[go: up one dir, main page]

JP4557815B2 - 中継装置および中継システム - Google Patents

中継装置および中継システム Download PDF

Info

Publication number
JP4557815B2
JP4557815B2 JP2005172867A JP2005172867A JP4557815B2 JP 4557815 B2 JP4557815 B2 JP 4557815B2 JP 2005172867 A JP2005172867 A JP 2005172867A JP 2005172867 A JP2005172867 A JP 2005172867A JP 4557815 B2 JP4557815 B2 JP 4557815B2
Authority
JP
Japan
Prior art keywords
frame
address
client
server
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005172867A
Other languages
English (en)
Other versions
JP2006352274A (ja
Inventor
一峰 的場
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2005172867A priority Critical patent/JP4557815B2/ja
Priority to US11/233,750 priority patent/US20060280121A1/en
Publication of JP2006352274A publication Critical patent/JP2006352274A/ja
Application granted granted Critical
Publication of JP4557815B2 publication Critical patent/JP4557815B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Description

この発明は、クライアントに接続された外部ネットワークからのDoS攻撃等の不正アクセスから、サーバに接続された特定のネットワークを保護する中継装置、中継システムに関する。
近年、企業等の特定の領域内に構築されたイントラネット等の内部ネットワークでは、インターネット等の外部ネットワークとの境界にファイヤウォール機器を設置して、内部ネットワークに接続されたサーバやクライアントを外部ネットワークから攻撃を受けないように保護している。サーバに対する攻撃の一つに、サーバに対して大量の接続要求を行ってサーバの負荷を高めることによって、サーバが正当なクライアントに対してサービスを提供するのを妨害するDoS攻撃(Denial of Service Attack:サービス拒否攻撃)がある。なお、サーバとは、サービスを提供するものであり、また、クライアントとは、サービスの提供を受けるものであり、いずれもコンピュータ等のハードウェアだけでなく、そこで実行されるソフトウェアも含む。
図19は、TCPの正常な接続手順を示す図である。3ウェイハンドシェークによってTCP(Transmission Control Protocol)による接続が確立する際には、図19に示すように、まず、クライアント1は、サーバ2に対して、接続を要求するSYN(synchronize)フレームを送信する。サーバ2は、SYNフレームを受信すると、クライアント1に対してSYN/ACKフレームを応答する。この応答に対して、さらにクライアント1がサーバ2にACK(acknowledge)フレームを送信することによって、TCPによるクライアント1とサーバ2の接続が確立する。
3ウェイハンドシェーク時にサーバ側に送られてくるSYNフレームは、非攻撃フレーム、無効攻撃フレームおよび有効攻撃フレームの3つに分類される。非攻撃フレームは、正当なクライアントから送られてくるSYNフレームである。この場合には、上述したように接続が正常に確立される(図19参照)。
図20は、無効なDoS攻撃によるTCPの接続手順を示す図である。無効攻撃フレームは、実在する別のクライアントのアドレスを送信元アドレスに詐称したアタッカーから送られてくるSYNフレームである。この場合には、図20に示すように、サーバ2は、アタッカー3から送られてきたSYNフレーム(実在するクライアント1のアドレスに詐称されている)を受信すると、クライアント1に対してSYN/ACKフレームを応答する。クライアント1は、SYNフレームを送信していないにもかかわらず、SYN/ACKフレームを受信したので、サーバ2に対してRST(reset)フレームを送信する。それによって、TCPの接続が切断される。
図21は、有効なDoS攻撃によるTCPの接続手順を示す図である。有効攻撃フレームは、該当するクライアントのない架空のアドレスを送信元アドレスに詐称したアタッカーから送られてくるSYNフレームである。この場合には、図21に示すように、サーバ2は、アタッカー3から送られてきたSYNフレーム(架空のクライアント4のアドレスに詐称されている)を受信すると、この架空のクライアント4に対してSYN/ACKフレームを応答する。しかし、SYN/ACKフレームに対する応答フレームが返ってこないので、サーバ2は、接続が確立しないハーフオープン状態となり、数十秒程度のタイムアウトを待ってから、TCP接続のためのリソース(メモリ等)を開放する。
従って、大量の有効攻撃フレームが送られてきてハーフオープン状態の数が増えると、その分、サーバ2がTCP接続のために確保するリソースが増えてしまう。リソースの確保量がサーバ2の上限値に達すると、サーバ2は、非攻撃フレーム用のリソースを新たに確保することができない。そのため、正当なクライアント1の接続要求が無視されてしまい、サーバ2が正当なクライアント1に対してサービスを提供するのが妨害されてしまう。このようなDoS攻撃をSYNフラッド攻撃(SYN Flooding Attack)という。
上述した攻撃に対するファイヤウォールによる対処方法として、統計情報に基づく方法や事前収集に基づく方法がある。統計情報に基づく方法には、ハーフオープン状態の数が閾値を超えた時点でサーバのTCP接続を強制的に切断する方法(第1の方法)や、全トラヒックを対象としてSYNフレームの流量を制限する方法(第2の方法)などがある。事前収集に基づく方法には、最近サーバとの間で接続が確立されたクライアントから送られてきたフレームを優先してサーバへ転送する方法(第3の方法)などがある。
例えば、統計情報に基づく方法の一つとして、外部ネットワークからバックボーンネットワークへの流入経路のそれぞれに解析端末を設け、各解析端末が、各流入経路からバックボーンネットワークへ流入するパケットを解析して不正アクセス候補を抽出し、管理端末が、各解析端末から解析結果を収集し、その集計結果に基づいて不正アクセスを検知するようにした不正アクセス監視システムが公知である(例えば、特許文献1参照。)。また、事前収集に基づく方法の一つとして、予めデータベースに記録されたMACアドレスを有するネットワーク機器のみを所定のネットワークに接続可能な機器とし、ネットワークに接続されたネットワーク機器の識別情報に基づいて、そのネットワーク機器がネットワークに接続可能な機器であるか否かを判断するネットワーク管理システムが公知である(例えば、特許文献2参照。)。
特開2004−164107号公報 特開2004−241831号公報
しかしながら、SYNフラッド攻撃では、アタッカーが送信元アドレスを任意に詐称するため、SYNフレームのヘッダ情報を見ただけで有効攻撃フレームと非攻撃フレームを判別するのは不可能である。従って、ファイヤウォールが有効攻撃フレームを識別して廃棄することができないため、全ユーザのトラヒックが有効攻撃トラヒックの影響を受けることになる。また、上記第1の方法では、有効攻撃フレームを含むすべてのフレームをサーバに転送するため、有効攻撃フレームが多くなると、サーバの接続およびその切断の処理負荷が高くなり、サービス不能に陥ってしまう。
上記第2の方法では、非攻撃フレームと有効攻撃フレームを合わせて流量制限するため、有効攻撃フレームが多くなると、非攻撃フレームが高い確率で廃棄されてしまうので、正当なクライアントに対するサービスの提供が妨げられる。上記第3の方法では、過去にサーバにアクセスしていないクライアントからの非攻撃フレームは、有効攻撃フレームと合わせて流量制限されることになるため、有効攻撃フレームが多くなると、このクライアントに対するサービスの提供が妨げられる。
この発明は、上述した従来技術による問題点を解消するため、送信元アドレスを詐称した不正フレームの転送を抑制することによって、正当なクライアントから送られてきた中継対象フレームを優先的にサーバ側へ転送する中継装置を提供することを目的とする。また、この発明は、クライアントから送られてくるSYNフレームのうち、アタッカーから送られてくる有効攻撃フレームのみの流量制限を行うことによって、SYNフラッド攻撃が行われた時でも正当なクライアントに対するサービスを遮断させずに済む中継装置、中継システムを提供することを目的とする。
上述した課題を解決し、目的を達成するため、この発明は、サブネットに属するクライアントと、サーバとの間の通信を中継し、該クライアントからの攻撃から該サーバを保護する中継装置であって、前記サブネットに属するクライアントに対して、SYN/ACKフレームを送信し、返されてくるRSTフレームの応答を監視し、該応答がなくタイムアウトした該クライアントのアドレスを記録部に格納する収集手段と、前記サーバ宛に送られたフレームが、前記記録部に格納されたクライアントのアドレスから送られている場合、前記フレームを前記サーバへ転送する際の送信帯域を調節して、前記サーバへの流量制限を行う流量制限手段と、を備えたことを特徴とする。
収集手段、収集したクライアントの応答状況をそのクライアントのアドレスとともに記録部に格納する。流量制限手段は、外部ネットワークからサーバ宛に送られてきたフレームの中から、収集手段の記録部のエントリ内容に基づいて、有効攻撃アドレスを送信元アドレスとするフレーム(有効攻撃フレーム)を選択し、選択された有効攻撃フレームをサーバへ転送する際のフレーム送信帯域を調節してサーバ側への流量制限を行う。
この発明によれば、収集手段により事前にクライアントのSYN/ACKフレーム等に対する応答状況を確認しておき、その確認した情報に基づいて、フレーム中継時に不正フレーム等の有効攻撃フレームのみを選択して流量制限手段に転送することによって、有効攻撃フレームのみの中継流量を制限することができる。従って、SYNフラッド攻撃が行われた時でも、正常なクライアントの通信やサービスを遮断させずに中継処理を行うことができる。
本発明にかかる中継装置、中継システムによれば、不正フレーム等の有効攻撃フレームのみの流量制限を行うことができ、それによって、SYNフラッド攻撃が行われた場合でも、正当なクライアントに対するサービスを遮断させずに済むという効果を奏する。
以下に添付図面を参照して、この発明にかかる中継装置、中継システムの好適な実施の形態を詳細に説明する。なお、中継装置をDoS攻撃に対する対策に用いたものがDoS攻撃防御装置である。また、中継システムをDoS攻撃に対する対策に用いたものがDoS攻撃防御システムである。従って、以下の実施の形態においては主としてDoS攻撃を防御する場合について説明するが、DoS攻撃に限らず、送信元アドレスを詐称した不正フレームに対する転送制御を行う場合も同様である。以下の各実施の形態の説明においては、同様の構成には同一の符号を付して重複する説明を省略する。
(実施の形態1)
図1は、本発明の実施の形態1にかかるDoS攻撃防御装置を備えたネットワークの構成を示す概略図である。図1に示すように、本発明の実施の形態1にかかるDoS攻撃防御装置は、サーバ2と、SYNフラッド攻撃の監視対象となる外部ネットワーク7との間に、中継装置10として接続されている。この外部ネットワーク7には、複数のクライアント1,5,6が接続されている。サーバ2は、企業等の特定の領域内に構築された図示しない内部ネットワークに接続されている。
特に限定しないが、説明の便宜上、第1のクライアント1、DoS攻撃防御装置10およびサーバ2のIPアドレスをそれぞれ[10.0.0.1]、[20.0.0.1]および[50.0.0.1]とする。また、特に限定しないが、外部ネットワーク7に接続されたクライアント1,5,6のサブネットは、[10.0.0.0/24]、すなわち[10.0.0.0]〜[10.0.0.255]の中のアドレスとなっているものとし、これと同じサブネットアドレスが予めDoS攻撃防御装置10に設定されている。
図2は、本発明の実施の形態1にかかるDoS攻撃防御装置の構成を示すブロック図である。図2に示すように、DoS攻撃防御装置10は、クライアント側送受信部11、事前情報収集部12、アドレス保持部13、フレーム識別部14、有効攻撃識別部15、流量制限部16およびサーバ側送受信部17を備えている。
クライアント側送受信部11は、外部ネットワーク7に接続されており、外部ネットワーク7に対してフレームの送受信を行う。例えば、クライアント側送受信部11は、クライアントからサーバ側へ宛てたフレームを受信すると、そのフレームをフレーム識別部14に送る。また、事前情報収集部12から送られてきたSYN/ACKフレームをクライアント側へ送信する。また、サーバ側送受信部17から送られてきたフレームをクライアント側へ送信する。
事前情報収集部12は、定期的にSYN/ACKフレームをクライアント側送受信部11を介してクライアント側へ送信し、それに対してクライアント側から返されてくるRSTフレームの応答を監視する。例えば、調査対象、すなわちSYNフラッド攻撃の監視対象であるサブネット[10.0.0.0/24]の全アドレスに対して、定期的にSYN/ACKフレームを作成してクライアント側送受信部11に送る。その応答として、フレーム識別部14からRSTフレームを受け取ると、そのRSTフレームを送り返してきたクライアントを正当なクライアントであると判断する。
そして、その正当なクライアントについてのエントリとして、有効攻撃フラグの値を「0」とし、そのフラグの値とクライアントのアドレスを関連付けて、アドレス保持部13に登録する。一方、SYN/ACKフレームを送信した後、一定時間が経過してもRSTフレームを送り返してこないアドレスについては、有効攻撃フラグの値を「1」とし、そのフラグの値とアドレスを関連付けて、アドレス保持部13に登録する。
アドレス保持部13は、調査対象の各アドレスとその有効攻撃フラグの値(「0」または「1」)を保持する。図3は、アドレス保持部の構成の一例を示す図である。図3に、アドレス保持部13の構成の一例を示す。フレーム識別部14は、クライアント側送受信部11から受け取ったフレームのヘッダ情報を識別し、そのフレームが自局(DoS攻撃防御装置10)宛のRSTフレーム、中継対象のSYNフレーム、およびその他のフレームのいずれであるかを識別する。自局宛のRSTフレームである場合には、そのフレームを事前情報収集部12へ送る。SYNフレームである場合には、そのフレームを有効攻撃識別部15へ送る。その他のフレームである場合には、そのフレームをサーバ側送受信部17へ送る。
有効攻撃識別部15は、サーバ2への転送対象であるフレームが有効攻撃フレームであるか否かを識別する。例えば、有効攻撃識別部15は、フレーム識別部14からフレームを受け取ると、そのフレームの送信元アドレスに基づいて、アドレス保持部13から該当するエントリを読み出す。その読み出したエントリの有効攻撃フラグの値が「0」である場合には、そのフレームをサーバ側送受信部17へ送る。一方、そのエントリの有効攻撃フラグの値が「1」である場合には、そのフレームを流量制限部16へ送る。
流量制限部16は、有効攻撃識別部15から受け取った有効攻撃フレームをサーバ側へ転送する際のフレーム送信帯域を調節して、サーバ側への流量制限を行う。特に限定しないが、例えば、SYNフレーム全体の流量が1秒間に1フレーム以内になるように、サーバ側送受信部17にフレームを送る。
サーバ側送受信部17は、サーバ側の内部ネットワークに接続されており、内部ネットワークに対してフレームの送受信を行う。例えば、サーバ2から送られてきたフレームをクライアント側送受信部11へ送る。また、フレーム識別部14、有効攻撃識別部15または流量制限部16から送られてきたフレームをサーバ側へ転送する。
次、DoS攻撃防御装置10の動作について説明する。ここでは、図1に示す構成において、第1のクライアント1が正当なクライアントであり、第2のクライアント5は正当ではないクライアントであるとする。DoS攻撃防御装置10の動作は、第1のクライアント1に対してSYN/ACKフレームを送信する場合(ケース1)、ホスト未割り当てのアドレス(例えば、[10.0.0.5])に対してSYN/ACKフレームを送信する場合(ケース2)、第1のクライアント1がサーバ2と通信を行う場合(ケース3)、第2のクライアント5が第1のクライアント1のアドレス[10.0.0.1]を詐称して攻撃を行う場合(ケース4)、および第2のクライアント5がホスト未割り当てのアドレス(例えば、[10.0.0.5])を詐称して攻撃を行う場合(ケース5)の5つのケースに分類される。
図4は、本発明の実施の形態1における事前情報収集動作を説明するためのフローチャートである。以下、説明の便宜上、個々の動作ごとに、その説明の前に順に(1)、(2)、・・・を付す。まず、ケース1について説明する。(1)事前情報収集部12は、前回の収集処理から一定期間(例えば、15分)が経過したことを認識し、第1のクライアント1のアドレス[10.0.0.1]に対してSYN/ACKフレームを送信することをクライアント側送受信部11に通知する。また、SYN/ACKフレームの送信と同時に、そのSYN/ACKフレームの送信に対する応答待ちの時間を計測するためのタイマを起動することで、情報収集を開始する。
(2)クライアント側送受信部11は、自身(DoS攻撃防御装置10)のアドレス[20.0.0.1]を調査アドレスとなる送信元アドレスに設定して(ステップS1)、クライアント側のネットワークへSYN/ACKフレームを送信する(ステップS2)。(3)第1のクライアント1は、SYN/ACKフレームを受信するが、その前にSYNフレームを送信していないので、TCPのプロトコル仕様に基づいてRSTフレームを[20.0.0.1]宛、すなわちDoS攻撃防御装置10宛に送信する。このRSTフレームは、通常、事前情報収集部12により起動されたタイマがタイムアウトする前にDoS攻撃防御装置10に到達する。
(4)次ステップS3においてステップS2の処理がタイムアウトか否かの判断を、ステップS4においてRST応答の有無の判断を行う。クライアント側送受信部11は、タイムアウト前(ステップS3:No)に第1のクライアント1から送られてきたRSTの応答(ステップS4:Yes)によりRSTフレームを受信し、そのRSTフレームをフレーム識別部14へ送る。(5)フレーム識別部14は、受け取ったフレームがRSTフレームであり、かつその宛先が[20.0.0.1]の自局であるので、そのRSTフレームを事前情報収集部12へ送る。(6)事前情報収集部12は、アドレス保持部13に、送信元アドレスが[10.0.0.1]であり、このアドレスを無効攻撃アドレスとして記録するため(ステップS5)、有効攻撃フラグの値が「0」であるエントリを記録する。これによって、[10.0.0.1]のアドレスは、DoS攻撃防御装置10に無効攻撃アドレスとして登録される。また、事前情報収集部12は、情報収集開始時に起動したタイマを止める。
以上の(1)〜(6)の動作がケース1に該当する。続けてステップS6において、予め指定された特定サブネット内の全アドレスに対して調査が済むまで、つまり全アドレスが完了しなければ(ステップS6:No)、同様に次のアドレス設定する(ステップS7)ことで、調査を繰り返し行う。例えば、上述した[10.0.0.1]のアドレスに対する調査に続いて、送信先アドレスを順次[10.0.0.2]、[10.0.0.3]、・・・というように指定して調査を行う。その繰り返し調査を行っている際に、ケース2に該当した場合について説明する。
(7)例えば、事前情報収集部12は、[10.0.0.4]のアドレスの調査に続いて、[10.0.0.5]のアドレスに対してSYN/ACKフレームを送信することをクライアント側送受信部11に通知するとともに、次のアドレス設定を行うことで(ステップS7)、タイマを起動する。ここでは、この[10.0.0.5]のアドレスの端末は存在しないとする。(8)クライアント側送受信部11は、送信元アドレスを[20.0.0.1]に設定して、クライアント側のネットワークへSYN/ACKフレームを送信する(ステップS2)。(9)クライアント側のネットワークには、[10.0.0.5]のアドレスを有する端末が接続されていないため、[10.0.0.5]宛に送信されたSYN/ACKフレームは、ネットワーク中の中継装置において廃棄される。
(10)一方、DoS攻撃防御装置10には、RSTフレームが返されてこないので、事前情報収集部12は、ステップS3において、タイムアウトの状態つまりタイマにより一定時間(例えば、1秒)が経過したことを認識し(ステップS3:Yes)、アドレス保持部13に、この時の設定アドレスを有効攻撃アドレスとして記録するため(ステップS8)、[10.0.0.5]のアドレスと、そのアドレスに対する有効攻撃フラグの値を「1」としたエントリを記録する。これによって、[10.0.0.5]のアドレスは、DoS攻撃防御装置10に有効攻撃アドレスとして登録される。そして、事前情報収集部12は、ステップS7のアドレス設定時に起動したタイマを止める。特定サブネット内の全アドレスに対して調査が完了すると、事前情報収集動作の完了となり、全アドレスについて有効攻撃フラグが登録される。以上のような処理が繰り返され、ステップS6において、全アドレスが完了すると(ステップS6:Yes)、一連の処理を終了する。
次、上述した事前情報収集動作が完了した後に、クライアントからサーバ宛のフレームが送信された場合の動作について説明する。図5は、本発明の実施の形態1におけるフレーム転送動作を説明するためのフローチャートである。まず、ケース3について説明する。(11)第1のクライアント1は、自身のアドレス[10.0.0.1]を送信元アドレスに設定して、サーバ2([50.0.0.1])宛にTCPのSYNフレームを送信する。(12)クライアント側送受信部11は、第1のクライアント1から送られてきたフレームを受信し、そのフレームをフレーム識別部14へ送る。
(13)図5において、フレーム識別部14は、クライアント側送受信部11から受け取ったフレームがSYNフレームか否かを判断する(ステップS11)。受け取ったフレームが他局([50.0.0.1])宛のSYNフレームであれば(ステップS11:Yes)、そのフレームを有効攻撃識別部15へ送る。(14)有効攻撃識別部15は、受け取ったフレームの送信元アドレス[10.0.0.1]に基づいて、アドレス保持部13から該当するエントリを読み出す(ステップS12)。次、ステップS12において読み出したアドレスが無効攻撃アドレスか否かを判断する(ステップS13)。アドレスが無効攻撃アドレスであれば(ステップS13:Yes)、該当するエントリの有効攻撃フラグの値は「0」であるので、有効攻撃識別部15は、そのフレームをサーバ側送受信部17へ転送する(ステップS14)。(15)サーバ側送受信部17は、転送されてきたフレームをサーバ側ネットワークへ送信し、一連の処理を終了する。
(16)サーバ2は、DoS攻撃防御装置10から転送されてきたSYNフレームを受信し、その応答としてSYN/ACKフレームを第1のクライアント1([10.0.0.1])宛に送信する。(17)サーバ側送受信部17は、サーバ2から送られてきた[10.0.0.1]宛のSYN/ACKフレームを受信し、クライアント側送受信部11へ送る。(18)クライアント側送受信部11は、そのSYN/ACKフレームをクライアント側ネットワークへ送信する。(19)第1のクライアント1は、SYN/ACKフレームを受け取り、その応答としてACKフレームをサーバ2([50.0.0.1])宛に送信する。
(20)クライアント側送受信部11は、第1のクライアント1から送られてきたACKフレームを受信し、そのフレームをフレーム識別部14へ送る。(21)フレーム識別部14は、ステップS11の判断を行い、クライアント側送受信部11から受け取ったフレームが他局([50.0.0.1])宛であり、かつSYNフレームではないので(ステップS11:No)、そのフレームをサーバ側送受信部17へ送る。(22)サーバ側送受信部17は、転送されてきたACKフレームをサーバ側ネットワークへ送信し(ステップS14)、一連の処理を終了する。
(23)サーバ2は、DoS攻撃防御装置10から転送されきたACKフレームを受信し、第1のクライアント1とのTCP接続を確立する。これ以降、クライアントからサーバ2へ送られたフレームに対する動作は、上記(19)〜(23)の動作と同様であり、また、サーバ2からクライアントへ送られたフレームに対する動作は、上記(16)〜(18)の動作と同様であるので、重複する説明を省略する。
ケース4について説明する。(24)第2のクライアント5は、第1のクライアント1のアドレス[10.0.0.1]を送信元アドレスに設定することによって、アドレスを詐称する。そして、サーバ2([50.0.0.1])宛にTCPのSYNフレームを送信する。(25)クライアント側送受信部11は、そのSYNフレームを受信してフレーム識別部14へ送る。(26)フレーム識別部14は、ステップS11の判断を行い、受け取ったフレームが他局([50.0.0.1])宛のSYNフレームであるので(ステップS11:Yes)、そのフレームを有効攻撃識別部15へ送る。
(27)有効攻撃識別部15は、アドレス保持部13から[10.0.0.1]のアドレスのエントリを読み出す(ステップS12)。続いて、ステップS13の判断を行い、そのエントリの有効攻撃フラグの値は「0」であるので、無効攻撃アドレスであると判断し(ステップS13:Yes)、有効攻撃識別部15は、そのフレームをサーバ側送受信部17へ転送し(ステップS14)、一連の処理を終了する。(28)サーバ側送受信部17は、そのフレームをサーバ側ネットワークへ送信する。(29)サーバ2は、転送されてきたSYNフレームを受信し、その応答としてSYN/ACKフレームを第1のクライアント1([10.0.0.1])宛に送信する。
(30)サーバ側送受信部17は、そのSYN/ACKフレームを受信し、クライアント側送受信部11へ送る。(31)クライアント側送受信部11は、そのSYN/ACKフレームをクライアント側ネットワークへ送信する。(32)第1のクライアント1は、送られてきたSYN/ACKフレームを受信するが、その前にSYNフレームを送信していないので、RSTフレームをサーバ2([50.0.0.1])宛に送信する。
(33)クライアント側送受信部11は、そのRSTフレームを受信してフレーム識別部14へ送る。(34)フレーム識別部14は、ステップS11の判断を行い、受け取ったフレームが他局([50.0.0.1])宛であり、かつSYNフレームではないので(ステップS11:No)、そのRSTフレームをサーバ側送受信部17へ転送し(ステップS14)、一連の処理を終了する。(35)サーバ側送受信部17は、そのRSTフレームをサーバ側ネットワークへ送信する。(36)サーバ2は、第1のクライアント1からRSTフレームを受信することによって、第1のクライアント1とのTCP接続が切断されたことを認識する。
ケース5について説明する。(37)第2のクライアント5は、送信元アドレスに[10.0.0.5]を設定し、サーバ2([50.0.0.1])宛にTCPのSYNフレームを送信する。ケース2で説明した通り、アドレスが[10.0.0.5]である端末は存在しない。つまり、第2のクライアント5は、存在しない端末のアドレスを詐称している。(38)クライアント側送受信部11は、そのSYNフレームを受信してフレーム識別部14へ送る。(39)フレーム識別部14は、ステップS11の判断を行い、受け取ったフレームが他局([50.0.0.1])宛のSYNフレームであるので(ステップS11:Yes)、そのフレームを有効攻撃識別部15へ送る。
(40)有効攻撃識別部15は、アドレス保持部13から[10.0.0.5]のアドレスのエントリを読み出し(ステップS12)、ステップS13の判断を行う。そのエントリの有効攻撃フラグの値は「1」であるので、無効攻撃アドレスではないと判断し(ステップS13:No)、有効攻撃識別部15は、そのフレームを流量制限部16へ送る。(41)流量制限部16は、受け取ったフレームを他のSYNフレームと合わせて、例えば1秒間に1フレーム単位程度に制限してサーバ側送受信部17へ送り、流量制限処理を行う(ステップS15)。(42)サーバ側送受信部17は、ステップS14の処理を行い、転送されてきたフレームをサーバ側ネットワークへ送信し、一連の処理を終了する。
(43)サーバ2は、DoS攻撃防御装置10から転送されきたSYNフレームを受信し、その応答としてSYN/ACKフレームを、アドレスが[10.0.0.5]である端末宛に送信する。(44)[10.0.0.5]の端末が存在しないため、[10.0.0.5]宛に送信されたSYN/ACKフレームは、ネットワーク中の中継装置において廃棄される。
(45)サーバ2は、[10.0.0.5]のアドレスを有するであろう端末からACKフレームが返されてこないので、[10.0.0.5]のアドレスを詐称している端末、すなわちアタッカーである第2のクライアント5とのTCP接続用のリソースを開放する。実施の形態1によれば、以上のケース3〜5により、有効攻撃フレームのみが流量制限部16を通過することになるので、SYNフレームの転送量を制限することができる。従って、SYNフラッド攻撃が行われた場合でも、正当なクライアントに対するサービスを遮断させずに済む。なお、流量制限のアルゴリズムとして、従来の統計手法のうちのいずれの手法も用いることができる。
(実施の形態2)
図6は、本発明の実施の形態2にかかるDoS攻撃防御装置の構成を示すブロック図である。図6に示すように、実施の形態2は、実施の形態1のDoS攻撃防御装置10に例外保持部18を追加したものである。例外保持部18には、予め、正当なクライアントである、すなわちアタッカーではないと判明しているクライアントのアドレスが記録される。例外保持部18の追加に伴って、有効攻撃識別部15には、次の新たな機能が付加される。
有効攻撃識別部15は、フレーム識別部14からフレームを受け取ると、例外保持部18に対してそのフレームの送信元アドレスの検索を行う。そして、例外保持部18にそのアドレスが登録されている場合、そのフレームをサーバ側送受信部17へ送る。一方、アドレスが例外保持部18に登録されていない場合には、アドレス保持部13から当該アドレスのエントリを読み出す。
例えば、予め第1のクライアント1が正当なクライアントであることが判明しており、第1のクライアント1の通信を流量制限対象から除外する場合について、具体的な動作を説明する。ネットワーク管理者等は、予め第1のクライアント1のアドレス[10.0.0.1]を例外保持部18のエントリとして登録しておく。実施の形態1で説明した動作と異なるのは、サーバ2へのフレーム転送動作において、ケース3の(14)の動作である。
図7は、本発明の実施の形態2におけるフレーム転送動作を説明するためのフローチャートである。すなわち、図7に示すように、まず、フレーム識別部14が受け取ったフレームが、SYNフレームか否かの判断を行い(ステップS11)、受け取ったフレームが、他局([50.0.0.1])宛のSYNフレームである場合(ステップS11:Yes)、フレーム識別部14は、そのフレームを有効攻撃識別部15へ送る。有効攻撃識別部15は、フレーム識別部14から受け取ったフレームの送信元アドレス[10.0.0.1]に基づいて、例外保持部18のエントリを読み出し(ステップS21)、例外保持部18の検索を行う。次、読み出したエントリが登録済みアドレスか否かを判断し(ステップS22)、ここでは、例外保持部18に該当するエントリがアドレスとして登録されているので(ステップS22:Yes)、有効攻撃識別部15は、そのフレームをサーバ側送受信部17へ送る。サーバ側送受信部17は、転送されてきたフレームをサーバ側ネットワークへ送信し(ステップS14)、一連の処理を終了する。
例えば、ステップS22において、送信元アドレスが[10.0.0.2]や[10.0.0.5]である場合、すなわち予め判明している正当なクライアントのアドレス以外のアドレスである場合には(ステップS22:No)、該当するエントリが例外保持部18に登録されていないので、有効攻撃識別部15は、アドレス保持部13から当該アドレスのエントリを読み出し(ステップS12)、有効攻撃フレームであるか否かを識別する(ステップS13)。ステップS13以降の処理は、図5に示した実施の形態1における処理と同様であるので、重複する説明を省略する。
実施の形態2においては、ケース3の(14)以外の動作は、実施の形態1と同じであるので、重複する説明を省略する。実施の形態2によれば、例えばネットワーク管理者が常時起動していることが判明しているクライアントなど、特定のクライアントのアドレスを例外保持部18に登録しておくことによって、特定のクライアントからのフレームを常時優先的に中継することが可能となる。
(実施の形態3)
図8は、本発明の実施の形態3にかかるDoS攻撃防御装置の構成を示すブロック図である。図8に示すように、実施の形態3は、実施の形態1のDoS攻撃防御装置10にDNS調査部19を追加したものである。DNSとは、ドメイン・ネーム・システムのことである。DNS調査部19は、DNSクライアント機能により、装置外部のDNSサーバに対して、外部ネットワークの、例えば特定サブネットの各アドレスについてホストアドレスの問い合わせを行い、DNSに登録済みの端末のアドレスを調査する。そして、当該サブネットの全アドレスのうち、DNSに登録済みのアドレスを事前情報収集部12に通知する。なお、DNSのセカンダリサーバ機能により、ホスト一覧を取得してもよい。
DNS調査部19の追加に伴って、事前情報収集部12の収集動作は、DNS調査部19から通知されたアドレスに対してのみ応答状況の収集を行うように変更される。従って、事前情報収集部12は、調査対象のサブネット([10.0.0.0/24])のうち、DNS調査部19からホストアドレスを取得できたアドレスに対して、実施の形態1で説明したように、定期的にSYN/ACKフレームの送信を行い、それに対するRSTフレームの応答を監視する。RSTフレームの応答があれば、そのときの送信先アドレスに対する有効攻撃フラグの値を「0」にしてアドレス保持部13に登録する。
SYN/ACKフレームの送信後、RSTフレームを受信せずに一定時間が過ぎると、そのときの送信先アドレスに対する有効攻撃フラグの値を「1」にしてアドレス保持部13に登録する。また、事前情報収集部12は、DNS調査部19からホストアドレスを取得できなかったことが通知されたアドレス、すなわちDNSに登録されていないアドレスについては、有効攻撃フラグの値を「1」に設定してアドレス保持部13に登録する機能を有する。さらに、図6に示したような例外保持部18の追加に伴って、フレーム識別部14には、クライアント側送受信部11から受け取ったフレームが自局宛のDNS応答フレームである場合に、そのフレームをDNS調査部19へ送る機能が付加されている。
DNS登録済みのホストを定期的に調査する動作について説明する。ここでは、外部のDNSサーバのアドレスを[20.0.0.2]とし、サブネット[10.0.0.0/24]のアドレス一覧をDNSサーバ経由で取得するものとする。なお、DoS攻撃防御装置10からDNSサーバへの問い合わせメッセージが届く範囲であれば、DNSサーバはどこに設置されていてもよい。
まず、DNSにアドレスが登録されている場合について説明する。(46)DNS調査部19は、外部のDNSサーバ([20.0.0.2])宛にアドレス[10.0.0.1]のDNS逆引きの要求フレームをクライアント側送受信部11へ送る。(47)クライアント側送受信部11は、この要求フレームをクライアント側ネットワークへ送信する。(48)外部のDNSサーバは、この要求フレームを受信し、[10.0.0.1]のアドレスに対するホスト名をDoS攻撃防御装置10([20.0.0.1])宛に送信する。(49)クライアント側送受信部11は、DNSサーバから送られてきたフレームを受け取り、フレーム識別部14へ送る。
(50)フレーム識別部14は、受け取ったフレームが自局[20.0.0.1]宛のDNS応答フレームであるので、そのフレームをDNS調査部19へ送る。(51)DNS調査部19は、DNS応答フレームのホスト名が解決されたので、事前情報収集部12にアドレス[10.0.0.1]の名前の調査が成功したことを通知する。(52)事前情報収集部12は、アドレス保持部13に、[10.0.0.1]のアドレスと、そのアドレスに対する有効攻撃フラグの値を「0」としたエントリを登録する。
一方、DNSにアドレスが登録されていない場合は、以下のようになる。(53)DNS調査部19は、外部のDNSサーバ([20.0.0.2])宛に、アドレス[10.0.0.5]のDNS逆引きの要求フレームをクライアント側送受信部11へ送る。(54)クライアント側送受信部11は、上記フレームをクライアント側ネットワークに送信する。(55)外部のDNSサーバは、この要求フレームを受信し、[10.0.0.5]のアドレスに対するホストが存在しないことをDoS攻撃防御装置10([20.0.0.1])宛に送信する。(56)クライアント側送受信部11は、DNSサーバから送られてきたフレームを受け取り、フレーム識別部14へ送る。
(57)フレーム識別部14は、受け取ったフレームが自局[20.0.0.1]宛のDNS応答フレームであるので、そのフレームをDNS調査部19へ送る。(58)DNS調査部19は、DNS応答フレームのホスト名が解決されなかったので、事前情報収集部12にアドレス[10.0.0.5]の名前の調査が失敗したことを通知する。(59)事前情報収集部12は、アドレス保持部13に、[10.0.0.5]のアドレスと、そのアドレスに対する有効攻撃フラグの値を「1」としたエントリを登録する。
図9は、本発明の実施の形態3における事前情報収集動作を説明するためのフローチャートである。図9に示すように、まず、上記(46)〜(59)の動作によるDNS調査を行うため、DNS調査フレームを送信し(ステップS31)、DNSの応答アドレスを無効攻撃アドレスとしてアドレス保持部13に記録する(ステップS32)。その後、予め指定された特定サブネット内の全アドレスに対して、実施の形態1と同様の事前情報収集動作(ステップS1〜ステップS8)を行う。ただし、ステップS1の処理後、各アドレスについてSYN/ACKフレームを送信する際には、その前にSYN/ACKフレームの送信先アドレスがDNSで登録済みであるか否かを確認する(ステップS33)。
そして、登録済みである場合には(ステップS33:Yes)、そのアドレス宛にSYN/ACKフレームを送信する(ステップS2)。設定した送信先アドレスがDNSで登録されていない場合には(ステップS33:No)、SYN/ACKフレームを送信しないで、SYN/ACKフレームの送信対象を次の調査アドレスに設定する(ステップS34)。つまり、SYN/ACKフレームの送信先アドレスがDNSで登録されてる場合にのみ、SYN/ACKフレームの送信による事前調査を行う。なお、ケース3〜5に関しては、実施の形態1と同様であるので、重複する説明を省略する。
実施の形態3によれば、事前情報収集部12は、対象とするサブネットのうち、DNSで登録されている特定のアドレスに対してのみ事前調査を行えばよいので、事前情報収集部12が送信または受信する調査用の処理フレーム数を削減することができ、事前情報収集時の処理負荷を軽減することができる。なお、DNS情報の更新頻度は、一般的に数日〜数ヶ月に1回程度であるので、DNS調査部19による調査の間隔は、事前情報収集部12による情報収集の間隔(例えば、数分程度)に比べて十分に長い期間となる。従って、DNS調査部19による処理負荷は問題にならない。
(実施の形態4)
図10は、本発明の実施の形態4にかかるDoS攻撃防御装置の構成を示すブロック図である。図10に示すように、実施の形態4は、実施の形態1のDoS攻撃防御装置10にセッション監視部20を追加したものである。セッション監視部20は、サーバ2とクライアントの間でやりとりされる通信フレームに対して、そのTCPヘッダのフラグを確認し、SYNフレーム、SYN/ACKフレームおよびACKフレームの3つが通過した時点で、そのときのクライアントのアドレスに対して、有効攻撃フラグの値を「0」に設定してアドレス保持部13に登録する。
セッション監視部20によるセッション監視動作について説明する。ここでは、第1のクライアント1がサーバ2と正常に通信する場合について説明する。第1のクライアント1が例えば電源投入直後の状態であり、アドレス保持部13に、第1のクライアント1に対する有効攻撃フラグの値として「1」が登録されているものとする。なお、セッション監視動作以外の動作については、実施の形態1と同様であるので、重複する説明を省略する。
図11は、本発明の実施の形態4におけるセッション監視動作を説明するためのフローチャートである。図11に示すように、(60)第1のクライアント1は、送信元アドレスに[10.0.0.1]を設定し、送信元ポート番号および送信先ポート番号にそれぞれ例えば5000番および80番を設定し、サーバ2([50.0.0.1])宛にTCPのSYNフレームを送信する。(61)セッション監視部20は、第1のクライアント1から送られてきたSYNフレームを確認し(ステップS41)、接続情報として、クライアントアドレス[10.0.0.1]、サーバアドレス[50.0.0.1]、クライアントポート番号5000およびサーバポート番号80を保持し、SYNフレームを送信した状態に遷移したことを保持しておく。
(62)サーバ2は、クライアント1からSYNフレームを受信したか否かを判断する(ステップS41)。そして、第1のクライアント1から送られたSYNフレームの受信を待ち、SYNフレームの受信を確認すると(ステップS41:Yes)、送信元アドレス、送信先アドレス、送信元ポート番号および送信先ポート番号にそれぞれ[50.0.0.1]、[10.0.0.1]、80番および5000番を設定して、SYN/ACKフレームを送信する。(63)セッション監視部20は、サーバ2からSYN/ACKフレームを受信したか否かを判断する(ステップS43)。そして、サーバ2から送られてきたSYN/ACKフレームの受信を待ち、SYN/ACKフレームの受信を確認すると(ステップS43:Yes)、接続情報を、上記(61)の動作において記録したSYNフレームの送信状態から、SYN/ACKフレームを送信した状態に遷移したことを保持する。
(64)第1のクライアント1は、サーバ2から送られてきたSYN/ACKフレームを受信し、送信元アドレス、送信先アドレス、送信元ポート番号および送信先ポート番号にそれぞれ[10.0.0.1]、[50.0.0.1]、5000番および80番を設定して、ACKフレームを送信する。(65)セッション監視部20は、第1のクライアント1からACKフレームを受信したか否かを確認する(ステップS45)。そして、第1のクライアント1から送られてきたACKフレームを確認し(ステップS45:Yes)、上記(61)の動作において記録した接続情報の作成が完了したことを認識し、アドレス保持部13に無効攻撃アドレスとして記録するため(ステップS46)、アドレス保持部13に登録されている、クライアントアドレス[10.0.0.1]に対する有効攻撃フラグの値を「0」に設定し、一連の処理を終了する。
なお、ステップS41において、第1のクライアント1がSYNフレームを送信した後、SYN/ACKフレームの代わりにRSTフレームを確認した場合、あるいはSYNフレームの送信後、タイムアウトの確認もしくはRSTフレームの受信の確認を行う(ステップS42)。タイムアウト、つまり一定時間が経過した場合、もしくはRSTフレームを受信した場合には(ステップS42:Yes)、セッション監視動作を終了する。また、ステップS43の処理の後にも、サーバ2がSYN/ACKフレームを送信した後にRSTフレームを確認した場合や一定時間が経過(タイムアウト)したかの確認を行い(ステップS44)、RSTフレームを確認した場合や一定時間が経過した場合は(ステップS44:Yes)、セッション監視動作を終了する。実施の形態4によれば、過去にサーバ2と正常に通信を行ったクライアントからのフレームを、流量制限対象からはずして、優先的に中継することができる。
(実施の形態5)
図12は、本発明の実施の形態5にかかるDoS攻撃防御装置の構成を示すブロック図である。図12に示すように、実施の形態5は、実施の形態1のDoS攻撃防御装置10に調査タイミング保持部21を追加したものである。調査タイミング保持部21は、事前情報収集部12による調査を行う時間帯を保持する。調査タイミング保持部21には、予めネットワーク管理者等により、調査開始時刻および調査終了時刻が設定される。
調査タイミング保持部21は、調査開始時刻になると、調査開始時刻になったことを事前情報収集部12に通知し、調査終了時刻になると、調査終了時刻になったことを事前情報収集部12に通知する。事前情報収集部12は、調査タイミング保持部21から調査開始の通知を受けると、実施の形態1において説明した通り、定期的なSYN/ACKフレームの送信動作を開始する。また、事前情報収集部12は、調査タイミング保持部21から調査終了の通知を受けると、その定期的なSYN/ACKフレームの送信動作を停止する。
図13は、本発明の実施の形態5における調査時間制御動作を説明するためのフローチャートである。例えば、1日のうち8〜17時を調査期間に設定した場合の動作について説明する。図13に示すように、(66)8時になった時点で、調査タイミング保持部21は、調査開始時刻になったか否かを判断する(ステップS51)。ここで、調査開始時刻まで待機し、調査開始時刻になると(ステップS51:Yes)、事前情報収集部12に通知する。(67)事前情報収集部12は、ステップS51の処理による開始通知を受け取ると、実施の形態1のケース1およびケース2の事前情報収集動作である情報収集処理を実施する(ステップS52)。そして、(68)17時になった時点で、調査タイミング保持部21は、調査終了時刻か否かを判断し(ステップS53)、調査終了時刻まで待機し、調査終了時刻になると(ステップS53:Yes)、その旨を事前情報収集部12に通知し(ステップS53)、一連の処理を終了する。それによって、(69)事前情報収集部12は、上記(67)の事前情報収集動作である情報収集処理を停止する。
実施の形態5によれば、例えば8〜17時の間のみ事前情報収集部12による情報収集動作を実施することができる。また、メンテナンス等によりクライアントとDoS攻撃防御装置10の間のネットワークを遮断する場合に、ネットワークを遮断する前の情報を、ネットワークが復帰した後に引き継ぐことができる。
(実施の形態6)
図14は、本発明の実施の形態6にかかるDoS攻撃防御システムを備えたネットワークの構成を示す概略図である。図14に示すように、本発明の実施の形態6にかかるDoS攻撃防御システムは、実施の形態1〜5のDoS攻撃防御装置10を、事前情報収集を行う機能を備えた前段装置31と、有効攻撃フレームを識別してその流量制限を行う機能を備えた後段装置32に分け、前段装置31を外部ネットワーク7に接続し、後段装置32をサーバ2に接続したものである。このようにすることによって、例えばクライアント側の外部ネットワーク7とサーバ側の内部ネットワークとの境界にファイヤウォール30が設置されており、サーバ側からは直接、クライアントにアクセスできない場合でも、事前情報収集を行うことができる。
図15は、本発明の実施の形態6にかかるDoS攻撃防御システム(中継システム)の前段装置の構成を示すブロック図である。図15に示すように、前段装置31は、第1のクライアント側送受信部11、事前情報収集部12、第1のアドレス保持部22、第1のフレーム識別部23、アドレス転送部24および第1のサーバ側送受信部25を備えている。第1のクライアント側送受信部11は、実施の形態1のクライアント側送受信部11と同じものである。事前情報収集部12は、実施の形態1で説明した通りである。ただし、事前情報収集部12は、第1のアドレス保持部22に対して、クライアントのアドレスと有効攻撃フラグの値のエントリを登録する。
第1のアドレス保持部22は、調査対象の各アドレスとその有効攻撃フラグの値(「0」または「1」)を保持する。第1のフレーム識別部23は、第1のクライアント側送受信部11から受け取ったフレームのヘッダ情報を識別し、そのフレームが自局(前段装置31)宛のRSTフレームであるか、その他のフレームであるかを識別する。自局宛のRSTフレームである場合には、そのフレームを事前情報収集部12へ送る。その他のフレームである場合には、そのフレームを第1のサーバ側送受信部25へ送る。
アドレス転送部24は、定期的、例えば事前情報収集部12による情報収集が完了した時点で、第1のアドレス保持部22に登録されているエントリを読み出し、エントリ一覧を第1のサーバ側送受信部25へ送る。第1のサーバ側送受信部25は、ネットワークを介して後段装置32に接続されており、後段装置32に対してフレームの送受信を行う。例えば、後段装置32から送られてきたフレームを第1のクライアント側送受信部11へ送る。また、第1のフレーム識別部23またはアドレス転送部24から送られてきたフレームを後段装置32へ転送する。
図16は、本発明の実施の形態6にかかるDoS攻撃防御システムの後段装置の構成を示すブロック図である。図16に示すように、後段装置32は、第2のクライアント側送受信部26、第2のフレーム識別部27、アドレス記録部28、第2のアドレス保持部29、有効攻撃識別部15、流量制限部16および第2のサーバ側送受信部17を備えている。第2のクライアント側送受信部26は、ネットワークを介して前段装置31に接続されており、前段装置31に対してフレームの送受信を行う。例えば、前段装置31から送られてきたフレームを第2のフレーム識別部27へ送る。また、第2のサーバ側送受信部17から送られてきたフレームを前段装置31へ送信する。
第2のフレーム識別部27は、前段装置31から受け取ったフレームのヘッダ情報を識別し、そのフレームが自局(後段装置32)宛の転送情報フレーム、中継対象のSYNフレーム、およびその他のフレームのいずれであるかを識別する。自局宛の転送情報フレームである場合には、そのフレームをアドレス記録部28へ送る。SYNフレームである場合には、そのフレームを有効攻撃識別部15へ送る。その他のフレームである場合には、そのフレームを第2のサーバ側送受信部17へ送る。
アドレス記録部28は、第2のフレーム識別部27から受け取ったエントリ一覧の転送情報を第2のアドレス保持部29に登録する。それによって、第2のアドレス保持部29に登録されているエントリ一覧が更新される。有効攻撃識別部15および流量制限部16は、実施の形態1で説明した通りである。ただし、有効攻撃識別部15は、第2のフレーム識別部27からフレームを受け取ると、そのフレームの送信元アドレスに基づいて、第2のアドレス保持部29から該当するエントリを読み出す。第2のサーバ側送受信部17は、実施の形態1のサーバ側送受信部17と同じものである。
次、DoS攻撃防御システムの動作について説明する。ここでは、前段装置31および後段装置32のアドレスをそれぞれ[10.0.0.2]および[20.0.0.1]とする。また、ファイヤウォール30(図14参照)は、サブネット[10.0.0.0/24]の内部へ向かうTCP接続をブロックするものとする。前段装置31によるアドレスの事前収集動作については、実施の形態1のケース1およびケース2と同様であるので、重複する説明を省略する。以下、事前情報収集部12による情報収集が完了した後の動作について説明する。
図17は、前段装置の動作を説明するためのフローチャートである。(70)図17に示すように、前段装置31において、まず、一定時間経過したか否かを判断する(ステップS61)。そして、一定時間経過するまで待機し、一定時間経過すると(ステップS61:Yes)、次、アドレス転送部24は、第1のアドレス保持部22に登録されている内容を読み出す(ステップS62)。つまり、全エントリ、すなわち[10.0.0.0]〜[10.0.0.255]の各アドレスに対する有効攻撃フラグの値を読み出す。そして、送信元アドレスおよび送信先アドレスにそれぞれ[10.0.0.2]および[20.0.0.1]を設定した転送情報フレームを作成し、そのフレームを第1のサーバ側送受信部25へ送る。(71)第1のサーバ側送受信部25は、アドレス転送部24から送られてきたフレームを後段装置32へ送信し(ステップS63)、一連の処理を終了する。
図18は、後段装置の動作を説明するためのフローチャートである。(72)図18に示すように、後段装置32において、まず、第2のクライアント側送受信部26は、前段装置31から転送されてきた転送情報フレームを受信したか否かを判断する(ステップS71)。そして、フレームを受信するまで待機し、フレームを受信すると(ステップS71:Yes)、そのフレームを第2のフレーム識別部27へ送る。(73)第2のフレーム識別部27は、前段装置31から自局([20.0.0.1])宛のフレームを受信したので、そのフレームをアドレス記録部28へ送る。(74)アドレス記録部28は、第2のフレーム識別部27からフレームを受け取ると、第2のアドレス保持部29に登録されている[10.0.0.0]〜[10.0.0.255]の各アドレスのエントリを更新する(ステップS72)。これ以降の後段装置32によるフレーム中継動作については、実施の形態1のケース3〜5と同様であるので、重複する説明を省略する。説明を省略する。
以上において本発明は、上述した各実施の形態に限らず、種々変更可能である。例えば、DoS攻撃防御装置10や後段装置32がサーバ2に内蔵されていてもよい。
(付記1)クライアントに接続された外部ネットワークから送られてきたフレームを、サーバに接続された特定のネットワークへ転送するフレーム転送制御装置であって、
外部ネットワークのクライアントに対して応答要求を定期的に送信し、該応答要求の送信に対する前記クライアントの応答を監視する事前情報収集手段と、
前記外部ネットワークからサーバ宛に送られてきたフレームに対して、前記事前情報収集手段が収集した前記クライアントの応答状況に基づいて、正当なクライアントから送られてきた中継対象フレームと、送信元アドレスを詐称した不正フレームとを識別する有効攻撃識別手段と、
前記有効攻撃識別手段により識別された中継対象フレームを優先的にサーバ側へ転送するとともに、不正フレームの転送を抑制する流量制限手段と、
を備えたことを特徴とするフレーム転送制御装置。
(付記2)クライアントに接続された外部ネットワークからのDoS攻撃から、サーバに接続された特定のネットワークを保護するDoS攻撃防御装置であって、
予め外部ネットワークのクライアントに対してSYN/ACKフレームを送信し、該SYN/ACKフレームの送信に対して前記クライアントから返されてくるRSTフレームの応答を監視する事前情報収集手段と、
前記事前情報収集手段が収集した前記クライアントの応答状況を該クライアントのアドレスとともに格納するアドレス保持手段と、
前記外部ネットワークからサーバ宛に送られてきたフレームの中から、前記アドレス保持手段のエントリ内容に基づいて、DoS攻撃として有効なフレームを選択する有効攻撃識別手段と、
前記有効攻撃識別手段により選択されたフレームを前記サーバへ転送する際のフレーム送信帯域を調節してサーバ側への流量制限を行う流量制限手段と、
を備えたことを特徴とするDoS攻撃防御装置。
(付記3)前記クライアントのアドレスを保持する例外保持手段をさらに備えており、前記有効攻撃識別手段は、前記例外保持手段に記録されているアドレスを有するクライアントから前記サーバ宛に送られてきたフレームを該サーバへ転送する対象とすることを特徴とする付記1に記載のDoS攻撃防御装置。
(付記4)ドメイン・ネーム・システムに登録済みのクライアントのアドレスを調査して前記事前情報収集手段に通知するDNS調査手段をさらに備えており、前記事前情報収集手段は、前記DNS調査手段から通知されたアドレスを有するクライアントに対してのみ予めSYN/ACKフレームを送信することを特徴とする付記2または3に記載のDoS攻撃防御装置。
(付記5)前記サーバと前記クライアントの間のセッションの完了を監視して、正常に通信が完了したクライアントのアドレスを前記アドレス保持手段に通知するセッション監視手段をさらに備えており、前記アドレス保持手段は、前記セッション監視手段から通知されたアドレスを登録することを特徴とする付記2〜4のいずれか一つに記載のDoS攻撃防御装置。
(付記6)クライアントに接続された外部ネットワークからのDoS攻撃から、サーバに接続された特定のネットワークを保護するDoS攻撃防御装置を、前記外部ネットワークに接続された前段装置と、前記特定のネットワークに接続された後段装置に分割した構成のDoS攻撃防御システムであって、
前記前段装置は、予め外部ネットワークのクライアントに対してSYN/ACKフレームを送信し、該SYN/ACKフレームの送信に対して前記クライアントから返されてくるRSTフレームの応答を監視する事前情報収集手段と、前記事前情報収集手段が収集した前記クライアントの応答状況を該クライアントのアドレスとともに格納する第1のアドレス保持手段と、前記第1のアドレス保持手段のエントリ内容を後段装置へ転送するアドレス転送手段と、を備えており、
前記後段装置は、前記アドレス転送手段から転送されてきたエントリ内容を格納する第2のアドレス保持手段と、前記アドレス転送手段から転送されてきたエントリ内容を受け取って前記第2のアドレス保持手段のエントリ内容を更新するアドレス記録手段と、前記外部ネットワークからサーバ宛に送られてきたフレームの中から、前記第2のアドレス保持手段のエントリ内容に基づいて、DoS攻撃として有効なフレームを選択する有効攻撃識別手段と、前記有効攻撃識別手段により選択されたフレームを前記サーバへ転送する際のフレーム送信帯域を調節してサーバ側への流量制限を行う流量制限手段と、
を備えたことを特徴とするDoS攻撃防御システム。
(付記7)前記後段装置は、前記クライアントのアドレスを保持する例外保持手段をさらに備えており、前記有効攻撃識別手段は、前記例外保持手段に記録されているアドレスを有するクライアントから前記サーバ宛に送られてきたフレームを該サーバへ転送する対象とすることを特徴とする付記6に記載のDoS攻撃防御システム。
(付記8)前記前段装置は、ドメイン・ネーム・システムに登録済みのクライアントのアドレスを調査して前記事前情報収集手段に通知するDNS調査手段をさらに備えており、前記事前情報収集手段は、前記DNS調査手段から通知されたアドレスを有するクライアントに対してのみ予めSYN/ACKフレームを送信することを特徴とする付記6または7に記載のDoS攻撃防御システム。
(付記9)前記後段装置は、前記サーバと前記クライアントの間のセッションの完了を監視して、正常に通信が完了したクライアントのアドレスを前記第2のアドレス保持手段に通知するセッション監視手段をさらに備えており、前記第2のアドレス保持手段は、前記セッション監視手段から通知されたアドレスを登録することを特徴とする付記6〜8のいずれか一つに記載のDoS攻撃防御システム。
(付記10)前記事前情報収集手段によるSYN/ACKフレームの送信と、該SYN/ACKフレームの送信に対するRSTフレームの応答の監視を行う時間帯を保持して、前記事前情報収集手段に該時間帯の開始と終了を通知する調査タイミング保持手段をさらに備えており、前記事前情報収集手段は、前記調査タイミング保持手段から開始の通知を受け取ると前記SYN/ACKフレームの送信とその応答の監視を開始し、前記調査タイミング保持手段から終了の通知を受け取ると前記SYN/ACKフレームの送信とその応答の監視を終了することを特徴とする付記2〜5のいずれか一つに記載のDoS攻撃防御装置。
(付記11)前記前段装置は、前記事前情報収集手段によるSYN/ACKフレームの送信と、該SYN/ACKフレームの送信に対するRSTフレームの応答の監視を行う時間帯を保持して、前記事前情報収集手段に該時間帯の開始と終了を通知する調査タイミング保持手段をさらに備えており、前記事前情報収集手段は、前記調査タイミング保持手段から開始の通知を受け取ると前記SYN/ACKフレームの送信とその応答の監視を開始し、前記調査タイミング保持手段から終了の通知を受け取ると前記SYN/ACKフレームの送信とその応答の監視を終了することを特徴とする付記6〜9のいずれか一つに記載のDoS攻撃防御システム。
以上のように、本発明にかかるフレーム転送制御装置、DoS攻撃防御装置およびDoS攻撃防御システムは、SYNフラッド攻撃等の不正アクセス対策に有用であり、特に、特定の顧客等のグループを対象としたネットワークシステムにおけるSYNフラッド攻撃対策に適している。
本発明の実施の形態1にかかるDoS攻撃防御装置を備えたネットワークの構成を示す概略図である。 本発明の実施の形態1にかかるDoS攻撃防御装置の構成を示すブロック図である。 アドレス保持部の構成の一例を示す図である。 本発明の実施の形態1における事前情報収集動作を説明するためのフローチャートである。 本発明の実施の形態1におけるフレーム転送動作を説明するためのフローチャートである。 本発明の実施の形態2にかかるDoS攻撃防御装置の構成を示すブロック図である。 本発明の実施の形態2におけるフレーム転送動作を説明するためのフローチャートである。 本発明の実施の形態3にかかるDoS攻撃防御装置の構成を示すブロック図である。 本発明の実施の形態3における事前情報収集動作を説明するためのフローチャートである。 本発明の実施の形態4にかかるDoS攻撃防御装置の構成を示すブロック図である。 本発明の実施の形態4におけるセッション監視動作を説明するためのフローチャートである。 本発明の実施の形態5にかかるDoS攻撃防御装置の構成を示すブロック図である。 本発明の実施の形態5における調査時間制御動作を説明するためのフローチャートである。 本発明の実施の形態6にかかるDoS攻撃防御システムを備えたネットワークの構成を示す概略図である。 本発明の実施の形態6にかかるDoS攻撃防御システムの前段装置の構成を示すブロック図である。 本発明の実施の形態6にかかるDoS攻撃防御システムの後段装置の構成を示すブロック図である。 前段装置の動作を説明するためのフローチャートである。 後段装置の動作を説明するためのフローチャートである。 TCPの正常な接続手順を示す図である。 無効なDoS攻撃によるTCPの接続手順を示す図である。 有効なDoS攻撃によるTCPの接続手順を示す図である。
符号の説明
1,5,6 クライアント
2 サーバ
7 外部ネットワーク
10 DoS攻撃防御装置
12 事前情報収集部
13 アドレス保持部
15 有効攻撃識別部
16 流量制限部
18 例外保持部
19 DNS調査部
20 セッション監視部
22 第1のアドレス保持部
24 アドレス転送部
28 アドレス記録部
29 第2のアドレス保持部
31 前段装置
32 後段装置


Claims (5)

  1. サブネットに属するクライアントと、サーバとの間の通信を中継し、該クライアントからの攻撃から該サーバを保護する中継装置であって、
    前記サブネットに属するクライアントに対して、SYN/ACKフレームを送信し、返されてくるRSTフレームの応答を監視し、該応答がなくタイムアウトした該クライアントのアドレスを記録部に格納する収集手段と、
    前記サーバ宛に送られたフレームが、前記記録部に格納されたクライアントのアドレスから送られている場合、前記フレームを前記サーバへ転送する際の送信帯域を調節して、前記サーバ側への流量制限を行う流量制限手段と、
    を備えたことを特徴とする中継装置。
  2. 前記クライアントのアドレスを保持する例外保持手段をさらに備えており、前記例外保持手段に記録されているアドレスを有するクライアントから前記サーバ宛に送られてきたフレームを該サーバへ転送する対象とすることを特徴とする請求項1に記載の中継装置。
  3. ドメイン・ネーム・システムに登録済みのクライアントのアドレスを調査して前記収集手段に通知するDNS調査手段をさらに備えており、前記収集手段は、前記DNS調査手段から通知されたアドレスを有するクライアントに対してのみ予めSYN/ACKフレームを送信することを特徴とする請求項1または2に記載の中継装置。
  4. 前記サーバと前記クライアントの間のセッションの完了を監視して、正常に通信が完了した該クライアントのアドレスを前記収集手段に通知するセッション監視手段をさらに備えており、前記収集手段は、前記セッション監視手段から通知されたアドレスを前記記録部に格納し、前記流量制限手段は、前記記録部に格納されている、前記セッション監視手段によって通知されたアドレスを有するクライアントから前記サーバ宛に送られてきたフレームを、流量制限対象からはずし、該サーバへ転送することを特徴とする請求項1〜3のいずれか一つに記載の中継装置。
  5. クライアントに接続された外部ネットワークからのDoS攻撃から、サーバに接続された特定のネットワークを保護する中継装置を、前記外部ネットワークに接続された前段装置と、前記特定のネットワークに接続された後段装置に分割した構成の中継システムであって、
    前記前段装置は、予め外部ネットワークのクライアントに対してSYN/ACKフレー
    ムを送信し、該SYN/ACKフレームの送信に対して前記クライアントから返されてくるRSTフレームの応答を監視し、該応答がタイムアウトせずに確認された場合には応答ありと判断し、該応答がなくタイムアウトした場合には応答なしと判断する事前情報収集手段と、前記事前情報収集手段が収集した前記クライアントの応答状況を該クライアントのアドレスとともに格納する第1のアドレス保持手段と、前記第1のアドレス保持手段のエントリ内容を後段装置へ転送するアドレス転送手段と、を備えており、
    前記後段装置は、前記アドレス転送手段から転送されてきたエントリ内容を格納する第2のアドレス保持手段と、前記アドレス転送手段から転送されてきたエントリ内容を受け取って前記第2のアドレス保持手段のエントリ内容を更新するアドレス記録手段と、前記外部ネットワークからサーバ宛に送られてきたフレームの中から、前記第2のアドレス保持手段のエントリ内容に基づいて、DoS攻撃として有効なフレームを選択する有効攻撃識別手段と、前記有効攻撃識別手段により選択されたフレームを前記サーバへ転送する際のフレーム送信帯域を調節してサーバ側への流量制限を行う流量制限手段と、
    を備えたことを特徴とする中継システム。
JP2005172867A 2005-06-13 2005-06-13 中継装置および中継システム Expired - Fee Related JP4557815B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2005172867A JP4557815B2 (ja) 2005-06-13 2005-06-13 中継装置および中継システム
US11/233,750 US20060280121A1 (en) 2005-06-13 2005-09-23 Frame-transfer control device, DoS-attack preventing device, and DoS-attack preventing system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005172867A JP4557815B2 (ja) 2005-06-13 2005-06-13 中継装置および中継システム

Publications (2)

Publication Number Publication Date
JP2006352274A JP2006352274A (ja) 2006-12-28
JP4557815B2 true JP4557815B2 (ja) 2010-10-06

Family

ID=37524018

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005172867A Expired - Fee Related JP4557815B2 (ja) 2005-06-13 2005-06-13 中継装置および中継システム

Country Status (2)

Country Link
US (1) US20060280121A1 (ja)
JP (1) JP4557815B2 (ja)

Families Citing this family (56)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7644436B2 (en) * 2002-01-24 2010-01-05 Arxceo Corporation Intelligent firewall
US7615806B2 (en) 2005-10-31 2009-11-10 Freescale Semiconductor, Inc. Method for forming a semiconductor structure and structure thereof
US7675854B2 (en) * 2006-02-21 2010-03-09 A10 Networks, Inc. System and method for an adaptive TCP SYN cookie with time validation
US20080134300A1 (en) 2006-07-08 2008-06-05 David Izatt Method for Improving Security of Computer Networks
US8312507B2 (en) 2006-10-17 2012-11-13 A10 Networks, Inc. System and method to apply network traffic policy to an application session
US8584199B1 (en) 2006-10-17 2013-11-12 A10 Networks, Inc. System and method to apply a packet routing policy to an application session
US8341727B2 (en) * 2007-03-09 2012-12-25 Se Cure 64 Software Corporation Method and system for protecting a computer system from denial-of-service attacks and other deleterious resource-draining phenomena related to communications
KR100889670B1 (ko) * 2007-08-08 2009-03-19 삼성에스디에스 주식회사 모바일 디바이스상에서 tcp 기반의 서비스거부 공격의 차단 방법
US9960967B2 (en) * 2009-10-21 2018-05-01 A10 Networks, Inc. Determining an application delivery server based on geo-location information
CN101789947B (zh) * 2010-02-21 2012-10-03 成都市华为赛门铁克科技有限公司 防范http post泛洪攻击的方法及防火墙
US9215275B2 (en) 2010-09-30 2015-12-15 A10 Networks, Inc. System and method to balance servers based on server load status
CN102469084B (zh) * 2010-11-10 2015-12-16 厦门市美亚柏科信息股份有限公司 一种防止tcp插入式拒绝服务攻击的方法和装置
US9609052B2 (en) 2010-12-02 2017-03-28 A10 Networks, Inc. Distributing application traffic to servers based on dynamic service response time
WO2012093193A1 (en) * 2011-01-07 2012-07-12 Nokia Corporation Method and apparatus for statistical handling of connections
US8897154B2 (en) 2011-10-24 2014-11-25 A10 Networks, Inc. Combining stateless and stateful server load balancing
US9386088B2 (en) 2011-11-29 2016-07-05 A10 Networks, Inc. Accelerating service processing using fast path TCP
US9330188B1 (en) 2011-12-22 2016-05-03 Amazon Technologies, Inc. Shared browsing sessions
US9094364B2 (en) 2011-12-23 2015-07-28 A10 Networks, Inc. Methods to manage services over a service gateway
WO2013112606A1 (en) 2012-01-24 2013-08-01 Strebe Matthew Methods and apparatus for managing network traffic
US9336321B1 (en) 2012-01-26 2016-05-10 Amazon Technologies, Inc. Remote browsing and searching
US8839087B1 (en) 2012-01-26 2014-09-16 Amazon Technologies, Inc. Remote browsing and searching
US10044582B2 (en) 2012-01-28 2018-08-07 A10 Networks, Inc. Generating secure name records
US9374244B1 (en) * 2012-02-27 2016-06-21 Amazon Technologies, Inc. Remote browsing session management
US8782221B2 (en) 2012-07-05 2014-07-15 A10 Networks, Inc. Method to allocate buffer for TCP proxy session based on dynamic network conditions
US9106561B2 (en) 2012-12-06 2015-08-11 A10 Networks, Inc. Configuration of a virtual service network
US9843484B2 (en) 2012-09-25 2017-12-12 A10 Networks, Inc. Graceful scaling in software driven networks
WO2014052099A2 (en) 2012-09-25 2014-04-03 A10 Networks, Inc. Load distribution in data networks
US10002141B2 (en) 2012-09-25 2018-06-19 A10 Networks, Inc. Distributed database in software driven networks
US10021174B2 (en) 2012-09-25 2018-07-10 A10 Networks, Inc. Distributing service sessions
US9338225B2 (en) 2012-12-06 2016-05-10 A10 Networks, Inc. Forwarding policies on a virtual service network
US9531846B2 (en) 2013-01-23 2016-12-27 A10 Networks, Inc. Reducing buffer usage for TCP proxy session based on delayed acknowledgement
US9900252B2 (en) 2013-03-08 2018-02-20 A10 Networks, Inc. Application delivery controller and global server load balancer
WO2014144837A1 (en) 2013-03-15 2014-09-18 A10 Networks, Inc. Processing data packets using a policy based network path
US10038693B2 (en) 2013-05-03 2018-07-31 A10 Networks, Inc. Facilitating secure network traffic by an application delivery controller
US10027761B2 (en) 2013-05-03 2018-07-17 A10 Networks, Inc. Facilitating a secure 3 party network session by a network device
US9578137B1 (en) 2013-06-13 2017-02-21 Amazon Technologies, Inc. System for enhancing script execution performance
US10152463B1 (en) 2013-06-13 2018-12-11 Amazon Technologies, Inc. System for profiling page browsing interactions
US9736118B2 (en) * 2013-07-17 2017-08-15 Cisco Technology, Inc. Session initiation protocol denial of service attack throttling
US10230770B2 (en) 2013-12-02 2019-03-12 A10 Networks, Inc. Network proxy layer for policy-based application proxies
EP3059926B1 (de) * 2013-12-30 2017-08-16 Deutsche Telekom AG Verfahren zum erkennen eines denial-of-service angriffs in einem kommunikationsnetzwerk
JP6463898B2 (ja) * 2014-03-13 2019-02-06 株式会社東芝 通信装置、情報処理装置、通信方法及び通信プログラム
US9942152B2 (en) 2014-03-25 2018-04-10 A10 Networks, Inc. Forwarding data packets using a service-based forwarding policy
US10020979B1 (en) 2014-03-25 2018-07-10 A10 Networks, Inc. Allocating resources in multi-core computing environments
US9942162B2 (en) 2014-03-31 2018-04-10 A10 Networks, Inc. Active application response delay time
ES2615385T3 (es) * 2014-04-09 2017-06-06 Smappee Nv Sistema de gestión de energía
US9806943B2 (en) 2014-04-24 2017-10-31 A10 Networks, Inc. Enabling planned upgrade/downgrade of network devices without impacting network sessions
US9906422B2 (en) 2014-05-16 2018-02-27 A10 Networks, Inc. Distributed system to determine a server's health
US10129122B2 (en) 2014-06-03 2018-11-13 A10 Networks, Inc. User defined objects for network devices
US9992229B2 (en) 2014-06-03 2018-06-05 A10 Networks, Inc. Programming a data network device using user defined scripts with licenses
US9986061B2 (en) 2014-06-03 2018-05-29 A10 Networks, Inc. Programming a data network device using user defined scripts
US10581976B2 (en) 2015-08-12 2020-03-03 A10 Networks, Inc. Transmission control of protocol state exchange for dynamic stateful service insertion
US10243791B2 (en) 2015-08-13 2019-03-26 A10 Networks, Inc. Automated adjustment of subscriber policies
US10318288B2 (en) 2016-01-13 2019-06-11 A10 Networks, Inc. System and method to process a chain of network applications
US10389835B2 (en) 2017-01-10 2019-08-20 A10 Networks, Inc. Application aware systems and methods to process user loadable network applications
CN109657463B (zh) * 2018-12-18 2021-08-20 北京东土军悦科技有限公司 一种报文洪泛攻击的防御方法及装置
KR102405977B1 (ko) * 2020-08-11 2022-06-03 이청종 전산망 해킹방지 시스템 및 방법

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6725378B1 (en) * 1998-04-15 2004-04-20 Purdue Research Foundation Network protection for denial of service attacks
US7380272B2 (en) * 2000-05-17 2008-05-27 Deep Nines Incorporated System and method for detecting and eliminating IP spoofing in a data transmission network
US6930978B2 (en) * 2000-05-17 2005-08-16 Deep Nines, Inc. System and method for traffic management control in a data transmission network
US7209479B2 (en) * 2001-01-18 2007-04-24 Science Application International Corp. Third party VPN certification
US7207062B2 (en) * 2001-08-16 2007-04-17 Lucent Technologies Inc Method and apparatus for protecting web sites from distributed denial-of-service attacks
US7331060B1 (en) * 2001-09-10 2008-02-12 Xangati, Inc. Dynamic DoS flooding protection
US20040257999A1 (en) * 2001-11-16 2004-12-23 Macisaac Gary Method and system for detecting and disabling sources of network packet flooding
US7096498B2 (en) * 2002-03-08 2006-08-22 Cipher Trust, Inc. Systems and methods for message threat management
US7114182B2 (en) * 2002-05-31 2006-09-26 Alcatel Canada Inc. Statistical methods for detecting TCP SYN flood attacks
US20040260947A1 (en) * 2002-10-21 2004-12-23 Brady Gerard Anthony Methods and systems for analyzing security events
US7664963B2 (en) * 2002-11-04 2010-02-16 Riverbed Technology, Inc. Data collectors in connection-based intrusion detection
KR100481614B1 (ko) * 2002-11-19 2005-04-08 한국전자통신연구원 서비스 거부와 분산 서비스 거부 공격으로부터 정상트래픽을 보호하는 방법 및 그 장치
US7266754B2 (en) * 2003-08-14 2007-09-04 Cisco Technology, Inc. Detecting network denial of service attacks
US20050193429A1 (en) * 2004-01-23 2005-09-01 The Barrier Group Integrated data traffic monitoring system
JP4484663B2 (ja) * 2004-02-02 2010-06-16 株式会社サイバー・ソリューションズ 不正情報検知システム及び不正攻撃元探索システム
US8156556B2 (en) * 2004-03-16 2012-04-10 At&T Intellectual Property Ii, L.P. Method and apparatus for providing mobile honeypots
US7607170B2 (en) * 2004-12-22 2009-10-20 Radware Ltd. Stateful attack protection
TW200644495A (en) * 2005-06-10 2006-12-16 D Link Corp Regional joint detecting and guarding system for security of network information
US20060288411A1 (en) * 2005-06-21 2006-12-21 Avaya, Inc. System and method for mitigating denial of service attacks on communication appliances

Also Published As

Publication number Publication date
US20060280121A1 (en) 2006-12-14
JP2006352274A (ja) 2006-12-28

Similar Documents

Publication Publication Date Title
JP4557815B2 (ja) 中継装置および中継システム
US11050786B2 (en) Coordinated detection and differentiation of denial of service attacks
Hu et al. Accurate real-time identification of IP prefix hijacking
US9038182B2 (en) Method of defending against a spoofing attack by using a blocking server
US8185946B2 (en) Wireless firewall with tear down messaging
US8918875B2 (en) System and method for ARP anti-spoofing security
US7475426B2 (en) Flow-based detection of network intrusions
KR101369727B1 (ko) 캡차를 기반으로 하는 트래픽 제어 장치 및 그 방법
EP2194677B1 (en) Network monitoring device, network monitoring method, and network monitoring program
RU2480937C2 (ru) Система и способ уменьшения ложных срабатываний при определении сетевой атаки
US20070019543A1 (en) Systems and methods for detecting and preventing flooding attacks in a network environment
US20040128539A1 (en) Method and apparatus for denial of service attack preemption
EP1911243A1 (en) Method for defending against denial of service attacks in ip networks by target victim self-identification and control
US20040083388A1 (en) Method and apparatus for monitoring data packets in a packet-switched network
US7464410B1 (en) Protection against flooding of a server
WO2002025402A2 (en) Systems and methods that protect networks and devices against denial of service attacks
US20040233849A1 (en) Methodologies, systems and computer readable media for identifying candidate relay nodes on a network architecture
JP2004248185A (ja) ネットワークベース分散型サービス拒否攻撃防御システムおよび通信装置
JP4014599B2 (ja) 送信元アドレス偽装パケット検出装置、送信元アドレス偽装パケット検出方法、送信元アドレス偽装パケット検出プログラム
JP2004164107A (ja) 不正アクセス監視システム
KR101358794B1 (ko) 이상 패킷 차단 시스템 및 방법
JP3828523B2 (ja) 不正アクセス防御装置及びプログラム
JP4641848B2 (ja) 不正アクセス探索方法及び装置
Bhaskaran et al. Tracebacking the spoofed IP packets in multi ISP domains with secured communication
JP3938763B2 (ja) DoS攻撃対策システムおよび方法およびプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080523

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100414

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100427

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100624

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100713

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100720

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130730

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees