JP2005039721A - DDoS防御方法及びDDoS防御機能付きルータ装置 - Google Patents

DDoS防御方法及びDDoS防御機能付きルータ装置 Download PDF

Info

Publication number
JP2005039721A
JP2005039721A JP2003276886A JP2003276886A JP2005039721A JP 2005039721 A JP2005039721 A JP 2005039721A JP 2003276886 A JP2003276886 A JP 2003276886A JP 2003276886 A JP2003276886 A JP 2003276886A JP 2005039721 A JP2005039721 A JP 2005039721A
Authority
JP
Japan
Prior art keywords
packet
filter
unit
filter information
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003276886A
Other languages
English (en)
Other versions
JP3947138B2 (ja
Inventor
Junichi Yoshida
順一 吉田
Hiroki Yamada
博希 山田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2003276886A priority Critical patent/JP3947138B2/ja
Publication of JP2005039721A publication Critical patent/JP2005039721A/ja
Application granted granted Critical
Publication of JP3947138B2 publication Critical patent/JP3947138B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】ネットワークを接続するルータ装置等に備えたフィルタ部にて攻撃IPパケットを拒否する場合に、ルータ等内部の帯域資源、及びアクセス網の帯域資源の消費を防ぐことが可能なDDoS防御方法及びルータ装置を提供する。
【解決手段】検出手段165が攻撃IPパケット320を検出し、フィルタ情報生成手段166がフィルタ情報を生成し、分配手段181または折り返し分配手段155がフィルタ情報を全フィルタに対して通知し、全てのフィルタ部120〜124が攻撃IPパケット330を一時的に遮断するようにした。
【選択図】図2

Description

本発明は、DDoS(Distributed Denial of Service:分散型サービス運用妨害)防御方法及び該防御機能付き装置に関し、特に、ルータ装置等にて実行するDDoS防御方法及びルータ装置に関する。
従来、ネットワークのセキュリティを確保する方法として、ルータ等に実装されるフィルタ機能により実現する方法が広く用いられている。図9〜11に、ルータに実装されたフィルタ機能の構成例のブロック図を示す。図9において、ルータは、ラインカード600,601,650,651及びスイッチファブリック640を具備して構成される。ラインカード600は、フィルタ部610、入力バッファ620及び検出部630を、ラインカード601は、フィルタ部611、入力バッファ621及び検出部631を、ラインカード650は出力バッファ660を、ラインカード651は出力バッファ661をそれぞれ備えている。また、図10において、ルータは、ラインカード750,751,700,701及びスイッチファブリック740を具備している。ラインカード750は入力バッファ760を、ラインカード751は入力バッファ761を、ラインカード700は、出力バッファ720、フィルタ部710及び検出部730を、ラインカード701は、出力バッファ721、フィルタ部711及び検出部731を、それぞれ備えている。また、図11において、ルータは、ラインカード850,851,800,801及びスイッチファブリック840を具備している。ラインカード850は入力バッファ860を、ラインカード851は入力バッファ861を、ラインカード800は、フィルタ部810、出力バッファ820及び検出部830を、ラインカード801は、フィルタ部811、出力バッファ821及び検出部831を、それぞれ備えている。図9〜11において、それぞれのルータは、図示しない外部ネットワークと内部ネットワークとの間に設けられ、ラインカード600,601,750,751,850,851が外部ネットワークからIPパケットを受信し、スイッチファブリック640,740,840がIPパケットをルーティングし、そして、ラインカード650,651,700,701,800,801がIPパケットを内部ネットワークに送信するようになっている。
図9〜11を参照して、フィルタ機能は、ラインカード600のフィルタ部610及び検出部630、ラインカード601のフィルタ部611及び検出部631、ラインカード700のフィルタ部710及び検出部730、ラインカード701のフィルタ部711及び検出部731、ラインカード800のフィルタ部810及び検出部830、ラインカード801のフィルタ部811及び検出部831によりそれぞれ実現される。これらのフィルタ部610,611,710,711,810,811は、設定されたポリシールールに基づいて、IPパケットをフィルタにより遮断する機能を有している。このポリシールールは、送信元IPアドレス、宛先IPアドレス、プロトコル、送信元ポートアドレス、宛先ポートアドレス等のヘッダ情報と、そのヘッダ情報に対応する通過、拒否等のアクションとにより定義される。
また、検出部630,631,730,731,830,831は、攻撃IPパケットを検出する機能を有し、具体的には、予め攻撃パターンのデータベースとの整合により判断する方法、単位時間内にある宛先のIPパケットの個数が閾値を超えたか否かで判断する方法、IDS(Intrusion Detection System:侵入検知システム)機能を具備して判断する方法等があり、これらの方法を実行して攻撃IPパケットを検出する。この結果、攻撃IPパケットを検出して攻撃であると判断した場合には、フィルタ部610,611,710,711,810,811は、ポリシールールを動的に変更し、一時的に外部ネットワークから受信した攻撃IPパケットを遮断することにより、不正なIPパケットの攻撃から内部ネットワークを防御する。このように、高速転送が要求されるルータ装置では、ラインカード600,601,700,701,800,801毎にフィルタ部及び検出部を実装するようになっている。
一方、ルータに備えたフィルタ機能により、外部ネットワークから内部ネットワークへの不正なIPパケットの攻撃を防ぐ技術に関連する技術として、例えば、フィルタリングにおける伝送遅延を抑え、スループット低下幅を少なくするとともにオーバヘッドを軽減する技術が開示されている(例えば、特許文献1を参照。)。また、アクセス元の属性情報から求めた信頼度と、アクセス先の属性情報から求めた機密度とに基づいてアクセス可否を制御する技術(例えば、特許文献2を参照。)、不正なパケットの中継を禁止し破棄した場合に、フィルタの情報を該パケットを中継したルータ装置に送り、そのデータベースに該フィルタの情報を追加させることにより、不正なパケットによる伝送媒体の占有を防止する技術も開示されている(例えば、特許文献3を参照。)。
特開2002−281071号公報(段落〔0010〕〔0011〕、第1図) 特開2002−84324号公報(段落〔0013〕〔0014〕) 特開平9−270813号公報(段落〔0015〕〔0019〕〔0020〕)
しかしながら、図9〜11に示したルータに実装されたフィルタ機能には、以下の問題があった。すなわち、図9に示したフィルタ機能では、Ingress側のラインカード600,601毎に、フィルタ部610,611及び検出部630,631を実装しており(以下、「Ingressフィルタ」という。)、IPにおける転送は全てのIPパケットが同一経路を通るとは限らないため、IPパケットが各ラインカード600,601に分散して届くことになる。このため、ラインカード600,601毎に実装された検出部630,631における攻撃の感度が低くなり、すり抜けた攻撃IPパケットによりスイッチ内部(入力バッファ620,621からスイッチファブリック640及び出力バッファ660,661の入力まで)の帯域資源、及びアクセス網の帯域資源が消費してしまうという問題があった。
また、図10に示したフィルタ機能では、Egress側のラインカード700,701毎にフィルタ部710,711及び検出部730,731を実装している(以下、「Egressフィルタ」という。)。このため、攻撃IPパケットにより、スイッチ内部(入力バッファ760,761からスイッチファブリック740及び出力バッファ720,721の入力まで)の帯域資源を消費してしまうという問題があった。
また、図11に示したフィルタ機能では、Egressフィルタにおいて、出力バッファ820,821の前段にフィルタ部810,811を、出力バッファ820,821の後段に検出部830,831を実装しているため、攻撃IPパケットから、出力バッファ820,821の帯域資源を守ることは可能である。しかし、一般に、スイッチファブリック840のような高速スイッチは、スイッチ内部でルーティングされるIPパケットが常に一つだけになるような構成をとり、競合制御を不要にしているため、スイッチの内部速度をn倍にしている。このため、フィルタ部810,811を出力バッファ820,821の前段に配置した構成では、フィルタ部810,811での処理をスイッチファブリック840のスイッチ内部と同じ速度の処理にする必要があり困難であるという問題があった。
そこで、本発明はこのような事情を考慮してなされたものであり、その目的は、上記の従来技術の問題を解決し、ルータ装置等に備えたフィルタ部にて攻撃IPパケットを拒否する場合に、ルータ等内部の帯域資源、及びアクセス網の帯域資源の消費を防ぐことが可能なDDoS防御方法及びルータ装置を提供することにある。
上記の課題を解決するために、請求項1の発明は、異なるネットワーク上の端末間で送受信されるIPパケットを中継する装置が、不正なIPパケットを廃棄するDDoS防御方法において、前記装置におけるIPパケットを送信する出力側に設けられた検出部が、予め設定された検出ルールに基づいて、DoS攻撃やDDoS攻撃等の攻撃用のIPパケットを検出するステップと、前記装置におけるIPパケットを受信する入力側に設けられたフィルタ部が、前記検出部により検出された攻撃用のIPパケットを中継しないようにポリシールールを設定するステップと、該ポリシールールに基づいて、受信したIPパケットに対して中継の許可または拒否を判断するステップと、中継を許可すると判断した場合には前記受信したIPパケットを中継するステップと、中継を拒否すると判断した場合には前記受信したIPパケットを廃棄するステップとを有することを特徴とする。
請求項2の発明は、入力バッファ、該入力バッファの前段に設けられたフィルタ部、出力バッファ、及び該出力バッファの後段に設けられた検出部をそれぞれ有した複数のラインカードと、該ラインカードの間に設けられ、IPパケットを目的のラインカードへスイッチングするスイッチファブリックと、不正なIPパケットを廃棄するためのフィルタ情報を前記フィルタ部へ分配通知するフィルタ情報通知分配部とを備えた装置が、異なるネットワーク上の端末間で送受信されるIPパケットを、第一の前記ラインカードにおけるフィルタ部及び入力バッファと、スイッチファブリックと、第二の前記ラインカードにおける出力バッファ及び検出部とを順番に経由して中継し、不正なIPパケットを廃棄するDDoS防御方法であって、前記検出部が、予め設定された検出ルールに基づいて、DoS攻撃やDDoS攻撃等の攻撃用のIPパケットを検出するステップと、該検出した攻撃用のIPパケットを中継しないようにフィルタ情報を生成するステップと、前記フィルタ情報通知分配部が、該生成されたフィルタ情報を前記全てのラインカードのそれぞれのフィルタ部へ分配通知するステップと、前記フィルタ部が、該分配通知されたフィルタ情報に基づいてポリシールールを設定するステップと、該ポリシールールに基づいて、受信したIPパケットに対して中継の許可または拒否を判断するステップと、中継を許可すると判断した場合には前記受信したIPパケットを中継するステップと、中継を拒否すると判断した場合には前記受信したIPパケットを廃棄するステップと、前記ポリシールールを設定してから一定時間経過後に、前記設定したポリシールールを削除するステップとを有することを特徴とする。
請求項3の発明は、請求項2に記載のDDoS防御方法において、前記フィルタ情報通知分配部がフィルタ情報を全てのラインカードのそれぞれのフィルタ部へ分配通知するステップの代わりに、前記フィルタ情報通知分配部が、フィルタ情報を、該フィルタ情報を生成したラインカード以外の全てのラインカードのそれぞれのフィルタ部へ分配通知するステップを有することを特徴とする。
請求項4の発明は、入力バッファ、該入力バッファの前段に設けられたフィルタ部、出力バッファ、及び該出力バッファの後段に設けられた検出部と折り返し部をそれぞれ有した複数のラインカードと、該ラインカードの間に設けられ、IPパケットを目的のラインカードへスイッチングするスイッチファブリックとを備えた装置が、異なるネットワーク上の端末間で送受信されるIPパケットを、第一の前記ラインカードにおけるフィルタ部及び入力バッファと、スイッチファブリックと、第二の前記ラインカードにおける出力バッファ、検出部及び折り返し部とを順番に経由して中継し、不正なIPパケットを廃棄するDDoS防御方法であって、前記検出部が、予め設定された検出ルールに基づいて、DoS攻撃やDDoS攻撃等の攻撃用のIPパケットを検出するステップと、該検出した攻撃用のIPパケットを中継しないようにフィルタ情報を生成するステップと、前記折り返し部が、該生成されたフィルタ情報を、前記スイッチファブリックを介してインラインで前記全てのラインカードのそれぞれの折り返し部へ通知するステップと、前記折り返し部が、該通知されたフィルタ情報をフィルタ部へ通知するステップと、前記フィルタ部が、該通知されたフィルタ情報に基づいてポリシールールを設定するステップと、該ポリシールールに基づいて、受信したIPパケットに対して中継の許可または拒否を判断するステップと、中継を許可すると判断した場合には前記受信したIPパケットを中継するステップと、中継を拒否すると判断した場合には前記受信したIPパケットを廃棄するステップと、前記ポリシールールを設定してから一定時間経過後に、前記設定したポリシールールを削除するステップとを有することを特徴とする。
請求項5の発明は、請求項4に記載のDDoS防御方法において、前記折り返し部がフィルタ情報をスイッチファブリックを介してインラインで全てのラインカードのそれぞれの折り返し部へ通知するステップの代わりに、前記折り返し部が、フィルタ情報を、前記スイッチファブリックを介してインラインで、該フィルタ情報を生成したラインカード以外の全てのラインカードのそれぞれの折り返し部へ通知するステップを有することを特徴とする。
請求項6の発明は、異なるネットワーク上の端末間で送受信されるIPパケットを中継し、不正なIPパケットを廃棄するDDoS防御機能付きルータ装置において、予め設定された検出ルールに基づいて、DoS攻撃やDDoS攻撃等の攻撃用のIPパケットを検出する検出手段を有し、IPパケットを送信する出力側に設けられた検出部と、前記検出手段により検出された攻撃用のIPパケットを中継しないようにポリシールールを設定するダイナミックルール設定手段、及び、該ポリシールールに基づいて、受信したIPパケットに対して中継の許可または拒否を判断し、中継を許可すると判断した場合には前記受信したIPパケットを中継し、中継を拒否すると判断した場合には前記受信したIPパケットを廃棄する検出手段を有し、IPパケットを受信する入力側に設けられたフィルタ部とを備えたことを特徴とする。
請求項7の発明は、入力バッファ、該入力バッファの前段に設けられたフィルタ部、出力バッファ、及び該出力バッファの後段に設けられた検出部をそれぞれ有した複数のラインカードと、該ラインカードの間に設けられ、IPパケットを目的のラインカードへスイッチングするスイッチファブリックと、不正なIPパケットを廃棄するためのフィルタ情報を前記フィルタ部へ分配通知するフィルタ情報通知分配部とを備え、異なるネットワーク上の端末間で送受信されるIPパケットを、第一の前記ラインカードにおけるフィルタ部及び入力バッファと、スイッチファブリックと、第二の前記ラインカードにおける出力バッファ及び検出部とを順番に経由して中継し、不正なIPパケットを廃棄するDDoS防御機能付きルータ装置であって、前記検出部が、予め設定された検出ルールに基づいて、DoS攻撃やDDoS攻撃等の攻撃用のIPパケットを検出する検出手段と、該検出した攻撃用のIPパケットを中継しないようにフィルタ情報を生成するフィルタ情報生成手段とを有し、前記フィルタ情報通知分配部が、該生成されたフィルタ情報を前記全てのラインカードのそれぞれのフィルタ部へ分配通知する分配手段を有し、前記フィルタ部が、該分配通知されたフィルタ情報に基づいてポリシールールを設定し、該ポリシールールを設定してから一定時間経過後に、前記設定したポリシールールを削除するダイナミックルール設定手段と、該ポリシールールに基づいて、受信したIPパケットに対して中継の許可または拒否を判断し、中継を許可すると判断した場合には前記受信したIPパケットを中継し、中継を拒否すると判断した場合には前記受信したIPパケットを廃棄するフィルタ手段とを有することを特徴とする。
請求項8の発明は、請求項7に記載のDDoS防御機能付きルータ装置において、前記フィルタ情報通知分配部の分配手段が、生成されたフィルタ情報を、該フィルタ情報を生成したラインカード以外の全てのラインカードのそれぞれのフィルタ部へ分配通知することを特徴とする。
請求項9の発明は、入力バッファ、該入力バッファの前段に設けられたフィルタ部、出力バッファ、及び該出力バッファの後段に設けられた検出部と折り返し部をそれぞれ有した複数のラインカードと、該ラインカードの間に設けられ、IPパケットを目的のラインカードへスイッチングするスイッチファブリックとを備え、異なるネットワーク上の端末間で送受信されるIPパケットを、第一の前記ラインカードにおけるフィルタ部及び入力バッファと、スイッチファブリックと、第二の前記ラインカードにおける出力バッファ、検出部及び折り返し部とを順番に経由して中継し、不正なIPパケットを廃棄するDDoS防御機能付きルータ装置であって、前記検出部が、予め設定された検出ルールに基づいて、DoS攻撃やDDoS攻撃等の攻撃用のIPパケットを検出する検出手段と、該検出した攻撃用のIPパケットを中継しないようにフィルタ情報を生成するフィルタ情報生成手段とを有し、前記折り返し部が、該生成されたフィルタ情報を、前記スイッチファブリックを介してインラインで前記全てのラインカードのそれぞれの折り返し部へ通知する折り返し分配手段と、該通知されたフィルタ情報をフィルタ部へ通知する通知手段とを有し、前記各フィルタ部が、該通知されたフィルタ情報に基づいてポリシールールを設定し、該ポリシールールを設定してから一定時間経過後に、前記設定したポリシールールを削除するダイナミックルール設定手段と、該ポリシールールに基づいて、受信したIPパケットに対して中継の許可または拒否を判断し、中継を許可すると判断した場合には前記受信したIPパケットを中継し、中継を拒否すると判断した場合には前記受信したIPパケットを廃棄するフィルタ手段とを有することを特徴とする。
請求項10の発明は、請求項9に記載のDDoS防御機能付きルータ装置において、前記折り返し部の折り返し分配手段が、生成されたフィルタ情報を、前記スイッチファブリックを介してインラインで、該フィルタ情報を生成したラインカード以外の全てのラインカードのそれぞれの折り返し部へ通知することを特徴とする。
請求項11の発明は、請求項1から5のいずれか一項に記載のDDoS防御方法を実行する装置を構成するコンピュータに、前記DDoS防御方法における各ステップの処理を実行させることを特徴とするDDoS防御プログラムである。
請求項12の発明は、請求項11に記載のDDoS防御プログラムを記録した記録媒体である。
本発明によれば、ルータ装置等における出力側で攻撃IPパケットを検出し、攻撃パケットを中継しないように入力側で拒否するようにした。これにより、ルータ装置等の内部における帯域資源、及びアクセス網の帯域資源の消費を防ぐことができる。
以下、図面を参照して、本発明の実施形態について説明する。
図1は、本発明の実施形態に係るルータ装置が接続された構成を示す概略図である。図2は、本発明の実施形態に係るルータ装置におけるDDoS防御機能付きルータ装置のブロック構成を示す概略図である。尚、図2において、ルータ装置が元来備えている構成部は省略してあり、本発明を適用するのに必要な構成部のみを示している。
ルータ100は、それぞれフィルタ部120〜123、入力バッファ130〜133、出力バッファ140〜143及び検出部160〜163を有したラインカード110〜113と、スイッチファブリック170と、フィルタ情報通知分配部180とを具備し、インターネット等の外部ネットワーク1と、アクセス網やローカルネットワーク等の内部ネットワーク2とを接続する。また、フィルタ情報通知分配部180は、各カード110〜113に備えたフィルタ部120〜123及び検出部160〜163に接続されている。
次に、図2に示したルータ100のDDoS防御の機能を、図3を用いて説明する。図3において、ルータ100は、図2に示した構成の下で、フィルタ部124と、スイッチ網171と、フィルタ情報通知分配部180と、検出部164とを具備して構成される。フィルタ部124は、フィルタ手段125、ダイナミックルール設定手段126及びフィルタ手段127を、スイッチ網171は、入力バッファ、スイッチファブリック及び出力バッファを、フィルタ情報通知分配部180は分配手段181を、検出部164は検出手段165及びフィルタ情報生成手段166をそれぞれ備えている。いま、外部ネットワーク1上の攻撃者端末210が内部ネットワーク2上の攻撃先端末220宛てにDoS攻撃(Denial of Service attack)を行い、外部ネットワーク1上の正規利用者端末200と内部ネットワーク2上の攻撃先端末220との間では正常にアクセスしている場合を想定する。
攻撃者端末210が、攻撃先端末220宛てに攻撃IPパケット310を送信し、正規利用者端末200が、攻撃先端末220宛てにIPパケット300を送信する。ルータ100のフィルタ部124に備えたフィルタ手段125は、前記攻撃IPパケット310及びIPパケット300を受信し、受信したこれら全てのIPパケットのヘッダ情報と、フィルタ部124内に設定されているファイアウォール管理者が意図するポリシールールとを比較し、当該IPパケットをスイッチ網171に中継するか、または拒否するかを判断する機能を有する。このポリシールールは、送信元IPアドレス、宛先IPアドレス、プロトコル、送信元ポートアドレス、宛先ポートアドレス等のヘッダ情報と、そのヘッダ情報に対応するアクション(許可、拒否等)により定義され、ファイアウォール管理者が静的に設定することが可能であり、さらに、ダイナミックルール設定手段126により動的に設定することも可能である。
検出部164の検出手段165は、スイッチ網171から転送されてくるIPパケット300及び攻撃IPパケット320の全てのIPパケットのヘッダ情報及びペイロード情報と予め設定された設定ルールとに基づいて、DoS攻撃、DDoS攻撃(Distributed Denial of Service attack)等の攻撃検知を行う(攻撃パケット320の検出を行う)機能を有する。フィルタ情報生成手段166は、検出手段165が攻撃を検知した場合には、そのときに検出したIPパケットに基づいて、攻撃IPパケットを拒否するためのフィルタ情報を生成する機能を有する。ここで、検出部の検出手段165は、IDS機能を有し、上記のように、スイッチ網171から転送されてくる全てのIPパケットのヘッダ情報及びペイロード情報に基づいて、DoS攻撃、DDoS攻撃等の攻撃検知を行う機能を有してもよいし、単位時間当りにおける監視対象のIPパケットの数が閾値を超えたか否かを判定することにより攻撃検知を行う機能を有していてもよい。
フィルタ情報通知分配部180の分配手段181は、フィルタ情報生成手段166により生成されたフィルタ情報400を、ルータ100内の全てのフィルタ部120〜124に通知する機能を有する。フィルタ部124のダイナミックルール設定手段126、及びフィルタ部120〜123の各ダイナミックルール設定手段は、分配手段181から通知されたフィルタ情報400の内容をポリシールールとして設定し記憶する機能を有する。フィルタ部124のフィルタ手段127、及びフィルタ部120〜123の各フィルタ手段は、後続の攻撃IPパケット330を受信すると、当該IPパケットのヘッダ情報と、前記設定及び記憶されたポリシールールとを比較し、後続の攻撃IPパケット330のヘッダ情報とポリシールールとが一致した場合は、当該攻撃IPパケット330の中継を予め設定された一定時間だけ拒否する機能を有する。これにより、ルータ100は、不正なIPパケットの攻撃から内部ネットワーク2を防御することができる。
次に、図2に示したルータ100のDDoS防御の動作を、図4を用いて説明する。いま、外部ネットワーク1上の攻撃者端末210が内部ネットワーク2上の攻撃先端末220宛てにDoS攻撃を行い、外部ネットワーク1上の正規利用者端末200と内部ネットワーク2上の攻撃先端末220との間では正常にアクセスしている場合を想定する。
攻撃者端末210が、攻撃先端末220宛てに攻撃IPパケット310を送信し、正規利用者端末200が、攻撃先端末220宛てにIPパケット300を送信すると、ルータ100はラインカードの入力インタフェースにてIPパケットを受信し(ステップS500)、当該IPパケットをフィルタ部124に送出する。フィルタ部124は、受信したIPパケットのヘッダ情報とポリシールールとを比較する(ステップS501)。遮断(拒否)するIPパケットであると判断した場合には、当該IPパケットを廃棄し(ステップS502)、許可するIPパケットであると判断した場合には、当該IPパケットをスイッチ網171に中継する。ここでは、フィルタ部124には、攻撃IPパケット310を拒否して廃棄するためのポリシールールが定義されていないため、攻撃IPパケット310は、フィルタ部124を通過してスイッチ網171に中継されたものとする。
検出部164は、スイッチ網171から転送されてくるIPパケット300及び攻撃IPパケット320のヘッダ情報と設定ルールとに基づいて、DoS攻撃、DDoS攻撃等の攻撃検知を行う(ステップS503)。攻撃を検知しない場合には、当該IPパケット300をラインカードの出力インタフェースに送出して(ステップS504)、ステップ500に戻る。そして、ラインカードの出力インタフェースは、内部ネットワーク2にIPパケット300を送出する。これにより、ルータ100が廃棄しなかったIPパケットのみが攻撃先端末220に到着する。
ステップ503において、検出部164が攻撃を検知した場合には、フィルタ情報生成手段166は、当該攻撃IPパケット320に基づいて、攻撃IPパケットを拒否するためのフィルタ情報を生成する(ステップS505)。そして、フィルタ情報通知分配部180の分配手段181は、フィルタ情報生成手段166により生成されたフィルタ情報400を、ルータ100内の全てのフィルタ部120〜124に通知する(ステップS506)。フィルタ部124のダイナミックルール設定手段126、及びフィルタ部120〜123のダイナミックルール設定手段は、分配手段181から通知されたフィルタ情報400の内容がポリシールールとして記憶されている内容に存在しない場合には(ステップS507)、攻撃IPパケット310を拒否して廃棄するための拒否ポリシールールを一時的に設定及び記憶する(ステップS508)。
フィルタ部124のフィルタ手段127、及びフィルタ部120〜123のフィルタ手段は、後続の攻撃IPパケット330を受信すると、当該IPパケットのヘッダ情報と、前記設定及び記憶されたポリシールールとを比較し、後続の攻撃IPパケット330のヘッダ情報とポリシールールとが一致した場合は、当該攻撃IPパケット330の中継を予め設定された一定時間だけ拒否(遮断)する制御を行う。DoS攻撃等が終了したと考えられる一定時間経過後、ダイナミックルール設定手段126は、ステップ508にて追加設定したルールを削除して、ステップ500に戻る(ステップS509)。また、フィルタ部124のダイナミックルール設定手段126、及びフィルタ部120〜123のダイナミックルール設定手段は、分配手段181から通知されたフィルタ情報400の内容がポリシールールとして記憶されている場合には、ルール有効時間を再設定して、ステップ500に戻る(ステップS510)。
図5は、本発明の他の実施形態に係るルータ装置におけるDDoS防御機能付きルータ装置のブロック構成を示す概略図である。尚、図5において、ルータ装置が元来備えている構成部は省略してあり、本発明を適用するのに必要な構成部のみを示している。ルータ100は、それぞれフィルタ部120〜123、入力バッファ130〜133、出力バッファ140〜143、検出部160〜163及び折り返し部150を備えたラインカード110〜113と、スイッチファブリック170とを具備し、インターネット等の外部ネットワーク1と、アクセス網やローカルネットワーク等の内部ネットワーク2とを接続する。
次に、図5に示したルータ100のDDoS防御の機能を、図6を用いて説明する。図6において、ルータ100は、図5に示した構成の下で、フィルタ部124と、折り返し部154,156と、スイッチ網171と、検出部164とを具備している。フィルタ部124は、フィルタ手段125、ダイナミックルール設定手段126及びフィルタ手段127を、折り返し部156は抽出通知手段157を、スイッチ網171は、入力バッファ、スイッチファブリック及び出力バッファを、検出部164は検出手段165及びフィルタ情報生成手段166を、折り返し部154は折り返し分配手段155をそれぞれ備えている。いま、外部ネットワーク1上の攻撃者端末210が内部ネットワーク2上の攻撃先端末220宛てにDoS攻撃を行い、外部ネットワーク1上の正規利用者端末200と内部ネットワーク2上の攻撃先端末220との間では正常にアクセスしている場合を想定する。
攻撃者端末210が、攻撃先端末220宛てに攻撃IPパケット310を送信し、正規利用者端末200が、攻撃先端末220宛てにIPパケット300を送信する。ルータ100のフィルタ部124に備えたフィルタ手段125は、前記攻撃IPパケット310及びIPパケット300を受信し、受信したこれら全てのIPパケットのヘッダ情報と、フィルタ部124内に設定されているファイアウォール管理者が意図するポリシールールとを比較し、当該IPパケットをスイッチ網171に中継するか、または拒否するかを判断する機能を有する。このポリシールールは、送信元IPアドレス、宛先IPアドレス、プロトコル、送信元ポートアドレス、宛先ポートアドレス等のヘッダ情報と、そのヘッダ情報に対応するアクション(許可、拒否等)により定義され、ファイアウォール管理者が静的に設定することが可能であり、さらに、ダイナミックルール設定手段126により動的に設定することも可能である。
検出部164の検出手段165は、スイッチ網171から転送されてくるIPパケット300及び攻撃IPパケット320の全てのIPパケットのヘッダ情報及びペイロード情報と予め設定された設定ルールとに基づいて、DoS攻撃、DDoS攻撃等の攻撃検知を行う機能を有する。フィルタ情報生成手段166は、検出手段165が攻撃を検知した場合には、そのときに検出したIPパケットに基づいて、攻撃IPパケットを拒否するためのフィルタ情報を生成する機能を有する。ここで、検出部の検出手段165は、IDS機能を有し、上記のように、スイッチ網171から転送されてくる全てのIPパケットのヘッダ情報及びペイロード情報に基づいて、DoS攻撃、DDoS攻撃等の攻撃検知を行う機能を有してもよいし、単位時間当りにおける監視対象のIPパケットの数が閾値を超えたか否かを判定することにより攻撃検知を行う機能を有していてもよい。
折り返し部154の折り返し分配手段155は、フィルタ情報生成手段166により生成されたフィルタ情報410を、ルータ100内の全てのフィルタ部120〜124にインラインでスイッチ網171を介して通知する機能を有する。折り返し部150〜154(折り返し部156)の抽出通知手段157は、折り返し部154の折り返し分配手段155からインラインでスイッチ網171を介して通知されたフィルタ情報411を抽出し、フィルタ部120〜124に通知する機能を有する。この場合、スイッチ網171のスイッチファブリックがフィルタ情報411を全てのラインカードの出力バッファに転送し、そして、フィルタ情報411を通知された折り返し部150〜154(折り返し部156)がフィルタ情報を抽出してフィルタ部120〜124に通知する。フィルタ部124のダイナミックルール設定手段126、及びフィルタ部120〜123の各ダイナミックルール設定手段は、フィルタ情報411の内容をポリシールールとして設定し記憶する機能を有する。フィルタ部124のフィルタ手段127、及びフィルタ部120〜123の各フィルタ手段は、後続の攻撃IPパケット330を受信すると、当該IPパケットのヘッダ情報と、前記設定及び記憶されたポリシールールとを比較し、後続の攻撃IPパケット330のヘッダ情報とポリシールールとが一致した場合は、当該攻撃IPパケット330の中継を予め設定された一定時間だけ拒否する機能を有する。これにより、ルータ100は、不正なIPパケットの攻撃から内部ネットワーク2を防御することができる。
図7は、フィルタ情報生成手段166が生成するフィルタ情報である折り返し通知IPパケットの構造を示す説明図である。この折り返し通知法は、攻撃IPパケットが流入する経路と、折り返し通知IPパケットが通知される経路とが同一である場合にルータ100に実装されるものである。図7において、940は攻撃IPパケットである。900は攻撃IPパケットの送信元IPアドレス(以下、「SA」という。)、910は攻撃IPパケットの宛先IPアドレス(以下、「DA」という。)、920は攻撃IPパケットのTCPヘッダまたはUDPヘッダ、930は攻撃IPパケットの上位プロトコルデータである。
また、960はフィルタ情報生成手段166により生成され、折り返し分配手段155により、攻撃IPパケットが入力してくるラインカードのフィルタ部にインラインでスイッチ網171を介して通知されるフィルタ情報411(折り返し通知IPパケット)である。901は折り返し通知IPパケットのSA、911は折り返し通知パケットのDA、950は折り返し通知であることを示す折り返し通知ヘッダである。スイッチファブリックは、このヘッダ情報により折り返し通知IPパケット960を全てのラインカードに転送する。また、970は、折り返し分配手段155によりインラインで通知された折り返し通知パケット960を受信した折り返し部が、抽出通知手段157においてファイルタ情報を抽出し、フィルタ部に通知し、ダイナミックルール設定手段126によって、ポリシールールに登録されるデータである。902はポリシールールに登録されるSA、912はポリシールールに登録されるDA、921はポリシールールに登録されるTCPヘッダまたはUDPヘッダである。
例えば、攻撃IPパケット940が攻撃IPパケット320である場合には、この攻撃IPパケット320は、検出手段165によりDoS攻撃、DDoS攻撃等の攻撃検知が行われる。そして、フィルタ情報生成手段166は、攻撃IPパケット320のSA900とDA910とを入れ替え、さらに折り返し通知であることを示す折り返し通知ヘッダ950を組み込んで折り返し通知IPパケット960を構成する。
このように構成された折り返し通知IPパケット960は、折り返し分配手段155により折り返し設定され、スイッチ網171においてIPパケットと全く同様に扱われる。そして、攻撃IPパケット310が通過したラインカードのフィルタ部に中継される。中継された折り返し通知IPパケット960は、抽出通知手段157によりフィルタ情報が抽出され、折り返し通知IPパケット960のSA901とDA911とを入れ替えた構成に戻した関係で、折り返し通知ヘッダ950が取り除かれた状態でフィルタ部に通知され、ダイナミックルール設定手段126によりフィルタ部のポリシールールに記憶される。
図8は、フィルタ情報生成手段166が生成するフィルタ情報である折り返し通知IPパケットの他の構造を示す説明図である。1040は攻撃IPパケットである。1000は攻撃IPパケットのSA、1010は攻撃IPパケットのDA、1020は攻撃IPパケットのTCPヘッダまたはUDPヘッダ、1030は攻撃IPパケットの上位プロトコルデータである。
また、1060はフィルタ情報生成手段166により生成され、折り返し分配手段155により、全てのラインカードのフィルタ部にインラインでスイッチ網171を介して通知されるフィルタ情報411(折り返し通知IPパケット)である。1001は折り返し通知IPパケットのSA、1011は折り返し通知パケットのDA、1050は折り返し通知であることを示す折り返しヘッダである。スイッチファブリックは、このヘッダ情報により折り返し通知IPパケット1060を全てのラインカードに転送する。また、1070は、折り返し分配手段155によりインラインで通知された折り返し通知パケット1060を受信した折り返し部が、抽出通知手段157においてファイルタ情報を抽出し、フィルタ部に通知し、ダイナミックルール設定手段126によって、ポリシールールに登録されるデータである。1002はポリシールールに登録されるSA、1012はポリシールールに登録されるDA、1021はポリシールールに登録されるTCPヘッダまたはUDPヘッダである。
例えば、攻撃IPパケット1040が攻撃IPパケット320である場合には、この攻撃IPパケット320は、検出手段165によりDoS攻撃、DDoS攻撃等の攻撃検知が行われる。そして、フィルタ情報生成手段166は、攻撃IPパケット320に折り返し通知であることを示す折り返し通知ヘッダ950を組み込んで折り返し通知IPパケット960を構成する。
このように構成された折り返し通知IPパケット1060は、折り返し分配手段155により折り返し設定され、スイッチ網171において、折り返し通知ヘッダ1050のラベルに基づいて全てのラインカードのフィルタ部に転送され中継される。中継された折り返し通知IPパケット960は、抽出通知手段157によりフィルタ情報が抽出され、折り返し通知IPパケット960の折り返し通知ヘッダ1050が取り除かれた状態でフィルタ部に通知され、ダイナミックルール設定手段126によりフィルタ部のポリシールールに記憶される。
本発明の実施形態に係るルータ装置では、フィルタ情報通知分配部180の分配手段181が、全てのラインカードのフィルタ部120〜124にファイルタ情報を通知し、ポリシールールを変更するようにした。また、折り返し部154の折り返し分配手段155が、スイッチ網171を介して全てのラインカードのフィルタ部120〜124にファイルタ情報を通知し、ポリシールールを変更するようにした。この場合、攻撃IPパケット320を検出したラインカード以外のラインカード110〜113のフィルタ部120〜123にのみ通知するようにしてもよい。攻撃IPパケット320を検出したラインカードの入力及び出力インタフェースには内部ネットワーク2上の攻撃先端末220が接続されており、内部ネットワーク2から後続の攻撃IPパケット330が送信されることはないと考えられるからである。
以上のように、本発明の実施形態に係るルータ装置によれば、検出手段165が攻撃IPパケット320を検出し、フィルタ情報生成手段166がフィルタ情報を生成し、分配手段181または折り返し分配手段155がフィルタ情報を全フィルタに対して通知し、全てのフィルタ部120〜124が攻撃IPパケット330を一時的に遮断するようにした。これにより、攻撃IPパケットによるスイッチ内部(入力バッファからスイッチファブリック及び出力バッファの入力まで)の帯域資源、及びアクセス網の帯域資源を消費することを防ぐことができる。
また、ルータ100は、上記の処理を実行するソフトウェアを組み込んだコンピュータによって構成される。これらのソフトウェアは、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピィーディスク、ハードディスク等)、光ディスク(CD−ROM、DVD等)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
本発明の実施形態に係るルータ装置が接続された構成を示す概略図である。 本発明の実施形態に係るルータ装置におけるDDoS防御機能付きルータ装置を示すブロック構成図である。 図2のルータ装置による防御方法を説明するためのシーケンスチャート図である。 図2のルータ装置による防御方法を説明するためのフローチャート図である。 本発明の他の実施形態に係るルータ装置におけるDDoS防御機能付きルータ装置を示すブロック図である。 図5のルータ装置による防御方法を説明するためのシーケンスチャート図である。 折り返し通知IPパケットの構造を示す説明図である。 折り返し通知IPパケットの他の構造を示す説明図である。 従来のルータ装置におけるIngressフィルタリング機能の構成を示すブロック図である。 従来のルータ装置におけるEgressフィルタリング機能の構成を示すブロック図である。 従来のルータ装置における他のEgressフィルタリング機能の構成を示すブロック図である。
符号の説明
1 外部ネットワーク
2 内部ネットワーク
100 ルータ
110〜113,600,601,650,651,700,701,750,751,800,801,850,851 ラインカード
120〜124,610,611,710,711,810,811 フィルタ部
125,127 フィルタ手段
126 ダイナミックルール設定手段
130〜133,620,621,760,761,860,861 入力バッファ
140〜143,660,661,720,721,820,821 出力バッファ
150〜154,156 折り返し部
155 折り返し分配手段
157 抽出通知手段
160〜164,630,631,730,731,830,831 検出部
165 検出手段
166 フィルタ情報生成手段
170,640,740,840 スイッチファブリック
171 スイッチ網
180 フィルタ情報通知分配部
181 分配手段
200 正規利用者端末
210 攻撃者端末
220 攻撃先端末
300 IPパケット
310,320,330,940,1040 攻撃IPパケット
400,410,411 フィルタ情報
900,901,902,1000,1001,1002 送信元IPアドレス
910,911,912,1010,1011,1012 宛先IPアドレス
920,921,1020,1021 TCP(UDP)ヘッダ
930,1030 上位プロトコルデータ
950,1050 折り返し通知ヘッダ
960,1060 折り返し通知パケット
970,1070 ポリシールール登録データ

Claims (12)

  1. 異なるネットワーク上の端末間で送受信されるIPパケットを中継する装置が、不正なIPパケットを廃棄するDDoS防御方法において、前記装置におけるIPパケットを送信する出力側に設けられた検出部が、予め設定された検出ルールに基づいて、DoS攻撃やDDoS攻撃等の攻撃用のIPパケットを検出するステップと、前記装置におけるIPパケットを受信する入力側に設けられたフィルタ部が、前記検出部により検出された攻撃用のIPパケットを中継しないようにポリシールールを設定するステップと、該ポリシールールに基づいて、受信したIPパケットに対して中継の許可または拒否を判断するステップと、中継を許可すると判断した場合には前記受信したIPパケットを中継するステップと、中継を拒否すると判断した場合には前記受信したIPパケットを廃棄するステップと、を有することを特徴とするDDoS防御方法。
  2. 入力バッファ、該入力バッファの前段に設けられたフィルタ部、出力バッファ、及び該出力バッファの後段に設けられた検出部をそれぞれ有した複数のラインカードと、該ラインカードの間に設けられ、IPパケットを目的のラインカードへスイッチングするスイッチファブリックと、不正なIPパケットを廃棄するためのフィルタ情報を前記フィルタ部へ分配通知するフィルタ情報通知分配部とを備えた装置が、異なるネットワーク上の端末間で送受信されるIPパケットを、第一の前記ラインカードにおけるフィルタ部及び入力バッファと、スイッチファブリックと、第二の前記ラインカードにおける出力バッファ及び検出部とを順番に経由して中継し、不正なIPパケットを廃棄するDDoS防御方法であって、前記検出部が、予め設定された検出ルールに基づいて、DoS攻撃やDDoS攻撃等の攻撃用のIPパケットを検出するステップと、該検出した攻撃用のIPパケットを中継しないようにフィルタ情報を生成するステップと、前記フィルタ情報通知分配部が、該生成されたフィルタ情報を前記全てのラインカードのそれぞれのフィルタ部へ分配通知するステップと、前記フィルタ部が、該分配通知されたフィルタ情報に基づいてポリシールールを設定するステップと、該ポリシールールに基づいて、受信したIPパケットに対して中継の許可または拒否を判断するステップと、中継を許可すると判断した場合には前記受信したIPパケットを中継するステップと、中継を拒否すると判断した場合には前記受信したIPパケットを廃棄するステップと、前記ポリシールールを設定してから一定時間経過後に、前記設定したポリシールールを削除するステップと、を有することを特徴とするDDoS防御方法。
  3. 請求項2に記載のDDoS防御方法において、前記フィルタ情報通知分配部がフィルタ情報を全てのラインカードのそれぞれのフィルタ部へ分配通知するステップの代わりに、前記フィルタ情報通知分配部が、フィルタ情報を、該フィルタ情報を生成したラインカード以外の全てのラインカードのそれぞれのフィルタ部へ分配通知するステップを有することを特徴とするDDoS防御方法。
  4. 入力バッファ、該入力バッファの前段に設けられたフィルタ部、出力バッファ、及び該出力バッファの後段に設けられた検出部と折り返し部をそれぞれ有した複数のラインカードと、該ラインカードの間に設けられ、IPパケットを目的のラインカードへスイッチングするスイッチファブリックとを備えた装置が、異なるネットワーク上の端末間で送受信されるIPパケットを、第一の前記ラインカードにおけるフィルタ部及び入力バッファと、スイッチファブリックと、第二の前記ラインカードにおける出力バッファ、検出部及び折り返し部とを順番に経由して中継し、不正なIPパケットを廃棄するDDoS防御方法であって、前記検出部が、予め設定された検出ルールに基づいて、DoS攻撃やDDoS攻撃等の攻撃用のIPパケットを検出するステップと、該検出した攻撃用のIPパケットを中継しないようにフィルタ情報を生成するステップと、前記折り返し部が、該生成されたフィルタ情報を、前記スイッチファブリックを介してインラインで前記全てのラインカードのそれぞれの折り返し部へ通知するステップと、前記折り返し部が、該通知されたフィルタ情報をフィルタ部へ通知するステップと、前記フィルタ部が、該通知されたフィルタ情報に基づいてポリシールールを設定するステップと、該ポリシールールに基づいて、受信したIPパケットに対して中継の許可または拒否を判断するステップと、中継を許可すると判断した場合には前記受信したIPパケットを中継するステップと、中継を拒否すると判断した場合には前記受信したIPパケットを廃棄するステップと、前記ポリシールールを設定してから一定時間経過後に、前記設定したポリシールールを削除するステップと、を有することを特徴とするDDoS防御方法。
  5. 請求項4に記載のDDoS防御方法において、前記折り返し部がフィルタ情報をスイッチファブリックを介してインラインで全てのラインカードのそれぞれの折り返し部へ通知するステップの代わりに、前記折り返し部が、フィルタ情報を、前記スイッチファブリックを介してインラインで、該フィルタ情報を生成したラインカード以外の全てのラインカードのそれぞれの折り返し部へ通知するステップを有することを特徴とするDDoS防御方法。
  6. 異なるネットワーク上の端末間で送受信されるIPパケットを中継し、不正なIPパケットを廃棄するDDoS防御機能付きルータ装置において、予め設定された検出ルールに基づいて、DoS攻撃やDDoS攻撃等の攻撃用のIPパケットを検出する検出手段を有し、IPパケットを送信する出力側に設けられた検出部と、前記検出手段により検出された攻撃用のIPパケットを中継しないようにポリシールールを設定するダイナミックルール設定手段、及び、該ポリシールールに基づいて、受信したIPパケットに対して中継の許可または拒否を判断し、中継を許可すると判断した場合には前記受信したIPパケットを中継し、中継を拒否すると判断した場合には前記受信したIPパケットを廃棄する検出手段を有し、IPパケットを受信する入力側に設けられたフィルタ部と、を備えたことを特徴とするDDoS防御機能付きルータ装置。
  7. 入力バッファ、該入力バッファの前段に設けられたフィルタ部、出力バッファ、及び該出力バッファの後段に設けられた検出部をそれぞれ有した複数のラインカードと、該ラインカードの間に設けられ、IPパケットを目的のラインカードへスイッチングするスイッチファブリックと、不正なIPパケットを廃棄するためのフィルタ情報を前記フィルタ部へ分配通知するフィルタ情報通知分配部とを備え、異なるネットワーク上の端末間で送受信されるIPパケットを、第一の前記ラインカードにおけるフィルタ部及び入力バッファと、スイッチファブリックと、第二の前記ラインカードにおける出力バッファ及び検出部とを順番に経由して中継し、不正なIPパケットを廃棄するDDoS防御機能付きルータ装置であって、前記検出部が、予め設定された検出ルールに基づいて、DoS攻撃やDDoS攻撃等の攻撃用のIPパケットを検出する検出手段と、該検出した攻撃用のIPパケットを中継しないようにフィルタ情報を生成するフィルタ情報生成手段とを有し、前記フィルタ情報通知分配部が、該生成されたフィルタ情報を前記全てのラインカードのそれぞれのフィルタ部へ分配通知する分配手段を有し、前記フィルタ部が、該分配通知されたフィルタ情報に基づいてポリシールールを設定し、該ポリシールールを設定してから一定時間経過後に、前記設定したポリシールールを削除するダイナミックルール設定手段と、該ポリシールールに基づいて、受信したIPパケットに対して中継の許可または拒否を判断し、中継を許可すると判断した場合には前記受信したIPパケットを中継し、中継を拒否すると判断した場合には前記受信したIPパケットを廃棄するフィルタ手段とを有することを特徴とするDDoS防御機能付きルータ装置。
  8. 請求項7に記載のDDoS防御機能付きルータ装置において、前記フィルタ情報通知分配部の分配手段が、生成されたフィルタ情報を、該フィルタ情報を生成したラインカード以外の全てのラインカードのそれぞれのフィルタ部へ分配通知することを特徴とするDDoS防御機能付きルータ装置。
  9. 入力バッファ、該入力バッファの前段に設けられたフィルタ部、出力バッファ、及び該出力バッファの後段に設けられた検出部と折り返し部をそれぞれ有した複数のラインカードと、該ラインカードの間に設けられ、IPパケットを目的のラインカードへスイッチングするスイッチファブリックとを備え、異なるネットワーク上の端末間で送受信されるIPパケットを、第一の前記ラインカードにおけるフィルタ部及び入力バッファと、スイッチファブリックと、第二の前記ラインカードにおける出力バッファ、検出部及び折り返し部とを順番に経由して中継し、不正なIPパケットを廃棄するDDoS防御機能付きルータ装置であって、前記検出部が、予め設定された検出ルールに基づいて、DoS攻撃やDDoS攻撃等の攻撃用のIPパケットを検出する検出手段と、該検出した攻撃用のIPパケットを中継しないようにフィルタ情報を生成するフィルタ情報生成手段とを有し、前記折り返し部が、該生成されたフィルタ情報を、前記スイッチファブリックを介してインラインで前記全てのラインカードのそれぞれの折り返し部へ通知する折り返し分配手段と、該通知されたフィルタ情報をフィルタ部へ通知する通知手段とを有し、前記各フィルタ部が、該通知されたフィルタ情報に基づいてポリシールールを設定し、該ポリシールールを設定してから一定時間経過後に、前記設定したポリシールールを削除するダイナミックルール設定手段と、該ポリシールールに基づいて、受信したIPパケットに対して中継の許可または拒否を判断し、中継を許可すると判断した場合には前記受信したIPパケットを中継し、中継を拒否すると判断した場合には前記受信したIPパケットを廃棄するフィルタ手段とを有することを特徴とするDDoS防御機能付きルータ装置。
  10. 請求項9に記載のDDoS防御機能付きルータ装置において、前記折り返し部の折り返し分配手段が、生成されたフィルタ情報を、前記スイッチファブリックを介してインラインで、該フィルタ情報を生成したラインカード以外の全てのラインカードのそれぞれの折り返し部へ通知することを特徴とするDDoS防御機能付きルータ装置。
  11. 請求項1から5のいずれか一項に記載のDDoS防御方法を実行する装置を構成するコンピュータに、前記DDoS防御方法における各ステップの処理を実行させることを特徴とするDDoS防御プログラム。
  12. 請求項11に記載のDDoS防御プログラムを記録した記録媒体。
JP2003276886A 2003-07-18 2003-07-18 DDoS防御方法及びDDoS防御機能付きルータ装置 Expired - Fee Related JP3947138B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003276886A JP3947138B2 (ja) 2003-07-18 2003-07-18 DDoS防御方法及びDDoS防御機能付きルータ装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003276886A JP3947138B2 (ja) 2003-07-18 2003-07-18 DDoS防御方法及びDDoS防御機能付きルータ装置

Publications (2)

Publication Number Publication Date
JP2005039721A true JP2005039721A (ja) 2005-02-10
JP3947138B2 JP3947138B2 (ja) 2007-07-18

Family

ID=34213069

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003276886A Expired - Fee Related JP3947138B2 (ja) 2003-07-18 2003-07-18 DDoS防御方法及びDDoS防御機能付きルータ装置

Country Status (1)

Country Link
JP (1) JP3947138B2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010057034A (ja) * 2008-08-29 2010-03-11 Nec Infrontia Corp ルータにおけるアクセス制御方法、ルータ、およびアクセス制御プログラム
JP5015014B2 (ja) * 2006-01-16 2012-08-29 株式会社サイバー・ソリューションズ トラヒック分析診断装置及びトラヒック分析診断システム並びにトラヒック追跡システム
JP2016163180A (ja) * 2015-03-02 2016-09-05 日本電気株式会社 通信システム、通信方法、及びプログラム
JP2017117224A (ja) * 2015-12-24 2017-06-29 株式会社Pfu ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラム

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5015014B2 (ja) * 2006-01-16 2012-08-29 株式会社サイバー・ソリューションズ トラヒック分析診断装置及びトラヒック分析診断システム並びにトラヒック追跡システム
JP2010057034A (ja) * 2008-08-29 2010-03-11 Nec Infrontia Corp ルータにおけるアクセス制御方法、ルータ、およびアクセス制御プログラム
JP2016163180A (ja) * 2015-03-02 2016-09-05 日本電気株式会社 通信システム、通信方法、及びプログラム
US10313238B2 (en) 2015-03-02 2019-06-04 Nec Corporation Communication system, communication method, and non-transitiory computer readable medium storing program
JP2017117224A (ja) * 2015-12-24 2017-06-29 株式会社Pfu ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラム

Also Published As

Publication number Publication date
JP3947138B2 (ja) 2007-07-18

Similar Documents

Publication Publication Date Title
EP1905197B1 (en) System and method for detecting abnormal traffic based on early notification
US7832009B2 (en) Techniques for preventing attacks on computer systems and networks
US7436770B2 (en) Metering packet flows for limiting effects of denial of service attacks
KR101812403B1 (ko) SDN에서의 DoS공격 방어시스템 및 이의 구현방법
KR101217647B1 (ko) 특정 소스/목적지 ip 어드레스 쌍들에 기초한 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치
CN1968272B (zh) 通信网络中用于缓解拒绝服务攻击的方法和系统
EP1911241B1 (en) Method for defending against denial of service attacks in ip networks by target victim self-identification and control
EP1540921B1 (en) Method and apparatus for inspecting inter-layer address binding protocols
US20070166051A1 (en) Repeater, repeating method, repeating program, and network attack defending system
US20070289014A1 (en) Network security device and method for processing packet data using the same
JP2007208861A (ja) 不正アクセス監視装置及びパケット中継装置
KR100723864B1 (ko) 패킷에 포함된 정보를 이용하여 네트워크 공격을 차단하는방법 및 그 장치
Yao et al. VASE: Filtering IP spoofing traffic with agility
JP7150552B2 (ja) ネットワーク防御装置およびネットワーク防御システム
CN101242415B (zh) 用于过滤和分析基于分组的通信流量的方法和装置
US11552973B2 (en) Network malicious behavior detection method and networking system using same
JP2003099339A (ja) 侵入検知・防御装置及びプログラム
JP2007259223A (ja) ネットワークにおける不正アクセスに対する防御システム、方法およびそのためのプログラム
JP3947138B2 (ja) DDoS防御方法及びDDoS防御機能付きルータ装置
US8646081B1 (en) Method and system to detect a security event in a packet flow and block the packet flow at an egress point in a communication network
KR100427179B1 (ko) 패킷 필터링을 이용한 아이에스피 보더 라우터의 공격자차단 방법 및 그 시스템
JP2003333092A (ja) ネットワークシステム、攻撃パケット追跡方法および攻撃パケット防御方法
Zare et al. Techniques for detecting and preventing denial of service attacks (a systematic review approach)
Pimpalkar et al. Defense against DDOS attacks using IP address spoofing
KR100456637B1 (ko) 블랙리스트 기반의 분류기를 포함하는 네트워크 보안서비스 시스템

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050715

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070115

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070123

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070312

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070410

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070412

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100420

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110420

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120420

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130420

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees