JP6593137B2 - パケット蓄積装置,及びパケット蓄積方法 - Google Patents
パケット蓄積装置,及びパケット蓄積方法 Download PDFInfo
- Publication number
- JP6593137B2 JP6593137B2 JP2015238824A JP2015238824A JP6593137B2 JP 6593137 B2 JP6593137 B2 JP 6593137B2 JP 2015238824 A JP2015238824 A JP 2015238824A JP 2015238824 A JP2015238824 A JP 2015238824A JP 6593137 B2 JP6593137 B2 JP 6593137B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- communication
- server
- attacker
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Description
の場所に点在する端末から、サービスが稼働している特定のサーバに対して、同時に大量のパケットを送りつける。DDoS攻撃は、大量のパケット送信によりサーバのリソースが逼迫し、サーバがサービス不能になることを狙ってなされる。
に、前記通信装置宛のパケットを蓄積する蓄積部と、前記通信装置への攻撃者が特定された場合に、前記蓄積部に蓄積された前記通信装置宛のパケットから、前記攻撃者からのパケットと、前記セッションの切断用パケット及び当該切断用パケットで切断されるセッションに係るパケットと、重複して蓄積されているパケットとを除いたパケットを前記通信装置(1)宛に送信する送信部と、を含む。
とが到達する(図1の(1)(A+C))。監視装置2は、サーバ1に接続されており、サーバ1のリソース状況(バッファメモリの空き状況など)を常時監視する(図1:a.リソース監視)。
。TCPセッションが確立されると、端末Cは、サーバ1により提供される所定のサービスを享受するために、サーバ1宛にパケットを送信する。一方、端末Aは、サーバ1への攻撃を目的としたパケット(攻撃パケット)をサーバ1宛に送信する。これにより、端末Aからの攻撃パケットと、正規ユーザの端末Cからのパケットとが、IP網及びSW4を介してサーバ1に到達する(図2の(1)(A+C))。
をサーバ1へ中継する(図2(3)(Cのみ)参照)。
(1)攻撃者の端末Aからのパケット(「攻撃者からのパケット」の一例)
(2)セッション切断用パケット及びセッション切断用のパケットに係るセッションのパケット(「セッションの切断用パケット及び当該切断用パケットで切断されるセッションに係るパケット」の一例)
(3)重複して蓄積されているパケット(「重複パケット」の一例)
との通信が中断する。この中断時間が短くない場合には、端末Cのユーザは、通信の継続を止める(サービス利用を止める)と考えられる。通信の終了に際し、端末Cからはセッションを切断するためのFINパケットが送信される。
は破棄処理装置(ポートp2)へ転送し、正規ユーザ(端末C)からのパケットはサーバ1(ポートp1)へ転送する指示を含む。
W4は、端末C2からのパケットをサーバ1と接続されたポートp1へ出力し、サーバ1からのパケットを端末C2へ向けて送る。
タ量を減らし、転送処理の短縮化を図ることができる。また、サーバ1において、重複データの処理のような無用の処理が発生するのを回避し、サーバ1の処理リソースが有効利用されるようにすることができる。
<情報処理装置(コンピュータ)のハードウェア構成>
図4は、図2に示したサービス保証装置10に適用可能な情報処理装置(コンピュータ)のハードウェア構成例を示す図である。情報処理装置20として、例えば、パーソナルコンピュータ(PC),ワークステーション(WS)のような汎用コンピュータ、或いは専用のコンピュータが適用可能である。
ンタフェース(回線I/F)24とを含む。
クデバイス(PLD)や、集積回路(IC,LSI,Application Specific Integrated Circuit(ASIC)など)などを含む。
情報と、プロトコル(Protocol)と、タイプ(Type)と、シーケンス番号と、攻撃者フラグと、FINフラグと、重複フラグとを含む。
図8は、図2に示した防御システム(監視装置2,攻撃対策装置3,SW4,サービス
保証装置10)の動作例を示すシーケンス図である。図8において、監視装置2は、監視対象のサーバ1のリソース状況を監視する。監視装置2は、監視において、不正攻撃と見なせるリソース状況を攻撃として検知する。
と一致するか否かを判定する。ずなわち、蓄積処理部14は、エントリ中の送信元(source)情報の“IP”及び“port”の値が攻撃者情報と一致するか否かを判定する。送信元情報が攻撃者情報と一致する場合には(03,Yes)、処理が04に進み、一致しない場合には(03,No)、処理が05に進む。
る送信元(src)情報がエントリ中に含まれているか否かの判断を持ってなされる。
の攻撃者特定の通知が来るまで、パケットのバッファ領域への蓄積、テーブルT2へのエントリ記憶,判定処理(図10)を繰り返す。
無効なパケットである。このため、サーバ1への転送対象から除外される.残りのパケット(図16の例では、エントリ4,5,6のパケット)は、通信再開に有効なパケット(有効パケット)として、サーバ1への転送対象に加えられる。無効なパケットは、サービス保証装置10で破棄される。
T2・・・パケット管理テーブル
1・・・サーバ
2・・・監視装置
3・・・攻撃対策装置
4・・・中継装置(SW)
5・・・破棄処理装置
10・・・サービス保証装置
11・・・処理管理部
12・・・転送処理部
13・・・送受信部
14・・・蓄積処理部
15・・・経路制御部
16・・・蓄積部
20・・・情報処理装置
21・・・CPU
22・・・主記憶装置
23・・・補助記憶装置
24・・・回線インタフェース
Claims (2)
- パケット蓄積装置であって、
送受信間で通信用のセッションを確立して通信を行うとともに、前記セッションの切断用パケットの送信により前記セッションを切断して通信を終了するプロトコルに従って送信元との間でパケットを送受信する通信装置の監視結果において前記通信装置への攻撃が検知された場合に、前記通信装置宛のパケットを蓄積する蓄積部と、
前記通信装置への攻撃者が特定された場合に、前記蓄積部に蓄積された前記通信装置宛のパケットから、前記攻撃者からのパケットと、前記セッションの切断用パケット及び当該切断用パケットで切断されるセッションに係るパケットと、重複して蓄積されているパケットとを除いたパケットを前記通信装置宛に送信する送信部と、
前記通信装置への攻撃が検知された場合に、前記通信装置宛のパケットを中継する中継装置の出力先を前記パケット蓄積装置に切り替えて、前記中継装置から転送されてくる前記通信装置宛のパケットを前記蓄積部に蓄積する処理と、前記送信部による送信後に、前記中継装置で受信される前記通信装置宛のパケットのうち前記攻撃者からのパケットが破棄装置へ転送される一方で前記攻撃者以外からのパケットが前記通信装置へ転送されるように、前記中継装置の出力先を切り替える処理と、を行う制御部と、
を含むパケット蓄積装置。 - パケット蓄積装置が、
送受信間で通信用のセッションを確立して通信を行うとともに、前記セッションの切断用パケットの送信により前記セッションを切断して通信を終了するプロトコルに従って送信元との間でパケットを送受信する通信装置の監視結果において前記通信装置への攻撃が検知された場合に、前記通信装置宛のパケットを蓄積し、
前記通信装置への攻撃者が特定された場合に、前記蓄積部に蓄積された前記通信装置宛のパケットから、前記攻撃者からのパケットと、前記セッションの切断用パケット及び当該切断用パケットで切断されるセッションに係るパケットと、重複して蓄積されているパケットとを除いたパケットを前記通信装置宛に送信し、
前記通信装置への攻撃が検知された場合に、前記通信装置宛のパケットを中継する中継装置の出力先を前記パケット蓄積装置に切り替えて、前記中継装置から転送されてくる前記通信装置宛のパケットを前記蓄積部に蓄積し、
前記送信部による送信後に、前記中継装置で受信される前記通信装置宛のパケットのうち前記攻撃者からのパケットが破棄装置へ転送される一方で前記攻撃者以外からのパケットが前記通信装置へ転送されるように、前記中継装置の出力先を切り替える、
ことを含むパケット蓄積方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015238824A JP6593137B2 (ja) | 2015-12-07 | 2015-12-07 | パケット蓄積装置,及びパケット蓄積方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015238824A JP6593137B2 (ja) | 2015-12-07 | 2015-12-07 | パケット蓄積装置,及びパケット蓄積方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017108221A JP2017108221A (ja) | 2017-06-15 |
JP6593137B2 true JP6593137B2 (ja) | 2019-10-23 |
Family
ID=59060029
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015238824A Active JP6593137B2 (ja) | 2015-12-07 | 2015-12-07 | パケット蓄積装置,及びパケット蓄積方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6593137B2 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6834795B2 (ja) * | 2017-06-16 | 2021-02-24 | 富士通株式会社 | 通信制御装置、通信制御方法、及び、通信制御プログラム |
JP7150552B2 (ja) * | 2017-11-30 | 2022-10-11 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | ネットワーク防御装置およびネットワーク防御システム |
-
2015
- 2015-12-07 JP JP2015238824A patent/JP6593137B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2017108221A (ja) | 2017-06-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105827646B (zh) | Syn攻击防护的方法及装置 | |
US9749011B2 (en) | Physical unidirectional communication apparatus and method | |
US20070180511A1 (en) | Denial of Service Defense by Proxy | |
US8732832B2 (en) | Routing apparatus and method for detecting server attack and network using the same | |
US9516114B2 (en) | Data packet transmission method and related device and system | |
US9800593B2 (en) | Controller for software defined networking and method of detecting attacker | |
US10505952B2 (en) | Attack detection device, attack detection method, and attack detection program | |
US9680948B2 (en) | System and method for device failure notification | |
CN101202742A (zh) | 一种防止拒绝服务攻击的方法和系统 | |
Scholz et al. | SYN flood defense in programmable data planes | |
EP1746791A1 (en) | Network attack combating method, network attack combating device and network attack combating program | |
WO2018103364A1 (zh) | 攻击的防御方法、防御设备及计算机可读存储介质 | |
US8973143B2 (en) | Method and system for defeating denial of service attacks | |
WO2019085923A1 (zh) | 数据处理方法、装置及计算机 | |
Simpson | TCP cookie transactions (TCPCT) | |
JP6593137B2 (ja) | パケット蓄積装置,及びパケット蓄積方法 | |
WO2019096104A1 (zh) | 攻击防范 | |
US7565694B2 (en) | Method and apparatus for preventing network reset attacks | |
JP2019152912A (ja) | 不正通信対処システム及び方法 | |
CN107395550B (zh) | 一种网络攻击的防御方法及服务器 | |
US20230208874A1 (en) | Systems and methods for suppressing denial of service attacks | |
US11398965B2 (en) | Backup node operation | |
US8639822B2 (en) | Extending application-layer sessions based on out-of-order messages | |
TWI505675B (zh) | 網路交換器與資料更新方法 | |
JP5922622B2 (ja) | 制御装置、通信システム、および、通信制御方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180810 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190514 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190625 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190806 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190827 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190909 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6593137 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |