JP2009218825A - Network attack detection device and defense device - Google Patents
Network attack detection device and defense device Download PDFInfo
- Publication number
- JP2009218825A JP2009218825A JP2008060053A JP2008060053A JP2009218825A JP 2009218825 A JP2009218825 A JP 2009218825A JP 2008060053 A JP2008060053 A JP 2008060053A JP 2008060053 A JP2008060053 A JP 2008060053A JP 2009218825 A JP2009218825 A JP 2009218825A
- Authority
- JP
- Japan
- Prior art keywords
- syn
- packets
- ack
- attack
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、ネットワーク攻撃検出装置及び防御装置に関する。 The present invention relates to a network attack detection device and a defense device.
近年、インターネット上のサーバが提供するサービスを妨害するネットワーク攻撃が問題となっている。このネットワーク攻撃としては、例えば、悪意のある攻撃者がサーバの機能を麻痺させようとして大量のパケットを送信するDDoS(Distributed Denial of Service)攻撃がある。 In recent years, network attacks that interfere with services provided by servers on the Internet have become a problem. As this network attack, for example, there is a DDoS (Distributed Denial of Service) attack in which a malicious attacker transmits a large number of packets in an attempt to paralyze the server function.
図7は、TCP(Transmission Control Protocol)の正常な接続確立手順を示すシーケンス図である。
TCPにおける正常な接続確立は以下に示す3ウェイハンドシェイクにより行われる。まず、クライアント22がサーバ23にアクセスする際に、クライアント22は、サーバ23へSYNパケットを送信する。次に、サーバ23は、クライアント22へ受信したSYNパケットに対する受信確認であるSYN−ACKパケットを返送する。最後に、SYN−ACKパケットを受信したクライアントは、サーバ23へACKパケットを送信する。これにより、クライアント22とサーバ23とは通信可能な状態となる。
FIG. 7 is a sequence diagram showing a normal connection establishment procedure of TCP (Transmission Control Protocol).
Normal connection establishment in TCP is performed by the following three-way handshake. First, when the
図8は、DDoS攻撃の1つであるSYN Flood攻撃の概要を示すシーケンス図である。
SYN Flood攻撃は、上記3ウェイハンドシェイクを悪用した攻撃である。悪意のあるクライアント22は、サーバ23へ送信元を詐称した多数のSYNパケットを送信する。そのSYNパケットを受信したサーバ23は、SYNパケットを送信したクライアント22ではなく、詐称された送信元に対してSYN−ACKパケットを送信する。しかし、当該送信元は詐称されたものであるため、送信元からはACKパケットがサーバ23へ返送されることはない。やがて、サーバ23ではTCP接続確立の要求数が許容量を超えて、TCP接続確立の要求を受け付けることができなくなってしまう。このため、サーバ23は、SYNパケットの応答としてこれ以上接続ができない事を示すRSTパケットをSYNパケットの送信元に送信する。このため、一般ユーザからのサーバ23へのアクセスが妨害されてしまう。
FIG. 8 is a sequence diagram showing an outline of a SYN Flood attack, which is one of DDoS attacks.
The SYN Flood attack is an attack that exploits the 3-way handshake. The
図9は、図8で示した攻撃以外の攻撃パターンの概要を示すシーケンス図である。
この攻撃パターンでは、悪意のあるクライアント22は、サーバ23へSYNパケットを送信するが、そのSYNパケットに対するSYN−ACKパケットを受信しても、サーバ23へACKパケットを返送しない。そのため、クライアント22が大量にSYNパケットを送信すると、やがて、サーバ23ではTCP接続確立の要求数が許容量を超えて、TCP接続確立の要求を受け付けることができなくなってしまう。
FIG. 9 is a sequence diagram showing an outline of attack patterns other than the attack shown in FIG.
In this attack pattern, the
このような攻撃に対する従来の防御方法には、正常トラフィックの到着レート変動が正規分布によりモデル化できることを利用して、攻撃トラフィックを検出する方法(例えば、非特許文献1参照)や、トラフィックの統計的性質を利用し、Wavelet変換を応用した攻撃トラフィック検出方法(例えば、非特許文献2参照)が提案されている。
また、特許文献1に記載された防御装置では、攻撃可能性のあるクライアントからのSYNパケットを一旦防御装置に蓄積し、SYNパケットの送信元アドレス(クライアント)の存在を確認したうえで当該SYNパケットを宛先アドレス(サーバ)に送信する。また、特許文献2に記載された防御装置は、単位時間あたりの上り方向のパケット数と下り方向のパケット数の統計情報から攻撃を検知する。
Further, in the defense device described in Patent Document 1, a SYN packet from a client that is likely to attack is temporarily stored in the defense device, and after confirming the existence of the source address (client) of the SYN packet, the SYN packet To the destination address (server). Further, the defense device described in
しかしながら、非特許文献1、非特許文献2及び特許文献2に記載された技術では、通信トラヒックの統計的性質を計算する必要があるため、防御装置の処理が複雑になってしまう、という問題がある。また、特許文献1に記載された技術では、クライアントの存在をSYN−ACKパケットを送信することにより確認してから通信を開始するため、攻撃者ではない一般ユーザの通信開始に遅延増をもたらしてしまう、また、防御装置の構成が複雑になってしまう、という問題がある。
本発明は上記の点に鑑みてなされたものであり、その目的は、簡易な構成でネットワーク攻撃の検出を可能とし、かつ、通信開始までの遅延時間の増加を回避するネットワーク攻撃検出装置及び防御装置を提供することにある。
However, in the techniques described in Non-Patent Document 1,
The present invention has been made in view of the above points, and an object of the present invention is to detect a network attack with a simple configuration and to prevent an increase in delay time until the start of communication and a defense To provide an apparatus.
本発明は上記の課題を解決するためになされたものであり、本発明の一態様は、特定クライアントから送信された制御パケットの個数を計数する第1のカウンタと、前記特定クライアント宛に送信された制御パケットの個数を計数する第2のカウンタと、前記第1及び第2のカウンタの各カウンタ値の比に基づいて、前記特定クライアントによるネットワーク攻撃を検出する検出手段と、を備えたことを特徴とするネットワーク攻撃検出装置である。 SUMMARY An advantage of some aspects of the invention is that a first counter that counts the number of control packets transmitted from a specific client, and a transmission addressed to the specific client are provided. A second counter that counts the number of control packets, and detection means that detects a network attack by the specific client based on a ratio of the counter values of the first and second counters. This is a featured network attack detection device.
また、本発明の一態様は、上記のネットワーク攻撃検出装置において、前記第1及び第2のカウンタは、パケット長によって制御パケットを識別することを特徴とする。 According to another aspect of the present invention, in the network attack detection apparatus, the first and second counters identify a control packet based on a packet length.
また、本発明の一態様は、上記のネットワーク攻撃検出装置において、前記第1のカウンタは、SYNパケットとACKパケットの合計個数を計数し、前記第2のカウンタは、SYN−ACKパケットの個数を計数し、前記検出手段は、SYNパケットとACKパケットの合計個数に対するSYN−ACKパケットの個数の比が所定の値より小さい場合にTCPに係る「SYN Flood攻撃」を検出することを特徴とする。 According to another aspect of the present invention, in the network attack detection apparatus, the first counter counts the total number of SYN packets and ACK packets, and the second counter calculates the number of SYN-ACK packets. The detecting means is characterized in that it detects a “SYN Flood attack” related to TCP when the ratio of the number of SYN-ACK packets to the total number of SYN packets and ACK packets is smaller than a predetermined value.
また、本発明の一態様は、上記のネットワーク攻撃検出装置において、前記第1のカウンタは、SYNパケットの個数を計数し、前記第2のカウンタは、SYN−ACKパケットの個数を計数し、前記検出手段は、SYNパケットの個数に対するSYN−ACKパケットの個数の比が所定の値より小さい場合にTCPに係る「SYN Flood攻撃」を検出することを特徴とする。 Further, according to one aspect of the present invention, in the network attack detection device, the first counter counts the number of SYN packets, the second counter counts the number of SYN-ACK packets, The detecting means detects a “SYN Flood attack” related to TCP when the ratio of the number of SYN-ACK packets to the number of SYN packets is smaller than a predetermined value.
また、本発明の一態様は、上記のネットワーク攻撃検出装置において、前記第1のカウンタは、SYNパケットの個数とACKパケットの個数を計数し、前記検出手段は、SYNパケットの個数に対するACKパケットの個数の比が所定の値より小さい場合にTCPに係る「SYN Flood攻撃」を検出することを特徴とする。 Also, according to one aspect of the present invention, in the network attack detection device, the first counter counts the number of SYN packets and the number of ACK packets, and the detection unit includes the number of ACK packets with respect to the number of SYN packets. When the ratio of the numbers is smaller than a predetermined value, a “SYN Flood attack” related to TCP is detected.
また、本発明の一態様は、上記のネットワーク攻撃検出装置において、前記第1のカウンタは、SYNパケットとACKパケットの合計個数を計数し、前記第2のカウンタは、SYN−ACKパケットの個数を計数し、前記検出手段は、SYNパケットとACKパケットの合計個数に対するSYN−ACKパケットの個数の比が所定の値より大きい場合にTCPに係る「SYN Flood攻撃」を検出することを特徴とする。 According to another aspect of the present invention, in the network attack detection apparatus, the first counter counts the total number of SYN packets and ACK packets, and the second counter calculates the number of SYN-ACK packets. The detecting means counts a “SYN Flood attack” related to TCP when the ratio of the number of SYN-ACK packets to the total number of SYN packets and ACK packets is larger than a predetermined value.
また、本発明の一態様は、上記のネットワーク攻撃検出装置において、前記第1のカウンタは、ACKパケット個数を計数し、前記第2のカウンタは、SYN−ACKパケットの個数を計数し、前記検出手段は、SYN−ACKパケットの個数に対するACKパケットの個数の比が所定の値より小さい場合にTCPに係る「SYN Flood攻撃」を検出することを特徴とする。 Further, according to one aspect of the present invention, in the network attack detection apparatus, the first counter counts the number of ACK packets, the second counter counts the number of SYN-ACK packets, and detects the detection The means is characterized by detecting a “SYN Flood attack” related to TCP when the ratio of the number of ACK packets to the number of SYN-ACK packets is smaller than a predetermined value.
また、本発明の一態様は、上記のネットワーク攻撃検出装置と、ネットワーク攻撃が検出された特定のクライアントが送信元である制御パケットの帯域制限を行う帯域制限部と、を備えたことを特徴とする防御装置である。 According to another aspect of the present invention, there is provided the network attack detection apparatus described above and a bandwidth limiter that limits the bandwidth of a control packet whose source is a specific client in which a network attack is detected. It is a defensive device.
また、本発明の一態様は、上記の防御装置において、前記帯域制限対象は、TCPに係るSYNパケットであることを特徴とする。 In addition, according to an aspect of the present invention, in the defense device described above, the bandwidth limitation target is a SYN packet related to TCP.
本発明によれば、特定クライアントから送信された制御パケットの個数と特定クライアント宛に送信された制御パケットの個数の比に基づいてネットワーク攻撃を検出するので、複雑な処理が必要なくなる。これにより、簡易な構成でネットワーク攻撃の検出が可能となる。また、クライアントを確認する必要がないので、通信開始までの遅延時間の増加を回避することができる。 According to the present invention, since a network attack is detected based on the ratio between the number of control packets transmitted from a specific client and the number of control packets transmitted to the specific client, complicated processing is not required. This makes it possible to detect a network attack with a simple configuration. In addition, since there is no need to check the client, an increase in delay time until the start of communication can be avoided.
以下、図面を参照しながら本発明の実施形態について詳しく説明する。
図1は、本発明の実施形態による防衛装置1の配置位置を示す概略図である。
この図に示すように、クライアント2とサーバ3は、ネットワークを介して接続される。防御装置1は、クライアント2とネットワークの間に設けられる。この防御装置1は、例えば、通信事業者の局舎内に設けられ、クライアント2と加入者線(光ケーブル等)で1対1に接続されている。クライアント2と1対1で接続されることにより、防御装置1は、特定のクライアント2からのパケットのみ制限することができる。防御装置1は、ネットワークを介してサーバ3へ、クライアント2から受信したパケットを送信する。また、防御装置1は、ネットワークを介してサーバ3から受信したパケットをクライアント2へ送信する。
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
FIG. 1 is a schematic view showing the arrangement position of the defense device 1 according to the embodiment of the present invention.
As shown in this figure, the
サーバ3は、防御対象となるサーバ装置である。クライアント2は、パーソナルコンピュータなどのTCP(Transmission Control Protocol)に準拠した通信を行うことができる装置である。
The
なお、図1においては、クライアント2及びサーバ3を1台ずつ示しているが、複数台存在しても構わない。以下では、クライアント2からサーバ3へ向かう方向を「上り方向」、サーバ3からクライアント2へ向かう方向を「下り方向」として説明する。
In FIG. 1, one
本実施形態では、TCPに係るSYN Flood攻撃を防御する。まず、本発明の原理を説明する。TCPにおける正常な接続確立手順では、図7のように、SYNパケット数:SYN−ACKパケット数:ACKパケット数の比は、1:1:1になる。一方、図8の攻撃パターンでは、上り方向のSYNパケットが多いのに比して、下り方向のSYN−ACKパケットは少なくなる。また、上り方向のACKパケットも少ない。この知見に基づき、いくつかのSYN Flood攻撃の判定方法を着想した。以下では、上り方向のSYNパケット数と下り方向のSYN−ACKパケット数の比からSYN Flood攻撃を判定する。又は、上り方向のSYNパケット数と上り方向のACKパケット数の比からSYN Flood攻撃を判定する。 In this embodiment, the SYN Flood attack related to TCP is protected. First, the principle of the present invention will be described. In a normal connection establishment procedure in TCP, as shown in FIG. 7, the ratio of the number of SYN packets: the number of SYN-ACK packets: the number of ACK packets is 1: 1: 1. On the other hand, in the attack pattern of FIG. 8, the number of downlink SYN-ACK packets is smaller than the number of upstream SYN packets. Also, there are few uplink ACK packets. Based on this finding, several methods for determining SYN Flood attacks were conceived. Hereinafter, the SYN Flood attack is determined from the ratio of the number of uplink SYN packets to the number of downlink SYN-ACK packets. Alternatively, the SYN Flood attack is determined from the ratio between the number of uplink SYN packets and the number of uplink ACK packets.
(判定方法1)この判定方法では、上り方向のSYNパケットとACKパケットの合計数Aと下り方向のSYN−ACKパケット数Bの比からSYN Flood攻撃を判定する。TCPにおける正常な接続確立手順では、SYN−ACKパケット数Bの合計数Aに対する比(B/A)は0.5となり、極端に小さな値にはならない。一方、図8の攻撃パターンでは、B/Aは小さな値になる。この場合の判定条件は、B/Aが所定の閾値より小さくなる場合にSYN Flood攻撃と判定する。所定の閾値は0.5より小さい値である。 (Determination method 1) In this determination method, a SYN Flood attack is determined from the ratio of the total number A of uplink SYN packets and ACK packets to the number of downlink SYN-ACK packets B. In a normal connection establishment procedure in TCP, the ratio (B / A) of the number B of SYN-ACK packets to the total number A is 0.5, which is not an extremely small value. On the other hand, in the attack pattern of FIG. 8, B / A has a small value. The determination condition in this case is determined as a SYN Flood attack when B / A is smaller than a predetermined threshold. The predetermined threshold is a value smaller than 0.5.
(判定方法2)この判定方法では、上り方向のSYNパケット数Cと下り方向のSYN−ACKパケット数Bの比からSYN Flood攻撃を判定する。TCPにおける正常な接続確立手順では、SYN−ACKパケット数BのSYNパケット数Cに対する比(B/C)は1となり、極端に小さな値にはならない。一方、図8の攻撃パターンでは、B/Cは小さな値になる。この場合の判定条件は、B/Cが所定の閾値より小さくなる場合にSYN Flood攻撃と判定する。所定の閾値は1より小さい値である。 (Determination method 2) In this determination method, a SYN Flood attack is determined from the ratio of the number of SYN packets in the upstream direction and the number of SYN-ACK packets in the downstream direction. In a normal connection establishment procedure in TCP, the ratio (B / C) of the number of SYN-ACK packets B to the number of SYN packets C is 1, which is not an extremely small value. On the other hand, in the attack pattern of FIG. 8, B / C becomes a small value. The determination condition in this case is determined as a SYN Flood attack when B / C is smaller than a predetermined threshold. The predetermined threshold is a value smaller than 1.
(判定方法3)この判定方法では、上り方向のSYNパケット数Cと上り方向のACKパケット数Dの比からSYN Flood攻撃を判定する。TCPにおける正常な接続確立手順では、ACKパケット数DのSYNパケット数Cに対する比(D/C)は1となり、極端に小さな値にはならない。一方、図8の攻撃パターンでは、D/Cは小さな値になる。この場合の判定条件は、D/Cが所定の閾値より小さくなる場合にSYN Flood攻撃と判定する。所定の閾値は1より小さい値である。 (Determination Method 3) In this determination method, a SYN Flood attack is determined from the ratio of the number of uplink SYN packets C and the number of uplink ACK packets D. In a normal connection establishment procedure in TCP, the ratio (D / C) of the number of ACK packets D to the number of SYN packets C is 1, which is not an extremely small value. On the other hand, in the attack pattern of FIG. 8, D / C becomes a small value. The determination condition in this case is determined as a SYN Flood attack when D / C is smaller than a predetermined threshold. The predetermined threshold is a value smaller than 1.
図9のACKパケットを送信しない攻撃パターンでは、上り方向のSYNパケットが多いが、上り方向のACKパケットは少ない。この知見に基づき、以下の方法でSYN Flood攻撃を判定できる。 In the attack pattern that does not transmit the ACK packet in FIG. 9, there are many uplink SYN packets, but there are few uplink ACK packets. Based on this knowledge, the SYN Flood attack can be determined by the following method.
(判定方法4)この判定方法では、上り方向のSYNパケット及びACKパケットの合計数Aと下り方向のSYN−ACKパケット数Bの比からSYN Flood攻撃を判定する。図9の攻撃パターンでは、SYN−ACKパケット数Bの合計数Aに対する比(B/A)は1となる。この場合の判定条件は、B/Aが所定の閾値より大きくなる場合にSYN Flood攻撃と判定する。所定の閾値は0.5より大きい値である。 (Determination Method 4) In this determination method, a SYN Flood attack is determined from the ratio of the total number A of uplink SYN packets and ACK packets to the number of downlink SYN-ACK packets B. In the attack pattern of FIG. 9, the ratio (B / A) of the SYN-ACK packet number B to the total number A is 1. The determination condition in this case is determined as a SYN Flood attack when B / A is greater than a predetermined threshold. The predetermined threshold is a value greater than 0.5.
(判定方法5)この判定方法では、上り方向のACKパケット数Dと下り方向のSYN−ACKパケット数Bの比からSYN Flood攻撃を判定する。TCPにおける正常な接続確立手順では、ACKパケット数DのSYN−ACKパケット数Bに対する比(D/B)は1となり、極端に小さな値にはならない。一方、図9の攻撃パターンでは、D/Bは小さな値になる。この場合の判定条件は、D/Bが所定の閾値より小さくなる場合にSYN Flood攻撃と判定する。所定の閾値は1より小さい値である。
また、上述した判定方法3でもこの攻撃パターンの判定をすることができる。以下、各実施形態を説明する。
(Determination method 5) In this determination method, a SYN Flood attack is determined from the ratio of the number D of uplink ACK packets and the number B of SYN-ACK packets in the downlink direction. In a normal connection establishment procedure in TCP, the ratio (D / B) of the number of ACK packets D to the number of SYN-ACK packets B (D / B) is 1, which is not an extremely small value. On the other hand, in the attack pattern of FIG. 9, D / B becomes a small value. The determination condition in this case is determined as a SYN Flood attack when D / B is smaller than a predetermined threshold. The predetermined threshold is a value smaller than 1.
The attack pattern can also be determined by the
[第1の実施形態]
本実施形態は、判定方法1又は4の実施形態である。また、本実施形態では、制御パケット(SYNパケット、ACKパケット及びSYN−ACKパケット等)をカウントする手段として短パケットをカウントする。短パケットとは、あらかじめ設定された所定の値よりサイズの小さいパケットのことである。これは、制御パケットのパケット長が比較的短いこと、及びデータトラヒックのパケット長が比較的長く、制御パケットのパケット長と同程度になる確率が極めて低いことを利用している。制御パケットは、SYNパケット、ACKパケット及びSYN−ACKパケット以外にも存在するが、SYN Flood攻撃がある場合には、判定方法1又は判定方法4の傾向が強くなるため上り方向の短パケットと下り方向の短パケットの比で判定できる。なお、制御パケットは、VLAN(Virtual LAN)タグ等がない状態で64バイトである。
[First Embodiment]
The present embodiment is an embodiment of the determination method 1 or 4. In this embodiment, short packets are counted as means for counting control packets (such as SYN packets, ACK packets, and SYN-ACK packets). A short packet is a packet having a size smaller than a predetermined value set in advance. This utilizes the fact that the packet length of the control packet is relatively short, and the packet length of the data traffic is relatively long, and the probability of becoming the same as the packet length of the control packet is extremely low. Control packets exist in addition to SYN packets, ACK packets, and SYN-ACK packets. However, when there is a SYN Flood attack, the tendency of determination method 1 or determination method 4 becomes strong, and therefore, an upstream short packet and a downlink packet are transmitted. It can be determined by the ratio of short packets in the direction. The control packet is 64 bytes without a VLAN (Virtual LAN) tag or the like.
図2は、第1の実施形態における防御装置1の構成を示すブロック図である。
防御装置1は、第1のネットワークインタフェース部11と、上り短パケットカウンタ部12(第1のカウンタ)と、下り短パケットカウンタ部13(第2のカウンタ)と、制御部14(検出手段)と、振り分け部15と、帯域制限部16と、統合部17と、第2のネットワークインタフェース部18と、を含んで構成される。本実施形態における防御装置1は、上り方向の短パケット数と下り方向の短パケット数を算出し、それらの比に基づいてネットワーク攻撃であるか否かを判定する。
FIG. 2 is a block diagram illustrating a configuration of the defense device 1 according to the first embodiment.
The defense device 1 includes a first
第1のネットワークインタフェース部11は、クライアント2から送信されるパケットを受信し、受信したパケットを上り短パケットカウンタ部12に出力する。また、クライアント2宛てのパケットをクライアント2へ送信する。
The first
上り短パケットカウンタ部12は、単位時間あたりに入力される短パケットの数をカウントし、カウントした値(N1)を制御部14に出力する。また、上り短パケットカウンタ部12は、入力されたパケットを振り分け部15に出力する。
The upstream short
第2のネットワークインタフェース部18は、サーバ3からクライアント2宛てのパケットを受信し、受信したパケットを下り短パケットカウンタ部13に出力する。また、第2のネットワークインタフェース部18は、統合部17から入力された上り方向のパケットをサーバ3へネットワークを介して送信する。
The second
下り短パケットカウンタ部13は、単位時間あたりに入力される短パケットの数をカウントし、カウントした値(N2)を制御部14に出力する。また、下り短パケットカウンタ部13は、入力されたパケットを第1のネットワークインタフェース部11に出力する。
The downlink short
制御部14は、上り短パケットカウンタ部12から入力されたカウンタ値N1及び下り短パケットカウンタ部13から入力されたカウンタ値N2に基づいて、ネットワーク攻撃を検出する。また、制御部14は、ネットワーク攻撃があると判定した場合、帯域制限部16を制御して上り方向の短パケットに帯域制限をかける。その詳細については後述する。
The
振り分け部15は上り短パケットカウンタ部12から入力されたパケットをSYNパケットとその他のパケットに分類する。また、振り分け部15は、SYNパケットを帯域制限部16に、その他のパケットを統合部17に出力する。帯域制限部16は、入力されたSYNパケットを統合部17へ出力する。その際、制御部14からの制御信号に基づいて、SYNパケットの通過量を制限する。
The
統合部17は、帯域制限部16から入力されたSYNパケットのトラヒックと振り分け部15から入力されたその他のパケットのトラヒックを統合し、第2のネットワークインタフェース部18に出力する。
The
図3は、本実施形態の制御部14における防御処理の流れの一例を示すシーケンス図である。
制御部14は、防御処理を開始する前に、ネットワーク攻撃検出のための閾値Xを設定する(ステップS1)。なお、閾値Xは、オペレータなどによって防御装置1に入力された値である。次に、制御部14は、カウンタ値を取得する(ステップS2)。本実施形態では、制御部14は、カウンタ値として、上り短パケットカウンタ部12からN1を、下り短パケットカウンタ部13からN2を取得する。N1はSYNパケットとACKパケットの合計数Aに対応する。N2はSYN−ACKパケット数Bに対応する。
FIG. 3 is a sequence diagram illustrating an example of the flow of defense processing in the
The
続いて、制御部14は、ネットワーク攻撃判定を行う(ステップS3)。本実施形態では、制御部14は、N2のN1に対する比(N2/N1)を算出し、算出した値を閾値Xと比較する。判定方法1の場合は、閾値Xは、0.5−αである。この場合、制御部14は、N2/N1が閾値Xより小さい場合にネットワーク攻撃であると判定する。また、判定方法4の場合は、閾値Xは0.5+βである。この場合、制御部14は、N2/N1が閾値Xより大きい場合にネットワーク攻撃であると判定する。α,βは予め決められた正の定数である。なお、判定方法は、判定方法1または判定方法4いずれを用いてもよい。あるいは、両方を用いて判定を行ってもよい。
Subsequently, the
ネットワーク攻撃であると判定した場合、制御部14は、帯域制限部16を制御してSYNパケットに帯域制限をかける(ステップS4)。このとき、制御部14は、最大パケット数を指定する。帯域制限部16は、制御部14からの制御信号に基づいて、単位時間あたり最大パケット数のSYNパケットのみを統合部17に通過させる。ここで、制御部14は、例えば、最大パケット数をN2×aとして帯域制限部16に制御信号を出力する。aは、1以上の定数である。最大パケット数はN2の値に基づいているため、単位時間毎に変化する。
If it is determined that the attack is a network attack, the
一方、ネットワーク攻撃でないと判定した場合には、制御部14は、帯域制限部16が帯域制限設定済みか否かを判定する(ステップS5)。帯域制限設定済みでない場合には、ステップS2へ移行する。一方、帯域制限設定済みである場合には、制御部14は、帯域制限部16の帯域制限を解除して(ステップS6)、ステップS2へ移行する。
On the other hand, if it is determined that the network attack has not occurred, the
このように、本実施形態によれば、防御装置1は、単位時間あたりの上り方向の短パケット数と、下り方向の短パケット数の比に基づいて、ネットワーク攻撃を検出するため、複雑な処理を行う必要がない。これにより、簡易な装置構成により、ネットワーク攻撃を検出することができる。また、防御装置1は、クライアントの存在を確認する必要がないため、一般ユーザの通信開始に遅延増をもたらすことはない。また、防御装置1は、ネットワーク攻撃が検出された場合には、単位時間あたりの上り方向のSYNパケットの数を制限することにより、サーバ3への攻撃を抑制することができる。
Thus, according to the present embodiment, the defense device 1 detects a network attack based on the ratio of the number of short packets in the upstream direction and the number of short packets in the downstream direction per unit time. There is no need to do. Thereby, a network attack can be detected with a simple device configuration. Moreover, since it is not necessary for the defense device 1 to confirm the presence of the client, there is no delay increase in the communication start of general users. Further, when a network attack is detected, the defense device 1 can suppress attacks on the
[第2の実施形態]
この発明の第2の実施形態は、判定方法1又は判定方法4の実施形態である。第1の実施形態では、単位時間あたりの上り方向の短パケット数と下り方向の短パケット数を用いてネットワーク攻撃の検出を行ったが、本実施形態では、単位時間あたりのSYNパケットとACKパケットの合計数とSYN−ACKパケット数を算出し、算出した値を用いてネットワーク攻撃の検出を行う。
[Second Embodiment]
The second embodiment of the present invention is an embodiment of determination method 1 or determination method 4. In the first embodiment, the network attack is detected by using the number of short packets in the uplink direction and the number of short packets in the downlink direction per unit time. In this embodiment, the SYN packet and the ACK packet per unit time are used. The total number and the number of SYN-ACK packets are calculated, and a network attack is detected using the calculated values.
図4は、本実施形態における防御装置5の構成を示すブロック図である。
防御装置5は、第1のネットワークインタフェース部51と、SYN/ACKカウンタ部52(第1のカウンタ)と、SYN−ACKカウンタ部53(第2のカウンタ)と、制御部54(検出手段)と、振り分け部55と、帯域制限部56と、統合部57と、第2のネットワークインタフェース部58と、を含んで構成される。
FIG. 4 is a block diagram showing a configuration of the
The
SYN/ACKカウンタ部52は、第1のネットワークインタフェース部51を介してクライアント2から受信したSYNパケットとACKパケットの単位時間あたりの合計数をカウントし、カウントした値(N51)を制御部54に出力する。また、SYN/ACKカウンタ部52は、入力されたパケットを振り分け部55に出力する。
The SYN /
SYN−ACKカウンタ部53は、第2のネットワークインタフェース部58を介してネットワークから受信したSYN−ACKパケットの単位時間あたりの数をカウントし、カウントした値(N52)を制御部54に出力する。また、SYN−ACKカウンタ部53は、入力されたパケットを第1のネットワークインタフェース部51に出力する。
The SYN-
制御部54は、SYN/ACKカウンタ部52から入力されたカウンタ値N51及びSYN−ACKカウンタ部53から入力されたカウンタ値N52に基づいて、ネットワーク攻撃を検出する。具体的には、制御部54が、N52のN51に対する比(N52/N51)を算出する。N51はSYNパケットとACKパケットの合計数Aに対応する。N52はSYN−ACKパケット数Bに対応する。そして、制御部54は、判定方法1では、N52/N51の値が「0.5−α」より小さい場合にネットワーク攻撃であると判定する。また、制御部54は、判定方法4では、N52/N51の値が「0.5+β」より大きい場合にネットワーク攻撃であると判定する。なお、判定方法は、判定方法1または判定方法4いずれを用いてもよい。あるいは、両方を用いて判定を行ってもよい。他の構成は第1の実施形態と同様なので説明を省略する。
The
このように、本実施形態によれば、単位時間あたりのSYNパケット及びACKパケットの合計数とSYN−ACKパケット数の比に基づいてネットワーク攻撃を検出している。これにより、より正確なネットワーク攻撃の検知及び抑制が可能になる。 Thus, according to the present embodiment, a network attack is detected based on the ratio of the total number of SYN packets and ACK packets per unit time and the number of SYN-ACK packets. This enables more accurate network attack detection and suppression.
[第3の実施形態]
この発明の第3の実施形態は、判定方法2又は判定方法5の実施形態である。第2の実施形態では、SYNパケットとACKパケットの区別をせずカウントしたが、本実施形態では、SYNパケットとACKパケットを別々にカウントする。
[Third Embodiment]
The third embodiment of the present invention is an embodiment of the
図5は、本実施形態における防御装置6の構成を示すブロック図である。
防御装置6は、第1のネットワークインタフェース部61と、SYN/ACK別カウンタ部62(第1のカウンタ)と、SYN−ACKカウンタ部63(第2のカウンタ)と、制御部64(検出手段)と、振り分け部65と、帯域制限部66と、統合部67と、第2のネットワークインタフェース部68と、を含んで構成される。
FIG. 5 is a block diagram showing the configuration of the
The
SYN/ACK別カウンタ部62は、第1のネットワークインタフェース部61を介してクライアント2から受信したSYNパケットとACKパケットの単位時間あたりの数をそれぞれカウントし、SYNパケットをカウントした値(N61)とACKパケットをカウントした値(N63)を制御部64に出力する。また、SYN/ACK別カウンタ部62は、入力されたパケットを振り分け部65に出力する。
The SYN / ACK-
制御部64は、SYN/ACK別カウンタ部62から入力されたカウンタ値N61、カウンタ値N63及びSYN−ACKカウンタ部63から入力されたSYN−ACKパケットの単位時間あたりのカウント数であるカウンタ値N62に基づいて、ネットワーク攻撃を検出する。具体的には、制御部64が、N62のN61に対する比(N62/N61)と、N63に対するN62の比(N63/N62)を算出する。N61はSYNパケット数Cに対応する。N62は、SYN−ACKパケット数Bに対応する。N63は、ACKパケット数Dに対応する。
The
そして、制御部64は、判定方法2では、N62/N61の値が「1−γ」より小さい場合にネットワーク攻撃であると判定する。また、制御部64は、判定方法5では、N63/N62の値が「1−γ」より小さい場合に、ネットワーク攻撃であると判定する。γは、予め決められた正の定数である。なお、判定方法は、判定方法2または判定方法5いずれを用いてもよい。あるいは、両方を用いて判定を行ってもよい。他の構成は第2の実施形態と同様なので説明を省略する。
In the
このように、本実施形態によれば、SYNパケットとACKパケットの単位時間あたりの数を別々にカウントして、その値に基づいてネットワーク攻撃の検出をしている。これにより、より正確なネットワーク攻撃の検出が可能になる。 Thus, according to the present embodiment, the number of SYN packets and ACK packets per unit time is counted separately, and a network attack is detected based on the values. This makes it possible to detect network attacks more accurately.
[第4の実施形態]
この発明の第4の実施形態は、判定方法3の実施形態である。本実施形態では、SYNパケット及びACKパケットのそれぞれの単位時間あたりの数に基づいてネットワーク攻撃の検出を行う。
[Fourth Embodiment]
The fourth embodiment of the present invention is an embodiment of the
図6は、本実施形態における防御装置7の構成を示すブロック図である。
防御装置7は、第1のネットワークインタフェース部71と、SYN/ACK別カウンタ部72(第1のカウンタ)と、制御部74(検出手段)と、振り分け部75と、帯域制限部76と、統合部77と、第2のネットワークインタフェース部78と、を含んで構成される。
FIG. 6 is a block diagram showing a configuration of the defense device 7 in the present embodiment.
The defense device 7 includes a first
制御部74は、SYN/ACK別カウンタ部72から入力されたSYNパケットの単位時間あたりの数であるカウンタ値N71及びACKパケットの単位時間あたりの数であるカウンタ値N72に基づいて、ネットワーク攻撃を検出する。具体的には、制御部74が、N72のN71に対する比(N72/N71)を算出する。N71はSYNパケット数Cに対応する。N72はACKパケット数Dに対応する。そして、制御部74は、N72/N71の値が「1−γ」未満の場合に、ネットワーク攻撃であると判定する。他の構成は第3の実施形態と同様なので説明を省略する。
Based on the counter value N71 that is the number of SYN packets per unit time input from the SYN / ACK-
このように、本実施形態によれば、SYNパケットとACKパケットの単位時間あたりの数に基づいてネットワーク攻撃の検出をしている。これにより、より簡易な構成でネットワーク攻撃の検出が可能になる。 Thus, according to this embodiment, a network attack is detected based on the number of SYN packets and ACK packets per unit time. This makes it possible to detect a network attack with a simpler configuration.
以上、図面を参照してこの発明の実施形態について詳しく説明してきたが、具体的な構成は上述のものに限られることはなく、この発明の要旨を逸脱しない範囲内において様々な設計変更等をすることが可能である。 The embodiments of the present invention have been described in detail above with reference to the drawings. However, the specific configuration is not limited to the above-described one, and various design changes and the like can be made without departing from the scope of the present invention. Is possible.
例えば、本実施形態では、防御装置1,5,6,7をクライアント2と1対1になるように設けたが、複数のクライアント2に1台の防御装置1,5,6,7を設けてもよい。その場合、防御装置1,5,6,7は、各クライアント2について、ネットワーク攻撃を検出する。また、ネットワーク攻撃が検出された場合には、ネットワーク攻撃が検出されたクライアント2からのSYNパケットにのみ帯域制限をかける。このとき、防御装置1,5,6,7には、制御部14,54,64,74以外の各部が接続されたクライアント2の数分設けられる。
For example, in the present embodiment, the
また、上述した実施形態では、防御装置1,5,6,7をユーザ端末2とネットワークの間に設置したが、サーバ3とネットワークの間に設置してもよい。このとき、防御装置1,5,6,7は、サーバ3に送信されてくる全てのパケットについて防御処理を行う。
In the above-described embodiment, the
1,5,6,7…防衛装置 2,22…クライアント 3,23…サーバ 11,51,61,71…第1のネットワークインタフェース部 12…上り短パケットカウンタ部 13…下り短パケットカウンタ部 14,54,64,74…制御部 15,55,56,66,76…振り分け部 16,56,66,76…帯域制限部 17,57,67,77…統合部 18,58,68,78…第2のネットワークインタフェース部 52…SYN/ACKカウンタ部 53,63…SYN−ACKカウンタ部 62,72…SYN/ACK別カウンタ部
DESCRIPTION OF
Claims (9)
前記特定クライアント宛に送信された制御パケットの個数を計数する第2のカウンタと、
前記第1及び第2のカウンタの各カウンタ値の比に基づいて、前記特定クライアントによるネットワーク攻撃を検出する検出手段と、
を備えたことを特徴とするネットワーク攻撃検出装置。 A first counter for counting the number of control packets transmitted from a specific client;
A second counter for counting the number of control packets transmitted to the specific client;
Detecting means for detecting a network attack by the specific client based on a ratio of the counter values of the first and second counters;
A network attack detection apparatus comprising:
前記第2のカウンタは、SYN−ACKパケットの個数を計数し、
前記検出手段は、SYNパケットとACKパケットの合計個数に対するSYN−ACKパケットの個数の比が所定の値より小さい場合にTCPに係る「SYN Flood攻撃」を検出する
ことを特徴とする請求項1に記載のネットワーク攻撃検出装置。 The first counter counts the total number of SYN packets and ACK packets,
The second counter counts the number of SYN-ACK packets,
The detection unit detects a “SYN Flood attack” related to TCP when the ratio of the number of SYN-ACK packets to the total number of SYN packets and ACK packets is smaller than a predetermined value. The described network attack detection device.
前記第2のカウンタは、SYN−ACKパケットの個数を計数し、
前記検出手段は、SYNパケットの個数に対するSYN−ACKパケットの個数の比が所定の値より小さい場合にTCPに係る「SYN Flood攻撃」を検出する
ことを特徴とする請求項1に記載のネットワーク攻撃検出装置。 The first counter counts the number of SYN packets,
The second counter counts the number of SYN-ACK packets,
2. The network attack according to claim 1, wherein the detection unit detects a “SYN Flood attack” related to TCP when a ratio of the number of SYN-ACK packets to the number of SYN packets is smaller than a predetermined value. Detection device.
前記検出手段は、SYNパケットの個数に対するACKパケットの個数の比が所定の値より小さい場合にTCPに係る「SYN Flood攻撃」を検出する
ことを特徴とする請求項1に記載のネットワーク攻撃検出装置。 The first counter counts the number of SYN packets and the number of ACK packets,
2. The network attack detection device according to claim 1, wherein the detection unit detects a “SYN Flood attack” related to TCP when a ratio of the number of ACK packets to the number of SYN packets is smaller than a predetermined value. .
前記第2のカウンタは、SYN−ACKパケットの個数を計数し、
前記検出手段は、SYNパケットとACKパケットの合計個数に対するSYN−ACKパケットの個数の比が所定の値より大きい場合にTCPに係る「SYN Flood攻撃」を検出する
ことを特徴とする請求項1に記載のネットワーク攻撃検出装置。 The first counter counts the total number of SYN packets and ACK packets,
The second counter counts the number of SYN-ACK packets,
The detection unit detects a “SYN Flood attack” related to TCP when the ratio of the number of SYN-ACK packets to the total number of SYN packets and ACK packets is larger than a predetermined value. The described network attack detection device.
前記第2のカウンタは、SYN−ACKパケットの個数を計数し、
前記検出手段は、SYN−ACKパケットの個数に対するACKパケットの個数の比が所定の値より小さい場合にTCPに係る「SYN Flood攻撃」を検出する
ことを特徴とする請求項1に記載のネットワーク攻撃検出装置。 The first counter counts the number of ACK packets;
The second counter counts the number of SYN-ACK packets,
2. The network attack according to claim 1, wherein the detection unit detects a “SYN Flood attack” related to TCP when a ratio of the number of ACK packets to the number of SYN-ACK packets is smaller than a predetermined value. Detection device.
ネットワーク攻撃が検出された特定のクライアントが送信元である制御パケットの帯域制限を行う帯域制限部と、
を備えたことを特徴とする防御装置。 The network attack detection device according to any one of claims 1 to 7,
A bandwidth limiter that limits the bandwidth of control packets originating from a specific client in which a network attack is detected;
A defensive device comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008060053A JP5009200B2 (en) | 2008-03-10 | 2008-03-10 | Network attack detection device and defense device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008060053A JP5009200B2 (en) | 2008-03-10 | 2008-03-10 | Network attack detection device and defense device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009218825A true JP2009218825A (en) | 2009-09-24 |
JP5009200B2 JP5009200B2 (en) | 2012-08-22 |
Family
ID=41190271
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008060053A Expired - Fee Related JP5009200B2 (en) | 2008-03-10 | 2008-03-10 | Network attack detection device and defense device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5009200B2 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019029798A (en) * | 2017-07-28 | 2019-02-21 | 日本電信電話株式会社 | Abnormality detection system and abnormality detection method |
JP2019097216A (en) * | 2017-06-02 | 2019-06-20 | 株式会社三菱Ufj銀行 | Communication route control system |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020103916A1 (en) * | 2000-09-07 | 2002-08-01 | Benjie Chen | Thwarting connection-based denial of service attacks |
US20030226035A1 (en) * | 2002-05-31 | 2003-12-04 | Jean-Marc Robert | Statistical methods for detecting TCP SYN flood attacks |
JP2004164107A (en) * | 2002-11-11 | 2004-06-10 | Kddi Corp | Unauthorized access monitoring system |
JP2004312064A (en) * | 2003-02-21 | 2004-11-04 | Intelligent Cosmos Research Institute | Apparatus, method , and program for detecting network abnormity |
JP2006005673A (en) * | 2004-06-17 | 2006-01-05 | Mitsubishi Electric Corp | Communication device and packet communication method |
JP2007082242A (en) * | 2006-09-28 | 2007-03-29 | Fujitsu Ltd | Communication interrupting apparatus, communication interrupting program, and communication interrupting method |
WO2007055222A1 (en) * | 2005-11-08 | 2007-05-18 | Tohoku University | Network failure detection method and network failure detection system |
-
2008
- 2008-03-10 JP JP2008060053A patent/JP5009200B2/en not_active Expired - Fee Related
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020103916A1 (en) * | 2000-09-07 | 2002-08-01 | Benjie Chen | Thwarting connection-based denial of service attacks |
US20030226035A1 (en) * | 2002-05-31 | 2003-12-04 | Jean-Marc Robert | Statistical methods for detecting TCP SYN flood attacks |
JP2004164107A (en) * | 2002-11-11 | 2004-06-10 | Kddi Corp | Unauthorized access monitoring system |
JP2004312064A (en) * | 2003-02-21 | 2004-11-04 | Intelligent Cosmos Research Institute | Apparatus, method , and program for detecting network abnormity |
JP2006005673A (en) * | 2004-06-17 | 2006-01-05 | Mitsubishi Electric Corp | Communication device and packet communication method |
WO2007055222A1 (en) * | 2005-11-08 | 2007-05-18 | Tohoku University | Network failure detection method and network failure detection system |
JP2007082242A (en) * | 2006-09-28 | 2007-03-29 | Fujitsu Ltd | Communication interrupting apparatus, communication interrupting program, and communication interrupting method |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019097216A (en) * | 2017-06-02 | 2019-06-20 | 株式会社三菱Ufj銀行 | Communication route control system |
JP2019029798A (en) * | 2017-07-28 | 2019-02-21 | 日本電信電話株式会社 | Abnormality detection system and abnormality detection method |
Also Published As
Publication number | Publication date |
---|---|
JP5009200B2 (en) | 2012-08-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10284594B2 (en) | Detecting and preventing flooding attacks in a network environment | |
US8819821B2 (en) | Proactive test-based differentiation method and system to mitigate low rate DoS attacks | |
US8879388B2 (en) | Method and system for intrusion detection and prevention based on packet type recognition in a network | |
CN109005175B (en) | Network protection method, device, server and storage medium | |
US20040236966A1 (en) | Queuing methods for mitigation of packet spoofing | |
US20120227088A1 (en) | Method for authenticating communication traffic, communication system and protective apparatus | |
US7404210B2 (en) | Method and apparatus for defending against distributed denial of service attacks on TCP servers by TCP stateless hogs | |
KR20120060655A (en) | Routing Method And Apparatus For Detecting Server Attacking And Network Using Method Thereof | |
CN112134894A (en) | Moving target defense method for DDoS attack | |
KR20190053540A (en) | System of defensing against Slow HTTP DDoS attack based on SDN and method thereof | |
Kavisankar et al. | A mitigation model for TCP SYN flooding with IP spoofing | |
CN108616488B (en) | Attack defense method and defense equipment | |
US7464398B2 (en) | Queuing methods for mitigation of packet spoofing | |
Wang et al. | Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks | |
Huang et al. | Detecting stepping-stone intruders by identifying crossover packets in SSH connections | |
JP5009200B2 (en) | Network attack detection device and defense device | |
Wang et al. | An approach for protecting the openflow switch from the saturation attack | |
Zhu et al. | Research and survey of low-rate denial of service attacks | |
CN101795277A (en) | Flow detection method and equipment in unidirectional flow detection mode | |
EP2109281A1 (en) | Method and system for server-load and bandwidth dependent mitigation of distributed denial of service attacks | |
Zhang et al. | Robustness of RED in mitigating LDoS attack | |
KR101449627B1 (en) | Method and apparatus for detecting abnormal session | |
Patel et al. | Survey: Impact of jellyfish on wireless ad-hoc network | |
JP4481780B2 (en) | Method and apparatus for protecting against SYN packet bandwidth attack on TCP server | |
JP2008252221A (en) | DoS ATTACK/DEFENCE SYSTEM, AND ATTACK/DEFENCE METHOD AND DEVICE IN DoS ATTACK DEFENCE/SYSTEM |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100716 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20100720 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20111028 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111101 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111215 Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20111215 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120207 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120327 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20120328 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120508 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120530 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150608 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |