JP2006025190A - アプリケーション型サービス拒絶防御方法 - Google Patents

アプリケーション型サービス拒絶防御方法 Download PDF

Info

Publication number
JP2006025190A
JP2006025190A JP2004201663A JP2004201663A JP2006025190A JP 2006025190 A JP2006025190 A JP 2006025190A JP 2004201663 A JP2004201663 A JP 2004201663A JP 2004201663 A JP2004201663 A JP 2004201663A JP 2006025190 A JP2006025190 A JP 2006025190A
Authority
JP
Japan
Prior art keywords
server
user terminal
traffic
edge router
protocol
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004201663A
Other languages
English (en)
Other versions
JP4152356B2 (ja
Inventor
Hitoshi Kaneko
斉 金子
Masaru Katayama
勝 片山
Takafumi Hamano
貴文 濱野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2004201663A priority Critical patent/JP4152356B2/ja
Publication of JP2006025190A publication Critical patent/JP2006025190A/ja
Application granted granted Critical
Publication of JP4152356B2 publication Critical patent/JP4152356B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】 DoS/DDoS攻撃を防御する際に、サーバの負荷を軽減させると共に、検出から排除までのタイムラグを短くする。また、現行のネットワーク構成を変えることなく、また、新たな機器を追加設置することなくセキュリティの向上を図る。
【解決手段】 ユーザ端末から到着するトラヒックについて、そのユーザ端末に割当てられた識別情報に基づきそのトラヒックの宛先アドレスおよびプロトコルおよび宛先ポートが当該識別情報に対応してあらかじめ指定された宛先アドレスおよびプロトコル種別および宛先ポートと一致したときには、指定された制限帯域に従い、当該トラヒックの帯域を制限する。サーバが接続されたエッジルータに到着するサーバ宛のトラヒックについて、そのトラヒックのプロトコルまたは宛先ポートがあらかじめ指定されたプロトコル種別または宛先ポート以外のトラヒックについてはこれを排除する。
【選択図】 図1

Description

本発明は、IP(Internet Protocol)ネットワークにおけるDoS(Denial
of Service)またはDDoS(Distribute Denial of Service)攻撃に対するインターネット・セキュリティ技術に関する。
SIP(Session Initiation Protocol)サーバ、SMTP(Simple
Mail Transfer Protocol)サーバなどの各種エンドノードのレイヤ5以上の処理に対して行われるDoS/DDoS攻撃から当該サーバを保護する対策としては、従来、(1)当該サーバ自身が当該攻撃を検知し、検知したトラヒックを排除する、(2)当該保護対象のマシンの手前にファイアウォールまたはIDS(Intrusion
Detection System)を設置し、レイヤ5以上の情報を分析することにより、当該攻撃を検知し、検知したトラヒックを排除する方策が採られている。
このような従来の技術には以下の問題がある。(1)当該サーバマシン自身で攻撃を防御する場合は、その防御処理自身に処理負荷がかかるだけでなく、当該サーバへ繋がる回線も、攻撃トラヒックで埋まることになり、正当なユーザへのサービスの妨げになる可能性がある。
また、(2)当該サーバの手前にファイアウォールまたはIDSを設置する場合については、レイヤ5以上の攻撃を検知するのは難しいため、さらに、排除まで行うとなるとその装置自身、高価になるばかりでなく、そのスループットも制限される可能性が高い。
このような従来の問題を解決するために、例えば、特許文献1では、サーバが攻撃された場合に、攻撃者に近いルータにて攻撃パケットを廃棄するため、ネットワーク内の各拠点に専用装置を設置し、専用装置間で逐次攻撃情報を伝播し、攻撃トラヒックを上流で排除する旨提案されている。
また、特許文献2では、攻撃をネットワークにて検出し、専用の遮断機器にて防御を行い、攻撃からネットワークを防御する旨提案している。ただし、特許文献2の提案は、レイヤ4以下の攻撃を対象としている。
特開2003−283571号公報 特開2002−158660号公報
特許文献1および2の提案では、いずれも専用装置あるいは専用の遮断機器の設置が必要になる。さらに、これらの専用装置間の通信あるいは専用の遮断機器に指示を与えるための通信が必要になる。したがって、現行のネットワーク構成を変更する必要があり、また、新たな専用装置あるいは専用の遮断機器の追加設置には費用を要する。また、特許文献2の提案はレイヤ5以上の攻撃を検知できない。
本発明は、このような背景に行われたものであって、サーバに負荷がかからず、また、攻撃の検出から排除までのタイムラグが短いアプリケーション型サービス拒絶防御方法を現行のネットワーク構成を変えることなく、また、新たな機器を追加設置することなく提供することを目的とする。
従来は、サーバなどの各種エンドノードのレイヤ5以上の処理に対して行われるDoS/DDoS攻撃の検出処理としてレイヤ5以上の情報を基に行っているが、攻撃の対象となるレイヤ5以上の処理を司るプロトコルには通常ウェルノウンポート番号が割当てられており、この情報を運ぶTCP(Transmission Control Protocol)パケットのポート番号は、このポート番号が設定されていることになっている。
ここで、前提として、DoS/DDoS攻撃は、サーバなどの各種エンドノードが処理を行うレイヤ5以上のTCP上のウェルノウンポート番号を持つプロトコル処理への攻撃であるとする。上記ルール等を利用することにより、このプロトコルに基づく情報を多量にサーバに送付することによりこのサーバをサービス不能状態に陥れる所謂フラッド型の攻撃に対しては、この情報を運ぶTCPパケットのトラヒック量を監視することにより、DoS/DDoS攻撃を検出することができる。
具体的には、まず、当該サーバを収容するエッジルータあるいは当該サーバと当該エッジルータとの間に設置されるゲートウェイまたはスイッチまたはルータにて「IP headerのDestination AddressがこのエンドノードのIP address、Protocolが6(TCPプロトコルの番号)、TCP headerのDestination portは、このエンドノードが司るレイヤ5以上のプロトコルに割当てられたウェルノウンポート番号」であるパケットのみが通過できるように、このエッジルータ、ゲートウェイ、スイッチ、ルータのこのエンドノードへの出口回線に設定する。
なお、ユーザ端末とエッジルータとの間に設置されたゲートウェイ、スイッチ、ルータは、このエッジルータからの回線を分岐するノードなので、以降の説明では、これらを総称して“分岐ノード”と呼ぶことにする。
これにより、このエッジルータまたは分岐ノードとこのエンドノードとの間の回線をUDPプロトコルを用いた過負荷型の攻撃トラヒックやTCPプロトコルでもport番号が5060でない攻撃パケットから防御できるので当該回線の輻輳を防ぐことができる。
次に、このエンドノードが収容するユーザ端末を収容するエッジルータまたは分岐ノードにて、各ユーザ端末毎にユーザを識別するIDを割当てる。そしてこのエッジルータまたは分岐ノードにて「ユーザを識別するIDがこのユーザ端末に割当てられたユーザを識別するID、IP headerのDestination AddressがこのエンドノードのIP address、Protocolが6(TCPプロトコルの番号)、TCP
headerのDestination portは、このエンドノードが司るレイヤ5以上のプロトコルに割当てられたウェルノウンポート番号、制限帯域設定値は通常ユーザがこのエンドノードを使用する場合に十分な値(設定値は保守者が決める)」として制限帯域を設定する。
本設定を施すことにより、ユーザ端末から攻撃トラヒックが発せられた場合でも、そのトラヒックは、通常の使用でユーザが使用するレベルまで抑えられる。また、ユーザ端末がこのエッジルータに直収されている場合(間に分岐ノードが無く、このエッジルータの1つの回線を1つのユーザ端末が占有している場合)については、ユーザ端末にIDを割当てる代わりに当該ユーザ端末が占有している特定回線を識別することによって、当該ユーザ端末からのトラヒックを識別することができる。この場合には「ユーザを識別するIDがこのユーザ端末に割当てられたユーザを識別するID」の条件は外すものとする。
例えば、特許文献1では、サーバが攻撃された場合に、攻撃者に近いルータにて攻撃パケットを廃棄するため、ネットワーク内の各拠点に専用装置を設置し、専用装置間で逐次攻撃情報を伝播し、攻撃トラヒックを上流で排除する旨提案されているが、本発明のアプリケーション型サービス拒絶防御方法は、ノード間で攻撃情報を伝播することはせず、攻撃先収容ノードと攻撃トラヒックを発出するユーザ端末収容ノードにて静的に攻撃を防御することを特徴とする。
また、特許文献2では、攻撃をネットワークにて検出し、専用の遮断機器にて防御を行い、攻撃からネットワークを防御する旨提案しており、防御の対象としてレイヤ4以下の攻撃を対象としているが、本発明のアプリケーション型サービス拒絶防御方法は、主にレイヤ5以上の攻撃を対象としている点が異なる。
さらに、本発明のアプリケーション型サービス拒絶防御方法を実現するために、新たに専用装置あるいは専用の遮断機器を追加設置する必要はなく、はじめからネットワークに備えられているエッジルータその他のノードを、その制御手順に変更を施すだけで利用することができる。
すなわち、本発明は、コアネットワークと、このコアネットワークのエッジルータと、このエッジルータからの回線を分岐する分岐ノードと、前記エッジルータと直接あるいは前記分岐ノードを介して接続される複数のユーザ端末と、このユーザ端末が接続された前記エッジルータとは異なるエッジルータと直接あるいは前記分岐ノードを介して接続されるサーバとを備えたネットワーク・システムで、前記ユーザ端末から前記サーバに対するDoSあるいはDDoS攻撃を防御するアプリケーション型サービス拒絶防御方法である。
ここで、本発明の特徴とするところは、複数の前記ユーザ端末毎に識別情報を割当て、この識別情報単位に、前記サーバの宛先アドレスと、前記サーバと前記ユーザ端末との間で使用するプロトコル種別と、前記サーバの宛先ポートと、前記サーバと前記ユーザ端末との間の通常の信号処理を行うに十分な帯域による制限帯域とを指定する情報とを前記ユーザ端末が接続された前記エッジルータまたは前記分岐ノードに設定するステップと、前記ユーザ端末から前記エッジノードまたは前記分岐ノードに到着するトラヒックについて、そのユーザ端末に割当てられた識別情報に基づきそのトラヒックの宛先アドレスおよびプロトコルおよび宛先ポートが当該識別情報に対応してあらかじめ指定された前記宛先アドレスおよび前記プロトコル種別および前記宛先ポートと一致したときには、前記指定された制限帯域に従い、当該トラヒックの帯域を制限するステップと、前記サーバが接続された前記エッジルータに、前記サーバの宛先アドレスと、前記ユーザ端末と前記サーバとの間で使用するプロトコル種別と、前記サーバの宛先ポートとを指定する情報を設定するステップと、前記サーバが接続された前記エッジルータに到着する前記サーバ宛のトラヒックについて、そのトラヒックのプロトコルまたは宛先ポートがあらかじめ指定されたプロトコル種別または宛先ポート以外のトラヒックについてはこれを排除するステップとを実行するところにある(請求項1)。
また、前記サーバが前記分岐ノードを介して前記エッジルータと接続されているときには、前記サーバが接続された前記エッジルータまたは前記分岐ノードに、前記サーバの宛先アドレスと、前記ユーザ端末と前記サーバとの間で使用するプロトコル種別と、前記サーバの宛先ポートとを指定する情報を設定するステップと、前記エッジルータまたは前記分岐ノードにおいて、前記サーバ宛のトラヒックについて、そのトラヒックのプロトコルまたは宛先ポートがあらかじめ指定されたプロトコル種別または宛先ポート以外のトラヒックについてはこれを排除するステップとを実行することができる(請求項2)。
このように、エッジルータ以外でもサーバが接続されている前記分岐ノードにおいて、前記排除するステップを実行することができる。
また、前記ユーザ端末が前記エッジルータに直接収容され、当該ユーザ端末が当該エッジルータの特定回線を占有しているときには、当該ユーザ端末への識別情報の割当てを行う代わりに当該特定回線を識別することによって当該ユーザ端末からのトラヒックを識別するステップを実行することができる(請求項3)。
また、前記ユーザ端末と前記エッジルータとの間に前記分岐ノードが設置されているときには、前記分岐ノードは、前記ユーザ端末とそのトラヒックが到着する回線との対応関係に基づき前記ユーザ端末に割当てられた識別情報の詐称を監視し、詐称を検知したときには当該詐称された識別情報を正しい識別情報により上書きするステップを実行することができる(請求項4)。
すなわち、エッジルータとユーザ端末とが直接接続されている場合には、当該ユーザ端末からトラヒックが到着する回線をエッジルータが認識できるので、もし、識別情報の詐称が行われても、エッジルータはこれを発見することができる。
しかし、エッジルータとユーザ端末との間に前記分岐ノードが設置されており、さらに、前記分岐ノードには複数のユーザ端末が接続されてる場合には、これら複数のユーザ端末間で相互に識別情報の詐称が行われてもエッジルータは、これを見破ることができない。
これに対し、ユーザ端末と直接接続される前記分岐ノードにおいては、そのユーザ端末からのトラヒックが到着する回線を認識できるので、もし、識別情報の詐称が行われてもこれを発見することができる。そこで、前記分岐ノードにおいて識別情報の詐称を検知したら正しい識別情報を上書きすることにより、識別情報の詐称を回避することができる。
本発明によれば、サーバにて、攻撃の検出および攻撃トラヒックの検出または排除を行う場合と比べて、サーバには負荷がかからず、また、検出から排除までのタイムラグも無いため、サーバが高負荷となるリスクが削減される。
さらに、現行のネットワーク構成を変えることなく、また、新たな機器を追加設置することなく本発明のアプリケーション型サービス拒絶防御方法を実現することができるため、ネットワーク構成変更に要する時間および新たな機器を追加設置するのに要する費用を節約することができる。
また、DoS/DDoS攻撃のように悪意のトラヒックではないが、設定ミスなどによる過失により、DoS/DDoS攻撃と同じトラヒックを生じさせてしまった場合に対しても当該トラヒックからSIPサーバ延いては正当ユーザを保護できる。
本発明実施例のアプリケーション型サービス拒絶防御方法を図1ないし図8を参照して説明する。図1は本実施例のアプリケーション型サービス拒絶防御方法を説明するためのネットワーク構成図である。符号1、2は各ISP(Internet Service Provider)のコアネットワークにて縁の部分に位置するエッジルータである。符号3はエッジルータからの回線をレイヤ2またはレイヤ3で分岐するレイヤ2またはルータ(以降、レイヤ2スイッチ/ルータと記す)である。符号4は各ISPのコアネットワークである。符号5、6は、ISP内でSIPやSMTPプロトコルを制御する制御サーバである。ここでは、ISPサーバおよびSMTPサーバを例としている。符号7、8、9は、5および6のSIPサーバおよびSMTPサーバに収容されているユーザ端末である。符号10〜18は、各エッジルータ1および2、レイヤ2スイッチ/ルータ3およびSIPサーバ5およびSMTPサーバ6における他のエンティティとのインタフェースである。なお、本実施例ではゲートウェイは図示していないが、レイヤ2スイッチ/ルータをゲートウェイと置き換えて説明することができる。
本実施例は、図1に示すように、ISPコアネットワーク4と、このISPコアネットワーク4のエッジルータ1および2と、このエッジルータ2からの回線を分岐するレイヤ2スイッチ/ルータ3と、エッジルータ2と直接あるいはレイヤ2スイッチ/ルータ3を介して接続される複数のユーザ端末7、8、9と、このユーザ端末7、8、9が接続されたエッジルータ2とは異なるエッジルータ1と接続されるSIPサーバ5およびSMTPサービス6とを備えたネットワーク・システムで、ユーザ端末7または8からSIPサーバ5またはSMTPサーバ6に対するDoSあるいはDDoS攻撃を防御するアプリケーション型サービス拒絶防御方法である。
ここで、本実施例の特徴とするところは、複数のユーザ端末7、8、9毎に識別情報としてVLANID(Virtual LAN Identifier)を割当て、このVLANID単位に、SIPサーバ5またはSMTPサーバ6の宛先アドレスと、SIPサーバ5またはSMTPサーバ6とユーザ端末7、8、9との間で使用するプロトコル種別と、SIPサーバ5またはSMTPサーバ6の宛先ポートと、SIPサーバ5またはSMTPサーバ6とユーザ端末7、8、9との間の通常の信号処理を行うに十分な帯域による制限帯域とを指定する情報とをユーザ端末7、8、9が接続されたエッジルータ2またはレイヤ2スイッチ/ルータ3に設定するステップと、ユーザ端末7、8、9からエッジノード2またはレイヤ2スイッチ/ルータ3に到着するトラヒックについて、そのユーザ端末7、8、9に割当てられたVLANIDに基づきそのトラヒックの宛先アドレスおよびプロトコルおよび宛先ポートが当該VLANIDに対応してあらかじめ指定された前記宛先アドレスおよび前記プロトコル種別および前記宛先ポートと一致したときには、前記指定された制限帯域に従い、当該トラヒックの帯域を制限するステップと、SIPサーバ5またはSMTPサーバ6が接続されたエッジルータ1に、SIPサーバ5またはSMTPサーバ6の宛先アドレスと、ユーザ端末7、8、9とSIPサーバ5またはSMTPサーバ6との間で使用するプロトコル種別と、SIPサーバ5およびSMTPサーバ6の宛先ポートとを指定する情報を設定するステップと、SIPサーバ5またはSMTPサーバ6が接続されたエッジルータ1に到着するSIPサーバ5またはSMTPサーバ6宛のトラヒックについて、そのトラヒックのプロトコルまたは宛先ポートがあらかじめ指定されたプロトコル種別または宛先ポート以外のトラヒックについてはこれを排除するステップとを実行するところにある(請求項1)。
また、図2はSIPサーバ5およびSMTPサーバ6とエッジルータ1との間にレイヤ2スイッチ/ルータ30が設置された例を示す図であるが、図2に示すように、SIPサーバ5およびSMTPサーバ6がレイヤ2スイッチ/ルータ30を介してエッジルータ1と1つの回線により接続されているときには、エッジルータ1の1つの回線に対してSIPサーバ5およびSMTPサーバ6の宛先アドレスと、ユーザ端末7、8、9とSIPサーバ5およびSMTPサーバ6との間で使用するプロトコル種別と、ユーザ端末7、8、9のSIPサーバ5およびSMTPサーバ6における宛先ポートとを指定する情報を設定することになる。
あるいは、図2に示すように、SIPサーバ5およびSMTPサーバ6がレイヤ2スイッチ/ルータ30を介してエッジルータ1と接続されているときには、エッジルータ1またはレイヤ2スイッチ/ルータ30に、SIPサーバ5およびSMTPサーバ6の宛先アドレスと、ユーザ端末7、8、9とSIPサーバ5およびSMTPサーバ6との間で使用するプロトコル種別と、SIPサーバ5およびSMTPサーバ6の宛先ポートとを指定する情報を設定するステップと、エッジルータ1またはレイヤ2スイッチ/ルータ30において、SIPサーバ5またはSMTPサーバ6宛のトラヒックについて、そのトラヒックのプロトコルまたは宛先ポートがあらかじめ指定されたプロトコル種別または宛先ポート以外のトラヒックについてはこれを排除するステップとを実行する(請求項2)。
また、ユーザ端末9がエッジルータ2に直接収容され、当該ユーザ端末9が当該エッジルータ2の特定回線を占有しているときには、当該ユーザ端末9への識別情報の割当てを行う代わりに当該特定回線を識別することによって当該ユーザ端末9からのトラヒックを識別するステップを実行することができる(請求項3)。
また、ユーザ端末7、8とエッジルータ2との間にレイヤ2スイッチ/ルータ3が設置されているときには、レイヤ2スイッチ/ルータ3は、ユーザ端末7、8とそのトラヒックが到着する回線を収容するインタフェース17、18との対応関係に基づきユーザ端末7、8に割当てられた識別情報の詐称を監視し、詐称を検知したときには当該詐称された識別情報を正しい識別情報により上書きするステップを実行する(請求項4)。
本実施例のアプリケーション型サービス拒絶防御方法の制御手順をSIPサーバ5を例にとり、図3および図4のフローチャートを参照して説明する。図3はエッジルータ2における制御手順であり、図4はエッジルータ1およびSIPサーバ5における制御手順である。
図3に示すように、エッジルータ2にトラヒックが到着すると(S1)、そのトラヒックのVLANIDが制御対象のユーザ端末のVLANIDであるか否かを判断し(S2)、制御対象であれば、さらに、その宛先アドレス(Destination Address)がSIPサーバ5か否か、Protocolは6か否か、宛先ポート(Destination Port)は5060か否かを判断し(S3)、そうであれば、あらかじめ定められた帯域制限を行う(S4)。これにより、DoS/DDoS攻撃を行うユーザ端末が存在する場合でもその攻撃トラヒックは通常の処理に用いられる帯域まで減少させられる。
さらに、図4に示すように、エッジルータ1にトラヒックが到着すると(S5)、その宛先アドレス(Destination Address)がSIPサーバ5か否か、Protocolは6か否か、宛先ポート(Destination Port)は5060か否かを判断し(S6)、そうでなければ、そのトラヒックはエッジルータ1によって排除される(S9)。そうであれば、そのトラヒックは、SIPサーバ5に転送される。SIPサーバ5では、そのトラヒックのTCPプロトコルシーケンスおよびSIPプロトコルシーケンスの正常性を確認した後に、通常の処理を行う(S8)。また、そのトラヒックのTCPプロトコルシーケンスおよびSIPプロトコルシーケンスの正常性が確認できなければ、IPサーバ5は、そのトラヒックを排除する(S10)。
以下では、本実施例をさらに詳細に説明する。
図5は本実施例のアプリケーション型サービス拒絶防御方法を施さないネットワーク構成図である。なお、以下の用語説明としてIPヘッダおよびTCPヘッダのフィールド構成を図6に示す。図5ではDoS/DDoS攻撃トラヒックを発するユーザ端末を7および8、正当なユーザ端末を9とする。
ユーザ端末7、8はSIPサーバ5またはSMTPサーバ6に向けて、レイヤ5以上の処理を行うメッセージを多数送信し、SIPサーバ5またはSMTPサーバ6およびそこまでのネットワークを過負荷状態にし、正当なユーザ端末9がサービスを受けるのを妨害する。SIPプロトコルのシーケンスを図7に、POP3プロトコルのシーケンスを図8に記す。
次に、本実施例のアプリケーション型サービス拒絶防御方法について図1ないし図8を参照して説明する。ここでは、SIPサーバ5が攻撃対象の例について示す。
条件として、SIPサーバ5は、TCP上のSIPプロトコル(RFC3261)のサーバとして動作し、SMTPサーバ6は、TCP上のPOP3プロトコル(RFC1939、他)のサーバとして動作するものとする。
すなわち、図7に示すように、ユーザ端末(発)は、SIPサーバ5を経由して、ユーザ端末(着)にセッションの生成要求を行う(INVITE、Trying)。SIPサーバ5からセッションの生成要求を受け取ったユーザ端末(着)は、SIPサーバ5を経由してユーザ端末(発)にセッション生成を了解した旨を通知する(Ringing、OK)。ユーザ端末(発)とユーザ端末(着)との間にセッションが生成される(ACK)。これによりユーザ端末(発)とユーザ端末(着)との間で通信が行われる。
ユーザ端末(発)がSIPサーバ5を経由してユーザ端末(着)にセッション切断要求を行うことにより(BYE)、ユーザ端末(発)とユーザ端末(着)との間のセッションは削除される(OK)。
また、図8に示すように、ユーザ端末はSMTPサーバ6にアクセスし(USER)、応答をもらうと(+OKレスポンス)、ユーザ認証交換を行い、サーバ内のメッセージ情報を確認する。自ユーザ端末宛のメッセージがあればこれをダウンロードする。あるいは、必要に応じてメッセージの削除要求を行う。ユーザ端末におけるこれらの処理が完了するとユーザ端末とSMTPサーバ6との間の通信は切断される。
エッジルータ1は、インタフェース12(SMTPサーバの場合は13)における送信側において「IP headerのDestination AddressがSIPサーバ5のIP Address(SMTPサーバの場合は、SMTPサーバ6のIP Address)、Protocolが6(TCPプロトコルの番号)、TCP headerのDestination portは5060(SIPプロトコル処理用のport番号)(SMTPサーバの場合は110(SIPプロトコル処理用のport番号))(以上、図6参照)のパケット」のみが通過できるようにフィルタリングの設定をする。
また、図2に示すように、SIPサーバ5およびSMTPサーバ6がエッジルータ1における同一回線に収容されているなど、1つの回線に複数のサーバが収容されており、この回線の先で分岐されている場合には、この回線にて同時にそれぞれの設定を行う。
あるいは、図2に示すように、SIPサーバ5およびSMTPサーバ6がレイヤ2スイッチ/ルータ30を介してエッジルータ1と接続されているときには、エッジルータ1またはレイヤ2スイッチ/ルータ30に、SIPサーバ5およびSMTPサーバ6の宛先アドレスと、ユーザ端末7、8、9とSIPサーバ5およびSMTPサーバ6との間で使用するプロトコル種別と、SIPサーバ5およびSMTPサーバ6の宛先ポートとを指定する情報を設定し、エッジルータ1またはレイヤ2スイッチ/ルータ30において、SIPサーバ5またはSMTPサーバ6宛のトラヒックについて、そのトラヒックのプロトコルまたは宛先ポートがあらかじめ指定されたプロトコル種別または宛先ポート以外のトラヒックについてはこれを排除する(請求項2)。
次に、エッジルータ2にて各ユーザ端末7、8、9にVLANIDを割当てる。割当てたVLANIDをそれぞれVLANID7、8、9とする。そして、ユーザ端末7に対して、エッジルータ2のインタフェース15の受信側にて「VLANIDがVLANID7、IP headerのDestination AddressがSIPサーバ5(SMTPサーバの場合はSMTPサーバ6)のIP address、Protocolが6(TCPプロトコルの番号)、TCP headerのDestination portは、5060(SMTPサーバの場合は110)、制限帯域設定値は通常ユーザが使用する場合に十分な値(図7および図8のユーザ端末からSIPサーバまたはSMTPサーバへの信号のトラヒック)」として制限帯域を設定する。ユーザ端末8および9に対しても同様の設定を行う(請求項1)。
ただし、ユーザ端末9については、エッジルータ2とユーザ端末9との間にホームゲートウェイ等が設置されずユーザ端末9からのパケットにVLANIDを設定できないことも考え得るので、場合によっては「VLANIDがVLANID9」の条件は外すものとする。その代わりに、当該ユーザ端末9が占有している特定回線を識別することによって当該ユーザ端末9からのトラヒックを識別する(請求項3)。本設定を施すことにより、端末から攻撃トラヒックが発せられた場合でも、そのトラヒックは、通常の使用でユーザが使用するレベルまで抑えられる。
また、本設定の対象が、ユーザ端末7、8、9からSIPサーバ5またはSMTPサーバ6へのトラヒックのみに対するものであることから、SMTPプロトコル処理における「メッセージのダウンロード(図8参照)」などのSIPサーバ5またはSMTPサーバ6からユーザ端末7、8、9へのトラヒックには影響を与えない。
ここで、「VLANIDがVLANID8」の設定は、インタフェース15に設定されているので、ユーザ端末9は、VLANIDをVLANID8と詐称してパケットを送付しても、エッジルータ2を通過できない(ユーザ端末9が収容されているインタフェース16には、「VLANIDがVLANID9」と設定されている)。
しかし、ユーザ端末8が「VLANIDをVLANID7」と詐称した場合には、インタフェース15に「VLANIDがVLANID8」の設定があるので、当該詐称パケットはエッジルータ2を通過することができてしまう。そこで、ユーザ端末7とユーザ端末8が分岐するレイヤ2スイッチ/ルータ3にてインタフェース17および18にそれぞれ、VLANID7およびVLANID8を対応付け、ユーザ端末7および8からのパケットについてそれぞれ、VLANIDの値が、VLANID7およびVLANID8のパケットのみ通過できるように設定するか、あるいは、ユーザ端末7、8からのパケットにはそれぞれVLANID7、8の値を設定(VLANIDが詐称されている場合は正しいVLANIDで上書きする)してエッジルータ2に送付する(請求項4)。
上記の設定は、エッジルータ2とユーザ端末7および8との間の回線の分岐ポイントに設置されるレイヤ2スイッチ/ルータ3全てに設定し、ユーザネットワークとキャリアネットワークとの接点では必ず1回線あたり1VLANIDとなるようにする。また、VLANIDの値は、エッジルータ2のインタフェース(回線)が異なっていれば(例えば、インタフェース15および16)、同じ値を割当てられることを許容する。VLANIDが同じ値であっても、インタフェース(回線)が異なれば、どのユーザ端末からのトラヒックか判別できるからである。
VLANIDの値の範囲は、1〜4094であるが、1つの回線に4094個のVLANIDを割当てることができるから、エッジルータ2のユーザ端末側の回線数が例えば5つであれば、4094×5=20470個のVLANIDを割当てることができ、収容ユーザ端末が増えても対応できる。
また、幾つかのユーザ端末を取りまとめてVLANIDを割当てることも許容する(例えば、インタフェース15に1つのVLANIDを割当て、ユーザ端末7、8で共有する)。これにより、レイヤ2スイッチ/ルータ3がキャリア(ISP)ではなくユーザの資産である場合も許容することができ、ユーザ側で自由に端末の設置および抜去を行うことができる。
以上は、VLANを用いた制御方法であるが、MPLS(Multi Protocol
Label Switching)、VPN(Virtual Private Network)などを用いても同様な制御が可能である。
本発明によれば、IPネットワークにおけるDoS/DDoS攻撃に対するインターネット・セキュリティの向上を図ることができるため、ISPによるユーザ獲得に寄与することができる。また、ネットワーク事業者におけるインターネット・セキュリティの向上のためのネットワーク変更に要する時間および費用の節約に寄与することができる。
本実施例のアプリケーション型サービス拒絶防御方法を説明するためのネットワーク構成図。 SIPサーバおよびSMTPサーバ6エッジルータとの間にレイヤ2スイッチ/ルータが設置された例を示す図。 本実施例のアプリケーション型サービス拒絶防御方法のエッジルータにおける制御手順を示すフローチャート。 本実施例のアプリケーション型サービス拒絶防御方法のエッジルータおよびSIPサーバにおける制御手順を示すフローチャート。 本実施例のアプリケーション型サービス拒絶防御方法を施さないネットワーク構成図。 IPヘッダおよびTCPヘッダのフィールド構成を示す図。 SIPプロトコルシーケンスを示す図。 POP3プロトコルシーケンスを示す図。
符号の説明
1、2 エッジルータ
3、30 レイヤ2スイッチ/ルータ
4 ISPコアネットワーク
5 SIPサーバ
6 SMTPサーバ
7、8、9 ユーザ端末
10〜18 インタフェース

Claims (4)

  1. コアネットワークと、このコアネットワークのエッジルータと、このエッジルータからの回線を分岐する分岐ノードと、前記エッジルータと直接あるいは前記分岐ノードを介して接続される複数のユーザ端末と、このユーザ端末が接続された前記エッジルータとは異なるエッジルータと直接あるいは前記分岐ノードを介して接続されるサーバとを備えたネットワーク・システムで、前記ユーザ端末から前記サーバに対するDoS(Denial of Service)あるいはDDoS(Distribute Denial of Service)攻撃を防御するアプリケーション型サービス拒絶防御方法において、
    複数の前記ユーザ端末毎に識別情報を割当て、この識別情報単位に、前記サーバの宛先アドレスと、前記サーバと前記ユーザ端末との間で使用するプロトコル種別と、前記サーバの宛先ポートと、前記サーバと前記ユーザ端末との間の通常の信号処理を行うに十分な帯域による制限帯域とを指定する情報とを前記ユーザ端末が接続された前記エッジルータまたは前記分岐ノードに設定するステップと、
    前記ユーザ端末から前記エッジノードまたは前記分岐ノードに到着するトラヒックについて、そのユーザ端末に割当てられた識別情報に基づきそのトラヒックの宛先アドレスおよびプロトコルおよび宛先ポートが当該識別情報に対応してあらかじめ指定された前記宛先アドレスおよび前記プロトコル種別および前記宛先ポートと一致したときには、前記指定された制限帯域に従い、当該トラヒックの帯域を制限するステップと、
    前記サーバが接続された前記エッジルータに、前記サーバの宛先アドレスと、前記ユーザ端末と前記サーバとの間で使用するプロトコル種別と、前記サーバの宛先ポートとを指定する情報を設定するステップと、
    前記サーバが接続された前記エッジルータに到着する前記サーバ宛のトラヒックについて、そのトラヒックのプロトコルまたは宛先ポートがあらかじめ指定されたプロトコル種別または宛先ポート以外のトラヒックについてはこれを排除するステップと
    を実行することを特徴とするアプリケーション型サービス拒絶防御方法。
  2. 前記サーバが前記分岐ノードを介して前記エッジルータと接続されているときには、
    前記サーバが接続された前記エッジルータまたは前記分岐ノードに、前記サーバの宛先アドレスと、前記ユーザ端末と前記サーバとの間で使用するプロトコル種別と、前記サーバの宛先ポートとを指定する情報を設定するステップと、
    前記エッジルータまたは前記分岐ノードにおいて、前記サーバ宛のトラヒックについて、そのトラヒックのプロトコルまたは宛先ポートがあらかじめ指定されたプロトコル種別または宛先ポート以外のトラヒックについてはこれを排除するステップと
    を実行する請求項1記載のアプリケーション型サービス拒絶防御方法。
  3. 前記ユーザ端末が前記エッジルータに直接収容され、当該ユーザ端末が当該エッジルータの特定回線を占有しているときには、当該ユーザ端末への識別情報の割当てを行う代わりに当該特定回線を識別することによって当該ユーザ端末からのトラヒックを識別するステップを実行する
    請求項1記載のアプリケーション型サービス拒絶防御方法。
  4. 前記ユーザ端末と前記エッジルータとの間に前記分岐ノードが設置されているときには、
    前記分岐ノードは、前記ユーザ端末とそのトラヒックが到着する回線との対応関係に基づき前記ユーザ端末に割当てられた識別情報の詐称を監視し、詐称を検知したときには当該詐称された識別情報を正しい識別情報により上書きするステップを実行する
    請求項1記載のアプリケーション型サービス拒絶防御方法。
JP2004201663A 2004-07-08 2004-07-08 アプリケーション型サービス拒絶防御方法 Expired - Fee Related JP4152356B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004201663A JP4152356B2 (ja) 2004-07-08 2004-07-08 アプリケーション型サービス拒絶防御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004201663A JP4152356B2 (ja) 2004-07-08 2004-07-08 アプリケーション型サービス拒絶防御方法

Publications (2)

Publication Number Publication Date
JP2006025190A true JP2006025190A (ja) 2006-01-26
JP4152356B2 JP4152356B2 (ja) 2008-09-17

Family

ID=35798143

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004201663A Expired - Fee Related JP4152356B2 (ja) 2004-07-08 2004-07-08 アプリケーション型サービス拒絶防御方法

Country Status (1)

Country Link
JP (1) JP4152356B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100756462B1 (ko) 2006-02-03 2007-09-07 엘지엔시스(주) 침입방지시스템에서의 자기 학습 데이터 관리방법 및 그를이용한 이상 트래픽 대응방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100756462B1 (ko) 2006-02-03 2007-09-07 엘지엔시스(주) 침입방지시스템에서의 자기 학습 데이터 관리방법 및 그를이용한 이상 트래픽 대응방법

Also Published As

Publication number Publication date
JP4152356B2 (ja) 2008-09-17

Similar Documents

Publication Publication Date Title
US7411975B1 (en) Multimedia over internet protocol border controller for network-based virtual private networks
US7930740B2 (en) System and method for detection and mitigation of distributed denial of service attacks
US11882150B2 (en) Dynamic security actions for network tunnels against spoofing
EP1463239B1 (en) Method and apparatus for protection of network infrastructure and for secure communication of control information
WO2004070535A3 (en) Mitigating denial of service attacks
WO2015174100A1 (ja) パケット転送装置、パケット転送システム及びパケット転送方法
EP2597839A1 (en) Transparen Bridge Device for protecting network services
US20050177717A1 (en) Method and apparatus for defending against denial on service attacks which employ IP source spoofing
US20090122784A1 (en) Method and device for implementing the security of the backbone network
US8402507B2 (en) Distributing policies to protect against voice spam and denial-of-service
JP4278593B2 (ja) アプリケーション型サービス不能攻撃に対する防御方法およびエッジ・ルータ
CN110071905B (zh) 用于提供连接的方法、边界网络以及ip服务器
JP4152356B2 (ja) アプリケーション型サービス拒絶防御方法
EP3073701B1 (en) Network protection entity and method for protecting a communication network against fraud messages
JP2006023934A (ja) サービス拒絶攻撃防御方法およびシステム
EP3270569B1 (en) Network protection entity and method for protecting a communication network against malformed data packets
JP3784799B2 (ja) 攻撃パケット防御システム
Bavosa GPRS security threats and solution recommendations
Chuat et al. Availability Guarantees
JP2008028720A (ja) 送信元ipアドレス詐称ipパケットを制御可能なipネットワーク装置および送信元ipアドレス詐称ipパケット制御方法
Gont et al. RFC 9288 Recommendations on the Filtering of IPv6 Packets Containing IPv6 Extension Headers at Transit Routers
Joshi et al. Tackling spoofing attacks using broadband accessconcentrators
JP2004166029A (ja) 分散型サービス拒絶防御方法およびシステム、ならびにそのプログラム
Leitão IPv6: A New Security Challenge
Dobbins Defending the Network: Mitigating Attacks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060718

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080619

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080701

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080701

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110711

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120711

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130711

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees