JP4391455B2 - DDoS攻撃に対する不正アクセス検知システム及びプログラム - Google Patents

DDoS攻撃に対する不正アクセス検知システム及びプログラム Download PDF

Info

Publication number
JP4391455B2
JP4391455B2 JP2005256176A JP2005256176A JP4391455B2 JP 4391455 B2 JP4391455 B2 JP 4391455B2 JP 2005256176 A JP2005256176 A JP 2005256176A JP 2005256176 A JP2005256176 A JP 2005256176A JP 4391455 B2 JP4391455 B2 JP 4391455B2
Authority
JP
Japan
Prior art keywords
packet
fragment
unauthorized access
terminal
offset value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2005256176A
Other languages
English (en)
Other versions
JP2007074087A (ja
Inventor
順一 吉田
勝 片山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2005256176A priority Critical patent/JP4391455B2/ja
Publication of JP2007074087A publication Critical patent/JP2007074087A/ja
Application granted granted Critical
Publication of JP4391455B2 publication Critical patent/JP4391455B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、DDoS(Distributed Denial of Service)攻撃に対処可能なシステム及びプログラムに関するものである。
一般に、インターネットにおけるDDoS攻撃とは、ネットワーク上のサーバが提供するサービスを妨害することであり、そのサービスを機能させない攻撃のことを示す。このDDoS攻撃は、標的となるサーバに対してIPパケットを大量に送信することにより、ネットワーク及びサーバのリソースを消費させ、サービスを妨害しまたはサービスを拒否させるものである。
近年、既に社会インフラとなりつつあるインターネットを利用することにより、安定したサービスを提供する必要性が高くなっているものの、このようなネットワーク回線を食いつぶすDDoS攻撃が増加傾向にある。そこで、このようなDDoS攻撃に対して、キャリア網においても積極的に対策を講じる必要がある。
前述のDDoS攻撃の一つに用いられるIPフラグメントフラッド(Flood)攻撃パケットに着目すると、ユーザ端末のアプリケーションがイーサネット(登録商標)の最大転送単位(Ethernet(登録商標) MTU)より大きなサイズのパケットを送信する場合にも、IPフラグメンテーションが起こり得るため、正規のIPフラグメントパケットまでが制限されてしまうという問題があった。
この問題を解決するために、パケットの組立てが必要なIPパケットの不正アクセスを解析する場合において、パケットを効率よく保持しながら、パケットの組立てを必要とするTCP/IPの不正アクセスを検知するリアセンブルチェックを行う(例えば、非特許文献1を参照)。
永嶋規充、外2名、「侵入検知システムの性能評価」、マルチメディア,分散,協調とモバイル(DICOMO2004)シンポジウム論文集、情報処理学会、平成16年7月7日、P.89−92
しかしながら、リアセンブルチェックでは、その際にパケットを組立てる処理が発生するため、高速なネットワークに適用することが困難である。
そこで、本発明は、上記課題を解決するためになされたものであり、その目的は、IPフラグメントパケットの組立て処理を行わないで、かつ、パケット中に含まれるデータセグメントのコピーをセッション情報と関連付けて保持することなく、擬似的なリアセンブルチェックにより分析を行い、ネットワークのトラヒックを監視することにより、正規のIPフラグメントパケットと攻撃用のIPフラグメントパケットとを区別し、DDoS攻撃に対する不正アクセスを検知可能なシステム及びプログラムを提供することにある。
本発明による不正アクセス検知システムは、端末からIPパケットを受信し、該IPパケットからDDoS攻撃による不正アクセスを検知するシステムにおいて、受信したIPパケットがIPフラグメントパケットである場合に、該IPフラグメントパケットのヘッダ情報に設定されたフラグメントオフセット値と、IPフラグメントパケットのデータ長に基づいて算出したオフセット値とを比較する手段と、前記フラグメントオフセット値と算出したオフセット値とが一致しない場合に、予め設定された時間内に、前記一致しないIPフラグメントパケットを連続して受信した回数と、予め設定された閾値とを比較し、該受信した回数が閾値以上のときは、DDoS攻撃による不正アクセスであることを判定する手段とを備えたことを特徴とする。
また、本発明による不正アクセス検知システムは、さらに、前記フラグメントオフセット値と算出したオフセット値とが一致する場合に、前記受信したIPフラグメントパケットの送信元の端末を正規ユーザであるとして、該ユーザ情報を正規ユーザリストに登録する手段と、端末からIPパケットを受信し、該IPパケットの送信元の端末のユーザ情報と前記正規ユーザリストに登録されているユーザ情報とを照合し、該照合が一致した場合に、正常なアクセスであることを判定する手段とを備えたことを特徴とする。
また、本発明による不正アクセス検知システムは、さらに、前記DDoS攻撃による不正アクセスであると判定されたIPフラグメントパケットがTCPを利用したものである場合に、該IPフラグメントパケットのヘッダ情報を再送リストに登録し、該IPフラグメントパケットを廃棄する手段と、端末からIPパケットを受信し、該IPパケットのヘッダ情報と前記再送リストに登録されているヘッダ情報とを照合し、該照合が一致した場合に、前記受信したIPパケットの送信元の端末を正規ユーザであるとして、該ユーザ情報を正規ユーザリストに登録する手段とを備えたことを特徴とする。
また、本発明による不正アクセス検知プログラムは、IPパケットを送信する端末と、該端末からIPパケットを受信して転送する装置と、該装置からIPパケットを受信するサーバとを備えたシステムの下で、前記端末からサーバに対するDDoS攻撃による不正アクセスを検知するプログラムであって、前記装置を構成するコンピュータに、受信したIPパケットがIPフラグメントパケットである場合に、該IPフラグメントパケットのヘッダ情報に設定されたフラグメントオフセット値と、IPフラグメントパケットのデータ長に基づいて算出したオフセット値とを比較する処理と、前記フラグメントオフセット値と算出したオフセット値とが一致しない場合に、予め設定された時間内に、前記一致しないIPフラグメントパケットを連続して受信した回数と、予め設定された閾値とを比較し、該受信した回数が閾値以上のときは、DDoS攻撃による不正アクセスであることを判定する処理とを実行させることを特徴とする。
また、本発明による不正アクセス検知プログラムは、前記コンピュータに、さらに、前記フラグメントオフセット値と算出したオフセット値とが一致する場合に、前記受信したIPフラグメントパケットの送信元の端末を正規ユーザであるとして、該ユーザ情報を正規ユーザリストに処理と、端末からIPパケットを受信し、該IPパケットの送信元の端末のユーザ情報と前記正規ユーザリストに登録されているユーザ情報とを照合し、該照合が一致した場合に、正常なアクセスであることを判定する処理とを実行させることを特徴とする。
また、本発明による不正アクセス検知プログラムは、前記コンピュータに、さらに、前記DDoS攻撃による不正アクセスであると判定されたIPフラグメントパケットがTCPを利用したものである場合に、該IPフラグメントパケットのヘッダ情報を再送リストに登録し、該IPフラグメントパケットを廃棄する処理と、端末からIPパケットを受信し、該IPパケットのヘッダ情報と前記再送リストに登録されているヘッダ情報とを照合し、該照合が一致した場合に、前記受信したIPパケットの送信元の端末を正規ユーザであるとして、該ユーザ情報を正規ユーザリストに登録する処理とを実行させることを特徴とする。
本発明によれば、IPフラグメントパケットの組立て処理を行わないで、かつ、パケット中に含まれるデータセグメントのコピー処理をセッション情報と関連付けて保持することなく、擬似的なリアセンブルチェックにより分析を行うようにした。これにより、正規のIPフラグメントパケットと攻撃用のIPフラグメントパケットとを区別し、DDoS攻撃に対する不正アクセスを検知することができる。
以下、本発明の実施の形態について図面を用いて詳細に説明する。
図1は、本発明の実施の形態による不正アクセス検知システムを備えたネットワーク図である。このネットワークは、インターネット1、不正アクセス検知システム10〜12,ユーザ端末20、攻撃者端末21、及びターゲットサーバ22から構成されている。ユーザ端末20及び攻撃者端末21は、アクセス網により不正アクセス検知システム11に接続され、ターゲットサーバ22は、アクセス網により不正アクセス検知システム10に接続される。また、ユーザ端末20及び攻撃者端末21とターゲットサーバ22とは、それぞれのアクセス網及びインターネット1により、不正アクセス検知システム10〜12を介して接続される。
不正アクセス検知システム10〜12は、インターネット1上の通信機器及び社内ネットワークへの不正侵入及び攻撃を監視し、当該侵入及び攻撃に対処する。ユーザ端末20は、ターゲットサーバ22との間で正常に通信を行い、攻撃者端末21は、ターゲットサーバ22に対して不正侵入及び攻撃を行うものとする。ここで、ターゲットサーバ22は、不正侵入及び攻撃の対象となるサーバであるものとする。
図2は、図1に示した不正アクセス検知システム10の構成を示す図である。この不正アクセス検知システム10は、ネットワークインタフェース31,34、不正アクセス解析部32、フィルタ部33、ネットワークインタフェース34、正規ユーザリスト36、及び再送リスト37を備えている。尚、図2では、不正アクセス検知システム10が元来備えている構成部は省略されており、本発明を適用するために必要な構成部のみが示されている。
ネットワークインタフェース31は、図1に示したインターネット1に接続され、ネットワークインタフェース34は、ターゲットサーバ22を有する例えば社内ネットワークを含むアクセス網35に接続される。正規ユーザリスト36及び再送リスト37は、図示しない記憶部に記憶されており、正規ユーザリスト36には、ターゲットサーバ22にアクセス可能なユーザ端末のアドレス(送信元アドレス)等の正規ユーザ情報が登録され、再送リスト37には、廃棄されたパケットのヘッダ情報が登録されている。不正アクセス解析部32は、正規ユーザリスト36及び再送リスト37を検索する検索部38、疑似リアセンブルチェックを行うリアセンブルチェック部39、及び、閾値判断を行う閾値判定部40を備えている。フィルタ部33は、IPパケットのフィルタ処理を行う。
図3は、図1及び図2に示した不正アクセス検知システム10の動作を示すフローチャート図である。以下、図1に示したネットワークにおいて、インターネット1上のターゲットサーバ22を標的にしたDoS攻撃またはDDoS攻撃に対処可能なIPフラグメントフラッド攻撃の防御方法について説明する。
いま、図1において、ユーザ端末20とターゲットサーバ22との間で通信が行われている状況の下、攻撃者端末21が、ターゲットサーバ22に対して、IPフラグメントフラッド攻撃を行っている場合を想定する。この場合、IPフラグメントフラッド攻撃は、ターゲットサーバ22のCPU資源及びリアセンブルバッファを枯渇させることを目的としているため、攻撃者端末21は、ターゲットサーバ22に対して、シーケンス抜けのTCPセグメントのIPパケット、または、同一内容のIPフラグメントデータグラムをコピーしたIPパケット(IPヘッダ及びデータともに同一内容を有するIPパケット)を連続して多量に送信する。また、DDoS攻撃において多くの場合、攻撃者端末21は、送信元を隠すために送信元アドレスを詐称する。このため、TCPによるIPフラグメントフラッド攻撃において、攻撃者端末21は、ターゲットサーバ22との間の経路の途中で前述したIPパケットが廃棄された場合には、そのことを検知することができないから再送信制御を行うことができない。
図3を参照して、不正アクセス検知システム10の不正アクセス解析部32は、インターネット1を介してネットワークインタフェース31からIPパケットを受信する(ステップS110)。不正アクセス解析部32の検索部38は、受信したIPパケットについて、正規ユーザリスト36を検索し、当該IPパケットの送信元であるユーザ情報が登録されているか否か、すなわち正規ユーザであるか否かを照合する(ステップS120)。
正規ユーザリスト36に当該IPパケットの送信元であるユーザ情報が登録されていると判断した場合は、不正アクセス解析部32は、正規ユーザによるIPパケットであるとして、フィルタ部33及びネットワークインタフェース34を介して当該IPパケットをアクセス網35へ送信する(ステップ130,140)。
正規ユーザリスト36に当該IPパケットの送信元であるユーザ情報が登録されていないと判断した場合は、検索部38は、受信したIPパケットについて、再送リスト37を検索し、当該IPパケットのヘッダ情報と同一のヘッダ情報が登録されているか否か、すなわち当該IPパケットが再送されたものであると認められるか否かを照合する(ステップS150)。ここで、再送リスト37には、フィルタ部33がIPパケットを廃棄した場合に、その廃棄パケットのヘッダ情報が登録されている。
ステップ150において、再送リスト37に当該IPパケットのヘッダ情報と同一のヘッダ情報が登録されていると判断した場合は、検索部38は、IPパケットは再送されたものと認められるとして、そのユーザ情報を正規ユーザリスト36に登録し(ステップS220)、不正アクセス解析部32は、正規ユーザによるIPパケットであるとして、フィルタ部33及びネットワークインタフェース34を介して当該IPパケットをアクセス網35へ送信する(ステップ130,140)。ここで、前述したように、IPフラグメントフラッド攻撃において、攻撃者端末21は廃棄されたIPパケットを再送信できないから、再送信されたIPパケットは正規ユーザにより再送信されたIPパケットであるとして、そのユーザ情報が正規ユーザリスト36に登録される。
また、ステップ150において、再送リスト37に当該IPパケットのヘッダ情報と同一のヘッダ情報が登録されていないと判断した場合は、検索部38は、当該IPパケットをリアセンブルチェック部39に転送し、ステップ160へ移行する。
また、ステップ150において、検索部38は、フィルタ部33が廃棄パケットのヘッダ情報を再送リスト37に登録してから時間経過を監視する。そして、予め設定された時間内に、登録されたヘッダ情報と同一のヘッダ情報を有するIPパケットを受信しない場合、すなわち、予め設定された時間内に、受信したIPパケットが再送されたものであると認められない場合には、検索部38はその後に受信した同一のヘッダ情報を有するIPパケット(後続のIPパケット)をフィルタ部33に転送する。そして、フィルタ部33は、転送されたIPパケットを攻撃IPパケットであると判断し、一定時間の間、ネットワークインタフェース34を介してアクセス網35へ送信する機能を停止(転送を拒否/IPパケットを廃棄)する(ステップS230,240)。
リアセンブルチェック部39は、検索部38からIPパケットが転送されると、ステップ160の処理を行う。すなわち、リアセンブルチェック部39は、IPパケットがIPフラグメントパケットの場合に、ヘッダ情報に含まれるMF(MoreFragments)ビットが1でフラグメント・オフセット値が0の場合は1番目のIPフラグメントパケットであると認識し、その後に、送信元IPアドレス及び宛先IPアドレスとデータグラムを識別する16ビットの識別子(Identification)とから成るペアの情報を用いて、同一グループに属する2番目以降のIPフラグメントパケットを識別し、そのフラグメントパケット番号を保持する。また、リアセンブルチェック部39は、転送されたIPパケットがn番目のIPフラグメントパケットの場合、そのヘッダ情報に含まれるフラグメント・オフセット値FOを取り出す。また、既に受信している1番目のIPフラグメントパケットのデータ長をDL(DL=Total Length−Internet Header Length(パケットの全長−ヘッダ情報の長さ))として、DL×(n−1)を計算し、FO=DL×(n−1)の関係が成り立つか否かを確認する。また、リアセンブルチェック部39は、転送されたIPフラグメントパケットのヘッダ情報に含まれるMFビットが0(同一グループの最後のIPフラグメントパケットであることを示す)である場合、または、一定時間後続のIPフラグメントパケットが転送されないためタイムアウトした場合に、そのグループにおいて保持しているフラグメントパケット番号を開放する。
ステップ160において、FO=DL×(n−1)の関係が成り立つ場合は、リアセンブルチェック部39は、転送されたIPフラグメントパケットが攻撃IPフラグメントパケットではなく正規IPフラグメントパケットであるとして、そのユーザ情報を正規ユーザリスト36に登録し(ステップS220)、不正アクセス解析部32は、フィルタ部33及びネットワークインタフェース34を介して当該IPパケットをアクセス網35へ送信する(ステップ130,140)。
また、ステップ160において、FO=DL×(n−1)の関係が成り立たない場合は、リアセンブルチェック部39は、当該IPフラグメントパケットを閾値判定部40に転送し、ステップ170へ移行する。
ここで、攻撃者端末21が、ターゲットサーバ22に対して、フラグメント・オフセット値を調整し、パケット組立て時にデータ内容が重複するようなフラグメントオーバーラップさせる攻撃のためのIPフラグメントパケットを送信している場合、または、同一内容のIPフラグメントデータグラムのコピーを連続して多量に送信している場合には、リアセンブルチェック部39は、2番目以降の後続するIPフラグメントパケットの受信数nに応じてDL×(n−1)を計算するが、転送されたIPフラグメントパケットのフラグメント・オフセット値に正しい値が設定されていないから、FO=DL×(n−1)の関係が成り立たないことを確認する。この場合、リアセンブルチェック部39は、IPフラグメントオーバーラップ攻撃であることを検知することができる。
また、攻撃者端末21が、ターゲットサーバ22に対して、シーケンス抜けのTCPセグメントのIPフラグメントパケットを送信している場合には、リアセンブルチェック部39は、正しいn番目のIPフラグメントパケットが検索部38から転送されない。つまり、転送されたIPフラグメントパケットのフラグメント・オフセット値に正しい値が設定されていないから、FO=DL×(n−1)の関係が成り立たないことを確認する。この場合、リアセンブルチェック部39は、IPパケット抜けのTCPセグメントの攻撃であることを検知することができる。
このIPパケット抜けのTCPセグメントの攻撃であることを検知するために、リアセンブルチェック部39は、同一グループのFO=DL×(n−1)の関係が成り立たないIPフラグメントパケットが転送されてから時間監視を行うようにしてもよい。この場合、予め設定された時間経過後、タイムアウトによって当該攻撃を検知することができる。例えば、攻撃者端末21が、ターゲットサーバ22に対して、3番目のIPフラグメントパケット抜けの攻撃を行っている場合、リアセンブルチェック部39は、それ以前に正しく転送されたIPフラグメントパケットのフラグメントパケット番号=2を保持している。リアセンブルチェック部39は、同一グループのFO=DL×(n−1)の関係が成り立たないIPフラグメントパケットが転送されてから、予め設定された時間経過後タイムアウトにより3番目のパケット抜けを認識する。この場合、リアセンブルチェック部39は、転送されたIPフラグメントパケットのヘッダ情報に含まれるMFビットが0となるまで、または、一定時間後続のIPフラグメントパケットが転送されないためタイムアウトするまでは、そのグループにおけるフラグメントパケット番号を保持する。
尚、前述の例では、リアセンブルチェック部39は、FO=DL×(n−1)の関係が成り立つか否かを確認する。しかし、一般に、インターネット1上においてIPフラグメントパケットの順番が入れ代わることがある。したがって、順番の入れ代わりを考慮した関係式(FO=DL×(n−1±m)、mは順番の入れ代わりを考慮したパラメータ、例えばm=−2,−1,0,1,2)により、疑似リアセンブルチェックを行うようにしてもよい。例えば、保持しているフラグメントパケット番号が10の場合は、次に転送されてくるIPフラグメントパケットの番号は11であるが、順番が入れ代わることを考慮して±2の幅をもって疑似リアセンブルチェックを行う。具体的には、FO=DL×8、FO=DL×9、FO=DL×10、FO=DL×11、FO=DL×12の関係が成り立つか否かを確認する。
閾値判定部40は、リアセンブルチェック部39からIPフラグメントパケットが転送されると、ステップ170の処理を行う。すなわち、閾値判定部40は、当該IPフラグメントパケットから特定ビットパターン(IPフラグメントパケットの宛先IPアドレス、送信元IPアドレス、宛先ポート番号、送信元ポート番号、プロトコル、フラグ(flags:最後のフラグメントパケットであるか否かを示す情報/MFビット)、識別子(identifier:同一グループのIPフラグメントパケットであることを示す情報/フラグメント識別子)等から成るパターン)を取り出し、その特定ビットパターンが既に取り出しているパターンと同一であるか否かを判断する(ステップS170)。具体的には、閾値判定部40は、ターゲットサーバ22に対して予め設定された時間内に、所定の閾値以上連続的に同一の特定ビットパターンのIPフラグメントパケットが転送されたか否かを判断する。
ステップ170において、所定の閾値以上連続してIPフラグメントパケットが転送されていない場合(閾値以下の場合)は、閾値判定部40は、フィルタ部33及びネットワークインタフェース34を介して当該IPパケットをアクセス網35へ送信する(ステップ130,140)。
また、ステップ170において、所定の閾値以上連続してIPフラグメントパケットが転送された場合は、閾値判定部40は、IPフラグメントフラッド攻撃を検出したとして、当該IPパケットのプロトコルがTCPであるか否か判断する(ステップS180)。
ステップ180において、プロトコルがTCPである場合は、フィルタ部33は、閾値判定部40により判定されたIPパケットを廃棄し(ステップS190)、当該廃棄パケットのヘッダ情報を再送リスト37に登録する(ステップS200)。
また、ステップ180において、プロトコルがTCPでない場合は、フィルタ部33は、不正アクセス解析部32がその後に受信した後続の攻撃IPフラグメントパケットに対して、一定時間の間、ネットワークインタフェース34を介してアクセス網35へ送信する機能を停止(転送を拒否/IPパケットを廃棄)する(ステップS250,260)。
以上のように、本発明の実施の形態による不正アクセス検知システムによれば、リアセンブルチェック部39が、受信したIPフラグメントパケットのヘッダ情報に含まれるフラグメント・オフセット値を取り出し、既に受信している1番目のIPフラグメントパケットのデータ長DLからオフセット値を計算し、取り出したフラグメント・オフセット値と計算したオフセット値とを比較するようにした。これにより、正規IPフラグメントパケットと攻撃IPフラグメントパケットとを区別してフィルタリングすることができる。
また、本発明の実施の形態による不正アクセス検知システムによれば、フィルタ部33が、閾値判定部40によりIPフラグメントフラッド攻撃が検出され、プロトコルがTCPである場合に、IPパケットを廃棄し、当該廃棄パケットのヘッダ情報を再送リスト37に登録するようにした。これにより、再送制御に基づいたフィルタリングを実現することができる。つまり、不正アクセス検知システム10は、ユーザ端末20と、攻撃者端末21からDDoS攻撃を受けているターゲットサーバ22との間の正常なユーザトラヒックによるIPパケットを廃棄することなく、DDoS攻撃のトラヒックに対して、トラヒックの帯域制限によりまたはフィルタリングにより防御することができる。
尚、不正アクセス検知システム10は、CPU、RAM等の揮発性の記憶媒体、ROM等の不揮発性の記憶媒体、キーボードやポインティングデバイス等の入力装置、画像やデータを表示するモニタ装置、及び外部の装置と通信をするためのインタフェースを備えたコンピュータによって構成されるようにしてもよい。この場合、不正アクセス検知システム10に備えたネットワークインタフェース31,34、不正アクセス解析部32(検索部38、リアセンブルチェック部39及び閾値判定部40)、及びフィルタ部33の各機能は、これらの機能を記述したプログラムをCPUに実行させることによりそれぞれ実現される。また、これらのプログラムは、磁気ディスク(フロッピィーディスク、ハードディスク等)、光ディスク(CD−ROM、DVD等)、半導体メモリ等の記憶媒体に格納して頒布することもできる。
本発明の実施の形態による不正アクセス検知システムを備えたネットワーク図である。 不正アクセス検知システムの構成を示す図である。 不正アクセス検知システムの動作を示すフローチャート図である。
符号の説明
1 インターネット
10〜12 不正アクセス検知システム
20 ユーザ端末
21 攻撃者端末
22 ターゲットサーバ
31,34 ネットワークインタフェース
32 不正アクセス解析部
33 フィルタ部
35 アクセス網
36 正規ユーザリスト
37 再送リスト
38 検索部
39 リアセンブルチェック部
40 閾値判定部

Claims (6)

  1. 端末からIPパケットを受信し、該IPパケットからDDoS攻撃による不正アクセスを検知するシステムにおいて、
    受信したIPパケットがIPフラグメントパケットである場合に、該IPフラグメントパケットのヘッダ情報に設定されたフラグメントオフセット値と、IPフラグメントパケットのデータ長に基づいて算出したオフセット値とを比較する手段と、
    前記フラグメントオフセット値と算出したオフセット値とが一致しない場合に、予め設定された時間内に、前記一致しないIPフラグメントパケットを連続して受信した回数と、予め設定された閾値とを比較し、該受信した回数が閾値以上のときは、DDoS攻撃による不正アクセスであることを判定する手段とを備えたことを特徴とする不正アクセス検知システム。
  2. 請求項1に記載の不正アクセス検知システムにおいて、
    さらに、前記フラグメントオフセット値と算出したオフセット値とが一致する場合に、前記受信したIPフラグメントパケットの送信元の端末を正規ユーザであるとして、該ユーザ情報を正規ユーザリストに登録する手段と、
    端末からIPパケットを受信し、該IPパケットの送信元の端末のユーザ情報と前記正規ユーザリストに登録されているユーザ情報とを照合し、該照合が一致した場合に、正常なアクセスであることを判定する手段とを備えたことを特徴とする不正アクセス検知システム。
  3. 請求項2に記載の不正アクセス検知システムにおいて、
    さらに、前記DDoS攻撃による不正アクセスであると判定されたIPフラグメントパケットがTCPを利用したものである場合に、該IPフラグメントパケットのヘッダ情報を再送リストに登録し、該IPフラグメントパケットを廃棄する手段と、
    端末からIPパケットを受信し、該IPパケットのヘッダ情報と前記再送リストに登録されているヘッダ情報とを照合し、該照合が一致した場合に、前記受信したIPパケットの送信元の端末を正規ユーザであるとして、該ユーザ情報を正規ユーザリストに登録する手段とを備えたことを特徴とする不正アクセス検知システム。
  4. IPパケットを送信する端末と、該端末からIPパケットを受信して転送する装置と、該装置からIPパケットを受信するサーバとを備えたシステムの下で、前記端末からサーバに対するDDoS攻撃による不正アクセスを検知するプログラムであって、前記装置を構成するコンピュータに、
    受信したIPパケットがIPフラグメントパケットである場合に、該IPフラグメントパケットのヘッダ情報に設定されたフラグメントオフセット値と、IPフラグメントパケットのデータ長に基づいて算出したオフセット値とを比較する処理と、
    前記フラグメントオフセット値と算出したオフセット値とが一致しない場合に、予め設定された時間内に、前記一致しないIPフラグメントパケットを連続して受信した回数と、予め設定された閾値とを比較し、該受信した回数が閾値以上のときは、DDoS攻撃による不正アクセスであることを判定する処理とを実行させる不正アクセス検知プログラム。
  5. 請求項4に記載の不正アクセス検知プログラムにおいて、前記コンピュータに、
    さらに、前記フラグメントオフセット値と算出したオフセット値とが一致する場合に、前記受信したIPフラグメントパケットの送信元の端末を正規ユーザであるとして、該ユーザ情報を正規ユーザリストに処理と、
    端末からIPパケットを受信し、該IPパケットの送信元の端末のユーザ情報と前記正規ユーザリストに登録されているユーザ情報とを照合し、該照合が一致した場合に、正常なアクセスであることを判定する処理とを実行させる不正アクセス検知プログラム。
  6. 請求項5に記載の不正アクセス検知プログラムにおいて、前記コンピュータに、
    さらに、前記DDoS攻撃による不正アクセスであると判定されたIPフラグメントパケットがTCPを利用したものである場合に、該IPフラグメントパケットのヘッダ情報を再送リストに登録し、該IPフラグメントパケットを廃棄する処理と、
    端末からIPパケットを受信し、該IPパケットのヘッダ情報と前記再送リストに登録されているヘッダ情報とを照合し、該照合が一致した場合に、前記受信したIPパケットの送信元の端末を正規ユーザであるとして、該ユーザ情報を正規ユーザリストに登録する処理とを実行させる不正アクセス検知プログラム。

JP2005256176A 2005-09-05 2005-09-05 DDoS攻撃に対する不正アクセス検知システム及びプログラム Active JP4391455B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005256176A JP4391455B2 (ja) 2005-09-05 2005-09-05 DDoS攻撃に対する不正アクセス検知システム及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005256176A JP4391455B2 (ja) 2005-09-05 2005-09-05 DDoS攻撃に対する不正アクセス検知システム及びプログラム

Publications (2)

Publication Number Publication Date
JP2007074087A JP2007074087A (ja) 2007-03-22
JP4391455B2 true JP4391455B2 (ja) 2009-12-24

Family

ID=37935201

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005256176A Active JP4391455B2 (ja) 2005-09-05 2005-09-05 DDoS攻撃に対する不正アクセス検知システム及びプログラム

Country Status (1)

Country Link
JP (1) JP4391455B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8320372B2 (en) * 2008-06-23 2012-11-27 Alcatel Lucent Processing of packet fragments
JP5543278B2 (ja) * 2010-05-28 2014-07-09 Necアクセステクニカ株式会社 廃棄パケット監視装置、廃棄パケット監視方法および廃棄パケット監視プログラム
JP7246586B2 (ja) * 2021-02-17 2023-03-27 三菱電機株式会社 侵入検知装置、侵入検知方法、及び、侵入検知プログラム

Also Published As

Publication number Publication date
JP2007074087A (ja) 2007-03-22

Similar Documents

Publication Publication Date Title
US10284594B2 (en) Detecting and preventing flooding attacks in a network environment
US10038715B1 (en) Identifying and mitigating denial of service (DoS) attacks
US8661522B2 (en) Method and apparatus for probabilistic matching to authenticate hosts during distributed denial of service attack
US7706378B2 (en) Method and apparatus for processing network packets
EP2289221B1 (en) Network intrusion protection
US9001661B2 (en) Packet classification in a network security device
US7472416B2 (en) Preventing network reset denial of service attacks using embedded authentication information
CN110198293B (zh) 服务器的攻击防护方法、装置、存储介质和电子装置
US20100226383A1 (en) Inline Intrusion Detection
US20120227088A1 (en) Method for authenticating communication traffic, communication system and protective apparatus
US20070289014A1 (en) Network security device and method for processing packet data using the same
KR20140122044A (ko) 슬로우 리드 도스 공격 탐지 장치 및 방법
CN111314328A (zh) 网络攻击防护方法、装置、存储介质及电子设备
US8006303B1 (en) System, method and program product for intrusion protection of a network
CN110798451A (zh) 一种安全认证的方法及装置
WO2019096104A1 (zh) 攻击防范
JP4391455B2 (ja) DDoS攻撃に対する不正アクセス検知システム及びプログラム
Djalaliev et al. Sentinel: hardware-accelerated mitigation of bot-based DDoS attacks
US7792147B1 (en) Efficient assembly of fragmented network traffic for data security
KR20180102884A (ko) 방화벽 및 이의 패킷 처리 방법
JP2004179999A (ja) 侵入検知装置およびその方法
Branitskiy et al. Software Tool for Testing the Packet Analyzer of Network Attack Detection Systems
JP2008252221A (ja) DoS攻撃防御システム、DoS攻撃防御システムにおける攻撃防御方法及びDoS攻撃防御装置
El Zouka Low Rate TCP Shrew Attacks: Threats and Solutions
YUHUI Hybrid traceback-filtering (HTF): An efficient DoS/DDoS defense mechanism

Legal Events

Date Code Title Description
RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20070614

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20070614

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070807

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20081017

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090831

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20091006

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20091007

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121016

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4391455

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121016

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131016

Year of fee payment: 4

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350