JP2004334455A - Server device - Google Patents

Server device Download PDF

Info

Publication number
JP2004334455A
JP2004334455A JP2003128584A JP2003128584A JP2004334455A JP 2004334455 A JP2004334455 A JP 2004334455A JP 2003128584 A JP2003128584 A JP 2003128584A JP 2003128584 A JP2003128584 A JP 2003128584A JP 2004334455 A JP2004334455 A JP 2004334455A
Authority
JP
Japan
Prior art keywords
server
client
redirector
redirect
proxy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003128584A
Other languages
Japanese (ja)
Inventor
Tetsuya Okano
哲也 岡野
Kuniaki Shimada
邦昭 嶋田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2003128584A priority Critical patent/JP2004334455A/en
Publication of JP2004334455A publication Critical patent/JP2004334455A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a server device for protecting a server from any attack or convergence. <P>SOLUTION: This server device 1 having a server 2 is provided with a redirector 3 for responding to an access from a client 5 to a server 1, and for guiding an access to the server 2 to redirect destination being access destination different from the first access designation from the client 5 by redirect processing. The access to the server 1 is redirect-processed so that a request from the client 5 can be access-guided to the redirect destination, and that contents data acquired from the server 2 can be outputted to the client 5. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】本発明はサーバ装置に係り、特にサーバを攻撃や輻輳から回避するためのサーバ装置に関する。
【0002】
【従来の技術】現在、WWW(World Wide Web)の普及によるインターネットの大規模化にともない、不正なリクエストや大量のアクセスを発生させてサーバダウンをはかるDoS(Denial of Service )攻撃や、輻輳によるサービス応答速度劣化が問題となっている。
【0003】
図16に示す如く、クライアント100がサーバ101に対してインターネットを使ったサービスの提供を求める場合、クライアント100がサーバ101にアクセスして情報提供を受ける。このためクライアント100はサーバに対して接続要求を行い、セッションが確立したらリクエスト要求(GETリクエスト)を送出し、サーバ101がこれに対する仕事を行って得られたコンテンツデータをクライアント100に返送する。
【0004】
このような場合に、サーバ101に対し接続要求がサーバ101の処理能力以上に連続的に行って、正常なアクセスができなくなるようなことを行うサービス妨害がDoS攻撃である。なお攻撃には、複数のマシンから同時に行われるDDos(Distributed DoS )も存在する。
【0005】
DoS攻撃を回避するためには、現在、攻撃のパターンがわかるので、不正検知装置(IDS)により検出して、それをファイアウオールでフィルタリングして止めるとか、また攻撃を行ってくるものがわかればそれにアクセスさせないようにすることで対処している。
【0006】
しかしスクリプト言語による大量な正常アクセスや、大量な人数による手動のHTTPリロード(再表示命令)等のような、正常アクセスと差がない攻撃については、IDSとファイアウオールがサーバ装置前段に存在しても、IDSのシグネチャ(Signature)で検出できるDoSパケットはフィルタされ、IDSとファイアウオールで検知し対処することができない。
【0007】
DoS攻撃の対策として、従来では通信パケットに異なる種類の安全性識別子を付加し、通信パケットの配送経路上でこの安全性識別子に応じた優先度制御を行うものがある(例えば特許文献1参照)。
【0008】
また正常なユーザが多数集合するような、輻輳を回避するためには、サーバの台数を増やし、クラスタリングする方法が一般的である。しかしこの方法では電子商取引等の場合に、一旦輻輳が起きてしまったときに、現在接続中のセッションの処理ができなくなり、取引機会と信用を失い多額の損害を被るという問題がある。
【0009】
【特許文献1】
特開2002−158699号公報(第1頁、要約)
【0010】
【発明が解決しようとする課題】本発明の課題はサーバに対する正常アクセスによる攻撃を簡単な手法により排除すること、および、現在使用中のものについてはそのまま処理できるようにして、沢山のアクセスが集中してもリソースの有効使用を可能として輻輳状態によるセッション保障を行うことができるサーバ装置を提供することである。
【0011】
【課題を解決するための手段】本発明の原理を図1に示す。図1において1はサーバ装置、2はサーバ、3はリダイレクタ、4はプロキシ、5はクライアントである。
【0012】
本発明の課題は下記(1)〜(5)により達成される。
【0013】
(1)サーバ2を有するサーバ装置に、クライアント5からサーバ2へのアクセスをその間で応答し、リダイレクト処理によりサーバ2へのアクセスをクライアントからの最初のアクセス先とは異なるアクセス先であるリダイレクト先に誘導を行うリダイレクタ3を設け、サーバ2へのアクセスをリダイレクト処理を行うことにより、クライアント5からのリクエストをリダイレクト先にアクセス誘導し、サーバ2から得たコンテンツデータをクライアント5に出力することを特徴とするサーバ装置。
【0014】
(2)サーバを有するサーバ装置に、クライアント5からサーバ2へのアクセスをその間で応答し、リダイレクト処理によりプロキシ4へのアクセス誘導を行うリダイレクタと、サーバ2への中継処理を行うプロキシ4を設け、サーバ2へのアクセスをリダイレクト処理を行うことにより、クライアントからのリクエストをプロキシ4に通知し、プロキシ4からサーバ2にリクエストを出力し、サーバ2から得たコンテンツをプロキシ4がクライアント5に出力することを特徴とするサーバ装置。
【0015】
(3)前記リダイレクタに、アクセス誘導実行時にリダイレクト命令を遅延出力処理させる遅延処理手段を設け、リダイレクタより出力されるリダイレクト命令をクライアントに対し遅延出力することを特徴とする前記(2)記載のサーバ装置。
【0016】
(4)前記リダイレクタに、ダイレクト命令に対してセッションIDを付加するセッションID付加手段を設け、リダイレクタよりリダイレクト命令をクライアントに出力するとき前記プロキシにもセッションIDを通知し、プロキシはこのセッションIDを持つリダイレクト命令に対してセッション保障を行い、サーバから得たコンテンツをクライアントに出力することを特徴とする前記(2)記載のサーバ装置。
【0017】
(5)前記リダイレクタに、アクセス誘導実行時にリダイレクト命令を遅延出力処理させる遅延処理手段と、リダイレクト命令に対してセッションIDを付加するセッションID付加手段を設け、リダイレクタよりリダイレクト命令をクライアントに出力するとき前記プロキシにもセッションIDを通知し、プロキシはこのセッションIDを持つリクエスト命令に対してセッション保障を行い、サーバから得たコンテンツをクライアントに出力することを特徴とする前記(2)記載のサーバ装置。
【0018】
これにより下記の効果を奏する。
【0019】
(1)クライアントからサーバへのアクセスをリダイレクタで一度受けてサーバへアクセスするように制御することにより、通常アクセスを装った攻撃はこれによりリダイレクトを行わず攻撃中止になるので、通常アクセスを装った攻撃を通常のアクセスと分離することができ、攻撃を防ぐことができるので、リダイレクト命令に応答できない、スクリプト等の正常アクセスによる攻撃を除くことができ、サーバの負荷を軽減することができる。
【0020】
(2)クライアントからサーバへのアクセスをリダイレクタで一度受けてプロキシへアクセスし、プロキシからサーバにアクセスするように制御することにより、通常アクセスを装った攻撃はこれによりリダイレクトを行わず攻撃中止になるので通常アクセスを装った攻撃を通常のアクセスと分離することができ、攻撃を防ぐことができる。これによりリダイレクト命令に応答できないスクリプト等の正常アクセスによる攻撃を除くことができサーバの負荷を軽減することができるのみならず、プロキシによりサーバを外部インターネットから隠蔽してサーバが直接攻撃されることを防止できるので、高いセキュリティを実現できる。
【0021】
(3)アクセス誘導実行時に遅延処理を行うリダイレクタを有することにより、通常アクセスを装った攻撃の頻度を低下させる機能を持ったサーバ装置を提供することができる。
【0022】
(4)リダイレクト命令にセッションIDを付加し、セッションIDに対しアクセス制御を行うプロキシを有することにより、通常アクセスを装った攻撃の頻度を低下させ、セッション保障を有するサーバ装置を提供することができる。
【0023】
(5)リダイレクト命令を遅延処理しまたセッションIDを付加してセッションIDに対しアクセス制御を行うようにしたので、通常アクセスを装った攻撃の頻度をさらに低下させセッション保障を有するサーバ装置を提供することができる。
【0024】
【発明の実施の形態】
1.第1の実施の形態
本発明の一実施の形態を図1により説明する。図1において、1はサーバ装置、2はサーバ、3はリダイレクタ、4はプロキシ、5はクライアントである。
【0025】
サーバ装置1は、クライアント5からのリクエスト要求に応じてデータ処理を行うもので、例えば所要のデータを読み出してこれを要求元のクライアントに送出するものであり、サーバ2、リダイレクタ3、プロキシ4を有する。
【0026】
サーバ2は、ファイルの管理や入出力を行うものであり、プロセッサや記憶装置等コンピュータで構成されている。
【0027】
リダイレクタ3は、クライアント5からのアクセス要求に対し、要求先をプロキシ4に変更処理を行うものである。
【0028】
プロキシ4は、クライアント5がサーバをアクセスしたとき、クライアント5とサーバ2との中間に設けられたリダイレクタ3からリクエスト先に指定され、サーバ2に代行してリクエスト中継を行い、得られたデータをリクエスト元のクライアント4に対し中継送出する、中継代理応答機能を有するものである。
【0029】
図1の動作を図7のフローチャートにもとづき説明する。
【0030】
S1.クライアント5は、サーバ装置1に対してリクエスト要求「GETリクエスト」を送出し、これがサーバ装置1のリダイレクタ3に入力される。
【0031】
S2.この入力はリダイレクタ3の入力HTTP(Hypertext Transfer Protocol )データバッファ10に保持される。これにより下記のGETリクエストの場合には、この入力HTTPデータが保持され、下線部分よりホスト名として「www.fujitsu.co.jp 」を抽出する。
【0032】
GET http://www.fujitsu.co.jp/fujitsu.html HTTP/1.1S3.サーバ装置1には、初期設定時に、リダイレクタ3が入力HTTPデータバッファ10より抽出したホスト名を変換するホスト名変換テーブル11を静的に設定しておく。リダイレクタ3は、前記ホスト名「www.fujitsu.co.jp 」を、このホスト名変換テーブル11の変換前ホスト名にマッチするエントリを検索する。そしてマッチした変換後アドレス「jp.fujitsu.com」を得る。
【0033】
S4.リダイレクタ3は、マッチした変換後アドレス「jp.fujitsu.com」をリダイレクト先とした、リダイレクトデータ「Location:http://jp.fujitsu.com/fujitsu.html 」を出力HTTPデータバッファ12に作成する。なおホスト名変換テーブル11に入力HTTPデータのホスト名が存在しない場合そのデータは破棄する。
【0034】
S5.リダイレクタ3は出力HTTPデータバッファ12に作成されたリダイレクトデータを含むリダイレクト命令をクライアント5に出力する。
【0035】
これによりクライアント5ではこのリダイレクト命令を受信し、指示されたリダイレクト先に、この例では「jp.fujitsu.com」へGETリクエストを出力し、今後はプロキシ4にこのGETリクエストが受信される。
【0036】
S10.これによりプロキシ4には、図7(B)に示す如く、リダイレクト先としてクライアント5から送出された、GETリクエストを示すHTTPデータが入力される。
【0037】
S11.プロキシ4は、これを図示省略した出力データバッファにコピーする。
【0038】
S12.プロキシ4は、このコピーしたHTTPデータをサーバ2に出力し、アクセスを行う。そしてコンテンツデータを得て、これをクライアント5に中継出力する。
【0039】
なお前記説明ではホスト名を変換する例を挙げたが、本発明は勿論これに限定されるものではなく、ホスト名以外にも以下のように、ポートやパス名の変更及び追加を行ってもよい。
【0040】
http://www.fujitsu.co.jp/index.html ≫http://www.fujitsu.co.jp:8080/index.html
http://www.fujitsu.co.jp/index.html ≫http://www.fujitsu.co.jp/yokoyoko/index.html
DoS攻撃を行う場合、リダイレクタからリダイレクトデータを送出されても、これにしたがってリダイレクトを行うケースはほとんどないので、このようにしてDoS攻撃を防ぐことができる。
【0041】
また正常のアクセスがサーバ装置1に対し輻輳している状態の場合は、クライアントはこのリダイレクトによりリダイレクト先に再度GETリクエストを出力するため、サーバ2に対するアクセスは全般に別のマシンに誘導された状態で遅れることになるので混雑状態が緩和される状態となり、輻輳状態が改善されることになる。
【0042】
2.第2の実施の形態
本発明の第2の実施の形態を図2により説明する。第2の実施の形態では、リダイレクタ3に遅延手段6を設け、リダイレクト命令をクライアントに送出するとき遅延処理を行うものである。例えば0.1秒待ってから送出するなどの制御を行う。
【0043】
図2の動作を図8のフローチャートにもとづき説明する。
【0044】
S21.クライアント5はサーバ装置1に対してリクエスト要求「GETリクエスト」を送出し、これがサーバ装置1のリダイレクタ3に入力される。
【0045】
S22.この入力はリダイレクタ3の入力HTTPデータバッファ10に保持される。これにより前記と同様に、ホスト名として「www.fujitsu.co.jp 」を抽出する。
【0046】
S23.サーバ装置1には、初期設定時にリダイレクタ3が入力HTTPデータバッファ10より抽出したホスト名を変換するホスト名変換テーブル11を静的に設定しておく。リダイレクタ3は、前記ホスト名「www.fujitsu.co.jp 」を、このホスト名変換テーブル11の変換前ホスト名にマッチするエントリを検索する。そしてマッチした変換後アドレス「jp.fujitsu.com」を得る。
【0047】
S24.リダイレクタ3は、マッチした変換後アドレス「jp.fujitsu.com」をリダイレクト先とした、リダイレクトデータ「Location:http://jp.fujitsu.com/fujitsu.html 」を出力HTTPデータバッファ12に作成する。なおホスト名変換テーブル11に入力HTTPデータのホスト名が存在しない場合、そのデータは破棄する。
【0048】
S25.リダイレクタ3は出力HTTPデータバッファ12に作成されたリダイレクトデータを含むリダイレクト命令をクライアント5に出力する前に遅延手段6により遅延処理する。具体的には、例えば0.1秒出力するのを待つ。
【0049】
S26.リダイレクタ3は、この遅延処理されたリダイレクトデータを含むリダイレクト命令をクライアント5に出力する。
【0050】
これによりクライアント5では、この遅延処理されたリダイレクト命令を受信し、指示されたリダイレクト先へGETリクエストを出力し、今度はプロキシ4にこのGETリクエストが受信される。
【0051】
S27.これによりプロキシ4には、図8(B)に示す如く、リダイレクト先としてクライアント5から送出された、GETリクエストを示すHTTPデータが入力される。
【0052】
S28.プロキシ4は、これを図示省略した出力データバッファにコピーする。
【0053】
S29.プロキシ4は、このコピーしたHTTPデータをサーバ2に出力し、アクセスを行う。そしてコンテンツデータを得て、これをクライアント5に中継出力する。
【0054】
このように、リダイレクトデータを遅延出力することによりアクセス量を減少することができ、決められた時間内に発生する攻撃数を抑制することができる。
【0055】
なお遅延処理は、すべてのGETリクエストに対し行ってもよいし、一定割合、例えば1/2を遅延処理させてもよい。またインターネットではアクセス元アドレスやアクセス元のアクセス回数もわかるので、アクセス元やアクセス回数の多いところに対し遅延を行うように処理することもできる。
【0056】
3.第3の実施の形態
本発明の第3の実施の形態を図3により説明する。第3の実施の形態ではリダイレクタ3にセッションID付加手段7を設け、クライアント5がリダイレクト先へGETリクエストを出力するとき、このセッションIDを付加して送出させ、リダイレクタ3よりリダイレクタ命令を受けたものであることが確認できる。
【0057】
図3の動作を図9のフローチャートにもとづき説明する。
【0058】
S31.クライアント5はサーバ装置1に対してリクエスト要求「GETリクエスト」を送出し、これがサーバ装置1のリダイレクタ3に入力される。
【0059】
S32.この入力はリダイレクタ3の入力HTTPデータバッファ10に保持される。これにより前記と同様に、ホスト名として「www.fujitsu.co.jp 」を抽出する。
【0060】
S33.サーバ装置1には、初期設定時にリダイレクタ3が入力HTTPデータバッファ10より抽出したホスト名を変換するホスト名変換テーブル11を静的に設定しておく。リダイレクタ3は、前記ホスト名「www.fujitsu.co.jp 」を、このホスト名変換テーブル11の変換前ホスト名にマッチするエントリを検索する。そしてマッチした変換後アドレス「jp.fujitsu.com」を得る。
【0061】
S34.この変換後アドレスが得られたとき、リダイレクタ3は、セッションを識別するためのセッションIDをセッションIDバッファ13に作成する。セッションIDは、ランダムに選んだ英数字の組み合わせであり、乱数を用いてセッションIDの生成を行い、これをセッションIDバッファ13に記入する。図9ではセッションIDとして「X532j0w8afofdsia」が記入された状態を示す。なお、ホスト名変換テーブル11に入力HTTPデータのホスト名が存在しない場合、そのデータは破棄する。
【0062】
S35.リダイレクタ3は、このように作成したセッションIDをプロキシ4に通知する。
【0063】
S36.リダイレクタ3は、このセッションIDをパスに加えたものをリダイレクトデータとして出力HTTPデータバッファ12に作成する。
【0064】
S37.リダイレクタ3は、このようにして作成したリダイレクトデータを含むリダイレクト命令をクライアント5に出力する。
【0065】
このようにして、例えばセッションID「X532j0w8afofdsia」が記入される下記の出力データが作成される。
【0066】
http://www.fujitsu.co.jp/fujitsu.html ≫http://jp.fujitsu.com/X532j0w8afofdsia/fujitsu.html
4.第4の実施の形態
本発明の第4の実施の形態を図3及び図10にもとづき説明する。第4の実施例では、セッションID付加手段7からのセッションIDと共にセッションが新規の状態を示す状態信号「新規」をリダイレクタ3からプロキシ4に制御データとして送出する。
【0067】
プロキシ4は、これを受けて、図10に示すフィルタリング通過テーブル14を作成する。図10では、セッションIDが「X532j0w8afofdsia」のセッションは「新規」であり、「Fdsaugdsa315i4jl」のセッションは「継続」であることが登録されている。なお同じセッションで2度目以降のサーバ装置1へのアクセスは、初めのときに指定されたプロキシ4に受信される。
【0068】
第4の実施の形態について、図10にもとづき説明する。
【0069】
S41.プロキシ4にクライアント5からのHTTPパケット入力としてリダイレクト先へのGETリクエストが伝達される。
【0070】
S42.プロキシ4は、このHTTPパケットに対してURLフィルタリングを行う。すなわちこのHTTPパケットよりセッションIDを抽出し、これを検索キーとしてフィルタリング通過テーブル14のセッションIDがマッチするエントリを検索する。このセッションが「継続」か「新規」かを検出する。エントリが存在しなければそのデータは破棄する。リダイレクタへ再びリダイレクトする。エントリが存在し、状態が「新規」の場合にはこれを「継続」に変更する。
【0071】
S43.このURLフィルタリングにより、リダイレクト先へのGETリクエストの状態が「新規」か「継続」か判別されるので、出力キューを新規セッション出力キューQと、継続セッション出力キューQに分け、継続セッションキューQの出力データを優先的に出力するように制御する。
【0072】
S44.このように、図示省略したプロキシ4の出力データバッファに、継続セッションキューQの出力データが優先的にコピーされる。
【0073】
S45.そしてプロキシ4からサーバ2へGETリクエストが送信されアクセスが行われる。
【0074】
リダイレクタ3より通知されたセッションIDは、プロキシ4で受け取られ、フィルタリング通過テーブル14に該当セッションIDを状態新規で登録する。またセッションが終了した場合、フィルタリングテーブル14から削除する。また同一セッションで2度目以降のアクセスはフィルタリング通過テーブル14に状態が「継続」で登録されている。
【0075】
またプロキシ4ではこのセッション終了時に、フィルタリング通過テーブル14のセッションIDが削除される。
【0076】
このようにしてプロキシ4において、出力データバッファにクライアント5からのGETリクエストがコピーされる前にURLフィルタリングおよびセッションIDによる優先制御が行われ、優先度の高いものをサーバ2に優先的にアクセスすることができる。
【0077】
なお前記説明ではセッションIDをURL(unifom resource locators) に付加した例について説明したが、本発明は勿論これに限定されるものではなく、他の表記方法例えば文字列であるCookieを使用することもできる。
【0078】
5.第5の実施の形態
本発明の第5の実施の形態を図4及び図11にもとづき説明する。第5の実施の形態では、リダイレクタ3に遅延手段6とセッションID付加手段7を設けたものである。
【0079】
図4の動作を図11のフローチャートにもとづき説明する。
【0080】
S51.クライアント5はサーバ装置1に対してリクエスト要求「GETリクエスト」を送出し、これがサーバ装置1のリダイレクタ3に入力される。
【0081】
S52.この入力であるHTTPパケットデータは、リダイレクタ3の入力HTTPデータバッファ10に保持される。そしてリダイレクタ3がホスト名として「www.fujitsu.co.jp 」を抽出する。
【0082】
S53.サーバ装置1には、前記と同様に、初期設定時にホスト名変換テーブル11を静的に設定しておく。リダイレクタ3は、前記ホスト名「www.fujitsu.co.jp 」を、このホスト名変換テーブル11の変換前ホスト名にマッチするエントリを検索する。そしてマッチした変換後アドレス「jp.fujitsu.com」を得る。
【0083】
S54.この変換後アドレスが得られたとき、リダイレクタ3は、セッションを識別するためのセッションIDをセッションIDバッファ13に作成する。セッションIDは、例えば乱数を用いて英数字の組み合わせで作る。図11ではセッションIDとして「X532j0w8afofdsia」が作成された状態を示す。なおホスト名変換テーブル11に入力HTTPデータのホスト名が存在しない場合、そのデータは破棄する。
【0084】
S55.リダイレクタ3は、このように作成したセッションIDをプロキシ4に通知する。
【0085】
S56.リダイレクタ3は、このセッションIDをパスに加えたものをリダイレクトデータとして出力HTTPデータバッファ12に作成する。これによりリダイレクトデータとして出力HTTPデータバッファ12に図11に示す如き、出力HTTPパケットデータが記入される。
【0086】
S57.リダイレクタ3は、出力HTTPデータバッファ12に作成されたリダイレクトデータをクライアント5に出力する前に遅延手段6により遅延処理し、出力を遅らせる。
【0087】
S58.リダイレクタ3は、この遅延処理されたリダイレクトデータをクライアント5に出力する。
【0088】
これにより前記図3と同様な制御が行われ、サーバ1より得られたコンテンツデータがクライアント5に送出される。
【0089】
ところでセッションIDを付加することによりそのセッションがどのような制御を受けたのか認識することができる。例えばプロキシへのGETリクエストにセッションIDが付加されていれば、これがリダイレクタ3で受信されたものであって攻撃用のものではないことを認識したり、すでに同じIDのセッションがプロキシで処理されていたことが判別した場合、あとから同じIDの付加されたGETリクエストが受信されてもすでに処理済みとして処理することができ、攻撃に対する防護として機能することができる。
【0090】
更に遅延処理を行うことにより攻撃用のアクセスデータを減少させたり、負荷分散を行うことができる。
【0091】
6.他の実施の形態
本発明の他の実施の形態を図5、図6にもとづき説明する。本発明の他の実施の形態では、プロキシを省略したものである。図5は図1に示す実施の形態よりプロキシ4を省略したものを示し、図6は図3に示す実施の形態よりプロキシ4を省略したものを示す。いずれもリダイレクト先としてはサーバ2が指示される。
【0092】
A.図5の動作を説明する。
【0093】
(1)クライアント5はサーバ装置1に対してリクエスト要求「GETリクエスト」を送出し、これがリダイレクタ3に入力される。
【0094】
(2)この入力は、図5では省略された、リダイレクタ3の入力HTTPデータバッファに保持される。そしてホスト名が抽出される。リダイレクタ3は、サーバ装置1に設定された、図5では省略されたホスト名変換テーブルを検索して変換後アドレスを得る。この場合、変換後アドレスとしてサーバ2へのアクセス用アドレスが使用される。リダイレクタ3はこのサーバ2へのアクセス用アドレスを含むリダイレクト命令をクライアント5に送出する。
【0095】
(3)クライアント5は、これによりリダイレクト先であるサーバ2に「GETリクエスト」を送出する。
【0096】
(4)サーバ2はこれに対応する処理を行い、得られたコンテンツデータをクライアント5に送出する。
【0097】
B.図6の動作を説明する。
【0098】
(1)クライアント5はサーバ装置1に対してリクエスト要求「GETリクエスト」を送出し、これがリダイレクタ3に入力される。
【0099】
(2)この入力は、図6では省略された、リダイレクタ3の入力HTTPデータバッファに保持される。そしてホスト名が抽出される。リダイレクタ3は、サーバ装置1に設定された、図6では省略されたホスト名変換テーブルを検索して変化後アドレスを得る。この場合、変換後アドレスとしてサーバ2へのアクセス用アドレスが使用される。リダイレクタ3は、このリダイレクトデータを含むリダイレクト命令を遅延手段6により遅延出力処理する。
【0100】
(3)それからリダイレクタ3は遅延処理されたリダイレクト命令をクライアント5に送出する。
【0101】
(4)クライアント5は、これによりリダイレクト先であるサーバ2に「GETリクエスト」を送出する。
【0102】
(5)サーバ2はこれに対応する処理を行い、得られたコンテンツデータをクライアントに送出する。
【0103】
このように図5、図6で示す他の実施の態様ではプロキシを使用することなく、リダイヤル処理を行うことができ、DoS攻撃や輻輳に対応することができる。
【0104】
ところでプロキシを使用する場合には、サーバ2を外から見えなくすることができるので外部からのDoS攻撃に対してサーバ2をガードすることができる。
【0105】
またプロキシに対して攻撃が行われたとき、プロキシをリダイレクタとして機能させ、リダイレクタをプロキシとして機能させることにより、攻撃に対処できる。
【0106】
あるいは、図12(A)に示す如く、プロキシをリダイレクタPとして動作させ、初めにリダイレクタRに入力されたGETリクエストを、クライアントに対してリダイレクト命令を出してリダイレクタPに送出させ、リダイレクタPがクライアントに対して再度初めにアクセスしたリダイレクタRにアクセスさせることによりDoS攻撃を排除することもできる。
【0107】
また、図12(B)に示す如く、プロキシをリダイレクタPとして動作させ、初めにリダイレクタRに入力されたGETリクエストを、クライアントに対してリダイレクト命令を出してリダイレクタPに送出させることにより、DoS攻撃を排除することもできる。
【0108】
このように、リダイレクタがリダイレクト先に指定したプロキシでリダイレクト動作を行うことにより、多段でアクセス誘導を行うこともできる。
【0109】
これにより、増幅攻撃などで、リダイレクト先が新たな攻撃対象になった時、アクセス数によって攻撃をプロキシが検出できれば、再度リダイレクトを行い、攻撃を回避することが可能になる。
【0110】
ところで本発明のサーバ装置は、ユーザ(クライアント)からの認識の違いによりA・サーバモードと、B・プロキシモードがある。
【0111】
サーバモードで動作している本発明のサーバ装置のリダイレクタでは、図13(A)に示す如く、原則として1つのサーバSをアクセス対象にするのに対し、プロキシモードで動作している本発明のサーバ装置のリダイレクタでは、図13(B)に示す如く、複数のサーバS、S・・・をアクセス対象としている。
【0112】
サーバモードでは、クライアントからはサーバとして認識され、クライアントからアクセス先サーバ(自分自身)へのアクセスのみ受付け、HTTP GETリクエストにアクセス先サーバの情報がない。サーバモードは不特定多数のユーザを対象とするサーバ向けのものである。
【0113】
プロキシモードでは、クライアントからはプロキシとして認識され、クライアントから発生する全てのサーバへのアクセスを受付け、HTTP GETリクエストにアクセス先サーバの情報がある。
【0114】
プロキシモードはインターネット・プロバイダや会社組織など、管理された領域のユーザを対象とするサービス向けのものである。
【0115】
サーバモードとプロキシモードでは、クライアントからサーバへ送られるHTTPリクエストが異なる。この違いは、基本的にユーザ側ブラウザの設定に依存する。プロキシモードで動作しているサーバ装置へアクセスする場合、ユーザもしくは管理者などが、ユーザが利用するブラウザにプロキシを使用する設定を行う必要がある。
【0116】
サーバモードの場合のGETリクエストは、下記の如くサーバ情報つまりホストサービス情報は不要でindex.htmlつまりファイル名が必要である。
【0117】
GET/index.html HTTP/1.1
しかしプロキシモードの場合、GETリクエストは、下記の如く、ホストサービス情報(例えばfujitsu.com )とファイル名が必要である。
【0118】
GET http://www.fujitsu.com/index.html HTTP/1.1
これらの違いは、サーバモードでは1つのサーバを対象とし、プロキシモードでは複数のサーバを対象とすることによる。
【0119】
前記図1〜図11の説明はプロキシモードでのものであるので、図14、15を参照して以下にサーバモードについての実施の形態を説明する。
【0120】
サーバモードで動作しているサーバ装置では、自サーバ装置に届くアクセスはすべて自サーバ装置向けのアクセスなので、ホスト名の静的な変換を行うことになる。
【0121】
サーバ装置がサーバモードとして動作する場合の、本発明の第6の実施の形態を図14に示す動作説明図により、図1を参照して詳述する。なおハード構成は、図1と同様であり、具体的にはリダイレクタがサーバモードのとき、図14(A)により説明する如き動作を行うものである。
【0122】
S61.クライアント5からサーバ装置1へリクエスト要求「GETリクエスト」を送信する。これがサーバ装置1のリダイレクタ3に入力される。
【0123】
このとき、サーバ装置1は1つのアドレス、1つのポートのみで受信を行っている。リダイレクタ3に入力されたHTTPデータは、入力HTTPデータバッファ20に保持される。なおサーバモードで動作している場合、クライアント5からのリクエストにはホスト情報はない。
【0124】
S62.サーバ装置1には、静的リダイレクト先定義テーブル21に、リダイレクト先を事前に設定しておく。これにより、リダイレクタ3は、この静的リダイレクト先定義テーブル21を参照してリダイレクト先「jp.fujitsu.com」を決定する。この時、この実施の形態ではサーバ装置1は1つのポート、1つのアドレスで要求を受け付けているので、リダイレクト先は1つになる。リダイレクタ3は、このリダイレクト先と、入力HTTデータバッファ20に記入されているアクセス先のファイル名「fujitsu.html」等より、出力HTTPデータバッファ22にリダイレクト情報であるリクエストデータを作成する。なお、リダイレクト先を1つではなく、同じサービスを提供する複数のサーバを定義してラウンドロビン等でリダイレクト先を変更して負荷分担することも可能である。
【0125】
S63.リダイレクタ3は、出力HTTPデータバッファ22に作成されたリクエストデータを含むリダイレクト情報をクライアント5に出力する。
【0126】
これによりクライアント5では前記と同様にリダイレクト先つまりプロキシ4にGETリクエストを出力することになる。
【0127】
S70.これによりプロキシ4には、クライアント5から送出されたGETリクエストを示すHTTPデータが入力される。
【0128】
S71.プロキシ4は、これを図示省略した出力データバッファにコピーする。
【0129】
S72.プロキシ4は、このコピーしたHTTPデータをサーバに出力し、アクセスを行う。そしてコンテンツデータを得て、これをクライアント5に中継出力する。
【0130】
本発明の第7の実施の形態を図15に示す動作説明図により、図1を参照して説明する。
【0131】
1つのパソコンに複数のアドレスを付けることができるので、第7の実施の形態では、サーバ装置は複数のアドレス、複数のポートで受信を行っている場合において、サーバ装置をサーバモードとして動作されるものである。
【0132】
S81.クライアント5からサーバ装置1へリクエスト要求を送信する。これがサーバ装置1のリダイレクタ3に入力される。このとき、サーバ装置1は複数のアドレス、複数のポートで受信を行っている。従って、リダイレクタ3に入力されたHTTPデータは入力HTTPデータバッファ20に保持され、またサーバ装置1の利用アドレス、例えば「192.168.1.1」と、受信ポート「80」が、利用アドレス及びポート情報保持部23に記録する。
【0133】
S82.サーバ装置1のリダイレクタ3は、受信に利用した受信ポート「80」と、受信アドレス「192.168.1.1」から、リダイレクト先定義テーブル24を検索し、リダイレクト先を決定する。なお、リダイレクト先定義テーブル24は事前に、受信ポートと受信アドレスの組み合わせにより設定しておく。したがって検索の結果リダイレクト先が得られない場合は、このリクエスト要求は終了される。なお、リダイレクト先を1つではなく、同じサービスを提供する複数のサーバを定義してラウンドロビン等でリダイレクト先を変更して負荷分担することも可能である。
【0134】
S83.検索の結果、リダイレクト先が得られると、例えばリダイレクト先「jp.fujitsu.com」が得られると、リダイレクタ3は、これら入力HTTPデータバッファ20に保持されたアクセス先のファイル名「fujitsu html」、リダイレクト先定義テーブル24より得られたアクセス先のサーバ名「jp.fujitsu.com」等より、出力HTTPデータバッファ22にリダイレクト情報であるリクエストデータを作成する。
【0135】
S84.リダイレクタ3は、出力HTTPデータバッファ22に作成されたリクエストデータを含むリダイレクト情報をクライアント5に出力する。
【0136】
これによりクライアント5では前記と同様にリダイレクト先つまりプロキシ4にGETリクエストを出力することになる。
【0137】
S90.これによりプロキシ4には、クライアント5から送出されたGETリクエストを示すHTTPデータが入力される。
【0138】
S91.プロキシ4は、これを図示省略した出力データバッファにコピーする。
【0139】
S92.プロキシ4は、このコピーしたHTTPデータをサーバに出力し、アクセスを行う。そしてコンテンツデータを得て、これをクライアント5に中継出力する。
【0140】
なお前記他のプロキシモードの実施の形態についても、同様にしてサーバモードで動作させることができる。
【0141】
本発明では、サーバはコンピュータで構成され、リダイレクタ、プロキシもそれぞれコンピュータで構成されるが、リダイレクタとプロキシを1つのコンピュータで構成することもできるし、サーバ、リダイレクタ、プロキシを1つのコンピュータで構成することもできる。
【0142】
【発明の効果】本発明により下記の効果を奏することができる。
【0143】
(1)クライアントからサーバへのアクセスをリダイレクタで一度受けてサーバへアクセスするように制御することにより、通常アクセスを装った攻撃はこれによりリダイレクトを行わず攻撃中止になるので、通常アクセスを装った攻撃を通常のアクセスと分離することができ、攻撃を防ぐことができるので、リダイレクト命令に応答できない、スクリプト等の正常アクセスによる攻撃を除くことができ、サーバの負荷を軽減することができる。
【0144】
(2)クライアントからサーバへのアクセスをリダイレクタで一度受けてプロキシへアクセスし、プロキシからサーバにアクセスするように制御することにより、通常アクセスを装った攻撃はこれによりリダイレクトを行わず攻撃中止になるので通常アクセスを装った攻撃を通常のアクセスと分離することができ、攻撃を防ぐことができる。これによりリダイレクト命令に応答できないスクリプト等の正常アクセスによる攻撃を除くことができサーバの負荷を軽減することができるのみならず、プロキシによりサーバを外部インターネットから隠蔽してサーバが直接攻撃されることを防止できるので、高いセキュリティを実現できる。
【0145】
(3)アクセス誘導実行時に遅延処理を行うリダイレクタを有することにより、通常アクセスを装った攻撃の頻度を低下させる機能を持ったサーバ装置を提供することができる。
【0146】
(4)リダイレクト命令にセッションIDを付加し、セッションIDに対しアクセス制御を行うプロキシを有することにより、通常アクセスを装った攻撃の頻度を低下させ、セッション保障を有するサーバ装置を提供することができる。
【0147】
(5)リダイレクト命令を遅延処理しまたセッションIDを付加してセッションIDに対しアクセス制御を行うようにしたので、通常アクセスを装った攻撃の頻度をさらに低下させセッション保障を有するサーバ装置を提供することができる。
【図面の簡単な説明】
【図1】本発明の第1の実施の形態を示す。
【図2】本発明の第2の実施の形態を示す。
【図3】本発明の第3の実施の形態及び第4の実施の形態を示す。
【図4】本発明の第5の実施の形態を示す。
【図5】本発明の他の実施の形態(その1)を示す。
【図6】本発明の他の実施の形態(その2)を示す。
【図7】本発明の第1の実施の形態の動作説明図である。
【図8】本発明の第2の実施の形態の動作説明図である。
【図9】本発明の第3の実施の形態の動作説明図である。
【図10】本発明の第4の実施の形態の動作説明図である。
【図11】本発明の第5の実施の形態の動作説明図である。
【図12】DoS排除機能説明図である。
【図13】サーバモード、プロキシモード説明図である。
【図14】本発明の第6の実施の形態の動作説明図である。
【図15】本発明の第7の実施の形態の動作説明図である。
【図16】従来例説明図である。
【符号の説明】
1 サーバ装置
2 サーバ
3 リダイレクタ
4 プロキシ
5 クライアント
6 遅延手段
7 セッションID付加手段
10 入力HTTPデータバッファ
11 ホスト名変換テーブル
12 出力HTTPデータバッファ
13 セッションIDバッファ
14 フィルタリング通過テーブル[0001]
BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a server device, and more particularly to a server device for avoiding attacks and congestion on a server.
[0002]
2. Description of the Related Art At present, with the spread of the Internet due to the widespread use of the World Wide Web (WWW), a DoS (Denial of Service) attack that causes an unauthorized request or a large amount of access to cause a server to go down or congestion. Service response speed degradation is a problem.
[0003]
As shown in FIG. 16, when the client 100 requests the server 101 to provide a service using the Internet, the client 100 accesses the server 101 and receives information provision. For this reason, the client 100 issues a connection request to the server, sends a request request (GET request) when the session is established, and returns the content data obtained by the server 101 performing the job to the client 100 to the client 100.
[0004]
In such a case, a DoS attack is a denial-of-service attack in which a connection request to the server 101 is continuously made to exceed the processing capacity of the server 101 and normal access cannot be performed. There is also a DDoS (Distributed DoS) that is performed simultaneously from a plurality of machines in the attack.
[0005]
In order to avoid a DoS attack, the attack pattern is currently known, so it can be detected by a fraud detection device (IDS) and filtered by a firewall to stop it. This is addressed by preventing access.
[0006]
However, for attacks that do not differ from normal access, such as a large amount of normal access using a script language and a manual HTTP reload (redisplay instruction) using a large number of people, even if the IDS and firewall exist in the front stage of the server device, The DoS packet that can be detected by the signature of the IDS is filtered, and cannot be detected and handled by the IDS and the firewall.
[0007]
As a countermeasure against a DoS attack, conventionally, there is a method in which different types of security identifiers are added to communication packets and priority control is performed on a communication packet delivery route according to the security identifiers (for example, see Patent Document 1). .
[0008]
In order to avoid congestion in which many normal users are gathered, a method of increasing the number of servers and performing clustering is general. However, this method has a problem that, in the case of electronic commerce or the like, once congestion occurs, the currently connected session cannot be processed, and the transaction opportunity and credibility are lost, resulting in a large loss.
[0009]
[Patent Document 1]
JP-A-2002-158699 (page 1, abstract)
[0010]
An object of the present invention is to eliminate attacks by normal access to a server by a simple method, and to make it possible to directly process a server currently in use, thereby concentrating a large number of accesses. It is an object of the present invention to provide a server device capable of effectively using resources and performing session security in a congested state.
[0011]
FIG. 1 shows the principle of the present invention. In FIG. 1, 1 is a server device, 2 is a server, 3 is a redirector, 4 is a proxy, and 5 is a client.
[0012]
The object of the present invention is achieved by the following (1) to (5).
[0013]
(1) A response from the client 5 to the server 2 is sent to the server device having the server 2 in between, and the access to the server 2 is redirected to the server 2 by a redirect process, which is different from the first access destination from the client. By providing a redirector 3 for guiding the user to the server 2 and performing a redirect process for the access to the server 2, the request from the client 5 is guided to the redirect destination and the content data obtained from the server 2 is output to the client 5. Characteristic server device.
[0014]
(2) The server device having the server is provided with the redirector that responds to the access from the client 5 to the server 2 during that period and guides the access to the proxy 4 by the redirect process and the proxy 4 that performs the relay process to the server 2. By performing a redirect process for the access to the server 2, the request from the client is notified to the proxy 4, the request is output from the proxy 4 to the server 2, and the content obtained from the server 2 is output to the client 5 by the proxy 4. A server device characterized in that:
[0015]
(3) The server according to (2), wherein the redirector is provided with delay processing means for delay-output processing the redirect instruction when executing the access guidance, and delay-outputs the redirect instruction output from the redirector to the client. apparatus.
[0016]
(4) The redirector is provided with a session ID adding means for adding a session ID to the direct command, and when the redirector is output from the redirector to the client, the proxy is also notified of the session ID, and the proxy transmits the session ID to the proxy. (2) The server device according to (2), wherein session guarantee is performed for the redirect command, and the content obtained from the server is output to the client.
[0017]
(5) When the redirector is provided with delay processing means for delay-output processing of a redirect command at the time of execution of access guidance, and session ID adding means for adding a session ID to the redirect command, and when the redirector outputs the redirect command to the client. The server device according to (2), wherein the proxy is also notified of the session ID, the proxy performs session guarantee for a request command having the session ID, and outputs the content obtained from the server to the client. .
[0018]
This produces the following effects.
[0019]
(1) By controlling the access from the client to the server once by the redirector and accessing the server, the attack impersonating the normal access stops the attack without performing the redirection, so the impersonation of the normal access is performed. Since an attack can be separated from normal access and the attack can be prevented, an attack due to normal access to a script or the like that cannot respond to a redirect command can be eliminated, and the load on the server can be reduced.
[0020]
(2) By controlling the client to access the server once with the redirector to access the proxy and then access the server from the proxy, the attack that masquerades as a normal access can be stopped without redirecting. Therefore, an attack impersonating normal access can be separated from normal access, and the attack can be prevented. This not only eliminates attacks by normal access to scripts and the like that cannot respond to the redirect command, and can reduce the load on the server, but also prevents the server from being directly attacked by hiding the server from the external Internet using a proxy. High security can be realized.
[0021]
(3) By providing a redirector that performs delay processing when executing access guidance, it is possible to provide a server device having a function of reducing the frequency of attacks impersonating normal access.
[0022]
(4) By adding a session ID to a redirect command and having a proxy that performs access control on the session ID, it is possible to reduce the frequency of attacks masquerading as normal access and provide a server device having session security. .
[0023]
(5) Since the access control is performed on the session ID by delaying the redirect command and adding the session ID, the frequency of the attack impersonating the normal access is further reduced, and the server apparatus having the session security is provided. be able to.
[0024]
BEST MODE FOR CARRYING OUT THE INVENTION
1. First embodiment
One embodiment of the present invention will be described with reference to FIG. In FIG. 1, 1 is a server device, 2 is a server, 3 is a redirector, 4 is a proxy, and 5 is a client.
[0025]
The server device 1 performs data processing in response to a request request from the client 5. For example, the server device 1 reads out required data and sends it to the requesting client, and the server 2, the redirector 3, and the proxy 4 Have.
[0026]
The server 2 manages files and performs input / output, and is configured by a computer such as a processor and a storage device.
[0027]
The redirector 3 changes the request destination to the proxy 4 in response to an access request from the client 5.
[0028]
When the client 5 accesses the server, the proxy 4 is designated by the redirector 3 provided between the client 5 and the server 2 as a request destination, relays the request on behalf of the server 2, and relays the obtained data. It has a relay proxy response function for relay transmission to the requesting client 4.
[0029]
The operation of FIG. 1 will be described based on the flowchart of FIG.
[0030]
S1. The client 5 sends a request request “GET request” to the server device 1, which is input to the redirector 3 of the server device 1.
[0031]
S2. This input is stored in an input HTTP (Hypertext Transfer Protocol) data buffer 10 of the redirector 3. As a result, in the case of the following GET request, the input HTTP data is held, and “www.fujitsu.co.jp” is extracted from the underlined portion as the host name.
[0032]
GET http: // www. Fujitsu. co. jp / fujitsu. html HTTP / 1.1S3. At the time of initial setting, the server device 1 statically sets a host name conversion table 11 for converting the host name extracted from the input HTTP data buffer 10 by the redirector 3. The redirector 3 searches the host name “www.fujitsu.co.jp” for an entry that matches the pre-conversion host name in the host name conversion table 11. Then, the converted address "jp.fujitsu.com" is obtained.
[0033]
S4. The redirector 3 creates redirect data “Location: http: //jp.fujitsu.com/fujitsu.html” in the output HTTP data buffer 12 with the matched converted address “jp.fujitsu.com” as the redirect destination. . If the host name of the input HTTP data does not exist in the host name conversion table 11, the data is discarded.
[0034]
S5. The redirector 3 outputs a redirect command including the redirect data created in the output HTTP data buffer 12 to the client 5.
[0035]
As a result, the client 5 receives the redirect command, outputs a GET request to “jp.fujitsu.com” in this example to the designated redirect destination, and the proxy 4 receives the GET request in the future.
[0036]
S10. As a result, as shown in FIG. 7B, HTTP data indicating a GET request sent from the client 5 as a redirect destination is input to the proxy 4.
[0037]
S11. The proxy 4 copies this to an output data buffer not shown.
[0038]
S12. The proxy 4 outputs the copied HTTP data to the server 2 and performs access. Then, the content data is obtained and relayed to the client 5.
[0039]
In the above description, an example in which the host name is converted is given. However, the present invention is not limited to this, and the port and path name may be changed and added in addition to the host name as follows. Good.
[0040]
http: // www. Fujitsu. co. jp / index. html @http: // www. Fujitsu. co. jp: 8080 / index. html
http: // www. Fujitsu. co. jp / index. html @http: // www. Fujitsu. co. jp / yokyoko / index. html
In the case of performing a DoS attack, there is almost no case where the redirect is performed according to the redirect data even if the redirect data is sent from the redirector, and thus the DoS attack can be prevented.
[0041]
When normal access is congested with respect to the server device 1, the client outputs a GET request again to the redirect destination by this redirection, so that access to the server 2 is generally guided to another machine. Therefore, the congestion state is reduced and the congestion state is improved.
[0042]
2. Second embodiment
A second embodiment of the present invention will be described with reference to FIG. In the second embodiment, a delay unit 6 is provided in the redirector 3, and delay processing is performed when a redirect command is sent to a client. For example, control such as sending after waiting for 0.1 second is performed.
[0043]
The operation of FIG. 2 will be described based on the flowchart of FIG.
[0044]
S21. The client 5 sends a request request “GET request” to the server device 1, which is input to the redirector 3 of the server device 1.
[0045]
S22. This input is held in the input HTTP data buffer 10 of the redirector 3. As a result, “www.fujitsu.co.jp” is extracted as the host name in the same manner as described above.
[0046]
S23. In the server device 1, a host name conversion table 11 for converting the host name extracted from the input HTTP data buffer 10 by the redirector 3 at the time of initial setting is statically set. The redirector 3 searches the host name “www.fujitsu.co.jp” for an entry that matches the pre-conversion host name in the host name conversion table 11. Then, the converted address "jp.fujitsu.com" is obtained.
[0047]
S24. The redirector 3 creates redirect data “Location: http: //jp.fujitsu.com/fujitsu.html” in the output HTTP data buffer 12 with the matched converted address “jp.fujitsu.com” as the redirect destination. . If the host name of the input HTTP data does not exist in the host name conversion table 11, the data is discarded.
[0048]
S25. The redirector 3 delays the redirect command including the redirect data created in the output HTTP data buffer 12 by the delay unit 6 before outputting the redirect command to the client 5. Specifically, for example, it waits for output for 0.1 second.
[0049]
S26. The redirector 3 outputs a redirect command including the redirected redirected data to the client 5.
[0050]
As a result, the client 5 receives the delayed redirect command, outputs a GET request to the designated redirect destination, and the proxy 4 receives the GET request this time.
[0051]
S27. As a result, as shown in FIG. 8B, HTTP data indicating a GET request transmitted from the client 5 as a redirect destination is input to the proxy 4.
[0052]
S28. The proxy 4 copies this to an output data buffer not shown.
[0053]
S29. The proxy 4 outputs the copied HTTP data to the server 2 and performs access. Then, the content data is obtained and relayed to the client 5.
[0054]
Thus, by delaying the output of the redirect data, the amount of access can be reduced, and the number of attacks that occur within a predetermined time can be suppressed.
[0055]
Note that the delay processing may be performed for all GET requests, or may be delayed at a fixed rate, for example, 1 /. In addition, since the access source address and the access count of the access source can be known on the Internet, it is possible to perform processing so as to delay the access source or a place where the access count is large.
[0056]
3. Third embodiment
A third embodiment of the present invention will be described with reference to FIG. In the third embodiment, the redirector 3 is provided with a session ID adding means 7, and when the client 5 outputs a GET request to the redirect destination, the redirector 3 sends the GET request with the added session ID, and receives a redirector command from the redirector 3. Can be confirmed.
[0057]
The operation of FIG. 3 will be described based on the flowchart of FIG.
[0058]
S31. The client 5 sends a request request “GET request” to the server device 1, which is input to the redirector 3 of the server device 1.
[0059]
S32. This input is held in the input HTTP data buffer 10 of the redirector 3. As a result, “www.fujitsu.co.jp” is extracted as the host name in the same manner as described above.
[0060]
S33. In the server device 1, a host name conversion table 11 for converting the host name extracted from the input HTTP data buffer 10 by the redirector 3 at the time of initial setting is statically set. The redirector 3 searches the host name “www.fujitsu.co.jp” for an entry that matches the pre-conversion host name in the host name conversion table 11. Then, the converted address "jp.fujitsu.com" is obtained.
[0061]
S34. When the converted address is obtained, the redirector 3 creates a session ID for identifying the session in the session ID buffer 13. The session ID is a combination of alphanumeric characters selected at random, generates a session ID using a random number, and writes this in the session ID buffer 13. FIG. 9 shows a state in which “X532j0w8afofdsia” is entered as the session ID. If the host name of the input HTTP data does not exist in the host name conversion table 11, the data is discarded.
[0062]
S35. The redirector 3 notifies the proxy 4 of the session ID created in this way.
[0063]
S36. The redirector 3 creates the result of adding the session ID to the path in the output HTTP data buffer 12 as redirect data.
[0064]
S37. The redirector 3 outputs a redirect command including the redirect data created in this way to the client 5.
[0065]
In this way, for example, the following output data in which the session ID “X532j0w8afofdsia” is entered is created.
[0066]
http: // www. Fujitsu. co. jp / fujitsu. html @http: // jp. Fujitsu. com / X532j0w8afofdsia / fujitsu. html
4. Fourth embodiment
A fourth embodiment of the present invention will be described with reference to FIGS. In the fourth embodiment, a state signal “new” indicating a new state of a session is transmitted from the redirector 3 to the proxy 4 as control data together with the session ID from the session ID adding means 7.
[0067]
In response to this, the proxy 4 creates the filtering passage table 14 shown in FIG. In FIG. 10, it is registered that the session with the session ID “X532j0w8afofdsia” is “new” and the session with “Fdsaugdsa315i4jl” is “continue”. The access to the server device 1 for the second and subsequent times in the same session is received by the proxy 4 specified at the beginning.
[0068]
A fourth embodiment will be described with reference to FIG.
[0069]
S41. A GET request to the redirect destination is transmitted to the proxy 4 as an HTTP packet input from the client 5.
[0070]
S42. The proxy 4 performs URL filtering on the HTTP packet. That is, a session ID is extracted from the HTTP packet, and the entry matching the session ID in the filtering passage table 14 is searched using the extracted session ID as a search key. It detects whether this session is “continuation” or “new”. If the entry does not exist, the data is discarded. Redirect to the redirector again. If the entry exists and the state is "new", change this to "continue".
[0071]
S43. The URL filtering determines whether the status of the GET request to the redirect destination is “new” or “continued”. 1 And the continuous session output queue Q 2 And the continuous session queue Q 2 Is controlled so as to output the output data with priority.
[0072]
S44. Thus, the continuous session queue Q is stored in the output data buffer of the proxy 4 (not shown). 2 Output data is preferentially copied.
[0073]
S45. Then, a GET request is transmitted from the proxy 4 to the server 2 and access is performed.
[0074]
The session ID notified from the redirector 3 is received by the proxy 4, and the corresponding session ID is newly registered in the filtering passage table 14. When the session has ended, it is deleted from the filtering table 14. In addition, the second and subsequent accesses in the same session are registered in the filtering passage table 14 with the status “continued”.
[0075]
At the end of the session, the proxy 4 deletes the session ID in the filtering passage table 14.
[0076]
In this manner, in the proxy 4, prior to the GET request from the client 5 being copied to the output data buffer, the URL filtering and the priority control based on the session ID are performed, and the one with the higher priority is preferentially accessed to the server 2. be able to.
[0077]
In the above description, an example in which the session ID is added to the URL (uniform resource locators) has been described. However, the present invention is not limited to this. Of course, other notation methods such as a cookie character string may be used. it can.
[0078]
5. Fifth embodiment
A fifth embodiment of the present invention will be described with reference to FIGS. In the fifth embodiment, the redirector 3 is provided with the delay unit 6 and the session ID adding unit 7.
[0079]
The operation of FIG. 4 will be described based on the flowchart of FIG.
[0080]
S51. The client 5 sends a request request “GET request” to the server device 1, which is input to the redirector 3 of the server device 1.
[0081]
S52. The input HTTP packet data is held in the input HTTP data buffer 10 of the redirector 3. Then, the redirector 3 extracts “www.fujitsu.co.jp” as the host name.
[0082]
S53. As described above, the host name conversion table 11 is statically set in the server device 1 at the time of initialization. The redirector 3 searches the host name “www.fujitsu.co.jp” for an entry that matches the pre-conversion host name in the host name conversion table 11. Then, the converted address "jp.fujitsu.com" is obtained.
[0083]
S54. When the converted address is obtained, the redirector 3 creates a session ID for identifying the session in the session ID buffer 13. The session ID is made up of, for example, a combination of alphanumeric characters using random numbers. FIG. 11 shows a state in which “X532j0w8afofdsia” has been created as the session ID. If the host name of the input HTTP data does not exist in the host name conversion table 11, the data is discarded.
[0084]
S55. The redirector 3 notifies the proxy 4 of the session ID created in this way.
[0085]
S56. The redirector 3 creates the result of adding the session ID to the path in the output HTTP data buffer 12 as redirect data. As a result, output HTTP packet data is written as redirect data in the output HTTP data buffer 12, as shown in FIG.
[0086]
S57. The redirector 3 delays the output by delaying the redirect data created in the output HTTP data buffer 12 by the delay unit 6 before outputting the redirect data to the client 5.
[0087]
S58. The redirector 3 outputs the delayed redirected data to the client 5.
[0088]
Thus, the same control as in FIG. 3 is performed, and the content data obtained from the server 1 is sent to the client 5.
[0089]
By adding the session ID, it is possible to recognize what kind of control the session has received. For example, if a session ID is added to the GET request to the proxy, it is recognized that this is received by the redirector 3 and not an attack, or a session with the same ID has already been processed by the proxy. When it is determined that the GET request with the same ID is received later, it can be processed as already processed, and can function as protection against an attack.
[0090]
Further, by performing the delay processing, it is possible to reduce the access data for the attack and to perform the load distribution.
[0091]
6. Other embodiments
Another embodiment of the present invention will be described with reference to FIGS. In another embodiment of the present invention, the proxy is omitted. FIG. 5 shows an embodiment in which the proxy 4 is omitted from the embodiment shown in FIG. 1, and FIG. 6 shows an embodiment in which the proxy 4 is omitted from the embodiment shown in FIG. In each case, the server 2 is instructed as the redirect destination.
[0092]
A. The operation of FIG. 5 will be described.
[0093]
(1) The client 5 sends a request request “GET request” to the server device 1, which is input to the redirector 3.
[0094]
(2) This input is held in the input HTTP data buffer of the redirector 3, which is omitted in FIG. Then, the host name is extracted. The redirector 3 retrieves the host name conversion table set in the server device 1 and omitted in FIG. In this case, an address for accessing the server 2 is used as the converted address. The redirector 3 sends the client 5 a redirect command including the address for accessing the server 2.
[0095]
(3) The client 5 sends a “GET request” to the server 2 that is the redirect destination.
[0096]
(4) The server 2 performs a corresponding process, and sends out the obtained content data to the client 5.
[0097]
B. The operation of FIG. 6 will be described.
[0098]
(1) The client 5 sends a request request “GET request” to the server device 1, which is input to the redirector 3.
[0099]
(2) This input is held in the input HTTP data buffer of the redirector 3, which is omitted in FIG. Then, the host name is extracted. The redirector 3 obtains the changed address by searching the host name conversion table set in the server device 1 and omitted in FIG. In this case, an address for accessing the server 2 is used as the converted address. The redirector 3 delays and outputs the redirect instruction including the redirect data by the delay unit 6.
[0100]
(3) Then, the redirector 3 sends the redirect command subjected to the delay processing to the client 5.
[0101]
(4) The client 5 sends a “GET request” to the server 2 that is the redirect destination.
[0102]
(5) The server 2 performs a corresponding process, and sends out the obtained content data to the client.
[0103]
As described above, in the other embodiments shown in FIGS. 5 and 6, redial processing can be performed without using a proxy, and DoS attacks and congestion can be dealt with.
[0104]
When a proxy is used, the server 2 can be made invisible from the outside, so that the server 2 can be guarded against an external DoS attack.
[0105]
Also, when an attack is performed on the proxy, the proxy can function as a redirector, and the redirector can function as a proxy, thereby coping with the attack.
[0106]
Alternatively, as shown in FIG. 12A, the proxy is operated as a redirector P, and a GET request input first to the redirector R is issued to the client by issuing a redirect instruction to the redirector P, and the redirector P sends the GET request to the client. In this case, the DoS attack can be eliminated by accessing the redirector R that has accessed first.
[0107]
Further, as shown in FIG. 12B, the proxy is operated as a redirector P, and a GET request input first to the redirector R is issued to the client by issuing a redirect command to the redirector P, thereby transmitting a DoS attack. Can also be eliminated.
[0108]
In this manner, the redirector performs the redirect operation with the proxy designated as the redirect destination, so that the access guidance can be performed in multiple stages.
[0109]
As a result, when the redirect destination becomes a new attack target due to an amplification attack or the like, if the proxy can detect the attack based on the number of accesses, it is possible to redirect again and avoid the attack.
[0110]
Incidentally, the server device of the present invention has an A-server mode and a B-proxy mode depending on the difference in recognition from the user (client).
[0111]
In the redirector of the server device of the present invention operating in the server mode, as shown in FIG. 13A, one server S is targeted for access in principle, while the redirector of the present invention operating in the proxy mode is used. In the redirector of the server device, as shown in FIG. 0 , S 1 ... are to be accessed.
[0112]
In the server mode, the client recognizes the server as a server, accepts only access to the access destination server (self) from the client, and has no information of the access destination server in the HTTP GET request. The server mode is for servers intended for an unspecified number of users.
[0113]
In the proxy mode, the client recognizes the server as a proxy, accepts access to all servers generated by the client, and includes information on the access destination server in the HTTP GET request.
[0114]
The proxy mode is for services intended for users in managed areas, such as Internet providers and corporate organizations.
[0115]
The HTTP request sent from the client to the server differs between the server mode and the proxy mode. This difference basically depends on the setting of the user browser. When accessing a server device operating in the proxy mode, it is necessary for a user or an administrator to make settings to use a proxy for a browser used by the user.
[0116]
In the case of the server mode, the GET request does not need the server information, that is, the host service information, as described below, and requires the index. html, that is, a file name is required.
[0117]
GET / index. html HTTP / 1.1
However, in the case of the proxy mode, the GET request requires host service information (for example, Fujitsu.com) and a file name as described below.
[0118]
GET http: // www. Fujitsu. com / index. html HTTP / 1.1
These differences are due to the fact that one server is targeted in the server mode and a plurality of servers are targeted in the proxy mode.
[0119]
Since the description of FIGS. 1 to 11 is for the proxy mode, an embodiment for the server mode will be described below with reference to FIGS.
[0120]
In the server device operating in the server mode, all accesses that reach the own server device are accesses to the own server device, so that the host name is statically converted.
[0121]
A sixth embodiment of the present invention in the case where the server device operates in the server mode will be described in detail with reference to FIG. 1 using the operation explanatory diagram shown in FIG. Note that the hardware configuration is the same as that of FIG. 1. Specifically, when the redirector is in the server mode, the operation as described with reference to FIG. 14A is performed.
[0122]
S61. A request request “GET request” is transmitted from the client 5 to the server device 1. This is input to the redirector 3 of the server device 1.
[0123]
At this time, the server device 1 performs reception only with one address and one port. The HTTP data input to the redirector 3 is held in the input HTTP data buffer 20. Note that when operating in the server mode, there is no host information in the request from the client 5.
[0124]
S62. In the server device 1, the redirect destination is set in the static redirect destination definition table 21 in advance. Thus, the redirector 3 determines the redirect destination “jp.fujitsu.com” by referring to the static redirect destination definition table 21. At this time, in this embodiment, the server device 1 accepts the request with one port and one address, so that there is only one redirect destination. The redirector 3 creates request data as redirect information in the output HTTP data buffer 22 based on the redirect destination and the file name “fujitsu.html” of the access destination written in the input HTTP data buffer 20. It is also possible to define a plurality of servers that provide the same service instead of one redirect destination and change the redirect destination by round robin or the like to share the load.
[0125]
S63. The redirector 3 outputs the redirect information including the request data created in the output HTTP data buffer 22 to the client 5.
[0126]
As a result, the client 5 outputs a GET request to the redirect destination, that is, the proxy 4, as described above.
[0127]
S70. As a result, HTTP data indicating the GET request sent from the client 5 is input to the proxy 4.
[0128]
S71. The proxy 4 copies this to an output data buffer not shown.
[0129]
S72. The proxy 4 outputs the copied HTTP data to the server and performs access. Then, the content data is obtained and relayed to the client 5.
[0130]
A seventh embodiment of the present invention will be described with reference to FIG. 1 using the operation explanatory diagram shown in FIG.
[0131]
Since a plurality of addresses can be assigned to one personal computer, in the seventh embodiment, the server device is operated in the server mode when receiving data at a plurality of addresses and a plurality of ports. Things.
[0132]
S81. A request request is transmitted from the client 5 to the server device 1. This is input to the redirector 3 of the server device 1. At this time, the server device 1 performs reception at a plurality of addresses and a plurality of ports. Therefore, the HTTP data input to the redirector 3 is held in the input HTTP data buffer 20, and the usage address of the server device 1, for example, “192.168.1.1” and the reception port “80” are set to the usage address and The information is recorded in the port information holding unit 23.
[0133]
S82. The redirector 3 of the server device 1 searches the redirect destination definition table 24 from the reception port “80” used for reception and the reception address “192.168.1.1”, and determines the redirect destination. The redirect destination definition table 24 is set in advance by a combination of a reception port and a reception address. Therefore, if the redirect destination cannot be obtained as a result of the search, this request request is terminated. It is also possible to define a plurality of servers that provide the same service instead of one redirect destination and change the redirect destination by round robin or the like to share the load.
[0134]
S83. As a result of the search, when the redirect destination is obtained, for example, when the redirect destination “jp.fujitsu.com” is obtained, the redirector 3 sets the access destination file name “fujitsu html” held in the input HTTP data buffer 20, Based on the server name “jp.fujitsu.com” of the access destination obtained from the redirect destination definition table 24, request data as redirect information is created in the output HTTP data buffer 22.
[0135]
S84. The redirector 3 outputs the redirect information including the request data created in the output HTTP data buffer 22 to the client 5.
[0136]
As a result, the client 5 outputs a GET request to the redirect destination, that is, the proxy 4, as described above.
[0137]
S90. As a result, HTTP data indicating the GET request sent from the client 5 is input to the proxy 4.
[0138]
S91. The proxy 4 copies this to an output data buffer not shown.
[0139]
S92. The proxy 4 outputs the copied HTTP data to the server and performs access. Then, the content data is obtained and relayed to the client 5.
[0140]
The other proxy mode can be operated in the server mode in the same manner.
[0141]
In the present invention, the server is configured by a computer, and the redirector and the proxy are each configured by a computer. However, the redirector and the proxy can be configured by one computer, or the server, the redirector, and the proxy can be configured by one computer. You can also.
[0142]
According to the present invention, the following effects can be obtained.
[0143]
(1) By controlling the access from the client to the server once by the redirector and accessing the server, the attack impersonating the normal access stops the attack without performing the redirection, so the impersonation of the normal access is performed. Since an attack can be separated from normal access and the attack can be prevented, an attack due to normal access to a script or the like that cannot respond to a redirect command can be eliminated, and the load on the server can be reduced.
[0144]
(2) By controlling the client to access the server once with the redirector to access the proxy and then access the server from the proxy, the attack that masquerades as a normal access can be stopped without redirecting. Therefore, an attack impersonating normal access can be separated from normal access, and the attack can be prevented. This not only eliminates attacks by normal access to scripts and the like that cannot respond to the redirect command, and can reduce the load on the server, but also prevents the server from being directly attacked by hiding the server from the external Internet using a proxy. High security can be realized.
[0145]
(3) By providing a redirector that performs delay processing when executing access guidance, it is possible to provide a server device having a function of reducing the frequency of attacks impersonating normal access.
[0146]
(4) By adding a session ID to a redirect command and having a proxy that performs access control on the session ID, it is possible to reduce the frequency of attacks masquerading as normal access and provide a server device having session security. .
[0147]
(5) Since the access control is performed on the session ID by delaying the redirect command and adding the session ID, the frequency of the attack impersonating the normal access is further reduced, and the server apparatus having the session security is provided. be able to.
[Brief description of the drawings]
FIG. 1 shows a first embodiment of the present invention.
FIG. 2 shows a second embodiment of the present invention.
FIG. 3 shows a third embodiment and a fourth embodiment of the present invention.
FIG. 4 shows a fifth embodiment of the present invention.
FIG. 5 shows another embodiment (part 1) of the present invention.
FIG. 6 shows another embodiment (No. 2) of the present invention.
FIG. 7 is an operation explanatory diagram of the first embodiment of the present invention.
FIG. 8 is an operation explanatory diagram of the second embodiment of the present invention.
FIG. 9 is an operation explanatory view of the third embodiment of the present invention.
FIG. 10 is an operation explanatory diagram of the fourth embodiment of the present invention.
FIG. 11 is an operation explanatory view of the fifth embodiment of the present invention.
FIG. 12 is an explanatory diagram of a DoS exclusion function.
FIG. 13 is an explanatory diagram of a server mode and a proxy mode.
FIG. 14 is an operation explanatory diagram of the sixth embodiment of the present invention.
FIG. 15 is an operation explanatory diagram of the seventh embodiment of the present invention.
FIG. 16 is an explanatory view of a conventional example.
[Explanation of symbols]
1 server device
2 server
3 redirector
4 Proxy
5 clients
6 Delay means
7 Session ID adding means
10 input HTTP data buffer
11 Host name conversion table
12 output HTTP data buffer
13 Session ID buffer
14 Filtering passage table

Claims (5)

サーバを有するサーバ装置に、
クライアントからサーバへのアクセスをその間で応答し、リダイレクト処理によりサーバへのアクセスをクライアントからの最初のアクセス先とは異なるアクセス先であるリダイレクト先に誘導を行うリダイレクタを設け、
サーバへのアクセスをリダイレクト処理を行うことにより、クライアントからのリクエストをリダイレクト先にアクセス誘導し、サーバから得たコンテンツデータをクライアントに出力することを特徴とするサーバ装置。In a server device having a server,
Provide a redirector that responds to the access from the client to the server between them, and guides the access to the server to the redirect destination that is different from the first access destination from the client by the redirect process,
A server device for performing a redirect process for an access to a server, thereby guiding a request from a client to a redirect destination, and outputting content data obtained from the server to the client. サーバを有するサーバ装置に、
クライアントからサーバへのアクセスをその間で応答し、リダイレクト処理によりプロキシへのアクセス誘導を行うリダイレクタと、
サーバへの中継処理を行うプロキシを設け、
サーバへのアクセスをリダイレクト処理を行うことにより、クライアントからのリクエストをプロキシに通知し、プロキシからサーバにリクエストを出力し、サーバから得たコンテンツをプロキシがクライアントに出力することを特徴とするサーバ装置。In a server device having a server,
A redirector that responds to the access from the client to the server between them, and guides access to the proxy by redirect processing;
Provide a proxy that performs relay processing to the server,
A server device, wherein a request from a client is notified to a proxy by performing a redirect process for access to the server, a request is output from the proxy to the server, and the proxy outputs content obtained from the server to the client. . 前記リダイレクタに、アクセス誘導実行時にリダイレクト命令を遅延出力処理させる遅延処理手段を設け、リダイレクタより出力されるリダイレクト命令をクライアントに対し遅延出力することを特徴とする請求項2記載のサーバ装置。3. The server device according to claim 2, wherein the redirector is provided with delay processing means for delay-output processing the redirect instruction when executing the access guidance, and delay-outputs the redirect instruction output from the redirector to the client. 前記リダイレクタに、ダイレクト命令に対してセッションIDを付加するセッションID付加手段を設け、
リダイレクタよりリダイレクト命令をクライアントに出力するとき前記プロキシにもセッションIDを通知し、プロキシはこのセッションIDを持つリダイレクト命令に対してセッション保障を行い、サーバから得たコンテンツをクライアントに出力することを特徴とする請求項2記載のサーバ装置。The redirector is provided with a session ID adding means for adding a session ID to the direct command,
When outputting a redirect command from the redirector to the client, the proxy is also notified of the session ID, the proxy performs session security for the redirect command having the session ID, and outputs the content obtained from the server to the client. 3. The server device according to claim 2, wherein 前記リダイレクタに、アクセス誘導実行時にリダイレクト命令を遅延出力処理させる遅延処理手段と、リダイレクト命令に対してセッションIDを付加するセッションID付加手段を設け、
リダイレクタよりリダイレクト命令をクライアントに出力するとき前記プロキシにもセッションIDを通知し、プロキシはこのセッションIDを持つリクエスト命令に対してセッション保障を行い、サーバから得たコンテンツをクライアントに出力することを特徴とする請求項2記載のサーバ装置。The redirector is provided with delay processing means for delaying output processing of a redirect instruction when executing access guidance, and session ID adding means for adding a session ID to the redirect instruction,
When outputting a redirect command from the redirector to the client, the proxy is also notified of the session ID, the proxy performs session guarantee for the request command having the session ID, and outputs the content obtained from the server to the client. 3. The server device according to claim 2, wherein
JP2003128584A 2003-05-07 2003-05-07 Server device Pending JP2004334455A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003128584A JP2004334455A (en) 2003-05-07 2003-05-07 Server device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003128584A JP2004334455A (en) 2003-05-07 2003-05-07 Server device

Publications (1)

Publication Number Publication Date
JP2004334455A true JP2004334455A (en) 2004-11-25

Family

ID=33504659

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003128584A Pending JP2004334455A (en) 2003-05-07 2003-05-07 Server device

Country Status (1)

Country Link
JP (1) JP2004334455A (en)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009116407A (en) * 2007-11-01 2009-05-28 Nomura Research Institute Ltd Information processor and client/server system
JP2009146005A (en) * 2007-12-11 2009-07-02 Canon Inc Information processor and information processing method
JP2009207094A (en) * 2008-02-29 2009-09-10 Nec Corp Remote access system, method and program
JP2011165073A (en) * 2010-02-12 2011-08-25 Nec Corp System, method and program for exchanging attribute information
JP2011221993A (en) * 2010-04-12 2011-11-04 Wins Technet Co Ltd System for preventing normal user being blocked in nat network web service and method for controlling the same
JP2012084082A (en) * 2010-10-14 2012-04-26 Canon Marketing Japan Inc Image forming device, information processing method and program
JP2013171371A (en) * 2012-02-20 2013-09-02 Nippon Telegr & Teleph Corp <Ntt> Packet filtering method and device
JP2015125463A (en) * 2013-12-25 2015-07-06 エヌ・ティ・ティ・コムウェア株式会社 Load balancing device, load balancing method, and load balancing program
WO2016035644A1 (en) * 2014-09-01 2016-03-10 日本電信電話株式会社 Control device, control system, control method, and control program

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009116407A (en) * 2007-11-01 2009-05-28 Nomura Research Institute Ltd Information processor and client/server system
JP2009146005A (en) * 2007-12-11 2009-07-02 Canon Inc Information processor and information processing method
JP2009207094A (en) * 2008-02-29 2009-09-10 Nec Corp Remote access system, method and program
JP2011165073A (en) * 2010-02-12 2011-08-25 Nec Corp System, method and program for exchanging attribute information
JP2011221993A (en) * 2010-04-12 2011-11-04 Wins Technet Co Ltd System for preventing normal user being blocked in nat network web service and method for controlling the same
JP2012084082A (en) * 2010-10-14 2012-04-26 Canon Marketing Japan Inc Image forming device, information processing method and program
JP2013171371A (en) * 2012-02-20 2013-09-02 Nippon Telegr & Teleph Corp <Ntt> Packet filtering method and device
JP2015125463A (en) * 2013-12-25 2015-07-06 エヌ・ティ・ティ・コムウェア株式会社 Load balancing device, load balancing method, and load balancing program
WO2016035644A1 (en) * 2014-09-01 2016-03-10 日本電信電話株式会社 Control device, control system, control method, and control program
AU2015313050B2 (en) * 2014-09-01 2018-05-24 Nippon Telegraph And Telephone Corporation Control device, control system, control method, and control program
US10181031B2 (en) 2014-09-01 2019-01-15 Nippon Telegraph And Telephone Corporation Control device, control system, control method, and control program

Similar Documents

Publication Publication Date Title
EP3577589B1 (en) Prevention of malicious automation attacks on a web service
US8161538B2 (en) Stateful application firewall
US7020783B2 (en) Method and system for overcoming denial of service attacks
US6687732B1 (en) Adaptive traffic bypassing in an intercepting network driver
US6683873B1 (en) Methods and apparatus for redirecting network traffic
US11411987B2 (en) Methods and systems for detection of security threats on network resources based on referrer information
US20070240208A1 (en) Network appliance for controlling hypertext transfer protocol (HTTP) messages between a local area network and a global communications network
US20070180090A1 (en) Dns traffic switch
US11509665B2 (en) System, method and computer readable medium for message authentication to subscribers of an internet service provider
JP2008116998A (en) Terminal device management system, data relay device, inter-network connection device, and method for quarantining terminal device
US10686808B2 (en) Notification for reassembly-free file scanning
RU2327214C2 (en) Systems and techniques of preventing intrusion into network servers
US20030167325A1 (en) Network based middleware that manipulates media objects
JP6181881B2 (en) Control device, control system, control method, and control program
JP2004334455A (en) Server device
US7441026B2 (en) System and method for guarding against infinite loops from multi-point redirects in a multi-threaded environment
JP2007325293A (en) System and method for attack detection
JP2006067605A (en) Attack detecting system and attack detecting method
KR101518474B1 (en) Method for selectively permitting/blocking a plurality of internet request traffics sharing the public IP address on the basis of current time and system for detecting and blocking internet request traffics sharing the public IP address on the current time
JP2019152912A (en) Unauthorized communication handling system and method
CN102143173A (en) Method and system for defending distributed denial of service (Ddos) attacks and gateway equipment
JP2004163999A (en) Relay device
Uda Protocol and method for preventing attacks from the web
Shibahara et al. Evaluation of Authentication and User Identification on Simultaneous Session Limitation Mechanism.
CN117081848A (en) Multi-WAF scheduling device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060215

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090825

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100112