JP2005124055A - ネットワーク攻撃の防御装置 - Google Patents
ネットワーク攻撃の防御装置 Download PDFInfo
- Publication number
- JP2005124055A JP2005124055A JP2003359379A JP2003359379A JP2005124055A JP 2005124055 A JP2005124055 A JP 2005124055A JP 2003359379 A JP2003359379 A JP 2003359379A JP 2003359379 A JP2003359379 A JP 2003359379A JP 2005124055 A JP2005124055 A JP 2005124055A
- Authority
- JP
- Japan
- Prior art keywords
- address
- packet
- communication management
- management table
- recorded
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 正当なユーザに対するサービス品質を劣化させず、攻撃パケットを廃棄する。
【解決手段】 正常通信管理テーブルに記録がないIPアドレスのパケットが到来したときには、当該パケットを一時自装置内に保留し、そのIPアドレスを攻撃可能性判断テーブルに記録し、当該IPアドレス宛てに受信確認パケットを返送する。受信確認パケットの返送から一定時間経過する内に当該返送先からの受信確認パケットが到来したときには、当該IPアドレスを正常通信管理テーブルに記録すると共に攻撃可能性判断テーブルに既に記録されている当該IPアドレスを削除し、自装置内に保留した前記パケットをサーバに転送する。攻撃可能性判断テーブルにIPアドレスが記録されているパケットが到来したときには当該パケットを廃棄する。
【選択図】 図3
【解決手段】 正常通信管理テーブルに記録がないIPアドレスのパケットが到来したときには、当該パケットを一時自装置内に保留し、そのIPアドレスを攻撃可能性判断テーブルに記録し、当該IPアドレス宛てに受信確認パケットを返送する。受信確認パケットの返送から一定時間経過する内に当該返送先からの受信確認パケットが到来したときには、当該IPアドレスを正常通信管理テーブルに記録すると共に攻撃可能性判断テーブルに既に記録されている当該IPアドレスを削除し、自装置内に保留した前記パケットをサーバに転送する。攻撃可能性判断テーブルにIPアドレスが記録されているパケットが到来したときには当該パケットを廃棄する。
【選択図】 図3
Description
本発明は、クライアントとサーバとがネットワークを介して接続される通信システムに利用する。特に、悪意のクライアントがサーバの機能を麻痺させようとして行う攻撃に対する防御技術に関する。
正常なTCP(Transmission Control Protocol)の通信手順を図14を参照して説明する。ネットワーク4を介してサーバ2とクライアント3とが接続されている。このときに、クライアント3からサーバ2に対してSYNパケットが送出されるとサーバ2からクライアント3に対してSYN−ACKパケットが返送される。これにより、クライアント3とサーバ2とは通信可能な状態となる。
次に、SYN攻撃と呼ばれるサーバのサービスを不能にさせる攻撃を図15を参照して説明する。図15に示すように、攻撃の特徴は、悪意のあるクライアント3は、SYNパケットをサーバ2に送り続け、正常な通信をしようとした正しい通信を妨げる。さらに、攻撃者は、自分のIPアドレスを詐称する場合がある。このとき、サーバ2はSYN−ACKパケットをSYNパケットを送信した悪意のあるクライアント3ではなく、詐称されたクライアントに送ることになる。詐称されたクライアントでは、自己が送出していないSYNパケットに対するSYN−ACKパケットの返送が繰り返し行われるので、自己が要求するSYNパケットを送出することができなくなるという異常事態に陥る。
このような攻撃に対する従来の防御装置を図16を参照して説明する。従来のSYN攻撃に対する防御装置11は、攻撃SYNパケットと正常なSYNパケットとを区別せず、SYNパケットの伝送レートを測定し、設定された閾値以上の伝送レートのSYNパケットを全て廃棄していた(例えば、非特許文献1参照)。
"DDoS攻撃の防御対策について"、[online]、平成15年6月3日、警察庁技術対策課サイバーテロ対策技術室、[平成15年10月7日検索]、インターネット、<URL:http://www.cyberpolice.go.jp/server/virus/pdf/Strategies_to_Protect_Against_DDoS_Attacks.pdf>
"DDoS攻撃の防御対策について"、[online]、平成15年6月3日、警察庁技術対策課サイバーテロ対策技術室、[平成15年10月7日検索]、インターネット、<URL:http://www.cyberpolice.go.jp/server/virus/pdf/Strategies_to_Protect_Against_DDoS_Attacks.pdf>
このような従来の防御装置では、サーバは守れるが、正しい通信をするクライアントのSYNパケットまでも廃棄されてしまい、正当なクライアントに対するサービス品質が劣化する原因となる。
本発明は、このような背景に行われたものであって、正当なクライアントに対するサービス品質を劣化させず、攻撃パケットを廃棄することができる防御装置を提供することを目的とする。
本発明は、セッションを確立しない攻撃に対し、正しい通信を行うものと攻撃をしかけているものとを区別可能であり、攻撃パケットのみを廃棄することを特徴とする。また、クライアントから到来したパケットのIPアドレスに対して受信確認パケットを返送するので、悪意のあるクライアントがIPアドレスを詐称した場合には、実際にパケットを送出していないクライアントに当該受信確認パケットが返送されることになる。したがって、以降の通信手順は確立せず、IPアドレスの詐称を見つけることができる。
すなわち、本発明の第一の観点は、ネットワークを介して相互に接続されるクライアントとサーバとの間に設けられ、クライアントからサーバに向けて送出されたパケットを監視する手段を備えたネットワーク攻撃の防御装置である。
ここで、本発明の特徴とするところは、前記監視する手段は、正常通信を行ったクライアントのIPアドレスを記録する正常通信管理テーブルと、この正常通信管理テーブルに記録がないIPアドレスのパケットが到来したときにはそのIPアドレスを記録する攻撃可能性判断テーブルと、前記正常通信管理テーブルに記録されたIPアドレスのパケットが到来したときには、そのまま当該パケットを前記サーバに向けて通過させる手段と、前記正常通信管理テーブルに記録がないIPアドレスのパケットが到来したときには、当該パケットを一時自装置内に保留し、そのIPアドレスを前記攻撃可能性判断テーブルに記録し、当該IPアドレス宛てに受信確認パケットを返送する手段と、この返送する手段による受信確認パケットの返送から一定時間経過する内に当該返送先からの受信確認パケットが到来したときには、当該IPアドレスを前記正常通信管理テーブルに記録すると共に前記攻撃可能性判断テーブルに既に記録されている当該IPアドレスを削除し、自装置内に保留した前記パケットを前記サーバに転送する手段と、前記攻撃可能性判断テーブルにIPアドレスが記録されているパケットが到来したときには当該パケットを廃棄する手段とを備えたところにある(請求項1)。
これにより、疑わしいパケットと正当なパケットとを区別することができる。さらに、疑わしいパケットについては即座に廃棄することができる。
また、前記正常通信管理テーブルのt1時間更新されていない記録を削除する手段と、前記攻撃可能性判断テーブルのt2時間更新されていない記録を削除する手段とを備え、
t1≦t2
であることが望ましい(請求項2)。
t1≦t2
であることが望ましい(請求項2)。
このように、正常通信管理テーブルの記録を定期的に削除するのは、正常通信を行ったIPアドレスのクライアントが恒常的に正常であるとは限らないからである。また、悪意のクライアントが他のクライアントのIPアドレスを詐称する場合もあり、過去に正常通信を行ったIPアドレスを用いて悪意のクライアントが攻撃を行うこともあり得る。このような場合を想定して正常通信管理テーブルの記録は定期的に削除することが望ましい。
さらに、攻撃可能性判断テーブルの記録についても定期的に削除し、記録内容をリフレッシュすることにより、各テーブルの記憶領域を有効に利用することができる。このときに、攻撃可能性判断テーブルの更新周期よりは正常通信管理テーブルの更新周期を短く設定することがよい。その理由は、前述したように、過去に正常通信を行っていたIPアドレスのクライアントが攻撃をしかけてくるクライアントに変質することもあり得るので、正常通信管理テーブルの更新は頻繁に行うことが安全である。これに対し、攻撃可能性判断テーブルに記録されている過去に攻撃をしかけてきたクライアントが正常なクライアントに変質する可能性は一般的に低いと考えられるので、攻撃可能性判断テーブルの方は、正常通信管理テーブルと比較して更新頻度は小さくてもよい。
あるいは、本発明の前記監視する手段は、正常通信を行ったクライアントのIPアドレスを記録する正常通信管理テーブルと、異常通信を行ったクライアントのIPアドレスを記録する異常通信管理テーブルと、前記正常通信管理テーブルに記録がないIPアドレスのパケットが到来したときにはそのIPアドレスを記録する攻撃可能性判断テーブルと、前記正常通信管理テーブルに記録されたIPアドレスのパケットが到来したときには、そのまま当該パケットを前記サーバに向けて通過させる手段と、前記異常通信管理テーブルに記録されたIPアドレスのパケットが到来したときには、当該パケットを廃棄する手段と、前記正常通信管理テーブルおよび前記異常通信管理テーブルに記録がないIPアドレスのパケットが到来したときには、当該パケットを一時自装置内に保留し、そのIPアドレスを前記攻撃可能性判断テーブルに記録し、当該IPアドレス宛てに受信確認パケットを返送する手段と、この返送する手段による受信確認パケットの返送から一定時間経過する内に当該返送先からの受信確認パケットが到来したときには、当該IPアドレスを正常通信管理テーブルに記録すると共に前記攻撃可能性判断テーブルに既に記録されている当該IPアドレスを削除し、自装置内に保留した前記パケットを前記サーバに転送する手段と、前記返送する手段による受信確認パケットの返送から一定時間経過する内に当該返送先からの受信確認パケットが到来しないときには、当該IPアドレスを前記異常通信管理テーブルに記録すると共に自装置内に保留した前記パケットを廃棄する手段とを備えたことを特徴とする(請求項3)。
このように、異常通信管理テーブルを設けることにより、過去に異常通信を行ったIPアドレスのクライアントからのパケットを速やかに廃棄することができる。
また、前記異常通信管理テーブルに記録されたIPアドレスについては前記攻撃可能性判断テーブルから削除する手段と、前記正常通信管理テーブルのt1時間更新されていない記録を削除する手段と、前記異常通信管理テーブルのt3時間更新されていない記録を削除する手段とを備え、
t1≦t3
であることが望ましい(請求項4)。
t1≦t3
であることが望ましい(請求項4)。
すなわち、異常通信管理テーブルおよび攻撃可能性判断テーブルにおける記録の重複は無意味であり、このような重複を回避し、攻撃可能性判断テーブルを有効に利用することができる。
また、異常通信管理テーブルの更新周期よりは正常通信管理テーブルの更新周期を短く設定することがよい。その理由は、前述したように、過去に正常通信を行っていたIPアドレスのクライアントが攻撃をしかけてくるクライアントに変質することもあり得るので、正常通信管理テーブルの更新は頻繁に行うことが安全である。これに対し、異常通信管理テーブルに記録されている過去に攻撃をしかけてきたクライアントが正常なクライアントに変質する可能性は一般的に低いと考えられるので、異常通信管理テーブルの方は、正常通信管理テーブルと比較して更新頻度は小さくてもよい。
また、前記攻撃可能性判断テーブルは、前記正常通信管理テーブルもしくは前記異常通信管理テーブルのいずれかに含まれるように構成してもよい(請求項5)。
例えば、攻撃可能性判断テーブルの記録内容は、異常通信管理テーブルに記録された時点で削除されるようにしておけば、攻撃可能性判断テーブルは、一時的な記録だけで済む。すなわち、他のテーブルと比較すると記憶容量は小さくてよい。したがって、攻撃可能性判断テーブルは、他のいずれかのテーブルの一部の記憶領域を割当てることにより実現することができる。これにより、メモリ構成を簡単化することができる。
本発明の第二の観点は、情報処理装置にインストールすることにより、その情報処理装置に、ネットワークを介して相互に接続されるクライアントとサーバとの間に設けられ、クライアントからサーバに向けて送出されたパケットを監視する機能を備えたネットワーク攻撃の防御装置に相応する機能を実現させるプログラムである。
ここで、本発明の特徴とするところは、前記監視する機能として、正常通信を行ったクライアントのIPアドレスを記録する正常通信管理テーブルに相応する機能と、この正常通信管理テーブルに記録がないIPアドレスのパケットが到来したときにはそのIPアドレスを記録する攻撃可能性判断テーブルに相応する機能と、前記正常通信管理テーブルに記録されたIPアドレスのパケットが到来したときには、そのまま当該パケットを前記サーバに向けて通過させる機能と、前記正常通信管理テーブルに記録がないIPアドレスのパケットが到来したときには、当該パケットを一時自装置内に保留し、そのIPアドレスを前記攻撃可能性判断テーブルに記録し、当該IPアドレス宛てに受信確認パケットを返送する機能と、この返送する機能による受信確認パケットの返送から一定時間経過する内に当該返送先からの受信確認パケットが到来したときには、当該IPアドレスを前記正常通信管理テーブルに記録すると共に前記攻撃可能性判断テーブルに既に記録されている当該IPアドレスを削除し、自装置内に保留した前記パケットを前記サーバに転送する機能と、前記攻撃可能性判断テーブルにIPアドレスが記録されているパケットが到来したときには当該パケットを廃棄する機能とを実現させるところにある(請求項6)。
また、前記正常通信管理テーブルのt1時間更新されていない記録を削除する機能と、前記攻撃可能性判断テーブルのt2時間更新されていない記録を削除する機能とを実現させ、
t1≦t2
であることが望ましい(請求項7)。
t1≦t2
であることが望ましい(請求項7)。
あるいは、本発明のプログラムは、前記監視する機能として、正常通信を行ったクライアントのIPアドレスを記録する正常通信管理テーブルに相応する機能と、異常通信を行ったクライアントのIPアドレスを記録する異常通信管理テーブルに相応する機能と、前記正常通信管理テーブルに記録がないIPアドレスのパケットが到来したときにはそのIPアドレスを記録する攻撃可能性判断テーブルに相応する機能と、前記正常通信管理テーブルに記録されたIPアドレスのパケットが到来したときには、そのまま当該パケットを前記サーバに向けて通過させる機能と、前記異常通信管理テーブルに記録されたIPアドレスのパケットが到来したときには、当該パケットを廃棄する機能と、前記正常通信管理テーブルおよび前記異常通信管理テーブルに記録がないIPアドレスのパケットが到来したときには、当該パケットを一時自装置内に保留し、そのIPアドレスを前記攻撃可能性判断テーブルに記録し、当該IPアドレス宛てに受信確認パケットを返送する機能と、この返送する機能による受信確認パケットの返送から一定時間経過する内に当該返送先からの受信確認パケットが到来したときには、当該IPアドレスを正常通信管理テーブルに記録すると共に前記攻撃可能性判断テーブルに既に記録されている当該IPアドレスを削除し、自装置内に保留した前記パケットを前記サーバに転送する機能と、前記返送する機能による受信確認パケットの返送から一定時間経過する内に当該返送先からの受信確認パケットが到来しないときには、当該IPアドレスを前記異常通信管理テーブルに記録すると共に自装置内に保留した前記パケットを廃棄する機能とを実現させることを特徴とするプログラムである(請求項8)。
また、前記異常通信管理テーブルに記録されたIPアドレスについては前記攻撃可能性判断テーブルから削除する機能と、前記正常通信管理テーブルのt1時間更新されていない記録を削除する機能と、前記異常通信管理テーブルのt3時間更新されていない記録を削除する機能とを実現させ、
t1≦t3
であることが望ましい(請求項9)。
t1≦t3
であることが望ましい(請求項9)。
また、前記攻撃可能性判断テーブルは、前記正常通信管理テーブルもしくは前記異常通信管理テーブルのいずれかに含まれることができる(請求項10)。
本発明の第三の観点は、本発明のプログラムが記録された前記情報処理装置読取可能な記録媒体である(請求項11)。本発明のプログラムは本発明の記録媒体に記録されることにより、前記情報処理装置は、この記録媒体を用いて本発明のプログラムをインストールすることができる。あるいは、本発明のプログラムを保持するサーバからネットワークを介して直接前記情報処理装置に本発明のプログラムをインストールすることもできる。
これにより、汎用の情報処理装置を用いて、正当なクライアントに対するサービス品質を劣化させず、攻撃パケットを廃棄することができるネットワーク攻撃の防御装置を実現することができる。
本発明によれば、正当なクライアントに対するサービス品質を劣化させず、攻撃パケットを廃棄することができる。
(第一実施例)
第一実施例を図1ないし図5を参照して説明する。図1は防御装置に到来したSYNパケットのIPアドレスが正常通信管理テーブルに記録されていた場合の処理を示す図である。図2は防御装置に到来したSYNパケットのIPアドレスが正常通信管理テーブルに記録されていない場合の処理を示す図である。図3は防御装置に到来したSYNパケットのIPアドレスのクライアントが攻撃をしかけるクライアントである場合の処理を示す図である。図4は防御装置に到来したSYNパケットのIPアドレスが攻撃可能性判断テーブルに記録されている場合の処理を示す図である。図5は正常通信管理テーブルと攻撃可能性判断テーブルとの配置関係を示す図である。
第一実施例を図1ないし図5を参照して説明する。図1は防御装置に到来したSYNパケットのIPアドレスが正常通信管理テーブルに記録されていた場合の処理を示す図である。図2は防御装置に到来したSYNパケットのIPアドレスが正常通信管理テーブルに記録されていない場合の処理を示す図である。図3は防御装置に到来したSYNパケットのIPアドレスのクライアントが攻撃をしかけるクライアントである場合の処理を示す図である。図4は防御装置に到来したSYNパケットのIPアドレスが攻撃可能性判断テーブルに記録されている場合の処理を示す図である。図5は正常通信管理テーブルと攻撃可能性判断テーブルとの配置関係を示す図である。
第一実施例は、ネットワーク4を介して相互に接続されるクライアント3とサーバ2との間に設けられ、クライアント3からサーバ2に向けて送出されたSYNパケットを監視する手段を備えたネットワーク攻撃の防御装置1である。
ここで、第一実施例の特徴とするところは、前記監視する手段は、正常通信を行ったクライアントのIPアドレスを記録する正常通信管理テーブル10と、この正常通信管理テーブル10に記録がないIPアドレスのパケットが到来したときにはそのIPアドレスを記録する攻撃可能性判断テーブル20と、正常通信管理テーブル10に記録されたIPアドレスのパケットが到来したときには、そのまま当該パケットをサーバ2に向けて通過させる手段と、正常通信管理テーブル10に記録がないIPアドレスのパケットが到来したときには、当該パケットを一時自装置内に保留し、そのIPアドレスを攻撃可能性判断テーブル20に記録し、当該IPアドレス宛てにSYN−ACKパケットを返送する手段と、この返送する手段によるSYN−ACKパケットの返送から一定時間経過する内に当該返送先からのACKパケットが到来したときには、当該IPアドレスを正常通信管理テーブル10に記録すると共に攻撃可能性判断テーブル20に既に記録されている当該IPアドレスを削除し、自装置内に保留した前記パケットをサーバ2に転送する手段と、攻撃可能性判断テーブル20にIPアドレスが記録されているパケットが到来したときには当該パケットを廃棄する手段とを備えたところにある(請求項1)。
また、正常通信管理テーブル10のt1時間更新されていない記録を削除する手段と、攻撃可能性判断テーブル20のt2時間更新されていない記録を削除する手段とを備え、
t1≦t2
である(請求項2)。
t1≦t2
である(請求項2)。
以下では、第一実施例を詳細に説明する。
図1に示すように、サーバ2とネットワーク4を介して接続されたクライアント3との間に本実施例の防御装置1が挿入されている。第一実施例では、クライアント3からサーバ2に向かってSYNパケットが来たら、防御装置1が過去の正しい通信を行っているIPアドレスから来ているか否か判断する。このために、正常通信管理テーブル10を備えており、到来するSYNパケットのIPアドレスと正常通信管理テーブル10に記録された過去のIPアドレスとを比較する。
図1に示すように、クライアント3からサーバ2宛てに送出されたSYNパケットを防御装置1が受け取ると、正常通信管理テーブル10を検索し、過去に正しい通信を行っているIPアドレスから来ているSYNパケットであれば、当該SYNパケットをそのままサーバ2に転送する。当該SYNパケットに対するSYN−ACKパケットはサーバ2から返送される。
図2に示すように、防御装置1に到来したSYNパケットが正常通信管理テーブル10にIPアドレスがないSYNパケットならば、攻撃可能性判断テーブル20に発信元IPアドレスを登録し、発信元IPアドレスに防御装置1からSYN−ACKパケットを返送する。
ここで、一定時間内にクライアント3からACKパケットが来た場合には、当該IPアドレスのクライアント3は、正常なクライアントであることがわかるので、攻撃可能性判断テーブル20から発信元IPアドレスを削除すると共に、正常通信管理テーブル10に発信元IPアドレスを登録し、SYNパケットをサーバ2に送信する。サーバ2からは改めて当該SYNパケットに対するSYN−ACKパケットがクライアント3に返送される。
図3に示すように、正常通信管理テーブル10にIPアドレスがないSYNパケットに対して防御装置1からSYN−ACKパケットを返送した場合に、ACKパケットが一定時間以内に来なかった場合には、攻撃可能性有りと判断でき、SYNパケットをサーバ2に送信せずに廃棄する。また、攻撃可能性判断テーブル20には当該IPアドレスがそのまま記録される。
ここで、ACKパケットが一定時間以内に返送されない場合に攻撃可能性ありと判断する根拠としては、例えば、SYN−ACKパケットを返送したIPアドレスが詐称されたものであれば、SYN−ACKパケットが到着した先のクライアントは、SYNパケットを送出した履歴がない。したがって、SYN−ACKパケットに対するACKパケットを返送することもしない。これにより、SYNパケットの送信元は、IPアドレスを詐称した悪意のクライアントであると判断できる。あるいは、SYN攻撃をしかけるクライアントであれば、はじめからACKパケットを返送することはせず、SYNパケットを送出し続ける。これにより、SYNパケットの送信元は、悪意のあるクライアントであると判断できる。
図4に示すように、攻撃可能性判断テーブル20にIPアドレスがあるSYNパケットが防御装置1に到来した場合には即座に廃棄する。
図5に示すように、正常通信管理テーブル10および攻撃可能性判断テーブル20は配置される。また、正常通信管理テーブル10および攻撃可能性判断テーブル20は、一定周期もしくはなんらかのトリガーを元にして、メンテナンスされる。メンテナンスは、テーブルの記録が一定時間以上更新されていなければ、その記録を削除する。これにより、テーブルの記録数の増加を回避することができると共に、悪意のクライアントが過去に正しい通信を行ったクライアントのIPアドレスを詐称した場合でも、一定時間以上更新されていなければ正常通信管理テーブル10からIPアドレスが削除されているため、防御装置1を素通りしてしまうことを回避することができる。
(第二実施例)
第二実施例を図6ないし図12を参照して説明する。図6は防御装置に到来したSYNパケットのIPアドレスが異常通信管理テーブルに記録されたIPアドレスと一致した場合の処理を示す図である。図7は防御装置に到来したSYNパケットのIPアドレスが正常通信管理テーブルに記録されたIPアドレスと一致した場合の処理を示す図である。図8は防御装置に到来したSYNパケットのIPアドレスが異常通信管理テーブルおよび正常通信管理テーブルの双方に記録されたIPアドレスと一致しない場合にクライアントから一定時間内にACKが返送された場合の処理を示す図である。図9は防御装置に到来したSYNパケットのIPアドレスが異常通信管理テーブルおよび正常通信管理テーブルの双方に記録されたIPアドレスと一致しない場合にクライアントから一定時間内にACKが返送されない場合の処理を示す図である。図10〜図12は第二実施例における正常通信管理テーブル、異常通信管理テーブル、攻撃可能性判断テーブルの配置を示す図である。
第二実施例を図6ないし図12を参照して説明する。図6は防御装置に到来したSYNパケットのIPアドレスが異常通信管理テーブルに記録されたIPアドレスと一致した場合の処理を示す図である。図7は防御装置に到来したSYNパケットのIPアドレスが正常通信管理テーブルに記録されたIPアドレスと一致した場合の処理を示す図である。図8は防御装置に到来したSYNパケットのIPアドレスが異常通信管理テーブルおよび正常通信管理テーブルの双方に記録されたIPアドレスと一致しない場合にクライアントから一定時間内にACKが返送された場合の処理を示す図である。図9は防御装置に到来したSYNパケットのIPアドレスが異常通信管理テーブルおよび正常通信管理テーブルの双方に記録されたIPアドレスと一致しない場合にクライアントから一定時間内にACKが返送されない場合の処理を示す図である。図10〜図12は第二実施例における正常通信管理テーブル、異常通信管理テーブル、攻撃可能性判断テーブルの配置を示す図である。
第二実施例は、ネットワーク4を介して相互に接続されるクライアント3とサーバ2との間に設けられ、クライアント3からサーバ2に向けて送出されたSYNパケットを監視する手段を備えたネットワーク攻撃の防御装置1である。
ここで、第二実施例の特徴とするところは、前記監視する手段は、正常通信を行ったクライアントのIPアドレスを記録する正常通信管理テーブル10と、異常通信を行ったクライアントのIPアドレスを記録する異常通信管理テーブル30と、正常通信管理テーブル10に記録がないIPアドレスのパケットが到来したときにはそのIPアドレスを記録する攻撃可能性判断テーブル20と、正常通信管理テーブル10に記録されたIPアドレスのパケットが到来したときには、そのまま当該パケットをサーバ2に向けて通過させる手段と、異常通信管理テーブル30に記録されたIPアドレスのパケットが到来したときには、当該パケットを廃棄する手段と、正常通信管理テーブル10および異常通信管理テーブル30に記録がないIPアドレスのパケットが到来したときには、当該パケットを一時自装置内に保留し、そのIPアドレスを攻撃可能性判断テーブル20に記録し、当該IPアドレス宛てにSYN−ACKパケットを返送する手段と、この返送する手段によるSYN−ACKパケットの返送から一定時間経過する内に当該返送先からのACKパケットが到来したときには、当該IPアドレスを正常通信管理テーブル10に記録すると共に攻撃可能性判断テーブル20に既に記録されている当該IPアドレスを削除し、自装置内に保留した前記パケットをサーバ2に転送する手段と、前記返送する手段によるSYN−ACKパケットの返送から一定時間経過する内に当該返送先からのACKパケットが到来しないときには、当該IPアドレスを異常通信管理テーブル30に記録すると共に自装置内に保留した前記パケットを廃棄する手段とを備えたところにある(請求項3)。
また、異常通信管理テーブル30に記録されたIPアドレスについては攻撃可能性判断テーブル20から削除する手段と、正常通信管理テーブル10のt1時間更新されていない記録を削除する手段と、異常通信管理テーブル30のt3時間更新されていない記録を削除する手段とを備え、
t1≦t3
である(請求項4)。
t1≦t3
である(請求項4)。
また、攻撃可能性判断テーブル20は、図10に示すように、正常通信管理テーブル10と異常通信管理テーブル20との間に設置するが、第一実施例と比較すると、攻撃可能性判断テーブル20は、一時的な記録だけを行えばよいので、その記憶容量は少なくて済む。そこで、その他の実施例として、図11に示すように、正常通信管理テーブル10の記憶領域の一部を攻撃可能性判断テーブル20に割当てたり、あるいは、図12に示すように、異常通信管理テーブル30の記憶領域の一部を攻撃可能性判断テーブル20に割当てることもできる(請求項5)。
以下では、第二実施例を詳細に説明する。
第二実施例の防御装置1は、第一実施例の防御装置1の構成に、異常通信管理テーブル30を加えて持つことを特徴とする。
図6に示すように、クライアント3からサーバ2宛てに送出されたSYNパケットを防御装置1が受け付けて、異常通信管理テーブル30にIPアドレスがあるならば、即座に攻撃であると判断し、パケットを廃棄する。
図7に示すように、異常通信管理テーブル30にIPアドレスがなく、正常通信管理テーブル10にIPアドレスがあるならば、そのままSYNパケットをサーバ2に送信する。これにより、正常な通信は、そのまま通信が可能である。
図8に示すように、異常通信管理テーブル30にIPアドレスがないが、正常通信管理テーブル10にもIPアドレスがないならば、攻撃可能性判断テーブル20に発信元IPアドレスを登録し、発信元IPアドレスに防御装置1からSYN−ACKパケットを返送する。
ここで、一定時間以内にクライアント3からACKパケットがきた場合には、クライアント3は正常なクライアントであるとして攻撃可能性判断テーブル20から発信元IPアドレスを削除すると共に、正常通信管理テーブル10に発信元IPアドレスを登録し、SYNパケットをサーバ2に送信する。サーバ2からは改めて当該SYNパケットに対するSYN−ACKパケットが返送される。
図9に示すように、異常通信管理テーブル30にIPアドレスがないが、正常通信管理テーブル10にもIPアドレスがないならば、攻撃可能性判断テーブル20に発信元IPアドレスを登録し、発信元IPアドレスに防御装置1からSYN−ACKパケットを返送する。
ここで、防御装置1からのSYN−ACKパケットに対してクライアント3からACKパケットが一定時間以内に来なかった場合には、第一実施例で説明したように、攻撃と判断でき、当該IPアドレスを異常通信管理テーブル30に登録する。なお、異常通信管理テーブル30に登録されたIPアドレスについては攻撃可能性判断テーブル20から削除する。
なお、第一実施例と同様に、正常通信管理テーブル10および異常通信管理テーブル30は、一定周期もしくはなんらかのトリガーを元にして、メンテナンスされる。メンテナンスは、テーブルの記録が一定時間以上更新されていなければ、その記録を削除する。これにより、テーブルの記録数の増加を回避することができると共に、悪意のクライアントが過去に正しい通信を行ったクライアントのIPアドレスを詐称した場合でも、一定時間以上更新されていなければ正常通信管理テーブル10からIPアドレスが削除されているため、防御装置1を素通りしてしまうことを回避することができる。
(第三実施例)
第三実施例を図13を参照して説明する。第三実施例は、第一および第二実施例とその動作は同じである。第三実施例では、防御装置の設置位置が第一および第二実施例とは異なり、ネットワーク4とクライアント3との間に設置されている。これにより、悪意のクライアント3から送出されるSYNパケットをネットワーク4の入り口で廃棄することができるため、ネットワーク4内を無効となるパケットが転送されることがなく、ネットワークリソースを有効に利用することができる。一方、サーバ2の個数と比較するとクライアント3の個数の方が一般的に多いので、防御装置1の設置数は第一および第二実施例と比較すると多くなる。
第三実施例を図13を参照して説明する。第三実施例は、第一および第二実施例とその動作は同じである。第三実施例では、防御装置の設置位置が第一および第二実施例とは異なり、ネットワーク4とクライアント3との間に設置されている。これにより、悪意のクライアント3から送出されるSYNパケットをネットワーク4の入り口で廃棄することができるため、ネットワーク4内を無効となるパケットが転送されることがなく、ネットワークリソースを有効に利用することができる。一方、サーバ2の個数と比較するとクライアント3の個数の方が一般的に多いので、防御装置1の設置数は第一および第二実施例と比較すると多くなる。
(第四実施例)
本発明は、汎用の情報処理装置にインストールすることにより、その情報処理装置に本発明の防御装置に相応する機能を実現させるプログラムとして実現することができる(請求項6〜10)。このプログラムは、記録媒体に記録されて情報処理装置にインストールされ(請求項11)、あるいは通信回線を介して情報処理装置にインストールされることにより当該情報処理装置に、第一〜第三実施例の防御装置1における各手段および各テーブルにそれぞれ相応する機能を実現させることができる。
本発明は、汎用の情報処理装置にインストールすることにより、その情報処理装置に本発明の防御装置に相応する機能を実現させるプログラムとして実現することができる(請求項6〜10)。このプログラムは、記録媒体に記録されて情報処理装置にインストールされ(請求項11)、あるいは通信回線を介して情報処理装置にインストールされることにより当該情報処理装置に、第一〜第三実施例の防御装置1における各手段および各テーブルにそれぞれ相応する機能を実現させることができる。
本発明によれば、正当なクライアントに対するサービス品質を劣化させず、攻撃パケットを廃棄することができるため、クライアントに対するサービス品質を向上させることができる。
1、11 防御装置
2 サーバ
3 クライアント
4 ネットワーク
10 正常通信管理テーブル
20 攻撃可能性判断テーブル
30 異常通信管理テーブル
2 サーバ
3 クライアント
4 ネットワーク
10 正常通信管理テーブル
20 攻撃可能性判断テーブル
30 異常通信管理テーブル
Claims (11)
- ネットワークを介して相互に接続されるクライアントとサーバとの間に設けられ、クライアントからサーバに向けて送出されたパケットを監視する手段を備えたネットワーク攻撃の防御装置において、
前記監視する手段は、
正常通信を行ったクライアントのIPアドレスを記録する正常通信管理テーブルと、
この正常通信管理テーブルに記録がないIPアドレスのパケットが到来したときにはそのIPアドレスを記録する攻撃可能性判断テーブルと、
前記正常通信管理テーブルに記録されたIPアドレスのパケットが到来したときには、そのまま当該パケットを前記サーバに向けて通過させる手段と、
前記正常通信管理テーブルに記録がないIPアドレスのパケットが到来したときには、当該パケットを一時自装置内に保留し、そのIPアドレスを前記攻撃可能性判断テーブルに記録し、当該IPアドレス宛てに受信確認パケットを返送する手段と、
この返送する手段による受信確認パケットの返送から一定時間経過する内に当該返送先からの受信確認パケットが到来したときには、当該IPアドレスを前記正常通信管理テーブルに記録すると共に前記攻撃可能性判断テーブルに既に記録されている当該IPアドレスを削除し、自装置内に保留した前記パケットを前記サーバに転送する手段と、
前記攻撃可能性判断テーブルにIPアドレスが記録されているパケットが到来したときには当該パケットを廃棄する手段と
を備えたことを特徴とする防御装置。 - 前記正常通信管理テーブルのt1時間更新されていない記録を削除する手段と、
前記攻撃可能性判断テーブルのt2時間更新されていない記録を削除する手段と
を備え、
t1≦t2
である請求項1記載の防御装置。 - ネットワークを介して相互に接続されるクライアントとサーバとの間に設けられ、クライアントからサーバに向けて送出されたパケットを監視する手段を備えたネットワーク攻撃の防御装置において、
前記監視する手段は、
正常通信を行ったクライアントのIPアドレスを記録する正常通信管理テーブルと、
異常通信を行ったクライアントのIPアドレスを記録する異常通信管理テーブルと、
前記正常通信管理テーブルに記録がないIPアドレスのパケットが到来したときにはそのIPアドレスを記録する攻撃可能性判断テーブルと、
前記正常通信管理テーブルに記録されたIPアドレスのパケットが到来したときには、そのまま当該パケットを前記サーバに向けて通過させる手段と、
前記異常通信管理テーブルに記録されたIPアドレスのパケットが到来したときには、当該パケットを廃棄する手段と、
前記正常通信管理テーブルおよび前記異常通信管理テーブルに記録がないIPアドレスのパケットが到来したときには、当該パケットを一時自装置内に保留し、そのIPアドレスを前記攻撃可能性判断テーブルに記録し、当該IPアドレス宛てに受信確認パケットを返送する手段と、
この返送する手段による受信確認パケットの返送から一定時間経過する内に当該返送先からの受信確認パケットが到来したときには、当該IPアドレスを正常通信管理テーブルに記録すると共に前記攻撃可能性判断テーブルに既に記録されている当該IPアドレスを削除し、自装置内に保留した前記パケットを前記サーバに転送する手段と、
前記返送する手段による受信確認パケットの返送から一定時間経過する内に当該返送先からの受信確認パケットが到来しないときには、当該IPアドレスを前記異常通信管理テーブルに記録すると共に自装置内に保留した前記パケットを廃棄する手段と
を備えたことを特徴とする防御装置。 - 前記異常通信管理テーブルに記録されたIPアドレスについては前記攻撃可能性判断テーブルから削除する手段と、
前記正常通信管理テーブルのt1時間更新されていない記録を削除する手段と、
前記異常通信管理テーブルのt3時間更新されていない記録を削除する手段と
を備え、
t1≦t3
である請求項3記載の防御装置。 - 前記攻撃可能性判断テーブルは、前記正常通信管理テーブルもしくは前記異常通信管理テーブルのいずれかに含まれる請求項3記載の防御装置。
- 情報処理装置にインストールすることにより、その情報処理装置に、
ネットワークを介して相互に接続されるクライアントとサーバとの間に設けられ、クライアントからサーバに向けて送出されたパケットを監視する機能を備えたネットワーク攻撃の防御装置に相応する機能を実現させるプログラムにおいて、
前記監視する機能として、
正常通信を行ったクライアントのIPアドレスを記録する正常通信管理テーブルに相応する機能と、
この正常通信管理テーブルに記録がないIPアドレスのパケットが到来したときにはそのIPアドレスを記録する攻撃可能性判断テーブルに相応する機能と、
前記正常通信管理テーブルに記録されたIPアドレスのパケットが到来したときには、そのまま当該パケットを前記サーバに向けて通過させる機能と、
前記正常通信管理テーブルに記録がないIPアドレスのパケットが到来したときには、当該パケットを一時自装置内に保留し、そのIPアドレスを前記攻撃可能性判断テーブルに記録し、当該IPアドレス宛てに受信確認パケットを返送する機能と、
この返送する機能による受信確認パケットの返送から一定時間経過する内に当該返送先からの受信確認パケットが到来したときには、当該IPアドレスを前記正常通信管理テーブルに記録すると共に前記攻撃可能性判断テーブルに既に記録されている当該IPアドレスを削除し、自装置内に保留した前記パケットを前記サーバに転送する機能と、
前記攻撃可能性判断テーブルにIPアドレスが記録されているパケットが到来したときには当該パケットを廃棄する機能と
を実現させることを特徴とするプログラム。 - 前記正常通信管理テーブルのt1時間更新されていない記録を削除する機能と、
前記攻撃可能性判断テーブルのt2時間更新されていない記録を削除する機能と
を実現させ、
t1≦t2
である請求項6記載のプログラム。 - 情報処理装置にインストールすることにより、その情報処理装置に、
ネットワークを介して相互に接続されるクライアントとサーバとの間に設けられ、クライアントからサーバに向けて送出されたパケットを監視する機能を備えたネットワーク攻撃の防御装置に相応する機能を実現させるプログラムにおいて、
前記監視する機能として、
正常通信を行ったクライアントのIPアドレスを記録する正常通信管理テーブルに相応する機能と、
異常通信を行ったクライアントのIPアドレスを記録する異常通信管理テーブルに相応する機能と、
前記正常通信管理テーブルに記録がないIPアドレスのパケットが到来したときにはそのIPアドレスを記録する攻撃可能性判断テーブルに相応する機能と、
前記正常通信管理テーブルに記録されたIPアドレスのパケットが到来したときには、そのまま当該パケットを前記サーバに向けて通過させる機能と、
前記異常通信管理テーブルに記録されたIPアドレスのパケットが到来したときには、当該パケットを廃棄する機能と、
前記正常通信管理テーブルおよび前記異常通信管理テーブルに記録がないIPアドレスのパケットが到来したときには、当該パケットを一時自装置内に保留し、そのIPアドレスを前記攻撃可能性判断テーブルに記録し、当該IPアドレス宛てに受信確認パケットを返送する機能と、
この返送する機能による受信確認パケットの返送から一定時間経過する内に当該返送先からの受信確認パケットが到来したときには、当該IPアドレスを正常通信管理テーブルに記録すると共に前記攻撃可能性判断テーブルに既に記録されている当該IPアドレスを削除し、自装置内に保留した前記パケットを前記サーバに転送する機能と、
前記返送する機能による受信確認パケットの返送から一定時間経過する内に当該返送先からの受信確認パケットが到来しないときには、当該IPアドレスを前記異常通信管理テーブルに記録すると共に自装置内に保留した前記パケットを廃棄する機能と
を実現させることを特徴とするプログラム。 - 前記異常通信管理テーブルに記録されたIPアドレスについては前記攻撃可能性判断テーブルから削除する機能と、
前記正常通信管理テーブルのt1時間更新されていない記録を削除する機能と、
前記異常通信管理テーブルのt3時間更新されていない記録を削除する機能と
を実現させ
t1≦t3
である請求項8記載のプログラム。 - 前記攻撃可能性判断テーブルは、前記正常通信管理テーブルもしくは前記異常通信管理テーブルのいずれかに含まれる請求項8記載のプログラム。
- 請求項6ないし10のいずれかに記載のプログラムが記録された前記情報処理装置読み取り可能な記録媒体。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003359379A JP2005124055A (ja) | 2003-10-20 | 2003-10-20 | ネットワーク攻撃の防御装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003359379A JP2005124055A (ja) | 2003-10-20 | 2003-10-20 | ネットワーク攻撃の防御装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005124055A true JP2005124055A (ja) | 2005-05-12 |
Family
ID=34615628
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003359379A Pending JP2005124055A (ja) | 2003-10-20 | 2003-10-20 | ネットワーク攻撃の防御装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005124055A (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013183458A (ja) * | 2012-02-29 | 2013-09-12 | Pantech Co Ltd | ネットワーク攻撃を感知する移動通信端末機およびその感知方法 |
-
2003
- 2003-10-20 JP JP2003359379A patent/JP2005124055A/ja active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013183458A (ja) * | 2012-02-29 | 2013-09-12 | Pantech Co Ltd | ネットワーク攻撃を感知する移動通信端末機およびその感知方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8370937B2 (en) | Handling of DDoS attacks from NAT or proxy devices | |
US8175096B2 (en) | Device for protection against illegal communications and network system thereof | |
Handley et al. | Internet denial-of-service considerations | |
CN101175013B (zh) | 一种拒绝服务攻击防护方法、网络系统和代理服务器 | |
US6816910B1 (en) | Method and apparatus for limiting network connection resources | |
EP1433076B1 (en) | Protecting against distributed denial of service attacks | |
US7818795B1 (en) | Per-port protection against denial-of-service and distributed denial-of-service attacks | |
US20040236966A1 (en) | Queuing methods for mitigation of packet spoofing | |
JP4768020B2 (ja) | IPネットワークにおいてターゲット被害者自己識別及び制御によってDoS攻撃を防御する方法 | |
US20120227088A1 (en) | Method for authenticating communication traffic, communication system and protective apparatus | |
US7404210B2 (en) | Method and apparatus for defending against distributed denial of service attacks on TCP servers by TCP stateless hogs | |
Kavisankar et al. | A mitigation model for TCP SYN flooding with IP spoofing | |
Wang et al. | Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks | |
US11616796B2 (en) | System and method to protect resource allocation in stateful connection managers | |
JP4602158B2 (ja) | サーバ装置保護システム | |
WO2019096104A1 (zh) | 攻击防范 | |
CN112714102A (zh) | 一种多核异构平台下SYN Flood攻击防御方法 | |
Kavisankar et al. | CNoA: Challenging Number Approach for uncovering TCP SYN flooding using SYN spoofing attack | |
JP2005124055A (ja) | ネットワーク攻撃の防御装置 | |
Hussain et al. | A lightweight countermeasure to cope with flooding attacks against session initiation protocol | |
EP2169898A1 (en) | Method of and telecommunication apparatus for mitigating Distributed Denial-of-Service attacks in SIP packet networks | |
KR101088868B1 (ko) | 네트워크 스위치의 에이알피 패킷 처리 방법 | |
JP3828523B2 (ja) | 不正アクセス防御装置及びプログラム | |
Kavisankar et al. | T-RAP:(TCP reply acknowledgement packet) a resilient filtering model for DDoS attack with spoofed IP address | |
JP5582499B2 (ja) | ネットワーク監視方法及びシステム及び装置及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20051028 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20051108 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20060307 |