JP2018037835A - 攻撃判定装置および攻撃判定方法 - Google Patents
攻撃判定装置および攻撃判定方法 Download PDFInfo
- Publication number
- JP2018037835A JP2018037835A JP2016169098A JP2016169098A JP2018037835A JP 2018037835 A JP2018037835 A JP 2018037835A JP 2016169098 A JP2016169098 A JP 2016169098A JP 2016169098 A JP2016169098 A JP 2016169098A JP 2018037835 A JP2018037835 A JP 2018037835A
- Authority
- JP
- Japan
- Prior art keywords
- attack
- packet
- address
- determination
- reflection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 27
- 230000006854 communication Effects 0.000 claims description 57
- 238000004891 communication Methods 0.000 claims description 57
- 230000005540 biological transmission Effects 0.000 claims description 42
- 230000008569 process Effects 0.000 claims description 11
- 230000004044 response Effects 0.000 claims description 4
- 230000007123 defense Effects 0.000 description 22
- 238000010586 diagram Methods 0.000 description 15
- 230000002265 prevention Effects 0.000 description 12
- 230000006870 function Effects 0.000 description 8
- 230000000694 effects Effects 0.000 description 4
- 230000004308 accommodation Effects 0.000 description 3
- 230000007175 bidirectional communication Effects 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Abstract
【課題】ネットワークの規模が大きくなった場合であってもリフレクション攻撃を適切に防止すること。【解決手段】攻撃判定装置10は、複数の中継装置から各中継装置が廃棄したパケットの情報を取得し、各中継装置から取得したパケットの情報を分析し、リフレクション攻撃の予兆があるかを判定する。そして、攻撃判定装置10は、リフレクション攻撃の予兆があると判定した場合には、取得したパケットの情報から攻撃対象の装置を特定し、該攻撃対象の装置に最も近い転送装置を特定し、特定された転送装置に対して、攻撃対象の装置への攻撃パケットを遮断する指示を通知する。【選択図】図4
Description
本発明は、攻撃判定装置および攻撃判定方法に関する。
近年、DNS(Domain Name System)やNTP(Network Time Protocol)、SSDP(Simple Service Discovery Protocol)などのプロトコルの特性を利用し脆弱性のあるサーバを反射サーバとして特定ホストやデータセンタを攻撃するリフレクション攻撃が増加している。
リフレクション攻撃とは、攻撃パケットにおいて送信元アドレスを詐称して攻撃ターゲットとなるIPアドレスを設定し、宛先アドレスは反射してパケットサイズを増幅させる脆弱性のあるサーバ(例えば、DNSサーバ)を設定して、複数のボットを制御し攻撃を行うというものである。
このようなリフレクション攻撃防止のためルータ等の転送装置にてuRPF(unicast Reverse Path Forwarding)による送信元IPアドレス詐称防止フィルタの適用はキャリアネットワークやISP(Internet Service Provider)で導入が進んでいる。これは転送装置において送信元IPアドレスを詐称したパケットを廃棄し、ネットワーク内部に流入させないシステムである。通常は設定誤り防止(加入者等が間違った送信元IPアドレスで通信を試みないようにすること)のためのシステムだが、これは送信元IPアドレスを詐称して攻撃を行うリフレクション攻撃の防止にもつながっている。
"「uRPF」技術についてのご説明資料"、株式会社UCOM、[online]、[平成28年8月9日検索]、 インターネット<http://www.ucom.ne.jp/enterprise/entrance/uRPF_explanation.pdf>
"オープンリゾルバ(Open Resolver)に対する注意喚起"、一般社団法人 日本ネットワークインフォメーションセンター、[online]、[平成28年8月9日検索]、 インターネット<https://www.nic.ad.jp/ja/dns/openresolver/>
Matsuzaki ‘maz’ Yoshinobu、"BCP38"、[online]、[平成28年8月9日検索]、 インターネット<http://www.janog.gr.jp/meeting/janog31.5/doc/janog31.5_dns-open-resolver-maz.pdf>
しかしながら、従来の技術では、さまざまな経路があるキャリアネットワークやISPではすべてのルートで送信元IPアドレス詐称防止フィルタを適用することが難しい場合があった。
例えば、ネットワークの規模が大きくなった場合にすべてのルータに送信元IPアドレス詐称防止フィルタを適用できない場合がある。また、複数ネットワークが複雑に接続された場合には、送信元アドレス偽装を見分ける技術を適用することが難しいため、送信元アドレス詐称を防ぐことが出来ず、リフレクション攻撃の発生を許してしまう。
上述した課題を解決し、目的を達成するために、本発明の攻撃判定装置は、複数の中継装置から各中継装置が廃棄したパケットの情報を取得する取得部と、前記取得部によって各中継装置から取得したパケットの情報を分析し、リフレクション攻撃の予兆があるかを判定する判定部と、前記判定部によってリフレクション攻撃の予兆があると判定された場合には、前記取得部によって取得されたパケットの情報から攻撃対象の装置を特定し、該攻撃対象の装置に最も近い転送装置を特定する特定部と、前記特定部によって特定された転送装置に対して、前記攻撃対象の装置への攻撃パケットを遮断する指示を通知する指示部とを有することを特徴とする。
また、本発明の攻撃判定方法は、攻撃判定装置によって実行される攻撃判定方法であって、複数の中継装置から各中継装置が廃棄したパケットの情報を取得する取得工程と、前記取得工程によって各中継装置から取得したパケットの情報を分析し、リフレクション攻撃の予兆があるかを判定する判定工程と、前記判定工程によってリフレクション攻撃の予兆があると判定された場合には、前記取得工程によって取得されたパケットの情報から攻撃対象の装置を特定し、該攻撃対象の装置に最も近い転送装置を特定する特定工程と、前記特定工程によって特定された転送装置に対して、前記攻撃対象の装置への攻撃パケットを遮断する指示を通知する指示工程とを含んだことを特徴とする。
本発明によれば、ネットワークの規模が大きくなった場合であってもリフレクション攻撃を適切に防止することができるという効果を奏する。
以下に、本願に係る攻撃判定装置および攻撃判定方法の実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態により本願に係る攻撃判定装置および攻撃判定方法が限定されるものではない。
[第一の実施の形態]
以下の実施の形態では、第一の実施の形態に係る通信システムの構成、攻撃判定装置10の構成、攻撃判定装置10の処理の流れを順に説明し、最後に第一の実施の形態による効果を説明する。
以下の実施の形態では、第一の実施の形態に係る通信システムの構成、攻撃判定装置10の構成、攻撃判定装置10の処理の流れを順に説明し、最後に第一の実施の形態による効果を説明する。
[通信システムの構成]
まず、図1を用いて、攻撃判定装置10を含む通信システムの構成を説明する。図1は、第一の実施の形態に係る通信システムの概要を示す構成図である。図1に示すように、第一の実施の形態に係る通信システムは、攻撃判定装置10、複数のエッジルータ20、GW(Gateway)ルータ30、複数のCPE(Customer Premises Equipment)40、複数のPC(Personal Computer)50、サーバ収容ルータ60、ホスティングサーバ70、キャリアNW(Network)80、他社NW90およびDC(Data Center)100を有する。
まず、図1を用いて、攻撃判定装置10を含む通信システムの構成を説明する。図1は、第一の実施の形態に係る通信システムの概要を示す構成図である。図1に示すように、第一の実施の形態に係る通信システムは、攻撃判定装置10、複数のエッジルータ20、GW(Gateway)ルータ30、複数のCPE(Customer Premises Equipment)40、複数のPC(Personal Computer)50、サーバ収容ルータ60、ホスティングサーバ70、キャリアNW(Network)80、他社NW90およびDC(Data Center)100を有する。
攻撃判定装置10は、送信元IPアドレス詐称防止フィルタで廃棄されたパケットの情報をエッジルータ20およびGWルータ30から取得する。そして、攻撃判定装置10は、取得したパケットの情報を分析し、リフレクション攻撃の予兆があるかを判定する。そして、攻撃判定装置10は、リフレクション攻撃の予兆があると判定された場合には、パケットの情報から攻撃対象の装置として、例えば、DC100のホスティングサーバ70を特定する。この場合に、攻撃判定装置10は、該攻撃対象の装置に最も近い転送装置として、例えば、サーバ収容ルータ60を特定し、サーバ収容ルータ60に対して、攻撃対象の装置への攻撃パケットを遮断する指示を通知する。
各エッジルータ20は、CPE40やPC50とキャリアNW80に接続された中継装置であって、uRPF(unicast Reverse Path Forwarding)による送信元IPアドレス詐称防止フィルタが適用された中継装置である。また、GWルータ30は、キャリアNW80と他社NW90に接続された中継装置であって、IP Spoofingによる送信元IPアドレス詐称防止フィルタが適用された中継装置である。
各エッジルータ20およびGWルータ30は、送信元IPアドレス詐称防止フィルタにより廃棄したパケットの情報として、例えば、送信元IPアドレス、送信先IPアドレス、送信元ポート、送信先ポート及び通信プロトコルを含む5tuple情報とユーザを識別するユーザ識別子の情報とを送信する。なお、送信するタイミングは、例えば、攻撃判定装置10から要求されたタイミングであってもよいし、所定の時間ごとに定期的に送信してもよいし、所定の条件を満たした場合に送信するようにしてもよい。なお、図1では、図示を省略しているが、第一の実施の形態に係る通信システムでは、送信元IPアドレス詐称防止フィルタが適用されていないルータも存在するものとする。
サーバ収容ルータ60は、攻撃対象のホスティングサーバ70の直近に設けられた中継装置であり、特定のパケットの通過を遮断する機能を有する。例えば、サーバ収容ルータ60は、攻撃判定装置10から特定のパケットを遮断する指示を受け付けると、指示に従って特定のパケットの通過を遮断する。
また、図1の例では、他社NW90からリフレクション攻撃が行われているものとする。ここで、図2を用いて、リフレクション攻撃について説明する。図2は、リフレクション攻撃について説明する図である。図2に示すように、他社NW90の端末が攻撃パケットを送信する。この攻撃パケットでは、送信元アドレス(Src IP)を詐称し攻撃ターゲットとなるIPアドレスが設定され、宛先アドレス(Dst IP)は反射してパケットサイズを増幅させる脆弱性のある反射サーバ110が設定されている。このようなリフレクション攻撃は、例えば、複数のボットを制御することで攻撃が行われる。
このようなリフレクション攻撃に対する対策としてルータにより送信元アドレスを詐称したパケットの流入を防ぐ対策がある。ここで、図3を用いて、ルータによるリフレクション攻撃に対する対策を説明する。図3は、ルータによるリフレクション攻撃に対する対策を説明する図である。図3に示すように、エッジルータ20にはuRPFが適用され、GWルータ30にはIP Spoofingが適用されている。このように、各ルータ20、30には、送信元IPアドレス詐称防止フィルタが適用され、ルーチングテーブルの情報とパケットの入力ポートの情報等を用いて送信元アドレス偽装パケットを廃棄する。これらの仕組みをユーザを収容するエッジルータ20や他社NW90との境界にあるGWルータ30に適用することで送信元アドレスを詐称したパケットの流入を防ぐ。
ただし、送信元IPアドレス詐称防止フィルタが適用されていないルータも存在するため、ルータのみで全ての送信元アドレス詐称を防ぐことができないためリフレクション攻撃を完全に防止することができず、リフレクション攻撃の発生を許してしまう。そこで、第一の実施の形態に係る通信システムでは、攻撃判定装置10が、各ルータ20、30から取得したパケットの情報を基にリフレクション攻撃の予兆を判定し、攻撃対象の直近の中継装置に攻撃パケットの遮断を指示することで、送信元IPアドレス詐称防止フィルタ等でのリフレクション攻撃を防止できなくてもターゲットとなったシステムでのサービス停止を予防することが可能となる。
[攻撃判定装置の構成]
次に、図4を用いて、攻撃判定装置10の構成を説明する。図4は、第一の実施の形態に係る攻撃判定装置の構成を示すブロック図である。図4に示すように、この攻撃判定装置10は、通信処理部11、制御部12および記憶部13を有する。
次に、図4を用いて、攻撃判定装置10の構成を説明する。図4は、第一の実施の形態に係る攻撃判定装置の構成を示すブロック図である。図4に示すように、この攻撃判定装置10は、通信処理部11、制御部12および記憶部13を有する。
通信処理部11は、接続される各ルータ20、30、60との間でやり取りする各種情報に関する通信を制御する。例えば、通信処理部11は、エッジルータ20およびGWルータ30から廃棄したパケットの情報を受信する。
また、記憶部13は、制御部12による各種処理に必要なデータおよびプログラムを格納するが、特に本発明に密接に関連するものとしては、パケット情報記憶部13aを有する。例えば、記憶部13は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置などである。
パケット情報記憶部13aは、複数のエッジルータ20およびGWルータ30が廃棄したパケットの情報を記憶する。例えば、パケット情報記憶部13aは、図5に例示するように、廃棄されたパケットの情報の5tuple情報に含まれる「送信元IPアドレス」、「送信先IPアドレス」、「送信元ポート」、「送信先ポート」及び「通信プロトコル」と、5tuple情報を送信したルータのIPアドレスである「転送装置IPアドレス」と、ユーザを識別する「ユーザ識別子」とを記憶する。
制御部12は、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行するが、特に本発明に密接に関連するものとしては、取得部12a、判定部12b、特定部12c、指示部12dおよび解除部12eを有する。ここで、制御部12は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路やASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの集積回路である。
取得部12aは、複数のエッジルータ20およびGWルータ30から各ルータ20、30が廃棄したパケットの情報を取得する。例えば、取得部12aは、パケットの情報として、各中継装置が廃棄したパケットの送信元IPアドレス、送信先IPアドレス、送信元ポート、送信先ポート及び通信プロトコルを含む5tuple情報とともに、ユーザ識別子の情報および送信元のルータのIPアドレスも取得する。そして、取得部12aは、取得した情報をパケット情報記憶部13aに格納する。なお、取得部12aは、送信元IPアドレス、送信先IPアドレス、送信元ポート、送信先ポート及び通信プロトコルの全てを取得せずに、例えば、送信元IPアドレス、送信先IPアドレス及び通信プロトコルのみを取得するようにしてもよい。
判定部12bは、取得部12aによって各ルータ20、30から取得したパケットの情報を分析し、リフレクション攻撃の予兆があるかを判定する。例えば、判定部12bは、取得部12aによって取得されたパケットの情報をパケット情報記憶部13aから読み出し、読み出されたパケット情報のうち、送信元IPアドレス、送信先IPアドレスおよび通信プロトコルが同一であって、且つ、複数の中継装置によって廃棄されたパケットの情報がある場合には、リフレクション攻撃の予兆があるものと判定する。
例えば、図5の例を用いて説明すると、判定部12bは、送信元IPアドレス「IPアドレスA」、送信先IPアドレス「IPアドレスB」および通信プロトコル「プロトコルA」が同じ送信元IPアドレス詐称パケットが異なるルータで検知されている場合には、リフレクション攻撃の予兆があると判定する。なお、送信元IPアドレス、送信先IPアドレスおよび通信プロトコルが同一のパケットが二つ以上ある場合にリフレクション攻撃の予兆があるものと判定してもよいし、ある所定数以上ある場合にリフレクション攻撃の予兆があるものと判定してもよい。
また、判定部12bは、判定の手法として、パケットの情報として、送信元IPアドレス、送信先IPアドレスおよび通信プロトコルを基にリフレクション攻撃の予兆を判定する方法に限られるものではなく、例えば、送信元IPアドレスが同一であって、且つ、複数の中継装置によって廃棄されたパケットの情報がある場合には、リフレクション攻撃の予兆があるものと判定するようにしてもよい。
特定部12cは、判定部12bによってリフレクション攻撃の予兆があると判定された場合には、取得部12aによって取得されたパケットの情報から攻撃対象の装置を特定し、該攻撃対象の装置に最も近い転送装置を特定する。
具体的には、特定部12cは、取得部12aによって取得されたパケットの情報のうち、送信先IPアドレス、送信元IPアドレスおよび通信プロトコルが同一のものが複数ある場合には、該通信プロトコルを攻撃プロトコルと特定するとともに、該送信元IPアドレスの装置を攻撃対象の装置と特定する。
例えば、特定部12cは、判定部12bから判定結果を取得し、判定部12bによってリフレクション攻撃の予兆があると判定された場合には、取得部12aによって取得されたパケットの情報から攻撃対象の装置として、ホスティングサーバ70を特定し、該攻撃対象の装置に最も近い転送装置として、サーバ収容ルータ60を特定する。なお、特定部12cは、攻撃対象に最も近い転送装置を特定する方法として、例えば、パケットの通信経路を示す経路情報から最もホスティングサーバ70に近いルータとして、サーバ収容ルータ60を特定するようにしてもよいし、ユーザの指示に基づいて特定するようにしてもよい。
指示部12dは、特定部12cによって特定された転送装置に対して、攻撃対象の装置への攻撃パケットを遮断する指示を通知する。例えば、指示部12dは、特定部12cによって特定された攻撃対象の装置のIPアドレスが送信先IPアドレスであって、且つ、攻撃プロトコルが通信プロトコルであるパケットを攻撃パケットとして遮断するように指示する。
また、指示部12dは、特定部12cによって特定された転送装置がステートフルF/W(Firewall)の機能を有する転送装置に対して、攻撃対象の装置から送信された通信および該通信の応答についてはステートフルファイアウォールの機能を経由して通信を行うことを指示する。
解除部12eは、指示部12dによって攻撃対象の装置への攻撃パケットを遮断する指示が転送装置に対して行われた後に、判定部12bによってリフレクション攻撃の予兆があると判定された際のパケットの情報と同様のパケットの情報を所定の期間に受信しなかった場合には、転送装置に対して指示を解除する。
例えば、解除部12eは、攻撃対象の装置であるホスティングサーバ70への攻撃パケットを遮断する指示を通知した後、リフレクション攻撃の予兆があると判定された際のパケットの情報と送信元IPアドレス、送信先IPアドレスおよび通信プロトコルが同じパケットの情報を1時間経過しても受信しなかった場合には、ホスティングサーバ70に対して指示を解除する。なお、パケットの情報を1時間以内に受信した場合には、タイマを更新するとともに、サーバ収容ルータ60に対して指示の継続を指示するようにしてもよい。
ここで、図6を用いて、攻撃判定装置10による防御処理の一例を説明する。図6は、攻撃判定装置による防御処理を説明する図である。図6に例示するように、攻撃判定装置10は、送信元IPアドレス詐称防止フィルタで廃棄されたパケットの情報をエッジルータ20およびGWルータ30から定期的に取得する(図6の(1)参照)。
そして、攻撃判定装置10は、取得したパケットの情報を分析し、複数のルータまたは異なるユーザから同様の偽装がなされたパケット情報を受信した場合には、リフレクション攻撃の予兆があると判定する(図6の(2)参照)。例えば、攻撃判定装置10は、送信元IPアドレス、送信先IPアドレスおよび通信プロトコルが同一であって、且つ、複数の中継装置によって廃棄されたパケットの情報がある場合には、リフレクション攻撃の予兆があるものと判定する。
続いて、攻撃判定装置10は、リフレクション攻撃の予兆があると判定した場合には、取得したパケットの情報から攻撃対象のホスティングサーバ70を特定し、該ホスティングサーバ70に最も近いサーバ収容ルータ60を特定する。そして、攻撃判定装置10は、サーバ収容ルータ60に対して攻撃対象のホスティングサーバ70のIPアドレスと攻撃プロトコルを通知し、該IPアドレス宛のパケットであって、該攻撃プロトコルが通信プロトコルであるパケットを攻撃パケットとして遮断するように指示する(図6の(3)参照)。
また、攻撃判定装置10の指示部12dは、ターゲットとなるサーバからの攻撃対象プロトコルの通信をステートフルF/Wを経由して通信するように変更してもよい。これにより、ホスティングサーバ70以外からの攻撃対象プロトコル通信は遮断し、ホスティングサーバ70側からの通信及びその応答はステートフルF/Wを経由して通信を行う。
ここで、図7を用いて、攻撃判定装置10により攻撃パケットの遮断を指示された防御ポイントの転送装置であるサーバ収容ルータ60の動作の概要を説明する。図7は、防御ポイントの転送装置の動作の概要を示す図である。サーバ収容ルータ60は、攻撃プロトコル以外の通信はすべて双方向通信可能とする(図7の(A)参照)。また、サーバ収容ルータ60は、攻撃対象のホスティングサーバ70宛ての通信であって、且つ、攻撃プロトコルのパケットについては廃棄する(図7の(B)参照)。また、サーバ収容ルータ60は、ホスティングサーバ70から送信される攻撃プロトコルのパケットの通信についてはステートフルF/W機能を通して行き帰りの通信を管理することで双方向通信を実現する(図7の(C)参照)。
[攻撃判定装置の処理の一例]
次に、図8を用いて、攻撃判定装置10における防御処理の流れを説明する。図8は、第一の実施の形態に係る攻撃判定装置における防御処理の流れを示すフローチャートである。
次に、図8を用いて、攻撃判定装置10における防御処理の流れを説明する。図8は、第一の実施の形態に係る攻撃判定装置における防御処理の流れを示すフローチャートである。
図8に示すように、攻撃判定装置10の取得部12aは、各ルータ20、30から廃棄したパケットの情報を取得する(ステップS101)。そして、判定部12bは、取得したパケットの情報を分析し(ステップS102)、リフレクション攻撃があるか判定する(ステップS103)。具体的には、判定部12bは、取得されたパケットの情報のうち、送信先IPアドレス、送信元IPアドレスおよび通信プロトコルが同一のものが複数ある場合には、該通信プロトコルを攻撃プロトコルと特定する。
この結果、リフレクション攻撃がないと判定された場合には(ステップS103否定)、ステップS101の処理に戻る。また、特定部12cは、リフレクション攻撃があると判定された場合には(ステップS103肯定)、取得したパケットの情報の送信元IPアドレスからターゲットとなるサーバを特定する(ステップS104)。
そして、特定部12cは、直近の防御ポイントとなるルータを特定する(ステップS105)。続いて、指示部12dは、ターゲットとなるサーバのIPアドレスと攻撃プロトコルを防御ポイントとなるルータに通知し、攻撃パケットの遮断を指示する(ステップS106)。
その後、解除部12eは、1時間経過すると(ステップS107肯定)、同様のリフレクション攻撃があったか、つまり、各ルータ20、30から同様のリフレクション攻撃による攻撃パケットの情報を1時間以内に受信したかを判定する(ステップS108)。この結果、解除部12eは、リフレクション攻撃があったと判定した場合には(ステップS108肯定)、攻撃パケットの遮断の継続を防御ポイントとなるルータに指示し(ステップS109)、ステップS107の処理に戻る。また、解除部12eは、リフレクション攻撃がなかったと判定した場合には(ステップS108否定)、攻撃パケットの遮断の解除を防御ポイントとなるルータに指示し(ステップS110)、処理を終了する。
[第一の実施の形態の効果]
このように、第一の実施の形態に係る攻撃判定装置10は、複数の中継装置から各中継装置が廃棄したパケットの情報を取得し、各中継装置から取得したパケットの情報を分析し、リフレクション攻撃の予兆があるかを判定する。そして、攻撃判定装置10は、リフレクション攻撃の予兆があると判定した場合には、取得したパケットの情報から攻撃対象の装置を特定し、該攻撃対象の装置に最も近い転送装置を特定し、特定された転送装置に対して、攻撃対象の装置への攻撃パケットを遮断する指示を通知する。このため、第一の実施の形態に係る攻撃判定装置10では、ネットワークの規模が大きくなった場合であってもリフレクション攻撃を適切に防止することが可能である。また、第一の実施の形態に係る攻撃判定装置10では、送信元IPアドレス詐称防止フィルタ等でのリフレクション攻撃を防止できなくてもターゲットとなったシステムでのサービス停止を予防することが可能である。
このように、第一の実施の形態に係る攻撃判定装置10は、複数の中継装置から各中継装置が廃棄したパケットの情報を取得し、各中継装置から取得したパケットの情報を分析し、リフレクション攻撃の予兆があるかを判定する。そして、攻撃判定装置10は、リフレクション攻撃の予兆があると判定した場合には、取得したパケットの情報から攻撃対象の装置を特定し、該攻撃対象の装置に最も近い転送装置を特定し、特定された転送装置に対して、攻撃対象の装置への攻撃パケットを遮断する指示を通知する。このため、第一の実施の形態に係る攻撃判定装置10では、ネットワークの規模が大きくなった場合であってもリフレクション攻撃を適切に防止することが可能である。また、第一の実施の形態に係る攻撃判定装置10では、送信元IPアドレス詐称防止フィルタ等でのリフレクション攻撃を防止できなくてもターゲットとなったシステムでのサービス停止を予防することが可能である。
また、第一の実施の形態に係る攻撃判定装置10では、攻撃対象の装置への攻撃パケットを遮断する指示が転送装置に対して行われた後に、リフレクション攻撃の予兆があると判定された際のパケットの情報と同様のパケットの情報を所定の期間に受信しなかった場合には、転送装置に対して指示を解除する。このため、リフレクション攻撃がおさまった後は、指示を解除して転送装置のリソースを効率化することができる。
また、第一の実施の形態に係る攻撃判定装置10では、パケットの情報として、各中継装置が廃棄したパケットの送信元IPアドレス、送信先IPアドレス、送信元ポート、送信先ポート及び通信プロトコルを含む5tuple情報を取得し、取得されたパケットの情報のうち、送信元IPアドレス、送信先IPアドレスおよび通信プロトコルが同一であって、且つ、複数の中継装置によって廃棄されたパケットの情報がある場合には、リフレクション攻撃の予兆があるものと判定する。これにより、攻撃判定装置10上で設定の誤りによる廃棄とリフレクション攻撃によるIP詐称を区別し、精度よくリフレクション攻撃の予兆を判定することができる。
また、第一の実施の形態に係る攻撃判定装置10では、取得されたパケットの情報のうち、送信先IPアドレス、送信元IPアドレスおよび通信プロトコルが同一のものが複数ある場合には、該通信プロトコルを攻撃プロトコルと特定するとともに、該送信元IPアドレスの装置を攻撃対象の装置と特定し、特定された攻撃対象の装置のIPアドレスが送信先IPアドレスであって、且つ、攻撃プロトコルが通信プロトコルであるパケットを攻撃パケットとして遮断するように指示する。これにより、適切に攻撃パケットを遮断することができる。
また、第一の実施の形態に係る攻撃判定装置10では、ステートフルファイアウォールの機能を有する転送装置に対して、攻撃対象の装置から送信された通信および該通信の応答についてはステートフルファイアウォールの機能を経由して通信を行うことを指示する。このため、転送装置から送信される攻撃プロトコルのパケットの通信についてはステートフルファイアウォールの機能を通して行き帰りの通信を管理することで双方向通信を実現することができる。
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。例えば、取得部12aと判定部12bとを統合してもよい。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。例えば、取得部12aと判定部12bとを統合してもよい。
また、本実施の形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
また、上記実施形態において説明した攻撃判定装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。例えば、実施形態に係る攻撃判定装置10が実行する処理をコンピュータが実行可能な言語で記述した防御プログラムを作成することもできる。この場合、コンピュータが防御プログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかる防御プログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録された防御プログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。
また、上記実施形態において説明した攻撃判定装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。例えば、実施形態に係る攻撃判定装置10が実行する処理をコンピュータが実行可能な言語で記述した防御プログラムを作成することもできる。この場合、コンピュータが防御プログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかる防御プログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録された防御プログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。
図9は、防御プログラムを実行するコンピュータ1000を示す図である。図9に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有し、これらの各部はバス1080によって接続される。
メモリ1010は、図9に例示するように、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、図9に例示するように、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、図9に例示するように、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、図9に例示するように、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、図9に例示するように、例えばディスプレイ1130に接続される。
ここで、図9に例示するように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、上記の防御プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1090に記憶される。
また、上記実施形態で説明した各種データは、プログラムデータとして、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出し、各種処理手順を実行する。
なお、防御プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してCPU1020によって読み出されてもよい。あるいは、防御プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10 攻撃判定装置
11 通信処理部
12 制御部
12a 取得部
12b 判定部
12c 特定部
12d 指示部
12e 解除部
13 記憶部
13a パケット情報記憶部
20 エッジルータ
30 GWルータ
40 CPE
50 PC
60 サーバ収容ルータ
70 ホスティングサーバ
80 キャリアNW
90 他社NW
100 DC
110 反射サーバ
11 通信処理部
12 制御部
12a 取得部
12b 判定部
12c 特定部
12d 指示部
12e 解除部
13 記憶部
13a パケット情報記憶部
20 エッジルータ
30 GWルータ
40 CPE
50 PC
60 サーバ収容ルータ
70 ホスティングサーバ
80 キャリアNW
90 他社NW
100 DC
110 反射サーバ
Claims (6)
- 複数の中継装置から各中継装置が廃棄したパケットの情報を取得する取得部と、
前記取得部によって各中継装置から取得したパケットの情報を分析し、リフレクション攻撃の予兆があるかを判定する判定部と、
前記判定部によってリフレクション攻撃の予兆があると判定された場合には、前記取得部によって取得されたパケットの情報から攻撃対象の装置を特定し、該攻撃対象の装置に最も近い転送装置を特定する特定部と、
前記特定部によって特定された転送装置に対して、前記攻撃対象の装置への攻撃パケットを遮断する指示を通知する指示部と
を有することを特徴とする攻撃判定装置。 - 前記指示部によって前記攻撃対象の装置への攻撃パケットを遮断する指示が前記転送装置に対して行われた後に、前記判定部によってリフレクション攻撃の予兆があると判定された際のパケットの情報と同様のパケットの情報を所定の期間に受信しなかった場合には、前記転送装置に対して前記指示を解除する解除部をさらに有することを特徴とする請求項1に記載の攻撃判定装置。
- 前記取得部は、前記パケットの情報として、各中継装置が廃棄したパケットの送信元IPアドレス、送信先IPアドレス、送信元ポート、送信先ポート及び通信プロトコルを含む5tuple情報とユーザを識別するユーザ識別子の情報とを取得し、
前記判定部は、前記取得部によって取得されたパケットの情報のうち、前記送信元IPアドレス、前記送信先IPアドレスおよび前記通信プロトコルが同一であって、且つ、複数の中継装置によって廃棄されたパケットの情報がある場合には、前記リフレクション攻撃の予兆があるものと判定することを特徴とする請求項1に記載の攻撃判定装置。 - 前記特定部は、前記取得部によって取得されたパケットの情報のうち、前記送信先IPアドレス、前記送信元IPアドレスおよび前記通信プロトコルが同一のものが複数ある場合には、該通信プロトコルを攻撃プロトコルと特定するとともに、該送信元IPアドレスの装置を前記攻撃対象の装置と特定し、
前記指示部は、前記特定部によって特定された攻撃対象の装置のIPアドレスが送信先IPアドレスであって、且つ、前記攻撃プロトコルが通信プロトコルであるパケットを前記攻撃パケットとして遮断するように指示することを特徴とする請求項3に記載の攻撃判定装置。 - 前記指示部は、ステートフルファイアウォールの機能を有する転送装置に対して、前記攻撃対象の装置から送信された通信および該通信の応答については前記ステートフルファイアウォールの機能を経由して通信を行うことを指示することを特徴とする請求項1に記載の攻撃判定装置。
- 攻撃判定装置によって実行される攻撃判定方法であって、
複数の中継装置から各中継装置が廃棄したパケットの情報を取得する取得工程と、
前記取得工程によって各中継装置から取得したパケットの情報を分析し、リフレクション攻撃の予兆があるかを判定する判定工程と、
前記判定工程によってリフレクション攻撃の予兆があると判定された場合には、前記取得工程によって取得されたパケットの情報から攻撃対象の装置を特定し、該攻撃対象の装置に最も近い転送装置を特定する特定工程と、
前記特定工程によって特定された転送装置に対して、前記攻撃対象の装置への攻撃パケットを遮断する指示を通知する指示工程と
を含んだことを特徴とする攻撃判定方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016169098A JP6542726B2 (ja) | 2016-08-31 | 2016-08-31 | 攻撃判定装置および攻撃判定方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016169098A JP6542726B2 (ja) | 2016-08-31 | 2016-08-31 | 攻撃判定装置および攻撃判定方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018037835A true JP2018037835A (ja) | 2018-03-08 |
| JP6542726B2 JP6542726B2 (ja) | 2019-07-10 |
Family
ID=61567879
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016169098A Active JP6542726B2 (ja) | 2016-08-31 | 2016-08-31 | 攻撃判定装置および攻撃判定方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6542726B2 (ja) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005005994A (ja) * | 2003-06-11 | 2005-01-06 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク攻撃防止装置、ネットワーク攻撃防止方法、ネットワーク攻撃防止プログラム及びそのプログラムを記録した記録媒体 |
| US20050111367A1 (en) * | 2003-11-26 | 2005-05-26 | Hung-Hsiang Jonathan Chao | Distributed architecture for statistical overload control against distributed denial of service attacks |
| WO2011081020A1 (ja) * | 2010-01-04 | 2011-07-07 | 日本電気株式会社 | ネットワークシステム、コントローラ、ネットワーク制御方法 |
| JP2014236461A (ja) * | 2013-06-05 | 2014-12-15 | 日本電信電話株式会社 | 遮断システム、遮断サーバ、遮断方法、およびプログラム |
-
2016
- 2016-08-31 JP JP2016169098A patent/JP6542726B2/ja active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005005994A (ja) * | 2003-06-11 | 2005-01-06 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク攻撃防止装置、ネットワーク攻撃防止方法、ネットワーク攻撃防止プログラム及びそのプログラムを記録した記録媒体 |
| US20050111367A1 (en) * | 2003-11-26 | 2005-05-26 | Hung-Hsiang Jonathan Chao | Distributed architecture for statistical overload control against distributed denial of service attacks |
| WO2011081020A1 (ja) * | 2010-01-04 | 2011-07-07 | 日本電気株式会社 | ネットワークシステム、コントローラ、ネットワーク制御方法 |
| JP2014236461A (ja) * | 2013-06-05 | 2014-12-15 | 日本電信電話株式会社 | 遮断システム、遮断サーバ、遮断方法、およびプログラム |
Non-Patent Citations (3)
| Title |
|---|
| 山本 篤範 ATSUNORI YAMAMOTO: "送受信パケットの照合によるDRDoS攻撃の検知 Detecting DRDoS Attacks with Bidirectional Packet Co", 電子情報通信学会技術研究報告 VOL.104 NO.275 IEICE TECHNICAL REPORT, vol. 第104巻, JPN6019020583, 27 August 2004 (2004-08-27), JP, pages 7 - 12, ISSN: 0004049546 * |
| 工藤 伊知郎 ICHIRO KUDO: "送信元詐称防止フィルタ情報によるDDOS攻撃防御手段の提案", 電子情報通信学会2016年通信ソサイエティ大会講演論文集2 PROCEEDINGS OF THE 2016 IEICE COMMUNICAT, JPN6019020584, 6 September 2016 (2016-09-06), pages 86, ISSN: 0004049547 * |
| 首藤 裕一 YUICHI SUDO: "動的パケットフィルタリングによる反射型DoS攻撃の遮断手法 Blocking off Reflective DoS Attacks by D", 電子情報通信学会技術研究報告 VOL.113 NO.473 IEICE TECHNICAL REPORT, vol. 第113巻, JPN6019020582, 27 February 2014 (2014-02-27), JP, pages 223 - 228, XP009502968, ISSN: 0004049545 * |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6542726B2 (ja) | 2019-07-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11811731B2 (en) | Packet classification for network routing | |
| US10951495B2 (en) | Application signature generation and distribution | |
| US9553845B1 (en) | Methods for validating and testing firewalls and devices thereof | |
| US11736507B2 (en) | Techniques for analyzing network vulnerabilities | |
| EP3202109B1 (en) | Inline service switch | |
| US9654395B2 (en) | SDN-based service chaining system | |
| WO2018023692A1 (en) | Security-on-demand architecture | |
| US9350703B2 (en) | Enforcement of network-wide context aware policies | |
| EP2175603A1 (en) | Dynamic access control policy with port restrictions for a network security appliance | |
| US20150381660A1 (en) | Dynamically Generating a Packet Inspection Policy for a Policy Enforcement Point in a Centralized Management Environment | |
| CN108353068B (zh) | Sdn控制器辅助的入侵防御系统 | |
| US20160255012A1 (en) | Method for mitigation of unauthorized data transfer over domain name service (dns) | |
| François et al. | Network security through software defined networking: a survey | |
| US11329959B2 (en) | Virtual routing and forwarding (VRF)-aware socket | |
| WO2021083324A1 (zh) | 一种信息上报方法、数据处理方法及装置 | |
| US20230208874A1 (en) | Systems and methods for suppressing denial of service attacks | |
| Gonçalves et al. | IPS architecture for IoT networks overlapped in SDN | |
| US11546235B2 (en) | Action based on advertisement indicator in network packet | |
| US20220141118A1 (en) | Methods and system for securing a sdn controller from denial of service attack | |
| JP6542726B2 (ja) | 攻撃判定装置および攻撃判定方法 | |
| TWM504990U (zh) | 網路防護系統 | |
| US20240121187A1 (en) | Deploying ipv6 routing | |
| Ramos et al. | A Proposal for IP Spoofing Mitigation at Origin in Homenet Using Software-Defined Networking | |
| Wu | OpenFlow-enabled dynamic DMZ for local networks | |
| Alshehhi | Global DDoS Mitigation Using SDN Technology |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180831 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190529 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190611 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190613 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6542726 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |