Способ динамической фильтрации дейтаграмм интернет-протокола

Авторы патента:

Слышев Александр Александрович (RU)

Ларкин Евгений Иванович (RU)

Кутузов Александр Викторович (RU)

Иванов Юрий Борисович (RU)

Басов Олег Олегович (RU)

H04L12/00 - Сети переключения сигналов (передачи данных) (соединение запоминающих устройств, устройств ввода-вывода или центральных процессоров или передача информации или других сигналов между указанными устройствами G06F 13/00)

Владельцы патента RU 2580808:

Государственное казенное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России) (RU)

Изобретение относится к области электросвязи и может быть использовано в сетях передачи данных для фильтрации и маршрутизации фрагментированных дейтаграмм Интернет-протокола. Технический результат заключается в повышении эффективности системы защиты от DDoS-атак. Указанный технический результат достигается применением изменяющегося во времени критерия фильтрации, в качестве которого используется по меньшей мере один из следующих параметров: IР-адрес источника, IР-адрес получателя, маска подсети, порт источника, порт получателя, диапазон портов источника, диапазон портов получателя, номер протокола, тип обслуживания для IP версии 4 (IPv4), класс трафика для IP версии 6 (IPv6), метка потока для IPv6, индекс параметра безопасности IPSec (SPI), общая длина IР-дейтаграммы или их комбинация. 5 ил.

Интернет-протокол (IP) является протоколом, который поддерживает передачу блоков данных (пакетов), называемых дейтаграммами, от источников к получателям в сети передачи данных с коммутацией пакетов. Источники и получатели являются хост-компьютерами, которые идентифицируются посредством IР-адресов фиксированной длины. Чтобы передать данные получателю, источник формирует дейтаграмму с IР-заголовком и частью, соответствующей полезной нагрузке. Источник затем отправляет дейтаграмму как IР-пакет по направлению к получателю на основе информации о маршрутизации, которую источник имеет для получателя.

Стандартный фильтр IР-дейтаграмм (узел фильтрации) представляет собой отдельный сетевой узел с работающим на нем программным обеспечением (межсетевой экран, маршрутизатор), который сконфигурирован таким образом, чтобы фильтровать входящие и исходящие блоки данных. Правила настройки IР-фильтров могут быть разрешающие, запрещающие или иные (управление маршрутом, ограничения скорости и др.). Фильтрация IР-трафика осуществляется на основе информации, содержащейся в заголовках пакетов.

Известны способы фильтрации дейтаграмм Интернет-протокола (Мафтик, С.Механизмы защиты в сетях ЭВМ / С.Мафтик: пер. с англ. - М.: Мир, 1993. - 216 с.; Столингс В. Основы защиты сетей / В. Столингс: пер. с англ. - М.: Издательский дом «Вильямс», 2002. - 304 с.), в которых основным критерием фильтрации являются IР-адреса и номера портов TCPIUDP отправителя и получателя. Использование информации, содержащейся в TCP- и IР-заголовках дейтаграмм на современном этапе, становится все менее эффективным критерием фильтрации, потому как злоумышленник при организации, например, DDoS-атаки может создать заголовок, который удовлетворяет разрешающим правилам фильтрации.

Известен способ классификации фрагментированных IР-дейтаграмм (патент US 2003126272 А1 от 03.07.2003 г.), согласно которому в качестве критерия классификации (фильтрации) кроме информации в заголовках дейтаграмм использованы данные других полей дейтаграмм Интернет-протокола. Однако применение для фильтрации значений времени жизни пакета (TTL) достаточно сложное на практике и ограничено количеством сетевых узлов на маршруте, а данных о типе обслуживания (ToS) является эффективным лишь временно, пока сегменты данного поля не будут корректно заполнены злоумышленником. Параметр ToS занимает один байт, поэтому вероятность его подбора злоумышленником составляет n/2⁸, где n - количество попыток подбора.

Наиболее близким по технической сущности к заявляемому способу и выбранным в качестве прототипа является способ фильтрации и маршрутизации фрагментированных дейтаграмм в сети передачи данных (Патент РФ 2363108 от 29.06.2005), в котором идентифицируют по меньшей мере один параметр фильтрации для дейтаграммы Интернет-протокола (IP), отправленной как множество фрагментов; сохраняют один или более принятых фрагментов дейтаграммы Интернет-протокола (IP) в качестве сохраненных фрагментов; получают упомянутый по меньшей мере один параметр фильтрации из упомянутых одного или более принятых фрагментов; определяют результат фильтрации для дейтаграммы Интернет-протокола (IP) на основе упомянутого по меньшей мере одного параметра фильтрации, причем результат фильтрации определяют до того как будут приняты все фрагменты дейтаграммы Интернет-протокола (IP), обрабатывают сохраненные фрагменты на основе результата фильтрации; и обрабатывают дополнительные фрагменты, принятые после того как результат фильтрации определен на основе упомянутого по меньшей мере одного параметра фильтрации, при этом упомянутый по меньшей мере один параметр фильтрации для IР-дейтаграммы содержит IР-адрес источника, IР-адрес получателя, маску подсети, порт источника, порт получателя, диапазон портов источника, диапазон портов получателя, номер протокола, тип обслуживания для IP версии 4 (IPv4), класс трафика для IP версии 6 (IPv6), метку потока для IPv6, индекс параметра безопасности IPSec (SPI) или их комбинацию.

Использование упомянутых параметров фильтрации на современном этапе становится все менее и менее эффективным критерием, потому как большинство злоумышленников при организации DDOiS'-атаки корректно их воссоздают.Вероятность подбора злоумышленником параметров фильтрации для IPv4, например, составляет:

P_подб=P_{адр.ист}·P_{адр.пол}·P_маск·P_п.ист·P_п.пол·P_{диап.ист}·P_{диап.пол}·P_прот·_ToS,

где Р_{адр.ист} - вероятность подбора IР-адрес источника,

P_{адр.пол} - вероятность подбора IР-адрес получателя,

Р_маск - вероятность подбора маски подсети,

Р_п.пист - вероятность подбора порта отправителя,

Р_п.пол - вероятность подбора порта получателя,

P_{диап.ист} - вероятность подбора диапазона портов источника,

Р_{диап.пол} - вероятность подбора диапазона портов получателя,

Р_прот - вероятность подбора номера протокола,

P_ToS - вероятность подбора типа обслуживания.

Причем если какой-либо параметр фильтрации не определен, то соответствующая ему вероятность подбора равна единице.

DDoS (Distributed Denial of Service - распределенный отказ от обслуживания) - тип сетевой атаки, основанной на небезграничности ресурсов атакуемой службы, к которой организуется масса запросов, с которыми она заведомо не сможет справиться, и будет вынуждена отказать в обслуживании (либо заставить ждать неприемлемо долго).

Задачей изобретения является разработка способа динамической фильтрации дейтаграмм Интернет-протокола, позволяющего повысить эффективность системы защиты от DDoS-атак за счет снижения вероятности подбора параметров фильтрации злоумышленником.

В заявленном способе эта задача решается следующим образом. В способе динамической фильтрации дейтаграмм Интернет-протокола идентифицируют по меньшей мере один параметр фильтрации для дейтаграммы Интернет-протокола (IP), отправленной как множество фрагментов. Сохраняют один или более принятых фрагментов дейтаграммы Интернет-протокола (IP) в качестве сохраненных фрагментов. Получают упомянутый по меньшей мере один параметр фильтрации из упомянутых одного или более принятых фрагментов. Определяют результат фильтрации для дейтаграммы Интернет-протокола (IP) на основе упомянутого по меньшей мере одного параметра фильтрации, причем результат фильтрации определяют до того как будут приняты все фрагменты дейтаграммы Интернет-протокола (IP). Обрабатывают сохраненные фрагменты на основе результата фильтрации и обрабатывают дополнительные фрагменты, принятые после того как результат фильтрации определен на основе упомянутого по меньшей мере одного параметра фильтрации. При этом упомянутый по меньшей мере один параметр фильтрации для IP-дейтаграммы содержит IP-адрес источника, IP-адрес получателя, маску подсети, порт источника, порт получателя, диапазон портов источника, диапазон портов получателя, номер протокола, тип обслуживания для IP версии 4 (IPv4), класс трафика для IP версии 6 (IPv6), метку потока для IPv6, индекс параметра безопасности IPSec (SPI), общую длину IP-дейтаграммы или их комбинацию. Упомянутые критерии фильтрации в упомянутом по меньшей мере одном параметре фильтрации для IP-дейтаграммы преобразуются псевдослучайным образом через временные интервалы, изменяющиеся независимо по псевдослучайному закону.

Новая совокупность существенных признаков позволяет достичь указанного технического результата за счет использования псевдослучайных зависимостей критериев параметра фильтрации IP-дейтаграммы совместно с другими параметрами фильтрации (фиг. 1).

Например, поле «общая длина» IP-дейтаграммы занимает два байта и означает общую длину пакета с учетом заголовка и поля данных. Максимальная длина пакета ограничена разрядностью поля, определяющего эту величину. При передаче по сетям различного типа длина дейтаграммы выбирается с учетом максимальной длины пакета протокола нижнего уровня. Если это кадры Ethernet, то выбираются пакеты с максимальной длиной в 1500 байт, умещающиеся в поле данных кадра Ethernet. В стандарте предусмотрено, что все сетевые узлы должны быть готовы принимать пакеты длиной до 576 байт. При организации и настройке параметров соединения общую длину IP-дейтаграммы устанавливает администратор сети, который может задавать не одно строго определенное значение, а диапазон возможных значений, в пределах которого в соответствии с псевдослучайным алгоритмом управления длина пакета в правилах фильтрации будет изменять свое значение. Аналогичные действия можно определить и для других полей IP-дейтаграммы.

Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностью признаков, тождественных всем признакам заявленного способа динамической фильтрации дейтаграмм Интернет-протокола, отсутствуют. Следовательно, заявленное изобретение соответствует условию патентоспособности «новизна».

Результаты поиска известных решений в данной и смежных областях техники с целью выявления признаков, совпадающих с отличительными от прототипа признаками заявленного объекта, показали, что они не следуют явным образом из уровня техники. Из уровня техники также не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения преобразований на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности «изобретательский уровень».

Заявленное изобретение поясняется следующими фигурами:

фиг.1 - IР-пакет для дейтаграммы;

фиг.2 - процесс, выполняемый сетевым узлом для фильтрации фрагментированной дейтаграммы и маршрутизации ее фрагментов;

фиг.3 - функциональная схема организации защиты от DDoS-атак FTW-маршрутизаторов согласно заявленному способу;

фиг.4 - набор правил фильтрации по заголовку IР-пакета и длине пакета;

фиг.5 - функциональная схема динамического фильтра IР-трафика.

Реализация заявленного способа поясняется блок-схемой процесса, выполняемого сетевым узлом для фильтрации фрагментированной дейтаграммы и маршрутизации ее фрагментов. Фрагментированная дейтаграмма составлена из множества фрагментов, и каждый фрагмент отправляется как один IР-пакет (фиг.2). Таким образом, для фрагментированной дейтаграммы фрагменты и IР-пакеты являются терминами-синонимами.

Изначально узел фильтрации принимает IР-пакет (этап 201). Затем определяет, является ли IР-пакет фрагментированной дейтаграммой (этап 203),например, посредством проверки бита MF и поля смещения фрагмента в IР-заголовке IР-пакета. IР-пакет является нефрагментированной дейтаграммой, если поле смещения фрагмента установлено в «0», и бит MF установлен в «0». Если IР-пакет является нефрагментированной дейтаграммой (на этапе 203 получен ответ «нет»), то узел применяет один или более фильтров к IР-пакету и обрабатывает и/или пересылает IР-пакет на основе результата фильтрации (этап 202). Затем узел фильтрации возвращается на этап 201, чтобы обработать следующий IР-пакет.

Если текущий IР-пакет является фрагментированной дейтаграммой, как определено на этапе 203, то узел фильтрации определяет, является ли этот IР-пакет первым принятым для дейтаграммы (этап 206), посредством:

1) получения идентификатора дейтаграммы, например, как сцепление значений идентификации, протокола, адреса источника и адреса получателя в IР-заголовке IР-пакета;

2) поиска записей таблицы маршрутизации для идентификатора этой дейтаграммы;

3) указания текущего IР-пакета в качестве первого принятого фрагмента, если идентификатор дейтаграммы не найден в каком-либо из элементов таблицы маршрутизации.

Если текущий IР-пакет является первым принятым фрагментом, то узел фильтрации создает новую запись таблицы маршрутизации для дейтаграммы, инициализирует поля новой записи таблицы маршрутизации и запускает таймер для дейтаграммы (этап 205). Запись таблицы маршрутизации для дейтаграммы индексируется по идентификатору дейтаграммы. Запись таблицы маршрутизации включает в себя указатель, который указывает на местоположение памяти фрагментов, используемое для того, чтобы хранить фрагменты дейтаграммы. Узел фильтрации затем переходит на этап 208.

Если текущий IР-пакет не является первым принятым фрагментом, как определено на этапе 206, то узел фильтрации определяет, доступен ли результат фильтрации для дейтаграммы в записи таблицы маршрутизации для дейтаграммы (этап 207). Если результат фильтрации существует, то узел обрабатывает/пересылает IР-пакет в соответствии с результатом фильтрации (этап 209) и затем переходит на этап 211. В противном случае, если результат фильтрации недоступен, то узел определяет, были ли получены все параметры фильтрации для дейтаграммы из текущего IР-пакета и приняты ли уже все IР-пакеты, которые также являются фрагментами этой дейтаграммы (этап 432). Если все параметры фильтрации не были получены, то узел выделяет буфер в памяти фрагментов для текущего IР-пакета и сохраняет IР-пакет в буфере (этап 215). Узел затем возвращается на этап 201, чтобы обработать следующий IР-пакет. Иначе, если все параметры фильтрации были получены, то узел применяет фильтры в отношении параметров фильтрации, получает результат фильтрации для дейтаграммы и сохраняет результат фильтрации в записи таблицы маршрутизации, созданной для дейтаграммы (этап 210). Узел затем обрабатывает/пересылает текущий IР-пакет, так же как и все уже принятые IР-пакеты, которые также являются фрагментом этой дейтаграммы и сохранены в памяти фрагментов, в соответствии с результатом фильтрации (этап 212). Узел затем переходит к этапу 211.

Для варианта осуществления, показанного на фиг.2, узел фильтрации также отслеживает то, какие фрагменты были приняты для дейтаграммы, и обновляет эту информацию всякий раз, когда для дейтаграммы принимается новый фрагмент (этап 211). Узел может выполнять эту регистрацию на основе смещения фрагмента каждого фрагмента (которое получается из поля смещения фрагмента) и размера полезной нагрузки каждого фрагмента (который получается на основе полей IHL и общей длины). Узел затем определяет, были ли приняты все фрагменты дейтаграммы на основе обновленной информации о фрагменте (этап 213). Целая дейтаграмма принимается, если:

1) был принят последний фрагмент дейтаграммы (последний фрагмент имеет бит MF, установленный в «0»);

2) все другие фрагменты дейтаграммы были также приняты (что может быть определено на основе смещения фрагмента и размера полезной нагрузки каждого принятого фрагмента).

Если целая дейтаграмма была принята, то узел удаляет запись таблицы маршрутизации для дейтаграммы и удаляет все фрагменты дейтаграммы из памяти фрагментов (этап 214). С этапов 213 и 214 узел возвращается на этап 201, чтобы обработать следующий IР-пакет.

Использование заявленного способа для организации защиты от DDoS-атак показано на фиг.3.

Устройство фильтрации, выполненное на основе заявленного способа, располагается перед VРN-маршрутизатором для его непосредственной защиты. В устройстве фильтрации установлены правила, на основе которых будет осуществляться прохождение IР-пакетов через устройство. IР-пакеты, структура которых соответствует установленным правилам, будут проходить через данное устройство, а остальные будут отфильтровываться.

Для его проверки было осуществлено имитационное моделирование на трех ПЭВМ с использованием среды программирования С#. Первая ПЭВМ имитировала узел отправителя (источник, VPN-маршрутизатор 1), вторая - узел получателя (VPN-маршрутизатор 2). Между данными узлами был настроен PTW-туннель. Третья ПЭВМ реализовывала источник DDoS-атак. Программными средствами на первой и второй ПЭВМ был реализован фильтр дейтаграмм с изменяемыми параметрами фильтрации. При его настройке устанавливались правила, на основе которых осуществлялось прохождение пакетов через данное устройство.

Пример настройки фильтра дейтаграмм представлен на фиг.4.

Первое правило позволяет пропускать пакеты TCP от источника 129.6.48.254, имеющего любой порт отправителя, к адресу 123.4.5.92, если соединение устанавливается с портом 1024, и длина пакета должна составлять 150 байт. Второе правило запрещает все остальные пакеты.

На один из портов поступает IР-пакет, обозначим его P_i. Устройство фильтрации осуществляет анализ, т.е. сравнение значений полей пакета со значениями указанными в правилах фильтрации. Вначале проверяется информация, содержащаяся в заголовке пакета Р_i IР-адреса отправителя и получателя должны соответствовать IР-адресам указанных в правилах фильтрации (исходя из примера, должны быть 129.6.48.254 и 123.4.5.92), а также должно выполняться условие n_i=N_порт=1024, т.е. значение в поле «порт получателя» пакета Р_i равно указанному в правилах значению, исходя из примера - 1024. Даже если эти правила выполняются, нельзя сделать правильный вывод о происхождении пакета (пакет VPN или DDoS-атаки), т.к. злоумышленник с вероятностью Р_подб может корректно заполнить заголовок, указав правильные значения IР-адресов и номеров портов отправителя и получателя. Поэтому принятый IР-пакет анализируется согласно следующему критерию, указанному в правилах, по длине пакета. Если выполняется последнее условие, L_i=L_п, т.е. длина принятого пакета Р_i совпадет со значением длины пакета, указанным в правилах фильтрации, то пакет пропускается через устройство фильтрации. Если же правило не выполняется, то принятый IР-пакет отбрасывается (фиг.5).

Вероятность совпадения длины принятого пакета со значением, указанным в правилах фильтрации, очень мала. Для кадра Ethernet, например, значение этого параметра может быть любым в промежутке от 1 до 576 байт, а вероятность подбора длины пакета злоумышленником $P_{с о в п} = \frac{n_{t}}{576}$ , где n_t - количество попыток подбора длины пакета за время t.

При продолжительной атаке и при условии, что DDoS-атака является управляемой, злоумышленник, имея значительные ресурсы и соответствующий уровень подготовки, имеет возможность подстроиться под значение длины пакета, которое используется как критерий фильтрации.

Для повышения эффективности работы этой системы вводится группа дополнительных правил фильтрации. Например, параметр общая длина пакета становится функцией от времени L_п(t) и может изменять свое значение согласно заранее определенному алгоритму управления длиной пакета. При настройке устройства фильтрации администратор сети может задавать не одно строго определенное значение, а диапазон значений. К примеру, в соответствии с алгоритмом управления длина пакета в правилах фильтрации может изменять свое значение в пределах заданного диапазона через некоторый интервал времени.

Преимуществами такой системы защиты является то, что злоумышленнику потребуется большое количество ресурсов и времени, чтобы организовать атаку, которая будет отвечать всем правилам фильтрации. К тому же DDoS-атака должна быть управляемой, что демаскирует местонахождение злоумышленника.

Недостатком данной системы является сложность практической реализации синхронизации устройств фильтрации. Во избежание этой проблемы алгоритм управления длиной пакета можно реализовать таким образом, что значение длины пакета будет изменяться после того как будет передано и принято определенное в алгоритме количество информации.

В качестве динамического критерия фильтрации (т.е. изменяющегося во времени) можно установить не один параметр, а несколько. Например, в качестве изменяющегося во времени критерия можно также использовать номера портов отправителя и получателя, потому как они устанавливаются администратором при настройке виртуальной частной сети. Таким образом, вероятность подбора злоумышленником параметров динамической фильтрации составляет:

$P_{п о д б}^{д} = P_{п о д б} \cdot P_{1}^{t_{1}} \cdot P_{2}^{t_{2}} \dots P_{k}^{t_{k}}$ ,

где Р_подб - вероятность подбора статических параметров фильтрации,

$P_{1}^{t_{1}}$ - вероятность подбора динамического параметра 1 за время t₁,

$P_{2}^{t_{2}}$ - вероятность подбора динамического параметра 2 за время t₂,

$P_{k}^{t k}$ - вероятность подбора динамического параметра k за время t_k.

Защита от DDoS-атак, использующая параметр общая длина IP-пакета и другие, значения которых являются динамическими, значительно увеличивает эффективность системы защиты.

Способ динамической фильтрации дейтаграмм Интернет-протокола, в котором идентифицируют по меньшей мере один параметр фильтрации для дейтаграммы Интернет-протокола (IP), отправленной как множество фрагментов; сохраняют один или более принятых фрагментов дейтаграммы Интернет-протокола (IP) в качестве сохраненных фрагментов; получают упомянутый по меньшей мере один параметр фильтрации из упомянутых одного или более принятых фрагментов; определяют результат фильтрации для дейтаграммы Интернет-протокола (IP) на основе упомянутого по меньшей мере одного параметра фильтрации, причем результат фильтрации определяют до того, как будут приняты все фрагменты дейтаграммы Интернет-протокола (IP); обрабатывают сохраненные фрагменты на основе результата фильтрации; и обрабатывают дополнительные фрагменты, принятые после того, как результат фильтрации определен на основе упомянутого по меньшей мере одного параметра фильтрации, при этом упомянутый по меньшей мере один параметр фильтрации для IP-дейтаграммы содержит IP-адрес источника, IP-адрес получателя, маску подсети, порт источника, порт получателя, диапазон портов источника, диапазон портов получателя, номер протокола, тип обслуживания для IP версии 4 (IPv4), класс трафика для IP версии 6 (IPv6), метку потока для IPv6, индекс параметра безопасности IPSec (SPI) или их комбинацию, отличающийся тем, что упомянутый по меньшей мере один параметр фильтрации для IP-дейтаграммы является функцией от времени и дополнительно содержит общую длину IP-дейтаграммы.

Изобретение относится к области вычислительной техники и может быть использовано для построения параллельных вычислительных систем. Техническим результатом является уменьшение задержки передачи данных и повышение числа коммутируемых абонентов сети.

Автоматический межсетевой экран // 2580004

Изобретение относится к сфере обеспечения информационной безопасности вычислительных сетей (ВС) и, в частности, определяет особенности организации межсетевых экранов (МЭ), применяемых для фильтрации сетевого трафика и защиты узлов ВС от несанкционированного доступа.

Связь между блоками чувствительных элементов и регистратором // 2578727

Изобретение относится к области геофизики и может быть использовано при регистрации сейсмических данных. Заявлена сейсмическая регистрирующая система.

Аппаратно-программный комплекс коммутации "lan lzoe" // 2578697

Изобретение относится к вычислительной технике. Технический результат заключается в осуществлении коммутации компьютера с одной или несколькими компьютерными сетями через внешнее устройство, программное обеспечение которого, включающее пользовательский интерфейс, устанавливается на компьютере.

Система связи, устройство управления, устройство связи, способ ретрансляции информации и программа // 2577194

Изобретение относится к системе связи. Технический результат изобретения заключается в эффективном совместном обмене информацией при работе множества устройств управления.

Сетевая система и способ управления трафиком связи // 2576480

Изобретение относится к сетевым системам. Технический результат заключается в повышении скорости передачи данных в сети.

Сетевая система и способ маршрутизации // 2576473

Изобретение относится к средствам маршрутизации. Технический результат заключается в снижении частоты обработки таблицы потоков.

Способ передачи информации по каналу fast channel между физическими устройствами // 2574842

Изобретение относится к области средств передачи информации в виде пакетов. Техническим результатом является уменьшение энергопотребления, а также обеспечение гарантированной доставки данных.

Способ оперативного управления потоками данных в сетях с коммутацией пакетов // 2574814

Изобретение относится к способам оперативного управления потоками данных и предназначено для контроля состояния сети и построения плана распределения потоков данных в сетях с коммутацией пакетов в условиях высокой неоднородности каналов и динамических структурных изменений сети.

Технология очистки и повторного изучения адресов mac в сетях передачи данных // 2574352

Изобретение относится к способам и устройству выполнения процесса очистки в порте сетевого коммутатора. Технический результат заключается в повышении быстродействия очистки в сетевом коммутаторе.

Узел связи, система связи, устройство управления, способ пересылки пакета и программа // 2581558

Изобретение относится к области связи. Технический результат - уменьшение количества записей, хранимых в узле связи, и уменьшение нагрузки на устройство управления в сети централизованного управления. Для этого осуществляющее связь устройство содержит первую таблицу с первой записью с условием соответствия, которое включает в себя, по меньшей мере, адрес получателя и соотнесено с получателем вывода пакета, соответствующего условию соответствия; вторую таблицу со второй записью с предварительно определенным условием соответствия; блок изучения получателя, который регистрирует набор из источника и порта приема принятого пакета в качестве условия соответствия и получателя вывода, соответственно, в первой таблице; и блок обработки пакета, который пересылает пакет получателю вывода, определенному в первой таблице, когда запись, имеющая условие соответствия, соответствующее принятому пакету, найдена в каждой из первой и второй таблиц. Блок обработки пакета широковещательно передает принятый пакет согласно третьей записи, когда запись, имеющая условие соответствия, соответствующее принятому пакету, не найдена. 5 н. и 5 з.п. ф-лы, 9 ил.

Способ уведомления о полосе пропускания пользователя // 2582573

Изобретение относится к области связи и, в частности, к обеспечению уведомления о полосе пропускания пользователя. С использованием настоящего изобретения пользователь может явно знать о том, что текущее неудовлетворительное восприятие услуги вызвано несоответствием между состоянием полосы пропускания пользователя и текущим требованием к полосе пропускания услуги, и также может принять подходящие меры для анализа и решения проблемы. Изобретение раскрывает способ, который включает в себя: выявление сетевой стороной доступной полосы пропускания пользователя и требования к полосе пропускания услуги, используемой в настоящее время упомянутым пользователем, сравнение упомянутой сетевой стороной доступной полосы пропускания упомянутого пользователя и требования к полосе пропускания услуги, используемой в настоящее время упомянутым пользователем, и уведомление упомянутой сетевой стороной упомянутого пользователя о состоянии полосы пропускания согласно результату сравнения. 2 н. и 6 з.п. ф-лы, 8 ил.

Способ и устройство выбора маршрута // 2584448

Изобретение относится к технологиям связи. Технический результат заключается в повышении скорости передачи данных. Способ содержит этапы, на которых вычисляют сквозной маршрут для недавно добавленной службы в соответствии с топологией сети и ограничением длины волны и выделяют длину волны для маршрута; вычисляют рабочие характеристики каждой существующей службы и рабочие характеристики недавно добавленной службы в сети в соответствии с информацией о физическом искажении, собранной в сети, причем информация о физическом искажении включает в себя эталонный спектр усиления каждого оптического усилителя в сети; и выполняют проверку на искажение рабочих характеристик каждой службы, и выполняют выбор маршрута для недавно добавленной службы в соответствии с результатом проверки на искажение. 2 н. и 9 з.п. ф-лы, 5 ил.

Система управления связью, коммутационный узел и способ управления связью // 2584449

Изобретение относится к системам управления связью. Технический результат заключается в повышении скорости передачи данных. Система содержит: коммутационный узел, сконфигурированный с возможностью осуществлять обработку каждого из принимаемых пакетов на основе записи потока, задающей правило и действие для того, чтобы единообразно управлять пакетами; и сервер управления, сконфигурированный с возможностью задавать запись потока в таблице потоков коммутационного узла, при этом коммутационный узел содержит: средство для соединения множества процессоров; средство для выполнения обработки передачи для распределения нагрузки из множества расширенных сетевых интерфейсов во множество процессоров и выполнения высокоскоростной обработки пакетов через многопроцессорную обработку посредством использования множества процессоров; и средство для конфигурирования таблицы потоков большого размера в коммутационном узле. 4 н. и 6 з.п. ф-лы, 15 ил.

Устройство управления, система связи, способ управления узлом и программа // 2586019

Изобретение относится к устройствам управления в сети. Технический результат заключается в повышении безопасности передачи данных. Сеть содержит: первый узел, управляемый устройством управления централизованным образом; и второй узел, хранящий, в течение предварительно определенного периода времени, записи, в каждой из которых, на основании адреса источника принятого пакета, его собственный порт и информация об адресе(ах) узла, на который можно пересылать пакеты из порта, связаны друг с другом, и выполняющий пересылку пакетов путем ссылки на группу записей, и определяющий порт, соответствующий месту назначения пакета, причем упомянутое устройство управления выдает команду первому узлу, соединенному со вторым узлом (узлами), передавать пакет определения места назначения. 3 н. и 4 з.п. ф-лы, 10 ил.

Устройство сетевой связи и способ избирательного ограничения полосы пропускания кадра передачи // 2586062

Изобретение относится к технике связи и может использоваться в системах беспроводной связи. Технический результат состоит в предотвращении перегрузки устройства при передаче в сетях связи. Для этого в устройстве сетевой связи обработка передачи и отбрасывания реализуется для каждого кадра передачи, имеющего приоритет, и ограничение полосы пропускания выполняется, чтобы предотвращать перегрузку устройства получения передачи. В частности, корзина предоставляется для каждого приоритета, и добавляются маркеры количеством, определенным на основе приоритета. Кроме того, перед оценкой корзины предоставляется одна совместно используемая корзина. Все маркеры, существующие в корзине, предоставленной для каждого приоритета, переносятся в совместно используемую корзину для каждого постоянного периода. Маркеры, выходящие за пределы емкости совместно используемой корзины, отбрасываются. Все кадры равным образом оцениваются и передаются, вне зависимости от приоритета каждого из кадров, пока маркер присутствует в совместно используемой корзине. Когда маркер не присутствует в совместно используемой корзине, выполняется переключение на избирательное ограничение полосы пропускания, и каждая корзина приоритетов оценивается. Корзина, соответствующая приоритету кадра, проверяется, и когда маркер присутствует, выполняется обработка передачи кадра. Когда маркер не присутствует, выполняется обработка отбрасывания кадра. 3 н. и 6 з.п. ф-лы, 11 ил.

Терминал, устройство управления, способ связи, система связи, модуль связи, программа и устройство обработки информации // 2586587

Изобретение относится к системам связи. Технический результат заключается в уменьшении нагрузки на шлюз пересылки и устройства управления. Такой результат достигается тем, что терминал, осуществляющий связь с сетью, включающей в себя устройство пересылки для пересылки пакета и устройство управления для управления устройством пересылки в соответствии с запросом от устройства пересылки, содержит: блок связи, который принимает от устройства управления правило обработки, определяющее способ обработки пакета, который определен устройством управления, блок хранения, который хранит принятое правило обработки, и блок обработки, который в случае связи с сетью обрабатывает пакет в соответствии с правилом обработки, которое соответствует пакету, посредством обращения к правилу обработки, хранящемуся в блоке хранения. 7 н. и 23 з.п. ф-лы, 24 ил.

Способ для управления сетевым узлом // 2586855

Изобретение относится к управлению сетевыми устройствами в сети. Технический результат заключается в повышении скорости передачи данных. Способ содержит: определение первого пути, который соединяет сетевой узел с общим сетевым узлом источника вдоль первичного дерева сети, и определение второго пути, который соединяет сетевой узел с общим сетевым узлом источника вдоль вторичного дерева сети, причем первый путь и второй путь показывают избыточность по отношению друг к другу; прием в сетевом узле данных многоадресной передачи от общего сетевого узла источника через первый путь; инициацию, посредством сетевого узла, приема данных многоадресной передачи от общего сетевого узла источника через второй путь, если сетевой узел обнаруживает сбой первого пути, причем первичное дерево сети и вторичное дерево сети реализуются как максимально избыточные деревья. 9 н. и 13 з.п. ф-лы, 12 ил.

Способ поочередной односторонней передачи сообщений разобщенными источниками информации в общей зональной сети связи с экспоненциальным распределением временных окон // 2589318

Изобретение относится к вещательным системам односторонней передачи информационных пакетов несколькими источниками сообщений в общей зональной сети связи, являющейся каналом коллективного пользования. Технический результат изобретения заключается в бесконфликтном использовании канала коллективного пользования для односторонней передачи сообщений различными источниками информации. Способ поочередной односторонней передачи сообщений разобщенными источниками информации в общей зональной сети связи, при котором бесконфликтное использование канала коллективного пользования для передачи сообщений разобщенными источниками обеспечивается за счет выявления занятости сети другим объектом-источником информации по приему из этой сети специального маркера, именуемого слово протокола обмена и предваряющего передачу каждого повтора сообщения по используемому методу помехоустойчивого кодирования, определения времени занятости сети и блокирования передачи своей информации на это время, установки дополнительной блокировки передачи информации на время T1i, зависящее от присвоенного каждому источнику сообщений значения приоритета pi в данной сети. 1 ил.

Способ поочередной односторонней передачи сообщений разобщенными источниками информации в общей зональной сети связи с равномерным распределением временных окон // 2589319

Изобретение относится к вещательным системам односторонней передачи информационных пакетов несколькими источниками сообщений в общей зональной сети связи. Технический результат изобретения заключается в бесконфликтном использовании канала коллективного пользования. Способ поочередной односторонней передачи сообщений разобщенными источниками информации в общей зональной сети связи с равномерным распределением временных окон, заключается в выявлении занятости сети другим объектом-источником информации по приему из этой сети специального маркера, предваряющего передачу каждого повтора сообщения по используемому методу помехоустойчивого кодирования, определении времени занятости сети и блокирования передачи передаваемой информации на это время, в установке дополнительной блокировки передачи информации на время, зависящее от присвоенного каждому источнику сообщений значения приоритета pi в данной сети. 1 ил.