JP2005039721A - DDoS防御方法及びDDoS防御機能付きルータ装置 - Google Patents
DDoS防御方法及びDDoS防御機能付きルータ装置 Download PDFInfo
- Publication number
- JP2005039721A JP2005039721A JP2003276886A JP2003276886A JP2005039721A JP 2005039721 A JP2005039721 A JP 2005039721A JP 2003276886 A JP2003276886 A JP 2003276886A JP 2003276886 A JP2003276886 A JP 2003276886A JP 2005039721 A JP2005039721 A JP 2005039721A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- filter
- unit
- filter information
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【解決手段】検出手段165が攻撃IPパケット320を検出し、フィルタ情報生成手段166がフィルタ情報を生成し、分配手段181または折り返し分配手段155がフィルタ情報を全フィルタに対して通知し、全てのフィルタ部120〜124が攻撃IPパケット330を一時的に遮断するようにした。
【選択図】図2
Description
図1は、本発明の実施形態に係るルータ装置が接続された構成を示す概略図である。図2は、本発明の実施形態に係るルータ装置におけるDDoS防御機能付きルータ装置のブロック構成を示す概略図である。尚、図2において、ルータ装置が元来備えている構成部は省略してあり、本発明を適用するのに必要な構成部のみを示している。
2 内部ネットワーク
100 ルータ
110〜113,600,601,650,651,700,701,750,751,800,801,850,851 ラインカード
120〜124,610,611,710,711,810,811 フィルタ部
125,127 フィルタ手段
126 ダイナミックルール設定手段
130〜133,620,621,760,761,860,861 入力バッファ
140〜143,660,661,720,721,820,821 出力バッファ
150〜154,156 折り返し部
155 折り返し分配手段
157 抽出通知手段
160〜164,630,631,730,731,830,831 検出部
165 検出手段
166 フィルタ情報生成手段
170,640,740,840 スイッチファブリック
171 スイッチ網
180 フィルタ情報通知分配部
181 分配手段
200 正規利用者端末
210 攻撃者端末
220 攻撃先端末
300 IPパケット
310,320,330,940,1040 攻撃IPパケット
400,410,411 フィルタ情報
900,901,902,1000,1001,1002 送信元IPアドレス
910,911,912,1010,1011,1012 宛先IPアドレス
920,921,1020,1021 TCP(UDP)ヘッダ
930,1030 上位プロトコルデータ
950,1050 折り返し通知ヘッダ
960,1060 折り返し通知パケット
970,1070 ポリシールール登録データ
Claims (12)
- 異なるネットワーク上の端末間で送受信されるIPパケットを中継する装置が、不正なIPパケットを廃棄するDDoS防御方法において、前記装置におけるIPパケットを送信する出力側に設けられた検出部が、予め設定された検出ルールに基づいて、DoS攻撃やDDoS攻撃等の攻撃用のIPパケットを検出するステップと、前記装置におけるIPパケットを受信する入力側に設けられたフィルタ部が、前記検出部により検出された攻撃用のIPパケットを中継しないようにポリシールールを設定するステップと、該ポリシールールに基づいて、受信したIPパケットに対して中継の許可または拒否を判断するステップと、中継を許可すると判断した場合には前記受信したIPパケットを中継するステップと、中継を拒否すると判断した場合には前記受信したIPパケットを廃棄するステップと、を有することを特徴とするDDoS防御方法。
- 入力バッファ、該入力バッファの前段に設けられたフィルタ部、出力バッファ、及び該出力バッファの後段に設けられた検出部をそれぞれ有した複数のラインカードと、該ラインカードの間に設けられ、IPパケットを目的のラインカードへスイッチングするスイッチファブリックと、不正なIPパケットを廃棄するためのフィルタ情報を前記フィルタ部へ分配通知するフィルタ情報通知分配部とを備えた装置が、異なるネットワーク上の端末間で送受信されるIPパケットを、第一の前記ラインカードにおけるフィルタ部及び入力バッファと、スイッチファブリックと、第二の前記ラインカードにおける出力バッファ及び検出部とを順番に経由して中継し、不正なIPパケットを廃棄するDDoS防御方法であって、前記検出部が、予め設定された検出ルールに基づいて、DoS攻撃やDDoS攻撃等の攻撃用のIPパケットを検出するステップと、該検出した攻撃用のIPパケットを中継しないようにフィルタ情報を生成するステップと、前記フィルタ情報通知分配部が、該生成されたフィルタ情報を前記全てのラインカードのそれぞれのフィルタ部へ分配通知するステップと、前記フィルタ部が、該分配通知されたフィルタ情報に基づいてポリシールールを設定するステップと、該ポリシールールに基づいて、受信したIPパケットに対して中継の許可または拒否を判断するステップと、中継を許可すると判断した場合には前記受信したIPパケットを中継するステップと、中継を拒否すると判断した場合には前記受信したIPパケットを廃棄するステップと、前記ポリシールールを設定してから一定時間経過後に、前記設定したポリシールールを削除するステップと、を有することを特徴とするDDoS防御方法。
- 請求項2に記載のDDoS防御方法において、前記フィルタ情報通知分配部がフィルタ情報を全てのラインカードのそれぞれのフィルタ部へ分配通知するステップの代わりに、前記フィルタ情報通知分配部が、フィルタ情報を、該フィルタ情報を生成したラインカード以外の全てのラインカードのそれぞれのフィルタ部へ分配通知するステップを有することを特徴とするDDoS防御方法。
- 入力バッファ、該入力バッファの前段に設けられたフィルタ部、出力バッファ、及び該出力バッファの後段に設けられた検出部と折り返し部をそれぞれ有した複数のラインカードと、該ラインカードの間に設けられ、IPパケットを目的のラインカードへスイッチングするスイッチファブリックとを備えた装置が、異なるネットワーク上の端末間で送受信されるIPパケットを、第一の前記ラインカードにおけるフィルタ部及び入力バッファと、スイッチファブリックと、第二の前記ラインカードにおける出力バッファ、検出部及び折り返し部とを順番に経由して中継し、不正なIPパケットを廃棄するDDoS防御方法であって、前記検出部が、予め設定された検出ルールに基づいて、DoS攻撃やDDoS攻撃等の攻撃用のIPパケットを検出するステップと、該検出した攻撃用のIPパケットを中継しないようにフィルタ情報を生成するステップと、前記折り返し部が、該生成されたフィルタ情報を、前記スイッチファブリックを介してインラインで前記全てのラインカードのそれぞれの折り返し部へ通知するステップと、前記折り返し部が、該通知されたフィルタ情報をフィルタ部へ通知するステップと、前記フィルタ部が、該通知されたフィルタ情報に基づいてポリシールールを設定するステップと、該ポリシールールに基づいて、受信したIPパケットに対して中継の許可または拒否を判断するステップと、中継を許可すると判断した場合には前記受信したIPパケットを中継するステップと、中継を拒否すると判断した場合には前記受信したIPパケットを廃棄するステップと、前記ポリシールールを設定してから一定時間経過後に、前記設定したポリシールールを削除するステップと、を有することを特徴とするDDoS防御方法。
- 請求項4に記載のDDoS防御方法において、前記折り返し部がフィルタ情報をスイッチファブリックを介してインラインで全てのラインカードのそれぞれの折り返し部へ通知するステップの代わりに、前記折り返し部が、フィルタ情報を、前記スイッチファブリックを介してインラインで、該フィルタ情報を生成したラインカード以外の全てのラインカードのそれぞれの折り返し部へ通知するステップを有することを特徴とするDDoS防御方法。
- 異なるネットワーク上の端末間で送受信されるIPパケットを中継し、不正なIPパケットを廃棄するDDoS防御機能付きルータ装置において、予め設定された検出ルールに基づいて、DoS攻撃やDDoS攻撃等の攻撃用のIPパケットを検出する検出手段を有し、IPパケットを送信する出力側に設けられた検出部と、前記検出手段により検出された攻撃用のIPパケットを中継しないようにポリシールールを設定するダイナミックルール設定手段、及び、該ポリシールールに基づいて、受信したIPパケットに対して中継の許可または拒否を判断し、中継を許可すると判断した場合には前記受信したIPパケットを中継し、中継を拒否すると判断した場合には前記受信したIPパケットを廃棄する検出手段を有し、IPパケットを受信する入力側に設けられたフィルタ部と、を備えたことを特徴とするDDoS防御機能付きルータ装置。
- 入力バッファ、該入力バッファの前段に設けられたフィルタ部、出力バッファ、及び該出力バッファの後段に設けられた検出部をそれぞれ有した複数のラインカードと、該ラインカードの間に設けられ、IPパケットを目的のラインカードへスイッチングするスイッチファブリックと、不正なIPパケットを廃棄するためのフィルタ情報を前記フィルタ部へ分配通知するフィルタ情報通知分配部とを備え、異なるネットワーク上の端末間で送受信されるIPパケットを、第一の前記ラインカードにおけるフィルタ部及び入力バッファと、スイッチファブリックと、第二の前記ラインカードにおける出力バッファ及び検出部とを順番に経由して中継し、不正なIPパケットを廃棄するDDoS防御機能付きルータ装置であって、前記検出部が、予め設定された検出ルールに基づいて、DoS攻撃やDDoS攻撃等の攻撃用のIPパケットを検出する検出手段と、該検出した攻撃用のIPパケットを中継しないようにフィルタ情報を生成するフィルタ情報生成手段とを有し、前記フィルタ情報通知分配部が、該生成されたフィルタ情報を前記全てのラインカードのそれぞれのフィルタ部へ分配通知する分配手段を有し、前記フィルタ部が、該分配通知されたフィルタ情報に基づいてポリシールールを設定し、該ポリシールールを設定してから一定時間経過後に、前記設定したポリシールールを削除するダイナミックルール設定手段と、該ポリシールールに基づいて、受信したIPパケットに対して中継の許可または拒否を判断し、中継を許可すると判断した場合には前記受信したIPパケットを中継し、中継を拒否すると判断した場合には前記受信したIPパケットを廃棄するフィルタ手段とを有することを特徴とするDDoS防御機能付きルータ装置。
- 請求項7に記載のDDoS防御機能付きルータ装置において、前記フィルタ情報通知分配部の分配手段が、生成されたフィルタ情報を、該フィルタ情報を生成したラインカード以外の全てのラインカードのそれぞれのフィルタ部へ分配通知することを特徴とするDDoS防御機能付きルータ装置。
- 入力バッファ、該入力バッファの前段に設けられたフィルタ部、出力バッファ、及び該出力バッファの後段に設けられた検出部と折り返し部をそれぞれ有した複数のラインカードと、該ラインカードの間に設けられ、IPパケットを目的のラインカードへスイッチングするスイッチファブリックとを備え、異なるネットワーク上の端末間で送受信されるIPパケットを、第一の前記ラインカードにおけるフィルタ部及び入力バッファと、スイッチファブリックと、第二の前記ラインカードにおける出力バッファ、検出部及び折り返し部とを順番に経由して中継し、不正なIPパケットを廃棄するDDoS防御機能付きルータ装置であって、前記検出部が、予め設定された検出ルールに基づいて、DoS攻撃やDDoS攻撃等の攻撃用のIPパケットを検出する検出手段と、該検出した攻撃用のIPパケットを中継しないようにフィルタ情報を生成するフィルタ情報生成手段とを有し、前記折り返し部が、該生成されたフィルタ情報を、前記スイッチファブリックを介してインラインで前記全てのラインカードのそれぞれの折り返し部へ通知する折り返し分配手段と、該通知されたフィルタ情報をフィルタ部へ通知する通知手段とを有し、前記各フィルタ部が、該通知されたフィルタ情報に基づいてポリシールールを設定し、該ポリシールールを設定してから一定時間経過後に、前記設定したポリシールールを削除するダイナミックルール設定手段と、該ポリシールールに基づいて、受信したIPパケットに対して中継の許可または拒否を判断し、中継を許可すると判断した場合には前記受信したIPパケットを中継し、中継を拒否すると判断した場合には前記受信したIPパケットを廃棄するフィルタ手段とを有することを特徴とするDDoS防御機能付きルータ装置。
- 請求項9に記載のDDoS防御機能付きルータ装置において、前記折り返し部の折り返し分配手段が、生成されたフィルタ情報を、前記スイッチファブリックを介してインラインで、該フィルタ情報を生成したラインカード以外の全てのラインカードのそれぞれの折り返し部へ通知することを特徴とするDDoS防御機能付きルータ装置。
- 請求項1から5のいずれか一項に記載のDDoS防御方法を実行する装置を構成するコンピュータに、前記DDoS防御方法における各ステップの処理を実行させることを特徴とするDDoS防御プログラム。
- 請求項11に記載のDDoS防御プログラムを記録した記録媒体。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003276886A JP3947138B2 (ja) | 2003-07-18 | 2003-07-18 | DDoS防御方法及びDDoS防御機能付きルータ装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003276886A JP3947138B2 (ja) | 2003-07-18 | 2003-07-18 | DDoS防御方法及びDDoS防御機能付きルータ装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005039721A true JP2005039721A (ja) | 2005-02-10 |
JP3947138B2 JP3947138B2 (ja) | 2007-07-18 |
Family
ID=34213069
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003276886A Expired - Fee Related JP3947138B2 (ja) | 2003-07-18 | 2003-07-18 | DDoS防御方法及びDDoS防御機能付きルータ装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3947138B2 (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010057034A (ja) * | 2008-08-29 | 2010-03-11 | Nec Infrontia Corp | ルータにおけるアクセス制御方法、ルータ、およびアクセス制御プログラム |
JP5015014B2 (ja) * | 2006-01-16 | 2012-08-29 | 株式会社サイバー・ソリューションズ | トラヒック分析診断装置及びトラヒック分析診断システム並びにトラヒック追跡システム |
JP2016163180A (ja) * | 2015-03-02 | 2016-09-05 | 日本電気株式会社 | 通信システム、通信方法、及びプログラム |
JP2017117224A (ja) * | 2015-12-24 | 2017-06-29 | 株式会社Pfu | ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラム |
-
2003
- 2003-07-18 JP JP2003276886A patent/JP3947138B2/ja not_active Expired - Fee Related
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5015014B2 (ja) * | 2006-01-16 | 2012-08-29 | 株式会社サイバー・ソリューションズ | トラヒック分析診断装置及びトラヒック分析診断システム並びにトラヒック追跡システム |
JP2010057034A (ja) * | 2008-08-29 | 2010-03-11 | Nec Infrontia Corp | ルータにおけるアクセス制御方法、ルータ、およびアクセス制御プログラム |
JP2016163180A (ja) * | 2015-03-02 | 2016-09-05 | 日本電気株式会社 | 通信システム、通信方法、及びプログラム |
US10313238B2 (en) | 2015-03-02 | 2019-06-04 | Nec Corporation | Communication system, communication method, and non-transitiory computer readable medium storing program |
JP2017117224A (ja) * | 2015-12-24 | 2017-06-29 | 株式会社Pfu | ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラム |
Also Published As
Publication number | Publication date |
---|---|
JP3947138B2 (ja) | 2007-07-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1905197B1 (en) | System and method for detecting abnormal traffic based on early notification | |
US7832009B2 (en) | Techniques for preventing attacks on computer systems and networks | |
US7436770B2 (en) | Metering packet flows for limiting effects of denial of service attacks | |
KR101812403B1 (ko) | SDN에서의 DoS공격 방어시스템 및 이의 구현방법 | |
KR101217647B1 (ko) | 특정 소스/목적지 ip 어드레스 쌍들에 기초한 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치 | |
CN1968272B (zh) | 通信网络中用于缓解拒绝服务攻击的方法和系统 | |
EP1911241B1 (en) | Method for defending against denial of service attacks in ip networks by target victim self-identification and control | |
EP1540921B1 (en) | Method and apparatus for inspecting inter-layer address binding protocols | |
US20070166051A1 (en) | Repeater, repeating method, repeating program, and network attack defending system | |
US20070289014A1 (en) | Network security device and method for processing packet data using the same | |
JP2007208861A (ja) | 不正アクセス監視装置及びパケット中継装置 | |
KR100723864B1 (ko) | 패킷에 포함된 정보를 이용하여 네트워크 공격을 차단하는방법 및 그 장치 | |
Yao et al. | VASE: Filtering IP spoofing traffic with agility | |
JP7150552B2 (ja) | ネットワーク防御装置およびネットワーク防御システム | |
CN101242415B (zh) | 用于过滤和分析基于分组的通信流量的方法和装置 | |
US11552973B2 (en) | Network malicious behavior detection method and networking system using same | |
JP2003099339A (ja) | 侵入検知・防御装置及びプログラム | |
JP2007259223A (ja) | ネットワークにおける不正アクセスに対する防御システム、方法およびそのためのプログラム | |
JP3947138B2 (ja) | DDoS防御方法及びDDoS防御機能付きルータ装置 | |
US8646081B1 (en) | Method and system to detect a security event in a packet flow and block the packet flow at an egress point in a communication network | |
KR100427179B1 (ko) | 패킷 필터링을 이용한 아이에스피 보더 라우터의 공격자차단 방법 및 그 시스템 | |
JP2003333092A (ja) | ネットワークシステム、攻撃パケット追跡方法および攻撃パケット防御方法 | |
Zare et al. | Techniques for detecting and preventing denial of service attacks (a systematic review approach) | |
Pimpalkar et al. | Defense against DDOS attacks using IP address spoofing | |
KR100456637B1 (ko) | 블랙리스트 기반의 분류기를 포함하는 네트워크 보안서비스 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050715 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070115 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070123 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070312 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070410 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070412 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100420 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110420 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120420 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130420 Year of fee payment: 6 |
|
LAPS | Cancellation because of no payment of annual fees |