JP2005167450A - パケットログ記録装置 - Google Patents
パケットログ記録装置 Download PDFInfo
- Publication number
- JP2005167450A JP2005167450A JP2003401129A JP2003401129A JP2005167450A JP 2005167450 A JP2005167450 A JP 2005167450A JP 2003401129 A JP2003401129 A JP 2003401129A JP 2003401129 A JP2003401129 A JP 2003401129A JP 2005167450 A JP2005167450 A JP 2005167450A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- log recording
- connection port
- received
- display
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 不正なパケットがどの接続口を通過したかを容易に把握することが可能なパケットログ記録装置を実現する。
【解決手段】 ネットワークを伝播するパケットを記録するパケットログ記録装置において、ネットワークケーブルの各接続口に各々対応して設けられた複数の表示器から構成される表示手段と、記憶手段と、受信したパケットが伝播したことを記憶手段に記録すると共にパケットを受信した接続口の情報を記録し、問い合わせのあった不正なパケットが記憶手段に記録されている場合には、該当する表示器に不正なパケットを受信した接続口であることを示す表示をさせる演算制御手段とを設ける。
【選択図】 図1
【解決手段】 ネットワークを伝播するパケットを記録するパケットログ記録装置において、ネットワークケーブルの各接続口に各々対応して設けられた複数の表示器から構成される表示手段と、記憶手段と、受信したパケットが伝播したことを記憶手段に記録すると共にパケットを受信した接続口の情報を記録し、問い合わせのあった不正なパケットが記憶手段に記録されている場合には、該当する表示器に不正なパケットを受信した接続口であることを示す表示をさせる演算制御手段とを設ける。
【選択図】 図1
Description
本発明は、ネットワークを伝播するパケットを記録するパケットログ記録装置に関し、特に、不正なパケットがどの接続口を通過したかを容易に把握することが可能なパケットログ記録装置に関する。
従来のネットワークを伝播するパケットを記録するパケットログ記録装置等に関連する先行技術文献としては次のようなものがある。
従来のインターネット上ではパケットを連続してターゲットに送信して当該ターゲットの提供するサービスを停止等させるDoS攻撃(Denial of Service attack:サービス停止攻撃:以下、単にDoSと呼ぶ。)が問題になっている。
特に、複数地点から一斉に一つのターゲットに対してDoS攻撃を行うDDoS(Distributed DoS:分散型DoS:以下、単にDDoSと呼ぶ。)が大きな問題になっている。
このため、このようなDDoS攻撃等を防止するため、不正なパケットの発信源を特定するパケット経路追跡システムが考案されている。
図6はこのような従来のパケット経路追跡システムの一例を示す構成ブロック図である。図6において1は攻撃者(アタッカー)が操作する端末、2はDDoS攻撃等のターゲットとなるサーバ、3及び4はISP(Internet Service Provider:インターネットサービス提供業者:以下、単にISPと呼ぶ。)、5,6,7及び8はルータ、9,10及び11は伝播するパケットの情報を記録するパケットログ記録装置である。
端末1はルータ5を介してISP3に接続され、ISP3はルータ6及びルータ7を介してISP4に接続される。また、サーバ2はルータ8を介してISP4に接続される。
さらに、端末1とルータ5との間の回線にはパケットログ記録装置9が接続され、ルータ6とルータ7との間の回線にはパケットログ記録装置10が接続され、サーバ2とルータ8との間の回線にはパケットログ記録装置11が接続される。
ここで、図6に示す従来のパケット経路追跡システムの動作を図7及び図8を用いて説明する。図7は攻撃者(アタッカー)の攻撃経路を示す説明図、図8はパケットの記録状況を説明する説明図である。
図7中”AT01”に示すように攻撃者(アタッカー)は端末1からISP3及びISP4を介してターゲットであるサーバ2に対してDoS攻撃等を行う。
一方、パケットログ記録装置9,10及び11は接続された回線を伝播するパケットを取得して記憶手段に順次記録して行く。
例えば、図8中”LG11”、”LG12”及び”LG13”に示すようにパケットログ記録装置9,10及び11はDoS攻撃のために伝播する不正なパケットを取得して記憶手段に順次記録する。
そして、DoS攻撃等を受けたサーバ2が受信した不正なパケットと、パケットログ記録装置9,10及び11にそれぞれ記録されたパケットを比較して当該不正なパケットが伝播した経路を特定する。
例えば、図7に示すDoS攻撃等に用いられた不正なパケットはパケットログ記録装置9,10及び11に記録されているので図7中”AT01”に示すような不正なパケットの伝播経路を特定することが可能になる。
但し、監視している回線に伝播するパケットの全ての情報を順次記録するために、記憶手段には膨大な記憶容量が必要になるため、効率良くパケットの情報を保持する方法が考案されている。
図9はこのようなパケットログ記録装置の具体例を示す構成ブロック図であり、12はCPU(Central Processing Unit)等の演算制御手段、13はRAM(Random Access Memory)等の記憶手段である。
観測点である回線からの入力は演算制御手段12に接続され、演算制御手段12の出力は記憶手段13に接続される。
ここで、図9に示すパケットログ記録装置の動作を図10を用いて説明する。図10は取得したパケットの記録方法を説明する説明図である。
図9中”LG21”に示すように観測点である回線から入力されたパケットは演算制御手段12に取り込まれ、IP(Internet Protocol)パケットの中で伝播中に不変である部分等を抽出する。
そして、演算制御手段12は抽出された情報をハッシュ関数を用いてハッシュ値に変換し、このハッシュ値を記憶手段13のアドレスとみなして、該当するアドレスにビットを立てる等してある特定のパケットが伝播したことを記録する。
ここで、ハッシュ関数とは、原文から固定長の疑似乱数(ハッシュ値)を生成する関数であって、このハッシュ関数は不可逆な一方向関数を含むために生成されたハッシュ値から元の原文を再現することはできない。また、同じハッシュ値となる異なるデータを作成することは極めて困難である。
例えば、演算制御手段12が、図10中”PI31”に示すような取得したパケットから抽出された伝播中に不変である部分にハッシュ関数を適用して、図10中”HV31”に示すようなハッシュ値(例えば、XXXXH:16ビットの16進数表現)を得られた場合を想定する。
この場合、演算制御手段12は得られたハッシュ値(XXXXH)を記憶手段13のアドレスとみなして、”XXXXH”のアドレスに図10中”WD31”に示すようにデータを書き込む。
例えば、データの書込み方法としては”00000000B(8ビットデータ)”から”00000001B”等(ビットを立てる)に変更することによってある特定のパケットが伝播したことを記録する。
そして、DoS攻撃等を受けたサーバが受信した不正なパケットに前記ハッシュ関数を適用して得られたハッシュ値に対応する記憶手段13のアドレスにビットが立っていれば不正なパケットがパケットログ記録装置が接続された回線を伝播したことになる。
この結果、図10に示すパケットログ記録装置ではパケットの情報を全て記憶手段に記録するのではなく、パケットの一部分にハッシュ関数を適用して得られたハッシュ値に対応する記憶手段のアドレスに記録する(ビットを立てる)ことにより、記憶手段の記憶容量は小さくて良く、効率良くパケットの情報を保持することが可能である。
そして、このように不正なパケットの伝播経路を特定した場合、DoS攻撃等を受けたサーバ2の表示画面上には、どのパケットログ記録装置のどの接続口を伝播したかといった具体的な情報がグラフィック表示等で表示される。
例えば、図11はパケットログ記録装置の具体的な外観を示す斜視図であり、図11において14はネットワーク上の観測点に設置されるパケットログ記録装置である。
そして、例えば、パケットログ記録装置14には図11中”PO41”、”PO42”、”PO43”、”PO44”及び”PO45”と言った、5つのネットワークケーブルの接続口を有しており、DoS攻撃等を受けたサーバ2の表示画面上には不正なパケットが伝播した接続口を特定する情報がグラフィック表示等で表示されることになる。
しかし、DoS攻撃等を受けたサーバ2の表示画面上にどのパケットログ記録装置のどの接続口を伝播したかといった具体的な情報をグラフィック表示等で表示させるためには、サーバ2において別途操作が必要なったり、或いは、サーバ2で特別のアプリケーションを起動させなければならない場合があり、操作等が煩雑になってしまうと言った問題点があった。
また、このような操作等によってサーバ2の表示画面上に表示された情報と、実際のパケットログ監視装置との対応や、どの接続口に相当するのかが直感的に把握しにくい言った問題点もあった。
さらに、不正なパケットが伝播したパケットログ監視装置とサーバ2とが離れて設置されている場合には、サーバ2の表示画面上に表示された情報をメモ等に書き写した上で当該パケットログ記録装置が設置された場所に赴かなければならないと言った問題点があった。
従って本発明が解決しようとする課題は、不正なパケットがどの接続口を通過したかを容易に把握することが可能なパケットログ記録装置を実現することにある。
従って本発明が解決しようとする課題は、不正なパケットがどの接続口を通過したかを容易に把握することが可能なパケットログ記録装置を実現することにある。
このような課題を達成するために、本発明のうち請求項1記載の発明は、
ネットワークを伝播するパケットを記録するパケットログ記録装置において
ネットワークケーブルの各接続口に各々対応して設けられた複数の表示器から構成される表示手段と、記憶手段と、受信したパケットが伝播したことを前記記憶手段に記録すると共に前記パケットを受信した接続口の情報を記録し、問い合わせのあった不正なパケットが前記記憶手段に記録されている場合には、該当する前記表示器に前記不正なパケットを受信した接続口であることを示す表示をさせる演算制御手段とを備えたことにより、不正なパケットがどの接続口を通過したかを容易に把握することが可能になる。
ネットワークを伝播するパケットを記録するパケットログ記録装置において
ネットワークケーブルの各接続口に各々対応して設けられた複数の表示器から構成される表示手段と、記憶手段と、受信したパケットが伝播したことを前記記憶手段に記録すると共に前記パケットを受信した接続口の情報を記録し、問い合わせのあった不正なパケットが前記記憶手段に記録されている場合には、該当する前記表示器に前記不正なパケットを受信した接続口であることを示す表示をさせる演算制御手段とを備えたことにより、不正なパケットがどの接続口を通過したかを容易に把握することが可能になる。
請求項2記載の発明は、
請求項1記載の発明であるパケットログ記録装置において、
前記演算制御手段が、
受信したパケットの中で伝播中に不変である部分を抽出してハッシュ関数を用いてハッシュ値に変換すると共に前記ハッシュ値を前記記憶手段のアドレスとみなして、該当するアドレスの特定ビットにビットを立てて前記パケットが伝播したことを記録することにより、不正なパケットがどの接続口を通過したかを容易に把握することが可能になる。
請求項1記載の発明であるパケットログ記録装置において、
前記演算制御手段が、
受信したパケットの中で伝播中に不変である部分を抽出してハッシュ関数を用いてハッシュ値に変換すると共に前記ハッシュ値を前記記憶手段のアドレスとみなして、該当するアドレスの特定ビットにビットを立てて前記パケットが伝播したことを記録することにより、不正なパケットがどの接続口を通過したかを容易に把握することが可能になる。
請求項3記載の発明は、
請求項1記載の発明であるパケットログ記録装置において、
前記演算制御手段が、
受信したパケットの中で伝播中に不変である部分を抽出してハッシュ関数を用いてハッシュ値に変換すると共に前記ハッシュ値を前記記憶手段のアドレスとみなして、該当するアドレスの特定ビットにビットを立てて前記パケットを受信した前記接続口を記録することにより、不正なパケットがどの接続口を通過したかを容易に把握することが可能になる。
請求項1記載の発明であるパケットログ記録装置において、
前記演算制御手段が、
受信したパケットの中で伝播中に不変である部分を抽出してハッシュ関数を用いてハッシュ値に変換すると共に前記ハッシュ値を前記記憶手段のアドレスとみなして、該当するアドレスの特定ビットにビットを立てて前記パケットを受信した前記接続口を記録することにより、不正なパケットがどの接続口を通過したかを容易に把握することが可能になる。
請求項4記載の発明は、
請求項1記載の発明であるパケットログ記録装置において、
前記演算制御手段が、
受信したパケットのそのものを前記記憶手段に記録して前記パケットが伝播したことを記録することにより、不正なパケットがどの接続口を通過したかを容易に把握することが可能になる。
請求項1記載の発明であるパケットログ記録装置において、
前記演算制御手段が、
受信したパケットのそのものを前記記憶手段に記録して前記パケットが伝播したことを記録することにより、不正なパケットがどの接続口を通過したかを容易に把握することが可能になる。
請求項5記載の発明は、
請求項1記載の発明であるパケットログ記録装置において、
前記演算制御手段が、
前記パケットを受信した前記接続口の情報を前記記憶手段に記録して前記パケットを受信した前記接続口を記録することにより、不正なパケットがどの接続口を通過したかを容易に把握することが可能になる。
請求項1記載の発明であるパケットログ記録装置において、
前記演算制御手段が、
前記パケットを受信した前記接続口の情報を前記記憶手段に記録して前記パケットを受信した前記接続口を記録することにより、不正なパケットがどの接続口を通過したかを容易に把握することが可能になる。
請求項6記載の発明は、
請求項1乃至請求項5のいずれかに記載の発明であるパケットログ記録装置において、
前記演算制御手段が、
前記表示器を点灯、若しくは、点滅させて前記不正なパケットを受信した接続口であることを示すことにより、不正なパケットがどの接続口を通過したかを容易に把握することが可能になる。
請求項1乃至請求項5のいずれかに記載の発明であるパケットログ記録装置において、
前記演算制御手段が、
前記表示器を点灯、若しくは、点滅させて前記不正なパケットを受信した接続口であることを示すことにより、不正なパケットがどの接続口を通過したかを容易に把握することが可能になる。
請求項7記載の発明は、
請求項1乃至請求項5のいずれかに記載の発明であるパケットログ記録装置において、
前記演算制御手段が、
不正なパケットのタイプを予め分類しておき、タイプ毎に表示器の表示の可否を設定できるようにすることにより、不正なパケットがどの接続口を通過したかを容易に把握することが可能になる。
請求項1乃至請求項5のいずれかに記載の発明であるパケットログ記録装置において、
前記演算制御手段が、
不正なパケットのタイプを予め分類しておき、タイプ毎に表示器の表示の可否を設定できるようにすることにより、不正なパケットがどの接続口を通過したかを容易に把握することが可能になる。
請求項8記載の発明は、
請求項1乃至請求項5のいずれかに記載の発明であるパケットログ記録装置において、
前記ネットワークケーブルの接続口の1つ1つに複数個の表示器を備え、
前記演算制御手段が、
問い合わせのあった不正なパケットのタイプに応じて表示器を選択して表示させることにより、不正なパケットがどの接続口を通過したかを容易に把握することが可能になる。
請求項1乃至請求項5のいずれかに記載の発明であるパケットログ記録装置において、
前記ネットワークケーブルの接続口の1つ1つに複数個の表示器を備え、
前記演算制御手段が、
問い合わせのあった不正なパケットのタイプに応じて表示器を選択して表示させることにより、不正なパケットがどの接続口を通過したかを容易に把握することが可能になる。
請求項9記載の発明は、
請求項1乃至請求項5のいずれかに記載の発明であるパケットログ記録装置において、
前記演算制御手段が、
予め設定された閾値を超過した時点で前記表示器を表示させることにより、不正なパケットがどの接続口を通過したかを容易に把握することが可能になる。
請求項1乃至請求項5のいずれかに記載の発明であるパケットログ記録装置において、
前記演算制御手段が、
予め設定された閾値を超過した時点で前記表示器を表示させることにより、不正なパケットがどの接続口を通過したかを容易に把握することが可能になる。
請求項10記載の発明は、
請求項1乃至請求項5のいずれかに記載の発明であるパケットログ記録装置において、
前記演算制御手段が、
前記表示器の表示色で不正なパケットのタイプを表し、前記表示器の点滅速度の緩急でパケットレートを表現することにより、不正なパケットがどの接続口を通過したかを容易に把握することが可能になる。
請求項1乃至請求項5のいずれかに記載の発明であるパケットログ記録装置において、
前記演算制御手段が、
前記表示器の表示色で不正なパケットのタイプを表し、前記表示器の点滅速度の緩急でパケットレートを表現することにより、不正なパケットがどの接続口を通過したかを容易に把握することが可能になる。
本発明によれば次のような効果がある。
請求項1,2,3,4,5,6,7,8,9及び請求項10の発明によれば、ある特定のパケットが伝播したことを記録すると共に当該パケットを受信したネットワークケーブルの接続口の情報を記録し、IDS等から問い合わせのあった不正なパケットが記録されている場合には、不正なパケットを受信したネットワークケーブルの接続口に対応するLED(表示器)を点灯させることにより、不正なパケットがどの接続口を通過したかを容易に把握することが可能になる。
請求項1,2,3,4,5,6,7,8,9及び請求項10の発明によれば、ある特定のパケットが伝播したことを記録すると共に当該パケットを受信したネットワークケーブルの接続口の情報を記録し、IDS等から問い合わせのあった不正なパケットが記録されている場合には、不正なパケットを受信したネットワークケーブルの接続口に対応するLED(表示器)を点灯させることにより、不正なパケットがどの接続口を通過したかを容易に把握することが可能になる。
以下本発明を図面を用いて詳細に説明する。図1は本発明に係るパケットログ記録装置の一実施例を示す構成ブロック図である。図1において15はCPU等の演算制御手段、16はRAM等の記憶手段、17は複数のLED(Light Emitting Diode)等の表示器から構成される表示手段である。
観測点である回線からの入力は演算制御手段15に接続され、演算制御手段15の入出力は記憶手段16に接続される。また、演算制御手段15の制御出力は表示手段17に接続される。
また、図2はパケットログ記録装置の具体的な外観を示す斜視図であり、図2において18はネットワーク上の観測点に設置されるパケットログ記録装置であり、図2中”PO61”、”PO62”、”PO63”、”PO64”及び”PO65”は5つのネットワークケーブルの接続口、図2中”LE61”、”LE62”、”LE63”、”LE64”及び”LE65”は前述の5つのネットワークケーブルの接続口にそれぞれ対応(具体的には、接続口の上側に隣接して設置)した表示器であるLEDである。
ここで、図1に示す実施例の動作を図3、図4及び図5を用いて説明する。図3及び図5は演算制御手段15の動作を説明するフロー図、図4は取得したパケット及び受信接続口の記録方法を説明する説明図である。
先ず第1に、パケットログ記録装置18は、定常のログ記録動作として以下に示すように動作する。
すなわち、図3中”S001”において演算制御手段15は、図1中”LG51”に示すように観測点である回線からパケットが取り込まれた(受信した)か否かを判断する。もし、図3中”S001”においてパケットを受信しなかったと判断した場合には図3中”S001”のステップに戻る。
もし、図3中”S001”においてパケットを受信したと判断した場合には、図3中”S002”において演算制御手段15は、受信したパケットの中で伝播中に不変である部分等を抽出し、ハッシュ関数を用いてハッシュ値に変換すると共に、図3中”S003”において演算制御手段15は、このハッシュ値を記憶手段16のアドレスとみなして、該当するアドレスの特定ビットにビットを立ててある特定のパケットが伝播したことを記録する。
例えば、記憶手段16が受信したパケットから抽出された伝播中に不変である部分にハッシュ関数を適用して、ハッシュ値(例えば、XXXXH:16ビットの16進数表現)を得られた場合を想定する。
この場合、演算制御手段15は、得られたハッシュ値(XXXXH)を記憶手段16のアドレスとみなして、”XXXXH”のアドレスの図4中”PK71”に示すビットを”0”から”1”する。
また、図3中”S004”において演算制御手段15は、パケットを受信したネットワークケーブルの接続口の情報を記憶手段16に記録すると共に図3中”S001”のステップに戻る。
例えば、演算制御手段15は、得られたハッシュ値(XXXXH)を記憶手段16のアドレスとみなして、”XXXXH”のアドレスの図4中”PT71”、”PT72”、”PT73”、”PT74”及び”PT75”に示すようなネットワークケーブルの接続口に対応付けたビットを”0”から”1”にする。
図4においては、図2中”PO61”、”PO62”,”PO63”,”PO64”及び”PO65”の5つのネットワークケーブルの接続口を、記憶手段16の”XXXXH”のアドレスの図4中”PT71”、”PT72”、”PT73”、”PT74”及び”PT75”に示すビットにそれぞれ対応させている場合を想定している。
このため、図4中”PT71”及び”PT73”にビットが立っているので、ハッシュ値(XXXXH)に対応するパケットは、図2中”PO61”及び”PO63”に示す接続口から受信されたことが分かる。
一方、不正なパケットの検索動作として以下に示すように動作する。すなわち、図5中”S101”において演算制御手段15は、従来例のようにDoS攻撃等を受けたサーバやIDS(Intrusion Detection System:進入検知システム)等からの不正なパケットの検索の依頼があったか否かを判断し、もし、不正なパケットの検索の依頼がなかったと判断した場合には、図5中”S101”のステップに戻る。
もし、図5中”S101”において不正なパケットの検索の依頼があったと判断した場合には、図5中”S102”において演算制御手段15は、問い合わせのあったパケットの検索を行うと共に図5中”S103”において不正なパケットの記録があった否かを判断し、もし、問い合わせのあった不正なパケットが記録されていないと判断した場合には図5中”S101”のステップに戻る。
具体的には、問い合わせのあった不正なパケットにハッシュ関数を適用して得られたハッシュ値に対応する記憶手段16のアドレスにビットが立っていれば、例えば、図4中”PK71”に示す部分にビットが立っていれば、問い合わせのあった不正なパケットがパケットログ記録装置に記録されていることが分かる。
もし、図5中”S103”において問い合わせのあった不正なパケットが記録されていると判断した場合には、図5中”S104”において演算制御手段15は、問い合わせのあった不正なパケットにハッシュ関数を適用して得られたハッシュ値に対応する記憶手段16のアドレスのうちネットワークケーブルの接続口の情報が記録され部分を検索して不正なパケットを受信したネットワークケーブルの接続口に対応するLEDを点灯させる。
具体的には、問い合わせのあった不正なパケットにハッシュ関数を適用して得られたハッシュ値に対応する記憶手段16のアドレスのうち、例えば、図4中”PT71”〜”PT75”に示す部分を検索して、ビットが立っている部分のネットワークケーブルの接続口に対応するLED(表示器)を点灯させる。
すなわち、図4に示すようにパケット情報等が記録されている場合を想定すると、問い合わせのあった不正なパケットにハッシュ関数を適用して得られたハッシュ値に対応する記憶手段16のアドレスのうち図4中”PT71”及び”PT73”に示す部分にビットが立っているので、図2中”LE61”及び”LE63”に示すLED(表示器)を点灯させる。
この結果、ある特定のパケットが伝播したことを記録すると共に当該パケットを受信したネットワークケーブルの接続口の情報を記録し、IDS等から問い合わせのあった不正なパケットが記録されている場合には、不正なパケットを受信したネットワークケーブルの接続口に対応するLED(表示器)を点灯させることにより、不正なパケットがどの接続口を通過したかを容易に把握することが可能になる。
なお、図1に示す実施例では、受信したパケットの中で伝播中に不変である部分等を抽出し、ハッシュ関数を用いてハッシュ値に変換すると共に当該ハッシュ値を記憶手段16のアドレスとみなして、該当するアドレスの特定ビットにビットを立ててある特定のパケットが伝播したことを記録しているが、勿論、パケットそのものを記憶手段に記録する手法を用いても構わない。
同様に、当該ハッシュ値を記憶手段16のアドレスとみなして、該当するアドレスのネットワークケーブルの接続口に対応付けたビットにビットを立ててパケットを受信したネットワークケーブルの接続口の情報を記録しているが、パケットを受信したネットワークケーブルの接続口の情報をそのまま、具体的には、”PO61”等と言った接続口の情報そのものを記憶手段に記録しても構わない。
また、図1に示す実施例では、不正なパケットを受信したネットワークケーブルの接続口に対応するLED(表示器)を点灯させているが、勿論、LED(表示器)を点滅等、前記不正なパケットを受信した接続口であることを示す表示をさせるものであれば構わない。
また、問い合わせのあった全てのパケット受信したネットワークケーブルの接続口に対応するLED(表示器)を点灯等させた場合、状況によってはほとんど全てのLED(表示器)が点灯等して不要の混乱を招く恐れがあるので、下記のように対応しても構わない。
すなわち、不正なパケットのタイプを予め分類しておき、タイプ毎にLED(表示器)の点灯等の表示の可否を設定できるようにする。具体的には、IDS等から問い合わせのあった不正なパケットのタイプを判別し、LED(表示器)の表示が”可”であるパケットのみLEDを点灯等させる。
ちなみに、問い合わせのあった不正なパケットのタイプを判別方法としては、IDS等からタイプの情報を取得したり、パケットログ記録装置自身が問い合わせのあった不正なパケットを解析してタイプを判別してもいずれの方法であっても構わない。
また、1つのネットワークケーブルの接続口に複数個のLED(表示器)を対応させ、IDS等から問い合わせのあった不正なパケットのタイプに応じて表示させるLED(表示器)を選択しても構わない。
また、ただ単純に問い合わせのあったパケット受信したネットワークケーブルの接続口に対応するLED(表示器)を表示させるのではなく、予め設定された閾値(パケットレートや総パケット数等)を超過した時点でLED(表示器)を表示させても構わない。
また、1つのネットワークケーブルの接続口に複数個のLED(表示器)を対応させ、表示色でタイプを表し、LED(表示器)の点滅速度の緩急でパケットレートを表現しても構わない。
また、パケットログ記録装置に、不正なパケットのタイプや閾値パケットレートや総パケット数等)によって当該不正なパケットを自動的に遮断する機能を設けても構わない。さらに、このような自動遮断をしたネットワークケーブルの接続口を対応するLEDを点灯等させることにより明示しても構わない。
また、表示手段17を構成する複数の表示器としてはLEDを例示しているが、勿論、表示手段としてはLEDに何ら限定されるものではなく、LCD(Liquid Crystal Display),ELディスプレイ(ElectroLuminescent Display)等と言った、LEDと代替可能な表示器であればいずれであっても構わない。
1 端末
2 サーバ
3,4 ISP
5,6,7,8 ルータ
9,10,11,14,18 パケットログ記録装置
12,15 演算制御手段
13,16 記憶手段
17 表示手段
2 サーバ
3,4 ISP
5,6,7,8 ルータ
9,10,11,14,18 パケットログ記録装置
12,15 演算制御手段
13,16 記憶手段
17 表示手段
Claims (10)
- ネットワークを伝播するパケットを記録するパケットログ記録装置において、
ネットワークケーブルの各接続口に各々対応して設けられた複数の表示器から構成される表示手段と、
記憶手段と、
受信したパケットが伝播したことを前記記憶手段に記録すると共に前記パケットを受信した接続口の情報を記録し、問い合わせのあった不正なパケットが前記記憶手段に記録されている場合には、該当する前記表示器に前記不正なパケットを受信した接続口であることを示す表示をさせる演算制御手段と
を備えたことを特徴とするパケットログ記録装置。 - 前記演算制御手段が、
受信したパケットの中で伝播中に不変である部分を抽出してハッシュ関数を用いてハッシュ値に変換すると共に前記ハッシュ値を前記記憶手段のアドレスとみなして、該当するアドレスの特定ビットにビットを立てて前記パケットが伝播したことを記録することを特徴とする
請求項1記載のパケットログ記録装置。 - 前記演算制御手段が、
受信したパケットの中で伝播中に不変である部分を抽出してハッシュ関数を用いてハッシュ値に変換すると共に前記ハッシュ値を前記記憶手段のアドレスとみなして、該当するアドレスの特定ビットにビットを立てて前記パケットを受信した前記接続口を記録することを特徴とする
請求項1記載のパケットログ記録装置。 - 前記演算制御手段が、
受信したパケットのそのものを前記記憶手段に記録して前記パケットが伝播したことを記録することを特徴とする
請求項1記載のパケットログ記録装置。 - 前記演算制御手段が、
前記パケットを受信した前記接続口の情報を前記記憶手段に記録して前記パケットを受信した前記接続口を記録することを特徴とする
請求項1記載のパケットログ記録装置。 - 前記演算制御手段が、
前記表示器を点灯、若しくは、点滅させて前記不正なパケットを受信した接続口であることを示すことを特徴とする
請求項1乃至請求項5のいずれかに記載のパケットログ記録装置。 - 前記演算制御手段が、
不正なパケットのタイプを予め分類しておき、タイプ毎に表示器の表示の可否を設定できるようにすることを特徴とする
請求項1乃至請求項5のいずれかに記載のパケットログ記録装置。 - 前記ネットワークケーブルの接続口の1つ1つに複数個の表示器を備え、
前記演算制御手段が、
問い合わせのあった不正なパケットのタイプに応じて表示器を選択して表示させることを特徴とする
請求項1乃至請求項5のいずれかに記載のパケットログ記録装置。 - 前記演算制御手段が、
予め設定された閾値を超過した時点で前記表示器を表示させることを特徴とする
請求項1乃至請求項5のいずれかに記載のパケットログ記録装置。 - 前記演算制御手段が、
前記表示器の表示色で不正なパケットのタイプを表し、前記表示器の点滅速度の緩急でパケットレートを表現することを特徴とする
請求項1乃至請求項5のいずれかに記載のパケットログ記録装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003401129A JP2005167450A (ja) | 2003-12-01 | 2003-12-01 | パケットログ記録装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003401129A JP2005167450A (ja) | 2003-12-01 | 2003-12-01 | パケットログ記録装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2005167450A true JP2005167450A (ja) | 2005-06-23 |
Family
ID=34725148
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003401129A Pending JP2005167450A (ja) | 2003-12-01 | 2003-12-01 | パケットログ記録装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2005167450A (ja) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11341035A (ja) * | 1998-05-26 | 1999-12-10 | Nec Corp | 集線装置 |
| JP2002063084A (ja) * | 2000-08-21 | 2002-02-28 | Toshiba Corp | パケット転送装置、パケット転送方法、及びそのプログラムが格納された記憶媒体 |
| WO2002089426A1 (fr) * | 2001-04-27 | 2002-11-07 | Ntt Data Corporation | Systeme d'analyse de paquets |
| JP2003298648A (ja) * | 2002-03-29 | 2003-10-17 | Yokogawa Electric Corp | パケットログ記録装置 |
-
2003
- 2003-12-01 JP JP2003401129A patent/JP2005167450A/ja active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11341035A (ja) * | 1998-05-26 | 1999-12-10 | Nec Corp | 集線装置 |
| JP2002063084A (ja) * | 2000-08-21 | 2002-02-28 | Toshiba Corp | パケット転送装置、パケット転送方法、及びそのプログラムが格納された記憶媒体 |
| WO2002089426A1 (fr) * | 2001-04-27 | 2002-11-07 | Ntt Data Corporation | Systeme d'analyse de paquets |
| JP2003298648A (ja) * | 2002-03-29 | 2003-10-17 | Yokogawa Electric Corp | パケットログ記録装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7703138B2 (en) | Use of application signature to identify trusted traffic | |
| JP5050781B2 (ja) | マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法 | |
| US20150358276A1 (en) | Method, apparatus and system for resolving domain names in network | |
| US20230216788A1 (en) | Systems and methods for securing network paths | |
| ES2801923T3 (es) | Dispositivo y procedimiento para el control de una red de comunicación | |
| TWI677209B (zh) | 網名過濾方法 | |
| EP3948615A1 (en) | Applying attestation to segment routing | |
| JP2008507222A5 (ja) | ||
| US6363071B1 (en) | Hardware address adaptation | |
| CN106790010A (zh) | 基于Android系统的ARP攻击检测方法、装置及系统 | |
| US20080134283A1 (en) | Security apparatus and method for supporting IPv4 and IPv6 | |
| JP2005167450A (ja) | パケットログ記録装置 | |
| WO2019218740A1 (zh) | 报文优先级的确定、发送方法及装置、路由系统 | |
| TW202027460A (zh) | 網路節點的移動防護方法及網路防護伺服器 | |
| CN115664833A (zh) | 基于局域网安全设备的网络劫持检测方法 | |
| US20050289245A1 (en) | Restricting virus access to a network | |
| JP2009081736A (ja) | パケット転送装置及びパケット転送プログラム | |
| JP4687978B2 (ja) | パケット解析システム | |
| CN114374637A (zh) | 一种路由处理方法及装置 | |
| JP3750803B2 (ja) | パケットログ記録装置 | |
| JP5441250B2 (ja) | ファイアウォールに対するポリシ情報表示方法、管理装置及びプログラム | |
| JPWO2016092836A1 (ja) | 通信監視システム、提示装置及びその提示方法、解析装置、並びにコンピュータ・プログラムが格納された記録媒体 | |
| JP4333341B2 (ja) | 通過パケット表示システム | |
| JP2019033320A (ja) | 攻撃対処システム及び攻撃対処方法 | |
| CN108200076B (zh) | Host头域伪造攻击的防护方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060602 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080417 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080422 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080613 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20080918 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081008 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20081121 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20081212 |