JP2006501527A - ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃の確認と防御のための方法、データキャリア、コンピュータシステム、およびコンピュータプログラム - Google Patents
ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃の確認と防御のための方法、データキャリア、コンピュータシステム、およびコンピュータプログラム Download PDFInfo
- Publication number
- JP2006501527A JP2006501527A JP2003521579A JP2003521579A JP2006501527A JP 2006501527 A JP2006501527 A JP 2006501527A JP 2003521579 A JP2003521579 A JP 2003521579A JP 2003521579 A JP2003521579 A JP 2003521579A JP 2006501527 A JP2006501527 A JP 2006501527A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- network
- target system
- attacks
- packets
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
【解決手段】 本発明は、コンピュータネットワークに統合することが可能でコンピュータプログラムを有する電子装置(4)を用い、ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃を確認し防御するための方法に関するものであり、また、当該方法を実行するためのコンピュータプログラムを含むデータキャリアに関するものである。本発明はまた、インターネット(6)、イントラネットあるいはそれに類するネットワークに接続され、サーバコンピュータ(2)またはクライアントコンピュータとして設定される一台あるいは複数のコンピュータを有するコンピュータシステムに関するものであり、また、サーバシステムに対する攻撃の確認と防御のためのコンピュータプログラムコードを含むコンピュータプログラムに関するものである。本発明は、DoSおよびDDoS攻撃(フラッド攻撃)からの保護、リンクレベル・セキュリティ、有効なIPヘッダーの検証、IPパケットの特徴の検証、TCP/IPフィンガープリンティング保護、すべてのUDPネットワーク・パケットのブロック、特定の外部IPアドレスの除外、パケットレベルのファイアウォール機能、ターゲットシステムのアクセス可能なサービスの保護を有する。本発明はDoSおよびDDoS攻撃に対する可能な最高レベルのセキュリティと保護を提供する。
Description
− DoSおよびDDoS攻撃(フラッド攻撃)に対する保護であり、前記において、
− あらゆるIP Syn(IP接続設定要求)は、そのIPプロトコルに指定されている時間制約を維持するために受け付けられ、Syn/Ackの応答を受けるが、受け付けられたSynパケットについては、有効性とそのターゲットシステムで入手可能なサービスが確認される。そして、
− その確認が無事終わり、その一方で、外部にあり照会を求めているシステムによって次に送られるAckおよびその結果生じる有効なデータパケットが受け取られると、前記のターゲットシステムの接続設定が開始され、受け取られたデータパケットはさらなる処理のために前記のターゲットシステムに配送される。および/または、
− リンクレベル・セキュリティであり、前記において確認対象のデータパケットがOSIレベル2(リンクレベル)から直接採用されている。および/または、
− 有効なIPヘッダーの検証であり、ターゲットシステムに転送される前に各IPパケットの構造の有効性が確認され、無効なIPパケットがすべて拒否される。および/または、
− IPパケットの検証であり、特にIPパケットの構造に照らしたTCPあるいはIPヘッダー内の情報整合性のためにIPパケットの長さとチェックサムを確認することによる検証である。および/または、
− TCP/IPフィンガープリンティング保護であり、典型的なプロトコル識別名を使うことによって、保護されたシステムから、外部にあり照会を求めているシステムに応答として出されるデータ・トラフィックが無効にされる。および/または、
− 保護されているシステムに対するUDP(ユーザデータ・プロトコル)ネットワーク・プロトコルを介した攻撃を防ぐためにUDPネットワーク・パケットをすべてブロックすることであり、そうすることにより、UDPを介してアクセス可能な要求されているサービスがターゲットとされた方法で登録およびリリースされ、前記においてメッセージはこれらのUDPポートには明白に承認されるが、残りのポートは閉鎖されたままである。および/または、
− ICMP(インターネット・コントロール・メッセージ)の長さ上の制限であり、前記においてICMPのメッセージは定められた最長の長さによってのみ有効なデータパケットとして確認され、この長さから外れるICMPパケットはすべて拒否される。および/または、
− ターゲットシステムとの通信から特定の外部IPアドレスを除外すること。および/または、
− パケットレベルのファイアウォール機能であり、前記において、入信および送信されるIPパケットは自由に定義可能な規則によって検証され、これらの規則に基づいてターゲットシステムに拒否されるか転送される。および/または、
− 特定のサービスおよび/またはユーザを除外すること、および/または他のサーバにサービス照会を転送することにより、ターゲットシステムのアクセス可能なサービスを保護すること。
− DoSおよびDDoS攻撃(フラッド攻撃)に対する保護であり、前記において、
− あらゆるIP Syn(IP接続設定要求)は、IPプロトコルに指定されている時間制約を維持するために受け付けられ、Syn/Ackの応答を受けるが、受け付けられたSynパケットについては、有効性およびターゲットシステムで入手可能なサービスが確認される。また、
− その確認が無事終わり、その一方で、外部にあり照会を求めているシステムによって次に送られるAckおよびその結果生じる有効なデータパケットが受け取られると、前記のターゲットシステムの接続設定が開始され、受け取られたデータパケットはさらなる処理のために前記のターゲットシステムに配送される。および/または、
− リンクレベル・セキュリティであり、前記において確認対象のデータパケットがOSIレベル2(リンクレベル)から直接採用されている。および/または、
− 有効なIPヘッダーの検証であり、ターゲットシステムに転送される前に各IPパケットの構造の有効性が確認され、無効なIPパケットがすべて拒否される。および/または、
− IPパケットの検証であり、特にIPパケットの構造に照らしたTCPあるいはIPヘッダー内の情報整合性のためにIPパケットの長さとチェックサムを確認することによる検証である。および/または、
− TCP/IPフィンガープリンティング保護であり、典型的なプロトコル識別名を使うことによって、保護されたシステムから、外部にあり照会を求めているシステムに応答として出されるデータ・トラフィックが無効にされる。および/または、
− 保護されているシステムに対するUDP(ユーザデータ・プロトコル)ネットワーク・プロトコルを介した攻撃を防ぐためにUDPネットワーク・パケットをすべてブロックすることであり、そうすることにより、UDPを介してアクセス可能な要求されているサービスがターゲットとされた方法で登録およびリリースされ、前記においてメッセージはこれらのUDPポートには明白に承認されるが、残りのポートは閉鎖されたままである。および/または、
− ICMP(インターネット・コントロール・メッセージ)の長さ上の制限であり、前記においてICMPのメッセージは定められた最長の長さによってのみ有効なデータパケットとして確認され、この長さから外れるICMPパケットはすべて拒否される。および/または、
− ターゲットシステムとの通信から特定の外部IPアドレスを除外すること。および/または、
− パケットレベルのファイアウォール機能であり、前記において、入信および送信されるIPパケットは自由に定義可能な規則によって検証され、これらの規則に基づいてターゲットシステムに拒否されるか転送される。および/または、
− 特定のサービスおよび/またはユーザを除外すること、および/または他のサーバにサービス照会を転送することにより、ターゲットシステムのアクセス可能なサービスを保護すること。
− DoSおよびDDoS攻撃(フラッド攻撃)に対する保護であり、前記において、
− あらゆるIP Syn(IP接続設定要求)は、IPプロトコルに指定されている時間制約を維持するために受け付けられ、Syn/Ackの応答を受けるが、受け付けられたSynパケットについては、有効性およびターゲットシステムで入手可能なサービスが確認される。また、
− その確認が無事終わり、その一方で、外部にあり照会を求めているシステムによって次に送られるAckおよびその結果生じる有効なデータパケットが受け取られると、前記のターゲットシステムの接続設定が開始され、受け取られたデータパケットはさらなる処理のために前記のターゲットシステムに配送される。および/または、
− リンクレベル・セキュリティであり、前記において確認対象のデータパケットがOSIレベル2(リンクレベル)から直接採用されている。および/または、
− 有効なIPヘッダーの検証であり、ターゲットシステムに転送される前に各IPパケットの構造の有効性が確認され、無効なIPパケットがすべて拒否される。および/または、
− IPパケットの検証であり、特にIPパケットの構造に照らしたTCPあるいはIPヘッダー内の情報整合性のためにIPパケットの長さとチェックサムを確認することによる検証である。および/または、
− TCP/IPフィンガープリンティング保護であり、典型的なプロトコル識別名を使うことによって、保護されたシステムから、外部にあり照会を求めているシステムに応答として出されるデータ・トラフィックが無効にされる。および/または、
− 保護されているシステムに対するUDP(ユーザデータ・プロトコル)ネットワーク・プロトコルを介した攻撃を防ぐためにUDPネットワーク・パケットをすべてブロックすることであり、そうすることにより、UDPを介してアクセス可能な要求されているサービスがターゲットとされた方法で登録およびリリースされ、前記においてメッセージはこれらのUDPポートには明白に承認されるが、残りのポートは閉鎖されたままである。および/または、
− ICMP(インターネット・コントロール・メッセージ)の長さ上の制限であり、前記においてICMPのメッセージは定められた最長の長さによってのみ有効なデータパケットとして確認され、この長さから外れるICMPパケットはすべて拒否される。および/または、
− ターゲットシステムとの通信から特定の外部IPアドレスを除外すること。および/または、
− パケットレベルのファイアウォール機能であり、前記において、入信および送信されるIPパケットは自由に定義可能な規則によって検証され、これらの規則に基づいてターゲットシステムに拒否されるか転送される。および/または、
− 特定のサービスおよび/またはユーザを除外すること、および/または他のサーバにサービス照会を転送することにより、ターゲットシステムのアクセス可能なサービスを保護すること。
− DoSおよびDDoS攻撃(フラッド攻撃)に対する保護であり、前記において、
− あらゆるIP Syn(IP接続設定要求)は、IPプロトコルに指定されている時間制約を維持するために受け付けられ、Syn/Ackの応答を受けるが、受け付けられたSynパケットについては、有効性およびターゲットシステムで入手可能なサービスが確認される。また、
− その確認が無事終わり、その一方で、外部にあり照会を求めているシステムによって次に送られるAckおよびその結果生じる有効なデータパケットが受け取られると、前記のターゲットシステムの接続設定が開始され、受け取られたデータパケットはさらなる処理のために前記のターゲットシステムに配送される。および/または、
− リンクレベル・セキュリティであり、前記において確認対象のデータパケットがOSIレベル2(リンクレベル)から直接採用されている。および/または、
− 有効なIPヘッダーの検証であり、ターゲットシステムに転送される前に各IPパケットの構造の有効性が確認され、無効なIPパケットがすべて拒否される。および/または、
− IPパケットの検証であり、特にIPパケットの構造に照らしたTCPあるいはIPヘッダー内の情報整合性のためにIPパケットの長さとチェックサムを確認することによる検証である。および/または、
− TCP/IPフィンガープリンティング保護であり、典型的なプロトコル識別名を使うことによって、保護されたシステムから、外部にあり照会を求めているシステムに応答として出されるデータ・トラフィックが無効にされる。および/または、
− 保護されているシステムに対するUDP(ユーザデータ・プロトコル)ネットワーク・プロトコルを介した攻撃を防ぐためにUDPネットワーク・パケットをすべてブロックすることであり、そうすることにより、UDPを介してアクセス可能な要求されているサービスがターゲットとされた方法で登録およびリリースされ、前記においてメッセージはこれらのUDPポートには明白に承認されるが、残りのポートは閉鎖されたままである。および/または、
− ICMP(インターネット・コントロール・メッセージ)の長さ上の制限であり、前記においてICMPのメッセージは定められた最長の長さによってのみ有効なデータパケットとして確認され、この長さから外れるICMPパケットはすべて拒否される。および/または、
− ターゲットシステムとの通信から特定の外部IPアドレスを除外すること。および/または、
− パケットレベルのファイアウォール機能であり、前記において、入信および送信されるIPパケットは自由に定義可能な規則によって検証され、これらの規則に基づいてターゲットシステムに拒否されるか転送される。および/または、
− 特定のサービスおよび/またはユーザを除外すること、および/または他のサーバにサービス照会を転送することにより、ターゲットシステムのアクセス可能なサービスを保護すること。
2…サーバコンピュータ
3…データライン
4…電子装置
5…ISDNデータライン
6…インターネット
7…ISDN/イーサーネット・データライン
8…イーサーネット・データライン
Claims (10)
- ネットワーク・サービスプロバイダおよびオペレータのサーバーシステムに対する攻撃を確認し防御するための方法であり、コンピュータネットワークに統合することが可能でコンピュータプログラムを有する電子装置を用い、以下の構成要素と工程を特徴とする方法:
− DoSおよびDDoS攻撃(フラッド攻撃)に対する保護であり、ここで、
− あらゆるIP Syn(IP接続設定要求)は、IPプロトコルに指定されている時間制約を維持するために受け付けられ、Syn/Ackの応答を受けるが、受け付けられたSynパケットについては、有効性およびターゲットシステムで入手可能なサービスが確認され、
− その確認が無事終わり、その一方で、外部にあり照会を求めているシステムによって次に送られるAckおよびその結果生じる有効なデータパケットが受け取られると、前記のターゲットシステムの接続設定が開始され、受け取られたデータパケットはさらなる処理のために前記のターゲットシステムに配送されるものであり、および/または、
− リンクレベル・セキュリティであり、前記において確認対象のデータパケットがOSIレベル2(リンクレベル)から直接採用され、および/または、
− 有効なIPヘッダーの検証であり、ターゲットシステムに転送される前に各IPパケットの構造の有効性が確認され、無効なIPパケットがすべて拒否され、および/または、
− IPパケットの検証であり、特にIPパケットの構造に照らしたTCPあるいはIPヘッダー内の情報整合性のためにIPパケットの長さとチェックサムを確認することによる検証であり、および/または、
− TCP/IPフィンガープリンティング保護であり、典型的なプロトコル識別名を使うことによって、保護されたシステムから、外部にあり照会を求めているシステムに応答として出されるデータ・トラフィックが無効にされ、および/または、
− 保護されているシステムに対するUDP(ユーザデータ・プロトコル)ネットワーク・プロトコルを介した攻撃を防ぐためにUDPネットワーク・パケットをすべてブロックすることであり、そうすることにより、UDPを介してアクセス可能な要求されているサービスがターゲットとされた方法で登録およびリリースされ、前記においてメッセージはこれらのUDPポートには明白に承認されるが、残りのポートは閉鎖されたままであり、および/または、
− ICMP(インターネット・コントロール・メッセージ・プロトコル)の長さ上の制限であり、前記においてICMPのメッセージは定められた最長の長さによってのみ有効なデータパケットとして確認され、この長さから外れるICMPパケットはすべて拒否され、および/または、
− ターゲットシステムとの通信から特定の外部IPアドレスを除外し、および/または、
− パケットレベルのファイアウォール機能であり、前記において、入信および送信されるIPパケットは自由に定義可能な規則によって検証され、これらの規則に基づいてターゲットシステムに拒否されるか転送され、および/または、
− 特定のサービスおよび/またはユーザを除外すること、および/または他のサーバにサービス照会を転送することにより、ターゲットシステムのアクセス可能なサービスを保護する。 - 請求項1の方法において、ICMPパケットの長さを制限することにより、無効なICMPパケットの長さは一つの許容可能な長さに絞られることを特徴とする。
- 請求項1の方法において、ICMPパケットの長さを制限することにより、個々のICMPメッセージのタイプが完全にブロックされることを特徴とする。
- 請求項1の方法において、パケットレベルのファイアウォール機能の規則が、特に除外と制限とログ出力に関して、IPパケットの特定の条件に基づいて指定されることを特徴とする。
- 請求項1から4の方法において、管理上の介入が、制御された設定と前記の方法の無制限な機能の保護のために単独のコンソールからかセキュアなネットワーク通信パスを介してのみ行なわれる事を特徴とする。
- 請求項1から5の方法において、ターゲットシステムへのアクセスが自由に定義可能な時間枠によって詳細に制限される事を特徴とする。
- データキャリアであり、ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃を確認し防御するためのコンピュータプログラムを含み、コンピュータネットワークに統合することが可能な電子装置に用いることを目的とし、以下のプログラム段階を特徴とするデータキャリアである:
− DoSおよびDDoS攻撃(フラッド攻撃)に対する保護であり、ここで、
− あらゆるIP Syn(IP接続設定要求)は、IPプロトコルに指定されている時間制約を維持するために受け付けられ、Syn/Ackの応答を受けるが、受け付けられたSynパケットについては、有効性およびターゲットシステムで入手可能なサービスが確認され、
− その確認が無事終わり、その一方で、外部にあり照会を求めているシステムによって次に送られるAckおよびその結果生じる有効なデータパケットが受け取られると、前記のターゲットシステムの接続設定が開始され、受け取られたデータパケットはさらなる処理のために前記のターゲットシステムに配送されるものであり、および/または、
− リンクレベル・セキュリティであり、前記において確認対象のデータパケットがOSIレベル2(リンクレベル)から直接採用され、および/または、
− 有効なIPヘッダーの検証であり、ターゲットシステムに転送される前に各IPパケットの構造の有効性が確認され、無効なIPパケットがすべて拒否され、および/または、
− IPパケットの検証であり、特にIPパケットの構造に照らしたTCPあるいはIPヘッダー内の情報整合性のためにIPパケットの長さとチェックサムを確認することによる検証であり、および/または、
− TCP/IPフィンガープリンティング保護であり、典型的なプロトコル識別名を使うことによって、保護されたシステムから、外部にあり照会を求めているシステムに応答として出されるデータ・トラフィックが無効にされ、および/または、
− 保護されているシステムに対するUDP(ユーザデータ・プロトコル)ネットワーク・プロトコルを介した攻撃を防ぐためにUDPネットワーク・パケットをすべてブロックすることであり、そうすることにより、UDPを介してアクセス可能な要求されているサービスがターゲットとされた方法で登録およびリリースされ、前記においてメッセージはこれらのUDPポートには明白に承認されるが、残りのポートは閉鎖されたままであり、および/または、
− ICMP(インターネット・コントロール・メッセージ)の長さ上の制限であり、前記においてメッセージは定められた最長の長さによってのみ有効なデータパケットとして確認され、この長さから外れるICMPパケットはすべて拒否される。および/または、
− ターゲットシステムとの通信から特定の外部IPアドレスを除外し、および/または、
− パケットレベルのファイアウォール機能であり、前記において、入信および送信されるIPパケットは自由に定義可能な規則によって検証され、これらの規則に基づいてターゲットシステムに拒否されるか転送され、および/または、
− 特定のサービスおよび/またはユーザを除外すること、および/または他のサーバにサービス照会を転送することにより、ターゲットシステムのアクセス可能なサービスを保護する。 - 請求項5のデータキャリアにおいて、EPROMとして設定され、電子装置のコンポーネントであることを特徴とする。
- コンピュータシステムであり、前記のコンピュータシステムはインターネット(6)およびイントラネットに類するネットワークに接続され、サーバコンピュータ(2)またはクライアントコンピュータとして設定された一つ以上のコンピュータを有し、ネットワーク(6)とサーバ(2)の間の保護対象のデータライン(5,7,8)に電子装置(4)が接続され、前記の電子装置が以下のプログラム段階を含むコンピュータプログラムを有することを特徴とする:
− DoSおよびDDoS攻撃(フラッド攻撃)に対する保護であり、前記において、
− あらゆるIP Syn(IP接続設定要求)は、IPプロトコルに指定されている時間制約を維持するために受け付けられ、Syn/Ackの応答を受けるが、受け付けられたSynパケットについては、有効性およびターゲットシステムで入手可能なサービスが確認され、
− その確認が無事終わり、その一方で、外部にあり照会を求めているシステムによって次に送られるAckおよびその結果生じる有効なデータパケットが受け取られると、前記のターゲットシステムの接続設定が開始され、受け取られたデータパケットはさらなる処理のために前記のターゲットシステムに配送されるものであり、および/または、
− リンクレベル・セキュリティであり、前記において確認対象のデータパケットがOSIレベル2(リンクレベル)から直接採用され、および/または、
− 有効なIPヘッダーの検証であり、ターゲットシステムに転送される前に各IPパケットの構造の有効性が確認され、無効なIPパケットがすべて拒否され、および/または、
− IPパケットの検証であり、特にIPパケットの構造に照らしたTCPあるいはIPヘッダー内の情報整合性のためにIPパケットの長さとチェックサムを確認することによる検証であり、および/または、
− TCP/IPフィンガープリンティング保護であり、典型的なプロトコル識別名を使うことによって、保護されたシステムから、外部にあり照会を求めているシステムに応答として出されるデータ・トラフィックが無効にされ、および/または、
− 保護されているシステムに対するUDP(ユーザデータ・プロトコル)ネットワーク・プロトコルを介した攻撃を防ぐためにUDPネットワーク・パケットをすべてブロックすることであり、そうすることにより、UDPを介してアクセス可能な要求されているサービスがターゲットとされた方法で登録およびリリースされ、前記においてメッセージはこれらのUDPポートには明白に承認されるが、残りのポートは閉鎖されたままであり、および/または、
− ICMP(インターネット・コントロール・メッセージ)の長さ上の制限であり、前記においてICMPのメッセージは定められた最長の長さによってのみ有効なデータパケットとして確認され、この長さから外れるICMPパケットはすべて拒否され、および/または、
− ターゲットシステムとの通信から特定の外部IPアドレスを除外し、および/または、
− パケットレベルのファイアウォール機能であり、前記において、入信および送信されるIPパケットは自由に定義可能な規則によって検証され、これらの規則に基づいてターゲットシステムに拒否されるか転送され、および/または、
− 特定のサービスおよび/またはユーザを除外すること、および/または他のサーバにサービス照会を転送することにより、ターゲットシステムのアクセス可能なサービスを保護する。 - コンピュータプログラムであり、ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃を確認し防御するためのコンピュータプログラムコードを含み、コンピュータネットワークに統合することが可能でありこのコンピュータプログラムを含む電子装置を用い、以下のプログラム段階を特徴とするコンピュータプログラムである:
− DoSおよびDDoS攻撃(フラッド攻撃)に対する保護であり、前記において、
− あらゆるIP Syn(IP接続設定要求)は、IPプロトコルに指定されている時間制約を維持するために受け付けられ、Syn/Ackの応答を受けるが、受け付けられたSynパケットについては、有効性およびターゲットシステムで入手可能なサービスが確認され、
− その確認が無事終わり、その一方で、外部にあり照会を求めているシステムによって次に送られるAckおよびその結果生じる有効なデータパケットが受け取られると、前記のターゲットシステムの接続設定が開始され、受け取られたデータパケットはさらなる処理のために前記のターゲットシステムに配送されるものであり、および/または、
− リンクレベル・セキュリティであり、前記において確認対象のデータパケットがOSIレベル2(リンクレベル)から直接採用され、および/または、
− 有効なIPヘッダーの検証であり、ターゲットシステムに転送される前に各IPパケットの構造の有効性が確認され、無効なIPパケットがすべて拒否され、および/または、
− IPパケットの検証であり、特にIPパケットの構造に照らしたTCPあるいはIPヘッダー内の情報整合性のためにIPパケットの長さとチェックサムを確認することによる検証であり、および/または、
− TCP/IPフィンガープリンティング保護であり、典型的なプロトコル識別名を使うことによって、保護されたシステムから、外部にあり照会を求めているシステムに応答として出されるデータ・トラフィックが無効にされ、および/または、
− 保護されているシステムに対するUDP(ユーザデータ・プロトコル)ネットワーク・プロトコルを介した攻撃を防ぐためにUDPネットワーク・パケットをすべてブロックすることであり、そうすることにより、UDPを介してアクセス可能な要求されているサービスがターゲットとされた方法で登録およびリリースされ、前記においてメッセージはこれらのUDPポートには明白に承認されるが、残りのポートは閉鎖されたままであり、および/または、
− ICMP(インターネット・コントロール・メッセージ)の長さ上の制限であり、前記においてICMPのメッセージは定められた最長の長さによってのみ有効なデータパケットとして確認され、この長さから外れるICMPパケットはすべて拒否され、および/または、
− ターゲットシステムとの通信から特定の外部IPアドレスを除外し、および/または、
− パケットレベルのファイアウォール機能であり、前記において、入信および送信されるIPパケットは自由に定義可能な規則によって検証され、これらの規則に基づいてターゲットシステムに拒否されるか転送され、および/または、
− 特定のサービスおよび/またはユーザを除外すること、および/または他のサーバにサービス照会を転送することにより、ターゲットシステムのアクセス可能なサービスを保護する。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CH01459/01A CH693921A5 (de) | 2001-08-07 | 2001-08-07 | Verfahren, Datentraeger, Computersystem und Computerprogrammprodukt zur Erkennung und Abwehr von Angriffen auf Serversysteme von Netzwerk-Diensteanbietern und -betreibern. |
PCT/EP2001/009328 WO2003017613A1 (de) | 2001-08-07 | 2001-08-13 | Verfahren, datenträger, computersystem und computerprogrammprodukt zur erkennung und abwehr von angriffen auf serversysteme von netzwerk-diensteanbietern und -betreibern |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006501527A true JP2006501527A (ja) | 2006-01-12 |
JP2006501527A5 JP2006501527A5 (ja) | 2008-10-16 |
Family
ID=32736765
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003521579A Pending JP2006501527A (ja) | 2001-08-07 | 2001-08-13 | ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃の確認と防御のための方法、データキャリア、コンピュータシステム、およびコンピュータプログラム |
Country Status (10)
Country | Link |
---|---|
EP (1) | EP1464150B1 (ja) |
JP (1) | JP2006501527A (ja) |
AU (1) | AU2001293762B2 (ja) |
CA (1) | CA2456902A1 (ja) |
CH (1) | CH693921A5 (ja) |
DE (1) | DE50108695D1 (ja) |
ES (1) | ES2256298T3 (ja) |
IL (1) | IL160123A0 (ja) |
MX (1) | MXPA04001360A (ja) |
WO (1) | WO2003017613A1 (ja) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7979694B2 (en) * | 2003-03-03 | 2011-07-12 | Cisco Technology, Inc. | Using TCP to authenticate IP source addresses |
CN100380871C (zh) * | 2005-01-26 | 2008-04-09 | 北京大学 | 一种针对分布式拒绝服务攻击的防范***和方法 |
CH700308A2 (de) | 2009-01-22 | 2010-07-30 | Martin Blapp | Ein technisches System in der Hardware oder im Kernel eines E-Mail Gateways, um die Betriebs-Infrastruktur oder das Betriebs-System gegen DDos-Angriffe aus dem Internet zu schützen. |
CN110311925B (zh) * | 2019-07-30 | 2022-06-28 | 百度在线网络技术(北京)有限公司 | DDoS反射型攻击的检测方法及装置、计算机设备与可读介质 |
DE202019106018U1 (de) | 2019-10-30 | 2019-11-11 | Hans-Jürgen Kuhn | Computer-System zur Abwehr eines Angriffs von Schadsoftware durch elektronische Nachrichten |
DE102019129253B4 (de) | 2019-10-30 | 2023-02-09 | Hans-Jürgen Kuhn | Verfahren und Computer-System zur Abwehr eines Angriffes von Schadsoftware durch elektronische Nachrichten |
CN113422787B (zh) * | 2021-08-24 | 2021-11-09 | 广州乐盈信息科技股份有限公司 | 一种用于无源光网络***的智能防攻击方法 |
CN113938388A (zh) * | 2021-10-14 | 2022-01-14 | 工银科技有限公司 | 一种业务接口的参数校验方法及装置 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10136025A (ja) * | 1996-11-01 | 1998-05-22 | Hitachi Software Eng Co Ltd | ネットワーク間通信中継方法および中継装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6738814B1 (en) * | 1998-03-18 | 2004-05-18 | Cisco Technology, Inc. | Method for blocking denial of service and address spoofing attacks on a private network |
-
2001
- 2001-08-07 CH CH01459/01A patent/CH693921A5/de not_active IP Right Cessation
- 2001-08-13 ES ES01974174T patent/ES2256298T3/es not_active Expired - Lifetime
- 2001-08-13 WO PCT/EP2001/009328 patent/WO2003017613A1/de active IP Right Grant
- 2001-08-13 JP JP2003521579A patent/JP2006501527A/ja active Pending
- 2001-08-13 MX MXPA04001360A patent/MXPA04001360A/es active IP Right Grant
- 2001-08-13 CA CA002456902A patent/CA2456902A1/en not_active Abandoned
- 2001-08-13 IL IL16012301A patent/IL160123A0/xx unknown
- 2001-08-13 AU AU2001293762A patent/AU2001293762B2/en not_active Ceased
- 2001-08-13 DE DE50108695T patent/DE50108695D1/de not_active Expired - Lifetime
- 2001-08-13 EP EP01974174A patent/EP1464150B1/de not_active Expired - Lifetime
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10136025A (ja) * | 1996-11-01 | 1998-05-22 | Hitachi Software Eng Co Ltd | ネットワーク間通信中継方法および中継装置 |
Non-Patent Citations (1)
Title |
---|
坂口 裕一: "DDoS攻撃を防ぐ専用機が登場 攻撃パターンを判別して不審な通信を遮断", 日経コンピュータ, vol. 第525号, JPN6010062441, 2 July 2001 (2001-07-02), JP, pages 15, ISSN: 0001765221 * |
Also Published As
Publication number | Publication date |
---|---|
EP1464150A1 (de) | 2004-10-06 |
DE50108695D1 (de) | 2006-04-06 |
CA2456902A1 (en) | 2003-02-27 |
IL160123A0 (en) | 2004-06-20 |
EP1464150B1 (de) | 2006-01-11 |
AU2001293762B2 (en) | 2005-12-22 |
CH693921A5 (de) | 2004-04-15 |
MXPA04001360A (es) | 2005-11-23 |
ES2256298T3 (es) | 2006-07-16 |
WO2003017613A1 (de) | 2003-02-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20030065943A1 (en) | Method and apparatus for recognizing and reacting to denial of service attacks on a computerized network | |
US20040187032A1 (en) | Method, data carrier, computer system and computer progamme for the identification and defence of attacks in server of network service providers and operators | |
US9094372B2 (en) | Multi-method gateway-based network security systems and methods | |
Mirkovic et al. | A taxonomy of DDoS attack and DDoS defense mechanisms | |
Kargl et al. | Protecting web servers from distributed denial of service attacks | |
Geva et al. | Bandwidth distributed denial of service: Attacks and defenses | |
Geer | Malicious bots threaten network security | |
Schneider | The state of network security | |
Kizza | Firewalls | |
JP2006501527A (ja) | ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃の確認と防御のための方法、データキャリア、コンピュータシステム、およびコンピュータプログラム | |
Noureldien et al. | A stateful inspection module architecture | |
Kaeo | Operational Security Current Practices in Internet Service Provider Environments | |
Bossardt et al. | Enhanced Internet security by a distributed traffic control service based on traffic ownership | |
Mavrommatis | Confronting and intrusion detection techniques of cyber-attacks in wired and wireless communication networks | |
Singhal et al. | Design and Development of Anti-DoS/DDoS Attacks Framework Using IPtables | |
Othman | Understanding the various types of denial of service attack | |
Sheikh | Denial of Service | |
Sulaman | An Analysis and Comparison of The Security Features of Firewalls and IDSs | |
Koutepas et al. | Detection and Reaction to Denial of Service Attacks | |
ZA200400908B (en) | Method, data-carrier, computer system and computer programme for the identification and defence of attacks on server systems of network service providers and operators. | |
IL160123A (en) | Method, data carrier, computer system and computer software for detection and protection against attacks on server systems of providers and operators of communication network services | |
Singh et al. | Early Warning System for Distributed Denial of Service Attacks | |
Patil et al. | Comparative Study of IP-Traceback Systems for DoS and DDoS Attacks | |
Mool et al. | Mitigating Denial Of Services Using Secure Overlay Service Model | |
Las | Augmenting Perimeter Security Networks With Cisco Self-Defending Networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20040413 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20050606 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20050606 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050913 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080813 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080813 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080813 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101102 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20101230 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20110112 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110705 |