JP2006050361A - フロー制御機能を有する通信システム及びそのネットワーク機器 - Google Patents

フロー制御機能を有する通信システム及びそのネットワーク機器 Download PDF

Info

Publication number
JP2006050361A
JP2006050361A JP2004230134A JP2004230134A JP2006050361A JP 2006050361 A JP2006050361 A JP 2006050361A JP 2004230134 A JP2004230134 A JP 2004230134A JP 2004230134 A JP2004230134 A JP 2004230134A JP 2006050361 A JP2006050361 A JP 2006050361A
Authority
JP
Japan
Prior art keywords
traffic
pause frame
flow control
extended
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004230134A
Other languages
English (en)
Inventor
Takahiro Furukawa
隆弘 古川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Telecom Networks Ltd
Original Assignee
Fujitsu Telecom Networks Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Telecom Networks Ltd filed Critical Fujitsu Telecom Networks Ltd
Priority to JP2004230134A priority Critical patent/JP2006050361A/ja
Publication of JP2006050361A publication Critical patent/JP2006050361A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

【課題】フロー制御機能を有する通信システム及びそのネットワーク機器に関し、Pauseフレームにより、特定のトラフィックに対してのみ送信を停止又は許可するフロー制御を行うことを可能にする。
【解決手段】IEEE802.3x方式のPauseフレームを用いたフロー制御によりトラフィック制御を行う通信システムにおいて、例えば、ネットワーク終端機器1−1は、Pauseフレームの拡張領域を用い、制御対象のトラフィックを指定した拡張Pauseフレームを、中継機器1−2、通信局側通信機器1−3、ユーザ側終端機器1−4、ユーザ端末1−5に配信し、制御対象のトラフィックが通過するネットワーク機器間で該拡張Pauseフレームをチェーン化し、各ネットワーク機器で拡張Pauseフレームにより指定されたトラフィックに対して、張Pauseフレームによる指定に従って送信を拒否又は許可するトラフィック制御を行う。
【選択図】 図1

Description

本発明は、フロー制御機能を有する通信システム及びそのネットワーク機器に関し、特に、Ethernet(登録商標)ネットワークにおける過度のトラフィック発生時に、フロー制御によるトラフィック制御を行う通信システム及びそのネットワーク機器に関する。
従来、IEEE802.3に準拠したEthernet(登録商標)ネットワークにおける機器間のパケット送受信において、端末から過度にトラフィックが発生された場合、ネットワークから溢れたパケットが廃棄され、パケットの損失が生じる。パケットの損失を防止するために、パケットの送信を制限するフロー制御が行われる。
ネットワーク機器がレイヤ2(L2)スイッチである場合、送受信されるパケットはパケットバッファに一時格納され、例えば100Mbpsのポートから10Mbpsのポートへ送信する場合などに発生するデータ量の差を吸収することができる。また、パケットバッファで吸収することができない量のパケットが流れ込み、バッファ・オーバーフローした場合は、フロー制御を行うことによりパケットの損失を防止している。
フロー制御は半二重通信と全二重通信とで異なる動作をし、半二重通信の場合、パケットを送信している機器に対してジャム信号を送信することによりパケットの送信を停止させる。この処理はバックプレッシャー方式と呼ばれ、Ethernet(登録商標)のCSMA/CD方式に基づくフロー制御である。
全二重通信の場合、パケットを送信している機器に対してPauseフレームを送信することによりパケットの送信を停止させる。Pauseフレームには個別に送信を停止させる時間情報が含まれており、このパケットを受信した機器は、その時間だけパケットの送信を停止する。この処理はIEEE802.3x方式と呼ばれている。
上述したように、ネットワーク機器間のパケット送受信において、過度のトラフィックが発生した場合、バックプレッシャー方式又はIEEE802.3x方式によるフロー制御によって、ネットワーク機器のパケット送信量を制限することにより、パケットの損失を防止している。
本発明に関連する先行技術文献として、バックプレッシャー方式によるフロー制御方式及びそのハブに関して下記の特許文献1に記載されている。また、データ転送を行いながら、多数の端末に対して同時に性能評価を行い、端末からの受信状況報告により通信速度を調節することにより、通信ネットワーク上や端末でのデータ溢れを軽減し、データ受信効率の良い多端末への情報配送を実現するフロー制御方法及びシステムに関して下記の特許文献2に記載されている。
特許第3413696号公報 特許第3326675号公報
従来のフロー制御は、Pauseフレームが受信される全ての機器に対してパケットの送信を停止させる制御であり、或る特定のトラフィックに対してのみパケットの送信を停止させるフロー制御を行うことができない。このため、或る特定の機器(例えば悪意あるユーザの端末)がネットワークに対して過度のトラフィックを送信した場合、そのトラフィックを抑制するためにPauseフレームを送信すると、該Pauseフレームを受信した機器は、他のユーザの端末からのパケット送信に対しても制限・停止の処理を行ってしまう。
従って、従来のフロー制御によるトラフィック制御では、Ethernet(登録商標)ネットワークにおいて、或る特定の機器がネットワークに対して過度のトラフィックを送信した場合、その特定の機器だけでなく、該過度のトラフィックが通過する全ての機器に対してもPauseフレームによるフロー制御を行うため、該Pauseフレームを受信した全ての機器がパケット送信を停止してしまう。このため、ネットワーク全体のスループット低下の原因となり、他の機器の通信へ悪影響を及ぼす結果となってしまうという問題がある。
また、優先制御機能により通信サービス品質(QoS)の制御を行っているネットワークにおいては、Pauseフレームの受信によりフロー制御を行う際に、トラフィックの優先度に関わらず、全てのトラフィックを制限・停止する処理を行ってしまうため、優先度の高いトラフィックまで、一律に送信を制限・停止されてしまうという問題がある。
本発明はこのような問題を解決するものであり、或る特定の機器がネットワークに対して過度のトラフィックを送信した場合に、その特定の機器を指定してフロー制御を行うなど、特定のトラフィックに対してのみ、送信停止又は送信許可のフロー制御を行うことが可能な通信システム及びそのネットワーク機器を提供することを目的とする。
本発明のフロー制御機能を有する通信システムは、(1)IEEE802.3x方式のPauseフレームを用いたフロー制御により、ネットワークのトラフィック制御を行う通信システムにおいて、前記Pauseフレームの拡張領域を用い、制御対象のトラフィックを指定した拡張Pauseフレームを、前記通信システムを構成する各ネットワーク機器に配信し、制御対象のトラフィックが通過するネットワーク機器間で該拡張Pauseフレームをチェーン化し、前記各ネットワーク機器で、前記拡張Pauseフレームにより指定されたトラフィックに対して、該張Pauseフレームによる指定に従って送信を拒否又は許可するトラフィック制御を行うことを特徴とする。
また、(2)フロー制御の対象のトラフィックを、該トラフィックの送信元又は宛先のネットワークアドレスによって指定した前記拡張Pauseフレームを配信することを特徴とする。また、(3)フロー制御の対象のトラフィックを、該トラフィックの通信サービス品質(QoS)レベルによって指定した前記拡張Pauseフレームを配信することを特徴とする。また、(4)フロー制御の対象のトラフィックを、該トラフィックのバーチャルローカルエリアネットワーク識別子(VLAN−ID)によって指定した前記拡張Pauseフレームを配信することを特徴とする。
また、(5)フロー制御の対象の複数のトラフィックを、該トラフィックの送信元又は宛先のネットワークアドレス、通信サービス品質(QoS)レベル又はバーチャルローカルエリアネットワーク識別子(VLAN−ID)によって、一つの拡張Pauseフレームにまとめて指定した前記拡張Pauseフレームを配信することを特徴とする。また、(6)フロー制御の対象のトラフィックを、送信許可又は送信拒否を示すパラメーターと共に指定した前記拡張Pauseフレームを配信することを特徴とする。
また、本発明の通信システムのネットワーク機器は、(7)前述の通信システムを構成するネットワーク機器であって、前記Pauseフレームの拡張領域を用いて制御対象のトラフィックを指定した拡張Pauseフレームを、該制御対象のトラフィックが通過する他のネットワーク機器に送信する拡張Pauseフレーム送信手段と、前記拡張Pauseフレームにより指定されている制御対象トラフィックを識別し、該張Pauseフレームによる指定に従って、該トラフィックの送信を拒否又は許可するトラフィック制御手段とを備えたことを特徴とする。
本発明によるトラフィック制御は、ネットワークに過度のトラフィックが発生したとき、トラフィック(パケット)の送信元又は宛先のアドレス、通信サービス品質(QoS)レベル又はバーチャルローカルエリアネットワーク識別子(VLAN−ID)等を指定した拡張Pauseフレームによるフロー制御を行うため、特定のユーザ端末、特定の通信サービス品質(QoS)又は特定のバーチャルローカルエリアネットワーク識別子(VLAN−ID)のパケットの送信のみを停止させるトラフィック制御を行うことができる。このため、他の機器の通信へ影響を与えることなく、フロー制御によるトラフィック制御を行うことができ、ネットワーク全体のスループットを向上させることが可能となる。
また、送信パケットの送信元又は宛先のアドレス、通信サービス品質(QoS)クラスを指定してトラフィックを制御することができるため、ネットワーク全体で悪意の有るユーザからのトラフィックのみに対して制限を掛け、或いは高優先度のトラフィックのみに対して制限を外して優先的に送信するといったように、特定のトラフィックを指定した規制又は優遇措置を行うフロー制御が可能となる。
なお、IEEE802.3x方式による、プロトコルの下位レイヤに位置するPauseフレームの拡張領域を使用して、フロー制御の対象となるトラフィックを指定することにより、他の高位レイヤで行うトラフィック制御方式に比べて、簡素な構成で、かつ高速なトラフィック制御処理を行うことが可能となる。
図1は本発明によるEthernet(登録商標)通信システムの構成例を示す。同図に示す構成例において、ブロードバンドアクセスサーバ(BAS)であるネットワーク終端機器1−1でトラフィック制御を行う必要が生じた場合、該トラフィックの送信元に対するPauseフレームの送信によりフロー制御を行う。
ネットワーク終端機器1−1は、Pauseフレームの拡張領域を用いて制御対象のトラフィックを指定したPauseフレーム(以下「拡張Pauseフレーム」という)を、該トラフィックが通過する中継機器1−2に送信し、該拡張Pauseフレームの受信した中継機1−2からは同様に、該トラフィックが通過する機器に該拡張Pauseフレームを順々に転送し、通信局側終端機器1−3及びユーザ側終端機器1−4に該拡張Pauseフレームを配送する。
この動作により、中継機器1−2、通信局側終端機器1−3及びユーザ側終端機器1−4の間で拡張Pauseフレームがチェーン化され、ネットワーク終端機器1−1が送信した拡張Pauseフレームはユーザ端末1−5にまで到達する。従って、本発明によるEthernet(登録商標)通信システムでは、ネットワーク終端機器1−1が送信した拡張Pauseフレームを、制御対象トラフィックの送信元であるユーザ端末1−5まで到達させることができるので、特定のトラフィックのみに対するフロー制御によるトラフィック制御が可能となる。
本発明による拡張Pauseフレームについて図2を参照して説明する。拡張Pauseフレームは、IEEE802.3xで規定されたPauseフレームの拡張領域に、図2に示すように、例えば、制御対象のトラフィックのタイプを表す“Target Type”、制御対象を指定する拡張領域の長さを表す“Length”、及び制御対象のトラフィックのタイプに対応した個別内容を表す可変長の“Value”の各フィールドを定義して使用するものである。
“Target Type”として、例えば図2に示すように、“0x0001”は通信を停止させるMACアドレスを、“0x0002”は通信を停止させるIPv4アドレスを、“0x0003”は通信を停止させるIPv6アドレスを、“0x0004”は通信を停止させるIEEE802.3pのQoSレベルを、“0x0005”は通信を停止させるIEEE802.3qのVLAN−IDを表すものとする。
また、“0x1001”は通信を停止させないMACアドレスを、“0x1002”は通信を停止させないIPv4アドレスを、“0x1003”は通信を停止させないIPv6アドレスを、“0x1004”は通信を停止させないIEEE802.3pのQoSレベルを、“0x1005”は通信を停止させないIEEE802.3qのVLAN−IDを表すものとする。このような拡張Pauseフレームを送信することにより、制御対象のトラフィックを指定したフロー制御によるトラフィック制御が可能となる。
上述の拡張Pauseフレームの“Target Type”として、“0x0001”、“0x0002”、“0x0003”、“0x1001”、“0x1002”又は“0x1003”を指定し、“Value”として、トラフィック制御対象のMACアドレス、IPv4アドレス又はIPv6アドレスを指定することにより、アドレスを指定したトラフィック制御が可能となる。
例えば、図1の中継機器1−2、通信局側終端機器1−3、ユーザ側終端機器1−4及びユーザ端末1−5が、図3(a)に示す拡張Pauseフレームを受信した場合、中継機器1−2、通信局側終端機器1−3及びユーザ側終端機器1−4は、該当するMACアドレスからのパケットを受信した場合、該パケットを廃棄し、該当するMACアドレス以外からのパケットを受信した場合は、該パケットを廃棄することなく、通常どおり転送処理を行う。
また、該当するMACアドレスのユーザ端末1−5は、この拡張Pauseフレームを受信すると、パケットの送信を停止し、該当するMACアドレス以外のユーザ端末は、この拡張Pauseフレームを受信しても無視し、通常どおりパケットを送信する。
次に、中継機器1−2、通信局側終端機器1−3、ユーザ側終端機器1−4及びユーザ端末1−5が、図3(b)に示す拡張Pauseフレームを受信した場合、中継機器1−2、通信局側終端機器1−3及びユーザ側終端機器1−4は、該当するMACアドレスからのパケットを受信した場合、通常どおりに該パケットの転送処理を行うが、該当するMACアドレス以外からのパケットを受信した場合、該パケットを廃棄する。
また、該当するMACアドレスのユーザ端末1−5は、この拡張Pauseフレームを受信しても無視して通常どおりにパケットを送信し、該当するMACアドレス以外のユーザ端末は、この拡張Pauseフレームを受信すると、パケットの送信を停止する。
また、前述の拡張Pauseフレームの“Target Type”として、“0x0004”又は“0x1004”を指定し、“Value”として、トラフィック制御対象のQoSレベルを指定することにより、QoSレベルを指定したフロー制御によるトラフィック制御が可能となる。
例えば、中継機器1−2、通信局側終端機器1−3、ユーザ側終端機器1−4及びユーザ端末1−5が、図4(a)に示す拡張Pauseフレームを受信した場合、中継機器1−2、通信局側終端機器1−3及びユーザ側終端機器1−4は、該当するQoSレベルのパケットを受信すると該パケットを廃棄し、該当するQoSレベル以外のパケットを受信した場合は通常どおりに該パケットの転送処理を行う。
また、該当するQoSレベルのパケットを送信しているユーザ端末1−5は、この拡張Pauseフレームを受信すると、該当するQoSレベルのパケットの送信のみを停止し、該当するQoSレベル以外のパケットを送信しているユーザ端末1−5は、このPauseフレームを受信しても無視して通常時と同様に該パケットを送信する。
次に、中継機器1−2、通信局側終端機器1−3、ユーザ側終端機器1−4及びユーザ端末1−5が、図4(b)に示す拡張Pauseフレームを受信した場合、中継機器1−2、通信局側終端機器1−3及びユーザ側終端機器1−4は、該当するQoSレベルのパケットを受信すると、通常時と同様に該パケットの転送処理を行うが、該当するQoSレベル以外のパケットを受信すると、該パケットを廃棄する。
また、該当するQoSレベルのパケットを送信しているユーザ端末1−5は、この拡張Pauseフレームを受信すると、該当するQoSレベル以外のパケットの送信を停止し、該当するQoSレベル以外のパケットを送信しているユーザ端末1−5は、このPauseフレームを受信すると、そのパケットの送信を停止する。
前述の拡張Pauseフレームの“Target Type”として“0x0005”、又は“0x1005”と指定し、“Value”としてトラフィック制御対象のVLAN−IDを指定することにより、VLAN−IDを指定したフロー制御によるトラフィック制御が可能となる。
例えば、中継機器1−2、通信局側終端機器1−3、ユーザ側終端機器1−4及びユーザ端末1−5が、図5(a)に示す拡張Pauseフレームを受信した場合、中継機器1−2、通信局側終端機器1−3及びユーザ側終端機器1−4は、該当するVLAN−IDからのパケットを受信すると該パケットを廃棄し、該当するVLAN−ID以外からのパケットを受信すると通常時と同様に該パケットの転送処理を行う。
また、該当するVLAN−IDのパケットを送信しているユーザ端末1−5は、この拡張Pauseフレームを受信すると、該当するVLAN−IDのパケットの送信のみを停止し、該当するVLAN−ID以外のパケットを送信しているユーザ端末1−5は、この拡張Pauseフレームを受信しても無視して通常どおりパケットを送信する。
中継機器1−2、通信局側終端機器1−3、ユーザ側終端機器1−4及びユーザ端末1−5が、図5(b)に示す拡張Pauseフレームを受信した場合、中継機器1−2、通信局側終端機器1−3及びユーザ側終端機器1−4は、該当するVLAN−IDからのパケットを受信すると通常どおりに該パケットの転送処理を行い、該当するVLAN−ID以外からのパケットを受信すると該パケットを廃棄する。
また、該当するVLAN−IDのパケットを送信しているユーザ端末1−5は、この拡張Pauseフレームを受信すると、該当するVLAN−ID以外のパケットの送信を停止し、該当するVLAN−ID以外のパケットを送信しているユーザ端末1−5は、この拡張Pauseフレームを受信するとパケットの送信を停止する。
このように、拡張Pauseフレームの“Target Type”フィールドに、例えば“0x0xxx”を指定したときは通信の拒否を示し、通信を停止させるアドレスを指定する場合、“Target Type”に“0x0001”、“0x0002”又は“0x0003”を指定する。また、通信を停止させるQoSレベルを指定する場合、“Target Type”に“0x0004”を指定する。また、通信を停止させるVLAN−IDを指定する場合、“Target Type”に“0x0005を指定する。
また、“Target Type”に、例えば“0x1xxx”を指定したときは通信の許可を示し、通信を許可するアドレスを指定する場合、“Target Type”に“0x1001”、“0x1002”又は“0x1003”を指定する。また、通信を許可するQoSレベルを指定する場合、“Target Type”に“0x1004”を指定し、通信を許可するVLAN−IDを指定する場合、“Target Type”に“0x1005”を指定する。
このように、拡張Pauseフレームを用いることにより、通信の拒否/許可の指定とその対象となるアドレス、QoSレベル又はVLAN−IDとを指定したフロー制御によるトラフィック制御が可能となる。なお、図1の中継機器1−2、通信局側終端機器1−3、ユーザ側終端機器1−4及びユーザ端末1−5は、上述の拡張Pauseフレームを受信すると、該拡張Pauseフレームの指定内容に従ってパケット送信を停止又は許可するフロー制御を行う。
更に、本発明による拡張Pauseフレームは、“Target Type”、“Length”及び“Value”から成る1組の制御対象トラフィック指定情報を、1つのPauseフレームの拡張領域に複数挿入することにより、複数のトラフィックに対してそのアドレス、QoSレベル又はVLAN−IDについてのフロー制御を、1つの拡張Pauseフレームにより行うことができる。
例えば、中継機器1−2、通信局側終端機器1−3、ユーザ側終端機器1−4及びユーザ端末1−5が、図6に示す拡張Pauseフレームを受信した場合、中継機器1−2、通信局側終端機器1−3及びユーザ側終端機器1−4は、該拡張Pauseフレームで指定されたアドレス、QoSレベル及びVLAN−IDのパケットを受信すると、それらのパケットを廃棄し、拡張Pauseフレームで指定されていないアドレス、QoSレベル及びVLAN−IDのパケットを受信すると、通常時と同様にそれらのパケットの転送処理を行う。
また、該当するアドレス、QoSレベル又はVLAN−IDのパケットを送信しているユーザ端末1−5は、この拡張Pauseフレームを受信すると、該当するパケットの送信を停止し、それ以外のパケットを送信しているユーザ端末1−5はこの拡張Pauseフレームを受信しても無視してパケットを送信する。
本発明による拡張Pauseフレームの転送処理のフローの一例を図7に示す。中継機器1−2、通信局側終端機器1−3及びユーザ側終端機器1−4は、Pauseフレームを受信すると、該PauseフレームがIEEE802.3xのPauseフレームか拡張Pauseフレームかを、拡張部分があるかないかによって判別する(ステップ7−1)。
ここで、IEEE802.3xのPauseフレームであると判別された場合は、受信したPauseフレームを転送せず、通常のIEEE802.3xによるフロー制御処理を行い、Pauseフレームによって指定された時間だけ、受信ポートへのパケット送信を停止する(ステップ7−2)。
拡張Pauseフレームと判別された場合は、以下の手順で処理を行う。最初に拡張部分の“Target Type”のチェックを行い(ステップ7−3)、通信の拒否/許可を判別する(ステップ7−4)。“Target Type”が“0x1xxx”である場合、通信の許可を指定した拡張Pauseフレームであるため、受信した拡張Pauseフレームを全ポートへ転送する(ステップ7−5)。
“Target Type”が“0x0xxx”である場合、通信の拒否を指定した拡張Pauseフレームであるため、“Target Type”全体を識別し(ステップ7−6)、その“Value”と宛先を管理する管理テーブルとを照合し(ステップ7−7)、その“Value”が管理テーブルに登録されているか否かを判定する(ステップ7−8)。
該“Value”が管理テーブルに登録されている場合、受信した拡張Pauseフレームを管理テーブルに従って該当ポートにのみ転送し(ステップ7−9)、該“Value”が管理テーブルに登録されていない場合、受信したPauseフレームを全ポートに転送する(ステップ7−5)。このように、宛先を管理する管理テーブルを参照して拡張Pauseフレームを制御対象トラフィックが通過する機器にのみ転送することが可能となる。
次に、本発明による拡張Pauseフレームの送信処理のフローの一例を図8及び図9を参照して説明する。例えば、或るユーザ端末1−5がDoS攻撃等を行っているため、ネットワーク終端機器1−1にトラフィックが集中している場合、図8に示すように、ネットワーク終端機器1−1は、ステップ8−1、8−3又は9−1により、DoS攻撃、DDoS攻撃又はland攻撃を検出すると、ステップ8−2、8−4又は9−2により、“Target Type”値を“0x0002”又は“0x0003”とし、その“Target Type”の“Value”値を該当するIPv4又はIPv6アドレスとした拡張Pauseフレームを送信する。
また、ネットワーク終端機器1−1は、ステップ8−5又は9−3により、IP spoofing攻撃又はsmurf攻撃を検出すると、ステップ8−6又は9−4により、“Target Type”値を“0x0001”とし、その“Target Type”の“Value”値を該当するMACアドレスとした拡張Pauseフレームを送信する。
また、管理者等による拡張Pauseフレームの手動送信が行われた場合(ステップ9−5)、ネットワーク終端機器1−1は、“Target Type”値とその“Value”値に任意に設定された拡張Pauseフレームを送信する(ステップ9−6)。上記以外の場合、ネットワーク終端機器1−1は拡張Pauseフレームを送信しない(ステップ9−7)。
拡張Pauseフレームを手動送信する例として、例えば、或る複数のユーザ端末がインターネットヘビーユーザであり、ネットワーク終端機器1−1にこの複数のユーザ端末のトラフィックが集中している場合、管理者等がネットワーク終端機器1−1から制御対象のQoSレベルを指定した拡張Pauseフレームを送信することにより、例えばVoIPで通話しているユーザのパケット転送がスムーズに行われるようになる。
なお、前述のDoS(Denial of Service)攻撃は、サービス妨害攻撃又はサービス不能攻撃などと呼ばれ、インターネット経由での不正アクセスの1つであり、大量のデータや不正パケットを送り付けるなどの不正な攻撃を指す。また、DDoS(Distributed Denial of Service)攻撃は、分散サービス妨害と呼ばれ、第三者のマシンに攻撃プログラムを仕掛けて踏み台にし、その踏み台とした多数のマシンから標的とするマシンに大量のパケットを同時に送信する攻撃である。このように攻撃元が複数で、標的とされたコンピュータが1つであった場合、その標的とされるコンピュータにかけられる負荷は、より大きなものになる。攻撃元が1つの場合はDoS攻撃となる。
また、Spoofingは、他人のユーザIDやパスワードを盗用し、その人のふりをしてネットワーク上で活動する行為で、本人しか見ることができない機密情報を盗み出したり、悪事を働いてその人に責任を負わせたりする行為である。電子メールや多くの掲示板では認証を行わないため、他人の名前やメールアドレスでの投稿を行なうことにより、簡単になりすましが可能となってしまう。但し、IPアドレス等まで完全に他人になりすますことは容易でないため、IPアドレス等を基になりすましか否かの判断が可能な場合が多い。
また、land攻撃は、送信元アドレスと受信先アドレスとが同一のパケットを用いた攻撃である。TCPのプロトコルでコネクションを開始するとき、クライアントはサーバに対してSYNパケットを送信する。サーバはこれに対しACK+SYNパケットをクライアントに投げ返す。最後にクライアントはACKパケットをサーバに送信することでコネクションが確立する(3ウェイ・ハンドシェーク)。
Land攻撃では、SYNパケットの送信元アドレスを攻撃対象のサーバのアドレスとする。つまり、送信元アドレスを偽造し、受信先アドレスと同一にする。更に送信元のポート番号も受信先のポート番号と同一にする。この偽造したパケットを攻撃対象のサーバに送信すると、サーバは送信元のアドレスに対して、ACK+SYNパケットを送信しようとする。しかし送信元アドレスは偽造されており、しかもサーバのアドレスであるので、サーバは自分自身に対してパケットを送信することになり無駄な負荷がかかる。つまり、攻撃者が偽造したパケットを送りつづけることにより、最終的にサーバは応答不能に陥ってしまう。
また、smurf攻撃は、送信元アドレスを偽造したICMP Echo Requestパケットを送信することにより、ターゲットとなるホストにICMP Echo Replyパケットを大量に送りつける攻撃である。ネットワークを介した通信確認のためのツールにpingコマンドがあるが、pingコマンドでは通信確認したい相手に対してICMP Echo Requestパケットを送信する。このパケットを受け取った側は、ICMP Echo Replyパケットを投げ返すことにより通信確認が行われる。しかし、ICMP Echo Requestパケットを特定のホストではなく、ブロードキャストアドレスに対して送信した場合、そのネットワークに属するすべてのコンピュータからICMP Echo Replyパケットが投げ返されてくる。Smurf攻撃はこれを悪用した攻撃である。
本発明による通信システムの構成例を示す図である。 本発明による拡張Pauseフレームを示す図である。 本発明によるMACアドレスを指定する拡張Pauseフレームフォーマット例を示す図である。 本発明によるQoSレベルを指定する拡張Pauseフレームフォーマット例を示す図である。 本発明によるVLAN−IDを指定する拡張Pauseフレームフォーマット例を示す図である。 本発明によるMACアドレス、QoSレベル及びVLAN−IDを指定する拡張Pauseフレームフォーマット例を示す図である。 本発明における拡張Pauseフレームの転送処理フローの例を示す図である。 本発明における拡張Pauseフレームの送信処理フローの例を示す図である。 本発明における拡張Pauseフレームの送信処理フローの例を示す図である。
符号の説明
1−1 ネットワーク終端機器
1−2 中継機器
1−3 通信局側終端機器
1−4 ユーザ側終端機器
1−5 ユーザ端末

Claims (7)

  1. IEEE802.3x方式のPauseフレームを用いたフロー制御により、ネットワークのトラフィック制御を行う通信システムにおいて、
    前記Pauseフレームの拡張領域を用い、制御対象のトラフィックを指定した拡張Pauseフレームを、前記通信システムを構成する各ネットワーク機器に配信し、制御対象のトラフィックが通過するネットワーク機器間で該拡張Pauseフレームをチェーン化し、
    前記各ネットワーク機器で、前記拡張Pauseフレームにより指定されたトラフィックに対して、該張Pauseフレームによる指定に従って送信を拒否又は許可するトラフィック制御を行うことを特徴とするフロー制御機能を有する通信システム。
  2. フロー制御の対象のトラフィックを、該トラフィックの送信元又は宛先のネットワークアドレスによって指定した前記拡張Pauseフレームを配信することを特徴とする請求項1に記載のフロー制御機能を有する通信システム。
  3. フロー制御の対象のトラフィックを、該トラフィックの通信サービス品質(QoS)レベルによって指定した前記拡張Pauseフレームを配信することを特徴とする請求項1に記載のフロー制御機能を有する通信システム。
  4. フロー制御の対象のトラフィックを、該トラフィックのバーチャルローカルエリアネットワーク識別子(VLAN−ID)によって指定した前記拡張Pauseフレームを配信することを特徴とする請求項1に記載のフロー制御機能を有する通信システム。
  5. フロー制御の対象の複数のトラフィックを、該トラフィックの送信元又は宛先のネットワークアドレス、通信サービス品質(QoS)レベル又はバーチャルローカルエリアネットワーク識別子(VLAN−ID)によって、一つの拡張Pauseフレームにまとめて指定した前記拡張Pauseフレームを配信することを特徴とする請求項1に記載のフロー制御機能を有する通信システム。
  6. フロー制御の対象のトラフィックを、送信許可又は送信拒否を示すパラメーターと共に指定した前記拡張Pauseフレームを配信することを特徴とする請求項1乃至5の何れかに記載のフロー制御機能を有する通信システム。
  7. 請求項1乃至6に記載のフロー制御機能を有する通信システムを構成するネットワーク機器であって、
    前記Pauseフレームの拡張領域を用いて制御対象のトラフィックを指定した拡張Pauseフレームを、該制御対象のトラフィックが通過する他のネットワーク機器に送信する拡張Pauseフレーム送信手段と、
    前記拡張Pauseフレームにより指定されている制御対象トラフィックを識別し、該張Pauseフレームによる指定に従って、該トラフィックの送信を拒否又は許可するトラフィック制御手段と
    を備えたことを特徴とするフロー制御機能を有する通信システムのネットワーク機器。
JP2004230134A 2004-08-06 2004-08-06 フロー制御機能を有する通信システム及びそのネットワーク機器 Pending JP2006050361A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004230134A JP2006050361A (ja) 2004-08-06 2004-08-06 フロー制御機能を有する通信システム及びそのネットワーク機器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004230134A JP2006050361A (ja) 2004-08-06 2004-08-06 フロー制御機能を有する通信システム及びそのネットワーク機器

Publications (1)

Publication Number Publication Date
JP2006050361A true JP2006050361A (ja) 2006-02-16

Family

ID=36028376

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004230134A Pending JP2006050361A (ja) 2004-08-06 2004-08-06 フロー制御機能を有する通信システム及びそのネットワーク機器

Country Status (1)

Country Link
JP (1) JP2006050361A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011182209A (ja) * 2010-03-02 2011-09-15 Nec Engineering Ltd フロー制御回路およびフロー制御方法
JP2012142750A (ja) * 2010-12-28 2012-07-26 Nec Corp データ中継装置および通信優先制御方法
JP2013026680A (ja) * 2011-07-15 2013-02-04 Hitachi Ltd ネットワーク装置及び送信フレームの制御方法
JP2014086891A (ja) * 2012-10-24 2014-05-12 Nec Corp 通信中継装置、仮想マシンサーバ、帯域制御システム、帯域制御方法およびプログラム

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011182209A (ja) * 2010-03-02 2011-09-15 Nec Engineering Ltd フロー制御回路およびフロー制御方法
JP2012142750A (ja) * 2010-12-28 2012-07-26 Nec Corp データ中継装置および通信優先制御方法
JP2013026680A (ja) * 2011-07-15 2013-02-04 Hitachi Ltd ネットワーク装置及び送信フレームの制御方法
JP2014086891A (ja) * 2012-10-24 2014-05-12 Nec Corp 通信中継装置、仮想マシンサーバ、帯域制御システム、帯域制御方法およびプログラム

Similar Documents

Publication Publication Date Title
US8879388B2 (en) Method and system for intrusion detection and prevention based on packet type recognition in a network
US7379423B1 (en) Filtering subscriber traffic to prevent denial-of-service attacks
Handley et al. Internet denial-of-service considerations
US7818795B1 (en) Per-port protection against denial-of-service and distributed denial-of-service attacks
EP1844596B1 (en) Method and system for mitigating denial of service in a communication network
US7764612B2 (en) Controlling access to a host processor in a session border controller
US8904514B2 (en) Implementing a host security service by delegating enforcement to a network device
Yaar et al. SIFF: A stateless Internet flow filter to mitigate DDoS flooding attacks
US7490351B1 (en) Controlling ARP traffic to enhance network security and scalability in TCP/IP networks
US7480707B2 (en) Network communications management system and method
US7499395B2 (en) BFD rate-limiting and automatic session activation
CN100555991C (zh) 报文访问控制的方法、转发引擎装置和通信设备
US10931711B2 (en) System of defending against HTTP DDoS attack based on SDN and method thereof
US8320249B2 (en) Method and system for controlling network access on a per-flow basis
US20090059935A1 (en) Colored access control lists for multicast forwarding using layer 2 control protocol
EP1994673A2 (en) Role aware network security enforcement
WO2005024567A2 (en) Network communication security system, monitoring system and methods
CN101662423A (zh) 单一地址反向传输路径转发的实现方法及装置
CN101340440A (zh) 一种防御网络攻击的方法及其装置
CN100420197C (zh) 一种实现网络设备防攻击的方法
WO2016177131A1 (zh) 防止dos攻击方法、装置和系统
WO2009121253A1 (zh) 防止攻击的网络的配置方法、防止攻击的方法和装置
US7551559B1 (en) System and method for performing security actions for inter-layer binding protocol traffic
WO2003013070A2 (en) Packet flooding defense system
WO2006131058A1 (fr) Procede et dispositif assurant la securite d'un reseau federateur