JP2006246177A - フラッド攻撃防御方法および装置 - Google Patents
フラッド攻撃防御方法および装置 Download PDFInfo
- Publication number
- JP2006246177A JP2006246177A JP2005060813A JP2005060813A JP2006246177A JP 2006246177 A JP2006246177 A JP 2006246177A JP 2005060813 A JP2005060813 A JP 2005060813A JP 2005060813 A JP2005060813 A JP 2005060813A JP 2006246177 A JP2006246177 A JP 2006246177A
- Authority
- JP
- Japan
- Prior art keywords
- traffic
- rate
- value
- received
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 被攻撃ホスト宛てに少ないトラヒックレートでパケットを送出している正当ホストから受信したパケットを保護する。
【解決手段】 トラヒックポリシング部4は、トラヒック識別パラメータの値に基づいて被攻撃ホスト宛て受信パケットを分類し、分類されたパケットフロー毎に、レートリミット設定値Aを用いて、トラヒックポリシングの実行を繰り返す。レートリミット設定値更新部6は、被攻撃ホスト宛て単位時間当たり送信トラヒック量を測定し、該被攻撃ホスト宛て単位時間当たり送信トラヒック量がレートリミット設定値Bより多いかどうか判定し、多い場合、レートリミット設定値Aの値を、現在の値より小さい値に更新し、この後および該被攻撃ホスト宛て送信トラヒック量がレートリミット設定値Bより多くない場合、最初の処理から繰り返す。
【選択図】 図1
【解決手段】 トラヒックポリシング部4は、トラヒック識別パラメータの値に基づいて被攻撃ホスト宛て受信パケットを分類し、分類されたパケットフロー毎に、レートリミット設定値Aを用いて、トラヒックポリシングの実行を繰り返す。レートリミット設定値更新部6は、被攻撃ホスト宛て単位時間当たり送信トラヒック量を測定し、該被攻撃ホスト宛て単位時間当たり送信トラヒック量がレートリミット設定値Bより多いかどうか判定し、多い場合、レートリミット設定値Aの値を、現在の値より小さい値に更新し、この後および該被攻撃ホスト宛て送信トラヒック量がレートリミット設定値Bより多くない場合、最初の処理から繰り返す。
【選択図】 図1
Description
本発明は、通信ネットワークに接続された装置を分散型サービス拒否攻撃(Distributed Denial of Service,DDoS)などのフラッド攻撃から防御するフラッド攻撃防御方法および装置に関するものである。
通信ネットワークに接続された装置をフラッド攻撃から防御するために、被攻撃ホストと攻撃ホストの間に設置されたネットワーク装置において、被攻撃ホスト宛てのトラヒックの一部を廃棄し、被攻撃ホストに到達するトラヒックレートを小さくする処理が、従来より行われている。
IPルータやレイヤ2スイッチなどのネットワーク装置において、宛先IPアドレス、送信元IPアドレス、プロトコル識別子などにより指定したパケット識別子にマッチするトラヒックに対し、指定したレートリミット設定値を超えた分を廃棄し、該レートリミット設定値以下のトラヒックレートでトラヒックを送信するトラヒックポリシング機能が広く実装されている。このトラヒックポリシング機能の実装例として、非特許文献1、非特許文献2、非特許文献3がある。
Cisco社、"Policing and Shaping Overview"、http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_configuration_guide_chapter09186a00800bd8ed.html 日立製作所、"GR2000ソフトウェアマニュアル解説書Vol.2 Ver.08−03対応 500−10−158"、http://www.hitachi.co.jp/Prod/comp/network/manual/router/gr2k/0803/HTML/KAISETS2/INDEX.HTM JuniperNetworks社、"Netscreen Concepts & Examples ScreenOS Reference Guide Volume 2:Fundamentals ScreenOS5.1.0 P/N093−1367−0000 Rev.A"、http://www.juniper.net/techpubs/software/screenos/screenos5.1.0/CE_v2.pdf
Cisco社、"Policing and Shaping Overview"、http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_configuration_guide_chapter09186a00800bd8ed.html 日立製作所、"GR2000ソフトウェアマニュアル解説書Vol.2 Ver.08−03対応 500−10−158"、http://www.hitachi.co.jp/Prod/comp/network/manual/router/gr2k/0803/HTML/KAISETS2/INDEX.HTM JuniperNetworks社、"Netscreen Concepts & Examples ScreenOS Reference Guide Volume 2:Fundamentals ScreenOS5.1.0 P/N093−1367−0000 Rev.A"、http://www.juniper.net/techpubs/software/screenos/screenos5.1.0/CE_v2.pdf
しかしながら、被攻撃ホストと攻撃ホストの間に設置されたネットワーク装置において被攻撃ホスト宛てパケットの一部を廃棄する処理を、従来のネットワーク装置に実装されているトラヒックポリシング機能を用いて実現する場合、被攻撃ホスト宛てに少量のトラヒックレートでパケットを送出している正当ホストから受信したパケットも廃棄してしまう。
本発明の目的は、被攻撃ホスト宛てに少ないトラヒックレートでパケットを送出している正当ホストから受信したパケットを保護することが可能なフラッド攻撃防御方法および装置を提供することにある。
本発明の第1の態様によれば、フラッド攻撃防御方法は、
(a)指定されたトラヒック識別パラメータの値に基づいて被攻撃ホスト宛てパケットを分類し、分類されたパケットフロー毎に、受信パケットフローの受信トラヒックレートが、指定された第1のレートリミット設定値を超過している分のパケットを廃棄し、分類されたパケットフロー毎に、該第1のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信するステップと、
(b)ステップ(a)により送信した被攻撃ホスト宛てパケットの合計送信トラヒックレートを測定するステップと、
(c)ステップ(b)により測定された被攻撃ホスト宛て送信トラヒックレートを、指定された第2のレートリミット設定値と比較し、該被攻撃ホスト宛て送信トラヒックレートが該第2のレートリミット設定値より大きい場合、第1のレートリミット設定値を、現在の値より小さい値に更新するステップと
を有する。
(a)指定されたトラヒック識別パラメータの値に基づいて被攻撃ホスト宛てパケットを分類し、分類されたパケットフロー毎に、受信パケットフローの受信トラヒックレートが、指定された第1のレートリミット設定値を超過している分のパケットを廃棄し、分類されたパケットフロー毎に、該第1のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信するステップと、
(b)ステップ(a)により送信した被攻撃ホスト宛てパケットの合計送信トラヒックレートを測定するステップと、
(c)ステップ(b)により測定された被攻撃ホスト宛て送信トラヒックレートを、指定された第2のレートリミット設定値と比較し、該被攻撃ホスト宛て送信トラヒックレートが該第2のレートリミット設定値より大きい場合、第1のレートリミット設定値を、現在の値より小さい値に更新するステップと
を有する。
本発明の第1の態様によれば、フラッド攻撃防御装置は、
被攻撃ホスト宛てパケットを受信するパケット受信手段と、
パケット受信手段により受信した被攻撃ホスト宛てパケットを、指定されたトラヒック識別パラメータの値に基づいて分類し、分類されたパケットフロー毎に、受信パケットフローの受信トラヒックレートが、指定された第1のレートリミット設定値を超過している分のパケットを廃棄し、分類されたパケットフロー毎に、該第1のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信する個別トラヒックポリシング手段と、
個別トラヒックポリシング手段により送信された被攻撃ホスト宛てパケットの合計送信トラヒックレートを測定する送信トラヒックレート測定手段と、
送信トラヒックレート測定手段により測定された合計送信トラヒックレートを、指定された第2のレートリミット設定値と比較し、該被攻撃ホスト宛て送信トラヒックレートが該第2のレートリミット設定値より大きい場合、第1のレートリミット設定値を、現在の値より小さい値に更新するレートリミット設定値更新手段と
を有する。
被攻撃ホスト宛てパケットを受信するパケット受信手段と、
パケット受信手段により受信した被攻撃ホスト宛てパケットを、指定されたトラヒック識別パラメータの値に基づいて分類し、分類されたパケットフロー毎に、受信パケットフローの受信トラヒックレートが、指定された第1のレートリミット設定値を超過している分のパケットを廃棄し、分類されたパケットフロー毎に、該第1のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信する個別トラヒックポリシング手段と、
個別トラヒックポリシング手段により送信された被攻撃ホスト宛てパケットの合計送信トラヒックレートを測定する送信トラヒックレート測定手段と、
送信トラヒックレート測定手段により測定された合計送信トラヒックレートを、指定された第2のレートリミット設定値と比較し、該被攻撃ホスト宛て送信トラヒックレートが該第2のレートリミット設定値より大きい場合、第1のレートリミット設定値を、現在の値より小さい値に更新するレートリミット設定値更新手段と
を有する。
指定されたトラヒック識別パラメータの値に基づいて被攻撃ホスト宛てパケットを分類し、分類されたパケットフロー毎に同一のレートリミット設定値を用いてトラヒックポリシングを行うため、被攻撃ホスト宛てに高いトラヒックレートでパケットを送出している攻撃ホストから受信したパケットを多量に廃棄する一方、被攻撃ホスト宛てに低いトラヒックレートでパケットを送出している正当ホストから受信したパケットについては、まったく廃棄されないか、あるいは、廃棄するパケット数が小さくなり、攻撃ホストから受信したパケットを多量に廃棄しながら、正当ホストから受信したパケットをあまり廃棄せずに、被攻撃ホスト宛てにパケットを送信することができる。
本発明の第2の態様によれば、フラッド攻撃防御方法は、
(a)指定されたトラヒック識別パラメータの値に基づいて被攻撃ホスト宛てパケットを分類し、分類されたパケットフロー毎に、受信パケットの受信トラヒックレートを測定するステップと、
(b)ステップ(a)により測定されたトラヒック識別パラメータの値に基づいて分類されたパケットフロー毎の被攻撃ホスト宛て受信トラヒックレートを、指定された攻撃判定閾値と、指定されたトラヒック識別パラメータの値毎に比較し、その結果該受信トラヒックレートが該攻撃判定閾値より大きくなるトラヒック識別パラメータの値をすべて求めるステップと、
(c)ステップ(b)により求められたトラヒック識別パラメータの値のいずれかにマッチする被攻撃ホスト宛てパケットフロー毎に、受信パケットの受信トラヒックレートが、指定された第1のレートリミット設定値を超過している分のパケットを廃棄し、該パケットフロー毎に、該第1のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信し、それ以外のパケットフローについては受信パケットをすべて送信するステップと、
(d)ステップ(c)により送信された被攻撃ホスト宛てパケットの合計送信トラヒックレートを測定するステップと、
(e)ステップ(d)により測定された被攻撃ホスト宛て合計送信トラヒックレートを、指定された第2のレートリミット設定値と比較し、該被攻撃ホスト宛て合計送信トラヒックレートが該第2のレートリミット設定値より大きい場合、第1のレートリミット設定値の値を、現在の値より小さい値に更新するステップと
を有する。
(a)指定されたトラヒック識別パラメータの値に基づいて被攻撃ホスト宛てパケットを分類し、分類されたパケットフロー毎に、受信パケットの受信トラヒックレートを測定するステップと、
(b)ステップ(a)により測定されたトラヒック識別パラメータの値に基づいて分類されたパケットフロー毎の被攻撃ホスト宛て受信トラヒックレートを、指定された攻撃判定閾値と、指定されたトラヒック識別パラメータの値毎に比較し、その結果該受信トラヒックレートが該攻撃判定閾値より大きくなるトラヒック識別パラメータの値をすべて求めるステップと、
(c)ステップ(b)により求められたトラヒック識別パラメータの値のいずれかにマッチする被攻撃ホスト宛てパケットフロー毎に、受信パケットの受信トラヒックレートが、指定された第1のレートリミット設定値を超過している分のパケットを廃棄し、該パケットフロー毎に、該第1のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信し、それ以外のパケットフローについては受信パケットをすべて送信するステップと、
(d)ステップ(c)により送信された被攻撃ホスト宛てパケットの合計送信トラヒックレートを測定するステップと、
(e)ステップ(d)により測定された被攻撃ホスト宛て合計送信トラヒックレートを、指定された第2のレートリミット設定値と比較し、該被攻撃ホスト宛て合計送信トラヒックレートが該第2のレートリミット設定値より大きい場合、第1のレートリミット設定値の値を、現在の値より小さい値に更新するステップと
を有する。
本発明の第2の態様によれば、フラッド攻撃防御装置は、
被攻撃ホスト宛てパケットを受信するパケット受信手段と、
パケット受信手段により受信した被攻撃ホスト宛てパケットを、指定されたトラヒック識別パラメータの値に基づいて分類し、分類されたパケットフロー毎に、受信パケットの受信トラヒックレートを測定する受信トラヒックレート測定手段と、
受信トラヒックレート測定手段により測定された、受信トラヒックレートを、指定された攻撃判定閾値と、トラヒック識別パラメータの値毎に比較し、その結果該受信トラヒックレートが該攻撃判定閾値より大きくなるトラヒック識別パラメータの値をすべて求める攻撃トラヒック識別パラメータ値検出手段と、
攻撃トラヒック識別パラメータ値検出手段により求められたトラヒック識別パラメータの値のいずれかにマッチする被攻撃ホスト宛てパケットフロー毎に、受信パケットフローの受信トラヒックレートが、指定された第1のレートリミット設定値を超過している分のパケットを廃棄し、該パケットフロー毎に、該第1のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信し、それ以外のパケットフローについては受信パケットをすべて送信する個別限定トラヒックポリシング手段と、
個別限定トラヒックポリシング手段により送信された被攻撃ホスト宛てパケットの合計送信トラヒックレートを測定する送信トラヒックレート測定手段と、
送信トラヒックレート測定手段により測定された被攻撃ホスト宛て合計送信トラヒックレートを、指定された第2のレートリミット設定値と比較し、該被攻撃ホスト宛て送信トラヒックレートが該第2のレートリミット設定値より大きい場合、第1のレートリミット設定値の値を、現在の値より小さい値に更新するレートリミット設定値更新手段と、
を有する。
被攻撃ホスト宛てパケットを受信するパケット受信手段と、
パケット受信手段により受信した被攻撃ホスト宛てパケットを、指定されたトラヒック識別パラメータの値に基づいて分類し、分類されたパケットフロー毎に、受信パケットの受信トラヒックレートを測定する受信トラヒックレート測定手段と、
受信トラヒックレート測定手段により測定された、受信トラヒックレートを、指定された攻撃判定閾値と、トラヒック識別パラメータの値毎に比較し、その結果該受信トラヒックレートが該攻撃判定閾値より大きくなるトラヒック識別パラメータの値をすべて求める攻撃トラヒック識別パラメータ値検出手段と、
攻撃トラヒック識別パラメータ値検出手段により求められたトラヒック識別パラメータの値のいずれかにマッチする被攻撃ホスト宛てパケットフロー毎に、受信パケットフローの受信トラヒックレートが、指定された第1のレートリミット設定値を超過している分のパケットを廃棄し、該パケットフロー毎に、該第1のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信し、それ以外のパケットフローについては受信パケットをすべて送信する個別限定トラヒックポリシング手段と、
個別限定トラヒックポリシング手段により送信された被攻撃ホスト宛てパケットの合計送信トラヒックレートを測定する送信トラヒックレート測定手段と、
送信トラヒックレート測定手段により測定された被攻撃ホスト宛て合計送信トラヒックレートを、指定された第2のレートリミット設定値と比較し、該被攻撃ホスト宛て送信トラヒックレートが該第2のレートリミット設定値より大きい場合、第1のレートリミット設定値の値を、現在の値より小さい値に更新するレートリミット設定値更新手段と、
を有する。
指定されたトラヒック識別パラメータの値に基づいて被攻撃ホスト宛てパケットを分類し、分類されたパケットフローの中で、攻撃と判定したトラヒック識別パラメータの値を持つパケットフローに対してのみ、分類されたパケットフロー毎に同一のレートリミット設定値を用いてトラヒックポリシングを行うため、被攻撃ホスト宛てに高いトラヒックレートでパケットを送出している攻撃ホストから受信したパケットを多量に廃棄する一方、被攻撃ホスト宛てに低いトラヒックレートでパケットを送出している正当ホストから受信したパケットについてはまったく廃棄をしないため、攻撃ホストから受信したパケットを多量に廃棄しながら、正当ホストから受信したパケットをまったく廃棄せずに、被攻撃ホスト宛てにパケットを送信することができる。
また、トラヒックポリシングの設定数がトラヒック識別パラメータの値が取りうる種類の数に依存しないため、トラヒック識別パラメータの値が取りうる種類の数が多い場合に、フラッド攻撃防御装置の処理負荷を小さく抑えることができる。
本発明の第3の態様によれば、フラッド攻撃防御方法は、
(a)指定されたトラヒック識別パラメータの値に基づいて被攻撃ホスト宛てパケットを分類し、分類されたパケットフロー毎に、受信トラヒックパケットの受信レートを測定するステップと、
(b)ステップ(a)により測定された受信トラヒックレートを、指定された攻撃判定閾値と、指定されたトラヒック識別パラメータの値毎に比較し、その結果該受信トラヒックレートが該攻撃判定閾値より大きくなるトラヒック識別パラメータの値をすべて求めるステップと、
(c)ステップ(b)により求められたトラヒック識別パラメータの値の種類の数を、指定された攻撃フロー数上限判定閾値と比較するステップと、
(d)ステップ(c)による比較の結果、トラヒック識別パラメータの値の種類の数が攻撃フロー数上限判定閾値より小さい場合には、
(d1) ステップ(b)により求められたトラヒック識別パラメータの値のいずれかにマッチする被攻撃ホスト宛てパケットフロー毎に、受信パケットフローの受信トラヒックレートが、指定された第1のレートリミット設定値を超過している分のパケットを廃棄し、該パケットフロー毎に、第1のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信し、それ以外のパケットフローについては受信パケットをすべて送信し、
(d2) ステップ(d1)により送信した被攻撃ホスト宛てパケットの合計送信トラヒックレートを測定し、
(d3) ステップ(d2)により測定された被攻撃ホスト宛て合計送信トラヒックレートを、指定された第2のレートリミット設定値と比較し、該被攻撃ホスト宛て合計送信トラヒックレートが該第2のレートリミット設定値より大きい場合、第1のレートリミット設定値を、現在の値より小さい値に更新する、
の各ステップ(d1〜d3)を順に実行するステップと、
(e)ステップ(c)による比較の結果、トラヒック識別パラメータの値の種類の数が攻撃フロー数上限判定閾値より大きい場合には、被攻撃ホスト宛て受信パケットのうち、受信パケットの受信トラヒックレートが、第2のレートリミット設定値を超過している分のパケットを廃棄し、該第2のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信するステップと
を有する。
(a)指定されたトラヒック識別パラメータの値に基づいて被攻撃ホスト宛てパケットを分類し、分類されたパケットフロー毎に、受信トラヒックパケットの受信レートを測定するステップと、
(b)ステップ(a)により測定された受信トラヒックレートを、指定された攻撃判定閾値と、指定されたトラヒック識別パラメータの値毎に比較し、その結果該受信トラヒックレートが該攻撃判定閾値より大きくなるトラヒック識別パラメータの値をすべて求めるステップと、
(c)ステップ(b)により求められたトラヒック識別パラメータの値の種類の数を、指定された攻撃フロー数上限判定閾値と比較するステップと、
(d)ステップ(c)による比較の結果、トラヒック識別パラメータの値の種類の数が攻撃フロー数上限判定閾値より小さい場合には、
(d1) ステップ(b)により求められたトラヒック識別パラメータの値のいずれかにマッチする被攻撃ホスト宛てパケットフロー毎に、受信パケットフローの受信トラヒックレートが、指定された第1のレートリミット設定値を超過している分のパケットを廃棄し、該パケットフロー毎に、第1のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信し、それ以外のパケットフローについては受信パケットをすべて送信し、
(d2) ステップ(d1)により送信した被攻撃ホスト宛てパケットの合計送信トラヒックレートを測定し、
(d3) ステップ(d2)により測定された被攻撃ホスト宛て合計送信トラヒックレートを、指定された第2のレートリミット設定値と比較し、該被攻撃ホスト宛て合計送信トラヒックレートが該第2のレートリミット設定値より大きい場合、第1のレートリミット設定値を、現在の値より小さい値に更新する、
の各ステップ(d1〜d3)を順に実行するステップと、
(e)ステップ(c)による比較の結果、トラヒック識別パラメータの値の種類の数が攻撃フロー数上限判定閾値より大きい場合には、被攻撃ホスト宛て受信パケットのうち、受信パケットの受信トラヒックレートが、第2のレートリミット設定値を超過している分のパケットを廃棄し、該第2のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信するステップと
を有する。
本発明の第3の態様によれば、フラッド攻撃防御装置は、第2の態様のフラッド攻撃防御装置に、
パケット受信手段により受信された被攻撃ホスト宛てパケットに対し、受信パケットの受信トラヒックレートが、指定された第2のレートリミット設定値を超過している分のパケットを廃棄し、該第2のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信する全体トラヒックポリシング手段と、
攻撃トラヒック識別パラメータ値検出手段により求められたトラヒック識別パラメータの値の種類の数を、指定された攻撃フロー数上限判定閾値と比較する攻撃フロー数上限判定手段と、
攻撃フロー数上限判定手段により、該トラヒック識別パラメータの値の種類の数が該攻撃フロー数上限判定閾値より大きい場合には、全体トラヒックポリシング手段によるトラヒックポリシングを実行し、該トラヒック識別パラメータの値の種類の数が該攻撃フロー数上限判定閾値より小さい場合には、個別限定トラヒックポリシング手段によるトラヒックポリシングを実行するトラヒックポリシング切替手段と
をさらに有する。
パケット受信手段により受信された被攻撃ホスト宛てパケットに対し、受信パケットの受信トラヒックレートが、指定された第2のレートリミット設定値を超過している分のパケットを廃棄し、該第2のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信する全体トラヒックポリシング手段と、
攻撃トラヒック識別パラメータ値検出手段により求められたトラヒック識別パラメータの値の種類の数を、指定された攻撃フロー数上限判定閾値と比較する攻撃フロー数上限判定手段と、
攻撃フロー数上限判定手段により、該トラヒック識別パラメータの値の種類の数が該攻撃フロー数上限判定閾値より大きい場合には、全体トラヒックポリシング手段によるトラヒックポリシングを実行し、該トラヒック識別パラメータの値の種類の数が該攻撃フロー数上限判定閾値より小さい場合には、個別限定トラヒックポリシング手段によるトラヒックポリシングを実行するトラヒックポリシング切替手段と
をさらに有する。
指定されたトラヒック識別パラメータの値に基づいて被攻撃ホスト宛てパケットを分類し、分類されたパケットフローの中で、攻撃と判定したトラヒック識別パラメータの値を持つパケットフローの種類の数が多い場合、全パケットフローを合算してトラヒックポリシングを行うため、前記攻撃と判定したトラヒック識別パラメータの値の数が多い場合であってもフラッド攻撃防御装置の処理負荷を小さくおさえながら、被攻撃ホスト宛てに高いトラヒックレートでパケットを送出している多数の攻撃ホストから受信したパケットを廃棄することができる。
本発明の第4の態様によれば、フラッド攻撃防御方法は、第2の態様のフラッド攻撃防御方法に対し、
第1のレートリミット設定値の値を0にした場合に、測定された被攻撃ホスト宛て送信トラヒックレートを、指定された第2のレートリミット設定値と比較し、該被攻撃ホスト宛て送信トラヒックレートが該第2のレートリミット設定値より大きい場合、受信された被攻撃ホスト宛てパケットに対し、受信パケットの受信トラヒックレートが、指定された第2のレートリミット設定値を超過している分のパケットを廃棄し、該第2のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信するステップをさらに有する。
第1のレートリミット設定値の値を0にした場合に、測定された被攻撃ホスト宛て送信トラヒックレートを、指定された第2のレートリミット設定値と比較し、該被攻撃ホスト宛て送信トラヒックレートが該第2のレートリミット設定値より大きい場合、受信された被攻撃ホスト宛てパケットに対し、受信パケットの受信トラヒックレートが、指定された第2のレートリミット設定値を超過している分のパケットを廃棄し、該第2のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信するステップをさらに有する。
本発明の第4の態様によれば、フラッド攻撃防御装置は、第2の態様のフラッド攻撃防御装置に対し、
第1のレートリミット設定値の値を0にした場合に、送信トラヒックレート測定手段により測定された被攻撃ホスト宛て送信トラヒックレートを、指定された第2のレートリミット設定値と比較し、該被攻撃ホスト宛て送信トラヒックレートが、該第2のレートリミット設定値より大きい場合、パケット受信手段により受信した被攻撃ホスト宛てパケットに対し、受信パケットの受信トラヒックレートが、指定された第2のレートリミット設定値を超過している分のパケットを廃棄し、該第2のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信する全体トラヒックポリシング手段をさらに有する。
第1のレートリミット設定値の値を0にした場合に、送信トラヒックレート測定手段により測定された被攻撃ホスト宛て送信トラヒックレートを、指定された第2のレートリミット設定値と比較し、該被攻撃ホスト宛て送信トラヒックレートが、該第2のレートリミット設定値より大きい場合、パケット受信手段により受信した被攻撃ホスト宛てパケットに対し、受信パケットの受信トラヒックレートが、指定された第2のレートリミット設定値を超過している分のパケットを廃棄し、該第2のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信する全体トラヒックポリシング手段をさらに有する。
指定されたトラヒック識別パラメータの値に基づいて被攻撃ホスト宛てパケットを分類し、分類されたパケットフロー単位では攻撃と判定できない場合でも、フラッド攻撃防御装置の処理負荷を小さくおさえながら、被攻撃ホスト宛てにパケットを送出している多数の攻撃ホストから受信したパケットを廃棄することができる。
本発明の第1〜第4の態様のいずれにおいても、トラヒック識別パラメータとして、受信回線情報、送信元IPアドレスとサブネットマスク、プロトコル番号、送信元ポート番号、宛先ポート番号、Type of Service、Total Length、Time to Liveのいずれかおよびそれらの組合せを使用することができる。
本発明は、以下に述べる効果がある。
請求項1と6の発明は、受信回線などのトラヒック識別パラメータに基づいて被攻撃ホスト宛てパケットを分類し、分類されたパケットフロー毎に同一のレートリミット設定値を用いてトラヒックポリシングを行うため、被攻撃ホスト宛てに高いトラヒックレートでパケットを送出している攻撃ホストから受信したパケットを多量に廃棄する一方、被攻撃ホスト宛てに低いトラヒックレートでパケットを送出している正当ホストから受信したパケットをあまり廃棄せずに、被攻撃ホスト宛てにパケットを送信することができる。
請求項2と7の発明は、受信回線などのトラヒック識別パラメータに基づいて被攻撃ホスト宛てパケットを分類し、分類されたパケットフローの中で、攻撃と判定したトラヒック識別パラメータの値を持つパケットフローに対してのみ、分類されたパケットフロー毎に同一のレートリミット設定値を用いてトラヒックポリシングを行うため、前記トラヒック識別パラメータの値が取りうる種類の数が多い場合に、フラッド攻撃防御装置の処理負荷を軽減することができる。
請求項3と8の発明は、受信回線などのトラヒック識別パラメータに基づいて被攻撃ホスト宛てパケットを分類し、分類されたパケットフローの中で、攻撃と判定したトラヒック識別パラメータの値の数が多い場合であっても、フラッド攻撃防御装置の処理負荷を小さくおさえたまま、被攻撃ホスト宛てに高いトラヒックレートでパケットを送出している多数の攻撃ホストから受信したトラヒックを廃棄することができる。
請求項4と9の発明は、受信回線などのトラヒック識別パラメータに基づいて被攻撃ホスト宛てパケットを分類し、分類されたパケットフロー単位では攻撃と判定できない場合でも、フラッド攻撃防御装置の処理負荷を小さくおさえたまま、被攻撃ホスト宛てに高いトラヒックレートでパケットを送出している多数の攻撃ホストから受信したトラヒックを廃棄することができる。
請求項1から10の発明は、受信回線情報に基づいて被攻撃ホスト宛てパケットを分類し、受信回線情報の値ごとに分類されたパケットフローに対し、パケットフロー毎に同一のレートリミット設定値を用いてトラヒックポリシングを行う場合、IPネットワークのように、パケットの送信元アドレスが詐称される可能性のある場合であっても、攻撃元を特定することが可能である。
次に、本発明の実施の形態について図面を参照して詳細に説明する。
[第1の実施形態]
図1は本発明の第1の実施形態によるフラッド攻撃防御装置の構成図である。
図1は本発明の第1の実施形態によるフラッド攻撃防御装置の構成図である。
図1を参照すると、フラッド攻撃防御装置1Aは、被攻撃ホスト11と攻撃ホスト12、13、14を接続するネットワーク10上に設置されている。
フラッド攻撃防御装置1Aは、通信ポート2と、パケット送受信部3と、トラヒック識別パラメータ値毎トラヒックポリシング部4と、送信トラヒック量測定部5と、レートリミット設定値更新部6と、トラヒック識別パラメータ登録テーブル7と、レートリミット設定値A登録テーブル8と、レートリミット設定値B登録テーブル9から構成されている。
通信ポート2は、被攻撃ホスト11宛てパケットを受信し、該パケットをパケット送受信部3に転送する。また、通信ポート2は、パケット送受信部3から受信したパケットをネットワーク10に送信する。なお、受信用の通信ポートと送信用の通信ポートが独立に構成されていてもよい。また、受信用、送信用、送受信兼用のいずれの場合においても、複数の通信ポートから構成されていてもよい。
パケット送受信部3は、通信ポート2から受信したパケットをトラヒック識別パラメータ値毎トラヒックポリシング部4に転送し、トラヒック識別パラメータ値毎トラヒックポリシング部4から受信したパケットを通信ポート2に転送するとともに、パケットのコピーを送信トラヒック量測定部5に転送する。
トラヒック識別パラメータ値毎トラヒックポリシング部4は、パケット送受信部3から受信したパケットを、トラヒック識別パラメータ登録テーブル7に登録されているトラヒック識別パラメータの値に基づいて分類し、分類されたパケットフロー毎に、レートリミット設定値A登録テーブル8に登録されているレートリミット設定値Aを用いてトラヒックポリシングを行い、該トラヒックポリシングにより廃棄されなかったパケットをパケット送受信部3に転送する。
送信トラヒック量測定部5は、パケット送受信部3から受信したパケットに基づき、被攻撃ホスト11宛て単位時間当たり送信トラヒック量を周期的に測定し、レートリミット設定値更新部6に測定結果を随時通知する。なお、送信トラヒック量測定部5は、パケット送受信部3からパケットのコピーを受信せず、パケット送受信部3におけるパケット送信処理と一体で行ってもよい。
レートリミット設定値更新部6は、送信トラヒック量測定部5から通知を受けた被攻撃ホスト11宛て単位時間当たり送信トラヒック量を、レートリミット設定値B登録テーブル9に登録されているレートリミット設定値Bと比較し、該被攻撃ホスト11宛て単位時間当たり送信トラヒック量が、該レートリミット設定値Bより大きい場合、レートリミット設定値A登録テーブル8に登録されているレートリミット設定値Aの値を、現在の値より小さい値に更新する。
図2は、図1のフラッド攻撃防御装置1Aにおけるフラッド攻撃防御処理手順の一例を示すフローチャートである。
トラヒック識別パラメータテーブル7、レートリミット設定値A登録テーブル8、レートリミット設定値B登録テーブル9にそれぞれトラヒック識別パラメータ、レートリミット設定値A、レートリミット設定値Bを設定し(ステップ101)、並列に、トラヒック識別パラメータ値毎トラヒックポリシング部4がトラヒックポリシング処理(ステップ102)を、送信トラヒック量測定部5とレートリミット設定値更新部6が連携してレートリミット設定値更新処理(ステップ103〜105)を実行する。
トラヒックポリシング処理では、トラヒック識別パラメータの値に基づいて被攻撃ホスト宛て受信パケットを分類し、分類されたパケットフロー毎に、レートリミット設定値Aを用いて、トラヒックポリシングを実行し(ステップ102)、ステップ102を繰り返す。レートリミット設定値更新処理では、被攻撃ホスト宛て単位時間当たり送信トラヒック量を測定し(ステップ103)、該被攻撃ホスト宛て単位時間当たり送信トラヒック量がレートリミット設定値Bより多いかどうか判定し(ステップ104)、多い場合、レートリミット設定値Aの値を、現在の値より小さい値に更新する(ステップ105)。ステップ104で、該被攻撃ホスト宛て送信トラヒック量がレートリミット設定値Bより多くない場合、および、ステップ105の処理終了後、ステップ103の前に戻り、ステップ103〜105の処理を繰り返す。
[第2の実施形態]
図3は、本発明の第2の実施形態によるフラッド攻撃防御装置の構成図を示している。
図3は、本発明の第2の実施形態によるフラッド攻撃防御装置の構成図を示している。
図3を参照すると、フラッド攻撃防御装置1Bは、被攻撃ホスト11と攻撃ホスト12、13、14を接続するネットワーク10上に設置される。
フラッド攻撃防御装置1Bは、通信ポート2と、パケット送受信部3と、トラヒック識別パラメータ値毎トラヒックポリシング部4と、送信トラヒック量測定部5と、レートリミット設定値更新部6と、トラヒック識別パラメータ登録テーブル7と、レートリミット設定値A登録テーブル8と、レートリミット設定値B登録テーブル9と、トラヒック識別パラメータ値毎受信トラヒック量測定部15と、攻撃トラヒック識別パラメータ値検出部16と、攻撃判定閾値登録テーブル17から構成されている。
通信ポート2は、被攻撃ホスト11宛てパケットを受信し、該パケットをパケット送受信部3に転送する。また、通信ポート2は、パケット送受信部3から受信したパケットをネットワーク10に送信する。なお、受信用の通信ポートと送信用の通信ポートが独立に構成されていてもよい。また、受信用、送信用、送受信兼用のいずれの場合においても、複数の通信ポートから構成されていてもよい。
パケット送受信部3は、通信ポート2から受信したパケットをトラヒック識別パラメータ値毎トラヒックポリシング部4に転送するとともに、パケットのコピーをトラヒック識別パラメータ値毎受信トラヒック量測定部15に転送する。また、パケット送受信部3は、トラヒック識別パラメータ値毎トラヒックポリシング部4から受信したパケットを通信ポート2に転送するとともに、パケットのコピーを送信トラヒック量測定部5に転送する。
トラヒック識別パラメータ値毎受信トラヒック量測定部15は、パケット送受信部3から受信したパケットを、トラヒック識別パラメータ登録テーブル7に登録されているトラヒック識別パラメータの値に基づいて分類し、分類されたパケットフロー毎に、被攻撃ホスト11宛て単位時間当たり受信トラヒック量を周期的に測定し、攻撃トラヒック識別パラメータ値検出部16に測定結果を随時通知する。なお、トラヒック識別パラメータ値毎受信トラヒック量測定部15は、パケット送受信部3からパケットのコピーを受信せず、パケット送受信部3におけるパケット受信処理と一体で行ってもよい。
攻撃トラヒック識別パラメータ値検出部16は、トラヒック識別パラメータ値毎受信トラヒック量測定部15から通知を受けた被攻撃ホスト11宛て単位時間当たり受信トラヒック量を、攻撃判定閾値登録テーブル17に登録されている攻撃判定閾値と比較し、該被攻撃ホスト11宛て単位時間当たり受信トラヒック量が該攻撃判定閾値より大きくなるトラヒック識別パラメータの値をすべて求め、その結果をトラヒック識別パラメータ値毎トラヒックポリシング部4に通知する。
トラヒック識別パラメータ値毎トラヒックポリシング部4は、パケット送受信部3から受信したパケットのうち、攻撃トラヒック識別パラメータ値検出部16から通知を受けたトラヒック識別パラメータの値のいずれかにマッチするパケットフローに対してのみ、トラヒック識別パラメータ登録テーブル7に登録されているトラヒック識別パラメータの値により分類されたパケットフロー毎に、レートリミット設定値A登録テーブル8に登録されているレートリミット設定値Aの値に基づいてトラヒックポリシングを行い、該トラヒックポリシングにより廃棄されなかったパケットをパケット送受信部3に転送する。
送信トラヒック量測定部5は、パケット送受信部3から受信したパケットに基づき、被攻撃ホスト11宛て単位時間当たり送信トラヒック量を周期的に測定し、レートリミット設定値更新部6に測定結果を随時通知する。なお、送信トラヒック量測定部5は、パケット送受信部3からパケットのコピーを受信せず、パケット送受信部3におけるパケット送信処理と一体で行ってもよい。
レートリミット設定値更新部6は、送信トラヒック量測定部5から通知を受けた被攻撃ホスト11宛て単位時間当たり送信トラヒック量を、レートリミット設定値B登録テーブル9に登録されているレートリミット設定値Bと比較し、該被攻撃ホスト11宛て単位時間当たり送信トラヒック量が、該レートリミット設定値Bより大きい場合、レートリミット設定値A登録テーブル8に登録されているレートリミット設定値Aを、現在の値より小さい値に更新する。
図4は、図2のフラッド攻撃防御装置1Bにおけるフラッド攻撃防御処理手順の一例を示すフローチャートである。
トラヒック識別パラメータ登録テーブル7、レートリミット設定値A登録テーブル8、レートリミット設定値B登録テーブル9にそれぞれトラヒック識別パラメータ、攻撃判定閾値、レートリミット設定値A、レートリミット設定値Bを設定し(ステップ201)、並列に、トラヒック識別パラメータ値毎トラヒックポリシング部4がトラヒックポリシング処理(ステップ202〜204)を、送信トラヒック量測定部5とレートリミット設定値更新部6が連携してレートリミット設定値更新処理(ステップ205〜207)を実行する。
トラヒックポリシング処理では、トラヒック識別パラメータの値に基づいて被攻撃ホスト宛て受信パケットを分類し、分類されたパケットフロー毎に、被攻撃ホスト宛て単位時間当たり受信トラヒック量を測定し(ステップ202)、トラヒック識別パラメータの値に基づいて分類された被攻撃ホスト宛てパケットフローの単位時間当たり受信トラヒック量を攻撃判定閾値と比較し、単位時間当たり受信トラヒック量が該攻撃判定閾値より大きくなるトラヒック識別パラメータの値をすべて求め(ステップ203)、ステップ203で求めたトラヒック識別パラメータの値のいずれかにマッチするパケットフローに対してのみ、トラヒック識別パラメータの値により分類されたパケットフロー毎に、レートリミット設定値Aに基づいてトラヒックポリシングを実行し(ステップ204)、ステップ202に戻り、ステップ202〜204の処理を繰り返す。
レートリミット設定値更新処理では、被攻撃ホスト宛て単位時間当たり送信トラヒック量を測定し(ステップ205)、該被攻撃ホスト宛て単位時間当たり送信トラヒック量がレートリミット設定値Bより多いかどうかを判定し(ステップ206)、多い場合、レートリミット設定値Aを、現在の値より小さい値に更新する(ステップ207)。ステップ206で、該被攻撃ホスト宛て送信トラヒック量がレートリミット設定値Bより多くない場合、および、ステップ207の処理終了後、ステップ205に戻り、ステップ205〜207の処理を繰り返す。
[第3の実施形態]
図5は、本発明の第3の実施形態によるフラッド攻撃防御装置の一構成図である。
図5は、本発明の第3の実施形態によるフラッド攻撃防御装置の一構成図である。
図5を参照すると、フラッド攻撃防御装置1Cは、被攻撃ホスト11と攻撃ホスト12、13、14を接続するネットワーク10上に設置されている。
フラッド攻撃防御装置1Cは、通信ポート2と、パケット送受信部3と、トラヒック識別パラメータ値毎トラヒックポリシング部4と、送信トラヒック量測定部5と、レートリミット設定値更新部6と、トラヒック識別パラメータ登録テーブル7と、レートリミット設定値A登録テーブル8と、レートリミット設定値B登録テーブル9と、トラヒック識別パラメータ値毎受信トラヒック量測定部15と、攻撃トラヒック識別パラメータ値検出部16と、攻撃判定閾値登録テーブル17と、攻撃フロー数上限判定トラヒックポリシング切替部18と、全体トラヒックポリシング部19と、攻撃フロー数上限判定閾値登録テーブル20から構成されている。
本実施形態のフラッド攻撃防御装置2Cの、図3に示す、本発明の第2の実施形態のフラッド攻撃防御装置2Bとの機能上の差分について説明する。
パケット送受信部3は、通信ポート2から受信したパケットを攻撃フロー数上限判定トラヒックポリシング切替部18に転送するとともに、パケットのコピーをトラヒック識別パラメータ値毎受信トラヒック量測定部15に転送する。また、パケット送受信部3は、攻撃フロー数上限判定トラヒックポリシング切替部18から受信したパケットを通信ポート2に転送するとともに、パケットのコピーを送信トラヒック量測定部5に転送する。
攻撃トラヒック識別パラメータ値検出部16は、トラヒック識別パラメータ値毎受信トラヒック量測定部15から通知を受けた被攻撃ホスト11宛て単位時間当たり受信トラヒック量を、攻撃判定閾値登録テーブル17に登録されている攻撃判定閾値と比較し、該被攻撃ホスト11宛て単位時間当たり受信トラヒック量が該攻撃判定閾値より大きくなるトラヒック識別パラメータの値をすべて求め、その結果をトラヒック識別パラメータ値毎トラヒックポリシング部4と攻撃フロー数上限判定トラヒックポリシング切替部18に通知する。
攻撃フロー数上限判定トラヒックポリシング切替部18は、攻撃トラヒック識別パラメータ値検出部16から通知を受けたトラヒック識別パラメータの値の数を、攻撃フロー数上限判定閾値登録テーブル20に登録されている攻撃フロー数上限判定閾値と比較し、該トラヒック識別パラメータの値の数が該攻撃フロー数上限判定閾値を超えている場合は、パケット送受信部3から受信したパケットを全体トラヒックポリシング部19に転送し、全体トラヒックポリシング部19から受信したパケットをパケット送受信部3に転送する。該トラヒック識別パラメータの数が該攻撃フロー数上限判定閾値を超えていないか同一の場合は、パケット送受信部3から受信したパケットをトラヒック識別パラメータ値毎トラヒックポリシング部4に転送し、トラヒック識別パラメータ値毎トラヒックポリシング部4から受信したパケットをパケット送受信部3に転送する。
全体トラヒックポリシング部19は、攻撃フロー数上限判定トラヒックポリシング切替部18から受信したパケットに対し、レートリミット設定値B登録テーブル9に登録されているレートリミット設定値Bの値に基づいてトラヒックポリシングを行い、該トラヒックポリシングにより廃棄されなかったパケットを攻撃フロー数上限判定トラヒックポリシング切替部18に転送する。
トラヒック識別パラメータ値毎トラヒックポリシング部4は、攻撃フロー数上限判定トラヒックポリシング切替部18から受信したパケットのうち、攻撃トラヒック識別パラメータ値検出部16から通知を受けたトラヒック識別パラメータの値のいずれかにマッチするパケットフローに対してのみ、トラヒック識別パラメータ登録テーブル7に登録されているトラヒック識別パラメータの値により分類されたパケットフロー毎に、レートリミット設定値A登録テーブル8に登録されているレートリミット設定値Aに基づいてトラヒックポリシングを行い、該トラヒックポリシングにより廃棄されなかったパケットを攻撃フロー数上限判定トラヒックポリシング切替部18に転送する。
図6は、図5のフラッド攻撃防御装置1Cによるフラッド攻撃防御処理手順の一例を示すフローチャートである。ここでは、図4に示す、本発明の第2の実施形態のフラッド攻撃防御処理手順の一例を示すフローチャートとの差分について説明する。
ステップ203とステップ204の間で、攻撃フロー数上限判定トラヒックポリシング切替部18が、ステップ203で求めたトラヒック識別パラメータの値の種類の数が、攻撃フロー数上限判定閾値より多いかどうかの判定を行い(ステップ208)、多い場合、被攻撃ホスト宛て受信パケットに対して、レートリミット設定値Bの基づいてトラヒックポリシングを実行する(ステップ209)。ステップ208で、該トラヒック識別パラメータの種類の数が該攻撃フロー数上限判定閾値より多くない場合、ステップ204の処理を行う。ステップ204およびステップ209の終了後、ステップ202に戻り、ステップ202〜204、208〜209の処理を繰り返す。
[第4の実施形態]
図7は、本発明の第4の実施形態によるフラッド攻撃防御装置の一構成図である。
図7は、本発明の第4の実施形態によるフラッド攻撃防御装置の一構成図である。
図7を参照すると、フラッド攻撃防御装置1Dは、被攻撃ホスト11と攻撃ホスト12、13、14を接続するネットワーク10上に設置されている。
フラッド攻撃防御装置1Dは、通信ポート2と、パケット送受信部3と、トラヒック識別パラメータ値毎トラヒックポリシング部4と、送信トラヒック量測定部5と、レートリミット設定値更新部6と、トラヒック識別パラメータ登録テーブル7と、レートリミット設定値A登録テーブル8と、レートリミット設定値B登録テーブル9と、トラヒック識別パラメータ値毎受信トラヒック量測定部15と、攻撃トラヒック識別パラメータ値検出部16と、攻撃判定閾値登録テーブル17と、レートリミット設定値更新判定トラヒックポリシング切替部21と、全体トラヒックポリシング部19から構成されている。
本実施形態のフラッド攻撃防御装置1Dの、図3に示す、本発明の第2の実施形態のフラッド攻撃防御装置1Bとの機能上の差分について説明する。
パケット送受信部3は、通信ポート2から受信したパケットをレートリミット設定値更新判定トラヒックポリシング切替部21に転送するとともに、パケットのコピーをトラヒック識別パラメータ値毎受信トラヒック量測定部15に転送する。また、パケット送受信部3は、レートリミット設定値更新判定トラヒックポリシング切替部21から受信したパケットを通信ポート2に転送するとともに、パケットのコピーを送信トラヒック量測定部5に転送する。
レートリミット設定値更新部6は、送信トラヒック量測定部5から通知を受けた被攻撃ホスト11宛て単位時間当たり送信トラヒック量を、レートリミット設定値B登録テーブル9に登録されているレートリミット設定値Bと比較し、該被攻撃ホスト11宛て単位時間当たり送信トラヒック量がレートリミット設定値Bより多い場合、レートリミット設定値A登録テーブル8に登録されているレートリミット設定値Aを、現在の値より小さい値に更新する。
レートリミット設定値Aの値を0にした場合に、被攻撃ホスト11宛て単位時間当たり送信トラヒック量がレートリミット設定値Bより大きい場合、レートリミット設定値更新判定トラヒックポリシング切替部21に対し、全体トラヒックポリシングへの切替指示を出す。
攻撃フロー数上限判定トラヒックポリシング切替部1Gは、レートリミット設定値更新部6から全体トラヒックポリシングへの切替指示を受信した場合は、パケット送受信部3から受信したパケットを全体トラヒックポリシング部19に転送し、全体トラヒックポリシング部19から受信したパケットをパケット送受信部3に転送する。レートリミット設定値更新部6から全体トラヒックポリシングへの切替指示を受信しなかった場合は、パケット送受信部3から受信したパケットをトラヒック識別パラメータ値毎トラヒックポリシング部4に転送し、トラヒック識別パラメータ値毎トラヒックポリシング部4から受信したパケットをパケット送受信部3に転送する。
全体トラヒックポリシング部19は、レートリミット設定値更新判定トラヒックポリシング切替部21から受信したパケットに対し、レートリミット設定値B登録テーブル9に登録されているレートリミット設定値Bに基づいてトラヒックポリシングを行い、該トラヒックポリシングにより廃棄されなかったパケットをレートリミット設定値更新判定トラヒックポリシング切替部21に転送する。
トラヒック識別パラメータ値毎トラヒックポリシング部4は、レートリミット設定値更新判定トラヒックポリシング切替部21から受信したパケットのうち、攻撃トラヒック識別パラメータ値検出部16から通知を受けたトラヒック識別パラメータの値のいずれかにマッチするパケットフローに対してのみ、トラヒック識別パラメータ登録テーブル7に登録されているトラヒック識別パラメータの値により分類されたパケットフロー毎に、レートリミット設定値A登録テーブル8に登録されているレートリミット設定値Aに基づいてトラヒックポリシングを行い、該トラヒックポリシングにより廃棄されなかったパケットをレートリミット設定値更新判定トラヒックポリシング切替部21に転送する。
図8は、図7のフラッド攻撃防御装置1Dによるフラッド攻撃防御処理手順の一例を示すフローチャートである。ここでは、図4に示す、本発明の第2の実施形態のフラッド攻撃防御処理手順の一例を示すフローチャートとの差分について説明する。
ステップ201の直後に、トラヒックポリシング切替判定フラグをオフに設定する(ステップ210)。ステップ206で、被攻撃ホスト宛て単位時間当たり送信トラヒック量がレートリミット設定値Bより多い場合、レートリミット設定値Aが0かどうか判定し(ステップ211)、レートリミット設定値Aが0の場合、トラヒックポリシング切替判定フラグをオンに設定する(ステップ213)。ステップ211でレートリミット設定値Aが0でない場合、レートリミット設定値Aを、現在の値より小さい値に更新する(ステップ207)。
ステップ206で、被攻撃ホスト宛て単位時間当たり送信トラヒック量がレートリミット設定値Bより多くない場合、トラヒックポリシング切替判定フラグをオフに設定し(ステップ212)、ステップ207、212、213の処理終了後、ステップ205に戻り、ステップ205〜207、211〜213の処理を繰り返す。
ステップ203とステップ204の間で、トラヒックポリシング切替判定フラグがオンかどうかの判定を行い(ステップ214)、オンの場合、被攻撃ホスト宛て受信パケットに対して、レートリミット設定値Bの値に基づいてトラヒックポリシングを実行する(ステップ215)。ステップ214で、トラヒックポリシング切替判定フラグがオフの場合、ステップ204の処理を行う。ステップ204およびステップ215の終了後、ステップ202に戻り、ステップ202〜204、214〜215の処理を繰り返す。
なお、以上の本発明の第1〜第4の実施形態のいずれにおいても、前記トラヒック識別パラメータとして、受信回線情報、送信元IPアドレスとサブネットマスク、プロトコル番号、送信元ポート番号、宛先ポート番号、Type of Service、Total Length、Time to Liveのいずれかおよびそれらの組合せを使用することができる。
なお、以上説明したフラッド攻撃防御装置の機能は、専用のハードウェアにより実現されるもの以外に、その機能を実現するためのプログラムを、コンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するものであってもよい。コンピュータ読み取り可能な記録媒体とは、フレキシブルディスク、光磁気ディスク、CD−ROM等の記録媒体、コンピュータシステムに内蔵されるハードディスク装置等の記録装置を指す。さらに、コンピュータ読み取り可能な記録媒体は、インターネットを介してプログラムを送信する場合のように、短時間の間、動的にプログラムを保持するもの(伝送媒体もしくは伝送波)、その場合のサーバとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含む。
1A、1B、1C、1D フラッド攻撃防御装置
2 通信ポート
3 パケット送受信部
4 トラヒック識別パラメータ値毎トラヒックポリシング部
5 送信トラヒック量測定部
6 レートリミット設定値更新部
7 トラヒック識別パラメータ登録テーブル
8 レートリミット設定値A登録テーブル
9 レートリミット設定値B登録テーブル
10 ネットワーク
11 被攻撃ホスト
12〜14 攻撃ホスト
15 トラヒック識別パラメータ値毎受信トラヒック量測定部
16 攻撃トラヒック識別パラメータ値検出部
17 攻撃判定閾値登録テーブル
18 攻撃フロー数上限判定トラヒックポリシング切替部
19 全体トラヒックポリシング部
20 攻撃フロー数上限判定閾値登録テーブル
21 レートリミット設定値更新判定トラヒックポリシング切替部
101〜105、201〜215 ステップ
2 通信ポート
3 パケット送受信部
4 トラヒック識別パラメータ値毎トラヒックポリシング部
5 送信トラヒック量測定部
6 レートリミット設定値更新部
7 トラヒック識別パラメータ登録テーブル
8 レートリミット設定値A登録テーブル
9 レートリミット設定値B登録テーブル
10 ネットワーク
11 被攻撃ホスト
12〜14 攻撃ホスト
15 トラヒック識別パラメータ値毎受信トラヒック量測定部
16 攻撃トラヒック識別パラメータ値検出部
17 攻撃判定閾値登録テーブル
18 攻撃フロー数上限判定トラヒックポリシング切替部
19 全体トラヒックポリシング部
20 攻撃フロー数上限判定閾値登録テーブル
21 レートリミット設定値更新判定トラヒックポリシング切替部
101〜105、201〜215 ステップ
Claims (10)
- 通信ネットワークに接続された装置へのフラッド攻撃を防御する方法であって、
(a)指定されたトラヒック識別パラメータの値に基づいて被攻撃ホスト宛てパケットを分類し、分類されたパケットフロー毎に、受信パケットフローの受信トラヒックレートが、指定された第1のレートリミット設定値を超過している分のパケットを廃棄し、分類されたパケットフロー毎に、該第1のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信するステップと、
(b)前記ステップ(a)により送信された被攻撃ホスト宛てパケットの合計送信トラヒックレートを測定するステップと、
(c)前記ステップ(b)により測定された被攻撃ホスト宛て合計送信トラヒックレートを、指定された第2のレートリミット設定値と比較し、該被攻撃ホスト宛て合計送信トラヒックレートが、前記第2のレートリミット設定値より大きい場合、前記第1のレートリミット設定値を、現在の値より小さい値に更新するステップと
を有するフラッド攻撃防御方法。 - 通信ネットワークに接続された装置へのフラッド攻撃を防御する方法であって、
(a)指定されたトラヒック識別パラメータの値に基づいて被攻撃ホスト宛てパケットを分類し、分類されたパケットフロー毎に、受信パケットの受信トラヒックレートを測定するステップと、
(b)前記ステップ(a)により測定された受信トラヒックレートを、指定された攻撃判定閾値と、指定されたトラヒック識別パラメータの値毎に比較し、その結果該受信トラヒックレートが該攻撃判定閾値より大きくなるトラヒック識別パラメータの値をすべて求めるステップと、
(c)前記ステップ(b)により求められたトラヒック識別パラメータの値のいずれかにマッチする被攻撃ホスト宛てパケットフロー毎に、受信パケットフローの受信トラヒックレートが、指定された第1のレートリミット設定値を超過している分のパケットを廃棄し、該パケットフロー毎に、該第1のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信し、それ以外のパケットフローについては受信パケットをすべて送信するステップと、
(d)前記ステップ(c)により送信された被攻撃ホスト宛てパケットの合計送信トラヒックレートを測定するステップと、
(e)前記ステップ(d)により測定された合計送信トラヒックレートを、指定された第2のレートリミット設定値と比較し、該被攻撃ホスト宛て合計送信トラヒックレートが前記第2のレートリミット設定値より大きい場合、前記第1のレートリミット設定値を、現在の値より小さい値に更新するステップと
を有するフラッド攻撃防御方法。 - 通信ネットワークに接続された装置へのフラッド攻撃を防御する方法であって、
(a)指定されたトラヒック識別パラメータの値に基づいて被攻撃ホスト宛てパケットを分類し、分類されたパケットフロー毎に、受信パケットの受信トラヒックレートを測定するステップと、
(b)前記ステップ(a)により測定された受信トラヒックレートを、指定された攻撃判定閾値と、指定されたトラヒック識別パラメータの値毎に比較し、その結果該受信トラヒックレートが該攻撃判定閾値より大きくなるトラヒック識別パラメータの値をすべて求めるステップと、
(c)前記ステップ(b)により求められたトラヒック識別パラメータの値の種類の数を、指定された攻撃フロー数上限判定閾値と比較するステップと、
(d)前記ステップ(c)による比較の結果、前記トラヒック識別パラメータの値の種類の数が前記攻撃フロー数上限判定閾値より小さい場合には、
(d1) 前記ステップ(b)により求められたトラヒック識別パラメータの値のいずれかにマッチする被攻撃ホスト宛てパケットフロー毎に、受信パケットフローの受信トラヒックレートが、指定された第1のレートリミット設定値を超過している分のパケットを廃棄し、該パケットフロー毎に、該第1のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信し、それ以外のパケットフローについては受信パケットをすべて送信し、
(d2) 前記ステップ(d1)により送信した被攻撃ホスト宛てパケットの合計送信トラヒックレートを測定し、
(d3) 前記ステップ(d2)により測定した合計送信トラヒックレートを、指定された第2のレートリミット設定値と比較し、該被攻撃ホスト宛て合計送信トラヒックレートが前記第2のレートリミット設定値より大きい場合、前記第1のレートリミット設定値を、現在の値より小さい値に更新する、
の各ステップ(d1〜d3)を順に実行するステップと、
(e)前記ステップ(c)による比較の結果、前記トラヒック識別パラメータの値の種類の数が前記攻撃フロー数上限判定閾値より大きい場合には、被攻撃ホスト宛て受信パケットのうち、受信パケットの受信トラヒックレートが、前記第2のレートリミット設定値を超過している分のパケットを廃棄し、該第2のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信するステップと
を有するフラッド攻撃防御方法。 - 前記第1のレートリミット設定値の値を0にした場合に、前記被攻撃ホスト宛て送信トラヒックレートを、前記第2のレートリミット設定値と比較し、該被攻撃ホスト宛て送信トラヒックレートが該第2のレートリミット設定値より大きい場合、受信された被攻撃ホスト宛てパケットのうち、受信パケットの受信トラヒックレートが前記第2のレートリミット設定値を超過している分のパケットを廃棄し、該第2のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信するステップをさらに有する、請求項2に記載のフラッド攻撃防御方法。
- 前記トラヒック識別パラメータが、受信回線情報、送信元IPアドレスとサブネットマスク、プロトコル番号、送信元ポート番号、宛先ポート番号、Type of Service、Total Length、Time to Liveのいずれかおよびそれらの組合せである、請求項1から4のいずれかに記載のフラッド攻撃防御方法。
- 通信ネットワークに接続された装置へのフラッド攻撃を防御する装置であって、
被攻撃ホスト宛てパケットを受信するパケット受信手段と、
前記パケット受信手段により受信された被攻撃ホスト宛てパケットを、指定されたトラヒック識別パラメータの値に基づいて分類し、分類されたパケットフロー毎に、受信パケットフローの受信トラヒックレートが、指定された第1のレートリミット設定値を超過している分のパケットを廃棄し、分類されたパケットフロー毎に、該第1のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信する個別トラヒックポリシング手段と、
前記個別トラヒックポリシング手段により送信された被攻撃ホスト宛てパケットの合計送信トラヒックレートを測定する送信トラヒックレート測定手段と、
前記送信トラヒックレート測定手段により測定された合計送信トラヒックレートを、指定された第2のレートリミット設定値と比較し、該被攻撃ホスト宛て送信トラヒックレートが該第2のレートリミット設定値より大きい場合、前記第1のレートリミット設定値を、現在の値より小さい値に更新するレートリミット設定値更新手段と
を有するフラッド攻撃防御装置。 - 通信ネットワークに接続された装置へのフラッド攻撃を防御する装置であって、
被攻撃ホスト宛てパケットを受信するパケット受信手段と、
前記パケット受信手段により受信された被攻撃ホスト宛てパケットを、指定されたトラヒック識別パラメータの値に基づいて分類し、分類されたパケットフロー毎に、受信パケットの受信トラヒックレートを測定する受信トラヒックレート測定手段と、
前記受信トラヒックレート測定手段により測定された受信トラヒックレートを、指定された攻撃判定閾値と、前記トラヒック識別パラメータの値毎に比較し、その結果該受信トラヒックレートが該攻撃判定閾値より大きくなるトラヒック識別パラメータの値をすべて求める攻撃トラヒック識別パラメータ値検出手段と、
前記攻撃トラヒック識別パラメータ値検出手段により求められたトラヒック識別パラメータの値のいずれかにマッチする被攻撃ホスト宛てパケットフロー毎に、受信パケットフローの受信トラヒックレートが、指定された第1のレートリミット設定値を超過している分のパケットを廃棄し、該パケットフロー毎に、該第1のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信し、それ以外のパケットフローについては受信パケットをすべて送信する個別限定トラヒックポリシング手段と、
前記個別限定トラヒックポリシング手段により送信された被攻撃ホスト宛てパケットの合計送信トラヒックレートを測定する送信トラヒックレート測定手段と、
前記送信トラヒックレート測定手段により測定された被攻撃ホスト宛て合計送信トラヒックレートを、指定された第2のレートリミット設定値と比較し、該被攻撃ホスト宛て送信トラヒックレートが該第2のレートリミット設定値より大きい場合、第1のレートリミット設定値の値を、現在の値より小さい値に更新するレートリミット設定値更新手段と、
を有するフラッド攻撃防御装置。 - 前記パケット受信手段により受信された被攻撃ホスト宛てパケットに対し、該受信パケットの受信トラヒックレートが、指定された第2のレートリミット設定値を超過している分のパケットを廃棄し、該第2のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信する全体トラヒックポリシング手段と、
前記攻撃トラヒック識別パラメータ値検出手段により求められたトラヒック識別パラメータの値の種類の数を、指定された攻撃フロー数上限判定閾値と比較する攻撃フロー数上限判定手段と、
該トラヒック識別パラメータの値の種類の数が該攻撃フロー数上限判定閾値より大きい場合には、前記全体トラヒックポリシング手段によるトラヒックポリシングを実行し、該トラヒック識別パラメータの値の種類の数が該攻撃フロー数上限判定閾値より小さい場合には、前記個別限定トラヒックポリシング手段によるトラヒックポリシングを実行するトラヒックポリシング切替手段と
をさらに有する、請求項7に記載のフラッド攻撃防御装置。 - 前記第1のレートリミット設定値の値を0にした場合に、前記送信トラヒックレート測定手段により測定された被攻撃ホスト宛て送信トラヒックレートを、指定された第2のレートリミット設定値と比較し、該被攻撃ホスト宛て送信トラヒックレートが該第2のレートリミット設定値より大きい場合、前記パケット受信手段により受信された被攻撃ホスト宛てパケットに対し、受信パケットの受信トラヒックレートが、指定された第2のレートリミット設定値を超過している分のパケットを廃棄し、該第2のレートリミット設定値を超えない送信トラヒックレートで被攻撃ホスト宛てにパケットを送信する全体トラヒックポリシング手段をさらに有する、請求項7に記載のフラッド攻撃防御装置。
- 前記トラヒック識別パラメータが、受信回線情報、送信元IPアドレスとサブネットマスク、プロトコル番号、送信元ポート番号、宛先ポート番号、Type of Service、Total Length、Time to Liveのいずれかおよびそれらの組合せである、請求項6から9のいずれかに記載のフラッド攻撃防御装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005060813A JP4280245B2 (ja) | 2005-03-04 | 2005-03-04 | フラッド攻撃防御方法および装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005060813A JP4280245B2 (ja) | 2005-03-04 | 2005-03-04 | フラッド攻撃防御方法および装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006246177A true JP2006246177A (ja) | 2006-09-14 |
| JP4280245B2 JP4280245B2 (ja) | 2009-06-17 |
Family
ID=37052097
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005060813A Expired - Fee Related JP4280245B2 (ja) | 2005-03-04 | 2005-03-04 | フラッド攻撃防御方法および装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4280245B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009200984A (ja) * | 2008-02-25 | 2009-09-03 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク制御方法およびネットワーク制御装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004166029A (ja) * | 2002-11-14 | 2004-06-10 | Nippon Telegr & Teleph Corp <Ntt> | 分散型サービス拒絶防御方法およびシステム、ならびにそのプログラム |
| JP2004266483A (ja) * | 2003-02-28 | 2004-09-24 | Nec Corp | 不正アクセス防止方法、装置、プログラム |
| JP2004312416A (ja) * | 2003-04-08 | 2004-11-04 | Matsushita Electric Ind Co Ltd | アクセス制御方法、中継装置及びサーバ |
| JP2004336549A (ja) * | 2003-05-09 | 2004-11-25 | Furukawa Electric Co Ltd:The | 帯域制御方法およびその帯域制御装置 |
-
2005
- 2005-03-04 JP JP2005060813A patent/JP4280245B2/ja not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004166029A (ja) * | 2002-11-14 | 2004-06-10 | Nippon Telegr & Teleph Corp <Ntt> | 分散型サービス拒絶防御方法およびシステム、ならびにそのプログラム |
| JP2004266483A (ja) * | 2003-02-28 | 2004-09-24 | Nec Corp | 不正アクセス防止方法、装置、プログラム |
| JP2004312416A (ja) * | 2003-04-08 | 2004-11-04 | Matsushita Electric Ind Co Ltd | アクセス制御方法、中継装置及びサーバ |
| JP2004336549A (ja) * | 2003-05-09 | 2004-11-25 | Furukawa Electric Co Ltd:The | 帯域制御方法およびその帯域制御装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009200984A (ja) * | 2008-02-25 | 2009-09-03 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク制御方法およびネットワーク制御装置 |
| JP4516612B2 (ja) * | 2008-02-25 | 2010-08-04 | 日本電信電話株式会社 | ネットワーク制御方法およびネットワーク制御装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4280245B2 (ja) | 2009-06-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7882556B2 (en) | Method and apparatus for protecting legitimate traffic from DoS and DDoS attacks | |
| US10075338B2 (en) | Relay control unit, relay control system, relay control method, and relay control program | |
| US7596097B1 (en) | Methods and apparatus to prevent network mapping | |
| US8879388B2 (en) | Method and system for intrusion detection and prevention based on packet type recognition in a network | |
| EP2127313B1 (en) | A containment mechanism for potentially contaminated end systems | |
| JP5880560B2 (ja) | 通信システム、転送ノード、受信パケット処理方法およびプログラム | |
| US7818795B1 (en) | Per-port protection against denial-of-service and distributed denial-of-service attacks | |
| US9088607B2 (en) | Method, device, and system for network attack protection | |
| US20200137112A1 (en) | Detection and mitigation solution using honeypots | |
| EP3355514A1 (en) | Method and device for transmitting network attack defense policy and method and device for defending against network attack | |
| US20080151887A1 (en) | Method and Apparatus For Inter-Layer Binding Inspection | |
| JP6454224B2 (ja) | 通信装置 | |
| JP2007235341A (ja) | 対異常通信防御を行うための装置とネットワークシステム | |
| US8320249B2 (en) | Method and system for controlling network access on a per-flow basis | |
| US20110026529A1 (en) | Method And Apparatus For Option-based Marking Of A DHCP Packet | |
| KR20120060655A (ko) | 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크 | |
| US8159948B2 (en) | Methods and apparatus for many-to-one connection-rate monitoring | |
| CN106487790B (zh) | 一种ack flood攻击的清洗方法及系统 | |
| US7464398B2 (en) | Queuing methods for mitigation of packet spoofing | |
| JP5178573B2 (ja) | 通信システムおよび通信方法 | |
| CN113890746B (zh) | 攻击流量识别方法、装置、设备以及存储介质 | |
| US20110265181A1 (en) | Method, system and gateway for protection against network attacks | |
| CN110198290B (zh) | 一种信息处理方法、设备、装置及存储介质 | |
| JP4280245B2 (ja) | フラッド攻撃防御方法および装置 | |
| Cao et al. | AccFlow: defending against the low-rate TCP DoS attack in wireless sensor networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070222 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090126 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090304 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090313 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120319 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4280245 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130319 Year of fee payment: 4 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |