JP2006060599A - アプリケーションサービス拒絶攻撃防御方法及びシステム並びにプログラム - Google Patents

アプリケーションサービス拒絶攻撃防御方法及びシステム並びにプログラム Download PDF

Info

Publication number
JP2006060599A
JP2006060599A JP2004241262A JP2004241262A JP2006060599A JP 2006060599 A JP2006060599 A JP 2006060599A JP 2004241262 A JP2004241262 A JP 2004241262A JP 2004241262 A JP2004241262 A JP 2004241262A JP 2006060599 A JP2006060599 A JP 2006060599A
Authority
JP
Japan
Prior art keywords
attack
traffic
end node
tcp
layer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004241262A
Other languages
English (en)
Other versions
JP4284248B2 (ja
Inventor
Hitoshi Kaneko
斉 金子
Taichi Osada
太一 長田
Takafumi Hamano
貴文 濱野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2004241262A priority Critical patent/JP4284248B2/ja
Publication of JP2006060599A publication Critical patent/JP2006060599A/ja
Application granted granted Critical
Publication of JP4284248B2 publication Critical patent/JP4284248B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】レイヤ5以上の処理に対するDoS/DDoS攻撃に対して効率的に防御する。
【解決手段】防御対象のエンドノード(サーバ)の手前に、レイヤ4以下のフィールド情報を基にフィルタリングを行うスタティックパケットフィルタリング部11と、エンドノードの代理でTCPの処理を一旦終端し、3ウェイ−ハンドシェーク処理を行ってからそのエンドノードへトラヒックを転送するTCPインターセプト部12と、エンドノードのアドレスを送信先アドレスとするトラヒックを発信元アドレスごとに監視し、トラヒック量などのレイヤ4以下の情報を基にDoS/DDoS攻撃を検知し対処を依頼するL4不特定検知部13と、L4不特定検知部13からの依頼により指定されたフローに対しフィルタリングまたはレートリミットの設定を行うL4ACL/レート制限ダイナミック設定部14とを有するファイアウォール装置3を設ける。
【選択図】 図2

Description

本発明は、IP(インターネットプロトコル;Internet protocol)ネットワークにおけるセキュリティ向上技術に関し、特に、インターネット上におけるDoS攻撃やDDoS攻撃などに対する防御方法及びシステムに関する。
インターネット上では、特定のサイトに対して異常なデータあるいはパケットを大量に送信しそれによってそのサイトにおけるサービスを停止させようとする攻撃が、しばしば行われるようになってきた。そのような攻撃のことをDoS(サービス拒絶;Denial of Service)攻撃と呼ぶが、さらに巧妙な攻撃として、異なる複数の場所から同時に同一サイトに対してDoS攻撃を仕掛けてくることもあり、そのような複数の場所からの攻撃をDDoS(分散型サービス拒絶;Distributed Denial of Service)攻撃と呼んでいる。以下では、サービス拒絶(DoS)攻撃及び分散型サービス拒絶(DDoS)攻撃を総称して、DoS/DDoS攻撃と呼ぶことにする。
ところで、ネットワーク上で通信を行うために用いられる各種のプロトコルは、OSI参照モデルによって7つのレイヤ(階層)に階層化されて取り扱われている。これに対応して、DoS/DDoS攻撃に用いられるパケットも、どのレイヤにおけるサービスを停止させようとするものであるかによって分類される。最近では、IP電話の中継に用いられるSIP(Session Initiation Protocol)サーバや電子メールの中継に用いられるSMTP(Simple Mail Transfer Protocol)サーバなどの、OSI参照モデルにおけるレイヤ5(セッション層)以上の処理を行う各種エンドノードに対して、DoS/DDoS攻撃が行われるようになってきている。
SIPサーバ、SMTPサーバなどのレイヤ5以上の処理を行うエンドノード(すなわちサーバ)あるいはエンドノード群に対するDoS/DDoS攻撃からこれらのサーバを保護するために、従来、(1)そのサーバ自身が攻撃を検知し、検知したトラヒックを排除する、あるいは、(2)保護対象のサーバが構築されたマシンの手前にファイアウォール装置またはIDS(不正侵入検知システム;Intrusion Detection System)を設置してレイヤ5以上の情報を分析することにより攻撃を検知し、検知したトラヒックを排除する、などの方策が採られている。
攻撃を検知して該当するトラヒックを排除した場合、攻撃トラヒックが終了した場合には排除設定の解除を行うことになるが、攻撃トラヒックの終了を自動的に検出することが難しいことから、実際には、攻撃検出時の排除設定は自動で行われても、攻撃終了時の解除処理は手動で行われる場合が多い。
特許文献1(特開2003―283571号公報「サービス不能攻撃の防御方法及び装置ならびにそのコンピュータプログラム」)は、サーバが攻撃された場合に、ネットワーク中の攻撃者に近いルータにおいて攻撃パケットを廃棄するようにするため、ネットワーク内の各拠点にシールドと呼ばれる専用装置を設置し、これらの専用装置間で攻撃情報を逐次伝播させ、攻撃トラヒックを上流側で排除することを提案している。しかしながらこの手法では、専用装置間では攻撃情報は伝播するものの、ネットワークに接続するサーバなどのノード間では攻撃情報を伝播することはしていない。
特許文献2(特開2002―158660号公報「不正アクセス防御システム」)は、ネットワーク内に専用の遮断機器を配置し、攻撃をネットワークにおいて検出した場合には遮断機器を動作させることで攻撃からネットワークを防御する旨を提案している。しかしながら、特許文献2に記載の技術は、防御の対象として、レイヤ4以下の攻撃を対象としている。
特開2003―283571号公報 特開2002―158660号公報
しかしながら上述した従来の防御方法には、特にレイヤ5上の攻撃に対する防御を行う場合において、以下に述べるような問題点がある。
サーバマシン自身で攻撃を防御する場合、その防御処理自体に重い処理負荷を必要ととするだけでなく、そのサーバマシンに接続する回線にも攻撃トラヒックが集中することになり、正当なユーザへのサービスの妨げになる可能性がある。一方、サーバの手前にファイアウォール装置またはIDSを設置する場合、レイヤ5以上の攻撃を検知するために、これらファイアウォール装置あるいはIDSそれ自体もレイヤ5以上の処理を行った上でDoS/DDoS攻撃である否か判断するため、レイヤ5以上の攻撃の検知自体に難しさが伴うとともに、ファイアウォール装置やIDS自体が性能上のボトルネックとなる可能性があり、攻撃の検知のみならず排除まで行おうとすると、さらにスループットが制限され、また、装置自身の価格も高くなる可能性が大きい。
そこで本発明の目的は、特にOSI参照モデルでのレイヤ5以上のサービスに対応するサーバに対してパケットを送信するDoS/DDoS攻撃を、スループットの低下などをもたらすことなく、効果的に防御できるアプリケーションサービス拒絶攻撃防御方法及びシステムを提供することにある。
上述した従来のサービス拒絶防御方法では、レイヤ5以上の情報に基づいて、各種エンドノード(サーバ)のレイヤ5以上の処理に対して行われるDoS/DDoS攻撃の検出処理を行っている。しかしながら、パケットのレイヤ5以上の情報を検知する処理は、大きな負荷を要する処理であるため、システム全体としてのトラヒックのスループットの低下や、システムのコスト高の要因となる。そこで本発明では、レイヤ4以下の情報のみによるトラヒック情報に基づいて、レイヤ5以上の処理に対するDoS/DDoS攻撃の検出処理を行うようにする。
具体的には、SIPサーバやSMTPサーバなどのレイヤ5以上の処理を行う各種エンドノードあるいはエンドノード群の手前に、ファイアウォール装置を設置し、このファイアウォール装置において、レイヤ5以上の処理に対するDoS/DDoS攻撃の検知・対処を行う。好ましくは、これらのエンドノードへの回線を束ねたエッジノードからの出口回線上に、インラインでファイアウォール装置を設置するようにする。この場合は、各種エンドノードへの回線を束ねた回線上に設置されるため、ファイアウォール装置は高スループットである必要があるが、高スループットを実現できれば、1台のファイアウォール装置のみの設置によってDoS/DDoS攻撃に対処できるので、低コストが期待できる。
ファイアウォール装置は、高速処理を可能にするために、パケットのレイヤ5以上の情報については一切検知せず、レイヤ4以下の情報のみにより攻撃を検知・対処する。これにより、ファイアウォール装置について高スループットを実現する。そのようなファイアウォール装置は、イングレス側(防御対象のエンドノードに対するパケットがネットワークから入力する側)からエグレス側(防御対象のエンドノードに接続する側)に向けて、レイヤ4以下のフィールド情報を基にフィルタリングを行うスタティックパケットフィルタリング部(1番目の機能部)と、エンドノードの代理でTCPの処理を一旦終端し、3ウェイ−ハンドシェーク処理を行ってからそのエンドノードへトラヒックを転送するTCP(transmission control protocol)インターセプト部(2番目の機能部)と、エンドノードのアドレスを送信先アドレスとするトラヒックを発信元アドレスごとに監視し、レイヤ4以下の情報を基にDoS/DDoS攻撃を検知し対処を依頼するL4不特定検知部(3番目の機能部)と、L4不特定検知部からの依頼により指定されたフローに対しフィルタリングまたはレートリミットの設定を行うL4ACL/レート制限ダイナミック設定部(4番目の機能部)とが直列に接続した構成を有する。ここでL4不特定検知部は、例えば、トラヒック量が一定のしきい値を越えた場合に、攻撃への対処の依頼として、そのフローのフィルタリングまたはレートリミットをL4ACL/レート制限ダイナミック設定部に命令するなどの処理を行う。
すなわちファイアウォール装置では、レイヤ4以下のパケットに含まれる情報を基に、イングレス側から入力されたパケットを段階を追って処理することで、レイヤ5以上の情報を転送しているレイヤ4以下パケットを絞っていき、最終段階で、パケットのトラヒック量などを計測してそれが規定値以上あればDoS/DDoS攻撃であると判断することで、攻撃パケットを廃棄する。このようにレイヤ4以下の処理を段階を追って行うことで、負荷がかかるレイヤ5以上の処理を行うことなく、レイヤ5以上をターゲットとしたDoS/DDoS攻撃から、サーバなどのエンドノードを防御することができる。
具体的には、3番目の機能部であるL4不特定検知部においてレイヤ4以下の情報を基にトラヒックを検知し、その検知した情報を基に、4番目の機能部であるL4ACL/レート制限ダイナミック設定部において、攻撃トラヒックに対して対処を行う。攻撃に対して対処を行うL4ACL/レート制限ダイナミック設定部を、検知を行うL4不特定検知部の後ろに設けているのは、対処を行う機能部を、検知を行う機能部の手前(イングレス側)に置いた場合、検知を行う機能部に対処後のトラヒックが流れ込むこととなって攻撃の終了を検知しづらくなり、ひいては対処処理の解除処理が難しくなるためである。
L4不特定検知部では、レイヤ5攻撃トラヒック(またはレイヤ6、7攻撃トラヒック)と正当トラヒックとを明確に区別する必要があるが、それには、L4不特定検知部において検知するトラヒックに、レイヤ4以下の処理をターゲットする攻撃トラヒックなどの余計なトラヒックが含まれていないことが必要である。そこで、1番目の機能部であるスタティックパケットフィルタリング部と2番目の機能部であるTCPインターセプト部において、3番目の機能部であるL4不特定検知部が検知処理を行う上で余計なものとなるトラヒックの排除を行っている。
本発明のアプリケーションサービス拒絶攻撃防御方法は、IPネットワーク内に設置されるエンドノードを、エンドノードのレイヤ5以上の処理をターゲットとするTCP上のDoS攻撃またはDDoS攻撃から防御するためのアプリケーションサービス拒絶攻撃防御方法であって、エンドノードを収容するエッジノードのエンドノードへの出口回線に設置されたファイアウォール装置が、レイヤ4以下のフィールド情報を基にフィルタリングを行う第1の処理と、第1の処理の後、エンドノードの代理でTCPの処理を一旦終端し、3ウェイ−ハンドシェーク処理を行ってからエンドノードへトラヒックを転送する第2の処理と、エンドノードのアドレスを送信先アドレスとするトラヒックを発信元アドレスごとに監視し、レイヤ4以下の情報に基づいて攻撃を検知し対処を依頼する第3の処理と、第3の処理からの依頼により指定されたフローに対してトラヒックの制限(フィルタリングやレート制限など)を行う第4の処理と、を実行する。
本発明によれば、レイヤ5以上の処理に対するDoS/DDoS攻撃を検知するための全ての処理をパケットのレイヤ4以下の情報のみの検知により行うことで、高スループットを実現することが可能となり、またネットワーク内でそれらの処理を行うことができるようになる、という効果が得られる。また、DoS/DDoS攻撃に際し、エンドノードだけでなく、パケット集中などからネットワークも保護することが可能となる。
本発明のアプリケーションサービス拒絶攻撃防御方法は、ファイア装置単独で実行できるので、既存のネットワークに対してそのようなファイアウォール装置1台を挿入するだけの実装で済むこととなり、コスト等の面で優れている。また、対処処理設定後の攻撃トラヒックについても検知できる仕組みとなっているため、解除契機を高精度に検出することができ、サービス性、保守性に優れた方法となっている。
次に、本発明の好ましい実施の形態について図面を参照して説明する。
図1は、本発明のアプリケーションサービス拒絶攻撃防御方法が適用されるネットワークの構成の一例を示す図である。ここでは、エンドノードの例としてSIPサーバ、SMTPサーバそれぞれ一台ずつを、TCP(transmission control protocol)上のDoS/DDoS攻撃から防御する場合について説明する。
ISP(インターネットサービスプロバイダ)のコアネットワーク10が設けられており、このコアネットワーク10の縁(エッジ)の部分には、それぞれ、エッジルータ1,2が設けられている。エッジルータ1は、防御対象であるSIPサーバ4及びSMTPサーバ5を収容するものであって、エッジルータ1のサーバ4,5側への出口回線には、エッジルータ1の出口インタフェース8を介して、インラインに、ファイアウォール装置3が挿入され接続されている。SIPサーバ4は、ISP内でSIP(Session Initiation Protocol)をプロトコル制御する制御サーバであり、同様にSMTPサーバ5は、ISP内でSMTP(Simple Mail Transfer Protocol)及びPOP3(Post Office Protocol 3)をプロトコル制御する制御サーバである。エッジルータ2には、SIPサーバ4及びSMTPサーバ5に収容されているユーザ端末6,7が接続している。
図2は、ファイアウォール装置3の構成を示すブロック図である。ファイアウォール装置3は、イングレス側(エッジルータ1に接続する側)からエグレス側(防御対象のSIPサーバ4及びSMTPサーバ5に接続する側)に向けて、レイヤ4以下のフィールド情報を基にフィルタリングを行うスタティックパケットフィルタリング部11と、各サーバ4,5の代理でTCPの処理を一旦終端し、3ウェイ−ハンドシェーク処理を行ってからそのサーバへトラヒックを転送するTCPインターセプト部12と、各サーバ4,5のアドレスを送信先アドレスとするトラヒックを発信元アドレスごとに監視し、レイヤ4以下の情報を基にDoS/DDoS攻撃を検知し対処を依頼するL4不特定検知部13と、L4不特定検知部13からの依頼により指定されたフローに対しフィルタリングまたはレートリミットの設定を行うL4ACL/レート制限ダイナミック設定部14とが、ファイアウォール装置3内のバスを介して直列に接続した構成を有する。L4不特定検知部13は、例えば、トラヒック量が一定のしきい値を越えた場合に、上述した依頼として、そのフローのフィルタリングまたはレートリミットをL4ACL/レート制限ダイナミック設定部14に命令するなどの処理を行う。
具体的には、スタティックパケットフィルタリング部11は、イングレス側から入力したパケットのIPヘッダ及びTCPヘッダ情報を基に、トラヒックのフィルタリングを行う。例えば、UDP(User Datagram Protocol)パケット、ICMP(Internet Control Message Protocol)パケット、TCPパケットのうち、防御対象のサーバ4,5が処理対象とするプロトコルの予約済みポート番号を持たないパケットについては、破棄される。どのポート番号のパケットを通すかは、保守者(ファイアウォール装置の管理者)によって設定される。これにより、UDPフラッド(洪水)やICMPスキャンなどの攻撃トラヒックを排除できる。これは、低レイヤでのDoS/DDoS攻撃を防御する従来のファイアウォール装置にも一般的に設けられている機能である。IPはレイヤ3のプロトコルであり、TCPはレイヤ4のプロトコルであるから、スタティックパケットフィルタリング部11は、レイヤ4以下のフィールド情報に基づいてフィルタリングを行っていることになる。
TCPインターセプト部12は、TCPをステートフル(stateful)に検知し、TCP−SYNフロッド(洪水)やTCPポートスキャンなどのTCPを基調とする攻撃パケットを廃棄するばかりでなく、TCPシーケンスの正常性を確認してからパケットを転送する。TCPシーケンスの正常性を確認するので、発信元アドレスを詐称したパケットもここで廃棄され、詐称アドレスパケットについてもここで防御されることになる。TCPはレイヤ4のプロトコルであるから、TCPインターセプト部12は、レイヤ4以下の情報に基づいてレイヤ4での処理を行っていることになる。
L4不特定検知部13は、レイヤ4以下の情報を基にDoS/DDoS攻撃の検出を行い、検出されたDoS/DDoS攻撃フローについてフィルタリングまたはレート(転送速度)制限の対処を行うように、L4ACL/レート制限ダイナミック設定部14へ命令する。ここではL4不特定検知部13による、攻撃検知とL4ACL/レート制限ダイナミック設定部14への設定の指示とをまとめて、検知・設定連携機能と呼ぶ。L4不特定検知部13は、例えば、予め設定されたエンドノード(サーバ)への各ユーザ端末(あるいは他のノード)からのトラヒックを発信元アドレスごとに検知しそのトラヒック量がしきい値を上回ったときにDoS/DDoS攻撃と判断し、DoS/DDoS攻撃を検出する。
L4ACL/レート制限ダイナミック設定部14は、L4不特定検知部13からの命令にしたがってフィルタリングあるいはレート制限を行うことにより、結果として、レイヤ4以下のフィールドの値によってフィルタリングあるいはレート制限を行っている。スタティックパケットフィルタリング部11でのフィルタリングあるいはレート制限の設定は保守者によって行われるが、このL4ACL/レート制限ダイナミック設定部14でのフィルタリングあるいはレート制限の設定は、基本的には、L4不特定検知部13のみが行っている。すなわち、非常時に強制的に設定しなければならないという例外的な場合を除き、保守者は、L4ACL/レート制限ダイナミック設定部14に対するフィルタリングあるいはレート制限の設定を行わない。
さらに、ファイアウォール装置3には、各機能部(スタティックパケットフィルタリング部11、TCPインターセプト部12、L4不特定検知部13及びL4ACL/レート制限ダイナミック設定部14)で処理を行う際に用いられる値やパラメータを設定する設定部15と、保守者によってそれらの値やパラメータが入力されるキーボードやマウスなどの入力装置16と、それらの値やパラメータを設定するための画面を保守者に対し表示する表示装置17と、を備えている。ただし、L4ACL/レート制限ダイナミック設定部14に対する値の設定は、上述したように、ごく例外的な場合にしか行われない。
次に、本実施形態の動作の説明に先立って、IPヘッダ及びTCPヘッダの構成と、SIP及びSMTPでの処理について説明する。
図3は、IPヘッダー及びTCPヘッダーの各フィールドを示す。ここに示したIPヘッダ及びTCPヘッダの構成は、当業者には周知のものである。
図4は、IP電話の中継に用いられTCP上のプロトコルであるSIP(RFC3261を参照)での処理を示すシーケンス図である。発呼側のユーザ端末から着呼側のユーザ端末に発呼する際の処理を示している。まず、発呼側のユーザ端末から、INVITE(インバイト)メッセージをSIPサーバに送ると(ステップ401)、SIPサーバは、INVITEメッセージを着呼側のユーザ端末に送り(ステップ402)、続いて、Tryingメッセージを発呼側のユーザ端末に送る(ステップ403)。着呼側のユーザ端末は、SIPサーバに、Tryingメッセージを送り(ステップ404)、引き続いて、呼び出し音に相当するRingingメッセージを送る(ステップ405)。これを受けてSIPサーバは、Ringingメッセージを発呼側のユーザ端末に送る(ステップ406)。着呼側のユーザ端末は、着呼の準備ができるとOKメッセージをSIPサーバに送り(ステップ407)、これを受けてSIPサーバは、OKサーバを発呼側のユーザ端末に送る(ステップ408)。OKメッセージを受け取ると発呼側の端末はACK(肯定応答)メッセージをSIPサーバに送り(ステップ409)、SIPサーバはACKメッセージを着呼側のユーザ端末に送信する(ステップ410)。
以上の処理により、発呼側と着呼側のユーザ端末間の接続経路が確立するから、発呼側と着呼側のユーザ端末間での通信が開始する(ステップ411)。通信が終了すると、終話を伝えるBYEメッセージが発呼側のユーザ端末からSIPサーバに送られ(ステップ412)、SIPサーバはBYEメッセージを着呼側のユーザ端末に送る(ステップ413)。これを受けて着呼側のユーザはOKメッセージをSIPサーバに送り(ステップ414)、SIPサーバがOKメッセージを発呼側のユーザ端末に送る(ステップ415)。以上により、一連の呼の処理が終了する。
図5は、電子メールの中継に用いられTCP上のプロトコルであるPOP3(RFC1939ほかを参照)での処理を示すシーケンス図である。
SMTPサーバ内にユーザ向けの電子メールメッセージが既に蓄積されているとして、ユーザ端末からSMTPサーバにUSERメッセージを送ると(ステップ501)、SMTPサーバはユーザ端末に+OKレスポンスを返し(ステップ502)、その後、ユーザ端末とSMTPサーバとの間で、ユーザ認証交換が行われ(ステップ503)、認証後、サーバ内のメッセージ情報の確認が行われる(ステップ504)。続いて、ユーザ端末はSMTPサーバからメッセージをダウンロードし(ステップ505)、ダウンロード後、ユーザ端末からSMTPサーバに対してメッセージ削除要求が行われる(ステップ506)。最後に、ユーザ端末からSMTPサーバに完了通知を送信し(ステップ507)、ユーザ端末とSMTPサーバのそれぞれで通信の切断処理が行われる(ステップ508)。
このようにして、SMTPサーバからユーザ端末に電子メールのメッセージを取り込む処理が行われる。
次に、本実施形態のアプリケーションサービス拒絶攻撃防御方法の動作を説明する。ここでは、図1に示したネットワーク構成において、ユーザ端末6はDoS/DDoS攻撃トラヒックを発するユーザ端末であり、ユーザ端末7は正当なユーザ端末であるとする。SIPサーバ4は、TCP上のプロトコルであるSIPのサーバとして動作し、SMTPサーバ5は、TCP上のプロトコルであるPOP3のサーバとして動作するものとする。以下では、ユーザ端末6、7からSIPサーバ4やSMTPサーバ5へのトラヒックを「上りトラヒック」とし、「上りトラヒック」とは逆方向のトラヒックを「下りトラヒック」とする。
ここで、ユーザ端末6は、各サーバ4,5に向けて、レイヤ5以上の処理を行うメッセージを多数送信し、サーバ4,5及びそこまでのネットワークを過負荷状態にし、ユーザ端末7を使用する正当なユーザがサービスを受けるのを妨害するものとする。
本実施形態では、図1に示すように、エッジルータ1の出口インタフェース8へインラインにファイアウォール装置3を設置し、ここで、DoS/DDoS攻撃の検知・対処を行う。
ファイアウォール装置3のスタティックパケットフィルタリング部11では、まず、設定部15によって、上りトラヒックに対して、「IPヘッダでは、発信元アドレス=SIPサーバのアドレス、プロトコルフィールド=6(TCP)、TCPヘッダでは、送信先ポート=5060(SIPプロトコルのウェルノーウン(周知;well-known)ポート)」及び「IPヘッダでは、発信元アドレス=SMTPサーバのアドレス、プロトコルフィールド=6(TCP)、TCPヘッダでは、送信先ポート=110(POP3プロトコルのウェルノーウンポート)」のみを通過可能とする設定を行う。これにより、UDPフラッド(洪水)やICMPフラッドなどの攻撃パケットは廃棄できる。
TCPインターセプト部12における具体的な処理シーケンスが図6に示されている。TCPインターセプト部12は、ユーザ端末とエンドノードとの間で3ウェイ−ハンドシェーク処理を行うものであるが、ユーザ端末からのTCP−SYNパケットを検知したとき(ステップ601)に、すぐには転送せず、一旦保留し、エンドノード(サーバ)の代理として、ユーザ端末にTCP−SYN+ACKパケットを返送する(ステップ602)。ユーザ端末が発信元アドレスを詐称してTCP−SYNパケットを送信していた場合には、このTCP−SYN+ACKパケットは、そのユーザ端末には届かない。
ユーザ端末は、TCP−SYN+ACKパケットを受け取るとTCP−ACKパケットをファイアウォール装置に送信する(ステップ603)はずであるが、TCP−SYNフラッド攻撃を行っている場合には、TCP−ACKパケットを返さない。そこでTCPインターセプト部12は、ユーザ端末よりそのTCP−ACKパケットが帰ってきたときに、そのTCP−ACKパケットをすぐにはエンドノードには転送せず、まず、保留していたTCP−SYNパケットをエンドノードに転送する(ステップ604)。後は、エンドノードよりTCP−SYN+ACKパケットが返送されたとき(ステップ605)に、そのTCP−SYN+ACKパケットをユーザ端末へは転送せず、留めていたTCP−ACKパケットをエンドノードへ転送する(ステップ606)。その後、コネクションが確立すると、ユーザ端末はTCPデータを送信する(ステップ607)が、ファイアウォール装置3は、そのTCPデータをそのままエンドノードに転送する(ステップ608)。
このようにして、TCPインターセプト部12は、TCPセッションの状態を監視し、ユーザ端末からのシーケンスにそぐわないパケットを廃棄する。これによりユーザからの発信元アドレスを詐称したパケットは廃棄でき、また、不正なTCPパケットも廃棄できる。このことから、TCPインターセプト部12の段階で、TCPパケットを用いたほとんどのDoS/DDoS攻撃パケットを廃棄できる。
図7は、L4不特定検知部13での処理を示すフローチャートである。L4不特定検知部13は、ある発信元アドレスのトラヒックに関してL4ACL/レート制限ダイナミック設定部14に対してフィルタリングあるいはレート制限を命令した場合にその発信元アドレスを登録する設定テーブルを備えている。そしてL4不特定検知部13は、上りトラヒックについて、予め設定されたエンドノードへのユーザ端末からのトラヒックを発信元アドレスごとに検知し、攻撃の対象となるエンドノードについての、発信元アドレスごとに予め設定された単位時間T当たりのトラヒック量をその単位時間で割った値をCとする(ステップ701)。次に、検出された発信元アドレスが設定テーブルに登録されているかどうかを判定する(ステップ702)。ここで、発信元アドレスが設定テーブルに登録されていない場合には、値Cは予め設定されたしきい値Aを超えているかどうかを判定する(ステップ703)。Cがしきい値Aを超えている場合には、L4不特定検知部13は、その発信元アドレスをもつパケットをフィルタリングまたは予め指定されたしきい値Dでレート制限をかけるように、ファイアウォール装置3内のバスを介してL4ACL/レート制限ダイナミック設定部14へ命令し(ステップ704)、さらに、その発信元アドレスを設定テーブルに登録して(ステップ705)、その後、次のパケットの処理のために、ステップ701に戻る。ステップ703でCがしきい値Aを超えていない場合は、そのまま、ステップ701に戻る。
ステップ702において、その発信元アドレスが設定テーブルに登録されている場合、Cが予め設定されたしきい値Bを下回ったかどうかを判断する(ステップ706)。下回っていない場合には、ステップ701に戻り、下回っている場合には、L4不特定検知部13は、L4ACL/レート制限ダイナミック設定部14に対し、その発信元アドレスに設定した内容(フィルタリングあるいはレート制限)を解除するように命令し(ステップ707)、設定テーブルからその発信元アドレスを削除して(ステップ708)、ステップ701に戻る。同様に、ステップ702において、設定テーブルに登録されている発信元アドレスをもつパケットがその単位時間T内に検出されなかった場合には、L4不特定検知部13は、ステップ707に移行して、L4ACL/レート制限ダイナミック設定部14に対し、その発信元アドレスに設定した内容を解除するように命令する。
以上の処理において、ステップ701でのエンドノードの送信先アドレス、単位時間T、しきい値A,B,Dは、いずれも、保守者によって、送信先アドレスごと(エンドノードごと)に設定されるものである。
図8は、保守者が設定部15を用いてL4不特定検知部13に対して設定を行う際に、表示装置16上に表示される保守者設定画面21の一例を示している。図8に示したものでは、「対象エンドノード指定のIPアドレスとして、SIPサーバのアドレス、トラヒック検知単位時間T=1000msec、しきい値Aについては、1秒間にSIPプロトコルのINVITEメッセージを10個検知した場合に攻撃と判断することを前提として、INVITEメッセージ10個分(TCPなどの下位レイヤシーケンス分トラヒックも含む)のトラヒック量、しきい値Bとしては、しきい値Aの約80%としてINVITEメッセージ8個分のトラヒック量、検出時の対処処理としてはフィルタリングを選択」、及び「対象エンドノード指定のIPアドレスとして、SMTPサーバのアドレス、トラヒック検知単位時間T=1000msec、しきい値Aについては、1秒間にPOP3プロトコルのUSERメッセージを10個検知した場合に攻撃と判断することを前提として、USERメッセージ10個分(TCPなどの下位レイヤシーケンス分トラヒックも含む)のトラヒック量、しきい値Bとしては、しきい値Aの約80%としてUSERメッセージ8個分のトラヒック量、検出時の対処処理としてはフィルタリングを選択」の2つを予め設定している。このような設定を行うことにより、SIPサーバ、SMTPサーバへの攻撃が発生した場合、それらに対して自動的に防御し、攻撃終了時には自動的に解除することができる。
L4ACL/レート制限ダイナミック設定部14は、上りトラヒックに対して、L4不特定検知部13で発見したDoS/DDoS攻撃フローについてフィルタリング(具体的には発信元アドレスに基づくフィルタリング)あるいはレート制限を行う。レート制限を選択する場合には、上述したように予め指定したしきい値Dを基にレート制限を行う。さらに、L4ACL/レート制限ダイナミック設定部14は、L4不特定検知部13がDoS/DDoS攻撃の終了を検出した場合に、それに基づいて、フィルタリングあるいはレート制限の設定の解除を行う。
このようにして本実施形態によれば、以上述べた構成のファイアウオール装置3にユーザ端末からエンドノードへのトラヒックを通すことにより、高精度にDoS/DDoS攻撃を検知・防御することができる。
以上説明したファイアウォール装置は、それを実現するためのコンピュータプログラムを、サーバ用コンピュータなどのコンピュータに読み込ませ、そのプログラムを実行させることによっても実現できる。そのようなプログラムは、CD−ROMなどの記録媒体によって、あるいは、ネットワークを介して、コンピュータに読み込まれる。そのようなコンピュータは、一般に、CPU(中央処理装置)と、プログラムやデータを格納するためのハードディスク装置と、主メモリと、キーボードやマウスなどの入力装置と、CRTなどの表示装置と、CD−ROM等の記録媒体を読み取る読み取り装置と、ネットワークと接続するためのインタフェースとから構成されている。このコンピュータでは、ファイアウォール装置を実現するためのプログラムを記録媒体から読み出しあるいはネットワークを介してダウンロードしてハードディスク装置に格納し、ハードディスク装置に格納されたプログラムをCPUが実行することにより、ファイアウォール装置として機能することになる。
本発明のアプリケーションサービス拒絶攻撃防御方法が適用されるネットワークの構成の一例を示す図である。 ファイアウォール装置の構成を示すブロック図である。 IPヘッダ及びTCPヘッダにおける各フィールドを説明する図である。 SIPプロトコルを示すシーケンス図である。 SMTPプロトコルを示すシーケンス図である。 TCPインターセプト部での処理の一例を示すシーケンス図である。 L4不特定検知部での処理を示すフローチャートである。 L4不特定検知部及びL4ACL/レート制限ダイナミック設定部で用いる値を設定するための保守者設定画面の一例を示す図である。
符号の説明
1,2 エッジルータ
3 ファイアウォール装置
4 SIPサーバ
5 SMTPサーバ
6,7 ユーザ端末
8 出口インタフェース
10 コアネットワーク
11 スタティックパケットフィルタリング部
12 TCPインターセプト部
13 L4不特定検知部
14 L4ACL/レート制限ダイナミック設定部
15 設定部
16 入力装置
17 表示装置
21 保守者設定画面

Claims (11)

  1. IPネットワーク内に設置されるエンドノードを、該エンドノードのレイヤ5以上の処理をターゲットとするTCP上のDoS攻撃またはDDoS攻撃から防御するためのアプリケーションサービス拒絶攻撃防御方法であって、
    前記エンドノードを収容するエッジノードの該エンドノードへの出口回線に設置されたファイアウォール装置が、レイヤ4以下のフィールド情報を基にフィルタリングを行う第1の処理と、前記第1の処理の後、前記エンドノードの代理でTCPの処理を一旦終端し、3ウェイ−ハンドシェーク処理を行ってから前記エンドノードへトラヒックを転送する第2の処理と、前記エンドノードのアドレスを送信先アドレスとするトラヒックを発信元アドレスごとに監視し、レイヤ4以下の情報に基づいて攻撃を検知し対処を依頼する第3の処理と、前記第3の処理からの依頼により指定されたフローに対してトラヒックの制限を行う第4の処理と、
    を実行する、アプリケーションサービス拒絶攻撃防御方法。
  2. 前記第3の処理は、前記のレイヤ4以下の情報として前記発信元アドレスごとのトラヒック量が一定のしきい値を越えた場合に、前記攻撃があるものと検知する、請求項1に記載のアプリケーションサービス拒絶攻撃防御方法。
  3. 前記攻撃に関連する発信元アドレスからのトラヒック量が復帰しきい値を下回った場合に、前記トラヒックの制限を解除する、請求項2に記載のアプリケーションサービス拒絶攻撃防御方法。
  4. 前記トラヒックの制限は、該当するフローのフィルタリングまたはレート制限である、請求項1乃至3のいずれか1項に記載のアプリケーションサービス拒絶攻撃防御方法。
  5. IPネットワーク内に設置されるエンドノードを、該エンドノードのレイヤ5以上の処理をターゲットとするTCP上のDoS攻撃またはDDoS攻撃から防御するためのアプリケーションサービス拒絶攻撃防御システムであって、
    前記エンドノードを収容するエッジノードの該エンドノードへの出口回線に設置されたファイアウォール装置を有し、
    前記ファイアウォール装置は、
    該ファイアウォール装置のイングレス端に設けられ、レイヤ4以下のフィールド情報を基にフィルタリングを行うスタティックパケットフィルタリング部と、
    前記スタティックパケットフィルタリング部を通過したトラヒックに対して前記エンドノードの代理でTCPの処理を一旦終端し、3ウェイ−ハンドシェーク処理を行ってから前記エンドノードへ前記トラヒックを転送するTCPインターセプト部と、
    前記エンドノードのアドレスを送信先アドレスとするトラヒックを発信元アドレスごとに監視し、レイヤ4以下の情報を基にDoS/DDoS攻撃を検知し対処を依頼するL4不特定検知部と、
    前記L4不特定検知部からの依頼により指定されたフローに対しトラヒックの制限を行うL4ACL/レート制限ダイナミック設定部と、
    を有する、アプリケーションサービス拒絶攻撃防御システム。
  6. 前記L4不特定検知部は、前記のレイヤ4以下の情報として前記発信元アドレスごとのトラヒック量が一定のしきい値を越えた場合に、前記攻撃があるものと検知する、請求項5に記載のアプリケーションサービス拒絶攻撃防御システム。
  7. 前記L4不特定検知部は、前記攻撃に関連する発信元アドレスからのトラヒック量が復帰しきい値を下回った場合に、前記トラヒックの制限を解除するように前記L4ACL/レート制限ダイナミック設定部に依頼する、請求項6に記載のアプリケーションサービス拒絶攻撃防御システム。
  8. 前記一定のしきい値及び前記復帰しきい値を設定する設定部をさらに有する請求項7に記載のアプリケーションサービス拒絶攻撃防御システム。
  9. 前記トラヒックの制限は、該当するフローのフィルタリングまたはレート制限である、請求項5乃至8のいずれか1項に記載のアプリケーションサービス拒絶攻撃防御システム。
  10. 前記ファイアウォール装置において、該ファイアウォール装置のイングレス側からエグレス側に向けて、前記スタティックパケットフィルタリング部と前記TCPインターセプト部と前記L4不特定検知部と前記L4ACL/レート制限ダイナミック設定部とがこの順で直列に設けられている、請求項5乃至8のいずれか1項に記載のアプリケーションサービス拒絶攻撃防御システム。
  11. IPネットワーク内に設置されたエンドノードを収容するエッジノードの該エンドノードへの出口回線に設置されたファイアウォール装置を構成するコンピュータに、
    レイヤ4以下のフィールド情報を基にフィルタリングを行う第1の処理、
    前記第1の処理の後、前記エンドノードの代理でTCPの処理を一旦終端し、3ウェイ−ハンドシェーク処理を行ってから前記エンドノードへトラヒックを転送する第2の処理、
    前記エンドノードのアドレスを送信先アドレスとするトラヒックを発信元アドレスごとに監視し、レイヤ4以下の情報に基づいて攻撃を検知し対処を依頼する第3の処理、
    前記第3の処理からの依頼により指定されたフローに対してトラヒックの制限を行う第4の処理、
    を実行させるプログラム。
JP2004241262A 2004-08-20 2004-08-20 アプリケーションサービス拒絶攻撃防御方法及びシステム並びにプログラム Active JP4284248B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004241262A JP4284248B2 (ja) 2004-08-20 2004-08-20 アプリケーションサービス拒絶攻撃防御方法及びシステム並びにプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004241262A JP4284248B2 (ja) 2004-08-20 2004-08-20 アプリケーションサービス拒絶攻撃防御方法及びシステム並びにプログラム

Publications (2)

Publication Number Publication Date
JP2006060599A true JP2006060599A (ja) 2006-03-02
JP4284248B2 JP4284248B2 (ja) 2009-06-24

Family

ID=36107699

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004241262A Active JP4284248B2 (ja) 2004-08-20 2004-08-20 アプリケーションサービス拒絶攻撃防御方法及びシステム並びにプログラム

Country Status (1)

Country Link
JP (1) JP4284248B2 (ja)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008028740A (ja) * 2006-07-21 2008-02-07 Secure Ware:Kk 通信制御装置、通信制御方法、及びコンピュータプログラム
JP2008118478A (ja) * 2006-11-06 2008-05-22 Nec Corp 通信制御装置、通信制御システム、通信制御方法及び通信制御プログラム
JP2008178100A (ja) * 2007-01-19 2008-07-31 Hewlett-Packard Development Co Lp コンピュータネットワークをパケットフラッド(flood)から保護するための方法及びシステム
JP2010244134A (ja) * 2009-04-01 2010-10-28 Mitsubishi Electric Corp Urlフィルタリング装置およびurlフィルタリング方法
JP2012191272A (ja) * 2011-03-08 2012-10-04 Fujitsu Ltd 帯域制御装置、与信度管理サーバー、及び帯域制御システム
CN103095676A (zh) * 2011-11-04 2013-05-08 株式会社日立制作所 过滤系统以及过滤方法
JP2013201478A (ja) * 2012-03-23 2013-10-03 Nec Corp ネットワークシステム、スイッチ、及び通信遅延短縮方法
JP2017123593A (ja) * 2016-01-08 2017-07-13 Necエンジニアリング株式会社 パケットフィルタリング装置、パケットフィルタリング方法およびパケットフィルタリングプログラム
JP2018032975A (ja) * 2016-08-24 2018-03-01 Necプラットフォームズ株式会社 中継装置、通信システム、中継方法、及び中継用プログラム
CN112311731A (zh) * 2019-07-29 2021-02-02 联合汽车电子有限公司 车载处理器、车载控制器及通信方法
WO2022034896A1 (ja) * 2020-08-12 2022-02-17 株式会社 Preferred Networks 通信装置及び通信方法

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102404334A (zh) * 2011-12-07 2012-04-04 山石网科通信技术(北京)有限公司 拒绝服务攻击防护方法及装置

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008028740A (ja) * 2006-07-21 2008-02-07 Secure Ware:Kk 通信制御装置、通信制御方法、及びコンピュータプログラム
JP2008118478A (ja) * 2006-11-06 2008-05-22 Nec Corp 通信制御装置、通信制御システム、通信制御方法及び通信制御プログラム
JP2008178100A (ja) * 2007-01-19 2008-07-31 Hewlett-Packard Development Co Lp コンピュータネットワークをパケットフラッド(flood)から保護するための方法及びシステム
JP4694578B2 (ja) * 2007-01-19 2011-06-08 ヒューレット−パッカード デベロップメント カンパニー エル.ピー. コンピュータネットワークをパケットフラッド(flood)から保護するための方法及びシステム
JP2010244134A (ja) * 2009-04-01 2010-10-28 Mitsubishi Electric Corp Urlフィルタリング装置およびurlフィルタリング方法
JP2012191272A (ja) * 2011-03-08 2012-10-04 Fujitsu Ltd 帯域制御装置、与信度管理サーバー、及び帯域制御システム
CN103095676A (zh) * 2011-11-04 2013-05-08 株式会社日立制作所 过滤系统以及过滤方法
JP2013201478A (ja) * 2012-03-23 2013-10-03 Nec Corp ネットワークシステム、スイッチ、及び通信遅延短縮方法
JP2017123593A (ja) * 2016-01-08 2017-07-13 Necエンジニアリング株式会社 パケットフィルタリング装置、パケットフィルタリング方法およびパケットフィルタリングプログラム
JP2018032975A (ja) * 2016-08-24 2018-03-01 Necプラットフォームズ株式会社 中継装置、通信システム、中継方法、及び中継用プログラム
CN112311731A (zh) * 2019-07-29 2021-02-02 联合汽车电子有限公司 车载处理器、车载控制器及通信方法
WO2022034896A1 (ja) * 2020-08-12 2022-02-17 株式会社 Preferred Networks 通信装置及び通信方法
US11917020B2 (en) 2020-08-12 2024-02-27 Toyota Jidosha Kabushiki Kaisha Communication device and communication method

Also Published As

Publication number Publication date
JP4284248B2 (ja) 2009-06-24

Similar Documents

Publication Publication Date Title
JP4480422B2 (ja) 不正アクセス阻止方法、装置及びシステム並びにプログラム
US8370937B2 (en) Handling of DDoS attacks from NAT or proxy devices
US7930740B2 (en) System and method for detection and mitigation of distributed denial of service attacks
KR101045362B1 (ko) 능동 네트워크 방어 시스템 및 방법
US8356349B2 (en) Method and system for intrusion prevention and deflection
US20030065943A1 (en) Method and apparatus for recognizing and reacting to denial of service attacks on a computerized network
US20110041182A1 (en) intrusion detection and notification
JP2006517066A (ja) サービス妨害攻撃の軽減
CA2548336A1 (en) Upper-level protocol authentication
JP4284248B2 (ja) アプリケーションサービス拒絶攻撃防御方法及びシステム並びにプログラム
CN109005175A (zh) 网络防护方法、装置、服务器及存储介质
JP4292213B2 (ja) サービス不能攻撃防御システム、サービス不能攻撃防御方法およびサービス不能攻撃防御プログラム
JP4278593B2 (ja) アプリケーション型サービス不能攻撃に対する防御方法およびエッジ・ルータ
JP2005293550A (ja) パブリックネットワークからの攻撃に対してプライベートネットワークを監視保護する方法およびシステム
EP1461704B1 (en) Protecting against malicious traffic
JP3966231B2 (ja) ネットワークシステムと不正アクセス制御方法およびプログラム
JP2006067078A (ja) ネットワークシステムおよび攻撃防御方法
JP4322179B2 (ja) サービス拒絶攻撃防御方法およびシステム
Armoogum et al. Survey of practical security frameworks for defending SIP based VoIP systems against DoS/DDoS attacks
JP4878630B2 (ja) 通信サーバおよびDoS攻撃防御方法
JP2006501527A (ja) ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃の確認と防御のための方法、データキャリア、コンピュータシステム、およびコンピュータプログラム
JP2008011008A (ja) 不正アクセス防止システム
JP3784799B2 (ja) 攻撃パケット防御システム
JP2005130190A (ja) 攻撃パケット防御システム
JP3917557B2 (ja) ネットワーク攻撃防止装置、ネットワーク攻撃防止方法、ネットワーク攻撃防止プログラム及びそのプログラムを記録した記録媒体

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060727

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080626

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080709

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080908

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090311

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090323

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120327

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130327

Year of fee payment: 4

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350