- 著者
-
大塚 賢治
衣笠 雄気
兒玉 清幸
吉田 和幸
- 出版者
- 一般社団法人情報処理学会
- 雑誌
- 研究報告インターネットと運用技術(IOT) (ISSN:09196072)
- 巻号頁・発行日
- vol.2009, no.21, pp.203-208, 2009-02-26
- 参考文献数
- 6
サーバの使用状況や動作しているサービスの調査を行うscan攻撃が後を絶たない。scan攻撃の場合,宛先のアドレスをランダムに設定しコネクション要求を送るため、応答がないことが多い。このため、存在しないpアドレスに対してコネクション要求を行なう回数を数えることでscan攻撃を検知することができる.しかしながら,検知したpアドレスを単純にファイアウォールなどで止めた場合,TCPhalfopen攻鑿のように送信元のIPアドレスを偽装する可能性が高い攻撃に対して,問題が起こる可能性がある.そこで,TCPコネクション要求に対して送信元アドレスが偽装されていないか確認するとともに、コネクションが確立したか否かでscan攻撃を検知するシステムを試作した.本稿では、攻撃検知手法と送信元の確認の効果について述べる.There are a lot of scan attacks which look for state of the server or check on service. Scan attacker send TCP connection request to random destination address, so there are seldom answer for them. For this reason, we can detect scan attack by count the number of failed connection request. However if we refuse detected IP address with firewall etc, a problem may occur for attacks like TCP half open attack with fake source IP address. We implement the system which detected scan attacks that we confirm source IP address is not camouflaged for TCP connection demand, and connection successfully or not establishes. In this paper, we describe this attack detection technique and its effect.