JP2004343580A - Gateway - Google Patents

Gateway Download PDF

Info

Publication number
JP2004343580A
JP2004343580A JP2003139801A JP2003139801A JP2004343580A JP 2004343580 A JP2004343580 A JP 2004343580A JP 2003139801 A JP2003139801 A JP 2003139801A JP 2003139801 A JP2003139801 A JP 2003139801A JP 2004343580 A JP2004343580 A JP 2004343580A
Authority
JP
Japan
Prior art keywords
sip
sip message
gateway
address
new
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003139801A
Other languages
Japanese (ja)
Other versions
JP3974554B2 (en
Inventor
Yuichi Suwa
裕一 諏訪
Kazuhito Hayashi
和仁 林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2003139801A priority Critical patent/JP3974554B2/en
Publication of JP2004343580A publication Critical patent/JP2004343580A/en
Application granted granted Critical
Publication of JP3974554B2 publication Critical patent/JP3974554B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a gateway which can provide a communication by an SIP (Session Initiation Protocol) without causing a system down for a DoS (Denial Of Service) which induces the system down by transmission of large amounts of SIP messages. <P>SOLUTION: A gateway is provided with system operating state collecting means for collecting an operating state of the gateway, and reception signal selecting means for accepting all of new SIP messages when the operating state collected by the system operating state collecting means is equal to or less than a fixed level, accepting new SIP messages at a fixed ratio and refusing other new SIP messages when the operating state collected by the system operating state collecting means is over a fixed level, and accepting SIP messages for a session continuation or a subsequent signal of an accepted SIP message. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明は、ゲートウェイに係り、特に、SIPメッセージを大量に送りつけることによってシステムダウンを誘発させるDoS攻撃に対しても、システムダウンを発生させずに、SIPによる通信の提供を可能にするSIPアプリケーションレベルゲートウェイに関する。
【0002】
【従来の技術】
インターネット上での攻撃で代表的なものとして、DoS(Denial Of Service:サービス拒否)攻撃がある。
このDoS攻撃は、インターネット上の各種サーバに対して大量の(無意味な)サービス接続要求を送り付け、サーバの負荷を高めて、サーバを過負荷でダウンさせたり、ほかの正当なユーザーへのサービスを妨げたりする攻撃である。
このDoS攻撃は、ファイアウォールを設置し、通過が許可されていないパケットを破棄することで防ぐことが可能である(例えば、非特許文献参照)。
【0003】
なお、本願発明に関連する先行技術文献としては以下のものがある。
【特許文献1】
特開2002−158699号公報
「DoS攻撃防止方法および装置およびシステムおよび記憶媒体」
【0004】
【発明が解決しようとする課題】
前述したように、DoS攻撃は、ファイアウォールにより、通過が許可されていないパケットを破棄することで防ぐことが可能である。
しかしながら、SIPメッセージがファイアウォールを通過できるように、ファイアウォールが、デフォルトのポート番号である5060[UDP(User Datagram Protocol),TCP(Transmission Control Protocol),SCTP(Stream Control Transmission Protocol)]や5061[TLS(Transport Layer Security)]であれば通過を許容する場合、悪意を持ったユーザがSIPメッセージを大量に送信することで、SIPメッセージを処理するシステムを過負荷によりサービスが停止してしまうことになる。
本発明は、このような課題を解決するものであって、本発明の目的は、SIPメッセージを大量に送りつけることによってシステムダウンを誘発させるDoS攻撃に対しても、システムダウンを発生させずに、SIPによる通信を提供することが可能なゲートウェイを提供することにある。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかにする。
【0005】
【課題を解決するための手段】
本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、下記の通りである。
即ち、本発明は、複数の端末、あるいは、SIPサーバとの間でSIP通信を行うSIPメッセージ送受信手段と、IPアドレス体系の異なるIP網間でSIPメッセージの送受信を行う場合に、SIPメッセージ内に記述されたIPアドレス情報を送信先のIPアドレス体系に応じてIPアドレス変換を行うアドレス変換手段と、SIPメッセージ内に記述されたRTP用のIPアドレス、ポート番号情報に基づいてファイアウォールの開閉制御を行うFirewall制御手段とを備えるゲートウェイであって、ゲートウェイの稼動状況を収集するシステム稼働状況収集手段と、 前記システム稼働状況収集手段で収集した稼動状況がある一定レベル以下の場合に、全ての新規のSIPメッセージを受け付け、また、前記システム稼働状況収集手段で収集した稼動状況がある一定レベルを超える状態の場合に、一定の比率で新規のSIPメッセージを受付け、その他の新規のSIPメッセージを破棄するとともに、セッション継続のためのSIPメッセージ、あるいは、受付済みSIPメッセージの後続信号を受け付ける受信信号選択手段とを備えることを特徴とする。
また、本発明は、IPアドレス体系の異なるIP網のIP端末を収容し、各IP端末間でSIPメッセージの送受信を行うノード装置であって、前記ノード装置が、前述のゲートウェイを備えることを特徴とする。
【0006】
本発明によれば、ゲートウェイの稼動状況を収集し、ゲートウェイの稼動状況がある一定レベルを超える状態の場合に、一定の比率で新規のSIPメッセージ(INVITE、REGISTER)を受付け、その他の新規のSIPメッセージ(INVITE、REGISTER)を破棄するとともに、セッシヨン継続のための再送SIPメッセージ(re−INVITE)、あるいは、受付済みSIPメッセージの後続信号(ACK、BYE等)は受け付けるようにしたので、悪意を持ったユーザがSIPメッセージを大量に送りつけることによってシステムダウンを誘発させるDoS攻撃に対しても、ゲートウェイのシステムダウンを発生させずに、ゲートウェイによる、アドレス体系の異なるIP網間でのセキュアなSIPによる通信を提供することが可能となる。
【0007】
【発明の実施の形態】
以下、図面を参照して本発明の実施の形態を詳細に説明する。
なお、実施の形態を説明するための全図において、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。
図1は、本発明の実施の形態のSIPアプリケーションレベルゲートウェイの概略構成を示すブロック図である。
同図に示すように、本実施の形態のSIPアプリケーションレベルゲートウェイは、SIPメッセージ送受信機能10と、受信信号選択機能11と、システム稼動状況収集機能12と、アドレス変換機能13と、Firewall制御機能14とを備える。
SIPメッセージ送受信機能10は、複数のIP端末、あるいは、SIPサーバとの間でSIP通信を行う。
アドレス変換機能13は、IPアドレス体系の異なるIP網間でSIPメッセージの送受信を行う場合に、SIPメッセージ内に記述されたIPアドレス情報を送信先のIPアドレス体系に応じてIPアドレス変換を行う。
Firewall制御機能14は、SIPメッセージ内に記述されたRTP(Real−time Transport Protocol)用のIPアドレス、ポート番号情報に基づいてファイアウォールの開閉制御を行う。
【0008】
受信信号選択機能11と、システム稼動状況収集機能12とは、本発明の特徴とする機能であり、システム稼動状況収集機能12は、ゲートウェイの稼動状況を収集する。
また、受信信号選択機能11は、ゲートウェイの稼動状況がある一定レベルを超える状態にある場合には、一定の比率で新規のSIPメッセージ(INVITE、または、REGISTER)を受付け、その他の新規のSIPメッセージ(INVITE、または、REGISTER)は拒否するとともに、セッシヨン継続のための再送SIPメッセージ(re−INVITE)、あるいは、受付済みSIPメッセージの後続信号(ACK、BYE等)は受け付ける。
また、ゲートウェイの稼動状況がある一定レベル以下の場合には、全ての新規のSIPメッセージを受け付ける。
【0009】
図2は、本実施の形態のSIPアプリケーションレベルゲートウェイを使用するSIPメッセージ送信時のシステム接続例を示すブロック図である。
同図において、SIP−ALGは、本実施の形態のSIPアプリケーションレベルゲートウェイを使用するノード装置であり、IPアドレス体系の異なるIP網のIP端末を収容し、各IP端末間でのSIPメッセージの送受信を行う。
図2において、ノード装置(SIP−ALG)に収容されるIP端末(T1)とIP端末(T2)とはIP網(N1)に、IP端末(T3)とIP端末(T4)とはIP網(N2)に属している。
また、IP網(N1)と、IP網(N2)とは、それぞれ異なったIPアドレス体系のIP網である。
従来技術では、例えば、IP端末(T3)のユーザが悪意を持ったユーザであって、ノード装置(SIP−ALG)にSIPメッセージを大量に送付し、ノード装置(SIP−ALG)の処理能力を圧迫させるDoS攻撃を防ぐために、ノード装置(SIP−ALG)の前後にファイアウォールを設置する。
しかしながら、SIPメッセージがファイアウォールを通過できるように、ファイアウォールが、デフォルトのポート番号(UDP,TCP,SCTPなら5060、TLSなら5061)であれば通過を許可する場合には、SIPメッセージによるDoS攻撃を防ぐことができない。
【0010】
本実施の形態は、このような状況を解決するもので、図3を用いて詳細に説明する。
図3は、図2に示すIP端末(T1)からIP端末(T3)にSIPメッセージを送信するときの制御シーケンス例を示す図である。
始めに、ノード装置(SIP−ALG)は、IP端末(T1)からのSIPメッセージを受信すると、ノード装置(SIP−ALG)の稼動状況(CPU使用率やロードアベレージ等)を照会する(ステップ301)。
次に、ノード装置(SIP−ALG)の稼動状況が予め設定された値を超えているかを判定し(ステップ302)、ステップ302において、ノード装置(SIP−ALG)の稼動状況が予め設定された値を超えていないと判定された場合には、ステップ305ヘ進む。
ステップ302において、ノード装置(SIP−ALG)の稼動状況が予め設定された値を超えていると判定された場合には、受信したSIPメッセージの種類を識別する(ステップ303)。
【0011】
ステップ303において、受信したSIPメッセージが新規のSIPメッセージ(INVITE、あるいは、REGISTER)以外の、セッシヨン継続のための再送SIPメッセージ(re−INVITE)、あるいは、受付済みSIPメッセージの後続信号(ACK、BYE等)であれば、ステップ305に進む。
また、ステップ303において、受信したSIPメッセージが新規のSIPメッセージ(INVITE、あるいは、REGISTER)であれば、一定の比率(例えば、5回に1回など)で、受信した新規のSIPメッセージを受け付ける(ステップ304)。
ステップ304において、受け付けを拒否した場合には、IP端末(T1)に、“403等のエラーメッセージ”を通知する。
ステップ303において、受信した新規のSIPメッセージを受け付けた場合にはステップ305に進む。
ステップ305では、アドレス変換機能によりSIPメッセージ内のIPアドレスを送信先のIP端末(T3)のIPアドレス体系へ変換する(ステップ305)。
次に、SIPメッセージ内のIPアドレス情報でFirewall制御機能14により、ファイアウォールを開閉し(ステップ306)、SIPメッセージをIP端末(T3)に送信する(ステップ307)。
【0012】
なお、前述の説明では、IP端末(T1)からIP端末(T3)へのSIPメッセージ送信時について述べたが、IP端末(T3)からIP端末(T1)への逆方向の通信や他のIP端末(T2,T4)とのSIPメッセージ送受信についても同様である。
以上説明したように、本実施の形態では、SIPアプリケーションレベルゲートウェイの稼動状況がある一定レベルを超える状態にあるときに、一定の比率で新規のSIPメッセージ(INVITE、EGISTER)を受付け、その他の新規のSIPメッセージ(INVITE、EGISTER)を破棄するとともに、セッション継続のための再送SIPメッセージ(re−INVITE)、あるいは、受付済みSIPメッセージの後続信号(ACK、BYE等)を受け付ける。
これにより、悪意を持ったユーザがSIPメッセージを大量に送りつけることによってシステムダウンを誘発させるDoS攻撃に対しても、SIPアプリケーションレベルゲートウェイのシステムダウンを発生させずに、SIPアプリケーションレベルゲートウェイによる、アドレス体系の異なるIP網間でのセキュアなSIPによる通信を提供することができる。
以上、本発明者によってなされた発明を、前記実施の形態に基づき具体的に説明したが、本発明は、前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
【0013】
【発明の効果】
本願において開示される発明のうち代表的なものによって得られる効果を簡単に説明すれば、下記の通りである。
本発明によれば、SIPメッセージを大量に送りつけることによってシステムダウンを誘発させるDoS攻撃に対しても、システムダウンを発生させずに、SIPによる通信を提供することが可能になる。
【図面の簡単な説明】
【図1】本発明の実施の形態のSIPアプリケーションレベルゲートウェイの概略構成を示すブロック図である。
【図2】本発明の実施の形態のSIPアプリケーションレベルゲートウェイを使用するSIPメッセージ送信時のシステム接続例を示すブロック図である。
【図3】図2に示すIP端末(T1)からIP端末(T3)にSIPメッセージを送信するときの制御シーケンス例を示す図である。
【符号の説明】
10…SIPメッセージ送受信機能、11…受信信号選択機能、12…システム稼動状況収集機能、13…アドレス変換機能、14…Firewall制御機能、SIP−ALG…ノード装置、T1〜T4…IP端末、N1,N2…IP網。[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a gateway, and in particular, to a SIP application that enables provision of SIP communication without causing a system down even when a DoS attack that induces a system down by sending a large amount of SIP messages. About level gateway.
[0002]
[Prior art]
A typical attack on the Internet is a DoS (Denial Of Service) attack.
This DoS attack sends a large number of (meaningless) service connection requests to various servers on the Internet, increasing the load on the server, causing the server to go down due to overload, and providing services to other legitimate users. It is an attack that hinders.
This DoS attack can be prevented by installing a firewall and discarding packets that are not permitted to pass (for example, see Non-Patent Document).
[0003]
Prior art documents related to the present invention include the following.
[Patent Document 1]
Japanese Patent Application Laid-Open No. 2002-158699 "DoS Attack Prevention Method and Apparatus and System and Storage Medium"
[0004]
[Problems to be solved by the invention]
As described above, a DoS attack can be prevented by a firewall by discarding a packet that is not permitted to pass.
However, in order to allow the SIP message to pass through the firewall, the firewall uses the default port number of 5060 [UDP (User Datagram Protocol), TCP (Transmission Control Protocol), SCTP (Stream Control Transmission Protocol) or 50L [61]. [Transport Layer Security]], when the passage is permitted, a malicious user sends a large amount of SIP messages, so that the service for processing the SIP messages is stopped due to overload.
An object of the present invention is to solve such a problem, and an object of the present invention is to prevent a system down from occurring even in a DoS attack inducing a system down by sending a large amount of SIP messages. , A gateway capable of providing communication by SIP.
The above and other objects and novel features of the present invention will become apparent from the description of the present specification and the accompanying drawings.
[0005]
[Means for Solving the Problems]
The following is a brief description of an outline of typical inventions disclosed in the present application.
That is, the present invention provides a SIP message transmitting / receiving means for performing SIP communication with a plurality of terminals or SIP servers, and a method for transmitting / receiving a SIP message between IP networks having different IP address systems. Address conversion means for performing IP address conversion of the described IP address information according to the destination IP address system, and controlling opening and closing of the firewall based on the RTP IP address and port number information described in the SIP message. A system operation status collection unit that collects the operation status of the gateway; and if the operation status collected by the system operation status collection unit is below a certain level, all new Accepts SIP messages and operates the system When the operation status collected by the collection unit exceeds a certain level, a new SIP message is accepted at a certain ratio, other new SIP messages are discarded, and a SIP message for session continuation or Receiving signal selection means for receiving a subsequent signal of the accepted SIP message.
Further, the present invention is a node device which accommodates IP terminals of IP networks having different IP address systems and transmits / receives a SIP message between each IP terminal, wherein the node device includes the above-mentioned gateway. And
[0006]
According to the present invention, the operation status of the gateway is collected, and when the operation status of the gateway exceeds a certain level, new SIP messages (INVITE, REGISTER) are received at a certain ratio, and other new SIP messages are received. The message (INVITE, REGISTER) is discarded, and a retransmitted SIP message (re-INVITE) for continuing the session or a subsequent signal (ACK, BYE, etc.) of the accepted SIP message is accepted, so that it is malicious. Against a DoS attack in which a user sends a large amount of SIP messages to cause a system down, without causing a gateway system down, using a secure SIP between IP networks with different address systems by the gateway. Communication It can be provided to become.
[0007]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
In all the drawings for describing the embodiments, components having the same function are denoted by the same reference numerals, and repeated description thereof will be omitted.
FIG. 1 is a block diagram showing a schematic configuration of the SIP application level gateway according to the embodiment of the present invention.
As shown in FIG. 1, the SIP application level gateway according to the present embodiment includes a SIP message transmission / reception function 10, a reception signal selection function 11, a system operation status collection function 12, an address conversion function 13, and a firewall control function 14. And
The SIP message transmitting / receiving function 10 performs SIP communication with a plurality of IP terminals or an SIP server.
When transmitting and receiving a SIP message between IP networks having different IP address systems, the address conversion function 13 performs IP address conversion of the IP address information described in the SIP message according to the destination IP address system.
The firewall control function 14 controls opening and closing of the firewall based on the IP address and port number information for RTP (Real-time Transport Protocol) described in the SIP message.
[0008]
The reception signal selection function 11 and the system operation status collection function 12 are features of the present invention, and the system operation status collection function 12 collects the operation status of the gateway.
When the operation status of the gateway is above a certain level, the reception signal selection function 11 accepts a new SIP message (INVITE or REGISTER) at a certain ratio, and other new SIP messages. (INVITE or REGISTER) is rejected, and a retransmission SIP message (re-INVITE) for continuing the session or a subsequent signal (ACK, BYE, etc.) of the accepted SIP message is accepted.
If the operation status of the gateway is below a certain level, all new SIP messages are accepted.
[0009]
FIG. 2 is a block diagram showing an example of system connection at the time of transmitting a SIP message using the SIP application level gateway according to the present embodiment.
In the figure, a SIP-ALG is a node device that uses the SIP application level gateway according to the present embodiment, accommodates IP terminals of IP networks having different IP address systems, and transmits and receives SIP messages between the respective IP terminals. I do.
In FIG. 2, an IP terminal (T1) and an IP terminal (T2) accommodated in a node device (SIP-ALG) are on an IP network (N1), and an IP terminal (T3) and an IP terminal (T4) are on an IP network. (N2).
The IP network (N1) and the IP network (N2) are IP networks having different IP address systems.
In the related art, for example, the user of the IP terminal (T3) is a malicious user, sends a large amount of SIP messages to the node device (SIP-ALG), and increases the processing capability of the node device (SIP-ALG). In order to prevent DoS attacks from being overwhelmed, firewalls are installed before and after the node device (SIP-ALG).
However, if the firewall allows a default port number (5060 for UDP, TCP, SCTP, and 5061 for TLS) so that the SIP message can pass through the firewall, DoS attack by the SIP message is prevented. I can't.
[0010]
This embodiment solves such a situation, and will be described in detail with reference to FIG.
FIG. 3 is a diagram showing an example of a control sequence when the SIP message is transmitted from the IP terminal (T1) shown in FIG. 2 to the IP terminal (T3).
First, when the node device (SIP-ALG) receives the SIP message from the IP terminal (T1), the node device (SIP-ALG) inquires about the operation status (CPU utilization, load average, etc.) of the node device (SIP-ALG) (step 301). ).
Next, it is determined whether the operation status of the node device (SIP-ALG) exceeds a preset value (step 302). In step 302, the operation status of the node device (SIP-ALG) is set in advance. If it is determined that the value does not exceed the value, the process proceeds to step 305.
When it is determined in step 302 that the operation status of the node device (SIP-ALG) exceeds a preset value, the type of the received SIP message is identified (step 303).
[0011]
In step 303, the received SIP message is not a new SIP message (INVITE or REGISTER), but is a retransmission SIP message (re-INVITE) for session continuation or a subsequent signal (ACK, BYE) of the accepted SIP message. Etc.), go to step 305.
In step 303, if the received SIP message is a new SIP message (INVITE or REGISTER), the received new SIP message is received at a fixed ratio (for example, once every five times) ( Step 304).
If the reception is rejected in step 304, an "error message such as 403" is notified to the IP terminal (T1).
If it is determined in step 303 that the received new SIP message has been received, the process proceeds to step 305.
In step 305, the IP address in the SIP message is converted into the IP address system of the destination IP terminal (T3) by the address conversion function (step 305).
Next, the firewall is opened / closed by the firewall control function 14 using the IP address information in the SIP message (step 306), and the SIP message is transmitted to the IP terminal (T3) (step 307).
[0012]
In the above description, the case of transmitting the SIP message from the IP terminal (T1) to the IP terminal (T3) has been described. However, the reverse communication from the IP terminal (T3) to the IP terminal (T1) and the other The same applies to the transmission and reception of SIP messages with the terminals (T2, T4).
As described above, in the present embodiment, when the operation status of the SIP application level gateway exceeds a certain level, new SIP messages (INVITE, EGISTER) are received at a certain rate, and other new messages are received. Of the received SIP message (ACK, BYE, etc.) or a retransmitted SIP message (re-INVITE) for session continuation or a received SIP message (ACK, BYE, etc.).
As a result, even if a malicious user sends a large amount of SIP messages to cause a system down due to a DoS attack, the system does not cause the system down of the SIP application level gateway. It is possible to provide secure SIP communication between IP networks having different systems.
As described above, the invention made by the inventor has been specifically described based on the embodiment. However, the present invention is not limited to the embodiment, and can be variously modified without departing from the gist of the invention. Needless to say,
[0013]
【The invention's effect】
The following is a brief description of an effect obtained by a representative one of the inventions disclosed in the present application.
ADVANTAGE OF THE INVENTION According to this invention, it becomes possible to provide communication by SIP, without causing a system down even with DoS attack which induces a system down by sending a large amount of SIP messages.
[Brief description of the drawings]
FIG. 1 is a block diagram showing a schematic configuration of a SIP application level gateway according to an embodiment of the present invention.
FIG. 2 is a block diagram showing an example of system connection at the time of sending a SIP message using the SIP application level gateway according to the embodiment of the present invention.
FIG. 3 is a diagram showing an example of a control sequence when a SIP message is transmitted from the IP terminal (T1) shown in FIG. 2 to the IP terminal (T3).
[Explanation of symbols]
10: SIP message transmission / reception function, 11: reception signal selection function, 12: system operation status collection function, 13: address conversion function, 14: firewall control function, SIP-ALG: node device, T1 to T4: IP terminal, N1, N2: IP network.

Claims (2)

複数の端末、あるいは、SIPサーバとの間でSIP通信を行うSIPメッセージ送受信手段と、
IPアドレス体系の異なるIP網間でSIPメッセージの送受信を行う場合に、SIPメッセージ内に記述されたIPアドレス情報を送信先のIPアドレス体系に応じてIPアドレス変換を行うアドレス変換手段と、
SIPメッセージ内に記述されたRTP用のIPアドレス、ポート番号情報に基づいてファイアウォールの開閉制御を行うFirewall制御手段とを備えるゲートウェイであって、
ゲートウェイの稼動状況を収集するシステム稼働状況収集手段と、
前記システム稼働状況収集手段で収集した稼動状況がある一定レベル以下の場合に、全ての新規のSIPメッセージを受け付け、また、前記システム稼働状況収集手段で収集した稼動状況がある一定レベルを超える状態の場合に、一定の比率で新規のSIPメッセージを受付け、その他の新規のSIPメッセージを破棄するとともに、セッション継続のためのSIPメッセージ、あるいは、受付済みSIPメッセージの後続信号を受け付ける受信信号選択手段とを備えることを特徴とするゲートウェイ。SIP message transmitting / receiving means for performing SIP communication with a plurality of terminals or a SIP server;
Address translating means for translating IP address information described in the SIP message according to the destination IP address system when transmitting / receiving a SIP message between IP networks having different IP address systems;
A firewall comprising: a firewall control means for controlling opening / closing of a firewall based on the RTP IP address and port number information described in the SIP message,
System operation status collection means for collecting the operation status of the gateway;
When the operating status collected by the system operating status collecting unit is lower than a certain level, all new SIP messages are accepted, and when the operating status collected by the system operating status collecting unit exceeds a certain level, In this case, a new SIP message is received at a fixed ratio, other new SIP messages are discarded, and a SIP message for session continuation or a reception signal selection unit for receiving a subsequent signal of the received SIP message is provided. A gateway comprising: IPアドレス体系の異なるIP網のIP端末を収容し、各IP端末間でSIPメッセージの送受信を行うノード装置であって、
前記ノード装置は、請求項1に記載のゲートウェイを備えることを特徴とするノード装置。A node device accommodating IP terminals of IP networks having different IP address systems and transmitting and receiving a SIP message between each IP terminal,
A node device comprising the gateway according to claim 1.
JP2003139801A 2003-05-19 2003-05-19 gateway Expired - Fee Related JP3974554B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003139801A JP3974554B2 (en) 2003-05-19 2003-05-19 gateway

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003139801A JP3974554B2 (en) 2003-05-19 2003-05-19 gateway

Publications (2)

Publication Number Publication Date
JP2004343580A true JP2004343580A (en) 2004-12-02
JP3974554B2 JP3974554B2 (en) 2007-09-12

Family

ID=33528708

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003139801A Expired - Fee Related JP3974554B2 (en) 2003-05-19 2003-05-19 gateway

Country Status (1)

Country Link
JP (1) JP3974554B2 (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006014144A (en) * 2004-06-29 2006-01-12 Nec Corp Protocol conversion server
JP2007200323A (en) * 2006-01-27 2007-08-09 Nec Corp Method for protecting sip-based application
JP2009049601A (en) * 2007-08-16 2009-03-05 Nippon Telegr & Teleph Corp <Ntt> Number scanning detecting device and detection program
JP2011512572A (en) * 2008-01-17 2011-04-21 デーエルベー・ファイナンス・アンド・コンサルタンシー・ベー・フェー Method and system for controlling computer application programs
JP2012085003A (en) * 2010-10-07 2012-04-26 Icom Inc Sip apparatus
US8463921B2 (en) 2008-01-17 2013-06-11 Scipioo Holding B.V. Method and system for controlling a computer application program

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006014144A (en) * 2004-06-29 2006-01-12 Nec Corp Protocol conversion server
JP4555005B2 (en) * 2004-06-29 2010-09-29 日本電気株式会社 Protocol conversion server
JP2007200323A (en) * 2006-01-27 2007-08-09 Nec Corp Method for protecting sip-based application
JP4692776B2 (en) * 2006-01-27 2011-06-01 日本電気株式会社 Method for protecting SIP-based applications
US8085763B2 (en) 2006-01-27 2011-12-27 Nec Corporation Method for protecting SIP-based applications
JP2009049601A (en) * 2007-08-16 2009-03-05 Nippon Telegr & Teleph Corp <Ntt> Number scanning detecting device and detection program
JP2011512572A (en) * 2008-01-17 2011-04-21 デーエルベー・ファイナンス・アンド・コンサルタンシー・ベー・フェー Method and system for controlling computer application programs
US8463921B2 (en) 2008-01-17 2013-06-11 Scipioo Holding B.V. Method and system for controlling a computer application program
JP2012085003A (en) * 2010-10-07 2012-04-26 Icom Inc Sip apparatus

Also Published As

Publication number Publication date
JP3974554B2 (en) 2007-09-12

Similar Documents

Publication Publication Date Title
US9641561B2 (en) Method and system for managing a SIP server
US7568224B1 (en) Authentication of SIP and RTP traffic
Camarillo et al. Evaluation of transport protocols for the session initiation protocol
US9210197B2 (en) Packet-switched network-to-network interconnection interface
US7653938B1 (en) Efficient cookie generator
Fairhurst et al. Services provided by IETF transport protocols and congestion control mechanisms
EP2105003B1 (en) Method and apparatus to control application messages between a client and a server having a private network address
US20070159979A1 (en) System and method for detection of data traffic on a network
CN101019405A (en) Method and system for mitigating denial of service in a communication network
JP3698698B2 (en) Establishing calls on intranets and external networks via DMZ
US7715401B2 (en) Router
US9037729B2 (en) SIP server overload control
CN101238678A (en) Security gatekeeper for a packetized voice communication network
JP2006331015A (en) Server device protection system
JP3974554B2 (en) gateway
US7929443B1 (en) Session based resource allocation in a core or edge networking device
Peuhkuri Internet traffic measurements–aims, methodology, and discoveries
Deng et al. Advanced flooding attack on a SIP server
Eggert et al. RFC 8085: UDP Usage Guidelines
Gurbani et al. Transport protocol considerations for session initiation protocol networks
Trammell et al. A new transport encapsulation for middlebox cooperation
Kiesel et al. Modeling and performance evaluation of transport protocols for firewall control
WOZNIAK et al. The Need for New Transport Protocols on the INTERNET
US20080130504A1 (en) Integrated Quality of Service and Resource Management in a Network Edge Device
Camarillo et al. Signalling transport protocols

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050728

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070517

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070612

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070614

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100622

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100622

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110622

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120622

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130622

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees