講演抄録/キーワード |
講演名 |
2013-03-14 11:30
LISPにおける二段階マップテーブルを用いたDDoS攻撃緩和方式の提案 ○齋藤利文・榎本真俊・櫨山寛章・門林雄基(奈良先端大) SITE2012-51 IA2012-89 |
抄録 |
(和) |
DDoS攻撃は深刻な脅威であるが,現在一般的に実施されているDDoS攻撃対策は,標的サーバーまでの経路上の負荷については考慮していない,意図的もしくは誤って攻撃の意図のないパケットを破棄してしまうことがある,DDoS攻撃対処について攻撃者が容易に知ることができる,等の欠点があるため,これらを考慮した対策が必要である.そこでパケットを大量に送信するサーバーの近くのノードに囮となるサーバーを配置し,そこで攻撃を受けさせる.これにより正常なトラフィックには影響を与えずに,標的サーバーおよび,その経路に対するDDoS負荷を低減させること,またその際,Locator/ID Separation Protocol (LISP) を用いることで対処後のシステム構成について秘匿することを提案する.これに基づき,本提案を実現するためのマップテーブルをLISPのマップテーブルとは別にマップサーバーに組み込み,この2つのマップテーブルを利用することで本来のLISPの動作をさせつつ,DDoS攻撃対処も実施できるシステムのプロトタイプを開発した.このシステムについて高負荷環境で実験し,提案が実現可能であることを確認した.またこの結果について考察し,解決すべき今後の課題とその解決方針を提案する. |
(英) |
DDoS attacks are serious threats. Although many countermeasures to DDoS attacks have been developed and practiced, most of them drop both attack traffic and legitimate communications. Furthermore, current countermeasures are easily recognized or evaded by attackers. In this paper, We propose a DDoS countermeasure that has the potential not to interfere with legitimate communications while mitigating DDoS attacks and hiding itself from attackers. The key idea of our proposal is creating decoy servers and decoy routers on ingress points of a DDoS attack by an extended LISP. The neighborhood of the machine which transmits large quantities of packets is set up as a decoy where the attack occurs. The effect on normal traffic is reduced, and the targeted machine and the route's DDoS load are reduced. In addition, we propose Locator/ID Separation Protocol (LISP) to conceal the post mitigation effect from the attacker. Based on this, in order to materialize our proposal, we developed a prototype system which can enforce DDoS mitigation. This prototype utilizes the combination of both the LISP Map Table and another Map Table to execute the original LISP. |
キーワード |
(和) |
DDoS mitigation / LISP / 囮サーバー / / / / / |
(英) |
DDoS mitigation / LISP / Decoy servers / / / / / |
文献情報 |
信学技報, vol. 112, no. 489, IA2012-89, pp. 37-42, 2013年3月. |
資料番号 |
IA2012-89 |
発行日 |
2013-03-07 (SITE, IA) |
ISSN |
Print edition: ISSN 0913-5685 Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
SITE2012-51 IA2012-89 |
|