JP4538055B2 - サーバー計算機保護装置、サーバー計算機保護方法、サーバー計算機保護プログラム及びサーバー計算機 - Google Patents
サーバー計算機保護装置、サーバー計算機保護方法、サーバー計算機保護プログラム及びサーバー計算機 Download PDFInfo
- Publication number
- JP4538055B2 JP4538055B2 JP2008035125A JP2008035125A JP4538055B2 JP 4538055 B2 JP4538055 B2 JP 4538055B2 JP 2008035125 A JP2008035125 A JP 2008035125A JP 2008035125 A JP2008035125 A JP 2008035125A JP 4538055 B2 JP4538055 B2 JP 4538055B2
- Authority
- JP
- Japan
- Prior art keywords
- server computer
- load
- access request
- server
- computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、クライアント計算機とサーバー計算機間のネットワークシステムに関し、特に、意図的にサーバー計算機の処理を妨害する不正なアクセスからサーバー計算機を保護するサーバー計算機保護装置に関する。
近年、インターネット等を利用し、不特定多数あるいは特定多数のクライアント計算機をパケット交換ネットワーク経由でサーバー計算機に接続し、クライアント計算機からの要求に応じてサーバー計算機からデータを供給することを目的とする計算機サーバーシステムが広く使われている。ここで、パケットとは、ネットワーク上を流れるひとかたまりのデータをいい、大まかに分けると、ヘッダーとデータ本体で構成されている。さらに、ヘッダー内には、送信先のIP(Internet Protocol)アドレス、宛先のIPアドレス、パケットの前後関係を表す伝送シーケンス番号等から構成されている。
しかしながらこのようなシステムの妨害を意図した不正なアクセスによる攻撃が増加する傾向にある。
特に、一つのクライアント計算機から同時に大量に同じようなアクセス要求をサーバー計算機に対して行うことによって、標的となるサーバー計算機のデータ供給サービスを不能にする攻撃方法(以下、DoS攻撃(Denial of Service attack)と表記)は、正当なクライアントからのアクセスとの区別がつきにくく有効な対
策をとることが困難である。尚、このDoS攻撃を複数のクライアント計算機が行
う場合をDDoS攻撃(Distributed Denial of Service attack)という。
策をとることが困難である。尚、このDoS攻撃を複数のクライアント計算機が行
う場合をDDoS攻撃(Distributed Denial of Service attack)という。
ここで、クライアント計算機からサーバー計算機への正当なアクセス要求とは、実際にサーバー計算機からデータを受け取ったアクセス要求をいう。TCP/IP(Transmission Control Protocol/IP) プロトコルにおける正当なアクセス要求の
一例としては、[1]クライアント計算機はサーバー計算機へ接続要求パケット(SYN(SYNchronousness)パケット)を送り、[2]サーバー計算機はクライアント計算機へ接続要求確認パケット(SYN+ACK(ACKnowledgement)パケット)を送り、[3]クライアント計算機はサーバー計算機へ確認応答パケット(ACKパケット)を送るこ
とによって、論理的な通信路(コネクション)が確立する(3ウェイ・ハンドシェーク方式)。[4]このコネクション確立(Established)状態で、クライアント
計算機はサーバー計算機へデータ要求パケット(URL(Uniform Resource Locator)パケット)を送り、[5]サーバー計算機はクライアント計算機へURLパケットによって要求されたデータパケットを送り、実際にクライアント計算機が受け取るという手順がある。
一例としては、[1]クライアント計算機はサーバー計算機へ接続要求パケット(SYN(SYNchronousness)パケット)を送り、[2]サーバー計算機はクライアント計算機へ接続要求確認パケット(SYN+ACK(ACKnowledgement)パケット)を送り、[3]クライアント計算機はサーバー計算機へ確認応答パケット(ACKパケット)を送るこ
とによって、論理的な通信路(コネクション)が確立する(3ウェイ・ハンドシェーク方式)。[4]このコネクション確立(Established)状態で、クライアント
計算機はサーバー計算機へデータ要求パケット(URL(Uniform Resource Locator)パケット)を送り、[5]サーバー計算機はクライアント計算機へURLパケットによって要求されたデータパケットを送り、実際にクライアント計算機が受け取るという手順がある。
インターネットにおけるこのようなDoS攻撃の一般的な方法としては、以下の
ような妨害方法が挙げられる。
ような妨害方法が挙げられる。
(1)SYNパケットのみをサーバー計算機の処理能力を超えるぐらい大量に送
りつけ、サーバー計算機がSYN+ACKパケットを送れないようにする方法 (以下 SYN flood と表記)
(2)SYNパケット及びACKパケットを大量にサーバー計算機へ送り、このサーバー計算機との間でコネクションを確立したが、その後URLパケットを一定時間
以内に送らず放置する方法 (以下 Established flood と表記)
(3)通常のクライアントと同様にコネクション確立状態でURLパケットを
送る正当なアクセスだが、この正当なアクセスを大量に行うことによって、意図的にサーバー計算機の処理を妨害する方法(例えば、予め決めた時間に、たくさんの人が特定のサーバー計算機にアクセスする場合;DDoS攻撃)(以下、Access flood と表記)
このような攻撃をサーバー計算機が受けると、接続要求毎にデータ供給用メモリを確保するためにサーバー計算機内の記憶装置等の資源を浪費してしまい、妨害を意図していないクライアント計算機からの通常のアクセスが大きく滞ることになる。
りつけ、サーバー計算機がSYN+ACKパケットを送れないようにする方法 (以下 SYN flood と表記)
(2)SYNパケット及びACKパケットを大量にサーバー計算機へ送り、このサーバー計算機との間でコネクションを確立したが、その後URLパケットを一定時間
以内に送らず放置する方法 (以下 Established flood と表記)
(3)通常のクライアントと同様にコネクション確立状態でURLパケットを
送る正当なアクセスだが、この正当なアクセスを大量に行うことによって、意図的にサーバー計算機の処理を妨害する方法(例えば、予め決めた時間に、たくさんの人が特定のサーバー計算機にアクセスする場合;DDoS攻撃)(以下、Access flood と表記)
このような攻撃をサーバー計算機が受けると、接続要求毎にデータ供給用メモリを確保するためにサーバー計算機内の記憶装置等の資源を浪費してしまい、妨害を意図していないクライアント計算機からの通常のアクセスが大きく滞ることになる。
そこで、これらの攻撃からサーバー計算機を保護する目的で、サーバーとネットワークの間に配置するサーバー計算機保護装置においては、SYN flood に対しては、複数回の接続要求が繰り返されたもののみを正当な接続要求として処理したり、既に正当なアクセスがあったクライアントからのアクセスを正当な接続要求として処理し、それ以外のアクセスについてはパケットを破棄する方法などが従来取られている。
しかし、このような方法では攻撃側が複数回の同じ接続要求を出したりする方法を取ることにより攻撃が成立するという問題点があり、また Established flood や Access flood については対抗することができないという問題がある。
DoS攻撃に対し、これらの攻撃の影響からサーバー計算機を保護し、正当なし
かも妨害を意図していないクライアントからのサービスを大きく滞らせることなく行うことを課題とする。
かも妨害を意図していないクライアントからのサービスを大きく滞らせることなく行うことを課題とする。
本発明の一実施形態に係るサーバー計算機保護装置は、クライアント計算機から送られてくるアクセス要求パケットをサーバー計算機の代わりに受け付けるアクセス要求受け付け手段と、前記アクセス受け付け手段が前記アクセス要求パケット内の接続要求パケットを受け付けるのに対応して、所定期間内にクライアント計算機から届いた接続要求パケットの数を計測する接続要求数計測手段と、前記所定期間内に前記サーバー計算機からクライアント計算機へデータ供給している数を計測するデータ供給数計測手段と、前記データ供給数計測手段及び接続要求数計測手段の出力結果を用いて前記サーバー計算機の負荷状態を検査するサーバー負荷検査手段と、前記サーバー負荷検査手段によって検査された前記サーバー計算機の負荷が所定の負荷を超えていないと判断された場合は、前記アクセス要求パケットを前記サーバー計算機へ転送するアクセス要求転送手段と、を備え、前記サーバー負荷検査手段は、前記接続要求数計測手段の出力結果が、前記データ供給数計測手段の出力結果よりも大きい場合、前記サーバー計算機の負荷が前記所定の負荷を超過すると判断することを特徴とする。
本発明の一実施形態に係るサーバー計算機保護装置は、クライアント計算機から送られてくるアクセス要求パケットをサーバー計算機の代わりに受け付けるアクセス要求受け付け手段と、前記アクセス受け付け手段が前記アクセス要求パケット内の接続要求パケットを受け付けるのに対応して、所定期間内にクライアント計算機から届いた接続要求パケットの数を計測する接続要求数計測手段と、前記所定期間内に前記サーバー計算機からクライアント計算機へデータ供給している数を計測するデータ供給数計測手段と、前記データ供給数計測手段及び接続要求数計測手段の出力結果を用いて前記サーバー計算機の負荷状態を検査するサーバー負荷検査手段と、前記サーバー負荷検査手段によって検査された前記サーバー計算機の負荷が所定の負荷を超えていないと判断された場合は、前記アクセス要求パケットを前記サーバー計算機へ転送するアクセス要求転送手段と、を備える。
本発明の一実施形態に係るサーバー計算機保護方法は、アクセス要求受け付け手段と、接続要求数計測手段と、データ供給数計測手段と、サーバー負荷検査手段と、アクセス要求転送手段とを備えるサーバー計算機保護装置のサーバー計算機保護方法であって、前記アクセス要求受け付け手段が、クライアント計算機から送られてくるアクセス要求パケットをサーバー計算機の代わりに受け付けるステップと、前記接続要求数計測手段が、前記アクセス要求パケット内の接続要求パケットを受け付けるのに対応して、所定期間内にクライアント計算機から届いた接続要求パケットの数である接続要求数を計測するステップと、前記データ供給数計測手段が、前記所定期間内にサーバー計算機からクライアント計算機へデータ供給している数であるデータ供給数を計測するステップと、前記サーバー負荷検査手段が、前記接続要求数及びデータ供給数を用いて前記サーバー計算機の負荷状態を検査する検査ステップと、前記アクセス要求転送手段が、検査された前記サーバー計算機の負荷が所定の負荷を超えていないと判断された場合、前記アクセス要求パケットを前記サーバー計算機へ転送するステップと、を備え、前記検査ステップにおいて、前記サーバー負荷検査手段は、前記接続要求数計測手段の出力結果が、前記データ供給数計測手段の出力結果よりも大きい場合、前記サーバー計算機の負荷が前記所定の負荷を超過すると判断することを特徴とする。
本発明の一実施形態に係るサーバー計算機保護方法は、アクセス要求受け付け手段と、接続要求数計測手段と、データ供給数計測手段と、サーバー負荷検査手段と、アクセス要求転送手段とを備えるサーバー計算機保護装置のサーバー計算機保護方法であって、前記アクセス要求受け付け手段が、クライアント計算機から送られてくるアクセス要求パケットをサーバー計算機の代わりに受け付けるステップと、前記接続要求数計測手段が、前記アクセス要求パケット内の接続要求パケットを受け付けるのに対応して、所定期間内にクライアント計算機から届いた接続要求パケットの数である接続要求数を計測するステップと、前記データ供給数計測手段が、前記所定期間内にサーバー計算機からクライアント計算機へデータ供給している数であるデータ供給数を計測するステップと、前記サーバー負荷検査手段が、前記接続要求数及びデータ供給数を用いて前記サーバー計算機の負荷状態を検査するステップと、前記アクセス要求転送手段が、検査された前記サーバー計算機の負荷が所定の負荷を超えていないと判断された場合、前記アクセス要求パケットを前記サーバー計算機へ転送するステップと、を備える。
本発明の一実施形態は、クライアント計算機から送られてくるアクセス要求パケットをサーバー計算機の代わりに受け付けるステップと、前記アクセス要求パケット内の接続要求パケットを受け付けるのに対応して、所定期間内にクライアント計算機から届いた接続要求パケットの数である接続要求数を計測するステップと、前記所定期間内にサーバー計算機からクライアント計算機へデータ供給している数であるデータ供給数を計測するステップと、前記接続要求数及びデータ供給数を用いて前記サーバー計算機の負荷状態を検査する検査ステップと、検査された前記サーバー計算機の負荷が所定の負荷を超えていないと判断された場合、前記アクセス要求パケットを前記サーバー計算機へ転送するステップと、をコンピュータに実行させ、前記検査ステップにおいて、前記コンピュータに、前記接続要求数計測手段の出力結果が、前記データ供給数計測手段の出力結果よりも大きい場合、前記サーバー計算機の負荷が前記所定の負荷を超過すると判断させるためのサーバー計算機保護プログラムである。
本発明の一実施形態は、クライアント計算機から送られてくるアクセス要求パケットをサーバー計算機の代わりに受け付けるステップと、前記アクセス要求パケット内の接続要求パケットを受け付けるのに対応して、所定期間内にクライアント計算機から届いた接続要求パケットの数である接続要求数を計測するステップと、前記所定期間内にサーバー計算機からクライアント計算機へデータ供給している数であるデータ供給数を計測するステップと、前記接続要求数及びデータ供給数を用いて前記サーバー計算機の負荷状態を検査するステップと、検査された前記サーバー計算機の負荷が所定の負荷を超えていないと判断された場合、前記アクセス要求パケットを前記サーバー計算機へ転送するステップと、をコンピュータに実行させるためのサーバー計算機保護プログラムである。
本発明の一実施形態は、クライアント計算機からの要求に応じたデータを供給するサーバー計算機であって、前記サーバー計算機はサーバー計算機保護装置を含み、前記サーバー計算機保護装置は、前記クライアント計算機から送られてくるアクセス要求パケットを前記サーバー計算機の代わりに受け付けるアクセス要求受け付け手段と、前記アクセス受け付け手段が前記アクセス要求パケット内の接続要求パケットを受け付けるのに対応して、所定期間内にクライアント計算機から届いた接続要求パケットの数を計測する接続要求数計測手段と、前記所定期間内にサーバー計算機からクライアント計算機へデータ供給している数を計測するデータ供給数計測手段と、前記データ供給数計測手段及び接続要求数計測手段の出力結果を用いて前記サーバー計算機の負荷状態を検査するサーバー負荷検査手段と、前記サーバー負荷検査手段によって検査されたサーバー計算機の負荷が所定の負荷を超えていないと判断された場合は、前記アクセス要求パケットを前記サーバー計算機へ転送するアクセス要求転送手段と、を備え、前記サーバー負荷検査手段は、前記接続要求数計測手段の出力結果が、前記データ供給数計測手段の出力結果よりも大きい場合、前記サーバー計算機の負荷が前記所定の負荷を超過すると判断することを特徴とするサーバー計算機である。
本発明の一実施形態は、クライアント計算機からの要求に応じたデータを供給するサーバー計算機であって、前記サーバー計算機はサーバー計算機保護装置を含み、前記サーバー計算機保護装置は、前記クライアント計算機から送られてくるアクセス要求パケットを前記サーバー計算機の代わりに受け付けるアクセス要求受け付け手段と、前記アクセス受け付け手段が前記アクセス要求パケット内の接続要求パケットを受け付けるのに対応して、所定期間内にクライアント計算機から届いた接続要求パケットの数を計測する接続要求数計測手段と、前記所定期間内にサーバー計算機からクライアント計算機へデータ供給している数を計測するデータ供給数計測手段と、前記データ供給数計測手段及び接続要求数計測手段の出力結果を用いて前記サーバー計算機の負荷状態を検査するサーバー負荷検査手段と、前記サーバー負荷検査手段によって検査されたサーバー計算機の負荷が所定の負荷を超えていないと判断された場合は、前記アクセス要求パケットを前記サーバー計算機へ転送するアクセス要求転送手段と、を備えることを特徴とするサーバー計算機である。
上述したように本発明によれば、DoS攻撃に対し、これらの攻撃の影響からサ
ーバー計算機を保護し、正当なしかも妨害を意図していないクライアントからのサービスを大きく滞らせることなく行うことができる。
ーバー計算機を保護し、正当なしかも妨害を意図していないクライアントからのサービスを大きく滞らせることなく行うことができる。
以下、本発明の実施の形態について図面を参照しながら説明する。
図1は、本発明の実施形態に係るサーバー計算機保護装置が適用されるネットワークシステムの概要図である。サーバー計算機104は、サーバー計算機保護装置103を介してネットワーク102に接続されており、また、このネットワーク102に接続されているクライアント計算機101とのデータパケットのやり取りには必ずサーバー計算機保護装置が仲介している。
(第1の実施の形態)
図2は、第1の実施形態に係るサーバー計算機保護装置103のブロック図で
ある。保護装置103は、アクセス要求受け付け部201と、アクセス要求検査部202と、アクセス要求転送部203を含んでいる。
図2は、第1の実施形態に係るサーバー計算機保護装置103のブロック図で
ある。保護装置103は、アクセス要求受け付け部201と、アクセス要求検査部202と、アクセス要求転送部203を含んでいる。
クライアント計算機101からのアクセス要求つまり検査前のアクセス要求はアクセス要求受け付け部201で受け取り、その後アクセス要求検査部202に転送される。アクセス要求のパケットには、接続要求パケット(SYNパケット)
、確認応答パケット(ACKパケット)及びデータ要求パケット(URLパケット)の3段階のパケットがある。
、確認応答パケット(ACKパケット)及びデータ要求パケット(URLパケット)の3段階のパケットがある。
検査結果はアクセス要求受け付け部201に入り、検査後のアクセス要求がアクセス要求転送部203に送られる。そして、検査済のアクセス要求がアクセス要求転送部203からサーバー計算機104へ出力される。
以下、保護装置103全体の処理の流れを図3のフローチャートを用いて説明
する。保護装置103は、クライアント計算機101から接続要求パケット(SYNパケット)を受け取ると、クライアント計算機へSYN+ACKパケットを送り(S101)、次の段階のアクセス要求(ACKパケットまたはURLパケット)待ち状態になる(S102)。
する。保護装置103は、クライアント計算機101から接続要求パケット(SYNパケット)を受け取ると、クライアント計算機へSYN+ACKパケットを送り(S101)、次の段階のアクセス要求(ACKパケットまたはURLパケット)待ち状態になる(S102)。
そして、不正アクセスか否かを判断する(S103)。判断の一例としては、クライアント計算機101からのアクセス要求は、保護装置103内のアクセス要求受け付け部201により受領し、アクセス要求検査部202でアクセス要求の内容を検査する。 本実施形態で検査できる不当なアクセス要求は、従来の技術で説明したSYN floodとEstablished floodの2種類である。そして、正当なアクセス要求とはコネクション確立状態で一定時間以内にURLパケットを送ってく
る場合をいう。
る場合をいう。
検査の結果、正当なアクセス要求だと認められた場合、アクセス要求転送部203はサーバーと接続し(S104)、正当なアクセス要求をサーバー計算機104に転送する(S105)。そして、サーバー計算機104はURLパケットに
よって指定されたデータをパケット単位で保護装置103を介してクライアント計算機101に供給する(S106)。保護装置103はデータの供給が完了してからサーバー計算機104との接続を切断し(S107)、クライアント計算機101との接続も切断する。一方、不当なアクセス要求であると判断した場合は、S103からすぐにS108のクライアントとの切断処理が実行される。
よって指定されたデータをパケット単位で保護装置103を介してクライアント計算機101に供給する(S106)。保護装置103はデータの供給が完了してからサーバー計算機104との接続を切断し(S107)、クライアント計算機101との接続も切断する。一方、不当なアクセス要求であると判断した場合は、S103からすぐにS108のクライアントとの切断処理が実行される。
したがって、従来の技術で説明したSYN flood,Established flood等のDoS撃からサーバー計算機を保護できる。
尚、アクセス要求検査部202の正当なアクセス要求であるか否かの判断基準としては、上述したようなSYNパケットのみを送りつけてくるようなアクセス要
求が所定の伝達形式から外れていないかどうかの他に、サーバー計算機104にはありえないアクセス(例えば、不当なURLパケット)を要求しているかどうか
等がある。
求が所定の伝達形式から外れていないかどうかの他に、サーバー計算機104にはありえないアクセス(例えば、不当なURLパケット)を要求しているかどうか
等がある。
本実施形態の変形例としては、検査前の全段階のアクセス要求はアクセス要求受け付け部201に入ると同時に、アクセス要求転送部203にも送られ、データ要求検査部202の検査結果をデータ要求転送部203が受け取ってから、サーバ計算機104へアクセス要求を出力しても良い。
(第2の実施の形態)
図4は第2の実施形態に係るサーバー計算機保護装置103のブロック図である。本実施形態の特徴は、第1の実施形態で説明したアクセス要求の内容を検査するアクセス要求検査部の代わりに、クライアント計算機101から送られてくる接続要求パケット(SYNパケット)の数が所定の値を超えた場合、すなわち、
サーバー計算機104の負荷が過大になった場合には、サーバー計算機104へアクセス要求を転送するのを止めることである。
図4は第2の実施形態に係るサーバー計算機保護装置103のブロック図である。本実施形態の特徴は、第1の実施形態で説明したアクセス要求の内容を検査するアクセス要求検査部の代わりに、クライアント計算機101から送られてくる接続要求パケット(SYNパケット)の数が所定の値を超えた場合、すなわち、
サーバー計算機104の負荷が過大になった場合には、サーバー計算機104へアクセス要求を転送するのを止めることである。
クライアント計算機101からのあるSYNパケットをデータ要求受け付け部2
01及び接続要求数計測部303により受け取る。データ供給数計測部301は、常にサーバー計算機104が所定時間に供給するデータ供給数を計測する。ここで、接続要求数とはある接続要求を受け付けたときに全てのクライアント計算機から届いたSYNパケットの総数をいい、通常、一つのクライアント計算機とサ
ーバー計算機との間には複数のコネクションが張られる。また、データ供給数とは、成立しているコネクションのうち、ある接続要求を受け付けたときに実際にデータ供給している数をいう。
01及び接続要求数計測部303により受け取る。データ供給数計測部301は、常にサーバー計算機104が所定時間に供給するデータ供給数を計測する。ここで、接続要求数とはある接続要求を受け付けたときに全てのクライアント計算機から届いたSYNパケットの総数をいい、通常、一つのクライアント計算機とサ
ーバー計算機との間には複数のコネクションが張られる。また、データ供給数とは、成立しているコネクションのうち、ある接続要求を受け付けたときに実際にデータ供給している数をいう。
以下、保護装置103全体の処理の流れを図5(a)のフローチャートを用いて説明する。保護装置103は接続要求待ち(S201)の状態から、接続要求数計測部303でクライアント計算機101からのSYNパケットを検知すると、
サーバー負荷検査部302はデータ供給数計測部301及び接続要求数計測部303の出力結果を用いて、サーバー計算機104の負荷が過大か否かを検査する(S202)。判断基準の一例としては、データ要求数(URLパケットの総数)
に比べてデータ供給数が少ない場合に負荷が過大であるが挙げられる。
サーバー負荷検査部302はデータ供給数計測部301及び接続要求数計測部303の出力結果を用いて、サーバー計算機104の負荷が過大か否かを検査する(S202)。判断基準の一例としては、データ要求数(URLパケットの総数)
に比べてデータ供給数が少ない場合に負荷が過大であるが挙げられる。
所定の負荷を超えていない場合には、クライアント計算機と接続し(S203)、データ要求待ち(S204)状態となる。この時、サーバー負荷検査部302は接続数を1増加させる(S205)。
続いて、サーバーと接続し(S206)、クライアント計算機103からのデータ要求パケットをサーバーに転送する(S207)。そして、サーバー計算機104がクライアント計算機にデータを供給してから(S208)、保護装置103はクライアント計算機101及びサーバー計算機104との接続を切断し(S209)、サーバー負荷検査部302は接続数を1減少させる(S210)。
一方、所定の負荷を超えていた場合には接続要求待ちの状態(S201)に戻る。これにより、DoS攻撃によってサーバーの負荷が過大になるのを防止し、サ
ーバーの処理速度低下を防止することができる。
ーバーの処理速度低下を防止することができる。
図5(b)は、同図(a)のS202で所定の負荷を超えていた場合の変形例である。すなわち、S202で所定の負荷を超えていた場合(所定の接続数を超えていた場合)であって、保護装置103が処理できる接続数を超える場合には、接続処理が完了していないコネクションのうち最も古いものを破棄してから(S202’のy)、クライアント計算機と接続する(S203)。以降の処理は、同図(a)と同じである。一方、S202で所定の負荷を超えている場合であるが、保護装置103が処理できる接続数を超えていない場合には、接続要求待ちの状態(S201)に戻る。 このように、コネクションのうち最も古いものを破棄することによって、保護装置自体へDoS攻撃を受けた時でもサービスを続
行できる。
行できる。
(第3の実施の形態)
図6は、第3の実施形態に係るサーバー計算機保護装置103のブロック図である。図7は本実施形態に係るフローチャートである。本実施形態はアクセス要求を送ってきたクライアント計算機毎にデータ供給数計測部301及びサーバー負荷検査部302を設けることを特徴とする。
図6は、第3の実施形態に係るサーバー計算機保護装置103のブロック図である。図7は本実施形態に係るフローチャートである。本実施形態はアクセス要求を送ってきたクライアント計算機毎にデータ供給数計測部301及びサーバー負荷検査部302を設けることを特徴とする。
まず、保護装置103は、接続要求待ちの状態(S301)から、特定のクライアント計算機からSYNパケット及びACKパケットを受けると、前記特定のクライアント計算機との間でコネクションを張り(S302)、前記特定のクライアント計算機専用のデータ供給数計測部301及びサーバー負荷計算部302(以下、本実施形態に限ってデータ供給数計測部301及びサーバー負荷計算部302と省略する)を設ける。尚、データ供給数計測部301及びサーバー負荷計算部302は、単純な計算機能を有していれば良いので、保護装置103のメモリ及びCPUの消費は少ない。したがって、クライアント計算機毎に1000〜10000個ぐらい設けることができる。
次に、前記特定のクライアント計算機からのアクセス要求待ちの状態になり(S304)、前記特定のクライアント計算機からアクセス要求が来ると、アクセス要求受け付け部201からすぐにアクセス要求伝達部203へ行き、サーバー計算機104とコネクションを張る(S305)。
データ供給数計測部301は、現在サーバー計算機104が伝送中の要求されたデータを送付した特定のクライアント計算機へのデータ供給状況を計測することによって、特定のクライアント計算機に対するサーバーの負荷が過大か否かを判断する(S306)。所定の負荷を超えていない場合には、サーバー負荷検査部302は、アクセス要求転送部203へサーバー計算機104にURLパケット
を転送するように指示をし(S307)、サーバー計算機104が要求されたデータを特定のクライアント計算機に供給し(S308)、データ供給が完了したら特定のクライアント計算機及びサーバー計算機との接続を切断する。
を転送するように指示をし(S307)、サーバー計算機104が要求されたデータを特定のクライアント計算機に供給し(S308)、データ供給が完了したら特定のクライアント計算機及びサーバー計算機との接続を切断する。
一方、所定の負荷を超えていた場合には、データ要求転送部203がデータ要求パケットをサーバー計算機104に転送するのを保留するために再度S306の処理を行い、特定のクライアント計算機へのデータ供給数が減少するのを待つ。
これにより、サーバー計算機104の負荷が過大になるのを防止するとともに、特定のクライアント計算機によるサーバー計算機104の独占状態を回避し、他のクライアント計算機へのデータ供給を阻害されることを減少できる。したがって、従来の技術で説明したAccess floodに対応することもできる。
(第4の実施の形態)
図8は、第4の実施形態に係るサーバー計算機保護装置103のブロック図で
あり、本実施形態は、第1の実施形態と基本的に同じであるが、ヘッダー修正部210を備えていることを特徴とする。
図8は、第4の実施形態に係るサーバー計算機保護装置103のブロック図で
あり、本実施形態は、第1の実施形態と基本的に同じであるが、ヘッダー修正部210を備えていることを特徴とする。
例えばTCP/IPでは、接続処理にあたりヘッダー内に、伝送シーケンス番号を付与しパケットの前後関係を制御している。接続開始にあたってこれらは送受双方向にてサーバー計算機とクライアント計算機のやりとりで決定される。
しかし、本実施形態を利用する場合にはサーバー計算機104への接続動作(図3のS104)はデータ要求の正当性の検査後になる(図3のS103)ので、保護装置103が任意に発生した保護装置用シーケンス番号でクライアント計算機101と接続処理を行わざるをえない(図3のS101)。この保護装置用シーケンス番号は検査後に行われるサーバー計算機との接続処理(図3のS104)においてサーバー計算機104から通知されるサーバー計算機用シーケンス番号と異なるため、そのまま要求されたデータのパケットを伝送すると TCP/IP プロトコルを使用したデータ伝送が不可能である。そこで、ヘッダー修正部210を用いこれらのシーケンス番号の差分を修正し、また他のヘッダー情報(例えば送信先のIPアドレス、宛先のIPアドレス)を必要があれば整合が取れるように修正することによりサーバー計算機104からクライアント計算機101への通信を成立させることができる。
一例としては、一つのデータ要求に対して以下の[1]〜[3]の処理を行っている。
[1]クライアント計算機101からの接続要求をデータ要求受け付け部201、データ要求検査部202及びデータ転送伝達部203によって検査後に、クライアント計算機101とサーバー計算機104とのコネクションを確立する。
[2]このコネクションを経由して送られてくるクライアント計算機101からのデータ要求パケットのヘッダーをヘッダー修正部210で修正してから、サーバー計算機104へ転送する。
[3]このコネクションを経由して送られてくるサーバー計算機104からのデータパケットのヘッダーをヘッダー修正部210で修正してから、クライアント計算機101へ転送する。
(第5の実施形態)
図9は、第5の実施形態に係るサーバー計算機保護装置103のブロック図である。本実施形態は、第2の実施形態と基本的に同じであるが、第4の実施形態で説明したヘッダー修正部210を備えていることを特徴とする。
図9は、第5の実施形態に係るサーバー計算機保護装置103のブロック図である。本実施形態は、第2の実施形態と基本的に同じであるが、第4の実施形態で説明したヘッダー修正部210を備えていることを特徴とする。
尚、ヘッダー修正部210がハッシュ関数を用いてクライアント計算機101とサーバー計算機104とのコネクションを管理する方法を利用した場合には、図5のS202の代わりに、該ハッシュのテーブルが溢れたことをもってサーバー計算機104の負荷を過大であると判断しても良い。
(第6の実施形態)
図10は、第6の実施形態に係るサーバー計算機保護装置103のブロック図である。本実施形態は、第3の実施形態と基本的に同じであるが、第4の実施形態で説明したヘッダー修正部210を備えていることを特徴とする。
図10は、第6の実施形態に係るサーバー計算機保護装置103のブロック図である。本実施形態は、第3の実施形態と基本的に同じであるが、第4の実施形態で説明したヘッダー修正部210を備えていることを特徴とする。
(他の実施形態)
本発明は上記実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲内で適宜変更できる。以下、変形例について説明する。
本発明は上記実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲内で適宜変更できる。以下、変形例について説明する。
(変形例1)
図11は、変形例1に係るサーバー計算機保護装置103のブロック図である。本変形例は、第6の実施形態の変形例であり、保護装置103とサーバー計算機104との接続数を計測するサーバー接続数計測部401を備えていることを特徴とする。このサーバー接続数計測部401の出力結果はクライアント計算機毎に設けられたサーバー負荷検査部302に入力されている。また、クライアント計算機毎の接続数は、クライアント計算機毎に設けられたデータ供給数301で計測できる。したがって、いずれの接続数も保護装置103内部で計測できるので、クライアント計算機毎のサーバー負荷検査処理も簡易化できる。
図11は、変形例1に係るサーバー計算機保護装置103のブロック図である。本変形例は、第6の実施形態の変形例であり、保護装置103とサーバー計算機104との接続数を計測するサーバー接続数計測部401を備えていることを特徴とする。このサーバー接続数計測部401の出力結果はクライアント計算機毎に設けられたサーバー負荷検査部302に入力されている。また、クライアント計算機毎の接続数は、クライアント計算機毎に設けられたデータ供給数301で計測できる。したがって、いずれの接続数も保護装置103内部で計測できるので、クライアント計算機毎のサーバー負荷検査処理も簡易化できる。
(変形例2)
変形例2は、第4の実施形態の変形例であり、保護装置103には、クライアント計算機との間でコネクション成立後、データ要求パケットが届くまでの時間を計測する時計部を有している。そして、この時計部を用いて、データ要求受け付け部201が予め規定した時間の間に所定の形式のデータ要求が届かない場合には不正なアクセスと判断し、コネクションを破棄する。これによりサーバー計算機保護装置内部の資源が過大になることを防ぎ、なおかつ正当なクライアントからの接続動作に早い段階でメモリーなどの資源を振り向けることができるようになる。
変形例2は、第4の実施形態の変形例であり、保護装置103には、クライアント計算機との間でコネクション成立後、データ要求パケットが届くまでの時間を計測する時計部を有している。そして、この時計部を用いて、データ要求受け付け部201が予め規定した時間の間に所定の形式のデータ要求が届かない場合には不正なアクセスと判断し、コネクションを破棄する。これによりサーバー計算機保護装置内部の資源が過大になることを防ぎ、なおかつ正当なクライアントからの接続動作に早い段階でメモリーなどの資源を振り向けることができるようになる。
また、上述した時計部を用いて、データ要求受け付け部201はコネクションを確立してから最も経過時間が長いものを不正なアクセスと判断して、コネクションを破棄しても良い。
さらに、データ要求受け付け部201は、上述した時計部を用いて一定時間内に同一クライアントからの同一データに対する要求回数を計測する機能を有すれば、この計測し、あらかじめ設定した一定時間内の同一データ要求回数の限度を超えた場合に不正なアクセスとして判断して、コネクションを破棄しても良い。
(変形例3)
図12及び図13は、変形例3に係るサーバー計算機保護装置103のブロック図及びフロチャートである。本変形例は、他の実施形態に適用可能であり、サーバー計算機104の代りにクライアント計算機101へ応答する代理応答部501を備えていることを特徴とする。代理応答部501がサーバー計算機104に成り代わるためには、図8で説明したヘッダー修正部210を備えていればよい。
図12及び図13は、変形例3に係るサーバー計算機保護装置103のブロック図及びフロチャートである。本変形例は、他の実施形態に適用可能であり、サーバー計算機104の代りにクライアント計算機101へ応答する代理応答部501を備えていることを特徴とする。代理応答部501がサーバー計算機104に成り代わるためには、図8で説明したヘッダー修正部210を備えていればよい。
クライアント計算機101と保護装置103とがTCP/IPプロトコルでコネクションを確立する手順は上述した通りである(S401〜S404)。その後(、すなわち、クライアント計算機101からのデータ要求が来る前)に、代理応答部501は、サーバー計算機104からクライアント計算機101への応答を代わりに行う(S405)。
ここでの応答とは、TCP/IPの上位プロトコル、例えば、SMTP(Simple Mail Transfer Protocol)の場合は、サーバー計算機104がメールを受け取ることが可
能であるという状態を示す応答であり、また、POP(Post Office Protocol)の場
合には、POPのバージョン(例えば、POP3)を応答する。そして、応答の具体例
としては、サーバー計算機104が正常動作している場合にクライアントに返答する内容と同等のもの、あるいは、保護装置103とサーバー計算機104との間で直前に行われた上位プロトコルによる接続動作によりサーバー計算機104が返答したものと同様の内容のもの等が挙げられる。
能であるという状態を示す応答であり、また、POP(Post Office Protocol)の場
合には、POPのバージョン(例えば、POP3)を応答する。そして、応答の具体例
としては、サーバー計算機104が正常動作している場合にクライアントに返答する内容と同等のもの、あるいは、保護装置103とサーバー計算機104との間で直前に行われた上位プロトコルによる接続動作によりサーバー計算機104が返答したものと同様の内容のもの等が挙げられる。
この応答を受けることによって、クライアント計算機101は、サーバー計算機104と上位プロトコルで接続動作が行われたと判断し、データ転送要求等の次の動作に移行する。
クライアント計算機101からのデータ要求は、要求受付部201で受け付け、要求検査部202でデータ要求の内容を検査した後に、サーバー計算機104に伝達する。サーバー計算機104は、伝達された内容に基づき所定のデータをクライアント計算機101に返送する。その後、上述した切断手順を行う(S406〜S417)。ここでの検査としては、データ要求が所定の伝達形式から外れていないかどうか、ありえないデータを要求しているかどうか等が挙げられる。
尚、上述したように、クライアント計算機101からのデータ要求が正常であった場合には、保護装置103はサーバー計算機104に接続動作を行い、クライアント計算機101の要求をサーバー計算機104に伝達する。この接続後にサーバー計算機104が応答するものには、先に保護装置103がサーバー計算機104に応答したものと重複する場合がある。それゆえ、データ要求の処理に齟齬を来さない場合にはこの応答をクライアントに伝達しない。もし、齟齬を来す場合には保護装置103はサーバー計算機104とクライアント計算機101との接続を破棄する処理を行う。
他の変形例としては、上述したサーバー計算機保護装置はサーバー計算機の中に含まれていても良い。この場合、サーバー計算機保護装置専用のメモリ等のハードウェアがサーバー計算機内にあれば良い。
(記録媒体への適用)
また、本実施形態における処理をコンピュータで実行可能なプログラムで実現し、このプログラムをコンピュータで読み取り可能な記憶媒体として実現することも可能である。
また、本実施形態における処理をコンピュータで実行可能なプログラムで実現し、このプログラムをコンピュータで読み取り可能な記憶媒体として実現することも可能である。
なお、本記憶媒体としては、磁気ディスク、フレキシブルディスク、ハードディスク、光ディスク(CD−ROM,CD−R,DVD等)、光磁気ディスク(MO等)、半導体メモリ等、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であってもよい。
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼動しているOS(オペレーションシステム)や、データベース管理ソフト、ネットワーク等のMW(ミドルウェア)等が本実施形態を実現するための各処理の一部を実行してもよい。
さらに、本記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。
また、記憶媒体は1つに限らず、複数の媒体から本実施形態における処理が実行される場合も、本発明における記憶媒体に含まれ、媒体の構成は何れの構成であってもよい。
なお、上記コンピュータは、記憶媒体に記憶されたプログラムに基づき、本実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であってもよい。
また、上記コンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本実施形態の機能を実現することが可能な機器、装置を総称している。
101 クライアント計算機
102 ネットワーク
103 サーバー計算機保護装置
104 サーバー計算機
201 データ要求受け付け部
202 データ要求検査部
203 データ要求転送部
301 データ供給数計測部
302 サーバー負荷検査部
303 接続要求数計測部
401 サーバー接続数計測部
501 代理応答部
102 ネットワーク
103 サーバー計算機保護装置
104 サーバー計算機
201 データ要求受け付け部
202 データ要求検査部
203 データ要求転送部
301 データ供給数計測部
302 サーバー負荷検査部
303 接続要求数計測部
401 サーバー接続数計測部
501 代理応答部
Claims (13)
- クライアント計算機から送られてくるアクセス要求パケットをサーバー計算機の代わりに受け付けるアクセス要求受け付け手段と、
前記アクセス受け付け手段が前記アクセス要求パケット内の接続要求パケットを受け付けるのに対応して、所定期間内にクライアント計算機から届いた接続要求パケットの数を計測する接続要求数計測手段と、
前記所定期間内に前記サーバー計算機からクライアント計算機へデータ供給している数を計測するデータ供給数計測手段と、
前記データ供給数計測手段及び接続要求数計測手段の出力結果を用いて前記サーバー計算機の負荷状態を検査するサーバー負荷検査手段と、
前記サーバー負荷検査手段によって検査された前記サーバー計算機の負荷が所定の負荷を超えていないと判断された場合は、前記アクセス要求パケットを前記サーバー計算機へ転送するアクセス要求転送手段と、を備え、
前記サーバー負荷検査手段は、前記接続要求数計測手段の出力結果が、前記データ供給数計測手段の出力結果よりも大きい場合、前記サーバー計算機の負荷が前記所定の負荷を超過すると判断することを特徴とするサーバー計算機保護装置。 - クライアント計算機から送られてくるアクセス要求パケットをサーバー計算機の代わりに受け付けるアクセス要求受け付け手段と、
前記アクセス受け付け手段が前記アクセス要求パケット内の接続要求パケットを受け付けるのに対応して、所定期間内にクライアント計算機から届いた接続要求パケットの数を計測する接続要求数計測手段と、
前記所定期間内に前記サーバー計算機からクライアント計算機へデータ供給している数を計測するデータ供給数計測手段と、
前記データ供給数計測手段及び接続要求数計測手段の出力結果を用いて前記サーバー計算機の負荷状態を検査するサーバー負荷検査手段と、
前記サーバー負荷検査手段によって検査された前記サーバー計算機の負荷が所定の負荷を超えていないと判断された場合は、前記アクセス要求パケットを前記サーバー計算機へ転送するアクセス要求転送手段と、を備えるサーバー計算機保護装置。 - クライアント計算機から送られてくるアクセス要求パケットによって、クライアント計算機と前記サーバー計算機との間で複数のコネクションが張られていて、
前記サーバー負荷検査手段によって前記サーバー計算機の負荷が前記所定の負荷を超過すると判断された場合、前記複数のコネクションのうち、最も古いコネクションを破棄することを特徴とする請求項1または請求項2に記載のサーバー計算機保護装置。 - パケットのヘッダーを修正するヘッダー修正手段をさらに備え、
前記ヘッダー修正手段は、前記アクセス要求パケットを前記サーバー計算機へ転送する際に前記アクセス要求パケットのヘッダーを修正することを特徴とする請求項1乃至請求項3のいずれか1項に記載のサーバー計算機保護装置。 - 前記サーバー計算機から前記クライアント計算機への応答を代わりに行う代理応答部をさらに備え、
前記代理応答部は、前記クライアント計算機との間でコネクションが確立された後に、代理応答を行うことを特徴とする請求項1乃至請求項4のいずれか1項に記載のサーバー計算機保護装置。 - 前記代理応答部が前記クライアント計算機へ代理応答を行う内容は、前記サーバー計算機が正常動作している場合にクライアント計算機に応答する内容と同等のもの、あるいは、前記サーバー計算機との間で直前に行われた上位層プロトコルによる接続動作により前記サーバー計算機が返答したものと同等の内容のものであることを特徴とする請求項5に記載のサーバー計算機保護装置。
- 前記クライアント計算機から送られてくるアクセス要求パケットが前記アクセス要求検査手段によって正当なアクセス要求であると認められた場合であって、当該アクセス要求パケットが前記アクセス要求転送手段によって前記サーバー計算機へ転送されたあとに、
前記サーバー計算機から応答される内容が、前記代理応答部が既に前記クライアントへ代理応答を行った内容と重複する場合に、前記サーバー計算機から応答される内容を前記クライアント計算機へ転送しないことを特徴とする請求項5または請求項6に記載のサーバー計算機保護装置。 - アクセス要求受け付け手段と、接続要求数計測手段と、データ供給数計測手段と、サーバー負荷検査手段と、アクセス要求転送手段とを備えるサーバー計算機保護装置のサーバー計算機保護方法であって、
前記アクセス要求受け付け手段が、クライアント計算機から送られてくるアクセス要求パケットをサーバー計算機の代わりに受け付けるステップと、
前記接続要求数計測手段が、前記アクセス要求パケット内の接続要求パケットを受け付けるのに対応して、所定期間内にクライアント計算機から届いた接続要求パケットの数である接続要求数を計測するステップと、
前記データ供給数計測手段が、前記所定期間内にサーバー計算機からクライアント計算機へデータ供給している数であるデータ供給数を計測するステップと、
前記サーバー負荷検査手段が、前記接続要求数及びデータ供給数を用いて前記サーバー計算機の負荷状態を検査する検査ステップと、
前記アクセス要求転送手段が、検査された前記サーバー計算機の負荷が所定の負荷を超えていないと判断された場合、前記アクセス要求パケットを前記サーバー計算機へ転送するステップと、を備え、
前記検査ステップにおいて、前記サーバー負荷検査手段は、前記接続要求数計測手段の出力結果が、前記データ供給数計測手段の出力結果よりも大きい場合、前記サーバー計算機の負荷が前記所定の負荷を超過すると判断することを特徴とするサーバー計算機保護方法。 - アクセス要求受け付け手段と、接続要求数計測手段と、データ供給数計測手段と、サーバー負荷検査手段と、アクセス要求転送手段とを備えるサーバー計算機保護装置のサーバー計算機保護方法であって、
前記アクセス要求受け付け手段が、クライアント計算機から送られてくるアクセス要求パケットをサーバー計算機の代わりに受け付けるステップと、
前記接続要求数計測手段が、前記アクセス要求パケット内の接続要求パケットを受け付けるのに対応して、所定期間内にクライアント計算機から届いた接続要求パケットの数である接続要求数を計測するステップと、
前記データ供給数計測手段が、前記所定期間内にサーバー計算機からクライアント計算機へデータ供給している数であるデータ供給数を計測するステップと、
前記サーバー負荷検査手段が、前記接続要求数及びデータ供給数を用いて前記サーバー計算機の負荷状態を検査するステップと、
前記アクセス要求転送手段が、検査された前記サーバー計算機の負荷が所定の負荷を超えていないと判断された場合、前記アクセス要求パケットを前記サーバー計算機へ転送するステップと、を備えるサーバー計算機保護方法。 - クライアント計算機から送られてくるアクセス要求パケットをサーバー計算機の代わりに受け付けるステップと、
前記アクセス要求パケット内の接続要求パケットを受け付けるのに対応して、所定期間内にクライアント計算機から届いた接続要求パケットの数である接続要求数を計測するステップと、
前記所定期間内にサーバー計算機からクライアント計算機へデータ供給している数であるデータ供給数を計測するステップと、
前記接続要求数及びデータ供給数を用いて前記サーバー計算機の負荷状態を検査する検査ステップと、
検査された前記サーバー計算機の負荷が所定の負荷を超えていないと判断された場合、前記アクセス要求パケットを前記サーバー計算機へ転送するステップと、をコンピュータに実行させ、
前記検査ステップにおいて、前記コンピュータに、前記接続要求数計測手段の出力結果が、前記データ供給数計測手段の出力結果よりも大きい場合、前記サーバー計算機の負荷が前記所定の負荷を超過すると判断させるためのサーバー計算機保護プログラム。 - クライアント計算機から送られてくるアクセス要求パケットをサーバー計算機の代わりに受け付けるステップと、
前記アクセス要求パケット内の接続要求パケットを受け付けるのに対応して、所定期間内にクライアント計算機から届いた接続要求パケットの数である接続要求数を計測するステップと、
前記所定期間内にサーバー計算機からクライアント計算機へデータ供給している数であるデータ供給数を計測するステップと、
前記接続要求数及びデータ供給数を用いて前記サーバー計算機の負荷状態を検査するステップと、
検査された前記サーバー計算機の負荷が所定の負荷を超えていないと判断された場合、前記アクセス要求パケットを前記サーバー計算機へ転送するステップと、をコンピュータに実行させるためのサーバー計算機保護プログラム。 - クライアント計算機からの要求に応じたデータを供給するサーバー計算機であって、
前記サーバー計算機はサーバー計算機保護装置を含み、
前記サーバー計算機保護装置は、前記クライアント計算機から送られてくるアクセス要求パケットを前記サーバー計算機の代わりに受け付けるアクセス要求受け付け手段と、前記アクセス受け付け手段が前記アクセス要求パケット内の接続要求パケットを受け付けるのに対応して、所定期間内にクライアント計算機から届いた接続要求パケットの数を計測する接続要求数計測手段と、前記所定期間内にサーバー計算機からクライアント計算機へデータ供給している数を計測するデータ供給数計測手段と、前記データ供給数計測手段及び接続要求数計測手段の出力結果を用いて前記サーバー計算機の負荷状態を検査するサーバー負荷検査手段と、前記サーバー負荷検査手段によって検査されたサーバー計算機の負荷が所定の負荷を超えていないと判断された場合は、前記アクセス要求パケットを前記サーバー計算機へ転送するアクセス要求転送手段と、を備え、前記サーバー負荷検査手段は、前記接続要求数計測手段の出力結果が、前記データ供給数計測手段の出力結果よりも大きい場合、前記サーバー計算機の負荷が前記所定の負荷を超過すると判断することを特徴とするサーバー計算機。 - クライアント計算機からの要求に応じたデータを供給するサーバー計算機であって、
前記サーバー計算機はサーバー計算機保護装置を含み、
前記サーバー計算機保護装置は、前記クライアント計算機から送られてくるアクセス要求パケットを前記サーバー計算機の代わりに受け付けるアクセス要求受け付け手段と、前記アクセス受け付け手段が前記アクセス要求パケット内の接続要求パケットを受け付けるのに対応して、所定期間内にクライアント計算機から届いた接続要求パケットの数を計測する接続要求数計測手段と、前記所定期間内にサーバー計算機からクライアント計算機へデータ供給している数を計測するデータ供給数計測手段と、前記データ供給数計測手段及び接続要求数計測手段の出力結果を用いて前記サーバー計算機の負荷状態を検査するサーバー負荷検査手段と、前記サーバー負荷検査手段によって検査されたサーバー計算機の負荷が所定の負荷を超えていないと判断された場合は、前記アクセス要求パケットを前記サーバー計算機へ転送するアクセス要求転送手段と、を備えることを特徴とするサーバー計算機。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008035125A JP4538055B2 (ja) | 2001-09-27 | 2008-02-15 | サーバー計算機保護装置、サーバー計算機保護方法、サーバー計算機保護プログラム及びサーバー計算機 |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001295368 | 2001-09-27 | ||
| JP2008035125A JP4538055B2 (ja) | 2001-09-27 | 2008-02-15 | サーバー計算機保護装置、サーバー計算機保護方法、サーバー計算機保護プログラム及びサーバー計算機 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002093667A Division JP4434551B2 (ja) | 2001-09-27 | 2002-03-29 | サーバー計算機保護装置、サーバー計算機保護方法、サーバー計算機保護プログラム及びサーバー計算機 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008178121A JP2008178121A (ja) | 2008-07-31 |
| JP4538055B2 true JP4538055B2 (ja) | 2010-09-08 |
Family
ID=39704742
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008035125A Expired - Fee Related JP4538055B2 (ja) | 2001-09-27 | 2008-02-15 | サーバー計算機保護装置、サーバー計算機保護方法、サーバー計算機保護プログラム及びサーバー計算機 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4538055B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5870009B2 (ja) * | 2012-02-20 | 2016-02-24 | アラクサラネットワークス株式会社 | ネットワークシステム、ネットワーク中継方法及び装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000122939A (ja) * | 1998-10-12 | 2000-04-28 | Toshiba Corp | アプリケーションゲートウェイの通信制御方法 |
| JP2001244957A (ja) * | 2000-02-28 | 2001-09-07 | Fujitsu Ltd | Tcp終端機能付きipルータ装置および媒体 |
-
2008
- 2008-02-15 JP JP2008035125A patent/JP4538055B2/ja not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000122939A (ja) * | 1998-10-12 | 2000-04-28 | Toshiba Corp | アプリケーションゲートウェイの通信制御方法 |
| JP2001244957A (ja) * | 2000-02-28 | 2001-09-07 | Fujitsu Ltd | Tcp終端機能付きipルータ装置および媒体 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2008178121A (ja) | 2008-07-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4434551B2 (ja) | サーバー計算機保護装置、サーバー計算機保護方法、サーバー計算機保護プログラム及びサーバー計算機 | |
| US8850046B2 (en) | Securing an access provider | |
| US8856913B2 (en) | Method and protection system for mitigating slow HTTP attacks using rate and time monitoring | |
| EP2289221B1 (en) | Network intrusion protection | |
| US9578055B1 (en) | Thwarting drone-waged denial of service attacks on a network | |
| US7990866B2 (en) | Server device, method for controlling a server device, and method for establishing a connection using the server device | |
| US8925068B2 (en) | Method for preventing denial of service attacks using transmission control protocol state transition | |
| US8769681B1 (en) | Methods and system for DMA based distributed denial of service protection | |
| JP4743894B2 (ja) | データ・パケットを伝送しながらセキュリティを改良するための方法及び装置 | |
| US20040015721A1 (en) | Denial of service defense by proxy | |
| US20050166049A1 (en) | Upper-level protocol authentication | |
| JP4503934B2 (ja) | サーバ計算機保護装置、サーバ計算機保護方法、サーバ計算機保護プログラム及びサーバ計算機 | |
| JP2009239525A (ja) | フィルタリング装置、フィルタリング方法およびフィルタリングプログラム | |
| US8429742B2 (en) | Detection of a denial of service attack on an internet server | |
| Simpson | TCP cookie transactions (TCPCT) | |
| KR101463873B1 (ko) | 정보 유출 차단 장치 및 방법 | |
| JP2006331015A (ja) | サーバ装置保護システム | |
| JP4538055B2 (ja) | サーバー計算機保護装置、サーバー計算機保護方法、サーバー計算機保護プログラム及びサーバー計算機 | |
| US20080052402A1 (en) | Method, a Computer Program, a Device, and a System for Protecting a Server Against Denial of Service Attacks | |
| US8935406B1 (en) | Network adaptor configured for connection establishment offload | |
| JP5922622B2 (ja) | 制御装置、通信システム、および、通信制御方法 | |
| JP4005047B2 (ja) | サーバ計算機保護装置 | |
| US8819252B1 (en) | Transaction rate limiting | |
| JP2005039591A (ja) | 不正アクセス防御装置及びプログラム | |
| JP3917546B2 (ja) | ネットワーク攻撃防止方法、ネットワーク攻撃防止装置、ネットワーク攻撃防止プログラム及びそのプログラムを記録した記録媒体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100209 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100312 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100427 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100521 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100618 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130625 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |