Pat
J-GLOBAL ID:200903043828297771
ネットワークベース分散型サービス拒否攻撃防御システムおよび通信装置
Inventor:
,
,
,
Applicant, Patent owner:
Agent (2):
宮崎 昭夫
, 伊藤 克博
Gazette classification:公開公報
Application number (International application number):2003038269
Publication number (International publication number):2004248185
Application date: Feb. 17, 2003
Publication date: Sep. 02, 2004
Summary:
【課題】運用中のルータにDDoS攻撃防御機能を盛込む必要の無いDDoS攻撃防御システムを提供する。【解決手段】通信装置1は、サーバ201宛てのDDoS攻撃被疑パケットの検出と、検出したDDoS攻撃被疑パケットのトラヒックプロファイルの通信装置2への配布と、該トラヒックプロファイルにマッチする通信パケットを通信装置2宛てにルーチングするためのルーチング設定変更指示パケットをエッジルータ101に配布する。通信装置2は、通信装置1から受信したトラヒックプロファイルにマッチする通信パケットを監視して、DDoS攻撃かどうかの判定を行う。攻撃と判定した場合、攻撃元情報の特定を行い、攻撃元情報にマッチする通信パケットを廃棄する。攻撃でないと判定した場合、攻撃でないと判定したトラヒックプロファイルにマッチする通信パケットを通信装置2宛てにルーチングしないようにするためのルーチング設定変更指示パケットをエッジルータに配布する。【選択図】 図1
Claim (excerpt):
分散型サービス拒否攻撃防御システムを構成する通信装置であって、該装置を通過する通信パケットを監視して分散型サービス拒否攻撃かどうかを判定する判定手段と、攻撃元特定手段と、前記判定手段によって攻撃であると判定された場合に前記攻撃元特定手段により特定された攻撃元情報にマッチする通信パケットを廃棄するフィルタ手段と、前記判定手段によって攻撃でないと判定された場合に攻撃でないと判定したトラヒックプロファイルにマッチする通信パケットに対し、該通信装置宛てへのルーチングを解除するようにルーチング設定を変更することをルータに対して指示するルーチング設定指示生成手段を有する通信装置。
IPC (2):
FI (2):
H04L12/56 100Z
, G06F13/00 351Z
5B089GA11
, 5B089GA31
, 5B089HA10
, 5B089HB02
, 5B089KA17
, 5B089KB13
, 5B089KC54
, 5B089KG08
, 5K030GA03
, 5K030HA08
, 5K030HC01
, 5K030HD03
, 5K030LB05
, 5K030LC18
, 5K030MA04
, 5K030MC08
