講演抄録/キーワード |
講演名 |
2018-03-01 09:40
DNSアンプ攻撃対策としての分散型仮想FirewallとNATの連携技術 ○玄 英哲・村山純一(東海大) IN2017-91 |
抄録 |
(和) |
近年,DNSアンプ攻撃が活発化している.
この攻撃は,DDoS攻撃の一種である.
それゆえ、大規模な攻撃では,プロバイダネットワークでも輻輳を発生させる可能性がある.
そこで,我々は,プロバイダネットワーク内にファイアウォールを分散化させる方式を提案している.
この方式では,踏台から標的への攻撃通信を遮断することができる.
一方で,このような状況では,踏台と標的との間で正規通信が行われても,巻き添え遮断される可能性がある.
この問題を解決するために,本論文では,分散ファイアウォールにアドレス変換機能を組み合わせる方式を提案する.
提案方式では,踏台から標的へ攻撃が行われている場合に,同ホスト間の正規通信に対してアドレス変換を施す.
これにより,正規通信と攻撃通信の分離が容易になり,巻き添え遮断を回避できる.
一方,アドレス変換に起因して,パケット転送遅延の増加が懸念される.
そこで,プロトタイプを用いて、評価実験を行った.
評価実験によれば,遅延増加は13パーセント以下であった.
このため,正規通信の妨害を狙うDNSアンプ攻撃への対策技術として,提案方式は有効であると言える. |
(英) |
Recently, DNS amplification attacks are occurring frequently.
This attack is one of DDoS attacks.
Thus, a large-scale attack may cause congestion even in a provider network.
As the solution, we have proposed a distributive virtual firewall scheme for a provider network.
In this scheme, attack traffic from reflector to victim can be blocked.
However, legitimate traffic from reflector to victim may be also blocked.
In order to solve this problem, in this paper, we propose a cooperation scheme of firewall function and address translation function.
In this scheme, address translation is applied to legitimate IP packets from reflector to victim
when attack IP packets are sent from reflector to victim.
This enables easy separation between legitimate traffic and attack traffic
and thus excessive blocking of legitimate traffic can be avoided.
On the other hand, address translation may increase end-to-end packet forwarding delay.
Therefore we evaluated it using a prototype system.
Our evaluation results showed that increased delay was less than 13 percent.
Consequently, the proposed scheme seems effective solution as a countermeasure against DNS amplifying attacks that aim disturbing legitimate communication service. |
キーワード |
(和) |
DNSアンプ攻撃 / 反射型DDoS攻撃 / ファイアウォール / ネットワークアドレス変換 / / / / |
(英) |
DNS Amplification Attack / Reflective DDoS Attack / Firewall / Network Address Translation / / / / |
文献情報 |
信学技報, vol. 117, no. 460, IN2017-91, pp. 11-14, 2018年3月. |
資料番号 |
IN2017-91 |
発行日 |
2018-02-22 (IN) |
ISSN |
Print edition: ISSN 0913-5685 Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
IN2017-91 |