特許

J-GLOBAL ID：200903088676238050

分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラム

発明者： 柏 大 ,  エリック・チェン ,  冨士 仁
出願人/特許権者： 日本電信電話株式会社
代理人 (1件)： 志賀 正武 (外2名)
公報種別：公開公報
出願番号（国際出願番号）：特願2002-081904
公開番号（公開出願番号）：特開2003-283554
出願日： 2002年03月22日
公開日（公表日）： 2003年10月03日
要約：

【要約】【課題】 正規利用者の通信トラヒックを確保しながら、分散型サービス不能攻撃(DDoS攻撃)の攻撃トラヒックの伝送帯域を制限することを可能とする。【解決手段】 ゲート装置2001は、DDoS攻撃の攻撃容疑パケットを検出すると、上流の通信装置2002、2003に攻撃容疑パケットの容疑シグネチャと正規条件を送信する。通信装置2002、2003は、容疑シグネチャで識別されるパケットの伝送帯域を制限しながら、正規条件と容疑シグネチャを基に生成される正規シグネチャで識別されるパケットの伝送帯域制限を解除する。通信装置2002、2003はさらに上流の通信装置に容疑シグネチャと正規条件を送信することによって、最上流の通信装置まで再帰的に容疑シグネチャと正規条件を通知し、各通信装置は、攻撃容疑パケットの帯域制限を実施しながら、攻撃容疑パケットから攻撃パケットを検出して、さらに帯域を制限する。

請求項（抜粋）：

複数の通信装置を網目状に接続してなるネットワークと、防御対象であるコンピュータおよびLANと、前記LANおよびネットワークの間に介挿されたゲート装置とを有するネットワークシステムにおいて、前記ゲート装置は、通信トラヒックが予め決められた攻撃容疑パケットの検出条件に合致するか否かをチェックし、合致したトラヒックを検出した場合に、検出された前記攻撃容疑パケットを識別する容疑シグネチャを生成して上流の前記通信装置へ送信し、以後、前記容疑シグネチャによって識別される攻撃容疑パケットの伝送帯域を制限する処理を行い、前記通信装置は、下流のゲート装置または通信装置から受信した前記容疑シグネチャを上流の通信装置へ送信すると共に、前記容疑シグネチャによって識別される攻撃容疑パケットの伝送帯域を制限する処理を行うことを特徴とする分散型サービス不能攻撃防止方法。

IPC (2件)：

H04L 12/56 200 ,  H04L 12/46

FI (2件)：

H04L 12/56 200 Z ,  H04L 12/46 E

Fターム (16件)：

5K030GA13 ,  5K030GA15 ,  5K030HA08 ,  5K030HB14 ,  5K030KA06 ,  5K030KX24 ,  5K030KX30 ,  5K030LC15 ,  5K033AA05 ,  5K033AA08 ,  5K033CB06 ,  5K033CB08 ,  5K033DA16 ,  5K033DB19 ,  5K033DB20 ,  5K033EC03