JP4005047B2 - サーバ計算機保護装置 - Google Patents

サーバ計算機保護装置 Download PDF

Info

Publication number
JP4005047B2
JP4005047B2 JP2004107525A JP2004107525A JP4005047B2 JP 4005047 B2 JP4005047 B2 JP 4005047B2 JP 2004107525 A JP2004107525 A JP 2004107525A JP 2004107525 A JP2004107525 A JP 2004107525A JP 4005047 B2 JP4005047 B2 JP 4005047B2
Authority
JP
Japan
Prior art keywords
packet
server computer
address
port number
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004107525A
Other languages
English (en)
Other versions
JP2005293244A (ja
Inventor
正道 楯岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Digital Solutions Corp
Original Assignee
Toshiba Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Solutions Corp filed Critical Toshiba Solutions Corp
Priority to JP2004107525A priority Critical patent/JP4005047B2/ja
Publication of JP2005293244A publication Critical patent/JP2005293244A/ja
Application granted granted Critical
Publication of JP4005047B2 publication Critical patent/JP4005047B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、クライアント端末又はサーバ計算機とのトラフィックを軽減するサーバ計算機保護装置に関する。
近年のコンピュータネットワークの発達に伴い、ウィルスやハッキングなどの不正アクセスも増加し、コンピュータネットワークを介して機密情報が流出したりサービス不能攻撃を受けたりする場合がある。しかし、ネットワークの利便性を享受しながら安全性も確保するためには、適切なセキュリティ対策が不可欠である。特に企業や団体などの組織においては、この様に不正アクセスに対して、ファイアウォールを設けたりウィルスソフトをインストールすることにより不正アクセスを防御する対策が求められている。
ここで、サービス不能攻撃とは、DoS(Denial of Services)やDDoS(Distributed Denial of Service)とも呼ばれ、サーバの処理能力を超える接続要求を送りつけることによりサーバの処理能力を低下させ、サーバが正当なユーザからの接続要求に応答できないようにする攻撃である。サービス不能攻撃によるサーバへの接続は、個々の接続としては正当なものである。従って、あるクライアント端末からのある接続要求がサービス不能攻撃によるものか否かの判定は当該接続要求のみを解析しても不可能で、単位時間あたりの接続数や応答のタイムアウト数、接続要求後のトランザクションなどの状況から判断されるものである(例えば、特許文献1及び特許文献2)。
従って、サービス不能攻撃を防御するためには、クライアント端末からの接続要求に対する応答パケットを当該クライアント端末に送信し、当該クライアント端末が当該応答パケットに対して正当な処理を継続してなされるか否かを確認し、正当な処理が継続されれば正当なユーザとして判定する、
例えば、図7に示すような不特定多数或いは特定多数のクライアント端末をパケット交換ネットワーク経由でサーバ計算機930に接続したクライアントサーバシステムにおいて、サーバ計算機930を保護するサーバ計算機保護装置900が提案されている(例えば、特許文献3)。
図7に示したサーバ計算機保護装置900は、クライアント端末920と、一台或いは複数のサーバ計算機930の間に挿入され、サーバ計算機930をサービス不能攻撃から保護する。サーバ計算機保護装置900は、クライアント端末920からサーバ計算機930への接続を、サーバ計算機930の代理として受け付けるダミーサーバ処理手段901と、クライアントの代理としてサーバ計算機930へ接続するダミークライアント処理手段902とを備える。図7に示したサーバ計算機保護装置900は、クライアント端末920からサーバ計算機930への接続要求やデータ要求をダミーサーバ処理手段901で受信し、受信した接続要求やデータ要求がサービス不能攻撃に関わるものではないと判定できたら、当該受信した接続要求やデータ要求をダミークライアント処理手段902を介してサーバ計算機930へ送信することにより、サーバ計算機930をサービス不能攻撃から保護するものである。ここで、第1のネットワークインタフェース903は、クライアント端末920との間で第1の通信ネットワークセグメント910を介してパケットを送受信する。第2のネットワークインタフェース904は、サーバ計算機930との間で第2の通信ネットワークセグメント911を介してパケットを送受信する。
図7に示したサーバ計算機保護装置900は、クライアント端末920からサーバ計算機930当てのパケットを第1のネットワークインタフェースで受信してダミーサーバ処理手段901に渡す。ダミーサーバ処理手段901は、サーバ計算機930に成り代わってクライアント端末920に応答し、当該クライアントが当該応答パケットに対して正当な処理を継続してなされることが確認できたら、その旨をダミークライアント処理手段902に伝える。クライアントからの接続要求やデータ要求が攻撃ではないことを伝えられたダミークライアント処理手段902は、クライアント端末920に成り代わってサーバ計算機930との通信を行う。この様にして、サーバ計算機930をサービス不能攻撃から保護する。
ところで、一般的には、インターネット等で利用されるプロトコルであるTCPでは、通信を開始する前に送信者と受信者の間で、通信相手の識別、通信経路の把握など簡単な情報の交換を行い、通信を行う準備ができていることを確認する3ウェイ・ハンドシェークが用いられている。この場合、図8に示すようなやりとりがクライアント端末920とサーバ計算機930との間で行われる。即ち、まずクライアント端末920から接続要求パケット(SYNパケット)をサーバ計算機930に送信し、サーバ計算機930はこれに対して接続要求確認パケット(SYN_ACKパケット)をクライアント端末920に送信する。これに対しクライアント端末920は、確認応答パケットに対する応答として確認応答パケット(ACKパケット)を送信する。この処理が完了すると、クライアント端末920とサーバ計算機930との間でコネクションが確立され、クライアント端末920からのデータ要求に基づいてサーバ計算機930が応答することができる。
図7に示した様なサーバ計算機保護装置900のダミーサーバ処理手段901やダミークライアント処理手段902は、接続処理のみを成り代わって行い、データ要求やその応答はクライアント端末920とサーバ計算機930との間で直接行わせるものや、データ要求とその応答も行うものなどがある。
図9を参照してサーバ計算機保護装置900のダミーサーバ処理手段901やダミークライアント処理手段902が接続処理のみを成り代わって行う場合について説明する。図9に示した例の場合、クライアント端末920からの接続要求であるSYNパケットに対して、ダミーサーバ処理手段901がSYN_ACKパケットで応答し、当該クライアント端末920からACKパケットが正しく返ってきたら、ダミーサーバ処理手段901は、当該接続要求はサービス不能攻撃ではないと判断する。これがダミークライアント処理手段902に通知されると、ダミークライアント処理手段902とサーバ計算機930との間で、再び接続処理であるSYNパケット、SYN_ACKパケット、ACKパケットの交換を行い、これらの処理が完了してからデータ要求とその応答がクライアント端末920とサーバ計算機930との間で交換される。
図10を参照してサーバ計算機保護装置900のダミーサーバ処理手段901やダミークライアント処理手段902がデータ要求とその応答も成り代わって通信する場合について説明する。図10に示した例の場合、クライアント端末920からの接続要求であるSYNパケットに対して、ダミーサーバ処理手段901がSYN_ACKパケットで応答し、当該クライアント端末920からACKパケットが正しく返ってきたら、当該接続要求はサービス不能攻撃ではないことを判断する。続いて、ダミーサーバ処理手段901がクライアント端末920からのデータ要求も受け取る。次に、これがダミークライアント処理手段902に通知されると、ダミークライアント処理手段902とサーバ計算機930との間で、再び接続処理であるSYNパケット、SYN_ACKパケット、ACKパケットの交換を行う。接続処理が完了したらクライアント端末920から受信したデータ要求をサーバ計算機930へ送信し、サーバ計算機930からの応答を受け取る。ダミークライアント処理手段902がサーバ計算機から応答を受け取ったら、これをダミーサーバ処理手段901に通知し、ダミーサーバ処理手段901が、この応答をクライアント端末920へ送信する。
この様に従来の方法に係るサーバ計算機保護装置は実現されていた。
特開2003−224607号公報 特開2003−224608号公報 特開2003−173300号公報
しかし、従来のサーバ計算機保護装置900によれば、図9に示した方法及び図10に示した方法のいずれにしても、図8に示したサーバ計算機保護装置を設置しない場合に比べて、ダミーサーバ処理手段901及びダミークライアント処理手段902との接続処理が必要となる。従って、従来のサーバ計算機保護装置900においては、オーバーヘッドが発生するので、サーバ計算機930とクライアント端末920間でのレスポンスタイムの低下を引き起こし、保護対象となるサーバ計算機930のクライアントに対するサービス能力が低下してしまう問題があった。
従って本発明の目的は、クライアント端末又はサーバ計算機とのトラフィックを軽減するサーバ計算機保護装置を提供することである。
上記課題を解決するために、本発明の第1の特徴は、複数のクライアント端末から第1の通信ネットワークセグメントを介して受信したパケットを第2の通信ネットワークセグメントを介してサーバ計算機に転送するサーバ計算機保護装置に関する。即ち本発明の第1の特徴に係るサーバ計算機保護装置は、サーバ計算機がクライアント端末からサービス不能攻撃を受けているか否かの状態を記憶するための攻撃状態記憶手段と、クライアント端末から受信したサーバ計算機への接続要求のためのパケットを監視して、サーバ計算機がクライアント端末からサービス不能攻撃を受けているか否かを判定し、サーバ計算機がサービス不能攻撃を受けていると判定したとき、攻撃状態記憶手段にサーバ計算機がサービス不能攻撃を受けている状態であることを記憶し、サーバ計算機がサービス不能攻撃を受けていないと判定したとき、攻撃状態記憶手段にサーバ計算機がサービス不能攻撃を受けていない状態であることを記憶するためのサービス不能攻撃検知手段と、クライアント端末からのパケットを受信したとき、攻撃状態記憶手段を参照し、攻撃状態記憶手段にサーバ計算機がサービス不能攻撃を受けている状態が記憶されている場合には、クライアント端末から受信したパケットをダミーサーバ処理手段に送信し、攻撃状態記憶手段にサーバ計算機がサービス不能攻撃を受けていない状態が記憶されている場合には、クライアント端末から受信したパケットをパケット転送手段に送信する第1のパケット振分手段と、第1のパケット振分手段から受信したパケットに基いて、クライアント端末からACKパケットを受信したか否かを検出し、ACKパケットを受信したとき、クライアント端末が正当であると判定して第1のパケット振分手段から受信したパケットをダミークライアント処理手段に送信するダミーサーバ処理手段と、第1のパケット振分手段から受信したパケットを第2のパケット振分手段に送信するパケット転送手段と、ダミーサーバ処理手段から受信したパケットを第2のパケット振分手段に送信するダミークライアント処理手段と、パケット転送手段又はダミークライアント処理手段から受信したパケットをサーバ計算機に送信する第2のパケット振分手段とを備える。
この様な本発明によれば、保護対象のサーバ計算機のクライアント端末に対するサービス能力を低下させることなく、保護対象のサーバ計算機をサービス不能攻撃から保護することができる。
又、クライアント端末から受信したパケットから抽出した発信元IPアドレス、発信元ポート番号、宛先IPアドレス、宛先ポート番号に攻撃状態記憶手段が記憶している状態を関連づけて接続状態情報として記憶するための接続状態記憶手段を設け、第1のパケット振分手段は、クライアント端末から受信したパケットから発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号を抽出する抽出手段と、抽出手段が抽出した発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号と同一の発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号を持つ接続状態情報が接続状態記憶手段に記憶されているか否かを判定する第1の判定手段と、第1の判定手段の判定の結果、接続状態記憶手段に抽出手段が抽出した発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号と同一の発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号を持つ接続状態情報が記憶されている場合であって、かつこの接続状態情報として記憶された攻撃状態記憶手段が記憶している状態がサーバ計算機がサービス不能攻撃を受けている状態の場合には、クライアント端末から受信したパケットをダミーサーバ処理手段に送信し、第1の判定手段の判定の結果、接続状態記憶手段に抽出手段が抽出した発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号と同一の発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号を持つ接続状態情報が接続状態記憶手段に記憶されている場合であって、かつこの接続状態情報として記憶された攻撃状態記憶手段が記憶している状態がサーバ計算機がサービス不能攻撃を受けている状態の場合には、クライアント端末から受信したパケットをパケット転送手段に送信する第1の送信手段と、第1の判定手段の判定の結果、接続状態記憶手段に抽出手段が抽出した発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号と同一の発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号を持つ接続状態情報が記憶されていない場合には、抽出手段が抽出した発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号に、この時攻撃状態記憶手段に記憶されている状態を関連付けて新規な接続状態情報として接続状態記憶手段に記憶する記憶処理手段と、第1の判定手段の判定の結果、接続状態記憶手段に抽出手段が抽出した発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号と同一の発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号を持つ接続状態情報が記憶されていない場合には、攻撃状態記憶手段を参照し、サーバ計算機がサービス不能攻撃を受けている状態を攻撃状態記憶手段が記憶している場合には、クライアント端末から受信したパケットをダミーサーバ処理手段に送信し、サーバ計算機がサービス不能攻撃を受けていない状態を攻撃状態記憶手段が記憶している場合には、クライアント端末から受信したパケットをパケット転送手段に送信する第2の送信手段とを具備する。
これによると、コネクションが継続中にサービス不能攻撃が開始したり、コネクションが継続中にサービス不能攻撃が終了したりした場合でも、不具合が発生しない。
本発明によれば、クライアント端末又はサーバ計算機とのトラフィックを軽減するサーバ計算機保護装置を提供することができる。
次に、図面を参照して、本発明の実施の形態を説明する。以下の図面の記載において、同一又は類似の部分には同一又は類似の符号を付している。
(第1の実施の形態)
図1を参照して、本発明の第1の実施の形態に係るサーバ計算機保護装置1を説明する。サーバ計算機保護装置1は、クライアント端末920又はサーバ計算機930とのトラフィックを軽減するサーバ計算機保護装置1である。本発明の第1の実施の形態に係るサーバ計算機保護装置1は、例えば、現在サービス不能攻撃を受けてる時、にインターネットやイントラネットなどの第1の通信ネットワークセグメント910を介してクライアント端末920から接続要求を受信すると、クライアント端末920の正当性を判定し、正当であると判定された場合、第2の通信ネットワークセグメント911を介してサーバ計算機930に接続要求する。一方、サービス不能攻撃を受けていない時にクライアント端末920から接続要求を受信すると、クライアント端末920の正当性を判定することなくパケット転送手段24及び第2の通信ネットワークセグメント911を介してサーバ計算機930に接続要求を転送する。
図2に示すように、本発明の第1の実施の形態に係るサーバ計算機保護装置1は、中央処理制御装置101、ROM(Read Only Memory)102、RAM(Random Access Memory)103及び入出力インタフェース109が、バス110を介して接続されている。入出力インタフェース109には、入力装置104、表示装置105、通信制御装置106、記憶装置107及びリムーバブルディスク108が接続されている。
中央処理制御装置101は、入力装置104からの入力信号に基づいてROM102からサーバ計算機保護装置1を起動するためのブートプログラムを読み出して実行し、更に記憶装置107に記憶されたオペレーティングシステムを読み出す。更に中央処理制御装置101は、入力装置104や通信制御装置106などの入力信号に基づいて、各種装置の制御を行ったり、RAM103や記憶装置107などに記憶されたプログラム及びデータを読み出してRAM103にロードするとともに、RAM103から読み出されたプログラムのコマンドに基づいて、データの計算又は加工など、後述する一連の処理を実現する処理装置である。
入力装置104は、操作者が各種の操作を入力するキーボード、マウスなどの入力デバイスにより構成されており、操作者の操作に基づいて入力信号を作成し、入出力インタフェース109及びバス110を介して中央処理制御装置101に送信される。表示装置105は、CRT(Cathode Ray Tube)ディスプレイや液晶ディスプレイなどであり、中央処理制御装置101からバス110及び入出力インタフェース109を介して表示装置105において表示させる出力信号を受信し、例えば中央処理制御装置101の処理結果などを表示する装置である。通信制御装置106は、LANカードやモデムなどの装置であり、サーバ計算機保護装置1をインターネットやLANなどの通信ネットワークに接続する装置である。通信制御装置106を介して通信ネットワークと送受信したデータは入力信号又は出力信号として、入出力インタフェース及びバス110を介して中央処理制御装置101に送受信される。
記憶装置107は磁気ディスク装置であって、中央処理制御装置101で実行されるプログラムやデータが記憶されている。リムーバブルディスク108は、光ディスクやフレキシブルディスクのことであり、ディスクドライブによって読み書きされた信号は、入出力インタフェース109及びバス110を介して中央処理制御装置101に送受信される。
本発明の第1の実施の形態に係るサーバ計算機保護装置1の記憶装置107には、サーバ計算機保護プログラムが記憶される。又、サーバ計算機保護プログラムがサーバ計算機保護装置1の中央処理制御装置101に読み込まれ実行されることによって、第1のパケット振分手段21、ダミーサーバ処理手段22、ダミークライアント処理手段23、パケット転送手段24、パケット振分手段25、サービス不能攻撃検知手段26がサーバ計算機保護装置1に実装される。
次に、再び図1を参照して本発明の第1の実施の形態に係るサーバ計算機保護装置1について詳述する。本発明の第1の実施の形態に係るサーバ計算機保護装置1は、クライアント端末920から第1の通信ネットワークセグメント911を介して受信したパケットを第2の通信ネットワークセグメント911を介してサーバ計算機930に転送する。本発明の第1の実施の形態に係るサーバ計算機保護装置1は、サービス不能攻撃検知手段26、第1のパケット振分手段21、ダミーサーバ処理手段22、ダミークライアント処理手段23、パケット転送手段24、第2のパケット振分手段25、第1のネットワークインタフェース31及び第2のネットワークインタフェース32を備えている。
サービス不能攻撃検知手段26は、クライアント端末920から第1の通信ネットワークセグメント910及び第1のネットワークインタフェース31を介して受信したパケットを監視し、サービス不能攻撃中であるか否かを判定し、サービス不能攻撃中であると判定された場合、攻撃下フラグを設定し、サービス不能攻撃中でないと判定された場合、攻撃下フラグの設定を解除する。本発明の第1の実施の形態に係るサービス不能攻撃検知手段26は、サービス不能攻撃中である場合、攻撃下フラグ11を「1」に設定し、サービス不能攻撃中でない場合、攻撃下フラグを「0」に設定する。
第1のパケット振分手段21は、攻撃下フラグ11が設定されている間にクライアント端末920から受信したパケットをダミーサーバ処理手段22に送信するとともに、攻撃下フラグ11が設定されていない間にクライアント端末920から受信したパケットをパケット転送手段24に送信する。具体的には第1のパケット振分手段21は、攻撃下フラグ11が「1」に設定されている場合、クライアント端末920から受信した接続要求をダミーサーバ処理手段22に送信し、攻撃下フラグ11が「0」に設定されている場合、接続要求をパケット転送手段24に転送する。
パケット転送手段24は、第1のパケット振分手段21から受信したパケットを第2のパケット振分手段25に転送する。具体的にはパケット転送手段24は、第1のパケット振分手段21から受信した接続要求をそのまま第2のパケット振分手段25を介してサーバ計算機930に転送する。サーバ計算機930からの応答も、パケット転送手段24を介して送信される。
ダミーサーバ処理手段22は、第1のパケット振分手段21からパケットを受信すると、クライアント端末920の正当性を判定し、クライアント端末920が正当であると判定されるとパケットをダミークライアント処理手段23に送信する。ダミーサーバ処理手段22は、クライアント端末920から受信したSYNパケットに対してSYN_ACKパケットで応答し、更にクライアント端末920からACKパケットを受信した場合に、クライアント端末920が正当であることをダミークライアント処理手段23に通知する。
ダミークライアント処理手段23は、ダミーサーバ処理手段22から受信したパケットを、第2のパケット振分手段25に送信する。クライアント端末920が正当であることの通知をダミーサーバ処理手段22から受けると、ダミークライアント処理手段23は、クライアント端末920に成り代わってサーバ計算機930とのコネクションを確立する接続要求パケットを第2のパケット振分手段25に送信する。ダミーサーバ処理手段22及びダミークライアント処理手段23を介して受信したクライアント端末920からのパケットへの応答は、ダミークライアント処理手段23及びダミーサーバ処理手段22を介して送信される。
第2のパケット振分手段25は、パケット転送手段24又はダミークライアント処理手段23から受信したパケットをサーバ計算機に送信する。
ここでは、クライアント端末920からサーバ計算機930へパケットを送信する場について説明したが、サーバ計算機930からクライアント端末920にパケットを送信する場合も同様である。例えば、サーバ計算機930及び第2の通信ネットワークセグメント911を介してパケットを受信すると、第2のパケット振分手段25は、攻撃下フラグ11を読み出し、サービス不能攻撃中であるか否かを判定する。サービス不能攻撃中である場合、第2のパケット振分手段25は、受信したパケットをダミークライアント処理手段23に送信する。サービス不能攻撃中でない場合、第2のパケット振分手段25は、パケット転送手段24に送信する。
図3を参照して、第1のパケット振分手段21の処理について説明する。
まず、第1のパケット振分手段21がパケットを受信すると、ステップS101において攻撃下フラグ11を読み出して、サービス攻撃下であるか否かを判定する。
サービス不能攻撃下である場合、ステップS102においてパケットをダミーサーバ処理手段22に転送する。一方、サービス不能攻撃下でない場合、ステップS103において、パケットをパケット転送手段24に送信する。
ここで、サービス不能攻撃検知手段26が、サービス不能攻撃を検知する方法の一例として、以下の6つを挙げて説明する。
(1)過去の一定期間内にクライアント端末920から受信した接続要求の回数を測定する接続要求計数手段と、過去の一定期間内にクライアント端末920とサーバ計算機930或いはダミーサーバ処理手段22との間で接続が完了した回数を測定する接続完了計数手段と、接続要求計数手段の計数値と、接続完了計数手段の計数値を比較する計数値比較手段とを具備し、接続要求係数手段の計数値の接続完了係数手段の計数値に対する割合が、予め設定した割合以上であった場合に、攻撃下信号を出力する。
(2)過去の一定期間内にクライアント端末920から受信した接続要求の回数を測定する接続要求計数手段と、クライアント端末920とサーバ計算機930或いはダミーサーバ処理手段22との間での接続の完了により加算しクライアント端末920とサーバ計算機930或いはダミーサーバ処理手段22との間での接続の切断により減算する接続数計数手段と、接続要求係数手段の計数値と接続数計数手段の計数値を比較する計数値比較手段を具備し、接続要求計数手段の計数値の接続数計数手段の計数値に対する割合が、予め設定された割合以上であった場合に、攻撃下信号を出力する。
(3)過去の一定期間内にクライアント端末920とサーバ計算機930或いはダミーサーバ処理手段22との間で接続が完了した回数を測定する接続完了計数手段と、過去の一定期間内にクライアント端末920からサーバ計算機930或いはダミーサーバ処理手段22に対し、接続の完了に続くデータ要求を行った回数を測定するデータ要求計数手段と、接続完了計数手段の計数値とデータ要求計数手段の計数値を比較する計数値比較手段を具備し、接続完了計数手段の計数値のデータ要求計数手段の計数値に対する割合が、予め設定された割合以上であった場合に、攻撃下信号を出力する。
(4)過去の一定期間内にクライアント端末920とサーバ計算機930或いはダミーサーバ処理手段22との間で接続が完了した回数を測定する接続完了計数手段と、クライアント端末920からサーバ計算機930或いはダミーサーバ処理手段22に対してデータ要求が送出されることにより加算し、クライアント端末920とサーバ計算機930或いはダミーサーバ処理手段22との間での接続の切断により減算する接続数計数手段と、接続完了計数手段の計数値と接続数計数手段の計数値を比較する計数値比較手段を具備し、接続完了計数手段の計数値の接続数計数手段の計数値に対する割合が、予め設定された割合以上であった場合に、攻撃下信号を出力する。
(5)過去の一定期間内にサーバ計算機930或いはダミーサーバ処理手段22が受信したリセットパケットの回数を測定するリセットパケット計数手段を具備し、リセットパケット計数手段の計数値が予め設定された数以上であった場合に、攻撃下信号を出力する。
(6)過去の一定期間内にサーバ計算機930或いはダミーサーバ処理手段22が送出した接続要求確認パケットの回数を測定する接続要求確認計数手段と、過去の一定期間内にサーバ計算機930或いはダミーサーバ処理手段22が送出した接続要求確認パケットへの応答としてリセットパケットを受信した回数を測定する接続要求リセット計数手段と、接続要求確認計数手段の計数値と接続要求リセット計数手段の計数値を比較する計数値比較手段を具備し、接続要求確認計数手段の計数値に対する接続要求リセット計数手段の計数値の割合が、予め設定された割合以上であった場合に、攻撃下信号を出力する。
この様な方法で、サービス不能攻撃検知手段26は、サーバ計算機930に対してサービス不能攻撃が為されていることを速やかに検知する。
上述した様に、本発明の第1の実施の形態に係るサーバ計算機保護装置1は、第1のネットワークインタフェース31を介してクライアント端末920から受信したパケットは、第1のパケット振分手段21に入力される。第1のパケット振分手段21は、サービス不能攻撃検知手段26によって攻撃下フラグが設定されていない場合、即ち、サービス不能攻撃検知手段26が保護対象のサーバ計算機930に対してサービス不能攻撃が為されていないと判断された場合、当該パケットは、パケット転送手段24へと入力され、第2のネットワークインタフェース32を介してサーバ計算機930へ送信される。サーバ計算機930からの応答も同様に、パケット転送手段24によって第1のネットワークインタフェース31を介してクライアント端末920へと送信される。
この様に、サービス不能攻撃検知手段26が、保護対象のサーバ計算機に対してサービス不能攻撃が為されていないと判断された場合、本発明の第1の実施の形態に係るサーバ計算機保護装置は、単なるパケット転送装置として、ブリッジやルータ等の様に振る舞う。この場合、接続処理のオーバーヘッドなども起こらないため、保護対象のサーバ計算機930のクライアント端末920に対するサービス能力を低下させることもない。
一方、サービス不能攻撃検知手段26によって攻撃下フラグが設定されている場合、即ち、サービス不能攻撃検知手段26が保護対象のサーバ計算機930に対してサービス不能攻撃が為されていると判断された場合、当該パケットはダミーサーバ処理手段22へと渡され、ダミーサーバ処理手段22がサーバ計算機930に成り代わってクライアント端末920への応答を行う。この場合は、従来のサーバ計算機保護装置900と同様の処理を行って、サーバ計算機930をサービス不能攻撃から防御することができる。
この様に、サービス不能攻撃検知手段26が保護対象のサーバ計算機930に対してサービス不能攻撃が為されていると判断した場合、従来のサーバ計算機保護装置と同様に、接続処理が2度必要になるなど、オーバーヘッドが発生してしまう。しかし、サービス不能攻撃が為されている間は、サーバ計算機930宛てに大量に送られてきている接続要求パケットなどでネットワーク帯域も圧迫されていることが多く、サーバ計算機のサービス能力の低下はマスクされ、問題とはならない。
実際にはサービス不能攻撃が開始されているが、サービス不能攻撃検知手段26がサービス不能攻撃を検知できない程度に接続要求数が軽微である状態が一時的にある。この場合、当該パケットはサーバ計算機930へ送信されるが、その接続要求数が少ないため、サーバ計算機930の処理能力を下げるほどの負荷にはならないので問題ない。
この様に、本発明の第1の実施の形態においては、サービス不能攻撃中でない場合はダミーサーバ処理手段22及びダミークライアント処理手段23による処理を行わず、パケット転送手段24によってパケットを転送するため、保護対象のサーバ計算機930のクライアント端末920に対するサービス能力を低下させることなく、保護対象のサーバ計算機930をサービス不能攻撃から保護できるサーバ計算機保護装置1を実現することができる。
(第2の実施の形態)
次に、図4を参照して本発明の第2の実施の形態に係るサーバ計算機保護装置1を説明する。図4に示した本発明の第2の実施の形態に係るサーバ計算機保護装置1は、図1に示した本発明の第1の実施の形態に係るサーバ計算機保護装置1と比べて接続状態表12を備えている点が異なる。
接続状態表12は、受信したパケットの発信元IPアドレス、発信元ポート番号、宛先IPアドレス、宛先ポート番号及びパケットの受信時攻撃下フラグが関連づけられて記憶装置107に記憶されている。
例えば、接続状態表12は、図5に示すようなデータ構造とデータを備える。「src addr」は発信元IPアドレスを、「src port」は発信元ポート番号を、「dst addr」は宛先IPアドレスを、「dest port」は、宛先ポート番号を示している。又、「UA」において、受信時攻撃下フラグの値が設定されており、「1」の場合はサービス不能攻撃下に受信したパケットであることを示し、「0」の場合はサービス不能攻撃下でない時に受信したパケットであることを示す。この接続状態表12の受信時攻撃下フラグは、指定された発信元IPアドレス及び発信元ポート番号から宛先IPアドレス及び宛先ポート番号に送信されたパケットを初めてサーバ計算機保護装置1が受信した時の攻撃下フラグ11によって決定される。
第1のパケット振分手段21は、クライアント端末920からパケットを受信するとパケットの発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号を抽出するとともに、記憶装置107から接続状態表12を読み出す。更に、第1のパケット振分手段21は、クライアント端末920から受信したパケットと同じ発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号を備えるコネクションが接続状態表12に記憶されているか否かを判定する。接続状態表12に記憶されている場合、第1のパケット振分手段21は、受信時攻撃下フラグが設定されているとパケットをダミーサーバ処理手段22に送信する一方、接続状態表12に記憶された受信時攻撃下フラグが設定されていないとパケットをパケット転送手段24に送信する。接続状態表12に記憶されていない場合、第1のパケット振分手段21クライアント端末920から受信したパケットの発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号を関連づけ、更に、サービス不能攻撃検知手段26によって設定される攻撃下フラグ11を受信時攻撃下フラグとして関連づけて接続状態表12に挿入する。更に、第1のパケット振分手段21攻撃下フラグ11が設定されている間にクライアント端末920から受信したパケットをダミーサーバ処理手段22に送信し、攻撃下フラグ11が設定されていない間にクライアント端末920から受信したパケットをパケット転送手段24に送信する。
次に、図6を参照して、本発明の第2の実施の形態に係る第1のパケット振分手段21の処理について説明する。
まずステップS201において、第1のパケット振分手段21は、受信したパケットからパケットの発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号を抽出し、接続状態表12を読み出して、接続状態表12に同様のコネクションがあるか否かを判定する。
接続状態表に同様のコネクションが登録されている場合、ステップS202において、接続状態表12の同様のコネクションの受信時攻撃下フラグを読み出し、このコネクションの最初のパケットがサービス不能攻撃中に受信していた場合、パケットをダミーサーバ処理手段22に送信し、サービス不能攻撃中でない時に受信していた場合、パケットをパケット転送手段24に送信する。
例えば、クライアント端末920から受信したパケットの送信元IPアドレスが192.168.0.1、送信元ポート番号が5432番で、宛先IPアドレスが192.168.1.1、宛先ポート番号が80番であったとすると、これは図5に示す接続状態表12に登録されている。この登録されたパケットの通信開始時の攻撃下信号が1であるから、通信開始時に攻撃下信号が出力されていたことが分かる。この場合、当該パケットをダミーサーバ処理手段22へと送信する。一方、送信元IPアドレスが192.168.0.2、送信元ポート番号が2323番で、宛先IPアドレスが192.168.1.1、宛先ポート番号が80番であったとすると、これも図5に示す接続状態表12に登録されている。この登録されたパケットの通信開始時の攻撃下信号が0であるから、通信開始時に攻撃下信号が出力されていなかったことが分かる。この場合は、当該パケットをパケット転送手段24へと送信し、第2のネットワークインタフェース32を介してサーバ計算機930へと送信する。
一方、接続状態表12に同様のコネクションが登録されていない場合、ステップS205において、このパケットの送信元IPアドレス、送信元ポート番号、宛先IPアドレス及び宛先ポート番号を抽出し、攻撃下フラグ11を読み出して受信時攻撃下フラグとして関連づけて接続状態表12に登録する。
例えば、クライアント端末920から受信したパケットの送信元IPアドレスが192.168.0.3、送信元ポート番号が1234番で、宛先IPアドレスが192.168.1.1、宛先ポート番号が80番であったとすると、これは図5に示す接続状態表12に登録されていないため、攻撃下フラグ11を読み出して接続状態表12に登録する。このとき、攻撃下フラグ11の値によって、パケットの転送先が決定される。
即ち、ステップS206において攻撃下フラグ11がサービス不能攻撃中であると判定された場合、ステップS207において当該パケットをダミーサーバ処理手段22へと送信する。一方、ステップS206において、攻撃下フラグ11がサービス不能攻撃中でないと判定された場合、ステップS208において当該パケットをパケット転送手段24へと送信する。
例えば、第1の実施の形態に係るサーバ計算機保護装置1では、コネクションが継続中にサービス不能攻撃が開始されたり、コネクションが継続中にサービス不能攻撃が終了したりした場合、それまで、パケット転送手段24によって直接クライアント端末920とサーバ計算機930との間でパケットが交換されていたセッションが、ダミーサーバ処理手段22を介するようになる。又、それまでダミーサーバ処理手段22を介して通信していたセッションがパケット転送手段24によってクライアント端末920とサーバ計算機930との間でパケットが交換されるようになる。この場合、クライアント端末920とサーバ計算機930との通信経路が変更する問題点が生じる。
しかし、上述した様に本発明の第2の実施の形態に係るサーバ計算機保護装置1によれば、コネクションが確立された時点でサービス不能攻撃中であるか否かを判断することによってパケットの転送先を設定するので、通信経路が変更する問題点が発生しない。
この様に、本発明の第2の実施の形態に係るサーバ計算機保護装置1によれば、コネクションが継続中にサービス不能攻撃が開始されたり、コネクションが継続中にサービス不能攻撃が終了する場合でも、不都合が発生しない。本発明の第2の実施の形態に係るサーバ計算機保護装置1によれば、保護対象のサーバ計算機930のクライアント端末920に対するサービス能力を低下させることなく、保護対象のサーバ計算機930をサービス不能攻撃から保護できるサーバ計算機保護装置1を実現することができる。
(その他の実施の形態)
上記のように、本発明の最良の実施の形態によって記載したが、この開示の一部を為す論述及び図面はこの発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施の形態、実施例及び運用技術が明らかとなる。
本発明はここでは記載していない様々な実施の形態等を含むことは勿論である。従って、本発明の技術的範囲は上記の説明から妥当な特許請求の範囲に係る発明特定事項によってのみ定められるものである。
本発明の第1の実施の形態に係るサーバ計算機保護装置の機能ブロック図である。 本発明の第1の実施の形態に係るサーバ計算機保護装置の構成図である。 本発明の第1の実施の形態に係る第1のパケット振分手段の処理を示すフローチャートである。 本発明の第2の実施の形態に係るサーバ計算機保護装置の機能ブロック図である。 本発明の第1の実施の形態に係る不正アクセス検出装置の各処理の運用の一例を示した図である。 本発明の第1の実施の形態に係る特徴量データの統計の一例を説明する図である。 本発明の第1の実施の形態に係る検出率と誤検出率の関係を示した図である。 従来のサーバ計算機保護装置の機能ブロック図である。 従来のサーバ計算機保護装置のダミーサーバ処理手段やダミークライアント処理手段が接続処理のみ成り代わって通信する一例の説明図である。 従来のサーバ計算機保護装置のダミーサーバ処理手段やダミークライアント処理手段がデータ要求とその応答も成り代わって通信する一例の説明図である。
符号の説明
1…サーバ計算機保護装置
11…攻撃下フラグ
12…接続状態表
21…第1のパケット振分手段
22、901…ダミーサーバ処理手段
23、902…ダミークライアント処理手段
24…パケット転送手段
25…第2のパケット振分手段
26…サービス不能攻撃検知手段
31、903…第1のネットワークインタフェース
32、904…第2のネットワークインタフェース
101…中央処理制御装置
102…ROM
103…RAM
104…入力装置
105…表示装置
106…通信制御装置
107…記憶装置
108…リムーバブルディスク
109…入出力インタフェース
110…バス
900…サーバ計算機保護装置
910…第1の通信ネットワークセグメント
911…第2の通信ネットワークセグメント
920…クライアント端末
930…サーバ計算機

Claims (2)

  1. 複数のクライアント端末から第1の通信ネットワークセグメントを介して受信したパケットを第2の通信ネットワークセグメントを介してサーバ計算機に転送するサーバ計算機保護装置において、
    前記サーバ計算機が前記クライアント端末からサービス不能攻撃を受けているか否かの状態を記憶するための攻撃状態記憶手段と、
    前記クライアント端末から受信した前記サーバ計算機への接続要求のためのパケットを監視して、前記サーバ計算機が前記クライアント端末からサービス不能攻撃を受けているか否かを判定し、前記サーバ計算機がサービス不能攻撃を受けていると判定したとき、前記攻撃状態記憶手段に前記サーバ計算機がサービス不能攻撃を受けている状態であることを記憶し、前記サーバ計算機がサービス不能攻撃を受けていないと判定したとき、前記攻撃状態記憶手段に前記サーバ計算機がサービス不能攻撃を受けていない状態であることを記憶するためのサービス不能攻撃検知手段と、
    前記クライアント端末からのパケットを受信したとき、前記攻撃状態記憶手段を参照し、前記攻撃状態記憶手段に前記サーバ計算機がサービス不能攻撃を受けている状態が記憶されている場合には、前記クライアント端末から受信したパケットをダミーサーバ処理手段に送信し、前記攻撃状態記憶手段に前記サーバ計算機がサービス不能攻撃を受けていない状態が記憶されている場合には、前記クライアント端末から受信したパケットをパケット転送手段に送信する第1のパケット振分手段と、
    前記第1のパケット振分手段から受信したパケットに基いて、前記クライアント端末からACKパケットを受信したか否かを検出し、ACKパケットを受信したとき、前記クライアント端末が正当であると判定して前記第1のパケット振分手段から受信したパケットをダミークライアント処理手段に送信するダミーサーバ処理手段と、
    前記第1のパケット振分手段から受信したパケットを第2のパケット振分手段に送信するパケット転送手段と、
    前記ダミーサーバ処理手段から受信した前記パケットを第2のパケット振分手段に送信するダミークライアント処理手段と、
    前記パケット転送手段又は前記ダミークライアント処理手段から受信したパケットを前記サーバ計算機に送信する第2のパケット振分手段とを備えることを特徴とするサーバ計算機保護装置。
  2. 前記クライアント端末から受信したパケットから抽出した発信元IPアドレス、発信元ポート番号、宛先IPアドレス、宛先ポート番号に前記攻撃状態記憶手段が記憶している状態を関連づけて接続状態情報として記憶するための接続状態記憶手段を設け、
    前記第1のパケット振分手段は、
    前記クライアント端末から受信したパケットから発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号を抽出する抽出手段と、
    前記抽出手段が抽出した発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号と同一の発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号を持つ接続状態情報が前記接続状態記憶手段に記憶されているか否かを判定する第1の判定手段と、
    前記第1の判定手段の判定の結果、前記接続状態記憶手段に前記抽出手段が抽出した発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号と同一の発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号を持つ接続状態情報が記憶されている場合であって、かつこの接続状態情報として記憶された前記攻撃状態記憶手段が記憶している状態が前記サーバ計算機がサービス不能攻撃を受けている状態の場合には、前記クライアント端末から受信したパケットを前記ダミーサーバ処理手段に送信し、前記第1の判定手段の判定の結果、前記接続状態記憶手段に前記抽出手段が抽出した発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号と同一の発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号を持つ接続状態情報が前記接続状態記憶手段に記憶されている場合であって、かつこの接続状態情報として記憶された前記攻撃状態記憶手段が記憶している状態が前記サーバ計算機がサービス不能攻撃を受けている状態の場合には、前記クライアント端末から受信した前記パケットをパケット転送手段に送信する第1の送信手段と、
    前記第1の判定手段の判定の結果、前記接続状態記憶手段に前記抽出手段が抽出した発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号と同一の発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号を持つ接続状態情報が記憶されていない場合には、前記抽出手段が抽出した発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号に、この時前記攻撃状態記憶手段に記憶されている状態を関連付けて新規な接続状態情報として前記接続状態記憶手段に記憶する記憶処理手段と、
    前記第1の判定手段の判定の結果、前記接続状態記憶手段に前記抽出手段が抽出した発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号と同一の発信元IPアドレス、発信元ポート番号、宛先IPアドレス及び宛先ポート番号を持つ接続状態情報が記憶されていない場合には、前記攻撃状態記憶手段を参照し、前記サーバ計算機がサービス不能攻撃を受けている状態を前記攻撃状態記憶手段が記憶している場合には、前記クライアント端末から受信したパケットを前記ダミーサーバ処理手段に送信し、前記サーバ計算機がサービス不能攻撃を受けていない状態を前記攻撃状態記憶手段が記憶している場合には、前記クライアント端末から受信したパケットを前記パケット転送手段に送信する第2の送信手段とを具備することを特徴とする請求項1に記載のサーバ計算機保護装置。
JP2004107525A 2004-03-31 2004-03-31 サーバ計算機保護装置 Expired - Fee Related JP4005047B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004107525A JP4005047B2 (ja) 2004-03-31 2004-03-31 サーバ計算機保護装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004107525A JP4005047B2 (ja) 2004-03-31 2004-03-31 サーバ計算機保護装置

Publications (2)

Publication Number Publication Date
JP2005293244A JP2005293244A (ja) 2005-10-20
JP4005047B2 true JP4005047B2 (ja) 2007-11-07

Family

ID=35326102

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004107525A Expired - Fee Related JP4005047B2 (ja) 2004-03-31 2004-03-31 サーバ計算機保護装置

Country Status (1)

Country Link
JP (1) JP4005047B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5173388B2 (ja) * 2007-12-11 2013-04-03 キヤノン株式会社 情報処理装置および情報処理方法

Also Published As

Publication number Publication date
JP2005293244A (ja) 2005-10-20

Similar Documents

Publication Publication Date Title
US8108531B2 (en) Securing an access provider
US7540028B2 (en) Dynamic network security apparatus and methods or network processors
EP1298883B1 (en) Server computer protection apparatus, method, program product, and server computer apparatus
KR101054705B1 (ko) 위조 발생지 어드레스를 가진 포트 스캔을 탐지하기 위한 방법 및 장치
JP5392507B2 (ja) Nat網用ウェブサービスへの正常ユーザーの遮断を防止するためのシステム及びその制御方法
EP2343851A1 (en) Network authentication method, corresponding system and client device
US20120210177A1 (en) Network communication system, server system, and terminal
EP2464079A1 (en) Method for authenticating communication traffic, communication system and protection apparatus
US8543807B2 (en) Method and apparatus for protecting application layer in computer network system
JP2004507978A (ja) ネットワークノードに対するサービス拒絶アタックに対抗するシステム及び方法
KR20120060655A (ko) 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크
US9225703B2 (en) Protecting end point devices
JP2004164553A (ja) サーバ計算機保護装置、サーバ計算機保護方法、サーバ計算機保護プログラム及びサーバ計算機
KR101263381B1 (ko) TCP/IP네트워크에서의 서비스 거부 공격(DoS) 방어 방법 및 방어 장치
JP7102780B2 (ja) 不正通信対処システム及び方法
US7424741B1 (en) Method and system for prevention of network denial-of-service attacks
JP4005047B2 (ja) サーバ計算機保護装置
JP6870386B2 (ja) マルウェア不正通信対処システム及び方法
KR20130009130A (ko) 좀비 피씨 및 디도스 대응 장치 및 방법
US9537878B1 (en) Network adaptor configured for connection establishment offload
US20080052402A1 (en) Method, a Computer Program, a Device, and a System for Protecting a Server Against Denial of Service Attacks
US20060253603A1 (en) Data communication system and method
JP2006345268A (ja) パケットフィルタ回路及びパケットフィルタ方法
KR101231801B1 (ko) 네트워크 상의 응용 계층 보호 방법 및 장치
CN117560211A (zh) 泛洪攻击防御方法、装置、设备及计算机可读存储介质

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070122

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070213

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070416

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070515

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070717

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070807

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070822

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100831

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100831

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110831

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees