[go: up one dir, main page]

JP4434551B2 - サーバー計算機保護装置、サーバー計算機保護方法、サーバー計算機保護プログラム及びサーバー計算機 - Google Patents

サーバー計算機保護装置、サーバー計算機保護方法、サーバー計算機保護プログラム及びサーバー計算機 Download PDF

Info

Publication number
JP4434551B2
JP4434551B2 JP2002093667A JP2002093667A JP4434551B2 JP 4434551 B2 JP4434551 B2 JP 4434551B2 JP 2002093667 A JP2002093667 A JP 2002093667A JP 2002093667 A JP2002093667 A JP 2002093667A JP 4434551 B2 JP4434551 B2 JP 4434551B2
Authority
JP
Japan
Prior art keywords
access request
client computer
connection
server computer
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2002093667A
Other languages
English (en)
Other versions
JP2003173300A (ja
Inventor
伸一 菅野
正道 楯岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2002093667A priority Critical patent/JP4434551B2/ja
Priority to US10/241,565 priority patent/US7478425B2/en
Priority to DE60223771T priority patent/DE60223771T2/de
Priority to EP02256363A priority patent/EP1298883B1/en
Priority to CNB021435146A priority patent/CN1194309C/zh
Publication of JP2003173300A publication Critical patent/JP2003173300A/ja
Application granted granted Critical
Publication of JP4434551B2 publication Critical patent/JP4434551B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/161Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/163In-band adaptation of TCP data exchange; In-band control procedures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、クライアント計算機とサーバー計算機間のネットワークシステムに関し、特に、意図的にサーバー計算機の処理を妨害する不正なアクセスからサーバー計算機を保護するサーバー計算機保護装置に関する。
【0002】
【従来の技術】
近年、インターネット等を利用し、不特定多数あるいは特定多数のクライアント計算機をパケット交換ネットワーク経由でサーバー計算機に接続し、クライアント計算機からの要求に応じてサーバー計算機からデータを供給することを目的とする計算機サーバーシステムが広く使われている。ここで、パケットとは、ネットワーク上を流れるひとかたまりのデータをいい、大まかに分けると、ヘッダーとデータ本体で構成されている。さらに、ヘッダー内には、送信先のIP(Internet Protocol)アドレス、宛先のIPアドレス、パケットの前後関係を表す伝送シーケンス番号等から構成されている。
【0003】
しかしながらこのようなシステムの妨害を意図した不正なアクセスによる攻撃が増加する傾向にある。
【0004】
特に、一つのクライアント計算機から同時に大量に同じようなアクセス要求をサーバー計算機に対して行うことによって、標的となるサーバー計算機のデータ供給サービスを不能にする攻撃方法(以下、DoS攻撃(Denial of Service attack)と表記)は、正当なクライアントからのアクセスとの区別がつきにくく有効な対策をとることが困難である。尚、このDoS攻撃を複数のクライアント計算機が行う場合をDDoS攻撃(Distributed Denial of Service attack)という。
【0005】
ここで、クライアント計算機からサーバー計算機への正当なアクセス要求とは、実際にサーバー計算機からデータを受け取ったアクセス要求をいう。TCP/IP(Transmission Control Protocol/IP) プロトコルにおける正当なアクセス要求の一例としては、▲1▼クライアント計算機はサーバー計算機へ接続要求パケット(SYN(SYNchronousness)パケット)を送り、▲2▼サーバー計算機はクライアント計算機へ接続要求確認パケット(SYN+ACK(ACKnowledgement)パケット)を送り、▲3▼クライアント計算機はサーバー計算機へ確認応答パケット(ACKパケット)を送ることによって、論理的な通信路(コネクション)が確立する(3ウェイ・ハンドシェーク方式)。▲4▼このコネクション確立(Established)状態で、クライアント計算機はサーバー計算機へデータ要求パケット(URL(Uniform Resource Locator)パケット)を送り、▲5▼サーバー計算機はクライアント計算機へURLパケットによって要求されたデータパケットを送り、実際にクライアント計算機が受け取るという手順がある。
【0006】
インターネットにおけるこのようなDoS攻撃の一般的な方法としては、以下のような妨害方法が挙げられる。
【0007】
(1)SYNパケットのみをサーバー計算機の処理能力を超えるぐらい大量に送りつけ、サーバー計算機がSYN+ACKパケットを送れないようにする方法 (以下 SYN flood と表記)
(2)SYNパケット及びACKパケットを大量にサーバー計算機へ送り、このサーバー計算機との間でコネクションを確立したが、その後URLパケットを一定時間以内に送らず放置する方法 (以下 Established flood と表記)
(3)通常のクライアントと同様にコネクション確立状態でURLパケットを送る正当なアクセスだが、この正当なアクセスを大量に行うことによって、意図的にサーバー計算機の処理を妨害する方法(例えば、予め決めた時間に、たくさんの人が特定のサーバー計算機にアクセスする場合;DDoS攻撃)(以下、Access flood と表記)
このような攻撃をサーバー計算機が受けると、接続要求毎にデータ供給用メモリを確保するためにサーバー計算機内の記憶装置等の資源を浪費してしまい、妨害を意図していないクライアント計算機からの通常のアクセスが大きく滞ることになる。
【0008】
そこで、これらの攻撃からサーバー計算機を保護する目的で、サーバーとネットワークの間に配置するサーバー計算機保護装置においては、SYN flood に対しては、複数回の接続要求が繰り返されたもののみを正当な接続要求として処理したり、既に正当なアクセスがあったクライアントからのアクセスを正当な接続要求として処理し、それ以外のアクセスについてはパケットを破棄する方法などが従来取られている。
【0009】
しかし、このような方法では攻撃側が複数回の同じ接続要求を出したりする方法を取ることにより攻撃が成立するという問題点があり、また Established flood や Access flood については対抗することができないという問題がある。
【0010】
【発明が解決しようとする課題】
DoS攻撃に対し、これらの攻撃の影響からサーバー計算機を保護し、正当なしかも妨害を意図していないクライアントからのサービスを大きく滞らせることなく行うことを課題とする。
【0011】
【課題を解決するための手段】
上記課題を解決するために、本発明の実施形態に係るサーバー計算機保護装置は、クライアント計算機から送られてくるアクセス要求パケットをサーバー計算機の代わりに受け付けるアクセス要求受け付け手段と、受け付けたアクセス要求パケットが正当なアクセス要求であるか否かを検査するアクセス要求検査手段と、前記アクセス要求検査手段によって正当なアクセス要求であると認められたアクセス要求パケット前記サーバー計算機へ転送するアクセス要求転送手段と、を備え、前記クライアント計算機とのコネクションは、前記クライアント計算機から接続要求パケットを受け取ったあと、前記クライアント計算機へ接続要求確認パケットを送り、その応答として前記クライアント計算機から確認応答パケットを受け取る事によって、確立状態となるものであって、前記クライアント計算機とのコネクションが確立されたあと一定時間以内に、前記クライアント計算機からデータ要求パケットが送られてきた場合に、前記アクセス要求検査手段は、前記アクセス要求受け付け手段で受け付けたアクセス要求パケットが正当なアクセス要求であると判断し、前記クライアント計算機とのコネクションが確立されたあと一定時間以内に、前記クライアント計算機からデータ要求パケットが送られてこない場合に、前記アクセス要求検査手段は、前記アクセス要求受け付け手段で受け付けたアクセス要求パケットが正当なアクセス要求でないと判断し、前記クライアント計算機との間で確立されたコネクションを破棄するものであって、前記アクセス要求転送手段は、前記アクセス要求受け付け手段で受け付けた前記アクセス要求パケットが前記アクセス要求検査手段で正当なアクセス要求であると認定されたあとに、当該アクセス要求パケットによって前記サーバー計算機とのコネクションを確立するものであることを特徴とする。
【0012】
また、本発明の実施形態に係るサーバー計算機保護方法は、アクセス要求受け付け手段と、アクセス要求検査手段と、アクセス要求転送手段とを備えるサーバー計算機保護装置のサーバー計算機保護方法であって、前記アクセス要求受け付け手段が、クライアント計算機から送られてくるアクセス要求パケットをサーバー計算機の代わりに受け付ける受付ステップと、前記アクセス要求検査手段が、受け付けたアクセス要求パケットが正当なアクセス要求であるか否かを検査する検査ステップと、前記アクセス要求転送手段が、前記アクセス要求検査手段によって正当なアクセス要求であると認められたアクセス要求パケット前記サーバー計算機へ転送する転送ステップと、を備え、前記クライアント計算機とのコネクションは、前記クライアント計算機から接続要求パケットを受け取ったあと、前記クライアント計算機へ接続要求確認パケットを送り、その応答として前記クライアント計算機から確認応答パケットを受け取る事によって、確立状態となるものであって、前記検査ステップでは、前記アクセス要求検査手段が、前記クライアント計算機とのコネクションが確立されたあと一定時間以内に、前記クライアント計算機からデータ要求パケットが送られてきた場合に、前記アクセス要求受け付け手段で受け付けたアクセス要求パケットが正当なアクセス要求であると判断し、前記クライアント計算機とのコネクションが確立されたあと一定時間以内に、前記クライアント計算機からデータ要求パケットが送られてこない場合に、前記アクセス要求受け付け手段で受け付けたアクセス要求パケットが正当なアクセス要求でないと判断し、前記クライアント計算機との間で確立されたコネクションを破棄するものであって、前記転送ステップでは、前記アクセス要求転送手段は、前記アクセス要求受け付け手段で受け付けた前記アクセス要求パケットが前記アクセス要求検査手段で正当なアクセス要求であると認定されたあとに、当該アクセス要求パケットによって前記サーバー計算機とのコネクションを確立するものであることを特徴とする。
【0013】
また、本発明の実施形態に係るサーバー計算機保護プログラムは、コンピュータに、クライアント計算機から送られてくるアクセス要求パケットをサーバー計算機の代わりに受け付ける受付機能と、受け付けたアクセス要求パケットが正当なアクセス要求であるか否かを検査する検査機能と、正当なアクセス要求であると認められたアクセス要求パケット前記サーバー計算機へ転送する転送機能とを実現させ、前記クライアント計算機とのコネクションは、前記クライアント計算機から接続要求パケットを受け取ったあと、前記クライアント計算機へ接続要求確認パケットを送り、その応答として前記クライアント計算機から確認応答パケットを受け取る事によって、確立状態となるものであって、前記検査機能を実現させる際に、前記コンピュータに、前記クライアント計算機とのコネクションが確立されたあと一定時間以内に、前記クライアント計算機からデータ要求パケットが送られてきた場合に、前記受け付けたアクセス要求パケットが正当なアクセス要求であると判断させ、前記クライアント計算機とのコネクションが確立されたあと一定時間以内に、前記クライアント計算機からデータ要求パケットが送られてこない場合に、前記受け付けたアクセス要求パケットが正当なアクセス要求でないと判断させ、前記クライアント計算機との間で確立されたコネクションを破棄させるものであって、前記転送機能を実現させる際に、前記コンピュータに、前記受け付けた前記アクセス要求パケットが正当なアクセス要求であると認定されたあとに、当該アクセス要求パケットによって前記サーバー計算機とのコネクションを確立させるものであることを特徴とする。
【0014】
また、本発明の実施形態に係るサーバー計算機は、クライアント計算機からの要求に応じたデータを供給するサーバー計算機であって、前記サーバー計算機はサーバー計算機保護装置を含み、前記サーバー計算機保護装置は、クライアント計算機から送られてくるアクセス要求パケットを受け付けるアクセス要求受け付け手段と、受け付けたアクセス要求パケットが正当なアクセス要求であるか否かを検査するアクセス要求検査手段と、を備え、前記クライアント計算機とのコネクションは、前記クライアント計算機から接続要求パケットを受け取ったあと、前記クライアント計算機へ接続要求確認パケットを送り、その応答として前記クライアント計算機から確認応答パケットを受け取る事によって、確立状態となるものであって、前記クライアント計算機とのコネクションが確立されたあと一定時間以内に、前記クライアント計算機からデータ要求パケットが送られてきた場合に、前記アクセス要求検査手段は、前記アクセス要求受け付け手段で受け付けたアクセス要求パケットが正当なアクセス要求であると判断し、前記クライアント計算機とのコネクションが確立されたあと一定時間以内に、前記クライアント計算機からデータ要求パケットが送られてこない場合に、前記アクセス要求検査手段は、前記アクセス要求受け付け手段で受け付けたアクセス要求パケットが正当なアクセス要求でないと判断し、前記クライアント計算機との間で確立されたコネクションを破棄するものであことを特徴とする。
【0026】
【発明の実施の形態】
以下、本発明の実施の形態について図面を参照しながら説明する。
【0027】
図1は、本発明の実施形態に係るサーバー計算機保護装置が適用されるネットワークシステムの概要図である。サーバー計算機104は、サーバー計算機保護装置103を介してネットワーク102に接続されており、また、このネットワーク102に接続されているクライアント計算機101とのデータパケットのやり取りには必ずサーバー計算機保護装置が仲介している。
【0028】
(第1の実施の形態)
図2は、第1の実施形態に係るサーバー計算機保護装置103のブロック図である。保護装置103は、アクセス要求受け付け部201と、アクセス要求検査部202と、アクセス要求転送部203を含んでいる。
【0029】
クライアント計算機101からのアクセス要求つまり検査前のアクセス要求はアクセス要求受け付け部201で受け取り、その後アクセス要求検査部202に転送される。アクセス要求のパケットには、接続要求パケット(SYNパケット)、確認応答パケット(ACKパケット)及びデータ要求パケット(URLパケット)の3段階のパケットがある。
【0030】
検査結果はアクセス要求受け付け部201に入り、検査後のアクセス要求がアクセス要求転送部203に送られる。そして、検査済のアクセス要求がアクセス要求転送部203からサーバー計算機104へ出力される。
【0031】
以下、保護装置103全体の処理の流れを図3のフローチャートを用いて説明する。保護装置103は、クライアント計算機101から接続要求パケット(SYNパケット)を受け取ると、クライアント計算機へSYN+ACKパケットを送り(S101)、次の段階のアクセス要求(ACKパケットまたはURLパケット)待ち状態になる(S102)。
【0032】
そして、不正アクセスか否かを判断する(S103)。判断の一例としては、クライアント計算機101からのアクセス要求は、保護装置103内のアクセス要求受け付け部201により受領し、アクセス要求検査部202でアクセス要求の内容を検査する。 本実施形態で検査できる不当なアクセス要求は、従来の技術で説明したSYN floodとEstablished floodの2種類である。そして、正当なアクセス要求とはコネクション確立状態で一定時間以内にURLパケットを送ってくる場合をいう。
【0033】
検査の結果、正当なアクセス要求だと認められた場合、アクセス要求転送部203はサーバーと接続し(S104)、正当なアクセス要求をサーバー計算機104に転送する(S105)。そして、サーバー計算機104はURLパケットによって指定されたデータをパケット単位で保護装置103を介してクライアント計算機101に供給する(S106)。保護装置103はデータの供給が完了してからサーバー計算機104との接続を切断し(S107)、クライアント計算機101との接続も切断する。一方、不当なアクセス要求であると判断した場合は、S103からすぐにS108のクライアントとの切断処理が実行される。
【0034】
したがって、従来の技術で説明したSYN flood,Established flood等のDoS撃からサーバー計算機を保護できる。
【0035】
尚、アクセス要求検査部202の正当なアクセス要求であるか否かの判断基準としては、上述したようなSYNパケットのみを送りつけてくるようなアクセス要求が所定の伝達形式から外れていないかどうかの他に、サーバー計算機104にはありえないアクセス(例えば、不当なURLパケット)を要求しているかどうか等がある。
【0036】
本実施形態の変形例としては、検査前の全段階のアクセス要求はアクセス要求受け付け部201に入ると同時に、アクセス要求転送部203にも送られ、データ要求検査部202の検査結果をデータ要求転送部203が受け取ってから、サーバ計算機104へアクセス要求を出力しても良い。
【0037】
(第2の実施の形態)
図4は第2の実施形態に係るサーバー計算機保護装置103のブロック図である。本実施形態の特徴は、第1の実施形態で説明したアクセス要求の内容を検査するアクセス要求検査部の代わりに、クライアント計算機101から送られてくる接続要求パケット(SYNパケット)の数が所定の値を超えた場合、すなわち、サーバー計算機104の負荷が過大になった場合には、サーバー計算機104へアクセス要求を転送するのを止めることである。
【0038】
クライアント計算機101からのあるSYNパケットをデータ要求受け付け部201及び接続要求数計測部303により受け取る。データ供給数計測部301は、常にサーバー計算機104が所定時間に供給するデータ供給数を計測する。ここで、接続要求数とはある接続要求を受け付けたときに全てのクライアント計算機から届いたSYNパケットの総数をいい、通常、一つのクライアント計算機とサーバー計算機との間には複数のコネクションが張られる。また、データ供給数とは、成立しているコネクションのうち、ある接続要求を受け付けたときに実際にデータ供給している数をいう。
【0039】
以下、保護装置103全体の処理の流れを図5(a)のフローチャートを用いて説明する。保護装置103は接続要求待ち(S201)の状態から、接続要求数計測部303でクライアント計算機101からのSYNパケットを検知すると、サーバー負荷検査部302はデータ供給数計測部301及び接続要求数計測部303の出力結果を用いて、サーバー計算機104の負荷が過大か否かを検査する(S202)。判断基準の一例としては、データ要求数(URLパケットの総数)に比べてデータ供給数が少ない場合に負荷が過大であるが挙げられる。
【0040】
所定の負荷を超えていない場合には、クライアント計算機と接続し(S203)、データ要求待ち(S204)状態となる。この時、サーバー負荷検査部302は接続数を1増加させる(S205)。
【0041】
続いて、サーバーと接続し(S206)、クライアント計算機103からのデータ要求パケットをサーバーに転送する(S207)。そして、サーバー計算機104がクライアント計算機にデータを供給してから(S208)、保護装置103はクライアント計算機101及びサーバー計算機104との接続を切断し(S209)、サーバー負荷検査部302は接続数を1減少させる(S210)。
【0042】
一方、所定の負荷を超えていた場合には接続要求待ちの状態(S201)に戻る。これにより、DoS攻撃によってサーバーの負荷が過大になるのを防止し、サーバーの処理速度低下を防止することができる。
【0043】
図5(b)は、同図(a)のS202で所定の負荷を超えていた場合の変形例である。すなわち、S202で所定の負荷を超えていた場合(所定の接続数を超えていた場合)であって、保護装置103が処理できる接続数を超える場合には、接続処理が完了していないコネクションのうち最も古いものを破棄してから(S202’のy)、クライアント計算機と接続する(S203)。以降の処理は、同図(a)と同じである。一方、S202で所定の負荷を超えている場合であるが、保護装置103が処理できる接続数を超えていない場合には、接続要求待ちの状態(S201)に戻る。 このように、コネクションのうち最も古いものを破棄することによって、保護装置自体へDoS攻撃を受けた時でもサービスを続行できる。
【0044】
(第3の実施の形態)
図6は、第3の実施形態に係るサーバー計算機保護装置103のブロック図である。図7は本実施形態に係るフローチャートである。本実施形態はアクセス要求を送ってきたクライアント計算機毎にデータ供給数計測部301及びサーバー負荷検査部302を設けることを特徴とする。
【0045】
まず、保護装置103は、接続要求待ちの状態(S301)から、特定のクライアント計算機からSYNパケット及びACKパケットを受けると、前記特定のクライアント計算機との間でコネクションを張り(S302)、前記特定のクライアント計算機専用のデータ供給数計測部301及びサーバー負荷計算部302(以下、本実施形態に限ってデータ供給数計測部301及びサーバー負荷計算部302と省略する)を設ける。尚、データ供給数計測部301及びサーバー負荷計算部302は、単純な計算機能を有していれば良いので、保護装置103のメモリ及びCPUの消費は少ない。したがって、クライアント計算機毎に1000〜10000個ぐらい設けることができる。
【0046】
次に、前記特定のクライアント計算機からのアクセス要求待ちの状態になり(S304)、前記特定のクライアント計算機からアクセス要求が来ると、アクセス要求受け付け部201からすぐにアクセス要求伝達部203へ行き、サーバー計算機104とコネクションを張る(S305)。
【0047】
データ供給数計測部301は、現在サーバー計算機104が伝送中の要求されたデータを送付した特定のクライアント計算機へのデータ供給状況を計測することによって、特定のクライアント計算機に対するサーバーの負荷が過大か否かを判断する(S306)。所定の負荷を超えていない場合には、サーバー負荷検査部302は、アクセス要求転送部203へサーバー計算機104にURLパケットを転送するように指示をし(S307)、サーバー計算機104が要求されたデータを特定のクライアント計算機に供給し(S308)、データ供給が完了したら特定のクライアント計算機及びサーバー計算機との接続を切断する。
【0048】
一方、所定の負荷を超えていた場合には、データ要求転送部203がデータ要求パケットをサーバー計算機104に転送するのを保留するために再度S306の処理を行い、特定のクライアント計算機へのデータ供給数が減少するのを待つ。
【0049】
これにより、サーバー計算機104の負荷が過大になるのを防止するとともに、特定のクライアント計算機によるサーバー計算機104の独占状態を回避し、他のクライアント計算機へのデータ供給を阻害されることを減少できる。したがって、従来の技術で説明したAccess floodに対応することもできる。
【0050】
(第4の実施の形態)
図8は、第4の実施形態に係るサーバー計算機保護装置103のブロック図であり、本実施形態は、第1の実施形態と基本的に同じであるが、ヘッダー修正部210を備えていることを特徴とする。
【0051】
例えばTCP/IPでは、接続処理にあたりヘッダー内に、伝送シーケンス番号を付与しパケットの前後関係を制御している。接続開始にあたってこれらは送受双方向にてサーバー計算機とクライアント計算機のやりとりで決定される。
【0052】
しかし、本実施形態を利用する場合にはサーバー計算機104への接続動作(図3のS104)はデータ要求の正当性の検査後になる(図3のS103)ので、保護装置103が任意に発生した保護装置用シーケンス番号でクライアント計算機101と接続処理を行わざるをえない(図3のS101)。この保護装置用シーケンス番号は検査後に行われるサーバー計算機との接続処理(図3のS104)においてサーバー計算機104から通知されるサーバー計算機用シーケンス番号と異なるため、そのまま要求されたデータのパケットを伝送すると TCP/IP プロトコルを使用したデータ伝送が不可能である。そこで、ヘッダー修正部210を用いこれらのシーケンス番号の差分を修正し、また他のヘッダー情報(例えば送信先のIPアドレス、宛先のIPアドレス)を必要があれば整合が取れるように修正することによりサーバー計算機104からクライアント計算機101への通信を成立させることができる。
【0053】
一例としては、一つのデータ要求に対して以下の▲1▼〜▲3▼の処理を行っている。
【0054】
▲1▼クライアント計算機101からの接続要求をデータ要求受け付け部201、データ要求検査部202及びデータ転送伝達部203によって検査後に、クライアント計算機101とサーバー計算機104とのコネクションを確立する。
【0055】
▲2▼このコネクションを経由して送られてくるクライアント計算機101からのデータ要求パケットのヘッダーをヘッダー修正部210で修正してから、サーバー計算機104へ転送する。
【0056】
▲3▼このコネクションを経由して送られてくるサーバー計算機104からのデータパケットのヘッダーをヘッダー修正部210で修正してから、クライアント計算機101へ転送する。
【0057】
(第5の実施形態)
図9は、第5の実施形態に係るサーバー計算機保護装置103のブロック図である。本実施形態は、第2の実施形態と基本的に同じであるが、第4の実施形態で説明したヘッダー修正部210を備えていることを特徴とする。
【0058】
尚、ヘッダー修正部210がハッシュ関数を用いてクライアント計算機101とサーバー計算機104とのコネクションを管理する方法を利用した場合には、図5のS202の代わりに、該ハッシュのテーブルが溢れたことをもってサーバー計算機104の負荷を過大であると判断しても良い。
【0059】
(第6の実施形態)
図10は、第6の実施形態に係るサーバー計算機保護装置103のブロック図である。本実施形態は、第3の実施形態と基本的に同じであるが、第4の実施形態で説明したヘッダー修正部210を備えていることを特徴とする。
【0060】
(他の実施形態)
本発明は上記実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲内で適宜変更できる。以下、変形例について説明する。
【0061】
(変形例1)
図11は、変形例1に係るサーバー計算機保護装置103のブロック図である。本変形例は、第6の実施形態の変形例であり、保護装置103とサーバー計算機104との接続数を計測するサーバー接続数計測部401を備えていることを特徴とする。このサーバー接続数計測部401の出力結果はクライアント計算機毎に設けられたサーバー負荷検査部302に入力されている。また、クライアント計算機毎の接続数は、クライアント計算機毎に設けられたデータ供給数301で計測できる。したがって、いずれの接続数も保護装置103内部で計測できるので、クライアント計算機毎のサーバー負荷検査処理も簡易化できる。
【0062】
(変形例2)
変形例2は、第4の実施形態の変形例であり、保護装置103には、クライアント計算機との間でコネクション成立後、データ要求パケットが届くまでの時間を計測する時計部を有している。そして、この時計部を用いて、データ要求受け付け部201が予め規定した時間の間に所定の形式のデータ要求が届かない場合には不正なアクセスと判断し、コネクションを破棄する。これによりサーバー計算機保護装置内部の資源が過大になることを防ぎ、なおかつ正当なクライアントからの接続動作に早い段階でメモリーなどの資源を振り向けることができるようになる。
【0063】
また、上述した時計部を用いて、データ要求受け付け部201はコネクションを確立してから最も経過時間が長いものを不正なアクセスと判断して、コネクションを破棄しても良い。
【0064】
さらに、データ要求受け付け部201は、上述した時計部を用いて一定時間内に同一クライアントからの同一データに対する要求回数を計測する機能を有すれば、この計測し、あらかじめ設定した一定時間内の同一データ要求回数の限度を超えた場合に不正なアクセスとして判断して、コネクションを破棄しても良い。
【0065】
(変形例3)
図12及び図13は、変形例3に係るサーバー計算機保護装置103のブロック図及びフロチャートである。本変形例は、他の実施形態に適用可能であり、サーバー計算機104の代りにクライアント計算機101へ応答する代理応答部501を備えていることを特徴とする。代理応答部501がサーバー計算機104に成り代わるためには、図8で説明したヘッダー修正部210を備えていればよい。
【0066】
クライアント計算機101と保護装置103とがTCP/IPプロトコルでコネクションを確立する手順は上述した通りである(S401〜S404)。その後(、すなわち、クライアント計算機101からのデータ要求が来る前)に、代理応答部501は、サーバー計算機104からクライアント計算機101への応答を代わりに行う(S405)。
【0067】
ここでの応答とは、TCP/IPの上位プロトコル、例えば、SMTP(Simple Mail Transfer Protocol)の場合は、サーバー計算機104がメールを受け取ることが可能であるという状態を示す応答であり、また、POP(Post Office Protocol)の場合には、POPのバージョン(例えば、POP3)を応答する。そして、応答の具体例としては、サーバー計算機104が正常動作している場合にクライアントに返答する内容と同等のもの、あるいは、保護装置103とサーバー計算機104との間で直前に行われた上位プロトコルによる接続動作によりサーバー計算機104が返答したものと同様の内容のもの等が挙げられる。
【0068】
この応答を受けることによって、クライアント計算機101は、サーバー計算機104と上位プロトコルで接続動作が行われたと判断し、データ転送要求等の次の動作に移行する。
【0069】
クライアント計算機101からのデータ要求は、要求受付部201で受け付け、要求検査部202でデータ要求の内容を検査した後に、サーバー計算機104に伝達する。サーバー計算機104は、伝達された内容に基づき所定のデータをクライアント計算機101に返送する。その後、上述した切断手順を行う(S406〜S417)。ここでの検査としては、データ要求が所定の伝達形式から外れていないかどうか、ありえないデータを要求しているかどうか等が挙げられる。
【0070】
尚、上述したように、クライアント計算機101からのデータ要求が正常であった場合には、保護装置103はサーバー計算機104に接続動作を行い、クライアント計算機101の要求をサーバー計算機104に伝達する。この接続後にサーバー計算機104が応答するものには、先に保護装置103がサーバー計算機104に応答したものと重複する場合がある。それゆえ、データ要求の処理に齟齬を来さない場合にはこの応答をクライアントに伝達しない。もし、齟齬を来す場合には保護装置103はサーバー計算機104とクライアント計算機101との接続を破棄する処理を行う。
【0071】
他の変形例としては、上述したサーバー計算機保護装置はサーバー計算機の中に含まれていても良い。この場合、サーバー計算機保護装置専用のメモリ等のハードウェアがサーバー計算機内にあれば良い。
【0072】
(記録媒体への適用)
また、本実施形態における処理をコンピュータで実行可能なプログラムで実現し、このプログラムをコンピュータで読み取り可能な記憶媒体として実現することも可能である。
【0073】
なお、本記憶媒体としては、磁気ディスク、フレキシブルディスク、ハードディスク、光ディスク(CD−ROM,CD−R,DVD等)、光磁気ディスク(MO等)、半導体メモリ等、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であってもよい。
【0074】
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼動しているOS(オペレーションシステム)や、データベース管理ソフト、ネットワーク等のMW(ミドルウェア)等が本実施形態を実現するための各処理の一部を実行してもよい。
【0075】
さらに、本記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。
【0076】
また、記憶媒体は1つに限らず、複数の媒体から本実施形態における処理が実行される場合も、本発明における記憶媒体に含まれ、媒体の構成は何れの構成であってもよい。
【0077】
なお、上記コンピュータは、記憶媒体に記憶されたプログラムに基づき、本実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であってもよい。
【0078】
また、上記コンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本実施形態の機能を実現することが可能な機器、装置を総称している。
【0079】
【発明の効果】
上述したように本発明によれば、DoS攻撃に対し、これらの攻撃の影響からサーバー計算機を保護し、正当なしかも妨害を意図していないクライアントからのサービスを大きく滞らせることなく行うことができる。
【図面の簡単な説明】
【図1】 本発明の実施形態に係るサーバー計算機保護装置が適用されるネットワークシステムの概要図。
【図2】 本発明の第1の実施形態に係るサーバー保護装置のブロック図。
【図3】 第1の実施形態に係るフローチャート。
【図4】 本発明の第2の実施形態に係るサーバー保護装置のブロック図。
【図5】 第2の実施形態に係るフローチャート。
【図6】 本発明の第3の実施形態に係るサーバー保護装置のブロック図。
【図7】 第3の実施形態に係るフローチャート。
【図8】 本発明の第4の実施形態に係るサーバー保護装置のブロック図。
【図9】 本発明の第5の実施形態に係るサーバー保護装置のブロック図。
【図10】 本発明の第6の実施形態に係るサーバー保護装置のブロック図。
【図11】 本発明の変形例1に係るサーバー保護装置のブロック図。
【図12】 本発明の変形例3に係るサーバー保護装置のブロック図。
【図13】 本発明の変形例3に係るに係るフローチャート。
【符号の説明】
101 クライアント計算機
102 ネットワーク
103 サーバー計算機保護装置
104 サーバー計算機
201 データ要求受け付け部
202 データ要求検査部
203 データ要求転送部
301 データ供給数計測部
302 サーバー負荷検査部
303 接続要求数計測部
401 サーバー接続数計測部
501 代理応答部

Claims (11)

  1. クライアント計算機から送られてくるアクセス要求パケットをサーバー計算機の代わりに受け付けるアクセス要求受け付け手段と、
    受け付けたアクセス要求パケットが正当なアクセス要求であるか否かを検査するアクセス要求検査手段と、
    前記アクセス要求検査手段によって正当なアクセス要求であると認められたアクセス要求パケットを前記サーバー計算機へ転送するアクセス要求転送手段と、を備え、
    前記クライアント計算機とのコネクションは、前記クライアント計算機から接続要求パケットを受け取ったあと、前記クライアント計算機へ接続要求確認パケットを送り、その応答として前記クライアント計算機から確認応答パケットを受け取る事によって、確立状態となるものであって、
    前記クライアント計算機とのコネクションが確立されたあと一定時間以内に、前記クライアント計算機からデータ要求パケットが送られてきた場合に、前記アクセス要求検査手段は、前記アクセス要求受け付け手段で受け付けたアクセス要求パケットが正当なアクセス要求であると判断し、
    前記クライアント計算機とのコネクションが確立されたあと一定時間以内に、前記クライアント計算機からデータ要求パケットが送られてこない場合に、前記アクセス要求検査手段は、前記アクセス要求受け付け手段で受け付けたアクセス要求パケットが正当なアクセス要求でないと判断し、前記クライアント計算機との間で確立されたコネクションを破棄するものであって、
    前記アクセス要求転送手段は、前記アクセス要求受け付け手段で受け付けた前記アクセス要求パケットが前記アクセス要求検査手段で正当なアクセス要求であると認定されたあとに、当該アクセス要求パケットによって前記サーバー計算機とのコネクションを確立するものであることを特徴とするサーバー計算機保護装置。
  2. 前記クライアント計算機との間でコネクションが確立した後、データ要求パケットが届くまでの時間を計測する時計部をさらに有し、
    予め規定された時間の間に、データ要求パケットが届かない場合に、前記アクセス要求検査手段は、前記アクセス要求受け付け手段で受け付けたアクセス要求パケットを不正なアクセスと判断し、
    前記クライアント計算機との間で確立されたコネクションを破棄することを特徴とする請求項1に記載のサーバー計算機保護装置。
  3. クライアント計算機との間でコネクションが確立した後、データ要求パケットが届くまでの時間を、コネクションごとに、計測する時計部をさらに有し、
    前記アクセス要求検査手段は、クライアント計算機との間でコネクションが確立してから最も経過時間の長いものも、不正なアクセスと判断し、
    前記クライアント計算機との間で確立されてから最も経過時間の長いコネクションを破棄することを特徴とする請求項1に記載のサーバー計算機保護装置。
  4. 前記時計部で計測された一定時間内に、同一のクライアント計算機から、同一のデータに対するデータ要求回数の限度が超過した場合も、前記アクセス要求検査手段は、前記同一のクライアント計算機からのアクセスを不正なアクセスと判断し、
    前記同一のクライアント計算機との間で確立されたコネクションを破棄することを特徴とする請求項2または請求項3に記載のサーバー計算機保護装置。
  5. 前記アクセス要求パケットは、接続要求パケット、確認応答パケット、およびデータ要求パケットであることを特徴とする請求項1乃至請求項4のいずれか1項に記載のサーバー計算機保護装置。
  6. パケットのヘッダーを修正するヘッダー修正手段をさらに備え、
    前記ヘッダー修正手段は、前記アクセス要求パケットを前記サーバー計算機へ転送する際に前記アクセス要求パケットのヘッダーを修正することを特徴とする請求項1乃至請求項5のいずれか1項に記載のサーバー計算機保護装置。
  7. 前記サーバー計算機から前記クライアント計算機への応答を代わりに行う代理応答部をさらに備え、
    前記代理応答部は、前記クライアント計算機との間でコネクションが確立された後に、代理応答を行うことを特徴とする請求項1乃至請求項6のいずれか1項に記載のサーバー計算機保護装置。
  8. 前記代理応答部が前記クライアント計算機へ代理応答を行う内容は、前記サーバー計算機が正常動作している場合にクライアント計算機に応答する内容と同等のもの、あるいは、前記サーバー計算機との間で直前に行われた上位層プロトコルによる接続動作により前記サーバー計算機が返答したものと同等の内容のものであることを特徴とする請求項7に記載のサーバー計算機保護装置。
  9. 前記クライアント計算機から送られてくるアクセス要求パケットが前記アクセス要求検査手段によって正当なアクセス要求であると認められた場合であって、当該アクセス要求パケットが前記アクセス要求転送手段によって前記サーバー計算機へ転送されたあとに、
    前記サーバー計算機から応答される内容が、前記代理応答部が既に前記クライアントへ代理応答を行った内容と重複する場合に、前記サーバー計算機から応答される内容を前記クライアント計算機へ転送しないことを特徴とする請求項7または請求項8に記載のサーバー計算機保護装置。
  10. アクセス要求受け付け手段と、アクセス要求検査手段と、アクセス要求転送手段とを備えるサーバー計算機保護装置のサーバー計算機保護方法であって、
    前記アクセス要求受け付け手段が、クライアント計算機から送られてくるアクセス要求パケットをサーバー計算機の代わりに受け付ける受付ステップと、
    前記アクセス要求検査手段が、受け付けたアクセス要求パケットが正当なアクセス要求であるか否かを検査する検査ステップと、
    前記アクセス要求転送手段が、前記アクセス要求検査手段によって正当なアクセス要求であると認められたアクセス要求パケットを前記サーバー計算機へ転送する転送ステップと、を備え、
    前記クライアント計算機とのコネクションは、前記クライアント計算機から接続要求パケットを受け取ったあと、前記クライアント計算機へ接続要求確認パケットを送り、その応答として前記クライアント計算機から確認応答パケットを受け取る事によって、確立状態となるものであって、
    前記検査ステップでは、前記アクセス要求検査手段が、前記クライアント計算機とのコネクションが確立されたあと一定時間以内に、前記クライアント計算機からデータ要求パケットが送られてきた場合に、前記アクセス要求受け付け手段で受け付けたアクセス要求パケットが正当なアクセス要求であると判断し、
    前記クライアント計算機とのコネクションが確立されたあと一定時間以内に、前記クライアント計算機からデータ要求パケットが送られてこない場合に、前記アクセス要求受け付け手段で受け付けたアクセス要求パケットが正当なアクセス要求でないと判断し、前記クライアント計算機との間で確立されたコネクションを破棄するものであって、
    前記転送ステップでは、前記アクセス要求転送手段は、前記アクセス要求受け付け手段で受け付けた前記アクセス要求パケットが前記アクセス要求検査手段で正当なアクセス要求であると認定されたあとに、当該アクセス要求パケットによって前記サーバー計算機とのコネクションを確立するものであることを特徴とするサーバー計算機保護方法。
  11. コンピュータに、
    クライアント計算機から送られてくるアクセス要求パケットをサーバー計算機の代わりに受け付ける受付機能と、
    受け付けたアクセス要求パケットが正当なアクセス要求であるか否かを検査する検査機能と、
    正当なアクセス要求であると認められたアクセス要求パケットを前記サーバー計算機へ転送する転送機能とを実現させ、
    前記クライアント計算機とのコネクションは、前記クライアント計算機から接続要求パケットを受け取ったあと、前記クライアント計算機へ接続要求確認パケットを送り、その応答として前記クライアント計算機から確認応答パケットを受け取る事によって、確立状態となるものであって、
    前記検査機能を実現させる際に、前記コンピュータに、前記クライアント計算機とのコネクションが確立されたあと一定時間以内に、前記クライアント計算機からデータ要求パケットが送られてきた場合に、前記受け付けたアクセス要求パケットが正当なアクセス要求であると判断させ、
    前記クライアント計算機とのコネクションが確立されたあと一定時間以内に、前記クライアント計算機からデータ要求パケットが送られてこない場合に、前記受け付けたアクセス要求パケットが正当なアクセス要求でないと判断させ、前記クライアント計算機との間で確立されたコネクションを破棄させるものであって、
    前記転送機能を実現させる際に、前記コンピュータに、前記受け付けた前記アクセス要求パケットが正当なアクセス要求であると認定されたあとに、当該アクセス要求パケットによって前記サーバー計算機とのコネクションを確立させるものであることを特徴とするサーバー計算機保護プログラム。
JP2002093667A 2001-09-27 2002-03-29 サーバー計算機保護装置、サーバー計算機保護方法、サーバー計算機保護プログラム及びサーバー計算機 Expired - Fee Related JP4434551B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2002093667A JP4434551B2 (ja) 2001-09-27 2002-03-29 サーバー計算機保護装置、サーバー計算機保護方法、サーバー計算機保護プログラム及びサーバー計算機
US10/241,565 US7478425B2 (en) 2001-09-27 2002-09-12 Server computer protection apparatus, method, program product, and server computer apparatus
DE60223771T DE60223771T2 (de) 2001-09-27 2002-09-13 Schutz für Server-Computervorrichtung, Verfahren, Programmprodukt und Server-Computervorrichtung
EP02256363A EP1298883B1 (en) 2001-09-27 2002-09-13 Server computer protection apparatus, method, program product, and server computer apparatus
CNB021435146A CN1194309C (zh) 2001-09-27 2002-09-27 服务器计算机保护的装置、方法和服务器计算机装置

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2001-295368 2001-09-27
JP2001295368 2001-09-27
JP2002093667A JP4434551B2 (ja) 2001-09-27 2002-03-29 サーバー計算機保護装置、サーバー計算機保護方法、サーバー計算機保護プログラム及びサーバー計算機

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2008035125A Division JP4538055B2 (ja) 2001-09-27 2008-02-15 サーバー計算機保護装置、サーバー計算機保護方法、サーバー計算機保護プログラム及びサーバー計算機

Publications (2)

Publication Number Publication Date
JP2003173300A JP2003173300A (ja) 2003-06-20
JP4434551B2 true JP4434551B2 (ja) 2010-03-17

Family

ID=26623011

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002093667A Expired - Fee Related JP4434551B2 (ja) 2001-09-27 2002-03-29 サーバー計算機保護装置、サーバー計算機保護方法、サーバー計算機保護プログラム及びサーバー計算機

Country Status (5)

Country Link
US (1) US7478425B2 (ja)
EP (1) EP1298883B1 (ja)
JP (1) JP4434551B2 (ja)
CN (1) CN1194309C (ja)
DE (1) DE60223771T2 (ja)

Families Citing this family (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7752266B2 (en) 2001-10-11 2010-07-06 Ebay Inc. System and method to facilitate translation of communications between entities over a network
US20030229554A1 (en) * 2002-06-10 2003-12-11 Veres Robert Dean Method and system for composing transaction listing descriptions for use in a network-based transaction facility
US8078505B2 (en) 2002-06-10 2011-12-13 Ebay Inc. Method and system for automatically updating a seller application utilized in a network-based transaction facility
JP3794491B2 (ja) 2002-08-20 2006-07-05 日本電気株式会社 攻撃防御システムおよび攻撃防御方法
JP4503934B2 (ja) * 2002-09-26 2010-07-14 株式会社東芝 サーバ計算機保護装置、サーバ計算機保護方法、サーバ計算機保護プログラム及びサーバ計算機
US7386719B2 (en) * 2003-07-29 2008-06-10 International Business Machines Corporation System and method for eliminating viruses at a web page server
US20050028010A1 (en) * 2003-07-29 2005-02-03 International Business Machines Corporation System and method for addressing denial of service virus attacks
US7391725B2 (en) * 2004-05-18 2008-06-24 Christian Huitema System and method for defeating SYN attacks
JP2008502183A (ja) * 2004-06-04 2008-01-24 インターナショナル・ビジネス・マシーンズ・コーポレーション 高速ネットワーク内での攻撃を防御する方法及びモジュール並びに高速ネットワーク内での要求を処理する方法
US7805656B2 (en) 2005-09-29 2010-09-28 Dolby Laboratories Licensing Corporation Error correction in packet-based communication networks using data consistency checks
US8639782B2 (en) 2006-08-23 2014-01-28 Ebay, Inc. Method and system for sharing metadata between interfaces
EP1912402B1 (en) * 2006-10-10 2019-08-28 Mitsubishi Electric R&D Centre Europe B.V. Protection of the data transmission network systems against buffer oversizing attacks
CN1968147B (zh) * 2006-11-27 2010-04-14 华为技术有限公司 业务处理方法、网络设备及业务处理系统
US8799218B2 (en) * 2006-12-01 2014-08-05 Ebay Inc. Business channel synchronization
US20080240140A1 (en) * 2007-03-29 2008-10-02 Microsoft Corporation Network interface with receive classification
JP5173388B2 (ja) * 2007-12-11 2013-04-03 キヤノン株式会社 情報処理装置および情報処理方法
CN101464927B (zh) * 2008-07-11 2013-05-08 理康互联科技(北京)有限公司 医疗数据传输处理系统和方法
US9282151B2 (en) * 2008-09-11 2016-03-08 International Business Machines Corporation Flow control in a distributed environment
CN101834833B (zh) * 2009-03-13 2014-12-24 瞻博网络公司 对分布式拒绝服务攻击的服务器防护
CN101854333B (zh) * 2009-03-30 2013-06-05 华为技术有限公司 对不完整会话攻击进行检测的方法和装置
US20110134930A1 (en) * 2009-12-09 2011-06-09 Mclaren Moray Packet-based networking system
KR100994076B1 (ko) * 2010-04-12 2010-11-12 주식회사 나우콤 엔에이티 망용 웹서비스 정상사용자차단방지시스템 및 그의 제어방법
US20110280247A1 (en) * 2010-05-17 2011-11-17 Google Inc. System and method for reducing latency via multiple network connections
CN102693373B (zh) * 2011-03-25 2016-11-16 株式会社野村综合研究所 业务信息防护装置
JP5624973B2 (ja) * 2011-11-04 2014-11-12 株式会社日立製作所 フィルタリング装置
JP5858141B2 (ja) * 2012-03-23 2016-02-10 日本電気株式会社 制御装置、通信装置、通信システム、通信方法及びプログラム
JP5967221B2 (ja) 2012-12-19 2016-08-10 日本電気株式会社 通信ノード、制御装置、通信システム、パケット処理方法、通信ノードの制御方法及びプログラム
CN106302421B (zh) * 2016-08-08 2019-07-16 腾讯科技(深圳)有限公司 一种信息拦截处理方法以及装置
CN109947081B (zh) * 2019-03-25 2020-12-01 钛马信息网络技术有限公司 网联车辆控制方法及装置
JP7362372B2 (ja) * 2019-09-05 2023-10-17 日立チャネルソリューションズ株式会社 紙幣処理システムの遠隔保守システム、および遠隔保守方法

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3407002B2 (ja) 1995-03-08 2003-05-19 日本電信電話株式会社 メッセージ中継装置及びメッセージ中継方法
JPH103357A (ja) 1996-06-18 1998-01-06 Nippon Telegr & Teleph Corp <Ntt> ビデオサーバ
US6247054B1 (en) 1997-03-24 2001-06-12 Nortel Networks Limited Method and apparatus for redirecting packets using encapsulation
US6199113B1 (en) * 1998-04-15 2001-03-06 Sun Microsystems, Inc. Apparatus and method for providing trusted network security
DE69840947D1 (de) * 1998-09-10 2009-08-13 Ibm Paketvermittlunganpassungseinrichtung für Datenpaketen mit variabler Länge
JP2000122939A (ja) 1998-10-12 2000-04-28 Toshiba Corp アプリケーションゲートウェイの通信制御方法
US6212640B1 (en) * 1999-03-25 2001-04-03 Sun Microsystems, Inc. Resources sharing on the internet via the HTTP
CA2297341A1 (en) 1999-08-18 2001-02-18 Alma-Baba Technical Research Laboratory Co., Ltd. System for monitoring network for cracker attack
KR20010081872A (ko) 2000-02-19 2001-08-29 김지윤 무선 단말기의 음성 통화방법 및 이를 제공하는 방법
TW518864B (en) * 2000-05-12 2003-01-21 Ibm Methods and system for defeating TCP SYN flooding attacks
US20020029269A1 (en) * 2000-06-29 2002-03-07 Campus Pipeline, Inc. Methods and systems for coordinating the termination of sessions on one or more systems
US20020138643A1 (en) 2000-10-19 2002-09-26 Shin Kang G. Method and system for controlling network traffic to a network computer
US7546369B2 (en) * 2000-12-21 2009-06-09 Berg Mitchell T Method and system for communicating a request packet in response to a state
US8402129B2 (en) * 2001-03-21 2013-03-19 Alcatel Lucent Method and apparatus for efficient reactive monitoring
US6907525B2 (en) 2001-08-14 2005-06-14 Riverhead Networks Inc. Protecting against spoofed DNS messages

Also Published As

Publication number Publication date
CN1194309C (zh) 2005-03-23
EP1298883A3 (en) 2004-12-15
CN1410899A (zh) 2003-04-16
DE60223771D1 (de) 2008-01-10
EP1298883A2 (en) 2003-04-02
EP1298883B1 (en) 2007-11-28
US20030061306A1 (en) 2003-03-27
DE60223771T2 (de) 2008-04-10
JP2003173300A (ja) 2003-06-20
US7478425B2 (en) 2009-01-13

Similar Documents

Publication Publication Date Title
JP4434551B2 (ja) サーバー計算機保護装置、サーバー計算機保護方法、サーバー計算機保護プログラム及びサーバー計算機
Iyengar et al. QUIC: A UDP-based multiplexed and secure transport
US8850046B2 (en) Securing an access provider
JP4517042B1 (ja) 偽のソース・アドレスを用いたポート・スキャンを検出するための方法、装置、およびプログラム
US8370937B2 (en) Handling of DDoS attacks from NAT or proxy devices
JP4743894B2 (ja) データ・パケットを伝送しながらセキュリティを改良するための方法及び装置
US20050166049A1 (en) Upper-level protocol authentication
US20110289559A1 (en) Deep Packet Scan Hacker Identification
US20080040478A1 (en) System for extranet security
JP2006191537A (ja) 統合ホストプロトコルスタック管理を使用するセキュアなインターネットプロトコル(ispec)オフロードのための方法および装置
CN110266678B (zh) 安全攻击检测方法、装置、计算机设备及存储介质
US6970934B2 (en) System and method for connecting to a device on a protected network
JP2009239525A (ja) フィルタリング装置、フィルタリング方法およびフィルタリングプログラム
US8429742B2 (en) Detection of a denial of service attack on an internet server
JP2004164553A (ja) サーバ計算機保護装置、サーバ計算機保護方法、サーバ計算機保護プログラム及びサーバ計算機
Cao et al. 0-rtt attack and defense of quic protocol
Pinkerton et al. Direct data placement protocol (DDP)/remote direct memory access protocol (RDMAP) security
KR101463873B1 (ko) 정보 유출 차단 장치 및 방법
JP4538055B2 (ja) サーバー計算機保護装置、サーバー計算機保護方法、サーバー計算機保護プログラム及びサーバー計算機
JP2006331015A (ja) サーバ装置保護システム
US8935406B1 (en) Network adaptor configured for connection establishment offload
JP5922622B2 (ja) 制御装置、通信システム、および、通信制御方法
TWI258286B (en) Methods for intrusion detection system (IDS) thwarting and mitigating network attacks
JP4005047B2 (ja) サーバ計算機保護装置
Iyengar Internet-Draft Fastly Intended status: Standards Track M. Thomson, Ed. Expires: October 25, 2019 Mozilla April 23, 2019

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040601

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20050414

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20050606

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20071218

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080215

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080916

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081117

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090612

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090707

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091027

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091109

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20091201

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20091222

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130108

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130108

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140108

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees