JP2005204027A - パケット転送装置、パケット転送方法、プログラムおよび記録媒体 - Google Patents

パケット転送装置、パケット転送方法、プログラムおよび記録媒体 Download PDF

Info

Publication number
JP2005204027A
JP2005204027A JP2004007859A JP2004007859A JP2005204027A JP 2005204027 A JP2005204027 A JP 2005204027A JP 2004007859 A JP2004007859 A JP 2004007859A JP 2004007859 A JP2004007859 A JP 2004007859A JP 2005204027 A JP2005204027 A JP 2005204027A
Authority
JP
Japan
Prior art keywords
packet
terminal device
transfer
error message
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004007859A
Other languages
English (en)
Inventor
Kazuo Kitamura
和夫 北村
Akiyuki Soba
昭之 曽場
Tatsuki Matsuda
達樹 松田
Kouho Nishida
享邦 西田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2004007859A priority Critical patent/JP2005204027A/ja
Publication of JP2005204027A publication Critical patent/JP2005204027A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract


【課題】 端末装置のIPアドレスを予め登録しなくても、不特定対地および不特定アプリケーションに対するアクセスを動的に規制することができるパケット転送装置、パケット転送方法、プログラムおよび記録媒体を提供するものである。

【解決手段】 第1の端末装置が送信したパケットを、第2の端末装置に転送するパケット転送装置において、所定のパケットと異なるパケットを、第1の端末装置が受信したときに、第1の端末装置が送信したエラーメッセージを含むパケットを検出するエラーメッセージ検出手段と、上記エラーメッセージを含むパケットの転送先である第2の端末装置のアドレス情報を取得するアドレス取得手段と、上記アドレス取得手段が取得した上記アドレス情報に基づいて上記第2の端末装置が上記第1の端末装置に転送するパケットを転送規制するように設定する転送規制設定手段とを有するパケット転送装置である。

【選択図】 図1

Description

本発明は、たとえば、不特定対地および不特定アプリケーションに対して、アクセスを規制するパケット転送装置、パケット転送方法、プログラムおよび記録媒体に関する。
従来のパケット転送装置、たとえばルータ装置は、セキュリティ確保の観点から、アクセス規制を行い、つまり、予め指定されたIPアドレスを有する端末装置から受信したIPパケットのみを通すようにしている(たとえば、特許文献1参照)。
上記従来のルータ装置は、IP網内の認証サーバから、配下のユーザ端末に割り振られたIPアドレスを登録し、保持する手段を有し、また、配下のユーザ端末からのパケットの送信元IPアドレスを監視し、登録されているIPアドレスと異なれば、そのパケットを廃棄するか、または、送信元偽りがあったことを保守者に通知し、ユーザ端末に割り振られたIPアドレスを登録し、保持することによって、登録されたユーザ端末からのIPパケットを破棄する。
特開2003−244246号公報(第3−4頁、第2図)
しかし、上記従来のパケット転送装置では、ユーザ端末に割り振られたIPアドレスを予め登録する必要があるので、不特定対地および不特定アプリケーションに対するアクセスを規制することができないという問題がある。
本発明は、端末装置のIPアドレスを予め登録しなくても、不特定対地および不特定アプリケーションに対するアクセスを動的に規制することができるパケット転送装置、パケット転送方法、プログラムおよび記録媒体を提供するものである。
本発明は、第1の端末装置が送信したパケットを、第2の端末装置に転送するパケット転送装置において、所定のパケットと異なるパケットを、第1の端末装置が受信したときに、第1の端末装置が送信したエラーメッセージを含むパケットを検出するエラーメッセージ検出手段と、上記エラーメッセージを含むパケットの転送先である第2の端末装置のアドレス情報を取得するアドレス取得手段と、上記アドレス取得手段が取得した上記アドレス情報に基づいて上記第2の端末装置が上記第1の端末装置に転送するパケットを転送規制するように設定する転送規制設定手段とを有するパケット転送装置である。
本発明は、第1の端末装置が送信したエラーメッセージを含むパケットが転送されるべき第2の端末装置のアドレス情報に基づいて、第2の端末装置から第1の端末装置に転送するパケットを転送規制するので、不特定対地および不特定アプリケーションに対するアクセスを動的に規制することができるという効果を有するパケット転送装置を提供することができるものである。
発明を実施するための最良の形態は、以下の実施例である。
図1は、本発明の実施例1であるルータ装置10を示すブロック図である。
ルータ装置10は、パケット転送装置の一例であり、第1ホストコンピュータ20と、ドメインネームシステム(DNS Domain Name System)サーバ30と、第2ホストコンピュータ40とに接続され、不特定なノードであると仮定した第2ホストコンピュータ40からのIP(Internet Protocol)パケットとを、第1ホストコンピュータ20に転送規制する。
ルータ装置10は、パケット転送手段11と、転送規制設定手段12と、エラーメッセージ検出手段13と、アドレス取得手段14とを有する。
パケット転送手段11は、第1ホストコンピュータ20とドメインネームシステムサーバ30と第2ホストコンピュータ40との間で、IPパケットを転送する手段であり、受信したIPパケットを、IPパケットに含まれている宛先アドレスの端末装置に転送する手段である。
転送規制設定手段12は、アドレス取得手段14が取得したアドレス情報に基づいて、IPパケットの転送規制を設定する手段である。つまり、転送規制設定手段12は、第1ホストコンピュータ20に転送すべきIPパケットの転送規制を動的に設定する。なお、初期状態では、第1ホストコンピュータ20に対する第2ホストコンピュータ40の転送規制がされていないとし、第2ホストコンピュータ40からのIPパケットは、第1ホストコンピュータ20に、無条件に転送されるものとする。
エラーメッセージ検出手段13は、第1ホストコンピュータ20が送信したエラーメッセージを検出する手段である。つまり、エラーメッセージ検出手段13は、待受け中のIPパケットとは異なるIPパケットを、第1ホストコンピュータ20が受信した際に、第1ホストコンピュータ20が送信したエラーメッセージを検出する。上記エラーメッセージは、たとえばICMP(Internet Control Message Protocol)によって、第1ホストコンピュータ20がIPパケットの発信元アドレス(ソースアドレス)に伝達するものである。このICMPは、ネットワークに障害があることによって正常な通信が実行できない場合に、エラーを報告するプロトコルである。具体的には、ICMPは、宛先到着不能(Destination Unreachable)、最適経路への変更要求(Redirect)等のエラーを報告するプロトコルである。
アドレス取得手段14は、エラーメッセージを含むIPパケットの宛先アドレス情報を取得する手段である。つまり、アドレス取得手段14は、第1ホストコンピュータ20が送信したエラーメッセージを含むIPパケットの宛先アドレス情報を取得し、この取得された宛先アドレス情報の端末装置からのIPパケット転送を阻止するように、転送規制設定手段12に制御信号を出力する手段である。
なお、パケット転送手段11、転送規制設定手段12、エラーメッセージ検出手段13、アドレス取得手段14は、CPU、メモリ等によって構成され、所定のプログラムによって動作する。
ドメインネームシステムサーバ30は、第1ホストコンピュータ20が、ドメインネーム情報に対応するIPアドレス情報を問合せたときに、ドメインネームシステム正引きによってIPアドレスを解決し(検索し)、IPアドレス情報を含むIPパケットを、第1ホストコンピュータ20に送信する。
また、ドメインネームシステムサーバ30は、第1ホストコンピュータ20から、アドレス情報に対応するFQDN(Fully Qualified Domain Name:完全修飾ドメインネーム)情報の問い合わせがあったときに、ドメインネームシステム逆引きによってFQDNを解決し(検索し)、FQDN情報を含むIPパケットを、第1ホストコンピュータ20に送信する。
次に、ルータ装置10の動作について説明する。
図2は、ルータ装置10の動作を示すタイムチャートである。
なお、図2に示すタイムチャートにおいて、第1ホストコンピュータ20に対するIPパケットの転送規制が、第2ホストコンピュータ40にはされていないとする。
まず、第2ホストコンピュータ40が、IPパケットを、ルータ装置10に送信し(S11)、ルータ装置10のパケット転送手段11が、受信したIPパケットを、第1ホストコンピュータ20に転送する(S12)。
そして、第1ホストコンピュータ20が、たとえばICMPによる宛先到着不能のエラーメッセージを、IPパケットの送信元の第2ホストコンピュータ40を宛先として、パケット転送手段11に送信する(S13)。
引き続き、ルータ装置10のエラーメッセージ検出手段13が、ICMPによる宛先到着不能のエラーメッセージを検出し、アドレス取得手段14に基づいて、エラーメッセージを含むIPパケットの宛先アドレスに対する転送規制の制御信号を、転送規制設定手段12に送信する(S14)。
さらに、ルータ装置10のパケット転送手段11が、エラーメッセージを含むIPパケットを、第2ホストコンピュータ40に転送し(S15)、第2ホストコンピュータ40から第1ホストコンピュータ20に送信されるIPパケット(S16)について、ルータ装置10のパケット転送手段11が、IPパケットのソースアドレスを検証する(S17)。ステップS14において、第2ホストコンピュータ40のIPアドレスは、転送規制されるように設定されているので、第2ホストコンピュータ40からのIPパケットを破棄する(S19)。一方、転送規制されていないIPアドレスの端末装置からのIPパケットを、パケット転送手段11が受信した場合、パケット転送手段11が、第1ホストコンピュータ20に転送する(S18)。
上記のように、ルータ装置10によれば、転送規制設定手段12は、第1ホストコンピュータ20が送信したエラーメッセージを含むパケットの転送先である第2ホストコンピュータ40のアドレス情報に基づいて、第2ホストコンピュータ40から第1ホストコンピュータ20に転送するパケットの転送を規制するので、第2ホストコンピュータ40のIPアドレスを予め登録しなくても、第2ホストコンピュータ40のアクセスを動的に規制することができる。
なお、上記説明では、パケット転送装置をルータ装置に適用した例について説明したが、ゲートウェイ装置等、パケット転送装置についても、上記と同様に実施可能である。
また、不特定対地として第2ホストコンピュータ40を例に挙げたが、その他のノードからのIPパケットを転送規制する場合についても、上記と同様に実施可能である。
さらに、エラーメッセージ検出手段13が、IPパケットに含まれるアプリケーションの情報を参照して、転送規制設定手段12が出所不詳の不特定アプリケーションを含むIPパケットの転送を規制するように構成するようにしてもよい。
つまり、上記実施例において、第1の端末装置が送信したエラーメッセージを含むパケットが転送される第2の端末装置のアドレス情報に基づいて第2の端末装置から第1の端末装置に転送するパケットの転送規制を、転送規制設定手段が設定するので、第2の端末装置のIPアドレスを予め登録しなくても、不特定対地および不特定アプリケーションに対するアクセスを動的に規制することができる。
また、上記実施例において、所定の通信プロトコルに基づき、上記エラーメッセージを含むパケットから上記第2の端末装置のアドレス情報を、上記アドレス取得手段が取得するので、アドレス取得手段は、ICMP(Internet Control Message Protocol)等に基づくエラーメッセージを含むパケットから第2の端末装置のアドレス情報を取得することができる。
また、上記実施例をプログラムの発明として把握することができる。つまり、上記実施例は、第1の端末装置が送信したパケットを、第2の端末装置に転送するパケット転送装置を制御する制御プログラムにおいて、所定のパケットと異なるパケットを、第1の端末装置が受信したときに、第1の端末装置が送信したエラーメッセージを含むパケットを検出し、メモリに記憶するエラーメッセージ検出手順と、上記エラーメッセージを含むパケットの転送先である第2の端末装置のアドレス情報を取得し、メモリに記憶するアドレス取得手順と、上記アドレス取得手順で取得された上記アドレス情報を有する上記第2の端末装置が、上記第1の端末装置に転送するパケットを転送規制するように設定する転送規制設定手順とをコンピュータに実行させるプログラムの例である。
なお、上記プログラムを、CD、DVD、HD、半導体メモリ等の記録媒体に記録するようにしてもよい。
また、上記実施例は、不特定対地および不特定アプリケーションに対するアクセスを動的に規制することができるので、ルータ装置、ゲートウェイ装置等、他のパケット転送装置に適用することができる。
本発明の実施例1であるルータ装置10を示すブロック図である。 ルータ装置10の動作を示すタイムチャートである。
符号の説明
10…パケット転送装置の一例としてのルータ装置、
11…パケット転送手段、
12…転送規制設定手段、
13…エラーメッセージ検出手段、
14…アドレス取得手段、
20…第1ホストコンピュータ(第1の端末装置)、
30…ドメインネームシステムサーバ、
40…第2ホストコンピュータ(第2の端末装置)。

Claims (5)

  1. 第1の端末装置が送信したパケットを、第2の端末装置に転送するパケット転送装置において、
    所定のパケットと異なるパケットを、第1の端末装置が受信したときに、第1の端末装置が送信したエラーメッセージを含むパケットを検出するエラーメッセージ検出手段と;
    上記エラーメッセージを含むパケットの転送先である第2の端末装置のアドレス情報を取得するアドレス取得手段と;
    上記アドレス取得手段が取得した上記アドレス情報に基づいて上記第2の端末装置が上記第1の端末装置に転送するパケットを転送規制するように設定する転送規制設定手段と;
    を有することを特徴とするパケット転送装置。
  2. 請求項1において、
    上記アドレス取得手段は、所定の通信プロトコルに基づいて、上記エラーメッセージを含むパケットから、上記第2の端末装置のアドレス情報を取得する手段であることを特徴とするパケット転送装置。
  3. 第1の端末装置が送信したパケットを、第2の端末装置に転送するパケット転送装置の制御方法において、
    所定のパケットと異なるパケットを、第1の端末装置が受信したときに、第1の端末装置が送信したエラーメッセージを含むパケットを検出するエラーメッセージ検出段階と;
    上記エラーメッセージを含むパケットの転送先である第2の端末装置のアドレス情報を取得するアドレス取得段階と;
    上記アドレス取得段階で取得された上記アドレス情報に基づいて上記第2の端末装置が上記第1の端末装置に転送するパケットを転送規制するように設定する転送規制設定段階と;
    を有することを特徴とするパケット転送方法。
  4. 第1の端末装置が送信したパケットを、第2の端末装置に転送するパケット転送装置を制御する制御プログラムにおいて、
    所定のパケットと異なるパケットを、第1の端末装置が受信したときに、第1の端末装置が送信したエラーメッセージを含むパケットを検出し、メモリに記憶するエラーメッセージ検出手順と;
    上記エラーメッセージを含むパケットの転送先である第2の端末装置のアドレス情報を取得し、メモリに記憶するアドレス取得手順と;
    上記アドレス取得手順で取得された上記アドレス情報に基づいて上記第2の端末装置が上記第1の端末装置に転送するパケットを転送規制するように設定する転送規制設定手順と;
    をコンピュータに実行させるプログラム。
  5. 第1の端末装置が送信したパケットを、第2の端末装置に転送するパケット転送装置を制御する制御プログラムにおいて、
    所定のパケットと異なるパケットを、第1の端末装置が受信したときに、第1の端末装置が送信したエラーメッセージを含むパケットを検出し、メモリに記憶するエラーメッセージ検出手順と;
    上記エラーメッセージを含むパケットの転送先である第2の端末装置のアドレス情報を取得し、メモリに記憶するアドレス取得手順と;
    上記アドレス取得手順で取得された上記アドレス情報に基づいて上記第2の端末装置が上記第1の端末装置に転送するパケットを転送規制するように設定する転送規制設定手順と;
    をコンピュータに実行させるプログラムを記録したコンピュータ読み取り可能な記録媒体。
JP2004007859A 2004-01-15 2004-01-15 パケット転送装置、パケット転送方法、プログラムおよび記録媒体 Pending JP2005204027A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004007859A JP2005204027A (ja) 2004-01-15 2004-01-15 パケット転送装置、パケット転送方法、プログラムおよび記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004007859A JP2005204027A (ja) 2004-01-15 2004-01-15 パケット転送装置、パケット転送方法、プログラムおよび記録媒体

Publications (1)

Publication Number Publication Date
JP2005204027A true JP2005204027A (ja) 2005-07-28

Family

ID=34821388

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004007859A Pending JP2005204027A (ja) 2004-01-15 2004-01-15 パケット転送装置、パケット転送方法、プログラムおよび記録媒体

Country Status (1)

Country Link
JP (1) JP2005204027A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008066945A (ja) * 2006-09-06 2008-03-21 Fujitsu Ltd 攻撃検出システム及び攻撃検出方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008066945A (ja) * 2006-09-06 2008-03-21 Fujitsu Ltd 攻撃検出システム及び攻撃検出方法
JP4664257B2 (ja) * 2006-09-06 2011-04-06 富士通株式会社 攻撃検出システム及び攻撃検出方法

Similar Documents

Publication Publication Date Title
US8615604B2 (en) Information processing apparatus, information processing system and computer readable medium for maintaining communication while IP addresses change
JP5069356B2 (ja) データ伝送ネットワークにおけるアドレス解決のための技術
RU2441331C2 (ru) Соединение ячеистых сетей с множеством узлов-ретрансляторов с использованием сетевого моста подуровня управления доступом к среде передачи
US20070288613A1 (en) Providing support for responding to location protocol queries within a network node
KR100652964B1 (ko) 듀얼스택 네트워크 기기 및 그 브로드캐스트 방법
US9705844B2 (en) Address management in a connectivity platform
US8737396B2 (en) Communication method and communication system
US8582574B2 (en) Access device for preventing transmission of copyrighted content to external network and method for the same
WO2009089713A1 (fr) Procédé de transmission d'un message bfd, procédé et dispositif de détection d'une défaillance de liaison
JP2007104624A (ja) ネットワーク装置及びその管理方法
US8917629B2 (en) Method and apparatus for detecting devices on a local area network
TW201014306A (en) A network device with proxy address resolution protocol and a network system thereof, a method for enabling data communication
JP2019009596A (ja) 車載通信装置、通信制御方法および通信制御プログラム
KR100894921B1 (ko) 네트워크 이벤트를 조정하는 장치와 방법
JP2006352719A (ja) ネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法
JP5815045B2 (ja) マルチコア・プラットフォームのためのdns転送器
US20100023620A1 (en) Access controller
JP2004357016A (ja) 特定アドレス使用制限装置
JP4443482B2 (ja) インターネット印刷システム及びそれを実現するためのプログラム
JP2005204027A (ja) パケット転送装置、パケット転送方法、プログラムおよび記録媒体
JP6014068B2 (ja) 中継装置及び中継方法、並びにコンピュータ・プログラム
JP2007235594A (ja) ネットワークアクセスシステムおよびネットワークアクセス方法
US20060209833A1 (en) Communication apparatus and computer program product for communicating with other communication apparatus
Kinnear et al. DHCPv4 Bulk Leasequery
TWI324459B (en) Method for detecting network equipments on sub network domain nodes

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060405

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20071206

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20071214

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20080404