JP2012205159A - フロー別流量監視制御方法、通信装置、およびプログラム - Google Patents
フロー別流量監視制御方法、通信装置、およびプログラム Download PDFInfo
- Publication number
- JP2012205159A JP2012205159A JP2011069035A JP2011069035A JP2012205159A JP 2012205159 A JP2012205159 A JP 2012205159A JP 2011069035 A JP2011069035 A JP 2011069035A JP 2011069035 A JP2011069035 A JP 2011069035A JP 2012205159 A JP2012205159 A JP 2012205159A
- Authority
- JP
- Japan
- Prior art keywords
- flow
- information
- search history
- address
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】複数フローが平等なフロー廃棄になるように制御するとともに、DoS攻撃からの通信装置を適切に防御するフロー別流量監視制御方法および通信装置を提供する。
【解決手段】受信したパケットのヘッダ情報を抽出するステップと、フロー情報と、該フロー情報に対応するアドレス情報が関連づけられたテーブルを用い、前記ヘッダ情報に示されるアドレス情報からフローを検索するステップと、前記フローが前記テーブルに存在した場合には、前記フローに関連するアドレス情報に検索履歴情報を関連づけて検索履歴管理情報格納手段に格納するとともに、前記アドレス情報に対応したフローの処理情報を取得するステップと、前記検索履歴情報と前記フローの処理情報を用いて前記受信したパケットのキューイングを行なうステップと、前記検索履歴情報によりサービス妨害攻撃の発生を検出する。
【選択図】図3
【解決手段】受信したパケットのヘッダ情報を抽出するステップと、フロー情報と、該フロー情報に対応するアドレス情報が関連づけられたテーブルを用い、前記ヘッダ情報に示されるアドレス情報からフローを検索するステップと、前記フローが前記テーブルに存在した場合には、前記フローに関連するアドレス情報に検索履歴情報を関連づけて検索履歴管理情報格納手段に格納するとともに、前記アドレス情報に対応したフローの処理情報を取得するステップと、前記検索履歴情報と前記フローの処理情報を用いて前記受信したパケットのキューイングを行なうステップと、前記検索履歴情報によりサービス妨害攻撃の発生を検出する。
【選択図】図3
Description
本発明は、フロー別流量監視制御方法、通信装置、およびプログラムに関し、特に、IP(Internet Protocol)ネットワークにおけるサービス妨害(DoS:Denial of Service)攻撃の可能性のあるフローの流量をフロー別に監視するフロー別流量監視制御方法、通信装置、およびプログラムに関する。
データ通信において、受信側の処理が追いつかず、データを取りこぼしたりするのを防ぐため、通信状況に応じて送信停止や速度制限などの調整を行なうフロー制御技術が知られている。
一方、サービス妨害(DoS:Denial of Service)攻撃は、インターネット経由での不正アクセスであり、大量のデータや不正パケットを送りつけ、ネットワークに接続された資源に過剰な負荷をかけて、攻撃対象のシステムが本来のサービスを実行できなくさせるものである。
DoS攻撃を検出する技術については、様々な技術が開示されている。
例えば、単位時間当たりに受信したフローのパケット数またはバイト数が閾値を超えたことで、DoS攻撃を検出する技術に関し、先行技術文献がある。
また、DoS攻撃を正確に識別する技術、および攻撃被疑を検知した対応フローをサイト内で遮断する技術に関し、先行文献がある。
従来技術においては、パケット流量の監視および制御する場合に、対象のフローまたはキュークラスを固定的に設定し、対象を限定していた。しかし、実際には複数のフローを束ねたキュークラス単位で監視対象となることが多く、一律な閾値が適用された結果、一つのフローの帯域違反が他のフローの廃棄を招いていた。
DoS攻撃パケットを拒否するための上記先行技術文献に開示の技術は、通常では監視対象として設定しないプロトコル系パケットのフローを指定してパケット数やバイト数が著しく多いフローを固定的な基準で検出するために、非常に多くの資源を用意しなければならなかった。
本発明は、ネットワークに流れるプロトコル系パケットも含め、全てのフローを制御対象とするフロー別の流量を監視制御する技術に関し、特に複数フローが平等なフロー廃棄になるように制御するとともに、DoS攻撃からの通信装置を適切に防御することを目的とする。
上記課題を解決するための方法の一観点は、受信したパケットのヘッダ情報を抽出するステップと、フロー情報と、該フロー情報に対応するアドレス情報が関連づけられたテーブルを用い、前記ヘッダ情報に示されるアドレス情報からフローを検索するステップと、前記フローが前記テーブルに存在した場合には、前記フローに関連するアドレス情報に検索履歴情報を関連づけて検索履歴管理情報格納手段に格納するとともに、前記アドレス情報に対応したフローの処理情報を取得するステップと、前記検索履歴情報と前記フローの処理情報を用いて前記受信したパケットのキューイングを行なうステップと、前記検索履歴情報によりサービス妨害攻撃の発生を検出するステップとを含んでいる。
以上、開示の技術によれば、全パケットを監視対象とし、且つソフトウェアモジュールごとの処理性能に合わせて柔軟に輻輳状態の判断が行なえるようにしたため、一つのフローの帯域違反が他のフローへの影響を受けなくなるとともに、高度なデータ解析が可能となるので、DoS攻撃を受けていると判断したら、エントリの無効化、帯域制限などの防御策について保守者を介さず、リアルタイムに適用することができる。
図1は、本発明の適用される通信装置のネットワーク配置図であり、(a)LANに接続されたL2SW、及び(b)WANに接続されたL3SWである。
(a)LANに接続されたL2SW
L2SW(レイヤ2スイッチ)(2)は、ネットワークの中継機器の一つであり、データリンク層(第2層)のデータでパケット31、32の行先を判断して転送を行なうものである。
L2SW(レイヤ2スイッチ)(2)は、ネットワークの中継機器の一つであり、データリンク層(第2層)のデータでパケット31、32の行先を判断して転送を行なうものである。
複数のユーザ端末41〜43が接続されているLAN(Local Aria Network)(1)にはパケット情報が飛び交っており、不正なパケット攻撃を受ける可能性がある。
そのため、L2SW(2)にてパケット流量の監視制御が行われる。
(b)WANに接続されたL3SW
L3SW(レイヤ3スイッチ)(61〜64)は、ネットワークの中継機器の一つであり、ネットワーク層(第3層)のデータでパケットの行先を判断して転送を行なうものである。
L3SW(レイヤ3スイッチ)(61〜64)は、ネットワークの中継機器の一つであり、ネットワーク層(第3層)のデータでパケットの行先を判断して転送を行なうものである。
L3SW[Edge]61、63では、L3SW[Core]62、64と異なり、Upper LinkとLower Linkの帯域が異なり、サービス品質(QoS:Quality of Service)による流量制御を必要とする。
図2は、本発明に適用される通信装置の構成図である。
通信装置7は、図1で説明したL2SW(2)およびL3SW(61〜64)であり、回線処理モジュール81〜83、フォワーディング処理モジュール91、92、93、スイッチングモジュール10、および装置制御モジュール11で構成される。
回線処理モジュール81〜83は、外部の回線と直接接続し、パケットの送受信処理を行うモジュールである。
フォワーディング処理モジュール91、92、93は、パケットのL2,L3,L4ヘッダ情報を解析し、装置内におけるパケット処理方法を決めるモジュールであり、QoSキュー単位に帯域制御と優先制御を行う優先/帯域制御部911、912と、パケットの廃棄もしくはQoSキュークラスへの振り分け指示を行なう制御部92を備える。
スイッチングモジュール10は、装置内のスロット間スイッチングを行なうモジュールである。
装置制御モジュール11は、装置全体を統括して装置管理及び通信プロトコル終端を行うモジュールである。
本発明は、フォワーディング処理モジュール91、92、93内の優先/帯域制御部911、912および制御部92に適用される。なお、後述する図3との対応において、制御部92は、ソフトウェア処理部25に対応し、その他のモジュール部はパケットに対する読み取り加工処理がメインのため、一般的には優先/帯域制御部911、912とは区別される。
図3は、本発明の一実施形態における通信装置の詳細構成図である。
パケット受信用バッファ12は、パケットが到着した場合、パケット振り分け先のQoSキュークラスが決まるまでの間、到着したパケットを格納する。
受信パケットは、最適な経路を選択して送信するルーチングパケット13、IPアドレスから物理層のネットワーク・アドレス(MACアドレス)を求めるために利用されるARP(Address Resolution Protocol)パケット14、およびIPの機能を補完するためのICMP(Internet Control Message Protocol)パケット15が存在する。
なお、ARPは、L2レイヤのプロトコルであることからL2ヘッダを解析して装置内の処理を決める。ICMPは、L3レイヤのプロトコルであることからL3ヘッダを解析して装置内の処理を決める。
フロー識別モジュール16は、受信用パケットのL2/L3/L4ヘッダ情報を抽出し、それらを検索キーとしてCAM(Content Addressable Memory)17へ送信する。
CAM(Content Addressable Memory)17は、ロンゲストプレフィックス方式でフローのエントリ検索を行い、ヒットしたエントリのアドレス情報を返す。アドレス情報はアドレスデコーダ18により、セレクタ20向けおよび連想メモリ22向けのアドレス情報へと変換される。ロンゲストプレフィックス方式は、対象となっているあるアドレスに対し、複数のプレフィックスの中から上位ビットが最も長く合致するプレフィックスを選択する方式である。
CAMテーブル17aは、CAM17に付随するテーブルであり、テーブル構造については、後述する図8にて説明する。
セレクタ20は、アドレスデコーダ18より受信したアドレス情報に対応したヒット履歴格納用FIFO[ICMP](21a)、FIFO[ARP](21b)へ時刻情報19を格納する。
ヒット履歴格納用FIFO[ICMP](21a)、FIFO[ARP](21b)は、フローごとの管理FIFOであり、FIFOの構造については、後述する図8にて説明する。
連想メモリ22は、アドレスデコーダ18より受信したアドレス情報に対応した連想メモリテーブル22aにアクセスし、QoSキューおよび有効または無効に関する情報を取得する。
連想メモリテーブル22aは、連想メモリ22に付随するテーブルであり、テーブル構造については、後述する図8にて説明する。
制御部23は、ヒット履歴格納用FIFO(21a),(21b)の情報と連想メモリ22の情報(有効または無効フラグ、QoSキュー番号)を基にパケットの廃棄もしくはQoSキュークラスへの振り分け指示を行なう。
優先/帯域制御部24は、QoSキュー単位に優先制御と帯域制御を行う。優先/帯域制御部24の詳細については図4にて説明する。
ソフトウェア処理部25は、フォワーディング処理モジュール9のソフトウェアで終端するパケットの処理を行う。
流量解析動的制御部251は、フォワーディング処理モジュール91、92、93のソフトウェアで終端するパケットの処理が完了するたびに該当するヒット履歴格納用FIFO(21a)、(21b)よりヒット履歴を読み出す。また、単位時間当たりのヒット率を計算し、DoS攻撃を受けていると判断した場合にはフローエントリの一時的な無効化や、QoSキューの帯域変更を動的に行い、パケット廃棄動作を起動させる。
ARP処理モジュール252は、前述したARP(Address Resolution Protocol)パケット14を処理するモジュールである。
ICMP処理モジュール253は、前述したICMP(Internet Control Message Protocol)パケット15を処理するモジュールである。
このように、ソフトウェアモジュールごとに流量制御するため、あるモジュールで輻輳してもその影響が他のソフトウェアモジュールに及ぶことは無く、ソフトウェアモジュール自身の処理性能に合わせてパケット供給を行なうことができる。
以上の構成において、フロー識別モジュール16→CAM17→アドレスデコーダ18→セレクタ20→制御部23→優先/帯域制御部24のルートは、パケットのヘッダ部のみの処理になる。
本例では、パケットの種類として、ルーチングパケット13、ARPパケット14、およびICMPパケット15を例にして説明したが、多種類あるパケットのうちで自装置宛フローと、他装置宛フローの一例として上げたものであり、本発明はその他のパケットに対しても適用することが可能である。
ARPパケット14、およびICMPパケット15は、ARプロトコル、ICMプロトコルを任意の通信の制御部(ソフトウェア処理部)へ伝達するためのパケットであり、本例では、DoS攻撃の代表例として、それらのパケットを対象として説明した。
なお、本例では流量監視制御対象を自装置宛フローとした場合について記載している。
図4は、本発明の一実施形態における優先/帯域制御部の構成図である。図4に示すように、優先/帯域制御部24は、クラシファイア241と、メインスケジューラ242と、QoSキューアドレス管理FIFO1(2431)〜FIF3(2433)とQoS共有メモリ244と、セレクタ245とからなる。
クラシファイア(Classifier)241は、制御部23から指示されたQoSキューにパケット受信用バッファ12から受信したパケットを振り分けて格納する分類装置であり、制御部23から振り分け指示を受けた場合は、QoS共有メモリ244へ受信したパケットを格納し、受信パケットのアドレスをQoSキューアドレス管理FIFO1(2431)〜FIFO3(2433)へ格納する。
メインスケジューラ242は、流量解析動的制御部251から送信される帯域調整値に基づいて、QoS共有メモリ244に格納されたパケットの読出し順序および回数を指示する。
QoSキューアドレス管理FIFO1(2431)〜FIFO3(2433)は、QoS共有メモリ244に格納されたパケットのアドレスが格納される。
QoS共有メモリ244は、パケット受信用バッファ12から受信したパケットを格納する。
セレクタ245は、メインスケジューラ242からの指示の元、QoS共有メモリ244からパケットを読み出す。
以上の構成により、優先/帯域制御部24は、パケット振り分け先のQoSキュークラスを決定してQoSの利用条件や運用条件の規定を決めるQoSポリシーを実現する。
QoSポリシーとは、どのアプリケーションを優先するか、各アプリケーションに対するQoSの評価尺度をどの程度にするのかを決めたものを呼ぶ。
図5は、本発明の一実施形態におけるフロー別流量監視制御手順のフローチャート(その1)である。以下に、図3通信装置の詳細構成図を参照しながら、フロー別流量監視制御手順を時系列的に説明する。
S1.パケット受信用バッファ12は、パケットが到着し、自バッファ内にパケットが格納されているかを確認する。
S2.フロー識別モジュール16は、パケット受信用バッファ12内に格納されているパケットのヘッダ領域を抽出し、それらを検索キーとしてCAM17へ送信する。
パケットのヘッダ領域(L2ヘッダ、L3ヘッダ、L4ヘッダ)については、図5にて詳述する。
S3.CAM17は、ロンゲストプレフィックス方式で、フローのエントリ検索を行い、ヒットしたエントリのアドレス情報をアドレスデコーダ18へ送信する。ロンゲストプレフィックス方式は、対象となっているあるアドレスに対し、複数のプレフィックスの中から上位ビットがもっとも長く合致するプレフィックスを選択する方式である。アドレスデコーダ18は、このアドレス情報をデコードし、セレクタ20向けのアドレス情報と、連想メモリ22向けのアドレス情報に変換する。なお、フローエントリがヒットする詳細説明は、図8にて後述する。
S4.受信した時刻情報23を含むセレクタ20は、アドレスデコーダ18より受信したアドレス情報に示されるフロー種別により、アドレス情報に対応したヒット履歴格納用FIFO[ICMP](21a)およびヒット履歴格納用FIFO[ARP](21b)・・・・等へそれぞれ時刻情報を格納する。
S5.連想メモリ22は、アドレスデコーダ18より受信したアドレス情報に対応した連想メモリテーブル22aにアクセスし、フロー情報の判別(QoSキューおよび有効/無効に関する情報より)を行なう。
S6.制御部23は、前述のS4によるヒット履歴格納用FIFOの情報(Full、Almost Full)と、前述のS5による有効/無効フラグ、QoSキュー番号)を元に、パケットの廃棄もしくはQoSクラスへの振り分けを行なう。
S7.優先/帯域制御部24は、QoSキュー単位に優先制御と帯域制御を行う。具体的には、QoS共有メモリ244にパケットを格納し、格納したパケットのアドレスをQoSキューアドレス管理FIFO1(2431)〜QoSキューアドレス管理FIFO3(2433)に振り分ける動作をする。
以上のフローチャートは、受信パケットのヘッダ情報を抽出してからQoSキュー単位に優先/帯域制御を行うまでを示す。
特に、フロー識別処理の際に装置内のデバイス間での情報伝達されるエントリアドレスと、ヒット時刻を管理することにより、全ての履歴をデータ解析可能な形で保存できることに着目している。
図6は、本発明の一実施形態におけるフロー別流量監視制御手順のフローチャート(その2)である。以下に、図3通信装置の詳細構成図を参照しながら、フロー別流量監視制御手順を時系列的に説明する。
S8.優先/帯域制御24より出力されるパケットのうち、自装置宛については、ソフトウェア処理部25へのフォワーディング(forwarding)を行なう。自装置宛のパケットは、ARPパケット14とICMPパケット15である。
S9.優先/帯域制御24より出力されるパケットのうち、他装置宛については、他装置へのフォワーディング(forwarding)を行なう。他装置宛のパケットは、ルーチングパケット13である。
S10.フォワーディング処理モジュール9のソフトウェアで終端するパケットの処理を行う。
S11.流量解析動的制御部251は、フォワーディング処理モジュール9のソフトウェアで終端するパケットの処理が完了するたびに該当するヒット履歴格納用FIFO(21)よりヒット履歴を読みだし、流量の解析と、動的制御を実行する。流量の解析は、単位時間あたりのヒット率を算定する。動的制御は、DoS攻撃を受けていると判断した場合にフローエントリの無効化、QoSキューの帯域変更およびパケット廃棄動作である。上記動的制御は、流量解析動的制御部251より連想メモリ22および優先/帯域制御部24に対して指示される。
以上のフローチャートは、QoSキュー単位に優先/帯域制御を行ってから、特に自装置宛のパケットについて流量解析と動的制御を行うまでを示す。
特に、フローのエントリアドレスとヒット時刻がデータとして装置内のソフトウェア処理部に渡されるため、高度なデータ解析が可能となる。その結果、攻撃を受けていると判断したら、エントリの無効化、帯域制限などの防御策について保守者を介さずリアルタイムに適用できる。
図7は、本発明による通信装置で処理するパケットの構造である。到着するパケットのヘッダ構造は図7に示すとおりであり、ネットワークレイヤーごとヘッダを具備する。
レイヤ2であれば、L2ヘッダには、MAC Dst(48ビット)とMAC Src(48ビット)が該当する。
レイヤ3であれば、L3ヘッダには、IP Src(32ビット)とIP Dst(32ビット)が該当する。
レイヤ4であれば、L4ヘッダには、Port Src(16ビット)とPort Dst(16ビット)が該当する。
ネットワークポリシーの適用単位となるフローは、これらのヘッダ情報に基づいて決められる。
ペイロード(Payload)は、パケット、フレーム、セルなどで、制御用のヘッダ部分などを除いた実データを伝送するフィールドであり、FCS[32ビット]は、フレーム・チェック・シーケンス(Frame check sequence)であり、受信側が伝送誤りを検出できるようにするために、送信側がフレームと呼ぶデータ転送単位の最後尾に付けるビット列である。
以上の構成において、L2ヘッダ、L3ヘッダ及びL4ヘッダのヘッダ構造は、ネットワークレイヤごとのヘッダを具備している。よって、ネットワークポリシーの適用単位となるフローは、これらのヘッダ情報に基づいて決められる。
図8は、本発明の一実施形態における通信装置で使用する管理テーブルの構成図である。 CAMテーブル17aの構造は、[フローNo.0]、[フローNo.1]、[フローNo.2]、[フローNo.3]・・・の中で、L2/L3/L4ヘッダをキーとした検索により、[フローNo.1]エントリーがヒット状態を示す。
CAM(Content Addressable Memory)テーブル17aは、ヒットしたエントリのアドレス情報0x0000_0010をアドレスデコーダ18に返す。
アドレスデコーダ18は、ヒット履歴管理用FIFO(21)に対し、[フローNo.1のヒット履歴]へヒットした時刻を格納する。
更に、アドレスデコーダ18は、連想メモリ22の[フローNo.1の処理詳細]から、ヒットしたフローに対する処理詳細である「QoSキュー(FIFO)番号:2」及び「有効/無効フラグ:有効」の情報を取得する。
以上の構成により、アドレスデコーダ18は、CAMテーブル17aからフローエントリがヒットしたエントリアドレスを受信し、このエントリアドレスに対応した連想メモリ22aのアドレスからヒットしたフローに対する処理詳細を取得でき、且つ、ヒットした時刻をフローごとのヒット履歴管理用FIFO(21)へ格納できる。
本発明によるフロー別流量監視制御方法および通信装置は、キュークラスではなく、フロー単位に独立した流量制御が可能となるため、他の違反フローの影響を受けなくなり、全てのプロトコル系パケットを制御対象として網羅できるため、セキュリティ対策となる。更に、プロトコルごとの処理能力に合わせて最大限の性能と、最小限の廃棄となる流量制御を実現できる。
以上から、不平等な廃棄率の改善、DoS攻撃パケットの防御、保守工数の削減に貢献できる通信装置を提供でき、また、通信装置の管理者にとって利便性が大幅に向上する。
以上の実施態様に関し、さらに以下の付記を開示する。
(付記1)
受信したパケットのヘッダ情報を抽出するステップと、
フロー情報と、該フロー情報に対応するアドレス情報が関連づけられたテーブルを用い、前記ヘッダ情報に示されるアドレス情報からフローを検索するステップと、
前記フローが前記テーブルに存在した場合には、前記フローに関連するアドレス情報に検索履歴情報を関連づけて検索履歴管理情報格納手段に格納するとともに、前記アドレス情報に対応したフローの処理情報を取得するステップと、
前記検索履歴情報と前記フローの処理情報を用いて前記受信したパケットのキューイングを行なうステップと、
前記検索履歴情報によりサービス妨害攻撃の発生を検出するステップと、
を含むことを特徴とするフロー別流量監視制御方法。
(付記2)
付記1において、
前記キューイングを行なうステップは、QoSキュー単位に行なうことを特徴とするフロー別流量監視制御方法。
(付記3)
付記1において、
前記サービス妨害攻撃の発生を検出するステップは、読み出された自装置宛のパケットをソフトウェア処理で終端処理が完了するたびに該当する前記検索履歴情報を読み出すことを特徴とするフロー別流量監視制御方法。
(付記4)
付記3において、
前記サービス妨害攻撃の発生を検出するステップは、単位時間あたりの前記検索履歴情報の発生率を算定することを特徴とするフロー別流量監視制御方法。
(付記5)
受信したパケットのヘッダ情報を抽出する手段と、
フロー情報と、該フロー情報に対応するアドレス情報が関連づけられたテーブルと、
ヘッダ情報に示されるアドレス情報からフローを検索する手段と、
前記フローが前記テーブルに存在した場合には、前記フローに関連するアドレス情報に検索履歴情報を関連づけて格納する手段と、
前記アドレス情報に対応したフローの処理情報を取得する手段と、
前記検索履歴管理情報と前記フローの処理情報を用いて前記受信したパケットのキューイングを行なう手段と、
前記検索履歴情報によりサービス妨害攻撃の発生を検出する手段と、
を備えることを特徴とする通信装置。
(付記6)
付記5において、
前記受信したパケットのキューイングを行なう手段は、QoSキュー単位に優先選択と帯域制御を行なうことを特徴とする通信装置。
(付記7)
付記5において、
前記サービス妨害攻撃の発生を検出する手段は、読み出された自装置宛のパケットをソフトウェア処理で終端処理が完了するたびに該当する前記検索履歴情報を読み出すことを特徴とする通信装置。
(付記8)
付記7において、
前記サービス妨害攻撃の発生を検出するステップは、単位時間あたりの前記検索履歴情報の発生率を算定することを特徴とする通信装置。
(付記9)
コンピュータに、
受信したパケットのヘッダ情報を抽出するステップと、
フロー情報と、該フロー情報に対応するアドレス情報が関連づけられたテーブルを用い、前記ヘッダ情報に示されるアドレス情報からフローを検索するステップと、
前記フローが前記テーブルに存在した場合には、前記フローに関連するアドレス情報に検索履歴情報を関連づけて検索履歴管理情報格納手段に格納するとともに、前記アドレス情報に対応したフローの処理情報を取得するステップと、
前記検索履歴情報と前記フローの処理情報を用いて前記受信したパケットのキューイングを行なうステップと、
前記検索履歴情報によりサービス妨害攻撃の発生を検出するステップと、
を実行させることを特徴とするプログラム。
(付記10)
付記9において、
前記キューイングを行なうステップは、QoSキュー単位に行なうことを特徴とするプログラム。
(付記11)
付記9において、
前記サービス妨害攻撃の発生を検出するステップは、読み出された自装置宛のパケットをソフトウェア処理で終端処理が完了するたびに該当する前記検索履歴情報を読み出すことを特徴とするフロー別流量監視制御方法。
前記キューイングは、QoSキュー単位に行なうことを特徴とするプログラム。
(付記12)
付記11において、
前記サービス妨害攻撃の発生を検出するステップは、単位時間あたりの前記検索履歴情報の発生率を算定することを特徴とするプログラム。
(付記1)
受信したパケットのヘッダ情報を抽出するステップと、
フロー情報と、該フロー情報に対応するアドレス情報が関連づけられたテーブルを用い、前記ヘッダ情報に示されるアドレス情報からフローを検索するステップと、
前記フローが前記テーブルに存在した場合には、前記フローに関連するアドレス情報に検索履歴情報を関連づけて検索履歴管理情報格納手段に格納するとともに、前記アドレス情報に対応したフローの処理情報を取得するステップと、
前記検索履歴情報と前記フローの処理情報を用いて前記受信したパケットのキューイングを行なうステップと、
前記検索履歴情報によりサービス妨害攻撃の発生を検出するステップと、
を含むことを特徴とするフロー別流量監視制御方法。
(付記2)
付記1において、
前記キューイングを行なうステップは、QoSキュー単位に行なうことを特徴とするフロー別流量監視制御方法。
(付記3)
付記1において、
前記サービス妨害攻撃の発生を検出するステップは、読み出された自装置宛のパケットをソフトウェア処理で終端処理が完了するたびに該当する前記検索履歴情報を読み出すことを特徴とするフロー別流量監視制御方法。
(付記4)
付記3において、
前記サービス妨害攻撃の発生を検出するステップは、単位時間あたりの前記検索履歴情報の発生率を算定することを特徴とするフロー別流量監視制御方法。
(付記5)
受信したパケットのヘッダ情報を抽出する手段と、
フロー情報と、該フロー情報に対応するアドレス情報が関連づけられたテーブルと、
ヘッダ情報に示されるアドレス情報からフローを検索する手段と、
前記フローが前記テーブルに存在した場合には、前記フローに関連するアドレス情報に検索履歴情報を関連づけて格納する手段と、
前記アドレス情報に対応したフローの処理情報を取得する手段と、
前記検索履歴管理情報と前記フローの処理情報を用いて前記受信したパケットのキューイングを行なう手段と、
前記検索履歴情報によりサービス妨害攻撃の発生を検出する手段と、
を備えることを特徴とする通信装置。
(付記6)
付記5において、
前記受信したパケットのキューイングを行なう手段は、QoSキュー単位に優先選択と帯域制御を行なうことを特徴とする通信装置。
(付記7)
付記5において、
前記サービス妨害攻撃の発生を検出する手段は、読み出された自装置宛のパケットをソフトウェア処理で終端処理が完了するたびに該当する前記検索履歴情報を読み出すことを特徴とする通信装置。
(付記8)
付記7において、
前記サービス妨害攻撃の発生を検出するステップは、単位時間あたりの前記検索履歴情報の発生率を算定することを特徴とする通信装置。
(付記9)
コンピュータに、
受信したパケットのヘッダ情報を抽出するステップと、
フロー情報と、該フロー情報に対応するアドレス情報が関連づけられたテーブルを用い、前記ヘッダ情報に示されるアドレス情報からフローを検索するステップと、
前記フローが前記テーブルに存在した場合には、前記フローに関連するアドレス情報に検索履歴情報を関連づけて検索履歴管理情報格納手段に格納するとともに、前記アドレス情報に対応したフローの処理情報を取得するステップと、
前記検索履歴情報と前記フローの処理情報を用いて前記受信したパケットのキューイングを行なうステップと、
前記検索履歴情報によりサービス妨害攻撃の発生を検出するステップと、
を実行させることを特徴とするプログラム。
(付記10)
付記9において、
前記キューイングを行なうステップは、QoSキュー単位に行なうことを特徴とするプログラム。
(付記11)
付記9において、
前記サービス妨害攻撃の発生を検出するステップは、読み出された自装置宛のパケットをソフトウェア処理で終端処理が完了するたびに該当する前記検索履歴情報を読み出すことを特徴とするフロー別流量監視制御方法。
前記キューイングは、QoSキュー単位に行なうことを特徴とするプログラム。
(付記12)
付記11において、
前記サービス妨害攻撃の発生を検出するステップは、単位時間あたりの前記検索履歴情報の発生率を算定することを特徴とするプログラム。
1 LAN
2 L2SW
31、32 パケット
41、42、43 ユーザ端末
5 WAN
61、62、63、64 L3SW
7 通信装置(L2SW、L3SW)
81、82、83 回線処理モジュール
91、92、93 フォワーディング処理モジュール
10 スイッチングモジュール
11 装置制御モジュール
12 パケット受信用バッファ
13 ルーチングパケット
14 ARPパケット
15 ICMPパケット
16 フロー識別モジュール
17 CAM
17a CAMテーブル
18 アドレスデコーダ
19 時刻情報
20 セレクタ
21、21a、21b ヒット履歴管理用FIFO
22 連想メモリ
22a 連想メモリテーブル
23 制御部
24 優先/帯域制御部
241 クラシファイヤ
242 メインスケジューラ
2431、2432、2433 QoSキューアドレス管理FIFO
244 QoS共有メモリ
245 セレクタ
25 ソフトウェア処理部
251 流量解析動的制御部
252 ARP処理モジュール
253 ICMP処理モジュール
2 L2SW
31、32 パケット
41、42、43 ユーザ端末
5 WAN
61、62、63、64 L3SW
7 通信装置(L2SW、L3SW)
81、82、83 回線処理モジュール
91、92、93 フォワーディング処理モジュール
10 スイッチングモジュール
11 装置制御モジュール
12 パケット受信用バッファ
13 ルーチングパケット
14 ARPパケット
15 ICMPパケット
16 フロー識別モジュール
17 CAM
17a CAMテーブル
18 アドレスデコーダ
19 時刻情報
20 セレクタ
21、21a、21b ヒット履歴管理用FIFO
22 連想メモリ
22a 連想メモリテーブル
23 制御部
24 優先/帯域制御部
241 クラシファイヤ
242 メインスケジューラ
2431、2432、2433 QoSキューアドレス管理FIFO
244 QoS共有メモリ
245 セレクタ
25 ソフトウェア処理部
251 流量解析動的制御部
252 ARP処理モジュール
253 ICMP処理モジュール
Claims (9)
- 受信したパケットのヘッダ情報を抽出するステップと、
フロー情報と、該フロー情報に対応するアドレス情報が関連づけられたテーブルを用い、前記ヘッダ情報に示されるアドレス情報からフローを検索するステップと、
前記フローが前記テーブルに存在した場合には、前記フローに関連するアドレス情報に検索履歴情報を関連づけて検索履歴管理情報格納手段に格納するとともに、前記アドレス情報に対応したフローの処理情報を取得するステップと、
前記検索履歴情報と前記フローの処理情報を用いて前記受信したパケットのキューイングを行なうステップと、
前記検索履歴情報によりサービス妨害攻撃の発生を検出するステップと、
を含むことを特徴とするフロー別流量監視制御方法。 - 請求項1において、
前記キューイングを行なうステップは、QoSキュー単位に行なうことを特徴とするフロー別流量監視制御方法。 - 請求項1において、
前記サービス妨害攻撃の発生を検出するステップは、読み出された自装置宛のパケットをソフトウェア処理で終端処理が完了するたびに該当する前記検索履歴情報を読み出すことを特徴とするフロー別流量監視制御方法。 - 請求項3において、
前記サービス妨害攻撃の発生を検出するステップは、単位時間あたりの前記検索履歴情報の発生率を算定することを特徴とするフロー別流量監視制御方法。 - 受信したパケットのヘッダ情報を抽出する手段と、
フロー情報と、該フロー情報に対応するアドレス情報が関連づけられたテーブルと、
ヘッダ情報に示されるアドレス情報からフローを検索する手段と、
前記フローが前記テーブルに存在した場合には、前記フローに関連するアドレス情報に検索履歴情報を関連づけて格納する手段と、
前記アドレス情報に対応したフローの処理情報を取得する手段と、
前記検索履歴管理情報と前記フローの処理情報を用いて前記受信したパケットのキューイングを行なう手段と、
前記検索履歴情報によりサービス妨害攻撃の発生を検出する手段と、
を備えることを特徴とする通信装置。 - 請求項5において、
前記受信したパケットのキューイングを行なう手段は、QoSキュー単位に優先選択と帯域制御を行なうことを特徴とする通信装置。 - 請求項5において、
前記サービス妨害攻撃の発生を検出する手段は、読み出された自装置宛のパケットをソフトウェア処理で終端処理が完了するたびに該当する前記検索履歴情報を読み出すことを特徴とする通信装置。 - 請求項7において、
前記サービス妨害攻撃の発生を検出するステップは、単位時間あたりの前記検索履歴情報の発生率を算定することを特徴とする通信装置。 - コンピュータに、
受信したパケットのヘッダ情報を抽出するステップと、
フロー情報と、該フロー情報に対応するアドレス情報が関連づけられたテーブルを用い、前記ヘッダ情報に示されるアドレス情報からフローを検索するステップと、
前記フローが前記テーブルに存在した場合には、前記フローに関連するアドレス情報に検索履歴情報を関連づけて検索履歴管理情報格納手段に格納するとともに、前記アドレス情報に対応したフローの処理情報を取得するステップと、
前記検索履歴情報と前記フローの処理情報を用いて前記受信したパケットのキューイングを行なうステップと、
前記検索履歴情報によりサービス妨害攻撃の発生を検出するステップと、
を実行させることを特徴とするプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011069035A JP2012205159A (ja) | 2011-03-26 | 2011-03-26 | フロー別流量監視制御方法、通信装置、およびプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011069035A JP2012205159A (ja) | 2011-03-26 | 2011-03-26 | フロー別流量監視制御方法、通信装置、およびプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2012205159A true JP2012205159A (ja) | 2012-10-22 |
Family
ID=47185638
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011069035A Pending JP2012205159A (ja) | 2011-03-26 | 2011-03-26 | フロー別流量監視制御方法、通信装置、およびプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2012205159A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014236268A (ja) * | 2013-05-31 | 2014-12-15 | Kddi株式会社 | データパケットのペイロードを検査キーと照合する入出力装置、方法及びプログラム |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH09238160A (ja) * | 1996-02-29 | 1997-09-09 | Toshiba Corp | 網リソース割り当て方法及びパケット転送装置 |
| JP2002252654A (ja) * | 2001-02-23 | 2002-09-06 | Mitsubishi Electric Corp | 侵入検出装置およびシステムならびにルータ |
| JP2005110255A (ja) * | 2003-09-29 | 2005-04-21 | Lucent Technol Inc | Tcpサーバへのsynパケット帯域幅攻撃から防御する方法および装置 |
| JP2005123919A (ja) * | 2003-10-17 | 2005-05-12 | Nippon Telegr & Teleph Corp <Ntt> | IPルータとQoS制御方法およびプログラム |
| JP2005286716A (ja) * | 2004-03-30 | 2005-10-13 | Nec Engineering Ltd | Dos攻撃防御装置及び防御方法 |
| JP2007013462A (ja) * | 2005-06-29 | 2007-01-18 | Mitsubishi Electric Corp | パケットスケジューラおよびパケットスケジューリング方法 |
| JP2007116405A (ja) * | 2005-10-20 | 2007-05-10 | Alaxala Networks Corp | 異常トラヒックの検出方法およびパケット中継装置 |
-
2011
- 2011-03-26 JP JP2011069035A patent/JP2012205159A/ja active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH09238160A (ja) * | 1996-02-29 | 1997-09-09 | Toshiba Corp | 網リソース割り当て方法及びパケット転送装置 |
| JP2002252654A (ja) * | 2001-02-23 | 2002-09-06 | Mitsubishi Electric Corp | 侵入検出装置およびシステムならびにルータ |
| JP2005110255A (ja) * | 2003-09-29 | 2005-04-21 | Lucent Technol Inc | Tcpサーバへのsynパケット帯域幅攻撃から防御する方法および装置 |
| JP2005123919A (ja) * | 2003-10-17 | 2005-05-12 | Nippon Telegr & Teleph Corp <Ntt> | IPルータとQoS制御方法およびプログラム |
| JP2005286716A (ja) * | 2004-03-30 | 2005-10-13 | Nec Engineering Ltd | Dos攻撃防御装置及び防御方法 |
| JP2007013462A (ja) * | 2005-06-29 | 2007-01-18 | Mitsubishi Electric Corp | パケットスケジューラおよびパケットスケジューリング方法 |
| JP2007116405A (ja) * | 2005-10-20 | 2007-05-10 | Alaxala Networks Corp | 異常トラヒックの検出方法およびパケット中継装置 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014236268A (ja) * | 2013-05-31 | 2014-12-15 | Kddi株式会社 | データパケットのペイロードを検査キーと照合する入出力装置、方法及びプログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9935974B2 (en) | Hardware-logic based flow collector for distributed denial of service (DDoS) attack mitigation | |
| US9813339B2 (en) | Filtering and route lookup in a switching device | |
| US8054744B1 (en) | Methods and apparatus for flow classification and flow measurement | |
| US6185214B1 (en) | Use of code vectors for frame forwarding in a bridge/router | |
| US7729271B2 (en) | Detection method for abnormal traffic and packet relay apparatus | |
| US8677473B2 (en) | Network intrusion protection | |
| US9276852B2 (en) | Communication system, forwarding node, received packet process method, and program | |
| US8646090B1 (en) | Heuristic IPSec anti-replay check | |
| US20050213504A1 (en) | Information relay apparatus and method for collecting flow statistic information | |
| US7876676B2 (en) | Network monitoring system and method capable of reducing processing load on network monitoring apparatus | |
| JP4988632B2 (ja) | パケット中継装置およびトラフィックモニタシステム | |
| WO2011131076A1 (zh) | 建立流转发表项的方法及数据通信设备 | |
| Afaq et al. | Large flows detection, marking, and mitigation based on sFlow standard in SDN | |
| US8630296B2 (en) | Shared and separate network stack instances | |
| JP2017216664A (ja) | パケット中継装置 | |
| Krishnan et al. | Mechanisms for optimizing link aggregation group (LAG) and equal-cost multipath (ECMP) component link utilization in networks | |
| JP2012205159A (ja) | フロー別流量監視制御方法、通信装置、およびプログラム | |
| KR20090012561A (ko) | 플로우별 통계 분석을 통한 송신단에서 양방향 디디오에스방어 시스템 및 방법 | |
| JP3784799B2 (ja) | 攻撃パケット防御システム | |
| US7920564B1 (en) | Differential services support for control traffic from privileged nodes in IP networks | |
| Ahn et al. | MF (minority first) scheme for defeating distributed denial of service attacks | |
| JP2007124118A (ja) | 通信処理回路、通信処理方法 | |
| US20050243814A1 (en) | Method and system for an overlay management system | |
| Ghanwani et al. | Internet Engineering Task Force (IETF) R. Krishnan Request for Comments: 7424 Brocade Communications Category: Informational L. Yong | |
| Davis | Configuring Cisco Denial-of-Service Security Features: Part 2 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140108 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140815 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140826 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20141224 |