PDoS攻撃抑制のためのパケット廃棄情報に基づくバッファ制御方式

摘要

将来的に，Pulsing Denial-of-Service (PDoS)攻撃が問題となると考えられる．PDoS攻撃とは，攻撃者が大量のトラヒックを短時間に周期的に加えることにより，TCPの輻輳制御によるウィンドウサイズの低下を強制的に起こし，スループットを低下させるものである．既存方式には，バースト的な通常のTCPフローをPDoS攻撃だと誤判定してしまい，それらのフローのスループットを抑制してしまうという問題がある．本稿では，上記の問題を解決するバッファ制御方式を提案する．提案方式では，パケット廃棄数を用いて悪意のあるフローの判定を行い，悪意のあるフローであると判定されたフローのパケットがバッファ内に挿入することのできるパケット数を制限する．これにより，通常のTCPフローのスループットの低下を防ぐことができ，バースト的なTCPフローのスループットもある程度確保することができる．