JP2003289337A - Communication network, router, and distributed service refusal attack detection and defense method - Google Patents
Communication network, router, and distributed service refusal attack detection and defense methodInfo
- Publication number
- JP2003289337A JP2003289337A JP2002091785A JP2002091785A JP2003289337A JP 2003289337 A JP2003289337 A JP 2003289337A JP 2002091785 A JP2002091785 A JP 2002091785A JP 2002091785 A JP2002091785 A JP 2002091785A JP 2003289337 A JP2003289337 A JP 2003289337A
- Authority
- JP
- Japan
- Prior art keywords
- function
- counting
- tcp
- alarm
- communication network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明はIP通信網における
DOS攻撃(Denial of Services attack)に対処するイ
ンターネットセキュリティ向上技術の分野に属する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention belongs to the field of Internet security improving technology for dealing with a DOS attack (Denial of Services attack) in an IP communication network.
【0002】[0002]
【従来の技術】分散型サービス拒絶攻撃(DDOSA:D
istributed Denial of Services Attack)について、図
7ないし図9を参照して説明する。図7は従来の通信網
の概念図である。図8は3ウェイハンドシェークを説明
するための図である。図9はTCP/IPパケットのフ
ォーマットを示す図である。1〜4は外部通信網で、外
部通信網1にはルータ10〜12が、外部通信網2には
ルータ20〜22が、外部通信網3にはルータ30〜3
2が、外部通信網4にはルータ40〜42がそれぞれ属
している。2. Description of the Related Art Distributed denial of service (DDOSA: D
(Istributed Denial of Services Attack) will be described with reference to FIGS. 7 to 9. FIG. 7 is a conceptual diagram of a conventional communication network. FIG. 8 is a diagram for explaining the 3-way handshake. FIG. 9 is a diagram showing the format of a TCP / IP packet. Reference numerals 1 to 4 denote external communication networks. The external communication network 1 includes routers 10 to 12, the external communication network 2 includes routers 20 to 22, and the external communication network 3 includes routers 30 to 3.
2 and routers 40 to 42 belong to the external communication network 4, respectively.
【0003】ボーダルータ44〜49が通信網5により
それぞれ結ばれている。分散型サービス拒絶攻撃をしか
ける悪意のあるユーザは複数の分散したサイト端末13
および23から外部通信網1内のルータ10および外部
通信網2内のルータ20を経由して通信網5内のターゲ
ットサーバ57に、TCP−SYN(コネクション確立
要求)パケット攻撃を一斉にしかける。Border routers 44 to 49 are connected by a communication network 5. A malicious user who launches a distributed denial of service attack may have multiple distributed site terminals 13
And 23 from the routers 10 in the external communication network 1 and the router 20 in the external communication network 2 to the target server 57 in the communication network 5 to simultaneously perform a TCP-SYN (connection establishment request) packet attack.
【0004】これらのTCP−SYNパケットがそれぞ
れ図8に示す3ウェイハンドシェークでTCPセッショ
ン確立を試み、この3ウェイハンドシェークのセッショ
ン途中で悪意のあるユーザのサイト端末13側あるいは
23側がセッション放棄する。すなわち、図8において
悪意のあるユーザのサイト端末13あるいは23はの
TCP−ACK(確認応答)+SYNパケットを受信し
てものTCP−ACKパケットを出さない。これによ
りターゲットサーバ57は、このTCP−ACKパケッ
トの待ちの状態を続けるので、このようなTCP−SY
Nパケット攻撃を頻繁に多数受けるとターゲットサーバ
57は過負荷状態に陥りサーバ機能が停止してしまう。Each of these TCP-SYN packets attempts to establish a TCP session by the 3-way handshake shown in FIG. 8, and the site terminal 13 side or 23 side of the malicious user abandons the session during the 3-way handshake session. That is, in FIG. 8, the malicious user's site terminal 13 or 23 does not issue a TCP-ACK packet even if it receives a TCP-ACK (acknowledgement) + SYN packet. As a result, the target server 57 continues to wait for this TCP-ACK packet.
If a large number of N-packet attacks are received, the target server 57 will be overloaded and the server function will stop.
【0005】TCPセッションの確立時におけるTCP
−SYNパケットの働きおよびTCP/IPパケットの
フォーマットの概要を以下に説明する。図9はTCP/
IPパケットのフォーマット説明図である。TCP/I
PパケットはIP通信網の基本的な通信手順であるTC
PとIPのパケットであり、その詳しい構成がIPヘッ
ダ(IP header)、TCPヘッダ(TCP header)として図9
に示されている。IPヘッダは宛先のサーバやルータの
アドレス(Destination Address:以下DAと略す)や発信
元アドレス(Source Address:以下SAと略す)などを含
む20Byteで構成され、TCPヘッダはSYN(コ
ネクション確立要求(SYN=1))やACK(確認応
答(ACK=1))などの制御フラグを含む20Byt
e(オプション無し)の構成である。TCP at the time of establishing a TCP session
The outline of the function of the SYN packet and the format of the TCP / IP packet will be described below. Figure 9 shows TCP /
It is a format explanatory drawing of an IP packet. TCP / I
P packet is TC which is a basic communication procedure of IP communication network.
These are P and IP packets, the detailed structure of which is shown as an IP header (IP header) and a TCP header (TCP header) in FIG.
Is shown in. The IP header is composed of 20 Bytes including the destination server or router address (Destination Address: abbreviated as DA hereinafter) and the source address (Source Address: abbreviated as SA hereinafter), and the TCP header is SYN (connection establishment request (SYN)). = 1)) and ACK (acknowledgement (ACK = 1)) and other 20 control flags
e (no option).
【0006】図8の3ウェイハンドシェークによる通信
確立を詳細に説明する。TCP/IPによるコネクショ
ンの確立はまずサイト端末13がTCP−SYNパケッ
ト(図9でSYN=1としたパケット)を送信先のター
ゲットサーバ57に送ると(図8の)、ターゲットサ
ーバ57はTCP−ACK+SYNパケット(図9でA
CK=1、SYN=1としたパケット)を送り返し(図
8の)、ここで端末が正常な端末であればTCP−A
CKパケット(図9でACK=1としたパケット)を送
り返し(図3の)、このの段階で“3ウェイハンド
シェーク”が成立し、サイト端末13とターゲットサー
バ57による通信が開始する段取りであるが、悪意のあ
るユーザのサイト端末13がTCP−SYNパケット攻
撃をする場合にはTCP−ACKパケットを送り返さ
ず、ターゲットサーバ57はこのパケット待ちの状態を
続けるので、このようなTCP−SYNパケット攻撃を
頻繁に多数受けるとターゲットサーバ57は過負荷状態
に陥りサーバ機能が停止してしまう。Communication establishment by the three-way handshake shown in FIG. 8 will be described in detail. To establish a connection by TCP / IP, first, when the site terminal 13 sends a TCP-SYN packet (a packet in which SYN = 1 in FIG. 9) to the destination target server 57 (FIG. 8), the target server 57 sends TCP-SYN packet. ACK + SYN packet (A in FIG. 9)
(CK = 1, SYN = 1 packet) is sent back (in FIG. 8), and if the terminal is a normal terminal, TCP-A
A CK packet (a packet with ACK = 1 in FIG. 9) is sent back (in FIG. 3), the "3-way handshake" is established at this stage, and the communication between the site terminal 13 and the target server 57 starts. When the malicious user's site terminal 13 makes a TCP-SYN packet attack, the TCP-ACK packet is not sent back and the target server 57 continues to wait for this packet. If the target server 57 is frequently received, the target server 57 will be overloaded and the server function will stop.
【0007】[0007]
【発明が解決しようとする課題】このように、分散型サ
ービス拒絶攻撃は、悪意のあるユーザが複数の分散した
サイト端末を踏み台にし、特定のWebサーバに無数の
TCPセッション確立を試みることで過負荷にする攻撃
であり、TCPセッションの送信元が分散しているた
め、悪意のあるユーザのサイト端末を特定するのが困難
であり、拒絶攻撃に対する対策を立てることも困難であ
る。As described above, the distributed denial of service attack is caused by a malicious user attempting to establish an infinite number of TCP sessions to a specific Web server by using a plurality of distributed site terminals as a stepping stone. This is a load attack, and since the TCP session transmission sources are distributed, it is difficult to identify the site terminal of a malicious user, and it is also difficult to take countermeasures against a rejection attack.
【0008】本発明は、このような背景に行われたもの
であって、分散型サービス拒絶攻撃のような悪意のある
ユーザからの高度な攻撃を検出し、悪意呼の網流入の制
限や停止を行うなど的確なアクションをとることにより
ターゲットサーバが過負荷に陥ることを免れることがで
きる通信網およびルータおよびプログラムおよび記録媒
体および分散型サービス拒絶攻撃検出防御方法を提供す
ることを目的とする。The present invention has been made against such a background, and detects a sophisticated attack from a malicious user such as a distributed denial of service attack to limit or stop the inflow of malicious calls to the network. It is an object of the present invention to provide a communication network, a router, a program, a recording medium, and a distributed denial-of-service attack detection / defense method that can avoid the target server from being overloaded by taking an appropriate action such as performing.
【0009】[0009]
【課題を解決するための手段】本発明は、通信網におけ
る複数のボーダルータがTCP−SYNパケットを監視
し、宛先毎にTCP−SYNパケットを計数および集計
し、この集計結果を複数のボーダルータ相互間で交換す
ることにより、これらのボーダルータを経由して当該通
信網に流入するTCP−SYNパケットを監視し、同一
宛先に対して異常な個数で流入するTCP−SYNパケ
ットについては、これを分散型サービス拒絶攻撃を目的
とするTCP−SYNパケットと判断してこの流入を抑
制することを特徴とする。According to the present invention, a plurality of border routers in a communication network monitor TCP-SYN packets, count and total the TCP-SYN packets for each destination, and collect the results of the counting. By exchanging with each other, TCP-SYN packets flowing into the communication network via these border routers are monitored, and an abnormal number of TCP-SYN packets flowing into the same destination is monitored. It is characterized in that it is judged that the packet is a TCP-SYN packet intended for a distributed denial of service attack, and this inflow is suppressed.
【0010】すなわち、本発明の第一の観点は、複数の
外部通信網にそれぞれ接続された複数のボーダルータを
備えた通信網であって、本発明の特徴とするところは、
前記ボーダルータは、自通信網に流入するコネクション
確立要求を含むTCP−SYNパケットを監視する手段
を備え、この監視する手段は、同一宛先アドレスを有す
るTCP−SYNパケットの個数を計数する手段と、こ
の計数する手段の計数結果を他ボーダルータに通知する
手段と、他ボーダルータからの前記計数する手段の計数
結果を受け取る手段と、この受け取る手段により受け取
った他ボーダルータにおける計数結果および前記計数す
る手段による自ボーダルータの計数結果に基づき計数結
果を集計する手段とを備え、この集計する手段は、前記
計数結果の所定時間内の増加率を検出する手段と、この
検出する手段の検出結果が閾値を超えるときには前記同
一宛先アドレスの情報を含む警報を発出する手段とを備
えたところにある。That is, a first aspect of the present invention is a communication network including a plurality of border routers respectively connected to a plurality of external communication networks, and the features of the present invention are as follows.
The border router includes means for monitoring a TCP-SYN packet including a connection establishment request flowing into its own communication network, and this monitoring means counts the number of TCP-SYN packets having the same destination address, Means for notifying the other border router of the counting result of the counting means, means for receiving the counting result of the counting means from the other border router, and counting result in the other border router received by the receiving means and the counting Means for totaling the counting results based on the counting results of the own border router by the means, the means for totalizing the means for detecting the increase rate of the counting results within a predetermined time, and the detection result of the means for detecting. And a means for issuing an alarm including the information of the same destination address when the threshold value is exceeded.
【0011】さらに、前記集計する手段は、集計された
同一宛先アドレスを有するTCP−SYNパケットの送
信元アドレスを特定する手段を備え、前記警報を発出す
る手段は、前記検出する手段の検出結果が閾値を超える
ときには当該特定する手段により特定された送信元アド
レスの情報を前記警報に書込む手段を備えることもでき
る。Further, the counting means includes means for specifying a source address of a TCP-SYN packet having the same totalized destination address, and the means for issuing the alarm is the detection result of the detecting means. When the threshold value is exceeded, it is possible to provide a means for writing the information of the source address specified by the specifying means in the alarm.
【0012】前記警報を発出する手段から発出された警
報に基づき当該警報に含まれる前記同一宛先アドレスま
たは前記送信元アドレスを有するTCP−SYNパケッ
トの当該通信網への流入を抑制する手段を備えることが
望ましい。On the basis of the alarm issued by the means for issuing the alarm, there is provided means for suppressing the inflow of the TCP-SYN packet having the same destination address or the source address included in the alarm into the communication network. Is desirable.
【0013】これにより、分散型サービス拒絶攻撃を行
っている悪意のあるユーザのサイト端末が特定できれ
ば、宛先アドレスによるTCP−SYNパケット流入抑
制とともに送信元アドレスによる流入抑制も行えるた
め、宛先アドレスのみによる流入抑制と比較してより確
実な流入抑制効果を期待することができる。As a result, if the site terminal of the malicious user who is performing the distributed denial of service attack can be identified, the TCP-SYN packet inflow control by the destination address and the inflow control by the source address can be performed. A more reliable inflow suppression effect can be expected as compared with inflow suppression.
【0014】例えば、宛先アドレスによるTCP−SY
Nパケットの流入抑制では、悪意のあるユーザのサイト
端末以外の一般の端末からのTCP−SYNパケットも
流入が抑制されてしまう可能性があるが、送信元アドレ
スによる流入抑制ができれば、悪意のあるユーザのサイ
ト端末によるものとそうでないものとを区別して抑制す
ることができる。さらに、このサイト端末のユーザに対
して以後、このような行為を行わないように警告を送付
することもできる。For example, TCP-SY based on the destination address
The suppression of the inflow of N packets may also suppress the inflow of TCP-SYN packets from general terminals other than the malicious user's site terminal, but if the suppression of the inflow by the source address is malicious, it may be malicious. It is possible to distinguish between those caused by the user's site terminal and those not. Further, it is possible to send a warning to the user of this site terminal not to perform such an action thereafter.
【0015】前記通知する手段および前記受け取る手段
は、I−BGP(Internet-Border Gateway Protocol)を
用いて前記計数結果を送受信する手段を備えることが望
ましい。すなわち、TCP−IPはインターネット通信
の基本である第3層、第4層に関する通信であるのに対
し、I−BGPは動的経路プロトコルであり、AS(自
立システム)内で使用する境界ゲートウェイプロトコル
による通信機能である。これにより、通常のデータ通信
とは異なる独立した確実かつ速やかな通信を行うことが
できるので、分散型サービス拒絶攻撃を確実かつ速やか
に検出して防御することができる。It is desirable that the notifying means and the receiving means include means for transmitting / receiving the counting result by using I-BGP (Internet-Border Gateway Protocol). That is, TCP-IP is communication relating to the third and fourth layers, which is the basis of Internet communication, whereas I-BGP is a dynamic route protocol, which is a boundary gateway protocol used in AS (independent system). Is a communication function. As a result, since independent and reliable and prompt communication different from normal data communication can be performed, a distributed denial of service attack can be surely and promptly detected and prevented.
【0016】本発明の第二の観点はルータであって、本
発明の特徴とするところは、外部通信網に接続され、自
通信網に流入するコネクション確立要求を含むTCP−
SYNパケットを監視する手段を備え、この監視する手
段は、同一宛先アドレスを有するTCP−SYNパケッ
トの個数を計数する手段と、この計数する手段の計数結
果を他ボーダルータに通知する手段と、他ボーダルータ
からの前記計数する手段の計数結果を受け取る手段と、
この受け取る手段により受け取った他ボーダルータにお
ける計数結果および前記計数する手段による自ボーダル
ータの計数結果に基づき計数結果を集計する手段とを備
え、この集計する手段は、前記計数結果の所定時間内の
増加率を検出する手段と、この検出する手段の検出結果
が閾値を超えるときには前記同一宛先アドレスの情報を
含む警報を発出する手段とを備えたところにある。A second aspect of the present invention is a router, which is characterized by the fact that a TCP-connection including a connection establishment request that is connected to an external communication network and flows into the own communication network.
A means for monitoring the SYN packet is provided, and this monitoring means comprises means for counting the number of TCP-SYN packets having the same destination address, means for notifying another border router of the counting result of this counting means, and others. Means for receiving the counting result of the counting means from the border router,
And a means for totaling the counting results based on the counting results of the other border routers received by the receiving means and the counting results of the own border router by the counting means, the counting means being within a predetermined time of the counting results. It is provided with means for detecting the increase rate and means for issuing an alarm including the information of the same destination address when the detection result of the detecting means exceeds a threshold value.
【0017】前記集計する手段は、集計された同一宛先
アドレスを有するTCP−SYNパケットの送信元アド
レスを特定する手段を備え、前記警報を発出する手段
は、前記検出する手段の検出結果が閾値を超えるときに
は当該特定する手段により特定された送信元アドレスの
情報を前記警報に書込む手段を備えることもできる。The means for totaling comprises means for specifying the source address of the TCP-SYN packets having the totaled same destination address, and the means for issuing the alarm is such that the detection result of the means for detecting has a threshold value. When exceeding the threshold, a means for writing the information of the source address specified by the specifying means in the alarm may be provided.
【0018】前記警報を発出する手段から発出された警
報に基づき当該警報に含まれる前記同一宛先アドレスま
たは前記送信元アドレスを有するTCP−SYNパケッ
トの当該通信網への流入を抑制する手段を備えることが
望ましい。Based on the alarm issued from the alarm issuing means, means for suppressing the inflow of the TCP-SYN packet having the same destination address or the source address included in the alarm into the communication network is provided. Is desirable.
【0019】前記通知する手段および前記受け取る手段
は、I−BGPを用いて前記計数結果を送受信する手段
を備えることが望ましい。The notifying means and the receiving means preferably include means for transmitting and receiving the counting result using I-BGP.
【0020】本発明の第三の観点はプログラムであっ
て、本発明の特徴とするところは、情報処理装置にイン
ストールすることにより、その情報処理装置に、外部通
信網に接続されたルータを制御する装置に相応する機能
として、自通信網に流入するコネクション確立要求を含
むTCP−SYNパケットを監視する機能を実現させ、
この監視する機能として、同一宛先アドレスを有するT
CP−SYNパケットの個数を計数する機能と、この計
数する機能の計数結果を他ボーダルータに通知する機能
と、他ボーダルータからの前記計数する機能の計数結果
を受け取る機能と、この受け取る機能により受け取った
他ボーダルータにおける計数結果および前記計数する機
能による自ボーダルータの計数結果に基づき計数結果を
集計する機能とを実現させ、この集計する機能として、
前記計数結果の所定時間内の増加率を検出する機能と、
この検出する機能の検出結果が閾値を超えるときには前
記同一宛先アドレスの情報を含む警報を発出する機能と
を実現させるところにある。A third aspect of the present invention is a program, which is characterized by being installed in an information processing device so that the information processing device controls a router connected to an external communication network. As a function corresponding to the device, a function of monitoring a TCP-SYN packet including a connection establishment request flowing into the own communication network is realized,
As a function of this monitoring, T having the same destination address
By the function of counting the number of CP-SYN packets, the function of notifying other border routers of the counting result of this counting function, the function of receiving the counting result of the counting function from other border routers, and the function of receiving this The function of totaling the count results based on the count results of the other border routers received and the count result of the own border router by the counting function is implemented, and as the function of this count,
A function of detecting an increase rate of the counting result within a predetermined time,
The function of issuing an alarm including the information of the same destination address when the detection result of the detecting function exceeds the threshold value is realized.
【0021】前記集計する機能として、集計された同一
宛先アドレスを有するTCP−SYNパケットの送信元
アドレスを特定する機能を実現させ、前記警報を発出す
る機能として、前記検出する機能の検出結果が閾値を超
えるときには当該特定する機能により特定された送信元
アドレスの情報を前記警報に書込む機能を実現させるこ
ともできる。As a function of totaling, a function of specifying a source address of a TCP-SYN packet having the same totalized destination address is realized, and as a function of issuing the alarm, a detection result of the detecting function is a threshold value. When the value exceeds the limit, the function of writing the information of the source address specified by the specifying function in the alarm can be realized.
【0022】前記警報を発出する機能から発出された警
報に基づき当該警報に含まれる前記同一宛先アドレスま
たは前記送信元アドレスを有するTCP−SYNパケッ
トの当該通信網への流入を抑制する機能を実現させるこ
とが望ましい。Based on the alarm issued by the function for issuing the alarm, a function for suppressing the inflow of the TCP-SYN packet having the same destination address or the source address included in the alarm into the communication network is realized. Is desirable.
【0023】前記通知する機能および前記受け取る機能
として、I−BGPを用いて前記計数結果を送受信する
機能を実現させることが望ましい。As the notification function and the reception function, it is desirable to realize a function of transmitting and receiving the counting result by using I-BGP.
【0024】本発明の第四の観点は、本発明のプログラ
ムが記録された前記情報処理装置読取可能な記録媒体で
ある。本発明のプログラムは本発明の記録媒体に記録さ
れることにより、前記情報処理装置は、この記録媒体を
用いて本発明のプログラムをインストールすることがで
きる。あるいは、本発明のプログラムを保持するサーバ
からネットワークを介して直接前記情報処理装置に本発
明のプログラムをインストールすることもできる。A fourth aspect of the present invention is a recording medium readable by the information processing device, in which the program of the present invention is recorded. By recording the program of the present invention on the recording medium of the present invention, the information processing apparatus can install the program of the present invention using this recording medium. Alternatively, the program of the present invention can be installed in the information processing apparatus directly from a server holding the program of the present invention via a network.
【0025】これにより、コンピュータ装置等の情報処
理装置を用いて、分散型サービス拒絶攻撃のような悪意
のあるユーザからの高度な攻撃を検出し、悪意呼の網流
入の制限や停止を行うなど的確なアクションをとること
によりターゲットサーバが過負荷に陥ることを免れるこ
とができるルータを備えた通信網を実現することができ
る。With this, by using an information processing device such as a computer device, a sophisticated attack from a malicious user such as a distributed denial of service attack is detected, and the inflow of malicious calls to the network is restricted or stopped. By taking appropriate action, it is possible to realize a communication network equipped with a router that can avoid the target server from being overloaded.
【0026】本発明の第五の観点は、複数の外部通信網
にそれぞれ接続された複数のボーダルータを備えた通信
網に適用される分散型サービス拒絶攻撃検出防御方法で
あって、本発明の特徴とするところは、前記ボーダルー
タにより、自通信網に流入するコネクション確立要求を
含むTCP−SYNパケットを監視し、同一宛先アドレ
スを有するTCP−SYNパケットの個数を計数し、こ
の計数結果を他ボーダルータに通知するとともに他ボー
ダルータからの計数結果を受け取り、この受け取った他
ボーダルータにおける計数結果および自ボーダルータの
計数結果に基づき計数結果を集計し、この計数結果の所
定時間内の増加率を検出し、この検出結果が閾値を超え
るときには前記同一宛先アドレスの情報を含む警報を発
出するところにある。A fifth aspect of the present invention is a distributed denial of service attack detection and protection method applied to a communication network having a plurality of border routers connected to a plurality of external communication networks, respectively. The feature is that the border router monitors TCP-SYN packets including a connection establishment request flowing into its own communication network, counts the number of TCP-SYN packets having the same destination address, and outputs the count result to another. Notifies the border router and receives counting results from other border routers, totals the counting results based on the received counting results of the other border routers and the counting results of its own border router, and the increase rate of this counting result within the specified time Is detected, and when this detection result exceeds the threshold value, an alarm including the information of the same destination address is issued. .
【0027】集計された同一宛先アドレスを有するTC
P−SYNパケットの送信元アドレスを特定し、警報を
発出する際には、この特定された送信元アドレスの情報
を前記警報に書込むこともできる。TC having the same total destination address
When the source address of the P-SYN packet is specified and an alarm is issued, information on the specified source address can be written in the alarm.
【0028】発出された警報に基づき当該警報に含まれ
る前記同一宛先アドレスまたは前記送信元アドレスを有
するTCP−SYNパケットの当該通信網への流入を抑
制することが望ましい。It is desirable to suppress the inflow of the TCP-SYN packet having the same destination address or the source address included in the alarm into the communication network based on the alarm issued.
【0029】前記ボーダルータ相互間では、I−BGP
を用いて前記計数結果を送受信することが望ましい。I-BGP is used between the border routers.
It is desirable to transmit and receive the counting result by using.
【0030】[0030]
【発明の実施の形態】本発明実施例の通信網を図1ない
し図6を参照して説明する。図1は本実施例の通信網の
概念図である。図2は本実施例のボーダルータの機能構
成図である。図3および図4は本実施例の異常パケット
検出手順を示す図である。図5は本実施例のボーダルー
タの動作を示すフローチャートである。図6は本実施例
の図1より多くの攻撃地点を有する通信網の概念図であ
る。DETAILED DESCRIPTION OF THE INVENTION A communication network according to an embodiment of the present invention will be described with reference to FIGS. FIG. 1 is a conceptual diagram of the communication network of this embodiment. FIG. 2 is a functional block diagram of the border router of this embodiment. 3 and 4 are diagrams showing an abnormal packet detection procedure of this embodiment. FIG. 5 is a flowchart showing the operation of the border router of this embodiment. FIG. 6 is a conceptual diagram of a communication network having more attack points than FIG. 1 of the present embodiment.
【0031】本実施例は、図1に示すように、複数の外
部通信網1〜4にそれぞれ接続された複数のボーダルー
タ51〜56を備えた通信網5であって、本実施例の特
徴とするところは、ボーダルータ51〜56は、図2に
示すように、自通信網5に流入するコネクション確立要
求を含むTCP−SYNパケットを監視する分散型サー
ビス拒絶攻撃検出防御部515を備え、この分散型サー
ビス拒絶攻撃検出防御部515は、同一宛先アドレスを
有するTCP−SYNパケットの個数を計数する流入T
CP−SYNパケット計数機能511と、この流入TC
P−SYNパケット計数機能511の計数結果を他ボー
ダルータに通知するとともに、他ボーダルータからの流
入TCP−SYNパケット計数機能511による前記計
数結果を受け取るI−BGP通信機能513と、このI
−BGP通信機能513により受け取った他ボーダルー
タにおける計数結果および流入TCP−SYNパケット
計数機能511による自ボーダルータの計数結果に基づ
き計数結果を集計する流入パケット異常判定機能512
とを備え、この流入パケット異常判定機能512は、前
記計数結果の所定時間内の増加率を検出し、この検出結
果が閾値を超えるときには前記同一宛先アドレスの情報
を含む警報を発出するところにある。The present embodiment is a communication network 5 having a plurality of border routers 51 to 56 connected to a plurality of external communication networks 1 to 4, respectively, as shown in FIG. However, as shown in FIG. 2, the border routers 51 to 56 each include a distributed denial of service attack detection protection unit 515 that monitors a TCP-SYN packet including a connection establishment request flowing into the own communication network 5. The distributed denial of service attack detection / defense unit 515 counts the number of TCP-SYN packets having the same destination address.
CP-SYN packet counting function 511 and this inflow TC
The I-BGP communication function 513 which notifies the counting result of the P-SYN packet counting function 511 to the other border router and receives the counting result by the inflow TCP-SYN packet counting function 511 from the other border router, and this I
An inflow packet abnormality determination function 512 that aggregates the counting results based on the counting result of the other border router received by the BGP communication function 513 and the counting result of the own border router by the inflow TCP-SYN packet counting function 511.
The inflow packet abnormality determination function 512 detects an increase rate of the counting result within a predetermined time, and issues an alarm including the information of the same destination address when the detection result exceeds a threshold value. .
【0032】また、悪意のあるユーザのサイト端末が他
の端末に成り代わっていない場合には、流入パケット異
常判定機能512は、集計された同一宛先アドレスを有
するTCP−SYNパケットの送信元アドレスを特定す
ることができ、当該特定された送信元アドレスの情報を
前記警報に書込むことができる。When the malicious user's site terminal does not substitute for another terminal, the inflow packet abnormality determination function 512 determines the source address of the TCP-SYN packet having the same total destination address. The alarm can be specified, and the information of the specified source address can be written in the alarm.
【0033】ルータ基本機能510は、流入パケット異
常判定機能512から発出された警報に基づき当該警報
に含まれる前記同一宛先アドレスまたは前記送信元アド
レスを有するTCP−SYNパケットの当該通信網への
流入を抑制する。Based on the alarm issued from the inflow packet abnormality determination function 512, the router basic function 510 checks the inflow of the TCP-SYN packet having the same destination address or the source address included in the alarm to the communication network. Suppress.
【0034】また、I−BGP通信機能513は、I−
BGPを用いて前記計数結果を送受信する。Further, the I-BGP communication function 513 uses the I-BGP communication function 513.
The counting result is transmitted and received using BGP.
【0035】以下では、本実施例をさらに詳細に説明す
る。The present embodiment will be described in more detail below.
【0036】本実施例の通信網5は、図1に示すよう
に、ボーダルータ51〜56が通信網5に流入するTC
P−SYNパケットをモニタし、宛先毎のTCP−SY
Nパケットを計数および集計し、全ボーダルータ51〜
56はTCP−SYNパケットの前記集計の結果として
の情報をI−BGPを用いて相互に交換通知しあい、悪
意呼であるTCP−SYNパケットが異常に流入すると
判明したボーダルータ51および52は送信元のサイト
端末13および23からのターゲットサーバ57宛のT
CP−SYNパケットの流入量を抑制するかあるいは全
て廃棄することでターゲットサーバ57は過負荷の状態
から解放される。In the communication network 5 of this embodiment, as shown in FIG. 1, the TCs in which the border routers 51 to 56 flow into the communication network 5.
Monitors P-SYN packet and TCP-SY for each destination
N packets are counted and totaled, and all border routers 51 to
56 mutually exchanges information as a result of the above-mentioned aggregation of TCP-SYN packets using I-BGP, and the border routers 51 and 52, which are found to be an abnormal inflow of malicious TCP-SYN packets, are the senders. To the target server 57 from the site terminals 13 and 23 of
The target server 57 is released from the overloaded state by suppressing the inflow of CP-SYN packets or discarding all of them.
【0037】図2に示すように、ルータ基本機能510
は、IPパケットを宛先ホストに届けるための中継(ル
ーティング)機能をはじめ各種ネットワーク層(第3
層)プロトコルに対応したマルチプロトコル機能を含ん
でいる。また、本実施例では、流入パケット異常判定機
能512から発出される警報に基づき、TCP−SYN
パケットを廃棄する機能も備えている。As shown in FIG. 2, a basic router function 510 is provided.
Is a network layer (3rd layer) including a relay function for delivering IP packets to a destination host.
Layer) Includes multi-protocol function corresponding to the protocol. Further, in the present embodiment, based on the alarm issued from the inflow packet abnormality determination function 512, TCP-SYN
It also has the function of discarding packets.
【0038】流入TCP−SYNパケット計数機能51
1はTCP−SYNパケットの送信元IPアドレス、宛
先IPアドレス、情報量、時刻に対応して当該パケット
数を計数する。また、流入パケット異常判定機能512
は、流入TCP−SYNパケット計数機能511の計数
結果を時系列的に比較して単位時間当りの集計データが
正常かあるいは異常かを判定する。例えば、単位時間Δ
t当り増加率が100倍になれば異常と判定する。Incoming TCP-SYN packet counting function 51
1 counts the number of packets corresponding to the source IP address, destination IP address, information amount, and time of the TCP-SYN packet. In addition, the incoming packet abnormality determination function 512
Compares the counting results of the inflow TCP-SYN packet counting function 511 in time series to determine whether the aggregated data per unit time is normal or abnormal. For example, unit time Δ
If the increase rate per t becomes 100 times, it is determined to be abnormal.
【0039】TCP−IP通信機能514はインターネ
ット通信の基本である第3層、第4層に関する通信機能
である。また、I−BGP通信機能513は動的経路プ
ロトコルであり、AS(自立システム)内で使用する境
界ゲートウェイプロトコルによる通信機能である。The TCP-IP communication function 514 is a communication function relating to the third and fourth layers which are the basics of Internet communication. Further, the I-BGP communication function 513 is a dynamic route protocol and is a communication function according to a boundary gateway protocol used in AS (independent system).
【0040】各ボーダルータ51〜56は通信網5に流
入する全てのTCP−SYNパケットを監視しており、
その監視の結果、例えば、ボーダルータ51が悪意のあ
るユーザのサイト端末13からの宛先がターゲットサー
バ57であるTCP−SYNパケットが単位時間Δt当
り増加率で100倍になり異常に多いと判定した場合に
は、当該パケットの例えば99%を破棄し、またボーダ
ルータ52が悪意のあるユーザのサイト端末23からの
宛先がターゲットサーバ57であるTCP−SYNパケ
ットが異常に多いと判定した場合には、当該パケットの
例えば99%を破棄する。このようにしてターゲットサ
ーバ57が過負荷に陥ることを未然に防止できる。Each of the border routers 51 to 56 monitors all TCP-SYN packets flowing into the communication network 5,
As a result of the monitoring, for example, the border router 51 determines that the number of TCP-SYN packets from the malicious user's site terminal 13 to the target server 57 is 100 times as much as the increase rate per unit time Δt and is abnormally large. In this case, for example, 99% of the packets are discarded, and when the border router 52 determines that the number of TCP-SYN packets from the malicious user's site terminal 23 to the target server 57 is abnormally large. , Discard, for example, 99% of the packet. In this way, it is possible to prevent the target server 57 from being overloaded.
【0041】ボーダルータ51によるTCP−SYNパ
ケットの監視は自らの流入TCP−SYNパケット計数
機能511によるデータ分とI−BGP通信機能513
により他のボーダルータ52〜56からI−BGP動的
経路プロトコルを用いて入手したデータ分とがあり、こ
の両データ分を併せて流入パケット異常判定機能512
で異常判定を行う。The TCP-SYN packet is monitored by the border router 51 by the inflowing TCP-SYN packet counting function 511 and the I-BGP communication function 513.
The data amount obtained from the other border routers 52 to 56 by using the I-BGP dynamic route protocol is included in the inbound packet abnormality determination function 512.
To determine the abnormality.
【0042】図3および図4は異常パケット検出手順を
示している。図3の例では、まず、流入TCP−SYN
パケット計数機能511により、TCP flagでS
YN=1のTCP−SYNパケットを抽出し、パケット
ヘッダのDA(宛先IPアドレス)を引き出してエント
リに追加し、そのエントリにマッチしたもの毎にカウン
トアップする。続いて、流入パケット異常判定機能51
2により、SYNパケットが集中している特定のDAを
見つけ出す。図4の例では、TCP−SYNパケットが
集中したDA=218.60.32.1のパケットのリ
ストアップ状況が示され、集中しているこのDAのリス
ト表上でさらに、SA(送信元IPアドレス)毎に仕分
けし、送信元の特定をする。このようにしてターゲット
サーバがDA=218.60.32.1であり、悪意の
あるユーザのサイト端末のSAが判明する。3 and 4 show the abnormal packet detection procedure. In the example of FIG. 3, first, inflow TCP-SYN
The packet counting function 511 allows S in TCP flag.
A TCP-SYN packet with YN = 1 is extracted, DA (destination IP address) of the packet header is extracted and added to an entry, and each entry that matches the entry is counted up. Subsequently, the inflow packet abnormality determination function 51
By 2, the specific DA on which SYN packets are concentrated is found. In the example of FIG. 4, the list of the packets of DA = 218.60.32.1 in which TCP-SYN packets are concentrated is shown, and the SA (source IP Sort by each address) and specify the sender. In this way, the target server is DA = 218.60.32.1, and the SA of the malicious user's site terminal is found.
【0043】DDOSが巧妙な場合はSA毎の仕分けは
困難な場合がある。例えば悪意のあるユーザのサイト端
末13が他の外部通信網2〜3内の端末のIPアドレス
を盗用して成り代わり端末攻撃をする場合にはSA毎の
仕分けは無意味となる。If the DDOS is sophisticated, it may be difficult to sort each SA. For example, when the malicious user's site terminal 13 steals the IP addresses of the terminals in the other external communication networks 2 to 3 and attacks the terminal instead, the sorting for each SA is meaningless.
【0044】図5は本実施例のボーダルータの動作を示
すフローチャートである。FIG. 5 is a flow chart showing the operation of the border router of this embodiment.
【0045】ステップ1:各ボーダルータ51〜56に
おいて流入するTCP−SYNパケットを流入TCP−
SYNパケット計数機能511がモニタし、DAのリス
トを作成して計数する(図3)。モニタ計数時間は時刻
(T0+nΔt)から時刻(T0+(n+1)Δt)と
する(n=0,1,2,3,…)
ステップ2:各ボーダルータの流入TCP−SYNパケ
ット計数機能511は集中しているDAのリスト上でS
A毎に仕分け計数する(図4)
ステップ3:時刻(T0+nΔt)からの単位時間Δt
の計数情報としてステップ2の出力リストの上位5位お
よび増加率上位5位のDAおよびSA情報をI−BGP
通信機能513により、それぞれ他のボーダルータに通
知する
ステップ4:各ボーダルータ毎に流入TCP−SYNパ
ケット計数機能511はステップ2の出力情報とステッ
プ3の出力情報とから時刻(T0+nΔt)のΔtの単
位時間の間に全ボーダルータから流入したTCP−SY
Nパケットにつき、SAのIPアドレス、DAのIPア
ドレス、情報量、時刻に対応して当該パケット数を計数
し、流入パケット異常判定機能512は、単位時間Δt
当りの増加パケット数を集計してランクアップする
ステップ5:流入パケット異常判定機能512により、
単位時間当りの増加率が例えば100倍になるSAまた
はDAがあるかを判定する。“ある”場合はステップ6
へ、“なし”の場合はステップ4へ
ステップ6:単位時間当りの増加率が100倍になるS
AまたはDAを有するTCP−SYNパケットが流入す
るボーダルータのルータ基本機能510は流入量を抑制
あるいはこのパケットを全パケット廃棄する
このようにして悪意呼によるターゲットサーバ57の過
負荷を防ぐことが可能となる。Step 1: Incoming TCP-SYN packets in each border router 51 to 56
The SYN packet counting function 511 monitors and creates a DA list and counts it (FIG. 3). The monitor counting time is set from time (T0 + nΔt) to time (T0 + (n + 1) Δt) (n = 0, 1, 2, 3, ...) Step 2: The inflow TCP-SYN packet counting function 511 of each border router is concentrated. S on the list of DAs
Sorting and counting for each A (FIG. 4) Step 3: Unit time Δt from time (T0 + nΔt)
As the counting information of the I-BGP, the DA and SA information of the top 5 and the top 5 increasing rate of the output list of step 2 are used.
Step 4: Notify other border routers by the communication function 513: Inflow TCP-SYN packet counting function 511 for each border router determines the Δt at time (T0 + nΔt) from the output information of step 2 and the output information of step 3. TCP-SY flowed in from all border routers in a unit time
For N packets, the number of packets is counted in correspondence with the IP address of SA, the IP address of DA, the amount of information, and the time, and the inflow packet abnormality determination function 512 determines the unit time Δt.
Step 5: The inflow packet abnormality determination function 512 aggregates the number of increased packets per rank to improve the rank.
It is determined whether there is SA or DA whose rate of increase per unit time is 100 times, for example. If yes, step 6
To "No", go to Step 4 Step 6: Increase rate per unit time becomes 100 times S
The router basic function 510 of the border router into which the TCP-SYN packet having A or DA flows in is suppressed or the entire packet is discarded. Thus, it is possible to prevent the target server 57 from being overloaded by a malicious call. Becomes
【0046】また、図6に示すように、悪意のあるユー
ザのサイト端末はサイト端末13、23に加えてサイト
端末33、43と多くの地点からターゲットサーバ57
を攻撃する場合は、宛先IPアドレスがターゲットサー
バ57である悪意呼のTCP−SYNパケットが多く検
出されるのは、ボーダルータ51、52、54、55で
あるという判定が各ボーダルータ51〜56でなされ、
この宛先IPアドレスがターゲットサーバ57である悪
意呼のTCP−SYNパケットは例えば99%が各ボー
ダルータ51、52、54、55にて破棄され、ターゲ
ットサーバ57は過負荷を免れる。Further, as shown in FIG. 6, the site terminals of the malicious user are the site terminals 33 and 43 in addition to the site terminals 13 and 23, and the target server 57 from many points.
In the case of attacking, the border routers 51 to 56 determine that it is the border routers 51, 52, 54, 55 that a large number of malicious TCP-SYN packets whose destination IP address is the target server 57 are detected. Made in
For example, 99% of the malicious TCP-SYN packet whose destination IP address is the target server 57 is discarded by each border router 51, 52, 54, 55, and the target server 57 is prevented from being overloaded.
【0047】本実施例のボーダルータ51〜56を制御
する装置は情報処理装置であるコンピュータ装置を用い
て実現することができる。すなわち、コンピュータ装置
にインストールすることにより、そのコンピュータ装置
に、外部通信網1〜4に接続されたボーダルータ51〜
56を制御する装置に相応する機能として、自通信網に
流入するコネクション確立要求を含むTCP−SYNパ
ケットを監視する分散型サービス拒絶攻撃検出防御部5
15に相応する機能を実現させ、この分散型サービス拒
絶攻撃検出防御部515に相応する機能として、同一宛
先アドレスを有するTCP−SYNパケットの個数を計
数する流入TCP−SYNパケット計数機能511と、
この流入TCP−SYNパケット計数機能511の計数
結果を他ボーダルータに通知するとともに、他ボーダル
ータからの流入TCP−SYNパケット計数機能511
の計数結果を受け取るI−BGP通信機能513と、こ
のI−BGP通信機能513により受け取った他ボーダ
ルータにおける計数結果および流入TCP−SYNパケ
ット計数機能511による自ボーダルータの計数結果に
基づき計数結果を集計する流入パケット異常判定機能5
12とを実現させ、この流入パケット異常判定機能51
2として、前記計数結果の所定時間内の増加率を検出す
る機能と、この検出する機能の検出結果が閾値を超える
ときには前記同一宛先アドレスの情報を含む警報を発出
する機能と、集計された同一宛先アドレスを有するTC
P−SYNパケットの送信元アドレスを特定する機能と
を実現させ、前記警報を発出する機能として、前記検出
する機能の検出結果が閾値を超えるときには当該特定す
る機能により特定された送信元アドレスの情報を前記警
報に書込む機能を実現させ、さらに、前記警報を発出す
る機能から発出された警報に基づき当該警報に含まれる
前記同一宛先アドレスまたは前記送信元アドレスを有す
るTCP−SYNパケットの当該通信網への流入を抑制
する機能を実現させ、さらに、I−BGP通信機能51
3として、I−BGPを用いて前記計数結果を送受信す
る機能を実現させるプログラムをコンピュータ装置にイ
ンストールすることにより、そのコンピュータ装置を本
実施例のボーダルータ51〜56を制御する装置に相応
する装置とすることができる。The device for controlling the border routers 51 to 56 of this embodiment can be realized by using a computer device which is an information processing device. That is, when the computer is installed, the border routers 51 to 51 connected to the external communication networks 1 to 4 are connected to the computer.
As a function corresponding to the device that controls 56, the distributed denial of service attack detection protection unit 5 that monitors the TCP-SYN packet including the connection establishment request flowing into the own communication network.
15 as a function corresponding to the distributed denial of service attack detection protection unit 515, and an inflowing TCP-SYN packet counting function 511 for counting the number of TCP-SYN packets having the same destination address.
The count result of the inflow TCP-SYN packet counting function 511 is notified to the other border routers, and the inflow TCP-SYN packet counting function 511 from the other border routers is sent.
I-BGP communication function 513 which receives the counting result of the I-BGP communication function, and the counting result in the other border router received by this I-BGP communication function 513 and the counting result of the own border router by the inflow TCP-SYN packet counting function 511. Inflow packet abnormality determination function 5
12 and the inflow packet abnormality determination function 51
2, the function of detecting the increase rate of the counting result within a predetermined time, the function of issuing an alarm including the information of the same destination address when the detection result of the detecting function exceeds a threshold, and the totalized same TC with destination address
The information of the source address specified by the specifying function when the detection result of the detecting function exceeds a threshold as a function of realizing the function of specifying the source address of the P-SYN packet and issuing the alarm. The communication network of TCP-SYN packets having the same destination address or the source address included in the alarm based on the alarm issued from the function of issuing the alarm. The function of suppressing the inflow to the I-BGP communication function 51
3 is a device corresponding to the device for controlling the border routers 51 to 56 of the present embodiment by installing a program for realizing the function of transmitting and receiving the counting result using I-BGP in the computer device. Can be
【0048】本実施例のプログラムは本実施例の記録媒
体に記録されることにより、コンピュータ装置は、この
記録媒体を用いて本実施例のプログラムをインストール
することができる。あるいは、本実施例のプログラムを
保持するサーバからネットワークを介して直接コンピュ
ータ装置に本実施例のプログラムをインストールするこ
ともできる。By recording the program of this embodiment on the recording medium of this embodiment, the computer device can install the program of this embodiment using this recording medium. Alternatively, the program of this embodiment can be directly installed in a computer device from a server holding the program of this embodiment via a network.
【0049】これにより、コンピュータ装置を用いて、
分散型サービス拒絶攻撃のような悪意のあるユーザから
の高度な攻撃を検出し、悪意呼の網流入の制限や停止を
行うなど的確なアクションをとることによりターゲット
サーバが過負荷に陥ることを免れることができるボーダ
ルータ51〜56を備えた通信網5を実現することがで
きる。Thus, using the computer device,
Detects advanced attacks from malicious users such as distributed denial of service attacks and avoids overloading the target server by taking appropriate actions such as limiting or stopping the inflow of malicious calls to the network. It is possible to realize the communication network 5 including the border routers 51 to 56 capable of performing the communication.
【0050】(実施例まとめ)EC(Electric Commerc
e)が発展するにつれて、Webサイトの保護はセキュリ
ティの観点から今後ますます重要となる。本実施例によ
れば分散型サービス拒絶攻撃のような悪意のあるユーザ
からの高度な攻撃を検出し、悪意呼の通信網流入の制限
や停止を行うなど的確なアクションをとることによりタ
ーゲットサーバが過負荷に陥ることを免れることができ
る。Example Summary EC (Electric Commerc)
As e) evolves, the protection of websites will become more and more important in terms of security. According to the present embodiment, the target server can detect a sophisticated attack from a malicious user such as a distributed denial-of-service attack and take appropriate actions such as limiting or stopping the inflow of a malicious call to the communication network. You can avoid being overloaded.
【0051】[0051]
【発明の効果】以上説明したように、本発明によれば、
分散型サービス拒絶攻撃のような悪意のあるユーザから
の高度な攻撃を検出し、悪意呼の網流入の制限や停止を
行うなど的確なアクションをとることによりターゲット
サーバが過負荷に陥ることを免れることができる。As described above, according to the present invention,
Detects advanced attacks from malicious users such as distributed denial of service attacks and avoids overloading the target server by taking appropriate actions such as limiting or stopping the inflow of malicious calls to the network. be able to.
【図1】本実施例の通信網の概念図。FIG. 1 is a conceptual diagram of a communication network of this embodiment.
【図2】本実施例のボーダルータの機能構成図。FIG. 2 is a functional configuration diagram of a border router of the present embodiment.
【図3】本実施例の異常パケット検出手順を示す図。FIG. 3 is a diagram showing an abnormal packet detection procedure of the present embodiment.
【図4】本実施例の異常パケット検出手順を示す図。FIG. 4 is a diagram showing an abnormal packet detection procedure of the present embodiment.
【図5】本実施例のボーダルータの動作を示すフローチ
ャート。FIG. 5 is a flowchart showing the operation of the border router of this embodiment.
【図6】本実施例の図1より多くの攻撃地点を有する通
信網の概念図。6 is a conceptual diagram of a communication network having more attack points than FIG. 1 of the present embodiment.
【図7】従来の通信網の概念図。FIG. 7 is a conceptual diagram of a conventional communication network.
【図8】3ウェイハンドシェークを説明するための図。FIG. 8 is a diagram for explaining a 3-way handshake.
【図9】TCP/IPパケットのフォーマットを示す
図。FIG. 9 is a diagram showing a format of a TCP / IP packet.
1〜4 外部通信網
5 通信網
10〜12、20〜22、30〜32、40〜42 ル
ータ
13、23、33、43 サイト端末
44〜49、51〜56 ボーダルータ
57 ターゲットサーバ
510 ルータ基本機能
511 流入TCP−SYNパケット計数機能
512 流入パケット異常判定機能
513 I−BGP通信機能
514 TCP−IP通信機能
515 分散型サービス拒絶攻撃検出防御部1-4 External communication network 5 Communication network 10-12, 20-22, 30-32, 40-42 Routers 13, 23, 33, 43 Site terminals 44-49, 51-56 Border router 57 Target server 510 Router basic functions 511 Incoming TCP-SYN packet counting function 512 Incoming packet abnormality determination function 513 I-BGP communication function 514 TCP-IP communication function 515 Distributed denial of service attack detection protection unit
───────────────────────────────────────────────────── フロントページの続き (72)発明者 山中 直明 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 (72)発明者 宇賀 雅則 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 Fターム(参考) 5K030 GA15 HA08 HB08 HC01 HD03 HD06 LC13 MB09 ─────────────────────────────────────────────────── ─── Continued front page (72) Inventor Naoaki Yamanaka 2-3-1, Otemachi, Chiyoda-ku, Tokyo Inside Telegraph and Telephone Corporation (72) Inventor Masanori Uga 2-3-1, Otemachi, Chiyoda-ku, Tokyo Inside Telegraph and Telephone Corporation F term (reference) 5K030 GA15 HA08 HB08 HC01 HD03 HD06 LC13 MB09
Claims (17)
複数のボーダルータを備えた通信網において、 前記ボーダルータは、自通信網に流入するコネクション
確立要求を含むTCP−SYNパケットを監視する手段
を備え、 この監視する手段は、 同一宛先アドレスを有するTCP−SYNパケットの個
数を計数する手段と、 この計数する手段の計数結果を他ボーダルータに通知す
る手段と、 他ボーダルータからの前記計数する手段の計数結果を受
け取る手段と、 この受け取る手段により受け取った他ボーダルータにお
ける計数結果および前記計数する手段による自ボーダル
ータの計数結果に基づき計数結果を集計する手段とを備
え、 この集計する手段は、 前記計数結果の所定時間内の増加率を検出する手段と、 この検出する手段の検出結果が閾値を超えるときには前
記同一宛先アドレスの情報を含む警報を発出する手段と
を備えたことを特徴とする通信網。1. A communication network comprising a plurality of border routers respectively connected to a plurality of external communication networks, wherein the border router monitors a TCP-SYN packet including a connection establishment request flowing into its own communication network. This monitoring means comprises means for counting the number of TCP-SYN packets having the same destination address, means for notifying another border router of the counting result of this counting means, and the counting from the other border router. And counting means based on the counting result of the other border routers received by the receiving means and the counting result of the own border router by the counting means. Means for detecting an increase rate of the counting result within a predetermined time, and a detection result of the detecting means. And a means for issuing an alarm including the information of the same destination address when the result exceeds a threshold value.
先アドレスを有するTCP−SYNパケットの送信元ア
ドレスを特定する手段を備え、 前記警報を発出する手段は、前記検出する手段の検出結
果が閾値を超えるときには当該特定する手段により特定
された送信元アドレスの情報を前記警報に書込む手段を
備えた請求項1記載の通信網。2. The means for totaling comprises means for specifying a source address of a TCP-SYN packet having the totaled same destination address, and the means for issuing the alarm is configured to detect the detection result of the means for detecting. The communication network according to claim 1, further comprising means for writing information of the source address specified by the specifying means in the alarm when the threshold value is exceeded.
警報に基づき当該警報に含まれる前記同一宛先アドレス
または前記送信元アドレスを有するTCP−SYNパケ
ットの当該通信網への流入を抑制する手段を備えた請求
項1または2記載の通信網。3. A means for suppressing the inflow of a TCP-SYN packet having the same destination address or the source address included in the warning into the communication network based on the warning issued by the means for issuing the warning. The communication network according to claim 1, which is provided.
段は、I−BGP(Internet-Border Gateway Protocol)
を用いて前記計数結果を送受信する手段を備えた請求項
1記載の通信網。4. The means for notifying and the means for receiving are I-BGP (Internet-Border Gateway Protocol)
The communication network according to claim 1, further comprising means for transmitting and receiving the counting result by using.
−SYNパケットを監視する手段を備え、 この監視する手段は、 同一宛先アドレスを有するTCP−SYNパケットの個
数を計数する手段と、 この計数する手段の計数結果を他ボーダルータに通知す
る手段と、 他ボーダルータからの前記計数する手段の計数結果を受
け取る手段と、 この受け取る手段により受け取った他ボーダルータにお
ける計数結果および前記計数する手段による自ボーダル
ータの計数結果に基づき計数結果を集計する手段とを備
え、 この集計する手段は、 前記計数結果の所定時間内の増加率を検出する手段と、 この検出する手段の検出結果が閾値を超えるときには前
記同一宛先アドレスの情報を含む警報を発出する手段と
を備えたことを特徴とするルータ。5. A TCP including a connection establishment request that is connected to an external communication network and flows into its own communication network.
-Means for monitoring SYN packets, the monitoring means for counting the number of TCP-SYN packets having the same destination address, and means for notifying other border routers of the counting result of the counting means, Means for receiving the counting result of the counting means from another border router, and means for totaling the counting results based on the counting result in the other border router received by the receiving means and the counting result of the own border router by the counting means The totalizing means includes means for detecting an increase rate of the counting result within a predetermined time, and means for issuing an alarm including the information of the same destination address when the detection result of the detecting means exceeds a threshold value. A router characterized by having and.
先アドレスを有するTCP−SYNパケットの送信元ア
ドレスを特定する手段を備え、 前記警報を発出する手段は、前記検出する手段の検出結
果が閾値を超えるときには当該特定する手段により特定
された送信元アドレスの情報を前記警報に書込む手段を
備えた請求項5記載のルータ。6. The means for totaling comprises means for specifying a source address of a TCP-SYN packet having the totaled same destination address, and the means for issuing the alarm is configured to detect the detection result of the means for detecting. The router according to claim 5, further comprising means for writing information of the source address specified by the specifying means in the alarm when the threshold value is exceeded.
警報に基づき当該警報に含まれる前記同一宛先アドレス
または前記送信元アドレスを有するTCP−SYNパケ
ットの当該通信網への流入を抑制する手段を備えた請求
項5または6記載のルータ。7. A means for suppressing the inflow of a TCP-SYN packet having the same destination address or the source address included in the alarm into the communication network based on the alarm issued by the means for issuing the alarm. The router according to claim 5 or 6, further comprising:
段は、I−BGPを用いて前記計数結果を送受信する手
段を備えた請求項5記載のルータ。8. The router according to claim 5, wherein the notifying means and the receiving means include means for transmitting and receiving the counting result by using I-BGP.
より、その情報処理装置に、 外部通信網に接続されたルータを制御する装置に相応す
る機能として、 自通信網に流入するコネクション確立要求を含むTCP
−SYNパケットを監視する機能を実現させ、 この監視する機能として、 同一宛先アドレスを有するTCP−SYNパケットの個
数を計数する機能と、 この計数する機能の計数結果を他ボーダルータに通知す
る機能と、 他ボーダルータからの前記計数する機能の計数結果を受
け取る機能と、 この受け取る機能により受け取った他ボーダルータにお
ける計数結果および前記計数する機能による自ボーダル
ータの計数結果に基づき計数結果を集計する機能とを実
現させ、 この集計する機能として、 前記計数結果の所定時間内の増加率を検出する機能と、 この検出する機能の検出結果が閾値を超えるときには前
記同一宛先アドレスの情報を含む警報を発出する機能と
を実現させることを特徴とするプログラム。9. A TCP including a connection establishment request flowing into its own communication network as a function corresponding to a device controlling a router connected to an external communication network when installed in the information processing apparatus.
-Realize the function of monitoring SYN packets, and as the function of monitoring, the function of counting the number of TCP-SYN packets having the same destination address, and the function of notifying other border routers of the counting result of this counting function. , A function of receiving the counting result of the counting function from another border router, and a function of totaling the counting results based on the counting result in the other border router received by the receiving function and the counting result of the own border router by the counting function As a function of totalizing this, a function of detecting the increase rate of the counting result within a predetermined time, and an alarm including the information of the same destination address is issued when the detection result of the detecting function exceeds a threshold value. A program that realizes the function to perform.
同一宛先アドレスを有するTCP−SYNパケットの送
信元アドレスを特定する機能を実現させ、 前記警報を発出する機能として、前記検出する機能の検
出結果が閾値を超えるときには当該特定する機能により
特定された送信元アドレスの情報を前記警報に書込む機
能を実現させる請求項9記載のプログラム。10. The detection result of the detecting function is realized as a function of specifying the source address of a TCP-SYN packet having the same totalized destination address as the function of totaling, and the function of issuing the alarm. 10. The program according to claim 9, which realizes a function of writing information of a source address specified by the specifying function into the alarm when exceeds a threshold value.
た警報に基づき当該警報に含まれる前記同一宛先アドレ
スまたは前記送信元アドレスを有するTCP−SYNパ
ケットの当該通信網への流入を抑制する機能を実現させ
る請求項9または10記載のプログラム。11. A function of suppressing the inflow of a TCP-SYN packet having the same destination address or the source address included in the alarm into the communication network based on the alarm issued from the function of issuing the alarm. The program according to claim 9, which is realized.
機能として、I−BGPを用いて前記計数結果を送受信
する機能を実現させる請求項9記載のプログラム。12. The program according to claim 9, wherein a function of transmitting and receiving the counting result by using I-BGP is realized as the notification function and the receiving function.
のプログラムが記録された前記情報処理装置読取可能な
記録媒体。13. A recording medium readable by the information processing device, in which the program according to claim 9 is recorded.
た複数のボーダルータを備えた通信網に適用される分散
型サービス拒絶攻撃(DDOSA:DistributedDenial o
f Services Attack)検出防御方法において、 前記ボーダルータにより、自通信網に流入するコネクシ
ョン確立要求を含むTCP−SYNパケットを監視し、
同一宛先アドレスを有するTCP−SYNパケットの個
数を計数し、この計数結果を他ボーダルータに通知する
とともに他ボーダルータからの計数結果を受け取り、こ
の受け取った他ボーダルータにおける計数結果および自
ボーダルータの計数結果に基づき計数結果を集計し、こ
の計数結果の所定時間内の増加率を検出し、この検出結
果が閾値を超えるときには前記同一宛先アドレスの情報
を含む警報を発出することを特徴とする分散型サービス
拒絶攻撃検出防御方法。14. A distributed denial of service (DDOSA) applied to a communication network including a plurality of border routers respectively connected to a plurality of external communication networks.
f Services Attack) In the detection and protection method, the border router monitors a TCP-SYN packet including a connection establishment request flowing into the own communication network,
The number of TCP-SYN packets having the same destination address is counted, the count result is notified to the other border router, the count result from the other border router is received, and the count result in the other border router and the received border router's Distributor characterized by totaling counting results based on the counting result, detecting an increase rate of the counting result within a predetermined time, and issuing an alarm including the information of the same destination address when the detection result exceeds a threshold value Denial of service attack detection and protection method.
TCP−SYNパケットの送信元アドレスを特定し、警
報を発出する際には、この特定された送信元アドレスの
情報を前記警報に書込む請求項14記載の分散型サービ
ス拒絶攻撃検出防御方法。15. The information of the specified transmission source address is written in the alarm when the transmission source address of the TCP-SYN packet having the totaled same destination address is specified and the warning is issued. 14. The distributed denial of service attack detection and protection method according to 14.
まれる前記同一宛先アドレスまたは前記送信元アドレス
を有するTCP−SYNパケットの当該通信網への流入
を抑制する請求項14または15記載の分散型サービス
拒絶攻撃検出防御方法。16. The distributed type according to claim 14 or 15, wherein based on an issued alarm, inflow of a TCP-SYN packet having the same destination address or the source address included in the alarm into the communication network is suppressed. Denial of service attack detection and protection method.
GPを用いて前記計数結果を送受信する請求項14記載
の分散型サービス拒絶攻撃検出防御方法。17. An IB is provided between the border routers.
The distributed denial of service attack detection and protection method according to claim 14, wherein the counting result is transmitted and received using GP.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002091785A JP3643087B2 (en) | 2002-03-28 | 2002-03-28 | Communication network, router and distributed denial-of-service attack detection protection method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002091785A JP3643087B2 (en) | 2002-03-28 | 2002-03-28 | Communication network, router and distributed denial-of-service attack detection protection method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2003289337A true JP2003289337A (en) | 2003-10-10 |
| JP3643087B2 JP3643087B2 (en) | 2005-04-27 |
Family
ID=29236786
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002091785A Expired - Fee Related JP3643087B2 (en) | 2002-03-28 | 2002-03-28 | Communication network, router and distributed denial-of-service attack detection protection method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3643087B2 (en) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005252808A (en) * | 2004-03-05 | 2005-09-15 | Fujitsu Ltd | Unauthorized access preventing method, device, system and program |
| JP2006013737A (en) * | 2004-06-24 | 2006-01-12 | Fujitsu Ltd | Device for eliminating abnormal traffic |
| WO2006051594A1 (en) * | 2004-11-11 | 2006-05-18 | Mitsubishi Denki Kabushiki Kaisha | Ip packet relay method and gateway device in communication network |
| JP2006238043A (en) * | 2005-02-24 | 2006-09-07 | Mitsubishi Electric Corp | Network abnormality detection apparatus |
| JP2008311722A (en) * | 2007-06-12 | 2008-12-25 | Nextgen Inc | Call controller and call control method |
| US7568232B2 (en) | 2004-05-27 | 2009-07-28 | Fujitsu Limited | Malicious access-detecting apparatus, malicious access-detecting method, malicious access-detecting program, and distributed denial-of-service attack-detecting apparatus |
| US7733844B2 (en) | 2004-05-26 | 2010-06-08 | Kabushiki Kaisha Toshiba | Packet filtering apparatus, packet filtering method, and computer program product |
| KR101343693B1 (en) | 2007-02-05 | 2013-12-20 | 주식회사 엘지씨엔에스 | Network security system and method for process thereof |
| JP2016163180A (en) * | 2015-03-02 | 2016-09-05 | 日本電気株式会社 | Communication system, communication method, and program |
| WO2019240054A1 (en) * | 2018-06-11 | 2019-12-19 | 国立大学法人 東京大学 | Communication device, packet processing method, and program |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001057554A (en) * | 1999-08-17 | 2001-02-27 | Yoshimi Baba | Cracker monitor system |
| JP2002073433A (en) * | 2000-08-28 | 2002-03-12 | Mitsubishi Electric Corp | Break-in detecting device and illegal break-in measures management system and break-in detecting method |
| JP2002252654A (en) * | 2001-02-23 | 2002-09-06 | Mitsubishi Electric Corp | Intrusion detection device, system, and router |
-
2002
- 2002-03-28 JP JP2002091785A patent/JP3643087B2/en not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001057554A (en) * | 1999-08-17 | 2001-02-27 | Yoshimi Baba | Cracker monitor system |
| JP2002073433A (en) * | 2000-08-28 | 2002-03-12 | Mitsubishi Electric Corp | Break-in detecting device and illegal break-in measures management system and break-in detecting method |
| JP2002252654A (en) * | 2001-02-23 | 2002-09-06 | Mitsubishi Electric Corp | Intrusion detection device, system, and router |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005252808A (en) * | 2004-03-05 | 2005-09-15 | Fujitsu Ltd | Unauthorized access preventing method, device, system and program |
| US7457965B2 (en) | 2004-03-05 | 2008-11-25 | Fujitsu Limited | Unauthorized access blocking apparatus, method, program and system |
| JP4480422B2 (en) * | 2004-03-05 | 2010-06-16 | 富士通株式会社 | Unauthorized access prevention method, apparatus, system, and program |
| US7733844B2 (en) | 2004-05-26 | 2010-06-08 | Kabushiki Kaisha Toshiba | Packet filtering apparatus, packet filtering method, and computer program product |
| US7568232B2 (en) | 2004-05-27 | 2009-07-28 | Fujitsu Limited | Malicious access-detecting apparatus, malicious access-detecting method, malicious access-detecting program, and distributed denial-of-service attack-detecting apparatus |
| JP2006013737A (en) * | 2004-06-24 | 2006-01-12 | Fujitsu Ltd | Device for eliminating abnormal traffic |
| WO2006051594A1 (en) * | 2004-11-11 | 2006-05-18 | Mitsubishi Denki Kabushiki Kaisha | Ip packet relay method and gateway device in communication network |
| JP2006238043A (en) * | 2005-02-24 | 2006-09-07 | Mitsubishi Electric Corp | Network abnormality detection apparatus |
| JP4490307B2 (en) * | 2005-02-24 | 2010-06-23 | 三菱電機株式会社 | Network abnormality detection apparatus, computer program, and network abnormality detection method |
| KR101343693B1 (en) | 2007-02-05 | 2013-12-20 | 주식회사 엘지씨엔에스 | Network security system and method for process thereof |
| JP2008311722A (en) * | 2007-06-12 | 2008-12-25 | Nextgen Inc | Call controller and call control method |
| JP2016163180A (en) * | 2015-03-02 | 2016-09-05 | 日本電気株式会社 | Communication system, communication method, and program |
| US10313238B2 (en) | 2015-03-02 | 2019-06-04 | Nec Corporation | Communication system, communication method, and non-transitiory computer readable medium storing program |
| WO2019240054A1 (en) * | 2018-06-11 | 2019-12-19 | 国立大学法人 東京大学 | Communication device, packet processing method, and program |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3643087B2 (en) | 2005-04-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7870611B2 (en) | System method and apparatus for service attack detection on a network | |
| US7921460B1 (en) | Rate limiting data traffic in a network | |
| US7930740B2 (en) | System and method for detection and mitigation of distributed denial of service attacks | |
| US7246376B2 (en) | Method and apparatus for security management in a networked environment | |
| US20110138463A1 (en) | Method and system for ddos traffic detection and traffic mitigation using flow statistics | |
| US6973040B1 (en) | Method of maintaining lists of network characteristics | |
| EP2792178B1 (en) | Method for detection of persistent malware on a network node | |
| RU2480937C2 (en) | System and method of reducing false responses when detecting network attack | |
| US9083737B2 (en) | Mitigating threats in a network | |
| US20090240804A1 (en) | Method and apparatus for preventing igmp packet attack | |
| Huang et al. | Countering denial-of-service attacks using congestion triggered packet sampling and filtering | |
| KR20120060655A (en) | Routing Method And Apparatus For Detecting Server Attacking And Network Using Method Thereof | |
| US20050120090A1 (en) | Device, method and program for band control | |
| JP2003289337A (en) | Communication network, router, and distributed service refusal attack detection and defense method | |
| KR101352553B1 (en) | Method and System for DDoS Traffic Detection and Traffic Mitigation using Flow Statistic | |
| JP4602158B2 (en) | Server equipment protection system | |
| JP3941763B2 (en) | Congestion control system for client-server service | |
| JP4278593B2 (en) | Protection method against application denial of service attack and edge router | |
| WO2019096104A1 (en) | Attack prevention | |
| JP2007259223A (en) | Defense system and method against illegal access on network, and program therefor | |
| US8646081B1 (en) | Method and system to detect a security event in a packet flow and block the packet flow at an egress point in a communication network | |
| KR20060130892A (en) | Ddos detection and packet filtering scheme | |
| JP4322179B2 (en) | Denial of service attack prevention method and system | |
| Hayashi et al. | Method for detecting low-rate attacks on basis of burst-state duration using quick packet-matching function | |
| WO2019035488A1 (en) | Control device, communication system, control method, and computer program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050119 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20050125 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20050126 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080204 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090204 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090204 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100204 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110204 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110204 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120204 Year of fee payment: 7 |
|
| LAPS | Cancellation because of no payment of annual fees |