JP2004363913A - 通信経路解析装置および方法 - Google Patents
通信経路解析装置および方法 Download PDFInfo
- Publication number
- JP2004363913A JP2004363913A JP2003159555A JP2003159555A JP2004363913A JP 2004363913 A JP2004363913 A JP 2004363913A JP 2003159555 A JP2003159555 A JP 2003159555A JP 2003159555 A JP2003159555 A JP 2003159555A JP 2004363913 A JP2004363913 A JP 2004363913A
- Authority
- JP
- Japan
- Prior art keywords
- route
- packet
- source address
- notification packet
- route notification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】ソースアドレスが偽造された受信パケットの通信経路を解析する。
【解決手段】ルータを通過するIPパケットについて経路通知パケットを設定された確率で生成し、通過するIPパケットと同じ宛先に経路通知パケットを送信する。経路通知パケットは、IPパケットのソースアドレスをデータフィールドに添付する。そのソースアドレスに向かってTracerouteプログラムを実行する。このTracerouteの出力結果と経路通知パケットが通過した実際の経路情報とを比較し、ソースアドレスの偽造を判定する。または、同じソースアドレスが添付された経路通知パケット群が全く違うルートで受信者に到着することから、ソースアドレスの偽造を判定する。または、同一経路からソースアドレスの異なった経路通知パケットを多量に受信した場合、ソースアドレスの偽造を判定する。
【選択図】 図1
【解決手段】ルータを通過するIPパケットについて経路通知パケットを設定された確率で生成し、通過するIPパケットと同じ宛先に経路通知パケットを送信する。経路通知パケットは、IPパケットのソースアドレスをデータフィールドに添付する。そのソースアドレスに向かってTracerouteプログラムを実行する。このTracerouteの出力結果と経路通知パケットが通過した実際の経路情報とを比較し、ソースアドレスの偽造を判定する。または、同じソースアドレスが添付された経路通知パケット群が全く違うルートで受信者に到着することから、ソースアドレスの偽造を判定する。または、同一経路からソースアドレスの異なった経路通知パケットを多量に受信した場合、ソースアドレスの偽造を判定する。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
本発明は、IPデータネットワークにおけるソース(発信源)アドレスが偽装された受信パケットの通信経路を解析するシステムに関する。
【0002】
【従来の技術】
従来、IPアドレス偽装攻撃の対策方法として以下のものがあった。
【0003】
1.被害者はまず攻撃を受けた時点で攻撃パケット群のヘッダを分析し、プロトコルやポート番号などの特徴を抽出する。この特徴を手がかりとして用いて、ネットワーク管理者に調査を依頼する。被害者の最寄りのルータから攻撃者の上流となるリンクを特定し、隣接ルータへと順にたどっていくことで発信源を特定する方法である。
【0004】
2.パケットに経路分析に役に立つマークをつけるマーキング方式と呼ばれる方法がある。フラグメント時にのみ用いられるIP Identificationフィールドを流用し、ルータにおいてある確率でマークをつける。符号化アルゴリズムと復号アルゴリズムで工夫して経路情報を得る方法である。
【0005】
これらの従来技術は、例えば、非特許文献1ないし3に詳しい。
【0006】
【非特許文献1】
Dawn Xiaodong Song,Adrian Perrig,“Advanced and Authenticated Marking Schemes for IP Traceback”,Proceeding IEEE INFOCOM 2001,pp.878−886
【非特許文献2】
Drew Dean,Matt Franklin,Adam Stubblefield,“An Algebraic to IP Traceback”,Proceedings 2001 Network and Distributed System Security Symposium,pp.3−12
【非特許文献3】
Stefan Savage,David Wetherall,Ann Karlin,Tom Anderson,“Practical Network Support for IP Traceback”,Proceedings of ACM SIGCOMM 2000,pp.295−306
【0007】
【発明が解決しようとする課題】
しかしながら、以上の従来技術によれば、以下のような問題点があった。
【0008】
1.の方法は、攻撃ツールの発達によって攻撃パケットから特徴抽出が困難であること、複数の管理主体をまたがって多数のルータへのアクセスを繰り返し、発信源を特定することが難しいこと、または攻撃直後に調査を行わないと必要なログ情報が消えることが問題である。
【0009】
2.の方法は、IP Identificationフィールドがほとんど用いられない、つまり、一般的にパケットの断片化が少ないという前提でそのフィールドを流用したので、VPN、ストリーミング・メディアなどの断片化の多いアプリケーションには相応しくないという問題点がある。
【0010】
本発明は、このような背景に行われたものであって、ソースアドレスが偽造された受信パケットの通信経路を解析することができ、また、経路通知パケットの生成確率を調整することで、経路通知パケットの通信量の負荷を抑えることができ、また、多数のルータへのアクセスを繰り返す必要をなくすことができ、また、IP標準機能である「レコード・ルート」オプションを利用することにより、経路通知パケットの発信元と受信者との間にある各ルータを改造せずにアドレスを記録させることができる通信経路解析装置および方法を提供することを目的とする。
【0011】
【課題を解決するための手段】
以上の課題を解決するために、ルータを通過するIPパケットについて経路通知パケットを設定された確率で生成し、通過するIPパケットと同じ宛先に経路通知パケットを送信する。経路通知パケットは、経路通知するIPパケットのソースアドレスをデータフィールドに添付し、例えば、IPの標準機能であるレコード・ルート(RR)オプションを有効にすることにより、通信するパケットの発信装置から受信者までのパス上にある通常のIPルータのそれぞれのIPアドレスを経路通知パケットに追加させる。
【0012】
また、経路の長さを計算できるようにするため、全ての経路通知パケットのTTLは、例えば、255に設定する。受信者は「長さ=255−受信した時点のTTL」の数式を用いて、経路の長さを計算する。経路通知パケットを受信すると、受信者は以下の方法でソースアドレスが偽装されたパケットを受けたか否か判定できる。
【0013】
1)経路通知パケットに添付された通過IPパケットのヘッダからソースアドレスを抽出し、そのソースアドレスに向かってTracerouteプログラムを実行する。Tracerouteプログラムでは、IPパケットが受信者から他のホストに流れる通常の経路を確認することができる。このTracerouteの出力結果と経路通知パケットが通過した実際の経路情報とを比較することにより、ソースアドレスの偽造されたパケットを受信したか否かを判定することができる。
【0014】
すなわち、Tracerouteの出力結果は、ソースアドレスが偽造されていない場合の通常のIPパケットの通過経路を出力する。これに対し、もし、ソースアドレスの偽造が行われていれば、経路通知パケットの通過経路は、Tracerouteの出力結果とは著しく異なるものとなる。これによって、ソースアドレスの偽造の有無を判定することができる。
【0015】
2)同じソースアドレスが添付された経路通知パケット群が全く違うルートで受信者に到着することから、ソースアドレスの偽造されたパケットを受信したと判定することができる。
【0016】
すなわち、ソースアドレスが偽造されていなければ、同じソースアドレスおよび同じディスティネーションアドレスを有するIPパケットは、ほぼ近似した経路を通過するはずである。したがって、そのIPパケットに対応する経路通知パケットもまた、ほぼ近似した経路を通過するはずである。これに対し、もし、ソースアドレスの偽造が行われていれば、本当のソースアドレスが異なるので、その経路も異なってしまう。よって、同じソースアドレスおよび同じディスティネーションアドレスを有する経路通知パケット群の経路に大きな相違があれば、ソースアドレスの偽造が行われていると判定できる。
【0017】
3)ある観察期間中に同一経路からソースアドレスの異なった経路通知パケットを多量に受信した場合、ソースアドレスの偽造されたパケットを受信したと判定することができる。
【0018】
すなわち、同一経路を通過するIPパケットのソースアドレスおよびディスティネーションアドレスは、ほぼ同一である。しかし、同一経路を通過しているにも関わらず、ソースアドレスが異なるとしたら、そのソースアドレスは偽りであると判定できる。
【0019】
このような判定の結果、ソースアドレスの偽造が行われていることが判明したならば、経路通知パケットにより通知された経路情報に基づきソースアドレスを偽造している発信源を特定することができる。
【0020】
すなわち、本発明の第一の観点は、通信経路解析装置であって、本発明の特徴とするところは、通過する経路が記録される経路通知パケットを設定された確率で生成する手段と、通過するIPパケットと同じ宛先にこの経路通知パケットを送信する手段と、この経路通知パケットのデータフィールドにこの通過するIPパケットのソースアドレスを添付する手段と、経路通知パケットを受信してそのデータフィールドに添付されたソースアドレスを抽出する手段と、このソースアドレスに基づきTracerouteプログラムを実行してこのソースアドレスを有するIPパケットの通常の経路情報を取得する手段と、この通常の経路情報と前記経路通知パケットにより通知された経路情報とを比較して互いの経路の相違を検証することによりソースアドレスの偽造の有無を判定する手段とを備えたところにある。これは前述した1)の偽造判定に相当する(請求項1)。
【0021】
また、経路通知パケットの生成確率を調整できるので、本来の通信が通信経路解析のために圧迫されるといった事態を回避することができる。そのときのトラヒック状況を考慮して経路通知パケットの生成確率を最適に調整することができる。
【0022】
また、本発明装置が備えられているルータなどの通信装置の内部だけで経路解析を行い、他の通信装置の協力を必要としないので、他の通信装置の処理を圧迫することを回避できると共に、他の通信装置の状況によって自装置における通信経路解析が妨げられることも回避できる。
【0023】
あるいは、本発明の通信経路解析装置は、通過する経路が記録される経路通知パケットを設定された確率で生成する手段と、通過するIPパケットと同じ宛先に前記経路通知パケットを送信する手段と、この経路通知パケットのデータフィールドにこの通過するIPパケットのソースアドレスを添付する手段と、経路通知パケットを受信してそのデータフィールドに添付されたソースアドレスを抽出する手段と、複数の同一ソースアドレスが添付された経路通知パケットの経路の相違を検証することによりソースアドレスの偽造の有無を判定する手段とを備えたことを特徴とする。これは前述した2)の偽造判定に相当する(請求項2)。
【0024】
このときに、前記経路通知パケットのTTL(Time to live)値に基づき経路長を測定する手段を備え、前記経路の相違をこの測定する手段により測定された長さの相違によって検証する手段を備えることができる(請求項3)。
【0025】
これによれば、経路通知パケットが通過したルータのアドレスを順次追って、一つずつ経路を特定していくよりも、経路の長さで経路の相違を瞬時に判断することができるため、処理の高速化および簡単化を図ることができる。
【0026】
あるいは、本発明の通信経路解析装置は、通過する経路が記録される経路通知パケットを設定された確率で生成する手段と、通過するIPパケットと同じ宛先に前記経路通知パケットを送信する手段と、この経路通知パケットのデータフィールドにこの通過するIPパケットのソースアドレスを添付する手段と、経路通知パケットを受信してそのデータフィールドに添付されたソースアドレスを抽出する手段と、複数の同一経路情報を通知した経路通知パケットに添付されたソースアドレスの相違を検証することによりソースアドレスの偽造の有無を判定する手段とを備えたことを特徴とする。これは前述した3)の偽造判定に相当する(請求項4)。
【0027】
また、前記経路通知パケットは、IPの標準機能であるレコード・ルート(RR)オプションにより経路情報を記録する手段を備えることができる(請求項5)。これによれば、通信経路解析のために、経路上にあるルータなどの通信装置を改造するといったことを回避できるため、本発明を容易に従来のネットワーク構成に適用することができる。
【0028】
本発明の第二の観点は、通信経路解析方法であって、本発明の特徴とするところは、通過する経路が記録される経路通知パケットを設定された確率で生成するステップと、通過するIPパケットと同じ宛先にこの経路通知パケットを送信するステップと、この経路通知パケットのデータフィールドにこの通過するIPパケットのソースアドレスを添付するステップと、経路通知パケットを受信してそのデータフィールドに添付されたソースアドレスを抽出するステップと、このソースアドレスに基づきTracerouteプログラムを実行してこのソースアドレスを有するIPパケットの通常の経路情報を取得するステップと、この通常の経路情報と前記経路通知パケットにより通知された経路情報とを比較して互いの経路の相違を検証することによりソースアドレスの偽造の有無を判定するステップとを実行するところにある。これは前述した1)の偽造判定に相当する(請求項6)。
【0029】
あるいは、本発明の通信経路解析方法は、通過する経路が記録される経路通知パケットを設定された確率で生成するステップと、通過するIPパケットと同じ宛先に前記経路通知パケットを送信するステップと、この経路通知パケットのデータフィールドにこの通過するIPパケットのソースアドレスを添付するステップと、経路通知パケットを受信してそのデータフィールドに添付されたソースアドレスを抽出するステップと、複数の同一ソースアドレスが添付された経路通知パケットの経路の相違を検証することによりソースアドレスの偽造の有無を判定するステップとを実行することを特徴とする。これは前述した2)の偽造判定に相当する(請求項7)。
【0030】
このときに、前記経路通知パケットのTTL値に基づき経路長を測定するステップを実行し、前記経路の相違をこの測定するステップにより測定された長さの相違によって検証するステップを実行することができる(請求項8)。
【0031】
あるいは、本発明の通信経路解析方法は、通過する経路が記録される経路通知パケットを設定された確率で生成するステップと、通過するIPパケットと同じ宛先に前記経路通知パケットを送信するステップと、この経路通知パケットのデータフィールドにこの通過するIPパケットのソースアドレスを添付するステップと、経路通知パケットを受信してそのデータフィールドに添付されたソースアドレスを抽出するステップと、複数の同一経路情報を通知した経路通知パケットに添付されたソースアドレスの相違を検証することによりソースアドレスの偽造の有無を判定するステップとを実行することを特徴とする。これは前述した3)の偽造判定に相当する(請求項9)。
【0032】
また、前記経路通知パケットは、IPの標準機能であるレコード・ルート(RR)オプションにより経路情報を記録するステップを実行することができる(請求項10)。
【0033】
本発明の第三の観点は、情報処理装置にインストールすることにより、その情報処理装置に、本発明の通信経路解析装置の各手段に相応する機能を実現させることを特徴とするプログラムである(請求項11)。
【0034】
あるいは、本発明のプログラムは、情報処理装置にインストールすることにより、その情報処理装置に、本発明の通信経路解析方法の各ステップを実行させることを特徴とする(請求項12)。
【0035】
本発明の第四の観点は、本発明のプログラムが記録された前記情報処理装置読取可能な記録媒体である(請求項13)。本発明のプログラムは本発明の記録媒体に記録されることにより、前記情報処理装置は、この記録媒体を用いて本発明のプログラムをインストールすることができる。あるいは、本発明のプログラムを保持するサーバからネットワークを介して直接前記情報処理装置に本発明のプログラムをインストールすることもできる。
【0036】
これにより、情報処理装置を用いて、ソースアドレスが偽造された受信パケットの通信経路を解析することができ、また、経路通知パケットの生成確率を調整することで、経路通知パケットの通信量の負荷を抑えることができ、また、多数のルータへのアクセスを繰り返す必要をなくすことができ、また、IP標準機能である「レコード・ルート」オプションを利用することにより、経路通知パケットの発信元と受信者との間にある各ルータを改造せずにアドレスを記録させることができる通信経路解析装置および方法を実現することができる。
【0037】
【発明の実施の形態】
本発明実施形態の通信経路解析装置および方法を図1ないし図5を参照して説明する。図1は本発明の実施形態を説明するためのネットワーク例を示す図である。図2は本発明によって経路通知パケットを生成する処理手順を示すフローチャートである。図3は本発明の技術を適用したルータの構成図である。図4は本発明によって生成される経路通知パケット内容の一例を示す図である。図5は本発明によって各経路通知パケットの情報をまとめた経路表の一例を示す図である。
【0038】
本実施形態の通信経路解析装置は、図1に示す本発明のルータ105の追加機能および経路分析サーバ107として実現される。本発明のルータ105は、図3に示すように、通過する経路が記録される経路通知パケットを設定された確率で生成する経路通知パケット生成部302を備え、パケットカウンタ部301は、通過するIPパケットと同じ宛先にこの経路通知パケットを送信する手段と、この経路通知パケットのデータフィールドにこの通過するIPパケットのソースアドレスを添付する手段とを備える。
【0039】
また、経路分析サーバ107は、経路通知パケットを受信してそのデータフィールドに添付されたソースアドレスを抽出する手段と、このソースアドレスに基づきTracerouteプログラムを実行してこのソースアドレスを有するIPパケットの通常の経路情報を取得する手段とを備える。
【0040】
さらに、この通常の経路情報と前記経路通知パケットにより通知された経路情報とを比較して互いの経路の相違を検証することによりソースアドレスの偽造の有無を判定する手段を備える(請求項1)。あるいは、複数の同一ソースアドレスが添付された経路通知パケットの経路の相違を検証することによりソースアドレスの偽造の有無を判定する手段を備える(請求項2)。このときに、前記経路通知パケットのTTL値に基づき経路長を測定する手段を備え、前記経路の相違をこの測定する手段により測定された長さの相違によって検証する手段を備える(請求項3)。あるいは、複数の同一経路情報を通知した経路通知パケットに添付されたソースアドレスの相違を検証することによりソースアドレスの偽造の有無を判定する手段を備える(請求項4)。また、前記経路通知パケットは、IPの標準機能であるレコード・ルート(RR)オプションにより経路情報を記録する手段を備える(請求項5、10)。
【0041】
本発明は、汎用の情報処理装置にインストールすることにより、その情報処理装置に、本発明の通信経路解析装置の各手段に相応する機能を実現させる、あるいは、本発明の通信経路解析方法の各ステップを実行させるプログラムとして実現することができる(請求項11、12)。このプログラムは、記録媒体に記録されて情報処理装置にインストールされ(請求項13)、あるいは通信回線を介して情報処理装置にインストールされることにより当該情報処理装置に、本発明のルータ105、経路分析サーバ107にそれぞれ相応する機能を実現させることができる。
【0042】
次に、本発明実施形態について図面を参照して説明する。
【0043】
図1は本発明実施形態を説明するためのネットワーク例である。攻撃者によって操作されたホスト101は、攻撃パケットを被攻撃者のホスト102に向かって送信している。ネットワーク103はアクセスネットワークであり、ネットワーク104はバックボーンネットワークである。ルータ(通信装置)105は本発明の技術を適用したルータであり、これらは通過パケットの経路通知パケットを生成させる機能が備わっている。なお、ルータ106は本発明の技術を適用したものではない通常のルータである。被攻撃者のホスト102が収容されているローカルエリアネットワーク(LAN)に経路分析サーバ107は設置されている。この経路分析サーバ107はタップ装置を介して外部から受信したパケットのコピーを収集し、中から本発明の技術を適用したルータが発信した経路通知パケットを抽出し分析を行う。
【0044】
次に、図2のフローチャートを参照しながら、本発明の技術を適用したルータが経路通知パケットを生成する処理手順を説明する。まず、ステップ201において、経路通知パケットの生成率を管理者入力より取得する。通常、この生成率の値は整数Nで表現され、確率の1/Nの意味を表す。ステップ202で、1からステップ201で取得した生成率の値Nまでの間に乱数を発生させ、その乱数はRと表す。ステップ203で、通過パケットの数を数え、ステップ204で通過パケットの数はRまでに達するか否か判断する。この判断の結果として、Rに達しなかった場合にはステップ204からステップ203へ戻る。つまり、R番目のパケットを受信するまでステップ203のカウントと204の判断を繰り返す。
【0045】
ステップ204においてR番目のパケットを受信した場合、ステップ205に進み、このR番目のパケットのIPヘッダ情報をコピーする。そして、ステップ206で、IPレコード・ルート(RR)オプションを利用し経路通知パケットを生成する。まず、ステップ205でコピーしたR番目のパケットのIPヘッダ情報を経路通知パケットのデータフィールドに添付し、経路通知パケットの宛先はR番目のパケットと同じにする。そして、IPオプション・フィールドのコードを7に指定することにより、IPの標準機能であるRRオプションを有効にする。
【0046】
また、経路の長さを測るため、本発明の技術を適用したルータから発信される全ての経路通知パケットのTTLは255に設定する。経路通知パケットの生成は完了したら、ステップ207に進め、R番目の通過パケットと同じ宛先に発信する。ステップ208では、パケットカウンタを0にリセットし、ステップ202へ戻る。
【0047】
図3は本実施形態によって経路通知パケットを生成するルータの構成図である。図示するように、本発明の技術を適用したルータは、パケットカウンタ部301と、経路通知パケット生成部302と、通常IP処理部303と、ネットワークインタフェース部304の各機能部を備え、図2の処理手順を実現することができる。通常IP処理部303と、ネットワークインタフェース部304とは従来の技術である通常IPルータのものである。パケットカウンタ部301と、経路通知パケット生成部302とは、本実施形態を実現させるため、追加された機能部である。パケットカウンタ部301は、図2のステップ201、202、203、204、205、208を実行し、経路通知パケット生成部302は、図2のステップ206、207を実行する。
【0048】
図4は本発明によって生成される経路通知パケット内容の一例である。本発明の技術を適用したルータ401は受信者402に向かって経路通知パケットを発信する。ルータ403と404は本発明の技術を適用したものではない通常のルータである。RRオプションはIPプロトコルの標準機能であるため、この経路通知パケットを処理する全ての通常ルータは、オプション・フィールドのリストに自分のIPアドレスを追加する。ルータ401から403に発信されたパケット405は、ソースアドレスがルータ401であり、IPオプション・フィールドにIPアドレスが記録されない状態である。ルータ403からルータ404まで転送されたパケット406は、IPオプション・フィールドにルータ403のアドレスが記録される。ルータ404からルータ405まで転送されたパケット407は、IPオプション・フィールドにルータ403および404のアドレスが記録される。受信者はこの経路通知パケット受け取ったとき、経路であるルータ401、403と404のIPアドレスを取得できる。
【0049】
図5は各経路通知パケットの情報をまとめた経路表の一例である。この経路表はネットワーク管理者が決めた時間帯に収集した情報である。経路列501に記録されたリストは経路通知パケットを発信したルータから受信者まで通過したルータのアドレスを示す。各経路の一番目のアドレス502は経路通知パケットを発信したルータのアドレスである。長さ列503は各経路のホップ数を示す。この値は経路通知パケットのTTLから推算される(長さ=255−受信した時点のTTL)。ソースアドレス列504は図2のステップ205でコピーしたR 番目の通過パケットのIPヘッダにあるソースアドレスである。この経路表を分析すると、以下の方法で発信源アドレスが偽造されたパケットを受け取ったか否か判定できる。
【0050】
1)受信者のネットワークから504にある各ソースアドレスに向かってTracerouteプログラムを実行する。Tracerouteプログラムでは、IPパケットが受信者から他のホストに流れる経路を確認することができる。このTracerouteの出力結果と図5の経路表に記録された経路情報とを比較し、両方のルートが一致しない場合、ソースアドレスの偽造されたパケットを受信したと判断できる(請求項6)。
すなわち、Tracerouteの出力結果は、ソースアドレスが偽造されていない場合の通常のIPパケットの通過経路を出力する。これに対し、もし、ソースアドレスの偽造が行われていれば、経路通知パケットの通過経路は、Tracerouteの出力結果とは著しく異なるものとなる。これによって、ソースアドレスの偽造の有無を判定することができる。
【0051】
2)図5に示すように、ソースアドレスは1.1.1.1であるパケットは全く違うルートで受信者のネットワークに到着したので、統計手法を用いたら、ソースアドレスの偽造されたパケットを受信したか否かを判断できる(請求項7、8)。
【0052】
すなわち、ソースアドレスが偽造されていなければ、同じソースアドレスおよび同じディスティネーションアドレスを有するIPパケットは、ほぼ近似した経路を通過するはずである。したがって、そのIPパケットに対応する経路通知パケットもまた、ほぼ近似した経路を通過するはずである。これに対し、もし、ソースアドレスの偽造が行われていれば、本当のソースアドレスが異なるので、その経路も異なってしまう。よって、同じソースアドレスおよび同じディスティネーションアドレスを有する経路通知パケット群の経路に大きな相違があれば、ソースアドレスの偽造が行われていると判定できる。
【0053】
3)図5に示すように、ルート「R40→R20→R10→R40→…」は観察期間中にソースアドレスの異なったパケットを多量に受信しているので、統計手法を用いたら、ソースアドレスの偽造されたパケットを受信したか否かを判断できる(請求項9)。
【0054】
すなわち、同一経路を通過するIPパケットのソースアドレスおよびディスティネーションアドレスは、ほぼ同一である。しかし、同一経路を通過しているにも関わらず、ソースアドレスが異なるとしたら、そのソースアドレスは偽りであるは判定できる。
【0055】
このような判定の結果、ソースアドレスの偽造が行われていることが判明したならば、経路通知パケットにより通知された経路情報に基づきソースアドレスを偽造している発信源を特定することができる。
【0056】
【発明の効果】
以上説明したように、本発明によれば、ソースアドレスが偽造された受信パケットの通信経路を解析することができる。また、本発明は、経路通知パケットの生成確率を調整することで、経路通知パケットの通信量の負荷を抑えることができる。また、本発明は、多数のルータへのアクセスを繰り返す必要をなくすことができる。また、本発明は、IP標準機能である「レコード・ルート」オプションを利用することにより、経路通知パケットの発信元と受信者との間にある各ルータを改造せずにアドレスを記録させることができる。
【図面の簡単な説明】
【図1】本発明の実施形態を説明するためのネットワーク例を示す図。
【図2】本発明によって経路通知パケットを生成する処理手順を示すフローチャート。
【図3】本発明の技術を適用したルータの構成図。
【図4】本発明によって生成される経路通知パケット内容の一例を示す図。
【図5】本発明によって各経路通知パケットの情報をまとめた経路表の一例を示す図。
【符号の説明】
101 ホスト(攻撃者)
102 ホスト(被攻撃者)
103、104 ネットワーク
105、401 (本発明の)ルータ
106、403、404 (通常IP)ルータ
107 経路分析サーバ
201〜208 ステップ
301 パケットカウンタ部
302 経路通知パケット生成部
303 通常IP処理部
304 ネットワークインタフェース部
402 受信者
405〜407 パケット
501 経路列
502 経路の一番目のアドレス
503 長さ列
504 ソースアドレス列
【発明の属する技術分野】
本発明は、IPデータネットワークにおけるソース(発信源)アドレスが偽装された受信パケットの通信経路を解析するシステムに関する。
【0002】
【従来の技術】
従来、IPアドレス偽装攻撃の対策方法として以下のものがあった。
【0003】
1.被害者はまず攻撃を受けた時点で攻撃パケット群のヘッダを分析し、プロトコルやポート番号などの特徴を抽出する。この特徴を手がかりとして用いて、ネットワーク管理者に調査を依頼する。被害者の最寄りのルータから攻撃者の上流となるリンクを特定し、隣接ルータへと順にたどっていくことで発信源を特定する方法である。
【0004】
2.パケットに経路分析に役に立つマークをつけるマーキング方式と呼ばれる方法がある。フラグメント時にのみ用いられるIP Identificationフィールドを流用し、ルータにおいてある確率でマークをつける。符号化アルゴリズムと復号アルゴリズムで工夫して経路情報を得る方法である。
【0005】
これらの従来技術は、例えば、非特許文献1ないし3に詳しい。
【0006】
【非特許文献1】
Dawn Xiaodong Song,Adrian Perrig,“Advanced and Authenticated Marking Schemes for IP Traceback”,Proceeding IEEE INFOCOM 2001,pp.878−886
【非特許文献2】
Drew Dean,Matt Franklin,Adam Stubblefield,“An Algebraic to IP Traceback”,Proceedings 2001 Network and Distributed System Security Symposium,pp.3−12
【非特許文献3】
Stefan Savage,David Wetherall,Ann Karlin,Tom Anderson,“Practical Network Support for IP Traceback”,Proceedings of ACM SIGCOMM 2000,pp.295−306
【0007】
【発明が解決しようとする課題】
しかしながら、以上の従来技術によれば、以下のような問題点があった。
【0008】
1.の方法は、攻撃ツールの発達によって攻撃パケットから特徴抽出が困難であること、複数の管理主体をまたがって多数のルータへのアクセスを繰り返し、発信源を特定することが難しいこと、または攻撃直後に調査を行わないと必要なログ情報が消えることが問題である。
【0009】
2.の方法は、IP Identificationフィールドがほとんど用いられない、つまり、一般的にパケットの断片化が少ないという前提でそのフィールドを流用したので、VPN、ストリーミング・メディアなどの断片化の多いアプリケーションには相応しくないという問題点がある。
【0010】
本発明は、このような背景に行われたものであって、ソースアドレスが偽造された受信パケットの通信経路を解析することができ、また、経路通知パケットの生成確率を調整することで、経路通知パケットの通信量の負荷を抑えることができ、また、多数のルータへのアクセスを繰り返す必要をなくすことができ、また、IP標準機能である「レコード・ルート」オプションを利用することにより、経路通知パケットの発信元と受信者との間にある各ルータを改造せずにアドレスを記録させることができる通信経路解析装置および方法を提供することを目的とする。
【0011】
【課題を解決するための手段】
以上の課題を解決するために、ルータを通過するIPパケットについて経路通知パケットを設定された確率で生成し、通過するIPパケットと同じ宛先に経路通知パケットを送信する。経路通知パケットは、経路通知するIPパケットのソースアドレスをデータフィールドに添付し、例えば、IPの標準機能であるレコード・ルート(RR)オプションを有効にすることにより、通信するパケットの発信装置から受信者までのパス上にある通常のIPルータのそれぞれのIPアドレスを経路通知パケットに追加させる。
【0012】
また、経路の長さを計算できるようにするため、全ての経路通知パケットのTTLは、例えば、255に設定する。受信者は「長さ=255−受信した時点のTTL」の数式を用いて、経路の長さを計算する。経路通知パケットを受信すると、受信者は以下の方法でソースアドレスが偽装されたパケットを受けたか否か判定できる。
【0013】
1)経路通知パケットに添付された通過IPパケットのヘッダからソースアドレスを抽出し、そのソースアドレスに向かってTracerouteプログラムを実行する。Tracerouteプログラムでは、IPパケットが受信者から他のホストに流れる通常の経路を確認することができる。このTracerouteの出力結果と経路通知パケットが通過した実際の経路情報とを比較することにより、ソースアドレスの偽造されたパケットを受信したか否かを判定することができる。
【0014】
すなわち、Tracerouteの出力結果は、ソースアドレスが偽造されていない場合の通常のIPパケットの通過経路を出力する。これに対し、もし、ソースアドレスの偽造が行われていれば、経路通知パケットの通過経路は、Tracerouteの出力結果とは著しく異なるものとなる。これによって、ソースアドレスの偽造の有無を判定することができる。
【0015】
2)同じソースアドレスが添付された経路通知パケット群が全く違うルートで受信者に到着することから、ソースアドレスの偽造されたパケットを受信したと判定することができる。
【0016】
すなわち、ソースアドレスが偽造されていなければ、同じソースアドレスおよび同じディスティネーションアドレスを有するIPパケットは、ほぼ近似した経路を通過するはずである。したがって、そのIPパケットに対応する経路通知パケットもまた、ほぼ近似した経路を通過するはずである。これに対し、もし、ソースアドレスの偽造が行われていれば、本当のソースアドレスが異なるので、その経路も異なってしまう。よって、同じソースアドレスおよび同じディスティネーションアドレスを有する経路通知パケット群の経路に大きな相違があれば、ソースアドレスの偽造が行われていると判定できる。
【0017】
3)ある観察期間中に同一経路からソースアドレスの異なった経路通知パケットを多量に受信した場合、ソースアドレスの偽造されたパケットを受信したと判定することができる。
【0018】
すなわち、同一経路を通過するIPパケットのソースアドレスおよびディスティネーションアドレスは、ほぼ同一である。しかし、同一経路を通過しているにも関わらず、ソースアドレスが異なるとしたら、そのソースアドレスは偽りであると判定できる。
【0019】
このような判定の結果、ソースアドレスの偽造が行われていることが判明したならば、経路通知パケットにより通知された経路情報に基づきソースアドレスを偽造している発信源を特定することができる。
【0020】
すなわち、本発明の第一の観点は、通信経路解析装置であって、本発明の特徴とするところは、通過する経路が記録される経路通知パケットを設定された確率で生成する手段と、通過するIPパケットと同じ宛先にこの経路通知パケットを送信する手段と、この経路通知パケットのデータフィールドにこの通過するIPパケットのソースアドレスを添付する手段と、経路通知パケットを受信してそのデータフィールドに添付されたソースアドレスを抽出する手段と、このソースアドレスに基づきTracerouteプログラムを実行してこのソースアドレスを有するIPパケットの通常の経路情報を取得する手段と、この通常の経路情報と前記経路通知パケットにより通知された経路情報とを比較して互いの経路の相違を検証することによりソースアドレスの偽造の有無を判定する手段とを備えたところにある。これは前述した1)の偽造判定に相当する(請求項1)。
【0021】
また、経路通知パケットの生成確率を調整できるので、本来の通信が通信経路解析のために圧迫されるといった事態を回避することができる。そのときのトラヒック状況を考慮して経路通知パケットの生成確率を最適に調整することができる。
【0022】
また、本発明装置が備えられているルータなどの通信装置の内部だけで経路解析を行い、他の通信装置の協力を必要としないので、他の通信装置の処理を圧迫することを回避できると共に、他の通信装置の状況によって自装置における通信経路解析が妨げられることも回避できる。
【0023】
あるいは、本発明の通信経路解析装置は、通過する経路が記録される経路通知パケットを設定された確率で生成する手段と、通過するIPパケットと同じ宛先に前記経路通知パケットを送信する手段と、この経路通知パケットのデータフィールドにこの通過するIPパケットのソースアドレスを添付する手段と、経路通知パケットを受信してそのデータフィールドに添付されたソースアドレスを抽出する手段と、複数の同一ソースアドレスが添付された経路通知パケットの経路の相違を検証することによりソースアドレスの偽造の有無を判定する手段とを備えたことを特徴とする。これは前述した2)の偽造判定に相当する(請求項2)。
【0024】
このときに、前記経路通知パケットのTTL(Time to live)値に基づき経路長を測定する手段を備え、前記経路の相違をこの測定する手段により測定された長さの相違によって検証する手段を備えることができる(請求項3)。
【0025】
これによれば、経路通知パケットが通過したルータのアドレスを順次追って、一つずつ経路を特定していくよりも、経路の長さで経路の相違を瞬時に判断することができるため、処理の高速化および簡単化を図ることができる。
【0026】
あるいは、本発明の通信経路解析装置は、通過する経路が記録される経路通知パケットを設定された確率で生成する手段と、通過するIPパケットと同じ宛先に前記経路通知パケットを送信する手段と、この経路通知パケットのデータフィールドにこの通過するIPパケットのソースアドレスを添付する手段と、経路通知パケットを受信してそのデータフィールドに添付されたソースアドレスを抽出する手段と、複数の同一経路情報を通知した経路通知パケットに添付されたソースアドレスの相違を検証することによりソースアドレスの偽造の有無を判定する手段とを備えたことを特徴とする。これは前述した3)の偽造判定に相当する(請求項4)。
【0027】
また、前記経路通知パケットは、IPの標準機能であるレコード・ルート(RR)オプションにより経路情報を記録する手段を備えることができる(請求項5)。これによれば、通信経路解析のために、経路上にあるルータなどの通信装置を改造するといったことを回避できるため、本発明を容易に従来のネットワーク構成に適用することができる。
【0028】
本発明の第二の観点は、通信経路解析方法であって、本発明の特徴とするところは、通過する経路が記録される経路通知パケットを設定された確率で生成するステップと、通過するIPパケットと同じ宛先にこの経路通知パケットを送信するステップと、この経路通知パケットのデータフィールドにこの通過するIPパケットのソースアドレスを添付するステップと、経路通知パケットを受信してそのデータフィールドに添付されたソースアドレスを抽出するステップと、このソースアドレスに基づきTracerouteプログラムを実行してこのソースアドレスを有するIPパケットの通常の経路情報を取得するステップと、この通常の経路情報と前記経路通知パケットにより通知された経路情報とを比較して互いの経路の相違を検証することによりソースアドレスの偽造の有無を判定するステップとを実行するところにある。これは前述した1)の偽造判定に相当する(請求項6)。
【0029】
あるいは、本発明の通信経路解析方法は、通過する経路が記録される経路通知パケットを設定された確率で生成するステップと、通過するIPパケットと同じ宛先に前記経路通知パケットを送信するステップと、この経路通知パケットのデータフィールドにこの通過するIPパケットのソースアドレスを添付するステップと、経路通知パケットを受信してそのデータフィールドに添付されたソースアドレスを抽出するステップと、複数の同一ソースアドレスが添付された経路通知パケットの経路の相違を検証することによりソースアドレスの偽造の有無を判定するステップとを実行することを特徴とする。これは前述した2)の偽造判定に相当する(請求項7)。
【0030】
このときに、前記経路通知パケットのTTL値に基づき経路長を測定するステップを実行し、前記経路の相違をこの測定するステップにより測定された長さの相違によって検証するステップを実行することができる(請求項8)。
【0031】
あるいは、本発明の通信経路解析方法は、通過する経路が記録される経路通知パケットを設定された確率で生成するステップと、通過するIPパケットと同じ宛先に前記経路通知パケットを送信するステップと、この経路通知パケットのデータフィールドにこの通過するIPパケットのソースアドレスを添付するステップと、経路通知パケットを受信してそのデータフィールドに添付されたソースアドレスを抽出するステップと、複数の同一経路情報を通知した経路通知パケットに添付されたソースアドレスの相違を検証することによりソースアドレスの偽造の有無を判定するステップとを実行することを特徴とする。これは前述した3)の偽造判定に相当する(請求項9)。
【0032】
また、前記経路通知パケットは、IPの標準機能であるレコード・ルート(RR)オプションにより経路情報を記録するステップを実行することができる(請求項10)。
【0033】
本発明の第三の観点は、情報処理装置にインストールすることにより、その情報処理装置に、本発明の通信経路解析装置の各手段に相応する機能を実現させることを特徴とするプログラムである(請求項11)。
【0034】
あるいは、本発明のプログラムは、情報処理装置にインストールすることにより、その情報処理装置に、本発明の通信経路解析方法の各ステップを実行させることを特徴とする(請求項12)。
【0035】
本発明の第四の観点は、本発明のプログラムが記録された前記情報処理装置読取可能な記録媒体である(請求項13)。本発明のプログラムは本発明の記録媒体に記録されることにより、前記情報処理装置は、この記録媒体を用いて本発明のプログラムをインストールすることができる。あるいは、本発明のプログラムを保持するサーバからネットワークを介して直接前記情報処理装置に本発明のプログラムをインストールすることもできる。
【0036】
これにより、情報処理装置を用いて、ソースアドレスが偽造された受信パケットの通信経路を解析することができ、また、経路通知パケットの生成確率を調整することで、経路通知パケットの通信量の負荷を抑えることができ、また、多数のルータへのアクセスを繰り返す必要をなくすことができ、また、IP標準機能である「レコード・ルート」オプションを利用することにより、経路通知パケットの発信元と受信者との間にある各ルータを改造せずにアドレスを記録させることができる通信経路解析装置および方法を実現することができる。
【0037】
【発明の実施の形態】
本発明実施形態の通信経路解析装置および方法を図1ないし図5を参照して説明する。図1は本発明の実施形態を説明するためのネットワーク例を示す図である。図2は本発明によって経路通知パケットを生成する処理手順を示すフローチャートである。図3は本発明の技術を適用したルータの構成図である。図4は本発明によって生成される経路通知パケット内容の一例を示す図である。図5は本発明によって各経路通知パケットの情報をまとめた経路表の一例を示す図である。
【0038】
本実施形態の通信経路解析装置は、図1に示す本発明のルータ105の追加機能および経路分析サーバ107として実現される。本発明のルータ105は、図3に示すように、通過する経路が記録される経路通知パケットを設定された確率で生成する経路通知パケット生成部302を備え、パケットカウンタ部301は、通過するIPパケットと同じ宛先にこの経路通知パケットを送信する手段と、この経路通知パケットのデータフィールドにこの通過するIPパケットのソースアドレスを添付する手段とを備える。
【0039】
また、経路分析サーバ107は、経路通知パケットを受信してそのデータフィールドに添付されたソースアドレスを抽出する手段と、このソースアドレスに基づきTracerouteプログラムを実行してこのソースアドレスを有するIPパケットの通常の経路情報を取得する手段とを備える。
【0040】
さらに、この通常の経路情報と前記経路通知パケットにより通知された経路情報とを比較して互いの経路の相違を検証することによりソースアドレスの偽造の有無を判定する手段を備える(請求項1)。あるいは、複数の同一ソースアドレスが添付された経路通知パケットの経路の相違を検証することによりソースアドレスの偽造の有無を判定する手段を備える(請求項2)。このときに、前記経路通知パケットのTTL値に基づき経路長を測定する手段を備え、前記経路の相違をこの測定する手段により測定された長さの相違によって検証する手段を備える(請求項3)。あるいは、複数の同一経路情報を通知した経路通知パケットに添付されたソースアドレスの相違を検証することによりソースアドレスの偽造の有無を判定する手段を備える(請求項4)。また、前記経路通知パケットは、IPの標準機能であるレコード・ルート(RR)オプションにより経路情報を記録する手段を備える(請求項5、10)。
【0041】
本発明は、汎用の情報処理装置にインストールすることにより、その情報処理装置に、本発明の通信経路解析装置の各手段に相応する機能を実現させる、あるいは、本発明の通信経路解析方法の各ステップを実行させるプログラムとして実現することができる(請求項11、12)。このプログラムは、記録媒体に記録されて情報処理装置にインストールされ(請求項13)、あるいは通信回線を介して情報処理装置にインストールされることにより当該情報処理装置に、本発明のルータ105、経路分析サーバ107にそれぞれ相応する機能を実現させることができる。
【0042】
次に、本発明実施形態について図面を参照して説明する。
【0043】
図1は本発明実施形態を説明するためのネットワーク例である。攻撃者によって操作されたホスト101は、攻撃パケットを被攻撃者のホスト102に向かって送信している。ネットワーク103はアクセスネットワークであり、ネットワーク104はバックボーンネットワークである。ルータ(通信装置)105は本発明の技術を適用したルータであり、これらは通過パケットの経路通知パケットを生成させる機能が備わっている。なお、ルータ106は本発明の技術を適用したものではない通常のルータである。被攻撃者のホスト102が収容されているローカルエリアネットワーク(LAN)に経路分析サーバ107は設置されている。この経路分析サーバ107はタップ装置を介して外部から受信したパケットのコピーを収集し、中から本発明の技術を適用したルータが発信した経路通知パケットを抽出し分析を行う。
【0044】
次に、図2のフローチャートを参照しながら、本発明の技術を適用したルータが経路通知パケットを生成する処理手順を説明する。まず、ステップ201において、経路通知パケットの生成率を管理者入力より取得する。通常、この生成率の値は整数Nで表現され、確率の1/Nの意味を表す。ステップ202で、1からステップ201で取得した生成率の値Nまでの間に乱数を発生させ、その乱数はRと表す。ステップ203で、通過パケットの数を数え、ステップ204で通過パケットの数はRまでに達するか否か判断する。この判断の結果として、Rに達しなかった場合にはステップ204からステップ203へ戻る。つまり、R番目のパケットを受信するまでステップ203のカウントと204の判断を繰り返す。
【0045】
ステップ204においてR番目のパケットを受信した場合、ステップ205に進み、このR番目のパケットのIPヘッダ情報をコピーする。そして、ステップ206で、IPレコード・ルート(RR)オプションを利用し経路通知パケットを生成する。まず、ステップ205でコピーしたR番目のパケットのIPヘッダ情報を経路通知パケットのデータフィールドに添付し、経路通知パケットの宛先はR番目のパケットと同じにする。そして、IPオプション・フィールドのコードを7に指定することにより、IPの標準機能であるRRオプションを有効にする。
【0046】
また、経路の長さを測るため、本発明の技術を適用したルータから発信される全ての経路通知パケットのTTLは255に設定する。経路通知パケットの生成は完了したら、ステップ207に進め、R番目の通過パケットと同じ宛先に発信する。ステップ208では、パケットカウンタを0にリセットし、ステップ202へ戻る。
【0047】
図3は本実施形態によって経路通知パケットを生成するルータの構成図である。図示するように、本発明の技術を適用したルータは、パケットカウンタ部301と、経路通知パケット生成部302と、通常IP処理部303と、ネットワークインタフェース部304の各機能部を備え、図2の処理手順を実現することができる。通常IP処理部303と、ネットワークインタフェース部304とは従来の技術である通常IPルータのものである。パケットカウンタ部301と、経路通知パケット生成部302とは、本実施形態を実現させるため、追加された機能部である。パケットカウンタ部301は、図2のステップ201、202、203、204、205、208を実行し、経路通知パケット生成部302は、図2のステップ206、207を実行する。
【0048】
図4は本発明によって生成される経路通知パケット内容の一例である。本発明の技術を適用したルータ401は受信者402に向かって経路通知パケットを発信する。ルータ403と404は本発明の技術を適用したものではない通常のルータである。RRオプションはIPプロトコルの標準機能であるため、この経路通知パケットを処理する全ての通常ルータは、オプション・フィールドのリストに自分のIPアドレスを追加する。ルータ401から403に発信されたパケット405は、ソースアドレスがルータ401であり、IPオプション・フィールドにIPアドレスが記録されない状態である。ルータ403からルータ404まで転送されたパケット406は、IPオプション・フィールドにルータ403のアドレスが記録される。ルータ404からルータ405まで転送されたパケット407は、IPオプション・フィールドにルータ403および404のアドレスが記録される。受信者はこの経路通知パケット受け取ったとき、経路であるルータ401、403と404のIPアドレスを取得できる。
【0049】
図5は各経路通知パケットの情報をまとめた経路表の一例である。この経路表はネットワーク管理者が決めた時間帯に収集した情報である。経路列501に記録されたリストは経路通知パケットを発信したルータから受信者まで通過したルータのアドレスを示す。各経路の一番目のアドレス502は経路通知パケットを発信したルータのアドレスである。長さ列503は各経路のホップ数を示す。この値は経路通知パケットのTTLから推算される(長さ=255−受信した時点のTTL)。ソースアドレス列504は図2のステップ205でコピーしたR 番目の通過パケットのIPヘッダにあるソースアドレスである。この経路表を分析すると、以下の方法で発信源アドレスが偽造されたパケットを受け取ったか否か判定できる。
【0050】
1)受信者のネットワークから504にある各ソースアドレスに向かってTracerouteプログラムを実行する。Tracerouteプログラムでは、IPパケットが受信者から他のホストに流れる経路を確認することができる。このTracerouteの出力結果と図5の経路表に記録された経路情報とを比較し、両方のルートが一致しない場合、ソースアドレスの偽造されたパケットを受信したと判断できる(請求項6)。
すなわち、Tracerouteの出力結果は、ソースアドレスが偽造されていない場合の通常のIPパケットの通過経路を出力する。これに対し、もし、ソースアドレスの偽造が行われていれば、経路通知パケットの通過経路は、Tracerouteの出力結果とは著しく異なるものとなる。これによって、ソースアドレスの偽造の有無を判定することができる。
【0051】
2)図5に示すように、ソースアドレスは1.1.1.1であるパケットは全く違うルートで受信者のネットワークに到着したので、統計手法を用いたら、ソースアドレスの偽造されたパケットを受信したか否かを判断できる(請求項7、8)。
【0052】
すなわち、ソースアドレスが偽造されていなければ、同じソースアドレスおよび同じディスティネーションアドレスを有するIPパケットは、ほぼ近似した経路を通過するはずである。したがって、そのIPパケットに対応する経路通知パケットもまた、ほぼ近似した経路を通過するはずである。これに対し、もし、ソースアドレスの偽造が行われていれば、本当のソースアドレスが異なるので、その経路も異なってしまう。よって、同じソースアドレスおよび同じディスティネーションアドレスを有する経路通知パケット群の経路に大きな相違があれば、ソースアドレスの偽造が行われていると判定できる。
【0053】
3)図5に示すように、ルート「R40→R20→R10→R40→…」は観察期間中にソースアドレスの異なったパケットを多量に受信しているので、統計手法を用いたら、ソースアドレスの偽造されたパケットを受信したか否かを判断できる(請求項9)。
【0054】
すなわち、同一経路を通過するIPパケットのソースアドレスおよびディスティネーションアドレスは、ほぼ同一である。しかし、同一経路を通過しているにも関わらず、ソースアドレスが異なるとしたら、そのソースアドレスは偽りであるは判定できる。
【0055】
このような判定の結果、ソースアドレスの偽造が行われていることが判明したならば、経路通知パケットにより通知された経路情報に基づきソースアドレスを偽造している発信源を特定することができる。
【0056】
【発明の効果】
以上説明したように、本発明によれば、ソースアドレスが偽造された受信パケットの通信経路を解析することができる。また、本発明は、経路通知パケットの生成確率を調整することで、経路通知パケットの通信量の負荷を抑えることができる。また、本発明は、多数のルータへのアクセスを繰り返す必要をなくすことができる。また、本発明は、IP標準機能である「レコード・ルート」オプションを利用することにより、経路通知パケットの発信元と受信者との間にある各ルータを改造せずにアドレスを記録させることができる。
【図面の簡単な説明】
【図1】本発明の実施形態を説明するためのネットワーク例を示す図。
【図2】本発明によって経路通知パケットを生成する処理手順を示すフローチャート。
【図3】本発明の技術を適用したルータの構成図。
【図4】本発明によって生成される経路通知パケット内容の一例を示す図。
【図5】本発明によって各経路通知パケットの情報をまとめた経路表の一例を示す図。
【符号の説明】
101 ホスト(攻撃者)
102 ホスト(被攻撃者)
103、104 ネットワーク
105、401 (本発明の)ルータ
106、403、404 (通常IP)ルータ
107 経路分析サーバ
201〜208 ステップ
301 パケットカウンタ部
302 経路通知パケット生成部
303 通常IP処理部
304 ネットワークインタフェース部
402 受信者
405〜407 パケット
501 経路列
502 経路の一番目のアドレス
503 長さ列
504 ソースアドレス列
Claims (13)
- 通過する経路が記録される経路通知パケットを設定された確率で生成する手段と、
通過するIP(Internet Protocol)パケットと同じ宛先にこの経路通知パケットを送信する手段と、
この経路通知パケットのデータフィールドにこの通過するIPパケットのソースアドレスを添付する手段と、
経路通知パケットを受信してそのデータフィールドに添付されたソースアドレスを抽出する手段と、
このソースアドレスに基づきTracerouteプログラムを実行してこのソースアドレスを有するIPパケットの通常の経路情報を取得する手段と、
この通常の経路情報と前記経路通知パケットにより通知された経路情報とを比較して互いの経路の相違を検証することによりソースアドレスの偽造の有無を判定する手段と
を備えたことを特徴とする通信経路解析装置。 - 通過する経路が記録される経路通知パケットを設定された確率で生成する手段と、
通過するIPパケットと同じ宛先に前記経路通知パケットを送信する手段と、
この経路通知パケットのデータフィールドにこの通過するIPパケットのソースアドレスを添付する手段と、
経路通知パケットを受信してそのデータフィールドに添付されたソースアドレスを抽出する手段と、
複数の同一ソースアドレスが添付された経路通知パケットの経路の相違を検証することによりソースアドレスの偽造の有無を判定する手段と
を備えたことを特徴とする通信経路解析装置。 - 前記経路通知パケットのTTL(Time to live)値に基づき経路長を測定する手段を備え、
前記経路の相違をこの測定する手段により測定された長さの相違によって検証する手段を備えた
請求項2記載の通信経路解析装置。 - 通過する経路が記録される経路通知パケットを設定された確率で生成する手段と、
通過するIPパケットと同じ宛先に前記経路通知パケットを送信する手段と、
この経路通知パケットのデータフィールドにこの通過するIPパケットのソースアドレスを添付する手段と、
経路通知パケットを受信してそのデータフィールドに添付されたソースアドレスを抽出する手段と、
複数の同一経路情報を通知した経路通知パケットに添付されたソースアドレスの相違を検証することによりソースアドレスの偽造の有無を判定する手段と
を備えたことを特徴とする通信経路解析装置。 - 前記経路通知パケットは、IPの標準機能であるレコード・ルート(RR)オプションにより経路情報を記録する手段を備えた請求項1ないし4のいずれかに記載の通信経路解析装置。
- 通過する経路が記録される経路通知パケットを設定された確率で生成するステップと、
通過するIPパケットと同じ宛先にこの経路通知パケットを送信するステップと、
この経路通知パケットのデータフィールドにこの通過するIPパケットのソースアドレスを添付するステップと、
経路通知パケットを受信してそのデータフィールドに添付されたソースアドレスを抽出するステップと、
このソースアドレスに基づきTracerouteプログラムを実行してこのソースアドレスを有するIPパケットの通常の経路情報を取得するステップと、
この通常の経路情報と前記経路通知パケットにより通知された経路情報とを比較して互いの経路の相違を検証することによりソースアドレスの偽造の有無を判定するステップと
を実行することを特徴とする通信経路解析方法。 - 通過する経路が記録される経路通知パケットを設定された確率で生成するステップと、
通過するIPパケットと同じ宛先に前記経路通知パケットを送信するステップと、
この経路通知パケットのデータフィールドにこの通過するIPパケットのソースアドレスを添付するステップと、
経路通知パケットを受信してそのデータフィールドに添付されたソースアドレスを抽出するステップと、
複数の同一ソースアドレスが添付された経路通知パケットの経路の相違を検証することによりソースアドレスの偽造の有無を判定するステップと
を実行することを特徴とする通信経路解析方法。 - 前記経路通知パケットのTTL(Time to live)値に基づき経路長を測定するステップを実行し、
前記経路の相違をこの測定するステップにより測定された長さの相違によって検証するステップを実行する
請求項7記載の通信経路解析方法。 - 通過する経路が記録される経路通知パケットを設定された確率で生成するステップと、
通過するIPパケットと同じ宛先に前記経路通知パケットを送信するステップと、
この経路通知パケットのデータフィールドにこの通過するIPパケットのソースアドレスを添付するステップと、
経路通知パケットを受信してそのデータフィールドに添付されたソースアドレスを抽出するステップと、
複数の同一経路情報を通知した経路通知パケットに添付されたソースアドレスの相違を検証することによりソースアドレスの偽造の有無を判定するステップと
を実行することを特徴とする通信経路解析方法。 - 前記経路通知パケットは、IPの標準機能であるレコード・ルート(RR)オプションにより経路情報を記録するステップを実行する請求項6ないし9のいずれかに記載の通信経路解析方法。
- 情報処理装置にインストールすることにより、その情報処理装置に、請求項1ないし5のいずれかに記載の通信経路解析装置の各手段に相応する機能を実現させることを特徴とするプログラム。
- 情報処理装置にインストールすることにより、その情報処理装置に、請求項6ないし10のいずれかに記載の通信経路解析方法の各ステップを実行させることを特徴とするプログラム。
- 請求項11または12記載のプログラムが記録された前記情報処理装置読み取り可能な記録媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003159555A JP2004363913A (ja) | 2003-06-04 | 2003-06-04 | 通信経路解析装置および方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003159555A JP2004363913A (ja) | 2003-06-04 | 2003-06-04 | 通信経路解析装置および方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004363913A true JP2004363913A (ja) | 2004-12-24 |
| JP2004363913A5 JP2004363913A5 (ja) | 2005-10-27 |
Family
ID=34052582
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003159555A Pending JP2004363913A (ja) | 2003-06-04 | 2003-06-04 | 通信経路解析装置および方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004363913A (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009169507A (ja) * | 2008-01-11 | 2009-07-30 | Yaskawa Information Systems Co Ltd | アーカイブシステムおよびアーカイブシステム用プログラム |
| WO2010022574A1 (zh) * | 2008-08-29 | 2010-03-04 | 中兴通讯股份有限公司 | 单一地址反向传输路径转发的实现方法及装置 |
| US8966609B2 (en) | 2011-12-09 | 2015-02-24 | Electronics And Telecommunications Research Institute | Authentication method and apparatus for detecting and preventing source address spoofing packets |
| JP2018148506A (ja) * | 2017-03-09 | 2018-09-20 | 三菱電機株式会社 | パケット交換装置 |
-
2003
- 2003-06-04 JP JP2003159555A patent/JP2004363913A/ja active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009169507A (ja) * | 2008-01-11 | 2009-07-30 | Yaskawa Information Systems Co Ltd | アーカイブシステムおよびアーカイブシステム用プログラム |
| WO2010022574A1 (zh) * | 2008-08-29 | 2010-03-04 | 中兴通讯股份有限公司 | 单一地址反向传输路径转发的实现方法及装置 |
| US8437354B2 (en) | 2008-08-29 | 2013-05-07 | Zte Corporation | Method and apparatus for realizing unicast reverse path forwarding |
| US8966609B2 (en) | 2011-12-09 | 2015-02-24 | Electronics And Telecommunications Research Institute | Authentication method and apparatus for detecting and preventing source address spoofing packets |
| JP2018148506A (ja) * | 2017-03-09 | 2018-09-20 | 三菱電機株式会社 | パケット交換装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2016384755B2 (en) | Efficient packet capture for cyber threat analysis | |
| KR100773006B1 (ko) | 네트워크 내에서의 분산 서비스 거부(DDoS) 공격의식별 및 이러한 공격에 대한 방어 방법 | |
| Law et al. | You can run, but you can't hide: an effective statistical methodology to trace back DDoS attackers | |
| Goher et al. | Covert channel detection: A survey based analysis | |
| JP5228936B2 (ja) | オーバレイトラヒック検出システム及びトラヒック監視・制御システム | |
| US20040114519A1 (en) | Network bandwidth anomaly detector apparatus, method, signals and medium | |
| KR102088299B1 (ko) | 분산 반사 서비스 거부 공격 탐지 장치 및 방법 | |
| Zhu et al. | Correlation-based traffic analysis attacks on anonymity networks | |
| JP5053445B2 (ja) | アプリケーションアウェアネスを用いて終端間サービス構成を検査するインバウンド機構 | |
| EP2494741A1 (en) | Methods and apparatus for detection of a nat device | |
| CN109120602B (zh) | 一种IPv6攻击溯源方法 | |
| CN105429940B (zh) | 一种利用信息熵和哈希函数进行网络数据流零水印提取的方法 | |
| Iglesias et al. | DAT detectors: uncovering TCP/IP covert channels by descriptive analytics | |
| US20110141899A1 (en) | Network access apparatus and method for monitoring and controlling traffic using operation, administration, and maintenance (oam) packet in internet protocol (ip) network | |
| Chakravarty et al. | Identifying proxy nodes in a Tor anonymization circuit | |
| JP2004363913A (ja) | 通信経路解析装置および方法 | |
| KR101081433B1 (ko) | IPv6 기반 네트워크의 공격 패킷의 역추적 방법 및 그 기록매체 | |
| JP2006164038A (ja) | DoS攻撃あるいはDDoS攻撃に対処する方法、ネットワーク装置、および分析装置 | |
| JP4867848B2 (ja) | オーバレイトラヒック検出システム及びトラヒック監視・制御システム | |
| CN113596037B (zh) | 一种基于网络全流量中事件关系有向图的apt攻击检测方法 | |
| JP5028202B2 (ja) | 制御ネットワークシステム | |
| Karapoola et al. | Net-Police: A network patrolling service for effective mitigation of volumetric DDoS attacks | |
| KR20110040152A (ko) | 공격자 패킷 역추적 방법 및 이를 위한 시스템 | |
| JP4167866B2 (ja) | データ伝送方法、データ伝送システム及びデータ伝送装置 | |
| Uijterwaal | A One-Way Packet Duplication Metric |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050720 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050720 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070129 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070213 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070412 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070821 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20071218 |