[go: up one dir, main page]

FI109165B - Procedure for monitoring traffic in computer networks - Google Patents

Procedure for monitoring traffic in computer networks Download PDF

Info

Publication number
FI109165B
FI109165B FI992056A FI19992056A FI109165B FI 109165 B FI109165 B FI 109165B FI 992056 A FI992056 A FI 992056A FI 19992056 A FI19992056 A FI 19992056A FI 109165 B FI109165 B FI 109165B
Authority
FI
Finland
Prior art keywords
level
middleware
network
name
address
Prior art date
Application number
FI992056A
Other languages
Finnish (fi)
Swedish (sv)
Other versions
FI19992056L (en
Inventor
Arto Juhola
Original Assignee
Elisa Comm Oyj
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Elisa Comm Oyj filed Critical Elisa Comm Oyj
Priority to FI992056A priority Critical patent/FI109165B/en
Priority to PCT/FI2000/000810 priority patent/WO2001026284A1/en
Priority to AU72936/00A priority patent/AU7293600A/en
Publication of FI19992056L publication Critical patent/FI19992056L/en
Application granted granted Critical
Publication of FI109165B publication Critical patent/FI109165B/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/306User profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The invention relates to a method for traffic control in a communications network, in which method the transmission of a data packet to its destination address is inhibited on the basis of the source or destination address of the data packet and in which method bindings defined between middleware-level and network-level information are utilized in traffic control at the network-level so that the traffic flow in the communications network can be controlled on the basis of barring lists at the middleware level. The invention is based on combining Internet middleware facilities with programmable active networks and/or routers. An automatic monitoring system is configured so that traffic outbound from a given subscriber connection and targeted to another given subscriber connection is passed via the traffic monitoring system. Herein, a precompiled middleware-level name list is utilized wherefrom the middleware-level names used by said given subscriber connection are selected (201) to form a barring list. On the basis of the thus formed middleware-level barring list, into the monitoring system by way of reading the response messages of a name server system is compiled (205) a network-level barring list, whose addresses are maintained valid not longer than the validity time indicated in the response message of the name server system, thus accomplishing the novel technique of traffic control on the basis of a subscriber-specific middleware-level barring list.

Description

! ) : 109165! ): 109165

Menetelmä tieto verkkoliikenteen ohjaamiseksiA method for controlling network traffic information

Keksinnön kohteena on patenttivaatimuksen 1 mukainen menetelmä tietoverkkoliikenteen ohjaamiseksi, jossa estetään tietopaketin pääsy 5 kohdeosoitteeseensa tietopaketin lähde- tai kohdeosoitteen perusteella, ja jossa yhdistetään middleware-tason ja verkkotason sidoksia verkkotason liikenneohjaukseen.The invention relates to a method for controlling data traffic according to claim 1, wherein the data packet is denied access to its destination address based on the source or destination address of the data packet, and which combines middleware level and network level connections with network level traffic control.

Tietoliikenneverkoisssa kulkeva liikenne on jaettu hierarkiatasoihin. Tietyn hierarkiatason liikenne on läpinäkyvää toisten hierarkiatasojen elementeille. Tässä 10 hakemuksessa käsite middleware-taso vastaa tietoliikenteen hierarkiatasoja kuvaavan ISO:n (International Organization for Standardization) OSI-mallin (Open System Interconnection) kerroksia 4-7 eli kuljetus- (transport), yhteys- (session), esitystapa-(presentation) ja sovelluskerroksia (application layer). Middleware on ohjelmistoa, jolla toteutetaan ko. kerrosten toiminnallisuus.Traffic on telecommunication networks is divided into hierarchical levels. Traffic at a particular hierarchical level is transparent to elements of other hierarchical levels. In this 10 application, the term middleware corresponds to layers 4-7 of the International Organization for Standardization (OSI) model of communication hierarchy levels, i.e. transport, session, presentation and application layers. Middleware is software that implements that software. layers functionality.

i 1515

Eräs middleware-tason protokolla on DNS, jonka mukaisesti Intemet-resursseille annetaan DNS-nimi, joka ei sisällä resurssin verkkotason sijaintitietoa. Viittaaminen resursseihin DNS-nimillä on tarpeen, koska esim. host-resurssien eli Intemettiin . .·. kytkettyjen tietokoneiden IP-osoitteet eivät ole enää staattisia, vaan vaihtuvat esim.One middleware-level protocol is DNS, which assigns Internet resources a DNS name that does not contain the network-level location information for the resource. Referring to resources with DNS names is necessary because, for example, host resources, or the Internet. . ·. the IP addresses of connected computers are no longer static, but change eg.

: 20 dynaamisten IP-osoitepäivitysten ja päätelaitteiden verkkosijaintien muutosten takia.: 20 due to dynamic IP address updates and changes to the network location of terminals.

:'' ‘: Lisäksi, päätelaitteiden käyttäjät eivät Intemet-suositusten mukaan saa käyttää suoraan IP-osoitteita, vaan aina DNS-nimiä. Tietoverkkoresursseja, jotka nimetään ! :T: middlewaretason nimillä voivat myös olla tietoverkossa ajettavia sovellusohjelmia tai : niiden instansseja tai tietoverkkoon tallennettuja dokumentteja.: '' ': Additionally, according to Internet recommendations, terminal users are not allowed to directly use IP addresses, but always DNS names. Network resources to be named! : T: Middleware-level names can also be applications running on the network, or: their instances or documents stored on the network.

25 • «t v : Tunnetuissa tietoliikenneverkoissa verkkopäätelaitteelle tulevaa liikennettä tai v ; verkkopäätelaitteelta lähtevän liikenteen perillepääsyä pystytään rajoittamaan : ‘: verkkotason informaation, kuten IP-osoitteen, perusteella jolloin saadaan tarvittaessa : ’' ’: estettyä tietyistä verkkotason osoitteista, kuten IP-osoitteista, tuleva tai niihin suunnattu 30 liikenne tai toisaalta mahdollistettua liikenne ainoastaan tietyistä verkkotason osoitteista : tai tiettyihin verkkotason osoitteisiin. Tällainen rajoittaminen onnistuu esimeikiksi palomuurien avulla. Palomuuri on jäijestely, jossa organisaation sisäinen verkko on 2 109165 yhdistetty ulkoiseen verkkoon määrätyn valvontaelementin kautta, jolloin määrätyistä verkkotason osoitteista tuleva liikenne voidaan pysäyttää palomuuriin. Ulosmenevää liikennettä voidaan valvoa vastaavalla tavalla.25 • «t v: In a known communication network, the incoming traffic to the network terminal, or v; access to traffic departing from the network terminal can be limited by: ': based on network-level information such as IP address, where necessary:' ': block traffic from or to certain network-level addresses, such as IP addresses, or allow traffic from certain network-level addresses only : or to certain network-level addresses. For example, firewalls do this. A firewall is a rigid system in which an internal network of an organization is 2,109,165 connected to an external network through a dedicated control element, whereby traffic from specific network-level addresses can be stopped by the firewall. Outgoing traffic can be monitored in a similar way.

5 Tunnetun tekniikan puutteena on se, että middleware-tason (esim. DNS) ja verkkotason liikenneohjaukset toimivat erillään, jolloin mahdolliset middleware-tason liikennerajoitukset, kuten estolistat, jotka sisältävät kielletyjä lähde- tai kohdenimiä, eivät rajoita verkkotason liikennettä ja näinollen suojaamattomalle verkkotasolle pääsee helposti tarpeetonta ja ei-toivottua liikennettä, kuten mainospostia tai vastaanottajan 10 kiusaksi lähetettyä roskatietoa. Middleware- ja verkkotason liikenteenrajoituksen tehokkaasti ja dynaamisesti yhdistäviä ratkaisuja ei tunneta.5 A disadvantage of the prior art is that middleware (e.g., DNS) and network-level traffic controls operate separately, so that any middleware-level traffic restrictions, such as blocking lists that contain prohibited source or target names, do not restrict network-level traffic and thus easily access the unprotected network layer. unnecessary and unwanted traffic, such as spam or spam information sent to the recipient 10. There are no known solutions that efficiently and dynamically combine middleware and network-level traffic control.

Middleware-tasolla toteutetut suljetut käyttäjäryhmät (VPN, Virtual Private Network) eivät heijastu automaattisesti verkkotasolle, joten liikennettä, jota ei haluta vastaanottaa, 15 voidaan helposti lähettää middlewaretason suljettujen käyttäjäryhmien verkkoihin tai verkon osiin, jos esimerkiksi ryhmän DNS-nimiä tai IP-osoitteita on tiedossa. Tämä voi joissakin tapauksissa aiheuttaa vahinkoa tietoverkon välityskapasiteetin rajallisuuden takia. Kun liikenne jota ei haluta tukkii verkon, halutun liikenteen perillepääsy hidastuu ; tai estyy.Middleware-level closed user groups (VPNs) do not automatically reflect at the network level, so unwanted traffic 15 can easily be sent to networks or parts of the network at middleware closed user groups if, for example, the group's DNS names or IP addresses are known . In some cases this may cause damage due to the limited capacity of the data network. When unwanted traffic is blocked by the network, the arrival of the desired traffic slows down; or is blocked.

: 20 Tietoverkkoresurssien sijainti voi vaihtua tietystä IP-osoitteesta toiseen ja tällöin : ": tiettyyn IP-osoitteeseen asetettu esto ei estä toisesta IP-osoitteesta tulevaa liikennettä.: 20 The location of network resources may change from one IP address to another: ": Blocking a particular IP address does not prevent traffic from another IP address.

Esiintyy myös tarvetta rajoittaa DNS-nimien perusteella tiettyjen yleisesti saatavilla ... olevien tietoverkkoresurssien saatavuutta liittymä, päätelaite tai käyttäjäkohtaisesti mm.There is also a need to restrict the availability of certain commonly available cyberspace resources based on DNS names by the interface, terminal or user, e.g.

lastensuojelu- ja tarkoituksenmukaisuussyistä. Tunnettu tekniikka ei kuitenkaan •; , 25 mahdollista tätä.for the sake of child protection and expediency. However, prior art does not •; , 25 possible for this.

.· · Keksinnön tarkoituksena on aikaansaada aivan uudentyyppinen menetelmä, jonka : ’: avulla edellä kuvatut tunnetun tekniikan ongelmat on mahdollista ratkaista. Keksintö ; : perustuu siihen, että yhdistetään Internet middleware- ja Internet reititin ja/tai ... aktiiviverkkotekniikoita. Ohjataan tilaajaliittymään menevä ja sieltä tuleva liikenne ,' ·, · 30 automaattisen seurantajäijestelmän läpi. Tällainen seurantajärjestelmä voi olla ns.It is an object of the present invention to provide a completely new type of method which enables the prior art problems described above to be solved. The invention; : based on combining Internet middleware and Internet router and / or ... active network technologies. Traffic to and from the local loop is controlled through '·, · 30 automated tracking systems. Such a monitoring system may be so-called.

aktiivisolmu tai erillinen reitittimen sisältävä palvelin, joka kykenee käsittelemään 3 109165 seurantajärjestelmän läpi menevien tietopakettien, kuten IP-pakettien, otsakkeita ja sisältöä, dynaamisesti vaihdettavissa olevan ohjelman mukaan. Dynaamisesti vaihdettavissa olevalla ohjelmalla tarkoitetaan tässä, että seurantajärjestelmää ohjaava tietokoneohjelma on päivitettävissä ilman häiritsevää katkoa seurantajärjestelmän 5 toiminnassa. Dynaamista päivitettävyyttä käytetään, kun muutetaan kiellettyjen middleware-tason osoitteiden estolistaa ja niiden verkkotason vastineista koostuvaa estolistaa automaattisessa seurantajärjestelmässä ja/tai muualla operaattorin järjestelmässä. Keksinnön mukaisessa ratkaisussa käytetään aiemmin määriteltyä middlewaretason nimistöä joka voi olla tietty nimiavaruus, esim. kaikki DNS-nimet, 10 joille tietty tai tietyt nimipalvelinjärjestelmät kykenevät löytämään verkkotason vastineet tai nimiavaruus, joka sisältää kaikki syntaksiltaan oikeaoppiset tietyn middlewaretason nimiavaruuden, esim DNS-järjestelmän, nimet, mutta joille kaikille ei välttämättä löydy verkkotason vastineita.an active node or a separate server containing a router capable of handling 3,109,165 headers and content of information packets, such as IP packets, through a tracking system, according to a dynamically changeable program. By dynamically interchangeable software is meant that the computer program controlling the monitoring system can be upgraded without interruption in the operation of the monitoring system 5. Dynamic upgradeability is used to modify the blocking list of forbidden middleware addresses and their network-level counterparts in the automated tracking system and / or elsewhere in the operator system. The solution of the invention uses a predefined middleware-level nomenclature which can be a particular namespace, e.g., all DNS names, for which a particular or certain nameserver systems are able to find network-level equivalents or namespace containing all syntaxically correct names of a given middleware-level namespace, but not all of which may have network-level equivalents.

Aiemmin määritellystä nimiavaruudesta rajataan päivitettävissä oleva 15 tilaajaliittymäkohtainen middleware-tason nimistö. Tilaajaliittymäkohtainen middleware-tason nimistö sisältää middleware-tason nimiä joilla nimetyille tietoverkkoresursseille halutaan hyväksyä ja/tai joilla nimetyille tieto verkkoresursseille ei haluta hyväksyä liikennettä tietystä tilaajaliitttymästä ja/tai middlewaretason nimiä joilla nimetyiltä tietoverkkoresursseilta tuleva liikenne halutaan päästää tiettyyn : 20 tilaajaliittymään ja/tai joilla nimetyiltä tietoverkkoresursseilta tulevaa liikennettä ei : *: haluta päästää tiettyyn tilaajaliittymään.The predefined namespace delimits the 15 subscriber interface-specific middleware-level nomenclatures that can be upgraded. The subscriber-specific middleware-level nomenclature contains middleware-level names for which to denote named network resources and / or denied traffic to named network resources and / or middleware-level names for denying traffic to or from certain nameservers: no incoming traffic: *: want to access a specific local loop.

Tilaajaliittymäkohtainen middlewaretason nimistö tallennetaan automaattiseen ... seurantajärjestelmään, muualle operaattorin järjestelmään tai operaattorin järjestelmän • · saataville. Keksinnössä pysäytetään automaattiseen seurantajärjestelmään liikennettä, 25 joka tulee sellaisesta verkkotason osoitteesta tai on kohdennettu sellaiseen verkkotason ·;·. osoitteeseen, jonka juuri tietyllä hetkellä voimassa olevaan middleware-tason vastinnimellä nimetylle tietoverkkoresurssille ei hyväksytä liikennettä tilaajaliittymäkohtaisen middleware-tason nimistön perusteella. Tietyn middleware-tason nimen ja verkkotason osoitteen välinen sidos saadaan nimipalvelinjärjestelmän -; - * 30 vastausviestistä, jonka vastausviestin mukainen verkkotason osoite pidetään voimassa ' * enintään vastausviestissä määritellyn voimassaoloajan, jolloin saadaan estettyä liikenne verkkotason osoitteisiin, joiden voimassaolevia middleware-tason vastinnimiä ei 4 109165 tunneta ja middleware-tason nimien mukaisille tietoverkkoresursseille tai tietoverkkoresursseilta, joille suunnattua taljoilta tulevaa liikennettä ei hyväksytä.Subscriber interface-specific middleware-level nomenclature is stored ... in an automated tracking system, elsewhere in the operator system, or available to the operator system. The invention stops traffic to an automatic tracking system coming from or targeted to such a network-level address ;; to an address where traffic to a cache resource named at a specific middleware level nickname at a given time is not accepted based on a subscriber interface specific middleware layer nomenclature. The link between a given middleware-level name and a network-level address is obtained by the -; - * out of 30 replies with a network address corresponding to the reply message 'up to the maximum validity period specified in the reply message to block traffic to network addresses with no valid middleware equivalent 4,109,165 and middleware level names from network resources or network resources traffic is not accepted.

Täsmällisemmin sanottuna keksinnön mukaiselle menetelmälle tietoverkkoliikenteen 5 ohjaamiseksi on tunnusomaista se, mikä on mainittu patenttivaatimuksen 1 tunnusmerkkiosassa.More specifically, the method for controlling data communication 5 according to the invention is characterized by what is mentioned in the characterizing part of claim 1.

I Keksinnön avulla saavutetaan huomattavia etuja. Keksinnön avulla saadaan vähennettyä i turhaa ja ei-toivottua verkkotason liikennettä. Keksintö mahdollistaa middleware-tason 10 nimiin kuten DNS-nimiin perustuvien estolistojen tai suljettujen middlewaretasolla määritettyjen käyttäjäryhmien (VPN, Virtual Private Network) muodostamisen, joissa ryhmän määrittely verkkotasolla dynaamisesti päivittyy middlewaretasolla määritellyn ryhmän mukaisesti sellaiseksi, että ryhmän rajaus verkkotasolla pysyy ryhmän middlewaretason nimien voimassa olevien verkkotason vastineiden mukaisena.The invention provides considerable advantages. The invention provides for the reduction of unnecessary and unwanted network-level traffic. The invention enables blocking lists based on middleware-level names such as DNS names or Virtual Private Network (VPN) closed clusters in which the network-level group definition is dynamically updated according to the middleware-level group so that the group-level network definition remains valid for the group middleware-level names as matched.

1515

Keksinnön avulla operaattorille ja verkon käyttäjille avautuu mahdollisuus estää halutusta tilaajaliittymästä sellaisilla middlewaretason nimillä nimetyille .' · tietoverkkoresursseille suunnattu liikenne, joita vastaavia verkkotason osoitteita ei ole : tiedusteltu tilaajaliittymästä lähetetyllä nimipalvelintiedustelulla tiettynä aikana.The invention enables the operator and the network users to prevent the desired subscriber line from being named by such middleware-level names. ' · Traffic to cyber resources for which there are no corresponding network-level addresses: Requested by a name server request sent to the subscriber line at a specified time.

: ' ‘: 20 Menetelmää voidaan myös soveltaa niin, että määritellään ainakin yksi verkkotason osoite tai osoitteita, jonne suunnattu tai josta tuleva liikenne hyväksytään, vaikka .* : kyseistä verkkotason osoitetta ei olekaan saatu nimipalvelinjärjestelmältä tiettynä : : aikana.: '': 20 The method can also be implemented by specifying at least one network-level address or addresses to which traffic to or from is accepted, though. *: That network-level address has not been received from the nameserver at a particular time::.

:: : 25 Menetelmässä verkkotaso pystyy automaattisesti konfiguroitumaan siten, että se tukee . · · ylemmän kerroksen konfiguraatiota. Jos liikenne siis estetään jollekin DNS-nimelle tai nimiavaruudelle, myös liikenne ko. nimeen tai nimiavaruuteen sidottuun IP-: : osoitteeseen tai osoiteavaruuteen estyy ilman erillistä IP- osoitepohjaisten estolistojen . . konfigurointia, ja näin saadaan estettyä liikenne tiettyihin verkko-osoitteisiin tai tietyistä . *. : 30 verkko-osoitteisiin DNS-nimien perusteella.::: 25 In this method, the network layer is automatically configured to support. · · Upper layer configuration. So if traffic is blocked for a DNS name or namespace, traffic for that DNS will also be blocked. is blocked without a separate IP address-based blocking list. . configuration to prevent traffic to or from certain web addresses. *. : 30 web addresses based on DNS names.

5 1091655,109,165

Keksinnön avulla saadaan rajoitettua DNS-nimien perusteella tiettyjen yleisesti saatavilla olevien tietoverkkoresurssien saatavuutta liittymä, päätelaite tai käyttäjäkohtaisesti esim. lastensuojelu- tai tarkoituksenmukaisuussyistä.By means of the invention it is possible to restrict the availability of certain commonly available data network resources based on DNS names for the subscriber, the terminal or the user, e.g. for reasons of child protection or expediency.

Keksintöä tarkastellaan seuraavassa esimerkkien avulla ja oheisiin piirustuksiin viitaten.The invention will now be described by way of example and with reference to the accompanying drawings.

I 5I 5

Keksinnöllä on kaksi perussovellusta TCP/IP-ympäristössä, joita voidaan käyttää rinnakkainkin:The invention has two basic applications in a TCP / IP environment that can be used in parallel:

Kuvion 1 mukainen lähtevän IP-liikenteen esto osoitteisiin, jotka eivät ole DNS-10 järjestelmän tiedossa ja/tai joita ei ole sallittu.Figure 1 illustrates an outbound IP traffic blocking for addresses that are not known to the DNS-10 system and / or are not allowed.

Kuvion 2 mukainen ei-toivotun IP-liikenteen esto middleware-tason liikenteenohjauskonfigurointien automaattisen ja aktiivisen verkkotasolle siirtämisen ansiosta.The blocking of unwanted IP traffic as shown in Figure 2 due to the automatic and active migration to middle layer traffic control configurations.

1515

Estettäessä kuvion 1 mukaisesti lähtevän IP-liikenteen pääsy osoitteisiin, joita ei ole DNS-järjestelmän tiedossa, ja/tai joita ei ole sallittu käytetään mm. seuraavia komponentteja ja suoritetaan seuraavia toimenpiteitä. Esimerkissä tietty tai tietyt nimipalvelin]äijestelmät kykenevät suorittamaan resoluution aikaisemmin määritetylle *;;. * 20 middlewaretason nimistölle, ja jossa aikaisemmin määritelty middlewaretason nimistö ;1 *. on koko se nimiavaruus, joka kuuluu syntaksiltaan nimiavaruuteen, jolle tietty tai tietytWhen blocking outbound IP traffic as shown in Figure 1, addresses that are not known to the DNS system and / or are not allowed to be used e.g. following components and performing the following operations. In the example, certain or certain nameserver systems are capable of performing a resolution on a previously defined * ;; * 20 middleware level nomenclature, and with previously defined middleware level nomenclature; is the entire namespace that is syntaxed to the namespace for which a certain or certain

• * I• * I

nimipalvelin] äijestelmät kykenevät suorittamaan resoluution, mutta jonka !..t nimiavaruuden yksittäisellä nimellä ei välttämättä ole verkkotason vastinetta, ja jossa • * · tilaajaliittymäkohtainen middlewaretason nimistö on nimiavaruus, jolle tietty 25 nimipalvelinjärjestelmä kykenee löytämään verkkotason vastineet. Esimerkissä on käytetty tiettynä nimipalvelinjäijestelmänä DNS-jäijestelmää ja aikaisemmin määriteltynä middlewaretason nimiavaruutena syntaksiltaan oikeaoppisia DNS-nimiä.nameserver] operating systems are capable of performing a resolution but whose! .. t namespace single name may not have a network-level equivalent, and where * * · subscriber-specific middleware-level nomenclature is a namespace for which a given 25 nameserver system can find network-level equivalent. The example uses DNS for a given name server system and for a previously defined middleware-level namespace, syntax-correct DNS names.

• > · !Tilaajaliittymäkohtainen middlewaretason nimistö koostuu niistä nimistä, joille DNS-> * '·’ järjestelmä kykenee suorittamaan resoluution tilaajaliittymästä 10 lähetetyn DNS- •; · * 30 tiedustelun perusteella.•> ·! The subscriber interface-specific middleware-level nomenclature consists of the names for which the DNS-> * '·' system is able to execute the resolution of the DNS transmitted from the subscriber interface •; · * 30 based on inquiry.

• · 6 109165• · 6 109165

Tilaajaliittymä 10, on olennaisesti ns. Stub-intemet, joka vain yhdistää asiakasverkon ja aktiivisolmun 11. Aktiivisolmu 11 on tietoverkkoelementti, johon on sisälletty ohjelmisto, jolla seurataan aktiivisoImuun 11 tulevien IP-pakettien otsaketietoja sekä ohjataan IP-pakettien kulkua. Aktiivisolmu 11 on sijoitettu siten, että kaikki 5 verkkoliikenne ensimmäiseen tilaajaliittymään 10 kulkee sen kautta.The subscriber interface 10 is essentially a so-called subscriber interface. The Stub Internet, which merely connects the client network and the active node 11. The active node 11 is a network element containing software that tracks the header information of the IP packets coming to the active node 11 and controls the flow of the IP packets. The active node 11 is positioned such that all network traffic to the first subscriber line 10 passes through it.

Tilaajaliittymäkohtaista middlewaretason nimistöä on voitu rajata aiemmin määritellystä myös esimerkin mukaisessa sovelluksessa. Tällöin aktiivisolmuun 11 tallennetaan sallituista ja/tai kielletyistä DNS-nimistä koostuva estolista, jota voidaan tarvittaessa dynaamisesti päivittää esim. operaattorin jäijestelmästä tai tilaajaliittymästä 10 10 tulevalla ohjauksella. Tilaajaliittymästä 10 lähtevät DNS-tiedustelut, jotka ylipäänsä ohjataan DNS-jäijestelmälle ohjataan DNS-palvelimelle 12.The subscriber interface-specific middleware-level nomenclature may have been limited to those previously defined in the example application. In this case, a block list consisting of allowed and / or denied DNS names is stored in the active node 11, which can be dynamically updated, if necessary, by means of control from, for example, an operator ice system or a subscriber interface 1010. The DNS queries from the subscriber interface 10 are routed to the DNS server 12 and are routed to the DNS rigid system.

Menetelmässä suoritetaan seuraavia vaiheita. Vaiheet 101 - 102 suoritetaan, jotta saadaan estettyä sellaisten tilaajaliittymästä 10 lähetettyjen nimipalvelinjäijestelmälle 15 suunnattujen tiedustelujen eteneminen nimipalvelinjärjestelmään, jotka koskevat DNS-nimiä, joilla nimetyille tietoverkkoresursseille ei haluta hyväksyä tietoliikennettä tilaajaliittymästä 10.The method comprises the following steps. Steps 101 to 102 are performed to prevent requests from the subscriber interface 10 for the nameserver system 15 from being forwarded to the nameserver system for DNS names that do not wish to accept communications from the subscriber interface 10 to the designated network resources.

101) Vastaanotetaan tilaajaliittymästä 10 lähetetty kysyttyä DNS-nimeä 13 koskeva 20 DNS-palvelimelle 12 suunnattu tiedustelu aktiivisolmussa 11.101) Receiving a request 20 from the subscriber interface 10 to the DNS server 12 for the requested DNS name 13 in the active node 11.

| 102) Lähetetään (102a) kysyttyä DNS-nimeä 13 koskeva tiedustelu aktiivisolmusta 11 DNS-palvelimelle 12, jos kysytty DNS nimi 13 on sallittu tai kuuluu , ; ·. sallittuun middlewaretason nimistöön estolistalle.. Muutoin tiettyä DNS-nimeä I · 25 koskevaa tiedustelua ei lähetetä eteenpäin eikä sallittujen verkko-osoitteitten ; ·. listaa täydennetä. Tällöin asiakas-host:lle tilaajaliittymään 10 lähetetään (102b) 'DNS-vastaus DNS-palvelimen 12 lähdeosoitteella, jossa kerrotaan että tiettyä . j. t DNS-nimeä ei ole, tai vaihtoehtoisesti jokin muu sopivampi virheilmoitus.| 102) Sending (102a) a query about the requested DNS name 13 from the active node 11 to the DNS server 12 if the requested DNS name 13 is allowed or belongs to; ·. otherwise, a request for a specific DNS name I · 25 will not be forwarded nor will it be allowed to the allowed web addresses; ·. to complete the list. The client-host to the subscriber interface 10 is then sent (102b) a 'DNS response' at the source address of the DNS server 12, which indicates that a particular one. j. t There is no DNS name, or alternatively a more appropriate error message.

30 Seuraavat vaiheet suoritetaan, jos tiettyä DNS-nimeä koskeva tiedustelu lähetettiin ·,: eteenpäin DNS-palvelimelle 12. Vaihe 103 suoritetaan, jotta aktiivisolmu päivittyisi hyväksymään liikenteen sellaisella DNS-nimellä nimetylle tietoverkkoresurssille, jolle 7 109165 halutaan hyväksyä liikennettä. Vaihe 103 on välttämätön vaiheen 104 onnistumisen kannattaja vaihe 105 voidaan suorittaa riippumatta muista vaiheista.30 The following steps are performed if a request for a particular DNS name was sent to ·,: forward to the DNS server 12. Step 103 is performed to update the active node to accept traffic to a network resource named by a DNS name for which traffic is to be accepted. Step 103 is a necessary step for the success of step 104 Step 105 can be performed independently of the other steps.

5 103) Vastaanotetaan aktiivisolmussa 11 DNS-palvelimen 12 vastausviesti vaiheessa 101 lähetettyyn tiedusteluun. Jos vastausviesti sisältää kysytyn DNS-nimen 13 ja sitä vastaavan kysytyn IP-osoitteen 14 sekä tämän ja DNS-nimen 13 välisen kysytyn sidoksen voimassaoloajan 15 TTL-kentässä, kysytty IP-osoite 14 määritellään hyväksytyksi osoitteeksi aktiivisolmuun tallennetulle verkkotason 10 estolistalle. Aktiivisolmu 11 aktivoituu sallimaan liikenteen kysytyn DNS- nimen 13 mukaiseen IP-osoitteeseen 14 enintään kysytyn sidoksen voimassaoloajan 15 DNS-palvelimen 12 lähettämä vastausviesti lähetetään aktiivisoImusta eteenpäin tilaajaliittymään 10 asiakas-host:lle.103) Receiving, in the active node 11, a response message from the DNS server 12 to the inquiry sent in step 101. If the response message contains the requested DNS name 13 and the corresponding requested IP address 14, and the requested link validity period 15 between this and the DNS name 13 in the TTL field, the requested IP address 14 is defined as an accepted address in the network-level blocking list 10. The active node 11 is activated to allow traffic to the IP address 14 of the requested DNS name 13 for up to the requested binding period 15 The response message sent by the DNS server 12 is transmitted from the active node to the subscriber interface 10 to the client host.

15 Seuraavaksi vastaanotetaan aktiivisolmussa asiakas-host:lta Stub-intemetin eli tilaajaliittymän 10 kautta kysyttyyn IP-osoitteeseen 14 suunnattu ensimmäisen viesti, vaiheessa 104 ja/tai kiellettyyn IP-osoitteeseen suunnattu toinen viesti vaiheessa 105.Next, a first message is received from the client-host in the active node through the Stub Internet, i.e., the subscriber interface 10, to the IP address 14 requested, in step 104 and / or the second message directed to the prohibited IP address in step 105.

104) Vastaanotetaan aktiivisolmussa 11 tilaajaliittymästä 10 tuleva kysyttyyn IP- 20 osoitteeseen 14 suunnattu ensimmäinen viesti, tutkitaan aktiivisolmun :.: : logiikalla mahdolliset kysyttyyn IP- osoitteeseen 14 liittyvät estolistalle liitetyt ’...· tiedot ja päästetään ensimmäinen viesti läpi, jos kysytyn sidoksen • · * ‘ : voimassaoloaikaa 15 on vielä jäljellä.104) Receiving the first message from the subscriber interface 10 to the requested IP-address 14 from the active node 11, examining the active node:.:: Logic for possible blocking information associated with the requested IP-address 14 and passing the first message if the requested connection • · * ': 15 are still valid.

* I » 25 105) Vastaanotetaan aktiivisolmussa 11 tilaajaliittymästä 10 tuleva kiellettyyn IP- • · · osoitteeseen suunnattu toinen viesti 18, tutkitaan aktiivisolmun logiikalla* I »25 105) Receiving another message 18 from the subscriber interface 10 to the forbidden IP address in the active node 11, examined by the logic of the active node

II

? · · onko kielletty osoite 17 sallittu, havaitaan ettei ole ja pysäytetään viestin ! » eteneminen.? · · Whether the forbidden address 17 is allowed, detects the absence and stops the message! »Progress.

t It I

3030

Jotta aktiivisolmun 11 ei tarvitsisi säilyttää liian suurta sallittujen osoitteiden , : tietomassaa, TTL-kenttiin voidaan vaihtaa DNS vastausviestissä saatuja lyhyemmät voimassaoloajat, jolloin sallittuja osoitteita voidaan poistaa aktiivisolmusta 11 8 109165 tavanomaista aikaisemmin. Tilaajaliittymästä 10 lähetetyt DNS-kyselyt voidaan ohjata esim. Token-Bucket liikennemuokkaimen läpi, jolloin saadaan rajoitettua DNS-kyselyiden määrää asiakaskohtaisesti tiettynä ajanjaksona, jonka seurauksena saadaan pidennettyä aktiivisolmulle 11 sallittavaa verkkotason osoitteiden maksimisäilytysaikaa 5 ja vastaanotetun DNS-viestin mukaiseen konfiguroitumiseen kuluvaa aikaa.In order to prevent Active Node 11 from maintaining too many allowed addresses, the data mass can be replaced with TTL fields with shorter validity times obtained in the DNS response message, whereby allowed addresses can be removed from Active Node 11 8 109165 earlier than usual. DNS queries sent from the subscriber interface 10 may be routed through, e.g., the Token-Bucket Traffic Modifier, providing a limited number of DNS queries per customer over a specified period of time, resulting in extended network-level address retention times 5 for active node 11 and configuration time.

i (i (

Kuvion 2 mukainen toinen suoritusesimerkki, ei-toivotun IP-liikenteen vähentäminen middleware-tason liikenteenohjauskonfigurointien automaattisen ja aktiivisen verkkotasolle siirtämisen ansiosta.Another exemplary embodiment of Figure 2, reducing unwanted IP traffic by automatically and actively migrating middleware-level traffic control configurations to the network layer.

1010

Aktiivisolmu 11, joka on ohjelmoitu lukemaan DNS-palvelimelta 12 saapuvia viestejä, on sijoitettu siten, että kaikki verkkoliikenne ensimmäiseen tilaajaliittymään 10 kulkee sen kautta. Tieto verkkoresurssi 20, kuten asiakas-host on yhteydessä tietoverkkoon tilaajaliittymän kautta. Hallintajäijestelmällä 23 tarkoitetaan operaattorin järjestelmää, 15 jonka avulla se tarjoaa tietoverkkoyhteyksiä asiakkaidensa tilaajaliittymien kautta kommunikoiville tietoverkkoresursseille. DNS-nimet 24 voivat olla mitä tahansa DNS-nimiä. IP-osoitteet 25 ovat sellaisia IP-osoitteita, jotka ovat tallennettu DNS-järjestelmään vastaamaan DNS-nimiä 24. Käyttäjäprofiili 22 on operaattorin . hallintajärjestelmään tai hallintajärjestelmän 23 apujärjestelmänä toimivan erilliseen : 20 ohjausjärjestelmän saataville tallennettu määrittely tietylle tietoverkkoasiakkaalle tai tietoverkkoresurssille tarjottavista palveluista. Menetelmässä suoritetaan seuraavia ·.: numeroituja toimenpiteitä. Vaihe 201 suoritetaan niiden DNS-osoitteiden rajaamiseksi, i ,,, 1 : i : joista tilaajaliittymään hyväksytään liikennettä ja/tai joihin tilaajaliittymästä annetaan : : : lähettää dataa.The active node 11, programmed to read incoming messages from the DNS server 12, is positioned so that all network traffic to the first subscriber interface 10 passes through it. The information network resource 20, such as the client-host, is connected to the information network through a subscriber interface. A management system 23 refers to an operator system 15 by means of which it provides data network connections to its network resources communicating through its customers' local loops. DNS names 24 can be any DNS name. The IP addresses 25 are those IP addresses that are stored in the DNS system to match the DNS names 24. The user profile 22 is of the operator. a specification of the services provided to a particular network client or network resource, stored in a management system or a stand-alone sub-system 23 of the management system. The method performs the following ·: numbered operations. Step 201 is performed to delimit the DNS addresses i ,,, 1: i: from which traffic to and / or from the subscriber line is accepted::: transmitting data.

25 v : 201) Määritellään hallintajärjestelmässä 23 ainakin yhdelle tietylle • tietoverkkoresurssille, kuten asiakas-hostille sallitut DNS-nimet. Määrittely voi tapahtua kokonaan tai osittain operaattorin tai asiakkaan toimesta, : staattisesti tai dynaamisesti tietoverkkoresurssin 20 ja hallintajärjestelmän 30 välisen tietoliikenneyhteyden aikana. Nimet voivat olla fyysisesti tallennettuna mihin vaain, kunhan operaattorin hallintajärjestelmällä 23 on mahdollisuus ne hakea. Tietoverkkoresurssikohtaisesti on tehty hallintajärjestelmän 23 9 109165 saataville tallennettu käyttäjäprofiili, jonka perusteella sallittujen DNS-nimien haku onnistuu.25 v: 201) Specify the DNS names allowed for at least one specific network resource, such as the client-host, in the management system 23. The determination may be made in whole or in part by the operator or the client, statically or dynamically during the communication link between the network resource 20 and the management system 30. The names can be physically stored anywhere, as long as the operator management system 23 is able to retrieve them. By network resource, a stored User Profile has been made available to the management system 23 9 109165, which allows the search of allowed DNS names.

Vaiheet 202 - 205 suoritetaan tietyn käyttäjän tai päätelaitteen kohdentamiseksi 5 ensimmäiseen tilaajaliittymään 10, ja tiettyyn käyttäjään tai tiettyyn päätelaitteeseen kohdennettujen liikennerajoitusten määrittelemiseksi tiettyä liittymää valvovalle aktiivisolmulle 11. Näissä vaiheissa määritellyn tilaajaliittymäkohtaisen middlewaretason nimistön, DNS-nimien 24, perusteella haetaan tilaajaliittymäkohtaisen middlewaretason nimistön yhden tai useamman nimen sellainen 10 verkkotason vastine, IP-osoitteet 25, jonka voimassaolo varmennetaan nimipalvelin]äijestelmän vastausviestin avulla, ja määritellään näistä kukin kielletyksi ja/tai sallituksi osoitteeksi siten, että kiellettyjen middleware-tason nimien verkkotason vastineet määritellään kielletyiksi verkkotason osoitteiksi ja/tai sallittujen middlewaretason nimien verkkotason vastineet määritellään vastaavasti sallituiksi 15 verkkotason osoitteiksi seurantajärj estelmään.Steps 202 through 205 are performed to target a particular user or terminal 5 to the first subscriber interface 10, and to determine traffic restrictions directed to a specific user or specific terminal to the active node 11 controlling a specific interface. a network-level equivalent of 10 names, IP addresses 25, that are validated by the name server] system response message, and each of these is defined as a prohibited and / or allowed address by defining the network-level equivalent of prohibited middleware-level names and / or allowed middleware-level names network-level equivalents are defined as allowed network-level 15 addresses in the tracking system, respectively.

202) Rekisteröidään tietoverkkoresurssi 20, kuten asiakas-host tilaajaliittymän 10 kautta muodostetulle tietoliikenneyhteydelle käyttäjäprofiililla 22 ja toimitetaan tieto rekisteröitymisestä hallintajäijestelmälle 23.202) Registering a network resource 20, such as a communication link established through a client-host subscriber interface 10, with a user profile 22 and transmitting the registration information to the management system 23.

: ;·; 20 »Il · 203) Lähetetään hallintajärjestelmältä 23 tiedustelelu DNS-järjestelmälle, esim : ·. i DNS-palvelimelta 12, joka koskee niitä DNS-nimiä 24 vastaavia IP-osoitteita ‘ : 25, joista ja/tai joihin hyväksytään liikennettä tietyllä käyttäjäprofiililla 22 ,: · identifioituun liittymään, tässä tapauksessa tilaajaliittymään 10.:; ·; 20 »Il · 203) Sending request from management system 23 to DNS system, eg: ·. From the DNS server 12, which addresses the IP addresses': 25 corresponding to the DNS names 24 from which and / or to which traffic is accepted by a particular user profile 22, to: · the identified interface, in this case the subscriber interface 10.

25 , * · 204) Vastaanotetaan hallintajärjestelmässä 23 DNS-järjestelmältä DNS-nimiä 24 . * * sekä niitä vastaavia IP-osoitteita 25 ja DNS-nimien 24 ja niitä vastaavien IP- : : : osoitteiden 25 välisten sidosten voimassaoloaikoja koskeva vastausviesti tai t 11 !vastausviestejä.25, * · 204) Receiving DNS names from the DNS system in the management system 23. * * as well as the corresponding IP address 25 and the validity period of the bind times between the DNS names 24 and the corresponding IP::: addresses 25 or t 11!

30 ' ·, j 205) Vastaanotetaan aktiivisolmussa 11 DNS-järjestelmästä saadut 1 IP-osoitteet 25 hallintajärjestelmältä 23, sekä IP-osoitteiden voimassaoloajat ja talletetaan IP- 10 109165 osoitteet 25 voimassaoloaikoineen vastinpareiksi sallituiksi osoitteiksi estolistalle aktiivisolmuun 11.30 '·, j 205) Receiving 1 IP addresses 25 from the management system 23 obtained from the DNS system in the active node 11, and the validity periods of the IP addresses, and storing the IP-10 109165 addresses 25 with their validity periods into blocked list in the active node 11.

Jatkossa ohjataan hallintajärjestelmällä DNS-nimiin 23 sidottujen kulloinkin voimassa 5 olevien IP-osoitteiden ja niiden voimassaoloaikojen tiedustelemista DNS-järjestelmältä ja toimittamista aktiivisoImulle 11. Käytetään tiedustelun herätteenä aikaisemmin nimipalvelinjäijestelmältä vastaanotettujen tarkasteltavien IP-osoitteiden 25 voimassaoloaikoja tai niistä rajoitettuja voimassaoloaikoja. Lähetetään kutakin DNS-nimeä 23 koskeva DNS-tiedustelu ennen kunkin DNS-nimeen 23 sidotun 10 voimassaoloajan loppumista. Poistetaan IP-osoitteita 25 aktiivisolmun sallituista IP-osoitteista muodostuvalta estolistalta käyttäen ohjausherätteenä näiden voimassaoloaikana, siten että kukin IP-osoite poistetaan estolistasta viimeistään voimassaoloajan loputtua.In the future, the management system will control the retrieval of the current 5 IP addresses and their expiry dates associated with the DNS names 23 and their transmission to the active node 11. The query IPs will use the expired or limited validity periods of the IP addresses 25 previously received from the name server system. A DNS inquiry is sent for each DNS name 23 before the 10 validity dates associated with each DNS name 23 expire. Removing IP addresses from the blocking list of allowed active addresses of 25 active nodes as a control excitation during their validity period, so that each IP address is removed from the blocking list at the latest upon expiration.

15 Menetelmän vaiheissa 206 - 207 aktiivisolmu vastaanottaa tietopaketin ja pysäyttää sen etenemisen tarvittaessa. Nämä vaiheet voidaan suorittaa myös ennen vaiheita 204 - 205, mutta tällöin viestillä ei ole läpäisymahdollisuuksia.15 In steps 206-207 of the method, the active node receives the information packet and stops its propagation as needed. These steps can also be performed prior to steps 204-205, but in that case the message has no chance of transmission.

206) Vastaanotetaan tilaajaliittymästä 10 tuleva tarkistettavaan IP-osoitteeseen 20 suunnattu tai tilaajaliittymää 10 kohti saapuva tarkistettavasta IP-osoitteesta lähetetty kolmas viesti aktiivisolmussa 11 ja tarkistetaan aktiivisolmun 11 ; * *. logiikalla kuuluuko tarkistettava IP-osoite 26 voimassa oleviin sallittuihin IP- | » · t t · !,, ’ osoitteisiin aktiivisolmussa 11 olevalla estolistalla.206) Receiving a third message from the subscriber interface 10 directed to the IP address to be checked 20 or arriving at the subscriber interface 10 from the IP address to be checked in the active node 11 and checking the active node 11; * *. logic whether the IP address to be checked 26 is a valid allowed IP | »· T t ·! ,, 'addresses in the block list on active node 11.

t · * t t * * * * 25 207) Lähetetään (207a) kolmas viesti eteenpäin tietoverkkoon kohti kolmannessa ; ·, viestissä määriteltyä kohdetta tai tilaajaliittymää 10, jos tarkistettava IP-osoite < t · ;kuuluu voimassa oleviin sallittuihin osoitteisiin aktiivisolmussa 11. Muuten • · ;, pysäytetään kolmas viesti aktiivisolmuun 11.t · * t t * * * * 25 207) Sending (207a) a third message forward to the data network in the third; ·, The destination specified in the message, or the subscriber interface 10, if the IP address to be checked <t ·; belongs to the valid allowed addresses in the active node 11. Otherwise, · · ;, the third message is stopped in the active node 11.

» I»I

» · I t 1’ 30 Käytettäessä laajaa DNS-nimistöä tilaajaliittymäkohtaisessa middiewaretason I I · ; : estolistassa tilaajaliittymästä 10 vastaanotettavaan liikenteeseen voidaan soveltaa • i * '· ensimmäistä suoritusesimerkkiä, jolloin aktiivisolmuun 11 ei tarvitse konfiguroida kaikkia tilaajaliittymäkohtaisen middiewaretason estolistan vastine-IP-osoitteita, vaan 11 109165 dynaamisesti ainoastaan ne, joihin päätelaite tekee aktiivisolmun 11 kautta DNS-kyselyjä, ja joiden kyselyiden vasteena lähetetyn nimipalvelinjäijestelmän vastausviestin sisältämät tiedot katsotaan tilaajaliittymäkohtaisen middlewaretason estolistan perusteella aiheellisiksi tallentaa aktiivisolmuun 11.»· I t 1 '30 When using a large DNS nomenclature for a subscriber-specific middiewar layer I I ·; : In the blocking list, the traffic received from the subscriber interface 10 can be applied to the first embodiment of i * '·, whereby the active node 11 does not have to configure all the equivalent IP addresses of the middiewar level blocking list per subscriber interface 1111616 dynamically only those for which queries the nameserver response message sent in response to the queries is considered appropriate to be stored in the active node based on the subscriber interface specific middleware blocking list.

55

Laajoja tietoverkosta aktiivisolmun 11 kautta tulevan ja tilaajaliittymään 10 kohdennetun liikenteen lähteenä olevien tietoverkkoresurssien DNS-nimistöjä pystytään valvomaan seuraavissa vaiheissa 208 - 210 esitetyllä tavalla. Esitetyllä tavalla pystytään valvomaan myös tilaajaliittymän 10 kautta tietoverkkoon lähtevän liikenteen 10 kohteena olevien tietoverkkoresurssien DNS-nimiä. Näissä vaiheissa vastaanotetaan j seurantajäijestelmässä tietoverkkoresurssille 20 kohdennettu tai tilaajaliittymästä tuleva tietty tietopaketti, ja haetaan nimipalvelinjäijestelmältä tietyn tietopaketin tarkasteltava verkkotason lähde ja/tai kohdeosoitetta vastaava tietty middlewaretason nimi, i tarkistetaan operaattorin jäijestelmässä kuuluuko tietty middlewaretason nimi 15 tilaajaliittymäkohtaiseen middlewaretason nimistöön, ja määritellään tarkasteltava verkkotason lähde ja/tai kohdeosoite sallituksi tai kielletyksi osoitteeksi seurantajärjestelmään vasteena tietyn middlewaretason nimen määrittelylle tai määrittelemättömyydelle tilaajaliittymäkohtaisessa middlewaretason nimistössä. Vaihetta 205 ei tarvitse välttämättä suorittaa suoritettaessa vaiheet 208 - 210 ja vaiheet , . ·. 20 206-207 voidaan suorittaa ennen vaiheita 208 - 210 ja/tai näiden vaiheiden jälkeen.Extensive DNS lists of network resources coming from the data network through the active node 11 and targeted to the subscriber interface 10 can be monitored as shown in the following steps 208-210. In the same way, it is also possible to monitor the DNS names of the network resources that are subject to traffic to the data network 10 via the subscriber interface 10. In these steps, the tracking system receives a specific data packet addressed to the network resource 20 or from a subscriber interface, and retrieves the network level source and / or middleware level name that matches the middleware level, / or the destination address as an allowed or denied address to the tracking system in response to specifying or not specifying a specific middleware-level name in the subscriber-interface-specific middleware level nomenclature. Step 205 need not necessarily be performed when performing steps 208-210 and steps,. ·. 206-207 may be performed before and / or after steps 208-210.

. · · 208) Vastaanotetaan aktiivisolmussa 11 tietopakettin, jolla on entuudestaan : aktiivisolmulle 11 tallennetulle verkkotason estolistalle määrittelemätön :' · ‘: 25 tarkistettava IP-lähde- j a/tai kohdeosoite.. · · 208) Receiving in the active node 11 an information packet which has: undefined in the network-level blocking list stored in the active node 11: '·': 25 IP sources and / or destination addresses to be checked.

: : : 209) Vasteena vastaanotetulle tarkistettavalle IP-osoitteelle tehdään ns. reverse- I * » v < DNS kysely, eli. tiedustellaan aktiivisolmun 11 logiikalla tai aktiivisolmun _ ohjauksen perusteella muodostetulla DNS-järjestelmälle, esim DNS- 30 palvelimelle 12, suunnatulla tiedusteluviestillä IP-osoitetta vastaavaa DNS- » · * nimeä.::: 209) In response to the received IP address to be verified, a so-called IP address is made. reverse- I * »v <DNS query, ie. is queryed by the logic of the active node 11 or by a query message to the DNS system established on the basis of the control of the active node, e.g. the DNS server 12, corresponding to the IP address corresponding to the IP address.

a ( · > · » · » ·a (·> · »·» ·

• · I• · I

• · 12 109165 210) Vastaanotetaan DNS-jäijestelmän vastausviesti hallintajärjestelmässä 23 ja/tai aktiivisolmussa 11. Tarkistetaan löytyykö tarkistettavaa IP-osoitetta vastaava DNS-nimi sallittujen DNS-nimien listalta, joka voi sijaita hallintajärjestelmässä 23, hallintajärjestelmän 23 saatavilla tai aktiivisolmussa 11 tapauksesta 5 riippuen. Jos DNS-nimi löytyy sallittujen DNS-nimien listalta, ohjataan aktiivisolmu 11 sallimaan liikenne tarkistettavaan IP-osoitteeseen maksimissaan DNS-jäijestelmän tarkistettavaa IP-osoitetta koskevan vastausviestin sisältämän tarkistettavaan IP-osoitteeseen viittaavan TTL-kentän l mukaiseksi määräajaksi.• · 12 109165 210) Receiving a DNS response message on management system 23 and / or active node 11. Checking for a DNS name corresponding to the IP address being scanned in a list of allowed DNS names that can be located on management system 23, management system 23 or active node 11 . If the DNS name is found in the list of allowed DNS names, the active node 11 is directed to allow traffic to the IP address to be scanned for a maximum period of time according to the TTL field 1 referring to the IP address to be scanned in the DNS response message.

1010

Vaiheessa 210 konfigurointipäivityksen nopeus on tärkeää, jos ko. paketit halutaan päästää kohteeseen ennen reverse-kyselyn vastauksen saapumista, toisin sanoen tarkistamatta. Erityisesti tällöin tulee kyseeseen tilaajaliittymäkohtainen DNS-tiedustelujen käsittelytaajuuden rajoittaminen liikennemuokkaimen avulla. Lyhyen 15 purskeen pääseminen tilaajaliittymään ei kuitenkaan ole yhtä vaarallista kuin verkon tukkeutuminen esim. ’’denial of service”-hyökkäyksessä. Lisäksi tarkastamattomuuden haittavaikutuksia voidaan vähentää rajoitttamalla vielä tarkistamattomista osoitteista saapuvan tai tarkastamattomiin osoitteisiin kohdennetun liikenteen volyymia. Tämä voidaan toteuttaa ohjaamalla se esim. omaan Token-Bucket-jonoonsa. Tarkistuksen , , *. 20 tapahduttua ko. liikenteen voluumirajoitusta voidaan sitten muuttaa.In step 210, the speed of the configuration update is important if packets are wanted to be allowed to the destination before the reverse query response arrives, that is, without checking. Specifically, this involves limiting the frequency of processing of DNS inquiries per subscriber interface by means of a traffic editor. However, getting a short burst of 15 to a subscriber line is not as dangerous as blocking a network in a denial of service attack, for example. In addition, the adverse effects of unverified addresses can be reduced by limiting the volume of traffic coming from unverified addresses or directed to unverified addresses. This can be accomplished by directing it to its own Token-Bucket queue, for example. The amendment,, *. 20 events. the traffic volume limit can then be changed.

;' ‘': Keksintöä voidaan soveltaa myös niin, että ylläpidetään hallintajärjestelmässä 23 ja/tai :' ·,: aktiivisolmussa 11 sallittujen DNS-nimien listan lisäksi tai sen vaihtoehtona kiellettyjen :' Γ: DNS-nimien listaa j a ohj ataan liikennettä sen mukaisesti.; ' '': The invention may also be applied to maintain in the management system 23 and / or: '·,: in addition to the list of allowed DNS names in the active node 11, or as an alternative to its prohibited list:' Γ: list of DNS names and control traffic accordingly.

:T: 25: T: 25

Keksintöä voidaan myös soveltaa siten, että aktiivisolmulle 11 syötetään v : tilaajaliittymäkohtainen middlewaretason estolista, kuten sallitut DNS-nimet ja . · huolehditaan aktiivisolmun 11 logiikalla estolistan nimiä vastaavien IP-osoitteiden ja estolistan nimien välisten voimassaoloaikojen, käytännössä TTL-kenttien tiedustelusta 30 DNS-järjestelmältä aikaisemmin vastaanotettuihin voimassaoloaikoihin sidotun ohjauksen perusteella 13 109165The invention may also be implemented by providing the active node 11 with a v: subscriber-interface-specific middleware-level block list, such as allowed DNS names and. · Enable logic of the active node 11 to query the validity periods between the IP addresses corresponding to the block list names and the block list names, in practice the TTL fields based on the control bound to the previously received validity periods from the DNS system 13 109165

Keksinnön mukaista menetelmää voidaan soveltaa siten, että asetetaan verkkotason estolistamäärittelyt middlewaretason vastinnimille tehtyjen estolistamäärittelyjen mukaisesti koskemaan tiettyjä tietopaketin verkkotason lähde- ja kohdeosoitteiden yhdistelmiä, joissa on ainakin yksi verkkotason lähde- tai kohdeosoite myös 5 tapauksessa, jossa vastaanotetulla tietopaketilla on useita lähde- ja/tai kohdeosoitteita.The method of the invention can be applied by setting network-level block list definitions according to middleware-level block list definitions to certain combinations of network-level source and destination addresses of a data packet having at least one network-level source or destination address also in 5 cases where the received data packet .

Tällöin saadaan estettyä tietopaketin eteneminen tälle määritellyn kulkureitin perusteella.This prevents the information packet from proceeding on the basis of the specified path.

Eräs toinen mahdollinen keksinnön sovellus on jonkin estolistamäärittelyn perusteella 10 pysäytettäväksi tuomittavan viestin ohjaaminen poikkeusreitille siten, että kyseisen viestin pääsy kohdeosoitteeseensa estyy, vaikka sitä ei pysäytettäisikään seurantaj ärj estelmään.Another possible embodiment of the invention is to route a message to be stopped based on a block list definition 10, such that the message in question is blocked from accessing its destination address, even if it is not stopped by the tracking system.

Keksinnön mukaisessa menetelmässä voidaan käyttää Secure-DNS:n tarjoamia 15 mahdollisuuksia sen valvomiseksi, että DNS-jäqestelmälle lähetetyt tiedustelut on todellakin lähettänyt tietoverkkoresurssi, jonka lähettämien tiedustelujen mukaisesti estolistamäärittelyjä halutaan tehdä ja että nimipalvelinjärjestelmän vastausviestit ovat näihin tiedustelujen lähetettyjä vastauksia.The method of the invention may utilize the capabilities provided by Secure-DNS to verify that requests sent to a DNS backend are indeed transmitted by a cyber resource that requests blocking list definitions to be made and that replies to the nameserver system are responses to these requests.

: 20 Seuraavassa on selitetty mitä eräillä käsitteillä on tässä hakemuksessa ja erityisesti i,: : patenttivaatimuksissa tarkoitettu.: 20 What follows is a description of some of the terms used in this application, and in particular in the claims:.

. . : Seurantajärjestelmä on tietoliikenneverkkoon asiakasliittymän operaattorirajapinnan | ; operaattorin puolelle kytketty laitteisto, jonka läpi ohjataan tietoliikenneverkossa kulkevaa liikennettä. Seurantajärjestelmä on ohjelmoitava aktiivisolmu, palvelin tai 25 muu tietoverkkoelementti tai tietoverkkoon liitetty järjestelmä, joka kykenee lukemaan : : siihen saapuvien tietopakettien sisältämiä verkkotason lähde-ja/tai kohdeosoitetietoja ja : : vertailemaan saapuvien tietopakettien osoitetietoja seurantajärjestelmään tallennettuihin :·. verkkotason osoitetietoihin sekä vertailun perusteella lähettämään vastaanotetun tietopaketin seurantajärjestelmästä eteenpäin, tai pysäyttämään vastaanotetun '30 tietopaketin etenemisen seurantajärjestelmään. Seurantajärjestelmällä voidaan myös •. : tarkoittaa em.määrittelyn mukaista järjestelmää, johon on tallennettu middleware-tason nimiä Tällainen järjestelmä kykenee lähettämään tiettyä verkkotason osoitetietoa 14 109165 koskevan reverse-DNS-tiedustelun nimipalvelinjärjestelmälle tai operaattorin hallintajärjestelmälle, ja vastaanottamaan tiettyä verkkotason osoitetietoa vastaavan tietyn middlewaretason nimitiedon sekä vertailemaan tiettyä middleware-tason nimitietoa seurantajärjestelmän sisältämään tai seurantajärjestelmän saatavilla olevaan 5 tilaajaliittymäkohtaiseen nimistöön, joka sisältää ainakin yhden tilaajaliittymälle sallitun ja/tai kielletyn middlewaretason nimen. Vasteena tietyn middlewaretason nimen vertailulle tilaajaliittymäkohtaiseen osoitteistoon seurantajärjestelmään voidaan tallentaa tietty verkkotason osoite, ja estää tiettystä verkkotason lähdeosoitteesta tulevan tai tiettyyn verkkotason kohdeosoitteeseen menevän tai tiettyjen osoitteiden mukaista 10 reittiä menevän liikenteen pääsy kohteeseensa. Seurantajärjestelmä voidaan myös toteuttaa operaattorin hallintajärjestelmän ohjelmistollisena osana.. . : The tracking system is the telecommunication network client interface operator interface ; equipment connected to the operator's side through which traffic in the communication network is controlled. A tracking system is a programmable active node, server, or other network element or system connected to a network that can read:: the network-level source and / or destination address information contained in the incoming data packets, and:: compare the incoming data packet address information stored in the tracking system. network-level address information, and by comparison send a received data packet from the tracking system, or stop the progress of the received '30 data packet to the tracking system. The monitoring system can also:. : denotes a system according to the above definition in which middleware-level names are stored Such a system is capable of sending a reverse DNS request for a specific network-level address information to a name server system or operator management system, and receiving specific middleware-level name information corresponding to a particular network-level address name information to the 5 subscriber line-specific nomenclature contained in the tracking system or available to the tracking system, which contains at least one middleware level name that is allowed and / or denied to the subscriber interface. In response to comparing a particular middleware-level name to a subscriber interface-specific address book, the tracking system can store a specific network-level address, and block traffic to or from a specific network-level source address or 10-address destination. The tracking system may also be implemented as a software component of an operator management system.

Käyttäjäprofiili on operaattorin hallintajärjestelmään tai hallintajärjestelmän apujärjestelmänä toimivaan erilliseen ohjausjärjestelmän saataville tallennettu 15 määrittelyä tietylle tietoverkkoasiakkaalle tai tietoverkkoresurssille tarjottavista palveluista. Käyttäjäprofiili voi sisältää tiedon siitä miltä kaikilta middlewaretasolla nimetyiltä tietoverkkoresursseilta tiettyyn tilaajaliittymään tuleva tiettyyn i tilaajaliittymään kohdennettu ja/tai mille kaikille middlewaretasolla nimettyille tietoverkkoresursseille kohdennettu tietystä tilaajaliittymästä vastaanotettu liikenne . .·. 20 tulee estää.A user profile is a set of 15 specifications of services provided to a particular network client or network resource, stored in an operator management system or a stand-alone control system serving as a management subsystem. The user profile may include information on which of all the middleware level designated network resources designated traffic to a particular subscriber interface is directed to a particular subscriber interface and / or to all middleware level designated network resources designated from a particular subscriber interface. . ·. 20 should be blocked.

! · · · i : j :Nimi on tietoliikennejärjestelmissä esiintyvä symbolinen tunnus esim. URN(Uniform :' ·.: Resource Name), jolla ei ole mitään lokaatioriippuvaa osaa. Nimellä tarkoitetaan tässä : : : myös esim. DNS-host-nimeä, joka on yhtäältä lokaation nimi, koska host on abstraktien ‘ 4' : 25 resurssien karmalta lokaatio, mutta jota toisaalta tarvitaan verkkotason osoitteesta, esim.! · · · I: j: Name is a symbolic identifier used in communication systems, eg URN (Uniform: ': .: Resource Name), which does not have any location dependent part. The name also means here::: also the DNS host name, which is the name of the locale on the one hand, since the host is a karmic location of the abstract '4': 25 resources, but on the other hand is needed from the network level address,

IP-osoittesta, riippumattomaan nimeämiseen.From IP address to independent naming.

,* · Nimipalvelimella ja nimipalvelinjärjestelmällä tarkoitetaan järjestelmää, joka osaa tietyn middlewaretason nimen saatuaan määrittää tähän middlewaretason nimeen ; : 30 sidotut tiedot. Sidotut tiedot voivat esim. koskea tietyn middlewaretason nimen verkkotason vastinetta ja tietyn middlewaretason nimen ja sen verkkotason vastineen . ‘. : välistä voimassaoloaikaa., * · The name server and name server system refer to a system that can, after being able to assign a name to a given middleware level, assign it to that middleware name; : 30 bound information. The bound information may, for example, relate to a network-level equivalent of a particular middleware-level name and to a particular middleware-level name and its network-level equivalent. '. : period of validity.

15 10916515 109165

Resurssilla ja tietoverkkoresurssilla tarkoitetaan tietoverkkoon kytkettyä tilaajaliittymää, siihen kytkettyä host:ia, tietoverkossa ajettavaa sovellusohjelmaa ja/tai sen instanssia.Resource and data network resource means a subscriber interface connected to a data network, a host connected thereto, an application program running on the data network and / or its instance.

5 Verkkotason vastineella tarkoitetaan tiettyä middlewaretason nimeä tietyllä hetkellä vastaavaa verkkotason osoitetta toisin sanoen tietyllä middlewaretason nimellä nimetty tietoverkkoresurssi on tietyllä hetkellä löydettävissä verkkotason osoitteesta, jota tässä hakemuksessa ja erityisesti patenttivaatimuksissa nimitetään verkkotason vastineeksi.A network-level counter is a network-level address corresponding to a particular middleware-level name at a given time, that is, at a given time, a network-level resource designated by a particular middleware-level name can be found at the network-level address.

j 10 Estolistalta poistamisella tarkoitetaan poistamisen kohteen inaktivointia, jonka jälkeen | se ei enää ole tietoliikenteen rajoittamista ohjaava määrittely estolistalla.j 10 Unblocking means deactivating the target, followed by | it is no longer a blocking specification for restricting traffic.

jj

Tiedustelun generoinnilla tarkoitetaan tiedusteluviestin tai viestien sisältökenttien luomista generoivan jäqestelmän logiikalla.Inquiry generation means the creation of an inquiry message or message content fields by the logic of the generating waste system.

15 Verkkotason osoitteen ja sen middlewaretason vastinnimen välisellä sidoksella, ja midlewaretason nimen ja sen verkkotason vastineosoitteen välisellä sidoksella tarkoitetaan nimipalvelinjäijestelmään tallennettua määrittelyä, joka liittää tietyn middlewaretason nimen tiettyyn verkkotason osoitteeseen.15 A link between a network-level address and its middleware-level counterpart, and a midlevel-level name and its network-level counterpart address, is a definition stored in a name server system that associates a particular middleware-level name with a particular network-level address.

: 20: 20

Claims (17)

1. Förfarande för styming av datanätstrafik, varvid ett datapakets access till dess destinationsadress förhindras pä basis av datapaketets avsändar- eller destinationsadress, varvid 5. det definieras (205) ätminstone en tilläten och/eller en förbjuden avsändar- och/eller destinationsadress pä nätnivä som nätniväns spärrlista, - det tili abonnentanslutningen (10) eller det frän abonnentanslutningen (10) riktade datapaketet styrs (206) via ett automatiskt kontrollsystem (11), som utgör en del av en operators system, och 10. datapaketet förhindras (207) avancera till sin destinationsadress som svar pä en jämförelse av ätminstone en pä spärrlistan defmierad avsändar- och/eller destinationsadress pä nätnivä med ätminstone en av datapaketets avsändar- och/eller destinations-adresser, 15 kännetecknat av att - det används ett förutbestämt register pä middleware-nivä, - det avgränsas (201) frän ett förutbestämt register pä middleware-nivä ett abonnent-anslutningsspecifikt register pä middleware-nivä, som innehäller ätminstone ett : tillätet och/eller ett förbjudet avsändar- och/eller destinationsnamn pä middleware- . 1 ’ ·. 20 nivä och det lagras tillgängligt för operatoms system ätminstone tili den del som det I :; inte redan är tillgängligt lagrat för operatoms system, * » · , ·:', - det definieras (205) pä basis av ett definierat abonnentanslutningsspecifikt register pä middleware-nivä ätminstone en motsvarighet pä nätnivä för ätminstone ett abonnent-;·>· anslutningsspecifikt middelware-niväregistemamn som en förbjuden eller tilläten 25 adress, sä att ätminstone en motsvarighet pä nätnivä för respektive förbjudet middleware-nivänamn definieras som en förbjuden nätniväadress och respektive tillätet middleware-nivänamns motsvarighet pä nätnivä definieras pä motsvarande » sätt som en tilläten nätniväadress i kontrollsystemet pä nätniväns spärrlista, och Ml t » I · 22 109165 - de i kontrollsystemet befintliga middleware-niväregistemamnens nätnivämotsvarig-heter pä den abonnentanslutningsspecifika spärrlistan avlägsnas automatiskt frän kontrollsystemets spärrlista senast vid den sista giltighetstidpunkten for bindningen mellan respektive nätnivämotsvarighet och dess bestämda middleware-nivamot- 5 svarighet.A method for controlling data network traffic, whereby a data packet's access to its destination address is prevented on the basis of the data packet's sending or destination address, wherein 5. it is defined (205) at least one permissible and / or a prohibited sender and / or destination address at the network level which the network level blocking list, - the data packet directed to the subscriber connection (10) or from the subscriber connection (10) is controlled (206) via an automatic control system (11), which is part of an operator's system, and 10. the data packet is prevented (207) from advancing to its destination address in response to a comparison of at least one sender-level sender and / or destination address at the network level with at least one of the data packet's sender and / or destination addresses, characterized by - a predetermined middleware-level register is used, - it is delimited (201) from a predetermined register at middleware level an ab unconnected connection-specific register at middleware level, which contains at least one: allowed and / or a prohibited sender and / or destination name on middleware. 1 '·. 20 level and it is stored available for the operator's system at least to the portion it is:; is not already stored for the operating system of the operator, * »·, ·: ', - it is defined (205) on the basis of a defined subscriber connection-specific register at middleware level, at least one equivalent at network level for at least one subscriber-> connection-specific mediumware level register name as a forbidden or allowed address, such that at least one network level equivalent for each prohibited middleware level name is defined as a prohibited network level address and the respective allowed middleware level name at network level is defined in the same way as an allowed network level address in control system address blocking list, and Ml t »I · 22 109165 - the middleware level register names existing in the control system's network level counterparts on the subscriber connection-specific barring list are automatically removed from the control system's barring list at the latest validity date for the binding between ctive network level counterpart and its determined middleware level responsiveness. 2. Förfarande enligt patentkrav 1, kännetecknat av att - det mottas (208) i kontrollsystemet ett visst datapaket riktat tili abonnentanslutningen eller sänt frän abonnentanslutningen och det hämtas frän namnserversystemet ett bestämt middleware-nivämotsvarighetsnamn, som motsvarar den observerade avsändar- 10 och/eller destinationsadressen för nätnivän i ett bestämt datapaket, - det kontrolleras (209) i operatoms system om ett bestämt middleware-nivämot-svarighetsnamn tillhör ett abonnentspecifikt middleware-niväregister, och - den avsändar- och/eller destinationsadress pä nätnivä som skall observeras definieras (209) som en tilläten eller förbjuden adress i kontrollsystemet som svar pä ett bestämt 15 middleware-nivänamns definition eller avsaknad av definition i det abonnentanslutningsspecifika middleware-niväregistret.Method according to claim 1, characterized in that - it receives (208) in the control system a certain data packet directed to the subscriber connection or sent from the subscriber connection and it is retrieved from the name server system a specific middleware level correspondence name corresponding to the observed sender and / or destination address. for network level in a particular data packet, - it is checked (209) in the operator's system if a particular middleware level counter-responsiveness name belongs to a subscriber-specific middleware level register, and - the sender and / or destination address at network level to be observed (209) is defined as an allowed or prohibited address in the control system in response to a particular middleware level name's definition or lack of definition in the subscriber connection-specific middleware level register. 3. Förfarande enligt nägot av patentkraven 1-2, kännetecknat av att pä basis av det defmierade abonnentanslutningsspecifika middleware-niväregistret 20 hämtas (203 - 204) en nätnivämotsvarighet tili ätminstone ett namn i det abonnent- • j : specifika middleware-niväregistret, vilken motsvarighets giltighetstid erhälls frän •,; 1 namnserversystemet frän ett namnspecifikt svarsmeddelande i namnserversystemet och ’·,,,· frän dessa nätnivämotsvarigheter definieras (205) var och en som förbjuden och/eller » · i : tilläten adress, sä att de förbjudna middlevvare-nivänamnens nätnivämotsvarigheter '. * ’ 25 definieras som förbjudna nätniväadresser och/eller de tillätna middleware-nivänamnens "· ‘ nätnivämotsvarigheter definieras pä motsvarande sätt som tillätna nätniväadresser i kontrollsystemet.Method according to any of claims 1-2, characterized in that on the basis of the defined subscriber connection-specific middleware level register 20 (203 - 204) a network level equivalent is obtained for at least one name in the subscriber-specific middleware level register, which corresponds to validity is obtained from •,; In the name server system from a name-specific response message in the name server system and '· ,,, · from these network level counterparts (205) each is defined as prohibited and / or »· in: allowed address, so that the prohibited middle level level names' network counterparts'. * '25 are defined as prohibited network level addresses and / or the allowed middleware level names' '' network level counterparts are defined in the same way as allowed network level addresses in the control system. ·;· 4. Förfarande enligt nägot av patentkraven 1-3, kännetecknat av att en 30 nätnivämotsvarighet (203 - 204), som skall definieras, hämtas frän namnserversystemet ... ‘ tili spärrlistan genom att sända en förfrägan riktad tili namnserversystemet angäende » 109165 23 ätminstone ett abonnentanslutningsspecifikt middleware-nivaregisternamn, som genererats av operatorsystemet, och genom att lagra respektive rekognoscerade middleware-nivänamn i de berörda svarsmeddelandena.Method according to any one of claims 1-3, characterized in that a network level equivalent (203 - 204) to be defined is retrieved from the name server system ... to the blocking list by sending a request addressed to the name server system concerning »109165 23 at least one subscriber connection-specific middleware level register name, generated by the operator system, and by storing the respective reconnected middleware level names in the relevant response messages. 5. Förfarande enligt patentkrav 4. kännetecknat av att ätminstone en förfrägan, som 5 skall genereras i operatoms system, genereras i kontrollsystemet.Method according to claim 4, characterized in that at least one request to be generated in the operator's system is generated in the control system. 6. Förfarande enligt nägot av patentkraven 1-5, kännetecknat av att det förutbestämda middleware-nivaregistret omfattar alla middleware-nivanamn, till vilka ett visst eller vissa namnserversystem förmär utföra en resolution, och av att det abonnentanslutningsspecifika middleware-nivaregistret omfattar tillätna och/eller 10 förbjudna avsändaradresser för datapaket, som skall förmedlas tili en bestämd abonnentanslutning, och/eller tillätna och/eller förbjudna destinationsadresser för datapaket, som skall sändas ffän en viss abonnentanslutning.Method according to any of claims 1-5, characterized in that the predetermined middleware level register includes all middleware level names to which a particular or certain name server system exerts a resolution, and that the subscriber connection-specific middleware level register comprises permissible and / or 10 forbidden sender addresses for data packets to be conveyed to a particular subscriber connection, and / or permitted and / or prohibited destination addresses for data packets to be transmitted to a particular subscriber connection. 7. Förfarande enligt nägot av patentkraven 1 - 5. kännetecknat av att ett visst eller vissa namnserversystem kan utföra en resolution för ett förutbestämt middleware-nivä- 15 register, och väri det förutbestämda middleware-niväregistret utgörs av hela den namnrymd som till sin syntax tillhör en namnrymd, tili vilken ett visst eller vissa namnserversystem kan utföra en resolution, men vars namnrymds enskilda adresser inte nödvändigtvis har nägon nätnivämotsvarighet, och väri det abonnentanslutnings-j , specifika middleware-niväregistret är en namnrymd, tili vilken ett visst namn- j : , . 20 serversystem kan finna motsvarigheter pä nätnivä. ) · * iMethod according to any one of claims 1 to 5. characterized in that a particular or certain name server system can execute a resolution for a predetermined middleware level register, and where the predetermined middleware level register consists of the entire namespace belonging to its syntax. a namespace, to which a particular or certain nameserver system can execute a resolution, but whose namespace's individual addresses do not necessarily have any network level correspondence, and where the subscriber connection j, specific middleware level register is a namespace, to which a particular name j :, . 20 server systems can find network-level equivalents. ) · * I » » * · , · ’; 8. Förfarande enligt nägot av föregäende patentkrav 1 - 7. kännetecknat av att - det i kontrollsystemet mottas ett tili abonnentanslutningen (10) riktat namnserver-.·:·. systemssvarsmeddelande, som beskriver nätnivämotsvarigheten tili namnet pä en be stämd abonnentanslutningsspecifik middleware-niväregisterrymd, och 25 - som svar pä svarsmeddelandet definieras en nätnivämotsvarighet i enlighet med •'": svarsmeddelandet som tilläten adress pä kontrollsystemets spärrlista.»» * ·, · '; Method according to any of the preceding claims 1 - 7. characterized in that - a name server sent to the subscriber connection (10) is received in the control system. system response message describing the network level response to the name of a particular subscriber connection-specific middleware level register space, and - in response to the response message, a network level response is defined in accordance with the "" response message that allowed the address on the control system's bar list. 9. Förfarande enligt nägot av patentkraven 1 - 8. kännetecknat av att ett bestämt ·’ namnserversystem utgörs av ett DNS-system eller en del därav och att nätniväns 24 109165 adresser och nätniväns motsvarigheter utgörs av IP-adresser och middleware-nivans adresser av DNS-namn.Method according to any of claims 1 - 8. characterized in that a particular · name server system consists of a DNS system or part thereof and that network level addresses and network level equivalents are IP addresses and middleware level addresses of DNS -name. 10. Förfarande enligt nägot av patentkraven 1 - 9. kännetecknat av att som kontroll-system används en programmerbar aktivnod (11). 5Method according to any of claims 1 to 9. characterized in that a programmable active node (11) is used as a control system. 5 11. Förfarande enligt nägot av patentkraven 1 - 10. kännetecknat av att frän abonnent- anslutningen styrs till namnserversystemet riktade meddelanden till en trafikscrambler, som styr meddelandena till namnservem sä att antalet meddelanden fran abonnent-anslutningen riktade till namnservem inte överstiger ett bestämt gränsvärde inom en bestämd tid. 10Method according to any one of claims 1 - 10. characterized in that from the subscriber connection is directed to the name server system, messages are sent to a traffic scrambler, which controls the messages to the name server so that the number of messages from the subscriber connection directed to the name server does not exceed a specified limit value within a designated time. 10 12. Förfarande enligt nägot av patentkraven 1 - 11. kännetecknat av att det abonnent- anslutningsspecifika middleware-niväregistret bestäms (201) pä basis av en användar-profil bunden tili abonnentanslutningen (10).Method according to any of claims 1 to 11. characterized in that the subscriber connection-specific middleware level register is determined (201) on the basis of a user profile tied to the subscriber connection (10). 13. Förfarande enligt patentkrav 1 - 12. kännetecknat av att trafik tili en bestämd nät-niväadress godkänns, dä en bestämd nätniväadress är tilläten och/eller att trafik tili en 15 bestämd nätniväadress förhindras, dä en bestämd nätniväadress är forbjuden för maximalt giltighetstiden för bindningen mellan den i namnserversystemets svars- meddelande uttryckta nätniväadressen och dess bestämda motsvarighetsnamn pä j middleware-nivä, om det inte tas emot ett nytt namnsersversystemssvarsmeddelande, :': som berör en ny bestämd nätniväadress och innehäller information om en längre giltig- « * » “ ’: 20 hetstid för en bestämd nätniväadress.A method according to claims 1 - 12. characterized in that traffic to a specific network level address is authorized, where a specific network level address is allowed and / or that traffic to a certain network level address is prevented, where a certain network level address is prohibited for the maximum validity of the binding. between the network level address expressed in the name server system response message and its fixed equivalent name at middleware level, unless a new name server system response message is received: ': which touches a new specified network level address and contains information about a longer valid- «*» “' : 20 hot time for a specific network level address. 14. Förfarande enligt patentkrav 13. kännetecknat av att en maximal giltighetstid bestäms för den tid som DNS-systemets svarsmeddelande i TTL-fältet binder den bestämda nätniväadressen och dess bestämda middleware-nivämotsvarighetsnamn.Method according to claim 13. characterized in that a maximum validity time is determined for the time that the DNS system response message in the TTL field binds the specified network level address and its determined middleware level correspondence name. 15. Förfarande enligt nägot av patentkraven 1 - 14, kännetecknat av att som impuls 25 används äterstoden av giltighetstiden för bindningen mellan ett bestämt middleware- .' · ·, nivänamn och en bestämd nätnivämotsvarighet för att sända en förfrägan angäende ett bestämt middlevvare-nivänamn tili namnserversystemet. 25 109165Method according to any of claims 1 to 14, characterized in that as the impulse 25, the residual time is used for the validity of the bond between a particular middleware. · ·, Level name and a specific network level counter to send a query regarding a particular midlevel level name to the name server system. 25 109165 16. Förfarande enligt nägot av patentkraven 1-15, kännetecknat av att - det mottas (101) i kontrollsystemet en frän abonnentanslutningen (10) sänd förfrägan angäende ett bestämt middlevvare-nivänamn riktad tili namnserversystemet (12), och - som svar pä förfrägan jämförs ett bestämt middleware-nivänamn med det i kontroll-5 systemet lagrade abonnentanslutningsspecifika middleware-niväregistret och det för- hindras (102) att förfrägan avancerar tili namnserversystemet.Method according to any one of claims 1-15, characterized in that - it receives (101) in the control system a request from a subscriber connection (10) to send a request for a specific intermediate-level name addressed to the name server system (12), and - in response to the request. a specific middleware level name with the subscriber connection-specific middleware level register stored in the control system and it prevents (102) that the request advances to the name server system. 17. Förfarande enligt nägot av patentkraven 1-16, kännetecknat av att ätminstone ett datapakets access till sin destinationsadress förhindras genom att paketet hejdas i 10 kontrollsystemet som svar pä ätminstone en av dess avsändar- och/eller destinations-adresser. li·Method according to any of claims 1-16, characterized in that at least one data packet's access to its destination address is prevented by stopping the packet in the control system in response to at least one of its sending and / or destination addresses. · l
FI992056A 1999-09-24 1999-09-24 Procedure for monitoring traffic in computer networks FI109165B (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
FI992056A FI109165B (en) 1999-09-24 1999-09-24 Procedure for monitoring traffic in computer networks
PCT/FI2000/000810 WO2001026284A1 (en) 1999-09-24 2000-09-21 Method for controlling traffic in a data network
AU72936/00A AU7293600A (en) 1999-09-24 2000-09-21 Method for controlling traffic in a data network

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI992056 1999-09-24
FI992056A FI109165B (en) 1999-09-24 1999-09-24 Procedure for monitoring traffic in computer networks

Publications (2)

Publication Number Publication Date
FI19992056L FI19992056L (en) 2001-03-24
FI109165B true FI109165B (en) 2002-05-31

Family

ID=8555349

Family Applications (1)

Application Number Title Priority Date Filing Date
FI992056A FI109165B (en) 1999-09-24 1999-09-24 Procedure for monitoring traffic in computer networks

Country Status (3)

Country Link
AU (1) AU7293600A (en)
FI (1) FI109165B (en)
WO (1) WO2001026284A1 (en)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004266568A (en) 2003-02-28 2004-09-24 Nec Corp Name resolution server and packet transfer device
JP3829851B2 (en) * 2004-03-09 2006-10-04 セイコーエプソン株式会社 Data transfer control device and electronic device
US8239930B2 (en) 2006-10-25 2012-08-07 Nokia Corporation Method for controlling access to a network in a communication system
EP2093692A1 (en) * 2008-02-25 2009-08-26 Research In Motion Limited System and method for facilitating secure communication of messages associated with a project
US8762506B2 (en) * 2010-12-30 2014-06-24 Verisign, Inc Method and system for partitioning recursive name servers
CN110166564B (en) * 2019-05-28 2023-09-05 北京小米移动软件有限公司 Information communication method, terminal and storage medium

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SE9702385L (en) * 1997-06-23 1998-12-24 Ericsson Telefon Ab L M Procedure and apparatus in a computer network
US6141749A (en) * 1997-09-12 2000-10-31 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with stateful packet filtering
US6490620B1 (en) * 1997-09-26 2002-12-03 Worldcom, Inc. Integrated proxy interface for web based broadband telecommunications management
US6718387B1 (en) * 1997-12-10 2004-04-06 Sun Microsystems, Inc. Reallocating address spaces of a plurality of servers using a load balancing policy and a multicast channel

Also Published As

Publication number Publication date
WO2001026284A1 (en) 2001-04-12
AU7293600A (en) 2001-05-10
FI19992056L (en) 2001-03-24

Similar Documents

Publication Publication Date Title
US10356097B2 (en) Domain name system and method of operating using restricted channels
US10972437B2 (en) Applications and integrated firewall design in an adaptive private network (APN)
AU2015317394B2 (en) Private alias endpoints for isolated virtual networks
EP1817893B1 (en) Method and apparatus for ingress filtering using security group information
US6321336B1 (en) System and method for redirecting network traffic to provide secure communication
US7570663B2 (en) System and method for processing packets according to concurrently reconfigurable rules
US7733795B2 (en) Virtual network testing and deployment using network stack instances and containers
EP1690403B1 (en) Dual mode firewall
US7114008B2 (en) Edge adapter architecture apparatus and method
US8380870B2 (en) Method and system for filtering of network traffic
US20030208596A1 (en) System and method for delivering services over a network in a secure environment
WO2004021206A1 (en) Managing and controlling user applications with network switches
US11019031B1 (en) Client software connection inspection and access control
US20200076686A1 (en) Implementing service function chains
WO2004047402A1 (en) Management of network security domains
FI109165B (en) Procedure for monitoring traffic in computer networks
US20220060506A1 (en) Secure multiplexed routing
US8072978B2 (en) Method for facilitating application server functionality and access node comprising same
US20070014301A1 (en) Method and apparatus for providing static addressing
US20250007915A1 (en) Control and transmission methods, and entities configured to implement these methods
FI115326B (en) Procedure for updating in a name resolution system of dynamic correlation addresses at the network level for middleware name names
US20070147376A1 (en) Router-assisted DDoS protection by tunneling replicas
WO2025002563A1 (en) Name-based service function chaining over routing on service addresses
Herbert Firewall and Service Tickets (FAST)

Legal Events

Date Code Title Description
MM Patent lapsed