JP4284248B2 - Application service rejection attack prevention method, system, and program - Google Patents
Application service rejection attack prevention method, system, and program Download PDFInfo
- Publication number
- JP4284248B2 JP4284248B2 JP2004241262A JP2004241262A JP4284248B2 JP 4284248 B2 JP4284248 B2 JP 4284248B2 JP 2004241262 A JP2004241262 A JP 2004241262A JP 2004241262 A JP2004241262 A JP 2004241262A JP 4284248 B2 JP4284248 B2 JP 4284248B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- traffic
- end node
- tcp
- layer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、IP(インターネットプロトコル;Internet protocol)ネットワークにおけるセキュリティ向上技術に関し、特に、インターネット上におけるDoS攻撃やDDoS攻撃などに対する防御方法及びシステムに関する。 The present invention relates to a security improvement technique in an IP (Internet protocol) network, and more particularly, to a protection method and system against a DoS attack or a DDoS attack on the Internet.
インターネット上では、特定のサイトに対して異常なデータあるいはパケットを大量に送信しそれによってそのサイトにおけるサービスを停止させようとする攻撃が、しばしば行われるようになってきた。そのような攻撃のことをDoS(サービス拒絶;Denial of Service)攻撃と呼ぶが、さらに巧妙な攻撃として、異なる複数の場所から同時に同一サイトに対してDoS攻撃を仕掛けてくることもあり、そのような複数の場所からの攻撃をDDoS(分散型サービス拒絶;Distributed Denial of Service)攻撃と呼んでいる。以下では、サービス拒絶(DoS)攻撃及び分散型サービス拒絶(DDoS)攻撃を総称して、DoS/DDoS攻撃と呼ぶことにする。 On the Internet, attacks that try to send a large amount of abnormal data or packets to a specific site and thereby stop the service at that site have often been carried out. Such an attack is called a DoS (Denial of Service) attack, but as a more sophisticated attack, a DoS attack may be launched against the same site simultaneously from different locations. Such an attack from a plurality of places is called a DDoS (Distributed Denial of Service) attack. Hereinafter, a denial of service (DoS) attack and a distributed denial of service (DDoS) attack will be collectively referred to as a DoS / DDoS attack.
ところで、ネットワーク上で通信を行うために用いられる各種のプロトコルは、OSI参照モデルによって7つのレイヤ(階層)に階層化されて取り扱われている。これに対応して、DoS/DDoS攻撃に用いられるパケットも、どのレイヤにおけるサービスを停止させようとするものであるかによって分類される。最近では、IP電話の中継に用いられるSIP(Session Initiation Protocol)サーバや電子メールの中継に用いられるSMTP(Simple Mail Transfer Protocol)サーバなどの、OSI参照モデルにおけるレイヤ5(セッション層)以上の処理を行う各種エンドノードに対して、DoS/DDoS攻撃が行われるようになってきている。 By the way, various protocols used for communication on a network are handled by being layered into seven layers (hierarchies) by the OSI reference model. Correspondingly, packets used for DoS / DDoS attacks are also classified according to which layer the service is to be stopped. Recently, the processing of layer 5 (session layer) and higher in the OSI reference model, such as a SIP (Session Initiation Protocol) server used for relaying IP telephones and an SMTP (Simple Mail Transfer Protocol) server used for relaying e-mails. DoS / DDoS attacks are being performed on various end nodes.
SIPサーバ、SMTPサーバなどのレイヤ5以上の処理を行うエンドノード(すなわちサーバ)あるいはエンドノード群に対するDoS/DDoS攻撃からこれらのサーバを保護するために、従来、(1)そのサーバ自身が攻撃を検知し、検知したトラヒックを排除する、あるいは、(2)保護対象のサーバが構築されたマシンの手前にファイアウォール装置またはIDS(不正侵入検知システム;Intrusion Detection System)を設置してレイヤ5以上の情報を分析することにより攻撃を検知し、検知したトラヒックを排除する、などの方策が採られている。 Conventionally, in order to protect these servers from DoS / DDoS attacks on end nodes (ie, servers) or end node groups that perform layer 5 or higher processing such as SIP servers and SMTP servers, (1) Detect and eliminate detected traffic, or (2) Information on layer 5 and above by installing a firewall device or IDS (Intrusion Detection System) in front of the machine where the protected server is built Measures such as detecting attacks by analyzing and eliminating detected traffic are taken.
攻撃を検知して該当するトラヒックを排除した場合、攻撃トラヒックが終了した場合には排除設定の解除を行うことになるが、攻撃トラヒックの終了を自動的に検出することが難しいことから、実際には、攻撃検出時の排除設定は自動で行われても、攻撃終了時の解除処理は手動で行われる場合が多い。 When an attack is detected and the corresponding traffic is eliminated, the exclusion setting is canceled when the attack traffic ends. However, since it is difficult to automatically detect the end of the attack traffic, In many cases, exclusion setting at the time of attack detection is automatically performed, but cancellation processing at the end of the attack is manually performed.
特許文献1(特開2003―283571号公報「サービス不能攻撃の防御方法及び装置ならびにそのコンピュータプログラム」)は、サーバが攻撃された場合に、ネットワーク中の攻撃者に近いルータにおいて攻撃パケットを廃棄するようにするため、ネットワーク内の各拠点にシールドと呼ばれる専用装置を設置し、これらの専用装置間で攻撃情報を逐次伝播させ、攻撃トラヒックを上流側で排除することを提案している。しかしながらこの手法では、専用装置間では攻撃情報は伝播するものの、ネットワークに接続するサーバなどのノード間では攻撃情報を伝播することはしていない。 Patent Document 1 (Japanese Unexamined Patent Application Publication No. 2003-283571, “Method and apparatus for preventing denial of service attack and its computer program”) discards an attack packet at a router close to an attacker in a network when a server is attacked. In order to do so, it has been proposed to install a dedicated device called a shield at each site in the network, to sequentially propagate the attack information between these dedicated devices, and to eliminate the attack traffic upstream. However, with this technique, attack information propagates between dedicated devices, but attack information is not propagated between nodes such as servers connected to the network.
特許文献2(特開2002―158660号公報「不正アクセス防御システム」)は、ネットワーク内に専用の遮断機器を配置し、攻撃をネットワークにおいて検出した場合には遮断機器を動作させることで攻撃からネットワークを防御する旨を提案している。しかしながら、特許文献2に記載の技術は、防御の対象として、レイヤ4以下の攻撃を対象としている。
しかしながら上述した従来の防御方法には、特にレイヤ5上の攻撃に対する防御を行う場合において、以下に述べるような問題点がある。 However, the above-described conventional defense method has the following problems especially when defense against an attack on layer 5 is performed.
サーバマシン自身で攻撃を防御する場合、その防御処理自体に重い処理負荷を必要ととするだけでなく、そのサーバマシンに接続する回線にも攻撃トラヒックが集中することになり、正当なユーザへのサービスの妨げになる可能性がある。一方、サーバの手前にファイアウォール装置またはIDSを設置する場合、レイヤ5以上の攻撃を検知するために、これらファイアウォール装置あるいはIDSそれ自体もレイヤ5以上の処理を行った上でDoS/DDoS攻撃である否か判断するため、レイヤ5以上の攻撃の検知自体に難しさが伴うとともに、ファイアウォール装置やIDS自体が性能上のボトルネックとなる可能性があり、攻撃の検知のみならず排除まで行おうとすると、さらにスループットが制限され、また、装置自身の価格も高くなる可能性が大きい。 When defending an attack on the server machine itself, not only does the defense process itself require a heavy processing load, but also the attack traffic is concentrated on the line connected to the server machine. Service may be hindered. On the other hand, when a firewall device or IDS is installed in front of the server, in order to detect an attack of layer 5 or higher, the firewall device or IDS itself is a DoS / DDoS attack after performing processing of layer 5 or higher. Therefore, it is difficult to detect attacks of layer 5 and higher, and firewall devices and IDS itself may become a bottleneck in performance. In addition, the throughput is further limited, and the price of the apparatus itself is likely to be high.
そこで本発明の目的は、特にOSI参照モデルでのレイヤ5以上のサービスに対応するサーバに対してパケットを送信するDoS/DDoS攻撃を、スループットの低下などをもたらすことなく、効果的に防御できるアプリケーションサービス拒絶攻撃防御方法及びシステムを提供することにある。 Therefore, an object of the present invention is an application that can effectively prevent a DoS / DDoS attack that transmits a packet to a server corresponding to a service of layer 5 or higher in the OSI reference model without causing a decrease in throughput or the like. It is an object to provide a denial-of-service attack prevention method and system.
上述した従来のサービス拒絶防御方法では、レイヤ5以上の情報に基づいて、各種エンドノード(サーバ)のレイヤ5以上の処理に対して行われるDoS/DDoS攻撃の検出処理を行っている。しかしながら、パケットのレイヤ5以上の情報を検知する処理は、大きな負荷を要する処理であるため、システム全体としてのトラヒックのスループットの低下や、システムのコスト高の要因となる。そこで本発明では、レイヤ4以下の情報のみによるトラヒック情報に基づいて、レイヤ5以上の処理に対するDoS/DDoS攻撃の検出処理を行うようにする。
In the conventional denial of service prevention method described above, based on layer 5 or higher information, DoS / DDoS attack detection processing that is performed on layer 5 or higher processing of various end nodes (servers) is performed. However, since the process of detecting information of packet layer 5 or higher is a process that requires a large load, it causes a reduction in traffic throughput of the entire system and a high cost of the system. Therefore, in the present invention, the DoS / DDoS attack detection process for the process of layer 5 and higher is performed based on the traffic information based only on the information of
具体的には、SIPサーバやSMTPサーバなどのレイヤ5以上の処理を行う各種エンドノードあるいはエンドノード群の手前に、ファイアウォール装置を設置し、このファイアウォール装置において、レイヤ5以上の処理に対するDoS/DDoS攻撃の検知・対処を行う。好ましくは、これらのエンドノードへの回線を束ねたエッジノードからの出口回線上に、インラインでファイアウォール装置を設置するようにする。この場合は、各種エンドノードへの回線を束ねた回線上に設置されるため、ファイアウォール装置は高スループットである必要があるが、高スループットを実現できれば、1台のファイアウォール装置のみの設置によってDoS/DDoS攻撃に対処できるので、低コストが期待できる。 Specifically, a firewall device is installed in front of various end nodes or end node groups that perform layer 5 or higher processing such as a SIP server or SMTP server, and DoS / DDoS for layer 5 or higher processing is performed in this firewall device. Detect and respond to attacks. Preferably, the firewall apparatus is installed in-line on the exit line from the edge node that bundles the lines to these end nodes. In this case, since the firewall apparatus needs to have high throughput because it is installed on a line in which lines to various end nodes are bundled, if high throughput can be realized, the DoS / Since it can cope with a DDoS attack, low cost can be expected.
ファイアウォール装置は、高速処理を可能にするために、パケットのレイヤ5以上の情報については一切検知せず、レイヤ4以下の情報のみにより攻撃を検知・対処する。これにより、ファイアウォール装置について高スループットを実現する。そのようなファイアウォール装置は、イングレス側(防御対象のエンドノードに対するパケットがネットワークから入力する側)からエグレス側(防御対象のエンドノードに接続する側)に向けて、レイヤ4以下のフィールド情報を基にフィルタリングを行うスタティックパケットフィルタリング部(1番目の機能部)と、エンドノードの代理でTCPの処理を一旦終端し、3ウェイ−ハンドシェーク処理を行ってからそのエンドノードへトラヒックを転送するTCP(transmission control protocol)インターセプト部(2番目の機能部)と、TCPインターセプト部によりエンドノードへ転送されるトラヒックであってエンドノードのアドレスを送信先アドレスとするトラヒックを発信元アドレスごとに監視し、レイヤ4以下の情報を基にDoS/DDoS攻撃を検知し対処を依頼するL4不特定検知部(3番目の機能部)と、L4不特定検知部からの依頼により指定されたフローに対しフィルタリングまたはレートリミットの設定を行うL4ACL/レート制限ダイナミック設定部(4番目の機能部)とが直列に接続した構成を有する。ここでL4不特定検知部は、例えば、トラヒック量が一定のしきい値を越えた場合に、攻撃への対処の依頼として、そのフローのフィルタリングまたはレートリミットをL4ACL/レート制限ダイナミック設定部に命令するなどの処理を行う。
In order to enable high-speed processing, the firewall apparatus does not detect any information on the layer 5 or higher of the packet, but detects and copes with an attack only by information on the
すなわちファイアウォール装置では、レイヤ4以下のパケットに含まれる情報を基に、イングレス側から入力されたパケットを段階を追って処理することで、レイヤ5以上の情報を転送しているレイヤ4以下パケットを絞っていき、最終段階で、パケットのトラヒック量などを計測してそれが規定値以上あればDoS/DDoS攻撃であると判断することで、攻撃パケットを廃棄する。このようにレイヤ4以下の処理を段階を追って行うことで、負荷がかかるレイヤ5以上の処理を行うことなく、レイヤ5以上をターゲットとしたDoS/DDoS攻撃から、サーバなどのエンドノードを防御することができる。
In other words, the firewall device processes the packets input from the ingress side step by step based on the information contained in the packets below the
具体的には、3番目の機能部であるL4不特定検知部においてレイヤ4以下の情報を基にトラヒックを検知し、その検知した情報を基に、4番目の機能部であるL4ACL/レート制限ダイナミック設定部において、攻撃トラヒックに対して対処を行う。攻撃に対して対処を行うL4ACL/レート制限ダイナミック設定部を、検知を行うL4不特定検知部の後ろに設けているのは、対処を行う機能部を、検知を行う機能部の手前(イングレス側)に置いた場合、検知を行う機能部に対処後のトラヒックが流れ込むこととなって攻撃の終了を検知しづらくなり、ひいては対処処理の解除処理が難しくなるためである。
Specifically, in the L4 unspecified detection unit that is the third functional unit, traffic is detected based on information below
L4不特定検知部では、レイヤ5攻撃トラヒック(またはレイヤ6、7攻撃トラヒック)と正当トラヒックとを明確に区別する必要があるが、それには、L4不特定検知部において検知するトラヒックに、レイヤ4以下の処理をターゲットとする攻撃トラヒックなどの余計なトラヒックが含まれていないことが必要である。そこで、1番目の機能部であるスタティックパケットフィルタリング部と2番目の機能部であるTCPインターセプト部において、3番目の機能部であるL4不特定検知部が検知処理を行う上で余計なものとなるトラヒックの排除を行っている。
In the L4 unspecified detection unit, it is necessary to clearly distinguish layer 5 attack traffic (or
本発明のアプリケーションサービス拒絶攻撃防御方法は、IPネットワーク内に設置されるエンドノードを、エンドノードのレイヤ5以上の処理をターゲットとするTCP上のDoS攻撃またはDDoS攻撃から防御するためのアプリケーションサービス拒絶攻撃防御方法であって、エンドノードを収容するエッジノードのエンドノードへの出口回線に設置されたファイアウォール装置が、レイヤ4以下のフィールド情報を基にフィルタリングを行う第1の処理と、第1の処理の後、エンドノードの代理でTCPの処理を一旦終端し、3ウェイ−ハンドシェーク処理を行ってからエンドノードへトラヒックを転送する第2の処理と、第2の処理によってエンドノードへ転送されるトラヒックであってエンドノードのアドレスを送信先アドレスとするトラヒックを発信元アドレスごとに監視し、レイヤ4以下の情報に基づいて攻撃を検知し対処を依頼する第3の処理と、第3の処理からの依頼により指定されたフローに対してトラヒックの制限(フィルタリングやレート制限など)を行う第4の処理と、を実行する。
The application service rejection attack prevention method of the present invention is an application service rejection for protecting an end node installed in an IP network from a DoS attack on TCP or a DDoS attack targeting a process of layer 5 or higher of the end node. The attack prevention method is a first process in which a firewall device installed in an exit line to an end node of an edge node that accommodates an end node performs filtering based on field information of
本発明によれば、レイヤ5以上の処理に対するDoS/DDoS攻撃を検知するための全ての処理をパケットのレイヤ4以下の情報のみの検知により行うことで、高スループットを実現することが可能となり、またネットワーク内でそれらの処理を行うことができるようになる、という効果が得られる。また、DoS/DDoS攻撃に際し、エンドノードだけでなく、パケット集中などからネットワークも保護することが可能となる。
According to the present invention, it is possible to realize high throughput by performing all the processing for detecting a DoS / DDoS attack on processing of layer 5 or higher by detecting only information on
本発明のアプリケーションサービス拒絶攻撃防御方法は、ファイア装置単独で実行できるので、既存のネットワークに対してそのようなファイアウォール装置1台を挿入するだけの実装で済むこととなり、コスト等の面で優れている。また、対処処理設定後の攻撃トラヒックについても検知できる仕組みとなっているため、解除契機を高精度に検出することができ、サービス性、保守性に優れた方法となっている。 Since the application service rejection attack protection method of the present invention can be executed by a fire device alone, it is only necessary to insert one such firewall device into an existing network, which is excellent in terms of cost and the like. Yes. In addition, since the attack traffic after setting the countermeasure processing can be detected, the release trigger can be detected with high accuracy, and the method is excellent in serviceability and maintainability.
次に、本発明の好ましい実施の形態について図面を参照して説明する。 Next, a preferred embodiment of the present invention will be described with reference to the drawings.
図1は、本発明のアプリケーションサービス拒絶攻撃防御方法が適用されるネットワークの構成の一例を示す図である。ここでは、エンドノードの例としてSIPサーバ、SMTPサーバそれぞれ一台ずつを、TCP(transmission control protocol)上のDoS/DDoS攻撃から防御する場合について説明する。 FIG. 1 is a diagram showing an example of a network configuration to which an application service denial attack protection method of the present invention is applied. Here, as an example of an end node, a case will be described in which one SIP server and one SMTP server are each protected from a DoS / DDoS attack on TCP (transmission control protocol).
ISP(インターネットサービスプロバイダ)のコアネットワーク10が設けられており、このコアネットワーク10の縁(エッジ)の部分には、それぞれ、エッジルータ1,2が設けられている。エッジルータ1は、防御対象であるSIPサーバ4及びSMTPサーバ5を収容するものであって、エッジルータ1のサーバ4,5側への出口回線には、エッジルータ1の出口インタフェース8を介して、インラインに、ファイアウォール装置3が挿入され接続されている。SIPサーバ4は、ISP内でSIP(Session Initiation Protocol)をプロトコル制御する制御サーバであり、同様にSMTPサーバ5は、ISP内でSMTP(Simple Mail Transfer Protocol)及びPOP3(Post Office Protocol 3)をプロトコル制御する制御サーバである。エッジルータ2には、SIPサーバ4及びSMTPサーバ5に収容されているユーザ端末6,7が接続している。
An ISP (Internet Service Provider)
図2は、ファイアウォール装置3の構成を示すブロック図である。ファイアウォール装置3は、イングレス側(エッジルータ1に接続する側)からエグレス側(防御対象のSIPサーバ4及びSMTPサーバ5に接続する側)に向けて、レイヤ4以下のフィールド情報を基にフィルタリングを行うスタティックパケットフィルタリング部11と、各サーバ4,5の代理でTCPの処理を一旦終端し、3ウェイ−ハンドシェーク処理を行ってからそのサーバへトラヒックを転送するTCPインターセプト部12と、各サーバ4,5のアドレスを送信先アドレスとするトラヒックを発信元アドレスごとに監視し、レイヤ4以下の情報を基にDoS/DDoS攻撃を検知し対処を依頼するL4不特定検知部13と、L4不特定検知部13からの依頼により指定されたフローに対しフィルタリングまたはレートリミットの設定を行うL4ACL/レート制限ダイナミック設定部14とが、ファイアウォール装置3内のバスを介して直列に接続した構成を有する。L4不特定検知部13は、例えば、トラヒック量が一定のしきい値を越えた場合に、上述した依頼として、そのフローのフィルタリングまたはレートリミットをL4ACL/レート制限ダイナミック設定部14に命令するなどの処理を行う。
FIG. 2 is a block diagram showing the configuration of the
具体的には、スタティックパケットフィルタリング部11は、イングレス側から入力したパケットのIPヘッダ及びTCPヘッダ情報を基に、トラヒックのフィルタリングを行う。例えば、UDP(User Datagram Protocol)パケット、ICMP(Internet Control Message Protocol)パケット、TCPパケットのうち、防御対象のサーバ4,5が処理対象とするプロトコルの予約済みポート番号を持たないパケットについては、破棄される。どのポート番号のパケットを通すかは、保守者(ファイアウォール装置の管理者)によって設定される。これにより、UDPフラッド(洪水)やICMPスキャンなどの攻撃トラヒックを排除できる。これは、低レイヤでのDoS/DDoS攻撃を防御する従来のファイアウォール装置にも一般的に設けられている機能である。IPはレイヤ3のプロトコルであり、TCPはレイヤ4のプロトコルであるから、スタティックパケットフィルタリング部11は、レイヤ4以下のフィールド情報に基づいてフィルタリングを行っていることになる。
Specifically, the static
TCPインターセプト部12は、TCPをステートフル(stateful)に検知し、TCP−SYNフロッド(洪水)やTCPポートスキャンなどのTCPを基調とする攻撃パケットを廃棄するばかりでなく、TCPシーケンスの正常性を確認してからパケットを転送する。TCPシーケンスの正常性を確認するので、発信元アドレスを詐称したパケットもここで廃棄され、詐称アドレスパケットについてもここで防御されることになる。TCPはレイヤ4のプロトコルであるから、TCPインターセプト部12は、レイヤ4以下の情報に基づいてレイヤ4での処理を行っていることになる。
The
L4不特定検知部13は、レイヤ4以下の情報を基にDoS/DDoS攻撃の検出を行い、検出されたDoS/DDoS攻撃フローについてフィルタリングまたはレート(転送速度)制限の対処を行うように、L4ACL/レート制限ダイナミック設定部14へ命令する。ここではL4不特定検知部13による、攻撃検知とL4ACL/レート制限ダイナミック設定部14への設定の指示とをまとめて、検知・設定連携機能と呼ぶ。L4不特定検知部13は、例えば、予め設定されたエンドノード(サーバ)への各ユーザ端末(あるいは他のノード)からのトラヒックを発信元アドレスごとに検知しそのトラヒック量がしきい値を上回ったときにDoS/DDoS攻撃と判断し、DoS/DDoS攻撃を検出する。
The L4
L4ACL/レート制限ダイナミック設定部14は、L4不特定検知部13からの命令にしたがってフィルタリングあるいはレート制限を行うことにより、結果として、レイヤ4以下のフィールドの値によってフィルタリングあるいはレート制限を行っている。スタティックパケットフィルタリング部11でのフィルタリングあるいはレート制限の設定は保守者によって行われるが、このL4ACL/レート制限ダイナミック設定部14でのフィルタリングあるいはレート制限の設定は、基本的には、L4不特定検知部13のみが行っている。すなわち、非常時に強制的に設定しなければならないという例外的な場合を除き、保守者は、L4ACL/レート制限ダイナミック設定部14に対するフィルタリングあるいはレート制限の設定を行わない。
The L4 ACL / rate limiting
さらに、ファイアウォール装置3には、各機能部(スタティックパケットフィルタリング部11、TCPインターセプト部12、L4不特定検知部13及びL4ACL/レート制限ダイナミック設定部14)で処理を行う際に用いられる値やパラメータを設定する設定部15と、保守者によってそれらの値やパラメータが入力されるキーボードやマウスなどの入力装置16と、それらの値やパラメータを設定するための画面を保守者に対し表示する表示装置17と、を備えている。ただし、L4ACL/レート制限ダイナミック設定部14に対する値の設定は、上述したように、ごく例外的な場合にしか行われない。
Further, the
次に、本実施形態の動作の説明に先立って、IPヘッダ及びTCPヘッダの構成と、SIP及びSMTPでの処理について説明する。 Next, prior to the description of the operation of the present embodiment, the configuration of the IP header and the TCP header and the processing in SIP and SMTP will be described.
図3は、IPヘッダー及びTCPヘッダーの各フィールドを示す。ここに示したIPヘッダ及びTCPヘッダの構成は、当業者には周知のものである。 FIG. 3 shows the fields of the IP header and the TCP header. The configurations of the IP header and the TCP header shown here are well known to those skilled in the art.
図4は、IP電話の中継に用いられTCP上のプロトコルであるSIP(RFC3261を参照)での処理を示すシーケンス図である。発呼側のユーザ端末から着呼側のユーザ端末に発呼する際の処理を示している。まず、発呼側のユーザ端末から、INVITE(インバイト)メッセージをSIPサーバに送ると(ステップ401)、SIPサーバは、INVITEメッセージを着呼側のユーザ端末に送り(ステップ402)、続いて、Tryingメッセージを発呼側のユーザ端末に送る(ステップ403)。着呼側のユーザ端末は、SIPサーバに、Tryingメッセージを送り(ステップ404)、引き続いて、呼び出し音に相当するRingingメッセージを送る(ステップ405)。これを受けてSIPサーバは、Ringingメッセージを発呼側のユーザ端末に送る(ステップ406)。着呼側のユーザ端末は、着呼の準備ができるとOKメッセージをSIPサーバに送り(ステップ407)、これを受けてSIPサーバは、OKサーバを発呼側のユーザ端末に送る(ステップ408)。OKメッセージを受け取ると発呼側の端末はACK(肯定応答)メッセージをSIPサーバに送り(ステップ409)、SIPサーバはACKメッセージを着呼側のユーザ端末に送信する(ステップ410)。 FIG. 4 is a sequence diagram showing processing in SIP (see RFC3261), which is a TCP protocol used for relaying IP telephones. The figure shows processing when a call is made from a calling user terminal to a called user terminal. First, when an INVITE message is sent from the calling user terminal to the SIP server (step 401), the SIP server sends an INVITE message to the called user terminal (step 402). A Trying message is sent to the calling user terminal (step 403). The called user terminal sends a Trying message to the SIP server (step 404), and then sends a Ringing message corresponding to the ringing tone (step 405). In response, the SIP server sends a Ringing message to the calling user terminal (step 406). When the user terminal on the called side is ready for the incoming call, it sends an OK message to the SIP server (step 407). In response, the SIP server sends the OK server to the user terminal on the calling side (step 408). . Upon receiving the OK message, the calling terminal sends an ACK (acknowledgment) message to the SIP server (step 409), and the SIP server sends the ACK message to the called user terminal (step 410).
以上の処理により、発呼側と着呼側のユーザ端末間の接続経路が確立するから、発呼側と着呼側のユーザ端末間での通信が開始する(ステップ411)。通信が終了すると、終話を伝えるBYEメッセージが発呼側のユーザ端末からSIPサーバに送られ(ステップ412)、SIPサーバはBYEメッセージを着呼側のユーザ端末に送る(ステップ413)。これを受けて着呼側のユーザはOKメッセージをSIPサーバに送り(ステップ414)、SIPサーバがOKメッセージを発呼側のユーザ端末に送る(ステップ415)。以上により、一連の呼の処理が終了する。 With the above processing, since a connection path between the calling and called user terminals is established, communication between the calling and called user terminals starts (step 411). When the communication is completed, a BYE message that conveys the end of the call is sent from the calling user terminal to the SIP server (step 412), and the SIP server sends the BYE message to the called user terminal (step 413). In response, the called user sends an OK message to the SIP server (step 414), and the SIP server sends an OK message to the calling user terminal (step 415). Thus, a series of call processing ends.
図5は、電子メールの中継に用いられTCP上のプロトコルであるPOP3(RFC1939ほかを参照)での処理を示すシーケンス図である。 FIG. 5 is a sequence diagram showing processing in POP3 (see RFC 1939 et al.), Which is a TCP protocol used for relaying electronic mail.
SMTPサーバ内にユーザ向けの電子メールメッセージが既に蓄積されているとして、ユーザ端末からSMTPサーバにUSERメッセージを送ると(ステップ501)、SMTPサーバはユーザ端末に+OKレスポンスを返し(ステップ502)、その後、ユーザ端末とSMTPサーバとの間で、ユーザ認証交換が行われ(ステップ503)、認証後、サーバ内のメッセージ情報の確認が行われる(ステップ504)。続いて、ユーザ端末はSMTPサーバからメッセージをダウンロードし(ステップ505)、ダウンロード後、ユーザ端末からSMTPサーバに対してメッセージ削除要求が行われる(ステップ506)。最後に、ユーザ端末からSMTPサーバに完了通知を送信し(ステップ507)、ユーザ端末とSMTPサーバのそれぞれで通信の切断処理が行われる(ステップ508)。 If an e-mail message for the user is already stored in the SMTP server and a USER message is sent from the user terminal to the SMTP server (step 501), the SMTP server returns a + OK response to the user terminal (step 502). The user authentication exchange is performed between the user terminal and the SMTP server (step 503), and after authentication, the message information in the server is confirmed (step 504). Subsequently, the user terminal downloads a message from the SMTP server (step 505), and after the download, a message deletion request is made from the user terminal to the SMTP server (step 506). Finally, a completion notification is transmitted from the user terminal to the SMTP server (step 507), and the communication disconnection processing is performed between the user terminal and the SMTP server (step 508).
このようにして、SMTPサーバからユーザ端末に電子メールのメッセージを取り込む処理が行われる。 In this way, processing for taking in an e-mail message from the SMTP server to the user terminal is performed.
次に、本実施形態のアプリケーションサービス拒絶攻撃防御方法の動作を説明する。ここでは、図1に示したネットワーク構成において、ユーザ端末6はDoS/DDoS攻撃トラヒックを発するユーザ端末であり、ユーザ端末7は正当なユーザ端末であるとする。SIPサーバ4は、TCP上のプロトコルであるSIPのサーバとして動作し、SMTPサーバ5は、TCP上のプロトコルであるPOP3のサーバとして動作するものとする。以下では、ユーザ端末6、7からSIPサーバ4やSMTPサーバ5へのトラヒックを「上りトラヒック」とし、「上りトラヒック」とは逆方向のトラヒックを「下りトラヒック」とする。
Next, the operation of the application service rejection attack protection method of this embodiment will be described. Here, in the network configuration shown in FIG. 1, it is assumed that the
ここで、ユーザ端末6は、各サーバ4,5に向けて、レイヤ5以上の処理を行うメッセージを多数送信し、サーバ4,5及びそこまでのネットワークを過負荷状態にし、ユーザ端末7を使用する正当なユーザがサービスを受けるのを妨害するものとする。
Here, the
本実施形態では、図1に示すように、エッジルータ1の出口インタフェース8へインラインにファイアウォール装置3を設置し、ここで、DoS/DDoS攻撃の検知・対処を行う。
In the present embodiment, as shown in FIG. 1, a
ファイアウォール装置3のスタティックパケットフィルタリング部11では、まず、設定部15によって、上りトラヒックに対して、「IPヘッダでは、発信元アドレス=SIPサーバのアドレス、プロトコルフィールド=6(TCP)、TCPヘッダでは、送信先ポート=5060(SIPプロトコルのウェルノーウン(周知;well-known)ポート)」及び「IPヘッダでは、発信元アドレス=SMTPサーバのアドレス、プロトコルフィールド=6(TCP)、TCPヘッダでは、送信先ポート=110(POP3プロトコルのウェルノーウンポート)」のみを通過可能とする設定を行う。これにより、UDPフラッド(洪水)やICMPフラッドなどの攻撃パケットは廃棄できる。
In the static
TCPインターセプト部12における具体的な処理シーケンスが図6に示されている。TCPインターセプト部12は、ユーザ端末とエンドノードとの間で3ウェイ−ハンドシェーク処理を行うものであるが、ユーザ端末からのTCP−SYNパケットを検知したとき(ステップ601)に、すぐには転送せず、一旦保留し、エンドノード(サーバ)の代理として、ユーザ端末にTCP−SYN+ACKパケットを返送する(ステップ602)。ユーザ端末が発信元アドレスを詐称してTCP−SYNパケットを送信していた場合には、このTCP−SYN+ACKパケットは、そのユーザ端末には届かない。
A specific processing sequence in the
ユーザ端末は、TCP−SYN+ACKパケットを受け取るとTCP−ACKパケットをファイアウォール装置に送信する(ステップ603)はずであるが、TCP−SYNフラッド攻撃を行っている場合には、TCP−ACKパケットを返さない。そこでTCPインターセプト部12は、ユーザ端末よりそのTCP−ACKパケットが帰ってきたときに、そのTCP−ACKパケットをすぐにはエンドノードには転送せず、まず、保留していたTCP−SYNパケットをエンドノードに転送する(ステップ604)。後は、エンドノードよりTCP−SYN+ACKパケットが返送されたとき(ステップ605)に、そのTCP−SYN+ACKパケットをユーザ端末へは転送せず、留めていたTCP−ACKパケットをエンドノードへ転送する(ステップ606)。その後、コネクションが確立すると、ユーザ端末はTCPデータを送信する(ステップ607)が、ファイアウォール装置3は、そのTCPデータをそのままエンドノードに転送する(ステップ608)。
When the user terminal receives the TCP-SYN + ACK packet, the user terminal should transmit the TCP-ACK packet to the firewall device (step 603). However, when the TCP-SYN flood attack is performed, the user terminal does not return the TCP-ACK packet. . Therefore, when the TCP-ACK packet is returned from the user terminal, the
このようにして、TCPインターセプト部12は、TCPセッションの状態を監視し、ユーザ端末からのシーケンスにそぐわないパケットを廃棄する。これによりユーザからの発信元アドレスを詐称したパケットは廃棄でき、また、不正なTCPパケットも廃棄できる。このことから、TCPインターセプト部12の段階で、TCPパケットを用いたほとんどのDoS/DDoS攻撃パケットを廃棄できる。
In this way, the
図7は、L4不特定検知部13での処理を示すフローチャートである。L4不特定検知部13は、ある発信元アドレスのトラヒックに関してL4ACL/レート制限ダイナミック設定部14に対してフィルタリングあるいはレート制限を命令した場合にその発信元アドレスを登録する設定テーブルを備えている。そしてL4不特定検知部13は、上りトラヒックについて、予め設定されたエンドノードへのユーザ端末からのトラヒックを発信元アドレスごとに検知し、攻撃の対象となるエンドノードについての、発信元アドレスごとに予め設定された単位時間T当たりのトラヒック量をその単位時間で割った値をCとする(ステップ701)。次に、検出された発信元アドレスが設定テーブルに登録されているかどうかを判定する(ステップ702)。ここで、発信元アドレスが設定テーブルに登録されていない場合には、値Cは予め設定されたしきい値Aを超えているかどうかを判定する(ステップ703)。Cがしきい値Aを超えている場合には、L4不特定検知部13は、その発信元アドレスをもつパケットをフィルタリングまたは予め指定されたしきい値Dでレート制限をかけるように、ファイアウォール装置3内のバスを介してL4ACL/レート制限ダイナミック設定部14へ命令し(ステップ704)、さらに、その発信元アドレスを設定テーブルに登録して(ステップ705)、その後、次のパケットの処理のために、ステップ701に戻る。ステップ703でCがしきい値Aを超えていない場合は、そのまま、ステップ701に戻る。
FIG. 7 is a flowchart showing processing in the L4
ステップ702において、その発信元アドレスが設定テーブルに登録されている場合、Cが予め設定されたしきい値Bを下回ったかどうかを判断する(ステップ706)。下回っていない場合には、ステップ701に戻り、下回っている場合には、L4不特定検知部13は、L4ACL/レート制限ダイナミック設定部14に対し、その発信元アドレスに設定した内容(フィルタリングあるいはレート制限)を解除するように命令し(ステップ707)、設定テーブルからその発信元アドレスを削除して(ステップ708)、ステップ701に戻る。同様に、ステップ702において、設定テーブルに登録されている発信元アドレスをもつパケットがその単位時間T内に検出されなかった場合には、L4不特定検知部13は、ステップ707に移行して、L4ACL/レート制限ダイナミック設定部14に対し、その発信元アドレスに設定した内容を解除するように命令する。
In
以上の処理において、ステップ701でのエンドノードの送信先アドレス、単位時間T、しきい値A,B,Dは、いずれも、保守者によって、送信先アドレスごと(エンドノードごと)に設定されるものである。
In the above processing, the end node transmission destination address, unit time T, and threshold values A, B, and D in
図8は、保守者が設定部15を用いてL4不特定検知部13に対して設定を行う際に、表示装置16上に表示される保守者設定画面21の一例を示している。図8に示したものでは、「対象エンドノード指定のIPアドレスとして、SIPサーバのアドレス、トラヒック検知単位時間T=1000msec、しきい値Aについては、1秒間にSIPプロトコルのINVITEメッセージを10個検知した場合に攻撃と判断することを前提として、INVITEメッセージ10個分(TCPなどの下位レイヤシーケンス分トラヒックも含む)のトラヒック量、しきい値Bとしては、しきい値Aの約80%としてINVITEメッセージ8個分のトラヒック量、検出時の対処処理としてはフィルタリングを選択」、及び「対象エンドノード指定のIPアドレスとして、SMTPサーバのアドレス、トラヒック検知単位時間T=1000msec、しきい値Aについては、1秒間にPOP3プロトコルのUSERメッセージを10個検知した場合に攻撃と判断することを前提として、USERメッセージ10個分(TCPなどの下位レイヤシーケンス分トラヒックも含む)のトラヒック量、しきい値Bとしては、しきい値Aの約80%としてUSERメッセージ8個分のトラヒック量、検出時の対処処理としてはフィルタリングを選択」の2つを予め設定している。このような設定を行うことにより、SIPサーバ、SMTPサーバへの攻撃が発生した場合、それらに対して自動的に防御し、攻撃終了時には自動的に解除することができる。
FIG. 8 shows an example of the maintenance person setting screen 21 displayed on the
L4ACL/レート制限ダイナミック設定部14は、上りトラヒックに対して、L4不特定検知部13で発見したDoS/DDoS攻撃フローについてフィルタリング(具体的には発信元アドレスに基づくフィルタリング)あるいはレート制限を行う。レート制限を選択する場合には、上述したように予め指定したしきい値Dを基にレート制限を行う。さらに、L4ACL/レート制限ダイナミック設定部14は、L4不特定検知部13がDoS/DDoS攻撃の終了を検出した場合に、それに基づいて、フィルタリングあるいはレート制限の設定の解除を行う。
The L4 ACL / rate limiting
このようにして本実施形態によれば、以上述べた構成のファイアウォール装置3にユーザ端末からエンドノードへのトラヒックを通すことにより、高精度にDoS/DDoS攻撃を検知・防御することができる。
According this way the present embodiment, by passing traffic to the end node from the user terminal to Faiau
以上説明したファイアウォール装置は、それを実現するためのコンピュータプログラムを、サーバ用コンピュータなどのコンピュータに読み込ませ、そのプログラムを実行させることによっても実現できる。そのようなプログラムは、CD−ROMなどの記録媒体によって、あるいは、ネットワークを介して、コンピュータに読み込まれる。そのようなコンピュータは、一般に、CPU(中央処理装置)と、プログラムやデータを格納するためのハードディスク装置と、主メモリと、キーボードやマウスなどの入力装置と、CRTなどの表示装置と、CD−ROM等の記録媒体を読み取る読み取り装置と、ネットワークと接続するためのインタフェースとから構成されている。このコンピュータでは、ファイアウォール装置を実現するためのプログラムを記録媒体から読み出しあるいはネットワークを介してダウンロードしてハードディスク装置に格納し、ハードディスク装置に格納されたプログラムをCPUが実行することにより、ファイアウォール装置として機能することになる。 The firewall device described above can also be realized by causing a computer program such as a server computer to read a computer program for realizing it and executing the program. Such a program is read into a computer by a recording medium such as a CD-ROM or via a network. Such a computer generally includes a CPU (Central Processing Unit), a hard disk device for storing programs and data, a main memory, an input device such as a keyboard and a mouse, a display device such as a CRT, a CD- It comprises a reading device that reads a recording medium such as a ROM, and an interface for connecting to a network. In this computer, a program for realizing the firewall device is read from a recording medium or downloaded through a network and stored in the hard disk device, and the CPU executes the program stored in the hard disk device to function as the firewall device. Will do.
1,2 エッジルータ
3 ファイアウォール装置
4 SIPサーバ
5 SMTPサーバ
6,7 ユーザ端末
8 出口インタフェース
10 コアネットワーク
11 スタティックパケットフィルタリング部
12 TCPインターセプト部
13 L4不特定検知部
14 L4ACL/レート制限ダイナミック設定部
15 設定部
16 入力装置
17 表示装置
21 保守者設定画面
DESCRIPTION OF
Claims (11)
前記エンドノードを収容するエッジノードの該エンドノードへの出口回線に設置されたファイアウォール装置が、レイヤ4以下のフィールド情報を基にフィルタリングを行う第1の処理と、前記第1の処理の後、前記エンドノードの代理でTCPの処理を一旦終端し、3ウェイ−ハンドシェーク処理を行ってから前記エンドノードへトラヒックを転送する第2の処理と、前記第2の処理によって前記エンドノードへ転送されるトラヒックであって前記エンドノードのアドレスを送信先アドレスとするトラヒックを発信元アドレスごとに監視し、レイヤ4以下の情報に基づいて攻撃を検知し対処を依頼する第3の処理と、前記第3の処理からの依頼により指定されたフローに対してトラヒックの制限を行う第4の処理と、
を実行する、アプリケーションサービス拒絶攻撃防御方法。 An application service denial-of-service attack defense method for protecting an end node installed in an IP network from a DoS attack or a DDoS attack on TCP targeting a process of layer 5 or higher of the end node,
A firewall apparatus installed in an exit line to the end node of the edge node accommodating the end node performs filtering based on field information of layer 4 or lower, and after the first process, A TCP process is temporarily terminated on behalf of the end node, a three-way handshake process is performed, and then a second process for transferring traffic to the end node and a transfer to the end node by the second process A third process of monitoring traffic for each source address, the traffic having the address of the end node as a destination address, detecting an attack based on information of layer 4 and below, and requesting a countermeasure; A fourth process for restricting traffic to the flow designated by the request from the process;
An application denial-of-service attack defense method is executed.
前記エンドノードを収容するエッジノードの該エンドノードへの出口回線に設置されたファイアウォール装置を有し、
前記ファイアウォール装置は、
該ファイアウォール装置のイングレス端に設けられ、レイヤ4以下のフィールド情報を基にフィルタリングを行うスタティックパケットフィルタリング部と、
前記スタティックパケットフィルタリング部を通過したトラヒックに対して前記エンドノードの代理でTCPの処理を一旦終端し、3ウェイ−ハンドシェーク処理を行ってから前記エンドノードへ前記トラヒックを転送するTCPインターセプト部と、
前記TCPインターセプト部により前記エンドノードへ転送されるトラヒックであって前記エンドノードのアドレスを送信先アドレスとするトラヒックを発信元アドレスごとに監視し、レイヤ4以下の情報を基にDoS/DDoS攻撃を検知し対処を依頼するL4不特定検知部と、
前記L4不特定検知部からの依頼により指定されたフローに対しトラヒックの制限を行うL4ACL/レート制限ダイナミック設定部と、
を有する、アプリケーションサービス拒絶攻撃防御システム。 An application denial-of-service attack defense system for protecting an end node installed in an IP network from a DoS attack on TCP or a DDoS attack targeting a process of layer 5 or higher of the end node,
A firewall device installed in an exit line to the end node of the edge node that accommodates the end node;
The firewall device is
A static packet filtering unit that is provided at the ingress end of the firewall device and performs filtering based on field information of layer 4 and below;
A TCP intercept unit that temporarily terminates TCP processing on behalf of the end node for traffic that has passed through the static packet filtering unit, performs a 3-way-handshake process, and then forwards the traffic to the end node;
The traffic intercepted by the TCP intercept unit to the end node and having the end node address as the destination address is monitored for each source address, and a DoS / DDoS attack is performed based on the information of the layer 4 and below. An L4 unspecified detection unit that detects and requests countermeasures;
An L4ACL / rate limiting dynamic setting unit that limits traffic to a flow designated by a request from the L4 unspecified detection unit;
An application service denial-of-service attack defense system.
レイヤ4以下のフィールド情報を基にフィルタリングを行う第1の処理、
前記第1の処理の後、前記エンドノードの代理でTCPの処理を一旦終端し、3ウェイ−ハンドシェーク処理を行ってから前記エンドノードへトラヒックを転送する第2の処理、
前記第2の処理によって前記エンドノードへ転送されるトラヒックであって前記エンドノードのアドレスを送信先アドレスとするトラヒックを発信元アドレスごとに監視し、レイヤ4以下の情報に基づいて攻撃を検知し対処を依頼する第3の処理、
前記第3の処理からの依頼により指定されたフローに対してトラヒックの制限を行う第4の処理、
を実行させるプログラム。 To a computer constituting a firewall device installed in an exit line to an end node of an edge node that accommodates an end node installed in an IP network,
A first process for performing filtering based on field information of layer 4 and below;
After the first process, a second process for temporarily terminating the TCP process on behalf of the end node, performing a three-way handshake process, and then forwarding traffic to the end node;
The traffic that is transferred to the end node by the second process and that has the end node address as the destination address is monitored for each source address, and an attack is detected based on information of layer 4 and below. The third process to request
A fourth process for restricting traffic to the flow designated by the request from the third process;
A program that executes
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004241262A JP4284248B2 (en) | 2004-08-20 | 2004-08-20 | Application service rejection attack prevention method, system, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004241262A JP4284248B2 (en) | 2004-08-20 | 2004-08-20 | Application service rejection attack prevention method, system, and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006060599A JP2006060599A (en) | 2006-03-02 |
JP4284248B2 true JP4284248B2 (en) | 2009-06-24 |
Family
ID=36107699
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004241262A Active JP4284248B2 (en) | 2004-08-20 | 2004-08-20 | Application service rejection attack prevention method, system, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4284248B2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102404334A (en) * | 2011-12-07 | 2012-04-04 | 山石网科通信技术(北京)有限公司 | Method and device for preventing denial of service attacks |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008028740A (en) * | 2006-07-21 | 2008-02-07 | Secure Ware:Kk | Communication control apparatus, communication control method, and computer program |
JP4840086B2 (en) * | 2006-11-06 | 2011-12-21 | 日本電気株式会社 | COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL SYSTEM, COMMUNICATION CONTROL METHOD, AND COMMUNICATION CONTROL PROGRAM |
US8286244B2 (en) * | 2007-01-19 | 2012-10-09 | Hewlett-Packard Development Company, L.P. | Method and system for protecting a computer network against packet floods |
JP5219903B2 (en) * | 2009-04-01 | 2013-06-26 | 三菱電機株式会社 | URL filtering apparatus and URL filtering method |
JP5659881B2 (en) * | 2011-03-08 | 2015-01-28 | 富士通株式会社 | Band control device, credit management server, and band control system |
JP5624973B2 (en) * | 2011-11-04 | 2014-11-12 | 株式会社日立製作所 | Filtering device |
JP5966488B2 (en) * | 2012-03-23 | 2016-08-10 | 日本電気株式会社 | Network system, switch, and communication delay reduction method |
JP6705590B2 (en) * | 2016-01-08 | 2020-06-03 | Necプラットフォームズ株式会社 | Packet filtering device, packet filtering method, and packet filtering program |
JP6949466B2 (en) * | 2016-08-24 | 2021-10-13 | Necプラットフォームズ株式会社 | Relay device, communication system, relay method, and relay program |
CN112311731A (en) * | 2019-07-29 | 2021-02-02 | 联合汽车电子有限公司 | Vehicle-mounted processor, vehicle-mounted controller and communication method |
EP4199439A1 (en) | 2020-08-12 | 2023-06-21 | Toyota Jidosha Kabushiki Kaisha | Communication device and communication method |
-
2004
- 2004-08-20 JP JP2004241262A patent/JP4284248B2/en active Active
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102404334A (en) * | 2011-12-07 | 2012-04-04 | 山石网科通信技术(北京)有限公司 | Method and device for preventing denial of service attacks |
Also Published As
Publication number | Publication date |
---|---|
JP2006060599A (en) | 2006-03-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4480422B2 (en) | Unauthorized access prevention method, apparatus, system, and program | |
US8370937B2 (en) | Handling of DDoS attacks from NAT or proxy devices | |
US8356349B2 (en) | Method and system for intrusion prevention and deflection | |
KR101045362B1 (en) | Active network defense system and method | |
US7620986B1 (en) | Defenses against software attacks in distributed computing environments | |
US8407342B2 (en) | System and method for detecting and preventing denial of service attacks in a communications system | |
US7930740B2 (en) | System and method for detection and mitigation of distributed denial of service attacks | |
AU2005207632B2 (en) | Upper-level protocol authentication | |
US7657938B2 (en) | Method and system for protecting computer networks by altering unwanted network data traffic | |
US20030065943A1 (en) | Method and apparatus for recognizing and reacting to denial of service attacks on a computerized network | |
JP2006517066A (en) | Mitigating denial of service attacks | |
WO2007062075A2 (en) | Smtp network security processing in a transparent relay in a computer network | |
KR20110089179A (en) | Network intrusion protection | |
JP4284248B2 (en) | Application service rejection attack prevention method, system, and program | |
JP2005229614A (en) | Method and apparatus for defendable from denial-of-service attack camouflaging ip transmission source address | |
JPWO2006040880A1 (en) | Denial of service attack defense system, denial of service attack defense method, and denial of service attack prevention program | |
JP4602158B2 (en) | Server equipment protection system | |
JP4278593B2 (en) | Protection method against application denial of service attack and edge router | |
JP3966231B2 (en) | Network system, unauthorized access control method and program | |
JP4322179B2 (en) | Denial of service attack prevention method and system | |
Armoogum et al. | Survey of practical security frameworks for defending SIP based VoIP systems against DoS/DDoS attacks | |
JP2006501527A (en) | Method, data carrier, computer system, and computer program for identifying and defending attacks against server systems of network service providers and operators | |
JP3784799B2 (en) | Attack packet protection system | |
JP2005130190A (en) | Defense system for attack packet | |
US11824831B2 (en) | Hole punching abuse |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060727 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080626 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080709 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080908 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090311 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090323 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120327 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130327 Year of fee payment: 4 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |