ES2256298T3 - Procedimiento, portadores de datos, sistemas de ordenadores y programas de ordenadores para el reconocimiento de ataques de virus a sistemas de servidores de redes y a sus usuarios. - Google Patents

Procedimiento, portadores de datos, sistemas de ordenadores y programas de ordenadores para el reconocimiento de ataques de virus a sistemas de servidores de redes y a sus usuarios.

Info

Publication number
ES2256298T3
ES2256298T3 ES01974174T ES01974174T ES2256298T3 ES 2256298 T3 ES2256298 T3 ES 2256298T3 ES 01974174 T ES01974174 T ES 01974174T ES 01974174 T ES01974174 T ES 01974174T ES 2256298 T3 ES2256298 T3 ES 2256298T3
Authority
ES
Spain
Prior art keywords
attacks
packets
data
protocol
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES01974174T
Other languages
English (en)
Inventor
Christoph Geis
Eberhard Pausch
Thomas Soysal
Ralf Schiemann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
IP ONLINE GmbH
IP-ONLINE GmbH
Original Assignee
IP ONLINE GmbH
IP-ONLINE GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=32736765&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=ES2256298(T3) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by IP ONLINE GmbH, IP-ONLINE GmbH filed Critical IP ONLINE GmbH
Application granted granted Critical
Publication of ES2256298T3 publication Critical patent/ES2256298T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Procedimiento para el reconocimiento y defensa de ataques a sistemas de servidores de proveedores y sus usuarios a través de un aparato electrónico que contiene un programa de ordenador dentro de una red de ordenadores y que es señalado por componentes y distintos pasos en el procedimiento - Protección contra los ataques DoS y DDoS (ataques por desbordamiento, Flood-attacks), dónde: - cada IP Syn (deseo de de establecer una conexión IP) queda registrado y según la condición fijado en un protocolo IP después de un determinado tiempo es contestado por un Syn Ack, mientras se comprueba la validez del paquete Syn registrado y la disponibilidad del servicio de destino, - se establece una conexión con el servicio de destino y se transmite el paquete de datos para su adaptación, cuando la comprobación ha terminado con éxito y en el intervalo se ha recibido la señal del sistema externo respondiendo a la enviada por Ack, asicomo un paquete válido de datos, y - Seguridad Nivel Link, donde los paquetes de datos para controlar serán directamente aceptados de la Capa OSI 2 (Nivel Link), y - Análisis de cabeceras válidas IP.

Description

Procedimiento, portadores de datos, sistemas de ordenadores y programas de ordenadores para el reconocimiento de ataques de virus a sistemas de servidores de redes y a sus usuarios.
El invento hace referencia a un procedimiento para el reconocimiento de ataques y a su defensa en sistemas de servidores de redes y recursos gestionados de una red de ordenadores a través de un aparato electrónico, que contiene un programa de ordenador, así como un portador de datos para la ejecución de dicho procedimiento, además el invento hace referencia a un sistema de ordenadores que está conectado con una red, como Internet, Intranet u otras cosas por el estilo, uno o más ordenadores que al mismo tiempo esté configurado como servidor o como cliente, además de un programa de ordenador que contiene un código para el reconocimiento y la defensa de ataques a servidores a través de dicho aparato electrónico.
El sistema mundial de redes crece cada vez con mayor velocidad. Cada vez hay más empresas que cuentan con infinidad de posibilidades en el ámbito del online-marketing y del comercio electrónico. Pero con las posibilidades también crece el peligro para los servidores de reconocidas empresas e instituciones que quedan bloqueados por dichos ataques en Internet.
Internet gana cada vez mayor importancia como mercado electrónico en muchas empresas. Con la misma rapidez crece también el peligro de ataques a través de DoS y DDoS (Denial of Service -Denegación de Servicio- y Distributed Denial of Service- Denegación de Servicio Distribuido = impedir el acceso o uso a un ordenado) Por eso muchas veces se originan considerables pérdidas de dinero, aún sin un acceso real de los "Hackers" en los sistemas de las empresas, para que éstas no tengan éxito con su comercio electrónico. Los fracasos al intentar evitar dichos problemas superaron a sus éxitos. Uno de estos fracasos es que hasta ahora no ha habido un verdadero sistema de detección de dichos ataques que en principio es la única posibilidad de evitar estos problemas. Otro problema existe en la condición de Internet y que hace de ella una situación casi sin esperanza, la única manera de evitarlos sería sí todos los proveedores del mundo, sin excepciones, establecieran medidas para evitar los ataques de los "Hackers". Hasta ahora, lamentablemente y por esa razón, no han tenido éxito ninguno en los intentos de evitar los ataques DoS y DDoS.
Internet se conoce como una red que conecta todo el mundo a través de componentes técnicos como por ejemplo "switches", "routers" y componentes para transmitir datos a través de múltiples líneas. Por eso es muy fácil para los "Hacker" bloquear a veces un servidor o también a redes enteras. Los métodos locales y nacionales muchas veces no son realmente de gran ayuda para prevenir ataques, porque en este trenzado internacional de "routers", proveedores de redes y de los conexiones Call by Call, que son muy populares, es muy fácil, para los Hacker, una y otra vez encontrar nuevos caminos para sus ataques. Aunque no siempre hay daños directos por la pérdida de datos o de la manipulación de datos o de copiar los datos ilegalmente, la imagen de la empresa pierde.
Los programas con los que se puede realizar estos ataques se pueden encontrar fácilmente en Internet y cada uno es libre de bajarlos o no. La mayoría de estos programas se aprovechan de las debilidades técnicas en los protocolos para transmitir datos, en los que se basa la comunicación de Internet. Las "CPU's" afectadas se llenan con falsas preguntas al servidor y otras no pueden ser contestadas, por saturación de la red. Así se queda la CPU afectada inactiva para el cliente real.
Como ejemplo se reconocen algunas medias que defienden y previenen algunos ataques contra los sistemas DoS Y DDoS.
En el entorno local de los proveedores de redes se podrían estabilizar métodos para el impedimento de ataques de DoS y DDoS, con la prohibición de uso falsas direcciones IP. Muchos de esos ataques DoS usan estas falsas direcciones IP (IP Spoofing) para evitar que se sepa de dónde provienen. Con reglas técnicas en la infraestructura de la red, los usuarios de redes podrían evitar esa posibilidad, así los falsos paquetes IP de un mismo entorno de servicio no pasarían a Internet.
Una organización que está conectada a una red tiene un cierto límite de direcciones IP que puede utilizar. Cada paquete IP, que proviene de esa organización y que accede a Internet, tendría que tener también un remitente IP en ese sector. Si ese no es el caso posiblemente se trataría de una dirección falsificada y el paquete IP no se debería transmitir, eso quiere decir que se debería filtrar el paquete a los remitentes al introducirse en Internet.
Con eso todavía se puede hacer IP Spoofing dentro de las direcciones permitidas, pero la posibilidad queda muy reducida. Además se debería valorar el uso de los "Anonymous Hosts" en el mundo, y si es posible, darles menos espacio o evitarlos. Pero esto costaría mucho tiempo, organización y legalmente es muy difícil realizarlo, por no hablar del coste extremo de dinero.
Hasta ahora la resistencia de los servidores contra los ataques de DoS y DDoS era muy limitada. Algunos sistemas podían, sólo durante poco tiempo, rechazar los ataques. Otros podían defenderse un poco más. Pero hasta ahora, los ataques que duran más tiempo casi siempre tienen asegurado su éxito.
Las soluciones tradicionales para la filtración de los paquetes casi nunca ayudan contra los ataques de DoS y DDoS o son ellos mismos afectados quedando su función de proteger nula. Muchos sistemas de reconocimiento de ataques son tan anticuados que simplemente reconocen, de vez en cuando, el tráfico en la red en vez de dar señales de que existe un ataque. Por eso normalmente es demasiado tarde para reaccionar.
En el caso de un ataque exitoso es de inmensa importancia reaccionar con rapidez.
Solamente así se podrían escoger medidas eficientes para identificar enemigos y se podría reestablecer una rápida conexión. En el caso de emergencia hay que verificar un adecuado proceso, con la indicación de responsables, alternativas de otros modos de comunicación, maneras de actuar en dichos casos, así como almacenamiento para los recursos necesario y medios de protección.
Los servidores de redes podrían ser utilizados abusivamente como agentes de un ataque de DoS. El enemigo instala, aprovechándose de conocidos defectos, software para la generación de daños. Por eso los usuarios deberían configurar con un extremo cuidado su software. Servicios de la red que no son requeridos deberían ser desactivados y los requeridos deberían ser protegidos. Sobre todo el password preinstalado tiene que ser cambiado con la debida antelación.
Muchas paginas WWW pueden ser solamente utilizadas si el "Browser" esta adecuadamente asegurado contra ataques.
Muchos ofrecen contenidos para bajar programas y documentos de Internet.
Si un enemigo consigue instalar allí un "troyano" podría contar con una rápida difusión. Esa manera de atacar es preferida y buscada en los ataques DDoS, porque así quedan afectados una gran cantidad de ordenadores.
Los ataques DoS normalmente no tienen como fin los pequeños usuarios. Pero podrían ser utilizados como primer paso al instalarse en un programa el cual, luego como mando a distancia, haría posible un ataque a cualquier ordena-
dor.
Ordenadores de pequeños consumidores podrían ser utilizados así como agentes para ataques. La manera más fácil de instalar estos agentes es a través de virus, de "troyanos" o por contenidos emergentes (Pop-up's). Por eso es tan importante un adecuado y actualizado sistema de seguridad contra virus y desconectar las ventanas emergentes del "Browser". Dado el caso se puede utilizar también un programa de seguridad como los cortafuegos (PC-Firewall) para evitar problemas durante una conexión activa (estado "Online"). Muchas veces no se conoce con antelación nuevos virus de ordenadores y por eso no pueden ser rechazados.
Cada vez surgen nuevos defectos en el sistema de seguridad del software y del software de los servidores, que más tarde a través de actualizaciones o parches podrán ser arreglados. Para reaccionar al mismo tiempo, si es posible, es importante revisar la salida de actualizaciones de los fabricantes. Las actualizaciones importantes tienen que instalarse rápidamente para evitar los agujeros en el sistema.
Para asegurar un ordenador de riesgos y peligros es muy importante tener un considerable conocimiento de la configuración de los sistemas de seguridad.
Por eso hay que formar muy bien a los Administradores. No se puede contar con que las medidas para impedir el IP Spoofing se realicen al mismo tiempo en todo el mundo por los múltiples proveedores de servicio. Pero con lo antes mencionado se podría tener un éxito más o menos considerable contra los ataques de DoS y DDoS. Aunque no se podría considerar este resultado como exitoso.
HUNT Ray, "Internet/Intranet firewall security-policy, architecture and transaction services", COMPUTER
COMMUNICATIONS; BUTTERWORTHS & CO: PUBLISHERS LTD; GB; Bd. 21,Nr. 13, 1. September 1998/1998-09-01) en las páginas 1107-1123, XP004146571 ISSN 0140-3664 se encuentra un resumen de arquitecturas de
Firewall.
La WO 99/48303 ofrece un método para bloquear accesos no queridos a sistemas privados de redes de ordenado-
res.
La función del invento es encontrar medidas para el reconocimiento y defensa contra los ataques a redes de servidores de proveedores de servicio, obteniendo un alto nivel de seguridad contra dichos ataques DoS y DDoS. Sólo así se podría mantener un sistema estable y eficaz.
Conforme al invento, la actuación será la siguiente, paso a paso:
-
Protección contra los ataques DoS y DDoS (ataques por desbordamiento, Flood-attacks), dónde:
-
cada IP Syn (deseo de de establecer una conexión IP) queda registrado y según la condición fijado en un protocolo IP después de un determinado tiempo es contestado por un Syn Ack, mientras se comprueba la validez del paquete Syn registrado y la disponibilidad del servicio de destino,
-
se establece una conexión con el servicio de destino y se transmite el paquete de datos para su adaptación, cuando la comprobación ha terminado con éxito y en el intervalo se ha recibido la señal del sistema externo respondiendo a la enviada por Ack, así como un paquete válido de datos, y
-
Seguridad Nivel Link, donde los paquetes de datos para controlar serán directamente aceptados de la Capa OSI 2 (Nivel Link), y
-
Análisis de cabeceras válidas IP, dónde el contenido de cada paquete IP antes de su transmisión al servicio de destino es controlado y validado y dónde cada paquete IP que no es válido es rechazado, y
-
Análisis del paquete IP para comprobación de la longitud y suma de los paquetes IP en conformidad con la declaración en la cabecera TCP o IP, en la construcción de los paquete IP,
-
Protección Huella Digital TCP/IP (Fingerprint), prevención que tiene como respuesta el tráfico de datos de los sistemas seguros y que además neutraliza los sistemas externos, con la utilización de una identificación de protocolo, y
-
Bloqueo de todos los paquetes de red UDP (Protocolo de Datos de Usuario -User Data Protocol) para impedir ataques al sistema seguro a través del protocolo de sistema de red UDP, mientras se registran y desbloquean servicios que se hayan utilizado a través de UDP y se admiten informaciones explícitas para esos puertos UDP. Los demás puertos se quedan cerrados, y
-
Limitación de la longitud del paquete ICMP (Internet Control Message), dónde se reconocen las informaciones de ICMP solamente en una longitud máxima como paquete válido de datos mientras se quedan fuera paquetes de ICMP que se diferencian de estos, y
-
Exclusión de ciertas direcciones externas de IP de la comunicación del servicio de destino, y
-
Función de Cortafuegos a Nivel de Paquete, dónde paquetes IP's que salen y entran se examinan con la ayuda de normas y reglas y que son rechazados o admitidos según las normas y luego transmitidos al sistema final, y
-
Protección contra servicios del servicio de destino a través de exclusión de ciertos servicios y usuarios y/o desviación de consulta de servicio a otros servidores.
El invento hace referencia a la función de un portador de datos que contiene un programa de ordenador para el reconocimiento de ataques a sistemas de servidores de proveedor de servicio y sus usuarios a través de la utilización de un aparato electrónico en la red de ordenadores que contiene los siguientes pasos:
-
Protección contra los ataques DoS y DDoS (ataques por desbordamiento, Flood-attacks), dónde:
-
cada IP Syn (deseo de de establecer una conexión IP) queda registrado y según la condición fijado en un protocolo IP después de un determinado tiempo es contestado por un Syn Ack, mientras se comprueba la validez del paquete Syn registrado y la disponibilidad del servicio de destino,
-
se establece una conexión con el servicio de destino y se transmite el paquete de datos para su adaptación, cuando la comprobación ha terminado con éxito y en el intervalo se ha recibido la señal del sistema externo respondiendo a la enviada por Ack, así como un paquete válido de datos, y
-
Seguridad Nivel Link, donde los paquetes de datos para controlar serán directamente aceptados de la Capa OSI 2 (Nivel Link), y
-
Análisis de cabeceras válidas IP, dónde el contenido de cada paquete IP antes de su transmisión al servicio de destino es controlado y validado y dónde cada paquete IP que no es válido es rechazado, y
-
Análisis del paquete IP para comprobación de la longitud y suma de los paquetes IP en conformidad con la declaración en la cabecera TCP o IP, en la construcción de los paquete IP,
-
Protección Huella Digital TCP/IP (Fingerprint), prevención que tiene como respuesta el tráfico de datos de los sistemas seguros y que además neutraliza los sistemas externos, con la utilización de una identificación de protocolo, y
-
Bloqueo de todos los paquetes de red UDP (Protocolo de Datos de Usuario -User Data Protocol) para impedir ataques al sistema seguro a través del protocolo de sistema de red UDP, mientras se registran y desbloquean servicios que se hayan utilizado a través de UDP y se admiten informaciones explícitas para esos puertos UDP. Los demás puertos se quedan cerrados, y
-
Limitación de la longitud del paquete ICMP (Internet Control Message), dónde se reconocen las informaciones de ICMP solamente en una longitud máxima como paquete válido de datos mientras se quedan fuera paquetes de ICMP que se diferencian de estos, y
-
Exclusión de ciertas direcciones externas de IP de la comunicación del servicio de destino, y
-
Función de Cortafuegos a Nivel de Paquete, dónde paquetes IP's que salen y entran se examinan con la ayuda de normas y reglas y que son rechazados o admitidos según las normas y luego transmitidos al sistema final, y
-
Protección contra servicios del servicio de destino a través de exclusión de ciertos servicios y usuarios y/o desviación de consulta de servicio a otros servidores.
El portador de datos preferido está formado como EPROM y es parte de un aparato electrónico. Este aparato electrónico puede ser un aparato para introducir instalarse en un ordenador o también en una caja electrónica separada.
Como alternativa también se soluciona esta tarea a través de un sistema de ordenadores que está conectado con un sistema de redes, como Internet, Intranet etc., uno o más ordenadores que al mismo tiempo esté configurado como servidor o como cliente, junto a un aparato electrónico que esta dotado con un portador de datos para proteger la conexión de los datos para transmitir, que a su vez contiene un programa de ordenador que contiene los siguientes pasos:
-
Protección contra los ataques DoS y DDoS (ataques por desbordamiento, Flood-attacks), dónde:
-
cada IP Syn (deseo de de establecer una conexión IP) queda registrado y según la condición fijado en un protocolo IP después de un determinado tiempo es contestado por un Syn Ack, mientras se comprueba la validez del paquete Syn registrado y la disponibilidad del servicio de destino,
-
se establece una conexión con el servicio de destino y se transmite el paquete de datos para su adaptación, cuando la comprobación ha terminado con éxito y en el intervalo se ha recibido la señal del sistema externo respondiendo a la enviada por Ack, así como un paquete válido de datos, y
-
Seguridad Nivel Link, donde los paquetes de datos para controlar serán directamente aceptados de la Capa OSI 2 (Nivel Link), y
-
Análisis de cabeceras válidas IP, dónde el contenido de cada paquete IP antes de su transmisión al servicio de destino es controlado y validado y dónde cada paquete IP que no es válido es rechazado, y
-
Análisis del paquete IP para comprobación de la longitud y suma de los paquetes IP en conformidad con la declaración en la cabecera TCP o IP, en la construcción de los paquete IP,
-
Protección Huella Digital TCP/IP (Fingerprint), prevención que tiene como respuesta el tráfico de datos de los sistemas seguros y que además neutraliza los sistemas externos, con la utilización de una identificación de protocolo, y
-
Bloqueo de todos los paquetes de red UDP (Protocolo de Datos de Usuario -User Data Protocol) para impedir ataques al sistema seguro a través del protocolo de sistema de red UDP, mientras se registran y desbloquean servicios que se hayan utilizado a través de UDP y se admiten informaciones explícitas para esos puertos UDP. Los demás puertos se quedan cerrados, y
-
Limitación de la longitud del paquete ICMP (Internet Control Message), dónde se reconocen las informaciones de ICMP solamente en una longitud máxima como paquete válido de datos mientras se quedan fuera paquetes de ICMP que se diferencian de estos, y
-
Exclusión de ciertas direcciones externas de IP de la comunicación del servicio de destino, y
-
Función de Cortafuegos a Nivel de Paquete, dónde paquetes IP's que salen y entran se examinan con la ayuda de normas y reglas y que son rechazados o admitidos según las normas y luego transmitidos al sistema final, y
-
Protección contra servicios del servicio de destino a través de exclusión de ciertos servicios y usuarios y/o desviación de consulta de servicio a otros servidores.
Además se efectúa la solución del trabajo descubierta a través de un producto de un programa de ordenador con un código para el reconocimiento y la defensa de ataques a sistemas de Servidores de Proveedores de Servicio y sus usuarios utilizando un aparato electrónico que contiene dicho programa. Dicho programa contiene los siguientes pasos:
-
Protección contra los ataques DoS y DDoS (ataques por desbordamiento, Flood-attacks), dónde:
-
cada IP Syn (deseo de de establecer una conexión IP) queda registrado y según la condición fijado en un protocolo IP después de un determinado tiempo es contestado por un Syn Ack, mientras se comprueba la validez del paquete Syn registrado y la disponibilidad del servicio de destino,
-
se establece una conexión con el servicio de destino y se transmite el paquete de datos para su adaptación, cuando la comprobación ha terminado con éxito y en el intervalo se ha recibido la señal del sistema externo respondiendo a la enviada por Ack, así como un paquete válido de datos, y
-
Seguridad Nivel Link, donde los paquetes de datos para controlar serán directamente aceptados de la Capa OSI 2 (Nivel Link), y
-
Análisis de cabeceras válidas IP, dónde el contenido de cada paquete IP antes de su transmisión al servicio de destino es controlado y validado y dónde cada paquete IP que no es válido es rechazado, y
-
Análisis del paquete IP para comprobación de la longitud y suma de los paquetes IP en conformidad con la declaración en la cabecera TCP o IP, en la construcción de los paquete IP,
-
Protección Huella Digital TCP/IP (Fingerprint), prevención que tiene como respuesta el tráfico de datos de los sistemas seguros y que además neutraliza los sistemas externos, con la utilización de una identificación de protocolo, y
-
Bloqueo de todos los paquetes de red UDP (Protocolo de Datos de Usuario -User Data Protocol) para impedir ataques al sistema seguro a través del protocolo de sistema de red UDP, mientras se registran y desbloquean servicios que se hayan utilizado a través de UDP y se admiten informaciones explícitas para esos puertos UDP. Los demás puertos se quedan cerrados, y
-
Limitación de la longitud del paquete ICMP (Internet Control Message), dónde se reconocen las informaciones de ICMP solamente en una longitud máxima como paquete válido de datos mientras se quedan fuera paquetes de ICMP que se diferencian de estos, y
-
Exclusión de ciertas direcciones externas de IP de la comunicación del servicio de destino, y
-
Función de Cortafuegos a Nivel de Paquete, dónde paquetes IP's que salen y entran se examinan con la ayuda de normas y reglas y que son rechazados o admitidos según las normas y luego transmitidos al sistema final, y
-
Protección contra servicios del servicio de destino a través de exclusión de ciertos servicios y usuarios y/o desviación de consulta de servicio a otros servidores.
Una especial ventaja de la solución encontrada es que no solamente todos los sistemas pueden ser protegidos de los ataques DoS y DDoS, sino que también el programa de ordenador para la realización del procedimiento del reconocimiento y defensa de ataques a sistemas de servidores de redes y sus usuarios, podrá ser asegurado con dicha ventaja.
La protección de ataques DoS y DDoS es el centro del procedimiento de este invento. Estos ataques tienen como fin parar uno varios ordenadores con una ola de paquetes para establecer conexiones. Los sistemas afectados son después incapaces de reaccionar a demandas de comunicaciones. Con un inteligente reglamento se podrá ahora asegurar todos los sistemas protegidas de los ataques DoS y DDoS. Con eso se tiene en cuenta un especial tratamiento de los paquetes de redes que entran y quedan aseguradas, de modo que solamente las legítimas demandas puedan atravesar la protegida línea de datos y los sistemas finales, como World Wide Web- (WWW) o servidores de E-mail, no se queden anulados.
Dado que en el Módulo de Seguridad de Nivel Link se recogen directamente los datos por controlar de la Capa OSI 2, no es necesaria una dirección propia de IP. Tampoco es necesario un costoso cambio en la configuración de la red existente, refiriéndose a las direcciones lógicas (IP- Routing). Con este hardware no se forma un componente de redes direccionable que podría tener como fin un ataque desde la red.
Muchas Implantaciones de TCP/IP reaccionan con fallos siempre que la cabecera de un paquete IP tenga una conexión inválida. Si la estructura de un paquete IP antes de su transmisión al sistema de destino fuese controlada, se aseguraría que solamente paquetes IP con una correcta conexión establecida llegaran a su sistema de destino.
Para evitar satisfactoriamente ataques a sistemas de ordenadores hay que tener una gran conocimiento del sistema operativo. Las rutinas huella digital TCP/IP (Finger Print) examinan el comportamiento de implantaciones de TCP/IP del sistema de destino y podrán así llegar a la conclusión de qué sistema se trata. El invento asegura con su funcionamiento que los asaltantes a través de un análisis del paquete de respuesta no podrán obtener de vuelta una llave de acceso sistema utilizado. Así queda excluida la posibilidad de un Fingerprint.
Para atacar un ordenador en un sistema de TCP/IP se reconocen distintos métodos.
Una posibilidad es el enviar informaciones de ICMP con un paquete demasiado largo en comparación con otros. Para combatir efectivamente este problema, actúa la función implantada de limitación de la longitud de los paquetes ICMP. La posibilidad de dejar fuera de la comunicación distintas direcciones IP asegura la seguridad en conjunto de los propios sistemas. Si por ejemplo se reconoce que se está desde un ordenador de Internet controlando qué puertos del propio sistema están abiertos, y por eso atacables, se puede dar la instrucción de no permitirlos. La lista de los ordenadores excluidos (Blacklist) se podría modificar más tarde para borrar los viejos registros.
Además de la función de Cortafuegos a Nivel de Paquete IP (Paket-Level-Firewall), el invento se extiende al ser un mecanismo de protección, que es asequible, al revés de los protocolos IP HTTP, FTP, NNTP, POP, IMAP, SMTP, X , LDAP, LPR, Socks o SSL. La exclusión de distintos servicios o usuarios y la desviación de consultas a otros servidores se elige con ese mecanismo. Una simple configuración de ese componente se hace así posible a través de una pantalla de administración con la cual se puede hacer esas restricciones.
Con ese invento de software y del aparato electrónico se pueden vigilar todas las informaciones que entran y que salen. Al reconocer un ataque, interviene inmediatamente esa solución, bloquea los paquetes de datos sospechosos y después los selecciona sin perjudicar el tráfico corriente de datos. Con ese invento todos los datos regulares se transmiten casi sin pérdida de tiempo, para que el usuario no tenga ninguna dificultad en la comunicación.
Esto también es válido cuando las conexiones con los servidores de Internet trabajan a muy alta velocidad (y muchos datos, 100 Mbit/s).
Otras medidas y ampliaciones del invento resultan de los artículos 2 y 6.
Después de una ampliación del invento se reduce la longitud de los paquetes ICMP con restricciones de longitud, a una longitud lícita. Con esto también se podrían bloquear totalmente los distintos tipos de informaciones de ICPM.
Después de la ampliación de la Función de Cortafuegos a Nivel de Paquete (Paket-Level-Firewall) se fijan las reglas en base a determinados criterios de paquete IP, sobre todo respecto a restricciones, exclusiones y tareas. El programa de administración facilita a continuación un fichero de configuración para el cortafuegos.
En caso de una ventajosa ampliación del invento para una configuración controlada y protección de una función sin restricciones solamente se efectúan intervenciones administrativas a través de una consola o a través de una segura combinación de la red.
Además se puede restringir la entrada al sistema final a través de ventanas de tiempo que pueden ser libremente instaladas.
El conjunto del invento es por eso una especial configuración de Hardware confeccionada a base de un ordenador personal y adaptada con Microchips (EPROMs) y equipada con microcódigos desarrollados precisos.
Además se añade un especial interdisciplinado pero sistemático programa desarrollado que reacciona en forma de un programa sistemático que diferencia los distintos problemas. Así, ahora existe la posibilidad de quitar la ola de datos del protocolo de eficiencia (capa OSI 2) y controlarlo de contenidos seguros las capas que se encuentran por encima (OSI 3- OSI 7). Una de las propiedades esenciales del invento es la extensión funcional de la transmisión de datos, que normalmente es pasiva, para que estos puedan ser controlados de contenidos peligrosos. No obstante con la rutina contenida se puede, al contrario que otros componentes de seguridad en el mercado, reconocer e impedir ataques por desbordamiento "Flood Attacks" como también ataques a IP- Stack y al sistema operativo e implantar más señales de ajustes. La combinación inventada Hard- y Software se protege a sí misma y también protege las conexiones después de instalada en la red interna activamente. La solución combinada estará en la correspondiente línea de entrada entre el router (Screening Router) y el sistema protegido, a veces antes del propio Cortafuegos (Firewall) y por eso también antes de la zona DMZ. Por medio de diferentes métodos que en base a la modularidad del invento, en conjunto o separado con restricciones, incluyendo el protocolo de Internet - pueden aquellos contenidos peligrosos ser reconocidos y rechazados. Como particularidad se debería tener en cuenta que el sistema de protección no podrá ser atacado al nivel IP, dado que el sistema en si, no es un componente de direcciones que funciona a través del protocolo IP y por eso es también totalmente invisible para los componentes de la red activa.
Un elemento esencial del invento es la activa detección de los ataques DoS y DDoS que se ha hecho posible por la combinación Hard- y Software. Solamente utilizado por el lado de los servidores se puede conseguir una activa protección del sistema de los servidores. En combinación con el empleo del lado de los proveedores, se puede prevenir efectivamente la sobrecarga de las líneas, por los ataques DoS y DDoS. Pero es importante que el sistema de detección DoS no sustituya a los tradicionales Cortafuegos (Firewalls), sino simplemente lo amplia con importantes componentes.
Se entiende que las antes mencionadas y después explicadas características se puedan utilizar no solamente en la mencionada combinación sino también solos o en otras combinaciones, sin dejar las condiciones básicas del invento.
En la descripción siguiente se explica a través de ejemplos detallados exactamente el invento:
Fig. 1 una esquemática descripción de un sistema de ordenadores que están conectados con Internet en una pequeña red de ordenadores;
Fig. 2 una esquemática descripción de un sistema de ordenadores que están conectados con Internet en una red mediana de ordenadores;
Fig. 3 una esquemática descripción de un sistema de ordenadores que están conectados con Internet en una red amplia de ordenadores;
Fig. 4 una esquemática descripción de un procedimiento al establecer conexión bajo un protocolo admitido;
Fig. 5 una esquemática descripción de un procedimiento al establecer conexión bajo un protocolo no admitido;
Fig. 6 una esquemática descripción de un procedimiento bajo inválida conexión;
Fig. 7 una esquemática descripción de un procedimiento después de una conexión exitosa con el flujo de datos admitidos;
Fig. 8 una esquemática descripción de un procedimiento después de una conexión exitosa pero con el flujo de datos no admitidos;
Fig. 9 una esquemática descripción de un nivel de protocolo que es protegido a través de un aparato electrónico;
Fig. 10 una descripción de la comprobación de cabeceras válidas IP;
Fig. 11 una descripción de la comprobación de un paquete IP ;
Fig. 12 una descripción de la comprobación de conexiones ajustadas UDP y
Fig. 13 una descripción de la restricción de la longitud de los paquetes ICMP.
El sistema de ordenador 1 corresponde a las figuras 1 a 3 consiste en varios ordenadores servidores 2, que son dado el caso conectados con líneas de datos no mencionados. Los ordenadores servidores 2 son conectados a través de unas líneas de datos 3 conectados con un aparato electrónico 4. Esto muestra un portador de datos, a partir de EPROM, que está equipado con un programa para el reconocimiento y defensa de ataques a sistemas de servidores de redes y sus usuarios.
El aparato electrónico 4, se corresponde a la figura 1, es conectado a través de una línea RDSI 5 con Internet 6. El aparato electrónico 4 sirve para la protección de los ataques DoS y DDoS y contiene una ampliada funcionalidad como Internet-Gateway a través de RDSI.
El aparato electrónico 4 esta además equipado con un adaptador Ethernet y con RDSI.
A parte de la protección de ataques de DoS y DDoS a los sistemas que se encuentran en el Local Area Network (LAN), se utiliza el aparato electrónico también como Router para los servicios de Internet. La conexión con Internet es estándar, siempre y cuando se desea una comunicación a la red externa. Establecer una conexión es automático, cuando el componente 4 contiene el programa en EPROM después de un límite de tiempo. Este comportamiento es estándar pero puede ser cambiado mediante la configuración correspondiente.
El aparato electrónico 4 por ejemplo, según Fig. 2 está conectado a través de una línea de datos RDSI/Ethernet con Internet. Al aparato electrónico esta conectado además un módulo no visible de Firewall integrado para que pueda ser utilizado como Firewall Router dado el caso, a través de otro Router. Los ordenadores servidores 2 o bien la CPU de la red interna, usan el aparato electrónico que contiene el EPROM con el programa que reconoce y se defiende de ataques a sistemas de redes de servidores de proveedores y sus usuarios como paso a Internet a través de Ethernet o RDSI. El aparato electrónico protege además los sistemas internos de ataques de DoS y DDoS, rechazando o transmitiendo paquetes IP que entran y salen, según normas definidas. Así se permite o no la entrada a los servicios públicos de los sistemas locales.
Con la ayuda de un programa de configuración se modifican distintas funciones necesarias, que a través de simples indicaciones de los usuarios se ajustan por un módulo de configuración, que el sistema es capaz de leer. Las funciones del aparato electrónico 4 se pueden configurar libremente y también modificar para el uso de la propia red.
Según el invento en el modo de empleo de la Fig. 3, está el Firewall 9 separado, quiere decir separado entre los ordenadores servidores 2 y el aparato electrónico 4 para el reconocimiento y la defensa de ataques a sistemas de servidores de proveedores de redes y sus usuarios.
El aparato electrónico está conectado con Internet 6 a través de una línea de datos Ethernet 8 y ofrece la ayuda necesaria contra los ataques de DoS y DDoS (Flood-Attacks).
Solamente paquetes de redes que no pueden afectar al sistema final pasarán hasta el Firewall. El Firewall decide después que paquete sea admitido o rechazado.
Fig. 4 es una descripción esquemática de un procedimiento para establecer una conexión bajo un protocolo admitido, mientras que la Fig. 5 procede de una conexión bajo de un protocolo no admitido.
Fig. 6 se trata de una incorrecta conexión. Fig. 7 es un procedimiento esquemático después de establecer una conexión con el tráfico de datos admitidos y Fig. 8 bajo datos no admitidos.
Fig. 9 es una esquemática descripción de un nivel de protocolo que es protegido a través de un aparato electrónico que a su vez contiene un programa para reconocer y defenderse de los ataques a los sistemas servidores de los proveedores de redes y sus usuarios y que contiene la EPROM.
Fig. 10 describe una comprobación de cabeceras IP válidas y en Fig. 11 se describe la comprobación de un Paquete IP. Fig. 12 descripción de la comprobación de conexiones UDP ajustadas y Fig. 13 la descripción de las limitaciones de longitud de los paquetes ICMP.
Lista de los símbolos
1
Sistema del ordenador
2
Servidor
3
Líneas de datos
4
aparato electrónico
5
Línea de datos RDSI
6
Internet
7
RDSI/Ethernet- línea de datos
8
Línea de datos Ethernet.

Claims (10)

1. Procedimiento para el reconocimiento y defensa de ataques a sistemas de servidores de proveedores y sus usuarios a través de un aparato electrónico que contiene un programa de ordenador dentro de una red de ordenadores y que es señalado por componentes y distintos pasos en el procedimiento
-
Protección contra los ataques DoS y DDoS (ataques por desbordamiento, Flood-attacks), dónde:
-
cada IP Syn (deseo de de establecer una conexión IP) queda registrado y según la condición fijado en un protocolo IP después de un determinado tiempo es contestado por un Syn Ack, mientras se comprueba la validez del paquete Syn registrado y la disponibilidad del servicio de destino,
-
se establece una conexión con el servicio de destino y se transmite el paquete de datos para su adaptación, cuando la comprobación ha terminado con éxito y en el intervalo se ha recibido la señal del sistema externo respondiendo a la enviada por Ack, así como un paquete válido de datos, y
-
Seguridad Nivel Link, donde los paquetes de datos para controlar serán directamente aceptados de la Capa OSI 2 (Nivel Link), y
-
Análisis de cabeceras válidas IP, dónde el contenido de cada paquete IP antes de su transmisión al servicio de destino es controlado y validado y dónde cada paquete IP que no es válido es rechazado, y
-
Análisis del paquete IP para comprobación de la longitud y suma de los paquetes IP en conformidad con la declaración en la cabecera TCP o IP, en la construcción de los paquete IP,
-
Protección Huella Digital TCP/IP (Fingerprint), prevención que tiene como respuesta el tráfico de datos de los sistemas seguros y que además neutraliza los sistemas externos, con la utilización de una identificación de protocolo, y
-
Bloqueo de todos los paquetes de red UDP (Protocolo de Datos de Usuario -User Data Protocol) para impedir ataques al sistema seguro a través del protocolo de sistema de red UDP, mientras se registran y desbloquean servicios que se hayan utilizado a través de UDP y se admiten informaciones explícitas para esos puertos UDP. Los demás puertos se quedan cerrados, y
-
Limitación de la longitud del paquete ICMP (Internet Control Message), dónde se reconocen las informaciones de ICMP solamente en una longitud máxima como paquete válido de datos mientras se quedan fuera paquetes de ICMP que se diferencian de estos, y
-
Exclusión de ciertas direcciones externas de IP de la comunicación del servicio de destino, y
-
Función de Cortafuegos a Nivel de Paquete, dónde paquetes IP's que salen y entran se examinan con la ayuda de normas y reglas y que son rechazados o admitidos según las normas y luego transmitidos al sistema final, y
-
Protección contra servicios del servicio de destino a través de exclusión de ciertos servicios y usuarios y/o desviación de consulta de servicio a otros servidores.
2. Procedimiento según el derecho 1, se caracteriza por, la limitación de la longitud de los paquetes ICMP, que queda reducido a una longitud permitida si su longitud es inválida.
3. Procedimiento según el derecho 1, se caracteriza porque se bloquean todas las distintas informaciones ICPM en cuando a la limitación de la longitud de los ICMP paquetes.
4. Procedimiento según el derecho 1, se caracteriza porque las reglas para la Función Cortafuegos a Nivel Paquete (Paket-Level-Firewall-Funtion) se quedan fijados en base a distintos criterios de paquetes IP sobre todo refiriéndose a restricciones, limitaciones y tareas log.
5. Procedimiento según los derechos 1 a 4, se caracterizan por, además de una configuración controlada y protección de la ilimitada función del procedimiento, se puedan hacer intervenciones administrativas, solamente a través de una consola o a través de una conexión segura de la red.
6. Procedimiento según los derechos 1 a 5, se caracterizan porque poder entrar en el sistema final queda limitado por ventanas de tiempo que puedan ser libremente instaladas.
7. Portadores de datos contienen un sistema para el reconocimiento y la defensa de ataques a las sistemas de servidores de los proveedores de redes y sus usuarios a través de un aparato electrónico que contiene un programa de ordenador dentro de una red de ordenadores y que es señalado por componentes y distintos pasos en el procedimiento:
-
Protección contra los ataques DoS y DDoS (ataques por desbordamiento, Flood-attacks), dónde:
-
cada IP Syn (deseo de de establecer una conexión IP) queda registrado y según la condición fijado en un protocolo IP después de un determinado tiempo es contestado por un Syn Ack, mientras se comprueba la validez del paquete Syn registrado y la disponibilidad del servicio de destino,
-
se establece una conexión con el servicio de destino y se transmite el paquete de datos para su adaptación, cuando la comprobación ha terminado con éxito y en el intervalo se ha recibido la señal del sistema externo respondiendo a la enviada por Ack, así como un paquete válido de datos, y
-
Seguridad Nivel Link, donde los paquetes de datos para controlar serán directamente aceptados de la Capa OSI 2 (Nivel Link), y
-
Análisis de cabeceras válidas IP, dónde el contenido de cada paquete IP antes de su transmisión al servicio de destino es controlado y validado y dónde cada paquete IP que no es válido es rechazado, y
-
Análisis del paquete IP para comprobación de la longitud y suma de los paquetes IP en conformidad con la declaración en la cabecera TCP o IP, en la construcción de los paquete IP,
-
Protección Huella Digital TCP/IP (Fingerprint), prevención que tiene como respuesta el tráfico de datos de los sistemas seguros y que además neutraliza los sistemas externos, con la utilización de una identificación de protocolo, y
-
Bloqueo de todos los paquetes de red UDP (Protocolo de Datos de Usuario -User Data Protocol) para impedir ataques al sistema seguro a través del protocolo de sistema de red UDP, mientras se registran y desbloquean servicios que se hayan utilizado a través de UDP y se admiten informaciones explícitas para esos puertos UDP. Los demás puertos se quedan cerrados, y
-
Limitación de la longitud del paquete ICMP (Internet Control Message), dónde se reconocen las informaciones de ICMP solamente en una longitud máxima como paquete válido de datos mientras se quedan fuera paquetes de ICMP que se diferencian de estos, y
-
Exclusión de ciertas direcciones externas de IP de la comunicación del servicio de destino, y
-
Función de Cortafuegos a Nivel de Paquete, dónde paquetes IP's que salen y entran se examinan con la ayuda de normas y reglas y que son rechazados o admitidos según las normas y luego transmitidos al sistema final, y
-
Protección contra servicios del servicio de destino a través de exclusión de ciertos servicios y usuarios y/o desviación de consulta de servicio a otros servidores.
8. Portadores de datos según el derecho 5, se caracterizan porque es formado como EPROM y componente de un aparato electrónico.
9. El sistema de ordenadores que esta conectado con una red como es Internet (6), Intranet, etc. y contiene varios ordenadores que sirven como ordenadores servidores(2) o están configurados como ordenadores clientes, se caracterizan por, una líneas de datos de protección (5.7.8) entre la red (6) y el servidor (2) o el servidor cliente, y que este está conectado al aparato electrónico(4) que está dotado con un portador de datos que contiene un programa de ordenadores que tiene siguientes pasos:
-
Protección contra los ataques DoS y DDoS (ataques por desbordamiento, Flood-attacks), dónde:
-
cada IP Syn (deseo de de establecer una conexión IP) queda registrado y según la condición fijado en un protocolo IP después de un determinado tiempo es contestado por un Syn Ack, mientras se comprueba la validez del paquete Syn registrado y la disponibilidad del servicio de destino,
-
se establece una conexión con el servicio de destino y se transmite el paquete de datos para su adaptación, cuando la comprobación ha terminado con éxito y en el intervalo se ha recibido la señal del sistema externo respondiendo a la enviada por Ack, así como un paquete válido de datos, y
-
Seguridad Nivel Link, donde los paquetes de datos para controlar serán directamente aceptados de la Capa OSI 2 (Nivel Link), y
-
Análisis de cabeceras válidas IP, dónde el contenido de cada paquete IP antes de su transmisión al servicio de destino es controlado y validado y dónde cada paquete IP que no es válido es rechazado, y
-
Análisis del paquete IP para comprobación de la longitud y suma de los paquetes IP en conformidad con la declaración en la cabecera TCP o IP, en la construcción de los paquete IP,
-
Protección Huella Digital TCP/IP (Fingerprint), prevención que tiene como respuesta el tráfico de datos de los sistemas seguros y que además neutraliza los sistemas externos, con la utilización de una identificación de protocolo, y
-
Bloqueo de todos los paquetes de red UDP (Protocolo de Datos de Usuario -User Data Protocol) para impedir ataques al sistema seguro a través del protocolo de sistema de red UDP, mientras se registran y desbloquean servicios que se hayan utilizado a través de UDP y se admiten informaciones explícitas para esos puertos UDP. Los demás puertos se quedan cerrados, y
-
Limitación de la longitud del paquete ICMP (Internet Control Message), dónde se reconocen las informaciones de ICMP solamente en una longitud máxima como paquete válido de datos mientras se quedan fuera paquetes de ICMP que se diferencian de estos, y
-
Exclusión de ciertas direcciones externas de IP de la comunicación del servicio de destino, y
-
Función de Cortafuegos a Nivel de Paquete, dónde paquetes IP's que salen y entran se examinan con la ayuda de normas y reglas y que son rechazados o admitidos según las normas y luego transmitidos al sistema final, y
-
Protección contra servicios del servicio de destino a través de exclusión de ciertos servicios y usuarios y/o desviación de consulta de servicio a otros servidores.
10. Programa de ordenador que contiene un código para el reconocimiento y la defensa de ataques a las sistemas de servidores de los proveedores de redes y sus usuarios a través de un aparato electrónico que contiene un programa de ordenador dentro de una red de ordenadores que se caracterizan por, los siguientes pasos:
-
Protección contra los ataques DoS y DDoS (ataques por desbordamiento, Flood-attacks), dónde:
-
cada IP Syn (deseo de de establecer una conexión IP) queda registrado y según la condición fijado en un protocolo IP después de un determinado tiempo es contestado por un Syn Ack, mientras se comprueba la validez del paquete Syn registrado y la disponibilidad del servicio de destino,
-
se establece una conexión con el servicio de destino y se transmite el paquete de datos para su adaptación, cuando la comprobación ha terminado con éxito y en el intervalo se ha recibido la señal del sistema externo respondiendo a la enviada por Ack, así como un paquete válido de datos, y
-
Seguridad Nivel Link, donde los paquetes de datos para controlar serán directamente aceptados de la Capa OSI 2 (Nivel Link), y
-
Análisis de cabeceras válidas IP, dónde el contenido de cada paquete IP antes de su transmisión al servicio de destino es controlado y validado y dónde cada paquete IP que no es válido es rechazado, y
-
Análisis del paquete IP para comprobación de la longitud y suma de los paquetes IP en conformidad con la declaración en la cabecera TCP o IP, en la construcción de los paquete IP,
-
Protección Huella Digital TCP/IP (Fingerprint), prevención que tiene como respuesta el tráfico de datos de los sistemas seguros y que además neutraliza los sistemas externos, con la utilización de una identificación de protocolo, y
-
Bloqueo de todos los paquetes de red UDP (Protocolo de Datos de Usuario -User Data Protocol) para impedir ataques al sistema seguro a través del protocolo de sistema de red UDP, mientras se registran y desbloquean servicios que se hayan utilizado a través de UDP y se admiten informaciones explícitas para esos puertos UDP. Los demás puertos se quedan cerrados, y
-
Limitación de la longitud del paquete ICMP (Internet Control Message), dónde se reconocen las informaciones de ICMP solamente en una longitud máxima como paquete válido de datos mientras se quedan fuera paquetes de ICMP que se diferencian de estos, y
-
Exclusión de ciertas direcciones externas de IP de la comunicación del servicio de destino, y
-
Función de Cortafuegos a Nivel de Paquete, dónde paquetes IP's que salen y entran se examinan con la ayuda de normas y reglas y que son rechazados o admitidos según las normas y luego transmitidos al sistema final, y
-
Protección contra servicios del servicio de destino a través de exclusión de ciertos servicios y usuarios y/o desviación de consulta de servicio a otros servidores.
ES01974174T 2001-08-07 2001-08-13 Procedimiento, portadores de datos, sistemas de ordenadores y programas de ordenadores para el reconocimiento de ataques de virus a sistemas de servidores de redes y a sus usuarios. Expired - Lifetime ES2256298T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CH01459/01A CH693921A5 (de) 2001-08-07 2001-08-07 Verfahren, Datentraeger, Computersystem und Computerprogrammprodukt zur Erkennung und Abwehr von Angriffen auf Serversysteme von Netzwerk-Diensteanbietern und -betreibern.
PCT/EP2001/009328 WO2003017613A1 (de) 2001-08-07 2001-08-13 Verfahren, datenträger, computersystem und computerprogrammprodukt zur erkennung und abwehr von angriffen auf serversysteme von netzwerk-diensteanbietern und -betreibern

Publications (1)

Publication Number Publication Date
ES2256298T3 true ES2256298T3 (es) 2006-07-16

Family

ID=32736765

Family Applications (1)

Application Number Title Priority Date Filing Date
ES01974174T Expired - Lifetime ES2256298T3 (es) 2001-08-07 2001-08-13 Procedimiento, portadores de datos, sistemas de ordenadores y programas de ordenadores para el reconocimiento de ataques de virus a sistemas de servidores de redes y a sus usuarios.

Country Status (10)

Country Link
EP (1) EP1464150B1 (es)
JP (1) JP2006501527A (es)
AU (1) AU2001293762B2 (es)
CA (1) CA2456902A1 (es)
CH (1) CH693921A5 (es)
DE (1) DE50108695D1 (es)
ES (1) ES2256298T3 (es)
IL (1) IL160123A0 (es)
MX (1) MXPA04001360A (es)
WO (1) WO2003017613A1 (es)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113422787A (zh) * 2021-08-24 2021-09-21 广州乐盈信息科技股份有限公司 一种用于无源光网络系统的智能防攻击方法

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7979694B2 (en) 2003-03-03 2011-07-12 Cisco Technology, Inc. Using TCP to authenticate IP source addresses
CN100380871C (zh) * 2005-01-26 2008-04-09 北京大学 一种针对分布式拒绝服务攻击的防范系统和方法
CH700308A2 (de) 2009-01-22 2010-07-30 Martin Blapp Ein technisches System in der Hardware oder im Kernel eines E-Mail Gateways, um die Betriebs-Infrastruktur oder das Betriebs-System gegen DDos-Angriffe aus dem Internet zu schützen.
CN110311925B (zh) * 2019-07-30 2022-06-28 百度在线网络技术(北京)有限公司 DDoS反射型攻击的检测方法及装置、计算机设备与可读介质
DE202019106018U1 (de) 2019-10-30 2019-11-11 Hans-Jürgen Kuhn Computer-System zur Abwehr eines Angriffs von Schadsoftware durch elektronische Nachrichten
DE102019129253B4 (de) 2019-10-30 2023-02-09 Hans-Jürgen Kuhn Verfahren und Computer-System zur Abwehr eines Angriffes von Schadsoftware durch elektronische Nachrichten
CN113938388A (zh) * 2021-10-14 2022-01-14 工银科技有限公司 一种业务接口的参数校验方法及装置
CN116107840B (zh) * 2023-02-20 2026-04-24 成都泛微网络科技有限公司 一种服务异常监控方法、系统、装置、电子设备及介质
CN118200008B (zh) * 2024-04-07 2025-11-25 中国工商银行股份有限公司 基于防火墙的安全通信方法、装置、设备、介质和产品

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10136025A (ja) * 1996-11-01 1998-05-22 Hitachi Software Eng Co Ltd ネットワーク間通信中継方法および中継装置
US6738814B1 (en) * 1998-03-18 2004-05-18 Cisco Technology, Inc. Method for blocking denial of service and address spoofing attacks on a private network

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113422787A (zh) * 2021-08-24 2021-09-21 广州乐盈信息科技股份有限公司 一种用于无源光网络系统的智能防攻击方法

Also Published As

Publication number Publication date
JP2006501527A (ja) 2006-01-12
CH693921A5 (de) 2004-04-15
AU2001293762B2 (en) 2005-12-22
EP1464150A1 (de) 2004-10-06
WO2003017613A1 (de) 2003-02-27
CA2456902A1 (en) 2003-02-27
IL160123A0 (en) 2004-06-20
EP1464150B1 (de) 2006-01-11
MXPA04001360A (es) 2005-11-23
DE50108695D1 (de) 2006-04-06

Similar Documents

Publication Publication Date Title
US11570212B2 (en) Method and apparatus for defending against network attack
US6513122B1 (en) Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities
US8170020B2 (en) Leveraging active firewalls for network intrusion detection and retardation of attack
US9954873B2 (en) Mobile device-based intrusion prevention system
Kargl et al. Protecting web servers from distributed denial of service attacks
US7225468B2 (en) Methods and apparatus for computer network security using intrusion detection and prevention
ES2282739T3 (es) Procedimiento y sistema para la prevencion y el rechazo de intrusiones.
US7735116B1 (en) System and method for unified threat management with a relational rules methodology
US20040187032A1 (en) Method, data carrier, computer system and computer progamme for the identification and defence of attacks in server of network service providers and operators
US8006303B1 (en) System, method and program product for intrusion protection of a network
US20020104017A1 (en) Firewall system for protecting network elements connected to a public network
US20040088409A1 (en) Network architecture using firewalls
US20030065943A1 (en) Method and apparatus for recognizing and reacting to denial of service attacks on a computerized network
ES2256298T3 (es) Procedimiento, portadores de datos, sistemas de ordenadores y programas de ordenadores para el reconocimiento de ataques de virus a sistemas de servidores de redes y a sus usuarios.
Rahman et al. A novel cloud computing security model to detect and prevent DoS and DDoS attack
US12273386B2 (en) Methods and system for providing security to Critical Systems connected to a computer network
Nagesh et al. A survey on denial of service attacks and preclusions
Comer Network processors: programmable technology for building network systems
Bossardt et al. Enhanced Internet security by a distributed traffic control service based on traffic ownership
Mishra et al. A systematic survey on DDoS attack and data confidentiality issue on cloud servers
CN121441519A (zh) 一种基于xdp技术的反测绘方法
Banoth et al. Attacking the Foundation, Attacking What We Do, Understanding Defense
Zaraska Ids active response mechanisms: Countermeasure subsytem for prelude ids
Qureshi Network intrusion detection using an innovative statistical approach
Malek et al. Data mining techniques for security of web services