[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP2003289337A - 通信網およびルータおよび分散型サービス拒絶攻撃検出防御方法 - Google Patents

通信網およびルータおよび分散型サービス拒絶攻撃検出防御方法

Info

Publication number
JP2003289337A
JP2003289337A JP2002091785A JP2002091785A JP2003289337A JP 2003289337 A JP2003289337 A JP 2003289337A JP 2002091785 A JP2002091785 A JP 2002091785A JP 2002091785 A JP2002091785 A JP 2002091785A JP 2003289337 A JP2003289337 A JP 2003289337A
Authority
JP
Japan
Prior art keywords
function
counting
tcp
alarm
communication network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2002091785A
Other languages
English (en)
Other versions
JP3643087B2 (ja
Inventor
Kohei Shiomoto
公平 塩本
Masaru Katayama
勝 片山
Naoaki Yamanaka
直明 山中
Masanori Uga
雅則 宇賀
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2002091785A priority Critical patent/JP3643087B2/ja
Publication of JP2003289337A publication Critical patent/JP2003289337A/ja
Application granted granted Critical
Publication of JP3643087B2 publication Critical patent/JP3643087B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

(57)【要約】 【課題】 分散型サービス拒絶攻撃のような悪意のある
ユーザからの高度な攻撃を検出し、悪意呼の網流入の制
限や停止を行う。 【解決手段】 通信網における複数のボーダルータがT
CP−SYNパケットを監視し、宛先毎にTCP−SY
Nパケットを計数および集計し、この集計結果を複数の
ボーダルータ相互間で交換することにより、これらのボ
ーダルータを経由して当該通信網に流入するTCP−S
YNパケットを監視し、同一宛先に対して異常な個数で
流入するTCP−SYNパケットについては、これを分
散型サービス拒絶攻撃を目的とするTCP−SYNパケ
ットと判断してこの流入を抑制する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明はIP通信網における
DOS攻撃(Denial of Services attack)に対処するイ
ンターネットセキュリティ向上技術の分野に属する。
【0002】
【従来の技術】分散型サービス拒絶攻撃(DDOSA:D
istributed Denial of Services Attack)について、図
7ないし図9を参照して説明する。図7は従来の通信網
の概念図である。図8は3ウェイハンドシェークを説明
するための図である。図9はTCP/IPパケットのフ
ォーマットを示す図である。1〜4は外部通信網で、外
部通信網1にはルータ10〜12が、外部通信網2には
ルータ20〜22が、外部通信網3にはルータ30〜3
2が、外部通信網4にはルータ40〜42がそれぞれ属
している。
【0003】ボーダルータ44〜49が通信網5により
それぞれ結ばれている。分散型サービス拒絶攻撃をしか
ける悪意のあるユーザは複数の分散したサイト端末13
および23から外部通信網1内のルータ10および外部
通信網2内のルータ20を経由して通信網5内のターゲ
ットサーバ57に、TCP−SYN(コネクション確立
要求)パケット攻撃を一斉にしかける。
【0004】これらのTCP−SYNパケットがそれぞ
れ図8に示す3ウェイハンドシェークでTCPセッショ
ン確立を試み、この3ウェイハンドシェークのセッショ
ン途中で悪意のあるユーザのサイト端末13側あるいは
23側がセッション放棄する。すなわち、図8において
悪意のあるユーザのサイト端末13あるいは23はの
TCP−ACK(確認応答)+SYNパケットを受信し
てものTCP−ACKパケットを出さない。これによ
りターゲットサーバ57は、このTCP−ACKパケッ
トの待ちの状態を続けるので、このようなTCP−SY
Nパケット攻撃を頻繁に多数受けるとターゲットサーバ
57は過負荷状態に陥りサーバ機能が停止してしまう。
【0005】TCPセッションの確立時におけるTCP
−SYNパケットの働きおよびTCP/IPパケットの
フォーマットの概要を以下に説明する。図9はTCP/
IPパケットのフォーマット説明図である。TCP/I
PパケットはIP通信網の基本的な通信手順であるTC
PとIPのパケットであり、その詳しい構成がIPヘッ
ダ(IP header)、TCPヘッダ(TCP header)として図9
に示されている。IPヘッダは宛先のサーバやルータの
アドレス(Destination Address:以下DAと略す)や発信
元アドレス(Source Address:以下SAと略す)などを含
む20Byteで構成され、TCPヘッダはSYN(コ
ネクション確立要求(SYN=1))やACK(確認応
答(ACK=1))などの制御フラグを含む20Byt
e(オプション無し)の構成である。
【0006】図8の3ウェイハンドシェークによる通信
確立を詳細に説明する。TCP/IPによるコネクショ
ンの確立はまずサイト端末13がTCP−SYNパケッ
ト(図9でSYN=1としたパケット)を送信先のター
ゲットサーバ57に送ると(図8の)、ターゲットサ
ーバ57はTCP−ACK+SYNパケット(図9でA
CK=1、SYN=1としたパケット)を送り返し(図
8の)、ここで端末が正常な端末であればTCP−A
CKパケット(図9でACK=1としたパケット)を送
り返し(図3の)、このの段階で“3ウェイハンド
シェーク”が成立し、サイト端末13とターゲットサー
バ57による通信が開始する段取りであるが、悪意のあ
るユーザのサイト端末13がTCP−SYNパケット攻
撃をする場合にはTCP−ACKパケットを送り返さ
ず、ターゲットサーバ57はこのパケット待ちの状態を
続けるので、このようなTCP−SYNパケット攻撃を
頻繁に多数受けるとターゲットサーバ57は過負荷状態
に陥りサーバ機能が停止してしまう。
【0007】
【発明が解決しようとする課題】このように、分散型サ
ービス拒絶攻撃は、悪意のあるユーザが複数の分散した
サイト端末を踏み台にし、特定のWebサーバに無数の
TCPセッション確立を試みることで過負荷にする攻撃
であり、TCPセッションの送信元が分散しているた
め、悪意のあるユーザのサイト端末を特定するのが困難
であり、拒絶攻撃に対する対策を立てることも困難であ
る。
【0008】本発明は、このような背景に行われたもの
であって、分散型サービス拒絶攻撃のような悪意のある
ユーザからの高度な攻撃を検出し、悪意呼の網流入の制
限や停止を行うなど的確なアクションをとることにより
ターゲットサーバが過負荷に陥ることを免れることがで
きる通信網およびルータおよびプログラムおよび記録媒
体および分散型サービス拒絶攻撃検出防御方法を提供す
ることを目的とする。
【0009】
【課題を解決するための手段】本発明は、通信網におけ
る複数のボーダルータがTCP−SYNパケットを監視
し、宛先毎にTCP−SYNパケットを計数および集計
し、この集計結果を複数のボーダルータ相互間で交換す
ることにより、これらのボーダルータを経由して当該通
信網に流入するTCP−SYNパケットを監視し、同一
宛先に対して異常な個数で流入するTCP−SYNパケ
ットについては、これを分散型サービス拒絶攻撃を目的
とするTCP−SYNパケットと判断してこの流入を抑
制することを特徴とする。
【0010】すなわち、本発明の第一の観点は、複数の
外部通信網にそれぞれ接続された複数のボーダルータを
備えた通信網であって、本発明の特徴とするところは、
前記ボーダルータは、自通信網に流入するコネクション
確立要求を含むTCP−SYNパケットを監視する手段
を備え、この監視する手段は、同一宛先アドレスを有す
るTCP−SYNパケットの個数を計数する手段と、こ
の計数する手段の計数結果を他ボーダルータに通知する
手段と、他ボーダルータからの前記計数する手段の計数
結果を受け取る手段と、この受け取る手段により受け取
った他ボーダルータにおける計数結果および前記計数す
る手段による自ボーダルータの計数結果に基づき計数結
果を集計する手段とを備え、この集計する手段は、前記
計数結果の所定時間内の増加率を検出する手段と、この
検出する手段の検出結果が閾値を超えるときには前記同
一宛先アドレスの情報を含む警報を発出する手段とを備
えたところにある。
【0011】さらに、前記集計する手段は、集計された
同一宛先アドレスを有するTCP−SYNパケットの送
信元アドレスを特定する手段を備え、前記警報を発出す
る手段は、前記検出する手段の検出結果が閾値を超える
ときには当該特定する手段により特定された送信元アド
レスの情報を前記警報に書込む手段を備えることもでき
る。
【0012】前記警報を発出する手段から発出された警
報に基づき当該警報に含まれる前記同一宛先アドレスま
たは前記送信元アドレスを有するTCP−SYNパケッ
トの当該通信網への流入を抑制する手段を備えることが
望ましい。
【0013】これにより、分散型サービス拒絶攻撃を行
っている悪意のあるユーザのサイト端末が特定できれ
ば、宛先アドレスによるTCP−SYNパケット流入抑
制とともに送信元アドレスによる流入抑制も行えるた
め、宛先アドレスのみによる流入抑制と比較してより確
実な流入抑制効果を期待することができる。
【0014】例えば、宛先アドレスによるTCP−SY
Nパケットの流入抑制では、悪意のあるユーザのサイト
端末以外の一般の端末からのTCP−SYNパケットも
流入が抑制されてしまう可能性があるが、送信元アドレ
スによる流入抑制ができれば、悪意のあるユーザのサイ
ト端末によるものとそうでないものとを区別して抑制す
ることができる。さらに、このサイト端末のユーザに対
して以後、このような行為を行わないように警告を送付
することもできる。
【0015】前記通知する手段および前記受け取る手段
は、I−BGP(Internet-Border Gateway Protocol)を
用いて前記計数結果を送受信する手段を備えることが望
ましい。すなわち、TCP−IPはインターネット通信
の基本である第3層、第4層に関する通信であるのに対
し、I−BGPは動的経路プロトコルであり、AS(自
立システム)内で使用する境界ゲートウェイプロトコル
による通信機能である。これにより、通常のデータ通信
とは異なる独立した確実かつ速やかな通信を行うことが
できるので、分散型サービス拒絶攻撃を確実かつ速やか
に検出して防御することができる。
【0016】本発明の第二の観点はルータであって、本
発明の特徴とするところは、外部通信網に接続され、自
通信網に流入するコネクション確立要求を含むTCP−
SYNパケットを監視する手段を備え、この監視する手
段は、同一宛先アドレスを有するTCP−SYNパケッ
トの個数を計数する手段と、この計数する手段の計数結
果を他ボーダルータに通知する手段と、他ボーダルータ
からの前記計数する手段の計数結果を受け取る手段と、
この受け取る手段により受け取った他ボーダルータにお
ける計数結果および前記計数する手段による自ボーダル
ータの計数結果に基づき計数結果を集計する手段とを備
え、この集計する手段は、前記計数結果の所定時間内の
増加率を検出する手段と、この検出する手段の検出結果
が閾値を超えるときには前記同一宛先アドレスの情報を
含む警報を発出する手段とを備えたところにある。
【0017】前記集計する手段は、集計された同一宛先
アドレスを有するTCP−SYNパケットの送信元アド
レスを特定する手段を備え、前記警報を発出する手段
は、前記検出する手段の検出結果が閾値を超えるときに
は当該特定する手段により特定された送信元アドレスの
情報を前記警報に書込む手段を備えることもできる。
【0018】前記警報を発出する手段から発出された警
報に基づき当該警報に含まれる前記同一宛先アドレスま
たは前記送信元アドレスを有するTCP−SYNパケッ
トの当該通信網への流入を抑制する手段を備えることが
望ましい。
【0019】前記通知する手段および前記受け取る手段
は、I−BGPを用いて前記計数結果を送受信する手段
を備えることが望ましい。
【0020】本発明の第三の観点はプログラムであっ
て、本発明の特徴とするところは、情報処理装置にイン
ストールすることにより、その情報処理装置に、外部通
信網に接続されたルータを制御する装置に相応する機能
として、自通信網に流入するコネクション確立要求を含
むTCP−SYNパケットを監視する機能を実現させ、
この監視する機能として、同一宛先アドレスを有するT
CP−SYNパケットの個数を計数する機能と、この計
数する機能の計数結果を他ボーダルータに通知する機能
と、他ボーダルータからの前記計数する機能の計数結果
を受け取る機能と、この受け取る機能により受け取った
他ボーダルータにおける計数結果および前記計数する機
能による自ボーダルータの計数結果に基づき計数結果を
集計する機能とを実現させ、この集計する機能として、
前記計数結果の所定時間内の増加率を検出する機能と、
この検出する機能の検出結果が閾値を超えるときには前
記同一宛先アドレスの情報を含む警報を発出する機能と
を実現させるところにある。
【0021】前記集計する機能として、集計された同一
宛先アドレスを有するTCP−SYNパケットの送信元
アドレスを特定する機能を実現させ、前記警報を発出す
る機能として、前記検出する機能の検出結果が閾値を超
えるときには当該特定する機能により特定された送信元
アドレスの情報を前記警報に書込む機能を実現させるこ
ともできる。
【0022】前記警報を発出する機能から発出された警
報に基づき当該警報に含まれる前記同一宛先アドレスま
たは前記送信元アドレスを有するTCP−SYNパケッ
トの当該通信網への流入を抑制する機能を実現させるこ
とが望ましい。
【0023】前記通知する機能および前記受け取る機能
として、I−BGPを用いて前記計数結果を送受信する
機能を実現させることが望ましい。
【0024】本発明の第四の観点は、本発明のプログラ
ムが記録された前記情報処理装置読取可能な記録媒体で
ある。本発明のプログラムは本発明の記録媒体に記録さ
れることにより、前記情報処理装置は、この記録媒体を
用いて本発明のプログラムをインストールすることがで
きる。あるいは、本発明のプログラムを保持するサーバ
からネットワークを介して直接前記情報処理装置に本発
明のプログラムをインストールすることもできる。
【0025】これにより、コンピュータ装置等の情報処
理装置を用いて、分散型サービス拒絶攻撃のような悪意
のあるユーザからの高度な攻撃を検出し、悪意呼の網流
入の制限や停止を行うなど的確なアクションをとること
によりターゲットサーバが過負荷に陥ることを免れるこ
とができるルータを備えた通信網を実現することができ
る。
【0026】本発明の第五の観点は、複数の外部通信網
にそれぞれ接続された複数のボーダルータを備えた通信
網に適用される分散型サービス拒絶攻撃検出防御方法で
あって、本発明の特徴とするところは、前記ボーダルー
タにより、自通信網に流入するコネクション確立要求を
含むTCP−SYNパケットを監視し、同一宛先アドレ
スを有するTCP−SYNパケットの個数を計数し、こ
の計数結果を他ボーダルータに通知するとともに他ボー
ダルータからの計数結果を受け取り、この受け取った他
ボーダルータにおける計数結果および自ボーダルータの
計数結果に基づき計数結果を集計し、この計数結果の所
定時間内の増加率を検出し、この検出結果が閾値を超え
るときには前記同一宛先アドレスの情報を含む警報を発
出するところにある。
【0027】集計された同一宛先アドレスを有するTC
P−SYNパケットの送信元アドレスを特定し、警報を
発出する際には、この特定された送信元アドレスの情報
を前記警報に書込むこともできる。
【0028】発出された警報に基づき当該警報に含まれ
る前記同一宛先アドレスまたは前記送信元アドレスを有
するTCP−SYNパケットの当該通信網への流入を抑
制することが望ましい。
【0029】前記ボーダルータ相互間では、I−BGP
を用いて前記計数結果を送受信することが望ましい。
【0030】
【発明の実施の形態】本発明実施例の通信網を図1ない
し図6を参照して説明する。図1は本実施例の通信網の
概念図である。図2は本実施例のボーダルータの機能構
成図である。図3および図4は本実施例の異常パケット
検出手順を示す図である。図5は本実施例のボーダルー
タの動作を示すフローチャートである。図6は本実施例
の図1より多くの攻撃地点を有する通信網の概念図であ
る。
【0031】本実施例は、図1に示すように、複数の外
部通信網1〜4にそれぞれ接続された複数のボーダルー
タ51〜56を備えた通信網5であって、本実施例の特
徴とするところは、ボーダルータ51〜56は、図2に
示すように、自通信網5に流入するコネクション確立要
求を含むTCP−SYNパケットを監視する分散型サー
ビス拒絶攻撃検出防御部515を備え、この分散型サー
ビス拒絶攻撃検出防御部515は、同一宛先アドレスを
有するTCP−SYNパケットの個数を計数する流入T
CP−SYNパケット計数機能511と、この流入TC
P−SYNパケット計数機能511の計数結果を他ボー
ダルータに通知するとともに、他ボーダルータからの流
入TCP−SYNパケット計数機能511による前記計
数結果を受け取るI−BGP通信機能513と、このI
−BGP通信機能513により受け取った他ボーダルー
タにおける計数結果および流入TCP−SYNパケット
計数機能511による自ボーダルータの計数結果に基づ
き計数結果を集計する流入パケット異常判定機能512
とを備え、この流入パケット異常判定機能512は、前
記計数結果の所定時間内の増加率を検出し、この検出結
果が閾値を超えるときには前記同一宛先アドレスの情報
を含む警報を発出するところにある。
【0032】また、悪意のあるユーザのサイト端末が他
の端末に成り代わっていない場合には、流入パケット異
常判定機能512は、集計された同一宛先アドレスを有
するTCP−SYNパケットの送信元アドレスを特定す
ることができ、当該特定された送信元アドレスの情報を
前記警報に書込むことができる。
【0033】ルータ基本機能510は、流入パケット異
常判定機能512から発出された警報に基づき当該警報
に含まれる前記同一宛先アドレスまたは前記送信元アド
レスを有するTCP−SYNパケットの当該通信網への
流入を抑制する。
【0034】また、I−BGP通信機能513は、I−
BGPを用いて前記計数結果を送受信する。
【0035】以下では、本実施例をさらに詳細に説明す
る。
【0036】本実施例の通信網5は、図1に示すよう
に、ボーダルータ51〜56が通信網5に流入するTC
P−SYNパケットをモニタし、宛先毎のTCP−SY
Nパケットを計数および集計し、全ボーダルータ51〜
56はTCP−SYNパケットの前記集計の結果として
の情報をI−BGPを用いて相互に交換通知しあい、悪
意呼であるTCP−SYNパケットが異常に流入すると
判明したボーダルータ51および52は送信元のサイト
端末13および23からのターゲットサーバ57宛のT
CP−SYNパケットの流入量を抑制するかあるいは全
て廃棄することでターゲットサーバ57は過負荷の状態
から解放される。
【0037】図2に示すように、ルータ基本機能510
は、IPパケットを宛先ホストに届けるための中継(ル
ーティング)機能をはじめ各種ネットワーク層(第3
層)プロトコルに対応したマルチプロトコル機能を含ん
でいる。また、本実施例では、流入パケット異常判定機
能512から発出される警報に基づき、TCP−SYN
パケットを廃棄する機能も備えている。
【0038】流入TCP−SYNパケット計数機能51
1はTCP−SYNパケットの送信元IPアドレス、宛
先IPアドレス、情報量、時刻に対応して当該パケット
数を計数する。また、流入パケット異常判定機能512
は、流入TCP−SYNパケット計数機能511の計数
結果を時系列的に比較して単位時間当りの集計データが
正常かあるいは異常かを判定する。例えば、単位時間Δ
t当り増加率が100倍になれば異常と判定する。
【0039】TCP−IP通信機能514はインターネ
ット通信の基本である第3層、第4層に関する通信機能
である。また、I−BGP通信機能513は動的経路プ
ロトコルであり、AS(自立システム)内で使用する境
界ゲートウェイプロトコルによる通信機能である。
【0040】各ボーダルータ51〜56は通信網5に流
入する全てのTCP−SYNパケットを監視しており、
その監視の結果、例えば、ボーダルータ51が悪意のあ
るユーザのサイト端末13からの宛先がターゲットサー
バ57であるTCP−SYNパケットが単位時間Δt当
り増加率で100倍になり異常に多いと判定した場合に
は、当該パケットの例えば99%を破棄し、またボーダ
ルータ52が悪意のあるユーザのサイト端末23からの
宛先がターゲットサーバ57であるTCP−SYNパケ
ットが異常に多いと判定した場合には、当該パケットの
例えば99%を破棄する。このようにしてターゲットサ
ーバ57が過負荷に陥ることを未然に防止できる。
【0041】ボーダルータ51によるTCP−SYNパ
ケットの監視は自らの流入TCP−SYNパケット計数
機能511によるデータ分とI−BGP通信機能513
により他のボーダルータ52〜56からI−BGP動的
経路プロトコルを用いて入手したデータ分とがあり、こ
の両データ分を併せて流入パケット異常判定機能512
で異常判定を行う。
【0042】図3および図4は異常パケット検出手順を
示している。図3の例では、まず、流入TCP−SYN
パケット計数機能511により、TCP flagでS
YN=1のTCP−SYNパケットを抽出し、パケット
ヘッダのDA(宛先IPアドレス)を引き出してエント
リに追加し、そのエントリにマッチしたもの毎にカウン
トアップする。続いて、流入パケット異常判定機能51
2により、SYNパケットが集中している特定のDAを
見つけ出す。図4の例では、TCP−SYNパケットが
集中したDA=218.60.32.1のパケットのリ
ストアップ状況が示され、集中しているこのDAのリス
ト表上でさらに、SA(送信元IPアドレス)毎に仕分
けし、送信元の特定をする。このようにしてターゲット
サーバがDA=218.60.32.1であり、悪意の
あるユーザのサイト端末のSAが判明する。
【0043】DDOSが巧妙な場合はSA毎の仕分けは
困難な場合がある。例えば悪意のあるユーザのサイト端
末13が他の外部通信網2〜3内の端末のIPアドレス
を盗用して成り代わり端末攻撃をする場合にはSA毎の
仕分けは無意味となる。
【0044】図5は本実施例のボーダルータの動作を示
すフローチャートである。
【0045】ステップ1:各ボーダルータ51〜56に
おいて流入するTCP−SYNパケットを流入TCP−
SYNパケット計数機能511がモニタし、DAのリス
トを作成して計数する(図3)。モニタ計数時間は時刻
(T0+nΔt)から時刻(T0+(n+1)Δt)と
する(n=0,1,2,3,…) ステップ2:各ボーダルータの流入TCP−SYNパケ
ット計数機能511は集中しているDAのリスト上でS
A毎に仕分け計数する(図4) ステップ3:時刻(T0+nΔt)からの単位時間Δt
の計数情報としてステップ2の出力リストの上位5位お
よび増加率上位5位のDAおよびSA情報をI−BGP
通信機能513により、それぞれ他のボーダルータに通
知する ステップ4:各ボーダルータ毎に流入TCP−SYNパ
ケット計数機能511はステップ2の出力情報とステッ
プ3の出力情報とから時刻(T0+nΔt)のΔtの単
位時間の間に全ボーダルータから流入したTCP−SY
Nパケットにつき、SAのIPアドレス、DAのIPア
ドレス、情報量、時刻に対応して当該パケット数を計数
し、流入パケット異常判定機能512は、単位時間Δt
当りの増加パケット数を集計してランクアップする ステップ5:流入パケット異常判定機能512により、
単位時間当りの増加率が例えば100倍になるSAまた
はDAがあるかを判定する。“ある”場合はステップ6
へ、“なし”の場合はステップ4へ ステップ6:単位時間当りの増加率が100倍になるS
AまたはDAを有するTCP−SYNパケットが流入す
るボーダルータのルータ基本機能510は流入量を抑制
あるいはこのパケットを全パケット廃棄する このようにして悪意呼によるターゲットサーバ57の過
負荷を防ぐことが可能となる。
【0046】また、図6に示すように、悪意のあるユー
ザのサイト端末はサイト端末13、23に加えてサイト
端末33、43と多くの地点からターゲットサーバ57
を攻撃する場合は、宛先IPアドレスがターゲットサー
バ57である悪意呼のTCP−SYNパケットが多く検
出されるのは、ボーダルータ51、52、54、55で
あるという判定が各ボーダルータ51〜56でなされ、
この宛先IPアドレスがターゲットサーバ57である悪
意呼のTCP−SYNパケットは例えば99%が各ボー
ダルータ51、52、54、55にて破棄され、ターゲ
ットサーバ57は過負荷を免れる。
【0047】本実施例のボーダルータ51〜56を制御
する装置は情報処理装置であるコンピュータ装置を用い
て実現することができる。すなわち、コンピュータ装置
にインストールすることにより、そのコンピュータ装置
に、外部通信網1〜4に接続されたボーダルータ51〜
56を制御する装置に相応する機能として、自通信網に
流入するコネクション確立要求を含むTCP−SYNパ
ケットを監視する分散型サービス拒絶攻撃検出防御部5
15に相応する機能を実現させ、この分散型サービス拒
絶攻撃検出防御部515に相応する機能として、同一宛
先アドレスを有するTCP−SYNパケットの個数を計
数する流入TCP−SYNパケット計数機能511と、
この流入TCP−SYNパケット計数機能511の計数
結果を他ボーダルータに通知するとともに、他ボーダル
ータからの流入TCP−SYNパケット計数機能511
の計数結果を受け取るI−BGP通信機能513と、こ
のI−BGP通信機能513により受け取った他ボーダ
ルータにおける計数結果および流入TCP−SYNパケ
ット計数機能511による自ボーダルータの計数結果に
基づき計数結果を集計する流入パケット異常判定機能5
12とを実現させ、この流入パケット異常判定機能51
2として、前記計数結果の所定時間内の増加率を検出す
る機能と、この検出する機能の検出結果が閾値を超える
ときには前記同一宛先アドレスの情報を含む警報を発出
する機能と、集計された同一宛先アドレスを有するTC
P−SYNパケットの送信元アドレスを特定する機能と
を実現させ、前記警報を発出する機能として、前記検出
する機能の検出結果が閾値を超えるときには当該特定す
る機能により特定された送信元アドレスの情報を前記警
報に書込む機能を実現させ、さらに、前記警報を発出す
る機能から発出された警報に基づき当該警報に含まれる
前記同一宛先アドレスまたは前記送信元アドレスを有す
るTCP−SYNパケットの当該通信網への流入を抑制
する機能を実現させ、さらに、I−BGP通信機能51
3として、I−BGPを用いて前記計数結果を送受信す
る機能を実現させるプログラムをコンピュータ装置にイ
ンストールすることにより、そのコンピュータ装置を本
実施例のボーダルータ51〜56を制御する装置に相応
する装置とすることができる。
【0048】本実施例のプログラムは本実施例の記録媒
体に記録されることにより、コンピュータ装置は、この
記録媒体を用いて本実施例のプログラムをインストール
することができる。あるいは、本実施例のプログラムを
保持するサーバからネットワークを介して直接コンピュ
ータ装置に本実施例のプログラムをインストールするこ
ともできる。
【0049】これにより、コンピュータ装置を用いて、
分散型サービス拒絶攻撃のような悪意のあるユーザから
の高度な攻撃を検出し、悪意呼の網流入の制限や停止を
行うなど的確なアクションをとることによりターゲット
サーバが過負荷に陥ることを免れることができるボーダ
ルータ51〜56を備えた通信網5を実現することがで
きる。
【0050】(実施例まとめ)EC(Electric Commerc
e)が発展するにつれて、Webサイトの保護はセキュリ
ティの観点から今後ますます重要となる。本実施例によ
れば分散型サービス拒絶攻撃のような悪意のあるユーザ
からの高度な攻撃を検出し、悪意呼の通信網流入の制限
や停止を行うなど的確なアクションをとることによりタ
ーゲットサーバが過負荷に陥ることを免れることができ
る。
【0051】
【発明の効果】以上説明したように、本発明によれば、
分散型サービス拒絶攻撃のような悪意のあるユーザから
の高度な攻撃を検出し、悪意呼の網流入の制限や停止を
行うなど的確なアクションをとることによりターゲット
サーバが過負荷に陥ることを免れることができる。
【図面の簡単な説明】
【図1】本実施例の通信網の概念図。
【図2】本実施例のボーダルータの機能構成図。
【図3】本実施例の異常パケット検出手順を示す図。
【図4】本実施例の異常パケット検出手順を示す図。
【図5】本実施例のボーダルータの動作を示すフローチ
ャート。
【図6】本実施例の図1より多くの攻撃地点を有する通
信網の概念図。
【図7】従来の通信網の概念図。
【図8】3ウェイハンドシェークを説明するための図。
【図9】TCP/IPパケットのフォーマットを示す
図。
【符号の説明】
1〜4 外部通信網 5 通信網 10〜12、20〜22、30〜32、40〜42 ル
ータ 13、23、33、43 サイト端末 44〜49、51〜56 ボーダルータ 57 ターゲットサーバ 510 ルータ基本機能 511 流入TCP−SYNパケット計数機能 512 流入パケット異常判定機能 513 I−BGP通信機能 514 TCP−IP通信機能 515 分散型サービス拒絶攻撃検出防御部
───────────────────────────────────────────────────── フロントページの続き (72)発明者 山中 直明 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 (72)発明者 宇賀 雅則 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 Fターム(参考) 5K030 GA15 HA08 HB08 HC01 HD03 HD06 LC13 MB09

Claims (17)

    【特許請求の範囲】
  1. 【請求項1】 複数の外部通信網にそれぞれ接続された
    複数のボーダルータを備えた通信網において、 前記ボーダルータは、自通信網に流入するコネクション
    確立要求を含むTCP−SYNパケットを監視する手段
    を備え、 この監視する手段は、 同一宛先アドレスを有するTCP−SYNパケットの個
    数を計数する手段と、 この計数する手段の計数結果を他ボーダルータに通知す
    る手段と、 他ボーダルータからの前記計数する手段の計数結果を受
    け取る手段と、 この受け取る手段により受け取った他ボーダルータにお
    ける計数結果および前記計数する手段による自ボーダル
    ータの計数結果に基づき計数結果を集計する手段とを備
    え、 この集計する手段は、 前記計数結果の所定時間内の増加率を検出する手段と、 この検出する手段の検出結果が閾値を超えるときには前
    記同一宛先アドレスの情報を含む警報を発出する手段と
    を備えたことを特徴とする通信網。
  2. 【請求項2】 前記集計する手段は、集計された同一宛
    先アドレスを有するTCP−SYNパケットの送信元ア
    ドレスを特定する手段を備え、 前記警報を発出する手段は、前記検出する手段の検出結
    果が閾値を超えるときには当該特定する手段により特定
    された送信元アドレスの情報を前記警報に書込む手段を
    備えた請求項1記載の通信網。
  3. 【請求項3】 前記警報を発出する手段から発出された
    警報に基づき当該警報に含まれる前記同一宛先アドレス
    または前記送信元アドレスを有するTCP−SYNパケ
    ットの当該通信網への流入を抑制する手段を備えた請求
    項1または2記載の通信網。
  4. 【請求項4】 前記通知する手段および前記受け取る手
    段は、I−BGP(Internet-Border Gateway Protocol)
    を用いて前記計数結果を送受信する手段を備えた請求項
    1記載の通信網。
  5. 【請求項5】 外部通信網に接続され、 自通信網に流入するコネクション確立要求を含むTCP
    −SYNパケットを監視する手段を備え、 この監視する手段は、 同一宛先アドレスを有するTCP−SYNパケットの個
    数を計数する手段と、 この計数する手段の計数結果を他ボーダルータに通知す
    る手段と、 他ボーダルータからの前記計数する手段の計数結果を受
    け取る手段と、 この受け取る手段により受け取った他ボーダルータにお
    ける計数結果および前記計数する手段による自ボーダル
    ータの計数結果に基づき計数結果を集計する手段とを備
    え、 この集計する手段は、 前記計数結果の所定時間内の増加率を検出する手段と、 この検出する手段の検出結果が閾値を超えるときには前
    記同一宛先アドレスの情報を含む警報を発出する手段と
    を備えたことを特徴とするルータ。
  6. 【請求項6】 前記集計する手段は、集計された同一宛
    先アドレスを有するTCP−SYNパケットの送信元ア
    ドレスを特定する手段を備え、 前記警報を発出する手段は、前記検出する手段の検出結
    果が閾値を超えるときには当該特定する手段により特定
    された送信元アドレスの情報を前記警報に書込む手段を
    備えた請求項5記載のルータ。
  7. 【請求項7】 前記警報を発出する手段から発出された
    警報に基づき当該警報に含まれる前記同一宛先アドレス
    または前記送信元アドレスを有するTCP−SYNパケ
    ットの当該通信網への流入を抑制する手段を備えた請求
    項5または6記載のルータ。
  8. 【請求項8】 前記通知する手段および前記受け取る手
    段は、I−BGPを用いて前記計数結果を送受信する手
    段を備えた請求項5記載のルータ。
  9. 【請求項9】 情報処理装置にインストールすることに
    より、その情報処理装置に、 外部通信網に接続されたルータを制御する装置に相応す
    る機能として、 自通信網に流入するコネクション確立要求を含むTCP
    −SYNパケットを監視する機能を実現させ、 この監視する機能として、 同一宛先アドレスを有するTCP−SYNパケットの個
    数を計数する機能と、 この計数する機能の計数結果を他ボーダルータに通知す
    る機能と、 他ボーダルータからの前記計数する機能の計数結果を受
    け取る機能と、 この受け取る機能により受け取った他ボーダルータにお
    ける計数結果および前記計数する機能による自ボーダル
    ータの計数結果に基づき計数結果を集計する機能とを実
    現させ、 この集計する機能として、 前記計数結果の所定時間内の増加率を検出する機能と、 この検出する機能の検出結果が閾値を超えるときには前
    記同一宛先アドレスの情報を含む警報を発出する機能と
    を実現させることを特徴とするプログラム。
  10. 【請求項10】 前記集計する機能として、集計された
    同一宛先アドレスを有するTCP−SYNパケットの送
    信元アドレスを特定する機能を実現させ、 前記警報を発出する機能として、前記検出する機能の検
    出結果が閾値を超えるときには当該特定する機能により
    特定された送信元アドレスの情報を前記警報に書込む機
    能を実現させる請求項9記載のプログラム。
  11. 【請求項11】 前記警報を発出する機能から発出され
    た警報に基づき当該警報に含まれる前記同一宛先アドレ
    スまたは前記送信元アドレスを有するTCP−SYNパ
    ケットの当該通信網への流入を抑制する機能を実現させ
    る請求項9または10記載のプログラム。
  12. 【請求項12】 前記通知する機能および前記受け取る
    機能として、I−BGPを用いて前記計数結果を送受信
    する機能を実現させる請求項9記載のプログラム。
  13. 【請求項13】 請求項9ないし12のいずれかに記載
    のプログラムが記録された前記情報処理装置読取可能な
    記録媒体。
  14. 【請求項14】 複数の外部通信網にそれぞれ接続され
    た複数のボーダルータを備えた通信網に適用される分散
    型サービス拒絶攻撃(DDOSA:DistributedDenial o
    f Services Attack)検出防御方法において、 前記ボーダルータにより、自通信網に流入するコネクシ
    ョン確立要求を含むTCP−SYNパケットを監視し、
    同一宛先アドレスを有するTCP−SYNパケットの個
    数を計数し、この計数結果を他ボーダルータに通知する
    とともに他ボーダルータからの計数結果を受け取り、こ
    の受け取った他ボーダルータにおける計数結果および自
    ボーダルータの計数結果に基づき計数結果を集計し、こ
    の計数結果の所定時間内の増加率を検出し、この検出結
    果が閾値を超えるときには前記同一宛先アドレスの情報
    を含む警報を発出することを特徴とする分散型サービス
    拒絶攻撃検出防御方法。
  15. 【請求項15】 集計された同一宛先アドレスを有する
    TCP−SYNパケットの送信元アドレスを特定し、警
    報を発出する際には、この特定された送信元アドレスの
    情報を前記警報に書込む請求項14記載の分散型サービ
    ス拒絶攻撃検出防御方法。
  16. 【請求項16】 発出された警報に基づき当該警報に含
    まれる前記同一宛先アドレスまたは前記送信元アドレス
    を有するTCP−SYNパケットの当該通信網への流入
    を抑制する請求項14または15記載の分散型サービス
    拒絶攻撃検出防御方法。
  17. 【請求項17】 前記ボーダルータ相互間では、I−B
    GPを用いて前記計数結果を送受信する請求項14記載
    の分散型サービス拒絶攻撃検出防御方法。
JP2002091785A 2002-03-28 2002-03-28 通信網およびルータおよび分散型サービス拒絶攻撃検出防御方法 Expired - Fee Related JP3643087B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002091785A JP3643087B2 (ja) 2002-03-28 2002-03-28 通信網およびルータおよび分散型サービス拒絶攻撃検出防御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002091785A JP3643087B2 (ja) 2002-03-28 2002-03-28 通信網およびルータおよび分散型サービス拒絶攻撃検出防御方法

Publications (2)

Publication Number Publication Date
JP2003289337A true JP2003289337A (ja) 2003-10-10
JP3643087B2 JP3643087B2 (ja) 2005-04-27

Family

ID=29236786

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002091785A Expired - Fee Related JP3643087B2 (ja) 2002-03-28 2002-03-28 通信網およびルータおよび分散型サービス拒絶攻撃検出防御方法

Country Status (1)

Country Link
JP (1) JP3643087B2 (ja)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005252808A (ja) * 2004-03-05 2005-09-15 Fujitsu Ltd 不正アクセス阻止方法、装置及びシステム並びにプログラム
JP2006013737A (ja) * 2004-06-24 2006-01-12 Fujitsu Ltd 異常トラヒック除去装置
WO2006051594A1 (ja) * 2004-11-11 2006-05-18 Mitsubishi Denki Kabushiki Kaisha 通信ネットワークにおけるipパケット中継方法およびゲートウエイ装置
JP2006238043A (ja) * 2005-02-24 2006-09-07 Mitsubishi Electric Corp ネットワーク異常検出装置
JP2008311722A (ja) * 2007-06-12 2008-12-25 Nextgen Inc 呼制御装置及び呼制御方法
US7568232B2 (en) 2004-05-27 2009-07-28 Fujitsu Limited Malicious access-detecting apparatus, malicious access-detecting method, malicious access-detecting program, and distributed denial-of-service attack-detecting apparatus
US7733844B2 (en) 2004-05-26 2010-06-08 Kabushiki Kaisha Toshiba Packet filtering apparatus, packet filtering method, and computer program product
KR101343693B1 (ko) 2007-02-05 2013-12-20 주식회사 엘지씨엔에스 네트워크 보안시스템 및 그 처리방법
JP2016163180A (ja) * 2015-03-02 2016-09-05 日本電気株式会社 通信システム、通信方法、及びプログラム
WO2019240054A1 (ja) * 2018-06-11 2019-12-19 国立大学法人 東京大学 通信装置、パケット処理方法及びプログラム

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001057554A (ja) * 1999-08-17 2001-02-27 Yoshimi Baba クラッカー監視システム
JP2002073433A (ja) * 2000-08-28 2002-03-12 Mitsubishi Electric Corp 侵入検知装置及び不正侵入対策管理システム及び侵入検知方法
JP2002252654A (ja) * 2001-02-23 2002-09-06 Mitsubishi Electric Corp 侵入検出装置およびシステムならびにルータ

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001057554A (ja) * 1999-08-17 2001-02-27 Yoshimi Baba クラッカー監視システム
JP2002073433A (ja) * 2000-08-28 2002-03-12 Mitsubishi Electric Corp 侵入検知装置及び不正侵入対策管理システム及び侵入検知方法
JP2002252654A (ja) * 2001-02-23 2002-09-06 Mitsubishi Electric Corp 侵入検出装置およびシステムならびにルータ

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005252808A (ja) * 2004-03-05 2005-09-15 Fujitsu Ltd 不正アクセス阻止方法、装置及びシステム並びにプログラム
US7457965B2 (en) 2004-03-05 2008-11-25 Fujitsu Limited Unauthorized access blocking apparatus, method, program and system
JP4480422B2 (ja) * 2004-03-05 2010-06-16 富士通株式会社 不正アクセス阻止方法、装置及びシステム並びにプログラム
US7733844B2 (en) 2004-05-26 2010-06-08 Kabushiki Kaisha Toshiba Packet filtering apparatus, packet filtering method, and computer program product
US7568232B2 (en) 2004-05-27 2009-07-28 Fujitsu Limited Malicious access-detecting apparatus, malicious access-detecting method, malicious access-detecting program, and distributed denial-of-service attack-detecting apparatus
JP2006013737A (ja) * 2004-06-24 2006-01-12 Fujitsu Ltd 異常トラヒック除去装置
WO2006051594A1 (ja) * 2004-11-11 2006-05-18 Mitsubishi Denki Kabushiki Kaisha 通信ネットワークにおけるipパケット中継方法およびゲートウエイ装置
JP2006238043A (ja) * 2005-02-24 2006-09-07 Mitsubishi Electric Corp ネットワーク異常検出装置
JP4490307B2 (ja) * 2005-02-24 2010-06-23 三菱電機株式会社 ネットワーク異常検出装置及びコンピュータプログラム及びネットワーク異常検出方法
KR101343693B1 (ko) 2007-02-05 2013-12-20 주식회사 엘지씨엔에스 네트워크 보안시스템 및 그 처리방법
JP2008311722A (ja) * 2007-06-12 2008-12-25 Nextgen Inc 呼制御装置及び呼制御方法
JP2016163180A (ja) * 2015-03-02 2016-09-05 日本電気株式会社 通信システム、通信方法、及びプログラム
US10313238B2 (en) 2015-03-02 2019-06-04 Nec Corporation Communication system, communication method, and non-transitiory computer readable medium storing program
WO2019240054A1 (ja) * 2018-06-11 2019-12-19 国立大学法人 東京大学 通信装置、パケット処理方法及びプログラム

Also Published As

Publication number Publication date
JP3643087B2 (ja) 2005-04-27

Similar Documents

Publication Publication Date Title
US7870611B2 (en) System method and apparatus for service attack detection on a network
US7921460B1 (en) Rate limiting data traffic in a network
US7246376B2 (en) Method and apparatus for security management in a networked environment
US20110138463A1 (en) Method and system for ddos traffic detection and traffic mitigation using flow statistics
US6973040B1 (en) Method of maintaining lists of network characteristics
US7930740B2 (en) System and method for detection and mitigation of distributed denial of service attacks
EP2792178B1 (en) Method for detection of persistent malware on a network node
US9083737B2 (en) Mitigating threats in a network
US20090240804A1 (en) Method and apparatus for preventing igmp packet attack
Huang et al. Countering denial-of-service attacks using congestion triggered packet sampling and filtering
KR20120060655A (ko) 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크
US20050120090A1 (en) Device, method and program for band control
KR101352553B1 (ko) 플로우별 통계정보를 이용한 분산 서비스 거부 공격(ddos) 탐지 및 트래픽 경감 방법 및 그 시스템
JP2003289337A (ja) 通信網およびルータおよび分散型サービス拒絶攻撃検出防御方法
JP4278593B2 (ja) アプリケーション型サービス不能攻撃に対する防御方法およびエッジ・ルータ
JP2005086520A (ja) クライアントサーバ型サービスにおける輻輳制御システム
WO2019096104A1 (zh) 攻击防范
JP2007259223A (ja) ネットワークにおける不正アクセスに対する防御システム、方法およびそのためのプログラム
US8646081B1 (en) Method and system to detect a security event in a packet flow and block the packet flow at an egress point in a communication network
JP4322179B2 (ja) サービス拒絶攻撃防御方法およびシステム
Hayashi et al. Method for detecting low-rate attacks on basis of burst-state duration using quick packet-matching function
JP4602158B2 (ja) サーバ装置保護システム
KR101466895B1 (ko) VoIP 불법 검출 방법, 이를 수행하는 VoIP 불법 검출 장치 및 이를 저장하는 기록매체
WO2019035488A1 (ja) 制御装置、通信システム、制御方法及びコンピュータプログラム
JP2004120498A (ja) 違法トラヒック防止システムおよびサーバおよびエッジルータ

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050119

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050125

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20050126

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080204

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090204

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090204

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100204

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110204

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110204

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120204

Year of fee payment: 7

LAPS Cancellation because of no payment of annual fees