JP2005229614A - Ip送信元アドレスを偽装したサービス妨害攻撃から防御する方法および装置 - Google Patents

Ip送信元アドレスを偽装したサービス妨害攻撃から防御する方法および装置 Download PDF

Info

Publication number
JP2005229614A
JP2005229614A JP2005033743A JP2005033743A JP2005229614A JP 2005229614 A JP2005229614 A JP 2005229614A JP 2005033743 A JP2005033743 A JP 2005033743A JP 2005033743 A JP2005033743 A JP 2005033743A JP 2005229614 A JP2005229614 A JP 2005229614A
Authority
JP
Japan
Prior art keywords
network
source address
indicated
data packet
authenticated
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005033743A
Other languages
English (en)
Inventor
Eric H Grosse
ヘンリー グロッセ エリック
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia of America Corp
Original Assignee
Lucent Technologies Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Lucent Technologies Inc filed Critical Lucent Technologies Inc
Publication of JP2005229614A publication Critical patent/JP2005229614A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】IP(インターネット・プロトコル)アドレスを偽装したサービス妨害(DoS)攻撃から防御する方法および装置を提供すること。
【解決手段】本発明の例示的実施形態によれば、通信事業者は、それが指定されたIP送信元アドレスの正確さを、実際に、検証することができているかどうかに基づいてIPデータ・パケットをマークすることを含む「プレミアム」サービスを提供する。このマーキング・フラグは、IPヘッダ中のゼロ/非ゼロのサービスの種類(TOS)フィールド値を用いて実施することができ、送信元アドレスの検証は、逆方向パス転送(RPF)テストまたは他の類似のそのようなテストを用いて実施することができる。本明細書では、この「プレミアム」サービスを「IP CallerID」と呼ぶ。
【選択図】図1

Description

本発明は、一般に、インターネット・セキュリティの分野に関し、より詳細には、IP(インターネット・プロトコル)アドレスを偽装したサービス妨害(DoS)攻撃からの防御の問題に関する。
今日のインターネットでは、通信事業者から顧客にパケットが配信されるとき、それがどこから来たかについての正確な情報はない。パケット・ヘッダ中の送信元IPアドレスは偽造され得る(サービス妨害攻撃ではしばしば偽造される)。過去に、この問題を解決しようとするいくつかの試みがある。
1つの従来技術の解決法は、顧客が(おそらく、管理されたサービスとして)、当分野の技術者にはよく知られているIPsec(IPセキュリティ)VPN(仮想私設ネットワーク)ハードウェアを導入し、暗号化によって、事実上、インターネットを横切るポイントツーポイント・パスを創出することである。これは安全であるが、悪意のあるパケットを発見し、廃棄するために、なお、労力が費やされねばならない。
第2の従来技術の解決法は、BGP(境界ゲートウェイ・プロトコル)VPNを使用するものであり、その場合、顧客別仮想ルータを使用してトラフィックが分離される。これも機能し得るが、一般に、複雑さはセキュリティの敵であるとみなされ、関与するBGPへの大幅な拡張は、決して単純とはいえない。
第3の従来技術の解決法は、通信事業者が、よく知られており、例えば、IETF(インターネット技術標準化タスクフォース)RFC(コメント要求)2267に記載されている、完全なイングレス・フィルタリングを提供することである。実際には、これが意味するのは、通信事業者が、一定の範囲に及ぶその顧客のための1組のアドレスを持つはずであるということである。各顧客接続では、その顧客に属する送信元アドレスを有するパケットだけが入ることを許される。インターネットの残りの部分へのピアリング接続では、その通信事業者の範囲内の送信元アドレスを持つ任意の着信パケットは、廃棄される。このようにして、顧客は、そのアドレスが正しい範囲内にある限り、受信するパケットの送信元アドレスを信頼していればよい。
IETF RFC2267
しかしながら、偽造パケットが正当に使用されることもあり、そのため、イングレス・フィルタリングの教条主義的実施は問題を生じるであろうが、それは、おそらく、すでにネットワーク・アドレス変換により生じている問題よりは少ないであろう。さらに困難な問題は、世界中の通信事業者により一般に広く配備されるのが、(論理的には)可能であるにしても、はるか遠い先になることである。イングレス・フィルタリングが普及しない理由の一部には、(i)それが通信事業者への収益の流れを提供しないこと、(ii)通信事業者が非対称経路指定を危惧していること、および(iii)それが、非常に広範に配備されない限り、効果が薄いことが含まれる。
本発明は、前述の問題に対する新規の解決法であって、有利に好ましくは、漸進的に配備され得る解決法を提供する。本発明の若干の例示的実施形態によれば、通信事業者は、それが実際にその送信元アドレスを検証できているパケットをマークすることを含む「プレミアム」サービスを提供する。そのような一実施形態によれば、このマーキング・フラグは、パケットの送信元アドレスが検証されている場合に限り、IPヘッダ中のサービスの種類(TOS)フィールドを非ゼロに設定することにより実施される。本明細書で使用する場合、「フラグ」またはデータ「フィールド」の「マーキング」および「設定」という用語は、単に、所与のフラグまたはデータ・フィールドが、実際に、所望の値(例えば、ゼロまたは非ゼロ)を含むことを「保証する」行為を意味するものにすぎず、所望の値がそのフラグまたはデータ・フィールドにアクティブに書き込まれるかどうか、あるいは、まず、そのフラグまたはデータ・フィールドの現在の値がチェックされ、次いで、現在の値が所望の値ではない場合に限り上書きされるかどうかは問わないことに留意されたい。また、本明細書では、そのような(プレミアム)サービスを「IP CallerID」と呼ぶことにも留意されたい。というのは、それが、電話の送信元アドレス(すなわち電話番号)を識別する従来の電話技術のCallerIDと同様の意味で、IPパケットの送信元アドレスを正確に識別する(すなわち検証する)からである。
例えば、本発明の一例示的実施形態によれば、逆方向パス転送(RPF)その他のテストに合格できなかった顧客アクセス・リンクから通信事業者のネットワークに入ってくるどんなパケットも、好ましくは、そのTOSフィールドがゼロ値に設定されているはずであり、そのようなテストに合格したパケットは、好ましくは、そのTOSフィールドが非ゼロ値に設定されているはずである。(当分野の技術者にはよく知られているように、逆方向パス転送テストは、ネットワークの入口ポートにおいて、所与の識別された送信元アドレスを持つ着信パケットが、仮に、それがその識別された送信元アドレスと同じ宛先アドレスを持つ発信パケットであった場合に経路指定されたはずの同じポート上で、実際に、受け取られていることのチェックを含む。)また、本発明の一例示的実施形態によれば、非ゼロ値(例えば、値1)は、TOSフィールドが(例えば、サービス品質などのために)まだ何らかの非ゼロ値に設定されていない場合に限り、それがRPF(または他の)テストに合格した場合にTOSフィールドに書き込まれる。この方式では、TOSフィールドがサービスの種類要求の指定に使用されていて、送信元アドレスが、実際に、検証できなかった場合、その点において無効になってしまう。
さらに、本発明の一例示的実施形態によれば、やはり、本発明の実施形態を実施しているピア通信事業者から着信するパケットは、好ましくは、それ以上のチェックなしで受け入れられるはずである。しかしながら、非参加ピア通信事業者からのパケットは、好ましくは、TOSフィールドがゼロに設定されているはずである。というのは、そのような場合には起点となる送信元アドレスが検証できないからである。
前述の本発明の例示的実施形態によれば、本技術の使用により生じる1つのあまり大きくない副作用は、偽造された、またはその可能性のある一方で高いサービス品質を保持することを求めるパケットに不利に働くことである。しかし、好ましくは、例えば、前述の(IETF2267に記載されている)より厳格なイングレス・フィルタリングの従来技術の手法とは異なり、パケットがネットワークによって廃棄されることは絶対になく、したがって、どんな既存のアプリケーションも破壊されることはない。
前述の本発明の例示的実施形態を実施する際に最も高くつく部分は、アクセス回線上の着信パケットのRPF(または他の)テストであり、これを効率よく実施するルータはすでに存在していることに留意されたい。また、本発明の実施形態の実施は、例えば、IPsecの使用など、前述の従来技術の手法のいくつかと両立しないものではなく、実際、本発明の使用は、IPsecトンネルをサービス妨害攻撃からより防御しやすくし得ることにも留意されたい。
図1に、本発明の例示的実施形態によるIP CallerIDサービスを使用して経路指定され得る典型的なIP(インターネット・プロトコル)データ・パケットの例示的構造を示す。この例示的IPデータ・パケットは、そのパケットがIPv4(バージョン4)プロトコル・データ・パケットであることを示すデータ・フィールド11の表示から始まる。データ・フィールド12は、本発明の一部の例示的実施形態では、送信者がサービス品質情報(すなわち、送信者により提供される所望の、または必要とされるサービス品質レベル)を示すために使用し得るサービスの種類(TOS)値を含む。本発明の(例えば、サービス品質情報が提供されない)他の例示的実施形態では、TOSフィールドは、送信者により単に空白のままとされ得る。
最後に、例示的IPデータ・パケットのデータ・フィールド13には、送信元アドレスが指定される。このアドレスは、パケットの発信元IPアドレスを識別することになっている。しかしながら、IPアドレスを偽装したサービス妨害攻撃からパケットが悪意を持って生成されたときなど、一定の状況では、データ・フィールド13に示された送信元アドレスが、実際には、誤っている(「偽装されている」)ことがある。
図2に、本発明の例示的実施形態によるIP CallerIDサービスを提供する2つの通信事業者を含む例示的ネットワーク環境を示す。図に示す例示的環境は、例えば、偽の(「スマーフ」)送信元アドレスを持つIPパケットを通信事業者Aのネットワーク23に送信することによりサービス妨害攻撃を行おうとする(悪意の)「スマーファ」21を含む。具体的には、これらのパケットは、ネットワーク23のエッジ(周辺)ルータ23Aにより受け取られる。ネットワーク・エッジ・ルータ23A(ならびに図に示す他のネットワーク・エッジ・ルータすべて)は、当分野の技術者によく知られている境界ゲートウェイ・プロトコル(BGP)ルータとすることができる。
一方で、(正当な)システム22は、本物の(すなわち正しい)送信元アドレスを持つ正当なIPパケットを通信事業者Bのネットワーク24に送信する。具体的には、これらのパケットは、ネットワーク24のエッジ(周辺)ルータ24Aにより受け取られる。また、IPパケットが、一般に、(信頼されない)インターネット25から到着し、例えば、ネットワーク24のエッジ(周辺)ルータ24Cにより受け取られる可能性もある。(図には、エッジ・ルータ23Bおよび24Bも示されている。これらは、必要に応じてネットワーク23とネットワーク24の間のIPパケット交換に使用され得る。)
本発明の例示的実施形態によれば、通信事業者Aおよび通信事業者Bは、(プレミアム)顧客26に「プレミアム」IP CallerIDサービスを提供する。特に、顧客26に転送されるIPパケット26は、パケット中で識別されるその送信元アドレスが「検証」されている場合に限り、そのTOSデータ・フィールドが非ゼロに設定されている。図示のように、例えば、(悪意の)スマーファ21により送信された「スマーフ」IPパケットは、その対応するTOSフィールドがゼロ値に設定されて顧客26に転送され、例えば、(正当な)システム22により送信された正当なパケットは、その対応するTOSフィールドが非ゼロ値に設定されて顧客26に転送されることになる。
本発明の他の例示的実施形態では、TOSフィールド以外のデータ・フィールドを用いて送信元アドレスが検証されているか否かの表示を提供し得ることに留意されたい。例えば、IPデータ・パケット中の任意の他に使用されない(1ビットまたは複数ビットの)フィールドが、送信元アドレスが検証されているか否かに基づいてゼロまたは非ゼロ(例えば1)に設定される「フラグ」として使用され得る。
図3に、本発明の例示的実施形態によるIP CallerIDサービスを提供するように着信パケットを処理する例示的方法の流れ図を示す。図3の例示的方法は、好ましくは、ネットワークによる着信IPパケットの受信に応答して、ネットワーク・エッジ(周辺)ルータにより用いられ得る。
具体的には、(図のブロック31に示すように)IPパケットがエッジ・ルータにより受け取られた後で、(図のブロック32に示すように)所与のIPパケットが、実際に、識別された送信元アドレスから来ているかどうか検証するために、RPF(逆方向パス転送)テストまたは他の類似のそのようなテストが実施される。(逆方向パス転送テストは一般に行われており、当分野の技術者にはよく知られている。)判断33で、RPF(または他の)テストが成功したかどうか判定し、そうでない場合、ブロック36で、TOSフィールドをゼロ値に設定する。送信元アドレスが、実際に、RPF(または他の)テストに合格した場合、判断34で、そのTOSフィールドがゼロ値を持つかどうか判定し、そうである場合、ブロック35で、TOSフィールドの値を1に設定する。最後に、送信元アドレスが検証されているか否かに基づき、TOSフィールドを非ゼロ値またはゼロ値に設定して、パケットが転送される(図のブロック37)。
TOSフィールドがサービス品質のために使用されている場合には、本発明のこの例示的実施形態によれば、送信者により提供されたどんな非ゼロTOS値も、送信元アドレスが検証され得る限り妨害されないことに留意されたい。言い換えると、検証されないIPパケットだけが、その必要とされるまたは要求されるサービス処理品質の指示を失うことになる。また、前述したように、本発明の他の例示的実施形態によれば、TOSフィールド以外のIPデータ・パケットのデータ・フィールドを使用して、送信元アドレスが検証されているか否かを表示することもできることにも留意されたい。
図4に、本発明の例示的実施形態による、図3に示す例示的方法のものなど、本発明の例示的実施形態によるIP CallerIDサービスを提供する通信事業者により有利に処理されている、宛先で受信したパケットを処理する例示的方法の流れ図を示す。このパケットをブロック41で受信し、判断42で、受信したパケット中のTOSフィールドの値をチェックする。TOSフィールド値がゼロである場合、そのIP送信元アドレスは検証されていないため、パケットは拒絶され、廃棄される(ブロック46)。
他方、TOSフィールドがゼロでない場合、好ましくは、受け入れ可能な、かつ/または受け入れ不能な既知のアドレスを含む表から、(検証された)送信元アドレスが検索される(ブロック43)。次いで、判断44で、ブロック43で実施された検索に基づき、その送信元アドレスが受け入れ可能か、それとも受け入れ不能か判定する。それが受け入れ可能である場合、パケットが受け入れられ、転送される(ブロック45)。そうでない場合、それは拒絶され、廃棄される(ブロック46)。
本発明の若干の例示的実施形態によれば、図4に示す例示的方法の表検索は実施されないことに留意されたい。そうではなく、パケットは、単に、TOSフィールド値がゼロかそれともゼロでないかだけに基づいて受け入れられ(転送され)、または拒絶され(廃棄され)る。また、本発明の若干の他の実施形態では、TOSフィールドの値に関わらず、すべての受信パケットが受け入れられる。しかしながら、これらの実施形態によれば、データ・パケットは、好ましくは、送信元アドレスが検証されているか否か(例えば、TOSフィールド値がゼロかそれともゼロでないか)に基づいて優先順位をつけられる。この方式では、どんなパケットであれ失われることはないが、サービス妨害攻撃の一部として送信されたものなどの「スマーフ」パケットには、より低い優先順位が与えられ、したがって、(サービス妨害攻撃の目標である)正当なデータ・パケットの処理を妨害する効果が極めて低くなる。
詳細な説明への追補
前述の説明はすべて、単に、本発明の一般的原理を示すためのものにすぎないことに留意すべきである。本明細書に明示的に説明、図示されてはいないが、当分野の技術者は、本発明の原理を実施し、その精神および範囲内に含まれる他の様々な構成を考案し得ることが理解されるであろう。また、本明細書で示したすべての例および条件的文言は、主として、読者が、本発明の原理および当分野の発展のために発明者により示された概念を理解するのを支援する教育のためのものにすぎないことが明確に意図されており、そのように具体的に示す例および条件に限定するものではないと解釈すべきである。さらに、本明細書で本発明の原理、態様、および実施形態、ならびにその具体例を示すすべての記述は、その構造的均等物と機能的均等物の両方を包含することが意図されている。また、そのような均等物は、現在知られている均等物と、将来開発される均等物の両方、すなわち、構造に関わらず、同じ機能を実施する任意の開発された要素を含むことも意図されている。
本発明の例示的実施形態によるIP CallerIDサービスを使用して経路指定され得る典型的なIP(インターネット・プロトコル)データ・パケットの例示的構造を示す図である。 本発明の例示的実施形態によるIP CallerIDサービスを提供する2つの通信事業者を含む例示的ネットワーク環境を示す図である。 本発明の例示的実施形態によるIP CallerIDサービスを提供するように着信パケットを処理する例示的方法を示す流れ図である。 本発明の例示的実施形態による、図3に示す例示的方法のものなど、本発明の例示的実施形態によるIP CallerIDサービスを提供する通信事業者により有利に処理されている、宛先で受信したパケットを処理する例示的方法を示す流れ図である。

Claims (10)

  1. IPネットワークを介して送信されるIPデータ・パケットに含まれる指示IP送信元アドレスを認証する方法であって、
    IPネットワークの着信エッジで、指示IP送信元アドレスを含むIPデータ・パケットを受信する工程と、
    前記IPネットワークの前記着信エッジで受信した前記IPデータ・パケットが、前記指示IP送信元アドレスで発信されたものと一致するかどうか判定する工程と、
    前記IPデータ・パケットの所定のデータ・フィールドが、前記IPネットワークの前記着信エッジで受信した前記IPデータ・パケットが前記指示IP送信元アドレスで発信されたものと一致するかどうかを表す値を含むことを保証する工程と
    を含む方法。
  2. 前記IPネットワークの前記着信エッジで受信した前記IPデータ・パケットが前記指示IP送信元アドレスで発信されたものと一致するかどうか判定する工程が、前記IPデータ・パケットに対して逆方向パス転送テストを実施する工程を含む請求項1に記載の方法。
  3. 前記IPデータ・パケットの前記所定のデータ・フィールドがサービスの種類データ・フィールドを含み、前記IPデータ・パケットの前記所定のフィールドが、前記IPネットワークの前記着信エッジで受信した前記IPデータ・パケットが前記指示IP送信元アドレスで発信されたものと一致するかどうかを表す値を含むことを保証する前記工程が、
    前記IPネットワークの前記着信エッジで受信した前記IPデータ・パケットが前記指示IP送信元アドレスで発信されたものと一致しない場合、前記サービスの種類データ・フィールドがゼロ値を含むことを保証する工程と、
    前記IPネットワークの前記着信エッジで受信した前記IPデータ・パケットが前記指示IP送信元アドレスで発信されたものと一致した場合、前記サービスの種類データ・フィールドが非ゼロ値を含むことを保証する工程と
    を含む請求項1に記載の方法。
  4. 前記IPネットワークの前記着信エッジで受信した前記IPデータ・パケットが前記指示IP送信元アドレスで発信されたものと一致するかどうか判定する工程が、
    前記IPネットワークの前記着信エッジで受信した前記IPデータ・パケットが、前記IPネットワークの前記着信エッジで受信した前記IPデータ・パケットが前記指示IP送信元アドレスで発信されたものと一致するかどうかすでに判定しているピア通信事業者から受信したものであるかどうか判定する工程と、
    前記IPデータ・パケットの前記所定のデータ・フィールドが、前記IPネットワークの前記着信エッジで受信した前記IPデータ・パケットが、前記ピア通信事業者により、前記指示IP送信元アドレスで発信されたものと一致すると判定されたかどうかを表す値を含むことを保証する工程と
    を含む請求項1に記載の方法。
  5. 指示IP送信元アドレスを含み、その1つまたは複数が、そこに含まれる前記指示IP送信元アドレスがIPネットワークによって認証されているかどうかを表す印でマークされている、前記IPネットワークから受信したIPデータ・パケットを処理する方法であって、
    前記IPデータ・パケットの前記1つまたは複数のそれぞれに含まれる前記指示IP送信元アドレスが、前記IPネットワークによって認証されているかどうか判定する工程と、
    そこに含まれる前記指示IP送信元アドレスが前記IPネットワークによって認証されているかどうかに基づいて前記IPデータ・パケットの前記1つまたは複数のそれぞれを処理する工程と
    を含む方法。
  6. 前記IPデータ・パケットの前記1つまたは複数に含まれる前記指示IP送信元アドレスが前記IPネットワークによって認証されているかどうかを表す前記印が、前記IPデータ・パケットのそれぞれの所定のデータ・フィールドに含まれる値を含む請求項5に記載の方法。
  7. 前記IPデータ・パケットのそれぞれの前記所定のデータ・フィールドが、サービスの種類データ・フィールドを含み、前記1つまたは複数のIPデータ・パケットのそれぞれに含まれる前記サービスの種類データ・フィールドが、そこに含まれる前記指示IP送信元アドレスがIPネットワークによって認証されていない前記1つまたは複数のIPデータ・パケットのそれぞれにはゼロ値を含み、そこに含まれる前記指示IP送信元アドレスが前記IPネットワークによって認証されている前記1つまたは複数のIPデータ・パケットのそれぞれには非ゼロ値を含む請求項6に記載の方法。
  8. そこに含まれる前記指示IP送信元アドレスが前記IPネットワークによって認証されているかどうかに基づいて前記IPデータ・パケットの前記1つまたは複数のそれぞれを処理する工程が、そこに含まれる前記指示IP送信元アドレスが前記IPネットワークによって認証されていない前記1つまたは複数のIPデータ・パケットのそれぞれを廃棄する工程を含む請求項5に記載の方法。
  9. 前記IPネットワークによって認証されている1つまたは複数の対応するIPデータ・パケットに含まれる1つまたは複数の指示IP送信元アドレスの検索を実施する工程をさらに含み、そこに含まれる前記指示IP送信元アドレスが前記IPネットワークによって認証されているかどうかに基づいて前記IPデータ・パケットの前記1つまたは複数のそれぞれを処理する工程が、前記IPネットワークによって認証されている1つまたは複数の対応するIPデータ・パケットに含まれる前記1つまたは複数の指示IP送信元アドレスの前記検索に基づき、そこに含まれる前記指示IP送信元アドレスが前記IPネットワークによって認証されている前記IPデータ・パケットの1つまたは複数を廃棄する工程をさらに含む請求項8に記載の方法。
  10. そこに含まれる前記指示IP送信元アドレスが前記IPネットワークによって認証されているかどうかに基づいて前記IPデータ・パケットの前記1つまたは複数のそれぞれを処理する工程が、そこに含まれる前記指示IP送信元アドレスが前記IPネットワークによって認証されているかどうかに基づいて前記IPデータ・パケットの前記1つまたは複数に優先順位をつける工程であって、そこに含まれる前記指示IP送信元アドレスが前記IPネットワークによって認証されている前記IPデータ・パケットが、そこに含まれる前記指示IP送信元アドレスが前記IPネットワークによって認証されていない前記IPデータ・パケットより高い優先順位を持つ工程を含む請求項5に記載の方法。
JP2005033743A 2004-02-11 2005-02-10 Ip送信元アドレスを偽装したサービス妨害攻撃から防御する方法および装置 Pending JP2005229614A (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US10/776,719 US20050177717A1 (en) 2004-02-11 2004-02-11 Method and apparatus for defending against denial on service attacks which employ IP source spoofing

Publications (1)

Publication Number Publication Date
JP2005229614A true JP2005229614A (ja) 2005-08-25

Family

ID=34827425

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005033743A Pending JP2005229614A (ja) 2004-02-11 2005-02-10 Ip送信元アドレスを偽装したサービス妨害攻撃から防御する方法および装置

Country Status (2)

Country Link
US (1) US20050177717A1 (ja)
JP (1) JP2005229614A (ja)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8819285B1 (en) 2002-10-01 2014-08-26 Trustwave Holdings, Inc. System and method for managing network communications
US7469418B1 (en) 2002-10-01 2008-12-23 Mirage Networks, Inc. Deterring network incursion
US7506360B1 (en) 2002-10-01 2009-03-17 Mirage Networks, Inc. Tracking communication for determining device states
US7530112B2 (en) 2003-09-10 2009-05-05 Cisco Technology, Inc. Method and apparatus for providing network security using role-based access control
US7836490B2 (en) * 2003-10-29 2010-11-16 Cisco Technology, Inc. Method and apparatus for providing network security using security labeling
US20060067272A1 (en) * 2004-09-30 2006-03-30 Wang Huayan A Method and system for fast roaming of a mobile unit in a wireless network
US7669244B2 (en) * 2004-10-21 2010-02-23 Cisco Technology, Inc. Method and system for generating user group permission lists
US7877796B2 (en) 2004-11-16 2011-01-25 Cisco Technology, Inc. Method and apparatus for best effort propagation of security group information
US7886145B2 (en) * 2004-11-23 2011-02-08 Cisco Technology, Inc. Method and system for including security information with a packet
US7721323B2 (en) * 2004-11-23 2010-05-18 Cisco Technology, Inc. Method and system for including network security information in a frame
US7827402B2 (en) 2004-12-01 2010-11-02 Cisco Technology, Inc. Method and apparatus for ingress filtering using security group information
US8205252B2 (en) 2006-07-28 2012-06-19 Microsoft Corporation Network accountability among autonomous systems
CN100456747C (zh) * 2006-08-02 2009-01-28 华为技术有限公司 一种单播反向路径检查的实现方法和网络设备
US7840708B2 (en) * 2007-08-13 2010-11-23 Cisco Technology, Inc. Method and system for the assignment of security group information using a proxy
US20110072515A1 (en) * 2009-09-22 2011-03-24 Electronics And Telecommunications Research Institute Method and apparatus for collaboratively protecting against distributed denial of service attack
CN111585984B (zh) * 2020-04-24 2021-10-26 清华大学 面向分组全生存周期的去中心化安全保障方法及装置
WO2022266672A1 (en) * 2021-06-17 2022-12-22 Rutgers, The State University Of New Jersey Discriminating defense against ddos attacks
US11895090B2 (en) * 2021-10-22 2024-02-06 AVAST Software s.r.o. Privacy preserving malicious network activity detection and mitigation

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6466985B1 (en) * 1998-04-10 2002-10-15 At&T Corp. Method and apparatus for providing quality of service using the internet protocol
US6643260B1 (en) * 1998-12-18 2003-11-04 Cisco Technology, Inc. Method and apparatus for implementing a quality of service policy in a data communications network
US20020108059A1 (en) * 2000-03-03 2002-08-08 Canion Rodney S. Network security accelerator
US6904014B1 (en) * 2000-04-27 2005-06-07 Cisco Technology, Inc. Method and apparatus for performing high-speed traffic shaping
US20020069356A1 (en) * 2000-06-12 2002-06-06 Kwang Tae Kim Integrated security gateway apparatus
US7159125B2 (en) * 2001-08-14 2007-01-02 Endforce, Inc. Policy engine for modular generation of policy for a flat, per-device database
US7299297B2 (en) * 2001-08-16 2007-11-20 Lucent Technologies Inc. Method and apparatus for protecting electronic commerce from distributed denial-of-service attacks
US7207062B2 (en) * 2001-08-16 2007-04-17 Lucent Technologies Inc Method and apparatus for protecting web sites from distributed denial-of-service attacks
US7519991B2 (en) * 2002-06-19 2009-04-14 Alcatel-Lucent Usa Inc. Method and apparatus for incrementally deploying ingress filtering on the internet
US7254133B2 (en) * 2002-07-15 2007-08-07 Intel Corporation Prevention of denial of service attacks
WO2004028053A1 (en) * 2002-09-18 2004-04-01 Flarion Technologies, Inc. Methods and apparatus for using a care of address option

Also Published As

Publication number Publication date
US20050177717A1 (en) 2005-08-11

Similar Documents

Publication Publication Date Title
JP2005229614A (ja) Ip送信元アドレスを偽装したサービス妨害攻撃から防御する方法および装置
US10701034B2 (en) Intelligent sorting for N-way secure split tunnel
US7058974B1 (en) Method and apparatus for preventing denial of service attacks
US7167922B2 (en) Method and apparatus for providing automatic ingress filtering
US8175096B2 (en) Device for protection against illegal communications and network system thereof
EP1775910B1 (en) Application layer ingress filtering
US20090172803A1 (en) Method and apparatus for incrementally deploying ingress filtering on the internet
EP1540921B1 (en) Method and apparatus for inspecting inter-layer address binding protocols
US10439986B2 (en) Method and apparatus for reducing unwanted traffic between peer networks
Suehring Linux firewalls: Enhancing security with nftables and beyond
US11552973B2 (en) Network malicious behavior detection method and networking system using same
JP5153779B2 (ja) 1つまたは複数のパケット・ネットワーク内で望まれないトラフィックの告発をオーバーライドする方法および装置
US20060225141A1 (en) Unauthorized access searching method and device
EP3073701B1 (en) Network protection entity and method for protecting a communication network against fraud messages
JP3784799B2 (ja) 攻撃パケット防御システム
EP3270569B1 (en) Network protection entity and method for protecting a communication network against malformed data packets
Bavosa GPRS security threats and solution recommendations
JP2008028720A (ja) 送信元ipアドレス詐称ipパケットを制御可能なipネットワーク装置および送信元ipアドレス詐称ipパケット制御方法
JP4152356B2 (ja) アプリケーション型サービス拒絶防御方法
CN115941256A (zh) 阻止ip欺骗的防攻击方法、系统、模块
Henry Protocol and application awareness: a new trend or an established tradition?
JP2008252221A (ja) DoS攻撃防御システム、DoS攻撃防御システムにおける攻撃防御方法及びDoS攻撃防御装置
Fojtů Zranitelnosti a hrozby IPv6 prostředí
Kumari Internet Engineering Task Force (IETF) I. Gashinsky Request for Comments: 6583 Yahoo! Category: Informational J. Jaeggli