JP3828523B2 - 不正アクセス防御装置及びプログラム - Google Patents
不正アクセス防御装置及びプログラム Download PDFInfo
- Publication number
- JP3828523B2 JP3828523B2 JP2003275281A JP2003275281A JP3828523B2 JP 3828523 B2 JP3828523 B2 JP 3828523B2 JP 2003275281 A JP2003275281 A JP 2003275281A JP 2003275281 A JP2003275281 A JP 2003275281A JP 3828523 B2 JP3828523 B2 JP 3828523B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- unauthorized access
- input
- function
- rip
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
図15(a)、(b)、(c)は、IPヘッダ、TCPヘッダ、UDPヘッダにそれぞれ含まれる情報を示す図である。この図から明らかなように、IPヘッダはTCP、UDPに共通に付けられる。一方、TCPヘッダにはシーケンス番号や確認応答(ACK)番号が含まれている。この番号は、一つ一つのパケットに一意に付けられる番号であって、この番号を利用してクライアント、サーバがパケット到達の確認を行っている。
1) データの大量送信
2) DNS(Domain Name System)による名前解決
3) 経路情報を動的に更新するプロトコルであるRIP(Routing Information Protocol)による定期的な経路情報の送信
など,確実性よりも即時性を重視し、またリソースの軽減等を要求する場合に、UDPによる通信が用いられている。
一般に、サーバ5に攻撃を仕掛けてくる場合、IPアドレスの宛先は対象サーバであり、宛先ポート番号は実際に稼動中の該当サーバ5の番号となる。なお、ネットワーク資源の大量消費を目的とする場合、IPアドレス及びポート番号ともにランダムのものが使用されることが多い。
先ず、DNSの基本的な動作について説明する。
クライアント3から名前解決のためにリクエスト(Request)パケットを送信すると(S4)、サーバ5は、そのリクエストに対するリプライ(Reply)パケットを返送する(S5)。このDNSパケットは、常にリクエストパケットとリプライパケットが対でやり取りされる。なお、この対によるやり取りは、DNSヘッダの中に一意に特定される識別子が含まれている。
Claims (6)
- クライアントからのアクセス要求のもとに外部のネットワークを通してUDPパケットを使用してサーバに攻撃を仕掛けてくる不正アクセスを防御する不正アクセス防御装置において、
前記外部のネットワーク側及びサーバ側から入力されるパケットがUDPパケットか,所定タイプのICMPのエラーパケットであるかを判定する第1のパケット判定手段と、
この第1のパケット判定手段によって前記サーバ側から入力されたパケットが所定タイプのICMPのエラーパケットであると判定された場合、当該パケットの送信元・送信先IPアドレスのもとにICMPエラー回数をカウントアップしていく登録手段と、
前記第1のパケット判定手段によって前記外部のネットワーク側から入力されたパケットがUDPパケットと判定された場合、前記UDPパケットの送信元・送信先IPアドレスをキーとし、前記ICMPエラー回数が予め定める閾値を越えたかを超えたかを判定する第2の判定手段と、
この第2の判定手段で閾値を超えていると判定された場合、前記外部のネットワーク側から入力されたパケットを破棄するパケット処理手段とを備えたことを特徴とする不正アクセス防御装置。 - クライアントからのアクセス要求のもとに外部のネットワークを通してUDPパケットを使用してサーバに攻撃を仕掛けてくる不正アクセスに対して当該不正アクセスを防御するコンピュータに、
前記外部のネットワーク側及び前記サーバ側から入力されるパケットがUDPパケットか,所定タイプのICMPのエラーパケットであるかを判定するパケット判定機能と、
このパケット判定機能によって所定タイプのICMPのエラーパケットであると判定された場合、当該パケットの送信元・送信先IPアドレスのもとにICMPエラー回数をカウントアップする登録機能と、
前記パケット判定機能によって前記外部ネットワーク側から入力されたパケットがUDPパケットと判定された場合、当該UDPパケットの送信元・送信先IPアドレスをキーとし、既に登録されている前記ICMPエラー回数が予め定める閾値を超えたか否かを判定する不正アクセス有無判定機能と、
この不正アクセス有無判定機能によって前記ICMPエラー回数が閾値を超えていると判定された場合、前記外部ネットワーク側から入力されたパケットを破棄するパケット破棄機能とを実現させることを特徴とするプログラム。 - クライアントからのアクセス要求のもとに外部からネットワークを通してUDPパケットを使用してサーバに攻撃を仕掛けてくる不正アクセスを防御する不正アクセス防御装置において、
前記外部のネットワーク側及び前記サーバ側から入力されるパケットがDNSリクエストかDNSリプライかを判定する第1のパケット判定手段と、
この第1のパケット判定手段によって前記外部ネットワーク側から入力されたパケットがDNSリクエストと判定された場合、当該パケットの送信元・送信先IPアドレス、DNS識別子をキーとし、リクエスト数が予め定める閾値を超えたかを判定する第2のパケット判定手段と、
この第2のパケット判定手段で閾値を超えていないと判定された場合、該当パケットの送信元・送信先IPアドレス、DNS識別子のもとにリクエスト数をカウントアップする第1の登録手段と、
前記第1のパケット判定手段によって前記サーバ側から入力されたパケットがDNSリプライと判定された場合、前記入力されたパケットの送信元・送信先IPアドレス、DNS識別子に対応するリクエスト数を減らす第2の登録手段と、
前記第2のパケット判定手段でDNSリクエスト数が閾値を超えたと判定された場合、前記外部ネットワーク側から入力されたパケットを破棄するパケット処理手段とを備えたことを特徴とする不正アクセス防御装置。 - クライアントからのアクセス要求のもとに外部からネットワークを通してUDPパケットを使用してサーバに攻撃を仕掛けてくる不正アクセスに対して当該不正アクセスを防御するコンピュータに、
前記外部のネットワーク側及び前記サーバ側から入力されるパケットがDNSリクエストかDNSリプライかを判定する判定機能と、
この判定機能により前記外部ネットワーク側から入力されたパケットがDNSリクエストと判定された場合、当該入力されたパケットの送信元・送信先IPアドレス、DNS識別子をキーとし、リクエスト数が予め定める閾値を超えたかを判定する不正アクセス有無判定機能と、
この不正アクセス有無判定機能によって閾値を超えていないと判定された場合、該当パケットの送信元・送信先IPアドレス、DNS識別子のもとにリクエスト数をカウントアップする第1の登録機能と、
前記判定機能により前記サーバ側から入力されたパケットがDNSリプライと判定された場合、前記入力されたパケットの送信元・送信先IPアドレス、DNS識別子に対応するリクエスト数を減らす第2の登録機能と、
前記不正有無判定機能によってリクエスト数が閾値を超えていると判定された場合、前記外部ネットワーク側から入力されたパケットを破棄するパケット破棄機能とを実現させることを特徴とするプログラム。 - クライアントからのアクセス要求のもとに外部からネットワークを通してUDPパケットを使用してサーバに攻撃を仕掛けてくる不正アクセスを防御する不正アクセス防御装置において、
前記外部のネットワーク側から入力されるパケットがRIPパケットか否かを判定する第1のパケット判定手段と、
この第1のパケット判定手段によってRIPパケットと判定された場合、当該パケットの送信元・送信先IPアドレスの計測開始時間、RIP到達数が既に登録されているかを判定する第2のパケット判定手段と、
この第2のパケット判定手段で登録されていないと判定された場合、該当パケットの送信元・送信先IPアドレス、計測開始時間、RIP到達数を登録する第1の登録手段と、
前記第2のパケット判定手段で登録されていると判定された場合、前記計測開始時間、RIP到達数から単位時間当りの到達率を計算し、この到達率がRIP数の許容範囲を超えているかを判定する第3のパケット判定手段と、
この第3のパケット判定手段で前記RIP数の許容範囲を超えていないと判定された場合、前記RIP到達数をカウントアップする第2の登録手段と、
前記第3のパケット判定手段で前記到達率がRIP数の許容範囲を超えていると判定された場合、前記外部ネットワーク側から入力されたパケットを破棄するパケット処理手段とを備えたことを特徴とする不正アクセス防御装置。 - クライアントからのアクセス要求のもとに外部からネットワークを通してUDPパケットを使用してサーバに攻撃を仕掛けてくる不正アクセスに対して当該不正アクセスを防御するコンピュータに、
前記外部のネットワーク側から入力されるパケットがRIPパケットか否かを判定するパケット判定機能と、
このパケット機能によって前記サーバ側から入力されるパケットがRIPパケットと判定された場合、当該パケットの送信元・送信先IPアドレスの計測開始時間、RIP到達数が登録されているかを判定する登録有無判定機能と、
この登録有無判定機能で登録されていないと判定された場合、該当パケットの送信元・送信先IPアドレス、計測開始時間、RIP到達数を登録する第1の登録機能と、
前記登録有無判定機能で登録と判定された場合、前記計測開始時間、RIP到達数から単位時間当りの到達率を計算し、この到達率がRIP数の許容範囲を超えているかを判定する到達判定機能と、
この到達判定機能により許容範囲を超えていないと判定された場合、前記RIP到達数をカウントアップする第2の登録機能と、
前記到達判定機能によって許容範囲を超えていると判定された場合、前記外部ネットワーク側から入力されたパケットを破棄するパケット破棄機能とを実現させることを特徴とするプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003275281A JP3828523B2 (ja) | 2003-07-16 | 2003-07-16 | 不正アクセス防御装置及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003275281A JP3828523B2 (ja) | 2003-07-16 | 2003-07-16 | 不正アクセス防御装置及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005039591A JP2005039591A (ja) | 2005-02-10 |
JP3828523B2 true JP3828523B2 (ja) | 2006-10-04 |
Family
ID=34211983
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003275281A Expired - Fee Related JP3828523B2 (ja) | 2003-07-16 | 2003-07-16 | 不正アクセス防御装置及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3828523B2 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4170301B2 (ja) * | 2005-02-23 | 2008-10-22 | 日本電信電話株式会社 | DoS攻撃検出方法、DoS攻撃検出システム、およびDoS攻撃検出プログラム |
KR101090815B1 (ko) * | 2005-03-24 | 2011-12-08 | 인터내셔널 비지네스 머신즈 코포레이션 | 데이터 통신 네트워크 상의 공격 검출 방법, 데이터 통신 네트워크 상의 공격 검출 장치, 라우터, 데이터 통신 시스템, 컴퓨터 판독가능 기록 매체 및 클라이언트 시스템 구비 방법 |
CN110851836B (zh) * | 2019-10-17 | 2023-04-18 | 天津大学 | 一种面向Meltdown攻击的主动防御方法 |
CN112583850B (zh) * | 2020-12-27 | 2023-02-24 | 杭州迪普科技股份有限公司 | 网络攻击防护方法、装置及系统 |
-
2003
- 2003-07-16 JP JP2003275281A patent/JP3828523B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2005039591A (ja) | 2005-02-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8370937B2 (en) | Handling of DDoS attacks from NAT or proxy devices | |
US8175096B2 (en) | Device for protection against illegal communications and network system thereof | |
US6816910B1 (en) | Method and apparatus for limiting network connection resources | |
US7162740B2 (en) | Denial of service defense by proxy | |
US7404210B2 (en) | Method and apparatus for defending against distributed denial of service attacks on TCP servers by TCP stateless hogs | |
JP2018191268A (ja) | DDoS攻撃の検出時のトラフィックフィルタリングのシステムおよび方法 | |
JP2008177714A (ja) | ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置 | |
JP2006352274A (ja) | フレーム転送制御装置、DoS攻撃防御装置およびDoS攻撃防御システム | |
CN109005175A (zh) | 网络防护方法、装置、服务器及存储介质 | |
CN114830112A (zh) | 通过QUIC通信协议执行的检测和缓解DDoS攻击 | |
KR20120060655A (ko) | 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크 | |
Simpson | TCP cookie transactions (TCPCT) | |
Daniels et al. | Identification of host audit data to detect attacks on low-level IP vulnerabilities | |
Wang et al. | Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks | |
Tsunoda et al. | Detecting DRDoS attacks by a simple response packet confirmation mechanism | |
US11616796B2 (en) | System and method to protect resource allocation in stateful connection managers | |
JP4602158B2 (ja) | サーバ装置保護システム | |
JP4278593B2 (ja) | アプリケーション型サービス不能攻撃に対する防御方法およびエッジ・ルータ | |
JP3828523B2 (ja) | 不正アクセス防御装置及びプログラム | |
Kavisankar et al. | Efficient syn spoofing detection and mitigation scheme for ddos attack | |
Aura et al. | Effects of mobility and multihoming on transport-protocol security | |
JP4014599B2 (ja) | 送信元アドレス偽装パケット検出装置、送信元アドレス偽装パケット検出方法、送信元アドレス偽装パケット検出プログラム | |
Al-Duwairi et al. | Intentional dropping: a novel scheme for SYN flooding mitigation | |
US20060225141A1 (en) | Unauthorized access searching method and device | |
JP4878630B2 (ja) | 通信サーバおよびDoS攻撃防御方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050801 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20051004 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20051205 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060704 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20060706 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090714 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100714 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100714 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110714 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120714 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130714 Year of fee payment: 7 |
|
LAPS | Cancellation because of no payment of annual fees |