DoS攻撃あるいはDDoS攻撃に対処する方法、ネットワーク装置、および分析装置
【課題】 ネットワークシステムにおいて、すべてのパケットを分析することなく、分析できないパケットが発生し、攻撃フローを特定できない問題を解決する。
【解決手段】 IPルータ2においてパケットをサンプリングして分析装置8に転送する。分析装置8は一定時間以内に規定値以上のパケットが同一ホストに対して送信されていることを検出すると、その通信をホストへの攻撃フローと判断し、フローに関する情報を分析装置8からIPルータ2に伝える。これを受けたIPルータ2はそのフローに関するパケットのみ抽出して、分析装置8に送る。分析装置8が、該サンプリングされたIPパケットを解析し、DoS攻撃あるいはDDoS攻撃を正確に識別し、該識別したIPパケットを一定時間廃棄し、あるいは該IPパケットに対して帯域制御を行なうようにIPルータに指示する。
【解決手段】 IPルータ2においてパケットをサンプリングして分析装置8に転送する。分析装置8は一定時間以内に規定値以上のパケットが同一ホストに対して送信されていることを検出すると、その通信をホストへの攻撃フローと判断し、フローに関する情報を分析装置8からIPルータ2に伝える。これを受けたIPルータ2はそのフローに関するパケットのみ抽出して、分析装置8に送る。分析装置8が、該サンプリングされたIPパケットを解析し、DoS攻撃あるいはDDoS攻撃を正確に識別し、該識別したIPパケットを一定時間廃棄し、あるいは該IPパケットに対して帯域制御を行なうようにIPルータに指示する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、インターネット上のサーバを標的にしたDenial of Service attack(以下DoS攻撃と略記する)、あるいはDistributed Denial of Service attack(以下DDoS攻撃と略記する)等に対処可能なネットワークシステムに関する。
【背景技術】
【0002】
インターネットにおけるDDoS攻撃とは、ネットワーク上のサーバが提供するサービスを妨害することで、そのサービスを機能しなくさせる攻撃のことを示す。この攻撃の実行手段は標的となるサーバに大量にIPパケットを送信することでネットワークやサーバのリソースを消費し、サービスを妨害および拒否する方法である。近年では、ネットワーク回線を食いつぶすようなDDoS攻撃が増加しており、すでに社会インフラとなりつつあるインターネットの安定したサービス提供を行うことは必要であることから、キャリア網においても積極的に対策を採る必要が増してきている。
【0003】
このようなDDoS攻撃を防御する方法として、たとえば、特許文献1、特許文献2などに開示されている技術がある。
【特許文献1】特開2002−335246号公報
【特許文献2】特開2003−283554号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、上記、従来のトラヒックに対してインラインで検出・防御を行うネットワーク型システムでは、今後予想されるトラヒックを処理するだけの十分な処理性能を監視するネットワークの帯域の増加に合わせて確保するのが困難であるとともに、そのようなシステムは非常に高価であるといった問題があった。また、スイッチのミラーポートやTAPによりミラーしたパケットを分析システムで分析を行い、防御をネットワーク型で行う方法は、詳細なトラヒック分析処理が可能であるが、ポートミラーリングやネットワークタップにより常に全てのパケットを転送するため大量の攻撃を受けた場合、全てのトラヒックを転送できないため、トラヒック分析を正確に行えない問題があった。また、特定の確率でサンプリングをするパケットサンプリング法によりパケットサンプリングし、サンプルパケットの情報を分析システムで統計学的手法により分析を行い攻撃を検知する方法は、サンプリング手法であるため少ないパケット情報でネットワーク全体のトラヒックを監視することが可能であるが、全てのトラヒックを均等に扱うサンプリングであるため、双方向のトラヒックを監視するステート監視によりDDoS攻撃フローの特定を正確に行うことが困難であり、誤って正常ユーザトラヒックまで廃棄してしまう問題があった。
【0005】
本発明の目的は、すべてのパケットを分析することなく、分析できないパケットが発生し、攻撃フローを特定できない問題を解決する、DoS攻撃あるいはDDoS攻撃に対処する方法、ネットワーク装置、および分析装置を提供することにある。
【課題を解決するための手段】
【0006】
本発明のDoS攻撃あるいはDDoS攻撃に対処する方法は、
ネットワーク装置が、該ネットワーク装置に収容されたアクセス網に接続された全ホストへのトラフィックをサンプリングし、サンプリングされたIPパケットを分析装置に転送するステップと、
前記分析装置が、該サンプリングされたIPパケットを解析し、DoS攻撃あるいはDDoS攻撃を検出し、DoS攻撃あるいはDDoS攻撃を検出したホストを収容するアクセス網と接続されたネットワーク装置に対して、検出した該ホスト宛てのパケットのうち特定のビットパターンと一致するIPパケットのみを選択してサンプリングするように指示するステップと、
前記分析装置から前記指示を受けたネットワーク装置が、特定のビットパターンと一致するIPパケットを選択してサンプリングし、サンプリングされたIPパケットを前記分析装置に転送するステップと、
前記分析装置が、該サンプリングされたIPパケットを解析し、DoS攻撃あるいはDDoS攻撃を正確に識別し、該識別したIPパケットを一定時間廃棄し、あるいは該IPパケットに対して帯域制御を行なうように前記ネットワーク装置に対して指示するステップと、
該指示を受けたネットワーク装置が、後続のIPパケットを一定時間廃棄し、あるいは該パケットに対し帯域制御を行うステップと
を有する。
【0007】
ネットワーク装置(たとえばIPルータ)は、自身に収容したアクセス網に接続された全ホストへのトラヒックをサンプリング部によりIPパケットをサンプリングし、分析装置で、収集されたサンプルIPパケットの解析を行うことでネットワーク全体のトラヒックを監視する。そして、同一ホストに対して定められた時間内に、閾値以上連続的に送信されたことを検出することにより、DoS攻撃あるいはDDoS攻撃を検知し、検出した注目すべきトラヒックについてのみ収集するようにネットワーク装置に指示することにより、検出した注目すべきトラヒックについてのみ収集して正確にDDoS攻撃パケットフローの判断を行い、誤って攻撃を受けているホストと通信を行っている正常ユーザトラヒックまで廃棄することなくDDoS攻撃トラヒックのみ、トラヒックの帯域制限(ポリシング、シェービング等)により、またはフィルタすることによりDDoS攻撃を防御する。
【発明の効果】
【0008】
本発明によれば、すべてのパケットを分析することなく、分析できないパケットが発生し、攻撃フローを特定できない問題を解決することができる。
【発明を実施するための最良の形態】
【0009】
次に、本発明の実施の形態について図面を参照して説明する。
【0010】
図1は、本発明の一実施形態の、インターネット上のサーバを標的にしたDoS攻撃、あるいはDDoS攻撃に対処可能なネットワークシステムの構成を示す図である。
【0011】
本実施形態のネットワークシステムは、キャリアネットワーク1と、IPルータ2,3,4と、DDoS攻撃の攻撃対象のサーバ5と、サーバ5と通信を行うユーザ端末6と、サーバ5に対してDDoS攻撃を行うユーザ端末7と、分析装置8を有している。
【0012】
図2はIPルータ2〜4の構成図である。IPルータ2〜4はネットワークインタフェース11,12と、サンプリング選択部14を含むサンプリング部13と、転送部15と、フィルタ部16と、制御部17を有している。なお、図2においては、IPルータが元来有している構成は省略されている。サンプリング部13はアクセス網10に接続された全ホストへのトラヒックについてIPパケットをサンプリングする。転送部15はサンプリングされたIPパケットを分析装置8に転送する。サンプリング選択部13は、特定のビットパターンと一致するIPパケットをサンプリングする。フィルタ部16は検出したIPパケットを一定時間廃棄し、あるいは該IPパケットに対して帯域制御を行う。
【0013】
図3は分析装置8の構成を示す図である。分析装置8はネットワークインタフェース21と制御部22と分析部23を有している。IPルータ2の転送部15より転送されたパケットサンプリングデータは、ネットワーク1‘を経由してネットワークインタフェース21によって受信される。ネットワークインタフェース21は、パケットサンプリングデータを受信すると、該パケットサンプリングデータを制御部22によって分析部23へ渡す。分析部23は、ハードウェアまたはソフトウェア、またはハードウェアおよびソフトウェアで構成され、統計学的手段によりネットワーク全体のトラヒックを監視し、あるターゲット宛トラヒックが閾値を越えてレートが高いことを検出する。
【0014】
ここで、上記のように構成されたネットワークシステムの動作について説明する。IPルータ2,3,4では、自身に収容したアクセス網10に接続された全ホストへのトラヒックについてサンプリング部13によりIPパケットをサンプリングする。そして、転送部15にて、サンプリングされたIPパケットを分析装置8に転送する。分析装置8では分析部23によって、収集されたサンプルIPパケットの解析を行い、ネットワーク全体のトラヒックを監視する。そして、特定のパケットが、同一ホストに対して定められた時間内に、閾値以上連続的に送信されたことを検出することにより、DoS攻撃あるいはDDoS攻撃を検出する。
【0015】
次に、該ホスト宛のDDoS攻撃を検出した分析装置8では、該ホストを収容するアクセス網10と接続したIPルータに対して、検出した該ホスト宛のパケットのうち特定のビットパターン(IPパケットの宛先IPアドレス、送信元IPアドレス、送信元ポート番号、宛先ポート番号、プロトコルなど)と一致するIPパケットのみ選択してサンプリングするように指示する。
【0016】
分析装置8から指示を受けたIPルータ2では、サンプリング選択部13で、特定のビットパターン(IPパケットの宛先IPアドレス、送信元IPアドレス、送信元ポート番号、宛先ポート番号、プロトコルなど)と一致するIPパケットをサンプリングし、転送部15にて、サンプリングしたIPパケットを分析装置8に転送する。
【0017】
分析装置8では、収集された注目すべき該ホストのサンプルIPパケットの解析を行い、該ホスト宛に対して定められた時間内に、閾値以上連続的に送信されたことを検出することと、双方向のトラヒックを分析したステート監視(上り、下りのステート遷移定義に基きフローの正常性の確認)を行うことにより、DDoS攻撃パケットフローを正確に識別し、該IPルータに対して、DDoS攻撃パケットフローを識別したIPパケットフローを一定時間廃棄し、あるいは、IPパケットフローに対して帯域制御を行うように指示する。
【0018】
最後に、分析装置8から指示を受けたIPルータでは、検出されたIPパケットをフィルタ部16にて一定時間廃棄、あるいは、帯域制御を行う。
【0019】
サンプリング部13はパケットをサンプリングする方法として、一定時間間隔でパケットをサンプリングしてもよい。あるいは、通過したパケットの数をカウントし、一定数ごとにパケットをサンプリングしてもよい。また、サンプリングしたパケットはコピーしてもよいし、ヘッダ情報のみ抽出してもよい。
【0020】
いま、ユーザ端末6と通信を行っているサーバ5に対して攻撃者7がDDoS攻撃を行っている場合を考える。この場合、IPルータ4では、サーバ5宛のトラヒックについてサンプリング部13によりIPパケットをサンプリングし、転送部15にてサンプリングしたIPパケットを分析装置8に転送する。分析装置8では、収集されたサンプルIPパケットの解析を行い、サーバ5宛に対して定められた時間内に、閾値以上連続的に送信されたことを検出することにより、DDoS攻撃を検出する。
【0021】
次に、サーバ5宛のDDoS攻撃を検出した分析装置8では、IPルータ4に対して、検出したサーバ5宛のパケットとサーバ5からの応答パケットのみ選択してサンプリングするように指示する。ここで、分析装置8からの指示には、特定のビットパターン(IPパケットの宛先IPアドレス、送信元IPアドレス、送信元ポート番号、宛先ポート番号、プロトコルなど)情報が含まれている。
【0022】
分析装置8から指示を受けたIPルータ4では、サンプリング選択部14で、分析装置8で検出したサーバ5宛パケットとその応答パケットのみ選択して全てサンプリングし、サンプリングしたIPパケットを転送部15にて分析装置8に転送する。
【0023】
分析装置8では、収集された注目すべきサーバ5宛パケットとその応答パケットのサンプルIPパケットの解析を行い、サーバ5宛に対して定められた時間内に、閾値以上連続的に送信されたことを検出することと、双方向のトラヒックを分析したステート監視を行うことにより、DDoS攻撃パケットフローを正確に識別し、該IPルータ2に対してDDoS攻撃パケットフローを識別したIPパケットフローを一定時間廃棄、あるいはIPパケットフローに対して帯域制御を行うように指示する。
【0024】
最後に、分析装置8から指示を受けたIPルータ2では、検出したIPパケットをフィルタ部16にて一定時間廃棄し、あるいは帯域制御を行う。
【0025】
次に、図1のネットワークシステムにおけるDDoS攻撃防御法を図4のシーケンスチャートを用いて説明する。
【0026】
いま、ユーザ端末6と通信を行っているサーバ5に対して攻撃者7がDDoS攻撃を行っている場合を考える。
【0027】
IPルータ4では、サーバ5宛のトラヒックについてサンプリング部13によりIPパケットをサンプリングし(ステップ101、102)、サンプリングされたサンプリングパケット201を転送部15にて分析装置8に転送する(ステップ103)。分析装置8では、収集されたサンプルパケット201の解析を分析部23で行い(ステップ104)、サーバ5宛に対して定められた時間内に、閾値以上連続的に送信されたことを検出することにより、DDoS攻撃を検出する(ステップ105)。
【0028】
DDoS攻撃が検出された場合、分析装置8では、IPルータ4に対して、検出した、サーバ5宛のパケットとサーバ5からの応答パケットのみ選択してサンプリングするように制御部22が特定トラヒックサンプリング指示202を行う。ここで、分析装置8からの特定トラヒックサンプリング指示202には、特定のビットパターン(IPパケットの宛先IPアドレス、送信元IPアドレス、送信元ポート番号、宛先ポート番号、プロトコルなど)の情報が含まれている。
【0029】
分析装置8から指示を受けたIPルータ4では、サンプリング選択部14で、分析装置8で検出したサーバ5宛パケットとその応答パケットのみ選択して全てのパケットをサンプリングし、サンプリングしたサンプリングパケット203を分析装置8に転送する。
【0030】
分析装置8では、収集された注目すべきサーバ5宛パケットとその応答パケットのサンプルパケット203について分析部23により解析を行い、サーバ5宛に対して定められた時間内に、閾値以上連続的に送信されたことを検出することと、双方向のトラヒックを分析したステート監視を行うことにより、DDoS攻撃パケットフローを正確に識別し、IPルータ4に対して、DDoS攻撃パケットフローを識別したIPパケットフローを一定時間廃棄、あるいは、帯域制御を行うようにフィルタ指示204を出す。
【0031】
最後に、分析装置8からフィルタ指示204を受けたIPルータ4では、検出したIPパケットをフィルタ部16にて一定時間廃棄、あるいは、帯域制御を行う。
【0032】
図5は、IPルータ2,3,4が分析装置8からの特定トラヒックサンプリング指示202あるいはフィルタ指示204を管理する方法を説明するための図である。各IPルータ2,3,4にはテーブル300があり、このテーブル300にはフィルタ情報と、特定トラヒックをサンプリングする情報の2種類の情報が記載されており、IPパケットの送信元IPアドレス(SA)、宛先IPアドレス(DP)、送信元ポート番号(SP)、宛先ポート番号(DP)、プロトコル(Protocol)などの情報により表されている。
【0033】
本発明の第2の実施形態として、ユーザ端末5と通信を行っているサーバ5に対して攻撃者6がDDoS攻撃を行っており、攻撃者6に最も近いIPルータ(IPルータ2)でIPパケットのみ選択サンプリングおよびフィルタする場合を考える。この場合、IPルータ2では、サーバ5宛のトラヒックをサンプリング部13によりIPパケットをサンプリングし、転送部15にて、サンプリングしたIPパケットを分析装置8に転送する。そして、分析装置8で、収集されたサンプルIPパケットの解析を行い、サーバ5宛に対して定められた時間内に、閾値以上連続的に送信されたことを検出することにより、DDoS攻撃を検出する。
【0034】
次に、サーバ5宛にDDoS攻撃を検出した分析装置8では、各IPルータ2,3に対して検出した、サーバ5宛のパケットとサーバ5からの応答パケットのみ選択してサンプリングするように指示する。ここで、分析装置8からの指示には、特定のビットパターン(IPパケットの宛先IPアドレス、送信元IPアドレス、送信元ポート番号、宛先ポート番号、プロトコルなど)情報が含まれている。
【0035】
分析装置8から指示を受けたIPルータ2,3では、サンプリング選択部14で、分析装置8で検出されたサーバ5宛パケットとその応答パケットのみ選択して全てサンプリングし、転送部15にてサンプリングしたIPパケットを分析装置8に転送する。
【0036】
分析装置8では、収集された注目すべきサーバ5宛パケットとその応答パケットのサンプルIPパケットの解析を行い、サーバ5宛に対して定められた時間内に、閾値以上連続的に送信されたことを検出することと、双方向のトラヒックを分析したステート監視を行うことにより、DDoS攻撃パケットフローを正確に識別し、攻撃者7に最も近いIPルータ2に対してDDoS攻撃パケットフローを識別したIPパケットフローを一定時間廃棄、あるいは、帯域制御を行うように指示する。
【0037】
最後に、分析装置8から指示を受けた、攻撃者7に最も近いIPルータ2では、検出したIPパケットをフィルタ部16にて一定時間廃棄し、あるいは、帯域制御を行う。
【0038】
なお、以上の実施形態では、DDoS攻撃を受けた場合についてその動作を説明したが、DoS攻撃を受けた場合もその動作は同様である。
【図面の簡単な説明】
【0039】
【図1】インターネット上のサーバを標的にしたDoS攻撃あるいはDDoS攻撃に対処可能な本発明の一実施形態によるネットワークシステムの構成を示す図である。
【図2】図1のネットワークシステムにおけるIPルータの構成図である。
【図3】図1のネットワークシステムにおける分析装置の構成図である。
【図4】図1のネットワークシステムのDDoS攻撃防御法を示したシーケンスチャートである。
【図5】各IPルータ2,3,4が分析装置8からの特定トラヒックサンプリング指示202あるいはフィルタ指示204を管理する方法を説明するための図である。
【符号の説明】
【0040】
1 キャリアネットワーク
1‘ ネットワーク
2,3,4 IPルータ
5 サーバ
6 ユーザ端末
7 攻撃者
8 分析装置
9 キャリアネットワーク
10 アクセス網
11,12 ネットワークインタフェース
13 サンプリング部
14 サンプリング選択部
15 転送部
16 フィルタ部
17 制御部
21 ネットワークインタフェース
22 制御部
23 分析部
101〜109 ステップ
201,203 サンプリングパケット
202 特定トラヒックサンプリング指示
204 フィルタ指示
300 テーブル
【技術分野】
【0001】
本発明は、インターネット上のサーバを標的にしたDenial of Service attack(以下DoS攻撃と略記する)、あるいはDistributed Denial of Service attack(以下DDoS攻撃と略記する)等に対処可能なネットワークシステムに関する。
【背景技術】
【0002】
インターネットにおけるDDoS攻撃とは、ネットワーク上のサーバが提供するサービスを妨害することで、そのサービスを機能しなくさせる攻撃のことを示す。この攻撃の実行手段は標的となるサーバに大量にIPパケットを送信することでネットワークやサーバのリソースを消費し、サービスを妨害および拒否する方法である。近年では、ネットワーク回線を食いつぶすようなDDoS攻撃が増加しており、すでに社会インフラとなりつつあるインターネットの安定したサービス提供を行うことは必要であることから、キャリア網においても積極的に対策を採る必要が増してきている。
【0003】
このようなDDoS攻撃を防御する方法として、たとえば、特許文献1、特許文献2などに開示されている技術がある。
【特許文献1】特開2002−335246号公報
【特許文献2】特開2003−283554号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、上記、従来のトラヒックに対してインラインで検出・防御を行うネットワーク型システムでは、今後予想されるトラヒックを処理するだけの十分な処理性能を監視するネットワークの帯域の増加に合わせて確保するのが困難であるとともに、そのようなシステムは非常に高価であるといった問題があった。また、スイッチのミラーポートやTAPによりミラーしたパケットを分析システムで分析を行い、防御をネットワーク型で行う方法は、詳細なトラヒック分析処理が可能であるが、ポートミラーリングやネットワークタップにより常に全てのパケットを転送するため大量の攻撃を受けた場合、全てのトラヒックを転送できないため、トラヒック分析を正確に行えない問題があった。また、特定の確率でサンプリングをするパケットサンプリング法によりパケットサンプリングし、サンプルパケットの情報を分析システムで統計学的手法により分析を行い攻撃を検知する方法は、サンプリング手法であるため少ないパケット情報でネットワーク全体のトラヒックを監視することが可能であるが、全てのトラヒックを均等に扱うサンプリングであるため、双方向のトラヒックを監視するステート監視によりDDoS攻撃フローの特定を正確に行うことが困難であり、誤って正常ユーザトラヒックまで廃棄してしまう問題があった。
【0005】
本発明の目的は、すべてのパケットを分析することなく、分析できないパケットが発生し、攻撃フローを特定できない問題を解決する、DoS攻撃あるいはDDoS攻撃に対処する方法、ネットワーク装置、および分析装置を提供することにある。
【課題を解決するための手段】
【0006】
本発明のDoS攻撃あるいはDDoS攻撃に対処する方法は、
ネットワーク装置が、該ネットワーク装置に収容されたアクセス網に接続された全ホストへのトラフィックをサンプリングし、サンプリングされたIPパケットを分析装置に転送するステップと、
前記分析装置が、該サンプリングされたIPパケットを解析し、DoS攻撃あるいはDDoS攻撃を検出し、DoS攻撃あるいはDDoS攻撃を検出したホストを収容するアクセス網と接続されたネットワーク装置に対して、検出した該ホスト宛てのパケットのうち特定のビットパターンと一致するIPパケットのみを選択してサンプリングするように指示するステップと、
前記分析装置から前記指示を受けたネットワーク装置が、特定のビットパターンと一致するIPパケットを選択してサンプリングし、サンプリングされたIPパケットを前記分析装置に転送するステップと、
前記分析装置が、該サンプリングされたIPパケットを解析し、DoS攻撃あるいはDDoS攻撃を正確に識別し、該識別したIPパケットを一定時間廃棄し、あるいは該IPパケットに対して帯域制御を行なうように前記ネットワーク装置に対して指示するステップと、
該指示を受けたネットワーク装置が、後続のIPパケットを一定時間廃棄し、あるいは該パケットに対し帯域制御を行うステップと
を有する。
【0007】
ネットワーク装置(たとえばIPルータ)は、自身に収容したアクセス網に接続された全ホストへのトラヒックをサンプリング部によりIPパケットをサンプリングし、分析装置で、収集されたサンプルIPパケットの解析を行うことでネットワーク全体のトラヒックを監視する。そして、同一ホストに対して定められた時間内に、閾値以上連続的に送信されたことを検出することにより、DoS攻撃あるいはDDoS攻撃を検知し、検出した注目すべきトラヒックについてのみ収集するようにネットワーク装置に指示することにより、検出した注目すべきトラヒックについてのみ収集して正確にDDoS攻撃パケットフローの判断を行い、誤って攻撃を受けているホストと通信を行っている正常ユーザトラヒックまで廃棄することなくDDoS攻撃トラヒックのみ、トラヒックの帯域制限(ポリシング、シェービング等)により、またはフィルタすることによりDDoS攻撃を防御する。
【発明の効果】
【0008】
本発明によれば、すべてのパケットを分析することなく、分析できないパケットが発生し、攻撃フローを特定できない問題を解決することができる。
【発明を実施するための最良の形態】
【0009】
次に、本発明の実施の形態について図面を参照して説明する。
【0010】
図1は、本発明の一実施形態の、インターネット上のサーバを標的にしたDoS攻撃、あるいはDDoS攻撃に対処可能なネットワークシステムの構成を示す図である。
【0011】
本実施形態のネットワークシステムは、キャリアネットワーク1と、IPルータ2,3,4と、DDoS攻撃の攻撃対象のサーバ5と、サーバ5と通信を行うユーザ端末6と、サーバ5に対してDDoS攻撃を行うユーザ端末7と、分析装置8を有している。
【0012】
図2はIPルータ2〜4の構成図である。IPルータ2〜4はネットワークインタフェース11,12と、サンプリング選択部14を含むサンプリング部13と、転送部15と、フィルタ部16と、制御部17を有している。なお、図2においては、IPルータが元来有している構成は省略されている。サンプリング部13はアクセス網10に接続された全ホストへのトラヒックについてIPパケットをサンプリングする。転送部15はサンプリングされたIPパケットを分析装置8に転送する。サンプリング選択部13は、特定のビットパターンと一致するIPパケットをサンプリングする。フィルタ部16は検出したIPパケットを一定時間廃棄し、あるいは該IPパケットに対して帯域制御を行う。
【0013】
図3は分析装置8の構成を示す図である。分析装置8はネットワークインタフェース21と制御部22と分析部23を有している。IPルータ2の転送部15より転送されたパケットサンプリングデータは、ネットワーク1‘を経由してネットワークインタフェース21によって受信される。ネットワークインタフェース21は、パケットサンプリングデータを受信すると、該パケットサンプリングデータを制御部22によって分析部23へ渡す。分析部23は、ハードウェアまたはソフトウェア、またはハードウェアおよびソフトウェアで構成され、統計学的手段によりネットワーク全体のトラヒックを監視し、あるターゲット宛トラヒックが閾値を越えてレートが高いことを検出する。
【0014】
ここで、上記のように構成されたネットワークシステムの動作について説明する。IPルータ2,3,4では、自身に収容したアクセス網10に接続された全ホストへのトラヒックについてサンプリング部13によりIPパケットをサンプリングする。そして、転送部15にて、サンプリングされたIPパケットを分析装置8に転送する。分析装置8では分析部23によって、収集されたサンプルIPパケットの解析を行い、ネットワーク全体のトラヒックを監視する。そして、特定のパケットが、同一ホストに対して定められた時間内に、閾値以上連続的に送信されたことを検出することにより、DoS攻撃あるいはDDoS攻撃を検出する。
【0015】
次に、該ホスト宛のDDoS攻撃を検出した分析装置8では、該ホストを収容するアクセス網10と接続したIPルータに対して、検出した該ホスト宛のパケットのうち特定のビットパターン(IPパケットの宛先IPアドレス、送信元IPアドレス、送信元ポート番号、宛先ポート番号、プロトコルなど)と一致するIPパケットのみ選択してサンプリングするように指示する。
【0016】
分析装置8から指示を受けたIPルータ2では、サンプリング選択部13で、特定のビットパターン(IPパケットの宛先IPアドレス、送信元IPアドレス、送信元ポート番号、宛先ポート番号、プロトコルなど)と一致するIPパケットをサンプリングし、転送部15にて、サンプリングしたIPパケットを分析装置8に転送する。
【0017】
分析装置8では、収集された注目すべき該ホストのサンプルIPパケットの解析を行い、該ホスト宛に対して定められた時間内に、閾値以上連続的に送信されたことを検出することと、双方向のトラヒックを分析したステート監視(上り、下りのステート遷移定義に基きフローの正常性の確認)を行うことにより、DDoS攻撃パケットフローを正確に識別し、該IPルータに対して、DDoS攻撃パケットフローを識別したIPパケットフローを一定時間廃棄し、あるいは、IPパケットフローに対して帯域制御を行うように指示する。
【0018】
最後に、分析装置8から指示を受けたIPルータでは、検出されたIPパケットをフィルタ部16にて一定時間廃棄、あるいは、帯域制御を行う。
【0019】
サンプリング部13はパケットをサンプリングする方法として、一定時間間隔でパケットをサンプリングしてもよい。あるいは、通過したパケットの数をカウントし、一定数ごとにパケットをサンプリングしてもよい。また、サンプリングしたパケットはコピーしてもよいし、ヘッダ情報のみ抽出してもよい。
【0020】
いま、ユーザ端末6と通信を行っているサーバ5に対して攻撃者7がDDoS攻撃を行っている場合を考える。この場合、IPルータ4では、サーバ5宛のトラヒックについてサンプリング部13によりIPパケットをサンプリングし、転送部15にてサンプリングしたIPパケットを分析装置8に転送する。分析装置8では、収集されたサンプルIPパケットの解析を行い、サーバ5宛に対して定められた時間内に、閾値以上連続的に送信されたことを検出することにより、DDoS攻撃を検出する。
【0021】
次に、サーバ5宛のDDoS攻撃を検出した分析装置8では、IPルータ4に対して、検出したサーバ5宛のパケットとサーバ5からの応答パケットのみ選択してサンプリングするように指示する。ここで、分析装置8からの指示には、特定のビットパターン(IPパケットの宛先IPアドレス、送信元IPアドレス、送信元ポート番号、宛先ポート番号、プロトコルなど)情報が含まれている。
【0022】
分析装置8から指示を受けたIPルータ4では、サンプリング選択部14で、分析装置8で検出したサーバ5宛パケットとその応答パケットのみ選択して全てサンプリングし、サンプリングしたIPパケットを転送部15にて分析装置8に転送する。
【0023】
分析装置8では、収集された注目すべきサーバ5宛パケットとその応答パケットのサンプルIPパケットの解析を行い、サーバ5宛に対して定められた時間内に、閾値以上連続的に送信されたことを検出することと、双方向のトラヒックを分析したステート監視を行うことにより、DDoS攻撃パケットフローを正確に識別し、該IPルータ2に対してDDoS攻撃パケットフローを識別したIPパケットフローを一定時間廃棄、あるいはIPパケットフローに対して帯域制御を行うように指示する。
【0024】
最後に、分析装置8から指示を受けたIPルータ2では、検出したIPパケットをフィルタ部16にて一定時間廃棄し、あるいは帯域制御を行う。
【0025】
次に、図1のネットワークシステムにおけるDDoS攻撃防御法を図4のシーケンスチャートを用いて説明する。
【0026】
いま、ユーザ端末6と通信を行っているサーバ5に対して攻撃者7がDDoS攻撃を行っている場合を考える。
【0027】
IPルータ4では、サーバ5宛のトラヒックについてサンプリング部13によりIPパケットをサンプリングし(ステップ101、102)、サンプリングされたサンプリングパケット201を転送部15にて分析装置8に転送する(ステップ103)。分析装置8では、収集されたサンプルパケット201の解析を分析部23で行い(ステップ104)、サーバ5宛に対して定められた時間内に、閾値以上連続的に送信されたことを検出することにより、DDoS攻撃を検出する(ステップ105)。
【0028】
DDoS攻撃が検出された場合、分析装置8では、IPルータ4に対して、検出した、サーバ5宛のパケットとサーバ5からの応答パケットのみ選択してサンプリングするように制御部22が特定トラヒックサンプリング指示202を行う。ここで、分析装置8からの特定トラヒックサンプリング指示202には、特定のビットパターン(IPパケットの宛先IPアドレス、送信元IPアドレス、送信元ポート番号、宛先ポート番号、プロトコルなど)の情報が含まれている。
【0029】
分析装置8から指示を受けたIPルータ4では、サンプリング選択部14で、分析装置8で検出したサーバ5宛パケットとその応答パケットのみ選択して全てのパケットをサンプリングし、サンプリングしたサンプリングパケット203を分析装置8に転送する。
【0030】
分析装置8では、収集された注目すべきサーバ5宛パケットとその応答パケットのサンプルパケット203について分析部23により解析を行い、サーバ5宛に対して定められた時間内に、閾値以上連続的に送信されたことを検出することと、双方向のトラヒックを分析したステート監視を行うことにより、DDoS攻撃パケットフローを正確に識別し、IPルータ4に対して、DDoS攻撃パケットフローを識別したIPパケットフローを一定時間廃棄、あるいは、帯域制御を行うようにフィルタ指示204を出す。
【0031】
最後に、分析装置8からフィルタ指示204を受けたIPルータ4では、検出したIPパケットをフィルタ部16にて一定時間廃棄、あるいは、帯域制御を行う。
【0032】
図5は、IPルータ2,3,4が分析装置8からの特定トラヒックサンプリング指示202あるいはフィルタ指示204を管理する方法を説明するための図である。各IPルータ2,3,4にはテーブル300があり、このテーブル300にはフィルタ情報と、特定トラヒックをサンプリングする情報の2種類の情報が記載されており、IPパケットの送信元IPアドレス(SA)、宛先IPアドレス(DP)、送信元ポート番号(SP)、宛先ポート番号(DP)、プロトコル(Protocol)などの情報により表されている。
【0033】
本発明の第2の実施形態として、ユーザ端末5と通信を行っているサーバ5に対して攻撃者6がDDoS攻撃を行っており、攻撃者6に最も近いIPルータ(IPルータ2)でIPパケットのみ選択サンプリングおよびフィルタする場合を考える。この場合、IPルータ2では、サーバ5宛のトラヒックをサンプリング部13によりIPパケットをサンプリングし、転送部15にて、サンプリングしたIPパケットを分析装置8に転送する。そして、分析装置8で、収集されたサンプルIPパケットの解析を行い、サーバ5宛に対して定められた時間内に、閾値以上連続的に送信されたことを検出することにより、DDoS攻撃を検出する。
【0034】
次に、サーバ5宛にDDoS攻撃を検出した分析装置8では、各IPルータ2,3に対して検出した、サーバ5宛のパケットとサーバ5からの応答パケットのみ選択してサンプリングするように指示する。ここで、分析装置8からの指示には、特定のビットパターン(IPパケットの宛先IPアドレス、送信元IPアドレス、送信元ポート番号、宛先ポート番号、プロトコルなど)情報が含まれている。
【0035】
分析装置8から指示を受けたIPルータ2,3では、サンプリング選択部14で、分析装置8で検出されたサーバ5宛パケットとその応答パケットのみ選択して全てサンプリングし、転送部15にてサンプリングしたIPパケットを分析装置8に転送する。
【0036】
分析装置8では、収集された注目すべきサーバ5宛パケットとその応答パケットのサンプルIPパケットの解析を行い、サーバ5宛に対して定められた時間内に、閾値以上連続的に送信されたことを検出することと、双方向のトラヒックを分析したステート監視を行うことにより、DDoS攻撃パケットフローを正確に識別し、攻撃者7に最も近いIPルータ2に対してDDoS攻撃パケットフローを識別したIPパケットフローを一定時間廃棄、あるいは、帯域制御を行うように指示する。
【0037】
最後に、分析装置8から指示を受けた、攻撃者7に最も近いIPルータ2では、検出したIPパケットをフィルタ部16にて一定時間廃棄し、あるいは、帯域制御を行う。
【0038】
なお、以上の実施形態では、DDoS攻撃を受けた場合についてその動作を説明したが、DoS攻撃を受けた場合もその動作は同様である。
【図面の簡単な説明】
【0039】
【図1】インターネット上のサーバを標的にしたDoS攻撃あるいはDDoS攻撃に対処可能な本発明の一実施形態によるネットワークシステムの構成を示す図である。
【図2】図1のネットワークシステムにおけるIPルータの構成図である。
【図3】図1のネットワークシステムにおける分析装置の構成図である。
【図4】図1のネットワークシステムのDDoS攻撃防御法を示したシーケンスチャートである。
【図5】各IPルータ2,3,4が分析装置8からの特定トラヒックサンプリング指示202あるいはフィルタ指示204を管理する方法を説明するための図である。
【符号の説明】
【0040】
1 キャリアネットワーク
1‘ ネットワーク
2,3,4 IPルータ
5 サーバ
6 ユーザ端末
7 攻撃者
8 分析装置
9 キャリアネットワーク
10 アクセス網
11,12 ネットワークインタフェース
13 サンプリング部
14 サンプリング選択部
15 転送部
16 フィルタ部
17 制御部
21 ネットワークインタフェース
22 制御部
23 分析部
101〜109 ステップ
201,203 サンプリングパケット
202 特定トラヒックサンプリング指示
204 フィルタ指示
300 テーブル
【特許請求の範囲】
【請求項1】
ネットワークシステムにおける、インターネット上のサーバを標的にしたDoS攻撃あるいはDDoS攻撃に対処する方法であって、
ネットワーク装置が、該ネットワーク装置に収容されたアクセス網に接続された全ホストへのIPパケットをサンプリングし、サンプリングされたIPパケットを分析装置に転送するステップと、
前記分析装置が、該サンプリングされたIPパケットを解析し、DoS攻撃あるいはDDoS攻撃を検出し、DoS攻撃あるいはDDoS攻撃を検出したホストを収容するアクセス網と接続されたネットワーク装置に対して、検出した該ホスト宛てのパケットのうち特定のビットパターンと一致するIPパケットのみを選択してサンプリングするように指示するステップと、
前記分析装置から前記指示を受けたネットワーク装置が、特定のビットパターンと一致するIPパケットを選択してサンプリングし、サンプリングされたIPパケットを前記分析装置に転送するステップと、
前記分析装置が、該サンプリングされたIPパケットを解析し、DoS攻撃あるいはDDoS攻撃を正確に識別し、該識別したIPパケットを一定時間廃棄し、あるいは該IPパケットに対して帯域制御を行なうように前記ネットワーク装置に対して指示するステップと、
該指示を受けたネットワーク装置が、後続のIPパケットを一定時間廃棄し、あるいは該パケットに対し帯域制御を行うステップと
を有する、DoS攻撃あるいはDDoS攻撃に対処する方法。
【請求項2】
前記ネットワーク装置は、時間ベースのサンプリング、あるいはカウントベースのサンプリングにより取得したサンプルパケットをコピーするか、パケットからパケットヘッダ情報を抽出する、請求項1に記載の方法。
【請求項3】
前記分析装置では、取得したサンプルパケットの情報を統計学的手段により分析し、あるターゲット宛トラヒックが閾値を超えてレートが高いことを検出した場合は、前記ネットワーク装置に対して、検出した注目すべきターゲット間の双方向パケットのみ選択して全てのパケットをサンプリングするように指示し、前記分析装置で注目すべきターゲットの双方向トラヒックについてのみ収集する、請求項1または2に記載の方法。
【請求項4】
ネットワーク装置において、
該ネットワーク装置に収容されたアクセス網に接続された全ホストへのIPパケットをサンプリングするサンプリング部と、
該サンプリング部によりサンプリングされたIPパケットを分析装置に転送する転送部と、
該サンプリング部に対してサンプリングするIPパケットの選択を行い、前記分析装置からの指示により特定のビットパターンと一致するIPパケットをサンプリングし、サンプリングしたIPパケットを前記転送部より前記分析装置に転送するサンプリング選択制御部と、
前記分析装置からの指示により、検出されたパケットを一定時間廃棄し、あるいは該パケットに対して帯域制御を行なうフィルタ部と
を有すること特徴とするネットワーク装置。
【請求項5】
ネットワーク装置により送信されたパケットサンプリングデータを、ネットワークを継由して受信するネットワークインタフェースと、
該サンプリングされたIPパケットを解析し、DoS攻撃あるいはDDoS攻撃を検出し、DoS攻撃あるいはDDoS攻撃を検出したホストを収容するアクセス網と接続されたネットワーク装置に対して、検出した該ホスト宛てのパケットのうち特定のビットパターンと一致するIPパケットのみを選択してサンプリングするように指示し、該指示に応答して前記ネットワーク装置でサンプリングされたIPパケットを解析し、DoS攻撃あるいはDDoS攻撃を正確に識別し、該識別したIPパケットを一定時間廃棄し、あるいは該IPパケットに対して帯域制御を行なうように前記ネットワーク装置に対して指示する分析手段と
を有する分析装置。
【請求項1】
ネットワークシステムにおける、インターネット上のサーバを標的にしたDoS攻撃あるいはDDoS攻撃に対処する方法であって、
ネットワーク装置が、該ネットワーク装置に収容されたアクセス網に接続された全ホストへのIPパケットをサンプリングし、サンプリングされたIPパケットを分析装置に転送するステップと、
前記分析装置が、該サンプリングされたIPパケットを解析し、DoS攻撃あるいはDDoS攻撃を検出し、DoS攻撃あるいはDDoS攻撃を検出したホストを収容するアクセス網と接続されたネットワーク装置に対して、検出した該ホスト宛てのパケットのうち特定のビットパターンと一致するIPパケットのみを選択してサンプリングするように指示するステップと、
前記分析装置から前記指示を受けたネットワーク装置が、特定のビットパターンと一致するIPパケットを選択してサンプリングし、サンプリングされたIPパケットを前記分析装置に転送するステップと、
前記分析装置が、該サンプリングされたIPパケットを解析し、DoS攻撃あるいはDDoS攻撃を正確に識別し、該識別したIPパケットを一定時間廃棄し、あるいは該IPパケットに対して帯域制御を行なうように前記ネットワーク装置に対して指示するステップと、
該指示を受けたネットワーク装置が、後続のIPパケットを一定時間廃棄し、あるいは該パケットに対し帯域制御を行うステップと
を有する、DoS攻撃あるいはDDoS攻撃に対処する方法。
【請求項2】
前記ネットワーク装置は、時間ベースのサンプリング、あるいはカウントベースのサンプリングにより取得したサンプルパケットをコピーするか、パケットからパケットヘッダ情報を抽出する、請求項1に記載の方法。
【請求項3】
前記分析装置では、取得したサンプルパケットの情報を統計学的手段により分析し、あるターゲット宛トラヒックが閾値を超えてレートが高いことを検出した場合は、前記ネットワーク装置に対して、検出した注目すべきターゲット間の双方向パケットのみ選択して全てのパケットをサンプリングするように指示し、前記分析装置で注目すべきターゲットの双方向トラヒックについてのみ収集する、請求項1または2に記載の方法。
【請求項4】
ネットワーク装置において、
該ネットワーク装置に収容されたアクセス網に接続された全ホストへのIPパケットをサンプリングするサンプリング部と、
該サンプリング部によりサンプリングされたIPパケットを分析装置に転送する転送部と、
該サンプリング部に対してサンプリングするIPパケットの選択を行い、前記分析装置からの指示により特定のビットパターンと一致するIPパケットをサンプリングし、サンプリングしたIPパケットを前記転送部より前記分析装置に転送するサンプリング選択制御部と、
前記分析装置からの指示により、検出されたパケットを一定時間廃棄し、あるいは該パケットに対して帯域制御を行なうフィルタ部と
を有すること特徴とするネットワーク装置。
【請求項5】
ネットワーク装置により送信されたパケットサンプリングデータを、ネットワークを継由して受信するネットワークインタフェースと、
該サンプリングされたIPパケットを解析し、DoS攻撃あるいはDDoS攻撃を検出し、DoS攻撃あるいはDDoS攻撃を検出したホストを収容するアクセス網と接続されたネットワーク装置に対して、検出した該ホスト宛てのパケットのうち特定のビットパターンと一致するIPパケットのみを選択してサンプリングするように指示し、該指示に応答して前記ネットワーク装置でサンプリングされたIPパケットを解析し、DoS攻撃あるいはDDoS攻撃を正確に識別し、該識別したIPパケットを一定時間廃棄し、あるいは該IPパケットに対して帯域制御を行なうように前記ネットワーク装置に対して指示する分析手段と
を有する分析装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2006−164038(P2006−164038A)
【公開日】平成18年6月22日(2006.6.22)
【国際特許分類】
【出願番号】特願2004−356861(P2004−356861)
【出願日】平成16年12月9日(2004.12.9)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成18年6月22日(2006.6.22)
【国際特許分類】
【出願日】平成16年12月9日(2004.12.9)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]