JP4005047B2 - サーバ計算機保護装置 - Google Patents
サーバ計算機保護装置 Download PDFInfo
- Publication number
- JP4005047B2 JP4005047B2 JP2004107525A JP2004107525A JP4005047B2 JP 4005047 B2 JP4005047 B2 JP 4005047B2 JP 2004107525 A JP2004107525 A JP 2004107525A JP 2004107525 A JP2004107525 A JP 2004107525A JP 4005047 B2 JP4005047 B2 JP 4005047B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- server computer
- address
- port number
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
例えば、図7に示すような不特定多数或いは特定多数のクライアント端末をパケット交換ネットワーク経由でサーバ計算機930に接続したクライアントサーバシステムにおいて、サーバ計算機930を保護するサーバ計算機保護装置900が提案されている(例えば、特許文献3)。
図1を参照して、本発明の第1の実施の形態に係るサーバ計算機保護装置1を説明する。サーバ計算機保護装置1は、クライアント端末920又はサーバ計算機930とのトラフィックを軽減するサーバ計算機保護装置1である。本発明の第1の実施の形態に係るサーバ計算機保護装置1は、例えば、現在サービス不能攻撃を受けてる時、にインターネットやイントラネットなどの第1の通信ネットワークセグメント910を介してクライアント端末920から接続要求を受信すると、クライアント端末920の正当性を判定し、正当であると判定された場合、第2の通信ネットワークセグメント911を介してサーバ計算機930に接続要求する。一方、サービス不能攻撃を受けていない時にクライアント端末920から接続要求を受信すると、クライアント端末920の正当性を判定することなくパケット転送手段24及び第2の通信ネットワークセグメント911を介してサーバ計算機930に接続要求を転送する。
まず、第1のパケット振分手段21がパケットを受信すると、ステップS101において攻撃下フラグ11を読み出して、サービス攻撃下であるか否かを判定する。
サービス不能攻撃下である場合、ステップS102においてパケットをダミーサーバ処理手段22に転送する。一方、サービス不能攻撃下でない場合、ステップS103において、パケットをパケット転送手段24に送信する。
(1)過去の一定期間内にクライアント端末920から受信した接続要求の回数を測定する接続要求計数手段と、過去の一定期間内にクライアント端末920とサーバ計算機930或いはダミーサーバ処理手段22との間で接続が完了した回数を測定する接続完了計数手段と、接続要求計数手段の計数値と、接続完了計数手段の計数値を比較する計数値比較手段とを具備し、接続要求係数手段の計数値の接続完了係数手段の計数値に対する割合が、予め設定した割合以上であった場合に、攻撃下信号を出力する。
(2)過去の一定期間内にクライアント端末920から受信した接続要求の回数を測定する接続要求計数手段と、クライアント端末920とサーバ計算機930或いはダミーサーバ処理手段22との間での接続の完了により加算しクライアント端末920とサーバ計算機930或いはダミーサーバ処理手段22との間での接続の切断により減算する接続数計数手段と、接続要求係数手段の計数値と接続数計数手段の計数値を比較する計数値比較手段を具備し、接続要求計数手段の計数値の接続数計数手段の計数値に対する割合が、予め設定された割合以上であった場合に、攻撃下信号を出力する。
(3)過去の一定期間内にクライアント端末920とサーバ計算機930或いはダミーサーバ処理手段22との間で接続が完了した回数を測定する接続完了計数手段と、過去の一定期間内にクライアント端末920からサーバ計算機930或いはダミーサーバ処理手段22に対し、接続の完了に続くデータ要求を行った回数を測定するデータ要求計数手段と、接続完了計数手段の計数値とデータ要求計数手段の計数値を比較する計数値比較手段を具備し、接続完了計数手段の計数値のデータ要求計数手段の計数値に対する割合が、予め設定された割合以上であった場合に、攻撃下信号を出力する。
(4)過去の一定期間内にクライアント端末920とサーバ計算機930或いはダミーサーバ処理手段22との間で接続が完了した回数を測定する接続完了計数手段と、クライアント端末920からサーバ計算機930或いはダミーサーバ処理手段22に対してデータ要求が送出されることにより加算し、クライアント端末920とサーバ計算機930或いはダミーサーバ処理手段22との間での接続の切断により減算する接続数計数手段と、接続完了計数手段の計数値と接続数計数手段の計数値を比較する計数値比較手段を具備し、接続完了計数手段の計数値の接続数計数手段の計数値に対する割合が、予め設定された割合以上であった場合に、攻撃下信号を出力する。
(5)過去の一定期間内にサーバ計算機930或いはダミーサーバ処理手段22が受信したリセットパケットの回数を測定するリセットパケット計数手段を具備し、リセットパケット計数手段の計数値が予め設定された数以上であった場合に、攻撃下信号を出力する。
(6)過去の一定期間内にサーバ計算機930或いはダミーサーバ処理手段22が送出した接続要求確認パケットの回数を測定する接続要求確認計数手段と、過去の一定期間内にサーバ計算機930或いはダミーサーバ処理手段22が送出した接続要求確認パケットへの応答としてリセットパケットを受信した回数を測定する接続要求リセット計数手段と、接続要求確認計数手段の計数値と接続要求リセット計数手段の計数値を比較する計数値比較手段を具備し、接続要求確認計数手段の計数値に対する接続要求リセット計数手段の計数値の割合が、予め設定された割合以上であった場合に、攻撃下信号を出力する。
この様な方法で、サービス不能攻撃検知手段26は、サーバ計算機930に対してサービス不能攻撃が為されていることを速やかに検知する。
次に、図4を参照して本発明の第2の実施の形態に係るサーバ計算機保護装置1を説明する。図4に示した本発明の第2の実施の形態に係るサーバ計算機保護装置1は、図1に示した本発明の第1の実施の形態に係るサーバ計算機保護装置1と比べて接続状態表12を備えている点が異なる。
上記のように、本発明の最良の実施の形態によって記載したが、この開示の一部を為す論述及び図面はこの発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施の形態、実施例及び運用技術が明らかとなる。
11…攻撃下フラグ
12…接続状態表
21…第1のパケット振分手段
22、901…ダミーサーバ処理手段
23、902…ダミークライアント処理手段
24…パケット転送手段
25…第2のパケット振分手段
26…サービス不能攻撃検知手段
31、903…第1のネットワークインタフェース
32、904…第2のネットワークインタフェース
101…中央処理制御装置
102…ROM
103…RAM
104…入力装置
105…表示装置
106…通信制御装置
107…記憶装置
108…リムーバブルディスク
109…入出力インタフェース
110…バス
900…サーバ計算機保護装置
910…第1の通信ネットワークセグメント
911…第2の通信ネットワークセグメント
920…クライアント端末
930…サーバ計算機
Claims (2)
- 複数のクライアント端末から第1の通信ネットワークセグメントを介して受信したパケットを第2の通信ネットワークセグメントを介してサーバ計算機に転送するサーバ計算機保護装置において、
前記サーバ計算機が前記クライアント端末からサービス不能攻撃を受けているか否かの状態を記憶するための攻撃状態記憶手段と、
前記クライアント端末から受信した前記サーバ計算機への接続要求のためのパケットを監視して、前記サーバ計算機が前記クライアント端末からサービス不能攻撃を受けているか否かを判定し、前記サーバ計算機がサービス不能攻撃を受けていると判定したとき、前記攻撃状態記憶手段に前記サーバ計算機がサービス不能攻撃を受けている状態であることを記憶し、前記サーバ計算機がサービス不能攻撃を受けていないと判定したとき、前記攻撃状態記憶手段に前記サーバ計算機がサービス不能攻撃を受けていない状態であることを記憶するためのサービス不能攻撃検知手段と、
前記クライアント端末からのパケットを受信したとき、前記攻撃状態記憶手段を参照し、前記攻撃状態記憶手段に前記サーバ計算機がサービス不能攻撃を受けている状態が記憶されている場合には、前記クライアント端末から受信したパケットをダミーサーバ処理手段に送信し、前記攻撃状態記憶手段に前記サーバ計算機がサービス不能攻撃を受けていない状態が記憶されている場合には、前記クライアント端末から受信したパケットをパケット転送手段に送信する第1のパケット振分手段と、
前記第1のパケット振分手段から受信したパケットに基いて、前記クライアント端末からACKパケットを受信したか否かを検出し、ACKパケットを受信したとき、前記クライアント端末が正当であると判定して前記第1のパケット振分手段から受信したパケットをダミークライアント処理手段に送信するダミーサーバ処理手段と、
前記第1のパケット振分手段から受信したパケットを第2のパケット振分手段に送信するパケット転送手段と、
前記ダミーサーバ処理手段から受信した前記パケットを第2のパケット振分手段に送信するダミークライアント処理手段と、
前記パケット転送手段又は前記ダミークライアント処理手段から受信したパケットを前記サーバ計算機に送信する第2のパケット振分手段とを備えることを特徴とするサーバ計算機保護装置。 - 前記クライアント端末から受信したパケットから抽出した発信元IPアドレス、発信元ポート番号、宛先IPアドレス、宛先ポート番号に前記攻撃状態記憶手段が記憶している状態を関連づけて接続状態情報として記憶するための接続状態記憶手段を設け、
前記第1のパケット振分手段は、
前記クライアント端末から受信したパケットから発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号を抽出する抽出手段と、
前記抽出手段が抽出した発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号と同一の発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号を持つ接続状態情報が前記接続状態記憶手段に記憶されているか否かを判定する第1の判定手段と、
前記第1の判定手段の判定の結果、前記接続状態記憶手段に前記抽出手段が抽出した発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号と同一の発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号を持つ接続状態情報が記憶されている場合であって、かつこの接続状態情報として記憶された前記攻撃状態記憶手段が記憶している状態が前記サーバ計算機がサービス不能攻撃を受けている状態の場合には、前記クライアント端末から受信したパケットを前記ダミーサーバ処理手段に送信し、前記第1の判定手段の判定の結果、前記接続状態記憶手段に前記抽出手段が抽出した発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号と同一の発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号を持つ接続状態情報が前記接続状態記憶手段に記憶されている場合であって、かつこの接続状態情報として記憶された前記攻撃状態記憶手段が記憶している状態が前記サーバ計算機がサービス不能攻撃を受けている状態の場合には、前記クライアント端末から受信した前記パケットをパケット転送手段に送信する第1の送信手段と、
前記第1の判定手段の判定の結果、前記接続状態記憶手段に前記抽出手段が抽出した発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号と同一の発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号を持つ接続状態情報が記憶されていない場合には、前記抽出手段が抽出した発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号に、この時前記攻撃状態記憶手段に記憶されている状態を関連付けて新規な接続状態情報として前記接続状態記憶手段に記憶する記憶処理手段と、
前記第1の判定手段の判定の結果、前記接続状態記憶手段に前記抽出手段が抽出した発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号と同一の発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号を持つ接続状態情報が記憶されていない場合には、前記攻撃状態記憶手段を参照し、前記サーバ計算機がサービス不能攻撃を受けている状態を前記攻撃状態記憶手段が記憶している場合には、前記クライアント端末から受信したパケットを前記ダミーサーバ処理手段に送信し、前記サーバ計算機がサービス不能攻撃を受けていない状態を前記攻撃状態記憶手段が記憶している場合には、前記クライアント端末から受信したパケットを前記パケット転送手段に送信する第2の送信手段とを具備することを特徴とする請求項1に記載のサーバ計算機保護装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004107525A JP4005047B2 (ja) | 2004-03-31 | 2004-03-31 | サーバ計算機保護装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004107525A JP4005047B2 (ja) | 2004-03-31 | 2004-03-31 | サーバ計算機保護装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005293244A JP2005293244A (ja) | 2005-10-20 |
JP4005047B2 true JP4005047B2 (ja) | 2007-11-07 |
Family
ID=35326102
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004107525A Expired - Fee Related JP4005047B2 (ja) | 2004-03-31 | 2004-03-31 | サーバ計算機保護装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4005047B2 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5173388B2 (ja) * | 2007-12-11 | 2013-04-03 | キヤノン株式会社 | 情報処理装置および情報処理方法 |
-
2004
- 2004-03-31 JP JP2004107525A patent/JP4005047B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2005293244A (ja) | 2005-10-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8108531B2 (en) | Securing an access provider | |
US7540028B2 (en) | Dynamic network security apparatus and methods or network processors | |
EP1298883B1 (en) | Server computer protection apparatus, method, program product, and server computer apparatus | |
KR101054705B1 (ko) | 위조 발생지 어드레스를 가진 포트 스캔을 탐지하기 위한 방법 및 장치 | |
JP5392507B2 (ja) | Nat網用ウェブサービスへの正常ユーザーの遮断を防止するためのシステム及びその制御方法 | |
EP2343851A1 (en) | Network authentication method, corresponding system and client device | |
US20120210177A1 (en) | Network communication system, server system, and terminal | |
EP2464079A1 (en) | Method for authenticating communication traffic, communication system and protection apparatus | |
US8543807B2 (en) | Method and apparatus for protecting application layer in computer network system | |
JP2004507978A (ja) | ネットワークノードに対するサービス拒絶アタックに対抗するシステム及び方法 | |
KR20120060655A (ko) | 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크 | |
US9225703B2 (en) | Protecting end point devices | |
JP2004164553A (ja) | サーバ計算機保護装置、サーバ計算機保護方法、サーバ計算機保護プログラム及びサーバ計算機 | |
KR101263381B1 (ko) | TCP/IP네트워크에서의 서비스 거부 공격(DoS) 방어 방법 및 방어 장치 | |
JP7102780B2 (ja) | 不正通信対処システム及び方法 | |
US7424741B1 (en) | Method and system for prevention of network denial-of-service attacks | |
JP4005047B2 (ja) | サーバ計算機保護装置 | |
JP6870386B2 (ja) | マルウェア不正通信対処システム及び方法 | |
KR20130009130A (ko) | 좀비 피씨 및 디도스 대응 장치 및 방법 | |
US9537878B1 (en) | Network adaptor configured for connection establishment offload | |
US20080052402A1 (en) | Method, a Computer Program, a Device, and a System for Protecting a Server Against Denial of Service Attacks | |
US20060253603A1 (en) | Data communication system and method | |
JP2006345268A (ja) | パケットフィルタ回路及びパケットフィルタ方法 | |
KR101231801B1 (ko) | 네트워크 상의 응용 계층 보호 방법 및 장치 | |
CN117560211A (zh) | 泛洪攻击防御方法、装置、设备及计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070122 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070213 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070416 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070515 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070717 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070807 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070822 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100831 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100831 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110831 Year of fee payment: 4 |
|
LAPS | Cancellation because of no payment of annual fees |