JP2004120498A - System for preventing illegal traffic, server and edge router - Google Patents

System for preventing illegal traffic, server and edge router Download PDF

Info

Publication number
JP2004120498A
JP2004120498A JP2002282755A JP2002282755A JP2004120498A JP 2004120498 A JP2004120498 A JP 2004120498A JP 2002282755 A JP2002282755 A JP 2002282755A JP 2002282755 A JP2002282755 A JP 2002282755A JP 2004120498 A JP2004120498 A JP 2004120498A
Authority
JP
Japan
Prior art keywords
source address
packet
illegal access
access traffic
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002282755A
Other languages
Japanese (ja)
Inventor
Naoaki Yamanaka
山中 直明
Kohei Shiomoto
塩本 公平
Masaru Katayama
片山 勝
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2002282755A priority Critical patent/JP2004120498A/en
Publication of JP2004120498A publication Critical patent/JP2004120498A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To prevent a processing load to invalidate a server that becomes a target and not to increase the traffic to invalidate a network to which the server belongs when avoiding a DOS attack. <P>SOLUTION: Illegal access traffic is excluded at the level of an edge router. When a server detects the illegal access traffic, the server notifies the edge router of the detection of the illegal access traffic, and the edge router excludes the illegal access traffic at the entrance of a network. <P>COPYRIGHT: (C)2004,JPO

Description

【0001】
【発明の属する技術分野】
本発明はIP(Internet Protocol)網におけるDOS攻撃(Denial of Servicesattack)に対処するインターネットセキュリティ向上技術の分野に属する。
【0002】
【従来の技術】
DOS攻撃について図6および図7を参照して簡単に説明する。図6は従来例を説明するためのネットワーク構成図である。図7はDOS攻撃を説明するための通信手順を示す図である。DOS攻撃は、図6に示すように、悪意のあるユーザがサイト端末からネットワーク内のターゲットサーバに対してTCP−SYN(コネクション確立要求)パケットを送出する。これらのTCP−SYNパケットが図7に示すように、3ウェイハンドシェークでTCPセッション確立を試み、この3ウェイハンドシェークのセッション途中で悪意のあるユーザのサイト端末側がセッション放棄する。
【0003】
すなわち、図7において、悪意のあるユーザのサイト端末は▲2▼のTCP−ACK(確認応答)+SYNパケットを受信しても▲3▼のTCP−ACKパケットを出さない。これによりターゲットサーバは、このTCP−ACKパケットの待ち受け状態を続けるので、このようなTCP−SYNパケット攻撃を多数受けるとターゲットサーバは過負荷状態に陥りサーバ機能が停止してしまう。
【0004】
従来のDOS攻撃に対する対応法は図6に示すように、ターゲットサーバは、DOS攻撃を行っていると思われるソースアドレスを学習し、サーバの入口で当該パケットを処理せず、廃棄することが行われている。より具体的に説明すると、TCP−SYNパケットが連続的にターゲットサーバに送りつけられる場合に、そのTCP−SYNパケットの発信元のSA(ソースアドレス)を記憶し、パケットを終端させてSYNパケットを処理することなく廃棄して、サーバへの処理負荷へ影響を与えないようにしている。
【0005】
関連する先行技術の例として、迷惑メールの排除を希望するユーザをあらかじめ登録しておき、この登録されたユーザ宛のメールの配送を一定時間保留し、この保留期間中に宛先不明で返送されるメールに含まれる発信アドレスを記録し、保留されている前記ユーザ宛のメールの中から記録された前記発信アドレスを有するメールの本数を計算し、この計算結果が閾値を超えるときには前記発信アドレスを有する保留されている前記ユーザ宛のメールを廃棄し、廃棄されたメールの発信アドレスを記録し、この記録された発信アドレスを有するメールについては以降廃棄し、廃棄されたメールの発信アドレスを記録し、この記録された発信アドレスを他ルータに通知するものがある(例えば、特願2002−28032号(本願出願時に未公開)参照)。
【0006】
【発明が解決しようとする課題】
このように、従来のDOS攻撃回避方法では、ターゲットサーバの入口でTCP−SYNパケットの廃棄を行う。このため、当該サーバの処理負荷の一部が無効となるTCP−SYNパケットの廃棄のために費やされることは回避できない。
【0007】
また、当該サーバが属するネットワーク内をDOS攻撃のための多量のTCP−SYNパケットが通過することによる無効なトラヒックの増加までは回避できない。
【0008】
なお、前記特願2002−28032号記載の先行技術においてもこれらの問題点の回避については考慮されていない。
【0009】
本発明は、このような背景に行われたものであって、DOS攻撃回避に際し、ターゲットとなったサーバの無効となる処理負荷および当該サーバが属するネットワークの無効となるトラヒックを増加させることのない違法トラヒック防止システムおよびエッジルータおよびサーバを提供することを目的とする。
【0010】
【課題を解決するための手段】
本発明は、悪意のあるユーザからのDOS攻撃に際し、違法アクセストラヒックをエッジルータの段階で排除することを特徴とする。これにより、ターゲットとなったサーバの無効となる処理負荷および当該サーバが属するネットワークの無効となるトラヒックを増加させることのなく、違法アクセストラヒックを排除することができる。
【0011】
本発明の第一の観点は違法トラヒック防止システムであって、本発明の特徴とするところは、ユーザ端末あるいはサーバを収容するエッジルータを備えたネットワークに設けられ、前記サーバからの違法アクセストラヒックの到来通知に基づき当該違法アクセストラヒックが経由する前記エッジルータに対して当該違法アクセストラヒックに属するパケットを廃棄する旨を指示する手段を備えたところにある。
【0012】
前記指示する手段は、前記ネットワークを管理するオペレーションシステムに備えることができる。
【0013】
例えば、このオペレーションシステムが、エッジルータに対して違法アクセストラヒックの送出元アドレスを通知すると、エッジルータでは、それはすなわち当該違法アクセストラヒックに属するパケットを廃棄する旨の指示と解釈するように決めておくことにより、別に廃棄指示コマンド等のメッセージを設ける必要はない。
【0014】
本発明の第二の観点はエッジルータであって、本発明の特徴とするところは、ユーザ端末あるいはサーバを収容するエッジルータを備えたネットワークに設けられ、通知された違法アクセストラヒックの送出元アドレスが自己を経由するパケットの送出元アドレスと一致するか否かを判定する手段と、この判定する手段により自己を経由するパケットの送出元アドレスが違法アクセストラヒックの送出元アドレスと一致したときには当該パケットを廃棄する手段とを備えたところにある。
【0015】
違法アクセストラヒックの送出元アドレスの通知は、例えば、オペレーションシステムからなされる場合もあるし、あるいは、サーバからなされる場合もある。
【0016】
本発明の第三の観点はサーバであって、本発明の特徴とするところは、ユーザ端末あるいはサーバを収容するエッジルータを備えたネットワークに設けられ、違法アクセストラヒックの到来を検出する手段と、当該検出する手段が違法アクセストラヒックの到来を検出したときには当該違法アクセストラヒックの送出元アドレスを書込んだ公告パケットを発出する手段とを備えたところにある。
【0017】
本発明のサーバと本発明のエッジルータとを組合わせることにより、エッジルータではサーバからの公告により自律的に自己を経由するパケットの送出元アドレスが違法アクセストラヒックの送出元アドレスと一致するか否かを判定するので、サーバ側で公告を行うエッジルータを選択する必要はない。したがって、サーバ側で、どのトラヒックがどのエッジルータを経由しているかを把握する必要はなく、制御手順を簡単化することができる。
【0018】
すなわち、サーバが前記公告パケットを発出する場合には、エッジルータは、前記サーバからの違法アクセストラヒックの送出元アドレスを書込んだ公告パケットを受信する手段と、この受信する手段により受信した公告パケットに書込まれた前記送出元アドレスが自己を経由するパケットの送出元アドレスと一致するか否かを判定する手段と、この判定する手段により自己を経由するパケットの送出元アドレスと前記公告パケットに書込まれた送出元アドレスとが一致したときには当該パケットを廃棄する手段とを備えることが望ましい。
【0019】
また、前記検出する手段は、例えば、一定時間のアクセスを送出元アドレス毎に計数する手段と、この計数する手段の計数結果が閾値を超えたか否かを判定する手段と、この判定する手段の判定結果が閾値を超えた送出元アドレスを違法アクセストラヒックの送出元アドレスと断定する手段とを備える。
【0020】
すなわち、DOS攻撃には一般の通信と比較すると異常に多数のTCP−SYNパケットが用いられるので、一定時間のアクセスを送出元アドレス毎に計数して異常にアクセス数が多い送出元アドレスを違法アクセストラヒックの送出元アドレスと断定することができる。
【0021】
これにより、DOS攻撃回避に際し、ターゲットとなったサーバの無効となる処理負荷および当該サーバが属するネットワークの無効となるトラヒックを増加させることのない違法トラヒック防止システムおよびエッジルータおよびサーバを実現することができる。
【0022】
【発明の実施の形態】
(第一実施例)
本発明第一実施例を図1ないし図3を参照して説明する。図1は第一実施例を説明するためのネットワーク構成図である。図2は第一実施例を説明するためのエッジルータ構成図である。図3はサーバでの違法アクセストラヒック検出方法を説明する図である。
【0023】
本実施例は、図1に示すように、ユーザ端末U1、U2あるいはサーバSを収容するエッジルータE1、E2を備えたネットワークに設けられ、サーバSからの違法アクセストラヒックの到来通知に基づき当該違法アクセストラヒックが経由するエッジルータEi(iは1または2)に対して当該違法アクセストラヒックに属するパケットを廃棄する旨を指示するオペレーションシステム10を備えたことを特徴とする違法トラヒック防止システムである。
【0024】
図2に示すように、エッジルータE1、E2は、パケット処理部19に、通知された違法アクセストラヒックの送出元アドレスが自己を経由するパケットの送出元アドレスと一致するか否かを判定し、この判定により自己を経由するパケットの送出元が違法アクセストラヒックの送出元アドレスと一致したときには当該パケットを廃棄するパケットフィルタ部20を備える。なお、正当なパケットはフォワーディング部21によりスイッチ部22に転送され、スイッチ部22により所定の方路にスイッチングされる。
【0025】
サーバSが違法アクセストラヒックを検出する構成としては、図3に示すように、一定時間のアクセスを送出元アドレス毎に計数するカウンタCと、このカウンタCの計数結果が閾値を超えたか否かを判定し、この判定結果が閾値を超えた送出元アドレスを違法アクセストラヒックの送出元アドレスと断定する違法パケット監視部30とを備える。
【0026】
すなわち、サーバSはある特定ユーザからのDOS攻撃等が生じていると思われる場合に、そのSA(ソースアドレス)をオペレーションシステム10へ通知する。オペレーションシステム10では、当該SAの送信元のエッジルータもしくは、全てのエッジルータに対して、当該SAからの全てのパケットもしくは、SAからのTCP−SYNパケット等をフィルタリングするように命令を出す。
【0027】
図2に示したエッジルータでは、インタフェース部にあるパケットフィルタ部20に対して、当該SAパケットを廃棄するようにフィルタ設定を行う。
【0028】
このことにより、サーバSおよびネットワークは本DOS攻撃の影響を可能な限り少なくでき、ネットワーク内の無効負荷も低減される。
【0029】
連続パケットをサーバSで検出するのは、図3のようなサーバSの構成による。サーバSでは、例えばTCP−SYNのパケットが送られてきているSAアドレスを違法パケット監視部30で抽出する。
【0030】
違法パケット監視部30では、周期的にリセットされるカウンタCによりTCP−SYNを送っているSAのログをカウントしている。例ではSA#2は、5566と異常な数を送っており、閾値により、SA#2は違法アクセストラヒックの送出元アドレスと見なせる。
【0031】
例では、SAであるが、アタックされているDA(ディスティネーションアドレス)および、アタックの種類であるTCP−SYNを通知し、エッジルータでそれらのパケットを廃棄することも考えられる。
【0032】
(第二実施例)
第二実施例を図4および図5を参照して説明する。図4は第二実施例を説明するためのネットワーク構成図である。図5は第二実施例を説明するためのエッジルータ構成図である。第二実施例は、第一実施例で説明したように、図3に示す違法アクセストラヒックの到来を検出する違法パケット監視部30を備えたサーバSである。第二実施例のサーバSは、当該違法パケット監視部30が違法アクセストラヒックの到来を検出したときには当該違法アクセストラヒックの送出元アドレスを書込んだ公告パケットを発出する。
【0033】
第二実施例のエッジルータE1、E2は、サーバSからの違法アクセストラヒックの送出元アドレスを書込んだ公告パケットを受信する廃棄命令パケット終端部Rと、この廃棄命令パケット終端部Rにより受信した公告パケットに書込まれた前記送出元アドレスが自己を経由するパケットの送出元アドレスと一致するか否かを判定し、この判定により自己を経由するパケットの送出元アドレスと前記公告パケットに書込まれた送出元アドレスとが一致したときには当該パケットを廃棄するパケットフィルタ部20とを備える。なお、正当なパケットはフォワーディング部21によりスイッチ部22に転送され、スイッチ部22により所定の方路にスイッチングされる。
【0034】
すなわち、DOS攻撃を発見したサーバSは、ネットワークに対してDOS攻撃を行っていると思われるSAを記載した“廃棄命令パケット”をブロードキャストする。本パケットは全てのエッジルータE1、E2に到着する。エッジルータE1、E2では廃棄命令パケット終端部Rで違法アクセストラヒックの送出元アドレスを抽出し、ユーザ側のインタフェースボードのパケットフィルタ部20に当該違法アクセストラヒックのパケットを廃棄すべくフィルタ設定する。以降の処理は第一実施例と同様である。
【0035】
ブロードキャストパケットにSAを記載した例を示したが、アタックされているDAおよびアタックの種類であるTCP−SYNを記入し、一定期間廃棄したり、レート制御により、絶対量を制御することも可能である。
【0036】
【発明の効果】
以上説明したように、本発明によれば、DOS攻撃回避に際し、ターゲットとなったサーバの無効となる処理負荷および当該サーバが属するネットワークの無効となるトラヒックを増加させることのない違法トラヒック防止システムおよびエッジルータおよびサーバを実現することができる。
【図面の簡単な説明】
【図1】第一実施例を説明するためのネットワーク構成図。
【図2】第一実施例を説明するためのエッジルータ構成図。
【図3】サーバでの違法アクセストラヒック検出方法を説明する図。
【図4】第二実施例を説明するためのネットワーク構成図。
【図5】第二実施例を説明するためのエッジルータ構成図。
【図6】従来例を説明するためのネットワーク構成図。
【図7】DOS攻撃を説明するための通信手順を示す図。
【符号の説明】
10 オペレーションシステム
19 パケット処理部
20 パケットフィルタ部
21 フォワーディング部
22 スイッチ部
30 違法パケット監視部
C カウンタ
E1、E2 エッジルータ
R 廃棄命令パケット終端部
S サーバ
U1、U2 ユーザ端末[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention belongs to the field of technology for improving Internet security against DOS attacks (Denial of Services attack) in an IP (Internet Protocol) network.
[0002]
[Prior art]
The DOS attack will be briefly described with reference to FIGS. FIG. 6 is a network configuration diagram for explaining a conventional example. FIG. 7 is a diagram showing a communication procedure for explaining a DOS attack. In the DOS attack, as shown in FIG. 6, a malicious user sends a TCP-SYN (connection establishment request) packet from a site terminal to a target server in a network. As shown in FIG. 7, these TCP-SYN packets attempt to establish a TCP session by a three-way handshake, and the site terminal of a malicious user abandons the session during the session of the three-way handshake.
[0003]
That is, in FIG. 7, even if the malicious user's site terminal receives the TCP-ACK (acknowledgement) + SYN packet of (2), it does not output the TCP-ACK packet of (3). As a result, the target server keeps waiting for the TCP-ACK packet. Therefore, if a large number of such TCP-SYN packet attacks are received, the target server is overloaded and the server function is stopped.
[0004]
As shown in FIG. 6, the conventional method for responding to a DOS attack is that the target server learns the source address that seems to be performing the DOS attack and discards the packet at the entrance of the server without processing the packet. Have been More specifically, when the TCP-SYN packet is continuously sent to the target server, the SA (source address) of the source of the TCP-SYN packet is stored, the packet is terminated, and the SYN packet is transmitted. They are discarded without processing so that the processing load on the server is not affected.
[0005]
As an example of related prior art, a user who wishes to eliminate spam is registered in advance, mail delivery to the registered user is suspended for a certain period of time, and the mail is returned with an unknown destination during this suspension period. The sending address included in the mail is recorded, and the number of mails having the sending address recorded from the held mails addressed to the user is calculated, and when the calculation result exceeds a threshold, the mail has the sending address. Discard the mail addressed to the user on hold, record the sending address of the discarded mail, discard the mail having the recorded sending address thereafter, record the sending address of the discarded mail, There is a router that notifies the other router of the recorded transmission address (for example, Japanese Patent Application No. 2002-28032 (unpublished at the time of filing the present application). ) Reference).
[0006]
[Problems to be solved by the invention]
As described above, in the conventional DOS attack avoidance method, the TCP-SYN packet is discarded at the entrance of the target server. Therefore, it cannot be avoided that a part of the processing load of the server is used for discarding the TCP-SYN packet that becomes invalid.
[0007]
Further, it is impossible to avoid an increase in invalid traffic due to a large amount of TCP-SYN packets for a DOS attack passing through the network to which the server belongs.
[0008]
The prior art described in Japanese Patent Application No. 2002-28032 does not consider avoiding these problems.
[0009]
The present invention has been made in such a background, and does not increase the invalid processing load of a target server and the invalid traffic of a network to which the server belongs in avoiding a DOS attack. It is an object to provide an illegal traffic prevention system and an edge router and a server.
[0010]
[Means for Solving the Problems]
The present invention is characterized in that, in the case of a DOS attack from a malicious user, illegal access traffic is eliminated at the edge router stage. This makes it possible to eliminate illegal access traffic without increasing the invalid processing load of the target server and the invalid traffic of the network to which the server belongs.
[0011]
A first aspect of the present invention is an illegal traffic prevention system, which is characterized in that the present invention is provided in a network provided with an edge router accommodating a user terminal or a server, and detects illegal access traffic from the server. There is provided means for instructing the edge router, through which the illegal access traffic passes, to discard packets belonging to the illegal access traffic based on the arrival notification.
[0012]
The instruction means may be provided in an operation system for managing the network.
[0013]
For example, when the operating system notifies the edge router of the source address of the illegal access traffic, the edge router decides to interpret it as an instruction to discard the packet belonging to the illegal access traffic. Thus, there is no need to separately provide a message such as a discard instruction command.
[0014]
A second aspect of the present invention is an edge router. The feature of the present invention resides in a network provided with an edge router accommodating a user terminal or a server, and a source address of illegal access traffic notified. Means for determining whether or not the packet matches the source address of the packet passing through the self. If the source address of the packet passing through the self matches the source address of the illegal access traffic, And means for discarding it.
[0015]
The notification of the source address of the illegal access traffic may be made from, for example, an operating system or may be made from a server.
[0016]
A third aspect of the present invention is a server, a feature of the present invention is provided in a network provided with an edge router accommodating a user terminal or a server, means for detecting the arrival of illegal access traffic, When the detecting means detects the arrival of the illegal access traffic, there is provided a means for issuing a notice packet in which the source address of the illegal access traffic is written.
[0017]
By combining the server of the present invention with the edge router of the present invention, the edge router determines whether or not the source address of the packet passing through itself autonomously by the advertisement from the server matches the source address of the illegal access traffic. Therefore, it is not necessary to select an edge router that performs advertisement on the server side. Therefore, it is not necessary for the server to know which traffic passes through which edge router, and the control procedure can be simplified.
[0018]
That is, when the server issues the advertisement packet, the edge router receives the advertisement packet in which the source address of the illegal access traffic from the server is written, and the advertisement packet received by the receiving means. Means for judging whether or not the source address written in the packet coincides with the source address of the packet passing therethrough; and It is desirable to have means for discarding the packet when the written source address matches.
[0019]
The detecting means may include, for example, means for counting accesses for a fixed time for each transmission source address, means for determining whether or not the counting result of the means for counting exceeds a threshold value, and means for determining Means for determining a source address whose determination result exceeds a threshold value as a source address of illegal access traffic.
[0020]
That is, since an abnormally large number of TCP-SYN packets are used in a DOS attack as compared with general communication, access for a fixed time is counted for each source address, and a source address having an abnormally large number of accesses is illegally accessed. This can be determined as the source address of the traffic.
[0021]
Accordingly, it is possible to realize an illegal traffic prevention system, an edge router, and a server that do not increase the invalid processing load of a target server and the invalid traffic of a network to which the server belongs in avoiding a DOS attack. it can.
[0022]
BEST MODE FOR CARRYING OUT THE INVENTION
(First embodiment)
A first embodiment of the present invention will be described with reference to FIGS. FIG. 1 is a network configuration diagram for explaining the first embodiment. FIG. 2 is an edge router configuration diagram for explaining the first embodiment. FIG. 3 is a diagram illustrating a method for detecting illegal access traffic in a server.
[0023]
As shown in FIG. 1, the present embodiment is provided in a network provided with edge routers E1, E2 accommodating user terminals U1, U2 or a server S, and based on the notification of illegal access traffic from the server S, An illegal traffic prevention system comprising an operation system for instructing an edge router Ei (i is 1 or 2) through which access traffic passes to discard a packet belonging to the illegal access traffic.
[0024]
As shown in FIG. 2, the edge routers E1 and E2 determine to the packet processing unit 19 whether or not the notified source address of the illegal access traffic matches the source address of the packet passing therethrough. A packet filter unit 20 is provided which discards a packet passing through itself when the transmission source of the packet coincides with the transmission source address of the illegal access traffic. The valid packet is transferred to the switch unit 22 by the forwarding unit 21 and is switched to a predetermined route by the switch unit 22.
[0025]
As a configuration in which the server S detects illegal access traffic, as shown in FIG. 3, a counter C for counting access for a fixed time for each transmission source address, and whether or not the counting result of the counter C exceeds a threshold value is determined. It is provided with an illegal packet monitoring unit 30 that makes a determination and determines a source address whose determination result exceeds a threshold value as a source address of illegal access traffic.
[0026]
That is, when it is considered that a DOS attack or the like from a specific user has occurred, the server S notifies the operation system 10 of the SA (source address). The operation system 10 issues an instruction to the source edge router or all edge routers of the SA to filter all packets from the SA or TCP-SYN packets from the SA.
[0027]
In the edge router shown in FIG. 2, filter setting is performed on the packet filter unit 20 in the interface unit so as to discard the SA packet.
[0028]
As a result, the server S and the network can be less affected by the DOS attack as much as possible, and the ineffective load in the network is also reduced.
[0029]
The detection of continuous packets by the server S is based on the configuration of the server S as shown in FIG. In the server S, for example, the illegal packet monitoring unit 30 extracts the SA address to which the TCP-SYN packet is sent.
[0030]
The illegal packet monitoring unit 30 counts the log of the SA sending TCP-SYN by the counter C that is periodically reset. In the example, SA # 2 has sent an abnormal number of 5566, and the threshold value allows SA # 2 to be regarded as the source address of illegal access traffic.
[0031]
In the example, it is an SA, but it is also conceivable to notify the attacked DA (destination address) and the type of attack, TCP-SYN, and discard those packets at the edge router.
[0032]
(Second embodiment)
A second embodiment will be described with reference to FIGS. FIG. 4 is a network configuration diagram for explaining the second embodiment. FIG. 5 is an edge router configuration diagram for explaining the second embodiment. As described in the first embodiment, the second embodiment is a server S including the illegal packet monitoring unit 30 for detecting the arrival of the illegal access traffic shown in FIG. When the illegal packet monitoring unit 30 detects the arrival of illegal access traffic, the server S of the second embodiment issues a notice packet in which the source address of the illegal access traffic is written.
[0033]
The edge routers E1 and E2 of the second embodiment receive a discard command packet terminator R for receiving a notice packet in which the source address of the illegal access traffic from the server S has been written, and the discard command packet terminator R receives the packet. It is determined whether or not the transmission source address written in the notification packet matches the transmission source address of the packet passing through itself, and by this determination, the transmission source address of the packet passing through itself and the notification packet are written. And a packet filter unit 20 for discarding the packet when the transmitted source address matches. The valid packet is transferred to the switch unit 22 by the forwarding unit 21 and is switched to a predetermined route by the switch unit 22.
[0034]
That is, the server S that discovers the DOS attack broadcasts a “discard command packet” that describes the SA that seems to be performing the DOS attack on the network. This packet arrives at all edge routers E1 and E2. In the edge routers E1 and E2, the source address of the illegal access traffic is extracted by the discard instruction packet terminating unit R, and a filter is set in the packet filter unit 20 of the user-side interface board so as to discard the packet of the illegal access traffic. Subsequent processing is the same as in the first embodiment.
[0035]
Although the example in which the SA is described in the broadcast packet is shown, the DA that is being attacked and the type of attack, TCP-SYN, can be entered and discarded for a certain period, or the absolute amount can be controlled by rate control. is there.
[0036]
【The invention's effect】
As described above, according to the present invention, when avoiding a DOS attack, an illegal traffic prevention system that does not increase the invalid processing load of the target server and the invalid traffic of the network to which the server belongs is provided. An edge router and a server can be realized.
[Brief description of the drawings]
FIG. 1 is a network configuration diagram for explaining a first embodiment.
FIG. 2 is a configuration diagram of an edge router for explaining the first embodiment.
FIG. 3 is a diagram illustrating a method for detecting illegal access traffic in a server.
FIG. 4 is a network configuration diagram for explaining a second embodiment.
FIG. 5 is a configuration diagram of an edge router for explaining a second embodiment;
FIG. 6 is a network configuration diagram for explaining a conventional example.
FIG. 7 is a diagram showing a communication procedure for explaining a DOS attack.
[Explanation of symbols]
Reference Signs List 10 operation system 19 packet processing unit 20 packet filter unit 21 forwarding unit 22 switch unit 30 illegal packet monitoring unit C counter E1, E2 edge router R discard command packet termination unit S server U1, U2 user terminal

Claims (6)

ユーザ端末あるいはサーバを収容するエッジルータを備えたネットワークに設けられ、
前記サーバからの違法アクセストラヒックの到来通知に基づき当該違法アクセストラヒックが経由する前記エッジルータに対して当該違法アクセストラヒックに属するパケットを廃棄する旨を指示する手段を備えた
ことを特徴とする違法トラヒック防止システム。Installed in a network with an edge router that houses user terminals or servers,
Means for instructing the edge router through which the illegal access traffic passes to discard packets belonging to the illegal access traffic based on the notification of arrival of the illegal access traffic from the server. Prevention system. 前記指示する手段は、前記ネットワークを管理するオペレーションシステムに設けられた請求項1記載の違法トラヒック防止システム。2. The illegal traffic prevention system according to claim 1, wherein the instruction unit is provided in an operation system that manages the network. ユーザ端末あるいはサーバを収容するエッジルータを備えたネットワークに設けられ、
通知された違法アクセストラヒックの送出元アドレスが自己を経由するパケットの送出元アドレスと一致するか否かを判定する手段と、
この判定する手段により自己を経由するパケットの送出元が違法アクセストラヒックの送出元アドレスと一致したときには当該パケットを廃棄する手段と
を備えたことを特徴とするエッジルータ。Installed in a network with an edge router that houses user terminals or servers,
Means for determining whether or not the source address of the notified illegal access traffic matches the source address of the packet passing through the self;
An edge router comprising means for discarding a packet passing through itself when the source of the packet matches the source address of the illegal access traffic. ユーザ端末あるいはサーバを収容するエッジルータを備えたネットワークに設けられ、
違法アクセストラヒックの到来を検出する手段と、
当該検出する手段が違法アクセストラヒックの到来を検出したときには当該違法アクセストラヒックの送出元アドレスを書込んだ公告パケットを発出する手段と
を備えたことを特徴とするサーバ。Installed in a network with an edge router that houses user terminals or servers,
Means for detecting the arrival of illegal access traffic;
And a means for issuing a notification packet in which the source address of the illegal access traffic is written when the detecting means detects the arrival of the illegal access traffic. 前記検出する手段は、
一定時間のアクセスを送出元アドレス毎に計数する手段と、
この計数する手段の計数結果が閾値を超えたか否かを判定する手段と、
この判定する手段の判定結果が閾値を超えた送出元アドレスを違法アクセストラヒックの送出元アドレスと断定する手段と
を備えた請求項4記載のサーバ。The means for detecting,
Means for counting accesses for a fixed time for each source address,
Means for determining whether the counting result of the counting means has exceeded a threshold,
5. The server according to claim 4, further comprising: means for determining a source address whose determination result exceeds a threshold as a source address of illegal access traffic. ユーザ端末あるいはサーバを収容するエッジルータを備えたネットワークに設けられ、
前記サーバからの違法アクセストラヒックの送出元アドレスを書込んだ公告パケットを受信する手段と、
この受信する手段により受信した公告パケットに書込まれた前記送出元アドレスが自己を経由するパケットの送出元アドレスと一致するか否かを判定する手段と、
この判定する手段により自己を経由するパケットの送出元アドレスと前記公告パケットに書込まれた送出元アドレスとが一致したときには当該パケットを廃棄する手段と
を備えたことを特徴とするエッジルータ。Installed in a network with an edge router that houses user terminals or servers,
Means for receiving a notification packet in which a source address of illegal access traffic from the server is written;
Means for determining whether or not the source address written in the notification packet received by the receiving means matches the source address of the packet passing through itself;
An edge router comprising: means for discarding a packet when the source address of a packet passing through itself and the source address written in the notification packet match by the determining means.
JP2002282755A 2002-09-27 2002-09-27 System for preventing illegal traffic, server and edge router Pending JP2004120498A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002282755A JP2004120498A (en) 2002-09-27 2002-09-27 System for preventing illegal traffic, server and edge router

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002282755A JP2004120498A (en) 2002-09-27 2002-09-27 System for preventing illegal traffic, server and edge router

Publications (1)

Publication Number Publication Date
JP2004120498A true JP2004120498A (en) 2004-04-15

Family

ID=32276820

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002282755A Pending JP2004120498A (en) 2002-09-27 2002-09-27 System for preventing illegal traffic, server and edge router

Country Status (1)

Country Link
JP (1) JP2004120498A (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006165910A (en) * 2004-12-06 2006-06-22 Mitsubishi Electric Corp Illegal intrusion detection system, illegal intrusion detection device and management device
JP2006209505A (en) * 2005-01-28 2006-08-10 Nec Personal Products Co Ltd Management apparatus, management method, information processor, method for reporting information, and program
JP2006345014A (en) * 2005-06-07 2006-12-21 Nippon Telegr & Teleph Corp <Ntt> System and method for protecting offensive traffic
JP2009504099A (en) * 2005-08-05 2009-01-29 ルーセント テクノロジーズ インコーポレーテッド Method of defending against DoS attack by target victim self-identification and control in IP network
JP2009527957A (en) * 2006-02-21 2009-07-30 ノキア シーメンス ネットワークス ゲゼルシャフト ミット ベシュレンクテル ハフツング ウント コンパニー コマンディトゲゼルシャフト Centralized congestion avoidance in passive optical networks
JP2011035932A (en) * 2005-05-20 2011-02-17 Alaxala Networks Corp Network controller and controlling method thereof

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006165910A (en) * 2004-12-06 2006-06-22 Mitsubishi Electric Corp Illegal intrusion detection system, illegal intrusion detection device and management device
JP2006209505A (en) * 2005-01-28 2006-08-10 Nec Personal Products Co Ltd Management apparatus, management method, information processor, method for reporting information, and program
JP2011035932A (en) * 2005-05-20 2011-02-17 Alaxala Networks Corp Network controller and controlling method thereof
JP2006345014A (en) * 2005-06-07 2006-12-21 Nippon Telegr & Teleph Corp <Ntt> System and method for protecting offensive traffic
JP2009504099A (en) * 2005-08-05 2009-01-29 ルーセント テクノロジーズ インコーポレーテッド Method of defending against DoS attack by target victim self-identification and control in IP network
JP4768020B2 (en) * 2005-08-05 2011-09-07 アルカテル−ルーセント ユーエスエー インコーポレーテッド Method of defending against DoS attack by target victim self-identification and control in IP network
KR101067781B1 (en) 2005-08-05 2011-09-27 알카텔-루센트 유에스에이 인코포레이티드 Method and apparatus for defending against denial of service attacks in IP networks by target victim self-identification and control
JP2009527957A (en) * 2006-02-21 2009-07-30 ノキア シーメンス ネットワークス ゲゼルシャフト ミット ベシュレンクテル ハフツング ウント コンパニー コマンディトゲゼルシャフト Centralized congestion avoidance in passive optical networks

Similar Documents

Publication Publication Date Title
US8370937B2 (en) Handling of DDoS attacks from NAT or proxy devices
US7284272B2 (en) Secret hashing for TCP SYN/FIN correspondence
US7870611B2 (en) System method and apparatus for service attack detection on a network
US20060212572A1 (en) Protecting against malicious traffic
US7373663B2 (en) Secret hashing for TCP SYN/FIN correspondence
US20130212679A1 (en) PROACTIVE TEST-BASED DIFFERENTIATION METHOD AND SYSTEM TO MITIGATE LOW RATE DoS ATTACKS
US7818795B1 (en) Per-port protection against denial-of-service and distributed denial-of-service attacks
US20060256729A1 (en) Method and apparatus for identifying and disabling worms in communication networks
US8320249B2 (en) Method and system for controlling network access on a per-flow basis
US7680062B2 (en) Apparatus and method for controlling abnormal traffic
KR20120060655A (en) Routing Method And Apparatus For Detecting Server Attacking And Network Using Method Thereof
KR20190053540A (en) System of defensing against Slow HTTP DDoS attack based on SDN and method thereof
US8301712B1 (en) System and method for protecting mail servers from mail flood attacks
WO2014075485A1 (en) Processing method for network address translation technology, nat device and bng device
WO2003050644A2 (en) Protecting against malicious traffic
EP1461704B1 (en) Protecting against malicious traffic
JP2004120498A (en) System for preventing illegal traffic, server and edge router
JP3643087B2 (en) Communication network, router and distributed denial-of-service attack detection protection method
JP2006100874A (en) Defense method against application type denial of service attack, and edge router
JP2007259223A (en) Defense system and method against illegal access on network, and program therefor
JP2006067078A (en) Network system and attack defense method
JP2008178100A (en) Method for protecting computer network against packet flood
US8646081B1 (en) Method and system to detect a security event in a packet flow and block the packet flow at an egress point in a communication network
JP2004164107A (en) Unauthorized access monitoring system
Fowler et al. Impact of denial of service solutions on network quality of service

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040804

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060206

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060404

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20061121