JP2008252221A - DoS攻撃防御システム、DoS攻撃防御システムにおける攻撃防御方法及びDoS攻撃防御装置 - Google Patents
DoS攻撃防御システム、DoS攻撃防御システムにおける攻撃防御方法及びDoS攻撃防御装置 Download PDFInfo
- Publication number
- JP2008252221A JP2008252221A JP2007087750A JP2007087750A JP2008252221A JP 2008252221 A JP2008252221 A JP 2008252221A JP 2007087750 A JP2007087750 A JP 2007087750A JP 2007087750 A JP2007087750 A JP 2007087750A JP 2008252221 A JP2008252221 A JP 2008252221A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- address
- server
- dos attack
- transmitted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】既存のネットワーク機器に変更を施すことなく、正規の利用者へのサービスを確保しながら、攻撃に対処する。
【解決手段】DoS攻撃防御装置は、通信端末と、ネットワークを介して前記通信端末に接続されるサーバとにおいて、送受信されるパケットを監視する。このDoS攻撃防御装置は、前記パケットを受信するパケット受信手段と、受信した前記パケットに基づいて、当該パケットを送信可能か判断すると共に、送信可能な場合には、当該パケットを送信するパケット送信手段とを備える。これにより、DoS攻撃防御装置は、正規SIP端末の行う登録要求における処理パケットの監視によって正規SIP端末のアドレスを把握しているので、送信元アドレスをパケットごとに変更するような攻撃が行われても、正規のパケットとそれ以外のパケットとを識別することができる。
【選択図】図2
【解決手段】DoS攻撃防御装置は、通信端末と、ネットワークを介して前記通信端末に接続されるサーバとにおいて、送受信されるパケットを監視する。このDoS攻撃防御装置は、前記パケットを受信するパケット受信手段と、受信した前記パケットに基づいて、当該パケットを送信可能か判断すると共に、送信可能な場合には、当該パケットを送信するパケット送信手段とを備える。これにより、DoS攻撃防御装置は、正規SIP端末の行う登録要求における処理パケットの監視によって正規SIP端末のアドレスを把握しているので、送信元アドレスをパケットごとに変更するような攻撃が行われても、正規のパケットとそれ以外のパケットとを識別することができる。
【選択図】図2
Description
本発明は、DoS攻撃防御システム、DoS攻撃防御システムにおけるDoS攻撃防御方法、DoS攻撃防御装置、DoS攻撃防御装置におけるDoS攻撃防御方法及びDoS攻撃防御プログラムに関するものであって、特に、SIPサーバに対するDoS攻撃への対策において、既存のネットワーク機器へ変更を施すことなく、正規の利用者へのサービスを確保しながら、DoS攻撃に対処することを可能にするDoS攻撃防御システム、DoS攻撃防御システムにおけるDoS攻撃防御方法、DoS攻撃防御装置、DoS攻撃防御装置におけるDoS攻撃防御方法及びDoS攻撃防御プログラムに関する。
従来、電話サービスをIP(Internet Protocol)ネットワーク上で実現するVoIP(Voice over Internet Protocol)システムが、コスト削減の可能性などの理由から、普及しつつある。
このVoIPシステムに使用されるプロトコルとして代表的なものが、SIP((Session Initiation Protocol)(RFC3261))である。
しかしながら、IPネットワーク上のWeb(world wide web)システムやメールシステムと同じように、VoIPシステムもネットワークを介した攻撃にさらされる恐れがある。
ネットワークを介した攻撃の代表的なものとしては、DoS(Denial of service)攻撃があげられる。
このDoS攻撃とは、例えば、サーバに対してその処理能力を超える量のリクエストを送ることにより、サービス妨害やサーバダウン(自動復旧不可能なサービス停止状態)を引き起こすものである。
そこで、ネットワークを介してサービスを提供するシステムをDoS攻撃から防御するために、トラフィックの監視などによって、DoS攻撃を受けていることを検出する方法などが提案されている。
そして、攻撃パケット追跡方法や、アクセス管理方法などに関するものが、特許文献1及び2に記載されている。
特開2003−333092号公報
特開2006−025354号公報
ところが、DoS攻撃は、攻撃パケットを特定されブロックされることを避けるために、しばしば送信元アドレスをランダムに詐称したパケットによって行われる。
この場合、攻撃パケットの識別は困難であり、以下のような問題が起きる。
第1の問題点として、攻撃を受けていることを検出できたとしても、正規のパケットと攻撃パケットとを識別できなければ、サーバの処理負荷を低減するためにサーバへ向かうパケットの間引や遮断などの処置を正規のパケットも含めて行わなくてはならなくなり、サーバダウンを避けることはできても、サービス妨害は避けられない。
また、攻撃が送信元アドレスをランダムに詐称したパケットによって行われるような場合には、正規のパケットと攻撃パケットとを識別して遮断する従来の方法として、次のようなものがある。
まず、第1の方法としては、事前に正規の端末を防御システムに登録しておくことにより、正規のパケットと攻撃パケットを判別する。
また、第2の方法としては、攻撃パケットの経路上に存在する装置(ルータ等)との協働により、この装置を用いて攻撃パケットを追跡し対処する。
第1の方法に該当する例としては、守るべきサーバの前段にファイアウォールを設置し、既知の正規端末のアドレスを送信元とするパケットのみの通過を許可するように設定しておくことが考えられる。
しかしながら、このような方法には、次の問題がある。
第2の問題点として、端末のアドレスの変更や新しい端末の導入の都度、登録が必要である。
例えば、DHCP(dynamic host configuration protocol)などにより、端末が動的にIPアドレスを取得するような場合には、端末を登録することが困難となる。
また、第2の方法に該当する例として、先行技術の特許文献1(特開2003−333092号公報)には、以下のような攻撃パケット追跡方法に関するものが記載されている。
特許文献1に記載の攻撃パケット追跡方法に関するものには、DoS攻撃の攻撃対象となるホストのアクセス回線を収容したエッジルータがDoS攻撃を検出すると、次に当該エッジルータが近隣ルータに対して攻撃対象ホスト宛パケットの監視要請を行い、DoS攻撃を検出した近隣ルータが、更に近隣ルータに対して攻撃対象ホスト宛パケットの監視要請を行い、その後、DoS攻撃を検出したルータが、次々と近隣ルータに対して攻撃対象ホスト宛パケットの監視要請を行うことによって攻撃元を追跡する、という方法が提案されている。
しかしながら、このような方法には、次の問題がある。
第3の問題点として、攻撃元から攻撃対象へ至る経路上に、攻撃対策のための特殊な機能を持つ装置を導入し、配置する必要がある。
この場合、攻撃元から攻撃対象までの経路上のネットワークが複数の事業者によって運営されている場合には、複数の事業者の協調が必要となり、現実的でない。
また、特許文献2に記載されたアクセス管理サーバには、ユーザ認証を行うことによってパケットをフィルタリングするものが記載されている。
従って、特許文献2に記載されたアクセス管理サーバは、ユーザ認証によってパケットを許可するか破棄するかを判断しているに過ぎず、DoS攻撃の対象になった場合には、ユーザ認証による判断だけでは、DoS攻撃に対処することができない。
本発明は、上記問題点に鑑みてなされたものであり、既存のネットワーク機器に変更を施すことなく、正規の利用者へのサービスを確保しながら、攻撃に対処するDoS攻撃防御システム、DoS攻撃防御システムにおけるDoS攻撃防御方法、DoS攻撃防御装置、DoS攻撃防御装置におけるDoS攻撃防御方法及びDoS攻撃防御プログラムを実現することを目的とする。
本発明に係るDoS攻撃防御装置は、通信端末と、ネットワークを介して前記通信端末に接続されるサーバとにおいて、送受信されるパケットを監視するDoS攻撃防御装置であって、前記パケットを受信するパケット受信手段と、受信した前記パケットに基づいて、当該パケットを送信可能か判断すると共に、送信可能な場合には、当該パケットを送信するパケット送信手段と、を備えることを特徴とする。
また本発明に係るDoS攻撃防御装置は、前記パケット送信手段が、受信した前記パケットが防御対象であるサーバから送信され、当該パケットが当該サーバへの登録要求に対する認証応答であって成功である場合には、当該パケットの宛先アドレスを記憶すると共に、当該パケットを前記宛先アドレスへ送信し、受信した前記パケットが防御対象である前記サーバから送信され、当該パケットが当該サーバへの登録要求に対する認証応答であって成功でない場合には、当該パケットを前記宛先アドレスへ送信するようにしても良い。
また本発明に係るDoS攻撃防御装置は、前記パケット送信手段が、受信した前記パケットが防御対象である前記サーバから送信されたものではなく、送信元のアドレスが記憶されている場合には、当該パケットを送信し、受信した前記パケットが防御対象である前記サーバから送信されたものではなく、前記送信元のアドレスが記憶されていない場合には、レート閾値を超えていないか検査して、当該レート閾値を超えていない場合には、当該パケットを送信し、受信した前記パケットが防御対象である前記サーバから送信されたものではなく、前記送信元のアドレスが記憶されていない場合には、前記レート閾値を超えていないか検査して、当該レート閾値を超えている場合には、当該パケットを破棄するようにしても良い。
また本発明に係るDoS攻撃防御装置は、前記パケット送信手段が、受信した前記パケットが防御対象である前記サーバから送信されたものではなく、前記送信元のアドレスが記憶されており、前記アドレス毎の前記レート閾値を超えている場合には、当該パケットを破棄し、また、受信した前記パケットが防御対象である前記サーバから送信されたものではなく、前記送信元のアドレスが記憶されておらず、当該サーバへの登録要求ではない場合には、当該パケットを破棄するようにしても良い。
本発明によれば、DoS攻撃防御装置が、通信端末と送受信されるパケットを監視することにより、通信端末のアドレスを把握しているので、送信元アドレスをパケットごとに変更するような攻撃が行われても、正規のパケットとそれ以外のパケットとを識別することができる。
これにより、通信端末やサーバを含む既存のネットワーク上の装置に変更する必要がないので、かくして、既存のネットワーク機器に変更を施すことなく、正規の利用者へのサービスを確保しながら、攻撃に対処するDoS攻撃防御システム、DoS攻撃防御システムにおける攻撃防御方法、DoS攻撃防御装置、DoS攻撃防御装置におけるDoS攻撃防御方法及びDoS攻撃防御プログラムを実現できる。
次に、本発明の実施の形態の構成について図面を参照して詳細に説明する。
(第1の実施の形態)
(1)第1の実施の形態によるDoS攻撃防御装置を備えたDoS攻撃防御システム
(1−1)DoS攻撃防御システムの構成
図1を参照すると、第1の実施の形態によるDoS攻撃防御システムは、正規SIP端末(本発明に係る通信端末に該当する。)1と、攻撃SIP端末2と、防御装置(本発明に係るDoS攻撃防御装置に該当する。)3と、防御対象SIPサーバ4と、外部SIPサーバ5と、外部SIP端末6と、ネットワーク7から9とを備えている。
(第1の実施の形態)
(1)第1の実施の形態によるDoS攻撃防御装置を備えたDoS攻撃防御システム
(1−1)DoS攻撃防御システムの構成
図1を参照すると、第1の実施の形態によるDoS攻撃防御システムは、正規SIP端末(本発明に係る通信端末に該当する。)1と、攻撃SIP端末2と、防御装置(本発明に係るDoS攻撃防御装置に該当する。)3と、防御対象SIPサーバ4と、外部SIPサーバ5と、外部SIP端末6と、ネットワーク7から9とを備えている。
また、正規SIP端末1と、攻撃SIP端末2と、外部SIPサーバ5と、防御装置3は、ネットワーク8に接続される。
外部SIP端末6と、外部SIPサーバ5は、ネットワーク7に接続される。
防御対象SIPサーバ4と、防御装置3は、ネットワーク9に接続される。
正規SIP端末1は、正規の利用者の使用する、例えば、電話機である。なお、本実施の形態では、正規SIP端末1の1台により代表して説明しているが、通常は複数台存在する。
攻撃SIP端末2は、攻撃者の操作する、具体的には、計算機である。攻撃SIP端末2は、防御対象SIPサーバ4に対し、DoS攻撃を行う。
防御装置3は、攻撃SIP端末2の攻撃から、防御対象SIPサーバ4を守る。
また、正規SIP端末1の行う全てのSIP通信は、防御対象SIPサーバ4でのプロキシ処理を経由して行われる。
また、外部SIP端末6の行う全てのSIP通信は、外部SIPサーバ5でのプロキシ処理を経由して行われる。
ここで言うプロキシ処理とは、SIPサーバが、受信したSIPメッセージに情報を追加し、新たなパケットを生成して、SIPメッセージを転送する処理である。
なお、本実施の形態では、外部SIPサーバ5を、既知のアドレスを持つ信用すべきノードを代表するものとして構成に含めている。
なお、防御装置3は、ファイアウォールやIDS(Intrusion Detection System)のように、ルータやブリッジとして実現される。
従って、正規SIP端末1や防御対象SIPサーバ4の上でSIPの処理を行うプログラムからは、防御装置3は見えない。
但し、本実施の形態のように、防御装置3と防御対象SIPサーバ4とを別個の装置とすることが望ましい実施の形態であるが、本実施の形態の防御装置3により実施される処理を行う防御プログラム(本発明に係るDoS攻撃防御プログラムに該当する。)を、防御対象SIPサーバ4上に搭載してもよい。その場合、防御プログラムはOSのカーネル内で実行されることが望ましい。
(1−2)DoS攻撃防御システムにおける防御装置の構成
次に、防御装置3の構成を図2に示す。
(1−2)DoS攻撃防御システムにおける防御装置の構成
次に、防御装置3の構成を図2に示す。
図2に示す防御装置3は、パケット入力部31と、レスポンス解析部32と、アドレス記憶部33と、アドレス検査部34と、パケット出力部35と、レート制限部36と、ネットワークインタフェース301及び302と、アドレス登録部303と、閾値登録部304とを備えている。
ネットワークインタフェース301及び302は、受信したパケットをパケット入力部31へ渡し、また、パケット出力部35より渡されたパケットをネットワーク8又は9へ送出する。
ネットワークインタフェース302は、ネットワーク9に接続され、防御対象SIPサーバ4との間でパケットを送受信する。
ネットワークインタフェース301は、ネットワーク8に接続され、正規SIP端末1、攻撃SIP端末2、外部SIPサーバ5との間でパケットを送受信する。
なお、本実施の形態では、正規SIP端末1、攻撃SIP端末2、外部SIPサーバ5が同じネットワーク8に接続され、それらとパケットの送受信を行う防御装置3上のネットワークインタフェースも301の1つのみとしているが、本実施の形態はこれに限定されるものではなく、正規SIP端末1、攻撃SIP端末2、外部SIPサーバ5のそれぞれが、別個のネットワークに接続され、防御装置3上の別個のネットワークインタフェースと接続されてもよい。
パケット入力部31は、ネットワークインタフェース301または302により、正規SIP端末1、攻撃SIP端末2、防御対象SIPサーバ4、外部SIPサーバ5から送られてきたパケットが渡され、防御対象SIPサーバ4から送られてきたパケットをレスポンス解析部32へ転送し、防御対象SIPサーバ4へ向けて送られたパケットをアドレス検査部34へ渡す。
なお、パケットの方向は、例えば、パケット入力部31にパケットを渡したネットワークインタフェースが301であるのか、或いは、ネットワークインタフェース302であるのかに基づいて知ることができる。
レスポンス解析部32は、受け取ったパケットのペイロードに記載されたSIPメッセージを解析し、それが登録要求に対する認証応答であって成功であれば、登録要求を発行したSIP端末のアドレスをアドレス記憶部33へ登録する。
ここで、登録要求に対する認証応答の成功について、具体例を図3に示す。
図3を参照すると、レスポンスが登録要求に対するものであることは、CSeqヘッダを参照することにより判断できる。具体的には、「REGISTER」により、登録要求に対するものであることを表しており、また、先頭行の「200 OK」により、認証応答が取れ、成功を示すものである。
また、レスポンス解析部32がアドレス記憶部33へ登録するアドレスとしては、認証応答のContactヘッダに記載された値を使用するか、認証応答パケットの宛先アドレスを使用する。
なお、アドレス記憶部33での記憶に有効期限を設けなければ、SIP端末の減少やアドレス変更によって無効となった記憶も残ってしまう。
そこで、例えば、レスポンス解析部32は、認証応答のContactヘッダに設定されたexpireタグから取得した、登録要求の処理自体の有効期間を、アドレス記憶部33における記憶の有効期間として、アドレスとともにアドレス記憶部33へ渡す。
つまり、レスポンス解析部32は、図3のような認証応答の成功を受け取ると、Contactヘッダに設定されたアドレス192.168.1.100、及び、有効期間3600秒、という情報をアドレス記憶部33へ渡す。
そして、アドレス記憶部33は、レスポンス解析部32から渡されたアドレスを、アドレスと共に渡された有効期間の間だけ記憶する。
また、アドレス記憶部33に対して、防御装置3の管理者10が、アドレス登録部303を介して、予め静的にアドレスを登録しておくこともでき、本実施の形態では外部SIPサーバ5のアドレスが登録される。その場合、記憶の有効期間は無期限とする。
次に、アドレス検査部34では、受け取ったパケットの送信元アドレスがアドレス記憶部33に記憶されているかどうかの検査を行い、その送信元アドレスが記憶されていればパケットをパケット出力部35へ渡し、一方、その送信元アドレスが記憶されていない未知のアドレスであればパケットをレート制限部36へ渡す。
パケット出力部35は、受け取ったパケットを、パケットが防御対象SIPサーバ4から送られたものであるか、或いは防御対象SIPサーバ4へ向けて送られたものであるかに応じて、ネットワークインタフェース301または302へ渡す。
レート制限部36は、受け取るパケットのレート、すなわち、時間あたりのパケットの数を計測しており、防御装置3の管理者10が閾値登録部304を介して予め設定した閾値を超えた場合にパケットを破棄し、設定した閾値を超えない場合に、パケットをパケット出力部35へ渡す。
(1−3)DoS攻撃防御システムの全体動作
次に、図4のシーケンスを参照して、第1の実施の形態によるDoS攻撃防御システムの全体動作について、詳細に説明する。
(1−3)DoS攻撃防御システムの全体動作
次に、図4のシーケンスを参照して、第1の実施の形態によるDoS攻撃防御システムの全体動作について、詳細に説明する。
ここで、本実施の形態の動作について、次のシナリオを具体例として用いて説明する。
本実施の形態の動作は、次の3つのステップのシナリオによって動作する。
(1)正規SIP端末1が、登録要求処理パケットによる処理を行う。
(2)攻撃SIP端末2が、防御対象SIPサーバ4に対し、インバイトフラッド攻撃(大量の接続要求送信による攻撃)を開始する。
(3)外部SIP端末6が、正規SIP端末1へ電話をかける。
(1)正規SIP端末1が、登録要求処理パケットによる処理を行う。
(2)攻撃SIP端末2が、防御対象SIPサーバ4に対し、インバイトフラッド攻撃(大量の接続要求送信による攻撃)を開始する。
(3)外部SIP端末6が、正規SIP端末1へ電話をかける。
上記のシナリオにおいて、図1に示したノードの間でやり取りされるSIPメッセージ(要求(リクエスト)、又は応答(レスポンス))のシーケンスを、図4に示す。但し、図4のシーケンスでは、防御装置3は除いている。防御装置3を含めた動作については、後で詳細に記述する。
図4に示すシーケンスにおいて、矢印はノード間でやり取りされるSIPメッセージを示し、矢印の上に、リクエストのメソッド名、または、レスポンスのステータスコード(例えば、200など)と理由フレーズ(成功など)を示す。
図4において、メッセージ送信の箇所に付したステップ番号については、ステップA1からA4が上記シナリオの(1)に相当し、ステップA5が上記シナリオの(2)に相当し、ステップA6からA10が上記シナリオの(3)に相当する。
次に、図4のシーケンスを説明する。
まず、正規SIP端末1が、登録要求を送る(ステップA1)。
それを受け、防御対象SIPサーバ4が、認証がまだ済んでいないことを示す応答として、401認証未済を返す(ステップA2)。その中には、認証のためのデータ(チャレンジ)が含まれる。
それを受け、正規SIP端末1が、登録要求を再送する(ステップA3)。その中には、認証のためのデータ(前記チャレンジに対するレスポンス)が含まれる。
それを受け、防御対象SIPサーバ4が認証を行い、認証が成功すると200成功を返す(ステップA4)。
攻撃SIP端末2が、防御対象SIPサーバ4に対し、大量の接続要求の送信(シナリオ(2)のインバイトフラッド攻撃に相当する。)を開始する(ステップA5)。
ステップA5以降、後述するステップA9に至るまで、及びそれ以降もインバイトフラッド攻撃は続くが、図4では省略している。
また、攻撃SIP端末2の接続要求(ステップA5)に対し、サーバからエラーを示すレスポンスが返される可能性が高いが、図4では省略している。
そして、外部SIP端末6が、正規SIP端末1を呼び出すための接続要求(シナリオ(3)に相当する。)を送信する(ステップA6)。
ステップA6の接続要求は、外部SIPサーバ5及び防御対象SIPサーバ4において、順にプロキシ処理され、正規SIP端末1へ届けられる。
それを受け、正規SIP端末1が、ベルを鳴らすなどによりユーザを呼び出すとともに、呼び出し中であることを外部SIP端末6へ通知するための180呼出中応答を送信する(ステップA7)。
また、180呼出中応答は、防御対象SIPサーバ4および外部SIPサーバ5において、順にプロキシ処理され、外部SIP端末6へ届けられる。
正規SIP端末1は、ユーザが電話を受けると、そのことを外部SIP端末6へ通知するための200成功を送信する(ステップA8)。
200成功は、防御対象SIPサーバ4及び外部SIPサーバ5において、順にプロキシ処理され、外部SIP端末6へ届けられる。
それを受け、外部SIP端末6は、確認を送信する(ステップA9)。
確認は、外部SIPサーバ5及び防御対象SIPサーバ4において、順にプロキシ処理され、正規SIP端末1へ届けられる。ここで、セッションが確立する。
(1−4)DoS攻撃防御システムにおける防御装置の内部動作
次に、上記のシーケンスについて、図5のフローチャートを参照しながら、DoS攻撃防御システムにおける防御装置3の内部動作について、詳細に説明する。
(1−4)DoS攻撃防御システムにおける防御装置の内部動作
次に、上記のシーケンスについて、図5のフローチャートを参照しながら、DoS攻撃防御システムにおける防御装置3の内部動作について、詳細に説明する。
なお、本実施の形態では、防御装置3のレート制限部36で実施されるレート制限の閾値として、「秒あたり1000パケット」が設定されており、また、アドレス記憶部33には、あらかじめ外部SIPサーバ5のアドレスが記憶されているものとする。
また、防御装置3は、正規SIP端末1から送信されるパケットを待ち受けている時点を、フローチャート開始のRT1とする。
ステップA1の登録要求における防御装置3の動作処理は、以下の通りである。
まず、正規SIP端末1が、防御対象SIPサーバ4を宛先アドレスとしたパケットを送信する。すると、防御装置3のネットワークインタフェース301が、それを受信し(ステップB0)、パケット入力部31へ渡す。
パケット入力部31は、受信したパケットの送信元が防御対象SIPサーバ4から送られてきたか判定を行う(ステップB1)。
ここで、パケット入力部31は、パケットの送信元が防御対象SIPサーバ4ではなく、防御対象SIPサーバ4へ送られたものであるため、ステップB5に進み、パケットをアドレス検査部34へ渡す。
アドレス検査部34は、パケットの送信元アドレス(正規SIP端末1)にてアドレス記憶部33を検索し(ステップB5)、正規SIP端末1のアドレスは記憶されていないアドレスであるため、ステップB6へ進み、パケットをレート制限部36へ渡す。
レート制限部36は、パケットレートの閾値を超えるかどうかを検査し(ステップB6)、パケットレートの閾値を超えないため、ステップB4へ進み、パケットをパケット出力部35へ渡す。
パケット出力部35は、ステップB4において、パケットが防御対象SIPサーバ4へ送られたものであるため、ネットワークインタフェース302へパケットを渡し、ネットワークインタフェース302がパケットをネットワークへ送出する。
そして、防御対象SIPサーバ4が、それを受信する。
次に、ステップA2の401認証未済における防御装置3の動作処理は、以下の通りである。
防御対象SIPサーバ4が、正規SIP端末1を宛先アドレスとしたパケットを送信する。
防御装置3のネットワークインタフェース302が、それを受信(ステップB0)し、パケット入力部31へ渡す。
パケット入力部31は、ステップB1において、パケットが防御対象SIPサーバ4から送られたものであるため、ステップB2へ進み、パケットをレスポンス解析部32へ渡す。
レスポンス解析部32は、パケットが、登録要求に対する認証応答として成功であるか否かの判定を行い(ステップB2)、まだ認証応答が成功していないため(すなわち認証未済である。)、ステップB4へ進み、パケットをパケット出力部35へ渡す。
パケット出力部35は、ステップB4において、パケットが防御対象SIPサーバ4から送られたものであるため、ネットワークインタフェース301へパケットを渡し、ネットワークインタフェース301がパケットをネットワークへ送出する。
そして、正規SIP端末1が、それを受信する。
次に、ステップA3の登録要求における防御装置3の動作処理は、以下の通りである。
まず、正規SIP端末1が、防御対象SIPサーバ4を宛先アドレスとしたパケットを送信する。
防御装置3のネットワークインタフェース301が、それを受信して(ステップB0)、パケット入力部31へ渡す。
パケット入力部31は、ステップB1において、パケットが防御対象SIPサーバ4へ送られたものであるため、ステップB5へ進み、パケットをアドレス検査部34へ渡す。
アドレス検査部34は、パケットの送信元アドレス(正規SIP端末1)にてアドレス記憶部33を検索し、未だ記憶されていないアドレスであるため、ステップB6へ進み、パケットをレート制限部36へ渡す。
レート制限部36は、パケットレートの閾値を超えるかどうかを検査し(ステップB6)、パケットレートの閾値を超えないため、ステップB4へ進み、パケットをパケット出力部35へ渡す。
パケット出力部35は、ステップB4において、パケットが防御対象SIPサーバ4へ送られたものであるため、ネットワークインタフェース302へパケットを渡し、ネットワークインタフェース302がパケットをネットワークへ送出する。
そして、防御対象SIPサーバ4が、それを受信する。
次に、ステップA4の200成功における防御装置3の動作処理は、以下の通りである。
まず、防御対象SIPサーバ4が、正規SIP端末1を宛先アドレスとしたパケットを送信する。
防御装置3のネットワークインタフェース302が、そのパケットを受信して(ステップB0)、パケット入力部31へ渡す。
パケット入力部31は、ステップB1において、パケットが防御対象SIPサーバ4から送られたものであるため、ステップB2へ進み、パケットをレスポンス解析部32へ渡す。
レスポンス解析部32は、パケットが、登録要求に対する認証応答として成功であるか否かの判定を行い、認証応答が成功であるため、ステップB3へ進み、アドレス記憶部33にパケットの宛先アドレス(正規SIP端末1のアドレス)と記憶の有効期間を渡す。
アドレス記憶部33では、渡されたアドレスを記憶する(ステップB3)。
レスポンス解析部32は、ステップB4へ進み、パケットをパケット出力部35へ渡す。
パケット出力部35は、ステップB4において、パケットが防御対象SIPサーバ4から送られたものであるため、ネットワークインタフェース301へパケットを渡し、ネットワークインタフェース301がパケットをネットワークへ送出する。
そして、正規SIP端末1が、それを受信する。
次に、ステップA5のインバイトフラッド攻撃パケットにおける防御装置3の動作処理は、以下の通りである。
攻撃SIP端末2が、1〜1000個目のパケットを、防御対象SIPサーバ4を宛先アドレスとして送信する。
防御装置3のネットワークインタフェース301が、それを受信して(ステップB0)、パケット入力部31へ渡す。
パケット入力部31は、ステップB1において、パケットが防御対象SIPサーバ4へ送られたものであるため、ステップB5へ進み、パケットをアドレス検査部34へ渡す。
アドレス検査部34は、パケットの送信元アドレス(ランダムに詐称されたアドレス)にてアドレス記憶部33を検索し(ステップB5)、記憶されていないアドレスであるため、ステップB6へ進み、パケットをレート制限部36へ渡す。
レート制限部36は、パケットレートの閾値を超えるかどうかを検査し(ステップB6)、パケットレートの閾値を超えないため、ステップB4へ進み、パケットをパケット出力部35へ渡す。
パケット出力部35は、ステップB4において、パケットが防御対象SIPサーバ4へ送られたものであるため、ネットワークインタフェース302へパケットを渡し、ネットワークインタフェース302がパケットをネットワークへ送出する。
そして、防御対象SIPサーバ4が、それを受信する。
これに対し、防御SIPサーバ4は、エラーを示すレスポンスパケットを送信する可能性が高いが、本質的でないため省略する。
次に、攻撃SIP端末2が、1001個目のパケットを、防御対象SIPサーバ4を宛先アドレスとして送信する。
まず、防御装置3のネットワークインタフェース301が、それを受信して(ステップB0)、パケット入力部31へ渡す。
パケット入力部31は、ステップB1において、パケットが防御対象SIPサーバ4へ送られたものであるため、ステップB5へ進み、パケットをアドレス検査部34へ渡す。
アドレス検査部34が、パケットの送信元アドレス(ランダムに詐称されたアドレス)にてアドレス記憶部33を検索し(ステップB5)、記憶されていないアドレスであるため、ステップB6へ進み、パケットをレート制限部36へ渡す。
レート制限部36は、パケットレートの閾値を超えるかどうかを検査し(ステップB6)、パケットレートの閾値を超えるため、ステップB7へ進み、パケットを破棄する。
このようにして、防御対象SIPサーバ4へ到達する攻撃パケットはレートが制限されるため、防御対象のSIPサーバ4は、攻撃の影響を受けない。
次に、ステップA6の接続要求における防御装置3の動作処理は、以下の通りである。
まず、外部SIP端末6が、外部SIPサーバ5を宛先アドレスとしたパケットを送信する。
外部SIPサーバ5が、それを受信し、情報を追加した新たなパケットを生成し、防御対象SIPサーバ4を宛先アドレスとして送信する。
防御装置3のネットワークインタフェース301が、それを受信し(ステップB0)、パケット入力部31へ渡す。
パケット入力部31は、ステップB1において、パケットが防御対象SIPサーバ4へ送られたものであるため、ステップB5に進み、パケットをアドレス検査部34へ渡す。
アドレス検査部34は、パケットの送信元アドレス(外部SIPサーバ5のアドレス)にてアドレス記憶部33を検索し(ステップB5)、送信元アドレスが記憶されているため、ステップB4へ進み、パケットをパケット出力部35へ渡す。
パケット出力部35は、ステップB4において、パケットが防御対象SIPサーバ4へ送られたものであるため、ネットワークインタフェース302へパケットを渡し、ネットワークインタフェース302が、パケットをネットワークへ送出する。
そして、防御対象SIPサーバ4が、それを受信し、情報を追加した新たなパケットを生成し、正規SIP端末1を宛先アドレスとして送信する。
ここで、また、防御装置3のネットワークインタフェース302が、それを受信し(ステップB0)、パケット入力部31へ渡す。
パケット入力部31は、ステップB1において、パケットが防御対象SIPサーバ4から送られたものであるため、ステップB2へ進み、パケットをレスポンス解析部32へ渡す。
レスポンス解析部32は、パケットが、登録要求に対する認証応答として成功であるか否かを検査し(ステップB2)、認証応答が成功でないため(すなわち認証未済である。)、ステップB4へ進み、パケットをパケット出力部35へ渡す。
パケット出力部35は、パケットが防御対象SIPサーバ4から送られたものであるため、パケットをネットワークインタフェース301に渡し、ネットワークインタフェース301が、パケットをネットワークへ送出する。
そして、正規SIP端末1が、それを受信する。
次に、ステップA7の180呼出中応答における防御装置3の動作処理は、以下の通りである。
まず、正規SIP端末1が、防御対象SIPサーバ4を宛先アドレスとしたパケットを送信する。
防御装置3のネットワークインタフェース301が、それを受信し(ステップB0)、パケット入力部31へ渡す。
パケット入力部31は、ステップB1において、パケットが防御対象SIPサーバ4から送られたものではないため、ステップB5へ進み、パケットをアドレス検査部34へ渡す。
アドレス検査部34が、パケットの送信元アドレス(正規SIP端末1のアドレス)においてアドレス記憶部33を検索し(ステップB5)、記憶されているため、パケットをパケット出力部35へ渡す。
パケット出力部35は、ステップB4において、パケットが防御対象SIPサーバ4へ送られるものであるため、ネットワークインタフェース302へパケットを渡し、ネットワークインタフェース302が、パケットをネットワークへ送出する。
そして、防御対象SIPサーバ4が、それを受信し、情報を追加した新たなパケットを生成し、外部SIPサーバ5を宛先アドレスとして送信する。
外部SIPサーバ5が、それを受信し、情報を追加した新たなパケットを生成し、外部SIP端末6を宛先アドレスとして送信する。
外部SIP端末6が、それを受信する。
次に、ステップA8の200成功における防御装置3の動作処理は、ステップA7の処理と同様に行われる。
また、ステップB9の確認応答における防御装置3の動作処理は、ステップA6の処理と同様に行われる。
以上のように、DoS攻撃が実行されている最中であっても、SIP端末が登録要求処理パケットによる処理を済ませていれば、DoS攻撃の影響を受けることなく、SIP通信を行うことができる。
(1−5)DoS攻撃防御システムの動作及び効果
本実施の形態によれば、防御装置が、正規SIP端末と送受信されるパケットを監視することにより、正規SIP端末のアドレスを把握しているので、送信元アドレスをパケットごとに変更するような攻撃が行われても、正規のパケットとそれ以外のパケットとを識別することができる。
(1−5)DoS攻撃防御システムの動作及び効果
本実施の形態によれば、防御装置が、正規SIP端末と送受信されるパケットを監視することにより、正規SIP端末のアドレスを把握しているので、送信元アドレスをパケットごとに変更するような攻撃が行われても、正規のパケットとそれ以外のパケットとを識別することができる。
また、本実施の形態によれば、防御装置が、正規SIP端末と送受信されるパケットを監視することによって動的に正規SIP端末のアドレスを知ることができるので、正規SIP端末のアドレスを予め防御装置に登録しておく必要がなくなる。
また、本実施の形態によれば、防御装置は、防御対象のSIPサーバへ送られる、又はSIPサーバから送られたパケットが監視できれば良いので、ファイアウォールのようにルータもしくはブリッジとして実現することができる。
また、防御装置の行う処理を実装した防御プログラムをSIPサーバ上に搭載することも可能だが、その場合も、防御プログラムをカーネル内の処理として実装すれば、既存のSIPサーバプログラムに変更の必要がない。
これにより、本実施の形態によれば、SIP端末やSIPサーバを含む既存のネットワーク上の装置に変更の必要がない。
更に、このDoS攻撃防御システムでは、アドレスの検索処理に関し、検索されるアドレスが固定長の整数情報であるため、高速な検索処理の実装が可能である。
また、記憶されるアドレスは、わずか防御対象のSIPサーバの配下に存在する正規SIP端末の数程度であるので、容易に記憶することができる。
更に、アドレスを記憶する処理、及び有効期間を過ぎた記憶を削除する処理は、頻度が低いので(なお、SIPプロトコルにて定義されている登録要求処理パケットによる処理のデフォルトの有効期間は3600秒である。)、処理負荷が少ない。
また、ペイロードの解析に関しても、文字列検索程度の単純な処理であり、SIPサーバから送られたパケットについてのみ行えばよく、攻撃パケットは含まれない。
これにより、本実施の形態によれば、DoS攻撃防御システムは、処理が高速に行えるためDoS攻撃の対策に適している。
(第2の実施の形態)
(2)第2の実施の形態によるDoS攻撃防御システム
(2−1)DoS攻撃防御システムの構成
次に、第2の実施の形態によるDoS攻撃防御システムについて説明する。
(第2の実施の形態)
(2)第2の実施の形態によるDoS攻撃防御システム
(2−1)DoS攻撃防御システムの構成
次に、第2の実施の形態によるDoS攻撃防御システムについて説明する。
図6を参照すると、第2の実施の形態によるDoS攻撃防御システムでは、第1の実施の形態の構成に、以下の3つの拡張を加えたものである。
まず、第1の実施の形態では、もしも攻撃SIP端末2を操作する攻撃者が、正規SIP端末1のアドレスを知り、正規SIP端末1のアドレスを詐称したパケットにてDoS攻撃を行った場合には、攻撃パケットがレート制限を受けずに通過してしまう恐れがある。
また、正規SIP端末1が、ウィルスやボット(ボットとは、コンピュータウイルスの一種で、コンピュータに感染し、そのコンピュータを、ネットワーク(インターネット)を通じて外部から操ることを目的として作成されたプログラムのことをいう。)に感染するなどにより、ユーザの意図しない間に攻撃を行ってしまう可能性もあり、この場合も攻撃パケットがレート制限を受けずに通過してしまう恐れがある。
従って、これらの事態を避けるため、第1の拡張として、登録要求処理パケットによる処理の成功したSIP端末のアドレスを送信元アドレスとして持つパケットであっても、送信元アドレス毎にレート制限を実施することが考えられる。
この場合、攻撃者にアドレスを使われてしまった正規SIP端末1へのサービスは阻害される可能性があるが、その他の正規SIP端末へのサービス妨害や防御対象SIPサーバ4のサーバダウンを避けることができる。
また、第1の実施の形態では、攻撃SIP端末2は、インバイトフラッド攻撃を行うこととしたが、第2の拡張として、正規SIP端末が全てのリクエストに先立って、必ず登録要求処理パケットによる処理を行うようにすれば、未知のアドレスから防御対象SIPサーバへ宛てて発信されるパケットのうち、登録要求以外を破棄することにより、レート制限するまでもなく対処が可能である。
また、第1の実施の形態では、アドレス記憶部33にて記憶するのはアドレスのみであったが、正規SIP端末1と攻撃SIP端末2とが、同じNAT(network address translation)装置に存在する場合などに同じアドレスを共有する可能性があり、その場合、攻撃SIP端末2からのパケットが制限を受けずに通過してしまう恐れがある。
これを避けるためには、第3の拡張として、送信元アドレスのみに基づいて正規のパケットを識別するのではなく、送信元ポート番号を併用することが考えられる。
そこで、図6に示す第2の実施の形態による防御装置3内部の構成では、第1の実施の形態を示した図2の構成と比較して、送信元毎レート制限部37と、リクエスト解析部38と、を追加している。
(2−2)DoS攻撃防御システムの全体動作
次に、図7のフローチャートを参照して、第2の実施の形態によるDoS攻撃防御システムの全体動作について、図5のフローチャートと異なる点を詳細に説明する。
(2−2)DoS攻撃防御システムの全体動作
次に、図7のフローチャートを参照して、第2の実施の形態によるDoS攻撃防御システムの全体動作について、図5のフローチャートと異なる点を詳細に説明する。
なお、図7に示す本実施の形態における防御装置3内部の動作のフローチャートでは、図5のフローチャートに比較し、ステップB8と、ステップB9とを追加している。
以下に、本実施の形態における動作と、第1の実施の形態における動作との違いについて、図7のフローチャートを参照しながら説明する。
レスポンス解析部32は、パケットが、登録要求に対する認証応答として成功したことを検出すると、登録要求を発行したSIP端末1のアドレスに加えて、ポート番号をアドレス記憶部33へ登録する。
レスポンス解析部32がアドレス記憶部33へ登録するアドレスとポート番号としては、認証応答パケットの宛先アドレスと宛先ポート番号とを使用するか、認証応答のContactヘッダに記載された値を使用する。
例えば、図3の例では、アドレス192.168.1.100、ポート番号5060である。
アドレス検査部34は、パケットの送信元アドレスとポート番号の組がアドレス記憶部33に記憶されているものであるかどうかを検査し(ステップB5)、アドレス記憶部33に記憶されている場合には、ステップB8へ進み、パケットを送信元毎レート制限部37に渡し、一方、アドレス記憶部33に記憶されていない場合には、ステップB9へ進み、パケットをリクエスト解析部38に渡す。
送信元毎レート制限部37は、アドレスとポート番号の組で特定される送信元毎に、時間当たりのパケット数を計測し、レート制限を行う。
送信元毎レート制限部37は、送信元毎のパケットレートが閾値を超える場合には、ステップB7へ進み、パケットを破棄し、一方、送信元毎のパケットレートが閾値を超えない場合には、ステップB4へ進み、パケットをパケット出力部35へ渡す。
送信元毎レート制限部37で使用される閾値は、レート制限部36で使用される閾値とは別のものであり、防御装置3の管理者10が、閾値登録部304を介して予め設定しておく。
リクエスト解析部38は、パケットが登録要求であるか否かを検査し、登録要求である場合には、ステップB6へ進み、パケットをレート制限部36へ渡し、登録要求でない場合には、ステップB7へ進み、パケットを破棄する。
なお、リクエスト名の判定は、パケットペイロードの冒頭数バイトを検査すればよい。
(2−3)DoS攻撃防御システムの効果
第2の実施の形態によるDoS攻撃防御システムでは、アドレスの検索処理に関し、第1の実施の形態で検索されるアドレスと同様に、ポート番号も固定長の整数情報であるため高速な検索処理の実装が可能である。
(2−3)DoS攻撃防御システムの効果
第2の実施の形態によるDoS攻撃防御システムでは、アドレスの検索処理に関し、第1の実施の形態で検索されるアドレスと同様に、ポート番号も固定長の整数情報であるため高速な検索処理の実装が可能である。
また、第2の実施の形態では、第1の実施の形態で記憶されるアドレスと同様に、ポート番号も、わずか防御対象のSIPサーバの配下に存在する正規SIP端末の数程度であるので、容易に記憶することができる。
更に、アドレスを記憶する処理、及び有効期間を過ぎた記憶を削除する処理は、頻度が低いので(なお、SIPプロトコルにて定義されている登録要求処理パケットによる処理のデフォルトの有効期間は3600秒である。)、処理負荷も少ない。
また、ペイロードの解析に関し、第2の実施の形態では、SIPサーバへ送られるパケットについても行われるが、その場合も冒頭数バイトを処理すればよい。
これにより、本実施の形態によれば、更に処理が高速に行えるため、DoS攻撃の対策に適している。
1 正規SIP端末
2 攻撃SIP端末
3 防御装置(本発明に係るDoS攻撃防御装置である。)
4 防御対象SIPサーバ
5 外部SIPサーバ
6 外部SIP端末
7、8、9 ネットワーク
10 管理者
31 パケット入力部
32 レスポンス解析部
33 アドレス記憶部
34 アドレス検査部
35 パケット出力部
36 レート制限部
37 送信元毎レート制限部
38 リクエスト解析部
301、302 ネットワークインタフェース
303 アドレス登録部
304 閾値登録部
2 攻撃SIP端末
3 防御装置(本発明に係るDoS攻撃防御装置である。)
4 防御対象SIPサーバ
5 外部SIPサーバ
6 外部SIP端末
7、8、9 ネットワーク
10 管理者
31 パケット入力部
32 レスポンス解析部
33 アドレス記憶部
34 アドレス検査部
35 パケット出力部
36 レート制限部
37 送信元毎レート制限部
38 リクエスト解析部
301、302 ネットワークインタフェース
303 アドレス登録部
304 閾値登録部
Claims (11)
- 通信端末と、ネットワークを介して前記通信端末に接続されるサーバとにおいて、送受信されるパケットを監視するDoS攻撃防御装置であって、
前記パケットを受信するパケット受信手段と、
受信した前記パケットに基づいて、当該パケットを送信可能か判断すると共に、送信可能な場合には、当該パケットを送信するパケット送信手段と、
を備えることを特徴とするDoS攻撃防御装置。 - 前記パケット送信手段は、
受信した前記パケットが防御対象であるサーバから送信され、
当該パケットが当該サーバへの登録要求に対する認証応答であって成功である場合には、当該パケットの宛先アドレスを記憶すると共に、当該パケットを前記宛先アドレスへ送信し、
受信した前記パケットが防御対象である前記サーバから送信され、
当該パケットが当該サーバへの登録要求に対する認証応答であって成功でない場合には、当該パケットを前記宛先アドレスへ送信する
ことを特徴とする請求項1に記載のDoS攻撃防御装置。 - 前記パケット送信手段は、
受信した前記パケットが防御対象である前記サーバから送信されたものではなく、送信元のアドレスが記憶されている場合には、当該パケットを送信し、
受信した前記パケットが防御対象である前記サーバから送信されたものではなく、前記送信元のアドレスが記憶されていない場合には、レート閾値を超えていないか検査して、当該レート閾値を超えていない場合には、当該パケットを送信し、
受信した前記パケットが防御対象である前記サーバから送信されたものではなく、前記送信元のアドレスが記憶されていない場合には、前記レート閾値を超えていないか検査して、当該レート閾値を超えている場合には、当該パケットを破棄する
ことを特徴とする請求項2に記載のDoS攻撃防御装置。 - 前記パケット送信手段は、
受信した前記パケットが防御対象である前記サーバから送信されたものではなく、前記送信元のアドレスが記憶されており、前記アドレス毎の前記レート閾値を超えている場合には、当該パケットを破棄し、
また、受信した前記パケットが防御対象である前記サーバから送信されたものではなく、前記送信元のアドレスが記憶されておらず、当該サーバへの登録要求ではない場合には、当該パケットを破棄する
ことを特徴とする請求項3に記載のDoS攻撃防御装置。 - 通信端末と、ネットワークを介して前記通信端末に接続されるサーバとにおいて、送受信されるパケットを監視するDoS攻撃防御装置におけるDoS攻撃防御方法であって、
前記パケットを受信するパケット受信ステップと、
受信した前記パケットに基づいて、当該パケットを送信可能か判断すると共に、送信可能な場合には、当該パケットを送信するパケット送信ステップと、
を備えることを特徴とするDoS攻撃防御方法。 - 前記パケット送信ステップは、
受信した前記パケットが防御対象であるサーバから送信され、
当該パケットが当該サーバへの登録要求に対する認証応答であって成功である場合には、当該パケットの宛先アドレスを記憶すると共に、前記パケットを当該宛先アドレスへ送信し、
受信した前記パケットが防御対象であるサーバから送信され、
当該パケットが当該サーバへの登録要求に対する認証応答であって成功でない場合には、当該パケットを前記宛先アドレスへ送信する
ことを特徴とする請求項5に記載のDoS攻撃防御方法。 - 前記パケット送信ステップは、
受信した前記パケットが防御対象である前記サーバから送信されたものではなく、送信元のアドレスが記憶されている場合には、当該パケットを送信し、
受信した前記パケットが防御対象である前記サーバから送信されたものではなく、前記送信元のアドレスが記憶されていない場合には、レート閾値を超えていないか検査して、当該レート閾値を超えていない場合には、当該パケットを送信し、
受信した前記パケットが防御対象である前記サーバから送信されたものではなく、前記送信元のアドレスが記憶されていない場合には、前記レート閾値を超えていないか検査して、当該レート閾値を超えている場合には、当該パケットを破棄する
ことを特徴とする請求項6に記載のDoS攻撃防御方法。 - 前記パケット送信ステップは、
受信した前記パケットが防御対象である前記サーバから送信されたものではなく、前記送信元のアドレスが記憶されており、前記アドレス毎の前記レート閾値を超えている場合には、当該パケットを破棄し、
また、受信した前記パケットが防御対象である前記サーバから送信されたものではなく、前記送信元のアドレスが記憶されておらず、当該サーバへの登録要求ではない場合には、当該パケットを破棄する
ことを特徴とする請求項7に記載のDoS攻撃防御方法。 - コンピュータを、請求項1から4の何れか1項に記載されたDoS攻撃防御装置として機能させることを特徴とするDoS攻撃防御プログラム。
- 請求項1から4の何れか1項に記載されたDoS攻撃防御装置を備える
ことを特徴とするDoS攻撃防御システム。 - 請求項5から8の何れか1項に記載されたDoS攻撃防御方法を備える
ことを特徴とするDoS攻撃防御システムにおけるDoS攻撃防御方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007087750A JP2008252221A (ja) | 2007-03-29 | 2007-03-29 | DoS攻撃防御システム、DoS攻撃防御システムにおける攻撃防御方法及びDoS攻撃防御装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007087750A JP2008252221A (ja) | 2007-03-29 | 2007-03-29 | DoS攻撃防御システム、DoS攻撃防御システムにおける攻撃防御方法及びDoS攻撃防御装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008252221A true JP2008252221A (ja) | 2008-10-16 |
Family
ID=39976705
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007087750A Withdrawn JP2008252221A (ja) | 2007-03-29 | 2007-03-29 | DoS攻撃防御システム、DoS攻撃防御システムにおける攻撃防御方法及びDoS攻撃防御装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008252221A (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009239525A (ja) * | 2008-03-26 | 2009-10-15 | Nippon Telegr & Teleph Corp <Ntt> | フィルタリング装置、フィルタリング方法およびフィルタリングプログラム |
-
2007
- 2007-03-29 JP JP2007087750A patent/JP2008252221A/ja not_active Withdrawn
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009239525A (ja) * | 2008-03-26 | 2009-10-15 | Nippon Telegr & Teleph Corp <Ntt> | フィルタリング装置、フィルタリング方法およびフィルタリングプログラム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8370937B2 (en) | Handling of DDoS attacks from NAT or proxy devices | |
US7568224B1 (en) | Authentication of SIP and RTP traffic | |
US8670316B2 (en) | Method and apparatus to control application messages between client and a server having a private network address | |
US8407342B2 (en) | System and method for detecting and preventing denial of service attacks in a communications system | |
US8191119B2 (en) | Method for protecting against denial of service attacks | |
US7653938B1 (en) | Efficient cookie generator | |
KR101217647B1 (ko) | 특정 소스/목적지 ip 어드레스 쌍들에 기초한 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치 | |
US20100095351A1 (en) | Method, device for identifying service flows and method, system for protecting against deny of service attack | |
US20060075084A1 (en) | Voice over internet protocol data overload detection and mitigation system and method | |
JP2005252808A (ja) | 不正アクセス阻止方法、装置及びシステム並びにプログラム | |
Kavisankar et al. | A mitigation model for TCP SYN flooding with IP spoofing | |
JP2005073272A (ja) | Tcpステートレス・ホグによるtcpサーバに対する分散サービス妨害攻撃を防御する方法および装置 | |
JP4602158B2 (ja) | サーバ装置保護システム | |
JP4284248B2 (ja) | アプリケーションサービス拒絶攻撃防御方法及びシステム並びにプログラム | |
JP4278593B2 (ja) | アプリケーション型サービス不能攻撃に対する防御方法およびエッジ・ルータ | |
JP2019152912A (ja) | 不正通信対処システム及び方法 | |
KR101088867B1 (ko) | 네트워크 스위치 및 그 네트워크 스위치의 보안공지방법 | |
JP4322179B2 (ja) | サービス拒絶攻撃防御方法およびシステム | |
JP4391455B2 (ja) | DDoS攻撃に対する不正アクセス検知システム及びプログラム | |
JP2008252221A (ja) | DoS攻撃防御システム、DoS攻撃防御システムにおける攻撃防御方法及びDoS攻撃防御装置 | |
Hussain et al. | A lightweight countermeasure to cope with flooding attacks against session initiation protocol | |
JP2010226635A (ja) | 通信サーバおよびDoS攻撃防御方法 | |
JP3784799B2 (ja) | 攻撃パケット防御システム | |
JP2003298628A (ja) | サーバ保護ネットワークシステム、サーバおよびルータ | |
EP3270569A1 (en) | Network protection entity and method for protecting a communication network against malformed data packets |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20100402 |