JP2004248185A - ネットワークベース分散型サービス拒否攻撃防御システムおよび通信装置 - Google Patents
ネットワークベース分散型サービス拒否攻撃防御システムおよび通信装置 Download PDFInfo
- Publication number
- JP2004248185A JP2004248185A JP2003038269A JP2003038269A JP2004248185A JP 2004248185 A JP2004248185 A JP 2004248185A JP 2003038269 A JP2003038269 A JP 2003038269A JP 2003038269 A JP2003038269 A JP 2003038269A JP 2004248185 A JP2004248185 A JP 2004248185A
- Authority
- JP
- Japan
- Prior art keywords
- communication device
- packet
- attack
- routing setting
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】運用中のルータにDDoS攻撃防御機能を盛込む必要の無いDDoS攻撃防御システムを提供する。
【解決手段】通信装置1は、サーバ201宛てのDDoS攻撃被疑パケットの検出と、検出したDDoS攻撃被疑パケットのトラヒックプロファイルの通信装置2への配布と、該トラヒックプロファイルにマッチする通信パケットを通信装置2宛てにルーチングするためのルーチング設定変更指示パケットをエッジルータ101に配布する。通信装置2は、通信装置1から受信したトラヒックプロファイルにマッチする通信パケットを監視して、DDoS攻撃かどうかの判定を行う。攻撃と判定した場合、攻撃元情報の特定を行い、攻撃元情報にマッチする通信パケットを廃棄する。攻撃でないと判定した場合、攻撃でないと判定したトラヒックプロファイルにマッチする通信パケットを通信装置2宛てにルーチングしないようにするためのルーチング設定変更指示パケットをエッジルータに配布する。
【選択図】 図1
【解決手段】通信装置1は、サーバ201宛てのDDoS攻撃被疑パケットの検出と、検出したDDoS攻撃被疑パケットのトラヒックプロファイルの通信装置2への配布と、該トラヒックプロファイルにマッチする通信パケットを通信装置2宛てにルーチングするためのルーチング設定変更指示パケットをエッジルータ101に配布する。通信装置2は、通信装置1から受信したトラヒックプロファイルにマッチする通信パケットを監視して、DDoS攻撃かどうかの判定を行う。攻撃と判定した場合、攻撃元情報の特定を行い、攻撃元情報にマッチする通信パケットを廃棄する。攻撃でないと判定した場合、攻撃でないと判定したトラヒックプロファイルにマッチする通信パケットを通信装置2宛てにルーチングしないようにするためのルーチング設定変更指示パケットをエッジルータに配布する。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
本発明は、IPネットワーク上のサーバを分散型サービス拒否攻撃から防御するために、分散型サービス拒否攻撃を検出し、攻撃パケットを特定し、該パケットを廃棄するネットワークベース分散型サービス拒否攻撃防御システムに関するものである。
【0002】
【従来の技術】
分散型サービス拒否(DDoS, Distributed Denial of Service)攻撃とは、IPネットワーク上の様々な場所に存在する多数の端末から、該IPネットワーク上のウェブサーバなどの特定のサーバに対して、大量の通信パケットを同時に送りつけることにより、送りつけられたサーバがサービス不能になることを狙った攻撃である。具体的な攻撃方法として、大量のTCP(Transmission Control Protocol)SYNパケットを特定のサーバに対して送りつけるTCP SYNフラッド攻撃や、大量のICMP(Internet Control Message Protocol)パケットを特定のサーバに対して送りつけるICMPフラッド攻撃などが知られている。
【0003】
DDoS攻撃を防御するためには、攻撃が発生していることを検出した上で攻撃パケットを特定することにより、該パケットを廃棄する必要がある。一般的に、DDoS攻撃発生の検出は、攻撃防御対象サーバ宛て通信パケットを監視する攻撃検出装置において実施されるが、多数の端末から一斉に攻撃パケットが送りつけられていること、および、DDoS攻撃パケットの送信元アドレスは詐称されている場合があることにより、該攻撃検出装置における通信パケット監視のみで攻撃パケットを特定することは困難である。このため、IPネットワーク上の複数の通信装置が連携動作して攻撃パケットを特定し、該パケットを廃棄する方法がいくつか提案されている。
【0004】
以下に、従来技術を3つ示す。
【0005】
第1の技術は、非特許文献1に記載の方法である。この方法では、DDoS攻撃防御対象サーバを収容するISPエッジルータにおいて該サーバ宛て通信パケットのトラヒック量を観測し、観測値が閾値を越えた場合に攻撃発生と見なし、該攻撃発生検出をトリガとして、ISPエッジルータは、同一ISP内の全ISPエッジルータに対し、該サーバ宛て通信パケットのトラヒック量観測を依頼し、依頼を受けたISPエッジルータが、該サーバ宛て通信パケットのトラヒック量をアクセス回線単位にモニタし、異常が発見された場合にアクセス回線単位に通信パケットのフィルタリングを実施する。これにより、攻撃元に最も近いISPエッジルータにおいて攻撃パケットを廃棄することが可能である。
【0006】
第2の技術は、特許文献1に記載の方法である。この方法では、DDoS攻撃防御用通信装置として、移動型パケットフィルタリングプログラムをインストールしたルータが提案されている。該装置(以下、特許文献[1]通信装置と呼ぶ)は、該装置を通過する通信パケットを監視してDDoS攻撃を検出するトラヒック監視機能部と、攻撃と検出したパケットを破棄する攻撃防御モジュールと、検出をトリガとして、攻撃元に近い別の特許文献[1]通信装置の中でいずれが攻撃元であるかを判断する攻撃元判断機能部を有する。また、特許文献[1]通信装置は、前記機能により攻撃元と判断した別の文献通信装置に対して、攻撃防御モジュールならびに攻撃を検出した攻撃パケット情報を送信する機能を有し、該情報を受信した特許文献[1]通信装置は、受信した該攻撃パケット情報に該当する通信パケットが該装置を通過していることを検知した場合、その旨を送信元の特許文献[1]通信装置に通知するトラヒック検査機能部を有する。これにより、攻撃元に最も近い特許文献[1]通信装置において攻撃パケットを廃棄することが可能である。
【0007】
第3の技術は、特許文献2に記載の方法である。この方法では、自律システムの境界に位置する境界ルータは、不正検出フィルタリング情報に基づいて不正侵入パケットを検出した場合に該パケットを廃棄し、該不正検出フィルタリング情報を同一自律システム内の他のすべての境界ルータ、および、該不正侵入パケットを伝送してきた対向の境界ルータに対して配布する。これにより、攻撃元に最も近い自律システムの境界ルータにおいて攻撃パケットを廃棄することが可能である。
【0008】
【非特許文献1】
2002年電子情報通信学会総合大会B−7−40,“DDoS攻撃対策手法に関する一考察”,金子斉,(2002.9)
【特許文献1】
特開2002−164938,“分散型サービス不能攻撃の防止方法および装置ならびにそのコンピュータプログラム”,エリック・チェン,他,(2002.06.07)
【特許文献2】
特開2002−185539,“不正侵入防御機能を有するIP通信ネットワークシステム”,安藤忠直,他,(2002.06.28)
【0009】
【発明が解決しようとする課題】
上述した従来の方法では、DDoS攻撃パケットを送出する可能性のある端末が広範囲に存在する場合、それに応じて多数のルータにDDoS攻撃防御機能を具備させる必要がある。このため、ISPネットワークなどの大規模なIPネットワークに対して上述した従来技術を適用する場合、運用中のルータに対して新たな機能を盛込む必要があること、および、多数のルータにDDoS攻撃防御機能を具備させるまでに時間がかかる問題がある。
【0010】
本発明の目的は、運用中のISPネットワークなどに対してDDoS攻撃防御システムを容易に構築可能とするために、DDoS攻撃パケットを送出する可能性のある端末の数やその広域性に関わらず、運用中のルータにDDoS攻撃防御機能を盛込む必要の無いDDoS攻撃防御システムおよび通信装置を提供することにある。
【0011】
【課題を解決するための手段】
上記の目的を達成するために、本発明によるDDoS攻撃防御システムは、DDoS攻撃防御対象サーバ宛ての通信パケットを監視してDDoS攻撃被疑パケットを検出する第1の通信装置と、DDoS攻撃判定および攻撃元情報特定を行い攻撃パケットを廃棄する第2の通信装置と、ルータを有する。
【0012】
第1の通信装置は、DDoS攻撃被疑パケットを検出し、該検出パケットのトラヒックプロファイルにマッチする通信パケットを、第2の通信装置宛てにルーチングするようにルーチング設定を変更することをルータに対して指示する。ルータに対する指示を行う部分を切り離して別装置としてもよい。
【0013】
第2の通信装置は、該装置を通過する通信パケットを監視して分散型サービス拒否攻撃かどうかの判定と攻撃元特定を行い、攻撃であると判定した場合に前記攻撃元特定手段により特定された攻撃元情報にマッチする通信パケットを廃棄し、攻撃でないと判定した場合に攻撃でないと判断したトラヒックプロファイルにマッチする通信パケットに対し、第2の通信装置宛てへのルーチングを解除するようにルーチング設定を変更することをルータに対して指示する。ルータに対する指示を行う部分を切り離して別装置としてもよい。
【0014】
第1の通信装置が該装置を通過する通信パケットを監視してDDoS攻撃被疑パケットを検出し、該トラヒックプロファイルにマッチする通信パケットを第2の通信装置宛てにルーチングすることを他のルータに対して指示する。該ルーチング設定指示を受信したルータは該指示どおりルーチング設定を変更する。第2の通信装置は該装置を通過する通信パケットを監視してDDoS攻撃かどうかを判定し、攻撃であると判定した場合、攻撃元情報を特定して攻撃元情報にマッチする通信パケットを廃棄し、攻撃でないと判定した場合、攻撃でないと判定したトラヒックプロファイルにマッチする通信パケットの第2の通信装置宛てへのルーチングを解除するようにルーチング設定を変更することを他のルータに対して指示する。該ルーチング設定指示を受信したルータは該指示どおりルーチング設定を変更する。
【0015】
第1の通信装置によるDDoS攻撃の検出をトリガにルータのルーチング設定が変更され、DDoS攻撃防御対象サーバ宛てのDDoS攻撃被疑パケットが第2の通信装置に集められ、第2の通信装置においてDDoS攻撃かどうかの判定と攻撃元特定を行い、攻撃パケットを廃棄する。このため、ルータに対してDDoS攻撃防御機能を盛込まずにDDoS攻撃防御システムを提供することができる。
【0016】
【発明の実施の形態】
次に、本発明の実施の形態について図面を参照して詳細に説明する。
【0017】
<第1の実施形態>
図1は本発明の第1の実施形態のDDoS攻撃防御システムの構成図である。図1において、ISPネットワークN5は、DDoS攻撃防御対象サーバ201をエッジルータ101を介して収容し、DDoS攻撃端末202,203をそれぞれエッジルータ102,103を介して収容し、正規サービス利用端末204をエッジルータ104を介して収容している。
【0018】
通信装置1は、DDoS攻撃防御対象サーバ201を収容しているエッジルータ101とサーバ201の中間に位置し、該サーバ宛てのDDoS攻撃被疑パケットの検出と、検出したDDoS攻撃被疑パケットのトラヒックプロファイルの通信装置2への配布と、該トラヒックプロファイルにマッチする通信パケットを通信装置2宛てにルーチングするためのルーチング設定変更指示パケットをエッジルータ102、103、および104に配布する。
【0019】
通信装置2は、ISPネットワークN5内に位置し、通信装置1から受信したトラヒックプロファイルにマッチする通信パケットを監視して、DDoS攻撃かどうかの判定を行う。攻撃と判定した場合、攻撃元情報の特定を行い攻撃パケットを廃棄する。攻撃でないと判定した場合、攻撃でないと判定したトラヒックプロファイルにマッチする通信パケットを通信装置2宛てにルーチングしないようにするためのルーチング設定変更指示パケットをエッジルータ102、103、および104に配布する。
【0020】
図2は、図1のシステムにおけるDDoS攻撃防御の処理手順を示している。通信装置1は、DDoS攻撃防御対象サーバ201宛てパケットを監視し(ステップ301)、DDoS攻撃被疑パケットを検出した場合、DDoS攻撃被疑パケットのトラヒックプロファイル、例えば宛先IPアドレスと送信先IPアドレスの組を抽出して(ステップ302,303)、該トラヒックプロファイルを通信装置2宛てに転送するとともに(ステップ304)、該トラヒックプロファイルにマッチする通信パケットを通信装置2宛てにルーチングするためのルーチング設定変更指示パケットをエッジルータ102、103、および104宛てに転送する(ステップ305)。エッジルータ102、103、および104は、受信したルーチング設定変更指示に従い、DDoS攻撃被疑パケットのトラヒックプロファイルにマッチする通信パケットを通信装置2宛てにルーチングするようにルーチング設定を変更する(ステップ306)。通信装置2は、受信したDDoS攻撃被疑パケットのトラヒックプロファイルにマッチする通信パケットを監視してDDoS攻撃かどうかを各トラヒックプロファイルごとに判定し(ステップ307)、攻撃と判定した場合、攻撃と判定したパケットの攻撃元情報を特定して攻撃元情報にマッチする通信パケットを廃棄する(ステップ308,309)。攻撃でないと判定した場合、DDoS攻撃でないと判定したパケットのトラヒックプロファイルに対し、該トラヒックプロファイルにマッチする通信パケットを通信装置2宛てにルーチングしないようにするためのルーチング設定変更指示パケットをエッジルータ102、103、および104宛てに転送する(ステップ311)。エッジルータ102、103、および104は、受信したルーチング設定変更指示に従い、DDoS攻撃被疑パケットのトラヒックプロファイルにマッチする通信パケットを通信装置2宛てにルーチングしないようにルーチング設定を変更する(ステップ312)。
【0021】
次に、図1のシステムにおいて、DDoS攻撃端末202,203がDDoS攻撃防御対象サーバ201に対しDDoS攻撃被疑パケットを送出し、正規サービス利用端末204がDDoS攻撃防御対象サーバ201に対し正当なパケットを送出している場合に対するDDoS攻撃防御の動作を図2に基づいて説明する。
【0022】
通信装置1は、エッジルータ101とサーバ収容IPネットワークN1の間を流れる通信パケットの監視により、DDoS攻撃防御対象サーバ201宛てのDDoS攻撃被疑パケットを検出し、DDoS攻撃防御対象サーバ201宛て通信パケットを通信装置2宛てにルーチングするためのルーチング設定変更指示パケットをエッジルータ102,103,104宛てに転送し、エッジルータ102,103,104は、DDoS攻撃防御対象サーバ201宛て通信パケットを通信装置2宛てにルーチングするようにルーチング設定を変更する。これにより、DDoS攻撃端末202,203および正規サービス利用端末204からDDoS攻撃防御対象サーバ201宛ての通信パケットはすべて通信装置2に集められる。
【0023】
通信装置2は、DDoS攻撃被疑パケットのトラヒックプロファイルとして、DDoS攻撃防御対象サーバ201宛て通信パケットという情報を通信装置1から受信し、DDoS攻撃防御対象サーバ201宛て通信パケットを監視してDDoS攻撃かどうか判定する。該パケットにはDDoS攻撃端末202,203からDDoS攻撃防御対象サーバ201宛ての通信パケットが含まれるため、攻撃であると判定され、攻撃元情報の特定により、DDoS攻撃端末202,203が攻撃元であると特定される。これにより、DDoS攻撃端末202,203からDDoS攻撃防御対象サーバ201宛ての通信パケットが廃棄される。攻撃元と判定されなかった正規サービス利用端末204からDDoS攻撃防御対象サーバ201宛ての通信パケットは廃棄されずに転送されるため、正しくDDoS攻撃防御対象サーバ201まで転送される。
【0024】
攻撃終了時は、通信装置2はDDoS攻撃防御対象サーバ201宛て通信パケットを監視してDDoS攻撃ではないと判定し、DDoS攻撃防御対象サーバ201宛て通信パケットを通信装置2宛てにルーチングしないためのルーチング設定変更指示パケットをエッジルータ102,103,104宛てに転送し、エッジルータ102,103,104は、DDoS攻撃防御対象サーバ201宛て通信パケットを通信装置2宛てにルーチングしないようにルーチング設定を変更する。これにより、DDoS攻撃防御対象サーバ201宛て通信パケットは通信装置2を通らず、元のルートで転送される。
【0025】
図3は、図1に示す通信装置1の一構成例を示している。図3において、ポート11は図1のサーバ収容IPネットワークN1と接続している通信ポートを示し、ポート12は図1のISPネットワークN5と接続している通信ポートを示す。
【0026】
DDoS攻撃被疑パケット検出部13は、IPパケット送受信部18から受信した通信パケットを監視し、DDoS攻撃防御対象サーバ201宛てのDDoS攻撃被疑パケットを検出し、検出時に、該パケットのトラヒックプロファイルを、トラヒックプロファイル配布部14およびルーチング設定変更指示部15に対して通知する。
【0027】
トラヒックプロファイル配布部14は、DDoS攻撃被疑パケット検出部13からDDoS攻撃被疑パケットトラヒックプロファイル受信時、該トラヒックプロファイルを通信装置アドレステーブル16に格納されているアドレスの装置宛てに転送するべく、IPパケット送受信部18に伝達する。
【0028】
ルーチング設定変更指示部15は、DDoS攻撃被疑パケット検出部13からDDoS攻撃被疑パケットトラヒックプロファイル受信時、該トラヒックプロファイルにマッチする通信パケットを通信装置アドレステーブル16に格納されているアドレス宛てにルーチングするためのルーチング設定変更指示パケットを、エッジルータ情報アドレステーブル17に格納されているアドレスの装置宛てに転送するべく、IPパケット送受信部18に伝達する。
【0029】
IPパケット送受信部18は、ポート11から受信した通信パケットをポート12から送出し、ポート12から受信した通信パケットをポート11から送出する。また、IPパケット送受信部18は、ポート11,12から受信した通信パケットをDDoS攻撃被疑パケット検出部13に伝達する。また、IPパケット送受信部18は、トラヒックプロファイル配布部14から受信したトラヒックプロファイル情報パケットおよびルーチング設定変更指示部15から受信したルーチング設定変更指示パケットをポート12から送出する。
【0030】
図4は、図3の通信装置1におけるDDoS攻撃被疑パケット検出時の処理手順である。IPパケット送受信部18が、ポート11から受信した通信パケットをポート12から送出し、ポート12から受信した通信パケットをポート11から送出する(ステップ401)。そしてIPパケット送受信部18が、ポート11,12から受信した通信パケットをDDoS攻撃被疑パケット検出部13に伝達し(ステップ402)、DDoS攻撃被疑パケット検出部13が該通信パケットを監視する(ステップ403)。DDoS攻撃被疑パケットが検出された場合、DDoS攻撃被疑パケット検出部13は、該パケットのトラヒックプロファイルをトラヒックプロファイル配布部14およびルーチング設定変更指示部15に対して通知する(ステップ404〜406)。トラヒックプロファイル配布部14は、DDoS攻撃被疑パケットのトラヒックプロファイルを通信装置アドレステーブル16に格納されているアドレス宛てに転送する(ステップ407)。ルーチング設定変更指示部15は、DDoS攻撃被疑パケットのトラヒックプロファイルにマッチする通信パケットを通信装置アドレステーブル16に格納されているアドレス宛てにルーチングするためのルーチング設定変更指示パケットを生成し(ステップ408)、エッジルータ情報アドレステーブル17に格納されているアドレス宛てに転送する(ステップ409)。IPパケット送受信部18が、ポート12から転送パケットを送出する(ステップ410)。
【0031】
事前設定として、通信装置アドレステーブル16に対して通信装置2のIPアドレスを登録し、エッジルータ情報アドレステーブル17に対してエッジルータ102,103,104のIPアドレスを登録しておくことにより、通信装置1は、検出したDDoS攻撃被疑パケットのトラヒックプロファイルを通信装置2に対して配布し、該トラヒックプロファイルにマッチする通信パケットを通信装置2宛てにルーチングするためのルーチング設定変更指示パケットをエッジルータ102,103,104に配布することができる。
【0032】
図1に示す通信装置1の他の構成例として、図5に示すように、IPパケット送受信部18およびポート11,12を切り離して別装置としてもよい。IPパケット送受信部18を含む装置は、ポートA14をポート11,12のミラーポートと設定したHUBあるいはIPルータで構成できる。また、図5において、ポートA11とA12、ポートA13とA14をそれぞれ統合して1ポートずつとしてもよい。
【0033】
図6は、図1に示す通信装置2の一構成例を示している。図6において、ポート21は図1のISPネットワークN5と接続している通信ポートを示す。
【0034】
トラヒックプロファイル受信部22は、IPパケット送受信部31から受信したトラヒックプロファイルをトラヒックプロファイルテーブル29に登録する。
【0035】
DDoS攻撃判定部24は、IPパケット送受信部31から受信した通信パケットの中で、トラヒックプロファイルテーブル29に格納されたトラヒックプロファイルにマッチする通信パケットを監視してDDoS攻撃かどうかを各トラヒックプロファイルごとに判定する。この時、DDoS攻撃であると判定したトラヒックプロファイルに対して、トラヒックプロファイルテーブル29の該プロファイルエントリに対し、攻撃判定の登録を行う。DDoS攻撃でないと判定したトラヒックプロファイルに対して、トラヒックプロファイルテーブル29の該プロファイルエントリを削除するとともに、該トラヒックプロファイルをルーチング設定変更指示部23に対して伝達する。また、DDoS攻撃判定部24は、IPパケット送受信部31から受信した通信パケットを攻撃元特定部25に転送する。
【0036】
攻撃元特定部25は、DDoS攻撃判定部24から受信した通信パケットの中で、トラヒックプロファイルテーブル29に攻撃判定登録済みのトラヒックプロファイルにマッチする通信パケットに対し、各トラヒックプロファイルごとに攻撃元情報を特定し、攻撃元情報テーブル30に、該攻撃元情報をトラヒックプロファイル単位に登録する。また、攻撃元特定部25は、攻撃元情報テーブル30に登録されている攻撃元情報のうち、トラヒックプロファイルテーブル29に攻撃判定登録済みでないトラヒックプロファイルにマッチする攻撃元情報を削除する。また、攻撃元特定部25は、DDoS攻撃判定部24から受信した通信パケットを攻撃パケットフィルタ部26に転送する。
【0037】
攻撃パケットフィルタ部26は、攻撃元特定部25から受信した通信パケットの中で、トラヒックプロファイルテーブル29に攻撃判定登録済みのトラヒックプロファイルにマッチし、かつ、攻撃元情報テーブル30に登録された攻撃元情報にマッチする通信パケットの廃棄を行い、廃棄されなかった通信パケットをIPパケット送受信部31に転送する。
【0038】
ルーチング設定変更指示部23は、DDoS攻撃判定部24からトラフィックプロファイル受信時、該トラヒックプロファイルにマッチする通信パケットを通信装置アドレステーブル27に格納されているアドレス宛てにルーチングしないようにするためのルーチング設定変更指示パケットを、エッジルータ情報アドレステーブル28に格納されているアドレスの装置宛てに転送するべく、IPパケット送受信部31に伝達する。
【0039】
IPパケット送受信部31は、ポート21から受信した通信パケットをDDoS攻撃判定部24に伝達し、ポート21から受信したトラヒックプロファイルをトラヒックプロファイル受信部22に伝達する。また、IPパケット送受信部31は、攻撃パケットフィルタ部26から受信した通信パケットおよびルーチング設定変更指示部23から受信したルーチング設定変更指示パケットをポート21から送出する。
【0040】
図7は、図6の通信装置におけるDDoS攻撃判定時の処理手順を示している。IPパケット送受信部31において、受信したパケットがトラヒックプロファイルと判定した場合、トラヒックプロファイル受信部22は、該トラヒックプロファイルをトラヒックプロファイルテーブル29に登録する(ステップ501,502)。そうでない場合、DDoS攻撃判定部24において、IPパケット送受信部31から受信した通信パケットに対し、トラヒックプロファイルテーブル29に格納されたトラヒックプロファイルにマッチする通信パケットを監視してDDoS攻撃かどうかを各トラヒックプロファイルごとに判定する(ステップ503)。
【0041】
攻撃であると判定した場合、DDoS攻撃判定部24において、トラヒックプロファイルテーブル29に登録されたエントリの中で、DDoS攻撃であると判定したトラヒックプロファイルに対応するエントリに対し、攻撃判定の登録を行う(ステップ504、505)。次に、攻撃元判定部25において、トラヒックプロファイルテーブル29に攻撃判定登録済みのトラヒックプロファイルにマッチする通信パケットに対し、各トラヒックプロファイルごとに攻撃元情報を特定し、攻撃元情報テーブル30に、該攻撃元情報をトラヒックプロファイル単位に登録する(ステップ506)。次に、攻撃パケットフィルタ部26において、トラヒックプロファイルテーブル29に攻撃判定登録済みのトラヒックプロファイルにマッチし、かつ、攻撃元情報テーブル30に登録された攻撃元情報にマッチする通信パケットを廃棄し(ステップ507)、IPパケット送受信部31がポート21から廃棄されなかった通信パケットを送出する(ステップ513)。
【0042】
攻撃でないと判定した場合、DDoS攻撃判定部24において、DDoS攻撃でないと判定したトラヒックプロファイルをトラヒックプロファイルテーブル29から削除し(ステップ508、509)、攻撃元判定部25において、攻撃元情報テーブル30に登録されている攻撃元情報のうち、トラヒックプロファイルテーブル29に攻撃判定登録済みでないトラヒックプロファイルにマッチする攻撃元情報を削除する(ステップ510)。次に、ルーチング設定変更指示部23は、DDoS攻撃でないと判定したトラヒックプロファイルにマッチする通信パケットを通信装置アドレステーブル16に格納されているアドレス宛てにルーチングするためのルーチング設定変更指示パケットを生成し(ステップ511)、エッジルータ情報アドレステーブル17に格納されているアドレス宛てに転送する(ステップ512)。IPパケット送受信部31が、ポート21から転送パケットを送出する(ステップ513)。
【0043】
事前設定として、通信装置アドレステーブル27に対して通信装置2のIPアドレスを登録し、エッジルータ情報アドレステーブル28に対してエッジルータ102,103,104のIPアドレスを登録しておくことにより、通信装置2は、DDoS攻撃でないと判定したトラヒックプロファイルにマッチする通信パケットを通信装置2宛てにルーチングしないようにするためのルーチング設定変更指示パケットをエッジルータ102,103,104に配布することができる。
【0044】
<第2の実施形態>
本発明の他の実施形態として、その基本的構成は図1の通りであるが、図1の通信装置1と通信装置2のルーチング設定変更指示部を切離して図8に示すように別装置としてもよい。通信装置3が、通信装置1と通信装置2から切り離されたルーチング設定変更指示部を示す。図8に示す通信装置1,2,3の一構成例を図9,10,11にそれぞれ示す。
【0045】
図9の通信装置と図3の通信装置との違いについて説明する。ルーチング設定変更指示パケット配布部A15は、DDoS攻撃被疑パケット検出部13からDDoS攻撃被疑パケットトラヒックプロファイル受信時、該トラヒックプロファイルにマッチする通信パケットを通信装置アドレステーブル16に格納されているアドレス宛てにルーチングするためのルーチング設定変更指示パケットを、通信装置アドレステーブルA16に格納されているアドレスの装置宛てに転送するべく、IPパケット送受信部18に伝達する。
【0046】
図10の通信装置の図6の通信装置との違いについて説明する。ルーチング設定変更指示パケット配布部A23は、DDoS攻撃判定部24からトラヒックプロファイル受信時、該トラヒックプロファイルにマッチする通信パケットを通信装置アドレステーブル27に格納されているアドレス宛てにルーチングしないようにするためのルーチング設定変更指示パケットを、通信装置アドレステーブルA24に格納されているアドレスの装置宛てに転送するべく、IPパケット送受信部31に伝達する。
【0047】
図11において、ポートA31は図1のISPネットワークN5と接続している通信ポートを示す。ルーチング設定変更指示部A32は、ポートA31よりルーチング設定変更指示パケットを受信し、該パケットをエッジルータ情報アドレステーブルA33に格納されているアドレスの装置宛てに転送するべく、ポートA31に伝達する。
【0048】
図9に示す通信装置1の他の構成例として、図5と同様に、IPパケット送受信部18およびポート11,12を切り離して別装置としてもよい。
【0049】
なお、通信装置1,2,3は専用のハードウェアにより実現されるもの以外に、その機能を実現するためのプログラムを、コンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するものであってもよい。コンピュータ読み取り可能な記録媒体とは、フロッピーディスク、光磁気ディスク、CD−ROM等の記録媒体、コンピュータシステムに内蔵されるハードディスク装置等の記憶装置を指す。さらに、コンピュータ読み取り可能な記録媒体は、インターネットを介してプログラムを送信する場合のように、短時間の間、動的にプログラムを保持するもの(伝送媒体もしくは伝送波)、その場合のサーバとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含む。
【0050】
【発明の効果】
以上説明したように、本発明によれば、DDoS攻撃パケットを送出する可能性のある端末の数や広域性に関わらず、運用中のルータにDDoS攻撃防御機能を盛込まず、DDoS攻撃防御システムを提供することができる。このため、ISPネットワークなどの大規模なIPネットワークに対してDDoS攻撃防御システムを容易に導入することができる。
【図面の簡単な説明】
【図1】本発明の第1の実施形態のDDoS攻撃防御システムの構成を示す図である。
【図2】図1のシステムにおけるDDoS攻撃防御の処理手順を示す図である。
【図3】図1の通信装置1の一構成例を示すブロック図である。
【図4】図3の通信装置におけるDDoS攻撃被疑パケット検出時の処理手順を示す図である。
【図5】図1の通信装置1の一構成例を示すブロック図である。
【図6】図1の通信装置2の一構成例を示すブロック図である。
【図7】図6の通信装置におけるDDoS攻撃パケット判定時の処理手順を示す図である。
【図8】本発明の第2の実施形態のDDoS攻撃防御システムの構成を示す図である。
【図9】図8の通信装置1の一構成例を示すブロック図である。
【図10】図8の通信装置2の一構成例を示すブロック図である。
【図11】図8の通信装置3の一構成例を示すブロック図である。
【符号の説明】
1,2,3 通信装置
101,102,103,104 エッジルータ
N1 サーバ収容IPネットワーク
N2,N3,N4 端末収容IPネットワーク
N5 ISPネットワーク
201 DDoS攻撃防御対象サーバ
202,203 DDoS攻撃端末
204 正規サービス利用端末
11,12 ポート
13 DDoS攻撃被疑パケット検出部
14 トラヒックプロファイル配布部
15 ルーチング設定変更指示部
16 通信装置アドレステーブル
17 エッジルータ情報アドレステーブル
18 IPパケット送受信部
A11,A12,A13,A14 ポート
21 ポート
22 トラヒックプロファイル受信部
23 ルーチング設定変更指示部
24 DDoS攻撃判定部
25 攻撃元特定部
26 攻撃パケットフィルタ部
27 通信装置アドレステーブル
28 エッジルータ情報アドレステーブル
29 トラヒックプロファイルテーブル
30 攻撃元情報テーブル
31 IPパケット送受信部
301〜312,401〜410,501〜513 ステップ
A15,A23 ルーチング設定変更指示パケット配布部
A16,A24 通信装置アドレステーブル
A31 ポート
A32 ルーチング設定変更指示部
A33 エッジルータ情報アドレステーブル
【発明の属する技術分野】
本発明は、IPネットワーク上のサーバを分散型サービス拒否攻撃から防御するために、分散型サービス拒否攻撃を検出し、攻撃パケットを特定し、該パケットを廃棄するネットワークベース分散型サービス拒否攻撃防御システムに関するものである。
【0002】
【従来の技術】
分散型サービス拒否(DDoS, Distributed Denial of Service)攻撃とは、IPネットワーク上の様々な場所に存在する多数の端末から、該IPネットワーク上のウェブサーバなどの特定のサーバに対して、大量の通信パケットを同時に送りつけることにより、送りつけられたサーバがサービス不能になることを狙った攻撃である。具体的な攻撃方法として、大量のTCP(Transmission Control Protocol)SYNパケットを特定のサーバに対して送りつけるTCP SYNフラッド攻撃や、大量のICMP(Internet Control Message Protocol)パケットを特定のサーバに対して送りつけるICMPフラッド攻撃などが知られている。
【0003】
DDoS攻撃を防御するためには、攻撃が発生していることを検出した上で攻撃パケットを特定することにより、該パケットを廃棄する必要がある。一般的に、DDoS攻撃発生の検出は、攻撃防御対象サーバ宛て通信パケットを監視する攻撃検出装置において実施されるが、多数の端末から一斉に攻撃パケットが送りつけられていること、および、DDoS攻撃パケットの送信元アドレスは詐称されている場合があることにより、該攻撃検出装置における通信パケット監視のみで攻撃パケットを特定することは困難である。このため、IPネットワーク上の複数の通信装置が連携動作して攻撃パケットを特定し、該パケットを廃棄する方法がいくつか提案されている。
【0004】
以下に、従来技術を3つ示す。
【0005】
第1の技術は、非特許文献1に記載の方法である。この方法では、DDoS攻撃防御対象サーバを収容するISPエッジルータにおいて該サーバ宛て通信パケットのトラヒック量を観測し、観測値が閾値を越えた場合に攻撃発生と見なし、該攻撃発生検出をトリガとして、ISPエッジルータは、同一ISP内の全ISPエッジルータに対し、該サーバ宛て通信パケットのトラヒック量観測を依頼し、依頼を受けたISPエッジルータが、該サーバ宛て通信パケットのトラヒック量をアクセス回線単位にモニタし、異常が発見された場合にアクセス回線単位に通信パケットのフィルタリングを実施する。これにより、攻撃元に最も近いISPエッジルータにおいて攻撃パケットを廃棄することが可能である。
【0006】
第2の技術は、特許文献1に記載の方法である。この方法では、DDoS攻撃防御用通信装置として、移動型パケットフィルタリングプログラムをインストールしたルータが提案されている。該装置(以下、特許文献[1]通信装置と呼ぶ)は、該装置を通過する通信パケットを監視してDDoS攻撃を検出するトラヒック監視機能部と、攻撃と検出したパケットを破棄する攻撃防御モジュールと、検出をトリガとして、攻撃元に近い別の特許文献[1]通信装置の中でいずれが攻撃元であるかを判断する攻撃元判断機能部を有する。また、特許文献[1]通信装置は、前記機能により攻撃元と判断した別の文献通信装置に対して、攻撃防御モジュールならびに攻撃を検出した攻撃パケット情報を送信する機能を有し、該情報を受信した特許文献[1]通信装置は、受信した該攻撃パケット情報に該当する通信パケットが該装置を通過していることを検知した場合、その旨を送信元の特許文献[1]通信装置に通知するトラヒック検査機能部を有する。これにより、攻撃元に最も近い特許文献[1]通信装置において攻撃パケットを廃棄することが可能である。
【0007】
第3の技術は、特許文献2に記載の方法である。この方法では、自律システムの境界に位置する境界ルータは、不正検出フィルタリング情報に基づいて不正侵入パケットを検出した場合に該パケットを廃棄し、該不正検出フィルタリング情報を同一自律システム内の他のすべての境界ルータ、および、該不正侵入パケットを伝送してきた対向の境界ルータに対して配布する。これにより、攻撃元に最も近い自律システムの境界ルータにおいて攻撃パケットを廃棄することが可能である。
【0008】
【非特許文献1】
2002年電子情報通信学会総合大会B−7−40,“DDoS攻撃対策手法に関する一考察”,金子斉,(2002.9)
【特許文献1】
特開2002−164938,“分散型サービス不能攻撃の防止方法および装置ならびにそのコンピュータプログラム”,エリック・チェン,他,(2002.06.07)
【特許文献2】
特開2002−185539,“不正侵入防御機能を有するIP通信ネットワークシステム”,安藤忠直,他,(2002.06.28)
【0009】
【発明が解決しようとする課題】
上述した従来の方法では、DDoS攻撃パケットを送出する可能性のある端末が広範囲に存在する場合、それに応じて多数のルータにDDoS攻撃防御機能を具備させる必要がある。このため、ISPネットワークなどの大規模なIPネットワークに対して上述した従来技術を適用する場合、運用中のルータに対して新たな機能を盛込む必要があること、および、多数のルータにDDoS攻撃防御機能を具備させるまでに時間がかかる問題がある。
【0010】
本発明の目的は、運用中のISPネットワークなどに対してDDoS攻撃防御システムを容易に構築可能とするために、DDoS攻撃パケットを送出する可能性のある端末の数やその広域性に関わらず、運用中のルータにDDoS攻撃防御機能を盛込む必要の無いDDoS攻撃防御システムおよび通信装置を提供することにある。
【0011】
【課題を解決するための手段】
上記の目的を達成するために、本発明によるDDoS攻撃防御システムは、DDoS攻撃防御対象サーバ宛ての通信パケットを監視してDDoS攻撃被疑パケットを検出する第1の通信装置と、DDoS攻撃判定および攻撃元情報特定を行い攻撃パケットを廃棄する第2の通信装置と、ルータを有する。
【0012】
第1の通信装置は、DDoS攻撃被疑パケットを検出し、該検出パケットのトラヒックプロファイルにマッチする通信パケットを、第2の通信装置宛てにルーチングするようにルーチング設定を変更することをルータに対して指示する。ルータに対する指示を行う部分を切り離して別装置としてもよい。
【0013】
第2の通信装置は、該装置を通過する通信パケットを監視して分散型サービス拒否攻撃かどうかの判定と攻撃元特定を行い、攻撃であると判定した場合に前記攻撃元特定手段により特定された攻撃元情報にマッチする通信パケットを廃棄し、攻撃でないと判定した場合に攻撃でないと判断したトラヒックプロファイルにマッチする通信パケットに対し、第2の通信装置宛てへのルーチングを解除するようにルーチング設定を変更することをルータに対して指示する。ルータに対する指示を行う部分を切り離して別装置としてもよい。
【0014】
第1の通信装置が該装置を通過する通信パケットを監視してDDoS攻撃被疑パケットを検出し、該トラヒックプロファイルにマッチする通信パケットを第2の通信装置宛てにルーチングすることを他のルータに対して指示する。該ルーチング設定指示を受信したルータは該指示どおりルーチング設定を変更する。第2の通信装置は該装置を通過する通信パケットを監視してDDoS攻撃かどうかを判定し、攻撃であると判定した場合、攻撃元情報を特定して攻撃元情報にマッチする通信パケットを廃棄し、攻撃でないと判定した場合、攻撃でないと判定したトラヒックプロファイルにマッチする通信パケットの第2の通信装置宛てへのルーチングを解除するようにルーチング設定を変更することを他のルータに対して指示する。該ルーチング設定指示を受信したルータは該指示どおりルーチング設定を変更する。
【0015】
第1の通信装置によるDDoS攻撃の検出をトリガにルータのルーチング設定が変更され、DDoS攻撃防御対象サーバ宛てのDDoS攻撃被疑パケットが第2の通信装置に集められ、第2の通信装置においてDDoS攻撃かどうかの判定と攻撃元特定を行い、攻撃パケットを廃棄する。このため、ルータに対してDDoS攻撃防御機能を盛込まずにDDoS攻撃防御システムを提供することができる。
【0016】
【発明の実施の形態】
次に、本発明の実施の形態について図面を参照して詳細に説明する。
【0017】
<第1の実施形態>
図1は本発明の第1の実施形態のDDoS攻撃防御システムの構成図である。図1において、ISPネットワークN5は、DDoS攻撃防御対象サーバ201をエッジルータ101を介して収容し、DDoS攻撃端末202,203をそれぞれエッジルータ102,103を介して収容し、正規サービス利用端末204をエッジルータ104を介して収容している。
【0018】
通信装置1は、DDoS攻撃防御対象サーバ201を収容しているエッジルータ101とサーバ201の中間に位置し、該サーバ宛てのDDoS攻撃被疑パケットの検出と、検出したDDoS攻撃被疑パケットのトラヒックプロファイルの通信装置2への配布と、該トラヒックプロファイルにマッチする通信パケットを通信装置2宛てにルーチングするためのルーチング設定変更指示パケットをエッジルータ102、103、および104に配布する。
【0019】
通信装置2は、ISPネットワークN5内に位置し、通信装置1から受信したトラヒックプロファイルにマッチする通信パケットを監視して、DDoS攻撃かどうかの判定を行う。攻撃と判定した場合、攻撃元情報の特定を行い攻撃パケットを廃棄する。攻撃でないと判定した場合、攻撃でないと判定したトラヒックプロファイルにマッチする通信パケットを通信装置2宛てにルーチングしないようにするためのルーチング設定変更指示パケットをエッジルータ102、103、および104に配布する。
【0020】
図2は、図1のシステムにおけるDDoS攻撃防御の処理手順を示している。通信装置1は、DDoS攻撃防御対象サーバ201宛てパケットを監視し(ステップ301)、DDoS攻撃被疑パケットを検出した場合、DDoS攻撃被疑パケットのトラヒックプロファイル、例えば宛先IPアドレスと送信先IPアドレスの組を抽出して(ステップ302,303)、該トラヒックプロファイルを通信装置2宛てに転送するとともに(ステップ304)、該トラヒックプロファイルにマッチする通信パケットを通信装置2宛てにルーチングするためのルーチング設定変更指示パケットをエッジルータ102、103、および104宛てに転送する(ステップ305)。エッジルータ102、103、および104は、受信したルーチング設定変更指示に従い、DDoS攻撃被疑パケットのトラヒックプロファイルにマッチする通信パケットを通信装置2宛てにルーチングするようにルーチング設定を変更する(ステップ306)。通信装置2は、受信したDDoS攻撃被疑パケットのトラヒックプロファイルにマッチする通信パケットを監視してDDoS攻撃かどうかを各トラヒックプロファイルごとに判定し(ステップ307)、攻撃と判定した場合、攻撃と判定したパケットの攻撃元情報を特定して攻撃元情報にマッチする通信パケットを廃棄する(ステップ308,309)。攻撃でないと判定した場合、DDoS攻撃でないと判定したパケットのトラヒックプロファイルに対し、該トラヒックプロファイルにマッチする通信パケットを通信装置2宛てにルーチングしないようにするためのルーチング設定変更指示パケットをエッジルータ102、103、および104宛てに転送する(ステップ311)。エッジルータ102、103、および104は、受信したルーチング設定変更指示に従い、DDoS攻撃被疑パケットのトラヒックプロファイルにマッチする通信パケットを通信装置2宛てにルーチングしないようにルーチング設定を変更する(ステップ312)。
【0021】
次に、図1のシステムにおいて、DDoS攻撃端末202,203がDDoS攻撃防御対象サーバ201に対しDDoS攻撃被疑パケットを送出し、正規サービス利用端末204がDDoS攻撃防御対象サーバ201に対し正当なパケットを送出している場合に対するDDoS攻撃防御の動作を図2に基づいて説明する。
【0022】
通信装置1は、エッジルータ101とサーバ収容IPネットワークN1の間を流れる通信パケットの監視により、DDoS攻撃防御対象サーバ201宛てのDDoS攻撃被疑パケットを検出し、DDoS攻撃防御対象サーバ201宛て通信パケットを通信装置2宛てにルーチングするためのルーチング設定変更指示パケットをエッジルータ102,103,104宛てに転送し、エッジルータ102,103,104は、DDoS攻撃防御対象サーバ201宛て通信パケットを通信装置2宛てにルーチングするようにルーチング設定を変更する。これにより、DDoS攻撃端末202,203および正規サービス利用端末204からDDoS攻撃防御対象サーバ201宛ての通信パケットはすべて通信装置2に集められる。
【0023】
通信装置2は、DDoS攻撃被疑パケットのトラヒックプロファイルとして、DDoS攻撃防御対象サーバ201宛て通信パケットという情報を通信装置1から受信し、DDoS攻撃防御対象サーバ201宛て通信パケットを監視してDDoS攻撃かどうか判定する。該パケットにはDDoS攻撃端末202,203からDDoS攻撃防御対象サーバ201宛ての通信パケットが含まれるため、攻撃であると判定され、攻撃元情報の特定により、DDoS攻撃端末202,203が攻撃元であると特定される。これにより、DDoS攻撃端末202,203からDDoS攻撃防御対象サーバ201宛ての通信パケットが廃棄される。攻撃元と判定されなかった正規サービス利用端末204からDDoS攻撃防御対象サーバ201宛ての通信パケットは廃棄されずに転送されるため、正しくDDoS攻撃防御対象サーバ201まで転送される。
【0024】
攻撃終了時は、通信装置2はDDoS攻撃防御対象サーバ201宛て通信パケットを監視してDDoS攻撃ではないと判定し、DDoS攻撃防御対象サーバ201宛て通信パケットを通信装置2宛てにルーチングしないためのルーチング設定変更指示パケットをエッジルータ102,103,104宛てに転送し、エッジルータ102,103,104は、DDoS攻撃防御対象サーバ201宛て通信パケットを通信装置2宛てにルーチングしないようにルーチング設定を変更する。これにより、DDoS攻撃防御対象サーバ201宛て通信パケットは通信装置2を通らず、元のルートで転送される。
【0025】
図3は、図1に示す通信装置1の一構成例を示している。図3において、ポート11は図1のサーバ収容IPネットワークN1と接続している通信ポートを示し、ポート12は図1のISPネットワークN5と接続している通信ポートを示す。
【0026】
DDoS攻撃被疑パケット検出部13は、IPパケット送受信部18から受信した通信パケットを監視し、DDoS攻撃防御対象サーバ201宛てのDDoS攻撃被疑パケットを検出し、検出時に、該パケットのトラヒックプロファイルを、トラヒックプロファイル配布部14およびルーチング設定変更指示部15に対して通知する。
【0027】
トラヒックプロファイル配布部14は、DDoS攻撃被疑パケット検出部13からDDoS攻撃被疑パケットトラヒックプロファイル受信時、該トラヒックプロファイルを通信装置アドレステーブル16に格納されているアドレスの装置宛てに転送するべく、IPパケット送受信部18に伝達する。
【0028】
ルーチング設定変更指示部15は、DDoS攻撃被疑パケット検出部13からDDoS攻撃被疑パケットトラヒックプロファイル受信時、該トラヒックプロファイルにマッチする通信パケットを通信装置アドレステーブル16に格納されているアドレス宛てにルーチングするためのルーチング設定変更指示パケットを、エッジルータ情報アドレステーブル17に格納されているアドレスの装置宛てに転送するべく、IPパケット送受信部18に伝達する。
【0029】
IPパケット送受信部18は、ポート11から受信した通信パケットをポート12から送出し、ポート12から受信した通信パケットをポート11から送出する。また、IPパケット送受信部18は、ポート11,12から受信した通信パケットをDDoS攻撃被疑パケット検出部13に伝達する。また、IPパケット送受信部18は、トラヒックプロファイル配布部14から受信したトラヒックプロファイル情報パケットおよびルーチング設定変更指示部15から受信したルーチング設定変更指示パケットをポート12から送出する。
【0030】
図4は、図3の通信装置1におけるDDoS攻撃被疑パケット検出時の処理手順である。IPパケット送受信部18が、ポート11から受信した通信パケットをポート12から送出し、ポート12から受信した通信パケットをポート11から送出する(ステップ401)。そしてIPパケット送受信部18が、ポート11,12から受信した通信パケットをDDoS攻撃被疑パケット検出部13に伝達し(ステップ402)、DDoS攻撃被疑パケット検出部13が該通信パケットを監視する(ステップ403)。DDoS攻撃被疑パケットが検出された場合、DDoS攻撃被疑パケット検出部13は、該パケットのトラヒックプロファイルをトラヒックプロファイル配布部14およびルーチング設定変更指示部15に対して通知する(ステップ404〜406)。トラヒックプロファイル配布部14は、DDoS攻撃被疑パケットのトラヒックプロファイルを通信装置アドレステーブル16に格納されているアドレス宛てに転送する(ステップ407)。ルーチング設定変更指示部15は、DDoS攻撃被疑パケットのトラヒックプロファイルにマッチする通信パケットを通信装置アドレステーブル16に格納されているアドレス宛てにルーチングするためのルーチング設定変更指示パケットを生成し(ステップ408)、エッジルータ情報アドレステーブル17に格納されているアドレス宛てに転送する(ステップ409)。IPパケット送受信部18が、ポート12から転送パケットを送出する(ステップ410)。
【0031】
事前設定として、通信装置アドレステーブル16に対して通信装置2のIPアドレスを登録し、エッジルータ情報アドレステーブル17に対してエッジルータ102,103,104のIPアドレスを登録しておくことにより、通信装置1は、検出したDDoS攻撃被疑パケットのトラヒックプロファイルを通信装置2に対して配布し、該トラヒックプロファイルにマッチする通信パケットを通信装置2宛てにルーチングするためのルーチング設定変更指示パケットをエッジルータ102,103,104に配布することができる。
【0032】
図1に示す通信装置1の他の構成例として、図5に示すように、IPパケット送受信部18およびポート11,12を切り離して別装置としてもよい。IPパケット送受信部18を含む装置は、ポートA14をポート11,12のミラーポートと設定したHUBあるいはIPルータで構成できる。また、図5において、ポートA11とA12、ポートA13とA14をそれぞれ統合して1ポートずつとしてもよい。
【0033】
図6は、図1に示す通信装置2の一構成例を示している。図6において、ポート21は図1のISPネットワークN5と接続している通信ポートを示す。
【0034】
トラヒックプロファイル受信部22は、IPパケット送受信部31から受信したトラヒックプロファイルをトラヒックプロファイルテーブル29に登録する。
【0035】
DDoS攻撃判定部24は、IPパケット送受信部31から受信した通信パケットの中で、トラヒックプロファイルテーブル29に格納されたトラヒックプロファイルにマッチする通信パケットを監視してDDoS攻撃かどうかを各トラヒックプロファイルごとに判定する。この時、DDoS攻撃であると判定したトラヒックプロファイルに対して、トラヒックプロファイルテーブル29の該プロファイルエントリに対し、攻撃判定の登録を行う。DDoS攻撃でないと判定したトラヒックプロファイルに対して、トラヒックプロファイルテーブル29の該プロファイルエントリを削除するとともに、該トラヒックプロファイルをルーチング設定変更指示部23に対して伝達する。また、DDoS攻撃判定部24は、IPパケット送受信部31から受信した通信パケットを攻撃元特定部25に転送する。
【0036】
攻撃元特定部25は、DDoS攻撃判定部24から受信した通信パケットの中で、トラヒックプロファイルテーブル29に攻撃判定登録済みのトラヒックプロファイルにマッチする通信パケットに対し、各トラヒックプロファイルごとに攻撃元情報を特定し、攻撃元情報テーブル30に、該攻撃元情報をトラヒックプロファイル単位に登録する。また、攻撃元特定部25は、攻撃元情報テーブル30に登録されている攻撃元情報のうち、トラヒックプロファイルテーブル29に攻撃判定登録済みでないトラヒックプロファイルにマッチする攻撃元情報を削除する。また、攻撃元特定部25は、DDoS攻撃判定部24から受信した通信パケットを攻撃パケットフィルタ部26に転送する。
【0037】
攻撃パケットフィルタ部26は、攻撃元特定部25から受信した通信パケットの中で、トラヒックプロファイルテーブル29に攻撃判定登録済みのトラヒックプロファイルにマッチし、かつ、攻撃元情報テーブル30に登録された攻撃元情報にマッチする通信パケットの廃棄を行い、廃棄されなかった通信パケットをIPパケット送受信部31に転送する。
【0038】
ルーチング設定変更指示部23は、DDoS攻撃判定部24からトラフィックプロファイル受信時、該トラヒックプロファイルにマッチする通信パケットを通信装置アドレステーブル27に格納されているアドレス宛てにルーチングしないようにするためのルーチング設定変更指示パケットを、エッジルータ情報アドレステーブル28に格納されているアドレスの装置宛てに転送するべく、IPパケット送受信部31に伝達する。
【0039】
IPパケット送受信部31は、ポート21から受信した通信パケットをDDoS攻撃判定部24に伝達し、ポート21から受信したトラヒックプロファイルをトラヒックプロファイル受信部22に伝達する。また、IPパケット送受信部31は、攻撃パケットフィルタ部26から受信した通信パケットおよびルーチング設定変更指示部23から受信したルーチング設定変更指示パケットをポート21から送出する。
【0040】
図7は、図6の通信装置におけるDDoS攻撃判定時の処理手順を示している。IPパケット送受信部31において、受信したパケットがトラヒックプロファイルと判定した場合、トラヒックプロファイル受信部22は、該トラヒックプロファイルをトラヒックプロファイルテーブル29に登録する(ステップ501,502)。そうでない場合、DDoS攻撃判定部24において、IPパケット送受信部31から受信した通信パケットに対し、トラヒックプロファイルテーブル29に格納されたトラヒックプロファイルにマッチする通信パケットを監視してDDoS攻撃かどうかを各トラヒックプロファイルごとに判定する(ステップ503)。
【0041】
攻撃であると判定した場合、DDoS攻撃判定部24において、トラヒックプロファイルテーブル29に登録されたエントリの中で、DDoS攻撃であると判定したトラヒックプロファイルに対応するエントリに対し、攻撃判定の登録を行う(ステップ504、505)。次に、攻撃元判定部25において、トラヒックプロファイルテーブル29に攻撃判定登録済みのトラヒックプロファイルにマッチする通信パケットに対し、各トラヒックプロファイルごとに攻撃元情報を特定し、攻撃元情報テーブル30に、該攻撃元情報をトラヒックプロファイル単位に登録する(ステップ506)。次に、攻撃パケットフィルタ部26において、トラヒックプロファイルテーブル29に攻撃判定登録済みのトラヒックプロファイルにマッチし、かつ、攻撃元情報テーブル30に登録された攻撃元情報にマッチする通信パケットを廃棄し(ステップ507)、IPパケット送受信部31がポート21から廃棄されなかった通信パケットを送出する(ステップ513)。
【0042】
攻撃でないと判定した場合、DDoS攻撃判定部24において、DDoS攻撃でないと判定したトラヒックプロファイルをトラヒックプロファイルテーブル29から削除し(ステップ508、509)、攻撃元判定部25において、攻撃元情報テーブル30に登録されている攻撃元情報のうち、トラヒックプロファイルテーブル29に攻撃判定登録済みでないトラヒックプロファイルにマッチする攻撃元情報を削除する(ステップ510)。次に、ルーチング設定変更指示部23は、DDoS攻撃でないと判定したトラヒックプロファイルにマッチする通信パケットを通信装置アドレステーブル16に格納されているアドレス宛てにルーチングするためのルーチング設定変更指示パケットを生成し(ステップ511)、エッジルータ情報アドレステーブル17に格納されているアドレス宛てに転送する(ステップ512)。IPパケット送受信部31が、ポート21から転送パケットを送出する(ステップ513)。
【0043】
事前設定として、通信装置アドレステーブル27に対して通信装置2のIPアドレスを登録し、エッジルータ情報アドレステーブル28に対してエッジルータ102,103,104のIPアドレスを登録しておくことにより、通信装置2は、DDoS攻撃でないと判定したトラヒックプロファイルにマッチする通信パケットを通信装置2宛てにルーチングしないようにするためのルーチング設定変更指示パケットをエッジルータ102,103,104に配布することができる。
【0044】
<第2の実施形態>
本発明の他の実施形態として、その基本的構成は図1の通りであるが、図1の通信装置1と通信装置2のルーチング設定変更指示部を切離して図8に示すように別装置としてもよい。通信装置3が、通信装置1と通信装置2から切り離されたルーチング設定変更指示部を示す。図8に示す通信装置1,2,3の一構成例を図9,10,11にそれぞれ示す。
【0045】
図9の通信装置と図3の通信装置との違いについて説明する。ルーチング設定変更指示パケット配布部A15は、DDoS攻撃被疑パケット検出部13からDDoS攻撃被疑パケットトラヒックプロファイル受信時、該トラヒックプロファイルにマッチする通信パケットを通信装置アドレステーブル16に格納されているアドレス宛てにルーチングするためのルーチング設定変更指示パケットを、通信装置アドレステーブルA16に格納されているアドレスの装置宛てに転送するべく、IPパケット送受信部18に伝達する。
【0046】
図10の通信装置の図6の通信装置との違いについて説明する。ルーチング設定変更指示パケット配布部A23は、DDoS攻撃判定部24からトラヒックプロファイル受信時、該トラヒックプロファイルにマッチする通信パケットを通信装置アドレステーブル27に格納されているアドレス宛てにルーチングしないようにするためのルーチング設定変更指示パケットを、通信装置アドレステーブルA24に格納されているアドレスの装置宛てに転送するべく、IPパケット送受信部31に伝達する。
【0047】
図11において、ポートA31は図1のISPネットワークN5と接続している通信ポートを示す。ルーチング設定変更指示部A32は、ポートA31よりルーチング設定変更指示パケットを受信し、該パケットをエッジルータ情報アドレステーブルA33に格納されているアドレスの装置宛てに転送するべく、ポートA31に伝達する。
【0048】
図9に示す通信装置1の他の構成例として、図5と同様に、IPパケット送受信部18およびポート11,12を切り離して別装置としてもよい。
【0049】
なお、通信装置1,2,3は専用のハードウェアにより実現されるもの以外に、その機能を実現するためのプログラムを、コンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するものであってもよい。コンピュータ読み取り可能な記録媒体とは、フロッピーディスク、光磁気ディスク、CD−ROM等の記録媒体、コンピュータシステムに内蔵されるハードディスク装置等の記憶装置を指す。さらに、コンピュータ読み取り可能な記録媒体は、インターネットを介してプログラムを送信する場合のように、短時間の間、動的にプログラムを保持するもの(伝送媒体もしくは伝送波)、その場合のサーバとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含む。
【0050】
【発明の効果】
以上説明したように、本発明によれば、DDoS攻撃パケットを送出する可能性のある端末の数や広域性に関わらず、運用中のルータにDDoS攻撃防御機能を盛込まず、DDoS攻撃防御システムを提供することができる。このため、ISPネットワークなどの大規模なIPネットワークに対してDDoS攻撃防御システムを容易に導入することができる。
【図面の簡単な説明】
【図1】本発明の第1の実施形態のDDoS攻撃防御システムの構成を示す図である。
【図2】図1のシステムにおけるDDoS攻撃防御の処理手順を示す図である。
【図3】図1の通信装置1の一構成例を示すブロック図である。
【図4】図3の通信装置におけるDDoS攻撃被疑パケット検出時の処理手順を示す図である。
【図5】図1の通信装置1の一構成例を示すブロック図である。
【図6】図1の通信装置2の一構成例を示すブロック図である。
【図7】図6の通信装置におけるDDoS攻撃パケット判定時の処理手順を示す図である。
【図8】本発明の第2の実施形態のDDoS攻撃防御システムの構成を示す図である。
【図9】図8の通信装置1の一構成例を示すブロック図である。
【図10】図8の通信装置2の一構成例を示すブロック図である。
【図11】図8の通信装置3の一構成例を示すブロック図である。
【符号の説明】
1,2,3 通信装置
101,102,103,104 エッジルータ
N1 サーバ収容IPネットワーク
N2,N3,N4 端末収容IPネットワーク
N5 ISPネットワーク
201 DDoS攻撃防御対象サーバ
202,203 DDoS攻撃端末
204 正規サービス利用端末
11,12 ポート
13 DDoS攻撃被疑パケット検出部
14 トラヒックプロファイル配布部
15 ルーチング設定変更指示部
16 通信装置アドレステーブル
17 エッジルータ情報アドレステーブル
18 IPパケット送受信部
A11,A12,A13,A14 ポート
21 ポート
22 トラヒックプロファイル受信部
23 ルーチング設定変更指示部
24 DDoS攻撃判定部
25 攻撃元特定部
26 攻撃パケットフィルタ部
27 通信装置アドレステーブル
28 エッジルータ情報アドレステーブル
29 トラヒックプロファイルテーブル
30 攻撃元情報テーブル
31 IPパケット送受信部
301〜312,401〜410,501〜513 ステップ
A15,A23 ルーチング設定変更指示パケット配布部
A16,A24 通信装置アドレステーブル
A31 ポート
A32 ルーチング設定変更指示部
A33 エッジルータ情報アドレステーブル
Claims (12)
- 分散型サービス拒否攻撃防御システムを構成する通信装置であって、該装置を通過する通信パケットを監視して分散型サービス拒否攻撃かどうかを判定する判定手段と、攻撃元特定手段と、前記判定手段によって攻撃であると判定された場合に前記攻撃元特定手段により特定された攻撃元情報にマッチする通信パケットを廃棄するフィルタ手段と、前記判定手段によって攻撃でないと判定された場合に攻撃でないと判定したトラヒックプロファイルにマッチする通信パケットに対し、該通信装置宛てへのルーチングを解除するようにルーチング設定を変更することをルータに対して指示するルーチング設定指示生成手段を有する通信装置。
- 外部の通信装置から受信したトラヒックプロファイルをトラヒックプロファイル格納部に登録するトラヒックプロファイル登録手段をさらに有し、前記判定手段は、該装置を通過する通信パケットのうち、前記トラヒックプロファイル格納部に格納されたトラヒックプロファイルのいずれかにマッチする通信パケットを監視して、分散型サービス拒否攻撃かどうかを各トラヒックプロファイルごとに判定し、前記攻撃元特定手段は、攻撃であると判定された場合に各トラヒックプロファイルごとに攻撃元情報を特定し、前記フィルタ手段は、攻撃であると判定されたトラヒックプロファイルおよび該攻撃元情報にマッチする通信パケットを廃棄する、請求項1に記載の通信装置。
- 前記ルーチング設定指示生成手段によって生成されたルーチング設定指示に従ってルータに対してルーチング設定を実施するルーチング設定変更実施手段をさらに有する、請求項1または2に記載の通信装置。
- 前記ルーチング設定指示生成手段によって生成されたルーチング設定指示の内容を別の通信装置に対して配布するルーチング設定変更指示配布手段をさらに有する、請求項1または2記載の通信装置。
- 分散型サービス拒否攻撃防御システムを構成する通信装置であって、該装置を通過する通信パケットを監視して分散型サービス拒否攻撃被疑パケットを検出する検出手段と、該検出手段によって検出された分散型サービス拒否攻撃被疑パケットのトラヒックプロファイルにマッチする通信パケットを、設定された通信装置宛てにルーチングするようにルーチング設定を変更することをルータに対して指示するルーチング設定指示生成手段を有する通信装置。
- 前記検出手段によって検出された分散型サービス拒否攻撃被疑パケットのトラヒックプロファイルを、請求項1から4までのいずれかに記載の通信装置に対して配布するトラヒックプロファイル配布手段を有する、請求項5に記載の通信装置。
- 前記ルーチング設定指示生成手段によって生成されたルーチング設定支持に従ってルータに対してルーチング設定を実施するルーチング設定変更実施手段をさらに有する、請求項5または6に記載の通信装置。
- 前記ルーチング設定指示生成手段により生成されたルーチング設定指示の内容を別の通信装置に対して配布するルーチング設定変更指示配布手段をさらに有する、請求項5または6に記載の通信装置。
- 請求項1から3のいずれかに記載の通信装置と、請求項5から7のいずれかに記載の通信装置と、ルータを含む分散型サービス拒否攻撃防御システム。
- 請求項1、2、4のいずれかに記載の通信装置と、ルータと、該通信装置のルーチング設定変更指示配布手段によって配布されたルーチング設定指示の内容に従って前記ルータに対してルーチング設定を変更するルーチング設定変更実施手段を有する通信装置と、請求項5から7のいずれかに記載の通信装置とを含む分散型サービス拒否攻撃防御システム。
- 請求項1から3のいずれかに記載の通信装置と、請求項5、6、8のいずれかに記載の通信装置と、ルータと、該通信装置のルーチング設定変更指示配布手段によって配布されたルーチング設定指示の内容に従ってルータに対してルーチング設定を変更するルーチング設定変更実施手段を有する通信装置とを含む分散型サービス拒否攻撃防御システム。
- 請求項1、2、4のいずれかに記載の通信装置と、請求項5、6、8のいずれかに記載の通信装置と、ルータと両通信装置のルーチング設定変更指示配布手段によって配布されたルーチング設定指示の内容に従って前記ルータに対してルーチング設定を変更するルーチング設定変更実施手段を有する通信装置とを含む分散型サービス拒否攻撃防御システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003038269A JP2004248185A (ja) | 2003-02-17 | 2003-02-17 | ネットワークベース分散型サービス拒否攻撃防御システムおよび通信装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003038269A JP2004248185A (ja) | 2003-02-17 | 2003-02-17 | ネットワークベース分散型サービス拒否攻撃防御システムおよび通信装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004248185A true JP2004248185A (ja) | 2004-09-02 |
Family
ID=33022845
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003038269A Pending JP2004248185A (ja) | 2003-02-17 | 2003-02-17 | ネットワークベース分散型サービス拒否攻撃防御システムおよび通信装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004248185A (ja) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006165910A (ja) * | 2004-12-06 | 2006-06-22 | Mitsubishi Electric Corp | 不正侵入検知システム、不正侵入検知装置および管理装置 |
| JP2006311048A (ja) * | 2005-04-27 | 2006-11-09 | Nec Corp | 帯域制御装置 |
| JP2007006490A (ja) * | 2005-06-21 | 2007-01-11 | Avaya Technology Llc | 通信機器に対するサービス拒否攻撃を緩和するためのシステムおよび方法 |
| WO2009064114A2 (en) * | 2007-11-12 | 2009-05-22 | Ahnlab., Inc. | Protection method and system for distributed denial of service attack |
| JP2011045056A (ja) * | 2009-08-19 | 2011-03-03 | Avaya Inc | コール・トレーシングの向上方法 |
| US8149705B2 (en) | 2006-01-10 | 2012-04-03 | Alaxala Networks Corporation | Packet communications unit |
| US8302179B2 (en) | 2006-12-13 | 2012-10-30 | Avaya Inc. | Embedded firewall at a telecommunications endpoint |
| US8510822B2 (en) | 2007-03-08 | 2013-08-13 | Nec Corporation | Communication system, reliable communication mechanism, and communication method used for the same |
| JP2018191268A (ja) * | 2017-04-28 | 2018-11-29 | エーオー カスペルスキー ラボAO Kaspersky Lab | DDoS攻撃の検出時のトラフィックフィルタリングのシステムおよび方法 |
| US20210067490A1 (en) * | 2019-08-30 | 2021-03-04 | Fujitsu Limited | Network management device, method for managing network, and network system |
-
2003
- 2003-02-17 JP JP2003038269A patent/JP2004248185A/ja active Pending
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006165910A (ja) * | 2004-12-06 | 2006-06-22 | Mitsubishi Electric Corp | 不正侵入検知システム、不正侵入検知装置および管理装置 |
| JP2006311048A (ja) * | 2005-04-27 | 2006-11-09 | Nec Corp | 帯域制御装置 |
| JP4535275B2 (ja) * | 2005-04-27 | 2010-09-01 | 日本電気株式会社 | 帯域制御装置 |
| JP4638839B2 (ja) * | 2005-06-21 | 2011-02-23 | アバイア テクノロジー エルエルシー | 通信機器に対するサービス拒否攻撃を緩和するためのシステムおよび方法 |
| JP2007006490A (ja) * | 2005-06-21 | 2007-01-11 | Avaya Technology Llc | 通信機器に対するサービス拒否攻撃を緩和するためのシステムおよび方法 |
| US8149705B2 (en) | 2006-01-10 | 2012-04-03 | Alaxala Networks Corporation | Packet communications unit |
| US8302179B2 (en) | 2006-12-13 | 2012-10-30 | Avaya Inc. | Embedded firewall at a telecommunications endpoint |
| US8510822B2 (en) | 2007-03-08 | 2013-08-13 | Nec Corporation | Communication system, reliable communication mechanism, and communication method used for the same |
| WO2009064114A3 (en) * | 2007-11-12 | 2009-07-02 | Ahnlab Inc | Protection method and system for distributed denial of service attack |
| WO2009064114A2 (en) * | 2007-11-12 | 2009-05-22 | Ahnlab., Inc. | Protection method and system for distributed denial of service attack |
| JP2011045056A (ja) * | 2009-08-19 | 2011-03-03 | Avaya Inc | コール・トレーシングの向上方法 |
| JP2018191268A (ja) * | 2017-04-28 | 2018-11-29 | エーオー カスペルスキー ラボAO Kaspersky Lab | DDoS攻撃の検出時のトラフィックフィルタリングのシステムおよび方法 |
| US10693907B2 (en) | 2017-04-28 | 2020-06-23 | AO Kaspersky Lab | System and method of traffic filtering upon detection of a DDoS attack |
| US11025667B2 (en) | 2017-04-28 | 2021-06-01 | AO Kaspersky Lab | System and method for applying a plurality of interconnected filters to protect a computing device from a distributed denial-of-service attack |
| US20210067490A1 (en) * | 2019-08-30 | 2021-03-04 | Fujitsu Limited | Network management device, method for managing network, and network system |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2612488B1 (en) | Detecting botnets | |
| US8156557B2 (en) | Protection against reflection distributed denial of service attacks | |
| JP5524737B2 (ja) | 偽装されたネットワーク情報を検出する方法および装置 | |
| JP5826920B2 (ja) | 遮断サーバを用いたスプーフィング攻撃に対する防御方法 | |
| US20060212572A1 (en) | Protecting against malicious traffic | |
| JP2006352274A (ja) | フレーム転送制御装置、DoS攻撃防御装置およびDoS攻撃防御システム | |
| WO2002025402A2 (en) | Systems and methods that protect networks and devices against denial of service attacks | |
| JP2004248185A (ja) | ネットワークベース分散型サービス拒否攻撃防御システムおよび通信装置 | |
| WO2003050644A2 (en) | Protecting against malicious traffic | |
| EP1461704B1 (en) | Protecting against malicious traffic | |
| JP2010193083A (ja) | 通信システムおよび通信方法 | |
| JP2006067078A (ja) | ネットワークシステムおよび攻撃防御方法 | |
| JP4641848B2 (ja) | 不正アクセス探索方法及び装置 | |
| KR20170109949A (ko) | 동적 네트워크 환경에서의 네트워크 보안 강화 방법 및 장치 | |
| JP2004164107A (ja) | 不正アクセス監視システム | |
| KR20100048105A (ko) | 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체 | |
| JP3784799B2 (ja) | 攻撃パケット防御システム | |
| JP4326423B2 (ja) | 管理装置および不正アクセス防御システム | |
| JP2006325091A (ja) | ネットワーク攻撃防御システム | |
| EP3270569B1 (en) | Network protection entity and method for protecting a communication network against malformed data packets | |
| JP2003298628A (ja) | サーバ保護ネットワークシステム、サーバおよびルータ | |
| KR101080734B1 (ko) | 스푸핑 방지 방법 및 장치 | |
| JP2008028720A (ja) | 送信元ipアドレス詐称ipパケットを制御可能なipネットワーク装置および送信元ipアドレス詐称ipパケット制御方法 | |
| KR20090132787A (ko) | 소스 주소 이상 트래픽 차단 시스템 및 방법 | |
| JP2005130190A (ja) | 攻撃パケット防御システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20050614 |