JP2005286716A - Dos attack defending apparatus and defending method - Google Patents
Dos attack defending apparatus and defending method Download PDFInfo
- Publication number
- JP2005286716A JP2005286716A JP2004098124A JP2004098124A JP2005286716A JP 2005286716 A JP2005286716 A JP 2005286716A JP 2004098124 A JP2004098124 A JP 2004098124A JP 2004098124 A JP2004098124 A JP 2004098124A JP 2005286716 A JP2005286716 A JP 2005286716A
- Authority
- JP
- Japan
- Prior art keywords
- address
- dos attack
- packet
- transmission
- packets
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Abstract
Description
本発明は、DOS攻撃防御装置及び防御方法に関し、特に、ネットワークに接続されたサーバ等のサービスを停止させるDOS(Denial of Service)攻撃を防御し、IP(インターネットプロトコル)関連装置を保護するための装置及び方法に関する。 The present invention relates to a DOS attack defense device and a defense method, and more particularly to protect a DOS (Denial of Service) attack that stops a service such as a server connected to a network and protect an IP (Internet Protocol) related device. The present invention relates to an apparatus and a method.
ネットワークに接続された標的となるサーバに対し、単一の送信元から大量にパケットを送り出して通信路をあふれさせたり、過負荷でサービスを停止させたりして、正規ユーザーのサービスを妨げるDOS攻撃が行われている。この攻撃に対抗するため、ネットワーク上のIPルータや、ネットワーク及びネットワークに接続された機器を保護するためのセキュリティ装置は、例えば、管理テーブルを用い、送信パケットの送信元IPアドレスによって送信元の端末を監視し、送信先IPアドレステーブルを用いて送信先を監視する。また、送信先と送信元とを一元管理する送信端末識別部は、特定送信先のIPアドレスに対し、所定時間以上の連続的なアクセスを繰り返していることをタイマー部からの時間情報に基づいて監視する。そして、特定の送信元から特定の送信先への連続アクセスが発生すると、送信先には、受信パケット廃棄制御部により、当該IPアドレスからの送信を受信バッファに積み込まないようにしていた。 A DOS attack that interferes with the services of legitimate users by sending a large number of packets from a single source to the target server connected to the network, overflowing the communication path, or stopping the service due to overload Has been done. In order to counter this attack, an IP router on the network and a security device for protecting the network and devices connected to the network use, for example, a management table, and a transmission source terminal based on the transmission source IP address of the transmission packet And the destination is monitored using the destination IP address table. Further, the transmission terminal identification unit that manages the transmission destination and the transmission source in a unified manner is based on the time information from the timer unit that the continuous access for a predetermined time or more is repeated for the IP address of the specific transmission destination. Monitor. When continuous access from a specific transmission source to a specific transmission destination occurs, transmission from the IP address is not loaded into the reception buffer by the received packet discard control unit.
しかし、近年、あたかも不特定のIPアドレスから特定の端末に対してアクセスが集中しているように見せかけるため、様々なプロバイダ等を介することでIPアドレスを色々と変換しながら、特定端末から複数のIPアドレスで特定の端末に対してDOS攻撃を仕掛けることが行われている。このような場合には、特定端末からのアクセスにも拘わらず、あたかも複数の端末からアクセスされているように見えるため、目標端末は、DOS攻撃を受けてしまうこととなり、DOS攻撃以外の通信も含めて中継が中断するという問題があった。 However, in recent years, since it seems that access is concentrated on a specific terminal from an unspecified IP address, a plurality of IP addresses can be converted from a specific terminal through various providers. A DOS attack is performed on a specific terminal with an IP address. In such a case, the target terminal is subject to a DOS attack because it appears to be accessed from a plurality of terminals in spite of access from a specific terminal, and communication other than the DOS attack is also performed. There was a problem that relaying was interrupted.
そこで、本発明は、複数のIPアドレスを用いて特定の端末に対してDOS攻撃を仕掛けられた場合でも、このような攻撃を防御し、安定したネットワーク通信を維持することを目的とする。 Accordingly, an object of the present invention is to prevent such an attack and maintain stable network communication even when a DOS attack is set against a specific terminal using a plurality of IP addresses.
上記目的を達成するため、本発明は、DOS攻撃防御装置であって、送信端末から送信パケットを受信して蓄積する受信パケットバッファ部と、該受信パケットバッファ部に蓄積されたパケットの送信先のIPアドレスと、該パケットの送信元を確定することのできる個体識別番号とを関連づけて記録するテーブル部と、所定時間内において、前記テーブル部に記録された同一の送信先IPアドレスに対する同一の個体識別番号を有するパケットの数を計数する計数部と、該計数部の計数値が所定の値以上となった場合には、前記受信パケットバッファ部に蓄積された受信パケットを廃棄する廃棄制御部とを備えることを特徴とする。 In order to achieve the above object, the present invention provides a DOS attack defense apparatus, which receives a transmission packet from a transmission terminal and stores it, and a transmission destination of a packet stored in the reception packet buffer unit. A table unit that records an IP address and an individual identification number that can determine the transmission source of the packet in association with each other, and the same individual for the same destination IP address recorded in the table unit within a predetermined time A counting unit that counts the number of packets having an identification number; and a discard control unit that discards received packets stored in the received packet buffer unit when the count value of the counting unit is equal to or greater than a predetermined value; It is characterized by providing.
そして、本発明によれば、テーブル部によって、送信されたパケットの送信先のIPアドレスと、送信元を確定することのできる個体識別番号とを関連づけて記録し、計数部によって、所定時間内において、テーブル部に記録された同一の送信先IPアドレスに対する同一の個体識別番号を有するパケットの数を計数し、計数部の計数値が所定の値以上となった場合には、廃棄制御部によって前記受信パケットバッファ部に蓄積された受信パケットを廃棄するため、特定端末から複数のIPアドレスを用いて特定の端末に対してDOS攻撃を仕掛けられた場合でも、このようなDOS攻撃を防御することができ、安定したネットワーク通信を維持することができる。また、DOS攻撃を行っているパケットのみを入力側で廃棄するため、DOS攻撃とは関係のないすべての通信、及び出力方向に位置する、DOS攻撃を受けていた端末が接続されている通信を正常に維持することができる。 Then, according to the present invention, the table unit records the transmission destination IP address of the transmitted packet in association with the individual identification number that can determine the transmission source, and the counting unit within a predetermined time. , Counting the number of packets having the same individual identification number for the same destination IP address recorded in the table unit, and when the count value of the counter unit exceeds a predetermined value, the discard control unit Since the received packets stored in the received packet buffer unit are discarded, even if a specific terminal uses a plurality of IP addresses to attack a specific terminal, such a DOS attack can be prevented. And stable network communication can be maintained. In addition, since only the packet that is performing the DOS attack is discarded on the input side, all the communication that is not related to the DOS attack and the communication that is connected to the terminal that has been subjected to the DOS attack is connected in the output direction. It can be maintained normally.
上記DOS攻撃防御装置において、前記廃棄制御部による受信パケットの廃棄後、所定時間経過後に前記廃棄制御部は受信パケットの廃棄を停止するようにすることができる。これによって、DOS攻撃を行わなくなった送信端末からの正常な通信を復旧させることができる。 In the DOS attack defense apparatus, the discard control unit can stop discarding the received packet after a predetermined time has elapsed after discarding the received packet by the discard control unit. As a result, normal communication from the transmitting terminal that has stopped performing the DOS attack can be recovered.
上記DOS攻撃防御装置において、前記個体識別番号を、MACアドレス(Media Access Control Address )とすることができる。 In the DOS attack defense apparatus, the individual identification number can be a MAC address (Media Access Control Address).
また、本発明は、DOS攻撃防御方法であって、送信端末から送信パケットを受信して蓄積し、該蓄積されたパケットの送信先のIPアドレスと、該パケットの送信元を確定することのできる個体識別番号とを関連づけて記録し、所定時間内において、前記記録された同一の送信先IPアドレスに対する同一の個体識別番号を有するパケットの数を計数し、該計数値が所定の値以上となった場合には、前記蓄積された受信パケットを廃棄することを特徴とする。これによって、上述のように、複数のIPアドレスを用いた特定端末から特定の端末に対するDOS攻撃を防御することができ、DOS攻撃とは関係のないすべての通信、及び出力方向に位置する、DOS攻撃を受けていた端末が接続されている通信を正常に維持することができる。 Further, the present invention is a DOS attack protection method, which can receive and accumulate transmission packets from a transmission terminal, and determine the IP address of the transmission destination of the accumulated packets and the transmission source of the packets An individual identification number is recorded in association with each other, and within a predetermined time, the number of packets having the same individual identification number with respect to the recorded destination IP address is counted, and the count value is equal to or greater than a predetermined value. In this case, the accumulated received packet is discarded. As a result, as described above, a DOS attack against a specific terminal can be prevented from a specific terminal using a plurality of IP addresses, and all communications not related to the DOS attack and DOS located in the output direction can be protected. The communication to which the terminal that was under attack is connected can be maintained normally.
上記DOS攻撃防御装置において、前記受信パケットの廃棄後、所定時間経過後に受信パケットの廃棄を停止することができ、前記個体識別番号に、MACアドレス(Media Access Control Address )を用いることができる。 In the DOS attack defense apparatus, the discarding of the received packet can be stopped after a predetermined time elapses after the discarding of the received packet, and a MAC address (Media Access Control Address) can be used as the individual identification number.
本発明によれば、複数のIPアドレスを用いた特定の端末から目標端末へのDOS攻撃を防止することができ、安定したネットワーク通信を維持すること等が可能なDOS攻撃防御装置及び防御方法を提供することができる。 According to the present invention, there is provided a DOS attack defense apparatus and a defense method capable of preventing a DOS attack from a specific terminal using a plurality of IP addresses to a target terminal and maintaining stable network communication. Can be provided.
図1は、本発明にかかるDOS攻撃防御装置の一実施の形態を示し、このDOS攻撃防御装置10は、送信端末A、Bから送信パケットを受信して蓄積する受信パケットバッファ部1と、受信パケットバッファ部1に積み込まれたパケットから送信先のIPアドレスを検出し、テーブルとして情報を蓄積する送信先IPアドレステーブル2と、同様に、受信パケットバッファ部1に積み込まれたパケットから送信元IPアドレスを検出し、テーブルとして情報を蓄積する送信元IPアドレステーブル3と、受信パケットバッファ部1に積み込まれたパケットから送信元MACアドレスを検出し、テーブルとして情報を蓄積する送信元MACアドレステーブル4と、送信先IPアドレステーブル2及び送信元MACアドレステーブル4を受信パケット毎に管理し、受信パケット数をカウントする送信元端末識別部5と、送信元端末識別部5にカウントアップされているパケット数をある所定時間以上カウントするタイマー部6と、送信端末識別部5にカウントアップされているパケット数がある一定数値以上カウントアップされたときに、該当送信元MACアドレスの受信パケットを廃棄する受信パケット廃棄制御部7とで構成される。
FIG. 1 shows an embodiment of a DOS attack defense device according to the present invention. This DOS
次に、上記構成を有するDOS攻撃防御装置10の動作について説明する。ここで、送信端末Aは攻撃端末と仮定し、送信端末Bは正常ユーザー端末とする。
Next, the operation of the DOS
受信パケットバッファ部1は、送信端末A及び送信端末Bからの送信パケットを受信して、随時蓄積する。この受信パケットバッファ部1に積み込まれたパケットの中から、各々送信先のIPアドレスと、送信元のIPアドレスと、送信元のMACアドレスとを検出し、各々、送信先IPアドレステーブル2と、送信元IPアドレステーブル3と、送信元MACアドレステーブル4とに蓄積する。 The reception packet buffer unit 1 receives transmission packets from the transmission terminals A and B and accumulates them as needed. From the packets loaded in the reception packet buffer unit 1, the IP address of the transmission destination, the IP address of the transmission source, and the MAC address of the transmission source are detected, respectively, the transmission destination IP address table 2, The information is stored in the transmission source IP address table 3 and the transmission source MAC address table 4.
次に、蓄積されているテーブル情報の送信先IPアドレスと、送信元MACアドレスとを各々の送信先IPアドレステーブル2と、送信元MACアドレステーブル3とを利用し、受信パケット毎に管理し、送信元端末識別部5は、特定端末A及び送信端末Bから目標端末に向けてのパケット数をカウントする。通常、正常なアクセスであれば、数分単位で連続して単一の宛先に対してアクセスすることはあり得ない。そのため、送信元端末識別部5によって、数分を所定時間としてパケット数のカウント値が一定レベル以上に達した場合には、異常アクセス(DOS攻撃)であると判断し、受信パケット廃棄制御部7は、該当送信元MACアドレスからのパケットを受信パケットバッファ部1に蓄積しないようにする。
Next, the transmission destination IP address and the transmission source MAC address of the accumulated table information are managed for each received packet by using the transmission destination IP address table 2 and the transmission source MAC address table 3, respectively. The transmission source terminal identification unit 5 counts the number of packets from the specific terminal A and the transmission terminal B toward the target terminal. Normally, if it is normal access, it is impossible to access a single destination continuously for several minutes. Therefore, when the packet number count value reaches a certain level for a predetermined time by several minutes by the transmission source terminal identification unit 5, it is determined that the access is abnormal (DOS attack), and the received packet
このように、所定時間内にある特定端末からカウント値が一定レベル以上の目標端末宛のパケットを受信した場合には、DOS攻撃防御装置10で受信パケットを廃棄することにより、DOS攻撃を防ぐことができる。送信元のIPアドレスを監視したのでは、IPアドレスの付け替えによりDOS攻撃を防御することができない可能性があるが、本発明のように、MACアドレスを監視すれば、MACアドレスは端末に固有のものであるため、送信端末を特定することができ、IPアドレスの付け替えによるDOS攻撃を防御することができる。
In this way, when a packet addressed to a target terminal whose count value is a certain level or more is received from a specific terminal within a predetermined time, the received packet is discarded by the DOS
また、DOS攻撃を行っていた端末が、自発的にDOS攻撃を行っていなかった場合には、通信ができなくなることによりユーザーが異常を認識し、別の所定時間(送信端末の復旧に要する数時間程度)以上達したときに、パケットの廃棄を停止するようにすれば、DOS攻撃を行わなくなった送信端末からの正常な通信を復旧させることができる。 In addition, when a terminal that has performed a DOS attack does not voluntarily perform a DOS attack, the user recognizes an abnormality because communication is not possible, and another predetermined time (the number required for recovery of the transmitting terminal) If the packet discarding is stopped when the time has passed, the normal communication from the transmitting terminal that has stopped performing the DOS attack can be recovered.
送信端末Aは、DOS攻撃端末であるため、送信端末Aの送信パケットは、異常トラフィックである。送信端末Bは、正常ユーザーの端末であるため、送信パケットは、正常なトラフィックである。送信端末Aのトラフィックは異常となり、タイマー部6で異常が検出されてDOS攻撃端末と認識され、送信元MACアドレステーブル4と、送信元端末識別部5により送信端末AのMACアドレスが特定され、受信パケット廃棄制御部7でパケット廃棄がパケット受信バッファ1に通知される。一方、送信端末Bは正常トラフィックであるため、タイマー部6で異常が検出されないため、引き続きパケットの受信が可能となる。
Since the transmission terminal A is a DOS attack terminal, the transmission packet of the transmission terminal A is abnormal traffic. Since the transmission terminal B is a normal user's terminal, the transmission packet is normal traffic. The traffic of the transmission terminal A becomes abnormal, the abnormality is detected by the
尚、上記各構成部は、CPU(中央演算装置)等により実現することも、ハードウェアにより実現することも可能である。 Each component described above can be realized by a CPU (Central Processing Unit) or the like, or by hardware.
1 受信パケットバッファ部
2 送信先IPアドレステーブル
3 送信元IPアドレステーブル
4 送信元MACアドレステーブル
5 送信元端末識別部
6 タイマー部
7 受信パケット廃棄制御部
10 DOS攻撃防御装置
A 送信端末(攻撃端末)
B 送信端末(正常ユーザー端末)
DESCRIPTION OF SYMBOLS 1 Reception
B Sending terminal (normal user terminal)
Claims (6)
該受信パケットバッファ部に蓄積されたパケットの送信先のIPアドレスと、該パケットの送信元を確定することのできる個体識別番号とを関連づけて記録するテーブル部と、
所定時間内において、前記テーブル部に記録された同一の送信先IPアドレスに対する同一の個体識別番号を有するパケットの数を計数する計数部と、
該計数部の計数値が所定の値以上となった場合には、前記受信パケットバッファ部に蓄積された受信パケットを廃棄する廃棄制御部とを備えることを特徴とするDOS攻撃防御装置。 A reception packet buffer unit that receives and accumulates transmission packets from the transmission terminal;
A table part that records the IP address of the transmission destination of the packet stored in the reception packet buffer part in association with the individual identification number that can determine the transmission source of the packet;
A counting unit for counting the number of packets having the same individual identification number for the same destination IP address recorded in the table unit within a predetermined time;
A DOS attack defense apparatus, comprising: a discard control unit that discards a received packet stored in the received packet buffer unit when a count value of the counting unit exceeds a predetermined value.
該蓄積されたパケットの送信先のIPアドレスと、該パケットの送信元を確定することのできる個体識別番号とを関連づけて記録し、
所定時間内において、前記記録された同一の送信先IPアドレスに対する同一の個体識別番号を有するパケットの数を計数し、
該計数値が所定の値以上となった場合には、前記蓄積された受信パケットを廃棄することを特徴とするDOS攻撃防御方法。 Receive and store transmission packets from the sending terminal,
Record the IP address of the destination of the stored packet in association with the individual identification number that can determine the source of the packet;
Within a predetermined time, count the number of packets having the same individual identification number for the same recorded destination IP address,
A DOS attack protection method, comprising: discarding the accumulated received packets when the count value is equal to or greater than a predetermined value.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004098124A JP2005286716A (en) | 2004-03-30 | 2004-03-30 | Dos attack defending apparatus and defending method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004098124A JP2005286716A (en) | 2004-03-30 | 2004-03-30 | Dos attack defending apparatus and defending method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005286716A true JP2005286716A (en) | 2005-10-13 |
Family
ID=35184635
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004098124A Withdrawn JP2005286716A (en) | 2004-03-30 | 2004-03-30 | Dos attack defending apparatus and defending method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005286716A (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007195131A (en) * | 2005-12-19 | 2007-08-02 | Mitsubishi Heavy Ind Ltd | Control device and communication program |
JP2010218462A (en) * | 2009-03-18 | 2010-09-30 | Ricoh Co Ltd | Information processor, information processing method, and program |
JP2012205159A (en) * | 2011-03-26 | 2012-10-22 | Fujitsu Ltd | Flow-by-flow flow-rate supervision method, communication apparatus and program |
JP2017059874A (en) * | 2015-09-14 | 2017-03-23 | 株式会社デンソー | Buffer control device, communication node, and relay device |
JP6563615B1 (en) * | 2018-03-16 | 2019-08-21 | サスメド株式会社 | Fraud detection system and fraud detection device |
-
2004
- 2004-03-30 JP JP2004098124A patent/JP2005286716A/en not_active Withdrawn
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007195131A (en) * | 2005-12-19 | 2007-08-02 | Mitsubishi Heavy Ind Ltd | Control device and communication program |
JP2010218462A (en) * | 2009-03-18 | 2010-09-30 | Ricoh Co Ltd | Information processor, information processing method, and program |
JP2012205159A (en) * | 2011-03-26 | 2012-10-22 | Fujitsu Ltd | Flow-by-flow flow-rate supervision method, communication apparatus and program |
JP2017059874A (en) * | 2015-09-14 | 2017-03-23 | 株式会社デンソー | Buffer control device, communication node, and relay device |
WO2017047657A1 (en) * | 2015-09-14 | 2017-03-23 | 株式会社デンソー | Buffer control apparatus, communication node, and relay apparatus |
JP6563615B1 (en) * | 2018-03-16 | 2019-08-21 | サスメド株式会社 | Fraud detection system and fraud detection device |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8175096B2 (en) | Device for protection against illegal communications and network system thereof | |
US10284594B2 (en) | Detecting and preventing flooding attacks in a network environment | |
US10009365B2 (en) | System and method for integrated header, state, rate and content anomaly prevention for session initiation protocol | |
US9935974B2 (en) | Hardware-logic based flow collector for distributed denial of service (DDoS) attack mitigation | |
US7729271B2 (en) | Detection method for abnormal traffic and packet relay apparatus | |
US6816910B1 (en) | Method and apparatus for limiting network connection resources | |
EP2293513B1 (en) | Protecting Against Distributed Network Flood Attacks | |
US20140325648A1 (en) | Attack Defense Method and Device | |
KR101217647B1 (en) | Method and apparatus for defending against denial of service attacks in IP networks based on specified source/destination IP address pairs | |
WO2012090355A1 (en) | Communication system, forwarding node, received packet process method, and program | |
US20060153092A1 (en) | Active response communications network tap | |
US20060075084A1 (en) | Voice over internet protocol data overload detection and mitigation system and method | |
You et al. | Packet in message based DDoS attack detection in SDN network using OpenFlow | |
KR101067781B1 (en) | Method and apparatus for defending against denial of service attacks in IP networks by target victim self-identification and control | |
JP5870009B2 (en) | Network system, network relay method and apparatus | |
US7680062B2 (en) | Apparatus and method for controlling abnormal traffic | |
US20160269362A1 (en) | Network security system to intercept inline domain name system requests | |
Wu et al. | Fmd: A DoS mitigation scheme based on flow migration in software‐defined networking | |
JP3928866B2 (en) | DoS attack source detection method, DoS attack prevention method, session control device, router control device, program, and recording medium thereof | |
CN111181910B (en) | Protection method and related device for distributed denial of service attack | |
JP2005286716A (en) | Dos attack defending apparatus and defending method | |
JP2007259223A (en) | Defense system and method against illegal access on network, and program therefor | |
KR101065800B1 (en) | Network management apparatus and method thereof, user terminal for managing network and recoding medium thereof | |
KR20030009887A (en) | A system and method for intercepting DoS attack | |
US8646081B1 (en) | Method and system to detect a security event in a packet flow and block the packet flow at an egress point in a communication network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20070605 |