiedene Portzahlen aufweisen und für die die Zahl der Pakete oder die Paketgrößen relativ klein sind. - Sobald das Brokermodul
106.1 wahrscheinliche Quellen für den Angriff identifiziert hat, kann es Angriffsfalldaten, die die potentielle Quelle und Art des Angriffs identifizieren, erzeugen. Das Brokermodul106.1 kann dann von seinen Grenzangriffsdetektionsmodulen104.2 ,104.5 und104.6 Cache-Informationen erhalten. Der Broker106.1 kann daraufhin seine Cache-Daten analysieren, um zu bestimmen, ob eine der wahrscheinlichen Angriffsquell-IP-Adresssen von einem der Grenzangriffsdetektionsmodule104.2 ,104.5 und104.6 gesehen wurde. In diesem Beispiel passen einige der Quelladressen, die von Angriffsdetektionsmodul104.6 gesehen wurden, zu der engeren Auswahlliste der Adressen. Das Brokermodul106.1 kann nun mit dem Brokermodul106.3 (und irgendeinem weiteren gleichrangigen Broker in Domänen, die zu von Angriffsdetektionsmodul104.6 wahrgenommenen Verkehr beitragen) kommunizieren und die Liste der Cache-Einträge, die von Angriffsdetektionsmodulen104.1 und104.6 gesehen werden, übertragen. In ähnlicher Weise können Angriffsfalldaten an Broker106.4 anhand einer Liste der Einträge, die den Angriffsdetektionsmodulen104.1 und104.5 gemeinsam sind, gesandt werden. Man beachte, daß das Angriffsdetektionsmodul104.2 höchstwahrscheinlich keine Informationen beitragen wird, da sein Netzwerk130.2 nicht in dem Pfad eines der Denial of Service-Angriffe liegt. - Die Broker
106.3 und106.5 können nun innerhalb ihrer Domänen ähnliche Analysen durchführen, um die Quelle des Angriffs genau festzustellen. Sobald die Quelle bestimmt ist, können durch die Broker106 Maßnahmen zur Unterdrückung der Angriffe innerhalb ihrer Domäne ergriffen werden. Diese Maßnahmen umfassen und sind nicht beschränkt auf das Abschalten der störenden Maschinen, das Unterbrechen des von der Maschine ausgehenden, auf das Opfer gerichteten Verkehrs und das Analysieren des Verkehrsmusters zu und von den störenden Maschinen (Angriffsquellen), um einen Master Controller zu untersuchen und zu identifizieren. - In einigen Ausführungsformen der Erfindung halten die Brokermodule
106 die Cache-Informationen, die sie von den Grenzangriffsdetektionsmodulen104 erhalten haben, vor. Die vorgehaltenen Daten können von der Zeit, zu der sie empfangen wurden, oder einem oberen Grenzwert der vorzuhaltenden Datenmenge abhängen. Die vorgehaltenen Daten können zu forensischen Anlässen zur Nachangriffsanalyse nützlich sein. - Dieser Abschnitt hat die verschiedenen logischen Module in einem System, das Denial of Service-Angriffe detektiert und solche Angriffe zu ihrer Quelle rückverfolgt, beschrieben. Wie der Fachmann anerkennen wird, kann die Software zur Implementierung der Module in irgendeiner von einer Anzahl von Programmiersprachen, die in der Technik bekannt sind, geschrieben werden, einschließlich aber nicht beschränkt auf C/C++, Java, Visual Basic, Smalltalk, Pascal, Ada und ähnliche Programmiersprachen. Die Erfindung ist zur Umsetzung nicht auf eine spezielle Programmiersprache beschränkt.
- Verfahren einer beispielhaften Ausführungsform der Erfindung
- In dem vorausgegangenen Abschnitt wurde ein Überblick des Arbeitsablaufs einer beispielhaften Hardware- und Softwareumgebung, die verschiedene Ausführungsformen der Erfindung umfaßt, auf Systemebene beschrieben. In diesem Abschnitt werden die speziellen Verfahren der Erfindung, die von einer Betriebsumgebung, welche eine beispielhafte Ausführungsform umsetzt, durchgeführt werden, mit Bezug auf eine Reihe von Flußdiagrammen beschrieben, die in
3A ,3B und4 gezeigt sind. Die von der Betriebsumgebung durchzuführenden Verfahren bilden Computerprogramme, die aus computerausführbaren Anweisungen zusammengesetzt sind. Das Beschreiben des Verfahrens durch Bezug auf ein Flußdiagramm ermöglicht es einem Fachmann, solche Programme zu entwickeln, einschließlich Anweisungen, um das Verfahren auf geeigneten Computer auszuführen (der Prozessor führt Anweisungen von einem computerlesbaren Medium aus). Die Verfahren, die in3A ,3B und4 gezeigt sind, schließen Handlungen ein, die von einer Betriebsumgebung, welche eine beispielhafte Ausführungsform der Erfindung ausführt, durchgeführt werden. -
3A zeigt ein Flußdiagramm, welches ein Verfahren, entsprechend einer Ausführungsform der Erfindung, zum Detektieren und Nachverfolgen eines Denial of Service-Angriffes darstellt. Das Verfahren beginnt, wenn ein System, wie zum Beispiel ein Brokermodul106 , einen Status-Update von einem Angriffsdetektionsmodul104 empfängt (Block302 ). Das Status-Update kann durch einen Denial of Service-Angriff initiiert werden, oder es kann ein periodisches Update sein. - Als nächstes bestimmt das System, ob ein potentieller Angriff im Gange ist (Block
304 ). Wenn kein Angriff detektiert wird, kehrt das Verfahren zu Block302 zurück, um das nächste Status-Update abzuwarten. Wenn jedoch ein potentieller Angriff angezeigt wird, fragt das System die Cache-Informationen von einem oder mehreren der kommunizierfähig gekoppelten Angriffdetektionsmodule104 ab (Block306 ). In einigen Ausführungsformen, in denen das TCP/IP-Protokoll das Netzwerkprotokoll ist, können die zwischengespeicherten Informationen die Quell-IP-Adresse, die Ziel-IP-Adresse, den Quellport, den Zielport und das Protokoll für einen Verbindungsfluß umfassen. In alternativen Ausführungsformen der Erfindung beinhalten die zwischengespeicherten Daten des weiteren Statistiken bezüglich eines Verbindungsflusses, wie zum Beispiel der Bytezahl, der Paketzahl, der ersten Paketzeit und der letzten Paketzeit. In noch weiteren alternativen Ausführungsformen beinhalten die zwischengespeicherten Daten TCP-Flags, die den Verbindungsstatus melden (hergestellt, geschlossen, halboffen, etc.). - Das System analysiert dann die zwischengespeicherten Daten, die von einem oder mehreren der Angriffsdetektionsmodule
104 gesammelt wurden, und bestimmt, ob eine der Angriffssignaturen vorliegt (Block308 ). Verschiedene Arten von Angriffssignaturen sind je nach Art des Angriffs möglich. Zum Beispiel kann in einem SYN Flood-Angriff die Signatur zahlreiche halboffene Verbindungen in den zwischengespeicherten Daten umfassen. Im Falle eines Port Scans kann die Angriffssignatur zahlreiche Versuche umfassen, Ports auf serielle Art von der gleichen Quelladresse zu öffnen. - Nachdem eine Angriffssignatur identifiziert wurde, werden Angriffsfalldaten erzeugt und an die gleichrangigen Brokermodule
106 gesandt (Block310 ). Die Angriffsfalldaten können zum Identifizieren der Art und der Quelle oder Quellen eines bestimmten Angriffs genutzt werden. - Als nächstes wartet das System in einigen Ausführungsformen auf Nachrichtenverkehr von den gleichrangigen Brokermodulen
106 (Block312 ). Der Nachrichtenverkehr kann eine Bestätigung des Angriffs, oder sie kann Information, die anzeigt, daß ein gleichrangiges Brokermodul106 den Angriff nicht sieht, sein. Diese Information kann genutzt werden, um die potentielle Quelle des Angriffs einzugrenzen. -
3B ist ein Flußdiagramm, welches weitere Details für ein Verfahren entsprechend einer Ausführungsform der Erfindung zum Nachverfolgen eines Denial of Service-Angriffes bietet. - Die Aktionen, die in
3B aufgeführt werden, können von einem gleichrangigen Brokermodul106 durchgeführt werden, nachdem es von einem weiteren gleichrangigen Broker106 über einen potentiellen Angriff informiert worden ist. Das Verfahren beginnt, wenn das Brokermodul106 Angriffsfalldaten von einem gleichrangigen Brokermodul106 erhält (Block320 ). - Als nächstes fragt das System zwischengespeicherte Daten von den Grenzangriffsdetektionsmodulen in der gleichen Netzwerkdomäne wie das Brokermodul
106 ab (Block322 ). Die gesammelten Cache-Daten können analysiert werden, um wie oben beschrieben potentielle Angriffssignaturen zu bestimmen. Die potentiellen Angriffssignaturen können dann analysiert und mit den Angriffsfalldaten verglichen werden (Block324 ). - Wenn eine Übereinstimmung vorliegt (Block
326 ), können in einigen Ausführungsformen der Erfindung Angriffsgegenmaßnahmen eingeleitet werden (Block328 ). Diese Angriffsgegenmaßnahmen können das Filtern von Paketen von der Quelle, die in den Angriffsfalldaten identifiziert wurde, das Abschalten der der Angriffe verdächtigten Quelle oder das Melden des Angriffs an eine Netzwerkkonsole umfassen. -
4 ist ein Flußdiagramm, welches ein Verfahren entsprechend einer Ausführungsform der Erfindung zum Detektieren eines Denial of Service-Angriffes darstellt. Das Verfahren beginnt, wenn ein System, welches Denial of Service-Angriffe detektieren möchte, auf das Eintreffen von Netzwerkpaketen wartet (Block402 ). Nachdem ein Paket empfangen worden ist (Block404 ), wird der Pakettyp geprüft. In einigen Ausführungsformen der Erfindung wird eine Überprüfung durchgeführt, um festzustellen, ob das Paket ein Initialisierungspaket ist (Block406 ). In einigen Ausführungsformen ist das Initialisierungspaket ein SYN-Paket. - Wenn das Packet ein Initialisierungspaket ist, dann werden Daten bezüglich dieses Pakets in einem Speicher (zwischen-)gespeichert (Block
408 ). In einigen Ausführungsformen umfassen diese Daten eine Quelladresse, einen Quellport, eine Zieladresse, einen Zielport, einen Pakettyp und einen Zeitstempel. Die Steuerung kehrt zu Block402 zurück, um das Eintreffen weiterer Pakete zu erwarten. - Andernfalls wird eine Prüfung vollzogen, um festzustellen, ob das Paket ein Initialisierungsbestätigungspaket ist (Block
410 ). In einigen Ausführungsformen ist das Initialisierungsbestätigungspaket ein SYN/ACK-Paket. Falls das Paket ein Initialisierungsbestätigungspaket ist, nehmen einige Ausführungsformen der Erfindung eine Quelladresse, einen Quellport, eine Zieladresse, einen Zielport, einen Pakettyp und einen Zeitstempel für das Paket auf. Die Steuerung kehrt dann zu Block402 zurück, um auf die Ankunft des nächsten Paketes zu warten. - Andernfalls, wenn das Paket kein Initialisierungsbestätigungspaket ist, prüfen einige Ausführungsformen der Erfindung das Paket, um zu bestimmen, ob es ein Bestätigungspaket ist (Block
412 ). Wenn das Paket kein Bestätigungspaket ist, kehrt die Steuerung zurück zu Block402 , um auf das nächste Paket zu warten. - In einigen Ausführungsformen wird dann, wenn das Paket ein Bestätigungspaket ist, eine Prüfung vollzogen, um festzustellen, ob das Bestätigungspaket nach einem entsprechenden Initialisierungspaket angekommen ist (Block
414 ). In einigen Ausführungsformen der Erfindung ist das Bestätigungspaket ein ACK-Paket. Wenn das Bestätigungspaket nicht dem vorher ausgegebenen Initialisierungspaket entspricht, kehrt die Steuerung zu Block402 zurück, um auf das nächste Paket zu warten. - In einigen Ausführungsformen der Erfindung jedoch, wird, wenn das Bestätigungspaket dem vorher ausgegebenen Initialisierungspaket entspricht, eine Prüfung vollzogen, um zu bestimmen, ob das Bestätigungspaket nach dem entsprechenden Initialisierungsbestätigungspaket angekommen ist (Block
416 ). Wenn es nach dem entsprechenden Initialisierungsbestätigungspaket angekommen ist, dann kehrt die Steuerung zu Block402 zurück, um die Ankunft des nächsten Pakets zu erwarten. In diesem Fall ist eine Verbindung voll geöffnet, und sie ist höchstwahrscheinlich eine berechtigte Verbindung. - Wenn jedoch das Bestätigungspaket vor einem entsprechenden Initialisierungsbestätigungspaket ankommt, zeigt das System einen potentiellen Denial of Service-Angriff an (Block
418 ). Im Falle von TCP, wird ein möglicher SYN Flood-Angriff angezeigt. Dieser Fall entspricht einer Situation, in der ein Angreifer versucht, Systeme, die nur die Anzahl der Initiali sierungsanfragen und der Bestätigungsantworten abzählen, ohne zu versuchen, die zeitliche Beziehung der Pakete zu bestimmen, zu überlisten. - Zusätzlich kann an jeder Stelle während des Verfahrens das System die Daten, die in den Blöcken
408 und410 gesammelt wurden, untersuchen, um einen Zählwert zu bestimmen, wie viele Initialisierungspakete ohne ein entsprechendes Bestätigungspaket erzeugt wurden (Block420 ). Wenn der Zählwert einen einstellbaren oder voreingestellten Grenzwert überschreitet, kann eine Meldung erzeugt werden, daß das System einem Denial of Service-Angriff unterliegt. - Schlußfolgerung
- Systeme und Verfahren zum Detektieren eines Denial of Service-Angriffes und zum Nachverfolgen eines solchen Angriffs zurück zu einer Quelle wurden offenbart. Die Ausführungsformen der Erfindung liefern Vorteile gegenüber vorherigen Systemen. Zum Beispiel sehen die offenbarten Systeme und Verfahren das frühe und genaue Detektieren eines Denial of Service-Angriffs vor. Des weiteren unterstützen die Systeme und Verfahren das automatische Nachverfolgen eines Denial of Service-Angriffs zurück auf die Quelle, wodurch menschliche Eingriffe reduziert oder vermieden werden. Dies kann zu einem früheren Erkennen der Quelle des Angriffs führen.
- Obwohl spezifische Ausführungsformen hierin dargestellt und beschrieben wurden, wird es von Leuten mit üblichen Fachkenntnissen anerkannt, daß jegliche Gestaltung, die darauf abzielt, den gleichen Nutzen zu erzielen, die gezeigten spezifischen Ausführungsformen ersetzen kann. Diese Anmeldung zielt darauf ab, jegliche Anpassung oder Variation der vorliegenden Erfindung abzudecken.
- Die Terminologie, die in dieser Anmeldung benutzt wird, soll all diese Umgebungen umfassen. Selbstverständlich beabsichtigt die obige Beschreibung veranschaulichend, aber nicht beschränkend zu sein. Viele weitere Ausführungsformen werden dem die obige Beschreibung sichtenden Fachmann ersichtlich sein. Es ist daher offenkundig beabsichtigt, daß diese Erfindung nur durch die folgenden Ansprüche und deren Äquivalente beschränkt sei.
- Zusammenfassung
- Systeme und Verfahren zum Detektieren und Nachverfolgen eines Denial of Service-Angriffs werden offenbart. Ein Aspekt der Systeme und Verfahren umfaßt das Zur-Verfügung-Stellen einer Mehrzahl von Angriffsdetektionsmodulen und einer Mehrzahl von Brokermodulen, die so betrieben werden können, daß sie kommunizierfähig an ein Netzwerk koppeln. Die Angriffsdetektionsmodule arbeiten, um einen potentiellen Denial of Service-Angriff auf ein Netzwerksegment zu detektieren. Eine Angriffssignatur des potentiellen Denial of Service-Angriffs kann an ein oder mehrere Brokermodule in dem Netzwerksegment weitergeleitet werden. Die Brokermodule analysieren die Daten kollektiv, um eine Quelle oder Quellen des Angriffs zu bestimmen.
Claims (27)
- Verfahren zum Nachverfolgen eines Denial of Service-Angriffes, wobei das Verfahren umfaßt: Zur-Verfügung-Stellen einer Mehrzahl an Angriffsdetektionsmodulen und einer Mehrzahl an Brokermodulen, die einsetzbar sind, kommunizierfähig an ein Netzwerk zu koppeln; Empfangen einer Anzeige von einem ersten Angriffsdetektionsmodul aus der Mehrzahl an Angriffsdetektionsmodulen, daß ein Denial of Service-Angriff im Gange sein kann; Empfangen von zwischengespeicherter Netzwerkpaketinformation von einem oder mehreren der Angriffsdetektionsmodule; Bestimmen einer Angriffssignatur aus der zwischengespeicherten Netzwerkpaketinformation; und Senden von auf der Angriffssignatur basierenden Angriffsfalldaten an eines oder mehrere der Mehrzahl an Brokermodulen.
- Verfahren nach Anspruch 1, wobei der Denial of Service-Angriff einen SYN-Flood-Angriff umfaßt.
- Verfahren nach Anspruch 1, wobei der Denial of Service-Angriff einen Ping-Flood-Angriff umfaßt.
- Verfahren nach Anspruch 1, wobei das Empfangen einer Anzeige, daß ein Denial of Service-Angriff im Gange sein kann, des weiteren umfaßt: Empfangen einer Mehrzahl an Initialisierungspaketen von einer Mehrzahl an Netzwerkquellen in dem Netzwerk; Zwischenspeichern von Informationen bezüglich der Initialisierungspakete; Bestimmen eines Zählwerts der Initialisierungspakete, die nicht bestätigt worden sind, aus der zwischengespeicherten Information; und Anzeigen eines potentiellen Denial of Service-Angriffes, wenn der Zählwert einen Grenzwert überschreitet.
- Verfahren nach Anspruch 1, welches des weiteren das Empfangen von Statusinformation bezüglich des Denial of Service-Angriffes von einem oder mehreren aus der Mehrzahl an Brokermodulen umfaßt.
- Verfahren zum Nachverfolgen eines Denial of Service-Angriffes, wobei das Verfahren umfaßt: Zur-Verfügung-Stellen einer Mehrzahl an Angriffsdetektionsmodulen und einer Mehrzahl an Brokermodulen, die kommunizierfähig an ein Netzwerk gekoppelt sind; Empfangen von Angriffsfalldaten von zumindest einem aus der Mehrzahl an Brokermodulen; Empfangen von zwischengespeicherten Netzwerkpaketinformationen von einem oder mehreren der Angriffsdetektionsmodule; Bestimmen einer oder mehrerer Angriffssignaturen aus den zwischengespeicherten Netzwerkpaketinformationen; Vergleichen von zumindest einer Untermenge der Angriffsfalldaten mit der oder den Angriffssignaturen; und Initiieren von Angriffsgegenmaßnahmen, wenn der Vergleich in einer Übereinstimmung der Untermenge der Angriffsfalldaten mit der einen oder den mehreren Angriffssignaturen resultiert.
- Verfahren nach Anspruch 6, welches des weiteren das Kommunizieren von Angriffsstatusinformation zu zumindest einem der Brokermodule umfaßt.
- Verfahren nach Anspruch 6, wobei das Initiieren von Angriffsgegenmaßnahmen das Filtern von Paketen von einer Quelle des Denial of Service-Angriffes umfaßt.
- Verfahren zum Detektieren eines Denial of Service-Angriffes, wobei das Verfahren umfaßt: Empfangen einer Mehrzahl an Initialisierungspaketen von einer Mehrzahl an Netzwerkquellen in einem Netzwerk, wobei das Netzwerk ein Protokoll aufweist; Zwischenspeichern von Information bezüglich der Initialisierungspakete; Bestimmen eines Zählwerts der Mehrzahl an Initialisierungspaketen, die nicht bestätigt worden sind, aus der zwischengespeicherten Information; und Anzeigen eines potentiellen Denial of Service-Angriffes, wenn der Zählwert einen Grenzwert überschreitet.
- Verfahren nach Anspruch 9, welches des weiteren umfaßt: Senden eines Initialisierungsbestätigungspaketes in Antwort auf das Initialisierungspaket; Zwischenspeichern von Information bezüglich des Initialisierungsbestätigungspakets, wobei die Information eine Initialisierungsbestätigungspaketzeit umfaßt; Empfangen eines Bestätigungspaketes von einer der Mehrzahl an Netzwerkquellen, wobei das Paket eine Bestätigungsankunftszeit hat; Vergleichen der Bestätigungsankunftszeit mit der Initialisierungsbestätigungspaketzeit; und Melden eines potentiellen Denial of Service-Angriffes, wenn die Bestätigungsankunftszeit vor der Initialisierungsbestätigungspaketzeit liegt.
- Verfahren nach Anspruch 10, wobei das Netzwerkprotokoll ein IP-Netzwerkprotokoll umfaßt.
- Verfahren nach Anspruch 10, wobei das Netzwerkprotokoll ein TCP/IP-Netzwerkprotokoll umfaßt, und wobei das Initialisierungspaket ein SYN-Paket umfaßt, das Initialisierungsbestätigungspaket ein SYN-ACK-Paket umfaßt und das Bestätigungspaket ein ACK-Paket umfaßt.
- Computerisiertes System, welches umfaßt: eine Mehrzahl an Angriffsdetektionsmodulen, die kommunizierfähig an ein Netzwerk gekoppelt sind, und einsetzbar sind, um: Netzwerkdaten zwischenzuspeichern und einen Denial of Service-Angriff zu detektieren; und wenigstens ein Brokermodul, welches kommunizierfähig an das Netzwerk gekoppelt ist, und einsetzbar ist, um: eine Anzeige eines Denial of Service-Angriffes zu empfangen, die zwischengespeicherten Netzwerkdaten von einem oder mehreren der Mehrzahl an Angriffsdetektionsmodulen aufzurufen, und die zwischengespeicherten Netzwerkdaten auf eine Angriffssignatur zu analysieren.
- Computerisiertes System nach Anspruch 13, wobei das Angriffsdetektionsmodul in einer Netzwerkvorrichtung integriert ist, welche aus der Gruppe ausgewählt ist, die aus einem Switch, einem Router, einer Bridge, einem Servercomputer und einem PC besteht.
- Computerisiertes System nach Anspruch 13, wobei das wenigstens eine Brokermodul des weiteren einsetzbar ist, um: Angriffsfalldaten von wenigstens einem der Mehrzahl an Brokermodulen zu empfangen; zwischengespeicherte Netzwerkpaketinformationen von einem oder mehreren der Angriffsdetektionsmodule zu empfangen; eine oder mehrere Angriffssignaturen aus den zwischengespeicherten Netzwerkpaketinformationen zu bestimmen; wenigstens eine Untermenge der Angriffsfalldaten mit der oder den Angriffssignaturen zu vergleichen; und Angriffsgegenmaßnahmen einzuleiten, wenn der Vergleich in einer Übereinstimmung der Untermenge der Angriffsfalldaten mit der oder den Angriffssignaturen resultiert.
- Maschinenlesbares Medium, das von einer Maschine ausführbare Anweisungen aufweist, ein Verfahren zum Nachverfolgen eines Denial of Service-Angriffes auszuführen, wobei das Verfahren umfaßt: Zur-Verfügung-Stellen einer Mehrzahl an Angriffsdetektionsmodulen und einer Mehrzahl an Brokermodulen, die einsetzbar sind, kommunizierfähig an ein Netzwerk zu koppeln; Empfangen einer Anzeige von einem ersten Angriffsdetektionsmodul der Mehrzahl an Angrifffsdetektionsmodulen, daß ein Denial of Service-Angriff im Gange sein kann; Empfangen von zwischengespeicherter Netzwerkpaketinformation von einem oder mehreren der Angriffsdetektionsmodule; Bestimmen einer Angriffssignatur aus der zwischengespeicherten Netzwerkpaketinformation; und Senden von auf der Angriffssignatur basierenden Angriffsfalldaten an eines oder mehrere der Mehrzahl an Brokermodulen.
- Maschinenlesbares Medium nach Anspruch 16, wobei das Empfangen einer Anzeige, daß ein Denial of Service-Angriff im Gange sein kann, des weiteren umfaßt: Empfangen einer Mehrzahl an Initialisierungspaketen von einer Mehrzahl an Netzwerkquellen in einem Netzwerk; Zwischenspeichern von Information bezüglich der Initialisierungspakete; Bestimmen eines Zählwerts der Mehrzahl an Initialisierungspaketen, die nicht bestätigt worden sind, aus der zwischengespeicherten Information; und Anzeigen eines potentiellen Denial of Service-Angriffes, wenn der Zählwert einen Grenzwert überschreitet.
- Maschinenlesbares Medium nach Anspruch 16, wobei der Denial of Service-Angriff einen SYN-Flood-Angriff umfaßt.
- Maschinenlesbares Medium nach Anspruch 16, wobei der Denial of Service-Angriff einen Ping-Flood-Angriff umfaßt.
- Maschinenlesbares Medium nach Anspruch 16, welches des weiteren das Empfangen von Statusinformationen bezüglich des Denial of Service-Angriffes von einem oder mehreren der Mehrzahl an Brokermodulen umfaßt.
- Maschinenlesbares Medium, das von einer Maschine ausführbare Anweisungen aufweist, um ein Verfahren zum Nachverfolgen eines Denial of Service-Angriffes durchzuführen, wobei das Verfahren umfaßt: Zur-Verfügung-Stellen einer Mehrzahl an Angriffsdetektionsmodulen und einer Mehrzahl an Brokermodulen, die kommunizierfähig an ein Netzwerk gekoppelt sind; Empfangen von Angriffsfalldaten von wenigstens einem der Mehrzahl an Brokermodulen; Empfangen von zwischengespeicherten Netzwerkpaketinformationen von einem oder mehreren der Angriffsdetektionsmodule; Bestimmen einer oder mehrerer Angriffssignaturen aus den zwischengespeicherten Netzwerkpaketinformationen; Vergleichen von wenigstens einer Untermenge der Angriffsfalldaten mit der einen oder den mehreren Angriffssignaturen; und Initiieren von Gegenmaßnahmen, wenn der Vergleich in einer Übereinstimmung der Untermenge der Angriffsfalldaten mit der einen oder den mehreren Angriffssignaturen resultiert.
- Maschinenlesbares Medium nach Anspruch 21, welches des weiteren das Kommunizieren von Angriffsstatusinformationen zu wenigstens einem Brokermodul umfaßt.
- Maschinenlesbares Medium nach Anspruch 21, wobei das Initiieren von Angriffsgegenmaßnahmen das Filtern von Paketen von einer Quelle des Denial of Service-Angriffes umfaßt.
- Maschinenlesbares Medium, welches von einer Maschine ausführbare Anweisungen aufweist, um ein Verfahren zur Detektion eines Denial of Service-Angriffs durchzuführen, wobei das Verfahren umfaßt: Empfangen einer Mehrzahl an Initialisierungspaketen von einer Mehrzahl an Netzwerkquellen in einem Netzwerk, wobei das Netzwerk ein Protokoll aufweist; Zwischenspeichern von Informationen bezüglich der Initialisierungspakete; Bestimmen eines Zählwerts der Mehrzahl an Initialisierungspaketen, die nicht bestätigt worden sind, aus den zwischengespeicherten Informationen; und Anzeigen eines potentiellen Denial of Service-Angriffes, wenn der Zählwert einen Grenzwert überschreitet.
- Maschinenlesbares Medium nach Anspruch 24, welches des weiteren umfaßt: Senden eines Initialisierungsbestätigungspakets in Antwort auf das Initialisierungspaket; Zwischenspeichern von Information bezüglich des Initialisierungsbestätigungspakets, wobei die Informationen eine Initialisierungsbestätigungspaketzeit umfassen; Empfangen eines Bestätigungspakets von einer der Mehrzahl an Netzwerkquellen, wobei das Paket eine Bestätigungsankunftszeit hat; Vergleichen der Bestätigungsankunftszeit mit der Initialisierungsbestätigungspaketzeit; und Anzeigen eines möglichen Denial of Service-Angriffes, wenn die Bestätigungsankunftszeit vor der Initialisierungsbestätigungspaketzeit liegt.
- Maschinenlesbares Medium nach Anspruch 24, wobei das Netzwerkprotokoll ein IP-Netzwerkprotokoll umfaßt.
- Maschinenlesbares Medium nach Anspruch 24, wobei das Netzwerkprotokoll ein TCP/IP-Netzwerkprotokoll umfaßt und wobei das Initialisierungspaket ein SYN-Paket umfaßt, das Initialisierungsbestätigungspaket ein SYN/ACK-Paket umfaßt und das Bestätigungspaket ein ACK-Paket umfaßt.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/335,197 US7269850B2 (en) | 2002-12-31 | 2002-12-31 | Systems and methods for detecting and tracing denial of service attacks |
US10/335,197 | 2002-12-31 | ||
PCT/US2003/040595 WO2004062232A1 (en) | 2002-12-31 | 2003-12-18 | Systems and methods for detecting and tracing denial of service attacks |
Publications (2)
Publication Number | Publication Date |
---|---|
DE10394008T5 true DE10394008T5 (de) | 2008-10-16 |
DE10394008B4 DE10394008B4 (de) | 2010-03-18 |
Family
ID=32655288
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE10394008T Expired - Fee Related DE10394008B4 (de) | 2002-12-31 | 2003-12-18 | System und Verfahren zum Detektieren und Nachverfolgen von Denial of Service-Angriffen |
Country Status (7)
Country | Link |
---|---|
US (1) | US7269850B2 (de) |
JP (1) | JP4083747B2 (de) |
AU (1) | AU2003301130A1 (de) |
DE (1) | DE10394008B4 (de) |
GB (1) | GB2411076B (de) |
HK (1) | HK1075147A1 (de) |
WO (1) | WO2004062232A1 (de) |
Families Citing this family (60)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2852754B1 (fr) * | 2003-03-20 | 2005-07-08 | At & T Corp | Systeme et methode de protection d'un reseau de transmission ip contre les attaques de deni de service |
US7436770B2 (en) * | 2004-01-21 | 2008-10-14 | Alcatel Lucent | Metering packet flows for limiting effects of denial of service attacks |
US7391725B2 (en) * | 2004-05-18 | 2008-06-24 | Christian Huitema | System and method for defeating SYN attacks |
US7957372B2 (en) * | 2004-07-22 | 2011-06-07 | International Business Machines Corporation | Automatically detecting distributed port scans in computer networks |
WO2006008307A1 (en) * | 2004-07-22 | 2006-01-26 | International Business Machines Corporation | Method, system and computer program for detecting unauthorised scanning on a network |
US8423645B2 (en) * | 2004-09-14 | 2013-04-16 | International Business Machines Corporation | Detection of grid participation in a DDoS attack |
JP4292213B2 (ja) * | 2004-10-12 | 2009-07-08 | 日本電信電話株式会社 | サービス不能攻撃防御システム、サービス不能攻撃防御方法およびサービス不能攻撃防御プログラム |
US7703138B2 (en) * | 2004-12-29 | 2010-04-20 | Intel Corporation | Use of application signature to identify trusted traffic |
US8489846B1 (en) * | 2005-06-24 | 2013-07-16 | Rockwell Collins, Inc. | Partition processing system and method for reducing computing problems |
US7987493B1 (en) * | 2005-07-18 | 2011-07-26 | Sprint Communications Company L.P. | Method and system for mitigating distributed denial of service attacks using centralized management |
US20070083927A1 (en) * | 2005-10-11 | 2007-04-12 | Intel Corporation | Method and system for managing denial of services (DoS) attacks |
US7610622B2 (en) * | 2006-02-06 | 2009-10-27 | Cisco Technology, Inc. | Supporting options in a communication session using a TCP cookie |
US7675854B2 (en) * | 2006-02-21 | 2010-03-09 | A10 Networks, Inc. | System and method for an adaptive TCP SYN cookie with time validation |
JP4126707B2 (ja) * | 2006-07-28 | 2008-07-30 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 情報システムの状態を解析する技術 |
US8510834B2 (en) * | 2006-10-09 | 2013-08-13 | Radware, Ltd. | Automatic signature propagation network |
US8584199B1 (en) | 2006-10-17 | 2013-11-12 | A10 Networks, Inc. | System and method to apply a packet routing policy to an application session |
US8312507B2 (en) | 2006-10-17 | 2012-11-13 | A10 Networks, Inc. | System and method to apply network traffic policy to an application session |
WO2008047141A1 (en) * | 2006-10-18 | 2008-04-24 | British Telecommunications Public Limited Company | Method and apparatus for monitoring a digital network |
US20080240140A1 (en) * | 2007-03-29 | 2008-10-02 | Microsoft Corporation | Network interface with receive classification |
US20080307526A1 (en) * | 2007-06-07 | 2008-12-11 | Mi5 Networks | Method to perform botnet detection |
US8085681B2 (en) * | 2008-10-21 | 2011-12-27 | At&T Intellectual Property I, Lp | Centralized analysis and management of network packets |
US9960967B2 (en) | 2009-10-21 | 2018-05-01 | A10 Networks, Inc. | Determining an application delivery server based on geo-location information |
US9215275B2 (en) | 2010-09-30 | 2015-12-15 | A10 Networks, Inc. | System and method to balance servers based on server load status |
US9609052B2 (en) | 2010-12-02 | 2017-03-28 | A10 Networks, Inc. | Distributing application traffic to servers based on dynamic service response time |
US8897154B2 (en) | 2011-10-24 | 2014-11-25 | A10 Networks, Inc. | Combining stateless and stateful server load balancing |
US9386088B2 (en) | 2011-11-29 | 2016-07-05 | A10 Networks, Inc. | Accelerating service processing using fast path TCP |
US9094364B2 (en) | 2011-12-23 | 2015-07-28 | A10 Networks, Inc. | Methods to manage services over a service gateway |
US10044582B2 (en) | 2012-01-28 | 2018-08-07 | A10 Networks, Inc. | Generating secure name records |
US8782221B2 (en) | 2012-07-05 | 2014-07-15 | A10 Networks, Inc. | Method to allocate buffer for TCP proxy session based on dynamic network conditions |
CN108027805B (zh) | 2012-09-25 | 2021-12-21 | A10网络股份有限公司 | 数据网络中的负载分发 |
US9843484B2 (en) | 2012-09-25 | 2017-12-12 | A10 Networks, Inc. | Graceful scaling in software driven networks |
US9106561B2 (en) | 2012-12-06 | 2015-08-11 | A10 Networks, Inc. | Configuration of a virtual service network |
US10021174B2 (en) | 2012-09-25 | 2018-07-10 | A10 Networks, Inc. | Distributing service sessions |
US10002141B2 (en) | 2012-09-25 | 2018-06-19 | A10 Networks, Inc. | Distributed database in software driven networks |
US9338225B2 (en) | 2012-12-06 | 2016-05-10 | A10 Networks, Inc. | Forwarding policies on a virtual service network |
US9531846B2 (en) | 2013-01-23 | 2016-12-27 | A10 Networks, Inc. | Reducing buffer usage for TCP proxy session based on delayed acknowledgement |
US9900252B2 (en) | 2013-03-08 | 2018-02-20 | A10 Networks, Inc. | Application delivery controller and global server load balancer |
WO2014144837A1 (en) | 2013-03-15 | 2014-09-18 | A10 Networks, Inc. | Processing data packets using a policy based network path |
WO2014179753A2 (en) | 2013-05-03 | 2014-11-06 | A10 Networks, Inc. | Facilitating secure network traffic by an application delivery controller |
US10027761B2 (en) | 2013-05-03 | 2018-07-17 | A10 Networks, Inc. | Facilitating a secure 3 party network session by a network device |
US10230770B2 (en) | 2013-12-02 | 2019-03-12 | A10 Networks, Inc. | Network proxy layer for policy-based application proxies |
US10020979B1 (en) | 2014-03-25 | 2018-07-10 | A10 Networks, Inc. | Allocating resources in multi-core computing environments |
US9942152B2 (en) | 2014-03-25 | 2018-04-10 | A10 Networks, Inc. | Forwarding data packets using a service-based forwarding policy |
US9942162B2 (en) | 2014-03-31 | 2018-04-10 | A10 Networks, Inc. | Active application response delay time |
US9806943B2 (en) | 2014-04-24 | 2017-10-31 | A10 Networks, Inc. | Enabling planned upgrade/downgrade of network devices without impacting network sessions |
US9906422B2 (en) | 2014-05-16 | 2018-02-27 | A10 Networks, Inc. | Distributed system to determine a server's health |
US10129122B2 (en) | 2014-06-03 | 2018-11-13 | A10 Networks, Inc. | User defined objects for network devices |
US9992229B2 (en) | 2014-06-03 | 2018-06-05 | A10 Networks, Inc. | Programming a data network device using user defined scripts with licenses |
US9986061B2 (en) | 2014-06-03 | 2018-05-29 | A10 Networks, Inc. | Programming a data network device using user defined scripts |
US9800592B2 (en) * | 2014-08-04 | 2017-10-24 | Microsoft Technology Licensing, Llc | Data center architecture that supports attack detection and mitigation |
US10581976B2 (en) | 2015-08-12 | 2020-03-03 | A10 Networks, Inc. | Transmission control of protocol state exchange for dynamic stateful service insertion |
US10243791B2 (en) | 2015-08-13 | 2019-03-26 | A10 Networks, Inc. | Automated adjustment of subscriber policies |
US10318288B2 (en) | 2016-01-13 | 2019-06-11 | A10 Networks, Inc. | System and method to process a chain of network applications |
US10673893B2 (en) | 2016-08-31 | 2020-06-02 | International Business Machines Corporation | Isolating a source of an attack that originates from a shared computing environment |
US10389835B2 (en) | 2017-01-10 | 2019-08-20 | A10 Networks, Inc. | Application aware systems and methods to process user loadable network applications |
US11030308B2 (en) * | 2017-08-09 | 2021-06-08 | Nec Corporation | Inter-application dependency analysis for improving computer system threat detection |
CN112154635B (zh) * | 2018-05-22 | 2023-08-08 | 上海诺基亚贝尔股份有限公司 | Sfc覆盖网络中的攻击源追踪 |
FR3086821A1 (fr) * | 2018-09-28 | 2020-04-03 | Orange | Procedes de collaboration et de demande de collaboration entre services de protection associes a au moins un domaine, agents et programme d’ordinateur correspondants. |
US11038902B2 (en) | 2019-02-25 | 2021-06-15 | Verizon Digital Media Services Inc. | Systems and methods for providing shifting network security via multi-access edge computing |
CN113573317A (zh) * | 2021-07-29 | 2021-10-29 | 咪咕文化科技有限公司 | 网络奇异系统在卫星系统中的滤波器设计方法及装置 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6487666B1 (en) * | 1999-01-15 | 2002-11-26 | Cisco Technology, Inc. | Intrusion detection signature analysis using regular expressions and logical operators |
AU6218800A (en) | 1999-07-14 | 2001-01-30 | Recourse Technologies, Inc. | System and method for quickly authenticating messages using sequence numbers |
US7062782B1 (en) | 1999-12-22 | 2006-06-13 | Uunet Technologies, Inc. | Overlay network for tracking denial-of-service floods in unreliable datagram delivery networks |
EP1319296B1 (de) | 2000-09-01 | 2007-04-18 | Top Layer Networks, Inc. | System und Verfahren zur Verteidigung gegen Denial-of-Service angriffe auf die Netzwerkknoten |
US7043759B2 (en) * | 2000-09-07 | 2006-05-09 | Mazu Networks, Inc. | Architecture to thwart denial of service attacks |
US20020032871A1 (en) * | 2000-09-08 | 2002-03-14 | The Regents Of The University Of Michigan | Method and system for detecting, tracking and blocking denial of service attacks over a computer network |
US20020032793A1 (en) * | 2000-09-08 | 2002-03-14 | The Regents Of The University Of Michigan | Method and system for reconstructing a path taken by undesirable network traffic through a computer network from a source of the traffic |
-
2002
- 2002-12-31 US US10/335,197 patent/US7269850B2/en not_active Expired - Fee Related
-
2003
- 2003-12-18 AU AU2003301130A patent/AU2003301130A1/en not_active Abandoned
- 2003-12-18 DE DE10394008T patent/DE10394008B4/de not_active Expired - Fee Related
- 2003-12-18 WO PCT/US2003/040595 patent/WO2004062232A1/en active Application Filing
- 2003-12-18 GB GB0511258A patent/GB2411076B/en not_active Expired - Fee Related
- 2003-12-18 JP JP2004565594A patent/JP4083747B2/ja not_active Expired - Fee Related
-
2005
- 2005-08-22 HK HK05107259A patent/HK1075147A1/xx not_active IP Right Cessation
Also Published As
Publication number | Publication date |
---|---|
AU2003301130A1 (en) | 2004-07-29 |
HK1075147A1 (en) | 2005-12-02 |
US20040128550A1 (en) | 2004-07-01 |
JP2006512856A (ja) | 2006-04-13 |
GB2411076B (en) | 2006-09-27 |
DE10394008B4 (de) | 2010-03-18 |
GB0511258D0 (en) | 2005-07-06 |
US7269850B2 (en) | 2007-09-11 |
JP4083747B2 (ja) | 2008-04-30 |
GB2411076A (en) | 2005-08-17 |
WO2004062232A1 (en) | 2004-07-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE10394008B4 (de) | System und Verfahren zum Detektieren und Nachverfolgen von Denial of Service-Angriffen | |
DE10249888B4 (de) | Knoten eines Netzes, das ein Einbruchserfassungssystem betreibt, Verfahren zum Ausführen einer Einbruchsprävention an einem Knoten eines Netzes, sowie computerlesbares Medium | |
DE60311185T2 (de) | Statistische Methoden zur Detektion von Angriffen durch Überflutung mittels TCP SYN Paketen | |
DE60124295T2 (de) | Flussbasierte erfassung eines eindringens in ein netzwerk | |
DE60308722T2 (de) | Verfahren, vorrichtung und computersoftware-produkt zur reaktion auf computereinbrüche | |
DE602005000898T2 (de) | Verfahrung und Apparatus für die Bereitstellung von mobilen Honeypots | |
DE202018006616U1 (de) | Beschleunigung des Arbeitsablaufs von Cyberanalysen | |
McHugh | Testing intrusion detection systems: a critique of the 1998 and 1999 darpa intrusion detection system evaluations as performed by lincoln laboratory | |
DE60115615T2 (de) | System, einrichtung und verfahren zur schnellen paketfilterung und -verarbeitung | |
DE102005010923B4 (de) | System, computerverwendbares Medium und Verfahren zum Überwachen einer Netzwerkaktivität | |
DE69922857T2 (de) | Rechnersicherheit durch Virusuntersuchung | |
DE60102555T2 (de) | Verhinderung der map-aktivierten modulmaskeradeangriffe | |
DE60213391T2 (de) | Persönlicher Firewall mit Positionsdetektion | |
DE60201430T2 (de) | Erkennung von computerviren in einem netzwerk unter verwendung eines köderservers | |
DE102014113582B4 (de) | Vorrichtung, Verfahren und System für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung | |
Lee et al. | Visual firewall: real-time network security monitor | |
DE202016009026U1 (de) | Regelbasierte Netzwerkbedrohungsdetektion | |
DE202016009181U1 (de) | Regelbasierte Erkennung von Netzwerkbedrohungen für verschlüsselte Kommunikationen | |
DE10249842A1 (de) | Netz, Verfahren und computerlesbares Medium zum Verteilen von Sicherheitsaktualisierungen an ausgewählte Knoten auf einem Netz | |
DE60122033T2 (de) | Schutz von Computernetzen gegen böswillige Inhalte | |
DE102020124426A1 (de) | Verfahren, Systeme und computerlesbare Medien für die Bedrohungssimulation und Empfehlungen für die Bedrohungsminderung | |
Zhang et al. | Original SYN: Finding machines hidden behind firewalls | |
DE112021000455T5 (de) | Deep packet analyse | |
DE10101616C2 (de) | Verfahren zum Schutz gegen Netzwerküberflutungsangriffe mit Hilfe eines verbindungslosen Protokolls | |
EP3796164A1 (de) | Verfahren zur überlastabwehr in einer container-virtualisierten rechenvorrichtung |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8364 | No opposition during term of opposition | ||
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |