JP2006023934A - サービス拒絶攻撃防御方法およびシステム - Google Patents
サービス拒絶攻撃防御方法およびシステム Download PDFInfo
- Publication number
- JP2006023934A JP2006023934A JP2004200705A JP2004200705A JP2006023934A JP 2006023934 A JP2006023934 A JP 2006023934A JP 2004200705 A JP2004200705 A JP 2004200705A JP 2004200705 A JP2004200705 A JP 2004200705A JP 2006023934 A JP2006023934 A JP 2006023934A
- Authority
- JP
- Japan
- Prior art keywords
- server
- attack
- ops
- denial
- timer value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】レイヤ5以上の処理に対して行われるDoSまたはDDoS攻撃に対してサーバの負担の少ないサービス拒絶攻撃防御技術を提供する。
【解決手段】DoSまたはDDoS攻撃を受けたサーバ(SIPサーバ4)自身が、DoSまたはDDoS攻撃を検出し、検出情報をレイヤ4以下の情報にマッピングし、マッピングしたレイヤ4以下の情報を含む攻撃検出通知を当該サーバに対応するOpS6に通知する。通知を受けたOpS6が、マッピングしたレイヤ4以下の情報を基に、ネットワーク3の縁の部分に位置するエッジルータ1、2に対してフィルタリングの設定をする。
【選択図】 図6
【解決手段】DoSまたはDDoS攻撃を受けたサーバ(SIPサーバ4)自身が、DoSまたはDDoS攻撃を検出し、検出情報をレイヤ4以下の情報にマッピングし、マッピングしたレイヤ4以下の情報を含む攻撃検出通知を当該サーバに対応するOpS6に通知する。通知を受けたOpS6が、マッピングしたレイヤ4以下の情報を基に、ネットワーク3の縁の部分に位置するエッジルータ1、2に対してフィルタリングの設定をする。
【選択図】 図6
Description
本発明は、ネットワーク例えばISP(Internet Service Provider)網におけるDoS(Denial of Service)またはDDoS(Ditributed Denial of Service)攻撃に対するインターネットセキュリティ向上技術の分野に属する。
SIP(Session Initiation Protocol)サーバ、SMTP(Simple Mail Transfer Protocol)サーバなどの各種制御サーバのレイヤ5以上の処理に対して行われるDoSまたはDDoS攻撃(アプリケーション型サービス拒絶攻撃)から当該サーバを保護する対策としては、従来、〔1〕当該サーバ自身が当該攻撃を検知し、検知したトラヒックを排除する、〔2〕当該保護対象のマシンの手前にファイアウォールまたは、IDS(Intrusion Detection System)を設置し、当該攻撃を検知し、検知したトラヒックを排除する方策が採られている。また、〔3〕特許文献1「サーバ保護ネットワークシステム、サーバ及びルータ」では、サーバが攻撃された場合、攻撃者に近いルータにて攻撃パケットを廃棄するため、順次中継ルータを遡って辿っていく旨、特許文献2「サービス不能攻撃の防御方法及び装置ならびにそのコンピュータプログラム」では、サーバが攻撃された場合、攻撃者に近いルータにて攻撃パケットを廃棄するため、ネットワーク内の各拠点に専用装置を設置し、専用装置間で逐次攻撃情報を伝播し、攻撃トラヒックを上流で排除する旨、特許文献3「不正アクセス防御システム」では、攻撃をネットワークにて検出し、専用の遮断機器にて防御を行い、攻撃からネットワークを防御する旨提案している。
前述の従来の技術には以下の問題がある。〔1〕当該サーバマシン自身で攻撃を防御する場合、その防御処理自身に処理負荷がかかるだけでなく、当該サーバへ繋がる回線も、攻撃トラヒックで埋まる事になり、正当なユーザへのサービスの妨げになる可能性がある。また、〔2〕当該サーバの手前にファイアウォールまたは、IDSを設置する場合については、レイヤ5以上の攻撃を検知するのは難しいため、更に排除まで行うとなるとその装置自身、高価になるばかりでなく、そのスループットも制限される可能性が高い。また、〔3〕特許文献1の技術ではルータを辿るのに時間がかかり、特許文献2、3の技術では専用の装置が必要となる。
本発明の目的は、レイヤ5以上の処理に対して行われるDoSまたはDDoS攻撃(サービス拒絶攻撃)に対してサーバの負担の少ないサービス拒絶攻撃防御技術を提供することにある。
第1の発明は、ネットワークに接続されたサーバをレイヤ5以上の処理をターゲットとするDoSまたはDDOS攻撃から守るサービス拒絶攻撃防御方法であって、DoSまたはDDoS攻撃を受けたサーバ自身が、前記DoSまたはDDoS攻撃を検出し、検出情報をレイヤ4以下の情報にマッピングし、マッピングしたレイヤ4以下の情報を含む攻撃検出通知を当該サーバに対応するOpSに通知するステップと、通知を受けた前記OpSが、前記マッピングしたレイヤ4以下の情報を基に、前記ネットワークの縁の部分に位置するエッジルータに対してフィルタリングの設定をするステップと、を有することを特徴とする。第2の発明は、第1の発明において、前記サーバと前記OpSはそれぞれサーバのタイマ値とOpSのタイマ値を保持し、前記サーバが、前記攻撃検出通知を通知した後、前記サーバのタイマ値の間、攻撃検出通知を抑止するステップと、前記OpSが、前記フィルタリングの設定を行った後、前記OpSのタイマ値経過後、フィルタリング設定を解除するステップと、を有し、前記サーバのタイマ値と前記OpSのタイマ値は、「サーバのタイマ値<OpSのタイマ値」となる様に設定されることを特徴とする。第3の発明は、第1の発明において、前記サーバは第1のタイマ値と第2のタイマ値を保持し、前記サーバが、前記攻撃検出通知を通知した後、第1のタイマ値の間、攻撃検出通知を抑止するステップと、前記サーバが、前記攻撃検出通知を通知した後、第2のタイマ値経過後、フィルタリング設定の解除を前記OpSに通知するステップと、前記フィルタリング設定の解除の通知を受けた前記OpSが、前記マッピングしたレイヤ4以下の情報を基に、前記ネットワークのエッジルータに対してフィルタリング設定の解除をするステップと、を有し、前記第1のタイマ値と前記第2のタイマ値は、「第1のタイマ値<第2のタイマ値」となる様に設定されることを特徴とする。第4の発明は、第1ないし3の発明において、前記ネットワークはISP網であることを特徴とする。第5の発明は、第1ないし第4の発明において、OpSがフィルタリング設定を行うエッジルータは、前記ネットワークにおいて前記サーバを収容しているエッジルータおよび/または前記ネットワークの他のエッジルータであることを特徴とする。第6の発明は、第1ないし第5の発明において、前記通知はSNMPまたはtelnetのプロトコルを用いて行うことを特徴とする。第7の発明は、第1ないし6の発明において、検出情報のレイヤ4以下の情報へのマッピングは、レイヤ4以下のフィールド情報を抽出することによって行うことを特徴とする。第8の発明は、第7の発明において、抽出するレイヤ4以下のフィールド情報はソースアドレスであることを特徴とする。第9の発明は、第1ないし第8の発明を行うためのサービス拒絶攻撃防御システムであって、前記サーバと前記OpSとを備えることを特徴とする。
サーバ(制御サーバ)のみに於いて、攻撃の検出および攻撃トラヒックの排除を行う場合と比べて、本発明では、制御サーバは排除処理をする必要がなく、また、エッジルータが攻撃トラヒックの排除をしている間は、当該トラヒックの検出処理も行う必要が無いので、当該制御サーバに対して大きな負荷削減となる。また、排除処理を行うエッジルータと制御サーバの間に攻撃トラヒックが流れないことになり、その分正当なユーザを保護できる。また、DoS/DDoS攻撃の様に悪意のトラヒックではないが、設定ミスなどによる過失により、DoS/DDoS攻撃と同じトラヒックを生じさせてしまった場合に対しても当該トラヒックから、SIPサーバ延いては正当ユーザを保護できる。
以下、本発明の実施形態について説明する。
前述の従来の技術に於ける〔1〕の方法において、当該サーバはそもそもレイヤ5以上のインタフェースの解析を行うため、レイヤ5以上の攻撃を検知する処理については、さほど負荷の上昇にはならない。そこで、本実施形態では攻撃の検出は当該サーバ(制御サーバ)にて行うが、攻撃トラヒックを排除する処理は別のマシンにて行う。本実施形態におけるサーバ(制御サーバ)はレイヤ5以上の処理を行うものとする。攻撃トラヒックを排除する別のマシンの具体的なものとしては、ISPのネットワークに於いて当該制御サーバを収容しているエッジルータ、または、同ISP内の他のエッジルータを考える。ここで、当該エッジルータは、高スループットを確保するため、TCPなどのレイヤ4までのプロトコルを分析し、フィルタリング、レートリミットなどの処理をする事は可能であるが、レイヤ5以上のプロトコルの分析はできないものとする。なお、当該エッジルータがレイヤ5以上のプロトコルの解析ができるものであったとしても、本発明の実施形態によれば、当該エッジルータにレイヤ5以上のプロトコル解析を行わないように設定することができるので、当該エッジルータはレイヤ5以上のプロトコル解析の負担を負うことがない。
本実施形態の処理を実現するためには、(1)当該制御サーバで検出したトラヒックを特定する識別子をレイヤ4以下の識別子にマッピング(関連付け)する、(2)当該レイヤ4以下の識別子を当該エッジルータに伝播する手段を確立する、事が必要である。また、攻撃が終了した場合、攻撃トラヒックを排除する処理を解除する必要があるが、排除処理を当該サーバ自身にて行っている場合には、当該制御サーバはレイヤ5以上の処理を分析することができるから、攻撃終了を検出する事ができるが、エッジルータにて攻撃トラヒックを排除している場合、エッジルータでは、レイヤ5以上のインタフェースを分析する事ができないから、攻撃の終了を検出する事ができない。そこで、本実施形態の方式を実現するためには更に、(3)タイマーなどによる自動解除処理を行う必要があり、また、タイマーによる解除では、解除時に攻撃が続いている可能性があるため、当該制御サーバは定期的にタイマー処理を用いて、攻撃情報をエッジルータに伝播させる必要がある。
(1)、(2)、(3)の実現方法を説明するに当たり、本実施形態では、以下を前提とする。各制御サーバは専用のOpS(Operation System)(以下、単にOpSと記す)を持つこと。ISP内のエッジルータは、保守インタフェースとして、IPおよびTCPプロトコル上のSNMP(Simple Network Management Protocol)またはtelnetのインタフェースを持つこと。ISP内の各制御サーバと各エッジルータは、IPおよびTCPプロトコルによる保守ネットワークにより接続されていること。また、保守ネットワークと対ユーザサービス用のネットワークは物理的に同一回線でも良いが、その場合、フィルタリングなどの設定により、ユーザ端末からは、エッジルータや制御サーバの保守インタフェースにはアクセスできない様になっていること。
(1)「当該制御サーバで検出したトラヒックを特定する識別子をレイヤ4以下の識別子にマッピングする」点については、攻撃メッセージを持つパケットのレイヤ4以下のフィールド情報を抽出することにより実現する。なお、抽出するフィールド情報はフィルタリングを行うパケットを特定することができる情報であればよい。
(2)「当該レイヤ4以下の識別子を当該エッジルータに伝播する手段を確立する」点については、制御サーバが攻撃を検出した際、当該レイヤ4以下の情報をOpSに通知し、OpSは保守ネットワークを介し、SNMPまたはtelnetのプロトコルを用い、各エッジルータに攻撃トラヒックのフィルタリングの設定を行う。フィルタリング設定先のエッジルータのIPアドレス、およびフィルタリングを設定する回線識別子は予め、OpSに登録して置く。また、OpSがSNMPまたはtelnetのプロトコルを用いてエッジルータに設定する際、インタフェースでエッジルータ毎に異なる部分については、幾つかの主要な機種(ベンダー)についてOpSに予め盛り込まれて選択できるようになっており、OpS−エッジルータ間のインタフェースがより汎用的なものとなるようにする。
(3)「タイマーなどによる自動解除処理を行う」点については、2つの方式を提案する。「1つ目」は、制御サーバによる攻撃検出通知を頻繁に挙げることを防ぐため、攻撃検出通知を通知した後、タイマ値による通知抑止を行い、また、OpSでは、タイマ値の時間経過後、エッジルータに設定したフィルタリングの解除を行う。ここで、解除時に攻撃が終了していない場合、即、制御サーバより、検出通知がOpSに挙る様、「制御サーバのタイマ値<OpSのタイマ値」となる様にする方式である。「2つ目」は、タイマは制御サーバのみにて保持し、制御サーバは、攻撃検出通知を頻繁に挙げることを防ぐため、攻撃検出通知を通知した後、タイマ値による通知抑止を行い、また、攻撃検出通知を通知した後、別タイマにより、OpSに設定したフィルタリングの解除を依頼する。通知を受けたOpSは、エッジルータに設定したフィルタリングの解除を行う。ここで、解除時に攻撃が終了していない場合、即、制御サーバより、検出通知がOpSに挙る様、「制御サーバの通知抑止タイマ値<制御サーバのフィルタリング解除依頼タイマ値」となる様にする方式である。
以下、図面を用いて詳細に説明する。
図1は本機能(DoS/DDoS攻撃対策機能)を施さないネットワークの図面である。1〜2は各ISPのコアネットワークにて縁の部分に位置するエッジルータである。3は各ISPのコアネットワークおよび保守ネットワークである。4〜5は、ISP内でSIPやSMTPプロトコルを制御する制御サーバであり、6〜7はそれぞれに対応するOpSである。ここでは、SIPサーバ、SMTPサーバを例としている。8〜10はISPに加入するユーザの端末である。11〜17は各エッジルータおよび制御サーバの他エンティティとのインタフェースである。
尚、レイヤ3のヘッダーの例としてIPヘッダー21およびレイヤ4のヘッダの例としてTCPヘッダー22のフィールドの図面を図2に、レイヤ5以上のプロトコルの例としてSIPプロトコルのフィールドの図面を図3に示す。なお、図3に示すSIPプロトコルのフィールドは図2のData23内に格納される。
図1ではDoS/DDoS攻撃トラヒックを発するユーザ端末を8および9、正当なユーザ端末を10とする。
ユーザ端末8、9は各制御サーバに向けて、レイヤ5以上の処理を行う初期のメッセージを多数送信し、制御サーバおよびそこまでのネットワークを過負荷状態にし、正当ユーザ10がサービスを受けるのを妨害する。
以下では、制御サーバとして、SIPサーバ、SMTPサーバの例について述べる。それぞれ専用のOpS(サーバとOpSの数の比はM:N(M、Nは整数)とし、それぞれ対応関係を持つものとする)をもち、IPプロトコルで接続されているものとする。
SIPプロトコルのシーケンスを図4に、SMTPサーバからユーザ端末がメッセージのダウンロードを行う時に用いるPOP3(Post Office Protocol version 3)プロトコルのシーケンスを図5に記す。本発明の実施形態のシステムおよび処理を図6、7に示す。また、本発明の実施形態の処理のフローチャートについて図8、9に示す。
以下、本発明の実施例を図面を用いて説明する。
(実施例1)
図6に、制御サーバがSIPサーバである場合の実施例のシステムおよび処理を示す。尚、フィルタリングの解除方式としては、前述の「1つ目」の方式を例に記述する。「2つ目」を採用した場合でも同様にシステムを構築できる。
図6に、制御サーバがSIPサーバである場合の実施例のシステムおよび処理を示す。尚、フィルタリングの解除方式としては、前述の「1つ目」の方式を例に記述する。「2つ目」を採用した場合でも同様にシステムを構築できる。
条件として、SIPサーバ4は、TCP上のSIPプロトコル(RFC3261)のサーバとして動作し、本実施形態では、SIPサーバ4のインタフェース11にて、SIPプロトコルの図3でMethod31がINVITE41(図4参照)であるメッセージ(以下単にINVITEメッセージと記す)を受けるものとする。
SIPサーバ4では、インタフェース11にて、1秒当たり、または、10秒当たり、または、1分当たりのINVITEメッセージをIP Header21内のSource Address24(図2参照)毎に観測し、その数が設定値よりもオーバーした場合、SIPサーバ対応OpS6(以下、単に「OpS6」と記すことがある)に通知する(ここで、通知プロトコルは特に指定しない)。通知条件は、予めOpS6より設定できる様になっている。通知を頻繁に挙げないため、通知を挙げてから、設定されたタイマ値分の時間が経過するまでは通知は行わないものとする。通知条件およびタイマ値は、予めOpS6より設定できる様になっている。通知情報は、その設定値をオーバーしたパケットのSource Addressとする。通知を受けたOpS6は、エッジルータ(1、2など)に回線識別子および送信/受信側を指定して(例として、インタフェース13の送信側または15の送信側)フィルタリングの設定を行う。尚、通知先のエッジルータのAddressおよび設定対象の回線の識別子は予めOpS6に設定してあり、複数設定可能とする。エッジルータへ設定するプロトコルはSNMPまたはtelnetとし選択できる様になっている。更に上位のアプリケーションのインタフェースについては、対象となるエッジルータの種別毎に幾つかのパターンが準備されており、それらを選択できる様になっている。フィルタリングの設定内容は、Source Address24がSIPサーバより通知された情報、Destination Address25は通知の発信元のSIPサーバ4のIP Address、Protocol26は6(TCP)、Destination Port27は5060(SIPプロトコル処理用のPort番号)(以上、図2参照)のパケットをフィルタリングする。これにより、ユーザ端末8、9からのパケットはエッジルータにて排除され、ユーザ端末10からのトラヒックが保護される。OpS6は上記フィルタリングの設定を行ってから予め設定されたタイマ値分時間が経過した後、エッジルータにて当該フィルタリングの解除を行う。このときタイマ値の設定には、上記でのSIPサーバからの通知抑止のタイマ値よりも大きな値を入れるものとし、違反した場合には設定時に、エラーで弾くものとする。なお、本実施例では、INVITEメッセージを観測しているが、INVITE以外のメッセージを観測してもよい。
以下、図6に従って説明する。
[1]SIPサーバ4のインタフェース11はINVITEメッセージをモニタし、閾値を超えた場合、当該トラヒックのSource Addressを抽出する。
[2]SIPサーバ4は、抽出したSource AddressをSIPサーバ4に対応したOpS6に通知し、タイマ値設定時間の間、通知を抑制する。タイマ設定時間経過後は抑止を解除する。
[3]通知を受けたOpS6は、予め設定されたエッジルータ1、2および回線識別子に対し、そのエッジルータ1、2のインタフェース13、15にSNMPまたはtelenetで、「Source Address通知を受けたSource Address、Destination AddressはSIPサーバ4のアドレス、Protocolは6、Destination Portは5060」のパケットフィルタリングの設定をする。
[4]エッジルータ1のインタフェース13はSIPサーバ4への回線の出側にて設定されたルールに従いフィルタリングを行い、エッジルータ2のインタフェース15はユーザ収容エッジルータのコアネットワーク側回線の出側にて設定されたルールに従いフィルタリングを行う。
[5]OpS6はタイマ設定時間経過後、エッジルータ1、2のフィルタリングの設定を解除する。
[6]エッジルータ1、2はフィルタリングを解除する。
[1]SIPサーバ4のインタフェース11はINVITEメッセージをモニタし、閾値を超えた場合、当該トラヒックのSource Addressを抽出する。
[2]SIPサーバ4は、抽出したSource AddressをSIPサーバ4に対応したOpS6に通知し、タイマ値設定時間の間、通知を抑制する。タイマ設定時間経過後は抑止を解除する。
[3]通知を受けたOpS6は、予め設定されたエッジルータ1、2および回線識別子に対し、そのエッジルータ1、2のインタフェース13、15にSNMPまたはtelenetで、「Source Address通知を受けたSource Address、Destination AddressはSIPサーバ4のアドレス、Protocolは6、Destination Portは5060」のパケットフィルタリングの設定をする。
[4]エッジルータ1のインタフェース13はSIPサーバ4への回線の出側にて設定されたルールに従いフィルタリングを行い、エッジルータ2のインタフェース15はユーザ収容エッジルータのコアネットワーク側回線の出側にて設定されたルールに従いフィルタリングを行う。
[5]OpS6はタイマ設定時間経過後、エッジルータ1、2のフィルタリングの設定を解除する。
[6]エッジルータ1、2はフィルタリングを解除する。
次に、図8のフローチャートに従って説明する。ステップ81〜84、86はSIPサーバ4における処理であり、ステップ85、87はSIPサーバ対応OpS6における処理である。
・ステップ81:SIPサーバ4のインタフェース11でSIPプロトコルのINVITEメッセージの数が閾値を超えるか監視する。
・ステップ82:トラヒックが閾値を超えたかどうかを判断し、超えていなければステップ81に戻り、超えていればステップ83に進む。
・ステップ83:SIPサーバ対応OpS6に攻撃検出通知(当該トラヒックのSource Addressを含む)を通知する。
・ステップ84:SIPサーバ4はタイマを起動し、一定時間攻撃検出通知(攻撃検出メッセージ)を抑止する。
・ステップ85:通知を受けたSIPサーバ対応OpS6は登録されているエッジルータの回線識別子の送信または受信側に対し、Source Addressが通知されたSource Address、Destination Addressが通知を発しているSIPサーバ4のアドレス、Protocolが6、Destination Portが5060であるパケットのフィルタリングをSNMPまたはtelenetにて設定し、タイマを起動する。
・ステップ86:SIPサーバ対応OpS6のタイマより先にSIPサーバ4のタイマが終了し、SIPサーバ4のSIPサーバ対応OpS6に対する攻撃検知通知の抑止が終了する。
・ステップ87:SIPサーバ対応OpS6のタイマ終了により、SIPサーバ対応OpS6は設定したエッジルータに設定したフィルタを解除し、ステップ81に戻る。
・ステップ81:SIPサーバ4のインタフェース11でSIPプロトコルのINVITEメッセージの数が閾値を超えるか監視する。
・ステップ82:トラヒックが閾値を超えたかどうかを判断し、超えていなければステップ81に戻り、超えていればステップ83に進む。
・ステップ83:SIPサーバ対応OpS6に攻撃検出通知(当該トラヒックのSource Addressを含む)を通知する。
・ステップ84:SIPサーバ4はタイマを起動し、一定時間攻撃検出通知(攻撃検出メッセージ)を抑止する。
・ステップ85:通知を受けたSIPサーバ対応OpS6は登録されているエッジルータの回線識別子の送信または受信側に対し、Source Addressが通知されたSource Address、Destination Addressが通知を発しているSIPサーバ4のアドレス、Protocolが6、Destination Portが5060であるパケットのフィルタリングをSNMPまたはtelenetにて設定し、タイマを起動する。
・ステップ86:SIPサーバ対応OpS6のタイマより先にSIPサーバ4のタイマが終了し、SIPサーバ4のSIPサーバ対応OpS6に対する攻撃検知通知の抑止が終了する。
・ステップ87:SIPサーバ対応OpS6のタイマ終了により、SIPサーバ対応OpS6は設定したエッジルータに設定したフィルタを解除し、ステップ81に戻る。
以上のように、SIPサーバ4はステップ83でSIPサーバ対応OpS6に攻撃検出攻撃検知通知を通知した後、ステップ84でSIPサーバ4はタイマを起動し、一定時間攻撃検出通知を抑止するので、SIPサーバ4がSIPサーバ対応OpS6に必要以上に攻撃検出通知を通知することがない。また、ステップ86でSIPサーバ4のタイマが終了し攻撃検出通知の抑止が終了した後に、ステップ87でエッジルータのフィルタ解除が行われるので、その時点でもDoS/DDoS攻撃が継続している場合は、SIPサーバ4は、直ちにステップ82でトラフィックが閾値を超えていることを検知して、ステップ83でSIPサーバ対応OpS6に通知を行い、ステップ85でSIPサーバ対応OpS6はエッジルータに対してフィルタを設定して、DoS/DDoS攻撃に対して防御を行うことができる。
OpS6における設定画面の例を図10および11に示す。尚、本設定画面を開くに当たっては、予め対象とするSIPサーバが指定されているものとする。図10の100はOpS6におけるSIPサーバ攻撃検出・通知条件の設定画面である。101はSIPサーバ4の検出タイマ値(T0)であり、図の例ではSIPサーバ4の検出タイマ値として30secが入力されている。102は通知条件であり、/sec、/10sec、/minのうち一つを選択し、閾値を入力するようになっている。図の例では、閾値として1秒間に10回が入力されており、このように設定されたSIPサーバ4はSource Address毎に1秒当たりのメッセージを観測し、10回を超えるとOpS6に攻撃検出通知を通知することになる。以上の選択および入力を行った後、設定ボタン103をクリックすると、OpS6はSIPサーバ4に対して攻撃検出・通知条件を設定する。図11の110はエッジルータ防御設定条件の設定画面である。111は対象ルータの指定であり、新規または変更を選択し、IPアドレスを入力することによって対象ルータを指定する。112は回線識別子の設定であり、送信側または受信側を選択して回線識別子を入力する。113は設定タイマ値(T1)であり、図の例では60secが入力されている。図11に示すように、画面には「T1防御タイマ>T0検出タイマとなるよう設定のこと」と表示される。T1≦T0で設定しようとした場合はエラーメッセージが表示され、再入力するよう促される。114はMethodであり、SNMPまたはtelenetを選択し、ptnA〜ptnCを選択する。以上の選択および入力を行った後、設定ボタン115をクリックして設定する。
(実施例2)
図7に、制御サーバがSMTPサーバである場合の実施例のシステムおよび処理を示す。尚、フィルタリングの解除方式としては、前述の「1つ目」の方式を例に記述する。「2つ目」を採用した場合でも同様にシステムを構築できる。
図7に、制御サーバがSMTPサーバである場合の実施例のシステムおよび処理を示す。尚、フィルタリングの解除方式としては、前述の「1つ目」の方式を例に記述する。「2つ目」を採用した場合でも同様にシステムを構築できる。
条件として、SMTPサーバ5は、TCP上のPOP3プロトコル(RFC1939、他)のサーバとして動作し、本実施形態では、SIPサーバ4のインタフェース12にて、POP3プロトコルのUSERコマンド51(図5参照)(以下単にUSERコマンドと記す)を受けるものとする。
SMTPサーバ5では、インタフェース12にて、1秒当たり、または、10秒当たり、または、1分当たりのUSERコマンドをIPヘッダ21内のSource Address24(図2参照)毎に観測し、その数が設定値よりもオーバーした場合、SMTPサーバ対応OpS7(以下、単に「OpS7」と記すことがある)に通知する(ここで、通知プロトコルは特に指定しない)。通知条件は、予めOpS7より設定できる様になっている。通知を頻繁に挙げないため、通知を挙げてから、設定されたタイマ値分の時間が経過するまでは通知は行わないものとする。通知条件およびタイマ値は、予めOpS7より設定できる様になっている。通知情報は、その設定値をオーバーしたパケットのSource Addressとする。通知を受けたOpS7は、エッジルータ(1、2など)に回線識別子および送信/受信側を指定して(例として、インタフェース14の送信側または15の送信側)フィルタリングの設定を行う。尚、通知先のエッジルータのAddressおよび設定対象の回線の識別子は予めOpS7に設定してあり、複数設定可能とする。エッジルータへ設定するプロトコルはSNMPまたは、telnetとし選択できる様になっている。更に上位のアプリケーションのインタフェースについては、対象となるエッジルータの種別毎に幾つかのパターンが準備されており、それらを選択できる様になっている。フィルタリングの設定内容は、Source Address24がSIPサーバより通知された情報、Destination Address25は通知の発信元のSIPサーバ4のIP Address、Protocol26は6(TCP)、Destination Port27は110(POP3プロトコル処理用のport番号)(以上、図2参照)のパケットをフィルタリングする。これにより、ユーザ端末8、9からのパケットはエッジルータにて排除され、ユーザ端末10からのトラヒックが保護される。OpS7は上記フィルタリングの設定を行ってから予め設定されたタイマ値分時間が経過した後、エッジルータにて当該フィルタリングの解除を行う。このときタイマ値の設定には、上記でのSMTPサーバからの通知抑止のタイマ値よりも大きな値を入れるものとし、違反した場合には設定時に、エラーで弾くものとする。なお、本実施例ではPOP3プロトコルのUSERコマンドを観測しているが、他のコマンドを観測してもよく、また、SMTPプロトコルのコマンドを観測してもよい。
以下、図7に従って説明する。
[1]SMTPサーバ5のインタフェース12はUSERコマンドをモニタし、閾値を超えた場合、当該トラヒックのSource Addressを抽出する。
[2]SMTPサーバ5は、抽出したSource AddressをSMTPサーバ5に対応したOpS7に通知し、タイマ値設定時間の間、通知を抑制する。タイマ設定時間経過後は抑止を解除する。
[3]通知を受けたOpS7は、予め設定されたエッジルータ1、2および回線識別子に対し、そのエッジルータ1、2のインタフェース14、15にSNMPまたはtelenetで、「Source Addressは通知を受けたSource Address、Destination AddressはSMTPサーバ5のアドレス、Protocolは6、Destination Portは110」のパケットフィルタリングの設定をする。
[4]エッジルータ1のインタフェース14はSMTPサーバ5への回線の出側にて設定されたルールに従いフィルタリングを行い、エッジルータ2のインタフェース15はユーザ収容エッジルータのコアネットワーク側回線の出側にて設定されたルールに従いフィルタリングを行う。
[5]OpS7はタイマ設定時間経過後、エッジルータ1、2のフィルタリングの設定を解除する。
[6]エッジルータ1、2はフィルタリングを解除する。
[1]SMTPサーバ5のインタフェース12はUSERコマンドをモニタし、閾値を超えた場合、当該トラヒックのSource Addressを抽出する。
[2]SMTPサーバ5は、抽出したSource AddressをSMTPサーバ5に対応したOpS7に通知し、タイマ値設定時間の間、通知を抑制する。タイマ設定時間経過後は抑止を解除する。
[3]通知を受けたOpS7は、予め設定されたエッジルータ1、2および回線識別子に対し、そのエッジルータ1、2のインタフェース14、15にSNMPまたはtelenetで、「Source Addressは通知を受けたSource Address、Destination AddressはSMTPサーバ5のアドレス、Protocolは6、Destination Portは110」のパケットフィルタリングの設定をする。
[4]エッジルータ1のインタフェース14はSMTPサーバ5への回線の出側にて設定されたルールに従いフィルタリングを行い、エッジルータ2のインタフェース15はユーザ収容エッジルータのコアネットワーク側回線の出側にて設定されたルールに従いフィルタリングを行う。
[5]OpS7はタイマ設定時間経過後、エッジルータ1、2のフィルタリングの設定を解除する。
[6]エッジルータ1、2はフィルタリングを解除する。
次に、図9のフローチャートに従って説明する。ステップ91〜94、96はSMTPサーバ5における処理であり、ステップ95、97はSMTPサーバ対応OpS7における処理である。
・ステップ91:SMTPサーバ5のインタフェース12でPOP3プロトコルのUSERコマンドの数が閾値を超えるか監視する。
・ステップ92:トラヒックが閾値を超えたかどうかを判断し、超えていなければステップ91に戻り、超えていればステップ93に進む。
・ステップ93:SMTPサーバ対応OpS7に攻撃検出通知(当該トラヒックのSource Addressを含む)を通知する。
・ステップ94:SIPサーバ4はタイマを起動し、一定時間攻撃検出通知(攻撃検出メッセージ)を抑止する。
・ステップ95:通知を受けたSMTPサーバ対応OpS7は登録されているエッジルータの回線識別子の送信または受信側に対し、Source Addressが通知されたSource Address、Destination Addressが通知を発しているSMTPサーバ5のアドレス、Protocolが6、Destination Portが110」のパケットフィルタリングをSNMPまたはtelenetにて設定し、タイマを起動する。
・ステップ96:SMTPサーバ対応OpS7のタイマより先にSMTPサーバ5のタイマが終了し、SMTPサーバ5のSIPサーバ対応OpS7に対する攻撃検出通知の抑止が終了する。
・ステップ97:SMTPサーバ対応OpS7のタイマ終了により、SMTPサーバ対応OpS7は設定したエッジルータに設定したフィルタを解除し、ステップ91に戻る。
・ステップ91:SMTPサーバ5のインタフェース12でPOP3プロトコルのUSERコマンドの数が閾値を超えるか監視する。
・ステップ92:トラヒックが閾値を超えたかどうかを判断し、超えていなければステップ91に戻り、超えていればステップ93に進む。
・ステップ93:SMTPサーバ対応OpS7に攻撃検出通知(当該トラヒックのSource Addressを含む)を通知する。
・ステップ94:SIPサーバ4はタイマを起動し、一定時間攻撃検出通知(攻撃検出メッセージ)を抑止する。
・ステップ95:通知を受けたSMTPサーバ対応OpS7は登録されているエッジルータの回線識別子の送信または受信側に対し、Source Addressが通知されたSource Address、Destination Addressが通知を発しているSMTPサーバ5のアドレス、Protocolが6、Destination Portが110」のパケットフィルタリングをSNMPまたはtelenetにて設定し、タイマを起動する。
・ステップ96:SMTPサーバ対応OpS7のタイマより先にSMTPサーバ5のタイマが終了し、SMTPサーバ5のSIPサーバ対応OpS7に対する攻撃検出通知の抑止が終了する。
・ステップ97:SMTPサーバ対応OpS7のタイマ終了により、SMTPサーバ対応OpS7は設定したエッジルータに設定したフィルタを解除し、ステップ91に戻る。
以上のように、SMTPサーバ5はステップ93でSMTPサーバ対応OpS7に攻撃検出通知を通知した後、ステップ94でSMTPサーバ5はタイマを起動し、一定時間攻撃検出通知を抑止するので、SMTPサーバ5がSMTPサーバ対応OpS7に必要以上に攻撃検出通知を通知することがない。また、ステップ96でSMTPサーバ5のタイマが終了し攻撃検出通知の抑止が終了した後に、ステップ97でエッジルータのフィルタ解除が行われるので、その時点でもDoS/DDoS攻撃が継続している場合は、SMTPサーバ5は、直ちにステップ92でトラフィックが閾値を超えていることを検知して、ステップ93でSMTPサーバ対応OpS7に通知を行い、ステップ95でSMTPサーバ対応OpS7はエッジルータに対してフィルタを設定して、DoS/DDoS攻撃に対して防御を行うことができる。
OpS7における設定画面の例を図11および12に示す。尚、本設定画面を開くに当たっては、予め対象とするSMTPサーバが指定されているものとする。図12の120はOpS7におけるSMTPサーバ攻撃検出・通知条件の設定画面である。この設定画面は図10の設定画面と同様であるので、説明は省略する。図13の130はエッジルータ防御設定条件の設定画面である。この設定画面は図11の設定画面と同じであるので、説明は省略する。
以上説明した実施例ではSIPサーバ、SMTPサーバを用いているがその他のサーバを用いてもよいことは明らかである。また、実施形態、実施例のサーバ、OpSはコンピュータとプログラムで構成してもよい。
以上説明したように、本発明の実施形態では、特許文献1のように中継ルータを辿ることはせず、コアネットワークの縁に位置する全エッジルータまたは指定したエッジルータへ直接廃棄を依頼する方式を採用している。また、本発明の実施形態は、特許文献2のような専用装置は使用せず、一般のルータで排除を行うものであり、特許文献3のようなネットワークでの検出は行わず、サーバで検出を行い、ネットワーク側の装置と連携して攻撃パケットを廃棄するものである。
以上、本発明者によってなされた発明を、前記実施形態、実施例に基づき具体的に説明したが、本発明は、前記実施形態、実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
1 制御サーバを収容するISPのエッジルータ
2 加入者を収容するISPのエッジルータ
3 ISPコアネットワークおよび保守用ネットワーク
4 自ISPにて1のエッジルータに収容されるSIPサーバ
5 自ISPにて1のエッジルータに収容されるSMTPサーバ
6 4に対応するOpS
7 5に対応するOpS
8〜10 ISPにて2のエッジルータに収容されるユーザ端末。
11〜12 4〜5の制御サーバにおける1のエッジルータ側のインタフェース
13〜14 1のエッジルータにおける4〜5の制御サーバ側のインタフェース
15 2のエッジルータにおける3のISPコアネットワーク側のインタフェース
16〜17 2のエッジルータにおける8〜10のユーザ端末側のインタフェース
2 加入者を収容するISPのエッジルータ
3 ISPコアネットワークおよび保守用ネットワーク
4 自ISPにて1のエッジルータに収容されるSIPサーバ
5 自ISPにて1のエッジルータに収容されるSMTPサーバ
6 4に対応するOpS
7 5に対応するOpS
8〜10 ISPにて2のエッジルータに収容されるユーザ端末。
11〜12 4〜5の制御サーバにおける1のエッジルータ側のインタフェース
13〜14 1のエッジルータにおける4〜5の制御サーバ側のインタフェース
15 2のエッジルータにおける3のISPコアネットワーク側のインタフェース
16〜17 2のエッジルータにおける8〜10のユーザ端末側のインタフェース
Claims (9)
- ネットワークに接続されたサーバをレイヤ5以上の処理をターゲットとするDoSまたはDDOS攻撃から守るサービス拒絶攻撃防御方法であって、
DoSまたはDDoS攻撃を受けたサーバ自身が、前記DoSまたはDDoS攻撃を検出し、検出情報をレイヤ4以下の情報にマッピングし、マッピングしたレイヤ4以下の情報を含む攻撃検出通知を当該サーバに対応するOpSに通知するステップと、
通知を受けた前記OpSが、前記マッピングしたレイヤ4以下の情報を基に、前記ネットワークの縁の部分に位置するエッジルータに対してフィルタリングの設定をするステップと、
を有することを特徴とするサービス拒絶攻撃防御方法。 - 請求項1記載のサービス拒絶攻撃防御方法であって、
前記サーバと前記OpSはそれぞれサーバのタイマ値とOpSのタイマ値を保持し、
前記サーバが、前記攻撃検出通知を通知した後、前記サーバのタイマ値の間、攻撃検出通知を抑止するステップと、
前記OpSが、前記フィルタリングの設定を行った後、前記OpSのタイマ値経過後、フィルタリング設定を解除するステップと、
を有し、前記サーバのタイマ値と前記OpSのタイマ値は、「サーバのタイマ値<OpSのタイマ値」となる様に設定されることを特徴とするサービス拒絶攻撃防御方法。 - 請求項1記載のサービス拒絶攻撃防御方法であって、
前記サーバは第1のタイマ値と第2のタイマ値を保持し、
前記サーバが、前記攻撃検出通知を通知した後、第1のタイマ値の間、攻撃検出通知を抑止するステップと、
前記サーバが、前記攻撃検出通知を通知した後、第2のタイマ値経過後、フィルタリング設定の解除を前記OpSに通知するステップと、
前記フィルタリング設定の解除の通知を受けた前記OpSが、前記マッピングしたレイヤ4以下の情報を基に、前記ネットワークのエッジルータに対してフィルタリング設定の解除をするステップと、
を有し、前記第1のタイマ値と前記第2のタイマ値は、「第1のタイマ値<第2のタイマ値」となる様に設定されることを特徴とするサービス拒絶攻撃防御方法。 - 請求項1ないし3のうちいずれか1項記載のサービス拒絶攻撃防御方法であって、
前記ネットワークはISP網であることを特徴とするサービス拒絶攻撃防御方法。 - 請求項1ないし4のうちいずれか1項記載のサービス拒絶攻撃防御方法であって、
OpSがフィルタリング設定を行うエッジルータは、前記ネットワークにおいて前記サーバを収容しているエッジルータおよび/または前記ネットワークの他のエッジルータであることを特徴とするサービス拒絶攻撃防御方法。 - 請求項1ないし5のうちいずれか1項記載のサービス拒絶攻撃防御方法であって、
前記通知はSNMPまたはtelnetのプロトコルを用いて行うことを特徴とするサービス拒絶攻撃防御方法。 - 請求項1ないし6のうちいずれか1項記載のサービス拒絶攻撃防御方法であって、
検出情報のレイヤ4以下の情報へのマッピングは、レイヤ4以下のフィールド情報を抽出することによって行うことを特徴とするサービス拒絶攻撃防御方法。 - 請求項7記載のサービス拒絶攻撃防御方法であって、
抽出するレイヤ4以下のフィールド情報はソースアドレスであることを特徴とするサービス拒絶攻撃防御方法。 - 請求項1ないし8のうちいずれか1項記載のサービス拒絶攻撃防御方法を行うためのサービス拒絶攻撃防御システムであって、
前記サーバと前記OpSとを備えることを特徴とするサービス拒絶攻撃防御システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004200705A JP4322179B2 (ja) | 2004-07-07 | 2004-07-07 | サービス拒絶攻撃防御方法およびシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004200705A JP4322179B2 (ja) | 2004-07-07 | 2004-07-07 | サービス拒絶攻撃防御方法およびシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006023934A true JP2006023934A (ja) | 2006-01-26 |
| JP4322179B2 JP4322179B2 (ja) | 2009-08-26 |
Family
ID=35797172
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004200705A Expired - Fee Related JP4322179B2 (ja) | 2004-07-07 | 2004-07-07 | サービス拒絶攻撃防御方法およびシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4322179B2 (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007062010A2 (en) * | 2005-11-23 | 2007-05-31 | Nextpoint Networks, Inc. | Method for responding to denial of service attacks at the session layer or above |
| JP2007200323A (ja) * | 2006-01-27 | 2007-08-09 | Nec Corp | Sipベースのアプリケーションを保護する方法 |
| JP2008154236A (ja) * | 2006-12-13 | 2008-07-03 | Avaya Technology Llc | 通信エンドポイントにおける組み込みファイアウォール |
| JP2008178100A (ja) * | 2007-01-19 | 2008-07-31 | Hewlett-Packard Development Co Lp | コンピュータネットワークをパケットフラッド(flood)から保護するための方法及びシステム |
| US8307418B2 (en) | 2010-03-16 | 2012-11-06 | Genband Inc. | Methods, systems, and computer readable media for providing application layer firewall and integrated deep packet inspection functions for providing early intrusion detection and intrusion prevention at an edge networking device |
| KR101380015B1 (ko) * | 2009-09-22 | 2014-04-14 | 한국전자통신연구원 | 분산서비스거부 공격에 대한 협업형 방어 방법 및 그 장치 |
| JP2017046338A (ja) * | 2015-08-26 | 2017-03-02 | 大同股▲ふん▼有限公司 | 身元確認方法、同方法を用いるIoTゲートウェイ装置、及び検証ゲートウェイ装置 |
-
2004
- 2004-07-07 JP JP2004200705A patent/JP4322179B2/ja not_active Expired - Fee Related
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007062010A2 (en) * | 2005-11-23 | 2007-05-31 | Nextpoint Networks, Inc. | Method for responding to denial of service attacks at the session layer or above |
| WO2007062010A3 (en) * | 2005-11-23 | 2009-04-30 | Nextpoint Networks Inc | Method for responding to denial of service attacks at the session layer or above |
| US7716729B2 (en) | 2005-11-23 | 2010-05-11 | Genband Inc. | Method for responding to denial of service attacks at the session layer or above |
| JP2007200323A (ja) * | 2006-01-27 | 2007-08-09 | Nec Corp | Sipベースのアプリケーションを保護する方法 |
| US8085763B2 (en) | 2006-01-27 | 2011-12-27 | Nec Corporation | Method for protecting SIP-based applications |
| JP4692776B2 (ja) * | 2006-01-27 | 2011-06-01 | 日本電気株式会社 | Sipベースのアプリケーションを保護する方法 |
| JP4620107B2 (ja) * | 2006-12-13 | 2011-01-26 | アバイア テクノロジー エルエルシー | 通信エンドポイントにおける組み込みファイアウォール |
| JP2008154236A (ja) * | 2006-12-13 | 2008-07-03 | Avaya Technology Llc | 通信エンドポイントにおける組み込みファイアウォール |
| US8302179B2 (en) | 2006-12-13 | 2012-10-30 | Avaya Inc. | Embedded firewall at a telecommunications endpoint |
| JP2008178100A (ja) * | 2007-01-19 | 2008-07-31 | Hewlett-Packard Development Co Lp | コンピュータネットワークをパケットフラッド(flood)から保護するための方法及びシステム |
| JP4694578B2 (ja) * | 2007-01-19 | 2011-06-08 | ヒューレット−パッカード デベロップメント カンパニー エル.ピー. | コンピュータネットワークをパケットフラッド(flood)から保護するための方法及びシステム |
| KR101380015B1 (ko) * | 2009-09-22 | 2014-04-14 | 한국전자통신연구원 | 분산서비스거부 공격에 대한 협업형 방어 방법 및 그 장치 |
| US8307418B2 (en) | 2010-03-16 | 2012-11-06 | Genband Inc. | Methods, systems, and computer readable media for providing application layer firewall and integrated deep packet inspection functions for providing early intrusion detection and intrusion prevention at an edge networking device |
| JP2017046338A (ja) * | 2015-08-26 | 2017-03-02 | 大同股▲ふん▼有限公司 | 身元確認方法、同方法を用いるIoTゲートウェイ装置、及び検証ゲートウェイ装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4322179B2 (ja) | 2009-08-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101107742B1 (ko) | 에스아이피(sip) 기반 서비스의 보호를 위한 sip 침입 탐지 및 대응 시스템 | |
| AU2015255980B2 (en) | System and methods for reducing impact of malicious activity on operations of a wide area network | |
| CN108040057B (zh) | 适于保障网络安全、网络通信质量的sdn系统的工作方法 | |
| US7930740B2 (en) | System and method for detection and mitigation of distributed denial of service attacks | |
| US20040148520A1 (en) | Mitigating denial of service attacks | |
| JP2007060379A (ja) | Sipサーバにおける攻撃防御方法、システム及びプログラム | |
| US9641485B1 (en) | System and method for out-of-band network firewall | |
| KR20130124692A (ko) | 유해 트래픽의 필터링 정보 관리 시스템 및 그 방법 | |
| EP2597839A1 (en) | Transparen Bridge Device for protecting network services | |
| JP4284248B2 (ja) | アプリケーションサービス拒絶攻撃防御方法及びシステム並びにプログラム | |
| JP4322179B2 (ja) | サービス拒絶攻撃防御方法およびシステム | |
| JP4278593B2 (ja) | アプリケーション型サービス不能攻撃に対する防御方法およびエッジ・ルータ | |
| JP2007267151A (ja) | 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム | |
| JP2006067078A (ja) | ネットワークシステムおよび攻撃防御方法 | |
| JP2003289337A (ja) | 通信網およびルータおよび分散型サービス拒絶攻撃検出防御方法 | |
| WO2019035488A1 (ja) | 制御装置、通信システム、制御方法及びコンピュータプログラム | |
| KR101466895B1 (ko) | VoIP 불법 검출 방법, 이를 수행하는 VoIP 불법 검출 장치 및 이를 저장하는 기록매체 | |
| Cisco | Configuring Context-Based Access Control | |
| JP2010226635A (ja) | 通信サーバおよびDoS攻撃防御方法 | |
| EP2109279B1 (en) | Method and system for mitigation of distributed denial of service attacks using geographical source and time information | |
| US20070113290A1 (en) | Method of detecting and preventing illicit use of certain network protocols without degrading legitimate use thereof | |
| KR101231801B1 (ko) | 네트워크 상의 응용 계층 보호 방법 및 장치 | |
| Phit et al. | A protocol specification-based intrusion detection system for voip and its evaluation | |
| JP2004166029A (ja) | 分散型サービス拒絶防御方法およびシステム、ならびにそのプログラム | |
| JP2008028720A (ja) | 送信元ipアドレス詐称ipパケットを制御可能なipネットワーク装置および送信元ipアドレス詐称ipパケット制御方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060718 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20081226 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090120 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090318 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090526 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090602 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120612 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130612 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140612 Year of fee payment: 5 |
|
| LAPS | Cancellation because of no payment of annual fees |