公开(公告)号：US07725934B2

公开(公告)日：2010-05-25

申请号：US11007152

申请日：2004-12-07

申请人： Sandeep Kumar ,  Yi Jin ,  Sunil Potti ,  Christopher R. Wiborg

发明人： Sandeep Kumar ,  Yi Jin ,  Sunil Potti ,  Christopher R. Wiborg

IPC分类号： G06F11/00 ,  G06F12/14

CPC分类号： H04L63/0245 ,  H04L63/123 ,  H04L63/1416 ,  H04L63/1458 ,  H04L2463/141

摘要： A method is disclosed for protecting a network against a denial-of-service attack by inspecting application layer messages at a network element. According to one aspect, when a network element intercepts data packets that contain an application layer message, the network element constructs the message from the payload portions of the packets. The network element determines whether the message satisfies specified criteria. The criteria may indicate characteristics of messages that are suspected to be involved in a denial-of-service attack, for example. If the message satisfies the specified criteria, then the network element prevents the data packets that contain the message from being received by the application for which the message was intended. The network element may accomplish this by dropping the packets, for example. As a result, the application's host does not waste processing resources on messages whose only purpose might be to deluge and overwhelm the application.

摘要翻译： 公开了一种通过检查网络元件上的应用层消息来保护网络免受拒绝服务攻击的方法。 根据一个方面，当网络元件拦截包含应用层消息的数据分组时，网络单元从分组的有效载荷部分构造消息。 网络元素确定消息是否满足指定的条件。 标准可以指示例如涉嫌参与拒绝服务攻击的消息的特征。 如果消息满足指定的标准，则网络元素防止包含消息的数据包被消息所针对的应用程序接收。 例如，网元可以通过丢弃分组来实现。 因此，应用程序的主机不会浪费处理资源，因为消息的唯一目的可能是洪水和压倒应用程序。

公开(公告)号：US07496750B2

公开(公告)日：2009-02-24

申请号：US11007421

申请日：2004-12-07

申请人： Sandeep Kumar ,  Subramanian Srinivasan ,  Tefcros Anthias ,  Subramanian N. Iyer ,  Christopher R. Wiborg

发明人： Sandeep Kumar ,  Subramanian Srinivasan ,  Tefcros Anthias ,  Subramanian N. Iyer ,  Christopher R. Wiborg

IPC分类号： H04L29/00

CPC分类号： H04L63/0281 ,  H04L63/0428 ,  H04L63/08 ,  H04L63/104 ,  H04L63/123 ,  H04L63/20

摘要： Techniques are provided for performing security functions on a message payload in a network element. According to one aspect, a network element receives one or more data packets. The network element performs a security function on at least a portion of an application layer message that is contained in one or more payload portions of the one or more data packets. According to another aspect, a network element receives a first request that is destined for a first application. The network element sends, to a second application that sent the first request, a second request for authentication information. The network element receives the authentication information and determines whether the authentication information is valid. If the authentication information is not valid, then the network element prevents the first request from being sent to the first application.

摘要翻译： 提供了用于在网络元件中的消息有效载荷上执行安全功能的技术。 根据一个方面，网络元件接收一个或多个数据分组。 网络元件对包含在一个或多个数据分组的一个或多个有效载荷部分中的应用层消息的至少一部分执行安全功能。 根据另一方面，网络元件接收注定用于第一应用的第一请求。 网元向发送第一请求的第二应用发送认证信息的第二请求。 网元接收认证信息，判断认证信息是否有效。 如果认证信息无效，则网络元件防止将第一请求发送到第一应用。