JP2007208575A - 不正トラフィック管理装置およびシステム - Google Patents

不正トラフィック管理装置およびシステム Download PDF

Info

Publication number
JP2007208575A
JP2007208575A JP2006024053A JP2006024053A JP2007208575A JP 2007208575 A JP2007208575 A JP 2007208575A JP 2006024053 A JP2006024053 A JP 2006024053A JP 2006024053 A JP2006024053 A JP 2006024053A JP 2007208575 A JP2007208575 A JP 2007208575A
Authority
JP
Japan
Prior art keywords
traffic
information
management device
network
handling
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006024053A
Other languages
English (en)
Inventor
Yoshinori Watanabe
義則 渡辺
Toshio Shimojo
敏男 下條
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alaxala Networks Corp
Original Assignee
Alaxala Networks Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alaxala Networks Corp filed Critical Alaxala Networks Corp
Priority to JP2006024053A priority Critical patent/JP2007208575A/ja
Publication of JP2007208575A publication Critical patent/JP2007208575A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】隣接するISP間でのポリシー情報の交換を行うことなく、簡単な手順で不正トラフィックのなるべく攻撃元に近いところで対処を行えるようにする。
【解決手段】不正トラフィック検出情報が他のネットワークからの不正トラフィック流入を示していた場合に、他のネットワークに属する不正トラフィック管理装置に対して不正トラフィック検出情報を送信し、その応答として送信してきた対処結果によりその不正トラフィックへの対処を行うかどうか決定する。
【選択図】図1

Description

本発明は、ネットワークを流れる不正トラフィックを制御する不正トラフィック管理装置およびシステムに関する。例えば特に、管理ポリシーが異なる複数のネットワークが接続された大規模ネットワークにおいて効率的に不正トラフィックの制御が行える不正トラフィック管理装置およびシステムに関する。
インターネットのブロードバンド接続、常時接続の普及により、インターネットの利用者数も増大し、社会インフラとしての重要性が増している。同時に、インターネット上での各種の不正行為も増加の一途をたどり、大きな社会問題となっている。
このような不正行為には、たとえばDDoS(Distributed Denial of Service)攻撃や脆弱なホストを探すためのスキャン行為、大量のメール送信などがある。このような不正行為によるトラフィック(以下、不正トラフィック)は、攻撃対象となっているホストに影響を与えるだけでなく、ネットワーク自体の輻輳を招く原因となる場合もある。そのため、一般的には、このような不正トラフィックはなるべくそのトラフィックの送信元に近いところで遮断や帯域制限などの手段により対処することが望まれる。
ところが、インターネットは、管理元が異なる多数のネットワークの集合体として構成されており、不正トラフィックがこのような管理元が異なるネットワークをまたいで転送される場合、その対処を行うことが難しい。たとえば、インターネットを構成するネットワークの多くはISP(Internet Service Provider)と呼ばれる組織によるネットワークであるが、これらのネットワークの運用、管理ポリシーはISP毎にまちまちであり、また、ISP相互で各ISP内を流れるトラフィックに関する情報を交換することも通常は行われない。そのため、ある不正トラフィックに対してISPをまたがった最適な対処を行うことが困難な状況となっている。
このような問題に対処するための技術の一例として、たとえば特許文献1に開示されているような不正アクセス対処システムがある。このシステムは、ISP内のネットワークに不正アクセスの流入路を探索する手段と、前記不正アクセスの対策実施場所を決定する手段と、前記不正アクセスの実施対策場所を流入元ネットワークと決定した際に該決定を流入元ネットワークへ通知する手段から構成される。この構成により、不正アクセスの対策をなるべくその発信元に近い部分で行えるようにするというものである。
特開2004-280724号公報
上記従来技術は、複数のISPが協調して不正トラフィックの送信元になるべく近い部分で対策を行えるようになるという点で有効であるが、そのために隣接するISP間でセキュリティポリシーの交換が必要になるなど、隣接するISP間での連携が複雑になるという点が課題となっている。
そこで、隣接するISP間でのポリシー情報の交換を行うことなく、簡単な手順で不正トラフィックへの対処をなるべく発信元に近いところで行えるようにする不正トラフィック管理装置およびシステムを検討した。
上記課題を解決するために、例えば、不正トラフィック検出手段から不正トラフィック情報を受け取る手段と、前記不正トラフィックへの対処方法を保持しておく手段と、他の不正トラフィック管理装置との間で不正トラフィック情報と前記不正トラフィックへの対処結果情報を交換する手段と、不正トラフィック制御手段に対して制御情報を送る手段とを備え、前記不正トラフィック情報を受け取る手段により受け取った不正トラフィック検出情報が他のネットワークからの不正トラフィック流入を示していた場合に、前記他のネットワークに属する不正トラフィック管理装置に対して前記不正トラフィック情報を送信し、前記他のネットワークに属する不正トラフィック管理装置が前記不正トラフィック情報への応答として送信してきた前記不正トラフィックへの対処結果により前記不正トラフィックへの対処を行うかどうか決定する技術を提供する。
上記手段によれば、例えば、インターネットを構成する各ISPがそれぞれ異なる運用、管理ポリシーを持ち、かつ、各ISPが互いに他のISPの運用、管理ポリシーに関する知識を持っていない場合であっても、簡単な情報交換手順により個々のISPの運用、管理ポリシーに従った範囲内で不正トラフィックをなるべく発信元に近い場所で制御できる。
上記以外の課題、手段、効果は、後述する実施例により明らかにされる。
本発明に好適な実施形態の例を図面により説明する。ただし、本発明は本実施形態に限定されない。
図1は、不正トラフィック管理装置を利用したネットワークシステムの一例を示したものである。図中、101、102、103は、ネットワークシステムを構成するISP (Internet Service Provider)、111、112、113、114、115、116は、前記各ISPのネットワークに接続されるユーザネットワーク、121、122、123は、前記各ISPのネットワークに含まれる不正トラフィック管理装置、131、132、133、134、135、136は、前記各ISPのネットワークを構成するルータである。前記各ユーザネットワークには、それぞれにいくつかの端末装置やサーバ装置などが含まれる構成になっている。
図2は、不正トラフィック管理装置121の内部構成を示した図である。図中、201はCPU、202はメモリ、203はルータ131、132と接続してパケットの送受信を行うためのネットワークインタフェースである。メモリ202には、自ISPトラフィック情報テーブル204、他ISPトラフィック情報テーブル205、他ISP管理装置一覧テーブル206、不正トラフィック対処ポリシーテーブル207が含まれる。また、208は、不正トラフィック対処ポリシーテーブル207へのポリシー設定やその他の前記テーブルの内容表示などを行うための入出力装置である。他の不正トラフィック管理装置122、123も同様の構成である。他の不正トラフィック管理装置122、123との送受信もネットワークインタフェース203を介して行い、これを特に管理装置間通信部ともいう。
図3は、ルータ131の内部構成を示した図である。図中、301はCPU、302はメモリ、303は、メモリ302に含まれるフロー統計テーブル、304はパケット転送プロセッサ、305は経路テーブル、306はパケットバッファ、307はフロー制御情報テーブル、308はフロー制御部、309はルータ132、135、ユーザネットワーク111、不正トラフィック管理装置121とパケットの送受信を行うためのネットワークインタフェースである。他のルータ132、133、134、135、136も同様の構成である。
以上のような構成において、図1のネットワークシステムでは、あるユーザネットワークに含まれる装置から送信された他のユーザネットワークに含まれる装置宛のパケットを転送する。
たとえば、ユーザネットワーク112に含まれる装置から、ユーザネットワーク113に含まれる装置に向けてパケットが送信されたとする。前記パケットはまずルータ132でネットワークインタフェース309を通して受信され、パケットバッファ306に格納される。そして、パケット転送プロセッサ304が経路テーブル305を参照しながらパケットバッファ306に格納された前記パケットの転送先を決定し、ネットワークインタフェース309を通して前記転送先へ送信する。この例の場合、転送先はルータ133となる。前記パケットを受信したルータ133は、同様の処理により前記パケットをユーザネットワーク113へ転送する。
図1のネットワークシステムを構成する各ルータは、以上のようなパケット転送処理を行いながら、転送したパケットに関するフロー統計情報の収集も同時に行う。具体的には、ルータ内のパケットバッファ306にパケットが格納されたとき、パケット転送プロセッサ304はパケットのヘッダ情報をCPU301へ転送する処理も行う。CPU301は、前記ヘッダ情報から前記パケットが属するフローに関連する統計情報をフロー統計テーブル303に蓄積する。このような統計処理を行いながら、もし、CPU301がフロー統計テーブルの内容から異常なトラフィックが流れていることを検出したら、該検出情報を前記ルータに接続される不正トラフィック管理装置に送信する。
前記検出情報を受信した不正トラフィック管理装置は、不正トラフィック対処ポリシーテーブル207に含まれるポリシー情報から前記検出情報により通知された不正トラフィックの対処方法を決定し、実際に対処処理までを行う。対処方法には、不正トラフィックをルータで遮断あるいは帯域制限する、あるいは、不正トラフィックの流入元となっているISPに対して前記不正トラフィックへの対処を要求する、あるいは、何の対処も行わないといったものがある。
以上のような動作により、正常なパケットの転送の障害となり得る異常なトラフィックの遮断や制限などをネットワークシステム全体で効率的に実施する。上記のような本実施例による不正トラフィック処理において、不正トラフィック管理装置121、122、123が実行する動作について、図面を用いてさらに詳細に説明する。
図8は、不正トラフィック管理装置が自ISP内のルータからトラフィック情報を受信したときにCPU201が実行する処理内容を示したフローチャートである。
まず、前記不正トラフィック管理装置が含まれるISP内のルータが不正トラフィックを検知すると、前記ルータはトラフィック情報メッセージを送信し、前記不正トラフィック管理装置がそれを受信する(S801)。図11は、前記トラフィック情報メッセージの内容を示したもので、検知した不正トラフィックの種類(たとえば、DDoS攻撃やポートスキャンなど)を表すトラフィック種別1101、前記不正トラフィックの送信元や宛先などを特定するためのフロー情報1102、前記不正トラフィックの流量を示すトラフィックレベル1103、トラフィック情報メッセージ送信毎に1ずつ増やした値を格納するシーケンス番号から構成される。フロー情報1102は、前記不正トラフィックが受信されたポートを示す入力ポート1105、前記不正トラフィックの送信元IPアドレス1106、宛先IPアドレス1107、プロトコル1108、プロトコル1108がTCPやUDPであった場合の送信元ポート番号1109、宛先ポート番号1110から構成される。
前記不正トラフィック管理装置は、前記トラフィック情報メッセージを受信すると、まず、前記トラフィック情報が過去に受信したものであるかどうかを判定する(S802)。この判定処理には、過去に自ISP内ルータから受信したトラフィック情報メッセージに対する処理状態を管理するテーブルである自ISPトラフィック情報テーブル204を使用する。
図4は、自ISPトラフィック情報テーブル204の内容を示したもので、自ISPトラフィック情報テーブル204は複数のエントリから構成される。一つのエントリは、自ISPトラフィック情報テーブル204内でのエントリの位置を示すエントリ番号401、受信したトラフィック情報メッセージに含まれていた情報をそれぞれ格納するトラフィック種別402、フロー情報403、トラフィックレベル404、前記トラフィック情報メッセージを送信したルータのIPアドレスを格納する検知ルータ405、前記トラフィック情報メッセージの最新のものを受信した時刻を保持する最新検知時刻406、前記トラフィック情報メッセージで示される不正トラフィックに対する現在の処理状態を示す処理状態407、前記不正トラフィックに対する対処法を示している不正トラフィック対処ポリシーテーブル207内のエントリを指し示す対処ポリシーエントリ番号408、前記不正トラフィックに対する対処法として、前記不正トラフィックの流入元となっているISPに不正トラフィック検知の通知を行った場合に、前記通知を行うために前記不正トラフィック管理装置が送信したトラフィック情報メッセージに格納したシーケンス番号を保持するシーケンス番号409から構成される。
S802では、S801で受信したトラフィック情報メッセージに含まれるトラフィック種別1101、フロー情報1102、トラフィックレベル1103と同一の値をトラフィック種別402、フロー情報403に持つエントリを自ISPトラフィック情報テーブル204から検索し、前記エントリが見つかった場合は前記エントリの最新検知時刻406を現在時刻に更新して処理を終了する(S803)。
前記エントリが見つからなかった場合は、自ISPトラフィック情報テーブル204中の未使用エントリを検索し、前記未使用エントリに前記トラフィック情報メッセージ中のトラフィック種別1101、フロー情報1102、トラフィックレベル1103の内容を、前記未使用エントリのトラフィック種別402、フロー情報403、トラフィックレベル404にコピーし、検知ルータ405に前記トラフィック情報メッセージを送信してきたルータのIPアドレスを、最新検知時刻406に現在時刻をそれぞれ設定する。
続いて、前記不正トラフィックへの対処方法を決定するために不正トラフィック対処ポリシーテーブル207、および、他ISPトラフィック情報テーブル205を検索する(S804)。
図7は、不正トラフィック対処ポリシーテーブル207の内容を示したもので、不正トラフィック対処ポリシーテーブル207は複数のエントリから構成されている。一つのエントリは、不正トラフィック対処ポリシーテーブル207内でのエントリの位置を示すエントリ番号701、対処する不正トラフィックのトラフィック種別702、対処する不正トラフィックのフロー情報の範囲を指定するフロー範囲指定情報703、対処を要する不正トラフィックのトラフィックレベルを示すトラフィックレベル閾値704、対処内容を示す対処ポリシー705から構成される。対処ポリシー705は、不正トラフィックの流入元が他ISPの場合に該ISPに対処依頼をするかどうか、および、他ISPからの対処依頼に応じるかどうかといった情報を含み、さらに自ISP内での対処するための情報として、不正トラフィックを検知したルータのフロー制御情報テーブル307の設定変更内容を示す情報を含むものである。
また、図5は、他ISPトラフィック情報テーブル205の内容示したもので、他ISPトラフィック情報テーブル205は複数のエントリから構成されている。一つのエントリは、他ISPトラフィック情報テーブル205内でのエントリの位置を示すエントリ番号501、他ISPから受信したトラフィック情報メッセージに含まれていた情報をそれぞれ格納するトラフィック種別502、フロー情報503、シーケンス番号504、前記トラフィック情報メッセージの送信元を示す送信元管理装置505、前記トラフィック情報メッセージの最新のものを受信した時刻を保持する最新受信時刻506、前記トラフィック情報メッセージで示される不正トラフィックに対する現在の処理状態を示す処理状態507から構成される。処理状態507は、前記トラフィック情報メッセージに対して「対処しない」、「対処済み」、「対処保留中」のいずれかの値をとる。
S804にて前記トラフィック情報メッセージに含まれるトラフィック種別1101と同一の値をトラフィック種別702に持ち、かつ、フロー情報1102がフロー範囲指定情報703の指定範囲に含まれている不正トラフィック対処ポリシーテーブル207内のエントリ、および、前記トラフィック情報メッセージに含まれるトラフィック種別1101と同一の値をトラフィック種別502に持ち、かつ、フロー情報1102と同一の値をフロー種別503に持つ他ISPトラフィック情報テーブル205内のエントリをそれぞれ検索する。前記不正トラフィック対処ポリシーテーブル207内のエントリが見つからなかった場合、および、前記不正トラフィック対処ポリシーテーブル207内のエントリが見つかり、かつ、前記他ISPトラフィック情報テーブル205内のエントリが見つからず、かつ、前記トラフィック情報メッセージに含まれるトラフィックレベル1103が前記不正トラフィック対処ポリシーテーブル207内のエントリのトラフィックレベル閾値704より小さい場合は、前記不正トラフィックへの対処は行わないものとし、S802で新規作成したエントリの処理状態407に「対処しない」と記して終了する(S805)。
S804の不正トラフィック対処ポリシーテーブル207、および、他ISPトラフィック情報テーブル205の検索結果が上記の条件を満たさなかった場合、前記不正トラフィックへの対処を行うものとし、さらに、前記不正トラフィックへの対処を自ISP内で行うか、他ISPに対処依頼をするかを決定する処理を行う(S806)。
具体的には、前記不正トラフィックが自ISP内のユーザネットワークで発生している場合、または、前記不正トラフィックが他のISPから流入しているが、前記検索された不正トラフィック対処ポリシーテーブル207内のエントリの対処ポリシー705で他ISPへの対処依頼を行わないとなっていた場合、または、前記不正トラフィックが他のISPから流入していて、前記検索された不正トラフィック対処ポリシーテーブル207内のエントリの対処ポリシー705でも他ISPへの対処依頼を行うとなっているが、前記ISPに属する不正トラフィック管理装置が特定できない場合に自ISP内で処理するものとする。一方、前記不正トラフィックが他のISPから流入していて、かつ、前記検索された不正トラフィック対処ポリシーテーブル207内のエントリ対処ポリシー705で他ISPへの対処依頼を行うとなっていた場合に前記他のISPへの対処依頼を行うものとする。前記他のISPに属する不正トラフィック管理装置は、他ISP管理装置一覧テーブル206を検索して特定する。
図6は、他ISP管理装置一覧テーブル206の内容を示したもので、他ISP管理装置一覧テーブル206は複数のエントリから構成されている。一つのエントリは、他ISP管理装置一覧テーブル206内でのエントリの位置を示すエントリ番号601、他ISPへ接続しているボーダールータのIPアドレスとポート示すボーダールータ602と接続ポート603、前記他のISPに属する不正トラフィック管理装置のIPアドレスを示す管理装置IPアドレス605から構成される。前記不正トラフィックの流入しているルータとポートに一致するボーダールータ602と接続ポート603を持つエントリを検索し、該エントリの管理装置IPアドレス605に示される装置を前記不正トラフィックの流入元となっているISPの不正トラフィック管理装置であると特定する。
S806で自ISP内で対処すると決定された場合、前記検索された不正トラフィック対処ポリシーテーブル207内のエントリの対処ポリシー705に示されるルータのフロー制御情報テーブル307の設定変更内容を示す情報をS802で新規作成したエントリの通知ルータ405で示されるルータに送信するとともに、前記エントリの対処ポリシーエントリ番号408にS804で検索された不正トラフィック対処ポリシーテーブル207内のエントリのエントリ番号を格納し、前記エントリの処理状態407に「対処済み」と記す。前記ルータは、前記情報をフロー制御情報テーブル307に格納する(S807)。これにより、以後、前記ルータを通過する前記不正トラフィックは、前記情報にしたがってフロー制御部308により遮断や帯域制限等のトラフィック制御が行われるようになる。
S806で他ISPに対処依頼を行うと決定された場合は、前記不正トラフィックの流入元となっているISPの不正トラフィック管理装置にトラフィック情報メッセージを送信するとともに、S802で新規作成したエントリの処理状態407に「対処依頼中」と記し、前記エントリの対処ポリシーエントリ番号408にS804で検索された不正トラフィック対処ポリシーテーブル207内のエントリのエントリ番号を格納する。さらに、前記トラフィック情報メッセージに対する応答待ちタイマを起動する(S808)。ここで、前記トラフィック情報メッセージは、S801で受信したトラフィック情報メッセージと同一内容のものであるが、入力ポート1105は他ISPの不正トラフィック管理装置宛の場合は意味を持たない情報なので「指定なし」を意味する値に置き換え、シーケンス番号1104も他ISPの不正トラフィック管理装置宛のメッセージ毎に1ずつ増やした値に置き換える。また、シーケンス番号1104に格納した値をS802で新規作成したエントリのシーケンス番号409にも格納しておく。
最後に、S807またはS808の処理が終了したら、保留中の他ISPから受信したトラフィック情報メッセージに対する応答処理を実行する(S809)。S804で検索された他ISPトラフィック情報テーブル207内のエントリの処理状態507が「対処保留中」であった場合、前記エントリの送信元管理装置505で示される他ISPの不正トラフィック管理装置宛に応答メッセージを送信するとともに、前記処理状態507の値を「対処済み」に変更する。
図12は、応答メッセージの内容を示したもので、応答内容を示す応答種別1201とトラフィック情報メッセージとの対応関係を示すためのシーケンス番号1202から構成される。
S809で送信する応答メッセージは、応答種別1201を「肯定応答」に、シーケンス番号1202を前記エントリのシーケンス番号504の値に設定したものである。
以上が、不正トラフィック管理装置において自ISP内からトラフィック情報を受信した場合の処理内容である。
次に、不正トラフィック管理装置が他のISPからトラフィック情報メッセージを受信した場合の処理を説明する。これは、図8のフローチャートのS808にて送信されたトラフィック情報メッセージを別の不正トラフィック管理装置受信した場合の処理である。
図9は、不正トラフィック管理装置が他ISP内の不正トラフィック管理装置からトラフィック情報を受信したときにCPU201が実行する処理内容を示したフローチャートである。
S901にて不正トラフィック管理装置が他のISPに属する不正トラフィック管理装置からトラフィック情報メッセージを受信すると、CPU201は、前記トラフィック情報メッセージが過去に受信したものであるかどうかを判定する(S902)。
具体的には、前記トラフィック情報メッセージに含まれるトラフィック種別1101と同一の値をトラフィック種別502に持ち、かつ、フロー情報1106と同一の値をフロー種別503に持つ他ISPトラフィック情報テーブル205内のエントリを検索する。前記エントリが見つかった場合は、過去に受信されたトラフィック情報であると判断し、前記エントリ内の最新受信時刻505を現在の時刻に更新して処理を終了する(S903)。
前記エントリが見つからなかった場合は、新規に受信したトラフィック情報であると判断し、他ISPトラフィック情報テーブル205から未使用のエントリを検索し、前記未使用エントリに前記トラフィック情報メッセージ中のトラフィック種別1101、フロー情報1102、シーケンス番号1104の内容を、前記未使用エントリのトラフィック種別502、フロー情報503、シーケンス番号505にコピーし、送信元管理装置504に前記トラフィック情報メッセージを送信してきた不正トラフィック管理装置のIPアドレスを、最新検知時刻506に現在時刻をそれぞれ設定する。
次に、前記不正トラフィック対する対処方法を決定するために不正トラフィック対処ポリシーテーブル207を検索する(S904)。具体的には、前記トラフィック情報メッセージに含まれるトラフィック種別1101と同一の値をトラフィック種別702に持ち、かつ、フロー情報1106がフロー範囲指定情報703の指定範囲に含まれ、かつ、対処ポリシー705が「他ISPからの対処依頼に応じる」となっている不正トラフィック対処ポリシーテーブル207内のエントリを検索する。前記エントリが見つからなかった場合、前記不正トラフィックへの対処は行わないものとし(S905)、S902で新規作成されたエントリの送信元管理装置504に示される他ISPの不正トラフィック管理装置に否定応答メッセージを送信するとともに、前記エントリの処理状態507に「対処しない」と記して終了する(S906)。前記否定応答メッセージは、図12に示される応答メッセージの応答種別1201に「否定応答」を、シーケンス番号1202に前記エントリのシーケンス番号505の値を設定したものである。
S905で上述の不正トラフィック対処ポリシーテーブル207内のエントリが見つかった場合は、前記トラフィック情報メッセージへの対処を行うものとし(S905)、前記トラフィック情報メッセージと同一のトラフィック情報がすでに自ISP内で検出、対処されていないかどうかを自ISPトラフィック情報テーブル204を検索して調べる(S907)。
前記トラフィック情報メッセージに含まれるトラフィック種別1101と同一の値をトラフィック種別402に持ち、かつ、フロー情報1102と同一の値をフロー種別403に持つ自ISPトラフィック情報テーブル204内のエントリが見つかり、かつ、前記エントリの処理状態407が「対処しない」または「対処済み」であった場合は(S908)、S902で新規作成されたエントリの送信元管理装置505に示される不正トラフィック管理装置に応答メッセージを送信するとともに、前記エントリの処理状態507を「対処済み」として終了する(S909)。前記応答メッセージは、前記エントリの処理状態407が「対処しない」の場合は否定応答メッセージとし、「対処する」の場合は肯定応答メッセージとする。
一方、S908にて上述の条件を満たすISPトラフィック情報テーブル204内のエントリが見つからなかった場合は(S908)、S902で新規作成されたエントリの処理状態507を「対処保留中」として終了する(S910)。
以上が、不正トラフィック管理装置において他ISP内の不正トラフィック管理装置からトラフィック情報メッセージを受信した場合の処理内容である。
次に、不正トラフィック管理装置が図8のフローチャートのS808にて他のISPに送信したトラフィック情報メッセージに対する応答メッセージを受信した場合、および、S808で起動した応答待ちタイマがタイムアウトした場合の処理を説明する。
図10は、不正トラフィック管理装置が他ISP内の不正トラフィック管理装置に送信したトラフィック情報メッセージに対する応答メッセージを受信したとき、または、他ISP内の不正トラフィック管理装置にトラフィック情報メッセージを送信したときに起動した応答待ちタイマがタイムアウトしたときにCPU201が実行する処理内容を示したフローチャートである。
S1001にて、不正トラフィック管理装置が他のISPに属する不正トラフィック管理装置から応答メッセージを受信、または、応答待ちタイマがタイムアウトすると、CPU201は、自ISPトラフィック情報テーブル204から前記応答メッセージ、または、前記タイムアウトに対応するエントリを検索する(S902)。
具体的には、前記応答メッセージ、または、前記タイムアウト通知に含まれるシーケンス番号と同一の値をシーケンス番号409に持つエントリを検索する。前記エントリが見つからなかった場合は、そのまま処理を終了する。
前記エントリが見つかった時、前記応答メッセージに含まれる応答種別1201が「否定応答」であるか、または、前記タイムアウトの場合は(S1003)、前記エントリを作成する原因となった不正トラフィックへの対処を自ISP内で行うこととし、前記エントリの対処ポリシーエントリ番号408に示される不正トラフィック対処ポリシーテーブル207内のエントリに含まれる対処ポリシー705の内容に従った対処を行う(S1004)。この対処方法は、図8のフローチャートのS807の処理と同様である。
次に、S1002で検索された自ISPトラフィック情報テーブル204のエントリ内の処理状態407を「対処済み」に変更する。
最後に、保留中の他ISPトラフィック情報への応答処理を実行する(S1006)。この処理は、図8のフローチャートにおけるS809の処理と同様である。
以上が、不正トラフィック管理装置において他ISP内の不正トラフィック管理装置から応答メッセージを受信したか、応答待ちタイマがタイムアウトした場合の処理内容である。なお、図8と図10の処理を実行するCPU201を対処判断部ともいう。
次に、図1に示したネットワークシステムにおいて不正トラフィック管理装置121、122、123がメッセージを交換しながら、ネットワークシステム全体として不正トラフィック対策を実行する様子を図13、図14のシーケンス図を用いて説明する。
図13は、ユーザネットワーク116に属する装置からユーザネットワーク112に属する装置へ大量の攻撃トラフィックが送信されたときに、前記トラフィックをルータ136で遮断するまでのシーケンスを示したものである。図13の例では、不正トラフィック管理装置121は前記攻撃トラフィックを遮断するポリシーが不正トラフィック対処ポリシーテーブル207内のエントリに設定され、前記エントリ内のトラフィックレベル閾値704も前記攻撃トラフィック以下となっており、また、不正トラフィック管理装置122、123では、前記攻撃トラフィックを遮断するポリシーが不正トラフィック対処ポリシーテーブル207内のエントリに設定されているものの、前記エントリ内のトラフィックレベル閾値704も前記攻撃トラフィック以上に設定されているものとする。
上記のような前提条件において、前記攻撃トラフィックはルータ136、133、132を順に経由してユーザネットワーク112に達する。この時、ルータ136、133、132は前記攻撃パケットを不正トラフィックとして検知し、それぞれ不正トラフィック管理装置123、122、121に対してトラフィック情報メッセージ1303、1302、1301を送信する。
前記前提条件と図8のフローチャートにより、前記トラフィック情報メッセージの内、1302と1303は無視されるが、1301は不正トラフィック管理装置121のCPU201により対処すべき不正トラフィックと判断される。そして、前記不正トラフィックの流入元がISP102であることから、図8のフローチャートのS808の処理により不正トラフィック管理装置122にトラフィック情報メッセージ1304を送信する。
次に、トラフィック情報メッセージ1304を受信した不正トラフィック管理装置122は、図9のフローチャートのS902の処理にてトラフィック情報メッセージ1304の内容を他ISPトラフィック情報テーブル205内のエントリに格納し、前記エントリの処理状態507を「対処保留中」とする。そして、その後にルータ133からトラフィック情報メッセージ1305を再度受信したところで、図8のフローチャートのS804の処理にて今度は対処すべき不正トラフィックと判断し、前記不正トラフィックがISP103から流入していることから、S808の処理により不正トラフィック管理装置123にトラフィック情報メッセージ1306を送信する。
さらに、トラフィック情報メッセージ1306を受信した不正トラフィック管理装置123は、図9のフローチャートのS902の処理にてトラフィック情報メッセージ1306の内容を他ISPトラフィック情報テーブル205内のエントリに格納し、前記エントリの処理状態507を「対処保留中」とする。そして、その後にルータ136からトラフィック情報メッセージ1307を再度受信したところで、図8のフローチャートのS804の処理にて今度は対処すべき不正トラフィックと判断し、前記不正トラフィックがユーザネットワーク116から流入していることから、S807の処理によりルータ136に対して前記不正トラフィックを遮断するためのルータ設定変更の指示1308を送信するとともに、S809の処理によってトラフィック情報メッセージ1306に対する肯定応答メッセージ1309を送信する。
肯定応答メッセージ1309を受信した不正トラフィック管理装置122は、図10のフローチャートのS1006の処理によりトラフィック情報メッセージ1304に対する肯定応答メッセージ1310を送信する。
以上の一連のシーケンスにより、ISP102、103では前記攻撃トラフィックを不正トラフィックと判断しないポリシーでありながら、ISP101からの対処依頼により前記攻撃トラフィックを遮断する処理を攻撃元となっているユーザネットワーク116にもっとも近いルータ136で実行している。
次に他のシーケンスの例を図14により説明する。図14の例では、図13の例の前提条件の内、不正トラフィック管理装置123にて前記攻撃トラフィックを遮断するポリシーが不正トラフィック対処ポリシーテーブル207に設定されていないこと以外は同一であり、この条件のもとで攻撃トラフィックをルータ133で遮断するまでのシーケンスを示したものである。
上記のような前提条件において、前記攻撃トラフィックはルータ136、133、132を順に経由してユーザネットワーク112に達する。この時、ルータ136、133、132は前記攻撃パケットを不正トラフィックとして検知し、それぞれ不正トラフィック管理装置123、122、121に対してトラフィック情報メッセージ1403、1402、1401を送信する。
前記前提条件と図8のフローチャートにより、前記トラフィック情報メッセージの内、1402と1403は無視されるが、1401は不正トラフィック管理装置121のCPU201により対処すべき不正トラフィックと判断される。そして、前記不正トラフィックの流入元がISP102であることから、図8のフローチャートのS808の処理により不正トラフィック管理装置122にトラフィック情報メッセージ1404を送信する。
次に、トラフィック情報メッセージ1404を受信した不正トラフィック管理装置122は、図9のフローチャートのS902の処理にてトラフィック情報メッセージ1404の内容を他ISPトラフィック情報テーブル205内のエントリに格納し、前記エントリの処理状態507を「対処保留中」とする。そして、その後にルータ133からトラフィック情報メッセージ1405を再度受信したところで、図8のフローチャートのS804の処理にて今度は対処すべき不正トラフィックと判断し、前記不正トラフィックがISP103から流入していることから、S808の処理により不正トラフィック管理装置123にトラフィック情報メッセージ1406を送信する。
トラフィック情報メッセージ1406を受信した不正トラフィック管理装置123は、前記攻撃トラフィックを不正トラフィックと判断して対処するポリシーが設定されていないことから、図9のフローチャートのS905の判断にてS906へ移り、否定応答メッセージ1407を不正トラフィック管理装置122に返送する。
否定応答メッセージ1407を受信した不正トラフィック管理装置122は、ISP103に対する対処依頼が断られたと判断し、図10のフローチャートのS1004の処理によりルータ133に対して前記不正トラフィックを遮断するためのルータ設定変更の指示1408を送信するとともに、S1006の処理によってトラフィック情報メッセージ1404に対する肯定応答メッセージ1409を送信する。
以上の一連のシーケンスにより、ISP103が前記攻撃トラフィックに対してまったく対処を行わないポリシーであっても、ISP102がISP101からの対処依頼に対応できるポリシーであれば、ISP102にて対処が行える。
以上が本実施例による不正トラフィック管理装置を利用したネットワークシステムの動作の例である。
本実施例によれば、不正トラフィックへの対処をISPをまたがって実施する場合に、各ISPは、他のISPへ不正トラフィックへの対処を依頼し、前記依頼を受けたISPは前記依頼への対応状況を応答し、前記各ISPは前記応答を受けて前記不正トラフィックへの対処方法を決定するという簡単なプロトコルを実装するだけで、前記各ISP間の運用、管理ポリシーの独立性を保ったまま、ネットワーク全体として最適な不正トラフィックの制御が可能になるという効果がある。
不正トラフィック管理システムの一例を示す図 不正トラフィック管理装置の一例を示す図 不正トラフィック管理システムを構成するルータの内部構成を一例を示す図 図2の自ISPトラフィック情報テーブルの内容の一例を示す図 図2の他ISPトラフィック情報テーブルの内容の一例を示す図 図2の他ISP管理装置一覧テーブルの内容の一例を示す図 図2の不正トラフィック対処ポリシーテーブルの内容の一例を示す図 図2の不正トラフィック管理装置が自ISP内からトラフィック情報メッセージを受信した時の動作の一例を示すフローチャート 図2の不正トラフィック管理装置が他ISPからトラフィック情報メッセージを受信した時の動作の一例を示すフローチャート 図2の不正トラフィック管理装置がトラフィック情報メッセージに対する応答を受信した時の動作の一例を示すフローチャート トラフィック情報メッセージの内容の一例を示す図 応答メッセージの内容の一例を示す図 図1のネットワークにおける不正トラフィック管理装置の動作の一例を示すシーケンス図 図1のネットワークにおける不正トラフィック管理装置の動作の一例を示すシーケンス図
符号の説明
101、102、103 ISP
111、112、113、114、115、116 ユーザネットワーク
121、122、123 不正トラフィック管理装置
131、132、133、134、135、136 ルータ
201 CPU
202 メモリ
203 ネットワークインタフェース
204 自ISPトラフィック情報テーブル
205 他ISPトラフィック情報テーブル
206 他ISP管理装置一覧テーブル
207 不正トラフィック対処ポリシーテーブル
208 入出力装置

Claims (6)

  1. 所定の条件を満たすトラフィックを検出するトラフィック検出部を有するパケット転送装置を含む第1のネットワークに接続し、トラフィックの管理を行う第1のトラフィック管理装置であって、
    前記トラフィック検出部からトラフィック情報を受信するトラフィック情報受信部と、
    前記トラフィック情報受信部で受信したトラフィック情報への対処を判断する対処判断部と、
    前記第1のトラフィック管理装置とは別のトラフィック管理装置との間でトラフィック情報及びトラフィックへの対処情報を送受信する管理装置間通信部とを有し、
    前記対処判断部は、前記トラフィック情報受信部で受信した第1のトラフィック情報が前記第1のネットワークとは異なる第2のネットワークからのトラフィック流入を示していることを検知すると、当該第2のネットワークに対応する第2のトラフィック管理装置へ前記管理装置間通信部で検出情報を送信させ、前記第2のトラフィック管理装置からの前記検出情報への応答として前記管理装置間通信部で受信した対処情報又は所定時間内に対処情報を受信しなかったことにより、前記第1のトラフィック情報に対応するトラフィックへの対処を決定することを特徴とする。
  2. 請求項1のトラフィック管理装置であって、
    トラフィック情報への対処を記憶する対処記憶部を有し、
    前記対処判断部は、
    前記受信した対処情報の内容が、未対処を示す場合又は所定時間内に対処情報を受信しなかった場合に、前記対処記憶部の記憶に基づいて前記第1のトラフィック情報への対処情報を決定し、
    前記受信した対処情報の内容が、対処済を示す場合は、前記第1のトラフィック情報への対処を抑止することを特徴とする。
  3. 請求項1のトラフィック管理装置であって、
    前記対処判断部は、前記トラフィック情報受信部で受信したトラフィック情報を送信したパケット転送装置の情報及び当該トラフィック情報に含まれる送信元アドレス情報及び前記パケット転送装置における入力ポート情報の少なくとも一つを用いて、前記第1のネットワークとは異なるネットワークから流入したか否かを判断することを特徴とする。
  4. 所定の条件を満たすトラフィックを検出するトラフィック検出部を有するパケット転送装置を含む第1のネットワークに接続し、トラフィックの管理を行う第1のトラフィック管理装置であって、
    前記トラフィック検出部からトラフィック情報を受信するトラフィック情報受信部と、
    前記トラフィック情報受信部で受信したトラフィック情報への対処を判断する対処判断部と、
    前記第1のトラフィック管理装置とは別のトラフィック管理装置との間でトラフィック情報及びトラフィックへの対処情報を送受信する管理装置間通信部とを有し、
    前記対処判断部は、前記トラフィック情報受信部で受信した第1のトラフィック情報が前記第1のネットワークとは異なる第2のネットワークからのトラフィック流入を示しているか否かを判断し、当該判断によって前記第1のトラフィック情報に対応するトラフィックへの対処を切り替えることを特徴とするトラフィック管理装置。
  5. 所定の条件を満たすトラフィックを検出するトラフィック検出部を有するパケット転送装置を含む第1のネットワークに接続し、トラフィックの管理を行う第1のトラフィック管理装置が実行するトラフィック管理方法であって、
    前記トラフィック検出部からトラフィック情報を受信するステップと、
    受信した第1のトラフィック情報が前記第1のネットワークとは異なる第2のネットワークからのトラフィック流入を示していることを検知するステップと、
    当該第2のネットワークに対応する第2のトラフィック管理装置へ検出情報を送信するステップと、
    前記検出情報への応答として前記第2のトラフィック管理装置から受信した対処情報に基づいて前記第1のトラフィック情報に対応するトラフィックへの対処を決定するステップとを有することを特徴とする。
  6. 所定の条件を満たすトラフィックを検出するトラフィック検出部を有するパケット転送装置を含む第1のネットワークに接続し、トラフィックの管理を行う第1のトラフィック管理装置が実行するトラフィック管理方法であって、
    前記トラフィック検出部からトラフィック情報を受信するステップと、
    受信した第1のトラフィック情報が前記第1のネットワークとは異なる第2のネットワークからのトラフィック流入を示していることを検知するステップと、
    当該第2のネットワークに対応する第2のトラフィック管理装置へ検出情報を送信するステップと、
    所定時間内に前記検出情報への応答を受信しなかったとき、前記第1のトラフィック情報に対応するトラフィックを制御するよう前記パケット転送装置へ指示するステップとを有することを特徴とする。
JP2006024053A 2006-02-01 2006-02-01 不正トラフィック管理装置およびシステム Pending JP2007208575A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006024053A JP2007208575A (ja) 2006-02-01 2006-02-01 不正トラフィック管理装置およびシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006024053A JP2007208575A (ja) 2006-02-01 2006-02-01 不正トラフィック管理装置およびシステム

Publications (1)

Publication Number Publication Date
JP2007208575A true JP2007208575A (ja) 2007-08-16

Family

ID=38487640

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006024053A Pending JP2007208575A (ja) 2006-02-01 2006-02-01 不正トラフィック管理装置およびシステム

Country Status (1)

Country Link
JP (1) JP2007208575A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4827972B2 (ja) * 2007-09-28 2011-11-30 日本電信電話株式会社 ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム
US8427968B2 (en) 2008-08-06 2013-04-23 Alaxala Networks Corporation Communication data statistical apparatus, communication data statistical method, and computer program product
JP2021170772A (ja) * 2020-04-13 2021-10-28 華為技術有限公司Huawei Technologies Co., Ltd. パケット検出方法および第1のネットワーク機器

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4827972B2 (ja) * 2007-09-28 2011-11-30 日本電信電話株式会社 ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム
US8427968B2 (en) 2008-08-06 2013-04-23 Alaxala Networks Corporation Communication data statistical apparatus, communication data statistical method, and computer program product
JP2021170772A (ja) * 2020-04-13 2021-10-28 華為技術有限公司Huawei Technologies Co., Ltd. パケット検出方法および第1のネットワーク機器
JP7322088B2 (ja) 2020-04-13 2023-08-07 華為技術有限公司 パケット検出方法および第1のネットワーク機器

Similar Documents

Publication Publication Date Title
JP5673557B2 (ja) ネットワークシステム、コントローラ、ネットワーク制御方法
KR100679170B1 (ko) 네트워크 공격 대책방법, 네트워크 공격 대책장치 및 네트워크 공격 대책 프로그램을 기록한 기록매체
CN108737447B (zh) 用户数据报协议流量过滤方法、装置、服务器及存储介质
JPWO2005036831A1 (ja) フレーム中継装置
US7684339B2 (en) Communication control system
US20120144487A1 (en) Routing apparatus and method for detecting server attack and network using the same
JP6737610B2 (ja) 通信装置
EP1802058A1 (en) Method for protection from service-disabling attack, system for protection from service-disabling attack, device for protection from service-disabling attack, relay device, program for protection from service-disabling attack, and relay device program
US10397225B2 (en) System and method for network access control
US7596808B1 (en) Zero hop algorithm for network threat identification and mitigation
JP6422677B2 (ja) ネットワーク中継装置、同装置を用いたDDoS防御方法および負荷分散方法
Wang et al. Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks
JP7139252B2 (ja) 転送装置
CN107690004B (zh) 地址解析协议报文的处理方法及装置
JP2013070325A (ja) 通信システム、通信装置、サーバ、通信方法
JP2005193590A (ja) 印刷装置
JP2007208575A (ja) 不正トラフィック管理装置およびシステム
JP2019152912A (ja) 不正通信対処システム及び方法
TW201132055A (en) Routing device and related packet processing circuit
JP6476530B2 (ja) 情報処理装置、方法およびプログラム
JP4677501B2 (ja) 中継装置および中継方法
JP2007221395A (ja) ネットワーク端末装置
JP4084317B2 (ja) ワーム検出方法
CN112866031B (zh) 路由配置方法、装置、设备及计算机可读存储介质
JP2008028720A (ja) 送信元ipアドレス詐称ipパケットを制御可能なipネットワーク装置および送信元ipアドレス詐称ipパケット制御方法