JP2005073272A - Tcpステートレス・ホグによるtcpサーバに対する分散サービス妨害攻撃を防御する方法および装置 - Google Patents
Tcpステートレス・ホグによるtcpサーバに対する分散サービス妨害攻撃を防御する方法および装置 Download PDFInfo
- Publication number
- JP2005073272A JP2005073272A JP2004244509A JP2004244509A JP2005073272A JP 2005073272 A JP2005073272 A JP 2005073272A JP 2004244509 A JP2004244509 A JP 2004244509A JP 2004244509 A JP2004244509 A JP 2004244509A JP 2005073272 A JP2005073272 A JP 2005073272A
- Authority
- JP
- Japan
- Prior art keywords
- tcp
- sequence number
- hog
- stateless
- network source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 18
- 230000004044 response Effects 0.000 claims abstract description 23
- 241000282887 Suidae Species 0.000 claims description 3
- 230000007246 mechanism Effects 0.000 abstract description 14
- 239000000523 sample Substances 0.000 abstract description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 230000007123 defense Effects 0.000 description 5
- 238000013459 approach Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 238000011160 research Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 206010000210 abortion Diseases 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000009931 harmful effect Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000000153 supplemental effect Effects 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】一定の形態の分散サービス妨害(DDoS)攻撃の防御を提供すること。
【解決手段】TCPステートレス・ホグによる分散サービス妨害(DDoS)攻撃は、RFC 1122によって与えられるキープ・アライブ機構に対する拡張を使用することによって覆される。TCPサーバは、可能なアタッカから新しいTCP接続要求を受信し、それに対して、「無効」シーケンス番号を使用してキープ・アライブ・プローブ・パケットを送り戻す。例示的には、この「無効」シーケンス番号は、実際の現シーケンス番号からかなり離れるように選択された乱数を含む。応答パケットを潜在的アタッカから受信したとき、TCPサーバが、受信したパケット中の肯定応答番号の正確さを検証し、それによって潜在的アタッカがTCPステートレス・ホグである可能性があるか否かを判定する。
【選択図】図1
【解決手段】TCPステートレス・ホグによる分散サービス妨害(DDoS)攻撃は、RFC 1122によって与えられるキープ・アライブ機構に対する拡張を使用することによって覆される。TCPサーバは、可能なアタッカから新しいTCP接続要求を受信し、それに対して、「無効」シーケンス番号を使用してキープ・アライブ・プローブ・パケットを送り戻す。例示的には、この「無効」シーケンス番号は、実際の現シーケンス番号からかなり離れるように選択された乱数を含む。応答パケットを潜在的アタッカから受信したとき、TCPサーバが、受信したパケット中の肯定応答番号の正確さを検証し、それによって潜在的アタッカがTCPステートレス・ホグである可能性があるか否かを判定する。
【選択図】図1
Description
本発明は、一般にインターネット・セキュリティの分野に関し、より詳細には、一定の形態の分散サービス妨害(DDoS)攻撃を防御する問題に関する。
関連出願への相互参照
本願は、先にD.Linによって2003年8月25日に出願された仮特許出願第60/497886号「Defense Against State Attacks On TCP Servers」の特典を主張するものである。
本願は、先にD.Linによって2003年8月25日に出願された仮特許出願第60/497886号「Defense Against State Attacks On TCP Servers」の特典を主張するものである。
サービス妨害(DoS)攻撃は、限られたサーバ資源が正当なユーザにではなくアタッカに割り振られたときに、サービスの破壊を引き起こす。分散サービス妨害(DDoS)攻撃は、地理的に異なるインターネット・ノードから被害者に向けて、協調したDoS攻撃を送り出す。攻撃側マシンは通常、リモート・マスタによって制御される、損なわれたゾンビ・マシンである。通常攻撃対象となる資源は、リンク帯域幅、サーバ・メモリ、およびCPU時間を含む。分散DoS攻撃は、収束するトラフィックの全体的効果のためにさらに強力であり、特にアタッカがネットワーク・トポロジの内部知識を持っているときはそうである。「TCP SYNフラッド」、「スマーフIP ping」、およびルート・ネーム・サーバに対する帯域幅攻撃はすべて、以前に配置された攻撃の例である(こうした攻撃はそれぞれ当業者には周知であろう)。しかし、以前に知られていたよりもずっと多くの攻撃が実際には存在していたことが報告されている。
資源枯渇を阻止するようにサーバ・オペレーティング・システムを改良する多数の手法が存在する。その一部では、(当業者に周知の)ステートフル・ハンドシェーク・プロトコルに対する攻撃からサーバを保護するために、より良好なネットワーク・プロトコル設計原理が考慮されている。IPトレース・バックは別の周知の手法である。IPトレース・バックは、攻撃パケットをその発信元までたどるようネットワーク全体で協調する作業である。しかし、このような手法は明らかに、ネットワーク全体での協働および協調を必要とする。
実際に、以前の多くの攻撃は、入口フィルタリングがインターネット全体に配置されていた場合、またはソース・アドレス検証プロトコルが広く使用されていた場合、完全に防ぐことができたはずである。また、最近の帯域幅攻撃の多くの被害者は、非スプーフICMP応答パケットによってフラッディングされたが、対応するICMPエコー要求はすべてスプーフされた(当業者には周知のように、「スプーフされた」パケットとは、ソース・アドレスが虚偽であるか誤っているものである)。監視およびネットワーク輻輳制御のために、署名によるヒューリスティック・ベースの帯域幅攻撃検出も考慮された。例えば、提案された一手法では、着信パケットがUDP、TCP、TCP SYN、およびCGIの各カテゴリに分類され(各カテゴリは、完全に当業者には周知である)、次いでクラス・ベースのレート制御および重み付きフェア・キューイングが実施される。
さらに、DDoS攻撃ツールは、時間と共に変化し、進化する傾向がある。例えば、出口フィルタリングが広く配置されると共に、アタッカは、疑いなく、オープンのままにされる可能性が最も高いドア(例えば、TCP、DNS)を利用することになる。攻撃署名は、検出を逃れるために変化または消滅する可能性がある。したがって、精巧な将来の攻撃は、正当なものとほとんど区別できなくなる可能性が高い。したがって、この問題に対して、フィルタリング・ベースの手法単独では、非効率であるだけでなく不十分である。多くの偽の正量(false positive)により、研究者は、新しいヒューリスティックスを求めて最初からやり直すことを余儀なくされる。
TCPサーバに対するDDoS攻撃の特定の一タイプは、目標とするサーバのメモリが枯渇し、したがって正当なユーザからサービス要求を受諾することができなくなるまで、目標とするサーバとの新しいTCP接続を連続的に作成することによって送り出される可能性がある(当業者には周知のように、TCPは周知の国防総省標準伝送制御プロトコルである。例えば「Transmission Control Protocol」(Defense Advanced Research Projects Agency向けにInformation Sciences Instituteで作成)J.Postel編、Request for Comments(RFC)793、1981年9月、「www.faqs.org/rfcs/rfc793.html」を参照されたい。RFC 793は、本明細書にあたかも完全に記載されているかのように参照により本明細書に組み込まれる)。このような攻撃の有害な効果は、確立された各TCP接続が必然的にTCPサーバ上に状態を作成し、したがってこうした状態を格納するために割り当てられたメモリ量が、オープン接続の総数に比例することに起因する。このような攻撃は従来「Naptha」と呼ばれ、当業者に周知であるが、本明細書ではより一般的に「TCPステートレス・ホグ」攻撃と呼ぶことにする。
仮特許出願第60/497886号
「Transmission Control Protocol」prepared for Defense Advanced Research Projects Agency by Information Sciences Institute、J.Postel編、Request for Comments(RFC)793、1981年9月、「www.faqs.org/rfcs/rfc793.html」
「Requirements for Internet Hosts − Communication Layers」、Internet Engineering Task Force,R.Braden編、Network Working Group、Request for Comments(RFC)1122、セクション4.2.3.6、1989年10月、「www.faqs.org/rfcs/rfcll22.html」
TCPステートレス・ホグ(すなわちNaptha)攻撃の周知の防御法は存在しない。しかし、TCPキープ・アライブ機構が、インターネット・コミュニティの公式の仕様として当業者に周知である。例えば「Requirements for Internet Hosts − Communication Layers」、Internet Engineering Task Force,R.Braden編、Network Working Group、Request for Comments(RFC)1122,セクション4.2.3.6、1989年10月、「www.faqs.org/rfcs/rfcll22.html」を参照されたい(RFC 1122のセクション4.2.3.6は、本明細書にあたかも完全に記載されているかのように参照により本明細書に組み込まれる)。有利には、このキープ・アライブ機構は、クライアントがネットワーク障害中に接続をクラッシュまたは異常終了した場合に、普通なら無限にハングして不必要に資源を消費する可能性のあるサーバ・アプリケーションで呼び出すことができる。このようなキープ・アライブ機構は、攻撃の進行中に、原理上はTCPサーバを軽減するのに使用することができるが、アタッカが多くのコストを払わなくとも容易に覆される可能性がある。
本発明者は、有利には、RFC 1122によって与えられるキープ・アライブ機構を、TCPステートレス・ホグを効果的に検出してそれを覆す仕方で修正(すなわち強化)することができることを理解した。具体的には、本発明の原理によれば、TCPサーバが、可能なアタッカから新しいTCP接続要求を受信する。次いで、有利には、キープ・アライブ・プローブ・パケットがTCPサーバによって潜在的アタッカに送信されるが、本発明の原理によれば、「無効」シーケンス番号を使用してパケットが送信される。本発明の例示的一実施形態によれば、有利には、この「無効」シーケンス番号は、実際の現シーケンス番号からかなり離れるように選択された乱数を含む。最後に、応答パケットを潜在的アタッカから受信したとき、TCPサーバが、受信したパケット中の肯定応答番号の正確さを検証し、それによって潜在的アタッカがTCPステートレス・ホグである可能性があるか否かを判定する。
図1に、本発明の例示的実施形態によるTCPステートレス・ホグ防御機構を組み込むDDoSゲートウェイの機能ブロック図を示す。有利には、この例示的DDoSゲートウェイは、保護すべきリンクから1ホップ上流側のネットワーク・エッジに配置される。例示的ゲートウェイの動作の際には、まず、コアから到来するパケットがディスパッチ・モジュール11によってディスパッチされ、TCPパケットが互いに分離される(非TCPパケットは非TCPモジュール12によって処理される)。ゲートウェイの前の状態を有する各データ・パケットは、検査モジュール13によって決定される一定のバッファ管理ポリシーの対象となる様々なキューに分類することができる。しかしSYNパケットは、転送すべき前の状態を必要とせず、したがって、有利には、接続モジュール14によって別々に処理される。次いで、データ・パケット、SYNパケット、および非TCPプロトコルからのパケットが、FlowQモジュール15により、保護されるリンク上に出現するようにスケジュールされる。逆方向については、TCPサーバからのパケットが、ウォッチ・モジュール16によって検査され、コアからの着信パケットをさらに処理するためのステートフル情報を提供する。有利には、本発明の例示的実施形態による、以下で詳細に説明するTCPステートレス・ホグ検出機構は、ウォッチ・モジュール16に組み込まれる。
当業者には完全に周知であるように、RFC 1122のセクション4.2.3.6に記載のTCPキープ・アライブ機構は通常、クライアントがネットワーク障害中に接続をクラッシュまたは異常終了した場合に、普通なら無限にハングして不必要に資源を消費する可能性のあるサーバ・アプリケーションで呼び出される。具体的には、データまたは肯定応答パケット(ACKとも呼ばれる)が期間内の接続に関して受信されたときに、キープ・アライブ・パケットを所与の接続に送信することができる。それに応答して、キープ・アライブ・パケットの受信側は、肯定応答パケット(ACK)を送り返すと予想される。本発明の原理によれば、有利には、まさにこの機構を使用して、攻撃の進行中に、TCPサーバを軽減することができる。
しかし、RFC 1122に記載のキープ・アライブ機構は、アタッカが多くのコストを払わなくともTCPステートレス・ホグによって容易に覆される可能性がある。具体的には、通常はそれ自体がブレークインの被害者である攻撃側マシンは、単に適切なACKでキープ・アライブ・プローブに応答することができ、サーバが接続をクローズすることを実質上防止する。具体的には、アタッカは単に、「シーケンス番号」および「肯定応答番号」のフィールドを切り換えることにより、受信したキープ・アライブ・パケットから直接、戻りACK(肯定応答パケット)を作成する。それによって、攻撃側ホスト上で必要なメモリは一定となり、攻撃のために作成されるTCP接続の数と無関係となる。
しかし、本発明の原理およびその例示的実施形態によれば、有利には、TCPキープ・アライブ機構が、TCPステートレス・ホグ攻撃を効果的に検出してそれを覆す仕方で修正される。本発明の例示的一実施形態によれば、本発明の技法を、新しいTCP実装または既存のTCP実装に直接適合させることができる。本発明の別の例示的実施形態によれば、本発明の技法を、DDoSゲートウェイ中のネットワーク・エッジに配置して、レガシー・システムを保護することができる。
当業者に完全に周知であるかのようであるが、キープ・アライブ・プローブ・パケットはとりわけ、サーバからクライアントに送信された最後のデータ・オクテットに対応するシーケンス番号を含む。クライアントは、同じオクテットと一致して、肯定応答で応答すると予想される。したがって、上述のように、キープ・アライブ・プロセスに何らかの修正がない場合、アタッカは単に、シーケンス番号をコピーすることによってプローブに回答することができる。
しかし本発明の原理によれば、有利には、「無効」番号が、キープ・アライブ・プローブ・パケット中のシーケンス番号として使用される。具体的には、TCPの仕様(すなわちRFC 793)によれば、肯定応答セグメントが、現送信シーケンス番号と、受信されると予想される次のシーケンス番号を示す肯定応答を含むことに留意されたい。TCPシーケンス番号は32ビット符号なし整数であり、ラップ・アラウンドするので、任意の番号を原理上は有効な番号とすることができる。しかし、1つの可能な「無効」番号は、初期シーケンス番号から1を引いたものである(これはある意味では、「最も可能性の低い」有効番号、すなわち「最も可能性の高い」無効番号である)。したがって、本発明の例示的一実施形態によれば、初期シーケンス番号から1を引いたものが、送信されるキープ・アライブ・パケット中の「無効」シーケンス番号として使用される。
しかし、任意の固定数または固定の(すなわち決定性の)アルゴリズムによって生成された数は、使用されている特定のアルゴリズムをアタッカが知っている場合にアタッカによって潜在的に推測される可能性があることに留意されたい。したがって、本発明の別の好ましい例示的実施形態によれば、有利には、「無効」シーケンス番号がランダムに(すなわち、乱数発生器を使用して)選ばれる。さらに、この好ましい実施形態によれば、接続で現在使用されている可能性のある数との潜在的な混乱を回避するために、有利には、選択空間が可能な限り現シーケンス番号から離れるように選択空間を定義することができる。例えば、TCP接続が、1度のラウンド・トリップのうちに32ビット整数空間を使い果たす可能性は極めて低い。したがって、本発明の好ましい例示的実施形態によれば、有利には、以下の式を使用して、ランダムに選んだ「無効」シーケンス番号「keep−alive.seq」を選択する。
keep−alive.seq=snd_una−230−random(220)(1)
keep−alive.seq=snd_una−230−random(220)(1)
上式で、「snd_una」は、最小の未承認送信側シーケンス番号(すなわち、最大の承認シーケンス番号に1を加えたもの)であり、「random(220)」は、ゼロと2の20乗の間に一様に分布するランダムに生成した整数を表す。具体的には、上記の式(1)が32ビット符号なし整数を生成し、したがって計算で生じるアンダーフローおよびオーバーフローがラップ・アラウンドすること、すなわち演算はすべて232を法として実施されることに留意されたい。
有効な肯定応答の構築は、正当かつ適合するTCP実装で行われるのと同様に、応答側ホスト上の状態を維持することを必要とすることに留意されたい。TCP仕様(すなわちRFC 793)は肯定応答セグメントが現送信シーケンス番号と、受信されると予想される次のシーケンス番号を示す肯定応答を含むことを必要とするので、すべての適合するTCP実装は、最後のシーケンス番号で応答するように規定される。TCPステートレス・ホグ・プログラムは、正しい応答を生成することができない。どんな不正確な応答も、TCPサーバおよびDDoSゲートウェイで容易に検出することができる。したがって、有利には、こうした不正確な応答回答に関連する接続を100%の精度で除去することができる。
具体的には、本発明の例示的実施形態によれば、例示的DDoSゲートウェイが、TCP接続の確立を開始したネットワーク・ソースに、前述のように無効シーケンス番号を含むキープ・アライブ・パケットを送信する。次いで、例示的DDoSゲートウェイは、ネットワーク・ソースから受信した(または受信しなかった)応答に基づいて以下のように動作する。
1.ネットワーク・ソースがキープ・アライブ・パケットに応答することに失敗した場合、通常通り、かつキープ・アライブ機構の規格で指定される通りに、接続がタイムアウトとなり、システムから除去される。これは、「デッド(dead)」接続の結果であるか、またはネットワーク・ソースが実際にTCPステートレス・ホグであり、応答するように(または応答できるように)プログラムされないことの結果であることのいずれかである可能性があることに留意されたい。
2.ネットワーク・ソースが「正しい」ACK(すなわち、「正しい」肯定応答番号が含まれる肯定応答パケット)で応答した場合、接続は有効であり(すなわち、ネットワーク・ソースがTCPステートレス・ホグではないとみなすことができ)、未修正のまま維持される。
3.ネットワーク・ソースが不正確なACK(すなわち、「不正確な」肯定応答番号が含まれる肯定応答パケット)で応答した場合、接続は疑いなく無効な接続である(例えば、ネットワーク・ソースはTCPステートレス・ホグである)。したがって、本発明の例示的実施形態によれば、この場合、有利には、接続がシステムから除去される。
1.ネットワーク・ソースがキープ・アライブ・パケットに応答することに失敗した場合、通常通り、かつキープ・アライブ機構の規格で指定される通りに、接続がタイムアウトとなり、システムから除去される。これは、「デッド(dead)」接続の結果であるか、またはネットワーク・ソースが実際にTCPステートレス・ホグであり、応答するように(または応答できるように)プログラムされないことの結果であることのいずれかである可能性があることに留意されたい。
2.ネットワーク・ソースが「正しい」ACK(すなわち、「正しい」肯定応答番号が含まれる肯定応答パケット)で応答した場合、接続は有効であり(すなわち、ネットワーク・ソースがTCPステートレス・ホグではないとみなすことができ)、未修正のまま維持される。
3.ネットワーク・ソースが不正確なACK(すなわち、「不正確な」肯定応答番号が含まれる肯定応答パケット)で応答した場合、接続は疑いなく無効な接続である(例えば、ネットワーク・ソースはTCPステートレス・ホグである)。したがって、本発明の例示的実施形態によれば、この場合、有利には、接続がシステムから除去される。
具体的には、キープ・アライブ・パケットに対する正しい応答は一般に、(snd_una−1)に等しい肯定応答番号、またはパケットが通過中に並び替えられる場合にはわずかに小さい値に等しい肯定応答番号を搬送すべきである。したがって、有利には、「正しい」肯定応答番号は、値「snd_una」(すなわち最小の未承認送信側シーケンス番号)に近い任意の数とみなすことができ、一方、有利には、「不正確な」肯定応答番号は、「snd_una」から遠距離の任意の値とみなすことができる。有利には、式(1)中の項「230」の減算は、値「snd_una」とキープ・アライブ・パケット中に含まれるシーケンス番号との間にそのような遠距離を生み出すために使用される。
本発明の例示的一実施形態によれば、返されたACK中に含まれる肯定応答番号が(snd_una−W)から(snd_una)の範囲内にない場合、ネットワーク・ソースがTCPステートレス・ホグであるとみなされ、有利には、接続が除去される。項Wは、有利には過渡的out of orderパケットが存在する状態を可能にする小さい定数である。例示的には、Wの最大値は、例えば前のTCP輻輳ウィンドウ・サイズに等しく設定することができる(当業者に周知のTCP輻輳ウィンドウは、上記で参照したTCP標準RFC 793の一部として定義される)。接続がある期間アイドル状態であった場合、有利には、Wを値ゼロに設定できることに留意されたい。
本発明の別の例示的実施形態によれば、動的ホスト毎(あるいはサブネット毎)アイドル接続限界を実施することによって上述の方法が強化される。具体的には、この特定の例示的実施形態によれば、ホスト毎またはサブネット毎のアイドル接続の総数が、リアル・タイムで監視され分類される。アイドル接続の総数が所定の限界を超えたとき、有利には、最もアイドルである接続を有するホストまたはサブネットからの接続を、新しく到来する接続に置き換える。
図2に、本発明の例示的実施形態によるTCPステートレス・ホグを防御する方法のフローチャートを示す。まずブロック21で、ネットワーク・ソースからTCP接続要求を受信し、それに応答してTCP接続を確立する。次いでブロック22では、本発明の原理による、上記で例示的に説明した無効シーケンス番号を含むキープ・アライブ・パケットを、与えられたTCP接続の確立を開始したネットワーク・ソースに送信する。例示的フローチャートのブロック23では、キープ・アライブ・パケット(すなわちACK)に対する応答を待ち、タイムアウトが生じた場合(すなわち、応答パケットを適切な所定の期間内に受信しなかった場合)、フローはブロック25に進み、(通常通り)与えられたTCP接続を終了する。そうでない場合、ブロック24で応答パケットの内容を検査して、(例えば上記で定義したように)肯定応答番号が「正しい」か、それとも「不正確」であるかを判定する。正しい場合、フローはブロック26に進み、接続を維持する(すなわち、有効とみなす)。しかし、不正確である場合、フローはブロック25に進み、接続が、TCPステートレス・ホグによって確立されたか、または単にデッド接続であると推定されるので、与えられたTCP接続を終了する。
詳細な説明の補足
上記の議論のすべては、単に本発明の一般的原理を例示するに過ぎないことに留意されたい。本明細書で明示的に説明または図示していないが、本発明の原理を具体化し、本発明の精神および範囲内に含まれる様々な他の構成を、当業者が考案できることを理解されよう。さらに、本明細書で引用したすべての例および条件付き言語は主に、読者が本発明の原理および本発明者等によって提供された概念を理解し、当技術分野を発展させる際の助けとなるように、明白に、教育的な目的のためだけに意図されるものであり、具体的に引用した例および条件に限定されないと解釈すべきである。さらに、本発明の原理、態様、および実施形態を引用する本明細書のすべての陳述ならびにその特定の例は、その構造的と機能的均等物を共に包含するものとする。このような均等物は、現在周知の均等物と将来開発される均等物、すなわち構造の如何に関わらず同じ機能を実施する、開発される任意の要素を共に含むものとする。
上記の議論のすべては、単に本発明の一般的原理を例示するに過ぎないことに留意されたい。本明細書で明示的に説明または図示していないが、本発明の原理を具体化し、本発明の精神および範囲内に含まれる様々な他の構成を、当業者が考案できることを理解されよう。さらに、本明細書で引用したすべての例および条件付き言語は主に、読者が本発明の原理および本発明者等によって提供された概念を理解し、当技術分野を発展させる際の助けとなるように、明白に、教育的な目的のためだけに意図されるものであり、具体的に引用した例および条件に限定されないと解釈すべきである。さらに、本発明の原理、態様、および実施形態を引用する本明細書のすべての陳述ならびにその特定の例は、その構造的と機能的均等物を共に包含するものとする。このような均等物は、現在周知の均等物と将来開発される均等物、すなわち構造の如何に関わらず同じ機能を実施する、開発される任意の要素を共に含むものとする。
したがって例えば、任意のフローチャート、流れ図、状態遷移図、疑似コードなどが、実質上コンピュータ可読媒体として表すことができ、したがってコンピュータまたはプロセッサにより、そうしたコンピュータまたはプロセッサが明示的に示されているか否かに関わらず実行することのできる様々なプロセスを表すことを当業者は理解されよう。したがって、例えばそうしたフローチャートで示されるブロックは、潜在的に、例えばフローチャート・ブロックで説明したような特定の機能を指定する手段として本クレイムで表すことのできる物理的要素を表すと理解することができる。さらに、このようなフローチャート・ブロックは、例えば、ディスクや半導体記憶装置などの前述のコンピュータ可読媒体に含めることができる物理的信号または格納された物理的データを表すと理解することもできる。
Claims (9)
- TCPステートレス・ホグによって行われるサービス妨害攻撃を防御する方法であって、
ネットワーク・ソースからTCP接続要求を受信し、それに応答してTCP接続を確立する工程と、
前記TCP接続に関連するキープ・アライブ・パケットを前記ネットワーク・ソースに送信する工程であって、前記キープ・アライブ・パケットが無効シーケンス番号を有する工程と、
前記ネットワーク・ソースから、前記TCP接続に関連する前記キープ・アライブ・パケットに対する応答を受信する工程と、
前記受信した応答に基づいて、前記ネットワーク・ソースがTCPステートレス・ホグであるか否かを判定する工程とを含む方法。 - 前記無効シーケンス番号が、ランダムに生成された数に基づいて導出される請求項1に記載の方法。
- 前記無効シーケンス番号がさらに、現シーケンス番号に基づいて導出される請求項2に記載の方法。
- 前記無効シーケンス番号が、前記無効シーケンス番号が前記現シーケンス番号と数値的に隔たるよう保証する公式に基づいて導出される請求項3に記載の方法。
- 前記受信した応答が承認番号を有し、前記ネットワーク・ソースがTCPステートレス・ホグであるか否かを判定する前記工程が、前記承認番号を前記現シーケンス番号と比較する工程を含む請求項3に記載の方法。
- 前記ネットワーク・ソースがTCPステートレス・ホグであるか否かを判定する前記工程が、前記承認番号が前記現シーケンス番号から所定の数値距離内にないときに、前記ネットワーク・ソースがTCPステートレス・ホグであると判定する工程を含む請求項5に記載の方法。
- 前記ネットワーク・ソースがTCPステートレス・ホグであるか否かを判定する前記工程が、前記ネットワーク・ソースがTCPステートレス・ホグであると判定したとき、前記TCP接続を除去する工程をさらに含む請求項1に記載の方法。
- アイドル接続の数値カウントを維持する工程と、アイドル接続の前記数値カウントが所定のアイドル接続限界を超過したときに前記TCP接続を除去する工程とをさらに含む請求項1に記載の方法。
- TCPステートレス・ホグによって行われるサービス妨害攻撃を防御する装置であって、
ネットワーク・ソースからTCP接続要求を受信し、それに応答してTCP接続を確立する手段と、
前記TCP接続に関連するキープ・アライブ・パケットを前記ネットワーク・ソースに送信する手段であって、前記キープ・アライブ・パケットが無効シーケンス番号を有する手段と、
前記ネットワーク・ソースから、前記TCP接続に関連する前記キープ・アライブ・パケットに対する応答を受信する手段と、
前記受信した応答に基づいて、前記ネットワーク・ソースがTCPステートレス・ホグであるか否かを判定する手段とを備える装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US49788603P | 2003-08-25 | 2003-08-25 | |
| US10/668,952 US7404210B2 (en) | 2003-08-25 | 2003-09-23 | Method and apparatus for defending against distributed denial of service attacks on TCP servers by TCP stateless hogs |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005073272A true JP2005073272A (ja) | 2005-03-17 |
| JP4373306B2 JP4373306B2 (ja) | 2009-11-25 |
Family
ID=34278568
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004244509A Expired - Fee Related JP4373306B2 (ja) | 2003-08-25 | 2004-08-25 | Tcpステートレス・ホグによるtcpサーバに対する分散サービス妨害攻撃を防御する方法および装置 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US7404210B2 (ja) |
| JP (1) | JP4373306B2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009529254A (ja) * | 2006-03-03 | 2009-08-13 | ニュー ジャージー インスティテュート オブ テクノロジー | 分散サービス妨害(DDoS)攻撃防御のための、挙動ベースのトラフィック識別(BTD) |
| WO2013055091A1 (ko) * | 2011-10-10 | 2013-04-18 | 고려대학교 산학협력단 | Tcp통신을 이용한 정보 저장방법 및 시스템 |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7602731B2 (en) * | 2004-12-22 | 2009-10-13 | Intruguard Devices, Inc. | System and method for integrated header, state, rate and content anomaly prevention with policy enforcement |
| US7626940B2 (en) * | 2004-12-22 | 2009-12-01 | Intruguard Devices, Inc. | System and method for integrated header, state, rate and content anomaly prevention for domain name service |
| US20060221827A1 (en) * | 2005-04-04 | 2006-10-05 | International Business Machines Corporation | Tcp implementation with message-count interface |
| US8006285B1 (en) * | 2005-06-13 | 2011-08-23 | Oracle America, Inc. | Dynamic defense of network attacks |
| US8359646B2 (en) * | 2007-07-12 | 2013-01-22 | International Business Machines Corporation | Ensuring security of connection between thin client and client blade |
| CN101588246B (zh) * | 2008-05-23 | 2012-01-04 | 成都市华为赛门铁克科技有限公司 | 防范分布式阻断服务DDoS攻击的方法、网络设备和网络系统 |
| US8275890B2 (en) | 2009-06-03 | 2012-09-25 | International Business Machines Corporation | Detecting an inactive client during a communication session |
| CN102045251B (zh) * | 2009-10-20 | 2012-08-22 | 国基电子(上海)有限公司 | 路由器及tcp端口防御方法 |
| US8219606B2 (en) * | 2010-02-27 | 2012-07-10 | Robert Paul Morris | Methods, systems, and computer program products for sharing information for detecting an idle TCP connection |
| US9923995B1 (en) | 2010-02-27 | 2018-03-20 | Sitting Man, Llc | Methods, systems, and computer program products for sharing information for detecting an idle TCP connection |
| US9923996B1 (en) * | 2010-02-27 | 2018-03-20 | Sitting Man, Llc | Methods, systems, and computer program products for sharing information for detecting an idle TCP connection |
| US8924573B2 (en) * | 2012-03-12 | 2014-12-30 | Microsoft Corporation | Secure capability negotiation between a client and server |
| US8693335B2 (en) * | 2012-03-22 | 2014-04-08 | Avaya Inc. | Method and apparatus for control plane CPU overload protection |
| CN102892135B (zh) * | 2012-10-08 | 2015-06-10 | 中兴通讯股份有限公司 | 一种移动终端网络端口释放管理方法及装置 |
| US9288227B2 (en) | 2012-11-28 | 2016-03-15 | Verisign, Inc. | Systems and methods for transparently monitoring network traffic for denial of service attacks |
| US9973528B2 (en) | 2015-12-21 | 2018-05-15 | Fortinet, Inc. | Two-stage hash based logic for application layer distributed denial of service (DDoS) attack attribution |
| CN105939325A (zh) * | 2016-01-12 | 2016-09-14 | 杭州迪普科技有限公司 | Tcp旁路阻断的方法及装置 |
| US11057157B2 (en) * | 2018-06-29 | 2021-07-06 | Hewlett Packard Enterprise Development Lp | Transmission frame counter |
| US11310265B2 (en) * | 2020-02-27 | 2022-04-19 | Hewlett Packard Enterprise Development Lp | Detecting MAC/IP spoofing attacks on networks |
| CN112187793B (zh) * | 2020-09-28 | 2022-09-16 | 绿盟科技集团股份有限公司 | 一种ACK Flood攻击的防护方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7613193B2 (en) * | 2005-02-04 | 2009-11-03 | Nokia Corporation | Apparatus, method and computer program product to reduce TCP flooding attacks while conserving wireless network bandwidth |
-
2003
- 2003-09-23 US US10/668,952 patent/US7404210B2/en not_active Expired - Fee Related
-
2004
- 2004-08-25 JP JP2004244509A patent/JP4373306B2/ja not_active Expired - Fee Related
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009529254A (ja) * | 2006-03-03 | 2009-08-13 | ニュー ジャージー インスティテュート オブ テクノロジー | 分散サービス妨害(DDoS)攻撃防御のための、挙動ベースのトラフィック識別(BTD) |
| JP4764930B2 (ja) * | 2006-03-03 | 2011-09-07 | ニュー ジャージー インスティチュート オブ テクノロジー | 分散サービス妨害(DDoS)攻撃防御のための、挙動ベースのトラフィック識別(BTD) |
| US8091132B2 (en) | 2006-03-03 | 2012-01-03 | New Jersey Institute Of Technology | Behavior-based traffic differentiation (BTD) for defending against distributed denial of service (DDoS) attacks |
| WO2013055091A1 (ko) * | 2011-10-10 | 2013-04-18 | 고려대학교 산학협력단 | Tcp통신을 이용한 정보 저장방법 및 시스템 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4373306B2 (ja) | 2009-11-25 |
| US7404210B2 (en) | 2008-07-22 |
| US20050060557A1 (en) | 2005-03-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4373306B2 (ja) | Tcpステートレス・ホグによるtcpサーバに対する分散サービス妨害攻撃を防御する方法および装置 | |
| Bogdanoski et al. | Analysis of the SYN flood DoS attack | |
| JP4517042B1 (ja) | 偽のソース・アドレスを用いたポート・スキャンを検出するための方法、装置、およびプログラム | |
| US7818795B1 (en) | Per-port protection against denial-of-service and distributed denial-of-service attacks | |
| US20120227088A1 (en) | Method for authenticating communication traffic, communication system and protective apparatus | |
| KR20120060655A (ko) | 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크 | |
| Kavisankar et al. | A mitigation model for TCP SYN flooding with IP spoofing | |
| US12120139B1 (en) | System and method to protect resource allocation in stateful connection managers | |
| Arafat et al. | A practical approach and mitigation techniques on application layer DDoS attack in web server | |
| Wang et al. | Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks | |
| Boppana et al. | Analyzing the vulnerabilities introduced by ddos mitigation techniques for software-defined networks | |
| Kumarasamy et al. | An active defense mechanism for TCP SYN flooding attacks | |
| Salunkhe et al. | Analysis and review of TCP SYN flood attack on network with its detection and performance metrics | |
| WO2019096104A1 (zh) | 攻击防范 | |
| Kavisankar et al. | Efficient syn spoofing detection and mitigation scheme for ddos attack | |
| Al-Duwairi et al. | Intentional dropping: a novel scheme for SYN flooding mitigation | |
| WO2007122495A2 (en) | A framework for protecting resource-constrained network devices from denial-of-service attacks | |
| Kavisankar et al. | CNoA: Challenging Number Approach for uncovering TCP SYN flooding using SYN spoofing attack | |
| Djalaliev et al. | Sentinel: hardware-accelerated mitigation of bot-based DDoS attacks | |
| Kumar et al. | An analysis of tcp syn flooding attack and defense mechanism | |
| Bogdanoski et al. | TCP-SYN Flooding Attack in Wireless Networks | |
| Smith et al. | Comparison of operating system implementations of SYN flood defenses (cookies) | |
| Rivas et al. | Evaluation of CentOS performance under IoT based DDoS Security Attacks | |
| JP7363503B2 (ja) | 情報処理装置、情報処理方法、および情報処理システム | |
| Kavisankar et al. | T-RAP:(TCP reply acknowledgement packet) a resilient filtering model for DDoS attack with spoofed IP address |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070521 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090812 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090903 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120911 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4373306 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120911 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130911 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |