JP4662150B2 - ファイアウォール装置 - Google Patents
ファイアウォール装置 Download PDFInfo
- Publication number
- JP4662150B2 JP4662150B2 JP2005331943A JP2005331943A JP4662150B2 JP 4662150 B2 JP4662150 B2 JP 4662150B2 JP 2005331943 A JP2005331943 A JP 2005331943A JP 2005331943 A JP2005331943 A JP 2005331943A JP 4662150 B2 JP4662150 B2 JP 4662150B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- address
- classified
- control means
- arithmetic control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、ネットワークに接続されたネットワーク機器をDDos攻撃(Distributed Denial of Service attacks:以下、単にDDosと呼ぶ。)等から防御するファイアウォール装置に関し、特に装置の設定が容易で無駄なトラフィックの低減が可能なファイアウォール装置に関する。
従来のネットワークに接続されたネットワーク機器をDDos攻撃等から防御するファイアウォール装置に関連する先行技術文献としては次のようなものがある。
また、Webサーバ等のサーバへのDDos攻撃としては、TCP(Transmission Control Protocol)で接続を確立する際の手順において最後のACK(ACKnowledgement)パケットを受信するまでサーバ側が応答待ち状態になることを悪用したSYNフラッド攻撃、ひたすらリロードを繰り返す攻撃、アップロード用のフォーム等にデータをPOSTメッソドを用いて送り続ける攻撃等が存在する。
図4はこのような攻撃を防御するファイアウォール装置が設置されたネットワークシステムの一例を示す構成ブロック図である。図4において1はネットワーク上の不正アクセス等を検知する侵入検知装置(IDS:Intrusion Detection System)、2は通信の制限を行うファイアウォール装置、3は攻撃対象となるWebサーバ等のサーバ、100はインターネット等の汎用のネットワーク、101は外部ネットワークと内部ネットワークとの間に位置するDMZ(DeMilitarized Zone)に設置されたネットワークである。
侵入検知装置1はネットワーク100に相互に接続され、侵入検知装置1の出力はファイアウォール装置2に接続される。ファイアウォール装置2の一方の通信入出力端はネットワーク100に相互に接続され、ファイアウォール装置2の他方の通信入出力端はネットワーク101に相互に接続される。また、サーバ3はネットワーク101に相互に接続される。
ここで、図4に示す従来例の動作を説明する。図4に示す従来例は侵入検知装置1とファアウォール装置2とが連携する構成である。
侵入検知装置1はネットワーク100上を伝播してサーバ3に送信される攻撃パケットの有無を監視し、もし、侵入検知装置1が攻撃パケットを検知した場合、攻撃パケットの送信元のIP(Internet Protocol)アドレスをファイアウォール装置2に通知する。
このように、侵入検知装置1から攻撃パケットの送信元のIPアドレスの通知を受けたファイアウォール装置2は、当該IPアドレスを有するパケットのサーバ3への転送を遮断して、当該パケットがネットワーク101に接続されているサーバ3へ伝播しないように制御する。
この結果、侵入検知装置1で攻撃パケットを監視し、攻撃パケットを検知した場合には、ファイアウォール装置2で検知された攻撃パケットと同一のIPアドレスを有するパケットのサーバ3への転送を遮断することにより、サーバ3に対する攻撃パケットを防御することが可能になる。
また、図5はファイアウォール装置が設置されたネットワークシステムの他の一例を示す構成ブロック図である。図5において4は通信の制限を行うファイアウォール装置、5は特定サーバの代理として特定サーバへの通信を中継するリバースプロキシサーバ、6は攻撃対象となるWebサーバ等のサーバ、100aはインターネット等の汎用のネットワーク、101aは外部ネットワークと内部ネットワークとの間に位置するDMZに設置されたネットワークである。
ファイアウォール装置4の一方の通信入出力端はネットワーク100aに相互に接続され、ファイアウォール装置4の他方の通信入出力端はネットワーク101aに相互に接続される。また、リバースプロキシサーバ5はネットワーク101aに相互に接続され、リバースプロキシサーバ5にはサーバ6が相互に接続される。
ここで、図5に示す従来例の動作を説明する。図5に示す従来例ではリバースプロキシサーバ5がサーバ6の代理としてサーバ6への通信を中継する構成となっている。
ネットワーク100a上を伝播するパケットはファイアウォール装置4を通過し、ネットワーク101aを介してリバースプロキシサーバ5に一旦蓄積される。この時、クライアント(図示せず。)との間で、接続が一旦確立される。
そして、リバースプロキシサーバ5は蓄積されているパケットの内容を検査して正常なパケットのみをサーバ6に転送して、クライアント(図示せず。)との間で接続を確立させる。
この結果、リバースプロキシサーバ5が送信されてきたパケットを一旦蓄積し、蓄積されたパケットの内容を検査して、正常なパケットのみをサーバ6に転送することにより、サーバ6に対する攻撃パケットを防御することが可能になる。
しかし、図4に示す従来例では侵入検知装置1でどのようなパケットを攻撃パケットとして検知するかの設定や、攻撃パケットを検知した場合の動作を行うファームウェアの設定等の様々な設定作業が必要であるものの、当該設定作業には熟練を要するため、設定作業が煩雑であると言った問題点があった。
また、誤った設定作業を行った場合には、正常パケットの誤検知や攻撃パケットの不検知等が生じてしまい正常に機能しないといった問題点があった。
また、図5に示す従来例ではリバースプロキシサーバ5が、送信されてきたパケットを一旦蓄積するので、蓄積されるパケットの容量がリバースプロキシサーバ5の記憶容量を超過した場合には動作できなくなってしまうと言った問題点があった。
また、パケットを一旦蓄積する際に、クライアント(図示せず。)との間で接続を一旦確立するので、正常パケットのみならず、攻撃パケットに対しても接続確立(無駄なトラフィック)に伴う通信料金が発生してしまうと言った問題点があった。
従って本発明が解決しようとする課題は、装置の設定が容易で無駄なトラフィックの低減が可能なファイアウォール装置を実現することにある。
従って本発明が解決しようとする課題は、装置の設定が容易で無駄なトラフィックの低減が可能なファイアウォール装置を実現することにある。
ファイアウォール装置において、
ネットワークとの間で通信を行う第1の通信手段と、
攻撃対象となる機器との間で通信を行う第2の通信手段と、
記憶手段と、
前記第1の通信手段で受信され不自然なアクセスと判断されたパケットの送信元IPアドレスを取得して一定期間当該IPアドレスからのパケットの前記機器へ転送を遮断すると共に前記パケットを分類して情報を前記記憶手段に記録する演算制御手段と
を備え、
前記演算制御手段が、
前記第1の通信手段で受信され不自然なアクセスと判断されたパケットの送信元IPアドレスを取得して一定期間当該IPアドレスからのパケットのサーバへの転送を遮断し、 不自然なアクセスと判断された前記パケットをWWWポートへのパケット、WWWポートからのパケット、或いは、それ以外のパケットに分類し、
WWWポートへのパケットと、WWWポートからのパケットをデータパケット、或いは、HTTPリクエストパケット又はHTTPリプライパケットに分類することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
ネットワークとの間で通信を行う第1の通信手段と、
攻撃対象となる機器との間で通信を行う第2の通信手段と、
記憶手段と、
前記第1の通信手段で受信され不自然なアクセスと判断されたパケットの送信元IPアドレスを取得して一定期間当該IPアドレスからのパケットの前記機器へ転送を遮断すると共に前記パケットを分類して情報を前記記憶手段に記録する演算制御手段と
を備え、
前記演算制御手段が、
前記第1の通信手段で受信され不自然なアクセスと判断されたパケットの送信元IPアドレスを取得して一定期間当該IPアドレスからのパケットのサーバへの転送を遮断し、 不自然なアクセスと判断された前記パケットをWWWポートへのパケット、WWWポートからのパケット、或いは、それ以外のパケットに分類し、
WWWポートへのパケットと、WWWポートからのパケットをデータパケット、或いは、HTTPリクエストパケット又はHTTPリプライパケットに分類することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
請求項2記載の発明は、
請求項1記載の発明であるファイアウォール装置において、
前記演算制御手段が、
WWWポートへのパケット、且つ、データパケットに分類されたパケットのデータ量を計測すると共に当該データ量を前記記憶手段に記録することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
請求項1記載の発明であるファイアウォール装置において、
前記演算制御手段が、
WWWポートへのパケット、且つ、データパケットに分類されたパケットのデータ量を計測すると共に当該データ量を前記記憶手段に記録することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
請求項3記載の発明は、
請求項1記載の発明であるファイアウォール装置において、
前記演算制御手段が、
WWWポートへのパケットに分類されたパケットの送信元IPアドレスを前記記憶手段に記録することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
請求項1記載の発明であるファイアウォール装置において、
前記演算制御手段が、
WWWポートへのパケットに分類されたパケットの送信元IPアドレスを前記記憶手段に記録することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
請求項4記載の発明は、
請求項1記載の発明であるファイアウォール装置において、
前記演算制御手段が、
WWWポートからのパケット、且つ、HTTPリプライパケットに分類されたパケットの応答コードを前記記憶手段に記録することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
請求項1記載の発明であるファイアウォール装置において、
前記演算制御手段が、
WWWポートからのパケット、且つ、HTTPリプライパケットに分類されたパケットの応答コードを前記記憶手段に記録することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
請求項5記載の発明は、
請求項1記載の発明であるファイアウォール装置において、
前記演算制御手段が、
WWWポートへのパケット、且つ、HTTPリクエストパケットに分類されたパケットのメソッドを判定して当該メソッドを前記記憶手段に記録することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
請求項1記載の発明であるファイアウォール装置において、
前記演算制御手段が、
WWWポートへのパケット、且つ、HTTPリクエストパケットに分類されたパケットのメソッドを判定して当該メソッドを前記記憶手段に記録することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
請求項6記載の発明は、
請求項1記載の発明であるファイアウォール装置において、
前記演算制御手段が、
WWWポートへのパケット、且つ、HTTPリクエストパケットに分類されたパケットのバージョンを判定して当該バージョンを前記記憶手段に記録することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
請求項1記載の発明であるファイアウォール装置において、
前記演算制御手段が、
WWWポートへのパケット、且つ、HTTPリクエストパケットに分類されたパケットのバージョンを判定して当該バージョンを前記記憶手段に記録することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
請求項7記載の発明は、
請求項1記載の発明であるファイアウォール装置において、
前記演算制御手段が、
WWWポートへのパケット、且つ、HTTPリクエストパケットに分類されたパケットがターゲットとするURLのアスキー文字のSUM値を演算して当該SUM値を前記記憶手段に記録することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
請求項1記載の発明であるファイアウォール装置において、
前記演算制御手段が、
WWWポートへのパケット、且つ、HTTPリクエストパケットに分類されたパケットがターゲットとするURLのアスキー文字のSUM値を演算して当該SUM値を前記記憶手段に記録することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
請求項8記載の発明は、
請求項1記載の発明であるファイアウォール装置において、
前記演算制御手段が、
WWWポートへのパケット、且つ、HTTPリクエストパケットに分類されたパケットのメソッド及びバージョンを判定し、WWWポートへのパケット、且つ、HTTPリクエストパケットに分類されたパケットがターゲットとするURLのアスキー文字のSUM値を演算し、前記メソッド、前記バージョン及び前記SUM値にハッシュ関数を適用してハッシュ値を生成し、対応する送信元IPアドレスに対応付けて前記記憶手段に記録することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
請求項1記載の発明であるファイアウォール装置において、
前記演算制御手段が、
WWWポートへのパケット、且つ、HTTPリクエストパケットに分類されたパケットのメソッド及びバージョンを判定し、WWWポートへのパケット、且つ、HTTPリクエストパケットに分類されたパケットがターゲットとするURLのアスキー文字のSUM値を演算し、前記メソッド、前記バージョン及び前記SUM値にハッシュ関数を適用してハッシュ値を生成し、対応する送信元IPアドレスに対応付けて前記記憶手段に記録することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
請求項9記載の発明は、
請求項1記載の発明であるファイアウォール装置において、
前記演算制御手段が、
WWWポートへのパケット、且つ、データパケットに分類されたパケットのデータ量を計測すると共に当該データ量を前記記憶手段に記録し、WWWポートへのパケットに分類されたパケットの送信元IPアドレスを前記記憶手段に記録し、WWWポートからのパケット、且つ、HTTPリプライパケットに分類されたパケットの応答コードを前記記憶手段に記録し、WWWポートへのパケット、且つ、HTTPリクエストパケットに分類されたパケットのメソッド及びバージョンを判定し、WWWポートへのパケット、且つ、HTTPリクエストパケットに分類されたパケットがターゲットとするURLのアスキー文字のSUM値を演算し、前記メソッド、前記バージョン及び前記SUM値にハッシュ関数を適用してハッシュ値を生成し、対応する送信元IPアドレスに対応付けて前記記憶手段に記録することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
請求項1記載の発明であるファイアウォール装置において、
前記演算制御手段が、
WWWポートへのパケット、且つ、データパケットに分類されたパケットのデータ量を計測すると共に当該データ量を前記記憶手段に記録し、WWWポートへのパケットに分類されたパケットの送信元IPアドレスを前記記憶手段に記録し、WWWポートからのパケット、且つ、HTTPリプライパケットに分類されたパケットの応答コードを前記記憶手段に記録し、WWWポートへのパケット、且つ、HTTPリクエストパケットに分類されたパケットのメソッド及びバージョンを判定し、WWWポートへのパケット、且つ、HTTPリクエストパケットに分類されたパケットがターゲットとするURLのアスキー文字のSUM値を演算し、前記メソッド、前記バージョン及び前記SUM値にハッシュ関数を適用してハッシュ値を生成し、対応する送信元IPアドレスに対応付けて前記記憶手段に記録することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
請求項10記載の発明は、
請求項1乃至請求項9のいずれかに記載の発明であるファイアウォール装置において、
前記演算制御手段が、
特定のIPアドレスからPOSTメソッド以外のメソッドで同じURLに対して繰り返しアクセスする場合、不自然なアクセスであると判断することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
請求項1乃至請求項9のいずれかに記載の発明であるファイアウォール装置において、
前記演算制御手段が、
特定のIPアドレスからPOSTメソッド以外のメソッドで同じURLに対して繰り返しアクセスする場合、不自然なアクセスであると判断することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
請求項11記載の発明は、
請求項1乃至請求項9のいずれかに記載の発明であるファイアウォール装置において、
前記演算制御手段が、
特定のIPアドレスからPOSTメソッドで同じURLに大量のデータを送信する場合、不自然なアクセスであると判断することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
請求項1乃至請求項9のいずれかに記載の発明であるファイアウォール装置において、
前記演算制御手段が、
特定のIPアドレスからPOSTメソッドで同じURLに大量のデータを送信する場合、不自然なアクセスであると判断することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
請求項12記載の発明は、
請求項1乃至請求項9のいずれかに記載の発明であるファイアウォール装置において、
前記演算制御手段が、
特定のIPアドレスから適当なURLに大量のアクセスを行う場合、不自然なアクセスであると判断することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
請求項13記載の発明は、
請求項1乃至請求項12のいずれかに記載の発明であるファイアウォール装置において、
前記演算制御手段が、
前記不自然なアクセスと判断されたパケットを分類した前記データ量、前記送信元IPアドレス、前記応答コード、前記メソッド、前記当該バージョン、前記SUM値又は前記ハッシュ値の少なくともいずれかを記録し、装置の設定を行うことにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
請求項1乃至請求項9のいずれかに記載の発明であるファイアウォール装置において、
前記演算制御手段が、
特定のIPアドレスから適当なURLに大量のアクセスを行う場合、不自然なアクセスであると判断することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
請求項13記載の発明は、
請求項1乃至請求項12のいずれかに記載の発明であるファイアウォール装置において、
前記演算制御手段が、
前記不自然なアクセスと判断されたパケットを分類した前記データ量、前記送信元IPアドレス、前記応答コード、前記メソッド、前記当該バージョン、前記SUM値又は前記ハッシュ値の少なくともいずれかを記録し、装置の設定を行うことにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
本発明によれば次のような効果がある。
請求項1,2,3,4,5,6,7,8,9,10,11,12及び請求項13の発明によれば、ファイアウォール装置(具体的には、演算制御手段)が、不自然なアクセスと判断されたパケットの送信元IPアドレスを取得して一定期間当該IPアドレスからのパケットのサーバへの転送をフィルタリング(遮断)すると共に、不自然なアクセスと判断されたパケットを適宜分類して情報を記録することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
請求項1,2,3,4,5,6,7,8,9,10,11,12及び請求項13の発明によれば、ファイアウォール装置(具体的には、演算制御手段)が、不自然なアクセスと判断されたパケットの送信元IPアドレスを取得して一定期間当該IPアドレスからのパケットのサーバへの転送をフィルタリング(遮断)すると共に、不自然なアクセスと判断されたパケットを適宜分類して情報を記録することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
以下本発明を図面を用いて詳細に説明する。図1は本発明に係るファイアウォール装置が設置されたネットワークシステムの一実施例を示す構成ブロック図である。
図1において7は通信の制限を行うファイアウォール装置、8は攻撃対象となる機器であるWebサーバ等のサーバ、100bはインターネット等の汎用のネットワークである。ファイアウォール装置7の一方の通信入出力端はネットワーク100bに相互に接続され、ファイアウォール装置7の他方の通信入出力端はサーバ8が相互に接続される。
また、図2はファイアウォール装置7の具体例を示す構成ブロック図である。図2において9はネットワーク101bとの間で通信を行う通信手段、10はCPU(Central Processing Unit)等のファイアウォール装置全体を制御する演算制御手段、11はRAM(Random Access Memory)、フラッシュメモリ、ハードディスク等の記憶手段、12はサーバ8との間で通信を行う通信手段である。
また、9,10,11及び12はファイアウォール装置50を構成している。さらに、記憶手段11にはファイアウォール装置50全体を制御するためのプログラムが格納されている。
通信手段9の通信入出力端はネットワーク101b(図示せず。)と相互に接続され、通信手段9の入出力は演算制御手段10に相互に接続される。また、通信手段12の通信入出力端はサーバ8の通信手段(図示せず。)と相互に接続され、通信手段12の入出力は演算制御手段10に相互に接続される。また、記憶手段11も演算制御手段10に相互に接続される。
ここで、図1及び図2に示す実施例の動作を図3を用いて説明する。図3はファイアウォール装置50を構成する演算制御手段10の動作を説明するフロー図である。
図3中”S001”において演算制御手段10は、通信手段9において受信されネットワーク100bからサーバ8への通信を監視して、サーバ8に対して不自然なアクセスがあったか否かを判断する。例えば、具体的には不自然なアクセスとは下記に示すような3つのパターンを想定する。
(1)特定のIPアドレスからPOSTメソッド以外のメソッドで同じURL(Uniform Resource Locator)やURI(Uniform Resource Identifier)等(以下、単にURLとして表記する。)に対して繰り返しアクセスする。
(2)特定のIPアドレスからPOSTメソッドで同じURLに大量のデータを送信する。
(3)特定のIPアドレスから適当なURLに大量のアクセスを行う。
(1)特定のIPアドレスからPOSTメソッド以外のメソッドで同じURL(Uniform Resource Locator)やURI(Uniform Resource Identifier)等(以下、単にURLとして表記する。)に対して繰り返しアクセスする。
(2)特定のIPアドレスからPOSTメソッドで同じURLに大量のデータを送信する。
(3)特定のIPアドレスから適当なURLに大量のアクセスを行う。
図3中”S001”においてサーバ8に対して不自然なアクセスがあったと判断した場合には、図3中”S002”において演算制御手段10は、不自然なアクセスと判断されたパケットの送信元IPアドレスを取得し、演算制御手段10は一定期間当該IPアドレスからのパケットのサーバ8への転送をフィルタリング(遮断)する。
そして、図3中”S003”において演算制御手段10は、不自然なアクセスと判断されたパケットの種類を分類する。具体的には、演算制御手段10は、不自然なアクセスと判断されたパケットを”WWW(World Wide Web)ポートへのパケット”、”WWWポートからのパケット”、或いは、”それ以外のパケット”に分類する。
さらに、演算制御手段10は、先に分類された”WWWポートへのパケット”と、”WWWポートからのパケット”を”データパケット”、或いは、”HTTPリクエストパケット”又は”HTTP(HyperText Transfer Protocol)リプライパケット”に分類する。
図3中”S004”において演算制御手段10は、”WWWポートへのパケット”且つ”データパケット”に分類されたパケットのデータ量を計測すると共に当該データ量を記憶手段11に記録する。
図3中”S005”において演算制御手段10は、”WWWポートへのパケット”に分類されたパケットの送信元IPアドレスを記憶手段11に記録し、”WWWポートからのパケット”且つ”HTTPリプライパケット”に分類されたパケットの応答コードを記憶手段11に記録する。
図3中”S006”において演算制御手段10は。”WWWポートへのパケット”且つ”HTTPリクエストパケット”に分類されたパケットのメソッド及びバージョンを判定する。
例えば、演算制御手段10は、”WWWポートへのパケット”且つ”HTTPリクエストパケット”に分類されたパケットが”POSTメソッド”、”GETメソッド”、”HEADメソッド”、或いは、”その他のメソッド”であるか等を判定する。
また、例えば、演算制御手段10は、”WWWポートへのパケット”且つ”HTTPリクエストパケット”に分類されたパケットが”HTTP0.9”、”HTTP1.0”、”HTTP1.1”、或いは、”その他のバージョン”であるか等を判定する。
図3中”S007”において演算制御手段10は、”WWWポートへのパケット”且つ”HTTPリクエストパケット”に分類されたパケットがターゲットとするURLのアスキー文字列のSUM値を演算する。
最後に、図3中”S008”において演算制御手段10は、”WWWポートへのパケット”且つ”HTTPリクエストパケット”に分類されたパケットの判定されたメソッド、バージョン及びSUM値にハッシュ関数を適用してハッシュ値を生成し、対応する送信元IPアドレスに対応付けて記憶手段11に記録する。
ここで、ハッシュ関数とは、原文から固定長の疑似乱数(ハッシュ値)を生成する関数であって、このハッシュ関数は不可逆な一方向関数を含むために生成されたハッシュ値から元の原文を再現することはできない。また、同じハッシュ値となる異なるデータを作成することは極めて困難である。
このように、メソッド、バージョン及びSUM値等の複数の情報をハッシュ値として記録しておくことにより、記憶手段11の記憶容量を節約することが可能になる。また、新たに取得したパケットのメソッド、バージョン及びSUM値等の複数の情報から生成されたハッシュ値が記憶手段11に記憶されているハッシュ値と一致すれば同一のパケットであると判断することができる。
すなわち、ファイアウォール装置50(具体的には、演算制御手段10)は、不自然なアクセスと判断されたパケットの送信元IPアドレスを取得して一定期間当該IPアドレスからのパケットのサーバ8への転送をフィルタリング(遮断)すると共に、不自然なアクセスと判断されたパケットを適宜分類して情報を記録する。
このように記憶された情報は必要に応じてISP(Internet Service Provider)の情報収集サーバ等にアップロードして提供することができ、攻撃パケットの対応に活用することが可能になる。
また、リバースプロキシサーバを用いないので、パケットを一旦蓄積する際に、クライアントとの間で接続を一旦確立する必要性はなく無駄なトラフィックを低減することができる。
この結果、ファイアウォール装置50(具体的には、演算制御手段10)が、不自然なアクセスと判断されたパケットの送信元IPアドレスを取得して一定期間当該IPアドレスからのパケットのサーバ8への転送をフィルタリング(遮断)すると共に、不自然なアクセスと判断されたパケットを適宜分類して情報を記録することにより、装置の設定が容易で無駄なトラフィックの低減が可能になる。
なお、図1に示す実施例の説明に際しては、分類されたパケットの判定されたメソッド、バージョン及びSUM値にハッシュ関数を適用してハッシュ値を生成する旨記載されているが、メソッド、バージョン及びSUM値それぞれにハッシュ関数を適用してハッシュ値を生成しても構わない。
また、記憶手段11の記憶容量に余裕があれば、ハッシュ値に変換することなく、そのまま情報を記録しておいても構わない。
また、図1に示す実施例の説明では、記憶手段11に記憶する情報としてはデータ量、送信元IPアドレス、応答コード、ハッシュ値(具体的には、メソッド、バージョン及びSUM値)が例示されているが、勿論、これに限定される訳ではなく、データ量、送信元IPアドレス、応答コード、或いは、ハッシュ値のうち少なくとも一つを記憶手段11に記録するものであっても構わない。
1 侵入検知装置
2,4,7,50 ファイアウォール装置
3,6,8 サーバ
5 リバースプロキシサーバ
9,12 通信手段
10 演算制御手段
11 記憶手段
100,100a,100b,101,101a ネットワーク
2,4,7,50 ファイアウォール装置
3,6,8 サーバ
5 リバースプロキシサーバ
9,12 通信手段
10 演算制御手段
11 記憶手段
100,100a,100b,101,101a ネットワーク
Claims (13)
- ファイアウォール装置において、
ネットワークとの間で通信を行う第1の通信手段と、
攻撃対象となる機器との間で通信を行う第2の通信手段と、
記憶手段と、
前記第1の通信手段で受信され不自然なアクセスと判断されたパケットの送信元IPアドレスを取得して一定期間当該IPアドレスからのパケットの前記機器へ転送を遮断すると共に前記パケットを分類して情報を前記記憶手段に記録する演算制御手段と
を備え、
前記演算制御手段が、
前記第1の通信手段で受信され不自然なアクセスと判断されたパケットの送信元IPアドレスを取得して一定期間当該IPアドレスからのパケットのサーバへの転送を遮断し、 不自然なアクセスと判断された前記パケットをWWWポートへのパケット、WWWポートからのパケット、或いは、それ以外のパケットに分類し、
WWWポートへのパケットと、WWWポートからのパケットをデータパケット、或いは、HTTPリクエストパケット又はHTTPリプライパケットに分類することを特徴とするファイアウォール装置。 - 前記演算制御手段が、
WWWポートへのパケット、且つ、データパケットに分類されたパケットのデータ量を計測すると共に当該データ量を前記記憶手段に記録することを特徴とする請求項1記載のファイアウォール装置。 - 前記演算制御手段が、
WWWポートへのパケットに分類されたパケットの送信元IPアドレスを前記記憶手段に記録することを特徴とする請求項1記載のファイアウォール装置。 - 前記演算制御手段が、
WWWポートからのパケット、且つ、HTTPリプライパケットに分類されたパケットの応答コードを前記記憶手段に記録することを特徴とする請求項1記載のファイアウォール装置。 - 前記演算制御手段が、
WWWポートへのパケット、且つ、HTTPリクエストパケットに分類されたパケットのメソッドを判定して当該メソッドを前記記憶手段に記録することを特徴とする請求項1記載のファイアウォール装置。 - 前記演算制御手段が、
WWWポートへのパケット、且つ、HTTPリクエストパケットに分類されたパケットのバージョンを判定して当該バージョンを前記記憶手段に記録することを特徴とすることを特徴とする請求項1記載のファイアウォール装置。 - 前記演算制御手段が、
WWWポートへのパケット、且つ、HTTPリクエストパケットに分類されたパケットがターゲットとするURLのアスキー文字のSUM値を演算して当該SUM値を前記記憶手段に記録することを特徴とする請求項1記載のファイアウォール装置。 - 前記演算制御手段が、
WWWポートへのパケット、且つ、HTTPリクエストパケットに分類されたパケットのメソッド及びバージョンを判定し、
WWWポートへのパケット、且つ、HTTPリクエストパケットに分類されたパケットがターゲットとするURLのアスキー文字のSUM値を演算し、
前記メソッド、前記バージョン及び前記SUM値にハッシュ関数を適用してハッシュ値を生成し、対応する送信元IPアドレスに対応付けて前記記憶手段に記録することを特徴とする請求項1記載のファイアウォール装置。 - 前記演算制御手段が、
WWWポートへのパケット、且つ、データパケットに分類されたパケットのデータ量を計測すると共に当該データ量を前記記憶手段に記録し、
WWWポートへのパケットに分類されたパケットの送信元IPアドレスを前記記憶手段に記録し、
WWWポートからのパケット、且つ、HTTPリプライパケットに分類されたパケットの応答コードを前記記憶手段に記録し、
WWWポートへのパケット、且つ、HTTPリクエストパケットに分類されたパケットのメソッド及びバージョンを判定し、
WWWポートへのパケット、且つ、HTTPリクエストパケットに分類されたパケットがターゲットとするURLのアスキー文字のSUM値を演算し、
前記メソッド、前記バージョン及び前記SUM値にハッシュ関数を適用してハッシュ値を生成し、対応する送信元IPアドレスに対応付けて前記記憶手段に記録することを特徴とする請求項1記載のファイアウォール装置。 - 前記演算制御手段が、
特定のIPアドレスからPOSTメソッド以外のメソッドで同じURLに対して繰り返しアクセスする場合、不自然なアクセスであると判断することを特徴とする
請求項1乃至請求項9のいずれかに記載のファイアウォール装置。 - 前記演算制御手段が、
特定のIPアドレスからPOSTメソッドで同じURLに大量のデータを送信する場合、不自然なアクセスであると判断することを特徴とする
請求項1乃至請求項9のいずれかに記載のファイアウォール装置。 - 前記演算制御手段が、
特定のIPアドレスから適当なURLに大量のアクセスを行う場合、不自然なアクセスであると判断することを特徴とする
請求項1乃至請求項9のいずれかに記載のファイアウォール装置。 - 前記演算制御手段が、
前記不自然なアクセスと判断されたパケットを分類した前記データ量、前記送信元IPアドレス、前記応答コード、前記メソッド、前記当該バージョン、前記SUM値又は前記ハッシュ値の少なくともいずれかを記録し、装置の設定を行うことを特徴とする
請求項1乃至請求項12のいずれかに記載のファイアウォール装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005331943A JP4662150B2 (ja) | 2005-11-16 | 2005-11-16 | ファイアウォール装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005331943A JP4662150B2 (ja) | 2005-11-16 | 2005-11-16 | ファイアウォール装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007142664A JP2007142664A (ja) | 2007-06-07 |
| JP4662150B2 true JP4662150B2 (ja) | 2011-03-30 |
Family
ID=38205025
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005331943A Expired - Fee Related JP4662150B2 (ja) | 2005-11-16 | 2005-11-16 | ファイアウォール装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4662150B2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101674293B (zh) * | 2008-09-11 | 2013-04-03 | 阿里巴巴集团控股有限公司 | 一种分布式应用中处理非正常请求的方法及系统 |
| JP2011101192A (ja) * | 2009-11-05 | 2011-05-19 | Nippon Telegr & Teleph Corp <Ntt> | 伝送装置及び伝送方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003330887A (ja) * | 2002-05-15 | 2003-11-21 | Nippon Telegr & Teleph Corp <Ntt> | 不正アクセス警告装置、サーバ装置及び不正アクセス警告プログラム |
| JP2005044277A (ja) * | 2003-07-25 | 2005-02-17 | Fuji Xerox Co Ltd | 不正通信検出装置 |
-
2005
- 2005-11-16 JP JP2005331943A patent/JP4662150B2/ja not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003330887A (ja) * | 2002-05-15 | 2003-11-21 | Nippon Telegr & Teleph Corp <Ntt> | 不正アクセス警告装置、サーバ装置及び不正アクセス警告プログラム |
| JP2005044277A (ja) * | 2003-07-25 | 2005-02-17 | Fuji Xerox Co Ltd | 不正通信検出装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007142664A (ja) | 2007-06-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11075885B2 (en) | Methods and systems for API deception environment and API traffic control and security | |
| US10193911B2 (en) | Techniques for automatically mitigating denial of service attacks via attack pattern matching | |
| US8295188B2 (en) | VoIP security | |
| US7636305B1 (en) | Method and apparatus for monitoring network traffic | |
| US8793390B2 (en) | Systems and methods for protocol detection in a proxy | |
| US20180159825A1 (en) | Network host provided security system for local networks | |
| Spognardi et al. | A methodology for P2P file-sharing traffic detection | |
| CN110166480B (zh) | 一种数据包的分析方法及装置 | |
| US7746792B2 (en) | Method, detection device and server device for evaluation of an incoming communication to a communication device | |
| US10243983B2 (en) | System and method for using simulators in network security and useful in IoT security | |
| US20150033335A1 (en) | SYSTEMS AND METHODS TO DETECT AND RESPOND TO DISTRIBUTED DENIAL OF SERVICE (DDoS) ATTACKS | |
| US8490173B2 (en) | Unauthorized communication detection method | |
| KR101281160B1 (ko) | 하이퍼 텍스터 전송규약 요청 정보 추출을 이용한침입방지시스템 및 그를 이용한 유알엘 차단방법 | |
| JP2007267151A (ja) | 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム | |
| JP4662150B2 (ja) | ファイアウォール装置 | |
| Tas et al. | Novel session initiation protocol-based distributed denial-of-service attacks and effective defense strategies | |
| US8001243B2 (en) | Distributed denial of service deterrence using outbound packet rewriting | |
| JP6184381B2 (ja) | 暗号化されたデータフローを分類する方法および装置、コンピュータプログラム、ならびに情報記憶手段 | |
| US20160337402A1 (en) | Method of slowing down a communication in a network | |
| KR101104599B1 (ko) | 네트워크 상에서 tcp syn 플러딩 공격을 차단하는 장치 및 방법 | |
| Basicevic et al. | The value of flow size distribution in entropy‐based detection of DoS attacks | |
| Jansky et al. | Hunting sip authentication attacks efficiently | |
| KR101103744B1 (ko) | 양방향 트래픽 분석을 통한 서비스 거부 공격 탐지 방법 | |
| US20220030011A1 (en) | Demand management of sender of network traffic flow | |
| KR101231801B1 (ko) | 네트워크 상의 응용 계층 보호 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080916 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100630 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100715 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100913 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101209 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101222 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140114 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |