SYN Flood攻撃に対する検出手法(セッション9-C : ネットワーク攻撃監視・防御(3))

概要

論文の詳細を見る
SYN Food攻撃は,ホストにhalf-openな状態を保持させ,そのメモリ領域を枯渇させるDoS(Denial of Service)攻撃の一つである.この攻撃はソースIPアドレスが偽造されている場合においてはルータによってフイルタリングすることは困難である.本研究では,早期段階においてSYN Food攻撃を検出する手法を提案する.攻撃プログラムを実装し,サーバからの応答パケットを観測する.我々の手法はSYN Flood攻撃によって引き起こされる状態を発見するための指標を調べることにある.まず,第一に,応答パケットの観測が感度の高い指標を見つけることにつながる.第二に,パケットロス率とsyncache率をサーバ攻撃されているか否かを判定する指標として採用し,それぞれの指標に対して閾値を設定する.最後に,応答パケットのわずかの変化を検出し,指標の値が事前に設定した閾値を超えるとき,検出ホストがRSTパケットを送り,TCP上のhalf-open状態を解放させる.
一般社団法人情報処理学会の論文
2007-03-01