JP4417128B2 - Communications system - Google Patents
Communications system Download PDFInfo
- Publication number
- JP4417128B2 JP4417128B2 JP2004034748A JP2004034748A JP4417128B2 JP 4417128 B2 JP4417128 B2 JP 4417128B2 JP 2004034748 A JP2004034748 A JP 2004034748A JP 2004034748 A JP2004034748 A JP 2004034748A JP 4417128 B2 JP4417128 B2 JP 4417128B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- logical address
- address
- connection destination
- transfer device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000004891 communication Methods 0.000 title claims description 37
- 230000008859 change Effects 0.000 claims description 81
- 238000012546 transfer Methods 0.000 claims description 42
- 230000005540 biological transmission Effects 0.000 claims description 7
- 238000004590 computer program Methods 0.000 claims description 3
- 238000000034 method Methods 0.000 description 41
- 230000008569 process Effects 0.000 description 23
- 238000012545 processing Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 7
- 238000001914 filtration Methods 0.000 description 6
- 238000006243 chemical reaction Methods 0.000 description 5
- 238000007493 shaping process Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000007796 conventional method Methods 0.000 description 1
- 230000000593 degrading effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000009738 saturating Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、高負荷型DoS攻撃からホストを保護する通信システムに関する。 The present invention relates to a communication system for protecting a host from a high-load DoS attack.
IPネットワークにおいて、セキュリティ上問題となっている高負荷型のDoS(Denial of Services:サービス拒否)攻撃には、以下の2種類が存在する。(以下、高負荷型DoS攻撃を、単にDoS攻撃と呼ぶ。)
1つ目のDoS攻撃は、図10の課題(1)に示すネットワーク高負荷型DoS攻撃である。ネットワーク高負荷型DoS攻撃は、攻撃目標に近い通信路へパケットを大量に送信し、通信路をパケットで飽和させることにより、正規の通信が通信路を通過できない状態を引き起こすことを目的としている。また、正規の通信が通過することができても大きな遅延が発生する等の事態を発生させる。2つ目のDoS攻撃は、図10の課題(2)に示すホスト高負荷型DoS攻撃である。ホスト高負荷型DoS攻撃は、攻撃目標であるホストに大量のパケットを受信させ、その処理負荷を大きくすることにより、ホストが正規の通信を処理できない状態を引き起こすことを目的としている。また、正規の通信を処理できても大きな遅延が発生してしまう等の事態を発生させる。
つまり、ネットワーク高負荷型DoS攻撃は、IPネットワークにおける通信速度のパフォーマンス低下を引き起こすことを目的としている。一方、ホスト高負荷型DoS攻撃は、サーバ等の処理パフォーマンスの低下を引き起こし、結果としてホストのシステムダウンを目的とした攻撃ということができる。図11に大量にパケットを受信するDoS攻撃を分類した表を示す。
現状としては、以下の2つの対策がDoSの防御のために一般的に採用されている。1つ目の対策は、ファイアウォールによるパケットフィルタリングである。この対策は、攻撃目標が外部ネットワーク、例えばインターネットに接続されている箇所へファイアウォールを設置し、ファイアウォールに設定されたフィルタリングルールに従って、受信する大量のパケットをフィルタリング、即ち遮断する方式である。フィルタリングルールには、プロトコル違反しているものを遮断したり、同じ送信元から大量に送りつけられてくるパケットを遮断したり、違反でないがプロトコル的に完結しないパケットを遮断するルールがある。プロトコル的に完結しないパケットとしては例えば、TCP Synしか送信しないSyn Flood攻撃のようなものがある。この対策は、DoS攻撃のパターンが特定できる場合に有効である。
2つ目の対策は、帯域制御装置を用いたトラフィックシェーピングである。この対策は、攻撃目標となるホストの直前に帯域制御装置を設置し、ホストの処理能力を超える流量のパケットが流れ込んだ時に、ホストが処理可能な受信量になるまで、帯域制御装置によってパケットをシェーピングする対策である。シェーピングとはパケットの送信時間間隔を大きくして遅延を発生させたり、パケットの一部を廃棄して間引いたりする方式である。この対策は、DoS攻撃のパターンを特定できない場合に有効である。
上記2つの方法とは別に、特許文献1における不正侵入防止システムを用いた対策がある。この発明は、管理下のサーバに対するDoS攻撃を検出し、DoS攻撃パケットを中継するルータでDoS攻撃を行っているパケットを確認できた場合に、該当するDoS攻撃パケットを経路制御することにより、攻撃目標へDoS攻撃パケットが到着しないようにする方式である。この対策は、DoS攻撃パケットをルータが特定できる場合に有効である。
The first DoS attack is a network high-load DoS attack shown in problem (1) in FIG. The network high-load type DoS attack is intended to cause a state in which regular communication cannot pass through a communication path by transmitting a large amount of packets to a communication path close to the attack target and saturating the communication path with packets. Moreover, even if regular communication can pass, a situation such as a large delay occurs. The second DoS attack is a host high-load DoS attack shown in problem (2) in FIG. The host high-load DoS attack is intended to cause the host to be unable to process regular communication by causing the host, which is the attack target, to receive a large amount of packets and increasing the processing load. Moreover, even if regular communication can be processed, a situation such as a large delay occurs.
That is, the network high-load type DoS attack is intended to cause a reduction in communication speed performance in the IP network. On the other hand, the host high-load DoS attack causes a decrease in processing performance of the server or the like, and as a result, can be said to be an attack aimed at host system down. FIG. 11 shows a table in which DoS attacks that receive a large amount of packets are classified.
Currently, the following two measures are generally adopted for DoS protection. The first countermeasure is packet filtering by a firewall. This countermeasure is a system in which a firewall is installed at a location where the attack target is connected to an external network, for example, the Internet, and a large amount of received packets are filtered, that is, blocked according to the filtering rules set in the firewall. Filtering rules include rules that block protocol violations, block packets that are sent in large quantities from the same source, and block packets that are not violations but are not protocol-complete. An example of a packet that is not completed in terms of protocol is a Syn Flood attack that transmits only TCP Syn. This measure is effective when a DoS attack pattern can be identified.
The second countermeasure is traffic shaping using a bandwidth control device. This measure is to install a bandwidth control device just before the host that is the target of the attack. It is a measure to shape. Shaping is a method in which a packet transmission time interval is increased to cause a delay, or a part of a packet is discarded and thinned out. This measure is effective when the DoS attack pattern cannot be specified.
Apart from the above two methods, there is a countermeasure using the unauthorized intrusion prevention system in
しかしながら、上記の従来の技術による対策を用いても、以下のような問題がある。1つ目のファイアウォールによるパケットフィルタリングの対策では、攻撃目標へ到達する高負荷型DoS攻撃のパケットを削除することはできる。しかし、パケットフィルタしている側とは逆のネットワークの負荷は下がっても、パケットフィルタしている側のネットワークは高負荷のままであるため、その通信路を通る正規ユーザの通信のパフォーマンスは低いままであるという問題がある。
2つ目の帯域制御装置による対策では、攻撃目標へ到達する高負荷型DoS攻撃のパケットを削減することができる。しかし、シェーピングは正規ユーザのパケットも含んでおり、正規ユーザの通信パフォーマンスも同様に低下することになる。
3つ目の特許文献1におけるルータによる経路変更による対策では、攻撃目標へ到達する高負荷型DoS攻撃のパケットを削減、若しくは無くすことはできる。しかし、高負荷型DoS攻撃のパケットをルータで特定するのは困難であり、特に発信元アドレスを偽っている場合は、さらに特定が困難となる。この対策では、高負荷型DoS攻撃のパケットがサーバへ到達することを防ぐことはできるが、ルータに対して帯域を圧迫させるような高負荷型DoS攻撃を避けることはできないという問題がある。
However, there are the following problems even if the measures according to the above-described conventional technique are used. With the first packet filtering countermeasure by the firewall, it is possible to delete a high-load DoS attack packet that reaches the attack target. However, even though the load on the network opposite to the packet filtering side is reduced, the network on the packet filtering side remains highly loaded. There is a problem that there is so far.
With the countermeasure by the second bandwidth control device, it is possible to reduce the packet of the high load DoS attack that reaches the attack target. However, the shaping includes the packet of the regular user, and the communication performance of the regular user is similarly lowered.
According to the countermeasure by the route change by the router in the
本発明は、上記問題を解決するためになされたもので、その目的は、正規ユーザの通信パフォーマンスを低下させることなく、DoS攻撃のパケットの発信元アドレスが偽られている場合でも、攻撃目標のホストを高負荷型DoS攻撃から保護する通信システムを提供することにある。 The present invention has been made in order to solve the above-described problem, and the purpose of the present invention is to improve the attack target even when the source address of the packet of the DoS attack is falsified without degrading the communication performance of the authorized user. An object of the present invention is to provide a communication system that protects a host from a high-load DoS attack.
上述した課題を解決するために、請求項1に記載の発明は、パケットを送受信する端末装置(クライアント端末25、25a、25b)と、パケットを中継するパケット転送装置(ルータ3)と、前記パケット転送装置に接続され、コンテンツ等を格納しているコンテンツサーバ装置(対外向けサーバ4)と、前記端末装置と前記パケット転送装置を収容するネットワーク(インターネット20)と、を備えた通信システムにおいて、前記パケット転送装置に接続され、前記パケット転送装置を介して前記端末装置から前記パケットを受信した場合に、受信した前記パケットの発信元論理アドレスに設定されている論理アドレス情報を着信先論理アドレスとする接続先変更指示パケット(BindingUpdateパケット)を生成し、前記接続先変更指示パケットの情報要素に特定の前記コンテンツサーバ装置の論理アドレス情報を設定し、前記接続先変更指示パケットを前記パケット転送装置を介して前記ネットワークに送信する公開サーバ装置(ホームエージェント1)を備え、前記端末装置はさらに前記接続先変更指示パケットを受信し、該パケットに記載された特定の前記コンテンツサーバ装置の論理アドレスに対して通信を行うことを特徴とする通信システム(DoS攻撃回避システム10)である。
In order to solve the above-described problem, the invention described in
請求項2に記載の発明は、パケットを送受信する端末装置(クライアント端末25、25a、25b)と、パケットを中継するパケット転送装置(ルータ3)と、前記パケット転送装置に接続され、受信した前記パケットを予め設定されている中継先の論理アドレスに従って中継する代理サーバ装置(BindingUpdateエージェント2)と、前記代理サーバ装置に接続され、コンテンツ等を格納しているコンテンツサーバ装置(対外向けサーバ4)と、前記端末装置と前記パケット転送装置を収容するネットワーク(インターネット20)と、を備えた通信システムにおいて、前記パケット転送装置に接続され、前記パケット転送装置を介して前記端末装置から前記パケットを受信した場合に、受信した前記パケットの発信元論理アドレスに設定されている論理アドレス情報を着信先論理アドレスとする接続先変更指示パケット(BindingUpdateパケット)を生成し、前記接続先変更指示パケットの情報要素に前記代理サーバ装置の前記論理アドレス情報を設定し、前記接続先変更指示パケットを前記パケット転送装置を介して前記ネットワークに送信する公開サーバ装置(ホームエージェント1)を備え、前記代理サーバ装置は、予め決められた状態を検出した場合に、自論理アドレス情報を予め設定されている別の論理アドレス情報に変更し、中継している前記端末装置の前記論理アドレスを検出し、該論理アドレスを着信先論理アドレスに設定した前記接続先変更指示パケットを生成し、前記接続先変更指示パケットの情報要素に変更後の自論理アドレス情報を設定し、前記接続先変更指示パケットを前記パケット転送装置を介して前記ネットワークに送信することを特徴とする通信システム(DoS攻撃回避システム10)である。
The invention according to
請求項3に記載の発明は、請求項2に記載の発明において、前記代理サーバ装置は、自論理アドレス情報を予め設定されている別の論理アドレス情報に変更した際に、変更後の自論理アドレス情報を含む論理アドレス変更通知(ルーティング情報変更通知)を前記パケット転送装置と前記公開サーバ装置に通知し、前記パケット転送装置は、前記論理アドレス変更通知を受信した場合に、前記論理アドレス変更通知に含まれる変更後の論理アドレスに従って経路情報を変更し、変更前の前記代理サーバの論理アドレス情報の転送先を前記公開サーバ装置に変更し、前記公開サーバ装置は、前記論理アドレス変更通知を受信した場合に、前記論理アドレス変更通知に含まれる変更後の論理アドレスに従って前記公開サーバ装置の前記論理アドレス情報と前記代理サーバ装置の前記論理アドレス情報の対応付け情報を更新することを特徴とする。
The invention according to
請求項4に記載の発明は、請求項1乃至3のいずれか1つに記載の発明において、前記端末装置は、前記ネットワークから前記接続先変更指示パケットを受信した場合には、前記代理サーバ装置に送信している前記パケットの着信先論理アドレスを前記接続先変更指示パケットの情報要素に含まれている前記論理アドレス情報に変更することを特徴とする。
The invention according to claim 4 is the proxy server device according to any one of
請求項5に記載の発明は、請求項1乃至4のいずれか1つに記載の発明において、前記接続先変更指示パケットの情報要素とは、発信元論理アドレスであることを特徴とする。
The invention according to
請求項6に記載の発明は、パケットを送受信する端末装置と、パケットを中継するパケット転送装置と、前記パケット転送装置に接続され、コンテンツ等を格納しているコンテンツサーバ装置と、前記端末装置と前記パケット転送装置を収容するネットワークとを備えた通信システムに含まれ、前記パケット転送装置に接続されたコンピュータに対し、前記パケット転送装置を介して前記端末装置から前記パケットを受信した場合に、受信した前記パケットの発信元論理アドレスに設定されている論理アドレス情報を着信先論理アドレスとする接続先変更指示パケットを生成するステップと、前記接続先変更指示パケットの情報要素に特定の前記コンテンツサーバ装置の論理アドレス情報を設定するステップと、前記端末装置が前記接続先変更指示パケットを受信し該パケットに記載された特定の前記コンテンツサーバ装置の論理アドレスに対して通信を行うために、前記接続先変更指示パケットを前記パケット転送装置を介して前記ネットワークに送信するステップと、を実行させるためのコンピュータプログラムである。
The invention according to
この発明によれば、端末装置からコンテンツサーバ装置に対して送信するパケットを公開サーバ装置、即ちホームエージェントで受信して、受信したパケットの発信元IPアドレスに対して、真のコンテンツサーバ装置のIPアドレスを通知する構成を取っている。そのため、攻撃を目的として発信元IPアドレスを偽っている端末装置には真のIPアドレスの情報を含んだパケットが到達せず、当該端末装置はコンテンツサーバ装置に接続することができない。それによって、攻撃を目的とした端末装置のみを排除し、攻撃を目的としていない正規の端末装置からのパケットのみを受け入れることできる効果がある。 According to the present invention, the packet transmitted from the terminal device to the content server device is received by the public server device, that is, the home agent, and the IP of the true content server device is compared with the source IP address of the received packet. It is configured to notify the address. For this reason, a packet containing information on the true IP address does not reach the terminal device that is disguised as the source IP address for the purpose of attack, and the terminal device cannot connect to the content server device. Accordingly, there is an effect that only the terminal device intended for the attack is excluded, and only the packet from the regular terminal device not intended for the attack can be accepted.
また、本発明によれば、当該代理サーバ装置は、端末装置とコンテンツサーバ装置の間の通信を代理サーバ装置で中継している状態で、予め決められた状態を検出した場合に、自らのIPアドレスを変更し、変更後のIPアドレスを端末装置に通知する構成を取っている。そのため、攻撃を目的として発信元IPアドレスを偽っている端末装置には真のIPアドレスの情報を含んだパケットが到達せず、当該端末装置がコンテンツサーバに接続できない。また、IPアドレスを変更して通知する際に、攻撃を行っている端末装置に対しては通知を行わない構成を取ることで、当該端末装置をコンテンツサーバ装置に接続させないようにすることもできる。それによって、攻撃を目的とした端末装置のみを排除し、攻撃と目的としていない正規の端末装置からのパケットのみを受け入れることできる効果がある。 According to the present invention, when the proxy server device detects a predetermined state in a state where the proxy server device relays communication between the terminal device and the content server device, the proxy server device The address is changed, and the changed IP address is notified to the terminal device. For this reason, a packet containing information on the true IP address does not reach the terminal device that is disguised as the source IP address for the purpose of attack, and the terminal device cannot connect to the content server. In addition, when the IP address is changed and notified, it is possible to prevent the terminal device from being connected to the content server device by adopting a configuration that does not notify the terminal device performing the attack. . Accordingly, there is an effect that only the terminal device intended for the attack is excluded, and only the packet from the legitimate terminal device not intended for the attack can be accepted.
以下、本発明の一実施形態による高負荷型DoS攻撃回避システム(以下、DoS攻撃回避システムと呼ぶ)を図面を参照して説明する。
図1は、この発明の一実施形態によるDoS攻撃回避システム10及びDoS攻撃を行うクライアント端末25との接続構成を示した図である。
同図において、DoS攻撃回避システム10及びクライアント端末25はインターネット20に接続されている。DoS攻撃回避システム10において、ルータ3はインターネット20を介して、クライアント端末25からパケットの受信を行い、予め設定されているルーティング情報に基づいてパケットを転送する。対外向けサーバ4は、ウェブページのコンテンツ等を格納しているサーバである。BindingUpdateエージェント2は、IPアドレスをインターネット20に公開しており、対外向けサーバ4の代理サーバとしての通信を中継する。また、BindingUpdateエージェント2は、予め決められた状態を検出した場合に、自IPアドレスを変更し、変更後のIPアドレスを含んだBindingUpdateメッセージを対外向けサーバ4に接続中のパケットの発信元IPアドレスに対して送信する。予め決められた状態とは、例えば、一定の時間が経過した状態や、攻撃を目的とした接続要求を検出した状態である。ホームエージェント1は、IPアドレスをインターネット20に公開しており、インターネット20に接続している端末から最初に接続要求を受信する。そして、真の接続先のBindingUpdateエージェント2のIPアドレスを含む接続先変更通知を受信したパケットの発信元IPアドレスに対して送信する。この仕組みにより、クライアント端末25が発信元IPアドレスを偽って接続要求を送信する場合には、クライアント端末25はホームエージェント1から真の接続先IPアドレスを受信することができず、BindingUpdateエージェント2を介して対外向けサーバ4に接続することができない。また、何らかの手段でクライアント端末25がBindingUpdateエージェント2に接続し、対外向けサーバ4をDoS攻撃しても、BindingUpdateエージェント2が予め決められた状態で変更するIPアドレスの情報を受信することができず、対外向けサーバ4へ接続させないようにすることができる。なお、以下モバイルIP方式の名称に合わせて接続先変更通知をBindingUpdateメッセージと呼び、BindingUpdateメッセージを含むパケットをBindingUpdateパケットと呼ぶ。
Hereinafter, a high-load DoS attack avoidance system (hereinafter referred to as a DoS attack avoidance system) according to an embodiment of the present invention will be described with reference to the drawings.
FIG. 1 is a diagram showing a connection configuration between a DoS
In the figure, the DoS
図2は、この発明の一実施形態によるDoS攻撃回避システム10を実際に利用するネットワーク構成を示す概略ブロック図である。
同図において、DoS攻撃回避システム10は、一般的な企業の社内ネットワークである企業内ネットワーク40とインターネット接続をサービスとして提供するISP(Internet Service Provider)21の間に設置される。
DoS攻撃回避システム10において、ファイアウォール6は、一定のルールに従ったパケットのみをホームエージェント1に送信し、条件に合わないパケットはフィルタリングして破棄する。ファイアウォール6とホームエージェント1から構成されるおとりネットワーク7は、DoS攻撃を最初に受信する領域である。また、BindingUpdateエージェント2がIPアドレスを変更した際に、変更前のIPアドレスが設定されたパケットを受信して破棄する役目も持つ。ルータ3は受信したIPアドレスを予め設定されているルーティング情報に従ってパケットを転送する。同図に示すようにISP21を接続する位置にあってもよいし、BindingUpdateエージェント2からのIPアドレス変更の通知を受信できる場合にはISP21の内部に存在していてもよい。ファイアウォール5は、ルータ3を介して受信するパケットのうち一定のルールを満たすものだけを企業内ネットワーク40に送信する。DMZ(DeMilitarized Zone)30は、インターネット上の端末装置等にウェブページ等を公開するサーバ等を配置する領域であり、インターネット20からの接続を許容するルールをファイアウォール5で設定することにより構築される。そのため、BindingUpdateエージェント2及び対外向けサーバ4は、DMZ30にも属する。
また、同図において、一般的な企業内ネットワークに設置されるIDS32(Intrusion Detection System)は、DMZ30内の装置が受信する接続のうち不正な接続を検出し、システム管理者等に通知する機能を有する。同じくIDS42は、ルータ41を介して企業内ネットワーク40が受信する接続から不正な接続を検出し、システム管理者等に通知する機能を有する。
サーバ31は、DoS攻撃回避システム10には含まれないが、DMZ30に配置されているサーバであり、対外向けサーバ4に比べてDoS回避の必要がないもの等が該当する。
FIG. 2 is a schematic block diagram showing a network configuration that actually uses the DoS
In FIG. 1, a DoS
In the DoS
Also, in the figure, an IDS 32 (Intrusion Detection System) installed in a general corporate network has a function of detecting an unauthorized connection among the connections received by the devices in the
The server 31 is not included in the DoS
図3は、DoS攻撃回避システム10において主な装置であるホームエージェント1及びBindingUpdateエージェントにおいて必要な手段を示したものである。
ホームエージェント1には公開IPアドレスであるPIP(PublicIP)アドレスが設定されており、BindingUpdateエージェント2にはモバイルIP方式における移動IPアドレスであるMIP(Mobile IP)アドレスが設定されている。PIPとMIPの詳細については後述する。
ホームエージェント1において、BindingUpdate手段1aは、クライアント端末25から接続要求を受信し、受信した接続要求のパケットの発信元IPアドレスに対してMIPアドレスを含んだBindingUpdateパケットを送信する。また、モジュールダウンロード者ID管理テーブル11からBindingUpdateに非対応のクライアント端末25を判断し、対応していないクライアント端末25の場合には、独自のBindingUpdateパケットを送信する。
PIP:MIPマップ管理手段1bは、BindingUpdateエージェント2からのMIPアドレスの変更通知を受けてPIPアドレス、MIPアドレスマッピングテーブル1cを更新する。モバイルIPv6(IPversion6)対応可否判定手段1dは、クライアントの端末25がモバイルIPv6対応であるかを判定する。モバイルIPv6非対応クライアント用モジュールダウンロード指示手段1eは、モバイルIPv6対応可否判定手段1dが非対応と判断した場合に、モバイルIPv6に非対応のクライアント端末25にモバイルIPv6非対応クライアント用モジュール26を送信する。モジュールダウンロード者ID管理手段1fは、モバイルIPv6非対応クライアント用モジュールダウンロード指示手段1eからのダウンロード者IDの通知を受信して、モジュールダウンロード者ID管理テーブル11を更新する。モジュールダウンロード者ID管理テーブル11は、ホームエージェント1やBindingUpdateエージェント2で管理されていてもよいし、それ以外のサーバで管理されていてもよい。
モバイルIPv6非対応クライアント用モジュール26は、BindingUpdate受信手段26a及びPIP:MIPプロキシ手段26bを備えている。具体的には、ダウンロードアプレットやインストールモジュールでモバイルIPv6非対応のクライアント端末25に提供する。
BindingUpdateエージェント2において、対外向けサーバプロキシ手段2aは、コネクション管理テーブル2bを参照し、対外向けサーバ4とクライアント端末25の間の通信において、IPアドレスを振り替えて中継する。対外向けサーバIPアドレス変更手段2dは、予め決められた状態を検出した場合にMIPアドレスを変更する。BindingUpdate手段2cは、対外向けサーバIPアドレス変更手段2dから新しいMIPアドレスを受信し、コネクション管理テーブル2bを参照して、接続中のクライアント端末25にBindingUpdateパケットを送信する。また、モジュールダウンロード者ID管理テーブル11からBindingUpdateに非対応のクライアント端末25を判断し、対応していないクライアント端末25の場合には、独自のBindingUpdateパケットを送信する。変更後新MIP通知手段2eは、対外向けサーバIPアドレス変更手段2dから新しいMIPアドレスを受信し、ルータ3及びホームエージェント1に変更後のMIPアドレスを通知する。
ルータ3のルーティングテーブル書き換え手段3aは、BindingUpdateエージェント2からMIPの変更通知を受信してPIP及びMIPに関するルーティングテーブルを更新する。
FIG. 3 shows necessary means in the
A PIP (PublicIP) address that is a public IP address is set in the
In the
The PIP: MIP map management means 1b updates the PIP address / MIP address mapping table 1c in response to the MIP address change notification from the
The mobile IPv6
In the
The routing table rewriting means 3a of the
図4は、DoS攻撃回避システム10におけるホームエージェント1の処理を示した図である。DoS攻撃回避システム10の特徴は、モバイルIP方式で用いられている接続先の移動に対応してIPアドレスを変更する方式を応用し、攻撃の回避を図ったものである。同図では、その特徴のうち、接続先IPアドレス変更処理について説明する。接続先IPアドレス変更処理とは、接続先のIPアドレスを発信元に通知し、端末装置に接続先を変更させ、不正な接続に対しては真の接続先に接続させないようにする処理である。
同図において、おとりネットワーク7は、名称の通り真の接続先のおとりとなるネットワークであり、インターネット20からの接続を最初に受信するためのネットワークである。そのため、ホームエージェント1に設定するIPアドレスは、公開IPアドレス、即ちPIPアドレスとなる。PIPアドレスはモバイルIP方式におけるホームアドレスに対応する。このPIPアドレスを対外向けサーバ4のURL(Universal Resource Locator)等とDNS(Domain Name System)において関連付けすることによって、PIPアドレスは、対外向けサーバ4のインターネット上で公開されるIPアドレスとなる。対外向けサーバ4にはPIPアドレスとは別に真のIPアドレスが設定される。その真のIPアドレスは、モバイルIP方式における気付けアドレスである移動IPアドレス、即ちMIPアドレスに対応する。PIPアドレスもMIPアドレスもインターネット20において接続が可能なグローバルIPアドレスである。
まず、インターネット20に接続しているDoS攻撃者端末25bと正規ユーザ端末25aは、公開されているウェブサイトのURL等へ接続を行う。コンテンツが存在する真の装置は対外向けサーバ4であるが、上記した通り、最初にURLにDNSによって関連付けられているIPアドレスはホームエージェント1のPIPアドレスである。そのため、攻撃者端末25bと正規ユーザ端末25aからの接続要求のパケットはホームエージェント1が受信する(ステップS4−1)。パケットを受信したホームエージェント1は、モバイルIP方式で規定されているBindingUpdateメッセージを含むパケット(以下、BindingUpdateパケットと呼ぶ)を生成し、対外向けサーバ4のIPアドレスであるMIPアドレスをBindingUpdateパケットに設定する。そして、端末から受信したパケットの発信元IPアドレス(同図におけるソースIPアドレス)をBindingUpdateパケットの着信先IPアドレスに設定し、インターネットに送信する。正規ユーザ端末25aから受信したパケットの場合には発信元IPアドレスも実在するIPアドレスであるため、パケットは正規ユーザ端末25aに到達する(ステップS4−2)。一方、受信したパケットがDoS攻撃者端末25bからの攻撃を目的としたパケットであって、発信元IPアドレスが偽られたものである場合には、BindingUpdateパケットはDoS攻撃者25bには到達せず、転送の途中で破棄される。(ステップS4−3)。それによって、DoS攻撃者端末25bは、対外向けサーバ4のMIPアドレスを知ることができず、対外向けサーバ4へは接続できないことになる。一方、正規ユーザ端末25aは、BindingUpdateパケットを受信して、PIPアドレスとMIPアドレスの対応付けを行っているBindingキャッシュの更新を行う。そして、PIPアドレス向けの通信パケットをMIPアドレス向けに変更する(ステップS4−4)。この処理によって、対外向けサーバ4は、正規ユーザ端末25aからの接続のみを受信することができ、攻撃を回避することが可能となる。
また、ステップS4−3において、DoS攻撃端末に対してBindingUpdateパケットを送信する際に、既にその接続がDoS攻撃だと判別できる場合には、BindingUpdateパケット自体を送信しないようにしてもよい。そうすることで、より確実にDoS攻撃を回避することが可能となる。
なお、BindingUpdateパケットはモバイルIP対応の装置でなければ受信できないため、対応していない装置の場合には独自のBindingUpdateパケット相当の情報を含んだ通知を行い、正規ユーザ端末25a側にも当該独自のBindingUpdateパケットを受信して接続を切り替えるモジュール等を予めインストールしておく必要がある。
FIG. 4 is a diagram illustrating processing of the
In the figure, a decoy network 7 is a network that is a decoy of a true connection destination as the name indicates, and is a network for receiving a connection from the
First, the
In step S4-3, when a BindingUpdate packet is transmitted to the DoS attack terminal, if it can be determined that the connection is already a DoS attack, the BindingUpdate packet itself may not be transmitted. By doing so, a DoS attack can be avoided more reliably.
Since a BindingUpdate packet can be received only by a device that supports Mobile IP, in the case of a device that does not support it, a notification including information equivalent to a unique BindingUpdate packet is sent, and the
図5は、DoS攻撃回避システム10におけるBindingUpdateエージェント2及びホームエージェント1の処理を示した図である。同図では、DoS攻撃回避システム10のもう1つの特徴である、BindingUpdateエージェント2の自IPアドレス変更処理を示したものである。自IPアドレス変更処理とは、仮にDoS攻撃端末が真の対外向けサーバ4へ接続できた場合にも、BindingUpdateエージェント2が自らのIPアドレスを予め決められた状態で変更し、BindingUpdateパケットを正規な端末のみに送信することによってDoS攻撃を回避する処理である。
同図では、対外向けサーバ4に移動IPアドレスであるMIPアドレスを設定するのではなく、BindingUpdateエージェント2にMIPアドレスを設定する。また、BindingUpdateエージェント2は、対外向けサーバ4のプロキシサーバとしての機能を有し、MIPアドレスへ接続があった場合には、一度その接続をBindingUpdateエージェント2が中継する。即ち、正規ユーザ端末25a及びDoS攻撃者端末25bの接続先IPアドレスはMIPアドレスであり、対外向けサーバ4のIPアドレスは直接インターネット20に対して公開されず、MIPアドレスが公開される。そのため、対外向けサーバ4が外部からの接続を直接受信しない場合には、プライベートIPアドレスを設定してもよい。
前提として、正規ユーザ端末25a及びDoS攻撃者端末25bは既に、BindingUPdateエージェント2を介して対外向けサーバ4に接続しているものとする。つまり、DoS攻撃者端末25bは、何らかの手段でMIPアドレスを手に入れて接続しているものとする(ステップS5−1及びステップS5−2)。次に、BindingUpdateエージェント2が予め設定されているIPアドレスの中から1つのIPアドレスを選択し、MIPアドレスを選択したIPアドレスに変更する(ステップS5−3)。MIPアドレスを変更したBindingUpdateエージェント2はBindingUpdateメッセージを含むBindingUpdateパケットを生成する。そして、MIPアドレスの情報を含むBindingUpdateパケットを接続中の通信の発信元IPアドレス全てについて送信する(ステップS5−4)。発信元IPアドレスを偽っていない正規ユーザ端末25aにはBindingUpdateパケットが到達し、新しいMIPアドレスへ接続を切り替えることができる。一方、発信元IPアドレスを偽っているDoS攻撃者端末25bへはBindingUpdateパケットは到達せず、途中で破棄され、変更後のMIPアドレスを受信することができない。BindingUpdateパケット送信時に既にDoS攻撃者端末25bからの接続が攻撃だと判別できる場合には、BindingUpdateパケットを送信しないようにしてもよい。
また、BindingUpdateエージェント2は、MIPアドレスを変更したルーティング情報変更通知をルータ3とホームエージェント1に通知する。ルーティング情報変更通知に従って、経路制御のためのルーティングテーブルを変更し、ルータ3は以前のMIPアドレスに対する接続を受信した場合には、おとりネットワーク7へ転送されるように設定する。ホームエージェント1は、ルーティング情報変更通知を受信して、PIPアドレスとMIPアドレスの対応付けを更新する(ステップS5−5)。ルータ3のルーティングテーブルが変更されたことにより、MIPからBindingUpdateパケットを受信できなかったDoS攻撃者端末25bは以前のMIPアドレスでパケットを送信する。しかし、ルーティングテーブルが変更されているためそのパケットはおとりネットワーク7に転送され、破棄されることとなる(ステップS5−6)。
一方、正規ユーザ端末25aは、BindingUpdateパケットを受信して、新しいMIPアドレスへ接続を変更し(ステップS5−7)、BindingUpdateエージェント2が中継して対外向けサーバ4からウェブページ等をダウンロードすることが可能となる。
それによって、DoS攻撃者端末25bの接続を受け入れてしまった場合でも、その接続の途中でIPアドレスを変更することができるため、他の正規ユーザ端末25aの接続を維持したままで、DoS攻撃者端末25bのみを対外向けサーバ4への接続から排除することが可能となる。
FIG. 5 is a diagram illustrating processing of the
In the figure, the MIP address that is the mobile IP address is not set in the server 4 for the outside, but the MIP address is set in the
As a premise, it is assumed that the authorized
In addition, the
On the other hand, the
Thereby, even when the connection of the
図6は、クライアント端末25がモバイルIPv6に対応している場合の接続先IPアドレス変更処理を示したものである。同図において、クライアント端末25は、インターネット上の端末であり、既にDNSにより対外向けサーバ4の公開IPアドレス、即ちPIPアドレスを受信している。また、クライアント端末25がモバイルIPv6に対応しているため、クライアントは標準でBindingUpdateパケットを受信することが可能であり、新たにソフトウェアを導入する必要はない。
まず、クライアント端末25がPIPアドレス宛のパケットを送信する。この時、パケットの発信元IPアドレス(同図中のSrc:)にはCIP(Client IP)アドレスを設定し、着信先IPアドレス(同図中のDst:)にはPIPアドレスを設定して送信する。ここで、送信するパケットにはTCP(Transmission Control Protocol)の設定の最初に送信されるTCP Syn等も含まれる(ステップS6−1)。PIPアドレス宛のパケットを受信したホームエージェント1は、BindingUpdateパケットを含むパケットを生成する(ステップS6−2)。そして、当該パケットの着信先IPアドレスにCIPアドレスを設定し、発信元IPアドレスにBindingUpdateエージェント2のIPアドレスであるMIPアドレスを設定する。また、ホームアドレスオプションヘッダにはPIPアドレスを設定し、モビリティヘッダにはBindingUpdateを設定する。そして、IPv6では標準で備わっているIPsecの認証ヘッダを必要に応じて設定し、インターネットに送信する。この時、クライアント端末25が攻撃を意図してCIPアドレスを偽っている場合には、パケットはクライアント端末25に到達せず、クライアント端末25は、MIPアドレスの情報を受信することができない(ステップS6−3)。パケットを受信したクライアント端末25は、パケットにIPsecの設定がされている場合には、ホームエージェント1からのパケットであるかを認証する。次に、PIPアドレスとMIPアドレスを関連付けているテーブルであるBindingキャッシュを更新し、それ以降のPIPアドレス向けの送信パケットを全てMIPアドレス向けに変換する。この変換処理はモバイルIPのプロトコルスタックのソフトウェア内で行われるため、クライアント端末25の上位のアプリケーションからはPIPアドレスと通信しているように見える(ステップS6−4)。クライアント端末25は、着信先IPアドレスにMIPアドレスを設定し、発信元IPアドレスにCIPを設定し、ホームアドレスにはPIPアドレスを設定してインターネットにパケットを送信する(ステップS6−5)。パケットを受信したBindingUpdateエージェント2は、MIPアドレス宛のパケットとして通常の処理を開始し、プロキシサーバとして対外向けサーバ4とクライアント端末25の間の通信の中継を行う(ステップS6−6)。クライアント端末25から対外向けサーバ4への通信を受信した場合には、着信先IPアドレスに対外向けサーバ4のIPアドレスを設定し、発信元IPアドレスにはMIPアドレスを設定して対外向けサーバ4に送信する。一方、対外向けサーバ4からクライアント端末25へのパケットを受信した場合には、着信先IPアドレスにCIPアドレス、発信元IPアドレスにMIPアドレス、ホームアドレスにはPIPアドレスを設定し、データには対外向けサーバ4から受信したデータを設定してインターネットに送信する(ステップS6−7)。クライアント端末25はパケットを受信して、例えばウェブページの場合には、対外向けサーバ4内の所定のウェブページのコンテンツを画面に表示する。
同図において、通常のモバイルIP方式と本実施形態のDoS攻撃回避システムの相違点は以下の2点である。1点目は、モバイルIP方式では公開IPアドレス宛のパケットをホームエージェント1がMIPアドレスへフォワードするが、DoS攻撃回避システムではフォワードしない。2点目は、モバイルIP方式ではホームエージェント1がBindingUpdateパケットをクライアント端末25に送信しないが、DoS攻撃回避システムでは送信する。
つまり、ネットワーク上のパケットやクライアント端末25に求める動作としてはモバイルIPv6の機能のままであるが、BindingUpdateエージェント2はDoS攻撃回避システム特有の機能を有することとなる。
FIG. 6 shows a connection destination IP address change process when the
First, the
In the figure, the difference between the normal mobile IP system and the DoS attack avoidance system of this embodiment is the following two points. The first point is that the
That is, the operation required for the packet on the network and the
図7は、クライアント端末25がモバイルIPv6に対応していない場合の接続先IPドレス変更処理を示したものである。同図において、クライアント端末25は、インターネット上の端末であり、既にDNSにより対外向けサーバ4の公開IPアドレス、即ちPIPアドレスを受信している。また、クライアント端末25がモバイルIPv6に対応していない、即ちIPv4の環境での実施となるため独自のBindingUpdate受信用モジュール及びPIPアドレスとMIPアドレスの変換モジュールが必要となる。モジュールをインストールする方法としては、CD−ROM等の記録媒体で行う方法のほかに、ダウンロードアプレット等を利用してホームエージェント1から自動ダウンロードする方法が考えられる。
まず、クライアント端末25がPIPアドレス宛のパケットを送信する。この時、パケットの発信元IPアドレスにはCIPアドレスを設定し、着信先IPアドレスにはPIPアドレスを設定して送信する。ここで、送信するパケットにはTCPの設定の最初に送信されるTCP Syn等も含まれる(ステップS7−1)。PIPアドレス宛のパケットを受信したホームエージェント1は、独自のBindingUpdateパケットを生成する(ステップS7−2)。着信先IPアドレスにCIPアドレスを設定し、発信元IPアドレスにPIPアドレスを設定する。また、IPsecに対応している場合で、クライアント端末25でホームエージェント1からのパケットか否かを認証する場合には、認証ヘッダも設定する。そして、クライアント端末25のPIPアドレスのBinding情報をMIPアドレスへ変更するための指示情報をオプションヘッダ等に設定し、パケットをインターネットに送信する。この時、クライアント端末25が攻撃を意図してCIPアドレスを偽っている場合には、パケットはクライアント端末25に到達せず、クライアント端末25は、MIPアドレスの情報を受信することができない(ステップS7−3)。パケットを受信したクライアント端末25は、パケットにIPsecの設定がされている場合には、ホームエージェント1からのパケットであるかを認証する。そして、それ以降のPIPアドレス向けのパケットを全てMIPアドレス向けに変換する。変換処理の際、クライアント端末25の上位のアプリケーションからはPIPアドレスと通信しているように見える(ステップS7−4)。クライアント端末25は、着信先IPアドレスにMIPアドレスを設定し、発信元IPアドレスにCIPを設定し、ホームアドレスにはPIPアドレスを設定してインターネットにパケットを送信する(ステップS7−5)。パケットを受信したBindingUpdateエージェント2は、MIPアドレス宛のパケットとして通常の処理を開始し、プロキシサーバとして対外向けサーバ4とクライアント端末25の中継を行う(ステップS7−6)。クライアント端末25から対外向けサーバ4への通信を受信した場合には、着信先IPアドレスに対外向けサーバ4のIPアドレスを設定し、発信元IPアドレスにはMIPアドレスを設定して対外向けサーバ4に送信する。一方、対外向けサーバ4からクライアント端末25へのパケットを受信した場合には、着信先IPアドレスにCIPアドレス、発信元IPアドレスにMIPアドレス、ホームアドレスにはPIPアドレスを設定し、データには対外向けサーバ4から受信したデータを設定してインターネットに送信する(ステップS7−7)。クライアント端末25はパケットを受信して、例えばウェブページの場合には、対外向けサーバ4内の所定のウェブページのコンテンツを画面に表示する。
FIG. 7 shows a connection destination IP address change process when the
First, the
図8は、クライアント端末25がモバイルIPv6に対応している場合のBindingUpdateエージェント2の自IPアドレス変更処理を示したものである。
同図において、クライアント端末25は、既に上記したホームエージェント1からMIPアドレスを取得している。そして、BindingUpdateエージェント2をプロキシサーバとして対外向けサーバ4との間で通信を開始している(ステップS8−1)。BindingUpdateエージェント2がMIPアドレスを変更する(ステップS8−2)。BindingUpdateエージェントはホームエージェント1宛に新しいMIPアドレスを通知する。通知する方法はBindingUpdateパケットを用いた方法でも、それ以外の通知方法、例えば上述のルーティング情報変更通知でもよい(ステップS8−3)。MIPアドレスの変更通知を受信したホームエージェント1は、PIPアドレスとMIPアドレスの対応付けテーブルを新しいMIPアドレスに更新する(ステップS8−4)。同様に、BindingUpdateエージェント2は、ルータ3に新しいMIPアドレスを通知する。通知はBindingUpdateパケットによる方法でも、それ以外の通知方法、例えば上述のルーティング情報変更通知でもよい(ステップS8−5)。MIPアドレスの変更通知を受信したルータ3は、旧MIPアドレスと新MIPアドレスのルーティングテーブルを更新する(ステップS8−6)。次に、BidingUpdateエージェント2は、クライアント端末25に新しいMIPアドレスを通知するためBindingUpdateパケットを生成する。パケットの着信先にはCIPアドレス、発信元IPアドレスにはMIPアドレス、ホームアドレスにはPIPを設定し、モビリティヘッダにはBindingUpdateを設定する。そして、IPv6では標準で備わっているIPsecの認証ヘッダを必要に応じて設定し、パケットをインターネットに送信する。この時、クライアント端末25が攻撃を意図してCIPアドレスを偽っている場合には、パケットはクライアント端末25に到達せず、クライアント端末25は、変更後の新しいMIPアドレスを受信することができない(ステップS8−7)。パケットを受信したクライアント端末25は、パケットがIPsecの設定がされている場合には、ホームエージェント1からのパケットであるかを認証する。そして、PIPアドレスへのパケットを全てMIPアドレス向けのパケットに変換する。この変換処理はモバイルIPのプロトコルスタックのソフトウェア内で行われるため、クライアント端末25の上位のアプリケーションからはPIPアドレスと通信しているように見える(ステップS8−8)。クライアント端末25は、着信先IPアドレスにMIPアドレスを設定し、発信元IPアドレスにCIPを設定し、ホームアドレスにはPIPアドレスを設定してインターネットにパケットを送信する(ステップS8−9)。パケットを受信したBindingUpdateエージェント2は、MIPアドレス宛のパケットとして通常の処理を行う(ステップS8−10)。そして、BindingUpdateエージェント2は、プロキシサーバとして対外向けサーバ4とクライアント端末25の中継を行う(ステップS8−11)。クライアント端末25から対外向けサーバ4への通信を受信した場合には、着信先IPアドレスに対外向けサーバ4のIPアドレスを設定し、発信元IPアドレスにはMIPアドレスを設定して対外向けサーバ4に送信する。一方、対外向けサーバ4からクライアント端末25へのパケットを受信した場合には、着信先IPアドレスにCIPアドレス、発信元IPアドレスにMIPアドレス、ホームアドレスにはPIPアドレスを設定し、データには対外向けサーバ4から受信したデータを設定してインターネットに送信する(ステップS8−12)。クライアント端末25はパケットを受信して、例えばウェブページの場合には、対外向けサーバ4内の所定のウェブページのコンテンツを画面に表示する。
FIG. 8 shows the own IP address changing process of the
In the figure, the
図9は、クライアント端末25がモバイルIPv6に対応していない場合の自IPアドレス変更処理を示したものである。
同図において、クライアント端末25は、既に上記したホームエージェント1からMIPアドレスを取得している。そして、BindingUpdateエージェント2をプロキシサーバとして対外向けサーバ4との間で通信を開始している(ステップS9−1)。BindingUpdateエージェント2がMIPアドレスを変更する(ステップS9−2)。BindingUpdateエージェントはホームエージェント1宛に新しいMIPアドレスを通知する。通知する方法はBindingUpdateパケットを用いた方法でも、それ以外の通知方法、例えば上述のルーティング情報変更通知でもよい(ステップS9−3)。MIPアドレスの変更通知を受信したホームエージェント1は、PIPアドレスとMIPアドレスの対応付けテーブルを新しいMIPアドレスに更新する(ステップS9−4)。同様に、BindingUpdateエージェント2は、ルータ3に新しいMIPアドレスを通知する。この通知はBindingUpdateパケットによる方法でも、それ以外の通知方法、例えば上述のルーティング情報変更通知でもよい(ステップS9−5)。MIPアドレスの変更通知を受信したルータ3は、旧MIPアドレスと新MIPアドレスのルーティングテーブルを更新する(ステップS9−6)。次に、BidingUpdateエージェント2は、クライアント端末25に新しいMIPアドレスを通知するため独自のBindingUpdateパケットを生成する。パケットの着信先にはCIPアドレス、発信元IPアドレスにはMIPアドレスを設定する。また、IPsecに対応している場合で、クライアント端末25でホームエージェント1からのパケットか否かを認証する場合には、認証ヘッダも設定する。そして、クライアント端末25のPIPアドレスのBinding情報をMIPアドレスへ変更するための指示情報をオプションヘッダ等に設定し、パケットをインターネットに送信する。この時、クライアント端末25が攻撃を意図してCIPアドレスを偽っている場合には、パケットはクライアント端末25に到達せず、クライアント端末25は、変更後の新しいMIPアドレスを受信することができない(ステップS9−7)。パケットを受信したクライアント端末25は、パケットにIPsecの設定がされている場合には、ホームエージェント1からのパケットであるかを認証する。そして、PIPアドレスへのパケットを全てMIPアドレス向けのパケットに変換する。変換処理の際、クライアント端末25の上位のアプリケーションからはPIPアドレスと通信しているように見せかける(ステップS9−8)。クライアント端末25は、着信先IPアドレスにMIPアドレスを設定し、発信元IPアドレスにCIPを設定し、ホームアドレスにはPIPアドレスを設定してインターネットにパケットを送信する(ステップS9−9)。パケットを受信したBindingUpdateエージェント2は、MIPアドレス宛のパケットとして通常の処理を行う(ステップS9−10)。そして、BindingUpdateエージェント2は、プロキシサーバとして対外向けサーバ4とクライアント端末25の中継を行う(ステップS9−11)。クライアント端末25から対外向けサーバ4への通信を受信した場合には、着信先IPアドレスに対外向けサーバ4のIPアドレスを設定し、発信元IPアドレスにはMIPアドレスを設定して対外向けサーバ4に送信する。一方、対外向けサーバ4からクライアント端末25へのパケットを受信した場合には、着信先IPアドレスにCIPアドレス、発信元IPアドレスにMIPアドレス、ホームアドレスにはPIPアドレスを設定し、データには対外向けサーバ4から受信したデータを設定してインターネットに送信する(ステップS9−12)。クライアント端末25はパケットを受信して、例えばウェブページの場合には、対外向けサーバ4内の所定のウェブページのコンテンツを画面に表示する。
FIG. 9 shows the own IP address changing process when the
In the figure, the
なお、本発明のDoS攻撃回避システムにおいて、ホームエージェント1とBindingUpdateエージェント2用にそれぞれ別にルータを設けてもよい。このような構成にすることで、ルータの負荷を低減することが可能である。
In the DoS attack avoidance system of the present invention, separate routers may be provided for the
上述のDoS攻撃回避システムは内部に、コンピュータシステムを有している。そして、上述した接続先IPアドレス変更及び自IPアドレス変更の処理過程は、プログラム形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータが読み出して実行することによって、上記処理が行われる。ここでコンピュータ読み取り可能な記録媒体とは、磁気ディスク、光磁気ディスク、CD−ROM、DVD−ROM、半導体メモリ等をいう。また、このコンピュータプログラムを通信回線によってコンピュータに配信し、この配信を受けたコンピュータが当該プログラムを実行するようにしてもよい。 The DoS attack avoidance system described above has a computer system inside. The above-described process of changing the connection destination IP address and the self IP address is stored in a computer-readable recording medium in a program format, and the above process is performed by the computer reading and executing this program. Is called. Here, the computer-readable recording medium means a magnetic disk, a magneto-optical disk, a CD-ROM, a DVD-ROM, a semiconductor memory, or the like. Alternatively, the computer program may be distributed to the computer via a communication line, and the computer that has received the distribution may execute the program.
1 ホームエージェント
2 BindingUpdateエージェント
3 ルータ
4 対外向けサーバ
10 DoS攻撃回避システム
20 インターネット
25 クライアント端末
DESCRIPTION OF
Claims (6)
前記パケット転送装置に接続され、前記パケット転送装置を介して前記端末装置から前記パケットを受信した場合に、受信した前記パケットの発信元論理アドレスに設定されている論理アドレス情報を着信先論理アドレスとする接続先変更指示パケットを生成し、前記接続先変更指示パケットの情報要素に特定の前記コンテンツサーバ装置の論理アドレス情報を設定し、前記接続先変更指示パケットを前記パケット転送装置を介して前記ネットワークに送信する公開サーバ装置を備え、
前記端末装置はさらに前記接続先変更指示パケットを受信し、該パケットに記載された特定の前記コンテンツサーバ装置の論理アドレスに対して通信を行うことを特徴とする通信システム。 A terminal device that transmits and receives packets; a packet transfer device that relays packets; a content server device that is connected to the packet transfer device and stores content; a network that houses the terminal device and the packet transfer device; In a communication system comprising
When the packet is received from the terminal device via the packet transfer device and connected to the packet transfer device, the logical address information set in the source logical address of the received packet is the destination logical address. A connection destination change instruction packet is generated, logical address information of the specific content server device is set in an information element of the connection destination change instruction packet, and the connection destination change instruction packet is transmitted to the network via the packet transfer device. includes a public server apparatus transmitting to,
The terminal device further receives the connection destination change instruction packet, and communicates with a specific logical address of the content server device described in the packet .
前記パケット転送装置に接続され、前記パケット転送装置を介して前記端末装置から前記パケットを受信した場合に、受信した前記パケットの発信元論理アドレスに設定されている論理アドレス情報を着信先論理アドレスとする接続先変更指示パケットを生成し、前記接続先変更指示パケットの情報要素に前記代理サーバ装置の前記論理アドレス情報を設定し、前記接続先変更指示パケットを前記パケット転送装置を介して前記ネットワークに送信する公開サーバ装置を備え、
前記代理サーバ装置は、
予め決められた状態を検出した場合に、自論理アドレス情報を予め設定されている別の論理アドレス情報に変更し、中継している前記端末装置の前記論理アドレスを検出し、該論理アドレスを着信先論理アドレスに設定した前記接続先変更指示パケットを生成し、前記接続先変更指示パケットの情報要素に変更後の自論理アドレス情報を設定し、前記接続先変更指示パケットを前記パケット転送装置を介して前記ネットワークに送信することを特徴とする通信システム。 A terminal device that transmits and receives a packet; a packet transfer device that relays a packet; a proxy server device that is connected to the packet transfer device and relays the received packet according to a preset logical address of the relay destination; and the proxy In a communication system comprising a content server device connected to a server device and storing content etc., and a network accommodating the terminal device and the packet transfer device,
When the packet is received from the terminal device via the packet transfer device and connected to the packet transfer device, the logical address information set in the source logical address of the received packet is the destination logical address. A connection destination change instruction packet to be generated, the logical address information of the proxy server device is set in an information element of the connection destination change instruction packet, and the connection destination change instruction packet is transmitted to the network via the packet transfer device. A public server device for transmission,
The proxy server device
When a predetermined state is detected, the local logical address information is changed to another logical address information set in advance, the logical address of the terminal device being relayed is detected, and the logical address is received The connection destination change instruction packet set to the destination logical address is generated, the changed own logical address information is set in the information element of the connection destination change instruction packet, and the connection destination change instruction packet is passed through the packet transfer apparatus. And transmitting to the network.
自論理アドレス情報を予め設定されている別の論理アドレス情報に変更した際に、変更後の自論理アドレス情報を含む論理アドレス変更通知を前記パケット転送装置と前記公開サーバ装置に通知し、
前記パケット転送装置は、
前記論理アドレス変更通知を受信した場合に、前記論理アドレス変更通知に含まれる変更後の論理アドレスに従って経路情報を変更し、変更前の前記代理サーバの論理アドレス情報の転送先を前記公開サーバ装置に変更し、
前記公開サーバ装置は、
前記論理アドレス変更通知を受信した場合に、前記論理アドレス変更通知に含まれる変更後の論理アドレスに従って前記公開サーバ装置の前記論理アドレス情報と前記代理サーバ装置の前記論理アドレス情報の対応付け情報を更新することを特徴とする請求項2に記載の通信システム。 The proxy server device
When changing the own logical address information to another logical address information set in advance, notify the packet transfer device and the public server device of a logical address change notification including the changed own logical address information,
The packet transfer device includes:
When the logical address change notification is received, the routing information is changed according to the changed logical address included in the logical address change notification, and the transfer destination of the logical address information of the proxy server before the change is transferred to the public server device. change,
The public server device
When the logical address change notification is received, the correspondence information between the logical address information of the public server device and the logical address information of the proxy server device is updated according to the logical address after the change included in the logical address change notification. The communication system according to claim 2.
前記ネットワークから前記接続先変更指示パケットを受信した場合には、前記代理サーバ装置に送信している前記パケットの着信先論理アドレスを前記接続先変更指示パケットの情報要素に含まれている前記論理アドレス情報に変更することを特徴とする請求項1乃至3のいずれか1つに記載の通信システム。 The terminal device
When the connection destination change instruction packet is received from the network, the destination logical address of the packet transmitted to the proxy server device is included in the logical address included in the information element of the connection destination change instruction packet The communication system according to claim 1, wherein the communication system is changed to information.
前記パケット転送装置を介して前記端末装置から前記パケットを受信した場合に、受信した前記パケットの発信元論理アドレスに設定されている論理アドレス情報を着信先論理アドレスとする接続先変更指示パケットを生成するステップと、
前記接続先変更指示パケットの情報要素に特定の前記コンテンツサーバ装置の論理アドレス情報を設定するステップと、
前記端末装置が前記接続先変更指示パケットを受信し該パケットに記載された特定の前記コンテンツサーバ装置の論理アドレスに対して通信を行うために、前記接続先変更指示パケットを前記パケット転送装置を介して前記ネットワークに送信するステップと、
を実行させるためのコンピュータプログラム。 A terminal device that transmits and receives packets; a packet transfer device that relays packets; a content server device that is connected to the packet transfer device and stores content; a network that houses the terminal device and the packet transfer device; to be included in the communication system, connected to the packet transfer device computer with a,
When the packet is received from the terminal device via the packet transfer device, a connection destination change instruction packet is generated with the logical address information set in the source logical address of the received packet as the destination logical address And steps to
Setting a logical address information of a particular of the content server apparatus to the information element of the connection destination change instruction packet,
In order for the terminal device to receive the connection destination change instruction packet and communicate with the logical address of the specific content server device described in the packet, the terminal device changes the packet via the packet transfer device. transmitting to said network Te,
A computer program for running .
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004034748A JP4417128B2 (en) | 2004-02-12 | 2004-02-12 | Communications system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004034748A JP4417128B2 (en) | 2004-02-12 | 2004-02-12 | Communications system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005229254A JP2005229254A (en) | 2005-08-25 |
JP4417128B2 true JP4417128B2 (en) | 2010-02-17 |
Family
ID=35003640
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004034748A Expired - Lifetime JP4417128B2 (en) | 2004-02-12 | 2004-02-12 | Communications system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4417128B2 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101175013B (en) * | 2006-11-03 | 2012-07-04 | 飞塔公司 | Refused service attack protection method, network system and proxy server |
RU2496136C1 (en) * | 2012-05-14 | 2013-10-20 | Общество С Ограниченной Ответственностью "Мералабс" | Method for interaction of terminal client device with server over internet with high level of security from ddos attack and system for realising said method |
-
2004
- 2004-02-12 JP JP2004034748A patent/JP4417128B2/en not_active Expired - Lifetime
Also Published As
Publication number | Publication date |
---|---|
JP2005229254A (en) | 2005-08-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7316028B2 (en) | Method and system for transmitting information across a firewall | |
US8533780B2 (en) | Dynamic content-based routing | |
CA2383247C (en) | External access to protected device on private network | |
US8549646B2 (en) | Methods, media and systems for responding to a denial of service attack | |
JP4163215B2 (en) | Communication between private network and roaming mobile terminal | |
US9407650B2 (en) | Unauthorised/malicious redirection | |
WO2005036831A1 (en) | Frame relay device | |
EP1723767A1 (en) | Method and system for sending binding updates to correspondent nodes behind firewalls | |
US11838317B2 (en) | Method for providing a connection between a communications service provider and an internet protocol, IP, server, providing a service, as well as a perimeter network, comprising the IP server, and an IP server providing the service | |
US11533197B2 (en) | Network layer performance and security provided by a distributed cloud computing network | |
KR101281160B1 (en) | Intrusion Prevention System using extract of HTTP request information and Method URL cutoff using the same | |
JP4417128B2 (en) | Communications system | |
JP3616571B2 (en) | Address resolution method for Internet relay connection | |
CN113056896B (en) | Method for collaboration and request collaboration between protection services associated with at least one domain, corresponding agent and computer program | |
JP2002236627A (en) | Method for changing dynamic port of firewall | |
CA2353180C (en) | Method and apparatus for resolving a web site address when connected with a virtual private network (vpn) | |
EP1757061A1 (en) | Extensions to filter on ipv6 header | |
JP2004135176A (en) | Communication system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20061227 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090115 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090507 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090706 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20091117 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20091125 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4417128 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121204 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121204 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131204 Year of fee payment: 4 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
EXPY | Cancellation because of completion of term |