ES2256298T3 - Procedimiento, portadores de datos, sistemas de ordenadores y programas de ordenadores para el reconocimiento de ataques de virus a sistemas de servidores de redes y a sus usuarios. - Google Patents
Procedimiento, portadores de datos, sistemas de ordenadores y programas de ordenadores para el reconocimiento de ataques de virus a sistemas de servidores de redes y a sus usuarios.Info
- Publication number
- ES2256298T3 ES2256298T3 ES01974174T ES01974174T ES2256298T3 ES 2256298 T3 ES2256298 T3 ES 2256298T3 ES 01974174 T ES01974174 T ES 01974174T ES 01974174 T ES01974174 T ES 01974174T ES 2256298 T3 ES2256298 T3 ES 2256298T3
- Authority
- ES
- Spain
- Prior art keywords
- attacks
- packets
- data
- protocol
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 title claims abstract description 29
- 241000700605 Viruses Species 0.000 title description 5
- 238000004590 computer program Methods 0.000 claims abstract description 11
- 230000007123 defense Effects 0.000 claims abstract description 11
- 230000006978 adaptation Effects 0.000 claims abstract description 9
- 230000007717 exclusion Effects 0.000 claims description 18
- 238000004891 communication Methods 0.000 claims description 14
- 230000005540 biological transmission Effects 0.000 claims description 10
- 230000004044 response Effects 0.000 claims description 9
- 230000000903 blocking effect Effects 0.000 claims description 8
- 238000010276 construction Methods 0.000 claims description 8
- 230000002265 prevention Effects 0.000 claims description 8
- 239000000969 carrier Substances 0.000 claims description 3
- 238000012795 verification Methods 0.000 abstract description 2
- 230000008901 benefit Effects 0.000 description 4
- 239000003795 chemical substances by application Substances 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000007547 defect Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000009897 systematic effect Effects 0.000 description 2
- 235000015278 beef Nutrition 0.000 description 1
- 238000009954 braiding Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Procedimiento para el reconocimiento y defensa de ataques a sistemas de servidores de proveedores y sus usuarios a través de un aparato electrónico que contiene un programa de ordenador dentro de una red de ordenadores y que es señalado por componentes y distintos pasos en el procedimiento - Protección contra los ataques DoS y DDoS (ataques por desbordamiento, Flood-attacks), dónde: - cada IP Syn (deseo de de establecer una conexión IP) queda registrado y según la condición fijado en un protocolo IP después de un determinado tiempo es contestado por un Syn Ack, mientras se comprueba la validez del paquete Syn registrado y la disponibilidad del servicio de destino, - se establece una conexión con el servicio de destino y se transmite el paquete de datos para su adaptación, cuando la comprobación ha terminado con éxito y en el intervalo se ha recibido la señal del sistema externo respondiendo a la enviada por Ack, asicomo un paquete válido de datos, y - Seguridad Nivel Link, donde los paquetes de datos para controlar serán directamente aceptados de la Capa OSI 2 (Nivel Link), y - Análisis de cabeceras válidas IP.
Description
Procedimiento, portadores de datos, sistemas de
ordenadores y programas de ordenadores para el reconocimiento de
ataques de virus a sistemas de servidores de redes y a sus
usuarios.
El invento hace referencia a un procedimiento
para el reconocimiento de ataques y a su defensa en sistemas de
servidores de redes y recursos gestionados de una red de ordenadores
a través de un aparato electrónico, que contiene un programa de
ordenador, así como un portador de datos para la ejecución de dicho
procedimiento, además el invento hace referencia a un sistema de
ordenadores que está conectado con una red, como Internet, Intranet
u otras cosas por el estilo, uno o más ordenadores que al mismo
tiempo esté configurado como servidor o como cliente, además de un
programa de ordenador que contiene un código para el reconocimiento
y la defensa de ataques a servidores a través de dicho aparato
electrónico.
El sistema mundial de redes crece cada vez con
mayor velocidad. Cada vez hay más empresas que cuentan con
infinidad de posibilidades en el ámbito del
online-marketing y del comercio electrónico. Pero
con las posibilidades también crece el peligro para los servidores
de reconocidas empresas e instituciones que quedan bloqueados por
dichos ataques en Internet.
Internet gana cada vez mayor importancia como
mercado electrónico en muchas empresas. Con la misma rapidez crece
también el peligro de ataques a través de DoS y DDoS (Denial of
Service -Denegación de Servicio- y Distributed Denial of Service-
Denegación de Servicio Distribuido = impedir el acceso o uso a un
ordenado) Por eso muchas veces se originan considerables pérdidas
de dinero, aún sin un acceso real de los "Hackers" en los
sistemas de las empresas, para que éstas no tengan éxito con su
comercio electrónico. Los fracasos al intentar evitar dichos
problemas superaron a sus éxitos. Uno de estos fracasos es que hasta
ahora no ha habido un verdadero sistema de detección de dichos
ataques que en principio es la única posibilidad de evitar estos
problemas. Otro problema existe en la condición de Internet y que
hace de ella una situación casi sin esperanza, la única manera de
evitarlos sería sí todos los proveedores del mundo, sin excepciones,
establecieran medidas para evitar los ataques de los
"Hackers". Hasta ahora, lamentablemente y por esa razón, no han
tenido éxito ninguno en los intentos de evitar los ataques DoS y
DDoS.
Internet se conoce como una red que conecta todo
el mundo a través de componentes técnicos como por ejemplo
"switches", "routers" y componentes para transmitir datos
a través de múltiples líneas. Por eso es muy fácil para los
"Hacker" bloquear a veces un servidor o también a redes
enteras. Los métodos locales y nacionales muchas veces no son
realmente de gran ayuda para prevenir ataques, porque en este
trenzado internacional de "routers", proveedores de redes y de
los conexiones Call by Call, que son muy populares, es muy fácil,
para los Hacker, una y otra vez encontrar nuevos caminos para sus
ataques. Aunque no siempre hay daños directos por la pérdida de
datos o de la manipulación de datos o de copiar los datos
ilegalmente, la imagen de la empresa pierde.
Los programas con los que se puede realizar estos
ataques se pueden encontrar fácilmente en Internet y cada uno es
libre de bajarlos o no. La mayoría de estos programas se aprovechan
de las debilidades técnicas en los protocolos para transmitir
datos, en los que se basa la comunicación de Internet. Las
"CPU's" afectadas se llenan con falsas preguntas al servidor y
otras no pueden ser contestadas, por saturación de la red. Así se
queda la CPU afectada inactiva para el cliente real.
Como ejemplo se reconocen algunas medias que
defienden y previenen algunos ataques contra los sistemas DoS Y
DDoS.
En el entorno local de los proveedores de redes
se podrían estabilizar métodos para el impedimento de ataques de
DoS y DDoS, con la prohibición de uso falsas direcciones IP. Muchos
de esos ataques DoS usan estas falsas direcciones IP (IP Spoofing)
para evitar que se sepa de dónde provienen. Con reglas técnicas en
la infraestructura de la red, los usuarios de redes podrían evitar
esa posibilidad, así los falsos paquetes IP de un mismo entorno de
servicio no pasarían a Internet.
Una organización que está conectada a una red
tiene un cierto límite de direcciones IP que puede utilizar. Cada
paquete IP, que proviene de esa organización y que accede a
Internet, tendría que tener también un remitente IP en ese sector.
Si ese no es el caso posiblemente se trataría de una dirección
falsificada y el paquete IP no se debería transmitir, eso quiere
decir que se debería filtrar el paquete a los remitentes al
introducirse en Internet.
Con eso todavía se puede hacer IP Spoofing dentro
de las direcciones permitidas, pero la posibilidad queda muy
reducida. Además se debería valorar el uso de los "Anonymous
Hosts" en el mundo, y si es posible, darles menos espacio o
evitarlos. Pero esto costaría mucho tiempo, organización y
legalmente es muy difícil realizarlo, por no hablar del coste
extremo de dinero.
Hasta ahora la resistencia de los servidores
contra los ataques de DoS y DDoS era muy limitada. Algunos sistemas
podían, sólo durante poco tiempo, rechazar los ataques. Otros podían
defenderse un poco más. Pero hasta ahora, los ataques que duran más
tiempo casi siempre tienen asegurado su éxito.
Las soluciones tradicionales para la filtración
de los paquetes casi nunca ayudan contra los ataques de DoS y DDoS
o son ellos mismos afectados quedando su función de proteger nula.
Muchos sistemas de reconocimiento de ataques son tan anticuados que
simplemente reconocen, de vez en cuando, el tráfico en la red en vez
de dar señales de que existe un ataque. Por eso normalmente es
demasiado tarde para reaccionar.
En el caso de un ataque exitoso es de inmensa
importancia reaccionar con rapidez.
Solamente así se podrían escoger medidas
eficientes para identificar enemigos y se podría reestablecer una
rápida conexión. En el caso de emergencia hay que verificar un
adecuado proceso, con la indicación de responsables, alternativas de
otros modos de comunicación, maneras de actuar en dichos casos, así
como almacenamiento para los recursos necesario y medios de
protección.
Los servidores de redes podrían ser utilizados
abusivamente como agentes de un ataque de DoS. El enemigo instala,
aprovechándose de conocidos defectos, software para la generación de
daños. Por eso los usuarios deberían configurar con un extremo
cuidado su software. Servicios de la red que no son requeridos
deberían ser desactivados y los requeridos deberían ser protegidos.
Sobre todo el password preinstalado tiene que ser cambiado con la
debida antelación.
Muchas paginas WWW pueden ser solamente
utilizadas si el "Browser" esta adecuadamente asegurado contra
ataques.
Muchos ofrecen contenidos para bajar programas y
documentos de Internet.
Si un enemigo consigue instalar allí un
"troyano" podría contar con una rápida difusión. Esa manera de
atacar es preferida y buscada en los ataques DDoS, porque así
quedan afectados una gran cantidad de ordenadores.
Los ataques DoS normalmente no tienen como fin
los pequeños usuarios. Pero podrían ser utilizados como primer paso
al instalarse en un programa el cual, luego como mando a distancia,
haría posible un ataque a cualquier ordena-
dor.
dor.
Ordenadores de pequeños consumidores podrían ser
utilizados así como agentes para ataques. La manera más fácil de
instalar estos agentes es a través de virus, de "troyanos" o
por contenidos emergentes (Pop-up's). Por eso es
tan importante un adecuado y actualizado sistema de seguridad contra
virus y desconectar las ventanas emergentes del "Browser".
Dado el caso se puede utilizar también un programa de seguridad como
los cortafuegos (PC-Firewall) para evitar problemas
durante una conexión activa (estado "Online"). Muchas veces no
se conoce con antelación nuevos virus de ordenadores y por eso no
pueden ser rechazados.
Cada vez surgen nuevos defectos en el sistema de
seguridad del software y del software de los servidores, que más
tarde a través de actualizaciones o parches podrán ser arreglados.
Para reaccionar al mismo tiempo, si es posible, es importante
revisar la salida de actualizaciones de los fabricantes. Las
actualizaciones importantes tienen que instalarse rápidamente para
evitar los agujeros en el sistema.
Para asegurar un ordenador de riesgos y peligros
es muy importante tener un considerable conocimiento de la
configuración de los sistemas de seguridad.
Por eso hay que formar muy bien a los
Administradores. No se puede contar con que las medidas para impedir
el IP Spoofing se realicen al mismo tiempo en todo el mundo por los
múltiples proveedores de servicio. Pero con lo antes mencionado se
podría tener un éxito más o menos considerable contra los ataques de
DoS y DDoS. Aunque no se podría considerar este resultado como
exitoso.
HUNT Ray, "Internet/Intranet firewall
security-policy, architecture and transaction
services", COMPUTER
COMMUNICATIONS; BUTTERWORTHS & CO: PUBLISHERS LTD; GB; Bd. 21,Nr. 13, 1. September 1998/1998-09-01) en las páginas 1107-1123, XP004146571 ISSN 0140-3664 se encuentra un resumen de arquitecturas de
Firewall.
COMMUNICATIONS; BUTTERWORTHS & CO: PUBLISHERS LTD; GB; Bd. 21,Nr. 13, 1. September 1998/1998-09-01) en las páginas 1107-1123, XP004146571 ISSN 0140-3664 se encuentra un resumen de arquitecturas de
Firewall.
La WO 99/48303 ofrece un método para bloquear
accesos no queridos a sistemas privados de redes de ordenado-
res.
res.
La función del invento es encontrar medidas para
el reconocimiento y defensa contra los ataques a redes de
servidores de proveedores de servicio, obteniendo un alto nivel de
seguridad contra dichos ataques DoS y DDoS. Sólo así se podría
mantener un sistema estable y eficaz.
Conforme al invento, la actuación será la
siguiente, paso a paso:
- -
- Protección contra los ataques DoS y DDoS (ataques por desbordamiento, Flood-attacks), dónde:
- -
- cada IP Syn (deseo de de establecer una conexión IP) queda registrado y según la condición fijado en un protocolo IP después de un determinado tiempo es contestado por un Syn Ack, mientras se comprueba la validez del paquete Syn registrado y la disponibilidad del servicio de destino,
- -
- se establece una conexión con el servicio de destino y se transmite el paquete de datos para su adaptación, cuando la comprobación ha terminado con éxito y en el intervalo se ha recibido la señal del sistema externo respondiendo a la enviada por Ack, así como un paquete válido de datos, y
- -
- Seguridad Nivel Link, donde los paquetes de datos para controlar serán directamente aceptados de la Capa OSI 2 (Nivel Link), y
- -
- Análisis de cabeceras válidas IP, dónde el contenido de cada paquete IP antes de su transmisión al servicio de destino es controlado y validado y dónde cada paquete IP que no es válido es rechazado, y
- -
- Análisis del paquete IP para comprobación de la longitud y suma de los paquetes IP en conformidad con la declaración en la cabecera TCP o IP, en la construcción de los paquete IP,
- -
- Protección Huella Digital TCP/IP (Fingerprint), prevención que tiene como respuesta el tráfico de datos de los sistemas seguros y que además neutraliza los sistemas externos, con la utilización de una identificación de protocolo, y
- -
- Bloqueo de todos los paquetes de red UDP (Protocolo de Datos de Usuario -User Data Protocol) para impedir ataques al sistema seguro a través del protocolo de sistema de red UDP, mientras se registran y desbloquean servicios que se hayan utilizado a través de UDP y se admiten informaciones explícitas para esos puertos UDP. Los demás puertos se quedan cerrados, y
- -
- Limitación de la longitud del paquete ICMP (Internet Control Message), dónde se reconocen las informaciones de ICMP solamente en una longitud máxima como paquete válido de datos mientras se quedan fuera paquetes de ICMP que se diferencian de estos, y
- -
- Exclusión de ciertas direcciones externas de IP de la comunicación del servicio de destino, y
- -
- Función de Cortafuegos a Nivel de Paquete, dónde paquetes IP's que salen y entran se examinan con la ayuda de normas y reglas y que son rechazados o admitidos según las normas y luego transmitidos al sistema final, y
- -
- Protección contra servicios del servicio de destino a través de exclusión de ciertos servicios y usuarios y/o desviación de consulta de servicio a otros servidores.
El invento hace referencia a la función de un
portador de datos que contiene un programa de ordenador para el
reconocimiento de ataques a sistemas de servidores de proveedor de
servicio y sus usuarios a través de la utilización de un aparato
electrónico en la red de ordenadores que contiene los siguientes
pasos:
- -
- Protección contra los ataques DoS y DDoS (ataques por desbordamiento, Flood-attacks), dónde:
- -
- cada IP Syn (deseo de de establecer una conexión IP) queda registrado y según la condición fijado en un protocolo IP después de un determinado tiempo es contestado por un Syn Ack, mientras se comprueba la validez del paquete Syn registrado y la disponibilidad del servicio de destino,
- -
- se establece una conexión con el servicio de destino y se transmite el paquete de datos para su adaptación, cuando la comprobación ha terminado con éxito y en el intervalo se ha recibido la señal del sistema externo respondiendo a la enviada por Ack, así como un paquete válido de datos, y
- -
- Seguridad Nivel Link, donde los paquetes de datos para controlar serán directamente aceptados de la Capa OSI 2 (Nivel Link), y
- -
- Análisis de cabeceras válidas IP, dónde el contenido de cada paquete IP antes de su transmisión al servicio de destino es controlado y validado y dónde cada paquete IP que no es válido es rechazado, y
- -
- Análisis del paquete IP para comprobación de la longitud y suma de los paquetes IP en conformidad con la declaración en la cabecera TCP o IP, en la construcción de los paquete IP,
- -
- Protección Huella Digital TCP/IP (Fingerprint), prevención que tiene como respuesta el tráfico de datos de los sistemas seguros y que además neutraliza los sistemas externos, con la utilización de una identificación de protocolo, y
- -
- Bloqueo de todos los paquetes de red UDP (Protocolo de Datos de Usuario -User Data Protocol) para impedir ataques al sistema seguro a través del protocolo de sistema de red UDP, mientras se registran y desbloquean servicios que se hayan utilizado a través de UDP y se admiten informaciones explícitas para esos puertos UDP. Los demás puertos se quedan cerrados, y
- -
- Limitación de la longitud del paquete ICMP (Internet Control Message), dónde se reconocen las informaciones de ICMP solamente en una longitud máxima como paquete válido de datos mientras se quedan fuera paquetes de ICMP que se diferencian de estos, y
- -
- Exclusión de ciertas direcciones externas de IP de la comunicación del servicio de destino, y
- -
- Función de Cortafuegos a Nivel de Paquete, dónde paquetes IP's que salen y entran se examinan con la ayuda de normas y reglas y que son rechazados o admitidos según las normas y luego transmitidos al sistema final, y
- -
- Protección contra servicios del servicio de destino a través de exclusión de ciertos servicios y usuarios y/o desviación de consulta de servicio a otros servidores.
El portador de datos preferido está formado como
EPROM y es parte de un aparato electrónico. Este aparato
electrónico puede ser un aparato para introducir instalarse en un
ordenador o también en una caja electrónica separada.
Como alternativa también se soluciona esta tarea
a través de un sistema de ordenadores que está conectado con un
sistema de redes, como Internet, Intranet etc., uno o más
ordenadores que al mismo tiempo esté configurado como servidor o
como cliente, junto a un aparato electrónico que esta dotado con un
portador de datos para proteger la conexión de los datos para
transmitir, que a su vez contiene un programa de ordenador que
contiene los siguientes pasos:
- -
- Protección contra los ataques DoS y DDoS (ataques por desbordamiento, Flood-attacks), dónde:
- -
- cada IP Syn (deseo de de establecer una conexión IP) queda registrado y según la condición fijado en un protocolo IP después de un determinado tiempo es contestado por un Syn Ack, mientras se comprueba la validez del paquete Syn registrado y la disponibilidad del servicio de destino,
- -
- se establece una conexión con el servicio de destino y se transmite el paquete de datos para su adaptación, cuando la comprobación ha terminado con éxito y en el intervalo se ha recibido la señal del sistema externo respondiendo a la enviada por Ack, así como un paquete válido de datos, y
- -
- Seguridad Nivel Link, donde los paquetes de datos para controlar serán directamente aceptados de la Capa OSI 2 (Nivel Link), y
- -
- Análisis de cabeceras válidas IP, dónde el contenido de cada paquete IP antes de su transmisión al servicio de destino es controlado y validado y dónde cada paquete IP que no es válido es rechazado, y
- -
- Análisis del paquete IP para comprobación de la longitud y suma de los paquetes IP en conformidad con la declaración en la cabecera TCP o IP, en la construcción de los paquete IP,
- -
- Protección Huella Digital TCP/IP (Fingerprint), prevención que tiene como respuesta el tráfico de datos de los sistemas seguros y que además neutraliza los sistemas externos, con la utilización de una identificación de protocolo, y
- -
- Bloqueo de todos los paquetes de red UDP (Protocolo de Datos de Usuario -User Data Protocol) para impedir ataques al sistema seguro a través del protocolo de sistema de red UDP, mientras se registran y desbloquean servicios que se hayan utilizado a través de UDP y se admiten informaciones explícitas para esos puertos UDP. Los demás puertos se quedan cerrados, y
- -
- Limitación de la longitud del paquete ICMP (Internet Control Message), dónde se reconocen las informaciones de ICMP solamente en una longitud máxima como paquete válido de datos mientras se quedan fuera paquetes de ICMP que se diferencian de estos, y
- -
- Exclusión de ciertas direcciones externas de IP de la comunicación del servicio de destino, y
- -
- Función de Cortafuegos a Nivel de Paquete, dónde paquetes IP's que salen y entran se examinan con la ayuda de normas y reglas y que son rechazados o admitidos según las normas y luego transmitidos al sistema final, y
- -
- Protección contra servicios del servicio de destino a través de exclusión de ciertos servicios y usuarios y/o desviación de consulta de servicio a otros servidores.
Además se efectúa la solución del trabajo
descubierta a través de un producto de un programa de ordenador con
un código para el reconocimiento y la defensa de ataques a sistemas
de Servidores de Proveedores de Servicio y sus usuarios utilizando
un aparato electrónico que contiene dicho programa. Dicho programa
contiene los siguientes pasos:
- -
- Protección contra los ataques DoS y DDoS (ataques por desbordamiento, Flood-attacks), dónde:
- -
- cada IP Syn (deseo de de establecer una conexión IP) queda registrado y según la condición fijado en un protocolo IP después de un determinado tiempo es contestado por un Syn Ack, mientras se comprueba la validez del paquete Syn registrado y la disponibilidad del servicio de destino,
- -
- se establece una conexión con el servicio de destino y se transmite el paquete de datos para su adaptación, cuando la comprobación ha terminado con éxito y en el intervalo se ha recibido la señal del sistema externo respondiendo a la enviada por Ack, así como un paquete válido de datos, y
- -
- Seguridad Nivel Link, donde los paquetes de datos para controlar serán directamente aceptados de la Capa OSI 2 (Nivel Link), y
- -
- Análisis de cabeceras válidas IP, dónde el contenido de cada paquete IP antes de su transmisión al servicio de destino es controlado y validado y dónde cada paquete IP que no es válido es rechazado, y
- -
- Análisis del paquete IP para comprobación de la longitud y suma de los paquetes IP en conformidad con la declaración en la cabecera TCP o IP, en la construcción de los paquete IP,
- -
- Protección Huella Digital TCP/IP (Fingerprint), prevención que tiene como respuesta el tráfico de datos de los sistemas seguros y que además neutraliza los sistemas externos, con la utilización de una identificación de protocolo, y
- -
- Bloqueo de todos los paquetes de red UDP (Protocolo de Datos de Usuario -User Data Protocol) para impedir ataques al sistema seguro a través del protocolo de sistema de red UDP, mientras se registran y desbloquean servicios que se hayan utilizado a través de UDP y se admiten informaciones explícitas para esos puertos UDP. Los demás puertos se quedan cerrados, y
- -
- Limitación de la longitud del paquete ICMP (Internet Control Message), dónde se reconocen las informaciones de ICMP solamente en una longitud máxima como paquete válido de datos mientras se quedan fuera paquetes de ICMP que se diferencian de estos, y
- -
- Exclusión de ciertas direcciones externas de IP de la comunicación del servicio de destino, y
- -
- Función de Cortafuegos a Nivel de Paquete, dónde paquetes IP's que salen y entran se examinan con la ayuda de normas y reglas y que son rechazados o admitidos según las normas y luego transmitidos al sistema final, y
- -
- Protección contra servicios del servicio de destino a través de exclusión de ciertos servicios y usuarios y/o desviación de consulta de servicio a otros servidores.
Una especial ventaja de la solución encontrada es
que no solamente todos los sistemas pueden ser protegidos de los
ataques DoS y DDoS, sino que también el programa de ordenador para
la realización del procedimiento del reconocimiento y defensa de
ataques a sistemas de servidores de redes y sus usuarios, podrá ser
asegurado con dicha ventaja.
La protección de ataques DoS y DDoS es el centro
del procedimiento de este invento. Estos ataques tienen como fin
parar uno varios ordenadores con una ola de paquetes para establecer
conexiones. Los sistemas afectados son después incapaces de
reaccionar a demandas de comunicaciones. Con un inteligente
reglamento se podrá ahora asegurar todos los sistemas protegidas de
los ataques DoS y DDoS. Con eso se tiene en cuenta un especial
tratamiento de los paquetes de redes que entran y quedan aseguradas,
de modo que solamente las legítimas demandas puedan atravesar la
protegida línea de datos y los sistemas finales, como World Wide
Web- (WWW) o servidores de E-mail, no se queden
anulados.
Dado que en el Módulo de Seguridad de Nivel Link
se recogen directamente los datos por controlar de la Capa OSI 2,
no es necesaria una dirección propia de IP. Tampoco es necesario un
costoso cambio en la configuración de la red existente,
refiriéndose a las direcciones lógicas (IP- Routing). Con este
hardware no se forma un componente de redes direccionable que
podría tener como fin un ataque desde la red.
Muchas Implantaciones de TCP/IP reaccionan con
fallos siempre que la cabecera de un paquete IP tenga una conexión
inválida. Si la estructura de un paquete IP antes de su transmisión
al sistema de destino fuese controlada, se aseguraría que solamente
paquetes IP con una correcta conexión establecida llegaran a su
sistema de destino.
Para evitar satisfactoriamente ataques a sistemas
de ordenadores hay que tener una gran conocimiento del sistema
operativo. Las rutinas huella digital TCP/IP (Finger Print) examinan
el comportamiento de implantaciones de TCP/IP del sistema de
destino y podrán así llegar a la conclusión de qué sistema se trata.
El invento asegura con su funcionamiento que los asaltantes a
través de un análisis del paquete de respuesta no podrán obtener de
vuelta una llave de acceso sistema utilizado. Así queda excluida la
posibilidad de un Fingerprint.
Para atacar un ordenador en un sistema de TCP/IP
se reconocen distintos métodos.
Una posibilidad es el enviar informaciones de
ICMP con un paquete demasiado largo en comparación con otros. Para
combatir efectivamente este problema, actúa la función implantada de
limitación de la longitud de los paquetes ICMP. La posibilidad de
dejar fuera de la comunicación distintas direcciones IP asegura la
seguridad en conjunto de los propios sistemas. Si por ejemplo se
reconoce que se está desde un ordenador de Internet controlando qué
puertos del propio sistema están abiertos, y por eso atacables, se
puede dar la instrucción de no permitirlos. La lista de los
ordenadores excluidos (Blacklist) se podría modificar más tarde para
borrar los viejos registros.
Además de la función de Cortafuegos a Nivel de
Paquete IP (Paket-Level-Firewall),
el invento se extiende al ser un mecanismo de protección, que es
asequible, al revés de los protocolos IP HTTP, FTP, NNTP, POP, IMAP,
SMTP, X , LDAP, LPR, Socks o SSL. La exclusión de distintos
servicios o usuarios y la desviación de consultas a otros
servidores se elige con ese mecanismo. Una simple configuración de
ese componente se hace así posible a través de una pantalla de
administración con la cual se puede hacer esas restricciones.
Con ese invento de software y del aparato
electrónico se pueden vigilar todas las informaciones que entran y
que salen. Al reconocer un ataque, interviene inmediatamente esa
solución, bloquea los paquetes de datos sospechosos y después los
selecciona sin perjudicar el tráfico corriente de datos. Con ese
invento todos los datos regulares se transmiten casi sin pérdida de
tiempo, para que el usuario no tenga ninguna dificultad en la
comunicación.
Esto también es válido cuando las conexiones con
los servidores de Internet trabajan a muy alta velocidad (y muchos
datos, 100 Mbit/s).
Otras medidas y ampliaciones del invento resultan
de los artículos 2 y 6.
Después de una ampliación del invento se reduce
la longitud de los paquetes ICMP con restricciones de longitud, a
una longitud lícita. Con esto también se podrían bloquear totalmente
los distintos tipos de informaciones de ICPM.
Después de la ampliación de la Función de
Cortafuegos a Nivel de Paquete
(Paket-Level-Firewall) se fijan las
reglas en base a determinados criterios de paquete IP, sobre todo
respecto a restricciones, exclusiones y tareas. El programa de
administración facilita a continuación un fichero de configuración
para el cortafuegos.
En caso de una ventajosa ampliación del invento
para una configuración controlada y protección de una función sin
restricciones solamente se efectúan intervenciones administrativas a
través de una consola o a través de una segura combinación de la
red.
Además se puede restringir la entrada al sistema
final a través de ventanas de tiempo que pueden ser libremente
instaladas.
El conjunto del invento es por eso una especial
configuración de Hardware confeccionada a base de un ordenador
personal y adaptada con Microchips (EPROMs) y equipada con
microcódigos desarrollados precisos.
Además se añade un especial interdisciplinado
pero sistemático programa desarrollado que reacciona en forma de un
programa sistemático que diferencia los distintos problemas. Así,
ahora existe la posibilidad de quitar la ola de datos del protocolo
de eficiencia (capa OSI 2) y controlarlo de contenidos seguros las
capas que se encuentran por encima (OSI 3- OSI 7). Una de las
propiedades esenciales del invento es la extensión funcional de la
transmisión de datos, que normalmente es pasiva, para que estos
puedan ser controlados de contenidos peligrosos. No obstante con la
rutina contenida se puede, al contrario que otros componentes de
seguridad en el mercado, reconocer e impedir ataques por
desbordamiento "Flood Attacks" como también ataques a IP- Stack
y al sistema operativo e implantar más señales de ajustes. La
combinación inventada Hard- y Software se protege a sí misma y
también protege las conexiones después de instalada en la red
interna activamente. La solución combinada estará en la
correspondiente línea de entrada entre el router (Screening Router)
y el sistema protegido, a veces antes del propio Cortafuegos
(Firewall) y por eso también antes de la zona DMZ. Por medio de
diferentes métodos que en base a la modularidad del invento, en
conjunto o separado con restricciones, incluyendo el protocolo de
Internet - pueden aquellos contenidos peligrosos ser reconocidos y
rechazados. Como particularidad se debería tener en cuenta que el
sistema de protección no podrá ser atacado al nivel IP, dado que el
sistema en si, no es un componente de direcciones que funciona a
través del protocolo IP y por eso es también totalmente invisible
para los componentes de la red activa.
Un elemento esencial del invento es la activa
detección de los ataques DoS y DDoS que se ha hecho posible por la
combinación Hard- y Software. Solamente utilizado por el lado de los
servidores se puede conseguir una activa protección del sistema de
los servidores. En combinación con el empleo del lado de los
proveedores, se puede prevenir efectivamente la sobrecarga de las
líneas, por los ataques DoS y DDoS. Pero es importante que el
sistema de detección DoS no sustituya a los tradicionales
Cortafuegos (Firewalls), sino simplemente lo amplia con importantes
componentes.
Se entiende que las antes mencionadas y después
explicadas características se puedan utilizar no solamente en la
mencionada combinación sino también solos o en otras combinaciones,
sin dejar las condiciones básicas del invento.
En la descripción siguiente se explica a través
de ejemplos detallados exactamente el invento:
Fig. 1 una esquemática descripción de un sistema
de ordenadores que están conectados con Internet en una pequeña red
de ordenadores;
Fig. 2 una esquemática descripción de un sistema
de ordenadores que están conectados con Internet en una red mediana
de ordenadores;
Fig. 3 una esquemática descripción de un sistema
de ordenadores que están conectados con Internet en una red amplia
de ordenadores;
Fig. 4 una esquemática descripción de un
procedimiento al establecer conexión bajo un protocolo admitido;
Fig. 5 una esquemática descripción de un
procedimiento al establecer conexión bajo un protocolo no
admitido;
Fig. 6 una esquemática descripción de un
procedimiento bajo inválida conexión;
Fig. 7 una esquemática descripción de un
procedimiento después de una conexión exitosa con el flujo de datos
admitidos;
Fig. 8 una esquemática descripción de un
procedimiento después de una conexión exitosa pero con el flujo de
datos no admitidos;
Fig. 9 una esquemática descripción de un nivel de
protocolo que es protegido a través de un aparato electrónico;
Fig. 10 una descripción de la comprobación de
cabeceras válidas IP;
Fig. 11 una descripción de la comprobación de un
paquete IP ;
Fig. 12 una descripción de la comprobación de
conexiones ajustadas UDP y
Fig. 13 una descripción de la restricción de la
longitud de los paquetes ICMP.
El sistema de ordenador 1 corresponde a las
figuras 1 a 3 consiste en varios ordenadores servidores 2, que son
dado el caso conectados con líneas de datos no mencionados. Los
ordenadores servidores 2 son conectados a través de unas líneas de
datos 3 conectados con un aparato electrónico 4. Esto muestra un
portador de datos, a partir de EPROM, que está equipado con un
programa para el reconocimiento y defensa de ataques a sistemas de
servidores de redes y sus usuarios.
El aparato electrónico 4, se corresponde a la
figura 1, es conectado a través de una línea RDSI 5 con Internet 6.
El aparato electrónico 4 sirve para la protección de los ataques DoS
y DDoS y contiene una ampliada funcionalidad como
Internet-Gateway a través de RDSI.
El aparato electrónico 4 esta además equipado con
un adaptador Ethernet y con RDSI.
A parte de la protección de ataques de DoS y DDoS
a los sistemas que se encuentran en el Local Area Network (LAN), se
utiliza el aparato electrónico también como Router para los
servicios de Internet. La conexión con Internet es estándar,
siempre y cuando se desea una comunicación a la red externa.
Establecer una conexión es automático, cuando el componente 4
contiene el programa en EPROM después de un límite de tiempo. Este
comportamiento es estándar pero puede ser cambiado mediante la
configuración correspondiente.
El aparato electrónico 4 por ejemplo, según Fig.
2 está conectado a través de una línea de datos RDSI/Ethernet con
Internet. Al aparato electrónico esta conectado además un módulo no
visible de Firewall integrado para que pueda ser utilizado como
Firewall Router dado el caso, a través de otro Router. Los
ordenadores servidores 2 o bien la CPU de la red interna, usan el
aparato electrónico que contiene el EPROM con el programa que
reconoce y se defiende de ataques a sistemas de redes de servidores
de proveedores y sus usuarios como paso a Internet a través de
Ethernet o RDSI. El aparato electrónico protege además los sistemas
internos de ataques de DoS y DDoS, rechazando o transmitiendo
paquetes IP que entran y salen, según normas definidas. Así se
permite o no la entrada a los servicios públicos de los sistemas
locales.
Con la ayuda de un programa de configuración se
modifican distintas funciones necesarias, que a través de simples
indicaciones de los usuarios se ajustan por un módulo de
configuración, que el sistema es capaz de leer. Las funciones del
aparato electrónico 4 se pueden configurar libremente y también
modificar para el uso de la propia red.
Según el invento en el modo de empleo de la Fig.
3, está el Firewall 9 separado, quiere decir separado entre los
ordenadores servidores 2 y el aparato electrónico 4 para el
reconocimiento y la defensa de ataques a sistemas de servidores de
proveedores de redes y sus usuarios.
El aparato electrónico está conectado con
Internet 6 a través de una línea de datos Ethernet 8 y ofrece la
ayuda necesaria contra los ataques de DoS y DDoS
(Flood-Attacks).
Solamente paquetes de redes que no pueden afectar
al sistema final pasarán hasta el Firewall. El Firewall decide
después que paquete sea admitido o rechazado.
Fig. 4 es una descripción esquemática de un
procedimiento para establecer una conexión bajo un protocolo
admitido, mientras que la Fig. 5 procede de una conexión bajo de un
protocolo no admitido.
Fig. 6 se trata de una incorrecta conexión. Fig.
7 es un procedimiento esquemático después de establecer una
conexión con el tráfico de datos admitidos y Fig. 8 bajo datos no
admitidos.
Fig. 9 es una esquemática descripción de un nivel
de protocolo que es protegido a través de un aparato electrónico
que a su vez contiene un programa para reconocer y defenderse de los
ataques a los sistemas servidores de los proveedores de redes y sus
usuarios y que contiene la EPROM.
Fig. 10 describe una comprobación de cabeceras IP
válidas y en Fig. 11 se describe la comprobación de un Paquete IP.
Fig. 12 descripción de la comprobación de conexiones UDP ajustadas y
Fig. 13 la descripción de las limitaciones de longitud de los
paquetes ICMP.
- 1
- Sistema del ordenador
- 2
- Servidor
- 3
- Líneas de datos
- 4
- aparato electrónico
- 5
- Línea de datos RDSI
- 6
- Internet
- 7
- RDSI/Ethernet- línea de datos
- 8
- Línea de datos Ethernet.
Claims (10)
1. Procedimiento para el reconocimiento y defensa
de ataques a sistemas de servidores de proveedores y sus usuarios a
través de un aparato electrónico que contiene un programa de
ordenador dentro de una red de ordenadores y que es señalado por
componentes y distintos pasos en el procedimiento
- -
- Protección contra los ataques DoS y DDoS (ataques por desbordamiento, Flood-attacks), dónde:
- -
- cada IP Syn (deseo de de establecer una conexión IP) queda registrado y según la condición fijado en un protocolo IP después de un determinado tiempo es contestado por un Syn Ack, mientras se comprueba la validez del paquete Syn registrado y la disponibilidad del servicio de destino,
- -
- se establece una conexión con el servicio de destino y se transmite el paquete de datos para su adaptación, cuando la comprobación ha terminado con éxito y en el intervalo se ha recibido la señal del sistema externo respondiendo a la enviada por Ack, así como un paquete válido de datos, y
- -
- Seguridad Nivel Link, donde los paquetes de datos para controlar serán directamente aceptados de la Capa OSI 2 (Nivel Link), y
- -
- Análisis de cabeceras válidas IP, dónde el contenido de cada paquete IP antes de su transmisión al servicio de destino es controlado y validado y dónde cada paquete IP que no es válido es rechazado, y
- -
- Análisis del paquete IP para comprobación de la longitud y suma de los paquetes IP en conformidad con la declaración en la cabecera TCP o IP, en la construcción de los paquete IP,
- -
- Protección Huella Digital TCP/IP (Fingerprint), prevención que tiene como respuesta el tráfico de datos de los sistemas seguros y que además neutraliza los sistemas externos, con la utilización de una identificación de protocolo, y
- -
- Bloqueo de todos los paquetes de red UDP (Protocolo de Datos de Usuario -User Data Protocol) para impedir ataques al sistema seguro a través del protocolo de sistema de red UDP, mientras se registran y desbloquean servicios que se hayan utilizado a través de UDP y se admiten informaciones explícitas para esos puertos UDP. Los demás puertos se quedan cerrados, y
- -
- Limitación de la longitud del paquete ICMP (Internet Control Message), dónde se reconocen las informaciones de ICMP solamente en una longitud máxima como paquete válido de datos mientras se quedan fuera paquetes de ICMP que se diferencian de estos, y
- -
- Exclusión de ciertas direcciones externas de IP de la comunicación del servicio de destino, y
- -
- Función de Cortafuegos a Nivel de Paquete, dónde paquetes IP's que salen y entran se examinan con la ayuda de normas y reglas y que son rechazados o admitidos según las normas y luego transmitidos al sistema final, y
- -
- Protección contra servicios del servicio de destino a través de exclusión de ciertos servicios y usuarios y/o desviación de consulta de servicio a otros servidores.
2. Procedimiento según el derecho 1, se
caracteriza por, la limitación de la longitud de los paquetes
ICMP, que queda reducido a una longitud permitida si su longitud es
inválida.
3. Procedimiento según el derecho 1, se
caracteriza porque se bloquean todas las distintas
informaciones ICPM en cuando a la limitación de la longitud de los
ICMP paquetes.
4. Procedimiento según el derecho 1, se
caracteriza porque las reglas para la Función Cortafuegos a
Nivel Paquete
(Paket-Level-Firewall-Funtion)
se quedan fijados en base a distintos criterios de paquetes IP
sobre todo refiriéndose a restricciones, limitaciones y tareas
log.
5. Procedimiento según los derechos 1 a 4, se
caracterizan por, además de una configuración controlada y
protección de la ilimitada función del procedimiento, se puedan
hacer intervenciones administrativas, solamente a través de una
consola o a través de una conexión segura de la red.
6. Procedimiento según los derechos 1 a 5, se
caracterizan porque poder entrar en el sistema final queda
limitado por ventanas de tiempo que puedan ser libremente
instaladas.
7. Portadores de datos contienen un sistema para
el reconocimiento y la defensa de ataques a las sistemas de
servidores de los proveedores de redes y sus usuarios a través de un
aparato electrónico que contiene un programa de ordenador dentro de
una red de ordenadores y que es señalado por componentes y distintos
pasos en el procedimiento:
- -
- Protección contra los ataques DoS y DDoS (ataques por desbordamiento, Flood-attacks), dónde:
- -
- cada IP Syn (deseo de de establecer una conexión IP) queda registrado y según la condición fijado en un protocolo IP después de un determinado tiempo es contestado por un Syn Ack, mientras se comprueba la validez del paquete Syn registrado y la disponibilidad del servicio de destino,
- -
- se establece una conexión con el servicio de destino y se transmite el paquete de datos para su adaptación, cuando la comprobación ha terminado con éxito y en el intervalo se ha recibido la señal del sistema externo respondiendo a la enviada por Ack, así como un paquete válido de datos, y
- -
- Seguridad Nivel Link, donde los paquetes de datos para controlar serán directamente aceptados de la Capa OSI 2 (Nivel Link), y
- -
- Análisis de cabeceras válidas IP, dónde el contenido de cada paquete IP antes de su transmisión al servicio de destino es controlado y validado y dónde cada paquete IP que no es válido es rechazado, y
- -
- Análisis del paquete IP para comprobación de la longitud y suma de los paquetes IP en conformidad con la declaración en la cabecera TCP o IP, en la construcción de los paquete IP,
- -
- Protección Huella Digital TCP/IP (Fingerprint), prevención que tiene como respuesta el tráfico de datos de los sistemas seguros y que además neutraliza los sistemas externos, con la utilización de una identificación de protocolo, y
- -
- Bloqueo de todos los paquetes de red UDP (Protocolo de Datos de Usuario -User Data Protocol) para impedir ataques al sistema seguro a través del protocolo de sistema de red UDP, mientras se registran y desbloquean servicios que se hayan utilizado a través de UDP y se admiten informaciones explícitas para esos puertos UDP. Los demás puertos se quedan cerrados, y
- -
- Limitación de la longitud del paquete ICMP (Internet Control Message), dónde se reconocen las informaciones de ICMP solamente en una longitud máxima como paquete válido de datos mientras se quedan fuera paquetes de ICMP que se diferencian de estos, y
- -
- Exclusión de ciertas direcciones externas de IP de la comunicación del servicio de destino, y
- -
- Función de Cortafuegos a Nivel de Paquete, dónde paquetes IP's que salen y entran se examinan con la ayuda de normas y reglas y que son rechazados o admitidos según las normas y luego transmitidos al sistema final, y
- -
- Protección contra servicios del servicio de destino a través de exclusión de ciertos servicios y usuarios y/o desviación de consulta de servicio a otros servidores.
8. Portadores de datos según el derecho 5, se
caracterizan porque es formado como EPROM y componente de un
aparato electrónico.
9. El sistema de ordenadores que esta
conectado con una red como es Internet (6), Intranet, etc. y
contiene varios ordenadores que sirven como ordenadores
servidores(2) o están configurados como ordenadores clientes,
se caracterizan por, una líneas de datos de protección
(5.7.8) entre la red (6) y el servidor (2) o el servidor cliente, y
que este está conectado al aparato electrónico(4) que está
dotado con un portador de datos que contiene un programa de
ordenadores que tiene siguientes pasos:
- -
- Protección contra los ataques DoS y DDoS (ataques por desbordamiento, Flood-attacks), dónde:
- -
- cada IP Syn (deseo de de establecer una conexión IP) queda registrado y según la condición fijado en un protocolo IP después de un determinado tiempo es contestado por un Syn Ack, mientras se comprueba la validez del paquete Syn registrado y la disponibilidad del servicio de destino,
- -
- se establece una conexión con el servicio de destino y se transmite el paquete de datos para su adaptación, cuando la comprobación ha terminado con éxito y en el intervalo se ha recibido la señal del sistema externo respondiendo a la enviada por Ack, así como un paquete válido de datos, y
- -
- Seguridad Nivel Link, donde los paquetes de datos para controlar serán directamente aceptados de la Capa OSI 2 (Nivel Link), y
- -
- Análisis de cabeceras válidas IP, dónde el contenido de cada paquete IP antes de su transmisión al servicio de destino es controlado y validado y dónde cada paquete IP que no es válido es rechazado, y
- -
- Análisis del paquete IP para comprobación de la longitud y suma de los paquetes IP en conformidad con la declaración en la cabecera TCP o IP, en la construcción de los paquete IP,
- -
- Protección Huella Digital TCP/IP (Fingerprint), prevención que tiene como respuesta el tráfico de datos de los sistemas seguros y que además neutraliza los sistemas externos, con la utilización de una identificación de protocolo, y
- -
- Bloqueo de todos los paquetes de red UDP (Protocolo de Datos de Usuario -User Data Protocol) para impedir ataques al sistema seguro a través del protocolo de sistema de red UDP, mientras se registran y desbloquean servicios que se hayan utilizado a través de UDP y se admiten informaciones explícitas para esos puertos UDP. Los demás puertos se quedan cerrados, y
- -
- Limitación de la longitud del paquete ICMP (Internet Control Message), dónde se reconocen las informaciones de ICMP solamente en una longitud máxima como paquete válido de datos mientras se quedan fuera paquetes de ICMP que se diferencian de estos, y
- -
- Exclusión de ciertas direcciones externas de IP de la comunicación del servicio de destino, y
- -
- Función de Cortafuegos a Nivel de Paquete, dónde paquetes IP's que salen y entran se examinan con la ayuda de normas y reglas y que son rechazados o admitidos según las normas y luego transmitidos al sistema final, y
- -
- Protección contra servicios del servicio de destino a través de exclusión de ciertos servicios y usuarios y/o desviación de consulta de servicio a otros servidores.
10. Programa de ordenador que contiene un código
para el reconocimiento y la defensa de ataques a las sistemas de
servidores de los proveedores de redes y sus usuarios a través de un
aparato electrónico que contiene un programa de ordenador dentro de
una red de ordenadores que se caracterizan por, los
siguientes pasos:
- -
- Protección contra los ataques DoS y DDoS (ataques por desbordamiento, Flood-attacks), dónde:
- -
- cada IP Syn (deseo de de establecer una conexión IP) queda registrado y según la condición fijado en un protocolo IP después de un determinado tiempo es contestado por un Syn Ack, mientras se comprueba la validez del paquete Syn registrado y la disponibilidad del servicio de destino,
- -
- se establece una conexión con el servicio de destino y se transmite el paquete de datos para su adaptación, cuando la comprobación ha terminado con éxito y en el intervalo se ha recibido la señal del sistema externo respondiendo a la enviada por Ack, así como un paquete válido de datos, y
- -
- Seguridad Nivel Link, donde los paquetes de datos para controlar serán directamente aceptados de la Capa OSI 2 (Nivel Link), y
- -
- Análisis de cabeceras válidas IP, dónde el contenido de cada paquete IP antes de su transmisión al servicio de destino es controlado y validado y dónde cada paquete IP que no es válido es rechazado, y
- -
- Análisis del paquete IP para comprobación de la longitud y suma de los paquetes IP en conformidad con la declaración en la cabecera TCP o IP, en la construcción de los paquete IP,
- -
- Protección Huella Digital TCP/IP (Fingerprint), prevención que tiene como respuesta el tráfico de datos de los sistemas seguros y que además neutraliza los sistemas externos, con la utilización de una identificación de protocolo, y
- -
- Bloqueo de todos los paquetes de red UDP (Protocolo de Datos de Usuario -User Data Protocol) para impedir ataques al sistema seguro a través del protocolo de sistema de red UDP, mientras se registran y desbloquean servicios que se hayan utilizado a través de UDP y se admiten informaciones explícitas para esos puertos UDP. Los demás puertos se quedan cerrados, y
- -
- Limitación de la longitud del paquete ICMP (Internet Control Message), dónde se reconocen las informaciones de ICMP solamente en una longitud máxima como paquete válido de datos mientras se quedan fuera paquetes de ICMP que se diferencian de estos, y
- -
- Exclusión de ciertas direcciones externas de IP de la comunicación del servicio de destino, y
- -
- Función de Cortafuegos a Nivel de Paquete, dónde paquetes IP's que salen y entran se examinan con la ayuda de normas y reglas y que son rechazados o admitidos según las normas y luego transmitidos al sistema final, y
- -
- Protección contra servicios del servicio de destino a través de exclusión de ciertos servicios y usuarios y/o desviación de consulta de servicio a otros servidores.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CH01459/01A CH693921A5 (de) | 2001-08-07 | 2001-08-07 | Verfahren, Datentraeger, Computersystem und Computerprogrammprodukt zur Erkennung und Abwehr von Angriffen auf Serversysteme von Netzwerk-Diensteanbietern und -betreibern. |
| PCT/EP2001/009328 WO2003017613A1 (de) | 2001-08-07 | 2001-08-13 | Verfahren, datenträger, computersystem und computerprogrammprodukt zur erkennung und abwehr von angriffen auf serversysteme von netzwerk-diensteanbietern und -betreibern |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2256298T3 true ES2256298T3 (es) | 2006-07-16 |
Family
ID=32736765
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES01974174T Expired - Lifetime ES2256298T3 (es) | 2001-08-07 | 2001-08-13 | Procedimiento, portadores de datos, sistemas de ordenadores y programas de ordenadores para el reconocimiento de ataques de virus a sistemas de servidores de redes y a sus usuarios. |
Country Status (10)
| Country | Link |
|---|---|
| EP (1) | EP1464150B1 (es) |
| JP (1) | JP2006501527A (es) |
| AU (1) | AU2001293762B2 (es) |
| CA (1) | CA2456902A1 (es) |
| CH (1) | CH693921A5 (es) |
| DE (1) | DE50108695D1 (es) |
| ES (1) | ES2256298T3 (es) |
| IL (1) | IL160123A0 (es) |
| MX (1) | MXPA04001360A (es) |
| WO (1) | WO2003017613A1 (es) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113422787A (zh) * | 2021-08-24 | 2021-09-21 | 广州乐盈信息科技股份有限公司 | 一种用于无源光网络系统的智能防攻击方法 |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7979694B2 (en) | 2003-03-03 | 2011-07-12 | Cisco Technology, Inc. | Using TCP to authenticate IP source addresses |
| CN100380871C (zh) * | 2005-01-26 | 2008-04-09 | 北京大学 | 一种针对分布式拒绝服务攻击的防范系统和方法 |
| CH700308A2 (de) | 2009-01-22 | 2010-07-30 | Martin Blapp | Ein technisches System in der Hardware oder im Kernel eines E-Mail Gateways, um die Betriebs-Infrastruktur oder das Betriebs-System gegen DDos-Angriffe aus dem Internet zu schützen. |
| CN110311925B (zh) * | 2019-07-30 | 2022-06-28 | 百度在线网络技术(北京)有限公司 | DDoS反射型攻击的检测方法及装置、计算机设备与可读介质 |
| DE202019106018U1 (de) | 2019-10-30 | 2019-11-11 | Hans-Jürgen Kuhn | Computer-System zur Abwehr eines Angriffs von Schadsoftware durch elektronische Nachrichten |
| DE102019129253B4 (de) | 2019-10-30 | 2023-02-09 | Hans-Jürgen Kuhn | Verfahren und Computer-System zur Abwehr eines Angriffes von Schadsoftware durch elektronische Nachrichten |
| CN113938388A (zh) * | 2021-10-14 | 2022-01-14 | 工银科技有限公司 | 一种业务接口的参数校验方法及装置 |
| CN116107840B (zh) * | 2023-02-20 | 2026-04-24 | 成都泛微网络科技有限公司 | 一种服务异常监控方法、系统、装置、电子设备及介质 |
| CN118200008B (zh) * | 2024-04-07 | 2025-11-25 | 中国工商银行股份有限公司 | 基于防火墙的安全通信方法、装置、设备、介质和产品 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10136025A (ja) * | 1996-11-01 | 1998-05-22 | Hitachi Software Eng Co Ltd | ネットワーク間通信中継方法および中継装置 |
| US6738814B1 (en) * | 1998-03-18 | 2004-05-18 | Cisco Technology, Inc. | Method for blocking denial of service and address spoofing attacks on a private network |
-
2001
- 2001-08-07 CH CH01459/01A patent/CH693921A5/de not_active IP Right Cessation
- 2001-08-13 IL IL16012301A patent/IL160123A0/xx unknown
- 2001-08-13 JP JP2003521579A patent/JP2006501527A/ja active Pending
- 2001-08-13 EP EP01974174A patent/EP1464150B1/de not_active Expired - Lifetime
- 2001-08-13 CA CA002456902A patent/CA2456902A1/en not_active Abandoned
- 2001-08-13 AU AU2001293762A patent/AU2001293762B2/en not_active Ceased
- 2001-08-13 MX MXPA04001360A patent/MXPA04001360A/es active IP Right Grant
- 2001-08-13 DE DE50108695T patent/DE50108695D1/de not_active Expired - Lifetime
- 2001-08-13 WO PCT/EP2001/009328 patent/WO2003017613A1/de not_active Ceased
- 2001-08-13 ES ES01974174T patent/ES2256298T3/es not_active Expired - Lifetime
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113422787A (zh) * | 2021-08-24 | 2021-09-21 | 广州乐盈信息科技股份有限公司 | 一种用于无源光网络系统的智能防攻击方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006501527A (ja) | 2006-01-12 |
| CH693921A5 (de) | 2004-04-15 |
| AU2001293762B2 (en) | 2005-12-22 |
| EP1464150A1 (de) | 2004-10-06 |
| WO2003017613A1 (de) | 2003-02-27 |
| CA2456902A1 (en) | 2003-02-27 |
| IL160123A0 (en) | 2004-06-20 |
| EP1464150B1 (de) | 2006-01-11 |
| MXPA04001360A (es) | 2005-11-23 |
| DE50108695D1 (de) | 2006-04-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11570212B2 (en) | Method and apparatus for defending against network attack | |
| US6513122B1 (en) | Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities | |
| US8170020B2 (en) | Leveraging active firewalls for network intrusion detection and retardation of attack | |
| US9954873B2 (en) | Mobile device-based intrusion prevention system | |
| Kargl et al. | Protecting web servers from distributed denial of service attacks | |
| US7225468B2 (en) | Methods and apparatus for computer network security using intrusion detection and prevention | |
| ES2282739T3 (es) | Procedimiento y sistema para la prevencion y el rechazo de intrusiones. | |
| US7735116B1 (en) | System and method for unified threat management with a relational rules methodology | |
| US20040187032A1 (en) | Method, data carrier, computer system and computer progamme for the identification and defence of attacks in server of network service providers and operators | |
| US8006303B1 (en) | System, method and program product for intrusion protection of a network | |
| US20020104017A1 (en) | Firewall system for protecting network elements connected to a public network | |
| US20040088409A1 (en) | Network architecture using firewalls | |
| US20030065943A1 (en) | Method and apparatus for recognizing and reacting to denial of service attacks on a computerized network | |
| ES2256298T3 (es) | Procedimiento, portadores de datos, sistemas de ordenadores y programas de ordenadores para el reconocimiento de ataques de virus a sistemas de servidores de redes y a sus usuarios. | |
| Rahman et al. | A novel cloud computing security model to detect and prevent DoS and DDoS attack | |
| US12273386B2 (en) | Methods and system for providing security to Critical Systems connected to a computer network | |
| Nagesh et al. | A survey on denial of service attacks and preclusions | |
| Comer | Network processors: programmable technology for building network systems | |
| Bossardt et al. | Enhanced Internet security by a distributed traffic control service based on traffic ownership | |
| Mishra et al. | A systematic survey on DDoS attack and data confidentiality issue on cloud servers | |
| CN121441519A (zh) | 一种基于xdp技术的反测绘方法 | |
| Banoth et al. | Attacking the Foundation, Attacking What We Do, Understanding Defense | |
| Zaraska | Ids active response mechanisms: Countermeasure subsytem for prelude ids | |
| Qureshi | Network intrusion detection using an innovative statistical approach | |
| Malek et al. | Data mining techniques for security of web services |