[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP2005005994A - Network attack preventing device, network attack preventing method, network attack prevention program and recording medium with its program recorded thereon - Google Patents

Network attack preventing device, network attack preventing method, network attack prevention program and recording medium with its program recorded thereon Download PDF

Info

Publication number
JP2005005994A
JP2005005994A JP2003166619A JP2003166619A JP2005005994A JP 2005005994 A JP2005005994 A JP 2005005994A JP 2003166619 A JP2003166619 A JP 2003166619A JP 2003166619 A JP2003166619 A JP 2003166619A JP 2005005994 A JP2005005994 A JP 2005005994A
Authority
JP
Japan
Prior art keywords
packet
network attack
priority
address
interface
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003166619A
Other languages
Japanese (ja)
Other versions
JP3917557B2 (en
Inventor
Koichi Okada
浩一 岡田
Hitoshi Fuji
仁 冨士
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2003166619A priority Critical patent/JP3917557B2/en
Publication of JP2005005994A publication Critical patent/JP2005005994A/en
Application granted granted Critical
Publication of JP3917557B2 publication Critical patent/JP3917557B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a technology to be performed to a device existing on a network for preventing attack using any illegal packet. <P>SOLUTION: This network attack preventing device is provided with a means for testing whether or not the transmission origin address of a packet to be inputted from an interface connected to the outside is an address registered in the interface, and for abandoning the packet when the address is not registered in order to prevent the inflow of the packet whose transmission origin address is illegally altered, a means for applying a priority identifier for delivering the packet with high priority to the packet when both the transmission origin and transmission destination of the packet are directly connected to the interface in order to give high priority to the communication of devices directly connected to the interface, and for applying the priority identifier for delivering the packet with low priority to the packet in the other case and a means for preferentially delivering the packet to the transmission destination according to the priority identifier. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明は、ネットワーク上に存在する装置に対して行われる不正なパケットを使った攻撃を防止するためのネットワーク攻撃防止装置及びその方法と、そのネットワーク攻撃防止技術の実現に用いられるネットワーク攻撃防止プログラム及びそのプログラムを記録した記録媒体とに関する。
【0002】
最近、サーバに対してDoS攻撃を行うことで、他のユーザがそのサーバへアクセスすることを困難にすることが行われている。
【0003】
「DoS攻撃(Denial of Service 攻撃:サービス拒否攻撃)」とは、インターネット等を通じて不特定多数のユーザからアクセス可能なサーバに対して、攻撃者が不正な通信パケットを送ることにより、サーバや通信経路上の装置のリソース(処理能力や転送可能帯域)を消費するなどの悪影響を与えて、他のユーザがそのサーバへアクセスすることを困難にする攻撃である。
【0004】
【従来の技術】
DoS攻撃を大きく分類すると以下の3つのものがある。
【0005】
(A)攻撃を実施する送信元装置から、異常な形式のパケットをサーバに送信することにより、送信先装置や通信経路上の装置の処理に異常を起こさせてサーバのサービス継続を困難にするもの(異常パケット送信型DoS攻撃)。
【0006】
(B)単体または少数の送信元装置から、それぞれ大量の正常な形式のパケットをサーバに送信することにより、サーバのリソースや、経路上の回線帯域を消費し、正規利用者からのアクセスを困難にするもの(大量パケット送信型DoS攻撃)。
【0007】
(C)多数の送信元装置から、それぞれ少量の正常な形式のパケットをサーバに向けて送り、結果として大量の攻撃パケットがサーバに送られることにより、サーバのリソースや、経路上の回線帯域を消費し、正規利用者からのアクセスを困難にするもの(高度分散型DoS攻撃)。
【0008】
上述の(C)に分類される攻撃として主要なものに、以下の2つの攻撃がある。
【0009】
(C1)攻撃者で無い者が管理する装置が、セキュリティの観点での運用が不充分なために、攻撃者によって踏み台として利用されるもの。たとえば、セキュリティホールの修正プログラムを適用していないことや、コンピュータウィルス駆除ソフトウェアを使用していないことにより、攻撃者により攻撃用のプログラムを埋め込まれ、その結果として攻撃に利用されてしまうものが該当する(運用不備装置を利用した高度分散型DoS攻撃)。
【0010】
(C2)攻撃者で無い者が管理する装置が、セキュリティの観点での運用が充分であっても、受け取ったパケットに対する返答パケットが攻撃パケットとして利用されることにより、攻撃者に踏み台として利用されるもの。たとえば、一般公開された多数のWebサーバに対して、攻撃者が標的となる装置のアドレスを送信元アドレスとして偽装したパケットを送ることにより、それらの多数のWebサーバからの返答パケットを標的となる装置へ返させることで、標的となる装置のリソースを消費させるという攻撃が該当する(分散反射型DoS攻撃)。
【0011】
次に、(A)に関する対策の従来技術と、(B)に関する対策の従来技術とについて説明する。
【0012】
(A)に関する対策としては、サーバあるいは通信経路上の装置をシステムのバージョンアップや修正プログラムを実施することにより改良・修正し、異常な形式のパケットによって処理上の異常を起こさないようにする方法や、サーバ内あるいは、サーバと送信元装置との間の通信経路上の装置で、異常な形式のパケットを破棄する方法がある。後者の場合、パケットの形式が異常であることの判定は、主にパターンマッチングによって行なわれる。
【0013】
(B)に関する対策としては、パケットの送信元ごとに、送信してきたパケットの量を比較し、他のユーザにくらべて大量のパケットを送信する送信元からのパケットを遮断あるいは送信量の制限を行う方式がある。送信元の特定は、パケットヘッダ内のIPアドレスによって行われる場合があるが、IPアドレスの偽装が行われていると送信元の特定を正しく行うことができなくなるため、パケットの配送経路上のパケット転送装置を特定するための情報をパケットに埋め込む方法や、標的となっているサーバに対するパケットの送信量を経路上の装置ごとに測定することにより、攻撃を行った装置を特定するなどの方法がある。
【0014】
なお、DoS攻撃に対する対策として提供されている従来技術として、下記の非特許文献1に記載されるものがある。
【0015】
【非特許文献1】
FloodGuard〔平成15年4月4日検索〕、インターネット<URL:http://www.reactivenetwork.com/products/floodguard2point1.pdf >
【0016】
【発明が解決しようとする課題】
このように、(A)に関する対策や、(B)に関する対策については従来技術で提供されていた。
【0017】
しかしながら、(C)に関する対処としては、従来では充分な対処方法がなかった。
【0018】
その理由は、多数の送信元装置により攻撃が行われる際に、一つの送信元装置が送る攻撃パケットの量や送信パターンは正規利用者が送るものと変わらないことから、パケット送信量や送信パターンによる区別では攻撃元を特定することが困難であるためである。
【0019】
このようなことを背景にして、本出願人は、先に出願した特願2003−111741で、上述した(C1)で説明した高度分散型DoS攻撃から公開サーバなどを防御できるようにする新たなネットワーク攻撃防止技術に係る発明を出願した。
【0020】
本発明は、さらに、このようなことを背景にして、上述した(C2)で説明した分散反射型DoS攻撃からネットワーク上の装置を防御できるようにする新たなネットワーク攻撃防止技術の提供を目的とする。
【0021】
【課題を解決するための手段】
本発明のネットワーク攻撃防止装置は、パケットの入出力を行う複数のインタフェイスを用意し、各々のインタフェイスにそのインタフェイスから入力されるパケットの持つべき発信元アドレスの一覧を登録しておく構成を採る。
【0022】
そして、本発明のネットワーク攻撃防止装置は、この構成の下に、ネットワーク上に存在する装置に対して行われる不正なパケットを使った攻撃を防止するための処理を行うために、(1)外部と接続されたインタフェイスから入力されたパケットの送信元アドレスが、そのインタフェイスに登録されているアドレスであるのか否かを検査して、登録されているアドレスである場合にはパケットの入力を受け付け、登録されているアドレスでない場合にはパケットを破棄することにより、送信元アドレスを不正に偽装した他のインタフェイスから入力されるべきパケットの流入を防止する偽装パケット流入防止部と、(2)パケットの送信元と送信先の両方がインタフェイスに直接接続されている場合には、そのパケットに対して高い優先度で配送を行うための優先識別子を付与し、その両方またはいずれか一方が外部のネットワークなどを経由してインタフェイスに間接的に接続されている場合には、そのパケットに対して低い優先度で配送を行なうための優先識別子を付与する優先識別子付与部とを備え、(3)これに加えて、優先識別子付与部により付与された優先識別子に応じて優先的に送信先にパケットを配送する優先制御転送部を備えることがある。
【0023】
ここで、以上の各処理手段をコンピュータプログラムで実現することも可能であり、コンピュータプログラムで実現した場合には、このコンピュータプログラムは、半導体メモリなどの記録媒体に記録して提供したり、ネットワークを介して提供することができる。
【0024】
このように、本発明のネットワーク攻撃防止装置は、内部に優先制御転送部を持ち、この優先制御転送部と外部に接続されるインタフェイスとは、インタフェイス毎に用意された偽装パケット流入防止部および優先識別子付与部を介して接続される。各インタフェイスには、予めそのインタフェイスから内部に向けての流入が許可されるパケットの送信元アドレスが登録されている。
【0025】
ここで、インタフェイスにアドレスが登録されるというのは、そのインタフェイスを介して本発明の装置に接続された送信元装置あるいは送信先装置のアドレスがインタフェイス毎に登録されることを意味し、そのインタフェイスのアドレスそのものとして割り当てられることではない。
【0026】
外部から流入するパケットがその送信元アドレスとして他のインタフェイスに登録されているアドレスを不正に使用している場合、偽装パケット流入防止部は、入力されたパケットの送信元アドレスが入力インタフェイスに登録されているアドレスと一致しないことを確認することにより、そのパケットの送信元が偽装されていると判断して、そのパケットを破棄する。
【0027】
偽装パケット流入防止部で破棄されなかったパケットについては、優先識別子付与部に送られ、そのパケットの送信元アドレスが示す装置と送信先アドレスが示す装置の両方が、外部のネットワークなどを介することなく本発明の装置に直接接続されている場合には、優先識別子付与部は、優先制御転送部において高い優先度で配送されることになるための優先識別子をパケットに付与する。一方、そのパケットの送信元アドレスが示す装置と送信先アドレスが示す装置のうちどちらか一方でも、外部のネットワークなどを介して本発明の装置に接続されている場合には、優先識別子付与部は、優先制御転送部において低い優先度で配送されることになるための優先識別子をパケットに付与する。
【0028】
その後、パケットは優先制御転送部に送られ、送信先側のインタフェイスに向けて優先制御転送部の中で配送される。その際、優先制御転送部は、パケットに付与された優先識別子に従った優先度で配送を行う。その後、送信先側のインタフェイスを介してパケットは送信先に送られる。
【0029】
分散反射型DoS攻撃では、上述したように、攻撃装置から第三者の運用する正規の装置に向けて、送信元を標的のアドレスに偽装したパケットを送り、正規の装置からの返答パケットを標的の装置に対して送らせることによって実施される。
【0030】
ここで、標的の装置に直接送られるパケットが返答パケットである場合、その返答パケットの送信元が本発明の装置に直接接続されていれば、事前のパケット(返答パケットの元となる要求パケット)は本発明の装置を介して送られなければならない。さらに、返答パケットが攻撃に使用されるためには、事前のパケットの送信元は返答パケットの送信先として偽装されている必要があるが、ここで返答パケットの送信先も本発明の装置に直接接続されているとすれば、別のインタフェイスから流入しようとする偽装パケットは偽装パケット流入防止部の機能により破棄されてしまう。
【0031】
従って、送信元と送信先がどちらも本発明の装置に直接接続されているのであれば、そのパケットは分散反射型DoS攻撃に利用された返答パケットではないことになる。本発明の装置では、直接接続された送信元装置と送信先装置との間のパケットについては優先して配送されるため、それ以外のパケットを使って分散反射型DoS攻撃が行われている間でも、本発明の装置に直接接続された装置間のパケットの配送は攻撃の影響を受けないことになる。
【0032】
このようにして、本発明によれば、ネットワーク上に存在する装置を分散反射型DoS攻撃から防御できるようになるのである。
【0033】
【発明の実施の形態】
以下、実施の形態に従って本発明を詳細に説明する。
【0034】
図1に、本発明を実現する主装置1の一実施形態例を図示する。
【0035】
この図に示すように、本発明を実現する主装置1は、パケットを転送する優先制御転送部10が中心に配置され、この優先制御転送部10と外部と接続するインタフェイスとの間すべてに、偽装パケット流入防止部11−1〜11−12 と優先識別子付与部12−1〜12−12 の両方を配置した構成をもつ。
【0036】
以上の構成を持つ主装置1は、送信先装置2と送信元装置3−1〜3−6との間に設置され、主装置1に直接接続された送信元装置3−iから主装置1に直接接続された送信先装置2への通信を分散反射型DoS攻撃から防御する機能を実現する。
【0037】
送信元および送信先となりうる装置は同一のインタフェイスを共有することもできるが、その場合、インタフェイスを共有する装置間での攻撃は防止できない。
【0038】
また、送信元装置3−iや送信先装置2の両方もしくはいずれかが第三者と共有する外部ネットワーク4−1〜4−2を経由して主装置1と接続することも可能であるが、その場合、基本的には、その送信元装置3−iからその送信先装置2への通信を分散反射型DoS攻撃から防御することはできない。ただし、外部ネットワーク4−iと直接接続されたVPN接続装置6との間でVPN接続(Virtual Private Network 接続)を行った装置については、外部ネットワーク4−iを経由せずに主装置1に直接接続された装置と同じ扱いをすることができる。
【0039】
また、特定組織内において、ルータ5などで構成されるLANに接続された装置に関しても、主装置1に直接接続された装置として扱うことができる。しかし、その組織内の装置から、同じ組織内の別の装置へむけた分散反射型DoS攻撃および、同じ組織内の装置を踏み台とした分散反射型DoS攻撃については防ぐことはできないので、組織内の装置が、攻撃を実施する可能性が低い場合にのみ主装置1に直接接続されたものとして扱うことが望ましい。
【0040】
なお、本発明における主装置1については、必ずしも一つの装置として一体的に実現される必要はなく、分散配置される複数の装置要素によって実現されていてもよい。
【0041】
以下に、図1中の各々の構成要素がどのように機能するかについて、図2を参照し、パケットの流れをもとに説明する。
【0042】
ここで、図1では、送信元装置3−iの送信したパケットは、「送信元装置3−i→偽装パケット流入防止部11−i→優先識別子付与部12−i→優先制御転送部10→優先識別子付与部12−i→偽装パケット流入防止部11−i→送信先装置2」というルートでもって、送信先装置2に配送されることを想定している。
【0043】
まず、パケットは送信元装置3−iから送出される(ステップ201)。このパケットは本発明の主装置1を経由して送信先装置2へ配送されるが、その際に、主装置1に入ると、偽装パケット流入防止部11−iに送られて、そこで偽装パケット流入防止処理が実行される(ステップ202)。
【0044】
偽装パケット流入防止部11−iでは、図3で示される処理が行われる。
【0045】
偽装パケット流入防止部11−iでの処理が開始されると(ステップ301)、まず、偽装パケット流入防止部11−iへ入力されたパケットが、主装置1の外部から流入したものであるのか否かの判断を行い(ステップ302)、主装置1の外部から流入したものであることを判断する場合には、受け取ったパケットの送信元アドレスが、その偽装パケット流入防止部11−iに接続されたインタフェイスに登録されているアドレスの範囲内のものであるかどうかを判断する(ステップ303)。
【0046】
このステップ303の判断において、受け取ったパケットの送信元アドレスが登録されているアドレスの範囲内であることを判断する場合には、インタフェイスに接続された送信元装置3−iから送られたパケットであるとして、直接接続している優先識別子付与部12−iにパケットを送信し(ステップ304)、処理を終了する(ステップ305)。
【0047】
一方、ステップ303の判断において、受け取ったパケットの送信元アドレスが登録されているアドレスの範囲内でないことを判断する場合には、別のインタフェイスに接続された送信元装置3−iから送られた偽装パケットであるとして、そのパケットを破棄し(ステップ306)、処理を終了する(ステップ305)。
【0048】
一方、ステップ302の判断において、パケットが主装置1の外部から流入したものでないことを判断する場合、すなわち、外部から流入したものではなくて、内側の優先識別子付与部12−iから送られたものである場合には、その偽装パケット流入防止部11−iが直接接続しているインタフェイス経由でパケットを送信先装置2に向けて配送し(ステップ307)、処理を終了する(ステップ305)。
【0049】
このようにして、図2に示すステップ202で、偽装パケット流入防止部11−iに入力されたパケットに対しての処理が終わると、そのパケットが偽装パケット流入防止部11−iの処理によって破棄されている場合には(ステップ203)、そのパケットに対する主装置1の処理は終了する(ステップ209)。
【0050】
一方、主装置1に入力されたパケットが破棄されていない場合には(ステップ203)、パケットは優先識別子付与部12−iに送られているはずであるので、優先識別子付与部12−iの処理が実行される(ステップ204)。
【0051】
優先識別子付与部12−iでは、図4に示す処理が行われる。なお、ここでは、パケットが偽装パケット流入部11−iから送られてきたことから、後述するステップ407の処理については実行されることはない。
【0052】
優先識別子付与部12−iでの処理が開始されると(ステップ401)、まず、優先識別子付与部12−iへ入力されたパケットが偽装パケット流入部11−iから送られたものであるかどうかを判断する(ステップ402)。
【0053】
このステップ402の判断において、偽装パケット流入部11−iから送られたパケットであることを判断する場合には、パケットの送信元アドレスおよび送信先アドレスを調べることにより、そのパケットの送信元と送信先がいずれも主装置1に直接接続されたものであるかを判断する(ステップ403)。
【0054】
例えば、主装置1に直接接続された装置のIPアドレスの一覧を格納したデータベースを予め用意し、ステップ403の判断時に、送信元および送信先の両方のIPアドレスがこれらのIPアドレスに含まれるかどうかを調べることにより、パケットの送信元と送信先がいずれも主装置1に直接接続されたものであるかを判断するのである。
【0055】
このステップ403の判断において、パケットの送信元と送信先がいずれも主装置1に直接接続されていることを判断する場合には、高い優先度で転送を行うことを示す優先識別子をパケットに付与する(ステップ405)。そして、優先制御転送部10にパケットを送信し(ステップ406)、優先識別子付与部12−iの処理を終了する(ステップ408)。
【0056】
一方、ステップ403の判断において、パケットの送信元と送信先の両方またはいずれかが主装置1に直接接続されていないことを判断することで、パケットの送信元と送信先の両方またはいずれかが外部ネットワークなどを経由して主装置1に接続されていることを判断する場合には、低い優先度で転送を行うことを示す優先識別子をパケットに付与する(ステップ404)。そして、優先制御転送部10にパケットを送信し(ステップ406)、優先識別子付与部12−iの処理を終了する(ステップ408)。
【0057】
一方、ステップ402の判断において、パケットが偽装パケット流入防止部11−iから送られたものでないことを判断する場合、すなわち、優先制御転送部10から送られたものである場合には、その優先識別子付与部12−iが直接接続している偽装パケット流入防止部11−iへパケットを送信し(ステップ407)、処理を終了する(ステップ408)。
【0058】
このようにして、図2に示すステップ204で、優先識別子付与部12−iに入力されたパケットに対しての処理が終わると、そのパケットに対して、優先制御転送部10の処理が実行される(ステップ205)。
【0059】
優先制御転送部10では、図5に示す処理が行われる。
【0060】
すなわち、優先制御転送部10は、パケットを受け取ることで処理を開始すると(ステップ501)、そのパケットの送信先が接続されたインタフェイスに向けて、自らの内部でパケットを転送していく。この際、複数のパケットが優先制御転送部10の内部を同時に転送されることがあり、その場合には、パケットに付与された優先識別子に応じた優先度に応じた転送制御を行う。すなわち、優先度の高いパケットを優先的に転送していくという転送制御を行うのである(ステップ502)。すべての転送処理が終了すると、優先制御転送部の処理は終了する(ステップ503)。
【0061】
このようにして、図2に示すステップ205で、優先制御転送部10に入力されたパケットに対しての処理が終わると、優先制御転送部10の内部における転送が終わったパケットは、送信先に向かうインタフェイスに接続された優先識別子付与部12−iに到着する(ステップ206)。
【0062】
ここで、再び、図4に示す優先識別子付与部12−iの処理が行われ、今度は優先制御転送部10から送られたパケットであるため、ステップ407の処理に従って、パケットはその優先識別子付与部12−iが接続された偽装パケット流入防止部11−iへ送られる。
【0063】
そして、パケットが偽装パケット流入防止部11−iへ送られると、ここで、再び、図3に示す偽装パケット流入防止部11−iの処理が行われ(ステップ207)、今度は優先識別子付与部12−iから送られたパケットであるため、ステップ307の処理に従って、その偽装パケット流入防止部11−iが接続するインタフェイスを経由して送信先装置2にパケットが到着する(ステップ208)。
【0064】
以下に、本発明の構成要素の具体化例について解説する。
【0065】
優先識別子としては、優先識別子のために新たなパケット形式を採用することに限らず、既存のパケット識別方法、すなわちIPヘッダ内のTOSフィールド(Type Of Serviceフィールド) 、DSフィールド(Differentiated Service フィールド) 、IEEE 802.1Qのラベル、MPLS(Multi Protocol Label Switching)のラベル等を利用可能である。
【0066】
優先制御転送部10としては、優先識別子の内容に応じて優先制御を行う装置を利用する。例えば、TOSフィールドの値に応じて、優先制御する装置を利用する。
【0067】
また、優先制御転送部10の優先制御の機能としては、優先識別子の値に応じて優先制御を行うだけでなく、通信コネクションの確立を行なうための最初のパケット(TCPのSYNパケット等)に対しても最大帯域を指定でき、その帯域の中で優先識別子に応じて優先制御を行なうものを導入することが望ましいが、パケットの種類を区別せずに単に優先識別子の内容に応じて優先制御を行なう装置を導入してもかまわない。
【0068】
また、優先制御転送部10は、優先制御装置を設置したIPネットワークのバックボーンを利用することが可能である。これは、一つのISPもしくはキャリアによって提供されても良いが、複数のISPもしくはキャリアによって提供されてもよく、それらの接続を直接もしくはVPN等によって行うことなどにより、第三者により優先識別子を偽造されることを防止する必要がある。
【0069】
図示実施形態例に従って本発明を説明したが、本発明はこれに限定されるものではない。例えば、実施形態例では具体的に説明しなかったが、本発明は、特定のユーザ端末に対して行われるDoS攻撃についても防止することができるし、公開サーバに対して行われるDoS攻撃についても防止することができるのである。
【0070】
【発明の効果】
インターネットの利用者が爆発的に増大する中で、近年、インターネット上においてもオンライン証券取引サービスやオンラインバンキングサービス等、通信品質が重要視されるサービスを提供する動きが活発になっている。
【0071】
しかしインターネットでは、パケットの送信元を偽装することが容易であり、かつ、大量のパケットの送信を低コストで実施することが可能であるため、インターネット内で公開されたサーバに対して大量のパケットを送りつけるというDoS攻撃の脅威が大きい。したがって、このDoS攻撃をいかに防ぐかが課題となっている。
【0072】
DoS攻撃防止のための方法としては、前述のとおり様々な方法が提案されてきたが、高度分散型DoS攻撃に対しては十分な対策が提供されていなかった。本発明は、従来の方法では防ぐことが困難であった高度分散型DoS攻撃のうち、分散反射型DoS攻撃への対策を提供するものである。
【0073】
本発明を使用すると、攻撃者が、本発明の装置に接続されたホストに対して、同じく本発明の装置に接続された標的のアドレスとして送信元アドレスを偽装したパケットを送ることができなくなる。
【0074】
これにより、本発明の装置に直接接続された2つの装置間のパケットは、分散反射型DoS攻撃における反射パケットでないことが保証され、さらに本発明では、このパケットを優先的に装置内で転送することにより、送信先に対して分散反射型DoS攻撃が行われている間でも、本発明の装置に直接接続された2つの装置間では、その攻撃の影響を受けることなく通信が可能になる。
【0075】
送信元装置もしくは送信先装置が本発明の装置と直接接続されているとは、送信元装置もしくは送信先装置と本発明の装置との間で、第三者が送信元のなりすましを行わない環境にあるということを意味する。従って、特定組織内部の装置からは送信元アドレスの偽装が行われないとされるのであれば、その組織内で共用されるLANを経由して本発明の装置に接続された装置も、本発明の装置に対して直接接続された装置として扱っても良い。
【0076】
なお、本発明は送信元装置から直接行われる攻撃に対しては防御できない。直接行われる攻撃から標的を防御するには別の方法が必要になる。
【0077】
本発明における装置をISP(Internet Service Provider)が提供することにより、ISPは利用者を分散反射型DoS攻撃から防御するという付加価値のあるサービスを提供可能にすることができる。また、複数のISPが共同で、本発明における装置を運用することにより、一つのISPに限定しないサービスとして提供することが可能である。
【図面の簡単な説明】
【図1】本発明を実現する主装置の一実施形態例を示す図である。
【図2】パケットに対しての処理の流れを示す図である。
【図3】偽装パケット流入防止図の処理を示す図である。
【図4】優先識別子付与部の処理を示す図である。
【図5】優先制御転送部の処理を示す図である。
【符号の説明】
1 主装置
2 送信先装置
3 送信元装置
4 外部ネットワーク
5 ルータ
10 優先制御転送部
11 偽装パケット流入防止部
12 優先識別子付与部
[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a network attack prevention apparatus and method for preventing an attack using an illegal packet performed on a device existing on a network, and a network attack prevention program used for realizing the network attack prevention technique. And a recording medium on which the program is recorded.
[0002]
Recently, a DoS attack on a server has made it difficult for other users to access the server.
[0003]
A “DoS attack (Denial of Service attack: denial of service attack)” refers to a server or communication route that is sent by an attacker sending an unauthorized communication packet to a server that can be accessed by an unspecified number of users via the Internet or the like. This is an attack that makes it difficult for other users to access the server by adversely affecting the resources (processing capacity and transferable bandwidth) of the above device.
[0004]
[Prior art]
The DoS attack is roughly classified into the following three types.
[0005]
(A) By sending an abnormally formatted packet from the source device that performs the attack to the server, it causes an abnormality in the processing of the destination device or the device on the communication path, making it difficult for the server to continue the service. Things (abnormal packet transmission DoS attack).
[0006]
(B) By sending a large number of packets in a normal format from a single or a small number of transmission source devices to the server, it consumes server resources and circuit bandwidth on the route, making access difficult for authorized users What to do (mass packet transmission DoS attack).
[0007]
(C) From a large number of transmission source devices, a small amount of normal-format packets are sent to the server. As a result, a large amount of attack packets are sent to the server, thereby reducing server resources and circuit bandwidth on the route. Consumes and makes access from authorized users difficult (highly distributed DoS attack).
[0008]
There are the following two attacks as the main attacks classified as (C).
[0009]
(C1) A device managed by a person who is not an attacker is used as a springboard by an attacker because the operation from the viewpoint of security is insufficient. For example, if a security hole fix program is not applied or computer virus removal software is not used, an attacker may embed an attack program and use it as an attack. (Highly distributed DoS attack using an inadequate device).
[0010]
(C2) Even if a device managed by a non-attacker is sufficiently operational from a security point of view, a reply packet to a received packet is used as an attack packet, so that it can be used as a stepping stone by an attacker. Things. For example, by sending a spoofed packet with the address of the target device as a source address to a large number of publicly available web servers, the response packets from those large number of web servers are targeted. An attack that consumes the resources of the target device by returning it to the device is applicable (distributed reflection DoS attack).
[0011]
Next, a conventional technique for countermeasures regarding (A) and a conventional technique for countermeasures regarding (B) will be described.
[0012]
As a countermeasure for (A), a server or a device on a communication path is improved / corrected by executing a system upgrade or a correction program so that processing abnormalities are not caused by an abnormal packet. Alternatively, there is a method of discarding an abnormally formatted packet in a server or a device on a communication path between the server and a transmission source device. In the latter case, the determination that the packet format is abnormal is mainly performed by pattern matching.
[0013]
As a measure for (B), the amount of transmitted packets is compared for each packet transmission source, and packets from transmission sources that transmit a large amount of packets compared to other users are blocked or the transmission amount is limited. There is a method to do. In some cases, the source is identified by the IP address in the packet header. However, if the IP address is spoofed, the source cannot be identified correctly. There are a method for embedding information for identifying a transfer device in a packet, and a method for identifying an attacked device by measuring the amount of packets transmitted to a target server for each device on the route. is there.
[0014]
In addition, there exists a thing described in the following nonpatent literature 1 as a prior art provided as a countermeasure with respect to a DoS attack.
[0015]
[Non-Patent Document 1]
FloodGuard [Search April 4, 2003], Internet <URL: http: // www. reactive network. com / products / floodguard2point1.com / products / floodguard2point1. pdf>
[0016]
[Problems to be solved by the invention]
As described above, the measures relating to (A) and the measures relating to (B) have been provided in the prior art.
[0017]
However, as a countermeasure for (C), there has been no sufficient countermeasure in the past.
[0018]
The reason is that when an attack is performed by a large number of transmission source devices, the amount and transmission pattern of attack packets sent by one transmission source device are not different from those sent by authorized users. This is because it is difficult to identify the attack source with the distinction by.
[0019]
Against this backdrop, the present applicant is able to protect a public server and the like from the highly distributed DoS attack described in (C1) described above in Japanese Patent Application No. 2003-111741 filed earlier. Filed an invention related to network attack prevention technology.
[0020]
It is another object of the present invention to provide a new network attack prevention technique capable of protecting a device on a network from the distributed reflection DoS attack described in (C2) described above. To do.
[0021]
[Means for Solving the Problems]
The network attack prevention apparatus according to the present invention has a configuration in which a plurality of interfaces for inputting and outputting packets are prepared, and a list of source addresses that packets to be input from the interfaces should have is registered in each interface Take.
[0022]
The network attack prevention apparatus according to the present invention, in order to perform a process for preventing an attack using an illegal packet performed on a device existing on the network under this configuration, (1) External It checks whether the source address of the packet input from the interface connected to is the address registered in the interface, and if it is a registered address, input the packet A forged packet inflow prevention unit that prevents an inflow of a packet to be input from another interface impersonating a transmission source address by discarding the packet if the received address is not a registered address; (2 ) High priority for a packet when both the source and destination of the packet are directly connected to the interface When a priority identifier for delivery is assigned and either or both of them are indirectly connected to the interface via an external network, etc., the packet is delivered with a low priority. (3) In addition to this, priority control for delivering packets to the destination preferentially according to the priority identifier assigned by the priority identifier assignment unit A transfer unit may be provided.
[0023]
Here, each of the above processing means can be realized by a computer program. When the processing means is realized by a computer program, the computer program is provided by being recorded on a recording medium such as a semiconductor memory, or a network is provided. Can be provided through.
[0024]
Thus, the network attack prevention apparatus of the present invention has a priority control transfer unit inside, and the priority control transfer unit and the interface connected to the outside are forged packet inflow prevention units prepared for each interface. And a priority identifier assignment unit. In each interface, a source address of a packet that is permitted to flow inward from the interface is registered in advance.
[0025]
Here, the address being registered in the interface means that the address of the transmission source device or the transmission destination device connected to the device of the present invention through the interface is registered for each interface. , It is not assigned as the interface address itself.
[0026]
When a packet flowing in from the outside illegally uses an address registered in another interface as its source address, the spoofed packet inflow prevention unit sends the source address of the input packet to the input interface. By confirming that it does not match the registered address, it is determined that the transmission source of the packet is forged, and the packet is discarded.
[0027]
Packets that are not discarded by the spoofed packet inflow prevention unit are sent to the priority identifier assigning unit, and both the device indicated by the source address of the packet and the device indicated by the destination address do not pass through an external network or the like. When directly connected to the apparatus of the present invention, the priority identifier assigning unit assigns a priority identifier to the packet for delivery at a high priority in the priority control transfer unit. On the other hand, when either the device indicated by the source address of the packet or the device indicated by the destination address is connected to the device of the present invention via an external network or the like, the priority identifier assigning unit is The priority control transfer unit gives a priority identifier to the packet to be delivered with a low priority.
[0028]
Thereafter, the packet is sent to the priority control transfer unit, and is delivered to the destination side interface in the priority control transfer unit. At this time, the priority control transfer unit performs delivery with a priority according to the priority identifier assigned to the packet. Thereafter, the packet is sent to the destination via the interface on the destination side.
[0029]
In the distributed reflection type DoS attack, as described above, a spoofed source address is sent from an attacking device to a legitimate device operated by a third party, and a response packet from the legitimate device is targeted. It is implemented by sending to the device.
[0030]
Here, when the packet directly sent to the target device is a response packet, if the source of the response packet is directly connected to the device of the present invention, a prior packet (request packet that is the source of the response packet) Must be sent through the device of the present invention. Furthermore, in order for the reply packet to be used for an attack, the source of the previous packet needs to be camouflaged as the destination of the reply packet. Here, the destination of the reply packet is also directly connected to the apparatus of the present invention. If it is connected, a forged packet that is about to flow in from another interface is discarded by the function of the forged packet inflow prevention unit.
[0031]
Therefore, if both the transmission source and the transmission destination are directly connected to the apparatus of the present invention, the packet is not a response packet used for the distributed reflection type DoS attack. In the device of the present invention, packets between the directly connected source device and destination device are preferentially delivered, so that while the distributed reflection type DoS attack is performed using other packets. However, the delivery of packets between devices directly connected to the device of the present invention is not affected by the attack.
[0032]
In this way, according to the present invention, devices existing on the network can be protected from the distributed reflection DoS attack.
[0033]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, the present invention will be described in detail according to embodiments.
[0034]
FIG. 1 illustrates an example of an embodiment of a main apparatus 1 that implements the present invention.
[0035]
As shown in this figure, a main apparatus 1 that implements the present invention is arranged around a priority control transfer unit 10 for transferring packets, and between the priority control transfer unit 10 and an interface connected to the outside. The spoofed packet inflow prevention units 11-1 to 11-12 and the priority identifier assigning units 12-1 to 12-12 are arranged.
[0036]
The main device 1 having the above configuration is installed between the transmission destination device 2 and the transmission source devices 3-1 to 3-6, and is connected to the main device 1 from the transmission source device 3-i. A function of protecting communication to the destination apparatus 2 directly connected to the network from a distributed reflection type DoS attack is realized.
[0037]
The devices that can be the transmission source and the transmission destination can share the same interface, but in this case, attacks between the devices sharing the interface cannot be prevented.
[0038]
It is also possible to connect to the main apparatus 1 via the external networks 4-1 to 4-2 shared by a third party, either or both of the transmission source apparatus 3-i and the transmission destination apparatus 2. In this case, basically, communication from the transmission source device 3-i to the transmission destination device 2 cannot be protected from the distributed reflection type DoS attack. However, a device that has made a VPN connection (Virtual Private Network connection) with the VPN connection device 6 directly connected to the external network 4-i directly to the main device 1 without going through the external network 4-i. It can be handled in the same way as a connected device.
[0039]
In addition, in a specific organization, a device connected to a LAN configured by the router 5 or the like can be handled as a device directly connected to the main device 1. However, it is impossible to prevent a distributed reflection type DoS attack from a device in the organization to another device in the same organization and a distributed reflection type DoS attack using a device in the same organization as a stepping stone. It is desirable to treat the device as being directly connected to the main device 1 only when the possibility of carrying out an attack is low.
[0040]
Note that the main device 1 according to the present invention is not necessarily realized as a single device, and may be realized by a plurality of device elements arranged in a distributed manner.
[0041]
Hereinafter, how each component in FIG. 1 functions will be described with reference to FIG. 2 and based on a packet flow.
[0042]
Here, in FIG. 1, a packet transmitted from the transmission source device 3-i is “transmission source device 3-i → spoofed packet inflow prevention unit 11-i → priority identifier assigning unit 12-i → priority control transfer unit 10 → It is assumed that the packet is delivered to the transmission destination device 2 through the route of the priority identifier giving unit 12-i → the forged packet inflow prevention unit 11-i → the transmission destination device 2.
[0043]
First, the packet is transmitted from the transmission source device 3-i (step 201). This packet is delivered to the destination device 2 via the main device 1 of the present invention. At this time, when entering the main device 1, it is sent to the forged packet inflow prevention unit 11-i, where the forged packet is sent. Inflow prevention processing is executed (step 202).
[0044]
The spoofed packet inflow prevention unit 11-i performs the processing shown in FIG.
[0045]
When processing in the forged packet inflow prevention unit 11-i is started (step 301), first, is the packet input to the forged packet inflow prevention unit 11-i flowing from the outside of the main device 1? If it is determined whether or not the packet has flowed in from the outside of the main device 1, the source address of the received packet is connected to the spoofed packet flow prevention unit 11-i. It is determined whether the address is within the range of addresses registered in the interface (step 303).
[0046]
If it is determined in step 303 that the source address of the received packet is within the registered address range, the packet sent from the source device 3-i connected to the interface As a result, the packet is transmitted to the directly connected priority identifier assigning unit 12-i (step 304), and the process ends (step 305).
[0047]
On the other hand, if it is determined in step 303 that the source address of the received packet is not within the registered address range, it is sent from the source device 3-i connected to another interface. The packet is discarded (step 306), and the process is terminated (step 305).
[0048]
On the other hand, when it is determined in step 302 that the packet does not flow in from the outside of the main apparatus 1, that is, the packet is not flowed in from the outside, but is sent from the inner priority identifier assigning unit 12-i. If it is, the packet is delivered to the destination apparatus 2 via the interface directly connected to the forged packet inflow prevention unit 11-i (step 307), and the process is terminated (step 305). .
[0049]
In this way, when the processing for the packet input to the forged packet inflow prevention unit 11-i is completed in step 202 shown in FIG. 2, the packet is discarded by the processing of the forged packet inflow prevention unit 11-i. If so (step 203), the processing of the main device 1 for the packet ends (step 209).
[0050]
On the other hand, when the packet input to the main device 1 has not been discarded (step 203), the packet should have been sent to the priority identifier assigning unit 12-i. Processing is executed (step 204).
[0051]
In the priority identifier assigning unit 12-i, the process shown in FIG. 4 is performed. Here, since the packet has been sent from the spoofed packet inflow unit 11-i, the process of step 407 described later is not executed.
[0052]
When processing in the priority identifier assigning unit 12-i is started (step 401), first, is the packet input to the priority identifier assigning unit 12-i sent from the spoofed packet inflow unit 11-i? Judgment is made (step 402).
[0053]
If it is determined in step 402 that the packet is sent from the spoofed packet inflow unit 11-i, the source and destination of the packet are transmitted by checking the source address and destination address of the packet. It is determined whether the destination is directly connected to the main apparatus 1 (step 403).
[0054]
For example, a database storing a list of IP addresses of devices directly connected to the main device 1 is prepared in advance, and whether the IP addresses of both the transmission source and the transmission destination are included in these IP addresses at the time of determination in step 403 By examining whether or not the packet transmission source and transmission destination are both directly connected to the main apparatus 1.
[0055]
If it is determined in step 403 that both the transmission source and the transmission destination of the packet are directly connected to the main apparatus 1, a priority identifier indicating that the transfer is performed with high priority is given to the packet. (Step 405). Then, the packet is transmitted to the priority control transfer unit 10 (step 406), and the processing of the priority identifier assigning unit 12-i is ended (step 408).
[0056]
On the other hand, in the determination in step 403, it is determined that either or both of the packet transmission source and the transmission destination are not directly connected to the main apparatus 1, so that either the packet transmission source and / or the transmission destination are determined. When it is determined that the main apparatus 1 is connected via an external network or the like, a priority identifier indicating that the transfer is performed with a low priority is given to the packet (step 404). Then, the packet is transmitted to the priority control transfer unit 10 (step 406), and the processing of the priority identifier assigning unit 12-i is ended (step 408).
[0057]
On the other hand, if it is determined in step 402 that the packet is not sent from the spoofed packet inflow prevention unit 11-i, that is, if it is sent from the priority control transfer unit 10, the priority is given. The packet is transmitted to the forged packet inflow prevention unit 11-i to which the identifier assigning unit 12-i is directly connected (step 407), and the process is terminated (step 408).
[0058]
In this manner, when the processing for the packet input to the priority identifier assigning unit 12-i is completed in step 204 shown in FIG. 2, the processing of the priority control transfer unit 10 is executed for the packet. (Step 205).
[0059]
The priority control transfer unit 10 performs the process shown in FIG.
[0060]
That is, when the priority control transfer unit 10 starts processing by receiving a packet (step 501), the priority control transfer unit 10 transfers the packet to the interface to which the transmission destination of the packet is connected. At this time, a plurality of packets may be simultaneously transferred through the priority control transfer unit 10. In this case, transfer control is performed according to the priority according to the priority identifier assigned to the packet. That is, transfer control is performed such that a packet having a high priority is transferred with priority (step 502). When all the transfer processes are completed, the process of the priority control transfer unit ends (step 503).
[0061]
In this manner, when the processing for the packet input to the priority control transfer unit 10 is completed in step 205 shown in FIG. 2, the packet that has been transferred inside the priority control transfer unit 10 is sent to the destination. Arrives at the priority identifier assigning unit 12-i connected to the interface to which it is going (step 206).
[0062]
Here, the processing of the priority identifier assigning unit 12-i shown in FIG. 4 is performed again, and this time, since the packet is sent from the priority control transfer unit 10, the packet is given the priority identifier according to the processing of step 407. Sent to the spoofed packet inflow prevention unit 11-i to which the unit 12-i is connected.
[0063]
Then, when the packet is sent to the forged packet inflow prevention unit 11-i, the process of the forged packet inflow prevention unit 11-i shown in FIG. 3 is performed again (step 207). Since the packet is sent from 12-i, the packet arrives at the destination apparatus 2 via the interface connected to the spoofed packet inflow prevention unit 11-i in accordance with the processing of step 307 (step 208).
[0064]
Hereinafter, specific examples of the components of the present invention will be described.
[0065]
The priority identifier is not limited to adopting a new packet format for the priority identifier, but an existing packet identification method, that is, a TOS field (Type Of Service field), a DS field (Differentiated Service field) in the IP header, An IEEE 802.1Q label, an MPLS (Multi Protocol Label Switching) label, or the like can be used.
[0066]
As the priority control transfer unit 10, a device that performs priority control according to the content of the priority identifier is used. For example, a device that performs priority control according to the value of the TOS field is used.
[0067]
In addition, the priority control function of the priority control transfer unit 10 not only performs priority control according to the value of the priority identifier, but also for the first packet (such as a TCP SYN packet) for establishing a communication connection. However, it is desirable to introduce the one that can specify the maximum bandwidth and that performs priority control according to the priority identifier within that bandwidth. However, priority control is simply performed according to the content of the priority identifier without distinguishing the packet type. It does not matter if you introduce a device to do.
[0068]
The priority control transfer unit 10 can use the backbone of the IP network in which the priority control device is installed. This may be provided by a single ISP or carrier, but it may also be provided by a plurality of ISPs or carriers, and the priority identifier is forged by a third party by connecting them directly or by VPN. Need to be prevented.
[0069]
Although the present invention has been described according to the illustrated embodiment, the present invention is not limited to this. For example, although not specifically described in the embodiment, the present invention can prevent a DoS attack performed on a specific user terminal, and can also prevent a DoS attack performed on a public server. It can be prevented.
[0070]
【The invention's effect】
In recent years, as the number of users of the Internet has increased explosively, there has been an active movement to provide services on which communication quality is important, such as online securities trading services and online banking services.
[0071]
However, on the Internet, it is easy to disguise the packet source, and a large amount of packets can be transmitted at low cost. The threat of DoS attacks that send Therefore, how to prevent this DoS attack is a problem.
[0072]
Various methods for preventing DoS attacks have been proposed as described above, but sufficient countermeasures have not been provided for highly distributed DoS attacks. The present invention provides a countermeasure against a distributed reflection type DoS attack among highly distributed type DoS attacks that is difficult to prevent by a conventional method.
[0073]
When the present invention is used, an attacker cannot send a packet spoofing a source address as a target address connected to the apparatus of the present invention to a host connected to the apparatus of the present invention.
[0074]
This ensures that a packet between two devices directly connected to the device of the present invention is not a reflection packet in a distributed reflection DoS attack, and the present invention preferentially forwards this packet within the device. Thus, even when a distributed reflection DoS attack is being performed on the transmission destination, communication can be performed between the two devices directly connected to the device of the present invention without being affected by the attack.
[0075]
The fact that the source device or destination device is directly connected to the device of the present invention means that the third party does not impersonate the source between the source device or destination device and the device of the present invention. It means that there is. Therefore, if a source address is not spoofed from a device in a specific organization, a device connected to the device of the present invention via a LAN shared in the organization is also included in the present invention. It may be handled as a device directly connected to the device.
[0076]
It should be noted that the present invention cannot defend against an attack directly performed from the transmission source device. Different methods are needed to defend the target from direct attacks.
[0077]
By providing an apparatus in the present invention by an Internet Service Provider (ISP), the ISP can provide a value-added service that protects a user from a distributed reflection type DoS attack. In addition, a plurality of ISPs can jointly operate the apparatus according to the present invention to provide a service that is not limited to one ISP.
[Brief description of the drawings]
FIG. 1 is a diagram showing an example of an embodiment of a main apparatus for realizing the present invention.
FIG. 2 is a diagram showing a flow of processing for a packet.
FIG. 3 is a diagram illustrating processing of a forged packet inflow prevention diagram.
FIG. 4 is a diagram illustrating processing of a priority identifier assigning unit.
FIG. 5 is a diagram illustrating processing of a priority control transfer unit.
[Explanation of symbols]
1 Main unit
2 Destination device
3 Source device
4 External network
5 routers
10 Priority control transfer unit
11 Forged packet inflow prevention part
12 Priority identifier assignment unit

Claims (6)

ネットワーク上に存在する装置に対して行われる不正なパケットを使った攻撃を防止するためのネットワーク攻撃防止装置であって、
外部と接続されたインタフェイスから入力されたパケットの送信元アドレスが、そのインタフェイスに登録されているアドレスであるのか否かを検査して、登録されているアドレスである場合にはパケットの入力を受け付け、登録されているアドレスでない場合にはパケットを破棄する手段と、
パケットの送信元と送信先の両方が上記インタフェイスに直接接続されている場合には、そのパケットに対して高い優先度で配送を行うための優先識別子を付与し、そうでない場合には、そのパケットに対して低い優先度で配送を行なうための優先識別子を付与する手段とを備えることを、
特徴とするネットワーク攻撃防止装置。
A network attack prevention device for preventing an attack using an illegal packet performed on a device existing on a network,
Checks whether the source address of a packet input from an interface connected to the outside is an address registered in that interface, and if it is a registered address, inputs the packet Means to discard the packet if it is not a registered address,
If both the source and destination of a packet are directly connected to the above interface, a priority identifier is assigned to the packet for delivery with a high priority. Providing a priority identifier for delivering a packet with low priority for delivery,
A network attack prevention device characterized.
請求項1記載のネットワーク攻撃防止装置において、
上記優先識別子に応じて優先的に送信先にパケットを配送する手段を備えることを、
特徴とするネットワーク攻撃防止装置。
The network attack prevention apparatus according to claim 1,
Comprising means for preferentially delivering a packet to a destination according to the priority identifier,
A network attack prevention device characterized.
ネットワーク上に存在する装置に対して行われる不正なパケットを使った攻撃を防止するためのネットワーク攻撃防止方法であって、
外部と接続されたインタフェイスから入力されたパケットの送信元アドレスが、そのインタフェイスに登録されているアドレスであるのか否かを検査して、登録されているアドレスである場合にはパケットの入力を受け付け、登録されているアドレスでない場合にはパケットを破棄する過程と、
パケットの送信元と送信先の両方が上記インタフェイスに直接接続されている場合には、そのパケットに対して高い優先度で配送を行うための優先識別子を付与し、そうでない場合には、そのパケットに対して低い優先度で配送を行なうための優先識別子を付与する過程とを備えることを、
特徴とするネットワーク攻撃防止方法。
A network attack prevention method for preventing an attack using an illegal packet performed on a device existing on a network,
Checks whether the source address of a packet input from an interface connected to the outside is an address registered in that interface, and if it is a registered address, inputs the packet And if the address is not registered, discard the packet,
If both the source and destination of a packet are directly connected to the above interface, a priority identifier is assigned to the packet for delivery with a high priority. Providing a priority identifier for delivering packets with low priority delivery,
A characteristic network attack prevention method.
請求項3記載のネットワーク攻撃防止方法において、
上記優先識別子に応じて優先的に送信先にパケットを配送する過程を備えることを、
特徴とするネットワーク攻撃防止方法。
The network attack prevention method according to claim 3,
Providing a process of preferentially delivering a packet to a destination according to the priority identifier,
A characteristic network attack prevention method.
請求項1または2に記載のネットワーク攻撃防止装置の実現に用いられる処理をコンピュータに実行させるためのネットワーク攻撃防止プログラム。A network attack prevention program for causing a computer to execute processing used to realize the network attack prevention device according to claim 1. 請求項1または2に記載のネットワーク攻撃防止装置の実現に用いられる処理をコンピュータに実行させるためのネットワーク攻撃防止プログラムを記録した記録媒体。A recording medium storing a network attack prevention program for causing a computer to execute processing used to realize the network attack prevention apparatus according to claim 1.
JP2003166619A 2003-06-11 2003-06-11 Network attack prevention device, network attack prevention method, network attack prevention program, and recording medium recording the program Expired - Fee Related JP3917557B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003166619A JP3917557B2 (en) 2003-06-11 2003-06-11 Network attack prevention device, network attack prevention method, network attack prevention program, and recording medium recording the program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003166619A JP3917557B2 (en) 2003-06-11 2003-06-11 Network attack prevention device, network attack prevention method, network attack prevention program, and recording medium recording the program

Publications (2)

Publication Number Publication Date
JP2005005994A true JP2005005994A (en) 2005-01-06
JP3917557B2 JP3917557B2 (en) 2007-05-23

Family

ID=34092730

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003166619A Expired - Fee Related JP3917557B2 (en) 2003-06-11 2003-06-11 Network attack prevention device, network attack prevention method, network attack prevention program, and recording medium recording the program

Country Status (1)

Country Link
JP (1) JP3917557B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018037835A (en) * 2016-08-31 2018-03-08 日本電信電話株式会社 Device and method for attack determination
CN110476400A (en) * 2017-04-06 2019-11-19 微软技术许可有限责任公司 System and method for detecting the oriented network attack for the specific collection for being directed to machine based on cloud

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018037835A (en) * 2016-08-31 2018-03-08 日本電信電話株式会社 Device and method for attack determination
CN110476400A (en) * 2017-04-06 2019-11-19 微软技术许可有限责任公司 System and method for detecting the oriented network attack for the specific collection for being directed to machine based on cloud
CN110476400B (en) * 2017-04-06 2021-12-07 微软技术许可有限责任公司 System and method for detecting a directed network attack against a particular set of cloud-based machines

Also Published As

Publication number Publication date
JP3917557B2 (en) 2007-05-23

Similar Documents

Publication Publication Date Title
US8001244B2 (en) Deep packet scan hacker identification
AU2005207632B2 (en) Upper-level protocol authentication
US6775704B1 (en) System and method for preventing a spoofed remote procedure call denial of service attack in a networked computing environment
US8800001B2 (en) Network authentication method, method for client to request authentication, client, and device
US20030065943A1 (en) Method and apparatus for recognizing and reacting to denial of service attacks on a computerized network
US20040187032A1 (en) Method, data carrier, computer system and computer progamme for the identification and defence of attacks in server of network service providers and operators
US7930740B2 (en) System and method for detection and mitigation of distributed denial of service attacks
US20090144806A1 (en) Handling of DDoS attacks from NAT or proxy devices
JP2012109996A (en) Methods and apparatus for delivering control messages during malicious attack in one or more packet networks
US11178108B2 (en) Filtering for network traffic to block denial of service attacks
US20070289014A1 (en) Network security device and method for processing packet data using the same
JP2022554101A (en) PACKET PROCESSING METHOD AND APPARATUS, DEVICE, AND COMPUTER-READABLE STORAGE MEDIUM
US20070086338A1 (en) Application layer ingress filtering
JP4284248B2 (en) Application service rejection attack prevention method, system, and program
JP3917557B2 (en) Network attack prevention device, network attack prevention method, network attack prevention program, and recording medium recording the program
JP2002158699A (en) Method, device and system for preventing dos attack and recording medium
CA2456902A1 (en) Method, data carrier, computer system and computer programme for the identification and defence of attacks on server systems of network service providers and operators
JP3917546B2 (en) Network attack prevention method, network attack prevention device, network attack prevention program, and recording medium recording the program
CN110035041B (en) Method and equipment for identifying application attack source
US20060225141A1 (en) Unauthorized access searching method and device
US8185642B1 (en) Communication policy enforcement in a data network
JP2008028720A (en) Ip network apparatus capable of controlling send side ip address arrogating ip packet, and send side ip address arrogating ip packet control method
JP3938763B2 (en) DoS attack countermeasure system, method and program
JP2008252221A (en) DoS ATTACK/DEFENCE SYSTEM, AND ATTACK/DEFENCE METHOD AND DEVICE IN DoS ATTACK DEFENCE/SYSTEM
Ouyang et al. MLCC: A Multi Layered Correlative Control Mechanism for the VPN Topology

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050715

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070125

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070206

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070208

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: R3D02

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110216

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110216

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120216

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130216

Year of fee payment: 6

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees