JP2006164038A - Method for coping with dos attack or ddos attack, network device and analysis device - Google Patents
Method for coping with dos attack or ddos attack, network device and analysis device Download PDFInfo
- Publication number
- JP2006164038A JP2006164038A JP2004356861A JP2004356861A JP2006164038A JP 2006164038 A JP2006164038 A JP 2006164038A JP 2004356861 A JP2004356861 A JP 2004356861A JP 2004356861 A JP2004356861 A JP 2004356861A JP 2006164038 A JP2006164038 A JP 2006164038A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- attack
- network
- analysis device
- sampled
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、インターネット上のサーバを標的にしたDenial of Service attack(以下DoS攻撃と略記する)、あるいはDistributed Denial of Service attack(以下DDoS攻撃と略記する)等に対処可能なネットワークシステムに関する。 The present invention relates to a network system capable of dealing with a Denial of Service attack (hereinafter abbreviated as a DoS attack) targeting a server on the Internet or a Distributed Denial of Service attack (hereinafter abbreviated as a DDoS attack).
インターネットにおけるDDoS攻撃とは、ネットワーク上のサーバが提供するサービスを妨害することで、そのサービスを機能しなくさせる攻撃のことを示す。この攻撃の実行手段は標的となるサーバに大量にIPパケットを送信することでネットワークやサーバのリソースを消費し、サービスを妨害および拒否する方法である。近年では、ネットワーク回線を食いつぶすようなDDoS攻撃が増加しており、すでに社会インフラとなりつつあるインターネットの安定したサービス提供を行うことは必要であることから、キャリア網においても積極的に対策を採る必要が増してきている。 A DDoS attack on the Internet refers to an attack that prevents a service provided by a server on the network from functioning by causing the service to stop functioning. The execution means of this attack is a method of consuming and denying services by consuming network and server resources by transmitting a large amount of IP packets to the target server. In recent years, DDoS attacks that devour network lines have increased, and it is necessary to provide stable services for the Internet, which is already becoming a social infrastructure, so it is necessary to take positive measures in the carrier network as well. Is increasing.
このようなDDoS攻撃を防御する方法として、たとえば、特許文献1、特許文献2などに開示されている技術がある。
しかしながら、上記、従来のトラヒックに対してインラインで検出・防御を行うネットワーク型システムでは、今後予想されるトラヒックを処理するだけの十分な処理性能を監視するネットワークの帯域の増加に合わせて確保するのが困難であるとともに、そのようなシステムは非常に高価であるといった問題があった。また、スイッチのミラーポートやTAPによりミラーしたパケットを分析システムで分析を行い、防御をネットワーク型で行う方法は、詳細なトラヒック分析処理が可能であるが、ポートミラーリングやネットワークタップにより常に全てのパケットを転送するため大量の攻撃を受けた場合、全てのトラヒックを転送できないため、トラヒック分析を正確に行えない問題があった。また、特定の確率でサンプリングをするパケットサンプリング法によりパケットサンプリングし、サンプルパケットの情報を分析システムで統計学的手法により分析を行い攻撃を検知する方法は、サンプリング手法であるため少ないパケット情報でネットワーク全体のトラヒックを監視することが可能であるが、全てのトラヒックを均等に扱うサンプリングであるため、双方向のトラヒックを監視するステート監視によりDDoS攻撃フローの特定を正確に行うことが困難であり、誤って正常ユーザトラヒックまで廃棄してしまう問題があった。 However, in the above-mentioned network type system that detects and defends against in-line traffic in advance, sufficient processing performance for processing traffic expected in the future can be secured in accordance with the increase in network bandwidth. However, there is a problem that such a system is very expensive. In addition, the method of analyzing the packet mirrored by the mirror port of the switch or TAP with the analysis system and performing the defense in the network type can perform detailed traffic analysis processing, but all packets are always processed by port mirroring or network tap. When a large amount of attacks are received to transfer the traffic, all the traffic cannot be transferred, so there is a problem that the traffic analysis cannot be performed accurately. In addition, the packet sampling method that performs sampling with a specific probability, and the method of detecting the attack by analyzing the sample packet information using a statistical method with an analysis system is a sampling method. Although it is possible to monitor the entire traffic, it is difficult to accurately identify the DDoS attack flow by state monitoring that monitors bi-directional traffic because it is a sampling that treats all traffic equally. There was a problem that even normal user traffic was accidentally discarded.
本発明の目的は、すべてのパケットを分析することなく、分析できないパケットが発生し、攻撃フローを特定できない問題を解決する、DoS攻撃あるいはDDoS攻撃に対処する方法、ネットワーク装置、および分析装置を提供することにある。 An object of the present invention is to provide a DoS attack or a method for dealing with a DDoS attack, a network device, and an analysis device, which solves a problem in which a packet that cannot be analyzed occurs without analyzing all packets and an attack flow cannot be identified. There is to do.
本発明のDoS攻撃あるいはDDoS攻撃に対処する方法は、
ネットワーク装置が、該ネットワーク装置に収容されたアクセス網に接続された全ホストへのトラフィックをサンプリングし、サンプリングされたIPパケットを分析装置に転送するステップと、
前記分析装置が、該サンプリングされたIPパケットを解析し、DoS攻撃あるいはDDoS攻撃を検出し、DoS攻撃あるいはDDoS攻撃を検出したホストを収容するアクセス網と接続されたネットワーク装置に対して、検出した該ホスト宛てのパケットのうち特定のビットパターンと一致するIPパケットのみを選択してサンプリングするように指示するステップと、
前記分析装置から前記指示を受けたネットワーク装置が、特定のビットパターンと一致するIPパケットを選択してサンプリングし、サンプリングされたIPパケットを前記分析装置に転送するステップと、
前記分析装置が、該サンプリングされたIPパケットを解析し、DoS攻撃あるいはDDoS攻撃を正確に識別し、該識別したIPパケットを一定時間廃棄し、あるいは該IPパケットに対して帯域制御を行なうように前記ネットワーク装置に対して指示するステップと、
該指示を受けたネットワーク装置が、後続のIPパケットを一定時間廃棄し、あるいは該パケットに対し帯域制御を行うステップと
を有する。
The method of dealing with the DoS attack or DDoS attack of the present invention is as follows.
A network device sampling traffic to all hosts connected to an access network accommodated in the network device, and forwarding the sampled IP packet to an analysis device;
The analysis device analyzes the sampled IP packet, detects a DoS attack or a DDoS attack, and detects a DoS attack or a network device connected to an access network that accommodates a host that has detected the DDoS attack. Instructing to select and sample only IP packets that match a particular bit pattern among packets addressed to the host;
The network device that has received the instruction from the analysis device selects and samples an IP packet that matches a specific bit pattern, and transfers the sampled IP packet to the analysis device;
The analysis device analyzes the sampled IP packet, accurately identifies a DoS attack or a DDoS attack, discards the identified IP packet for a predetermined time, or performs bandwidth control on the IP packet. Instructing the network device;
The network device that has received the instruction includes a step of discarding the subsequent IP packet for a certain period of time or performing bandwidth control on the packet.
ネットワーク装置(たとえばIPルータ)は、自身に収容したアクセス網に接続された全ホストへのトラヒックをサンプリング部によりIPパケットをサンプリングし、分析装置で、収集されたサンプルIPパケットの解析を行うことでネットワーク全体のトラヒックを監視する。そして、同一ホストに対して定められた時間内に、閾値以上連続的に送信されたことを検出することにより、DoS攻撃あるいはDDoS攻撃を検知し、検出した注目すべきトラヒックについてのみ収集するようにネットワーク装置に指示することにより、検出した注目すべきトラヒックについてのみ収集して正確にDDoS攻撃パケットフローの判断を行い、誤って攻撃を受けているホストと通信を行っている正常ユーザトラヒックまで廃棄することなくDDoS攻撃トラヒックのみ、トラヒックの帯域制限(ポリシング、シェービング等)により、またはフィルタすることによりDDoS攻撃を防御する。 The network device (for example, IP router) samples the IP packet by the sampling unit for the traffic to all the hosts connected to the access network accommodated by itself, and analyzes the collected sample IP packet by the analysis device. Monitor network-wide traffic. And, by detecting that the data is continuously transmitted to the same host within a predetermined time, the DoS attack or the DDoS attack is detected, and only the detected noticeable traffic is collected. By instructing the network device, only the detected noticeable traffic is collected, the DDoS attack packet flow is accurately determined, and the normal user traffic communicating with the host under attack is erroneously discarded. DDoS attack traffic is protected only by DDoS attack traffic, by traffic band limitation (policing, shaving, etc.) or by filtering.
本発明によれば、すべてのパケットを分析することなく、分析できないパケットが発生し、攻撃フローを特定できない問題を解決することができる。 According to the present invention, it is possible to solve a problem in which a packet that cannot be analyzed and an attack flow cannot be identified without analyzing all the packets.
次に、本発明の実施の形態について図面を参照して説明する。 Next, embodiments of the present invention will be described with reference to the drawings.
図1は、本発明の一実施形態の、インターネット上のサーバを標的にしたDoS攻撃、あるいはDDoS攻撃に対処可能なネットワークシステムの構成を示す図である。 FIG. 1 is a diagram showing a configuration of a network system capable of dealing with a DoS attack targeting a server on the Internet or a DDoS attack according to an embodiment of the present invention.
本実施形態のネットワークシステムは、キャリアネットワーク1と、IPルータ2,3,4と、DDoS攻撃の攻撃対象のサーバ5と、サーバ5と通信を行うユーザ端末6と、サーバ5に対してDDoS攻撃を行うユーザ端末7と、分析装置8を有している。
The network system according to the present embodiment includes a carrier network 1,
図2はIPルータ2〜4の構成図である。IPルータ2〜4はネットワークインタフェース11,12と、サンプリング選択部14を含むサンプリング部13と、転送部15と、フィルタ部16と、制御部17を有している。なお、図2においては、IPルータが元来有している構成は省略されている。サンプリング部13はアクセス網10に接続された全ホストへのトラヒックについてIPパケットをサンプリングする。転送部15はサンプリングされたIPパケットを分析装置8に転送する。サンプリング選択部13は、特定のビットパターンと一致するIPパケットをサンプリングする。フィルタ部16は検出したIPパケットを一定時間廃棄し、あるいは該IPパケットに対して帯域制御を行う。
FIG. 2 is a configuration diagram of the
図3は分析装置8の構成を示す図である。分析装置8はネットワークインタフェース21と制御部22と分析部23を有している。IPルータ2の転送部15より転送されたパケットサンプリングデータは、ネットワーク1‘を経由してネットワークインタフェース21によって受信される。ネットワークインタフェース21は、パケットサンプリングデータを受信すると、該パケットサンプリングデータを制御部22によって分析部23へ渡す。分析部23は、ハードウェアまたはソフトウェア、またはハードウェアおよびソフトウェアで構成され、統計学的手段によりネットワーク全体のトラヒックを監視し、あるターゲット宛トラヒックが閾値を越えてレートが高いことを検出する。
FIG. 3 is a diagram showing the configuration of the
ここで、上記のように構成されたネットワークシステムの動作について説明する。IPルータ2,3,4では、自身に収容したアクセス網10に接続された全ホストへのトラヒックについてサンプリング部13によりIPパケットをサンプリングする。そして、転送部15にて、サンプリングされたIPパケットを分析装置8に転送する。分析装置8では分析部23によって、収集されたサンプルIPパケットの解析を行い、ネットワーク全体のトラヒックを監視する。そして、特定のパケットが、同一ホストに対して定められた時間内に、閾値以上連続的に送信されたことを検出することにより、DoS攻撃あるいはDDoS攻撃を検出する。
Here, the operation of the network system configured as described above will be described. In the
次に、該ホスト宛のDDoS攻撃を検出した分析装置8では、該ホストを収容するアクセス網10と接続したIPルータに対して、検出した該ホスト宛のパケットのうち特定のビットパターン(IPパケットの宛先IPアドレス、送信元IPアドレス、送信元ポート番号、宛先ポート番号、プロトコルなど)と一致するIPパケットのみ選択してサンプリングするように指示する。
Next, the
分析装置8から指示を受けたIPルータ2では、サンプリング選択部13で、特定のビットパターン(IPパケットの宛先IPアドレス、送信元IPアドレス、送信元ポート番号、宛先ポート番号、プロトコルなど)と一致するIPパケットをサンプリングし、転送部15にて、サンプリングしたIPパケットを分析装置8に転送する。
In the
分析装置8では、収集された注目すべき該ホストのサンプルIPパケットの解析を行い、該ホスト宛に対して定められた時間内に、閾値以上連続的に送信されたことを検出することと、双方向のトラヒックを分析したステート監視(上り、下りのステート遷移定義に基きフローの正常性の確認)を行うことにより、DDoS攻撃パケットフローを正確に識別し、該IPルータに対して、DDoS攻撃パケットフローを識別したIPパケットフローを一定時間廃棄し、あるいは、IPパケットフローに対して帯域制御を行うように指示する。
The
最後に、分析装置8から指示を受けたIPルータでは、検出されたIPパケットをフィルタ部16にて一定時間廃棄、あるいは、帯域制御を行う。
Finally, in the IP router that has received an instruction from the
サンプリング部13はパケットをサンプリングする方法として、一定時間間隔でパケットをサンプリングしてもよい。あるいは、通過したパケットの数をカウントし、一定数ごとにパケットをサンプリングしてもよい。また、サンプリングしたパケットはコピーしてもよいし、ヘッダ情報のみ抽出してもよい。
As a method for sampling the packet, the
いま、ユーザ端末6と通信を行っているサーバ5に対して攻撃者7がDDoS攻撃を行っている場合を考える。この場合、IPルータ4では、サーバ5宛のトラヒックについてサンプリング部13によりIPパケットをサンプリングし、転送部15にてサンプリングしたIPパケットを分析装置8に転送する。分析装置8では、収集されたサンプルIPパケットの解析を行い、サーバ5宛に対して定められた時間内に、閾値以上連続的に送信されたことを検出することにより、DDoS攻撃を検出する。
Consider a case where an attacker 7 is performing a DDoS attack on the
次に、サーバ5宛のDDoS攻撃を検出した分析装置8では、IPルータ4に対して、検出したサーバ5宛のパケットとサーバ5からの応答パケットのみ選択してサンプリングするように指示する。ここで、分析装置8からの指示には、特定のビットパターン(IPパケットの宛先IPアドレス、送信元IPアドレス、送信元ポート番号、宛先ポート番号、プロトコルなど)情報が含まれている。
Next, the
分析装置8から指示を受けたIPルータ4では、サンプリング選択部14で、分析装置8で検出したサーバ5宛パケットとその応答パケットのみ選択して全てサンプリングし、サンプリングしたIPパケットを転送部15にて分析装置8に転送する。
In the IP router 4 that has received an instruction from the
分析装置8では、収集された注目すべきサーバ5宛パケットとその応答パケットのサンプルIPパケットの解析を行い、サーバ5宛に対して定められた時間内に、閾値以上連続的に送信されたことを検出することと、双方向のトラヒックを分析したステート監視を行うことにより、DDoS攻撃パケットフローを正確に識別し、該IPルータ2に対してDDoS攻撃パケットフローを識別したIPパケットフローを一定時間廃棄、あるいはIPパケットフローに対して帯域制御を行うように指示する。
The
最後に、分析装置8から指示を受けたIPルータ2では、検出したIPパケットをフィルタ部16にて一定時間廃棄し、あるいは帯域制御を行う。
Finally, in the
次に、図1のネットワークシステムにおけるDDoS攻撃防御法を図4のシーケンスチャートを用いて説明する。 Next, the DDoS attack defense method in the network system of FIG. 1 will be described using the sequence chart of FIG.
いま、ユーザ端末6と通信を行っているサーバ5に対して攻撃者7がDDoS攻撃を行っている場合を考える。
Consider a case where an attacker 7 is performing a DDoS attack on the
IPルータ4では、サーバ5宛のトラヒックについてサンプリング部13によりIPパケットをサンプリングし(ステップ101、102)、サンプリングされたサンプリングパケット201を転送部15にて分析装置8に転送する(ステップ103)。分析装置8では、収集されたサンプルパケット201の解析を分析部23で行い(ステップ104)、サーバ5宛に対して定められた時間内に、閾値以上連続的に送信されたことを検出することにより、DDoS攻撃を検出する(ステップ105)。
In the IP router 4, the IP packet is sampled by the
DDoS攻撃が検出された場合、分析装置8では、IPルータ4に対して、検出した、サーバ5宛のパケットとサーバ5からの応答パケットのみ選択してサンプリングするように制御部22が特定トラヒックサンプリング指示202を行う。ここで、分析装置8からの特定トラヒックサンプリング指示202には、特定のビットパターン(IPパケットの宛先IPアドレス、送信元IPアドレス、送信元ポート番号、宛先ポート番号、プロトコルなど)の情報が含まれている。
When a DDoS attack is detected, the
分析装置8から指示を受けたIPルータ4では、サンプリング選択部14で、分析装置8で検出したサーバ5宛パケットとその応答パケットのみ選択して全てのパケットをサンプリングし、サンプリングしたサンプリングパケット203を分析装置8に転送する。
In the IP router 4 that has received an instruction from the
分析装置8では、収集された注目すべきサーバ5宛パケットとその応答パケットのサンプルパケット203について分析部23により解析を行い、サーバ5宛に対して定められた時間内に、閾値以上連続的に送信されたことを検出することと、双方向のトラヒックを分析したステート監視を行うことにより、DDoS攻撃パケットフローを正確に識別し、IPルータ4に対して、DDoS攻撃パケットフローを識別したIPパケットフローを一定時間廃棄、あるいは、帯域制御を行うようにフィルタ指示204を出す。
In the
最後に、分析装置8からフィルタ指示204を受けたIPルータ4では、検出したIPパケットをフィルタ部16にて一定時間廃棄、あるいは、帯域制御を行う。
Finally, in the IP router 4 that has received the filter instruction 204 from the
図5は、IPルータ2,3,4が分析装置8からの特定トラヒックサンプリング指示202あるいはフィルタ指示204を管理する方法を説明するための図である。各IPルータ2,3,4にはテーブル300があり、このテーブル300にはフィルタ情報と、特定トラヒックをサンプリングする情報の2種類の情報が記載されており、IPパケットの送信元IPアドレス(SA)、宛先IPアドレス(DP)、送信元ポート番号(SP)、宛先ポート番号(DP)、プロトコル(Protocol)などの情報により表されている。
FIG. 5 is a diagram for explaining a method in which the
本発明の第2の実施形態として、ユーザ端末5と通信を行っているサーバ5に対して攻撃者6がDDoS攻撃を行っており、攻撃者6に最も近いIPルータ(IPルータ2)でIPパケットのみ選択サンプリングおよびフィルタする場合を考える。この場合、IPルータ2では、サーバ5宛のトラヒックをサンプリング部13によりIPパケットをサンプリングし、転送部15にて、サンプリングしたIPパケットを分析装置8に転送する。そして、分析装置8で、収集されたサンプルIPパケットの解析を行い、サーバ5宛に対して定められた時間内に、閾値以上連続的に送信されたことを検出することにより、DDoS攻撃を検出する。
As a second embodiment of the present invention, an attacker 6 is performing a DDoS attack on a
次に、サーバ5宛にDDoS攻撃を検出した分析装置8では、各IPルータ2,3に対して検出した、サーバ5宛のパケットとサーバ5からの応答パケットのみ選択してサンプリングするように指示する。ここで、分析装置8からの指示には、特定のビットパターン(IPパケットの宛先IPアドレス、送信元IPアドレス、送信元ポート番号、宛先ポート番号、プロトコルなど)情報が含まれている。
Next, the
分析装置8から指示を受けたIPルータ2,3では、サンプリング選択部14で、分析装置8で検出されたサーバ5宛パケットとその応答パケットのみ選択して全てサンプリングし、転送部15にてサンプリングしたIPパケットを分析装置8に転送する。
In the
分析装置8では、収集された注目すべきサーバ5宛パケットとその応答パケットのサンプルIPパケットの解析を行い、サーバ5宛に対して定められた時間内に、閾値以上連続的に送信されたことを検出することと、双方向のトラヒックを分析したステート監視を行うことにより、DDoS攻撃パケットフローを正確に識別し、攻撃者7に最も近いIPルータ2に対してDDoS攻撃パケットフローを識別したIPパケットフローを一定時間廃棄、あるいは、帯域制御を行うように指示する。
The
最後に、分析装置8から指示を受けた、攻撃者7に最も近いIPルータ2では、検出したIPパケットをフィルタ部16にて一定時間廃棄し、あるいは、帯域制御を行う。
Finally, the
なお、以上の実施形態では、DDoS攻撃を受けた場合についてその動作を説明したが、DoS攻撃を受けた場合もその動作は同様である。 In the above embodiment, the operation has been described in the case of receiving a DDoS attack. However, the operation is similar in the case of receiving a DoS attack.
1 キャリアネットワーク
1‘ ネットワーク
2,3,4 IPルータ
5 サーバ
6 ユーザ端末
7 攻撃者
8 分析装置
9 キャリアネットワーク
10 アクセス網
11,12 ネットワークインタフェース
13 サンプリング部
14 サンプリング選択部
15 転送部
16 フィルタ部
17 制御部
21 ネットワークインタフェース
22 制御部
23 分析部
101〜109 ステップ
201,203 サンプリングパケット
202 特定トラヒックサンプリング指示
204 フィルタ指示
300 テーブル
DESCRIPTION OF SYMBOLS 1 Carrier network 1 '
Claims (5)
ネットワーク装置が、該ネットワーク装置に収容されたアクセス網に接続された全ホストへのIPパケットをサンプリングし、サンプリングされたIPパケットを分析装置に転送するステップと、
前記分析装置が、該サンプリングされたIPパケットを解析し、DoS攻撃あるいはDDoS攻撃を検出し、DoS攻撃あるいはDDoS攻撃を検出したホストを収容するアクセス網と接続されたネットワーク装置に対して、検出した該ホスト宛てのパケットのうち特定のビットパターンと一致するIPパケットのみを選択してサンプリングするように指示するステップと、
前記分析装置から前記指示を受けたネットワーク装置が、特定のビットパターンと一致するIPパケットを選択してサンプリングし、サンプリングされたIPパケットを前記分析装置に転送するステップと、
前記分析装置が、該サンプリングされたIPパケットを解析し、DoS攻撃あるいはDDoS攻撃を正確に識別し、該識別したIPパケットを一定時間廃棄し、あるいは該IPパケットに対して帯域制御を行なうように前記ネットワーク装置に対して指示するステップと、
該指示を受けたネットワーク装置が、後続のIPパケットを一定時間廃棄し、あるいは該パケットに対し帯域制御を行うステップと
を有する、DoS攻撃あるいはDDoS攻撃に対処する方法。 A method of dealing with a DoS attack or a DDoS attack targeting a server on the Internet in a network system,
A network device sampling IP packets to all hosts connected to an access network accommodated in the network device, and transferring the sampled IP packets to an analysis device;
The analysis device analyzes the sampled IP packet, detects a DoS attack or a DDoS attack, and detects a DoS attack or a network device connected to an access network that accommodates a host that has detected the DDoS attack. Instructing to select and sample only IP packets that match a particular bit pattern among packets addressed to the host;
The network device that has received the instruction from the analysis device selects and samples an IP packet that matches a specific bit pattern, and transfers the sampled IP packet to the analysis device;
The analysis device analyzes the sampled IP packet, accurately identifies a DoS attack or a DDoS attack, discards the identified IP packet for a predetermined time, or performs bandwidth control on the IP packet. Instructing the network device;
The network apparatus which received this instruction | indication discards subsequent IP packet for a fixed time, or performs the bandwidth control with respect to this packet, The method of coping with a DoS attack or a DDoS attack.
該ネットワーク装置に収容されたアクセス網に接続された全ホストへのIPパケットをサンプリングするサンプリング部と、
該サンプリング部によりサンプリングされたIPパケットを分析装置に転送する転送部と、
該サンプリング部に対してサンプリングするIPパケットの選択を行い、前記分析装置からの指示により特定のビットパターンと一致するIPパケットをサンプリングし、サンプリングしたIPパケットを前記転送部より前記分析装置に転送するサンプリング選択制御部と、
前記分析装置からの指示により、検出されたパケットを一定時間廃棄し、あるいは該パケットに対して帯域制御を行なうフィルタ部と
を有すること特徴とするネットワーク装置。 In network equipment,
A sampling unit for sampling IP packets to all hosts connected to an access network accommodated in the network device;
A transfer unit for transferring the IP packet sampled by the sampling unit to the analyzer;
The sampling unit selects an IP packet to be sampled, samples an IP packet that matches a specific bit pattern according to an instruction from the analyzer, and transfers the sampled IP packet from the transfer unit to the analyzer A sampling selection control unit;
A network device comprising: a filter unit that discards a detected packet for a certain period of time or performs bandwidth control on the packet according to an instruction from the analysis device.
該サンプリングされたIPパケットを解析し、DoS攻撃あるいはDDoS攻撃を検出し、DoS攻撃あるいはDDoS攻撃を検出したホストを収容するアクセス網と接続されたネットワーク装置に対して、検出した該ホスト宛てのパケットのうち特定のビットパターンと一致するIPパケットのみを選択してサンプリングするように指示し、該指示に応答して前記ネットワーク装置でサンプリングされたIPパケットを解析し、DoS攻撃あるいはDDoS攻撃を正確に識別し、該識別したIPパケットを一定時間廃棄し、あるいは該IPパケットに対して帯域制御を行なうように前記ネットワーク装置に対して指示する分析手段と
を有する分析装置。 A network interface for receiving packet sampling data transmitted by the network device via the network;
The sampled IP packet is analyzed, a DoS attack or a DDoS attack is detected, and a packet addressed to the detected host is sent to a network device connected to an access network accommodating the host that has detected the DoS attack or DDoS attack Instructs to select and sample only IP packets that match a specific bit pattern, and analyzes the IP packet sampled by the network device in response to the instruction, and accurately detects a DoS attack or a DDoS attack. Analyzing means for identifying and discarding the identified IP packet for a predetermined time or instructing the network device to perform bandwidth control on the IP packet.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004356861A JP2006164038A (en) | 2004-12-09 | 2004-12-09 | Method for coping with dos attack or ddos attack, network device and analysis device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004356861A JP2006164038A (en) | 2004-12-09 | 2004-12-09 | Method for coping with dos attack or ddos attack, network device and analysis device |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006164038A true JP2006164038A (en) | 2006-06-22 |
Family
ID=36665970
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004356861A Pending JP2006164038A (en) | 2004-12-09 | 2004-12-09 | Method for coping with dos attack or ddos attack, network device and analysis device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006164038A (en) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009064114A2 (en) * | 2007-11-12 | 2009-05-22 | Ahnlab., Inc. | Protection method and system for distributed denial of service attack |
JP2009152712A (en) * | 2007-12-19 | 2009-07-09 | Nippon Telegr & Teleph Corp <Ntt> | Online detection method of high packet rate flow, and system and program therefor |
JP2009171431A (en) * | 2008-01-18 | 2009-07-30 | Oki Electric Ind Co Ltd | Traffic analyzer, traffic analyzing method, and traffic analyzing system |
JP2010283516A (en) * | 2009-06-03 | 2010-12-16 | Nec Infrontia Corp | Service stop attack detection system, network relay device and service stop attack prevention method |
JP2016163180A (en) * | 2015-03-02 | 2016-09-05 | 日本電気株式会社 | Communication system, communication method, and program |
JP2017005422A (en) * | 2015-06-08 | 2017-01-05 | 日本電信電話株式会社 | Detection system, detection method and detection program |
US9602418B2 (en) | 2014-03-27 | 2017-03-21 | Fujitsu Limited | Apparatus and method for selecting a flow to be changed upon congestion occurrence |
JP2017147558A (en) * | 2016-02-16 | 2017-08-24 | 日本電信電話株式会社 | Aggression detector, aggression detection system and aggression detection method |
JP2017147525A (en) * | 2016-02-16 | 2017-08-24 | 日本電信電話株式会社 | Transfer controller, application analysis control system, transfer control method, and application analysis control method |
JP2018137680A (en) * | 2017-02-23 | 2018-08-30 | 株式会社デンソー | Communication system and relay device |
JP7449256B2 (en) | 2021-03-11 | 2024-03-13 | 株式会社日立製作所 | Unauthorized communication countermeasure system and method |
-
2004
- 2004-12-09 JP JP2004356861A patent/JP2006164038A/en active Pending
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009064114A3 (en) * | 2007-11-12 | 2009-07-02 | Ahnlab Inc | Protection method and system for distributed denial of service attack |
WO2009064114A2 (en) * | 2007-11-12 | 2009-05-22 | Ahnlab., Inc. | Protection method and system for distributed denial of service attack |
JP2009152712A (en) * | 2007-12-19 | 2009-07-09 | Nippon Telegr & Teleph Corp <Ntt> | Online detection method of high packet rate flow, and system and program therefor |
JP2009171431A (en) * | 2008-01-18 | 2009-07-30 | Oki Electric Ind Co Ltd | Traffic analyzer, traffic analyzing method, and traffic analyzing system |
JP2010283516A (en) * | 2009-06-03 | 2010-12-16 | Nec Infrontia Corp | Service stop attack detection system, network relay device and service stop attack prevention method |
US9602418B2 (en) | 2014-03-27 | 2017-03-21 | Fujitsu Limited | Apparatus and method for selecting a flow to be changed upon congestion occurrence |
US10313238B2 (en) | 2015-03-02 | 2019-06-04 | Nec Corporation | Communication system, communication method, and non-transitiory computer readable medium storing program |
JP2016163180A (en) * | 2015-03-02 | 2016-09-05 | 日本電気株式会社 | Communication system, communication method, and program |
JP2017005422A (en) * | 2015-06-08 | 2017-01-05 | 日本電信電話株式会社 | Detection system, detection method and detection program |
JP2017147525A (en) * | 2016-02-16 | 2017-08-24 | 日本電信電話株式会社 | Transfer controller, application analysis control system, transfer control method, and application analysis control method |
JP2017147558A (en) * | 2016-02-16 | 2017-08-24 | 日本電信電話株式会社 | Aggression detector, aggression detection system and aggression detection method |
JP2018137680A (en) * | 2017-02-23 | 2018-08-30 | 株式会社デンソー | Communication system and relay device |
US11019097B2 (en) | 2017-02-23 | 2021-05-25 | Denso Corporation | Communication system and repeater |
JP7449256B2 (en) | 2021-03-11 | 2024-03-13 | 株式会社日立製作所 | Unauthorized communication countermeasure system and method |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101424490B1 (en) | Reverse access detecting system and method based on latency | |
US7729271B2 (en) | Detection method for abnormal traffic and packet relay apparatus | |
US7849506B1 (en) | Switching device, method, and computer program for efficient intrusion detection | |
US8149705B2 (en) | Packet communications unit | |
US7636305B1 (en) | Method and apparatus for monitoring network traffic | |
CN108040057B (en) | Working method of SDN system suitable for guaranteeing network security and network communication quality | |
Phan et al. | OpenFlowSIA: An optimized protection scheme for software-defined networks from flooding attacks | |
US7307999B1 (en) | Systems and methods that identify normal traffic during network attacks | |
US20140189867A1 (en) | DDoS ATTACK PROCESSING APPARATUS AND METHOD IN OPENFLOW SWITCH | |
JP2006352831A (en) | Network controller and method of controlling the same | |
US20040148520A1 (en) | Mitigating denial of service attacks | |
JP5017440B2 (en) | Network control apparatus and control method thereof | |
JP6599819B2 (en) | Packet relay device | |
WO2008148106A1 (en) | Proactive test-based differentiation method and system to mitigate low rate dos attacks | |
TWI492090B (en) | System and method for guarding against dispersive blocking attacks | |
Huang et al. | Countering denial-of-service attacks using congestion triggered packet sampling and filtering | |
CN105991637A (en) | Network attack protection method and network attack protection device | |
CN108616488B (en) | Attack defense method and defense equipment | |
JP2006164038A (en) | Method for coping with dos attack or ddos attack, network device and analysis device | |
JP2005210601A (en) | Intrusion detector | |
JP2006067078A (en) | Network system and attack defense method | |
JP2007259223A (en) | Defense system and method against illegal access on network, and program therefor | |
JP2010193083A (en) | Communication system, and communication method | |
CN108206828B (en) | Dual-monitoring safety control method and system | |
JP4867848B2 (en) | Overlay traffic detection system and traffic monitoring / control system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070131 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090416 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090512 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090630 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20091104 |