JP2003173300A - サーバー計算機保護装置、サーバー計算機保護方法、サーバー計算機保護プログラム及びサーバー計算機 - Google Patents

サーバー計算機保護装置、サーバー計算機保護方法、サーバー計算機保護プログラム及びサーバー計算機

Info

Publication number
JP2003173300A
JP2003173300A JP2002093667A JP2002093667A JP2003173300A JP 2003173300 A JP2003173300 A JP 2003173300A JP 2002093667 A JP2002093667 A JP 2002093667A JP 2002093667 A JP2002093667 A JP 2002093667A JP 2003173300 A JP2003173300 A JP 2003173300A
Authority
JP
Japan
Prior art keywords
server computer
access request
computer
server
request packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2002093667A
Other languages
English (en)
Other versions
JP4434551B2 (ja
Inventor
Shinichi Sugano
伸一 菅野
Masamichi Tateoka
正道 楯岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2002093667A priority Critical patent/JP4434551B2/ja
Priority to US10/241,565 priority patent/US7478425B2/en
Priority to EP02256363A priority patent/EP1298883B1/en
Priority to DE60223771T priority patent/DE60223771T2/de
Priority to CNB021435146A priority patent/CN1194309C/zh
Publication of JP2003173300A publication Critical patent/JP2003173300A/ja
Application granted granted Critical
Publication of JP4434551B2 publication Critical patent/JP4434551B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/161Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/163In-band adaptation of TCP data exchange; In-band control procedures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

(57)【要約】 【課題】 DoSの攻撃からサーバー計算機を保護するサ
ーバー計算機保護装置を提供する。 【解決手段】 クライアント計算機から送られてくるア
クセス要求パケットをサーバー計算機の代わりに受け付
けるアクセス要求受け付け手段(201)と、受け付け
たアクセス要求パケットが正当なアクセス要求であるか
否かを検査するアクセス要求検査手段(202)と、前
記アクセス要求検査手段によって正当なアクセス要求で
あると認められたアクセス要求パケットのみ前記サーバ
ー計算機へ転送するアクセス要求転送手段(203)
と、を備えるサーバー計算機保護装置。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、クライアント計算
機とサーバー計算機間のネットワークシステムに関し、
特に、意図的にサーバー計算機の処理を妨害する不正な
アクセスからサーバー計算機を保護するサーバー計算機
保護装置に関する。
【0002】
【従来の技術】近年、インターネット等を利用し、不特
定多数あるいは特定多数のクライアント計算機をパケッ
ト交換ネットワーク経由でサーバー計算機に接続し、ク
ライアント計算機からの要求に応じてサーバー計算機か
らデータを供給することを目的とする計算機サーバーシ
ステムが広く使われている。ここで、パケットとは、ネ
ットワーク上を流れるひとかたまりのデータをいい、大
まかに分けると、ヘッダーとデータ本体で構成されてい
る。さらに、ヘッダー内には、送信先のIP(Internet
Protocol)アドレス、宛先のIPアドレス、パケットの
前後関係を表す伝送シーケンス番号等から構成されてい
る。
【0003】しかしながらこのようなシステムの妨害を
意図した不正なアクセスによる攻撃が増加する傾向にあ
る。
【0004】特に、一つのクライアント計算機から同時
に大量に同じようなアクセス要求をサーバー計算機に対
して行うことによって、標的となるサーバー計算機のデ
ータ供給サービスを不能にする攻撃方法(以下、DoS攻撃
(Denial of Service attack)と表記)は、正当なクライ
アントからのアクセスとの区別がつきにくく有効な対策
をとることが困難である。尚、このDoS攻撃を複数のク
ライアント計算機が行う場合をDDoS攻撃(Distributed D
enial of Service attack)という。
【0005】ここで、クライアント計算機からサーバー
計算機への正当なアクセス要求とは、実際にサーバー計
算機からデータを受け取ったアクセス要求をいう。TCP/
IP(Transmission Control Protocol/IP) プロトコルに
おける正当なアクセス要求の一例としては、クライア
ント計算機はサーバー計算機へ接続要求パケット(SYN
(SYNchronousness)パケット)を送り、サーバー計算
機はクライアント計算機へ接続要求確認パケット(SYN+
ACK(ACKnowledgement)パケット)を送り、クライアン
ト計算機はサーバー計算機へ確認応答パケット(ACKパ
ケット)を送ることによって、論理的な通信路(コネク
ション)が確立する(3ウェイ・ハンドシェーク方
式)。このコネクション確立(Established)状態
で、クライアント計算機はサーバー計算機へデータ要求
パケット(URL(Uniform Resource Locator)パケット)
を送り、サーバー計算機はクライアント計算機へURL
パケットによって要求されたデータパケットを送り、実
際にクライアント計算機が受け取るという手順がある。
【0006】インターネットにおけるこのようなDoS攻
撃の一般的な方法としては、以下のような妨害方法が挙
げられる。
【0007】(1)SYNパケットのみをサーバー計算機
の処理能力を超えるぐらい大量に送りつけ、サーバー計
算機がSYN+ACKパケットを送れないようにする方法 (以
下 SYN flood と表記) (2)SYNパケット及びACKパケットを大量にサーバー計
算機へ送り、このサーバー計算機との間でコネクション
を確立したが、その後URLパケットを一定時間以内に送
らず放置する方法 (以下 Established flood と表記) (3)通常のクライアントと同様にコネクション確立状
態でURLパケットを送る正当なアクセスだが、この正当
なアクセスを大量に行うことによって、意図的にサーバ
ー計算機の処理を妨害する方法(例えば、予め決めた時
間に、たくさんの人が特定のサーバー計算機にアクセス
する場合;DDoS攻撃)(以下、Accessflood と表記) このような攻撃をサーバー計算機が受けると、接続要求
毎にデータ供給用メモリを確保するためにサーバー計算
機内の記憶装置等の資源を浪費してしまい、妨害を意図
していないクライアント計算機からの通常のアクセスが
大きく滞ることになる。
【0008】そこで、これらの攻撃からサーバー計算機
を保護する目的で、サーバーとネットワークの間に配置
するサーバー計算機保護装置においては、SYN flood に
対しては、複数回の接続要求が繰り返されたもののみを
正当な接続要求として処理したり、既に正当なアクセス
があったクライアントからのアクセスを正当な接続要求
として処理し、それ以外のアクセスについてはパケット
を破棄する方法などが従来取られている。
【0009】しかし、このような方法では攻撃側が複数
回の同じ接続要求を出したりする方法を取ることにより
攻撃が成立するという問題点があり、また Established
flood や Access flood については対抗することがで
きないという問題がある。
【0010】
【発明が解決しようとする課題】DoS攻撃に対し、これ
らの攻撃の影響からサーバー計算機を保護し、正当なし
かも妨害を意図していないクライアントからのサービス
を大きく滞らせることなく行うことを課題とする。
【0011】
【課題を解決するための手段】第1の発明は、クライア
ント計算機から送られてくるアクセス要求パケットをサ
ーバー計算機の代わりに受け付けるアクセス要求受け付
け手段(201)と、受け付けたアクセス要求パケット
が正当なアクセス要求であるか否かを検査するアクセス
要求検査手段(202)と、前記アクセス要求検査手段
によって正当なアクセス要求であると認められたアクセ
ス要求パケットのみ前記サーバー計算機へ転送するアク
セス要求転送手段(203)と、を備えるサーバー計算
機保護装置である。
【0012】第2の発明は、前記アクセス要求検査手段
は、前記クライアント計算機が送ってくるアクセス要求
パケットが一連の接続要求パケット、確認応答パケット
及びデータ要求パケットである場合は、正当なアクセス
要求であると判断することを特徴とする第1の発明記載
のサーバー計算機保護装置である。
【0013】第3の発明は、クライアント計算機から送
られてくるアクセス要求パケットをサーバー計算機の代
わりに受け付けるアクセス要求受け付け手段(201)
と、前記アクセス受け付け手段が前記アクセス要求パケ
ット内の接続要求パケットを受け付けるのに対応して、
所定期間内に全てのクライアント計算機から届いた接続
要求パケットの数を計測する接続要求数計測手段(30
3)と、前記所定期間内にサーバー計算機からクライア
ント計算機へデータ供給している数を計測するデータ供
給数計測手段(301)と、前記データ供給数計測手段
及び接続要求数計測手段の出力結果を用いて前記サーバ
ー計算機の負荷状態を検査するサーバー負荷検査手段
(302)と、前記サーバー負荷検査手段によってサー
バー計算機の負荷が所定の基準値以下と判断された場合
は、前記アクセス要求パケットを前記サーバー計算機へ
転送するアクセス要求転送手段(203)と、を備える
サーバー計算機保護装置である。
【0014】第4の発明は、所定のクライアント計算機
から送られてくるアクセス要求パケットをサーバー計算
機の代わりに受け付けるアクセス要求受け付け手段(2
01)と、前記サーバー計算機が前記所定のクライアン
ト計算機へデータ供給している数を計測するデータ供給
数計測手段(301)と、前記データ供給数計測手段の
出力結果を用いて、前記所定のクライアント計算機に対
するサーバー計算機の負荷状態を検査するサーバー負荷
検査手段(302)と、前記サーバー負荷検査手段によ
って前記所定のクライアント計算機に対するサーバー計
算機の負荷が所定の基準値以下と判断された場合、前記
アクセス要求パケットを前記サーバー計算機へ転送する
アクセス要求転送手段(203)と、を備えるサーバー
計算機保護装置である。
【0015】第5の発明は、パケットのヘッダーを修正
するヘッダー修正手段(210)をさらに備え、前記ヘ
ッダー修正手段は、前記アクセス要求パケットを前記サ
ーバー計算機へ転送する際に前記アクセス要求パケット
のヘッダーを修正することを特徴とする第1乃至第4の
発明記載のサーバー計算機保護装置である。
【0016】第6の発明は、前記サーバー計算機から前
記クライアント計算機への応答を代わりに行う代理応答
部(501)をさらに備え、前記代理応答部は前記クラ
イアント計算機と前記サーバー計算機保護装置との間で
コネクションを確立した後に、代理応答を行うことを特
徴とする第1乃至第4の発明記載のサーバー計算機保護
装置である。
【0017】第7の発明は、クライアント計算機から送
られてくるアクセス要求パケットをサーバー計算機の代
わりに受け付けるステップと、受け付けたアクセス要求
パケットが正当なアクセス要求であるか否かを検査する
ステップと、正当なアクセス要求であると認められたア
クセス要求パケットのみ前記サーバー計算機へ転送する
ステップと、を備えるサーバー計算機保護方法である。
【0018】第8の発明は、クライアント計算機から送
られてくるアクセス要求パケットをサーバー計算機の代
わりに受け付けるステップと、前記アクセス要求パケッ
ト内の接続要求パケットを受け付けるのに対応して、所
定期間内に全てのクライアント計算機から届いた接続要
求パケットの数である接続要求数を計測するステップ
と、前記所定期間内にサーバー計算機からクライアント
計算機へデータ供給している数であるデータ供給数を計
測するステップと、前記接続要求数及びデータ供給数を
用いて前記サーバー計算機の負荷状態を検査するステッ
プと、前記サーバー計算機の負荷が所定の基準値以下と
判断された場合、前記アクセス要求パケットを前記サー
バー計算機へ転送するステップと、を備えるサーバー計
算機保護方法である。
【0019】第9の発明は、所定のクライアント計算機
から送られてくるアクセス要求パケットをサーバー計算
機の代わりに受け付けるステップと、前記サーバー計算
機が前記所定のクライアント計算機へデータ供給してい
る数であるデータ供給数を計測するステップと、前記デ
ータ供給数を用いて、前記所定のクライアント計算機に
対するサーバー計算機の負荷状態を検査するステップ
と、前記サーバー計算機の負荷が所定の基準値以下と判
断された場合、前記アクセス要求パケットを前記サーバ
ー計算機へ転送するステップと、を備えるサーバー計算
機保護方法である。
【0020】第10の発明は、クライアント計算機から
送られてくるアクセス要求パケットをサーバー計算機の
代わりに受け付けるステップと、受け付けたアクセス要
求パケットが正当なアクセス要求であるか否かを検査す
るステップと、正当なアクセス要求であると認められた
アクセス要求パケットのみ前記サーバー計算機へ転送す
るステップと、をコンピュータに実行させるためのサー
バー計算機保護プログラムである。
【0021】第11の発明は、クライアント計算機から
送られてくるアクセス要求パケットをサーバー計算機の
代わりに受け付けるステップと、前記アクセス要求パケ
ット内の接続要求パケットを受け付けるのに対応して、
所定期間内に全てのクライアント計算機から届いた接続
要求パケットの数である接続要求数を計測するステップ
と、前記所定期間内にサーバー計算機からクライアント
計算機へデータ供給している数であるデータ供給数を計
測するステップと、前記接続要求数及びデータ供給数を
用いて前記サーバー計算機の負荷状態を検査するステッ
プと、前記サーバー計算機の負荷が所定の基準値以下と
判断された場合、前記アクセス要求パケットを前記サー
バー計算機へ転送するステップと、をコンピュータに実
行させるためのサーバー計算機保護プログラムである。
【0022】第12の発明は、所定のクライアント計算
機から送られてくるアクセス要求パケットをサーバー計
算機の代わりに受け付けるステップと、前記サーバー計
算機が前記所定のクライアント計算機へデータ供給して
いる数であるデータ供給数を計測するステップと、前記
データ供給数を用いて、前記所定のクライアント計算機
に対するサーバー計算機の負荷状態を検査するステップ
と、前記サーバー計算機の負荷が所定の基準値以下と判
断された場合、前記アクセス要求パケットを前記サーバ
ー計算機へ転送するステップと、をコンピュータに実行
させるためのサーバー計算機保護プログラムである。
【0023】第13の発明は、クライアント計算機から
の要求に応じたデータを供給するサーバー計算機であっ
て、前記サーバー計算機はサーバー計算機保護装置を含
み、前記サーバー計算機保護装置は、前記クライアント
計算機から送られてくるアクセス要求パケットを前記サ
ーバー計算機の代わりに受け付けるアクセス要求受け付
け手段(201)と、受け付けたアクセス要求パケット
が正当なアクセス要求であるか否かを検査するアクセス
要求検査手段(202)と、前記アクセス要求検査手段
によって正当なアクセス要求であると認められたアクセ
ス要求パケットのみ前記サーバー計算機へ転送するアク
セス要求転送手段(203)と、を備えることを特徴と
するサーバー計算機である。
【0024】第14の発明は、クライアント計算機から
の要求に応じたデータを供給するサーバー計算機であっ
て、前記サーバー計算機はサーバー計算機保護装置を含
み、前記サーバー計算機保護装置は、前記クライアント
計算機から送られてくるアクセス要求パケットを前記サ
ーバー計算機の代わりに受け付けるアクセス要求受け付
け手段(201)と、前記アクセス受け付け手段が前記
アクセス要求パケット内の接続要求パケットを受け付け
るのに対応して、所定期間内に全てのクライアント計算
機から届いた接続要求パケットの数を計測する接続要求
数計測手段(303)と、前記所定期間内にサーバー計
算機からクライアント計算機へデータ供給している数を
計測するデータ供給数計測手段(301)と、前記デー
タ供給数計測手段及び接続要求数計測手段の出力結果を
用いて前記サーバー計算機の負荷状態を検査するサーバ
ー負荷検査手段(302)と、前記サーバー負荷検査手
段によってサーバー計算機の負荷が所定の基準値以下と
判断された場合は、前記アクセス要求パケットを前記サ
ーバー計算機へ転送するアクセス要求転送手段(20
3)と、を備えることを特徴とするサーバー計算機であ
る。
【0025】第15の発明は、クライアント計算機から
の要求に応じたデータを供給するサーバー計算機であっ
て、前記サーバー計算機はサーバー計算機保護装置を含
み、前記サーバー計算機保護装置は、所定のクライアン
ト計算機から送られてくるアクセス要求パケットを前記
サーバー計算機の代わりに受け付けるアクセス要求受け
付け手段(201)と、前記サーバー計算機が前記所定
のクライアント計算機へデータ供給している数を計測す
るデータ供給数計測手段(301)と、前記データ供給
数計測手段の出力結果を用いて、前記所定のクライアン
ト計算機に対するサーバー計算機の負荷状態を検査する
サーバー負荷検査手段(302)と、前記サーバー負荷
検査手段によって前記所定のクライアント計算機に対す
るサーバー計算機の負荷が所定の基準値以下と判断され
た場合、前記アクセス要求パケットを前記サーバー計算
機へ転送するアクセス要求転送手段(203)と、を備
えることを特徴とするサーバー計算機である。
【0026】
【発明の実施の形態】以下、本発明の実施の形態につい
て図面を参照しながら説明する。
【0027】図1は、本発明の実施形態に係るサーバー
計算機保護装置が適用されるネットワークシステムの概
要図である。サーバー計算機104は、サーバー計算機
保護装置103を介してネットワーク102に接続され
ており、また、このネットワーク102に接続されてい
るクライアント計算機101とのデータパケットのやり
取りには必ずサーバー計算機保護装置が仲介している。
【0028】(第1の実施の形態)図2は、第1の実施
形態に係るサーバー計算機保護装置103のブロック図
である。保護装置103は、アクセス要求受け付け部2
01と、アクセス要求検査部202と、アクセス要求転
送部203を含んでいる。
【0029】クライアント計算機101からのアクセス
要求つまり検査前のアクセス要求はアクセス要求受け付
け部201で受け取り、その後アクセス要求検査部20
2に転送される。アクセス要求のパケットには、接続要
求パケット(SYNパケット)、確認応答パケット(ACKパ
ケット)及びデータ要求パケット(URLパケット)の3
段階のパケットがある。
【0030】検査結果はアクセス要求受け付け部201
に入り、検査後のアクセス要求がアクセス要求転送部2
03に送られる。そして、検査済のアクセス要求がアク
セス要求転送部203からサーバー計算機104へ出力
される。
【0031】以下、保護装置103全体の処理の流れを
図3のフローチャートを用いて説明する。保護装置10
3は、クライアント計算機101から接続要求パケット
(SYNパケット)を受け取ると、クライアント計算機へS
YN+ACKパケットを送り(S101)、次の段階のアクセ
ス要求(ACKパケットまたはURLパケット)待ち状態にな
る(S102)。
【0032】そして、不正アクセスか否かを判断する
(S103)。判断の一例としては、クライアント計算
機101からのアクセス要求は、保護装置103内のア
クセス要求受け付け部201により受領し、アクセス要
求検査部202でアクセス要求の内容を検査する。 本
実施形態で検査できる不当なアクセス要求は、従来の技
術で説明したSYN floodとEstablished floodの2種類で
ある。そして、正当なアクセス要求とはコネクション確
立状態で一定時間以内にURLパケットを送ってくる場合
をいう。
【0033】検査の結果、正当なアクセス要求だと認め
られた場合、アクセス要求転送部203はサーバーと接
続し(S104)、正当なアクセス要求をサーバー計算
機104に転送する(S105)。そして、サーバー計
算機104はURLパケットによって指定されたデータを
パケット単位で保護装置103を介してクライアント計
算機101に供給する(S106)。保護装置103は
データの供給が完了してからサーバー計算機104との
接続を切断し(S107)、クライアント計算機101
との接続も切断する。一方、不当なアクセス要求である
と判断した場合は、S103からすぐにS108のクラ
イアントとの切断処理が実行される。
【0034】したがって、従来の技術で説明したSYN fl
ood,Established flood等のDoS撃からサーバー計算機を
保護できる。
【0035】尚、アクセス要求検査部202の正当なア
クセス要求であるか否かの判断基準としては、上述した
ようなSYNパケットのみを送りつけてくるようなアクセ
ス要求が所定の伝達形式から外れていないかどうかの他
に、サーバー計算機104にはありえないアクセス(例
えば、不当なURLパケット)を要求しているかどうか等
がある。
【0036】本実施形態の変形例としては、検査前の全
段階のアクセス要求はアクセス要求受け付け部201に
入ると同時に、アクセス要求転送部203にも送られ、
データ要求検査部202の検査結果をデータ要求転送部
203が受け取ってから、サーバ計算機104へアクセ
ス要求を出力しても良い。
【0037】(第2の実施の形態)図4は第2の実施形
態に係るサーバー計算機保護装置103のブロック図で
ある。本実施形態の特徴は、第1の実施形態で説明した
アクセス要求の内容を検査するアクセス要求検査部の代
わりに、クライアント計算機101から送られてくる接
続要求パケット(SYNパケット)の数が所定の値を超え
た場合、すなわち、サーバー計算機104の負荷が過大
になった場合には、サーバー計算機104へアクセス要
求を転送するのを止めることである。
【0038】クライアント計算機101からのあるSYN
パケットをデータ要求受け付け部201及び接続要求数
計測部303により受け取る。データ供給数計測部30
1は、常にサーバー計算機104が所定時間に供給する
データ供給数を計測する。ここで、接続要求数とはある
接続要求を受け付けたときに全てのクライアント計算機
から届いたSYNパケットの総数をいい、通常、一つのク
ライアント計算機とサーバー計算機との間には複数のコ
ネクションが張られる。また、データ供給数とは、成立
しているコネクションのうち、ある接続要求を受け付け
たときに実際にデータ供給している数をいう。
【0039】以下、保護装置103全体の処理の流れを
図5(a)のフローチャートを用いて説明する。保護装
置103は接続要求待ち(S201)の状態から、接続
要求数計測部303でクライアント計算機101からの
SYNパケットを検知すると、サーバー負荷検査部302
はデータ供給数計測部301及び接続要求数計測部30
3の出力結果を用いて、サーバー計算機104の負荷が
過大か否かを検査する(S202)。判断基準の一例と
しては、データ要求数(URLパケットの総数)に比べて
データ供給数が少ない場合に負荷が過大であるが挙げら
れる。
【0040】所定の負荷を超えていない場合には、クラ
イアント計算機と接続し(S203)、データ要求待ち
(S204)状態となる。この時、サーバー負荷検査部
302は接続数を1増加させる(S205)。
【0041】続いて、サーバーと接続し(S206)、
クライアント計算機103からのデータ要求パケットを
サーバーに転送する(S207)。そして、サーバー計
算機104がクライアント計算機にデータを供給してか
ら(S208)、保護装置103はクライアント計算機
101及びサーバー計算機104との接続を切断し(S
209)、サーバー負荷検査部302は接続数を1減少
させる(S210)。
【0042】一方、所定の負荷を超えていた場合には接
続要求待ちの状態(S201)に戻る。これにより、Do
S攻撃によってサーバーの負荷が過大になるのを防止
し、サーバーの処理速度低下を防止することができる。
【0043】図5(b)は、同図(a)のS202で所
定の負荷を超えていた場合の変形例である。すなわち、
S202で所定の負荷を超えていた場合(所定の接続数
を超えていた場合)であって、保護装置103が処理で
きる接続数を超える場合には、接続処理が完了していな
いコネクションのうち最も古いものを破棄してから(S
202’のy)、クライアント計算機と接続する(S2
03)。以降の処理は、同図(a)と同じである。一
方、S202で所定の負荷を超えている場合であるが、
保護装置103が処理できる接続数を超えていない場合
には、接続要求待ちの状態(S201)に戻る。 この
ように、コネクションのうち最も古いものを破棄するこ
とによって、保護装置自体へDoS攻撃を受けた時でもサ
ービスを続行できる。
【0044】(第3の実施の形態)図6は、第3の実施
形態に係るサーバー計算機保護装置103のブロック図
である。図7は本実施形態に係るフローチャートであ
る。本実施形態はアクセス要求を送ってきたクライアン
ト計算機毎にデータ供給数計測部301及びサーバー負
荷検査部302を設けることを特徴とする。
【0045】まず、保護装置103は、接続要求待ちの
状態(S301)から、特定のクライアント計算機から
SYNパケット及びACKパケットを受けると、前記特定のク
ライアント計算機との間でコネクションを張り(S30
2)、前記特定のクライアント計算機専用のデータ供給
数計測部301及びサーバー負荷計算部302(以下、
本実施形態に限ってデータ供給数計測部301及びサー
バー負荷計算部302と省略する)を設ける。尚、デー
タ供給数計測部301及びサーバー負荷計算部302
は、単純な計算機能を有していれば良いので、保護装置
103のメモリ及びCPUの消費は少ない。したがっ
て、クライアント計算機毎に1000〜10000個ぐ
らい設けることができる。
【0046】次に、前記特定のクライアント計算機から
のアクセス要求待ちの状態になり(S304)、前記特
定のクライアント計算機からアクセス要求が来ると、ア
クセス要求受け付け部201からすぐにアクセス要求伝
達部203へ行き、サーバー計算機104とコネクショ
ンを張る(S305)。
【0047】データ供給数計測部301は、現在サーバ
ー計算機104が伝送中の要求されたデータを送付した
特定のクライアント計算機へのデータ供給状況を計測す
ることによって、特定のクライアント計算機に対するサ
ーバーの負荷が過大か否かを判断する(S306)。所
定の負荷を超えていない場合には、サーバー負荷検査部
302は、アクセス要求転送部203へサーバー計算機
104にURLパケットを転送するように指示をし(S3
07)、サーバー計算機104が要求されたデータを特
定のクライアント計算機に供給し(S308)、データ
供給が完了したら特定のクライアント計算機及びサーバ
ー計算機との接続を切断する。
【0048】一方、所定の負荷を超えていた場合には、
データ要求転送部203がデータ要求パケットをサーバ
ー計算機104に転送するのを保留するために再度S3
06の処理を行い、特定のクライアント計算機へのデー
タ供給数が減少するのを待つ。
【0049】これにより、サーバー計算機104の負荷
が過大になるのを防止するとともに、特定のクライアン
ト計算機によるサーバー計算機104の独占状態を回避
し、他のクライアント計算機へのデータ供給を阻害され
ることを減少できる。したがって、従来の技術で説明し
たAccess floodに対応することもできる。
【0050】(第4の実施の形態)図8は、第4の実施
形態に係るサーバー計算機保護装置103のブロック図
であり、本実施形態は、第1の実施形態と基本的に同じ
であるが、ヘッダー修正部210を備えていることを特
徴とする。
【0051】例えばTCP/IPでは、接続処理にあたりヘッ
ダー内に、伝送シーケンス番号を付与しパケットの前後
関係を制御している。接続開始にあたってこれらは送受
双方向にてサーバー計算機とクライアント計算機のやり
とりで決定される。
【0052】しかし、本実施形態を利用する場合にはサ
ーバー計算機104への接続動作(図3のS104)は
データ要求の正当性の検査後になる(図3のS103)
ので、保護装置103が任意に発生した保護装置用シー
ケンス番号でクライアント計算機101と接続処理を行
わざるをえない(図3のS101)。この保護装置用シ
ーケンス番号は検査後に行われるサーバー計算機との接
続処理(図3のS104)においてサーバー計算機10
4から通知されるサーバー計算機用シーケンス番号と異
なるため、そのまま要求されたデータのパケットを伝送
すると TCP/IPプロトコルを使用したデータ伝送が不可
能である。そこで、ヘッダー修正部210を用いこれら
のシーケンス番号の差分を修正し、また他のヘッダー情
報(例えば送信先のIPアドレス、宛先のIPアドレ
ス)を必要があれば整合が取れるように修正することに
よりサーバー計算機104からクライアント計算機10
1への通信を成立させることができる。
【0053】一例としては、一つのデータ要求に対して
以下の〜の処理を行っている。
【0054】クライアント計算機101からの接続要
求をデータ要求受け付け部201、データ要求検査部2
02及びデータ転送伝達部203によって検査後に、ク
ライアント計算機101とサーバー計算機104とのコ
ネクションを確立する。
【0055】このコネクションを経由して送られてく
るクライアント計算機101からのデータ要求パケット
のヘッダーをヘッダー修正部210で修正してから、サ
ーバー計算機104へ転送する。
【0056】このコネクションを経由して送られてく
るサーバー計算機104からのデータパケットのヘッダ
ーをヘッダー修正部210で修正してから、クライアン
ト計算機101へ転送する。
【0057】(第5の実施形態)図9は、第5の実施形
態に係るサーバー計算機保護装置103のブロック図で
ある。本実施形態は、第2の実施形態と基本的に同じで
あるが、第4の実施形態で説明したヘッダー修正部21
0を備えていることを特徴とする。
【0058】尚、ヘッダー修正部210がハッシュ関数
を用いてクライアント計算機101とサーバー計算機1
04とのコネクションを管理する方法を利用した場合に
は、図5のS202の代わりに、該ハッシュのテーブル
が溢れたことをもってサーバー計算機104の負荷を過
大であると判断しても良い。
【0059】(第6の実施形態)図10は、第6の実施
形態に係るサーバー計算機保護装置103のブロック図
である。本実施形態は、第3の実施形態と基本的に同じ
であるが、第4の実施形態で説明したヘッダー修正部2
10を備えていることを特徴とする。
【0060】(他の実施形態)本発明は上記実施形態に
限定されるものではなく、本発明の趣旨を逸脱しない範
囲内で適宜変更できる。以下、変形例について説明す
る。
【0061】(変形例1)図11は、変形例1に係るサ
ーバー計算機保護装置103のブロック図である。本変
形例は、第6の実施形態の変形例であり、保護装置10
3とサーバー計算機104との接続数を計測するサーバ
ー接続数計測部401を備えていることを特徴とする。
このサーバー接続数計測部401の出力結果はクライア
ント計算機毎に設けられたサーバー負荷検査部302に
入力されている。また、クライアント計算機毎の接続数
は、クライアント計算機毎に設けられたデータ供給数3
01で計測できる。したがって、いずれの接続数も保護
装置103内部で計測できるので、クライアント計算機
毎のサーバー負荷検査処理も簡易化できる。
【0062】(変形例2)変形例2は、第4の実施形態
の変形例であり、保護装置103には、クライアント計
算機との間でコネクション成立後、データ要求パケット
が届くまでの時間を計測する時計部を有している。そし
て、この時計部を用いて、データ要求受け付け部201
が予め規定した時間の間に所定の形式のデータ要求が届
かない場合には不正なアクセスと判断し、コネクション
を破棄する。これによりサーバー計算機保護装置内部の
資源が過大になることを防ぎ、なおかつ正当なクライア
ントからの接続動作に早い段階でメモリーなどの資源を
振り向けることができるようになる。
【0063】また、上述した時計部を用いて、データ要
求受け付け部201はコネクションを確立してから最も
経過時間が長いものを不正なアクセスと判断して、コネ
クションを破棄しても良い。
【0064】さらに、データ要求受け付け部201は、
上述した時計部を用いて一定時間内に同一クライアント
からの同一データに対する要求回数を計測する機能を有
すれば、この計測し、あらかじめ設定した一定時間内の
同一データ要求回数の限度を超えた場合に不正なアクセ
スとして判断して、コネクションを破棄しても良い。
【0065】(変形例3)図12及び図13は、変形例
3に係るサーバー計算機保護装置103のブロック図及
びフロチャートである。本変形例は、他の実施形態に適
用可能であり、サーバー計算機104の代りにクライア
ント計算機101へ応答する代理応答部501を備えて
いることを特徴とする。代理応答部501がサーバー計
算機104に成り代わるためには、図8で説明したヘッ
ダー修正部210を備えていればよい。
【0066】クライアント計算機101と保護装置10
3とがTCP/IPプロトコルでコネクションを確立する手順
は上述した通りである(S401〜S404)。その後
(、すなわち、クライアント計算機101からのデータ
要求が来る前)に、代理応答部501は、サーバー計算
機104からクライアント計算機101への応答を代わ
りに行う(S405)。
【0067】ここでの応答とは、TCP/IPの上位プロトコ
ル、例えば、SMTP(Simple Mail Transfer Protocol)の
場合は、サーバー計算機104がメールを受け取ること
が可能であるという状態を示す応答であり、また、POP
(Post Office Protocol)の場合には、POPのバージョン
(例えば、POP3)を応答する。そして、応答の具体例と
しては、サーバー計算機104が正常動作している場合
にクライアントに返答する内容と同等のもの、あるい
は、保護装置103とサーバー計算機104との間で直
前に行われた上位プロトコルによる接続動作によりサー
バー計算機104が返答したものと同様の内容のもの等
が挙げられる。
【0068】この応答を受けることによって、クライア
ント計算機101は、サーバー計算機104と上位プロ
トコルで接続動作が行われたと判断し、データ転送要求
等の次の動作に移行する。
【0069】クライアント計算機101からのデータ要
求は、要求受付部201で受け付け、要求検査部202
でデータ要求の内容を検査した後に、サーバー計算機1
04に伝達する。サーバー計算機104は、伝達された
内容に基づき所定のデータをクライアント計算機101
に返送する。その後、上述した切断手順を行う(S40
6〜S417)。ここでの検査としては、データ要求が
所定の伝達形式から外れていないかどうか、ありえない
データを要求しているかどうか等が挙げられる。
【0070】尚、上述したように、クライアント計算機
101からのデータ要求が正常であった場合には、保護
装置103はサーバー計算機104に接続動作を行い、
クライアント計算機101の要求をサーバー計算機10
4に伝達する。この接続後にサーバー計算機104が応
答するものには、先に保護装置103がサーバー計算機
104に応答したものと重複する場合がある。それゆ
え、データ要求の処理に齟齬を来さない場合にはこの応
答をクライアントに伝達しない。もし、齟齬を来す場合
には保護装置103はサーバー計算機104とクライア
ント計算機101との接続を破棄する処理を行う。
【0071】他の変形例としては、上述したサーバー計
算機保護装置はサーバー計算機の中に含まれていても良
い。この場合、サーバー計算機保護装置専用のメモリ等
のハードウェアがサーバー計算機内にあれば良い。
【0072】(記録媒体への適用)また、本実施形態に
おける処理をコンピュータで実行可能なプログラムで実
現し、このプログラムをコンピュータで読み取り可能な
記憶媒体として実現することも可能である。
【0073】なお、本記憶媒体としては、磁気ディス
ク、フレキシブルディスク、ハードディスク、光ディス
ク(CD−ROM,CD−R,DVD等)、光磁気ディ
スク(MO等)、半導体メモリ等、プログラムを記憶で
き、かつコンピュータが読み取り可能な記憶媒体であれ
ば、その記憶形式は何れの形態であってもよい。
【0074】また、記憶媒体からコンピュータにインス
トールされたプログラムの指示に基づきコンピュータ上
で稼動しているOS(オペレーションシステム)や、デ
ータベース管理ソフト、ネットワーク等のMW(ミドル
ウェア)等が本実施形態を実現するための各処理の一部
を実行してもよい。
【0075】さらに、本記憶媒体は、コンピュータと独
立した媒体に限らず、LANやインターネット等により
伝送されたプログラムをダウンロードして記憶または一
時記憶した記憶媒体も含まれる。
【0076】また、記憶媒体は1つに限らず、複数の媒
体から本実施形態における処理が実行される場合も、本
発明における記憶媒体に含まれ、媒体の構成は何れの構
成であってもよい。
【0077】なお、上記コンピュータは、記憶媒体に記
憶されたプログラムに基づき、本実施形態における各処
理を実行するものであって、パソコン等の1つからなる
装置、複数の装置がネットワーク接続されたシステム等
の何れの構成であってもよい。
【0078】また、上記コンピュータとは、パソコンに
限らず、情報処理機器に含まれる演算処理装置、マイコ
ン等も含み、プログラムによって本実施形態の機能を実
現することが可能な機器、装置を総称している。
【0079】
【発明の効果】上述したように本発明によれば、DoS攻
撃に対し、これらの攻撃の影響からサーバー計算機を保
護し、正当なしかも妨害を意図していないクライアント
からのサービスを大きく滞らせることなく行うことがで
きる。
【図面の簡単な説明】
【図1】 本発明の実施形態に係るサーバー計算機保護
装置が適用されるネットワークシステムの概要図。
【図2】 本発明の第1の実施形態に係るサーバー保護
装置のブロック図。
【図3】 第1の実施形態に係るフローチャート。
【図4】 本発明の第2の実施形態に係るサーバー保護
装置のブロック図。
【図5】 第2の実施形態に係るフローチャート。
【図6】 本発明の第3の実施形態に係るサーバー保護
装置のブロック図。
【図7】 第3の実施形態に係るフローチャート。
【図8】 本発明の第4の実施形態に係るサーバー保護
装置のブロック図。
【図9】 本発明の第5の実施形態に係るサーバー保護
装置のブロック図。
【図10】 本発明の第6の実施形態に係るサーバー保
護装置のブロック図。
【図11】 本発明の変形例1に係るサーバー保護装置
のブロック図。
【図12】 本発明の変形例3に係るサーバー保護装置
のブロック図。
【図13】 本発明の変形例3に係るに係るフローチャ
ート。
【符号の説明】
101 クライアント計算機 102 ネットワーク 103 サーバー計算機保護装置 104 サーバー計算機 201 データ要求受け付け部 202 データ要求検査部 203 データ要求転送部 301 データ供給数計測部 302 サーバー負荷検査部 303 接続要求数計測部 401 サーバー接続数計測部 501 代理応答部
───────────────────────────────────────────────────── フロントページの続き Fターム(参考) 5B085 AE00 BA06 BG07 5B089 GA11 GA19 GB01 GB02 KA06 KA17 KB13 MA07 5K030 GA15 MB09

Claims (15)

    【特許請求の範囲】
  1. 【請求項1】クライアント計算機から送られてくるアク
    セス要求パケットをサーバー計算機の代わりに受け付け
    るアクセス要求受け付け手段と、 受け付けたアクセス要求パケットが正当なアクセス要求
    であるか否かを検査するアクセス要求検査手段と、 前記アクセス要求検査手段によって正当なアクセス要求
    であると認められたアクセス要求パケットのみ前記サー
    バー計算機へ転送するアクセス要求転送手段と、を備え
    るサーバー計算機保護装置。
  2. 【請求項2】前記アクセス要求検査手段は、前記クライ
    アント計算機が送ってくるアクセス要求パケットが一連
    の接続要求パケット、確認応答パケット及びデータ要求
    パケットである場合は、正当なアクセス要求であると判
    断することを特徴とする請求項1記載のサーバー計算機
    保護装置。
  3. 【請求項3】クライアント計算機から送られてくるアク
    セス要求パケットをサーバー計算機の代わりに受け付け
    るアクセス要求受け付け手段と、 前記アクセス受け付け手段が前記アクセス要求パケット
    内の接続要求パケットを受け付けるのに対応して、所定
    期間内に全てのクライアント計算機から届いた接続要求
    パケットの数を計測する接続要求数計測手段と、 前記所定期間内にサーバー計算機からクライアント計算
    機へデータ供給している数を計測するデータ供給数計測
    手段と、 前記データ供給数計測手段及び接続要求数計測手段の出
    力結果を用いて前記サーバー計算機の負荷状態を検査す
    るサーバー負荷検査手段と、 前記サーバー負荷検査手段によってサーバー計算機の負
    荷が所定の基準値以下と判断された場合は、前記アクセ
    ス要求パケットを前記サーバー計算機へ転送するアクセ
    ス要求転送手段と、を備えるサーバー計算機保護装置。
  4. 【請求項4】所定のクライアント計算機から送られてく
    るアクセス要求パケットをサーバー計算機の代わりに受
    け付けるアクセス要求受け付け手段と、 前記サーバー計算機が前記所定のクライアント計算機へ
    データ供給している数を計測するデータ供給数計測手段
    と、 前記データ供給数計測手段の出力結果を用いて、前記所
    定のクライアント計算機に対するサーバー計算機の負荷
    状態を検査するサーバー負荷検査手段と、 前記サーバー負荷検査手段によって前記所定のクライア
    ント計算機に対するサーバー計算機の負荷が所定の基準
    値以下と判断された場合、前記アクセス要求パケットを
    前記サーバー計算機へ転送するアクセス要求転送手段
    と、を備えるサーバー計算機保護装置。
  5. 【請求項5】パケットのヘッダーを修正するヘッダー修
    正手段をさらに備え、 前記ヘッダー修正手段は、前記アクセス要求パケットを
    前記サーバー計算機へ転送する際に前記アクセス要求パ
    ケットのヘッダーを修正することを特徴とする請求項1
    乃至4記載のサーバー計算機保護装置。
  6. 【請求項6】 前記サーバー計算機から前記クライアン
    ト計算機への応答を代わりに行う代理応答部をさらに備
    え、 前記代理応答部は前記クライアント計算機と前記サーバ
    ー計算機保護装置との間でコネクションを確立した後
    に、代理応答を行うことを特徴とする請求項1乃至4記
    載のサーバー計算機保護装置。
  7. 【請求項7】クライアント計算機から送られてくるアク
    セス要求パケットをサーバー計算機の代わりに受け付け
    るステップと、 受け付けたアクセス要求パケットが正当なアクセス要求
    であるか否かを検査するステップと、 正当なアクセス要求であると認められたアクセス要求パ
    ケットのみ前記サーバー計算機へ転送するステップと、
    を備えるサーバー計算機保護方法。
  8. 【請求項8】クライアント計算機から送られてくるアク
    セス要求パケットをサーバー計算機の代わりに受け付け
    るステップと、 前記アクセス要求パケット内の接続要求パケットを受け
    付けるのに対応して、所定期間内に全てのクライアント
    計算機から届いた接続要求パケットの数である接続要求
    数を計測するステップと、 前記所定期間内にサーバー計算機からクライアント計算
    機へデータ供給している数であるデータ供給数を計測す
    るステップと、 前記接続要求数及びデータ供給数を用いて前記サーバー
    計算機の負荷状態を検査するステップと、 前記サーバー計算機の負荷が所定の基準値以下と判断さ
    れた場合、前記アクセス要求パケットを前記サーバー計
    算機へ転送するステップと、を備えるサーバー計算機保
    護方法。
  9. 【請求項9】所定のクライアント計算機から送られてく
    るアクセス要求パケットをサーバー計算機の代わりに受
    け付けるステップと、 前記サーバー計算機が前記所定のクライアント計算機へ
    データ供給している数であるデータ供給数を計測するス
    テップと、 前記データ供給数を用いて、前記所定のクライアント計
    算機に対するサーバー計算機の負荷状態を検査するステ
    ップと、 前記サーバー計算機の負荷が所定の基準値以下と判断さ
    れた場合、前記アクセス要求パケットを前記サーバー計
    算機へ転送するステップと、を備えるサーバー計算機保
    護方法。
  10. 【請求項10】クライアント計算機から送られてくるア
    クセス要求パケットをサーバー計算機の代わりに受け付
    けるステップと、 受け付けたアクセス要求パケットが正当なアクセス要求
    であるか否かを検査するステップと、 正当なアクセス要求であると認められたアクセス要求パ
    ケットのみ前記サーバー計算機へ転送するステップと、
    をコンピュータに実行させるためのサーバー計算機保護
    プログラム。
  11. 【請求項11】クライアント計算機から送られてくるア
    クセス要求パケットをサーバー計算機の代わりに受け付
    けるステップと、 前記アクセス要求パケット内の接続要求パケットを受け
    付けるのに対応して、所定期間内に全てのクライアント
    計算機から届いた接続要求パケットの数である接続要求
    数を計測するステップと、 前記所定期間内にサーバー計算機からクライアント計算
    機へデータ供給している数であるデータ供給数を計測す
    るステップと、 前記接続要求数及びデータ供給数を用いて前記サーバー
    計算機の負荷状態を検査するステップと、 前記サーバー計算機の負荷が所定の基準値以下と判断さ
    れた場合、前記アクセス要求パケットを前記サーバー計
    算機へ転送するステップと、をコンピュータに実行させ
    るためのサーバー計算機保護プログラム。
  12. 【請求項12】所定のクライアント計算機から送られて
    くるアクセス要求パケットをサーバー計算機の代わりに
    受け付けるステップと、 前記サーバー計算機が前記所定のクライアント計算機へ
    データ供給している数であるデータ供給数を計測するス
    テップと、 前記データ供給数を用いて、前記所定のクライアント計
    算機に対するサーバー計算機の負荷状態を検査するステ
    ップと、 前記サーバー計算機の負荷が所定の基準値以下と判断さ
    れた場合、前記アクセス要求パケットを前記サーバー計
    算機へ転送するステップと、をコンピュータに実行させ
    るためのサーバー計算機保護プログラム。
  13. 【請求項13】クライアント計算機からの要求に応じた
    データを供給するサーバー計算機であって、 前記サーバー計算機はサーバー計算機保護装置を含み、 前記サーバー計算機保護装置は、前記クライアント計算
    機から送られてくるアクセス要求パケットを前記サーバ
    ー計算機の代わりに受け付けるアクセス要求受け付け手
    段と、受け付けたアクセス要求パケットが正当なアクセ
    ス要求であるか否かを検査するアクセス要求検査手段
    と、前記アクセス要求検査手段によって正当なアクセス
    要求であると認められたアクセス要求パケットのみ前記
    サーバー計算機へ転送するアクセス要求転送手段と、を
    備えることを特徴とするサーバー計算機。
  14. 【請求項14】クライアント計算機からの要求に応じた
    データを供給するサーバー計算機であって、 前記サーバー計算機はサーバー計算機保護装置を含み、 前記サーバー計算機保護装置は、前記クライアント計算
    機から送られてくるアクセス要求パケットを前記サーバ
    ー計算機の代わりに受け付けるアクセス要求受け付け手
    段と、前記アクセス受け付け手段が前記アクセス要求パ
    ケット内の接続要求パケットを受け付けるのに対応し
    て、所定期間内に全てのクライアント計算機から届いた
    接続要求パケットの数を計測する接続要求数計測手段
    と、前記所定期間内にサーバー計算機からクライアント
    計算機へデータ供給している数を計測するデータ供給数
    計測手段と、前記データ供給数計測手段及び接続要求数
    計測手段の出力結果を用いて前記サーバー計算機の負荷
    状態を検査するサーバー負荷検査手段と、前記サーバー
    負荷検査手段によってサーバー計算機の負荷が所定の基
    準値以下と判断された場合は、前記アクセス要求パケッ
    トを前記サーバー計算機へ転送するアクセス要求転送手
    段と、を備えることを特徴とするサーバー計算機。
  15. 【請求項15】クライアント計算機からの要求に応じた
    データを供給するサーバー計算機であって、 前記サーバー計算機はサーバー計算機保護装置を含み、 前記サーバー計算機保護装置は、所定のクライアント計
    算機から送られてくるアクセス要求パケットを前記サー
    バー計算機の代わりに受け付けるアクセス要求受け付け
    手段と、前記サーバー計算機が前記所定のクライアント
    計算機へデータ供給している数を計測するデータ供給数
    計測手段と、前記データ供給数計測手段の出力結果を用
    いて、前記所定のクライアント計算機に対するサーバー
    計算機の負荷状態を検査するサーバー負荷検査手段と、
    前記サーバー負荷検査手段によって前記所定のクライア
    ント計算機に対するサーバー計算機の負荷が所定の基準
    値以下と判断された場合、前記アクセス要求パケットを
    前記サーバー計算機へ転送するアクセス要求転送手段
    と、を備えることを特徴とするサーバー計算機。
JP2002093667A 2001-09-27 2002-03-29 サーバー計算機保護装置、サーバー計算機保護方法、サーバー計算機保護プログラム及びサーバー計算機 Expired - Fee Related JP4434551B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2002093667A JP4434551B2 (ja) 2001-09-27 2002-03-29 サーバー計算機保護装置、サーバー計算機保護方法、サーバー計算機保護プログラム及びサーバー計算機
US10/241,565 US7478425B2 (en) 2001-09-27 2002-09-12 Server computer protection apparatus, method, program product, and server computer apparatus
EP02256363A EP1298883B1 (en) 2001-09-27 2002-09-13 Server computer protection apparatus, method, program product, and server computer apparatus
DE60223771T DE60223771T2 (de) 2001-09-27 2002-09-13 Schutz für Server-Computervorrichtung, Verfahren, Programmprodukt und Server-Computervorrichtung
CNB021435146A CN1194309C (zh) 2001-09-27 2002-09-27 服务器计算机保护的装置、方法和服务器计算机装置

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2001295368 2001-09-27
JP2001-295368 2001-09-27
JP2002093667A JP4434551B2 (ja) 2001-09-27 2002-03-29 サーバー計算機保護装置、サーバー計算機保護方法、サーバー計算機保護プログラム及びサーバー計算機

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2008035125A Division JP4538055B2 (ja) 2001-09-27 2008-02-15 サーバー計算機保護装置、サーバー計算機保護方法、サーバー計算機保護プログラム及びサーバー計算機

Publications (2)

Publication Number Publication Date
JP2003173300A true JP2003173300A (ja) 2003-06-20
JP4434551B2 JP4434551B2 (ja) 2010-03-17

Family

ID=26623011

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002093667A Expired - Fee Related JP4434551B2 (ja) 2001-09-27 2002-03-29 サーバー計算機保護装置、サーバー計算機保護方法、サーバー計算機保護プログラム及びサーバー計算機

Country Status (5)

Country Link
US (1) US7478425B2 (ja)
EP (1) EP1298883B1 (ja)
JP (1) JP4434551B2 (ja)
CN (1) CN1194309C (ja)
DE (1) DE60223771T2 (ja)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008502183A (ja) * 2004-06-04 2008-01-24 インターナショナル・ビジネス・マシーンズ・コーポレーション 高速ネットワーク内での攻撃を防御する方法及びモジュール並びに高速ネットワーク内での要求を処理する方法
JP2008136176A (ja) * 2006-10-10 2008-06-12 Mitsubishi Electric Information Technology Centre Europa Bv メモリブロックの割り当てを管理する方法及びデバイス、データ伝送ネットワークシステム、コンピュータ可読媒体、並びにコンピュータプログラム製品
US7464407B2 (en) 2002-08-20 2008-12-09 Nec Corporation Attack defending system and attack defending method
JP2009146005A (ja) * 2007-12-11 2009-07-02 Canon Inc 情報処理装置および情報処理方法
JP2011221993A (ja) * 2010-04-12 2011-11-04 Wins Technet Co Ltd Nat網用ウェブサービスへの正常ユーザーの遮断を防止するためのシステム及びその制御方法
JP2013098880A (ja) * 2011-11-04 2013-05-20 Hitachi Ltd フィルタリングシステムおよびフィルタリング方法
WO2013141340A1 (ja) * 2012-03-23 2013-09-26 日本電気株式会社 制御装置、通信装置、通信システム、通信方法及びプログラム

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7752266B2 (en) 2001-10-11 2010-07-06 Ebay Inc. System and method to facilitate translation of communications between entities over a network
US20030229554A1 (en) * 2002-06-10 2003-12-11 Veres Robert Dean Method and system for composing transaction listing descriptions for use in a network-based transaction facility
US8078505B2 (en) 2002-06-10 2011-12-13 Ebay Inc. Method and system for automatically updating a seller application utilized in a network-based transaction facility
JP4503934B2 (ja) * 2002-09-26 2010-07-14 株式会社東芝 サーバ計算機保護装置、サーバ計算機保護方法、サーバ計算機保護プログラム及びサーバ計算機
US7386719B2 (en) * 2003-07-29 2008-06-10 International Business Machines Corporation System and method for eliminating viruses at a web page server
US20050028010A1 (en) * 2003-07-29 2005-02-03 International Business Machines Corporation System and method for addressing denial of service virus attacks
US7391725B2 (en) * 2004-05-18 2008-06-24 Christian Huitema System and method for defeating SYN attacks
US7805656B2 (en) * 2005-09-29 2010-09-28 Dolby Laboratories Licensing Corporation Error correction in packet-based communication networks using data consistency checks
US8639782B2 (en) 2006-08-23 2014-01-28 Ebay, Inc. Method and system for sharing metadata between interfaces
CN1968147B (zh) 2006-11-27 2010-04-14 华为技术有限公司 业务处理方法、网络设备及业务处理系统
US8799218B2 (en) * 2006-12-01 2014-08-05 Ebay Inc. Business channel synchronization
US20080240140A1 (en) * 2007-03-29 2008-10-02 Microsoft Corporation Network interface with receive classification
CN101464927B (zh) * 2008-07-11 2013-05-08 理康互联科技(北京)有限公司 医疗数据传输处理系统和方法
US9282151B2 (en) * 2008-09-11 2016-03-08 International Business Machines Corporation Flow control in a distributed environment
CN101834833B (zh) * 2009-03-13 2014-12-24 瞻博网络公司 对分布式拒绝服务攻击的服务器防护
CN101854333B (zh) * 2009-03-30 2013-06-05 华为技术有限公司 对不完整会话攻击进行检测的方法和装置
US20110134930A1 (en) * 2009-12-09 2011-06-09 Mclaren Moray Packet-based networking system
US20110280247A1 (en) * 2010-05-17 2011-11-17 Google Inc. System and method for reducing latency via multiple network connections
CN107103216B (zh) * 2011-03-25 2020-08-25 株式会社野村综合研究所 业务信息防护装置
US9906438B2 (en) 2012-12-19 2018-02-27 Nec Corporation Communication node, control apparatus, communication system, packet processing method, communication node controlling method and program
CN106302421B (zh) * 2016-08-08 2019-07-16 腾讯科技(深圳)有限公司 一种信息拦截处理方法以及装置
CN109947081B (zh) * 2019-03-25 2020-12-01 钛马信息网络技术有限公司 网联车辆控制方法及装置
JP7362372B2 (ja) * 2019-09-05 2023-10-17 日立チャネルソリューションズ株式会社 紙幣処理システムの遠隔保守システム、および遠隔保守方法

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3407002B2 (ja) 1995-03-08 2003-05-19 日本電信電話株式会社 メッセージ中継装置及びメッセージ中継方法
JPH103357A (ja) 1996-06-18 1998-01-06 Nippon Telegr & Teleph Corp <Ntt> ビデオサーバ
US6247054B1 (en) * 1997-03-24 2001-06-12 Nortel Networks Limited Method and apparatus for redirecting packets using encapsulation
US6199113B1 (en) * 1998-04-15 2001-03-06 Sun Microsystems, Inc. Apparatus and method for providing trusted network security
EP0991231B1 (en) * 1998-09-10 2009-07-01 International Business Machines Corporation Packet switch adapter for variable length packets
JP2000122939A (ja) 1998-10-12 2000-04-28 Toshiba Corp アプリケーションゲートウェイの通信制御方法
US6212640B1 (en) * 1999-03-25 2001-04-03 Sun Microsystems, Inc. Resources sharing on the internet via the HTTP
CA2297341A1 (en) 1999-08-18 2001-02-18 Alma-Baba Technical Research Laboratory Co., Ltd. System for monitoring network for cracker attack
KR20010081872A (ko) 2000-02-19 2001-08-29 김지윤 무선 단말기의 음성 통화방법 및 이를 제공하는 방법
TW518864B (en) * 2000-05-12 2003-01-21 Ibm Methods and system for defeating TCP SYN flooding attacks
US20020029269A1 (en) * 2000-06-29 2002-03-07 Campus Pipeline, Inc. Methods and systems for coordinating the termination of sessions on one or more systems
US20020138643A1 (en) 2000-10-19 2002-09-26 Shin Kang G. Method and system for controlling network traffic to a network computer
US7546369B2 (en) * 2000-12-21 2009-06-09 Berg Mitchell T Method and system for communicating a request packet in response to a state
US8402129B2 (en) * 2001-03-21 2013-03-19 Alcatel Lucent Method and apparatus for efficient reactive monitoring
US6907525B2 (en) 2001-08-14 2005-06-14 Riverhead Networks Inc. Protecting against spoofed DNS messages

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7464407B2 (en) 2002-08-20 2008-12-09 Nec Corporation Attack defending system and attack defending method
US7958549B2 (en) 2002-08-20 2011-06-07 Nec Corporation Attack defending system and attack defending method
JP2008502183A (ja) * 2004-06-04 2008-01-24 インターナショナル・ビジネス・マシーンズ・コーポレーション 高速ネットワーク内での攻撃を防御する方法及びモジュール並びに高速ネットワーク内での要求を処理する方法
JP2008136176A (ja) * 2006-10-10 2008-06-12 Mitsubishi Electric Information Technology Centre Europa Bv メモリブロックの割り当てを管理する方法及びデバイス、データ伝送ネットワークシステム、コンピュータ可読媒体、並びにコンピュータプログラム製品
JP2009146005A (ja) * 2007-12-11 2009-07-02 Canon Inc 情報処理装置および情報処理方法
JP2011221993A (ja) * 2010-04-12 2011-11-04 Wins Technet Co Ltd Nat網用ウェブサービスへの正常ユーザーの遮断を防止するためのシステム及びその制御方法
JP2013098880A (ja) * 2011-11-04 2013-05-20 Hitachi Ltd フィルタリングシステムおよびフィルタリング方法
WO2013141340A1 (ja) * 2012-03-23 2013-09-26 日本電気株式会社 制御装置、通信装置、通信システム、通信方法及びプログラム
JPWO2013141340A1 (ja) * 2012-03-23 2015-08-03 日本電気株式会社 制御装置、通信装置、通信システム、通信方法及びプログラム
US9590905B2 (en) 2012-03-23 2017-03-07 Nec Corporation Control apparatus and a communication method, apparatus, and system to perform path control of a network

Also Published As

Publication number Publication date
JP4434551B2 (ja) 2010-03-17
EP1298883A3 (en) 2004-12-15
DE60223771D1 (de) 2008-01-10
US7478425B2 (en) 2009-01-13
CN1410899A (zh) 2003-04-16
DE60223771T2 (de) 2008-04-10
US20030061306A1 (en) 2003-03-27
CN1194309C (zh) 2005-03-23
EP1298883B1 (en) 2007-11-28
EP1298883A2 (en) 2003-04-02

Similar Documents

Publication Publication Date Title
JP2003173300A (ja) サーバー計算機保護装置、サーバー計算機保護方法、サーバー計算機保護プログラム及びサーバー計算機
US8850046B2 (en) Securing an access provider
US8769681B1 (en) Methods and system for DMA based distributed denial of service protection
US7536552B2 (en) Upper-level protocol authentication
EP2289221B1 (en) Network intrusion protection
JP4743894B2 (ja) データ・パケットを伝送しながらセキュリティを改良するための方法及び装置
US20130055375A1 (en) Method and Protection System for Mitigating Slow HTTP Attacks Using Rate and Time Monitoring
US20110289559A1 (en) Deep Packet Scan Hacker Identification
WO2006039529A2 (en) Network overload detection and mitigation system and method
US20100162382A1 (en) Packet processing method and toe hardware
US8429742B2 (en) Detection of a denial of service attack on an internet server
JP2004164553A (ja) サーバ計算機保護装置、サーバ計算機保護方法、サーバ計算機保護プログラム及びサーバ計算機
JP4931881B2 (ja) ホワイトリストを利用したサーバ割り当てシステムおよびその方法
WO2023040303A1 (zh) 网络流量控制方法以及相关系统
CN102014010A (zh) 一种网络行为管理系统及方法
Pinkerton et al. Direct Data Placement Protocol (DDP)/Remote Direct Memory Access Protocol (RDMAP) Security
JP2006331015A (ja) サーバ装置保護システム
JP4538055B2 (ja) サーバー計算機保護装置、サーバー計算機保護方法、サーバー計算機保護プログラム及びサーバー計算機
JP5922622B2 (ja) 制御装置、通信システム、および、通信制御方法
US20060282508A1 (en) System and method of responding to a flood attack on a data processing system
JP2004078602A (ja) データ処理装置
JP4005047B2 (ja) サーバ計算機保護装置
US8819252B1 (en) Transaction rate limiting
Bitan Internet Draft James Pinkerton draft-ietf-rddp-security-03. txt Microsoft Corporation Category: Standards Track Ellen Deleganes Expires: February, 2005 Intel Corporation
JP2005005994A (ja) ネットワーク攻撃防止装置、ネットワーク攻撃防止方法、ネットワーク攻撃防止プログラム及びそのプログラムを記録した記録媒体

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040601

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20050414

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20050606

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20071218

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080215

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080916

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081117

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090612

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090707

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091027

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091109

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20091201

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20091222

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130108

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130108

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140108

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees