ネットワークシステム、サーバ、DDNSサーバおよびパケット中継装置
【課題】 DoS攻撃やバッファオーバーフロー攻撃などの攻撃は,IPアドレス,ポート番号を公開しているサーバに対して,特に顕著である.また、フィルタで不正アクセスを止める手段は,セキュリティ対策として有効な手段の一つではあるが,フィルタのみの対策ではなく幾重にもセキュリティ対策を施しておくことが,不正アクセスに対して重要である。
【解決手段】 IPアドレス,ポート番号を公開しているサーバで不審なパケットを検知した場合,サーバのIPアドレスを変更するとともに,不審なパケットを送信したユーザの送信元IPアドレスをDDNSサーバへ通知し、DDNSサーバは,該IPアドレスを攻撃者のIPアドレスとして登録する. DDNSサーバでは,一つのドメイン名に対し真のIPアドレスと偽のIPアドレスを保持しており、攻撃者から問い合わせがあった場合には偽のIPアドレスを教える。
【解決手段】 IPアドレス,ポート番号を公開しているサーバで不審なパケットを検知した場合,サーバのIPアドレスを変更するとともに,不審なパケットを送信したユーザの送信元IPアドレスをDDNSサーバへ通知し、DDNSサーバは,該IPアドレスを攻撃者のIPアドレスとして登録する. DDNSサーバでは,一つのドメイン名に対し真のIPアドレスと偽のIPアドレスを保持しており、攻撃者から問い合わせがあった場合には偽のIPアドレスを教える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は,IPアドレスおよびポート番号を公開しているサーバにおいて挙動不審なパケットを受信した場合に,そのパケットの送信元IPアドレスをDNSサーバに通知し,それ以降DNSサーバにおいてその送信元IPアドレスからのDNS問い合わせを受信した場合,偽りのIPアドレスを通知することを特徴とするセキュリティシステムに関する。
【背景技術】
【0002】
従来,HTTP(Hyper Text Transmission Protocol)はホームページを公開する,或いはホームページを閲覧するために用いられてきた。このとき,HTTPにて伝達されるデータはHTML(Hyper Text Markup Language)で記述される。近年HTTPは,HTMLのみでなくSOAP(Simple Object Access Protocol)を伝達するためにも利用されている。これにより,様々なWebサービスが提供されて来ている。ここでWebサービスとは,ソフトウェアの機能を,ネットワークを通じて利用するための技術で,その際の伝達に利用されるメッセージがSOAPである。SOAPは,XML(eXtensible Markup Language)で構造化された形式で伝達され,他のコンピュータにあるデータやサービスを呼び出すために用いられる。SOAPによる通信では、XML文書にエンベロープ(封筒)と呼ばれる付帯情報が付いたメッセージを、HTTPなどのプロトコルで交換する。サービスを利用するクライアントと、サービスを提供するサーバの双方がSOAPの生成・解釈エンジンを持つことで、異なる環境間でのオブジェクト呼び出しが可能となっている。
【0003】
現在IETF(Internet Engineering Task Force)においては,パケット中継装置の設定を,SOAPを利用することによって実現するため,NETCONFと言うワーキンググループを立ち上げ,標準化に取り組んでいる。これにより,パケット中継装置の設定を,従来のCLI(Command Line Interface)だけではなく,管理ソフトウェアからでも出来るようにする。管理ソフトウェアからパケット中継装置の設定が可能となれば,現在人手で行っている装置の管理作業は大幅に置き換えることが可能となり,ネットワーク管理の自律運用も実現可能となる。この時パケット中継装置では,SOAPを利用するためHTTPサーバを立ち上げる必要がある。以上のように,HTTPサーバの利用範囲は今後も益々拡大していく。
【0004】
その一方で,DoS(Denial of Service)攻撃やウィルス,ワーム,更にはなりすましやHTTPのセキュリティホールを狙ったバッファオーバーフロー攻撃などによってHTTPサーバを停止させる,或いは各種端末から情報をハッキングする事件が多発している。これらの攻撃に対して,FW(Firewall)やIDS(Intrusion Detection System)/IPS(Intrusion Prevention System)を導入する事例が増えている。2003年1月にSQLサーバを標的としたSQL slammerが北米で大増殖した際には,SQLサーバが利用しているUDPの1434番ポートをフィルタリングすることによって拡大を阻止した。
【発明の開示】
【発明が解決しようとする課題】
【0005】
DoS(Denial of Service)攻撃やウィルス,ワーム,更にはなりすましやセキュリティホールを狙ったバッファオーバーフロー攻撃などの攻撃は,IPアドレス,ポート番号を使って、サービスを公開しているサーバに対して,特に顕著である。
【0006】
また、これらの攻撃を狙った不正アクセスをフィルタで止める手段は,セキュリティ対策として有効な手段の一つではあるが,フィルタのみの対策ではなく幾重にもセキュリティ対策を施しておくことが,不正アクセスに対して重要である。なぜならば,フィルタリングの場合,複数のサーバやパケット中継装置に同じフィルタルールを施して運用して行くことが必然であり,装置切替えの際などもフィルタルールを引き継がねばならず,手間がかかりフィルタルールの設定抜けの発生が懸念されるからである。
【0007】
本発明の目的は、IPアドレス,ポート番号を使ってサービスを公開しているサーバのIPアドレスを定期的又は攻撃があったと判断した場合に自動で変更する対策および個々のIPアドレス,ポート番号を固定して、サービスを公開しているサーバやパケット中継装置にそれぞれ設定を施す必要のないセキュリティ対策を提供することである。
【課題を解決するための手段】
【0008】
IPアドレス,ポート番号を公開しているサーバにおいて挙動の不審なパケットを検知した場合,該サーバのIPアドレスを変更するとともに,不審なパケットを送信したユーザの送信元IPアドレスをDDNSサーバへ通知する。 DDNSサーバは,通知された送信元IPアドレスを攻撃者のIPアドレスとして登録する。また,DDNSサーバでは,一つのドメイン名に対し,真のIPアドレスと偽のIPアドレスとの2つを保持するDDNSサーバへIPアドレスを問い合わせてきたユーザの送信元IPアドレスが攻撃者のIPアドレスとして登録したリストに載っていなかった場合,真のIPアドレスを教える。一方,DDNSサーバへIPアドレスを問い合わせてきたユーザの送信元IPアドレスが,攻撃者のIPアドレスとしてリストに登録されていた場合,偽のIPアドレスを教える。
【発明の効果】
【0009】
一度攻撃を受けたユーザのIPアドレスからのアクセスを以後防ぐことができ、IPアドレス,ポート番号を公開しているサーバのセキュリティを保証する。また,攻撃を受けた該サーバだけでなく, DDNSサーバに登録してある全てのIPアドレス,ポート番号を公開しているサーバにおいても不正アクセスを防止可能となる。
【0010】
なお、本発明は、IPアドレス,ポート番号を公開しているサーバであれば同様の効果を奏する。例えば、HTTPサーバ、IMAPサーバ,POPサーバ,FTPサーバ,SQLサーバ及びSMTPサーバなどである。
【発明を実施するための最良の形態】
【0011】
HTTPサーバにおいて挙動の不審なパケットを受信した際には,該HTTPサーバのIPアドレスを変更する。ここで,挙動の不審なパケットとは,例えば.exe拡張子をURL内に記述しているHTTPメッセージや,URL長が非常に長いHTTPメッセージのことである。IPアドレスを変更するため,HTTPサーバはカーネルが用意している,ホストのIPアドレス変更関数をコールする。変更後のIPアドレスは,DDNS(Dynamic Domain Name Service)の枠組みを用いて,DDNSサーバへ通知する。ここで,DDNSサーバとは,動的に変わるHTTPのIPアドレスを,特定のドメイン名に対応付けて管理することの可能なサーバである。DDNSサーバは,HTTPサーバからIPアドレスの変更通知を受けると,それまで該HTTPサーバが使用していたドメイン名に対応するIPアドレスを更新する。クライアントが,ドメイン名をキーとしてHTTPサーバのIPアドレスをDDNSサーバへ問い合わせると,DDNSサーバは上記対応テーブルよりIPアドレスを検索しクラアントへ応答を返す。
【0012】
HTTPサーバに,例えばあるユーザから膨大な量のHTTPメッセージが届いた場合,或いは異常に長いURL長を持ったHTTPメッセージが届いた場合,それを契機として該HTTPサーバのIPアドレスを変更する。HTTPサーバはIPアドレスを変更すると,DDNSサーバに変更後のIPアドレスを通知する。その時に用いるDDNSパケットのフォーマットを図10に示す。図10はUDPパケットであり,宛先ポート番号にはDDNS用の58800を記載する。図10のデータ部の詳細図は,図11に示す。図11のDDNSヘッダの詳細図は,図12に示す。図12の識別子フィールドには,パケット送信者を特定する識別子を記す。QRフィールドには,パケットが要求メッセージであるか,応答メッセージであるかを示す。操作コードフィールドには,要求メッセージである場合,更新を示す5を記す。応答メッセージである場合,要求メッセージの値をコピーする。予約フィールドは,将来のための予備のフィールドである。応答コードフィールドには,パケットが応答メッセージであった場合のみ,結果を返す。正常と応答する場合,予約された0を記入する。ZO COUNTフィールドには,図11に示すゾーンセクションのレコード数を記入する。PR COUNTフィールドには,図11に示す前提セクションのレコード数を記入する。UP COUNTフィールドには,図11に示す更新セクションのレコード数を記入する。AD COUNTフィールドには,図11に示す付加データセクションのレコード数を記入する。図11のゾーンセクションの詳細図は,図13に示す。図13のZNAMEフィールドには,更新対象となるゾーンの名称を記載する。ここでゾーンとは,各ドメインとIPアドレスとの対のことを指す。ZTYPEフィールドには,このゾーンの情報をマスタとして持つかスレーブとして持つかを記す。ZCLASSフィールドには,ゾーンのクラスを記す。図11の前提/更新セクションの詳細図は,図14に示す。図14のドメイン名のフィールドにはドメイン名を,IPアドレスのフィールドには,ドメイン名に対応付ける変更後のIPアドレスを記す。その他のフィールドとして,TYPEフィールド,CLASSフィールド,TTLフィールド,RDLENGTHフィールドがあるが,これらのフィールドにはそれぞれ,このレコードのタイプ,クラス,キャッシュ時間,IPアドレスのビット数32を記す。図11の付加データセクションには,DDNSサーバは,図4に示すドメインとIPアドレスとの対を記したテーブルを保持しており,上記パケットを受信すると,図4のIPアドレスを,以前のIPアドレスからパケットに記されているIPアドレスへ変更する。これにより,HTTPサーバのIPアドレスを宛先IPアドレスに設定しHTTPサーバに攻撃をしかけてくる攻撃者に対し,防御が可能となる。HTTPサーバのIPアドレスは通常公開しておらず,上記のように宛先IPアドレスを直接設定してくるクライアントは,ランダムにIPアドレスを設定するなどして攻撃をしかけている場合が多い。よって,以上に述べた防御方法は,そのような攻撃者に対して有効である。悪意のないユーザが,HTTPサーバのIPアドレスを宛先IPアドレスに直に設定することは考えられず,そのケースは考えない。
【0013】
但し,攻撃者もドメイン名をもとにしてIPアドレスを割り出し,攻撃を仕掛けている場合,IPアドレスの変更がドメイン名によって隠蔽されてしまう。その場合の対策として,更なる手段が必要である。
【0014】
そこで,変更後のIPアドレスを通知する際,不正なパケットを送ってきた攻撃者のIPアドレスもDDNSサーバへ通知することとする。攻撃者のIPアドレスは,図11に示す付加データセクションに記すことによって,DDNSサーバに通知する。DDNSサーバは,通知された送信元IPアドレスを攻撃者のIPアドレスとして登録する。また,DDNSサーバにおいては,一つのドメイン名に対し,真のIPアドレスと偽のIPアドレスとの2つのIPアドレスを保持することとする。
【0015】
DDNSサーバへIPアドレスを問い合わせてきたときの送信元IPアドレスが,攻撃者のIPアドレスでなかった場合,真のIPアドレスを回答する。逆に,DDNSサーバへIPアドレスを問い合わせてきたときの送信元IPアドレスが,攻撃者のIPアドレスとして登録されているIPアドレスであった場合,偽のIPアドレスを回答する。
【0016】
この時の偽のIPアドレスとしては,ハニーポット,或いはIDS/IPSを前段に備えたサーバのIPアドレスを登録しておく。ここで,ハニーポットとは,ハッカーやクラッカーに対して,あたかも“本物のシステム”であるかのように見せかけるおとりのサーバである。
以上によって,攻撃者からのトラヒックは,ハニーポット,或いはIDS/IPSへ誘導され,そこで行動を詳細に解析する。IDS/IPSでは,主に既知となっている攻撃のパターンを登録しているので,攻撃者からのトラヒックを詳細に解析することで既知の攻撃を検出することが出来る。一方,ハニーポットでは,攻撃者からのトラヒックを詳細に解析することにより,未知の攻撃を新たに検出することも可能である。これにより,攻撃者はドメイン名によってアクセスを試みたとしても,偽のIPアドレスへ到達することになるため,HTTPサーバの防御が可能となる。
【実施例1】
【0017】
図3に本実施におけるネットワーク構成を示す。HTTPサーバが複数立ち上げられ,悪意のあるユーザを含めた複数のクライアントがネットワークを介して繋がっている。DDNSサーバは,HTTPサーバのドメイン名とIPアドレスとの対を管理しており,HTTPサーバからIPアドレス変更の要求があると,その都度ドメイン名に対応するIPアドレスを変更する。ハニーポットは,おとりのサーバであり,ユーザが知らずに不正攻撃をしかけると,異常が検知されアラームで管理者に通知する。また,IDS/IPSがHTTPサーバの前段に置かれ,HTTPサーバ宛のパケットを監視する。
【0018】
図1は,図3中に示した,本実施例におけるHTTPサーバ装置を示す。本実施例のHTTPサーバ装置においては,クライアントから送信されたパケットを回線インタフェースにて受信し,そのパケットをパケット処理部内のパケット受信部へ転送する。パケット受信部は該パケットをカーネルに転送する。カーネル内では,パケットのIPヘッダ処理,TCPヘッダ処理を施した後,パケットをHTTP処理部へ転送し,HTTP処理部にてクライアントの要求を処理する。HTTP処理部は,処理した結果をカーネルへ送信する。カーネル内では,パケットのTCPヘッダ処理,IPヘッダ処理を施した後,パケットをパケット送信部へ送信する。該パケットは,その後,回線インタフェースを経由してクライアントヘ返信される。このとき,各パケットの挙動を,各モジュールにおいて監視している。例えば,HTTP処理部においてはパケットの長さを監視しており,所定のフィールドが極端に長いパケットを受信した場合,その送信元IPアドレスをDDNS通知部へ通知する。パケットの長さを監視するのは,バッファオーバーフロー攻撃の疑いのあるパケットを検知するためである。同様に,カーネル内のカウンタにおいては,送信元IPアドレス毎にパケット数をカウントしており,ある閾値を超えた場合は,その送信元IPアドレスをDDNS通知部に通知する。送信元IPアドレス毎にパケット数をカウントするのは,DoS攻撃の疑いのある攻撃者を特定するためである。
【0019】
例として,送信元IPアドレスが123.123.123.1のクライアントが,所定のフィールドが極端に長いパケットをHTTPサーバへ送信すると,HTTP処理部がそれを攻撃と認識し,送信元IPアドレスをDDNS通知部へ通知する。DDNS通知部は,攻撃者の送信元IPアドレスを通知されると,該HTTPサーバのIPアドレス変更手続きをする。
【0020】
以上によってHTTPサーバのIPアドレスが変更され,IPアドレスを直接指定して攻撃を仕掛けてくる攻撃者に対して,防御可能となる。
【0021】
更にDDNS通知部は,変更後のHTTPサーバのIPアドレスとHTTP処理部から通知された攻撃者のIPアドレス123.123.123.1をDDNSサーバへ通知する。DDNSサーバは,図4に示すドメイン名とIPアドレスとの対照表を保持しており,HTTPサーバから上記データを受信すると,この対照表を更新する。この対照表により,クライアントはドメイン名をキーとしてIPアドレスを割り出すことができる。ドメイン名からIPアドレスを割り出しているクライアントは,HTTPサーバのIPアドレスが変更されてもその影響を受けることなく,引き続きHTTPサーバへアクセス可能である。なお,HTTPサーバのIPアドレスは通常公開されておらず,IPアドレスを直接宛先に指定してパケットを送信してくるのは,IPアドレスをランダムに設定して攻撃をしかける悪意のあるクライアントである。悪意のないクライアントは,通常ドメイン名からIPアドレスを割り出してHTTPサーバにアクセスしており,HTTPサーバのIPアドレスが変更されても,その影響を受けない。
【0022】
図2は,図3中に示した,本実施例におけるDDNSサーバ装置を示す。DDNSサーバは,HTTPサーバからのIPアドレス変更通知を受信すると回線インタフェースで受信する。その後そのDDNSパケットはパケット受信部へ転送される。パケット受信部は,パケットをカーネルへ転送し,パケットはカーネル内でIPヘッダ処理,UDPヘッダ処理を施される。UDPヘッダを取り除くとDDNSパケットが現れるので,カーネルはそのDDNSパケットをDDNS処理部へ転送する。DDNS処理部では,ドメイン名−IPアドレス対照表を保持しており,HTTPサーバからの要求に応じてIPアドレスを更新する。更新の失敗/成功を通知するため,DDNS処理部はDDNSパケットを作成した後,そのパケットをカーネルへ転送する。カーネル内ではUDPヘッダ,IPヘッダが付与された後,パケットはパケット送信部へ転送される。パケットは,その後回線インタフェースへ転送され,要求元のHTTPサーバへ返信される。本発明のDDNSサーバでは,図6に示す攻撃者の送信元IPアドレスを一覧で記した攻撃者リストを保持している。
【0023】
HTTPサーバから,攻撃者のIPアドレスとして123.123.123.1の通知を受けると,DDNS処理部は,そのIPアドレスを攻撃者リストに登録する。これにより,今後このIPアドレスを送信元IPアドレスとして問い合わせてくるクライアントに対しては,正常と別の対処をすることが出来る。このとき,DDNSサーバにおいて図5に示す対照表を保持し,偽のIPアドレス100.100.100.150を登録しておくことによって,攻撃者リストに載っているクライアントからの問い合わせには,この偽のIPアドレスを返すことができる。偽のIPアドレスは,予めDDNSにドメイン名を登録する際に登録しておけば良い。偽のIPアドレスは,ドメインとIPアドレスとの対それぞれに用意する必要はなく,全て同じIPアドレスで良い。偽のIPアドレスとは,ハニーポットのIPアドレス,或いはIDS/IPSを前段に備えたサーバのIPアドレスとなる。以降,攻撃者リストに登録されたクライアントからDDNSサーバへドメイン名www.abc.comのIPアドレスを問い合わせるパケットが送信されてきた場合,その問い合わせの送信元IPアドレス123.123.123.1をキーとして,攻撃者リストを検索する。攻撃者リストを検索した結果,123.123.123.1が登録されている場合,図5のドメイン名−IPアドレス対照表の偽のIPアドレスの列を参照する。攻撃者はwww.abc.comのドメイン名のIPアドレスを問い合わせているので,偽のIPアドレス100.100.100.150をIPアドレスとして回答する。攻撃者はwww.abc.comのIPアドレスは100.100.100.150と認識するので,以降100.100.100.150に攻撃を仕掛けようとする。しかし,100.100.100.150はハニーポットのIPアドレスとなっており,攻撃者の攻撃はHTTPサーバには行かず,ハニーポットで詳細に解析されることになる。ハニーポットでトラヒックを詳細に解析することにより,未知の攻撃を新たに検出することも可能である。
以上により,IPアドレス,ポート番号を公開しているサーバのセキュリティを保証する。また,任意のHTTPサーバ単独でセキュリティ対策を打つのではなく,DDNSサーバにてセキュリティ対策を打つことで,一つのHTTPサーバだけでなく,該DDNSサーバにドメイン名を登録している全てのHTTPサーバに対して,不正アクセスの防止が可能となる。
【実施例2】
【0024】
図9に本実施におけるネットワーク構成を示す。パケット中継装置が複数設置され,それぞれのパケット中継装置上ではHTTPサーバが稼動している。パケット中継装置は,悪意のあるユーザを含めた複数のクライアントとネットワークを介して繋がっている。DDNSサーバは,パケット中継装置上で稼動しているHTTPサーバのドメイン名とIPアドレスとの対を管理しており,該HTTPサーバからIPアドレス変更の要求があると,その都度ドメイン名に対応するIPアドレスを変更する。ハニーポットは,おとりのサーバであり,ユーザが知らずに不正攻撃をしかけると,異常が検知されアラームで管理者に通知する。管理装置は,パケット中継装置をリモートから設定変更可能な端末である。
【0025】
図8は,図9中に示した,本実施例におけるパケット中継装置を示す。本実施例のパケット中継装置においては,HTTP処理部とSOAP処理部が存在する。管理装置が構成定義変更を要求するSOAPメッセージを含むパケットをパケット中継装置に送信すると,パケット中継装置はSOAPメッセージを回線インタフェースにて受信する。回線インタフェースで受信したSOAPメッセージを含むパケットは,パケット転送部に転送される。パケット転送部は,受信したパケットが他のパケット中継装置宛てであった場合,他の回線インタフェースを介して所望のパケット中継装置へ転送するが,そのパケットが該パケット中継装置宛てであった場合,パケット処理部内のパケット受信部へ転送する。上記SOAPメッセージを含むパケットは,該パケット中継装置宛てであるため,パケットはパケット転送部からパケット受信部へ転送される。続いてカーネル内で,パケットのIPヘッダ処理,TCP処理を施された後,パケットにHTTPメッセージが含まれていた場合には,パケットをHTTP処理部へ転送する。HTTPメッセージ以外の場合,それぞれ所望のモジュールへ転送され処理される。上記HTTP処理部は,HTTPメッセージを受信すると解析を開始し,メッセージ内にSOAPメッセージが含まれていた場合,メッセージをSOAP処理部へ転送する。SOAPメッセージが含まれていない場合,HTTP処理部内で処理を施し応答を返す。SOAP処理部では,SOAPメッセージ内のXMLデータに従って構成定義を設定する。これにより,CLIを使った構成定義の変更ではなく,SOAPメッセージを使った構成定義の変更が可能となる。構成定義を設定すると,設定に成功したか失敗したかの結果がカーネルから返されるので,その結果をSOAPメッセージにし,HTTP処理部へ渡す。HTTP処理部は,SOAPメッセージにHTTPヘッダを付与し,HTTPメッセージとしてからパケット送信部を介してパケット転送部へ送信する。パケット転送部はHTTPメッセージを回線インタフェースへ転送し,管理装置に結果を返す。管理装置において要求に対する結果が認識できることで,管理装置は成功であれば成功の場合の,失敗であれば失敗の場合の対処をする。
【0026】
図7を用いて悪意のあるクライアントからSOAPメッセージを用いた攻撃を受けた場合の例を示す。送信元IPアドレスが123.123.123.1の悪意のあるクライアントがSOAPメッセージを送信する(手順S1)。パケット受信部では,そのSOAPメッセージを受信した回線インタフェースをチェックしている。本実施例のパケット中継装置においては,SOAPメッセージの受信を許可する回線インタフェースを,特定の回線インタフェースに限定しており,もし指定の回線インタフェース以外からSOAPメッセージを受信した場合,カーネルがそれを攻撃と認識する。ここで,SOAPメッセージの受信を許可する回線インタフェースを限定しているのは,SOAPメッセージを送信する管理装置を任意の管理装置に固定しているからである。管理装置から送信されるSOAPメッセージが,中継装置に届く度に受信する回線インタフェースが変わっていることはない。よって,SOAPメッセージの受信を許可する回線インタフェースを限定し,それ以外の回線インタフェースから受信したSOAPメッセージは,不審な送信元からのSOAPメッセージであると断定し,メッセージを廃棄する。カーネルは,攻撃を受けたと認識すると,そのパケットの送信元IPアドレスをDDNS通知部に通知する。DDNS通知部は,攻撃者の送信元IPアドレスを通知されると,該パケット中継装置のIPアドレス変更手続きをする(手順S2)。
【0027】
以上によってパケット中継装置のIPアドレスが変更され,IPアドレスを直接指定して攻撃を仕掛けてくる攻撃者に対しての防御が可能となる。
【0028】
更にDDNS通知部は,変更後のパケット中継装置のIPアドレスとカーネルから通知された攻撃者のIPアドレス123.123.123.1をDDNSサーバへ通知する(手順S4)。 DDNSサーバは,図4に示すドメイン名とIPアドレスとの対照表を保持しており,パケット中継装置から上記データを受信すると,この対照表を更新する(手順S5)。この対照表により,クライアントはドメインをキーとしてIPアドレスを割り出すことができる。ドメイン名からIPアドレスを割り出しているクライアントは,HTTPサーバのIPアドレスが変更されてもその影響を受けることなく,引き続きHTTPサーバへアクセス可能である。なお,HTTPサーバのIPアドレスは通常公開されておらず,IPアドレスを直接宛先に指定してパケットを送信してくるのは,IPアドレスをランダムに設定して攻撃をしかける悪意のあるクライアントである。悪意のないクライアントは,通常ドメイン名からIPアドレスを割り出してHTTPサーバにアクセスしており,HTTPサーバのIPアドレスが変更されても,その影響を受けない。
本発明のDDNSサーバでは,図6に示す攻撃者の送信元IPアドレス一覧を保持する。このテーブルにパケット中継装置から受け取った攻撃者のIPアドレス123.123.123.1を登録する(手順S5)。これにより,今後このIPアドレスを送信元IPアドレスとして問い合わせてくるクライアントに対しては,正常と別の対処をすることが出来る。またこのとき, DDNSサーバにおいては図5にエラー! ハイパーリンクの参照に誤りがあります。しておく。偽のIPアドレスには,ハニーポットのIPアドレスを設定しておく。以降,攻撃者リストに登録されたクライアントからDDNSサーバへドメイン名www.abc.comのIPアドレスを問い合わせるパケットが送信されてきた場合(手順S6),その問い合わせの送信元IPアドレス123.123.123.1をキーとして,攻撃者リストを検索する。攻撃者リストを検索した結果,123.123.123.1が登録されている場合,図5のドメイン名−IPアドレス対照表の偽のIPアドレスの列を参照する。攻撃者は,www.abc.comのドメイン名のIPアドレスを問い合わせているので,偽のIPアドレス100.100.100.150をIPアドレスとして回答する(手順S7)。攻撃者はwww.abc.comhttp://www.abc.comのipアドレスは100.100.100.150/のIPアドレスは100.100.100.150と認識するので,以降100.100.100.150に攻撃を仕掛けようとする(手順S8)。しかし,100.100.100.150はハニーポットのIPアドレスとなっており,攻撃者の攻撃はパケット中継装置には行かず,ハニーポットで詳細に解析されることになる。ハニーポットでトラヒックを詳細に解析することにより,未知の攻撃を新たに検出することも可能である。ハニーポットで不正な攻撃と断定した場合,管理装置へアラームをあげることによって(手順S9),管理装置からパケット中継装置にフィルタの設定をすることも可能である(手順S10)。
【0029】
以上により,パケット中継装置のセキュリティを保証する。また,任意のパケット中継装置単独でセキュリティ対策を打つのではなく,DDNSサーバにてセキュリティ対策を打つことで,一つのパケット中継装置だけでなく,該DDNSサーバにドメイン名を登録している全てのパケット中継装置に対して,不正アクセスの防止が可能となる。
【実施例3】
【0030】
図15に本実施におけるネットワーク構成を示す。HTTPサーバが複数立ち上げられ,悪意のあるユーザを含めた複数のクライアントがネットワークを介して繋がっている。DDNSサーバは,HTTPサーバのドメイン名とIPアドレスとの対を管理しており,HTTPサーバからIPアドレス変更の要求があると,その都度ドメイン名に対応するIPアドレスを変更する。ハニーポットは,おとりのサーバであり,ユーザが知らずに不正攻撃をしかけると,異常が検知されアラームで管理者に通知する。また,IDS/IPSがHTTPサーバの前段に置かれ,HTTPサーバ宛のパケットを監視する。
【0031】
図1は,図15中に示した,本実施例におけるHTTPサーバ装置を示す。本実施例のHTTPサーバ装置においては,クライアントから送信されたパケットを回線インタフェースにて受信し,そのパケットをパケット処理部内のパケット受信部へ転送する。パケット受信部は該パケットをHTTP処理部へ転送し,HTTP処理部にてクライアントの要求を処理する。HTTP処理部は,処理した結果をパケット送信部へ送信する。該パケットは,その後,回線インタフェースを経由してクライアントヘ返信される。このとき,各パケットの挙動を,各モジュールにおいて監視している。例えば,HTTP処理部においてはパケットの長さを監視しており,所定フィールドが極端に長いパケットを受信した場合,その送信元IPアドレスをDDNS通知部へ通知する。パケットの長さを監視するのは,バッファオーバーフロー攻撃の疑いのあるパケットを検知するためである。同様に,カーネル内のカウンタにおいては,送信元IPアドレス毎にパケット数をカウントしており,ある閾値を超えた場合は,その送信元IPアドレスをDDNS通知部に通知する。送信元IPアドレス毎にパケット数をカウントするのは,DoS攻撃の疑いのある攻撃者を特定するためである。
【0032】
DDNS通知部は,攻撃者の送信元IPアドレスを通知されると,該HTTPサーバのIPアドレス変更手続きをする。以上によってHTTPサーバのIPアドレスが変更され,IPアドレスを直接指定して攻撃を仕掛けてくる攻撃者に対して,防御可能となる。なお,HTTPサーバのIPアドレスは通常公開されておらず,IPアドレスを直接宛先に指定してパケットを送信してくるのは,IPアドレスをランダムに設定して攻撃をしかける悪意のあるクライアントである。悪意のないクライアントは,通常ドメイン名からIPアドレスを割り出してHTTPサーバにアクセスしており,HTTPサーバのIPアドレスが変更されても,その影響を受けない。
【0033】
更にDDNS通知部は,変更後のHTTPサーバのIPアドレスとHTTP処理部から通知された攻撃者のIPアドレス123.123.123.1をDDNSサーバへ通知する。DDNSサーバは,図4に示すドメイン名とIPアドレスとの対照表を保持しており,HTTPサーバから上記データを受信すると,この対照表を更新する。この対照表により,クライアントはドメインをキーとしてIPアドレスを割り出すことができる。ドメイン名からIPアドレスを割り出した後にHTTPサーバにアクセスしているユーザに関しては,HTTPサーバのIPアドレスが変更されても引き続きHTTPサーバへのアクセスが可能である。
【0034】
本発明のDDNSサーバでは,図6に示す攻撃者の送信元IPアドレス一覧を保持する。このテーブルにHTTPサーバから受け取った攻撃者のIPアドレエラー! ハイパーリンクの参照に誤りがあります。メイン名とIPアドレスとの対照表に,偽のIPアドレス34.34.34.100を登録しておく。偽のIPアドレスは,図6の攻撃者リストから無作為に抽出したIPアドレスである。以降,攻撃者リストに登録されたクライアントからDDNSサーバへドメイン名www.abc.comのIPアドレスを問い合わせるパケットが送信されてきた場合,その問い合わせの送信元IPアドレス123.123.123.1をキーとして,攻撃者リストを検索する。攻撃者リストを検索した結果,123.123.123.1が登録されている場合,図16のドメイン名−IPアドレス対照表の偽のIPアドレスの列を参照する。攻撃者は,www.abc.comのドメイン名のIPアドレスを問い合わせているので,偽のIPアドレス34.34.34.100をIPアドレスとして回答する。攻撃者はwww.abc.comhttp://www.abc.comのipアドレスは100.100.100.150/のIPアドレスは34.34.34.100と認識するので,以降100.100.100.150に攻撃を仕掛けようとする。しかし,34.34.34.100は別の攻撃者のIPアドレスとなっており,攻撃者が別の攻撃者に対して攻撃をしかける形になる。その結果,攻撃者の攻撃はHTTPサーバには行かず,HTTPサーバに対する攻撃を防ぐことができる。
以上により,IPアドレス,ポート番号を公開しているサーバのセキュリティを保証する。また,任意のHTTPサーバ単独でセキュリティ対策を打つのではなく,DDNSサーバにてセキュリティ対策を打つことで,一つのHTTPサーバだけでなく,該DDNSサーバにドメインを登録している全てのHTTPサーバに対して,不正アクセスの防止が可能となる。
【実施例4】
【0035】
図17に本実施におけるネットワーク構成を示す。HTTPサーバが複数立ち上げられ,悪意のあるユーザを含めた複数のクライアントがネットワークを介して繋がっている。DDNSサーバ1は,HTTPサーバ1,2のドメイン名とIPアドレスとの対を管理しており,HTTPサーバ1,2からIPアドレス変更の要求があると,その都度ドメイン名に対応するIPアドレスを変更する。DDNSサーバ2は,DDNSサーバ1とは物理的に離れた地点に設置され,その周辺に存在するHTTPサーバのドメイン名とIPアドレスとの対を管理している。ハニーポットは,おとりのサーバであり,ユーザが知らずに不正攻撃をしかけると,異常が検知されアラームで管理者に通知する。また,IDS/IPSがHTTPサーバの前段に置かれ,HTTPサーバ宛のパケットを監視する。
【0036】
図1は,図17中に示した,本実施例におけるHTTPサーバ装置を示す。本実施例のHTTPサーバ装置においては,クライアントから送信されたパケットを回線インタフェースにて受信し,そのパケットをパケット処理部内のパケット受信部へ転送する。パケット受信部は該パケットをHTTP処理部へ転送し,HTTP処理部にてクライアントの要求を処理する。HTTP処理部は,処理した結果をパケット送信部へ送信する。該パケットは,その後,回線インタフェースを経由してクライアントヘ返信される。このとき,各パケットの挙動を,各モジュールにおいて監視している。例えば,HTTP処理部においてはパケットの長さを監視しており,所定のフィールドが極端に長いパケットを受信した場合,その旨をDDNS通知部へ通知する。パケットの長さを監視するのは,バッファオーバーフロー攻撃の疑いのあるパケットを検知するためである。同様に,カーネル内のカウンタにおいては,送信元IPアドレス毎にパケット数をカウントしており,ある閾値を超えた場合は,その旨をDDNS通知部に通知する。送信元IPアドレス毎にパケット数をカウントするのは,DoS攻撃の疑いのある攻撃者を特定するためである。
【0037】
例として,送信元IPアドレスが123.123.123.1の悪意のあるクライアントが,所定のフィールドが極端に長いパケットをHTTPサーバへ送信すると,HTTP処理部がそれを攻撃と認識し,攻撃を受けたことをDDNS通知部へ通知する。DDNS通知部は,通知を受けるとシステム関数コールを用いて,該HTTPサーバのIPアドレス変更手続きをする。
【0038】
以上によってHTTPサーバのIPアドレスが変更され,IPアドレスを直接指定して攻撃を仕掛けてくる攻撃者に対して,防御可能となる。なお,HTTPサーバのIPアドレスは通常公開されておらず,IPアドレスを直接宛先に指定してパケットを送信してくるのは,IPアドレスをランダムに設定して攻撃をしかける悪意のあるクライアントである。悪意のないクライアントは,通常ドメイン名からIPアドレスを割り出してHTTPサーバにアクセスしており,HTTPサーバのIPアドレスが変更されても,その影響を受けない。
【0039】
更にDDNS通知部は,変更後のHTTPサーバのIPアドレスをDDNSサーバ1へ通知する。DDNSサーバ1は,図4に示すドメイン名とIPアドレスとの対照表を保持しており,HTTPサーバから上記データを受信すると,この対照表を更新する。この対照表により,クライアントはドメインをキーとしてIPアドレスを割り出すことができる。ドメイン名からIPアドレスを割り出した後にHTTPサーバにアクセスしているユーザに関しては,HTTPサーバのIPアドレスが変更されても引き続きHTTPサーバへのアクセスが可能である。
【0040】
本発明のDDNSサーバ1では,図6に示す攻撃者の送信元IPアドレス一覧を保持する。このテーブルは,DDNSサーバ2から通知された,攻撃者のIPアドレス一覧を登録する。本実施例では,DDNSサーバ2から通知された攻撃者のIPアドレス123.123.123.1が登録されている。またこのとき,DDNSサーバ1においては図5に示すドメイン名とIPアドレスとの対照表に,偽のIPアドレス100.100.100.150を登録しておく。偽のIPアドレスは予めDDNSにドメイン名を登録する際に登録しておけば良い。偽のIPアドレスとは,ハニーポットのIPアドレス,或いはIDS/IPSを前段に備えたサーバのIPアドレスである。
【0041】
以降,攻撃者リストに登録されたクライアントからDDNSサーバへドメイン名www.abc.comのIPアドレスを問い合わせるパケットが送信されてきた場合,その問い合わせの送信元IPアドレス123.123.123.1をキーとして,攻撃者リストを検索する。攻撃者リストを検索した結果,123.123.123.1が登録されている場合,図5のドメイン名−IPアドレス対照表の偽のIPアドレスの列を参照する。攻撃者は,www.abc.comのドメイン名のIPアドレスを問い合わせているので,偽のIPアドレス100.100.100.150をIPアドレスとして回答する。攻撃者はwww.abc.comhttp://www.abc.comのipアドレスは100.100.100.150/のIPアドレスは100.100.100.150と認識するので,以降100.100.100.150に攻撃を仕掛けようとする。しかし,100.100.100.150はハニーポットのIPアドレスとなっており,攻撃者の攻撃はパケット中継装置には行かず,ハニーポットで詳細に解析されることになる。ハニーポットでトラヒックを詳細に解析することにより,未知の攻撃を新たに検出することも可能である。
以上により,IPアドレス,ポート番号を公開しているサーバのセキュリティを保証する。また,任意のHTTPサーバ単独でセキュリティ対策を打つのではなく,DDNSサーバにてセキュリティ対策を打つことで,一つのHTTPサーバだけでなく,該DDNSサーバにドメインを登録している全てのHTTPサーバに対して,不正アクセスの防止が可能となる。
【実施例5】
【0042】
図18に本実施におけるネットワーク構成を示す。SMTPサーバが複数立ち上げられ,悪意のあるユーザを含めた複数のクライアントがネットワークを介して繋がっている。DDNSサーバは,SMTPサーバのドメイン名とIPアドレスとの対を管理しており,SMTPサーバからIPアドレス変更の要求があると,その都度ドメイン名に対応するIPアドレスを変更する。ハニーポットは,おとりのサーバであり,ユーザが知らずに不正攻撃をしかけると,異常が検知されアラームで管理者に通知する。また,IDS/IPSがSMTPサーバの前段に置かれ,SMTPサーバ宛のパケットを監視する。
【0043】
図19は,図18中に示した,本実施例におけるSMTPサーバ装置を示す。本実施例のSMTPサーバ装置においては,クライアントから送信されたパケットを回線インタフェースにて受信し,そのパケットをパケット処理部内のパケット受信部へ転送する。パケット受信部は該パケットをSMTP処理部へ転送し,SMTP処理部にてクライアントの要求を処理する。SMTP処理部は,処理した結果をパケット送信部へ送信する。該パケットは,その後,回線インタフェースを経由してクライアントヘ返信される。このとき,各パケットの挙動を,各モジュールにおいて監視している。例えば,SMTP処理部においてはパケットの長さを監視しており,所定のフィールドが極端に長いパケットを受信した場合,その送信元IPアドレスをDDNS通知部へ通知する。パケットの長さを監視するのは,バッファオーバーフロー攻撃の疑いのあるパケットを検知するためである。同様に,カーネル内のカウンタにおいては,送信元IPアドレス毎にパケット数をカウントしており,ある閾値を超えた場合は,その送信元IPアドレスをDDNS通知部に通知する。送信元IPアドレス毎にパケット数をカウントするのは,DoS攻撃の疑いのある攻撃者を特定するためである。
【0044】
DDNS通知部は,攻撃者の送信元IPアドレスを通知されると,該SMTPサーバのIPアドレス変更手続きをする。以上によってSMTPサーバのIPアドレスが変更され,IPアドレスを直接指定して攻撃を仕掛けてくる攻撃者に対して,防御可能となる。なお,SMTPサーバのIPアドレスは通常公開されておらず,IPアドレスを直接宛先に指定してパケットを送信してくるのは,IPアドレスをランダムに設定して攻撃をしかける悪意のあるクライアントである。悪意のないクライアントは,通常ドメイン名からIPアドレスを割り出してSMTPサーバにアクセスしており,SMTPサーバのIPアドレスが変更されても,その影響を受けない。
【0045】
更にDDNS通知部は,変更後のSMTPサーバのIPアドレスとSMTP処理部から通知された攻撃者のIPアドレス123.123.123.1をDDNSサーバへ通知する。DDNSサーバは,図20に示すドメイン名とIPアドレスとの対照表を保持しており,SMTPサーバから上記データを受信すると,この対照表を更新する。この対照表により,クライアントはドメインをキーとしてIPアドレスを割り出すことができる。ドメイン名からIPアドレスを割り出した後にSMTPサーバにアクセスしているユーザに関しては,SMTPサーバのIPアドレスが変更されても引き続きSMTPサーバへのアクセスが可能である。
【0046】
本発明のDDNSサーバでは,図6に示す攻撃者の送信元IPアドレス一覧を保持する。このテーブルにSMTPサーバから受け取った攻撃者のIPアドレエラー! ハイパーリンクの参照に誤りがあります。メイン名とIPアドレスとの対照表に,偽のIPアドレス34.34.34.100を登録しておく。偽のIPアドレスは,図6の攻撃者リストから無作為に抽出したIPアドレスである。以降,攻撃者リストに登録されたクライアントからDDNSサーバへドメイン名smtp.abc.comアドレスを問い合わせるパケットが送信されてきた場合,その問い合わせの送信元IPアドレス123.123.123.1をキーとして,攻撃者リストを検索する。攻撃者リストを検索した結果,123.123.123.1が登録されている場合,図21のドメイン名−IPアドレス対照表の偽のIPアドレスの列を参照する。攻撃者は,smtp.abc.comのドメイン名のIPアドレスを問い合わせているので,偽のIPアドレス34.34.34.100をIPアドレスとして回答する。攻撃者はsmtp.abc.comhttp://www.abc.comのipアドレスは100.100.100.150/のIPアドレスは34.34.34.100と認識するので,以降34.34.34.100に攻撃を仕掛けようとする。しかし,34.34.34.100は別の攻撃者のIPアドレスとなっており,攻撃者が別の攻撃者に対して攻撃をしかける形になる.その結果,攻撃者の攻撃はSMTPサーバには行かず,SMTPサーバに対する攻撃を防ぐことができる。
以上により,IPアドレス,ポート番号を公開しているサーバのセキュリティを保証する。また,任意のSMTPサーバ単独でセキュリティ対策を打つのではなく,DDNSサーバにてセキュリティ対策を打つことで,一つのSMTPサーバだけでなく,該DDNSサーバにドメインを登録している全てのSMTPサーバに対して,不正アクセスの防止が可能となる。
【実施例6】
【0047】
図17に本実施におけるネットワーク構成を示す。HTTPサーバが複数立ち上げられ,悪意のあるユーザを含めた複数のクライアントがネットワークを介して繋がっている。DDNSサーバ1は,HTTPサーバ1,2のドメイン名とIPアドレスとの対を管理しており,HTTPサーバ1,2からIPアドレス変更の要求があると,その都度ドメイン名に対応するIPアドレスを変更する。DDNSサーバ2は,DDNSサーバ1とは物理的に離れた地点に設置され,その周辺に存在するHTTPサーバのドメイン名とIPアドレスとの対を管理している。ハニーポットは,おとりのサーバであり,ユーザが知らずに不正攻撃をしかけると,異常が検知されアラームで管理者に通知する。また,IDS/IPSがHTTPサーバの前段に置かれ,HTTPサーバ宛のパケットを監視する。
【0048】
図22は,図17中に示した,本実施例におけるHTTPサーバ装置を示す。本実施例のHTTPサーバ装置においては,クライアントから送信されたパケットを回線インタフェースにて受信し,そのパケットをパケット処理部内のパケット受信部へ転送する。パケット受信部は該パケットをHTTP処理部へ転送し,HTTP処理部にてクライアントの要求を処理する。HTTP処理部は,処理した結果をパケット送信部へ送信する。該パケットは,その後,回線インタフェースを経由してクライアントヘ返信される。
【0049】
HTTP処理部は,システム関数コールを用いて,定期的に該HTTPサーバのIPアドレスを変更する。これにより,IPアドレスを直接指定して攻撃を仕掛けてくる攻撃者に対して,防御が可能となる。なお,HTTPサーバのIPアドレスは通常公開されておらず,IPアドレスを直接宛先に指定してパケットを送信してくるのは,IPアドレスをランダムに設定して攻撃をしかける悪意のあるクライアントである。悪意のないクライアントは,通常ドメイン名からIPアドレスを割り出してHTTPサーバにアクセスしており,HTTPサーバのIPアドレスが変更されても,その影響を受けない。
【0050】
DDNS通知部は,変更後のHTTPサーバのIPアドレスをDDNSサーバ1へ通知する。DDNSサーバ1は,図4に示すドメイン名とIPアドレスとの対照表を保持しており,HTTPサーバから上記データを受信すると,この対照表を更新する。この対照表により,クライアントはドメインをキーとしてIPアドレスを割り出すことができる。ドメイン名からIPアドレスを割り出した後にHTTPサーバにアクセスしているユーザに関しては,HTTPサーバのIPアドレスが変更されても引き続きHTTPサーバへのアクセスが可能である。
【0051】
本発明のDDNSサーバ1では,図6に示す攻撃者の送信元IPアドレス一覧を保持する。このテーブルは,DDNSサーバ2から通知された,攻撃者のIPアドレス一覧を登録する。本実施例では,DDNSサーバ2から通知された攻撃者のIPアドレス123.123.123.1が登録されている。またこのとき,DDNSサーバ1においては図5に示すドメイン名とIPアドレスとの対照表に,偽のIPアドレス100.100.100.150を登録しておく。偽のIPアドレスは予めDDNSにドメイン名を登録する際に登録しておけば良い。偽のIPアドレスとは,ハニーポットのIPアドレス,或いはIDS/IPSを前段に備えたサーバのIPアドレスである。
【0052】
以降,攻撃者リストに登録されたクライアントからDDNSサーバへドメイン名www.abc.comのIPアドレスを問い合わせるパケットが送信されてきた場合,その問い合わせの送信元IPアドレス123.123.123.1をキーとして,攻撃者リストを検索する。攻撃者リストを検索した結果,123.123.123.1が登録されている場合,図5のドメイン名−IPアドレス対照表の偽のIPアドレスの列を参照する。攻撃者は,www.abc.comのドメイン名のIPアドレスを問い合わせているので,偽のIPアドレス100.100.100.150をIPアドレスとして回答する。攻撃者はwww.abc.comhttp://www.abc.comのipアドレスは100.100.100.150/のIPアドレスは100.100.100.150と認識するので,以降100.100.100.150に攻撃を仕掛けようとする。しかし,100.100.100.150はハニーポットのIPアドレスとなっており,攻撃者の攻撃はパケット中継装置には行かず,ハニーポットで詳細に解析されることになる。ハニーポットでトラヒックを詳細に解析することにより,未知の攻撃を新たに検出することも可能である。
【0053】
以上により,IPアドレス,ポート番号を公開しているサーバのセキュリティを保証する。また,任意のHTTPサーバ単独でセキュリティ対策を打つのではなく,DDNSサーバにてセキュリティ対策を打つことで,一つのHTTPサーバだけでなく,該DDNSサーバにドメインを登録している全てのHTTPサーバに対して,不正アクセスの防止が可能となる。
【図面の簡単な説明】
【0054】
【図1】本発明のHTTPサーバを示す図である。
【図2】本発明のDDNSサーバを示す図である。
【図3】実施例1における,HTTPサーバとDDNSサーバが設置されるネットワーク構成を示す図である。
【図4】本発明のDDNSサーバにて保持される、ドメイン名とIPアドレスの対応を記したテーブルである。
【図5】本発明のDDNSサーバにて保持される、ドメイン名と真のIPアドレスと偽のIPアドレスの対応を記したテーブルである。
【図6】攻撃者の送信元IPアドレスをリストしたテーブルである。
【図7】実施例2において,攻撃者のトラヒックを疑わしいトラヒックと判定した場合の,HTTPサーバとDDNSサーバとのやりとりを示す図である。
【図8】本発明のパケット中継装置を示す図である。
【図9】実施例2における,パケット中継装置とDDNSサーバが設置されるネットワーク構成を示す図である。
【図10】本発明のHTTPサーバとDDNSサーバとの間でやりとりされるDDNSパケットを示す図である。
【図11】図10におけるDDNSパケット内の,DDNSデータ部分のみを示す図である。
【図12】図11に示すDDNSデータ内の,DNSヘッダを示す図である。
【図13】図11に示すDDNSデータ内の,ゾーンセクションを示す図である。
【図14】図11に示すDDNSデータ内の,前提/更新セクションを示す図である。
【図15】実施例3における,HTTPサーバとDDNSサーバが設置されるネットワーク構成を示す図である。
【図16】実施例3における,DDNSサーバにて保持される、ドメイン名と真のIPアドレスと偽のIPアドレスの対応を記したテーブルである。
【図17】実施例4,6における,HTTPサーバとDDNSサーバが設置されるネットワーク構成を示す図である。
【図18】実施例5における,SMTPサーバとDDNSサーバが設置されるネットワーク構成を示す図である。
【図19】本発明のSMTPサーバを示す図である。
【図20】実施例5のDDNSサーバにて保持される、ドメイン名とIPアドレスの対応を記したテーブルである。
【図21】実施例5のDDNSサーバにて保持される、ドメイン名と真のIPアドレスと偽のIPアドレスの対応を記したテーブルである。
【図22】実施例6のHTTPサーバを示す図である。
【符号の説明】
【0055】
11 SMTP処理部
12 パケット処理部
13 HTTP処理部
14 DDNS通知部(クライアント)
15 カーネル
16 パケット受信部
17 パケット送信部
18 DDNS処理部
19 カウンタ
21 構成定義管理部
22 SOAP処理部
23 パケット転送部
24 − 26 回線インタフェース
27 − 28 DDNSサーバ
31 ネットワーク
41 − 42 クライント
43 − 44 悪意あるユーザ
45 管理装置
51 ドメイン名−IPアドレス対照表
52 攻撃者リスト
53 真IPアドレス−偽IPアドレス対照表
61 − 64 HTTPサーバ
65 ハニーポット
66 IDS/IPS
67 − 68 SMTPサーバ
71 − 73 パケット中継装置
81 IPパケット
82 DDNSデータ
83 DNSヘッダ
84 ゾーンセクション
85 前提/更新セクション。
【技術分野】
【0001】
本発明は,IPアドレスおよびポート番号を公開しているサーバにおいて挙動不審なパケットを受信した場合に,そのパケットの送信元IPアドレスをDNSサーバに通知し,それ以降DNSサーバにおいてその送信元IPアドレスからのDNS問い合わせを受信した場合,偽りのIPアドレスを通知することを特徴とするセキュリティシステムに関する。
【背景技術】
【0002】
従来,HTTP(Hyper Text Transmission Protocol)はホームページを公開する,或いはホームページを閲覧するために用いられてきた。このとき,HTTPにて伝達されるデータはHTML(Hyper Text Markup Language)で記述される。近年HTTPは,HTMLのみでなくSOAP(Simple Object Access Protocol)を伝達するためにも利用されている。これにより,様々なWebサービスが提供されて来ている。ここでWebサービスとは,ソフトウェアの機能を,ネットワークを通じて利用するための技術で,その際の伝達に利用されるメッセージがSOAPである。SOAPは,XML(eXtensible Markup Language)で構造化された形式で伝達され,他のコンピュータにあるデータやサービスを呼び出すために用いられる。SOAPによる通信では、XML文書にエンベロープ(封筒)と呼ばれる付帯情報が付いたメッセージを、HTTPなどのプロトコルで交換する。サービスを利用するクライアントと、サービスを提供するサーバの双方がSOAPの生成・解釈エンジンを持つことで、異なる環境間でのオブジェクト呼び出しが可能となっている。
【0003】
現在IETF(Internet Engineering Task Force)においては,パケット中継装置の設定を,SOAPを利用することによって実現するため,NETCONFと言うワーキンググループを立ち上げ,標準化に取り組んでいる。これにより,パケット中継装置の設定を,従来のCLI(Command Line Interface)だけではなく,管理ソフトウェアからでも出来るようにする。管理ソフトウェアからパケット中継装置の設定が可能となれば,現在人手で行っている装置の管理作業は大幅に置き換えることが可能となり,ネットワーク管理の自律運用も実現可能となる。この時パケット中継装置では,SOAPを利用するためHTTPサーバを立ち上げる必要がある。以上のように,HTTPサーバの利用範囲は今後も益々拡大していく。
【0004】
その一方で,DoS(Denial of Service)攻撃やウィルス,ワーム,更にはなりすましやHTTPのセキュリティホールを狙ったバッファオーバーフロー攻撃などによってHTTPサーバを停止させる,或いは各種端末から情報をハッキングする事件が多発している。これらの攻撃に対して,FW(Firewall)やIDS(Intrusion Detection System)/IPS(Intrusion Prevention System)を導入する事例が増えている。2003年1月にSQLサーバを標的としたSQL slammerが北米で大増殖した際には,SQLサーバが利用しているUDPの1434番ポートをフィルタリングすることによって拡大を阻止した。
【発明の開示】
【発明が解決しようとする課題】
【0005】
DoS(Denial of Service)攻撃やウィルス,ワーム,更にはなりすましやセキュリティホールを狙ったバッファオーバーフロー攻撃などの攻撃は,IPアドレス,ポート番号を使って、サービスを公開しているサーバに対して,特に顕著である。
【0006】
また、これらの攻撃を狙った不正アクセスをフィルタで止める手段は,セキュリティ対策として有効な手段の一つではあるが,フィルタのみの対策ではなく幾重にもセキュリティ対策を施しておくことが,不正アクセスに対して重要である。なぜならば,フィルタリングの場合,複数のサーバやパケット中継装置に同じフィルタルールを施して運用して行くことが必然であり,装置切替えの際などもフィルタルールを引き継がねばならず,手間がかかりフィルタルールの設定抜けの発生が懸念されるからである。
【0007】
本発明の目的は、IPアドレス,ポート番号を使ってサービスを公開しているサーバのIPアドレスを定期的又は攻撃があったと判断した場合に自動で変更する対策および個々のIPアドレス,ポート番号を固定して、サービスを公開しているサーバやパケット中継装置にそれぞれ設定を施す必要のないセキュリティ対策を提供することである。
【課題を解決するための手段】
【0008】
IPアドレス,ポート番号を公開しているサーバにおいて挙動の不審なパケットを検知した場合,該サーバのIPアドレスを変更するとともに,不審なパケットを送信したユーザの送信元IPアドレスをDDNSサーバへ通知する。 DDNSサーバは,通知された送信元IPアドレスを攻撃者のIPアドレスとして登録する。また,DDNSサーバでは,一つのドメイン名に対し,真のIPアドレスと偽のIPアドレスとの2つを保持するDDNSサーバへIPアドレスを問い合わせてきたユーザの送信元IPアドレスが攻撃者のIPアドレスとして登録したリストに載っていなかった場合,真のIPアドレスを教える。一方,DDNSサーバへIPアドレスを問い合わせてきたユーザの送信元IPアドレスが,攻撃者のIPアドレスとしてリストに登録されていた場合,偽のIPアドレスを教える。
【発明の効果】
【0009】
一度攻撃を受けたユーザのIPアドレスからのアクセスを以後防ぐことができ、IPアドレス,ポート番号を公開しているサーバのセキュリティを保証する。また,攻撃を受けた該サーバだけでなく, DDNSサーバに登録してある全てのIPアドレス,ポート番号を公開しているサーバにおいても不正アクセスを防止可能となる。
【0010】
なお、本発明は、IPアドレス,ポート番号を公開しているサーバであれば同様の効果を奏する。例えば、HTTPサーバ、IMAPサーバ,POPサーバ,FTPサーバ,SQLサーバ及びSMTPサーバなどである。
【発明を実施するための最良の形態】
【0011】
HTTPサーバにおいて挙動の不審なパケットを受信した際には,該HTTPサーバのIPアドレスを変更する。ここで,挙動の不審なパケットとは,例えば.exe拡張子をURL内に記述しているHTTPメッセージや,URL長が非常に長いHTTPメッセージのことである。IPアドレスを変更するため,HTTPサーバはカーネルが用意している,ホストのIPアドレス変更関数をコールする。変更後のIPアドレスは,DDNS(Dynamic Domain Name Service)の枠組みを用いて,DDNSサーバへ通知する。ここで,DDNSサーバとは,動的に変わるHTTPのIPアドレスを,特定のドメイン名に対応付けて管理することの可能なサーバである。DDNSサーバは,HTTPサーバからIPアドレスの変更通知を受けると,それまで該HTTPサーバが使用していたドメイン名に対応するIPアドレスを更新する。クライアントが,ドメイン名をキーとしてHTTPサーバのIPアドレスをDDNSサーバへ問い合わせると,DDNSサーバは上記対応テーブルよりIPアドレスを検索しクラアントへ応答を返す。
【0012】
HTTPサーバに,例えばあるユーザから膨大な量のHTTPメッセージが届いた場合,或いは異常に長いURL長を持ったHTTPメッセージが届いた場合,それを契機として該HTTPサーバのIPアドレスを変更する。HTTPサーバはIPアドレスを変更すると,DDNSサーバに変更後のIPアドレスを通知する。その時に用いるDDNSパケットのフォーマットを図10に示す。図10はUDPパケットであり,宛先ポート番号にはDDNS用の58800を記載する。図10のデータ部の詳細図は,図11に示す。図11のDDNSヘッダの詳細図は,図12に示す。図12の識別子フィールドには,パケット送信者を特定する識別子を記す。QRフィールドには,パケットが要求メッセージであるか,応答メッセージであるかを示す。操作コードフィールドには,要求メッセージである場合,更新を示す5を記す。応答メッセージである場合,要求メッセージの値をコピーする。予約フィールドは,将来のための予備のフィールドである。応答コードフィールドには,パケットが応答メッセージであった場合のみ,結果を返す。正常と応答する場合,予約された0を記入する。ZO COUNTフィールドには,図11に示すゾーンセクションのレコード数を記入する。PR COUNTフィールドには,図11に示す前提セクションのレコード数を記入する。UP COUNTフィールドには,図11に示す更新セクションのレコード数を記入する。AD COUNTフィールドには,図11に示す付加データセクションのレコード数を記入する。図11のゾーンセクションの詳細図は,図13に示す。図13のZNAMEフィールドには,更新対象となるゾーンの名称を記載する。ここでゾーンとは,各ドメインとIPアドレスとの対のことを指す。ZTYPEフィールドには,このゾーンの情報をマスタとして持つかスレーブとして持つかを記す。ZCLASSフィールドには,ゾーンのクラスを記す。図11の前提/更新セクションの詳細図は,図14に示す。図14のドメイン名のフィールドにはドメイン名を,IPアドレスのフィールドには,ドメイン名に対応付ける変更後のIPアドレスを記す。その他のフィールドとして,TYPEフィールド,CLASSフィールド,TTLフィールド,RDLENGTHフィールドがあるが,これらのフィールドにはそれぞれ,このレコードのタイプ,クラス,キャッシュ時間,IPアドレスのビット数32を記す。図11の付加データセクションには,DDNSサーバは,図4に示すドメインとIPアドレスとの対を記したテーブルを保持しており,上記パケットを受信すると,図4のIPアドレスを,以前のIPアドレスからパケットに記されているIPアドレスへ変更する。これにより,HTTPサーバのIPアドレスを宛先IPアドレスに設定しHTTPサーバに攻撃をしかけてくる攻撃者に対し,防御が可能となる。HTTPサーバのIPアドレスは通常公開しておらず,上記のように宛先IPアドレスを直接設定してくるクライアントは,ランダムにIPアドレスを設定するなどして攻撃をしかけている場合が多い。よって,以上に述べた防御方法は,そのような攻撃者に対して有効である。悪意のないユーザが,HTTPサーバのIPアドレスを宛先IPアドレスに直に設定することは考えられず,そのケースは考えない。
【0013】
但し,攻撃者もドメイン名をもとにしてIPアドレスを割り出し,攻撃を仕掛けている場合,IPアドレスの変更がドメイン名によって隠蔽されてしまう。その場合の対策として,更なる手段が必要である。
【0014】
そこで,変更後のIPアドレスを通知する際,不正なパケットを送ってきた攻撃者のIPアドレスもDDNSサーバへ通知することとする。攻撃者のIPアドレスは,図11に示す付加データセクションに記すことによって,DDNSサーバに通知する。DDNSサーバは,通知された送信元IPアドレスを攻撃者のIPアドレスとして登録する。また,DDNSサーバにおいては,一つのドメイン名に対し,真のIPアドレスと偽のIPアドレスとの2つのIPアドレスを保持することとする。
【0015】
DDNSサーバへIPアドレスを問い合わせてきたときの送信元IPアドレスが,攻撃者のIPアドレスでなかった場合,真のIPアドレスを回答する。逆に,DDNSサーバへIPアドレスを問い合わせてきたときの送信元IPアドレスが,攻撃者のIPアドレスとして登録されているIPアドレスであった場合,偽のIPアドレスを回答する。
【0016】
この時の偽のIPアドレスとしては,ハニーポット,或いはIDS/IPSを前段に備えたサーバのIPアドレスを登録しておく。ここで,ハニーポットとは,ハッカーやクラッカーに対して,あたかも“本物のシステム”であるかのように見せかけるおとりのサーバである。
以上によって,攻撃者からのトラヒックは,ハニーポット,或いはIDS/IPSへ誘導され,そこで行動を詳細に解析する。IDS/IPSでは,主に既知となっている攻撃のパターンを登録しているので,攻撃者からのトラヒックを詳細に解析することで既知の攻撃を検出することが出来る。一方,ハニーポットでは,攻撃者からのトラヒックを詳細に解析することにより,未知の攻撃を新たに検出することも可能である。これにより,攻撃者はドメイン名によってアクセスを試みたとしても,偽のIPアドレスへ到達することになるため,HTTPサーバの防御が可能となる。
【実施例1】
【0017】
図3に本実施におけるネットワーク構成を示す。HTTPサーバが複数立ち上げられ,悪意のあるユーザを含めた複数のクライアントがネットワークを介して繋がっている。DDNSサーバは,HTTPサーバのドメイン名とIPアドレスとの対を管理しており,HTTPサーバからIPアドレス変更の要求があると,その都度ドメイン名に対応するIPアドレスを変更する。ハニーポットは,おとりのサーバであり,ユーザが知らずに不正攻撃をしかけると,異常が検知されアラームで管理者に通知する。また,IDS/IPSがHTTPサーバの前段に置かれ,HTTPサーバ宛のパケットを監視する。
【0018】
図1は,図3中に示した,本実施例におけるHTTPサーバ装置を示す。本実施例のHTTPサーバ装置においては,クライアントから送信されたパケットを回線インタフェースにて受信し,そのパケットをパケット処理部内のパケット受信部へ転送する。パケット受信部は該パケットをカーネルに転送する。カーネル内では,パケットのIPヘッダ処理,TCPヘッダ処理を施した後,パケットをHTTP処理部へ転送し,HTTP処理部にてクライアントの要求を処理する。HTTP処理部は,処理した結果をカーネルへ送信する。カーネル内では,パケットのTCPヘッダ処理,IPヘッダ処理を施した後,パケットをパケット送信部へ送信する。該パケットは,その後,回線インタフェースを経由してクライアントヘ返信される。このとき,各パケットの挙動を,各モジュールにおいて監視している。例えば,HTTP処理部においてはパケットの長さを監視しており,所定のフィールドが極端に長いパケットを受信した場合,その送信元IPアドレスをDDNS通知部へ通知する。パケットの長さを監視するのは,バッファオーバーフロー攻撃の疑いのあるパケットを検知するためである。同様に,カーネル内のカウンタにおいては,送信元IPアドレス毎にパケット数をカウントしており,ある閾値を超えた場合は,その送信元IPアドレスをDDNS通知部に通知する。送信元IPアドレス毎にパケット数をカウントするのは,DoS攻撃の疑いのある攻撃者を特定するためである。
【0019】
例として,送信元IPアドレスが123.123.123.1のクライアントが,所定のフィールドが極端に長いパケットをHTTPサーバへ送信すると,HTTP処理部がそれを攻撃と認識し,送信元IPアドレスをDDNS通知部へ通知する。DDNS通知部は,攻撃者の送信元IPアドレスを通知されると,該HTTPサーバのIPアドレス変更手続きをする。
【0020】
以上によってHTTPサーバのIPアドレスが変更され,IPアドレスを直接指定して攻撃を仕掛けてくる攻撃者に対して,防御可能となる。
【0021】
更にDDNS通知部は,変更後のHTTPサーバのIPアドレスとHTTP処理部から通知された攻撃者のIPアドレス123.123.123.1をDDNSサーバへ通知する。DDNSサーバは,図4に示すドメイン名とIPアドレスとの対照表を保持しており,HTTPサーバから上記データを受信すると,この対照表を更新する。この対照表により,クライアントはドメイン名をキーとしてIPアドレスを割り出すことができる。ドメイン名からIPアドレスを割り出しているクライアントは,HTTPサーバのIPアドレスが変更されてもその影響を受けることなく,引き続きHTTPサーバへアクセス可能である。なお,HTTPサーバのIPアドレスは通常公開されておらず,IPアドレスを直接宛先に指定してパケットを送信してくるのは,IPアドレスをランダムに設定して攻撃をしかける悪意のあるクライアントである。悪意のないクライアントは,通常ドメイン名からIPアドレスを割り出してHTTPサーバにアクセスしており,HTTPサーバのIPアドレスが変更されても,その影響を受けない。
【0022】
図2は,図3中に示した,本実施例におけるDDNSサーバ装置を示す。DDNSサーバは,HTTPサーバからのIPアドレス変更通知を受信すると回線インタフェースで受信する。その後そのDDNSパケットはパケット受信部へ転送される。パケット受信部は,パケットをカーネルへ転送し,パケットはカーネル内でIPヘッダ処理,UDPヘッダ処理を施される。UDPヘッダを取り除くとDDNSパケットが現れるので,カーネルはそのDDNSパケットをDDNS処理部へ転送する。DDNS処理部では,ドメイン名−IPアドレス対照表を保持しており,HTTPサーバからの要求に応じてIPアドレスを更新する。更新の失敗/成功を通知するため,DDNS処理部はDDNSパケットを作成した後,そのパケットをカーネルへ転送する。カーネル内ではUDPヘッダ,IPヘッダが付与された後,パケットはパケット送信部へ転送される。パケットは,その後回線インタフェースへ転送され,要求元のHTTPサーバへ返信される。本発明のDDNSサーバでは,図6に示す攻撃者の送信元IPアドレスを一覧で記した攻撃者リストを保持している。
【0023】
HTTPサーバから,攻撃者のIPアドレスとして123.123.123.1の通知を受けると,DDNS処理部は,そのIPアドレスを攻撃者リストに登録する。これにより,今後このIPアドレスを送信元IPアドレスとして問い合わせてくるクライアントに対しては,正常と別の対処をすることが出来る。このとき,DDNSサーバにおいて図5に示す対照表を保持し,偽のIPアドレス100.100.100.150を登録しておくことによって,攻撃者リストに載っているクライアントからの問い合わせには,この偽のIPアドレスを返すことができる。偽のIPアドレスは,予めDDNSにドメイン名を登録する際に登録しておけば良い。偽のIPアドレスは,ドメインとIPアドレスとの対それぞれに用意する必要はなく,全て同じIPアドレスで良い。偽のIPアドレスとは,ハニーポットのIPアドレス,或いはIDS/IPSを前段に備えたサーバのIPアドレスとなる。以降,攻撃者リストに登録されたクライアントからDDNSサーバへドメイン名www.abc.comのIPアドレスを問い合わせるパケットが送信されてきた場合,その問い合わせの送信元IPアドレス123.123.123.1をキーとして,攻撃者リストを検索する。攻撃者リストを検索した結果,123.123.123.1が登録されている場合,図5のドメイン名−IPアドレス対照表の偽のIPアドレスの列を参照する。攻撃者はwww.abc.comのドメイン名のIPアドレスを問い合わせているので,偽のIPアドレス100.100.100.150をIPアドレスとして回答する。攻撃者はwww.abc.comのIPアドレスは100.100.100.150と認識するので,以降100.100.100.150に攻撃を仕掛けようとする。しかし,100.100.100.150はハニーポットのIPアドレスとなっており,攻撃者の攻撃はHTTPサーバには行かず,ハニーポットで詳細に解析されることになる。ハニーポットでトラヒックを詳細に解析することにより,未知の攻撃を新たに検出することも可能である。
以上により,IPアドレス,ポート番号を公開しているサーバのセキュリティを保証する。また,任意のHTTPサーバ単独でセキュリティ対策を打つのではなく,DDNSサーバにてセキュリティ対策を打つことで,一つのHTTPサーバだけでなく,該DDNSサーバにドメイン名を登録している全てのHTTPサーバに対して,不正アクセスの防止が可能となる。
【実施例2】
【0024】
図9に本実施におけるネットワーク構成を示す。パケット中継装置が複数設置され,それぞれのパケット中継装置上ではHTTPサーバが稼動している。パケット中継装置は,悪意のあるユーザを含めた複数のクライアントとネットワークを介して繋がっている。DDNSサーバは,パケット中継装置上で稼動しているHTTPサーバのドメイン名とIPアドレスとの対を管理しており,該HTTPサーバからIPアドレス変更の要求があると,その都度ドメイン名に対応するIPアドレスを変更する。ハニーポットは,おとりのサーバであり,ユーザが知らずに不正攻撃をしかけると,異常が検知されアラームで管理者に通知する。管理装置は,パケット中継装置をリモートから設定変更可能な端末である。
【0025】
図8は,図9中に示した,本実施例におけるパケット中継装置を示す。本実施例のパケット中継装置においては,HTTP処理部とSOAP処理部が存在する。管理装置が構成定義変更を要求するSOAPメッセージを含むパケットをパケット中継装置に送信すると,パケット中継装置はSOAPメッセージを回線インタフェースにて受信する。回線インタフェースで受信したSOAPメッセージを含むパケットは,パケット転送部に転送される。パケット転送部は,受信したパケットが他のパケット中継装置宛てであった場合,他の回線インタフェースを介して所望のパケット中継装置へ転送するが,そのパケットが該パケット中継装置宛てであった場合,パケット処理部内のパケット受信部へ転送する。上記SOAPメッセージを含むパケットは,該パケット中継装置宛てであるため,パケットはパケット転送部からパケット受信部へ転送される。続いてカーネル内で,パケットのIPヘッダ処理,TCP処理を施された後,パケットにHTTPメッセージが含まれていた場合には,パケットをHTTP処理部へ転送する。HTTPメッセージ以外の場合,それぞれ所望のモジュールへ転送され処理される。上記HTTP処理部は,HTTPメッセージを受信すると解析を開始し,メッセージ内にSOAPメッセージが含まれていた場合,メッセージをSOAP処理部へ転送する。SOAPメッセージが含まれていない場合,HTTP処理部内で処理を施し応答を返す。SOAP処理部では,SOAPメッセージ内のXMLデータに従って構成定義を設定する。これにより,CLIを使った構成定義の変更ではなく,SOAPメッセージを使った構成定義の変更が可能となる。構成定義を設定すると,設定に成功したか失敗したかの結果がカーネルから返されるので,その結果をSOAPメッセージにし,HTTP処理部へ渡す。HTTP処理部は,SOAPメッセージにHTTPヘッダを付与し,HTTPメッセージとしてからパケット送信部を介してパケット転送部へ送信する。パケット転送部はHTTPメッセージを回線インタフェースへ転送し,管理装置に結果を返す。管理装置において要求に対する結果が認識できることで,管理装置は成功であれば成功の場合の,失敗であれば失敗の場合の対処をする。
【0026】
図7を用いて悪意のあるクライアントからSOAPメッセージを用いた攻撃を受けた場合の例を示す。送信元IPアドレスが123.123.123.1の悪意のあるクライアントがSOAPメッセージを送信する(手順S1)。パケット受信部では,そのSOAPメッセージを受信した回線インタフェースをチェックしている。本実施例のパケット中継装置においては,SOAPメッセージの受信を許可する回線インタフェースを,特定の回線インタフェースに限定しており,もし指定の回線インタフェース以外からSOAPメッセージを受信した場合,カーネルがそれを攻撃と認識する。ここで,SOAPメッセージの受信を許可する回線インタフェースを限定しているのは,SOAPメッセージを送信する管理装置を任意の管理装置に固定しているからである。管理装置から送信されるSOAPメッセージが,中継装置に届く度に受信する回線インタフェースが変わっていることはない。よって,SOAPメッセージの受信を許可する回線インタフェースを限定し,それ以外の回線インタフェースから受信したSOAPメッセージは,不審な送信元からのSOAPメッセージであると断定し,メッセージを廃棄する。カーネルは,攻撃を受けたと認識すると,そのパケットの送信元IPアドレスをDDNS通知部に通知する。DDNS通知部は,攻撃者の送信元IPアドレスを通知されると,該パケット中継装置のIPアドレス変更手続きをする(手順S2)。
【0027】
以上によってパケット中継装置のIPアドレスが変更され,IPアドレスを直接指定して攻撃を仕掛けてくる攻撃者に対しての防御が可能となる。
【0028】
更にDDNS通知部は,変更後のパケット中継装置のIPアドレスとカーネルから通知された攻撃者のIPアドレス123.123.123.1をDDNSサーバへ通知する(手順S4)。 DDNSサーバは,図4に示すドメイン名とIPアドレスとの対照表を保持しており,パケット中継装置から上記データを受信すると,この対照表を更新する(手順S5)。この対照表により,クライアントはドメインをキーとしてIPアドレスを割り出すことができる。ドメイン名からIPアドレスを割り出しているクライアントは,HTTPサーバのIPアドレスが変更されてもその影響を受けることなく,引き続きHTTPサーバへアクセス可能である。なお,HTTPサーバのIPアドレスは通常公開されておらず,IPアドレスを直接宛先に指定してパケットを送信してくるのは,IPアドレスをランダムに設定して攻撃をしかける悪意のあるクライアントである。悪意のないクライアントは,通常ドメイン名からIPアドレスを割り出してHTTPサーバにアクセスしており,HTTPサーバのIPアドレスが変更されても,その影響を受けない。
本発明のDDNSサーバでは,図6に示す攻撃者の送信元IPアドレス一覧を保持する。このテーブルにパケット中継装置から受け取った攻撃者のIPアドレス123.123.123.1を登録する(手順S5)。これにより,今後このIPアドレスを送信元IPアドレスとして問い合わせてくるクライアントに対しては,正常と別の対処をすることが出来る。またこのとき, DDNSサーバにおいては図5にエラー! ハイパーリンクの参照に誤りがあります。しておく。偽のIPアドレスには,ハニーポットのIPアドレスを設定しておく。以降,攻撃者リストに登録されたクライアントからDDNSサーバへドメイン名www.abc.comのIPアドレスを問い合わせるパケットが送信されてきた場合(手順S6),その問い合わせの送信元IPアドレス123.123.123.1をキーとして,攻撃者リストを検索する。攻撃者リストを検索した結果,123.123.123.1が登録されている場合,図5のドメイン名−IPアドレス対照表の偽のIPアドレスの列を参照する。攻撃者は,www.abc.comのドメイン名のIPアドレスを問い合わせているので,偽のIPアドレス100.100.100.150をIPアドレスとして回答する(手順S7)。攻撃者はwww.abc.comhttp://www.abc.comのipアドレスは100.100.100.150/のIPアドレスは100.100.100.150と認識するので,以降100.100.100.150に攻撃を仕掛けようとする(手順S8)。しかし,100.100.100.150はハニーポットのIPアドレスとなっており,攻撃者の攻撃はパケット中継装置には行かず,ハニーポットで詳細に解析されることになる。ハニーポットでトラヒックを詳細に解析することにより,未知の攻撃を新たに検出することも可能である。ハニーポットで不正な攻撃と断定した場合,管理装置へアラームをあげることによって(手順S9),管理装置からパケット中継装置にフィルタの設定をすることも可能である(手順S10)。
【0029】
以上により,パケット中継装置のセキュリティを保証する。また,任意のパケット中継装置単独でセキュリティ対策を打つのではなく,DDNSサーバにてセキュリティ対策を打つことで,一つのパケット中継装置だけでなく,該DDNSサーバにドメイン名を登録している全てのパケット中継装置に対して,不正アクセスの防止が可能となる。
【実施例3】
【0030】
図15に本実施におけるネットワーク構成を示す。HTTPサーバが複数立ち上げられ,悪意のあるユーザを含めた複数のクライアントがネットワークを介して繋がっている。DDNSサーバは,HTTPサーバのドメイン名とIPアドレスとの対を管理しており,HTTPサーバからIPアドレス変更の要求があると,その都度ドメイン名に対応するIPアドレスを変更する。ハニーポットは,おとりのサーバであり,ユーザが知らずに不正攻撃をしかけると,異常が検知されアラームで管理者に通知する。また,IDS/IPSがHTTPサーバの前段に置かれ,HTTPサーバ宛のパケットを監視する。
【0031】
図1は,図15中に示した,本実施例におけるHTTPサーバ装置を示す。本実施例のHTTPサーバ装置においては,クライアントから送信されたパケットを回線インタフェースにて受信し,そのパケットをパケット処理部内のパケット受信部へ転送する。パケット受信部は該パケットをHTTP処理部へ転送し,HTTP処理部にてクライアントの要求を処理する。HTTP処理部は,処理した結果をパケット送信部へ送信する。該パケットは,その後,回線インタフェースを経由してクライアントヘ返信される。このとき,各パケットの挙動を,各モジュールにおいて監視している。例えば,HTTP処理部においてはパケットの長さを監視しており,所定フィールドが極端に長いパケットを受信した場合,その送信元IPアドレスをDDNS通知部へ通知する。パケットの長さを監視するのは,バッファオーバーフロー攻撃の疑いのあるパケットを検知するためである。同様に,カーネル内のカウンタにおいては,送信元IPアドレス毎にパケット数をカウントしており,ある閾値を超えた場合は,その送信元IPアドレスをDDNS通知部に通知する。送信元IPアドレス毎にパケット数をカウントするのは,DoS攻撃の疑いのある攻撃者を特定するためである。
【0032】
DDNS通知部は,攻撃者の送信元IPアドレスを通知されると,該HTTPサーバのIPアドレス変更手続きをする。以上によってHTTPサーバのIPアドレスが変更され,IPアドレスを直接指定して攻撃を仕掛けてくる攻撃者に対して,防御可能となる。なお,HTTPサーバのIPアドレスは通常公開されておらず,IPアドレスを直接宛先に指定してパケットを送信してくるのは,IPアドレスをランダムに設定して攻撃をしかける悪意のあるクライアントである。悪意のないクライアントは,通常ドメイン名からIPアドレスを割り出してHTTPサーバにアクセスしており,HTTPサーバのIPアドレスが変更されても,その影響を受けない。
【0033】
更にDDNS通知部は,変更後のHTTPサーバのIPアドレスとHTTP処理部から通知された攻撃者のIPアドレス123.123.123.1をDDNSサーバへ通知する。DDNSサーバは,図4に示すドメイン名とIPアドレスとの対照表を保持しており,HTTPサーバから上記データを受信すると,この対照表を更新する。この対照表により,クライアントはドメインをキーとしてIPアドレスを割り出すことができる。ドメイン名からIPアドレスを割り出した後にHTTPサーバにアクセスしているユーザに関しては,HTTPサーバのIPアドレスが変更されても引き続きHTTPサーバへのアクセスが可能である。
【0034】
本発明のDDNSサーバでは,図6に示す攻撃者の送信元IPアドレス一覧を保持する。このテーブルにHTTPサーバから受け取った攻撃者のIPアドレエラー! ハイパーリンクの参照に誤りがあります。メイン名とIPアドレスとの対照表に,偽のIPアドレス34.34.34.100を登録しておく。偽のIPアドレスは,図6の攻撃者リストから無作為に抽出したIPアドレスである。以降,攻撃者リストに登録されたクライアントからDDNSサーバへドメイン名www.abc.comのIPアドレスを問い合わせるパケットが送信されてきた場合,その問い合わせの送信元IPアドレス123.123.123.1をキーとして,攻撃者リストを検索する。攻撃者リストを検索した結果,123.123.123.1が登録されている場合,図16のドメイン名−IPアドレス対照表の偽のIPアドレスの列を参照する。攻撃者は,www.abc.comのドメイン名のIPアドレスを問い合わせているので,偽のIPアドレス34.34.34.100をIPアドレスとして回答する。攻撃者はwww.abc.comhttp://www.abc.comのipアドレスは100.100.100.150/のIPアドレスは34.34.34.100と認識するので,以降100.100.100.150に攻撃を仕掛けようとする。しかし,34.34.34.100は別の攻撃者のIPアドレスとなっており,攻撃者が別の攻撃者に対して攻撃をしかける形になる。その結果,攻撃者の攻撃はHTTPサーバには行かず,HTTPサーバに対する攻撃を防ぐことができる。
以上により,IPアドレス,ポート番号を公開しているサーバのセキュリティを保証する。また,任意のHTTPサーバ単独でセキュリティ対策を打つのではなく,DDNSサーバにてセキュリティ対策を打つことで,一つのHTTPサーバだけでなく,該DDNSサーバにドメインを登録している全てのHTTPサーバに対して,不正アクセスの防止が可能となる。
【実施例4】
【0035】
図17に本実施におけるネットワーク構成を示す。HTTPサーバが複数立ち上げられ,悪意のあるユーザを含めた複数のクライアントがネットワークを介して繋がっている。DDNSサーバ1は,HTTPサーバ1,2のドメイン名とIPアドレスとの対を管理しており,HTTPサーバ1,2からIPアドレス変更の要求があると,その都度ドメイン名に対応するIPアドレスを変更する。DDNSサーバ2は,DDNSサーバ1とは物理的に離れた地点に設置され,その周辺に存在するHTTPサーバのドメイン名とIPアドレスとの対を管理している。ハニーポットは,おとりのサーバであり,ユーザが知らずに不正攻撃をしかけると,異常が検知されアラームで管理者に通知する。また,IDS/IPSがHTTPサーバの前段に置かれ,HTTPサーバ宛のパケットを監視する。
【0036】
図1は,図17中に示した,本実施例におけるHTTPサーバ装置を示す。本実施例のHTTPサーバ装置においては,クライアントから送信されたパケットを回線インタフェースにて受信し,そのパケットをパケット処理部内のパケット受信部へ転送する。パケット受信部は該パケットをHTTP処理部へ転送し,HTTP処理部にてクライアントの要求を処理する。HTTP処理部は,処理した結果をパケット送信部へ送信する。該パケットは,その後,回線インタフェースを経由してクライアントヘ返信される。このとき,各パケットの挙動を,各モジュールにおいて監視している。例えば,HTTP処理部においてはパケットの長さを監視しており,所定のフィールドが極端に長いパケットを受信した場合,その旨をDDNS通知部へ通知する。パケットの長さを監視するのは,バッファオーバーフロー攻撃の疑いのあるパケットを検知するためである。同様に,カーネル内のカウンタにおいては,送信元IPアドレス毎にパケット数をカウントしており,ある閾値を超えた場合は,その旨をDDNS通知部に通知する。送信元IPアドレス毎にパケット数をカウントするのは,DoS攻撃の疑いのある攻撃者を特定するためである。
【0037】
例として,送信元IPアドレスが123.123.123.1の悪意のあるクライアントが,所定のフィールドが極端に長いパケットをHTTPサーバへ送信すると,HTTP処理部がそれを攻撃と認識し,攻撃を受けたことをDDNS通知部へ通知する。DDNS通知部は,通知を受けるとシステム関数コールを用いて,該HTTPサーバのIPアドレス変更手続きをする。
【0038】
以上によってHTTPサーバのIPアドレスが変更され,IPアドレスを直接指定して攻撃を仕掛けてくる攻撃者に対して,防御可能となる。なお,HTTPサーバのIPアドレスは通常公開されておらず,IPアドレスを直接宛先に指定してパケットを送信してくるのは,IPアドレスをランダムに設定して攻撃をしかける悪意のあるクライアントである。悪意のないクライアントは,通常ドメイン名からIPアドレスを割り出してHTTPサーバにアクセスしており,HTTPサーバのIPアドレスが変更されても,その影響を受けない。
【0039】
更にDDNS通知部は,変更後のHTTPサーバのIPアドレスをDDNSサーバ1へ通知する。DDNSサーバ1は,図4に示すドメイン名とIPアドレスとの対照表を保持しており,HTTPサーバから上記データを受信すると,この対照表を更新する。この対照表により,クライアントはドメインをキーとしてIPアドレスを割り出すことができる。ドメイン名からIPアドレスを割り出した後にHTTPサーバにアクセスしているユーザに関しては,HTTPサーバのIPアドレスが変更されても引き続きHTTPサーバへのアクセスが可能である。
【0040】
本発明のDDNSサーバ1では,図6に示す攻撃者の送信元IPアドレス一覧を保持する。このテーブルは,DDNSサーバ2から通知された,攻撃者のIPアドレス一覧を登録する。本実施例では,DDNSサーバ2から通知された攻撃者のIPアドレス123.123.123.1が登録されている。またこのとき,DDNSサーバ1においては図5に示すドメイン名とIPアドレスとの対照表に,偽のIPアドレス100.100.100.150を登録しておく。偽のIPアドレスは予めDDNSにドメイン名を登録する際に登録しておけば良い。偽のIPアドレスとは,ハニーポットのIPアドレス,或いはIDS/IPSを前段に備えたサーバのIPアドレスである。
【0041】
以降,攻撃者リストに登録されたクライアントからDDNSサーバへドメイン名www.abc.comのIPアドレスを問い合わせるパケットが送信されてきた場合,その問い合わせの送信元IPアドレス123.123.123.1をキーとして,攻撃者リストを検索する。攻撃者リストを検索した結果,123.123.123.1が登録されている場合,図5のドメイン名−IPアドレス対照表の偽のIPアドレスの列を参照する。攻撃者は,www.abc.comのドメイン名のIPアドレスを問い合わせているので,偽のIPアドレス100.100.100.150をIPアドレスとして回答する。攻撃者はwww.abc.comhttp://www.abc.comのipアドレスは100.100.100.150/のIPアドレスは100.100.100.150と認識するので,以降100.100.100.150に攻撃を仕掛けようとする。しかし,100.100.100.150はハニーポットのIPアドレスとなっており,攻撃者の攻撃はパケット中継装置には行かず,ハニーポットで詳細に解析されることになる。ハニーポットでトラヒックを詳細に解析することにより,未知の攻撃を新たに検出することも可能である。
以上により,IPアドレス,ポート番号を公開しているサーバのセキュリティを保証する。また,任意のHTTPサーバ単独でセキュリティ対策を打つのではなく,DDNSサーバにてセキュリティ対策を打つことで,一つのHTTPサーバだけでなく,該DDNSサーバにドメインを登録している全てのHTTPサーバに対して,不正アクセスの防止が可能となる。
【実施例5】
【0042】
図18に本実施におけるネットワーク構成を示す。SMTPサーバが複数立ち上げられ,悪意のあるユーザを含めた複数のクライアントがネットワークを介して繋がっている。DDNSサーバは,SMTPサーバのドメイン名とIPアドレスとの対を管理しており,SMTPサーバからIPアドレス変更の要求があると,その都度ドメイン名に対応するIPアドレスを変更する。ハニーポットは,おとりのサーバであり,ユーザが知らずに不正攻撃をしかけると,異常が検知されアラームで管理者に通知する。また,IDS/IPSがSMTPサーバの前段に置かれ,SMTPサーバ宛のパケットを監視する。
【0043】
図19は,図18中に示した,本実施例におけるSMTPサーバ装置を示す。本実施例のSMTPサーバ装置においては,クライアントから送信されたパケットを回線インタフェースにて受信し,そのパケットをパケット処理部内のパケット受信部へ転送する。パケット受信部は該パケットをSMTP処理部へ転送し,SMTP処理部にてクライアントの要求を処理する。SMTP処理部は,処理した結果をパケット送信部へ送信する。該パケットは,その後,回線インタフェースを経由してクライアントヘ返信される。このとき,各パケットの挙動を,各モジュールにおいて監視している。例えば,SMTP処理部においてはパケットの長さを監視しており,所定のフィールドが極端に長いパケットを受信した場合,その送信元IPアドレスをDDNS通知部へ通知する。パケットの長さを監視するのは,バッファオーバーフロー攻撃の疑いのあるパケットを検知するためである。同様に,カーネル内のカウンタにおいては,送信元IPアドレス毎にパケット数をカウントしており,ある閾値を超えた場合は,その送信元IPアドレスをDDNS通知部に通知する。送信元IPアドレス毎にパケット数をカウントするのは,DoS攻撃の疑いのある攻撃者を特定するためである。
【0044】
DDNS通知部は,攻撃者の送信元IPアドレスを通知されると,該SMTPサーバのIPアドレス変更手続きをする。以上によってSMTPサーバのIPアドレスが変更され,IPアドレスを直接指定して攻撃を仕掛けてくる攻撃者に対して,防御可能となる。なお,SMTPサーバのIPアドレスは通常公開されておらず,IPアドレスを直接宛先に指定してパケットを送信してくるのは,IPアドレスをランダムに設定して攻撃をしかける悪意のあるクライアントである。悪意のないクライアントは,通常ドメイン名からIPアドレスを割り出してSMTPサーバにアクセスしており,SMTPサーバのIPアドレスが変更されても,その影響を受けない。
【0045】
更にDDNS通知部は,変更後のSMTPサーバのIPアドレスとSMTP処理部から通知された攻撃者のIPアドレス123.123.123.1をDDNSサーバへ通知する。DDNSサーバは,図20に示すドメイン名とIPアドレスとの対照表を保持しており,SMTPサーバから上記データを受信すると,この対照表を更新する。この対照表により,クライアントはドメインをキーとしてIPアドレスを割り出すことができる。ドメイン名からIPアドレスを割り出した後にSMTPサーバにアクセスしているユーザに関しては,SMTPサーバのIPアドレスが変更されても引き続きSMTPサーバへのアクセスが可能である。
【0046】
本発明のDDNSサーバでは,図6に示す攻撃者の送信元IPアドレス一覧を保持する。このテーブルにSMTPサーバから受け取った攻撃者のIPアドレエラー! ハイパーリンクの参照に誤りがあります。メイン名とIPアドレスとの対照表に,偽のIPアドレス34.34.34.100を登録しておく。偽のIPアドレスは,図6の攻撃者リストから無作為に抽出したIPアドレスである。以降,攻撃者リストに登録されたクライアントからDDNSサーバへドメイン名smtp.abc.comアドレスを問い合わせるパケットが送信されてきた場合,その問い合わせの送信元IPアドレス123.123.123.1をキーとして,攻撃者リストを検索する。攻撃者リストを検索した結果,123.123.123.1が登録されている場合,図21のドメイン名−IPアドレス対照表の偽のIPアドレスの列を参照する。攻撃者は,smtp.abc.comのドメイン名のIPアドレスを問い合わせているので,偽のIPアドレス34.34.34.100をIPアドレスとして回答する。攻撃者はsmtp.abc.comhttp://www.abc.comのipアドレスは100.100.100.150/のIPアドレスは34.34.34.100と認識するので,以降34.34.34.100に攻撃を仕掛けようとする。しかし,34.34.34.100は別の攻撃者のIPアドレスとなっており,攻撃者が別の攻撃者に対して攻撃をしかける形になる.その結果,攻撃者の攻撃はSMTPサーバには行かず,SMTPサーバに対する攻撃を防ぐことができる。
以上により,IPアドレス,ポート番号を公開しているサーバのセキュリティを保証する。また,任意のSMTPサーバ単独でセキュリティ対策を打つのではなく,DDNSサーバにてセキュリティ対策を打つことで,一つのSMTPサーバだけでなく,該DDNSサーバにドメインを登録している全てのSMTPサーバに対して,不正アクセスの防止が可能となる。
【実施例6】
【0047】
図17に本実施におけるネットワーク構成を示す。HTTPサーバが複数立ち上げられ,悪意のあるユーザを含めた複数のクライアントがネットワークを介して繋がっている。DDNSサーバ1は,HTTPサーバ1,2のドメイン名とIPアドレスとの対を管理しており,HTTPサーバ1,2からIPアドレス変更の要求があると,その都度ドメイン名に対応するIPアドレスを変更する。DDNSサーバ2は,DDNSサーバ1とは物理的に離れた地点に設置され,その周辺に存在するHTTPサーバのドメイン名とIPアドレスとの対を管理している。ハニーポットは,おとりのサーバであり,ユーザが知らずに不正攻撃をしかけると,異常が検知されアラームで管理者に通知する。また,IDS/IPSがHTTPサーバの前段に置かれ,HTTPサーバ宛のパケットを監視する。
【0048】
図22は,図17中に示した,本実施例におけるHTTPサーバ装置を示す。本実施例のHTTPサーバ装置においては,クライアントから送信されたパケットを回線インタフェースにて受信し,そのパケットをパケット処理部内のパケット受信部へ転送する。パケット受信部は該パケットをHTTP処理部へ転送し,HTTP処理部にてクライアントの要求を処理する。HTTP処理部は,処理した結果をパケット送信部へ送信する。該パケットは,その後,回線インタフェースを経由してクライアントヘ返信される。
【0049】
HTTP処理部は,システム関数コールを用いて,定期的に該HTTPサーバのIPアドレスを変更する。これにより,IPアドレスを直接指定して攻撃を仕掛けてくる攻撃者に対して,防御が可能となる。なお,HTTPサーバのIPアドレスは通常公開されておらず,IPアドレスを直接宛先に指定してパケットを送信してくるのは,IPアドレスをランダムに設定して攻撃をしかける悪意のあるクライアントである。悪意のないクライアントは,通常ドメイン名からIPアドレスを割り出してHTTPサーバにアクセスしており,HTTPサーバのIPアドレスが変更されても,その影響を受けない。
【0050】
DDNS通知部は,変更後のHTTPサーバのIPアドレスをDDNSサーバ1へ通知する。DDNSサーバ1は,図4に示すドメイン名とIPアドレスとの対照表を保持しており,HTTPサーバから上記データを受信すると,この対照表を更新する。この対照表により,クライアントはドメインをキーとしてIPアドレスを割り出すことができる。ドメイン名からIPアドレスを割り出した後にHTTPサーバにアクセスしているユーザに関しては,HTTPサーバのIPアドレスが変更されても引き続きHTTPサーバへのアクセスが可能である。
【0051】
本発明のDDNSサーバ1では,図6に示す攻撃者の送信元IPアドレス一覧を保持する。このテーブルは,DDNSサーバ2から通知された,攻撃者のIPアドレス一覧を登録する。本実施例では,DDNSサーバ2から通知された攻撃者のIPアドレス123.123.123.1が登録されている。またこのとき,DDNSサーバ1においては図5に示すドメイン名とIPアドレスとの対照表に,偽のIPアドレス100.100.100.150を登録しておく。偽のIPアドレスは予めDDNSにドメイン名を登録する際に登録しておけば良い。偽のIPアドレスとは,ハニーポットのIPアドレス,或いはIDS/IPSを前段に備えたサーバのIPアドレスである。
【0052】
以降,攻撃者リストに登録されたクライアントからDDNSサーバへドメイン名www.abc.comのIPアドレスを問い合わせるパケットが送信されてきた場合,その問い合わせの送信元IPアドレス123.123.123.1をキーとして,攻撃者リストを検索する。攻撃者リストを検索した結果,123.123.123.1が登録されている場合,図5のドメイン名−IPアドレス対照表の偽のIPアドレスの列を参照する。攻撃者は,www.abc.comのドメイン名のIPアドレスを問い合わせているので,偽のIPアドレス100.100.100.150をIPアドレスとして回答する。攻撃者はwww.abc.comhttp://www.abc.comのipアドレスは100.100.100.150/のIPアドレスは100.100.100.150と認識するので,以降100.100.100.150に攻撃を仕掛けようとする。しかし,100.100.100.150はハニーポットのIPアドレスとなっており,攻撃者の攻撃はパケット中継装置には行かず,ハニーポットで詳細に解析されることになる。ハニーポットでトラヒックを詳細に解析することにより,未知の攻撃を新たに検出することも可能である。
【0053】
以上により,IPアドレス,ポート番号を公開しているサーバのセキュリティを保証する。また,任意のHTTPサーバ単独でセキュリティ対策を打つのではなく,DDNSサーバにてセキュリティ対策を打つことで,一つのHTTPサーバだけでなく,該DDNSサーバにドメインを登録している全てのHTTPサーバに対して,不正アクセスの防止が可能となる。
【図面の簡単な説明】
【0054】
【図1】本発明のHTTPサーバを示す図である。
【図2】本発明のDDNSサーバを示す図である。
【図3】実施例1における,HTTPサーバとDDNSサーバが設置されるネットワーク構成を示す図である。
【図4】本発明のDDNSサーバにて保持される、ドメイン名とIPアドレスの対応を記したテーブルである。
【図5】本発明のDDNSサーバにて保持される、ドメイン名と真のIPアドレスと偽のIPアドレスの対応を記したテーブルである。
【図6】攻撃者の送信元IPアドレスをリストしたテーブルである。
【図7】実施例2において,攻撃者のトラヒックを疑わしいトラヒックと判定した場合の,HTTPサーバとDDNSサーバとのやりとりを示す図である。
【図8】本発明のパケット中継装置を示す図である。
【図9】実施例2における,パケット中継装置とDDNSサーバが設置されるネットワーク構成を示す図である。
【図10】本発明のHTTPサーバとDDNSサーバとの間でやりとりされるDDNSパケットを示す図である。
【図11】図10におけるDDNSパケット内の,DDNSデータ部分のみを示す図である。
【図12】図11に示すDDNSデータ内の,DNSヘッダを示す図である。
【図13】図11に示すDDNSデータ内の,ゾーンセクションを示す図である。
【図14】図11に示すDDNSデータ内の,前提/更新セクションを示す図である。
【図15】実施例3における,HTTPサーバとDDNSサーバが設置されるネットワーク構成を示す図である。
【図16】実施例3における,DDNSサーバにて保持される、ドメイン名と真のIPアドレスと偽のIPアドレスの対応を記したテーブルである。
【図17】実施例4,6における,HTTPサーバとDDNSサーバが設置されるネットワーク構成を示す図である。
【図18】実施例5における,SMTPサーバとDDNSサーバが設置されるネットワーク構成を示す図である。
【図19】本発明のSMTPサーバを示す図である。
【図20】実施例5のDDNSサーバにて保持される、ドメイン名とIPアドレスの対応を記したテーブルである。
【図21】実施例5のDDNSサーバにて保持される、ドメイン名と真のIPアドレスと偽のIPアドレスの対応を記したテーブルである。
【図22】実施例6のHTTPサーバを示す図である。
【符号の説明】
【0055】
11 SMTP処理部
12 パケット処理部
13 HTTP処理部
14 DDNS通知部(クライアント)
15 カーネル
16 パケット受信部
17 パケット送信部
18 DDNS処理部
19 カウンタ
21 構成定義管理部
22 SOAP処理部
23 パケット転送部
24 − 26 回線インタフェース
27 − 28 DDNSサーバ
31 ネットワーク
41 − 42 クライント
43 − 44 悪意あるユーザ
45 管理装置
51 ドメイン名−IPアドレス対照表
52 攻撃者リスト
53 真IPアドレス−偽IPアドレス対照表
61 − 64 HTTPサーバ
65 ハニーポット
66 IDS/IPS
67 − 68 SMTPサーバ
71 − 73 パケット中継装置
81 IPパケット
82 DDNSデータ
83 DNSヘッダ
84 ゾーンセクション
85 前提/更新セクション。
【特許請求の範囲】
【請求項1】
クライアント端末とネットワークを介して接続されたサーバとDDNSサーバを含むネットワークシステムにおいて、
前記サーバは,
該サーバのIPアドレスおよびポート番号を公開しているサーバであって、
パケットを送受信する回線インタフェースと該パケットを処理するパケット処理部とを有し,
前記DDNSサーバは,
パケットを送受信する回線インタフェースと該パケットを処理するパケット処理部とを有し,
前記DDNSサーバのパケット処理部は,
前記サーバのドメイン名と該ドメイン名に対応する真のIPアドレスと偽のIPアドレスの対応を記したテーブルと,前記サーバから通知された悪意あるクライアントのIPアドレスが登録された攻撃者リストと、を有し,
前記サーバにおいて、受信パケットが悪意あるクライアントからの受信パケットであると判断した場合に、前記サーバのIPアドレスを変更し、前記変更後の前記サーバのIPアドレスを前記DDNSサーバに通知し、
前記DDNSサーバにおいて、前記変更後の前記サーバのIPアドレスを前記デーブルに登録し、
さらに、前記サーバは、前記悪意あるクライアントであると判断されたクライアントのIPアドレスを前記DDNSサーバに通知し、
前記DDNSサーバにおいて、該通知された悪意あるクライアントのIPアドレスを前記攻撃者リストに登録し、
前記クライアント端末から前記サーバにアクセス要求があった場合に、
前記DDNSサーバは、前記攻撃者リストを検索し、前記クライアント端末のIPアドレスが該攻撃者リストに該当する場合には前記偽のIPアドレスを通知し
前記クライアント端末のIPアドレスが該攻撃者リストに該当しない場合は前記真のIPアドレスを通知することを特徴とするネットワークシステム。
【請求項2】
前記判断は、前記サーバのパケット処理部において前記受信パケットの所定のフィールドが所定の長さより長いパケットである場合、または特定の送信元からのパケット数が閾値を超えた場合に、前記悪意あるクライアントからの受信パケットであると判断することを特徴とする請求項1記載のネットワークシステム。
【請求項3】
さらに、ハニーポットまたはIPSまたはIDSを前段に備えたサーバが接続された請求項1記載のネットワークシステムであって、
前記偽のIPアドレスは、前記ハニーポット、前記IPSまたはIDSを前段に備えたサーバのIPアドレスまたは前記攻撃者リストに登録された悪意あるクライアントのIPアドレスであることを特徴とするネットワークシステム。
【請求項4】
さらに、他のDDNSサーバが接続された請求項1記載のネットワークシステムであって、
前記攻撃者リストに登録するIPアドレスを前記他のDDNSサーバから入手し、登録することを特徴とするネットワークシステム。
【請求項5】
前記サーバのIPアドレスは定期的に変更されることを特徴とする請求項1記載のネットワークシステム。
【請求項6】
クライアント端末及びDDNSサーバとネットワークを介して接続され、IPアドレスとポート番号を公開しているサーバであって、
パケットを送受信する回線インタフェースと該パケットを処理するパケット処理部とを有し,
前記パケット処理部は,
受信パケットが悪意あるクライアントからの受信パケットであると判断した場合に該サーバの前記IPアドレスを変更し、前記変更後のIPアドレスを前記DDNSサーバに通知し、
さらに、前記悪意あるクライアントからアクセス要求があった場合に、前記DDNSサーバにおいて前記変更後の前記サーバのIPアドレスを前記悪意あるクライアントに通知しないために、前記悪意あるクライアントであると判断されたクライアントのIPアドレスを前記DDNSサーバに通知することを特徴とするサーバ。
【請求項7】
前記判断は、前記パケット処理部において前記受信パケットの所定のフィールドが所定の長さより長いパケットである場合、または特定の送信元からのパケット数が閾値を超えた場合に、前記悪意あるクライアントからの受信パケットであると判断することを特徴とする請求項6記載のサーバ。
【請求項8】
前記サーバのIPアドレスは定期的に変更されることを特徴とする請求項6記載のサーバ。
【請求項9】
クライアント端末及びIPアドレスおよびポート番号を公開しているサーバとネットワークを介して接続されるDDNSサーバであって、
パケットを送受信する回線インタフェースと該パケットを処理するパケット処理部とを有し,
前記パケット処理部は,
前記サーバのドメイン名と該ドメイン名に対応する真のIPアドレスと偽のIPアドレスの対応を記したテーブルと,悪意あるクライアントのIPアドレスが登録された攻撃者リストと、を有し,
前記サーバにおいて、受信パケットが悪意あるクライアントからの受信パケットであると判断した場合に、前記サーバにおいて変更された前記サーバのIPアドレスを前記サーバからの通知によって前記デーブルに登録し、
前記サーバにおいて前記悪意あるクライアントであると判断されたクライアントのIPアドレスを前記攻撃者リストに登録し、
前記クライアント端末から前記サーバにアクセス要求があった場合に前記攻撃者リストを検索し、
前記クライアント端末のIPアドレスが該攻撃者リストに該当する場合には前記偽のIPアドレスを通知し
前記クライアント端末のIPアドレスが該攻撃者リストに該当しない場合は前記真のIPアドレスを通知することを特徴とするDDNSサーバ。
【請求項10】
さらに、ハニーポット、またはIPS/IDSを前段に備えたサーバと接続された請求項9記載のDDNSサーバであって、
前記偽のIPアドレスは、前記ハニーポットまたは前記IPS/IDSを前段に備えたサーバのIPアドレスのまたは前記攻撃者リストに登録された悪意あるクライアントのIPアドレスであることを特徴とするDDNSサーバ。
【請求項11】
さらに、他のDDNSサーバと接続された請求項9記載のDDNSサーバであって、
前記攻撃者リストに登録するIPアドレスを前記他のDDNSサーバから入手し、登録することを特徴とするDDNSサーバ。
【請求項12】
クライアント端末、管理装置及びDDNSサーバとネットワークを介して接続されるパケット中継装置であって
パケットを送受信する複数の回線インタフェースと該パケットを処理するパケット処理部とを有し,
前記パケット処理部は,
前記管理装置から送信されたSOAPメッセージに含まれる構成定義要求に基づき構成定義を設定し、
前記複数の回線インタフェースのうち前記SOAPメッセージが含まれるパケットを受信可能であると設定された回線インタフェース以外の前記複数の回線インタフェースでSOAPメッセージが含まれるパケットを受信した場合に、該パケットは悪意あるクライアントが送信したパケットであると判断し、
該パケット中継装置のIPアドレスを変更し、該変更後の該パケット中継装置のIPアドレスを前記DDNSサーバに通知し、
さらに、該受信パケットを廃棄し、該サーバに前記悪意あるクライアントからアクセス要求があった場合に、前記DDNSサーバにおいて前記変更後の前記サーバのIPアドレスを前記悪意あるクライアントに通知しないために、前記悪意あるクライアントであると判断されたクライアントのIPアドレスを前記DDNSサーバに通知することを特徴とするパケット中継装置。
【請求項1】
クライアント端末とネットワークを介して接続されたサーバとDDNSサーバを含むネットワークシステムにおいて、
前記サーバは,
該サーバのIPアドレスおよびポート番号を公開しているサーバであって、
パケットを送受信する回線インタフェースと該パケットを処理するパケット処理部とを有し,
前記DDNSサーバは,
パケットを送受信する回線インタフェースと該パケットを処理するパケット処理部とを有し,
前記DDNSサーバのパケット処理部は,
前記サーバのドメイン名と該ドメイン名に対応する真のIPアドレスと偽のIPアドレスの対応を記したテーブルと,前記サーバから通知された悪意あるクライアントのIPアドレスが登録された攻撃者リストと、を有し,
前記サーバにおいて、受信パケットが悪意あるクライアントからの受信パケットであると判断した場合に、前記サーバのIPアドレスを変更し、前記変更後の前記サーバのIPアドレスを前記DDNSサーバに通知し、
前記DDNSサーバにおいて、前記変更後の前記サーバのIPアドレスを前記デーブルに登録し、
さらに、前記サーバは、前記悪意あるクライアントであると判断されたクライアントのIPアドレスを前記DDNSサーバに通知し、
前記DDNSサーバにおいて、該通知された悪意あるクライアントのIPアドレスを前記攻撃者リストに登録し、
前記クライアント端末から前記サーバにアクセス要求があった場合に、
前記DDNSサーバは、前記攻撃者リストを検索し、前記クライアント端末のIPアドレスが該攻撃者リストに該当する場合には前記偽のIPアドレスを通知し
前記クライアント端末のIPアドレスが該攻撃者リストに該当しない場合は前記真のIPアドレスを通知することを特徴とするネットワークシステム。
【請求項2】
前記判断は、前記サーバのパケット処理部において前記受信パケットの所定のフィールドが所定の長さより長いパケットである場合、または特定の送信元からのパケット数が閾値を超えた場合に、前記悪意あるクライアントからの受信パケットであると判断することを特徴とする請求項1記載のネットワークシステム。
【請求項3】
さらに、ハニーポットまたはIPSまたはIDSを前段に備えたサーバが接続された請求項1記載のネットワークシステムであって、
前記偽のIPアドレスは、前記ハニーポット、前記IPSまたはIDSを前段に備えたサーバのIPアドレスまたは前記攻撃者リストに登録された悪意あるクライアントのIPアドレスであることを特徴とするネットワークシステム。
【請求項4】
さらに、他のDDNSサーバが接続された請求項1記載のネットワークシステムであって、
前記攻撃者リストに登録するIPアドレスを前記他のDDNSサーバから入手し、登録することを特徴とするネットワークシステム。
【請求項5】
前記サーバのIPアドレスは定期的に変更されることを特徴とする請求項1記載のネットワークシステム。
【請求項6】
クライアント端末及びDDNSサーバとネットワークを介して接続され、IPアドレスとポート番号を公開しているサーバであって、
パケットを送受信する回線インタフェースと該パケットを処理するパケット処理部とを有し,
前記パケット処理部は,
受信パケットが悪意あるクライアントからの受信パケットであると判断した場合に該サーバの前記IPアドレスを変更し、前記変更後のIPアドレスを前記DDNSサーバに通知し、
さらに、前記悪意あるクライアントからアクセス要求があった場合に、前記DDNSサーバにおいて前記変更後の前記サーバのIPアドレスを前記悪意あるクライアントに通知しないために、前記悪意あるクライアントであると判断されたクライアントのIPアドレスを前記DDNSサーバに通知することを特徴とするサーバ。
【請求項7】
前記判断は、前記パケット処理部において前記受信パケットの所定のフィールドが所定の長さより長いパケットである場合、または特定の送信元からのパケット数が閾値を超えた場合に、前記悪意あるクライアントからの受信パケットであると判断することを特徴とする請求項6記載のサーバ。
【請求項8】
前記サーバのIPアドレスは定期的に変更されることを特徴とする請求項6記載のサーバ。
【請求項9】
クライアント端末及びIPアドレスおよびポート番号を公開しているサーバとネットワークを介して接続されるDDNSサーバであって、
パケットを送受信する回線インタフェースと該パケットを処理するパケット処理部とを有し,
前記パケット処理部は,
前記サーバのドメイン名と該ドメイン名に対応する真のIPアドレスと偽のIPアドレスの対応を記したテーブルと,悪意あるクライアントのIPアドレスが登録された攻撃者リストと、を有し,
前記サーバにおいて、受信パケットが悪意あるクライアントからの受信パケットであると判断した場合に、前記サーバにおいて変更された前記サーバのIPアドレスを前記サーバからの通知によって前記デーブルに登録し、
前記サーバにおいて前記悪意あるクライアントであると判断されたクライアントのIPアドレスを前記攻撃者リストに登録し、
前記クライアント端末から前記サーバにアクセス要求があった場合に前記攻撃者リストを検索し、
前記クライアント端末のIPアドレスが該攻撃者リストに該当する場合には前記偽のIPアドレスを通知し
前記クライアント端末のIPアドレスが該攻撃者リストに該当しない場合は前記真のIPアドレスを通知することを特徴とするDDNSサーバ。
【請求項10】
さらに、ハニーポット、またはIPS/IDSを前段に備えたサーバと接続された請求項9記載のDDNSサーバであって、
前記偽のIPアドレスは、前記ハニーポットまたは前記IPS/IDSを前段に備えたサーバのIPアドレスのまたは前記攻撃者リストに登録された悪意あるクライアントのIPアドレスであることを特徴とするDDNSサーバ。
【請求項11】
さらに、他のDDNSサーバと接続された請求項9記載のDDNSサーバであって、
前記攻撃者リストに登録するIPアドレスを前記他のDDNSサーバから入手し、登録することを特徴とするDDNSサーバ。
【請求項12】
クライアント端末、管理装置及びDDNSサーバとネットワークを介して接続されるパケット中継装置であって
パケットを送受信する複数の回線インタフェースと該パケットを処理するパケット処理部とを有し,
前記パケット処理部は,
前記管理装置から送信されたSOAPメッセージに含まれる構成定義要求に基づき構成定義を設定し、
前記複数の回線インタフェースのうち前記SOAPメッセージが含まれるパケットを受信可能であると設定された回線インタフェース以外の前記複数の回線インタフェースでSOAPメッセージが含まれるパケットを受信した場合に、該パケットは悪意あるクライアントが送信したパケットであると判断し、
該パケット中継装置のIPアドレスを変更し、該変更後の該パケット中継装置のIPアドレスを前記DDNSサーバに通知し、
さらに、該受信パケットを廃棄し、該サーバに前記悪意あるクライアントからアクセス要求があった場合に、前記DDNSサーバにおいて前記変更後の前記サーバのIPアドレスを前記悪意あるクライアントに通知しないために、前記悪意あるクライアントであると判断されたクライアントのIPアドレスを前記DDNSサーバに通知することを特徴とするパケット中継装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【公開番号】特開2008−177714(P2008−177714A)
【公開日】平成20年7月31日(2008.7.31)
【国際特許分類】
【出願番号】特願2007−7598(P2007−7598)
【出願日】平成19年1月17日(2007.1.17)
【出願人】(504411166)アラクサラネットワークス株式会社 (315)
【Fターム(参考)】
【公開日】平成20年7月31日(2008.7.31)
【国際特許分類】
【出願日】平成19年1月17日(2007.1.17)
【出願人】(504411166)アラクサラネットワークス株式会社 (315)
【Fターム(参考)】
[ Back to top ]