DE10394008T5 - System und Verfahren zum Detektieren und Nachverfolgen von Denial of Service-Angriffen - Google Patents

System und Verfahren zum Detektieren und Nachverfolgen von Denial of Service-Angriffen Download PDF

Info

Publication number
DE10394008T5
DE10394008T5 DE10394008T DE10394008T DE10394008T5 DE 10394008 T5 DE10394008 T5 DE 10394008T5 DE 10394008 T DE10394008 T DE 10394008T DE 10394008 T DE10394008 T DE 10394008T DE 10394008 T5 DE10394008 T5 DE 10394008T5
Authority
DE
Germany
Prior art keywords
attack
network
denial
packet
initialization
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE10394008T
Other languages
English (en)
Other versions
DE10394008B4 (de
Inventor
Priya Hillsboro Godivdarajan
Chun-Yang Beaverton Chiu
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of DE10394008T5 publication Critical patent/DE10394008T5/de
Application granted granted Critical
Publication of DE10394008B4 publication Critical patent/DE10394008B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/141Denial of service attacks against endpoints in a network

Abstract

Verfahren zum Nachverfolgen eines Denial of Service-Angriffes, wobei das Verfahren umfaßt:
Zur-Verfügung-Stellen einer Mehrzahl an Angriffsdetektionsmodulen und einer Mehrzahl an Brokermodulen, die einsetzbar sind, kommunizierfähig an ein Netzwerk zu koppeln;
Empfangen einer Anzeige von einem ersten Angriffsdetektionsmodul aus der Mehrzahl an Angriffsdetektionsmodulen, daß ein Denial of Service-Angriff im Gange sein kann;
Empfangen von zwischengespeicherter Netzwerkpaketinformation von einem oder mehreren der Angriffsdetektionsmodule;
Bestimmen einer Angriffssignatur aus der zwischengespeicherten Netzwerkpaketinformation; und
Senden von auf der Angriffssignatur basierenden Angriffsfalldaten an eines oder mehrere der Mehrzahl an Brokermodulen.

Description

  • Technisches Gebiet
  • Die Erfindung bezieht sich generell auf computerisierte Systeme und Verfahren zur Handhabung von Denial of Service-Angriffen und insbesondere auf das Detektieren eines Angriffs und des Nachverfolgens eines Angriffs zurück zu einer Quelle.
  • Urheberrechtsnotiz/-erlaubnis
  • Ein Teil der Offenbarung dieses Patentdokuments beinhaltet Material, das Urheberrechtsschutz unterliegt. Der Urheberrechtsbesitzer hat keine Einwände gegen das originalgetreue Reproduzieren des Patentdokuments oder der Patentoffenbarung durch irgend jemanden, wie sie in den Patentakten oder Unterlagen des Patent- und Markenamtes erscheinen, aber behält sich ansonsten jegliche Urheberrechte vor. Die folgende Notiz bezieht sich auf die Software und Daten, wie sie unten und in den dazugehörigen Zeichnungen beschrieben werden: Copyright© 2002, Intel Corporation. Alle Rechte vorbehalten.
  • Hintergrund
  • Die Nutzung von Computernetzwerken und insbesondere des Internets aus sowohl geschäftlichen als auch privaten Gründen wächst in einem rasanten Tempo weiter. Zum Beispiel vertrauen Nutzer zunehmend auf das Internet für Geschäfts- und Privatkommunikation, kommerzielle Transaktionen und zum Verteilen und Sammeln von Informationen aller Art. Mit diesem zunehmenden Vertrauen entsteht jedoch auch eine zunehmende Verwundbarkeit durch Schaden verursacht durch Netzwerkausfälle.
  • Ein Weg, auf dem böswillige Nutzer versuchen, diese Verwundbarkeit auszunutzen, ist durch einen Denial of Service (DoS)-Angriff. Denial of Service-Angriffe sind Versuche, Systeme, die an ein Netzwerk, wie zum Beispiel das Internet, angeschlossen sind, durch wiederholtes Beschießen des Systems mit soviel Daten zu überlasten oder zum Absturz zu bringen, daß es berechtigte Anfragen nicht mehr rechtzeitig bearbeiten kann. Ein DoS-Angriff kann ein System tatsächlich bis zu dem Punkt, daß es abstürzt, überhäufen. Solche Angriffe verursachen ökonomischen Schaden, da das Opfer des Angriffs Zeit aufwenden muß, um zu versuchen, die Quelle des Angriffs zu bestimmen, und kann bei dem Opfer ebenso zu verlorenem Umsatz führen, der, hätte es die Attacke nicht gegeben, eingetreten wäre.
  • Mit der Zeit sind DoS-Angriffe ausgefeilter geworden. Ein Beispiel dafür ist der verteilte Denial of Service-Angriff (DDoS). Die ersten DoS-Angriffe wurden typischerweise von einem einzelnen System gestartet. In einem DDoS-Angriff werden mehrere Systeme benutzt, um das Opfersystem mit Anfragen zu überfluten. Häufig sind sich die an einem DDoS-Angriff teilnehmenden Systeme gar nicht bewußt, daß sie Teilnehmer sind, wie es für Systeme der Fall ist, die mit einem Virus, der den Angriff startet, infiziert sind.
  • Um den Schaden, der durch DoS- und DDos-Angriffe verursacht wird, zu lindern, ist es wünschenswert, sowohl solche Angriffe früh zu detektieren als auch Angriffe auf ihre Quelle zurückzuverfolgen. Wenn jedoch die Angriffe von mehreren Quellen kommen, ist es für gegenwärtige Detektionssysteme schwierig, den Angriff auf die verschiedenen Quellen zurückzuverfolgen.
  • Angesichts der obigen Probleme besteht ein Bedarf in der Technik für die vorliegende Erfindung.
  • Kurze Beschreibung der Zeichnungen
  • 1 ist ein Blockdiagramm, welches eine Systemebenenübersicht einer beispielhaften Umgebung darstellt, in der eine Ausführung der Erfindung betrieben werden kann;
  • 2 ist ein Diagramm, welches das Initialisieren einer Netzwerksitzung darstellt;
  • 3A ist ein Flußdiagramm, welches ein Verfahren entsprechend einer Ausführungsformsform der Erfindung zum Detektieren und Nachverfolgen eines Denial of Service-Angriffs darstellt;
  • 3B ist ein Flußdiagramm, welches weitere Details eines Verfahrens entsprechend einer Ausführungsform der Erfindung zum Nachverfolgen eines Denial of Service-Angriffes liefert; und
  • 4 ist ein Flußdiagramm, welches ein Verfahren entsprechend einer Ausführungsform der Erfindung zum Detektieren eines Denial of Service-Angriffes darstellt.
  • Detaillierte Beschreibung
  • In der folgenden detaillierten Beschreibung beispielhafter Ausführungsformen der Erfindung wird Bezug auf die begleitenden Zeichnungen genommen, die einen Teil hiervon bilden, und in denen zur Illustration spezifische beispielhafte Ausführungsformen, in denen die Erfindung betrieben werden kann, gezeigt werden. Diese Ausführungsformen werden in ausreichendem Detail beschrieben, um dem Fachmann das Ausführen der Erfindung zu ermöglichen, und es ist zu verstehen, daß andere Ausführungsformen verwendet werden können und daß logische, mechanische, elektrische und andere Änderungen gemacht werden können, ohne vom Umfang der vorliegenden Erfindung abzuweichen. Die folgende detaillierte Beschreibung ist daher nicht in einem limitierenden Sinn zu verstehen.
  • In den Abbildungen wird durchgehend die gleiche Bezugsziffer genutzt, um auf eine identische Komponente, die in mehreren Abbildungen auftaucht, Bezug zu nehmen. Auf Signale und Verbindungen kann mit Hilfe der gleichen Bezugsziffer oder Kennzeichnung Bezug genommen werden, und die tatsächliche Bedeutung wird durch deren Verwendung im Kontext der Beschreibung klar werden. Des weiteren wird in der Beschreibung und den Abbildungen die gleiche Basisbezugsziffer (z. B. 150) genutzt, wenn generisch auf die Aktionen oder Charakteristiken einer Gruppe von identischen Komponenten Bezug genommen wird. Ein numerischer Index, der durch einen Dezimalpunkt eingeführt wird (z. B. 150.1), wird benutzt, wenn eine spezifische Komponente aus der Gruppe identischer Komponenten eine Aktion bewirkt oder ein Charakteristikum aufweist.
  • Die detaillierte Beschreibung ist in mehrere Abschnitte unterteilt. Im ersten Abschnitt wird ein System und eine Softwarebetriebsumgebung der verschiedenen Ausführungsformen der Erfindung beschrieben. Im zweiten Abschnitt werden Verfahren entsprechend bestehender Ausführungsformen der Erfindung beschrieben. Im letzten Abschnitt wird eine Schlußfolgerung geliefert.
  • System und Softwarebetriebsumgebung
  • 1 zeigt ein Blockdiagramm einer System- und Softwareumgebung 100, welche verschiedene Ausführungsformen der Erfindung beinhaltet. Die Systeme und Verfahren der vorliegenden Erfindung können auf jedem Hardware- oder Softwaresystem, das einen Netzwerkbetrieb unterstützt, zur Verfügung gestellt werden. Typischerweise umfaßt solche Hardware Switches, Routers, Gateways, Hubs, Bridges, Personal Computer, Server Computer, Mainframe Computer, Laptop Computer, tragbare Handheld Computer, PDAs, netzwerkfähige Mobiltelefone und Hybride der genannten Geräte. In einigen Ausführungsformen der Erfindung umfaßt die Betriebsumgebung 100 ein Opfersystem 102, Angriffsdetektionsmodule 104, Brokermodule 106 und Angreifersysteme 150. Die Systeme in der Betriebsumgebung können mit Hilfe eines oder mehrerer Netzwerke 130 kommunizierfähig gekoppelt sein. Die Softwarekomponenten, die in der Betriebsumgebung laufen, werden typischerweise aus einem maschinenlesbaren Medium gelesen und unter der Kontrolle eines Betriebssystems ausgeführt und weisen eine Schnittstelle zu dem Betriebssystem auf. Beispiele solcher maschinenlesbarer Medien umfassen Festplatten, Disketten, CD-ROMs, DVD-ROMs. Des weiteren umfassen maschinenlesbare Medien drahtgebundene und drahtlose Signale, die über ein Netzwerk übertragen werden. Beispiele von Betriebssystemen umfassen Windows 95®, Windows 98®, Windows Me®, Windows CE®, Windows NT®, Windows 2000® und Windows XP® der Microsoft Corporation. Jedoch ist die vorliegende Erfindung nicht auf ein spezielles Betriebssystem beschränkt und in alternativen Ausführungsformen können die Softwarekomponenten unter dem Palm OS® von Palm Inc., Varianten des UNIX- und Linux-Betriebssystems und Mobiltelephonbetriebssystemen laufen.
  • Das Angreifersystem 150 umfaßt Computersysteme, die dazu in der Lage sind, einen Denial of Service-Angriff durchzuführen. Der Denial of Service-Angriff kann eine SYN Flood, Ping Flood, „Ping of Death" Flood oder ein Port Scan sein, die alle im Stand der Technik bekannt sind. Die Erfindung ist nicht beschränkt auf das Handhaben irgendeines speziellen Typs an Denial of Service-Angriffen.
  • Das Opfersystem 102 umfaßt ein System, welches das Ziel eines oder mehrerer Angreifersysteme 150 ist. Das Opfersystem 102 kann irgendeine Art von Computersystem sein, einschließlich eines Servers, Personal Computers, Mainframe Computers, Routers, Bridge, Switch oder eines anderen an das Netzwerk angeschlossenen System.
  • Das Opfersystem 102 und das Angreifersystem 150 können durch ein oder mehrere Netzwerke kommunizierfähig gekoppelt sein. Das Netzwerk 130 kann irgendeine Art eines drahtgebundenen oder drahtlosen Netzwerks sein, die Erfindung ist nicht auf eine spezielle Art des Netzwerks beschränkt. In einigen Ausführungsformen der Erfindung ist das Netzwerkprotokoll IP (Internet Protocol). In weiteren Ausführungsformen der Erfindung ist das Netzwerkprotokoll TCP/IP (Transmission Control Protocol/Internet Protocol). In noch weiteren Ausführungsformen ist das Netzwerkprotokoll UDP/IP (User Datagram Protocol/Internet Protocol). Jedoch ist die Erfindung nicht auf eine spezielle Art des Netzwerkprotokolls beschränkt. Des weiteren umfaßt in einigen Ausführungsformen der Erfindung eines oder mehrere der Netzwerke 130 das Internet. In noch weiteren Ausführungsformen der Erfindung umfaßt eines oder mehrere der Netzwerke 130 ein Corporate Intranet.
  • Das Angriffsdetektionsmodul 104 umfaßt eine kommunizierfähig an ein Netzwerk 130 gekoppelte Vorrichtung, die den Netzwerkverkehr an den Eingangs- und Ausgangspunkten des Netzwerks 130 überwachen und/oder manipulieren kann. Das Angriffsdetektionsmodul 104 arbeitet, um Informationen über den durch es hindurchlaufende Netzwerkverkehr zwischenzuspeichern und kann des weiteren betrieben werden, Statistiken bezüglich des Netzwerkverkehrs zu führen. Angriffsdetektionsmodul 104 analysiert in einigen Ausführungsformen die zwischengespeicherten Informationen, um nach Signaturen, die verschiedenen Typen von Denial of Service-Angriffe entsprechen, zu suchen. In einigen Ausführungsformen der Erfindung besteht das Angriffsdekektionsmodul 104 aus einem SmartLink-Gerät, welches von Intel Corp. erhältlich ist. Das Angriffsdetektionsmodul 104 kann Konfigurationsdaten von einem Brokermodul 106 erhalten. Solche Konfigurationsdaten können policy-based sein, wie es im Stand der Technik bekannt ist.
  • Das Brokermodul 106 arbeitet, um Hinweise auf Denial of Service-Angriffe von einem oder mehreren der Angriffsdetektionsmodule 104 zu empfangen. Bei Erhalt solch eines Hinweises, kann Brokermodul 106 betrieben werden, Angriffsfalldaten von dem Angriffsdetektionsmodul zu erhalten und kann die Angriffsfalldaten an gleichrangige Brokermodule 106 kommunizieren.
  • Der Betrieb des oben beschriebenen Systems wird nun mit Bezug auf ein Beispiel eines TCP/IP SYN-Angriffs beschrieben. Der nachfolgend beschriebene Systembetrieb ist jedoch auch auf andere Arten eines Denial of Service-Angriffes anwendbar. Weitere Details bezüglich des Betriebs verschiedener Ausführungsformen der Erfindung sind in dem Verfahrensabschnitt unten enthalten.
  • 2 ist ein Diagramm, welches den Netzwerkverbindunginitialisierungsverkehr in einer TCP/IP-Umgebung darstellt. Der Verbindungsprozeß in der TCP/IP-Umgebung wird generell als ein Dreiwege-Handshake bezeichnet. Eine Verbindung wird initiiert, wenn ein System, typischerweise ein Clientsystem 202, das eine Verbindung mit einem anderen System herstellen möchte, ein SYN-Paket 210 an ein zweites System, typischerweise ein Serversystem 204, ausgibt. Serversystem 204 antwortet dann mit einem SYN/ACK-Paket 212. Schließlich antwortet das Clientsystem 202 mit einem ACK-Paket 214. Der Fachmann wird anerkennen, daß der oben beschriebene Verbindungsprozeß in Peer to Peer-Systemen und in Multi-Tier-Systemen entsprechend arbeitet.
  • In einem typischen SYN Flood Denial of Service-Angriff gibt ein angreifendes System 202 ein SYN-Paket 210 aus, aber läßt kein ACK-Paket 214 folgen. Dies beläßt das Serversystem 202 durch Warten auf das ACK-Paket 214 in einem „halboffenen" Zustand. Das Serversystem 204 muß, während es sich in diesem halboffenen Zustand befindet, Prozessor und/oder Speicherressourcen vorhalten, die ansonsten für berechtigte Verbindungen verfügbar wären. Wenn genügend halboffene Verbindungen erzeugt werden, können dem Server 204 die Ressourcen ausgehen, und er kann nicht mehr dazu in der Lage sein, weitere Verbindungsversuche zu bearbeiten, was verursacht, daß berechtigten Clients der Dienst versagt wird.
  • Zurückkehrend zu 1 nehme man an, daß die Angreifersysteme 150.1 und 150.2 einen Denial of Service-Angriff gegen das Opfersystem 102 initiieren. Um ein Verschleiern der Erfindung zu vermeiden, sind in 1 nur zwei Quellen für eine DDoS gezeigt. Der Fachmann auf dem Gebiet wird anerkennen, daß die tatsächliche Anzahl an Angreifersystemen in einer typischen DDoS variieren kann und wahrscheinlich größer sein wird als zwei.
  • Die Angriffe vom Angreifersystem 150.1 werden einem Pfad folgen, der Netzwerke 130.4, 130.5 und 130.1 umfaßt. Die Angriffe vom Angreifersystem 150.2 werden einem Pfad folgen, der Netzwerke 130.3, 130.6 und 130.1 umfaßt. Das Angriffsdetektionsmodul 104.1 detektiert den anomalen Verkehr, der einen potentiellen Denial of Service-Angriff anzeigt. Angriffsdetektionsmodul 104.1 kann einen Alarm an das Brokermodul 106.1 senden. Man beachte, daß die Angriffsdetektionsmodule 104 die Cache-Informationen, die sie gesammelt haben, ebenso an die gleichrangigen Brokermodule 106 senden können. Aufgrund des durch das Angriffsdetektionsmodul 104.1 erzeugten Alarms, kann Brokermodul 106.1 die Informationen im Cache zum Herausfiltern möglicher Quellen des Angriffs analysieren. Jeder Angriff wird typischerweise eine eigene Signatur aufweisen, und Brokermodul 106.1 kann mit Hilfe der Angriffssignatur die relevanten Einträge filtern.
  • Zum Beispiel wird in dem Fall des TCP SYN Flood-Angriffs, der oben beschrieben wurde, das Brokermodul 106.1 den Cache benutzen, um Cache-Daten, die für TCP-Verkehr stehen, zu bestimmen, und eine engere Auswahlliste der Quelladressen, die eine unvollständige Verbindungseinrichtung aufweisen, erstellen, d. h. Cache-Einträge, für die das Protokoll TCP anzeigt und für die das SYN-Bit gesetzt, aber nicht das ACK-Bit gesetzt ist. In einigen Ausführungsformen prüft das Brokermodul zusätzlich den Cache auf einen entsprechenden umgekehrten Eintrag im Cache, der das SYN-ACK-Bit gesetzt hat. Dieser zeigt die Verbindungsversuche an, für die der Server mit einem SYN-ACK geantwortet hat, aber der Client den Handshake nicht vervollständigt hat.
  • Für den Fall eines Port Scanning-Angriffs sucht das Brokermodul 106.1 nach jenen Cache-Einträgen, die die gleiche Quelladresse und Zieladresse, aber verschiedene Portzahlen aufweisen und für die die Zahl der Pakete oder die Paketgrößen relativ klein sind.
  • Sobald das Brokermodul 106.1 wahrscheinliche Quellen für den Angriff identifiziert hat, kann es Angriffsfalldaten, die die potentielle Quelle und Art des Angriffs identifizieren, erzeugen. Das Brokermodul 106.1 kann dann von seinen Grenzangriffsdetektionsmodulen 104.2, 104.5 und 104.6 Cache-Informationen erhalten. Der Broker 106.1 kann daraufhin seine Cache-Daten analysieren, um zu bestimmen, ob eine der wahrscheinlichen Angriffsquell-IP-Adresssen von einem der Grenzangriffsdetektionsmodule 104.2, 104.5 und 104.6 gesehen wurde. In diesem Beispiel passen einige der Quelladressen, die von Angriffsdetektionsmodul 104.6 gesehen wurden, zu der engeren Auswahlliste der Adressen. Das Brokermodul 106.1 kann nun mit dem Brokermodul 106.3 (und irgendeinem weiteren gleichrangigen Broker in Domänen, die zu von Angriffsdetektionsmodul 104.6 wahrgenommenen Verkehr beitragen) kommunizieren und die Liste der Cache-Einträge, die von Angriffsdetektionsmodulen 104.1 und 104.6 gesehen werden, übertragen. In ähnlicher Weise können Angriffsfalldaten an Broker 106.4 anhand einer Liste der Einträge, die den Angriffsdetektionsmodulen 104.1 und 104.5 gemeinsam sind, gesandt werden. Man beachte, daß das Angriffsdetektionsmodul 104.2 höchstwahrscheinlich keine Informationen beitragen wird, da sein Netzwerk 130.2 nicht in dem Pfad eines der Denial of Service-Angriffe liegt.
  • Die Broker 106.3 und 106.5 können nun innerhalb ihrer Domänen ähnliche Analysen durchführen, um die Quelle des Angriffs genau festzustellen. Sobald die Quelle bestimmt ist, können durch die Broker 106 Maßnahmen zur Unterdrückung der Angriffe innerhalb ihrer Domäne ergriffen werden. Diese Maßnahmen umfassen und sind nicht beschränkt auf das Abschalten der störenden Maschinen, das Unterbrechen des von der Maschine ausgehenden, auf das Opfer gerichteten Verkehrs und das Analysieren des Verkehrsmusters zu und von den störenden Maschinen (Angriffsquellen), um einen Master Controller zu untersuchen und zu identifizieren.
  • In einigen Ausführungsformen der Erfindung halten die Brokermodule 106 die Cache-Informationen, die sie von den Grenzangriffsdetektionsmodulen 104 erhalten haben, vor. Die vorgehaltenen Daten können von der Zeit, zu der sie empfangen wurden, oder einem oberen Grenzwert der vorzuhaltenden Datenmenge abhängen. Die vorgehaltenen Daten können zu forensischen Anlässen zur Nachangriffsanalyse nützlich sein.
  • Dieser Abschnitt hat die verschiedenen logischen Module in einem System, das Denial of Service-Angriffe detektiert und solche Angriffe zu ihrer Quelle rückverfolgt, beschrieben. Wie der Fachmann anerkennen wird, kann die Software zur Implementierung der Module in irgendeiner von einer Anzahl von Programmiersprachen, die in der Technik bekannt sind, geschrieben werden, einschließlich aber nicht beschränkt auf C/C++, Java, Visual Basic, Smalltalk, Pascal, Ada und ähnliche Programmiersprachen. Die Erfindung ist zur Umsetzung nicht auf eine spezielle Programmiersprache beschränkt.
  • Verfahren einer beispielhaften Ausführungsform der Erfindung
  • In dem vorausgegangenen Abschnitt wurde ein Überblick des Arbeitsablaufs einer beispielhaften Hardware- und Softwareumgebung, die verschiedene Ausführungsformen der Erfindung umfaßt, auf Systemebene beschrieben. In diesem Abschnitt werden die speziellen Verfahren der Erfindung, die von einer Betriebsumgebung, welche eine beispielhafte Ausführungsform umsetzt, durchgeführt werden, mit Bezug auf eine Reihe von Flußdiagrammen beschrieben, die in 3A, 3B und 4 gezeigt sind. Die von der Betriebsumgebung durchzuführenden Verfahren bilden Computerprogramme, die aus computerausführbaren Anweisungen zusammengesetzt sind. Das Beschreiben des Verfahrens durch Bezug auf ein Flußdiagramm ermöglicht es einem Fachmann, solche Programme zu entwickeln, einschließlich Anweisungen, um das Verfahren auf geeigneten Computer auszuführen (der Prozessor führt Anweisungen von einem computerlesbaren Medium aus). Die Verfahren, die in 3A, 3B und 4 gezeigt sind, schließen Handlungen ein, die von einer Betriebsumgebung, welche eine beispielhafte Ausführungsform der Erfindung ausführt, durchgeführt werden.
  • 3A zeigt ein Flußdiagramm, welches ein Verfahren, entsprechend einer Ausführungsform der Erfindung, zum Detektieren und Nachverfolgen eines Denial of Service-Angriffes darstellt. Das Verfahren beginnt, wenn ein System, wie zum Beispiel ein Brokermodul 106, einen Status-Update von einem Angriffsdetektionsmodul 104 empfängt (Block 302). Das Status-Update kann durch einen Denial of Service-Angriff initiiert werden, oder es kann ein periodisches Update sein.
  • Als nächstes bestimmt das System, ob ein potentieller Angriff im Gange ist (Block 304). Wenn kein Angriff detektiert wird, kehrt das Verfahren zu Block 302 zurück, um das nächste Status-Update abzuwarten. Wenn jedoch ein potentieller Angriff angezeigt wird, fragt das System die Cache-Informationen von einem oder mehreren der kommunizierfähig gekoppelten Angriffdetektionsmodule 104 ab (Block 306). In einigen Ausführungsformen, in denen das TCP/IP-Protokoll das Netzwerkprotokoll ist, können die zwischengespeicherten Informationen die Quell-IP-Adresse, die Ziel-IP-Adresse, den Quellport, den Zielport und das Protokoll für einen Verbindungsfluß umfassen. In alternativen Ausführungsformen der Erfindung beinhalten die zwischengespeicherten Daten des weiteren Statistiken bezüglich eines Verbindungsflusses, wie zum Beispiel der Bytezahl, der Paketzahl, der ersten Paketzeit und der letzten Paketzeit. In noch weiteren alternativen Ausführungsformen beinhalten die zwischengespeicherten Daten TCP-Flags, die den Verbindungsstatus melden (hergestellt, geschlossen, halboffen, etc.).
  • Das System analysiert dann die zwischengespeicherten Daten, die von einem oder mehreren der Angriffsdetektionsmodule 104 gesammelt wurden, und bestimmt, ob eine der Angriffssignaturen vorliegt (Block 308). Verschiedene Arten von Angriffssignaturen sind je nach Art des Angriffs möglich. Zum Beispiel kann in einem SYN Flood-Angriff die Signatur zahlreiche halboffene Verbindungen in den zwischengespeicherten Daten umfassen. Im Falle eines Port Scans kann die Angriffssignatur zahlreiche Versuche umfassen, Ports auf serielle Art von der gleichen Quelladresse zu öffnen.
  • Nachdem eine Angriffssignatur identifiziert wurde, werden Angriffsfalldaten erzeugt und an die gleichrangigen Brokermodule 106 gesandt (Block 310). Die Angriffsfalldaten können zum Identifizieren der Art und der Quelle oder Quellen eines bestimmten Angriffs genutzt werden.
  • Als nächstes wartet das System in einigen Ausführungsformen auf Nachrichtenverkehr von den gleichrangigen Brokermodulen 106 (Block 312). Der Nachrichtenverkehr kann eine Bestätigung des Angriffs, oder sie kann Information, die anzeigt, daß ein gleichrangiges Brokermodul 106 den Angriff nicht sieht, sein. Diese Information kann genutzt werden, um die potentielle Quelle des Angriffs einzugrenzen.
  • 3B ist ein Flußdiagramm, welches weitere Details für ein Verfahren entsprechend einer Ausführungsform der Erfindung zum Nachverfolgen eines Denial of Service-Angriffes bietet.
  • Die Aktionen, die in 3B aufgeführt werden, können von einem gleichrangigen Brokermodul 106 durchgeführt werden, nachdem es von einem weiteren gleichrangigen Broker 106 über einen potentiellen Angriff informiert worden ist. Das Verfahren beginnt, wenn das Brokermodul 106 Angriffsfalldaten von einem gleichrangigen Brokermodul 106 erhält (Block 320).
  • Als nächstes fragt das System zwischengespeicherte Daten von den Grenzangriffsdetektionsmodulen in der gleichen Netzwerkdomäne wie das Brokermodul 106 ab (Block 322). Die gesammelten Cache-Daten können analysiert werden, um wie oben beschrieben potentielle Angriffssignaturen zu bestimmen. Die potentiellen Angriffssignaturen können dann analysiert und mit den Angriffsfalldaten verglichen werden (Block 324).
  • Wenn eine Übereinstimmung vorliegt (Block 326), können in einigen Ausführungsformen der Erfindung Angriffsgegenmaßnahmen eingeleitet werden (Block 328). Diese Angriffsgegenmaßnahmen können das Filtern von Paketen von der Quelle, die in den Angriffsfalldaten identifiziert wurde, das Abschalten der der Angriffe verdächtigten Quelle oder das Melden des Angriffs an eine Netzwerkkonsole umfassen.
  • 4 ist ein Flußdiagramm, welches ein Verfahren entsprechend einer Ausführungsform der Erfindung zum Detektieren eines Denial of Service-Angriffes darstellt. Das Verfahren beginnt, wenn ein System, welches Denial of Service-Angriffe detektieren möchte, auf das Eintreffen von Netzwerkpaketen wartet (Block 402). Nachdem ein Paket empfangen worden ist (Block 404), wird der Pakettyp geprüft. In einigen Ausführungsformen der Erfindung wird eine Überprüfung durchgeführt, um festzustellen, ob das Paket ein Initialisierungspaket ist (Block 406). In einigen Ausführungsformen ist das Initialisierungspaket ein SYN-Paket.
  • Wenn das Packet ein Initialisierungspaket ist, dann werden Daten bezüglich dieses Pakets in einem Speicher (zwischen-)gespeichert (Block 408). In einigen Ausführungsformen umfassen diese Daten eine Quelladresse, einen Quellport, eine Zieladresse, einen Zielport, einen Pakettyp und einen Zeitstempel. Die Steuerung kehrt zu Block 402 zurück, um das Eintreffen weiterer Pakete zu erwarten.
  • Andernfalls wird eine Prüfung vollzogen, um festzustellen, ob das Paket ein Initialisierungsbestätigungspaket ist (Block 410). In einigen Ausführungsformen ist das Initialisierungsbestätigungspaket ein SYN/ACK-Paket. Falls das Paket ein Initialisierungsbestätigungspaket ist, nehmen einige Ausführungsformen der Erfindung eine Quelladresse, einen Quellport, eine Zieladresse, einen Zielport, einen Pakettyp und einen Zeitstempel für das Paket auf. Die Steuerung kehrt dann zu Block 402 zurück, um auf die Ankunft des nächsten Paketes zu warten.
  • Andernfalls, wenn das Paket kein Initialisierungsbestätigungspaket ist, prüfen einige Ausführungsformen der Erfindung das Paket, um zu bestimmen, ob es ein Bestätigungspaket ist (Block 412). Wenn das Paket kein Bestätigungspaket ist, kehrt die Steuerung zurück zu Block 402, um auf das nächste Paket zu warten.
  • In einigen Ausführungsformen wird dann, wenn das Paket ein Bestätigungspaket ist, eine Prüfung vollzogen, um festzustellen, ob das Bestätigungspaket nach einem entsprechenden Initialisierungspaket angekommen ist (Block 414). In einigen Ausführungsformen der Erfindung ist das Bestätigungspaket ein ACK-Paket. Wenn das Bestätigungspaket nicht dem vorher ausgegebenen Initialisierungspaket entspricht, kehrt die Steuerung zu Block 402 zurück, um auf das nächste Paket zu warten.
  • In einigen Ausführungsformen der Erfindung jedoch, wird, wenn das Bestätigungspaket dem vorher ausgegebenen Initialisierungspaket entspricht, eine Prüfung vollzogen, um zu bestimmen, ob das Bestätigungspaket nach dem entsprechenden Initialisierungsbestätigungspaket angekommen ist (Block 416). Wenn es nach dem entsprechenden Initialisierungsbestätigungspaket angekommen ist, dann kehrt die Steuerung zu Block 402 zurück, um die Ankunft des nächsten Pakets zu erwarten. In diesem Fall ist eine Verbindung voll geöffnet, und sie ist höchstwahrscheinlich eine berechtigte Verbindung.
  • Wenn jedoch das Bestätigungspaket vor einem entsprechenden Initialisierungsbestätigungspaket ankommt, zeigt das System einen potentiellen Denial of Service-Angriff an (Block 418). Im Falle von TCP, wird ein möglicher SYN Flood-Angriff angezeigt. Dieser Fall entspricht einer Situation, in der ein Angreifer versucht, Systeme, die nur die Anzahl der Initiali sierungsanfragen und der Bestätigungsantworten abzählen, ohne zu versuchen, die zeitliche Beziehung der Pakete zu bestimmen, zu überlisten.
  • Zusätzlich kann an jeder Stelle während des Verfahrens das System die Daten, die in den Blöcken 408 und 410 gesammelt wurden, untersuchen, um einen Zählwert zu bestimmen, wie viele Initialisierungspakete ohne ein entsprechendes Bestätigungspaket erzeugt wurden (Block 420). Wenn der Zählwert einen einstellbaren oder voreingestellten Grenzwert überschreitet, kann eine Meldung erzeugt werden, daß das System einem Denial of Service-Angriff unterliegt.
  • Schlußfolgerung
  • Systeme und Verfahren zum Detektieren eines Denial of Service-Angriffes und zum Nachverfolgen eines solchen Angriffs zurück zu einer Quelle wurden offenbart. Die Ausführungsformen der Erfindung liefern Vorteile gegenüber vorherigen Systemen. Zum Beispiel sehen die offenbarten Systeme und Verfahren das frühe und genaue Detektieren eines Denial of Service-Angriffs vor. Des weiteren unterstützen die Systeme und Verfahren das automatische Nachverfolgen eines Denial of Service-Angriffs zurück auf die Quelle, wodurch menschliche Eingriffe reduziert oder vermieden werden. Dies kann zu einem früheren Erkennen der Quelle des Angriffs führen.
  • Obwohl spezifische Ausführungsformen hierin dargestellt und beschrieben wurden, wird es von Leuten mit üblichen Fachkenntnissen anerkannt, daß jegliche Gestaltung, die darauf abzielt, den gleichen Nutzen zu erzielen, die gezeigten spezifischen Ausführungsformen ersetzen kann. Diese Anmeldung zielt darauf ab, jegliche Anpassung oder Variation der vorliegenden Erfindung abzudecken.
  • Die Terminologie, die in dieser Anmeldung benutzt wird, soll all diese Umgebungen umfassen. Selbstverständlich beabsichtigt die obige Beschreibung veranschaulichend, aber nicht beschränkend zu sein. Viele weitere Ausführungsformen werden dem die obige Beschreibung sichtenden Fachmann ersichtlich sein. Es ist daher offenkundig beabsichtigt, daß diese Erfindung nur durch die folgenden Ansprüche und deren Äquivalente beschränkt sei.
  • Zusammenfassung
  • Systeme und Verfahren zum Detektieren und Nachverfolgen eines Denial of Service-Angriffs werden offenbart. Ein Aspekt der Systeme und Verfahren umfaßt das Zur-Verfügung-Stellen einer Mehrzahl von Angriffsdetektionsmodulen und einer Mehrzahl von Brokermodulen, die so betrieben werden können, daß sie kommunizierfähig an ein Netzwerk koppeln. Die Angriffsdetektionsmodule arbeiten, um einen potentiellen Denial of Service-Angriff auf ein Netzwerksegment zu detektieren. Eine Angriffssignatur des potentiellen Denial of Service-Angriffs kann an ein oder mehrere Brokermodule in dem Netzwerksegment weitergeleitet werden. Die Brokermodule analysieren die Daten kollektiv, um eine Quelle oder Quellen des Angriffs zu bestimmen.

Claims (27)

  1. Verfahren zum Nachverfolgen eines Denial of Service-Angriffes, wobei das Verfahren umfaßt: Zur-Verfügung-Stellen einer Mehrzahl an Angriffsdetektionsmodulen und einer Mehrzahl an Brokermodulen, die einsetzbar sind, kommunizierfähig an ein Netzwerk zu koppeln; Empfangen einer Anzeige von einem ersten Angriffsdetektionsmodul aus der Mehrzahl an Angriffsdetektionsmodulen, daß ein Denial of Service-Angriff im Gange sein kann; Empfangen von zwischengespeicherter Netzwerkpaketinformation von einem oder mehreren der Angriffsdetektionsmodule; Bestimmen einer Angriffssignatur aus der zwischengespeicherten Netzwerkpaketinformation; und Senden von auf der Angriffssignatur basierenden Angriffsfalldaten an eines oder mehrere der Mehrzahl an Brokermodulen.
  2. Verfahren nach Anspruch 1, wobei der Denial of Service-Angriff einen SYN-Flood-Angriff umfaßt.
  3. Verfahren nach Anspruch 1, wobei der Denial of Service-Angriff einen Ping-Flood-Angriff umfaßt.
  4. Verfahren nach Anspruch 1, wobei das Empfangen einer Anzeige, daß ein Denial of Service-Angriff im Gange sein kann, des weiteren umfaßt: Empfangen einer Mehrzahl an Initialisierungspaketen von einer Mehrzahl an Netzwerkquellen in dem Netzwerk; Zwischenspeichern von Informationen bezüglich der Initialisierungspakete; Bestimmen eines Zählwerts der Initialisierungspakete, die nicht bestätigt worden sind, aus der zwischengespeicherten Information; und Anzeigen eines potentiellen Denial of Service-Angriffes, wenn der Zählwert einen Grenzwert überschreitet.
  5. Verfahren nach Anspruch 1, welches des weiteren das Empfangen von Statusinformation bezüglich des Denial of Service-Angriffes von einem oder mehreren aus der Mehrzahl an Brokermodulen umfaßt.
  6. Verfahren zum Nachverfolgen eines Denial of Service-Angriffes, wobei das Verfahren umfaßt: Zur-Verfügung-Stellen einer Mehrzahl an Angriffsdetektionsmodulen und einer Mehrzahl an Brokermodulen, die kommunizierfähig an ein Netzwerk gekoppelt sind; Empfangen von Angriffsfalldaten von zumindest einem aus der Mehrzahl an Brokermodulen; Empfangen von zwischengespeicherten Netzwerkpaketinformationen von einem oder mehreren der Angriffsdetektionsmodule; Bestimmen einer oder mehrerer Angriffssignaturen aus den zwischengespeicherten Netzwerkpaketinformationen; Vergleichen von zumindest einer Untermenge der Angriffsfalldaten mit der oder den Angriffssignaturen; und Initiieren von Angriffsgegenmaßnahmen, wenn der Vergleich in einer Übereinstimmung der Untermenge der Angriffsfalldaten mit der einen oder den mehreren Angriffssignaturen resultiert.
  7. Verfahren nach Anspruch 6, welches des weiteren das Kommunizieren von Angriffsstatusinformation zu zumindest einem der Brokermodule umfaßt.
  8. Verfahren nach Anspruch 6, wobei das Initiieren von Angriffsgegenmaßnahmen das Filtern von Paketen von einer Quelle des Denial of Service-Angriffes umfaßt.
  9. Verfahren zum Detektieren eines Denial of Service-Angriffes, wobei das Verfahren umfaßt: Empfangen einer Mehrzahl an Initialisierungspaketen von einer Mehrzahl an Netzwerkquellen in einem Netzwerk, wobei das Netzwerk ein Protokoll aufweist; Zwischenspeichern von Information bezüglich der Initialisierungspakete; Bestimmen eines Zählwerts der Mehrzahl an Initialisierungspaketen, die nicht bestätigt worden sind, aus der zwischengespeicherten Information; und Anzeigen eines potentiellen Denial of Service-Angriffes, wenn der Zählwert einen Grenzwert überschreitet.
  10. Verfahren nach Anspruch 9, welches des weiteren umfaßt: Senden eines Initialisierungsbestätigungspaketes in Antwort auf das Initialisierungspaket; Zwischenspeichern von Information bezüglich des Initialisierungsbestätigungspakets, wobei die Information eine Initialisierungsbestätigungspaketzeit umfaßt; Empfangen eines Bestätigungspaketes von einer der Mehrzahl an Netzwerkquellen, wobei das Paket eine Bestätigungsankunftszeit hat; Vergleichen der Bestätigungsankunftszeit mit der Initialisierungsbestätigungspaketzeit; und Melden eines potentiellen Denial of Service-Angriffes, wenn die Bestätigungsankunftszeit vor der Initialisierungsbestätigungspaketzeit liegt.
  11. Verfahren nach Anspruch 10, wobei das Netzwerkprotokoll ein IP-Netzwerkprotokoll umfaßt.
  12. Verfahren nach Anspruch 10, wobei das Netzwerkprotokoll ein TCP/IP-Netzwerkprotokoll umfaßt, und wobei das Initialisierungspaket ein SYN-Paket umfaßt, das Initialisierungsbestätigungspaket ein SYN-ACK-Paket umfaßt und das Bestätigungspaket ein ACK-Paket umfaßt.
  13. Computerisiertes System, welches umfaßt: eine Mehrzahl an Angriffsdetektionsmodulen, die kommunizierfähig an ein Netzwerk gekoppelt sind, und einsetzbar sind, um: Netzwerkdaten zwischenzuspeichern und einen Denial of Service-Angriff zu detektieren; und wenigstens ein Brokermodul, welches kommunizierfähig an das Netzwerk gekoppelt ist, und einsetzbar ist, um: eine Anzeige eines Denial of Service-Angriffes zu empfangen, die zwischengespeicherten Netzwerkdaten von einem oder mehreren der Mehrzahl an Angriffsdetektionsmodulen aufzurufen, und die zwischengespeicherten Netzwerkdaten auf eine Angriffssignatur zu analysieren.
  14. Computerisiertes System nach Anspruch 13, wobei das Angriffsdetektionsmodul in einer Netzwerkvorrichtung integriert ist, welche aus der Gruppe ausgewählt ist, die aus einem Switch, einem Router, einer Bridge, einem Servercomputer und einem PC besteht.
  15. Computerisiertes System nach Anspruch 13, wobei das wenigstens eine Brokermodul des weiteren einsetzbar ist, um: Angriffsfalldaten von wenigstens einem der Mehrzahl an Brokermodulen zu empfangen; zwischengespeicherte Netzwerkpaketinformationen von einem oder mehreren der Angriffsdetektionsmodule zu empfangen; eine oder mehrere Angriffssignaturen aus den zwischengespeicherten Netzwerkpaketinformationen zu bestimmen; wenigstens eine Untermenge der Angriffsfalldaten mit der oder den Angriffssignaturen zu vergleichen; und Angriffsgegenmaßnahmen einzuleiten, wenn der Vergleich in einer Übereinstimmung der Untermenge der Angriffsfalldaten mit der oder den Angriffssignaturen resultiert.
  16. Maschinenlesbares Medium, das von einer Maschine ausführbare Anweisungen aufweist, ein Verfahren zum Nachverfolgen eines Denial of Service-Angriffes auszuführen, wobei das Verfahren umfaßt: Zur-Verfügung-Stellen einer Mehrzahl an Angriffsdetektionsmodulen und einer Mehrzahl an Brokermodulen, die einsetzbar sind, kommunizierfähig an ein Netzwerk zu koppeln; Empfangen einer Anzeige von einem ersten Angriffsdetektionsmodul der Mehrzahl an Angrifffsdetektionsmodulen, daß ein Denial of Service-Angriff im Gange sein kann; Empfangen von zwischengespeicherter Netzwerkpaketinformation von einem oder mehreren der Angriffsdetektionsmodule; Bestimmen einer Angriffssignatur aus der zwischengespeicherten Netzwerkpaketinformation; und Senden von auf der Angriffssignatur basierenden Angriffsfalldaten an eines oder mehrere der Mehrzahl an Brokermodulen.
  17. Maschinenlesbares Medium nach Anspruch 16, wobei das Empfangen einer Anzeige, daß ein Denial of Service-Angriff im Gange sein kann, des weiteren umfaßt: Empfangen einer Mehrzahl an Initialisierungspaketen von einer Mehrzahl an Netzwerkquellen in einem Netzwerk; Zwischenspeichern von Information bezüglich der Initialisierungspakete; Bestimmen eines Zählwerts der Mehrzahl an Initialisierungspaketen, die nicht bestätigt worden sind, aus der zwischengespeicherten Information; und Anzeigen eines potentiellen Denial of Service-Angriffes, wenn der Zählwert einen Grenzwert überschreitet.
  18. Maschinenlesbares Medium nach Anspruch 16, wobei der Denial of Service-Angriff einen SYN-Flood-Angriff umfaßt.
  19. Maschinenlesbares Medium nach Anspruch 16, wobei der Denial of Service-Angriff einen Ping-Flood-Angriff umfaßt.
  20. Maschinenlesbares Medium nach Anspruch 16, welches des weiteren das Empfangen von Statusinformationen bezüglich des Denial of Service-Angriffes von einem oder mehreren der Mehrzahl an Brokermodulen umfaßt.
  21. Maschinenlesbares Medium, das von einer Maschine ausführbare Anweisungen aufweist, um ein Verfahren zum Nachverfolgen eines Denial of Service-Angriffes durchzuführen, wobei das Verfahren umfaßt: Zur-Verfügung-Stellen einer Mehrzahl an Angriffsdetektionsmodulen und einer Mehrzahl an Brokermodulen, die kommunizierfähig an ein Netzwerk gekoppelt sind; Empfangen von Angriffsfalldaten von wenigstens einem der Mehrzahl an Brokermodulen; Empfangen von zwischengespeicherten Netzwerkpaketinformationen von einem oder mehreren der Angriffsdetektionsmodule; Bestimmen einer oder mehrerer Angriffssignaturen aus den zwischengespeicherten Netzwerkpaketinformationen; Vergleichen von wenigstens einer Untermenge der Angriffsfalldaten mit der einen oder den mehreren Angriffssignaturen; und Initiieren von Gegenmaßnahmen, wenn der Vergleich in einer Übereinstimmung der Untermenge der Angriffsfalldaten mit der einen oder den mehreren Angriffssignaturen resultiert.
  22. Maschinenlesbares Medium nach Anspruch 21, welches des weiteren das Kommunizieren von Angriffsstatusinformationen zu wenigstens einem Brokermodul umfaßt.
  23. Maschinenlesbares Medium nach Anspruch 21, wobei das Initiieren von Angriffsgegenmaßnahmen das Filtern von Paketen von einer Quelle des Denial of Service-Angriffes umfaßt.
  24. Maschinenlesbares Medium, welches von einer Maschine ausführbare Anweisungen aufweist, um ein Verfahren zur Detektion eines Denial of Service-Angriffs durchzuführen, wobei das Verfahren umfaßt: Empfangen einer Mehrzahl an Initialisierungspaketen von einer Mehrzahl an Netzwerkquellen in einem Netzwerk, wobei das Netzwerk ein Protokoll aufweist; Zwischenspeichern von Informationen bezüglich der Initialisierungspakete; Bestimmen eines Zählwerts der Mehrzahl an Initialisierungspaketen, die nicht bestätigt worden sind, aus den zwischengespeicherten Informationen; und Anzeigen eines potentiellen Denial of Service-Angriffes, wenn der Zählwert einen Grenzwert überschreitet.
  25. Maschinenlesbares Medium nach Anspruch 24, welches des weiteren umfaßt: Senden eines Initialisierungsbestätigungspakets in Antwort auf das Initialisierungspaket; Zwischenspeichern von Information bezüglich des Initialisierungsbestätigungspakets, wobei die Informationen eine Initialisierungsbestätigungspaketzeit umfassen; Empfangen eines Bestätigungspakets von einer der Mehrzahl an Netzwerkquellen, wobei das Paket eine Bestätigungsankunftszeit hat; Vergleichen der Bestätigungsankunftszeit mit der Initialisierungsbestätigungspaketzeit; und Anzeigen eines möglichen Denial of Service-Angriffes, wenn die Bestätigungsankunftszeit vor der Initialisierungsbestätigungspaketzeit liegt.
  26. Maschinenlesbares Medium nach Anspruch 24, wobei das Netzwerkprotokoll ein IP-Netzwerkprotokoll umfaßt.
  27. Maschinenlesbares Medium nach Anspruch 24, wobei das Netzwerkprotokoll ein TCP/IP-Netzwerkprotokoll umfaßt und wobei das Initialisierungspaket ein SYN-Paket umfaßt, das Initialisierungsbestätigungspaket ein SYN/ACK-Paket umfaßt und das Bestätigungspaket ein ACK-Paket umfaßt.
DE10394008T 2002-12-31 2003-12-18 System und Verfahren zum Detektieren und Nachverfolgen von Denial of Service-Angriffen Expired - Fee Related DE10394008B4 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US10/335,197 US7269850B2 (en) 2002-12-31 2002-12-31 Systems and methods for detecting and tracing denial of service attacks
US10/335,197 2002-12-31
PCT/US2003/040595 WO2004062232A1 (en) 2002-12-31 2003-12-18 Systems and methods for detecting and tracing denial of service attacks

Publications (2)

Publication Number Publication Date
DE10394008T5 true DE10394008T5 (de) 2008-10-16
DE10394008B4 DE10394008B4 (de) 2010-03-18

Family

ID=32655288

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10394008T Expired - Fee Related DE10394008B4 (de) 2002-12-31 2003-12-18 System und Verfahren zum Detektieren und Nachverfolgen von Denial of Service-Angriffen

Country Status (7)

Country Link
US (1) US7269850B2 (de)
JP (1) JP4083747B2 (de)
AU (1) AU2003301130A1 (de)
DE (1) DE10394008B4 (de)
GB (1) GB2411076B (de)
HK (1) HK1075147A1 (de)
WO (1) WO2004062232A1 (de)

Families Citing this family (60)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2852754B1 (fr) * 2003-03-20 2005-07-08 At & T Corp Systeme et methode de protection d'un reseau de transmission ip contre les attaques de deni de service
US7436770B2 (en) * 2004-01-21 2008-10-14 Alcatel Lucent Metering packet flows for limiting effects of denial of service attacks
US7391725B2 (en) * 2004-05-18 2008-06-24 Christian Huitema System and method for defeating SYN attacks
US7957372B2 (en) * 2004-07-22 2011-06-07 International Business Machines Corporation Automatically detecting distributed port scans in computer networks
WO2006008307A1 (en) * 2004-07-22 2006-01-26 International Business Machines Corporation Method, system and computer program for detecting unauthorised scanning on a network
US8423645B2 (en) * 2004-09-14 2013-04-16 International Business Machines Corporation Detection of grid participation in a DDoS attack
JP4292213B2 (ja) * 2004-10-12 2009-07-08 日本電信電話株式会社 サービス不能攻撃防御システム、サービス不能攻撃防御方法およびサービス不能攻撃防御プログラム
US7703138B2 (en) * 2004-12-29 2010-04-20 Intel Corporation Use of application signature to identify trusted traffic
US8489846B1 (en) * 2005-06-24 2013-07-16 Rockwell Collins, Inc. Partition processing system and method for reducing computing problems
US7987493B1 (en) * 2005-07-18 2011-07-26 Sprint Communications Company L.P. Method and system for mitigating distributed denial of service attacks using centralized management
US20070083927A1 (en) * 2005-10-11 2007-04-12 Intel Corporation Method and system for managing denial of services (DoS) attacks
US7610622B2 (en) * 2006-02-06 2009-10-27 Cisco Technology, Inc. Supporting options in a communication session using a TCP cookie
US7675854B2 (en) * 2006-02-21 2010-03-09 A10 Networks, Inc. System and method for an adaptive TCP SYN cookie with time validation
JP4126707B2 (ja) * 2006-07-28 2008-07-30 インターナショナル・ビジネス・マシーンズ・コーポレーション 情報システムの状態を解析する技術
US8510834B2 (en) * 2006-10-09 2013-08-13 Radware, Ltd. Automatic signature propagation network
US8584199B1 (en) 2006-10-17 2013-11-12 A10 Networks, Inc. System and method to apply a packet routing policy to an application session
US8312507B2 (en) 2006-10-17 2012-11-13 A10 Networks, Inc. System and method to apply network traffic policy to an application session
WO2008047141A1 (en) * 2006-10-18 2008-04-24 British Telecommunications Public Limited Company Method and apparatus for monitoring a digital network
US20080240140A1 (en) * 2007-03-29 2008-10-02 Microsoft Corporation Network interface with receive classification
US20080307526A1 (en) * 2007-06-07 2008-12-11 Mi5 Networks Method to perform botnet detection
US8085681B2 (en) * 2008-10-21 2011-12-27 At&T Intellectual Property I, Lp Centralized analysis and management of network packets
US9960967B2 (en) 2009-10-21 2018-05-01 A10 Networks, Inc. Determining an application delivery server based on geo-location information
US9215275B2 (en) 2010-09-30 2015-12-15 A10 Networks, Inc. System and method to balance servers based on server load status
US9609052B2 (en) 2010-12-02 2017-03-28 A10 Networks, Inc. Distributing application traffic to servers based on dynamic service response time
US8897154B2 (en) 2011-10-24 2014-11-25 A10 Networks, Inc. Combining stateless and stateful server load balancing
US9386088B2 (en) 2011-11-29 2016-07-05 A10 Networks, Inc. Accelerating service processing using fast path TCP
US9094364B2 (en) 2011-12-23 2015-07-28 A10 Networks, Inc. Methods to manage services over a service gateway
US10044582B2 (en) 2012-01-28 2018-08-07 A10 Networks, Inc. Generating secure name records
US8782221B2 (en) 2012-07-05 2014-07-15 A10 Networks, Inc. Method to allocate buffer for TCP proxy session based on dynamic network conditions
CN108027805B (zh) 2012-09-25 2021-12-21 A10网络股份有限公司 数据网络中的负载分发
US9843484B2 (en) 2012-09-25 2017-12-12 A10 Networks, Inc. Graceful scaling in software driven networks
US9106561B2 (en) 2012-12-06 2015-08-11 A10 Networks, Inc. Configuration of a virtual service network
US10021174B2 (en) 2012-09-25 2018-07-10 A10 Networks, Inc. Distributing service sessions
US10002141B2 (en) 2012-09-25 2018-06-19 A10 Networks, Inc. Distributed database in software driven networks
US9338225B2 (en) 2012-12-06 2016-05-10 A10 Networks, Inc. Forwarding policies on a virtual service network
US9531846B2 (en) 2013-01-23 2016-12-27 A10 Networks, Inc. Reducing buffer usage for TCP proxy session based on delayed acknowledgement
US9900252B2 (en) 2013-03-08 2018-02-20 A10 Networks, Inc. Application delivery controller and global server load balancer
WO2014144837A1 (en) 2013-03-15 2014-09-18 A10 Networks, Inc. Processing data packets using a policy based network path
WO2014179753A2 (en) 2013-05-03 2014-11-06 A10 Networks, Inc. Facilitating secure network traffic by an application delivery controller
US10027761B2 (en) 2013-05-03 2018-07-17 A10 Networks, Inc. Facilitating a secure 3 party network session by a network device
US10230770B2 (en) 2013-12-02 2019-03-12 A10 Networks, Inc. Network proxy layer for policy-based application proxies
US10020979B1 (en) 2014-03-25 2018-07-10 A10 Networks, Inc. Allocating resources in multi-core computing environments
US9942152B2 (en) 2014-03-25 2018-04-10 A10 Networks, Inc. Forwarding data packets using a service-based forwarding policy
US9942162B2 (en) 2014-03-31 2018-04-10 A10 Networks, Inc. Active application response delay time
US9806943B2 (en) 2014-04-24 2017-10-31 A10 Networks, Inc. Enabling planned upgrade/downgrade of network devices without impacting network sessions
US9906422B2 (en) 2014-05-16 2018-02-27 A10 Networks, Inc. Distributed system to determine a server's health
US10129122B2 (en) 2014-06-03 2018-11-13 A10 Networks, Inc. User defined objects for network devices
US9992229B2 (en) 2014-06-03 2018-06-05 A10 Networks, Inc. Programming a data network device using user defined scripts with licenses
US9986061B2 (en) 2014-06-03 2018-05-29 A10 Networks, Inc. Programming a data network device using user defined scripts
US9800592B2 (en) * 2014-08-04 2017-10-24 Microsoft Technology Licensing, Llc Data center architecture that supports attack detection and mitigation
US10581976B2 (en) 2015-08-12 2020-03-03 A10 Networks, Inc. Transmission control of protocol state exchange for dynamic stateful service insertion
US10243791B2 (en) 2015-08-13 2019-03-26 A10 Networks, Inc. Automated adjustment of subscriber policies
US10318288B2 (en) 2016-01-13 2019-06-11 A10 Networks, Inc. System and method to process a chain of network applications
US10673893B2 (en) 2016-08-31 2020-06-02 International Business Machines Corporation Isolating a source of an attack that originates from a shared computing environment
US10389835B2 (en) 2017-01-10 2019-08-20 A10 Networks, Inc. Application aware systems and methods to process user loadable network applications
US11030308B2 (en) * 2017-08-09 2021-06-08 Nec Corporation Inter-application dependency analysis for improving computer system threat detection
CN112154635B (zh) * 2018-05-22 2023-08-08 上海诺基亚贝尔股份有限公司 Sfc覆盖网络中的攻击源追踪
FR3086821A1 (fr) * 2018-09-28 2020-04-03 Orange Procedes de collaboration et de demande de collaboration entre services de protection associes a au moins un domaine, agents et programme d’ordinateur correspondants.
US11038902B2 (en) 2019-02-25 2021-06-15 Verizon Digital Media Services Inc. Systems and methods for providing shifting network security via multi-access edge computing
CN113573317A (zh) * 2021-07-29 2021-10-29 咪咕文化科技有限公司 网络奇异系统在卫星系统中的滤波器设计方法及装置

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6487666B1 (en) * 1999-01-15 2002-11-26 Cisco Technology, Inc. Intrusion detection signature analysis using regular expressions and logical operators
AU6218800A (en) 1999-07-14 2001-01-30 Recourse Technologies, Inc. System and method for quickly authenticating messages using sequence numbers
US7062782B1 (en) 1999-12-22 2006-06-13 Uunet Technologies, Inc. Overlay network for tracking denial-of-service floods in unreliable datagram delivery networks
EP1319296B1 (de) 2000-09-01 2007-04-18 Top Layer Networks, Inc. System und Verfahren zur Verteidigung gegen Denial-of-Service angriffe auf die Netzwerkknoten
US7043759B2 (en) * 2000-09-07 2006-05-09 Mazu Networks, Inc. Architecture to thwart denial of service attacks
US20020032871A1 (en) * 2000-09-08 2002-03-14 The Regents Of The University Of Michigan Method and system for detecting, tracking and blocking denial of service attacks over a computer network
US20020032793A1 (en) * 2000-09-08 2002-03-14 The Regents Of The University Of Michigan Method and system for reconstructing a path taken by undesirable network traffic through a computer network from a source of the traffic

Also Published As

Publication number Publication date
AU2003301130A1 (en) 2004-07-29
HK1075147A1 (en) 2005-12-02
US20040128550A1 (en) 2004-07-01
JP2006512856A (ja) 2006-04-13
GB2411076B (en) 2006-09-27
DE10394008B4 (de) 2010-03-18
GB0511258D0 (en) 2005-07-06
US7269850B2 (en) 2007-09-11
JP4083747B2 (ja) 2008-04-30
GB2411076A (en) 2005-08-17
WO2004062232A1 (en) 2004-07-22

Similar Documents

Publication Publication Date Title
DE10394008B4 (de) System und Verfahren zum Detektieren und Nachverfolgen von Denial of Service-Angriffen
DE10249888B4 (de) Knoten eines Netzes, das ein Einbruchserfassungssystem betreibt, Verfahren zum Ausführen einer Einbruchsprävention an einem Knoten eines Netzes, sowie computerlesbares Medium
DE60311185T2 (de) Statistische Methoden zur Detektion von Angriffen durch Überflutung mittels TCP SYN Paketen
DE60124295T2 (de) Flussbasierte erfassung eines eindringens in ein netzwerk
DE60308722T2 (de) Verfahren, vorrichtung und computersoftware-produkt zur reaktion auf computereinbrüche
DE602005000898T2 (de) Verfahrung und Apparatus für die Bereitstellung von mobilen Honeypots
DE202018006616U1 (de) Beschleunigung des Arbeitsablaufs von Cyberanalysen
McHugh Testing intrusion detection systems: a critique of the 1998 and 1999 darpa intrusion detection system evaluations as performed by lincoln laboratory
DE60115615T2 (de) System, einrichtung und verfahren zur schnellen paketfilterung und -verarbeitung
DE102005010923B4 (de) System, computerverwendbares Medium und Verfahren zum Überwachen einer Netzwerkaktivität
DE69922857T2 (de) Rechnersicherheit durch Virusuntersuchung
DE60102555T2 (de) Verhinderung der map-aktivierten modulmaskeradeangriffe
DE60213391T2 (de) Persönlicher Firewall mit Positionsdetektion
DE60201430T2 (de) Erkennung von computerviren in einem netzwerk unter verwendung eines köderservers
DE102014113582B4 (de) Vorrichtung, Verfahren und System für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung
Lee et al. Visual firewall: real-time network security monitor
DE202016009026U1 (de) Regelbasierte Netzwerkbedrohungsdetektion
DE202016009181U1 (de) Regelbasierte Erkennung von Netzwerkbedrohungen für verschlüsselte Kommunikationen
DE10249842A1 (de) Netz, Verfahren und computerlesbares Medium zum Verteilen von Sicherheitsaktualisierungen an ausgewählte Knoten auf einem Netz
DE60122033T2 (de) Schutz von Computernetzen gegen böswillige Inhalte
DE102020124426A1 (de) Verfahren, Systeme und computerlesbare Medien für die Bedrohungssimulation und Empfehlungen für die Bedrohungsminderung
Zhang et al. Original SYN: Finding machines hidden behind firewalls
DE112021000455T5 (de) Deep packet analyse
DE10101616C2 (de) Verfahren zum Schutz gegen Netzwerküberflutungsangriffe mit Hilfe eines verbindungslosen Protokolls
EP3796164A1 (de) Verfahren zur überlastabwehr in einer container-virtualisierten rechenvorrichtung

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee