サービス妨害攻撃の軽減
顧客ネットワークについてのサービス妨害攻撃および分散サービス妨害攻撃などのサービス攻撃は、顧客ネットワークにサービスするインターネットサービスプロバイダ(ISP)によって検出され、続いて軽減される。センサが、攻撃トラフィックとして顧客ネットワークに入っていくトラフィックを検査する。攻撃が検出された場合、センサは、ISPネットワーク内の攻撃を軽減するための解析エンジンに通知を行う。解析エンジンは、ISPネットワークのボーダルータおよびエッジルータに新しいルーティング情報を公示するようにフィルタルータを設定する。新しいルーティング情報は、顧客ネットワークに向けて送られることになっている攻撃トラフィックおよび非攻撃トラフィックをフィルタルータに経路変更するように、ボーダおよびエッジルータに指示する。フィルタルータでは、攻撃トラフィックおよび非攻撃トラフィックが自動的にフィルタリングされ、攻撃トラフィックが除去される。非攻撃トラフィックは、顧客ネットワークに向けて送るためにISPネットワーク上に返される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、一般に、通信ネットワーク上でのサービス妨害攻撃および分散サービス妨害攻撃(併せてDDos攻撃と呼ばれる)などのサービス攻撃を軽減することに関する。より詳細には、本発明は、エッジ/顧客ネットワークに向けられたDDos攻撃を検出すること、ならびに、サービスプロバイダネットワークにおけるDDosおよび非DDosトラフィックをリダイレクトし、次いで、DDosトラフィックがエッジ/顧客ネットワークに到達する前に選択的にそのトラフィックを除去することによってこのような攻撃を軽減することに関する。
【背景技術】
【0002】
サービス妨害(DoS)攻撃および分散サービス妨害(DDoS)攻撃は、インターネットにおいて引き続き増大しつつある懸念材料である。DoS攻撃では、大量の偽装したネットワークトラフィックによって、コンピュータが、ターゲットとするシステムにフラッディング(flood)を起こさせる。DDoS攻撃は、DoS攻撃に類似するがそれよりも大規模なものである。この場合、ハッカーは、クライアントコンピュータを使用して、通常はインターネットを介して地理的に分散している複数のエージェントコンピュータに侵入する。ハッカーは、エージェントにアクセスすると、ターゲットとするネットワークおよび/またはサーバを偽装したネットワークトラフィックによってフラッディングを起こすため、クライアントコンピュータによって制御され後で他のエージェントと連動してクライアントコンピュータによって使用されるソフトウェアモジュールをインストールする。DDoS攻撃は、DoS攻撃と比べて、より大量のトラフィックを発生させ、また多数のトラフィックのソースがあるため、攻撃を阻止することがより難しくなり、さらに破壊的なものとなる。
【0003】
一般に、DoSおよびDDoS攻撃は、ターゲットのネットワークのバンド幅を消費し、ターゲットのサーバを酷使し、それによって、正当なトラフィック/ユーザが、ターゲットのネットワークおよびサーバにアクセスするのを妨害することを目的としている。このような攻撃は、TFN2K、およびStacheldraht(シュタッヒェルドラート)のようなインターネットから容易に入手可能な攻撃ツールを使用して比較的簡単に作り出すことができるため、今日では深刻な問題となっている。一般に、DoSおよびDDoS攻撃は、ネットワークの活動を停止させ、したがってビジネスの活動を数時間あるいは数日間も停止させるおそれがある。
【0004】
DoSおよびDDoS攻撃(以下、DDoSを、DoS攻撃とDDoS攻撃の両方を指すものとして使用する)を検出し軽減するためにいくつかのシステムが開発された。これらのシステムは、1つのエンティティのネットワーク内にその全体が存在し、攻撃の検出と軽減の両方をこのネットワークにおいて(at this point)行う。図1は、具体的には、インターネット102、ISP(インターネットサービスプロバイダ)ネットワーク104、ISPネットワーク104のサービスを受けるエッジ/顧客ネットワーク106、ならびに複数のピアの自律システム108、110、および111を含む、例示的なネットワークを示す。インターネット102、ISPネットワーク104、およびピアの自律システム108、110、および112は、ボーダルータ114、116、118、120、122、124、126、および128によって相互接続され、ISPネットワーク104、および顧客ネットワーク106は、エッジルータ130、アクセスルータ132、およびアクセスリンク134によって相互接続されている。顧客ネットワーク106およびそのネットワーク内のサーバなどターゲットのネットワークに対するDDoS攻撃は、インターネット102、およびピアの自律システム108、110、および112に位置する複数のエージェントから発信される。従来のDDoS検出および軽減システムは、専用のハードウェアを備え、それは顧客ネットワーク106内に設けられる。これらのシステムは、ネットワークに入ってくるインターネットトラフィックを監視することにより、DDoS攻撃を軽減する。これらのシステムは、そのようなトラフィックを解析して、期待されるトラフィックプロファイルからの逸脱があるかどうかを決定し、または、ある種の攻撃に固有のシグネチャ(すなわち、各種のDDoS攻撃によって生成されたパケットは、攻撃の種類に応じて固有のパターンを有するが、そのパターンをシグネチャと呼ぶ)をトラフィックが有するかどうかを決定する。これらのシステムは、期待されるプロファイルに反し、または既知のシグネチャと一致するトラフィックを検出すると、1組のフィルタを設定してファイアウォールのように機能し、それにより悪意のあるトラフィックがさらにネットワーク106に入るのを防止する。
【発明の開示】
【発明が解決しようとする課題】
【0005】
これらのシステムは、攻撃を検出し軽減することができるが、いくつかの欠点を有する。第1に、ISPによってサービスされる各顧客ネットワーク106では、攻撃を検出し軽減するための専用ハードウェアを購入する必要がある。専用ハードウェアは、大規模の顧客には選択肢となり得るが、このようなシステムを入手することができないSOHO(スモールオフィス/ホームオフィス)などのより小規模の顧客には、実行可能な解決策ではない。結果として、このようなより小規模な顧客は、DDoS攻撃の軽減をISPに依頼することになる。しかし、悪意のあるクライアント/エージェントは、IP(インターネットプロトコル)ソースアドレスのスプーフィング(spoofing)を用いて、その身元を隠すことが多いため、しばしばISPが攻撃を緩和することが困難となる。IPスプーフィングのため、ISPは、まず稼動中のルータにアクセスすることなく、悪意のあるトラフィックのネットワーク内への入口点を簡単に決定することはできず、その結果、悪意のあるトラフィックを除去するためにISPが適切なフィルタを設定することは容易ではないのである。このような従来のシステムの第2の欠点は、ターゲットにおいてDDoS攻撃を軽減することが難しいことである。上述したように、具体的には、DDoS攻撃が検出されると、トラフィックのフィルタリングは、顧客ネットワーク106において行われる。したがって、ISPネットワーク104は、続いて、エッジルータ130、アクセスルータ132、およびアクセスリンク134を介して顧客ネットワーク106において、悪意のあるトラフィックと有効なトラフィックの両方について集約して方向付けるが、そのアクセスリンクは、例えば、T−1、デジタル加入者線、またはISDN(総合デジタル通信サービス網)などの数百kbpsの比較的狭いバンド幅を有することがある。したがって、このような従来のシステムは、顧客ネットワーク106内からボトルネック(bottleneck)を除去する一方で、顧客ネットワークにアクセスするために使用される(エッジルータ、アクセスリンク、およびアクセスルータを含む)限られた資源は、引き続き、DDoS攻撃によって消費される可能性があり、したがって引き続き、DDoS攻撃によって、有効なネットワークトラフィックに対するボトルネックが作り出されることを阻止できない。その結果、顧客ネットワーク106を対象とする有効なネットワークトラフィックは、やはり悪意のあるトラフィックと競合しなければならなくなる。したがって、このような現行のシステムでは、攻撃が充分に軽減されないという問題がある。
【0006】
したがって、従来のシステムの欠点を解消し、顧客ネットワークに対するDDoS攻撃を含めたサービス攻撃を検出し軽減する方法および装置を有することが望ましい。
【課題を解決するための手段】
【0007】
具体的には、本発明によれば、ISPネットワークの各顧客ネットワークにセンサが関連付けられる。このセンサは、顧客ネットワークに入っていくネットワークトラフィックにアクセス可能で、DDoS攻撃を検出することを目的とする、複数のセンサフィルタを含むモジュールである。このセンサモジュールは、顧客ネットワークまたはISPネットワーク内に設置されたホストプラットフォーム上で実行される。このホストプラットフォームは、DDoSトラフィックを検出するために専用のものであるか、あるいは、顧客ネットワークまたはISPネットワーク内に既に設置され他の機能を担っている既存のプラットフォームである。センサは、攻撃を検出すると、攻撃を軽減するために、ISPネットワーク内に配置されている解析エンジンに通知を行う。
【0008】
攻撃の通知を受け取ると、攻撃されている顧客ネットワークに基づいて、解析エンジンは、やはりISPネットワーク内に配置される1つまたは複数のフィルタルータを設定する。具体的には、各フィルタルータは、ISPネットワークを構成するボーダルータおよびエッジルータの全部または一部と共に、IP−in−IPトンネルを維持し、さらに、これらのIP−in−IPトンネルを介して、それにより接続された各ボーダおよびエッジルータと共に、外部ボーダゲートウェイプロトコル(external border gateway protocol)(eBGP)セッションを維持する。解析エンジンは、eBGPセッションを使用して、新しいルーティング情報をボーダおよびエッジルータに公示するように、フィルタルータを設定する。新しいルーティング情報は、ボーダおよびエッジルータに、攻撃を受ける顧客ネットワークに向けられているすべてのDDoSトラフィックおよび非DDoSトラフィックを経路変更し、IP−in−IPトンネルを使用してフィルタルータに向けて送るように指示する。
【0009】
フィルタルータにおいて、IP−in−IPトンネルの入口ポートには、1組の予め設けられたトラフィックフィルタがある。ボーダおよびエッジルータからリダイレクトされたDDoSおよび非DDoSトラフィックは、自動的にこれらのフィルタを介して渡され、それによってDDoSトラフィックが除去される。DDoS以外のトラフィックは、ISPネットワークに送り返され、顧客ネットワークに向けて送られる。
【0010】
本発明の独創的な検出および軽減システムの結果として、DDoSトラフィックは、まだISPネットワーク内にある間にハイエンドシステムによって除去され、集約されてカスタマネットワークに向け送られることはなく、したがって、DDoSでないトラフィックは、DDoS攻撃の影響を受けずに大部分が顧客ネットワークに向けて移動することが可能になる。さらに、本発明の独創的なシステムは、ISPネットワークが成長するのに伴い、追加のフィルタルータおよびボーダ/エッジルータを加えることにより、容易に拡張することができる。さらに、DDoSおよび非DDoSのトラフィックを、ボーダおよびエッジルータからフィルタルータにリダイレクトするためにIP−in−IPトンネルが使用されるので、ISPネットワークのコアを構成するルータを、攻撃を軽減するときに再設定する必要がない。結果として、本発明の独創的なシステムは、攻撃の対象となっていない顧客ネットワークに向けられたトラフィックに影響を与えない。最後に、本発明の独創的なシステムは、各顧客ネットワークに設置される専用/特別のハードウェアを必要としない。
【発明を実施するための最良の形態】
【0011】
図2は、エッジ/顧客ネットワーク204/206におけるDDoS攻撃を動的に検出しこれらの攻撃を軽減するための本発明の独創的なDDoS検出および軽減システムの、例示的な実施形態を示す図である。本発明の独創的なシステムの特徴は、顧客ネットワーク204/206に向けられたDDoS攻撃を検出し、ISPネットワーク202においてこれらの攻撃を軽減することである。重要な点は、本発明の独創的なシステムは、各顧客ネットワークにおいて特別な専用ハードウェアの設置を必要としないということである。さらに、本発明の独創的なシステムは、ISPネットワーク内においてDDoS攻撃を軽減するため、悪意のあるトラフィックは、エッジルータ226/228、アクセスルータ214/215、およびアクセスリンク216/217を介して顧客ネットワーク204/206に向けて送られることはなく、したがってDDoSでないトラフィックに対するDDoSトラフィックの影響が除去されるようになるという点が重要である。
【0012】
具体的には、本発明の独創的なDDoS検出および軽減システムは、ボーダルータ220、222、および224、ならびにエッジルータ226、および228を含めたISPネットワーク202内の既存のインフラストラクチャを含み、さらにISPネットワーク内に配置された1つまたは複数のフィルタルータ230(図2には1つのフィルタルータのみを示す)、フィルタルータ230内に配置された複数のトラフィックルータ250、各ボーダおよびエッジルータから各フィルタルータへの予め設けられたIP−in−IPトンネル238、240、242、244、および246、ISPネットワーク内に配置された解析エンジン232、各顧客ネットワーク204/206に関連付けられたセンサ234/236、ならびに各センサ234/236に配置された複数のセンサフィルタ248を備える。ISPネットワーク202は、複数のコアネットワークルータおよび接続機器(connection)をさらに備え、これらのルータおよび接続機器は、解析エンジン232、フィルタルータ230、ならびにボーダおよびエッジルータ220、222、224、226、および228を相互に接続する。作図を容易にするため、図2には、このようなコアのルータおよび接続機器を示していない。
【0013】
本発明によれば、センサ234/236は、ISPネットワーク202からエッジルータ226/228、アクセスリンク216/217、およびアクセルータ214/215を経由して顧客ネットワーク204/206に入るすべてのトラフィックを監視し、起こり得るDDoS攻撃に関してセンサフィルタ248を介して解析する。ネットワーク204などの顧客ネットワークに対するDDoS攻撃は、インターネット208、ピアの自律システム210および212、ならびに/またはISPネットワーク202からサービスを受ける他の顧客ネットワーク206から発信される可能性がある。センサ204などのセンサは、攻撃を検知し、解析エンジン232にその攻撃について伝える。このような攻撃の表示を受け取ると、解析エンジン232は、各ボーダルータ220、222、および224、ならびに各エッジルータ228に新しいルーティング情報を公示する(あるいは、2つ以上のフィルタルータが用いられる場合は、ボーダおよびエッジルータの一部に公示する)よう、1つまたは複数のフィルタルータ230を設定する。フィルタルータ230は、IP−in−IPトンネル238、240、244、および246を介して、この新しいルーティング情報をボーダおよびエッジルータに公示する。この新しいルーティング情報は、ボーダおよびエッジルータに、顧客ネットワークに向けられているすべてのDDoSおよび非DDoSトラフィックを経路変更し、IP−in−IPトンネル238、240、244、および246を使用してフィルタルータ230に送るように指示する。トラフィックフィルタ250は、IP−in−IPトンネル238、240、244、および246の入口ポートに予めプロビジョニングされており、ボーダおよびエッジルータからリダイレクトされたトラフィックを自動的にフィルタリングして、DDoSトラフィックを除去し、すべての非DDoSトラフィックをISPネットワーク202に送り返して顧客ネットワーク204に転送する。本発明の独創的な検出および軽減システムを使用した結果、DDoSトラフィックは、ISP202内にあるうちにハイエンドシステムによって除去され、エッジルータ226、アクセスリンク216、およびアクセスルータ214を介し顧客ネットワーク204に向けて集約され送られることがなくなり、したがって、これらの資源におけるボトルネックの発生が防止される。したがって、非DDoSトラフィックは、DDoS攻撃の影響を受けずに大部分が顧客ネットワーク204に向けて引き続き移動することが可能になる。
【0014】
後にさらに説明するが、センサ234/236およびセンサフィルタ248は、顧客ネットワークおよび/またはISPネットワーク内の既存のハードウェアモジュール上に存在することが望ましく、それによって顧客ネットワーク内に専用の特別なハードウェアを設置する必要が回避される点も重要である。さらに、IP−in−IPトンネル238、240、242、244、および246が、ボーダおよびエッジルータ220、222、224、226、および228からフィルタルータ230にトラフィックをリダイレクトするために使用されることから、DDoS攻撃を軽減するためにISPネットワーク202を再設定する必要はなく、したがって他のトラフィック、および攻撃のターゲットでなくISPネットワーク202からサービスを受ける他の顧客ネットワークに対し発生する可能性のある影響が回避される。同様に、本発明の独創的なシステムは、攻撃を軽減するため、コアネットワークルータ、ならびにボーダおよびエッジルータを含めて稼動中のネットワークルータにアクセスする必要がない。
【0015】
次に、本発明の独創的なDDoS検出および軽減システムを構成する各コンポーネントを詳細に説明する。センサ234/236は、ISPネットワーク202から顧客ネットワーク204/206に入るすべてのトラフィックに対して可視性を有する。センサは、(図2に示す)顧客ネットワークに、またはISPネットワーク202に対する顧客ネットワークのアクセスポイントに設置されたホストプラットフォーム上で(すなわち、顧客ネットワークに入るすべてのトラフィックに対してセンサが可視性を有する位置で)実行される。このホストプラットフォームは、DDoSトラフィックを検出するために専用のものか、または顧客ネットワークおよび/またはISPネットワーク内に既に設置され他の機能を担っている既存のプラットフォームである。センサ234/236を使用することに加え、本発明によるDDoS検出および軽減システムは、顧客ネットワーク内に設置されたサードパーティの侵入検知システムに組み込むこともできることに留意されたい。このようなシナリオでは、サードパーティの侵入検知システムは、上述のように、DDoS攻撃を検出し、それを解析エンジン232に通知して、攻撃を軽減する。同様に、本発明の独創的なシステムは、手動で活動状態にすることもでき、その場合、顧客ネットワークの管理者が、DDoS攻撃をISPに報告し、次いでISPが解析エンジン232を活動状態にする。
【0016】
センサ234/236は、顧客ネットワークに入るすべてのトラフィックを監視し、顧客ネットワークに流れ込む現在のTCP(伝送制御プロトコル)、UDP(ユーザデータグラムプロトコル)、ICMP(インターネット制御メッセージプロトコル)、およびIPのパケットに関係するパケット種別の情報を、センサフィルタ248を介して追跡し、顧客ネットワークに入っていくビットレートに関係するレートの種別情報を追跡する。センサフィルタ248は、いくつかの種類を含む。第1組のセンサフィルタ248は、パケットに基づく情報を使用して、StacheldrahtおよびTFN2Kなど既知のDDoS攻撃ツールに対応するDDoSフラッディングトラフィックに対してシグネチャに基づく検出を実行する。第2組のセンサフィルタ248は、無効のフィールド値に関してパケットヘッダを解析する。具体的には、本発明者は、プロトコル標準に基づいて、様々なプロトコルについて様々なパケットヘッダフィールドでの有効な値の範囲を決定した。センサフィルタは、パケットヘッダを解析して、定義された有効値の範囲を越えたフィールド値を探し、無効なフィールド値が発見されたときにエラーを検出する。第3組のセンサフィルタは、ビットレート情報を使用して、設定可能な閾値に基づき、DDoSフラッディングトラフィックに対して量に基づく検出を実行する。DDoSフラッディングトラフィックのシグネチャに基づく検出は、既知の攻撃ツールを対象とし、パケットヘッダ検出は、定義されたプロトコル標準に基づいているが、量に基づく検出は、新しい/未知の種類のDDoS攻撃を検出することができる。
【0017】
DDoS攻撃を検出することに加え、第4組のフィルタ248は、収集したパケット情報を使用して、DDoS制御トラフィックのシグネチャに基づく検出を実行する。制御トラフィックを検出することにより、センサフィルタは、対応する顧客ネットワーク内のホストが、DDoS攻撃元のクライアントまたはエージェントとしてアクセスされ利用されているかどうかを決定することができる。本発明によれば、上記以外の他の種類のセンサフィルタ248を、センサ234/236に設けることもできることに留意されたい。
【0018】
DDoS制御トラフィックが検出されたかどうか、あるいは、DDoS攻撃が検出されたかどうかにかかわらず、センサ234/236は、このイベントの通知を解析エンジン232に送る。具体的には、センサ234/236がDDoS制御トラフィックを検出した場合、センサはDDoS制御シグネチャに基づく通知を解析エンジンに送る。センサがDDoS攻撃を検出した場合、センサはDDoS攻撃に基づく通知を解析エンジン232に送る。
【0019】
センサ234/236と解析エンジン232の間の通知の通信は、任意の種類の通信チャネルを介して行うことができる。ただし、センサ234/236と解析エンジン232の間での通信は、IPSec(IPセキュリティ)トンネルを介して行われることが好ましく、このトンネルは手動または自動で確立することができる。さらに、通知は、侵入検知メッセージ交換フォーマット(Intrusion Detection Message Exchange Format)(IDMEF)を用いてフォーマットされることが好ましく、それにより、解析エンジンは、上述のようにサードパーティの侵入検知システムに容易に組み込むことができる。このようなデータフォーマットは、例えばXML(拡張マークアップ言語)を使用して実装することができる。
【0020】
解析エンジン232は、例えばネットワークオペレーションセンタにおけるISPネットワーク202内に存在し、各顧客ネットワーク204および206に関連付けられた1つまたは複数のセンサ234および236にサービスする。先に示したように、本発明によれば、センサがDDoS制御トラフィックまたはDDoS攻撃を検出したとき、解析エンジンはセンサから自動通知を受け取る。解析エンジンは、DDoS制御に基づく通知を受け取ったとき、ISPポリシーマネージャ(policy manager)に通知を行う。解析エンジンは、DDoS攻撃に基づく通知を受け取ったとき、1つまたは複数のフィルタルータ230を設定することにより自動的に攻撃を軽減する。具体的には、解析エンジンは、新しいルーティング情報をボーダおよびエッジルータ220、222、224、226、および228に公示するようにフィルタルータを設定する。フィルタルータからの新しいルーティン情報は、攻撃を受ける顧客ネットワークに向けて送られることになっているすべてのDDoSおよび非DDoSトラフィックを経路変更してフィルタルータに送るようにボーダおよびエッジルータに指示する。
【0021】
ISPネットワーク202により検出された攻撃を軽減することが可能となるが、これに加え、解析エンジン232は、本発明の独創的なDDoS検出および軽減システムの維持も行う。具体的には、解析エンジンは、フィルタエンジン230上にトラフィックフィルタ250のプロビジョニングを予め行い、また、センサ234/236上にセンサフィルタ248を予めプロビジョニングする。さらに、ISPネットワークの防御の姿勢/ポリシーに応じて、解析エンジンは、いくつかのトラフィックフィルタ250およびセンサフィルタ258を無効にすることによってフィルタルータ230およびセンサ234/236におけるフィルタリングの重大度を自動的に調節することができ、したがってマルチレベルのフィルタリングを作成することができる。
【0022】
同様に、解析エンジン232、センサフィルタ248、およびトラフィックフィルタ250の更新も行う。DDoSフラッディングトラフィックおよびDDoS制御トラフィックを検出するために使用されるセンサフィルタ248は、既知の攻撃ツールのシグネチャに基づいている。新しい攻撃ツールが作り出されたときは、その新しいツールのシグネチャに対応する新しいセンサフィルタが必要とされる。したがって、解析エンジンは、必要とされる新しいセンサフィルタ248をダウンロードすることによって、定期的にセンサ234および236を更新することができる。同様に、フィルタルータ230にあるトラフィックフィルタ250は、既知の攻撃ツールのシグネチャに基づき、さらに、後述するように、ボーダルータを介した予測されるIPパケットの流れにも基づいている。新しい攻撃ツールが作り出され、またIPルーティング/フローを変更するネットワーク設定が変更されるのに応じ、やはり、解析エンジンは、必要とされる新しいトラフィックフィルタ250をダウンロードすることによって、フィルタルータ230を定期的に更新することができる。
【0023】
最後に、解析エンジン232は、ISPネットワークのエッジにおいてDDoS攻撃を遮断するのを支援する。具体的には、トラフィックフィルタ250がパケットを廃棄していく際、解析エンジンは、各IP−in−IPトンネル238、240、242、244、および246についてフィルタルータ230によって維持されるパケット廃棄カウンタ(packet−drop−counter)に、定期的にポーリング(poll)することができる。どのフィルタがパケットを廃棄しているかを知ることにより、解析エンジンは、どのボーダおよび/またはエッジルータ220、222、224、226、および230がDDoSフラッディングを生成するために使用されているか、したがって、どのピア自律システム208、210、212、204、および206がDDoSフラッディングを生成するために使用されているかを決定することができる。これには、攻撃元を決定し遮断しようと試みる場合に、ボーダおよびエッジルータなど稼動中のネットワークルータにアクセスする必要がないという利点がある。
【0024】
同様に、解析エンジン232は、DDoS攻撃がいつ完了したかを決定することができ、ネットワークをその元の状態に回復することができる。具体的には、フィルタルータ230によって維持されるパケット廃棄カウンタを定期的にポーリングすることにより、解析エンジン232は、いつカウンタがもはや増分されないかを決定することができる。解析エンジン232は、カウンタが増分を停止したときにDDoS攻撃が終了したと結論付けることができる。したがって、解析エンジン232は、DDoSおよび非DDoSトラフィックをもはやフィルタルータ240にリダイレクトしないようボーダおよびエッジルータに指示するeBGPルーティング情報を、ボーダおよびエッジルータに送るようにフィルタ240を設定することができ、したがってネットワークは元の状態に回復する。
【0025】
図示されているフィルタルータ230を参照すると、それはISPネットワーク202内にある。ISPネットワークのサイズ、ならびに/またはISPネットワークからサービスを受ける顧客ネットワーク204および206の数およびサイズに応じて、本発明のシステムは、複数のフィルタルータを含むことができる。これらのフィルタルータは、本発明の独創的なトラフィックフィルタ250に対応する複数の特定のパケットフィルタを有し、パケットフィルタリングファイアウォール機能を有する、市販の入手可能なハイエンドルータである。またはこれに代えて、フィルタルータ230は、別個のハイエンドルータ、および別個のファイアウォールを有する2つの市販の入手可能なシステムを備えることができる。ここでは、本発明の独創的なトラフィックフィルタ250は、ファイアウォールコンポーネント内に組み込まれている。
【0026】
解析エンジン232がアクセスして、上述のフィルタルータに事前に所定の値を設定し、および自動的に設定することが可能である。解析エンジンは、事前設定によって、予め定められたある時間に、トラフィックフィルタ250を、IP−in−IPトンネル238、240、242、244、および246の各入口ポートに設ける。さらに、解析エンジンは、トラフィックフィルタ250を必要に応じて更新することもできる。解析エンジンは、自動化設定によって、フィルタルータが、DDoS攻撃時に新しいルーティング情報を公示するように設定する。フィルタルータと解析エンジンの間での事前設定および自動化設定の通信は、IPSecトンネルなどのセキュアな通信を介して行われることが好ましい。
【0027】
フィルタルータは、ISPネットワーク202内の各ボーダおよびエッジルータ220、222、224、226、および228と共に、予めプロビジョニングされたIP−in−IPトンネル238、240、242、244、および246を維持する。あるいは、複数のフィルタルータがISPネットワーク内に設置されている場合、各フィルタルータは、ボーダおよびエッジルータのうち一部だけに割り当てることができ、この場合は、IP−in−IPトンネルは、フィルタルータとそれが割り当てられたボーダ/エッジルータの間だけで維持される。各IP−in−IPトンネルを介して、フィルタルータ230は、その対応するボーダ/エッジルータと共にeBGPセッションを維持する。さらに、ボーダおよびエッジルータは、IP−in−IPトンネルを使用して、DDoS攻撃の際にDDoSおよび非DDoSトラフィックをフィルタルータにリダイレクトする。したがって、IP−in−IPトンネルにより、フィルタルータ、ボーダルータ、およびエッジルータの間は論理的に隣接していることを維持し、それによって、フィルタルータ、ならびにボーダおよびエッジルータが、ISPネットワーク202内で物理的に隔離されることが可能になる。IP−in−IPトンネルは、フィルタルータ/解析エンジンが起こり得るDDoS攻撃の通知を受けるのに先立って、ネットワーク設定の際に予めプロビジョニングれることに留意されたい。
【0028】
本発明によれば、顧客ネットワーク204に関連付けられたセンサ234などのセンサが、DDoS攻撃を検出し、このイベントを解析エンジン232に通知したとき、解析エンジンは、フィルタルータ230を、新しいルーティング情報を公示するように設定する。フィルタルータは、それが各ボーダおよびエッジルータと共に維持するeBGPセッションを用いて、この新しいルーティング情報を公示する。フィルタルータによって公示された新しいルーティング情報は、顧客ネットワーク204に向けて送られることになっているすべてのDDoSおよび非DDoSトラフィックを、例えばIP−in−IPトンネルを介してフィルタルータ230に向けて送るように、ボーダおよびエッジルータに指示する。
【0029】
ボーダおよびエッジルータが、前述のように再設定されると、フィルタルータ230は、IP−in−IPトンネル238、240、244、および246の入口ポイントでDDoSおよび非DDoSトラフィックの両方の受け取りを開始する。予め定められた/予め設けられたトラフィックフィルタ250のセットは、各IP−in−IPトンネル238、240、244、および246のフィルタルータの入口ポートにある。悪意のあるトラフィックを除去するため、ボーダ/エッジルータからリダイレクトされたトラフィックは、DDoS攻撃の際に自動的にこれらのフィルタに通される。トラフィックフィルタが、非DDoSトラフィックを通過させ、次いで、フィルタルータが、このトラフィックをエッジルータ226および顧客ネットワーク204に送るためにISPネットワーク202に送り返す。フィルタルータは、顧客ネットワーク204に非DDoSトラフィックを送るために、(顧客ネットワーク204が攻撃を受けていることを想定して)IP−in−IPトンネル242を使用しないことに留意されたい。
【0030】
予め定められた/予め設けられたトラフィックフィルタ250については、本発明によるいくつかの種類がある。第1組のトラフィックフィルタ250は、StacheldrahtおよびTFN2Kなど既知のDDoS攻撃メカニズムのシグネチャと合致するトラフィックを除去する、シグネチャに基づくフィルタである。第2組のトラフィックフィルタ250は、様々なプロトコル標準で有効であると定義された範囲を越えるフィールド値を有するパケットを除去する。最後に、本発明によれば、第3組のトラフィックフィルタ250は、「入口ボーダルータフィルタ(ingress border router filter)」である。具体的には、ISPネットワーク202(またはISP顧客ネットワーク204/206)に割り振られずにISPネットワーク内の特定のIPアドレスに向けられる特定のIPアドレスブロックから到着するトラフィックは、ISPネットワーク202に隣接する特定のピア自律システム208、210、および212にマップすることができることを本発明者は発見した。言い換えれば、ISPネットワーク202の外部のアドレスから開始する任意のIPアドレスブロックからのトラフィックが与えられたとすると、どのピア自律システム210、212、または208から(すなわち、どのボーダルータ220、222、または224を介して)、そのトラフィックがISPネットワーク202に入るのかを予め定めることができる。あるIPアドレスブロックに関連する外部トラフィックは、予め定められたピア自律システムから発信されても、単にそのシステムを使用してISPネットワークに入ってもよいことに留意されたい。攻撃者がIPスプーフィングを用いて攻撃元のクライアントおよびエージェントを隠すことが多いので、この発見によりDDoS攻撃トラフィックをさらに除去することが可能となる。言い換えれば、DDoS攻撃の際に、隣接ピア自律システム210、212、または208/ボーダルータ220、222、または224からISP202に入ってくる悪意のあるトラフィックは、その隣接するピア自律システム/ボーダルータからISPネットワークに入る通常のトラフィックと一致しないソースIPアドレスをしばしば有する。したがって、通常は各ボーダルータを通過しISPネットワーク202に向けて送られる予定のIPアドレスブロックを知ることにより、フィルタルータ230に1組の「入口ボーダルータフィルタ」を予め設ける。所与のボーダルータからのIP−in−IPトンネルの入口ポート上に与えられた「入口ボーダルータフィルタ」は、そのボーダルータを介してISPネットワークに通常入るソースIPアドレスを有していないトラフィックを除去する。本発明によれば、フィルタルータ230に、上述の種類とは別の種類のトラフィックルータ250を設けることもできることに留意されたい。
【0031】
ボーダおよびエッジルータ220、222、224、226、および228を参照すると、これらは、市販の入手可能な製品である。これらのシステムは、IP−in−IPトンネルを事前に設定する必要がある以外は、通常通りに動作し、DDoS攻撃を軽減するために解析エンジン232によるアクセスを必要としない。
【0032】
本発明の独創的な、ボーダ/エッジルータ、IP−in−IPトンネル、解析エンジン、およびフィルタルータ/トラフィックフィルタの組み合わせは、いくつかの利点を有する。第1に、複数のフィルタルータが使用される場合、フィルタルータ間またはボーダルータ間での同期/調整が必要ではない。したがって、追加の顧客ネットワークがISPネットワーク202に追加され、かつ/または追加のピアネットワークがISPネットワークに組み込まれる場合、本発明の独創的なシステムは、追加のフィルタルータおよびボーダ/エッジルータを追加することによって容易に拡張される。第2に、攻撃を受けている顧客ネットワークに向けて送られる予定のDDoSおよび非DDoSトラフィックは、IP−in−IPトンネルを使用して、フィルタルータに経路変更されるため、ISPネットワーク202のコアを構成するルータは、攻撃を軽減するために再設定する必要がない。したがって、攻撃を受けていない顧客ネットワークに向けて送られるトラフィックは、影響を受けない。同様に、本発明の独創的なシステムは、攻撃を緩和するために、稼動中のネットワークルータにアクセスする必要がなく、このようなアクセスする必要がないネットワークルータには、コアネットワークルータが含まれ、さらに重要なことにボーダおよびエッジルータも含まれる。これらのボーダおよびエッジルータは、ISPネットワークの既存の機能/プロトコル(すなわちeBGP)を用いて再設定される。第3に、ハイエンドフィルタルータは、悪意のあるトラフィックを除去するので、エッジルータ226/228、アクセスリンク216/217、およびアクセスルータ214/215の限られた資源が、悪意のあるトラフィックによって、より多く費やされることがない。したがって、攻撃が緩和されたあと、非DDoSトラフィックの遅延は最小限になる。
【0033】
図3A〜3Cは、本発明の独創的なDDoS検出および軽減システムの動作を示す簡略化されたネットワークを示す図である。図3Aでは、顧客ネットワーク204は、ピア自律システム210および212、ならびに顧客ネットワーク206から、悪意のあるDDoSトラフィック302、および所望の非DDoSトラフィック304を受け取っている(要素305は、DDoSおよび非DDoSトラフィックについての手掛かりを与えている)。図3Bに示すように、センサ234のセンサフィルタ248は、DDoS攻撃を検出し、センサは、攻撃通知306を解析エンジン232に発行する。解析エンジンは、矢印308で示すように、フィルタルータ230を、ボーダおよびエッジルータ220、222、および228に新しいルーティング情報を公示するように設定し、この新しいルーティング情報の公示は、矢印310、312、および314で示されている。フィルタルータは、それがボーダおよびエッジルータと共にIP−in−IPトンネル238、240、および244を介して維持するeBGPセッションによって、新しいルーティング情報を公示する。図3Cに示すように、新しいルーティング情報に応答して、ボーダおよびエッジルータは、顧客ネットワーク204を対象とするDDoSトラフィック302および非DDoSトラフィック304をリダイレクトして、(要素307は、リダイレクトされたDDoSおよび非DDoSトラフィックについての手掛かりを与えている)IP−in−IPトンネル238、240、および244を介してフィルタルータ230に送る。フィルタルータは、トラフィックフィルタ250によって、DDoSトラフィックを、IP−in−IPトンネルを介して受け取った着信トラフィックから除去し、非DDoSトラフィックを、矢印312で示すように、ISPネットワーク202上に返して顧客ネットワークに向けて渡す。
【0034】
本発明の上述の実施形態は例示にすぎない。他の多数の実施形態は、本発明の趣旨および範囲を逸脱することなく当業者によって考案することができる。
【0035】
頭字語の説明
DOS: サービス妨害(Denial of Service)
DDoS: 分散サービス妨害(Distributed Denial of Service)
DSL: デジタル加入者線(digital Subscriber Line)
eBGP: 外部ボーダゲートウェイプロトコル(External Border Gateway Protocol)
IMCP: インターネット制御メッセージプロトコル(Internet Control Message Protocol)
IDMEF: 侵入検知メッセージ交換フォーマット(Intrusion Detection Message Exchange Format)
IP: インターネットプロトコル(Internet Protocol)
IPSec: IPセキュリティ(IP Security)
ISDN: 総合デジタル通信サービス網(Integrated Services Digital Network)
ISP: インターネットサービスプロバイダ(Internet Service Provider)
SOHO: スモールオフィス/ホームオフィス(Small Office/Home Office)
TCP: 伝送制御プロトコル(Transmission Control Protocol)
UDP: ユーザデータグラムプロトコル(User Datagram Protocol)
XML: 拡張マークアップ言語(Extensible Markup Language)
【図面の簡単な説明】
【0036】
【図1】本発明の独創的なDDoS検出および軽減システムを適用することができる従来技術の例示的ネットワークであって、ISPネットワーク、ISPネットワークからサービスを受ける顧客ネットワーク、および、ISPネットワークに対してピアの複数の自律システムを含むネットワークを示す図である。
【図2】図1に示すネットワークに適用される本発明の独創的なDDoS検出および軽減システムの例示的実施形態を示す図であり、本発明の独創的なシステムは、顧客ネットワークに向けられたDDoS攻撃を検出するためのセンサを含み、さらに、ISPネットワーク内に、検出された攻撃を軽減するための、解析エンジン、フィルタルータ、ボーダ/エッジルータ、およびIP−in−IPトンネルを含む図である。図である。
【図3A】図2に示す本発明のDDoS検出および軽減システムの動作の実例を示し、顧客ネットワークがDDoSおよび非DDoSトラフィックを受け取ることを示す図である。
【図3B】図2に示す本発明のDDoS検出および軽減システムの動作の実例を示し、顧客ネットワークに関連付けられたセンサが、解析エンジンに攻撃について通知することを示し、さらに、解析エンジンが、顧客ネットワークに向かう予定のトラフィックについての新しいルーティング情報を、IP−in−IPトンネルを介してボーダおよびエッジルータに公示するように、フィルタルータを設定することを示す図である。
【図3C】図2に示す本発明のDDoS検出および軽減システムの動作の実例を示し、DDoSおよび非DDoSトラフィックが、ボーダおよびエッジルータによってリダイレクトされ、IP−in−IPトンネルを介してフィルタルータに送られること、ならびに、フィルタルータが、DDoSトラフィックを除去し、非DDoSトラフィックを、顧客ネットワークに送るためにISPネットワーク上に返すことを示す図である。
【技術分野】
【0001】
本発明は、一般に、通信ネットワーク上でのサービス妨害攻撃および分散サービス妨害攻撃(併せてDDos攻撃と呼ばれる)などのサービス攻撃を軽減することに関する。より詳細には、本発明は、エッジ/顧客ネットワークに向けられたDDos攻撃を検出すること、ならびに、サービスプロバイダネットワークにおけるDDosおよび非DDosトラフィックをリダイレクトし、次いで、DDosトラフィックがエッジ/顧客ネットワークに到達する前に選択的にそのトラフィックを除去することによってこのような攻撃を軽減することに関する。
【背景技術】
【0002】
サービス妨害(DoS)攻撃および分散サービス妨害(DDoS)攻撃は、インターネットにおいて引き続き増大しつつある懸念材料である。DoS攻撃では、大量の偽装したネットワークトラフィックによって、コンピュータが、ターゲットとするシステムにフラッディング(flood)を起こさせる。DDoS攻撃は、DoS攻撃に類似するがそれよりも大規模なものである。この場合、ハッカーは、クライアントコンピュータを使用して、通常はインターネットを介して地理的に分散している複数のエージェントコンピュータに侵入する。ハッカーは、エージェントにアクセスすると、ターゲットとするネットワークおよび/またはサーバを偽装したネットワークトラフィックによってフラッディングを起こすため、クライアントコンピュータによって制御され後で他のエージェントと連動してクライアントコンピュータによって使用されるソフトウェアモジュールをインストールする。DDoS攻撃は、DoS攻撃と比べて、より大量のトラフィックを発生させ、また多数のトラフィックのソースがあるため、攻撃を阻止することがより難しくなり、さらに破壊的なものとなる。
【0003】
一般に、DoSおよびDDoS攻撃は、ターゲットのネットワークのバンド幅を消費し、ターゲットのサーバを酷使し、それによって、正当なトラフィック/ユーザが、ターゲットのネットワークおよびサーバにアクセスするのを妨害することを目的としている。このような攻撃は、TFN2K、およびStacheldraht(シュタッヒェルドラート)のようなインターネットから容易に入手可能な攻撃ツールを使用して比較的簡単に作り出すことができるため、今日では深刻な問題となっている。一般に、DoSおよびDDoS攻撃は、ネットワークの活動を停止させ、したがってビジネスの活動を数時間あるいは数日間も停止させるおそれがある。
【0004】
DoSおよびDDoS攻撃(以下、DDoSを、DoS攻撃とDDoS攻撃の両方を指すものとして使用する)を検出し軽減するためにいくつかのシステムが開発された。これらのシステムは、1つのエンティティのネットワーク内にその全体が存在し、攻撃の検出と軽減の両方をこのネットワークにおいて(at this point)行う。図1は、具体的には、インターネット102、ISP(インターネットサービスプロバイダ)ネットワーク104、ISPネットワーク104のサービスを受けるエッジ/顧客ネットワーク106、ならびに複数のピアの自律システム108、110、および111を含む、例示的なネットワークを示す。インターネット102、ISPネットワーク104、およびピアの自律システム108、110、および112は、ボーダルータ114、116、118、120、122、124、126、および128によって相互接続され、ISPネットワーク104、および顧客ネットワーク106は、エッジルータ130、アクセスルータ132、およびアクセスリンク134によって相互接続されている。顧客ネットワーク106およびそのネットワーク内のサーバなどターゲットのネットワークに対するDDoS攻撃は、インターネット102、およびピアの自律システム108、110、および112に位置する複数のエージェントから発信される。従来のDDoS検出および軽減システムは、専用のハードウェアを備え、それは顧客ネットワーク106内に設けられる。これらのシステムは、ネットワークに入ってくるインターネットトラフィックを監視することにより、DDoS攻撃を軽減する。これらのシステムは、そのようなトラフィックを解析して、期待されるトラフィックプロファイルからの逸脱があるかどうかを決定し、または、ある種の攻撃に固有のシグネチャ(すなわち、各種のDDoS攻撃によって生成されたパケットは、攻撃の種類に応じて固有のパターンを有するが、そのパターンをシグネチャと呼ぶ)をトラフィックが有するかどうかを決定する。これらのシステムは、期待されるプロファイルに反し、または既知のシグネチャと一致するトラフィックを検出すると、1組のフィルタを設定してファイアウォールのように機能し、それにより悪意のあるトラフィックがさらにネットワーク106に入るのを防止する。
【発明の開示】
【発明が解決しようとする課題】
【0005】
これらのシステムは、攻撃を検出し軽減することができるが、いくつかの欠点を有する。第1に、ISPによってサービスされる各顧客ネットワーク106では、攻撃を検出し軽減するための専用ハードウェアを購入する必要がある。専用ハードウェアは、大規模の顧客には選択肢となり得るが、このようなシステムを入手することができないSOHO(スモールオフィス/ホームオフィス)などのより小規模の顧客には、実行可能な解決策ではない。結果として、このようなより小規模な顧客は、DDoS攻撃の軽減をISPに依頼することになる。しかし、悪意のあるクライアント/エージェントは、IP(インターネットプロトコル)ソースアドレスのスプーフィング(spoofing)を用いて、その身元を隠すことが多いため、しばしばISPが攻撃を緩和することが困難となる。IPスプーフィングのため、ISPは、まず稼動中のルータにアクセスすることなく、悪意のあるトラフィックのネットワーク内への入口点を簡単に決定することはできず、その結果、悪意のあるトラフィックを除去するためにISPが適切なフィルタを設定することは容易ではないのである。このような従来のシステムの第2の欠点は、ターゲットにおいてDDoS攻撃を軽減することが難しいことである。上述したように、具体的には、DDoS攻撃が検出されると、トラフィックのフィルタリングは、顧客ネットワーク106において行われる。したがって、ISPネットワーク104は、続いて、エッジルータ130、アクセスルータ132、およびアクセスリンク134を介して顧客ネットワーク106において、悪意のあるトラフィックと有効なトラフィックの両方について集約して方向付けるが、そのアクセスリンクは、例えば、T−1、デジタル加入者線、またはISDN(総合デジタル通信サービス網)などの数百kbpsの比較的狭いバンド幅を有することがある。したがって、このような従来のシステムは、顧客ネットワーク106内からボトルネック(bottleneck)を除去する一方で、顧客ネットワークにアクセスするために使用される(エッジルータ、アクセスリンク、およびアクセスルータを含む)限られた資源は、引き続き、DDoS攻撃によって消費される可能性があり、したがって引き続き、DDoS攻撃によって、有効なネットワークトラフィックに対するボトルネックが作り出されることを阻止できない。その結果、顧客ネットワーク106を対象とする有効なネットワークトラフィックは、やはり悪意のあるトラフィックと競合しなければならなくなる。したがって、このような現行のシステムでは、攻撃が充分に軽減されないという問題がある。
【0006】
したがって、従来のシステムの欠点を解消し、顧客ネットワークに対するDDoS攻撃を含めたサービス攻撃を検出し軽減する方法および装置を有することが望ましい。
【課題を解決するための手段】
【0007】
具体的には、本発明によれば、ISPネットワークの各顧客ネットワークにセンサが関連付けられる。このセンサは、顧客ネットワークに入っていくネットワークトラフィックにアクセス可能で、DDoS攻撃を検出することを目的とする、複数のセンサフィルタを含むモジュールである。このセンサモジュールは、顧客ネットワークまたはISPネットワーク内に設置されたホストプラットフォーム上で実行される。このホストプラットフォームは、DDoSトラフィックを検出するために専用のものであるか、あるいは、顧客ネットワークまたはISPネットワーク内に既に設置され他の機能を担っている既存のプラットフォームである。センサは、攻撃を検出すると、攻撃を軽減するために、ISPネットワーク内に配置されている解析エンジンに通知を行う。
【0008】
攻撃の通知を受け取ると、攻撃されている顧客ネットワークに基づいて、解析エンジンは、やはりISPネットワーク内に配置される1つまたは複数のフィルタルータを設定する。具体的には、各フィルタルータは、ISPネットワークを構成するボーダルータおよびエッジルータの全部または一部と共に、IP−in−IPトンネルを維持し、さらに、これらのIP−in−IPトンネルを介して、それにより接続された各ボーダおよびエッジルータと共に、外部ボーダゲートウェイプロトコル(external border gateway protocol)(eBGP)セッションを維持する。解析エンジンは、eBGPセッションを使用して、新しいルーティング情報をボーダおよびエッジルータに公示するように、フィルタルータを設定する。新しいルーティング情報は、ボーダおよびエッジルータに、攻撃を受ける顧客ネットワークに向けられているすべてのDDoSトラフィックおよび非DDoSトラフィックを経路変更し、IP−in−IPトンネルを使用してフィルタルータに向けて送るように指示する。
【0009】
フィルタルータにおいて、IP−in−IPトンネルの入口ポートには、1組の予め設けられたトラフィックフィルタがある。ボーダおよびエッジルータからリダイレクトされたDDoSおよび非DDoSトラフィックは、自動的にこれらのフィルタを介して渡され、それによってDDoSトラフィックが除去される。DDoS以外のトラフィックは、ISPネットワークに送り返され、顧客ネットワークに向けて送られる。
【0010】
本発明の独創的な検出および軽減システムの結果として、DDoSトラフィックは、まだISPネットワーク内にある間にハイエンドシステムによって除去され、集約されてカスタマネットワークに向け送られることはなく、したがって、DDoSでないトラフィックは、DDoS攻撃の影響を受けずに大部分が顧客ネットワークに向けて移動することが可能になる。さらに、本発明の独創的なシステムは、ISPネットワークが成長するのに伴い、追加のフィルタルータおよびボーダ/エッジルータを加えることにより、容易に拡張することができる。さらに、DDoSおよび非DDoSのトラフィックを、ボーダおよびエッジルータからフィルタルータにリダイレクトするためにIP−in−IPトンネルが使用されるので、ISPネットワークのコアを構成するルータを、攻撃を軽減するときに再設定する必要がない。結果として、本発明の独創的なシステムは、攻撃の対象となっていない顧客ネットワークに向けられたトラフィックに影響を与えない。最後に、本発明の独創的なシステムは、各顧客ネットワークに設置される専用/特別のハードウェアを必要としない。
【発明を実施するための最良の形態】
【0011】
図2は、エッジ/顧客ネットワーク204/206におけるDDoS攻撃を動的に検出しこれらの攻撃を軽減するための本発明の独創的なDDoS検出および軽減システムの、例示的な実施形態を示す図である。本発明の独創的なシステムの特徴は、顧客ネットワーク204/206に向けられたDDoS攻撃を検出し、ISPネットワーク202においてこれらの攻撃を軽減することである。重要な点は、本発明の独創的なシステムは、各顧客ネットワークにおいて特別な専用ハードウェアの設置を必要としないということである。さらに、本発明の独創的なシステムは、ISPネットワーク内においてDDoS攻撃を軽減するため、悪意のあるトラフィックは、エッジルータ226/228、アクセスルータ214/215、およびアクセスリンク216/217を介して顧客ネットワーク204/206に向けて送られることはなく、したがってDDoSでないトラフィックに対するDDoSトラフィックの影響が除去されるようになるという点が重要である。
【0012】
具体的には、本発明の独創的なDDoS検出および軽減システムは、ボーダルータ220、222、および224、ならびにエッジルータ226、および228を含めたISPネットワーク202内の既存のインフラストラクチャを含み、さらにISPネットワーク内に配置された1つまたは複数のフィルタルータ230(図2には1つのフィルタルータのみを示す)、フィルタルータ230内に配置された複数のトラフィックルータ250、各ボーダおよびエッジルータから各フィルタルータへの予め設けられたIP−in−IPトンネル238、240、242、244、および246、ISPネットワーク内に配置された解析エンジン232、各顧客ネットワーク204/206に関連付けられたセンサ234/236、ならびに各センサ234/236に配置された複数のセンサフィルタ248を備える。ISPネットワーク202は、複数のコアネットワークルータおよび接続機器(connection)をさらに備え、これらのルータおよび接続機器は、解析エンジン232、フィルタルータ230、ならびにボーダおよびエッジルータ220、222、224、226、および228を相互に接続する。作図を容易にするため、図2には、このようなコアのルータおよび接続機器を示していない。
【0013】
本発明によれば、センサ234/236は、ISPネットワーク202からエッジルータ226/228、アクセスリンク216/217、およびアクセルータ214/215を経由して顧客ネットワーク204/206に入るすべてのトラフィックを監視し、起こり得るDDoS攻撃に関してセンサフィルタ248を介して解析する。ネットワーク204などの顧客ネットワークに対するDDoS攻撃は、インターネット208、ピアの自律システム210および212、ならびに/またはISPネットワーク202からサービスを受ける他の顧客ネットワーク206から発信される可能性がある。センサ204などのセンサは、攻撃を検知し、解析エンジン232にその攻撃について伝える。このような攻撃の表示を受け取ると、解析エンジン232は、各ボーダルータ220、222、および224、ならびに各エッジルータ228に新しいルーティング情報を公示する(あるいは、2つ以上のフィルタルータが用いられる場合は、ボーダおよびエッジルータの一部に公示する)よう、1つまたは複数のフィルタルータ230を設定する。フィルタルータ230は、IP−in−IPトンネル238、240、244、および246を介して、この新しいルーティング情報をボーダおよびエッジルータに公示する。この新しいルーティング情報は、ボーダおよびエッジルータに、顧客ネットワークに向けられているすべてのDDoSおよび非DDoSトラフィックを経路変更し、IP−in−IPトンネル238、240、244、および246を使用してフィルタルータ230に送るように指示する。トラフィックフィルタ250は、IP−in−IPトンネル238、240、244、および246の入口ポートに予めプロビジョニングされており、ボーダおよびエッジルータからリダイレクトされたトラフィックを自動的にフィルタリングして、DDoSトラフィックを除去し、すべての非DDoSトラフィックをISPネットワーク202に送り返して顧客ネットワーク204に転送する。本発明の独創的な検出および軽減システムを使用した結果、DDoSトラフィックは、ISP202内にあるうちにハイエンドシステムによって除去され、エッジルータ226、アクセスリンク216、およびアクセスルータ214を介し顧客ネットワーク204に向けて集約され送られることがなくなり、したがって、これらの資源におけるボトルネックの発生が防止される。したがって、非DDoSトラフィックは、DDoS攻撃の影響を受けずに大部分が顧客ネットワーク204に向けて引き続き移動することが可能になる。
【0014】
後にさらに説明するが、センサ234/236およびセンサフィルタ248は、顧客ネットワークおよび/またはISPネットワーク内の既存のハードウェアモジュール上に存在することが望ましく、それによって顧客ネットワーク内に専用の特別なハードウェアを設置する必要が回避される点も重要である。さらに、IP−in−IPトンネル238、240、242、244、および246が、ボーダおよびエッジルータ220、222、224、226、および228からフィルタルータ230にトラフィックをリダイレクトするために使用されることから、DDoS攻撃を軽減するためにISPネットワーク202を再設定する必要はなく、したがって他のトラフィック、および攻撃のターゲットでなくISPネットワーク202からサービスを受ける他の顧客ネットワークに対し発生する可能性のある影響が回避される。同様に、本発明の独創的なシステムは、攻撃を軽減するため、コアネットワークルータ、ならびにボーダおよびエッジルータを含めて稼動中のネットワークルータにアクセスする必要がない。
【0015】
次に、本発明の独創的なDDoS検出および軽減システムを構成する各コンポーネントを詳細に説明する。センサ234/236は、ISPネットワーク202から顧客ネットワーク204/206に入るすべてのトラフィックに対して可視性を有する。センサは、(図2に示す)顧客ネットワークに、またはISPネットワーク202に対する顧客ネットワークのアクセスポイントに設置されたホストプラットフォーム上で(すなわち、顧客ネットワークに入るすべてのトラフィックに対してセンサが可視性を有する位置で)実行される。このホストプラットフォームは、DDoSトラフィックを検出するために専用のものか、または顧客ネットワークおよび/またはISPネットワーク内に既に設置され他の機能を担っている既存のプラットフォームである。センサ234/236を使用することに加え、本発明によるDDoS検出および軽減システムは、顧客ネットワーク内に設置されたサードパーティの侵入検知システムに組み込むこともできることに留意されたい。このようなシナリオでは、サードパーティの侵入検知システムは、上述のように、DDoS攻撃を検出し、それを解析エンジン232に通知して、攻撃を軽減する。同様に、本発明の独創的なシステムは、手動で活動状態にすることもでき、その場合、顧客ネットワークの管理者が、DDoS攻撃をISPに報告し、次いでISPが解析エンジン232を活動状態にする。
【0016】
センサ234/236は、顧客ネットワークに入るすべてのトラフィックを監視し、顧客ネットワークに流れ込む現在のTCP(伝送制御プロトコル)、UDP(ユーザデータグラムプロトコル)、ICMP(インターネット制御メッセージプロトコル)、およびIPのパケットに関係するパケット種別の情報を、センサフィルタ248を介して追跡し、顧客ネットワークに入っていくビットレートに関係するレートの種別情報を追跡する。センサフィルタ248は、いくつかの種類を含む。第1組のセンサフィルタ248は、パケットに基づく情報を使用して、StacheldrahtおよびTFN2Kなど既知のDDoS攻撃ツールに対応するDDoSフラッディングトラフィックに対してシグネチャに基づく検出を実行する。第2組のセンサフィルタ248は、無効のフィールド値に関してパケットヘッダを解析する。具体的には、本発明者は、プロトコル標準に基づいて、様々なプロトコルについて様々なパケットヘッダフィールドでの有効な値の範囲を決定した。センサフィルタは、パケットヘッダを解析して、定義された有効値の範囲を越えたフィールド値を探し、無効なフィールド値が発見されたときにエラーを検出する。第3組のセンサフィルタは、ビットレート情報を使用して、設定可能な閾値に基づき、DDoSフラッディングトラフィックに対して量に基づく検出を実行する。DDoSフラッディングトラフィックのシグネチャに基づく検出は、既知の攻撃ツールを対象とし、パケットヘッダ検出は、定義されたプロトコル標準に基づいているが、量に基づく検出は、新しい/未知の種類のDDoS攻撃を検出することができる。
【0017】
DDoS攻撃を検出することに加え、第4組のフィルタ248は、収集したパケット情報を使用して、DDoS制御トラフィックのシグネチャに基づく検出を実行する。制御トラフィックを検出することにより、センサフィルタは、対応する顧客ネットワーク内のホストが、DDoS攻撃元のクライアントまたはエージェントとしてアクセスされ利用されているかどうかを決定することができる。本発明によれば、上記以外の他の種類のセンサフィルタ248を、センサ234/236に設けることもできることに留意されたい。
【0018】
DDoS制御トラフィックが検出されたかどうか、あるいは、DDoS攻撃が検出されたかどうかにかかわらず、センサ234/236は、このイベントの通知を解析エンジン232に送る。具体的には、センサ234/236がDDoS制御トラフィックを検出した場合、センサはDDoS制御シグネチャに基づく通知を解析エンジンに送る。センサがDDoS攻撃を検出した場合、センサはDDoS攻撃に基づく通知を解析エンジン232に送る。
【0019】
センサ234/236と解析エンジン232の間の通知の通信は、任意の種類の通信チャネルを介して行うことができる。ただし、センサ234/236と解析エンジン232の間での通信は、IPSec(IPセキュリティ)トンネルを介して行われることが好ましく、このトンネルは手動または自動で確立することができる。さらに、通知は、侵入検知メッセージ交換フォーマット(Intrusion Detection Message Exchange Format)(IDMEF)を用いてフォーマットされることが好ましく、それにより、解析エンジンは、上述のようにサードパーティの侵入検知システムに容易に組み込むことができる。このようなデータフォーマットは、例えばXML(拡張マークアップ言語)を使用して実装することができる。
【0020】
解析エンジン232は、例えばネットワークオペレーションセンタにおけるISPネットワーク202内に存在し、各顧客ネットワーク204および206に関連付けられた1つまたは複数のセンサ234および236にサービスする。先に示したように、本発明によれば、センサがDDoS制御トラフィックまたはDDoS攻撃を検出したとき、解析エンジンはセンサから自動通知を受け取る。解析エンジンは、DDoS制御に基づく通知を受け取ったとき、ISPポリシーマネージャ(policy manager)に通知を行う。解析エンジンは、DDoS攻撃に基づく通知を受け取ったとき、1つまたは複数のフィルタルータ230を設定することにより自動的に攻撃を軽減する。具体的には、解析エンジンは、新しいルーティング情報をボーダおよびエッジルータ220、222、224、226、および228に公示するようにフィルタルータを設定する。フィルタルータからの新しいルーティン情報は、攻撃を受ける顧客ネットワークに向けて送られることになっているすべてのDDoSおよび非DDoSトラフィックを経路変更してフィルタルータに送るようにボーダおよびエッジルータに指示する。
【0021】
ISPネットワーク202により検出された攻撃を軽減することが可能となるが、これに加え、解析エンジン232は、本発明の独創的なDDoS検出および軽減システムの維持も行う。具体的には、解析エンジンは、フィルタエンジン230上にトラフィックフィルタ250のプロビジョニングを予め行い、また、センサ234/236上にセンサフィルタ248を予めプロビジョニングする。さらに、ISPネットワークの防御の姿勢/ポリシーに応じて、解析エンジンは、いくつかのトラフィックフィルタ250およびセンサフィルタ258を無効にすることによってフィルタルータ230およびセンサ234/236におけるフィルタリングの重大度を自動的に調節することができ、したがってマルチレベルのフィルタリングを作成することができる。
【0022】
同様に、解析エンジン232、センサフィルタ248、およびトラフィックフィルタ250の更新も行う。DDoSフラッディングトラフィックおよびDDoS制御トラフィックを検出するために使用されるセンサフィルタ248は、既知の攻撃ツールのシグネチャに基づいている。新しい攻撃ツールが作り出されたときは、その新しいツールのシグネチャに対応する新しいセンサフィルタが必要とされる。したがって、解析エンジンは、必要とされる新しいセンサフィルタ248をダウンロードすることによって、定期的にセンサ234および236を更新することができる。同様に、フィルタルータ230にあるトラフィックフィルタ250は、既知の攻撃ツールのシグネチャに基づき、さらに、後述するように、ボーダルータを介した予測されるIPパケットの流れにも基づいている。新しい攻撃ツールが作り出され、またIPルーティング/フローを変更するネットワーク設定が変更されるのに応じ、やはり、解析エンジンは、必要とされる新しいトラフィックフィルタ250をダウンロードすることによって、フィルタルータ230を定期的に更新することができる。
【0023】
最後に、解析エンジン232は、ISPネットワークのエッジにおいてDDoS攻撃を遮断するのを支援する。具体的には、トラフィックフィルタ250がパケットを廃棄していく際、解析エンジンは、各IP−in−IPトンネル238、240、242、244、および246についてフィルタルータ230によって維持されるパケット廃棄カウンタ(packet−drop−counter)に、定期的にポーリング(poll)することができる。どのフィルタがパケットを廃棄しているかを知ることにより、解析エンジンは、どのボーダおよび/またはエッジルータ220、222、224、226、および230がDDoSフラッディングを生成するために使用されているか、したがって、どのピア自律システム208、210、212、204、および206がDDoSフラッディングを生成するために使用されているかを決定することができる。これには、攻撃元を決定し遮断しようと試みる場合に、ボーダおよびエッジルータなど稼動中のネットワークルータにアクセスする必要がないという利点がある。
【0024】
同様に、解析エンジン232は、DDoS攻撃がいつ完了したかを決定することができ、ネットワークをその元の状態に回復することができる。具体的には、フィルタルータ230によって維持されるパケット廃棄カウンタを定期的にポーリングすることにより、解析エンジン232は、いつカウンタがもはや増分されないかを決定することができる。解析エンジン232は、カウンタが増分を停止したときにDDoS攻撃が終了したと結論付けることができる。したがって、解析エンジン232は、DDoSおよび非DDoSトラフィックをもはやフィルタルータ240にリダイレクトしないようボーダおよびエッジルータに指示するeBGPルーティング情報を、ボーダおよびエッジルータに送るようにフィルタ240を設定することができ、したがってネットワークは元の状態に回復する。
【0025】
図示されているフィルタルータ230を参照すると、それはISPネットワーク202内にある。ISPネットワークのサイズ、ならびに/またはISPネットワークからサービスを受ける顧客ネットワーク204および206の数およびサイズに応じて、本発明のシステムは、複数のフィルタルータを含むことができる。これらのフィルタルータは、本発明の独創的なトラフィックフィルタ250に対応する複数の特定のパケットフィルタを有し、パケットフィルタリングファイアウォール機能を有する、市販の入手可能なハイエンドルータである。またはこれに代えて、フィルタルータ230は、別個のハイエンドルータ、および別個のファイアウォールを有する2つの市販の入手可能なシステムを備えることができる。ここでは、本発明の独創的なトラフィックフィルタ250は、ファイアウォールコンポーネント内に組み込まれている。
【0026】
解析エンジン232がアクセスして、上述のフィルタルータに事前に所定の値を設定し、および自動的に設定することが可能である。解析エンジンは、事前設定によって、予め定められたある時間に、トラフィックフィルタ250を、IP−in−IPトンネル238、240、242、244、および246の各入口ポートに設ける。さらに、解析エンジンは、トラフィックフィルタ250を必要に応じて更新することもできる。解析エンジンは、自動化設定によって、フィルタルータが、DDoS攻撃時に新しいルーティング情報を公示するように設定する。フィルタルータと解析エンジンの間での事前設定および自動化設定の通信は、IPSecトンネルなどのセキュアな通信を介して行われることが好ましい。
【0027】
フィルタルータは、ISPネットワーク202内の各ボーダおよびエッジルータ220、222、224、226、および228と共に、予めプロビジョニングされたIP−in−IPトンネル238、240、242、244、および246を維持する。あるいは、複数のフィルタルータがISPネットワーク内に設置されている場合、各フィルタルータは、ボーダおよびエッジルータのうち一部だけに割り当てることができ、この場合は、IP−in−IPトンネルは、フィルタルータとそれが割り当てられたボーダ/エッジルータの間だけで維持される。各IP−in−IPトンネルを介して、フィルタルータ230は、その対応するボーダ/エッジルータと共にeBGPセッションを維持する。さらに、ボーダおよびエッジルータは、IP−in−IPトンネルを使用して、DDoS攻撃の際にDDoSおよび非DDoSトラフィックをフィルタルータにリダイレクトする。したがって、IP−in−IPトンネルにより、フィルタルータ、ボーダルータ、およびエッジルータの間は論理的に隣接していることを維持し、それによって、フィルタルータ、ならびにボーダおよびエッジルータが、ISPネットワーク202内で物理的に隔離されることが可能になる。IP−in−IPトンネルは、フィルタルータ/解析エンジンが起こり得るDDoS攻撃の通知を受けるのに先立って、ネットワーク設定の際に予めプロビジョニングれることに留意されたい。
【0028】
本発明によれば、顧客ネットワーク204に関連付けられたセンサ234などのセンサが、DDoS攻撃を検出し、このイベントを解析エンジン232に通知したとき、解析エンジンは、フィルタルータ230を、新しいルーティング情報を公示するように設定する。フィルタルータは、それが各ボーダおよびエッジルータと共に維持するeBGPセッションを用いて、この新しいルーティング情報を公示する。フィルタルータによって公示された新しいルーティング情報は、顧客ネットワーク204に向けて送られることになっているすべてのDDoSおよび非DDoSトラフィックを、例えばIP−in−IPトンネルを介してフィルタルータ230に向けて送るように、ボーダおよびエッジルータに指示する。
【0029】
ボーダおよびエッジルータが、前述のように再設定されると、フィルタルータ230は、IP−in−IPトンネル238、240、244、および246の入口ポイントでDDoSおよび非DDoSトラフィックの両方の受け取りを開始する。予め定められた/予め設けられたトラフィックフィルタ250のセットは、各IP−in−IPトンネル238、240、244、および246のフィルタルータの入口ポートにある。悪意のあるトラフィックを除去するため、ボーダ/エッジルータからリダイレクトされたトラフィックは、DDoS攻撃の際に自動的にこれらのフィルタに通される。トラフィックフィルタが、非DDoSトラフィックを通過させ、次いで、フィルタルータが、このトラフィックをエッジルータ226および顧客ネットワーク204に送るためにISPネットワーク202に送り返す。フィルタルータは、顧客ネットワーク204に非DDoSトラフィックを送るために、(顧客ネットワーク204が攻撃を受けていることを想定して)IP−in−IPトンネル242を使用しないことに留意されたい。
【0030】
予め定められた/予め設けられたトラフィックフィルタ250については、本発明によるいくつかの種類がある。第1組のトラフィックフィルタ250は、StacheldrahtおよびTFN2Kなど既知のDDoS攻撃メカニズムのシグネチャと合致するトラフィックを除去する、シグネチャに基づくフィルタである。第2組のトラフィックフィルタ250は、様々なプロトコル標準で有効であると定義された範囲を越えるフィールド値を有するパケットを除去する。最後に、本発明によれば、第3組のトラフィックフィルタ250は、「入口ボーダルータフィルタ(ingress border router filter)」である。具体的には、ISPネットワーク202(またはISP顧客ネットワーク204/206)に割り振られずにISPネットワーク内の特定のIPアドレスに向けられる特定のIPアドレスブロックから到着するトラフィックは、ISPネットワーク202に隣接する特定のピア自律システム208、210、および212にマップすることができることを本発明者は発見した。言い換えれば、ISPネットワーク202の外部のアドレスから開始する任意のIPアドレスブロックからのトラフィックが与えられたとすると、どのピア自律システム210、212、または208から(すなわち、どのボーダルータ220、222、または224を介して)、そのトラフィックがISPネットワーク202に入るのかを予め定めることができる。あるIPアドレスブロックに関連する外部トラフィックは、予め定められたピア自律システムから発信されても、単にそのシステムを使用してISPネットワークに入ってもよいことに留意されたい。攻撃者がIPスプーフィングを用いて攻撃元のクライアントおよびエージェントを隠すことが多いので、この発見によりDDoS攻撃トラフィックをさらに除去することが可能となる。言い換えれば、DDoS攻撃の際に、隣接ピア自律システム210、212、または208/ボーダルータ220、222、または224からISP202に入ってくる悪意のあるトラフィックは、その隣接するピア自律システム/ボーダルータからISPネットワークに入る通常のトラフィックと一致しないソースIPアドレスをしばしば有する。したがって、通常は各ボーダルータを通過しISPネットワーク202に向けて送られる予定のIPアドレスブロックを知ることにより、フィルタルータ230に1組の「入口ボーダルータフィルタ」を予め設ける。所与のボーダルータからのIP−in−IPトンネルの入口ポート上に与えられた「入口ボーダルータフィルタ」は、そのボーダルータを介してISPネットワークに通常入るソースIPアドレスを有していないトラフィックを除去する。本発明によれば、フィルタルータ230に、上述の種類とは別の種類のトラフィックルータ250を設けることもできることに留意されたい。
【0031】
ボーダおよびエッジルータ220、222、224、226、および228を参照すると、これらは、市販の入手可能な製品である。これらのシステムは、IP−in−IPトンネルを事前に設定する必要がある以外は、通常通りに動作し、DDoS攻撃を軽減するために解析エンジン232によるアクセスを必要としない。
【0032】
本発明の独創的な、ボーダ/エッジルータ、IP−in−IPトンネル、解析エンジン、およびフィルタルータ/トラフィックフィルタの組み合わせは、いくつかの利点を有する。第1に、複数のフィルタルータが使用される場合、フィルタルータ間またはボーダルータ間での同期/調整が必要ではない。したがって、追加の顧客ネットワークがISPネットワーク202に追加され、かつ/または追加のピアネットワークがISPネットワークに組み込まれる場合、本発明の独創的なシステムは、追加のフィルタルータおよびボーダ/エッジルータを追加することによって容易に拡張される。第2に、攻撃を受けている顧客ネットワークに向けて送られる予定のDDoSおよび非DDoSトラフィックは、IP−in−IPトンネルを使用して、フィルタルータに経路変更されるため、ISPネットワーク202のコアを構成するルータは、攻撃を軽減するために再設定する必要がない。したがって、攻撃を受けていない顧客ネットワークに向けて送られるトラフィックは、影響を受けない。同様に、本発明の独創的なシステムは、攻撃を緩和するために、稼動中のネットワークルータにアクセスする必要がなく、このようなアクセスする必要がないネットワークルータには、コアネットワークルータが含まれ、さらに重要なことにボーダおよびエッジルータも含まれる。これらのボーダおよびエッジルータは、ISPネットワークの既存の機能/プロトコル(すなわちeBGP)を用いて再設定される。第3に、ハイエンドフィルタルータは、悪意のあるトラフィックを除去するので、エッジルータ226/228、アクセスリンク216/217、およびアクセスルータ214/215の限られた資源が、悪意のあるトラフィックによって、より多く費やされることがない。したがって、攻撃が緩和されたあと、非DDoSトラフィックの遅延は最小限になる。
【0033】
図3A〜3Cは、本発明の独創的なDDoS検出および軽減システムの動作を示す簡略化されたネットワークを示す図である。図3Aでは、顧客ネットワーク204は、ピア自律システム210および212、ならびに顧客ネットワーク206から、悪意のあるDDoSトラフィック302、および所望の非DDoSトラフィック304を受け取っている(要素305は、DDoSおよび非DDoSトラフィックについての手掛かりを与えている)。図3Bに示すように、センサ234のセンサフィルタ248は、DDoS攻撃を検出し、センサは、攻撃通知306を解析エンジン232に発行する。解析エンジンは、矢印308で示すように、フィルタルータ230を、ボーダおよびエッジルータ220、222、および228に新しいルーティング情報を公示するように設定し、この新しいルーティング情報の公示は、矢印310、312、および314で示されている。フィルタルータは、それがボーダおよびエッジルータと共にIP−in−IPトンネル238、240、および244を介して維持するeBGPセッションによって、新しいルーティング情報を公示する。図3Cに示すように、新しいルーティング情報に応答して、ボーダおよびエッジルータは、顧客ネットワーク204を対象とするDDoSトラフィック302および非DDoSトラフィック304をリダイレクトして、(要素307は、リダイレクトされたDDoSおよび非DDoSトラフィックについての手掛かりを与えている)IP−in−IPトンネル238、240、および244を介してフィルタルータ230に送る。フィルタルータは、トラフィックフィルタ250によって、DDoSトラフィックを、IP−in−IPトンネルを介して受け取った着信トラフィックから除去し、非DDoSトラフィックを、矢印312で示すように、ISPネットワーク202上に返して顧客ネットワークに向けて渡す。
【0034】
本発明の上述の実施形態は例示にすぎない。他の多数の実施形態は、本発明の趣旨および範囲を逸脱することなく当業者によって考案することができる。
【0035】
頭字語の説明
DOS: サービス妨害(Denial of Service)
DDoS: 分散サービス妨害(Distributed Denial of Service)
DSL: デジタル加入者線(digital Subscriber Line)
eBGP: 外部ボーダゲートウェイプロトコル(External Border Gateway Protocol)
IMCP: インターネット制御メッセージプロトコル(Internet Control Message Protocol)
IDMEF: 侵入検知メッセージ交換フォーマット(Intrusion Detection Message Exchange Format)
IP: インターネットプロトコル(Internet Protocol)
IPSec: IPセキュリティ(IP Security)
ISDN: 総合デジタル通信サービス網(Integrated Services Digital Network)
ISP: インターネットサービスプロバイダ(Internet Service Provider)
SOHO: スモールオフィス/ホームオフィス(Small Office/Home Office)
TCP: 伝送制御プロトコル(Transmission Control Protocol)
UDP: ユーザデータグラムプロトコル(User Datagram Protocol)
XML: 拡張マークアップ言語(Extensible Markup Language)
【図面の簡単な説明】
【0036】
【図1】本発明の独創的なDDoS検出および軽減システムを適用することができる従来技術の例示的ネットワークであって、ISPネットワーク、ISPネットワークからサービスを受ける顧客ネットワーク、および、ISPネットワークに対してピアの複数の自律システムを含むネットワークを示す図である。
【図2】図1に示すネットワークに適用される本発明の独創的なDDoS検出および軽減システムの例示的実施形態を示す図であり、本発明の独創的なシステムは、顧客ネットワークに向けられたDDoS攻撃を検出するためのセンサを含み、さらに、ISPネットワーク内に、検出された攻撃を軽減するための、解析エンジン、フィルタルータ、ボーダ/エッジルータ、およびIP−in−IPトンネルを含む図である。図である。
【図3A】図2に示す本発明のDDoS検出および軽減システムの動作の実例を示し、顧客ネットワークがDDoSおよび非DDoSトラフィックを受け取ることを示す図である。
【図3B】図2に示す本発明のDDoS検出および軽減システムの動作の実例を示し、顧客ネットワークに関連付けられたセンサが、解析エンジンに攻撃について通知することを示し、さらに、解析エンジンが、顧客ネットワークに向かう予定のトラフィックについての新しいルーティング情報を、IP−in−IPトンネルを介してボーダおよびエッジルータに公示するように、フィルタルータを設定することを示す図である。
【図3C】図2に示す本発明のDDoS検出および軽減システムの動作の実例を示し、DDoSおよび非DDoSトラフィックが、ボーダおよびエッジルータによってリダイレクトされ、IP−in−IPトンネルを介してフィルタルータに送られること、ならびに、フィルタルータが、DDoSトラフィックを除去し、非DDoSトラフィックを、顧客ネットワークに送るためにISPネットワーク上に返すことを示す図である。
【特許請求の範囲】
【請求項1】
複数のボーダルータおよびエッジルータを含むインターネットサービスプロバイダ(ISP)ネットワークに接続された目標である特定のエッジネットワークに対するサービス攻撃を軽減するシステムであって、
前記ISPネットワーク内にあり、前記目標である特定のエッジネットワークに対するサービス攻撃が検出されると通知を受ける解析エンジンと、
前記フィルタルータに設けられる複数のトラフィックフィルタを含む、前記ボーダおよびエッジルータとは異なるフィルタルータと
を備え、
前記解析エンジンは、サービス攻撃を通知されると、新しいルーティング情報を前記ボーダおよびエッジルータのうちの1つまたは複数に公示するように前記フィルタルータを設定し、前記公示された新しいルーティング情報は、前記ボーダおよびエッジルータに、前記目標である特定のエッジネットワークを対象とする前記サービス攻撃およびサービス攻撃でないトラフィックのみを前記フィルタルータにリダイレクトするように指示し、前記トラフィックフィルタは、前記リダイレクトされたサービス攻撃トラフィックを前記ISPネットワークから除去し、前記リダイレクトされたサービス攻撃でないトラフィックが、前記目標である特定のエッジネットワークに進むことを可能にすることを特徴とするシステム。
【請求項2】
前記目標である特定のエッジネットワークに入るトラフィックにアクセスすることができ、前記アクセスのトラフィックを解析して、前記目標である特定のエッジネットワークに対する前記サービス攻撃を検出する複数のセンサフィルタをさらに備えたことを特徴とする請求項1に記載のシステム。
【請求項3】
前記センサフィルタおよび前記トラフィックフィルタは、前記トラフィックを構成するパケットのヘッダが、定義された範囲を越えるフィールド値を有するかどうかに基づいて、サービス攻撃の検出および除去をそれぞれ行うパケットヘッダに基づくフィルタを含むことを特徴とする請求項2に記載のシステム。
【請求項4】
前記センサフィルタは、サービス攻撃によるフラッディングのトラフィックの量に基づく検出を行うボリュームベースのフィルタを含むことを特徴とする請求項2に記載のシステム。
【請求項5】
前記トラフィックフィルタは、所与のパケットが、所与のボーダルータを介して前記ISPネットワークに入り、前記所与のボーダルータを介して前記ネットワークに入ると期待されるIPアドレスのブロックと合致しない発信アドレスを有する場合、前記所与のパケットを除去するフィルタを含むことを特徴とする請求項1に記載のシステム。
【請求項6】
前記解析エンジンは、サービス攻撃に先立ち、前記センサフィルタおよび前記トラフィックフィルタを予めプロビジョニングすることができることを特徴とする請求項2に記載のシステム。
【請求項7】
前記解析エンジンは、前記システムの前記検出の重大度を調節するため、1つまたは複数の設けられたトラフィックフィルタおよびセンサフィルタを無効にすることができることを特徴とする請求項6に記載のシステム。
【請求項8】
各々が前記フィルタルータと、ボーダまたはエッジルータとの間に設けられた複数のIP−in−IPトンネルであって、前記リダイレクトされたサービス攻撃トラフィックおよびサービス攻撃でないトラフィックは、前記ボーダおよびエッジルータから前記IP−in−IPトンネルを介して前記複数のトラフィックフィルタを有する前記フィルタルータに向けて送られ、前記複数のトラフィックフィルタは、前記ボーダおよびエッジルータから離れた前記フィルタルータにおける各IP−in−IPトンネルの入口点に設けられているトンネルと、
前記フィルタルータにおいて各IP−in−IPトンネルごとに、次いでリダイレクトされたサービス攻撃およびサービス攻撃でないトラフィックから除去されたパケットをカウントするパケット廃棄カウンタと
をさらに備え、前記解析エンジンは、前記パケット廃棄カウンタをポーリングし、当該カウントを用いて、前記攻撃を発信している1つまたは複数のボーダまたはエッジルータを決定する機能を有することを特徴とする請求項1に記載のシステム。
【請求項9】
前記サービス攻撃およびサービス攻撃でないトラフィックは、前記サービス攻撃トラフィックを除去するために自動的に前記トラフィックフィルタに通され、前記トラフィックフィルタは、所与のパケットが、所与のボーダルータを介して前記ISPネットワークに入り、前記所与のボーダルータを介して前記ネットワークに入ると期待されるIPアドレスのブロックと合致しない発信アドレスを有する場合に、前記所与のパケットを除去することを特徴とする請求項1に記載のシステム。
【請求項10】
前記センサフィルタは、新しい種類のサービス攻撃を検出し軽減するために、自動的に更新することができることを特徴とする請求項2に記載のシステム。
【請求項11】
前記トラフィックフィルタのうちの1つまたは複数を、前記システムの検出の重大度を調節するため、無効にする機能を有することを特徴とする請求項2に記載のシステム。
【請求項12】
複数のボーダおよびエッジルータ、ならびに前記ボーダおよびエッジルータとは異なるフィルタルータを含むインターネットサービスプロバイダ(ISP)ネットワークに接続された目標である特定のエッジネットワークに対するサービス攻撃を軽減するための方法であって、
前記目標である特定のエッジネットワークに対するサービス攻撃を検出するステップと、
攻撃の通知を前記ISPネットワークに送るステップと、
前記攻撃通知に応答して、新しいルーティング情報を前記ボーダおよびエッジルータに公示するステップであって、前記ルーティング情報は、前記目標である特定のエッジネットワークに向けて送られることになっている前記サービス攻撃およびサービス攻撃でないトラフィックを前記フィルタルータにリダイレクトするという情報であるステップと、
前記サービス攻撃トラフィックを除去するために、前記フィルタルータによって、前記リダイレクトされたサービス攻撃およびサービス攻撃でないトラフィックをフィルタリングするステップと、
前記サービス攻撃でないトラフィックを前記目標である特定のエッジネットワークに転送するステップと
を備えたことを特徴とする方法。
【請求項13】
前記サービス攻撃およびサービス攻撃でないトラフィックは、前記ボーダおよびエッジルータから前記フィルタルータにリダイレクトされIP−in−IPトンネルを介して送られることを特徴とする請求項12に記載の方法。
【請求項14】
前記フィルタリングするステップは、前記ボーダおよびエッジルータとは異なる前記フィルタルータにおける複数のトラフィックフィルタによって行われることを特徴とする請求項12に記載の方法。
【請求項15】
前記ボーダおよびエッジルータとは異なる前記フィルタルータにおける前記トラフィックフィルタは、所与のパケットが、あるボーダルータを介して前記ISPネットワークに入り、前記所与のボーダルータを介して前記ISPネットワークに入ると期待されるIPアドレスのブロックと合致しない発信アドレスを有する場合に、前記所与のパケットを除去するフィルタを含むことを特徴とする請求項14に記載の方法。
【請求項16】
前記検出の重大度を調節するため、前記トラフィックフィルタのうちの1つまたは複数を無効にするステップをさらに備えたことを特徴とする請求項14に記載の方法。
【請求項17】
前記目標である特定のエッジネットワークに向けられたサービス攻撃制御トラフィックを検出するステップと、
サービス攻撃制御トラフィックの通知を、前記ISPネットワークに送るステップと
をさらに備えたことを特徴とする請求項12に記載の方法。
【請求項18】
サービス攻撃トラフィックが除去されるのに伴って、前記フィルタルータによって増分される複数のパケット廃棄カウンタを定期的にポーリングするステップと、
前記パケット廃棄カウンタを用いて、どの1つまたは複数のボーダまたはエッジルータによって、前記攻撃が発信されているのかを決定するステップと
をさらに備えたことを特徴とする請求項12に記載の方法。
【請求項1】
複数のボーダルータおよびエッジルータを含むインターネットサービスプロバイダ(ISP)ネットワークに接続された目標である特定のエッジネットワークに対するサービス攻撃を軽減するシステムであって、
前記ISPネットワーク内にあり、前記目標である特定のエッジネットワークに対するサービス攻撃が検出されると通知を受ける解析エンジンと、
前記フィルタルータに設けられる複数のトラフィックフィルタを含む、前記ボーダおよびエッジルータとは異なるフィルタルータと
を備え、
前記解析エンジンは、サービス攻撃を通知されると、新しいルーティング情報を前記ボーダおよびエッジルータのうちの1つまたは複数に公示するように前記フィルタルータを設定し、前記公示された新しいルーティング情報は、前記ボーダおよびエッジルータに、前記目標である特定のエッジネットワークを対象とする前記サービス攻撃およびサービス攻撃でないトラフィックのみを前記フィルタルータにリダイレクトするように指示し、前記トラフィックフィルタは、前記リダイレクトされたサービス攻撃トラフィックを前記ISPネットワークから除去し、前記リダイレクトされたサービス攻撃でないトラフィックが、前記目標である特定のエッジネットワークに進むことを可能にすることを特徴とするシステム。
【請求項2】
前記目標である特定のエッジネットワークに入るトラフィックにアクセスすることができ、前記アクセスのトラフィックを解析して、前記目標である特定のエッジネットワークに対する前記サービス攻撃を検出する複数のセンサフィルタをさらに備えたことを特徴とする請求項1に記載のシステム。
【請求項3】
前記センサフィルタおよび前記トラフィックフィルタは、前記トラフィックを構成するパケットのヘッダが、定義された範囲を越えるフィールド値を有するかどうかに基づいて、サービス攻撃の検出および除去をそれぞれ行うパケットヘッダに基づくフィルタを含むことを特徴とする請求項2に記載のシステム。
【請求項4】
前記センサフィルタは、サービス攻撃によるフラッディングのトラフィックの量に基づく検出を行うボリュームベースのフィルタを含むことを特徴とする請求項2に記載のシステム。
【請求項5】
前記トラフィックフィルタは、所与のパケットが、所与のボーダルータを介して前記ISPネットワークに入り、前記所与のボーダルータを介して前記ネットワークに入ると期待されるIPアドレスのブロックと合致しない発信アドレスを有する場合、前記所与のパケットを除去するフィルタを含むことを特徴とする請求項1に記載のシステム。
【請求項6】
前記解析エンジンは、サービス攻撃に先立ち、前記センサフィルタおよび前記トラフィックフィルタを予めプロビジョニングすることができることを特徴とする請求項2に記載のシステム。
【請求項7】
前記解析エンジンは、前記システムの前記検出の重大度を調節するため、1つまたは複数の設けられたトラフィックフィルタおよびセンサフィルタを無効にすることができることを特徴とする請求項6に記載のシステム。
【請求項8】
各々が前記フィルタルータと、ボーダまたはエッジルータとの間に設けられた複数のIP−in−IPトンネルであって、前記リダイレクトされたサービス攻撃トラフィックおよびサービス攻撃でないトラフィックは、前記ボーダおよびエッジルータから前記IP−in−IPトンネルを介して前記複数のトラフィックフィルタを有する前記フィルタルータに向けて送られ、前記複数のトラフィックフィルタは、前記ボーダおよびエッジルータから離れた前記フィルタルータにおける各IP−in−IPトンネルの入口点に設けられているトンネルと、
前記フィルタルータにおいて各IP−in−IPトンネルごとに、次いでリダイレクトされたサービス攻撃およびサービス攻撃でないトラフィックから除去されたパケットをカウントするパケット廃棄カウンタと
をさらに備え、前記解析エンジンは、前記パケット廃棄カウンタをポーリングし、当該カウントを用いて、前記攻撃を発信している1つまたは複数のボーダまたはエッジルータを決定する機能を有することを特徴とする請求項1に記載のシステム。
【請求項9】
前記サービス攻撃およびサービス攻撃でないトラフィックは、前記サービス攻撃トラフィックを除去するために自動的に前記トラフィックフィルタに通され、前記トラフィックフィルタは、所与のパケットが、所与のボーダルータを介して前記ISPネットワークに入り、前記所与のボーダルータを介して前記ネットワークに入ると期待されるIPアドレスのブロックと合致しない発信アドレスを有する場合に、前記所与のパケットを除去することを特徴とする請求項1に記載のシステム。
【請求項10】
前記センサフィルタは、新しい種類のサービス攻撃を検出し軽減するために、自動的に更新することができることを特徴とする請求項2に記載のシステム。
【請求項11】
前記トラフィックフィルタのうちの1つまたは複数を、前記システムの検出の重大度を調節するため、無効にする機能を有することを特徴とする請求項2に記載のシステム。
【請求項12】
複数のボーダおよびエッジルータ、ならびに前記ボーダおよびエッジルータとは異なるフィルタルータを含むインターネットサービスプロバイダ(ISP)ネットワークに接続された目標である特定のエッジネットワークに対するサービス攻撃を軽減するための方法であって、
前記目標である特定のエッジネットワークに対するサービス攻撃を検出するステップと、
攻撃の通知を前記ISPネットワークに送るステップと、
前記攻撃通知に応答して、新しいルーティング情報を前記ボーダおよびエッジルータに公示するステップであって、前記ルーティング情報は、前記目標である特定のエッジネットワークに向けて送られることになっている前記サービス攻撃およびサービス攻撃でないトラフィックを前記フィルタルータにリダイレクトするという情報であるステップと、
前記サービス攻撃トラフィックを除去するために、前記フィルタルータによって、前記リダイレクトされたサービス攻撃およびサービス攻撃でないトラフィックをフィルタリングするステップと、
前記サービス攻撃でないトラフィックを前記目標である特定のエッジネットワークに転送するステップと
を備えたことを特徴とする方法。
【請求項13】
前記サービス攻撃およびサービス攻撃でないトラフィックは、前記ボーダおよびエッジルータから前記フィルタルータにリダイレクトされIP−in−IPトンネルを介して送られることを特徴とする請求項12に記載の方法。
【請求項14】
前記フィルタリングするステップは、前記ボーダおよびエッジルータとは異なる前記フィルタルータにおける複数のトラフィックフィルタによって行われることを特徴とする請求項12に記載の方法。
【請求項15】
前記ボーダおよびエッジルータとは異なる前記フィルタルータにおける前記トラフィックフィルタは、所与のパケットが、あるボーダルータを介して前記ISPネットワークに入り、前記所与のボーダルータを介して前記ISPネットワークに入ると期待されるIPアドレスのブロックと合致しない発信アドレスを有する場合に、前記所与のパケットを除去するフィルタを含むことを特徴とする請求項14に記載の方法。
【請求項16】
前記検出の重大度を調節するため、前記トラフィックフィルタのうちの1つまたは複数を無効にするステップをさらに備えたことを特徴とする請求項14に記載の方法。
【請求項17】
前記目標である特定のエッジネットワークに向けられたサービス攻撃制御トラフィックを検出するステップと、
サービス攻撃制御トラフィックの通知を、前記ISPネットワークに送るステップと
をさらに備えたことを特徴とする請求項12に記載の方法。
【請求項18】
サービス攻撃トラフィックが除去されるのに伴って、前記フィルタルータによって増分される複数のパケット廃棄カウンタを定期的にポーリングするステップと、
前記パケット廃棄カウンタを用いて、どの1つまたは複数のボーダまたはエッジルータによって、前記攻撃が発信されているのかを決定するステップと
をさらに備えたことを特徴とする請求項12に記載の方法。
【図1】
【図2】
【図3A】
【図3B】
【図3C】
【図2】
【図3A】
【図3B】
【図3C】
【公表番号】特表2006−517066(P2006−517066A)
【公表日】平成18年7月13日(2006.7.13)
【国際特許分類】
【出願番号】特願2005−518848(P2005−518848)
【出願日】平成16年1月27日(2004.1.27)
【国際出願番号】PCT/US2004/002271
【国際公開番号】WO2004/070535
【国際公開日】平成16年8月19日(2004.8.19)
【出願人】(399047921)テルコーディア テクノロジーズ インコーポレイテッド (61)
【Fターム(参考)】
【公表日】平成18年7月13日(2006.7.13)
【国際特許分類】
【出願日】平成16年1月27日(2004.1.27)
【国際出願番号】PCT/US2004/002271
【国際公開番号】WO2004/070535
【国際公開日】平成16年8月19日(2004.8.19)
【出願人】(399047921)テルコーディア テクノロジーズ インコーポレイテッド (61)
【Fターム(参考)】
[ Back to top ]