JP3643087B2 - 通信網およびルータおよび分散型サービス拒絶攻撃検出防御方法 - Google Patents

通信網およびルータおよび分散型サービス拒絶攻撃検出防御方法 Download PDF

Info

Publication number
JP3643087B2
JP3643087B2 JP2002091785A JP2002091785A JP3643087B2 JP 3643087 B2 JP3643087 B2 JP 3643087B2 JP 2002091785 A JP2002091785 A JP 2002091785A JP 2002091785 A JP2002091785 A JP 2002091785A JP 3643087 B2 JP3643087 B2 JP 3643087B2
Authority
JP
Japan
Prior art keywords
counting
function
tcp
alarm
communication network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2002091785A
Other languages
English (en)
Other versions
JP2003289337A (ja
Inventor
公平 塩本
勝 片山
直明 山中
雅則 宇賀
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2002091785A priority Critical patent/JP3643087B2/ja
Publication of JP2003289337A publication Critical patent/JP2003289337A/ja
Application granted granted Critical
Publication of JP3643087B2 publication Critical patent/JP3643087B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明はIP通信網におけるDOS攻撃(Denial of Services attack)に対処するインターネットセキュリティ向上技術の分野に属する。
【0002】
【従来の技術】
分散型サービス拒絶攻撃(DDOSA:Distributed Denial of Services Attack)について、図7ないし図9を参照して説明する。図7は従来の通信網の概念図である。図8は3ウェイハンドシェークを説明するための図である。図9はTCP/IPパケットのフォーマットを示す図である。1〜4は外部通信網で、外部通信網1にはルータ10〜12が、外部通信網2にはルータ20〜22が、外部通信網3にはルータ30〜32が、外部通信網4にはルータ40〜42がそれぞれ属している。
【0003】
ボーダルータ44〜49が通信網5によりそれぞれ結ばれている。分散型サービス拒絶攻撃をしかける悪意のあるユーザは複数の分散したサイト端末13および23から外部通信網1内のルータ10および外部通信網2内のルータ20を経由して通信網5内のターゲットサーバ57に、TCP−SYN(コネクション確立要求)パケット攻撃を一斉にしかける。
【0004】
これらのTCP−SYNパケットがそれぞれ図8に示す3ウェイハンドシェークでTCPセッション確立を試み、この3ウェイハンドシェークのセッション途中で悪意のあるユーザのサイト端末13側あるいは23側がセッション放棄する。すなわち、図8において悪意のあるユーザのサイト端末13あるいは23は▲2▼のTCP−ACK(確認応答)+SYNパケットを受信しても▲3▼のTCP−ACKパケットを出さない。これによりターゲットサーバ57は、このTCP−ACKパケットの待ちの状態を続けるので、このようなTCP−SYNパケット攻撃を頻繁に多数受けるとターゲットサーバ57は過負荷状態に陥りサーバ機能が停止してしまう。
【0005】
TCPセッションの確立時におけるTCP−SYNパケットの働きおよびTCP/IPパケットのフォーマットの概要を以下に説明する。図9はTCP/IPパケットのフォーマット説明図である。TCP/IPパケットはIP通信網の基本的な通信手順であるTCPとIPのパケットであり、その詳しい構成がIPヘッダ(IP header)、TCPヘッダ(TCP header)として図9に示されている。IPヘッダは宛先のサーバやルータのアドレス(Destination Address:以下DAと略す)や発信元アドレス(Source Address:以下SAと略す)などを含む20Byteで構成され、TCPヘッダはSYN(コネクション確立要求(SYN=1))やACK(確認応答(ACK=1))などの制御フラグを含む20Byte(オプション無し)の構成である。
【0006】
図8の3ウェイハンドシェークによる通信確立を詳細に説明する。TCP/IPによるコネクションの確立はまずサイト端末13がTCP−SYNパケット(図9でSYN=1としたパケット)を送信先のターゲットサーバ57に送ると(図8の▲1▼)、ターゲットサーバ57はTCP−ACK+SYNパケット(図9でACK=1、SYN=1としたパケット)を送り返し(図8の▲2▼)、ここで端末が正常な端末であればTCP−ACKパケット(図9でACK=1としたパケット)を送り返し(図3の▲3▼)、この▲3▼の段階で“3ウェイハンドシェーク”が成立し、サイト端末13とターゲットサーバ57による通信が開始する段取りであるが、悪意のあるユーザのサイト端末13がTCP−SYNパケット攻撃をする場合には▲3▼TCP−ACKパケットを送り返さず、ターゲットサーバ57はこのパケット待ちの状態を続けるので、このようなTCP−SYNパケット攻撃を頻繁に多数受けるとターゲットサーバ57は過負荷状態に陥りサーバ機能が停止してしまう。
【0007】
【発明が解決しようとする課題】
このように、分散型サービス拒絶攻撃は、悪意のあるユーザが複数の分散したサイト端末を踏み台にし、特定のWebサーバに無数のTCPセッション確立を試みることで過負荷にする攻撃であり、TCPセッションの送信元が分散しているため、悪意のあるユーザのサイト端末を特定するのが困難であり、拒絶攻撃に対する対策を立てることも困難である。
【0008】
本発明は、このような背景に行われたものであって、分散型サービス拒絶攻撃のような悪意のあるユーザからの高度な攻撃を検出し、悪意呼の網流入の制限や停止を行うなど的確なアクションをとることによりターゲットサーバが過負荷に陥ることを免れることができる通信網およびルータおよびプログラムおよび記録媒体および分散型サービス拒絶攻撃検出防御方法を提供することを目的とする。
【0009】
【課題を解決するための手段】
本発明は、通信網における複数のボーダルータがTCP−SYNパケットを監視し、宛先毎にTCP−SYNパケットを計数および集計し、この集計結果を複数のボーダルータ相互間で交換することにより、これらのボーダルータを経由して当該通信網に流入するTCP−SYNパケットを監視し、同一宛先に対して異常な個数で流入するTCP−SYNパケットについては、これを分散型サービス拒絶攻撃を目的とするTCP−SYNパケットと判断してこの流入を抑制することを特徴とする。
【0010】
すなわち、本発明の第一の観点は、複数の外部通信網にそれぞれ接続された複数のボーダルータを備えた通信網であって、本発明の特徴とするところは、前記ボーダルータは、自通信網に流入するコネクション確立要求を含むTCP−SYNパケットを監視する手段を備え、この監視する手段は、同一宛先アドレスを有するTCP−SYNパケットの個数を計数する手段と、この計数する手段の計数結果を他ボーダルータに通知する手段と、他ボーダルータからの前記計数する手段の計数結果を受け取る手段と、この受け取る手段により受け取った他ボーダルータにおける計数結果および前記計数する手段による自ボーダルータの計数結果に基づき計数結果を集計する手段とを備え、この集計する手段は、前記計数結果の所定時間内の増加率を検出する手段と、この検出する手段の検出結果が閾値を超えるときには前記同一宛先アドレスの情報を含む警報を発出する手段とを備えたところにある。
【0011】
さらに、前記集計する手段は、集計された同一宛先アドレスを有するTCP−SYNパケットの送信元アドレスを特定する手段を備え、前記警報を発出する手段は、前記検出する手段の検出結果が閾値を超えるときには当該特定する手段により特定された送信元アドレスの情報を前記警報に書込む手段を備えることもできる。
【0012】
前記警報を発出する手段から発出された警報に基づき当該警報に含まれる前記同一宛先アドレスまたは前記送信元アドレスを有するTCP−SYNパケットの当該通信網への流入を抑制する手段を備えることが望ましい。
【0013】
これにより、分散型サービス拒絶攻撃を行っている悪意のあるユーザのサイト端末が特定できれば、宛先アドレスによるTCP−SYNパケット流入抑制とともに送信元アドレスによる流入抑制も行えるため、宛先アドレスのみによる流入抑制と比較してより確実な流入抑制効果を期待することができる。
【0014】
例えば、宛先アドレスによるTCP−SYNパケットの流入抑制では、悪意のあるユーザのサイト端末以外の一般の端末からのTCP−SYNパケットも流入が抑制されてしまう可能性があるが、送信元アドレスによる流入抑制ができれば、悪意のあるユーザのサイト端末によるものとそうでないものとを区別して抑制することができる。さらに、このサイト端末のユーザに対して以後、このような行為を行わないように警告を送付することもできる。
【0015】
前記通知する手段および前記受け取る手段は、I−BGP(Internet-Border Gateway Protocol)を用いて前記計数結果を送受信する手段を備えることが望ましい。すなわち、TCP−IPはインターネット通信の基本である第3層、第4層に関する通信であるのに対し、I−BGPは動的経路プロトコルであり、AS(自立システム)内で使用する境界ゲートウェイプロトコルによる通信機能である。これにより、通常のデータ通信とは異なる独立した確実かつ速やかな通信を行うことができるので、分散型サービス拒絶攻撃を確実かつ速やかに検出して防御することができる。
【0016】
本発明の第二の観点はルータであって、本発明の特徴とするところは、外部通信網に接続され、自通信網に流入するコネクション確立要求を含むTCP−SYNパケットを監視する手段を備え、この監視する手段は、同一宛先アドレスを有するTCP−SYNパケットの個数を計数する手段と、この計数する手段の計数結果を他ボーダルータに通知する手段と、他ボーダルータからの前記計数する手段の計数結果を受け取る手段と、この受け取る手段により受け取った他ボーダルータにおける計数結果および前記計数する手段による自ボーダルータの計数結果に基づき計数結果を集計する手段とを備え、この集計する手段は、前記計数結果の所定時間内の増加率を検出する手段と、この検出する手段の検出結果が閾値を超えるときには前記同一宛先アドレスの情報を含む警報を発出する手段とを備えたところにある。
【0017】
前記集計する手段は、集計された同一宛先アドレスを有するTCP−SYNパケットの送信元アドレスを特定する手段を備え、前記警報を発出する手段は、前記検出する手段の検出結果が閾値を超えるときには当該特定する手段により特定された送信元アドレスの情報を前記警報に書込む手段を備えることもできる。
【0018】
前記警報を発出する手段から発出された警報に基づき当該警報に含まれる前記同一宛先アドレスまたは前記送信元アドレスを有するTCP−SYNパケットの当該通信網への流入を抑制する手段を備えることが望ましい。
【0019】
前記通知する手段および前記受け取る手段は、I−BGPを用いて前記計数結果を送受信する手段を備えることが望ましい。
【0020】
本発明の第三の観点はプログラムであって、本発明の特徴とするところは、情報処理装置にインストールすることにより、その情報処理装置に、外部通信網に接続されたルータを制御する装置に相応する機能として、自通信網に流入するコネクション確立要求を含むTCP−SYNパケットを監視する機能を実現させ、この監視する機能として、同一宛先アドレスを有するTCP−SYNパケットの個数を計数する機能と、この計数する機能の計数結果を他ボーダルータに通知する機能と、他ボーダルータからの前記計数する機能の計数結果を受け取る機能と、この受け取る機能により受け取った他ボーダルータにおける計数結果および前記計数する機能による自ボーダルータの計数結果に基づき計数結果を集計する機能とを実現させ、この集計する機能として、前記計数結果の所定時間内の増加率を検出する機能と、この検出する機能の検出結果が閾値を超えるときには前記同一宛先アドレスの情報を含む警報を発出する機能とを実現させるところにある。
【0021】
前記集計する機能として、集計された同一宛先アドレスを有するTCP−SYNパケットの送信元アドレスを特定する機能を実現させ、前記警報を発出する機能として、前記検出する機能の検出結果が閾値を超えるときには当該特定する機能により特定された送信元アドレスの情報を前記警報に書込む機能を実現させることもできる。
【0022】
前記警報を発出する機能から発出された警報に基づき当該警報に含まれる前記同一宛先アドレスまたは前記送信元アドレスを有するTCP−SYNパケットの当該通信網への流入を抑制する機能を実現させることが望ましい。
【0023】
前記通知する機能および前記受け取る機能として、I−BGPを用いて前記計数結果を送受信する機能を実現させることが望ましい。
【0024】
本発明の第四の観点は、本発明のプログラムが記録された前記情報処理装置読取可能な記録媒体である。本発明のプログラムは本発明の記録媒体に記録されることにより、前記情報処理装置は、この記録媒体を用いて本発明のプログラムをインストールすることができる。あるいは、本発明のプログラムを保持するサーバからネットワークを介して直接前記情報処理装置に本発明のプログラムをインストールすることもできる。
【0025】
これにより、コンピュータ装置等の情報処理装置を用いて、分散型サービス拒絶攻撃のような悪意のあるユーザからの高度な攻撃を検出し、悪意呼の網流入の制限や停止を行うなど的確なアクションをとることによりターゲットサーバが過負荷に陥ることを免れることができるルータを備えた通信網を実現することができる。
【0026】
本発明の第五の観点は、複数の外部通信網にそれぞれ接続された複数のボーダルータを備えた通信網に適用される分散型サービス拒絶攻撃検出防御方法であって、本発明の特徴とするところは、前記ボーダルータにより、自通信網に流入するコネクション確立要求を含むTCP−SYNパケットを監視し、同一宛先アドレスを有するTCP−SYNパケットの個数を計数し、この計数結果を他ボーダルータに通知するとともに他ボーダルータからの計数結果を受け取り、この受け取った他ボーダルータにおける計数結果および自ボーダルータの計数結果に基づき計数結果を集計し、この計数結果の所定時間内の増加率を検出し、この検出結果が閾値を超えるときには前記同一宛先アドレスの情報を含む警報を発出するところにある。
【0027】
集計された同一宛先アドレスを有するTCP−SYNパケットの送信元アドレスを特定し、警報を発出する際には、この特定された送信元アドレスの情報を前記警報に書込むこともできる。
【0028】
発出された警報に基づき当該警報に含まれる前記同一宛先アドレスまたは前記送信元アドレスを有するTCP−SYNパケットの当該通信網への流入を抑制することが望ましい。
【0029】
前記ボーダルータ相互間では、I−BGPを用いて前記計数結果を送受信することが望ましい。
【0030】
【発明の実施の形態】
本発明実施例の通信網を図1ないし図6を参照して説明する。図1は本実施例の通信網の概念図である。図2は本実施例のボーダルータの機能構成図である。図3および図4は本実施例の異常パケット検出手順を示す図である。図5は本実施例のボーダルータの動作を示すフローチャートである。図6は本実施例の図1より多くの攻撃地点を有する通信網の概念図である。
【0031】
本実施例は、図1に示すように、複数の外部通信網1〜4にそれぞれ接続された複数のボーダルータ51〜56を備えた通信網5であって、本実施例の特徴とするところは、ボーダルータ51〜56は、図2に示すように、自通信網5に流入するコネクション確立要求を含むTCP−SYNパケットを監視する分散型サービス拒絶攻撃検出防御部515を備え、この分散型サービス拒絶攻撃検出防御部515は、同一宛先アドレスを有するTCP−SYNパケットの個数を計数する流入TCP−SYNパケット計数機能511と、この流入TCP−SYNパケット計数機能511の計数結果を他ボーダルータに通知するとともに、他ボーダルータからの流入TCP−SYNパケット計数機能511による前記計数結果を受け取るI−BGP通信機能513と、このI−BGP通信機能513により受け取った他ボーダルータにおける計数結果および流入TCP−SYNパケット計数機能511による自ボーダルータの計数結果に基づき計数結果を集計する流入パケット異常判定機能512とを備え、この流入パケット異常判定機能512は、前記計数結果の所定時間内の増加率を検出し、この検出結果が閾値を超えるときには前記同一宛先アドレスの情報を含む警報を発出するところにある。
【0032】
また、悪意のあるユーザのサイト端末が他の端末に成り代わっていない場合には、流入パケット異常判定機能512は、集計された同一宛先アドレスを有するTCP−SYNパケットの送信元アドレスを特定することができ、当該特定された送信元アドレスの情報を前記警報に書込むことができる。
【0033】
ルータ基本機能510は、流入パケット異常判定機能512から発出された警報に基づき当該警報に含まれる前記同一宛先アドレスまたは前記送信元アドレスを有するTCP−SYNパケットの当該通信網への流入を抑制する。
【0034】
また、I−BGP通信機能513は、I−BGPを用いて前記計数結果を送受信する。
【0035】
以下では、本実施例をさらに詳細に説明する。
【0036】
本実施例の通信網5は、図1に示すように、ボーダルータ51〜56が通信網5に流入するTCP−SYNパケットをモニタし、宛先毎のTCP−SYNパケットを計数および集計し、全ボーダルータ51〜56はTCP−SYNパケットの前記集計の結果としての情報をI−BGPを用いて相互に交換通知しあい、悪意呼であるTCP−SYNパケットが異常に流入すると判明したボーダルータ51および52は送信元のサイト端末13および23からのターゲットサーバ57宛のTCP−SYNパケットの流入量を抑制するかあるいは全て廃棄することでターゲットサーバ57は過負荷の状態から解放される。
【0037】
図2に示すように、ルータ基本機能510は、IPパケットを宛先ホストに届けるための中継(ルーティング)機能をはじめ各種ネットワーク層(第3層)プロトコルに対応したマルチプロトコル機能を含んでいる。また、本実施例では、流入パケット異常判定機能512から発出される警報に基づき、TCP−SYNパケットを廃棄する機能も備えている。
【0038】
流入TCP−SYNパケット計数機能511はTCP−SYNパケットの送信元IPアドレス、宛先IPアドレス、情報量、時刻に対応して当該パケット数を計数する。また、流入パケット異常判定機能512は、流入TCP−SYNパケット計数機能511の計数結果を時系列的に比較して単位時間当りの集計データが正常かあるいは異常かを判定する。例えば、単位時間Δt当り増加率が100倍になれば異常と判定する。
【0039】
TCP−IP通信機能514はインターネット通信の基本である第3層、第4層に関する通信機能である。また、I−BGP通信機能513は動的経路プロトコルであり、AS(自立システム)内で使用する境界ゲートウェイプロトコルによる通信機能である。
【0040】
各ボーダルータ51〜56は通信網5に流入する全てのTCP−SYNパケットを監視しており、その監視の結果、例えば、ボーダルータ51が悪意のあるユーザのサイト端末13からの宛先がターゲットサーバ57であるTCP−SYNパケットが単位時間Δt当り増加率で100倍になり異常に多いと判定した場合には、当該パケットの例えば99%を破棄し、またボーダルータ52が悪意のあるユーザのサイト端末23からの宛先がターゲットサーバ57であるTCP−SYNパケットが異常に多いと判定した場合には、当該パケットの例えば99%を破棄する。このようにしてターゲットサーバ57が過負荷に陥ることを未然に防止できる。
【0041】
ボーダルータ51によるTCP−SYNパケットの監視は自らの流入TCP−SYNパケット計数機能511によるデータ分とI−BGP通信機能513により他のボーダルータ52〜56からI−BGP動的経路プロトコルを用いて入手したデータ分とがあり、この両データ分を併せて流入パケット異常判定機能512で異常判定を行う。
【0042】
図3および図4は異常パケット検出手順を示している。図3の例では、まず、流入TCP−SYNパケット計数機能511により、TCP flagでSYN=1のTCP−SYNパケットを抽出し、パケットヘッダのDA(宛先IPアドレス)を引き出してエントリに追加し、そのエントリにマッチしたもの毎にカウントアップする。続いて、流入パケット異常判定機能512により、SYNパケットが集中している特定のDAを見つけ出す。図4の例では、TCP−SYNパケットが集中したDA=218.60.32.1のパケットのリストアップ状況が示され、集中しているこのDAのリスト表上でさらに、SA(送信元IPアドレス)毎に仕分けし、送信元の特定をする。このようにしてターゲットサーバがDA=218.60.32.1であり、悪意のあるユーザのサイト端末のSAが判明する。
【0043】
DDOSが巧妙な場合はSA毎の仕分けは困難な場合がある。例えば悪意のあるユーザのサイト端末13が他の外部通信網2〜3内の端末のIPアドレスを盗用して成り代わり端末攻撃をする場合にはSA毎の仕分けは無意味となる。
【0044】
図5は本実施例のボーダルータの動作を示すフローチャートである。
【0045】
ステップ1:各ボーダルータ51〜56において流入するTCP−SYNパケットを流入TCP−SYNパケット計数機能511がモニタし、DAのリストを作成して計数する(図3)。モニタ計数時間は時刻(T0+nΔt)から時刻(T0+(n+1)Δt)とする(n=0,1,2,3,…)
ステップ2:各ボーダルータの流入TCP−SYNパケット計数機能511は集中しているDAのリスト上でSA毎に仕分け計数する(図4)
ステップ3:時刻(T0+nΔt)からの単位時間Δtの計数情報としてステップ2の出力リストの上位5位および増加率上位5位のDAおよびSA情報をI−BGP通信機能513により、それぞれ他のボーダルータに通知する
ステップ4:各ボーダルータ毎に流入TCP−SYNパケット計数機能511はステップ2の出力情報とステップ3の出力情報とから時刻(T0+nΔt)のΔtの単位時間の間に全ボーダルータから流入したTCP−SYNパケットにつき、SAのIPアドレス、DAのIPアドレス、情報量、時刻に対応して当該パケット数を計数し、流入パケット異常判定機能512は、単位時間Δt当りの増加パケット数を集計してランクアップする
ステップ5:流入パケット異常判定機能512により、単位時間当りの増加率が例えば100倍になるSAまたはDAがあるかを判定する。“ある”場合はステップ6へ、“なし”の場合はステップ4へ
ステップ6:単位時間当りの増加率が100倍になるSAまたはDAを有するTCP−SYNパケットが流入するボーダルータのルータ基本機能510は流入量を抑制あるいはこのパケットを全パケット廃棄する
このようにして悪意呼によるターゲットサーバ57の過負荷を防ぐことが可能となる。
【0046】
また、図6に示すように、悪意のあるユーザのサイト端末はサイト端末13、23に加えてサイト端末33、43と多くの地点からターゲットサーバ57を攻撃する場合は、宛先IPアドレスがターゲットサーバ57である悪意呼のTCP−SYNパケットが多く検出されるのは、ボーダルータ51、52、54、55であるという判定が各ボーダルータ51〜56でなされ、この宛先IPアドレスがターゲットサーバ57である悪意呼のTCP−SYNパケットは例えば99%が各ボーダルータ51、52、54、55にて破棄され、ターゲットサーバ57は過負荷を免れる。
【0047】
本実施例のボーダルータ51〜56を制御する装置は情報処理装置であるコンピュータ装置を用いて実現することができる。すなわち、コンピュータ装置にインストールすることにより、そのコンピュータ装置に、外部通信網1〜4に接続されたボーダルータ51〜56を制御する装置に相応する機能として、自通信網に流入するコネクション確立要求を含むTCP−SYNパケットを監視する分散型サービス拒絶攻撃検出防御部515に相応する機能を実現させ、この分散型サービス拒絶攻撃検出防御部515に相応する機能として、同一宛先アドレスを有するTCP−SYNパケットの個数を計数する流入TCP−SYNパケット計数機能511と、この流入TCP−SYNパケット計数機能511の計数結果を他ボーダルータに通知するとともに、他ボーダルータからの流入TCP−SYNパケット計数機能511の計数結果を受け取るI−BGP通信機能513と、このI−BGP通信機能513により受け取った他ボーダルータにおける計数結果および流入TCP−SYNパケット計数機能511による自ボーダルータの計数結果に基づき計数結果を集計する流入パケット異常判定機能512とを実現させ、この流入パケット異常判定機能512として、前記計数結果の所定時間内の増加率を検出する機能と、この検出する機能の検出結果が閾値を超えるときには前記同一宛先アドレスの情報を含む警報を発出する機能と、集計された同一宛先アドレスを有するTCP−SYNパケットの送信元アドレスを特定する機能とを実現させ、前記警報を発出する機能として、前記検出する機能の検出結果が閾値を超えるときには当該特定する機能により特定された送信元アドレスの情報を前記警報に書込む機能を実現させ、さらに、前記警報を発出する機能から発出された警報に基づき当該警報に含まれる前記同一宛先アドレスまたは前記送信元アドレスを有するTCP−SYNパケットの当該通信網への流入を抑制する機能を実現させ、さらに、I−BGP通信機能513として、I−BGPを用いて前記計数結果を送受信する機能を実現させるプログラムをコンピュータ装置にインストールすることにより、そのコンピュータ装置を本実施例のボーダルータ51〜56を制御する装置に相応する装置とすることができる。
【0048】
本実施例のプログラムは本実施例の記録媒体に記録されることにより、コンピュータ装置は、この記録媒体を用いて本実施例のプログラムをインストールすることができる。あるいは、本実施例のプログラムを保持するサーバからネットワークを介して直接コンピュータ装置に本実施例のプログラムをインストールすることもできる。
【0049】
これにより、コンピュータ装置を用いて、分散型サービス拒絶攻撃のような悪意のあるユーザからの高度な攻撃を検出し、悪意呼の網流入の制限や停止を行うなど的確なアクションをとることによりターゲットサーバが過負荷に陥ることを免れることができるボーダルータ51〜56を備えた通信網5を実現することができる。
【0050】
(実施例まとめ)
EC(Electric Commerce)が発展するにつれて、Webサイトの保護はセキュリティの観点から今後ますます重要となる。本実施例によれば分散型サービス拒絶攻撃のような悪意のあるユーザからの高度な攻撃を検出し、悪意呼の通信網流入の制限や停止を行うなど的確なアクションをとることによりターゲットサーバが過負荷に陥ることを免れることができる。
【0051】
【発明の効果】
以上説明したように、本発明によれば、分散型サービス拒絶攻撃のような悪意のあるユーザからの高度な攻撃を検出し、悪意呼の網流入の制限や停止を行うなど的確なアクションをとることによりターゲットサーバが過負荷に陥ることを免れることができる。
【図面の簡単な説明】
【図1】本実施例の通信網の概念図。
【図2】本実施例のボーダルータの機能構成図。
【図3】本実施例の異常パケット検出手順を示す図。
【図4】本実施例の異常パケット検出手順を示す図。
【図5】本実施例のボーダルータの動作を示すフローチャート。
【図6】本実施例の図1より多くの攻撃地点を有する通信網の概念図。
【図7】従来の通信網の概念図。
【図8】3ウェイハンドシェークを説明するための図。
【図9】TCP/IPパケットのフォーマットを示す図。
【符号の説明】
1〜4 外部通信網
5 通信網
10〜12、20〜22、30〜32、40〜42 ルータ
13、23、33、43 サイト端末
44〜49、51〜56 ボーダルータ
57 ターゲットサーバ
510 ルータ基本機能
511 流入TCP−SYNパケット計数機能
512 流入パケット異常判定機能
513 I−BGP通信機能
514 TCP−IP通信機能
515 分散型サービス拒絶攻撃検出防御部

Claims (17)

  1. 複数の外部通信網にそれぞれ接続された複数のボーダルータを備えた通信網において、
    前記ボーダルータは、自通信網に流入するコネクション確立要求を含むTCP−SYNパケットを監視する手段を備え、
    この監視する手段は、
    同一宛先アドレスを有するTCP−SYNパケットの個数を計数する手段と、
    この計数する手段の計数結果を他ボーダルータに通知する手段と、
    他ボーダルータからの前記計数する手段の計数結果を受け取る手段と、
    この受け取る手段により受け取った他ボーダルータにおける計数結果および前記計数する手段による自ボーダルータの計数結果に基づき計数結果を集計する手段と
    を備え、
    この集計する手段は、
    前記計数結果の所定時間内の増加率を検出する手段と、
    この検出する手段の検出結果が閾値を超えるときには前記同一宛先アドレスの情報を含む警報を発出する手段と
    を備えたことを特徴とする通信網。
  2. 前記集計する手段は、集計された同一宛先アドレスを有するTCP−SYNパケットの送信元アドレスを特定する手段を備え、
    前記警報を発出する手段は、前記検出する手段の検出結果が閾値を超えるときには当該特定する手段により特定された送信元アドレスの情報を前記警報に書込む手段を備えた
    請求項1記載の通信網。
  3. 前記警報を発出する手段から発出された警報に基づき当該警報に含まれる前記同一宛先アドレスまたは前記送信元アドレスを有するTCP−SYNパケットの当該通信網への流入を抑制する手段を備えた請求項1または2記載の通信網。
  4. 前記通知する手段および前記受け取る手段は、I−BGP(Internet-Border Gateway Protocol)を用いて前記計数結果を送受信する手段を備えた請求項1記載の通信網。
  5. 外部通信網に接続され、
    自通信網に流入するコネクション確立要求を含むTCP−SYNパケットを監視する手段を備え、
    この監視する手段は、
    同一宛先アドレスを有するTCP−SYNパケットの個数を計数する手段と、
    この計数する手段の計数結果を他ボーダルータに通知する手段と、
    他ボーダルータからの前記計数する手段の計数結果を受け取る手段と、
    この受け取る手段により受け取った他ボーダルータにおける計数結果および前記計数する手段による自ボーダルータの計数結果に基づき計数結果を集計する手段と
    を備え、
    この集計する手段は、
    前記計数結果の所定時間内の増加率を検出する手段と、
    この検出する手段の検出結果が閾値を超えるときには前記同一宛先アドレスの情報を含む警報を発出する手段と
    を備えたことを特徴とするルータ。
  6. 前記集計する手段は、集計された同一宛先アドレスを有するTCP−SYNパケットの送信元アドレスを特定する手段を備え、
    前記警報を発出する手段は、前記検出する手段の検出結果が閾値を超えるときには当該特定する手段により特定された送信元アドレスの情報を前記警報に書込む手段を備えた
    請求項5記載のルータ。
  7. 前記警報を発出する手段から発出された警報に基づき当該警報に含まれる前記同一宛先アドレスまたは前記送信元アドレスを有するTCP−SYNパケットの当該通信網への流入を抑制する手段を備えた請求項5または6記載のルータ。
  8. 前記通知する手段および前記受け取る手段は、I−BGPを用いて前記計数結果を送受信する手段を備えた請求項5記載のルータ。
  9. 情報処理装置にインストールすることにより、その情報処理装置に、
    外部通信網に接続されたルータを制御する装置に相応する機能として、
    自通信網に流入するコネクション確立要求を含むTCP−SYNパケットを監視する機能を実現させ、
    この監視する機能として、
    同一宛先アドレスを有するTCP−SYNパケットの個数を計数する機能と、
    この計数する機能の計数結果を他ボーダルータに通知する機能と、
    他ボーダルータからの前記計数する機能の計数結果を受け取る機能と、
    この受け取る機能により受け取った他ボーダルータにおける計数結果および前記計数する機能による自ボーダルータの計数結果に基づき計数結果を集計する機能と
    を実現させ、
    この集計する機能として、
    前記計数結果の所定時間内の増加率を検出する機能と、
    この検出する機能の検出結果が閾値を超えるときには前記同一宛先アドレスの情報を含む警報を発出する機能と
    を実現させることを特徴とするプログラム。
  10. 前記集計する機能として、集計された同一宛先アドレスを有するTCP−SYNパケットの送信元アドレスを特定する機能を実現させ、
    前記警報を発出する機能として、前記検出する機能の検出結果が閾値を超えるときには当該特定する機能により特定された送信元アドレスの情報を前記警報に書込む機能を実現させる
    請求項9記載のプログラム。
  11. 前記警報を発出する機能から発出された警報に基づき当該警報に含まれる前記同一宛先アドレスまたは前記送信元アドレスを有するTCP−SYNパケットの当該通信網への流入を抑制する機能を実現させる請求項9または10記載のプログラム。
  12. 前記通知する機能および前記受け取る機能として、I−BGPを用いて前記計数結果を送受信する機能を実現させる請求項9記載のプログラム。
  13. 請求項9ないし12のいずれかに記載のプログラムが記録された前記情報処理装置読取可能な記録媒体。
  14. 複数の外部通信網にそれぞれ接続された複数のボーダルータを備えた通信網に適用される分散型サービス拒絶攻撃(DDOSA:Distributed Denial of Services Attack)検出防御方法において、前記ボーダルータにより、自通信網に流入するコネクション確立要求を含むTCP−SYNパケットを監視し、同一宛先アドレスを有するTCP−SYNパケットの個数を計数し、この計数結果を他ボーダルータに通知するとともに他ボーダルータからの計数結果を受け取り、この受け取った他ボーダルータにおける計数結果および自ボーダルータの計数結果に基づき計数結果を集計し、この計数結果の所定時間内の増加率を検出し、この検出結果が閾値を超えるときには前記同一宛先アドレスの情報を含む警報を発出する
    ことを特徴とする分散型サービス拒絶攻撃検出防御方法。
  15. 集計された同一宛先アドレスを有するTCP−SYNパケットの送信元アドレスを特定し、警報を発出する際には、この特定された送信元アドレスの情報を前記警報に書込む
    請求項14記載の分散型サービス拒絶攻撃検出防御方法。
  16. 発出された警報に基づき当該警報に含まれる前記同一宛先アドレスまたは前記送信元アドレスを有するTCP−SYNパケットの当該通信網への流入を抑制する請求項14または15記載の分散型サービス拒絶攻撃検出防御方法。
  17. 前記ボーダルータ相互間では、I−BGPを用いて前記計数結果を送受信する請求項14記載の分散型サービス拒絶攻撃検出防御方法。
JP2002091785A 2002-03-28 2002-03-28 通信網およびルータおよび分散型サービス拒絶攻撃検出防御方法 Expired - Fee Related JP3643087B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002091785A JP3643087B2 (ja) 2002-03-28 2002-03-28 通信網およびルータおよび分散型サービス拒絶攻撃検出防御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002091785A JP3643087B2 (ja) 2002-03-28 2002-03-28 通信網およびルータおよび分散型サービス拒絶攻撃検出防御方法

Publications (2)

Publication Number Publication Date
JP2003289337A JP2003289337A (ja) 2003-10-10
JP3643087B2 true JP3643087B2 (ja) 2005-04-27

Family

ID=29236786

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002091785A Expired - Fee Related JP3643087B2 (ja) 2002-03-28 2002-03-28 通信網およびルータおよび分散型サービス拒絶攻撃検出防御方法

Country Status (1)

Country Link
JP (1) JP3643087B2 (ja)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4480422B2 (ja) * 2004-03-05 2010-06-16 富士通株式会社 不正アクセス阻止方法、装置及びシステム並びにプログラム
JP4074266B2 (ja) 2004-05-26 2008-04-09 株式会社東芝 パケットフィルタリング装置、及びパケットフィルタリングプログラム
JP4371905B2 (ja) 2004-05-27 2009-11-25 富士通株式会社 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置
JP2006013737A (ja) * 2004-06-24 2006-01-12 Fujitsu Ltd 異常トラヒック除去装置
US20080022000A1 (en) * 2004-11-11 2008-01-24 Shinji Furuya Ip-Packet Relay Method and Gateway in Communication Network
JP4490307B2 (ja) * 2005-02-24 2010-06-23 三菱電機株式会社 ネットワーク異常検出装置及びコンピュータプログラム及びネットワーク異常検出方法
KR101343693B1 (ko) 2007-02-05 2013-12-20 주식회사 엘지씨엔에스 네트워크 보안시스템 및 그 처리방법
JP5216249B2 (ja) * 2007-06-12 2013-06-19 株式会社 ネクストジェン 呼制御装置及び呼制御方法
JP2016163180A (ja) * 2015-03-02 2016-09-05 日本電気株式会社 通信システム、通信方法、及びプログラム
JP2019216305A (ja) * 2018-06-11 2019-12-19 国立大学法人 東京大学 通信装置、パケット処理方法及びプログラム

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001057554A (ja) * 1999-08-17 2001-02-27 Yoshimi Baba クラッカー監視システム
JP2002073433A (ja) * 2000-08-28 2002-03-12 Mitsubishi Electric Corp 侵入検知装置及び不正侵入対策管理システム及び侵入検知方法
JP3731111B2 (ja) * 2001-02-23 2006-01-05 三菱電機株式会社 侵入検出装置およびシステムならびにルータ

Also Published As

Publication number Publication date
JP2003289337A (ja) 2003-10-10

Similar Documents

Publication Publication Date Title
US7120934B2 (en) System, method and apparatus for detecting, identifying and responding to fraudulent requests on a network
US7624447B1 (en) Using threshold lists for worm detection
US7457965B2 (en) Unauthorized access blocking apparatus, method, program and system
WO2016150253A1 (zh) 基于sdn的ddos攻击防护方法、装置及系统
US8156557B2 (en) Protection against reflection distributed denial of service attacks
US9288218B2 (en) Securing an accessible computer system
US20110138463A1 (en) Method and system for ddos traffic detection and traffic mitigation using flow statistics
US8320249B2 (en) Method and system for controlling network access on a per-flow basis
JP2006517066A (ja) サービス妨害攻撃の軽減
Huang et al. Countering denial-of-service attacks using congestion triggered packet sampling and filtering
JP3643087B2 (ja) 通信網およびルータおよび分散型サービス拒絶攻撃検出防御方法
KR100777751B1 (ko) 서비스 불능 공격 방어 시스템, 서비스 불능 공격 방어방법 및 서비스 불능 공격 방어 프로그램
KR101352553B1 (ko) 플로우별 통계정보를 이용한 분산 서비스 거부 공격(ddos) 탐지 및 트래픽 경감 방법 및 그 시스템
WO2002025402A2 (en) Systems and methods that protect networks and devices against denial of service attacks
TWI657681B (zh) 網路流分析方法及其相關系統
WO2014075485A1 (zh) 网络地址转换技术的处理方法、nat设备及bng设备
JP4602158B2 (ja) サーバ装置保護システム
JP2011151514A (ja) トラフィック量監視システム
JP4278593B2 (ja) アプリケーション型サービス不能攻撃に対する防御方法およびエッジ・ルータ
WO2019096104A1 (zh) 攻击防范
JP4284248B2 (ja) アプリケーションサービス拒絶攻撃防御方法及びシステム並びにプログラム
JP4694578B2 (ja) コンピュータネットワークをパケットフラッド(flood)から保護するための方法及びシステム
JP2007259223A (ja) ネットワークにおける不正アクセスに対する防御システム、方法およびそのためのプログラム
JP2008219149A (ja) トラヒック制御システムおよびトラヒック制御方法
JP2006067078A (ja) ネットワークシステムおよび攻撃防御方法

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050119

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050125

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20050126

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080204

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090204

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090204

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100204

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110204

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110204

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120204

Year of fee payment: 7

LAPS Cancellation because of no payment of annual fees