JP2002158699A - DoS攻撃防止方法および装置およびシステムおよび記録媒体 - Google Patents

DoS攻撃防止方法および装置およびシステムおよび記録媒体

Info

Publication number
JP2002158699A
JP2002158699A JP2000353095A JP2000353095A JP2002158699A JP 2002158699 A JP2002158699 A JP 2002158699A JP 2000353095 A JP2000353095 A JP 2000353095A JP 2000353095 A JP2000353095 A JP 2000353095A JP 2002158699 A JP2002158699 A JP 2002158699A
Authority
JP
Japan
Prior art keywords
security
dos attack
identifier
function unit
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2000353095A
Other languages
English (en)
Inventor
Koichi Okada
浩一 岡田
Hitoshi Fuji
仁 冨士
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2000353095A priority Critical patent/JP2002158699A/ja
Publication of JP2002158699A publication Critical patent/JP2002158699A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

(57)【要約】 【課題】 アドレス不定型DoS攻撃を含むDoS攻撃
全般の対策を実現する。アドレス不定型DoS攻撃を含
むDoS攻撃全般の対策をISPの付加価値として実現
する。 【解決手段】 通信パケットに対して施した安全性確認
の度合いに応じて、通信パケットに異なる種類の安全性
識別子を付加し、通信パケットの配送経路上で前記安全
性識別子に応じた優先度制御を行う。このときに、安全
性確認を行っていないパケットに前記安全性識別子を付
加する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、DoS攻撃の防御
に有効な方法に関するものである。DoS攻撃(Denial
of Service攻撃:サービス拒否攻撃)とは、インターネ
ット等で不特定多数のユーザ(送信元)に公開されたサ
ーバ(送信先)に対して、不正な通信パケットを送るこ
とにより、送信先のリソースを消費する等の悪影響を与
え、その送信先への他の送信元からのアクセスを困難に
するあるいはその送信先の機能を停止させる攻撃であ
る。
【0002】
【従来の技術】攻撃に使用される不正パケットの種類に
よってDoS攻撃を大きく分類すると以下の三つのもの
がある。(A)パケットの形式が正常ではないもの(異
常形式型DoS攻撃)、(B)パケットの形式は正常で
あるが、その数がサーバに対するサービス妨害に充分な
ほど多く、かつ、送信元IPアドレスがある程度の範囲
内に限定されるもの(アドレス固定型DoS攻撃)、
(C)パケットの形式は正常であるが、その数がサーバ
に対するサービス妨害に充分なほど多く、かつ、送信元
IPアドレス等がある程度の範囲内に限定されないもの
(アドレス不定型DoS攻撃)。
【0003】従来から、(A)および(B)に関する対
策はあったが、(C)に対する充分な対策は提案されて
いない。以下に従来の対策について示す。
【0004】(A)に関する対策としては、サーバ内あ
るいは、サーバと送信元との通信経路上の装置で、形式
が異常なパケットを破棄する方法がある。形式が異常で
あることの判定は、主にパターンマッチングによって行
われる。(A)のように異常な形式のパケットが攻撃に
使用される場合では、この対策は有効であるが、(B)
および(C)のようにパケットの形式から不正であるこ
とを検出することができない攻撃に対しては、この対策
は有効ではない。
【0005】(B)に関する対策としては、特定あるい
は特定範囲の送信元アドレスを持つ通信パケット毎に単
位時間あたりの通信量を制限するトラヒックシェーピン
グ装置を、サーバ内あるいは、サーバと送信元との通信
経路上に設置する方法がある。制限された通信量を超え
るパケットはトラヒックシェーピング装置によって破棄
されるため、特定範囲内の送信元アドレスを持つパケッ
トを使った攻撃を無効にすることができる。しかし、
(C)のように、パケット毎に異なる送信元アドレスを
偽装する等の手段を使い、攻撃に使用されるパケットの
送信元アドレス範囲を限定しない攻撃に関しては、送信
元アドレス毎の通信量制限を行うこの方法は有効ではな
い。
【0006】(C)に示した攻撃は、送信元アドレスを
偽装することによって実現されることが多い。送信元ア
ドレスの偽装を防ぐための対策として、ISP(Interne
t Service Provider)等によって行われるイングレスフ
ィルタリングと呼ばれる方法がある。イングレスフィル
タリングとは、物理的あるいは論理的な回線毎にその先
に接続されるユーザの使用するアドレス範囲が特定され
る場合に、その回線を通過して送信されるパケットの送
信元アドレスを確認し、特定された範囲に含まれない送
信元アドレスを持つパケットを破棄するものである。こ
れによって、回線で許可された範囲を超えてアドレスを
偽装したパケットは通過することができなくなる。
【0007】イングレスフィルタリングは、回線で許可
するアドレスの範囲が狭いほどアドレスの偽装防止とし
て有効である。したがって、イングレスフィルタリング
はパケットがユーザ(送信元)側からISPのバックボ
ーンネットワークに入る前等に行うことが望ましく、逆
に送信先であるサーバ側への接続部分でイングレスフィ
ルタリングを行っても、送信元アドレスの範囲を狭い範
囲に限定することが出来ないため有効にはならない。
【0008】つまり、イングレスフィルタリングは、サ
ーバを運営する者が防御としてとることのできる対策と
しては有効ではなく、ユーザを接続するISP側が、そ
のISPのユーザが不正を行わないようにするための対
策として有効なものであるといえる。対策を採る側であ
るISPやユーザにとって、自らが不正を行なわないよ
うにするという理由だけでは直接的な利益は少ないた
め、この対策は充分に普及していない。
【0009】イングレスフィルタリングを利用する発展
例として、網内へのアクセスをイングレスフィルタリン
グのみに限定する閉域網を構築した場合には、その中の
サーバは、アドレス不定型DoS攻撃を防ぐことが出来
るためサーバ運営者側のメリットは大きくなる。しか
し、この場合はサーバを特定のメンバにのみ公開するこ
とになってしまうため、公開サーバにおける対策として
は導入されない。
【0010】アドレス偽装に関するその他の対策として
IPsec等を使ったVPN(Virtual Private Networ
k)の導入がある。サーバと、そのサーバへアクセスを行
なうユーザとの間でVPNを構築することは閉域網を構
築することに等しく、イングレスフィルタリングを行な
う閉域網の構築の場合と同じように、サーバを特定のメ
ンバのみに公開することになってしまうため、公開サー
バ用の対策としては不適切である。
【0011】このように、アドレス不定型DoS攻撃へ
の充分な対策が従来は無かったことがわかる。さらに、
攻撃者が攻撃元を特定されにくくするために送信元アド
レスの偽装を利用することが多いため、アドレス不定型
DoS攻撃は、充分な対策のない現在では、大きな脅威
となっている。
【0012】
【発明が解決しようとする課題】本発明は、以下に述べ
る三つの条件を満たしつつ、アドレス不定型DoS攻撃
から公開サーバ等を防御することを課題とする。前項で
述べたとおり、アドレス不定型DoS攻撃の従来の対策
では以下の三つの条件を同時に満たすものは提案されて
いない。
【0013】(条件1)対策を導入するものにとって充
分なメリットがあること。 従来の方法であるイングレスフィルタリングの方法が不
充分である理由の一つは、イングレスフィルタリングの
方法が、この対策を導入するものにとって充分なメリッ
トがなかったことにある。前述したとおり、この対策
は、防御のための対策ではなく、攻撃者にならないため
の対策である。すなわち、例えば、ユーザやISPがこ
の対策を導入するのは、自らの拠点が攻撃起点にならな
いようにするためであり、自らの通信がDoS攻撃の被
害を受けないようにするためではない。現時点では、攻
撃起点にならないようにしなければならないという意識
はそれほど普及しておらず、大きなメリットがあるとは
考えられていない。そのため、現在までイングレスフィ
ルタリングの手法の普及が進まなかったといえる。提案
する対策が普及するために、導入するものにとって直接
のメリットを持つものを提案する必要がある。
【0014】(条件2)ユーザ側の負担を極力少なくす
ること。 本課題では、不特定多数のユーザが利用する公開サーバ
を防御する際において効果を上げることが必要である。
ユーザ側の負担が大きくなってしまえば、公開サーバと
しては利用されにくくなってしまうため、サーバ運営者
は対策として受け入れることが難しくなってしまうと考
えられる。もちろん、ユーザにとっても負担が高くなる
のは極力避けたいはずである。以上により、公開サーバ
を利用するユーザ側の負担をいかに少なくするかが重要
であるといえる。
【0015】(条件3)提案する方法を導入していない
ネットワークからの接続性を確保すること。 DoS攻撃防御の目的のために、閉じたネットワークを
構築してしまうと、そのネットワークへのアクセス手段
をあらためてユーザが確保しなければならなくなり、ユ
ーザの利用性を損なうことになってしまう。提案する対
策を導入する以前から利用しているユーザも、何の変更
もなく引き続きサーバへのアクセスを可能にすることが
必要である。なお、閉域網を構築した場合は、本条件は
満たさない。
【0016】本発明は、このような背景に行われたもの
であって、アドレス不定型DoS攻撃の対策を実現する
ことができるDoS攻撃防止方法および装置を提供する
ことを目的とする。本発明は、アドレス不定型DoS攻
撃の対策をISPの付加価値として実現することができ
るDoS攻撃防止システムを提供することを目的とす
る。さらに、本発明は、アドレス不定型DoS攻撃を含
むDoS攻撃全般の対策を実現することができるDoS
攻撃防止方法および装置を提供することを目的とする。
本発明は、アドレス不定型DoS攻撃を含むDoS攻撃
全般の対策をISPの付加価値として実現することがで
きるDoS攻撃防止システムを提供することを目的とす
る。
【0017】
【課題を解決するための手段】本発明の第一の観点は、
通信パケットに対して施した安全性確認の度合いに応じ
て、通信パケットに異なる種類の安全性識別子を付加
し、通信パケットの配送経路上で前記安全性識別子に応
じた優先度制御を行うことを特徴とするDoS攻撃防止
方法である。
【0018】このときに、安全性確認を行っていないパ
ケットに前記安全性識別子を付加することが望ましい。
【0019】本発明の第二の観点は、様々な度合いで通
信パケットの安全性を確認する安全性確認機能部と、安
全性確認の度合いに応じて安全性識別子を通信パケット
に付加する識別子付加機能部と、前記安全性識別子に応
じた優先度制御を行う優先制御機能部とを備えたことを
特徴とするDoS攻撃防止装置である。
【0020】このときに、前記識別子付加機能部は、安
全性確認を行っていない通信パケットに前記安全性識別
子を付加する手段を備え、前記優先制御機能部は、前記
安全性識別子の付いていない通信パケットに対して優先
接続を行う手段を備えることが望ましい。
【0021】本発明の第三の観点は、ISP(Internet
Service Provider)が本発明のDoS攻撃防止装置を備
え、このDoS攻撃防止装置をユーザおよびまたはイン
ターネットに接続することによりDoS攻撃防止サービ
スを実現するDoS攻撃防止システムである。
【0022】本発明の第四の観点は、所定のハードウェ
アと、このハードウェアにインストールされた所定の基
本ソフトウェアとを備えた情報処理装置に、さらにイン
ストールすることによりその情報処理装置に本発明のD
oS攻撃防止方法を実行させるソフトウェアあるいはそ
の情報処理装置を本発明のDoS攻撃防止装置に相応す
る装置とするソフトウェアが記録された記録媒体であ
る。
【0023】本発明の本質は、従来の方法の項目(C)
で示したイングレスフィルタリング等の送信元側の対策
を、サーバ(送信先)側の防御対策としても利用するこ
とにある。そのために本発明では、「安全性識別子」を
導入する。
【0024】送信元側の「安全性確認機能部」において
イングレスフィルタリング等の安全性確認を行なったパ
ケットに対して「識別子付加機能部」において「安全性
識別子」を付加し、パケットにどれほどの安全性確認が
行われているかを送信元から送信先へ配送される間の経
路において識別し、DoS攻撃等で送信先へのアクセス
が許容された帯域を超える場合には、より高い安全性確
認が行われたパケットを「優先制御機能部」において優
先的に送信先に接続し、その他のパケットは破棄する。
【0025】アドレス不定型DoS攻撃は、充分な安全
性確認を行っていないパケットを使って行われるため、
主装置内では「優先制御機能部」において攻撃に使われ
るパケットの優先度を下げられることになり、帯域で許
可された容量を超えた場合に、攻撃に使われるパケット
は破棄され、アドレス不定型DoS攻撃は無効となる。
【0026】本発明は、課題の中で示した条件を満たし
ている。その理由を以下に示す。
【0027】まず、本発明が条件1(対策を導入するも
のにとって充分なメリットがあること)を達成する理由
を解説する。本方法で対策を導入するのは、送信元およ
び送信先の両方である。送信元側では、送信先へのアク
セスに関して主装置を利用するにあたり、主装置に接続
し、安全性確認を受ける必要が生じる。しかし、そうす
ることにより、送信先がアドレス不定型DoS攻撃を受
けている最中でも、送信先への優先的なアクセスが可能
になる。つまり、送信先への接続性をより確実に行うこ
とができるようになるというメリットが得られる。
【0028】一方、送信先側も、主装置に接続する必要
がある。しかし、そうすることにより、アクセス不定型
DoS攻撃の被害を受けずに、主装置の安全性確認機能
部に接続する送信元に対してサービスを提供することが
できるというメリットが得られる。以上のように、対策
を導入するものにとって充分なメリットがあるという条
件が満たされていることがわかる。
【0029】次に、本発明が条件2(ユーザ側の負担を
極力少なくすること)を達成する理由を説明する。上に
示した例では、本発明では主装置に接続することのみが
必要であり、主装置がISP等によって提供されるので
あれば、送信元宅内および送信先宅内には特別なハード
ウェアやソフトウェアを必要としない。このように、ユ
ーザ側の負担を極力少なくするという条件が満たされて
いることがわかる。
【0030】最後に本発明が条件3(提案する方法を導
入していないネットワークからの接続性を確保するこ
と)を満たしている理由を示す。本発明は、安全性の確
保のために閉じたネットワークを利用するという方法は
とっていない。「バックボーンネットワーク部」へ入っ
てくるパケットは必ずしも「安全性確認機能部」を経由
しなくてもよい。ただ、それらのパケットと、「安全性
確認機能部」を経由したパケットとは、「安全性識別
子」によって厳密に区別される。このように、「安全性
確認機能部」を導入していない外部ネットワークにも接
続することが可能であるため、提案する方法を導入して
いないネットワークからの接続性を確保するという条件
が満たされていることがわかる。
【0031】
【発明の実施の形態】本発明実施例のDoS攻撃防止装
置の構成を図1を参照して説明する。図1は本発明実施
例のDoS攻撃防止装置のブロック構成図である。
【0032】本発明は、図1に示すように、様々な度合
いで通信パケットの安全性を確認する安全性確認機能部
3と、安全性確認の度合いに応じて安全性識別子を通信
パケットに付加する識別子付加機能部2と、前記安全性
識別子に応じた優先度制御を行う優先制御機能部1とを
備えたことを特徴とするDoS攻撃防止装置である。
【0033】識別子付加機能部2は、安全性確認を行っ
ていない通信パケットに前記安全性識別子を付加し、優
先制御機能部1は、前記安全性識別子の付いていない通
信パケットに対して優先接続を行う。
【0034】また、ISPが本発明実施例のDoS攻撃
防止装置を備え、このDoS攻撃防止装置をユーザおよ
びまたはインターネットに接続することによりDoS攻
撃防止サービスを実現するDoS攻撃防止システムを実
現することができる。
【0035】本発明のDoS攻撃防止方法は、所定のハ
ードウェアと、このハードウェアにインストールされた
所定の基本ソフトウェアとを備えた情報処理装置に、さ
らにインストールすることによりその情報処理装置に本
発明のDoS攻撃防止方法を実行させるソフトウェアが
記録された記録媒体によりパーソナル・コンピュータ装
置に当該ソフトウェアをインストールすることによりそ
のパーソナル・コンピュータ装置に本発明のDoS攻撃
防止方法を実行させることができる。
【0036】本発明のDoS攻撃防止装置は、所定のハ
ードウェアと、このハードウェアにインストールされた
所定の基本ソフトウェアとを備えた情報処理装置に、さ
らにインストールすることによりその情報処理装置を本
発明のDoS攻撃防止装置に相応する装置とするソフト
ウェアが記録された記録媒体によりパーソナル・コンピ
ュータ装置に当該ソフトウェアをインストールすること
によりそのパーソナル・コンピュータ装置をDoS攻撃
防止装置とすることができる。
【0037】以下では、本発明実施例をさらに詳細に説
明する。
【0038】ここで、本発明を実現する主装置の一形態
の構成について図1を参照して説明する。主装置は、送
信元側に設置する安全性確認機能部3および識別子付加
機能部2、送信先側に設置する優先制御機能部1およ
び、送信元と送信先を接続するバックボーンネットワー
ク部4の4種類の要素から構成される。主装置は、送信
元と送信先との間に設置され、送信先をアドレス不定型
DoS攻撃から防御する。送信元および送信先は複数接
続されていてもかまわない。送信元が外部のネットワー
ク経由で本装置にパケットを送り込むような接続も可能
である。その場合は、安全性確認機能部3を経由せずに
識別子付加機能部2のみを経由してバックボーンネット
ワーク部4に接続する。図中の実線矢印は、送信元から
送信先に向けて送られるパケットの流れを示している。
なお、本発明は必ずしも一装置として実現する必要は無
く、主装置の構成要素がネットワーク内に分散して設置
されていてもよいということに注意する。
【0039】以下に、図1中の各々の構成要素がどのよ
うに機能するかについて図2を参照し、パケットの流れ
をもとに解説する。
【0040】パケットが本装置に送信される経路とし
て、送信元から安全性確認機能部3にパケットを送る経
路、送信元(外部送信元)から識別子付加機能部2にパ
ケットを送る経路、および、送信元から外部ネットワー
ク経由で、識別子付加機能部2にパケットを送る経路、
の3種類の送信経路がある。
【0041】はじめに、送信元から安全性確認機能部3
にパケットを送る場合の経路について説明する。まず、
安全性確認機能部3では、送信元から送られたパケット
を受け取り、IPアドレスの偽装等の不正行為が送信元
側から送出される通信パケットに対して行われていない
ことをイングレスフィルタリング等の方法によって確認
し、識別子付加機能部2にパケットを渡す。図3に、安
全性確認機能部3の処理としてイングレスフィルタリン
グを行った場合の処理を示す。安全性確認機能部3は、
接続する送信元毎に個別に本装置内に設置され、各々に
接続している送信元毎に個別のアドレス範囲が設定され
ており、送られたパケットの送信元アドレスがこの範囲
内になければパケットを破棄し、範囲内にあれば識別子
付加機能部2にパケットを渡す。
【0042】識別子付加機能部2も、接続する送信元毎
に個別に本装置内に設置され、あらかじめ設定された
「安全性識別子」をパケットに対して付加した後(図
4)、そのパケットをバックボーンネットワーク部4に
送る。
【0043】バックボーンネットワーク部4は、受け取
ったパケットを、パケット中の送信先アドレスに示され
た送信先に接続された優先制御機能部1に向けて配送す
る(図5)。
【0044】送信先側の優先制御機能部1は、送信先へ
のトラヒック総量が許可された帯域幅を超える場合に
は、「安全性識別子」により安全性が高いことが示され
たパケットを、その他のパケットよりも優先的に送信先
に接続し、その他のパケットを破棄する。その際、送信
先へのトラヒックが許容帯域を超えていなければ優先制
御機能部1はパケットを単に通過させるのみである。図
6に優先制御を行う際の処理の一例を示す。図6に示し
た方法は、優先制御機能部1内に優先種別毎に個別のキ
ューを持ち、識別子に対応付けられた優先度に応じてパ
ケットをキューに格納し、より優先度の高いパケットの
入ったキューが空になってから(S1)、次のキュー内
のパケットを送出するというものである。この処理を行
うことで、優先度の高いパケットを優先して送信先に接
続する機能が提供できる。処理の途中に優先制御機能部
1が新たなパケットを受け取った場合は、最初から処理
を行う(S2)。キューが全て空になれば(S4)、処
理は終了する。受信処理は、送信処理と比較して最大N
倍(N≧2)の処理を行うことにより(S5)、キュー
に受信パケットが蓄積されるようになっている。各々の
キューの長さは限定しないが、満杯になった状態のキュ
ーに格納されるパケットは破棄される(S3)。
【0045】次に、安全性確認機能部3を経由せずに直
接、送信元(外部送信元)から識別子付加機能部2にパ
ケットを送る場合のパケットの処理について説明する。
図2に示されるように、バックボーンネットワーク部4
は必ず、識別子付加機能部2からパケットを受け取る。
その際、バックボーンネットワーク部4は安全性確認機
能部3を経由していないパケットを受け取ることも可能
である。これは、例えばイングレスフィルタリング等の
安全性確認機能部3を経由していない送信元(外部送信
元)からも、送信先へのアクセスが可能であることを意
味する。識別子付加機能部2は、安全性確認機能部3を
経由していないパケットに対しては、安全性確認機能部
3を経由したパケットとは異なる種類の「安全性識別
子」を付加する、あるいは一切の「安全性識別子」を付
加しない。このときに「安全性識別子」を付加した場合
の「安全性識別子」は、安全性確認機能部3を経由した
パケットよりも、安全性が低いことを示し、そのパケッ
トが優先制御機能部1に送られた際には優先度の低いキ
ューに格納される。「安全性識別子」を付加しないパケ
ットは、一番低い安全性を示す安全性識別子が付加され
たものと同じ扱いとする。識別子付加機能部2は、「安
全性識別子」をつけた後、バックボーンネットワーク部
4にパケットを送り、その後は、前述したとおりにバッ
クボーンネットワーク部4および優先制御機能部1の処
理が行われる。
【0046】最後に説明する経路として、外部ネットワ
ークから識別子付加機能部2経由でバックボーンネット
ワーク部4に接続するものがある。その場合には、外部
ネットワーク経由で接続する送信元は、識別子付加機能
部2に直接接続する外部送信元と同じ扱いとなり、そこ
から送信されたパケットは優先度が低く扱われる。
【0047】例えイングレスフィルタリングを利用した
安全性確認を行っていないこれらの経路を使って攻撃者
がアドレス不定型DoS攻撃等を試みている間であって
も、安全性確認機能部3を経由して接続する送信元から
来たパケットは、優先制御機能部1により、送信先に優
先的に送られる。攻撃に使われるパケットは優先度が低
いため優先制御機能部1内部のキューに留まることにな
り、キューの長さを超えて受信されるものについては破
棄される。よって、アドレス不定型DoS攻撃は事実上
無効になる。
【0048】ここで、送信先へのアクセス量の合計が、
許容された帯域を超える場合には、その原因が不正なア
クセスに由来するか正規のアクセスに由来するかに関わ
らず、安全性確認機能部3を経由せずに送信先へアクセ
スする外部送信元は、安全性確認機能部3を経由してパ
ケットを送出する送信元と比較して、送信先へのアクセ
スが困難になることに注意する。
【0049】以下に、本発明の構成要素の具体化例につ
いて解説する。
【0050】安全性確認機能部3では、イングレスフィ
ルタリング等の方法によって、送信元毎のIPアドレス
偽装範囲を充分に絞り込む等の安全性確認を行う。例え
ば、ISPが網全体を主装置として運用する際には、送
信元のアクセス回線をインタフェースとして識別可能な
ルータ上でイングレスフィルタリングを動作させればよ
い。また、送信元とバックボーンネットワークとの間を
VPN接続することにより、ISPを限定せずにインタ
ーネット上にいる任意の送信元を仮想的に直接、主装置
に接続することができる。その場合には、ネットワーク
側のVPN接続出口部分でイングレスフィルタリングを
動作させる。VPN接続方法自体にイングレスフィルタ
リングと同等の機能が含まれていれば、VPN接続装置
そのものが安全性確認機能部3となっているといえるの
で、あえて別にイングレスフィルタリングを動作させる
必要はない。ここで、本発明は安全性確認機能部3にお
ける安全性確認の具体的な方法をイングレスフィルタリ
ングに限定しないことに注意する。安全性確認機能部3
には安全性を確認する任意の手段を利用してよい。
【0051】次に「安全性識別子」としては、既存のパ
ケット識別方法すなわち、IPヘッダ内のTOSフィー
ルド(Type Of Serviceフィールド:IPv4ヘッダにあるフ
ィールドで、そのパケットの送信の優先順位や重要度等
を示すために使用される。標準化組織IETFによって定め
られた。)、DSフィールド(Differentiated Serviceフ
ィールド:IPv4のTOSフィールドに相当する部分をDiffer
entiated Serviceというサービス品質の概念に用いるた
めに作り替えたもの。IETF によって標準化が行われて
いる。)、IEEE802.1Qのラベル(パケットにラ
ベルをつけて、論理的なグループ分けを行うもの。主に
LAN内で使用される。標準化組織IEEEによって標準化が
行われた。)、MPLSのラベル(Multi Protocol Label
Switchingにおけるラベル:パケットにラベルを付け
て、論理的なグループ分けを行ったり、効率的なトラヒ
ック制御を行うもの。主にISPのバックボーンにおいて
使用される。IETFによって標準化が行われている。)等
を利用可能である。
【0052】識別子付加機能部2としては、「安全性識
別子」として利用するラベルを付加する装置を利用す
る。前述の説明の中では、安全性の確認が済んだパケッ
トと安全性の確認が済んでいないパケットとで異なる種
類の「安全性識別子」を付加すると記述したが、これ
は、安全性確認の度合いに応じて異なる種類の識別子を
付加するように拡張したり、安全性確認を行ったものに
は「安全性識別子」を付加せずに、安全性確認を行って
いないものに「安全性識別子」を付加するように拡張し
たりする場合も、本質的に変わらない。
【0053】優先制御機能部1としては、「安全性識別
子」に採用したラベリング内容に応じて優先制御を行う
装置を利用する。例えば、TOSフィールドの値に応じ
て、優先制御する装置を利用する。優先制御機能として
は、特に、サーバのリクエスト処理能力に関連付けた優
先制御を行うために、サーバへのリクエストを行う最初
のパケット(TCPのSYNパケット等)に対して最大
帯域を指定でき、その帯域の中でラベリング内容に応じ
て優先制御を行うものを導入することが望ましいが、パ
ケットの種類を区別せずに単にラベリング内容に応じて
優先制御を行う装置を導入してもかまわない。
【0054】優先制御機能部1の動作位置の例として
は、送信先側アクセス回線のバックボーンネットワーク
への出口部分などが挙げられる。一般的にアクセス回線
の帯域幅は小さいため、バックボーン側から送信先に向
かうパケットに対しては、アクセス回線に入る前にバッ
クボーン側で優先制御を行うことが望ましいが、送信元
と送信先の経路上であれば、どこで優先制御を行っても
かまわない。
【0055】バックボーンネットワーク部4は、IPネ
ットワークのバックボーン等を利用することが可能であ
る。これは、一つのISPもしくはキャリアによって提
供されてもよいが、複数のISPもしくはキャリアによ
って提供されてもよく、それらの接続は直接もしくはV
PN等によって行う等の工夫により、「安全性識別子」
をバックボーンネットワーク部の運営を行うもの以外に
無断で使用されることを防止する。
【0056】次に、どのような環境でどのように本発明
が利用されるのかについて詳細に説明を行う。インター
ネット等のオープンなネットワークでは、情報送信者の
身元特定が困難であることや、攻撃実行に必要なコスト
が低いという理由等から、公開サーバに対するDoS攻
撃が容易に行われ得るという問題点を持つことが多い。
これは、通信品質が重視されるようなアプリケーション
が、オープンなネットワーク上では利用されにくい理由
の一つであるといえる。逆にいえば、このDoS攻撃の
対策が充分にできればインターネット等の安価なネット
ワークで、ある程度の通信品質を確保することができ、
大きなビジネスにつながるといえる。
【0057】例えば、一般ユーザを対象としたオンライ
ン証券取引サービスなどでは、安価で利便性の高いイン
ターネット上で、より確実な接続性の提供を行うことを
保証したいというニーズが高く、その際にDoS攻撃を
防ぐことは必要であるといえる。
【0058】本発明は、DoS攻撃を防ぐための従来の
方法を組み合わせても、不充分であったアドレス不定型
DoS攻撃の対策を提供する。これにより、その他のD
oS攻撃対策と組み合わせることにより、DoS攻撃全
体をほぼ防ぐことができる。
【0059】別の観点からみて本発明を導入する一例と
して挙げられるのは、既存のISPが自らのネットワー
クに付加価値を付ける場合がある。ユーザにとっては、
そのISPを利用してインターネットにアクセスすれば
何の手間もかけずに、対応サーバへの、より確実なアク
セスを確保することができる点でそのISPは魅力があ
るといえる。サーバ運営者にとっても、そのISPに接
続すれば、アドレス不定型DoS攻撃の脅威を回避する
ことができるので、そのISPは魅力があるといえる。
【0060】
【発明の効果】以上説明したように、本発明によれば、
アドレス不定型DoS攻撃の対策を実現することができ
る。また、本発明は、アドレス不定型DoS攻撃の対策
をISPの付加価値として実現することができる。これ
により、アドレス不定型DoS攻撃を含むDoS攻撃全
般の対策を実現することができる。また、本発明は、ア
ドレス不定型DoS攻撃を含むDoS攻撃全般の対策を
ISPの付加価値として実現することができる。
【図面の簡単な説明】
【図1】本発明を実現する主装置の構成要素とその接続
関係を示す図。
【図2】パケットが送信されてから送信先に到着するま
での処理の流れを示す図。
【図3】安全性確認機能部の処理を示す図。
【図4】識別子付加機能部の処理を示す図。
【図5】バックボーンネットワーク部の処理を示す図。
【図6】優先制御機能部の処理を示す図。
【符号の説明】
1 優先制御機能部 2 識別子付加機能部 3 安全性確認機能部 4 バックボーンネットワーク部

Claims (7)

    【特許請求の範囲】
  1. 【請求項1】 通信パケットに対して施した安全性確認
    の度合いに応じて、通信パケットに異なる種類の安全性
    識別子を付加し、通信パケットの配送経路上で前記安全
    性識別子に応じた優先度制御を行うことを特徴とするD
    oS攻撃防止方法。
  2. 【請求項2】 安全性確認を行っていないパケットに前
    記安全性識別子を付加する請求項1記載のDoS攻撃防
    止方法。
  3. 【請求項3】 様々な度合いで通信パケットの安全性を
    確認する安全性確認機能部と、 安全性確認の度合いに応じて安全性識別子を通信パケッ
    トに付加する識別子付加機能部と、 前記安全性識別子に応じた優先度制御を行う優先制御機
    能部とを備えたことを特徴とするDoS攻撃防止装置。
  4. 【請求項4】 前記識別子付加機能部は、安全性確認を
    行っていない通信パケットに前記安全性識別子を付加す
    る手段を備え、 前記優先制御機能部は、前記安全性識別子の付いていな
    い通信パケットに対して優先接続を行う手段を備えた請
    求項3記載のDoS攻撃防止装置。
  5. 【請求項5】 ISP(Internet Service Provider)が
    請求項3または4記載のDoS攻撃防止装置を備え、こ
    のDoS攻撃防止装置をユーザおよびまたはインターネ
    ットに接続することによりDoS攻撃防止サービスを実
    現するDoS攻撃防止システム。
  6. 【請求項6】 所定のハードウェアと、このハードウェ
    アにインストールされた所定の基本ソフトウェアとを備
    えた情報処理装置に、さらにインストールすることによ
    りその情報処理装置に請求項1または2記載のDoS攻
    撃防止方法を実行させるソフトウェアが記録された記録
    媒体。
  7. 【請求項7】 所定のハードウェアと、このハードウェ
    アにインストールされた所定の基本ソフトウェアとを備
    えた情報処理装置に、さらにインストールすることによ
    りその情報処理装置を請求項3または4記載のDoS攻
    撃防止装置に相応する装置とするソフトウェアが記録さ
    れた記録媒体。
JP2000353095A 2000-11-20 2000-11-20 DoS攻撃防止方法および装置およびシステムおよび記録媒体 Pending JP2002158699A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000353095A JP2002158699A (ja) 2000-11-20 2000-11-20 DoS攻撃防止方法および装置およびシステムおよび記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000353095A JP2002158699A (ja) 2000-11-20 2000-11-20 DoS攻撃防止方法および装置およびシステムおよび記録媒体

Publications (1)

Publication Number Publication Date
JP2002158699A true JP2002158699A (ja) 2002-05-31

Family

ID=18825908

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000353095A Pending JP2002158699A (ja) 2000-11-20 2000-11-20 DoS攻撃防止方法および装置およびシステムおよび記録媒体

Country Status (1)

Country Link
JP (1) JP2002158699A (ja)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100481614B1 (ko) * 2002-11-19 2005-04-08 한국전자통신연구원 서비스 거부와 분산 서비스 거부 공격으로부터 정상트래픽을 보호하는 방법 및 그 장치
US7366785B2 (en) 2003-02-24 2008-04-29 Kabushiki Kaisha Toshiba Communication control apparatus, communication control method and communication control program product
WO2009008052A1 (ja) * 2007-07-09 2009-01-15 Fujitsu Limited 中継装置および中継方法
US7733844B2 (en) 2004-05-26 2010-06-08 Kabushiki Kaisha Toshiba Packet filtering apparatus, packet filtering method, and computer program product
CN101820423A (zh) * 2006-05-12 2010-09-01 国际商业机器公司 用于防御拒绝服务攻击的方法和***
JP2017123580A (ja) * 2016-01-07 2017-07-13 ヤマハ株式会社 通信システムおよび通信装置
JP2017201774A (ja) * 2016-04-28 2017-11-09 学校法人東京電機大学 通信装置、通信方法、及びプログラム
JP2021057717A (ja) * 2019-09-30 2021-04-08 サクサ株式会社 セキュリティ監視装置及びセキュリティ監視方法

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100481614B1 (ko) * 2002-11-19 2005-04-08 한국전자통신연구원 서비스 거부와 분산 서비스 거부 공격으로부터 정상트래픽을 보호하는 방법 및 그 장치
US7366785B2 (en) 2003-02-24 2008-04-29 Kabushiki Kaisha Toshiba Communication control apparatus, communication control method and communication control program product
US7733844B2 (en) 2004-05-26 2010-06-08 Kabushiki Kaisha Toshiba Packet filtering apparatus, packet filtering method, and computer program product
CN101820423A (zh) * 2006-05-12 2010-09-01 国际商业机器公司 用于防御拒绝服务攻击的方法和***
WO2009008052A1 (ja) * 2007-07-09 2009-01-15 Fujitsu Limited 中継装置および中継方法
JPWO2009008052A1 (ja) * 2007-07-09 2010-09-02 富士通株式会社 中継装置および中継方法
JP4677501B2 (ja) * 2007-07-09 2011-04-27 富士通株式会社 中継装置および中継方法
US8276204B2 (en) 2007-07-09 2012-09-25 Fujitsu Limited Relay device and relay method
JP2017123580A (ja) * 2016-01-07 2017-07-13 ヤマハ株式会社 通信システムおよび通信装置
JP2017201774A (ja) * 2016-04-28 2017-11-09 学校法人東京電機大学 通信装置、通信方法、及びプログラム
JP2021057717A (ja) * 2019-09-30 2021-04-08 サクサ株式会社 セキュリティ監視装置及びセキュリティ監視方法
JP7360087B2 (ja) 2019-09-30 2023-10-12 サクサ株式会社 セキュリティ監視装置及びセキュリティ監視方法

Similar Documents

Publication Publication Date Title
US7436770B2 (en) Metering packet flows for limiting effects of denial of service attacks
US7379423B1 (en) Filtering subscriber traffic to prevent denial-of-service attacks
US7031297B1 (en) Policy enforcement switching
US7058974B1 (en) Method and apparatus for preventing denial of service attacks
US8315169B2 (en) Loadbalancing network traffic across multiple remote inspection devices
US8001244B2 (en) Deep packet scan hacker identification
US7376134B2 (en) Privileged network routing
EP3846406A1 (en) Dynamic security actions for network tunnels against spoofing
US7818795B1 (en) Per-port protection against denial-of-service and distributed denial-of-service attacks
US20040148520A1 (en) Mitigating denial of service attacks
US7849503B2 (en) Packet processing using distribution algorithms
US20020163926A1 (en) Method and apparatus for security management in a networked environment
US8320249B2 (en) Method and system for controlling network access on a per-flow basis
US20150036502A1 (en) Packet Processing Indication
JPH11168510A (ja) パケット検証方法
KR20110089179A (ko) 네트워크 침입 방지
JP2005229614A (ja) Ip送信元アドレスを偽装したサービス妨害攻撃から防御する方法および装置
WO2003013070A2 (en) Packet flooding defense system
JP2002158699A (ja) DoS攻撃防止方法および装置およびシステムおよび記録媒体
JP4284248B2 (ja) アプリケーションサービス拒絶攻撃防御方法及びシステム並びにプログラム
CN106059939B (zh) 一种报文转发方法及装置
US20060225141A1 (en) Unauthorized access searching method and device
US20090222904A1 (en) Network access node computer for a communication network, communication system and method for operating a communication system
Cisco Configuring Unicast Reverse Path Forwarding
JP3784799B2 (ja) 攻撃パケット防御システム

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20040706

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040803

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20041027