JP3828523B2 - 不正アクセス防御装置及びプログラム - Google Patents

不正アクセス防御装置及びプログラム Download PDF

Info

Publication number
JP3828523B2
JP3828523B2 JP2003275281A JP2003275281A JP3828523B2 JP 3828523 B2 JP3828523 B2 JP 3828523B2 JP 2003275281 A JP2003275281 A JP 2003275281A JP 2003275281 A JP2003275281 A JP 2003275281A JP 3828523 B2 JP3828523 B2 JP 3828523B2
Authority
JP
Japan
Prior art keywords
packet
unauthorized access
input
function
rip
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003275281A
Other languages
English (en)
Other versions
JP2005039591A (ja
Inventor
由希子 上斗米
修一 進藤
武明 菊池
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2003275281A priority Critical patent/JP3828523B2/ja
Publication of JP2005039591A publication Critical patent/JP2005039591A/ja
Application granted granted Critical
Publication of JP3828523B2 publication Critical patent/JP3828523B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ネットワークからの不正アクセスを防御する不正アクセス防御装置及びプログラムに関する。
近年、サービスを提供するサーバに対して大量のデータや接続要求を送りつけ、当該サーバのリソースを消費させ、本来のサービスを不能にするDOS(サービス妨害:Denial of Service)という種類の攻撃が多発している。
そこで、以上のような不正アクセスからサーバを防御するために、IDPS(侵入検知/防御装置:Intrusion Detection and Protection System)が開発されている。このIDPSによるDOS攻撃の防御は、TCP/IPのうち、TCPプロトコルを対象とする場合が多い。一般に、インターネットで使用されるプロトコルとしては、TCP以外にUDP(User Datagram Protocol)があるが、このUDPの場合にはコネクション管理、応答確認等の処理ができないので、DOS攻撃からサーバを防御するのが難しい状況にある。
ここで、TCPとUDPとの違いについて説明する。
TCPはコネクション型、UDPはコネクションレス型の通信手法をとっている。TCPによる通信のやり取りは、図13に示すようにクライアントからサーバにデータ(DATA)を送る場合、ある一定量のデータを転送した後、必ずサーバから確認応答パケット(ACK)を受け取るので、データが確実にサーバ側に届いたことを確認した上、さらにデータを送信しつづける仕組みとなっている。従って、クライアントは、サーバ側でデータを受領したことを確認しつつ送信するので、データを確実に送信することができる。実際的には、クライアント−サーバは、それぞれパケットに付与されたシーケンス番号と確認応答番号とを確認しながら、データ転送処理を行っている。
一方、UDPは、図14に示すように、クライアントから単にデータを送るだけであり、サーバから確認応答パケットなどを受け取る仕組みとなっていない。つまり、サーバが如何なる状態であるかを問わずにデータを送りつづけるのが特徴である。
従って、以上のような違いから、サーバがDOS攻撃を受けた場合には防御が非常に難しい。
図15(a)、(b)、(c)は、IPヘッダ、TCPヘッダ、UDPヘッダにそれぞれ含まれる情報を示す図である。この図から明らかなように、IPヘッダはTCP、UDPに共通に付けられる。一方、TCPヘッダにはシーケンス番号や確認応答(ACK)番号が含まれている。この番号は、一つ一つのパケットに一意に付けられる番号であって、この番号を利用してクライアント、サーバがパケット到達の確認を行っている。
これに対し、UDPヘッダには以上のようなシーケンス番号や確認応答番号が含まれていない。その結果、クライアント、サーバ間ではデータが確実に相手先に到達したかを確認する手段をもっていない。
ところで、IDPSが対象とする一般的なTCPのDOS攻撃及びその防御方法は、次に述べるような3つの手法がある。
(1) SYN(Synchronize Sequence Number)フラッド攻撃に対する防御。
一般に正常なTCPコネクションの確立は、図16(a)に示すように、TCPのコネクション確立要求であるSYNパケットを送信し、サーバ側から確認応答ACKを受けると、それに対する確認応答パケットACKを送信し、その後、データを送る通信手法をとっているが、SYNフラッド攻撃の場合は、図16(b)に示すようにクライアントがTCPのコネクション確立要求であるSYNパケットを送り、サーバから確認応答ACKを受けるが、TCPコネクションを確立しないこと、つまり最後の確認応答パケットACKを返信しないことにより、サーバがタイムアウトするまでリソースを確保することを利用し、サーバのリソースを使い尽くしてしまう攻撃である。
このSYNフラッド攻撃に対する防御は、コネクションが確立されるまでの時間等を監視し、SYNフラッドの攻撃を防御するものである。
(2) ESTABLISH(確認)フラッド攻撃に対する防御。
このESTABLISHフラッド攻撃は、TCPコネクションの確立後、データを送らないことにより、サーバのリソースを使い尽くす攻撃である。
このフラッド攻撃に対する防御は、コネクション確立後にデータが送られてくるかを監視し、当該ESTABLISHフラッド攻撃を防御するものである。
(3)一般的なDDOS(Datagram DOS)攻撃に対する防御。
このDDOS攻撃は、多数の個所からサービスサーバに対して大量にアクセスする攻撃である。この攻撃の防御は、ある閾値をもたせ、その閾値以上のアクセス要求があったとき、そのアクセスを拒否したり、サーバの負荷(例えばCPU、ネットワークリソースなど)状況を監視し、この負荷状況が予め定める閾値を越えた時、アクセス要求を拒否し、防御するものである。
さらに、以上のようなTCPのDOS攻撃防御法とは別に、近年、不正アクセスを検出する侵入検出装置が提案されている(特許文献1)。
この侵入検出装置は、ルータ内部に、ルータに到達するパケットを取得し、このパケットのヘッダに記載されるデータに基づいてセションごとに構造体を生成し、不正アクセスの侵入の有無を検出する侵入検出部を設けてなる構成である。すなわち、この侵入検出部は、予め所定の不正検出閾値が設定され、セションが正常に終了した場合に破棄するとともに、所定の周期ごとに構造体の総数が不正検出閾値を越えたか否かを検査し、不正検出閾値を越えた構造体があれば、不正アクセスの侵入があると検出するものである。
特開2002−252654
従って、以上のような不正アクセス防御方法ないし装置は、何れもネットワークプロトコルのTCPにおけるDOS攻撃に対する防御であり、UDPパケットの例えばICMP(Internet Control Message Protcol)、DNS(Domain Name System)、RIP(Routing Information Protcol)等を使用してアクセスしてくる攻撃に対して防御することが難しく、ひいてはサーバを過負荷状態にさせてサービスを停止させてしまう等の問題がある。
本発明は上記事情にかんがみてなされたもので、UDPパケットを使用してアクセスしてくる攻撃を確実に防御する不正アクセス防御装置及びプログラムを提供することを目的とする。
(1) クライアントからのアクセス要求のもとに外部のネットワークを通してUDPパケットを使用してサーバに攻撃を仕掛けてくる不正アクセスを防御する不正アクセス防御装置において、前記外部のネットワーク側及びサーバ側から入力されるパケットがUDPパケットか,所定タイプのICMPのエラーパケットであるかを判定する第1のパケット判定手段と、この第1のパケット判定手段によって前記サーバ側から入力されパケットが所定タイプのICMPのエラーパケットであると判定された場合、当該パケットの送信元・送信先IPアドレスのもとにICMPエラー回数をカウントアップしていく登録手段と、前記第1のパケット判定手段によって前記外部のネットワーク側から入力されパケットがUDPパケットと判定された場合、前記UDPパケットの送信元・送信先IPアドレスをキーとし、前記ICMPエラー回数が予め定める閾値を越えたかを超えたかを判定する第2の判定手段と、この第2の判定手段で閾値を超えていると判定された場合、前記外部ネットワーク側から入力されたパケットを破棄するパケット処理手段とを設けた構成である。
この発明は以上のような構成とすることにより、外部からネットワークを通してUDPパケットを使用してサーバを攻撃してくる場合、サーバ側から入力されるパケットがUDPパケットか、所定タイプのICMPのエラーパケットかを判定し、所定タイプのICMPのエラーパケットである場合にはICMPエラー回数をカウントアップし、外部のネットワーク側から入力されたパケットがUDPと判定されたとき、前記ICMPエラー回数が予め定める閾値を超えたとき、パケットを破棄するので、UDPパケットを使用してアクセスしてくる攻撃を確実に防御することが可能となる。
なお、以上のようなUDPパケットを使用してサーバを攻撃してくる防御処理は、プログラムによっても同様に実現できるものである。
(2) 本発明に係る不正アクセス防御装置は、 クライアントからのアクセス要求のもとに外部からネットワークを通してUDPパケットを使用してサーバに攻撃を仕掛けてくる場合、前記外部のネットワーク側及び前記サーバ側から入力されるパケットがDNSリクエストかDNSリプライかを判定する第1のパケット判定手段と、この第1のパケット判定手段によって前記外部ネットワーク側から入力されパケットがDNSリクエストと判定された場合、当該パケットの送信元・送信先IPアドレス、DNS識別子をキーとし、リクエスト数が予め定める閾値を超えたかを判定する第2のパケット判定手段と、この第2のパケット判定手段で閾値を超えていないと判定された場合、該当パケットの送信元・送信先IPアドレス、DNS識別子のもとにリクエスト数をカウントアップする第1の登録手段と、前記第1のパケット判定手段によって前記サーバ側から入力されパケットがDNSリプライと判定された場合、前記入力されたパケットの送信元・送信先IPアドレス、DNS識別子に対応するリクエスト数を減らす第2の登録手段と、前記第2のパケット判定手段でDNSリクエスト数が閾値を超えたと判定された場合、前記外部ネットワーク側から入力されたパケットを破棄するパケット処理手段とを設けた構成である。
この発明は以上のような構成とすることにより、外部からネットワークを通してUDPパケットのDNSを使用してサーバを攻撃してくる場合、外部ネットワーク側から入力されるパケットがリクエストと判定し、このリクエスト数が予め定める閾値を超えていない場合にはリクエスト数をカウントアップし、超えている場合にはパケットを破棄するので、UDPパケットを使用してアクセスしてくる攻撃を確実に防御することが可能となる。
なお、以上のようなUDPパケットのDNSを使用してサーバを攻撃してくる防御処理は、プログラムによっても同様に実現できるものである。
(3) また、本発明に係る不正アクセス防御装置は、クライアントからのアクセス要求のもとに外部からネットワークを通してUDPパケットを使用してサーバに攻撃を仕掛けてくる場合、外部のネットワーク側から入力されるパケットがRIPパケットか否かを判定する第1のパケット判定手段と、この第1のパケット判定手段によってRIPパケットと判定された場合、当該パケットの送信元・送信先IPアドレスの計測開始時間、RIP到達数が既に登録されているかを判定する第2のパケット判定手段と、この第2のパケット判定手段で登録されていないと判定された場合、該当パケットの送信元・送信先IPアドレス、計測開始時間、RIP到達数を登録する第1の登録手段と、前記第2のパケット判定手段で登録されていると判定された場合、前記計測開始時間、RIP到達数から単位時間当りの到達率を計算し、この到達率がRIP数の許容範囲を超えているかを判定する第3のパケット判定手段と、この第3のパケット判定手段で前記RIP数の許容範囲を超えていないと判定された場合、前記RIP到達数をカウントアップする第2の登録手段と、前記第3のパケット判定手段で前記到達率がRIP数の許容範囲を超えていると判定された場合、前記外部ネットワーク側から入力されたパケットを破棄するパケット処理手段とを設けた構成である。
この発明は以上のような構成とすることにより、外部からネットワークを通してUDPパケットのRIPを使用してサーバを攻撃してくる場合、計測開始時間及びRIP到達数を計測し、この計測開始時間及びRIP到達数から単位時間当りの到達率を計算し、この到達率がRIP数の許容範囲を超えている場合にはパケットを破棄するので、UDPパケットを使用してアクセスしてくる攻撃を確実に防御することが可能となる。
なお、以上のようなUDPパケットのDNSを使用してサーバを攻撃してくる防御処理は、プログラムによっても同様に実現できるものである。
本発明は、UDPパケットのICMP、DNS、RIPの何れかを使用してアクセスしてくる攻撃を確実に防御できる不正アクセス防御装置及びプログラムを提供できる。
以下、本発明の実施の形態について図面を参照して説明する。
図1は本発明装置を適用したネットワーク通信システムの一例を示す系統構成図である。
この通信システムは、一般にインターネットと称する外部ネットワーク1と内部ネットワーク2が設けられ、外部ネットワーク1には、不正アクセス侵入者の有無を問わず、個人、団体、会社等が所有する端末機器(以下、クライアント端末と呼ぶ)3,…が接続され、さらに外部ネットワーク1と内部ネットワーク2との間にはファイルウォールなどのパケットフィルタリング装置4が設けられている。そして、内部ネットワーク2には、所要とするサービスを提供するために、WWWサーバなどの1台以上のサーバ5が接続されている。
本発明に係る不正アクセス防御装置6は、以上のような通信システムにおいて外部ネットワーク1とパケットフィルタリング装置4との間、或いは当該パケットフィルタリング装置4と内部ネットワーク2との間に設置される。すなわち、不正アクセス防御装置6は、図示するごとくパケットフィルタリング装置4の外側或いは外側(図示せず)の何れかに設置されるものである。
不正アクセス防御装置6は、図2に示すようにUDP攻撃判定部としての機能を有し、具体的には、外側からネットワーク・インターフェイス・カードNIC1或いは無線手段などによる同等のインターフェイス機能(以下、単にインターフェイスNIC1と総称する)通って入ってくるパケットを受け取った後、転送判断のもとにネットワーク・インターフェイス・カードNIC2或いは無線手段などによる同等のインターフェイス機能(以下、単にインターフェイスNIC2と総称する)を通してパケットフィルタリング装置4又は内部ネットワーク2に転送するパケット処理手段としてのパケット処理部11と、このパケット処理部11から受け取ったパケットの種別、つまりUDPかTCPか、さらにはUDPパケットのICMP、DNS、RIPかをチェックし、これらICMP、DNS、RIPに応じて転送すべきパケットか否かを判定し、この判定結果とともに受け取ったパケットをパケット処理部11に渡し、また当該受け取ったパケットの情報を記録のために送出するパケット判定手段としてのパケット判定部12と、このパケット判定部12から送られてくるパケットの情報をデータベース記録部13にカウントアップし、また検索キーのもとにデータベース記録部13からカウント内容を読み出し可能にし、さらにデータベース記録部13に登録されたパケット情報を時間管理し、に登録されたパケットデータがある一定時間経過した場合、自動的に削除する機能をもつ登録/読出し制御部14とが設けられている。
前記パケット処理部11は、パケット判定部12から転送不可の判定結果を受けた場合には受け取ったパケットを破棄し、転送許可の判定結果を受けた場合にはパケットを前述するように、不正アクセス防御装置6の設置個所の違いに基づき、パケットフィルタリング装置4又は内部ネットワーク2に転送する。
なお、不正アクセス防御装置6は、CPUで構成されている場合、記録媒体15に記録される攻撃防御用プログラムに従って所要の攻撃防御の処理を実行するものである。
次に、本発明に係る不正アクセス防御装置6が対象とするUDPの攻撃手法を説明する前に、一般的なUDPプロトコルについて説明する。
前述するように、UDPはコネクションレス型通信であり、クライアント−サーバ間でデータ到達の確認が行われていない、つまりデータ到達を保証しないのが特徴である。反面、データの即時性の他、サーバ、クライアントが少ない資源でデータ通信が行える利点をもっている。
従って、以上のような利点を有効に活用するため、
1) データの大量送信
2) DNS(Domain Name System)による名前解決
3) 経路情報を動的に更新するプロトコルであるRIP(Routing Information Protocol)による定期的な経路情報の送信
など,確実性よりも即時性を重視し、またリソースの軽減等を要求する場合に、UDPによる通信が用いられている。
このような通信は、インターネットや内部ネットワーク2で広く利用されていることから、パケットフィルタリング装置4でも、一般的に通過を許可している場合が多い。よって、UDPを用いた攻撃者は、かかる特性を利用し、攻撃を仕掛けてくることが多い。
次に、前記1)〜3)を利用したUDPを用いた攻撃手法及びその攻撃に対する防御について説明する。
1) データの大量送信について。
この攻撃はサーバ5の負荷増大もしくはネットワーク資源の増大を目的とした攻撃である。
一般に、サーバ5に攻撃を仕掛けてくる場合、IPアドレスの宛先は対象サーバであり、宛先ポート番号は実際に稼動中の該当サーバ5の番号となる。なお、ネットワーク資源の大量消費を目的とする場合、IPアドレス及びポート番号ともにランダムのものが使用されることが多い。
以下、攻撃に対する防御について図3を用いて具体的に説明する。
通常、クライアント3からサーバ5に大量のデータを送信し攻撃を仕掛けてきた場合(S1)、サーバ5の負荷が増大するが、このサーバ5では、負荷増大に伴い、送信元にデータ転送の抑制を促すICMPの発信元抑制エラー(ICMP Type4)を送信元であるクライアント3に向けて送信する(S2)。また、ネットワーク資源の大量消費を狙う攻撃を仕掛けてきた場合、サーバ5は同じく宛先(送信元)のクライアント3に向けて、データ到達エラーを伝えるためにICMP到達エラーを送信する(S3)。なお、宛先不明のパケットが送られてきた場合、サーバ5は、経路上のルータ装置と置き換えられる。
そこで、不正アクセス防御装置6においては、防御対象のネットワーク側から発信されるICMP発信元抑制エラーやICMP到達エラーを監視し、予め定めるある閾値を超えてエラーが発生した場合、攻撃と判断し、クライアント3から送られてくるパケットを破棄する処理を行う。
以下、不正アクセス防御装置6による攻撃防御の一連の処理例について図4を参照して説明する。
不正アクセス防御装置6は、記録媒体15に格納される攻撃防御用プログラムに基づき、次のような処理を実行する。すなわち、不正アクセス防御装置6のパケット判定部12は、インターフェイスNIC1、NIC2からパケットが入力されたか判断し(S11)、パケット入力有りと判断すると、インターフェイスNIC1側からUDPパケットが入力されたか、またインターフェイスNIC2側からUDPパケットのICMPが入力されたか、或いはそれ以外のパケットかを判定する(S12、S13:パケット種別判定機能)。ここで、入力されたパケットがUDPであると判定した場合、登録/読出し制御部14にパケットの送信元・送信先IPアドレスを通知する。ここで、登録/読出し制御部14は、送信元・送信先IPアドレスをキーとし、データベース記録部13に問い合わせし、当該データベース記録部13からICMPエラー回数を取得し(S14)、パケット判定部12に渡す。なお、データベース記録部13には図5に示す攻撃識別(ICMP)、送信元IPアドレス、送信先IPアドレス、送信先ポート番号、到達時間、エラー回数等の情報が登録されている。
このパケット判定部12は、ICMPエラー回数が予め定めた閾値nを超えているか否かを判定する(S15)。これらステップS14,15は不正アクセス判定機能に相当する。
ここで、ICMPのエラー回数が予め設定される閾値n(ICMP失敗許容回数)を超えていると判定された場合、パケット処理部11に転送不可を通知する。ここで、パケット処理部11は、転送不可通知を受けると、該当パケットを破棄する(S16、S17:パケット破棄機能)。
一方、ステップS13において、インターフェイスNIC2から入ってきたパケットがICMPである場合、パケット判定部12は、ICMPのType3もしくはType4であるか否かを判定する(S18:タイプ判定機能)。このICMPのタイプは図6に示す通りであり、サーバ5に到達できないとか、サーバ5で受け取れないとか、サーバにとって不要なものである。そこで、パケット判定部12は、Type3もしくはType4であると判断した場合、登録/読出し制御部14にパケットの送信元・送信先IPアドレスを通知する。
この登録/読出し制御部14は、送信元・送信先IPアドレスをキーとし、データベース記録部13に問い合わせし、既に送信元・送信先IPアドレスが登録されている場合、現エラー回数に+1を加算し、一方、未だ送信元・送信先IPアドレスが登録されていない場合、新規に図5に示す情報をデータベース記録部13に登録する(S19,S20:登録機能)。
さらに、ステップS13において、到達パケットがUDP、ICMPの何れでもない場合、さらにステップS15においてエラー回数が閾値を超えていない場合、さらにはステップS18においてパケットがICMPのType3、Type4でない場合、パケット処理部11にパケット転送許可を通知する(S21)。ここで、パケット処理部11は、既に受け取っているパケットを逆のインターフェイスNIC側に転送する(S22)。これらステップS19、S20はパケット転送機能に相当する。
従って、以上のような実施の形態によれば、パケットがUDPの場合、防御対象のネットワーク側から発信されるICMP発信元抑制エラーやICMP到達エラーをカウントしているので、このエラー回数を監視することにより、予め定めるある閾値を超えたときに攻撃と判断し、クライアント3から送られてくるパケットを破棄するので、UDPパケットのICMPを使用して攻撃してくるクライアントに対し、その攻撃を確実の防御することができる。
2) DNSによる名前解決について(図7参照)。
先ず、DNSの基本的な動作について説明する。
クライアント3から名前解決のためにリクエスト(Request)パケットを送信すると(S4)、サーバ5は、そのリクエストに対するリプライ(Reply)パケットを返送する(S5)。このDNSパケットは、常にリクエストパケットとリプライパケットが対でやり取りされる。なお、この対によるやり取りは、DNSヘッダの中に一意に特定される識別子が含まれている。
従って、攻撃者であるクライアント3は、要求パケットを大量にDNSサーバ5に送り(S6)、DNSサーバ5のサービス提供を不能にさせる狙いで攻撃を仕掛けてくる。
そこで、不正アクセス防御装置6は、DNSによる通信の場合、常にリクエストとリプライとが対でやり取りされることから、単位時間当りに通過するDNSのリクエストに対し、リプライが極端に少ない場合に攻撃とみなし、リクエストパケットを破棄する処理を行うものである。
次に、不正アクセス防御装置6によるDNS通信の攻撃防御の一連の処理例について図8を参照して説明する。
不正アクセス防御装置6は、記録媒体15に格納される攻撃防御用プログラムに基づき、次のような処理を実行する。すなわち、不正アクセス防御装置6のパケット判定部12は、インターフェイスNIC1、NIC2からパケットが入力されたか判断し(S31)、パケット入力有りと判断すると、インターフェイスNIC1側から入力されたパケットがDNSリクエストか、またインターフェイスNIC2側から入力されたパケットがDNSリプライか、それとも何れにも属さないかを判定する(S32、S33)。これらステップS32,S33はパケット判定機能に相当する。
そこで、ステップS32において、インターフェイスNIC1側から入ってくるパケットがDNSリクエストである場合、登録/読出し制御部14にパケットの送信元・送信先IPアドレス、DNS識別子を通知する。ここで、登録/読出し制御部14は、送信元・送信先IPアドレス、DNS識別子をキーとし、データベース記録部13に問い合わせし、リクエスト超過数を取り出し(S34)、パケット判定部12に渡す。なお、データベース記録部13には図9に示す攻撃識別(DNS)、送信元IPアドレス、送信先IPアドレス、DNS識別子、到達時間、リクエスト超過数等の情報が登録されている。
このパケット判定部12は、登録/読出し制御部14からリクエスト超過数を受け取ると、リクエスト超過数が予め定められている閾値nを超えているか否かを判定する(S35)。これらステップS34,S35は不正アクセス有無判定機能に相当する。
ここで、リクエスト超過数が予め設定される閾値n(DNSリクエスト超過許容回数)を超えていると判定された場合、パケット処理部11に転送不可を通知する(S36)。ここで、パケット処理部11は、転送不可通知を受けると、該当パケットを破棄する(S36)。これらステップS36、S37はパケット破棄機能に相当する。
また、ステップS35においてリクエスト超過数が閾値nを超えていない場合、その旨を登録/読出し制御部14に通知する。この登録/読出し制御部14は、当該パケットの送信元・送信先IPアドレス、DNS識別子、到達時間等をデータベース記録部13に登録し、或いは既に登録されている場合にはリクエスト超過数を+1を加算する(S38:第2の登録機能)。
一方、ステップS33において、インターフェイスNIC2側から入ってくるパケットがDNSリプライである場合、前述同様に登録/読出し制御部14にパケットの送信元・送信先IPアドレス、DNS識別子を通知する。ここで、登録/読出し制御部14は、送信元・送信先IPアドレス、DNS識別子をキーとし、データベース記録部13からリクエスト超過数を取り出し(S39)、リクエスト超過数が0であれば消去指令を出し、データベース記録部13から該当情報を消去させ、一方、リクエスト超過数が1以上であれば、リクエスト超過数から1を減らす指令を出し、データベース記録部13から該当情報のリクエスト超過数から1を減らす(S40)。これらステップS39、S40は第1の登録機能に相当する。
さらに、ステップS33において、パケットがDNSリクエストでなく、またDNSリプライでない場合、またステップS38及びS40の処理後、パケット判定部12はパケット処理部11にパケット転送許可を通知する(S41)。ここで、パケット処理部11は、既に受け取っているパケットを逆のインターフェイスNIC側に転送する(S42)。これらステップS41、S42はパケット転送機能に相当する。
従って、以上のような実施の形態によれば、UDPパケットがDNSリクエストの場合、そのDNSリプライからリクエスト超過数をカウントしているので、このリクエスト超過数を監視することにより、予め定めるある閾値を超えたときに攻撃と判断し、クライアント3から送られてくるパケットを破棄するので、UDPパケットのDNSを使用して攻撃してくるクライアントに対し、その攻撃を確実に防御することができる。
3) RIPによる定期的な経路情報の送信について(図10参照)。
このRIPは、サーバ5で保持する経路情報を他サーバ間と同期させることを目的として用いられ、定期的にブロードキャストの形で送信される。なお、送信間隔、送信量は常に一定量であるという特徴をもっている。
従って、攻撃者であるクライアント3は、RIPパケットを大量に送りつけ、ネットワーク資源の浪費やサーバ5の負荷増大を狙って攻撃を仕掛けてくる。
そこで、不正アクセス防御装置6は、RIPパケットが送られてきた場合、予め単位時間当りに到達してよい許容範囲を設け、RIPパケットが許容範囲を超えた場合にRIPパケットを破棄する処理を行うものである。
次に、不正アクセス防御装置6による攻撃防御の一連の処理例について図11を参照して説明する。
不正アクセス防御装置6は、記録媒体15に格納される攻撃防御用プログラムに基づき、次のような処理を実行する。すなわち、不正アクセス防御装置6のパケット判定部12は、インターフェイスNIC1からパケットが入力されたかを判断し(S51)、入力された場合には当該パケットがRIPパケットか否かを判定し(S51:RIPパケット判定機能)、RIPパケットである場合には登録/読出し制御部14にパケットの送信元・送信先IPアドレスを通知する。ここで、登録/読出し制御部14は、送信元・送信先IPアドレスをキーとし、データベース記録部13に当該送信元・送信先IPアドレスが登録されているかを問い合わせし(S53)、その問い合わせ結果をパケット判定部12に通知する。なお、データベース記録部13には図12に示す攻撃識別(RIP)、送信元IPアドレス、送信先IPアドレス、計測開始時間、RIP到達等の情報が登録されている。
このパケット判定部12は、問い合わせ結果を受け、当該送信元・送信先IPアドレスが登録されているか否かを判定し(S54)、登録されている場合には登録/読出し制御部14に通知する。この登録/読出し制御部14は、該当送信元・送信先IPアドレスに対応する計測開始時間、到達パケット数から現在の単位時間当りの到達率を計算し、この到達率が予め定める許容範囲のRIP数n(RIP)を超えているか否かを判定する(S55)。これらステップS54〜S55は不正アクセス有無判定機能に相当する。
ここで、到達率が許容範囲のRIP数nを超えていると判定された場合、パケット処理部11に転送不可を通知する。ここで、パケット処理部11は、転送不可通知を受けると、該当パケットを破棄する(S56,S57:パケット破棄機能)。
一方、ステップS54において、該当する送信元・送信先IPアドレスが登録されていないと判定された場合、その旨を登録/読出し制御部14に通知する。この登録/読出し制御部14は、データベース記録部13に対し、受け取ったパケットの送信元・送信先IPアドレス、計測開始時間、RIP到達数に1を書き込む(S58:第1の登録機能)。また、登録/読出し制御部14は、ステップS54において到達率が許容範囲のRIP数nを超えていないと判定された場合、該当する送信元・送信先IPアドレスに対応するRIP到達数に+1を加算する(S59:第2の登録機能)。
さらに、ステップS52において、パケットがRIPでない場合、またステップS58及びS59の処理後、パケット判定部12はパケット処理部11にパケット転送許可を通知する(S60)。ここで、パケット処理部11は、既に受け取っているパケットを逆のインターフェイスNIC側に転送する(S61)。これらステップS60、S61はパケット転送機能に相当する。
従って、以上のような実施の形態によれば、UDPパケットがRIPの場合、そのRIPの到達数をカウントしているので、このRIP到達数を監視することにより、このRIP到達数が予め定める許容範囲のRIP数を超えたときに攻撃と判断し、クライアント3から送られてくるパケットを破棄するので、UDPパケットのRIPを使用して攻撃してくるクライアントに対し、その攻撃を確実に防御することができる。
本発明に係る不正アクセス防御装置を適用したネットワーク通信システムの一例を示す系統構成図。 本発明に係る不正アクセス防御装置の一実施の形態を示す構成図。 データの大量送信による攻撃に対する防御を説明するための模式図。 図3に示す不正アクセス防御装置の一連の処理例を説明するフローチャート。 図2のデータベース記録部に登録される情報の内容を示す図。 ICMPのタイプを説明する図。 DNSによる名前解決に関わる攻撃に対する防御を説明するための模式図。 図7に示す不正アクセス防御装置の一連の処理例を説明するフローチャート。 図2のデータベース記録部に登録される情報の内容を示す図。 RIPによる定期的な経路情報送信による攻撃に対する防御を説明するための模式図。 図10に示す不正アクセス防御装置の一連の処理例を説明するフローチャート。 図2のデータベース記録部に登録される情報の内容を示す図。 一般的なTCPの通信におけるクライアントとサーバとのやり取りを説明するシーケンス図。 一般的なUDPの通信におけるクライアントとサーバとのやり取りを説明するシーケンス図。 IPヘッダ、TCPヘッダ及びUDPヘッダに含まれる情報を説明する図。 従来のSYNフラッド攻撃に対する防御を説明する図。
符号の説明
1…外部ネットワーク、2…内部ネットワーク、3…クライアント、4…パケットフィルタリング装置、5…サーバ、11…パケット処理部、12…パケット判定部、13…データベース記録部、14…登録/読出し制御部、15…記録媒体。

Claims (6)

  1. クライアントからのアクセス要求のもとに外部のネットワークを通してUDPパケットを使用してサーバに攻撃を仕掛けてくる不正アクセスを防御する不正アクセス防御装置において、
    前記外部のネットワーク側及びサーバ側から入力されるパケットがUDPパケットか,所定タイプのICMPのエラーパケットであるかを判定する第1のパケット判定手段と、
    この第1のパケット判定手段によって前記サーバ側から入力されパケットが所定タイプのICMPのエラーパケットであると判定された場合、当該パケットの送信元・送信先IPアドレスのもとにICMPエラー回数をカウントアップしていく登録手段と、
    前記第1のパケット判定手段によって前記外部のネットワーク側から入力されパケットがUDPパケットと判定された場合、前記UDPパケットの送信元・送信先IPアドレスをキーとし、前記ICMPエラー回数が予め定める閾値を越えたかを超えたかを判定する第2の判定手段と、
    この第2の判定手段で閾値を超えていると判定された場合、前記外部のネットワーク側から入力されたパケットを破棄するパケット処理手段とを備えたことを特徴とする不正アクセス防御装置。
  2. クライアントからのアクセス要求のもとに外部のネットワークを通してUDPパケットを使用してサーバに攻撃を仕掛けてくる不正アクセスに対して当該不正アクセスを防御するコンピュータに、
    前記外部のネットワーク側及び前記サーバ側から入力されるパケットがUDPパケットか,所定タイプのICMPのエラーパケットであるかを判定するパケット判定機能と、
    このパケット判定機能によって所定タイプのICMPのエラーパケットであると判定された場合、当該パケットの送信元・送信先IPアドレスのもとにICMPエラー回数をカウントアップする登録機能と、
    前記パケット判定機能によって前記外部ネットワーク側から入力されパケットがUDPパケットと判定された場合、当該UDPパケットの送信元・送信先IPアドレスをキーとし、既に登録されている前記ICMPエラー回数が予め定める閾値を超えたか否かを判定する不正アクセス有無判定機能と、
    この不正アクセス有無判定機能によって前記ICMPエラー回数が閾値を超えていると判定された場合、前記外部ネットワーク側から入力されたパケットを破棄するパケット破棄機能とを実現させることを特徴とするプログラム。
  3. クライアントからのアクセス要求のもとに外部からネットワークを通してUDPパケットを使用してサーバに攻撃を仕掛けてくる不正アクセスを防御する不正アクセス防御装置において、
    前記外部のネットワーク側及び前記サーバ側から入力されるパケットがDNSリクエストかDNSリプライかを判定する第1のパケット判定手段と、
    この第1のパケット判定手段によって前記外部ネットワーク側から入力されパケットがDNSリクエストと判定された場合、当該パケットの送信元・送信先IPアドレス、DNS識別子をキーとし、リクエスト数が予め定める閾値を超えたかを判定する第2のパケット判定手段と、
    この第2のパケット判定手段で閾値を超えていないと判定された場合、該当パケットの送信元・送信先IPアドレス、DNS識別子のもとにリクエスト数をカウントアップする第1の登録手段と、
    前記第1のパケット判定手段によって前記サーバ側から入力されパケットがDNSリプライと判定された場合、前記入力されたパケットの送信元・送信先IPアドレス、DNS識別子に対応するリクエスト数を減らす第2の登録手段と、
    前記第2のパケット判定手段でDNSリクエスト数が閾値を超えたと判定された場合、前記外部ネットワーク側から入力されたパケットを破棄するパケット処理手段とを備えたことを特徴とする不正アクセス防御装置。
  4. クライアントからのアクセス要求のもとに外部からネットワークを通してUDPパケットを使用してサーバに攻撃を仕掛けてくる不正アクセスに対し当該不正アクセスを防御するコンピュータに、
    前記外部のネットワーク側及び前記サーバ側から入力されるパケットがDNSリクエストかDNSリプライかを判定する判定機能と、
    この判定機能により前記外部ネットワーク側から入力されパケットがDNSリクエストと判定された場合、当該入力されたパケットの送信元・送信先IPアドレス、DNS識別子をキーとし、リクエスト数が予め定める閾値を超えたかを判定する不正アクセス有無判定機能と、
    この不正アクセス有無判定機能によって閾値を超えていないと判定された場合、該当パケットの送信元・送信先IPアドレス、DNS識別子のもとにリクエスト数をカウントアップする第1の登録機能と、
    前記判定機能により前記サーバ側から入力されパケットがDNSリプライと判定された場合、前記入力されたパケットの送信元・送信先IPアドレス、DNS識別子に対応するリクエスト数を減らす第2の登録機能と、
    前記不正有無判定機能によってリクエスト数が閾値を超えていると判定された場合、前記外部ネットワーク側から入力されたパケットを破棄するパケット破棄機能とを実現させることを特徴とするプログラム。
  5. クライアントからのアクセス要求のもとに外部からネットワークを通してUDPパケットを使用してサーバに攻撃を仕掛けてくる不正アクセスを防御する不正アクセス防御装置において、
    前記外部のネットワーク側から入力されるパケットがRIPパケットか否かを判定する第1のパケット判定手段と、
    この第1のパケット判定手段によってRIPパケットと判定された場合、当該パケットの送信元・送信先IPアドレスの計測開始時間、RIP到達数が既に登録されているかを判定する第2のパケット判定手段と、
    この第2のパケット判定手段で登録されていないと判定された場合、該当パケットの送信元・送信先IPアドレス、計測開始時間、RIP到達数を登録する第1の登録手段と、
    前記第2のパケット判定手段で登録されていると判定された場合、前記計測開始時間、RIP到達数から単位時間当りの到達率を計算し、この到達率がRIP数の許容範囲を超えているかを判定する第3のパケット判定手段と、
    この第3のパケット判定手段で前記RIP数の許容範囲を超えていないと判定された場合、前記RIP到達数をカウントアップする第2の登録手段と、
    前記第3のパケット判定手段で前記到達率がRIP数の許容範囲を超えていると判定された場合、前記外部ネットワーク側から入力されたパケットを破棄するパケット処理手段とを備えたことを特徴とする不正アクセス防御装置。
  6. クライアントからのアクセス要求のもとに外部からネットワークを通してUDPパケットを使用してサーバに攻撃を仕掛けてくる不正アクセスに対し当該不正アクセスを防御するコンピュータに、
    前記外部のネットワーク側から入力されるパケットがRIPパケットか否かを判定するパケット判定機能と、
    このパケット機能によって前記サーバ側から入力されるパケットがRIPパケットと判定された場合、当該パケットの送信元・送信先IPアドレスの計測開始時間、RIP到達数が登録されているかを判定する登録有無判定機能と、
    この登録有無判定機能で登録されていないと判定された場合、該当パケットの送信元・送信先IPアドレス、計測開始時間、RIP到達数を登録する第1の登録機能と、
    前記登録有無判定機能で登録と判定された場合、前記計測開始時間、RIP到達数から単位時間当りの到達率を計算し、この到達率がRIP数の許容範囲を超えているかを判定する到達判定機能と、
    この到達判定機能により許容範囲を超えていないと判定された場合、前記RIP到達数をカウントアップする第2の登録機能と、
    前記到達判定機能によって許容範囲を超えていると判定された場合、前記外部ネットワーク側から入力されたパケットを破棄するパケット破棄機能とを実現させることを特徴とするプログラム。
JP2003275281A 2003-07-16 2003-07-16 不正アクセス防御装置及びプログラム Expired - Fee Related JP3828523B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003275281A JP3828523B2 (ja) 2003-07-16 2003-07-16 不正アクセス防御装置及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003275281A JP3828523B2 (ja) 2003-07-16 2003-07-16 不正アクセス防御装置及びプログラム

Publications (2)

Publication Number Publication Date
JP2005039591A JP2005039591A (ja) 2005-02-10
JP3828523B2 true JP3828523B2 (ja) 2006-10-04

Family

ID=34211983

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003275281A Expired - Fee Related JP3828523B2 (ja) 2003-07-16 2003-07-16 不正アクセス防御装置及びプログラム

Country Status (1)

Country Link
JP (1) JP3828523B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4170301B2 (ja) * 2005-02-23 2008-10-22 日本電信電話株式会社 DoS攻撃検出方法、DoS攻撃検出システム、およびDoS攻撃検出プログラム
KR101090815B1 (ko) * 2005-03-24 2011-12-08 인터내셔널 비지네스 머신즈 코포레이션 데이터 통신 네트워크 상의 공격 검출 방법, 데이터 통신 네트워크 상의 공격 검출 장치, 라우터, 데이터 통신 시스템, 컴퓨터 판독가능 기록 매체 및 클라이언트 시스템 구비 방법
CN110851836B (zh) * 2019-10-17 2023-04-18 天津大学 一种面向Meltdown攻击的主动防御方法
CN112583850B (zh) * 2020-12-27 2023-02-24 杭州迪普科技股份有限公司 网络攻击防护方法、装置及系统

Also Published As

Publication number Publication date
JP2005039591A (ja) 2005-02-10

Similar Documents

Publication Publication Date Title
US8370937B2 (en) Handling of DDoS attacks from NAT or proxy devices
US8175096B2 (en) Device for protection against illegal communications and network system thereof
US6816910B1 (en) Method and apparatus for limiting network connection resources
US7162740B2 (en) Denial of service defense by proxy
US7404210B2 (en) Method and apparatus for defending against distributed denial of service attacks on TCP servers by TCP stateless hogs
JP2018191268A (ja) DDoS攻撃の検出時のトラフィックフィルタリングのシステムおよび方法
JP2008177714A (ja) ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置
JP2006352274A (ja) フレーム転送制御装置、DoS攻撃防御装置およびDoS攻撃防御システム
CN109005175A (zh) 网络防护方法、装置、服务器及存储介质
CN114830112A (zh) 通过QUIC通信协议执行的检测和缓解DDoS攻击
KR20120060655A (ko) 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크
Simpson TCP cookie transactions (TCPCT)
Daniels et al. Identification of host audit data to detect attacks on low-level IP vulnerabilities
Wang et al. Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks
Tsunoda et al. Detecting DRDoS attacks by a simple response packet confirmation mechanism
US11616796B2 (en) System and method to protect resource allocation in stateful connection managers
JP4602158B2 (ja) サーバ装置保護システム
JP4278593B2 (ja) アプリケーション型サービス不能攻撃に対する防御方法およびエッジ・ルータ
JP3828523B2 (ja) 不正アクセス防御装置及びプログラム
Kavisankar et al. Efficient syn spoofing detection and mitigation scheme for ddos attack
Aura et al. Effects of mobility and multihoming on transport-protocol security
JP4014599B2 (ja) 送信元アドレス偽装パケット検出装置、送信元アドレス偽装パケット検出方法、送信元アドレス偽装パケット検出プログラム
Al-Duwairi et al. Intentional dropping: a novel scheme for SYN flooding mitigation
US20060225141A1 (en) Unauthorized access searching method and device
JP4878630B2 (ja) 通信サーバおよびDoS攻撃防御方法

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050801

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20051004

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20051205

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060704

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060706

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090714

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100714

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100714

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110714

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120714

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130714

Year of fee payment: 7

LAPS Cancellation because of no payment of annual fees