CN101641933A - 电子欺骗的防止 - Google Patents
电子欺骗的防止 Download PDFInfo
- Publication number
- CN101641933A CN101641933A CN200680056732.6A CN200680056732A CN101641933A CN 101641933 A CN101641933 A CN 101641933A CN 200680056732 A CN200680056732 A CN 200680056732A CN 101641933 A CN101641933 A CN 101641933A
- Authority
- CN
- China
- Prior art keywords
- address
- user
- grouping
- mac
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
在用于接入因特网的标准以太网接入网络中,没有技术上的安全措施来防止用户改变其地址信息以非法地从其他用户挪用分组,或仅仅是伪装其身份。通过在接入结点实现过滤机制,改进了网络的整体安全而没有牺牲以太网接入网络上的简单性和传输的速度。该过滤机制通过利用结合分配的IP目标地址与分配的MAC地址,对向连接到接入结点上的用户发送的分组进行过滤。任何发向用户但包含不正确的MAC或IP地址的分组都会被阻止。
Description
技术领域
本发明涉及连接到例如以太网的共享介质接入网络用户的公共网络(例如因特网)的安全。
背景技术
当使用因特网时,期望的是通过专用的因特网协议(IP)地址来识别用户。这有助于识别对例如国家安全有危险的非法业务或行为。但是,如果用户通过公共以太网络连接到因特网,则对用户的识别将变得更加困难,因为在标准网络中用户改变他的IP地址和MAC地址(这种行为通常被称作“电子欺骗”)都不存在技术障碍。术语“公共以太网”指代以太网网络,其中,核心网络由构成聚合聚合网络的自学习交换机或者结点组成。采用分组的目标介质存取控制(MAC)地址完成在聚合网络上的交换,借助每个结点,随着相关的目标地址接收和重定向分组,将MAC地址逐渐与相关的目标地址关联。这可以通过利用地址解析协议(ARP)请求来完成,每次当聚合网络中的交换机接收到具有新的MAC地址的分组时,该请求被送往网络中的边缘结点或路由器。
在以太网接入网络中实行用户身份是有可能的,其中要求每个用户在允许接入网络之前使用唯一的用户名和密码登录,例如通过点到点协议PPPoE实行。但是,这样的***并不总是被人认可,因为每次都要登陆不可避免减慢了接入速度。在这种共享介质中的进一步的技术方案包括在所有用户之间路由所有业务。但是,这样做代价昂贵而效率低下。接入结点必须能路由所有业务并且每个用户必需被有效地分配到至少一个IP子网,IP子网通常包括4个IP地址,不管需要多少IP地址。当以太网接入网络中没有这样的配置或路由限制时,网络内的安全依赖于互相信任和所有用户对管理规则的遵守。
考虑到现有技术,本发明的一个目标是在不对网络自身中的配置或路由作限制的情况下提高以太网接入网络的安全性。
发明内容
这些或进一步的目的在用于将至少一个用户连接到以太网网络的接入结点中实现。该接入结点具有用于存储被连接用户的地址信息的表。它还包括过滤模块,适于识别在所述网络上接收的数据分组的目标地址,并仅当该分组具有与存储在所述表中的地址信息对应的目标地址时,才允许向其中一个所述用户发送该数据分组。
这样的配置有效地避免了下列情况的发生:用户发送假的地址信息,导致聚合网络将业务错误地转向真正的目的地,从而使该用户接收到指定给另一用户的信息。但是,该网络丝毫不受影响并且业务可以通过经过聚合网络的最短路径继续流动。
优选地,接入结点存储分配给用户的IP和MAC地址。这可以防止在聚合网络内因为仅基于MAC地址而错误地路由业务。
还可以通过下列方式进一步提高安全级别:设置过滤模块对接收自其中一个用户经网络发送的分组中的源地址信息作进一步的识别,并且仅当该分组源地址信息对应于表中存储的地址信息时,才允许将这些分组发送到该网络。
因此可以避免用户通过错误或者出于恶意的目的来非法利用假的或重复的IP地址的任何企图。
附图说明
本发明更多的目标和优点从下列以例子的方式给出的优选实施例的描述结合参考附图将会变得更明显。附图中:
图1示意性地图示出具有标准以太网交换机和按照本发明的接入节点的标准以太网网络。
图2示意性地图示出根据本发明的接入结点的功能单元,以及
图3示出流程图,其图示出根据本发明的接入结点的过滤功能。
具体实施方式
图1示出标准以太网网络10,在本例中其作为到因特网的接入网络或连接到因特网的另一个外部网络的接入网络。到外部网络的连接由路由器18确保,路由器18连接到由标准自学习以太网交换机14,16组成的聚合网络。聚合网络的交换机14,16的结构和功能为本领域所熟知,所以这里就不作进一步讨论。如图所示,两个用户、用户A20-1和用户B20-2通过接入结点12-1、12-2连接到网络10。示出的用户为PC,但是可以理解的使,其他设备也可以构成用户设备。常规的接入结点12-1、12-2包括由Ericsson制造的Fibre Ethernet Access ELN200或ADSL Ethernetmoderm EDA ESN 312I PDSLAM。本实施例的接入结点12-1、12-2可基于这些已知设备但包括下述附加的功能和特征。
为便于阐释,示出的接入结点AN1 12-1、AN2 12-2的每个具有5个端口。在本实施例中,如图所示,用户A20-1连接到接入结点AN1 12-1的端口2,用户B20-2连接到接入结点AN2 12-2的端口5。接入结点AN1 12-1、AN2 12-2的其余端口没有被占用,但本领域的技术人员可以理解的使,新增的用户可以连接到这些端口。在所示的配置中,接入结点AN1 12-1、AN2 12-2的每个的端口1连接到构成聚合网络一部分的以太网交换机14的一个端口。更详细地,接入结点AN 112-1连接到此交换机14的端口2,接入结点AN212-2连接到此交换机的端口3。第三端口(交换机14的端口3)连接到聚合网络16中的另一个交换机。
连接到网络10的用户A20-1和用户B20-2的每一个被分配IP地址和MAC地址。IP地址被因特网服务提供商ISP正常定义并通信。MAC地址通常在用户网络接口卡(NIC卡)中配置,该卡带有在出厂时预定义的唯一的MAC地址。为便于阐释,用户A20-1的MAC地址为MAC A,IP地址为IP1,用户B20-2的MAC地址为MACB,IP地址为IP2。路由器18也被分配MAC地址和IP地址,在本例中分别为MAC C和IP3。在聚合网络中,路由仅基于包含在数据分组目标地址中的MAC地址。交换机14、16和接入结点12-1、12-2的每一个保存路由信息。这由图1中的与以太网交换机14关联的以太网路由表140、与接入结点12-1关联的表120-1和与接入结点12-2关联的表120-2示出,相关联的交换机或结点利用每个表,根据目的MAC地址将分组转发到正确的端口。随着交换机或结点“学习”将带有指定MAC地址的分组与特定的路由相关联,包含在这些表140、120-1、120-2中的路由信息逐渐积累起来,这种关联基于ARP请求中接收到的源地址信息、DHCP应答或其他分组发送。一旦此类信息形成,分组就经过聚合网络由最短路径发送。
但是,在这样的配置中,用户可能试图改变其MAC地址或IP地址以从其他用户那里窃取分组,即使这些地址已经被分配给另一个用户。例如,用户可以发送具有假的源MAC或I P地址的分组,然后这些信息会被当成真实地址放入(be assimilated into)路由表。例如,在图1中,用户B20-2可将其MAC地址从MAC B改成MAC A以偶尔地窃取向用户A20-1发送的以太网分组。虽然以这种方式截获的分组的数量很少(可能10000只中有一个),但对于恶意用户来说,这种欺诈使用可能依然有吸引力,因为随着时间的推移,被窃取的分组中将包含敏感信息,例如安全密码等。这可以通过以下方法实现:用户A通过PC A发送TCP/IP请求到因特网并等待回答。用户B通过PC B发送采用源地址MAC A而不是MAC B的假分组,目的在于重定向业务。该假分组导致以太网交换机SW1 14改变它的路由表,使得具有目标地址MAC A的分组被映射到端口3而不是端口2。相似地,接入结点AN2 12-2上的路由表被改变,使得具有目标地址MAC A的分组被映射到端口5。随着这些变化,对用户A发送的TCP/IP请求的响应或任何其他以PC A20-1为目的地的分组将会被重定向到PC B20-2和用户B。相似地,用户B可通过从PC B20-2发送一个具有源地址为MAC C的假分组,假冒(assume)路由器18的MAC地址。该步骤将造成以太网交换机SW1 14改变它的路由表,将发送给MAC C的分组映射到端口3代替端口1,并且使得接入结点AN2改变它的路由表,将MAC C映射到端口5。然后,在网络10内任何打算向路由器18发送的具有目标地址MAC C的分组(例如来自PC A20-1)会被重定向到PC B20-2。
根据本发明,通过在接入结点中提供过滤功能避免了这一点。图2示出在接入结点12-2中简化和示意性的过滤配置表示。如图2所示,每个接入结点12具有过滤模块122,过滤模块122从每个进入的分组中提取地址信息并通过对表124的查询来验证IP地址是否对应于连接到该接入结点12的用户的IP地址。表124包含正确的(即初始分配的)每个被连接用户的IP和MAC地址。该过滤模块122通过参考表124,对照分配给该IP地址用户的地址,检测所有进入分组的MAC目标地址。如果这些地址是匹配的,则将分组发送给该用户;如果找不到匹配,那就阻止分组。这样,如果用户在送出的分组中采用不同于初始分配给其的MAC地址作为源地址,则如上述两例所所述,这些分组将会被接入结点阻止。
接入结点12中的过滤功能在用户不知情的情况下发生。欺诈性的误转向分组在该接入结点处就被阻止而不会象采用以太网路由表时那样,被传送给用户。
除了基于目标IP和MAC地址来过滤进入或下行链路的分组之外,该过滤模块22也可以过滤送出的分组来保证这些分组包含合法的IP源地址。该功能用于防止用户非法使用另一个用户的IP源地址。例如,用户B可能将送往因特网的TCP/IP请求中的PCB20-2发送的分组的源地址从IP B改成IP A。尽管向IP A(即PC A20-2的IP地址)发送,但是响应在网络10中的路由将会采用在TCP/IP中记录(feature)的MAC源地址,例如MAC B,因此其被重定向到PC B20-2上的用户B。通过阻止那些源IP地址不属于所连接的用户之一的分组,或者通过阻止那些构不成合法对(MAC地址和与之关联的被连接用户之一)的分组,所述接入结点阻止了对分组的诈骗性挪用或偶然的挪用。
对于一些接入结点来说,由其根据IP地址对上行链路或送出分组进行过滤是已知的特征并且通常被纳入到公共以太网网络中,以使得通过它们的IP地址能够识别所有用户。但是,当这种已知的过滤机制与本发明的过滤功能相结合时,即当根据目标IP和MAC地址对来过滤进入的分组时,网络安全性大大改进了。而且,这种安全性的改进不会影响接入网络的基础结构或会对安分守己的用户有限制。例如,用户无需象实现点到点协议时(PPPoE)登录时那样,需要进入登录过程。网络操作员无需做出重要的改变。
接入结点12中过滤机制的功在图3中以流程图的形式示出。开始于事件100,过滤模块122接收下一个进入分组。在步骤101,确定接收到的分组在哪个端口。如果该分组在端口1接收(因此表示接收来自网络10的分组),则该方法继续到步骤102。在第三步骤,从分组报头提取IP和MAC目标地址对。在步骤103,将这些地址与过滤表124中的条目比对。如果这两个地址与该表的条目中是匹配的,则它们表示合法的用户地址。该方法然后继续到步骤104并且发送分组到相应的端口。另一方面,如果所提取的IP和MAC目标地址对没有包含在表124的条目中,则该方法转到步骤105,该分组被阻止。在接入结点为AN212-2的情况下,过滤表124只包含用户的User B(PC B,20-2)的MAC和IP地址。该条目因此包含端口号5、IP地址IP 2和MAC地址MAC B。IP和MAC地址的任何其他的组合将导致在步骤103中产生“否”的结果并且该方法会转到步骤105,从而阻止该分组。如果在步骤101,该分组从端口1到5中的一个接收到分组(此时表明它由网络10外部的用户发送),那么该方法转到步骤106,在该步骤中提取IP和MAC源地址。然后在步骤107查询过滤表124,并且如果包含在该分组中的IP源地址或IP和MAC源地址的组合没有在表中记录,那么该方法转到步骤105并且该分组被阻止。这表明用户至少是非法修改了分组中的所分配的IP源地址。另一方面,在步骤107,如果在表中查找到该IP源地址或IP和MAC源地址的组合,那么该方法继续进行到步骤104,以已知的方式,将分组转发到在常规ARP表(以太网路由表)中定义的端口。除了阻止非授权的分组之外,过滤功能112还可以通过发送警告,向网络操作员告知该事件。另外,接入结点12可以生成事件日志,其被发送给接入网络的操作员或管理员,或供他们查询。通过采用假MAC地址来截取邻近用户的业务数据的事情日益增多,这在预示着潜在的安全风险的同时,也将由于分组不可避免地被误转向而影响到接入网内的数据流量。结果是,网络提供的服务质量将会降低。如果网络操作员警觉到该问题,就可以采取步骤(例如断开欺诈行为用户的端口)来阻断该用户。
过滤表124可以当用户连接到接入结点12时生成。分配给每个用户的IP地址可以通过窥探因特网服务提供商(ISP)和用户之间交换的消息(例如动态主机配置协议(DHCP)或点到点协议(PPP)消息)获得。替代的方式是,如果IP地址是手动配置的,则可以通过直接询问用户或者ISP得到。MAC地址也可以通过询问得到。
图2所示的过滤表124与相对于以太网路由表120-1和120-2的分立实体。但是,可以理解的是,该过滤表124最终将会取代具有定义了用于过滤功能的地址的端口的路由表120-1和120-2。例如,当过滤功能只对以与端口2到5相关联方式存储的地址进行操作时,图2所示的过滤表124将会被扩展到包含至少是关于经端口1路由到的MAC地址的信息。
Claims (11)
1、一种接入结点,用于将至少一个用户连接到以太网网络,所述接入结点包括存储模块(124),用于存储所述用户的地址信息,其特征在于,包含过滤模块(122),适于识别在所述网络(10)上接收的数据分组的目标地址,并仅当那些数据分组具有与存储在所述存储模块(124)内的地址信息对应的目标地址时,才允许向其中一个所述用户传输数据分组。
2、如权利要求1所述的接入结点,其特征在于所述存储模块(124)适于为每个用户存储与介质接入控制地址相关联的因特网协议地址,并且所述过滤模块适于从所述接收到的分组中提取IP目标地址和MAC目标地址并将所述提取的目标地址与所述存储的地址信息进行比较。
3、如权利要求1或2所述的接入结点,其特征在于所述过滤模块(122)进一步适于识别从所述用户之一接收到的用于在所述网络(10)上传输的分组所包含的源地址信息,并且仅当分组源地址信息对应于存储在所述存储模块(124)中的地址信息时,才允许所述分组到所述网络的传输。
4、如权利要求3所述的接入结点,其特征在于所述存储模块(124)适于为每个用户存储与介质接入控制地址相关联的因特网协议地址,并且所述过滤模块进一步适于提取从所述用户接收到的分组的IP目标地址和MAC目标地址并将所述提取的目标地址与所述存储的地址信息进行比较。
5、如之前任意一项权利要求所述的接入结点,其特征在于所述过滤模块进一步适于当所述识别的地址信息与所述存储的地址信息不对应时,产生警告信号。
6、一种在接入节点过滤分组的方法,该接入结点用于将用户连接到以太网接入网络,所述方法包括以下步骤:
在所述接入网络上接收分组,
提取包含在所述分组内的目标地址信息,
将目标地址信息与存储模块(124)内为每个用户而存储的地址信息进行比较,以及
仅当该地址信息包含在所述存储模块(124)内时,将所述分组发送给所述用户之一。
7、如权利要求6所述的方法,其特征在于所述提取目标地址信息的步骤包括从所述分组中提取目标IP地址和MAC地址对并且所述比较步骤包括将提取的IP和MAC目标地址对与存储在所述存储模块(124)中的IP和MAC地址对进行比较。
8、如权利要求6或7所述的方法,进一步包括步骤:
从其中一个所述用户接收指定为在所述以太网网络(10)上传输的分组,
从所述分组中提取源地址信息,
将所述提取的源地地址信息与所述存储模块内为每个用户存储的地址信息进行比较,以及
仅当提取的地址信息包含在所述存储模块内时,将所述分组发送到所述以太网网络。
9、如权利要求8所述的方法,其特征在于所述提取源地址信息的步骤包括提取至少所述分组的IP源地址的步骤和所述比较步骤包括将至少所述提取的IP源地址与为每个用户存储的IP地址进行比较。
10、如权利要求9所述的方法,其特征在于所述提取源地址信息的步骤包括还提取分组的MAC源地址的步骤和所述比较步骤包括将所述提取的IP源地址和MAC源地址对与为每个用户存储的IP和MAC源地址进行比较。
11、如权利要求6到10中的任意一项权利要求所述的方法,进一步包括当所述提取的地址信息与所述存储的地址信息不对应时,产生警告信号的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510190975.XA CN104917751B (zh) | 2006-12-22 | 2006-12-22 | 电子欺骗的防止 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2006/012441 WO2008077414A1 (en) | 2006-12-22 | 2006-12-22 | Preventing spoofing |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510190975.XA Division CN104917751B (zh) | 2006-12-22 | 2006-12-22 | 电子欺骗的防止 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101641933A true CN101641933A (zh) | 2010-02-03 |
Family
ID=38627145
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200680056732.6A Pending CN101641933A (zh) | 2006-12-22 | 2006-12-22 | 电子欺骗的防止 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8966608B2 (zh) |
| EP (1) | EP2103075A1 (zh) |
| CN (1) | CN101641933A (zh) |
| WO (1) | WO2008077414A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102316034A (zh) * | 2011-09-06 | 2012-01-11 | 中兴通讯股份有限公司 | 局域网内防止手动指定ip地址的方法及装置 |
| WO2012003742A1 (zh) * | 2010-07-06 | 2012-01-12 | 中兴通讯股份有限公司 | 防止用户私自修改ip地址的方法、装置及*** |
| CN105684357A (zh) * | 2013-11-07 | 2016-06-15 | 国际商业机器公司 | 虚拟机中地址的管理 |
| CN112003850A (zh) * | 2020-08-14 | 2020-11-27 | 北京浪潮数据技术有限公司 | 一种基于云网络的流量监控方法、装置、设备及存储介质 |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009031453A1 (ja) * | 2007-09-07 | 2009-03-12 | Cyber Solutions Inc. | ネットワークセキュリティ監視装置ならびにネットワークセキュリティ監視システム |
| US20100312922A1 (en) * | 2009-06-09 | 2010-12-09 | Quantum Corporation | System and method for identifying physical location of ethernet-connected media drives in a media library assembly |
| US8341725B2 (en) * | 2009-07-30 | 2012-12-25 | Calix, Inc. | Secure DHCP processing for layer two access networks |
| CN101662480B (zh) * | 2009-09-01 | 2012-03-07 | 卡斯柯信号有限公司 | 一种基于访问控制的日志*** |
| US8972554B2 (en) * | 2010-09-30 | 2015-03-03 | The Nielsen Company (Us), Llc | Methods and apparatus to measure mobile broadband market share |
| CN102301662B (zh) * | 2011-06-27 | 2013-10-02 | 华为技术有限公司 | 媒体访问控制mac地址保护方法和交换机 |
| WO2013115807A1 (en) * | 2012-01-31 | 2013-08-08 | Hewlett-Packard Development Company, L.P. | Determination of spoofing of a unique machine identifier |
| WO2014075716A1 (en) * | 2012-11-14 | 2014-05-22 | Telefonaktiebolaget L M Ericsson (Publ) | Content based overload protection |
| JP6041636B2 (ja) * | 2012-11-26 | 2016-12-14 | キヤノン株式会社 | 情報処理装置、情報処理装置の制御方法、及びプログラム |
| WO2015106461A1 (zh) * | 2014-01-20 | 2015-07-23 | 华为技术有限公司 | 地址获取方法及网络虚拟化边缘设备 |
| US20180176181A1 (en) * | 2016-12-19 | 2018-06-21 | Cisco Technology, Inc. | Endpoint admission control |
| US10567379B2 (en) * | 2017-06-26 | 2020-02-18 | Bank Of America Corporation | Network switch port access control and information security |
| US10567433B2 (en) * | 2017-07-06 | 2020-02-18 | Bank Of America Corporation | Network device authorization for access control and information security |
| JP7046756B2 (ja) * | 2018-08-01 | 2022-04-04 | 株式会社日立製作所 | ネットワーク中継装置、ネットワーク中継方法、及びネットワーク中継プログラム |
| US11277442B2 (en) * | 2019-04-05 | 2022-03-15 | Cisco Technology, Inc. | Verifying the trust-worthiness of ARP senders and receivers using attestation-based methods |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5615340A (en) * | 1994-07-21 | 1997-03-25 | Allied Telesyn Int'l Corp. | Network interfacing apparatus and method using repeater and cascade interface with scrambling |
| US5581559A (en) * | 1995-03-17 | 1996-12-03 | Advanced Micro Devices, Inc. | Inverse packet disrupt for secure networks |
| ATE252298T1 (de) * | 1999-11-16 | 2003-11-15 | Broadcom Corp | Verfahren und netzwerkvermittlungsstelle mit datenserialisierung durch gefahrlose mehrstufige störungsfreie multiplexierung |
| US20020133586A1 (en) * | 2001-01-16 | 2002-09-19 | Carter Shanklin | Method and device for monitoring data traffic and preventing unauthorized access to a network |
| JP4647825B2 (ja) * | 2001-04-27 | 2011-03-09 | 富士通セミコンダクター株式会社 | パケット送受信システム、ホスト、および、プログラム |
| US7370356B1 (en) * | 2002-01-23 | 2008-05-06 | Symantec Corporation | Distributed network monitoring system and method |
| JP2003223307A (ja) | 2002-01-31 | 2003-08-08 | Canon Inc | アクセス制限装置、アクセス制限方法、プログラムおよび記憶媒体 |
| US6990592B2 (en) * | 2002-02-08 | 2006-01-24 | Enterasys Networks, Inc. | Controlling concurrent usage of network resources by multiple users at an entry point to a communications network based on identities of the users |
| JP3834280B2 (ja) * | 2002-10-01 | 2006-10-18 | Necインフロンティア株式会社 | 端末装置、端末装置内の優先処理方法、およびプログラム |
| USRE45445E1 (en) * | 2002-11-06 | 2015-03-31 | Telefonaktiebolaget L M Ericsson (Publ) | Method and arrangement for preventing illegitimate use of IP addresses |
| US7379423B1 (en) * | 2003-03-20 | 2008-05-27 | Occam Networks, Inc. | Filtering subscriber traffic to prevent denial-of-service attacks |
| US20040240447A1 (en) * | 2003-05-28 | 2004-12-02 | Dorbolo Riccardo G. | Method and system for identifying bidirectional packet flow |
| US7913294B1 (en) * | 2003-06-24 | 2011-03-22 | Nvidia Corporation | Network protocol processing for filtering packets |
| US7624431B2 (en) * | 2003-12-04 | 2009-11-24 | Cisco Technology, Inc. | 802.1X authentication technique for shared media |
| US7499450B2 (en) * | 2004-04-30 | 2009-03-03 | Infineon Technologies Ag | Router IP port for an IP router |
| WO2006099303A1 (en) | 2005-03-11 | 2006-09-21 | Tracesecurity, Inc. | Integrated, rules-based security compliance and gateway system |
| US20060209818A1 (en) * | 2005-03-18 | 2006-09-21 | Purser Jimmy R | Methods and devices for preventing ARP cache poisoning |
| US7797738B1 (en) * | 2005-12-14 | 2010-09-14 | At&T Corp. | System and method for avoiding and mitigating a DDoS attack |
-
2006
- 2006-12-22 EP EP06829833A patent/EP2103075A1/en not_active Withdrawn
- 2006-12-22 CN CN200680056732.6A patent/CN101641933A/zh active Pending
- 2006-12-22 WO PCT/EP2006/012441 patent/WO2008077414A1/en active Application Filing
- 2006-12-22 US US12/520,275 patent/US8966608B2/en active Active
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012003742A1 (zh) * | 2010-07-06 | 2012-01-12 | 中兴通讯股份有限公司 | 防止用户私自修改ip地址的方法、装置及*** |
| CN102316034A (zh) * | 2011-09-06 | 2012-01-11 | 中兴通讯股份有限公司 | 局域网内防止手动指定ip地址的方法及装置 |
| CN105684357A (zh) * | 2013-11-07 | 2016-06-15 | 国际商业机器公司 | 虚拟机中地址的管理 |
| CN112003850A (zh) * | 2020-08-14 | 2020-11-27 | 北京浪潮数据技术有限公司 | 一种基于云网络的流量监控方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2008077414A1 (en) | 2008-07-03 |
| EP2103075A1 (en) | 2009-09-23 |
| US8966608B2 (en) | 2015-02-24 |
| US20110010769A1 (en) | 2011-01-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101641933A (zh) | 电子欺骗的防止 | |
| US9191365B2 (en) | Method and system for authentication event security policy generation | |
| CN100461686C (zh) | 生物统计学验证的vlan的***及方法 | |
| JP3745961B2 (ja) | ネットワークと接続している記憶システムへの接続を認証するための方法および装置 | |
| EP1690356B1 (en) | 802.1X authentication technique for share media | |
| US7386876B2 (en) | MAC address-based communication restricting method | |
| US20060109850A1 (en) | IP-SAN network access control list generating method and access control list setup method | |
| EP1717999B1 (en) | Bridged network with spanning tree abnormality detection | |
| US7570625B1 (en) | Detection of wireless devices | |
| CN101345743A (zh) | 防止利用地址解析协议进行网络攻击的方法及其*** | |
| JPH11205388A (ja) | パケットフィルタ装置、認証サーバ、パケットフィルタリング方法及び記憶媒体 | |
| GB2353449A (en) | Monitoring a network gateway for cracker attacks | |
| CN103250392A (zh) | 计算机***、控制器和网络监视方法 | |
| US20120047583A1 (en) | Cable fraud detection system | |
| CN108848145A (zh) | 通过web代理访问设备近端网管的方法、***及远端网管 | |
| CN114710388B (zh) | 一种校园网安全***及网络监护*** | |
| CN104917751B (zh) | 电子欺骗的防止 | |
| RU2163745C2 (ru) | Система защиты виртуального канала корпоративной сети с аутентифицирующим маршрутизатором, построенной на каналах и средствах коммутации сети связи общего пользования | |
| US20040111605A1 (en) | Method for authenticating multiple channels within a single fibre channel link | |
| US8347075B1 (en) | Methods to mitigate attacks against fiber-to-the-home network systems | |
| JPH06104900A (ja) | Lan間接続方法 | |
| KR102246290B1 (ko) | 소프트웨어 정의 네트워크 기반 망 분리 방법, 장치 및 컴퓨터 프로그램 | |
| KR102184757B1 (ko) | 네트워크 은닉 시스템 및 방법 | |
| Sandhu et al. | Software‐Defined Networking: Recent Developments and Potential Synergies | |
| JP2003338826A (ja) | 信号出力制御方法及びネットワーク接続装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20100203 |