- 著者
-
萱島 信
松本 勉
- 出版者
- 一般社団法人情報処理学会
- 雑誌
- 情報処理学会論文誌 (ISSN:18827764)
- 巻号頁・発行日
- vol.49, no.3, pp.1097-1104, 2008-03-15
- 被引用文献数
-
1
今日,インターネット技術を用いたネットワークでは,サービス不能(Denial of Service,DoS)攻撃対策が重要になりつつある.DoS 攻撃手法は,ホストの脆弱性を悪用する脆弱性攻撃タイプと,大量のIP パケットでホストやネットワークのリソースを使い尽くすFlood 攻撃タイプがある.特に後者は,分散サービス不能攻撃(Distributed DoS,DDoS)の出現で深刻化している.そこで本論文では,分散DoS 攻撃の影響を回避する方式を提案する.本提案方式は,アクティブ計測手法であるOne-Packet 方式とパケットペア/パケットトレイン方式の長所を組み合わせて実現した"パストラフィック推測機構" と,TCP プロキシを用いたオーバレイネットワークで実現した"代替パス構築機構" により構成される.本論文では,Flood 攻撃のシミュレーションにより,パストラフィック推測機構が従来の帯域推定手法より有効に機能することを示した.さらに,代替パスを構成する他の実現方法との比較により,代替パス構築機構の実用性を評価した.On Internet-based networks, defending networks against attacks, particularly denial-ofservice (DoS) attacks, is becoming important. DoS attack methods can be classified into two types: the first type uses a security hole in a target host, and the second type exhausts network bandwidth by sending a large number of data packets to a target. The second type is becoming more of a problem because distributed DoS attacks are now taking place. We have developed a method that reduces the severity of distributed DoS attacks. Our method uses two mechanisms: an "path traffic estimation mechanism", which works by combining onepacket and packet-pair models; and a "substitution path construction mechanism", which uses a tcp-proxy. We demonstrated that "path traffic estimation mechanisms" effectively reduced the severity of a simulated flood attack. And we demonstrated that "substitution path construction mechanism" is more practical than usual method.