特許

J-GLOBAL ID：200903090184950221

分散型サービス拒絶防御方法およびシステム、ならびにそのプログラム

発明者： 金子 斉 ,  豊島 鑑
出願人/特許権者： 日本電信電話株式会社
代理人 (2件)： 磯村 雅俊 ,  渡邉 昌幸
公報種別：公開公報
出願番号（国際出願番号）：特願2002-330277
公開番号（公開出願番号）：特開2004-166029
出願日： 2002年11月14日
公開日（公表日）： 2004年06月10日
要約：

【課題】ネットワーク内のDDoS攻撃対策処理を最小限に抑え、かつ必要な処理を行い、効果を得る方策を与え、かつ処理の範囲を他ISPにも拡張し、他ISPから流入する攻撃パケットについても的確な処理を行う。【解決手段】保護対象となるサーバ9〜11が接続されるISP内のエッジルータ1のサーバ側の出口回線15〜17、ユーザ端末12〜14を収容する自ISP6内の各エッジルータ2のユーザ端末側の回線18,19、ボーダールータ3の他ISP7,8への回線20,21を選択する。平常時の処理としては、予め保護するサーバが受け付けられるTCP-SYNの最大トラヒックの閹値を設定しておき、モニタを行う。トラヒックが当該閾値を越えた場合、超えた分のフィルタリングを行い、同一ISP内の全加入者収容エッジおよび全ボーダールータへサーバのアドレスおよび当該閾値を通知する。【選択図】 図1

請求項（抜粋）：

IDC内のサーバマシンをTCP-SYN-Floodから保護するため、該IDCが接続されているISP網のエッジルータは、該IDC側の出口回線にて、該サーバマシンをdestination addressとするTCP-SYNパケットのトラヒックに対して閾値を設け、 該閾値を超えた場合に、超えた部分のトラヒックを廃棄し、 さらに、ユーザ端末を直接収容している各エッジルータおよびボーダールータに該閾値および該サーバマシンのaddressを通知し、 通知を受けた該エッジルータおよびボーダールータは、当該ISPとは反対側のインターフェースにて該閾値に基づくフィルタリングを行い、 さらに、該ボーダールータは、他ISPへのボーダールータに該閾値および該サーバマシンのaddressを通知し、 通知を受けた他ISPのボーダールータは、当該処理を繰り返し処理することを特徴とする分散型サービス拒絶防御方法。

IPC (2件)：

H04L12/66 ,  H04L12/56

FI (2件)：

H04L12/66 B ,  H04L12/56 100Z

Fターム (9件)：

5K030GA15 ,  5K030HA08 ,  5K030HC01 ,  5K030HD03 ,  5K030HD06 ,  5K030LB05 ,  5K030LC15 ,  5K030MA04 ,  5K030MB09