特許

J-GLOBAL ID：200903068261351438

ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃の確認と防御のための方法、データキャリア、コンピュータシステム、およびコンピュータプログラム

発明者： ゲイス、クリストフ ,  ポウス、エバーハード ,  ソイサル、トーマス ,  シーマン、ラルフ
出願人/特許権者： アイピー-オンライン ゲーエムベーハー
代理人 (3件)： 矢口 太郎 ,  大森 純一 ,  山口 康明
公報種別：公表公報
出願番号（国際出願番号）：特願2003-521579
公開番号（公開出願番号）：特表2006-501527
出願日： 2001年08月13日
公開日（公表日）： 2006年01月12日
要約：

【課題】【解決手段】 本発明は、コンピュータネットワークに統合することが可能でコンピュータプログラムを有する電子装置(4)を用い、ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃を確認し防御するための方法に関するものであり、また、当該方法を実行するためのコンピュータプログラムを含むデータキャリアに関するものである。本発明はまた、インターネット(6)、イントラネットあるいはそれに類するネットワークに接続され、サーバコンピュータ(2)またはクライアントコンピュータとして設定される一台あるいは複数のコンピュータを有するコンピュータシステムに関するものであり、また、サーバシステムに対する攻撃の確認と防御のためのコンピュータプログラムコードを含むコンピュータプログラムに関するものである。本発明は、DoSおよびDDoS攻撃(フラッド攻撃)からの保護、リンクレベル・セキュリティ、有効なIPヘッダーの検証、IPパケットの特徴の検証、TCP/IPフィンガープリンティング保護、すべてのUDPネットワーク・パケットのブロック、特定の外部IPアドレスの除外、パケットレベルのファイアウォール機能、ターゲットシステムのアクセス可能なサービスの保護を有する。本発明はDoSおよびDDoS攻撃に対する可能な最高レベルのセキュリティと保護を提供する。

請求項（抜粋）：

ネットワーク・サービスプロバイダおよびオペレータのサーバーシステムに対する攻撃を確認し防御するための方法であり、コンピュータネットワークに統合することが可能でコンピュータプログラムを有する電子装置を用い、以下の構成要素と工程を特徴とする方法: - DoSおよびDDoS攻撃(フラッド攻撃)に対する保護であり、ここで、 - あらゆるIP Syn(IP接続設定要求)は、IPプロトコルに指定されている時間制約を維持するために受け付けられ、Syn/Ackの応答を受けるが、受け付けられたSynパケットについては、有効性およびターゲットシステムで入手可能なサービスが確認され、 - その確認が無事終わり、その一方で、外部にあり照会を求めているシステムによって次に送られるAckおよびその結果生じる有効なデータパケットが受け取られると、前記のターゲットシステムの接続設定が開始され、受け取られたデータパケットはさらなる処理のために前記のターゲットシステムに配送されるものであり、および/または、 - リンクレベル・セキュリティであり、前記において確認対象のデータパケットがOSIレベル2(リンクレベル)から直接採用され、および/または、 - 有効なIPヘッダーの検証であり、ターゲットシステムに転送される前に各IPパケットの構造の有効性が確認され、無効なIPパケットがすべて拒否され、および/または、 - IPパケットの検証であり、特にIPパケットの構造に照らしたTCPあるいはIPヘッダー内の情報整合性のためにIPパケットの長さとチェックサムを確認することによる検証であり、および/または、 - TCP/IPフィンガープリンティング保護であり、典型的なプロトコル識別名を使うことによって、保護されたシステムから、外部にあり照会を求めているシステムに応答として出されるデータ・トラフィックが無効にされ、および/または、 - 保護されているシステムに対するUDP(ユーザデータ・プロトコル)ネットワーク・プロトコルを介した攻撃を防ぐためにUDPネットワーク・パケットをすべてブロックすることであり、そうすることにより、UDPを介してアクセス可能な要求されているサービスがターゲットとされた方法で登録およびリリースされ、前記においてメッセージはこれらのUDPポートには明白に承認されるが、残りのポートは閉鎖されたままであり、および/または、 - ICMP(インターネット・コントロール・メッセージ・プロトコル)の長さ上の制限であり、前記においてICMPのメッセージは定められた最長の長さによってのみ有効なデータパケットとして確認され、この長さから外れるICMPパケットはすべて拒否され、および/または、 - ターゲットシステムとの通信から特定の外部IPアドレスを除外し、および/または、 - パケットレベルのファイアウォール機能であり、前記において、入信および送信されるIPパケットは自由に定義可能な規則によって検証され、これらの規則に基づいてターゲットシステムに拒否されるか転送され、および/または、 - 特定のサービスおよび/またはユーザを除外すること、および/または他のサーバにサービス照会を転送することにより、ターゲットシステムのアクセス可能なサービスを保護する。

IPC (2件)：

G06F 13/00 ,  H04L 12/66

FI (2件)：

G06F13/00 351Z ,  H04L12/66 B

Fターム (12件)：

5B089GB02 ,  5B089KA17 ,  5B089KB13 ,  5K030GA15 ,  5K030HA08 ,  5K030HB21 ,  5K030HC01 ,  5K030HC13 ,  5K030HD03 ,  5K030KA05 ,  5K030LB05 ,  5K030MA04

引用特許：

審査官引用 (1件)

• ネットワーク間通信中継方法および中継装置
  公報種別：公開公報   出願番号：特願平8-291654   出願人：日立ソフトウエアエンジニアリング株式会社

引用文献：

審査官引用 (2件)

• DDoS攻撃を防ぐ専用機が登場 攻撃パターンを判別して不審な通信を遮断
• DDoS攻撃を防ぐ専用機が登場 攻撃パターンを判別して不審な通信を遮断