JP2004260295A - 通信制御装置、通信制御方法、通信制御付サーバ装置、通信制御付サーバ装置による通信制御方法及び通信制御プログラム - Google Patents

通信制御装置、通信制御方法、通信制御付サーバ装置、通信制御付サーバ装置による通信制御方法及び通信制御プログラム Download PDF

Info

Publication number
JP2004260295A
JP2004260295A JP2003045957A JP2003045957A JP2004260295A JP 2004260295 A JP2004260295 A JP 2004260295A JP 2003045957 A JP2003045957 A JP 2003045957A JP 2003045957 A JP2003045957 A JP 2003045957A JP 2004260295 A JP2004260295 A JP 2004260295A
Authority
JP
Japan
Prior art keywords
identifier
communication
connection request
communication device
predetermined range
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003045957A
Other languages
English (en)
Other versions
JP3819368B2 (ja
Inventor
Masahiro Ishiyama
政浩 石山
Tatsuya Shinmyo
達哉 神明
Yuzo Tamada
雄三 玉田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2003045957A priority Critical patent/JP3819368B2/ja
Priority to US10/740,440 priority patent/US7366785B2/en
Publication of JP2004260295A publication Critical patent/JP2004260295A/ja
Application granted granted Critical
Publication of JP3819368B2 publication Critical patent/JP3819368B2/ja
Priority to US12/042,010 priority patent/US20080159283A1/en
Priority to US12/041,900 priority patent/US20080165682A1/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/161Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/167Adaptation for transition between two IP versions, e.g. between IPv4 and IPv6
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Communication Control (AREA)

Abstract

【課題】IPv6アドレスを用いた通信において、送信元の正当性を検証し不適切な接続要求を制限することにより悪意の第三者による資源枯渇の攻撃を回避する為の通信制御装置、通信制御方法、通信制御付サーバ装置、通信制御付サーバ装置による通信制御方法及び通信制御プログラムを提供する。
【解決手段】通信制御装置100は、記憶装置10、入力装置11、出力装置12、通信制御装置13、主記憶装置14及び処理制御装置(CPU)15等を備えている。CPU15は、パケット分割手段15c、重み検出手段15d、接続制御手段15e等を備えている。パケット分割手段15cは受信したパケットを分割し、重み検出手段15dは、分割されたパケットの各部の重みを検出し、接続制御手段15eは重みを基にこのパケットの接続の制御を行なう。
【選択図】 図1

Description

【0001】
【発明の属する技術分野】
本発明は、IPv6アドレスを用いた環境において、不適切な接続要求を制限する為の通信制御装置、通信制御方法、通信制御付サーバ装置、通信制御付サーバ装置による通信制御方法及び通信制御プログラムに関する。
【0002】
【従来の技術】
近年、世界最大のコンピュータネットワーク「インターネット(Internet)」の利用が普及している。利用者側はインターネットと接続して公開されている情報やサービスを利用する。逆に、企業側は、インターネットを通してアクセスしてくる利用者に対し、情報やサービスを提供することで、新たなコンピュータビジネスを開拓している。このインターネットの利用に関しての新たな技術開発及びその展開は近年目覚ましい。インターネットの世界では、各端末はIPアドレスと呼ばれる識別子をもち、このIPアドレスを元にパケットの交換が行われている。一例として、トランスミッション・コントロール・プロトコル(TCP)(例えば、非特許文献1参照。)では、送受信者それぞれのIPアドレスとポート番号の4つ組でその接続が識別される。TCPはコネクション型プロトコルである為、各端末はTCPの接続を行なった場合には最低でもこの4つ組を記憶する必要がある。悪意の第三者は、この性質を利用して、必要の無い接続を要求し、対象となる端末のハードウェア及びソフトウェアの資源(以下、「資源」と記載)を枯渇させる攻撃を行なうことがある。
【0003】
現在主に使われているインターネットプロトコルバージョン4(IPv4)では、アドレス空間は32ビットで、アドレスの枯渇にともないユーザに割り当てられるアドレスは非常に少ないものとなりつつある。この為、同じIPアドレスからの接続数を制限することにより、このような資源を枯渇させる攻撃を回避してきた。
【0004】
近年はインターネットプロトコルバージョン6(IPv6)の開発及び実用化が進んでいる。IPv6では、アドレス空間は128ビットに拡張されている。
【0005】
【非特許文献1】
IETF RFC793 Transmission Control Protocol, Darpa Internet Program, Protocol specification、September 1981
【0006】
【非特許文献2】
IETF RFC2460 Internet Protocol, Version 6(IPv6) Specification, December 1998
【0007】
【発明が解決しようとする課題】
しかし、IPv6では、アドレス空間が128ビットに拡張されている分、一つのネットワークは64ビット分のアドレスを収容可能となっている。IPv6ではこの広大なアドレス空間を利用した有益性が多数存在するが、一方でこのアドレス空間の広さが悪意の第三者に対して有益に働くという問題がある。つまり、あるネットワークに端末を接続した悪意の第三者はほぼ64ビットのアドレス幅を利用して対象となる端末の攻撃を行なうことが可能となる。更に、IPv6では個人でも複数のネットワークを収容可能とする為、より広いアドレス空間を割り当てることが考えられる。この為、IPv6では、悪意の第三者による資源を枯渇させる攻撃等に対し、従来のIPv4のような単純なアドレスの比較では攻撃を回避することは出来ない。
【0008】
本発明は上記問題点を解決する為になされたものであり、IPv6アドレスを用いた通信において、送信元の正当性を検証し不適切な接続要求を制限することにより悪意の第三者による資源枯渇の攻撃を回避する為の通信制御装置、通信制御方法、通信制御付サーバ装置、通信制御付サーバ装置による通信制御方法及び通信制御プログラムに関する。
【0009】
【課題を解決するための手段】
上記の問題点を鑑みて、本発明の第1の特徴は、(イ)ネットワークに接続された通信装置からのサーバ装置に対する接続要求を受信する接続要求受信手段と、(ロ)通信装置の識別子に関する情報を記憶する記憶装置と、(ハ)識別子が所定の範囲の識別子であるか否かを検出する第1の検出手段と、(ニ)接続要求が保有する通信資源の所定の値以上を消費するか否かを検出する第2の検出手段と、(ホ)第2の検出手段において接続要求は通信資源を所定の値以上消費すると検出された場合、通信装置と同じ所定の範囲の識別子を有する通信装置からの接続要求を拒否するよう制御する接続制御手段とを具備する通信制御装置であることを要旨とする。本発明の第1の特徴は、更に、(ヘ)記憶装置は、識別子が所定の範囲内の識別子であった場合に、所定の範囲に関連する重み付けされた値を識別子に関する情報に含めて記憶し、(ト)接続制御手段は、重み付けされた値に基づいて通信装置からの接続要求を拒否し、(チ)第2の検出手段は、記憶装置に記憶された識別子に関する情報が同一若しくは近隣のネットワークに属する通信装置の識別子に基づくものであるか否かを検出し、(リ)接続制御手段は、第2の検出手段において複数の接続要求が識別子に関する情報が同一通信装置若しくは近隣のネットワークに属する通信装置からのものであると検出された場合に、識別子に関する情報に基づいて、接続要求を送信した通信装置の識別子と同じ所定の範囲の識別子を持つ通信装置からの接続要求を拒否し、(ヌ)接続制御手段は、第2の検出手段において接続要求は通信資源を所定の値以上消費すると検出された場合若しくは複数の接続要求が識別子に関する情報が同一通信装置若しくは近隣のネットワークに属する通信装置からのものであると検出された場合であっても、接続要求が正当である証明が得られれば、通信装置と同じ所定の範囲の識別子を有する通信装置からの接続要求を受信するよう制御し、(ル)記憶装置は、第2の検出手段において接続要求は通信資源を所定の値以上消費すると検出された通信装置若しくは複数の接続要求が識別子に関する情報が同一通信装置若しくは近隣のネットワークに属する通信装置と同じ所定の範囲の識別子を有する通信装置からの接続要求を記憶し、(ヲ)所定の範囲の識別子のうち、識別子はIPv6アドレスであり、所定の範囲はネットワークプレフィックスの一部又は全部であり、(ワ)重み付けされた値は、識別子をハッシュ処理して得られた値であり、重み付けされた値は、加算又は減算のいずれか片方の演算処理を行なうことにより調整されることを加えても良い。
【0010】
本発明の第2の特徴は、(イ)ネットワークに接続された通信装置からの接続要求を受信する接続要求受信手段と、(ロ)通信装置の識別子に関する情報を記憶する記憶装置と、(ハ)識別子が所定の範囲の識別子であるか否かを検出する第1の検出手段と、(ニ)接続要求が保有する通信資源の所定の値以上を消費するか否かを検出する第2の検出手段と、(ホ)第2の検出手段において接続要求は通信資源を所定の値以上消費すると検出された場合、通信装置と同じ所定の範囲の識別子を有する通信装置からの接続要求を拒否するよう制御する接続制御手段とを具備する通信制御付サーバ装置であることを要旨とする。
【0011】
本発明の第3の特徴は、(イ)ネットワークに接続された通信装置からのサーバ装置に対する接続要求を受信し、(ロ)通信装置の識別子に関する情報を記憶装置に記憶し、(ハ)識別子が所定の範囲の識別子であるか否かを第1検出し、(ニ)接続要求が保有する通信資源の所定の値以上を消費するか否かを第2検出し、(ホ)第2検出の際において接続要求は通信資源を所定の値以上消費すると検出された場合、通信装置と同じ所定の範囲の識別子を有する通信装置からの接続要求を拒否するよう制御する通信制御方法であることを要旨とする。
【0012】
本発明の第4の特徴は、(イ)ネットワークに接続された通信装置からの接続要求を受信し、(ロ)通信装置の識別子に関する情報を記憶装置に記憶し、(ハ)識別子が所定の範囲の識別子であるか否かを第1検出し、(ニ)接続要求が保有する通信資源の所定の値以上を消費するか否かを第2検出し、(ホ)第2の検出において接続要求は通信資源を所定の値以上消費すると検出された場合、通信装置と同じ所定の範囲の識別子を有する通信装置からの接続要求を拒否する通信制御付サーバ装置による通信制御方法であることを要旨とする。
【0013】
本発明の第5の特徴は、(イ)ネットワークに接続された通信装置と、通信装置に対しサーバ処理及び通信制御処理を行うサーバ装置との間に配置するコンピュータに、通信装置からの接続要求を受信し、(ロ)ネットワークに接続された通信装置からのサーバ装置に対する接続要求を受信し、(ハ)通信装置の識別子に関する情報を記憶装置に記憶し、(ニ)識別子が所定の範囲の識別子であるか否かを第1検出し、(ホ)接続要求が保有する通信資源の所定の値以上を消費するか否かを第2検出し、(ヘ)第2検出の際において接続要求は通信資源を所定の値以上消費すると検出された場合、通信装置と同じ所定の範囲の識別子を有する通信装置からの接続要求を拒否するよう制御することを実行させる通信制御プログラムであることを要旨とする。
【0014】
本発明の第6の特徴は、(イ)ネットワークに接続された通信装置に対しサーバ処理及び通信制御処理を行うコンピュータに、通信装置からの接続要求を受信し、(ロ)通信装置の識別子に関する情報を記憶装置に記憶し、(ハ)識別子が所定の範囲の識別子であるか否かを第1検出し、(ニ)接続要求が保有する通信資源の所定の値以上を消費するか否かを第2検出し、(ホ)第2の検出において接続要求は通信資源を所定の値以上消費すると検出された場合、通信装置と同じ所定の範囲の識別子を有する通信装置からの接続要求を拒否することを実行させる通信制御プログラムであることを要旨とする。
【0015】
【発明の実施の形態】
(第1の実施の形態)
(通信接続システム)
本発明の第1の実施の形態に係る通信接続システムは、図1に示すように、通信制御装置100、通信サーバ装置1、LANケーブル2に接続する通信装置2a、2b、LANケーブル3に接続する通信装置3a、LANケーブル4に接続する通信装置4a、LANケーブル5に接続する通信装置5a、各通信装置と通信サーバ装置1を接続するネットワーク6等から構成される。尚、ネットワーク6とは、有線、無線等を問わず、通信媒体を介してデータ伝送を行うインターネット等の通信網を指すものとする。
【0016】
各LANケーブルに接続された通信装置2a、2b、3a、4a、5aは、ネットワーク6を介して、通信サーバ装置1に対し適宜接続を要求する。この際、通信制御装置100は、通信装置2a、2b、3a、4a、5aの内に、接続の要求を不必要に多発させ、通信サーバ装置1の資源を多量に使用している通信装置が存在するか否かを監視する。この監視はパケットの送信元アドレスに「重み」を付加し、この重みにより、そのパケットの送信元がどれぐらい偏っているかを測定することにより行なわれる。つまり、同じ送信元から資源消費が行なわれるパケットがくるたびに、その送信元アドレスは重くなっていくように処理する。又、通信制御装置100は、その重みに従って、対象となるパケットの処理を決定する。例えば、非常に重いパケットは、接続の要求を不必要に多発させている通信装置からのものであると判断し、その通信装置からの接続要求は通信サーバ装置1に送信せず廃棄する等の制御を行なう。尚、通信制御装置100の機能は、コンピュータに所定の機能を実現するソフトウェアプログラムをインストールすること等により実現される。
【0017】
(通信制御装置)
本発明の第1の実施の形態に係る通信制御装置100は、図2に示すように、記憶装置10、入力装置11、出力装置12、通信制御装置13、主記憶装置14及び処理制御装置(CPU)15等を備えている。記憶装置10は、受信パケット記憶装置16、資源記憶装置17、パケット分割記憶装置18、重み記憶装置19、重み判断記憶装置20及びサーバ処理記憶装置33等から構成される。
【0018】
受信パケット記憶装置16は、通信装置2a、2b、3a、4a、5aから送信された接続要求の為のパケットを受信し、一時記憶する。資源記憶装置17は、受信したパケットの資源カテゴリ情報を記憶する。
【0019】
パケット分割記憶装置18は、パケットが保持するアドレスの分割位置を定めたアドレス構造を記憶する。重み記憶装置19は、図5に示すように、分割部分の現在の重み、パケットの分割部毎の加重変数及び加重後の重みを記憶する。重み判断記憶装置20は、重みを検出した結果、その重みが基準値以上であるか以下であるかを判定するための基準値テーブルを記憶する。又、判定の結果、そのパケットに対しどのような処理を行うかについても記憶する。サーバ処理記憶装置33は、CPU15が処理を行うプログラムを記憶する。
【0020】
CPU15は、接続要求受信手段15a、資源検出手段15b、パケット分割手段15c、重み検出手段15d、接続制御手段15e、重み加算手段15f及びパケット送信手段15g等を備えている。
【0021】
接続要求受信手段15aは、通信装置2a、2b、3a、4a、5aから送信された接続要求を受信するモジュールである。資源検出手段15bは、第1の検出手段であり、受信したパケットの資源を検出するモジュールである。例えば、受信パケットがシンクロナイズフラグパケット(SYNパケット)であった場合、SYNパケットはTCPのコネクション確立要求のパケットである為、この資源カテゴリはTCPであると検出する。パケット分割手段15cは、パケット分割記憶装置18に記憶されるパケットの分割情報を基に、受信パケットの分割を行なうモジュールである。パケット分割手段15cは、このアドレス構造の特徴を考慮してパケットの分割を行なう。例として図3では、128ビットのパケットを48ビット目、64ビット目にて単純に3分割する。結果、P1領域48ビット、P2領域16ビット及びP3領域64ビットに分割する構造となる。図4では、パケットを48ビット目、64ビット目にて3分割し、先頭ビットからの累積値をとる。よって、P1領域48ビット、P2領域64ビット及びP3領域128ビットに分割する構造となる。
【0022】
重み検出手段15dは、第2の検出手段であり、接続要求が資源の所定の値以上を消費するか否かを検出するモジュールである。更に、記憶装置10に記憶されたアドレスに関する情報が同一若しくは近隣のネットワークに属する通信装置のアドレスに基づくものであるか否かを検出するモジュールである。具体的には、重み検出手段15dは、受信パケットの送信元アドレスの重みを、重み記憶装置19内の情報より検出し、この重みを基に、一定以上の資源を消費するか、同一通信装置又は近隣のネットワークに属する通信装置から送信されているか否かを判断する。尚、IPv6アドレスは上位のネットワーク部の書き換えが可能である為、近隣のネットワークを指すアドレスを偽って、同一通信装置より送信されていることもありえる。接続制御手段15eは、検出された送信元アドレスの重みを基に、通信サーバ装置1に接続するか否かの判断を制御するモジュールである。重み加算手段15fは、送信元アドレスの重みが適正範囲であると判定され、通信サーバ装置1に送信される場合、この送信元アドレスの重みに新たな重みを加えるモジュールである。パケット送信手段15gは、接続許可された受信パケット、例えばSYNパケットを通信サーバ装置1に送信するモジュールである。
【0023】
入力装置11は、通信装置2a、2b、3a、4a、5a等からSYNパケット等のパケットを受信するインタフェースである。出力装置12は、通信サーバ装置1に対し、接続可能と許可したSYNパケット等のパケットを送信するインタフェースである。通信制御装置13は、無線、有線等の通信回線を介してパケットを他の通信装置等のノード及びルータ等に送受信する為の制御信号を生成する。主記憶装置14は、処理の手順を記述したプログラムや処理されるべきパケット等のデータを一時的に記憶し、CPU15の要請に従ってプログラムの機械命令やデータを引き渡す。CPU15で処理されたデータは主記憶装置に書き込まれる。主記憶装置14とCPU15はアドレスバス、データバス、制御信号等で結ばれている。
【0024】
(通信制御方法)
次に、通信制御装置100の動作について図7を用いて説明する。
【0025】
(a)ステップS101において、通信制御装置100の接続要求受信手段15aは、通信装置2a、2b、3a、4a、5aのいずれかから送信されたパケットを受信し、受信パケット記憶装置16にて一時記憶させる。
【0026】
(b)ステップS102において、資源検出手段15bは、受信パケット記憶装置16にて一時記憶されているパケットを取り出し、このパケットの資源カテゴリを検出する。例えば、SYNパケットであった場合、このパケットはTCPの資源カテゴリに属すると検出される。
【0027】
(c)ステップS103において、パケット分割手段15cは、パケット分割記憶装置18内の情報を基に、受信パケットの送信元アドレスを図3及び図4のように分割する。
【0028】
(d)ステップS104において、重み検出手段15dは、重み記憶装置19を基に、分割された受信パケットの、分割部分毎の重みを検出する。例えば、重み記憶装置19の、図5(a)の分割部分の現在の重み「P1:1、P2:2、P3:3」の部分を検出する。
【0029】
(e)ステップS105において、接続制御手段15eは、検出された現在の分割部分の重みが基準値内であるか否かを判断する。この基準値はプログラム等によって予め設定されている。
【0030】
(f)重みが基準値内であると判断された場合、ステップS106に進み、重みが基準値内であっても、ある特徴が発見されたパケットに対しては一定の送信条件を設定する。送信条件の設定は図6の重み判断記憶装置20の内容を基に行なう。例えば、重みが基準値内であっても、単位時間内の重みの差分が大きい、つまり、短時間に集中的に一定の通信装置よりパケットを受信している場合、悪意がある可能性が高いと判断し、通信サーバ装置1へこのパケットを送信することを大幅に遅延させる。又、現在の全体の重み平均より重い場合、つまり他の通信装置と比較し、若干パケットの受信回数が多い場合は、悪意がある可能性が低いにせよ考えられると判断して、通信サーバ装置1へこのパケットを送信することを少し遅延させる。尚、全体の重み平均より軽い場合は、通常どおりの速度にて送信処理をおこなう。
【0031】
(g)ステップS107においては、重み加算手段15fが、パケットの重みを加える。加重は重み記憶装置19に記憶される「重み」と「分割部分の加重変数」を基に行なう。加重変数は基準の重みに対する加算、掛算等の為に用いる。P1、P2、P3の各加重変数は全部同じ値にしても良いし、一部の分割部分に高い加重をかけてもよい。IPv6アドレスにおいては図3及び図4のネットワークプレフィックス部(P1+P2)は可変長で上位のネットワークを特定する。これに対しインタフェースID部(P3)は通信装置2a、2b、3a、4a、5aが各々有するユニークなMACアドレスを基に作成されるので通信装置2a、2b、3a、4a、5aを特定することができる。つまり、P1やP1+P2が同じであれば近い若しくは同じネットワークに存在する通信装置からのパケットであり、P1+P2+P3が同じであると、全く同じ通信装置からのパケットであるといえる。この為、P1≦P2≦P3と加重をかけるのが好ましい。図5(c)では加重後の重みはP1:1(1*1)、P2:2(1*2)P3:6(2*3)となる。
【0032】
尚、重みは、通信サーバ装置1に現在の資源の消費がどの送信元アドレスからきているかをすべて問い合わせ、攻撃の可能性があると判断される通信装置を特定し、この特定された通信装置のみのアドレスを受信パケット記憶装置に16に記憶してから計算してもよい。
【0033】
(h)最後にステップS108では、パケット送信手段15gは、重みを加えられたパケットを通信サーバ装置1に対して送信する。
【0034】
本発明の第1の実施の形態に係る通信制御装置100によると、資源検出及び重み検出を行なうことにより、パケットの送信元の正当性を検証することができる。更に、この検証結果を基に、接続制御手段が不適切な接続要求を受信拒否する等の制限を行なうことにより悪意の第三者による資源枯渇の攻撃を回避することが可能となる。
【0035】
通信制御装置100はブリッジやルータに埋め込んでもよい。通信制御装置100は、保護対象の通信サーバ装置1の為に通信サーバ装置1宛のパケットを他の独自の手法により処理してもよいし、通信サーバ装置1に受信したパケットの重みを通知してもよい。通知方式にはフローラベル(flow label)やトラフィッククラス(traffic class)の値を適宜書き換える等の手法が考えられる。あるいは通信制御装置100自体がディフサーブ(diffserv)のようなサービス管理手法を利用して通信サーバ装置1へのトラフィックを制御してもよい。例として、通信サーバ装置1及び通信制御装置100のメンテナンスする側と攻撃者側が、近いネットワークに属している場合は、重みによる通信制御を行なっていても攻撃が発生する。その為、通信制御装置100は、特別な条件を満たせば「重み」に関係なく接続を受け入れられる領域を持っても良い。具体的には、正しくIPsecが行なわれていれば「重い」送信元アドレスからでも接続を受け入れるというような方法が考えられる。この場合、以下の第2の実施の形態に述べるような、通信制御装置100が通信サーバ装置1内に搭載されている装置の方が有利である。
【0036】
(第2の実施の形態)
(通信接続システム)
次に、図1の通信制御装置100が通信サーバ装置1内に搭載されている通信制御付サーバ装置200について説明する。その他の装置については図1の通信制御装置100の通信接続システムと同様である為説明を省略する。
【0037】
(通信制御付サーバ装置)
本発明の第2の実施の形態に係る通信制御付サーバ装置200は、図8に示すように、記憶装置40、入力装置21、出力装置22、通信制御装置23、主記憶装置24及び処理制御装置(CPU)25等を備えている。
【0038】
記憶装置40は、受信パケット記憶装置26、資源記憶装置27、パケット分割記憶装置28、重み記憶装置29、重み判断記憶装置30、プログラム記憶装置31、重み履歴記憶装置32及びサーバ処理記憶装置33等から構成される。
【0039】
重み履歴記憶装置32は、同一若しくは近くのネットワークに属する送信元から受信したパケットの重みの変化、つまり重みの履歴を、図9に示すように単位時間毎に記憶する。
【0040】
サーバ処理記憶装置33は、通常のクライアントサーバ接続を行い、通信端末に対し一定のサービス処理を行なう際に必要な情報を記憶する。
【0041】
CPU15は、接続要求受信手段25a、資源検出手段25b、パケット分割手段25c、重み検出手段25d、接続制御手段25e、重み加算手段25f、重み減算手段25g、接続応答送信手段25h及びサーバ処理手段25i等を備えている。重み減算手段25gは、送信元アドレスの重みが適正範囲であると判定され、通信サーバ装置1に送信される場合、この送信元アドレスの重みを減らすモジュールである。サーバ処理手段25iは、通常のクライアントサーバ接続を行い、通信端末に対し一定のサービス処理を行うモジュールである。その他の装置については第1の実施の形態と同様のものを使用するため説明を省略する。
【0042】
(通信制御方法)
次に、通信制御付サーバ装置200の動作について図10を用いて説明する。
【0043】
(a)ステップS201において、通信制御付サーバ装置200の接続要求受信手段25aは、通信装置2a、2b、3a、4a、5aのいずれかから送信されたパケットを受信し、受信パケット記憶装置26にて一時記憶させる。
【0044】
(b)ステップS202において、資源検出手段25bは、受信パケット記憶装置26にて一時記憶されているパケットを取り出し、このパケットの資源カテゴリを検出する。
【0045】
(c)ステップS203において、パケット分割手段25cは、パケット分割記憶装置28内の情報を基に、受信パケットの送信元アドレスを図3及び図4のように分割する。
【0046】
(d)ステップS204において、重み検出手段25dは、重み記憶装置29を基に、分割された受信パケットの、分割部分毎の重みを検出する。
【0047】
(f)ステップS205において、重み検出手段25dは、重み履歴記憶装置32より、分割された受信パケットの、分割部分毎の重みの履歴を検出する。
【0048】
(e)ステップS206において、接続制御手段25eは、検出された現在の分割部分の重みが基準値内であるか否かを判断する。この基準値はプログラマ等によって予め設定されている。更に、重みの履歴が適正であるか否かを判断する。例えば、同一若しくはそれに近いネットワークに属する通信装置より僅か数時間の間に通常の域を越える量のパケットが送られてきた結果の重みであるか、通常の域で単純にパケットが送られてきた結果の重みであるか等を判断する。
【0049】
(g)ステップS207においては、ステップS206で、重みが基準値内であり、且つ、重みの履歴が正常であった場合、何らかの事情により一定期間に接続要求が集中しただけであるとみなし、重み減算手段25gはそのパケットの重みを減算する。
【0050】
(h)ステップS208においては、ステップS206で、重みが基準値内であった場合、重み加算手段15fが、パケットの重みを加える。加重は重み記憶装置19に記憶される「重み」と「分割部分の加重変数」を基に行なう。
【0051】
(i)ステップS209においては、ステップS206で、重みが基準値外であり、且つ、重みの履歴が異常であった場合、このパケットの送信元通信装置は敵意を持って攻撃しているとみなし、このパケットを廃棄する。
【0052】
(j)ステップS210においては、ステップS207及びS208で重みが基準値内であっても、ある特徴が発見されたパケットに対し、図6の重み判断記憶装置30を基に、サーバ処理手段25iでの処理条件を設定する。サーバ処理手段25iでは、アクノレッジメント(ACK)パケット、ACK/SYNパケット等の接続応答パケットを作成する。
【0053】
(k)最後にステップS211では、接続応答送信手段25hは、接続応答パケットを受信したパケットの送信元アドレスに対して送信する。
【0054】
本発明の第2の実施の形態に係る通信制御付サーバ装置200によると、資源、重み及びその重みの履歴の検出を行なうことにより、パケットの送信元の正当性及び攻撃性を具体的に検証することができる。更に、この検証結果を基に、接続制御手段が不適切な接続要求を受信拒否する等の制限を行なうことにより悪意の第三者による資源枯渇の攻撃を回避することが可能となる。
【0055】
通信制御付サーバ装置200は、通信制御機能とサーバ機能を備えている為、IPsecペイロードの正当性を判断する為のセキュリティアソシエイションの譲渡が行ないやすい。この為、通信サーバ装置1及び通信制御装置100のメンテナンスする側と攻撃者側が、近いネットワークに属している場合に発生する攻撃に対しても、特別な条件を満たせば「重み」に関係なく接続を受け入れることができる。具体的には、正しくIPsecが行なわれていれば「重い」送信元アドレスからでも接続を受け入れる等の手法がある。
【0056】
(重み計算処理の実施例)
通信装置2a、2b、3a、4a、5a等から多くの接続要求等を受ける通信サーバでは、重みを求める処理の割合が非常に高くなる。この為、多少重みにずれが生じても、近似的且つ効率的に重みを計算できる手法が望ましい。一例としてハッシュ表を用いた計算処理の手法について、図11を参照して説明する。
【0057】
(a)先ず、あるパケットのP1、P2、P3のハッシュ表を作成する。ハッシュ表はP1、P2、P3をハッシュ演算して小さめな有限のビット長kで表せる値にする。つまり、ハッシュ表の配列のインデックス値をkとする。その後この配列の中にP1をハッシュ演算した値H(P1)と、P2をハッシュ演算した値H(P2)と、P3をハッシュ演算した値H(P3)をそれぞれ入力する。P1、P2、P3アドレスを数値化した値を、図3のように単純分割して計算する場合、木構造のハッシュ表を作成し、図4のように累積して計算する場合、P1、P2、P3用の3つのハッシュ表を作成する。
【0058】
(b)作成したP1のハッシュ表には、該当領域のハッシュ演算の通過回数(重みの値)が記述されている。つまり、ハッシュ表内の同配列領域を演算が通過した回数をそのまま重みの値としてカウントする。例えば配列のインデックスが3で、アドレス(0)(1)(2)を有していた場合、ハッシュ表作成の際に、アドレス(1)を通過した演算が1回あった場合には重みは1、アドレス(2)を通過した演算が2回あった場合には重みは2、アドレス(3)を通過した演算が3回あった場合には重みは3となる。重みの値は図示しない重み記憶領域に加算され、記憶される。この重みの値をW1とする。
【0059】
又、P1のハッシュ表には、H(P2)のハッシュ表の位置(例えばその領域へのポインタ)が記述されている。これに従って次のハッシュ表H(P2)に進む。
【0060】
(c)P2のハッシュ表には、該当領域のハッシュ演算の通過回数(重みの値)が記述されている。その重みの値を図示しない重み記憶領域に加算し、記憶する。この重みの値をW2とする。又、P2のハッシュ表には、H(P3)のハッシュ表の位置(例えばその領域へのポインタ)が記述されている。これに従って次のハッシュ表H(P3)に進む。
【0061】
(d)P3のハッシュ表には、該当領域のハッシュ演算の通過回数(重みの値)が記述されている。その重みの値を図示しない重み記憶領域に加算し、記憶する。この重みの値をW3とする。
【0062】
(e)つまり、重み記憶領域には、図5(b)の分割部分の加重変数を用いた、
重み=W1*(P1の加重変数)+W2*(P2の加重変数)+W3*(P3の加重変数)…(1)
で表される重みが入力されている。重み検出の計算時には、W1、W2、W3の各領域の重みを計算しながら処理してもよい。この例では重みは単純に同じ量だけ増加させ、
重み=W1*1+(W2*2)+(W3*3)…(2)
この式2の様に算出時に加重を加味している。この他、重みを増やす際に加重を考慮して増加させ、計算時には単純に
重み=W1+W2+W3…(3)
と計算する方法も考えられる。
【0063】
(f)更に、資源が解放されるようなパケット、例えば資源カテゴリがTCPであった場合のFINパケット等を観測した場合は、このパケットの送信元アドレスに対応する重みを減らす。重みの減らし方は、重みの増加手法と同様の手法にて減らしてもよいし、異なる手法にて異なる重み量を減らしても良い。
【0064】
上記の実施例による重みの計算方法を用いて、その重みの検出を行なうことにより、パケットの送信元の正当性及び攻撃性を具体的に検証することができる。更に、この検証結果を基に、不適切な接続要求を受信拒否する等の制限を行なうことができる。
【0065】
又、(f)に記載の方法によると、悪意の第三者が、資源を埋め切らせずに常にサーバを重い状態にしておくことが目的として攻撃している場合、通信制御付サーバ装置200側でこの攻撃を識別出来る可能性がある。
【0066】
【発明の効果】
本発明によると、IPv6アドレスを用いた通信において、送信元の正当性を検証し不適切な接続要求を制限することにより悪意の第三者による資源枯渇の攻撃を回避する為の通信制御装置、通信制御方法、通信制御付サーバ装置、通信制御付サーバ装置による通信制御方法及び通信制御プログラムを提供することができる。
【図面の簡単な説明】
【図1】本発明の第1実施の形態に係る通信制御装置を用いたシステムの概要図である。
【図2】本発明の第1実施の形態に係る通信制御装置の構成を示す構成図である。
【図3】IPv6アドレスのデータの構造を示すデータ構造図である。
【図4】IPv6アドレスのデータの構造を示すデータ構造図である。
【図5】重み記憶装置内の重みデータを示す図である。
【図6】重み判断記憶装置内の重み判断データを示す図である。
【図7】通信制御装置の動作を示すフローチャートである。
【図8】本発明の第2実施の形態に係る通信制御付サーバ装置の構成を示す構成図である。
【図9】重み履歴記憶装置内の重み履歴データを示す図である。
【図10】通信制御付サーバ装置の動作を示すフローチャートである。
【図11】ハッシュ演算による重み管理表を示す図である。
【符号の説明】
1…通信サーバ装置
2、3、4、5…LANケーブル
2a、3a、4a、5a…通信装置
6…ネットワーク
10…記憶装置
11…入力装置
12…出力装置
13…通信制御装置
14…主記憶装置
15…CPU
15a…接続要求受信手段
15b…資源検出手段
15c…パケット分割手段
15d…検出手段
15e…接続制御手段
15f…加算手段
15g…パケット送信手段
16…受信パケット記憶装置
17…資源記憶装置
18…パケット分割記憶装置
19…記憶装置
20…重み判断記憶装置
100…通信制御装置
21…入力装置
22…出力装置
23…通信制御装置
24…主記憶装置
25a…接続要求受信手段
25b…資源検出手段
25c…パケット分割手段
25d…検出手段
25e…接続制御手段
25f…加算手段
25g…減算手段
25h…接続応答送信手段
25i…サーバ処理手段
26…受信パケット記憶装置
27…資源記憶装置
28…パケット分割記憶装置
29…重み記憶装置
30…重み判断記憶装置
31…プログラム記憶装置
32…重み履歴記憶装置
33…サーバ処理記憶装置
33…プログラム記憶装置
40…記憶装置
200…通信制御付サーバ装置

Claims (30)

  1. ネットワークに接続された通信装置からのサーバ装置に対する接続要求を受信する接続要求受信手段と、
    前記通信装置の識別子に関する情報を記憶する記憶装置と、
    前記識別子が所定の範囲の識別子であるか否かを検出する第1の検出手段と、
    前記接続要求が保有する通信資源の所定の値以上を消費するか否かを検出する第2の検出手段と、
    前記第2の検出手段において前記接続要求は前記通信資源を所定の値以上消費すると検出された場合、前記通信装置と同じ前記所定の範囲の識別子を有する通信装置からの接続要求を拒否するよう制御する接続制御手段
    とを具備することを特徴とする通信制御装置。
  2. 前記記憶装置は、前記識別子が前記所定の範囲内の識別子であった場合に、前記所定の範囲に関連する重み付けされた値を前記識別子に関する情報に含めて記憶し、
    前記接続制御手段は、前記重み付けされた値に基づいて前記通信装置からの接続要求を拒否する
    ことを特徴とする請求項1に記載の通信制御装置。
  3. 第2の検出手段は、前記記憶装置に記憶された前記識別子に関する情報が同一若しくは近隣のネットワークに属する通信装置の識別子に基づくものであるか否かを検出し、
    前記接続制御手段は、前記第2の検出手段において複数の前記接続要求が前記識別子に関する情報が同一通信装置若しくは近隣のネットワークに属する通信装置からのものであると検出された場合に、前記識別子に関する情報に基づいて、前記接続要求を送信した通信装置の識別子と同じ前記所定の範囲の識別子を持つ通信装置からの接続要求を拒否する
    ことを特徴とする請求項1又は2に記載の通信制御装置。
  4. 前記接続制御手段は、前記第2の検出手段において前記接続要求は前記通信資源を所定の値以上消費すると検出された場合若しくは複数の前記接続要求が前記識別子に関する情報が同一通信装置若しくは近隣のネットワークに属する通信装置からのものであると検出された場合であっても、前記接続要求が正当である証明が得られれば、前記通信装置と同じ前記所定の範囲の識別子を有する通信装置からの接続要求を受信するよう制御することを特徴とする請求項1乃至3のいずれか1項に記載の通信制御装置。
  5. 前記記憶装置は、前記第2の検出手段において前記接続要求は前記通信資源を所定の値以上消費すると検出された通信装置若しくは複数の前記接続要求が前記識別子に関する情報が同一通信装置若しくは近隣のネットワークに属する通信装置と同じ前記所定の範囲の識別子を有する通信装置からの接続要求を記憶することを特徴とする請求項1乃至4のいずれか1項に記載の通信制御装置。
  6. 前記所定の範囲の識別子のうち、前記識別子はIPv6アドレスであり、前記所定の範囲はネットワークプレフィックスの一部又は全部であることを特徴とする請求項1乃至5のいずれか1項に記載の通信制御装置。
  7. 前記重み付けされた値は、前記識別子をハッシュ処理して得られた値であり、
    前記重み付けされた値は、加算又は減算のいずれか片方の演算処理を行なうことにより調整されることを特徴とする請求項2に記載の通信制御装置。
  8. ネットワークに接続された通信装置からの接続要求を受信する接続要求受信手段と、
    前記通信装置の識別子に関する情報を記憶する記憶装置と、
    前記識別子が所定の範囲の識別子であるか否かを検出する第1の検出手段と、
    前記接続要求が保有する通信資源の所定の値以上を消費するか否かを検出する第2の検出手段と、
    前記第2の検出手段において前記接続要求は前記通信資源を所定の値以上消費すると検出された場合、前記通信装置と同じ前記所定の範囲の識別子を有する通信装置からの接続要求を拒否するよう制御する接続制御手段
    とを具備することを特徴とする通信制御付サーバ装置。
  9. 前記記憶装置は、前記識別子が前記所定の範囲内の識別子であった場合に、前記所定の範囲に関連する重み付けされた値を前記識別子に関する情報に含めて記憶し、
    前記接続制御手段は、前記重み付けされた値に基づいて前記通信装置からの接続要求を拒否する
    ことを特徴とする請求項8に記載の通信制御付サーバ装置。
  10. 第2の検出手段は、前記記憶装置に記憶された前記識別子に関する情報が同一若しくは近隣のネットワークに属する通信装置の識別子に基づくものであるか否かを検出し、
    前記接続制御手段は、前記第2の検出手段において複数の前記接続要求が前記識別子に関する情報が同一通信装置若しくは近隣のネットワークに属する通信装置からのものであると検出された場合に、前記識別子に関する情報に基づいて、前記接続要求を送信した通信装置の識別子と同じ前記所定の範囲の識別子を持つ通信装置からの接続要求を拒否する
    ことを特徴とする請求項8又は9に記載の通信制御付サーバ装置。
  11. 前記接続制御手段は、前記第2の検出手段において前記接続要求は前記通信資源を所定の値以上消費すると検出された場合若しくは複数の前記接続要求が前記識別子に関する情報が同一通信装置若しくは近隣のネットワークに属する通信装置からのものであると検出された場合であっても、前記接続要求が正当である証明が得られれば、前記通信装置と同じ前記所定の範囲の識別子を有する通信装置からの接続要求を受信するよう制御することを特徴とする請求項8乃至10のいずれか1項に記載の通信制御付サーバ装置。
  12. 前記記憶装置は、前記第2の検出手段において前記接続要求は前記通信資源を所定の値以上消費すると検出された通信装置若しくは複数の前記接続要求が前記識別子に関する情報が同一通信装置若しくは近隣のネットワークに属する通信装置と同じ前記所定の範囲の識別子を有する通信装置からの接続要求を記憶することを特徴とする請求項8乃至11のいずれか1項に記載の通信制御付サーバ装置。
  13. 前記所定の範囲の識別子のうち、前記識別子はIPv6アドレスであり、前記所定の範囲はネットワークプレフィックスの一部又は全部であることを特徴とする請求項8乃至12のいずれか1項に記載の通信制御付サーバ装置。
  14. 前記重み付けされた値は、前記識別子をハッシュ処理して得られた値であり、
    前記重み付けされた値は、加算又は減算のいずれか片方の演算処理を行なうことにより調整されることを特徴とする請求項9に記載の通信制御付サーバ装置。
  15. ネットワークに接続された通信装置からのサーバ装置に対する接続要求を受信し、
    前記通信装置の識別子に関する情報を記憶装置に記憶し、
    前記識別子が所定の範囲の識別子であるか否かを第1検出し、
    前記接続要求が保有する通信資源の所定の値以上を消費するか否かを第2検出し、
    前記第2検出の際において前記接続要求は前記通信資源を所定の値以上消費すると検出された場合、前記通信装置と同じ前記所定の範囲の識別子を有する通信装置からの接続要求を拒否するよう制御する
    ことを特徴とする通信制御方法。
  16. 前記記憶装置は、前記識別子が前記所定の範囲内の識別子であった場合に、前記所定の範囲に関連する重み付けされた値を前記識別子に関する情報に含めて記憶し、
    前記第2検出の際において、前記重み付けされた値に基づいて前記通信装置からの接続要求を拒否する
    ことを特徴とする請求項15に記載の通信制御方法。
  17. 第2検出においては、前記記憶装置に記憶された前記識別子に関する情報が同一若しくは近隣のネットワークに属する通信装置の識別子に基づくものであるか否かを検出し、
    前記接続要求を制御する際には、前記第2検出において複数の前記接続要求が前記識別子に関する情報が同一通信装置若しくは近隣のネットワークに属する通信装置からのものであると検出された場合に、前記識別子に関する情報に基づいて、前記接続要求を送信した通信装置の識別子と同じ前記所定の範囲の識別子を持つ通信装置からの接続要求を拒否する
    ことを特徴とする請求項15又は16に記載の通信制御方法。
  18. 前記接続要求を制御する際には、前記第2検出において前記接続要求は前記通信資源を所定の値以上消費すると検出された場合若しくは複数の前記接続要求が前記識別子に関する情報が同一通信装置若しくは近隣のネットワークに属する通信装置からのものであると検出された場合であっても、前記接続要求が正当である証明が得られれば、前記通信装置と同じ前記所定の範囲の識別子を有する通信装置からの接続要求を受信するよう制御することを特徴とする請求項15乃至17のいずれか1項に記載の通信制御方法。
  19. 前記記憶装置は、前記第2検出において前記接続要求は前記通信資源を所定の値以上消費すると検出された通信装置若しくは複数の前記接続要求が前記識別子に関する情報が同一通信装置若しくは近隣のネットワークに属する通信装置と同じ前記所定の範囲の識別子を有する通信装置からの接続要求を記憶することを特徴とする請求項15乃至18のいずれか1項に記載の通信制御方法。
  20. 前記所定の範囲の識別子のうち、前記識別子はIPv6アドレスであり、前記所定の範囲はネットワークプレフィックスの一部又は全部であることを特徴とする請求項15乃至19のいずれか1項に記載の通信制御方法。
  21. 前記重み付けされた値は、前記識別子をハッシュ処理して得られた値であり、
    前記重み付けされた値は、加算又は減算のいずれか片方の演算処理を行なうことにより調整されることを特徴とする請求項16に記載の通信制御方法。
  22. ネットワークに接続された通信装置からの接続要求を受信し、
    前記通信装置の識別子に関する情報を記憶装置に記憶し、
    前記識別子が所定の範囲の識別子であるか否かを第1検出し、
    前記接続要求が保有する通信資源の所定の値以上を消費するか否かを第2検出し、
    前記第2検出において前記接続要求は前記通信資源を所定の値以上消費すると検出された場合、前記通信装置と同じ前記所定の範囲の識別子を有する通信装置からの接続要求を拒否する
    ことを特徴とする通信制御付サーバ装置による通信制御方法。
  23. 前記記憶装置は、前記識別子が前記所定の範囲内の識別子であった場合に、前記所定の範囲に関連する重み付けされた値を前記識別子に関する情報に含めて記憶し、
    前記接続要求を拒否する際には、前記重み付けされた値に基づいて前記通信装置からの接続要求を拒否する
    ことを特徴とする請求項22に記載の通信制御付サーバ装置による通信制御方法。
  24. 第2検出は、前記記憶装置に記憶された前記識別子に関する情報が同一若しくは近隣のネットワークに属する通信装置の識別子に基づくものであるか否かを検出し、
    前記接続要求を拒否する際には、前記第2検出において複数の前記接続要求が前記識別子に関する情報が同一通信装置若しくは近隣のネットワークに属する通信装置からのものであると検出された場合に、前記識別子に関する情報に基づいて、前記接続要求を送信した通信装置の識別子と同じ前記所定の範囲の識別子を持つ通信装置からの接続要求を拒否する
    ことを特徴とする請求項22又は23に記載の通信制御付サーバ装置による通信制御方法。
  25. 前記接続制御手段は、前記第2検出において前記接続要求は前記通信資源を所定の値以上消費すると検出された場合若しくは複数の前記接続要求が前記識別子に関する情報が同一通信装置若しくは近隣のネットワークに属する通信装置からのものであると検出された場合であっても、前記接続要求が正当である証明が得られれば、前記通信装置と同じ前記所定の範囲の識別子を有する通信装置からの接続要求を受信することを特徴とする請求項22乃至24のいずれか1項に記載の通信制御付サーバ装置による通信制御方法。
  26. 前記記憶装置は、前記第2検出において前記接続要求は前記通信資源を所定の値以上消費すると検出された通信装置若しくは複数の前記接続要求が前記識別子に関する情報が同一通信装置若しくは近隣のネットワークに属する通信装置と同じ前記所定の範囲の識別子を有する通信装置からの接続要求を記憶することを特徴とする請求項22乃至25のいずれか1項に記載の通信制御付サーバ装置による通信制御方法。
  27. 前記所定の範囲の識別子のうち、前記識別子はIPv6アドレスであり、前記所定の範囲はネットワークプレフィックスの一部又は全部であることを特徴とする請求項22乃至26のいずれか1項に記載の通信制御付サーバ装置による通信制御方法。
  28. 前記重み付けされた値は、前記識別子をハッシュ処理して得られた値であり、
    前記重み付けされた値は、加算又は減算のいずれか片方の演算処理を行なうことにより調整されることを特徴とする請求項23に記載の通信制御付サーバ装置による通信制御方法。
  29. ネットワークに接続された通信装置と、前記通信装置に対しサーバ処理及び通信制御処理を行うサーバ装置との間に配置するコンピュータに、
    前記通信装置からの接続要求を受信し、
    ネットワークに接続された通信装置からのサーバ装置に対する接続要求を受信し、
    前記通信装置の識別子に関する情報を記憶装置に記憶し、
    前記識別子が所定の範囲の識別子であるか否かを第1検出し、
    前記接続要求が保有する通信資源の所定の値以上を消費するか否かを第2検出し、
    前記第2検出の際において前記接続要求は前記通信資源を所定の値以上消費すると検出された場合、前記通信装置と同じ前記所定の範囲の識別子を有する通信装置からの接続要求を拒否するよう制御する
    ことを実行させること特徴とする通信制御プログラム。
  30. ネットワークに接続された通信装置に対しサーバ処理及び通信制御処理を行うコンピュータに、
    前記通信装置からの接続要求を受信し、
    前記通信装置の識別子に関する情報を記憶装置に記憶し、
    前記識別子が所定の範囲の識別子であるか否かを第1検出し、
    前記接続要求が保有する通信資源の所定の値以上を消費するか否かを第2検出し、
    前記第2検出において前記接続要求は前記通信資源を所定の値以上消費すると検出された場合、前記通信装置と同じ前記所定の範囲の識別子を有する通信装置からの接続要求を拒否する
    ことを実行させること特徴とする通信制御プログラム。
JP2003045957A 2003-02-24 2003-02-24 通信制御装置、通信制御方法、通信制御付サーバ装置、通信制御付サーバ装置による通信制御方法及び通信制御プログラム Expired - Fee Related JP3819368B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2003045957A JP3819368B2 (ja) 2003-02-24 2003-02-24 通信制御装置、通信制御方法、通信制御付サーバ装置、通信制御付サーバ装置による通信制御方法及び通信制御プログラム
US10/740,440 US7366785B2 (en) 2003-02-24 2003-12-22 Communication control apparatus, communication control method and communication control program product
US12/042,010 US20080159283A1 (en) 2003-02-24 2008-03-04 Communication control apparatus, communication control method and communication control program product
US12/041,900 US20080165682A1 (en) 2003-02-24 2008-03-04 Communication control apparatus, communication control method and communication control program product

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003045957A JP3819368B2 (ja) 2003-02-24 2003-02-24 通信制御装置、通信制御方法、通信制御付サーバ装置、通信制御付サーバ装置による通信制御方法及び通信制御プログラム

Publications (2)

Publication Number Publication Date
JP2004260295A true JP2004260295A (ja) 2004-09-16
JP3819368B2 JP3819368B2 (ja) 2006-09-06

Family

ID=33112634

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003045957A Expired - Fee Related JP3819368B2 (ja) 2003-02-24 2003-02-24 通信制御装置、通信制御方法、通信制御付サーバ装置、通信制御付サーバ装置による通信制御方法及び通信制御プログラム

Country Status (2)

Country Link
US (3) US7366785B2 (ja)
JP (1) JP3819368B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010114480A (ja) * 2008-11-04 2010-05-20 Mitsubishi Electric Corp フィルタ装置及びフィルタ方法及びプログラム

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ATE447280T1 (de) * 2004-11-10 2009-11-15 Ericsson Telefon Ab L M Sitzungszulassungs-kontrollverfahren und vorrichtung
US9171157B2 (en) * 2006-03-28 2015-10-27 Blue Coat Systems, Inc. Method and system for tracking access to application data and preventing data exploitation by malicious programs
US8462628B2 (en) * 2006-12-20 2013-06-11 Integrated Device Technology, Inc. Method of improving over protocol-required scheduling tables while maintaining same
US8112803B1 (en) * 2006-12-22 2012-02-07 Symantec Corporation IPv6 malicious code blocking system and method
US8418211B2 (en) * 2008-12-31 2013-04-09 Echostar Technologies L.L.C. Antenna diversity for control device applications
JP5403160B2 (ja) * 2010-06-23 2014-01-29 富士通株式会社 通信装置、通信方法、および通信プログラム
US9177139B2 (en) * 2012-12-30 2015-11-03 Honeywell International Inc. Control system cyber security
US9794372B2 (en) * 2015-04-07 2017-10-17 At&T Intellectual Property I, L.P. Connection management service
US9954892B2 (en) * 2015-09-28 2018-04-24 Nxp B.V. Controller area network (CAN) device and method for controlling CAN traffic
US10361934B2 (en) 2015-09-28 2019-07-23 Nxp B.V. Controller area network (CAN) device and method for controlling CAN traffic

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6094435A (en) * 1997-06-30 2000-07-25 Sun Microsystems, Inc. System and method for a quality of service in a multi-layer network element
US6502135B1 (en) * 1998-10-30 2002-12-31 Science Applications International Corporation Agile network protocol for secure communications with assured system availability
JP3456923B2 (ja) * 1999-05-20 2003-10-14 シャープ株式会社 ホスト機器及び同期通信システム及び通信干渉防止方法及び通信干渉防止プログラムを記録したコンピュータ読み取り可能な記録媒体
US6744767B1 (en) * 1999-12-30 2004-06-01 At&T Corp. Method and apparatus for provisioning and monitoring internet protocol quality of service
CA2403736A1 (en) * 2000-03-20 2001-09-27 At&T Corp. Service selection in a shared access network using dynamic host configuration protocol
US7215637B1 (en) * 2000-04-17 2007-05-08 Juniper Networks, Inc. Systems and methods for processing packets
JP2002158699A (ja) 2000-11-20 2002-05-31 Nippon Telegr & Teleph Corp <Ntt> DoS攻撃防止方法および装置およびシステムおよび記録媒体
US7203170B2 (en) * 2001-05-01 2007-04-10 Integrated Device Technology, Inc. Network switch port with weighted random early discard
US20030072326A1 (en) * 2001-08-14 2003-04-17 Mehdi Alasti Method and apparatus for parallel, weighted arbitration scheduling for a switch fabric
KR100431191B1 (ko) * 2001-12-03 2004-05-12 주식회사 케이티 크레딧 기반 라운드 로빈을 이용한 패킷 스케쥴링장치 및방법
US7260085B2 (en) * 2002-03-21 2007-08-21 Acme Packet, Inc. System and method for determining a destination for an internet protocol packet
US6930988B2 (en) * 2002-10-28 2005-08-16 Nokia Corporation Method and system for fast IP connectivity in a mobile network

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010114480A (ja) * 2008-11-04 2010-05-20 Mitsubishi Electric Corp フィルタ装置及びフィルタ方法及びプログラム

Also Published As

Publication number Publication date
US20040205762A1 (en) 2004-10-14
JP3819368B2 (ja) 2006-09-06
US20080165682A1 (en) 2008-07-10
US7366785B2 (en) 2008-04-29
US20080159283A1 (en) 2008-07-03

Similar Documents

Publication Publication Date Title
US7882556B2 (en) Method and apparatus for protecting legitimate traffic from DoS and DDoS attacks
US8224976B2 (en) Using a server&#39;s capability profile to establish a connection
CN108173812B (zh) 防止网络攻击的方法、装置、存储介质和设备
US20080159283A1 (en) Communication control apparatus, communication control method and communication control program product
US8645537B2 (en) Deep packet scan hacker identification
US7818795B1 (en) Per-port protection against denial-of-service and distributed denial-of-service attacks
KR20110089179A (ko) 네트워크 침입 방지
US7404210B2 (en) Method and apparatus for defending against distributed denial of service attacks on TCP servers by TCP stateless hogs
US11489815B2 (en) Methods and systems for synchronizing state amongst monitoring nodes
WO2019022968A1 (en) GENERATION AND ANALYSIS OF NETWORK PROFILE DATA
US8006303B1 (en) System, method and program product for intrusion protection of a network
GB2583112A (en) Efficient protection for an IKEv2 device
WO2023040303A1 (zh) 网络流量控制方法以及相关系统
Mopari et al. Detection and defense against DDoS attack with IP spoofing
Boppana et al. Analyzing the vulnerabilities introduced by ddos mitigation techniques for software-defined networks
WO2009064114A2 (en) Protection method and system for distributed denial of service attack
Alhaj et al. A secure data transmission mechanism for cloud outsourced data
WO2019159989A1 (ja) 監視システム、監視方法及び監視プログラム
EP3085044B1 (en) A method for providing a connection between a communications service provider and an internet protocol, ip, server, providing a service, as well as a perimeter network, comprising the ip server, and an ip server providing the service.
Pande et al. Prevention mechanism on DDOS attacks by using multilevel filtering of distributed firewalls
El-Haj et al. A mechanism for securing hybrid cloud outsourced data: securing hybrid cloud
Hussain et al. Dynamic MTU: Technique to reduce packet drops in IPv6 network resulted due to smaller path mtu size
WO2024099078A1 (zh) 检测攻击流量的方法及相关设备
CN115314297A (zh) 一种doss攻击防御方法、装置、设备、存储介质
Johnson et al. Detection and Response Policies Using a Hierarchical Scheme

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040604

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060309

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060314

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060515

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060606

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060614

LAPS Cancellation because of no payment of annual fees