JP3917557B2 - ネットワーク攻撃防止装置、ネットワーク攻撃防止方法、ネットワーク攻撃防止プログラム及びそのプログラムを記録した記録媒体 - Google Patents

ネットワーク攻撃防止装置、ネットワーク攻撃防止方法、ネットワーク攻撃防止プログラム及びそのプログラムを記録した記録媒体 Download PDF

Info

Publication number
JP3917557B2
JP3917557B2 JP2003166619A JP2003166619A JP3917557B2 JP 3917557 B2 JP3917557 B2 JP 3917557B2 JP 2003166619 A JP2003166619 A JP 2003166619A JP 2003166619 A JP2003166619 A JP 2003166619A JP 3917557 B2 JP3917557 B2 JP 3917557B2
Authority
JP
Japan
Prior art keywords
packet
network attack
attack prevention
priority
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003166619A
Other languages
English (en)
Other versions
JP2005005994A (ja
Inventor
浩一 岡田
仁 冨士
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2003166619A priority Critical patent/JP3917557B2/ja
Publication of JP2005005994A publication Critical patent/JP2005005994A/ja
Application granted granted Critical
Publication of JP3917557B2 publication Critical patent/JP3917557B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、ネットワーク上に存在する装置に対して行われる不正なパケットを使った攻撃を防止するためのネットワーク攻撃防止装置及びその方法と、そのネットワーク攻撃防止技術の実現に用いられるネットワーク攻撃防止プログラム及びそのプログラムを記録した記録媒体とに関する。
【0002】
最近、サーバに対してDoS攻撃を行うことで、他のユーザがそのサーバへアクセスすることを困難にすることが行われている。
【0003】
「DoS攻撃(Denial of Service 攻撃:サービス拒否攻撃)」とは、インターネット等を通じて不特定多数のユーザからアクセス可能なサーバに対して、攻撃者が不正な通信パケットを送ることにより、サーバや通信経路上の装置のリソース(処理能力や転送可能帯域)を消費するなどの悪影響を与えて、他のユーザがそのサーバへアクセスすることを困難にする攻撃である。
【0004】
【従来の技術】
DoS攻撃を大きく分類すると以下の3つのものがある。
【0005】
(A)攻撃を実施する送信元装置から、異常な形式のパケットをサーバに送信することにより、送信先装置や通信経路上の装置の処理に異常を起こさせてサーバのサービス継続を困難にするもの(異常パケット送信型DoS攻撃)。
【0006】
(B)単体または少数の送信元装置から、それぞれ大量の正常な形式のパケットをサーバに送信することにより、サーバのリソースや、経路上の回線帯域を消費し、正規利用者からのアクセスを困難にするもの(大量パケット送信型DoS攻撃)。
【0007】
(C)多数の送信元装置から、それぞれ少量の正常な形式のパケットをサーバに向けて送り、結果として大量の攻撃パケットがサーバに送られることにより、サーバのリソースや、経路上の回線帯域を消費し、正規利用者からのアクセスを困難にするもの(高度分散型DoS攻撃)。
【0008】
上述の(C)に分類される攻撃として主要なものに、以下の2つの攻撃がある。
【0009】
(C1)攻撃者で無い者が管理する装置が、セキュリティの観点での運用が不充分なために、攻撃者によって踏み台として利用されるもの。たとえば、セキュリティホールの修正プログラムを適用していないことや、コンピュータウィルス駆除ソフトウェアを使用していないことにより、攻撃者により攻撃用のプログラムを埋め込まれ、その結果として攻撃に利用されてしまうものが該当する(運用不備装置を利用した高度分散型DoS攻撃)。
【0010】
(C2)攻撃者で無い者が管理する装置が、セキュリティの観点での運用が充分であっても、受け取ったパケットに対する返答パケットが攻撃パケットとして利用されることにより、攻撃者に踏み台として利用されるもの。たとえば、一般公開された多数のWebサーバに対して、攻撃者が標的となる装置のアドレスを送信元アドレスとして偽装したパケットを送ることにより、それらの多数のWebサーバからの返答パケットを標的となる装置へ返させることで、標的となる装置のリソースを消費させるという攻撃が該当する(分散反射型DoS攻撃)。
【0011】
次に、(A)に関する対策の従来技術と、(B)に関する対策の従来技術とについて説明する。
【0012】
(A)に関する対策としては、サーバあるいは通信経路上の装置をシステムのバージョンアップや修正プログラムを実施することにより改良・修正し、異常な形式のパケットによって処理上の異常を起こさないようにする方法や、サーバ内あるいは、サーバと送信元装置との間の通信経路上の装置で、異常な形式のパケットを破棄する方法がある。後者の場合、パケットの形式が異常であることの判定は、主にパターンマッチングによって行なわれる。
【0013】
(B)に関する対策としては、パケットの送信元ごとに、送信してきたパケットの量を比較し、他のユーザにくらべて大量のパケットを送信する送信元からのパケットを遮断あるいは送信量の制限を行う方式がある。送信元の特定は、パケットヘッダ内のIPアドレスによって行われる場合があるが、IPアドレスの偽装が行われていると送信元の特定を正しく行うことができなくなるため、パケットの配送経路上のパケット転送装置を特定するための情報をパケットに埋め込む方法や、標的となっているサーバに対するパケットの送信量を経路上の装置ごとに測定することにより、攻撃を行った装置を特定するなどの方法がある。
【0014】
なお、DoS攻撃に対する対策として提供されている従来技術として、下記の非特許文献1に記載されるものがある。
【0015】
【非特許文献1】
FloodGuard〔平成15年4月4日検索〕、インターネット<URL:http://www.reactivenetwork.com/products/floodguard2point1.pdf >
【0016】
【発明が解決しようとする課題】
このように、(A)に関する対策や、(B)に関する対策については従来技術で提供されていた。
【0017】
しかしながら、(C)に関する対処としては、従来では充分な対処方法がなかった。
【0018】
その理由は、多数の送信元装置により攻撃が行われる際に、一つの送信元装置が送る攻撃パケットの量や送信パターンは正規利用者が送るものと変わらないことから、パケット送信量や送信パターンによる区別では攻撃元を特定することが困難であるためである。
【0019】
このようなことを背景にして、本出願人は、先に出願した特願2003−111741で、上述した(C1)で説明した高度分散型DoS攻撃から公開サーバなどを防御できるようにする新たなネットワーク攻撃防止技術に係る発明を出願した。
【0020】
本発明は、さらに、このようなことを背景にして、上述した(C2)で説明した分散反射型DoS攻撃からネットワーク上の装置を防御できるようにする新たなネットワーク攻撃防止技術の提供を目的とする。
【0021】
【課題を解決するための手段】
本発明のネットワーク攻撃防止装置は、パケットの入出力を行う複数のインタフェイスを用意し、各々のインタフェイスにそのインタフェイスから入力されるパケットの持つべき発信元アドレスの一覧を登録しておく構成を採る。
【0022】
そして、本発明のネットワーク攻撃防止装置は、この構成の下に、ネットワーク上に存在する装置に対して行われる不正なパケットを使った攻撃を防止するための処理を行うために、(1)外部と接続されたインタフェイスから入力されたパケットの送信元アドレスが、そのインタフェイスに登録されているアドレスであるのか否かを検査して、登録されているアドレスである場合にはパケットの入力を受け付け、登録されているアドレスでない場合にはパケットを破棄することにより、送信元アドレスを不正に偽装した他のインタフェイスから入力されるべきパケットの流入を防止する偽装パケット流入防止部と、(2)パケットの送信元と送信先の両方がインタフェイスに直接接続されている場合には、そのパケットに対して高い優先度で配送を行うための優先識別子を付与し、その両方またはいずれか一方が外部のネットワークなどを経由してインタフェイスに間接的に接続されている場合には、そのパケットに対して低い優先度で配送を行なうための優先識別子を付与する優先識別子付与部とを備え、(3)これに加えて、優先識別子付与部により付与された優先識別子に応じて優先的に送信先にパケットを配送する優先制御転送部を備えることがある。
【0023】
ここで、以上の各処理手段をコンピュータプログラムで実現することも可能であり、コンピュータプログラムで実現した場合には、このコンピュータプログラムは、半導体メモリなどの記録媒体に記録して提供したり、ネットワークを介して提供することができる。
【0024】
このように、本発明のネットワーク攻撃防止装置は、内部に優先制御転送部を持ち、この優先制御転送部と外部に接続されるインタフェイスとは、インタフェイス毎に用意された偽装パケット流入防止部および優先識別子付与部を介して接続される。各インタフェイスには、予めそのインタフェイスから内部に向けての流入が許可されるパケットの送信元アドレスが登録されている。
【0025】
ここで、インタフェイスにアドレスが登録されるというのは、そのインタフェイスを介して本発明の装置に接続された送信元装置あるいは送信先装置のアドレスがインタフェイス毎に登録されることを意味し、そのインタフェイスのアドレスそのものとして割り当てられることではない。
【0026】
外部から流入するパケットがその送信元アドレスとして他のインタフェイスに登録されているアドレスを不正に使用している場合、偽装パケット流入防止部は、入力されたパケットの送信元アドレスが入力インタフェイスに登録されているアドレスと一致しないことを確認することにより、そのパケットの送信元が偽装されていると判断して、そのパケットを破棄する。
【0027】
偽装パケット流入防止部で破棄されなかったパケットについては、優先識別子付与部に送られ、そのパケットの送信元アドレスが示す装置と送信先アドレスが示す装置の両方が、外部のネットワークなどを介することなく本発明の装置に直接接続されている場合には、優先識別子付与部は、優先制御転送部において高い優先度で配送されることになるための優先識別子をパケットに付与する。一方、そのパケットの送信元アドレスが示す装置と送信先アドレスが示す装置のうちどちらか一方でも、外部のネットワークなどを介して本発明の装置に接続されている場合には、優先識別子付与部は、優先制御転送部において低い優先度で配送されることになるための優先識別子をパケットに付与する。
【0028】
その後、パケットは優先制御転送部に送られ、送信先側のインタフェイスに向けて優先制御転送部の中で配送される。その際、優先制御転送部は、パケットに付与された優先識別子に従った優先度で配送を行う。その後、送信先側のインタフェイスを介してパケットは送信先に送られる。
【0029】
分散反射型DoS攻撃では、上述したように、攻撃装置から第三者の運用する正規の装置に向けて、送信元を標的のアドレスに偽装したパケットを送り、正規の装置からの返答パケットを標的の装置に対して送らせることによって実施される。
【0030】
ここで、標的の装置に直接送られるパケットが返答パケットである場合、その返答パケットの送信元が本発明の装置に直接接続されていれば、事前のパケット(返答パケットの元となる要求パケット)は本発明の装置を介して送られなければならない。さらに、返答パケットが攻撃に使用されるためには、事前のパケットの送信元は返答パケットの送信先として偽装されている必要があるが、ここで返答パケットの送信先も本発明の装置に直接接続されているとすれば、別のインタフェイスから流入しようとする偽装パケットは偽装パケット流入防止部の機能により破棄されてしまう。
【0031】
従って、送信元と送信先がどちらも本発明の装置に直接接続されているのであれば、そのパケットは分散反射型DoS攻撃に利用された返答パケットではないことになる。本発明の装置では、直接接続された送信元装置と送信先装置との間のパケットについては優先して配送されるため、それ以外のパケットを使って分散反射型DoS攻撃が行われている間でも、本発明の装置に直接接続された装置間のパケットの配送は攻撃の影響を受けないことになる。
【0032】
このようにして、本発明によれば、ネットワーク上に存在する装置を分散反射型DoS攻撃から防御できるようになるのである。
【0033】
【発明の実施の形態】
以下、実施の形態に従って本発明を詳細に説明する。
【0034】
図1に、本発明を実現する主装置1の一実施形態例を図示する。
【0035】
この図に示すように、本発明を実現する主装置1は、パケットを転送する優先制御転送部10が中心に配置され、この優先制御転送部10と外部と接続するインタフェイスとの間すべてに、偽装パケット流入防止部11-1〜11-12 と優先識別子付与部12-1〜12-12 の両方を配置した構成をもつ。
【0036】
以上の構成を持つ主装置1は、送信先装置2と送信元装置3-1〜3-6との間に設置され、主装置1に直接接続された送信元装置3-iから主装置1に直接接続された送信先装置2への通信を分散反射型DoS攻撃から防御する機能を実現する。
【0037】
送信元および送信先となりうる装置は同一のインタフェイスを共有することもできるが、その場合、インタフェイスを共有する装置間での攻撃は防止できない。
【0038】
また、送信元装置3-iや送信先装置2の両方もしくはいずれかが第三者と共有する外部ネットワーク4-1〜4-2を経由して主装置1と接続することも可能であるが、その場合、基本的には、その送信元装置3-iからその送信先装置2への通信を分散反射型DoS攻撃から防御することはできない。ただし、外部ネットワーク4-iと直接接続されたVPN接続装置6との間でVPN接続(Virtual Private Network 接続)を行った装置については、外部ネットワーク4-iを経由せずに主装置1に直接接続された装置と同じ扱いをすることができる。
【0039】
また、特定組織内において、ルータ5などで構成されるLANに接続された装置に関しても、主装置1に直接接続された装置として扱うことができる。しかし、その組織内の装置から、同じ組織内の別の装置へむけた分散反射型DoS攻撃および、同じ組織内の装置を踏み台とした分散反射型DoS攻撃については防ぐことはできないので、組織内の装置が、攻撃を実施する可能性が低い場合にのみ主装置1に直接接続されたものとして扱うことが望ましい。
【0040】
なお、本発明における主装置1については、必ずしも一つの装置として一体的に実現される必要はなく、分散配置される複数の装置要素によって実現されていてもよい。
【0041】
以下に、図1中の各々の構成要素がどのように機能するかについて、図2を参照し、パケットの流れをもとに説明する。
【0042】
ここで、図1では、送信元装置3-iの送信したパケットは、「送信元装置3-i→偽装パケット流入防止部11-i→優先識別子付与部12-i→優先制御転送部10→優先識別子付与部12-i→偽装パケット流入防止部11-i→送信先装置2」というルートでもって、送信先装置2に配送されることを想定している。
【0043】
まず、パケットは送信元装置3-iから送出される(ステップ201)。このパケットは本発明の主装置1を経由して送信先装置2へ配送されるが、その際に、主装置1に入ると、偽装パケット流入防止部11-iに送られて、そこで偽装パケット流入防止処理が実行される(ステップ202)。
【0044】
偽装パケット流入防止部11-iでは、図3で示される処理が行われる。
【0045】
偽装パケット流入防止部11-iでの処理が開始されると(ステップ301)、まず、偽装パケット流入防止部11-iへ入力されたパケットが、主装置1の外部から流入したものであるのか否かの判断を行い(ステップ302)、主装置1の外部から流入したものであることを判断する場合には、受け取ったパケットの送信元アドレスが、その偽装パケット流入防止部11-iに接続されたインタフェイスに登録されているアドレスの範囲内のものであるかどうかを判断する(ステップ303)。
【0046】
このステップ303の判断において、受け取ったパケットの送信元アドレスが登録されているアドレスの範囲内であることを判断する場合には、インタフェイスに接続された送信元装置3-iから送られたパケットであるとして、直接接続している優先識別子付与部12-iにパケットを送信し(ステップ304)、処理を終了する(ステップ305)。
【0047】
一方、ステップ303の判断において、受け取ったパケットの送信元アドレスが登録されているアドレスの範囲内でないことを判断する場合には、別のインタフェイスに接続された送信元装置3-iから送られた偽装パケットであるとして、そのパケットを破棄し(ステップ306)、処理を終了する(ステップ305)。
【0048】
一方、ステップ302の判断において、パケットが主装置1の外部から流入したものでないことを判断する場合、すなわち、外部から流入したものではなくて、内側の優先識別子付与部12-iから送られたものである場合には、その偽装パケット流入防止部11-iが直接接続しているインタフェイス経由でパケットを送信先装置2に向けて配送し(ステップ307)、処理を終了する(ステップ305)。
【0049】
このようにして、図2に示すステップ202で、偽装パケット流入防止部11-iに入力されたパケットに対しての処理が終わると、そのパケットが偽装パケット流入防止部11-iの処理によって破棄されている場合には(ステップ203)、そのパケットに対する主装置1の処理は終了する(ステップ209)。
【0050】
一方、主装置1に入力されたパケットが破棄されていない場合には(ステップ203)、パケットは優先識別子付与部12-iに送られているはずであるので、優先識別子付与部12-iの処理が実行される(ステップ204)。
【0051】
優先識別子付与部12-iでは、図4に示す処理が行われる。なお、ここでは、パケットが偽装パケット流入部11-iから送られてきたことから、後述するステップ407の処理については実行されることはない。
【0052】
優先識別子付与部12-iでの処理が開始されると(ステップ401)、まず、優先識別子付与部12-iへ入力されたパケットが偽装パケット流入部11-iから送られたものであるかどうかを判断する(ステップ402)。
【0053】
このステップ402の判断において、偽装パケット流入部11-iから送られたパケットであることを判断する場合には、パケットの送信元アドレスおよび送信先アドレスを調べることにより、そのパケットの送信元と送信先がいずれも主装置1に直接接続されたものであるかを判断する(ステップ403)。
【0054】
例えば、主装置1に直接接続された装置のIPアドレスの一覧を格納したデータベースを予め用意し、ステップ403の判断時に、送信元および送信先の両方のIPアドレスがこれらのIPアドレスに含まれるかどうかを調べることにより、パケットの送信元と送信先がいずれも主装置1に直接接続されたものであるかを判断するのである。
【0055】
このステップ403の判断において、パケットの送信元と送信先がいずれも主装置1に直接接続されていることを判断する場合には、高い優先度で転送を行うことを示す優先識別子をパケットに付与する(ステップ405)。そして、優先制御転送部10にパケットを送信し(ステップ406)、優先識別子付与部12-iの処理を終了する(ステップ408)。
【0056】
一方、ステップ403の判断において、パケットの送信元と送信先の両方またはいずれかが主装置1に直接接続されていないことを判断することで、パケットの送信元と送信先の両方またはいずれかが外部ネットワークなどを経由して主装置1に接続されていることを判断する場合には、低い優先度で転送を行うことを示す優先識別子をパケットに付与する(ステップ404)。そして、優先制御転送部10にパケットを送信し(ステップ406)、優先識別子付与部12-iの処理を終了する(ステップ408)。
【0057】
一方、ステップ402の判断において、パケットが偽装パケット流入防止部11-iから送られたものでないことを判断する場合、すなわち、優先制御転送部10から送られたものである場合には、その優先識別子付与部12-iが直接接続している偽装パケット流入防止部11-iへパケットを送信し(ステップ407)、処理を終了する(ステップ408)。
【0058】
このようにして、図2に示すステップ204で、優先識別子付与部12-iに入力されたパケットに対しての処理が終わると、そのパケットに対して、優先制御転送部10の処理が実行される(ステップ205)。
【0059】
優先制御転送部10では、図5に示す処理が行われる。
【0060】
すなわち、優先制御転送部10は、パケットを受け取ることで処理を開始すると(ステップ501)、そのパケットの送信先が接続されたインタフェイスに向けて、自らの内部でパケットを転送していく。この際、複数のパケットが優先制御転送部10の内部を同時に転送されることがあり、その場合には、パケットに付与された優先識別子に応じた優先度に応じた転送制御を行う。すなわち、優先度の高いパケットを優先的に転送していくという転送制御を行うのである(ステップ502)。すべての転送処理が終了すると、優先制御転送部の処理は終了する(ステップ503)。
【0061】
このようにして、図2に示すステップ205で、優先制御転送部10に入力されたパケットに対しての処理が終わると、優先制御転送部10の内部における転送が終わったパケットは、送信先に向かうインタフェイスに接続された優先識別子付与部12-iに到着する(ステップ206)。
【0062】
ここで、再び、図4に示す優先識別子付与部12-iの処理が行われ、今度は優先制御転送部10から送られたパケットであるため、ステップ407の処理に従って、パケットはその優先識別子付与部12-iが接続された偽装パケット流入防止部11-iへ送られる。
【0063】
そして、パケットが偽装パケット流入防止部11-iへ送られると、ここで、再び、図3に示す偽装パケット流入防止部11-iの処理が行われ(ステップ207)、今度は優先識別子付与部12-iから送られたパケットであるため、ステップ307の処理に従って、その偽装パケット流入防止部11-iが接続するインタフェイスを経由して送信先装置2にパケットが到着する(ステップ208)。
【0064】
以下に、本発明の構成要素の具体化例について解説する。
【0065】
優先識別子としては、優先識別子のために新たなパケット形式を採用することに限らず、既存のパケット識別方法、すなわちIPヘッダ内のTOSフィールド(Type Of Serviceフィールド) 、DSフィールド(Differentiated Service フィールド) 、IEEE 802.1Qのラベル、MPLS(Multi Protocol Label Switching)のラベル等を利用可能である。
【0066】
優先制御転送部10としては、優先識別子の内容に応じて優先制御を行う装置を利用する。例えば、TOSフィールドの値に応じて、優先制御する装置を利用する。
【0067】
また、優先制御転送部10の優先制御の機能としては、優先識別子の値に応じて優先制御を行うだけでなく、通信コネクションの確立を行なうための最初のパケット(TCPのSYNパケット等)に対しても最大帯域を指定でき、その帯域の中で優先識別子に応じて優先制御を行なうものを導入することが望ましいが、パケットの種類を区別せずに単に優先識別子の内容に応じて優先制御を行なう装置を導入してもかまわない。
【0068】
また、優先制御転送部10は、優先制御装置を設置したIPネットワークのバックボーンを利用することが可能である。これは、一つのISPもしくはキャリアによって提供されても良いが、複数のISPもしくはキャリアによって提供されてもよく、それらの接続を直接もしくはVPN等によって行うことなどにより、第三者により優先識別子を偽造されることを防止する必要がある。
【0069】
図示実施形態例に従って本発明を説明したが、本発明はこれに限定されるものではない。例えば、実施形態例では具体的に説明しなかったが、本発明は、特定のユーザ端末に対して行われるDoS攻撃についても防止することができるし、公開サーバに対して行われるDoS攻撃についても防止することができるのである。
【0070】
【発明の効果】
インターネットの利用者が爆発的に増大する中で、近年、インターネット上においてもオンライン証券取引サービスやオンラインバンキングサービス等、通信品質が重要視されるサービスを提供する動きが活発になっている。
【0071】
しかしインターネットでは、パケットの送信元を偽装することが容易であり、かつ、大量のパケットの送信を低コストで実施することが可能であるため、インターネット内で公開されたサーバに対して大量のパケットを送りつけるというDoS攻撃の脅威が大きい。したがって、このDoS攻撃をいかに防ぐかが課題となっている。
【0072】
DoS攻撃防止のための方法としては、前述のとおり様々な方法が提案されてきたが、高度分散型DoS攻撃に対しては十分な対策が提供されていなかった。本発明は、従来の方法では防ぐことが困難であった高度分散型DoS攻撃のうち、分散反射型DoS攻撃への対策を提供するものである。
【0073】
本発明を使用すると、攻撃者が、本発明の装置に接続されたホストに対して、同じく本発明の装置に接続された標的のアドレスとして送信元アドレスを偽装したパケットを送ることができなくなる。
【0074】
これにより、本発明の装置に直接接続された2つの装置間のパケットは、分散反射型DoS攻撃における反射パケットでないことが保証され、さらに本発明では、このパケットを優先的に装置内で転送することにより、送信先に対して分散反射型DoS攻撃が行われている間でも、本発明の装置に直接接続された2つの装置間では、その攻撃の影響を受けることなく通信が可能になる。
【0075】
送信元装置もしくは送信先装置が本発明の装置と直接接続されているとは、送信元装置もしくは送信先装置と本発明の装置との間で、第三者が送信元のなりすましを行わない環境にあるということを意味する。従って、特定組織内部の装置からは送信元アドレスの偽装が行われないとされるのであれば、その組織内で共用されるLANを経由して本発明の装置に接続された装置も、本発明の装置に対して直接接続された装置として扱っても良い。
【0076】
なお、本発明は送信元装置から直接行われる攻撃に対しては防御できない。直接行われる攻撃から標的を防御するには別の方法が必要になる。
【0077】
本発明における装置をISP(Internet Service Provider)が提供することにより、ISPは利用者を分散反射型DoS攻撃から防御するという付加価値のあるサービスを提供可能にすることができる。また、複数のISPが共同で、本発明における装置を運用することにより、一つのISPに限定しないサービスとして提供することが可能である。
【図面の簡単な説明】
【図1】本発明を実現する主装置の一実施形態例を示す図である。
【図2】パケットに対しての処理の流れを示す図である。
【図3】偽装パケット流入防止図の処理を示す図である。
【図4】優先識別子付与部の処理を示す図である。
【図5】優先制御転送部の処理を示す図である。
【符号の説明】
1 主装置
2 送信先装置
3 送信元装置
4 外部ネットワーク
5 ルータ
10 優先制御転送部
11 偽装パケット流入防止部
12 優先識別子付与部

Claims (6)

  1. ネットワーク上に存在する装置に対して行われる不正なパケットを使った攻撃を防止するためのネットワーク攻撃防止装置であって、
    外部と接続されたインタフェイスから入力されたパケットの送信元アドレスが、そのインタフェイスに登録されているアドレスであるのか否かを検査して、登録されているアドレスである場合にはパケットの入力を受け付け、登録されているアドレスでない場合にはパケットを破棄する手段と、
    パケットの送信元と送信先の両方が上記インタフェイスに直接接続されている場合には、そのパケットに対して高い優先度で配送を行うための優先識別子を付与し、そうでない場合には、そのパケットに対して低い優先度で配送を行なうための優先識別子を付与する手段とを備えることを、
    特徴とするネットワーク攻撃防止装置。
  2. 請求項1記載のネットワーク攻撃防止装置において、
    上記優先識別子に応じて優先的に送信先にパケットを配送する手段を備えることを、
    特徴とするネットワーク攻撃防止装置。
  3. ネットワーク上に存在する装置に対して行われる不正なパケットを使った攻撃を防止するためのネットワーク攻撃防止方法であって、
    外部と接続されたインタフェイスから入力されたパケットの送信元アドレスが、そのインタフェイスに登録されているアドレスであるのか否かを検査して、登録されているアドレスである場合にはパケットの入力を受け付け、登録されているアドレスでない場合にはパケットを破棄する過程と、
    パケットの送信元と送信先の両方が上記インタフェイスに直接接続されている場合には、そのパケットに対して高い優先度で配送を行うための優先識別子を付与し、そうでない場合には、そのパケットに対して低い優先度で配送を行なうための優先識別子を付与する過程とを備えることを、
    特徴とするネットワーク攻撃防止方法。
  4. 請求項3記載のネットワーク攻撃防止方法において、
    上記優先識別子に応じて優先的に送信先にパケットを配送する過程を備えることを、
    特徴とするネットワーク攻撃防止方法。
  5. 請求項1または2に記載のネットワーク攻撃防止装置の実現に用いられる処理をコンピュータに実行させるためのネットワーク攻撃防止プログラム。
  6. 請求項1または2に記載のネットワーク攻撃防止装置の実現に用いられる処理をコンピュータに実行させるためのネットワーク攻撃防止プログラムを記録した記録媒体。
JP2003166619A 2003-06-11 2003-06-11 ネットワーク攻撃防止装置、ネットワーク攻撃防止方法、ネットワーク攻撃防止プログラム及びそのプログラムを記録した記録媒体 Expired - Fee Related JP3917557B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003166619A JP3917557B2 (ja) 2003-06-11 2003-06-11 ネットワーク攻撃防止装置、ネットワーク攻撃防止方法、ネットワーク攻撃防止プログラム及びそのプログラムを記録した記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003166619A JP3917557B2 (ja) 2003-06-11 2003-06-11 ネットワーク攻撃防止装置、ネットワーク攻撃防止方法、ネットワーク攻撃防止プログラム及びそのプログラムを記録した記録媒体

Publications (2)

Publication Number Publication Date
JP2005005994A JP2005005994A (ja) 2005-01-06
JP3917557B2 true JP3917557B2 (ja) 2007-05-23

Family

ID=34092730

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003166619A Expired - Fee Related JP3917557B2 (ja) 2003-06-11 2003-06-11 ネットワーク攻撃防止装置、ネットワーク攻撃防止方法、ネットワーク攻撃防止プログラム及びそのプログラムを記録した記録媒体

Country Status (1)

Country Link
JP (1) JP3917557B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6542726B2 (ja) * 2016-08-31 2019-07-10 日本電信電話株式会社 攻撃判定装置および攻撃判定方法
US10237300B2 (en) * 2017-04-06 2019-03-19 Microsoft Technology Licensing, Llc System and method for detecting directed cyber-attacks targeting a particular set of cloud based machines

Also Published As

Publication number Publication date
JP2005005994A (ja) 2005-01-06

Similar Documents

Publication Publication Date Title
US8001244B2 (en) Deep packet scan hacker identification
AU2005207632B2 (en) Upper-level protocol authentication
US7930740B2 (en) System and method for detection and mitigation of distributed denial of service attacks
US6775704B1 (en) System and method for preventing a spoofed remote procedure call denial of service attack in a networked computing environment
US8800001B2 (en) Network authentication method, method for client to request authentication, client, and device
US20030065943A1 (en) Method and apparatus for recognizing and reacting to denial of service attacks on a computerized network
US20040187032A1 (en) Method, data carrier, computer system and computer progamme for the identification and defence of attacks in server of network service providers and operators
KR101067781B1 (ko) 타겟 희생자 자체-식별 및 제어에 의해 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치
JP2012109996A (ja) 1つまたは複数のパケット・ネットワーク内で悪意のある攻撃中に制御メッセージを送達する方法および装置
US11178108B2 (en) Filtering for network traffic to block denial of service attacks
US20070289014A1 (en) Network security device and method for processing packet data using the same
JP2022554101A (ja) パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体
EP1284558B1 (en) Method and apparatus for protecting electronic commerce sites from distributed denial-of-service attacks
JP2008306610A (ja) 不正侵入・不正ソフトウェア調査システム、および通信振分装置
JP4284248B2 (ja) アプリケーションサービス拒絶攻撃防御方法及びシステム並びにプログラム
JP3917557B2 (ja) ネットワーク攻撃防止装置、ネットワーク攻撃防止方法、ネットワーク攻撃防止プログラム及びそのプログラムを記録した記録媒体
US20060225141A1 (en) Unauthorized access searching method and device
JP2002158699A (ja) DoS攻撃防止方法および装置およびシステムおよび記録媒体
US8185642B1 (en) Communication policy enforcement in a data network
CN110035041B (zh) 一种识别应用攻击源的方法和设备
JP3917546B2 (ja) ネットワーク攻撃防止方法、ネットワーク攻撃防止装置、ネットワーク攻撃防止プログラム及びそのプログラムを記録した記録媒体
CN115208599A (zh) 一种防御DDoS攻击的方法以及相关装置
Bossardt et al. Enhanced Internet security by a distributed traffic control service based on traffic ownership
JP3784799B2 (ja) 攻撃パケット防御システム
JP2008028720A (ja) 送信元ipアドレス詐称ipパケットを制御可能なipネットワーク装置および送信元ipアドレス詐称ipパケット制御方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050715

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070125

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070206

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070208

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: R3D02

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110216

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110216

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120216

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130216

Year of fee payment: 6

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees