JP3560553B2 - サーバへのフラッド攻撃を防止する方法及び装置 - Google Patents
サーバへのフラッド攻撃を防止する方法及び装置 Download PDFInfo
- Publication number
- JP3560553B2 JP3560553B2 JP2001026784A JP2001026784A JP3560553B2 JP 3560553 B2 JP3560553 B2 JP 3560553B2 JP 2001026784 A JP2001026784 A JP 2001026784A JP 2001026784 A JP2001026784 A JP 2001026784A JP 3560553 B2 JP3560553 B2 JP 3560553B2
- Authority
- JP
- Japan
- Prior art keywords
- port
- server
- connections
- host
- connection request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/663—Transport layer addresses, e.g. aspects of transmission control protocol [TCP] or user datagram protocol [UDP] ports
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
【発明の属する技術分野】
本発明は、一般に、ネットワークの分野に関し、特にネットワーク・トラフィックをサーバに溢れさせることでサーバを使用不能にしようとする悪意ある攻撃の防止に関する。
【0002】
【従来の技術】
最近、インターネット上のサーバを標的にしてサーバを使用不能にするフラッド攻撃が増加している。フラッド攻撃はサーバを過負荷にし、よって使用不能にすることを目的に、比較的短い時間にサーバに多数のリクエストを送ることをいう。悪意あるユーザからのパケットの洪水により、構成ミスのあるシステムからのパケットの洪水の場合と同様にサーバが過負荷になる。最終的な結果は同じである。つまりサーバはリクエスト処理が間に合わなくなる。これにより正当なリクエストが適時に処理されなくなり、サーバが使用できなくなったり、クラッシュしたりすることもある。最近は、よく知られたWebでもフラッド攻撃が発生したとのニュースが聞かれる。フラッド攻撃は従来の侵入検出システムで防止することは難しい。これはトラフィックが正当かどうかを判断するのが困難なためである。
【0003】
【発明が解決しようとする課題】
意図的フラッド攻撃と、接続リクエストのバーストにより生じる意図的ではない過負荷状況の影響は、正当なトラフィックと不当なトラフィックを区別するという従来の考え方を破棄することによって軽減すると本発明では考える。
【0004】
【課題を解決するための手段】
本発明では、フラッドの状況で、フラッドの原因が正当なトラフィックか不当なトラフィックかにかかわらず、正当な操作が行われ、サーバはクラッシュしないことを保証しようとするポリシの対象として全トラフィックを考慮する。本発明により、過負荷によるサーバのクラッシュを防ぎやすくなり、攻撃者が全サーバ・リソースを消費することはできなくなる。
【0005】
サーバ上のポート番号に対してホストから接続リクエストがあった場合、ホストに割当てられているポートとの接続数が確認される。接続数が第1しきい値を超える場合、接続リクエストは拒否される。好適な実施例では、要求側ホストに関連するQoS(サービス品質)パラメータにより許容される場合は、接続リクエストを拒否する決定を無効にすることができる。ただし好適な実施例のとき、ポートに使用できる接続の数が第2しきい値より少ない場合、接続リクエストは、どのような条件下でも拒否される。所定ホストとの接続の拒否により、意図的または非意図的な接続リクエスト・バーストの影響が緩和される。要求側ホストに関連したQoSパラメータにもとづく所定リクエストの拒否決定の無効化は、特定のホストに対して行えるサービス保証を満足する上で役立つ。ただし、QoS無効化パラメータが存在する場合でも、使用できるポート接続数が極端に少なくなったときの接続拒否は、サーバの完全な機能停止を防ぐのに役立つ。
【0006】
好適な実施例では、サーバの所有者がフラッド・チェックの対象になるポート番号毎に、どの時点でもポートに可能な最大接続数(M)と、そのポートに残っている未割当て(使用可能な)接続の支配的割合(P)を指定する。本発明は、ポートに割当てられた(使用できない)接続の数を追跡し、使用できるポート接続数を計算するため、使用できない接続数を最大接続数からマイナスする。割合Pは、接続リクエストを拒否する最初の決定をトリガする第1しきい値を設定するため用いられる。具体的には、最初の拒否がトリガされるのは、要求側ホストに割当てられた既存接続数が使用可能な接続のしきい値割合に等しいかまたはそれを上回る場合である。
【0007】
ほとんどの所有者にとって、最大接続数としきい値を設定することは容易ではない。そこで、複数のサーバの通常のトラフィック負荷を測定し、同様且つ正当なトラフィック負荷の妨げにならない適切な最大値としきい値を提案する統計モードが提供される。この統計モードは、特許請求の範囲内の発明の一部ではなく、よってここでは詳細に立ち入らない。
【0008】
同様な手法は、UDPデータグラム等のコネクションレス・トラフィックにも適用できる。これは他の特許出願の主題である。
【0009】
【発明の実施の形態】
本発明では、サーバの所有者が、サーバを特定のパラメータで設定する必要がある。例えば好適な実施例では、所有者がフラッド・チェックの対象になるポート番号毎に、どの時点でもポートに許容される最大接続数(M)と、ポートに残っている使用可能な接続のしきい値割合(P)を指定する必要がある。ポートに使用可能な接続の割合Pは、接続リクエストの拒否をトリガする第1しきい値を設定する。接続が割当てられ、解除されるとき、サーバはポート毎に各ホストに割当てられた接続の数を維持する。従ってサーバは、新しいリクエストが受信された時点で、ポートに使用できる接続の数を指定済みの最大接続数とポートにすでに割当てられている接続数から動的に計算することができる。
【0010】
図1のステップ100で、TCP/SYN接続リクエストがネットワーク・サーバで受信される。SYNリクエストは、TCP接続を確立するため必要な従来の3フロー・プロトコルの最初のハンドシェイクである。ステップ102で、TCP/SYNリクエストに対する確認応答がサーバから接続を要求したホストに返される。ステップ104で、要求側ホストがTCP確認応答を返す。これによりハンドシェイク・プロトコルが完了する。ステップ106で、要求側ホストの確認応答からリクエストが送られるポート番号が確認される。TCPでは、ポート番号は、接続が要求された所定ホスト・コンピュータ内の宛先を表す。標準サービスのため予約されたポートがある。例えば、ポート21はFTP(ファイル転送プロトコル)に使用することが決められている。要求側ホストのID(IPアドレス)も、ハンドシェイク・プロトコルにより確認される。ポート番号は、ステップ108で、ポートのメモリ制御ブロックを見つけるか、またはポート制御ブロックが存在しない場合にはそれを作成するために用いられる。ポート制御ブロックには、現在アクティブな接続を持つホスト用の複数のホスト制御ブロックが付加される。要求側ホストにホスト制御ブロックがない場合は1つ作成される。ホスト制御ブロックは、特にホストに現在割当てられているポート接続のカウントを格納する。
【0011】
ステップ110で、サーバが、このポート番号に指定された最大接続数M、支配的割合P、及びアクティブ接続数Aをフェッチする。ステップ112では、使用可能な接続数IがM−Aとして計算される。ステップ114では、すでに要求側ホストに割当てられている接続数がP×Iに等しいかより大きいかどうかが判定される。等しいかより大きい場合、他の特別な予防措置により拒否が無効にされる場合を除き、接続リクエストは拒否される。一方、すでに要求側ホストに割当てられている接続数がP×Iより少ない場合、接続リクエストはステップ116で許容されてAが1つ増分され、このポート番号でアクティブな接続数が更新される。
【0012】
すでに要求側ホストに割当てられている接続数がPとIの積に等しいかより大きい場合、ステップ114から図2の接続点Aに入る。ステップ202では、最初、ポートが制約状態にあるか否かが判定される。ポートに残っている休止接続数が、ポートに可能な最大接続数Mの一定の割合Xに等しいかより小さい場合、ポートは制約状態にある。好適な実施例では、Xは10%である。その場合、接続リクエストはステップ208で拒否される。ただし、ポートが制約されていない場合、特に要求側ホストに関連するQoS(サービス品質)指定により、接続拒否の決定を無効にすることができる。その場合、リクエストはステップ206で受け入れられる。受け入れられた場合、パラメータAが1つ増分されて更新される。言い換えると、ステップ202、204、及び206は、全体として要求側に関連するQoSポリシにより拒否が無効になる場合を除き、接続リクエストを拒否するポリシを実装するものである。しかし、要求されたポートが制約状態にあるとき、つまりポートに残っている接続が少ない場合、どのような条件下でもリクエストは拒否される。
【0013】
ここで説明しているコンピュータ・プログラムは、パーソナル・コンピュータからIBMのSystem 390マシン等の大型メインフレームまで、事実上、あらゆる種類のコンピュータで実行することができる。唯一の要件は、コンピュータをネットワーク通信ソフトウェアで構成し、ネットワークを通してコンピュータをサーバとしてアクセスできることである。
【0014】
当業者には明らかなように、ここに開示した実施例には、本発明の主旨と範囲から逸脱することなく、様々な変更を加えることができる。
【図面の簡単な説明】
【図1】接続リクエストのフラッドにより他の操作の完了が妨げられることがなく、サーバがクラッシュしないようにするため、ポートとの接続リクエストの受信に応答してサーバ側で実行される操作のフローチャートである。
【図2】接続リクエストのフラッドにより他の操作の完了が妨げられることがなく、サーバがクラッシュしないようにするため、ポートとの接続リクエストの受信に応答してサーバ側で実行される操作のフローチャートである。
Claims (2)
- ネットワーク・サーバ上の一のポート番号に対する多数の接続リクエストが受信されるという形態の前記サーバへのフラッド攻撃を防止する方法であって、
前記ポート番号に対する一のホストからの一の接続リクエストを前記サーバが受信したことに応答して、当該ポートに残っている使用可能な接続数をポート番号毎に設定された値である割合Pにかけてしきい値を計算するステップと、
前記ホストに割当てられている前記ポートとの接続の数が前記しきい値を超えるかどうかを判定し、超える場合は、前記受信された接続リクエストを拒否するステップと
を含む、方法。 - ネットワーク・サーバ上の一のポート番号に対する多数の接続リクエストが受信されるという形態の前記サーバへのフラッド攻撃を防止する装置であって、
前記ポート番号に対する一のホストからの一の接続リクエストを前記サーバが受信したことに応答して、当該ポートに残っている使用可能な接続数をポート番号毎に設定された値である割合Pにかけてしきい値を計算する手段と、
前記ホストに割当てられている前記ポートとの接続の数が前記しきい値を超えるかどうかを判定し、超える場合は、前記受信された接続リクエストを拒否する手段と
を含む、装置。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US09/502,478 US7137144B1 (en) | 2000-02-11 | 2000-02-11 | Technique of defending against network connection flooding attacks |
US09/502478 | 2000-02-11 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2001273209A JP2001273209A (ja) | 2001-10-05 |
JP3560553B2 true JP3560553B2 (ja) | 2004-09-02 |
Family
ID=23998006
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2001026784A Expired - Fee Related JP3560553B2 (ja) | 2000-02-11 | 2001-02-02 | サーバへのフラッド攻撃を防止する方法及び装置 |
Country Status (4)
Country | Link |
---|---|
US (1) | US7137144B1 (ja) |
JP (1) | JP3560553B2 (ja) |
GB (1) | GB2363951B (ja) |
TW (1) | TW503349B (ja) |
Families Citing this family (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3566699B2 (ja) | 2002-01-30 | 2004-09-15 | 株式会社東芝 | サーバ計算機保護装置および同装置のデータ転送制御方法 |
US7467408B1 (en) * | 2002-09-09 | 2008-12-16 | Cisco Technology, Inc. | Method and apparatus for capturing and filtering datagrams for network security monitoring |
US7353538B2 (en) | 2002-11-08 | 2008-04-01 | Federal Network Systems Llc | Server resource management, analysis, and intrusion negation |
US7376732B2 (en) | 2002-11-08 | 2008-05-20 | Federal Network Systems, Llc | Systems and methods for preventing intrusion at a web host |
GB2401281B (en) * | 2003-04-29 | 2006-02-08 | Hewlett Packard Development Co | Propagation of viruses through an information technology network |
US7796515B2 (en) * | 2003-04-29 | 2010-09-14 | Hewlett-Packard Development Company, L.P. | Propagation of viruses through an information technology network |
US7996544B2 (en) * | 2003-07-08 | 2011-08-09 | International Business Machines Corporation | Technique of detecting denial of service attacks |
CN1293729C (zh) | 2003-08-08 | 2007-01-03 | 华为技术有限公司 | 一种防止无线局域网频繁进行网络选择交互的方法 |
GB2431316B (en) * | 2005-10-12 | 2008-05-21 | Hewlett Packard Development Co | Propagation of malicious code through an information technology network |
JP2006013737A (ja) * | 2004-06-24 | 2006-01-12 | Fujitsu Ltd | 異常トラヒック除去装置 |
CN101263466B (zh) * | 2005-09-12 | 2011-02-09 | 微软公司 | 察觉防火墙穿越的方法和系统 |
EP1898586A1 (en) * | 2006-09-07 | 2008-03-12 | Mitsubishi Electric Information Technology Center Europe B.V. | Protection for data transmission network systems against SYN flood denial of service attacks |
US8429742B2 (en) * | 2007-04-16 | 2013-04-23 | International Business Machines Corporation | Detection of a denial of service attack on an internet server |
US7617074B2 (en) * | 2007-07-06 | 2009-11-10 | Microsoft Corporation | Suppressing repeated events and storing diagnostic information |
US7865954B1 (en) | 2007-08-24 | 2011-01-04 | Louisiana Tech Research Foundation; A Division Of Louisiana Tech University Foundation, Inc. | Method to detect SYN flood attack |
US9232027B2 (en) * | 2008-08-25 | 2016-01-05 | International Business Machines Corporation | TCP connection resource diversity using tunable geometric series |
US9003033B2 (en) * | 2009-06-02 | 2015-04-07 | Centurylink Intellectual Property Llc | IP session-based regulation and billing |
CN101583197B (zh) * | 2009-06-12 | 2012-10-17 | 中兴通讯股份有限公司 | 应用层链路控制的方法和系统 |
EP3334215B1 (en) | 2010-04-22 | 2019-08-28 | Huawei Technologies Co., Ltd. | Congestion/overload control method and apparatus |
US9356964B2 (en) * | 2012-11-02 | 2016-05-31 | Aruba Networks, Inc. | Application based policy enforcement |
CN105451348B (zh) * | 2014-09-25 | 2020-11-06 | 中兴通讯股份有限公司 | 一种网络控制方法及装置 |
WO2018022111A1 (en) * | 2016-07-29 | 2018-02-01 | Hewlett-Packard Development Company, L.P. | Load time anti-propagation protection for a machine executable module |
US10764946B2 (en) * | 2017-05-09 | 2020-09-01 | Vivint Wireless, Inc. | Autonomous mesh topology |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6377548B1 (en) * | 1997-10-14 | 2002-04-23 | Lucent Technologies Inc. | Method for admitting new connections based on measured quantities in a multiple access system for communications networks |
US6738814B1 (en) | 1998-03-18 | 2004-05-18 | Cisco Technology, Inc. | Method for blocking denial of service and address spoofing attacks on a private network |
US6725378B1 (en) * | 1998-04-15 | 2004-04-20 | Purdue Research Foundation | Network protection for denial of service attacks |
US6754714B1 (en) * | 1999-10-05 | 2004-06-22 | Cisco Technology, Inc. | Multilink point-to-point protocol network access server channel allocation method and apparatus |
US7047306B2 (en) | 2000-01-17 | 2006-05-16 | Egc & Co., Ltd. | System and method for providing internet broadcasting data based on hierarchical structure |
-
2000
- 2000-02-11 US US09/502,478 patent/US7137144B1/en not_active Expired - Lifetime
- 2000-12-04 TW TW089125769A patent/TW503349B/zh not_active IP Right Cessation
-
2001
- 2001-01-17 GB GB0101192A patent/GB2363951B/en not_active Expired - Fee Related
- 2001-02-02 JP JP2001026784A patent/JP3560553B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2001273209A (ja) | 2001-10-05 |
TW503349B (en) | 2002-09-21 |
GB0101192D0 (en) | 2001-02-28 |
GB2363951A (en) | 2002-01-09 |
GB2363951B (en) | 2003-07-09 |
US7137144B1 (en) | 2006-11-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3560553B2 (ja) | サーバへのフラッド攻撃を防止する方法及び装置 | |
US8091132B2 (en) | Behavior-based traffic differentiation (BTD) for defending against distributed denial of service (DDoS) attacks | |
EP1319296B1 (en) | System and process for defending against denial of service attacks on networks nodes | |
US7301899B2 (en) | Prevention of bandwidth congestion in a denial of service or other internet-based attack | |
US9288218B2 (en) | Securing an accessible computer system | |
Mahajan et al. | Controlling high bandwidth aggregates in the network | |
US8800001B2 (en) | Network authentication method, method for client to request authentication, client, and device | |
US7540028B2 (en) | Dynamic network security apparatus and methods or network processors | |
US20070140275A1 (en) | Method of preventing denial of service attacks in a cellular network | |
US8387144B2 (en) | Network amplification attack mitigation | |
US7818795B1 (en) | Per-port protection against denial-of-service and distributed denial-of-service attacks | |
KR20120060655A (ko) | 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크 | |
WO2005003909A2 (en) | Perimeter-based defense against data flooding in a data communication network | |
KR100378330B1 (ko) | 무선 프로토콜을 이용한 네트워크 플러딩 공격을 방지하는 방법 및 장치와 저장 매체 | |
US6904529B1 (en) | Method and system for protecting a security parameter negotiation server against denial-of-service attacks | |
KR101069341B1 (ko) | 분산 서비스 거부 공격 생성 방지 장치 | |
Mahajan et al. | Controlling high-bandwidth aggregates in the network (extended version) | |
KR102027438B1 (ko) | Ddos 공격 차단 장치 및 방법 | |
TWM620231U (zh) | 避免大量網路連結攻擊之防護裝置 | |
Fan et al. | Proactively defeating distributed denial of service attacks | |
Demir et al. | Protecting grid data transfer services with active network interfaces | |
Koutepas et al. | Detection and Reaction to Denial of Service Attacks | |
CN116866051A (zh) | 一种多应用场景的cc防御系统 | |
WO2008122186A1 (fr) | Procédé et dispositif permettant d'empêcher une attaque d'un petit paquet de données | |
Bandara | D-WARD |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20040216 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20040518 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20040525 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080604 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080604 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090604 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100604 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100604 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110604 Year of fee payment: 7 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110604 Year of fee payment: 7 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
S202 | Request for registration of non-exclusive licence |
Free format text: JAPANESE INTERMEDIATE CODE: R315201 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110604 Year of fee payment: 7 |
|
R360 | Written notification for declining of transfer of rights |
Free format text: JAPANESE INTERMEDIATE CODE: R360 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110604 Year of fee payment: 7 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110604 Year of fee payment: 7 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110604 Year of fee payment: 7 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120604 Year of fee payment: 8 |
|
LAPS | Cancellation because of no payment of annual fees |