JP4697968B2 - 分散型サービス不能攻撃防止システム、方法、およびその帯域管理装置 - Google Patents
分散型サービス不能攻撃防止システム、方法、およびその帯域管理装置 Download PDFInfo
- Publication number
- JP4697968B2 JP4697968B2 JP2006061066A JP2006061066A JP4697968B2 JP 4697968 B2 JP4697968 B2 JP 4697968B2 JP 2006061066 A JP2006061066 A JP 2006061066A JP 2006061066 A JP2006061066 A JP 2006061066A JP 4697968 B2 JP4697968 B2 JP 4697968B2
- Authority
- JP
- Japan
- Prior art keywords
- token
- network
- amount
- attack
- distributed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
但し、Cは被攻撃サーバの処理能力(bps)、Nは任意の分割変数であるが、例えば、ネットワーク内に設置されている帯域制御装置の総数としても良い。
本発明の第一の形態を、図3、図4、図5に示すネットワーク環境、帯域制御装置、トークン分配装置と図6〜8のフローチャートを用いて説明する。
図3において、301はISPネットワークであり、302−0〜302−3は中継装置である。303は分散型サービス不能攻撃の攻撃対象となるDDoS被攻撃サーバであり、304はDDoS被攻撃サーバ303を有するLANである。305−0はISPネットワーク301とLAN304との接続点に配置された帯域制御装置#0である。305−1〜4はISPネットワーク301とISPネットワーク301に隣接する外部ネットワーク(図示していない)との接続点に配置された帯域制御装置#1〜#4である。306はトークン分配装置であり、307はトークン分配装置306が配置された運用センターである。LAN304は一般のネットワークでも良く、また、DDoS被攻撃サーバ303に接続するネットワークでも良い。図3に示す帯域制御装置#0〜#4(305−0〜4)は、通常はルータ装置が考えられ、図2に記載のトークン機能を具備したルータが帯域制御を行うことになるが、これはルータ装置に付加する外部制御装置でも良い。帯域制御装置#0〜#4(305−0〜4)は、エッジ装置、ボーダー装置等を含むゲート装置で良く、トークン分配装置306は一般的には帯域を管理する帯域管理装置でも良い。
ΔC=C/N ・・・ (式1)
からなる値を算出する手段を備える。また、トークン分配量算出部505は、DDoS被攻撃サーバ303の処理能力をCとすると、帯域制御装置#0(305−0)に送信するトークン分配量をCと算出する手段を備える。
本発明の帯域制御を実施する第二の実施形態として、第3の発明のトークン分配量算出手段を用いた帯域制御を、図6、8、9のフローチャートを用いて説明する。当該実施形態では、第一の実施形態について図6と8で説明した処理が同様に必要となり、図7に代わり図9の処理で実現される。従って、図9に示すフローチャートを特に説明する。
Claims (9)
- 複数の通信装置を接続してなる第1のネットワークと、分散型サービス不能攻撃の攻撃対象となるコンピュータを有するまたは分散型サービス不能攻撃の攻撃対象となるコンピュータに接続する第2のネットワークおよび前記第1のネットワークに隣接し前記第2のネットワークとは異なる第3のネットワークと、の接続点に配置されたゲート装置と、前記ゲート装置に対して伝送帯域制御値の指示を行う帯域管理装置とを有する分散型サービス不能攻撃防止システムであって、
前記ゲート装置は、
一定レートで発行されるトークンの有無と、指定されたパケット識別子に基づきパケットの伝送許可を判断する帯域制御装置であって、前記トークンの発行レートを伝送帯域制御値に基づいて指定することにより、攻撃対象のコンピュータを送信先とする正規パケットと攻撃容疑パケットの合計伝送帯域を前記伝送帯域制御値に基づいて制限するとともに、前記トークンの消費情報を前記帯域管理装置に送信する処理を行う装置であり、
前記帯域管理装置は、
前記ゲート装置に対して分配するトークンの量を制御するトークン分配装置であって、分散型サービス不能攻撃が検出されたことを示す攻撃検出情報を受信する攻撃検出情報受信手段と、前記ゲート装置のトークン消費情報を受信するトークン消費情報受信手段と、前記攻撃検出情報と前記トークン消費情報に基づきトークンを分配するゲート装置を決定し、トークンを増減するか否かを判定するトークン分配判定手段と、前記第3のネットワークから前記第1のネットワーク内に流入される正規パケットと攻撃容疑パケットの総量が前記分散型サービス不能攻撃の攻撃対象となるコンピュータのパケット処理能力以下に制限されるように前記第1のネットワークと前記第3のネットワークの接続点に配置されたゲート装置に分配するトークンの量であるトークン分配量を決定するトークン分配量算出手段と、前記トークン分配量を伝送帯域制御値として前記第1のネットワークと前記第3のネットワークの接続点に配置されたゲート装置に送信するトークン送信手段と、を備える
ことを特徴とする分散型サービス不能攻撃防止システム。 - 前記トークン分配判定手段は、前記第1のネットワークと前記第3のネットワークの接続点に配置された特定のゲート装置のトークン消費量がトークン分配量よりも一定値以上の場合に、トークンの残量があれば固定の単位トークン量を追加的に分配し、トークンの残量が無い場合には不分配とするトークン分配手段と、前記第1のネットワークと前記第3のネットワークの接続点に配置された特定のゲート装置のトークン消費量がトークン分配量よりも一定値以下の場合には、該ゲート装置からトークンを回収し不分配のゲート装置に対してトークンを分配するトークン回収手段と、を備え、
前記トークン分配量算出手段は、前記単位トークン量をΔCとし、トークンの分割変数をNとし、攻撃対象のコンピュータの処理能力をCとすると、
ΔC=C/N ・・・ (式1)
からなる値を算出する手段を備える
ことを特徴とする請求項1に記載の分散型サービス不能攻撃防止システム。 - 前記トークン分配判定手段は、前記第1のネットワークと前記第3のネットワークの接続点に配置された特定のゲート装置のトークン消費量がトークン分配量よりも一定値以上大きい場合、および一定値以上小さい場合に、前記第1のネットワークと前記第3のネットワークの接続点に配置されたトークンを分配済みのゲート装置に対してトークンの再分配を行うと判定する手段を備え、
前記トークン分配量算出手段は、前記第1のネットワークと前記第3のネットワークの接続点に配置されたゲート装置を識別する番号をiとし、前記第1のネットワークと前記第3のネットワークの接続点に配置されたトークン分配済みのゲート装置数をnとし、iで識別されるゲート装置のトークン消費量をTCi、分配するトークン量をTiとし、攻撃対象のコンピュータの処理能力をCとすると、
前記トークン送信手段は、iで識別されるn台のゲート装置に対して前記Tiを分配する手段を備える
ことを特徴とする請求項1に記載の分散型サービス不能攻撃防止システム。 - 前記トークン分配量算出手段は、攻撃対象のコンピュータの処理能力をCとすると、前記第1のネットワークと前記第2のネットワークの接続点に配置されたゲート装置に送信するトークン分配量をCと算出する手段を備え、
前記トークン送信手段は、前記トークン分配量Cを伝送帯域制御値として前記第1のネットワークと前記第2のネットワークの接続点に配置されたゲート装置に送信する
ことを特徴とする請求項1ないし3のうちいずれか1項に記載の分散型サービス不能攻撃防止システム。 - 複数の通信装置を接続してなる第1のネットワークと、分散型サービス不能攻撃の攻撃対象となるコンピュータを有するまたは分散型サービス不能攻撃の攻撃対象となるコンピュータに接続する第2のネットワークおよび前記第1のネットワークに隣接し前記第2のネットワークとは異なる第3のネットワークと、の接続点に配置されたゲート装置と、前記ゲート装置に対して伝送帯域制御値の指示を行う帯域管理装置とを有する分散型サービス不能攻撃防止システムにおける分散型サービス不能攻撃防止方法であって、
前記ゲート装置は、
一定レートで発行されるトークンの有無と、指定されたパケット識別子に基づきパケットの伝送許可を判断する帯域制御装置であって、前記トークンの発行レートを伝送帯域制御値に基づいて指定することにより、攻撃対象のコンピュータを送信先とする正規パケットと攻撃容疑パケットの合計伝送帯域を前記伝送帯域制御値に基づいて制限するとともに、前記トークンの消費情報を前記帯域管理装置に送信する処理を行い、
前記帯域管理装置は、
前記ゲート装置に対して分配するトークンの量を制御するトークン分配装置であって、攻撃検出情報受信手段とトークン消費情報受信手段とトークン分配判定手段とトークン分配量算出手段とトークン送信手段とを備え、前記攻撃検出情報受信手段が分散型サービス不能攻撃が検出されたことを示す攻撃検出情報を受信するステップと、前記トークン消費情報受信手段が前記ゲート装置のトークン消費情報を受信するステップと、前記トークン分配判定手段が前記攻撃検出情報と前記トークン消費情報に基づきトークンを分配するゲート装置を決定し、トークンを増減するか否かを判定するステップと、前記トークン分配量算出手段が前記第3のネットワークから前記第1のネットワーク内に流入される正規パケットと攻撃容疑パケットの総量が前記分散型サービス不能攻撃の攻撃対象となるコンピュータのパケット処理能力以下に制限されるように前記第1のネットワークと前記第3のネットワークの接続点に配置されたゲート装置に分配するトークンの量であるトークン分配量を決定するステップと、トークン送信手段が前記トークン分配量を伝送帯域制御値として前記第1のネットワークと前記第3のネットワークの接続点に配置されたゲート装置に送信するステップと、を含むことを特徴とする分散型サービス不能攻撃防止方法。 - 前記トークン分配判定手段は、トークン分配手段とトークン回収手段とを備え、前記トークン分配手段が前記第1のネットワークと前記第3のネットワークの接続点に配置された特定のゲート装置のトークン消費量がトークン分配量よりも一定値以上の場合に、トークンの残量があれば固定の単位トークン量を追加的に分配し、トークンの残量が無い場合には不分配とするステップと、前記トークン回収手段が前記第1のネットワークと前記第3のネットワークの接続点に配置された特定のゲート装置のトークン消費量がトークン分配量よりも一定値以下の場合には、該ゲート装置からトークンを回収し不分配のゲート装置に対して前記トークンを分配するステップと、を含み、
前記トークン分配量算出手段が、前記単位トークン量をΔCとし、トークンの分割変数をNとし、攻撃対象のコンピュータの処理能力をCとすると、
ΔC=C/N ・・・ (式1)
からなる値を算出するステップを含む
ことを特徴とする請求項5に記載の分散型サービス不能攻撃防止方法。 - 前記トークン分配判定手段が、前記第1のネットワークと前記第3のネットワークの接続点に配置された特定のゲート装置のトークン消費量がトークン分配量よりも一定値以上大きい場合、および一定値以上小さい場合に、前記第1のネットワークと前記第3のネットワークの接続点に配置されたトークンを分配済みのゲート装置に対してトークンの再分配を行うことと判定するステップと、
前記トークン分配量算出手段が、前記第1のネットワークと前記第3のネットワークの接続点に配置されたゲート装置を識別する番号をiとし、前記第1のネットワークと前記第3のネットワークの接続点に配置されたトークン分配済みのゲート装置数をnとし、iで識別されるゲート装置のトークン消費量をTCi、分配するトークン量をTiとし、攻撃対象のコンピュータの処理能力をCとすると、
前記トークン送信手段が、iで識別されるn台のゲート装置に対して前記Tiを分配するステップと、を含む
ことを特徴とする請求項5に記載の分散型サービス不能攻撃防止方法。 - 前記トークン分配量算出手段が、攻撃対象のコンピュータの処理能力をCとすると、前記第1のネットワークと前記第2のネットワークの接続点に配置されたゲート装置に送信するトークン分配量をCと算出するステップと、
前記トークン送信手段が、前記トークン分配量Cを伝送帯域制御値として前記第1のネットワークと前記第2のネットワークの接続点に配置されたゲート装置に送信するステップと、を含む
ことを特徴とする請求項5ないし7のうちいずれか1項に記載の分散型サービス不能攻撃防止方法。 - 請求項1ないし4のうちいずれか1項の分散型サービス不能攻撃防止システムにおける帯域管理装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006061066A JP4697968B2 (ja) | 2006-03-07 | 2006-03-07 | 分散型サービス不能攻撃防止システム、方法、およびその帯域管理装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006061066A JP4697968B2 (ja) | 2006-03-07 | 2006-03-07 | 分散型サービス不能攻撃防止システム、方法、およびその帯域管理装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007243419A JP2007243419A (ja) | 2007-09-20 |
JP4697968B2 true JP4697968B2 (ja) | 2011-06-08 |
Family
ID=38588532
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006061066A Expired - Fee Related JP4697968B2 (ja) | 2006-03-07 | 2006-03-07 | 分散型サービス不能攻撃防止システム、方法、およびその帯域管理装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4697968B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109795277A (zh) * | 2018-10-17 | 2019-05-24 | 南京林业大学 | 一种控制器与执行器之间的网络受到DoS攻击时主动悬架可靠性控制的方法 |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017098605A (ja) * | 2015-11-18 | 2017-06-01 | 日本電信電話株式会社 | 通信制御装置、通信制御方法、及びプログラム |
JP6509143B2 (ja) * | 2016-02-16 | 2019-05-08 | 日本電信電話株式会社 | 帯域制御装置及び方法 |
JP6923809B2 (ja) * | 2018-08-23 | 2021-08-25 | 日本電信電話株式会社 | 通信制御システム、ネットワークコントローラ及びコンピュータプログラム |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003283572A (ja) * | 2002-03-22 | 2003-10-03 | Nippon Telegr & Teleph Corp <Ntt> | 分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラム |
-
2006
- 2006-03-07 JP JP2006061066A patent/JP4697968B2/ja not_active Expired - Fee Related
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003283572A (ja) * | 2002-03-22 | 2003-10-03 | Nippon Telegr & Teleph Corp <Ntt> | 分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラム |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109795277A (zh) * | 2018-10-17 | 2019-05-24 | 南京林业大学 | 一种控制器与执行器之间的网络受到DoS攻击时主动悬架可靠性控制的方法 |
Also Published As
Publication number | Publication date |
---|---|
JP2007243419A (ja) | 2007-09-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9231876B2 (en) | User traffic accountability under congestion in flow-based multi-layer switches | |
US6556578B1 (en) | Early fair drop buffer management method | |
EP1790131B1 (en) | Methods of and systems for network traffic security | |
US8898295B2 (en) | Achieving endpoint isolation by fairly sharing bandwidth | |
US7724660B2 (en) | Communication traffic congestion management systems and methods | |
EP1759495B1 (en) | Processing of data in networks | |
JP4474192B2 (ja) | ネットワークにおけるサービス品質の暗黙的弁別のための方法及び装置 | |
EP1393194B1 (en) | Weighted fair queuing-based methods and apparatus for protecting against overload conditions on nodes of a distributed network | |
EP2033369B1 (en) | Monitoring networks | |
US20040148391A1 (en) | Cognitive network | |
EP3384641B1 (en) | Dynamic configuration of routing paths in a data network | |
US9998400B2 (en) | Attribution of congestion contributions | |
EP2575303A1 (en) | Determining congestion measures | |
KR20150013800A (ko) | 아웃라이어 검출을 이용한 가입자 공정성 보장 시스템 및 방법 | |
JP4697968B2 (ja) | 分散型サービス不能攻撃防止システム、方法、およびその帯域管理装置 | |
US7417951B2 (en) | Apparatus and method for limiting bandwidths of burst aggregate flows | |
US9258388B2 (en) | Framework of an efficient congestion exposure audit function | |
US20110141899A1 (en) | Network access apparatus and method for monitoring and controlling traffic using operation, administration, and maintenance (oam) packet in internet protocol (ip) network | |
JP4271199B2 (ja) | 帯域制御方法および帯域制御装置 | |
JP2006148778A (ja) | パケット転送制御装置 | |
Akintola et al. | Modeling and Performance Analysis of Dynamic Random Early Detection (DRED) Gateway for Congestion Avoidance. | |
JP2006311084A (ja) | ネットワーク制御システム | |
Moncaster et al. | The Need for Congestion Exposure in the Internet; draft-moncaster-conex-problem-00 | |
Jeong et al. | An effective DDoS attack detection and packet-filtering scheme | |
JP2003023448A (ja) | パケット廃棄装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20071211 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080208 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080812 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090224 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090422 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20090501 |
|
A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20090529 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20090709 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20090909 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110228 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4697968 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |