JP2006164038A - Method for coping with dos attack or ddos attack, network device and analysis device - Google Patents

Method for coping with dos attack or ddos attack, network device and analysis device Download PDF

Info

Publication number
JP2006164038A
JP2006164038A JP2004356861A JP2004356861A JP2006164038A JP 2006164038 A JP2006164038 A JP 2006164038A JP 2004356861 A JP2004356861 A JP 2004356861A JP 2004356861 A JP2004356861 A JP 2004356861A JP 2006164038 A JP2006164038 A JP 2006164038A
Authority
JP
Japan
Prior art keywords
packet
attack
network
analysis device
sampled
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004356861A
Other languages
Japanese (ja)
Inventor
Junichi Yoshida
順一 吉田
Masaru Katayama
勝 片山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2004356861A priority Critical patent/JP2006164038A/en
Publication of JP2006164038A publication Critical patent/JP2006164038A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To solve the following problem of a network system: an unanalyzable packet is generated without analyzing all the packets, so that an attack flow cannot be specified. <P>SOLUTION: The packet is sampled in an IP router 2, and is transferred to an analysis device 8. When the analysis device 8 detects that the packet of a prescribed value or above is transmitted to the same host within a prescribed time, the analysis device 8 decides that communication thereof is the attack flow to the host, and communicates information related to the flow to the IP router 2 from the analysis device 8. The IP router 2 receiving it extracts only the packet related to the flow, and transmits it to the analysis device 8. The analysis device 8 analyzes the sampled IP packet, accurately identifies a DoS attack or a DDoS attack, and instructs the IP router to disposes of the identified IP packet for a prescribed time, or to make band control to the IP packet. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、インターネット上のサーバを標的にしたDenial of Service attack(以下DoS攻撃と略記する)、あるいはDistributed Denial of Service attack(以下DDoS攻撃と略記する)等に対処可能なネットワークシステムに関する。   The present invention relates to a network system capable of dealing with a Denial of Service attack (hereinafter abbreviated as a DoS attack) targeting a server on the Internet or a Distributed Denial of Service attack (hereinafter abbreviated as a DDoS attack).

インターネットにおけるDDoS攻撃とは、ネットワーク上のサーバが提供するサービスを妨害することで、そのサービスを機能しなくさせる攻撃のことを示す。この攻撃の実行手段は標的となるサーバに大量にIPパケットを送信することでネットワークやサーバのリソースを消費し、サービスを妨害および拒否する方法である。近年では、ネットワーク回線を食いつぶすようなDDoS攻撃が増加しており、すでに社会インフラとなりつつあるインターネットの安定したサービス提供を行うことは必要であることから、キャリア網においても積極的に対策を採る必要が増してきている。   A DDoS attack on the Internet refers to an attack that prevents a service provided by a server on the network from functioning by causing the service to stop functioning. The execution means of this attack is a method of consuming and denying services by consuming network and server resources by transmitting a large amount of IP packets to the target server. In recent years, DDoS attacks that devour network lines have increased, and it is necessary to provide stable services for the Internet, which is already becoming a social infrastructure, so it is necessary to take positive measures in the carrier network as well. Is increasing.

このようなDDoS攻撃を防御する方法として、たとえば、特許文献1、特許文献2などに開示されている技術がある。
特開2002−335246号公報 特開2003−283554号公報 As a method for preventing such a DDoS attack, for example, there are techniques disclosed in Patent Document 1, Patent Document 2, and the like.
JP 2002-335246 A JP 2003-283554 A

しかしながら、上記、従来のトラヒックに対してインラインで検出・防御を行うネットワーク型システムでは、今後予想されるトラヒックを処理するだけの十分な処理性能を監視するネットワークの帯域の増加に合わせて確保するのが困難であるとともに、そのようなシステムは非常に高価であるといった問題があった。また、スイッチのミラーポートやTAPによりミラーしたパケットを分析システムで分析を行い、防御をネットワーク型で行う方法は、詳細なトラヒック分析処理が可能であるが、ポートミラーリングやネットワークタップにより常に全てのパケットを転送するため大量の攻撃を受けた場合、全てのトラヒックを転送できないため、トラヒック分析を正確に行えない問題があった。また、特定の確率でサンプリングをするパケットサンプリング法によりパケットサンプリングし、サンプルパケットの情報を分析システムで統計学的手法により分析を行い攻撃を検知する方法は、サンプリング手法であるため少ないパケット情報でネットワーク全体のトラヒックを監視することが可能であるが、全てのトラヒックを均等に扱うサンプリングであるため、双方向のトラヒックを監視するステート監視によりDDoS攻撃フローの特定を正確に行うことが困難であり、誤って正常ユーザトラヒックまで廃棄してしまう問題があった。   However, in the above-mentioned network type system that detects and defends against in-line traffic in advance, sufficient processing performance for processing traffic expected in the future can be secured in accordance with the increase in network bandwidth. However, there is a problem that such a system is very expensive. In addition, the method of analyzing the packet mirrored by the mirror port of the switch or TAP with the analysis system and performing the defense in the network type can perform detailed traffic analysis processing, but all packets are always processed by port mirroring or network tap. When a large amount of attacks are received to transfer the traffic, all the traffic cannot be transferred, so there is a problem that the traffic analysis cannot be performed accurately. In addition, the packet sampling method that performs sampling with a specific probability, and the method of detecting the attack by analyzing the sample packet information using a statistical method with an analysis system is a sampling method. Although it is possible to monitor the entire traffic, it is difficult to accurately identify the DDoS attack flow by state monitoring that monitors bi-directional traffic because it is a sampling that treats all traffic equally. There was a problem that even normal user traffic was accidentally discarded.

本発明の目的は、すべてのパケットを分析することなく、分析できないパケットが発生し、攻撃フローを特定できない問題を解決する、DoS攻撃あるいはDDoS攻撃に対処する方法、ネットワーク装置、および分析装置を提供することにある。   An object of the present invention is to provide a DoS attack or a method for dealing with a DDoS attack, a network device, and an analysis device, which solves a problem in which a packet that cannot be analyzed occurs without analyzing all packets and an attack flow cannot be identified. There is to do.

本発明のDoS攻撃あるいはDDoS攻撃に対処する方法は、
ネットワーク装置が、該ネットワーク装置に収容されたアクセス網に接続された全ホストへのトラフィックをサンプリングし、サンプリングされたIPパケットを分析装置に転送するステップと、
前記分析装置が、該サンプリングされたIPパケットを解析し、DoS攻撃あるいはDDoS攻撃を検出し、DoS攻撃あるいはDDoS攻撃を検出したホストを収容するアクセス網と接続されたネットワーク装置に対して、検出した該ホスト宛てのパケットのうち特定のビットパターンと一致するIPパケットのみを選択してサンプリングするように指示するステップと、
前記分析装置から前記指示を受けたネットワーク装置が、特定のビットパターンと一致するIPパケットを選択してサンプリングし、サンプリングされたIPパケットを前記分析装置に転送するステップと、
前記分析装置が、該サンプリングされたIPパケットを解析し、DoS攻撃あるいはDDoS攻撃を正確に識別し、該識別したIPパケットを一定時間廃棄し、あるいは該IPパケットに対して帯域制御を行なうように前記ネットワーク装置に対して指示するステップと、
該指示を受けたネットワーク装置が、後続のIPパケットを一定時間廃棄し、あるいは該パケットに対し帯域制御を行うステップと
を有する。 The method of dealing with the DoS attack or DDoS attack of the present invention is as follows.
A network device sampling traffic to all hosts connected to an access network accommodated in the network device, and forwarding the sampled IP packet to an analysis device;
The analysis device analyzes the sampled IP packet, detects a DoS attack or a DDoS attack, and detects a DoS attack or a network device connected to an access network that accommodates a host that has detected the DDoS attack. Instructing to select and sample only IP packets that match a particular bit pattern among packets addressed to the host;
The network device that has received the instruction from the analysis device selects and samples an IP packet that matches a specific bit pattern, and transfers the sampled IP packet to the analysis device;
The analysis device analyzes the sampled IP packet, accurately identifies a DoS attack or a DDoS attack, discards the identified IP packet for a predetermined time, or performs bandwidth control on the IP packet. Instructing the network device;
The network device that has received the instruction includes a step of discarding the subsequent IP packet for a certain period of time or performing bandwidth control on the packet.

ネットワーク装置(たとえばIPルータ)は、自身に収容したアクセス網に接続された全ホストへのトラヒックをサンプリング部によりIPパケットをサンプリングし、分析装置で、収集されたサンプルIPパケットの解析を行うことでネットワーク全体のトラヒックを監視する。そして、同一ホストに対して定められた時間内に、閾値以上連続的に送信されたことを検出することにより、DoS攻撃あるいはDDoS攻撃を検知し、検出した注目すべきトラヒックについてのみ収集するようにネットワーク装置に指示することにより、検出した注目すべきトラヒックについてのみ収集して正確にDDoS攻撃パケットフローの判断を行い、誤って攻撃を受けているホストと通信を行っている正常ユーザトラヒックまで廃棄することなくDDoS攻撃トラヒックのみ、トラヒックの帯域制限(ポリシング、シェービング等)により、またはフィルタすることによりDDoS攻撃を防御する。   The network device (for example, IP router) samples the IP packet by the sampling unit for the traffic to all the hosts connected to the access network accommodated by itself, and analyzes the collected sample IP packet by the analysis device. Monitor network-wide traffic. And, by detecting that the data is continuously transmitted to the same host within a predetermined time, the DoS attack or the DDoS attack is detected, and only the detected noticeable traffic is collected. By instructing the network device, only the detected noticeable traffic is collected, the DDoS attack packet flow is accurately determined, and the normal user traffic communicating with the host under attack is erroneously discarded. DDoS attack traffic is protected only by DDoS attack traffic, by traffic band limitation (policing, shaving, etc.) or by filtering.

本発明によれば、すべてのパケットを分析することなく、分析できないパケットが発生し、攻撃フローを特定できない問題を解決することができる。   According to the present invention, it is possible to solve a problem in which a packet that cannot be analyzed and an attack flow cannot be identified without analyzing all the packets.

次に、本発明の実施の形態について図面を参照して説明する。   Next, embodiments of the present invention will be described with reference to the drawings.

図1は、本発明の一実施形態の、インターネット上のサーバを標的にしたDoS攻撃、あるいはDDoS攻撃に対処可能なネットワークシステムの構成を示す図である。   FIG. 1 is a diagram showing a configuration of a network system capable of dealing with a DoS attack targeting a server on the Internet or a DDoS attack according to an embodiment of the present invention.

本実施形態のネットワークシステムは、キャリアネットワーク1と、IPルータ2,3,4と、DDoS攻撃の攻撃対象のサーバ5と、サーバ5と通信を行うユーザ端末6と、サーバ5に対してDDoS攻撃を行うユーザ端末7と、分析装置8を有している。   The network system according to the present embodiment includes a carrier network 1, IP routers 2, 3, and 4, a server 5 that is a DDoS attack target, a user terminal 6 that communicates with the server 5, and a DDoS attack against the server 5. The user terminal 7 which performs and the analyzer 8 are provided.

図2はIPルータ2〜4の構成図である。IPルータ2〜4はネットワークインタフェース11,12と、サンプリング選択部14を含むサンプリング部13と、転送部15と、フィルタ部16と、制御部17を有している。なお、図2においては、IPルータが元来有している構成は省略されている。サンプリング部13はアクセス網10に接続された全ホストへのトラヒックについてIPパケットをサンプリングする。転送部15はサンプリングされたIPパケットを分析装置8に転送する。サンプリング選択部13は、特定のビットパターンと一致するIPパケットをサンプリングする。フィルタ部16は検出したIPパケットを一定時間廃棄し、あるいは該IPパケットに対して帯域制御を行う。   FIG. 2 is a configuration diagram of the IP routers 2 to 4. The IP routers 2 to 4 include network interfaces 11 and 12, a sampling unit 13 including a sampling selection unit 14, a transfer unit 15, a filter unit 16, and a control unit 17. In FIG. 2, the configuration that the IP router originally has is omitted. The sampling unit 13 samples IP packets for traffic to all hosts connected to the access network 10. The transfer unit 15 transfers the sampled IP packet to the analysis device 8. The sampling selection unit 13 samples an IP packet that matches a specific bit pattern. The filter unit 16 discards the detected IP packet for a predetermined time or performs bandwidth control on the IP packet.

図3は分析装置8の構成を示す図である。分析装置8はネットワークインタフェース21と制御部22と分析部23を有している。IPルータ2の転送部15より転送されたパケットサンプリングデータは、ネットワーク1‘を経由してネットワークインタフェース21によって受信される。ネットワークインタフェース21は、パケットサンプリングデータを受信すると、該パケットサンプリングデータを制御部22によって分析部23へ渡す。分析部23は、ハードウェアまたはソフトウェア、またはハードウェアおよびソフトウェアで構成され、統計学的手段によりネットワーク全体のトラヒックを監視し、あるターゲット宛トラヒックが閾値を越えてレートが高いことを検出する。   FIG. 3 is a diagram showing the configuration of the analyzer 8. The analysis device 8 includes a network interface 21, a control unit 22, and an analysis unit 23. The packet sampling data transferred from the transfer unit 15 of the IP router 2 is received by the network interface 21 via the network 1 ′. When receiving the packet sampling data, the network interface 21 passes the packet sampling data to the analysis unit 23 by the control unit 22. The analysis unit 23 is configured by hardware or software, or hardware and software, and monitors the traffic of the entire network by statistical means, and detects that the traffic destined for a certain target exceeds a threshold and has a high rate.

ここで、上記のように構成されたネットワークシステムの動作について説明する。IPルータ2,3,4では、自身に収容したアクセス網10に接続された全ホストへのトラヒックについてサンプリング部13によりIPパケットをサンプリングする。そして、転送部15にて、サンプリングされたIPパケットを分析装置8に転送する。分析装置8では分析部23によって、収集されたサンプルIPパケットの解析を行い、ネットワーク全体のトラヒックを監視する。そして、特定のパケットが、同一ホストに対して定められた時間内に、閾値以上連続的に送信されたことを検出することにより、DoS攻撃あるいはDDoS攻撃を検出する。   Here, the operation of the network system configured as described above will be described. In the IP routers 2, 3, and 4, the sampling unit 13 samples IP packets for traffic to all hosts connected to the access network 10 accommodated therein. Then, the transfer unit 15 transfers the sampled IP packet to the analysis device 8. In the analysis device 8, the analysis unit 23 analyzes the collected sample IP packet and monitors the traffic of the entire network. Then, a DoS attack or a DDoS attack is detected by detecting that a specific packet is continuously transmitted to the same host within a predetermined time.

次に、該ホスト宛のDDoS攻撃を検出した分析装置8では、該ホストを収容するアクセス網10と接続したIPルータに対して、検出した該ホスト宛のパケットのうち特定のビットパターン(IPパケットの宛先IPアドレス、送信元IPアドレス、送信元ポート番号、宛先ポート番号、プロトコルなど)と一致するIPパケットのみ選択してサンプリングするように指示する。   Next, the analysis device 8 that has detected the DDoS attack addressed to the host sends a specific bit pattern (IP packet) to the IP router connected to the access network 10 that accommodates the host. The destination IP address, source IP address, source port number, destination port number, protocol, etc.) are selected and instructed to be sampled.

分析装置8から指示を受けたIPルータ2では、サンプリング選択部13で、特定のビットパターン(IPパケットの宛先IPアドレス、送信元IPアドレス、送信元ポート番号、宛先ポート番号、プロトコルなど)と一致するIPパケットをサンプリングし、転送部15にて、サンプリングしたIPパケットを分析装置8に転送する。   In the IP router 2 that has received an instruction from the analysis device 8, the sampling selection unit 13 matches a specific bit pattern (IP packet destination IP address, source IP address, source port number, destination port number, protocol, etc.). The IP packet to be sampled is sampled, and the transfer unit 15 transfers the sampled IP packet to the analyzer 8.

分析装置8では、収集された注目すべき該ホストのサンプルIPパケットの解析を行い、該ホスト宛に対して定められた時間内に、閾値以上連続的に送信されたことを検出することと、双方向のトラヒックを分析したステート監視(上り、下りのステート遷移定義に基きフローの正常性の確認)を行うことにより、DDoS攻撃パケットフローを正確に識別し、該IPルータに対して、DDoS攻撃パケットフローを識別したIPパケットフローを一定時間廃棄し、あるいは、IPパケットフローに対して帯域制御を行うように指示する。   The analysis device 8 analyzes the collected sample IP packets of the host to be noticed, and detects that the packets are continuously transmitted over the threshold within a predetermined time for the host; By performing state monitoring (confirming the normality of the flow based on upstream and downstream state transition definitions) by analyzing bi-directional traffic, the DDoS attack packet flow is accurately identified, and a DDoS attack is performed against the IP router. An instruction is given to discard the IP packet flow for which the packet flow has been identified for a certain period of time or to perform bandwidth control on the IP packet flow.

最後に、分析装置8から指示を受けたIPルータでは、検出されたIPパケットをフィルタ部16にて一定時間廃棄、あるいは、帯域制御を行う。   Finally, in the IP router that has received an instruction from the analysis device 8, the detected IP packet is discarded by the filter unit 16 for a certain period of time or is subjected to bandwidth control.

サンプリング部13はパケットをサンプリングする方法として、一定時間間隔でパケットをサンプリングしてもよい。あるいは、通過したパケットの数をカウントし、一定数ごとにパケットをサンプリングしてもよい。また、サンプリングしたパケットはコピーしてもよいし、ヘッダ情報のみ抽出してもよい。   As a method for sampling the packet, the sampling unit 13 may sample the packet at regular time intervals. Alternatively, the number of packets that have passed may be counted, and the packets may be sampled every certain number. The sampled packet may be copied, or only header information may be extracted.

いま、ユーザ端末6と通信を行っているサーバ5に対して攻撃者7がDDoS攻撃を行っている場合を考える。この場合、IPルータ4では、サーバ5宛のトラヒックについてサンプリング部13によりIPパケットをサンプリングし、転送部15にてサンプリングしたIPパケットを分析装置8に転送する。分析装置8では、収集されたサンプルIPパケットの解析を行い、サーバ5宛に対して定められた時間内に、閾値以上連続的に送信されたことを検出することにより、DDoS攻撃を検出する。   Consider a case where an attacker 7 is performing a DDoS attack on the server 5 communicating with the user terminal 6. In this case, the IP router 4 samples the IP packet for the traffic addressed to the server 5 by the sampling unit 13, and transfers the IP packet sampled by the transfer unit 15 to the analyzer 8. The analysis device 8 analyzes the collected sample IP packets, and detects a DDoS attack by detecting that the packet is continuously transmitted to the server 5 within a predetermined time period.

次に、サーバ5宛のDDoS攻撃を検出した分析装置8では、IPルータ4に対して、検出したサーバ5宛のパケットとサーバ5からの応答パケットのみ選択してサンプリングするように指示する。ここで、分析装置8からの指示には、特定のビットパターン(IPパケットの宛先IPアドレス、送信元IPアドレス、送信元ポート番号、宛先ポート番号、プロトコルなど)情報が含まれている。   Next, the analysis device 8 that has detected the DDoS attack addressed to the server 5 instructs the IP router 4 to select and sample only the detected packet addressed to the server 5 and the response packet from the server 5. Here, the instruction from the analysis device 8 includes specific bit pattern (IP packet destination IP address, source IP address, source port number, destination port number, protocol, etc.) information.

分析装置8から指示を受けたIPルータ4では、サンプリング選択部14で、分析装置8で検出したサーバ5宛パケットとその応答パケットのみ選択して全てサンプリングし、サンプリングしたIPパケットを転送部15にて分析装置8に転送する。   In the IP router 4 that has received an instruction from the analysis device 8, the sampling selection unit 14 selects only the packet addressed to the server 5 detected by the analysis device 8 and its response packet, samples them all, and sends the sampled IP packet to the transfer unit 15. To the analyzer 8.

分析装置8では、収集された注目すべきサーバ5宛パケットとその応答パケットのサンプルIPパケットの解析を行い、サーバ5宛に対して定められた時間内に、閾値以上連続的に送信されたことを検出することと、双方向のトラヒックを分析したステート監視を行うことにより、DDoS攻撃パケットフローを正確に識別し、該IPルータ2に対してDDoS攻撃パケットフローを識別したIPパケットフローを一定時間廃棄、あるいはIPパケットフローに対して帯域制御を行うように指示する。   The analysis device 8 analyzes the collected packet addressed to the server 5 and the sample IP packet of the response packet, and has continuously transmitted more than a threshold value within a predetermined time to the server 5 address. And the state monitoring by analyzing the bidirectional traffic, the DDoS attack packet flow is accurately identified, and the IP packet flow that has identified the DDoS attack packet flow with respect to the IP router 2 is determined for a certain period of time. Instructs to perform bandwidth control for discard or IP packet flow.

最後に、分析装置8から指示を受けたIPルータ2では、検出したIPパケットをフィルタ部16にて一定時間廃棄し、あるいは帯域制御を行う。   Finally, in the IP router 2 that receives the instruction from the analysis device 8, the detected IP packet is discarded by the filter unit 16 for a certain period of time, or bandwidth control is performed.

次に、図1のネットワークシステムにおけるDDoS攻撃防御法を図4のシーケンスチャートを用いて説明する。   Next, the DDoS attack defense method in the network system of FIG. 1 will be described using the sequence chart of FIG.

いま、ユーザ端末6と通信を行っているサーバ5に対して攻撃者7がDDoS攻撃を行っている場合を考える。   Consider a case where an attacker 7 is performing a DDoS attack on the server 5 communicating with the user terminal 6.

IPルータ4では、サーバ5宛のトラヒックについてサンプリング部13によりIPパケットをサンプリングし(ステップ101、102)、サンプリングされたサンプリングパケット201を転送部15にて分析装置8に転送する(ステップ103)。分析装置8では、収集されたサンプルパケット201の解析を分析部23で行い(ステップ104)、サーバ5宛に対して定められた時間内に、閾値以上連続的に送信されたことを検出することにより、DDoS攻撃を検出する(ステップ105)。   In the IP router 4, the IP packet is sampled by the sampling unit 13 for traffic addressed to the server 5 (steps 101 and 102), and the sampled sampling packet 201 is transferred to the analyzer 8 by the transfer unit 15 (step 103). In the analysis device 8, the collected sample packet 201 is analyzed by the analysis unit 23 (step 104), and it is detected that the packet is continuously transmitted over the threshold within a predetermined time for the server 5. Thus, a DDoS attack is detected (step 105).

DDoS攻撃が検出された場合、分析装置8では、IPルータ4に対して、検出した、サーバ5宛のパケットとサーバ5からの応答パケットのみ選択してサンプリングするように制御部22が特定トラヒックサンプリング指示202を行う。ここで、分析装置8からの特定トラヒックサンプリング指示202には、特定のビットパターン(IPパケットの宛先IPアドレス、送信元IPアドレス、送信元ポート番号、宛先ポート番号、プロトコルなど)の情報が含まれている。   When a DDoS attack is detected, the analysis device 8 causes the control unit 22 to select and sample only the detected packet addressed to the server 5 and the response packet from the server 5 to the IP router 4 for sampling. Instruction 202 is performed. Here, the specific traffic sampling instruction 202 from the analysis device 8 includes information on a specific bit pattern (IP packet destination IP address, source IP address, source port number, destination port number, protocol, etc.). ing.

分析装置8から指示を受けたIPルータ4では、サンプリング選択部14で、分析装置8で検出したサーバ5宛パケットとその応答パケットのみ選択して全てのパケットをサンプリングし、サンプリングしたサンプリングパケット203を分析装置8に転送する。   In the IP router 4 that has received an instruction from the analysis device 8, the sampling selection unit 14 selects only the packet addressed to the server 5 detected by the analysis device 8 and its response packet, samples all the packets, and samples the sampled packet 203. Transfer to the analyzer 8.

分析装置8では、収集された注目すべきサーバ5宛パケットとその応答パケットのサンプルパケット203について分析部23により解析を行い、サーバ5宛に対して定められた時間内に、閾値以上連続的に送信されたことを検出することと、双方向のトラヒックを分析したステート監視を行うことにより、DDoS攻撃パケットフローを正確に識別し、IPルータ4に対して、DDoS攻撃パケットフローを識別したIPパケットフローを一定時間廃棄、あるいは、帯域制御を行うようにフィルタ指示204を出す。   In the analysis device 8, the collected packet addressed to the server 5 and the sample packet 203 of the response packet are analyzed by the analysis unit 23, and continuously within a predetermined time for the server 5 more than a threshold value. An IP packet that accurately identifies the DDoS attack packet flow and detects the DDoS attack packet flow with respect to the IP router 4 by detecting the transmission and performing state monitoring by analyzing bidirectional traffic. A filter instruction 204 is issued so as to discard the flow for a certain period of time or perform band control.

最後に、分析装置8からフィルタ指示204を受けたIPルータ4では、検出したIPパケットをフィルタ部16にて一定時間廃棄、あるいは、帯域制御を行う。   Finally, in the IP router 4 that has received the filter instruction 204 from the analysis device 8, the detected IP packet is discarded by the filter unit 16 for a certain period of time or is subjected to bandwidth control.

図5は、IPルータ2,3,4が分析装置8からの特定トラヒックサンプリング指示202あるいはフィルタ指示204を管理する方法を説明するための図である。各IPルータ2,3,4にはテーブル300があり、このテーブル300にはフィルタ情報と、特定トラヒックをサンプリングする情報の2種類の情報が記載されており、IPパケットの送信元IPアドレス(SA)、宛先IPアドレス(DP)、送信元ポート番号(SP)、宛先ポート番号(DP)、プロトコル(Protocol)などの情報により表されている。   FIG. 5 is a diagram for explaining a method in which the IP routers 2, 3, 4 manage the specific traffic sampling instruction 202 or the filter instruction 204 from the analysis device 8. Each IP router 2, 3, 4 has a table 300. This table 300 describes two types of information: filter information and information for sampling specific traffic, and the IP address of the IP packet (SA ), Destination IP address (DP), transmission source port number (SP), destination port number (DP), protocol (Protocol), and the like.

本発明の第2の実施形態として、ユーザ端末5と通信を行っているサーバ5に対して攻撃者6がDDoS攻撃を行っており、攻撃者6に最も近いIPルータ(IPルータ2)でIPパケットのみ選択サンプリングおよびフィルタする場合を考える。この場合、IPルータ2では、サーバ5宛のトラヒックをサンプリング部13によりIPパケットをサンプリングし、転送部15にて、サンプリングしたIPパケットを分析装置8に転送する。そして、分析装置8で、収集されたサンプルIPパケットの解析を行い、サーバ5宛に対して定められた時間内に、閾値以上連続的に送信されたことを検出することにより、DDoS攻撃を検出する。   As a second embodiment of the present invention, an attacker 6 is performing a DDoS attack on a server 5 communicating with a user terminal 5, and an IP router (IP router 2) closest to the attacker 6 Consider the case of selective sampling and filtering only packets. In this case, the IP router 2 samples the IP packet from the traffic addressed to the server 5 by the sampling unit 13, and the sampled IP packet is transferred to the analyzer 8 by the transfer unit 15. Then, the analysis device 8 analyzes the collected sample IP packets and detects the DDoS attack by detecting that the packets are continuously transmitted to the server 5 within a predetermined time. To do.

次に、サーバ5宛にDDoS攻撃を検出した分析装置8では、各IPルータ2,3に対して検出した、サーバ5宛のパケットとサーバ5からの応答パケットのみ選択してサンプリングするように指示する。ここで、分析装置8からの指示には、特定のビットパターン(IPパケットの宛先IPアドレス、送信元IPアドレス、送信元ポート番号、宛先ポート番号、プロトコルなど)情報が含まれている。   Next, the analysis device 8 that has detected the DDoS attack addressed to the server 5 instructs each of the IP routers 2 and 3 to select and sample only the detected packet addressed to the server 5 and the response packet from the server 5. To do. Here, the instruction from the analysis device 8 includes specific bit pattern (IP packet destination IP address, source IP address, source port number, destination port number, protocol, etc.) information.

分析装置8から指示を受けたIPルータ2,3では、サンプリング選択部14で、分析装置8で検出されたサーバ5宛パケットとその応答パケットのみ選択して全てサンプリングし、転送部15にてサンプリングしたIPパケットを分析装置8に転送する。   In the IP routers 2 and 3 receiving the instruction from the analysis device 8, the sampling selection unit 14 selects only the packet addressed to the server 5 detected by the analysis device 8 and its response packet, and samples them all. The transferred IP packet is transferred to the analyzer 8.

分析装置8では、収集された注目すべきサーバ5宛パケットとその応答パケットのサンプルIPパケットの解析を行い、サーバ5宛に対して定められた時間内に、閾値以上連続的に送信されたことを検出することと、双方向のトラヒックを分析したステート監視を行うことにより、DDoS攻撃パケットフローを正確に識別し、攻撃者7に最も近いIPルータ2に対してDDoS攻撃パケットフローを識別したIPパケットフローを一定時間廃棄、あるいは、帯域制御を行うように指示する。   The analysis device 8 analyzes the collected packet addressed to the server 5 and the sample IP packet of the response packet, and has continuously transmitted more than a threshold value within a predetermined time to the server 5 address. And the state monitoring by analyzing bidirectional traffic, the DDoS attack packet flow is accurately identified, and the IP router 2 that is closest to the attacker 7 is identified with the DDoS attack packet flow. Instructs the packet flow to be discarded for a certain period of time or to perform bandwidth control.

最後に、分析装置8から指示を受けた、攻撃者7に最も近いIPルータ2では、検出したIPパケットをフィルタ部16にて一定時間廃棄し、あるいは、帯域制御を行う。   Finally, the IP router 2 closest to the attacker 7 who received the instruction from the analysis device 8 discards the detected IP packet at the filter unit 16 for a certain period of time or performs bandwidth control.

なお、以上の実施形態では、DDoS攻撃を受けた場合についてその動作を説明したが、DoS攻撃を受けた場合もその動作は同様である。   In the above embodiment, the operation has been described in the case of receiving a DDoS attack. However, the operation is similar in the case of receiving a DoS attack.

インターネット上のサーバを標的にしたDoS攻撃あるいはDDoS攻撃に対処可能な本発明の一実施形態によるネットワークシステムの構成を示す図である。It is a figure which shows the structure of the network system by one Embodiment of this invention which can cope with the DoS attack which targeted the server on the internet, or a DDoS attack. 図1のネットワークシステムにおけるIPルータの構成図である。It is a block diagram of the IP router in the network system of FIG. 図1のネットワークシステムにおける分析装置の構成図である。It is a block diagram of the analyzer in the network system of FIG. 図1のネットワークシステムのDDoS攻撃防御法を示したシーケンスチャートである。2 is a sequence chart showing a DDoS attack defense method of the network system of FIG. 1. 各IPルータ2,3,4が分析装置8からの特定トラヒックサンプリング指示202あるいはフィルタ指示204を管理する方法を説明するための図である。4 is a diagram for explaining a method in which each IP router 2, 3, 4 manages a specific traffic sampling instruction 202 or a filter instruction 204 from the analysis device 8. FIG.

符号の説明Explanation of symbols

1 キャリアネットワーク
1‘ ネットワーク
2,3,4 IPルータ
5 サーバ
6 ユーザ端末
7 攻撃者
8 分析装置
9 キャリアネットワーク
10 アクセス網
11,12 ネットワークインタフェース
13 サンプリング部
14 サンプリング選択部
15 転送部
16 フィルタ部
17 制御部
21 ネットワークインタフェース
22 制御部
23 分析部
101〜109 ステップ
201,203 サンプリングパケット
202 特定トラヒックサンプリング指示
204 フィルタ指示
300 テーブル DESCRIPTION OF SYMBOLS 1 Carrier network 1 'Network 2, 3, 4 IP router 5 Server 6 User terminal 7 Attacker 8 Analyzer 9 Carrier network 10 Access network 11,12 Network interface 13 Sampling part 14 Sampling selection part 15 Transfer part 16 Filter part 17 Control Unit 21 Network interface 22 Control unit 23 Analysis unit 101-109 Step 201, 203 Sampling packet 202 Specific traffic sampling instruction 204 Filter instruction 300 Table

Claims (5)

ネットワークシステムにおける、インターネット上のサーバを標的にしたDoS攻撃あるいはDDoS攻撃に対処する方法であって、
ネットワーク装置が、該ネットワーク装置に収容されたアクセス網に接続された全ホストへのIPパケットをサンプリングし、サンプリングされたIPパケットを分析装置に転送するステップと、
前記分析装置が、該サンプリングされたIPパケットを解析し、DoS攻撃あるいはDDoS攻撃を検出し、DoS攻撃あるいはDDoS攻撃を検出したホストを収容するアクセス網と接続されたネットワーク装置に対して、検出した該ホスト宛てのパケットのうち特定のビットパターンと一致するIPパケットのみを選択してサンプリングするように指示するステップと、
前記分析装置から前記指示を受けたネットワーク装置が、特定のビットパターンと一致するIPパケットを選択してサンプリングし、サンプリングされたIPパケットを前記分析装置に転送するステップと、
前記分析装置が、該サンプリングされたIPパケットを解析し、DoS攻撃あるいはDDoS攻撃を正確に識別し、該識別したIPパケットを一定時間廃棄し、あるいは該IPパケットに対して帯域制御を行なうように前記ネットワーク装置に対して指示するステップと、
該指示を受けたネットワーク装置が、後続のIPパケットを一定時間廃棄し、あるいは該パケットに対し帯域制御を行うステップと
を有する、DoS攻撃あるいはDDoS攻撃に対処する方法。 A method of dealing with a DoS attack or a DDoS attack targeting a server on the Internet in a network system,
A network device sampling IP packets to all hosts connected to an access network accommodated in the network device, and transferring the sampled IP packets to an analysis device;
The analysis device analyzes the sampled IP packet, detects a DoS attack or a DDoS attack, and detects a DoS attack or a network device connected to an access network that accommodates a host that has detected the DDoS attack. Instructing to select and sample only IP packets that match a particular bit pattern among packets addressed to the host;
The network device that has received the instruction from the analysis device selects and samples an IP packet that matches a specific bit pattern, and transfers the sampled IP packet to the analysis device;
The analysis device analyzes the sampled IP packet, accurately identifies a DoS attack or a DDoS attack, discards the identified IP packet for a predetermined time, or performs bandwidth control on the IP packet. Instructing the network device;
The network apparatus which received this instruction | indication discards subsequent IP packet for a fixed time, or performs the bandwidth control with respect to this packet, The method of coping with a DoS attack or a DDoS attack. 前記ネットワーク装置は、時間ベースのサンプリング、あるいはカウントベースのサンプリングにより取得したサンプルパケットをコピーするか、パケットからパケットヘッダ情報を抽出する、請求項1に記載の方法。   The method according to claim 1, wherein the network device copies a sample packet obtained by time-based sampling or count-based sampling, or extracts packet header information from the packet. 前記分析装置では、取得したサンプルパケットの情報を統計学的手段により分析し、あるターゲット宛トラヒックが閾値を超えてレートが高いことを検出した場合は、前記ネットワーク装置に対して、検出した注目すべきターゲット間の双方向パケットのみ選択して全てのパケットをサンプリングするように指示し、前記分析装置で注目すべきターゲットの双方向トラヒックについてのみ収集する、請求項1または2に記載の方法。   The analysis device analyzes the acquired sample packet information by statistical means, and if it detects that the traffic to a certain target exceeds a threshold and the rate is high, the network device pays attention to the detected attention. The method according to claim 1, wherein only the bidirectional packets between the target to be selected are instructed to sample all the packets, and the analysis apparatus collects only the target target bidirectional traffic. ネットワーク装置において、
該ネットワーク装置に収容されたアクセス網に接続された全ホストへのIPパケットをサンプリングするサンプリング部と、
該サンプリング部によりサンプリングされたIPパケットを分析装置に転送する転送部と、
該サンプリング部に対してサンプリングするIPパケットの選択を行い、前記分析装置からの指示により特定のビットパターンと一致するIPパケットをサンプリングし、サンプリングしたIPパケットを前記転送部より前記分析装置に転送するサンプリング選択制御部と、
前記分析装置からの指示により、検出されたパケットを一定時間廃棄し、あるいは該パケットに対して帯域制御を行なうフィルタ部と
を有すること特徴とするネットワーク装置。 In network equipment,
A sampling unit for sampling IP packets to all hosts connected to an access network accommodated in the network device;
A transfer unit for transferring the IP packet sampled by the sampling unit to the analyzer;
The sampling unit selects an IP packet to be sampled, samples an IP packet that matches a specific bit pattern according to an instruction from the analyzer, and transfers the sampled IP packet from the transfer unit to the analyzer A sampling selection control unit;
A network device comprising: a filter unit that discards a detected packet for a certain period of time or performs bandwidth control on the packet according to an instruction from the analysis device. ネットワーク装置により送信されたパケットサンプリングデータを、ネットワークを継由して受信するネットワークインタフェースと、
該サンプリングされたIPパケットを解析し、DoS攻撃あるいはDDoS攻撃を検出し、DoS攻撃あるいはDDoS攻撃を検出したホストを収容するアクセス網と接続されたネットワーク装置に対して、検出した該ホスト宛てのパケットのうち特定のビットパターンと一致するIPパケットのみを選択してサンプリングするように指示し、該指示に応答して前記ネットワーク装置でサンプリングされたIPパケットを解析し、DoS攻撃あるいはDDoS攻撃を正確に識別し、該識別したIPパケットを一定時間廃棄し、あるいは該IPパケットに対して帯域制御を行なうように前記ネットワーク装置に対して指示する分析手段と
を有する分析装置。 A network interface for receiving packet sampling data transmitted by the network device via the network;
The sampled IP packet is analyzed, a DoS attack or a DDoS attack is detected, and a packet addressed to the detected host is sent to a network device connected to an access network accommodating the host that has detected the DoS attack or DDoS attack Instructs to select and sample only IP packets that match a specific bit pattern, and analyzes the IP packet sampled by the network device in response to the instruction, and accurately detects a DoS attack or a DDoS attack. Analyzing means for identifying and discarding the identified IP packet for a predetermined time or instructing the network device to perform bandwidth control on the IP packet.
JP2004356861A 2004-12-09 2004-12-09 Method for coping with dos attack or ddos attack, network device and analysis device Pending JP2006164038A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004356861A JP2006164038A (en) 2004-12-09 2004-12-09 Method for coping with dos attack or ddos attack, network device and analysis device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004356861A JP2006164038A (en) 2004-12-09 2004-12-09 Method for coping with dos attack or ddos attack, network device and analysis device

Publications (1)

Publication Number Publication Date
JP2006164038A true JP2006164038A (en) 2006-06-22

Family

ID=36665970

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004356861A Pending JP2006164038A (en) 2004-12-09 2004-12-09 Method for coping with dos attack or ddos attack, network device and analysis device

Country Status (1)

Country Link
JP (1) JP2006164038A (en)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009064114A2 (en) * 2007-11-12 2009-05-22 Ahnlab., Inc. Protection method and system for distributed denial of service attack
JP2009152712A (en) * 2007-12-19 2009-07-09 Nippon Telegr & Teleph Corp <Ntt> Online detection method of high packet rate flow, and system and program therefor
JP2009171431A (en) * 2008-01-18 2009-07-30 Oki Electric Ind Co Ltd Traffic analyzer, traffic analyzing method, and traffic analyzing system
JP2010283516A (en) * 2009-06-03 2010-12-16 Nec Infrontia Corp Service stop attack detection system, network relay device and service stop attack prevention method
JP2016163180A (en) * 2015-03-02 2016-09-05 日本電気株式会社 Communication system, communication method, and program
JP2017005422A (en) * 2015-06-08 2017-01-05 日本電信電話株式会社 Detection system, detection method and detection program
US9602418B2 (en) 2014-03-27 2017-03-21 Fujitsu Limited Apparatus and method for selecting a flow to be changed upon congestion occurrence
JP2017147558A (en) * 2016-02-16 2017-08-24 日本電信電話株式会社 Aggression detector, aggression detection system and aggression detection method
JP2017147525A (en) * 2016-02-16 2017-08-24 日本電信電話株式会社 Transfer controller, application analysis control system, transfer control method, and application analysis control method
JP2018137680A (en) * 2017-02-23 2018-08-30 株式会社デンソー Communication system and relay device
JP7449256B2 (en) 2021-03-11 2024-03-13 株式会社日立製作所 Unauthorized communication countermeasure system and method

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009064114A3 (en) * 2007-11-12 2009-07-02 Ahnlab Inc Protection method and system for distributed denial of service attack
WO2009064114A2 (en) * 2007-11-12 2009-05-22 Ahnlab., Inc. Protection method and system for distributed denial of service attack
JP2009152712A (en) * 2007-12-19 2009-07-09 Nippon Telegr & Teleph Corp <Ntt> Online detection method of high packet rate flow, and system and program therefor
JP2009171431A (en) * 2008-01-18 2009-07-30 Oki Electric Ind Co Ltd Traffic analyzer, traffic analyzing method, and traffic analyzing system
JP2010283516A (en) * 2009-06-03 2010-12-16 Nec Infrontia Corp Service stop attack detection system, network relay device and service stop attack prevention method
US9602418B2 (en) 2014-03-27 2017-03-21 Fujitsu Limited Apparatus and method for selecting a flow to be changed upon congestion occurrence
US10313238B2 (en) 2015-03-02 2019-06-04 Nec Corporation Communication system, communication method, and non-transitiory computer readable medium storing program
JP2016163180A (en) * 2015-03-02 2016-09-05 日本電気株式会社 Communication system, communication method, and program
JP2017005422A (en) * 2015-06-08 2017-01-05 日本電信電話株式会社 Detection system, detection method and detection program
JP2017147525A (en) * 2016-02-16 2017-08-24 日本電信電話株式会社 Transfer controller, application analysis control system, transfer control method, and application analysis control method
JP2017147558A (en) * 2016-02-16 2017-08-24 日本電信電話株式会社 Aggression detector, aggression detection system and aggression detection method
JP2018137680A (en) * 2017-02-23 2018-08-30 株式会社デンソー Communication system and relay device
US11019097B2 (en) 2017-02-23 2021-05-25 Denso Corporation Communication system and repeater
JP7449256B2 (en) 2021-03-11 2024-03-13 株式会社日立製作所 Unauthorized communication countermeasure system and method

Similar Documents

Publication Publication Date Title
KR101424490B1 (en) Reverse access detecting system and method based on latency
US7729271B2 (en) Detection method for abnormal traffic and packet relay apparatus
US7849506B1 (en) Switching device, method, and computer program for efficient intrusion detection
US8149705B2 (en) Packet communications unit
US7636305B1 (en) Method and apparatus for monitoring network traffic
CN108040057B (en) Working method of SDN system suitable for guaranteeing network security and network communication quality
Phan et al. OpenFlowSIA: An optimized protection scheme for software-defined networks from flooding attacks
US7307999B1 (en) Systems and methods that identify normal traffic during network attacks
US20140189867A1 (en) DDoS ATTACK PROCESSING APPARATUS AND METHOD IN OPENFLOW SWITCH
JP2006352831A (en) Network controller and method of controlling the same
US20040148520A1 (en) Mitigating denial of service attacks
JP5017440B2 (en) Network control apparatus and control method thereof
JP6599819B2 (en) Packet relay device
WO2008148106A1 (en) Proactive test-based differentiation method and system to mitigate low rate dos attacks
TWI492090B (en) System and method for guarding against dispersive blocking attacks
Huang et al. Countering denial-of-service attacks using congestion triggered packet sampling and filtering
CN105991637A (en) Network attack protection method and network attack protection device
CN108616488B (en) Attack defense method and defense equipment
JP2006164038A (en) Method for coping with dos attack or ddos attack, network device and analysis device
JP2005210601A (en) Intrusion detector
JP2006067078A (en) Network system and attack defense method
JP2007259223A (en) Defense system and method against illegal access on network, and program therefor
JP2010193083A (en) Communication system, and communication method
CN108206828B (en) Dual-monitoring safety control method and system
JP4867848B2 (en) Overlay traffic detection system and traffic monitoring / control system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070131

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090416

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090512

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090630

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20091104