JP2005130190A - 攻撃パケット防御システム - Google Patents
攻撃パケット防御システム Download PDFInfo
- Publication number
- JP2005130190A JP2005130190A JP2003363510A JP2003363510A JP2005130190A JP 2005130190 A JP2005130190 A JP 2005130190A JP 2003363510 A JP2003363510 A JP 2003363510A JP 2003363510 A JP2003363510 A JP 2003363510A JP 2005130190 A JP2005130190 A JP 2005130190A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- information
- attack
- source address
- function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 ファイアウォールを用いてサーバだけでなく、当該サーバに至る通信経路も攻撃から守る。
【解決手段】 サーバに到来するパケットを当該サーバの前段で受信し当該サーバに対する攻撃パケットを検出し、攻撃パケットが検出された旨の情報を送出し、ネットワークのボーダで、当該ネットワーク外からのパケットを受信し前記情報に基づき攻撃パケットを識別して廃棄する。あるいは、ネットワークのボーダで、当該ネットワーク外からのパケットを受信し攻撃パケットを検出し、攻撃パケットが検出された旨の情報を送出し、検出結果あるいは他から受信した前記情報に基づき攻撃パケットを識別して廃棄する。
【選択図】 図1
【解決手段】 サーバに到来するパケットを当該サーバの前段で受信し当該サーバに対する攻撃パケットを検出し、攻撃パケットが検出された旨の情報を送出し、ネットワークのボーダで、当該ネットワーク外からのパケットを受信し前記情報に基づき攻撃パケットを識別して廃棄する。あるいは、ネットワークのボーダで、当該ネットワーク外からのパケットを受信し攻撃パケットを検出し、攻撃パケットが検出された旨の情報を送出し、検出結果あるいは他から受信した前記情報に基づき攻撃パケットを識別して廃棄する。
【選択図】 図1
Description
本発明は、特定のパケットを識別して廃棄する装置に利用する。特に、ネットワーク内への攻撃パケットの侵入を防御する技術に関する。ここで、攻撃パケットとは、悪意のある攻撃者がユーザにサービスを提供するサーバの機能を麻痺させるために送出するパケットをいう。例えば、SYNフラッディング攻撃に用いるSYNパケットは攻撃パケットである。
悪意のある攻撃者がユーザにサービスを提供するサーバの機能を麻痺させるために攻撃パケットを送出するという不正行為が多数報告されている。このような攻撃パケットからサーバを防御するための手段としてファイアウォールが知られている(例えば、非特許文献1参照)。
従来のファイアウォールの構成を図8に示す。従来のファイアウォールは、サーバSの前段に設定する。ファイアウォールは、さまざまなパケットフィルタリング機能を有しており、攻撃者からのパケットを識別して廃棄する。これにより、サーバは攻撃を回避することができる。
攻撃パケットの識別方法としては、例えば、SYNフラッディング攻撃であれば、連続的に大量のSYNパケットが送出されるので、SYNパケットのトラヒックを監視することにより識別可能である。あるいは、過去に攻撃パケットを送出した攻撃者の送出元アドレスが判明しているのであれば、当該送出元アドレスを有するパケットを攻撃パケットとして識別可能である。
二木真明、"ファイアウォール「安全性の意味と代償」"、[online]、Internet Week 2002、チュートリアルT11、[平成15年10月16日検索]、インターネット<URL:http://www.nic.ad.jp/ja/materials/iw/2002/proceeding/T11.pdf>
二木真明、"ファイアウォール「安全性の意味と代償」"、[online]、Internet Week 2002、チュートリアルT11、[平成15年10月16日検索]、インターネット<URL:http://www.nic.ad.jp/ja/materials/iw/2002/proceeding/T11.pdf>
このような従来のファイアウォールでは、攻撃者が送出したパケットは、ネットワークを通ってサーバSの前段まで到達する。一般に、攻撃者が送出するパケットは異常に個数が多く、当該サーバに至る通信経路のトラヒック量は異常に大きくなり、輻輳状態に陥る場合もある。このとき、当該サーバにアクセスを試みる正当なユーザのパケットは、この輻輳状態の影響を受けてサーバに到達できない。
すなわち、従来のファイアウォールは、サーバ自身を攻撃から守ることはできるが、当該サーバに至る通信経路を攻撃から守ることはできない。
本発明は、このような背景に行われたものであって、サーバだけでなく、当該サーバに至る通信経路も攻撃から守ることができる攻撃パケット防御システムを提供することを目的とする。
本発明の第一の観点は、攻撃パケット防御システムであって、本発明の特徴とするところは、サーバに到来するパケットを当該サーバの前段で受信し当該サーバに対する攻撃パケットを検出する手段と、この検出する手段により攻撃パケットが検出された旨の情報を送出する手段とを備えたファイアウォール装置と、ネットワークのボーダに設けられ当該ネットワーク外からのパケットを受信し前記情報に基づき攻撃パケットを識別して廃棄する手段を備えたフィルタ装置とを備えたところにある(請求項1)。
このように、本発明は、サーバの前段のファイアウォール装置で検出した攻撃パケットの情報をネットワークのボーダにあるフィルタ装置に通知することにより、ネットワークのボーダで攻撃パケットを阻止できることを特徴とする。これにより、本発明によれば、サーバだけでなく、当該サーバに至る通信経路も攻撃から守ることができる。
前記情報として、攻撃対象となる宛先アドレスと、攻撃者の送信元アドレスとを含み、前記廃棄する手段は、前記情報に含まれる宛先アドレスおよび送信元アドレスを有するパケットを廃棄する手段を備えることができる(請求項2)。これにより精度良く攻撃パケットを識別して廃棄することができる。
このときには、前記攻撃対象となる宛先アドレスを有するが前記攻撃者の送信元アドレスを有しないパケットに対してレート規制する手段を備えることもできる(請求項3)。これにより、攻撃者が自己の送信元アドレスを詐称した場合でもこれに対処することができる。すなわち、とりあえず攻撃対象となる宛先アドレスを有するパケットに対しては全てレート規制を施すことにより、二重の安全策をとることができる。
あるいは、前記情報として、攻撃対象となる宛先アドレスに対して正常にアクセスしているパケット送信元アドレスを含み、前記廃棄する手段は、前記情報に含まれる送信元アドレス以外の送信元アドレスを有するパケットを廃棄する手段を備えることができる(請求項4)。
これによれば、攻撃対象となる宛先アドレスに対して正常にアクセスしているパケット以外のパケットを廃棄するので、攻撃者が自己の送信元アドレスを隠蔽したり、あるいは、詐称している場合でも攻撃パケットの識別を行うことができる。
ただし、この場合には、前記情報には未だ含まれず、新規に攻撃対象となる宛先アドレスに対して正常にアクセスしようとするパケットまでもが廃棄の対象となってしまうという問題がある。この問題を補うために、前記情報は、攻撃対象となる宛先アドレスに対して正常にアクセスしているパケット送信元アドレスを含み、前記廃棄する手段は、前記情報に含まれる送信元アドレス以外の送信元アドレスを有するパケットに対してそのレートを監視すると共に所定レートを上回るパケットについてはレート規制する手段と、レートの監視結果が一定時間所定レートを上回らないパケットの送信元アドレスについてはこれを新規に正常にアクセスしているパケット送信元アクセスの情報に加える手段とを備えることもできる(請求項5)。
これによれば、前記情報に含まれない送信元アドレスのパケットについても直ちに廃棄するのではなく、とりあえずレート規制を施した上でレートを監視し、例えば、攻撃パケットの特徴である急激なレート増加が観られなければ、当該送信元アドレスは新規に攻撃対象となる宛先アドレスに対して正常にアクセスしようとするパケット送信元であると判断し、これを前記情報に追加することにより、このような正常なパケット送信元の新規参入を許容することができる。
あるいは、本発明の攻撃パケット防御システムは、ネットワークのボーダに設けられ当該ネットワーク外からのパケットを受信し攻撃パケットを検出する手段と、この検出する手段により攻撃パケットが検出された旨の情報を送出する手段と、前記検出する手段の検出結果あるいは他から受信した前記情報に基づき攻撃パケットを識別して廃棄する手段とを備えたフィルタ装置が複数設けられたことを特徴とする(請求項6)。
これによれば、攻撃パケットの検出もネットワークのボーダで行うことができるため、サーバの前段で検出する場合と比較すると、攻撃パケットの検出を早期に行うことができる。
本発明の第二の観点は、サーバに到来するパケットを当該サーバの前段で受信し当該サーバに対する攻撃パケットを検出する手段と、この検出する手段により攻撃パケットが検出された旨の情報を送出する手段とを備えたことを特徴とするファイアウォール装置である(請求項7)。
本発明の第三の観点は、ネットワークのボーダに設けられ当該ネットワーク外からのパケットを受信し攻撃パケットが検出された旨の情報に基づき攻撃パケットを識別して廃棄する手段を備えたことを特徴とするフィルタ装置である(請求項8)。
前記情報は、攻撃対象となる宛先アドレスと、攻撃者の送信元アドレスとを含み、前記廃棄する手段は、前記情報に含まれる宛先アドレスおよび送信元アドレスを有するパケットを廃棄する手段を備えることができる(請求項9)。
さらに、前記攻撃対象となる宛先アドレスを有するが前記攻撃者の送信元アドレスを有しないパケットに対してレート規制する手段を備えることができる(請求項10)。
あるいは、前記情報は、攻撃対象となる宛先アドレスに対して正常にアクセスしているパケット送信元アドレスを含み、前記廃棄する手段は、前記情報に含まれる送信元アドレス以外の送信元アドレスを有するパケットを廃棄する手段を備えることができる(請求項11)。
あるいは、前記情報は、攻撃対象となる宛先アドレスに対して正常にアクセスしているパケット送信元アドレスを含み、前記廃棄する手段は、前記情報に含まれる送信元アドレス以外の送信元アドレスを有するパケットに対してそのレートを監視すると共に所定レートを上回るパケットについてはレート規制する手段と、レートの監視結果が一定時間所定レートを上回らないパケットの送信元アドレスについてはこれを新規に正常にアクセスしているパケット送信元アクセスの情報に加える手段とを備えることができる(請求項12)。
あるいは、本発明のフィルタ装置は、ネットワークのボーダに設けられ当該ネットワーク外からのパケットを受信し攻撃パケットを検出する手段と、この検出する手段により攻撃パケットが検出された旨の情報を送出する手段と、前記検出する手段の検出結果あるいは他から受信した前記情報に基づき攻撃パケットを識別して廃棄する手段とを備えたことを特徴とする(請求項13)。
本発明の第四の観点は、情報処理装置にインストールすることにより、その情報処理装置に、サーバに到来するパケットを当該サーバの前段で受信し当該サーバに対する攻撃パケットを検出する機能と、この検出する機能により攻撃パケットが検出された旨の情報を送出する機能とを備えたファイアウォール装置に相応する機能を実現させることを特徴とするプログラムである(請求項14)。
また、本発明のプログラムは、情報処理装置にインストールすることにより、その情報処理装置に、ネットワークのボーダに設けられ当該ネットワーク外からのパケットを受信し攻撃パケットが検出された旨の情報に基づき攻撃パケットを識別して廃棄する機能を備えたフィルタ装置に相応する機能を実現させる(請求項15)。
このときに、前記情報は、攻撃対象となる宛先アドレスと、攻撃者の送信元アドレスとを含み、前記廃棄する機能として、前記情報に含まれる宛先アドレスおよび送信元アドレスを有するパケットを廃棄する機能を実現させることができる(請求項16)。
さらに、前記攻撃対象となる宛先アドレスを有するが前記攻撃者の送信元アドレスを有しないパケットに対してレート規制する機能を実現させることができる(請求項17)。
あるいは、前記情報は、攻撃対象となる宛先アドレスに対して正常にアクセスしているパケット送信元アドレスを含み、前記廃棄する機能として、前記情報に含まれる送信元アドレス以外の送信元アドレスを有するパケットを廃棄する機能を実現させることができる(請求項18)。
あるいは、前記情報は、攻撃対象となる宛先アドレスに対して正常にアクセスしているパケット送信元アドレスを含み、前記廃棄する機能として、前記情報に含まれる送信元アドレス以外の送信元アドレスを有するパケットに対してそのレートを監視すると共に所定レートを上回るパケットについてはレート規制する機能と、レートの監視結果が一定時間所定レートを上回らないパケットの送信元アドレスについてはこれを新規に正常にアクセスしているパケット送信元アクセスの情報に加える機能とを実現させることができる(請求項19)。
あるいは、本発明のプログラムは、情報処理装置にインストールすることにより、その情報処理装置に、ネットワークのボーダに設けられ当該ネットワーク外からのパケットを受信し攻撃パケットを検出する機能と、この検出する機能により攻撃パケットが検出された旨の情報を送出する機能と、前記検出する機能の検出結果あるいは他から受信した前記情報に基づき攻撃パケットを識別して廃棄する機能とを備えたフィルタ装置に相応する機能を実現させる(請求項20)。
本発明の第五の観点は、本発明のプログラムが記録された前記情報処理装置読取可能な記録媒体である(請求項21)。本発明のプログラムは本発明の記録媒体に記録されることにより、前記情報処理装置は、この記録媒体を用いて本発明のプログラムをインストールすることができる。あるいは、本発明のプログラムを保持するサーバからネットワークを介して直接前記情報処理装置に本発明のプログラムをインストールすることもできる。
これにより、汎用の情報処理装置を用いて、サーバだけでなく、当該サーバに至る通信経路も攻撃から守ることができる攻撃パケット防御システムを実現することができる。
本発明によれば、サーバだけでなく、当該サーバに至る通信経路も攻撃から守ることができる。
(第一実施例)
第一実施例を図1を参照して説明する。図1は第一実施例のシステム構成を説明するための図である。
第一実施例を図1を参照して説明する。図1は第一実施例のシステム構成を説明するための図である。
第一実施例の攻撃パケット防御システムは、図1に示すように、サーバSに到来するパケットを当該サーバSの前段で受信し当該サーバSに対する攻撃パケットを検出する手段と、この検出する手段により攻撃パケットが検出された旨の情報を送出する手段とを備えたファイアウォール装置FWと、ネットワークのボーダに設けられ当該ネットワーク外からのパケットを受信し前記情報に基づき攻撃パケットを識別して廃棄する手段を備えたフィルタ装置Fとを備えたことを特徴とする(請求項1、7、8)。図1の例では、フィルタ装置Fは、ボーダルータBRの外部に設けているが、ボーダルータBRの機能の一部として構成してもよい。
サーバSの前段にあるファイアウォール装置FWは網内装置である。ユーザAおよびユーザBはDDoS等の悪意攻撃を行っているユーザであり、ユーザCは、正常ユーザである。
サーバSの前段にあるファイアウォール装置FWで検出された攻撃パケットは網内の制御用パケットにより、当該網内のボーダルータBRへ周知され、各ボーダルータBRでは、その情報をフィルタ装置Fに伝達する。この動作により、ユーザAとユーザBとは、当該サーバSへはアクセスできず、ユーザCのみがアクセスできる。
なお、フィルタ装置FをボーダルータBRの機能の一部として構成する場合には、ボーダルータBRがファイアウォール装置FWからの攻撃パケット検出情報を受け取ってからボーダルータBRのインタフェース部にフィルタ装置Fに相応する機能を生成してもよい。
(第二実施例)
第二実施例を図2および図3を参照して説明する。図2は第二実施例のI−BGP(Internet-Border
Gateway Protocol)による情報伝達を説明するための図である。図3は第二実施例のボーダルータでの動作を説明するための図である。
第二実施例を図2および図3を参照して説明する。図2は第二実施例のI−BGP(Internet-Border
Gateway Protocol)による情報伝達を説明するための図である。図3は第二実施例のボーダルータでの動作を説明するための図である。
第二実施例は、攻撃パケット検出情報の伝達方法に関する実施例である。図2に示すように、検出されたファイアウォール装置FWからの攻撃パケット検出情報は、I−BGPにより、BGPルータであるボーダルータBRのルーティング制御部Rへ周知される。BGPパケットは、もともとホーダルータBR間でメッシュ状に連絡できるプロトコルであり、全てのボーダルータBRで周知される。
図3に具体的なボーダルータ(ユーザ側)の動作を示す。ボーダルータでは、ルーティング制御部RがBGPパケットに含まれる攻撃者リストを受け取ると、インタフェース部Iの中にフィルタ装置Fに相応する機能を生成する。
このフィルタ装置Fに相応する機能は、BGPパケットに載った攻撃者の攻撃しているDA(宛先)および攻撃者のSD(ソースアドレス)を元に、Actionとして不通過(廃棄)を行う(請求項2、9)。これにより、いわゆる攻撃を行っているブラックリストとなったユーザは、当該サーバSへはアクセスできない。
ただし、攻撃がより巧妙化して、攻撃者がSAを偽った場合には、攻撃パケットを単純に不通過とすることはできないが、このような場合を想定した実施例として、当該DAに対してのレート規制を実施することにより、サーバダウンから救うことができる(請求項3、10)。
(第三実施例)
第三実施例を図4および図5を参照して説明する。図4は第三実施例のI−BGPにより情報伝達を説明するための図である。図5は第三実施例のボーダルータでの動作を説明するための図である。
第三実施例を図4および図5を参照して説明する。図4は第三実施例のI−BGPにより情報伝達を説明するための図である。図5は第三実施例のボーダルータでの動作を説明するための図である。
第三実施例におけるネットワークの構成は、第二実施例と同様であるが、図4に示すように、BGPパケットには、攻撃を受けているときに、正常にアクセスしているSAの情報を載せる(請求項4、11)。図5に示すように、ルーティング制御部RがBGPパケットに含まれる攻撃ターゲットサーバおよび当該サーバに対する正常ユーザに関するリストを受け取ると、インタフェース部Iの中にフィルタ装置Fに相応する機能を生成する。
このフィルタ装置Fに相応する機能では、正常ユーザは、ボーダルータで通過を許し、それ以外のユーザは攻撃ユーザとみなし、攻撃ユーザのパケットは不通過(廃棄)とする。
また、第三実施例は、新規の正常なユーザまでもが不通過となる問題を解決するための実施例として、攻撃対象となるサーバSに対する前記情報に含まれる正常ユーザ以外のパケットも、とりあえず一定レートのみを通過させる実施例も考えられる。このときに、レート監視を行い、一定時間所定レートを上回らない場合には、新規に参入した正常ユーザであると判断し、正常ユーザリストへ追加する(請求項5、12)。正常ユーザリストに追加された新規参入ユーザについては、以降、レート規制の対象とならず、正常に通信を行うことができる。
(第四実施例)
第四実施例を図6および図7を参照して説明する。図6は第四実施例の攻撃パケット防御システムの構成を示す図である。図7は第四実施例のモニタ機能の構成を示す図である。
第四実施例を図6および図7を参照して説明する。図6は第四実施例の攻撃パケット防御システムの構成を示す図である。図7は第四実施例のモニタ機能の構成を示す図である。
第四実施例の攻撃パケット防御システムは、図6に示すように、ネットワークのボーダに設けられ当該ネットワーク外からのパケットを受信し攻撃パケットを検出するモニタ機能部と、このモニタ機能部により攻撃パケットが検出された旨の情報を送出する手段と、モニタ機能部の検出結果あるいは他から受信した前記情報に基づき攻撃パケットを識別して廃棄するフィルタ機能部とを備えたフィルタ装置Fが複数設けられたことを特徴とする(請求項6、13)。
全てのフィルタ装置Fにモニタ機能部を備え、このモニタ機能部で検出される攻撃パケットは、I−BGPの制御パケットでフィルタ装置F間に分配し、各フィルタ装置Fはその情報を元にフィルタリングを行う。
図7に示したように、例えば、ある特定DAに対してのSYNパケットの量を測定することにより攻撃を検出することができる。図7の例では、DA128.15.42.2に対して著しくレートの大きなパケット転送が発生しているので、当該DAを攻撃対象とした攻撃が検出される。
攻撃が検出された場合には、直ちに、当該DA宛てのパケットは全て不通過(廃棄)としてもよいが、閾値が比較的低く設定されている場合には、単純に攻撃と断定することが難しい場合もある。この場合には、各フィルタ装置Fでのフィルタリングは、不通過のみではなく、レート制御も考えられる。
(第五実施例)
本発明は、汎用の情報処理装置にインストールすることにより、その情報処理装置に本発明のファイアウォール装置およびフィルタ装置に相応する機能を実現させるプログラムとして実現することができる(請求項14〜20)。このプログラムは、記録媒体に記録されて情報処理装置にインストールされ(請求項21)、あるいは通信回線を介して情報処理装置にインストールされることにより当該情報処理装置に、本実施例のファイアウォール装置、フィルタ装置にそれぞれ相応する機能を実現させることができる。
本発明は、汎用の情報処理装置にインストールすることにより、その情報処理装置に本発明のファイアウォール装置およびフィルタ装置に相応する機能を実現させるプログラムとして実現することができる(請求項14〜20)。このプログラムは、記録媒体に記録されて情報処理装置にインストールされ(請求項21)、あるいは通信回線を介して情報処理装置にインストールされることにより当該情報処理装置に、本実施例のファイアウォール装置、フィルタ装置にそれぞれ相応する機能を実現させることができる。
本発明によれば、サーバだけでなく、当該サーバに至る通信経路も攻撃から守ることができるため、当該サーバにアクセスを試みるユーザに対するサービス品質を向上させることができる。これにより、ユーザ勧誘に資することができる。
A〜C ユーザ
BR ボーダルータ
F フィルタ装置
FW ファイアウォール装置
I インタフェース部
R ルーティング制御部
S サーバ
BR ボーダルータ
F フィルタ装置
FW ファイアウォール装置
I インタフェース部
R ルーティング制御部
S サーバ
Claims (21)
- サーバに到来するパケットを当該サーバの前段で受信し当該サーバに対する攻撃パケットを検出する手段と、
この検出する手段により攻撃パケットが検出された旨の情報を送出する手段と
を備えたファイアウォール装置と、
ネットワークのボーダに設けられ当該ネットワーク外からのパケットを受信し前記情報に基づき攻撃パケットを識別して廃棄する手段を備えたフィルタ装置と
を備えたことを特徴とする攻撃パケット防御システム。 - 前記情報は、攻撃対象となる宛先アドレスと、攻撃者の送信元アドレスとを含み、
前記廃棄する手段は、前記情報に含まれる宛先アドレスおよび送信元アドレスを有するパケットを廃棄する手段を備えた
請求項1記載の攻撃パケット防御システム。 - 前記攻撃対象となる宛先アドレスを有するが前記攻撃者の送信元アドレスを有しないパケットに対してレート規制する手段を備えた請求項2記載の攻撃パケット防御システム。
- 前記情報は、攻撃対象となる宛先アドレスに対して正常にアクセスしているパケット送信元アドレスを含み、
前記廃棄する手段は、前記情報に含まれる送信元アドレス以外の送信元アドレスを有するパケットを廃棄する手段を備えた
請求項1記載の攻撃パケット防御システム。 - 前記情報は、攻撃対象となる宛先アドレスに対して正常にアクセスしているパケット送信元アドレスを含み、
前記廃棄する手段は、
前記情報に含まれる送信元アドレス以外の送信元アドレスを有するパケットに対してそのレートを監視すると共に所定レートを上回るパケットについてはレート規制する手段と、
レートの監視結果が一定時間所定レートを上回らないパケットの送信元アドレスについてはこれを新規に正常にアクセスしているパケット送信元アクセスの情報に加える手段と
を備えた請求項1記載の攻撃パケット防御システム。 - ネットワークのボーダに設けられ当該ネットワーク外からのパケットを受信し攻撃パケットを検出する手段と、
この検出する手段により攻撃パケットが検出された旨の情報を送出する手段と、
前記検出する手段の検出結果あるいは他から受信した前記情報に基づき攻撃パケットを識別して廃棄する手段と
を備えたフィルタ装置が複数設けられたことを特徴とする攻撃パケット防御システム。 - サーバに到来するパケットを当該サーバの前段で受信し当該サーバに対する攻撃パケットを検出する手段と、
この検出する手段により攻撃パケットが検出された旨の情報を送出する手段と
を備えたことを特徴とするファイアウォール装置。 - ネットワークのボーダに設けられ当該ネットワーク外からのパケットを受信し攻撃パケットが検出された旨の情報に基づき攻撃パケットを識別して廃棄する手段を備えたことを特徴とするフィルタ装置。
- 前記情報は、攻撃対象となる宛先アドレスと、攻撃者の送信元アドレスとを含み、
前記廃棄する手段は、前記情報に含まれる宛先アドレスおよび送信元アドレスを有するパケットを廃棄する手段を備えた
請求項8記載のフィルタ装置。 - 前記攻撃対象となる宛先アドレスを有するが前記攻撃者の送信元アドレスを有しないパケットに対してレート規制する手段を備えた請求項9記載のフィルタ装置。
- 前記情報は、攻撃対象となる宛先アドレスに対して正常にアクセスしているパケット送信元アドレスを含み、
前記廃棄する手段は、前記情報に含まれる送信元アドレス以外の送信元アドレスを有するパケットを廃棄する手段を備えた
請求項8記載のフィルタ装置。 - 前記情報は、攻撃対象となる宛先アドレスに対して正常にアクセスしているパケット送信元アドレスを含み、
前記廃棄する手段は、
前記情報に含まれる送信元アドレス以外の送信元アドレスを有するパケットに対してそのレートを監視すると共に所定レートを上回るパケットについてはレート規制する手段と、
レートの監視結果が一定時間所定レートを上回らないパケットの送信元アドレスについてはこれを新規に正常にアクセスしているパケット送信元アクセスの情報に加える手段と
を備えた請求項8記載のフィルタ装置。 - ネットワークのボーダに設けられ当該ネットワーク外からのパケットを受信し攻撃パケットを検出する手段と、
この検出する手段により攻撃パケットが検出された旨の情報を送出する手段と、
前記検出する手段の検出結果あるいは他から受信した前記情報に基づき攻撃パケットを識別して廃棄する手段と
を備えたことを特徴とするフィルタ装置。 - 情報処理装置にインストールすることにより、その情報処理装置に、
サーバに到来するパケットを当該サーバの前段で受信し当該サーバに対する攻撃パケットを検出する機能と、
この検出する機能により攻撃パケットが検出された旨の情報を送出する機能と
を備えたファイアウォール装置に相応する機能を実現させることを特徴とするプログラム。 - 情報処理装置にインストールすることにより、その情報処理装置に、
ネットワークのボーダに設けられ当該ネットワーク外からのパケットを受信し攻撃パケットが検出された旨の情報に基づき攻撃パケットを識別して廃棄する機能を備えたフィルタ装置に相応する機能を実現させるプログラム。 - 前記情報は、攻撃対象となる宛先アドレスと、攻撃者の送信元アドレスとを含み、
前記廃棄する機能として、前記情報に含まれる宛先アドレスおよび送信元アドレスを有するパケットを廃棄する機能を実現させる
請求項15記載のプログラム。 - 前記攻撃対象となる宛先アドレスを有するが前記攻撃者の送信元アドレスを有しないパケットに対してレート規制する機能を実現させる請求項16記載のプログラム。
- 前記情報は、攻撃対象となる宛先アドレスに対して正常にアクセスしているパケット送信元アドレスを含み、
前記廃棄する機能として、前記情報に含まれる送信元アドレス以外の送信元アドレスを有するパケットを廃棄する機能を実現させる
請求項15記載のプログラム。 - 前記情報は、攻撃対象となる宛先アドレスに対して正常にアクセスしているパケット送信元アドレスを含み、
前記廃棄する機能として、
前記情報に含まれる送信元アドレス以外の送信元アドレスを有するパケットに対してそのレートを監視すると共に所定レートを上回るパケットについてはレート規制する機能と、
レートの監視結果が一定時間所定レートを上回らないパケットの送信元アドレスについてはこれを新規に正常にアクセスしているパケット送信元アクセスの情報に加える機能と
を実現させる請求項15記載のプログラム。 - 情報処理装置にインストールすることにより、その情報処理装置に、
ネットワークのボーダに設けられ当該ネットワーク外からのパケットを受信し攻撃パケットを検出する機能と、
この検出する機能により攻撃パケットが検出された旨の情報を送出する機能と、
前記検出する機能の検出結果あるいは他から受信した前記情報に基づき攻撃パケットを識別して廃棄する機能と
を備えたフィルタ装置に相応する機能を実現させることを特徴とするプログラム。 - 請求項14ないし20のいずれかに記載のプログラムが記録された前記情報処理装置読み取り可能な記録媒体。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003363510A JP2005130190A (ja) | 2003-10-23 | 2003-10-23 | 攻撃パケット防御システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003363510A JP2005130190A (ja) | 2003-10-23 | 2003-10-23 | 攻撃パケット防御システム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005130190A true JP2005130190A (ja) | 2005-05-19 |
Family
ID=34642814
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003363510A Pending JP2005130190A (ja) | 2003-10-23 | 2003-10-23 | 攻撃パケット防御システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005130190A (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006345014A (ja) * | 2005-06-07 | 2006-12-21 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃トラヒック防御システムおよび方法 |
WO2009008052A1 (ja) * | 2007-07-09 | 2009-01-15 | Fujitsu Limited | 中継装置および中継方法 |
JP2009504100A (ja) * | 2005-08-05 | 2009-01-29 | ルーセント テクノロジーズ インコーポレーテッド | IPネットワークにおいて標的被害者自己識別及び制御によってDoS攻撃を防御する方法 |
JP2021530158A (ja) * | 2018-06-30 | 2021-11-04 | 華為技術有限公司Huawei Technologies Co.,Ltd. | Bgpメッセージ送信方法、bgpメッセージ受信方法、及びデバイス |
-
2003
- 2003-10-23 JP JP2003363510A patent/JP2005130190A/ja active Pending
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006345014A (ja) * | 2005-06-07 | 2006-12-21 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃トラヒック防御システムおよび方法 |
JP2009504100A (ja) * | 2005-08-05 | 2009-01-29 | ルーセント テクノロジーズ インコーポレーテッド | IPネットワークにおいて標的被害者自己識別及び制御によってDoS攻撃を防御する方法 |
JP4768021B2 (ja) * | 2005-08-05 | 2011-09-07 | アルカテル−ルーセント ユーエスエー インコーポレーテッド | IPネットワークにおいて標的被害者自己識別及び制御によってDoS攻撃を防御する方法 |
WO2009008052A1 (ja) * | 2007-07-09 | 2009-01-15 | Fujitsu Limited | 中継装置および中継方法 |
JPWO2009008052A1 (ja) * | 2007-07-09 | 2010-09-02 | 富士通株式会社 | 中継装置および中継方法 |
JP4677501B2 (ja) * | 2007-07-09 | 2011-04-27 | 富士通株式会社 | 中継装置および中継方法 |
US8276204B2 (en) | 2007-07-09 | 2012-09-25 | Fujitsu Limited | Relay device and relay method |
JP2021530158A (ja) * | 2018-06-30 | 2021-11-04 | 華為技術有限公司Huawei Technologies Co.,Ltd. | Bgpメッセージ送信方法、bgpメッセージ受信方法、及びデバイス |
JP7216120B2 (ja) | 2018-06-30 | 2023-01-31 | 華為技術有限公司 | Bgpメッセージ送信方法、bgpメッセージ受信方法、及びデバイス |
US11973795B2 (en) | 2018-06-30 | 2024-04-30 | Huawei Technologies Co., Ltd. | BGP message sending method, BGP message receiving method, and device |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4480422B2 (ja) | 不正アクセス阻止方法、装置及びシステム並びにプログラム | |
US9781157B1 (en) | Mitigating denial of service attacks | |
JP5524737B2 (ja) | 偽装されたネットワーク情報を検出する方法および装置 | |
US8370937B2 (en) | Handling of DDoS attacks from NAT or proxy devices | |
US20060075491A1 (en) | Network overload detection and mitigation system and method | |
JP2009500936A (ja) | 早期通知に基づいて異常なトラフィックを検出するためのシステム及び方法 | |
KR20110089179A (ko) | 네트워크 침입 방지 | |
JP4768020B2 (ja) | IPネットワークにおいてターゲット被害者自己識別及び制御によってDoS攻撃を防御する方法 | |
JP2007521718A (ja) | セキュリティブリーチ検知に対するネットワークのクオリティオブサービスを保護するシステムおよび方法 | |
CN109005175A (zh) | 网络防护方法、装置、服务器及存储介质 | |
JP4259183B2 (ja) | 情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法 | |
Du et al. | OverCourt: DDoS mitigation through credit-based traffic segregation and path migration | |
KR101380015B1 (ko) | 분산서비스거부 공격에 대한 협업형 방어 방법 및 그 장치 | |
JP4284248B2 (ja) | アプリケーションサービス拒絶攻撃防御方法及びシステム並びにプログラム | |
JP2007259223A (ja) | ネットワークにおける不正アクセスに対する防御システム、方法およびそのためのプログラム | |
JP2006100874A (ja) | アプリケーション型サービス不能攻撃に対する防御方法およびエッジ・ルータ | |
KR101065800B1 (ko) | 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체 | |
JP2005130190A (ja) | 攻撃パケット防御システム | |
JP2004248185A (ja) | ネットワークベース分散型サービス拒否攻撃防御システムおよび通信装置 | |
JP4322179B2 (ja) | サービス拒絶攻撃防御方法およびシステム | |
WO2019035488A1 (ja) | 制御装置、通信システム、制御方法及びコンピュータプログラム | |
KR101231966B1 (ko) | 장애 방지 서버 및 방법 | |
JP3784799B2 (ja) | 攻撃パケット防御システム | |
Selvi et al. | Game theory based mitigation of Interest flooding in Named Data Network | |
Kumarasamy et al. | An Efficient Detection Mechanism for Distributed Denial of Service (DDoS) Attack |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20051028 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20051101 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20060307 |