[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP4278593B2 - アプリケーション型サービス不能攻撃に対する防御方法およびエッジ・ルータ - Google Patents

アプリケーション型サービス不能攻撃に対する防御方法およびエッジ・ルータ Download PDF

Info

Publication number
JP4278593B2
JP4278593B2 JP2004280857A JP2004280857A JP4278593B2 JP 4278593 B2 JP4278593 B2 JP 4278593B2 JP 2004280857 A JP2004280857 A JP 2004280857A JP 2004280857 A JP2004280857 A JP 2004280857A JP 4278593 B2 JP4278593 B2 JP 4278593B2
Authority
JP
Japan
Prior art keywords
attack
packet
address
packets
threshold
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004280857A
Other languages
English (en)
Other versions
JP2006100874A (ja
Inventor
太一 長田
斉 金子
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2004280857A priority Critical patent/JP4278593B2/ja
Publication of JP2006100874A publication Critical patent/JP2006100874A/ja
Application granted granted Critical
Publication of JP4278593B2 publication Critical patent/JP4278593B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、IP(Internet Protocol)ネットワークにおけるDoS(Denial of Service)攻撃あるいはDDoS(Distributed Denial of Service)攻撃に対する防御に利用する。特に、インターネット・セキュリティを向上させる技術に関する。
SIP(Session initiation Protocol)サーバなどの各種エンドノードのレイヤ5以上の処理に対し行われるDoS/DDoS攻撃から当該サーバを保護する対策としては、従来、(1)当該サーバ自身が当該攻撃を検知し、検知したトラヒックを排除する、(2)当該保護対象のサーバの手前にファイヤウォールまたはIDS(Intrusion Detection System)、IDP(Intrusion Detection Prevention)を設置し、レイヤ5以上の情報を分析することにより、当該攻撃を検知し、検知したトラヒックを排除する方策が採られている。
このような従来の技術には、以下の問題がある。(1)当該サーバマシン自身で攻撃を防御する場合には、その防御処理自身に負荷がかかるだけでなく、当該サーバに繋がるシステムおよび回線においても攻撃トラヒックの負荷がかかり、正当なユーザのサービスの妨げになる。
また、(2)当該サーバの手前に設置するファイヤウォールやIDS、IDPについては、コストがかかるばかりでなく、装置自体のスループットに影響される可能性がある。さらに、(3)加入者収容ルータにおいて攻撃を防御する際には、帯域制限(通信速度の制限)に基づいた制御方式であり、ネットワークサーバの防御に有効となる単位時間あたりのIPパケット数による制御方式ではない。
このような従来の問題を解決するため、例えば、特許文献1では、サーバが攻撃された場合に、攻撃者に近いルータにて攻撃パケットを廃棄するため、ネットワーク内の各拠点に専用装置を設置し、専用装置間で逐次攻撃情報を伝播し、攻撃トラヒックを上流で排除する旨提案されている。
また、特許文献2では、攻撃をネットワークで検知し、専用の攻撃遮断機器にて防御を行い、攻撃からネットワークを防御する旨提案している。ただし、特許文献2の提案はレイヤ4以下の攻撃を対象としており、また攻撃の検知後、ネットワーク管理者の指示により、防御を実施する形態となっている。
さらに、特許文献3では、ネットワークの特定箇所、具体的にはゲートウェイ装置で受信IPパケット数をカウントし、所定の受信数を越えた場合には、通信を終了させる方法を提案しているが、ゲートウェイ装置に限定した方法となっており、不正パケット送信者の直近での防御方法ではない。
特開2003−283571号公報 特開2002−158660号公報 特開2002−247114号公報
特許文献1および2の提案では、いずれも専用装置あるいは専用の攻撃遮断機器の設置が必要になり、これらの専用装置間の通信あるいは専用の遮断機器に指示を与えるための通信が必要になる。したがって、新たな専用装置あるいは専用の攻撃遮断機器の追加設置が必要になり、現行のネットワーク構成を変更する必要がある。
また、特許文献3の提案は、ゲートウェイ装置に攻撃の検出および防御機能を持たせ、攻撃を防御する提案であるが、ゲートウェイ装置に繋がる回線やシステムの攻撃の影響を受ける可能性がある。
本発明は、このような背景に行われたものであって、本発明は、サーバ自身に負荷がかからず、現行のネットワーク構成を変更せずに、攻撃者となりうる加入者を収容するルータへの機能追加により、DoS/DDoS攻撃に対する防御を実現するものであり、攻撃者の直近で攻撃を防御し、ネットワークのリソースを不正利用させないことを目的とする。また、本発明は、防御の対象となるネットワークサーバにとって有効な、単位時間あたりのIPパケット数による制限をエッジルータで行うことを提案するものである。
前提として、DoS/DDoS攻撃は、サーバなどの各種エンドノードが処理を行うレイヤ5以上のTCPあるいはUDP上のウェルノウンポート番号を持つプロトコル処理に対する攻撃であるとする。
このレイヤ5以上の所謂アプリケーションレイヤへのフラッド型の攻撃は、このアプリケーションレイヤの情報を運ぶサーバのウェルノウンポート宛てのTCPあるいはUDPパケットのトラヒック量を監視することによりアプリケーションレイヤに対するDoS/DDoS攻撃を検出することが可能である。
具体的には、ユーザ端末を収容するエッジルータにおいてエンドノードがユーザ端末からの要求に対して、アプリケーションを実行するにあたり、通常の動作で十分なユーザ端末からの単位時間あたりのIPパケット送信数をサーバのIP
Addressと、protocol番号と、ウェルノウンポート番号毎に事前設定する。これをユーザ端末からエッジルータが受信可能な閾値とする。
次にユーザ端末を収容するエッジルータが、例えば「IP headerのDestination AddressがこのサーバのIP
Address、Protocol番号がTCPあるいはUDPを示す6あるいは17、TCPあるいはUDP
headerのDestination Port番号が、このサーバが司るレイヤ5以上のプロトコルに割当てられたウェルノウンポート番号」であるパケットを発IPアドレス毎に検査する。
ユーザ端末から受信するIPパケットを検査しこのサーバ宛のIPパケットであることを判定し、事前に設定した閾値未満に単位時間あたりの受信IPパケット数を制限することにより、通常のユーザ端末が使用するレベルまで、このサーバ向けのトラヒックを抑えることができ、ユーザ端末からこのサーバ向けの攻撃パケットを前記レベルにまで、抑えることが可能である。
例えば、特許文献1では、サーバが攻撃された場合に、攻撃者に近いルータにて攻撃パケットを廃棄するため、ネットワーク内の各拠点に専用装置を設置し、専用装置間で逐次攻撃情報を伝播し、攻撃トラヒックを上流で排除する旨提案されているが、本発明のアプリケーション型サービス不能攻撃防御方法はノード間で攻撃情報を伝播することはせず、攻撃トラヒックを発するユーザ端末収容ノードにて、事前の機能追加および静的設定により、攻撃を防御することを特徴とする。
また、特許文献2では、攻撃をネットワークにて検出し、専用の攻撃遮断機器にて防御を行い、攻撃からネットワークを防御する旨を提案しているが、本発明のアプリケーション型サービス不能攻撃防御方法は、ユーザ端末収容ルータでの攻撃検知および防御の方法である点が異なる。
さらに、特許文献3では、ゲートウェイ装置に検出機能を配備し、攻撃を排除する旨を提案しているが、本発明は、攻撃元を収容するユーザ端末収容ルータでの攻撃検知および防御の方法であり、攻撃者の直近で攻撃を防御するという点が異なる。
加えて、本発明のアプリケーション型サービス不能攻撃防御の方法は、新たに専用装置をネットワーク構成を変更し付加することはせず、ネットワークに備えられているエッジルータに機能を追加配備し、利用することができる。
すなわち、本発明の第一の観点は、コアネットワークと、ユーザ端末を収容するエッジルータと、ユーザ端末から送信される信号を処理するサーバとから構成されるネットワークシステムに適用されるアプリケーション型サービス不能攻撃に対する防御方法である。
ここで、本発明の特徴とするところは、前記ユーザ端末毎および宛先となる前記サーバ毎に、発側IPアドレスと、宛先IPアドレスと、宛先Port番号と、Protocol番号との組み合わせ毎に、正当なIPパケットの送信を許可するに足る単位時間当りのIPパケット送信数の閾値条件があらかじめ設定され、前記ユーザ端末を収容する前記エッジルータが実行するステップとして、前記ユーザ端末から前記サーバに対して発信されるIPパケットに関し、発側IPアドレスと、宛先IPアドレスと、Port番号と、Protocol番号とを識別するステップと、この識別するステップによる識別結果に基づいて、当該IPパケットが発側IPアドレス毎にIPパケット送信数の閾値が設定されている宛先IPアドレス、Port番号、Protocol番号の組み合わせに合致するIPパケットか否かを判定するステップと、この判定するステップにより当該IPパケットが発側IPアドレス毎に閾値が設定されている宛先IPアドレス、Protocol番号、Port番号の組み合わせに合致するIPパケットであると判定された場合に、当該エッジルータが当該IPパケットを受信した時刻を記録すると共に当該IPパケット数を計数するステップと、この計数するステップにより計数されたIPパケット数と発側IPアドレス毎に設定された前記閾値条件とを比較し、単位時間当りの該当受信IPパケット数が閾値を越えた場合に、前記閾値を越えた分の受信IPパケットを廃棄するステップとを実行するところにある。
さらに、前記エッジルータが実行するステップとして、前記閾値条件が設定されている前記ユーザ端末から受信したIPパケットについて、当該IPパケットの情報である発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号および当該IPパケットの受信時刻を記録するステップと、前記閾値設定条件に基づき廃棄を行ったIPパケットについて当該IPパケットの情報である発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号および当該IPパケットの廃棄時刻を記録するステップとを実行することができる。
さらに、前記エッジルータが実行するステップとして、前記廃棄時刻を記録するステップによる記録を参照し、廃棄したIPパケットの発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号の情報に基づき攻撃元および攻撃対象を確認するステップと、この確認するステップにより確認された前記攻撃対象の攻撃パケット受信状況を確認するステップと、この確認するステップにより確認された前記攻撃パケット受信状況に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットか否かを判断するステップと、この判断するステップの判断結果に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットである場合には、該当する発側IPアドレスからの前記攻撃対象向けパケットを全て抑止するように前記閾値を再設定するステップとを実行することができる。
前記攻撃パケット受信状況を確認するステップは、前記受信時刻を記録するステップによる記録を参照し、前記攻撃対象の攻撃パケット受信状況を推定するステップを含むことができる。
これによれば、攻撃対象に攻撃パケット受信状況の報告を要求することなく、エッジルータ独自で攻撃対象の攻撃パケット受信状況を推定することができるため、ネットワークリソースを有効利用することができる。
すなわち、エッジルータが攻撃を実際に抑止した場合には、IPパケット受信の記録およびIPパケットの廃棄の記録を当該エッジルータが収集し、SIPサーバ側の攻撃パケット受信状況と比較確認し、SIPサーバで受信した当該ユーザからのパケットが全て攻撃パケットと判断される場合には、このユーザからSIPサーバ向けのパケットを全て廃棄するように閾値を再設定し攻撃パケットを全て廃棄することができるため、防御パターンを能動的に最適化することができる。
また、前記判断するステップの判断結果に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットである場合には、前記攻撃元に対して警告通知を行うステップを実行することができる。
これにより、エッジルータから踏み台となったユーザに対し、当該ユーザが攻撃を実行していた事実を提示でき、ユーザへのウィルス感染等の警告を発することができる。本警告により、ユーザは自端末のウィルス感染や踏み台になった事実を確認し、対処することで、被害の拡散を防止することが可能となる。
さらに、前記閾値を再設定するステップにより設定された新たな閾値に基づき廃棄されたIPパケット数を計数するステップと、この計数するステップの計数結果が再設定された前記新たな閾値以前の閾値未満となったときには、前記新たな閾値を前記新たな閾値以前の閾値に置き換えるステップとを実行することができる。
すなわち、攻撃を回避した後に、攻撃回避用として設定された非通常の閾値がそのまま残っていると、以降に送信される正当なIPパケットまでも廃棄されてしまう可能性があるので、攻撃が終了したことが推定された後には、閾値を通常の値に置き換えることが望ましい。
本発明の第二の観点は、コアネットワークと、ユーザ端末から送信される信号を処理するサーバとから構成されるネットワークシステムに備えられ前記ユーザ端末を収容するエッジルータである。
ここで、本発明の特徴とするところは、前記ユーザ端末毎および宛先となる前記サーバ毎に、発側IPアドレスと、宛先IPアドレスと、宛先Port番号と、Protocol番号との組み合わせ毎に、正当なIPパケットの送信を許可するに足る単位時間当りのIPパケット送信数の閾値があらかじめ設定され、前記ユーザ端末から前記サーバに対して発信されるIPパケットに関し、発側IPアドレスと、宛先IPアドレスと、Port番号と、Protocol番号とを識別する手段と、この識別する手段による識別結果に基づいて、当該IPパケットが発側IPアドレス毎にIPパケット送信数の閾値が設定されている宛先IPアドレス、Port番号、Protocol番号の組み合わせに合致するIPパケットか否かを判定する手段と、この判定する手段により当該IPパケットが発側IPアドレス毎に閾値が設定されている宛先IPアドレス、Protocol番号、Port番号の組み合わせに合致するIPパケットであると判定された場合に、当該エッジルータが当該IPパケットを受信した時刻を記録すると共に当該IPパケット数を計数する手段と、この計数する手段により計数されたIPパケット数と発側IPアドレス毎に設定された閾値条件とを比較し、単位時間当りの該当受信IPパケット数が閾値を越えた場合に、前記閾値を越えた分の受信IPパケットを廃棄する手段とを備えたところにある。
さらに、前記閾値条件が設定されている前記ユーザ端末から受信したIPパケットについて、当該IPパケットの情報である発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号および当該IPパケットの受信時刻を記録する手段と、前記閾値設定条件に基づき廃棄を行ったIPパケットについて当該IPパケットの情報である発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号および当該IPパケットの廃棄時刻を記録する手段とを備えることができる。
さらに、前記廃棄時刻を記録する手段による記録を参照し、廃棄したIPパケットの発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号の情報に基づき攻撃元および攻撃対象を確認する手段と、この確認する手段により確認された前記攻撃対象の攻撃パケット受信状況を確認する手段と、この確認する手段により確認された前記攻撃パケット受信状況に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットか否かを判断する手段と、この判断する手段の判断結果に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットである場合には、該当する発側IPアドレスからの前記攻撃対象向けパケットを全て抑止するように前記閾値を再設定する手段とを備えることができる。
前記攻撃パケット受信状況を確認する手段は、前記受信時刻を記録する手段による記録を参照し、前記攻撃対象の攻撃パケット受信状況を推定する手段を含むことができる。
さらに、前記判断する手段の判断結果に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットである場合には、前記攻撃元に対して警告通知を行う手段を備えることができる。
さらに、前記閾値を再設定する手段により設定された新たな閾値に基づき廃棄されたIPパケット数を計数する手段と、この計数する手段の計数結果が再設定された前記新たな閾値以前の閾値未満となったときには、前記新たな閾値を前記新たな閾値以前の閾値に置き換える手段とを備えることができる。
本発明の第三の観点は、情報処理装置にインストールすることにより、その情報処理装置に、コアネットワークと、ユーザ端末から送信される信号を処理するサーバとから構成されるネットワークシステムに備えられ前記ユーザ端末を収容するエッジルータに相応する機能を実現させるプログラムである。
ここで、本発明の特徴とするところは、前記ユーザ端末毎および宛先となる前記サーバ毎に、発側IPアドレスと、宛先IPアドレスと、宛先Port番号と、Protocol番号との組み合わせ毎に、正当なIPパケットの送信を許可するに足る単位時間当りのIPパケット送信数の閾値があらかじめ設定され、前記ユーザ端末から前記サーバに対して発信されるIPパケットに関し、発側IPアドレスと、宛先IPアドレスと、Port番号と、Protocol番号とを識別する機能と、この識別する機能による識別結果に基づいて、当該IPパケットが発側IPアドレス毎にIPパケット送信数の閾値が設定されている宛先IPアドレス、Port番号、Protocol番号の組み合わせに合致するIPパケットか否かを判定する機能と、この判定する機能により当該IPパケットが発側IPアドレス毎に閾値が設定されている宛先IPアドレス、Protocol番号、Port番号の組み合わせに合致するIPパケットであると判定された場合に、当該エッジルータが当該IPパケットを受信した時刻を記録すると共に当該IPパケット数を計数する機能と、この計数する機能により計数されたIPパケット数と発側IPアドレス毎に設定された閾値条件とを比較し、単位時間当りの該当受信IPパケット数が閾値を越えた場合に、前記閾値を越えた分の受信IPパケットを廃棄する機能とを備えたところにある。
さらに、前記閾値条件が設定されている前記ユーザ端末から受信したIPパケットについて、当該IPパケットの情報である発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号および当該IPパケットの受信時刻を記録する機能と、前記閾値設定条件に基づき廃棄を行ったIPパケットについて当該IPパケットの情報である発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号および当該IPパケットの廃棄時刻を記録する機能とを実現させることができる。
さらに、前記廃棄時刻を記録するステップによる記録を参照し、廃棄したIPパケットの発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号の情報に基づき攻撃元および攻撃対象を確認する機能と、この確認する機能により確認された前記攻撃対象の攻撃パケット受信状況を確認する機能と、この確認する機能により確認された前記攻撃パケット受信状況に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットか否かを判断する機能と、この判断する機能に判断結果に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットである場合には、該当する発側IPアドレスからの前記攻撃対象向けパケットを全て抑止するように前記閾値を再設定する機能とを実現させることができる。
前記攻撃パケット受信状況を確認する機能として、前記受信時刻を記録する機能による記録を参照し、前記攻撃対象の攻撃パケット受信状況を推定する機能を実現させることができる。
さらに、前記判断する機能の判断結果に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットである場合には、前記攻撃元に対して警告通知を行う機能を実現させることができる。
さらに、前記閾値を再設定する機能により設定された新たな閾値に基づき廃棄されたIPパケット数を計数する機能と、この計数する機能の計数結果が再設定された前記新たな閾値以前の閾値未満となったときには、前記新たな閾値を前記新たな閾値以前の閾値に置き換える機能とを実現させることができる。
本発明の第四の観点は、本発明のプログラムが記録された前記情報処理装置読取可能な記録媒体である。本発明のプログラムは本発明の記録媒体に記録されることにより、前記情報処理装置は、この記録媒体を用いて本発明のプログラムをインストールすることができる。あるいは、本発明のプログラムを保持するサーバからネットワークを介して直接前記情報処理装置に本発明のプログラムをインストールすることもできる。
これにより、汎用の情報処理装置を用いて、サーバ自身に負荷がかからず、攻撃者の直近で攻撃を防御し、ネットワークのリソースを不正利用させず、また、防御の対象となるネットワークサーバにとって有効な、単位時間あたりのIPパケット数による制限を実現することができるエッジルータを実現することができる。
本発明によれば、サーバにて、攻撃の検出および攻撃トラヒックの検出および排除を行う場合と比べて、サーバには負荷がかからず、また、検出から排除までのタイムラグも無いため、サーバが高負荷となるリスクが軽減される。
さらに、現行のネットワーク構成を変えることなく、新たな装置を設置することなく、ユーザ収容エッジノードに機能追加することにより、本発明のアプリケーション型サービス不能攻撃防御方法を実現することができる。
また、通常、エッジルータでは帯域制限(通信速度の制限)により攻撃の防御を行うが本発明の制限方法は、単位時間当りのIPパケット数の制限であり、攻撃パケットのパケットサイズに依存せず、防御が可能である。
さらに、本発明の攻撃防御位置は、攻撃者になりうるユーザ端末収容ノードであるため、他の正当ユーザおよび攻撃によるネットワークの負荷に対しての影響を効率良く軽減することが可能となる。
本発明実施例のアプリケーション型サービス不能攻撃防御方法を図1を参照して説明する。図1は本実施例のアプリケーション型サービス不能攻撃に対する防御方法を説明するためのネットワーク構成図である。符号1は、各ISP(Internet Service Provider)のコアネットワークの端の部分に位置するユーザ端末を収容するエッジルータである。符号4は各ISPのコアネットワークである。符号6はISP内でSIPプロトコルを制御するSIPサーバである。ここでは、SIPサーバを例としているが、SMTP(Simple Mail Transfer Protocol)サーバ等他の制御サーバにおいても本発明は有効である。符号2、3はSIPサーバに収容されているユーザ端末であり、それぞれ、攻撃を行う端末と正当な通信を行う端末である。
本実施例のアプリケーション型サービス不能攻撃防御方法は、図1に示すように、ISPコアネットワーク4と、ユーザ端末2、3を収容するエッジルータ1と、ユーザ端末2、3から送信される信号を処理するSIPサーバ6とから構成されるネットワークシステムに適用されるアプリケーション型サービス不能攻撃に対する防御方法である。
ここで、本実施例の特徴とするところは、ユーザ端末2、3毎および宛先となるSIPサーバ6毎に、発側IPアドレスと、宛先IPアドレスと、宛先Port番号と、Protocol番号との組み合わせ毎に、正当なIPパケットの送信を許可するに足る単位時間当りのIPパケット送信数の閾値条件があらかじめ設定され、ユーザ端末2、3を収容するエッジルータ1が実行するステップとして、ユーザ端末2、3からSIPサーバ6に対して発信されるIPパケットに関し、発側IPアドレスと、宛先IPアドレスと、Port番号と、Protocol番号とを識別するステップと、この識別するステップによる識別結果に基づいて、当該IPパケットが発側IPアドレス毎にIPパケット送信数の閾値が設定されている宛先IPアドレス、Port番号、Protocol番号の組み合わせに合致するIPパケットか否かを判定するステップと、この判定するステップにより当該IPパケットが発側IPアドレス毎に閾値が設定されている宛先IPアドレス、Protocol番号、Port番号の組み合わせに合致するIPパケットであると判定された場合に、当該エッジルータ1が当該IPパケットを受信した時刻を記録すると共に当該IPパケット数を計数するステップと、この計数するステップにより計数されたIPパケット数と発側IPアドレス毎に設定された前記閾値条件とを比較し、単位時間当りの該当受信IPパケット数が閾値を越えた場合に、前記閾値を越えた分の受信IPパケットを廃棄するステップとを実行するところにある。
さらに、エッジルータ1が実行するステップとして、前記閾値条件が設定されている前記ユーザ端末から受信したIPパケットについて、当該IPパケットの情報である発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号および当該IPパケットの受信時刻を記録するステップと、前記閾値設定条件に基づき廃棄を行ったIPパケットについて当該IPパケットの情報である発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号および当該IPパケットの廃棄時刻を記録するステップとを実行する。
さらに、エッジルータ1が実行するステップとして、前記廃棄時刻を記録するステップによる記録を参照し、廃棄したIPパケットの発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号の情報に基づき攻撃元および攻撃対象を確認するステップと、この確認するステップにより確認された前記攻撃対象の攻撃パケット受信状況を確認するステップと、この確認するステップにより確認された前記攻撃パケット受信状況に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットか否かを判断するステップと、この判断するステップの判断結果に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットである場合には、該当する発側IPアドレスからの前記攻撃対象向けパケットを全て抑止するように前記閾値を再設定するステップとを実行する。
前記攻撃パケット受信状況を確認するステップは、前記受信時刻を記録するステップによる記録を参照し、前記攻撃対象の攻撃パケット受信状況を推定するステップを含む。
さらに、前記判断するステップの判断結果に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットである場合には、前記攻撃元であるユーザ端末2に対して警告通知を行うステップを実行する。
さらに、前記閾値を再設定するステップにより設定された新たな閾値に基づき廃棄されたIPパケット数を計数するステップと、この計数するステップの計数結果が再設定された前記新たな閾値以前の閾値未満となったときには、前記新たな閾値を前記新たな閾値以前の閾値に置き換えるステップとを実行する。
次に、本実施例のエッジルータを図1および図3を参照して説明する。図3は本実施例のエッジルータにおける防御機能を提供する機能ブロック図である。
本実施例のエッジルータは、図1に示すように、ISPコアネットワーク4と、ユーザ端末2、3から送信される信号を処理するSIPサーバ6とから構成されるネットワークシステムに備えられユーザ端末2、3を収容するエッジルータ1である。
ここで、本実施例の特徴とするところは、ユーザ端末2、3毎および宛先となるSIPサーバ6毎に、発側IPアドレスと、宛先IPアドレスと、宛先Port番号と、Protocol番号との組み合わせ毎に、正当なIPパケットの送信を許可するに足る単位時間当りのIPパケット送信数の閾値があらかじめ設定され、図3に示すように、ユーザ端末2、3からSIPサーバ6に対して発信されるIPパケットに関し、発側IPアドレスと、宛先IPアドレスと、Port番号と、Protocol番号とを識別するIPパケット受信部10と、このIPパケット受信部10による識別結果に基づいて、当該IPパケットが発側IPアドレス毎にIPパケット送信数の閾値が設定されている宛先IPアドレス、Port番号、Protocol番号の組み合わせに合致するIPパケットか否かを判定するヘッダ検査部11と、このヘッダ検査部11により当該IPパケットが発側IPアドレス毎に閾値が設定されている宛先IPアドレス、Protocol番号、Port番号の組み合わせに合致するIPパケットであると判定された場合に、当該エッジルータ1が当該IPパケットを受信した時刻を記録すると共に当該IPパケット数を計数するIPパケット計数部14と、このIPパケット計数部14により計数されたIPパケット数と発側IPアドレス毎に設定された閾値条件とを比較し、単位時間当りの該当受信IPパケット数が閾値を越えた場合に、前記閾値を越えた分の受信IPパケットを廃棄する制御部17およびIPパケット廃棄部12とを備えたところにある。
さらに、前記閾値条件が設定されているユーザ端末2、3から受信したIPパケットについて、当該IPパケットの情報である発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号および当該IPパケットの受信時刻を記録する計数情報記録部15と、前記閾値設定条件に基づき廃棄を行ったIPパケットについて当該IPパケットの情報である発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号および当該IPパケットの廃棄時刻を記録するIPパケット廃棄情報記録部18とを備える。
さらに、IPパケット廃棄情報記録部18による記録を参照し、廃棄したIPパケットの発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号の情報に基づき攻撃元および攻撃対象を確認する手段と、この確認する手段により確認された前記攻撃対象の攻撃パケット受信状況を確認する手段と、この確認する手段により確認された前記攻撃パケット受信状況に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットか否かを判断する手段と、この判断する手段の判断結果に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットである場合には、該当する発側IPアドレスからの前記攻撃対象向けパケットを全て抑止するように閾値設定部16の閾値を再設定する手段とを閾値再設定部19に備える。
前記攻撃パケット受信状況を確認する手段は、計数情報記録部15による記録を参照し、前記攻撃対象の攻撃パケット受信状況を推定する手段を含む。
さらに、前記判断する手段の判断結果に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットである場合には、前記攻撃元であるユーザ端末2に対して警告通知を行う警告通知部20を備える。
さらに、IPパケット廃棄情報記録部18は、閾値再設定部19により設定された新たな閾値に基づき廃棄されたIPパケット数を計数する手段を備え、閾値再設定部19は、IPパケット廃棄情報記録部18の計数結果が再設定された前記新たな閾値以前の閾値未満となったときには、閾値設定部16に設定されている前記新たな閾値を前記新たな閾値以前の閾値に置き換える手段を備える。
本実施例は、汎用の情報処理装置にインストールすることにより、その情報処理装置に本実施例のエッジルータ1に相応する機能を実現させるプログラムとして実現することができる。このプログラムは、記録媒体に記録されて情報処理装置にインストールされ、あるいは通信回線を介して情報処理装置にインストールされることにより当該情報処理装置に、IPパケット受信部10、ヘッダ検査部11、IPパケット廃棄部12、IPパケット送信部13、IPパケット計数部14、計数情報記録部15、閾値設定部16、制御部17、IPパケット廃棄情報記録部18、閾値再設定部19、警告通知部20にそれぞれ相応する機能を実現させることができる。
以下では、本実施例をさらに詳細に説明する。
本実施例のアプリケーション型サービス不能攻撃防御方法の制御手順をSIPサーバ6を例にとり、図2のフローチャートを参照して説明する。図2はエッジルータにおける防御手順を示すフローチャートである。
図2に示すように、閾値設定部16には、IPアドレス毎に単位時間当りのIPパケット送信許可数があらかじめ設定されており(S0)、エッジルータ1のIPパケット受信部10にIPパケットが到着すると(S1)、ヘッダ検査部11は、そのIPパケットの発側IPアドレスを検査し、規制の対象であるか否かを判断し、制御対象であれば、さらに、その宛先IPアドレスがSIPサーバのIPアドレスか否か、Protocol番号が6あるいは17か、宛先ポートは5060か否かを判断し(S2)、そうであれば、IPパケット計数部14は、発ユーザ端末毎に単位時間当りの送信IPパケット数を測定し(S3)、この計数情報は計数情報記録部15に記録される(S4)。
制御部17は、IPパケット計数部14により計数されたIPパケット数と、閾値設定部16にあらかじめ設定されているIPパケット数の閾値とを比較し、単位時間当りのIPパケット送信数が通常の量(閾値未満)か否か判定する(S5)。その結果、単位時間当りのIPパケット送信数が通常の量(閾値未満)であれば、通常の処理を行うが(S6)、単位時間当りのIPパケット送信数が通常の量以上(閾値以上)であれば(S6)、IPパケット廃棄部12により閾値以上のパケットを廃棄する(S7)。廃棄したIPパケットの情報をIPパケット廃棄情報記録部18に記録する(S8)。
このように、あらかじめ定められた単位時間当りのIPパケット送信数の制限を行うことによりDoS/DDoS攻撃を行うユーザ端末が存在する場合でも、その攻撃パケット数は通常の処理に用いられる数まで抑制される。
以下では、SIPプロトコルにおける本実施例のアプリケーション型サービス不能攻撃防御方法を説明する。図4は本実施例のアプリケーション型サービス不能攻撃に対する防御方法を施さないネットワーク構成図である。なお、以下の用語解説として、IPヘッダおよびTCPヘッダ、UDPヘッダのフィールド構成図をそれぞれ、図5、図6に示す。図5はIPヘッダおよびTCPヘッダのフィールド構成を示す図である。図6はIPヘッダおよびUDPヘッダのフィールド構成を示す図である。図4ではDoS/DDoS攻撃パケットを発するユーザ端末を2、正当ユーザを3とする。
ユーザ端末2はSIPサーバ6に向けて、レイヤ5以上の処理を行うIPパケットを多数送信し、SIPサーバ6およびそこまでのネットワークを過負荷状態にし、正当なユーザ端末3がサービスを受けるのを妨害する。
図7はSIPプロトコルにおけるユーザ端末とSIPサーバとの正常シーケンス例を表している。前提として、SIPサーバ6は、TCPあるいはUDP上のSIPプロトコル(RFC3261)のサーバとして動作するものとする。図7に示すように、ユーザ端末(発)は、SIPサーバ6を経由してユーザ端末(着)にセッションの生成要求を行う(INVITE)。
SIPサーバからセッションの要求を受け取ったユーザ端末(着)はSIPサーバ6を経由して、ユーザ端末(発)にセッション生成を了解した旨を通知する(180Ringing、200OK)。ユーザ端末(発)とユーザ端末(着)の間にセッションが生成される(ACK)。
これにより、ユーザ端末(発)とユーザ端末(着)との間で通信が行われる。ユーザ端末(発)がSIPサーバ6を経由して、ユーザ端末(着)にセッション切断要求を行うことにより(BYE)、ユーザ端末(発)とユーザ端末(着)との間のセッションは削除される。
以上が正常のSIPプロトコルにおけるユーザ端末(発)、SIPサーバ、ユーザ端末(着)間のやりとりである。
次に、攻撃シーケンス例を図8を参照して説明する。図8は攻撃シーケンス例を示す図である。攻撃の形態は以下のように想定される。SIPサーバに接続要求のINVITEあるいは登録要求のREGISTERのリクエストを、攻撃端末より、多数発信することにより、SIPサーバの処理能力を著しく低下させ、また、SIPサーバに繋がるシステムおよび回線において輻輳を起こさせ、正当ユーザからの正規通信を妨げる。
通常、前記攻撃に対して、ユーザ端末収容ルータでは、帯域制限(通信速度の制限)を行い、防御策を講じるが、SIPサーバはユーザからのリクエストにより、そのリクエストに対する処理を起動させるため、単位時間当りのリクエスト数による制限を行うことが最も有効である。そこで、本発明においては、図2に示したように、単位時間当りのIPパケット数により制限を行い、攻撃を抑止する。
次に、IPパケット廃棄情報記録部18に記録された廃棄したIPパケットの情報および計数情報記録部15に記録された計数情報を利用した防御パターンの最適化方法を図9を参照して説明する。図9はIPパケット廃棄情報記録部18に記録された廃棄したIPパケットの情報および計数情報記録部15に記録された計数情報を利用した防御パターンの最適化方法を示すフローチャートである。
エッジルータの閾値再設定部19は、攻撃を実際に抑止した場合には、IPパケット廃棄情報記録部18に記録された廃棄したIPパケットの発側IPアドレス(SA)、宛先IPアドレス(DA)、宛先Port番号(DP)、Protocol番号に基づき攻撃元および攻撃対象を確認する(S9)。
また、攻撃対象となったSIPサーバ6側の攻撃パケット受信状況を確認する(S10)。この確認方法は、計数情報記録部15に記録されている攻撃対象となったSIPサーバ6宛のIPパケット数を検索することによって推定する。この他に、例えば、攻撃対象となったSIPサーバ6側に攻撃パケット受信状況の報告を要求し、当該SIPサーバ6側から直接報告を受け取るなどの方法によって確認してもよい。
これにより、攻撃は継続中であり且つ攻撃元からのSIPサーバ6宛のパケットは全て攻撃パケットであるか否かを判定し(S11)、攻撃は継続中であり且つ攻撃元からのSIPサーバ6宛のパケットは全て攻撃パケットである場合には、該当する発側IPアドレスからのSIPサーバ6向けパケットを全て抑止するように閾値設定部16の閾値を再設定する(S13)。これにより、防御パターンを能動的に最適化することができる。
さらに、警告通知部20は、計数情報記録部15に記録されたIPパケットの計数情報を添付してユーザ端末2に警告を通知する(S12)。これにより、踏み台となったユーザに対し、当該ユーザが攻撃を実行していた事実を提示でき、ユーザへのウィルス感染等の警告を発することができる。本警告により、ユーザは自端末のウィルス感染や踏み台になった事実を確認し、対処することで、被害の拡散を防止することが可能となる(S15)。
また、攻撃は継続中であり且つ攻撃元からのSIPサーバ6宛のパケットは全て攻撃パケットで無い場合は、監視を継続する(S14)。
さらに、ステップS13により閾値再設定部19が閾値設定部16に再設定した新たな閾値に基づき廃棄されたIPパケット数をIPパケット廃棄情報記録部18により計数し(S16)、閾値再設定部19は、IPパケット廃棄情報記録部18の計数結果が再設定された前記新たな閾値以前の閾値未満となったときには(S17)、閾値設定部16に設定されている前記新たな閾値を前記新たな閾値以前の閾値に置き換える(S18)。また、IPパケット廃棄情報記録部18の計数結果が再設定された前記新たな閾値以前の閾値以上のときには(S17)、閾値設定部16に設定されている閾値は前記新たな閾値のままなので、IPパケット廃棄部12によるIPパケットの全抑止は継続される(S19)。
すなわち、攻撃を回避した後に、攻撃回避用として設定された非通常の閾値がそのまま残っていると、以降に送信される正当なIPパケットまでも廃棄されてしまう可能性があるので、攻撃が終了したことが推定された後には、閾値を通常の値に置き換える。
本発明によれば、IPネットワークにおけるDoS/DDoS攻撃に対するインターネット・セキュリティの向上を図ることが可能となるため、ISP等、ネットワークおよびサービス提供者のユーザ獲得に寄与することができる。また、ネットワーク事業者におけるインターネット・セキュリティの向上のためのネットワーク変更に要する時間および費用の節約に寄与することができる。
さらに、具体的な攻撃情報を元にウィルス感染等により攻撃者となってしまったユーザに対して、警告を発することにより、ネットワーク提供者の信頼が向上し、さらに、攻撃者となったユーザからの被害の拡大を抑えることができ、ユーザ自身も賠償等による不利益を被ることを防止できる。このユーザへの警告通知自体を、IPネットワーク事業者が付加サービスとしてユーザへ提供することも可能である。
本実施例のアプリケーション型サービス不能攻撃に対する防御方法を説明するためのネットワーク構成図。 本実施例のアプリケーション型サービス不能攻撃に対するエッジルータにおける防御手順を示すフローチャート。 本実施例のアプリケーション型サービス不能攻撃に対するエッジルータにおける防御機能を提供する機能ブロック図。 本実施例のアプリケーション型サービス不能攻撃に対する防御方法を施さないネットワーク構成図。 IPヘッダおよびTCPヘッダのフィールド構成を示す図。 IPヘッダおよびUDPヘッダのフィールド構成を示す図。 正常なSIPプロトコルシーケンス例を示す図。 SIPプロトコルにおける攻撃のシーケンス例を示す図。 IPパケット廃棄情報記録部に記録された廃棄したIPパケットの情報および計数情報記録部に記録された計数情報を利用した防御パターンの最適化方法を示すフローチャート。
符号の説明
1 ユーザ端末を収容するエッジルータ
2 攻撃を行うユーザ端末
3 正当なユーザ端末
4 ISPコアネットワーク
5 SIPサーバを収容するエッジルータ
6 SIPサーバ
10 IPパケット受信部
11 ヘッダ検査部
12 IPパケット廃棄部
13 IPパケット送信部
14 IPパケット計数部
15 計数情報記録部
16 閾値設定部
17 制御部
18 IPパケット廃棄情報記録部
19 閾値再設定部
20 警告通知部

Claims (13)

  1. コアネットワークと、ユーザ端末を収容するエッジルータと、ユーザ端末から送信される信号を処理するサーバとから構成されるネットワークシステムに適用されるアプリケーション型サービス不能攻撃に対する防御方法において、
    前記ユーザ端末毎および宛先となる前記サーバ毎に、発側IP(Internet Protocol)アドレスと、宛先IPアドレスと、宛先Port番号と、Protocol番号との組み合わせ毎に、正当なIPパケットの送信を許可するに足る単位時間当りのIPパケット送信数の閾値条件があらかじめ設定され、
    前記ユーザ端末を収容する前記エッジルータが実行するステップとして、
    前記ユーザ端末から前記サーバに対して発信されるIPパケットに関し、発側IPアドレスと、宛先IPアドレスと、Port番号と、Protocol番号とを識別するステップと、
    この識別するステップによる識別結果に基づいて、当該IPパケットが発側IPアドレス毎にIPパケット送信数の閾値が設定されている宛先IPアドレス、Port番号、Protocol番号の組み合わせに合致するIPパケットか否かを判定するステップと、
    この判定するステップにより当該IPパケットが発側IPアドレス毎に閾値が設定されている宛先IPアドレス、Protocol番号、Port番号の組み合わせに合致するIPパケットであると判定された場合に、当該エッジルータが当該IPパケットを受信した時刻を記録すると共に当該IPパケット数を計数するステップと、
    この計数するステップにより計数されたIPパケット数と発側IPアドレス毎に設定された前記閾値条件とを比較し、単位時間当りの該当受信IPパケット数が閾値を越えた場合に、前記閾値を越えた分の受信IPパケットを廃棄するステップと
    を実行し、
    前記エッジルータが実行するステップとして、
    前記閾値条件が設定されている前記ユーザ端末から受信したIPパケットについて、当該IPパケットの情報である発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号および当該IPパケットの受信時刻を記録するステップと、
    前記閾値設定条件に基づき廃棄を行ったIPパケットについて当該IPパケットの情報である発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号および当該IPパケットの廃棄時刻を記録するステップと、
    前記廃棄時刻を記録するステップによる記録を参照し、廃棄したIPパケットの発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号の情報に基づき攻撃元および攻撃対象を確認するステップと、
    この確認するステップにより確認された前記攻撃対象の攻撃パケット受信状況を確認するステップと、
    この確認するステップにより確認された前記攻撃パケット受信状況に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットか否かを判断するステップと、
    この判断するステップの判断結果に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットである場合には、該当する発側IPアドレスからの前記攻撃対象向けパケットを全て抑止するように前記閾値を再設定するステップと
    を実行する
    ことを特徴とするアプリケーション型サービス不能攻撃に対する防御方法。
  2. 前記攻撃パケット受信状況を確認するステップは、前記受信時刻を記録するステップによる記録を参照し、前記攻撃対象の攻撃パケット受信状況を推定するステップを含む請求項1記載のアプリケーション型サービス不能攻撃に対する防御方法。
  3. 前記判断するステップの判断結果に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットである場合には、前記攻撃元に対して警告通知を行うステップを実行する請求項1記載のアプリケーション型サービス不能攻撃に対する防御方法。
  4. 前記閾値を再設定するステップにより設定された新たな閾値に基づき廃棄されたIPパケット数を計数するステップと、
    この計数するステップの計数結果が再設定された前記新たな閾値以前の閾値未満となったときには、前記新たな閾値を前記新たな閾値以前の閾値に置き換えるステップと
    を実行する請求項1記載のアプリケーション型サービス不能攻撃に対する防御方法。
  5. コアネットワークと、ユーザ端末から送信される信号を処理するサーバとから構成されるネットワークシステムに備えられ前記ユーザ端末を収容するエッジルータにおいて、
    前記ユーザ端末毎および宛先となる前記サーバ毎に、発側IPアドレスと、宛先IPアドレスと、宛先Port番号と、Protocol番号との組み合わせ毎に、正当なIPパケットの送信を許可するに足る単位時間当りのIPパケット送信数の閾値があらかじめ設定され、
    前記ユーザ端末から前記サーバに対して発信されるIPパケットに関し、発側IPアドレスと、宛先IPアドレスと、Port番号と、Protocol番号とを識別する手段と、
    この識別する手段による識別結果に基づいて、当該IPパケットが発側IPアドレス毎にIPパケット送信数の閾値が設定されている宛先IPアドレス、Port番号、Protocol番号の組み合わせに合致するIPパケットか否かを判定する手段と、
    この判定する手段により当該IPパケットが発側IPアドレス毎に閾値が設定されている宛先IPアドレス、Protocol番号、Port番号の組み合わせに合致するIPパケットであると判定された場合に、当該エッジルータが当該IPパケットを受信した時刻を記録すると共に当該IPパケット数を計数する手段と、
    この計数する手段により計数されたIPパケット数と発側IPアドレス毎に設定された閾値条件とを比較し、単位時間当りの該当受信IPパケット数が閾値を越えた場合に、前記閾値を越えた分の受信IPパケットを廃棄する手段と
    を備え
    前記閾値条件が設定されている前記ユーザ端末から受信したIPパケットについて、当該IPパケットの情報である発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号および当該IPパケットの受信時刻を記録する手段と、
    前記閾値設定条件に基づき廃棄を行ったIPパケットについて当該IPパケットの情報である発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号および当該IPパケットの廃棄時刻を記録する手段と、
    前記廃棄時刻を記録する手段による記録を参照し、廃棄したIPパケットの発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号の情報に基づき攻撃元および攻撃対象を確認する手段と、
    この確認する手段により確認された前記攻撃対象の攻撃パケット受信状況を確認する手段と、
    この確認する手段により確認された前記攻撃パケット受信状況に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットか否かを判断する手段と、
    この判断する手段の判断結果に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットである場合には、該当する発側IPアドレスからの前記攻撃対象向けパケットを全て抑止するように前記閾値を再設定する手段と
    を備えたことを特徴とするエッジルータ。
  6. 前記攻撃パケット受信状況を確認する手段は、前記受信時刻を記録する手段による記録を参照し、前記攻撃対象の攻撃パケット受信状況を推定する手段を含む請求項5記載のエッジルータ。
  7. 前記判断する手段の判断結果に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットである場合には、前記攻撃元に対して警告通知を行う手段を備えた請求項5記載のエッジルータ。
  8. 前記閾値を再設定する手段により設定された新たな閾値に基づき廃棄されたIPパケット数を計数する手段と、
    この計数する手段の計数結果が再設定された前記新たな閾値以前の閾値未満となったときには、前記新たな閾値を前記新たな閾値以前の閾値に置き換える手段と
    を備えた請求項5記載のエッジルータ。
  9. 情報処理装置にインストールすることにより、その情報処理装置に、
    コアネットワークと、ユーザ端末から送信される信号を処理するサーバとから構成されるネットワークシステムに備えられ前記ユーザ端末を収容するエッジルータに相応する機能を実現させるプログラムにおいて、
    前記ユーザ端末毎および宛先となる前記サーバ毎に、発側IPアドレスと、宛先IPアドレスと、宛先Port番号と、Protocol番号との組み合わせ毎に、正当なIPパケットの送信を許可するに足る単位時間当りのIPパケット送信数の閾値があらかじめ設定され、
    前記ユーザ端末から前記サーバに対して発信されるIPパケットに関し、発側IPアドレスと、宛先IPアドレスと、Port番号と、Protocol番号とを識別する機能と、
    この識別する機能による識別結果に基づいて、当該IPパケットが発側IPアドレス毎にIPパケット送信数の閾値が設定されている宛先IPアドレス、Port番号、Protocol番号の組み合わせに合致するIPパケットか否かを判定する機能と、
    この判定する機能により当該IPパケットが発側IPアドレス毎に閾値が設定されている宛先IPアドレス、Protocol番号、Port番号の組み合わせに合致するIPパケットであると判定された場合に、当該エッジルータが当該IPパケットを受信した時刻を記録すると共に当該IPパケット数を計数する機能と、
    この計数する機能により計数されたIPパケット数と発側IPアドレス毎に設定された閾値条件とを比較し、単位時間当りの該当受信IPパケット数が閾値を越えた場合に、前記閾値を越えた分の受信IPパケットを廃棄する機能と
    前記閾値条件が設定されている前記ユーザ端末から受信したIPパケットについて、当該IPパケットの情報である発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号および当該IPパケットの受信時刻を記録する機能と、
    前記閾値設定条件に基づき廃棄を行ったIPパケットについて当該IPパケットの情報である発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号および当該IPパケットの廃棄時刻を記録する機能と、
    前記廃棄時刻を記録するステップによる記録を参照し、廃棄したIPパケットの発側IPアドレス、宛先IPアドレス、Port番号、Protocol番号の情報に基づき攻撃元および攻撃対象を確認する機能と、
    この確認する機能により確認された前記攻撃対象の攻撃パケット受信状況を確認する機能と、
    この確認する機能により確認された前記攻撃パケット受信状況に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットか否かを判断する機能と、
    この判断する機能に判断結果に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットである場合には、該当する発側IPアドレスからの前記攻撃対象向けパケットを全て抑止するように前記閾値を再設定する機能と
    を備えたエッジルータに相応する機能を実現させることを特徴とするプログラム。
  10. 前記攻撃パケット受信状況を確認する機能として、前記受信時刻を記録する機能による記録を参照し、前記攻撃対象の攻撃パケット受信状況を推定する機能を実現させる請求項9記載のプログラム。
  11. 前記判断する機能の判断結果に基づき前記攻撃は継続中でありかつ前記攻撃元からの前記攻撃対象宛のパケットは全て攻撃パケットである場合には、前記攻撃元に対して警告通知を行う機能を実現させる請求項9記載のプログラム。
  12. 前記閾値を再設定する機能により設定された新たな閾値に基づき廃棄されたIPパケット数を計数する機能と、
    この計数する機能の計数結果が再設定された前記新たな閾値以前の閾値未満となったときには、前記新たな閾値を前記新たな閾値以前の閾値に置き換える機能と
    を実現させる請求項9記載のプログラム。
  13. 請求項9ないし12のいずれか1項に記載のプログラムが記録された前記情報処理装置読み取り可能な記録媒体。
JP2004280857A 2004-09-28 2004-09-28 アプリケーション型サービス不能攻撃に対する防御方法およびエッジ・ルータ Expired - Fee Related JP4278593B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004280857A JP4278593B2 (ja) 2004-09-28 2004-09-28 アプリケーション型サービス不能攻撃に対する防御方法およびエッジ・ルータ

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004280857A JP4278593B2 (ja) 2004-09-28 2004-09-28 アプリケーション型サービス不能攻撃に対する防御方法およびエッジ・ルータ

Publications (2)

Publication Number Publication Date
JP2006100874A JP2006100874A (ja) 2006-04-13
JP4278593B2 true JP4278593B2 (ja) 2009-06-17

Family

ID=36240318

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004280857A Expired - Fee Related JP4278593B2 (ja) 2004-09-28 2004-09-28 アプリケーション型サービス不能攻撃に対する防御方法およびエッジ・ルータ

Country Status (1)

Country Link
JP (1) JP4278593B2 (ja)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4887081B2 (ja) * 2006-06-12 2012-02-29 株式会社Kddi研究所 通信監視装置、通信監視方法およびプログラム
CN1968147B (zh) * 2006-11-27 2010-04-14 华为技术有限公司 业务处理方法、网络设备及业务处理系统
KR101221045B1 (ko) * 2008-12-22 2013-01-10 한국전자통신연구원 패킷 처리 방법 및 이를 이용한 toe 장치
JP5300642B2 (ja) * 2009-07-27 2013-09-25 日本電信電話株式会社 通信網における頻出フロー検出方法と装置およびプログラム
JP5405414B2 (ja) * 2010-08-13 2014-02-05 日本電信電話株式会社 セキュリティ装置及びフロー特定方法
EP2688329B1 (en) * 2011-03-17 2019-05-01 Nec Corporation Communication system, base station, and method for coping with cyber attacks
JP5596626B2 (ja) * 2011-06-09 2014-09-24 日本電信電話株式会社 DoS攻撃検出方法及びDoS攻撃検出装置
JP5898633B2 (ja) * 2013-02-13 2016-04-06 日本電信電話株式会社 通信装置
JP2016163180A (ja) 2015-03-02 2016-09-05 日本電気株式会社 通信システム、通信方法、及びプログラム
JP6310874B2 (ja) * 2015-03-12 2018-04-11 株式会社日立製作所 インシデント検知システム
CN106302318A (zh) 2015-05-15 2017-01-04 阿里巴巴集团控股有限公司 一种网站攻击防御方法及装置
JP7277168B2 (ja) * 2019-02-20 2023-05-18 キヤノン株式会社 リソースサービスシステム、及び、制御方法

Also Published As

Publication number Publication date
JP2006100874A (ja) 2006-04-13

Similar Documents

Publication Publication Date Title
US7478429B2 (en) Network overload detection and mitigation system and method
US8295188B2 (en) VoIP security
US7930740B2 (en) System and method for detection and mitigation of distributed denial of service attacks
US7331060B1 (en) Dynamic DoS flooding protection
US8370937B2 (en) Handling of DDoS attacks from NAT or proxy devices
KR101107742B1 (ko) 에스아이피(sip) 기반 서비스의 보호를 위한 sip 침입 탐지 및 대응 시스템
WO2008148106A1 (en) Proactive test-based differentiation method and system to mitigate low rate dos attacks
JP4278593B2 (ja) アプリケーション型サービス不能攻撃に対する防御方法およびエッジ・ルータ
CN1968272A (zh) 应用层入口过滤
US8006303B1 (en) System, method and program product for intrusion protection of a network
CN109005175A (zh) 网络防护方法、装置、服务器及存储介质
JP3928866B2 (ja) DoS攻撃元検出方法、DoS攻撃阻止方法、セッション制御装置、ルータ制御装置、プログラムおよびその記録媒体
US20130139246A1 (en) Transparent bridge device
JP2004140524A (ja) DoS攻撃検知方法、DoS攻撃検知装置及びプログラム
JP4284248B2 (ja) アプリケーションサービス拒絶攻撃防御方法及びシステム並びにプログラム
JP3966231B2 (ja) ネットワークシステムと不正アクセス制御方法およびプログラム
EP1461704B1 (en) Protecting against malicious traffic
JP3643087B2 (ja) 通信網およびルータおよび分散型サービス拒絶攻撃検出防御方法
JP4878630B2 (ja) 通信サーバおよびDoS攻撃防御方法
KR20120107232A (ko) 이상 트래픽 자동 차단 시스템 및 방법
JP4602158B2 (ja) サーバ装置保護システム
JP2006023934A (ja) サービス拒絶攻撃防御方法およびシステム
EP2109279B1 (en) Method and system for mitigation of distributed denial of service attacks using geographical source and time information
JP3828523B2 (ja) 不正アクセス防御装置及びプログラム
JP3784799B2 (ja) 攻撃パケット防御システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060718

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080619

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080701

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080822

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090310

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090310

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120319

Year of fee payment: 3

R151 Written notification of patent or utility model registration

Ref document number: 4278593

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120319

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130319

Year of fee payment: 4

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees