CN101674312B - 一种在网络传输中防止源地址欺骗的方法及装置 - Google Patents
一种在网络传输中防止源地址欺骗的方法及装置 Download PDFInfo
- Publication number
- CN101674312B CN101674312B CN2009102043621A CN200910204362A CN101674312B CN 101674312 B CN101674312 B CN 101674312B CN 2009102043621 A CN2009102043621 A CN 2009102043621A CN 200910204362 A CN200910204362 A CN 200910204362A CN 101674312 B CN101674312 B CN 101674312B
- Authority
- CN
- China
- Prior art keywords
- packet
- source
- address
- mark
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种在网络传输中防止源地址欺骗的方法和装置,当交换机或路由器接收到网络的数据包时,判定接收到数据包是否设置有嫌疑标记,如果有,则直接将该数据包进行转发;如果没有,则根据源IP地址进行查找路由表项,如果路由表项不存在,则直接丢弃所述数据包,如果存在,则根据该源IP地址从所述路由表中获得当前网络节点到达源IP地址的最短传输距离,判断该数据包到当前节点的传输距离是否在所述最短传输距离和预设的可容忍传输距离之间,如果是,则直接将该数据包进行转发,如果不是,则在该数据包中添加嫌疑标记,并转发。应用本发明实施例提供的方法和装置有效的问题有效转发数据和防止DoS攻击。
Description
技术领域
本发明涉及数据传输通讯领域,尤其涉及网络数据有效转发和防止DoS(Deny of Serves即拒绝服务)攻击技术的一种在网络传输中防止源地址欺骗的方法及装置。
背景技术
目前,在网络中,一种较好的防止源地址欺骗的DoS技术方案是uRPF(Unicast Reverse Path Forwarding)即单播反向路径转发(RFC3704)。一般情况下,路由交换机针对目的地址查找路由,如果找到了就转发报文,否则丢弃该报文。在uRPF功能启动后,通过获取报文的源地址和入接口,交换机以源地址为目的地址在转发表中查找路由,如果查到的路由出接口和接收该报文的入接口不匹配,交换机认为该报文的源地址是伪装的,丢弃该报文。
通过uRPF特性,交换机就能有效地防范网络中通过修改源地址而进行的恶意攻击行为。
一种常见的攻击模型如图1所示:攻击者在switch-a上伪造源地址为3.1.1.1的报文,向服务器switch-b发起请求,switch-b如果不进行uRPF检查,switch-b响应请求时将向真正的“3.1.1.1”发送报文。这种非法报文对switch-b和switch-c都造成了攻击。
虽然在图1中uRPF技术有效地阻止了伪造源IP地址的DoS攻击技术,但是如果在网络中Switch-a为服务器,Switch-a伪造了源IP地址为2.1.1.1的攻击报文,在这种情况下,服务器Switch-c则无法通过uRPF技术有效地识别出源地址的真伪,即使在配置了uRPF严格检查的模式下,也会遭受DoS攻击。事实上,URPF技术通过检查报文的源IP地址的入口来判断报文的真伪,相当于确认了源IP地址的“方向”,而对于来自同一个方向上的攻击报文则无法实现辨认。
发明内容
本发明提供一种在网络传输中防止源地址欺骗的方法,用于防止现有网络中的源IP地址欺骗的DOS攻击。
本发明实施例提供一种在网络传输中防止源地址欺骗的方法,交换机或者路由器中记录数据包从当前节点到达每个目的IP节点的最短传输距离,并存入路由表中,该方法包括;
当交换机或路由器接收到网络的数据包时,判定接收到数据包是否设置有嫌疑标记,如果有,则直接将该数据包转发到下一个IP节点;
如果没有,则根据源IP地址进行查找路由表项,如果路由表项不存在,则直接丢弃所述数据包,如果存在,则根据所述源IP地址从所述路由表中获得当前网络节点到达源IP地址的最短传输距离,判断该数据包到当前节点的传输距离是否在所述最短传输距离和预设的可容忍传输距离之间,如果是,则直接将该数据包转发到下一个IP节点,如果不是,则在该数据包中添加嫌疑标记,并转发,所述嫌疑标记设置在数据包头部位服务条款TOS字段中的保留比特位中。
另外,本发明实施例还提供一种在网络传输中防止源地址欺骗的装置,包括:
存储模块,用于存储数据包从当前节点到达每个目的IP节点的最短传输距离,并存入路由表中;
判定模块,用于当接收到网络的数据包时,判定接收到数据包是否设置有嫌疑标记,如果有,则直接将该数据包转发到下一个IP节点;如果没有,则根据源IP地址进行查找路由表项,如果路由表项不存在,则直接丢弃所述数据包,如果存在,则根据所述源IP地址从所述路由表中获得当前网络节点到达源IP地址的最短传输距离,判断该数据包到当前节点的传输距离是否在所述最短传输距离和预设的可容忍传输距离之间,如果是,则直接将该数据包转发到下一个IP节点,如果不是,则在该数据包中添加嫌疑标记,并转发,所述嫌疑标记设置在数据包头部位服务条款TOS字段中的保留比特位中。
应用本发明的方法和装置通过检测到达源地址的距离来判断报文的真伪,从而防御基于源地址欺骗的DoS攻击
附图说明
图1为本发明实施例一种在网络传输中防止源地址欺骗的方法的流程图;
图2为本发明实施例实现最短TTL计算的流程图;
图3为本发明实施例一种在网络传输中防止源地址欺骗的装置的结构图。
具体实施方式
本发明实施例提供一种在网络传输中防止源地址欺骗的方法,在网络路由转发的过程中,交换机或者路由器记录数据包到达每个目的IP节点的最短传输距离,并存入路由表中,该方法包括;当交换机或路由器接收到网络的数据包时,判定接收到数据包是否设置有嫌疑标记,如果有,则直接将该数据包转发到下一个IP节点;如果没有,则根据源IP地址进行查找路由表项,如果路由表项不存在,则直接丢弃所述数据包,如果存在,则根据该源IP地址从所述路由表中获得当前网络节点到达源IP地址的最短传输距离,判断该数据包到当前节点的传输距离是否在所述最短传输距离和预设的可容忍传输距离之间,如果是,则直接将该数据包转发到下一个IP节点,如果不是,则在该数据包中添加嫌疑标记,并转发。
下面结合说明书附图对本发明的具体实施方式进行详细说明。
如图1所示,本发明实施例一种在网络传输中防止源地址欺骗的方法,具体包括:
在本发明实施例中,要在网络中实现本发明的具体技术,首先要对于现有网络做如下约定,可视为网络协议。
一:当主机在向网络中发送报文时,为了能够更可靠地到达目的,发送端的IP数据包中的TTL的值均设置为默认的FF。
二:使用IP数据包头部的TOS(terms of service、服务条款)字段的中的某一个保留的比特位作为网络中的嫌疑数据包标记位。
三:网络中设定一个容忍阈值,该阈值描述网络中两个节点之间可以容忍的传输距离与它们之间最短传输距离之间的关系,对于网络中两个节点间的可容忍的传输距离与最短传输距离之间的关系,既可以使用差值关系来描述,也可以使用比值关系来描述,具体关系如下:
对于差值描述:可容忍的传输距离=最短传输距离+容忍阈值
对于比值描述:容忍阈值百分比+1=可容忍的传输距离/最短传输距离
对于上述三个约定,第一个约定是现有网络中不成文的规定;第二个约定由于使用的是保留的比特位,不会对现有网络影响;而第三个约定的容忍阈值,对于正常网络,是一个稳定的值,因此可以通过用户配置或者由慢速的网络计算方法来实现,不会影响技术的可行性。
步骤101,在交换机或者路由器进行路由转发的时候,在IP路由表的表项中要增加一个记录从当前网络节点到达目的IP节点的最短传输距离的表项,该表项的内容即是从当前节点到达目的节点的TTL(Time To Live生存时间)的最小值。
步骤102,当交换机接收到网络的数据包时,优先判定该数据包的IP头部是否有被打上嫌疑标记(TOS字段的特定保留位是否被置1),如果有,则转入步骤106,如果没有,则转入步骤103;
在本发明实施例中,如果该嫌疑标记被置1的话,则该数据包已经是网络中的嫌疑数据包,将不再进行其它处理,直接按照正常的流程转发;如果数据包的嫌疑标记没有被置位的话,则进入下面的处理流程。
步骤103,根据接收到的数据包的源IP地址查找源路由表,如果源路由表项中不存在所述源IP地址,则直接丢弃所述数据包;如果存在,则转入步骤104;
在本发明实施例中,因为在IP路由表的表项中要增加一个记录从当前网络节点到达目的IP节点的最短传输距离的表项,当对网络传输报文的传输距离检查时,如果查到的源IP路由表中的最短TTL为FF的话,说明该报文不可能到达本交换机或者路由器,则直接进行丢弃,而不进行转发;另外,当正向转发报文时,目的IP的路由表项中的最短TTL为FF时,直接丢弃报文回送ICMP报文,这样可以一定程度上抑制路由风暴的形成。
步骤104,判定所述源IP地址的嫌疑标记位是否被置位,如果是,则直接在该源IP地址发送来的数据包上打上嫌疑标记,然后转入步骤106,如果不是,则转入步骤105。
步骤105,根据源IP地址,获取路由表中当前网络节点到达源IP地址的最短TTL,并根据该数据包从源IP地址到当前节点的传输距离以及获取到的最短传输距离,判定该数据包的源IP地址的合法性,判断规则如下:
最短传输距离<FF-当前报文的TTL值的话<=可容忍的传输距离,则认定该报文为合法报文;反之则认定该报文为非法报文。
对于合法的报文,则转入步骤106;对于非法的报文,交换机认定为网络的嫌疑报文,将该报文打上嫌疑标记,并在本地的源IP路由表中将源IP地址的嫌疑标记位置位,同时触发一个该标记位的老化时间,然后转入步骤106。
本发明实施例中,所述老化时间是设定所述源IP地址的嫌疑时间,如果在所述源IP地址老化时间的有效期之内,接收数据包的网络节点,则将所述源IP发送的数据包直接打上嫌疑标记后转发。
源IP路由表中的源IP嫌疑标记位的老化时间是一个随机值,同时该值是一个较大的值,保证交换机在相当长的时间内都会对某个曾经非法的源IP地址保持警惕。同时当老化时间结束时,源IP路由表的嫌疑标记位被清0,而老化时间仍然保持在源路由表的表项中,如果下一次该源IP再一次被认定为伪造源IP时,该次触发的老化时间为:上一次的老化时间与一个新的长的随机值的和,这样的目的是为了防止同一源地址变换TTL的攻击,即不遵守规定一的条件下进行的源地址欺骗攻击。
步骤106,由于在路由表中记录了到达目的IP地址的最短的TTL的信息,因此在正向转发的报文的过程中,可以根据报文中当前的TTL值与路由表中的到达目的IP的最短TTL值进行比较,如果报文中当前的TTL值小于路由表中的到达目的IP的最短TTL值的话,那么就丢弃该报文,同时反送目的IP不可达的ICMP(Internet Control and Management Protocol互联网控制和管理协议)报文;如果报文中当前的TTL值大于或者等于路由表中的到达目的IP的最短TTL值的话,就正常转发该报文。这样可以提前发现不能到达目的的报文并将它们丢弃,节省了网络资源。
另外,如果路由表项中到达某一目的IP地址的最小TTL值为FF的话,即初始值的话,当进行对网络传输报文的传输距离检查时,如果查到的源IP路由表中的最短TTL为FF的话,说明该报文不可能到达本交换机或者路由器,直接进行丢弃,而不进行转发;当正向转发报文时,目的IP的路由表项中的最短TTL为FF时,直接丢弃报文回送ICMP报文,这样可以一定程度上抑制路由风暴的形成。
如图2所示,在本发明实施例中,关于目的IP地址的最短TTL的获取方法,该方法具体包括:
步骤201:将网络中的交换机或者路由器路由表项的中的到达某一目的IP的最短TTL的值均被设置为初始值FF。
步骤202:对于网络中的任意一个目的主机,要在一定的时间周期内不间断地向网络中发送源IP为自身IP地址,目的IP为FF.FF.FF.FF的最短TTL信息报文。发送方式是向其它网络广播,报文中包含的数据信息为:接收信息的交换机或者路由器到自身(源交换机或路由器)的Hop跳数,初始值为1,具体的报文发送工作由直连的交换机或者路由器代理完成。
步骤203:对于网络中的任意一台交换机或者路由器,当它从邻接的网络设备中接收到最短TTL信息报文时,就对源IP进行查路由表操作,如果查不到路由表则丢弃该报文;如果查到路由表项,则转入步骤204;
步骤204,比较上次该表项中TTL的修改时间与当前收到最短TTL信息报文的时间。如果两个时间之差大于一定的时间周期(发送周期)的话,则更新路由表项到达目的IP的最短TTL的值;如果两个时间差不大于一定的时间周期的情况下(说明在同一发送周期接收到两次最短TTL信息报文,则选择最短的TTL值作为现有值),需要比较路由表项中的最短TTL的值与信息报文中的Hop跳数值,选取两者最短的一个作为路由表项的现有值。
步骤205:当网络中的某个节点接收到最短TTL信息报文,在本地处理完毕后,判断本地的路由表项中的该目的IP的最短TTL值是否被修改,如果被修改,则将最短TTL信息报文中的Hop数加1,然后再向其它邻接网络广播;否则直接丢弃该报文。
如图3所示,本发明实施例还提供一种在网络传输中防止源地址欺骗的装置,包括存储模块301和判定模块302:
存储模块301,用于存储数据包从当前节点到达每个目的IP节点的最短传输距离,并存入路由表中;
判定模块302,用于当接收到网络的数据包时,判定接收到数据包是否设置有嫌疑标记,如果有,则直接将该数据包转发到下一个IP节点;如果没有,则根据源IP地址进行查找路由表项,如果路由表项不存在,则直接丢弃所述数据包,如果存在,则根据所述源IP地址从所述路由表中获得当前网络节点到达源IP地址的最短传输距离,判断该数据包到当前节点的传输距离是否在所述最短传输距离和预设的可容忍传输距离之间,如果是,则直接将该数据包转发到下一个IP节点,如果不是,则在该数据包中添加嫌疑标记,并转发。
为了防止同一个IP仿冒不同的源IP地址进行欺骗,本发明装置还包括:
嫌疑标记添加模块303,用于在该数据包中添加嫌疑标记之后,在源IP路由表中将所述数据包的源IP地址标记上嫌疑标记,并触发一个该嫌疑标记的老化时间,在该老化时间的有效期之内,所述源IP发送的数据包直接打上嫌疑标记转发。
另外,为了防止资源浪费,减少数据包不必要的传输本发明实施例装置,还包括:
比较模块304,用于将数据包当前的生存时间TTL值,与路由表中保存的到达目的IP的最短TTL值进行比较,如果数据包中当前的TTL值小于路由表中保存的到达目的IP的最短TTL值,则丢弃该数据包,并向源IP发送目的IP不可达的互联网控制和管理协议ICMP报文。
现有技术中URPF技术是通过检测源地址的“方向”来判断报文的真伪,而本发明所提供的方法则是通过检测到达源地址的“距离”来判断报文的真伪。本发明方法单独使用时,能够防御一定程度的基于源地址欺骗的DoS攻击,当配合现有的URPF技术严格模式一起使用时,就实现了一种加强型的URPF技术,弥补了URPF技术中的一些不足,两种技术之间优势互补,具有十分出色的防御效果。同时本发明由于记录了网络中传输距离,对于正向的报文转发,路由风暴的抑制等方面都具有良好的效果。
本发明所述的方法并不限于具体实施方式中所述的实施例,本领域技术人员根据本发明的技术方案得出其它的实施方式,同样属于本发明的技术创新范围。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (7)
1.一种在网络传输中防止源地址欺骗的方法,其特征在于,交换机或者路由器中记录数据包从当前节点到达每个目的IP节点的最短传输距离,并存入路由表中,该方法包括;
当交换机或路由器接收到网络的数据包时,判定接收到数据包是否设置有嫌疑标记,如果有,则直接将该数据包转发到下一个IP节点;
如果没有,则根据源IP地址进行查找路由表项,如果路由表项不存在,则直接丢弃所述数据包,如果存在,则根据所述源IP地址从所述路由表中获得当前网络节点到达源IP地址的最短传输距离,判断该数据包到当前节点的传输距离是否在所述最短传输距离和预设的可容忍传输距离之间,如果是,则直接将该数据包转发到下一个IP节点,如果不是,则在该数据包中添加嫌疑标记,并转发,所述嫌疑标记设置在数据包头部位服务条款TOS字段中的保留比特位中。
2.如权利要求1所述的方法,其特征在于,所述在该数据包中添加嫌疑标记之后,进一步包括:
在当前节点的源IP路由表中将所述数据包的源IP地址标记上嫌疑标记,并触发一个该嫌疑标记的老化时间,在该老化时间的有效期之内,所述源IP发送的数据包直接打上嫌疑标记转发。
3.如权利要求2所述的方法,其特征在于,根据所述源IP地址从所述路由表中获得当前网络节点到达源IP地址的最短传输距离之前,进一步包括:
判定所述源IP地址是否标记有嫌疑标记,如果有,则直接在所述数据包中添加嫌疑标记。
4.如权利要求1~3任一权项所述的方法,其特征在于,交换机或路由器对数据包进行转发之前,进一步包括:
将数据包当前的生存时间TTL值,与路由表中保存的到达目的IP的最短TTL值进行比较,如果数据包中当前的TTL值小于路由表中保存的到达目的IP的最短TTL值,则丢弃该数据包,并向源IP发送目的IP不可达的互联网控制和管理协议(ICMP)报文。
5.一种在网络传输中防止源地址欺骗的装置,其特征在于,包括:
存储模块,用于存储数据包从当前节点到达每个目的IP节点的最短传输距离,并存入路由表中;
判定模块,用于当接收到网络的数据包时,判定接收到数据包是否设置有嫌疑标记,如果有,则直接将该数据包转发到下一个IP节点;如果没有,则根据源IP地址进行查找路由表项,如果路由表项不存在,则直接丢弃所述数据包,如果存在,则根据所述源IP地址从所述路由表中获得当前网络节点到达源IP地址的最短传输距离,判断该数据包到当前节点的传输距离是否在所述最短传输距离和预设的可容忍传输距离之间,如果是,则直接将该数据包转发到下一个IP节点,如果不是,则在该数据包中添加嫌疑标记,并转发,所述嫌疑标记设置在数据包头部位服务条款TOS字段中的保留比特位中。
6.如权利要求5所述的装置,其特征在于,包括:
嫌疑标记添加模块,用于在该数据包中添加嫌疑标记之后,在源IP路由表中将所述数据包的源IP地址标记上嫌疑标记,并触发一个该嫌疑标记的老化时间,在该老化时间的有效期之内,所述源IP发送的数据包直接打上嫌疑标记转发。
7.如权利要求5所述的装置,其特征在于,包括:
比较模块,用于将数据包当前的生存时间TTL值,与路由表中保存的到达目的IP的最短TTL值进行比较,如果数据包中当前的TTL值小于路由表中保存的到达目的IP的最短TTL值,则丢弃该数据包,并向源IP发送目的IP不可达的互联网控制和管理协议ICMP报文。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009102043621A CN101674312B (zh) | 2009-10-19 | 2009-10-19 | 一种在网络传输中防止源地址欺骗的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009102043621A CN101674312B (zh) | 2009-10-19 | 2009-10-19 | 一种在网络传输中防止源地址欺骗的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101674312A CN101674312A (zh) | 2010-03-17 |
CN101674312B true CN101674312B (zh) | 2012-12-19 |
Family
ID=42021299
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009102043621A Active CN101674312B (zh) | 2009-10-19 | 2009-10-19 | 一种在网络传输中防止源地址欺骗的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101674312B (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103259764B (zh) * | 2012-02-17 | 2017-12-15 | 精品科技股份有限公司 | 一种局域网络防护***与方法 |
CN103825831A (zh) * | 2014-02-28 | 2014-05-28 | 神州数码网络(北京)有限公司 | 报文转发方法以及交换机 |
CN106470187A (zh) * | 2015-08-17 | 2017-03-01 | 中兴通讯股份有限公司 | 防止dos攻击方法、装置和*** |
CN105577669B (zh) * | 2015-12-25 | 2018-09-21 | 北京神州绿盟信息安全科技股份有限公司 | 一种识别虚假源攻击的方法及装置 |
CN106375207A (zh) * | 2016-09-05 | 2017-02-01 | 上海斐讯数据通信技术有限公司 | 一种基于sdn的超时报文控制方法及*** |
WO2019021402A1 (ja) * | 2017-07-26 | 2019-01-31 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 通信装置、通信方法および通信システム |
EP4184820A4 (en) * | 2020-08-06 | 2024-02-21 | Huawei Technologies Co., Ltd. | IPV6 MESSAGE TRANSMISSION METHOD, APPARATUS AND SYSTEM |
CN114785876B (zh) * | 2022-04-07 | 2024-06-11 | 湖北天融信网络安全技术有限公司 | 报文检测方法及装置 |
WO2024097514A1 (en) * | 2022-11-01 | 2024-05-10 | Level 3 Communications, Llc | Intelligent manipulation of denial-of-service attack traffic |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2002091674A1 (en) * | 2001-05-04 | 2002-11-14 | Jai-Hyoung Rhee | Network traffic flow control system |
CN1411208A (zh) * | 2002-04-23 | 2003-04-16 | 华为技术有限公司 | 防范网络攻击的方法 |
CN1413399A (zh) * | 1999-12-22 | 2003-04-23 | 诺基亚公司 | 电信***内的电子欺骗的预防 |
WO2003094418A1 (en) * | 2002-04-30 | 2003-11-13 | Intelliguard I.T. Pty Ltd A.C.N. 098 700 344 | A packet filtering system |
US6725378B1 (en) * | 1998-04-15 | 2004-04-20 | Purdue Research Foundation | Network protection for denial of service attacks |
CN101340293A (zh) * | 2008-08-12 | 2009-01-07 | 杭州华三通信技术有限公司 | 一种报文安全检查方法和装置 |
CN101383812A (zh) * | 2007-09-03 | 2009-03-11 | 电子科技大学 | 基于活动IP记录的IP欺骗DDoS攻击防御方法 |
-
2009
- 2009-10-19 CN CN2009102043621A patent/CN101674312B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6725378B1 (en) * | 1998-04-15 | 2004-04-20 | Purdue Research Foundation | Network protection for denial of service attacks |
CN1413399A (zh) * | 1999-12-22 | 2003-04-23 | 诺基亚公司 | 电信***内的电子欺骗的预防 |
WO2002091674A1 (en) * | 2001-05-04 | 2002-11-14 | Jai-Hyoung Rhee | Network traffic flow control system |
CN1411208A (zh) * | 2002-04-23 | 2003-04-16 | 华为技术有限公司 | 防范网络攻击的方法 |
WO2003094418A1 (en) * | 2002-04-30 | 2003-11-13 | Intelliguard I.T. Pty Ltd A.C.N. 098 700 344 | A packet filtering system |
CN101383812A (zh) * | 2007-09-03 | 2009-03-11 | 电子科技大学 | 基于活动IP记录的IP欺骗DDoS攻击防御方法 |
CN101340293A (zh) * | 2008-08-12 | 2009-01-07 | 杭州华三通信技术有限公司 | 一种报文安全检查方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN101674312A (zh) | 2010-03-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101674312B (zh) | 一种在网络传输中防止源地址欺骗的方法及装置 | |
CN100531061C (zh) | 识别恶意网络消息源的***与方法 | |
US8175096B2 (en) | Device for protection against illegal communications and network system thereof | |
US7672245B2 (en) | Method, device, and system for detecting layer 2 loop | |
CN101340293B (zh) | 一种报文安全检查方法和装置 | |
CN102263788A (zh) | 一种用于防御指向多业务***的DDoS攻击的方法与设备 | |
US11805077B2 (en) | System and method of processing control plane data | |
CN101945117A (zh) | 防止源地址欺骗攻击的方法及设备 | |
CN109561111B (zh) | 一种攻击源的确定方法及装置 | |
CN101938533B (zh) | 地址解析的处理方法及装置 | |
Sandhya Venu et al. | Invincible AODV to detect black hole and gray hole attacks in mobile ad hoc networks | |
CN102347903B (zh) | 一种数据报文转发方法、装置及*** | |
JP2009177739A (ja) | 通信装置、通信システム及び通信方法 | |
US7552206B2 (en) | Throttling service connections based on network paths | |
CN107690004A (zh) | 地址解析协议报文的处理方法及装置 | |
Sudiharto et al. | The Comparison of Forwarding Strategies between Best Route, Multicast, and Access on Named Data Networking (NDN). Case Study: A Node Compromised by the Prefix Hijack. | |
Nicol et al. | Multiscale modeling and simulation of worm effects on the internet routing infrastructure | |
CN1411208A (zh) | 防范网络攻击的方法 | |
Annamalai et al. | Secured system against DDoS attack in mobile adhoc network | |
CN100479419C (zh) | 防止拒绝服务型攻击的方法 | |
US20090141712A1 (en) | Router device | |
CN108769055A (zh) | 一种虚假源ip检测方法及装置 | |
Shokri et al. | DDPM: dynamic deterministic packet marking for IP traceback | |
CN101119376B (zh) | 防止IPv6报文攻击的方法及网络设备 | |
Cai et al. | Poster: Trust-based routing with neighborhood connectivity to prevent single and colluded active black hole |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |