JP2006235876A - DoS攻撃対策システム、およびDoS攻撃対策方法 - Google Patents
DoS攻撃対策システム、およびDoS攻撃対策方法 Download PDFInfo
- Publication number
- JP2006235876A JP2006235876A JP2005047887A JP2005047887A JP2006235876A JP 2006235876 A JP2006235876 A JP 2006235876A JP 2005047887 A JP2005047887 A JP 2005047887A JP 2005047887 A JP2005047887 A JP 2005047887A JP 2006235876 A JP2006235876 A JP 2006235876A
- Authority
- JP
- Japan
- Prior art keywords
- edge router
- server
- control device
- dos attack
- release
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】サーバで検出したDoS攻撃をネットワークの入り口で規制し、DoS攻撃による影響を最小限に抑える。
【解決手段】DoS攻撃対策システムであって、サーバ4は、DoS攻撃を検出する検出手段と、DoS攻撃の検出情報をサーバ制御装置5に通知する検出通知手段とを有し、サーバ制御装置5は、サーバ4から通知された検出情報をエッジルータ制御装置6に通知する第1の通知手段を有し、エッジルータ制御装置6は、サーバ制御装置5から通知された検出情報を、エッジルータ2に通知する第2の通知手段を有し、エッジルータ2は、エッジルータ制御装置6から通知された検出情報を受け付け攻撃元装置1からサーバ4への信号を規制する規制手段を有する。
【選択図】 図3
【解決手段】DoS攻撃対策システムであって、サーバ4は、DoS攻撃を検出する検出手段と、DoS攻撃の検出情報をサーバ制御装置5に通知する検出通知手段とを有し、サーバ制御装置5は、サーバ4から通知された検出情報をエッジルータ制御装置6に通知する第1の通知手段を有し、エッジルータ制御装置6は、サーバ制御装置5から通知された検出情報を、エッジルータ2に通知する第2の通知手段を有し、エッジルータ2は、エッジルータ制御装置6から通知された検出情報を受け付け攻撃元装置1からサーバ4への信号を規制する規制手段を有する。
【選択図】 図3
Description
本発明は、DoS攻撃を検出および規制する技術に関する。
コンピュータ装置に不正なデータを大量に送信して使用不能に陥らせるDoS(Denial of Services)攻撃の防御策については、さまざまな方法が提案されている。例えば、特許文献1では、複数のルータが連携してDoS攻撃の攻撃元を追跡する方法が記述されている。また、特許文献2では、サーバなどのDoS攻撃検知装置が、受信したパケットに基づいてDoS攻撃を検知する方法が記述されている。
特開2003−333092
特開2004−140542
ところで、DoS攻撃の中には、ルータでの検出が困難なDoS攻撃が存在する。ルータでの検出が困難なDoS攻撃としては、例えば、悪意のある端末がSIP(Session Initiation Protocol)サーバに発呼要求信号を連続して送信する場合がある。この場合、発呼要求信号自体のパケットサイズは小さく、ルータでのトラフィック(単位時間当たりの送信量やスループット)はそれほど大きくないが、SIPサーバでは高負荷となる危険性がある。
また、サーバが行う各種のアプリケーション処理において、特定のコンピュータ装置については、大量の制御信号をサーバに送信することを例外として許容する場合がある。
このようなルータでの検出が困難なDoS攻撃については、サーバがDoS攻撃を検知し、パケットの廃棄などの規制処理を行う。しかしながら、DoS攻撃のパケットは、ネットワークを介してサーバに流入してしまう。このため、ルータがDoS攻撃のパケットをサーバに転送するなど不要な処理がネットワーク内に発生することで、その負荷がネットワークの各装置の正常処理に影響を及ぼす恐れがある。
本発明は上記事情に鑑みてなされたものであり、本発明の目的は、サーバで検出したDoS攻撃をネットワークの入り口で規制し、DoS攻撃の影響を最小限に抑えることにある。
上記課題を解決するために、本発明では、サーバとエッジルータとが連携してDoS攻撃の規制を行う
例えば、本発明は、DoS攻撃対策システムであって、サーバと、当該サーバを制御するサーバ制御装置と、エッジルータと、当該エッジルータを制御するエッジルータ制御装置と、を有する。そして、サーバは、DoS攻撃と、当該DoS攻撃の攻撃元装置とを検出する検出手段と、攻撃元装置を含むDoS攻撃の検出情報を、サーバ制御装置に通知する検出通知手段とを有し、サーバ制御装置は、サーバから通知された検出情報を、エッジルータ制御装置に通知する第1の通知手段を有し、エッジルータ制御装置は、サーバ制御装置から通知された検出情報を、エッジルータに通知する第2の通知手段を有し、エッジルータは、エッジルータ制御装置から通知された検出情報を受け付け当該検出情報に含まれる攻撃元装置からサーバへの信号を規制する規制手段を有する。
例えば、本発明は、DoS攻撃対策システムであって、サーバと、当該サーバを制御するサーバ制御装置と、エッジルータと、当該エッジルータを制御するエッジルータ制御装置と、を有する。そして、サーバは、DoS攻撃と、当該DoS攻撃の攻撃元装置とを検出する検出手段と、攻撃元装置を含むDoS攻撃の検出情報を、サーバ制御装置に通知する検出通知手段とを有し、サーバ制御装置は、サーバから通知された検出情報を、エッジルータ制御装置に通知する第1の通知手段を有し、エッジルータ制御装置は、サーバ制御装置から通知された検出情報を、エッジルータに通知する第2の通知手段を有し、エッジルータは、エッジルータ制御装置から通知された検出情報を受け付け当該検出情報に含まれる攻撃元装置からサーバへの信号を規制する規制手段を有する。
本発明により、DoS攻撃をネットワークの入り口で規制し、DoS攻撃の影響を最小限に抑えることができる。
以下、本発明の実施の形態について説明する。本実施形態では、SIP(Session Initiation Protocol)サーバへのDoS攻撃の対策を例に説明する。なお、SIPサーバは、音声サービス(VoIP:Voice over Internet Protocol)を端末(IP電話などのIP端末)に提供する際の呼処理制御を行うサーバである。
図1は、本発明の一実施形態が適用されたDoS攻撃対策システムの全体構成図である。
図示するDoS攻撃対策システムは、少なくとも1つの端末1と、エッジルータ2と、中継ルータ3と、SIPサーバ4と、SIPサーバ制御装置5と、エッジルータ制御装置6と、を有する。そして、端末1と、SIPサーバ4とは、エッジルータ2および中継ルータ3を介したIP(Internet Protocol)ネットワーク7により接続されている。また、SIPサーバ制御装置5とエッジルータ制御装置6とは、各種の通知を送受信するための制御用ネットワーク8により接続されている。
エッジルータ2は、ネットワークの入口(または出口)にあるルータであって、端末1を収容しているルータである。エッジルータ2は、規制処理部21と、解除処理部22と、転送部23とを有する。規制処理部21は、エッジルータ制御装置6の指示に基づいて、DoS攻撃の攻撃元端末からの信号を規制する。解除処理部22は、エッジルータ制御装置6の指示に基づいて、規制処理部21が行ったDoS攻撃の規制を解除する。
転送部23は、一般的なルータの機能であって、端末1から受け取った各種の信号を中継ルータ3に転送するとともに、中継ルータ3から受け取った各種の信号を端末1に転送する。なお、各種の信号には、端末1間の通話信号(RTP信号)、端末1―SIPサーバ4間の呼処理制御信号(SIP信号)などがある。中継ルータ3は、エッジルータ2の転送部23と同様の機能を有し、他のルータから受け取った各種の信号を別のルータに中継(転送)する。
SIPサーバ4は、前述のとおり、音声サービスを端末1に提供する際の呼処理制御を行うサーバである。SIPサーバ4は、検出部41と、規制処理部42と、解除処理部43と、呼処理部44と、記憶部45と、を有する。検出部41は、端末1からのDoS攻撃を検出する。規制処理部42は、DoS攻撃の攻撃元端末からの信号を規制する。解除処理部43は、規制処理部42が行ったDoS攻撃の規制を解除する。呼処理部44は、音声サービスを端末1に提供する際の呼処理制御(セッションの確立 等)を行う。
記憶部45には、DoS攻撃の検出対象外の装置が設定された対象外装置リスト46が記述されている。例えば、隣接するSIPサーバ(不図示)や特定の端末については、大量のSIP信号の送出がサービスの提供上不可欠な場合がある。このような装置については、DoS攻撃の対象外とするために、あらかじめ対象外装置リスト46に登録する。なお、対象外装置リスト46には、対象外とする各装置の識別情報(例えば、IPアドレス)が設定されるものとする。
SIPサーバ制御装置5は、SIPサーバを制御および管理する装置である。SIPサーバ制御装置5は、SIPサーバ4およびエッジルータ制御装置6と各種の通知を送受信する制御部51と、アラーム(警告)を出力装置(不図示)に表示する表示部52とを有する。
エッジルータ制御装置6は、エッジルータ2を制御および管理する装置である。エッジルータ制御装置6は、エッジルータ2およびSIPサーバ制御装置5と各種の通知を送受信する制御部61と、DoS攻撃の規制解除の指示をエッジルータ2に送出するためのタイマー監視部62とを有する。
上記説明した、端末1、エッジルータ2、SIPサーバ4、SIPサーバ制御装置5、および、エッジルータ制御装置6は、いずれも、例えば図2に示すようなCPU901と、メモリ902と、HDD等の外部記憶装置903と、キーボードやマウスなどの入力装置904と、ディスプレイやプリンタなどの出力装置905と、他の装置と接続するための通信制御装置906と、これらの各装置を接続するバス907と、を備えた汎用的なコンピュータシステムを用いることができる。
このコンピュータシステムにおいて、CPU901がメモリ902上にロードされた所定のプログラムを実行することにより、各装置の各機能が実現される。例えば、端末1、エッジルータ2、SIPサーバ4、SIPサーバ制御装置5、および、エッジルータ制御装置6の各機能は、端末1用のプログラムの場合は端末1のCPU901が、エッジルータ2用のプログラムの場合はエッジルータ2のCPU901が、SIPサーバ4用のプログラムの場合はSIPサーバ4のCPU901が、SIPサーバ制御装置5用のプログラムの場合はSIPサーバ制御装置5のCPU901が、そして、エッジルータ制御装置6用のプログラムの場合はエッジルータ制御装置6のCPU901が、それぞれ実行することにより実現される。
なお、SIPサーバ4の記憶部45には、SIPサーバ4のメモリ902または外部記憶装置903が用いられる。また、外部記憶装置903、入力装置904および出力装置905は、各装置の必要に応じて備えられるものとする。
次に、悪意のある端末1がSIPサーバ4にDoS攻撃を行った場合の規制処理について説明する。
図3は、規制処理の概要を模式的に示した図である。図示するように、悪意ある端末1は、SIPサーバ4に対して、DoS攻撃である大量のSIP信号を連続して送信する。なお、SIP信号には、例えば、呼接続要求信号(INVITE信号)、端末登録信号(REGISTER信号)などがある。
SIPサーバ4は、悪意端末1からのDoS攻撃を検出し、そして、SIPサーバ4上で悪意端末1のDoS攻撃の規制をする。そして、SIPサーバ4は、SIPサーバ制御装置5にDoS攻撃を検出したことを通知する。SIPサーバ制御装置5は、DoS攻撃の検出通知を受け付けると、エッジルータ制御装置6にDoS攻撃の検出通知を送信する。そして、エッジルータ制御装置6は、DoS攻撃の検出通知を受け付けると、エッジルータ2に対してDoS攻撃の規制を指示する。エッジルータ2は、エッジルータ制御装置6の指示(制御)により、エッジルータ2上で悪意端末1のDoS攻撃の規制をする。すなわち、エッジルータ2は、悪意端末1からSIPサーバ4へのSIP信号を廃棄する。
次に、図3で説明したDoS攻撃の規制処理を、より詳細に説明する。
図4は、規制処理の処理フロー図である。まず、SIPサーバの検出部41は、端末1から送信されたSIP信号を受信し、当該SIP信号のフォーマットおよびパラメータ(設定されたデータ内容)が正常であるか否かを判別する(S11)。SIP信号が不正常な場合(S11:NO)、検出部41は、SIP信号のヘッダ情報を解析して、当該SIP信号の発信元装置(発信元IPアドレス)を特定する。
そして、検出部41は、発信元装置から所定の単位時間(監視時間)内に受信した不正常なSIP信号数をカウントする。すなわち、検出部41は、SIP信号数をカウントするための監視テーブルを参照し、発信元装置の不正常なSIP信号数をカウントアップする。なお、監視テーブルに発信元装置が存在しない場合、検出部41は、監視テーブルに当該発信装置を新規に追加し、現時点から所定の監視期間内に受信する不正常なSIP信号数を監視する。また、検出部41は、所定の監視時間が満了すると、監視テーブルから監視時間が満了した発信元装置を監視テーブルから削除(または、当該発信元装置の不正常なSIP信号数をゼロクリア)する。また、監視テーブルは、図示しないが記憶部45に記憶されているものとする。
そして、検出部41は、カウントしたSIP信号数が所定の閾値を超えているか否かを判別する(S12)。SIP信号数が閾値より小さい場合(S12:NO)、検出部41は、DoS攻撃とみなさず、S11で受信したSIP信号を廃棄またはエラーレスポンスを返却する(S13)。一方、SIP信号数が閾値を超える場合(S12:YES)、検出部41は、DoS攻撃とみなし、後述するS17の処理を行う。
また、SIP信号が正常な場合(S11:YES)、検出部41は、SIP信号のヘッダ情報を解析して、当該SIP信号の発信元装置(発信元IPアドレス)を特定する。そして、検出部41は、特定した発信元装置がDoS攻撃の検出対象か否かを判別する(S14)。すなわち、検出部41は、特定した発信元装置の発信元IPアドレスが、記憶部45の対象外装置リスト46に存在するか否かを判別する。
発信元装置が検出対象外の場合、すなわち、対象外装置リスト46に存在する場合(S14:NO)、検出部41は、S11で受信したSIP信号はDoS攻撃ではない正常なSIP信号であると判別し、SIP信号を呼処理部44に引き渡す。そして、呼処理部44は、SIP信号に設定された呼処理制御を行う(S16)。
また、発信元装置が検出対象の場合、すなわち、対象外装置リスト46に存在しない場合(S14:YES)、検出部41は、S12と同様に監視テーブルを参照して、発信元装置の単位時間(監視時間)当たりの正常なSIP信号数をカウントする。そして、検出部41は、カウントしたSIP信号数が所定の閾値を超えているか否かを判別する(S15)。SIP信号数が閾値より小さい場合(S15:NO)、検出部41は、S11で受信したSIP信号はDoS攻撃ではない正常なSIP信号であると判別し、SIP信号を呼処理部44に引き渡す。そして、呼処理部44は、SIP信号に設定された呼処理制御を行う(S16)。
一方、SIP信号数が閾値を超えている場合(S15:YES)、検出部41は、S11で受信したSIP信号はDoS攻撃であると判別する。これにより、規制処理部42は、DoS攻撃に対する規制を行う(S17)。すなわち、規制処理部42は、所定の時間が経過するまで、発信元装置から送信されたSIP信号(S11で受信したSIP信号を含む)を廃棄する。また、規制処理部42は、所定の時間が経過するまで、S11で受信したSIP信号以外に新たなSIP信号を発信元装置から受信したか否かを監視する。
そして、規制処理部42は、SIPサーバ制御装置5にDoS攻撃の検出を通知するための検出通知を送信する(S18)。なお、検出通知には、S11で受信したSIP信号に含まれる発信元装置に関する情報(発信元IPアドレス)、および、着信先装置に関する情報(着信先IPアドレス)などが含まれる。
そして、SIPサーバ制御装置5の制御部51は、SIPサーバ4から検出通知を受信する。そして、制御部51は、受信した検出通知に基づいて所定のフォーマットの検出通知メッセージを生成し、制御用ネットワーク8を介して、検出通知メッセージをエッジルータ制御装置6に送信する(S19)。なお、検出通知メッセージのデータ項目については後述する。
そして、エッジルータ制御装置6の制御部61は、SIPサーバ制御装置5から検出通知メッセージを受信する。そして、制御部61は、受信した検出通知メッセージの内容に基づいて、対象となるエッジルータ2にDoS攻撃の規制処理を指示する(S20)。なお、制御部61は、検出通知メッセージに含まれる発信元装置に関する情報から対象となるエッジルータ2を特定するものとする。すなわち、制御部61は、例えば、発信元IPアドレスとエッジルータとの対応テーブルを参照し、エッジルータ2を特定する。なお、対応テーブルはエッジルータ2のメモリまたは外部記憶装置に記憶されているものとする。
そして、エッジルータ2の規制処理部21は、エッジルータ制御装置6の指示を受け付け、DoS攻撃に対する規制を行う(S21)。すなわち、規制処理部21は、エッジルータ制御装置6から後述する規制解除の指示を受け付けるまで、発信元装置から送信されたSIP信号を廃棄する。
なお、前述のS17において、SIPサーバ4の規制処理部42は、所定の時間が経過するまで、S11で受信したSIP信号以外の新たなSIP信号を、発信元装置から受信したか否かを監視する。そして、規制処理部42は、この監視期間中に発信元装置から新たなSIP信号を受信した場合、SIPサーバ制御装置5にDoS攻撃の検出を通知するS18の処理を再度行う。これにより、SIPサーバ制御装置5、エッジルータ制御装置6、および、エッジルータ2は、それぞれS19からS21の処理を行う。
例えば、制御用ネットワーク8の障害によってS19の検出通知メッセージの送信に失敗し、エッジルータ2にDoS攻撃の規制指示が行われなかった場合がある。このような場合に、SIPサーバ4の規制処理部42がSIP信号を監視し、SIP信号を検知した場合にS18の処理をリトライすることによって、エッジルータ2は、確実にDoS攻撃に対する規制(S21)を行うことができる。
次に、図4で説明したDoS攻撃の規制の解除処理について説明する。
図5は、規制解除処理の処理フロー図である。まず、SIPサーバ4の解除処理部43は、規制処理(図4:S17)から所定の時間が経過した後、規制処理を解除する(S31)。すなわち、解除処理部43は、発信元装置からのSIP信号の廃棄および監視(図4:S17)を解除する。なお、解除処理部43は、例えばOS(Operating System)などのタイマー機能を用いることにより、所定の時間が経過したか否かを判別する。
また、所定の時間の経過前にDoS攻撃が終了したことが明からな場合、システム保守者は、SIPサーバ4の入力装置を用いて規制解除指示(コマンド)を入力することとしてもよい。この場合、解除処理部43は、規制解除指示を受け付け、規制処理を解除する。
そして、解除処理部43は、SIPサーバ制御装置5に、解除通知を送信する(S32)。なお、解除通知には、規制処理の対象の発信元装置に関する情報(発信元IPアドレス)、および、着信先装置に関する情報(着信先IPアドレス)などが含まれる。
そして、SIPサーバ制御装置5の制御部51は、SIPサーバ4から解除通知を受信する。そして、制御部51は、受信した解除通知に基づいて所定のフォーマットの解除通知メッセージを生成し、制御用ネットワーク8を介して、エッジルータ制御装置6に解除通知メッセージを送信する(S33)。なお、解除通知メッセージのデータ項目については後述する。
そして、エッジルータ制御装置6の制御部61は、SIPサーバ制御装置5から解除通知メッセージを受信する。そして、制御部61は、受信した解除通知メッセージの内容に基づいて、対象となるエッジルータ2にDoS攻撃の規制解除処理を指示する(S34)。なお、制御部61は、解除通知メッセージに含まれる発信元装置に関する情報から対象となるエッジルータ2を特定するものとする。
なお、例えば制御用ネットワーク8の障害によって解除通知メッセージの送信に失敗し、エッジルータ制御装置6に解除通知メッセージが届かない場合がある。このような場合を考慮し、エッジルータ制御装置6のタイマー監視部62は、SIPサーバ制御装置5から検出通知メッセージを受信後(図4:S19)、所定の時間内に解除通知メッセージを受信したか否かを監視する。そして、所定の時間内に解除通知メッセージを受信しない場合、タイマー監視部62は、対象となるエッジルータ2にDoS攻撃の規制解除処理を指示する(S34)。なお、タイマー監視部62は、検出通知メッセージの受信時に(図4:S19)、検出通知メッセージをメモリまたは外部記憶装置に記憶し、検出通知メッセージに含まれる発信元装置に関する情報から対象となるエッジルータ2を特定するものとする。
エッジルータ2の解除処理部22は、エッジルータ制御装置6から規制解除の指示を受け付ける。そして、解除処理部22は、S12と同様に監視テーブルを参照して、規制解除の対象装置(DoS攻撃の発信元装置)の単位時間(監視時間)当たりのSIP信号数をカウントする。そして、解除処理部22は、カウントしたSIP信号数が所定の閾値を超えているか否かを判別する(S35)。
SIP信号数が閾値を超える場合(S35:YES)、解除処理部22は、DoS攻撃は未だ収束していないと判別し、エッジルータ制御装置6に規制の解除を拒否する規制解除拒否通知を送信する(S36)。そして、エッジルータ制御装置6の制御部61は、SIPサーバ制御装置5に規制解除拒否通知メッセージを送信する(S37)。なお、規制解除拒否通知メッセージのデータ項目については後述する。
SIPサーバ制御装置5の制御部51は、規制解除拒否通知メッセージを受信すると、表示部52を制御して警告メッセージ(エラーメッセージ)を出力装置に出力する。システム保守者は、SIPサーバ制御装置5の出力装置に表示された警告メッセージを見ることにより、DoS攻撃が未だ収束していないことを把握することができる。
なお、SIP信号数が閾値を超える場合(S35:YES)、エッジルータ2の解除処理部22は、SIP信号数が閾値より小さくなるまで継続して単位時間当たりのSIP信号数をカウントし、SIP信号数が閾値より小さくなった場合にS38に進むものとする。
一方、SIP信号数が閾値より小さい場合(S35:NO)、解除処理部22は、DoS攻撃は収束したと判別し、図4のS21の規制処理を解除する(S38)。 そして、解除処理部22は、S36の規制解除拒否通知を送信したか否かを判別する(S39)。規制解除拒否通知を送信済みの場合(S39:YES)、解除処理部22は、エッジルータ制御装置6に規制解除完了通知を送信する(S40)。そして、エッジルータ制御装置6の制御部61は、規制解除拒否通知を受信し、SIPサーバ制御装置5に規制解除完了通知メッセージを送信する(S41)。なお、規制解除完了通知メッセージのデータ項目については後述する。
SIPサーバ制御装置5の制御部51は、規制解除完了通知メッセージを受信すると、表示部52を制御してエッジルータ2での規制解除処理が完了したことを示す完了メッセージを出力装置に出力する。システム保守者は、SIPサーバ制御装置5の出力装置に表示された完了メッセージを見ることにより、DoS攻撃が収束し、規制解除処理が完了したことを把握することができる。
次に、SIPサーバ制御装置5とエッジルータ制御装置6との間のインタフェース(各種の通知メッセージ)について説明する。
図6は、SIPサーバ制御装置5とエッジルータ制御装置6との間で送受信される各種通知メッセージのデータ項目の一例を示した図である。各通知メッセージには、トラップID61と、送信時刻62と、アラーム内容63と、アラーム発生元64とが含まれる。
トラップID61は、SIPサーバ制御装置5がSIPサーバ4およびエッジルータ制御装置6からとエッジルータ制御装置6への通知種別を識別するための情報である。また、トラップID61は、エッジルータ制御装置6が、SIPサーバ制御装置5からの通知種別およびSIPサーバ制御装置5への通知種別を識別するための情報である。SIPサーバ制御装置5は、このトラップID61を用いて検出通知メッセージおよび解除通知メッセージのみをエッジルータ制御装置6に送信し、不要なメッセージがエッジルータ制御装置6に送出されるのを防止することができる。
送信時刻62は、各通知メッセージを送信した時刻である。エッジルータ制御装置6のタイマー監視部62は、SIPサーバ制御装置5から受信した検出通知メッセージ(図4:S19)の送信時刻62から、所定の時間内に解除通知メッセージを受信したか否かを監視する(図5:S34)。
アラーム内容63には、アラーム種別と、DoS攻撃の発信元(端末)および着信先(SIPサーバ)情報と、が設定される。アラーム種別には、SIPサーバ制御装置5からエッジルータ制御装置6への通知の場合、例えば「DoS攻撃の検出通知」、「規制の解除通知」がある。また、エッジルータ制御装置6からSIPサーバ制御装置5への通知の場合、アラーム種別には、例えば「規制解除拒否通知」、「規制解除完了通知」がある。なお、図示するアラーム種別(エッジルータ制御装置6→SIPサーバ制御装置5)の例では、アラーム種別をSIPサーバ制御装置5の出力装置にそのまま出力し、システム保守者が判読できるように文章形式としている。
発信元(端末)および着信先情報には、DoS攻撃の発信元端末の発信元IPアドレスと、DoS攻撃の着信先IPアドレスと、発信元ポート番号と、着信先ポート番号とが含まれる。この発信元IPアドレスと着信先IPアドレスとに基づいて、エッジルータ2では、DoS攻撃を行っている所定の端末から所定のサーバへの信号を廃棄する。なお、発信元ポート番号および着信先ポート番号は、ポート毎にきめ細かい規制処理および規制解除処理を行う場合に、必要に応じて設定されるものとする。
なお、アラーム内容63の各データ(情報)は、エッジルータ制御装置6またはSIPサーバ制御装置5が解析可能な文字、数字または記号を使用し、各データの間にはデータ区切り記号(図示する例では、「/」(スラッシュ))を挿入する。
アラーム発生元64には、SIPサーバ制御装置5からエッジルータ制御装置6への通知の場合にはSIPサーバ4の識別情報(SIPサーバID)が、エッジルータ制御装置6からSIPサーバ制御装置5への通知の場合にはエッジルータ2の識別情報(エッジルータID)が設定される。なお、SIPサーバ4の識別情報には、例えば、現用系または予備系のSIPサーバの識別情報などがある。
以上、本発明の一実施形態を説明した。
本実施形態のDoS攻撃対策システムでは、SIPサーバ4が検出したDoS攻撃を、SIPサーバ制御装置5およびエッジルータ制御装置6を介してエッジルータ2に通知する。そして、エッジルータ2は、この検出通知を受け付けてDoS攻撃に対する規制処理を行う。これにより、SIPサーバ4のみが検出可能なDoS攻撃を、ネットワークの入り口となるエッジルータ2で規制し、SIPサーバ4へのその後のDoS攻撃を防ぐことにより、DoS攻撃の被害を最小限に抑えることができる。
また、本実施形態では、SIPサーバ制御装置5とエッジルータ制御装置6とが、同期をとって(連携して)、DoS攻撃の規制および規制解除の制御をSIPサーバ4およびエッジルータ2に行っている。これにより、SIPサーバ4とエッジルータ2との間で、不整合な規制処理(例えば、片方が規制処理を行い、もう片方が規制を行っていないなど)を行うことなく、より効果的で統一した処理を行うことができる。
また、本実施形態では、エッジルータ2での規制処理後(図4:S21)も、SIPサーバ4は継続して規制処理を行う(図4:S17)。これにより、より信頼性の高いDoS攻撃対策システムを構築することができる。
また、本実施形態のSIPサーバ4は、規制処理中(図4:S17)において、悪意端末からの信号を監視し、悪意端末からの信号を受信した場合は再度、SIPサーバ制御装置5に検出通知を送信する。これにより、SIPサーバ4のDoS攻撃検出通知が、何らかの障害によりエッジルータ2に到達しない場合であっても、このようなリトライ処理により、確実にDoS攻撃検出をエッジルータ2に通知することができる。また、本実施形態のエッジルータ制御装置6は、タイマー監視部62を有し、SIPサーバ制御装置5の解除通知メッセージがエッジルータ制御装置6に到達しない場合であっても、エッジルータ2に対して自動的に規制解除の指示を行う(図5:S34)。以上のような、SIPサーバ4とエッジルータ2間での連携ミスがあった場合であっても、DoS攻撃の影響が最小限になるような信頼性の高いシステムを構築することができる。
また、本実施形態のエッジルータ2は、規制を解除する際にDoS攻撃が収束しているか否かを判別し、DoS攻撃が収束している場合にのみ規制の解除を行う(図5:S35、S38)。これにより、DoS攻撃が収束していないにもかかわらず、誤って規制を解除し、再びSIPサーバ4がDoS攻撃に晒される危険性を防止することができる。
なお、本発明は上記の実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。例えば、上記の実施形態のDoS攻撃対策システムでは、SIPサーバ制御装置5およびエッジルータ制御装置6を有する。しかしながら、サーバ制御装置5およびエッジルータ制御装置6を統合した装置が、本実施形態のサーバ制御装置5およびエッジルータ制御装置6の機能を行うこととしてもよい。
1:端末、2:エッジルータ、21:規制処理部、22:解除処理部、23:転送部、3:中継ルータ、4:SIPサーバ、41:検出部、42:規制処理部、43:解除処理部、44:呼処理部、45:記憶部、46:対象外装置リスト、5:SIPサーバ制御装置、51:制御部、52:出力部、6エッジルータ制御装置、61:制御部、62:タイマー監視部、7:IPネットワーク、8:制御用ネットワーク
Claims (9)
- DoS攻撃対策システムであって、
サーバと、当該サーバを制御するサーバ制御装置と、エッジルータと、当該エッジルータを制御するエッジルータ制御装置と、を有し、
前記サーバは、
DoS攻撃と、当該DoS攻撃の攻撃元装置とを検出する検出手段と、
前記攻撃元装置を含むDoS攻撃の検出情報を、前記サーバ制御装置に通知する検出通知手段と、を有し、
前記サーバ制御装置は、
前記サーバから通知された検出情報を、前記エッジルータ制御装置に通知する第1の通知手段を、有し、
前記エッジルータ制御装置は、
前記サーバ制御装置から通知された検出情報を、前記エッジルータに通知する第2の通知手段を、有し、
前記エッジルータは、
前記エッジルータ制御装置から通知された検出情報を受け付け、当該検出情報に含まれる攻撃元装置から前記サーバへの信号を規制する規制手段を、有すること
を特徴とするDoS攻撃対策システム。 - 請求項1記載のDoS攻撃対策システムであって、
前記サーバは、
前記検出情報を前記サーバ制御装置に通知した後、前記攻撃元装置から当該サーバに送信される信号を監視する監視手段を、さらに有し、
前記検出通知手段は、前記監視手段が前記攻撃元装置からの信号を検出した場合、前記検出情報を前記サーバ制御装置に通知すること
を特徴とするDoS攻撃対策システム。 - 請求項1または請求項2記載のDoS攻撃対策システムであって、
前記サーバは、
前記攻撃元装置のDoS攻撃の規制を解除するための解除情報を、前記サーバ制御装置に通知する第1の解除通知手段を、さらに有し、
前記サーバ制御装置の第1の通知手段は、前記サーバから通知された解除情報を、前記エッジルータ制御装置に通知し、
前記エッジルータ制御装置の第2の通知手段は、前記サーバ制御装置から通知された解除情報を、前記エッジルータに通知し、
前記エッジルータは、
前記エッジルータ制御装置から通知された解除情報を受け付け、前記攻撃元装置から前記サーバへの信号の規制を解除する解除手段を、さらに有すること
を特徴とするDoS攻撃対策システム。 - 請求項1、請求項2、または請求項3記載のDoS攻撃対策システムであって、
前記エッジルータ制御装置は、
前記検出情報を前記サーバ制御装置から受信して所定の時間が経過した後、DoS攻撃の規制を解除するための解除情報を、前記エッジルータに通知する第2の解除通知手段を、さらに有し、
前記エッジルータは、
前記エッジルータ制御装置から送信された解除情報を受け付け、前記攻撃元装置から前記サーバへの信号の規制を解除する解除手段を、さらに有すること
を特徴とするDoS攻撃対策システム。 - 請求項3または請求項4記載のDoS攻撃対策システムであって、
前記エッジルータの解除手段は、前記攻撃元装置から前記サーバへの信号数が所定の閾値より小さいか否かを判別し、前記閾値より小さい場合、前記攻撃元装置から前記サーバへの信号の規制を解除すること
を特徴とするDoS攻撃対策システム。 - 請求項5記載のDoS攻撃対策システムであって、
前記エッジルータの解除手段は、前記攻撃元装置から前記サーバへの信号数が前記閾値を超える場合、前記規制手段の規制を継続する解除拒否通知を、前記エッジルータ制御装置に通知すること
を特徴とするDoS攻撃対策システム。 - 請求項6記載のDoS攻撃対策システムであって、
前記エッジルータの解除手段は、前記解除拒否通知を前記エッジルータ制御装置に通知した後、前記攻撃元装置から前記サーバへの信号数が前記閾値より小さいと判別した場合、前記規制手段の規制を解除する解除完了通知を、前記エッジルータ制御装置に通知すること
を特徴とするDoS攻撃対策システム。 - DoS攻撃対策システムが行うDoS攻撃対策方法であって、
前記DoS攻撃対策システムは、サーバと、当該サーバを制御するサーバ制御装置と、エッジルータと、当該エッジルータを制御するエッジルータ制御装置と、を有し、
前記サーバは、
DoS攻撃と、当該DoS攻撃の攻撃元装置とを検出する検出ステップと、
前記攻撃元装置を含むDoS攻撃の検出情報を、前記サーバ制御装置に通知する検出通知ステップと、を行い、
前記サーバ制御装置は、
前記サーバから通知された検出情報を、前記エッジルータ制御装置に通知する第1の通知ステップを、行い、
前記エッジルータ制御装置は、
前記サーバ制御装置から通知された検出情報を、前記エッジルータに通知する第2の通知ステップを、行い、
前記エッジルータは、
前記エッジルータ制御装置から通知された検出情報を受け付け、当該検出情報に含まれる攻撃元装置から前記サーバへの信号を規制する規制ステップを、行うこと
を特徴とするDoS攻撃対策方法。 - 請求項8記載のDoS攻撃対策方法であって、
前記サーバは、
前記攻撃元装置からのDoS攻撃の規制を解除するための解除情報を、前記サーバ制御装置に通知する解除通知ステップを、さらに行い、
前記サーバ制御装置は、
前記サーバから通知された解除情報を、前記エッジルータ制御装置に通知する第3の通知ステップを、さらに行い、
前記エッジルータ制御装置は、
前記サーバ制御装置から通知された解除情報を、前記エッジルータに通知する第4の通知ステップを、さらに行い、
前記エッジルータは、
前記エッジルータ制御装置から通知された解除情報を受け付け、前記攻撃元装置から前記サーバへの信号の規制を解除する解除ステップを、さらに行うこと
を特徴とするDoS攻撃対策方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005047887A JP2006235876A (ja) | 2005-02-23 | 2005-02-23 | DoS攻撃対策システム、およびDoS攻撃対策方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005047887A JP2006235876A (ja) | 2005-02-23 | 2005-02-23 | DoS攻撃対策システム、およびDoS攻撃対策方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006235876A true JP2006235876A (ja) | 2006-09-07 |
Family
ID=37043470
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005047887A Pending JP2006235876A (ja) | 2005-02-23 | 2005-02-23 | DoS攻撃対策システム、およびDoS攻撃対策方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006235876A (ja) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009031527A1 (ja) * | 2007-09-04 | 2009-03-12 | Kddi Corporation | 情報収集装置、通信異常検知装置およびコンピュータプログラム |
JP2010061660A (ja) * | 2008-09-04 | 2010-03-18 | Estsoft Corp | 分散サービス拒否攻撃の防御方法および防御システム |
JP2011097527A (ja) * | 2009-11-02 | 2011-05-12 | Konica Minolta Business Technologies Inc | 通信システム、通信装置、通信制御方法および通信制御プログラム |
JP2015219685A (ja) * | 2014-05-16 | 2015-12-07 | 日本電信電話株式会社 | 通信システム |
JP2016158157A (ja) * | 2015-02-25 | 2016-09-01 | 富士通株式会社 | 呼制御装置、呼制御方法、及び、呼制御システム |
JP2016181874A (ja) * | 2015-03-25 | 2016-10-13 | 日本電気株式会社 | 通信制御装置、及び通信制御方法 |
JP2017108210A (ja) * | 2015-12-07 | 2017-06-15 | 日本電気株式会社 | 呼処理システム、呼処理サーバ、呼処理方法、呼処理プログラム、中継装置、中継方法および中継プログラム |
-
2005
- 2005-02-23 JP JP2005047887A patent/JP2006235876A/ja active Pending
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009031527A1 (ja) * | 2007-09-04 | 2009-03-12 | Kddi Corporation | 情報収集装置、通信異常検知装置およびコンピュータプログラム |
JP2009065277A (ja) * | 2007-09-04 | 2009-03-26 | Kddi Corp | 情報収集装置、通信異常検知装置およびコンピュータプログラム |
US8422371B2 (en) | 2007-09-04 | 2013-04-16 | Kddi Corporation | Information collection device, communication error detection device, and computer program |
JP2010061660A (ja) * | 2008-09-04 | 2010-03-18 | Estsoft Corp | 分散サービス拒否攻撃の防御方法および防御システム |
JP2011097527A (ja) * | 2009-11-02 | 2011-05-12 | Konica Minolta Business Technologies Inc | 通信システム、通信装置、通信制御方法および通信制御プログラム |
JP2015219685A (ja) * | 2014-05-16 | 2015-12-07 | 日本電信電話株式会社 | 通信システム |
JP2016158157A (ja) * | 2015-02-25 | 2016-09-01 | 富士通株式会社 | 呼制御装置、呼制御方法、及び、呼制御システム |
JP2016181874A (ja) * | 2015-03-25 | 2016-10-13 | 日本電気株式会社 | 通信制御装置、及び通信制御方法 |
JP2017108210A (ja) * | 2015-12-07 | 2017-06-15 | 日本電気株式会社 | 呼処理システム、呼処理サーバ、呼処理方法、呼処理プログラム、中継装置、中継方法および中継プログラム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4072150B2 (ja) | ホストベースのネットワーク侵入検出システム | |
JP4480422B2 (ja) | 不正アクセス阻止方法、装置及びシステム並びにプログラム | |
JP2006235876A (ja) | DoS攻撃対策システム、およびDoS攻撃対策方法 | |
JP2002073433A (ja) | 侵入検知装置及び不正侵入対策管理システム及び侵入検知方法 | |
JP2007006054A (ja) | パケット中継装置及びパケット中継システム | |
US20050120243A1 (en) | Method and system for protecting computer networks by altering unwanted network data traffic | |
WO2005109797A1 (ja) | ネットワーク攻撃対策方法、ネットワーク攻撃対策装置及びネットワーク攻撃対策プログラム | |
JP2008054204A (ja) | 接続装置及び端末装置及びデータ確認プログラム | |
JP2004164553A (ja) | サーバ計算機保護装置、サーバ計算機保護方法、サーバ計算機保護プログラム及びサーバ計算機 | |
JP2007251866A (ja) | 電子機器装置 | |
KR101380015B1 (ko) | 분산서비스거부 공격에 대한 협업형 방어 방법 및 그 장치 | |
JP2011151514A (ja) | トラフィック量監視システム | |
JP4284248B2 (ja) | アプリケーションサービス拒絶攻撃防御方法及びシステム並びにプログラム | |
CN1983955A (zh) | 对非法报文的监控方法及监控系统 | |
JP2005293550A (ja) | パブリックネットワークからの攻撃に対してプライベートネットワークを監視保護する方法およびシステム | |
JP3643087B2 (ja) | 通信網およびルータおよび分散型サービス拒絶攻撃検出防御方法 | |
JP2003179647A (ja) | パケット転送装置およびパケット転送方法 | |
CN108206828B (zh) | 一种双重监测安全控制方法及系统 | |
US8646081B1 (en) | Method and system to detect a security event in a packet flow and block the packet flow at an egress point in a communication network | |
JP4322179B2 (ja) | サービス拒絶攻撃防御方法およびシステム | |
JP5596626B2 (ja) | DoS攻撃検出方法及びDoS攻撃検出装置 | |
JP4878630B2 (ja) | 通信サーバおよびDoS攻撃防御方法 | |
JP2008011008A (ja) | 不正アクセス防止システム | |
JP5420465B2 (ja) | 通信監視装置、方法およびプログラム | |
JP2007102747A (ja) | パケット検知装置、メッセージ検知プログラム、不正メールの遮断プログラム |