JP2005210518A - Originating source tracking information providing device, and originating source tracking device - Google Patents
Originating source tracking information providing device, and originating source tracking device Download PDFInfo
- Publication number
- JP2005210518A JP2005210518A JP2004016151A JP2004016151A JP2005210518A JP 2005210518 A JP2005210518 A JP 2005210518A JP 2004016151 A JP2004016151 A JP 2004016151A JP 2004016151 A JP2004016151 A JP 2004016151A JP 2005210518 A JP2005210518 A JP 2005210518A
- Authority
- JP
- Japan
- Prior art keywords
- tracking
- tracking information
- message
- information
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、通信パケットの発信源を追跡する場合に必要な情報を提供し得る発信源追跡情報提供装置に関する。そして、本発明は、通信パケットの発信源が自己のアドレス情報を詐称した場合でも通信パケットの発信源を追跡し得る、発信源追跡情報提供装置からの情報に基づいて発信源を追跡する発信源追跡装置に関する。 The present invention relates to a source tracking information providing apparatus that can provide information necessary for tracking the source of a communication packet. The present invention also provides a transmission source that tracks a transmission source based on information from a transmission source tracking information providing apparatus that can track the transmission source of a communication packet even when the transmission source of the communication packet spoofs its own address information. It relates to a tracking device.
近年、通信技術の発達により、インターネットに代表されるオープンネットワーク等の通信が普及している。このような状況に伴い、ネットワークに接続する装置は、例えば大量のIPパケットを送りつけるいわゆるDoS(Denial of Service)攻撃やDDoS(Distributed Dos)攻撃等のサービス妨害攻撃を受け易い状態にある。このサービス妨害攻撃は、犠牲装置の処理を飽和状態にすることによってサービス提供を麻痺させるだけでなく、ネットワーク全体のリソースを消費させてしまい全体への影響が大きいことから、その対策が求められている。 In recent years, communication such as an open network represented by the Internet has spread due to the development of communication technology. Along with such a situation, a device connected to a network is likely to be subject to a service denial attack such as a so-called DoS (Denial of Service) attack or a DDoS (Distributed Dos) attack that sends a large number of IP packets. This denial-of-service attack not only paralyzes the provision of services by saturating the processing of the victim device, but also consumes resources of the entire network and has a large impact on the entire network. Yes.
このような対策の一つとして、攻撃に利用されたIPパケットの発信源を特定する技術、いわゆるIPトレースバック技術が知られている。このIPトレースバック技術の代表例として、IETF(Internet Engineering Task Force)のICMPトレースバックワーキンググループが提唱するICMPトレースバック(Internet Control Message Protocol Traceback)がある。このICMPトレースバックは、途中経路上のルータ装置が2万分の1程度の一定確率で追跡対象のIPパケットを選択し、このIPパケットに対する追跡情報を生成し、この追跡情報をICMPメッセージでIPパケットの宛先に送信し、そして、宛先の装置がこの追跡情報を表示するものである。 As one of such measures, a technique for identifying the source of the IP packet used for the attack, so-called IP traceback technique, is known. As a typical example of this IP traceback technique, there is an ICMP traceback (Internet Control Message Protocol Traceback) proposed by an ICMP traceback working group of Internet Engineering Task Force (IETF). In this ICMP traceback, the router device on the midway route selects the IP packet to be tracked with a constant probability of about 1 / 20,000, generates the tracking information for this IP packet, and the tracking information is sent to the IP packet as an ICMP message. The destination device displays this tracking information.
そして、このICMPトレースバックを改良した技術として特許文献1に記載の技術がある。この特許文献1に記載の技術は、追跡要求メッセージを受信したルータ装置が攻撃IPパケットの送信されてくる当該ルータ装置より攻撃装置側におけるルータ装置のアドレス情報を返信するように構成されているので、発信源追跡装置が追跡要求メッセージを攻撃装置に近づくように順次に各ルータ装置に送信することによって発信源を追跡するものである。
As a technique for improving the ICMP traceback, there is a technique described in
また、追跡指示を受けたルータ装置が追跡指示の特徴情報を有する電子データを補足し、補足した電子データから1つ前のルータ装置におけるデータリンク層の識別子を管理システムに送信することで、管理システムがデータリンク層の識別子を解析して電子データの通過してきた経路を受信側から送信側に向かって逆に辿っていくこと(隣接ノード追跡処理)により電子データの発信源を追跡する技術が例えば特許文献2に開示されている。さらに、アドレス管理やアカウント管理等が為されてセキュリティの信頼性が高い管理ネットワークにおいてこの隣接ノード追跡処理を省略する、特許文献2の技術を改良した技術が特許文献3に開示されている。
ところで、従来のIPトレースバック技術では、ルータ装置に発信源を追跡するための所定の処理を実行させるものであるため、ルータ装置本来のルーティング処理を低下させてしまう可能性があった。特に、オープンネットワークでは、様々な性能のルータ装置が存在するために処理能力が充分ではないルータ装置も存在し、このようなルータ装置では、発信源を追跡するための所定の処理が過負荷になる問題があった。 By the way, in the conventional IP traceback technique, since the router apparatus executes a predetermined process for tracing the transmission source, there is a possibility that the original routing process of the router apparatus may be lowered. In particular, in an open network, there are router devices that do not have sufficient processing capability because of the presence of router devices with various performances. In such router devices, predetermined processing for tracking the source is overloaded. There was a problem.
本発明は、上述の事情に鑑みて為された発明であり、通信パケットの発信源を追跡する場合に必要な情報を提供し得る発信源追跡情報提供装置を提供することを目的とする。そして、本発明は、この発信源追跡情報提供装置からの情報に基づいて発信源を追跡する発信源追跡装置を提供することを目的とする。 The present invention has been made in view of the above-described circumstances, and an object of the present invention is to provide a transmission source tracking information providing apparatus that can provide information necessary for tracking the transmission source of a communication packet. Then, an object of the present invention is to provide a transmission source tracking device that tracks a transmission source based on information from the transmission source tracking information providing device.
上述の目的を達成するために、本発明に係る発信源追跡装置は、ルータ装置間を接続する伝送路上に接続され、その伝送路より通信パケットを取り込むパケット収集手段と、そのパケット収集手段により取り込まれた通信パケットに、通信パケットの発信源を追跡するための、追跡情報メッセージであることを示す識別子が含まれているかを判断する追跡メッセージ検出手段と、その追跡メッセージ検出手段により、当該識別子が含まれていないと判断された場合に、所定の確率で、当該通信パケットに対して、追跡情報メッセージであることを示す識別子、並びに前記伝送路の両端に接続された各ルータ装置のアドレスを含んで成る後方リンク情報を格納する追跡メッセージ作成手段と、前記追跡メッセージ検出手段により、当該識別子が含まれていると判断された場合に、さらに当該通信パケットがルータ装置を通過しているかを判断して、通過していると判断される場合に、当該通信パケットを複製して、その複製された通信パケットに、前記伝送路の両端に接続された各ルータ装置のアドレスを含んで成る前方リンク情報を格納する追跡メッセージ追加手段と、その追跡メッセージ追加手段、又は前記追跡メッセージ作成手段から出力される通信パケットを前記伝送路上に送信するパケット送信手段とを備えたことを特徴とする。 In order to achieve the above-described object, a source tracking apparatus according to the present invention is connected to a transmission path connecting router apparatuses, and receives a communication packet from the transmission path, and receives the packet by the packet collection means. The tracking message detecting means for determining whether the received communication packet includes an identifier indicating that it is a tracking information message for tracking the source of the communication packet, and the tracking message detecting means If it is determined that it is not included, it includes an identifier indicating that it is a tracking information message with respect to the communication packet with a predetermined probability, and addresses of router devices connected to both ends of the transmission path. The tracking message creating means for storing the backward link information consisting of If it is determined that the communication packet has passed through the router device, and if it is determined that it has passed, the communication packet is copied and the copied packet is copied. A tracking message adding means for storing forward link information including addresses of router devices connected to both ends of the transmission path in a communication packet, and output from the tracking message adding means or the tracking message creating means Packet transmission means for transmitting a communication packet on the transmission path is provided.
そして、上述の発信源追跡情報提供装置において、前記追跡メッセージ作成手段は、追跡情報メッセージであることを示す識別子、並びに前記伝送路の両端に接続された各ルータ装置のアドレスを含んで成る後方リンク情報を格納する際に、さらに当該追跡情報メッセージを生成した時刻の情報を格納することを特徴とする。 In the above-described source tracking information providing apparatus, the tracking message creating means includes an identifier indicating that the tracking information message is included, and a backward link including addresses of router devices connected to both ends of the transmission path. When information is stored, information on the time when the tracking information message is generated is further stored.
また、上述の発信源追跡情報提供装置において、前記追跡メッセージ作成手段は、前記ルータ装置がナット機能を持つナットルータ装置である場合には、追跡情報メッセージであることを示す識別子、並びに前記伝送路の両端に接続された各ルータ装置のアドレスを含んで成る後方リンク情報を格納する際に、さらに当該ナット機能に関する情報を格納することを特徴とする。 Further, in the above-described source tracking information providing device, when the router device is a nut router device having a nut function, the tracking message creating means includes an identifier indicating a tracking information message, and the transmission path When the back link information including the addresses of the router devices connected to both ends is stored, information on the nut function is further stored.
さらに、上述の発信源追跡情報提供装置において、前記追跡メッセージ作成手段は、前記ルータ装置がバーチャル・プライベート・ネットワークを形成している場合には、追跡情報メッセージであることを示す識別子、並びに前記伝送路の両端に接続された各ルータ装置のアドレスを含んで成る後方リンク情報を格納する際に、さらに当該バーチャル・プライベート・ネットワークに関する情報を格納することを特徴とする。 Further, in the above-described source tracking information providing device, the tracking message creating means includes an identifier indicating that it is a tracking information message when the router device forms a virtual private network, and the transmission When the back link information including the addresses of the router devices connected to both ends of the path is stored, information regarding the virtual private network is further stored.
そして、上述の発信源追跡情報提供装置において、前記追跡メッセージ作成手段は、当該所定の確率を変更できるように構成されていることを特徴とする。 In the transmission source tracking information providing apparatus described above, the tracking message creating means is configured to change the predetermined probability.
また、上述の発信源追跡情報提供装置において、前記追跡メッセージ作成手段又は/及び前記追跡メッセージ追加手段は、通信パケットに各々のリンク情報を格納する際に、さらに当該発信源追跡情報提供装置が、正規な発信源追跡情報提供装置であることを特定するための情報を格納することを特徴とする。 Further, in the above-described source tracking information providing device, when the tracking message creating unit and / or the tracking message adding unit stores each link information in a communication packet, the source tracking information providing device further includes: Information for specifying that the device is a legitimate source tracking information providing device is stored.
さらに、本発明に係る発信源追跡装置は、ルータ装置間を接続する伝送路上に接続され、その伝送路より通信パケットを取り込むパケット収集手段と、そのパケット収集手段により取り込まれた通信パケットに、通信パケットの発信源を追跡するための、追跡情報メッセージであることを示す識別子が含まれているかを判断し、当該識別子が含まれていると判断された場合に、さらに所定期間内かどうか判断する追跡メッセージ検出手段と、その追跡メッセージ検出手段により、当該所定期間内であると判断される場合に、追跡情報メッセージである当該通信パケットを格納する記憶手段と、前記所定期間の終了後、当該記憶手段に含まれる追跡情報メッセージから、後方リンク情報と前方リンク情報とが一致するレコードを順に並べることにより発信源を追跡する発信源追跡手段とを備え、上述の発信源追跡情報提供装置から送信された追跡情報メッセージより発信源を特定することを特徴とする。 Further, the source tracking device according to the present invention is connected to a transmission path that connects between router devices, and a packet collection unit that captures a communication packet from the transmission channel, and a communication packet that is captured by the packet collection unit It is determined whether or not an identifier indicating that it is a tracking information message for tracking the source of the packet is included, and if it is determined that the identifier is included, it is further determined whether or not it is within a predetermined period. A tracking message detection unit; a storage unit for storing the communication packet as a tracking information message when the tracking message detection unit determines that the communication message is within the predetermined period; and From the tracking information message included in the means, arrange records in which the backward link information and the forward link information match in order And a source tracking means for tracking more sources, and identifies the source from tracking information message transmitted from the above source tracking information providing apparatus.
このような構成の発信源追跡情報提供装置では、パケット収集手段がルータ装置間を接続する伝送路上に接続され、その伝送路より通信パケットを取り込み、追跡メッセージ検出手段がそのパケット収集手段により取り込まれた通信パケットに、通信パケットの発信源を追跡するための、追跡情報メッセージであることを示す識別子が含まれているかを判断し、追跡メッセージ作成手段がその追跡メッセージ検出手段により、当該識別子が含まれていないと判断された場合に、所定の確率で、当該通信パケットに対して、追跡情報メッセージであることを示す識別子、並びに前記伝送路の両端に接続された各ルータ装置のアドレスを含んで成る後方リンク情報を格納し、一方、追跡メッセージ追加手段が前記追跡メッセージ検出手段により、当該識別子が含まれていると判断された場合に、さらに当該通信パケットがルータ装置を通過しているかを判断して、通過していると判断される場合に、当該通信パケットを複製して、その複製された通信パケットに、前記伝送路の両端に接続された各ルータ装置のアドレスを含んで成る前方リンク情報を格納し、そして、パケット送信手段がその追跡メッセージ追加手段、又は前記追跡メッセージ作成手段から出力される通信パケットを前記伝送路上に送信する。このため、これら追跡情報メッセージを受信した装置は、これら追跡情報メッセージに収容されている当該発信源追跡情報提供装置の識別情報、後方リンク情報及び前方リンク情報に基づいて通信パケットの通信経路を辿ることができ、発信源を特定することができる。従って、通信パケットの発信源を追跡するための情報の提供を発信源追跡情報提供装置が行うので、本発明に係る発信源追跡情報提供装置は、ルータ装置の負荷を軽減することができ、ルータ装置をルーティング処理に略専従させることができる。 In the source tracking information providing apparatus having such a configuration, the packet collecting means is connected on the transmission line connecting the router apparatuses, the communication packet is taken in from the transmission line, and the tracking message detecting means is taken in by the packet collecting means. It is determined whether the communication packet includes an identifier indicating that it is a tracking information message for tracking the source of the communication packet, and the tracking message generating means includes the identifier by the tracking message detecting means. If it is determined that the communication packet is not included, the communication packet includes an identifier indicating that it is a tracking information message, and addresses of router devices connected to both ends of the transmission path with a predetermined probability. The backward link information is stored, while the tracking message adding means is provided by the tracking message detecting means, When it is determined that the identifier is included, it is further determined whether the communication packet has passed through the router device. If it is determined that the packet has passed, the communication packet is copied, The duplicated communication packet stores forward link information including addresses of router devices connected to both ends of the transmission path, and the packet transmitting means adds the tracking message adding means or the tracking message creating The communication packet output from the means is transmitted on the transmission path. For this reason, the device that has received these tracking information messages follows the communication path of the communication packet based on the identification information, the backward link information, and the forward link information of the source tracking information providing device accommodated in these tracking information messages. And the source can be identified. Therefore, since the source tracking information providing device provides information for tracking the source of the communication packet, the source tracking information providing device according to the present invention can reduce the load on the router device. The device can be made almost dedicated to the routing process.
また、このような構成の、発信源追跡情報提供装置から送信された追跡情報メッセージより発信源を特定する発信源追跡装置では、パケット収集手段がルータ装置間を接続する伝送路上に接続され、その伝送路より通信パケットを取り込み、追跡メッセージ検出手段がそのパケット収集手段より通信パケットを取り込んで、当該通信パケットに、通信パケットの発信源を追跡するための、追跡情報メッセージであることを示す識別子が含まれているかを判断し、当該識別子が含まれていると判断された場合に、さらに所定期間内か否かを判断し、記憶手段がその追跡メッセージ検出手段により、当該所定期間内であると判断される場合に、追跡情報メッセージである当該通信パケットを格納する。そして、発信源追跡手段が前記所定期間の終了後、当該記憶手段に含まれる追跡情報メッセージから、後方リンク情報と前方リンク情報とが一致するレコードを順に並べることにより発信源を追跡する。このため、発信源追跡装置は、発信源追跡情報提供装置から送信された追跡情報メッセージより発信源を特定することができる。 Further, in the source tracking device that identifies the source from the tracking information message transmitted from the source tracking information providing device having such a configuration, the packet collecting means is connected on the transmission path connecting the router devices, An identifier indicating that the packet is a tracking information message for capturing a communication packet from the transmission path, the tracking message detecting unit capturing the communication packet from the packet collecting unit, and tracking the source of the communication packet in the communication packet. If it is determined that the identifier is included, it is further determined whether or not it is within a predetermined period, and the storage means detects that the tracking message detection means is within the predetermined period. When it is determined, the communication packet that is the tracking information message is stored. Then, after the end of the predetermined period, the transmission source tracking unit tracks the transmission source by sequentially arranging records in which the rear link information and the front link information match from the tracking information message included in the storage unit. Therefore, the source tracking device can identify the source from the tracking information message transmitted from the source tracking information providing device.
以下、本発明に係る実施形態を図面に基づいて説明する。なお、各図において同一の符号を付した構成は、同一の構成であることを示し、その説明を省略する。
(実施形態の構成)
本実施形態に係る発信源追跡情報提供装置は、通信網に接続された一の端末装置が他の端末装置に通信パケットを送信した場合に、通信パケットの通信経路を追跡することによって他の端末装置がこの通信パケットの発信源(一の端末装置)を特定するための追跡情報を提供する装置である。
Embodiments according to the present invention will be described below with reference to the drawings. In addition, the structure which attached | subjected the same code | symbol in each figure shows that it is the same structure, The description is abbreviate | omitted.
(Configuration of the embodiment)
The source tracking information providing apparatus according to the present embodiment is configured such that when one terminal device connected to a communication network transmits a communication packet to another terminal device, the other terminal device tracks the communication path of the communication packet. The device provides tracking information for specifying the source (one terminal device) of the communication packet.
図1は、実施形態に係る発信源追跡情報提供装置の適用された通信網を示す図である。図2は、実施形態に係る発信源追跡情報提供装置の構成を示す図である。 FIG. 1 is a diagram illustrating a communication network to which a source tracking information providing apparatus according to an embodiment is applied. FIG. 2 is a diagram illustrating a configuration of the source tracking information providing apparatus according to the embodiment.
図1において、1又は複数のルータ装置11(11−a〜11−l)とルータ装置11間を接続する伝送路15とを備えて構成される通信網1に端末装置2、3及び1又は複数の発信源追跡情報提供装置10(10−a〜10−n)が接続されている。
In FIG. 1,
ルータ装置11は、異なる通信網(サブ通信網)を相互に接続すると共に通信パケットのルーティング(通信経路の選択)を行う機器である。例えば、ルータ装置11の一例であるIPパケットルータ装置は、IPパケット(通信パケットの一例)のヘッダに含まれる送信先IPアドレスに基づいて経路情報を登録するルーティングテーブルを参照することによってルーティングを行う。なお、図1では、ルータ装置11は、「R」で示されており、Ra11−a〜Rl11−lが記載されている。また、同図では、伝送路、ハブ(集線装置)及び端末装置等を備えて構成されるルータ装置11下のサブ通信網については省略してある。さらに、ルータ装置11は、通信プロトコルの変換を行うゲートウェイ機能をさらに備えた装置(いわゆるゲートウェイ装置)でもよい。伝送路15は、通信パケットを伝達する有線及び無線の経路である。ルータ装置11が伝送路15を介して相互に接続することによって、サブ通信網が相互に接続され、通信網1を構成する。
The
端末装置2、3は、通信網1を介して通信パケットを送受信する通信機能を備えた装置であり、例えば、通信機能を備えたコンピュータ端末、移動体通信端末、ゲーム端末及びPDA(Personal Digital Assistants)等である。本実施形態では、説明の都合上、端末装置2が通信パケットを端末装置3に送信するものとし、端末装置2は、端末装置3に不正アクセス、いわゆるコンピュータウィルスによる端末装置3の動作の破壊、及び、端末装置3へのサービス妨害攻撃等の攻撃を行い、また、特に、端末装置2は、通信パケットの送信元アドレスを詐称して攻撃を行っているものとする。以下、攻撃を行う端末装置2を攻撃側端末装置2と呼称し、攻撃を受ける端末装置3を犠牲側端末装置3と呼称するものとする。
The
発信源追跡情報提供装置10は、1個の通信パケットを複数個の通信パケットに分岐するハブ16(集線装置)を介して伝送路15に接続され、通信パケットの通信経路を追跡することによって攻撃側端末装置2の通信網1における物理的な位置を特定するための追跡情報を犠牲側端末装置3に提供する装置である。図1では、発信源追跡情報提供装置10は、「X」で示され、Xa10−a〜Rn11−nが記載されており、ハブ16は、「●」で示され、発信源追跡情報提供装置10と同数が記載されている。
The source tracking
図2において、発信源追跡情報提供装置10は、中央処理部101、補助記憶部102、通信インタフェース103及び内部記憶部104を備えて構成され、必要に応じて破線で示す入力部105、表示部106及び/又は外部記憶部107を備える。
In FIG. 2, the source tracking
中央処理部101は、例えば、マイクロプロセッサ等で構成され、機能的に、通信パケットを通信インタフェース103及びハブ16を介して伝送路15から取り込む取込部111(パケット収集手段の一例に相当する。)、取り込んだ通信パケットが追跡情報メッセージであるか否かを判断する追跡情報メッセージ検出部112(追跡メッセージ検出手段の一例に相当する。)、所定の確率でイベントを発生する確率イベント発生部113、追跡情報メッセージ検出部112から通知された通信パケットに対する追跡情報メッセージを所定の確率で生成する追跡情報生成部114(当部及び確率イベント発生部113は、追跡メッセージ作成手段の一例に相当する。)、追跡情報メッセージ検出部112から通知された追跡情報メッセージがルータ装置11を通過したか否かを判断するルータ装置通過検出部115、ルータ装置通過検出部115から通知された追跡情報メッセージを複製(コピー)すると共に複製した追跡情報メッセージに付属情報を追加する追跡情報付加部116(当部及びルータ装置通過検出部115は、追跡メッセージ追加手段の一例に相当する。)、及び、追跡情報生成部114から通知された追跡情報メッセージ及び追跡情報付加部116から通知された追跡情報メッセージを通信インタフェース103及びハブ16を介して伝送路15に送信する送信部117(パケット送信手段の一例に相当する。)を備えると共に、制御プログラムに従い補助記憶部102、通信インタフェース103及び内部記憶部104を制御する。
The
補助記憶部102は、例えばROM(Read Only Memory)やEEPROM(Electrically Erasable Programmable Read Only Memory)等の不揮発性の記憶素子及びハードディスク等の情報を記憶する装置であり、本発信源追跡情報提供装置10を動作させるための制御プログラム等の各プログラム、リンク情報(後述の後方リンク情報及び前方リンク情報)等の各プログラムの実行に必要な情報等を記憶する。通信インタフェース103は、ハブ16を介して伝送路15に接続されることによって通信網1に接続され、通信パケットを送受信するための機器である。内部記憶部104は、中央処理部101が実行する制御プログラムを補助記憶部102から読み込むと共に、制御プログラム実行中の各データを一時的に記憶するいわゆるワーキングメモリであり、例えば揮発性の記憶素子の一例であるRAM(Random Access Memory)である。そして、これら中央処理部101、補助記憶部102、通信インタフェース103及び内部記憶部104は、データを相互に交換することができるようにバス108にそれぞれ接続される。
The
また、入力部105は、本発信源追跡情報提供装置10の起動指示や動作状況の表示指示等の各種コマンドや各種データを発信源追跡情報提供装置10に入力する機器であり、例えば、キーボードやマウスやタッチパネル等である。表示部106は、入力部105から入力されたコマンド、データ等を表示する機器であり、例えばCRTディスプレイ、LCD、有機ELディスプレイ又はプラズマディスプレイ等である。外部記憶部107は、例えば、フレキシブルディスク、CD−ROM(Compact Disc Read Only Memory)、CD−R(Compact Disc Recordable)及びDVD−R(Digital Versatile Disc Recordable)等の記憶媒体との間でデータを読み込み及び/又は書き込みを行う装置であり、例えば、フレキシブルディスクドライブ、CD−ROMドライブ、CD−Rドライブ及びDVD−Rドライブ等である。
The
なお、補助記憶部102に記憶される各プログラムや各データ等の情報が格納されていない場合には、これら情報を管理するサーバコンピュータ(不図示)から通信網1及び通信インタフェース103を介してこれら情報がダウンロードされるように構成してもよく、また、これら情報を記録した記録媒体から外部記憶部107を介して補助記憶部102にインストールされるように構成してもよい。
In addition, when information such as each program and each data stored in the
次に、本実施形態の動作について説明する。
(実施形態の動作)
図3は、実施形態に係る発信源追跡情報提供装置の動作を示すフローチャートを示す図である。図4は、追跡情報メッセージのフォーマットを示す図である。図4(A)は、追跡情報生成部による追跡情報メッセージのフォーマットを示し、図4(B)は、追跡情報付加部による追跡情報メッセージのフォーマットを示す。
Next, the operation of this embodiment will be described.
(Operation of the embodiment)
FIG. 3 is a flowchart illustrating the operation of the source tracking information providing apparatus according to the embodiment. FIG. 4 is a diagram showing the format of the tracking information message. 4A shows the format of the tracking information message by the tracking information generation unit, and FIG. 4B shows the format of the tracking information message by the tracking information adding unit.
伝送路15を伝播する通信パケットは、ハブ16で分岐され、分岐された一方の通信パケットは、発信源追跡情報提供装置10に取り込まれ、そして、他方の通信パケットは、そのまま伝送路15を伝播する。発信源追跡情報提供装置10に取り込まれた通信パケットは、通信インタフェース103で中央処理部101で取り扱い可能な信号形式に変換される。
The communication packet propagating through the
図3において、中央処理部101の取込部111は、通信インタフェース103から通信パケットを取り込み、追跡情報メッセージ検出部112に通信パケットを通知する(S11)。追跡情報メッセージ検出部112は、後述の通信パケットが追跡情報メッセージであることを示す識別子を参照することによって、通知された通信パケットが追跡情報メッセージであるか否かを判断する(S12)。
In FIG. 3, the capturing
判断の結果、通信パケットが追跡情報メッセージである場合(Yes)には、追跡情報メッセージ検出部112は、通信パケット(追跡情報メッセージ)をルータ装置通過検出部115に通知する。一方、判断の結果、通信パケットが追跡情報メッセージではない場合(No)には、追跡情報メッセージ検出部112は、通信パケットを追跡情報生成部114に通知する。
As a result of the determination, when the communication packet is a tracking information message (Yes), the tracking information
追跡情報生成部114は、確率イベント発生部113からイベント(確率イベント)が通知されているか否かを判断する(S13)。
The tracking
ここで、確率イベント発生部113は、例えば発信源追跡情報提供装置10が起動されると、所定の確率で確率イベントを発生し、確率イベントの発生を追跡情報生成部114に通知する。所定の確率は、任意であるが、攻撃の監視を強化する場合には例えば千分の一や五千分の一等の確率イベントの発生が比較的高い確率に設定され、攻撃の監視を緩和する場合には例えば二万分の一や三万分の一等の確率イベントの発生が比較的低い確率に設定される。従って、確率イベント発生部113は、所定の確率を固定とすることのみならず、当該所定の確率を変更できるように構成しても良いものである。ここで、確率イベントの発生は、例えば、所定の確率の範囲内の数値を乱数で発生させることによって、確率イベントを発生させるイベント発生値を決定し、追跡情報生成部114が通信パケットを通知されるごとに通信パケットの個数を計数し、当該計数値がイベント発生値に達した場合に確率イベントを発生するように構成すればよい。
Here, for example, when the transmission source tracking
より具体的には、所定の確率が二万分の一である場合には、1から20000までの範囲で数値を乱数によって発生させ、発生した数値(例えば756)をイベント発生値に決定し、計数した通信パケット数が756に達した場合に確率イベントを発生する。そして、イベント発生値を再決定し、計数値をクリア(計数値=0)にする。なお、イベント発生値は、発信源追跡情報提供装置10が起動した場合に1度だけ決定するように構成してもよいし、所定の期間の経過後に再決定するように構成してもよい。これらの場合には、確率イベント発生後も通信パケットの個数の計数を20000に達するまで続行するように構成する。
More specifically, when the predetermined probability is 1 / 20,000, a numerical value is generated by a random number in a range from 1 to 20000, and the generated numerical value (for example, 756) is determined as an event occurrence value. A probability event is generated when the counted number of communication packets reaches 756. Then, the event occurrence value is redetermined and the count value is cleared (count value = 0). The event occurrence value may be determined only once when the source tracking
処理S13における判断の結果、追跡情報生成部114は、確率イベントが通知されていない場合(No)には、通知された通信パケットを破棄し、処理を処理S11に戻す。一方、追跡情報生成部114は、確率イベントが通知されている場合(Yes)には、追跡情報メッセージを生成し、生成した追跡情報メッセージを送信部119に通知する(S14)。このように動作することによって、発信源追跡情報提供装置10は、伝送路15を伝播する通信パケットに対し所定の確率で追跡情報メッセージを生成する。
As a result of the determination in the process S13, if the probability event has not been notified (No), the tracking
図4(A)に示すように、この追跡情報生成部114が生成する追跡情報メッセージ30は、追跡情報メッセージの送信先アドレスや送信元アドレスやTTL(Time To Live、生存時間)等の、追跡情報メッセージを伝送するために必要なヘッダ情報を収容するヘッダ部301と、追跡情報メッセージを生成した時刻(タイムスタンプ)を収容するタイムスタンプ部302と、当該発信源追跡情報提供装置10の通信網1における物理的な位置に関する情報である後方リンク情報を収容する後方リンク情報部303と、付属情報を収容する付属情報部305とを備えて構成される。
As shown in FIG. 4A, the tracking
ヘッダ部301に格納される送信先アドレスは、追跡情報メッセージ検出部112から通知された通信パケットの送信先アドレスが複製される。これによって生成した追跡情報メッセージは、通信パケットと同一の送信先に送信される。ヘッダ部301に格納される送信元アドレスは、追跡情報メッセージを生成する当該発信源追跡情報提供装置10のアドレス(装置識別情報の一例)であり、ヘッダ部301に格納されるTTLは、初期値、例えば、255である。ヘッダ部301は、例えば通信パケットがIPパケットの場合には、IPヘッダであり、送信先アドレス及び送信元アドレスはIPアドレスとなる。
As the transmission destination address stored in the
タイムスタンプの時刻は、不図示の時計から取得し、この時計は、例えば、カウンタ回路等によってハードウェアで構成してもよく、また、ソフトウェアによって機能的に中央処理部101に構成してもよい。
The time of the time stamp is acquired from a clock (not shown), and this clock may be configured by hardware such as a counter circuit, or may be functionally configured by the
後方リンク情報は、例えば、当該発信源追跡情報提供装置10が接続する伝送路15の両端におけるルータ装置11の識別子の組(ペア)である。ルータ装置11の識別子は、例えば、MACアドレス(Media Access Control Address)やIPアドレス(Internet Protocol Address)やID等が利用可能である。後方リンク情報は、例えば、当該発信源追跡情報提供装置10を通信網1に接続する際にユーザによって補助記憶部102に記憶させるように構成してもよく、また例えば、SNMP(Simple Network Management Protocol)等の通信プロトコルを用いて当該発信源追跡情報提供装置10が自動的に取得することによって補助記憶部102に記憶させるように構成してもよい。また例えば、当該発信源追跡情報提供装置10の通信網1における物理的な位置を示す情報がマップやテーブルとして別途に作成されている場合には、後方リンク情報は、発信源追跡情報提供装置10の識別子(例えば、MACアドレスやIPアドレスやID等)でもよい。
The backward link information is, for example, a pair of identifiers of the
付属情報部305は、任意の情報を収容するペイロードであり、例えば、追跡情報メッセージが通信パケットの追跡を目的とするものではなく(即ち、通信パケットの追跡情報を格納した追跡情報メッセージではなく)、試験等の追跡以外の目的で生成された追跡情報メッセージであることを示す情報(サンプルパケット情報)、発信源追跡情報提供装置10の識別子、暗号・認証情報及び電子署名等である。これら発信源追跡情報提供装置10の識別子、暗号・認証情報及び電子署名は、単独で又は組み合わせて用いることによって、追跡情報メッセージが正規な発信源追跡情報提供装置10から送信されたことを確認するために利用される。このように利用することによって、追跡情報メッセージを受信した犠牲側端末装置3は、通信網1に接続する端末装置が発信源追跡情報提供装置10を詐称して追跡情報メッセージを発信したとしても、追跡情報メッセージが真の発信源追跡情報提供装置10からのものであることを認識することができる。
The attached
そして、追跡情報メッセージであることを示す識別子(追跡情報メッセージ識別子)が追跡情報メッセージに収容される。追跡情報メッセージ識別子は、例えば、ヘッダ部301又は付属情報部305に収容される。このような追跡情報メッセージ30は、例えば、IP(Internet Protocol)、ICMP(Internet Control Message Protocol)、TCP(Transmission Control Protocol)、UDP(User Datagram Protocol)等の任意の通信プロトコルを利用して形成してもよく、本実施形態ではICMPが利用され、この場合に追跡情報メッセージ識別子は、Typeで表されるように構成し得る。
Then, an identifier indicating that it is a tracking information message (tracking information message identifier) is accommodated in the tracking information message. The tracking information message identifier is accommodated in the
図3に戻って、処理S12の通信パケットが追跡情報メッセージである場合(Yes)において、追跡情報メッセージ検出部115から追跡情報メッセージが通知されると、ルータ装置通過検出部115は、通知された追跡情報メッセージがルータ装置11を通過したか否か、即ち、ルータ装置11でルーティングされたか否かを判断する(S21)。判断の結果、ルータ装置11を通過していない場合(No)には、ルータ装置通過検出部115は、追跡情報メッセージを破棄し、処理を処理S11に戻す。一方、判断の結果、ルータ装置11を通過している場合(Yes)には、ルータ装置通過検出部115は、追跡情報メッセージを追跡情報付加部116に通知する。
Returning to FIG. 3, when the tracking information message is notified from the tracking information
追跡情報メッセージがルータ装置11を通過したか否かの判断は、ルータ装置11の通過を示す通過情報に基づいて判断される。通過情報は、例えば、TTLが利用され、TTLの初期値(上述の例では255)から少なくとも1だけ減った値を示す場合にルータ装置11を通過したと判断するように構成される。TTLは、送信元の装置から送信先の装置まで利用できる、経路上のルータ装置の数であり、ルータ装置が通信パケットをルーティングすると原則として1ずつデクリメントされる。ここで、例えばWAN(Wide Area Network、広域通信網)などの通信速度が遅い回線では、1以上デクリメントされる場合もある。また、TTL=1の通信パケットを受信したルータ装置11は、当該通信パケットを破棄すると共に、送信元の装置にICMPのTime Exceeded Message(タイプ11/コード0)を送信する。このメッセージを送信元の装置が受信することによって通信パケットの破棄を認識することができる。
The determination as to whether or not the tracking information message has passed through the
なお、本実施形態では、TTLが初期値と不一致であることで追跡情報メッセージのルータ装置11の通過を判断するように構成したが、例えば、発信源追跡情報提供装置10が追跡情報メッセージ30を生成する際にヘッダ部301のTTLを付属情報部305にも記憶し、追跡情報メッセージ30を受信した発信源追跡情報提供装置10がヘッダ部301のTTLと付属情報部305のTTLとを比較し、不一致の場合にルータ装置11を通過したと判断するように構成してもよい。このように構成することによって全ての発信源追跡情報提供装置10のTTLを一律に規定する必要がなくなり、追跡情報メッセージが徒に通信網1を伝送することを効果的に抑制することができる。また、本実施形態では、通過情報としてTTLを用いたが、これに限定されるものではなく、通過情報は、例えば、経路上の通過したルータ装置10の数を示すホップ数や経路を決定する際の判断材料としての重みであるメトリック等を利用してもよい。さらに、既存のTTL、ホップ数又はメトリックを利用するのではなく、例えば、タイムスタンプ部302のタイムスタンプから所定の時間(例えば、500msや1s)が経過している場合にルータ装置11を通過したものと判断するように構成することによって、通過情報にタイムスタンプを利用してもよい。また例えば、発信源追跡情報提供装置10が「0」にセットし、ルータ装置11がこれを「1」に再セットするフラグ(通過フラグ)をヘッダ部301又は付属情報部305に収容するように構成することによって、通過情報に通過フラッグを用いてもよい。
In the present embodiment, the configuration is such that the tracking information message passes through the
追跡情報付加部116は、通知された追跡情報メッセージを複製し(S22)、追跡情報付加部116は、当該発信源追跡情報提供装置10の通信網1における物理的な位置に関する情報である前方リンク情報をこの複製した追跡情報メッセージに付加し、この前方リンク情報を付加した追跡情報メッセージを送信部に通知する(S23)。前方リンク情報は、前述した後方リンク情報と同様である。
The tracking
追跡情報付加部116によって前方リンク情報が付加された追跡情報メッセージ31は、図4(A)に示す追跡情報メッセージ30に前方リンク情報が追加されるので、図4(B)に示すように、ヘッダ部301と、タイムスタンプ部302と、後方リンク情報部303と、前方リンク情報を収容する前方リンク情報部304と、付属情報部305とを備えて構成される。ここで、付属情報部305には、最初に追跡情報メッセージ30を生成した発信源追跡情報提供装置10の識別子だけでなく、前方リンク情報を付加した発信源追跡情報提供装置10の識別子、暗号・認証情報及び電子署名等も含まれる。
In the tracking
そして、送信部117は、追跡情報生成部114が生成した追跡情報メッセージ30及び追跡情報付加部116が前方リンク情報を付加した追跡情報メッセージ31を伝送路15に送信すべく通信インタフェース103に転送する(S15)。
Then, the
通信インタフェース103は、追跡情報メッセージ30、31を伝送路15の信号形式に変換し、ハブ16を介して伝送路15に追跡情報メッセージを送信する。
The
このように発信源追跡情報提供装置10は、動作することによって、伝送路15を伝送する通信パケットのうち所定の確率で通信パケットに対する追跡情報メッセージ30を生成して、生成した追跡情報メッセージ30に対応する通信パケットにおける送信先に送信する。そして、発信源追跡情報提供装置10は、伝送路15を伝送する通信パケットに追跡情報メッセージ30を発見すると、発見した追跡情報メッセージ30がルータ装置11を通過している場合に、前方リンク情報を追加して、この追加した追跡情報メッセージ31を再び伝送路15に戻す。即ち、他の発信源追跡情報提供装置10が生成した追跡情報メッセージ30に前方リンク情報を追加して再び伝送路15に戻す。
In this way, the source tracking
このため、攻撃側端末装置2が犠牲側端末装置3に攻撃を始めると、攻撃に使用された通信パケットに対して所定の確率に応じて追跡情報メッセージ30が生成され、追跡情報メッセージ30及び前方リンク情報を付加した追跡情報メッセージ31が犠牲側端末装置3に送信される。犠牲側端末装置3は、追跡情報メッセージ30及び追跡情報メッセージ31の前方リンク情報及び後方リンク情報に基づいて、例えば前方リンク情報と後方リンク情報の重なり具合を調べることにより、犠牲側端末装置3から順に攻撃側端末装置2まで発信源追跡情報提供装置10を辿ることによって、攻撃側端末装置2に最も近い発信源追跡情報提供装置10を特定し、この特定した発信源追跡情報提供装置10が接続するルータ装置11を特定する。これによって、攻撃に使用された通信パケットの発信源、即ち、攻撃側端末装置2が接続するサブ通信網が特定され、攻撃側端末装置2の通信網1における物理的な位置が特定される。
For this reason, when the attacking
以上のように、発信源を特定するための情報の提供を発信源追跡情報提供装置10が行い、発信源の特定を犠牲側端末装置3で行うので、ルータ装置11の負荷を軽減することができる。ルータ装置11は、そのリソースをルーティング処理に略専従させることができる。また、ルータ装置11が発信源を特定するための処理機能を備えていない場合でも、このようなルータ装置11を変更することなく、そして、通信網1を運用している状態で、通信網1に発信源を特定する機能を持たせることができる。
As described above, since the transmission source tracking
ここで、攻撃は、通常、比較的短い時間に行われることから、追跡情報メッセージ30、31の収集期間は、重要である。即ち、1時間や半日や1日のうちに例えば100個や1000個等の追跡情報メッセージ30、31が送信されて来る場合は、攻撃である可能性が高いが、1月や半年や1年のうちに例えば100個や1000個等の追跡情報メッセージ30、31が送信されて来る場合は、攻撃ではない可能性が高いからである。このため、犠牲側端末装置3は、追跡情報メッセージ30、31の受信を比較的短い時間だけ行って発信源を特定するようにすればよい。このように構成する場合には、追跡情報メッセージ30、31のタイムスタンプは、必ずしも必要ではない。また例えば、逆に、タイムスタンプを参照して、比較的短い時間に送信された追跡情報メッセージ30、31を用いて発信源を特定するようにしてもよい。タイムスタンプは、発信源を特定する場合に、一定期間内に生成された追跡情報メッセージを検索するために必要となる情報である。また例えば、犠牲側端末装置3に所謂侵入検知システムをさらに備えさせ、侵入検知システムからの検知結果に基づいて追跡情報メッセージ30、31を収集し、発信源を特定するようにしてもよい。あるいは、犠牲側端末装置3に侵入検知システムをさらに備えさせ、追跡情報メッセージ30、31を収集し、収集した追跡情報メッセージ30、31を検知システムの検知結果に基づいてフィルタリングを行って、発信源を特定するようにしてもよい。侵入検知システム(Intrusion Detection System;IDS)は、攻撃の特徴的なパターン・兆候などを探知し、検知するシステムであり、ネットワーク上のトラフィックのパターンを検知するネットワーク・IDSや端末装置上で異常を検知するホスト・IDSなどが知られている。
Here, since the attack is usually performed in a relatively short time, the collection period of the tracking
また、上述の実施形態では、発信源の追跡は、犠牲側端末装置3で行うように構成したが、図1に破線で示すように、ハブ(不図示)を介して通信網1に接続される、通信パケットの発信源を追跡するコレクタ装置20(発信源追跡装置の一例に相当する。)をさらに設け、コレクタ装置20が追跡情報メッセージ30、31を取得し、コレクタ装置20が発信源を追跡するように構成してもよい。このような発信源追跡情報提供装置10及びコレクタ装置20を備えて、通信パケットの発信源を追跡し得る発信源追跡システムが構成される。犠牲側端末装置3は、攻撃を受けることによってリソースに比較的大きな負荷がかかっているが、このようなコレクタ装置20をさらに設けることによって、発信源の追跡処理の負荷を犠牲側端末装置3から開放することができる。
In the above-described embodiment, the source is traced by the
図5は、実施形態に係るコレクタ装置の構成を示す図である。図6は、実施形態に係るコレクタ装置の動作を示すフローチャートを示す図である。図7は、発信源を特定する一例を説明するための図である。図7(A)は、リンクリストの一例であり、図7(B)は、特定された通信経路である。 FIG. 5 is a diagram illustrating a configuration of the collector device according to the embodiment. FIG. 6 is a flowchart illustrating the operation of the collector device according to the embodiment. FIG. 7 is a diagram for explaining an example of specifying a transmission source. FIG. 7A shows an example of a link list, and FIG. 7B shows a specified communication path.
まず、コレクタ装置20の構成について説明する。図5において、コレクタ装置20は、通信網1から追跡情報メッセージ30、31を取得し、この追跡情報メッセージ30、31に収容されている情報に基づいて通信パケットの発信源を追跡する装置であり、中央処理部201、補助記憶部202、通信インタフェース203、内部記憶部204及び表示部206を備えて構成され、必要に応じて破線で示す入力部205及び/又は外部記憶部207を備える。
First, the configuration of the
中央処理部201は、例えば、マイクロプロセッサ等で構成され、機能的に、通信パケットを通信インタフェース203及びハブを介して伝送路から取り込む取込部211(パケット収集手段の一例に相当する。)、取り込んだ通信パケットが追跡情報メッセージ30、31であるか否かを判断する追跡情報メッセージ検出部212(追跡メッセージ検出手段の一例に相当する。)、及び、追跡情報メッセージ30、31の情報に基づいて通信パケットの発信源を追跡する発信源追跡部213(発信源追跡手段の一例に相当する。)を備えると共に、制御プログラムに従い補助記憶部202、通信インタフェース203、内部記憶部204及び表示部206を制御する。
The
発信源追跡部213は、本実施形態では、リンクリストを作成するリンクリスト作成部2131と、リンクリストに基づいて通信パケットの発信源である端末装置が接続するルータ装置を特定する発信源接続ルータ装置検出部2132とを備えて構成される。リンクリストは、追跡情報メッセージ30、31に収容される情報に基づいて作成され、少なくとも、追跡情報メッセージ30、31に係る、送信元の情報と後方リンク情報と前方リンク情報と追跡情報メッセージ30、31に対応する通信パケットにおける送信先の情報との対応関係を示す表である。
In this embodiment, the transmission
補助記憶部202は、例えばROMやEEPROM等の不揮発性の記憶素子及びハードディスク等の情報を記憶する装置であり、本コレクタ装置20を動作させるための制御プログラム等の各プログラム、各プログラムの実行に必要な情報等を記憶する。また、補助記憶部202は、後述するように、追跡情報メッセージも記憶するようになっている(記憶手段の一例に相当する。)。通信インタフェース203、内部記憶部204、表示部206、入力部205及び外部記憶部207は、上述の通信インタフェース103、内部記憶部104、表示部106、入力部105及び外部記憶部107とそれぞれ同様であるので、その説明を省略する。そして、これら中央処理部201、補助記憶部202、通信インタフェース203、内部記憶部204及び表示部206、並びに必要に応じて入力部205及び/又は外部記憶部207は、データを相互に交換することができるようにバス208にそれぞれ接続される。
The
次に、コレクタ装置20の動作について説明する。伝送路を伝播する通信パケットは、ハブで分岐され、分岐された一方の通信パケットは、コレクタ装置20に取り込まれ、そして、他方の通信パケットは、そのまま伝送路を伝播する。コレクタ装置20に取り込まれた通信パケットは、通信インタフェース203で中央処理部201で取り扱い可能な信号形式に変換される。
Next, the operation of the
図6において、中央処理部201の取込部211は、通信インタフェース203から通信パケットを取り込み、追跡情報メッセージ検出部212に通信パケットを通知する(S31)。追跡情報メッセージ検出部212は、通信パケットが追跡情報メッセージであることを示す識別子を参照することによって、通知された通信パケットが追跡情報メッセージ30、31であるか否かを判断する(S32)。
In FIG. 6, the capturing
判断の結果、通信パケットが追跡情報メッセージ30、31ではない場合(No)には、追跡情報メッセージ検出部212は、通信パケットを破棄して、処理を処理S31に戻す。一方、判断の結果、通信パケットが追跡情報メッセージ30、31である場合(Yes)には、追跡情報メッセージ検出部212は、所定の期間内であるか否かを判断する。
As a result of the determination, if the communication packet is not the tracking
所定の期間内であるか否かの判断は、例えば、所定の時間を計時すると共に計時の開始と終了とを追跡情報メッセージ検出部212に割り込み入力するタイマ部をさらに設け、タイマ部の計時期間中であるか否かを判断することによって行う。タイマ部は、例えば、コンデンサやスイッチング素子等あるいはカウンタ回路等によってハードウェアで構成してもよく、また、図5に破線でタイマ部214として示すようにソフトウェアによって機能的に中央処理部201に構成してもよい。また例えば、所定の期間内であるか否かの判断は、追跡情報メッセージ30、31のタイムスタンプ部302に収容されているタイムスタンプによって判断してもよい。所定の期間は、通信パケットが攻撃であるか否かを判断するためのものであるから、上述の収集期間と同様に、1時間や半日や1日等である。
The determination as to whether or not the time is within the predetermined period includes, for example, a timer unit that measures a predetermined time and interrupts and inputs the start and end of the time measurement to the tracking information
判断の結果、所定の期間内ではない場合(No)には、追跡情報メッセージ検出部212は、通信パケットを破棄して、処理を処理S31に戻す。一方、判断の結果、所定の期間内である場合(Yes)には、追跡情報メッセージ検出部212は、追跡情報メッセージ30、31を補助記憶部202に記憶して取得し、追跡情報メッセージ30、31の取得を発信源追跡部213に通知する(S35)。
As a result of the determination, if it is not within the predetermined period (No), the tracking information
発信源追跡部213のリンクリスト作成部2131は、取得した追跡情報メッセージ30、31に収容されている情報からリンクリストを作成・更新する(S36)。
The link
次に、追跡情報メッセージ検出部212は、所定の期間が終了したか否かを判断する(S37)。判断の結果、所定の期間が終了していない場合(No)には、追跡情報メッセージ検出部212は、処理を処理S31に戻す。これによって、追跡情報メッセージ30、31は、所定の期間内だけ取り込まれて補助記憶部202に記憶され、リンクリストに登録される。
Next, the tracking information
一方、判断の結果、所定の期間が終了している場合(Yes)には、追跡情報メッセージ検出部212は、追跡情報メッセージ30、31の収集の終了を発信源追跡部213に通知する。
On the other hand, if the predetermined period has expired as a result of the determination (Yes), the tracking information
そして、発信源追跡部213の発信源接続ルータ装置検出部2132は、作成したリンクリストに基づいて犠牲側端末装置3から発信源(攻撃側端末装置2)に至る通信経路を特定し、発信源を検出する(S38)。
Then, the transmission source connection router
このようにコレクタ装置20が動作することによって、例えば、図7(A)に示すリンクリスト40が作成される。本実施形態におけるリンクリスト40は、当該リンクリスト40の各レコードを表すインデックスを登録するインデックスフィールド401と、追跡情報メッセージ30、31を送信した発信源追跡情報提供装置10の通信用アドレスを登録する送信元通信用アドレスフィールド402と、追跡情報メッセージ30、31の送信先の通信用アドレスを登録する送信先通信用アドレスフィールド403と、追跡情報メッセージ30、31の通過情報を登録する通過情報フィールド404と、後方リンク情報と前方リンク情報との間におけるルータ装置11の通信用アドレスを登録するルータ装置通信用アドレスフィールド405と、追跡情報メッセージ30、31に収容されている後方リンク情報を登録する後方リンク情報フィールド406と、追跡情報メッセージ30、31に収容されている前方リンク情報を登録する前方リンク情報フィールド407と、追跡情報メッセージ30、31に収容されているタイムスタンプを登録するタイムスタンプフィールド408と、取得した追跡情報メッセージ30、31の付属情報部305に収容されている情報を登録するサンプリング追跡情報メッセージデータフィールド409とを備えて各フィールドが構成され、取得した追跡情報メッセージ30、31ごとにインデックスが割り当てられてレコードが作成される。
By operating the
インデックスは、各レコードが区別されればよいので、相互に異なる任意の記号列でよいが、本実施形態では、例えば、連番号である。通信用アドレスは、例えば、IP層で発信源を特定する場合には、IPアドレスである。通過情報は、例えば、上述のTTLである。 The index may be any symbol string different from each other as long as each record is distinguished. In the present embodiment, the index is, for example, a serial number. The communication address is, for example, an IP address when a transmission source is specified in the IP layer. The passage information is, for example, the TTL described above.
上述の処理S36において、リンクリスト作成部2131は、追跡情報メッセージ30、31が取得されると、連番号のインデックスを付して新たなレコードを作成する。次に、リンクリスト作成部2131は、付したインデックスをインデックスフィールド401に登録する。次に、リンクリスト作成部2131は、追跡情報メッセージ30、31のヘッダ部301から送信元通信用アドレス、発信先通信用アドレス及び通過情報(ヘッダ部301に収容されているものとする)を取り出し、送信元通信用アドレスフィールド402、送信先通信用アドレスフィールド403及び通過情報フィールド404にそれぞれ登録する。次に、リンクリスト作成部2131は、追跡情報メッセージ30、31の後方リンク情報部303、前方リンク情報部304、タイムスタンプ部302及び付属情報部305から後方リンク情報、前方リンク情報、タイムスタンプ及び付属情報を取り出し、後方リンク情報フィールド406、前方リンク情報フィールド407、タイムスタンプフィールド408及びサンプリング追跡情報メッセージデータフィールド409にそれぞれ登録する。なお、追跡情報メッセージ30、31に前方リンク情報が収容されていない場合、即ち、取得された追跡情報メッセージ30、31が追跡情報メッセージ30である場合には、前方リンク情報フィールド407は、空欄となる。
In the process S36 described above, when the tracking
そして、リンクリスト作成部2131は、送信元の発信源追跡情報提供装置10の通信における下流側におけるルータ装置11の通信用アドレスを後方リンク情報から取り出し、ルータ装置通信用アドレスフィールド405に登録する。なお、後方リンク情報及び前方リンク情報は、前述したように、例えば、当該発信源追跡情報提供装置10が接続する伝送路15の両端におけるルータ装置11の識別子の組(ペア)であるが、通信における上流側のルータ装置11の識別子と通信における下流側のルータ装置11の識別子との順に後方リンク情報部303に収容するように規約するとすれば、リンクリスト作成部2131は、この順番から下流側におけるルータ装置11の通信用アドレスを認識することができる。
Then, the link
発信源接続ルータ装置検出部2132は、まず、このように作成されたリンクリスト40から、攻撃を受けこの攻撃の発信源を追跡したい犠牲側端末装置3の通信用アドレスが送信先通信用アドレスフィールド403に登録されているレコードを抽出する。次に、発信源接続ルータ装置検出部2132は、各レコード間における後方リンク情報と前方リンク情報とが一致するレコードを順に並べることによって、通信パケットが攻撃側端末装置2から犠牲側端末装置3に至るまでの通信経路上における発信源追跡情報提供装置10を辿ることができる。そして、犠牲側端末装置3から通信経路上最も遠い発信源追跡情報提供装置10を特定し、この最も遠い発信源追跡情報提供装置10の下流側に接続するルータ装置11を特定することができる。このため、攻撃側端末装置2がこのルータ装置11下のサブ通信網内に在ることが特定され、攻撃側端末装置2の通信網1における物理的な位置が特定され得る。
First, the source connection router
図7(A)に示す例では、インデックス=「1」のレコードにおける前方リンク情報フィールド407に登録されている前方リンク情報=「R2とR3の通信用アドレスペア」と一致する後方リンク情報が後方リンク情報フィールド407に登録されているレコードは、インデックス=「2」のレコードであるから、インデックス=「1」のレコードにおける送信元通信用アドレスフィールド402に登録されている通信用アドレス=「IP_X3」の発信源追跡情報提供装置10に、インデックス=「2」のレコードにおける送信元通信用アドレスフィールド402に登録されている通信用アドレス=「IP_X4」の発信源追跡情報提供装置10が続くことになる。
In the example illustrated in FIG. 7A, the backward link information that matches the forward link information registered in the forward
同様に、前方リンク情報と後方リンク情報との重なり具合を分析すると、インデックス=「2」のレコードとインデックス=「k」のレコードとから、通信用アドレス=「IP_X4」の発信源追跡情報提供装置10に通信用アドレス=「IP_X5」の発信源追跡情報提供装置10が続く。インデックス=「k」のレコードとインデックス=「n」のレコードとから、通信用アドレス=「IP_X5」の発信源追跡情報提供装置10に通信用アドレス=「IP_X6」の発信源追跡情報提供装置10が続く。一方、インデックス=「3」のレコードとインデックス=「1」のレコードとから、通信用アドレス=「IP_X2」の発信源追跡情報提供装置10に通信用アドレス=「IP_X3」の発信源追跡情報提供装置10が続く。
Similarly, when the degree of overlap between the forward link information and the backward link information is analyzed, the source tracking information providing device with the communication address = “IP_X4” is determined from the record with the index = “2” and the record with the index = “k”. 10 is followed by the source tracking
インデックス=「0」のレコードにおける前方リンク情報フィールド407が空欄であり、インデックス=「0」のレコードにおける後方リンク情報フィールド406の後方リンク情報とインデックス=「3」のレコードにおける後方リンク情報フィールド406の後方リンク情報とが一致することから、通信用アドレス=「IP_X2」の発信源追跡情報提供装置10の前に通信用アドレス=「IP_X1」の発信源追跡情報提供装置10がに位置する。
The forward
インデックス=「n−1」のレコードにおける前方リンク情報フィールド407が空欄であり、インデックス=「n」のレコードにおける前方リンク情報フィールド407の前方リンク情報とインデックス=「n−1」のレコードにおける後方リンク情報フィールド406の後方リンク情報とが一致すると共に、インデックス=「n」のレコードにおける送信元通信アドレスフィールド402の送信元通信アドレスとインデックス=「n−1」のレコードにおける送信元通信アドレスフィールド402の送信元通信アドレスとが一致することから、犠牲側端末装置3が通信用アドレス=「IP_X6」の発信源追跡情報提供装置10の直後に位置する。
The forward
従って、通信パケットの通信経路は、図7(B)に示すように、通信用アドレス=「IP_X6」の発信源追跡情報提供装置10(同図中「X6」)、通信用アドレス=「IP_X5」の発信源追跡情報提供装置10(同図中「X5」)、通信用アドレス=「IP_X4」の発信源追跡情報提供装置10(同図中「X4」)、通信用アドレス=「IP_X3」の発信源追跡情報提供装置10(同図中「X3」)、通信用アドレス=「IP_X2」の発信源追跡情報提供装置10(同図中「X2」)、そして、通信用アドレス=「IP_X1」の発信源追跡情報提供装置10(同図中「X1」)であることが分かる。そして、最も遠い通信用アドレス=「IP_X1」の発信源追跡情報提供装置10が接続する下流側のルータ装置11(同図中「R0」)のサブ通信網内に攻撃側端末装置2が在ることが分かり、攻撃側端末装置2の通信網1上の物理的な位置が分かる。
Therefore, as shown in FIG. 7B, the communication path of the communication packet is the source tracking information providing device 10 (“X6” in the figure) with the communication address = “IP_X6”, and the communication address = “IP_X5”. Source tracking information providing apparatus 10 (“X5” in the figure), communication address = “IP_X4” source tracking information providing apparatus 10 (“X4” in the figure), communication address = “IP_X3” Source tracking information providing apparatus 10 (“X3” in the figure), source address tracking information providing apparatus 10 (“X2” in the figure) of communication address = “IP_X2”, and transmission of communication address = “IP_X1” It can be seen that this is the source tracking information providing apparatus 10 ("X1" in the figure). Then, the attacking
また、本実施形態におけるリンクリスト40では、ルータ装置11の通信用アドレスも分かるので、上述と同様に前方リンク情報と後方リンク情報との重なり具合を分析することによって、通信パケットが、図7(B)に示すように、通信用アドレス=「IP_R6」のルータ装置11(同図中「R6」)、通信用アドレス=「IP_R5」のルータ装置11(同図中「R5」)、通信用アドレス=「IP_R4」のルータ装置11(同図中「R4」)、通信用アドレス=「IP_R3」のルータ装置11(同図中「R3」)、通信用アドレス=「IP_R2」のルータ装置11(同図中「R2」)、通信用アドレス=「IP_R1」のルータ装置11(同図中「R1」)、そして、通信用アドレス=「IP_R0」のルータ装置11(同図中「R0」)の通信経路を伝送されて来たことが分かる。
Further, since the communication address of the
さらに、コレクタ装置20が犠牲側端末装置3の近傍に存在する場合には、通信経路を辿る際に通過情報の値を考慮して各レコードを並べてもよい。通過情報が例えばTTLの場合には、小さい値ほど多くのルータ装置11を通過して来たこととなり、コレクタ装置20から、即ち、犠牲側端末装置3から遠くに在る発信源追跡情報提供装置10より送信された追跡情報メッセージ30、31であるからである。
Furthermore, when the
なお、上述では、コレクタ装置20は、通信網1を犠牲側端末装置3に送信されている追跡情報メッセージ30、31を取得するように構成したが、発信源追跡情報提供装置10が追跡情報メッセージ30、31を犠牲側端末装置3ではなく、コレクタ装置20に送信するように構成してもよい。このように構成することによって犠牲側端末装置3は、攻撃を受けている際に、追跡情報メッセージ30、31を受信する必要がなくなるので、犠牲側端末装置3の負荷がより軽減される。この場合に、ヘッダ部301の送信先アドレスにはコレクタ装置20のアドレスが収容されることから、追跡情報メッセージ30、31が何れの端末装置に対するものであるかをコレクタ装置20に認識させるために、発信源追跡情報提供装置10の追跡情報生成部114は、生成した追跡情報メッセージ30に対応する通信パケットにおける送信先の情報(犠牲側端末装置3のアドレス)を例えば付属情報部305に収容することによって該追跡情報メッセージ30にさらに含めるように構成する。
In the above description, the
また、上述では、発信源追跡情報提供装置10は、通信網1を介して、追跡情報メッセージ30、31を犠牲側端末装置3に送信し、また、コレクタ装置20は、追跡情報メッセージ30、31を通信網1から収集するように構成したが、追跡情報メッセージ30、31の情報に基づいて通信パケットの発信源を追跡する追跡装置を設け、発信源追跡情報提供装置10と追跡装置とを接続する専用の通信線又は通信網を設け、この専用の通信線又は通信網によって発信源追跡情報提供装置10から追跡装置へ追跡情報メッセージ30、31を送信するように構成してもよい。
Further, in the above description, the source tracking
さらに、上述では、発信源追跡情報提供装置10に設定された所定の確率によって追跡情報メッセージ30が生成され、コレクタ装置20は、追跡情報メッセージ30、31を取得することになるが、所定の確率の値によってはコレクタ装置20の負荷が比較的大きくなったり、通信網1の監視の程度を変えたい場合があったりする。そこで、コレクタ装置20から所定の確率を変更する通信パケット(確率変更メッセージ)を発信源追跡情報提供装置10に送信し、所定の確率を変更するように構成してもよい。この場合には、確率イベント発生部113の所定の確率を変更する確率変更部をさらに備えて発信源追跡情報提供装置10を構成する。確率変更メッセージを同報通信することによって全ての発信源追跡情報提供装置10の所定の確率を一斉に変更してもよく、また、確率変更メッセージを所望の発信源追跡情報提供装置10に送信することによって発信源追跡情報提供装置10の所定の確率を個別に変更してもよい。
Furthermore, in the above description, the tracking
一方、通信網1を構成するルータ装置11の中には、NAT機能(Network Address Translation機能、ナット機能、NAPT(Network Address Port Translation)機能も含む)を備えたものもが在る場合がある。ナット機能は、プライベートアドレスとグローバルアドレスとを相互に変換し(必要に応じてポート番号をも相互に変換し)、プライベートアドレスしか割り当てられていない端末装置が透過的にインターネットにアクセスすることができるようにする仕組みである。プライベートアドレスとグローバルアドレスとを1対1で相互に変換する静的ナット機能では、プライベートアドレス数に応じた個数のグローバルアドレスを用意する必要があるが、プライベートアドレスをグローバルアドレスに変換する際に空きのグローバルアドレスに変換される動的ナット機能では、プライベートアドレス数に比してグローバルアドレス数を少なくすることができ、グローバルアドレスを節約することができる。
On the other hand, some
図8は、実施形態に係る発信源追跡情報提供装置の適用された、ナット機能を備えるナット・ルータ装置を含む通信網を示す図である。図9は、ナット情報を含む追跡情報メッセージのフォーマットを示す図である。図9(A)は、追跡情報生成部による追跡情報メッセージのフォーマットを示し、図9(B)は、追跡情報付加部による追跡情報メッセージのフォーマットを示す。 FIG. 8 is a diagram illustrating a communication network including a nut router device having a nut function to which the source tracking information providing device according to the embodiment is applied. FIG. 9 is a diagram showing a format of a tracking information message including nut information. FIG. 9A shows the format of the tracking information message by the tracking information generating unit, and FIG. 9B shows the format of the tracking information message by the tracking information adding unit.
例えば、図8に示すように、図1に示す通信網1におけるルータ装置c11−c及びRg11−gがナット・ルータ装置12(NAT−Ra12−a、NAT−Rb12−b)で通信網1’が構成されている。
For example, as shown in FIG. 8, the router devices c11-c and Rg11-g in the
ナット機能から分かるように、ルータ装置11のサブ通信網ではプライベートアドレスが使用され、プライベートアドレスがグローバルアドレスに変換されるため、異なるサブ通信網では同一のプライベートアドレスが使用される場合があり、発信源を特定することが困難となる場合が生じ得る。そこで、ナット・ルータ装置12を含む通信網1’に本発明に係る発信源追跡情報提供装置10が適用可能となるように、図2に破線で示すように、ナットルータ装置検出部118を中央処理部101にさらに備えさせ、そして、追跡情報生成部114は、ナット情報を含む追跡情報メッセージを生成するように構成される。ナット情報は、ナット・ルータ装置12の種類(静的ナット・ルータ装置及び動的ナット・ルータ装置の別)、ナット・ルータ装置12におけるNAT変換前と後とにおけるIPアドレス及びNAPT機能の場合にはポート番号である。
As can be seen from the nut function, since the private address is used in the sub communication network of the
ナットルータ装置検出部118は、例えば、発信源追跡情報提供装置10が伝送路15に接続されると、伝送路15に接続されるルータ装置がナット・ルータ装置12であるか否かを問い合わせるメッセージ(ナットルータ検知メッセージ)を送信し、ナット・ルータ装置12である旨のメッセージを受信した場合には、さらに、ナット情報を当該ナット・ルータ装置12に要求するメッセージ(ナット情報要求メッセージ)を送信し、ナット情報を収容したメッセージを受信し、ナット情報を補助記憶部102に格納すると共に、追跡情報生成部114にナット情報を付加して追跡情報メッセージを生成するように通知する。このようなナット情報の取得は、例えば、SNMPが利用される。
For example, when the source tracking
ナットルータ装置検出部118から通知を受けると、追跡情報生成部114は、追跡情報メッセージを生成する際に、ナット情報を含む追跡情報メッセージを生成する。例えば、図9(A)に示すように、ナット情報を含む追跡情報メッセージ32は、図4(A)に示す追跡情報メッセージ30にナット情報を収容するナット情報部306をさらに備えて構成される。即ち、追跡情報メッセージ32は、ヘッダ部301と、タイムスタンプ部302と、後方リンク情報部303と、ナット情報部306と、付属情報部305とを備えて構成される。
When receiving the notification from the nut router
そして、追跡情報付加部116は、このようなナット情報を含む追跡情報メッセージ32に前方リンク情報を追加することになるので、図9(B)に示すように、追跡情報付加部116によって前方リンク情報が付加された追跡情報メッセージ33は、図9(A)に示す追跡情報メッセージ32に前方リンク情報が追加され、ヘッダ部301と、タイムスタンプ部302と、後方リンク情報部303と、前方リンク情報部304と、ナット情報部306と、付属情報部305とを備えて構成される。
Then, since the tracking
通信網がナット・ルータ装置12を含む通信網1’である場合でも、犠牲側端末装置3は、ナット情報を含む追跡情報メッセージ32、33を受信することができるので、ナット情報を参照することによって追跡結果の不整合を解消することができ、発信源を特定することができる。例えば、ナット・ルータ装置のサブ通信網内まで発信源の特定を行う場合に、サブ通信網内ではプライベート・アドレスが振ってあるため、異なるプライベート・アドレスに同一のグローバル・アドレスが割り当てられる場合が生じ得る結果、追跡結果にアドレスの重複が生じて追跡結果に不整合が生じ得るが、このような場合でもナット情報を参照することによって発信源を特定することができる。
Even when the communication network is the
また、通信網1を構成するルータ装置11の中には、バーチャル・プライベート・ネットワーク(VPN、Virtual Private network、仮想専用線、仮想私設網、以下「VPN」と略記する)を形成したのもが在る場合がある。VPNは、インターネット等の公衆通信ネットワークを専用線のように利用する仕組みである。VPNは、VPN通信用に通信パケットのヘッダを変換する機能と、通信パケットを暗号化する機能とから主に構成される。
In addition, a virtual private network (VPN, virtual private network, virtual private network, hereinafter abbreviated as “VPN”) is formed in the
図10は、実施形態に係る発信源追跡情報提供装置の適用された、VPNを含む通信網及び通信パケットの通信経路を示す図である。図10(A)は、実施形態に係る発信源追跡情報提供装置の適用された、VPNを含む通信網を示し、図10(B)は、通信パケットの実際の通信経路を示し、図10(C)は、VPNによる、通信パケットの仮想の通信経路を示す。図11は、VPN情報を含む追跡情報メッセージのフォーマットを示す図である。図11(A)は、追跡情報生成部による追跡情報メッセージのフォーマットを示し、図11(B)は、追跡情報付加部による追跡情報メッセージのフォーマットを示す。 FIG. 10 is a diagram illustrating a communication network including a VPN and a communication path of a communication packet to which the source tracking information providing apparatus according to the embodiment is applied. 10A shows a communication network including a VPN to which the source tracking information providing apparatus according to the embodiment is applied, FIG. 10B shows an actual communication path of a communication packet, and FIG. C) shows a virtual communication path of a communication packet by VPN. FIG. 11 is a diagram illustrating a format of a tracking information message including VPN information. FIG. 11A shows the format of the tracking information message by the tracking information generation unit, and FIG. 11B shows the format of the tracking information message by the tracking information adding unit.
例えば、図10に示すように、図1に示す通信網1におけるルータ装置f11−f及びRj11−j間にVPN13が形成されている。
For example, as shown in FIG. 10, a
VPN13を含む通信網1”に本発明に係る発信源追跡情報提供装置10が適用される場合には、図2に破線で示すように、VPNルータ装置検出部119を中央処理部101にさらに備えさせ、そして、追跡情報生成部114は、VPN情報を含む追跡情報メッセージを生成するように構成される。VPN情報は、VPNのカプセル化の前と後とにおけるIPアドレス、及び、セッション又はトンネルのID番号である。
When the source tracking
VPNルータ装置検出部119は、例えば、発信源追跡情報提供装置10が伝送路15に接続されると、伝送路15に接続されるルータ装置11がVPNを形成するルータ装置11であるか否かを問い合わせるメッセージ(VPN検知メッセージ)を送信し、VPNを形成している旨のメッセージを受信した場合には、さらに、SSL、IPsec及びMPLS等のVPNの種類及びVPN情報を当該ルータ装置11に要求するメッセージ(VPN情報要求メッセージ)を送信し、VPNの種類及びVPN情報を収容したメッセージを受信し、VPNの種類及びVPN情報を補助記憶部102に格納すると共に、追跡情報生成部114にVPN情報を付加して追跡情報メッセージを生成するように通知する。このようなVPN情報の取得は、例えば、SNMPが利用される。
For example, when the source tracking
VPNルータ装置検出部119から通知を受けると、追跡情報生成部114は、追跡情報メッセージを生成する際に、VPN情報を含む追跡情報メッセージを生成する。例えば、図11(A)に示すように、VPN情報を含む追跡情報メッセージ34は、図4(A)に示す追跡情報メッセージ30にVPN情報を収容するVPN情報部307をさらに備えて構成される。即ち、追跡情報メッセージ34は、ヘッダ部301と、タイムスタンプ部302と、後方リンク情報部303と、VPN情報部307と、付属情報部305とを備えて構成される。
Upon receiving the notification from the VPN router
そして、追跡情報付加部116は、このようなVPN情報を含む追跡情報メッセージ34に前方リンク情報を追加することになるので、図11(B)に示すように、追跡情報付加部116によって前方リンク情報が付加された追跡情報メッセージ35は、図11(A)に示す追跡情報メッセージ34に前方リンク情報が追加され、ヘッダ部301と、タイムスタンプ部302と、後方リンク情報部303と、前方リンク情報部304と、VPN情報部307と、付属情報部305とを備えて構成される。
The tracking
通信網がVPNを含む通信網1”である場合には、VPNの通信経路(図10(A)ではルータ装置f11−fからルータ装置c11−c及びルータd11−dを介してルータ装置j11−jに至る通信経路)における発信源追跡情報提供装置10(図10(A)では、発信源追跡情報提供装置c11−c、発信源追跡情報提供装置d11−d及び発信源追跡情報提供装置j11−j)では、追跡情報生成部114は、所定の確率によって生成した追跡情報メッセージをVPNを形成するルータ装置11(図10(A)では、ルータ装置f11−f又はルータ装置j11−j)に送信してしまう。また、VPNの通信経路における発信源追跡情報提供装置10では、カプセル化及び暗号化されているので、追跡情報メッセージ検出部112が追跡情報メッセージを検出することができない。さらに、VPNの設定によっては、例えば、WEBはVPNを介するが電子メールはVPNを介しない等のように通信の種類によってVPNを利用したりしなかったりするように設定することも可能であるので、同一の発信源であったとしても通信経路が見かけ上変わる結果、追跡結果に不整合が生じてしまう。
When the communication network is a
しかしながら、犠牲側端末装置3は、VPN情報を含む追跡情報メッセージ34、35を受信することができるので、VPN情報を参照することによってVPNを形成するルータ装置11同士を認識することができる。VPNを形成するルータ装置11同士があたかも直接伝送路によって接続されているかのように見える。そのため、実際の通信経路が図10(B)に示すようにルータ装置b11−bからルータ装置f11−f、ルータ装置c11−c、ルータ装置d11−d及びルータ装置j11−jを介してルータ装置k11−kであったとしても、通信経路を図10(C)に示すようにルータ装置b11−bからルータ装置f11−f及びルータ装置j11−jを介してルータ装置k11−kに至る通信経路とみなすことができ、発信源を特定することができる。また、VPNにおける実際の通信経路の分析(図10では、ルータ装置f11−fからルータ装置c11−c及びルータ装置d11−dを介してルータ装置j11−jに至る分析)が省略されるので、発信源までの通信経路をより早く特定することができる。
However, since the
10 発信源追跡情報提供装置
11 ルータ装置
12 ナット・ルータ装置
13 VPN
16 ハブ
20 コレクタ装置
30、31、32、33、34、35 追跡情報メッセージ
101、201 中央処理部
102、202 補助記憶部
103、203 通信インタフェース
104、204 内部記憶部
111、211 取込部
112、212 追跡情報メッセージ検出部
113 確率イベント発生部
114 追跡情報生成部
115 ルータ装置通過検出部
116 追跡情報付加部
117 送信部
118 ナットルータ装置検出部
119 VPNルータ装置検出部
213 発信源追跡部
214 タイマ部
301 ヘッダ部
302 タイムスタンプ部
303 後方リンク情報部
304 前方リンク情報部
305 付属情報部
306 ナット情報部
307 VPN情報部
2131 リンクリスト生成部
2132 発信源接続ルータ装置検出部
10 Source Tracking
16
Claims (7)
そのパケット収集手段により取り込まれた通信パケットに、通信パケットの発信源を追跡するための、追跡情報メッセージであることを示す識別子が含まれているかを判断する追跡メッセージ検出手段と、
その追跡メッセージ検出手段により、当該識別子が含まれていないと判断された場合に、所定の確率で、当該通信パケットに対して、追跡情報メッセージであることを示す識別子、並びに前記伝送路の両端に接続された各ルータ装置のアドレスを含んで成る後方リンク情報を格納する追跡メッセージ作成手段と、
前記追跡メッセージ検出手段により、当該識別子が含まれていると判断された場合に、さらに当該通信パケットがルータ装置を通過しているかを判断して、通過していると判断される場合に、当該通信パケットを複製して、その複製された通信パケットに、前記伝送路の両端に接続された各ルータ装置のアドレスを含んで成る前方リンク情報を格納する追跡メッセージ追加手段と、
その追跡メッセージ追加手段、又は前記追跡メッセージ作成手段から出力される通信パケットを前記伝送路上に送信するパケット送信手段と
を備えたことを特徴とする発信源追跡情報提供装置。 Packet collection means connected to the transmission line connecting the router devices and capturing communication packets from the transmission line;
A tracking message detecting means for determining whether the communication packet captured by the packet collecting means includes an identifier indicating that it is a tracking information message for tracking the source of the communication packet;
When it is determined by the tracking message detecting means that the identifier is not included, an identifier indicating that the communication packet is a tracking information message with respect to the communication packet, and both ends of the transmission path Tracking message creation means for storing back link information comprising the address of each connected router device;
When it is determined by the tracking message detection means that the identifier is included, it is further determined whether the communication packet has passed through the router device. A tracking message adding means for duplicating a communication packet and storing forward link information including addresses of router devices connected to both ends of the transmission path in the duplicated communication packet;
A source tracking information providing apparatus comprising: a tracking message adding unit or a packet transmitting unit that transmits a communication packet output from the tracking message generating unit on the transmission path.
そのパケット収集手段により取り込まれた通信パケットに、通信パケットの発信源を追跡するための、追跡情報メッセージであることを示す識別子が含まれているかを判断し、当該識別子が含まれていると判断された場合に、さらに所定期間内かどうか判断する追跡メッセージ検出手段と、
その追跡メッセージ検出手段により、当該所定期間内であると判断される場合に、追跡情報メッセージである当該通信パケットを格納する記憶手段と、
前記所定期間の終了後、当該記憶手段に含まれる追跡情報メッセージから、後方リンク情報と前方リンク情報とが一致するレコードを順に並べることにより発信源を追跡する発信源追跡手段とを備え、
請求項1記載の発信源追跡情報提供装置から送信された追跡情報メッセージより発信源を特定することを特徴とする発信源追跡装置。 Packet collection means connected to the transmission line connecting the router devices and capturing communication packets from the transmission line;
It is determined whether the communication packet captured by the packet collecting means includes an identifier indicating that it is a tracking information message for tracking the source of the communication packet, and it is determined that the identifier is included. A tracking message detecting means for determining whether or not it is within a predetermined period,
Storage means for storing the communication packet that is a tracking information message when the tracking message detection means determines that it is within the predetermined period;
After the end of the predetermined period, from the tracking information message included in the storage means, comprising a source tracking means for tracking the source by sequentially arranging records in which the backward link information and the forward link information match,
A source tracking apparatus, wherein a source is specified from a tracking information message transmitted from the source tracking information providing apparatus according to claim 1.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004016151A JP2005210518A (en) | 2004-01-23 | 2004-01-23 | Originating source tracking information providing device, and originating source tracking device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004016151A JP2005210518A (en) | 2004-01-23 | 2004-01-23 | Originating source tracking information providing device, and originating source tracking device |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005210518A true JP2005210518A (en) | 2005-08-04 |
Family
ID=34901396
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004016151A Withdrawn JP2005210518A (en) | 2004-01-23 | 2004-01-23 | Originating source tracking information providing device, and originating source tracking device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005210518A (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009278293A (en) * | 2008-05-13 | 2009-11-26 | Nec Corp | Packet transmitter identification system, packet transmitter identification method, and packet transmitter identification program |
WO2012111222A1 (en) | 2011-02-17 | 2012-08-23 | 日本電気株式会社 | Network system and network flow tracking method |
CN112702191A (en) * | 2020-12-11 | 2021-04-23 | 福建天晴在线互动科技有限公司 | Link tracking method and terminal |
-
2004
- 2004-01-23 JP JP2004016151A patent/JP2005210518A/en not_active Withdrawn
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009278293A (en) * | 2008-05-13 | 2009-11-26 | Nec Corp | Packet transmitter identification system, packet transmitter identification method, and packet transmitter identification program |
WO2012111222A1 (en) | 2011-02-17 | 2012-08-23 | 日本電気株式会社 | Network system and network flow tracking method |
US9313128B2 (en) | 2011-02-17 | 2016-04-12 | Nec Corporation | Network system and network flow tracing method |
US9560177B2 (en) | 2011-02-17 | 2017-01-31 | Nec Corporation | Network system and network flow tracing method |
CN112702191A (en) * | 2020-12-11 | 2021-04-23 | 福建天晴在线互动科技有限公司 | Link tracking method and terminal |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11470105B2 (en) | Attestation service gateway | |
Liljenstam et al. | Simulating realistic network worm traffic for worm warning system design and testing | |
US9584531B2 (en) | Out-of band IP traceback using IP packets | |
US11863434B2 (en) | System and method of providing policy selection in a network | |
US7562390B1 (en) | System and method for ARP anti-spoofing security | |
US7584506B2 (en) | Method and apparatus for controlling packet transmission and generating packet billing data on wired and wireless network | |
US11277442B2 (en) | Verifying the trust-worthiness of ARP senders and receivers using attestation-based methods | |
US11924043B2 (en) | Establishing trust relationships of IPv6 neighbors using attestation-based methods in IPv6 neighbor discovery | |
Ling et al. | Novel packet size-based covert channel attacks against anonymizer | |
Lee et al. | Study of detection method for spoofed IP against DDoS attacks | |
Khadka et al. | Distributed denial of service attack on cloud: detection and prevention | |
KR101081433B1 (en) | An ip traceback method with enhanced integrity for ipv6-based network and the recording medium thereof | |
CN112422486A (en) | SDK-based safety protection method and device | |
Carrier et al. | The session token protocol for forensics and traceback | |
JP2005210518A (en) | Originating source tracking information providing device, and originating source tracking device | |
US11558198B2 (en) | Real-time attestation of cryptoprocessors lacking timers and counters | |
JP3920668B2 (en) | Source tracking device and program | |
JP5190807B2 (en) | Packet path tracking system | |
Joshi et al. | Network Forensic Attribution | |
Armoogum et al. | Mobile Agents and Packet Marking for Real-Time IP Traceback | |
JP2009055222A (en) | Attack packet countermeasure system, attack packet countermeasure method, attack packet countermeasure device, and attack packet countermeasure program | |
Timchenko | A framework for anonymous background data delivery and feedback | |
JP2004363915A (en) | DoS ATTACH COUNTERMEASURE SYSTEM, METHOD, AND PROGRAM | |
JP2005303652A (en) | Suspicious tracing message detector, transmission source tracing information provider, and router device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20070403 |