专利名称:用于保护网络的方法和设备的制作方法
技术领域:
本发明涉及计算机安全领域,更具体地,涉及阻止对计算机网络 和系统的非授权入侵。
背景技术:
随着藉助于与计算机结合的信息和通信技术的快速发展,信息技 术已变得越来越流行,网络环境和互联网也发生恶意的网络接入,诸 如入侵到服务器系统和传输有害的流量。许多传统的安全解决方案可
用于阻挡恶意网络接入。这些系统在传统上包括在保护网络(protected network)上使用防火墙或专用网络入侵检测系统。
通常人工地或自动地执行入侵检测。人工入侵检测典型地包括检 查登录文件系统记录或入侵签名的其它证据,包括到或来自系统或网 络的网络流量的数量。执行自动入侵检测的系统典型地称为入侵检测 系统(IDS)。 IDS可以是基于主机的,如果它监视系统呼叫或登录的话, 或可以是基于网络的,如果它监视网络分组流的话。传统的IDS通常 是这两个方法的组合。当由传统的IDS发现可能的入侵时,所执行的 典型动作包括把相关的信息记录到文件或数据库,生成电子邮件报警, 或生成到寻呼机或移动电话的消息。
确定可能的入侵实际上是什么和采取某种形式的动作来停止它或 防止它再次发生通常是在入侵检测范围以外的事情。然而,通过入侵 检测系统与诸如防火墙那样的接入控制系统的交互已经实施了某些形 式的自动反应。
外泄检测(extrusion detection)(或外发的入侵检测)是入侵检测的 一个分支,其目的是开发一种机制,该机制用于识别使用计算机系统 的资源来危害其它系统的成功或不成功尝试。外泄检测技术通常集中在分析系统活动和外发的流量,以便检测恶意的用户、网络、恶意软
虽然入侵检测最关心识别进入的攻击(入侵企图),但外泄检测系 统首先尝试阻止发起攻击。他们在保护网络的"叶子,,节点处实施监视 控制-而不是把它们集中在瓶颈处,例如,路由器-以便分布检查工作 负荷和利用系统所具有的、对它自己的状态的可视性。外泄检测的最 终目标是要识别从已经受到危害的系统发起的攻击企图,以便阻止它 们到达它们的目标,由此包含对威胁的影响。
现代IDS和IPS(入侵/外泄防御)技术,在实施时,没有完全解决 与入侵或外泄攻击有关的问题。如果它们确实检测到和启动了防御, 在大多数情形下在目的地处--或者在主机处或者在主机前面的防火墙 处-实施防护。犯规的一个或多个主机可以继续发起入侵(在诸如拒绝 服务(DoS)或分布式DOS(DDoS)的情形下)--阻止包括添加分组过滤器 或动态逻辑来扔掉或忽略进入的违规分组,导致额外的防火墙或主机 处理。
所以,所需要的是用于向违规主机(offending host)通知入侵攻 击以使得在违规主机处采取适当的行动来禁止攻击的进一步传输的方 法。
发明内容
本发明的各实施例提供通过向违规主机通知攻击和根据入侵保护 策略在违规主机处采取行动而保护网络免受入侵攻击的方法。检测由 被耦合到保护网络的违规主机传送的违规分组的入侵。响应于检测到 违规分組的入侵,把阻挡指令返回到违规主机,以在违规主机上发起 入侵保护操作。阻挡指令禁止由违规主机进一步传输违规分组。在某 些实施例中,至少违规分组的一部分与阻挡指令一起被发送回到违规 主机。
在违规主机处,在某些实施例中,接收阻挡指令与该部分的违规 分组。违规主机验证违规分组起源于违规主机,以及根据入侵策略禁止由违规主机发送以后的外发的违规分组。在某些实施例中,入侵保 护操作包括发布事件或错误消息给违规主机的操作员或访问违规主机 处的入侵策略。
在一个实施例中,把第一违规分组的一部分发送回违规主机包括 把违规数据分组的该部分封装到UDP分组中,并把封装后的违规数据 分組的该部分作为通知分组返回到违规主机。在违规主机处,接收包 含部分违规分组的封装后的UDP分组。违规主机验证第一违规分组起 源于违规主机。在某些实施例中,违规主机可以识别在产生违规分组 的违规主机上的违规应用,以及可以终止违规应用。
在另 一个实施例中,检测入侵和返还阻挡指令在操作系统的IP层 处实施。阻挡指令被实施为ICMP消息,以及在某些实施例中,ICMP 消息包含第一违规分组的拷贝。在其它实施例中,检测入侵和返还阻 挡指令在诸如防火墙、路由器或其它计算机那样的网络设备中实施。
结合在本说明书中并构成本说明书的一部分的附图显示本发明的 实施例,以及所述附图连同以上给出的对本发明的一般说明和下面给 出的详细说明一起用来解释本发明的原理。
图1是显示与按照本发明的实施例的入侵保护有关的在入侵攻击 下计算机的行动的流程图。
图2是显示在图1中的计算机通知后在违规的主计算机处的行动 的流程图。
图3是显示由违规主机通过如图1和2所示的保护网络的代理执 行的示例入侵的图。
图4是显示由违规主机在本地网络或在如图1和2所示的保护网 络上执行的示例入侵的图。
图5是适于实施如图1-4所示的入侵保护的计算机的示例性硬件 和软件环境的框图。
具体实施例方式
本发明的实施例提供了通过向违规主机通知攻击和根据入侵保护 策略在违规主机处采取行动而保护网络免受入侵攻击的方法。在被耦 合到保护网络的计算机或其它网络部件上检测违规分组的入侵。在检 测后,阻挡指令被返回到违规主机,以在违规主机上发起入侵保护操 作。入侵保护操作禁止由违规主机进一步传输违规分组。与现代阻止 技术相组合地使用这个方法可以提供对于入侵和外泄攻击的更健壮的 解决方案。
图1显示在保护网络上的计算机或网络部件处采取的行动。网络 部件可以被结合到现代入侵保护中,它在某些实施例中可以是路由器
或防火墙。在方块IO,在保护网络上从违规主机接收分组。这个分组
可以是与入侵(或外泄)攻击有关的类型。正如上面讨论的,入侵和外 泄是要在违规主机处被检测和潜在地阻挡。对于本申请,入侵和外泄 都将称为入侵。计算机或网络部件然后检验分组,以查明它是否为违
规分组,诸如,例如畸形分组、拒绝服务(DoS)或分布式拒绝服务(DDoS) 分组。如果分组被检测为违规分组(判决块12的"yes"分支),则在方块 14,把阻挡指令返回到违规主机。如果分组不是与入侵有关的类型(判 决块12的"no,,分支),则网络部件或计算机继续接收分组。在结合现 代入侵保护操作的其它实施例中,可以采取如上对于IDS和IPS实施 方案讨论的其它行动。
单个违规主机可以发送违规分组到在许多网络上的许多计算机。 这又可以生成过大的网络流量,因为每个计算机把数据发送回到违规 主机。为了有助于减小网络流量的数量,在某些实施例中阻挡指令可 以在保护网络中的计算机上实施以便将其周期性地发送到违规主机, 而不是在接收到违规分組时发送。阻挡指令的传输可被设置成使得传 输间隔性地被发送,但不大于预定的次数。如果违规主机正在接收多 于某个数目的阻挡指令,则多个接收可能表明在违规主机处有应当被 解决的实际问题。
在违规主机处,正如在图2的流程图上看到的那样,在方块20,接收阻挡指令。违规主机验证阻挡指令多半从主机发起。分组的验证 在某些实施例中是通过当可应用时,诸如在本地网络上,检验与分组
有关的MAC地址而完成,或对于其它实施例,验证可以通过检验源 和目的地IP地址和/或违规分组的源和目的地端口而完成。如果违规 主才几确定分组起源于该主才几(判决块22的"yes"分支),则在方块24, 向在违规主机上实施的入侵策略咨询适当的行动过程。然后在方块25 发起入侵保护操作,以根据入侵策略禁止违规分组的进一步传输。如 果违规主机确定分组不是起源于该主机(判决块22的"no"分支),则违 规主机检验以查明它是否正在接收阻挡指令的多个实例。如果主机正 在接收对于看起来不是起源于违规主机的分组的阻挡指令的多个实例 (判决块26的"yes,,分支),则在方块24,咨询入侵策略,以及在方块 25,发起适当的入侵保护操作。如果主机没有正在接收阻挡指令的多 个实例,则在某些实施例中,在方块27,可以向入侵策略咨询用于错 误检测的行动过程。
入侵策略可以被实施,因而在没有通过人的交互或其它自动的手 段来自违规主机的许可的情况下将不采取行动。这些策略可被实施来 防止粗暴的阻挡指令关断在"违规"的主计算机上运行的有效应用。 因此,用于违规主机的策略可以仅仅将入侵保护操作规定为登录系统 中的违规主机的入侵或事件记录。在某些实施例中,也可以通过在主 机上发布消息,或通过发送错误消息到操作员而通知违规主机的操作 员。违规主机还可规定入侵保护操作以通过电子邮件或通过使用诸如 发送消息给个人数字助理或蜂窝电话那样的其它电子传输而把消息发 送到其它位置。 一旦操作员被告知有入侵攻击,操作员就可以通过识 别入侵源而采取附加行动。取决于入侵的类型,操作员可以关断违规 主机或主机上的负责生成违规分组的应用执行。
在本地的或更可信的网络上,例如,如果入侵是DoS入侵,则由 策略规定的入侵保护操作可以允许自动关断负责生成DoS的应用或过 程。类似地,对于畸形分组,由策略引导的入侵保护操作可以自动关 断应用或引导违规主机自动停止畸形分组的进一步传输。然而,如果阻挡指令起源于在不同的网络或远端网络上的计算机,则可以有较低 级别的信任,以及可以实施用来驱动由违规主机采取的入侵保护操作 的策略,以使得通过发布事件或错误消息或以如上所讨论的某些其它 方式发送通信到操作员而告知操作员有入侵攻击。入侵策略的实施方 式是一种帮助避免使用阻挡指令来作为针对其它计算机上运行的合法 且有效的应用的攻击的方法。在计算机与违规主机之间存在的更多信 任可以允许更自动的入侵保护操作,以补救确认的入侵。
在某些情形下,如图3所示,入侵可以通过代理发生。违规主机 30通过代理计算机32发送违规分组到互联网34或其它局域网或广域 网。违规分组到达保护网络36,在某些实施例中,保护网络36可以 由防火墙38保护。计算机40a-40d可以检测来自代理计算机32的入 侵,和把阻挡指令发送回到代理计算机32。代理计算机32可能没有 检测到入侵起源于它自己,如以上参照图2讨论的那样,但是可能能 够通过入侵策略确定分組起源于原先的违规主机30。在进行检测后, 在某些实施例中,代理计算机32可以按照入侵策略发出入侵保护操 作,该操作关断在代理计算机32处的传输或通知操作员,正如上面讨 论的那样。在其它实施例中,代理计算机32可以修改违规分组,以具 有违规主机30的正确标识,例如,IP地址和端口,然后把阻挡指令 发送回到违规主机30,在违规主机30处可以釆取适当的行动。在再 一个实施例中,入侵保护操作可以根据在代理计算机32处的策略以及 发送阻挡指令到违规主机30而被实施。
在某些实施例中,用于入侵保护的阻挡指令可以在操作系统的IP 层处被实施,以及使用类似于ICMP REDIRECT或ICMP ECHO RESPONSE的操作系统呼叫。专门的ICMP消息、ICMP BLOCK可 被实施来包容阻挡指令。这将有助于阻止黑客改变入侵处理逻辑(例 如,通过使用数字签名)。因为许多入侵是由诈骗应用发起的,在操作 系统中具有保护逻辑可以有助于阻止从应用层发起的那些入侵。现在 参照图4,被连接到互联网52的违规主机50在例如通过本地网络54 被连接的计算机58a上,或在通过互联网52连接的和远离违规主机50的保护网络的计算机64a上发起入侵。在某些实施例中,保护网络 60可以由防火墙62或在阻止入侵攻击时使用的其它已知的部件被保 护。在网络60上的计算机64a-64d可以是作为入侵攻击的对象的服务 器。
当入侵在网络60上通过防火墙62或其它检测设备(例如计算机 64a )被检测到时,以ICMP BLOCK形式的阻挡指令被发送回到违规 主机50,该阻挡指令表明它是入侵的发起者。例如,计算机64a把包 含关于入侵的类型的信息和在某些实施例中,作为入侵的一部分发送 的分组的一部分的ICMP BLOCK发送回到违规主机50。取决于入侵 的类型,例如DoS,入侵策略可以在违规主机50上被实施,其根据所 接收的ICMP BLOCK确定适当的行动。在这阶段,违规主机的操作 员可以被给予要采取的适当行动的选项列表,如以上讨论的那样。在 本例中,违规主机50多半不是与例如计算机64a有关的可信主机,因 为两个计算机是在不同的网络上。所以,用于违规主机50的策略可以
把入侵保护操作仅仅规定为记录在系统中的违规主机50的入侵或事 件日志。
继续参照图4,从违规主机50发起的入侵攻击也可以被引导到本 地网络54上的计算机58a-58c,以及通过互联网52被引导到保护网络 60。使用类似于以上讨论的那样的过程,入侵攻击在计算机处,例如 在计算机58a处被检测。在检测后,计算机5Sa把ICMP BLOCK发 送回到违规主机50。正如以上讨论的那样,ICMP BLOCK可包含具 有由违规主机50使用的附加信息的违规分组的一部分,以验证违规分 组起源于主机50。 一旦被验证,违规主机50可以根据在计算机58a 与违规主机50之间的信任的级别而釆取两个不同的方法。例如,如果 所实施的入侵策略认识到在计算机58a与违规主机50之间的可信关 系,即,都是同一个局域网的一部分,由入侵策略规定的入侵保护操 作可以允许自动关断负责生成违规分组,诸如DoS,的应用或过程。 对于畸形分组,类似地,由入侵策略引导的入侵保护操作可以自动关 断应用或引导违规主机50自动停止畸形分组的传输。可替换地,在其它实施例中,入侵策略可以实施在美国专利申请序列号为
No.ll/752,972 (ROC920070033US1)中公开的"Variable Dynamic Throttling (可变动态调节)",该专利申请在此引用以供参考。可变动 态调节允许改变在定制的时间间隔内网络流量的拒绝和允许的比率。 然而,如果不是可信关系,诸如以前讨论的与在不同网络60上的计算 机64a的关系,则信任的级别可能是较低的,以及驱动由违规主机50 采取的入侵保护操作的策略可以限于通过发布事件或错误消息或以某 个其它方式发送通信到操作员而通知操作员有入侵攻击。正如以上讨 论的,入侵策略可被使用来帮助阻止使用ICMP BLOCKS作为对于在 其它计算机上运行的合法和有效的应用的攻击。在诸如计算机58a的 计算机与违规主机50之间存在的更多信任可以允许更自动的入侵保 护操作,以补救已确认的入侵。
在其它实施例中,代替在操作系统的IP层上实施入侵检测和通 知,服务器可以在被配置成监听UDP端口的每个计算机上被实施。入 侵检测过程和通知包括类似的步骤,但不用发送ICMP BLOCK, UDP 消息与违规分組的至少一部分被封装在一起,并被发送到违规主机的 UDP端口。 一旦在UDP端口上被接收,就根据实施的入侵策略和适 当的入侵保护操作进行类似的处理。因为这个方法不是在操作系统, 而是包括ICMP消息的IP层,中实施的,操作系统API可能需要结 合入侵保护操作被使用,以与应用和过程交互,以便关断它们或发送 通知到操作员。使用UDP消息将需要服务器在所有的计算机上执行, 这可以通过把服务器包装为操作系统组的一部分而更容易实现。
图5显示用于设备70的示例性硬件和软件环境,它可以被配置为 在图3和4中的违规主机30, 50,在图3上的代理计算机32,或在图 3和4上的本地网络或远端网络36, 54和60上的任何计算才几。对于 本发明,设备70实际上可以代表任何计算机,计算机系统,或可编程 的设备,例如多用户或单用户计算机,台式计算机,便携式计算机和 设备,手持设备,网络设备,移动电话等等。设备70此后将称为"计 算机",尽管应当意识到,术语"设备,,也可以包括其它适当的可编程电子设备,诸如路由器或防火墙。
计算机70典型地包括至少一个被耦合到存储器74的处理器72。 处理器72可以代表一个或多个处理器(例如,微处理器),和存储器74 可以代表随机存取存储器(RAM)器件,该器件包括计算机70的主存储 装置,以及任何补充级别的存储器,例如,高速緩存存储器、非易失 性或备份存储器(例如,可编程或快闪存储器)、只读存储器等等。另 外,存储器74可被看作为包括物理上位于计算机70中的其它地方的 存储器装置,例如,在处理器72中的任何高速緩存存储器,以及被用 作为虚拟存储器的任何存储容量,例如被存储在大容量存储器件76或 经由网络78被耦合到计算机70的另 一个计算机。
计算机70还典型地接收多个输入和输出以便外部传送信息。对于 与用户或搮作员的接口 ,计算机70典型地包括一个或多个用户输入设 备80(例如,键盘、鼠标、跟踪球、游戏棒、触摸板、小键盘、笔尖(stylus)、 和/或话筒等等)。计算机70还可包括显示器82(例如,CRT监视器、 LCD显示板、和/或扬声器等等)。到计算机70的接口还可以通过被直 接或远程地连接到计算机70的外部终端,或通过经由网络78、调制 解调器或其它类型的通信设备与计算机70通信的另一个计算机。
计算机70在操作系统84的控制下运行,以及执行或否则依赖于 各种计算机软件应用、部件、程序、对象、模块、数据结构等等(例如, 应用86),合在一起称为"目标"。应用86例如可以是如以上讨论的、 发起到另一个系统或网络上的入侵的应用,或应用86可以是在这个或 另一个计算机上的违规应用入侵的目标。计算机70在网络78上通过 网络接口 88使用网络协议(例如,在IP层90上实施的)和/或例如在操 作系统84上实施的端口(例如,UDP端口92)通信。
通常,被执行来实施本发明的实施例的子程序,不管被实施为操 作系统的一部分或特定的应用;部件,程序,对象,模块,或指令序 列,在这里将被称为"计算机程序代码"或简称为"程序代码"。计算机 程序代码典型地包括一个或多个指令,该指令在不同的时间在计算机 中的各种存储器和存储装置中驻留,并且在由计算机中的一个或多个处理器读出和执行时使得该计算机执行对于执行实现本发明的各种方 面的步骤或单元所必须的步骤。而且,虽然本发明是结合有全部功能 的计算机和计算机系统描述的,但本领域技术人员将会认识到,本发
明的各种实施例能够作为各种不同形式的程序产品分布,以及本发明 可以不管所使用的计算机可读媒体的具体类型同样地应用来实际上实 行该分布。计算机可读媒体的例子包括但不限于,物理的、可记录类 型的媒体,诸如易失性和非易失性存储器器件、软盘和其它可拆卸的
盘、硬盘驱动、光盘(例如,CD-ROM, DVD等)等等,以及传输型 媒体,诸如数字和模拟通信链路。
另外,这里描述的各种程序代码可以根据在本发明的特定实施例 中实施该代码的应用或软件部件被识别。然而,应当认识到,这里使 用的任何具体的程序命名仅仅是为了方便,因此本发明不应当限于仅 仅在由这样的命名识别的和/或暗指的任何特定应用中使用。而且,在
给定计算机程序可被组织成子程序、过程、方法、模块、对象等等的 典型地无穷的方式,以及程序功能可以放置在驻留于典型的计算机中 的各种软件层(例如,操作系统、库、API、应用、应用小程序等) 之间的各种方式后,应当意识到,本发明不限于这里描述的程序功能 的特定组织和分配。
本领域技术人员将会认识到,图5所示的示例性环境不打算限制 本发明。而是,本领域技术人员将会认识到,可以使用其它替换的硬 件和/或软件环境,而不背离本发明的范围。
虽然本发明的所有的内容是通过各种实施例的说明被显示的,并 且这些实施例是相当详细地描述的,但本申请人不打算把所附权利要 求的范围限制于或以任何形式限定于这样的细节。附加的优点和修改 方案,诸如把本技术应用于现有的网络安全系统,对于本领域技术人 员是显而易见的。因而,本发明在它的更广泛的方面不限于所显示和 描述的具体细节、代表性设备和方法、以及说明性例子。因此,可以 偏离这样的细节而不背离申请人的总的发明性概念的精神或范围。
权利要求
1. 一种保护网络免受入侵的方法,所述方法包括检测由被耦合到保护网络的违规主机传送的违规分组的入侵;以及响应于检测到违规分组的入侵,把阻挡指令返回到违规主机以在违规主机上发起入侵保护操作,其中阻挡指令禁止由违规主机进一步传输违规分组。
2. 根据权利要求l的方法,其中发送阻挡指令还包括 至少把违规分组的一部分与阻挡指令一起发送回违规主机。
3. 根据权利要求2的方法,其中入侵保护操作包括,在违规主机处接收阻挡指令和该部分的违规分组;验证违规分组起源于违规主机;以及根据入侵策略禁止由违规主机发送以后的外发的违规分组。
4. 根据权利要求3的方法,其中验证还包括 比较与第一违规分组和违规主机有关的相应的MAC地址。
5. 根据权利要求3的方法,其中验证还包括 比较与第一违规分組和违规主机有关的源和目的地IP地址。
6. 根据权利要求3的方法,其中验证还包括 检验与第一违规分组和违规主机有关的TCP或UDP源和目的地端口。
7. 根据权利要求3的方法,其中违规分组是TCP分组,以及验 证还包括检验与第 一违规分组和违规主机有关的序列号。
8. 根据权利要求3的方法,其中禁止发送还包括 把以后的违规分组返回到违规应用,其中第一违规分组和以后的违规分組起源于违规应用;以及 结束与违规应用的连接。
9. 根据权利要求2的方法,其中至少把第一违规分组的一部分发 送回违规主机还包括把该部分的违规数据分组封装到UDP分组中;以及 把封装后的该部分的违规数据分组作为通知分组返回到违规主机。
10. 根据权利要求9的方法,其中入侵保护操作包括,在违规主 机处接收包含该部分的违规分組的封装后的UDP分组;以及 验证第 一违规分组起源于违规主机。
11. 根据权利要求10的方法,其中入侵保护操作包括,在违规主 机处识别产生违规分组的违规主机上的违规应用;以及 终止违规应用。
12. 根据权利要求l的方法,其中入侵保护操作包括,在违规主 机处发布事件或错误消息给违规主机的操作员。
13. 根据权利要求l的方法,其中入侵保护操作包括 访问违规主机上的入侵策略。
14. 根据权利要求l的方法,其中检测入侵和返回阻挡指令在IP 层实施。
15. 根据权利要求14的方法,其中阻挡指令是ICMP消息。
16. 根据权利要求15的方法,其中ICMP消息包含第一违规分 组的拷贝。
17. 根据权利要求l的方法,其中检测入侵和返回阻挡指令在网 络设备中实施。
18. 根据权利要求17的方法,其中网络设备是防火墙、路由器或 计算机。
19. 一种保护网络免受入侵的方法,所述方法包括 在主机处接收阻挡指令和违规分组的一部分,其中违规分组是与入侵攻击有关的类型;验证违规分组起源于主机;以及响应于对于违规分组起源于主机的验证,在主机上发起入侵保护 操作,由此禁止由主机发送以后的外发的违规分组。
20. 根据权利要求19的方法,其中主机包括 被配置为代理的第一主机;以及产生违规分組和通过代理发送违规分组的第二主机。
21. 根据权利要求20的方法,其中代理把阻挡指令发送到第二主机.
22. —种设备,包括 处理器;以及程序代码,程序代码被配置成由处理器执行以保护网络免受在主 机处的入侵,程序代码位于存储器中并被配置成接收阻挡指令和违规 分组的一部分,验证违规分组起源于主机,以及响应于对于违规分组 起源于主机的验证,在主机上发起入侵保护操作,由此禁止由主机发 送以后的外发的违规分组。
23. 根据权利要求22的设备,其中计算机是被配置为代理的第一 计算机,设备还包括具有存储器的第二计算机;以及违规应用的程序代码,该程序代码位于第二计算机的存储器中, 并被配置成产生违规分组并通过代理发送违规分组, 其中阻挡指令在代理处被接收。
24. 根据权利要求23的设备,其中代理还被配置成把阻挡指令发 送到第二计算机。
全文摘要
提供了用于保护网络免受入侵的方法、设备和程序产品。检测由被耦合到保护网络的违规主机传送的违规分组。响应于检测,把阻挡指令返回到违规主机,以在违规主机处发起入侵保护操作,其中阻挡指令禁止由违规主机进一步传输违规分组。在违规主机处,接收阻挡指令和部分的违规分组。违规主机验证违规分组起源于主机。响应于对于违规分组起源于主机的验证,在主机上发起入侵保护操作,由此禁止由主机发送以后的外发的违规分组。
文档编号H04L12/56GK101420425SQ200810170090
公开日2009年4月29日 申请日期2008年10月22日 优先权日2007年10月23日
发明者A·T·克拉克, C·T·格罗伊, K·A·特里, 丹尼尔·P·考尔兹 申请人:国际商业机器公司