JP2003333092A - Network system, method of tracing attack packet and method of preventing attack packet - Google Patents
Network system, method of tracing attack packet and method of preventing attack packetInfo
- Publication number
- JP2003333092A JP2003333092A JP2002138187A JP2002138187A JP2003333092A JP 2003333092 A JP2003333092 A JP 2003333092A JP 2002138187 A JP2002138187 A JP 2002138187A JP 2002138187 A JP2002138187 A JP 2002138187A JP 2003333092 A JP2003333092 A JP 2003333092A
- Authority
- JP
- Japan
- Prior art keywords
- attack
- packet
- routers
- router
- network system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、インターネット
等、複数のルータにより構成されるネットワークシステ
ムに関するものであり、特に、インターネット上のサー
バを標的にしたDoS(Denial of Service)攻撃また
はDDoS(Distributed Denial of Service)攻撃を
受ける可能性のあるネットワークシステム、当該システ
ムにおける攻撃パケット追跡方法および攻撃パケット防
御方法に関するものである。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a network system including a plurality of routers such as the Internet, and particularly to a DoS (Denial of Service) attack or a DDoS (Distributed Denial) targeting a server on the Internet. of service) a network system that may be attacked, an attack packet tracking method and an attack packet defense method in the system.
【0002】[0002]
【従来の技術】以下、従来のネットワークシステムにお
けるDoS攻撃からの防御策について説明する。近年、
インターネット上のサーバを標的にした攻撃による運用
妨害が増加しており、その攻撃手法の一つとしてDoS
攻撃がある。DoS攻撃にはいくつかの手法があるが、
代表的な攻撃手法として、悪意のあるユーザが標的とな
るサーバ宛に大量のパケットを送りつけるものがある。
このようなDoS攻撃によってサーバに過剰な負荷をか
け、サーバによるサービスの提供を妨げる。すなわち、
ネットワークに大きな負荷を与えることで実質的にサー
ビスを利用不可能にする。2. Description of the Related Art A conventional defense method against a DoS attack in a network system will be described below. recent years,
Operational disruption due to attacks targeting servers on the Internet is increasing, and DoS is one of the attack methods.
There is an attack. There are several methods for DoS attacks,
A typical attack method is one in which a malicious user sends a large amount of packets to a target server.
Such a DoS attack places an excessive load on the server and prevents the server from providing the service. That is,
Putting a heavy load on the network makes the service virtually unavailable.
【0003】また、その他の攻撃手法として、セキュリ
ティの脆弱な第三者のサイトにDoS攻撃用のプログラ
ムを送り込み、複数の攻撃元(第三者のサイト)から一
斉に標的となるサーバ宛にDoS攻撃を加えるDDoS
攻撃も増加している。この攻撃を受けたサーバは、サー
ビスが提供できなくなるだけでなく、場合によってはサ
ーバ自身がダウンすることもある。As another attack method, a program for DoS attack is sent to a third party site with weak security, and a plurality of attack sources (third party sites) send DoS to all targeted servers at once. Attacking DDoS
Attacks are also increasing. A server that has been attacked may not only be unable to provide services, but in some cases the server itself may go down.
【0004】このような攻撃からの防御策として、たと
えば、特開2001−265678号公報,特開200
1−273209号公報に開示されている技術がある。
ここでは、悪意のユーザからの攻撃の標的となったサー
バが自身の停止を防ぐ技術が開示されている。また、攻
撃経路を追跡する方法としては、たとえば、特開200
1−308918号公報,特開2001−217834
号公報等において、いくつかの方法が開示されている。As a defense measure against such an attack, for example, Japanese Patent Laid-Open Nos. 2001-265678 and 200
There is a technique disclosed in JP-A 1-273209.
Here, a technique is disclosed in which a server targeted by an attack by a malicious user prevents the server from stopping itself. Further, as a method of tracking an attack route, for example, Japanese Patent Laid-Open No.
1-308918 gazette, JP 2001-217834 A.
Several methods are disclosed in Japanese Laid-Open Publications and the like.
【0005】[0005]
【発明が解決しようとする課題】しかしながら、上記、
従来のネットワークシステムでは、攻撃対象となるサー
バでのみ防御を行っており、攻撃において使用されるネ
ットワークについては攻撃パケットが通常パケットと区
別されることなく中継される。そのため、攻撃元からサ
ーバまでのネットワークリソースを不正なトラフィック
により消費される、という問題があった。また、一般的
に、DoS攻撃(またはDDoS攻撃)における攻撃パ
ケットは一方的であり、さらに、送信元アドレスが詐称
されることが多いため、攻撃元の特定が困難である、と
いう問題があった。However, the above
In a conventional network system, protection is performed only by a server that is an attack target, and in a network used in an attack, an attack packet is relayed without being distinguished from a normal packet. Therefore, there is a problem that network resources from the attack source to the server are consumed by the unauthorized traffic. Further, in general, an attack packet in a DoS attack (or DDoS attack) is one-sided, and the source address is often spoofed, which makes it difficult to identify the attack source. .
【0006】本発明は、上記に鑑みてなされたものであ
って、DoS攻撃(またはDDoS攻撃)による不正な
トラフィックが発生した場合に、その攻撃元を特定で
き、さらに、不正なトラフィックによるネットワークリ
ソースの消費を抑えつつ通常のトラフィックを支障なく
中継可能なネットワークシステム、当該システムにおけ
る攻撃パケット追跡方法および攻撃パケット防御方法、
を得ることを目的とする。The present invention has been made in view of the above, and when an illegal traffic due to a DoS attack (or a DDoS attack) occurs, the attack source can be specified, and further, network resources due to the illegal traffic can be identified. Network system capable of relaying normal traffic without hindrance, traffic tracking method and attack packet protection method in the system,
Aim to get.
【0007】[0007]
【課題を解決するための手段】上述した課題を解決し、
目的を達成するために、本発明にかかるネットワークシ
ステムにあっては、インターネット上のサーバを標的に
したDoS(Denial of Service)攻撃に対処するため
に、相互に連係して、隣接するすべてのルータに対して
パケットの監視を要請する複数のルータ、を備え、前記
監視を要請された各ルータが、特定のビットパターンと
一致する攻撃パケットを検出することによって、攻撃パ
ケットの送信元を追跡することを特徴とする。[Means for Solving the Problems]
In order to achieve the object, in the network system according to the present invention, in order to cope with a DoS (Denial of Service) attack targeting a server on the Internet, all routers adjacent to each other cooperate with each other. A plurality of routers requesting packet monitoring for each of the packets, and each of the routers requested to monitor traces the source of the attack packet by detecting an attack packet that matches a specific bit pattern. Is characterized by.
【0008】つぎの発明にかかるネットワークシステム
にあっては、インターネット上のサーバを標的にしたD
DoS(Distributed Denial of Service)攻撃に対処
するために、相互に連係して、隣接するすべてのルータ
に対してパケットの監視を要請する複数のルータ、を備
え、前記監視を要請された各ルータが、特定のビットパ
ターンと一致する攻撃パケットを検出することによっ
て、攻撃パケットの複数の送信元を追跡することを特徴
とする。In the network system according to the next invention, a D system targeting a server on the Internet is used.
In order to deal with a DoS (Distributed Denial of Service) attack, a plurality of routers that cooperate with each other and request packet monitoring from all adjacent routers are provided, and each router requested to monitor is By detecting an attack packet that matches a specific bit pattern, a plurality of sources of the attack packet are traced.
【0009】つぎの発明にかかるネットワークシステム
にあっては、パケット監視機能を持つルータとパケット
監視機能を持たないルータが混在する場合、パケット監
視機能を持つ全ルータに対してパケットの監視を要請す
ることを特徴とする。In the network system according to the next invention, when the routers having the packet monitoring function and the routers having no packet monitoring function coexist, all the routers having the packet monitoring function are requested to monitor the packet. It is characterized by
【0010】つぎの発明にかかるネットワークシステム
にあっては、検出された攻撃パケットの送信元に最も近
いルータが、当該攻撃パケットを廃棄することを特徴と
する。The network system according to the next invention is characterized in that the router closest to the source of the detected attack packet discards the attack packet.
【0011】つぎの発明にかかるネットワークシステム
にあっては、インターネット上のサーバを標的にしたD
oS(Denial of Service)攻撃およびDDoS(Distr
ibuted Denial of Service)攻撃に対処するために、相
互に連係して、DoS攻撃およびDDoS攻撃に使用さ
れる新たな攻撃パケットを識別するための特定のビット
パターンを交換し、当該特定のビットパターンと一致す
る攻撃パケットを検出する複数のルータ、を備えること
を特徴とする。In the network system according to the next invention, a D targeting a server on the Internet is used.
oS (Denial of Service) attacks and DDoS (Distr
In order to deal with ibuted Denial of Service attack, a specific bit pattern for identifying a DoS attack and a new attack packet used for the DDoS attack is exchanged in cooperation with each other, and It is characterized by comprising a plurality of routers for detecting a matching attack packet.
【0012】つぎの発明にかかるネットワークシステム
にあっては、攻撃パケット検出機能を持つルータと攻撃
パケット検出機能を持たないルータが混在する場合、攻
撃パケット検出機能を持つ全ルータに対して前記特定の
ビットパターンを通知することを特徴とする。In the network system according to the next invention, when a router having an attack packet detection function and a router having no attack packet detection function coexist, the above-mentioned specific It is characterized by notifying a bit pattern.
【0013】つぎの発明にかかるネットワークシステム
において、前記各ルータでは、定期的に、保持するすべ
てのビットパターンを交換することを特徴とする。In the network system according to the next invention, each of the routers periodically exchanges all bit patterns held therein.
【0014】つぎの発明にかかるネットワークシステム
において、前記各ルータでは、すべてのトラフィックを
監視することを特徴とする。In the network system according to the next invention, each of the routers monitors all traffic.
【0015】つぎの発明にかかる攻撃パケット追跡方法
にあっては、インターネット上のサーバを標的にしたD
oS(Denial of Service)攻撃に対処するために、複
数のルータが、相互に連係して、隣接するすべてのルー
タに対してパケットの監視を要請する監視要請ステップ
と、前記監視を要請された各ルータが、特定のビットパ
ターンと一致する攻撃パケットを検出することによっ
て、攻撃パケットの送信元を追跡する送信元追跡ステッ
プと、を含むことを特徴とする。In the attack packet tracing method according to the next invention, a D targeting a server on the Internet is used.
In order to cope with an os (Denial of Service) attack, a plurality of routers cooperate with each other to request packet monitoring from all adjacent routers, and each of the monitoring request steps. The router includes a source tracking step of tracking the source of the attack packet by detecting the attack packet that matches a specific bit pattern.
【0016】つぎの発明にかかる攻撃パケット追跡方法
にあっては、インターネット上のサーバを標的にしたD
DoS(Distributed Denial of Service)攻撃に対処
するために、複数のルータが、相互に連係して、隣接す
るすべてのルータに対してパケットの監視を要請する監
視要請ステップと、前記監視を要請された各ルータが、
特定のビットパターンと一致する攻撃パケットを検出す
ることによって、攻撃パケットの複数の送信元を追跡す
る送信元追跡ステップと、を含むことを特徴とする。In the attack packet tracing method according to the next invention, D that targets a server on the Internet is used.
In order to deal with a DoS (Distributed Denial of Service) attack, a plurality of routers cooperate with each other to request a packet monitor from all adjacent routers, and the monitor request step. Each router
A source tracking step of tracking a plurality of sources of the attack packet by detecting the attack packet that matches a specific bit pattern.
【0017】つぎの発明にかかる攻撃パケット防御方法
にあっては、インターネット上のサーバを標的にしたD
oS(Denial of Service)攻撃およびDDoS(Distr
ibuted Denial of Service)攻撃に対処するために、複
数のルータが、相互に連係して、DoS攻撃およびDD
oS攻撃に使用される新たな攻撃パケットを識別するた
めの特定のビットパターンを交換する交換ステップと、
当該特定のビットパターンと一致する攻撃パケットを検
出する検出ステップと、を含むことを特徴とする。In the attack packet protection method according to the next invention, D that targets a server on the Internet is used.
oS (Denial of Service) attacks and DDoS (Distr
In order to deal with ibuted Denial of Service) attacks, multiple routers cooperate with each other to perform DoS attacks and DD
an exchange step of exchanging a specific bit pattern for identifying a new attack packet used in an oS attack,
A detection step of detecting an attack packet that matches the specific bit pattern.
【0018】[0018]
【発明の実施の形態】以下に、本発明にかかるネットワ
ークシステム、当該システムにおける攻撃パケット追跡
方法および攻撃パケット防御方法、の実施の形態を図面
に基づいて詳細に説明する。なお、この実施の形態によ
りこの発明が限定されるものではない。BEST MODE FOR CARRYING OUT THE INVENTION Embodiments of a network system, an attack packet tracking method and an attack packet defense method in the system according to the present invention will be described below in detail with reference to the drawings. The present invention is not limited to this embodiment.
【0019】実施の形態1.図1は、本発明にかかるネ
ットワークシステムの実施の形態1の構成を示す図であ
る。図1において、1はコアネットワークであり、1
1,12,13,14,15は複数のユーザからのアク
セス回線を収容してユーザデータをコアネットワーク1
へ中継するエッジルータであり、21,22,23はコ
アネットワーク1においてユーザデータを中継するコア
ルータであり、31はDoS(Denial of Service)攻
撃の攻撃対象となるホストであり、32はホスト31に
対してDoS攻撃を行うクラッカであり、33,34は
ホスト31と通信を行うユーザである。Embodiment 1. FIG. 1 is a diagram showing a configuration of a first embodiment of a network system according to the present invention. In FIG. 1, 1 is a core network, and 1
1, 12, 13, 14, and 15 accommodate access lines from a plurality of users and store user data in the core network 1.
Is an edge router relaying to, a core router relaying user data in the core network 1, 21 is a host targeted by a DoS (Denial of Service) attack, 32 is a host 31 The crackers that attack the DoS attack against the users 33 and 34 are the users who communicate with the host 31.
【0020】ここで、上記のように構成されるネットワ
ークシステムの動作について説明する。エッジルータ1
1〜15では、自身に収容したアクセス回線に接続され
たホストへのトラフィックを監視する。そして、パケッ
ト中における任意のビットのビットパターンを照合し、
そのパケットを識別する。この動作により、特定の種類
のパケットが、同一ホストに対して定められた時間内
に、しきい値以上連続的に送信されたことを検出する。
すなわち、「TCP SYN flood」,「ICMP echo request f
lood」,「UDP flood」といった、攻撃対象に対して連
続的にパケットを送りつけるDoS攻撃を検出する。Here, the operation of the network system configured as above will be described. Edge router 1
In 1 to 15, the traffic to the host connected to the access line accommodated in itself is monitored. Then, match the bit pattern of any bit in the packet,
Identify the packet. By this operation, it is detected that packets of a specific type have been continuously transmitted to the same host by a threshold value or more within a predetermined time.
That is, "TCP SYN flood", "ICMP echo request f
Detects DoS attacks such as "lood" and "UDP flood" that continuously send packets to the attack target.
【0021】たとえば、本実施の形態では、クラッカ3
2からホスト31への攻撃パケットがエッジルータ1
3,コアルータ23,21,エッジルータ11経由で送
信される場合を想定する。この場合、まず、エッジルー
タ11では、ホスト31宛のDoS攻撃を検出する。そ
して、DoS攻撃を検出したエッジルータ11では、コ
アルータ21に対してホスト31宛のパケットの監視を
要請する。For example, in the present embodiment, the cracker 3
Attack packet from 2 to host 31 is edge router 1
3, it is assumed that the data is transmitted via the core routers 23 and 21, and the edge router 11. In this case, first, the edge router 11 detects a DoS attack addressed to the host 31. Then, the edge router 11 that has detected the DoS attack requests the core router 21 to monitor the packet addressed to the host 31.
【0022】つぎに、エッジルータ11から監視要請を
受けたコアルータ21では、ホスト31宛のパケットの
監視を行い、ホスト31宛のDoS攻撃を検出すると、
監視要請元のエッジルータ11以外の隣接ルータ(コア
ルータ22,23)に対してホスト31宛のパケットの
監視を要請する。Next, the core router 21, which receives the monitoring request from the edge router 11, monitors the packet addressed to the host 31 and detects the DoS attack addressed to the host 31.
It requests the neighboring routers (core routers 22 and 23) other than the edge router 11 which is the monitoring request source to monitor the packet addressed to the host 31.
【0023】つぎに、コアルータ21から監視要請を受
けたコアルータ22では、ホスト31宛のパケットの監
視を行う。しかしながら、上記経路の場合、攻撃パケッ
トがコアルータ22を経由していないので、すなわち、
一定時間内にホスト31に対するDoS攻撃を検出でき
ないので、コアルータ22では、ホスト31宛のパケッ
トの監視を停止する。Next, the core router 22, which has received the monitoring request from the core router 21, monitors the packet addressed to the host 31. However, in the case of the above route, since the attack packet does not pass through the core router 22,
Since the DoS attack on the host 31 cannot be detected within the fixed time, the core router 22 stops monitoring the packet addressed to the host 31.
【0024】また、コアルータ21から監視要請を受け
たコアルータ23でも、同様に、ホスト31宛のパケッ
トの監視を行う。上記経路の場合、攻撃パケットがコア
ルータ23を経由しているので、すなわち、ホスト31
宛のDoS攻撃を検出するので、コアルータ23では、
コアルータ21,22以外の隣接ルータ(エッジルータ
12,13)に対してホスト31宛のパケットの監視を
要請する。The core router 23, which has received the monitoring request from the core router 21, also similarly monitors the packet addressed to the host 31. In the case of the above route, since the attack packet passes through the core router 23, that is, the host 31
Since the DoS attack addressed to the core router 23 is detected, the core router 23
It requests neighboring routers (edge routers 12, 13) other than the core routers 21, 22 to monitor packets addressed to the host 31.
【0025】つぎに、コアルータ23から監視要請を受
けたエッジルータ12では、ホスト31宛のパケットの
監視を行う。しかしながら、上記経路の場合、攻撃パケ
ットがエッジルータ12を経由していないので、すなわ
ち、一定時間内にホスト31に対するDoS攻撃を検出
できないので、エッジルータ12では、ホスト31宛の
パケットの監視を停止する。Next, the edge router 12, which has received the monitoring request from the core router 23, monitors the packet addressed to the host 31. However, in the case of the above route, since the attack packet does not pass through the edge router 12, that is, the DoS attack on the host 31 cannot be detected within a certain period of time, the edge router 12 stops monitoring the packet addressed to the host 31. To do.
【0026】また、コアルータ23から監視要請を受け
たエッジルータ13でも、同様に、ホスト31宛のパケ
ットの監視を行う。上記経路の場合、攻撃パケットがエ
ッジルータ13を経由しているので、すなわち、ホスト
31宛のDoS攻撃を検出するので、エッジルータ13
では、コアルータ23以外に隣接するルータがないこと
を認識後、DoS攻撃の攻撃元が、自身が収容するアク
セス回線に接続されていることを特定する。Similarly, the edge router 13 which receives the monitoring request from the core router 23 also monitors the packet addressed to the host 31. In the case of the above route, since the attack packet passes through the edge router 13, that is, the DoS attack addressed to the host 31 is detected, the edge router 13 is detected.
Then, after recognizing that there is no adjacent router other than the core router 23, the attack source of the DoS attack is identified as being connected to the access line accommodated by itself.
【0027】最後に、攻撃元のアクセス回線を特定した
エッジルータ13では、検出したすべての攻撃パケット
を廃棄する。Finally, the edge router 13 that has identified the access line of the attack source discards all the detected attack packets.
【0028】このように、本実施の形態では、まず、D
oS攻撃の攻撃対象となるホストのアクセス回線を収容
したエッジルータがDoS攻撃を検出し、つぎに、当該
エッジルータが近隣ルータに対して攻撃対象ホスト宛パ
ケットの監視要請を行い、DoS攻撃を検出した近隣ル
ータがさらに近隣ルータに対して攻撃対象ホスト宛パケ
ットの監視要請を行い、その後、DoS攻撃を検出した
ルータがつぎつぎと近隣ルータに対して攻撃対象ホスト
宛パケットの監視要請を行うことによって、攻撃元を追
跡する。これにより、最終的にDoS攻撃における攻撃
パケットの送信元を特定できる。As described above, in the present embodiment, first, D
The edge router accommodating the access line of the host targeted by the oS attack detects the DoS attack, and then the edge router requests the neighboring router to monitor the packet addressed to the attack target host, and the DoS attack is detected. The neighboring router further requests the neighboring router to monitor the packet targeted for the attack target host, and the router that has detected the DoS attack subsequently requests the neighboring router to monitor the packet targeted for the attack target host. Track the attack source. As a result, the source of the attack packet in the DoS attack can be finally specified.
【0029】また、本実施の形態では、攻撃パケットの
入口となるエッジルータが攻撃パケットを廃棄する。こ
れにより、攻撃パケットがコアネットワーク内に中継さ
れることがないため、ネットワークシステム全体で攻撃
パケットによるリソースの消費量を抑えることができ
る。また、各ユーザからホスト宛のパケットを、攻撃パ
ケットの影響を受けずに中継できる。Further, in this embodiment, the edge router which is the entrance of the attack packet discards the attack packet. As a result, the attack packet is not relayed to the core network, and the resource consumption of the attack packet can be suppressed in the entire network system. Further, the packet addressed to the host from each user can be relayed without being affected by the attack packet.
【0030】実施の形態2.前述した実施の形態1で
は、DoS攻撃検出時に、「hop-by-hop」に攻撃対象ホ
スト宛パケットの監視要請を行うようにした。これに対
し、実施の形態2では、パケット監視機能を持たないル
ータが存在するシステムにおいて、たとえば、パケット
監視機能を持つルータにだけ攻撃対象ホスト宛パケット
の監視を要請する。なお、本実施の形態におけるネット
ワークシステムの構成は、前述の実施の形態1の図1と
同様である。Embodiment 2. In the above-described first embodiment, when a DoS attack is detected, a request for monitoring a packet addressed to the attack target host is made to "hop-by-hop". On the other hand, in the second embodiment, in a system including a router having no packet monitoring function, for example, only a router having a packet monitoring function is requested to monitor a packet addressed to an attack target host. The configuration of the network system in this embodiment is the same as that in FIG. 1 of the first embodiment.
【0031】本実施の形態では、エッジルータだけにパ
ケット監視機能を持たせ、コアルータがパケット監視機
能を持たない場合を想定する。この場合、ホスト31宛
のDoS攻撃を検出したエッジルータ11では、パケッ
ト監視機能を持たないコアルータを介して、エッジルー
タ12,13,14,15に対してホスト31宛パケッ
トの監視を要請する。In this embodiment, it is assumed that only the edge router has the packet monitoring function and the core router does not have the packet monitoring function. In this case, the edge router 11 which has detected the DoS attack addressed to the host 31 requests the edge routers 12, 13, 14, 15 to monitor the packet addressed to the host 31 via the core router having no packet monitoring function.
【0032】このように、本実施の形態では、パケット
監視機能を持つルータだけを使用してDoS攻撃におけ
る攻撃パケットの送信元を追跡する。これにより、既存
のネットワークシステムに容易に導入することができ
る。As described above, in this embodiment, only the router having the packet monitoring function is used to trace the source of the attack packet in the DoS attack. As a result, it can be easily installed in an existing network system.
【0033】実施の形態3.図2は、本発明にかかるネ
ットワークシステムの実施の形態3の構成を示す図であ
る。図2において、40はコアネットワークであり、4
1,42,43,44,45,46は複数のユーザから
のアクセス回線を収容してユーザデータをコアネットワ
ーク40へ中継するエッジルータであり、51,52,
53,54はコアネットワーク40においてユーザデー
タを中継するコアルータであり、61はDDoS(Dist
ributed Denial of Service)攻撃の攻撃対象となるホ
ストであり、62,63,64はDDoS攻撃の踏み台
となりホスト61に対して攻撃パケットを送信するホス
トである。Embodiment 3. FIG. 2 is a diagram showing the configuration of the third embodiment of the network system according to the present invention. In FIG. 2, 40 is a core network, and 4
1, 42, 43, 44, 45 and 46 are edge routers that accommodate access lines from a plurality of users and relay user data to the core network 40.
53 and 54 are core routers that relay user data in the core network 40, and 61 is a DDoS (Dist).
ributed Denial of Service) is an attack target host, and 62, 63, and 64 are hosts that serve as a stepping stone for a DDoS attack and send an attack packet to the host 61.
【0034】ここで、上記のように構成されるネットワ
ークシステムの動作について説明する。なお、DDoS
攻撃の検出方法は、先に説明した実施の形態1と同様で
ある。Here, the operation of the network system configured as described above will be described. In addition, DDoS
The attack detection method is the same as in the first embodiment described above.
【0035】踏み台にされたホスト62,63,64か
らホスト61への攻撃パケットが送信されると、エッジ
ルータ41では、ホスト61宛のDDoS攻撃を検出す
る。このとき、ホスト62からの攻撃パケットは、エッ
ジルータ42,コアルータ52,51を経由し、ホスト
63からの攻撃パケットは、エッジルータ43,コアル
ータ52,51を経由し、ホスト64からの攻撃パケッ
トは、エッジルータ44,コアルータ53,51を経由
して送信される。そして、DDoS攻撃を検出したエッ
ジルータ41では、隣接するルータであるコアルータ5
1に対してホスト61宛パケットの監視を要請する。When an attack packet to the host 61 is transmitted from the hosts 62, 63, 64 set as a platform, the edge router 41 detects a DDoS attack addressed to the host 61. At this time, the attack packet from the host 62 passes through the edge router 42 and the core routers 52 and 51, the attack packet from the host 63 passes through the edge router 43 and the core routers 52 and 51, and the attack packet from the host 64 passes. , Edge router 44, and core routers 53 and 51. Then, in the edge router 41 that has detected the DDoS attack, the core router 5 that is the adjacent router
1 to monitor the packet addressed to the host 61.
【0036】つぎに、エッジルータ41からパケットの
監視要請を受けたコアルータ51では、ホスト61宛パ
ケットの監視を行う。このとき、DDoS攻撃検出のた
めのしきい値を、エッジルータ41における検出時のし
きい値以下としてもよい。コアルータ51では、ホスト
61宛のDDoS攻撃を検出すると、要請元のエッジル
ータ41以外の隣接するルータ(コアルータ52,5
3)に対してホスト61宛パケットの監視を要請する。Next, the core router 51, which has received a packet monitoring request from the edge router 41, monitors the packet addressed to the host 61. At this time, the threshold value for detecting the DDoS attack may be equal to or lower than the threshold value at the time of detection by the edge router 41. When the core router 51 detects a DDoS attack addressed to the host 61, the adjacent routers (core routers 52, 5) other than the requesting edge router 41 are detected.
3) Request the monitoring of the packet addressed to the host 61 to 3).
【0037】つぎに、コアルータ51から監視要請を受
けたコアルータ52では、ホスト61宛パケットの監視
を行う。このとき、DDoS攻撃検出のためのしきい値
を、コアルータ51における検出時のしきい値以下とし
てもよい。コアルータ52では、ホスト61宛のDDo
S攻撃を検出すると、要請元のコアルータ51以外の隣
接するルータ(コアルータ54,エッジルータ42,4
3)に対してホスト61宛パケットの監視を要請する。Next, the core router 52, which has received the monitoring request from the core router 51, monitors the packet addressed to the host 61. At this time, the threshold value for detecting the DDoS attack may be set equal to or lower than the threshold value at the time of detection by the core router 51. In the core router 52, the DDo addressed to the host 61
When an S attack is detected, adjacent routers (core router 54, edge routers 42, 4) other than the requesting core router 51 are detected.
3) Request the monitoring of the packet addressed to the host 61 to 3).
【0038】同様に、コアルータ51から監視要請を受
けたコアルータ53でも、ホスト61宛パケットの監視
を行う。このとき、DDoS攻撃検出のためのしきい値
を、コアルータ51における検出時のしきい値以下とし
てもよい。コアルータ53では、ホスト61宛のDDo
S攻撃を検出すると、要請元のコアルータ51以外の隣
接するルータ(コアルータ54,エッジルータ44,4
5)に対してホスト61宛パケットの監視を要請する。Similarly, the core router 53, which has received the monitoring request from the core router 51, also monitors the packet addressed to the host 61. At this time, the threshold value for detecting the DDoS attack may be set equal to or lower than the threshold value at the time of detection by the core router 51. In the core router 53, the DDo addressed to the host 61
When an S attack is detected, adjacent routers (core router 54, edge routers 44, 4 other than the requesting core router 51) are detected.
5) Request the monitoring of the packet addressed to the host 61 to 5).
【0039】つぎに、コアルータ52,53から監視要
請を受けたコアルータ54では、ホスト61宛パケット
の監視を行う。このとき、DDoS攻撃検出のためのし
きい値を、コアルータ52,53における検出時のしき
い値以下としてもよい。しかしながら、ここでは、攻撃
パケットがコアルータ54を経由していないので、すな
わち、一定時間内にホスト61に対するDDoS攻撃を
検出できないので、コアルータ54では、ホスト61宛
パケットの監視を停止する。Next, the core router 54, which has received the monitoring request from the core routers 52 and 53, monitors the packet addressed to the host 61. At this time, the threshold value for detecting the DDoS attack may be equal to or lower than the threshold value at the time of detection by the core routers 52 and 53. However, here, since the attack packet does not pass through the core router 54, that is, the DDoS attack on the host 61 cannot be detected within a fixed time, the core router 54 stops monitoring the packet addressed to the host 61.
【0040】同様に、コアルータ52から監視要請を受
けたエッジルータ42,43でも、ホスト61宛パケッ
トの監視を行う。このとき、DDoS攻撃検出のための
しきい値を、コアルータ52における検出時のしきい値
以下としてもよい。ここでは、攻撃パケットがエッジル
ータ42,43を経由しているので、すなわち、一定時
間内にホスト61に対するDDoS攻撃を検出できるの
で、エッジルータ42,43では、コアルータ52以外
に隣接するルータがないことを認識後、DDoS攻撃の
攻撃元が、自身が収容するアクセス回線に接続されてい
ることを特定する。Similarly, the edge routers 42 and 43 receiving the monitoring request from the core router 52 also monitor the packet addressed to the host 61. At this time, the threshold value for detecting the DDoS attack may be set equal to or lower than the threshold value at the time of detection by the core router 52. Here, since the attack packet passes through the edge routers 42 and 43, that is, the DDoS attack on the host 61 can be detected within a fixed time, the edge routers 42 and 43 have no adjacent routers other than the core router 52. After recognizing that, the attack source of the DDoS attack specifies that the attack source is connected to the access line accommodated by itself.
【0041】また、同様に、コアルータ53から監視要
請を受けたエッジルータ44,45でも、ホスト61宛
パケットの監視を行う。このとき、DDoS攻撃検出の
ためのしきい値を、コアルータ53における検出時のし
きい値以下としてもよい。ここでは、攻撃パケットがエ
ッジルータ44を経由しているので、すなわち、一定時
間内にホスト61に対するDDoS攻撃を検出できるの
で、エッジルータ44では、コアルータ53以外に隣接
するルータがないことを認識後、DDoS攻撃の攻撃元
が、自身が収容するアクセス回線に接続されていること
を特定する。なお、エッジルータ45では、攻撃パケッ
トがエッジルータ45を経由していないので、すなわ
ち、一定時間内にホスト61に対するDDoS攻撃を検
出できないので、ホスト61宛パケットの監視を停止す
る。Similarly, the edge routers 44 and 45, which have received the monitoring request from the core router 53, also monitor the packet addressed to the host 61. At this time, the threshold value for detecting the DDoS attack may be set equal to or lower than the threshold value at the time of detection by the core router 53. Here, since the attack packet passes through the edge router 44, that is, the DDoS attack on the host 61 can be detected within a certain period of time, the edge router 44 recognizes that there is no adjacent router other than the core router 53. , The source of the DDoS attack is connected to the access line that the DDoS attack accommodates. The edge router 45 stops monitoring the packet addressed to the host 61 because the attack packet does not pass through the edge router 45, that is, the DDoS attack cannot be detected against the host 61 within a fixed time.
【0042】最後に、攻撃元のアクセス回線を特定した
エッジルータ42,43,44では、検出したすべての
攻撃パケットを廃棄する。Finally, the edge routers 42, 43, and 44 that have specified the attack source access line discard all detected attack packets.
【0043】このように、本実施の形態では、まず、D
DoS攻撃の攻撃対象となるホストのアクセス回線を収
容したエッジルータがDDoS攻撃を検出し、つぎに、
当該エッジルータが近隣ルータに対して攻撃対象ホスト
宛パケットの監視要請を行い、DDoS攻撃を検出した
近隣ルータがさらに近隣ルータに対して攻撃対象ホスト
宛パケットの監視要請を行い、その後、DDoS攻撃を
検出したルータがつぎつぎと近隣ルータに対して攻撃対
象ホスト宛パケットの監視要請を行うことによって、攻
撃元を追跡する。これにより、最終的にDDoS攻撃に
おける攻撃パケットの複数の送信元を特定できる。As described above, in the present embodiment, first, D
The edge router accommodating the access line of the host which is the target of the DoS attack detects the DDoS attack, and next,
The edge router requests the neighboring router to monitor the packet targeted for the attack target host, and the neighboring router that detects the DDoS attack further requests the neighboring router to monitor the packet targeted for the attack target host, and then executes the DDoS attack. The detected router traces the attack source by successively requesting neighboring routers to monitor packets for the attack target host. As a result, it is possible to finally specify a plurality of transmission sources of the attack packet in the DDoS attack.
【0044】また、本実施の形態では、攻撃パケットの
入口となるエッジルータが攻撃パケットを廃棄する。こ
れにより、攻撃パケットがコアネットワーク内に中継さ
れることがないため、ネットワークシステム全体で攻撃
パケットによるリソースの消費量を抑えることができ
る。また、各ユーザからホスト宛のパケットを、攻撃パ
ケットの影響を受けずに中継できる。Further, in this embodiment, the edge router which is the entrance of the attack packet discards the attack packet. As a result, the attack packet is not relayed to the core network, and the resource consumption of the attack packet can be suppressed in the entire network system. Further, the packet addressed to the host from each user can be relayed without being affected by the attack packet.
【0045】実施の形態4.前述した実施の形態3で
は、DDoS攻撃検出時に、「hop-by-hop」に攻撃対象
ホスト宛パケットの監視要請を行うようにした。これに
対し、実施の形態4では、パケット監視機能を持たない
ルータが存在するシステムにおいて、たとえば、パケッ
ト監視機能を持つルータにだけ攻撃対象ホスト宛パケッ
トの監視を要請する。なお、本実施の形態におけるネッ
トワークシステムの構成は、前述の実施の形態3の図2
と同様である。Fourth Embodiment In the third embodiment described above, when a DDoS attack is detected, a monitoring request for a packet addressed to the attack target host is made to "hop-by-hop". On the other hand, in the fourth embodiment, in a system having a router having no packet monitoring function, for example, only a router having a packet monitoring function is requested to monitor a packet addressed to an attack target host. The configuration of the network system according to the present embodiment is the same as that shown in FIG.
Is the same as.
【0046】本実施の形態では、エッジルータだけにパ
ケット監視機能を持たせ、コアルータがパケット監視機
能を持たない場合を想定する。この場合、ホスト61宛
のDDoS攻撃を検出したエッジルータ41では、パケ
ット監視機能を持たないコアルータを介して、エッジル
ータ42,43,44,45,46に対してホスト61
宛パケットの監視を要請する。In this embodiment, it is assumed that only the edge router has the packet monitoring function and the core router does not have the packet monitoring function. In this case, the edge router 41 that has detected the DDoS attack addressed to the host 61 sends the host 61 to the edge routers 42, 43, 44, 45, 46 via the core router having no packet monitoring function.
Request monitoring of addressed packets.
【0047】このように、本実施の形態では、パケット
監視機能を持つルータだけを使用してDDoS攻撃にお
ける攻撃パケットの送信元を追跡する。これにより、既
存のネットワークシステムに容易に導入することができ
る。As described above, in this embodiment, only the router having the packet monitoring function is used to trace the source of the attack packet in the DDoS attack. As a result, it can be easily installed in an existing network system.
【0048】実施の形態5.つぎに、実施の形態5のネ
ットワークシステムの動作について説明する。なお、本
実施の形態におけるネットワークシステムの構成は、前
述の実施の形態1の図1と同様である。Embodiment 5. Next, the operation of the network system according to the fifth embodiment will be described. The configuration of the network system in this embodiment is the same as that in FIG. 1 of the first embodiment.
【0049】エッジルータ11,12,13,14,1
5では、自身に収容したアクセス回線に接続されたホス
トへのトラフィックを監視する。そして、自身の保持す
る攻撃パケット検出パターンと受信パケットにおける任
意のビットのビットパターンとを照合してパケットを識
別することによって、DoS攻撃(またはDDoS攻
撃)に用いられる攻撃パケットを検出する。なお、各ル
ータの保持する攻撃パケット検出パターンは、ルータが
攻撃を自動的に検出して登録してもよいし、ユーザもし
くは管理者が手動で登録してもよい。Edge routers 11, 12, 13, 14, 1
In 5, the traffic to the host connected to the access line accommodated in itself is monitored. Then, the attack packet used for the DoS attack (or DDoS attack) is detected by matching the attack packet detection pattern held by itself and the bit pattern of an arbitrary bit in the received packet to identify the packet. The attack packet detection pattern held by each router may be registered by automatically detecting an attack by the router, or may be manually registered by the user or the administrator.
【0050】たとえば、エッジルータ14では、新たな
攻撃パケット検出パターンが登録されると、隣接するコ
アルータ22に対して新しい攻撃パケット検出パターン
を通知する。For example, when a new attack packet detection pattern is registered, the edge router 14 notifies the adjacent core router 22 of the new attack packet detection pattern.
【0051】つぎに、エッジルータ14から新たな攻撃
パケット検出パターンを受け取ったコアルータ22で
は、自身の保持する攻撃パケット検出パターン中に、通
知された攻撃パケット検出パターンが存在するかどうか
を精査する。このとき、通知された攻撃パケット検出パ
ターンが存在しなければ、当該攻撃パケット検出パター
ンを登録し、エッジルータ14以外の隣接ルータ(エッ
ジルータ15,コアルータ21,23)に対して新たな
攻撃パケット検出パターンを通知する。Next, the core router 22, which has received the new attack packet detection pattern from the edge router 14, closely examines whether the notified attack packet detection pattern exists in the attack packet detection patterns held by itself. At this time, if the notified attack packet detection pattern does not exist, the attack packet detection pattern is registered and a new attack packet is detected for the adjacent routers (edge router 15, core routers 21, 23) other than the edge router 14. Notify the pattern.
【0052】つぎに、コアルータ22から新たな攻撃パ
ケット検出パターンを受け取ったエッジルータ15で
は、自身の保持する攻撃パケット検出パターン中に、通
知された攻撃パケット検出パターンが存在するかどうか
を精査する。このとき、通知された攻撃パケット検出パ
ターンが存在しなければ、当該攻撃パケット検出パター
ンを登録する。Next, the edge router 15, which has received the new attack packet detection pattern from the core router 22, closely examines whether the notified attack packet detection pattern exists in the attack packet detection patterns held by itself. At this time, if there is no notified attack packet detection pattern, the attack packet detection pattern is registered.
【0053】同様に、コアルータ22から新たな攻撃パ
ケット検出パターンを受け取ったコアルータ21では、
自身の保持する攻撃パケット検出パターン中に、通知さ
れた攻撃パケット検出パターンが存在するかどうかを精
査する。このとき、通知された攻撃パケット検出パター
ンが存在しなければ、当該攻撃パケット検出パターンを
登録し、コアルータ22以外の隣接ルータ(エッジルー
タ11,コアルータ23)に対して新たな攻撃パケット
検出パターンを通知する。Similarly, in the core router 21 which has received the new attack packet detection pattern from the core router 22,
Examine whether the notified attack packet detection pattern exists in the attack packet detection patterns held by itself. At this time, if the notified attack packet detection pattern does not exist, the attack packet detection pattern is registered, and the new attack packet detection pattern is notified to the adjacent routers (edge router 11, core router 23) other than the core router 22. To do.
【0054】また、同様に、コアルータ22から新たな
攻撃パケット検出パターンを受け取ったコアルータ23
では、自身の保持する攻撃パケット検出パターン中に、
通知された攻撃パケット検出パターンが存在するかどう
かを精査する。このとき、通知された攻撃パケット検出
パターンが存在しなければ、当該攻撃パケット検出パタ
ーンを登録し、コアルータ22以外の隣接ルータ(エッ
ジルータ12,13,コアルータ21)に対して新たな
攻撃パケット検出パターンを通知する。Similarly, the core router 23 which receives a new attack packet detection pattern from the core router 22
Then, in the attack packet detection pattern held by itself,
Scrutinize for the presence of the advertised attack packet detection pattern. At this time, if the notified attack packet detection pattern does not exist, the attack packet detection pattern is registered and a new attack packet detection pattern is added to the adjacent routers (edge routers 12, 13, core router 21) other than the core router 22. To notify.
【0055】つぎに、コアルータ21または23から新
たな攻撃パケット検出パターンの通知を受け取ったエッ
ジルータ11,12,13では、自身の保持する攻撃パ
ケット検出パターン中に、通知された攻撃パケット検出
パターンが存在するかどうかを精査する。このとき、通
知された攻撃パケット検出パターンが存在しなければ、
当該攻撃パケット検出パターンを登録する。Next, in the edge routers 11, 12, and 13 that have received the notification of the new attack packet detection pattern from the core router 21 or 23, the notified attack packet detection pattern is included in the attack packet detection patterns held by itself. Scrutinize if it exists. At this time, if there is no notified attack packet detection pattern,
The attack packet detection pattern is registered.
【0056】そして、たとえば、クラッカ32が、新た
に登録された攻撃パケット検出パターンに適合するパケ
ットをホスト31に対して送信した場合、エッジルータ
11では、上記照合処理によって、ホスト31宛のDo
S攻撃(またはDDoS攻撃)を検出する。Then, for example, when the cracker 32 transmits a packet matching the newly registered attack packet detection pattern to the host 31, the edge router 11 performs the above-mentioned matching process to obtain the Do addressed to the host 31.
Detect S attack (or DDoS attack).
【0057】このように、本実施の形態においては、新
たな攻撃パケット検出パターンが登録されたルータが、
近隣ルータに対して当該攻撃パケット検出パターンを通
知する処理を繰り返し実行し、ネットワーク内の全ての
ルータに対して新たな攻撃パケット検出パターンを通知
する。これにより、DoS攻撃(またはDDoS攻撃)
における攻撃パケットからホストを防御することができ
る。As described above, in this embodiment, the router in which the new attack packet detection pattern is registered is
The process of notifying the neighboring router of the attack packet detection pattern is repeatedly executed to notify all the routers in the network of the new attack packet detection pattern. As a result, DoS attack (or DDoS attack)
Can protect the host from attack packets in.
【0058】なお、本実施の形態では、攻撃パケット検
出パターンの通知を、新たな攻撃パケット検出パターン
が登録されたときに行っているが、これに限らず、定期
的にルータが保持する全攻撃パケット検出パターンを通
知することとしてもよい。これにより、新たなルータが
追加される等、ネットワークシステムの構成に変更が生
じた場合であっても、全ルータで攻撃パケット検出パタ
ーンを共有することができる。In this embodiment, the attack packet detection pattern is notified when a new attack packet detection pattern is registered. However, the present invention is not limited to this, and all attacks held by the router are regularly held. The packet detection pattern may be notified. As a result, even when the configuration of the network system is changed such as the addition of a new router, the attack packet detection pattern can be shared by all the routers.
【0059】また、本実施の形態では、エッジルータ
が、自身で収容するアクセス回線に接続されたホスト宛
のトラフィックを監視することにより、攻撃パケットを
検出しているが、これに限らず、全てのルータでトラフ
ィックを監視してもよい。これにより、攻撃パケットの
送信元に近いルータが攻撃パケットを検出できる。In this embodiment, the edge router detects the attack packet by monitoring the traffic addressed to the host connected to the access line accommodated by itself, but the present invention is not limited to this. You may want to monitor traffic at your router. This allows the router close to the source of the attack packet to detect the attack packet.
【0060】実施の形態6.前述した実施の形態5で
は、新たな攻撃パケット検出パターン登録時に、当該攻
撃パケット検出パターンを「hop-by-hop」に通知するよ
うにした。これに対し、実施の形態6では、攻撃パケッ
ト検出機能を持たないルータが存在するシステムにおい
て、たとえば、攻撃パケット検出機能を持つルータにだ
け攻撃パケット検出パターンを通知する。なお、本実施
の形態におけるネットワークシステムの構成は、前述の
実施の形態1の図1と同様である。Sixth Embodiment In the above-described fifth embodiment, when a new attack packet detection pattern is registered, the attack packet detection pattern is notified to “hop-by-hop”. On the other hand, in the sixth embodiment, in a system including a router having no attack packet detection function, for example, only the router having the attack packet detection function is notified of the attack packet detection pattern. The configuration of the network system in this embodiment is the same as that in FIG. 1 of the first embodiment.
【0061】本実施の形態では、エッジルータに攻撃パ
ケット検出機能を持たせ、コアルータが攻撃パケット検
出機能を持たない場合を想定する。この場合、新たな攻
撃パケット検出パターンが登録されたエッジルータ14
では、攻撃パケット検出機能を持たないコアルータを介
して、エッジルータ11,12,13,15に対して攻
撃パケット検出パターンを通知する。In this embodiment, it is assumed that the edge router has the attack packet detection function and the core router does not have the attack packet detection function. In this case, the edge router 14 in which the new attack packet detection pattern is registered
Then, the attack packet detection pattern is notified to the edge routers 11, 12, 13, and 15 via the core router having no attack packet detection function.
【0062】このように、本実施の形態では、攻撃パケ
ット検出機能を持つルータを使用して、DoS攻撃(ま
たはDDoS攻撃)における攻撃パケットを検出する。
これにより、既存のネットワークシステムに容易に導入
することができる。As described above, in this embodiment, the router having the attack packet detecting function is used to detect the attack packet in the DoS attack (or the DDoS attack).
As a result, it can be easily installed in an existing network system.
【0063】[0063]
【発明の効果】以上、説明したとおり、本発明によれ
ば、まず、DoS攻撃の攻撃対象となるホストのアクセ
ス回線を収容したルータがDoS攻撃を検出し、つぎ
に、当該ルータが近隣ルータに対して攻撃対象ホスト宛
パケットの監視要請を行い、DoS攻撃を検出した近隣
ルータがさらに近隣ルータに対して攻撃対象ホスト宛パ
ケットの監視要請を行い、その後、DoS攻撃を検出し
たルータがつぎつぎと近隣ルータに対して攻撃対象ホス
ト宛パケットの監視要請を行うことによって、攻撃元を
追跡するシステム構成とした。これにより、最終的にD
oS攻撃における攻撃パケットの送信元を特定できる、
という効果を奏する。As described above, according to the present invention, first, the router accommodating the access line of the host that is the target of the DoS attack detects the DoS attack, and then the router becomes the neighboring router. In response, the neighboring router that has detected the DoS attack packet monitoring request further requests the neighboring routers to monitor the attack target host packet, and then the router that has detected the DoS attack successively The system configuration is configured to trace the attack source by requesting the router to monitor the packet addressed to the attack target host. As a result, finally D
The source of the attack packet in the oS attack can be specified,
Has the effect.
【0064】つぎの発明によれば、まず、DDoS攻撃
の攻撃対象となるホストのアクセス回線を収容したルー
タがDDoS攻撃を検出し、つぎに、当該ルータが近隣
ルータに対して攻撃対象ホスト宛パケットの監視要請を
行い、DDoS攻撃を検出した近隣ルータがさらに近隣
ルータに対して攻撃対象ホスト宛パケットの監視要請を
行い、その後、DDoS攻撃を検出したルータがつぎつ
ぎと近隣ルータに対して攻撃対象ホスト宛パケットの監
視要請を行うことによって、攻撃元を追跡するシステム
構成とした。これにより、最終的にDDoS攻撃におけ
る攻撃パケットの複数の送信元を特定できる、という効
果を奏する。According to the next invention, first, the router accommodating the access line of the host to be attacked by the DDoS attack detects the DDoS attack, and then the router sends a packet to the attack target host to the neighboring router. Of the DDoS attack, the neighboring router further requests the neighboring router to monitor the packet addressed to the attack target host, and then the router that detects the DDoS attack successively attacks the neighboring host to the neighboring router. The system was configured to trace the attack source by requesting the monitoring of the packet addressed to it. As a result, it is possible to finally specify a plurality of transmission sources of the attack packet in the DDoS attack.
【0065】つぎの発明によれば、パケット監視機能を
持つルータだけを使用してDoS攻撃における攻撃パケ
ットの送信元を追跡する。これにより、既存のネットワ
ークシステムに容易に導入することができる、という効
果を奏する。According to the next invention, only the router having the packet monitoring function is used to trace the source of the attack packet in the DoS attack. As a result, there is an effect that it can be easily introduced into an existing network system.
【0066】つぎの発明によれば、攻撃パケットの入口
となるエッジルータが攻撃パケットを廃棄する。これに
より、攻撃パケットがコアネットワーク内に中継される
ことがないため、ネットワークシステム全体で攻撃パケ
ットによるリソースの消費量を抑えることができる、と
いう効果を奏する。また、各ユーザからホスト宛のパケ
ットを、攻撃パケットの影響を受けずに中継できる、と
いう効果を奏する。According to the next invention, the edge router serving as the entrance of the attack packet discards the attack packet. As a result, the attack packet is not relayed to the core network, so that the resource consumption of the attack packet can be suppressed in the entire network system. Further, it is possible to relay the packet addressed to the host from each user without being affected by the attack packet.
【0067】つぎの発明によれば、新たな攻撃パケット
検出パターンを登録されたルータが、近隣ルータに対し
て当該攻撃パケット検出パターンを通知する処理を繰り
返し実行し、ネットワーク内の全てのルータに対して新
たな攻撃パケット検出パターンを通知するシステム構成
とした。これにより、DoS攻撃またはDDoS攻撃に
おける新たな攻撃パケットからホストを防御することが
できる、という効果を奏する。According to the next invention, the router in which the new attack packet detection pattern is registered repeatedly executes the processing of notifying the neighboring router of the attack packet detection pattern, and all routers in the network are System configuration to notify the new attack packet detection pattern. As a result, the host can be protected from the DoS attack or a new attack packet in the DDoS attack.
【0068】つぎの発明によれば、攻撃パケット検出機
能を持つルータを使用して、DoS攻撃またはDDoS
攻撃における攻撃パケットを検出する。これにより、既
存のネットワークシステムに容易に導入することができ
る、という効果を奏する。According to the next invention, a DoS attack or DDoS attack is made by using a router having an attack packet detection function.
Detect attack packets in an attack. As a result, there is an effect that it can be easily introduced into an existing network system.
【0069】つぎの発明によれば、定期的にルータが保
持する全攻撃パケット検出パターンを通知する。これに
より、新たなルータが追加される等、ネットワークシス
テムの構成に変更が生じた場合であっても、全ルータで
攻撃パケット検出パターンを共有することができる、と
いう効果を奏する。According to the next invention, all attack packet detection patterns held by the router are periodically notified. As a result, even if the configuration of the network system is changed, such as the addition of a new router, the attack packet detection pattern can be shared by all the routers.
【0070】つぎの発明によれば、全てのルータでトラ
フィックを監視する。これにより、攻撃パケットの送信
元に近いルータが攻撃パケットを検出できる、という効
果を奏する。According to the next invention, all routers monitor the traffic. This has the effect that the router close to the source of the attack packet can detect the attack packet.
【0071】つぎの発明によれば、まず、DoS攻撃の
攻撃対象となるホストのアクセス回線を収容したルータ
がDoS攻撃を検出し、つぎに、当該ルータが近隣ルー
タに対して攻撃対象ホスト宛パケットの監視要請を行
い、DoS攻撃を検出した近隣ルータがさらに近隣ルー
タに対して攻撃対象ホスト宛パケットの監視要請を行
い、その後、DoS攻撃を検出したルータがつぎつぎと
近隣ルータに対して攻撃対象ホスト宛パケットの監視要
請を行うことによって、攻撃元を追跡する。これによ
り、最終的にDoS攻撃における攻撃パケットの送信元
を特定できる、という効果を奏する。According to the next invention, first, the router accommodating the access line of the host which is the target of the DoS attack detects the DoS attack, and then the router sends a packet to the neighboring host to the attack target host. Of the DoS attack is detected by the neighboring router, and the neighboring router further requests the neighboring router to monitor the packet addressed to the attack target host, and then the router that detects the DoS attack successively attacks the neighboring router to the neighboring router. The source of the attack is traced by requesting monitoring of the addressed packet. This has the effect of finally identifying the source of the attack packet in the DoS attack.
【0072】つぎの発明によれば、まず、DDoS攻撃
の攻撃対象となるホストのアクセス回線を収容したルー
タがDDoS攻撃を検出し、つぎに、当該ルータが近隣
ルータに対して攻撃対象ホスト宛パケットの監視要請を
行い、DDoS攻撃を検出した近隣ルータがさらに近隣
ルータに対して攻撃対象ホスト宛パケットの監視要請を
行い、その後、DDoS攻撃を検出したルータがつぎつ
ぎと近隣ルータに対して攻撃対象ホスト宛パケットの監
視要請を行うことによって、攻撃元を追跡する。これに
より、最終的にDDoS攻撃における攻撃パケットの複
数の送信元を特定できる、という効果を奏する。According to the next invention, first, the router accommodating the access line of the host to be attacked by the DDoS attack detects the DDoS attack, and then the router sends a packet to the neighboring host to the attack target host. Of the DDoS attack, the neighboring router further requests the neighboring router to monitor the packet addressed to the attack target host, and then the router that detects the DDoS attack successively attacks the neighboring host to the neighboring router. The source of the attack is traced by requesting monitoring of the addressed packet. As a result, it is possible to finally specify a plurality of transmission sources of the attack packet in the DDoS attack.
【0073】つぎの発明によれば、新たな攻撃パケット
検出パターンを登録されたルータが、近隣ルータに対し
て当該攻撃パケット検出パターンを通知する処理を繰り
返し実行し、ネットワーク内の全てのルータに対して新
たな攻撃パケット検出パターンを通知する。これによ
り、DoS攻撃またはDDoS攻撃における新たな攻撃
パケットからホストを防御することができる、という効
果を奏する。According to the next invention, the router in which the new attack packet detection pattern is registered repeatedly executes the processing of notifying the neighboring router of the attack packet detection pattern to all routers in the network. The new attack packet detection pattern is notified. As a result, the host can be protected from the DoS attack or a new attack packet in the DDoS attack.
【図1】 本発明にかかるネットワークシステムの実施
の形態1,2,5,6の構成を示す図である。FIG. 1 is a diagram showing a configuration of first, second, fifth, and sixth exemplary embodiments of a network system according to the present invention.
【図2】 本発明にかかるネットワークシステムの実施
の形態3,4の構成を示す図である。FIG. 2 is a diagram showing a configuration of third and fourth embodiments of the network system according to the present invention.
1,40 コアネットワーク、11,12,13,1
4,15,41,42,43,44,45,46 エッ
ジルータ、21,22,23,51,52,53,54
コアルータ、31,61,62,63,64 ホス
ト、32 クラッカ、33,34 ユーザ。1,40 Core network, 11, 12, 13, 1
4,15,41,42,43,44,45,46 Edge router 21,22,23,51,52,53,54
Core router, 31, 61, 62, 63, 64 host, 32 cracker, 33, 34 users.
───────────────────────────────────────────────────── フロントページの続き Fターム(参考) 5B089 GA31 HA10 KA17 KB07 KC51 MC08 5K030 GA15 HA08 HC01 HD03 KA01 KA05 KX28 LC13 MA01 MC08 ─────────────────────────────────────────────────── ─── Continued front page F term (reference) 5B089 GA31 HA10 KA17 KB07 KC51 MC08 5K030 GA15 HA08 HC01 HD03 KA01 KA05 KX28 LC13 MA01 MC08
Claims (11)
DoS(Denial ofService)攻撃に対処可能なネットワ
ークシステムにおいて、 相互に連係して、隣接するすべてのルータに対してパケ
ットの監視を要請する複数のルータ、 を備え、 前記監視を要請された各ルータが、特定のビットパター
ンと一致する攻撃パケットを検出することによって、攻
撃パケットの送信元を追跡することを特徴とするネット
ワークシステム。1. In a network system capable of coping with a DoS (Denial of Service) attack targeting a server on the Internet, a plurality of routers which cooperate with each other and request all adjacent routers to monitor a packet. The network system, wherein each router requested to monitor traces the source of the attack packet by detecting the attack packet that matches a specific bit pattern.
DDoS(Distributed Denial of Service)攻撃に対
処可能なネットワークシステムにおいて、 相互に連係して、隣接するすべてのルータに対してパケ
ットの監視を要請する複数のルータ、 を備え、 前記監視を要請された各ルータが、特定のビットパター
ンと一致する攻撃パケットを検出することによって、攻
撃パケットの複数の送信元を追跡することを特徴とする
ネットワークシステム。2. In a network system capable of coping with a DDoS (Distributed Denial of Service) attack targeting a server on the Internet, a plurality of routers cooperating with each other and requesting all adjacent routers to monitor a packet. The network system according to claim 1, wherein each of the routers requested to monitor traces a plurality of sources of attack packets by detecting an attack packet that matches a specific bit pattern.
ト監視機能を持たないルータが混在する場合、パケット
監視機能を持つ全ルータに対してパケットの監視を要請
することを特徴とする請求項1または2に記載のネット
ワークシステム。3. When the routers having the packet monitoring function and the routers not having the packet monitoring function coexist, requesting the packet monitoring to all the routers having the packet monitoring function. The network system described in.
近いルータが、当該攻撃パケットを廃棄することを特徴
とする請求項1、2または3に記載のネットワークシス
テム。4. The network system according to claim 1, wherein the router closest to the source of the detected attack packet discards the attack packet.
DoS(Denial ofService)攻撃およびDDoS(Dist
ributed Denial of Service)攻撃に対処可能なネット
ワークシステムにおいて、 相互に連係して、DoS攻撃およびDDoS攻撃に使用
される新たな攻撃パケットを識別するための特定のビッ
トパターンを交換し、当該特定のビットパターンと一致
する攻撃パケットを検出する複数のルータ、 を備えることを特徴とするネットワークシステム。5. A DoS (Denial of Service) attack targeting a server on the Internet and a DDoS (Dist)
ributed denial of service) In a network system that can cope with an attack, exchange a specific bit pattern for identifying a DoS attack and a new attack packet used for a DDoS attack by cooperating with each other and exchanging the specific bit. A network system comprising: a plurality of routers that detect attack packets that match a pattern.
撃パケット検出機能を持たないルータが混在する場合、
攻撃パケット検出機能を持つ全ルータに対して前記特定
のビットパターンを通知することを特徴とする請求項5
に記載のネットワークシステム。6. When a router having an attack packet detection function and a router having no attack packet detection function coexist,
6. The specific bit pattern is notified to all routers having an attack packet detection function.
The network system described in.
すべてのビットパターンを交換することを特徴とする請
求項5または6に記載のネットワークシステム。7. The network system according to claim 5, wherein each of the routers periodically exchanges all bit patterns held therein.
クを監視することを特徴とする請求項5、6または7に
記載のネットワークシステム。8. The network system according to claim 5, 6 or 7, wherein each of the routers monitors all traffic.
DoS(Denial ofService)攻撃に対処可能なネットワ
ークシステムの攻撃パケット追跡方法において、 複数のルータが、相互に連係して、隣接するすべてのル
ータに対してパケットの監視を要請する監視要請ステッ
プと、 前記監視を要請された各ルータが、特定のビットパター
ンと一致する攻撃パケットを検出することによって、攻
撃パケットの送信元を追跡する送信元追跡ステップと、 を含むことを特徴とする攻撃パケット追跡方法。9. In an attack packet tracing method of a network system capable of dealing with a DoS (Denial of Service) attack targeting a server on the Internet, a plurality of routers cooperate with each other to all adjacent routers. Monitoring request step for requesting packet monitoring by means of a packet, and a source tracking step for tracking the source of the attack packet by each of the routers requested for monitoring detecting an attack packet that matches a specific bit pattern. An attack packet tracking method comprising:
たDDoS(Distributed Denial of Service)攻撃に
対処可能なネットワークシステムの攻撃パケット追跡方
法において、 複数のルータが、相互に連係して、隣接するすべてのル
ータに対してパケットの監視を要請する監視要請ステッ
プと、 前記監視を要請された各ルータが、特定のビットパター
ンと一致する攻撃パケットを検出することによって、攻
撃パケットの複数の送信元を追跡する送信元追跡ステッ
プと、 を含むことを特徴とする攻撃パケット追跡方法。10. In an attack packet tracing method for a network system capable of dealing with a DDoS (Distributed Denial of Service) attack targeting a server on the Internet, a plurality of routers cooperate with each other and all adjacent routers. Monitoring request step for requesting packet monitoring to each of the routers, and each router requested for monitoring detects an attack packet that matches a specific bit pattern, and sends a trace of multiple sources of the attack packet. An attack packet tracking method comprising: a source tracking step.
たDoS(Denial of Service)攻撃およびDDoS(D
istributed Denial of Service)攻撃に対処可能なネッ
トワークシステムの攻撃パケット防御方法において、 複数のルータが、相互に連係して、DoS攻撃およびD
DoS攻撃に使用される新たな攻撃パケットを識別する
ための特定のビットパターンを交換する交換ステップ
と、 当該特定のビットパターンと一致する攻撃パケットを検
出する検出ステップと、 を含むことを特徴とする攻撃パケット防御方法。11. A DoS (Denial of Service) attack and a DDoS (D) targeting a server on the Internet.
In a method of defending an attack packet of a network system capable of dealing with an istributed Denial of Service attack, a plurality of routers cooperate with each other to perform a DoS attack and a D
And a step of exchanging a specific bit pattern for identifying a new attack packet used for the DoS attack, and a step of detecting an attack packet matching the specific bit pattern. Attack packet defense method.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002138187A JP2003333092A (en) | 2002-05-14 | 2002-05-14 | Network system, method of tracing attack packet and method of preventing attack packet |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002138187A JP2003333092A (en) | 2002-05-14 | 2002-05-14 | Network system, method of tracing attack packet and method of preventing attack packet |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003333092A true JP2003333092A (en) | 2003-11-21 |
Family
ID=29699698
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002138187A Pending JP2003333092A (en) | 2002-05-14 | 2002-05-14 | Network system, method of tracing attack packet and method of preventing attack packet |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003333092A (en) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005109797A1 (en) * | 2004-05-12 | 2005-11-17 | Nippon Telegraph And Telephone Corporation | Network attack combating method, network attack combating device and network attack combating program |
| CN100388667C (en) * | 2004-08-27 | 2008-05-14 | 株式会社Ntt都科摩 | Client terminal, service providing device, and service discovery method |
| CN100417090C (en) * | 2005-10-19 | 2008-09-03 | 华为技术有限公司 | Method and system for positioning DoS attack source |
| JP2008278272A (en) * | 2007-04-27 | 2008-11-13 | Kddi Corp | Electronic system, electronic equipment, central apparatus, program, and recording medium |
| JP2009541886A (en) * | 2006-07-05 | 2009-11-26 | ジャンゴ、ネットワークス | How to automatically drive telecommunication networks using local reciprocity of knowledge |
| JP2010283516A (en) * | 2009-06-03 | 2010-12-16 | Nec Infrontia Corp | Service stop attack detection system, network relay device and service stop attack prevention method |
| WO2011034338A2 (en) * | 2009-09-21 | 2011-03-24 | 주식회사 안철수연구소 | Apparatus and method for monitoring packets, and apparatus and method for managing altered data |
| JP2012074867A (en) * | 2010-09-28 | 2012-04-12 | Oki Electric Ind Co Ltd | Traffic monitoring system, traffic monitoring method and network management system |
| US9191396B2 (en) | 2005-09-08 | 2015-11-17 | International Business Machines Corporation | Identifying source of malicious network messages |
-
2002
- 2002-05-14 JP JP2002138187A patent/JP2003333092A/en active Pending
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005109797A1 (en) * | 2004-05-12 | 2005-11-17 | Nippon Telegraph And Telephone Corporation | Network attack combating method, network attack combating device and network attack combating program |
| CN100388667C (en) * | 2004-08-27 | 2008-05-14 | 株式会社Ntt都科摩 | Client terminal, service providing device, and service discovery method |
| US9191396B2 (en) | 2005-09-08 | 2015-11-17 | International Business Machines Corporation | Identifying source of malicious network messages |
| US9455995B2 (en) | 2005-09-08 | 2016-09-27 | International Business Machines Corporation | Identifying source of malicious network messages |
| CN100417090C (en) * | 2005-10-19 | 2008-09-03 | 华为技术有限公司 | Method and system for positioning DoS attack source |
| JP2009541886A (en) * | 2006-07-05 | 2009-11-26 | ジャンゴ、ネットワークス | How to automatically drive telecommunication networks using local reciprocity of knowledge |
| JP2008278272A (en) * | 2007-04-27 | 2008-11-13 | Kddi Corp | Electronic system, electronic equipment, central apparatus, program, and recording medium |
| JP2010283516A (en) * | 2009-06-03 | 2010-12-16 | Nec Infrontia Corp | Service stop attack detection system, network relay device and service stop attack prevention method |
| WO2011034338A2 (en) * | 2009-09-21 | 2011-03-24 | 주식회사 안철수연구소 | Apparatus and method for monitoring packets, and apparatus and method for managing altered data |
| WO2011034338A3 (en) * | 2009-09-21 | 2011-08-04 | 주식회사 안철수연구소 | Apparatus and method for monitoring packets, and apparatus and method for managing altered data |
| KR101066209B1 (en) * | 2009-09-21 | 2011-09-20 | 주식회사 안철수연구소 | Packet monitering apparatus and its method, recording medium having computer program recorded, and forgery data management apparatus and its method |
| JP2012074867A (en) * | 2010-09-28 | 2012-04-12 | Oki Electric Ind Co Ltd | Traffic monitoring system, traffic monitoring method and network management system |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Jin et al. | Hop-count filtering: an effective defense against spoofed DDoS traffic | |
| KR100604604B1 (en) | Method for securing system using server security solution and network security solution, and security system implementing the same | |
| US7120934B2 (en) | System, method and apparatus for detecting, identifying and responding to fraudulent requests on a network | |
| US7757283B2 (en) | System and method for detecting abnormal traffic based on early notification | |
| TWI294726B (en) | ||
| US7478429B2 (en) | Network overload detection and mitigation system and method | |
| US7093294B2 (en) | System and method for detecting and controlling a drone implanted in a network attached device such as a computer | |
| US20060256729A1 (en) | Method and apparatus for identifying and disabling worms in communication networks | |
| US20060143709A1 (en) | Network intrusion prevention | |
| JP7499262B2 (en) | Method, system, and computer-readable medium for dynamically modifying security system entities | |
| JP2004302538A (en) | Network security system and network security management method | |
| US20040250158A1 (en) | System and method for protecting an IP transmission network against the denial of service attacks | |
| JP2004140524A (en) | Method and apparatus for detecting dos attack, and program | |
| JP2003333092A (en) | Network system, method of tracing attack packet and method of preventing attack packet | |
| KR20100066170A (en) | Denial of service prevention method and apparatus based on session state tracking | |
| JP3609382B2 (en) | Distributed denial of service attack prevention method, gate device, communication device, and program | |
| Irum et al. | DDoS detection and prevention in internet of things | |
| WO2005026872A2 (en) | Internal lan perimeter security appliance composed of a pci card and complementary software | |
| KR20170109949A (en) | Method and apparatus for enhancing network security in dynamic network environment | |
| JP4641848B2 (en) | Unauthorized access search method and apparatus | |
| Aroua et al. | A distributed and coordinated massive DDOS attack detection and response approach | |
| JP2003186763A (en) | Detection and prevention method of breaking into computer system | |
| JP2003298628A (en) | Server protection network system, server, and router | |
| JP2011030223A (en) | Flow-based dynamic access control system and method | |
| Gairola et al. | A review on dos and ddos attacks in cloud environment & security solutions |