JP3784799B2 - Attack packet protection system - Google Patents

Attack packet protection system Download PDF

Info

Publication number
JP3784799B2
JP3784799B2 JP2003383964A JP2003383964A JP3784799B2 JP 3784799 B2 JP3784799 B2 JP 3784799B2 JP 2003383964 A JP2003383964 A JP 2003383964A JP 2003383964 A JP2003383964 A JP 2003383964A JP 3784799 B2 JP3784799 B2 JP 3784799B2
Authority
JP
Japan
Prior art keywords
packet
attack
server
attack packet
source address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003383964A
Other languages
Japanese (ja)
Other versions
JP2005151039A (en
Inventor
直明 山中
勝 片山
公平 塩本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2003383964A priority Critical patent/JP3784799B2/en
Publication of JP2005151039A publication Critical patent/JP2005151039A/en
Application granted granted Critical
Publication of JP3784799B2 publication Critical patent/JP3784799B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、特定のパケットを識別して廃棄する装置に利用する。特に、ネットワーク内への攻撃パケットの侵入を防御する技術に関する。ここで、攻撃パケットとは、悪意のある攻撃者がユーザにサービスを提供するサーバの機能を麻痺させるために送出するパケットをいう。例えば、SYNフラッディング攻撃に用いるSYNパケットは攻撃パケットである。   The present invention is used in an apparatus for identifying and discarding a specific packet. In particular, the present invention relates to a technique for preventing an attack packet from entering a network. Here, the attack packet refers to a packet sent by a malicious attacker to paralyze the function of a server that provides a service to a user. For example, a SYN packet used for a SYN flooding attack is an attack packet.

悪意のある攻撃者がユーザにサービスを提供するサーバの機能を麻痺させるために攻撃パケットを送出するという不正行為が多数報告されている。このような攻撃パケットからサーバを防御するための手段としてファイアウォール装置が知られている(例えば、非特許文献1参照)。   A number of fraudulent acts in which a malicious attacker sends an attack packet to paralyze the function of a server that provides services to users have been reported. A firewall device is known as a means for protecting a server from such an attack packet (see, for example, Non-Patent Document 1).

従来のファイアウォールシステムの構成を図6に示す。従来のファイアウォール装置FWは、サーバSの前段に設定する。ファイアウォール装置FWは、さまざまなパケットフィルタリング機能を有しており、攻撃者からのパケットを識別して廃棄する。これにより、サーバSは攻撃を回避することができる。   The configuration of a conventional firewall system is shown in FIG. The conventional firewall device FW is set before the server S. The firewall device FW has various packet filtering functions, and identifies and discards packets from attackers. Thereby, the server S can avoid an attack.

攻撃パケットの識別方法としては、例えば、SYNフラッディング攻撃であれば、連続的に大量のSYNパケットが送出されるので、SYNパケットのトラヒックを監視することにより識別可能である。あるいは、過去に攻撃パケットを送出した攻撃者の送出元アドレスが判明しているのであれば、当該送出元アドレスを有するパケットを攻撃パケットとして識別可能である。
二木真明、“ファイアウォール「安全性の意味と代償」”、[online]、Internet Week 2002、チュートリアルT11、[平成15年10月16日検索]、インターネット<URL:http://www.nic.ad.jp/ja/materials/iw/2002/proceeding/T11.pdf> As an attack packet identification method, for example, in the case of a SYN flooding attack, a large amount of SYN packets are continuously transmitted. Therefore, the attack packet can be identified by monitoring the traffic of the SYN packet. Alternatively, if the sender address of the attacker who sent the attack packet in the past is known, the packet having the sender address can be identified as the attack packet.
Masaaki Futaki, “Firewall“ Safety Meaning and Compensation ””, [online], Internet Week 2002, Tutorial T11, [October 16, 2003 Search], Internet <URL: http: //www.nic .ad.jp / en / materials / iw / 2002 / proceeding / T11.pdf>

このような従来のファイアウォールシステムでは、攻撃者が送出したパケットは、ネットワークを通ってサーバSの前段まで到達する。一般に、攻撃者が送出するパケットは異常に個数が多く、当該サーバSに至る通信経路のトラヒック量は異常に大きくなり、輻輳状態に陥る場合もある。このとき、当該サーバSにアクセスを試みる正当なユーザのパケットは、この輻輳状態の影響を受けてサーバSに到達できない。   In such a conventional firewall system, the packet sent by the attacker reaches the front stage of the server S through the network. In general, the number of packets sent by an attacker is abnormally large, and the amount of traffic on the communication path to the server S becomes abnormally large, which may lead to congestion. At this time, a packet of a legitimate user trying to access the server S cannot reach the server S due to the influence of the congestion state.

すなわち、従来のファイアウォールシステムは、サーバ自身を攻撃から守ることはできるが、当該サーバに至る通信経路を攻撃から守ることはできない。   That is, the conventional firewall system can protect the server itself from an attack, but cannot protect the communication path to the server from the attack.

本発明は、このような背景に行われたものであって、攻撃対象となるサーバだけでなく、当該サーバに至る通信経路も攻撃から守ることができると共に高度な防御対策をとることができる攻撃パケット防御システムを提供することを目的とする。   The present invention has been performed against such a background, and it is possible to protect not only a server to be attacked but also a communication path leading to the server from an attack, and an attack capable of taking advanced defense measures. The object is to provide a packet protection system.

本発明の攻撃パケット防御システムは、サーバに到来するパケットを当該サーバの前段のファイアウォール装置で受信し当該サーバに対する攻撃パケットを検出し、攻撃パケットが検出された旨の情報を送出する。ネットワークのボーダに設けられたフィルタ装置が当該ネットワーク外からのパケットを受信し前記情報に基づき攻撃パケットを識別して解析サーバに転送する。この解析サーバは、転送された攻撃パケットを取得して対策を解析する。この解析結果に基づく防御対策を用いてフィルタ装置がネットワークの入り口で攻撃パケットを廃棄する。   The attack packet defense system of the present invention receives a packet arriving at a server by a firewall device in front of the server, detects an attack packet against the server, and sends information indicating that the attack packet has been detected. A filter device provided in a network border receives a packet from outside the network, identifies an attack packet based on the information, and forwards the attack packet to an analysis server. This analysis server acquires the transferred attack packet and analyzes the countermeasure. Using a defense measure based on the analysis result, the filter device discards the attack packet at the entrance of the network.

これにより、本発明は、ネットワークの入り口で攻撃パケットに対処することにより、攻撃対象となるサーバに至る通信経路も攻撃から守ることができることを最も主要な特徴とし、解析専用のサーバを設けることにより、高度な攻撃防御対策を実施できることを特徴とする。   As a result, the present invention is characterized by the fact that the communication path to the attack target server can be protected from the attack by dealing with the attack packet at the entrance of the network, and by providing a dedicated server for analysis. It is characterized by being able to implement advanced attack defense measures.

すなわち、本発明の第一の観点は攻撃パケット防御システムであって、本発明の特徴とするところは、サーバに到来するパケットを当該サーバの前段で受信し当該サーバに対する攻撃パケットを検出する手段と、この検出する手段により攻撃パケットが検出された旨の情報を送出する手段とを備えたファイアウォール装置と、前記攻撃パケットを取得して対策を解析する手段を備えた解析サーバと、ネットワークのボーダに設けられ当該ネットワーク外からのパケットを受信し前記情報に基づき攻撃パケットを識別して前記解析サーバに転送する手段を備えたフィルタ装置とを備えたところにある(請求項1)。   That is, the first aspect of the present invention is an attack packet defense system, and the feature of the present invention is that means that receives a packet arriving at a server at a preceding stage of the server and detects an attack packet against the server. A firewall device comprising means for sending information indicating that an attack packet has been detected by the means for detecting, an analysis server comprising means for obtaining the attack packet and analyzing the countermeasure, and a network border And a filter device provided with means for receiving a packet from outside the network, identifying an attack packet based on the information, and forwarding the attack packet to the analysis server (Claim 1).

前記解析する手段は、前記解析サーバに転送されたパケットの中から前記攻撃パケットを識別する手段と、この識別する手段により識別された前記攻撃パケットの送信元アドレスを解析する手段とを備え、前記フィルタ装置は、解析された前記攻撃パケットの送信元アドレスに基づき当該送信元アドレスを有するパケットを廃棄するフィルタを生成する手段を備えることができる(請求項2)。   The means for analyzing comprises: means for identifying the attack packet from among the packets transferred to the analysis server; and means for analyzing a source address of the attack packet identified by the means for identifying, The filter device may include means for generating a filter that discards a packet having the source address based on the analyzed source address of the attack packet.

あるいは、前記解析する手段は、前記解析サーバに転送されたパケットの中から前記攻撃パケットに該当しない正常パケットを識別する手段と、この識別する手段により識別された前記正常パケットの送信元アドレスを解析する手段とを備え、前記フィルタ装置は、解析された前記正常パケットの送信元アドレスに基づき当該送信元アドレスを有するパケットのみ通過させるフィルタを生成する手段を備えることができる(請求項3)。   Alternatively, the analyzing means analyzes the normal packet that does not correspond to the attack packet from the packets transferred to the analysis server, and analyzes the source address of the normal packet identified by the identifying means The filter device may further comprise means for generating a filter that allows only packets having the source address to pass based on the analyzed source address of the normal packet.

これにより、ネットワークに到来する攻撃パケットを送信元アドレスにより識別して廃棄することができる。前者(請求項2)の場合は、攻撃パケットの送信元アドレスに基づくので、正常パケットの送信元が新規追加された場合には当該正常パケットの送信元からのパケットは正常に宛先に到着する。しかし、新たな攻撃パケット送信元が出現した場合には、これに対処できない。   As a result, attack packets that arrive at the network can be identified by the source address and discarded. In the former case (claim 2), based on the source address of the attack packet, when a normal packet source is newly added, the packet from the normal packet source normally arrives at the destination. However, this cannot be dealt with when a new attack packet source appears.

後者(請求項3)の場合は、正常パケットの送信元アドレスに基づくので、攻撃パケットの送信元が新規追加された場合には当該攻撃パケットの送信元からの攻撃パケットもネットワークの入り口で廃棄される。しかし、新たな正常パケット送信元が出現した場合には、その正常パケットまでもが廃棄されてしまう。   In the latter case (Claim 3), since it is based on the source address of the normal packet, when a new source of the attack packet is added, the attack packet from the source of the attack packet is also discarded at the entrance of the network. The However, when a new normal packet transmission source appears, even the normal packet is discarded.

それぞれ一長一短を有するので、解析サーバは、そのときの状況に応じていずれかの攻撃防御法を適用することになる。例えば、新たな攻撃パケット送信元が頻繁に出現する状況下であれば、後者の方法を適用する。一方、新たな正常パケット送信元が頻繁に出現する状況下であれば、前者の方法を適用する。   Since each has advantages and disadvantages, the analysis server applies any attack defense method according to the situation at that time. For example, if a new attack packet transmission source frequently appears, the latter method is applied. On the other hand, if a new normal packet transmission source frequently appears, the former method is applied.

すなわち、前記解析サーバは、新たな正常パケット送信元の出現状況あるいは新たな攻撃パケット送信元の出現状況を観測する手段と、この観測する手段の観測結果に基づき攻撃パケットの送信元アドレスあるいは正常パケットの送信元アドレスのいずれかを前記フィルタ装置に通知する手段とを備え、前記フィルタ装置は、前記通知する手段により通知された攻撃パケットの送信元アドレスあるいは正常パケットの送信元アドレスのいずれかに基づきフィルタを生成する手段を備えることが望ましい(請求項4)。   That is, the analysis server observes the appearance status of a new normal packet source or the appearance status of a new attack packet source, and the source address or normal packet of the attack packet based on the observation result of the observation means. Means for notifying the filter device of any one of the source addresses of the attack packet, the filter device based on either the source address of the attack packet or the source address of the normal packet notified by the means for notifying It is desirable to provide means for generating a filter (claim 4).

また、攻撃パケットの送信元が送信元アドレスを詐称する場合がある。しかも、攻撃パケットを送信し続けている間に送信元アドレスを次々に変えるという巧妙な攻撃方法をとる場合もある。この場合には、攻撃パケットの送信元アドレスにより攻撃パケットを特定することは困難になる。   Further, the source of the attack packet may misrepresent the source address. In addition, there are cases where a clever attack method is adopted in which the source address is changed one after another while the attack packet is continuously transmitted. In this case, it becomes difficult to identify the attack packet by the source address of the attack packet.

このような巧妙な攻撃に備え、前記解析サーバに転送する手段は、前記解析サーバに転送すべきパケットを前記解析サーバのアドレスを宛先アドレスとし、自フィルタ装置のアドレスを送信元アドレスとしたパケットによりカプセリングして転送する手段を備えることができる(請求項5)。   In preparation for such a clever attack, the means for forwarding to the analysis server uses a packet that has the address of the analysis server as the destination address and the address of the own filter device as the source address. Means for encapsulating and transferring can be provided (claim 5).

すなわち、既に攻撃パケットを受信しているフィルタ装置がわかっているときに、当該フィルタ装置に到着する攻撃対象となる宛先アドレスを有するパケットについては全て解析サーバのアドレスを宛先アドレスとし、自フィルタ装置のアドレスを送信元アドレスとしてカプセリングを行う。このカプセリングされたパケットを受け取った解析サーバでは、攻撃パケットを既に受信しているフィルタ装置からのパケットであることがわかるので、デカプセリングして取り出した中身のパケットの送信元アドレスが詐称されている場合でも当該パケットを攻撃パケットである可能性が高いパケットとして処理することができる。   That is, when a filter device that has already received an attack packet is known, all packets having a destination address to be attacked that arrive at the filter device are set to the address of the analysis server as the destination address. Encapsulation is performed using the address as the source address. The analysis server that has received the encapsulated packet knows that it is a packet from the filter device that has already received the attack packet, so the source address of the content packet extracted by decapsulation is spoofed. Even in this case, the packet can be processed as a packet having a high possibility of being an attack packet.

本発明の第二の観点は、サーバに到来するパケットを当該サーバの前段で受信し当該サーバに対する攻撃パケットを検出する手段と、この検出する手段により攻撃パケットが検出された旨の情報を送出する手段とを備えたことを特徴とするファイアウォール装置である(請求項6)。   According to a second aspect of the present invention, a packet arriving at a server is received at a preceding stage of the server, a means for detecting an attack packet against the server, and information indicating that the attack packet has been detected is transmitted by the detection means. Means for providing a firewall. (Claim 6)

本発明の第三の観点は、攻撃パケットを取得して対策を解析する手段を備え、この解析する手段は、自己に転送されたパケットの中から前記攻撃パケットあるいは前記攻撃パケットに該当しない正常パケットを識別する手段と、この識別する手段により識別された前記攻撃パケットあるいは前記正常パケットの送信元アドレスを解析する手段とを備えたことを特徴とする解析サーバである(請求項7)。   According to a third aspect of the present invention, there is provided means for acquiring an attack packet and analyzing the countermeasure, and the means for analyzing the attack packet or a normal packet that does not correspond to the attack packet among the packets forwarded to itself. And a means for analyzing a source address of the attack packet or the normal packet identified by the means for identifying (Claim 7).

さらに、新たな正常パケット送信元の出現状況あるいは新たな攻撃パケット送信元の出現状況を観測する手段と、この観測する手段の観測結果に基づき攻撃パケットの送信元アドレスあるいは正常パケットの送信元アドレスのいずれかを前記フィルタ装置に通知する手段とを備えることができる(請求項8)。   Furthermore, means for observing the appearance of a new normal packet source or the appearance of a new attack packet source, and the source address of the attack packet or the source address of the normal packet based on the observation result of the means for observing And a means for notifying the filter device of any of them (claim 8).

本発明の第四の観点は、ネットワークのボーダに設けられ当該ネットワーク外からのパケットを受信し攻撃パケットが検出された旨の情報に基づき攻撃パケットを識別して攻撃パケットを取得して対策を解析する手段を備えた解析サーバに転送する手段を備えたことを特徴とするフィルタ装置である(請求項9)。   According to a fourth aspect of the present invention, an attack packet is acquired based on information indicating that an attack packet has been detected by receiving a packet from outside the network provided in a network border, and analyzing the countermeasure by acquiring the attack packet. A filter device characterized by comprising means for transferring to an analysis server comprising means for performing (Claim 9).

さらに、解析された攻撃パケットの送信元アドレスに基づき当該送信元アドレスを有するパケットを廃棄するフィルタを生成する手段を備えることができる(請求項10)。   Furthermore, it is possible to provide a means for generating a filter that discards a packet having the source address based on the source address of the analyzed attack packet.

あるいは、解析された正常パケットの送信元アドレスに基づき当該送信元アドレスを有するパケットのみ通過させるフィルタを生成する手段を備えることができる(請求項11)。   Alternatively, it is possible to provide means for generating a filter that allows only a packet having the source address to pass based on the source address of the analyzed normal packet.

さらに、前記解析サーバに転送する手段は、解析サーバに転送すべきパケットを当該解析サーバのアドレスを宛先アドレスとし、自フィルタ装置のアドレスを送信元アドレスとしたパケットによりカプセリングして転送する手段を備えることができる(請求項12)。   Further, the means for transferring to the analysis server includes means for encapsulating and transferring a packet to be transferred to the analysis server with a packet having the address of the analysis server as the destination address and the address of the own filter device as the source address. (Claim 12).

本発明の第五の観点は、情報処理装置にインストールすることにより、その情報処理装置に、サーバに到来するパケットを当該サーバの前段で受信し当該サーバに対する攻撃パケットを検出する機能と、この検出する機能により攻撃パケットが検出された旨の情報を送出する機能とを備えたファイアウォール装置に相応する機能を実現させることを特徴とするプログラムである(請求項13)。   According to a fifth aspect of the present invention, when installed in an information processing apparatus, the information processing apparatus receives a packet arriving at the server at a preceding stage of the server and detects an attack packet against the server, and this detection And a function corresponding to a firewall device having a function of transmitting information indicating that an attack packet has been detected.

あるいは、本発明のプログラムは、情報処理装置にインストールすることにより、その情報処理装置に、攻撃パケットを取得して対策を解析する機能を実現させ、この解析する機能として、自己に転送されたパケットの中から前記攻撃パケットあるいは前記攻撃パケットに該当しない正常パケットを識別する機能と、この識別する機能により識別された前記攻撃パケットあるいは前記正常パケットの送信元アドレスを解析する機能とを備えた解析サーバに相応する機能を実現させることを特徴とする(請求項14)。   Alternatively, by installing the program of the present invention in the information processing apparatus, the information processing apparatus realizes a function of acquiring an attack packet and analyzing the countermeasure, and the packet transferred to itself as the function of this analysis An analysis server comprising a function for identifying the attack packet or a normal packet that does not correspond to the attack packet, and a function for analyzing a source address of the attack packet or the normal packet identified by the identification function A function corresponding to the above is realized (claim 14).

さらに、新たな正常パケット送信元の出現状況あるいは新たな攻撃パケット送信元の出現状況を観測する機能と、この観測する機能の観測結果に基づき攻撃パケットの送信元アドレスあるいは正常パケットの送信元アドレスのいずれかを前記フィルタ装置に通知する機能とを実現させることができる(請求項15)。   Furthermore, the function of observing the appearance of a new normal packet source or the appearance of a new attack packet source, and the source address of the attack packet or the source address of the normal packet based on the observation result of the observed function The function of notifying either of them to the filter device can be realized (claim 15).

あるいは、本発明のプログラムは、情報処理装置にインストールすることにより、その情報処理装置に、ネットワークのボーダに設けられ当該ネットワーク外からのパケットを受信し攻撃パケットが検出された旨の情報に基づき攻撃パケットを識別して攻撃パケットを取得して対策を解析する手段を備えた解析サーバに転送する機能を備えたフィルタ装置に相応する機能を実現させることを特徴とする(請求項16)。   Alternatively, the program of the present invention can be installed in an information processing apparatus to cause the information processing apparatus to attack based on information indicating that an attack packet has been detected by receiving a packet from outside the network provided in the network border. A function corresponding to a filter device having a function of identifying a packet and acquiring an attack packet and transferring it to an analysis server having means for analyzing a countermeasure is realized (claim 16).

さらに、解析された攻撃パケットの送信元アドレスに基づき当該送信元アドレスを有するパケットを廃棄するフィルタを生成する機能を実現させることができる(請求項17)。   Furthermore, it is possible to realize a function of generating a filter that discards a packet having the source address based on the source address of the analyzed attack packet (claim 17).

あるいは、解析された正常パケットの送信元アドレスに基づき当該送信元アドレスを有するパケットのみ通過させるフィルタを生成する機能を実現させることができる(請求項18)。   Alternatively, it is possible to realize a function of generating a filter that allows only a packet having the source address to pass based on the analyzed source address of the normal packet.

さらに、前記解析サーバに転送する機能として、解析サーバに転送すべきパケットを当該解析サーバのアドレスを宛先アドレスとし、自フィルタ装置のアドレスを送信元アドレスとしたパケットによりカプセリングして転送する機能を実現させることができる(請求項19)。   Furthermore, as a function to transfer to the analysis server, a function to encapsulate and transfer a packet to be transferred to the analysis server by a packet having the address of the analysis server as the destination address and the address of the own filter device as the source address is realized. (Claim 19).

本発明の第六の観点は、本発明のプログラムが記録された前記情報処理装置読取可能な記録媒体である(請求項20)。本発明のプログラムは本発明の記録媒体に記録されることにより、前記情報処理装置は、この記録媒体を用いて本発明のプログラムをインストールすることができる。あるいは、本発明のプログラムを保持するサーバからネットワークを介して直接前記情報処理装置に本発明のプログラムをインストールすることもできる。   A sixth aspect of the present invention is the information processing apparatus-readable recording medium on which the program of the present invention is recorded (claim 20). By recording the program of the present invention on the recording medium of the present invention, the information processing apparatus can install the program of the present invention using this recording medium. Alternatively, the program of the present invention can be directly installed in the information processing apparatus via a network from a server holding the program of the present invention.

これにより、汎用の情報処理装置を用いて、攻撃対象となるサーバだけでなく、当該サーバに至る通信経路も攻撃から守ることができると共に高度な防御対策をとることができる攻撃パケット防御システムを実現することができる。   This makes it possible to use a general-purpose information processing device to realize an attack packet defense system that can protect not only the attack target server but also the communication path to the server from attacks, as well as advanced defense measures. can do.

本発明によれば、攻撃対象となるサーバだけでなく、当該サーバに至る通信経路も攻撃から守ることができる。さらに、攻撃解析専門のサーバを設けることにより、高度な防御対策をとることができる。   ADVANTAGE OF THE INVENTION According to this invention, not only the server used as an attack target but the communication path to the said server can be protected from an attack. Furthermore, by providing a server specialized in attack analysis, advanced defense measures can be taken.

(第一実施例)
本発明第一実施例を図1および図2を参照して説明する。図1は本実施例の全体構成図である。 (First Example)
A first embodiment of the present invention will be described with reference to FIGS. FIG. 1 is an overall configuration diagram of this embodiment.

第一実施例の攻撃パケット防御システムは、図1に示すように、サーバSに到来するパケットを当該サーバSの前段で受信し当該サーバSに対する攻撃パケットを検出する手段と、この検出する手段により攻撃パケットが検出された旨の情報を送出する手段とを備えたファイアウォール装置FWと、前記攻撃パケットを取得して対策を解析する手段を備えた解析サーバASと、ネットワークのボーダに設けられ当該ネットワーク外からのパケットを受信し前記情報に基づき攻撃パケットを識別して解析サーバASに転送する手段を備えたフィルタ装置Fとを備えたことを特徴とする攻撃パケット防御システムである(請求項1、6〜12)。   As shown in FIG. 1, the attack packet defense system according to the first embodiment includes a means for receiving a packet arriving at a server S at a preceding stage of the server S and detecting an attack packet against the server S, and a means for detecting the packet. A firewall apparatus FW provided with means for sending information indicating that an attack packet has been detected, an analysis server AS provided with means for acquiring the attack packet and analyzing the countermeasure, and the network provided in the network border An attack packet defense system comprising: a filter device F having means for receiving a packet from the outside, identifying the attack packet based on the information, and transferring the packet to the analysis server AS (Claim 1, 6-12).

フィルタ装置Fは、本実施例では、説明をわかり易くするために、ボーダルータBRの外付け装置として記載したがボーダルータBRの内部機能として設けてもよい。   In this embodiment, the filter device F is described as an external device of the border router BR in order to make the explanation easy to understand, but it may be provided as an internal function of the border router BR.

前記解析する手段は、解析サーバASに転送されたパケットの中から前記攻撃パケットを識別する手段と、この識別する手段により識別された前記攻撃パケットの送信元アドレスを解析する手段とを備え、フィルタ装置Fは、解析された前記攻撃パケットの送信元アドレスに基づき当該送信元アドレスを有するパケットを廃棄するフィルタを生成する手段を備える(請求項2、7、10)。   The means for analyzing comprises means for identifying the attack packet from among the packets transferred to the analysis server AS, and means for analyzing the source address of the attack packet identified by the means for identifying. The apparatus F includes means for generating a filter that discards a packet having the source address based on the analyzed source address of the attack packet (claims 2, 7, and 10).

次に、第一実施例の攻撃パケット防御手順を説明する。   Next, the attack packet defense procedure of the first embodiment will be described.

サーバSに複数のユーザがアクセスしているときに、例えばDoS攻撃を行ってサーバをダウンさせようとする攻撃ユーザがいる場合を想定する。図1における数字は次に説明する手順の数字に対応する。
(1)サーバの前に設置されたファイアウォール装置FWで、例えば、Synパケットの増加等の攻撃の検出を行う。
(2)ファイアウォール装置FWは、網内のすべてのボーダルータBRに対して攻撃検出を周知する。この周知はボーダルータBRを介してフィルタ装置Fに伝達される。周知内容は、サーバSのIPアドレスである。
(3)各フィルタ装置Fでは、当該サーバSのIPアドレス行きのパケットを網内に備えられた解析サーバASへ転送する。解析サーバASでは、各アクセスの正当性を個別に解析する。 When a plurality of users are accessing the server S, for example, a case is assumed where there is an attack user who attempts to bring down the server by performing a DoS attack. The numbers in FIG. 1 correspond to the numbers in the procedure described below.
(1) The firewall device FW installed in front of the server detects an attack such as an increase in Syn packets.
(2) The firewall device FW notifies attack detection to all the border routers BR in the network. This information is transmitted to the filter device F via the border router BR. The well-known content is the IP address of the server S.
(3) Each filter device F transfers a packet destined for the IP address of the server S to the analysis server AS provided in the network. The analysis server AS analyzes the legitimacy of each access individually.

図2は、正常シーケンスとSynアタックとの比較を示す図である。正常なシーケンスでは、図2(a)に示すように、Syn,Syn−Ack,Ackというシーケンスで通信が開始される。一方、Synアタックでは、図2(b)に示すように、Syn,Syn−Ackの後、ユーザがリスポンスせず、再び、繰り返しSynパケットをサーバSに送りつける。サーバSは多くのAck待ち状態(Half−open状態)となり、サーバSの許容量を超えると新規のSynを受け付けなくなり、さらにサーバSがダウンすることになる。   FIG. 2 is a diagram showing a comparison between a normal sequence and a Syn attack. In the normal sequence, as shown in FIG. 2A, communication is started in the sequence of Syn, Syn-Ack, Ack. On the other hand, in the Syn attack, as shown in FIG. 2B, after the Syn, Syn-Ack, the user does not respond, and repeatedly sends the Syn packet to the server S again. The server S enters a large number of Ack waiting states (Half-open state). When the server S exceeds the allowable amount, no new Syn is accepted, and the server S is further down.

解析サーバASでは、このようなSynパケットの転送パターンを解析することにより攻撃パターンを認識する。その他にも、セグメントの異常や、他の攻撃パターンの解析も行われる。
(4)悪意が判明したユーザに対しては、ボーダルータBRを介してフィルタ装置Fに攻撃パケット送信元アドレスを通知する。
(5)この通知を受けたフィルタ装置Fは、攻撃パケット送信元のアドレスを有するパケットを通過させないフィルタを生成するので、悪意が判明したユーザはサーバSにアクセスできなくなる。 The analysis server AS recognizes the attack pattern by analyzing the transfer pattern of such a Syn packet. In addition, segment anomalies and other attack patterns are also analyzed.
(4) The attack packet transmission source address is notified to the filter device F via the border router BR to the user who has been found to be malicious.
(5) Since the filter device F that has received this notification generates a filter that does not allow the packet having the address of the attack packet transmission source to pass, the user who has been found malicious cannot access the server S.

(第二実施例)
第二実施例を図3および図4を参照して説明する。 (Second embodiment)
A second embodiment will be described with reference to FIGS.

第一実施例では、攻撃パケット送信元のアドレスに基づき攻撃パケットを廃棄したが、第二実施例では、正常パケット送信元のアドレスに基づき攻撃パケットを廃棄する。   In the first embodiment, the attack packet is discarded based on the address of the attack packet transmission source. In the second embodiment, the attack packet is discarded based on the address of the normal packet transmission source.

解析サーバASの前記解析する手段は、解析サーバASに転送されたパケットの中から前記攻撃パケットに該当しない正常パケットを識別する手段と、この識別する手段により識別された前記正常パケットの送信元アドレスを解析する手段とを備え、フィルタ装置Fは、解析された前記正常パケットの送信元アドレスに基づき当該送信元アドレスを有するパケットのみ通過させるフィルタを生成する手段を備える(請求項3、7、11)。   The analyzing means of the analysis server AS includes means for identifying a normal packet that does not correspond to the attack packet from among the packets transferred to the analysis server AS, and a source address of the normal packet identified by the identification means And the filter device F includes means for generating a filter that passes only a packet having the source address based on the analyzed source address of the normal packet (claims 3, 7, 11). ).

次に、第二実施例の攻撃パケット防御手順を説明する。サーバSに複数のユーザがアクセスしているときに、例えばDoS攻撃を行ってサーバをダウンさせようとする攻撃ユーザがいる場合を想定する。図3は第二実施例の攻撃パケット防御システムの全体構成図である。図3における数字は次に説明する手順の数字に対応する。
(1)サーバの前に設置されたファイアウォール装置FWで、例えば、Synパケットの増加等の攻撃の検出を行う。
(2)ファイアウォール装置FWは、網内のすべてのボーダルータBRに対して攻撃検出を周知する。この周知はボーダルータBRを介してフィルタ装置Fに伝達される。周知内容は、サーバSのIPアドレスである。
(3)各フィルタ装置Fでは、当該サーバSのIPアドレス行きのパケットを網内に備えられた解析サーバASへ転送する。解析サーバASでは、各アクセスの正当性を個別に解析する。
(4)解析サーバASで正常アクセスと判断された場合には、当該送信元アドレスのIPパケットのみ通過させるように、フィルタ装置Fに正常パケット送信元アドレスを通知する。
(5)この通知を受けたフィルタ装置Fは、正常パケット送信元のアドレスを有するパケットのみを通過させるフィルタを生成し、当該正常パケット送信元のアドレスを有するパケットを受信するとこれをサーバSに転送する。 Next, the attack packet defense procedure of the second embodiment will be described. When a plurality of users are accessing the server S, for example, a case is assumed where there is an attack user who attempts to bring down the server by performing a DoS attack. FIG. 3 is an overall configuration diagram of the attack packet defense system of the second embodiment. The numbers in FIG. 3 correspond to the numbers in the procedure described below.
(1) The firewall device FW installed in front of the server detects an attack such as an increase in Syn packets.
(2) The firewall device FW notifies attack detection to all the border routers BR in the network. This information is transmitted to the filter device F via the border router BR. The well-known content is the IP address of the server S.
(3) Each filter device F transfers a packet destined for the IP address of the server S to the analysis server AS provided in the network. The analysis server AS analyzes the legitimacy of each access individually.
(4) When the analysis server AS determines that the access is normal, the filter device F is notified of the normal packet source address so that only the IP packet of the source address is passed.
(5) Upon receiving this notification, the filter device F generates a filter that passes only packets having the address of the normal packet transmission source, and transfers the packet to the server S when receiving the packet having the address of the normal packet transmission source. To do.

正常パケット送信元の判定手順を図4を参照して説明する。図4は正常パケット送信元の判定手順を示す図である。解析サーバASは、図4に示すように、ユーザからのSynパケットに対してSyn−Ackを返送する。これに対し、Ackをくれたユーザに対し、1度、Resetを送り、同時にフィルタ装置Fに対し、ルートの変更を指示して当該ユーザからのパケットをサーバSへ転送するように指示する。ユーザは、Resetを受け取り、再びSynパケットを送ると、サーバSへ正常にパケットが転送され、正常に通信が開始される。   A procedure for determining a normal packet transmission source will be described with reference to FIG. FIG. 4 is a diagram illustrating a procedure for determining a normal packet transmission source. As shown in FIG. 4, the analysis server AS returns a Syn-Ack to the Syn packet from the user. On the other hand, a Reset is sent once to the user who gave Ack, and at the same time, the filter device F is instructed to change the route and transfer the packet from the user to the server S. When the user receives the Reset and sends the Syn packet again, the packet is normally transferred to the server S, and communication is normally started.

(第三実施例)
第一実施例では、攻撃パケットの送信元アドレスに基づくので、正常パケットの送信元が新規追加された場合には当該正常パケットの送信元からのパケットは正常に宛先に到着する。しかし、新たな攻撃パケット送信元が出現した場合には、これに対処できない。 (Third embodiment)
In the first embodiment, since it is based on the source address of the attack packet, when a normal packet source is newly added, the packet from the normal packet source normally arrives at the destination. However, this cannot be dealt with when a new attack packet source appears.

第二実施例では、正常パケットの送信元アドレスに基づくので、攻撃パケットの送信元が新規追加された場合には当該攻撃パケットの送信元からの攻撃パケットもネットワークの入り口で廃棄される。しかし、新たな正常パケット送信元が出現した場合には、その正常パケットまでもが廃棄されてしまう。   In the second embodiment, since it is based on the transmission source address of the normal packet, when a transmission source of the attack packet is newly added, the attack packet from the transmission source of the attack packet is also discarded at the entrance of the network. However, when a new normal packet transmission source appears, even the normal packet is discarded.

それぞれ一長一短を有するので、解析サーバASは、そのときの状況に応じていずれかの攻撃防御法を適用することになる。例えば、新たな攻撃パケット送信元が頻繁に出現する状況下であれば、第二実施例の方法を適用する。一方、新たな正常パケット送信元が頻繁に出現する状況下であれば、第一実施例の方法を適用する。   Since each has advantages and disadvantages, the analysis server AS applies any attack defense method according to the situation at that time. For example, if a new attack packet transmission source frequently appears, the method of the second embodiment is applied. On the other hand, if a new normal packet transmission source appears frequently, the method of the first embodiment is applied.

すなわち、解析サーバASは、新たな正常パケット送信元の出現状況あるいは新たな攻撃パケット送信元の出現状況を観測する手段と、この観測する手段の観測結果に基づき攻撃パケットの送信元アドレスあるいは正常パケットの送信元アドレスのいずれかをフィルタ装置Fに通知する手段とを備え、フィルタ装置Fは、前記通知する手段により通知された攻撃パケットの送信元アドレスあるいは正常パケットの送信元アドレスのいずれかに基づきフィルタを生成する手段を備える(請求項4、8)。   That is, the analysis server AS observes the appearance status of a new normal packet transmission source or the appearance status of a new attack packet transmission source, and the source address or normal packet of the attack packet based on the observation result of the observation means. Means for notifying the filtering device F of any one of the transmission source addresses of the attack packet, the filtering device F based on either the transmission source address of the attack packet or the transmission source address of the normal packet notified by the notification unit Means for generating a filter are provided (claims 4 and 8).

さらに詳細に説明すると、ファイアウォール装置FWでは、常時、攻撃を監視し、攻撃が検出されたときには、その旨を解析サーバASに通知する。これにより、解析サーバASでは、新規な攻撃パケット送信元の出現頻度を観測することができる。また、攻撃対象となるサーバSに向かうパケットは、全て解析サーバASに転送され、そのパケットの中から正常パケットを識別する。このときに新規な正常パケット送信元の出現頻度を観測することができる。   More specifically, the firewall device FW constantly monitors an attack, and notifies the analysis server AS when the attack is detected. Thereby, the analysis server AS can observe the appearance frequency of a new attack packet transmission source. Further, all packets destined for the server S to be attacked are transferred to the analysis server AS, and normal packets are identified from the packets. At this time, the appearance frequency of a new normal packet transmission source can be observed.

解析サーバASは、この観測結果に基づき第一あるいは第二実施例で説明した防御対策のいずれかをフィルタ装置Fに指示する。   Based on this observation result, the analysis server AS instructs the filter device F to take one of the defense measures described in the first or second embodiment.

(第四実施例)
第四実施例を図5を参照して説明する。図5は解析サーバASに転送するパケットに対するカプセリングを説明するための図である。第四実施例では、第一〜第三実施例のいずれにも適用できる解析サーバASへのパケット転送方法を説明する。 (Fourth embodiment)
A fourth embodiment will be described with reference to FIG. FIG. 5 is a diagram for explaining encapsulation for a packet transferred to the analysis server AS. In the fourth embodiment, a packet transfer method to the analysis server AS that can be applied to any of the first to third embodiments will be described.

フィルタ装置Fの解析サーバASにパケットを転送する手段は、解析サーバASに転送すべきパケットを解析サーバASのアドレスを宛先アドレスとし、自フィルタ装置Fのアドレスを送信元アドレスとしたパケットによりカプセリングして転送する手段を備える(請求項5、12)。   The means for transferring the packet to the analysis server AS of the filter device F encapsulates the packet to be transferred to the analysis server AS with a packet having the address of the analysis server AS as the destination address and the address of the own filter device F as the source address. And transferring means (claims 5 and 12).

すなわち、フィルタ装置Fで、解析サーバASへの転送を命じられた攻撃対象となるサーバS行きのIPパケットをカプセリングし、解析サーバASを宛先アドレスとし、当該フィルタ装置Fを送信元アドレスとする。これにより攻撃ユーザが自らの送信元アドレスを偽っていても、少なくともフィルタ装置FのI/O等は把握でき、当該攻撃対象の宛先アドレス行きのパケットを規制することができる。   That is, the filter device F encapsulates the IP packet destined for the attack target server S, which is ordered to be transferred to the analysis server AS, and sets the analysis server AS as the destination address and the filter device F as the source address. As a result, even if the attacking user misrepresents his / her source address, at least I / O of the filter device F can be grasped, and packets destined for the destination address of the attack target can be regulated.

例えば、攻撃パケット送信元のユーザは、攻撃パケットを送信し続けている間に送信元アドレスを次々に変えるという巧妙な攻撃方法をとる場合もある。この場合には、攻撃パケットの送信元アドレスにより攻撃パケットを特定することは困難になる。   For example, the user of the attack packet source may take a clever attack method of changing the source address one after another while continuing to transmit the attack packet. In this case, it becomes difficult to identify the attack packet by the source address of the attack packet.

このような巧妙な攻撃を受けた場合には、既に攻撃パケットを受信しているフィルタ装置Fがわかっているのであるから、当該フィルタ装置Fに到着する攻撃対象となるサーバSの宛先アドレスを有するパケットについては全て解析サーバASのアドレスを宛先アドレスとし、自フィルタ装置Fのアドレスを送信元アドレスとしてカプセリングを行う。このカプセリングされたパケットを受け取った解析サーバASでは、既に攻撃パケットを受信しているフィルタ装置Fからのパケットであることがわかるので、デカプセリングして取り出した中身のパケットの送信元アドレスが詐称されている場合でも当該パケットを攻撃パケットである可能性が高いパケットとして処理することができる。   In the case of such a sophisticated attack, since the filter device F that has already received the attack packet is known, it has the destination address of the server S to be attacked that arrives at the filter device F. All packets are encapsulated with the address of the analysis server AS as the destination address and the address of the own filter device F as the source address. The analysis server AS that has received the encapsulated packet knows that the packet is from the filter device F that has already received the attack packet. Even if it is, the packet can be processed as a packet having a high possibility of being an attack packet.

(第五実施例)
本発明は、汎用の情報処理装置にインストールすることにより、その情報処理装置に本発明のファイアウォール装置F、解析サーバAS、フィルタ装置Fにそれぞれ相応する機能を実現させるプログラムとして実現することができる(請求項13〜19)。このプログラムは、記録媒体に記録されて情報処理装置にインストールされ(請求項20)、あるいは通信回線を介して情報処理装置にインストールされることにより当該情報処理装置に、ファイアウォール装置F、解析サーバAS、フィルタ装置Fの各手段にそれぞれ相応する機能を実現させることができる。 (Fifth embodiment)
The present invention can be implemented as a program that, when installed in a general-purpose information processing apparatus, causes the information processing apparatus to realize functions corresponding to the firewall apparatus F, the analysis server AS, and the filter apparatus F of the present invention, respectively ( Claims 13 to 19). The program is recorded on a recording medium and installed in the information processing apparatus (claim 20), or installed in the information processing apparatus via a communication line, so that the information processing apparatus includes the firewall device F and the analysis server AS. A function corresponding to each means of the filter device F can be realized.

本発明によれば、攻撃対象となるサーバに至る通信経路も攻撃から守ることができる。さらに、攻撃解析専門のサーバを設けることにより、高度な防御対策をとることができる。これにより、正常なアクセスを行うユーザが攻撃を行う悪意のユーザによる悪影響を受けることを低減させ、正常なアクセスを行うユーザに対するサービス品質を向上させることができる。   According to the present invention, it is possible to protect the communication path to the attack target server from the attack. Furthermore, by providing a server specialized in attack analysis, advanced defense measures can be taken. Thereby, it is possible to reduce the adverse effect of a malicious user who performs an attack on a user who performs normal access, and to improve the quality of service for the user who performs normal access.

第一実施例の攻撃パケット防御システムの全体構成図。The whole block diagram of the attack packet defense system of a 1st Example. 正常シーケンスとSynアタックとの比較を示す図。The figure which shows the comparison with a normal sequence and a Syn attack. 第二実施例の攻撃パケット防御システムの全体構成図。The whole block diagram of the attack packet defense system of a 2nd Example. 解析サーバにおける正常パケット判定手順を示す図。The figure which shows the normal packet determination procedure in an analysis server. 第四実施例の解析サーバに転送するパケットに対するカプセリングを説明するための図。The figure for demonstrating the encapsulation with respect to the packet transferred to the analysis server of 4th Example. 従来のファイアウォールシステムの構成図。The block diagram of the conventional firewall system.

符号の説明Explanation of symbols

AS 解析サーバ
BR ボーダルータ
F フィルタ装置
FW ファイアウォール装置
S サーバ AS analysis server BR border router F filter device FW firewall device S server

Claims (4)

サーバに到来するパケットを当該サーバの前段で受信し当該サーバに対する攻撃パケットを検出する手段と、
この検出する手段により攻撃パケットが検出された旨の情報を送出する手段と
を備えたファイアウォール装置と、
前記攻撃パケットを取得して対策を解析する手段を備えた解析サーバと、
ネットワークのボーダに設けられ当該ネットワーク外からのパケットを受信し前記情報に基づき攻撃パケットを識別して前記解析サーバに転送する手段を備えたフィルタ装置と
を備え
前記解析サーバは、
新たな正常パケット送信元の出現状況あるいは新たな攻撃パケット送信元の出現状況を観測する手段と、
この観測する手段の観測結果に基づき攻撃パケットの送信元アドレスあるいは正常パケットの送信元アドレスのいずれかを前記フィルタ装置に通知する手段と
を備え、
前記フィルタ装置は、前記通知する手段により通知された攻撃パケットの送信元アドレスあるいは正常パケットの送信元アドレスのいずれかに基づきフィルタを生成する手段を備えた
ことを特徴とする攻撃パケット防御システム。 Means for receiving a packet arriving at a server at a preceding stage of the server and detecting an attack packet against the server;
A firewall device comprising means for sending information indicating that an attack packet has been detected by the means for detecting;
An analysis server comprising means for acquiring the attack packet and analyzing the countermeasure;
A filter device provided with a means for receiving a packet from outside the network provided in a network border, identifying an attack packet based on the information and transferring the attack packet to the analysis server ;
The analysis server
Means for observing the appearance of a new normal packet source or the appearance of a new attack packet source;
Means for notifying the filter device of either the source address of the attack packet or the source address of the normal packet based on the observation result of the means for observing;
With
The attack packet protection system , wherein the filter device includes means for generating a filter based on either the source address of the attack packet notified by the means for notifying or the source address of a normal packet . 攻撃パケットを取得して対策を解析する手段を備え、
この解析する手段は、
自己に転送されたパケットの中から前記攻撃パケットあるいは前記攻撃パケットに該当しない正常パケットを識別する手段と、
この識別する手段により識別された前記攻撃パケットあるいは前記正常パケットの送信元アドレスを解析する手段と
を備え、
新たな正常パケット送信元の出現状況あるいは新たな攻撃パケット送信元の出現状況を観測する手段と、
この観測する手段の観測結果に基づき攻撃パケットの送信元アドレスあるいは正常パケットの送信元アドレスのいずれかを前記フィルタ装置に通知する手段と
を備えたことを特徴とする解析サーバ It has means to acquire attack packets and analyze countermeasures,
This means of analysis is
Means for identifying the attack packet or a normal packet not corresponding to the attack packet from among the packets forwarded to itself;
Means for analyzing a source address of the attack packet or the normal packet identified by the identifying means;
With
Means for observing the appearance of a new normal packet source or the appearance of a new attack packet source;
Means for notifying the filter device of either the source address of the attack packet or the source address of the normal packet based on the observation result of the means for observing;
An analysis server characterized by comprising: 情報処理装置にインストールすることにより、その情報処理装置に、
攻撃パケットを取得して対策を解析する機能を実現させ、
この解析する機能として、
自己に転送されたパケットの中から前記攻撃パケットあるいは前記攻撃パケットに該当しない正常パケットを識別する機能と、
この識別する機能により識別された前記攻撃パケットあるいは前記正常パケットの送信元アドレスを解析する機能と
を備えた解析サーバに相応する機能を実現させ、
新たな正常パケット送信元の出現状況あるいは新たな攻撃パケット送信元の出現状況を観測する機能と、
この観測する機能の観測結果に基づき攻撃パケットの送信元アドレスあるいは正常パケットの送信元アドレスのいずれかを前記フィルタ装置に通知する機能と
を実現させる
ことを特徴とするプログラム By installing on an information processing device,
Realize the function to acquire attack packets and analyze countermeasures,
As a function to analyze this,
A function for identifying the attack packet or a normal packet not corresponding to the attack packet from among the packets forwarded to itself;
A function of analyzing a source address of the attack packet or the normal packet identified by the identifying function;
The function corresponding to the analysis server equipped with
A function for observing the appearance of a new normal packet source or the appearance of a new attack packet source;
A function of notifying the filter device of either the source address of the attack packet or the source address of the normal packet based on the observation result of the function to be observed;
Realize
A program characterized by that . 請求項3に記載のプログラムが記録された前記情報処理装置読み取り可能な記録媒体
 A recording medium readable by the information processing apparatus on which the program according to claim 3 is recorded .
JP2003383964A 2003-11-13 2003-11-13 Attack packet protection system Expired - Fee Related JP3784799B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003383964A JP3784799B2 (en) 2003-11-13 2003-11-13 Attack packet protection system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003383964A JP3784799B2 (en) 2003-11-13 2003-11-13 Attack packet protection system

Publications (2)

Publication Number Publication Date
JP2005151039A JP2005151039A (en) 2005-06-09
JP3784799B2 true JP3784799B2 (en) 2006-06-14

Family

ID=34692538

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003383964A Expired - Fee Related JP3784799B2 (en) 2003-11-13 2003-11-13 Attack packet protection system

Country Status (1)

Country Link
JP (1) JP3784799B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7889735B2 (en) * 2005-08-05 2011-02-15 Alcatel-Lucent Usa Inc. Method and apparatus for defending against denial of service attacks in IP networks based on specified source/destination IP address pairs
US20070033650A1 (en) * 2005-08-05 2007-02-08 Grosse Eric H Method and apparatus for defending against denial of service attacks in IP networks by target victim self-identification and control
JP4776412B2 (en) * 2006-03-23 2011-09-21 エヌ・ティ・ティ・コミュニケーションズ株式会社 Packet transfer apparatus, packet transfer method, and program
US8914885B2 (en) * 2006-11-03 2014-12-16 Alcatel Lucent Methods and apparatus for delivering control messages during a malicious attack in one or more packet networks

Also Published As

Publication number Publication date
JP2005151039A (en) 2005-06-09

Similar Documents

Publication Publication Date Title
US7930740B2 (en) System and method for detection and mitigation of distributed denial of service attacks
US8295188B2 (en) VoIP security
US8175096B2 (en) Device for protection against illegal communications and network system thereof
US7965636B2 (en) Loadbalancing network traffic across multiple remote inspection devices
US20060212572A1 (en) Protecting against malicious traffic
JP2005229614A (en) Method and apparatus for defendable from denial-of-service attack camouflaging ip transmission source address
Tritilanunt et al. Entropy-based input-output traffic mode detection scheme for dos/ddos attacks
JP2004140524A (en) Method and apparatus for detecting dos attack, and program
JP4284248B2 (en) Application service rejection attack prevention method, system, and program
JP4620070B2 (en) Traffic control system and traffic control method
EP1461704B1 (en) Protecting against malicious traffic
JP2010193083A (en) Communication system, and communication method
KR101118398B1 (en) Method and apparatus for overriding denunciations of unwanted traffic in one or more packet networks
JP2006100874A (en) Defense method against application type denial of service attack, and edge router
JP3784799B2 (en) Attack packet protection system
JP2007259223A (en) Defense system and method against illegal access on network, and program therefor
JP2004248185A (en) System for protecting network-based distributed denial of service attack and communication device
JP4641848B2 (en) Unauthorized access search method and apparatus
US20090222904A1 (en) Network access node computer for a communication network, communication system and method for operating a communication system
JP2002158699A (en) Method, device and system for preventing dos attack and recording medium
EP3270569B1 (en) Network protection entity and method for protecting a communication network against malformed data packets
JP2005130190A (en) Defense system for attack packet
US11824831B2 (en) Hole punching abuse
JP2008028720A (en) Ip network apparatus capable of controlling send side ip address arrogating ip packet, and send side ip address arrogating ip packet control method
JP4152356B2 (en) Application-type denial of service protection method

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20051209

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20051227

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060208

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060314

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060315

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090324

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100324

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110324

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110324

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120324

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130324

Year of fee payment: 7

LAPS Cancellation because of no payment of annual fees