JP2006295240A - 通信装置及びアドレス変換装置並びにプログラム - Google Patents
通信装置及びアドレス変換装置並びにプログラム Download PDFInfo
- Publication number
- JP2006295240A JP2006295240A JP2005108983A JP2005108983A JP2006295240A JP 2006295240 A JP2006295240 A JP 2006295240A JP 2005108983 A JP2005108983 A JP 2005108983A JP 2005108983 A JP2005108983 A JP 2005108983A JP 2006295240 A JP2006295240 A JP 2006295240A
- Authority
- JP
- Japan
- Prior art keywords
- unit
- information
- filter
- discard
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 NAT装置を介したDDoS攻撃対策を実現してネットワーク全体のトラヒックを低減することができる分散型サービス不能攻撃対策方法を提供する。
【解決手段】 Firewall装置2やルータ3a,3b,6a,6b,6cが、防御対象のサーバ1をDDoS攻撃する端末4,7の送信データの伝送帯域を制限する廃棄フィルタの設定及び解除条件の暗号化データをARPパケットに組み込んだ偽装ARPパケットデータをやり取りし、暗号化データを復号してフィルタを設定し、NAT装置5が、廃棄フィルタをサーバ1側でないネットワークBに接続するルータ6a,6b,6cに設定するにあたり、廃棄フィルタの設定及び解除条件に関する情報のアドレス情報をネットワークBのアドレス体系に変換した偽装ARPパケットデータを生成して送信する。
【選択図】 図2
【解決手段】 Firewall装置2やルータ3a,3b,6a,6b,6cが、防御対象のサーバ1をDDoS攻撃する端末4,7の送信データの伝送帯域を制限する廃棄フィルタの設定及び解除条件の暗号化データをARPパケットに組み込んだ偽装ARPパケットデータをやり取りし、暗号化データを復号してフィルタを設定し、NAT装置5が、廃棄フィルタをサーバ1側でないネットワークBに接続するルータ6a,6b,6cに設定するにあたり、廃棄フィルタの設定及び解除条件に関する情報のアドレス情報をネットワークBのアドレス体系に変換した偽装ARPパケットデータを生成して送信する。
【選択図】 図2
Description
この発明は、インターネットやIP−VPNにおける分散型サービス不能攻撃対策処理を実行する通信装置及びアドレス変換装置並びにプログラムに関するものである。
従来のネットワークシステムにおけるDDoS(Distributed Denial of Service)攻撃(以下、DDoS攻撃と略す)対策処理では、企業のWebサーバ等が悪意を持ったユーザの端末からDDoS攻撃を受けると、例えばFirewall機能を有する通信装置(以下、Firewall装置と称す)で攻撃元のIPアドレスや使用ポート番号等のアドレス情報を検出する。そして、Firewall装置は、検出したアドレス情報に基づき廃棄フィルタを設定すると同時に、自装置のルーティング情報に基づいて隣接する上位ルータに対して廃棄フィルタ条件及びその解除条件を送出する。
隣接ルータでは、受信した廃棄フィルタの設定条件に基づき、自装置に廃棄フィルタを設定すると同時に、更に上位のルータへ廃棄フィルタ条件と解除条件を転送する。この処理を繰り返すことにより、攻撃元の端末を収容しているルータまで廃棄フィルタを設定する。最端のルータは、受信した廃棄フィルタ条件に基づき自装置がDDoS攻撃者を収容していると判断すると、攻撃者に対策処理がなされたことを認知されないように廃棄フィルタ条件及びその解除条件を攻撃元の端末に転送しない。
このようにしてネットワーク上からDDoS攻撃によるパケットを排除し、攻撃対象のサーバのみならず、ネットワーク全体の負荷をも低減している。このような従来のDDoS攻撃対策処理は、例えば特許文献1に開示されている。
従来のDDoS攻撃対策処理では、攻撃元からNAT(Network Address Translation)装置を介して防御対象のコンピュータが攻撃された場合、攻撃元の端末のアドレス情報がNAT装置により防御対象のコンピュータが接続する側のネットワークのアドレス情報に変換されるため、防御対象側のネットワーク内でNAT装置に隣接するルータは、自装置に収容している通信装置が、NAT装置を介してDDoS攻撃する端末であるのか、NAT装置であるのかを判別できない。このため、NAT装置に隣接するルータは、廃棄フィルタの設定及び解除条件を転送しない。これにより、NAT装置よりも攻撃元の端末側のネットワークは、DDoS対策処理がなされず、DDoS攻撃パケットによる負荷で他の正規ユーザの端末でのトラヒックが影響を受けてしまうという課題があった。
また、従来では、自装置のルーティング情報に従って廃棄フィルタ条件及びその解除条件が転送されるので、NAT装置とDDoS攻撃先間の通信経路が非対称であると、NAT装置よりも攻撃先側のネットワークであっても、DDoS攻撃対策処理が有効にならない場合がある。これにより、NAT装置よりも攻撃先側のネットワークであっても、DDoS攻撃パケットによる負荷で他の正規ユーザのトラヒックが影響を受けるという課題があった。
この発明は、上記のような課題を解決するためになされたもので、NAT装置などのアドレス変換装置を介したDDoS攻撃対策を実現してネットワーク全体のトラヒックを低減することができる通信装置及びアドレス変換装置並びにプログラムを得ることを目的とする。
この発明に係る通信装置は、防御対象のコンピュータを分散型サービス不能攻撃する通信装置からの送信データの伝送帯域を制限するフィルタの設定及び解除条件に関する情報を生成するフィルタ情報生成部と、フィルタの設定及び解除条件に関する情報に基づき、フィルタを設定するフィルタリング制御部と、ネットワークに接続するアドレス変換装置を含む他の通信装置との間でフィルタの設定及び解除条件に関する情報をやり取りするフィルタ情報送受信部とを備えるものである。
この発明によれば、防御対象のコンピュータを分散型サービス不能攻撃する通信装置からの送信データの伝送帯域を制限するフィルタの設定及び解除条件に関する情報を生成するフィルタ情報生成部と、フィルタの設定及び解除条件に関する情報に基づき、フィルタを設定するフィルタリング制御部と、ネットワークに接続するアドレス変換装置を含む他の通信装置との間でフィルタの設定及び解除条件に関する情報をやり取りするフィルタ情報送受信部とを備えるので、アドレス変換装置においてもフィルタの設定及び解除条件に関する情報を取得できることから、アドレス体系の異なるネットワーク間におけるDDoS攻撃対策を実現し、これらネットワーク全体のDDoS攻撃に起因するトラヒックの増加を抑制することができるという効果がある。
実施の形態1.
図1は、この発明の実施の形態1による分散型サービス不能攻撃対策方法を適用したネットワークシステムを示す図である。図に示す例では、NAT装置(アドレス変換装置)5を介して2つのネットワークA,Bが接続されており、ネットワークA内にFirewall装置(通信装置)2を介してサーバ装置(防御対象のコンピュータ)1が接続している。このネットワークAでは、Firewall装置2からルータ(通信装置)3a,3bを経由してNAT装置5が接続されており、ルータ3bにはNAT装置5の他に端末4が収容されている。
図1は、この発明の実施の形態1による分散型サービス不能攻撃対策方法を適用したネットワークシステムを示す図である。図に示す例では、NAT装置(アドレス変換装置)5を介して2つのネットワークA,Bが接続されており、ネットワークA内にFirewall装置(通信装置)2を介してサーバ装置(防御対象のコンピュータ)1が接続している。このネットワークAでは、Firewall装置2からルータ(通信装置)3a,3bを経由してNAT装置5が接続されており、ルータ3bにはNAT装置5の他に端末4が収容されている。
この端末4は、DDoS攻撃元となる悪意ユーザの端末であり、ネットワークA内での接続関係上、NAT装置5を介さずにサーバ1をDDoS攻撃することができる。また、ネットワーク(他のネットワーク)Bには、NAT装置5からルータ(通信装置)6a,6b,6cが順に接続し、ルータ6cには端末7が収容されている。この端末7は、DDoS攻撃元となる悪意ユーザの端末であり、ネットワークA内でのサーバ1に対してNAT装置5を介したDDoS攻撃を実行する。
図2は、実施の形態1によるFirewall装置の構成を示すブロック図である。図に示すように、Firewall装置2は、DDoS攻撃検出部8、廃棄/解除条件生成部(フィルタ情報生成部)9、フィルタリング制御部10、ルーティングテーブル11、暗号化部(暗号化部、フィルタ情報送受信部)12、パディング制御部(フィルタ情報送受信部)13、ヘッダ制御部(フィルタ情報送受信部)14及び偽装ARP生成部(パケット生成部、フィルタ情報送受信部)15から構成される。DDoS攻撃検出部8は、通信トラヒックにおけるサーバ1へのデータを受信してそのDDoSパケットの有無を解析し、DDoS攻撃元のIPアドレスや使用ポート番号等のアドレス情報を検出する。廃棄/解除条件生成部9は、DDoS攻撃検出部8が検出した攻撃元のアドレス情報に基づき、当該アドレス情報で特定される攻撃元端末から送信されたデータを廃棄若しくはその伝送帯域を制限する廃棄フィルタの設定及びその解除条件に関する情報を生成する。
フィルタリング制御部10は、廃棄/解除条件生成部9が生成した廃棄フィルタの設定及びその解除条件に基づいて自装置2に廃棄フィルタを設定する。ルーティングテーブル11は、自装置2までのネットワーク上の通信経路をアドレス情報などで規定するルーティング情報を格納するテーブルであり、自装置2として機能するコンピュータのメモリ上に構築される。暗号化部12は、廃棄/解除条件生成部9が生成した廃棄フィルタの設定及びその解除に関する情報を例えばDES、3DESなどで暗号化する。
パディング制御部13は、ARP(Address Resolution Protocol)リクエストのパディング部にデータを組み込む処理を実行する。例えば、通常のARPリクエスト送出時であれば、無効データを暗号化したデータをパディングデータとして埋め込んで送出する。ヘッダ制御部14は、ルーティングテーブル11のアドレス情報より特定された宛先IPアドレスをARPリクエストのヘッダに組み込む処理を実行する。偽装ARP生成部15は、暗号化部12による暗号化情報をパディング制御部13によりARPリクエストのパディング部にカプセリングさせ、ヘッダ制御部14によりヘッダに宛先IPアドレスを組み込んだ偽装ARPリクエストを生成しルータ3aに送出する。
上述した、DDoS攻撃検出部8、廃棄/解除条件生成部9、フィルタリング制御部10、暗号化部12、パディング制御部13、ヘッダ制御部14及び偽装ARP生成部15は、例えば外部装置と通信する機能を搭載したコンピュータに、本発明に従う分散型サービス不能攻撃対策プログラムを実行させることで具現化することができる。
つまり、本発明に従う分散型サービス不能攻撃対策プログラムを上記コンピュータに読み込ませて、その動作を制御することにより、当該コンピュータ上に図2に示すDDoS攻撃検出部8、廃棄/解除条件生成部9、フィルタリング制御部10、暗号化部12、パディング制御部13、ヘッダ制御部14及び偽装ARP生成部15としての機能を持たせることができる。また、ルーティングテーブル11についても、上記コンピュータに装備されたハードディスクなどの記憶装置上に構成することができる。
なお、以下の説明において、本発明のFirewall装置2を具現化するコンピュータ自体の構成及びその基本的な機能については、当業者が当該技術分野の技術常識に基づいて容易に認識できるものであり、本発明の本質に直接関わるものでないので詳細な記載を省略する。また、Firewall装置2は、ネットワークA内における別個の通信装置として構成しても良く、サーバ1の1つの機能として設けても良い。
図3は、実施の形態1によるルータの構成を示すブロック図である。図に示すように、ルータ3a,3b,6a,6b,6cは、ARP検出部(受信部、フィルタ情報送受信部)16、パディング抽出部17、復号化部(復号部、フィルタ情報送受信部)18、廃棄/解除条件生成部(フィルタ情報生成部)19、フィルタリング制御部20、ルーティングテーブル21、暗号化部(暗号化部、フィルタ情報送受信部)22、パディング制御部(フィルタ情報送受信部)23、ヘッダ制御部(フィルタ情報送受信部)24及び偽装ARP生成部(パケット生成部、フィルタ情報送受信部)25から構成される。ARP検出部16は、自ルータが収容する通信装置からの転送データを受信して、通常のARPリクエストの他、Firewall装置2又は下位ルータからの偽装ARPリクエストを検出する。パディング抽出部17は、ARP検出部16が検出した偽装ARPリクエストのパディング部からパディングデータを抽出する。復号化部18は、Firewall装置2の暗号化部12により暗号化されたデータを復号するための復号規則が設定されており、この復号規則に従ってパディングデータを復号する。
廃棄/解除条件生成部19は、復号化部18が復号したデータから廃棄フィルタの設定及び解除条件に関する情報を検出する。フィルタリング制御部20は、廃棄/解除条件生成部19が検出した廃棄フィルタの設定及び解除条件に関する情報に基づいて自ルータに廃棄フィルタを設定する。ルーティングテーブル21は、自ルータまでのネットワーク上の通信経路をアドレス情報などで規定するルーティング情報を格納するテーブルであり、自ルータとして機能するコンピュータのメモリ上に構築される。暗号化部22は、廃棄/解除条件生成部19が検出した廃棄フィルタの設定及び解除条件に関する情報を例えばDES、3DESなどで暗号化する。
パディング制御部23は、ARPリクエストのパディング部にデータを組み込む処理を実行する。ヘッダ制御部24は、ルーティングテーブル21のアドレス情報より特定された宛先IPアドレスをARPリクエストのヘッダに組み込む処理を実行する。偽装ARP生成部25は、暗号化部22による暗号化情報をパディング制御部23によりARPリクエストのパディング部にカプセリングさせ、ヘッダ制御部24によりヘッダに宛先IPアドレスを組み込んだ偽装ARPリクエストを生成し自ルータが収容する通信装置に送出する。
上述した、ARP検出部16、パディング抽出部17、復号化部18、廃棄/解除条件生成部19、フィルタリング制御部20、暗号化部22、パディング制御部23、ヘッダ制御部24及び偽装ARP生成部25は、例えば外部装置と通信する機能を搭載したコンピュータに、本発明に従う分散型サービス不能攻撃対策プログラムを実行させることで具現化することができる。
つまり、本発明に従う分散型サービス不能攻撃対策プログラムを上記コンピュータに読み込ませて、その動作を制御することにより、当該コンピュータ上に図3に示すARP検出部16、パディング抽出部17、復号化部18、廃棄/解除条件生成部19、フィルタリング制御部20、暗号化部22、パディング制御部23、ヘッダ制御部24及び偽装ARP生成部25としての機能を持たせることができる。また、ルーティングテーブル21についても、上記コンピュータに装備されたハードディスクなどの記憶装置上に構成することができる。
なお、以下の説明において、本発明のルータ3a,3b,6a,6b,6cを具現化するコンピュータ自体の構成及びその基本的な機能については、当業者が当該技術分野の技術常識に基づいて容易に認識できるものであり、本発明の本質に直接関わるものでないので詳細な記載を省略する。
図4は、実施の形態1によるNAT装置の構成を示すブロック図である。図に示すように、NAT装置5は、ARP検出部(受信部)26、パディング抽出部27、復号化部28、廃棄/解除条件生成部29、アドレス変換部30、NATテーブル31、攻撃側NW廃棄/解除条件生成部32、フィルタリング制御部33、ルーティングテーブル34、暗号化部35、パディング制御部36、ヘッダ制御部37及び偽装ARP生成部(パケット生成部)38から構成される。ARP検出部26は、下位ルータからの転送データを受信して通常のARPリクエストの他、下位ルータからの偽装ARPリクエストを検出する。パディング抽出部27は、ARP検出部26が検出した偽装ARPリクエストのパディング部からパディングデータを抽出する。
復号化部28は、パディング抽出部27が抽出したパディングデータを復号する。廃棄/解除条件生成部29は、復号化部28が復号したデータから廃棄フィルタの設定及びその解除に関する情報を検出する。アドレス変換部30は、NATテーブル31のNAT情報に基づき、廃棄/解除条件生成部29が検出した廃棄フィルタの設定及び解除条件に関する情報中のアドレス情報のネットワークアドレス体系を変換する。NATテーブル31は、ネットワークA,B間でのアドレス情報の対応関係が記述をしたNAT情報が格納されている。攻撃側NW廃棄/解除条件生成部32は、アドレス変換部30によりDDoS攻撃元のネットワークアドレス体系に変換された廃棄フィルタの設定及び解除条件に基づき、DDoS攻撃元側のネットワーク上の通信装置に設定するための廃棄フィルタの設定及び解除条件を生成する。
フィルタリング制御部33は、攻撃側NW廃棄/解除条件生成部32が生成した廃棄フィルタの設定及び解除条件に関する情報に基づいて自装置5に廃棄フィルタを設定する。ルーティングテーブル34は、自装置5までのネットワーク上の通信経路をアドレス情報などで規定するルーティング情報を格納するテーブルであり、自装置5として機能するコンピュータのメモリ上に構築される。暗号化部35は、攻撃側NW廃棄/解除条件生成部32が生成した廃棄フィルタの設定及びその解除に関する情報を例えばDES、3DESなどで暗号化する。
パディング制御部36は、ARPリクエストのパディング部にデータを組み込む処理を実行する。ヘッダ制御部37は、ルーティングテーブル34のアドレス情報より特定された宛先IPアドレスをARPリクエストのヘッダに組み込む処理を実行する。偽装ARP生成部38は、暗号化部35による暗号化情報をパディング制御部36によりARPリクエストのパディング部にカプセリングさせ、ヘッダ制御部37によりヘッダに宛先IPアドレスを組み込んだ偽装ARPリクエストを生成し下位ルータに送出する。
上述した、ARP検出部26、パディング抽出部27、復号化部28、廃棄/解除条件生成部29、アドレス変換部30、攻撃側NW廃棄/解除条件生成部32、フィルタリング制御部33、暗号化部35、パディング制御部36、ヘッダ制御部37及び偽装ARP生成部38は、例えば外部装置と通信する機能を搭載したコンピュータに、本発明に従う分散型サービス不能攻撃対策プログラムを実行させることで具現化することができる。
つまり、本発明に従う分散型サービス不能攻撃対策プログラムを上記コンピュータに読み込ませてその動作を制御することにより、当該コンピュータ上に図4に示すARP検出部26、パディング抽出部27、復号化部28、廃棄/解除条件生成部29、アドレス変換部30、攻撃側NW廃棄/解除条件生成部32、フィルタリング制御部33、暗号化部35、パディング制御部36、ヘッダ制御部37及び偽装ARP生成部38としての機能を持たせることができる。また、NATテーブル31及びルーティングテーブル34についても、上記コンピュータに装備されたハードディスクなどの記憶装置上に構成することができる。
なお、以下の説明において、本発明によるNAT装置5を具現化するコンピュータ自体の構成及びその基本的な機能については、当業者が当該技術分野の技術常識に基づいて容易に認識できるものであり、本発明の本質に直接関わるものでないので詳細な記載を省略する。
次に動作について説明する。
図5は、実施の形態1のFirewall装置による動作を示すフローチャート、図6は、実施の形態1のルータによる動作を示すフローチャート、実施の形態1のNAT装置による動作を示すフローチャートであり、これらの図に沿って実施の形態1による分散型サービス不能攻撃対策方法を説明する。
図5は、実施の形態1のFirewall装置による動作を示すフローチャート、図6は、実施の形態1のルータによる動作を示すフローチャート、実施の形態1のNAT装置による動作を示すフローチャートであり、これらの図に沿って実施の形態1による分散型サービス不能攻撃対策方法を説明する。
先ず、ネットワークA内の端末4からサーバ1がDDoS攻撃された場合を述べる。
Firewall装置2のDDoS攻撃検出部8は、通信トラヒックからパケットデータを受信し、受信パケットが所定の攻撃検出条件に従うか否かを判定して、DDoS攻撃を検出する(図5のステップST1)。攻撃検出条件としては、DDoS攻撃パケットとして予め特定した例えばデータの属性や検出間隔などの情報が考えられる。この攻撃検出条件にトラヒックが一致した場合、このトラヒックの通信パケットはDDoS攻撃パケットであると認識する。
Firewall装置2のDDoS攻撃検出部8は、通信トラヒックからパケットデータを受信し、受信パケットが所定の攻撃検出条件に従うか否かを判定して、DDoS攻撃を検出する(図5のステップST1)。攻撃検出条件としては、DDoS攻撃パケットとして予め特定した例えばデータの属性や検出間隔などの情報が考えられる。この攻撃検出条件にトラヒックが一致した場合、このトラヒックの通信パケットはDDoS攻撃パケットであると認識する。
DDoS攻撃パケットを検出すると、DDoS攻撃検出部8は、その内容を解析してDDoS攻撃元の端末4のIPアドレスや使用ポート番号等のアドレス情報を検出する(図5のステップST2)。検出された攻撃元のアドレス情報は、DDoS攻撃検出部8から廃棄/解除条件生成部9に出力される。廃棄/解除条件生成部9では、DDoS攻撃検出部8が検出した攻撃元のアドレス情報を基にして、当該アドレス情報で特定される端末4からの通信データを廃棄若しくはその伝送帯域を制限するための廃棄フィルタの設定及び解除条件に関する情報を生成する(図5のステップST3)。
このあと、廃棄/解除条件生成部9は、生成した廃棄フィルタの設定及び解除条件に関する情報をフィルタリング制御部10及び暗号化部12に送出する。フィルタリング制御部10では、この廃棄フィルタの設定及び解除条件に基づき、自装置2に廃棄フィルタを設定する(図5のステップST4)。
また、廃棄/解除条件生成部9は、ルーティングテーブル11から上位側next hopの通信装置のIPアドレスを検索して宛先IPアドレスとする(図5のステップST5)。暗号化部12は、廃棄/解除条件生成部9から受信した廃棄フィルタの設定及び解除条件に関する情報をDES、3DES等で暗号化してパディング制御部13に送出する(図5のステップST6)。
なお、上位側next hopの通信装置は、フィリタリング対象の通信装置がネットワークに直接に接続しているときは、この通信装置自身であり、フィリタリング対象の通信装置がルータを介して間接的にネットワークに接続しているときは、当該装置に「最も近い」ネットワークに接続するルータである。例えば、フィリタリング対象の通信装置が自装置2直下のネットワーク上にある場合は、そのアドレスを宛て先アドレスとして決定する。
暗号化部12により暗号化された廃棄フィルタの設定及び解除条件に関する情報は、暗号化部12からパディング制御部13に送出され、ルーティングテーブル11を検索して決定された宛先IPアドレスは、ヘッダ制御部14に送出される。これにより、偽装ARP生成部15は、パディング制御部13により廃棄フィルタの設定及び解除条件に関する情報をARPリクエストのパディング部に組み込むカプセリングを施し、ヘッダ制御部14により宛先IPアドレスをARPリクエストのヘッダに組み込んで、通常のARPリクエストとデータ形態が同じで攻撃元の端末に対して偽装されたARPリクエストを生成する(図5のステップST7)。このようにして作成した偽装ARPリクエストは、偽装ARP生成部15から宛先IPアドレスに対応したルータ3aに送信される(図5のステップST8)。
Firewall装置2に隣接するルータ3aのARP検出部16では、通常のARPリクエストの受信処理と同様にFirewall装置2からの偽装ARPリクエストのパケットデータを受信する(図6のステップST1a)。この偽装ARPリクエストに係るパケットデータは、ARP検出部16からパディング抽出部17に出力される。パディング抽出部17では、ARP検出部16から入力したパケットデータのパディング部に組み込まれた暗号データを抽出する(図6のステップST2a)。ARP検出部16が検出したARPリクエストが偽装ARPリクエストであれば、そのパディング部に組み込まれた暗号化された廃棄フィルタの設定及び解除条件に関する情報が抽出され、復号化部18に出力される。
復号化部18では、Firewall装置2の暗号化部12により暗号化されたデータを復号するための復号規則(例えば、DES、3DESによる暗号の復号規則)が設定されており、この復号規則に従ってパディング抽出部17が抽出した暗号化データを復号して廃棄/解除条件生成部19に出力する(図6のステップST3a)。廃棄/解除条件生成部19では、復号データからFirewall装置2で生成された廃棄フィルタの設定及び解除条件に関する情報を検出する(図6のステップST4a)。このあと、廃棄/解除条件生成部19は、検出した廃棄フィルタの設定及び解除条件に関する情報をフィルタリング制御部20及び暗号化部22に送出する。フィルタリング制御部20では、廃棄フィルタの設定及び解除条件に基づき、端末4からのデータに対する廃棄フィルタを自装置3aに設定する(図6のステップST5a)。
廃棄/解除条件生成部19は、ルーティングテーブル21から上位側next hopの通信装置のIPアドレスを検索して宛先IPアドレスとする(図6のステップST6a)。ルーティングテーブル21を検索して決定された宛先IPアドレスは、ヘッダ制御部24に送出される。暗号化部22は、廃棄/解除条件生成部19から受信した廃棄フィルタの設定及び解除条件に関する情報をDES、3DES等で暗号化してパディング制御部23に送出する(図6のステップST7a)。
偽装ARP生成部25は、パディング制御部23により廃棄フィルタの設定及び解除条件に関する情報をARPリクエストのパディング部に組み込むカプセリングを施し、ヘッダ制御部24により宛先IPアドレスをARPリクエストのヘッダに組み込んで、通常のARPリクエストとデータ形態が同じで攻撃元の端末に対して偽装されたARPリクエストを生成する(図6のステップST8a)。このようにして作成した偽装ARPリクエストは、偽装ARP生成部25から宛先IPアドレスに対応したルータ3bに送信される(図6のステップST9a)。
ルータ3bでは、通常のARPリクエストの受信処理と同様に偽装ARPリクエストのパケットデータを受信すると、上述したステップST1aからステップST9aまでの処理を実行して、攻撃元の端末4に対して廃棄フィルタの設定及び解除条件に関する情報を暗号化しパディング部にカプセリングした偽装ARPリクエストを端末4及びNAT装置5に送信する。
攻撃元の端末4では、ルータ3bから偽装ARPリクエストを受信しても、廃棄フィルタの設定及び解除条件に関する情報がARPリクエストパケットに偽装されている上、暗号化されているため、通常のARPリクエストと判別できない。これにより、攻撃元の端末4は、DDoS攻撃対策処理がなされたことを認知することはない。
このように、ネットワークA上の端末4が攻撃元である場合、通常のARPリクエストと同様のデータ形態の偽装ARPリクエストに廃棄フィルタの設定及びその解除条件に関する情報の暗号化データをカプセリングして転送することで、偽装ARPリクエストの暗号化データを復号する復号化部を有するネットワークA内の通信装置間でDDoS攻撃対策処理を有効にすることができる。
なお、NAT装置5を介してネットワークB上の通信装置にも偽装ARPリクエストを転送し、端末4に対する廃棄フィルタを設定するようにしてもよい。この場合、後述するNAT装置5のアドレス変換部30は、偽装ARPリクエストに組み込むべき廃棄フィルタの設定及びその解除条件に関する情報のアドレス情報を攻撃元側でないネットワークBのアドレス体系に変換し、攻撃側NW廃棄/解除条件生成部32がこのアドレス体系による廃棄フィルタの設定及びその解除条件に関する情報を生成する。
次に、ネットワークB内の端末7からNAT装置5を介してサーバ1がDDoS攻撃された場合を述べる。
ネットワークB上の端末7からのNAT装置5を介したサーバ1へのDDoS攻撃は、Firewall装置2のDDoS攻撃検出部8により検出され、図5に示した処理に従って端末7のデータを廃棄若しくはその伝送帯域を制限するための廃棄フィルタの設定及び解除条件に関する情報の暗号化データがカプセリングされた偽装ARPリクエストが生成され、ルータ3aに転送される。ルータ3a,3bでは、図6に示した処理に従って偽装ARPリクエストを生成してNAT装置5に転送する。
ネットワークB上の端末7からのNAT装置5を介したサーバ1へのDDoS攻撃は、Firewall装置2のDDoS攻撃検出部8により検出され、図5に示した処理に従って端末7のデータを廃棄若しくはその伝送帯域を制限するための廃棄フィルタの設定及び解除条件に関する情報の暗号化データがカプセリングされた偽装ARPリクエストが生成され、ルータ3aに転送される。ルータ3a,3bでは、図6に示した処理に従って偽装ARPリクエストを生成してNAT装置5に転送する。
NAT装置5のARP検出部26では、通常のARPリクエストの受信処理と同様に偽装ARPリクエストのパケットデータを受信する(図7のステップST1b)。この偽装ARPリクエストに係るパケットデータは、ARP検出部26からパディング抽出部27に出力される。パディング抽出部27では、ARP検出部26から入力したパケットデータのパディング部に組み込まれた暗号データを抽出する(図7のステップST2b)。ARP検出部26が検出したARPリクエストが偽装ARPリクエストであれば、そのパディング部に組み込まれた暗号化された廃棄フィルタの設定及び解除条件に関する情報が抽出され、復号化部28に出力される。
復号化部28では、ルータ3bの暗号化部22により暗号化されたデータを復号するための復号規則(例えば、DES、3DESによる暗号の復号規則)が設定されており、パディング抽出部27が抽出した暗号化データを復号して廃棄/解除条件生成部29に出力する(図7のステップST3b)。廃棄/解除条件生成部29では、復号データから廃棄フィルタの設定及び解除条件に関する情報を検出する(図7のステップST4b)。このあと、廃棄/解除条件生成部29は、検出した廃棄フィルタの設定及び解除条件に関する情報をアドレス変換部30に送出する。
アドレス変換部30は、NATテーブル31のNAT情報に基づき、廃棄/解除条件生成部29が検出した廃棄フィルタの設定及び解除条件に関する情報中のアドレス情報を、攻撃元の端末7が存在するネットワークBのアドレス体系に変換する(図7のステップST5b)。この変換情報は、アドレス変換部30から攻撃側NW廃棄/解除条件生成部32に送出される。攻撃側NW廃棄/解除条件生成部32では、アドレス変換部30によりネットワークAからネットワークBにアドレス体系が変換された廃棄フィルタの設定及び解除条件に基づき、ネットワークB上の通信装置に設定するための廃棄フィルタの設定及び解除条件を生成する(図7のステップST6b)。
フィルタリング制御部33では、攻撃側NW廃棄/解除条件生成部32からの廃棄フィルタの設定及び解除条件に基づき、端末7からのデータに対する廃棄フィルタを自装置5に設定する(図7のステップST7b)。廃棄/解除条件生成部29は、ルーティングテーブル34から上位側next hopの通信装置のIPアドレスを検索して宛先IPアドレスとする(図7のステップST8b)。ルーティングテーブル34を検索して決定された宛先IPアドレスは、ヘッダ制御部37に送出される。暗号化部35は、廃棄/解除条件生成部29から受信した廃棄フィルタの設定及び解除条件に関する情報をDES、3DES等で暗号化してパディング制御部36に送出する(図7のステップST9b)。
偽装ARP生成部38は、パディング制御部36により廃棄フィルタの設定及び解除条件に関する情報をARPリクエストのパディング部に組み込むカプセリングを施し、ヘッダ制御部37により宛先IPアドレスをARPリクエストのヘッダに組み込んで、通常のARPリクエストとデータ形態が同じで攻撃元の端末に対して偽装されたARPリクエストを生成する(図7のステップST10b)。このようにして作成した偽装ARPリクエストは、偽装ARP生成部38から宛先IPアドレスに対応したネットワークB上のルータ6aに送信される(図7のステップST11b)。
以降、ルータ3a,3bと同様の処理をルータ6a,6b,6cで実行する。これにより、ネットワークB内の端末7からNAT装置5を介してサーバ1がDDoS攻撃された場合であっても、ネットワークA,B上の通信装置に廃棄フィルタを設定してDDoS攻撃対策を有効にすることができる。また、Firewall装置2、ルータ3a,3b、NAT装置5、ルータ6a,6b,6cは、偽装ARPリクエストを媒介として設定された解除条件を満足した場合は設定した廃棄フィルタを解除する。
以上のように、この実施の形態1によれば、Firewall装置2やルータ3a,3b,6a,6b,6cが、防御対象のサーバ1をDDoS攻撃する端末4,7の送信データの伝送帯域を制限する廃棄フィルタの設定及び解除条件の暗号化データをARPパケットに組み込んだ偽装ARPパケットデータをやり取りし、暗号化データを復号してフィルタを設定し、NAT装置5が、廃棄フィルタをサーバ1側でないネットワークBに接続するルータ6a,6b,6cに設定するにあたり、廃棄フィルタの設定及び解除条件に関する情報のアドレス情報をネットワークBのアドレス体系に変換した偽装ARPパケットデータを生成して送信するので、攻撃対象のサーバ1が存在するネットワークA内の端末4がDDoS攻撃元である場合、DDoS攻撃対策処理がなされたことを認知させず、これを有効にすることができる。また、NAT装置5を介したネットワークB上にある端末7がDDoS攻撃元である場合であっても、NAT装置5を越えてネットワークBのルータ6a,6b,6cに廃棄フィルタの設定及び解除条件を転送可能となり、ネットワークB上からも端末7からのDDoS攻撃パケットを排除することができる。これにより、DDoS攻撃対策を実現してネットワーク全体のトラヒックを低減することができ、これらの負荷を下げることが可能となる。
なお、上記実施の形態1では、ネットワークA上の端末4によるDDoS攻撃とネットワークB上の端末7によるDDoS攻撃とが別個にされる場合を説明したが、両ネットワークの攻撃元端末が同時にDDoS攻撃を実行した場合であっても、上述した偽装ARPリクエストによる廃棄フィルタの設定をネットワークA,Bで施すことでDDoS攻撃対策処理を有効化することができる。
実施の形態2.
上記実施の形態1では、廃棄フィルタの設定及び解除条件を暗号化した後、ARPリクエストパケットにカプセリングして上位ルータへ転送することによりDDoS攻撃対策を実施する例を示したが、ネットワーク内の全ての通信装置に対して廃棄フィルタに関する情報の暗号化及び復号処理が必要となる。このため、暗号化及び復号処理機能が必須な高価な機器が必要であったり、暗号化及び復号処理を全ての通信装置で行うためにネットワーク全体の処理性能が落ちる場合がある。
上記実施の形態1では、廃棄フィルタの設定及び解除条件を暗号化した後、ARPリクエストパケットにカプセリングして上位ルータへ転送することによりDDoS攻撃対策を実施する例を示したが、ネットワーク内の全ての通信装置に対して廃棄フィルタに関する情報の暗号化及び復号処理が必要となる。このため、暗号化及び復号処理機能が必須な高価な機器が必要であったり、暗号化及び復号処理を全ての通信装置で行うためにネットワーク全体の処理性能が落ちる場合がある。
そこで、本実施の形態2では、NAT装置5からのARPリクエストパケット及びARPリプライパケットのパディング領域にNAT装置5からであることを示すコードを埋め込むことにより、ルータ3bにNAT装置のアドレスを認識させる。通信装置間の廃棄フィルタの設定及び解除条件は、暗号化せずにSNMP(Simple Network Management Protocol)プロトコルなどで転送する。NAT装置5に隣接するルータ3bは、廃棄フィルタの設定及び解除条件に関する情報のアドレスがNAT装置5宛のものであるときのみ、当該情報をNAT装置5に送出する(廃棄フィルタの設定及び解除条件のアドレスが、NAT装置5のものでなければ何も送出しない)。
図8は、この発明の実施の形態2による分散型サービス不能攻撃対策方法を適用したネットワークシステムを示す図である。図8に示す例は、上記実施の形態1で説明した図1と同様に、NAT装置5を介して2つのネットワークA,Bが接続されており、ネットワークA内にFirewall装置(通信装置)2を介してサーバ装置(防御対象のコンピュータ)1が接続している。このネットワークAでは、Firewall装置2からルータ(通信装置)3a,3bを経由してNAT装置5が接続されており、ルータ3bにはNAT装置5の他に端末4が収容されている。また、ネットワーク(他のネットワーク)Bには、NAT装置5からルータ(通信装置)6a,6b,6cが順に接続し、ルータ6cには端末7が収容されている。
図9は、実施の形態2によるFirewall装置の構成を示すブロック図である。図に示すように、Firewall装置2は、DDoS攻撃検出部39、廃棄/解除条件生成部(フィルタ情報生成部)40、フィルタリング制御部41、ルーティングテーブル42、ヘッダ制御部43及び廃棄/解除条件通報パケット生成部(フィルタ情報通報部、フィルタ情報送受信部)44から構成される。DDoS攻撃検出部39は、上記実施の形態1と同様に通信トラヒックにおけるサーバ1へのデータを受信してそのDDoSパケットの有無を解析し、DDoS攻撃元のIPアドレスや使用ポート番号等のアドレス情報を検出する。廃棄/解除条件生成部40は、DDoS攻撃検出部39が検出した攻撃元のアドレス情報に基づき、当該アドレス情報で特定される攻撃元端末から送信されたデータを廃棄若しくはその伝送帯域を制限するための廃棄フィルタの設定及び解除条件に関する情報を生成する。
フィルタリング制御部41は、廃棄/解除条件生成部40が生成した廃棄フィルタの設定及びその解除条件に基づいて自装置2に廃棄フィルタを設定する。ルーティングテーブル42は、自装置2までのネットワーク上の通信経路をアドレス情報などで規定するルーティング情報を格納するテーブルであり、自装置2として機能するコンピュータのメモリ上に構築される。ヘッダ制御部43は、ルーティングテーブル42のアドレス情報より特定された宛先IPアドレスを、廃棄/解除条件通報パケット生成部44が生成する廃棄/解除条件通報パケットのヘッダに組み込む処理を実行する。廃棄/解除条件通報パケット生成部44は、廃棄/解除条件生成部40が生成した廃棄フィルタの設定及び解除条件に関する情報をSNMPプロトコルなどで表した廃棄/解除条件通報パケットを生成する。
上述した、Firewall装置2は、DDoS攻撃検出部39、廃棄/解除条件生成部40、フィルタリング制御部41、ヘッダ制御部43及び廃棄/解除条件通報パケット生成部44は、例えば外部装置と通信する機能を搭載したコンピュータに、本発明に従う分散型サービス不能攻撃対策プログラムを実行させることで具現化することができる。
つまり、本発明に従う分散型サービス不能攻撃対策プログラムを上記コンピュータに読み込ませてその動作を制御することにより、当該コンピュータ上に図9に示すFirewall装置2は、DDoS攻撃検出部39、廃棄/解除条件生成部40、フィルタリング制御部41、ヘッダ制御部43及び廃棄/解除条件通報パケット生成部44としての機能を持たせることができる。また、ルーティングテーブル42についても、上記コンピュータに装備されたハードディスクなどの記憶装置上に構成することができる。
なお、以下の説明において、本発明のFirewall装置2を具現化するコンピュータ自体の構成及びその基本的な機能については、当業者が当該技術分野の技術常識に基づいて容易に認識できるものであり、本発明の本質に直接関わるものでないので詳細な記載を省略する。また、Firewall装置2は、ネットワークA内における別個の通信装置として構成しても良く、サーバ1の1つの機能として設けても良い。
図10は、実施の形態2によるルータの構成を示すブロック図であり、攻撃対象となるサーバ1側のネットワークA上でNAT装置5に隣接するルータ3bを除く、ルータ3a,6a,6b,6cの構成を示している。図に示すように、ルータ3a,6a,6b,6cは、廃棄/解除条件通報パケット受信部45、廃棄/解除条件生成部(フィルタ情報生成部)46、フィルタリング制御部47、ルーティングテーブル48、ヘッダ制御部49及び廃棄/解除条件通報パケット生成部(フィルタ情報通報部)50から構成される。廃棄/解除条件通報パケット受信部45は、自ルータが収容する通信装置からのパケットデータを受信する。廃棄/解除条件生成部46は、パケット受信部45が受信したパケットから廃棄フィルタの設定及びその解除に関する情報を検出する。
フィルタリング制御部47は、廃棄/解除条件生成部46が検出した廃棄フィルタの設定及びその解除条件に基づいて自ルータに廃棄フィルタを設定する。ルーティングテーブル48は、自ルータまでのネットワーク上の通信経路をアドレス情報などで規定するルーティング情報を格納するテーブルであり、自ルータとして機能するコンピュータのメモリ上に構築される。ヘッダ制御部49は、ルーティングテーブル48のアドレス情報より特定された宛先IPアドレスをARPリクエストのヘッダに組み込む処理を実行する。廃棄/解除条件通報パケット生成部50は、廃棄/解除条件生成部46からの情報をSNMPプロトコル等によりヘッダ制御部49がヘッダに宛先IPアドレスを組み込んだ廃棄/解除条件通報パケットを生成し自ルータが収容する通信装置に送出する。
上述した、廃棄/解除条件通報パケット受信部45、廃棄/解除条件生成部46、フィルタリング制御部47、ヘッダ制御部49及び廃棄/解除条件通報パケット生成部50は、例えば外部装置と通信する機能を搭載したコンピュータに、本発明に従う分散型サービス不能攻撃対策プログラムを実行させることで具現化することができる。
つまり、本発明に従う分散型サービス不能攻撃対策プログラムを上記コンピュータに読み込ませて、その動作を制御することにより、当該コンピュータ上に図10に示す廃棄/解除条件通報パケット受信部45、廃棄/解除条件生成部46、フィルタリング制御部47、ヘッダ制御部49及び廃棄/解除条件通報パケット生成部50としての機能を持たせることができる。また、ルーティングテーブル48についても、上記コンピュータに装備されたハードディスクなどの記憶装置上に構成することができる。
なお、以下の説明において、本発明のルータ3a,6a,6b,6cを具現化するコンピュータ自体の構成及びその基本的な機能については、当業者が当該技術分野の技術常識に基づいて容易に認識できるものであり、本発明の本質に直接関わるものでないので詳細な記載を省略する。
図11は、実施の形態2によるルータの構成を示すブロック図であり、攻撃対象のサーバ1側のネットワークA上でNAT装置5に隣接するルータ3bの構成を示している。図に示すように、ルータ3bは、廃棄/解除条件通報パケット受信部45、廃棄/解除条件検出部51、ARP受信部(受信部)52、復号部53、装置種別コード検出部55、装置種別テーブル56、フィルタリング制御部57、廃棄/解除条件生成部(フィルタ情報生成部)58、ルーティングテーブル59、ヘッダ制御部60及び廃棄/解除条件通報パケット生成部(フィルタ情報通報部)61から構成される。廃棄/解除条件通報パケット受信部45は、自ルータが収容する通信装置からのパケットデータを受信する。廃棄/解除条件検出部51は、パケット受信部45が受信したパケットから廃棄フィルタの設定及びその解除に関する情報を検出する。
ARP受信部52は、自ルータが収容する通信装置からの転送データを受信して、通常のARPリクエストの他、NAT装置5からの偽装ARPリクエストを検出する。復号部53は、NAT装置5の暗号化部69により暗号化されたデータを復号するための復号規則が設定されており、この復号規則に従って偽装ARPリクエストのパディングデータを復号する。装置種別コード検出部55は、復号部53により復号された偽装ARPリクエストのパディングデータから対向装置の装置種別に関する情報を検出する。装置種別テーブル56は、NAT装置5のIPアドレスが格納されるテーブルであって、対向装置種別がNAT装置の場合に偽装ARPリクエストから検出された対向装置のIPアドレスが登録される。フィルタリング制御部57は、廃棄/解除条件検出部51が検出した廃棄フィルタの設定及びその解除条件に基づいて自ルータに廃棄フィルタを設定する。
廃棄/解除条件生成部58は、廃棄/解除条件検出部51が検出した廃棄フィルタの設定及びその解除条件に基づいてルーテイングテーブル59を検索し、上位next hopアドレス宛ての廃棄フィルタの設定/解除条件に関する情報を生成する。ルーティングテーブル59は、自ルータまでのネットワーク上の通信経路をアドレス情報で規定するルーティング情報を格納するテーブルであり、自ルータとして機能するコンピュータのメモリ上に構築される。ヘッダ制御部60は、ルーティングテーブル59のアドレス情報より特定された宛先IPアドレスをARPリクエストのヘッダに組み込む処理を実行する。廃棄/解除条件通報パケット生成部61は、廃棄/解除条件生成部58からの情報をパディング領域に埋め込み、ヘッダ制御部60によりヘッダに宛先IPアドレスを組み込んだ廃棄/解除条件通報パケットを生成して自ルータが収容する通信装置に送出する。
廃棄/解除条件通報パケットにより受信した廃棄/解除情報が、自装置に直接収容しているアドレス情報で装置種別テーブルに登録されている場合、NAT装置とみなし、廃棄/解除条件通報パケットを転送するが、装置種別登録テーブルに登録されていない場合はDDoS攻撃者とみなし何も転送しない。
廃棄/解除条件通報パケットにより受信した廃棄/解除情報が、自装置に直接収容しているアドレス情報で装置種別テーブルに登録されている場合、NAT装置とみなし、廃棄/解除条件通報パケットを転送するが、装置種別登録テーブルに登録されていない場合はDDoS攻撃者とみなし何も転送しない。
上述した、廃棄/解除条件通報パケット受信部45、廃棄/解除条件検出部51、ARP受信部52、復号部53、装置種別コード検出部55、フィルタリング制御部57、廃棄/解除条件生成部58、ヘッダ制御部60及び廃棄/解除条件通報パケット生成部61は、例えば外部装置と通信する機能を搭載したコンピュータに、本発明に従う分散型サービス不能攻撃対策プログラムを実行させることで具現化することができる。
つまり、本発明に従う分散型サービス不能攻撃対策プログラムを上記コンピュータに読み込ませて、その動作を制御することにより、当該コンピュータ上に図11に示す廃棄/解除条件通報パケット受信部45、廃棄/解除条件検出部51、ARP受信部52、復号部53、装置種別コード検出部55、フィルタリング制御部57、廃棄/解除条件生成部58、ヘッダ制御部60及び廃棄/解除条件通報パケット生成部61としての機能を持たせることができる。また、装置種別テーブル56及びルーティングテーブル59についても、上記コンピュータに装備されたハードディスクなどの記憶装置上に構成することができる。
なお、以下の説明において、本発明のルータ3bを具現化するコンピュータ自体の構成及びその基本的な機能については、当業者が当該技術分野の技術常識に基づいて容易に認識できるものであり、本発明の本質に直接関わるものでないので詳細な記載を省略する。
図12は、実施の形態2によるNAT装置の構成を示すブロック図である。図に示すように、NAT装置5は、廃棄/解除条件通報パケット受信部62、廃棄/解除条件検出部63、アドレス変換部64、攻撃側NW廃棄/解除条件生成部(フィルタ情報生成部)65、NATテーブル66、ルーティングテーブル67、装置種別コード生成部68、暗号化部69、偽装ARP生成部70、フィルタリング制御部71、ヘッダ制御部72及び廃棄/解除条件通報パケット生成部(フィルタ情報通報部)73から構成される。廃棄/解除条件通報パケット受信部62は、自装置5が収容する通信装置からのパケットデータを受信する。廃棄/解除条件検出部63は、パケット受信部62が受信したパケットから廃棄フィルタの設定及びその解除に関する情報を検出する。アドレス変換部64は、NATテーブル66のNAT情報に基づき、廃棄/解除条件検出部63が検出した廃棄フィルタの設定及び解除条件に関する情報中のアドレス情報のネットワークアドレス体系を変換する。
攻撃側NW廃棄/解除条件生成部65は、アドレス変換部64によりDDoS攻撃元のネットワークアドレス体系に変換された廃棄フィルタの設定及びその解除条件に基づき、DDoS攻撃元側のネットワーク上の通信装置に設定するための廃棄フィルタの設定及び解除条件を生成する。NATテーブル66は、ネットワークA,B間でのアドレス情報の対応関係が記述をしたNAT情報が格納されている。ルーティングテーブル67は、自装置5までのネットワーク上の通信経路をアドレス情報などで規定するルーティング情報を格納するテーブルであり、自装置5として機能するコンピュータのメモリ上に構築される。装置種別コード生成部68は、自装置5に対するARPリクエストを受信すると、自装置5である旨を識別する装置種別コードを生成する。
暗号化部69は、装置種別コード生成部68が生成した自装置5を識別させるための装置種別コードを例えばDES、3DESなどで暗号化する。偽装ARP生成部70は、暗号化部69により暗号化された装置種別コードをARPリクエストパケット及びARPリプライパケットのパディング部にカプセリングして下位ルータへ送出する。フィルタリング制御部71は、攻撃側NW廃棄/解除条件生成部65が生成した廃棄フィルタの設定及びその解除条件に基づいて自装置5に廃棄フィルタを設定する。
ヘッダ制御部72は、ルーティングテーブル67のアドレス情報より特定された宛先IPアドレスをARPリクエストパケット又はARPリプライパケットのヘッダに組み込む処理を実行する。廃棄/解除条件通報パケット生成部73は、攻撃側NW廃棄/解除条件生成部65からの情報をパディング領域に埋め込み、ヘッダ制御部72によりヘッダに宛先IPアドレスを組み込んだ廃棄/解除条件通報パケットを生成して自ルータが収容する通信装置に送出する。
上述した、廃棄/解除条件通報パケット受信部62、廃棄/解除条件検出部63、アドレス変換部64、攻撃側NW廃棄/解除条件生成部65、装置種別コード生成部68、暗号化部69、偽装ARP生成部70、フィルタリング制御部71、ヘッダ制御部72及び廃棄/解除条件通報パケット生成部73は、例えば外部装置と通信する機能を搭載したコンピュータに、本発明に従う分散型サービス不能攻撃対策プログラムを実行させることで具現化することができる。
つまり、本発明に従う分散型サービス不能攻撃対策プログラムを上記コンピュータに読み込ませてその動作を制御することにより、当該コンピュータ上に図12に示す廃棄/解除条件通報パケット受信部62、廃棄/解除条件検出部63、アドレス変換部64、攻撃側NW廃棄/解除条件生成部65、装置種別コード生成部68、暗号化部69、偽装ARP生成部70、フィルタリング制御部71、ヘッダ制御部72及び廃棄/解除条件通報パケット生成部73としての機能を持たせることができる。また、NATテーブル66及びルーティングテーブル67についても、上記コンピュータに装備されたハードディスクなどの記憶装置上に構成することができる。
なお、以下の説明において、本発明のNAT装置5を具現化するコンピュータ自体の構成及びその基本的な機能については当業者が当該技術分野の技術常識に基づいて容易に認識できるものであり、本発明の本質に直接関わるものでないので詳細な記載を省略する。
次に動作について説明する。
図13は図9中のFirewall装置の動作を示すフローチャート、図14は図10中のルータの動作を示すフローチャート、図15は図11中のルータの動作を示すフローチャート、図16は図12中のNAT装置による動作を示すフローチャートであり、これらの図に沿って実施の形態2による分散型サービス不能攻撃対策方法を説明する。
図13は図9中のFirewall装置の動作を示すフローチャート、図14は図10中のルータの動作を示すフローチャート、図15は図11中のルータの動作を示すフローチャート、図16は図12中のNAT装置による動作を示すフローチャートであり、これらの図に沿って実施の形態2による分散型サービス不能攻撃対策方法を説明する。
先ず、ネットワークA内の端末4からサーバ1がDDoS攻撃された場合を述べる。
Firewall装置2のDDoS攻撃検出部39は、通信トラヒックからパケットデータを受信し、受信パケットが所定の攻撃検出条件に従うか否かを判定して、DDoS攻撃を検出する(図13のステップST1c)。攻撃検出条件としては、DDoS攻撃パケットとして予め特定した例えばデータの属性や検出間隔などの情報が考えられる。この攻撃検出条件にトラヒックが一致した場合、このトラヒックの通信パケットはDDoS攻撃パケットであると認識する。
Firewall装置2のDDoS攻撃検出部39は、通信トラヒックからパケットデータを受信し、受信パケットが所定の攻撃検出条件に従うか否かを判定して、DDoS攻撃を検出する(図13のステップST1c)。攻撃検出条件としては、DDoS攻撃パケットとして予め特定した例えばデータの属性や検出間隔などの情報が考えられる。この攻撃検出条件にトラヒックが一致した場合、このトラヒックの通信パケットはDDoS攻撃パケットであると認識する。
DDoS攻撃パケットを検出すると、DDoS攻撃検出部39は、その内容を解析してDDoS攻撃元の端末4のIPアドレスや使用ポート番号等のアドレス情報を検出する(図13のステップST2c)。検出された攻撃元のアドレス情報は、DDoS攻撃検出部39から廃棄/解除条件生成部40に出力される。廃棄/解除条件生成部40では、DDoS攻撃検出部39が検出した攻撃元のアドレス情報を基にして、当該アドレス情報で特定される端末4からの通信データを廃棄若しくはその伝送帯域を制限するための廃棄フィルタの設定及び解除条件に関する情報を生成する(図13のステップST3c)。
このあと、廃棄/解除条件生成部40は、生成した廃棄フィルタの設定及び解除条件に関する情報をフィルタリング制御部41及び廃棄/解除条件通報パケット生成部44に送出する。フィルタリング制御部41では、この廃棄フィルタの設定及び解除条件に基づき、自装置2に廃棄フィルタを設定する(図13のステップST4c)。
また、廃棄/解除条件生成部40は、ルーティングテーブル42から上位側next hopの通信装置のIPアドレスを検索して宛先IPアドレスとする(図13のステップST5c)。なお、上位側next hopの通信装置は、フィリタリング対象の通信装置がネットワークに直接に接続しているときは、この通信装置自身であり、フィリタリング対象の通信装置がルータを介して間接的にネットワークに接続しているときは、当該装置に「最も近い」ネットワークに接続するルータである。
例えば、フィリタリング対象の通信装置が自装置2直下のネットワーク上にある場合は、そのアドレスを宛て先アドレスとして決定する。ルーティングテーブル42を検索して決定された宛先IPアドレスは、ヘッダ制御部43に送出される。
廃棄/解除条件通報パケット生成部44は、ヘッダ制御部43により宛先IPアドレスをヘッダに組み込み、廃棄/解除条件生成部40からの廃棄フィルタの設定及び解除条件に関する情報を、暗号化せずに、SNMPプロトコルなどのTCP/IPネットワーク環境下における通常の管理プロトコルで表した廃棄/解除条件通報パケットを生成する(図13のステップST6c)。この廃棄/解除条件通報パケットは、廃棄/解除条件通報パケット生成部44から宛先IPアドレスに対応したルータ3aに送信される(図13のステップST7c)。
Firewall装置2に隣接するルータ3aの廃棄/解除条件通報パケット受信部45では、通常のパケットデータ受信処理と同様にFirewall装置2からの廃棄/解除条件通報パケットデータを受信する(図14のステップST1d)。廃棄/解除条件生成部46では、パケット受信部45から入力したSNMPプロトコルのパケットデータから廃棄フィルタの設定及び解除条件に関する情報を抽出する。このあと、廃棄/解除条件生成部46は、廃棄フィルタの設定及びその解除条件に関する情報をフィルタリング制御部47及び廃棄/解除条件通報パケット生成部50に送出する。フィルタリング制御部47では、廃棄フィルタの設定及び解除条件に基づき、端末4からのデータに対する廃棄フィルタを自装置3aに設定する(図14のステップST2d)。
廃棄/解除条件生成部46は、ルーティングテーブル48から上位側next hopの通信装置のIPアドレスを検索して宛先IPアドレスとする(図14のステップST3d)。ルーティングテーブル48を検索して決定された宛先IPアドレスは、ヘッダ制御部49に送出される。廃棄/解除条件通報パケット生成部50は、ヘッダ制御部49により宛先IPアドレスをヘッダに組み込み、廃棄/解除条件生成部46からの廃棄フィルタの設定及び解除条件に関する情報を、暗号化せずに、SNMPプロトコルなどのTCP/IPネットワーク環境下における通常の管理プロトコルで表した廃棄/解除条件通報パケットを生成する(図14のステップST4d)。この廃棄/解除条件通報パケットは、廃棄/解除条件通報パケット生成部50から宛先IPアドレスに対応したルータ3bに送信される(図14のステップST5d)。
サーバ1側のネットワークA上でNAT装置5に隣接するルータ3bの廃棄/解除条件通報パケット受信部45は、通常のパケットデータ受信処理と同様にルータ3aからの廃棄/解除条件通報パケットデータを受信する(図15のステップST1e)。廃棄/解除条件検出部51では、パケット受信部45から入力したSNMPプロトコルのパケットデータから廃棄フィルタの設定及び解除条件に関する情報を検出する。このあと、廃棄/解除条件検出部51は、廃棄フィルタの設定及びその解除条件に関する情報をフィルタリング制御部57及び廃棄/解除条件生成部58に送出する。フィルタリング制御部57では、廃棄フィルタの設定及び解除条件に基づき、端末4からのデータに対する廃棄フィルタを自装置3bに設定する(図15のステップST2e)。
ARP受信部52では、通常のARPの受信処理と同様にNAT装置5からの偽装ARPのパケットデータを受信する(図15のステップST3e)。このあと、ARP受信部52は、受信した偽装ARPのパケットデータのパディング部に組み込まれた暗号データを検出する(図15のステップST4e)。復号部53には、NAT装置5の暗号化部69により暗号化されたデータを復号するための復号規則(例えば、DES、3DESによる暗号の復号規則)が設定されており、この復号規則に従ってARP受信部52が抽出した暗号化データを復号する(図15のステップST5e)。
装置種別コード検出部55では、復号データからNAT装置5で生成された装置種別コードを検出する(図15のステップST6e)。このとき、対向装置の装置種別としてNAT装置5の装置種別コードが検出されると、装置種別コード検出部55は、この装置種別コードが組み込まれていた偽装ARPからその対向装置(NAT装置5)のIPアドレスを検出して装置種別テーブル56に登録する(図15のステップST7e)。なお、この装置種別テーブル56の具体例としては、通常のARPテーブルにNAT装置5を識別する情報を追加する等が挙げられる。
また、廃棄/解除条件検出部51は、ステップST1eで廃棄フィルタの設定及び解除条件に関する情報を検出すると、装置種別テーブル56を検索して対向装置がNAT装置5であるか否かを判定する(図15のステップST8e)。このとき、廃棄/解除条件の通報対象である対向装置のアドレスがNAT装置5でない場合、廃棄/解除条件生成部58は、対向装置がDDoS攻撃者と判断してDDoS攻撃対策がなされたことを認知させないために廃棄/解除条件通報パケットの送出は行なわない(図15のステップST9e)。
一方、図8中に矢印で示すように、例えば対向装置に送信したARPリクエストに対するARPリプライが偽装ARPであって対向装置がNAT装置5であると判定されると、廃棄/解除条件検出部51は、その旨及び検出した廃棄フィルタの設定及び解除条件に関する情報を廃棄/解除条件生成部58に送出する。廃棄/解除条件生成部58では、廃棄/解除条件検出部51から対向装置がNAT装置5である旨が通知されると、ルーティングテーブル59から上位側next hopの通信装置のIPアドレスを検索して宛先IPアドレスとする(図15のステップST10e)。また、廃棄/解除条件検出部51が検出した廃棄フィルタの設定及び解除条件に関する情報に基づいて、対向装置に対応した廃棄フィルタの設定及び解除条件に関する情報を生成し、廃棄/解除条件通報パケット生成部61に送出する。
廃棄/解除条件通報パケット生成部61は、ヘッダ制御部60により宛先IPアドレスをヘッダに組み込み、廃棄/解除条件生成部58からの廃棄フィルタの設定及び解除条件に関する情報を、暗号化せずに、SNMPプロトコルなどのTCP/IPネットワーク環境下における通常の管理プロトコルで表した廃棄/解除条件通報パケットを生成する(図15のステップST11e)。この廃棄/解除条件通報パケットは、廃棄/解除条件通報パケット生成部61から宛先IPアドレスに対応したNAT装置5に送信される(図15のステップST12e)。
NAT装置5の装置種別コード生成部68は、ARPの送信要求(ARPリクエスト)を受信(図16(a)のステップST1f)すると、自装置5であることを識別するための装置種別コードを生成する(図16(a)のステップST2f)。暗号化部69は、装置種別コード生成部68が生成した装置種別コードを例えばDES、3DESなどで暗号化する(図16(a)のステップST3f)。
偽装ARP生成部70は、暗号化部69により暗号化した装置種別コードをARPリプライパケットのパディング部にカプセリングし、ルーティングテーブル67を検索して決定した宛先IPアドレスをヘッダに組み込んで偽装ARPを生成する(図16(a)のステップST4f)。この偽装ARPは、偽装ARP生成部70から下位ルータ(ルータ3b)に送出される(図16(a)のステップST5f)。
このように、本実施の形態2によるNAT装置5では、自装置5がNAT装置であることを下位ルータ(ルータ3b)へ通知するため、下位ルータへデータを転送する際のARP解決処理時に、装置種別コード生成部68で生成したNAT装置5であることを示す装置種別コードを暗号化したデータを含む偽装ARPを送出する。このとき、偽装ARPを受信したルータが正規のユーザによるものであれば、上述したようなNAT装置5の暗号化部69による暗号化データを復号するための復号部を有しているので、これにより装置種別コードを復号してNAT装置5であるか否かが特定される。一方、攻撃元の端末が偽装ARPを受信しても上記暗号化データを復号することができないため、通常のARPと見分けることができず、DDoS攻撃対策が講じられていることを認識することはない。
なお、NAT装置5を介してネットワークB上の通信装置にも廃棄/解除条件通報パケットを転送し、端末4に対する廃棄フィルタを設定するようにしてもよい。この場合、後述するNAT装置5のアドレス変換部64は、廃棄/解除条件通報におけるアドレス情報を攻撃元側でないネットワークBのアドレス体系に変換し、攻撃側NW廃棄/解除条件生成部65がこのアドレス体系による廃棄フィルタの設定及びその解除条件に関する情報を生成する。
次に、ネットワークB内の端末7からNAT装置5を介してサーバ1がDDoS攻撃された場合を述べる。
ネットワークB上の端末7からのNAT装置5を介したサーバ1へのDDoS攻撃は、Firewall装置2のDDoS攻撃検出部39により検出され、図13に示した処理に従って端末7のデータを廃棄若しくはその伝送帯域を制限するための廃棄フィルタの設定及び解除条件に関する情報の廃棄/解除条件通報パケットが生成され、ルータ3aに転送される。ルータ3a,3bでは、図14及び図15にそれぞれ示した処理に従って廃棄/解除条件通報パケットを生成してNAT装置5に転送する。
ネットワークB上の端末7からのNAT装置5を介したサーバ1へのDDoS攻撃は、Firewall装置2のDDoS攻撃検出部39により検出され、図13に示した処理に従って端末7のデータを廃棄若しくはその伝送帯域を制限するための廃棄フィルタの設定及び解除条件に関する情報の廃棄/解除条件通報パケットが生成され、ルータ3aに転送される。ルータ3a,3bでは、図14及び図15にそれぞれ示した処理に従って廃棄/解除条件通報パケットを生成してNAT装置5に転送する。
NAT装置5の廃棄/解除条件通報パケット受信部62では、通常のパケットデータ受信処理と同様にルータ3bからの廃棄/解除条件通報パケットデータを受信する(図16(b)のステップST1g)。廃棄/解除条件検出部63では、パケット受信部62から入力したSNMPプロトコルのパケットデータから廃棄フィルタの設定及び解除条件に関する情報を検出する。このあと、廃棄/解除条件検出部63は、廃棄フィルタの設定条件及びその解除条件に関する情報をアドレス変換部64に送出する。
アドレス変換部64では、NATテーブル66のNAT情報に基づき、廃棄フィルタの設定及び解除条件に関する情報中のアドレス情報を、攻撃元の端末7が存在するネットワークBのアドレス体系に変換する(図16(b)のステップST2g)。この変換情報は、アドレス変換部64から攻撃側NW廃棄/解除条件生成部65に送出される。攻撃側NW廃棄/解除条件生成部65では、アドレス変換部64によりネットワークAからネットワークBにアドレス体系が変換された廃棄フィルタの設定及び解除条件に基づき、ネットワークB上の通信装置に設定するための廃棄フィルタの設定及び解除条件を生成する(図16(b)のステップST3g)。
フィルタリング制御部71では、攻撃側NW廃棄/解除条件生成部65からの廃棄フィルタの設定及び解除条件に基づき、端末7からのデータに対する廃棄フィルタを自装置5に設定する(図16(b)のステップST4g)。攻撃側NW廃棄/解除条件生成部65は、ルーティングテーブル67から上位側next hopの通信装置のIPアドレスを検索して宛先IPアドレスとする(図16(b)のステップST5g)。ルーティングテーブル67を検索して決定された宛先IPアドレスは、ヘッダ制御部72に送出される。
廃棄/解除条件通報パケット生成部73は、ヘッダ制御部72により宛先IPアドレスをヘッダに組み込み、攻撃側NW廃棄/解除条件生成部65からの廃棄フィルタの設定及び解除条件に関する情報を、暗号化せずに、SNMPプロトコルなどのTCP/IPネットワーク環境下における通常の管理プロトコルで表した廃棄/解除条件通報パケットを生成する(図16(b)のステップST6g)。この廃棄/解除条件通報パケットは、廃棄/解除条件通報パケット生成部73から宛先IPアドレスに対応したネットワークB内の下位ルータ6aに送信される(図16(b)のステップST7g)。
以降、ルータ3aと同様の処理をルータ6a,6b,6cで実行する。これにより、ネットワークB内の端末7からNAT装置5を介してサーバ1がDDoS攻撃された場合であっても、ネットワークA,B上の通信装置に廃棄フィルタを設定してDDoS攻撃対策を有効にすることができる。また、Firewall装置2、ルータ3a,3b、NAT装置5、ルータ6a,6b,6cは、偽装ARPリクエストを媒介として設定された解除条件を満足した場合は設定した廃棄フィルタを解除する。
以上のように、この実施の形態2によれば、Firewall装置2やルータ3a,6a,6b,6cが、防御対象のサーバ1をDDoS攻撃する端末4,7の送信データの伝送帯域を制限する廃棄フィルタの設定及び解除条件に関する情報を上位の通信装置から転送して廃棄フィルタを設定し、NAT装置5が、自装置の識別情報の暗号化データをARPパケットに組み込んだ偽装ARPパケットデータを生成して、隣接するルータ3bに送信し、NAT装置5に隣接するルータ3bが、収容する上位の通信装置から受信したARPパケットデータが偽装ARPパケットデータであり、これを復号して得られた識別情報からこの通信装置をNAT装置5と判断した場合に、廃棄フィルタの設定及び解除条件に関する情報を当該通信装置に送信するので、ネットワーク上の全ての通信装置で暗号化/復号処理を実行することが不要となるため、機器費の削減が図れ、且つネットワーク全体の処理能力をUPさせることができる。
なお、上記実施の形態2では、ネットワークA上の端末4によるDDoS攻撃とネットワークB上の端末7によるDDoS攻撃とが別個にされる場合を説明したが、両ネットワークの攻撃元端末が同時にDDoS攻撃を実行した場合であっても、上述した偽装ARPリクエストによる廃棄フィルタの設定をネットワークA,Bで施すことでDDoS攻撃対策処理を有効化することができる。
また、本発明は、Proxyサーバ等によるNAT装置以外のアドレス変換装置を介するネットワークに適用しても良い。つまり、本発明におけるNATには、IPアドレスの変換だけでなく、その上位プロトコルであるTCP/UDPのポート番号までも動的に変換するNAPT(IPマスカレード)も含む。
また、本発明は、Proxyサーバ等によるNAT装置以外のアドレス変換装置を介するネットワークに適用しても良い。つまり、本発明におけるNATには、IPアドレスの変換だけでなく、その上位プロトコルであるTCP/UDPのポート番号までも動的に変換するNAPT(IPマスカレード)も含む。
1 サーバ(防御対象のコンピュータ)、2 Firewall装置(通信装置)、3a,3b,6a,6b,6c ルータ(通信装置)、4,7 端末、5 NAT装置(アドレス変換装置)、8,39 DDoS攻撃検出部、9,19,29,40,46,58 廃棄/解除条件生成部(フィルタ情報生成部)、10,20,33,41,47,57,71 フィルタリング制御部、11,21,34,42,48,59,67 ルーティングテーブル、12,22,35,69 暗号化部(暗号化部、フィルタ情報送受信部)、13,23,36 パディング制御部、14,24,37,43,49,60,72 ヘッダ制御部、15,25,38,70 偽装ARP生成部(パケット生成部、フィルタ情報送受信部)、16,26 ARP検出部、17,27 パディング抽出部(フィルタ情報送受信部)、18,28 復号化部(復号部、フィルタ情報送受信部)、30,64 アドレス変換部、31,66 NATテーブル、32,65 攻撃側NW廃棄/解除条件生成部(フィルタ情報生成部)、44,50,61,73 廃棄/解除条件通報パケット生成部(フィルタ情報通報部、フィルタ情報送受信部)、45,62 廃棄/解除条件通報パケット受信部(フィルタ情報生成部)、51,63 廃棄/解除条件検出部、52 ARP受信部(受信部)、53 復号部、55 装置種別コード検出部、56 装置種別テーブル、68 装置種別コード生成部。
Claims (9)
- 防御対象のコンピュータと、アドレス体系が異なるネットワーク間でのアドレス情報の対応をとるアドレス変換装置とを有するネットワークに接続する通信装置において、
前記防御対象のコンピュータを分散型サービス不能攻撃する通信装置からの送信データの伝送帯域を制限するフィルタの設定及び解除条件に関する情報を生成するフィルタ情報生成部と、
前記フィルタの設定及び解除条件に関する情報に基づき、前記フィルタを設定するフィルタリング制御部と、
前記ネットワークに接続するアドレス変換装置を含む他の通信装置との間で前記フィルタの設定及び解除条件に関する情報をやり取りするフィルタ情報送受信部とを備えたことを特徴とする通信装置。 - フィルタ情報送受信部は、
フィルタの設定及び解除条件に関する情報を暗号化データとする暗号化部と、
前記暗号化データを復号する復号部と、
前記暗号化データを組み込んだパケットデータを生成し、アドレス変換装置を含む通信装置に送信するパケット生成部とを備えたことを特徴とする請求項1記載の通信装置。 - フィルタ情報送受信部は、
装置識別情報の暗号化データを組み込んだパケットデータを受信する受信部と、
前記暗号化データを復号する復号部と、
前記装置識別情報に基づいて送信先装置を決定して、フィルタの設定及び解除条件に関する情報を組み込んだパケットデータを送信するフィルタ情報通報部とを備えたことを特徴とする請求項1記載の通信装置。 - 暗号化データを組み込むパケットデータは、ARPパケットデータであることを特徴とする請求項2又は請求項3記載の通信装置。
- 防御対象のコンピュータが接続するネットワークと、このネットワークとはアドレス体系が異なるネットワークとの間に配置されてアドレス情報の対応をとるアドレス変換装置において、
前記防御対象のコンピュータを分散型サービス不能攻撃する通信装置からの送信データの伝送帯域を制限するフィルタの設定及び解除条件に関する情報を受信する受信部と、
前記フィルタの設定及び解除条件に関する情報を異なるネットワークを跨いで送信するにあたり、そのアドレス情報を送信先ネットワークのアドレス体系に対応したアドレス情報に変換するアドレス変換部とを備えたことを特徴とするアドレス変換装置。 - フィルタの設定及び解除条件の暗号化データをARPパケットに組み込んだ偽装ARPパケットデータを生成して送受信するパケット生成部と、前記暗号化データを復号する復号部とを備えたことを特徴とする請求項5記載のアドレス変換装置。
- 自装置を識別する装置識別情報を暗号化データとする暗号化部と、前記暗号化データをARPパケットに組み込んだ偽装ARPパケットデータを生成して送受信するパケット生成部とを備えたことを特徴とする請求項5記載のアドレス変換装置。
- 防御対象のコンピュータと、アドレス体系が異なるネットワーク間でのアドレス情報の対応をとるアドレス変換装置とを有するネットワークに接続する通信装置としてコンピュータを機能させるプログラムにおいて、
前記防御対象のコンピュータを分散型サービス不能攻撃する通信装置からの送信データの伝送帯域を制限するフィルタの設定及び解除条件に関する情報を生成するフィルタ情報生成部、
前記フィルタの設定及び解除条件に関する情報に基づき、前記フィルタを設定するフィルタリング制御部、
前記ネットワークに接続するアドレス変換装置を含む他の通信装置との間で前記フィルタの設定及び解除条件に関する情報をやり取りするフィルタ情報送受信部として前記コンピュータを機能させるプログラム。 - 防御対象のコンピュータが接続するネットワークと、このネットワークとはアドレス体系が異なるネットワークとの間に配置されてアドレス情報の対応をとるアドレス変換装置としてコンピュータを機能させるプログラムにおいて、
前記防御対象のコンピュータを分散型サービス不能攻撃する通信装置からの送信データの伝送帯域を制限するフィルタの設定及び解除条件に関する情報を受信する受信部、
前記フィルタの設定及び解除条件に関する情報を異なるネットワークを跨いで送信するにあたり、そのアドレス情報を送信先ネットワークのアドレス体系に対応したアドレス情報に変換するアドレス変換部として前記コンピュータを機能させるプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005108983A JP2006295240A (ja) | 2005-04-05 | 2005-04-05 | 通信装置及びアドレス変換装置並びにプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005108983A JP2006295240A (ja) | 2005-04-05 | 2005-04-05 | 通信装置及びアドレス変換装置並びにプログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006295240A true JP2006295240A (ja) | 2006-10-26 |
Family
ID=37415376
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005108983A Pending JP2006295240A (ja) | 2005-04-05 | 2005-04-05 | 通信装置及びアドレス変換装置並びにプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006295240A (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010283516A (ja) * | 2009-06-03 | 2010-12-16 | Nec Infrontia Corp | サービス停止攻撃検出システム、ネットワーク中継装置、サービス停止攻撃防御方法 |
JP2016502340A (ja) * | 2012-11-22 | 2016-01-21 | コニンクリーケ・ケイピーエヌ・ナムローゼ・フェンノートシャップ | 通信ネットワークでの挙動を検出するシステム |
JP2017017527A (ja) * | 2015-07-01 | 2017-01-19 | アラクサラネットワークス株式会社 | ネットワークシステム及びスイッチ |
-
2005
- 2005-04-05 JP JP2005108983A patent/JP2006295240A/ja active Pending
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010283516A (ja) * | 2009-06-03 | 2010-12-16 | Nec Infrontia Corp | サービス停止攻撃検出システム、ネットワーク中継装置、サービス停止攻撃防御方法 |
JP2016502340A (ja) * | 2012-11-22 | 2016-01-21 | コニンクリーケ・ケイピーエヌ・ナムローゼ・フェンノートシャップ | 通信ネットワークでの挙動を検出するシステム |
JP2018033144A (ja) * | 2012-11-22 | 2018-03-01 | コニンクリーケ・ケイピーエヌ・ナムローゼ・フェンノートシャップ | 通信ネットワークでの挙動を検出するシステム |
US10924500B2 (en) | 2012-11-22 | 2021-02-16 | Koninklijke Kpn N.V. | System to detect behaviour in a telecommunications network |
JP2017017527A (ja) * | 2015-07-01 | 2017-01-19 | アラクサラネットワークス株式会社 | ネットワークシステム及びスイッチ |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107852359B (zh) | 安全系统、通信控制方法 | |
US8799505B2 (en) | TCP/IP-based communication system and associated methodology providing an enhanced transport layer protocol | |
US9866528B2 (en) | System and method for interlocking a host and a gateway | |
Verba et al. | Idaho national laboratory supervisory control and data acquisition intrusion detection system (SCADA IDS) | |
JP3298832B2 (ja) | ファイアウォールサービス提供方法 | |
JP5392507B2 (ja) | Nat網用ウェブサービスへの正常ユーザーの遮断を防止するためのシステム及びその制御方法 | |
CN111314281A (zh) | 一种攻击流量转发至蜜罐的方法 | |
US20180191525A1 (en) | Network device using ip address and method thereof | |
US10972501B2 (en) | Method and system for improving network and software security using shared trust and an egress man-in-the-middle (MITM) algorithm for performing clandestine traffic modification | |
WO2015174100A1 (ja) | パケット転送装置、パケット転送システム及びパケット転送方法 | |
EP1826986B1 (en) | Management of passive network devices using covert connections | |
Lee et al. | Countermeasures against large-scale reflection DDoS attacks using exploit IoT devices | |
JP2006295240A (ja) | 通信装置及びアドレス変換装置並びにプログラム | |
CN111464550B (zh) | 一种用于报文处理设备的https透明防护方法 | |
Hubbard et al. | Firewalling the net | |
JP3784799B2 (ja) | 攻撃パケット防御システム | |
JP2021057717A (ja) | セキュリティ監視装置及びセキュリティ監視方法 | |
US20240015016A1 (en) | Internet packet provenance to verify packet validity and control packet usage | |
US20210392162A1 (en) | Novel dns record type for network threat prevention | |
JP3917557B2 (ja) | ネットワーク攻撃防止装置、ネットワーク攻撃防止方法、ネットワーク攻撃防止プログラム及びそのプログラムを記録した記録媒体 | |
JP2007150879A (ja) | 端末装置および情報通信システム | |
JP2008028720A (ja) | 送信元ipアドレス詐称ipパケットを制御可能なipネットワーク装置および送信元ipアドレス詐称ipパケット制御方法 | |
KR100520102B1 (ko) | 네트워크 유해 트래픽 방역 시스템 및 그 방법 | |
JP2005026825A (ja) | ネットワークデータ転送における機密保持方法 | |
JP2022160511A (ja) | エンド端末、中継装置、plc装置、および通信システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20071009 |