JP2018037835A - 攻撃判定装置および攻撃判定方法 - Google Patents
攻撃判定装置および攻撃判定方法 Download PDFInfo
- Publication number
- JP2018037835A JP2018037835A JP2016169098A JP2016169098A JP2018037835A JP 2018037835 A JP2018037835 A JP 2018037835A JP 2016169098 A JP2016169098 A JP 2016169098A JP 2016169098 A JP2016169098 A JP 2016169098A JP 2018037835 A JP2018037835 A JP 2018037835A
- Authority
- JP
- Japan
- Prior art keywords
- attack
- packet
- address
- determination
- reflection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 27
- 230000006854 communication Effects 0.000 claims description 57
- 238000004891 communication Methods 0.000 claims description 57
- 230000005540 biological transmission Effects 0.000 claims description 42
- 230000008569 process Effects 0.000 claims description 11
- 230000004044 response Effects 0.000 claims description 4
- 230000007123 defense Effects 0.000 description 22
- 238000010586 diagram Methods 0.000 description 15
- 230000002265 prevention Effects 0.000 description 12
- 230000006870 function Effects 0.000 description 8
- 230000000694 effects Effects 0.000 description 4
- 230000004308 accommodation Effects 0.000 description 3
- 230000007175 bidirectional communication Effects 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Abstract
Description
以下の実施の形態では、第一の実施の形態に係る通信システムの構成、攻撃判定装置10の構成、攻撃判定装置10の処理の流れを順に説明し、最後に第一の実施の形態による効果を説明する。
まず、図1を用いて、攻撃判定装置10を含む通信システムの構成を説明する。図1は、第一の実施の形態に係る通信システムの概要を示す構成図である。図1に示すように、第一の実施の形態に係る通信システムは、攻撃判定装置10、複数のエッジルータ20、GW(Gateway)ルータ30、複数のCPE(Customer Premises Equipment)40、複数のPC(Personal Computer)50、サーバ収容ルータ60、ホスティングサーバ70、キャリアNW(Network)80、他社NW90およびDC(Data Center)100を有する。
次に、図4を用いて、攻撃判定装置10の構成を説明する。図4は、第一の実施の形態に係る攻撃判定装置の構成を示すブロック図である。図4に示すように、この攻撃判定装置10は、通信処理部11、制御部12および記憶部13を有する。
次に、図8を用いて、攻撃判定装置10における防御処理の流れを説明する。図8は、第一の実施の形態に係る攻撃判定装置における防御処理の流れを示すフローチャートである。
このように、第一の実施の形態に係る攻撃判定装置10は、複数の中継装置から各中継装置が廃棄したパケットの情報を取得し、各中継装置から取得したパケットの情報を分析し、リフレクション攻撃の予兆があるかを判定する。そして、攻撃判定装置10は、リフレクション攻撃の予兆があると判定した場合には、取得したパケットの情報から攻撃対象の装置を特定し、該攻撃対象の装置に最も近い転送装置を特定し、特定された転送装置に対して、攻撃対象の装置への攻撃パケットを遮断する指示を通知する。このため、第一の実施の形態に係る攻撃判定装置10では、ネットワークの規模が大きくなった場合であってもリフレクション攻撃を適切に防止することが可能である。また、第一の実施の形態に係る攻撃判定装置10では、送信元IPアドレス詐称防止フィルタ等でのリフレクション攻撃を防止できなくてもターゲットとなったシステムでのサービス停止を予防することが可能である。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。例えば、取得部12aと判定部12bとを統合してもよい。
また、上記実施形態において説明した攻撃判定装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。例えば、実施形態に係る攻撃判定装置10が実行する処理をコンピュータが実行可能な言語で記述した防御プログラムを作成することもできる。この場合、コンピュータが防御プログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかる防御プログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録された防御プログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。
11 通信処理部
12 制御部
12a 取得部
12b 判定部
12c 特定部
12d 指示部
12e 解除部
13 記憶部
13a パケット情報記憶部
20 エッジルータ
30 GWルータ
40 CPE
50 PC
60 サーバ収容ルータ
70 ホスティングサーバ
80 キャリアNW
90 他社NW
100 DC
110 反射サーバ
Claims (6)
- 複数の中継装置から各中継装置が廃棄したパケットの情報を取得する取得部と、
前記取得部によって各中継装置から取得したパケットの情報を分析し、リフレクション攻撃の予兆があるかを判定する判定部と、
前記判定部によってリフレクション攻撃の予兆があると判定された場合には、前記取得部によって取得されたパケットの情報から攻撃対象の装置を特定し、該攻撃対象の装置に最も近い転送装置を特定する特定部と、
前記特定部によって特定された転送装置に対して、前記攻撃対象の装置への攻撃パケットを遮断する指示を通知する指示部と
を有することを特徴とする攻撃判定装置。 - 前記指示部によって前記攻撃対象の装置への攻撃パケットを遮断する指示が前記転送装置に対して行われた後に、前記判定部によってリフレクション攻撃の予兆があると判定された際のパケットの情報と同様のパケットの情報を所定の期間に受信しなかった場合には、前記転送装置に対して前記指示を解除する解除部をさらに有することを特徴とする請求項1に記載の攻撃判定装置。
- 前記取得部は、前記パケットの情報として、各中継装置が廃棄したパケットの送信元IPアドレス、送信先IPアドレス、送信元ポート、送信先ポート及び通信プロトコルを含む5tuple情報とユーザを識別するユーザ識別子の情報とを取得し、
前記判定部は、前記取得部によって取得されたパケットの情報のうち、前記送信元IPアドレス、前記送信先IPアドレスおよび前記通信プロトコルが同一であって、且つ、複数の中継装置によって廃棄されたパケットの情報がある場合には、前記リフレクション攻撃の予兆があるものと判定することを特徴とする請求項1に記載の攻撃判定装置。 - 前記特定部は、前記取得部によって取得されたパケットの情報のうち、前記送信先IPアドレス、前記送信元IPアドレスおよび前記通信プロトコルが同一のものが複数ある場合には、該通信プロトコルを攻撃プロトコルと特定するとともに、該送信元IPアドレスの装置を前記攻撃対象の装置と特定し、
前記指示部は、前記特定部によって特定された攻撃対象の装置のIPアドレスが送信先IPアドレスであって、且つ、前記攻撃プロトコルが通信プロトコルであるパケットを前記攻撃パケットとして遮断するように指示することを特徴とする請求項3に記載の攻撃判定装置。 - 前記指示部は、ステートフルファイアウォールの機能を有する転送装置に対して、前記攻撃対象の装置から送信された通信および該通信の応答については前記ステートフルファイアウォールの機能を経由して通信を行うことを指示することを特徴とする請求項1に記載の攻撃判定装置。
- 攻撃判定装置によって実行される攻撃判定方法であって、
複数の中継装置から各中継装置が廃棄したパケットの情報を取得する取得工程と、
前記取得工程によって各中継装置から取得したパケットの情報を分析し、リフレクション攻撃の予兆があるかを判定する判定工程と、
前記判定工程によってリフレクション攻撃の予兆があると判定された場合には、前記取得工程によって取得されたパケットの情報から攻撃対象の装置を特定し、該攻撃対象の装置に最も近い転送装置を特定する特定工程と、
前記特定工程によって特定された転送装置に対して、前記攻撃対象の装置への攻撃パケットを遮断する指示を通知する指示工程と
を含んだことを特徴とする攻撃判定方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016169098A JP6542726B2 (ja) | 2016-08-31 | 2016-08-31 | 攻撃判定装置および攻撃判定方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016169098A JP6542726B2 (ja) | 2016-08-31 | 2016-08-31 | 攻撃判定装置および攻撃判定方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018037835A true JP2018037835A (ja) | 2018-03-08 |
JP6542726B2 JP6542726B2 (ja) | 2019-07-10 |
Family
ID=61567879
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016169098A Active JP6542726B2 (ja) | 2016-08-31 | 2016-08-31 | 攻撃判定装置および攻撃判定方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6542726B2 (ja) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005005994A (ja) * | 2003-06-11 | 2005-01-06 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク攻撃防止装置、ネットワーク攻撃防止方法、ネットワーク攻撃防止プログラム及びそのプログラムを記録した記録媒体 |
US20050111367A1 (en) * | 2003-11-26 | 2005-05-26 | Hung-Hsiang Jonathan Chao | Distributed architecture for statistical overload control against distributed denial of service attacks |
WO2011081020A1 (ja) * | 2010-01-04 | 2011-07-07 | 日本電気株式会社 | ネットワークシステム、コントローラ、ネットワーク制御方法 |
JP2014236461A (ja) * | 2013-06-05 | 2014-12-15 | 日本電信電話株式会社 | 遮断システム、遮断サーバ、遮断方法、およびプログラム |
-
2016
- 2016-08-31 JP JP2016169098A patent/JP6542726B2/ja active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005005994A (ja) * | 2003-06-11 | 2005-01-06 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク攻撃防止装置、ネットワーク攻撃防止方法、ネットワーク攻撃防止プログラム及びそのプログラムを記録した記録媒体 |
US20050111367A1 (en) * | 2003-11-26 | 2005-05-26 | Hung-Hsiang Jonathan Chao | Distributed architecture for statistical overload control against distributed denial of service attacks |
WO2011081020A1 (ja) * | 2010-01-04 | 2011-07-07 | 日本電気株式会社 | ネットワークシステム、コントローラ、ネットワーク制御方法 |
JP2014236461A (ja) * | 2013-06-05 | 2014-12-15 | 日本電信電話株式会社 | 遮断システム、遮断サーバ、遮断方法、およびプログラム |
Non-Patent Citations (3)
Title |
---|
山本 篤範 ATSUNORI YAMAMOTO: "送受信パケットの照合によるDRDoS攻撃の検知 Detecting DRDoS Attacks with Bidirectional Packet Co", 電子情報通信学会技術研究報告 VOL.104 NO.275 IEICE TECHNICAL REPORT, vol. 第104巻, JPN6019020583, 27 August 2004 (2004-08-27), JP, pages 7 - 12, ISSN: 0004049546 * |
工藤 伊知郎 ICHIRO KUDO: "送信元詐称防止フィルタ情報によるDDOS攻撃防御手段の提案", 電子情報通信学会2016年通信ソサイエティ大会講演論文集2 PROCEEDINGS OF THE 2016 IEICE COMMUNICAT, JPN6019020584, 6 September 2016 (2016-09-06), pages 86, ISSN: 0004049547 * |
首藤 裕一 YUICHI SUDO: "動的パケットフィルタリングによる反射型DoS攻撃の遮断手法 Blocking off Reflective DoS Attacks by D", 電子情報通信学会技術研究報告 VOL.113 NO.473 IEICE TECHNICAL REPORT, vol. 第113巻, JPN6019020582, 27 February 2014 (2014-02-27), JP, pages 223 - 228, XP009502968, ISSN: 0004049545 * |
Also Published As
Publication number | Publication date |
---|---|
JP6542726B2 (ja) | 2019-07-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11811731B2 (en) | Packet classification for network routing | |
US10951495B2 (en) | Application signature generation and distribution | |
US9553845B1 (en) | Methods for validating and testing firewalls and devices thereof | |
US11736507B2 (en) | Techniques for analyzing network vulnerabilities | |
EP3202109B1 (en) | Inline service switch | |
US9654395B2 (en) | SDN-based service chaining system | |
WO2018023692A1 (en) | Security-on-demand architecture | |
US9350703B2 (en) | Enforcement of network-wide context aware policies | |
EP2175603A1 (en) | Dynamic access control policy with port restrictions for a network security appliance | |
US20150381660A1 (en) | Dynamically Generating a Packet Inspection Policy for a Policy Enforcement Point in a Centralized Management Environment | |
CN108353068B (zh) | Sdn控制器辅助的入侵防御系统 | |
US20160255012A1 (en) | Method for mitigation of unauthorized data transfer over domain name service (dns) | |
François et al. | Network security through software defined networking: a survey | |
US11329959B2 (en) | Virtual routing and forwarding (VRF)-aware socket | |
WO2021083324A1 (zh) | 一种信息上报方法、数据处理方法及装置 | |
US20230208874A1 (en) | Systems and methods for suppressing denial of service attacks | |
Gonçalves et al. | IPS architecture for IoT networks overlapped in SDN | |
US11546235B2 (en) | Action based on advertisement indicator in network packet | |
US20220141118A1 (en) | Methods and system for securing a sdn controller from denial of service attack | |
JP6542726B2 (ja) | 攻撃判定装置および攻撃判定方法 | |
TWM504990U (zh) | 網路防護系統 | |
US20240121187A1 (en) | Deploying ipv6 routing | |
Ramos et al. | A Proposal for IP Spoofing Mitigation at Origin in Homenet Using Software-Defined Networking | |
Wu | OpenFlow-enabled dynamic DMZ for local networks | |
Alshehhi | Global DDoS Mitigation Using SDN Technology |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180831 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190529 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190611 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190613 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6542726 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |