JP3938763B2 - DoS attack countermeasure system, method and program - Google Patents

DoS attack countermeasure system, method and program Download PDF

Info

Publication number
JP3938763B2
JP3938763B2 JP2003159569A JP2003159569A JP3938763B2 JP 3938763 B2 JP3938763 B2 JP 3938763B2 JP 2003159569 A JP2003159569 A JP 2003159569A JP 2003159569 A JP2003159569 A JP 2003159569A JP 3938763 B2 JP3938763 B2 JP 3938763B2
Authority
JP
Japan
Prior art keywords
zone
attack
filtering
attack packet
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003159569A
Other languages
Japanese (ja)
Other versions
JP2004363915A5 (en
JP2004363915A (en
Inventor
Chen Eric
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2003159569A priority Critical patent/JP3938763B2/en
Publication of JP2004363915A publication Critical patent/JP2004363915A/en
Publication of JP2004363915A5 publication Critical patent/JP2004363915A5/ja
Application granted granted Critical
Publication of JP3938763B2 publication Critical patent/JP3938763B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、帯域消費型DoS攻撃の防御に有効な方法に関するものである。帯域消費型DoS攻撃(Denial of Service 攻撃:サービス拒否攻撃)とは、インターネット等で不特定多数のユーザ(送信元)に公開されたサーバ(送信先)に対して、不正な通信パケットを大量に送ることにより、送信先の通信帯域を消費する等の悪影響を与え、その送信先への他の送信元からのアクセスを困難にする、あるいは、その送信先の機能を停止させる攻撃である。
【0002】
【従来の技術】
従来、TCP/IP(Transmission control Protocol/internet protocol)などのネットワークプロトコルは、オープンとなっており、互いに信用されるグループで使われるように設計されている。このため、コンピュータのオペレーティングシステムでは、複数の端末から大量の通信トラヒック(データ等)をサーバに送信することによって、ネットワークの帯域を消費して正当な利用者の利用を妨げようとする帯域消費型DoS(サービス不能)攻撃(以下、「DoS(Denial of Service)攻撃と記す」を防ぐことは考慮されていない。
【0003】
このDoS攻撃に対する防御の方法としては、シスコ社が提案したIngress Filter(例えば、非特許文献1参照)がある。これはDoS攻撃の際に良く使われる送信元アドレスの詐称をチェックする機構であり、ローカルエリアネットワークがインターネットに接続されている境界であるルータにインストールされ、ローカルエリアネットワークからインターネットに向かって送信されるパケットの送信元アドレスの正統性をチェックし、ローカルエリアネットワークに割り当てられたアドレスと整合していない場合には、そのパケットをインターネットに送信せずに破棄する。
【0004】
【非特許文献1】
IETF RFC2267
【0005】
【発明が解決しようとする課題】
上述した非特許文献1に記載されているIngress Filterは、送信元アドレスを詐称してDoS攻撃をすることを禁止するための技術であり、攻撃を受ける側が防御するために使う技術ではない。また、正しいIP(Internet Protocol)アドレスが送信元になっているIPパケットによる攻撃にはまったく対処できない。
【0006】
本発明は、このような背景に行われたものであって、送信元アドレスが偽造されないDoS攻撃を回避することができ、また、攻撃パケットによる影響を攻撃元に近い局所に限定し、ネットワーク全体への悪影響を抑制することができ、また、依頼元と関係のないトラヒックをフィルタするなどの不正行為を防ぐことができるDoS攻撃対策システムおよび方法を提供することを目的とする。
【0007】
【課題を解決するための手段】
本発明は、ネットワークを複数のゾーンに分割し、各ゾーンには、ゾーンマネージャを配置し、このゾーンマネージャは、自ゾーン内の複数のルータ一括管理する。さらに、これらのゾーンマネージャを連携させるためコーディネータを設置する。
【0008】
ゾーンがDoS攻撃を受けると、同ゾーンのゾーンマネージャが攻撃パケットの発信源アドレスを抽出し、コーディネータ経由で攻撃者を収容するゾーンマネージャに、攻撃パケットフィルタリングの依頼を行い、攻撃パケットに対する上流でのフィルタリングを実現させる。
【0009】
なお、ゾーンマネージャは、攻撃パケットの宛先アドレスも併せて抽出し、これをフィルタリング依頼に含ませることにより、コーディネータは、ゾーンマネージャからのパケットフィルタリングの依頼を処理する際、フィルタ対象パケットの宛先は、依頼元のゾーンであるか否か判断することができる。これにより、例えば、不正なフィルタリング依頼が行われた場合には、これを見破ることができ、不正なフィルタリングが行われることを回避できる。
【0010】
すなわち、本発明の第一の観点は、DoS攻撃対策システムであって、本発明の特徴とするところは、ネットワークが複数のゾーンに分割され、この複数のゾーンにはそれぞれ、自ゾーン内におけるDoS攻撃の発生を監視する手段と、この監視する手段の監視により自ゾーン内におけるDoS攻撃が検出されたときには、攻撃パケットからその発信源アドレスを含む情報を抽出する手段と、この抽出する手段により抽出された前記攻撃パケットの発信源アドレスの情報を含む前記攻撃パケットのフィルタリング依頼を送出する手段と、フィルタリング指示を受けると自ゾーン内のルータに対して前記攻撃パケットのフィルタリングを設定する手段とを備えたゾーンマネージャを設け、前記フィルタリング依頼を受信して前記攻撃パケットの発信源アドレスが属するゾーンの前記ゾーンマネージャを検索する手段と、この検索する手段により検索された前記ゾーンマネージャに対して前記攻撃パケットのフィルタリングを指示する手段とを備えたコーディネータを設けたところにある(請求項1)。
【0011】
また、前記抽出する手段は、前記攻撃パケットからその宛先アドレスの情報も併せて抽出する手段を備え、前記フィルタリング依頼を送出する手段は、この抽出する手段により抽出された前記攻撃パケットの宛先アドレスの情報も併せて前記フィルタリング依頼を送出する手段を備え、前記コーディネータは、前記フィルタリング依頼を受信してフィルタリング対象の攻撃パケットの宛先アドレスが当該フィルタリング依頼の依頼元のゾーンであるか否か判定する手段と、この判定する手段の判定結果により前記攻撃パケットの宛先アドレスが当該フィルタリング依頼の依頼元のゾーンでなければ前記依頼を拒否する手段とを備えることができる(請求項2)。
【0012】
本発明の第二の観点は、ゾーンマネージャであって、本発明の特徴とするところは、ネットワークが複数のゾーンに分割され、この複数のゾーンにそれぞれ設けられ、自ゾーン内におけるDoS攻撃の発生を監視する手段と、この監視する手段の監視により自ゾーン内におけるDoS攻撃が検出されたときには、攻撃パケットからその発信源アドレスを含む情報を抽出する手段と、この抽出する手段により抽出された前記攻撃パケットの発信源アドレスの情報を含む前記攻撃パケットのフィルタリング依頼を送出する手段と、フィルタリング指示を受けると自ゾーン内のルータに対して前記攻撃パケットのフィルタリングを設定する手段とを備えたところにある(請求項3)。
【0013】
また、前記抽出する手段は、前記攻撃パケットからその宛先アドレスの情報も併せて抽出する手段を備え、前記フィルタリング依頼を送出する手段は、この抽出する手段により抽出された前記攻撃パケットの宛先アドレスの情報も併せて前記フィルタリング依頼を送出する手段を備えることができる(請求項4)。
【0014】
本発明の第三の観点は、コーディネータであって、本発明の特徴とするところは、ゾーン単位にDoS攻撃を検出し、DoS攻撃が検出されたときには、攻撃パケットのフィルタリング依頼を送出するゾーンマネージャからの前記フィルタリング依頼を受信して前記攻撃パケットの発信源アドレスが属するゾーンの前記ゾーンマネージャを検索する手段と、この検索する手段により検索された前記ゾーンマネージャに対して前記攻撃パケットのフィルタリングを指示する手段とを備えたところにある(請求項5)。
【0015】
また、前記フィルタリング依頼を受信してフィルタリング対象の攻撃パケットの宛先アドレスが当該フィルタリング依頼の依頼元のゾーンであるか否か判定する手段と、この判定する手段の判定結果により前記攻撃パケットの宛先アドレスが当該フィルタリング依頼の依頼元のゾーンでなければ前記依頼を拒否する手段とを備えることができる(請求項6)。
【0016】
本発明の第四の観点は、情報処理装置にインストールすることにより、その情報処理装置に、ネットワークが複数のゾーンに分割され、この複数のゾーンにそれぞれ設けられたゾーンマネージャに相応する機能を実現させるプログラムであって、本発明の特徴とするところは、自ゾーン内におけるDoS攻撃の発生を監視する機能と、この監視する機能の監視により自ゾーン内におけるDoS攻撃が検出されたときには、攻撃パケットからその発信源アドレスを含む情報を抽出する機能と、この抽出する機能により抽出された前記攻撃パケットの発信源アドレスの情報を含む前記攻撃パケットのフィルタリング依頼を送出する機能と、フィルタリング指示を受けると自ゾーン内のルータに対して前記攻撃パケットのフィルタリングを設定する機能とを実現させるところにある(請求項7)。
【0017】
また、前記抽出する機能として、前記攻撃パケットからその宛先アドレスの情報も併せて抽出する機能を実現させ、前記フィルタリング依頼を送出する機能として、この抽出する機能により抽出された前記攻撃パケットの宛先アドレスの情報も併せて前記フィルタリング依頼を送出する機能を実現させることができる(請求項8)。
【0018】
あるいは、本発明のプログラムは、情報処理装置にインストールすることにより、その情報処理装置に、コーディネータに相応する機能を実現させるプログラムであって、ゾーン単位にDoS攻撃を検出し、DoS攻撃が検出されたときには、攻撃パケットのフィルタリング依頼を送出するゾーンマネージャからの前記フィルタリング依頼を受信して前記攻撃パケットの発信源アドレスが属するゾーンの前記ゾーンマネージャを検索する機能と、この検索する機能により検索された前記ゾーンマネージャに対して前記攻撃パケットのフィルタリングを指示する機能とを実現させることを特徴とする(請求項9)。
【0019】
また、前記フィルタリング依頼を受信してフィルタリング対象の攻撃パケットの宛先アドレスが当該フィルタリング依頼の依頼元のゾーンであるか否か判定する機能と、この判定する機能の判定結果により前記攻撃パケットの宛先アドレスが当該フィルタリング依頼の依頼元のゾーンでなければ前記依頼を拒否する機能とを実現させることができる(請求項10)。
【0020】
本発明の第五の観点は、本発明のプログラムが記録された前記情報処理装置読取可能な記録媒体である(請求項11)。本発明のプログラムは本発明の記録媒体に記録されることにより、前記情報処理装置は、この記録媒体を用いて本発明のプログラムをインストールすることができる。あるいは、本発明のプログラムを保持するサーバからネットワークを介して直接前記情報処理装置に本発明のプログラムをインストールすることもできる。
【0021】
これにより、情報処理装置を用いて、送信元アドレスが偽造されないDoS攻撃を回避することができ、また、攻撃パケットによる影響を攻撃元に近い局所に限定し、ネットワーク全体への悪影響を抑制することができ、また、依頼元と関係のないトラヒックをフィルタするなどの不正行為を防ぐことができるDoS攻撃への対策システムを実現することができる。
【0022】
本発明の第六の観点は、DoS攻撃対策方法であって、本発明の特徴とするところは、ネットワークを複数のゾーンに分割し、この複数のゾーンにそれぞれ設けられたゾーンマネージャにより、自ゾーン内におけるDoS攻撃の発生を監視するステップと、この監視するステップの監視により自ゾーン内におけるDoS攻撃が検出されたときには、攻撃パケットからその発信源アドレスを含む情報を抽出するステップと、この抽出するステップにより抽出された前記攻撃パケットの発信源アドレスの情報を含む前記攻撃パケットのフィルタリング依頼を送出するステップと、フィルタリング指示を受けると自ゾーン内のルータに対して前記攻撃パケットのフィルタリングを設定するステップとを実行し、前記複数のゾーンマネージャを一括管理するコーディネータにより、前記フィルタリング依頼を受信して前記攻撃パケットの発信源アドレスが属するゾーンの前記ゾーンマネージャを検索するステップと、この検索するステップにより検索された前記ゾーンマネージャに対して前記攻撃パケットのフィルタリングを指示するステップとを実行するところにある(請求項12)。
【0023】
また、前記抽出するステップとして、前記攻撃パケットからその宛先アドレスの情報も併せて抽出するステップを実行し、前記フィルタリング依頼を送出するステップとして、この抽出するステップにより抽出された前記攻撃パケットの宛先アドレスの情報も併せて前記フィルタリング依頼を送出するステップを実行し、前記コーディネータにより、前記フィルタリング依頼を受信してフィルタリング対象の攻撃パケットの宛先アドレスが当該フィルタリング依頼の依頼元のゾーンであるか否か判定するステップと、この判定するステップの判定結果により前記攻撃パケットの宛先アドレスが当該フィルタリング依頼の依頼元のゾーンでなければ前記依頼を拒否するステップとを実行することができる(請求項13)。
【0024】
【発明の実施の形態】
本発明実施形態のDoS攻撃対策システムを図1ないし図6を参照して説明する。図1は本実施形態を説明するためのネットワーク例を示す図である。図2は本実施形態のゾーンマネージャからコーディネータへのフィルタリングの依頼手順を示すフローチャートである。図3は本実施形態のコーディネータにおけるゾーンマネージャからのフィルタリング依頼の処理手順を示すフローチャートである。図4は本実施形態のコーディネータの構成図である。図5は本実施形態のゾーンマネージャに対するコーディネータのフィルタリング指示の処理手順を示すフローチャートである。図6は本実施形態のゾーンマネージャの構成図である。
【0025】
本発明実施形態のDoS攻撃対策システムは、図1に示すように、ネットワークが複数のゾーン101〜104(A〜D)に分割され、この複数のゾーン101〜104にはそれぞれ、図6に示すように、自ゾーン内におけるDoS攻撃の発生を監視するDoS攻撃監視部601と、このDoS攻撃監視部601の監視により自ゾーン内におけるDoS攻撃が検出されたときには、攻撃パケットからその発信源アドレスを含む情報を抽出するパケット情報抽出部602と、このパケット情報抽出部602により抽出された前記攻撃パケットの発信源アドレスの情報を含む前記攻撃パケットのフィルタリング依頼を送出するフィルタリング依頼送出部603と、フィルタリング指示を受けると自ゾーン内のルータに対して前記攻撃パケットのフィルタリングを設定するフィルタリング設定部604とを備えたゾーンマネージャ105〜108を設け、図4に示すように、前記フィルタリング依頼を受信して前記攻撃パケットの発信源アドレスが属するゾーンの前記ゾーンマネージャ105〜108を検索するゾーン情報部404と、このゾーン情報部404により検索されたゾーンマネージャ105〜108に対して前記攻撃パケットのフィルタリングを指示する指示部402とを備えたコーディネータ122を設けたことを特徴とする(請求項1〜6)。
【0026】
また、パケット情報抽出部602は、前記攻撃パケットからその宛先アドレスの情報も併せて抽出し、フィルタリング依頼送出部603は、このパケット情報抽出部602により抽出された前記攻撃パケットの宛先アドレスの情報も併せて前記フィルタリング依頼を送出する。
【0027】
これに対し、コーディネータ122は、フィルタリング対象の攻撃パケットの宛先アドレスが当該フィルタリング依頼の依頼元のゾーンであるか否かを依頼確認部403により判定し、受付部401は、この依頼確認部403の判定結果により前記攻撃パケットの宛先アドレスが当該フィルタリング依頼の依頼元のゾーンでなければ前記依頼を拒否する。また、受付部401は、この依頼確認部403の判定結果により前記攻撃パケットの宛先アドレスが当該フィルタリング依頼の依頼元のゾーンであれば前記依頼を受け付ける。
【0028】
本発明は、汎用の情報処理装置にインストールすることにより、その情報処理装置に本発明のDoS攻撃対策システムにおけるゾーンマネージャ105〜108およびコーディネータ122に相応する機能を実現させるプログラムとして実現することができる(請求項7〜10)。このプログラムは、記録媒体に記録されて情報処理装置にインストールされ(請求項11)、あるいは通信回線を介して情報処理装置にインストールされることにより当該情報処理装置に、受付部401、指示部402、依頼確認部403、ゾーン情報部404、DoS攻撃監視部601、パケット情報抽出部602、フィルタリング依頼送出部603、フィルタリング設定部604にそれぞれ相応する機能を実現させることができる。
【0029】
次に、本発明実施形態について図面を参照して説明する。図1は本実施形態を説明するためのネットワーク例である。ネットワーク100はバックボーンネットワークである。101のゾーンA、102のゾーンB、103のゾーンC、104のゾーンDは、4つの異なるネットワークサービス提供者によって所有されているネットワークを示している。105、106、107、108のゾーンマネージャは、それぞれのゾーンに存在するルータにフィルタリングルールの設定を行う役割を果たす。109、110のルータはゾーンAの中に存在し、111、112、113のルータはゾーンBの中に存在し、114、115、116のルータはゾーンCの中に存在し、117、118、119のルータはゾーンDの中に存在する。コーディネータ122は各ゾーンマネージャと暗号化されたチャネルで通信を行う。攻撃者によって操作された複数のホスト120は、攻撃パケットを標的サーバ121に向かって送信している。
【0030】
図2はゾーンマネージャからコーディネータへフィルタリングの依頼をする手順である(請求項12、13)。まず、ステップ201において、市販IDS(Intrusion Detection System:侵入検知システム)を用いて受信トラヒックを監視する。ステップ202でDoS攻撃は発生しているか否か判断する。この判断の結果として、発生していない場合にはステップ202からステップ201へ戻る。つまり、DoS攻撃発生の判断を繰り返す。DoS攻撃が発生する場合、ステップ203に進み、発信源アドレスと、宛先アドレスと、プロトコル種類を含めた攻撃パケット情報を抽出する。ステップ204では、この攻撃パケットの情報を含めたフィルタリング依頼をコーディネータ122へ送信する。ステップ205でコーディネータ122からの返事を受けるとこの依頼手順を終了する。
【0031】
図3は本発明の技術を適用したコーディネータ122に対するゾーンマネージャ105〜108からのフィルタリング依頼の処理手順である(請求項12、13)。まず、ステップ301において、ゾーンマネージャからの依頼を受け付ける。ステップ302では、フィルタ対象のパケットは宛先アドレスが依頼元のゾーンマネージャの所管するものか否か確認する。ステップ303で依頼元の所管アドレスか否か判断する。この判断の結果として、依頼元の所管アドレスではない場合、ステップ308に進み、依頼元のゾーンマネージャへの返事として依頼を拒否し、依頼処理を終了する。ステップ303で、依頼元の所管アドレスの場合、ステップ304でフィルタ対処のパケットの発信源アドレスを収容するゾーンマネージャについて検索する。ステップ305では、攻撃パケットの情報をフィルタ対処のパケットの発信源アドレスを収容するゾーンマネージャに送信し、フィルタリングの指示をする。ステップ306では、フィルタ対処のパケットの発信源アドレスを収容するゾーンマネージャからの返事を受ける。ステップ307では、依頼元のゾーンマネージャへ結果を返事し、依頼処理を終了する。
【0032】
図4は本実施形態のコーディネータの構成図である。図示するように、コーディネータは、受付部401と、指示部402と、依頼確認部403と、ゾーン情報部404の各機能部を備え、図3の処理手順を行う。受付部401は、ステップ301と、ステップ308と、ステップ307とを実行し、依頼確認部403は、ステップ302と、ステップ303と、ステップ304とを実行する。ゾーン情報部404は、ステップ302と、ステップ304とで、依頼確認部403に情報を提供する。指示部402は、ステップ305を実行する。
【0033】
図5は、ゾーンマネージャに対するコーディネータからのフィルタリング指示の処理手順である(請求項12、13)。まず、ステップ501において、コーディネータからフィルタリング指示を受ける。ステップ502では、同ゾーンに収容されるルータへフィルタリングルールを設定する。ステップ503では、コーディネータへ結果を返事し、本処理手順を終了する。
【0034】
図6は本実施形態のゾーンマネージャの構成図である。図示するように、ゾーンマネージャは、DoS攻撃監視部601と、パケット情報抽出部602と、フィルタリング依頼送出部603と、フィルタリング設定部604の各機能部を備え、図2および図5の処理手順を行う。DoS攻撃監視部601は、ステップ201、202とを実行し、パケット情報抽出部602は、ステップ203を実行し、フィルタリング依頼送出部603は、ステップ204と、ステップ205とを実行し、フィルタリング設定部604は、ステップ501〜503を実行する。
【0035】
【発明の効果】
以上説明したように、本発明によれば、送信元アドレスが偽造されないDoS攻撃を回避することができ、また、攻撃パケットによる影響を攻撃元に近い局所に限定し、ネットワーク全体への悪影響を抑制することができ、また、依頼元と関係のないトラヒックをフィルタするなどの不正行為を防ぐことができる。
【図面の簡単な説明】
【図1】本実施形態を説明するためのネットワーク例を示す図。
【図2】本実施形態のゾーンマネージャからコーディネータへのフィルタリングの依頼手順を示すフローチャート。
【図3】本実施形態のコーディネータにおけるゾーンマネージャからのフィルタリング依頼の処理手順を示すフローチャート。
【図4】本実施形態のコーディネータの構成図。
【図5】本実施形態のゾーンマネージャに対するコーディネータのフィルタリング指示の処理手順を示すフローチャート。
【図6】本実施形態のゾーンマネージャの構成図。
【符号の説明】
100 ネットワーク
101 ゾーンA
102 ゾーンB
103 ゾーンC
104 ゾーンD
105 ゾーンマネージャA
106 ゾーンマネージャB
107 ゾーンマネージャC
108 ゾーンマネージャD
109〜119 ルータ
120 ホスト(攻撃者)
121 標的サーバ
122 コーディネータ
201〜205、301〜308、501〜503 ステップ
401 受付部
402 指示部
403 依頼確認部
404 ゾーン情報部
601 DoS攻撃監視部
602 パケット情報抽出部
603 フィルタリング依頼送出部
604 フィルタリング設定部[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a method effective for defense against a bandwidth consuming DoS attack. Bandwidth consumption DoS attack (Denial of Service attack: denial of service attack) is a large amount of unauthorized communication packets sent to a server (destination) disclosed to an unspecified number of users (sources) on the Internet. This is an attack that causes an adverse effect such as consuming the communication band of the transmission destination, makes it difficult to access the transmission destination from another transmission source, or stops the function of the transmission destination.
[0002]
[Prior art]
Conventionally, network protocols such as TCP / IP (Transmission Control Protocol / internet protocol) are open and designed to be used in mutually trusted groups. For this reason, in a computer operating system, a large amount of communication traffic (data, etc.) is transmitted from a plurality of terminals to a server, thereby consuming a network bandwidth and preventing the use of legitimate users. Preventing DoS (Denial of Service) attacks (hereinafter referred to as “DoS (Denial of Service) attacks”) is not considered.
[0003]
As a method of defense against this DoS attack, there is an Ingress Filter proposed by Cisco (for example, see Non-Patent Document 1). This is a mechanism for checking the spoofing of the source address often used in DoS attacks. The local area network is installed on a router that is connected to the Internet and sent from the local area network toward the Internet. The legitimacy of the source address of the packet is checked, and if it does not match the address assigned to the local area network, the packet is discarded without being sent to the Internet.
[0004]
[Non-Patent Document 1]
IETF RFC2267
[0005]
[Problems to be solved by the invention]
The Ingress Filter described in Non-Patent Document 1 described above is a technique for prohibiting a DoS attack by spoofing a transmission source address, and is not a technique used by the attacked party to defend. In addition, it is impossible to cope with an attack by an IP packet whose source is a correct IP (Internet Protocol) address.
[0006]
The present invention has been made in such a background, and can avoid a DoS attack in which a source address is not forged. Further, the influence of an attack packet is limited to a local area close to the attack source, and the entire network It is an object of the present invention to provide a DoS attack countermeasure system and method capable of suppressing adverse effects on the network and preventing illegal acts such as filtering traffic unrelated to the requester.
[0007]
[Means for Solving the Problems]
In the present invention, a network is divided into a plurality of zones, and a zone manager is arranged in each zone, and this zone manager collectively manages a plurality of routers in its own zone. In addition, a coordinator will be installed to link these zone managers.
[0008]
When a zone is subjected to a DoS attack, the zone manager in the same zone extracts the source address of the attack packet, requests the attack packet filtering to the zone manager that accommodates the attacker via the coordinator, and Implement filtering.
[0009]
The zone manager also extracts the destination address of the attack packet and includes it in the filtering request, so that when the coordinator processes the packet filtering request from the zone manager, the destination of the packet to be filtered is: It can be determined whether or not the zone is the request source. As a result, for example, when an illegal filtering request is made, it can be detected, and it is possible to avoid unauthorized filtering.
[0010]
That is, the first aspect of the present invention is a DoS attack countermeasure system, and the feature of the present invention is that the network is divided into a plurality of zones, and each of the plurality of zones includes a DoS in its own zone. A means for monitoring the occurrence of an attack, a means for extracting information including the source address from the attack packet when a DoS attack in the own zone is detected by monitoring of the means for monitoring, and a means for extracting Means for sending a filtering request for the attack packet including information on the source address of the attack packet that has been sent, and means for setting filtering of the attack packet for a router in the own zone upon receiving a filtering instruction A zone manager that receives the filtering request and receives the attack packet A coordinator having means for searching for the zone manager of the zone to which the source address belongs and means for instructing the zone manager searched by the searching means to filter the attack packet is provided. (Claim 1).
[0011]
The means for extracting comprises means for extracting the destination address information from the attack packet together, and the means for sending the filtering request includes the destination address of the attack packet extracted by the means for extracting. Means for sending the filtering request together with information, and the coordinator receives the filtering request and determines whether or not the destination address of the attack target packet to be filtered is the requesting zone of the filtering request And a means for rejecting the request if the destination address of the attack packet is not the requesting zone of the filtering request based on the determination result of the determining means (claim 2).
[0012]
A second aspect of the present invention is a zone manager, which is characterized in that the network is divided into a plurality of zones and provided in each of the plurality of zones, and a DoS attack occurs in the own zone. And when the DoS attack in the own zone is detected by monitoring of the monitoring means, means for extracting information including the source address from the attack packet, and the means extracted by the extracting means A means for sending a filtering request for the attack packet including information on a source address of the attack packet; and a means for setting filtering of the attack packet for a router in the own zone upon receiving a filtering instruction. (Claim 3).
[0013]
The means for extracting comprises means for extracting the destination address information from the attack packet together, and the means for sending the filtering request includes the destination address of the attack packet extracted by the means for extracting. A means for sending the filtering request together with information can also be provided.
[0014]
A third aspect of the present invention is a coordinator. The feature of the present invention is that a zone manager that detects a DoS attack on a zone basis and sends a request for filtering attack packets when a DoS attack is detected. Means for receiving the filtering request from the server and searching for the zone manager of the zone to which the source address of the attack packet belongs, and instructing the zone manager searched by the searching means to filter the attack packet (5).
[0015]
Means for receiving the filtering request and determining whether the destination address of the attack packet to be filtered is a zone from which the filtering request is requested; and the destination address of the attack packet according to the determination result of the means for determining Means for rejecting the request if it is not the requesting zone of the filtering request (claim 6).
[0016]
According to a fourth aspect of the present invention, when installed in an information processing device, the network is divided into a plurality of zones in the information processing device and functions corresponding to the zone managers provided in the plurality of zones are realized. The present invention is characterized in that a feature of the present invention is that a function for monitoring the occurrence of a DoS attack in its own zone and an attack packet when a DoS attack in its own zone is detected by monitoring of this monitoring function A function of extracting information including the source address from the source, a function of sending a filtering request of the attack packet including information of the source address of the attack packet extracted by the function of extracting, and receiving a filtering instruction Set the attack packet filtering for routers in your zone There is to be realized and potential (claim 7).
[0017]
In addition, as the function to extract, the function of extracting the destination address information from the attack packet is also realized, and as the function of sending the filtering request, the destination address of the attack packet extracted by the extracting function In addition, the function of sending the filtering request can be realized.
[0018]
Alternatively, the program of the present invention is a program that, when installed in an information processing apparatus, causes the information processing apparatus to realize a function corresponding to a coordinator, and detects a DoS attack for each zone, and a DoS attack is detected. When the filtering request from the zone manager that sends the attack packet filtering request is received, the zone manager of the zone to which the source address of the attack packet belongs and the search function A function of instructing the zone manager to filter the attack packet is realized (claim 9).
[0019]
A function for receiving the filtering request and determining whether the destination address of the attack packet to be filtered is a zone from which the filtering request is requested; and a destination address of the attack packet according to a result of the determination If it is not the requesting zone of the filtering request, a function of rejecting the request can be realized.
[0020]
A fifth aspect of the present invention is the information processing apparatus-readable recording medium on which the program of the present invention is recorded (claim 11). By recording the program of the present invention on the recording medium of the present invention, the information processing apparatus can install the program of the present invention using this recording medium. Alternatively, the program of the present invention can be directly installed in the information processing apparatus via a network from a server holding the program of the present invention.
[0021]
As a result, a DoS attack in which the source address is not forged can be avoided by using the information processing apparatus, and the influence of the attack packet is limited to the local area close to the attack source, thereby suppressing adverse effects on the entire network. In addition, it is possible to realize a DoS attack countermeasure system that can prevent fraud such as filtering traffic unrelated to the requester.
[0022]
A sixth aspect of the present invention is a DoS attack countermeasure method, which is characterized in that the network is divided into a plurality of zones, and each zone is provided by a zone manager provided in each of the plurality of zones. Monitoring the occurrence of a DoS attack in the network, and when a DoS attack is detected in the own zone by monitoring the monitoring step, extracting the information including the source address from the attack packet, and extracting the information Sending the attack packet filtering request including information on the source address of the attack packet extracted in the step, and setting filtering of the attack packet to the router in the own zone when receiving the filtering instruction And execute batch management of the plurality of zone managers. And a coordinator receiving the filtering request and searching for the zone manager of the zone to which the source address of the attack packet belongs, and filtering the attack packet with respect to the zone manager searched by the searching step The step of instructing is executed (claim 12).
[0023]
Further, as the step of extracting, the step of extracting the information of the destination address from the attack packet together is executed, and as the step of sending the filtering request, the destination address of the attack packet extracted by the step of extracting is executed. The step of sending the filtering request is also executed, and the coordinator receives the filtering request and determines whether the destination address of the attack packet to be filtered is the zone from which the filtering request is requested And a step of rejecting the request if the destination address of the attack packet is not the requesting zone of the filtering request based on the determination result of the determining step (claim 13).
[0024]
DETAILED DESCRIPTION OF THE INVENTION
A DoS attack countermeasure system according to an embodiment of the present invention will be described with reference to FIGS. FIG. 1 is a diagram showing an example of a network for explaining the present embodiment. FIG. 2 is a flowchart showing a filtering request procedure from the zone manager to the coordinator of this embodiment. FIG. 3 is a flowchart showing the processing procedure of the filtering request from the zone manager in the coordinator of this embodiment. FIG. 4 is a configuration diagram of the coordinator of the present embodiment. FIG. 5 is a flowchart showing the processing procedure of the coordinator filtering instruction for the zone manager of this embodiment. FIG. 6 is a configuration diagram of the zone manager of this embodiment.
[0025]
In the DoS attack countermeasure system according to the embodiment of the present invention, as shown in FIG. 1, the network is divided into a plurality of zones 101 to 104 (A to D), and each of the plurality of zones 101 to 104 is shown in FIG. As described above, when a DoS attack monitoring unit 601 that monitors the occurrence of a DoS attack in its own zone and a DoS attack in its own zone is detected by the monitoring of this DoS attack monitoring unit 601, the source address is determined from the attack packet. A packet information extraction unit 602 for extracting information including the filtering request transmission unit 603 for transmitting a filtering request for the attack packet including information on a source address of the attack packet extracted by the packet information extraction unit 602; When instructed, the attack packet Zone managers 105 to 108 having filtering setting units 604 for setting filtering are provided. As shown in FIG. 4, the zone managers 105 to 105 of the zone to which the source address of the attack packet belongs are received after receiving the filtering request. And a coordinator 122 including a zone information unit 404 for searching for 108 and an instruction unit 402 for instructing filtering of the attack packet to the zone managers 105 to 108 searched by the zone information unit 404. (Claims 1 to 6).
[0026]
The packet information extraction unit 602 also extracts information on the destination address from the attack packet, and the filtering request transmission unit 603 also provides information on the destination address of the attack packet extracted by the packet information extraction unit 602. In addition, the filtering request is sent out.
[0027]
In response to this, the coordinator 122 determines whether or not the destination address of the attack target packet to be filtered is the zone that is the request source of the filtering request by the request confirmation unit 403, and the reception unit 401 If the destination address of the attack packet is not the requesting zone of the filtering request according to the determination result, the request is rejected. Further, the accepting unit 401 accepts the request if the destination address of the attack packet is the zone of the request source of the filtering request based on the determination result of the request confirming unit 403.
[0028]
The present invention can be implemented as a program that, when installed in a general-purpose information processing apparatus, causes the information processing apparatus to realize functions corresponding to the zone managers 105 to 108 and the coordinator 122 in the DoS attack countermeasure system of the present invention. (Claims 7 to 10). The program is recorded on a recording medium and installed in the information processing apparatus (claim 11), or installed in the information processing apparatus via a communication line, so that the information processing apparatus receives a reception unit 401 and an instruction unit 402. The request confirmation unit 403, the zone information unit 404, the DoS attack monitoring unit 601, the packet information extraction unit 602, the filtering request transmission unit 603, and the filtering setting unit 604 can each realize corresponding functions.
[0029]
Next, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is an example of a network for explaining this embodiment. The network 100 is a backbone network. A zone A 101, a zone B 102, a zone C 103, and a zone D 104 represent networks owned by four different network service providers. The zone managers 105, 106, 107, and 108 play a role of setting filtering rules for routers existing in the respective zones. 109, 110 routers exist in zone A, 111, 112, 113 routers exist in zone B, 114, 115, 116 routers exist in zone C, 117, 118, 119 routers exist in zone D. The coordinator 122 communicates with each zone manager through an encrypted channel. The plurality of hosts 120 operated by the attacker transmits attack packets toward the target server 121.
[0030]
FIG. 2 shows a procedure for requesting filtering from the zone manager to the coordinator (claims 12 and 13). First, in step 201, received traffic is monitored using a commercially available IDS (Intrusion Detection System). In step 202, it is determined whether a DoS attack has occurred. As a result of this determination, if it has not occurred, the process returns from step 202 to step 201. That is, the determination of the DoS attack occurrence is repeated . If a DoS attack occurs, the process proceeds to step 203, where attack packet information including the source address, destination address, and protocol type is extracted. In step 204, a filtering request including information on the attack packet is transmitted to the coordinator 122. When the reply from the coordinator 122 is received in step 205, the request procedure is terminated.
[0031]
FIG. 3 is a processing procedure of filtering requests from the zone managers 105 to 108 to the coordinator 122 to which the technology of the present invention is applied. First, in step 301, a request from a zone manager is accepted. In step 302, it is confirmed whether or not the packet to be filtered belongs to the requesting zone manager. In step 303, it is determined whether or not it is the jurisdiction address of the request source. As a result of this determination, if it is not the jurisdiction address of the request source, the process proceeds to step 308, the request is rejected as a reply to the request source zone manager, and the request processing is terminated. In step 303, in the case of the jurisdiction address of the request source, in step 304, the zone manager that accommodates the source address of the packet to be filtered is searched. In step 305, the attack packet information is transmitted to the zone manager that accommodates the source address of the packet to be filtered, and filtering is instructed. In step 306, a reply is received from the zone manager that contains the source address of the packet to be filtered. In step 307, the result is returned to the requesting zone manager, and the request processing is terminated.
[0032]
FIG. 4 is a configuration diagram of the coordinator of the present embodiment. As shown in the figure, the coordinator includes a reception unit 401, an instruction unit 402, a request confirmation unit 403, and a zone information unit 404, and performs the processing procedure of FIG. The accepting unit 401 executes Step 301, Step 308, and Step 307, and the request confirmation unit 403 executes Step 302, Step 303, and Step 304. The zone information unit 404 provides information to the request confirmation unit 403 in step 302 and step 304. The instruction unit 402 executes Step 305.
[0033]
FIG. 5 is a processing procedure of a filtering instruction from the coordinator to the zone manager (claims 12 and 13). First, in step 501, a filtering instruction is received from the coordinator. In step 502, a filtering rule is set for a router accommodated in the same zone. In step 503, the result is returned to the coordinator, and this processing procedure ends.
[0034]
FIG. 6 is a configuration diagram of the zone manager of this embodiment. As shown in the figure, the zone manager includes a DoS attack monitoring unit 601, a packet information extraction unit 602, a filtering request transmission unit 603, and a filtering setting unit 604, and performs the processing procedures of FIGS. Do. The DoS attack monitoring unit 601 executes Steps 201 and 202, the packet information extraction unit 602 executes Step 203, the filtering request sending unit 603 executes Step 204 and Step 205, and a filtering setting unit In step 604, steps 501 to 503 are executed.
[0035]
【The invention's effect】
As described above, according to the present invention, a DoS attack in which the source address is not forged can be avoided, and the influence of the attack packet is limited to a local area close to the attack source, thereby suppressing adverse effects on the entire network. In addition, fraudulent acts such as filtering traffic unrelated to the requester can be prevented.
[Brief description of the drawings]
FIG. 1 is a diagram showing an example of a network for explaining the present embodiment.
FIG. 2 is a flowchart showing a filtering request procedure from the zone manager to the coordinator according to the embodiment.
FIG. 3 is a flowchart showing a processing procedure of a filtering request from a zone manager in the coordinator of the present embodiment.
FIG. 4 is a configuration diagram of a coordinator of the present embodiment.
FIG. 5 is a flowchart showing a processing procedure of a coordinator filtering instruction to the zone manager of the present embodiment.
FIG. 6 is a configuration diagram of a zone manager according to the present embodiment.
[Explanation of symbols]
100 Network 101 Zone A
102 Zone B
103 Zone C
104 Zone D
105 Zone Manager A
106 Zone Manager B
107 Zone Manager C
108 Zone Manager D
109 to 119 router 120 host (attacker)
121 Target server 122 Coordinators 201 to 205, 301 to 308, 501 to 503 Step 401 Reception unit 402 Instruction unit 403 Request confirmation unit 404 Zone information unit 601 DoS attack monitoring unit 602 Packet information extraction unit 603 Filtering request sending unit 604 Filtering setting unit

Claims (13)

ネットワークが複数のゾーンに分割され、この複数のゾーンにはそれぞれ、
自ゾーン内におけるDoS(Denial of Service)攻撃の発生を監視する手段と、
この監視する手段の監視により自ゾーン内におけるDoS攻撃が検出されたときには、攻撃パケットからその発信源アドレスを含む情報を抽出する手段と、
この抽出する手段により抽出された前記攻撃パケットの発信源アドレスの情報を含む前記攻撃パケットのフィルタリング依頼を送出する手段と、
フィルタリング指示を受けると自ゾーン内のルータに対して前記攻撃パケットのフィルタリングを設定する手段と
を備えたゾーンマネージャを設け、
前記フィルタリング依頼を受信して前記攻撃パケットの発信源アドレスが属するゾーンの前記ゾーンマネージャを検索する手段と、
この検索する手段により検索された前記ゾーンマネージャに対して前記攻撃パケットのフィルタリングを指示する手段と
を備えたコーディネータを設けた
ことを特徴とするDoS攻撃対策システム。The network is divided into multiple zones, each of which has
A means of monitoring the occurrence of a DoS (Denial of Service) attack in its own zone;
Means for extracting information including the source address from the attack packet when a DoS attack in the own zone is detected by monitoring of the monitoring means;
Means for sending out a filtering request for the attack packet including information on the source address of the attack packet extracted by the means for extracting;
When receiving a filtering instruction, a zone manager is provided that includes means for setting filtering of the attack packet to a router in the own zone,
Means for receiving the filtering request and searching for the zone manager of a zone to which a source address of the attack packet belongs;
A DoS attack countermeasure system comprising a coordinator including means for instructing the zone manager searched by the searching means to filter the attack packets. 前記抽出する手段は、前記攻撃パケットからその宛先アドレスの情報も併せて抽出する手段を備え、
前記フィルタリング依頼を送出する手段は、この抽出する手段により抽出された前記攻撃パケットの宛先アドレスの情報も併せて前記フィルタリング依頼を送出する手段を備え、
前記コーディネータは、
前記フィルタリング依頼を受信してフィルタリング対象の攻撃パケットの宛先アドレスが当該フィルタリング依頼の依頼元のゾーンであるか否か判定する手段と、
この判定する手段の判定結果により前記攻撃パケットの宛先アドレスが当該フィルタリング依頼の依頼元のゾーンでなければ前記依頼を拒否する手段と
を備えた請求項1記載のDoS攻撃対策システム。The means for extracting comprises means for extracting information on the destination address from the attack packet,
The means for sending the filtering request comprises means for sending the filtering request together with information on the destination address of the attack packet extracted by the extracting means,
The coordinator is
Means for receiving the filtering request and determining whether or not the destination address of the attack packet to be filtered is a requesting zone of the filtering request;
2. The DoS attack countermeasure system according to claim 1, further comprising means for rejecting the request if the destination address of the attack packet is not the requesting zone of the filtering request based on the determination result of the determining means. ネットワークが複数のゾーンに分割され、この複数のゾーンにそれぞれ設けられ、
自ゾーン内におけるDoS攻撃の発生を監視する手段と、
この監視する手段の監視により自ゾーン内におけるDoS攻撃が検出されたときには、攻撃パケットからその発信源アドレスを含む情報を抽出する手段と、
この抽出する手段により抽出された前記攻撃パケットの発信源アドレスの情報を含む前記攻撃パケットのフィルタリング依頼を送出する手段と、
フィルタリング指示を受けると自ゾーン内のルータに対して前記攻撃パケットのフィルタリングを設定する手段と
を備えたことを特徴とするゾーンマネージャ。The network is divided into multiple zones, each of which is provided with multiple zones,
Means for monitoring the occurrence of a DoS attack in its own zone;
Means for extracting information including the source address from the attack packet when a DoS attack in the own zone is detected by monitoring of the monitoring means;
Means for sending out a filtering request for the attack packet including information on the source address of the attack packet extracted by the means for extracting;
A zone manager comprising: means for setting filtering of the attack packet with respect to a router in the own zone when receiving a filtering instruction. 前記抽出する手段は、前記攻撃パケットからその宛先アドレスの情報も併せて抽出する手段を備え、
前記フィルタリング依頼を送出する手段は、この抽出する手段により抽出された前記攻撃パケットの宛先アドレスの情報も併せて前記フィルタリング依頼を送出する手段を備えた
請求項3記載のゾーンマネージャ。The means for extracting comprises means for extracting information on the destination address from the attack packet,
4. The zone manager according to claim 3, wherein the means for sending the filtering request includes means for sending the filtering request together with information on a destination address of the attack packet extracted by the extracting means. ゾーン単位にDoS攻撃を検出し、DoS攻撃が検出されたときには、攻撃パケットのフィルタリング依頼を送出するゾーンマネージャからの前記フィルタリング依頼を受信して前記攻撃パケットの発信源アドレスが属するゾーンの前記ゾーンマネージャを検索する手段と、
この検索する手段により検索された前記ゾーンマネージャに対して前記攻撃パケットのフィルタリングを指示する手段と
を備えたことを特徴とするコーディネータ。When a DoS attack is detected for each zone and a DoS attack is detected, the zone manager of the zone to which the source address of the attack packet belongs is received by receiving the filtering request from the zone manager that sends the filtering request of the attack packet A means of searching for,
A coordinator comprising means for instructing filtering of the attack packet to the zone manager searched by the searching means. 前記フィルタリング依頼を受信してフィルタリング対象の攻撃パケットの宛先アドレスが当該フィルタリング依頼の依頼元のゾーンであるか否か判定する手段と、
この判定する手段の判定結果により前記攻撃パケットの宛先アドレスが当該フィルタリング依頼の依頼元のゾーンでなければ前記依頼を拒否する手段と
を備えた請求項5記載のコーディネータ。Means for receiving the filtering request and determining whether or not the destination address of the attack packet to be filtered is a requesting zone of the filtering request;
6. The coordinator according to claim 5, further comprising means for rejecting the request if the destination address of the attack packet is not the requesting zone of the filtering request based on the determination result of the determining means. 情報処理装置にインストールすることにより、その情報処理装置に、ネットワークが複数のゾーンに分割され、この複数のゾーンにそれぞれ設けられたゾーンマネージャに相応する機能を実現させるプログラムであって、
自ゾーン内におけるDoS攻撃の発生を監視する機能と、
この監視する機能の監視により自ゾーン内におけるDoS攻撃が検出されたときには、攻撃パケットからその発信源アドレスを含む情報を抽出する機能と、
この抽出する機能により抽出された前記攻撃パケットの発信源アドレスの情報を含む前記攻撃パケットのフィルタリング依頼を送出する機能と、
フィルタリング指示を受けると自ゾーン内のルータに対して前記攻撃パケットのフィルタリングを設定する機能と
を実現させることを特徴とするプログラム。A program that, when installed in an information processing device, realizes a function corresponding to a zone manager provided in each of the plurality of zones, in which the network is divided into a plurality of zones.
A function to monitor the occurrence of a DoS attack in its own zone;
When a DoS attack in the own zone is detected by monitoring of the monitoring function, a function of extracting information including the source address from the attack packet;
A function of sending out a filtering request for the attack packet including information on a source address of the attack packet extracted by the function of extracting;
A program that, when receiving a filtering instruction, realizes a function of setting filtering of the attack packet to a router in the own zone. 前記抽出する機能として、前記攻撃パケットからその宛先アドレスの情報も併せて抽出する機能を実現させ、
前記フィルタリング依頼を送出する機能として、この抽出する機能により抽出された前記攻撃パケットの宛先アドレスの情報も併せて前記フィルタリング依頼を送出する機能を実現させる
請求項7記載のプログラム。As the function of extracting, realizing the function of extracting information of the destination address from the attack packet together,
8. The program according to claim 7, wherein a function for sending the filtering request is realized as a function for sending the filtering request together with information on a destination address of the attack packet extracted by the extracting function. 情報処理装置にインストールすることにより、その情報処理装置に、コーディネータに相応する機能を実現させるプログラムであって、
ゾーン単位にDoS攻撃を検出し、DoS攻撃が検出されたときには、攻撃パケットのフィルタリング依頼を送出するゾーンマネージャからの前記フィルタリング依頼を受信して前記攻撃パケットの発信源アドレスが属するゾーンの前記ゾーンマネージャを検索する機能と、
この検索する機能により検索された前記ゾーンマネージャに対して前記攻撃パケットのフィルタリングを指示する機能と
を実現させることを特徴とするプログラム。A program that, when installed in an information processing device, causes the information processing device to realize a function corresponding to a coordinator,
When a DoS attack is detected for each zone and a DoS attack is detected, the zone manager of the zone to which the source address of the attack packet belongs is received by receiving the filtering request from the zone manager that sends the filtering request of the attack packet With the ability to search for
A program for realizing the function of instructing filtering of the attack packet to the zone manager searched by the searching function. 前記フィルタリング依頼を受信してフィルタリング対象の攻撃パケットの宛先アドレスが当該フィルタリング依頼の依頼元のゾーンであるか否か判定する機能と、
この判定する機能の判定結果により前記攻撃パケットの宛先アドレスが当該フィルタリング依頼の依頼元のゾーンでなければ前記依頼を拒否する機能と
を実現させる請求項9記載のプログラム。A function of receiving the filtering request and determining whether a destination address of an attack packet to be filtered is a requesting zone of the filtering request;
10. The program according to claim 9, wherein a function for rejecting the request is realized if the destination address of the attack packet is not the requesting zone of the filtering request based on the determination result of the determining function. 請求項7ないし10のいずれに記載のプログラムが記録された前記情報処理装置読み取り可能な記録媒体。The information processing apparatus readable recording medium having a program recorded thereon according to any one of claims 7 to 10. ネットワークを複数のゾーンに分割し、この複数のゾーンにそれぞれ設けられたゾーンマネージャにより、
自ゾーン内におけるDoS攻撃の発生を監視するステップと、
この監視するステップの監視により自ゾーン内におけるDoS攻撃が検出されたときには、攻撃パケットからその発信源アドレスを含む情報を抽出するステップと、
この抽出するステップにより抽出された前記攻撃パケットの発信源アドレスの情報を含む前記攻撃パケットのフィルタリング依頼を送出するステップと、
フィルタリング指示を受けると自ゾーン内のルータに対して前記攻撃パケットのフィルタリングを設定するステップと
を実行し、
前記複数のゾーンマネージャを一括管理するコーディネータにより、
前記フィルタリング依頼を受信して前記攻撃パケットの発信源アドレスが属するゾーンの前記ゾーンマネージャを検索するステップと、
この検索するステップにより検索された前記ゾーンマネージャに対して前記攻撃パケットのフィルタリングを指示するステップと
を実行する
ことを特徴とするDoS攻撃対策方法。The network is divided into multiple zones, and the zone manager provided in each of these multiple zones
Monitoring the occurrence of a DoS attack in its own zone;
When a DoS attack in the own zone is detected by monitoring in the monitoring step, extracting information including the source address from the attack packet;
Sending a filtering request for the attack packet including information on a source address of the attack packet extracted by the extracting step;
When receiving a filtering instruction, a step of setting filtering of the attack packet to a router in the own zone is executed,
By a coordinator that collectively manages the plurality of zone managers,
Receiving the filtering request and searching for the zone manager of the zone to which the source address of the attack packet belongs;
A DoS attack countermeasure method comprising: instructing the zone manager searched by the searching step to filter the attack packet. 前記抽出するステップとして、前記攻撃パケットからその宛先アドレスの情報も併せて抽出するステップを実行し、
前記フィルタリング依頼を送出するステップとして、この抽出するステップにより抽出された前記攻撃パケットの宛先アドレスの情報も併せて前記フィルタリング依頼を送出するステップを実行し、
前記コーディネータにより、
前記フィルタリング依頼を受信してフィルタリング対象の攻撃パケットの宛先アドレスが当該フィルタリング依頼の依頼元のゾーンであるか否か判定するステップと、
この判定するステップの判定結果により前記攻撃パケットの宛先アドレスが当該フィルタリング依頼の依頼元のゾーンでなければ前記依頼を拒否するステップと
を実行する請求項12記載のDoS攻撃対策方法。As the step of extracting, executing the step of extracting information of the destination address from the attack packet together,
As the step of sending out the filtering request, the step of sending the filtering request together with the information on the destination address of the attack packet extracted in the extracting step is executed.
By the coordinator,
Receiving the filtering request and determining whether a destination address of an attack packet to be filtered is a zone from which the filtering request is requested;
13. The DoS attack countermeasure method according to claim 12, wherein if the destination address of the attack packet is not the requesting zone of the filtering request based on the determination result of the determining step, the request is rejected.
JP2003159569A 2003-06-04 2003-06-04 DoS attack countermeasure system, method and program Expired - Fee Related JP3938763B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003159569A JP3938763B2 (en) 2003-06-04 2003-06-04 DoS attack countermeasure system, method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003159569A JP3938763B2 (en) 2003-06-04 2003-06-04 DoS attack countermeasure system, method and program

Publications (3)

Publication Number Publication Date
JP2004363915A JP2004363915A (en) 2004-12-24
JP2004363915A5 JP2004363915A5 (en) 2005-10-27
JP3938763B2 true JP3938763B2 (en) 2007-06-27

Family

ID=34052595

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003159569A Expired - Fee Related JP3938763B2 (en) 2003-06-04 2003-06-04 DoS attack countermeasure system, method and program

Country Status (1)

Country Link
JP (1) JP3938763B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7515926B2 (en) 2005-03-30 2009-04-07 Alcatel-Lucent Usa Inc. Detection of power-drain denial-of-service attacks in wireless networks

Also Published As

Publication number Publication date
JP2004363915A (en) 2004-12-24

Similar Documents

Publication Publication Date Title
US8423645B2 (en) Detection of grid participation in a DDoS attack
US9584531B2 (en) Out-of band IP traceback using IP packets
Prasad et al. An efficient detection of flooding attacks to Internet Threat Monitors (ITM) using entropy variations under low traffic
US7478429B2 (en) Network overload detection and mitigation system and method
EP2194677B1 (en) Network monitoring device, network monitoring method, and network monitoring program
KR101231975B1 (en) Method of defending a spoofing attack using a blocking server
EP1775910B1 (en) Application layer ingress filtering
CN109327426A (en) A kind of firewall attack defense method
JPH11168510A (en) Packet verification method
JP2002215478A (en) Fire wall service supply method
JP2006352274A (en) Frame transfer controller, refusal of service attack defense unit and system
JP2002342279A (en) Filtering device, filtering method and program for making computer execute the method
JP2022554101A (en) PACKET PROCESSING METHOD AND APPARATUS, DEVICE, AND COMPUTER-READABLE STORAGE MEDIUM
KR101072981B1 (en) Protection system against DDoS
JP2008306610A (en) Illicit intrusion/illicit software investigation system, and communicating switching device
WO2005026872A2 (en) Internal lan perimeter security appliance composed of a pci card and complementary software
JP4641848B2 (en) Unauthorized access search method and apparatus
JP3938763B2 (en) DoS attack countermeasure system, method and program
JP2003333092A (en) Network system, method of tracing attack packet and method of preventing attack packet
KR20110027386A (en) Apparatus, system and method for protecting malicious packets transmitted outside from user terminal
JP2006501527A (en) Method, data carrier, computer system, and computer program for identifying and defending attacks against server systems of network service providers and operators
Pilli et al. Data reduction by identification and correlation of TCP/IP attack attributes for network forensics
Tajdini et al. IPv6 Common Security Vulnerabilities and Tools: Overview of IPv6 with Respect to Online Games
Tupakula et al. Tracing DDoS floods: An automated approach
Mopari et al. Detection of DDoS attack and defense against IP spoofing

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050720

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050720

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050720

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070306

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070320

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070323

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110406

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120406

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130406

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140406

Year of fee payment: 7

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees