JP2005124055A - ネットワーク攻撃の防御装置 - Google Patents

ネットワーク攻撃の防御装置 Download PDF

Info

Publication number
JP2005124055A
JP2005124055A JP2003359379A JP2003359379A JP2005124055A JP 2005124055 A JP2005124055 A JP 2005124055A JP 2003359379 A JP2003359379 A JP 2003359379A JP 2003359379 A JP2003359379 A JP 2003359379A JP 2005124055 A JP2005124055 A JP 2005124055A
Authority
JP
Japan
Prior art keywords
address
packet
communication management
management table
recorded
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003359379A
Other languages
English (en)
Inventor
Masaru Katayama
勝 片山
Kohei Shiomoto
公平 塩本
Naoaki Yamanaka
直明 山中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2003359379A priority Critical patent/JP2005124055A/ja
Publication of JP2005124055A publication Critical patent/JP2005124055A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】 正当なユーザに対するサービス品質を劣化させず、攻撃パケットを廃棄する。
【解決手段】 正常通信管理テーブルに記録がないIPアドレスのパケットが到来したときには、当該パケットを一時自装置内に保留し、そのIPアドレスを攻撃可能性判断テーブルに記録し、当該IPアドレス宛てに受信確認パケットを返送する。受信確認パケットの返送から一定時間経過する内に当該返送先からの受信確認パケットが到来したときには、当該IPアドレスを正常通信管理テーブルに記録すると共に攻撃可能性判断テーブルに既に記録されている当該IPアドレスを削除し、自装置内に保留した前記パケットをサーバに転送する。攻撃可能性判断テーブルにIPアドレスが記録されているパケットが到来したときには当該パケットを廃棄する。
【選択図】 図3

Description

本発明は、クライアントとサーバとがネットワークを介して接続される通信システムに利用する。特に、悪意のクライアントがサーバの機能を麻痺させようとして行う攻撃に対する防御技術に関する。
正常なTCP(Transmission Control Protocol)の通信手順を図14を参照して説明する。ネットワーク4を介してサーバ2とクライアント3とが接続されている。このときに、クライアント3からサーバ2に対してSYNパケットが送出されるとサーバ2からクライアント3に対してSYN−ACKパケットが返送される。これにより、クライアント3とサーバ2とは通信可能な状態となる。
次に、SYN攻撃と呼ばれるサーバのサービスを不能にさせる攻撃を図15を参照して説明する。図15に示すように、攻撃の特徴は、悪意のあるクライアント3は、SYNパケットをサーバ2に送り続け、正常な通信をしようとした正しい通信を妨げる。さらに、攻撃者は、自分のIPアドレスを詐称する場合がある。このとき、サーバ2はSYN−ACKパケットをSYNパケットを送信した悪意のあるクライアント3ではなく、詐称されたクライアントに送ることになる。詐称されたクライアントでは、自己が送出していないSYNパケットに対するSYN−ACKパケットの返送が繰り返し行われるので、自己が要求するSYNパケットを送出することができなくなるという異常事態に陥る。
このような攻撃に対する従来の防御装置を図16を参照して説明する。従来のSYN攻撃に対する防御装置11は、攻撃SYNパケットと正常なSYNパケットとを区別せず、SYNパケットの伝送レートを測定し、設定された閾値以上の伝送レートのSYNパケットを全て廃棄していた(例えば、非特許文献1参照)。
"DDoS攻撃の防御対策について"、[online]、平成15年6月3日、警察庁技術対策課サイバーテロ対策技術室、[平成15年10月7日検索]、インターネット、<URL:http://www.cyberpolice.go.jp/server/virus/pdf/Strategies_to_Protect_Against_DDoS_Attacks.pdf>
このような従来の防御装置では、サーバは守れるが、正しい通信をするクライアントのSYNパケットまでも廃棄されてしまい、正当なクライアントに対するサービス品質が劣化する原因となる。
本発明は、このような背景に行われたものであって、正当なクライアントに対するサービス品質を劣化させず、攻撃パケットを廃棄することができる防御装置を提供することを目的とする。
本発明は、セッションを確立しない攻撃に対し、正しい通信を行うものと攻撃をしかけているものとを区別可能であり、攻撃パケットのみを廃棄することを特徴とする。また、クライアントから到来したパケットのIPアドレスに対して受信確認パケットを返送するので、悪意のあるクライアントがIPアドレスを詐称した場合には、実際にパケットを送出していないクライアントに当該受信確認パケットが返送されることになる。したがって、以降の通信手順は確立せず、IPアドレスの詐称を見つけることができる。
すなわち、本発明の第一の観点は、ネットワークを介して相互に接続されるクライアントとサーバとの間に設けられ、クライアントからサーバに向けて送出されたパケットを監視する手段を備えたネットワーク攻撃の防御装置である。
ここで、本発明の特徴とするところは、前記監視する手段は、正常通信を行ったクライアントのIPアドレスを記録する正常通信管理テーブルと、この正常通信管理テーブルに記録がないIPアドレスのパケットが到来したときにはそのIPアドレスを記録する攻撃可能性判断テーブルと、前記正常通信管理テーブルに記録されたIPアドレスのパケットが到来したときには、そのまま当該パケットを前記サーバに向けて通過させる手段と、前記正常通信管理テーブルに記録がないIPアドレスのパケットが到来したときには、当該パケットを一時自装置内に保留し、そのIPアドレスを前記攻撃可能性判断テーブルに記録し、当該IPアドレス宛てに受信確認パケットを返送する手段と、この返送する手段による受信確認パケットの返送から一定時間経過する内に当該返送先からの受信確認パケットが到来したときには、当該IPアドレスを前記正常通信管理テーブルに記録すると共に前記攻撃可能性判断テーブルに既に記録されている当該IPアドレスを削除し、自装置内に保留した前記パケットを前記サーバに転送する手段と、前記攻撃可能性判断テーブルにIPアドレスが記録されているパケットが到来したときには当該パケットを廃棄する手段とを備えたところにある(請求項1)。
これにより、疑わしいパケットと正当なパケットとを区別することができる。さらに、疑わしいパケットについては即座に廃棄することができる。
また、前記正常通信管理テーブルのt1時間更新されていない記録を削除する手段と、前記攻撃可能性判断テーブルのt2時間更新されていない記録を削除する手段とを備え、
t1≦t2
であることが望ましい(請求項2)。
このように、正常通信管理テーブルの記録を定期的に削除するのは、正常通信を行ったIPアドレスのクライアントが恒常的に正常であるとは限らないからである。また、悪意のクライアントが他のクライアントのIPアドレスを詐称する場合もあり、過去に正常通信を行ったIPアドレスを用いて悪意のクライアントが攻撃を行うこともあり得る。このような場合を想定して正常通信管理テーブルの記録は定期的に削除することが望ましい。
さらに、攻撃可能性判断テーブルの記録についても定期的に削除し、記録内容をリフレッシュすることにより、各テーブルの記憶領域を有効に利用することができる。このときに、攻撃可能性判断テーブルの更新周期よりは正常通信管理テーブルの更新周期を短く設定することがよい。その理由は、前述したように、過去に正常通信を行っていたIPアドレスのクライアントが攻撃をしかけてくるクライアントに変質することもあり得るので、正常通信管理テーブルの更新は頻繁に行うことが安全である。これに対し、攻撃可能性判断テーブルに記録されている過去に攻撃をしかけてきたクライアントが正常なクライアントに変質する可能性は一般的に低いと考えられるので、攻撃可能性判断テーブルの方は、正常通信管理テーブルと比較して更新頻度は小さくてもよい。
あるいは、本発明の前記監視する手段は、正常通信を行ったクライアントのIPアドレスを記録する正常通信管理テーブルと、異常通信を行ったクライアントのIPアドレスを記録する異常通信管理テーブルと、前記正常通信管理テーブルに記録がないIPアドレスのパケットが到来したときにはそのIPアドレスを記録する攻撃可能性判断テーブルと、前記正常通信管理テーブルに記録されたIPアドレスのパケットが到来したときには、そのまま当該パケットを前記サーバに向けて通過させる手段と、前記異常通信管理テーブルに記録されたIPアドレスのパケットが到来したときには、当該パケットを廃棄する手段と、前記正常通信管理テーブルおよび前記異常通信管理テーブルに記録がないIPアドレスのパケットが到来したときには、当該パケットを一時自装置内に保留し、そのIPアドレスを前記攻撃可能性判断テーブルに記録し、当該IPアドレス宛てに受信確認パケットを返送する手段と、この返送する手段による受信確認パケットの返送から一定時間経過する内に当該返送先からの受信確認パケットが到来したときには、当該IPアドレスを正常通信管理テーブルに記録すると共に前記攻撃可能性判断テーブルに既に記録されている当該IPアドレスを削除し、自装置内に保留した前記パケットを前記サーバに転送する手段と、前記返送する手段による受信確認パケットの返送から一定時間経過する内に当該返送先からの受信確認パケットが到来しないときには、当該IPアドレスを前記異常通信管理テーブルに記録すると共に自装置内に保留した前記パケットを廃棄する手段とを備えたことを特徴とする(請求項3)。
このように、異常通信管理テーブルを設けることにより、過去に異常通信を行ったIPアドレスのクライアントからのパケットを速やかに廃棄することができる。
また、前記異常通信管理テーブルに記録されたIPアドレスについては前記攻撃可能性判断テーブルから削除する手段と、前記正常通信管理テーブルのt1時間更新されていない記録を削除する手段と、前記異常通信管理テーブルのt3時間更新されていない記録を削除する手段とを備え、
t1≦t3
であることが望ましい(請求項4)。
すなわち、異常通信管理テーブルおよび攻撃可能性判断テーブルにおける記録の重複は無意味であり、このような重複を回避し、攻撃可能性判断テーブルを有効に利用することができる。
また、異常通信管理テーブルの更新周期よりは正常通信管理テーブルの更新周期を短く設定することがよい。その理由は、前述したように、過去に正常通信を行っていたIPアドレスのクライアントが攻撃をしかけてくるクライアントに変質することもあり得るので、正常通信管理テーブルの更新は頻繁に行うことが安全である。これに対し、異常通信管理テーブルに記録されている過去に攻撃をしかけてきたクライアントが正常なクライアントに変質する可能性は一般的に低いと考えられるので、異常通信管理テーブルの方は、正常通信管理テーブルと比較して更新頻度は小さくてもよい。
また、前記攻撃可能性判断テーブルは、前記正常通信管理テーブルもしくは前記異常通信管理テーブルのいずれかに含まれるように構成してもよい(請求項5)。
例えば、攻撃可能性判断テーブルの記録内容は、異常通信管理テーブルに記録された時点で削除されるようにしておけば、攻撃可能性判断テーブルは、一時的な記録だけで済む。すなわち、他のテーブルと比較すると記憶容量は小さくてよい。したがって、攻撃可能性判断テーブルは、他のいずれかのテーブルの一部の記憶領域を割当てることにより実現することができる。これにより、メモリ構成を簡単化することができる。
本発明の第二の観点は、情報処理装置にインストールすることにより、その情報処理装置に、ネットワークを介して相互に接続されるクライアントとサーバとの間に設けられ、クライアントからサーバに向けて送出されたパケットを監視する機能を備えたネットワーク攻撃の防御装置に相応する機能を実現させるプログラムである。
ここで、本発明の特徴とするところは、前記監視する機能として、正常通信を行ったクライアントのIPアドレスを記録する正常通信管理テーブルに相応する機能と、この正常通信管理テーブルに記録がないIPアドレスのパケットが到来したときにはそのIPアドレスを記録する攻撃可能性判断テーブルに相応する機能と、前記正常通信管理テーブルに記録されたIPアドレスのパケットが到来したときには、そのまま当該パケットを前記サーバに向けて通過させる機能と、前記正常通信管理テーブルに記録がないIPアドレスのパケットが到来したときには、当該パケットを一時自装置内に保留し、そのIPアドレスを前記攻撃可能性判断テーブルに記録し、当該IPアドレス宛てに受信確認パケットを返送する機能と、この返送する機能による受信確認パケットの返送から一定時間経過する内に当該返送先からの受信確認パケットが到来したときには、当該IPアドレスを前記正常通信管理テーブルに記録すると共に前記攻撃可能性判断テーブルに既に記録されている当該IPアドレスを削除し、自装置内に保留した前記パケットを前記サーバに転送する機能と、前記攻撃可能性判断テーブルにIPアドレスが記録されているパケットが到来したときには当該パケットを廃棄する機能とを実現させるところにある(請求項6)。
また、前記正常通信管理テーブルのt1時間更新されていない記録を削除する機能と、前記攻撃可能性判断テーブルのt2時間更新されていない記録を削除する機能とを実現させ、
t1≦t2
であることが望ましい(請求項7)。
あるいは、本発明のプログラムは、前記監視する機能として、正常通信を行ったクライアントのIPアドレスを記録する正常通信管理テーブルに相応する機能と、異常通信を行ったクライアントのIPアドレスを記録する異常通信管理テーブルに相応する機能と、前記正常通信管理テーブルに記録がないIPアドレスのパケットが到来したときにはそのIPアドレスを記録する攻撃可能性判断テーブルに相応する機能と、前記正常通信管理テーブルに記録されたIPアドレスのパケットが到来したときには、そのまま当該パケットを前記サーバに向けて通過させる機能と、前記異常通信管理テーブルに記録されたIPアドレスのパケットが到来したときには、当該パケットを廃棄する機能と、前記正常通信管理テーブルおよび前記異常通信管理テーブルに記録がないIPアドレスのパケットが到来したときには、当該パケットを一時自装置内に保留し、そのIPアドレスを前記攻撃可能性判断テーブルに記録し、当該IPアドレス宛てに受信確認パケットを返送する機能と、この返送する機能による受信確認パケットの返送から一定時間経過する内に当該返送先からの受信確認パケットが到来したときには、当該IPアドレスを正常通信管理テーブルに記録すると共に前記攻撃可能性判断テーブルに既に記録されている当該IPアドレスを削除し、自装置内に保留した前記パケットを前記サーバに転送する機能と、前記返送する機能による受信確認パケットの返送から一定時間経過する内に当該返送先からの受信確認パケットが到来しないときには、当該IPアドレスを前記異常通信管理テーブルに記録すると共に自装置内に保留した前記パケットを廃棄する機能とを実現させることを特徴とするプログラムである(請求項8)。
また、前記異常通信管理テーブルに記録されたIPアドレスについては前記攻撃可能性判断テーブルから削除する機能と、前記正常通信管理テーブルのt1時間更新されていない記録を削除する機能と、前記異常通信管理テーブルのt3時間更新されていない記録を削除する機能とを実現させ、
t1≦t3
であることが望ましい(請求項9)。
また、前記攻撃可能性判断テーブルは、前記正常通信管理テーブルもしくは前記異常通信管理テーブルのいずれかに含まれることができる(請求項10)。
本発明の第三の観点は、本発明のプログラムが記録された前記情報処理装置読取可能な記録媒体である(請求項11)。本発明のプログラムは本発明の記録媒体に記録されることにより、前記情報処理装置は、この記録媒体を用いて本発明のプログラムをインストールすることができる。あるいは、本発明のプログラムを保持するサーバからネットワークを介して直接前記情報処理装置に本発明のプログラムをインストールすることもできる。
これにより、汎用の情報処理装置を用いて、正当なクライアントに対するサービス品質を劣化させず、攻撃パケットを廃棄することができるネットワーク攻撃の防御装置を実現することができる。
本発明によれば、正当なクライアントに対するサービス品質を劣化させず、攻撃パケットを廃棄することができる。
(第一実施例)
第一実施例を図1ないし図5を参照して説明する。図1は防御装置に到来したSYNパケットのIPアドレスが正常通信管理テーブルに記録されていた場合の処理を示す図である。図2は防御装置に到来したSYNパケットのIPアドレスが正常通信管理テーブルに記録されていない場合の処理を示す図である。図3は防御装置に到来したSYNパケットのIPアドレスのクライアントが攻撃をしかけるクライアントである場合の処理を示す図である。図4は防御装置に到来したSYNパケットのIPアドレスが攻撃可能性判断テーブルに記録されている場合の処理を示す図である。図5は正常通信管理テーブルと攻撃可能性判断テーブルとの配置関係を示す図である。
第一実施例は、ネットワーク4を介して相互に接続されるクライアント3とサーバ2との間に設けられ、クライアント3からサーバ2に向けて送出されたSYNパケットを監視する手段を備えたネットワーク攻撃の防御装置1である。
ここで、第一実施例の特徴とするところは、前記監視する手段は、正常通信を行ったクライアントのIPアドレスを記録する正常通信管理テーブル10と、この正常通信管理テーブル10に記録がないIPアドレスのパケットが到来したときにはそのIPアドレスを記録する攻撃可能性判断テーブル20と、正常通信管理テーブル10に記録されたIPアドレスのパケットが到来したときには、そのまま当該パケットをサーバ2に向けて通過させる手段と、正常通信管理テーブル10に記録がないIPアドレスのパケットが到来したときには、当該パケットを一時自装置内に保留し、そのIPアドレスを攻撃可能性判断テーブル20に記録し、当該IPアドレス宛てにSYN−ACKパケットを返送する手段と、この返送する手段によるSYN−ACKパケットの返送から一定時間経過する内に当該返送先からのACKパケットが到来したときには、当該IPアドレスを正常通信管理テーブル10に記録すると共に攻撃可能性判断テーブル20に既に記録されている当該IPアドレスを削除し、自装置内に保留した前記パケットをサーバ2に転送する手段と、攻撃可能性判断テーブル20にIPアドレスが記録されているパケットが到来したときには当該パケットを廃棄する手段とを備えたところにある(請求項1)。
また、正常通信管理テーブル10のt1時間更新されていない記録を削除する手段と、攻撃可能性判断テーブル20のt2時間更新されていない記録を削除する手段とを備え、
t1≦t2
である(請求項2)。
以下では、第一実施例を詳細に説明する。
図1に示すように、サーバ2とネットワーク4を介して接続されたクライアント3との間に本実施例の防御装置1が挿入されている。第一実施例では、クライアント3からサーバ2に向かってSYNパケットが来たら、防御装置1が過去の正しい通信を行っているIPアドレスから来ているか否か判断する。このために、正常通信管理テーブル10を備えており、到来するSYNパケットのIPアドレスと正常通信管理テーブル10に記録された過去のIPアドレスとを比較する。
図1に示すように、クライアント3からサーバ2宛てに送出されたSYNパケットを防御装置1が受け取ると、正常通信管理テーブル10を検索し、過去に正しい通信を行っているIPアドレスから来ているSYNパケットであれば、当該SYNパケットをそのままサーバ2に転送する。当該SYNパケットに対するSYN−ACKパケットはサーバ2から返送される。
図2に示すように、防御装置1に到来したSYNパケットが正常通信管理テーブル10にIPアドレスがないSYNパケットならば、攻撃可能性判断テーブル20に発信元IPアドレスを登録し、発信元IPアドレスに防御装置1からSYN−ACKパケットを返送する。
ここで、一定時間内にクライアント3からACKパケットが来た場合には、当該IPアドレスのクライアント3は、正常なクライアントであることがわかるので、攻撃可能性判断テーブル20から発信元IPアドレスを削除すると共に、正常通信管理テーブル10に発信元IPアドレスを登録し、SYNパケットをサーバ2に送信する。サーバ2からは改めて当該SYNパケットに対するSYN−ACKパケットがクライアント3に返送される。
図3に示すように、正常通信管理テーブル10にIPアドレスがないSYNパケットに対して防御装置1からSYN−ACKパケットを返送した場合に、ACKパケットが一定時間以内に来なかった場合には、攻撃可能性有りと判断でき、SYNパケットをサーバ2に送信せずに廃棄する。また、攻撃可能性判断テーブル20には当該IPアドレスがそのまま記録される。
ここで、ACKパケットが一定時間以内に返送されない場合に攻撃可能性ありと判断する根拠としては、例えば、SYN−ACKパケットを返送したIPアドレスが詐称されたものであれば、SYN−ACKパケットが到着した先のクライアントは、SYNパケットを送出した履歴がない。したがって、SYN−ACKパケットに対するACKパケットを返送することもしない。これにより、SYNパケットの送信元は、IPアドレスを詐称した悪意のクライアントであると判断できる。あるいは、SYN攻撃をしかけるクライアントであれば、はじめからACKパケットを返送することはせず、SYNパケットを送出し続ける。これにより、SYNパケットの送信元は、悪意のあるクライアントであると判断できる。
図4に示すように、攻撃可能性判断テーブル20にIPアドレスがあるSYNパケットが防御装置1に到来した場合には即座に廃棄する。
図5に示すように、正常通信管理テーブル10および攻撃可能性判断テーブル20は配置される。また、正常通信管理テーブル10および攻撃可能性判断テーブル20は、一定周期もしくはなんらかのトリガーを元にして、メンテナンスされる。メンテナンスは、テーブルの記録が一定時間以上更新されていなければ、その記録を削除する。これにより、テーブルの記録数の増加を回避することができると共に、悪意のクライアントが過去に正しい通信を行ったクライアントのIPアドレスを詐称した場合でも、一定時間以上更新されていなければ正常通信管理テーブル10からIPアドレスが削除されているため、防御装置1を素通りしてしまうことを回避することができる。
(第二実施例)
第二実施例を図6ないし図12を参照して説明する。図6は防御装置に到来したSYNパケットのIPアドレスが異常通信管理テーブルに記録されたIPアドレスと一致した場合の処理を示す図である。図7は防御装置に到来したSYNパケットのIPアドレスが正常通信管理テーブルに記録されたIPアドレスと一致した場合の処理を示す図である。図8は防御装置に到来したSYNパケットのIPアドレスが異常通信管理テーブルおよび正常通信管理テーブルの双方に記録されたIPアドレスと一致しない場合にクライアントから一定時間内にACKが返送された場合の処理を示す図である。図9は防御装置に到来したSYNパケットのIPアドレスが異常通信管理テーブルおよび正常通信管理テーブルの双方に記録されたIPアドレスと一致しない場合にクライアントから一定時間内にACKが返送されない場合の処理を示す図である。図10〜図12は第二実施例における正常通信管理テーブル、異常通信管理テーブル、攻撃可能性判断テーブルの配置を示す図である。
第二実施例は、ネットワーク4を介して相互に接続されるクライアント3とサーバ2との間に設けられ、クライアント3からサーバ2に向けて送出されたSYNパケットを監視する手段を備えたネットワーク攻撃の防御装置1である。
ここで、第二実施例の特徴とするところは、前記監視する手段は、正常通信を行ったクライアントのIPアドレスを記録する正常通信管理テーブル10と、異常通信を行ったクライアントのIPアドレスを記録する異常通信管理テーブル30と、正常通信管理テーブル10に記録がないIPアドレスのパケットが到来したときにはそのIPアドレスを記録する攻撃可能性判断テーブル20と、正常通信管理テーブル10に記録されたIPアドレスのパケットが到来したときには、そのまま当該パケットをサーバ2に向けて通過させる手段と、異常通信管理テーブル30に記録されたIPアドレスのパケットが到来したときには、当該パケットを廃棄する手段と、正常通信管理テーブル10および異常通信管理テーブル30に記録がないIPアドレスのパケットが到来したときには、当該パケットを一時自装置内に保留し、そのIPアドレスを攻撃可能性判断テーブル20に記録し、当該IPアドレス宛てにSYN−ACKパケットを返送する手段と、この返送する手段によるSYN−ACKパケットの返送から一定時間経過する内に当該返送先からのACKパケットが到来したときには、当該IPアドレスを正常通信管理テーブル10に記録すると共に攻撃可能性判断テーブル20に既に記録されている当該IPアドレスを削除し、自装置内に保留した前記パケットをサーバ2に転送する手段と、前記返送する手段によるSYN−ACKパケットの返送から一定時間経過する内に当該返送先からのACKパケットが到来しないときには、当該IPアドレスを異常通信管理テーブル30に記録すると共に自装置内に保留した前記パケットを廃棄する手段とを備えたところにある(請求項3)。
また、異常通信管理テーブル30に記録されたIPアドレスについては攻撃可能性判断テーブル20から削除する手段と、正常通信管理テーブル10のt1時間更新されていない記録を削除する手段と、異常通信管理テーブル30のt3時間更新されていない記録を削除する手段とを備え、
t1≦t3
である(請求項4)。
また、攻撃可能性判断テーブル20は、図10に示すように、正常通信管理テーブル10と異常通信管理テーブル20との間に設置するが、第一実施例と比較すると、攻撃可能性判断テーブル20は、一時的な記録だけを行えばよいので、その記憶容量は少なくて済む。そこで、その他の実施例として、図11に示すように、正常通信管理テーブル10の記憶領域の一部を攻撃可能性判断テーブル20に割当てたり、あるいは、図12に示すように、異常通信管理テーブル30の記憶領域の一部を攻撃可能性判断テーブル20に割当てることもできる(請求項5)。
以下では、第二実施例を詳細に説明する。
第二実施例の防御装置1は、第一実施例の防御装置1の構成に、異常通信管理テーブル30を加えて持つことを特徴とする。
図6に示すように、クライアント3からサーバ2宛てに送出されたSYNパケットを防御装置1が受け付けて、異常通信管理テーブル30にIPアドレスがあるならば、即座に攻撃であると判断し、パケットを廃棄する。
図7に示すように、異常通信管理テーブル30にIPアドレスがなく、正常通信管理テーブル10にIPアドレスがあるならば、そのままSYNパケットをサーバ2に送信する。これにより、正常な通信は、そのまま通信が可能である。
図8に示すように、異常通信管理テーブル30にIPアドレスがないが、正常通信管理テーブル10にもIPアドレスがないならば、攻撃可能性判断テーブル20に発信元IPアドレスを登録し、発信元IPアドレスに防御装置1からSYN−ACKパケットを返送する。
ここで、一定時間以内にクライアント3からACKパケットがきた場合には、クライアント3は正常なクライアントであるとして攻撃可能性判断テーブル20から発信元IPアドレスを削除すると共に、正常通信管理テーブル10に発信元IPアドレスを登録し、SYNパケットをサーバ2に送信する。サーバ2からは改めて当該SYNパケットに対するSYN−ACKパケットが返送される。
図9に示すように、異常通信管理テーブル30にIPアドレスがないが、正常通信管理テーブル10にもIPアドレスがないならば、攻撃可能性判断テーブル20に発信元IPアドレスを登録し、発信元IPアドレスに防御装置1からSYN−ACKパケットを返送する。
ここで、防御装置1からのSYN−ACKパケットに対してクライアント3からACKパケットが一定時間以内に来なかった場合には、第一実施例で説明したように、攻撃と判断でき、当該IPアドレスを異常通信管理テーブル30に登録する。なお、異常通信管理テーブル30に登録されたIPアドレスについては攻撃可能性判断テーブル20から削除する。
なお、第一実施例と同様に、正常通信管理テーブル10および異常通信管理テーブル30は、一定周期もしくはなんらかのトリガーを元にして、メンテナンスされる。メンテナンスは、テーブルの記録が一定時間以上更新されていなければ、その記録を削除する。これにより、テーブルの記録数の増加を回避することができると共に、悪意のクライアントが過去に正しい通信を行ったクライアントのIPアドレスを詐称した場合でも、一定時間以上更新されていなければ正常通信管理テーブル10からIPアドレスが削除されているため、防御装置1を素通りしてしまうことを回避することができる。
(第三実施例)
第三実施例を図13を参照して説明する。第三実施例は、第一および第二実施例とその動作は同じである。第三実施例では、防御装置の設置位置が第一および第二実施例とは異なり、ネットワーク4とクライアント3との間に設置されている。これにより、悪意のクライアント3から送出されるSYNパケットをネットワーク4の入り口で廃棄することができるため、ネットワーク4内を無効となるパケットが転送されることがなく、ネットワークリソースを有効に利用することができる。一方、サーバ2の個数と比較するとクライアント3の個数の方が一般的に多いので、防御装置1の設置数は第一および第二実施例と比較すると多くなる。
(第四実施例)
本発明は、汎用の情報処理装置にインストールすることにより、その情報処理装置に本発明の防御装置に相応する機能を実現させるプログラムとして実現することができる(請求項6〜10)。このプログラムは、記録媒体に記録されて情報処理装置にインストールされ(請求項11)、あるいは通信回線を介して情報処理装置にインストールされることにより当該情報処理装置に、第一〜第三実施例の防御装置1における各手段および各テーブルにそれぞれ相応する機能を実現させることができる。
本発明によれば、正当なクライアントに対するサービス品質を劣化させず、攻撃パケットを廃棄することができるため、クライアントに対するサービス品質を向上させることができる。
防御装置に到来したSYNパケットのIPアドレスが正常通信管理テーブルに記録されていた場合の処理を示す図。 防御装置に到来したSYNパケットのIPアドレスが正常通信管理テーブルに記録されていない場合の処理を示す図。 防御装置に到来したSYNパケットのIPアドレスのクライアントが攻撃をしかけるクライアントである場合の処理を示す図。 防御装置に到来したSYNパケットのIPアドレスが攻撃可能性判断テーブルに記録されている場合の処理を示す図。 正常通信管理テーブルと攻撃可能性判断テーブルとの配置関係を示す図。 防御装置に到来したSYNパケットのIPアドレスが異常通信管理テーブルに記録されたIPアドレスと一致した場合の処理を示す図。 防御装置に到来したSYNパケットのIPアドレスが正常通信管理テーブルに記録されたIPアドレスと一致した場合の処理を示す図。 防御装置に到来したSYNパケットのIPアドレスが異常通信管理テーブルおよび正常通信管理テーブルの双方に記録されたIPアドレスと一致しない場合にクライアントから一定時間内にACKが返送された場合の処理を示す図。 防御装置に到来したSYNパケットのIPアドレスが異常通信管理テーブルおよび正常通信管理テーブルの双方に記録されたIPアドレスと一致しない場合にクライアントから一定時間内にACKが返送されない場合の処理を示す図。 第二実施例における正常通信管理テーブル、異常通信管理テーブル、攻撃可能性判断テーブルの配置を示す図。 第二実施例における正常通信管理テーブル、異常通信管理テーブル、攻撃可能性判断テーブルの配置を示す図。 第二実施例における正常通信管理テーブル、異常通信管理テーブル、攻撃可能性判断テーブルの配置を示す図。 第三実施例の防御装置配置位置を示す図。 正常なTCPの通信手順を説明するための図。 SYN攻撃と呼ばれるサーバのサービスを不能にさせる攻撃を説明するための図。 SYN攻撃に対する従来の防御装置を説明するための図。
符号の説明
1、11 防御装置
2 サーバ
3 クライアント
4 ネットワーク
10 正常通信管理テーブル
20 攻撃可能性判断テーブル
30 異常通信管理テーブル

Claims (11)

  1. ネットワークを介して相互に接続されるクライアントとサーバとの間に設けられ、クライアントからサーバに向けて送出されたパケットを監視する手段を備えたネットワーク攻撃の防御装置において、
    前記監視する手段は、
    正常通信を行ったクライアントのIPアドレスを記録する正常通信管理テーブルと、
    この正常通信管理テーブルに記録がないIPアドレスのパケットが到来したときにはそのIPアドレスを記録する攻撃可能性判断テーブルと、
    前記正常通信管理テーブルに記録されたIPアドレスのパケットが到来したときには、そのまま当該パケットを前記サーバに向けて通過させる手段と、
    前記正常通信管理テーブルに記録がないIPアドレスのパケットが到来したときには、当該パケットを一時自装置内に保留し、そのIPアドレスを前記攻撃可能性判断テーブルに記録し、当該IPアドレス宛てに受信確認パケットを返送する手段と、
    この返送する手段による受信確認パケットの返送から一定時間経過する内に当該返送先からの受信確認パケットが到来したときには、当該IPアドレスを前記正常通信管理テーブルに記録すると共に前記攻撃可能性判断テーブルに既に記録されている当該IPアドレスを削除し、自装置内に保留した前記パケットを前記サーバに転送する手段と、
    前記攻撃可能性判断テーブルにIPアドレスが記録されているパケットが到来したときには当該パケットを廃棄する手段と
    を備えたことを特徴とする防御装置。
  2. 前記正常通信管理テーブルのt1時間更新されていない記録を削除する手段と、
    前記攻撃可能性判断テーブルのt2時間更新されていない記録を削除する手段と
    を備え、
    t1≦t2
    である請求項1記載の防御装置。
  3. ネットワークを介して相互に接続されるクライアントとサーバとの間に設けられ、クライアントからサーバに向けて送出されたパケットを監視する手段を備えたネットワーク攻撃の防御装置において、
    前記監視する手段は、
    正常通信を行ったクライアントのIPアドレスを記録する正常通信管理テーブルと、
    異常通信を行ったクライアントのIPアドレスを記録する異常通信管理テーブルと、
    前記正常通信管理テーブルに記録がないIPアドレスのパケットが到来したときにはそのIPアドレスを記録する攻撃可能性判断テーブルと、
    前記正常通信管理テーブルに記録されたIPアドレスのパケットが到来したときには、そのまま当該パケットを前記サーバに向けて通過させる手段と、
    前記異常通信管理テーブルに記録されたIPアドレスのパケットが到来したときには、当該パケットを廃棄する手段と、
    前記正常通信管理テーブルおよび前記異常通信管理テーブルに記録がないIPアドレスのパケットが到来したときには、当該パケットを一時自装置内に保留し、そのIPアドレスを前記攻撃可能性判断テーブルに記録し、当該IPアドレス宛てに受信確認パケットを返送する手段と、
    この返送する手段による受信確認パケットの返送から一定時間経過する内に当該返送先からの受信確認パケットが到来したときには、当該IPアドレスを正常通信管理テーブルに記録すると共に前記攻撃可能性判断テーブルに既に記録されている当該IPアドレスを削除し、自装置内に保留した前記パケットを前記サーバに転送する手段と、
    前記返送する手段による受信確認パケットの返送から一定時間経過する内に当該返送先からの受信確認パケットが到来しないときには、当該IPアドレスを前記異常通信管理テーブルに記録すると共に自装置内に保留した前記パケットを廃棄する手段と
    を備えたことを特徴とする防御装置。
  4. 前記異常通信管理テーブルに記録されたIPアドレスについては前記攻撃可能性判断テーブルから削除する手段と、
    前記正常通信管理テーブルのt1時間更新されていない記録を削除する手段と、
    前記異常通信管理テーブルのt3時間更新されていない記録を削除する手段と
    を備え、
    t1≦t3
    である請求項3記載の防御装置。
  5. 前記攻撃可能性判断テーブルは、前記正常通信管理テーブルもしくは前記異常通信管理テーブルのいずれかに含まれる請求項3記載の防御装置。
  6. 情報処理装置にインストールすることにより、その情報処理装置に、
    ネットワークを介して相互に接続されるクライアントとサーバとの間に設けられ、クライアントからサーバに向けて送出されたパケットを監視する機能を備えたネットワーク攻撃の防御装置に相応する機能を実現させるプログラムにおいて、
    前記監視する機能として、
    正常通信を行ったクライアントのIPアドレスを記録する正常通信管理テーブルに相応する機能と、
    この正常通信管理テーブルに記録がないIPアドレスのパケットが到来したときにはそのIPアドレスを記録する攻撃可能性判断テーブルに相応する機能と、
    前記正常通信管理テーブルに記録されたIPアドレスのパケットが到来したときには、そのまま当該パケットを前記サーバに向けて通過させる機能と、
    前記正常通信管理テーブルに記録がないIPアドレスのパケットが到来したときには、当該パケットを一時自装置内に保留し、そのIPアドレスを前記攻撃可能性判断テーブルに記録し、当該IPアドレス宛てに受信確認パケットを返送する機能と、
    この返送する機能による受信確認パケットの返送から一定時間経過する内に当該返送先からの受信確認パケットが到来したときには、当該IPアドレスを前記正常通信管理テーブルに記録すると共に前記攻撃可能性判断テーブルに既に記録されている当該IPアドレスを削除し、自装置内に保留した前記パケットを前記サーバに転送する機能と、
    前記攻撃可能性判断テーブルにIPアドレスが記録されているパケットが到来したときには当該パケットを廃棄する機能と
    を実現させることを特徴とするプログラム。
  7. 前記正常通信管理テーブルのt1時間更新されていない記録を削除する機能と、
    前記攻撃可能性判断テーブルのt2時間更新されていない記録を削除する機能と
    を実現させ、
    t1≦t2
    である請求項6記載のプログラム。
  8. 情報処理装置にインストールすることにより、その情報処理装置に、
    ネットワークを介して相互に接続されるクライアントとサーバとの間に設けられ、クライアントからサーバに向けて送出されたパケットを監視する機能を備えたネットワーク攻撃の防御装置に相応する機能を実現させるプログラムにおいて、
    前記監視する機能として、
    正常通信を行ったクライアントのIPアドレスを記録する正常通信管理テーブルに相応する機能と、
    異常通信を行ったクライアントのIPアドレスを記録する異常通信管理テーブルに相応する機能と、
    前記正常通信管理テーブルに記録がないIPアドレスのパケットが到来したときにはそのIPアドレスを記録する攻撃可能性判断テーブルに相応する機能と、
    前記正常通信管理テーブルに記録されたIPアドレスのパケットが到来したときには、そのまま当該パケットを前記サーバに向けて通過させる機能と、
    前記異常通信管理テーブルに記録されたIPアドレスのパケットが到来したときには、当該パケットを廃棄する機能と、
    前記正常通信管理テーブルおよび前記異常通信管理テーブルに記録がないIPアドレスのパケットが到来したときには、当該パケットを一時自装置内に保留し、そのIPアドレスを前記攻撃可能性判断テーブルに記録し、当該IPアドレス宛てに受信確認パケットを返送する機能と、
    この返送する機能による受信確認パケットの返送から一定時間経過する内に当該返送先からの受信確認パケットが到来したときには、当該IPアドレスを正常通信管理テーブルに記録すると共に前記攻撃可能性判断テーブルに既に記録されている当該IPアドレスを削除し、自装置内に保留した前記パケットを前記サーバに転送する機能と、
    前記返送する機能による受信確認パケットの返送から一定時間経過する内に当該返送先からの受信確認パケットが到来しないときには、当該IPアドレスを前記異常通信管理テーブルに記録すると共に自装置内に保留した前記パケットを廃棄する機能と
    を実現させることを特徴とするプログラム。
  9. 前記異常通信管理テーブルに記録されたIPアドレスについては前記攻撃可能性判断テーブルから削除する機能と、
    前記正常通信管理テーブルのt1時間更新されていない記録を削除する機能と、
    前記異常通信管理テーブルのt3時間更新されていない記録を削除する機能と
    を実現させ
    t1≦t3
    である請求項8記載のプログラム。
  10. 前記攻撃可能性判断テーブルは、前記正常通信管理テーブルもしくは前記異常通信管理テーブルのいずれかに含まれる請求項8記載のプログラム。
  11. 請求項6ないし10のいずれかに記載のプログラムが記録された前記情報処理装置読み取り可能な記録媒体。
JP2003359379A 2003-10-20 2003-10-20 ネットワーク攻撃の防御装置 Pending JP2005124055A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003359379A JP2005124055A (ja) 2003-10-20 2003-10-20 ネットワーク攻撃の防御装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003359379A JP2005124055A (ja) 2003-10-20 2003-10-20 ネットワーク攻撃の防御装置

Publications (1)

Publication Number Publication Date
JP2005124055A true JP2005124055A (ja) 2005-05-12

Family

ID=34615628

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003359379A Pending JP2005124055A (ja) 2003-10-20 2003-10-20 ネットワーク攻撃の防御装置

Country Status (1)

Country Link
JP (1) JP2005124055A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013183458A (ja) * 2012-02-29 2013-09-12 Pantech Co Ltd ネットワーク攻撃を感知する移動通信端末機およびその感知方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013183458A (ja) * 2012-02-29 2013-09-12 Pantech Co Ltd ネットワーク攻撃を感知する移動通信端末機およびその感知方法

Similar Documents

Publication Publication Date Title
US8370937B2 (en) Handling of DDoS attacks from NAT or proxy devices
US8175096B2 (en) Device for protection against illegal communications and network system thereof
Handley et al. Internet denial-of-service considerations
CN101175013B (zh) 一种拒绝服务攻击防护方法、网络系统和代理服务器
US6816910B1 (en) Method and apparatus for limiting network connection resources
EP1433076B1 (en) Protecting against distributed denial of service attacks
US7818795B1 (en) Per-port protection against denial-of-service and distributed denial-of-service attacks
US20040236966A1 (en) Queuing methods for mitigation of packet spoofing
JP4768020B2 (ja) IPネットワークにおいてターゲット被害者自己識別及び制御によってDoS攻撃を防御する方法
US20120227088A1 (en) Method for authenticating communication traffic, communication system and protective apparatus
US7404210B2 (en) Method and apparatus for defending against distributed denial of service attacks on TCP servers by TCP stateless hogs
Kavisankar et al. A mitigation model for TCP SYN flooding with IP spoofing
Wang et al. Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks
US11616796B2 (en) System and method to protect resource allocation in stateful connection managers
JP4602158B2 (ja) サーバ装置保護システム
WO2019096104A1 (zh) 攻击防范
CN112714102A (zh) 一种多核异构平台下SYN Flood攻击防御方法
Kavisankar et al. CNoA: Challenging Number Approach for uncovering TCP SYN flooding using SYN spoofing attack
JP2005124055A (ja) ネットワーク攻撃の防御装置
Hussain et al. A lightweight countermeasure to cope with flooding attacks against session initiation protocol
EP2169898A1 (en) Method of and telecommunication apparatus for mitigating Distributed Denial-of-Service attacks in SIP packet networks
KR101088868B1 (ko) 네트워크 스위치의 에이알피 패킷 처리 방법
JP3828523B2 (ja) 不正アクセス防御装置及びプログラム
Kavisankar et al. T-RAP:(TCP reply acknowledgement packet) a resilient filtering model for DDoS attack with spoofed IP address
JP5582499B2 (ja) ネットワーク監視方法及びシステム及び装置及びプログラム

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20051028

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20051108

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20060307