JP4373306B2 - Tcpステートレス・ホグによるtcpサーバに対する分散サービス妨害攻撃を防御する方法および装置 - Google Patents

Tcpステートレス・ホグによるtcpサーバに対する分散サービス妨害攻撃を防御する方法および装置 Download PDF

Info

Publication number
JP4373306B2
JP4373306B2 JP2004244509A JP2004244509A JP4373306B2 JP 4373306 B2 JP4373306 B2 JP 4373306B2 JP 2004244509 A JP2004244509 A JP 2004244509A JP 2004244509 A JP2004244509 A JP 2004244509A JP 4373306 B2 JP4373306 B2 JP 4373306B2
Authority
JP
Japan
Prior art keywords
tcp
hog
sequence number
network source
stateless
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004244509A
Other languages
English (en)
Other versions
JP2005073272A (ja
Inventor
リン ドング
Original Assignee
アルカテル−ルーセント ユーエスエー インコーポレーテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アルカテル−ルーセント ユーエスエー インコーポレーテッド filed Critical アルカテル−ルーセント ユーエスエー インコーポレーテッド
Publication of JP2005073272A publication Critical patent/JP2005073272A/ja
Application granted granted Critical
Publication of JP4373306B2 publication Critical patent/JP4373306B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、一般にインターネット・セキュリティの分野に関し、より詳細には、一定の形態の分散サービス妨害(DDoS)攻撃を防御する問題に関する。
関連出願への相互参照
本願は、先にD.Linによって2003年8月25日に出願された仮特許出願第60/497886号「Defense Against State Attacks On TCP Servers」の特典を主張するものである。
サービス妨害(DoS)攻撃は、限られたサーバ資源が正当なユーザにではなくアタッカに割り振られたときに、サービスの破壊を引き起こす。分散サービス妨害(DDoS)攻撃は、地理的に異なるインターネット・ノードから被害者に向けて、協調したDoS攻撃を送り出す。攻撃側マシンは通常、リモート・マスタによって制御される、損なわれたゾンビ・マシンである。通常攻撃対象となる資源は、リンク帯域幅、サーバ・メモリ、およびCPU時間を含む。分散DoS攻撃は、収束するトラフィックの全体的効果のためにさらに強力であり、特にアタッカがネットワーク・トポロジの内部知識を持っているときはそうである。「TCP SYNフラッド」、「スマーフIP ping」、およびルート・ネーム・サーバに対する帯域幅攻撃はすべて、以前に配置された攻撃の例である(こうした攻撃はそれぞれ当業者には周知であろう)。しかし、以前に知られていたよりもずっと多くの攻撃が実際には存在していたことが報告されている。
資源枯渇を阻止するようにサーバ・オペレーティング・システムを改良する多数の手法が存在する。その一部では、(当業者に周知の)ステートフル・ハンドシェーク・プロトコルに対する攻撃からサーバを保護するために、より良好なネットワーク・プロトコル設計原理が考慮されている。IPトレース・バックは別の周知の手法である。IPトレース・バックは、攻撃パケットをその発信元までたどるようネットワーク全体で協調する作業である。しかし、このような手法は明らかに、ネットワーク全体での協働および協調を必要とする。
実際に、以前の多くの攻撃は、入口フィルタリングがインターネット全体に配置されていた場合、またはソース・アドレス検証プロトコルが広く使用されていた場合、完全に防ぐことができたはずである。また、最近の帯域幅攻撃の多くの被害者は、非スプーフICMP応答パケットによってフラッディングされたが、対応するICMPエコー要求はすべてスプーフされた(当業者には周知のように、「スプーフされた」パケットとは、ソース・アドレスが虚偽であるか誤っているものである)。監視およびネットワーク輻輳制御のために、署名によるヒューリスティック・ベースの帯域幅攻撃検出も考慮された。例えば、提案された一手法では、着信パケットがUDP、TCP、TCP SYN、およびCGIの各カテゴリに分類され(各カテゴリは、完全に当業者には周知である)、次いでクラス・ベースのレート制御および重み付きフェア・キューイングが実施される。
さらに、DDoS攻撃ツールは、時間と共に変化し、進化する傾向がある。例えば、出口フィルタリングが広く配置されると共に、アタッカは、疑いなく、オープンのままにされる可能性が最も高いドア(例えば、TCP、DNS)を利用することになる。攻撃署名は、検出を逃れるために変化または消滅する可能性がある。したがって、精巧な将来の攻撃は、正当なものとほとんど区別できなくなる可能性が高い。したがって、この問題に対して、フィルタリング・ベースの手法単独では、非効率であるだけでなく不十分である。多くの偽の正量(false positive)により、研究者は、新しいヒューリスティックスを求めて最初からやり直すことを余儀なくされる。
TCPサーバに対するDDoS攻撃の特定の一タイプは、目標とするサーバのメモリが枯渇し、したがって正当なユーザからサービス要求を受諾することができなくなるまで、目標とするサーバとの新しいTCP接続を連続的に作成することによって送り出される可能性がある(当業者には周知のように、TCPは周知の国防総省標準伝送制御プロトコルである。例えば「Transmission Control Protocol」(Defense Advanced Research Projects Agency向けにInformation Sciences Instituteで作成)J.Postel編、Request for Comments(RFC)793、1981年9月、「www.faqs.org/rfcs/rfc793.html」を参照されたい。RFC 793は、本明細書にあたかも完全に記載されているかのように参照により本明細書に組み込まれる)。このような攻撃の有害な効果は、確立された各TCP接続が必然的にTCPサーバ上に状態を作成し、したがってこうした状態を格納するために割り当てられたメモリ量が、オープン接続の総数に比例することに起因する。このような攻撃は従来「Naptha」と呼ばれ、当業者に周知であるが、本明細書ではより一般的に「TCPステートレス・ホグ」攻撃と呼ぶことにする。
仮特許出願第60/497886号 「Transmission Control Protocol」prepared for Defense Advanced Research Projects Agency by Information Sciences Institute、J.Postel編、Request for Comments(RFC)793、1981年9月、「www.faqs.org/rfcs/rfc793.html」 「Requirements for Internet Hosts − Communication Layers」、Internet Engineering Task Force,R.Braden編、Network Working Group、Request for Comments(RFC)1122、セクション4.2.3.6、1989年10月、「www.faqs.org/rfcs/rfcll22.html」
TCPステートレス・ホグ(すなわちNaptha)攻撃の周知の防御法は存在しない。しかし、TCPキープ・アライブ機構が、インターネット・コミュニティの公式の仕様として当業者に周知である。例えば「Requirements for Internet Hosts − Communication Layers」、Internet Engineering Task Force,R.Braden編、Network Working Group、Request for Comments(RFC)1122,セクション4.2.3.6、1989年10月、「www.faqs.org/rfcs/rfcll22.html」を参照されたい(RFC 1122のセクション4.2.3.6は、本明細書にあたかも完全に記載されているかのように参照により本明細書に組み込まれる)。有利には、このキープ・アライブ機構は、クライアントがネットワーク障害中に接続をクラッシュまたは異常終了した場合に、普通なら無限にハングして不必要に資源を消費する可能性のあるサーバ・アプリケーションで呼び出すことができる。このようなキープ・アライブ機構は、攻撃の進行中に、原理上はTCPサーバを軽減するのに使用することができるが、アタッカが多くのコストを払わなくとも容易に覆される可能性がある。
本発明者は、有利には、RFC 1122によって与えられるキープ・アライブ機構を、TCPステートレス・ホグを効果的に検出してそれを覆す仕方で修正(すなわち強化)することができることを理解した。具体的には、本発明の原理によれば、TCPサーバが、可能なアタッカから新しいTCP接続要求を受信する。次いで、有利には、キープ・アライブ・プローブ・パケットがTCPサーバによって潜在的アタッカに送信されるが、本発明の原理によれば、「無効」シーケンス番号を使用してパケットが送信される。本発明の例示的一実施形態によれば、有利には、この「無効」シーケンス番号は、実際の現シーケンス番号からかなり離れるように選択された乱数を含む。最後に、応答パケットを潜在的アタッカから受信したとき、TCPサーバが、受信したパケット中の肯定応答番号の正確さを検証し、それによって潜在的アタッカがTCPステートレス・ホグである可能性があるか否かを判定する。
図1に、本発明の例示的実施形態によるTCPステートレス・ホグ防御機構を組み込むDDoSゲートウェイの機能ブロック図を示す。有利には、この例示的DDoSゲートウェイは、保護すべきリンクから1ホップ上流側のネットワーク・エッジに配置される。例示的ゲートウェイの動作の際には、まず、コアから到来するパケットがディスパッチ・モジュール11によってディスパッチされ、TCPパケットが互いに分離される(非TCPパケットは非TCPモジュール12によって処理される)。ゲートウェイの前の状態を有する各データ・パケットは、検査モジュール13によって決定される一定のバッファ管理ポリシーの対象となる様々なキューに分類することができる。しかしSYNパケットは、転送すべき前の状態を必要とせず、したがって、有利には、接続モジュール14によって別々に処理される。次いで、データ・パケット、SYNパケット、および非TCPプロトコルからのパケットが、FlowQモジュール15により、保護されるリンク上に出現するようにスケジュールされる。逆方向については、TCPサーバからのパケットが、ウォッチ・モジュール16によって検査され、コアからの着信パケットをさらに処理するためのステートフル情報を提供する。有利には、本発明の例示的実施形態による、以下で詳細に説明するTCPステートレス・ホグ検出機構は、ウォッチ・モジュール16に組み込まれる。
当業者には完全に周知であるように、RFC 1122のセクション4.2.3.6に記載のTCPキープ・アライブ機構は通常、クライアントがネットワーク障害中に接続をクラッシュまたは異常終了した場合に、普通なら無限にハングして不必要に資源を消費する可能性のあるサーバ・アプリケーションで呼び出される。具体的には、データまたは肯定応答パケット(ACKとも呼ばれる)が期間内の接続に関して受信されたときに、キープ・アライブ・パケットを所与の接続に送信することができる。それに応答して、キープ・アライブ・パケットの受信側は、肯定応答パケット(ACK)を送り返すと予想される。本発明の原理によれば、有利には、まさにこの機構を使用して、攻撃の進行中に、TCPサーバを軽減することができる。
しかし、RFC 1122に記載のキープ・アライブ機構は、アタッカが多くのコストを払わなくともTCPステートレス・ホグによって容易に覆される可能性がある。具体的には、通常はそれ自体がブレークインの被害者である攻撃側マシンは、単に適切なACKでキープ・アライブ・プローブに応答することができ、サーバが接続をクローズすることを実質上防止する。具体的には、アタッカは単に、「シーケンス番号」および「肯定応答番号」のフィールドを切り換えることにより、受信したキープ・アライブ・パケットから直接、戻りACK(肯定応答パケット)を作成する。それによって、攻撃側ホスト上で必要なメモリは一定となり、攻撃のために作成されるTCP接続の数と無関係となる。
しかし、本発明の原理およびその例示的実施形態によれば、有利には、TCPキープ・アライブ機構が、TCPステートレス・ホグ攻撃を効果的に検出してそれを覆す仕方で修正される。本発明の例示的一実施形態によれば、本発明の技法を、新しいTCP実装または既存のTCP実装に直接適合させることができる。本発明の別の例示的実施形態によれば、本発明の技法を、DDoSゲートウェイ中のネットワーク・エッジに配置して、レガシー・システムを保護することができる。
当業者に完全に周知であるかのようであるが、キープ・アライブ・プローブ・パケットはとりわけ、サーバからクライアントに送信された最後のデータ・オクテットに対応するシーケンス番号を含む。クライアントは、同じオクテットと一致して、肯定応答で応答すると予想される。したがって、上述のように、キープ・アライブ・プロセスに何らかの修正がない場合、アタッカは単に、シーケンス番号をコピーすることによってプローブに回答することができる。
しかし本発明の原理によれば、有利には、「無効」番号が、キープ・アライブ・プローブ・パケット中のシーケンス番号として使用される。具体的には、TCPの仕様(すなわちRFC 793)によれば、肯定応答セグメントが、現送信シーケンス番号と、受信されると予想される次のシーケンス番号を示す肯定応答を含むことに留意されたい。TCPシーケンス番号は32ビット符号なし整数であり、ラップ・アラウンドするので、任意の番号を原理上は有効な番号とすることができる。しかし、1つの可能な「無効」番号は、初期シーケンス番号から1を引いたものである(これはある意味では、「最も可能性の低い」有効番号、すなわち「最も可能性の高い」無効番号である)。したがって、本発明の例示的一実施形態によれば、初期シーケンス番号から1を引いたものが、送信されるキープ・アライブ・パケット中の「無効」シーケンス番号として使用される。
しかし、任意の固定数または固定の(すなわち決定性の)アルゴリズムによって生成された数は、使用されている特定のアルゴリズムをアタッカが知っている場合にアタッカによって潜在的に推測される可能性があることに留意されたい。したがって、本発明の別の好ましい例示的実施形態によれば、有利には、「無効」シーケンス番号がランダムに(すなわち、乱数発生器を使用して)選ばれる。さらに、この好ましい実施形態によれば、接続で現在使用されている可能性のある数との潜在的な混乱を回避するために、有利には、選択空間が可能な限り現シーケンス番号から離れるように選択空間を定義することができる。例えば、TCP接続が、1度のラウンド・トリップのうちに32ビット整数空間を使い果たす可能性は極めて低い。したがって、本発明の好ましい例示的実施形態によれば、有利には、以下の式を使用して、ランダムに選んだ「無効」シーケンス番号「keep−alive.seq」を選択する。
keep−alive.seq=snd_una−230−random(220)(1)
上式で、「snd_una」は、最小の未承認送信側シーケンス番号(すなわち、最大の承認シーケンス番号に1を加えたもの)であり、「random(220)」は、ゼロと2の20乗の間に一様に分布するランダムに生成した整数を表す。具体的には、上記の式(1)が32ビット符号なし整数を生成し、したがって計算で生じるアンダーフローおよびオーバーフローがラップ・アラウンドすること、すなわち演算はすべて232を法として実施されることに留意されたい。
有効な肯定応答の構築は、正当かつ適合するTCP実装で行われるのと同様に、応答側ホスト上の状態を維持することを必要とすることに留意されたい。TCP仕様(すなわちRFC 793)は肯定応答セグメントが現送信シーケンス番号と、受信されると予想される次のシーケンス番号を示す肯定応答を含むことを必要とするので、すべての適合するTCP実装は、最後のシーケンス番号で応答するように規定される。TCPステートレス・ホグ・プログラムは、正しい応答を生成することができない。どんな不正確な応答も、TCPサーバおよびDDoSゲートウェイで容易に検出することができる。したがって、有利には、こうした不正確な応答回答に関連する接続を100%の精度で除去することができる。
具体的には、本発明の例示的実施形態によれば、例示的DDoSゲートウェイが、TCP接続の確立を開始したネットワーク・ソースに、前述のように無効シーケンス番号を含むキープ・アライブ・パケットを送信する。次いで、例示的DDoSゲートウェイは、ネットワーク・ソースから受信した(または受信しなかった)応答に基づいて以下のように動作する。
1.ネットワーク・ソースがキープ・アライブ・パケットに応答することに失敗した場合、通常通り、かつキープ・アライブ機構の規格で指定される通りに、接続がタイムアウトとなり、システムから除去される。これは、「デッド(dead)」接続の結果であるか、またはネットワーク・ソースが実際にTCPステートレス・ホグであり、応答するように(または応答できるように)プログラムされないことの結果であることのいずれかである可能性があることに留意されたい。
2.ネットワーク・ソースが「正しい」ACK(すなわち、「正しい」肯定応答番号が含まれる肯定応答パケット)で応答した場合、接続は有効であり(すなわち、ネットワーク・ソースがTCPステートレス・ホグではないとみなすことができ)、未修正のまま維持される。
3.ネットワーク・ソースが不正確なACK(すなわち、「不正確な」肯定応答番号が含まれる肯定応答パケット)で応答した場合、接続は疑いなく無効な接続である(例えば、ネットワーク・ソースはTCPステートレス・ホグである)。したがって、本発明の例示的実施形態によれば、この場合、有利には、接続がシステムから除去される。
具体的には、キープ・アライブ・パケットに対する正しい応答は一般に、(snd_una−1)に等しい肯定応答番号、またはパケットが通過中に並び替えられる場合にはわずかに小さい値に等しい肯定応答番号を搬送すべきである。したがって、有利には、「正しい」肯定応答番号は、値「snd_una」(すなわち最小の未承認送信側シーケンス番号)に近い任意の数とみなすことができ、一方、有利には、「不正確な」肯定応答番号は、「snd_una」から遠距離の任意の値とみなすことができる。有利には、式(1)中の項「230」の減算は、値「snd_una」とキープ・アライブ・パケット中に含まれるシーケンス番号との間にそのような遠距離を生み出すために使用される。
本発明の例示的一実施形態によれば、返されたACK中に含まれる肯定応答番号が(snd_una−W)から(snd_una)の範囲内にない場合、ネットワーク・ソースがTCPステートレス・ホグであるとみなされ、有利には、接続が除去される。項Wは、有利には過渡的out of orderパケットが存在する状態を可能にする小さい定数である。例示的には、Wの最大値は、例えば前のTCP輻輳ウィンドウ・サイズに等しく設定することができる(当業者に周知のTCP輻輳ウィンドウは、上記で参照したTCP標準RFC 793の一部として定義される)。接続がある期間アイドル状態であった場合、有利には、Wを値ゼロに設定できることに留意されたい。
本発明の別の例示的実施形態によれば、動的ホスト毎(あるいはサブネット毎)アイドル接続限界を実施することによって上述の方法が強化される。具体的には、この特定の例示的実施形態によれば、ホスト毎またはサブネット毎のアイドル接続の総数が、リアル・タイムで監視され分類される。アイドル接続の総数が所定の限界を超えたとき、有利には、最もアイドルである接続を有するホストまたはサブネットからの接続を、新しく到来する接続に置き換える。
図2に、本発明の例示的実施形態によるTCPステートレス・ホグを防御する方法のフローチャートを示す。まずブロック21で、ネットワーク・ソースからTCP接続要求を受信し、それに応答してTCP接続を確立する。次いでブロック22では、本発明の原理による、上記で例示的に説明した無効シーケンス番号を含むキープ・アライブ・パケットを、与えられたTCP接続の確立を開始したネットワーク・ソースに送信する。例示的フローチャートのブロック23では、キープ・アライブ・パケット(すなわちACK)に対する応答を待ち、タイムアウトが生じた場合(すなわち、応答パケットを適切な所定の期間内に受信しなかった場合)、フローはブロック25に進み、(通常通り)与えられたTCP接続を終了する。そうでない場合、ブロック24で応答パケットの内容を検査して、(例えば上記で定義したように)肯定応答番号が「正しい」か、それとも「不正確」であるかを判定する。正しい場合、フローはブロック26に進み、接続を維持する(すなわち、有効とみなす)。しかし、不正確である場合、フローはブロック25に進み、接続が、TCPステートレス・ホグによって確立されたか、または単にデッド接続であると推定されるので、与えられたTCP接続を終了する。
詳細な説明の補足
上記の議論のすべては、単に本発明の一般的原理を例示するに過ぎないことに留意されたい。本明細書で明示的に説明または図示していないが、本発明の原理を具体化し、本発明の精神および範囲内に含まれる様々な他の構成を、当業者が考案できることを理解されよう。さらに、本明細書で引用したすべての例および条件付き言語は主に、読者が本発明の原理および本発明者等によって提供された概念を理解し、当技術分野を発展させる際の助けとなるように、明白に、教育的な目的のためだけに意図されるものであり、具体的に引用した例および条件に限定されないと解釈すべきである。さらに、本発明の原理、態様、および実施形態を引用する本明細書のすべての陳述ならびにその特定の例は、その構造的と機能的均等物を共に包含するものとする。このような均等物は、現在周知の均等物と将来開発される均等物、すなわち構造の如何に関わらず同じ機能を実施する、開発される任意の要素を共に含むものとする。
したがって例えば、任意のフローチャート、流れ図、状態遷移図、疑似コードなどが、実質上コンピュータ可読媒体として表すことができ、したがってコンピュータまたはプロセッサにより、そうしたコンピュータまたはプロセッサが明示的に示されているか否かに関わらず実行することのできる様々なプロセスを表すことを当業者は理解されよう。したがって、例えばそうしたフローチャートで示されるブロックは、潜在的に、例えばフローチャート・ブロックで説明したような特定の機能を指定する手段として本クレイムで表すことのできる物理的要素を表すと理解することができる。さらに、このようなフローチャート・ブロックは、例えば、ディスクや半導体記憶装置などの前述のコンピュータ可読媒体に含めることができる物理的信号または格納された物理的データを表すと理解することもできる。
本発明の例示的実施形態によるTCPステートレス・ホグ防御機構を組み込むDDoSゲートウェイの機能ブロック図を示す図である。 本発明の例示的実施形態によるTCPステートレス・ホグを防御する方法のフローチャートを示す図である。 本発明の例示的実施形態によるTCPステートレス・ホグを防御機構を組み込むDDoSゲートウェイにおける、SYNパケットの処理を示す図である。

Claims (9)

  1. TCPステートレス・ホグによって行われるサービス妨害攻撃を防御する方法であって、
    ネットワーク・ソースからTCP接続要求を受信し、それに応答してTCP接続を確立する工程と、
    前記TCP接続に関連するキープ・アライブ・パケットを前記ネットワーク・ソースに送信する工程であって、前記キープ・アライブ・パケットが無効シーケンス番号を有する工程と、
    前記ネットワーク・ソースから、前記TCP接続に関連する前記キープ・アライブ・パケットに対する応答を受信する工程と、
    前記受信した応答に基づいて、前記ネットワーク・ソースがTCPステートレス・ホグであるか否かを判定する工程とを含む方法。
  2. 前記無効シーケンス番号が、ランダムに生成された数に基づいて導出される請求項1に記載の方法。
  3. 前記無効シーケンス番号がさらに、現シーケンス番号に基づいて導出される請求項2に記載の方法。
  4. 前記無効シーケンス番号が、前記無効シーケンス番号が前記現シーケンス番号と数値的に隔たるよう保証する公式に基づいて導出される請求項3に記載の方法。
  5. 前記受信した応答が承認番号を有し、前記ネットワーク・ソースがTCPステートレス・ホグであるか否かを判定する前記工程が、前記承認番号を前記現シーケンス番号と比較する工程を含む請求項3に記載の方法。
  6. 前記ネットワーク・ソースがTCPステートレス・ホグであるか否かを判定する前記工程が、前記承認番号が前記現シーケンス番号から所定の数値距離内にないときに、前記ネットワーク・ソースがTCPステートレス・ホグであると判定する工程を含む請求項5に記載の方法。
  7. 前記ネットワーク・ソースがTCPステートレス・ホグであるか否かを判定する前記工程が、前記ネットワーク・ソースがTCPステートレス・ホグであると判定したとき、前記TCP接続を除去する工程をさらに含む請求項1に記載の方法。
  8. アイドル接続の数値カウントを維持する工程と、アイドル接続の前記数値カウントが所定のアイドル接続限界を超過したときに前記TCP接続を除去する工程とをさらに含む請求項1に記載の方法。
  9. TCPステートレス・ホグによって行われるサービス妨害攻撃を防御する装置であって、
    ネットワーク・ソースからTCP接続要求を受信し、それに応答してTCP接続を確立する手段と、
    前記TCP接続に関連するキープ・アライブ・パケットを前記ネットワーク・ソースに送信する手段であって、前記キープ・アライブ・パケットが無効シーケンス番号を有する手段と、
    前記ネットワーク・ソースから、前記TCP接続に関連する前記キープ・アライブ・パケットに対する応答を受信する手段と、
    前記受信した応答に基づいて、前記ネットワーク・ソースがTCPステートレス・ホグであるか否かを判定する手段とを備える装置。
JP2004244509A 2003-08-25 2004-08-25 Tcpステートレス・ホグによるtcpサーバに対する分散サービス妨害攻撃を防御する方法および装置 Expired - Fee Related JP4373306B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US49788603P 2003-08-25 2003-08-25
US10/668,952 US7404210B2 (en) 2003-08-25 2003-09-23 Method and apparatus for defending against distributed denial of service attacks on TCP servers by TCP stateless hogs

Publications (2)

Publication Number Publication Date
JP2005073272A JP2005073272A (ja) 2005-03-17
JP4373306B2 true JP4373306B2 (ja) 2009-11-25

Family

ID=34278568

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004244509A Expired - Fee Related JP4373306B2 (ja) 2003-08-25 2004-08-25 Tcpステートレス・ホグによるtcpサーバに対する分散サービス妨害攻撃を防御する方法および装置

Country Status (2)

Country Link
US (1) US7404210B2 (ja)
JP (1) JP4373306B2 (ja)

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7626940B2 (en) * 2004-12-22 2009-12-01 Intruguard Devices, Inc. System and method for integrated header, state, rate and content anomaly prevention for domain name service
US7602731B2 (en) * 2004-12-22 2009-10-13 Intruguard Devices, Inc. System and method for integrated header, state, rate and content anomaly prevention with policy enforcement
US20060221827A1 (en) * 2005-04-04 2006-10-05 International Business Machines Corporation Tcp implementation with message-count interface
US8006285B1 (en) * 2005-06-13 2011-08-23 Oracle America, Inc. Dynamic defense of network attacks
EP1999585A4 (en) * 2006-03-03 2012-01-25 New Jersey Tech Inst BEHAVIOR-BASED TRANSPORT DIFFERENTIATION FOR DEFENSE AGAINST DISTRIBUTED SERVICE REFUSAL ATTACKS
US8359646B2 (en) * 2007-07-12 2013-01-22 International Business Machines Corporation Ensuring security of connection between thin client and client blade
CN101588246B (zh) * 2008-05-23 2012-01-04 成都市华为赛门铁克科技有限公司 防范分布式阻断服务DDoS攻击的方法、网络设备和网络系统
US8275890B2 (en) * 2009-06-03 2012-09-25 International Business Machines Corporation Detecting an inactive client during a communication session
CN102045251B (zh) * 2009-10-20 2012-08-22 国基电子(上海)有限公司 路由器及tcp端口防御方法
US9923995B1 (en) 2010-02-27 2018-03-20 Sitting Man, Llc Methods, systems, and computer program products for sharing information for detecting an idle TCP connection
US9923996B1 (en) 2010-02-27 2018-03-20 Sitting Man, Llc Methods, systems, and computer program products for sharing information for detecting an idle TCP connection
US8219606B2 (en) * 2010-02-27 2012-07-10 Robert Paul Morris Methods, systems, and computer program products for sharing information for detecting an idle TCP connection
KR101258845B1 (ko) * 2011-10-10 2013-05-06 고려대학교 산학협력단 Tcp통신을 이용한 정보 저장방법 및 시스템
US8924573B2 (en) * 2012-03-12 2014-12-30 Microsoft Corporation Secure capability negotiation between a client and server
US8693335B2 (en) * 2012-03-22 2014-04-08 Avaya Inc. Method and apparatus for control plane CPU overload protection
CN102892135B (zh) * 2012-10-08 2015-06-10 中兴通讯股份有限公司 一种移动终端网络端口释放管理方法及装置
US9288227B2 (en) 2012-11-28 2016-03-15 Verisign, Inc. Systems and methods for transparently monitoring network traffic for denial of service attacks
US9973528B2 (en) 2015-12-21 2018-05-15 Fortinet, Inc. Two-stage hash based logic for application layer distributed denial of service (DDoS) attack attribution
CN105939325A (zh) * 2016-01-12 2016-09-14 杭州迪普科技有限公司 Tcp旁路阻断的方法及装置
US11057157B2 (en) * 2018-06-29 2021-07-06 Hewlett Packard Enterprise Development Lp Transmission frame counter
US11310265B2 (en) * 2020-02-27 2022-04-19 Hewlett Packard Enterprise Development Lp Detecting MAC/IP spoofing attacks on networks
CN112187793B (zh) * 2020-09-28 2022-09-16 绿盟科技集团股份有限公司 一种ACK Flood攻击的防护方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101147376A (zh) * 2005-02-04 2008-03-19 诺基亚公司 降低tcp洪泛攻击同时节省无线网络带宽的装置、方法和计算机程序产品

Also Published As

Publication number Publication date
JP2005073272A (ja) 2005-03-17
US20050060557A1 (en) 2005-03-17
US7404210B2 (en) 2008-07-22

Similar Documents

Publication Publication Date Title
JP4373306B2 (ja) Tcpステートレス・ホグによるtcpサーバに対する分散サービス妨害攻撃を防御する方法および装置
Bogdanoski et al. Analysis of the SYN flood DoS attack
Ambrosin et al. Lineswitch: Tackling control plane saturation attacks in software-defined networking
JP4517042B1 (ja) 偽のソース・アドレスを用いたポート・スキャンを検出するための方法、装置、およびプログラム
US7640338B2 (en) System and method for mitigation of malicious network node activity
US7818795B1 (en) Per-port protection against denial-of-service and distributed denial-of-service attacks
US20120227088A1 (en) Method for authenticating communication traffic, communication system and protective apparatus
KR20120060655A (ko) 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크
Kavisankar et al. A mitigation model for TCP SYN flooding with IP spoofing
Arafat et al. A practical approach and mitigation techniques on application layer DDoS attack in web server
Wang et al. Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks
US11616796B2 (en) System and method to protect resource allocation in stateful connection managers
Boppana et al. Analyzing the vulnerabilities introduced by ddos mitigation techniques for software-defined networks
WO2019096104A1 (zh) 攻击防范
Kumarasamy et al. An active defense mechanism for TCP SYN flooding attacks
Salunkhe et al. Analysis and review of TCP SYN flood attack on network with its detection and performance metrics
Kavisankar et al. CNoA: Challenging Number Approach for uncovering TCP SYN flooding using SYN spoofing attack
Djalaliev et al. Sentinel: hardware-accelerated mitigation of bot-based DDoS attacks
Kumar et al. An analysis of tcp syn flooding attack and defense mechanism
Bogdanoski et al. TCP-SYN Flooding Attack in Wireless Networks
Smith et al. Comparison of operating system implementations of SYN flood defenses (cookies)
EP2109279B1 (en) Method and system for mitigation of distributed denial of service attacks using geographical source and time information
JP7363503B2 (ja) 情報処理装置、情報処理方法、および情報処理システム
Kavisankar et al. T-RAP:(TCP reply acknowledgement packet) a resilient filtering model for DDoS attack with spoofed IP address
Rivas et al. Evaluation of CentOS performance under IoT based DDoS Security Attacks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070521

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090812

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090903

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120911

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4373306

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120911

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130911

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees