SYN Flood攻撃に対する検出手法(セッション9-C : ネットワーク攻撃監視・防御(3))

Nakashima Takuo, Oshima Shunsuke

SYN Food攻撃は,ホストにhalf-openな状態を保持させ,そのメモリ領域を枯渇させるDoS(Denial of Service)攻撃の一つである.この攻撃はソースIPアドレスが偽造されている場合においてはルータによってフイルタリングすることは困難である.本研究では,早期段階においてSYN Food攻撃を検出する手法を提案する.攻撃プログラムを実装し,サーバからの応答パケットを観測する.我々の手法はSYN Flood攻撃によって引き起こされる状態を発見するための指標を調べることにある.まず,第一に,応答パケットの観測が感度の高い指標を見つけることにつながる.第二に,パケットロス率とsyncache率をサーバ攻撃されているか否かを判定する指標として採用し,それぞれの指標に対して閾値を設定する.最後に,応答パケットのわずかの変化を検出し,指標の値が事前に設定した閾値を超えるとき,検出ホストがRSTパケットを送り,TCP上のhalf-open状態を解放させる.
The SYN flooding attack is a DoS (Denial of Service) method affecting hosts to retain the half-open state and causing to exhaust it's memory resources. This attack is hardly filtered by routers in such a case that the source IP address is spoofed. In this paper, we present a detective method for SYN flooding attacks at an early stage. We implement a attacking program, and observe response packets from the server. Our method explores the metric to detect a condition caused by SYN flooding attacks. Firstly, the observation of response packets leads to find sensitive metrics. Secondly, the packet loss rate and syncache rate are adopted as the metric to identify whether the server is attacked or not and set the threshold values for each metric. Finally, we detect the slight variations of response packet if the value exceeds the pre-determined threshold value, then the detective host sends the RST packet to release the half-open state on TCP.

SYN Flood攻撃に対する検出手法(セッション9-C : ネットワーク攻撃監視・防御(3))

Bibliographic Information

Search this article

Description

Journal

Details 詳細情報について

Export

Report a problem