JP2004248198A - Dos attack prevention method and apparatus - Google Patents

Dos attack prevention method and apparatus Download PDF

Info

Publication number
JP2004248198A
JP2004248198A JP2003038454A JP2003038454A JP2004248198A JP 2004248198 A JP2004248198 A JP 2004248198A JP 2003038454 A JP2003038454 A JP 2003038454A JP 2003038454 A JP2003038454 A JP 2003038454A JP 2004248198 A JP2004248198 A JP 2004248198A
Authority
JP
Japan
Prior art keywords
packet
packets
memory
received
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2003038454A
Other languages
Japanese (ja)
Inventor
Masahiro Takahashi
正宏 高橋
Toshio Shimoe
敏夫 下江
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2003038454A priority Critical patent/JP2004248198A/en
Publication of JP2004248198A publication Critical patent/JP2004248198A/en
Withdrawn legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a DoS attack prevention method and apparatus in which a packet processor to be protected can continuously work without incurring system down even when the packet processor is applied with DoS attack of sending a large quantity of packets within a short time not to be normally functioned. <P>SOLUTION: When packet storage capacitance of a memory for temporarily storing packets to be processed by the packet processor to be protected is less than a predetermined threshold set not to exceed a throughput limit of the packet processor, all received packets are stored in the memory but when the quantity of stored packets is equal with or more than the predetermined threshold, the received packets are discarded on the basis of predetermined thinning conditions corresponding to the throughput, and only the received packets which are not discarded, are stored in the memory. <P>COPYRIGHT: (C)2004,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明は、DoS攻撃防御方法及び装置に関し、特にパケット処理装置が正常に機能することを妨げるように大量のパケットを短時間に送信するようなDoS攻撃に対する防御方法及び装置に関する。
【0002】
【従来の技術】
従来より、自己の装置を外部からの不正アクセスから保護するためには、ファイアウォールが使われて来た。ファイアウォールは、インターネットのような公のネットワークと自己のネットワークとの境界に設置する装置であり、▲1▼侵入してくるパケットに対して送信元IPアドレスや、トランスポート層に属するプロトコルの種類(TCP,UDP等)やポート番号をキーとして、設定したものを通さない(あるいは設定したもののみを通す)ようにするものや、▲2▼NAT(NetworkAddress Translator)機能を持ち、自己のネットワーク内の装置のIPアドレスを外部に見せないようにするものが知られている。
【0003】
上記▲1▼のようなファイアウォールを設置すれば、プロトコルやポート番号を指定することにより自己が必要とするパケットのみを通過させることができる。また、悪意があると判断した装置のIPアドレスを指定することによりそのIPアドレスを持つ装置からのアクセスを拒絶したり、逆にアクセスを許可した装置のIPアドレスのみ指定することにより素性の知れない他者からのアクセスから自己の装置を防御することができる。
【0004】
また、上記▲2▼のようなファイアウォールでは、NAT機能により攻撃対象の装置のIPアドレスを隠蔽することが可能であるため、不正アクセスから自己の装置を防御することができる。
上記のファイアウォールの例として、不正侵入の検知をパケットから判断し、不正侵入が有った場合、不正侵入を防止する対策を取る侵入検知装置(例えば、特許文献1参照。)がある。
【0005】
また、複数の送信元から攻撃対象の送信先へ一斉にパケットを送信するDDos(Distributed−denial of service)攻撃などの不正アクセスの侵入を自動的かつ高精度に検出できる侵入検出装置(例えば、特許文献2参照。)もある。
さらには、外部ネットワークから企業内情報ネットワークへの不正アクセスを検出し、不正パケットの送信元探知を可能とするネットワーク監視システム(例えば、特許文献3参照。)もある。
【0006】
【特許文献1】
特開2002−73433号公報(要約、図4)
【0007】
【特許文献2】
特開2002−252654号公報(要約、図7)
【0008】
【特許文献3】
特開2000−261483号公報(要約、図1)
【0009】
【発明が解決しようとする課題】
上記の従来のファイアウォールにおいて、IPアドレスやトランスポート層に属するプロトコルの種類(TCP,UDP等)やポート番号をキーとしてフィルタリングする機能や、不正アクセスを検知又は検出する機能は、不正アクセスの攻撃パターンを想定した対処療法的な防御である。従って、将来、新しい攻撃パターンが出てきた際に防御し切れないことが予想され、対応が後手に回る可能性がある。
【0010】
また、NAT機能を用いた自己のIPアドレスを隠蔽することは、攻撃そのものをなくすことができ大変有効であるが、例えば、モバイルIP(MobileIP)を実現するシステムを構成する装置の1つであるホームエージェントのように、外部からアクセスされることが本来の機能実現に必要であるような装置ではNAT機能は使用できない。
【0011】
一般的なホームエージェントは、モバイルノードと呼ばれる移動端末より定期的に送られてくる位置情報を蓄積し、モバイルノードの本来の位置(ホームアドレス(Home Address)と呼ばれる)に送られて来たパケットを取り込み、現在のモバイルノードの位置(気付アドレス(Care ofAddress)と呼ばれる)に転送して受信できるようにする機能を持つ。
【0012】
このように、ホームエージェントにおいては、モバイルノードからの位置情報を受取ること、すなわち外部から自身宛に送信されたパケットを受信することが機能を満たす上で必須であることから、外部からの攻撃については十分考慮する必要がある。
【0013】
ホームエージェントにファイアウォールを用いる場合、まず一方では、IPアドレスを指定してガードを掛けることについて、以下のような問題が考えられる。
(1)ホームエージェントとして、サービス対象の装置からのパケットは受信できることを保証しなければならないため、例えばキャリアがモバイルIPサービスを実施したような場合、顧客として登録されたIPアドレスについては、その顧客が悪意のあるユーザであることが判明するまでは受信しなければならない。このため、異常なパケットを送付することによりその顧客が悪意のあるユーザであると判明した時点では、既にシステムダウンが引き起こされている可能性がある。
【0014】
(2)また、善良な顧客のIPアドレスであっても、装置の誤作動や誤設定により必要なパケットに混じって不要なパケットが送出されてしまう可能性があるが、この場合には、IPアドレスを指定して全てのパケットを遮断してしまうのは過剰防御となる可能性がある。
【0015】
(3)また、複数の装置が共謀して不要なパケットを大量に送り付けるような、上記のDDos攻撃を受けた場合にはIPアドレスをキーにした防御方法では対処しきれない可能性がある。
また、他方では、ホームエージェントに対して上記のファイアウォールにおける、IPアドレスやトランスポート層に属するプロトコルの種類(TCP,UDP等)やポート番号をキーとして、フィルタリングする機能についてはある程度有効であり、通常のサーバに対する攻撃と同程度の攻撃に対しては防御機能を働かせることができる。
【0016】
しかしながら、ホームエージェントにおいては、少なくともモバイルノードが位置情報を報告するパケットについては受信することが必要であるため、このようなパケットについては、プロトコルやポート番号を指定してガードをかけることができない。従って、ガードが掛かっていないプロトコルやポート番号を使用して不正アクセスが行われる可能性が高い。
【0017】
すなわち、ホームエージェントは、DoS(Denial of Service)攻撃と呼ばれる、ある種のパケットを大量に送り付けることによって攻撃対象の装置が正常に機能することを妨害するような攻撃について、防御力が特に弱いと言える。
DoS攻撃をしかける攻撃者の目的が攻撃対象の装置のシステムダウンであることを考慮すると、逆に、攻撃を受ける側はシステムダウンの防止が最重要課題である。
【0018】
従って、本発明は、パケット処理装置が正常に機能しないように大量のパケットを短時間に送り付けるようなDoS攻撃を受けても、防御対象のパケット処理装置がシステムダウンを起こすことなく稼動し続けることが可能なDoS攻撃防御方法及び装置を提供すること目的とする。
【0019】
【課題を解決するための手段】
上記の目的を達成するため、本発明に係るDoS攻撃防御方法は、防御対象のパケット処理装置が処理すべきパケットを一時的に蓄積するためのメモリのパケット蓄積量が、該パケット処理装置の処理能力の限界を越えないように設定された所定の閾値未満であるか否かを監視する第1ステップと、該パケット蓄積量が該所定の閾値未満であるときは、受信パケットを全て該メモリに蓄積する第2ステップと、該パケット蓄積量が該所定の閾値以上であるときは、該処理能力に応じた所定の間引条件に基づいて該受信パケットを破棄し、破棄しなかった該受信パケットのみを該メモリに蓄積する第3ステップと、を備えたことを特徴としている。
【0020】
すなわち、防御対象のパケット処理装置が処理すべきパケットを一時的に蓄積するためのメモリのパケット蓄積量について、該パケット処理装置の処理能力の限界を越えないように所定の閾値を定めておくことにより、該パケット蓄積量が該所定の閾値未満であるか否かを第1ステップで監視する。該第1ステップによる監視の結果、該パケット蓄積量が該所定の閾値未満であるときは、第2ステップにより全ての受信パケットが該メモリに蓄積され、該パケット蓄積量が該所定の閾値以上であるときは、第3ステップにより、所定の間引条件に基づいて該受信パケットが破棄され、破棄されなかった該受信パケットのみが該メモリに蓄積される。
【0021】
該メモリのパケット蓄積量が該所定の閾値以上となる状態は、防御対象のパケット処理装置の処理能力の限界が近いこと、すなわち、システムダウンの危険性が高まっていることを意味する。このような状況においては、所定の間引条件に基づいて、該処理能力に見合った量に相当する一部のパケットのみ該メモリに蓄積するため、防御対象のパケット処理装置の処理能力の限界を超える量のパケットを受信することを防止することができる。
【0022】
従って、悪意のあるユーザからの意図的なDoS攻撃ばかりでなく、誤動作や誤設定に起因して実質的にDoS攻撃と同様な影響を及ぼす可能性のあるパケットの大量流入(頻度異常)に対し、該パケット処理装置のシステムダウンを回避することが可能となる。
【0023】
また、上記のDoS攻撃防御方法は、防御対象のパケット処理装置が処理すべきパケットを一時的に蓄積するためのメモリにおける該パケットの全送信元アドレスのパケット蓄積量が、該パケット処理装置の処理能力の限界を越えないように各送信元アドレス毎のパケット蓄積量に対して設定された所定の閾値未満であるか否かを監視する第1ステップと、該所定の閾値未満になっている該パケット蓄積量に対応した送信元アドレスからの受信パケットを全て該メモリに蓄積する第2ステップと、該所定の閾値以上になっている該パケット蓄積量に対応した送信元アドレスからの受信パケットを、該処理能力に応じた所定の間引条件に基づいて破棄し、破棄しなかった該受信パケットのみを該メモリに蓄積する第3ステップと、を備えてもよい。
【0024】
すなわち、防御対象のパケット処理装置が処理すべきパケットを一時的に蓄積するためのメモリのパケット蓄積量について、該パケット処理装置の処理能力の限界を越えないように各送信元アドレス毎のパケット蓄積量に対して所定の閾値を定めておくことにより、該パケットの全送信元アドレスのパケット蓄積量が該所定の閾値未満であるか否かを第1ステップで監視する。
【0025】
該第1ステップによる監視の結果、該パケット蓄積量が該所定の閾値未満になっている送信元アドレスからの全ての受信パケットは、第2ステップにより該メモリに蓄積され、該パケット蓄積量が該所定の閾値以上になっている送信元アドレスからの受信パケットは、第3ステップにより所定の間引条件に基づいて破棄され、破棄されなかった該受信パケットのみが該メモリに蓄積される。
【0026】
このように、間引き処理の対象を、パケット蓄積量が所定の閾値以上になっている送信元アドレスからの受信パケットに限定すれば、該パケット処理装置のシステムダウンを回避しつつ、正常な受信パケットを間引いてしまうことの弊害を低減することができる。
【0027】
また、上記の所定の間引条件は、蓄積すべきパケット量の受信パケット量に対する比率を該パケット処理装置の処理能力に応じて定めたものでもよい。
すなわち、該所定の間引条件は、受信パケット量と蓄積するべきパケット量の比率を、例えば5:1とする。
【0028】
この比率の求め方は、パケット処理装置の処理能力をA(パケット/秒)、受信パケットの最大受信量をB(パケット/秒)、メモリに蓄積されるパケット量をB’(パケット/秒)としたとき、B’<Aとなるように定めればよい。
例えば、受信パケットC個につき1個だけメモリに蓄積する場合、B/C=B’であるので、B/C<Aとなり、C>B/Aとなるような値を設定すればよい。
【0029】
これにより、受信パケットが一定の割合で間引かれ、防御すべきパケット処理装置の処理能力に見合った量のパケットだけがメモリに蓄積されるため、システムダウンを回避することができる。
また、上記の所定の間引条件は、1回に該メモリへの蓄積を許可するパケット量と該蓄積の許可を与える時間間隔とを該パケット処理装置の処理能力に応じて定めたものでもよい。
【0030】
すなわち、該所定の間引条件は、1回に該メモリへの蓄積を許可するパケット量を例えば1個に定め、該蓄積の許可を与える時間間隔を例えば100msecに定めたものである。
この場合、時間間隔をD(秒)、一回に許可するパケット量をE(個)とすると、メモリに蓄積されるパケット量B’=E/Dであるので、E/D<Aとなるような値を設定すればよい。
【0031】
これにより、受信したパケットが一定の時間間隔で間引かれ、防御すべきパケット処理装置の処理能力に見合った量のパケットだけがメモリに蓄積されるため、システムダウンを回避することができる。
また、上記の所定の間引条件は、所定のセキュリティ機能によって保護されたパケットのみの蓄積を許可するように定めたものでもよい。
【0032】
すなわち、該所定の間引条件は、例えばIPSecのような所定のセキュリティ機能によって保護されたパケットのみの蓄積を許可するように定めたものである。
これにより、所定のセキュリティ機能によって保護されているか否かの条件に基づいて受信したパケットが間引かれ、防御すべきパケット処理装置の処理能力に見合った量のパケットだけがメモリに蓄積されるため、システムダウンを回避することができる。
【0033】
また、上記所定の間引条件が、該受信パケットを全て破棄するという条件であってもよい。
すなわち、上記の第3ステップでは、該閾値以上になっている該パケット蓄積量に対応した送信元アドレスからの全受信パケットを破棄する。
【0034】
このように、DoS攻撃をしかけた送信元アドレスからのパケットを全て破棄するという比較的単純な間引き条件によって、システムダウンを回避することができる。
また、上記の目的を達成するため、本発明に係るDoS攻撃防御装置は、防御すべきパケット処理装置が処理すべきパケットを一時的にメモリに蓄積するパケット蓄積部と、該メモリのパケット蓄積量が該パケット処理装置の処理能力の限界を越えないように設定された所定の閾値未満であるか否かを監視する蓄積量監視部と、該パケット蓄積量が該所定の閾値未満であるときは、受信パケットを全て該メモリに蓄積するように判定すると共に、該パケット蓄積量が該所定の閾値以上であるときは、該処理能力に応じた所定の間引条件に基づいて該受信パケットを破棄し、破棄しなかった該受信パケットのみを該メモリに蓄積するように判定するパケット判定部と、を備えたことを特徴としている。
【0035】
図1は、本発明に係るDoS攻撃防御装置の原理を説明するための図であり、ホームエージェント100のパケット処理部40を防御するために図示の如く配置されたパケット蓄積部10、蓄積量監視部20、及びパケット判定部30が本発明に係るDoS攻撃防御装置を構成している。
【0036】
すなわち、パケット蓄積部10は、防御すべきパケット処理装置(同図の例ではパケット処理部40)が処理すべきパケットを一時的にメモリ(図示せず)に蓄積する。蓄積量監視部20は、該パケット蓄積部10がメモリに蓄積したパケット蓄積量を該パケット処理装置の処理能力の限界を越えないように設定された所定の閾値と比較することによって監視する。
【0037】
また、パケット判定部30は、受信パケットをメモリに蓄積すべきか破棄すべきかを判定するものであり、該パケット蓄積量が該所定の閾値未満であるときは、全ての受信パケットを該メモリに蓄積するように判定すると共に、該パケット蓄積量が該所定の閾値以上であるときは、該処理能力に応じた所定の間引条件に基づいて該受信パケットを破棄し、破棄しなかった該受信パケットのみを該メモリに蓄積するように判定する。
【0038】
これにより、該パケット蓄積量が該所定の閾値以上となる状態においては、所定の間引条件に基づいて、該処理能力に見合った量に相当する一部のパケットのみ該メモリに蓄積するため、防御対象のパケット処理装置の処理能力の限界を超える量のパケットを受信することを防止することができる。
【0039】
従って、悪意のあるユーザからの意図的なDoS攻撃ばかりでなく、誤動作や誤設定に起因して実質的にDoS攻撃と同様な影響を及ぼす可能性のあるパケットの大量流入(頻度異常)に対し、該パケット処理装置のシステムダウンを回避することが可能となる。
【0040】
また、上記のDoS攻撃防御装置は、防御すべきパケット処理装置が処理すべきパケットを一時的にメモリに蓄積するパケット蓄積部と、該メモリにおける該パケットの全送信元アドレスのパケット蓄積量が、該パケット処理装置の処理能力の限界を越えないように各送信元アドレスのパケット蓄積量に対して設定された所定の閾値未満であるか否かを監視する蓄積量監視部と、該所定の閾値未満になっている該パケット蓄積量に対応した送信元アドレスからの受信パケットを全て該メモリに蓄積するように判定すると共に、該所定の閾値以上になっている該パケット蓄積量に対応した送信元アドレスからの受信パケットを、該処理能力に応じた所定の間引条件に基づいて破棄し、破棄しなかった該受信パケットのみを該メモリに蓄積するように判定するパケット判定部と、を備えてもよい。
【0041】
また、上記の所定の間引条件は、蓄積すべきパケット量の受信パケット量に対する比率を該パケット処理装置の処理能力に応じて定めたものでもよく、1回に該メモリへの蓄積を許可するパケット量と該蓄積の許可を与える時間間隔とを該パケット処理装置の処理能力に応じて定めたものでもよい。
【0042】
また、上記の所定の間引条件は、所定のセキュリティ機能によって保護されたパケットのみの蓄積を許可するように定めたものでもよい。
また、上記の所定の間引条件は、該受信パケットを全て破棄するという条件でもよい。
【0043】
【発明の実施の形態】
図2は、本発明に係るDoS攻撃防御方法及び装置をホームエージェントに適用した実施例を示したものである。
同図に示したホームエージェント100は、LANカード等のNIC(Network Interface Card)で構成されるネットワークインタフェース部200と、通常のサーバやパーソナルコンピュータで構成される本体300と、これらを接続するPCIバス400とで構成されている。
【0044】
ネットワークインタフェース部200は、ネットワークからのパケットを受信するパケット受信部50とネットワークにパケットを送信するパケット送信部60とを有し、パケット受信部50とパケット送信部60との間には、受信したパケットの扱いを判定するパケット判定部30及びバッファリング機能を有するパケット蓄積部10が接続されている。
【0045】
また、パケット判定部30には、送信元IPアドレス(モバイルノード)毎のパケットの扱い方を記録した検索可能なメモリであるCAM(内容呼出メモリ:contentaddressable memory) 70が接続されている。このCAM 70は、バインディングキャッシュと呼ばれるモバイルノードの位置情報も記録している。
【0046】
また、パケット蓄積部10には、受信パケットの実際の格納先であるメモリ80が接続されている。
さらに、パケット蓄積部10とパケット判定部30の間には、蓄積量監視部20が接続されている。
【0047】
一方、本体300には、受信したパケットの処理を行うパケット処理部40が配置されている。
動作において、パケット受信部50は、物理インタフェース(図示せず)を制御し、モバイルノード(図示せず)から送信されて来たパケットを受信し、パケット判定部30に送る。パケット判定部30は、受信パケットのヘッダをチェックし、送信元アドレス、宛先アドレス等などの情報を抽出し、これらの情報に基づいてCAM70を検索する。
【0048】
パケット判定部30は、CAM 70の検索結果に基づき、受信パケットを破棄すべきか、パケット処理部40に渡して処理すべきか、或いは転送すべきか等の扱いを判定し、さらに、パケット処理部40に渡して処理すべきと判定したパケットについては、蓄積量監視部20から与えられる状態表示信号Iに基づき、システムダウンを回避するための間引き処理を行う。
【0049】
なお、この間引き処理の詳細についてはパケット判定部30の実施例(1)〜(6)として後述する。
パケット蓄積部10は、パケット判定部30からの受信パケットを、本体300のパケット処理部40が処理すべきものと、そのまま転送すべきものとに分けて、それぞれに対応したメモリ80内のバッファリング領域に蓄積する。
【0050】
蓄積量監視部20は、パケット蓄積部10がメモリ80に蓄積したパケット蓄積量を所定の閾値と比較し、パケット蓄積量が所定の閾値未満であるか否かを示す状態表示信号Iをパケット判定部30に与える。
パケット処理部40は、パケット蓄積部10によってメモリ80に蓄積されたパケットを順次処理し、必要に応じて送信パケットをパケット送信部60に与える。
【0051】
パケット送信部60は、パケット処理部40から与えられた送信パケットと、転送するためにパケット蓄積部10から与えられるパケットを多重化し、物理インタフェース(図示せず)を制御して送信する。
本実施例では、パケット処理部40が処理すべきパケットを大量に送り付けるようなDoS攻撃からホームエージェント100を防御し、システムダウンを回避する。このため、パケット処理部40の処理能力に応じて、以下に図3〜図8を用いて説明する6通りのパケット判定部30の実施例(1)〜(6)のいずれか1つ又は2つ以上の組合せにより、受信パケットの間引き処理を行う。
【0052】
なお、パケット判定部30の各実施例(1)〜(6)に関する以下の説明において言及する「受信パケット」は、特段の断りが無い限り、パケット処理部40が処理すべき受信パケットを意味するものとする。すなわち、以下の説明における受信パケットには、図2を参照して説明したパケット判定部30の動作において、受信パケットのヘッダの情報からCAM70を参照することよって破棄又は転送することが判定された受信パケットは含まれていないものとする。
【0053】
以下に説明するパケット判定部30の実施例(1)〜(6)において、実施例(1)〜(3)は、蓄積量監視部20が、パケットの送信元アドレスに拘らずパケット処理部40が処理すべき受信パケットとしてメモリ80に蓄積されたパケットの蓄積量を監視する場合の実施例である。
【0054】
また、実施例(4)〜(6)は、蓄積量監視部20が、パケット処理部40が処理すべき受信パケットとしてメモリ80に蓄積されたパケットの蓄積量をパケットの送信元アドレス毎に監視する場合の実施例である。
パケット判定部 30 の実施例 (1) :図
図3は、パケット判定部30の実施例(1)として、受信パケットの数を制限する場合を示したものである。このパケット判定部30は、図示の如く通過制御部31と通過数管理部32とを有している。
【0055】
通過数管理部32には、蓄積量監視部20から状態表示信号Iが常時与えられている。この状態表示信号Iは、パケット蓄積部10によってメモリ80に蓄積されたパケットの蓄積量が所定の閾値未満であるか否かを示すものである。
通過数管理部32は、状態表示信号Iにより、パケットの蓄積量が増加して所定の閾値を越えたことを検知した時点から、再びパケットの蓄積量が所定の閾値未満に戻ったことを状態表示信号Iが示すまでの間、受信パケットの通過を上述のように一定の割合(例えば5:1)で許可するように通過制御部31に指示を与えることにより、受信パケットの間引きを行う。
【0056】
すなわち、受信パケットの間引きを行う場合、通過数管理部32は、受信パケットのカウントCに対して、例えば5:1の割合で不許可及び許可の信号を通過制御部31に与える。通過制御部31は、許可の信号を受けたときのみ受信パケットをパケット蓄積部10に通過させ、不許可の信号を受けている間は受信パケットを破棄する。
【0057】
受信パケットの通過を許可する割合(上記の例では5:1)は、固定値を設定してもよく、パケット処理部40の処理能力が変動するような場合には、処理能力に応じて随時変更できるようにしてもよい。
同様に、パケット蓄積量を監視するための上記の所定の閾値についても、パケット処理部40の処理能力に応じて随時変更可能にしてもよい。
【0058】
パケット判定部 30 の実施例 (2) :図
図4は、パケット判定部30の実施例(2)として、受信パケットの通過を時間で制限する場合を示したものである。このパケット判定部30は、図示の如く通過制御部31とタイマ部33とを有している。
【0059】
実施例(2)では、上記の実施例(1)における通過数管理部32の代わりにタイマ部33に、蓄積量監視部20からの状態表示信号Iが与えられている。
タイマ部33は、状態表示信号Iにより、パケットの蓄積量が増加して所定の閾値を越えたことを検知した時点から、再びパケットの蓄積量が所定の閾値未満に戻ったことを状態表示信号Iが示すまでの間、受信パケットの通過を時間及び1回に通過を許可するパケット数で制限することにより、受信するパケットの間引きを行う。
【0060】
すなわち、受信パケットの間引きを行う場合、タイマ部33は、計時を開始してから所定の時間は不許可の信号を通過制御部31に与え、所定の時間経過後に許可の信号を通過制御部31に与えるようにする。
通過制御部31は、不許可の信号を受けている間は受信パケットを破棄し、許可の信号を受けたときのみ予め定められた数だけ受信パケットをパケット蓄積部10に通過させると共に通過通知Nをタイマ部33に与える。
【0061】
タイマ部33では、通過制御部31からの通過通知Nにより、再び計時を開始し、以降、タイマ部33からの不許可及び許可の信号に基づく通過制御部31によるパケットの破棄及び通過の動作と、通過制御部31からの通過通知Nに基づくタイマ部33による計時の動作とが繰り返される。
【0062】
受信パケットの通過を不許可とする所定の時間及び1回に通過を許可するパケット数はそれぞれ固定値として設定してもよく、パケット処理部40の処理能力が変動するような場合には、処理能力に応じて随時変更できるようにしてもよい。
パケット判定部 30 の実施例 (3) :図
図5は、パケット判定部30の実施例(3)として、受信パケットの中、IPsecで保護されたパケットのみを通過させるように制限する場合を示したものである。このパケット判定部30は、図示の如く通過制御部31を有しており、蓄積量監視部20からの状態表示信号Iが通過制御部31に直接与えられている点が、上記の実施例(1)及び(2)とは異なっている。
【0063】
また、実施例(3)における通過制御部31は、パケット分析機能を有するものとし、状態表示信号Iにより、パケットの蓄積量が所定の閾値未満から以上に変化したこと検知した時点から、再びパケットの蓄積量が所定の閾値未満になったことを状態表示信号Iが示すまでの間、パケットのIPヘッダにIPsecで保護されていることを示す拡張ヘッダであるAH又はESPが付加されているか否かを分析し、拡張ヘッダが付加されているパケットのみの通過を許可することにより、受信するパケットの間引きを行う。
【0064】
すなわち、通過制御部31は、拡張ヘッダが付加されていない受信パケットを破棄し、拡張ヘッダが付加されている受信パケットのみをパケット蓄積部10に通過させる。
IPsecで保護されているパケットは、自装置との間でIPsecを解く鍵を交換し合っている信頼性の高い相手装置から送信された優先度の高いパケットであると見做すことができるため、受信パケットの優先度を考慮した間引きを行うことができる。
【0065】
また、受信パケットがIPsecで保護されていても、鍵を交換し合っていない相手装置からのパケットである場合には、IPsec処理部(図示せず)で破棄されるため、自装置に悪影響を及ぼさない。
パケット判定部 30 の実施例 (4) :図
図6は、パケット判定部30の実施例(4)として、間引き処理をする際に、受信パケットの中、特定のIPアドレスからの受信パケットを破棄するように制限する場合を示したものである。
【0066】
同図に示す実施例(4)のパケット判定部30は、図5に示した実施例(3)のパケット判定部30と同様に、パケット分析機能を有する通過制御部31を有している。
但し、実施例(4)では、実施例(3)と異なり、通過制御部31には、状態表示信号Iの代わりに、IPアドレス毎のパケット蓄積量の状態を示す状態表示信号Iが蓄積量監視部20から与えられる。
【0067】
この、状態表示信号Iは、本実施例(4)だけでなく、後述するパケット判定部30の実施例(5)及び(6)にも共通するものであり、パケット蓄積部10によってメモリ80に蓄積されたパケットの蓄積量について、送信元IPアドレス毎のパケット蓄積量が所定の閾値未満であるか否かをパケットの送信元IPアドレス毎に示すものである。
【0068】
すなわち、実施例(4)〜(6)においては、蓄積量監視部20は、パケット蓄積部10によってメモリ80に蓄積されたIPアドレス毎のパケット蓄積量が所定の閾値未満であるか否かを状態表示信号Iとして出力する。
実施例(4)では、状態表示信号Iによって、IPアドレス毎に、パケット蓄積量が所定の閾値を越えたことを検知した時点から、再び所定の閾値未満に戻ったことを指定状態表示信号Iが示すまでの間、対象となるIPアドレスからの受信パケットを全て破棄することにより、受信するパケットの間引きを行う。
【0069】
パケット判定部 30 の実施例 (5) :図
図7は、パケット判定部30の実施例(5)として、間引き処理をする際に、状態表示信号Iによって、IPアドレス毎のパケット蓄積量が所定の閾値を越えていることが確認されたIPアドレスからの受信パケットについて、実施例(1)と同様に数を制限する場合を示したものである。
【0070】
図7に示した実施例(5)のパケット判定部30は、図3に示した実施例(1)と同様に通過制御部31と通過管理部32とによって構成されているが、通過制御部31がパケット分析機能を有している点と、蓄積量監視部20から通過管理部32に与えられる信号がIPアドレス毎のパケット蓄積量の状態を示す状態表示信号Iである点とが実施例(1)とは異なっている。
【0071】
また、動作において、実施例(5)の通過数管理部32及び通過制御部31は、状態表示信号IによってIPアドレス毎のパケット蓄積量が所定の閾値を越えていることが確認されたIPアドレスを送信元とするパケットのみを対象として、実施例(1)と同様な一定の割合での間引き処理を行う。
【0072】
パケット判定部 30 の実施例 (6) :図
図8は、パケット判定部30の実施例(6)として、間引き処理をする際に、状態表示信号IによってIPアドレス毎のパケット蓄積量が所定の閾値を越えていることが確認されたIPアドレスからの受信パケットについて、実施例(2)と同様に時間及び一回に通過を許可するパケット数を制限する場合を示したものである。
【0073】
図8に示した実施例(6)のパケット判定部30は、図4に示した実施例(2)と同様に通過制御部31とタイマ部33とによって構成されているが、通過制御部31がパケット分析機能を有している点と、蓄積量監視部20からタイマ部33に与えられる信号がIPアドレス毎のパケット蓄積量の状態を示す状態表示信号Iである点とが実施例(2)とは異なっている。
【0074】
また、動作において、実施例(6)のタイマ部32及び通過制御部31は、状態表示信号IによってIPアドレス毎のパケット蓄積量が所定の閾値を越えていることが確認されたIPアドレスを送信元アドレスとするパケットのみを対象として、実施例(2)と同様な間引き処理を行う。
【0075】
なお、上述の如く、上記のパケット判定部30の実施例(4)〜(6)では、パケット蓄積部10がメモリ80に蓄積するパケットの蓄積量を、蓄積量管理部20がIPアドレス毎に管理する必要がある。
通常のサーバでは、不特定多数の装置からの受信パケットを処理する必要があるため、IPアドレス毎に蓄積量を監視するためには膨大なメモリを必要とすることが想定されるが、ホームエージェントが処理すべきパケットは、制御対象とするモバイルノードから受信するパケットに限定されるため、メモリ量は必要十分な値とすることが可能である。
【0076】
また、ホームエージェントの制御対象であるモバイルノードのIPアドレスは、上述の如くCAM 70のバインディングキャッシュで管理されているため、バインディングキャッシュにパラメータを追加することで、IPアドレス毎の管理を容易に行うことも可能である。
(付記1)
防御対象のパケット処理装置が処理すべきパケットを一時的に蓄積するためのメモリのパケット蓄積量が、該パケット処理装置の処理能力の限界を越えないように設定された所定の閾値未満であるか否かを監視する第1ステップと、
該パケット蓄積量が該所定の閾値未満であるときは、受信パケットを全て該メモリに蓄積する第2ステップと、
該パケット蓄積量が該所定の閾値以上であるときは、該処理能力に応じた所定の間引条件に基づいて該受信パケットを破棄し、破棄しなかった該受信パケットのみを該メモリに蓄積する第3ステップと、
を備えたことを特徴とするDoS攻撃防御方法。
(付記2)
防御対象のパケット処理装置が処理すべきパケットを一時的に蓄積するためのメモリにおける該パケットの全送信元アドレスのパケット蓄積量が、該パケット処理装置の処理能力の限界を越えないように各送信元アドレス毎のパケット蓄積量に対して設定された所定の閾値未満であるか否かを監視する第1ステップと、
該所定の閾値未満になっている該パケット蓄積量に対応した送信元アドレスからの受信パケットを全て該メモリに蓄積する第2ステップと、
該所定の閾値以上になっている該パケット蓄積量に対応した送信元アドレスからの受信パケットを、該処理能力に応じた所定の間引条件に基づいて破棄し、破棄しなかった該受信パケットのみを該メモリに蓄積する第3ステップと、
を備えたことを特徴とするDoS攻撃防御方法。
(付記3)付記1又は2において、
該所定の間引条件は、蓄積すべきパケット量の受信パケット量に対する比率を該パケット処理装置の処理能力に応じて定めたものであることを特徴とするDoS攻撃防御方法。
(付記4)付記1又は2において、
該所定の間引条件は、1回に該メモリへの蓄積を許可するパケット量と該蓄積の許可を与える時間間隔とを該パケット処理装置の処理能力に応じて定めたものであることを特徴とするDoS攻撃防御方法。
(付記5)付記1において、
該所定の間引条件は、所定のセキュリティ機能によって保護されたパケットのみの蓄積を許可するように定めたものであることを特徴とするDoS攻撃防御方法。
(付記6)付記2において、
該所定の間引条件が、該受信パケットを全て破棄するという条件であることを特徴とするDoS攻撃防御方法。
(付記7)
防御すべきパケット処理装置が処理すべきパケットを一時的にメモリに蓄積するパケット蓄積部と、
該メモリのパケット蓄積量が該パケット処理装置の処理能力の限界を越えないように設定された所定の閾値未満であるか否かを監視する蓄積量監視部と、
該パケット蓄積量が該所定の閾値未満であるときは、受信パケットを全て該メモリに蓄積するように判定すると共に、該パケット蓄積量が該所定の閾値以上であるときは、該処理能力に応じた所定の間引条件に基づいて該受信パケットを破棄し、破棄しなかった該受信パケットのみを該メモリに蓄積するように判定するパケット判定部と、
を備えたことを特徴とするDoS攻撃防御装置。
(付記8)
防御すべきパケット処理装置が処理すべきパケットを一時的にメモリに蓄積するパケット蓄積部と、
該メモリにおける該パケットの全送信元アドレスのパケット蓄積量が、該パケット処理装置の処理能力の限界を越えないように各送信元アドレスのパケット蓄積量に対して設定された所定の閾値未満であるか否かを監視する蓄積量監視部と、
該所定の閾値未満になっている該パケット蓄積量に対応した送信元アドレスからの受信パケットを全て該メモリに蓄積するように判定すると共に、該所定の閾値以上になっている該パケット蓄積量に対応した送信元アドレスからの受信パケットを、該処理能力に応じた所定の間引条件に基づいて破棄し、破棄しなかった該受信パケットのみを該メモリに蓄積するように判定するパケット判定部と、
を備えたことを特徴とするDoS攻撃防御装置。
(付記9)付記7又は8において、
該所定の間引条件は、蓄積すべきパケット量の受信パケット量に対する比率を該パケット処理装置の処理能力に応じて定めたものであることを特徴とするDoS攻撃防御装置。
(付記10)付記7又は8において、
該所定の条件は、1回に該メモリへの蓄積を許可するパケット量と該蓄積の許可を与える時間間隔とを該パケット処理装置の処理能力に応じて定めたものであることを特徴とするDoS攻撃防御装置。
(付記11)付記7において、
該所定の間引条件は、所定のセキュリティ機能によって保護されたパケットのみの蓄積を許可するように定めたものであることを特徴とするDoS攻撃防御装置。
(付記12)付記8において、
該所定の間引条件が、該受信パケットを全て破棄するという条件であることを特徴とするDoS攻撃防御装置。
【0077】
【発明の効果】
以上説明したように本発明に係るDoS攻撃防御方法及び装置によれば、防御対象のパケット処理装置が処理すべきパケットを一時的にするためのメモリのパケット蓄積量が該パケット処理装置の処理能力の限界を越えないように設定された所定の閾値未満であるときは、受信パケットを全て該メモリに蓄積し、該パケット蓄積量が該所定の閾値以上であるときは、該処理能力に応じた所定の間引条件に基づいて該受信パケットを破棄し、破棄しなかった該受信パケットのみを該メモリに蓄積するように構成したので、DoS攻撃を受けた際にも防御対象のパケット処理装置がシステムダウンを起こすことなく稼動し続けることが可能となる。
【図面の簡単な説明】
【図1】本発明に係るDoS攻撃防御方法及び装置の原理構成例を示したブロック図である。
【図2】本発明に係るDoS攻撃防御方法及び装置の実施例を示したブロック図である。
【図3】本発明に係るDoS攻撃防御方法及び装置におけるパケット判定部30の実施例(1)を示したブロック図である。
【図4】本発明に係るDoS攻撃防御方法及び装置におけるパケット判定部30の実施例(2)を示したブロック図である。
【図5】本発明に係るDoS攻撃防御方法及び装置におけるパケット判定部30の実施例(3)を示したブロック図である。
【図6】本発明に係るDoS攻撃防御方法及び装置におけるパケット判定部30の実施例(4)を示したブロック図である。
【図7】本発明に係るDoS攻撃防御方法及び装置におけるパケット判定部30の実施例(5)を示したブロック図である。
【図8】本発明に係るDoS攻撃防御方法及び装置におけるパケット判定部30の実施例(6)を示したブロック図である。
【符号の説明】
10 パケット蓄積部
20 蓄積量監視部
30 パケット判定部
40 パケット処理部
50 パケット受信部
60 パケット送信部
70 CAM
80 メモリ
100 ホームエージェント
200 ネットワークインタフェース部
300 本体
400 PCIバス
図中、同一符号は同一又は相当部分を示す。[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a DoS attack protection method and apparatus, and more particularly to a DoS attack protection method and apparatus that transmits a large number of packets in a short time so as to prevent a packet processing apparatus from functioning normally.
[0002]
[Prior art]
Conventionally, firewalls have been used to protect their own devices from unauthorized access from the outside. A firewall is a device installed at the boundary between a public network such as the Internet and its own network. (1) A source IP address or a type of a protocol belonging to a transport layer (in the case of an intruding packet) (TCP, UDP, etc.) or a port number as a key to prevent the set from passing (or pass only the set) or (2) NAT (Network Address Translator) There is known a device that does not show the IP address of the device to the outside.
[0003]
By installing a firewall as described in (1) above, it is possible to pass only the packets required by the user by designating the protocol and port number. Also, by specifying the IP address of a device determined to be malicious, access from a device having that IP address is rejected, or conversely, by specifying only the IP address of a device permitted to access, the identity is unknown. Your device can be protected from access by others.
[0004]
Further, in the firewall described in the above item (2), the IP address of the device to be attacked can be concealed by the NAT function, so that the device itself can be protected from unauthorized access.
As an example of the above-mentioned firewall, there is an intrusion detection device (for example, see Patent Literature 1) in which detection of unauthorized intrusion is determined from a packet, and if there is unauthorized intrusion, measures are taken to prevent unauthorized intrusion.
[0005]
In addition, an intrusion detection device (for example, see Patent Reference 2).
Furthermore, there is also a network monitoring system that detects unauthorized access from an external network to an in-house information network and enables detection of the source of an unauthorized packet (for example, see Patent Document 3).
[0006]
[Patent Document 1]
JP-A-2002-73433 (abstract, FIG. 4)
[0007]
[Patent Document 2]
JP-A-2002-252654 (abstract, FIG. 7)
[0008]
[Patent Document 3]
JP-A-2000-261483 (abstract, FIG. 1)
[0009]
[Problems to be solved by the invention]
In the above-described conventional firewall, a function of filtering using a type of a protocol (TCP, UDP, or the like) or a port number belonging to an IP address or a transport layer as a key, or a function of detecting or detecting an unauthorized access is an attack pattern of an unauthorized access. This is a coping-therapeutic defense that supposes. Therefore, in the future, when a new attack pattern appears, it is expected that the defense will not be able to be completed, and the response may be delayed.
[0010]
Concealing its own IP address using the NAT function is very effective because it can eliminate an attack itself, but is one of the devices that constitute a system that realizes Mobile IP (Mobile IP), for example. The NAT function cannot be used in a device such as a home agent which needs to be accessed from the outside to realize the original function.
[0011]
A general home agent accumulates position information periodically sent from a mobile terminal called a mobile node, and stores a packet sent to an original position of the mobile node (called a home address). And has a function to transfer the data to the current mobile node position (called a care-of address (Care of Address)) so that it can be received.
[0012]
As described above, in the home agent, receiving position information from the mobile node, that is, receiving a packet transmitted to itself from the outside is indispensable for satisfying the function. Need to be considered enough.
[0013]
When a firewall is used for the home agent, on the other hand, the following problems are conceivable with regard to guarding by designating an IP address.
(1) As a home agent, it is necessary to guarantee that a packet from a device to be serviced can be received. For example, when a carrier implements a mobile IP service, an IP address registered as a customer is Must be received until it turns out to be a malicious user. For this reason, when the customer is determined to be a malicious user by sending an abnormal packet, the system may already be down.
[0014]
(2) Even if the IP address of a good customer is used, an unnecessary packet may be transmitted in addition to a necessary packet due to a malfunction or an incorrect setting of the device. Blocking all packets by specifying an address can be overprotective.
[0015]
(3) Further, when the above-mentioned DDoS attack in which a plurality of devices collide and sends a large amount of unnecessary packets is performed, there is a possibility that the defense method using the IP address as a key may not be sufficient.
On the other hand, for the home agent, the function of filtering using the IP address, the type of the protocol belonging to the transport layer (TCP, UDP, etc.) and the port number in the firewall described above as a key is effective to some extent. Can protect against the same level of attack on servers.
[0016]
However, since the home agent needs to receive at least a packet for which the mobile node reports location information, such a packet cannot be guarded by designating a protocol or a port number. Therefore, there is a high possibility that unauthorized access is performed using a protocol or port number that is not guarded.
[0017]
That is, the home agent has a particularly weak defense against an attack called a DoS (Denial of Service) attack that sends a certain amount of packets in large quantities to prevent the target device from functioning properly. I can say.
Considering that the purpose of the attacker who attacks the DoS attack is to bring down the system of the device to be attacked, on the contrary, prevention of the system down is the most important issue for the victim.
[0018]
Therefore, the present invention provides that even if a packet processing device receives a DoS attack that sends a large number of packets in a short time so that the packet processing device does not function properly, the packet processing device to be protected continues to operate without causing a system down. It is an object of the present invention to provide a DoS attack defense method and apparatus capable of performing the following.
[0019]
[Means for Solving the Problems]
In order to achieve the above object, in the DoS attack prevention method according to the present invention, a packet storage amount of a memory for temporarily storing packets to be processed by a packet processing device to be protected is reduced by a processing amount of the packet processing device. A first step of monitoring whether or not the capacity is less than a predetermined threshold set so as not to exceed the limit of the capacity; and if the packet storage amount is less than the predetermined threshold, all received packets are stored in the memory. A second step of storing, and when the packet storage amount is equal to or more than the predetermined threshold, the received packet is discarded based on a predetermined thinning condition corresponding to the processing capacity, and the received packet not discarded is discarded. And a third step of storing only the data in the memory.
[0020]
That is, a predetermined threshold value is set for the amount of packet storage in the memory for temporarily storing packets to be processed by the packet processing device to be protected so as not to exceed the processing capacity limit of the packet processing device. Thus, the first step monitors whether or not the packet storage amount is less than the predetermined threshold. As a result of the monitoring in the first step, when the packet storage amount is less than the predetermined threshold, all the received packets are stored in the memory by the second step, and when the packet storage amount is equal to or more than the predetermined threshold value. In some cases, in the third step, the received packet is discarded based on a predetermined thinning condition, and only the received packet that is not discarded is stored in the memory.
[0021]
The state in which the amount of stored packets in the memory is equal to or larger than the predetermined threshold means that the processing capability of the packet processing device to be protected is close to its limit, that is, the danger of a system down is increasing. In such a situation, based on a predetermined thinning condition, only a part of the packets corresponding to the processing capacity is stored in the memory, so that the processing capacity of the packet processing device to be protected is limited. It is possible to prevent reception of a packet with an excessive amount.
[0022]
Therefore, not only intentional DoS attacks from malicious users, but also large inflows of packets (frequency abnormalities) that may have substantially the same effect as DoS attacks due to malfunctions or misconfigurations are received. Thus, it is possible to avoid a system down of the packet processing device.
[0023]
Also, in the above DoS attack prevention method, the packet storage amount of all source addresses of the packet in the memory for temporarily storing the packet to be processed by the packet processing device to be protected is determined by the processing amount of the packet processing device. A first step of monitoring whether or not the packet storage amount for each source address is less than a predetermined threshold value so as not to exceed the limit of the capability; A second step of storing all the received packets from the source address corresponding to the packet storage amount in the memory, and a receiving packet from the source address corresponding to the packet storage amount that is equal to or greater than the predetermined threshold. A third step of discarding based on a predetermined thinning condition corresponding to the processing capability and storing only the received packet that has not been discarded in the memory. .
[0024]
That is, the packet storage amount of the memory for temporarily storing the packet to be processed by the packet processing device to be protected is stored in the memory for each source address so as not to exceed the processing capacity limit of the packet processing device. By setting a predetermined threshold value for the amount, it is monitored in the first step whether or not the packet storage amount of all the source addresses of the packet is less than the predetermined threshold value.
[0025]
As a result of the monitoring in the first step, all received packets from the source address whose packet storage amount is less than the predetermined threshold are stored in the memory in the second step, and the packet storage amount is Packets received from the source address that are equal to or greater than the predetermined threshold are discarded based on the predetermined thinning conditions in the third step, and only the received packets not discarded are stored in the memory.
[0026]
In this way, if the target of the thinning processing is limited to the received packets from the source address where the packet storage amount is equal to or more than the predetermined threshold, the normal received packets can be avoided while the system down of the packet processing device is avoided. Can be reduced.
[0027]
Further, the above-mentioned predetermined thinning condition may be a condition in which a ratio of the amount of packets to be stored to the amount of received packets is determined according to the processing capability of the packet processing device.
In other words, the predetermined thinning condition is such that the ratio of the amount of received packets to the amount of packets to be stored is, for example, 5: 1.
[0028]
The ratio can be obtained by calculating the processing capacity of the packet processing device as A (packets / second), the maximum amount of received packets as B (packets / second), and the amount of packets stored in the memory as B '(packets / second). In this case, B ′ <A may be determined.
For example, when only one received packet is stored in the memory for C packets, since B / C = B ', a value that satisfies B / C <A and C> B / A may be set.
[0029]
As a result, the received packets are thinned out at a fixed rate, and only the amount of packets corresponding to the processing capacity of the packet processing device to be protected is stored in the memory, so that the system down can be avoided.
Further, the above-mentioned predetermined thinning-out condition may be such that the amount of packets permitted to be stored in the memory at one time and the time interval at which the storage is permitted are determined in accordance with the processing capacity of the packet processing device. .
[0030]
That is, the predetermined thinning-out condition is that the amount of packets permitted to be stored in the memory at one time is set to, for example, one, and the time interval at which the storage is permitted is set to, for example, 100 msec.
In this case, assuming that the time interval is D (seconds) and the amount of packets permitted at one time is E (pieces), the amount of packets stored in the memory is B '= E / D, so that E / D <A. Such a value may be set.
[0031]
As a result, the received packets are thinned out at regular time intervals, and only the amount of packets corresponding to the processing capacity of the packet processing device to be protected is stored in the memory, so that a system down can be avoided.
Further, the above-mentioned predetermined thinning-out condition may be such that the accumulation of only the packets protected by the predetermined security function is permitted.
[0032]
That is, the predetermined thinning condition is set so as to permit the accumulation of only packets protected by a predetermined security function such as IPSec.
Thereby, the received packets are thinned out based on the condition of whether or not the packets are protected by the predetermined security function, and only the amount of packets corresponding to the processing capacity of the packet processing device to be protected is stored in the memory. , System down can be avoided.
[0033]
Further, the predetermined thinning condition may be a condition that all the received packets are discarded.
That is, in the third step, all received packets from the source address corresponding to the packet storage amount equal to or larger than the threshold are discarded.
[0034]
As described above, a system down can be avoided by a relatively simple thinning-out condition of discarding all packets from a source address subjected to a DoS attack.
In order to achieve the above object, a DoS attack prevention apparatus according to the present invention includes a packet storage unit for temporarily storing packets to be processed by a packet processing apparatus to be protected in a memory, and a packet storage amount in the memory. An accumulation amount monitoring unit that monitors whether or not the packet accumulation amount is less than a predetermined threshold value set so as not to exceed the processing capacity limit of the packet processing device; and when the packet accumulation amount is less than the predetermined threshold value. It is determined that all received packets are stored in the memory, and when the packet storage amount is equal to or more than the predetermined threshold, the received packets are discarded based on a predetermined thinning condition corresponding to the processing capability. And a packet determining unit that determines to store only the received packet that has not been discarded in the memory.
[0035]
FIG. 1 is a diagram for explaining the principle of a DoS attack defense device according to the present invention. A packet storage unit 10 arranged as shown in FIG. The unit 20 and the packet determination unit 30 constitute a DoS attack defense device according to the present invention.
[0036]
That is, the packet storage unit 10 temporarily stores the packet to be processed by the packet processing device to be protected (the packet processing unit 40 in the example of FIG. 1) in a memory (not shown). The storage amount monitoring unit 20 monitors by comparing the packet storage amount stored in the memory by the packet storage unit 10 with a predetermined threshold set so as not to exceed the processing capacity limit of the packet processing device.
[0037]
The packet determination unit 30 determines whether the received packet should be stored in the memory or discarded. When the packet storage amount is less than the predetermined threshold, all the received packets are stored in the memory. And if the packet storage amount is equal to or greater than the predetermined threshold, the received packet is discarded based on a predetermined thinning condition corresponding to the processing capacity, and the received packet not discarded is discarded. It is determined that only the data is stored in the memory.
[0038]
Accordingly, in a state where the packet storage amount is equal to or more than the predetermined threshold, only a part of packets corresponding to the amount corresponding to the processing capacity is stored in the memory based on a predetermined thinning condition. It is possible to prevent reception of a packet of an amount exceeding the processing capacity limit of the packet processing device to be protected.
[0039]
Therefore, not only intentional DoS attacks from malicious users, but also large inflows of packets (frequency abnormalities) that may have substantially the same effect as DoS attacks due to malfunctions or misconfigurations are received. Thus, it is possible to avoid a system down of the packet processing device.
[0040]
Further, the DoS attack prevention apparatus includes a packet storage unit that temporarily stores a packet to be processed by a packet processing apparatus to be protected in a memory, and a packet storage amount of all source addresses of the packet in the memory. A storage amount monitoring unit that monitors whether the packet storage amount of each source address is less than a predetermined threshold value so as not to exceed the limit of the processing capacity of the packet processing device; and the predetermined threshold value. It is determined that all received packets from the source address corresponding to the packet storage amount that is less than the storage amount are stored in the memory, and the transmission source corresponding to the packet storage amount that is equal to or greater than the predetermined threshold value is determined. A packet received from an address is discarded based on a predetermined thinning condition corresponding to the processing capability, and only the received packet not discarded is stored in the memory. And determining the packet determination unit to be provided with a.
[0041]
Further, the above-mentioned predetermined thinning-out condition may be such that the ratio of the amount of packets to be stored to the amount of received packets is determined according to the processing capacity of the packet processing apparatus, and the storage in the memory is permitted at one time. The packet amount and the time interval at which the accumulation is permitted may be determined according to the processing capability of the packet processing device.
[0042]
Further, the above-mentioned predetermined thinning-out condition may be such that the accumulation of only the packets protected by the predetermined security function is permitted.
The predetermined thinning condition may be a condition that all the received packets are discarded.
[0043]
BEST MODE FOR CARRYING OUT THE INVENTION
FIG. 2 shows an embodiment in which the DoS attack defense method and apparatus according to the present invention are applied to a home agent.
A home agent 100 shown in FIG. 1 includes a network interface unit 200 composed of a NIC (Network Interface Card) such as a LAN card, a main body 300 composed of a normal server or a personal computer, and a PCI bus connecting these. 400.
[0044]
The network interface unit 200 includes a packet receiving unit 50 for receiving a packet from the network and a packet transmitting unit 60 for transmitting a packet to the network. A packet determination unit 30 that determines packet handling and a packet storage unit 10 that has a buffering function are connected.
[0045]
The packet determination unit 30 is connected to a CAM (content addressable memory) 70 that is a searchable memory that records how to handle packets for each source IP address (mobile node). The CAM 70 also records mobile node location information called a binding cache.
[0046]
The packet storage unit 10 is connected to a memory 80 as an actual storage destination of the received packet.
Further, between the packet storage unit 10 and the packet determination unit 30, a storage amount monitoring unit 20 is connected.
[0047]
On the other hand, the main body 300 is provided with a packet processing unit 40 for processing a received packet.
In operation, the packet receiving unit 50 controls a physical interface (not shown), receives a packet transmitted from a mobile node (not shown), and sends the packet to the packet determining unit 30. The packet determination unit 30 checks the header of the received packet, extracts information such as a source address and a destination address, and searches the CAM 70 based on the information.
[0048]
The packet determination unit 30 determines, based on the search result of the CAM 70, whether to discard the received packet, pass it to the packet processing unit 40, process it, or forward it. With respect to the packet determined to be passed and processed, a thinning process is performed on the basis of the status display signal I given from the accumulation amount monitoring unit 20 to avoid a system down.
[0049]
The details of the thinning process will be described later as embodiments (1) to (6) of the packet determination unit 30.
The packet storage unit 10 divides the received packet from the packet determination unit 30 into a packet to be processed by the packet processing unit 40 of the main body 300 and a packet to be transferred as it is, accumulate.
[0050]
The accumulation amount monitoring unit 20 compares the packet accumulation amount accumulated in the memory 80 by the packet accumulation unit 10 with a predetermined threshold value, and determines a state indication signal I indicating whether the packet accumulation amount is less than the predetermined threshold value by packet judgment. To the part 30.
The packet processing unit 40 sequentially processes the packets stored in the memory 80 by the packet storage unit 10 and provides a transmission packet to the packet transmission unit 60 as needed.
[0051]
The packet transmission unit 60 multiplexes the transmission packet supplied from the packet processing unit 40 and the packet supplied from the packet storage unit 10 for transfer, and controls and transmits a physical interface (not shown).
In the present embodiment, the home agent 100 is protected from a DoS attack in which the packet processing unit 40 sends a large number of packets to be processed, and a system down is avoided. For this reason, according to the processing capacity of the packet processing unit 40, any one or two of the six embodiments of the packet determination unit 30 (1) to (6) described below with reference to FIGS. The thinning process of the received packet is performed by one or more combinations.
[0052]
The “received packet” referred to in the following description of each embodiment (1) to (6) of the packet determination unit 30 means a received packet to be processed by the packet processing unit 40 unless otherwise specified. Shall be. That is, in the operation of the packet determination unit 30 described with reference to FIG. 2, the reception packet determined to be discarded or transferred by referring to the CAM 70 based on the information of the header of the reception packet is described below. It is assumed that no packet is included.
[0053]
In the embodiments (1) to (6) of the packet determination unit 30 described below, in the embodiments (1) to (3), the accumulation amount monitoring unit 20 determines whether the packet processing unit 40 Is an embodiment in which the amount of packets stored in the memory 80 as received packets to be processed is monitored.
[0054]
In the embodiments (4) to (6), the storage amount monitoring unit 20 monitors the storage amount of the packet stored in the memory 80 as the received packet to be processed by the packet processing unit 40 for each source address of the packet. This is an embodiment in the case of performing the above.
Packet judgment unit 30 Example of (1) : Figure 3
FIG. 3 shows a case where the number of received packets is limited, as an embodiment (1) of the packet determination unit 30. The packet determination unit 30 includes a passage control unit 31 and a passage number management unit 32 as illustrated.
[0055]
The number-of-passes management unit 32 receives the status display signal I from the storage amount monitoring unit 20.1Is always given. This status indication signal I1Indicates whether the amount of packets stored in the memory 80 by the packet storage unit 10 is less than a predetermined threshold.
The number-of-passes management unit 32 outputs the status display signal I1As a result, the state display signal I indicates that the packet storage amount has returned to below the predetermined threshold value again from the point in time when it is detected that the packet storage amount has increased and exceeded the predetermined threshold value.1Until is indicated, the reception packet is thinned by giving an instruction to the passage control unit 31 so as to permit the passage of the reception packet at a fixed ratio (for example, 5: 1) as described above.
[0056]
That is, when thinning out the received packets, the passage number management unit 32 provides the passage control unit 31 with signals of non-permission and permission at a ratio of, for example, 5: 1 with respect to the count C of the received packets. The passage control unit 31 allows the received packet to pass through the packet storage unit 10 only when receiving the permission signal, and discards the received packet while receiving the non-permission signal.
[0057]
The ratio of permitting the passage of the received packet (5: 1 in the above example) may be set to a fixed value. If the processing capacity of the packet processing unit 40 fluctuates, it may be changed according to the processing capacity. You may make it changeable.
Similarly, the above-mentioned predetermined threshold value for monitoring the amount of accumulated packets may be changed at any time according to the processing capacity of the packet processing unit 40.
[0058]
Packet judgment unit 30 Example of (2) : Figure 4
FIG. 4 shows, as an embodiment (2) of the packet determination unit 30, a case where the passage of a received packet is restricted by time. The packet determination unit 30 has a passage control unit 31 and a timer unit 33 as shown.
[0059]
In the embodiment (2), the status display signal I from the accumulation amount monitoring unit 20 is provided to the timer unit 33 instead of the passage number management unit 32 in the above embodiment (1).1Is given.
The timer unit 33 outputs the status display signal I1As a result, the state display signal I indicates that the packet storage amount has returned to below the predetermined threshold value again from the point in time when it is detected that the packet storage amount has increased and exceeded the predetermined threshold value.1Until indicated by, the passing of the received packet is limited by the time and the number of packets permitted to pass at one time, thereby thinning out the received packet.
[0060]
That is, when thinning out the received packets, the timer unit 33 gives a signal of rejection to the passage control unit 31 for a predetermined time after starting the timing, and sends a permission signal after a predetermined time elapses to the passage control unit 31. To give to.
The pass control unit 31 discards the received packet while receiving the non-permission signal, passes the received packet to the packet storage unit 10 by a predetermined number only when receiving the permission signal, To the timer unit 33.
[0061]
The timer unit 33 starts counting again according to the passage notification N from the passage control unit 31, and thereafter, discards and passes the packet by the passage control unit 31 based on the disapproval and permission signals from the timer unit 33. The operation of measuring the time by the timer unit 33 based on the passage notification N from the passage control unit 31 is repeated.
[0062]
The predetermined time during which the reception packet is not permitted to pass and the number of packets permitted to pass at one time may be set as fixed values. If the processing capacity of the packet processing unit 40 fluctuates, the processing is performed. You may make it change at any time according to ability.
Packet judgment unit 30 Example of (3) : Figure 5
FIG. 5 shows, as an embodiment (3) of the packet determination unit 30, a case in which only packets protected by IPsec among received packets are restricted from passing. The packet judging unit 30 has a passage control unit 31 as shown in FIG.1Is directly provided to the passage control unit 31 in the difference from the above embodiments (1) and (2).
[0063]
Further, the passage control unit 31 in the embodiment (3) has a packet analysis function, and the state display signal I1From the time when it is detected that the accumulated amount of packets has changed from less than the predetermined threshold to more than the threshold, the state indication signal I indicates again that the accumulated amount of packets has become less than the predetermined threshold.1Until indicated, it is analyzed whether or not AH or ESP which is an extension header indicating that the packet is protected by IPsec is added to the IP header of the packet, and only the packet to which the extension header is added is passed. By permitting, received packets are thinned out.
[0064]
That is, the passage control unit 31 discards the received packet to which the extension header is not added, and allows the packet storage unit 10 to pass only the received packet to which the extension header is added.
A packet protected by IPsec can be regarded as a high-priority packet transmitted from a highly reliable partner device exchanging a key for decrypting IPsec with itself. In addition, thinning can be performed in consideration of the priority of the received packet.
[0065]
Also, even if the received packet is protected by IPsec, if the packet is from a partner device that has not exchanged keys, the packet is discarded by the IPsec processing unit (not shown), so that the own device is adversely affected. Has no effect.
Packet judgment unit 30 Example of (4) : Figure 6
FIG. 6 shows, as an embodiment (4) of the packet determination unit 30, a case in which when performing the thinning-out process, the reception packet from a specific IP address is restricted so as to be discarded. .
[0066]
The packet judging unit 30 of the embodiment (4) shown in the figure has a passage control unit 31 having a packet analysis function, like the packet judging unit 30 of the embodiment (3) shown in FIG.
However, in the embodiment (4), unlike the embodiment (3), the passage control unit 31 sends the status display signal I1Instead of the state indication signal I indicating the state of the packet storage amount for each IP address.2Is provided from the storage amount monitoring unit 20.
[0067]
This state display signal I2This is common to not only the present embodiment (4) but also embodiments (5) and (6) of the packet judging unit 30 to be described later, and stores the packets stored in the memory 80 by the packet storing unit 10. Regarding the amount, it indicates, for each source IP address of the packet, whether or not the packet storage amount for each source IP address is less than a predetermined threshold.
[0068]
That is, in the embodiments (4) to (6), the accumulation amount monitoring unit 20 determines whether or not the packet accumulation amount for each IP address accumulated in the memory 80 by the packet accumulation unit 10 is less than a predetermined threshold. Status display signal I2Is output as
In the embodiment (4), the status display signal I2Thus, for each IP address, from the point of time when it is detected that the packet storage amount has exceeded the predetermined threshold, it is determined that the packet storage amount has returned to below the predetermined threshold again.2Until, the received packets are discarded by discarding all the received packets from the target IP address.
[0069]
Packet judgment unit 30 Example of (5) : Figure 7
FIG. 7 shows an embodiment (5) of the packet determination unit 30 when the thinning process is performed and the state display signal I2This shows a case where the number of packets received from an IP address for which it has been confirmed that the packet storage amount for each IP address exceeds a predetermined threshold is limited in the same manner as in the embodiment (1).
[0070]
The packet determination unit 30 of the embodiment (5) shown in FIG. 7 is composed of a passage control unit 31 and a passage management unit 32 as in the embodiment (1) shown in FIG. 31 has a packet analysis function, and a signal provided from the storage amount monitoring unit 20 to the passage management unit 32 is a state display signal I indicating the state of the packet storage amount for each IP address.2Is different from the embodiment (1).
[0071]
In the operation, the passage number management unit 32 and the passage control unit 31 of the embodiment (5) perform the state display signal I2The thinning process at a fixed rate similar to that of the embodiment (1) is performed only for the packets having the transmission source of the IP address for which it is confirmed that the packet storage amount for each IP address exceeds the predetermined threshold value. Do.
[0072]
Packet judgment unit 30 Example of (6) : Figure 8
FIG. 8 shows an embodiment (6) of the packet determination unit 30 when the thinning process is performed and the state display signal I2In the same way as in the embodiment (2), the time and the number of packets permitted to pass at one time are limited for the received packets from the IP addresses for which it has been confirmed that the packet storage amount for each IP address exceeds the predetermined threshold value. FIG.
[0073]
The packet judging unit 30 of the embodiment (6) shown in FIG. 8 includes a passage control unit 31 and a timer unit 33 as in the embodiment (2) shown in FIG. Has a packet analysis function, and a signal provided from the storage amount monitoring unit 20 to the timer unit 33 is a state display signal I indicating the state of the packet storage amount for each IP address.2Is different from the embodiment (2).
[0074]
In the operation, the timer unit 32 and the passage control unit 31 of the embodiment (6) are connected to the state display signal I.2The thinning process similar to that of the embodiment (2) is performed only on the packet having the source address as the IP address for which the packet storage amount for each IP address exceeds the predetermined threshold value.
[0075]
As described above, in the above-described embodiments (4) to (6) of the packet determination unit 30, the packet storage unit 10 determines the storage amount of the packet stored in the memory 80 by the storage amount management unit 20 for each IP address. Need to be managed.
Since a normal server needs to process packets received from an unspecified number of devices, it is expected that a huge amount of memory will be required to monitor the storage amount for each IP address. Are limited to packets received from the mobile node to be controlled, so that the amount of memory can be set to a necessary and sufficient value.
[0076]
Further, since the IP address of the mobile node to be controlled by the home agent is managed by the binding cache of the CAM 70 as described above, the management of each IP address is easily performed by adding a parameter to the binding cache. It is also possible.
(Appendix 1)
Whether the packet storage amount of the memory for temporarily storing the packets to be processed by the packet processing device to be protected is less than a predetermined threshold set so as not to exceed the processing capacity limit of the packet processing device A first step of monitoring whether or not
A second step of storing all received packets in the memory when the packet storage amount is less than the predetermined threshold;
When the packet storage amount is equal to or more than the predetermined threshold, the received packet is discarded based on a predetermined thinning condition corresponding to the processing capacity, and only the received packet not discarded is stored in the memory. The third step,
A DoS attack defense method comprising:
(Appendix 2)
Each transmission is performed so that the packet storage amount of all the source addresses of the packet in the memory for temporarily storing the packet to be processed by the packet processing device to be protected does not exceed the processing capability of the packet processing device. A first step of monitoring whether or not the packet storage amount for each source address is less than a predetermined threshold set;
A second step of storing all received packets from the source address corresponding to the packet storage amount that is less than the predetermined threshold in the memory;
Discards received packets from the source address corresponding to the packet storage amount that is equal to or greater than the predetermined threshold based on a predetermined thinning condition corresponding to the processing capacity, and only the received packets that have not been discarded are discarded. A third step of storing in the memory;
A DoS attack defense method comprising:
(Supplementary Note 3) In Supplementary note 1 or 2,
The DoS attack defense method, wherein the predetermined thinning condition is a ratio of a packet amount to be stored to a received packet amount determined according to the processing capability of the packet processing device.
(Supplementary Note 4) In Supplementary Note 1 or 2,
The predetermined thinning condition is characterized in that an amount of packets permitted to be stored in the memory at one time and a time interval at which the storage is permitted are determined in accordance with the processing capability of the packet processing apparatus. DoS attack defense method.
(Supplementary Note 5) In Supplementary Note 1,
The DoS attack defense method, characterized in that the predetermined thinning condition is set so as to permit accumulation of only packets protected by a predetermined security function.
(Supplementary Note 6) In Supplementary note 2,
A DoS attack defense method, wherein the predetermined thinning condition is a condition that all the received packets are discarded.
(Appendix 7)
A packet storage unit for temporarily storing packets to be processed by the packet processing device to be protected in a memory;
A storage amount monitoring unit that monitors whether the packet storage amount of the memory is less than a predetermined threshold set so as not to exceed the processing capacity limit of the packet processing device;
When the packet storage amount is less than the predetermined threshold value, it is determined that all received packets are stored in the memory, and when the packet storage amount is equal to or more than the predetermined threshold value, according to the processing capacity. A packet determining unit that discards the received packet based on the predetermined thinning condition and that stores only the received packet that has not been discarded in the memory;
A DoS attack defense device comprising:
(Appendix 8)
A packet storage unit for temporarily storing packets to be processed by the packet processing device to be protected in a memory;
The packet storage amount of all source addresses of the packet in the memory is less than a predetermined threshold set for the packet storage amount of each source address so as not to exceed the processing capacity limit of the packet processing device. A storage amount monitoring unit for monitoring whether or not
It is determined that all received packets from the source address corresponding to the packet storage amount that is less than the predetermined threshold are stored in the memory, and the packet storage amount that is equal to or more than the predetermined threshold is determined. A packet judging unit for discarding a received packet from the corresponding source address based on a predetermined thinning condition corresponding to the processing capability, and determining that only the received packet not discarded is stored in the memory; ,
A DoS attack defense device comprising:
(Supplementary Note 9) In Supplementary note 7 or 8,
The DoS attack defense device, wherein the predetermined thinning condition is a ratio of a packet amount to be stored to a received packet amount determined according to the processing capability of the packet processing device.
(Supplementary Note 10) In Supplementary note 7 or 8,
The predetermined condition is characterized in that the amount of packets permitted to be stored in the memory at one time and the time interval for permitting the storage are determined in accordance with the processing capability of the packet processing device. DoS attack defense device.
(Supplementary Note 11) In Supplementary Note 7,
The DoS attack defense device, wherein the predetermined thinning condition is set so as to permit accumulation of only packets protected by a predetermined security function.
(Supplementary Note 12) In Supplementary Note 8,
The DoS attack defense device, wherein the predetermined thinning condition is a condition that all the received packets are discarded.
[0077]
【The invention's effect】
As described above, according to the DoS attack prevention method and apparatus according to the present invention, the packet storage amount of the memory for temporarily storing the packet to be processed by the packet processing apparatus to be protected is determined by the processing capability of the packet processing apparatus. When the number of received packets is less than a predetermined threshold set so as not to exceed the limit, all received packets are stored in the memory. Since the received packet is discarded based on a predetermined thinning condition, and only the received packet which is not discarded is stored in the memory, the packet processing device to be protected even in the event of a DoS attack can be protected. It is possible to continue operation without causing a system down.
[Brief description of the drawings]
FIG. 1 is a block diagram showing an example of the principle configuration of a DoS attack defense method and device according to the present invention.
FIG. 2 is a block diagram showing an embodiment of a DoS attack defense method and apparatus according to the present invention.
FIG. 3 is a block diagram illustrating an embodiment (1) of a packet determination unit 30 in the DoS attack prevention method and apparatus according to the present invention.
FIG. 4 is a block diagram showing an embodiment (2) of the packet determination unit 30 in the DoS attack defense method and device according to the present invention.
FIG. 5 is a block diagram illustrating an embodiment (3) of the packet determination unit 30 in the DoS attack prevention method and apparatus according to the present invention.
FIG. 6 is a block diagram illustrating an embodiment (4) of the packet determination unit 30 in the DoS attack prevention method and apparatus according to the present invention.
FIG. 7 is a block diagram illustrating an embodiment (5) of the packet determination unit 30 in the DoS attack prevention method and apparatus according to the present invention.
FIG. 8 is a block diagram illustrating an embodiment (6) of the packet determination unit 30 in the DoS attack prevention method and apparatus according to the present invention.
[Explanation of symbols]
10 Packet storage unit
20 Storage amount monitoring unit
30 Packet judgment unit
40 packet processing unit
50 packet receiver
60 packet transmitter
70 CAM
80 memory
100 home agent
200 Network interface
300 body
400 PCI bus
In the drawings, the same reference numerals indicate the same or corresponding parts.

Claims (3)

防御対象のパケット処理装置が処理すべきパケットを一時的に蓄積するためのメモリのパケット蓄積量が、該パケット処理装置の処理能力の限界を越えないように設定された所定の閾値未満であるか否かを監視する第1ステップと、
該パケット蓄積量が該所定の閾値未満であるときは、受信パケットを全て該メモリに蓄積する第2ステップと、
該パケット蓄積量が該所定の閾値以上であるときは、該処理能力に応じた所定の間引条件に基づいて該受信パケットを破棄し、破棄しなかった該受信パケットのみを該メモリに蓄積する第3ステップと、
を備えたことを特徴とするDoS攻撃防御方法。Whether the packet storage amount of the memory for temporarily storing the packets to be processed by the packet processing device to be protected is less than a predetermined threshold set so as not to exceed the processing capacity limit of the packet processing device A first step of monitoring whether or not
A second step of storing all received packets in the memory when the packet storage amount is less than the predetermined threshold;
When the packet storage amount is equal to or more than the predetermined threshold, the received packet is discarded based on a predetermined thinning condition corresponding to the processing capacity, and only the received packet not discarded is stored in the memory. The third step,
A DoS attack defense method comprising: 請求項1において、
該所定の間引条件は、蓄積すべきパケット量の受信パケット量に対する比率を該パケット処理装置の処理能力に応じて定めたものであることを特徴とするDoS攻撃防御方法。In claim 1,
The DoS attack protection method, wherein the predetermined thinning condition is a ratio of a packet amount to be stored to a received packet amount determined according to the processing capability of the packet processing device. 防御すべきパケット処理装置が処理すべきパケットを一時的にメモリに蓄積するパケット蓄積部と、
該メモリのパケット蓄積量が該パケット処理装置の処理能力の限界を越えないように設定された所定の閾値未満であるか否かを監視する蓄積量監視部と、
該パケット蓄積量が該所定の閾値未満であるときは、受信パケットを全て該メモリに蓄積するように判定すると共に、該パケット蓄積量が該所定の閾値以上であるときは、該処理能力に応じた所定の間引条件に基づいて該受信パケットを破棄し、破棄しなかった該受信パケットのみを該メモリに蓄積するように判定するパケット判定部と、
を備えたことを特徴とするDoS攻撃防御装置。A packet storage unit for temporarily storing packets to be processed by the packet processing device to be protected in a memory;
A storage amount monitoring unit that monitors whether the packet storage amount of the memory is less than a predetermined threshold set so as not to exceed the processing capacity limit of the packet processing device;
When the packet storage amount is less than the predetermined threshold value, it is determined that all received packets are stored in the memory, and when the packet storage amount is equal to or more than the predetermined threshold value, it is determined according to the processing capacity. A packet determining unit that discards the received packet based on the predetermined thinning condition and that stores only the received packet that has not been discarded in the memory;
A DoS attack defense device comprising:
JP2003038454A 2003-02-17 2003-02-17 Dos attack prevention method and apparatus Withdrawn JP2004248198A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003038454A JP2004248198A (en) 2003-02-17 2003-02-17 Dos attack prevention method and apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003038454A JP2004248198A (en) 2003-02-17 2003-02-17 Dos attack prevention method and apparatus

Publications (1)

Publication Number Publication Date
JP2004248198A true JP2004248198A (en) 2004-09-02

Family

ID=33022986

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003038454A Withdrawn JP2004248198A (en) 2003-02-17 2003-02-17 Dos attack prevention method and apparatus

Country Status (1)

Country Link
JP (1) JP2004248198A (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006046659A1 (en) * 2004-10-27 2006-05-04 Ionos Co., Ltd. Data amount monitoring control system of channels
JP2008136176A (en) * 2006-10-10 2008-06-12 Mitsubishi Electric Information Technology Centre Europa Bv Method and device for managing allocation of memory blocks, data transmission network system, computer-readable medium, and computer program product
CN1905553B (en) * 2005-07-28 2011-04-20 易星 Method for ensuring selected user access on DOS attacking or apparatus overload
US8510822B2 (en) 2007-03-08 2013-08-13 Nec Corporation Communication system, reliable communication mechanism, and communication method used for the same
CN112019520A (en) * 2020-08-07 2020-12-01 广州华多网络科技有限公司 Request interception method, device, equipment and storage medium

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006046659A1 (en) * 2004-10-27 2006-05-04 Ionos Co., Ltd. Data amount monitoring control system of channels
CN1905553B (en) * 2005-07-28 2011-04-20 易星 Method for ensuring selected user access on DOS attacking or apparatus overload
JP2008136176A (en) * 2006-10-10 2008-06-12 Mitsubishi Electric Information Technology Centre Europa Bv Method and device for managing allocation of memory blocks, data transmission network system, computer-readable medium, and computer program product
US8510822B2 (en) 2007-03-08 2013-08-13 Nec Corporation Communication system, reliable communication mechanism, and communication method used for the same
CN112019520A (en) * 2020-08-07 2020-12-01 广州华多网络科技有限公司 Request interception method, device, equipment and storage medium
CN112019520B (en) * 2020-08-07 2022-08-16 广州华多网络科技有限公司 Request interception method, device, equipment and storage medium

Similar Documents

Publication Publication Date Title
US10135864B2 (en) Latency-based policy activation
US7797436B2 (en) Network intrusion prevention by disabling a network interface
KR100952350B1 (en) Intelligent network interface controller
US7832009B2 (en) Techniques for preventing attacks on computer systems and networks
US7552478B2 (en) Network unauthorized access preventing system and network unauthorized access preventing apparatus
CN111010409B (en) Encryption attack network flow detection method
US20030188190A1 (en) System and method of intrusion detection employing broad-scope monitoring
US7039950B2 (en) System and method for network quality of service protection on security breach detection
KR101217647B1 (en) Method and apparatus for defending against denial of service attacks in IP networks based on specified source/destination IP address pairs
US20100251370A1 (en) Network intrusion detection system
US7475420B1 (en) Detecting network proxies through observation of symmetric relationships
WO2003083659A1 (en) Firewall system and method via feedback from broad-scope monitoring for intrusion detection
US8918838B1 (en) Anti-cyber hacking defense system
JP2005517349A (en) Network security system and method based on multi-method gateway
KR100947211B1 (en) System for active security surveillance
EP2009864A1 (en) Method and apparatus for attack prevention
CN108616488B (en) Attack defense method and defense equipment
JP2003099339A (en) Infiltration-detecting and infiltration-preventing device and program therefor
JP2004248198A (en) Dos attack prevention method and apparatus
JP2005134972A (en) Firewall device
JP2004140618A (en) Packet filter device and illegal access detection device
CN114172881B (en) Network security verification method, device and system based on prediction
US7873731B1 (en) Use of per-flow monotonically decreasing TTLs to prevent IDS circumvention
JP2004164107A (en) Unauthorized access monitoring system
JP2008011008A (en) Unauthorized access prevention system

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20060509