用于檢測(cè)采用多個(gè)地址的設(shè)備的基于位置的技術(shù)的制作方法
【專利說明】用于檢測(cè)采用多個(gè)地址的設(shè)備的基于位置的技術(shù)
[0001]相關(guān)申請(qǐng)的交叉引用
[0002]本申請(qǐng)要求于2013年8月8日遞交的美國專利申請(qǐng)N0.13/961,991的優(yōu)先權(quán)�����。
技術(shù)領(lǐng)域
[0003]本公開一般地涉及網(wǎng)絡(luò)安全和/或檢測(cè)采用多個(gè)虛擬機(jī)的設(shè)備��。
【背景技術(shù)】
[0004]當(dāng)攻擊者不斷地重復(fù)請(qǐng)求互聯(lián)網(wǎng)協(xié)議(IP)地址以清空地址池時(shí)�����,會(huì)發(fā)生動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)匱乏攻擊�����。為了緩解這個(gè)問題��,網(wǎng)絡(luò)的無線局域網(wǎng)控制器(WLC)充當(dāng)代理���,并且確保只有來自每個(gè)設(shè)備的一個(gè)請(qǐng)求和/或來自每個(gè)設(shè)備的僅一個(gè)請(qǐng)求被處理����。
【發(fā)明內(nèi)容】
[0005]下面給出了示例實(shí)施例的簡(jiǎn)要概況��,以便提供示例實(shí)施例的一些方面的基本理解��。該概況不是示例實(shí)施例的廣泛概況�。既不希望標(biāo)識(shí)示例實(shí)施例的關(guān)鍵或者主要元件��,也不希望勾畫所附權(quán)利要求的范圍��。唯一目的在于����,以簡(jiǎn)要形式給出示例實(shí)施例的一些概念����,作為隨后給出的更詳細(xì)的描述的序言。
[0006]根據(jù)示例實(shí)施例�����,這里公開了一種基于來自不同地址的多個(gè)請(qǐng)求的位置信息����,確定該多個(gè)請(qǐng)求是否與設(shè)備相關(guān)聯(lián)的技術(shù)。在特定實(shí)施例中���,如果來自設(shè)備的請(qǐng)求的數(shù)目超過了預(yù)定閾值�,則可以采取校正動(dòng)作�。
[0007]根據(jù)示例實(shí)施例,這里公開了一種編碼在有形的、非暫態(tài)計(jì)算機(jī)可讀介質(zhì)中的邏輯��,該邏輯供處理器執(zhí)行并且在被處理器執(zhí)行時(shí)可操作以接收來自設(shè)備的請(qǐng)求���,該請(qǐng)求具有相關(guān)聯(lián)的地址。該邏輯進(jìn)一步可操作以獲取設(shè)備的位置�。該邏輯基于設(shè)備的位置,確定設(shè)備是否已經(jīng)使用與相關(guān)聯(lián)的地址不同的地址做出了至少一個(gè)在先請(qǐng)求�。
[0008]根據(jù)示例實(shí)施例,這里公開了一種裝置�,包括接口、以及可操作地與該接口耦合并且可操作以經(jīng)由該接口獲取數(shù)據(jù)的檢測(cè)邏輯��。該檢測(cè)邏輯可操作以接收來自設(shè)備的針對(duì)互聯(lián)網(wǎng)協(xié)議(IP)地址的請(qǐng)求����,該請(qǐng)求具有相關(guān)聯(lián)的媒體訪問控制(MAC)地址。該檢測(cè)邏輯可操作以獲取設(shè)備的位置�����。該檢測(cè)邏輯可操作以基于設(shè)備的位置��,確定設(shè)備是否已經(jīng)使用與相關(guān)聯(lián)的MAC地址不同的MAC地址做出了針對(duì)IP地址的至少一個(gè)在先請(qǐng)求����。
[0009]根據(jù)示例實(shí)施例����,這里公開了一種方法���,該方法包括接收來自多個(gè)互聯(lián)網(wǎng)協(xié)議(IP)地址的多個(gè)請(qǐng)求���。針對(duì)該多個(gè)請(qǐng)求,一個(gè)或多個(gè)位置被確定���。處理器基于該多個(gè)請(qǐng)求的一個(gè)或多個(gè)位置����,確定請(qǐng)求是否是由單個(gè)設(shè)備發(fā)送的���。
【附圖說明】
[0010]結(jié)合在這里并形成說明書的一部分的附圖示出了示例實(shí)施例����。
[0011]圖1是示出可操作以基于提出請(qǐng)求的設(shè)備的位置來確定該設(shè)備是否正在采用基于該設(shè)備的位置的多個(gè)地址的接入點(diǎn)的框圖���。
[0012]圖2是示出接收來自具有多個(gè)虛擬機(jī)的設(shè)備的請(qǐng)求的接入點(diǎn)的框圖����。
[0013]圖3是示出可操作以檢測(cè)設(shè)備是否正在采用基于該設(shè)備的位置的多個(gè)地址的裝置的示例的框圖。
[0014]圖4示出了采用與視頻監(jiān)控系統(tǒng)耦合的���、可操作以檢測(cè)設(shè)備是否正在采用基于該設(shè)備的位置的多個(gè)地址的裝置的網(wǎng)絡(luò)的示例�����。
[0015]圖5是示出可操作以檢測(cè)設(shè)備是否正在采用基于該設(shè)備的位置的多個(gè)地址的、具有多個(gè)端口的設(shè)備的示例的框圖�。
[0016]圖6是示出可以實(shí)施示例實(shí)施例的計(jì)算機(jī)系統(tǒng)的示例的框圖。
[0017]圖7是用于檢測(cè)設(shè)備是否正在基于該設(shè)備的位置從多個(gè)地址請(qǐng)求網(wǎng)絡(luò)服務(wù)的示例方法���。
[0018]圖8是用于檢測(cè)地址匱乏攻擊的方法的示例�。
【具體實(shí)施方式】
[0019]本說明書提供了不用于限制所附權(quán)利要求的范圍的示例����。附圖一般地示出了示例的特征,其中應(yīng)該理解和明白的是��,相似的參考標(biāo)號(hào)被用來指代相似的元件�����。說明書中對(duì)“一個(gè)實(shí)施例”、或者“實(shí)施例”����、或者“示例實(shí)施例”的引用意味著,所記載的特定特征�����、結(jié)構(gòu)���、或者特性被包括在這里記載的至少一個(gè)實(shí)施例中��,而不暗示該特征����、結(jié)構(gòu)�、或者特性存在于這里記載的所有實(shí)施例中。
[0020]在示例實(shí)施例中���,這里公開了一種基于設(shè)備的位置信息���,確定設(shè)備是否正在使用不同的地址做出多個(gè)請(qǐng)求的技術(shù)。如這里更詳細(xì)記載的�,該技術(shù)被用于做出各種有利判定���,這些判定包括確定設(shè)備是否是諸如虛擬桌面界面(VDI)設(shè)備之類的具有多個(gè)虛擬機(jī)的設(shè)備和/或該設(shè)備是否正在執(zhí)行地址匱乏攻擊。
[0021]圖1是示出可操作以確定提出請(qǐng)求的請(qǐng)求者(設(shè)備)102是否正在采用基于該設(shè)備的位置的多個(gè)地址的接入點(diǎn)(AP)104的框圖���。接入點(diǎn)104包括用于確定提出請(qǐng)求的設(shè)備102是否正在采用基于該設(shè)備的位置的多個(gè)地址的檢測(cè)邏輯(未示出�����,參見例如圖3)����。這里使用的“邏輯”包括但不限于�,硬件����、固件、軟件��、和/或分別執(zhí)行一個(gè)或多個(gè)功能或者一個(gè)或多個(gè)動(dòng)作��、和/或?qū)е聛碜粤硪唤M件的功能或動(dòng)作的組合�。例如,基于期望的應(yīng)用或需要���,邏輯可以包括軟件控制的微處理器��、諸如專用集成電路(ASIC)�����、片上系統(tǒng)(SoC)�、片上可編程系統(tǒng)(PS0C)、可編程/已編程邏輯器件�����、包含指令的存儲(chǔ)器設(shè)備之類的離散邏輯��、或者被具體化在硬件中的組合邏輯���。邏輯還可以被完全具體化為存儲(chǔ)在非暫態(tài)����、有形介質(zhì)中的軟件�����,該軟件在被處理器執(zhí)行時(shí)執(zhí)行所記載的功能�。邏輯可以適當(dāng)?shù)匕ū慌渲脼閳?zhí)行一個(gè)或多個(gè)功能的一個(gè)或多個(gè)模塊�。
[0022]根據(jù)示例實(shí)施例���,AP104接收來自設(shè)備102的請(qǐng)求���,該請(qǐng)求具有相關(guān)聯(lián)的地址。請(qǐng)求可以是針對(duì)網(wǎng)絡(luò)服務(wù)的任意類型的請(qǐng)求�����,諸如包括但不限于請(qǐng)求互聯(lián)網(wǎng)協(xié)議(IP)地址���、請(qǐng)求數(shù)據(jù)�����、視頻、音頻�����、和/或視聽流��、和/或請(qǐng)求對(duì)應(yīng)用的訪問等��。進(jìn)一步地,根據(jù)示例實(shí)施例�����,AP 104隨后獲取設(shè)備104的位置���。AP 104可以確定該位置和/或可以獲取表示來自諸如位置服務(wù)器之類的另一設(shè)備的位置的數(shù)據(jù)���。
[0023]進(jìn)一步地,根據(jù)示例實(shí)施例�����,AP 104基于設(shè)備202的位置�,確定設(shè)備102是否已經(jīng)使用與該請(qǐng)求相關(guān)聯(lián)的地址不同的地址做出了至少一個(gè)在先請(qǐng)求。與該請(qǐng)求相關(guān)聯(lián)的地址可以是諸如媒體訪問控制(MAC)地址的層2(L2)地址����、或者諸如IP地址的層3地址。這里使用的層是指開放系統(tǒng)互聯(lián)(OSI)層�。在示例實(shí)施例中,請(qǐng)求是針對(duì)IP地址的DHCP請(qǐng)求�。AP104中的邏輯在被處理器執(zhí)行時(shí),可操作以確定設(shè)備102對(duì)于IP地址的請(qǐng)求的數(shù)目是否超過了預(yù)定閾值�����。如果來自設(shè)備102的請(qǐng)求的數(shù)目超過了預(yù)定閾值,則AP 104中的邏輯進(jìn)一步可操作以采取校正動(dòng)作���。例如�,AP104中的邏輯有選擇地重新分配先前分配給設(shè)備102的IP地址(例如�����,將它們返回到可用地址池和/或?qū)⑺鼈冎匦路峙浣o其他設(shè)備)����,有選擇地忽略該請(qǐng)求,有選擇地發(fā)送警報(bào)���,和/或有選擇地激活設(shè)備的位置的視頻監(jiān)控�����。
[0024]在示例實(shí)施例中,如果存在來自使用不同地址的同一設(shè)備(例如��,設(shè)備102)的多個(gè)針對(duì)服務(wù)的請(qǐng)求���,AP 104中的邏輯可操作以有選擇地假設(shè)或者推斷設(shè)備采用多個(gè)虛擬機(jī)(VM)并且提供對(duì)于虛擬機(jī)應(yīng)用的支持�。作為另一示例,AP 104中的邏輯進(jìn)一步可操作以確定設(shè)備的帶寬極限�,并且通過針對(duì)不同應(yīng)用和/或會(huì)話使用不同地址來超越其帶寬極限。AP104中的邏輯聚合用于與設(shè)備相關(guān)聯(lián)的不同地址(例如����,IP地址)的帶寬使用;并且響應(yīng)于確定設(shè)備超出了帶寬極限而限制設(shè)備的帶寬。在特定實(shí)施例中��,AP 104中的邏輯進(jìn)一步可操作以確定與設(shè)備相關(guān)聯(lián)的��、正在使用帶寬的應(yīng)用����。例如,AP 104中的應(yīng)用可以有選擇地采用可以從思科系統(tǒng)公司(Cisco Systems��,Inc.��,170 West Tasman Dr.,San Jose ,CA 95134���,www.cisc