JP2007142841A - 攻撃パケット迂回システム、方法、およびトンネル機能付きルータ - Google Patents
攻撃パケット迂回システム、方法、およびトンネル機能付きルータ Download PDFInfo
- Publication number
- JP2007142841A JP2007142841A JP2005334345A JP2005334345A JP2007142841A JP 2007142841 A JP2007142841 A JP 2007142841A JP 2005334345 A JP2005334345 A JP 2005334345A JP 2005334345 A JP2005334345 A JP 2005334345A JP 2007142841 A JP2007142841 A JP 2007142841A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- tunnel
- attack
- line
- router
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】正常パケットを、ループを発生することなく宛先に正しく転送する。
【解決手段】正常コンピュータ2が被攻撃サーバ3に正常パケットの送信を開始すると、トンネル機能付ルータ222は、宛先アドレスがアクセス制御リスト2005の宛先アドレスとマッチするため該パケットを、トンネル212を使って攻撃パケット検出・対処装置201に転送する。装置201は、該パケットを分析し、この場合、正常パケットであるので該パケットを返信する。ルータ231は、IPルーティングにより該パケットをルータ222に転送する。ルータ222では、受信したパケットの回線と宛先アドレスがアクセス制御リスト2005の回線と宛先アドレスとマッチしないためルーティングテーブル2006に従いそのパケットをルータ232に転送する。ルータ232は、IPルーティングにより該パケットを被攻撃サーバ3に転送する。
【選択図】図6
【解決手段】正常コンピュータ2が被攻撃サーバ3に正常パケットの送信を開始すると、トンネル機能付ルータ222は、宛先アドレスがアクセス制御リスト2005の宛先アドレスとマッチするため該パケットを、トンネル212を使って攻撃パケット検出・対処装置201に転送する。装置201は、該パケットを分析し、この場合、正常パケットであるので該パケットを返信する。ルータ231は、IPルーティングにより該パケットをルータ222に転送する。ルータ222では、受信したパケットの回線と宛先アドレスがアクセス制御リスト2005の回線と宛先アドレスとマッチしないためルーティングテーブル2006に従いそのパケットをルータ232に転送する。ルータ232は、IPルーティングにより該パケットを被攻撃サーバ3に転送する。
【選択図】図6
Description
本発明は、あるユーザに対し過度のトラヒックを送信することによりそのユーザのサービス停止を狙ったDoS(Denial of Service)などの攻撃パケットを含む被疑パケットをネットワーク外部の装置に迂回させ、その装置で被疑パケットが攻撃か正常かを区別し、攻撃パケットは迂回先装置で対処するが、正常パケットはネットワーク内に戻すシステムに関する。
攻撃パケットを対処する方法として、ルータのような、攻撃パケットが疎通しているネットワーク内の装置が、その攻撃パケットをネットワーク外部の対処装置に転送し、その対処装置において、攻撃パケットを処理する方式が提案されている(例えば、特許文献1、非特許文献1参照)。
特許文献1の請求項1において記述されている攻撃パケット迂回システム構成を図10に示す。図10のシステムでは、ネットワーク100は、攻撃コンピュータ1と正常コンピュータ2と攻撃コンピュータ1から攻撃を受ける被攻撃サーバ3を、それぞれトンネル機能付ルータ11、トンネル機能付ルータ12、迂回機能付ルータ13を介して収容している。トンネル機能付ルータ11、12と迂回機能付ルータ13との間にはそれぞれ、GRE(Generic routing encapsulation)、レイヤ2トンネルプロトコル、MPLS(multi−protocol label switching)等のトンネルを設定するプロトコルを使って、トンネル21,22が設定されている。すなわち、トンネル機能付ルータ11、12と迂回機能付ルータ13の間に複数のネットワーク中継装置があっても、このトンネルを使うことによって、トンネル機能付ルータ11、12を出発したパケットは必ず迂回機能付ルータ13まで届けられる。
迂回機能付ルータ13は、攻撃と疑うパケット(被疑パケット)を検出する被疑パケット検出装置4と、被疑パケットの迂回指示を行う迂回指示装置5と、迂回された被疑パケットから攻撃パケットを抽出し、その攻撃パケットを対処する攻撃パケット検出・対処装置6を収容している。
以下に説明するように、攻撃パケット迂回システムでは、攻撃パケットを攻撃パケット検出・対処装置6まで迂回させ、その装置で攻撃パケットを対処することにより、被攻撃サーバ3を攻撃から防御している。
なお、特許文献1では、被疑パケット検出装置4は明記されていないが、従来の技術の説明上、図10では用意している。また、特許文献1の請求項1で用いられている“peering router”、“diverting router”と“traffic processor”は、それぞれトンネル機能付ルータ、迂回機能付ルータと攻撃パケット検出・対処装置に対応する。特許文献1では、迂回指示装置5と攻撃パケット検出・対処装置6を同一筐体としているが、これも従来の技術の説明上、分けている。
非特許文献1では、“ingress points”と“cleaning center(mitigator)”がそれぞれトンネル機能付ルータと攻撃パケット検出・対処装置に対応している。
被攻撃サーバ宛3へのパケットは、攻撃パケットのみならず、正常のパケットも含まれる。そこで、攻撃パケット検出・対処装置6では正常パケットをネットワーク100に戻す。そのため、ネットワーク100では、攻撃パケット検出・対処装置6から戻ってきた正常パケットを、ループが発生することなく被攻撃サーバ3まで正しく届ける機能が必要となる。
非特許文献1では、ループが発生することなく正常パケットを転送させる方式として、次の二つの方式が記載されている。
1)物理ポート対応振り分け方式:迂回機能付ルータでは、トンネル機能付ルータからのパケット、攻撃パケット検出・対処装置からのパケット、被攻撃サーバへのパケットが疎通する回線を分類して物理ポートに収容し、入り物理ポートに応じて、出力物理ポートを決める。
2)下りトンネル設定方式:攻撃パケット検出・対処装置と被攻撃サーバを収容しているルータの間にトンネルを事前に設定し、そのトンネルを使って、被攻撃サーバ宛のパケットを疎通させる。
1)物理ポート対応振り分け方式:迂回機能付ルータでは、トンネル機能付ルータからのパケット、攻撃パケット検出・対処装置からのパケット、被攻撃サーバへのパケットが疎通する回線を分類して物理ポートに収容し、入り物理ポートに応じて、出力物理ポートを決める。
2)下りトンネル設定方式:攻撃パケット検出・対処装置と被攻撃サーバを収容しているルータの間にトンネルを事前に設定し、そのトンネルを使って、被攻撃サーバ宛のパケットを疎通させる。
以下、各方式を説明する。
1)物理ポート対応振り分け方式
迂回機能付ルータ13では物理ポート(以下ポート)を31、32、33、34に分け各装置を次のように収容する。
迂回機能付ルータ13では物理ポート(以下ポート)を31、32、33、34に分け各装置を次のように収容する。
ポート31:トンネル機能付ルータ11、12を始点とする上りトンネルを含む物理回線を収容する。
ポート32:被攻撃サーバ3に接続されている物理回線を収容する。
ポート33:攻撃パケット検出・対処装置6に接続されている物理回線を収容する。
ポート34:被疑パケット検出装置4、迂回指示装置5に接続されている物理回線を収容する。
なお、特許文献1の第1ポート(a first port)、第2ポート(a second port)、第3ポート(a third port)がそれぞれ物理ポート31、32、33に対応する。なお、物理ポート34は、特許文献1には明記されていないが、従来の技術の説明上、用意している。
次に、図10に示したシステム構成で、攻撃コンピュータ1が被攻撃サーバ3へ攻撃パケットを送信している場合の処理の流れを図11により説明する。
攻撃コンピュータ1は被攻撃サーバ3に攻撃パケットを送信開始したとする(ステップ1001、1002)。迂回機能付ルータ13は、疎通するトラヒックのサンプリング情報を被疑パケット検出装置4に送信する(ステップ1003)。トラヒックのサンプリング情報を受信した被疑パケット検出装置4は、それを解析し、被疑パケットがあるかないか調べる。もし、被疑パケットを検出した場合(ステップ1004)、迂回指示装置5に対し、被疑パケットの宛先アドレス情報とともに被疑パケット発生を通知する(ステップ1005)。それを受けた迂回指示装置5は、トンネル機能付ルータ11、12に、被疑パケットの宛先アドレスと一致するパケットを迂回機能付ルータ13に転送するよう指示する(ステップ1006、1007)。各トンネル機能付ルータ11、12は、上記パケットを迂回機能付ルータ13に転送するようルーティングテーブルを更新する(ステップ1010、1011)。具体的には、トンネル機能付ルータ11と12では、被攻撃サーバ3宛のパケットはそれぞれトンネル21、トンネル22を使って転送するようにルーティングテーブルもしくはアクセス制御リストを更新する。
トンネル機能付ルータ11は、被攻撃サーバ3向けのパケットを受信した場合、該パケットを、トンネル21を使って迂回機能付ルータ13に転送する(ステップ1012、1013)。迂回機能付ルータ13は、ポート33を介して、その被疑パケットを送信する(ステップ1014)。そのポート33には、攻撃パケット検出・対処装置6が収容されているため、被疑パケットは攻撃パケット検出・対処装置6に届く(ステップ1015)。攻撃パケット検出・対処装置6では、その被疑パケットを分析し、真に悪意(つまり攻撃パケット)であればそのパケットを対処(例えば廃棄)する(ステップ1016、1017)。
次に、正常コンピュータ2が被攻撃サーバ3へ正常パケットを転送している場合の処理の流れを図12により説明する。正常コンピュータ2は被攻撃サーバ3に正常パケットの送信を開始したとする(ステップ1101、1102)。前記の動作より、トンネル機能付ルータ12は、被攻撃サーバ3向けパケットを正常・被疑に関わらず、トンネル22を使って迂回機能付ルータ13へ転送する(ステップ1103、1104)。迂回機能付ルータ13は、ポート33を介して、その正常パケットを送信する(ステップ1105)。そのポート33には、攻撃パケット検出・対処装置6が収容されているため、正常パケットは攻撃パケット検出・対処装置6に届く(ステップ1106)。攻撃パケット検出・対処装置6では、そのパケットを分析し、正常パケットであればそのパケットを迂回機能付ルータ13へ返信する(ステップ1107、1108、1109)。迂回機能付ルータ13は、ポート33から受信したパケット(すなわち攻撃パケット検出・対処装置6からのパケット)をポート32を介して転送する(ステップ1110、1111)。ポート32には、被攻撃サーバ3が収容されているため、このパケットは被攻撃サーバ3まで届く(ステップ1112)。以上より、正常コンピュータ2が被攻撃サーバ3宛へ送信した正常パケットはループを発生することなく正しく届けられる。
迂回機能付ルータ13が、攻撃パケット検出・対処装置6からのパケットを前記物理ポートに関係なく転送した場合、ループが発生する場合を簡単に説明しておく。もし、迂回機能付ルータ13が、このパケットをトンネル機能付ルータ11に転送した場合、このパケットは再度トンネル21を使って迂回機能付ルータ13へ返信される。つまり、ループが発生してしまう。
2)下りトンネル設定方式
特許文献1の請求項8において記述されている攻撃パケット迂回システムの構成を図13に示す。図13では、被攻撃サーバ3は迂回機能付ルータ13ではなくトンネル機能付ルータ14に収容されている。また、攻撃パケット検出・対処装置6とトンネル機能付ルータ14との間にトンネル23が設定されている。
特許文献1の請求項8において記述されている攻撃パケット迂回システムの構成を図13に示す。図13では、被攻撃サーバ3は迂回機能付ルータ13ではなくトンネル機能付ルータ14に収容されている。また、攻撃パケット検出・対処装置6とトンネル機能付ルータ14との間にトンネル23が設定されている。
図13に示したシステム構成での処理フローは、攻撃パケット検出・対処装置6において正常パケットを受信してからの処理が図10に示したシステム構成での処理フローと異なる。図14に、攻撃パケット検出・対処装置6において正常パケットを受信後の処理フローを示す。攻撃パケット検出・対処装置が正常パケットを検出した場合は、それを転送するトンネル(この例では、トンネル23)を求め、そのトンネルを使って正常パケットを送信する(ステップ1201〜1203)。トンネル23を終端するトンネル機能付ルータ14は、そのトンネルからパケットを受信した場合、そのルータ内のルーティングテーブルもしくはアクセス制御リストに従い被攻撃サーバ3宛へパケットを転送する(ステップ1204)。なお、トンネル機能付ルータ14は、迂回指示装置5から被攻撃サーバ3宛のパケットの迂回指示を受けていないことを前提とする。
Selective Diversion and Injection of Communication Traffic: International Publication Number, WO 2004/090741, International Publication Date, 21 October 2004
米国SPRINT社の技術資料"DDoS Mitigation via Regional Cleaning Centers",S. Agarwal 他著 (http://ipmon.sprint.com/pubs#trs/trs/RR04-ATL-013177.pdf)
図10と図13に示した従来のシステム構成では、迂回機能付ルータ13は、攻撃パケット検出・対処装置6をあるポート(図10、13ではポート33)を介して直接収容することを前提としている。
1.このシステム構成では、迂回機能付ルータ13が攻撃パケット検出・対処装置6を、ポート33を介して直接収容していない場合は、トンネル機能付ルータから迂回されたパケットを攻撃パケット検出・対処装置6に転送できない場合がある。
1.このシステム構成では、迂回機能付ルータ13が攻撃パケット検出・対処装置6を、ポート33を介して直接収容していない場合は、トンネル機能付ルータから迂回されたパケットを攻撃パケット検出・対処装置6に転送できない場合がある。
この問題点が発生するシステムの構成例を図15に示す。図15では、迂回機能付ルータ13と攻撃パケット検出・対処装置6はルータ15を介して接続され、さらに、ルータ15はサーバ7を収容している。この場合、迂回機能付ルータ13は、ポート33を介して攻撃パケット検出・対処装置6とサーバ7に接続しているため、迂回パケットを攻撃パケット検出・対処装置6ではなく、サーバ7に転送する場合がある。
また、トンネル機能付ルータがユーザを収容しているアクセス回線からの入力パケットをアクセス回線毎に区別することなくトンネルに統合する場合は、次の問題点が発生する。
2.一般に攻撃パケットの送信元アドレスは詐称されている。そのため、攻撃パケット検出・対処装置6では、攻撃パケットの入力したアクセス回線の特定は困難である。
2.一般に攻撃パケットの送信元アドレスは詐称されている。そのため、攻撃パケット検出・対処装置6では、攻撃パケットの入力したアクセス回線の特定は困難である。
この問題点が発生する例を説明する。前述した図15において、攻撃コンピュータ40を追加し、攻撃コンピュータ1と攻撃コンピュータ40はそれぞれアクセス回線41、42を通してトンネル機能付ルータ11に収容されている。トンネル機能付ルータ11では、アクセス回線に関わらず、被攻撃サーバ3宛のパケットを1つのトンネル21を使って迂回させる。もし、攻撃コンピュータ1と攻撃コンピュータ40の送信元アドレスが詐称されている場合、攻撃パケット検出・対処装置6では、送信元アドレスが使えないため、攻撃パケットが進入しているアクセス回線41もしくは42を区別することができない。
3.さらに、図10のシステム構成の場合、複数の被攻撃サーバが地理的に分散されている場合は、多数の迂回機能付ルータとそれに対応して攻撃パケット検出・対処装置が必要となり、導入コストが高くなる問題がある。
3.さらに、図10のシステム構成の場合、複数の被攻撃サーバが地理的に分散されている場合は、多数の迂回機能付ルータとそれに対応して攻撃パケット検出・対処装置が必要となり、導入コストが高くなる問題がある。
図13のシステム構成では、問題点1は解決するものの、以下の問題点がある。
4.攻撃パケット検出・対処装置6では、正常パケットの宛先アドレスからそれを転送するトンネルを検索する処理が必要なため、トンネルが多数存在する場合、攻撃パケット検出・対処装置6でのこの処理量が大きくなる。
5.被攻撃サーバを収容するエッジルータがN個あった場合、図10のシステム構成と比べてN個のトンネルを新たに管理する必要があり、このエッジルータが多くなるほど運用コストが増大する。
4.攻撃パケット検出・対処装置6では、正常パケットの宛先アドレスからそれを転送するトンネルを検索する処理が必要なため、トンネルが多数存在する場合、攻撃パケット検出・対処装置6でのこの処理量が大きくなる。
5.被攻撃サーバを収容するエッジルータがN個あった場合、図10のシステム構成と比べてN個のトンネルを新たに管理する必要があり、このエッジルータが多くなるほど運用コストが増大する。
本発明の目的は、迂回機能付ルータの導入コストおよびシステムの運用コストを少なく抑えて、正常パケットを、ループを発生することなく宛先に正しく転送する攻撃パケット迂回システムを提供することにある。
上記目的を達成するために、本発明の攻撃パケット迂回システムは、第1の装置で、ネットワークを疎通する被疑パケットを検出し、そのパケットを第2の装置から第3の装置へ迂回させ、該第3の装置では被疑パケットが攻撃であるか正常であるかを区別し、攻撃パケットの場合は、そのパケットを対処し、正常パケットの場合は、ネットワーク内に戻す攻撃パケット迂回システムにおいて、第2の装置は、ユーザを収容している回線であるアクセス回線とユーザを収容していない回線であるネットワーク回線とを区別する手段と、前記アクセス回線からのパケットを迂回させ、ネットワーク回線からのパケットを迂回させない手段とを有することを特徴とする。
これにより、迂回機能付ルータの導入コストおよびシステムの運用コストを少なく抑えて、正常パケットを、ループを発生することなく宛先に正しく転送することができる。
本発明の実施態様では、第2の装置と第3の装置の間にアクセス回線毎にトンネルを設定する手段を有し、第2の装置が、各アクセス回線からのパケットを事前に決められたトンネルを使って迂回させる手段を有する。
請求項1の発明によれば、迂回機能付ルータの導入コストおよびシステムの運用コストを少なく抑えて、正常パケットを、ループを発生することなく宛先に正しく転送することができる。
請求項3の発明によれば、
1.迂回機能付ルータと攻撃パケット検出・対処装置との間は、ネットワークを介すことができるため、柔軟性の高い攻撃パケット防御システムを構成できる。
2.詐称された送信元アドレスを使うことなく、被疑パケットの進入アクセス回線を特定できる。
3.迂回機能付ルータに防御対象である被攻撃サーバを直接収容する必要がないため、少ない数の迂回機能付ルータを用意するだけでよく、導入コストは少なく抑えられる。
4.設定すべきトンネル数は、トンネル機能付ルータから攻撃パケット検出・対処装置へ向かう上り方向だけでよいため、運用コストは少なく抑えられる。
1.迂回機能付ルータと攻撃パケット検出・対処装置との間は、ネットワークを介すことができるため、柔軟性の高い攻撃パケット防御システムを構成できる。
2.詐称された送信元アドレスを使うことなく、被疑パケットの進入アクセス回線を特定できる。
3.迂回機能付ルータに防御対象である被攻撃サーバを直接収容する必要がないため、少ない数の迂回機能付ルータを用意するだけでよく、導入コストは少なく抑えられる。
4.設定すべきトンネル数は、トンネル機能付ルータから攻撃パケット検出・対処装置へ向かう上り方向だけでよいため、運用コストは少なく抑えられる。
次に、本発明の実施の形態について図面を参照して説明する。
[第1の実施形態]
図1は本実施形態による攻撃パケット迂回システムの構成図である。本実施形態では、本発明でのトンネル機能付ルータ221、222と本発明の攻撃パケット検出・対処装置201との間に、アクセス回線ごとにトンネルが事前に設定されている。例えば、アクセス回線41、42に対応してトンネル211と212がトンネル機能付ルータ221と攻撃パケット検出・対処装置201との間に設定され、アクセス回線43に対応してトンネル213がトンネル機能付ルータ222と攻撃パケット検出・対処装置201との間に設定されている。さらに、トンネル機能付ルータ221は、ユーザを収容していない回線であるネットワーク回線51、52を、トンネル機能付ルータ222はネットワーク回線53を収容している。トンネル211と212はネットワーク回線51上に設定されている。なお、本実施形態の被疑パケット検出装置4、トンネル機能付ルータ221、222、攻撃パケット検出・対処装置201が、請求項に記載された第1の装置、第2の装置、第3の装置にそれぞれ対応している。
図1は本実施形態による攻撃パケット迂回システムの構成図である。本実施形態では、本発明でのトンネル機能付ルータ221、222と本発明の攻撃パケット検出・対処装置201との間に、アクセス回線ごとにトンネルが事前に設定されている。例えば、アクセス回線41、42に対応してトンネル211と212がトンネル機能付ルータ221と攻撃パケット検出・対処装置201との間に設定され、アクセス回線43に対応してトンネル213がトンネル機能付ルータ222と攻撃パケット検出・対処装置201との間に設定されている。さらに、トンネル機能付ルータ221は、ユーザを収容していない回線であるネットワーク回線51、52を、トンネル機能付ルータ222はネットワーク回線53を収容している。トンネル211と212はネットワーク回線51上に設定されている。なお、本実施形態の被疑パケット検出装置4、トンネル機能付ルータ221、222、攻撃パケット検出・対処装置201が、請求項に記載された第1の装置、第2の装置、第3の装置にそれぞれ対応している。
本実施形態で扱うトンネルは、GREを使ってIPパケットをさらにIPパケットでカプセル化するトンネル(IP−in−IPトンネルとも呼ばれる)を仮定するが、レイヤ2トンネルプロトコルで設定されたトンネル、MPLSによって設定されたトンネルであってもよい。なお、図2に示すように、GREトンネルによりカプセル化されたパケットは、GREトンネルのカプセル化用IPヘッダ3001、GREヘッダ3002、GREトンネルの内側のIPヘッダ3003、IPユーザデータ3004から構成される。トンネル機能付きルータ221内のトンネル211と212に付与されたIPアドレスは、それぞれA.B.C.D,E.F.G.Hとする。また、トンネル機能付きルータ222内のトンネル213に付与されたIPアドレスはI.J.K.L.とする。さらに、攻撃パケット検出・対処装置201に付与されたIPアドレスは、P.Q.R.Sとする。
図3にトンネル機能付ルータ221の機能ブロックを示す。トンネル機能付ルータ221は、アクセス制御リスト2005とルーティングテーブル2006にしたがってルーティング処理を行うルーティング部2001と、トンネル情報テーブル2004から、トンネル211、212に関連する情報を取得して、IP−in−IPカプセル化処理を行うカプセル化処理部2002と、迂回指示装置5からの指示に従いアクセス制御リスト2005を更新するアクセス制御リスト更新部2003から構成されている。
アクセス制御リスト2005とルーティングテーブル2006には、次の条件の基で、ルーティングルールが記載されている。
アクセス制御リスト2005に、受信パケットを攻撃パケット検出・対処装置201宛へのトンネルへ転送するルールがある場合、そのルールでの入力回線は、アクセス回線に限る。
ルーティングテーブル2006には、受信パケットを攻撃パケット検出・対処装置201宛へのトンネルへ転送するルールは記載されていない。
表1、表2、表3にそれぞれアクセス制御リスト2005、ルーティングテーブル2006、トンネル情報テーブル2004の例を示す。
次に、アクセス回線41、42もしくはネットワーク回線51、52からパケットを受信した時のトンネル機能付ルータ221での処理フローを図4に示す。ルーティング部2001では、まずアクセス制御リスト2005に従い、受信したパケットの宛先アドレスとそのパケットを受信したアクセス回線の情報により転送すべきトンネルがあるかどうか調べる(ステップ4001)。もし、アクセス制御リスト2005内のアクセス回線識別子属性子と受信パケットのアクセス回線と等しい要素があり、さらにその要素において宛先アドレス属性値が受信パケットの宛先アドレスと一致する場合、カプセル化処理部2002では、トンネル情報テーブル2004から、トンネルに関連する送信元IPアドレスと攻撃パケット検出・対処装置のIPアドレスを取得し、それらを図2に示したカプセル化用IPヘッダ3001内の送信元IPアドレス、宛先IPアドレスとしたIP−in−IPパケットを作成する(ステップ4003)。次に、カプセル化処理部2002は、トンネル情報テーブル2004から、トンネルに対応するネットワーク回線識別子を取得し、この識別子のネットワーク回線に受信パケットを送信する(ステップ4004)。もし、ステップ4001の処理において、アクセス制御リスト2005にマッチしない場合は、ルーティングテーブル2006を検索し、受信パケットの宛先アドレスとIPアドレスとマッチする要素を調べ、出力回線を特定する(ステップ4005)。次に、そのパケットをルーティングテーブル2006にマッチした回線へ送信する(ステップ4006)。例えば、表1に示したアクセス制御リスト2005の場合、アクセス回線41から受信したパケットの内、そのパケットの宛先アドレスが、被攻撃サーバ3のアドレスと一致するパケットは、そのパケットを図2に示したIPユーザデータ3004とするIP−in−IPトンネルパケットを作成し、トンネル識別子211のトンネルが疎通されているネットワーク回線51に送信する。
一方、ネットワーク回線51から受信した、攻撃コンピュータ40宛のパケットはアクセス制御リスト2005にマッチしないが、ルーティングテーブル2006のネットワーク回線52の要素にマッチするため、ネットワーク回線52に受信パケットを送信する。
アクセス制御リスト更新処理部2003は、迂回指示装置5から、指定された宛先アドレスを持つパケットを迂回するよう指示を受けた場合、迂回できるようにアクセス制御リスト2005のアクセス回線識別子、宛先アドレスとトンネル識別子を更新する。
図5に、攻撃パケット検出・対処装置201の機能ブロックを示す。この装置は、トンネル機能付ルータ221からトンネル211、212を、トンネル機能付ルータ222からトンネル213を、ネットワーク回線61を介して収容している。この装置では、デカプセル化処理を行うデカプセル化処理部6001と、疎通しているトンネルに関する情報が保存されているトンネル情報テーブル6002と、トンネルから流入するトラヒックを格納するトンネルフローテーブル6003と、これらのテーブルを使って攻撃パケットが流れているトンネルを検出する攻撃トンネル検出部6004と、攻撃パケットが進入しているアクセス回線を特定する攻撃パケット進入アクセス回線特定部6005と、攻撃パケット進入アクセス回線テーブル6006と、攻撃パケットは対処し、正常パケットはネットワーク回線61に送信する攻撃パケット対処・正常パケット送信部6007から構成されている。
表4にトンネル情報テーブル6002の例を示す。表5と表6に、それぞれトンネルフローテーブル6003、攻撃パケット進入アクセス回線テーブル6006の例を示す。
攻撃パケット検出・対処装置201でのトンネル機能付ルータ221、222からのパケットを受信した時の処理を示す。デカプセル化処理部6001では、受信パケットのトンネル識別子、カプセル化用IPヘッダ3001の送信元IPアドレスを調べる。また、受信したパケットをトンネルごとにフロー(ここでは宛先アドレス単位のパケットの流れ)単位でレート(単位時間当たりに疎通したパケット数)を計測し、その結果をトンネルフローテーブル6003に格納する。
攻撃トンネル検出部6004では、攻撃パケット検出アルゴリズムにしたがってフローが攻撃であるかどうか調べる。ここでは文献ACM SIGCOMM Computer Communication Review, Volume 34, Issue 2(April 2004)Pages: 39−53 “A Taxonomy of DDoS Attacks and DDoS Defense Mechanisms”、J.Mirkovicら著において記述されているアルゴリズムである「宛先IPアドレスごとに集約したフローのレートが閾値を超えた場合被疑攻撃フローと判断する」を使用しているとする。表5の宛先IPアドレスα.β.γ.ε宛のパケットレートの総和が閾値を超えていた場合、その宛先IPアドレスのフローの状態を「攻撃」とする。攻撃トンネル検出部6004は、新たに攻撃フローを検出した場合、攻撃パケット進入アクセス回線特定部6005に通知する。その通知を受け取った攻撃パケット進入アクセス回線特定部6005は、フロー状態が「攻撃」であるフローを含むトンネル識別子を取得する。次に、トンネル情報テーブル6002から、取得したトンネル識別子と一致するトンネル機能付ルータ識別子、アクセス回線識別子を取得し、攻撃パケットアクセス回線テーブル6006に保存する。
図1で説明した構成例では、攻撃コンピュータ1が収容しているトンネル機能付ルータおよびアクセス回線はそれぞれ221、41であるから、表6のような値となる。
上記の処理により、攻撃パケットの発生源のアクセス回線を特定することができる。
攻撃パケット対処・正常パケット送信部6007では、攻撃トンネル検出部6004で攻撃と判断されたパケットを廃棄する。一方、正常と判断されたパケットは、ネットワーク回線61に戻す。
次に、本発明の効果を、図6を使って説明する。
図6では、ルータ231とトンネル機能付ルータ221との間はネットワーク回線81により、トンネル機能付ルータ221と222の間はネットワーク回線82により、トンネル機能付ルータ221とルータ232の間はネットワーク回線83により接続されている。ルータ231、232はIPパケットを転送する通常のルータでよい。
次に、図6で示したシステム構成で、攻撃コンピュータ1が被攻撃サーバ3へ攻撃パケットを送信している場合の処理の流れを図7により説明する。
攻撃コンピュータ1の被攻撃サーバ3への攻撃パケットの送信開始(ステップ7001)から被疑攻撃パケット迂回指示(ステップ7007)までは従来のシステムと同じである。トンネル機能付ルータ221、222は上記パケットを迂回機能付ルータ231に転送するようアクセス制御リスト2005のアクセス回線識別子、宛先アドレス、トンネル識別子を更新する(ステップ7010、7011)。トンネル機能付ルータ221は、アクセス回線41から被攻撃サーバ3向けのパケットを受信した場合、受信したアクセス回線と宛先アドレスが、更新されたアクセス制御リスト2005のアクセス回線識別子、宛先アドレスとマッチするのでトンネル211を使って攻撃パケット検出・対処装置201に転送する(ステップ7012〜7014)。攻撃パケット検出・対処装置201では、その被疑パケットを分析し、真に悪意(つまり攻撃パケット)であればそのパケットを対処(例えば廃棄)する(ステップ7015、7016)。
次に、正常コンピュータ2が被攻撃サーバ3へ正常パケットを転送している場合の処理フローを図8により説明する。正常コンピュータ2は被攻撃サーバ3に正常パケットの送信を開始したとする(ステップ7101、7102)。前記の動作より、トンネル機能付ルータ222は、受信したアクセス回線と宛先アドレスがアクセス制御リスト2005のアクセス回線、宛先アドレスとマッチするため正常パケットを、トンネル213を使って攻撃パケット検出・対処装置201に転送する(ステップ7103〜7105)。攻撃パケット検出・対処装置201では、そのパケットを分析し、この場合、正常パケットであるのでそのパケットを返信する(ステップ7106、7107、7108)。ルータ231は、IPルーティングによりそのパケットをトンネル機能付ルータ222に転送する(ステップ7109)。トンネル機能付ルータ222では、受信したパケットのネットワーク回線識別子と宛先アドレスが自ルータ内のアクセス制御リストの宛先アドレスとマッチしないためルーティングテーブル2006に従いそのパケットをルータ232に転送する(ステップ7110、7111)。ルータ232は、IPルーティングによりそのパケットを被攻撃サーバ3に転送する(ステップ7112)。よって、このパケットは被攻撃サーバ3まで届く。以上より、正常コンピュータ2が被攻撃サーバ3宛へ送信した正常パケットはループを発生することなく正しく届けられる。
また、トンネル機能付ルータ221、222と攻撃パケット検出・対処装置201との間にトンネルが直接設定されているため、この間に複数のルータが設定されていてもよい。また、トンネルはトンネル機能付ルータ221、222から攻撃パケット検出・対処装置201への上り方向だけでよく従来のシステムより少なくてすむ。
[第2の実施形態]
図9に本実施形態による攻撃パケット迂回システムの構成および各事業者間の処理のシーケンスを示している。
図9に本実施形態による攻撃パケット迂回システムの構成および各事業者間の処理のシーケンスを示している。
本実施形態は、攻撃パケットが発生するインターネットサービスを提供するインターネットサービス提供事業者10002と、そのサービスの利用者であるインターネットサービス利用者10001と、攻撃対処を行う攻撃対処事業者10003から構成される。
インターネットサービス提供事業者10002は、前記のトンネル機能付ルータおよびルータを保持するネットワーク100を管理し、さらに、インターネットサービス利用者を管理するインターネットサービス利用者管理装置11000とインターネットサービス利用者のデータベース11001を所有している。
インターネットサービス提供利用者10001は被攻撃サーバ3を所有している。
攻撃対処事業者10003は、被疑パケット検出装置4、迂回指示装置5、攻撃パケット検出・対処装置201を所有し、さらに、攻撃対処サービスを管理する攻撃対処サービス管理装置12000と攻撃対処サービス利用者のデータベース12001を所有している。
次に、本実施形態の動作を説明する。
まず、インターネットサービス利用者10001は、利用しているコンピュータ3が攻撃を受けていると認識した場合、インターネットサービス提供事業者10002に攻撃対処依頼を行う(ステップ10011)。
それを受けたインターネットサービス提供事業者10002は、インターネットサービス利用者管理装置11000を通して、インターネットサービス利用者管理データベース11001にそのサービス利用を記録する。また、攻撃対処事業者10003に対し攻撃対処依頼を行う(ステップ10012)。
それを受けた攻撃対処事業者10003は、攻撃対処サービス管理装置12000を通して、攻撃対処サービス利用者管理データベース12001にそのサービス利用を記録する。また、攻撃対処サービス管理装置12000を通して、前記の手段により、攻撃パケットを対処するとともに、インターネットサービス提供事業者10002に対処費を請求する(ステップ10013)。
それを受けたインターネットサービス提供事業者10002は、攻撃対処結果を、インターネットサービス利用者管理装置11000を通して、インターネットサービス利用者管理データベース11001に記録し、インターネットサービス利用者10001に攻撃対処結果を提供するとともに対処費を請求する(ステップ10014)。
これに従い、インターネットサービス利用者10001は対処費をインターネットサービス提供事業者10002に支払い(ステップ10015)、インターネットサービス提供事業者10002は攻撃対処事業者10003に対処費を支払う(ステップ10016)。
インターネットサービス利用者10001から対処費を受領したインターネットサービス提供事業者10002は、インターネットサービス利用者管理装置11000を通して、インターネットサービス利用者管理データベース11001にその支払い情報を記録する。
インターネットサービス提供事業者10002から対処費を受領した攻撃対処事業者10003は、攻撃対処サービス管理装置12000を通して、攻撃対処サービス利用者管理データベース12001にその支払い情報を記録する。
1 攻撃コンピュータ
2 正常コンピュータ
3 被攻撃サーバ
4 被疑パケット検出装置
5 迂回指示装置
7 サーバ
40 攻撃コンピュータ
41〜43 アクセス回線
51〜53 ネットワーク回線
61、81〜83 ネットワーク回線
100 ネットワーク
201 攻撃パケット検出・対処装置
211〜213 トンネル
221、222 トンネル機能付ルータ
231 ルータ
2001 ルーティング部
2002 カプセル化処理部
2003 アクセス制御リスト更新部
2004 トンネル情報テーブル
2005 アクセス制御リスト
2006 ルーティングテーブル
3001 GREトンネルのカプセル化用ヘッダ
3002 GREヘッダ
3003 GREトンネルの内側のIP
3004 IPユーザデータ
4001〜4006 ステップ
7001〜7016、7101〜7112 ステップ
6001 デカプセル化処理部
6002 トンネル情報テーブル
6003 トンネルフローテーブル
6004 攻撃トンネル検出部
6005 攻撃パケット進入アクセス回線特定部
6006 攻撃パケット進入アクセス回線テーブル
6007 攻撃パケット対処・正常パケット送信部
10001 インターネットサービス利用者
10002 インターネットサービス提供事業者
10003 攻撃対処事業者
11000 インターネットサービス利用者管理装置
11001 インターネットサービス利用者管理データベース
12000 攻撃対処サービス管理装置
12001 攻撃対処サービス利用者管理データベース
10011〜10016 ステップ
2 正常コンピュータ
3 被攻撃サーバ
4 被疑パケット検出装置
5 迂回指示装置
7 サーバ
40 攻撃コンピュータ
41〜43 アクセス回線
51〜53 ネットワーク回線
61、81〜83 ネットワーク回線
100 ネットワーク
201 攻撃パケット検出・対処装置
211〜213 トンネル
221、222 トンネル機能付ルータ
231 ルータ
2001 ルーティング部
2002 カプセル化処理部
2003 アクセス制御リスト更新部
2004 トンネル情報テーブル
2005 アクセス制御リスト
2006 ルーティングテーブル
3001 GREトンネルのカプセル化用ヘッダ
3002 GREヘッダ
3003 GREトンネルの内側のIP
3004 IPユーザデータ
4001〜4006 ステップ
7001〜7016、7101〜7112 ステップ
6001 デカプセル化処理部
6002 トンネル情報テーブル
6003 トンネルフローテーブル
6004 攻撃トンネル検出部
6005 攻撃パケット進入アクセス回線特定部
6006 攻撃パケット進入アクセス回線テーブル
6007 攻撃パケット対処・正常パケット送信部
10001 インターネットサービス利用者
10002 インターネットサービス提供事業者
10003 攻撃対処事業者
11000 インターネットサービス利用者管理装置
11001 インターネットサービス利用者管理データベース
12000 攻撃対処サービス管理装置
12001 攻撃対処サービス利用者管理データベース
10011〜10016 ステップ
Claims (10)
- 第1の装置で、ネットワークを疎通する被疑パケットを検出し、そのパケットを第2の装置から第3の装置へ迂回させ、該第3の装置では被疑パケットが攻撃であるか正常であるかを区別し、攻撃パケットの場合は、そのパケットを対処し、正常パケットの場合は、ネットワーク内に戻す攻撃パケット迂回システムにおいて、
前記第2の装置は、ユーザを収容している回線であるアクセス回線とユーザを収容していない回線であるネットワーク回線とを区別する手段と、前記アクセス回線からのパケットを迂回させ、前記ネットワーク回線からのパケットを迂回させない手段とを有することを特徴とする攻撃パケット迂回システム。 - 前記第2の装置と前記第3の装置の間にトンネルを設定する手段をさらに有する、請求項1記載の攻撃パケット迂回システム。
- 前記第2の装置と前記第3の装置の間にアクセス回線毎にトンネルを設定する手段を有し、前記第2の装置が、各アクセス回線からのパケットを事前に決められたトンネルを使って迂回させる手段を有する、請求項2記載の攻撃パケット迂回システム。
- 前記第2の装置は、前記アクセス回線から受信したパケットを前記第3の装置宛のトンネルへ転送するルールを有し、前記ネットワーク回線から受信したパケットを前記第3の装置宛のトンネルへ転送するルールを持たない、もしくは転送するのを禁止するルールを有する、請求項3記載の攻撃パケット迂回システム。
- 前記ルールが記載されたテーブルが第1のルールテーブルと第2のルールテーブルからなり、該第1のルールテーブルには、アクセス回線から受信したパケットを前記第3の装置宛のトンネルへ転送するルールが記載され、該第2のルールテーブルには、ネットワーク回線から受信したパケットを前記第3の装置宛のトンネルへ転送するルールが記載されていない、もしくは転送するのを禁止するルールが記載され、
パケットの受信時、前記第1のルールテーブルに基づきルーティング処理を行い、第1のルールテーブルでマッチしない場合、前記第2のルールテーブルでルーティング処理を行う、請求項4記載の攻撃パケット迂回システム。 - 前記第3の装置は、迂回されたパケットから攻撃を検出する手段を有する、請求項2記載の攻撃パケット迂回システム。
- 前記第3の装置は、迂回させた第1の装置または攻撃パケットが進入したアクセス回線を特定する手段を有する、請求項6記載の攻撃パケット迂回システム。
- 前記第3の装置は、正常パケットを、入力した物理回線に戻す手段を有する、請求項6記載の攻撃パケット迂回システム。
- 第1の装置で、ネットワークを疎通する被疑パケットを検出し、そのパケットを第2の装置から第3の装置へ迂回させ、該第3の装置では被疑パケットが攻撃であるか正常であるかを区別し、攻撃パケットの場合は、そのパケットを対処し、正常パケットの場合は、ネットワーク内に戻す攻撃パケット迂回システムにおいて、
前記第2の装置において、ユーザを収容している回線であるアクセス回線とユーザを収容していない回線であるネットワーク回線を区別するステップと、前記アクセス回線からのパケットを迂回させ、前記ネットワーク回線からのパケットを迂回させないステップとを有することを特徴とする攻撃パケット迂回方法。 - 被疑パケット検出装置で検出された、ネットワークを疎通する被疑パケットを、攻撃パケット検出し、対処する攻撃パケット検出・対処装置へ迂回させるトンネル機能付きルータであって、
該ルータが収容しているアクセス回線毎の回線識別子、当該アクセス回線からのパケットの宛先アドレス、当該アクセス回線に対応するトンネルの識別子からなるアクセス制御リストと、
該ルータが収容している端末のアドレスと、該端末との間の回線の識別子からなるルーティングテーブルと、
攻撃パケット検出・対処装置のアドレスと、該攻撃パケット検出・対処装置とトンネル機能付きルータとの間のトンネルの識別子およびアドレスと、該トンネルを収容しているネットワーク回線の識別子とからなるトンネル情報テーブルと、
受信したパケットの宛先アドレスと、該パケットを入力した回線により該パケットを転送すべきトンネルがあるか前記アクセス制御リストにより調べ、ない場合、前記ルーティングテーブルにしたがって出力回線を特定し、前記パケットを該出力回線に送信するルーティング処理を行うルーティング部と、
前記パケットを転送すべきトンネルがある場合、前記トンネル情報テーブルから該トンネルに関連する送信元アドレスと攻撃パケット検出・対処装置のアドレスを取得し、関する情報を取得し、受信したパケットのカプセル化処理を行うカプセル化処理部と、
迂回指示装置から、指定された宛先アドレスを持つパケットの迂回指示を受けた場合、前記アクセス制御リストの宛先アドレスとトンネル識別子を更新するアクセス制御リスト更新部と
を有するトンネル機能付きルータ。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005334345A JP2007142841A (ja) | 2005-11-18 | 2005-11-18 | 攻撃パケット迂回システム、方法、およびトンネル機能付きルータ |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005334345A JP2007142841A (ja) | 2005-11-18 | 2005-11-18 | 攻撃パケット迂回システム、方法、およびトンネル機能付きルータ |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2007142841A true JP2007142841A (ja) | 2007-06-07 |
Family
ID=38205158
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005334345A Pending JP2007142841A (ja) | 2005-11-18 | 2005-11-18 | 攻撃パケット迂回システム、方法、およびトンネル機能付きルータ |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2007142841A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019106621A (ja) * | 2017-12-12 | 2019-06-27 | 日本電信電話株式会社 | 異常検知システム、異常検知方法、および、異常検知プログラム |
| WO2019159989A1 (ja) * | 2018-02-13 | 2019-08-22 | 日本電信電話株式会社 | 監視システム、監視方法及び監視プログラム |
| CN111628990A (zh) * | 2020-05-22 | 2020-09-04 | 北京金山云网络技术有限公司 | 识别攻击的方法、装置和服务器 |
-
2005
- 2005-11-18 JP JP2005334345A patent/JP2007142841A/ja active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019106621A (ja) * | 2017-12-12 | 2019-06-27 | 日本電信電話株式会社 | 異常検知システム、異常検知方法、および、異常検知プログラム |
| WO2019159989A1 (ja) * | 2018-02-13 | 2019-08-22 | 日本電信電話株式会社 | 監視システム、監視方法及び監視プログラム |
| CN111628990A (zh) * | 2020-05-22 | 2020-09-04 | 北京金山云网络技术有限公司 | 识别攻击的方法、装置和服务器 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108040057B (zh) | 适于保障网络安全、网络通信质量的sdn系统的工作方法 | |
| JP4547342B2 (ja) | ネットワーク制御装置と制御システム並びに制御方法 | |
| KR101502490B1 (ko) | 네트워크 트래픽을 감시하는 가입자 단말 및 보안 감시 노드 | |
| US20070022468A1 (en) | Packet transmission equipment and packet transmission system | |
| Nam et al. | A Study on SDN security enhancement using open source IDS/IPS Suricata | |
| CN108353068B (zh) | Sdn控制器辅助的入侵防御系统 | |
| US8320249B2 (en) | Method and system for controlling network access on a per-flow basis | |
| US20090086630A1 (en) | Network monitoring system and method capable of reducing processing load on network monitoring apparatus | |
| EP1853035A1 (en) | Switching network employing server quarantine functionality | |
| JP2007184799A (ja) | パケット通信装置 | |
| JP2007235341A (ja) | 対異常通信防御を行うための装置とネットワークシステム | |
| JP2006352831A (ja) | ネットワーク制御装置およびその制御方法 | |
| EP3720075B1 (en) | Data transmission method and virtual switch | |
| JP2013503572A (ja) | 経路キャッシュを最適化するための方法 | |
| EP1746791A1 (en) | Network attack combating method, network attack combating device and network attack combating program | |
| JP2008092465A (ja) | コンピュータ端末がネットワークに接続して通信することを管理・制御するための装置および方法。 | |
| JP2011151514A (ja) | トラフィック量監視システム | |
| CN1983955A (zh) | 对非法报文的监控方法及监控系统 | |
| JP2006191433A (ja) | 踏み台パケット・進入中継装置特定装置 | |
| JP2007142841A (ja) | 攻撃パケット迂回システム、方法、およびトンネル機能付きルータ | |
| JP5178573B2 (ja) | 通信システムおよび通信方法 | |
| CN106059939B (zh) | 一种报文转发方法及装置 | |
| US8646081B1 (en) | Method and system to detect a security event in a packet flow and block the packet flow at an egress point in a communication network | |
| JP6870386B2 (ja) | マルウェア不正通信対処システム及び方法 | |
| JP2004164107A (ja) | 不正アクセス監視システム |