JP2006025190A - アプリケーション型サービス拒絶防御方法 - Google Patents
アプリケーション型サービス拒絶防御方法 Download PDFInfo
- Publication number
- JP2006025190A JP2006025190A JP2004201663A JP2004201663A JP2006025190A JP 2006025190 A JP2006025190 A JP 2006025190A JP 2004201663 A JP2004201663 A JP 2004201663A JP 2004201663 A JP2004201663 A JP 2004201663A JP 2006025190 A JP2006025190 A JP 2006025190A
- Authority
- JP
- Japan
- Prior art keywords
- server
- user terminal
- traffic
- edge router
- protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【解決手段】 ユーザ端末から到着するトラヒックについて、そのユーザ端末に割当てられた識別情報に基づきそのトラヒックの宛先アドレスおよびプロトコルおよび宛先ポートが当該識別情報に対応してあらかじめ指定された宛先アドレスおよびプロトコル種別および宛先ポートと一致したときには、指定された制限帯域に従い、当該トラヒックの帯域を制限する。サーバが接続されたエッジルータに到着するサーバ宛のトラヒックについて、そのトラヒックのプロトコルまたは宛先ポートがあらかじめ指定されたプロトコル種別または宛先ポート以外のトラヒックについてはこれを排除する。
【選択図】 図1
Description
of Service)またはDDoS(Distribute Denial of Service)攻撃に対するインターネット・セキュリティ技術に関する。
Mail Transfer Protocol)サーバなどの各種エンドノードのレイヤ5以上の処理に対して行われるDoS/DDoS攻撃から当該サーバを保護する対策としては、従来、(1)当該サーバ自身が当該攻撃を検知し、検知したトラヒックを排除する、(2)当該保護対象のマシンの手前にファイアウォールまたはIDS(Intrusion
Detection System)を設置し、レイヤ5以上の情報を分析することにより、当該攻撃を検知し、検知したトラヒックを排除する方策が採られている。
headerのDestination portは、このエンドノードが司るレイヤ5以上のプロトコルに割当てられたウェルノウンポート番号、制限帯域設定値は通常ユーザがこのエンドノードを使用する場合に十分な値(設定値は保守者が決める)」として制限帯域を設定する。
Label Switching)、VPN(Virtual Private Network)などを用いても同様な制御が可能である。
3、30 レイヤ2スイッチ/ルータ
4 ISPコアネットワーク
5 SIPサーバ
6 SMTPサーバ
7、8、9 ユーザ端末
10〜18 インタフェース
Claims (4)
- コアネットワークと、このコアネットワークのエッジルータと、このエッジルータからの回線を分岐する分岐ノードと、前記エッジルータと直接あるいは前記分岐ノードを介して接続される複数のユーザ端末と、このユーザ端末が接続された前記エッジルータとは異なるエッジルータと直接あるいは前記分岐ノードを介して接続されるサーバとを備えたネットワーク・システムで、前記ユーザ端末から前記サーバに対するDoS(Denial of Service)あるいはDDoS(Distribute Denial of Service)攻撃を防御するアプリケーション型サービス拒絶防御方法において、
複数の前記ユーザ端末毎に識別情報を割当て、この識別情報単位に、前記サーバの宛先アドレスと、前記サーバと前記ユーザ端末との間で使用するプロトコル種別と、前記サーバの宛先ポートと、前記サーバと前記ユーザ端末との間の通常の信号処理を行うに十分な帯域による制限帯域とを指定する情報とを前記ユーザ端末が接続された前記エッジルータまたは前記分岐ノードに設定するステップと、
前記ユーザ端末から前記エッジノードまたは前記分岐ノードに到着するトラヒックについて、そのユーザ端末に割当てられた識別情報に基づきそのトラヒックの宛先アドレスおよびプロトコルおよび宛先ポートが当該識別情報に対応してあらかじめ指定された前記宛先アドレスおよび前記プロトコル種別および前記宛先ポートと一致したときには、前記指定された制限帯域に従い、当該トラヒックの帯域を制限するステップと、
前記サーバが接続された前記エッジルータに、前記サーバの宛先アドレスと、前記ユーザ端末と前記サーバとの間で使用するプロトコル種別と、前記サーバの宛先ポートとを指定する情報を設定するステップと、
前記サーバが接続された前記エッジルータに到着する前記サーバ宛のトラヒックについて、そのトラヒックのプロトコルまたは宛先ポートがあらかじめ指定されたプロトコル種別または宛先ポート以外のトラヒックについてはこれを排除するステップと
を実行することを特徴とするアプリケーション型サービス拒絶防御方法。 - 前記サーバが前記分岐ノードを介して前記エッジルータと接続されているときには、
前記サーバが接続された前記エッジルータまたは前記分岐ノードに、前記サーバの宛先アドレスと、前記ユーザ端末と前記サーバとの間で使用するプロトコル種別と、前記サーバの宛先ポートとを指定する情報を設定するステップと、
前記エッジルータまたは前記分岐ノードにおいて、前記サーバ宛のトラヒックについて、そのトラヒックのプロトコルまたは宛先ポートがあらかじめ指定されたプロトコル種別または宛先ポート以外のトラヒックについてはこれを排除するステップと
を実行する請求項1記載のアプリケーション型サービス拒絶防御方法。 - 前記ユーザ端末が前記エッジルータに直接収容され、当該ユーザ端末が当該エッジルータの特定回線を占有しているときには、当該ユーザ端末への識別情報の割当てを行う代わりに当該特定回線を識別することによって当該ユーザ端末からのトラヒックを識別するステップを実行する
請求項1記載のアプリケーション型サービス拒絶防御方法。 - 前記ユーザ端末と前記エッジルータとの間に前記分岐ノードが設置されているときには、
前記分岐ノードは、前記ユーザ端末とそのトラヒックが到着する回線との対応関係に基づき前記ユーザ端末に割当てられた識別情報の詐称を監視し、詐称を検知したときには当該詐称された識別情報を正しい識別情報により上書きするステップを実行する
請求項1記載のアプリケーション型サービス拒絶防御方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004201663A JP4152356B2 (ja) | 2004-07-08 | 2004-07-08 | アプリケーション型サービス拒絶防御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004201663A JP4152356B2 (ja) | 2004-07-08 | 2004-07-08 | アプリケーション型サービス拒絶防御方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006025190A true JP2006025190A (ja) | 2006-01-26 |
JP4152356B2 JP4152356B2 (ja) | 2008-09-17 |
Family
ID=35798143
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004201663A Expired - Fee Related JP4152356B2 (ja) | 2004-07-08 | 2004-07-08 | アプリケーション型サービス拒絶防御方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4152356B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100756462B1 (ko) | 2006-02-03 | 2007-09-07 | 엘지엔시스(주) | 침입방지시스템에서의 자기 학습 데이터 관리방법 및 그를이용한 이상 트래픽 대응방법 |
-
2004
- 2004-07-08 JP JP2004201663A patent/JP4152356B2/ja not_active Expired - Fee Related
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100756462B1 (ko) | 2006-02-03 | 2007-09-07 | 엘지엔시스(주) | 침입방지시스템에서의 자기 학습 데이터 관리방법 및 그를이용한 이상 트래픽 대응방법 |
Also Published As
Publication number | Publication date |
---|---|
JP4152356B2 (ja) | 2008-09-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7411975B1 (en) | Multimedia over internet protocol border controller for network-based virtual private networks | |
US7930740B2 (en) | System and method for detection and mitigation of distributed denial of service attacks | |
US11882150B2 (en) | Dynamic security actions for network tunnels against spoofing | |
EP1463239B1 (en) | Method and apparatus for protection of network infrastructure and for secure communication of control information | |
WO2004070535A3 (en) | Mitigating denial of service attacks | |
WO2015174100A1 (ja) | パケット転送装置、パケット転送システム及びパケット転送方法 | |
EP2597839A1 (en) | Transparen Bridge Device for protecting network services | |
US20050177717A1 (en) | Method and apparatus for defending against denial on service attacks which employ IP source spoofing | |
US20090122784A1 (en) | Method and device for implementing the security of the backbone network | |
US8402507B2 (en) | Distributing policies to protect against voice spam and denial-of-service | |
JP4278593B2 (ja) | アプリケーション型サービス不能攻撃に対する防御方法およびエッジ・ルータ | |
CN110071905B (zh) | 用于提供连接的方法、边界网络以及ip服务器 | |
JP4152356B2 (ja) | アプリケーション型サービス拒絶防御方法 | |
EP3073701B1 (en) | Network protection entity and method for protecting a communication network against fraud messages | |
JP2006023934A (ja) | サービス拒絶攻撃防御方法およびシステム | |
EP3270569B1 (en) | Network protection entity and method for protecting a communication network against malformed data packets | |
JP3784799B2 (ja) | 攻撃パケット防御システム | |
Bavosa | GPRS security threats and solution recommendations | |
Chuat et al. | Availability Guarantees | |
JP2008028720A (ja) | 送信元ipアドレス詐称ipパケットを制御可能なipネットワーク装置および送信元ipアドレス詐称ipパケット制御方法 | |
Gont et al. | RFC 9288 Recommendations on the Filtering of IPv6 Packets Containing IPv6 Extension Headers at Transit Routers | |
Joshi et al. | Tackling spoofing attacks using broadband accessconcentrators | |
JP2004166029A (ja) | 分散型サービス拒絶防御方法およびシステム、ならびにそのプログラム | |
Leitão | IPv6: A New Security Challenge | |
Dobbins | Defending the Network: Mitigating Attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060718 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080619 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080701 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080701 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110711 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120711 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130711 Year of fee payment: 5 |
|
LAPS | Cancellation because of no payment of annual fees |