JP2006501527A - ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃の確認と防御のための方法、データキャリア、コンピュータシステム、およびコンピュータプログラム - Google Patents

ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃の確認と防御のための方法、データキャリア、コンピュータシステム、およびコンピュータプログラム Download PDF

Info

Publication number
JP2006501527A
JP2006501527A JP2003521579A JP2003521579A JP2006501527A JP 2006501527 A JP2006501527 A JP 2006501527A JP 2003521579 A JP2003521579 A JP 2003521579A JP 2003521579 A JP2003521579 A JP 2003521579A JP 2006501527 A JP2006501527 A JP 2006501527A
Authority
JP
Japan
Prior art keywords
packet
network
target system
attacks
packets
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003521579A
Other languages
English (en)
Other versions
JP2006501527A5 (ja
Inventor
ゲイス、クリストフ
ポウス、エバーハード
ソイサル、トーマス
シーマン、ラルフ
Original Assignee
アイピー−オンライン ゲーエムベーハー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=32736765&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=JP2006501527(A) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by アイピー−オンライン ゲーエムベーハー filed Critical アイピー−オンライン ゲーエムベーハー
Publication of JP2006501527A publication Critical patent/JP2006501527A/ja
Publication of JP2006501527A5 publication Critical patent/JP2006501527A5/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】
【解決手段】 本発明は、コンピュータネットワークに統合することが可能でコンピュータプログラムを有する電子装置(4)を用い、ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃を確認し防御するための方法に関するものであり、また、当該方法を実行するためのコンピュータプログラムを含むデータキャリアに関するものである。本発明はまた、インターネット(6)、イントラネットあるいはそれに類するネットワークに接続され、サーバコンピュータ(2)またはクライアントコンピュータとして設定される一台あるいは複数のコンピュータを有するコンピュータシステムに関するものであり、また、サーバシステムに対する攻撃の確認と防御のためのコンピュータプログラムコードを含むコンピュータプログラムに関するものである。本発明は、DoSおよびDDoS攻撃(フラッド攻撃)からの保護、リンクレベル・セキュリティ、有効なIPヘッダーの検証、IPパケットの特徴の検証、TCP/IPフィンガープリンティング保護、すべてのUDPネットワーク・パケットのブロック、特定の外部IPアドレスの除外、パケットレベルのファイアウォール機能、ターゲットシステムのアクセス可能なサービスの保護を有する。本発明はDoSおよびDDoS攻撃に対する可能な最高レベルのセキュリティと保護を提供する。

Description

本発明は、コンピュータネットワークに統合することが可能でコンピュータプログラムを有する電子装置を用い、ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃を確認し防御するための方法に関するものであり、また、当該方法を実行するためのコンピュータプログラムを含むデータキャリアに関するものである。本発明はまた、インターネット、イントラネット、あるいはそれに類するネットワークに接続され、サーバコンピュータまたはクライアントコンピュータとして設定される一台あるいは複数のコンピュータを有するコンピュータシステムに関するものであり、また、サーバシステムに対する攻撃の確認と防御のためのコンピュータプログラムコードを含むコンピュータプログラムに関するものであり、前記のコンピュータプログラムはコンピュータネットワークに統合することが可能でありこのコンピュータプログラムを含む電子装置を用いる。
国際的なネットワーク形成が急速に増殖している。オンライン・マーケティングと電子ビジネスの分野に期待される無制限の可能性に賭ける企業がますます増えてきている。しかし、その可能性と共に、インターネットを介した攻撃によって既知の企業や組織のサーバがブロックされる危険も高まっている。
インターネットは、電子商取引を営む多くの企業にとり、電子市場としての重要性を高めている。しかし、企業ネットワークがDoS(Denial of Service=サービス妨害)およびDDoS(Distributed Denial of Service=分散型サービス妨害)の攻撃(すなわちコンピュータシステムまたはそのサービスプロセスへのアクセスないしそれらの利用の妨害)を受ける脅威もまた非常な勢いで増している。これは、ハッカーが実際に会社のセキュアなシステム環境に入り込まなくても、単にオンラインビジネス(電子商取引、電子ビジネス)の妨害に成功するだけで比較的容易に起き得ることであり、多額の財政的損害につながることもしばしばである。この問題を克服するための多くの試みは、その成功の度合いから見て、はるかに期待以下である。その[理由の]1つは、真の意味でこのタイプの攻撃の検知システムと呼べるシステム、すなわち攻撃の影響を受けたシステム環境にとり原則的に唯一可能な防御となるものがこれまでなかったことである。もう一つの問題は、インターネットの性質であり、それに関係したほぼ絶望的な状況、すなわち世界中のすべてのネットワーク・プロバイダがハッカーによるこのようなタイプの攻撃を禁止するための均一の対策を確立しない限りそのような攻撃を防ぐことはできないという状況である。他にも理由はあるが、これまでDoSまたはDDoS攻撃を防ぐために国レベルで行なわれた試みが成功しなかった、あるいは限られた成功しか得られなかったのは、特にこの理由のためである。
一般に知られているように、インターネットは、例えばスイッチ、ルータ、多重経路管理のトランスミッション・コンポーネントなどの技術的コンポーネントから成る国際的なネットワークである。結果的に、多くの場合ハッカーは簡単に個人サーバのみならずネットワーク全体あるいはネットワークエリアを麻痺させることができる。ハッカーたちにとって、ルータ、ネットワーク・プロバイダ、人気の高いオンコール・コネクションの国際的ネットワークの中で彼らが企てている計画を遂行する手段もしくはそのための実行可能な攻撃戦略を発見するのは比較的容易なので、地方あるいは国の政策は効果的な予防策としてほとんど頼りにならない。このような攻撃によってデータの損失、さらにはデータ操作やデータの不正コピーまでが起こり得るが、たとえ常にそのような直接的な損害に至るものではないとしても、攻撃を受けた会社のイメージ上の損失は結果的にその会社に微妙な影響を与える。
そのような攻撃を実行するために使うことができるプログラムはワールドワイドウェブ(WWW)で自由に入手することができる。ハッカーはいつでもダウンロードしてそれらのプログラムにアクセスできるのである。恐れられるこれらの攻撃のほとんどが、インターネットでの通信の基礎であるデータ通信プロトコルの技術的な弱点を利用している。ほとんどの場合、攻撃の影響を受けたコンピュータはあまりにも多数の擬似照会でオーバーロードしており、もはや正当な照会が処理されない状態になる。その結果、攻撃の影響を受けたコンピュータは、もはやアクティブな状態にあるものとして実際の顧客に捉えられなくなってしまう。
DoSおよびDDoSの攻撃を防ぐことが可能な既知の対策をいくつか例として記述する。
ネットワーク媒介およびプロバイダのローカル環境における対策が可能であり、詐称IP送信者アドレスの使用を積極的に防ぐことにより、DoSおよびDDoSの攻撃の高まりを大幅に妨害することができる。これは、攻撃を引き起こす側の決意を覆すかもしくは大幅にくじくためにDoS攻撃の多くが詐称IP送信者アドレス(IPスプーフィング=別のIPになりすますこと)を利用するからである。対応する技術的規則をネットワーク媒介のネットワーク基盤の中で使うことにより、ネットワークオペレータはこの可能性を大幅に制限することができ、それにより彼ら自身のサービス環境から出た詐称IPパケットがさらに先のインターネットに伝えられることがなくなる。ネットワークオペレータに接続した組織は特定のIPアドレスレンジを持っていて、思い通りにできる。この組織からインターネットに送られるすべてのIPパケットは、このレンジからのIP送信者アドレスを持たなければならない。そうでなければ、それはかなりの可能性で詐称アドレスであり、そのネットワーク媒介はそのIPパケットを転送すべきではない。すなわち、パケット・フィルタリングは、それらのパケットをインターネットへ供給するときに、送信者アドレスにて行なうべきである。それでもなおかつ、その組織で許可されたアドレスレンジの範囲内でIPになりすます事は可能だが、それを起こすことができるグループはその組織内に限られる。加えて、いわゆる「匿名ホスト」のオペレーションを世界中で再考する必要があり、できることなら制限もしくはさらに禁止という処置でさえもとる必要がある。しかし、これは組織的・財政的にも、また時間的にも極めて高価である。
これまで実際に行なわれたDoSおよびDDoS攻撃に対するサーバの抵抗力は、非常に限られている場合が多かった。しかし、これらの攻撃に対する抵抗期間がいくらか長いシステムもあれば、非常に短い間しか耐えられないシステムもある。現在のところ、長期間持続する攻撃は最終的にほとんど常に成功する。
残念ながら、従来使われているパケットフィルタリング・ソリューションは、DoSおよびDDoS攻撃に対する助けにはならないことが多く、特に攻撃が持続的な場合はパケットフィルタリング・ソリューション自体がかなりの影響を受けて保護力を瞬く間に失ってしまうことがしばしばである。また、攻撃検知システムは数々あるものの、DoSおよびDDoS攻撃の場合、それらは高発生率のネットワーク・トラフィックだけを検知して警告を発し、ほとんどの場合は結果的に遅すぎる段階まで何の反応も起こさないので、非常に不十分である。
成功した攻撃に迅速に反応できることが極めて重要である。これが、有効な対策の開始を可能にし、できれば攻撃者を確認し、短期間に正常なオペレーションを回復するための唯一の方法である。そのため、緊急プランとして適切な段階的手順を持つことが必要である。この場合必要な情報として、連絡すべき人物、責任担当部門、代替通信パス、措置の取り方の指示・説明、必要となる可能性のあるあらゆる資源とバックアップ媒体の保管場所などが挙げられる。
サーバ・オペレータのサーバは、DoS攻撃のエージェントとして悪用される可能性がある。この場合、攻撃者は既知の弱点を利用して、ダメージを与えるソフトウェアをインストールする。そのため、それらのサーバのオペレータは、それらを注意深くセキュアに設定しなくてはならない。不必要なネットワークサービスを解除し、必要なネットワークサービスを守る。十分なパスワードとアクセス保護のほか、迅速に変化するパスワード(特に前もって設定するパスワード)が確実に保証されている必要がある。
現在、インターネットの多くのWWWサイトは、ブラウザにおける設定がセキュリティという観点から心もとないものでない限り使うことができず、これらの設定を攻撃者は悪用することができる。
多くのコンテンツ・プロバイダがインターネットでダウンロードできるプログラムや文書を作っている。そこへ攻撃者がトロイの木馬をうまく持ち込めば、短期間に広範に影響を蔓延させることも可能だ。この手の手法は攻撃者の意欲を特にそそるものであり、DoS攻撃の場合は効果的な攻撃に多数のコンピュータが必要とされるためなおさらである。
通常、末端ユーザのコンピュータはDoS攻撃のターゲットにはならない。しかし、攻撃者は第一段階としてそれらのコンピュータにプログラムをインストールするというやり方でそれらを利用することができ、次に遠隔制御という方法でこれらのプログラムを使って何台ものコンピュータにDoS攻撃をかけることができる。
末端ユーザのコンピュータが攻撃のためのエージェントとして悪用される場合もある。ウィルス、トロイの木馬、あるいはアクティブ・コンテンツを介することにより、そのようなエージェントを個人のコンピュータに最も簡単にインストールすることができる。そのため、現状に則した信頼できるウィルス対策と、ブラウザでアクティブ・コンテンツを停止することが緊急に必要である。必要であれば、例えばPCファイアウォールなど、クライアントのオンライン・プロテクションのためのユーティリティ・プログラムの利用を考慮することができる。しかし、特に新しいコンピュータウィルスの場合は十分に発見されず、除去されないことが多い。
オペレーティングシステムとサーバソフトウェアのセキュリティ関連の新しい弱点が次から次へと発見されては、結果的にメーカーによる更新もしくはパッチによって取り除かれている。できるだけタイムリーな対処を可能にするためには、ソフトウェアメーカーによる更新を監視し続ける必要がある。そして、知られている弱点を除去するために、関連する更新をできるだけ迅速にインポートせねばならない。
現在のところ、コンピュータをリスクと危険から保護する有効なITセキュリティの設定を可能にするには、かなりの専門知識が必要である。そのため、管理者は十分なトレーニングと継続的教育を受ける必要がある。
ネットワーク媒介とプロバイダが実行している数々の対策を、真にタイムリーで統一されたかたちで世界中のIP詐称(IPスプーフィング)を防ぐためにあてにするべきではないが、すでに説明した以外の防御対策を使ってDoSとDDoSに対して何らかの効果のある防御を成功させることはすでに可能である。しかし、既知の方法によって満足の行く結果はいまだに達成されていない。
本発明の目的は、本書の初頭に記述したタイプのネットワーク・サービスプロバイダとオペレータのサーバシステムに対する攻撃を確認し防御する方法を創出することであり、前記の方法により、ターゲットとして定めるやり方でDoSおよびDDoS攻撃を確認および防御することを可能にし、それによってDoSおよびDDoS攻撃に対して可能な最高レベルのセキュリティと保護を達成し、そのコンピュータあるいはそのコンピュータシステムを永久に安定で効率的に保つことである。
本発明に従い、前記の目的は前記の方法に従って以下のコンポーネントと工程によって達成される:
− DoSおよびDDoS攻撃(フラッド攻撃)に対する保護であり、前記において、
− あらゆるIP Syn(IP接続設定要求)は、そのIPプロトコルに指定されている時間制約を維持するために受け付けられ、Syn/Ackの応答を受けるが、受け付けられたSynパケットについては、有効性とそのターゲットシステムで入手可能なサービスが確認される。そして、
− その確認が無事終わり、その一方で、外部にあり照会を求めているシステムによって次に送られるAckおよびその結果生じる有効なデータパケットが受け取られると、前記のターゲットシステムの接続設定が開始され、受け取られたデータパケットはさらなる処理のために前記のターゲットシステムに配送される。および/または、
− リンクレベル・セキュリティであり、前記において確認対象のデータパケットがOSIレベル2(リンクレベル)から直接採用されている。および/または、
− 有効なIPヘッダーの検証であり、ターゲットシステムに転送される前に各IPパケットの構造の有効性が確認され、無効なIPパケットがすべて拒否される。および/または、
− IPパケットの検証であり、特にIPパケットの構造に照らしたTCPあるいはIPヘッダー内の情報整合性のためにIPパケットの長さとチェックサムを確認することによる検証である。および/または、
− TCP/IPフィンガープリンティング保護であり、典型的なプロトコル識別名を使うことによって、保護されたシステムから、外部にあり照会を求めているシステムに応答として出されるデータ・トラフィックが無効にされる。および/または、
− 保護されているシステムに対するUDP(ユーザデータ・プロトコル)ネットワーク・プロトコルを介した攻撃を防ぐためにUDPネットワーク・パケットをすべてブロックすることであり、そうすることにより、UDPを介してアクセス可能な要求されているサービスがターゲットとされた方法で登録およびリリースされ、前記においてメッセージはこれらのUDPポートには明白に承認されるが、残りのポートは閉鎖されたままである。および/または、
− ICMP(インターネット・コントロール・メッセージ)の長さ上の制限であり、前記においてICMPのメッセージは定められた最長の長さによってのみ有効なデータパケットとして確認され、この長さから外れるICMPパケットはすべて拒否される。および/または、
− ターゲットシステムとの通信から特定の外部IPアドレスを除外すること。および/または、
− パケットレベルのファイアウォール機能であり、前記において、入信および送信されるIPパケットは自由に定義可能な規則によって検証され、これらの規則に基づいてターゲットシステムに拒否されるか転送される。および/または、
− 特定のサービスおよび/またはユーザを除外すること、および/または他のサーバにサービス照会を転送することにより、ターゲットシステムのアクセス可能なサービスを保護すること。
本発明の目的はまた、本発明に従い、ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃を確認・防御するためのコンピュータプログラムを含み、コンピュータネットワークに統合することが可能な電子装置において使用するためのデータキャリアによって達成され、前記のデータキャリアは以下のプログラム段階を特徴とする:
− DoSおよびDDoS攻撃(フラッド攻撃)に対する保護であり、前記において、
− あらゆるIP Syn(IP接続設定要求)は、IPプロトコルに指定されている時間制約を維持するために受け付けられ、Syn/Ackの応答を受けるが、受け付けられたSynパケットについては、有効性およびターゲットシステムで入手可能なサービスが確認される。また、
− その確認が無事終わり、その一方で、外部にあり照会を求めているシステムによって次に送られるAckおよびその結果生じる有効なデータパケットが受け取られると、前記のターゲットシステムの接続設定が開始され、受け取られたデータパケットはさらなる処理のために前記のターゲットシステムに配送される。および/または、
− リンクレベル・セキュリティであり、前記において確認対象のデータパケットがOSIレベル2(リンクレベル)から直接採用されている。および/または、
− 有効なIPヘッダーの検証であり、ターゲットシステムに転送される前に各IPパケットの構造の有効性が確認され、無効なIPパケットがすべて拒否される。および/または、
− IPパケットの検証であり、特にIPパケットの構造に照らしたTCPあるいはIPヘッダー内の情報整合性のためにIPパケットの長さとチェックサムを確認することによる検証である。および/または、
− TCP/IPフィンガープリンティング保護であり、典型的なプロトコル識別名を使うことによって、保護されたシステムから、外部にあり照会を求めているシステムに応答として出されるデータ・トラフィックが無効にされる。および/または、
− 保護されているシステムに対するUDP(ユーザデータ・プロトコル)ネットワーク・プロトコルを介した攻撃を防ぐためにUDPネットワーク・パケットをすべてブロックすることであり、そうすることにより、UDPを介してアクセス可能な要求されているサービスがターゲットとされた方法で登録およびリリースされ、前記においてメッセージはこれらのUDPポートには明白に承認されるが、残りのポートは閉鎖されたままである。および/または、
− ICMP(インターネット・コントロール・メッセージ)の長さ上の制限であり、前記においてICMPのメッセージは定められた最長の長さによってのみ有効なデータパケットとして確認され、この長さから外れるICMPパケットはすべて拒否される。および/または、
− ターゲットシステムとの通信から特定の外部IPアドレスを除外すること。および/または、
− パケットレベルのファイアウォール機能であり、前記において、入信および送信されるIPパケットは自由に定義可能な規則によって検証され、これらの規則に基づいてターゲットシステムに拒否されるか転送される。および/または、
− 特定のサービスおよび/またはユーザを除外すること、および/または他のサーバにサービス照会を転送することにより、ターゲットシステムのアクセス可能なサービスを保護すること。
データキャリアはEPROMとして設定され、前記の電子装置のコンポーネントであることが好ましい。この電子装置はコンピュータまたは場合によっては分離された装置ボックスに挿入するプラグイン装置とすることができる。
あるいは、前記の目的は、インターネット、イントラネットやそれに類するネットワークに接続された、サーバコンピュータあるいはクライアントコンピュータとして設定された1台または複数のコンピュータを有するコンピュータシステムによっても実現される。この場合、ネットワークとサーバまたはクライアントコンピュータの間にある、保護の対象とするデータラインにおいて電子装置を接続し、前記の電子装置に以下のプログラム段階を含むコンピュータプログラムを有すデータキャリアを提供する:
− DoSおよびDDoS攻撃(フラッド攻撃)に対する保護であり、前記において、
− あらゆるIP Syn(IP接続設定要求)は、IPプロトコルに指定されている時間制約を維持するために受け付けられ、Syn/Ackの応答を受けるが、受け付けられたSynパケットについては、有効性およびターゲットシステムで入手可能なサービスが確認される。また、
− その確認が無事終わり、その一方で、外部にあり照会を求めているシステムによって次に送られるAckおよびその結果生じる有効なデータパケットが受け取られると、前記のターゲットシステムの接続設定が開始され、受け取られたデータパケットはさらなる処理のために前記のターゲットシステムに配送される。および/または、
− リンクレベル・セキュリティであり、前記において確認対象のデータパケットがOSIレベル2(リンクレベル)から直接採用されている。および/または、
− 有効なIPヘッダーの検証であり、ターゲットシステムに転送される前に各IPパケットの構造の有効性が確認され、無効なIPパケットがすべて拒否される。および/または、
− IPパケットの検証であり、特にIPパケットの構造に照らしたTCPあるいはIPヘッダー内の情報整合性のためにIPパケットの長さとチェックサムを確認することによる検証である。および/または、
− TCP/IPフィンガープリンティング保護であり、典型的なプロトコル識別名を使うことによって、保護されたシステムから、外部にあり照会を求めているシステムに応答として出されるデータ・トラフィックが無効にされる。および/または、
− 保護されているシステムに対するUDP(ユーザデータ・プロトコル)ネットワーク・プロトコルを介した攻撃を防ぐためにUDPネットワーク・パケットをすべてブロックすることであり、そうすることにより、UDPを介してアクセス可能な要求されているサービスがターゲットとされた方法で登録およびリリースされ、前記においてメッセージはこれらのUDPポートには明白に承認されるが、残りのポートは閉鎖されたままである。および/または、
− ICMP(インターネット・コントロール・メッセージ)の長さ上の制限であり、前記においてICMPのメッセージは定められた最長の長さによってのみ有効なデータパケットとして確認され、この長さから外れるICMPパケットはすべて拒否される。および/または、
− ターゲットシステムとの通信から特定の外部IPアドレスを除外すること。および/または、
− パケットレベルのファイアウォール機能であり、前記において、入信および送信されるIPパケットは自由に定義可能な規則によって検証され、これらの規則に基づいてターゲットシステムに拒否されるか転送される。および/または、
− 特定のサービスおよび/またはユーザを除外すること、および/または他のサーバにサービス照会を転送することにより、ターゲットシステムのアクセス可能なサービスを保護すること。
さらに、本発明に沿った目的はまた、ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃を確認・防御するためのコンピュータプログラムコードを含むコンピュータプログラムによって、このコンピュータプログラムを含みコンピュータネットワークに統合することが可能な電子装置を用いることによっても達成される。前記のコンピュータプログラムは以下のプログラム段階を含む:
− DoSおよびDDoS攻撃(フラッド攻撃)に対する保護であり、前記において、
− あらゆるIP Syn(IP接続設定要求)は、IPプロトコルに指定されている時間制約を維持するために受け付けられ、Syn/Ackの応答を受けるが、受け付けられたSynパケットについては、有効性およびターゲットシステムで入手可能なサービスが確認される。また、
− その確認が無事終わり、その一方で、外部にあり照会を求めているシステムによって次に送られるAckおよびその結果生じる有効なデータパケットが受け取られると、前記のターゲットシステムの接続設定が開始され、受け取られたデータパケットはさらなる処理のために前記のターゲットシステムに配送される。および/または、
− リンクレベル・セキュリティであり、前記において確認対象のデータパケットがOSIレベル2(リンクレベル)から直接採用されている。および/または、
− 有効なIPヘッダーの検証であり、ターゲットシステムに転送される前に各IPパケットの構造の有効性が確認され、無効なIPパケットがすべて拒否される。および/または、
− IPパケットの検証であり、特にIPパケットの構造に照らしたTCPあるいはIPヘッダー内の情報整合性のためにIPパケットの長さとチェックサムを確認することによる検証である。および/または、
− TCP/IPフィンガープリンティング保護であり、典型的なプロトコル識別名を使うことによって、保護されたシステムから、外部にあり照会を求めているシステムに応答として出されるデータ・トラフィックが無効にされる。および/または、
− 保護されているシステムに対するUDP(ユーザデータ・プロトコル)ネットワーク・プロトコルを介した攻撃を防ぐためにUDPネットワーク・パケットをすべてブロックすることであり、そうすることにより、UDPを介してアクセス可能な要求されているサービスがターゲットとされた方法で登録およびリリースされ、前記においてメッセージはこれらのUDPポートには明白に承認されるが、残りのポートは閉鎖されたままである。および/または、
− ICMP(インターネット・コントロール・メッセージ)の長さ上の制限であり、前記においてICMPのメッセージは定められた最長の長さによってのみ有効なデータパケットとして確認され、この長さから外れるICMPパケットはすべて拒否される。および/または、
− ターゲットシステムとの通信から特定の外部IPアドレスを除外すること。および/または、
− パケットレベルのファイアウォール機能であり、前記において、入信および送信されるIPパケットは自由に定義可能な規則によって検証され、これらの規則に基づいてターゲットシステムに拒否されるか転送される。および/または、
− 特定のサービスおよび/またはユーザを除外すること、および/または他のサーバにサービス照会を転送することにより、ターゲットシステムのアクセス可能なサービスを保護すること。
本発明に従った実現形態の特別な利点は、DoSおよびDDoSによる攻撃の試みから保護下のシステムがすべて守られることだけでなく、ネットワーク・サービスプロバイダのサーバシステムに対する攻撃の確認と防御の方法を実行するコンピュータプログラム自体が守られることでもある。
DoSおよびDDoS攻撃からの保護は、本発明に従った方法の中核を成す。これらの攻撃の目標は、大量の接続設定パケットによって攻撃目標である1台または複数のコンピュータを麻痺させること、すなわちクラッシュさせることである。攻撃を受けたシステムは、通信を求める要求に応えることができなくなる。現在、保護されているすべてのシステムは、DoSおよびDDoS攻撃を使った試みから、一連の知的な規則によって守られている。そうすることにより、正当な要求だけが保護下のデータラインを通過することができるという事実によって、入ってくるネットワーク・パケットの特別な取り扱いが保証され、ワールドワイドウェブ(WWW)サーバや電子メールサーバのようなターゲットシステムが大量攻撃によって麻痺することにはなり得ない。
リンクレベル・セキュリティ・モジュールにおいて、確認対象のデータパケットがOSIレベル2から直接採用されるので、別のIPアドレスは必要ない。ゆえに、論理アドレス(IPルーティング)に関し既存のネットワーク環境を再設定するという高価な作業を行なう必要もない。結果的に、前記の方法で操作されるハードウェアは、アドレス可能なネットワーク・コンポーネントを作らないので、ネットワークからターゲットとして攻撃することもスパイすることも不可能となる。
TCP/IPにより実行されているものの多くは、IPパケットのヘッダーの構造が無効であれば正しく機能しない。IPパケットがターゲットシステムに運ばれる前にすべてのIPパケットの構造の有効性を確認すれば、正しい構造を持ったIPパケットだけがそのターゲットシステムに間違いなく運ばれる。
コンピュータシステムに対する攻撃を成功させるには、そのシステム上で実行されているオペレーティングシステムについての知識が必要だが、それはターゲットとしてサーバシステムを狙った攻撃が、ターゲットコンピュータで使われている基本的オペレーティングシステムに関する情報に基づいて行なわれるからである。TCP/IP指紋ルーチンは、ターゲットシステムのTCP/IP実行の動きを検証し、ここからオペレーティングシステムを導き出すことができる。本発明はその機能性により、攻撃者が応答パケットを分析しても使われているオペレーティングシステムについての結論を引き出すことができないようにすることを保証する。ゆえに、IP指紋はもはや不可能である。
TCP/IPネットワークのコンピュータを攻撃するために様々な方法が使われている。これを行なう1つの可能性として、不相応に長いパケット長のICMPメッセージを送ることが挙げられる。本発明で実行されるICMPパケットの長さ制限の機能は、この場合にこの問題への先制攻撃をかける効果もある。
通信から特定の外部IPアドレスを取り除く可能性が、独自のシステムの全体的なセキュリティを増強する。例えば、インターネットにつながったコンピュータが独自のコンピュータのどのポートが開いていて攻撃可能かを探っていることが確認されたら、このコンピュータからのすべてのパケットを拒否するよう指示を与えることができる。除外されたコンピュータのリスト(ブラックリスト)を後に改訂し、古いエントリを再び削除することができる。
IPパケットレベルでのパケットレベル・ファイアウォール機能に加え、本発明は以下のIPプロトコルを介してアクセスが可能な利用可能なサービスに関する保護のメカニズムをさらに含む。HTTP,FTP,NNTP,POP,IMAP,SMTP,X,LDAP,LPR,SocksまたはSSL。この機能性は、特定のサービスまたはユーザの除外、あるいはサービス照会の他サービスへの転送を保証する。このコンポーネントは管理インターフェイスを介し簡単に設定することができ、これらの制限のタイプを特定するために使うことができる。
入信および送信されるメッセージはすべて本発明および前記のソフトウェアおよび前記のコンピュータプログラムを含む前記の電子装置に従い、前記の方法で監視される。攻撃が確認されると、本発明に従った実現形態がターゲットを定めるやり方で介入し、正常なデータ・トラフィックを妨害することなく疑わしいデータパケットを選択的にブロックする。正規のデータはすべて、遅れがほぼ全くなく転送されるので、ユーザにとって本発明に従った実現形態の利用によるオペレーションあるいは通信上の支障という面での影響は全くない。このことは、たとえインターネット・サーバ側の接続が高速(およびデータの高発生率)(100Mbit/s)稼動であっても変わらない。
本発明に従った前記の方法の付加的な対策と実施形態を、従属の請求項1から6により明示する。
本発明に従った前記の方法の実施形態によれば、ICMPパケットの長さを制限することにより、無効なICMPパケットの長さは一つの許容可能な長さに絞られる。この関係において、ICMPパケットの長さを制限することに加え、個々のICMPメッセージのタイプも完全にブロックすることができる。
パケットレベルのファイアウォール機能の別の実施形態によれば、特に除外と制限とログ出力とに関するこのための規則は、IPパケットの特定の条件に基づいて指定される。次に前記の管理プログラムが前記のファイアウォールのための設定ファイルを作成する。
本発明の有利な実施形態において、管理上の介入は、制御された設定と前記の方法の無制限な機能性の保護のために、単独のコンソールからかセキュアなネットワーク通信パスを介してのみ行なわれる。
さらに、ターゲットシステムへのアクセスは、自由に定義可能な時間枠によって詳細に制限することができる。
ゆえに本発明は、特別に開発したマイクロコードを持つマイクロチップ(EPROM)を適切に装着したパーソナルコンピュータに基づく、特別に設定されたかもしくは既成で作られたハードウェアとして完全な形態となる。これに、システム層とデータリンク層に密接に関係する特別に開発された学際的な方法すなわちコンピュータプログラムが加えられ、前記のコンピュータプログラムはシステム・プログラムという形で、様々な起源を持つ問題に差別的に反応する。こうすると、ラインプロトコル(OSI層2)から先にデータフローを取り、より高い層(OSI層3からOSI層7)のセキュリティ関連コンテンツのためにそれを検討する可能性が出てくる。ゆえに、これによる本発明の本質的性質の一つは、実際は受動データラインであるものを、攻撃に関係するコンテンツのデータフローをチェックする有効な知性によって機能的に拡大することである。しかし、市場にある他のすべてのセキュリティ構成要素と比較して、そこに含まれる検査ルーチンはいわゆるフラッド攻撃(大量攻撃)およびIPスタックとオペレーティング・システムのレベルへの攻撃を検証可能な形で確認し防御することができるため、他の独特の特徴も、統合という方法へのアプローチを超えて実装される。本発明に従ったハードウェアとソフトウェアの組み合わせは、それ自体、および内部ネットワーク内で、その背後に接続されるシステムを積極的に保護する。前記の組み合わせによる実現形態は、スクリーニング・ルータと保護対象のシステムの間にあるそれぞれのアクセスラインにループし、場合によっては実際のファイアウォールの前、よってDMZ(非武装化地帯)の前にループすることもある。様々な方法を使い、本発明全体または限られた方法で使われているモジュラー性により、インターネットプロトコルを含む攻撃関係のコンテンツは上方で確認され防御される。IPヘッダーに入力されたターゲットアドレスに関わらずデータは受信され、「中立インスタンス」として表すことができる一つの手順において攻撃関係のコンテンツが調べられる。ゆえに、実際の意味でこのシステムはIPプロトコルを通してアドレス可能なコンポーネントではなく、アクティブなネットワーク・コンポーネントから見えないようにそれ自体を完全に隠すのであるから、保護システム自体がこのIPレベルで攻撃されることはないという一つの特別な特徴として捉えられるべきでもある。
本発明の一つの本質的な要素は、DoSおよびDDoSを有効に検知することであり、これは本発明に従いハードウェアとソフトウェアを組み合わせた実現形態によって可能となる。サーバ・オペレータの側だけで用いると、本発明はそのサーバ・システムの有効な保護を達成し得る。DoSおよびDDoS攻撃によってラインがオーバーロードするという脅威は、ネットワーク・プロバイダ側で使用することによって有効に防ぐことができる。しかし、DoS検知システムが従来からのすでに確立されたファイアウォールの代わりになるということではなく、重要なコンポーネントによってあくまでもそれらを補完するものにすぎないという点も重要である。
前述の特徴および以下において説明する特徴は、それぞれ示された組み合わせにおいてのみならず、他の組み合わせもしくは単独においても、本発明の当面の範囲から逸脱することなく用いられるものと理解される。
以下において、図によって表された典型的な実施形態に基づき、本発明の基礎となる概念をより詳細に記述する。各図が示すのは以下の通り:
小規模のネットワーク環境における、本発明に従ったコンピュータシステムの略図であり、前記のコンピュータシステムはインターネットに接続される。 中規模のネットワーク環境における、本発明に従ったコンピュータシステムの略図であり、前記のコンピュータシステムはインターネットに接続される。 大規模のネットワーク環境における、本発明に従ったコンピュータシステムの略図であり、前記のコンピュータシステムはインターネットに接続される。 接続設定および許容可能なプロトコル使用中の、本発明に従った方法の略図。 接続設定および許容不可能なプロトコル使用中の、本発明に従った方法の略図。 不完全な接続設定中の、本発明に従った方法の略図。 許容可能なデータトラフィックを伴う接続設定後の、本発明に従った方法の略図。 許容不可能なデータトラフィックを伴う接続設定後の、本発明に従った方法の略図。 電子装置によって保護された前記のプロトコル・レベルの略図。 有効なIPヘッダーの検証の描写。 IPパケットの検証の描写。 設定可能なUDP接続の検証の描写。 ICMPパケットの長さ制限の描写。 図に従った前記のコンピュータシステム1。1から3はいくつかのサーバコンピュター2から成り、前記は、必要であればデータラインを介して、互いにネットワークされている(図には示されていない)。前記のサーバコンピュータ2はそれぞれデータライン3を介して電子装置4に接続されている。この装置はEPROMとして具体化されるデータキャリアを有し(図には示されていない)、前記のデータキャリアにはネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃の確認と防御のためのコンピュータプログラムが備わっている。 図1に従い、前記の電子装置4をISDNデータライン5を介してインターネット6に接続する。前記の電子装置4はDoSおよびDDoS攻撃からの保護のために使われ、ISDNを介したインターネットへの入り口としての拡大された機能性を有する。さらに、前記の電子装置4はイーサーネット(Ethernet(登録商標))・アダプタおよびISDNアダプタを備えている。前記の電子装置4は、DoSおよびDDoS攻撃からローカルエリア・ネットワーク(LAN)におけるシステムを保護することに加え、インターネットのサービスにアクセスするためのルータとして使われる。ISDN接続の設定は、外部ネットワークとの通信接続が望まれる場合はいつでも、標準的方法によって行なわれる。前記の電子装置4にあるEPROMに含まれるコンピュータプログラムが、ある指定された時間の後にネットワーク・パケットの転送を停止すると、前記の接続設定が自動的に行なわれる。しかし、対応する設定を介してこの標準的な動きを変更することができる。 図2に従った電子装置4は、例えばISDN/イーサーネット・データライン7を介してインターネット6に接続される。さらに、必要であれば別の専用ルータを介して、統合されたファイアウォール・ルータとして使うように、見えないファイアウォール機能モジュールを前記の電子装置4に統合する。前記のサーバコンピュータ2すなわち内部ネットワークのワークステーション・コンピュータは、ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃を確認し防御するためのコンピュータプログラムを含むEPROMを伴う前記の電子装置4を、イーサーネットまたはISDNを介したインターネットへの転送手段として使う。さらに、前記の電子装置4は、前記の内部システムをDoSおよびDDoS攻撃から守る。そうすることにより、入信および送信されるIPパケットが、定義された規則によって転送もしくは拒否される。ローカル・システムで一般に利用可能なサービスへのアクセスは、定義された規則によって許可または拒否される。 前記の個々の機能に要求される一連の規則は設定プログラムによって創出および改変され、前記の設定プログラムは、簡易化されたユーザ入力のためのシステム読み込み可能な設定セットも創出する。ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃の確認と防御のためのコンピュータプログラムを有する前記の電子装置4が提供する機能は、可能な最大の範囲で自由に設定可能であり、ゆえに独自のネットワークで使うために最適設定することができる。 図3に従った本発明の実施形態において、ファイアウォール機能モジュール9は分離しており、すなわち、前記のサーバコンピュータ2と、ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃の確認と防御のためのコンピュータプログラムを有する前記の電子装置4との間に独立に接続される。前記の電子装置4はイーサーネット・データライン8を介してインターネット6に接続され、DoSおよびDDoS攻撃(フラッド攻撃)に対する必要な保護を提供する。問題のターゲットシステムに損害を与えることができないものとして確認されたネットワーク・パケットだけがファイアウォールに送信され、そこでさらに処理される。次にファイアウォールにおいて、前記のネットワーク・パケットを転送すべきか拒否すべきかの判断が行なわれる。 図4は接続設定と許容可能なプロトコルを使用中の本発明に従った方法の略図であり、図5は許容不可能なプロトコルの使用を伴う接続設定中の方法を示す。 図6は不完全な接続設定中の本発明に従った方法を示す。図7は許容可能なデータ・トラフィックを伴う接続設定後の本発明に従った方法の略図であり、図8は許容不可能なデータ・トラフィックを伴う接続設定後の方法を示す。 図9は、ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃の確認と防御のためのコンピュータプログラムを含むEPROMを有する電子装置によって保護されるプロトコル・レベルの略図である。 図10は有効なIPヘッダーの検証の描写を示す。図11はIPパケットの検証を表す。図12は設定可能なUDP接続の検証の描写であり、図13はICMPパケットの長さ制限の描写である。
符号の説明
1…コンピュータシステム
2…サーバコンピュータ
3…データライン
4…電子装置
5…ISDNデータライン
6…インターネット
7…ISDN/イーサーネット・データライン
8…イーサーネット・データライン

Claims (10)

  1. ネットワーク・サービスプロバイダおよびオペレータのサーバーシステムに対する攻撃を確認し防御するための方法であり、コンピュータネットワークに統合することが可能でコンピュータプログラムを有する電子装置を用い、以下の構成要素と工程を特徴とする方法:
    − DoSおよびDDoS攻撃(フラッド攻撃)に対する保護であり、ここで、
    − あらゆるIP Syn(IP接続設定要求)は、IPプロトコルに指定されている時間制約を維持するために受け付けられ、Syn/Ackの応答を受けるが、受け付けられたSynパケットについては、有効性およびターゲットシステムで入手可能なサービスが確認され、
    − その確認が無事終わり、その一方で、外部にあり照会を求めているシステムによって次に送られるAckおよびその結果生じる有効なデータパケットが受け取られると、前記のターゲットシステムの接続設定が開始され、受け取られたデータパケットはさらなる処理のために前記のターゲットシステムに配送されるものであり、および/または、
    − リンクレベル・セキュリティであり、前記において確認対象のデータパケットがOSIレベル2(リンクレベル)から直接採用され、および/または、
    − 有効なIPヘッダーの検証であり、ターゲットシステムに転送される前に各IPパケットの構造の有効性が確認され、無効なIPパケットがすべて拒否され、および/または、
    − IPパケットの検証であり、特にIPパケットの構造に照らしたTCPあるいはIPヘッダー内の情報整合性のためにIPパケットの長さとチェックサムを確認することによる検証であり、および/または、
    − TCP/IPフィンガープリンティング保護であり、典型的なプロトコル識別名を使うことによって、保護されたシステムから、外部にあり照会を求めているシステムに応答として出されるデータ・トラフィックが無効にされ、および/または、
    − 保護されているシステムに対するUDP(ユーザデータ・プロトコル)ネットワーク・プロトコルを介した攻撃を防ぐためにUDPネットワーク・パケットをすべてブロックすることであり、そうすることにより、UDPを介してアクセス可能な要求されているサービスがターゲットとされた方法で登録およびリリースされ、前記においてメッセージはこれらのUDPポートには明白に承認されるが、残りのポートは閉鎖されたままであり、および/または、
    − ICMP(インターネット・コントロール・メッセージ・プロトコル)の長さ上の制限であり、前記においてICMPのメッセージは定められた最長の長さによってのみ有効なデータパケットとして確認され、この長さから外れるICMPパケットはすべて拒否され、および/または、
    − ターゲットシステムとの通信から特定の外部IPアドレスを除外し、および/または、
    − パケットレベルのファイアウォール機能であり、前記において、入信および送信されるIPパケットは自由に定義可能な規則によって検証され、これらの規則に基づいてターゲットシステムに拒否されるか転送され、および/または、
    − 特定のサービスおよび/またはユーザを除外すること、および/または他のサーバにサービス照会を転送することにより、ターゲットシステムのアクセス可能なサービスを保護する。
  2. 請求項1の方法において、ICMPパケットの長さを制限することにより、無効なICMPパケットの長さは一つの許容可能な長さに絞られることを特徴とする。
  3. 請求項1の方法において、ICMPパケットの長さを制限することにより、個々のICMPメッセージのタイプが完全にブロックされることを特徴とする。
  4. 請求項1の方法において、パケットレベルのファイアウォール機能の規則が、特に除外と制限とログ出力に関して、IPパケットの特定の条件に基づいて指定されることを特徴とする。
  5. 請求項1から4の方法において、管理上の介入が、制御された設定と前記の方法の無制限な機能の保護のために単独のコンソールからかセキュアなネットワーク通信パスを介してのみ行なわれる事を特徴とする。
  6. 請求項1から5の方法において、ターゲットシステムへのアクセスが自由に定義可能な時間枠によって詳細に制限される事を特徴とする。
  7. データキャリアであり、ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃を確認し防御するためのコンピュータプログラムを含み、コンピュータネットワークに統合することが可能な電子装置に用いることを目的とし、以下のプログラム段階を特徴とするデータキャリアである:
    − DoSおよびDDoS攻撃(フラッド攻撃)に対する保護であり、ここで、
    − あらゆるIP Syn(IP接続設定要求)は、IPプロトコルに指定されている時間制約を維持するために受け付けられ、Syn/Ackの応答を受けるが、受け付けられたSynパケットについては、有効性およびターゲットシステムで入手可能なサービスが確認され、
    − その確認が無事終わり、その一方で、外部にあり照会を求めているシステムによって次に送られるAckおよびその結果生じる有効なデータパケットが受け取られると、前記のターゲットシステムの接続設定が開始され、受け取られたデータパケットはさらなる処理のために前記のターゲットシステムに配送されるものであり、および/または、
    − リンクレベル・セキュリティであり、前記において確認対象のデータパケットがOSIレベル2(リンクレベル)から直接採用され、および/または、
    − 有効なIPヘッダーの検証であり、ターゲットシステムに転送される前に各IPパケットの構造の有効性が確認され、無効なIPパケットがすべて拒否され、および/または、
    − IPパケットの検証であり、特にIPパケットの構造に照らしたTCPあるいはIPヘッダー内の情報整合性のためにIPパケットの長さとチェックサムを確認することによる検証であり、および/または、
    − TCP/IPフィンガープリンティング保護であり、典型的なプロトコル識別名を使うことによって、保護されたシステムから、外部にあり照会を求めているシステムに応答として出されるデータ・トラフィックが無効にされ、および/または、
    − 保護されているシステムに対するUDP(ユーザデータ・プロトコル)ネットワーク・プロトコルを介した攻撃を防ぐためにUDPネットワーク・パケットをすべてブロックすることであり、そうすることにより、UDPを介してアクセス可能な要求されているサービスがターゲットとされた方法で登録およびリリースされ、前記においてメッセージはこれらのUDPポートには明白に承認されるが、残りのポートは閉鎖されたままであり、および/または、
    − ICMP(インターネット・コントロール・メッセージ)の長さ上の制限であり、前記においてメッセージは定められた最長の長さによってのみ有効なデータパケットとして確認され、この長さから外れるICMPパケットはすべて拒否される。および/または、
    − ターゲットシステムとの通信から特定の外部IPアドレスを除外し、および/または、
    − パケットレベルのファイアウォール機能であり、前記において、入信および送信されるIPパケットは自由に定義可能な規則によって検証され、これらの規則に基づいてターゲットシステムに拒否されるか転送され、および/または、
    − 特定のサービスおよび/またはユーザを除外すること、および/または他のサーバにサービス照会を転送することにより、ターゲットシステムのアクセス可能なサービスを保護する。
  8. 請求項5のデータキャリアにおいて、EPROMとして設定され、電子装置のコンポーネントであることを特徴とする。
  9. コンピュータシステムであり、前記のコンピュータシステムはインターネット(6)およびイントラネットに類するネットワークに接続され、サーバコンピュータ(2)またはクライアントコンピュータとして設定された一つ以上のコンピュータを有し、ネットワーク(6)とサーバ(2)の間の保護対象のデータライン(5,7,8)に電子装置(4)が接続され、前記の電子装置が以下のプログラム段階を含むコンピュータプログラムを有することを特徴とする:
    − DoSおよびDDoS攻撃(フラッド攻撃)に対する保護であり、前記において、
    − あらゆるIP Syn(IP接続設定要求)は、IPプロトコルに指定されている時間制約を維持するために受け付けられ、Syn/Ackの応答を受けるが、受け付けられたSynパケットについては、有効性およびターゲットシステムで入手可能なサービスが確認され、
    − その確認が無事終わり、その一方で、外部にあり照会を求めているシステムによって次に送られるAckおよびその結果生じる有効なデータパケットが受け取られると、前記のターゲットシステムの接続設定が開始され、受け取られたデータパケットはさらなる処理のために前記のターゲットシステムに配送されるものであり、および/または、
    − リンクレベル・セキュリティであり、前記において確認対象のデータパケットがOSIレベル2(リンクレベル)から直接採用され、および/または、
    − 有効なIPヘッダーの検証であり、ターゲットシステムに転送される前に各IPパケットの構造の有効性が確認され、無効なIPパケットがすべて拒否され、および/または、
    − IPパケットの検証であり、特にIPパケットの構造に照らしたTCPあるいはIPヘッダー内の情報整合性のためにIPパケットの長さとチェックサムを確認することによる検証であり、および/または、
    − TCP/IPフィンガープリンティング保護であり、典型的なプロトコル識別名を使うことによって、保護されたシステムから、外部にあり照会を求めているシステムに応答として出されるデータ・トラフィックが無効にされ、および/または、
    − 保護されているシステムに対するUDP(ユーザデータ・プロトコル)ネットワーク・プロトコルを介した攻撃を防ぐためにUDPネットワーク・パケットをすべてブロックすることであり、そうすることにより、UDPを介してアクセス可能な要求されているサービスがターゲットとされた方法で登録およびリリースされ、前記においてメッセージはこれらのUDPポートには明白に承認されるが、残りのポートは閉鎖されたままであり、および/または、
    − ICMP(インターネット・コントロール・メッセージ)の長さ上の制限であり、前記においてICMPのメッセージは定められた最長の長さによってのみ有効なデータパケットとして確認され、この長さから外れるICMPパケットはすべて拒否され、および/または、
    − ターゲットシステムとの通信から特定の外部IPアドレスを除外し、および/または、
    − パケットレベルのファイアウォール機能であり、前記において、入信および送信されるIPパケットは自由に定義可能な規則によって検証され、これらの規則に基づいてターゲットシステムに拒否されるか転送され、および/または、
    − 特定のサービスおよび/またはユーザを除外すること、および/または他のサーバにサービス照会を転送することにより、ターゲットシステムのアクセス可能なサービスを保護する。
  10. コンピュータプログラムであり、ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃を確認し防御するためのコンピュータプログラムコードを含み、コンピュータネットワークに統合することが可能でありこのコンピュータプログラムを含む電子装置を用い、以下のプログラム段階を特徴とするコンピュータプログラムである:
    − DoSおよびDDoS攻撃(フラッド攻撃)に対する保護であり、前記において、
    − あらゆるIP Syn(IP接続設定要求)は、IPプロトコルに指定されている時間制約を維持するために受け付けられ、Syn/Ackの応答を受けるが、受け付けられたSynパケットについては、有効性およびターゲットシステムで入手可能なサービスが確認され、
    − その確認が無事終わり、その一方で、外部にあり照会を求めているシステムによって次に送られるAckおよびその結果生じる有効なデータパケットが受け取られると、前記のターゲットシステムの接続設定が開始され、受け取られたデータパケットはさらなる処理のために前記のターゲットシステムに配送されるものであり、および/または、
    − リンクレベル・セキュリティであり、前記において確認対象のデータパケットがOSIレベル2(リンクレベル)から直接採用され、および/または、
    − 有効なIPヘッダーの検証であり、ターゲットシステムに転送される前に各IPパケットの構造の有効性が確認され、無効なIPパケットがすべて拒否され、および/または、
    − IPパケットの検証であり、特にIPパケットの構造に照らしたTCPあるいはIPヘッダー内の情報整合性のためにIPパケットの長さとチェックサムを確認することによる検証であり、および/または、
    − TCP/IPフィンガープリンティング保護であり、典型的なプロトコル識別名を使うことによって、保護されたシステムから、外部にあり照会を求めているシステムに応答として出されるデータ・トラフィックが無効にされ、および/または、
    − 保護されているシステムに対するUDP(ユーザデータ・プロトコル)ネットワーク・プロトコルを介した攻撃を防ぐためにUDPネットワーク・パケットをすべてブロックすることであり、そうすることにより、UDPを介してアクセス可能な要求されているサービスがターゲットとされた方法で登録およびリリースされ、前記においてメッセージはこれらのUDPポートには明白に承認されるが、残りのポートは閉鎖されたままであり、および/または、
    − ICMP(インターネット・コントロール・メッセージ)の長さ上の制限であり、前記においてICMPのメッセージは定められた最長の長さによってのみ有効なデータパケットとして確認され、この長さから外れるICMPパケットはすべて拒否され、および/または、
    − ターゲットシステムとの通信から特定の外部IPアドレスを除外し、および/または、
    − パケットレベルのファイアウォール機能であり、前記において、入信および送信されるIPパケットは自由に定義可能な規則によって検証され、これらの規則に基づいてターゲットシステムに拒否されるか転送され、および/または、
    − 特定のサービスおよび/またはユーザを除外すること、および/または他のサーバにサービス照会を転送することにより、ターゲットシステムのアクセス可能なサービスを保護する。
JP2003521579A 2001-08-07 2001-08-13 ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃の確認と防御のための方法、データキャリア、コンピュータシステム、およびコンピュータプログラム Pending JP2006501527A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CH01459/01A CH693921A5 (de) 2001-08-07 2001-08-07 Verfahren, Datentraeger, Computersystem und Computerprogrammprodukt zur Erkennung und Abwehr von Angriffen auf Serversysteme von Netzwerk-Diensteanbietern und -betreibern.
PCT/EP2001/009328 WO2003017613A1 (de) 2001-08-07 2001-08-13 Verfahren, datenträger, computersystem und computerprogrammprodukt zur erkennung und abwehr von angriffen auf serversysteme von netzwerk-diensteanbietern und -betreibern

Publications (2)

Publication Number Publication Date
JP2006501527A true JP2006501527A (ja) 2006-01-12
JP2006501527A5 JP2006501527A5 (ja) 2008-10-16

Family

ID=32736765

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003521579A Pending JP2006501527A (ja) 2001-08-07 2001-08-13 ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃の確認と防御のための方法、データキャリア、コンピュータシステム、およびコンピュータプログラム

Country Status (10)

Country Link
EP (1) EP1464150B1 (ja)
JP (1) JP2006501527A (ja)
AU (1) AU2001293762B2 (ja)
CA (1) CA2456902A1 (ja)
CH (1) CH693921A5 (ja)
DE (1) DE50108695D1 (ja)
ES (1) ES2256298T3 (ja)
IL (1) IL160123A0 (ja)
MX (1) MXPA04001360A (ja)
WO (1) WO2003017613A1 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7979694B2 (en) * 2003-03-03 2011-07-12 Cisco Technology, Inc. Using TCP to authenticate IP source addresses
CN100380871C (zh) * 2005-01-26 2008-04-09 北京大学 一种针对分布式拒绝服务攻击的防范系统和方法
CH700308A2 (de) 2009-01-22 2010-07-30 Martin Blapp Ein technisches System in der Hardware oder im Kernel eines E-Mail Gateways, um die Betriebs-Infrastruktur oder das Betriebs-System gegen DDos-Angriffe aus dem Internet zu schützen.
CN110311925B (zh) * 2019-07-30 2022-06-28 百度在线网络技术(北京)有限公司 DDoS反射型攻击的检测方法及装置、计算机设备与可读介质
DE102019129253B4 (de) 2019-10-30 2023-02-09 Hans-Jürgen Kuhn Verfahren und Computer-System zur Abwehr eines Angriffes von Schadsoftware durch elektronische Nachrichten
DE202019106018U1 (de) 2019-10-30 2019-11-11 Hans-Jürgen Kuhn Computer-System zur Abwehr eines Angriffs von Schadsoftware durch elektronische Nachrichten
CN113422787B (zh) * 2021-08-24 2021-11-09 广州乐盈信息科技股份有限公司 一种用于无源光网络系统的智能防攻击方法
CN113938388A (zh) * 2021-10-14 2022-01-14 工银科技有限公司 一种业务接口的参数校验方法及装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10136025A (ja) * 1996-11-01 1998-05-22 Hitachi Software Eng Co Ltd ネットワーク間通信中継方法および中継装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6738814B1 (en) * 1998-03-18 2004-05-18 Cisco Technology, Inc. Method for blocking denial of service and address spoofing attacks on a private network

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10136025A (ja) * 1996-11-01 1998-05-22 Hitachi Software Eng Co Ltd ネットワーク間通信中継方法および中継装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
坂口 裕一: "DDoS攻撃を防ぐ専用機が登場 攻撃パターンを判別して不審な通信を遮断", 日経コンピュータ, vol. 第525号, JPN6010062441, 2 July 2001 (2001-07-02), JP, pages 15, ISSN: 0001765221 *

Also Published As

Publication number Publication date
ES2256298T3 (es) 2006-07-16
EP1464150B1 (de) 2006-01-11
DE50108695D1 (de) 2006-04-06
AU2001293762B2 (en) 2005-12-22
CA2456902A1 (en) 2003-02-27
EP1464150A1 (de) 2004-10-06
MXPA04001360A (es) 2005-11-23
IL160123A0 (en) 2004-06-20
CH693921A5 (de) 2004-04-15
WO2003017613A1 (de) 2003-02-27

Similar Documents

Publication Publication Date Title
US20030065943A1 (en) Method and apparatus for recognizing and reacting to denial of service attacks on a computerized network
US20040187032A1 (en) Method, data carrier, computer system and computer progamme for the identification and defence of attacks in server of network service providers and operators
US9094372B2 (en) Multi-method gateway-based network security systems and methods
Mirkovic et al. A taxonomy of DDoS attack and DDoS defense mechanisms
Kargl et al. Protecting web servers from distributed denial of service attacks
Geva et al. Bandwidth distributed denial of service: Attacks and defenses
Geer Malicious bots threaten network security
Schneider The state of network security
Kizza Firewalls
JP2006501527A (ja) ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃の確認と防御のための方法、データキャリア、コンピュータシステム、およびコンピュータプログラム
Noureldien et al. A stateful inspection module architecture
Kaeo Operational Security Current Practices in Internet Service Provider Environments
Bossardt et al. Enhanced Internet security by a distributed traffic control service based on traffic ownership
Othman Understanding the various types of denial of service attack
Mavrommatis Confronting and intrusion detection techniques of cyber-attacks in wired and wireless communication networks
Sheikh Denial of Service
Singhal et al. Design and Development of Anti-DoS/DDoS Attacks Framework Using IPtables
Sulaman An Analysis and Comparison of The Security Features of Firewalls and IDSs
Koutepas et al. Detection and Reaction to Denial of Service Attacks
ZA200400908B (en) Method, data-carrier, computer system and computer programme for the identification and defence of attacks on server systems of network service providers and operators.
IL160123A (en) Method, data carrier, computer system and computer software for detection and protection against attacks on server systems of providers and operators of communication network services
Singh et al. Early Warning System for Distributed Denial of Service Attacks
Patil et al. Comparative Study of IP-Traceback Systems for DoS and DDoS Attacks
Mool et al. Mitigating Denial Of Services Using Secure Overlay Service Model
Las Augmenting Perimeter Security Networks With Cisco Self-Defending Networks

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040413

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20050606

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20050606

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050913

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080813

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080813

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080813

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101102

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20101230

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20110112

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20110705