特許
J-GLOBAL ID:200903026888515334
アプリケーション型サービス不能攻撃に対する防御方法およびエッジ・ルータ
発明者:
,
出願人/特許権者:
代理人 (2件):
井出 直孝
, 下平 俊直
公報種別:公開公報
出願番号(国際出願番号):特願2004-280857
公開番号(公開出願番号):特開2006-100874
出願日: 2004年09月28日
公開日(公表日): 2006年04月13日
要約:
【課題】 サーバ自身に負荷がかからず、現行のネットワーク構成を変更せずに、攻撃者となりうる加入者を収容するルータへの機能追加により、DoS/DDoS攻撃に対する防御を実現する。【解決手段】 ユーザ端末を収容するエッジルータにて、ユーザ端末から受信するIPパケットを検査し、事前に設定した閾値未満に単位時間あたりの受信IPパケット数を制限する。【選択図】 図1
請求項(抜粋):
コアネットワークと、ユーザ端末を収容するエッジルータと、ユーザ端末から送信される信号を処理するサーバとから構成されるネットワークシステムに適用されるアプリケーション型サービス不能攻撃に対する防御方法において、
前記ユーザ端末毎および宛先となる前記サーバ毎に、発側IP(Internet
Protocol)アドレスと、宛先IPアドレスと、宛先Port番号と、Protocol番号との組み合わせ毎に、正当なIPパケットの送信を許可するに足る単位時間当りのIPパケット送信数の閾値条件があらかじめ設定され、
前記ユーザ端末を収容する前記エッジルータが実行するステップとして、
前記ユーザ端末から前記サーバに対して発信されるIPパケットに関し、発側IPアドレスと、宛先IPアドレスと、Port番号と、Protocol番号とを識別するステップと、
この識別するステップによる識別結果に基づいて、当該IPパケットが発側IPアドレス毎にIPパケット送信数の閾値が設定されている宛先IPアドレス、Port番号、Protocol番号の組み合わせに合致するIPパケットか否かを判定するステップと、
この判定するステップにより当該IPパケットが発側IPアドレス毎に閾値が設定されている宛先IPアドレス、Protocol番号、Port番号の組み合わせに合致するIPパケットであると判定された場合に、当該エッジルータが当該IPパケットを受信した時刻を記録すると共に当該IPパケット数を計数するステップと、
この計数するステップにより計数されたIPパケット数と発側IPアドレス毎に設定された前記閾値条件とを比較し、単位時間当りの該当受信IPパケット数が閾値を越えた場合に、前記閾値を越えた分の受信IPパケットを廃棄するステップと
を実行することを特徴とするアプリケーション型サービス不能攻撃に対する防御方法。
IPC (3件):
H04L 12/22
, H04L 12/46
, H04L 12/56
FI (3件):
H04L12/22
, H04L12/46 100R
, H04L12/56 100Z
Fターム (21件):
5K030GA15
, 5K030HA08
, 5K030HD03
, 5K030HD06
, 5K030KA05
, 5K030KX24
, 5K030LC15
, 5K030MA04
, 5K030MB09
, 5K030MC07
, 5K033AA05
, 5K033CB06
, 5K033CC01
, 5K033DA02
, 5K033DA05
, 5K033DB12
, 5K033DB14
, 5K033DB18
, 5K033EA02
, 5K033EA07
, 5K033EB02
引用特許:
出願人引用 (3件)
審査官引用 (7件)
全件表示
引用文献:
前のページに戻る