HARDWARE FILTERING SUPPORT FOR DENIAL-OF-SERVICE ATTACKS

HARDWARE FILTERING SUPPORT FOR DENIAL-OF-SERVICE ATTACKS

A system and method is provided for automatically identifying and removing malicious data packets, such as denial-of-service (DoS) packets, in an intermediate network node before the packets can be forwarded to a central processing unit (CPU) in the node. The CPU's processing bandwidth is there...

Ausführliche Beschreibung

Gespeichert in:
Bibliographische Detailangaben
Hauptverfasser: HUGHES, MARTIN, W, STACY, JOHN, KENNETH, LEE, WILLIAM, R, GARNER, TREVOR
Format: Patent
Sprache:eng ; fre
Schlagworte:
ELECTRIC COMMUNICATION TECHNIQUE
ELECTRICITY
TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHICCOMMUNICATION
Online-Zugang:Volltext bestellen
Tags: Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
Beschreibung
Zusammenfassung:A system and method is provided for automatically identifying and removing malicious data packets, such as denial-of-service (DoS) packets, in an intermediate network node before the packets can be forwarded to a central processing unit (CPU) in the node. The CPU's processing bandwidth is therefore not consumed identifying and removing the malicious packets from the system memory. As such, processing of the malicious packets is essentially "off-loaded" from the CPU, thereby enabling the CPU to process non-malicious packets in a more efficient manner. Unlike prior implementa­tions, the invention identifies malicious packets having complex encapsulations that can not be identified using traditional techniques, such as ternary content addressable memories (TCAM) or lookup tables. La présente invention concerne un système et un procédé permettant d'identifier et d'éliminer automatiquement des paquets de données malveillants, tels que des paquets de déni de services (DoS) dans un de réseau intermédiaire avant que ces paquets puissent être renvoyés à une unité centrale (UC) dans ce noeud. La bande passante de traitement de l'UC est par conséquent non consommée par l'identification et l'élimination de ces paquets malveillants de la mémoire système. Ainsi, le traitement des paquets malveillants est sensiblement = déchargé = de l'UC, permettant ainsi à l'UC de traiter des paquets non malveillants d'une manière plus efficace. A la différence des mises en oeuvre précédentes, cette invention identifie des paquets malveillants possédant des encapsulations complexes qui ne peuvent être identifiées au moyen de techniques classiques, tels que des mémoires adressables à contenu ternaire (TCAM) ou des tables de recherche.