JP2007221192A - Attack packet filter apparatus - Google Patents

Attack packet filter apparatus Download PDF

Info

Publication number
JP2007221192A
JP2007221192A JP2006036087A JP2006036087A JP2007221192A JP 2007221192 A JP2007221192 A JP 2007221192A JP 2006036087 A JP2006036087 A JP 2006036087A JP 2006036087 A JP2006036087 A JP 2006036087A JP 2007221192 A JP2007221192 A JP 2007221192A
Authority
JP
Japan
Prior art keywords
packet
fragment
attack
packets
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006036087A
Other languages
Japanese (ja)
Inventor
Toshio Horage
俊男 洞毛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Engineering Ltd
Original Assignee
NEC Engineering Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Engineering Ltd filed Critical NEC Engineering Ltd
Priority to JP2006036087A priority Critical patent/JP2007221192A/en
Publication of JP2007221192A publication Critical patent/JP2007221192A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide an attack packet filter apparatus capable of maintaining a stable communication state by preventing abnormity of a fragment management table and depletion of a packet buffer even when receiving an attack packet from a malicious communication opposite party. <P>SOLUTION: The attack packet filter apparatus 1 includes: a packet reception section 11 connected to a network and for receiving packets; a packet identification section 12 for identifying a fragment packet received by the packet reception section 11; a fragment decision section 13 for deciding whether or not the fragment packet is an illegitimate packet; a fragment reconfiguration section 15 for reconfiguring the fragment packets when all the fragment packets arrive; and a fragment packet storage section 18 for storing the fragment packets until they are reconfigured, and the filter apparatus 1 discards the fragment packet which is decided to be an illegitimate packet by the fragment decision section. The attack packet filter apparatus may be provided with the fragment management table 17 used for deciding whether or not the fragment packet is an illegitimate packet. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、攻撃パケットフィルタ装置に関し、特に、交換器、レイヤ3スイッチ、ルータ、サーバー等の通信装置における、攻撃パケット(不正フラグメントパケット)からの防御を行う攻撃パケットフィルタ装置に関する。   The present invention relates to an attack packet filter device, and more particularly to an attack packet filter device that protects against attack packets (illegal fragment packets) in communication devices such as switches, layer 3 switches, routers, and servers.

インターネット上でネットワークのMTU(Maximum Transmission Unit)を超えたデータを転送する場合には、図5に示すように、MTUを超えない範囲でデータを分割し、フラグメントパケットとして転送する。レイヤ3スイッチや、ルータ等の通信装置では、分割されたすべてのフラグメントパケットが到着してからリアセンブル(組み立て)処理を行い、通信先に転送する。   When data exceeding the MTU (Maximum Transmission Unit) of the network is transferred on the Internet, as shown in FIG. 5, the data is divided within a range not exceeding the MTU and transferred as a fragment packet. In a communication device such as a layer 3 switch or a router, reassembly (assembly) processing is performed after all fragmented packets have arrived and transferred to the communication destination.

ここで、中継ルートの都合上、すべてのフラグメントパケットが揃うまで待つ処理が必要になり、到着フラグメントパケットを一時的にパケットバッファに保管する。到着フラグメントパケットの管理は、セグメント毎にフラグメント管理テーブルを備えることで行なう。サーバーにおいても、フラグメントパケットは、個々では意味をなさないため、再構築を行なう必要があり、再構築用にパケットを一時的に保管するパケットバッファと、到着フラグメントパケットの管理を行なうフラグメント管理テーブルを備える。   Here, due to the relay route, it is necessary to wait until all the fragment packets are collected, and the arrival fragment packet is temporarily stored in the packet buffer. Arrival fragment packets are managed by providing a fragment management table for each segment. Even in the server, fragment packets do not make sense individually, so they need to be reconstructed. A packet buffer that temporarily stores packets for reconstruction, and a fragment management table that manages incoming fragment packets Prepare.

例えば、特許文献1には、ベストエフォート型IP網でのストリーム配信において、サーバとネットワークの負荷を軽減し、経済性と品質の向上を実現するため、フラグメントパケットの再構築を行なうにあたり、パケットバッファに相当するテンポラリバッファと、フラグメント管理テーブルに相当するテンポラリテーブルを備える、到着フラグメントパケットの検査と再構築を行なう機能を有するキャッシュ方法及び装置が記載されている。   For example, Patent Document 1 discloses a packet buffer for reconstructing fragmented packets in order to reduce the load on the server and the network and improve economy and quality in stream distribution in a best effort IP network. A cache method and apparatus having a temporary buffer corresponding to the above and a temporary table corresponding to a fragment management table and a function of checking and reconstructing an incoming fragment packet are described.

また、特許文献2には、伝送遅延を抑え、フィルタ時のスループットの低下幅を少なくするとともに、オーバヘッドを軽減するため、先頭フラグメントパケットをサーチマシンにエントリし、後続のフラグメントパケットは、サーチマシンのエントリ情報に基づいてフィルタリング処理を行なうルータ装置等が開示されている。   Further, in Patent Document 2, in order to suppress transmission delay, reduce a decrease in throughput when filtering, and reduce overhead, a head fragment packet is entered in a search machine, and subsequent fragment packets are stored in the search machine. A router device or the like that performs filtering processing based on entry information is disclosed.

さらに、特許文献3には、データ容量の大きいパケットに対しても、IPフィルタリング、NATアドレス変換及び暗号化等の中継処理を行い、パケットのデータ転送を確実に行うため、フラグメントパケットを内部バッファに記憶させ、バッファ管理ブロックをダブルリンクキュー構造体によってグループ化し、フラグメントパケットを論理的にリンクさせるデータ中継方法等が記載されている。   Further, in Patent Document 3, relay processing such as IP filtering, NAT address conversion, and encryption is performed even on a packet having a large data capacity, and the fragment packet is stored in an internal buffer in order to ensure packet data transfer. A data relay method for storing, grouping buffer management blocks by a double link queue structure and logically linking fragment packets is described.

特開2003−242019号公報Japanese Patent Laid-Open No. 2003-242019 特開2002−281071号公報JP 2002-281071 A 特開2005−12697号公報JP 2005-12697 A

しかし、上記従来の技術では、悪意のある通信相手から攻撃パケット(不正フラグメントパケット)による攻撃を受けた場合には、フラグメント管理テーブルの異常やパケットバッファの枯渇が発生し、通信に障害を来すという問題があった。   However, in the above conventional technology, when an attack with malicious packets from an attacking party (illegal fragment packet) is received, the fragment management table is abnormal and the packet buffer is exhausted, resulting in communication failure. There was a problem.

例えば、防御機能を持たない通信装置がオーバーラッピング攻撃を受けた場合には、図6に示すように、TCP(Transmission Control Protocol)ヘッダの情報が書き換えられ、正しいルーティングができなくなる。   For example, when a communication device having no defense function is subjected to an overlapping attack, information of a TCP (Transmission Control Protocol) header is rewritten as shown in FIG. 6, and correct routing cannot be performed.

また、タイニーフラグメント攻撃を受けた場合には、図7に示すように、最初のパケットですべてのTCP情報を入手することができず、正しいルーティングができなくなる。   In the case of a tiny fragment attack, as shown in FIG. 7, all TCP information cannot be obtained in the first packet, and correct routing cannot be performed.

さらに、Ping of Death攻撃を受けた場合には、図8に示すように、合計サイズが管理できるメモリサイズを超えているため、フラグメントパケットの再構築ができなくなる。   Furthermore, when a Ping of Death attack is received, the total size exceeds the manageable memory size as shown in FIG.

さらにまた、Teardrop攻撃を受けた場合は、図9に示すように、lenght(パケット長)計算が異常となり、重複したIPパケットの断片を適切に処理することができず、システムがクラッシュすることがある。   Furthermore, when a Teardrop attack is received, the length (packet length) calculation becomes abnormal as shown in FIG. 9, and the fragment of the duplicate IP packet cannot be appropriately processed, and the system may crash. is there.

また、図10に示すように、不完全なフラグメントパケットを連続して受けた場合には、パケットバッファが枯渇するという問題があった。   Further, as shown in FIG. 10, there is a problem that the packet buffer is exhausted when incomplete fragment packets are continuously received.

そこで、本発明は、上記従来の技術における問題点に鑑みてなされたものであって、悪意のある通信相手から攻撃パケットによる攻撃を受けた場合でも、フラグメント管理テーブルの異常や、パケットバッファの枯渇を来すことがなく、安定した通信状態を維持することのできる攻撃パケットフィルタ装置を提供することを目的とする。   Therefore, the present invention has been made in view of the above-described problems in the prior art, and even when a malicious communication partner is attacked by an attack packet, the fragment management table is abnormal or the packet buffer is depleted. It is an object of the present invention to provide an attack packet filter device capable of maintaining a stable communication state.

上記目的を達成するため、本発明は、攻撃パケットフィルタ装置であって、ネットワークに接続され、該ネットワークからのパケットを受信するパケット受信部と、該パケット受信部で受信されたフラグメントパケットの識別を行なうパケット識別部と、該フラグメントパケットが不正なものか否かを判定するフラグメント判定部と、すべてのフラグメントが到着した場合にフラグメントパケットの再構築を行なうフラグメント再構築部と、前記フラグメントパケットの再構築を行なうまで、前記フラグメントパケットを保存するフラグメントパケット保存部とを備え、前記フラグメント判定部で不正と判定されたフラグメントパケットを廃棄することを特徴とする。   In order to achieve the above object, the present invention provides an attack packet filter device that is connected to a network and receives a packet from the network, and identifies a fragment packet received by the packet receiver. A packet identification unit to be performed, a fragment determination unit for determining whether or not the fragment packet is illegal, a fragment reconstruction unit for reconstructing a fragment packet when all fragments have arrived, and a reassembly of the fragment packet A fragment packet storage unit that stores the fragment packet until construction is performed, and the fragment packet determined to be illegal by the fragment determination unit is discarded.

そして、本発明によれば、例えば、オーバーラッピング攻撃やタイニーフラグメント攻撃を受けた場合には、フラグメント判定部においてフラグメントオフセットをチェックすることにより、攻撃の検出を行なうことができ、受信した不正なフラグメントパケットを廃棄するため、悪意のある通信相手から攻撃パケットによる攻撃を受けた場合でも、フラグメント管理テーブルの異常や、パケットバッファの枯渇を来すことがなく、安定した通信状態を維持することが可能となる。   According to the present invention, for example, when an overlapping attack or a tiny fragment attack is received, an attack can be detected by checking the fragment offset in the fragment determination unit. Because the packet is discarded, even if a malicious communication partner is attacked by an attack packet, it is possible to maintain a stable communication state without causing an error in the fragment management table or exhaustion of the packet buffer. It becomes.

前記攻撃パケットフィルタ装置において、前記パケット識別部にてフラグメントパケットと判定されなかったパケットと、フラグメント再構築部にて再構築されたパケットを送信するパケット送信部を備えることができる。   The attack packet filter device may include a packet transmission unit that transmits a packet that has not been determined as a fragment packet by the packet identification unit and a packet that has been reconstructed by the fragment reconstruction unit.

また、前記攻撃パケットフィルタ装置において、前記フラグメントパケットが不正なものか否かを判定するフラグメント管理テーブルを備えることができる。フラグメント管理テーブルに再構築情報を追加することにより、セグメントでの不正フラグメントパケットを検出し、不正フラグメントパケットを廃棄することができる。例えば、Ping of Death攻撃や、Teardrop攻撃に対しては、フラグメント管理テーブルに再構築中セグメントの最終データ位置を設けることにより攻撃の検出を行ない、不完全なフラグメントパケットの連続送信攻撃に対しては、フラグメント管理テーブルにセグメントでの受信パケットカウンタを設け、設定したパケット数を超えた場合は攻撃と判定することができる。   The attack packet filter device may further include a fragment management table for determining whether or not the fragment packet is illegal. By adding reconstruction information to the fragment management table, it is possible to detect an illegal fragment packet in a segment and discard the illegal fragment packet. For example, for the Ping of Death attack and the Teardrop attack, the last data position of the segment being reconstructed is set in the fragment management table to detect the attack, and for the continuous transmission attack of incomplete fragment packets. A received packet counter for the segment is provided in the fragment management table, and when the number of set packets is exceeded, it can be determined as an attack.

前記攻撃パケットフィルタ装置において、前記フラグメント管理テーブルは、TCP(Transmission Control Protocol)又はUDP(User Datagram Protocol)ヘッダ情報をセグメント管理に使用することができる。   In the attack packet filter device, the fragment management table can use TCP (Transmission Control Protocol) or UDP (User Datagram Protocol) header information for segment management.

以上のように、本発明によれば、悪意の通信相手の攻撃パケットによる攻撃を受けても、安定した通信状態を維持することができる。   As described above, according to the present invention, it is possible to maintain a stable communication state even if an attack by an attack packet of a malicious communication partner is received.

次に、本発明の実施の形態について、図面を参照しながら説明する。   Next, embodiments of the present invention will be described with reference to the drawings.

図1は、本発明にかかる攻撃パケットフィルタ装置の一実施の形態を示し、この攻撃パケットフィルタ装置1は、IP(Internet Protocol)を介するネットワークに接続され、ネットワークからのパケットを受信するパケット受信部11と、フラグメントパケットの識別を行なうパケット識別部12と、フラグメントパケットのセグメント判定と、攻撃パケットの判定とを行なうフラグメント判定部13と、各セグメントと保管中のパケットの管理を行なうフラグメント管理部14と、すべてのフラグメントが到着した場合にフラグメントパケットの再構築を行なうフラグメント再構築部15と、パケット識別部12にてフラグメントパケットと判定されなかったパケットと、フラグメント再構築部15にて再構築されたパケットの送信を行なうパケット送信部16と、フラグメント管理情報を保存するフラグメント管理テーブル17と、再構築されるまでフラグメントパケットを保存するパケットバッファ18とで構成される。尚、上記フラグメント管理テーブル17は、図2に示すような構成を有する。   FIG. 1 shows an embodiment of an attack packet filter device according to the present invention. The attack packet filter device 1 is connected to a network via IP (Internet Protocol) and receives a packet from the network. 11, a packet identification unit 12 that identifies a fragment packet, a fragment determination unit 13 that performs segment determination of a fragment packet and an attack packet, and a fragment management unit 14 that manages each segment and a stored packet. A fragment reconstructing unit 15 that reconstructs a fragment packet when all fragments arrive, a packet that is not determined to be a fragment packet by the packet identifying unit 12, and a packet reconstructed by the fragment reconstructing unit 15. Packet to send the packet Packet transmission unit 16, a fragment management table 17 that stores fragment management information, and a packet buffer 18 that stores fragment packets until they are reconstructed. The fragment management table 17 has a configuration as shown in FIG.

次に、上記構成を有する攻撃パケットフィルタ装置1の動作について、図1乃至図3を参照しながら説明する。   Next, the operation of the attack packet filter device 1 having the above configuration will be described with reference to FIGS.

パケット受信部11がパケットを受信すると、パケット識別部12において、フラグメントパケットか否かを判定する(ステップS11)。ステップS11において、フラグメントパケットではないと判定された場合には、ステップS26においてそのままパケットを送信して処理を終了する。一方、ステップS11において、フラグメントパケットと判定された場合には、フラグメント判定部13にてパケット長が正常範囲内であるか否かを判定し(ステップS12)、Ping of Death攻撃を受けていないか否かをチェックする。そして、正常範囲外の場合には、受信パケットを廃棄する(ステップS20)。パケット長のチェックは、受信したパケットのヘッダのTL(Total Length)+FO(Fragment Offset)×8の値がIPパケットの最大値である65,535バイト以内であることをチェックする。   When the packet receiving unit 11 receives the packet, the packet identification unit 12 determines whether the packet is a fragment packet (step S11). If it is determined in step S11 that the packet is not a fragment packet, the packet is transmitted as it is in step S26 and the process is terminated. On the other hand, if it is determined in step S11 that the packet is a fragment packet, the fragment determination unit 13 determines whether the packet length is within the normal range (step S12), and whether or not a ping of death attack has occurred. Check whether or not. If it is outside the normal range, the received packet is discarded (step S20). The packet length is checked by checking that the value of TL (Total Length) + FO (Fragment Offset) × 8 in the header of the received packet is within the maximum value of 65,535 bytes of the IP packet.

ステップS12において、パケット長が正常範囲内にある場合には、ステップS13において、オフセット値が正常範囲内か否かを判定し、オーバーラッピング攻撃やタイニーフラグメント攻撃を受けていないかどうかをチェックする。そして、正常範囲外の場合には、受信パケットを廃棄する(ステップS20)。オフセット値のチェックは、FO×8がTCPヘッダ長である20バイト以上であることをチェックする。   If the packet length is in the normal range in step S12, it is determined in step S13 whether or not the offset value is in the normal range, and it is checked whether an overlapping attack or a tiny fragment attack has been received. If it is outside the normal range, the received packet is discarded (step S20). The offset value is checked by checking that FO × 8 is 20 bytes or more which is the TCP header length.

ステップS13において、オフセット値が正常範囲内の場合には、受信パケットのIPアドレスと、ID(Identification)を基に、図2のフラグメント管理テーブルから対応するセグメントのテーブル情報を読み出す(ステップS14)。ステップS15において、対応するセグメントが存在しない場合には、フラグメント管理部14にて新規セグメントを登録する(ステップS19)。新規セグメントには、テーブル情報としてIPアドレス等を登録する。   If the offset value is within the normal range in step S13, the table information of the corresponding segment is read from the fragment management table of FIG. 2 based on the IP address of the received packet and ID (Identification) (step S14). If there is no corresponding segment in step S15, the fragment management unit 14 registers a new segment (step S19). In the new segment, an IP address or the like is registered as table information.

次に、ステップS16において、読み出したセグメントのテーブル情報から受信パケット数が、閾値以内かの判定を行ない、不完全なフラグメントパケットの連続攻撃を受けていないかどうかチェックする。閾値より大きい場合には、受信パケットを廃棄する(ステップS20)。受信パケット数が閾値以内の場合には、ステップS17において、最終フラグメントパケットか否かを判定する。   Next, in step S16, it is determined whether or not the number of received packets is within the threshold value from the read table information of the segment, and it is checked whether or not a continuous attack of incomplete fragment packets has been received. If it is larger than the threshold value, the received packet is discarded (step S20). If the number of received packets is within the threshold value, it is determined in step S17 whether or not it is a final fragment packet.

ステップS17において、最終フラグメントパケットではない場合は、フラグメント管理部14にて、図2のフラグメント管理テーブル17のテーブル情報を更新し(ステップS25)、パケットバッファ18への保存を行なう。更新情報は、受信パケットの合計サイズ、受信パケット数である。   If it is not the final fragment packet in step S17, the fragment management unit 14 updates the table information of the fragment management table 17 in FIG. 2 (step S25) and stores it in the packet buffer 18. The update information is the total size of received packets and the number of received packets.

一方、ステップS17において、最終フラグメントパケットの場合には、再構築後のパケット長が正常かを判定し(ステップS18)、Teardrop攻撃を受けていないかどうかをチェックする。この判定は、TL(Total Length)+FO(Fragment Offset)×8の値が、図2に示したテーブル情報の受信パケットの合計サイズ以上であることをチェックする。   On the other hand, in the case of the last fragment packet in step S17, it is determined whether the reconstructed packet length is normal (step S18), and it is checked whether or not there is a teardrop attack. This determination is made by checking that the value of TL (Total Length) + FO (Fragment Offset) × 8 is equal to or larger than the total size of the received packets of the table information shown in FIG.

そして、最終フラグメントパケットが正常の場合は、フラグメント管理テーブル17の該当セグメントの削除を行い(ステップS21)、パケットバッファ18からテーブル情報に登録されたパケットの読出しを行い、フラグメント再構築部15にて、フラグメントパケットの再構築(ステップS22)を行う。   If the final fragment packet is normal, the corresponding segment of the fragment management table 17 is deleted (step S21), the packet registered in the table information is read from the packet buffer 18, and the fragment reconstructing unit 15 The fragment packet is reconstructed (step S22).

一方、最終フラグメントパケットが正常でない場合には、パケットの廃棄(ステップS23)と、フラグメント管理テーブルのセグメントの削除(ステップS24)を行なう。再構築したパケットは、パケット送信部16にて、フラグメント以外のパケットとともに通信先へ送信する(ステップS26)。   On the other hand, if the final fragment packet is not normal, the packet is discarded (step S23) and the segment of the fragment management table is deleted (step S24). The reconstructed packet is transmitted to the communication destination together with the packet other than the fragment by the packet transmission unit 16 (step S26).

尚、上記実施の形態においては、攻撃パケットフィルタ装置をハードウエアにて実現することを前提に構成しているが、図3に示したフローチャートの動作をCPUを用いたソフトウエア制御によって実現することも可能である。   In the above embodiment, the attack packet filter device is configured on the assumption that it is realized by hardware. However, the operation of the flowchart shown in FIG. 3 is realized by software control using a CPU. Is also possible.

また、上記実施の形態においては、テーブル情報にTCPヘッダ情報を含めなかったが、サーバー等の場合には、TCPポート番号も必要情報として追加する。その場合のフラグメント管理テーブル構成を図4に示す。   In the above embodiment, the TCP header information is not included in the table information. However, in the case of a server or the like, the TCP port number is also added as necessary information. FIG. 4 shows the fragment management table configuration in that case.

本発明にかかる攻撃パケットフィルタ装置の構成図である。It is a block diagram of the attack packet filter apparatus concerning this invention. 図1の攻撃パケットフィルタ装置のフラグメント管理テーブルの構成を示す図である。It is a figure which shows the structure of the fragment management table of the attack packet filter apparatus of FIG. 図1の攻撃パケットフィルタ装置による処理フローを示す図である。It is a figure which shows the processing flow by the attack packet filter apparatus of FIG. 図1の攻撃パケットフィルタ装置のフラグメント管理テーブルの構成(TCPヘッダ追加)を示す図である。It is a figure which shows the structure (TCP header addition) of the fragment management table of the attack packet filter apparatus of FIG. IPフラグメントの概念図である。It is a conceptual diagram of an IP fragment. オーバーラッピング攻撃の概念図である。It is a conceptual diagram of an overlapping attack. タイニーフラグメント攻撃の概念図である。It is a conceptual diagram of a tiny fragment attack. Ping of Death攻撃の概念図である。It is a conceptual diagram of a Ping of Death attack. Teardrop攻撃の概念図である。It is a conceptual diagram of a teardrop attack. 大量フラグメント攻撃の概念図である。It is a conceptual diagram of mass fragment attack.

符号の説明Explanation of symbols

1 攻撃パケットフィルタ装置
11 パケット受信部
12 パケット識別部
13 フラグメント判定部
14 フラグメント管理部
15 フラグメント再構築部
16 パケット送信部
17 フラグメント管理テーブル
18 パケットバッファ
S11 フラグメントパケット判定
S12 パケット長チェック判定
S13 オフセット値チェック判定
S14 フラグメント管理テーブル読出し
S15 対応セグメントの判定
S16 セグメントでの受信パケット数の閾値超過判定
S17 最終フラグメントパケットの判定
S18 再構築後のパケット長の判定
S19 フラグメント管理テーブル新規作成
S20 パケット廃棄
S21 フラグメント管理テーブル削除
S22 フラグメントパケット再構築
S23 パケット廃棄
S24 フラグメント管理テーブル削除
S25 フラグメント管理テーブル更新
S26 パケット送信 DESCRIPTION OF SYMBOLS 1 Attack packet filter apparatus 11 Packet receiving part 12 Packet identification part 13 Fragment judgment part 14 Fragment management part 15 Fragment reconstruction part 16 Packet transmission part 17 Fragment management table 18 Packet buffer S11 Fragment packet judgment S12 Packet length check judgment S13 Offset value check Determination S14 Fragment management table read S15 Corresponding segment determination S16 Exceeding threshold of received packets in segment S17 Determination of final fragment packet S18 Determination of packet length after reconstruction S19 Fragment management table newly created S20 Packet discard S21 Fragment management table Delete S22 Fragment packet reconstruction S23 Packet discard S24 Fragment management table deletion S25 Fragment Capital management table update S26 packet transmission

Claims (4)

ネットワークに接続され、該ネットワークからのパケットを受信するパケット受信部と、
該パケット受信部で受信されたフラグメントパケットの識別を行なうパケット識別部と、
該フラグメントパケットが不正なものか否かを判定するフラグメント判定部と、
すべてのフラグメントが到着した場合にフラグメントパケットの再構築を行なうフラグメント再構築部と、
前記フラグメントパケットの再構築を行なうまで、前記フラグメントパケットを保存するフラグメントパケット保存部とを備え、
前記フラグメント判定部で不正と判定されたフラグメントパケットを廃棄することを特徴とする攻撃パケットフィルタ装置。 A packet receiving unit connected to the network and receiving packets from the network;
A packet identification unit for identifying a fragment packet received by the packet reception unit;
A fragment determination unit for determining whether or not the fragment packet is invalid;
A fragment reconstruction unit that reconstructs fragment packets when all fragments have arrived;
A fragment packet storage unit for storing the fragment packet until the fragment packet is reconstructed,
An attack packet filter device that discards a fragment packet determined to be illegal by the fragment determination unit. 前記パケット識別部にてフラグメントパケットと判定されなかったパケットと、フラグメント再構築部にて再構築されたパケットを送信するパケット送信部を備えることを特徴とする請求項1に記載の攻撃パケットフィルタ装置。   The attack packet filter device according to claim 1, further comprising: a packet transmission unit that transmits a packet that is not determined as a fragment packet by the packet identification unit and a packet that is reconstructed by the fragment reconstruction unit. . 前記フラグメントパケットが不正なものか否かを判定するフラグメント管理テーブルを備えることを特徴とする請求項1又は2に記載の攻撃パケットフィルタ装置。   3. The attack packet filter device according to claim 1, further comprising a fragment management table for determining whether or not the fragment packet is illegal. 前記フラグメント管理テーブルは、TCP(Transmission Control Protocol)又はUDP(User Datagram Protocol)ヘッダ情報をセグメント管理に使用することを特徴とする請求項3に記載の攻撃パケットフィルタ装置。   The attack packet filter device according to claim 3, wherein the fragment management table uses TCP (Transmission Control Protocol) or UDP (User Datagram Protocol) header information for segment management.
JP2006036087A 2006-02-14 2006-02-14 Attack packet filter apparatus Pending JP2007221192A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006036087A JP2007221192A (en) 2006-02-14 2006-02-14 Attack packet filter apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006036087A JP2007221192A (en) 2006-02-14 2006-02-14 Attack packet filter apparatus

Publications (1)

Publication Number Publication Date
JP2007221192A true JP2007221192A (en) 2007-08-30

Family

ID=38498039

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006036087A Pending JP2007221192A (en) 2006-02-14 2006-02-14 Attack packet filter apparatus

Country Status (1)

Country Link
JP (1) JP2007221192A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008136176A (en) * 2006-10-10 2008-06-12 Mitsubishi Electric Information Technology Centre Europa Bv Method and device for managing allocation of memory blocks, data transmission network system, computer-readable medium, and computer program product
JP2011525774A (en) * 2008-06-23 2011-09-22 アルカテル−ルーセント ユーエスエー インコーポレーテッド Packet fragment processing

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008136176A (en) * 2006-10-10 2008-06-12 Mitsubishi Electric Information Technology Centre Europa Bv Method and device for managing allocation of memory blocks, data transmission network system, computer-readable medium, and computer program product
JP2011525774A (en) * 2008-06-23 2011-09-22 アルカテル−ルーセント ユーエスエー インコーポレーテッド Packet fragment processing

Similar Documents

Publication Publication Date Title
US10075338B2 (en) Relay control unit, relay control system, relay control method, and relay control program
EP3520267B1 (en) Router with bilateral tcp session monitoring
US8175096B2 (en) Device for protection against illegal communications and network system thereof
JP4759389B2 (en) Packet communication device
EP3593498B1 (en) Router device using flow duplication
US7706378B2 (en) Method and apparatus for processing network packets
US8904513B2 (en) Apparatus and method for filtering IP packets
JP4591893B2 (en) Apparatus and method for caching lookup based on flow characteristics of TCP traffic
US8910267B2 (en) Method for managing connections in firewalls
JP6422677B2 (en) Network relay device, DDoS protection method and load distribution method using the same
US20110314179A1 (en) Session-based sequence checking
Simpson TCP cookie transactions (TCPCT)
JP5178573B2 (en) Communication system and communication method
US10742602B2 (en) Intrusion prevention
JP3581345B2 (en) Packet transfer device and packet transfer method
JP7059726B2 (en) Communication system, communication control device, communication control method and communication control program
JP2007221192A (en) Attack packet filter apparatus
US20150127841A1 (en) Communication control device and communication control method
JP4542053B2 (en) Packet relay apparatus, packet relay method, and packet relay program
WO2005050935A1 (en) Intrusion detection device and method thereof
JP4027213B2 (en) Intrusion detection device and method
Simpson RFC 6013: TCP Cookie Transactions (TCPCT)

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070912

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090831

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090914

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100125