JP3784799B2 - 攻撃パケット防御システム - Google Patents
攻撃パケット防御システム Download PDFInfo
- Publication number
- JP3784799B2 JP3784799B2 JP2003383964A JP2003383964A JP3784799B2 JP 3784799 B2 JP3784799 B2 JP 3784799B2 JP 2003383964 A JP2003383964 A JP 2003383964A JP 2003383964 A JP2003383964 A JP 2003383964A JP 3784799 B2 JP3784799 B2 JP 3784799B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- attack
- server
- attack packet
- source address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、特定のパケットを識別して廃棄する装置に利用する。特に、ネットワーク内への攻撃パケットの侵入を防御する技術に関する。ここで、攻撃パケットとは、悪意のある攻撃者がユーザにサービスを提供するサーバの機能を麻痺させるために送出するパケットをいう。例えば、SYNフラッディング攻撃に用いるSYNパケットは攻撃パケットである。
悪意のある攻撃者がユーザにサービスを提供するサーバの機能を麻痺させるために攻撃パケットを送出するという不正行為が多数報告されている。このような攻撃パケットからサーバを防御するための手段としてファイアウォール装置が知られている(例えば、非特許文献1参照)。
従来のファイアウォールシステムの構成を図6に示す。従来のファイアウォール装置FWは、サーバSの前段に設定する。ファイアウォール装置FWは、さまざまなパケットフィルタリング機能を有しており、攻撃者からのパケットを識別して廃棄する。これにより、サーバSは攻撃を回避することができる。
攻撃パケットの識別方法としては、例えば、SYNフラッディング攻撃であれば、連続的に大量のSYNパケットが送出されるので、SYNパケットのトラヒックを監視することにより識別可能である。あるいは、過去に攻撃パケットを送出した攻撃者の送出元アドレスが判明しているのであれば、当該送出元アドレスを有するパケットを攻撃パケットとして識別可能である。
二木真明、"ファイアウォール「安全性の意味と代償」"、[online]、Internet Week 2002、チュートリアルT11、[平成15年10月16日検索]、インターネット<URL:http://www.nic.ad.jp/ja/materials/iw/2002/proceeding/T11.pdf>
二木真明、"ファイアウォール「安全性の意味と代償」"、[online]、Internet Week 2002、チュートリアルT11、[平成15年10月16日検索]、インターネット<URL:http://www.nic.ad.jp/ja/materials/iw/2002/proceeding/T11.pdf>
このような従来のファイアウォールシステムでは、攻撃者が送出したパケットは、ネットワークを通ってサーバSの前段まで到達する。一般に、攻撃者が送出するパケットは異常に個数が多く、当該サーバSに至る通信経路のトラヒック量は異常に大きくなり、輻輳状態に陥る場合もある。このとき、当該サーバSにアクセスを試みる正当なユーザのパケットは、この輻輳状態の影響を受けてサーバSに到達できない。
すなわち、従来のファイアウォールシステムは、サーバ自身を攻撃から守ることはできるが、当該サーバに至る通信経路を攻撃から守ることはできない。
本発明は、このような背景に行われたものであって、攻撃対象となるサーバだけでなく、当該サーバに至る通信経路も攻撃から守ることができると共に高度な防御対策をとることができる攻撃パケット防御システムを提供することを目的とする。
本発明の攻撃パケット防御システムは、サーバに到来するパケットを当該サーバの前段のファイアウォール装置で受信し当該サーバに対する攻撃パケットを検出し、攻撃パケットが検出された旨の情報を送出する。ネットワークのボーダに設けられたフィルタ装置が当該ネットワーク外からのパケットを受信し前記情報に基づき攻撃パケットを識別して解析サーバに転送する。この解析サーバは、転送された攻撃パケットを取得して対策を解析する。この解析結果に基づく防御対策を用いてフィルタ装置がネットワークの入り口で攻撃パケットを廃棄する。
これにより、本発明は、ネットワークの入り口で攻撃パケットに対処することにより、攻撃対象となるサーバに至る通信経路も攻撃から守ることができることを最も主要な特徴とし、解析専用のサーバを設けることにより、高度な攻撃防御対策を実施できることを特徴とする。
すなわち、本発明の第一の観点は攻撃パケット防御システムであって、本発明の特徴とするところは、サーバに到来するパケットを当該サーバの前段で受信し当該サーバに対する攻撃パケットを検出する手段と、この検出する手段により攻撃パケットが検出された旨の情報を送出する手段とを備えたファイアウォール装置と、前記攻撃パケットを取得して対策を解析する手段を備えた解析サーバと、ネットワークのボーダに設けられ当該ネットワーク外からのパケットを受信し前記情報に基づき攻撃パケットを識別して前記解析サーバに転送する手段を備えたフィルタ装置とを備えたところにある(請求項1)。
前記解析する手段は、前記解析サーバに転送されたパケットの中から前記攻撃パケットを識別する手段と、この識別する手段により識別された前記攻撃パケットの送信元アドレスを解析する手段とを備え、前記フィルタ装置は、解析された前記攻撃パケットの送信元アドレスに基づき当該送信元アドレスを有するパケットを廃棄するフィルタを生成する手段を備えることができる(請求項2)。
あるいは、前記解析する手段は、前記解析サーバに転送されたパケットの中から前記攻撃パケットに該当しない正常パケットを識別する手段と、この識別する手段により識別された前記正常パケットの送信元アドレスを解析する手段とを備え、前記フィルタ装置は、解析された前記正常パケットの送信元アドレスに基づき当該送信元アドレスを有するパケットのみ通過させるフィルタを生成する手段を備えることができる(請求項3)。
これにより、ネットワークに到来する攻撃パケットを送信元アドレスにより識別して廃棄することができる。前者(請求項2)の場合は、攻撃パケットの送信元アドレスに基づくので、正常パケットの送信元が新規追加された場合には当該正常パケットの送信元からのパケットは正常に宛先に到着する。しかし、新たな攻撃パケット送信元が出現した場合には、これに対処できない。
後者(請求項3)の場合は、正常パケットの送信元アドレスに基づくので、攻撃パケットの送信元が新規追加された場合には当該攻撃パケットの送信元からの攻撃パケットもネットワークの入り口で廃棄される。しかし、新たな正常パケット送信元が出現した場合には、その正常パケットまでもが廃棄されてしまう。
それぞれ一長一短を有するので、解析サーバは、そのときの状況に応じていずれかの攻撃防御法を適用することになる。例えば、新たな攻撃パケット送信元が頻繁に出現する状況下であれば、後者の方法を適用する。一方、新たな正常パケット送信元が頻繁に出現する状況下であれば、前者の方法を適用する。
すなわち、前記解析サーバは、新たな正常パケット送信元の出現状況あるいは新たな攻撃パケット送信元の出現状況を観測する手段と、この観測する手段の観測結果に基づき攻撃パケットの送信元アドレスあるいは正常パケットの送信元アドレスのいずれかを前記フィルタ装置に通知する手段とを備え、前記フィルタ装置は、前記通知する手段により通知された攻撃パケットの送信元アドレスあるいは正常パケットの送信元アドレスのいずれかに基づきフィルタを生成する手段を備えることが望ましい(請求項4)。
また、攻撃パケットの送信元が送信元アドレスを詐称する場合がある。しかも、攻撃パケットを送信し続けている間に送信元アドレスを次々に変えるという巧妙な攻撃方法をとる場合もある。この場合には、攻撃パケットの送信元アドレスにより攻撃パケットを特定することは困難になる。
このような巧妙な攻撃に備え、前記解析サーバに転送する手段は、前記解析サーバに転送すべきパケットを前記解析サーバのアドレスを宛先アドレスとし、自フィルタ装置のアドレスを送信元アドレスとしたパケットによりカプセリングして転送する手段を備えることができる(請求項5)。
すなわち、既に攻撃パケットを受信しているフィルタ装置がわかっているときに、当該フィルタ装置に到着する攻撃対象となる宛先アドレスを有するパケットについては全て解析サーバのアドレスを宛先アドレスとし、自フィルタ装置のアドレスを送信元アドレスとしてカプセリングを行う。このカプセリングされたパケットを受け取った解析サーバでは、攻撃パケットを既に受信しているフィルタ装置からのパケットであることがわかるので、デカプセリングして取り出した中身のパケットの送信元アドレスが詐称されている場合でも当該パケットを攻撃パケットである可能性が高いパケットとして処理することができる。
本発明の第二の観点は、サーバに到来するパケットを当該サーバの前段で受信し当該サーバに対する攻撃パケットを検出する手段と、この検出する手段により攻撃パケットが検出された旨の情報を送出する手段とを備えたことを特徴とするファイアウォール装置である(請求項6)。
本発明の第三の観点は、攻撃パケットを取得して対策を解析する手段を備え、この解析する手段は、自己に転送されたパケットの中から前記攻撃パケットあるいは前記攻撃パケットに該当しない正常パケットを識別する手段と、この識別する手段により識別された前記攻撃パケットあるいは前記正常パケットの送信元アドレスを解析する手段とを備えたことを特徴とする解析サーバである(請求項7)。
さらに、新たな正常パケット送信元の出現状況あるいは新たな攻撃パケット送信元の出現状況を観測する手段と、この観測する手段の観測結果に基づき攻撃パケットの送信元アドレスあるいは正常パケットの送信元アドレスのいずれかを前記フィルタ装置に通知する手段とを備えることができる(請求項8)。
本発明の第四の観点は、ネットワークのボーダに設けられ当該ネットワーク外からのパケットを受信し攻撃パケットが検出された旨の情報に基づき攻撃パケットを識別して攻撃パケットを取得して対策を解析する手段を備えた解析サーバに転送する手段を備えたことを特徴とするフィルタ装置である(請求項9)。
さらに、解析された攻撃パケットの送信元アドレスに基づき当該送信元アドレスを有するパケットを廃棄するフィルタを生成する手段を備えることができる(請求項10)。
あるいは、解析された正常パケットの送信元アドレスに基づき当該送信元アドレスを有するパケットのみ通過させるフィルタを生成する手段を備えることができる(請求項11)。
さらに、前記解析サーバに転送する手段は、解析サーバに転送すべきパケットを当該解析サーバのアドレスを宛先アドレスとし、自フィルタ装置のアドレスを送信元アドレスとしたパケットによりカプセリングして転送する手段を備えることができる(請求項12)。
本発明の第五の観点は、情報処理装置にインストールすることにより、その情報処理装置に、サーバに到来するパケットを当該サーバの前段で受信し当該サーバに対する攻撃パケットを検出する機能と、この検出する機能により攻撃パケットが検出された旨の情報を送出する機能とを備えたファイアウォール装置に相応する機能を実現させることを特徴とするプログラムである(請求項13)。
あるいは、本発明のプログラムは、情報処理装置にインストールすることにより、その情報処理装置に、攻撃パケットを取得して対策を解析する機能を実現させ、この解析する機能として、自己に転送されたパケットの中から前記攻撃パケットあるいは前記攻撃パケットに該当しない正常パケットを識別する機能と、この識別する機能により識別された前記攻撃パケットあるいは前記正常パケットの送信元アドレスを解析する機能とを備えた解析サーバに相応する機能を実現させることを特徴とする(請求項14)。
さらに、新たな正常パケット送信元の出現状況あるいは新たな攻撃パケット送信元の出現状況を観測する機能と、この観測する機能の観測結果に基づき攻撃パケットの送信元アドレスあるいは正常パケットの送信元アドレスのいずれかを前記フィルタ装置に通知する機能とを実現させることができる(請求項15)。
あるいは、本発明のプログラムは、情報処理装置にインストールすることにより、その情報処理装置に、ネットワークのボーダに設けられ当該ネットワーク外からのパケットを受信し攻撃パケットが検出された旨の情報に基づき攻撃パケットを識別して攻撃パケットを取得して対策を解析する手段を備えた解析サーバに転送する機能を備えたフィルタ装置に相応する機能を実現させることを特徴とする(請求項16)。
さらに、解析された攻撃パケットの送信元アドレスに基づき当該送信元アドレスを有するパケットを廃棄するフィルタを生成する機能を実現させることができる(請求項17)。
あるいは、解析された正常パケットの送信元アドレスに基づき当該送信元アドレスを有するパケットのみ通過させるフィルタを生成する機能を実現させることができる(請求項18)。
さらに、前記解析サーバに転送する機能として、解析サーバに転送すべきパケットを当該解析サーバのアドレスを宛先アドレスとし、自フィルタ装置のアドレスを送信元アドレスとしたパケットによりカプセリングして転送する機能を実現させることができる(請求項19)。
本発明の第六の観点は、本発明のプログラムが記録された前記情報処理装置読取可能な記録媒体である(請求項20)。本発明のプログラムは本発明の記録媒体に記録されることにより、前記情報処理装置は、この記録媒体を用いて本発明のプログラムをインストールすることができる。あるいは、本発明のプログラムを保持するサーバからネットワークを介して直接前記情報処理装置に本発明のプログラムをインストールすることもできる。
これにより、汎用の情報処理装置を用いて、攻撃対象となるサーバだけでなく、当該サーバに至る通信経路も攻撃から守ることができると共に高度な防御対策をとることができる攻撃パケット防御システムを実現することができる。
本発明によれば、攻撃対象となるサーバだけでなく、当該サーバに至る通信経路も攻撃から守ることができる。さらに、攻撃解析専門のサーバを設けることにより、高度な防御対策をとることができる。
(第一実施例)
本発明第一実施例を図1および図2を参照して説明する。図1は本実施例の全体構成図である。
本発明第一実施例を図1および図2を参照して説明する。図1は本実施例の全体構成図である。
第一実施例の攻撃パケット防御システムは、図1に示すように、サーバSに到来するパケットを当該サーバSの前段で受信し当該サーバSに対する攻撃パケットを検出する手段と、この検出する手段により攻撃パケットが検出された旨の情報を送出する手段とを備えたファイアウォール装置FWと、前記攻撃パケットを取得して対策を解析する手段を備えた解析サーバASと、ネットワークのボーダに設けられ当該ネットワーク外からのパケットを受信し前記情報に基づき攻撃パケットを識別して解析サーバASに転送する手段を備えたフィルタ装置Fとを備えたことを特徴とする攻撃パケット防御システムである(請求項1、6〜12)。
フィルタ装置Fは、本実施例では、説明をわかり易くするために、ボーダルータBRの外付け装置として記載したがボーダルータBRの内部機能として設けてもよい。
前記解析する手段は、解析サーバASに転送されたパケットの中から前記攻撃パケットを識別する手段と、この識別する手段により識別された前記攻撃パケットの送信元アドレスを解析する手段とを備え、フィルタ装置Fは、解析された前記攻撃パケットの送信元アドレスに基づき当該送信元アドレスを有するパケットを廃棄するフィルタを生成する手段を備える(請求項2、7、10)。
次に、第一実施例の攻撃パケット防御手順を説明する。
サーバSに複数のユーザがアクセスしているときに、例えばDoS攻撃を行ってサーバをダウンさせようとする攻撃ユーザがいる場合を想定する。図1における数字は次に説明する手順の数字に対応する。
(1)サーバの前に設置されたファイアウォール装置FWで、例えば、Synパケットの増加等の攻撃の検出を行う。
(2)ファイアウォール装置FWは、網内のすべてのボーダルータBRに対して攻撃検出を周知する。この周知はボーダルータBRを介してフィルタ装置Fに伝達される。周知内容は、サーバSのIPアドレスである。
(3)各フィルタ装置Fでは、当該サーバSのIPアドレス行きのパケットを網内に備えられた解析サーバASへ転送する。解析サーバASでは、各アクセスの正当性を個別に解析する。
(1)サーバの前に設置されたファイアウォール装置FWで、例えば、Synパケットの増加等の攻撃の検出を行う。
(2)ファイアウォール装置FWは、網内のすべてのボーダルータBRに対して攻撃検出を周知する。この周知はボーダルータBRを介してフィルタ装置Fに伝達される。周知内容は、サーバSのIPアドレスである。
(3)各フィルタ装置Fでは、当該サーバSのIPアドレス行きのパケットを網内に備えられた解析サーバASへ転送する。解析サーバASでは、各アクセスの正当性を個別に解析する。
図2は、正常シーケンスとSynアタックとの比較を示す図である。正常なシーケンスでは、図2(a)に示すように、Syn,Syn−Ack,Ackというシーケンスで通信が開始される。一方、Synアタックでは、図2(b)に示すように、Syn,Syn−Ackの後、ユーザがリスポンスせず、再び、繰り返しSynパケットをサーバSに送りつける。サーバSは多くのAck待ち状態(Half−open状態)となり、サーバSの許容量を超えると新規のSynを受け付けなくなり、さらにサーバSがダウンすることになる。
解析サーバASでは、このようなSynパケットの転送パターンを解析することにより攻撃パターンを認識する。その他にも、セグメントの異常や、他の攻撃パターンの解析も行われる。
(4)悪意が判明したユーザに対しては、ボーダルータBRを介してフィルタ装置Fに攻撃パケット送信元アドレスを通知する。
(5)この通知を受けたフィルタ装置Fは、攻撃パケット送信元のアドレスを有するパケットを通過させないフィルタを生成するので、悪意が判明したユーザはサーバSにアクセスできなくなる。
(4)悪意が判明したユーザに対しては、ボーダルータBRを介してフィルタ装置Fに攻撃パケット送信元アドレスを通知する。
(5)この通知を受けたフィルタ装置Fは、攻撃パケット送信元のアドレスを有するパケットを通過させないフィルタを生成するので、悪意が判明したユーザはサーバSにアクセスできなくなる。
(第二実施例)
第二実施例を図3および図4を参照して説明する。
第二実施例を図3および図4を参照して説明する。
第一実施例では、攻撃パケット送信元のアドレスに基づき攻撃パケットを廃棄したが、第二実施例では、正常パケット送信元のアドレスに基づき攻撃パケットを廃棄する。
解析サーバASの前記解析する手段は、解析サーバASに転送されたパケットの中から前記攻撃パケットに該当しない正常パケットを識別する手段と、この識別する手段により識別された前記正常パケットの送信元アドレスを解析する手段とを備え、フィルタ装置Fは、解析された前記正常パケットの送信元アドレスに基づき当該送信元アドレスを有するパケットのみ通過させるフィルタを生成する手段を備える(請求項3、7、11)。
次に、第二実施例の攻撃パケット防御手順を説明する。サーバSに複数のユーザがアクセスしているときに、例えばDoS攻撃を行ってサーバをダウンさせようとする攻撃ユーザがいる場合を想定する。図3は第二実施例の攻撃パケット防御システムの全体構成図である。図3における数字は次に説明する手順の数字に対応する。
(1)サーバの前に設置されたファイアウォール装置FWで、例えば、Synパケットの増加等の攻撃の検出を行う。
(2)ファイアウォール装置FWは、網内のすべてのボーダルータBRに対して攻撃検出を周知する。この周知はボーダルータBRを介してフィルタ装置Fに伝達される。周知内容は、サーバSのIPアドレスである。
(3)各フィルタ装置Fでは、当該サーバSのIPアドレス行きのパケットを網内に備えられた解析サーバASへ転送する。解析サーバASでは、各アクセスの正当性を個別に解析する。
(4)解析サーバASで正常アクセスと判断された場合には、当該送信元アドレスのIPパケットのみ通過させるように、フィルタ装置Fに正常パケット送信元アドレスを通知する。
(5)この通知を受けたフィルタ装置Fは、正常パケット送信元のアドレスを有するパケットのみを通過させるフィルタを生成し、当該正常パケット送信元のアドレスを有するパケットを受信するとこれをサーバSに転送する。
(1)サーバの前に設置されたファイアウォール装置FWで、例えば、Synパケットの増加等の攻撃の検出を行う。
(2)ファイアウォール装置FWは、網内のすべてのボーダルータBRに対して攻撃検出を周知する。この周知はボーダルータBRを介してフィルタ装置Fに伝達される。周知内容は、サーバSのIPアドレスである。
(3)各フィルタ装置Fでは、当該サーバSのIPアドレス行きのパケットを網内に備えられた解析サーバASへ転送する。解析サーバASでは、各アクセスの正当性を個別に解析する。
(4)解析サーバASで正常アクセスと判断された場合には、当該送信元アドレスのIPパケットのみ通過させるように、フィルタ装置Fに正常パケット送信元アドレスを通知する。
(5)この通知を受けたフィルタ装置Fは、正常パケット送信元のアドレスを有するパケットのみを通過させるフィルタを生成し、当該正常パケット送信元のアドレスを有するパケットを受信するとこれをサーバSに転送する。
正常パケット送信元の判定手順を図4を参照して説明する。図4は正常パケット送信元の判定手順を示す図である。解析サーバASは、図4に示すように、ユーザからのSynパケットに対してSyn−Ackを返送する。これに対し、Ackをくれたユーザに対し、1度、Resetを送り、同時にフィルタ装置Fに対し、ルートの変更を指示して当該ユーザからのパケットをサーバSへ転送するように指示する。ユーザは、Resetを受け取り、再びSynパケットを送ると、サーバSへ正常にパケットが転送され、正常に通信が開始される。
(第三実施例)
第一実施例では、攻撃パケットの送信元アドレスに基づくので、正常パケットの送信元が新規追加された場合には当該正常パケットの送信元からのパケットは正常に宛先に到着する。しかし、新たな攻撃パケット送信元が出現した場合には、これに対処できない。
第一実施例では、攻撃パケットの送信元アドレスに基づくので、正常パケットの送信元が新規追加された場合には当該正常パケットの送信元からのパケットは正常に宛先に到着する。しかし、新たな攻撃パケット送信元が出現した場合には、これに対処できない。
第二実施例では、正常パケットの送信元アドレスに基づくので、攻撃パケットの送信元が新規追加された場合には当該攻撃パケットの送信元からの攻撃パケットもネットワークの入り口で廃棄される。しかし、新たな正常パケット送信元が出現した場合には、その正常パケットまでもが廃棄されてしまう。
それぞれ一長一短を有するので、解析サーバASは、そのときの状況に応じていずれかの攻撃防御法を適用することになる。例えば、新たな攻撃パケット送信元が頻繁に出現する状況下であれば、第二実施例の方法を適用する。一方、新たな正常パケット送信元が頻繁に出現する状況下であれば、第一実施例の方法を適用する。
すなわち、解析サーバASは、新たな正常パケット送信元の出現状況あるいは新たな攻撃パケット送信元の出現状況を観測する手段と、この観測する手段の観測結果に基づき攻撃パケットの送信元アドレスあるいは正常パケットの送信元アドレスのいずれかをフィルタ装置Fに通知する手段とを備え、フィルタ装置Fは、前記通知する手段により通知された攻撃パケットの送信元アドレスあるいは正常パケットの送信元アドレスのいずれかに基づきフィルタを生成する手段を備える(請求項4、8)。
さらに詳細に説明すると、ファイアウォール装置FWでは、常時、攻撃を監視し、攻撃が検出されたときには、その旨を解析サーバASに通知する。これにより、解析サーバASでは、新規な攻撃パケット送信元の出現頻度を観測することができる。また、攻撃対象となるサーバSに向かうパケットは、全て解析サーバASに転送され、そのパケットの中から正常パケットを識別する。このときに新規な正常パケット送信元の出現頻度を観測することができる。
解析サーバASは、この観測結果に基づき第一あるいは第二実施例で説明した防御対策のいずれかをフィルタ装置Fに指示する。
(第四実施例)
第四実施例を図5を参照して説明する。図5は解析サーバASに転送するパケットに対するカプセリングを説明するための図である。第四実施例では、第一〜第三実施例のいずれにも適用できる解析サーバASへのパケット転送方法を説明する。
第四実施例を図5を参照して説明する。図5は解析サーバASに転送するパケットに対するカプセリングを説明するための図である。第四実施例では、第一〜第三実施例のいずれにも適用できる解析サーバASへのパケット転送方法を説明する。
フィルタ装置Fの解析サーバASにパケットを転送する手段は、解析サーバASに転送すべきパケットを解析サーバASのアドレスを宛先アドレスとし、自フィルタ装置Fのアドレスを送信元アドレスとしたパケットによりカプセリングして転送する手段を備える(請求項5、12)。
すなわち、フィルタ装置Fで、解析サーバASへの転送を命じられた攻撃対象となるサーバS行きのIPパケットをカプセリングし、解析サーバASを宛先アドレスとし、当該フィルタ装置Fを送信元アドレスとする。これにより攻撃ユーザが自らの送信元アドレスを偽っていても、少なくともフィルタ装置FのI/O等は把握でき、当該攻撃対象の宛先アドレス行きのパケットを規制することができる。
例えば、攻撃パケット送信元のユーザは、攻撃パケットを送信し続けている間に送信元アドレスを次々に変えるという巧妙な攻撃方法をとる場合もある。この場合には、攻撃パケットの送信元アドレスにより攻撃パケットを特定することは困難になる。
このような巧妙な攻撃を受けた場合には、既に攻撃パケットを受信しているフィルタ装置Fがわかっているのであるから、当該フィルタ装置Fに到着する攻撃対象となるサーバSの宛先アドレスを有するパケットについては全て解析サーバASのアドレスを宛先アドレスとし、自フィルタ装置Fのアドレスを送信元アドレスとしてカプセリングを行う。このカプセリングされたパケットを受け取った解析サーバASでは、既に攻撃パケットを受信しているフィルタ装置Fからのパケットであることがわかるので、デカプセリングして取り出した中身のパケットの送信元アドレスが詐称されている場合でも当該パケットを攻撃パケットである可能性が高いパケットとして処理することができる。
(第五実施例)
本発明は、汎用の情報処理装置にインストールすることにより、その情報処理装置に本発明のファイアウォール装置F、解析サーバAS、フィルタ装置Fにそれぞれ相応する機能を実現させるプログラムとして実現することができる(請求項13〜19)。このプログラムは、記録媒体に記録されて情報処理装置にインストールされ(請求項20)、あるいは通信回線を介して情報処理装置にインストールされることにより当該情報処理装置に、ファイアウォール装置F、解析サーバAS、フィルタ装置Fの各手段にそれぞれ相応する機能を実現させることができる。
本発明は、汎用の情報処理装置にインストールすることにより、その情報処理装置に本発明のファイアウォール装置F、解析サーバAS、フィルタ装置Fにそれぞれ相応する機能を実現させるプログラムとして実現することができる(請求項13〜19)。このプログラムは、記録媒体に記録されて情報処理装置にインストールされ(請求項20)、あるいは通信回線を介して情報処理装置にインストールされることにより当該情報処理装置に、ファイアウォール装置F、解析サーバAS、フィルタ装置Fの各手段にそれぞれ相応する機能を実現させることができる。
本発明によれば、攻撃対象となるサーバに至る通信経路も攻撃から守ることができる。さらに、攻撃解析専門のサーバを設けることにより、高度な防御対策をとることができる。これにより、正常なアクセスを行うユーザが攻撃を行う悪意のユーザによる悪影響を受けることを低減させ、正常なアクセスを行うユーザに対するサービス品質を向上させることができる。
AS 解析サーバ
BR ボーダルータ
F フィルタ装置
FW ファイアウォール装置
S サーバ
BR ボーダルータ
F フィルタ装置
FW ファイアウォール装置
S サーバ
Claims (4)
- サーバに到来するパケットを当該サーバの前段で受信し当該サーバに対する攻撃パケットを検出する手段と、
この検出する手段により攻撃パケットが検出された旨の情報を送出する手段と
を備えたファイアウォール装置と、
前記攻撃パケットを取得して対策を解析する手段を備えた解析サーバと、
ネットワークのボーダに設けられ当該ネットワーク外からのパケットを受信し前記情報に基づき攻撃パケットを識別して前記解析サーバに転送する手段を備えたフィルタ装置と
を備え、
前記解析サーバは、
新たな正常パケット送信元の出現状況あるいは新たな攻撃パケット送信元の出現状況を観測する手段と、
この観測する手段の観測結果に基づき攻撃パケットの送信元アドレスあるいは正常パケットの送信元アドレスのいずれかを前記フィルタ装置に通知する手段と
を備え、
前記フィルタ装置は、前記通知する手段により通知された攻撃パケットの送信元アドレスあるいは正常パケットの送信元アドレスのいずれかに基づきフィルタを生成する手段を備えた
ことを特徴とする攻撃パケット防御システム。 - 攻撃パケットを取得して対策を解析する手段を備え、
この解析する手段は、
自己に転送されたパケットの中から前記攻撃パケットあるいは前記攻撃パケットに該当しない正常パケットを識別する手段と、
この識別する手段により識別された前記攻撃パケットあるいは前記正常パケットの送信元アドレスを解析する手段と
を備え、
新たな正常パケット送信元の出現状況あるいは新たな攻撃パケット送信元の出現状況を観測する手段と、
この観測する手段の観測結果に基づき攻撃パケットの送信元アドレスあるいは正常パケットの送信元アドレスのいずれかを前記フィルタ装置に通知する手段と
を備えたことを特徴とする解析サーバ。 - 情報処理装置にインストールすることにより、その情報処理装置に、
攻撃パケットを取得して対策を解析する機能を実現させ、
この解析する機能として、
自己に転送されたパケットの中から前記攻撃パケットあるいは前記攻撃パケットに該当しない正常パケットを識別する機能と、
この識別する機能により識別された前記攻撃パケットあるいは前記正常パケットの送信元アドレスを解析する機能と
を備えた解析サーバに相応する機能を実現させ、
新たな正常パケット送信元の出現状況あるいは新たな攻撃パケット送信元の出現状況を観測する機能と、
この観測する機能の観測結果に基づき攻撃パケットの送信元アドレスあるいは正常パケットの送信元アドレスのいずれかを前記フィルタ装置に通知する機能と
を実現させる
ことを特徴とするプログラム。 - 請求項3に記載のプログラムが記録された前記情報処理装置読み取り可能な記録媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003383964A JP3784799B2 (ja) | 2003-11-13 | 2003-11-13 | 攻撃パケット防御システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003383964A JP3784799B2 (ja) | 2003-11-13 | 2003-11-13 | 攻撃パケット防御システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005151039A JP2005151039A (ja) | 2005-06-09 |
| JP3784799B2 true JP3784799B2 (ja) | 2006-06-14 |
Family
ID=34692538
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003383964A Expired - Fee Related JP3784799B2 (ja) | 2003-11-13 | 2003-11-13 | 攻撃パケット防御システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3784799B2 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7889735B2 (en) * | 2005-08-05 | 2011-02-15 | Alcatel-Lucent Usa Inc. | Method and apparatus for defending against denial of service attacks in IP networks based on specified source/destination IP address pairs |
| US20070033650A1 (en) * | 2005-08-05 | 2007-02-08 | Grosse Eric H | Method and apparatus for defending against denial of service attacks in IP networks by target victim self-identification and control |
| JP4776412B2 (ja) * | 2006-03-23 | 2011-09-21 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | パケット転送装置、パケット転送方法、及びプログラム |
| US8914885B2 (en) * | 2006-11-03 | 2014-12-16 | Alcatel Lucent | Methods and apparatus for delivering control messages during a malicious attack in one or more packet networks |
-
2003
- 2003-11-13 JP JP2003383964A patent/JP3784799B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005151039A (ja) | 2005-06-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8295188B2 (en) | VoIP security | |
| CN102210133B (zh) | 网络入侵保护 | |
| US7965636B2 (en) | Loadbalancing network traffic across multiple remote inspection devices | |
| US7930740B2 (en) | System and method for detection and mitigation of distributed denial of service attacks | |
| US20060212572A1 (en) | Protecting against malicious traffic | |
| KR20030059204A (ko) | 분산 네트워크의 노드상의 과부하 조건으로부터 보호하기위한 방법 및 장치 | |
| Yao et al. | VASE: Filtering IP spoofing traffic with agility | |
| JP2005229614A (ja) | Ip送信元アドレスを偽装したサービス妨害攻撃から防御する方法および装置 | |
| JP2004140524A (ja) | DoS攻撃検知方法、DoS攻撃検知装置及びプログラム | |
| JP4284248B2 (ja) | アプリケーションサービス拒絶攻撃防御方法及びシステム並びにプログラム | |
| EP1461704B1 (en) | Protecting against malicious traffic | |
| JP4620070B2 (ja) | トラヒック制御システムおよびトラヒック制御方法 | |
| JP2010193083A (ja) | 通信システムおよび通信方法 | |
| JP2006100874A (ja) | アプリケーション型サービス不能攻撃に対する防御方法およびエッジ・ルータ | |
| KR101118398B1 (ko) | 트래픽 방어 방법 및 장치 | |
| JP3784799B2 (ja) | 攻撃パケット防御システム | |
| JP2007259223A (ja) | ネットワークにおける不正アクセスに対する防御システム、方法およびそのためのプログラム | |
| JP2004248185A (ja) | ネットワークベース分散型サービス拒否攻撃防御システムおよび通信装置 | |
| Tritilanunt et al. | Entropy-based input-output traffic mode detection scheme for dos/ddos attacks | |
| US20090222904A1 (en) | Network access node computer for a communication network, communication system and method for operating a communication system | |
| Hunt et al. | Reactive firewalls—a new technique | |
| JP2002158699A (ja) | DoS攻撃防止方法および装置およびシステムおよび記録媒体 | |
| US11824831B2 (en) | Hole punching abuse | |
| JP2005130190A (ja) | 攻撃パケット防御システム | |
| EP3270569B1 (en) | Network protection entity and method for protecting a communication network against malformed data packets |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20051209 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20051227 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060208 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060314 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20060315 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090324 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100324 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110324 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110324 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120324 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130324 Year of fee payment: 7 |
|
| LAPS | Cancellation because of no payment of annual fees |