JP2014229982A - 攻撃トラヒック対策システム、経路制御装置、攻撃トラヒック対策方法及び経路制御プログラム - Google Patents

攻撃トラヒック対策システム、経路制御装置、攻撃トラヒック対策方法及び経路制御プログラム Download PDF

Info

Publication number
JP2014229982A
JP2014229982A JP2013106193A JP2013106193A JP2014229982A JP 2014229982 A JP2014229982 A JP 2014229982A JP 2013106193 A JP2013106193 A JP 2013106193A JP 2013106193 A JP2013106193 A JP 2013106193A JP 2014229982 A JP2014229982 A JP 2014229982A
Authority
JP
Japan
Prior art keywords
attack
traffic
countermeasure
route
attack traffic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2013106193A
Other languages
English (en)
Inventor
弘 倉上
Hiroshi Kurakami
弘 倉上
和憲 神谷
Kazunori Kamiya
和憲 神谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2013106193A priority Critical patent/JP2014229982A/ja
Publication of JP2014229982A publication Critical patent/JP2014229982A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】複数のISPとマルチホームしているユーザに対して、1つのISPによる攻撃トラヒック対策によって、攻撃トラヒックを防ぐことを可能にすること。【解決手段】攻撃トラヒック対策システムは、複数のISP(Internet Services Provider)がそれぞれ管理する複数の自律システムと相互に接続することでインターネットに接続するネットワークに対する攻撃トラヒックに対して対策を行う攻撃対策装置と、経路制御装置とを備える。経路制御装置は、取得部と、経路制御部とを備える。取得部は、攻撃トラヒックの送信先アドレスを取得する。経路制御部は、取得した送信先アドレスを宛先とする攻撃トラヒックを、複数の自律システムのうち特定の自律システムに送信させる経路制御を行う。攻撃対策装置は、特定の自律システムに送信される攻撃トラヒックに対する対策を行う。【選択図】図1

Description

本発明の実施形態は、攻撃トラヒック対策システム、経路制御装置、攻撃トラヒック対策方法及び経路制御プログラムに関する。
従来、ネットワークにおける異常なトラヒック(トラフィック)の増大(異常トラヒック)が問題となっている。異常トラヒックに対する対策の1つとして、攻撃トラヒックを含むトラヒックを迂回させ、迂回させたトラヒックから攻撃トラヒックと正常トラヒックを分類する等の攻撃トラヒック対策が行われている。
特開2006−246146号公報
しかしながら、従来技術では、トラヒックを迂回させられるのは、同一のISP(Internet Services Provider)によって管理されるAS(Autonomous System:自律システム)を流通する場合に限られていた。つまり、他のISPのASを流通するトラヒックを迂回させることはできなかった。このため、複数のISPとマルチホームしているユーザは、マルチホームしている全てのISPそれぞれについて、個別に攻撃トラヒック対策を行う必要があった。
開示の実施形態は、上記に鑑みてなされたものであって、複数のISPとマルチホームしているユーザに対して、1つのISPによる攻撃トラヒック対策によって、攻撃トラヒックを防ぐことを可能にする攻撃トラヒック対策システム、経路制御装置、攻撃トラヒック対策方法及び経路制御プログラムを提供することを目的とする。
実施形態に係る攻撃トラヒック対策システムは、複数のISP(Internet Services Provider)がそれぞれ管理する複数の自律システムと相互に接続することでインターネットに接続するネットワークに対する攻撃トラヒックに対して対策を行う攻撃対策装置と、経路制御装置とを備える。経路制御装置は、取得部と、経路制御部とを備える。取得部は、攻撃トラヒックの送信先アドレスを取得する。経路制御部は、取得した送信先アドレスを宛先とする攻撃トラヒックを、複数の自律システムのうち特定の自律システムに送信させる経路制御を行う。攻撃対策装置は、特定の自律システムに送信される攻撃トラヒックに対する対策を行う。
図1は、第1の実施形態に係る攻撃トラヒック防御システムが適用されるネットワークの構成例を示す図である。 図2は、第1の実施形態に係る攻撃トラヒック対策システムによる処理の流れを示すシーケンス図である。 図3は、経路制御プログラムを実行するコンピュータを示す図である。
以下、図面を参照して、実施形態に係る攻撃トラヒック対策システム、経路制御装置、攻撃トラヒック対策方法及び経路制御方法を説明する。なお、この実施形態によりこの発明が限定されるものではない。
(第1の実施形態)
(ネットワークの構成)
図1を用いて、第1の実施形態に係る攻撃トラヒック防御システムが適用されるネットワークの構成例について説明する。図1は、第1の実施形態に係る攻撃トラヒック防御システムが適用されるネットワークの構成例を示す図である。図1に示すように、第1の実施形態に係るネットワーク1には、AS(Autonomous System:自律システム)10〜AS30と、ユーザネットワーク40とが含まれる。
図1に示す例では、AS10は、ルータ11と、ルータ12と、ルータ13と、監視装置14と、攻撃対策装置15と、経路制御端末100とを含む。また、AS20は、ルータ21と、ルータ22とを含む。また、AS30は、ルータ31と、ルータ32とを含む。また、ユーザネットワーク40は、ルータ41と、ルータ42と、ルータ43と、ユーザ端末44とを含む。また、ユーザ端末44は、アドレス「10.0.1.1」で識別される。また、ユーザネットワーク40は、ネットワークアドレス(プレフィックス)「10.0.1.0/23」で識別される。
ここで、ユーザネットワーク40は、例えば、企業ユーザによって利用されるネットワークである。また、各AS10〜30は、それぞれ異なるISP(Internet Services Provider)の管理下にて運用されるネットワークである。図1において、ユーザネットワーク40を利用する企業ユーザは、AS10を管理するISP及びAS30を管理するISPとマルチホームしている。すなわち、ユーザネットワーク40の境界ルータであるルータ41は、AS10のルータ13に対してユーザネットワーク40のネットワークアドレス「10.0.1.0/23」を広告している。また、ユーザネットワーク40の境界ルータであるルータ42は、AS30のルータ32に対して、ユーザネットワーク40のネットワークアドレス「10.0.1.0/23」を広告している。
第1の実施形態においては、AS20からユーザ端末44を宛先(送信先)とする攻撃トラヒックが発生した場合を説明する。すなわち、図1に示す例では、攻撃トラヒックは、AS20からAS10を経由してユーザネットワーク40のユーザ端末44に送信されるものと、AS20からAS30を経由してユーザネットワーク40のユーザ端末44に送信されるものとがある。
ルータ11は、ルータ12及びルータ21とそれぞれ接続される。また、ルータ12は、ルータ11、ルータ13、監視装置14、攻撃対策装置15及び経路制御端末100とそれぞれ接続される。また、ルータ13は、ルータ12及びルータ41とそれぞれ接続される。また、ルータ21は、ルータ11及びルータ22とそれぞれ接続される。また、ルータ22は、ルータ21及びルータ31とそれぞれ接続される。また、ルータ31は、ルータ22及びルータ32とそれぞれ接続される。また、ルータ32は、ルータ31及びルータ42とそれぞれ接続される。また、ルータ41は、ルータ13及びルータ43とそれぞれ接続される。また、ルータ42は、ルータ32及びルータ43とそれぞれ接続される。また、ルータ43は、ルータ41、ルータ42及びユーザ端末44とそれぞれ接続される。
また、攻撃対策装置15とルータ41との間には、各種データ(パケット)をカプセル化して送受信を行うトンネル16が確立されている。このトンネル16の確立には、例えば、GRE(Generic Routing Encapsulation)トンネル等が利用される。
図1に示した各ルータ11,12,13,21,22,31,32,41,42及び43(以下、各ルータ11〜43と略記する)は、各種データを中継する中継装置である。例えば、各ルータ11〜43は、それぞれ接続されるルータとの間で、AS間の通信経路を示す経路情報を送受信する。この経路情報は、例えば、BGP(Border Gateway Protocol)メッセージである。
このように、各AS内に配置されるルータ間がそれぞれ接続されることにより、各ASが接続される。図1の例では、AS10は、AS20及びユーザネットワーク40とそれぞれ接続される。また、AS20は、AS10及びAS30とそれぞれ接続される。また、AS30は、AS20及びユーザネットワーク40とそれぞれ接続される。また、ユーザネットワーク40は、AS10及びAS30とそれぞれ接続される。なお、AS及びルータの数は、図示のものに限定されるものではない。
監視装置14は、AS10を流通するトラヒックを監視する。例えば、監視装置14は、AS10を流通するトラヒックを監視し、攻撃トラヒックを検出した場合に、攻撃トラヒックを検出したことを示す攻撃検出情報を、攻撃対策装置15及び経路制御端末100へ送信する。この攻撃検出情報には、攻撃トラヒックの送信先アドレスが含まれる。
一例としては、監視装置14は、ルータ12から、AS10を流通するトラヒックの送信先アドレス及びトラヒック量を含むフロー情報を収集する。監視装置14は、収集したフロー情報を用いて、送信先アドレスごとに単位時間あたりのトラヒック量を算出し、算出したトラヒック量と閾値とを比較する。監視装置14は、算出したトラヒック量が閾値を超えた場合に、攻撃検出情報を生成し、生成した攻撃検出情報を攻撃対策装置15及び経路制御端末100へ送信する。図1に示す例では、監視装置14は、ユーザ端末44のアドレス「10.0.1.1」を含む攻撃検出情報を生成し、生成した攻撃検出情報を攻撃対策装置15及び経路制御端末100へ送信する。なお、監視装置14が行う処理は、上記の処理に限定されるものではなく、監視装置14としては、攻撃トラヒックを検出するための従来技術が適宜適用されて良い。
攻撃対策装置15は、AS10を流通する攻撃トラヒックに対する対策を行う。例えば、攻撃対策装置15は、監視装置14から攻撃検出情報を受信すると、攻撃トラヒックの送信先アドレスを宛先とするトラヒックを攻撃対策装置15へ送信させる。
一例としては、攻撃対策装置15は、監視装置14によって攻撃トラヒックが検出された場合に、監視装置14から攻撃検出情報を受信する。攻撃対策装置15は、受信した攻撃検出情報からユーザ端末44のアドレス「10.0.1.1」を取得する。攻撃対策装置15は、取得したユーザ端末44のホストルート「10.0.1.1/32」をルータ12に対して広告する。この結果、攻撃対策装置15は、ユーザ端末44を宛先とし、AS10を流通する全てのトラヒックを受信する。このトラヒックには、攻撃トラヒックと正常トラヒックとが含まれる。
また、例えば、攻撃対策装置15は、受信したトラヒックに対してパケットごとにパケット数、セッション数、プロトコル違反の有無、送信元アドレス詐称等を分析することで、受信したトラヒックを攻撃トラヒックと正常トラヒックとに分類する。そして、攻撃対策装置15は、攻撃トラヒックを破棄するとともに、正常トラヒックをトンネル16宛てに送信する。この結果、正常トラヒックは、トンネル16を経由してユーザネットワーク40に転送され、最終的にユーザ端末44に送信される。なお、攻撃対策装置15が行う処理は、上記の処理に限定されるものではなく、攻撃対策装置15としては、攻撃トラヒックに対する対策を行うためのあらゆる従来技術が適用可能である。
また、例えば、攻撃対策装置15は、攻撃トラヒックによる攻撃が終了した場合に、攻撃が終了したことを示す攻撃終了情報を経路制御端末100へ送信する。具体的には、攻撃対策装置15は、攻撃トラヒックの送信先アドレスを宛先とするパケットのパケット数が閾値未満となった場合に、攻撃終了情報を生成し、生成した攻撃終了情報を経路制御端末100へ送信する。この攻撃終了情報には、攻撃トラヒックの送信先アドレスが含まれる。
ユーザ端末44は、エンドユーザ等によって利用される情報処理装置であり、ルータ43を介して、他の装置との間で各種データの送受信を行う。第1の実施形態においては、ユーザ端末44は、攻撃トラヒックの攻撃対象である。
第1の実施形態に係る経路制御端末100は、ユーザネットワーク40に隣接するASのうち、自AS以外のASを流通し、攻撃トラヒックの送信先アドレスを宛先とするトラヒックを、自ASに送信させる経路制御を行う。なお、第1の実施形態において、経路制御端末100は、ルータ42に接続して経路情報を追加及び削除するための権限が与えられている。また、経路制御端末100が含まれるAS10を、「自AS」とも表記する。
図1に示すように第1の実施形態に係る経路制御端末100は、取得部110と、経路制御部120とを有する。
取得部110は、攻撃トラヒックの送信先アドレスを取得する。例えば、取得部110は、監視装置14によって攻撃トラヒックが検出された場合に、監視装置14から攻撃検出情報を受信する。取得部110は、受信した攻撃検出情報からユーザ端末44のアドレス「10.0.1.1」を取得する。
なお、ここでは、取得部110が監視装置14から受信される攻撃検出情報を用いて、攻撃トラヒックの送信先アドレスを取得する場合を説明したが、これに限定されるものではない。例えば、取得部110は、ユーザ端末44宛の攻撃トラヒックに対する対策を依頼する情報を示す攻撃対策依頼をユーザネットワーク40から受信することで、攻撃トラヒックの送信先アドレスを取得しても良い。この攻撃対策依頼には、攻撃トラヒックの送信先アドレスが含まれる。
経路制御部120は、攻撃トラヒックの送信先アドレスを宛先とするトラヒックを、自ASに送信させる経路制御を行う。
例えば、経路制御部120は、経路制御として、前記ネットワークから前記特定の自律システム以外の自律システムに対する、前記送信先アドレスを含む経路の広告を停止させる。具体的には、経路制御部120は、ユーザネットワーク40の境界ルータであるルータ42に接続し、AS30のルータ32に対するアドレス「10.0.1.0」を含む経路の広告を削除する。ここで、アドレス「10.0.1.0」を含む経路とは、例えば、ルータ42からルータ32に対して広告されているネットワークアドレス「10.0.1.0/23」である。言い換えると、経路制御部120は、例えば、ルータ42と通信を行い、ネットワークアドレス「10.0.1.0/23」がルータ32に対して広告されないように、ルータ42にフィルタを設定する。この結果、攻撃トラヒックの送信先アドレスを宛先とするトラヒックは、自ASを経由して送信先に送信されることとなる。
また、経路制御部120は、攻撃トラヒックによる攻撃が終了した場合に、経路を復旧する。例えば、経路制御部120は、攻撃対策装置15から攻撃終了情報を受信した場合に、攻撃終了情報に含まれる攻撃トラヒックの送信先アドレスを用いて行われた経路制御による経路を復旧する。具体的には、経路制御部120は、ルータ42と通信を行い、ルータ42に設定したフィルタを解除する。これにより、ルータ42は、ルータ32に対するネットワークアドレス「10.0.1.0/23」の広告を再開する。この結果、トラヒックがAS30を経由してユーザネットワーク40に送信される経路が復旧することとなる。
図2を用いて、第1の実施形態に係る攻撃トラヒック対策システムによる処理の流れを説明する。図2は、第1の実施形態に係る攻撃トラヒック対策システムによる処理の流れを示すシーケンス図である。
図2に示すように、監視装置14が攻撃トラヒックを検出すると(S101)、監視装置14は、攻撃検出情報を攻撃対策装置15及び経路制御端末100へ送信する(S102)。
経路制御端末100は、攻撃検出情報を受信すると、受信した攻撃検出情報から攻撃トラヒックの送信先アドレスを取得する(S103)。例えば、経路制御端末100は、受信した攻撃検出情報からユーザ端末44のアドレス「10.0.1.1」を取得する。
続いて、経路制御端末100は、攻撃トラヒックの送信先アドレスを宛先とするトラヒックを、自ASに送信させる経路制御を行う(S104)。例えば、経路制御部120は、ユーザネットワーク40に接続されるASのうち、自AS以外のASに対するユーザネットワーク40の広告を削除することで、攻撃トラヒックの送信先アドレスを宛先とするトラヒックを自ASに流通させる。
攻撃対策装置15は、攻撃検出情報を受信すると、攻撃トラヒックの送信先アドレスを宛先とするトラヒックを攻撃対策装置15に送信させる(S105)。そして、攻撃対策装置15は、受信したトラヒックを攻撃トラヒックと正常トラヒックとに分類する(S106)。そして、攻撃対策装置15は、攻撃トラヒックを破棄するとともに(S107)、正常トラヒックをトンネル16宛てに送信する(S108)。
攻撃対策装置15は、攻撃トラヒックによる攻撃が終了したか否かを定期的に判定する(S109)。そして、攻撃対策装置15は、攻撃トラヒックによる攻撃が終了した場合に、攻撃終了情報を経路制御端末100へ送信する(S110)。
経路制御端末100は、攻撃対策装置15から攻撃終了情報を受信した場合に、経路を復旧する(S111)。例えば、経路制御部120は、ルータ42に接続し、ネットワークアドレス「10.0.1.0/23」がルータ32に対して広告されないようにルータ42に設定したフィルタを解除する。
上述してきたように、第1の実施形態に係る攻撃トラヒック対策システムにおいて、経路制御端末100は、攻撃トラヒックの送信先アドレスを取得する。そして、経路制御端末100は、送信先アドレスを宛先とするトラヒックを、自ASに送信させる経路制御を行う。そして、攻撃対策装置15は、自ASを流通する攻撃トラヒックに対する対策を行う。このため、第1の実施形態に係る攻撃トラヒック対策システムは、複数のISPとマルチホームしているユーザに対して、1つのISPによる攻撃トラヒック対策によって、攻撃トラヒックを防ぐことを可能にする。
例えば、AS10を管理するISPによって上記の機能が攻撃トラヒック対策サービスとして提供される場合には、企業ユーザは、その攻撃トラヒック対策サービスを利用するだけで、攻撃トラヒックを防ぐことができる。具体的には、企業ユーザは、AS30を管理するISPの攻撃トラヒック対策サービスを利用することなく、AS30を流通する攻撃トラヒックを防ぐことができる。
(第2の実施形態)
第1の実施形態では、経路制御端末100がルータ42による経路広告を制御することで、攻撃トラヒックを自ASに送信させる場合を説明したが、これに限定されるものではない。例えば、経路制御端末100が、ルータ11、ルータ41及びルータ42による経路広告を制御することで、攻撃トラヒックを自ASに送信させてもよい。第2の実施形態では、経路制御端末100が、ルータ11、ルータ41及びルータ42による経路広告を制御することで、攻撃トラヒックを自ASに送信させる場合を説明する。
第2の実施形態に係る攻撃トラヒック対策システムは、図1に示した攻撃トラヒック対策システムと同様の構成を有するが、以下に説明する点が相違する。
第2の実施形態に係る経路制御端末100は、ルータ11、ルータ41及びルータ42に接続して経路情報を追加及び削除するための権限が与えられている。
また、第2の実施形態に係る経路制御端末100において、経路制御部120は、経路制御として、ユーザネットワーク40に接続される複数のASそれぞれに対してユーザネットワーク40から広告されている、攻撃トラヒックの送信先アドレスを含む経路の広告を停止させる。また、経路制御部120は、自ASから自ASに接続されるASに対して、攻撃トラヒックの送信先アドレスを含む経路の広告を実行させる。
例えば、経路制御部120は、取得部110が攻撃検出情報を受信すると、ユーザネットワーク40の境界ルータであるルータ41及びルータ42にそれぞれ接続する。そして、経路制御部120は、ルータ41からルータ13に対するネットワークアドレス「10.0.1.0/23」の広告と、ルータ42からルータ32に対するネットワークアドレス「10.0.1.0/23」の広告とを、それぞれ削除する。言い換えると、ルータ41からルータ13に対して広告されるネットワークアドレス「10.0.1.0/23」の広告と、ルータ42からルータ32に対して広告されるネットワークアドレス「10.0.1.0/23」の広告とを、それぞれ停止させる。具体的には、経路制御部120は、ルータ41及びルータ42と通信を行い、ネットワークアドレス「10.0.1.0/23」がルータ13及びルータ32に対してそれぞれ広告されないように、ルータ41及びルータ42にそれぞれフィルタを設定する。また、経路制御部120は、自ASの境界ルータであるルータ11に接続し、ルータ11からルータ21に対してネットワークアドレス「10.0.1.0/23」を広告する。言い換えると、経路制御部120は、例えば、ルータ11に、ルータ21に対してネットワークアドレス「10.0.1.0/23」の広告を実行させる。この結果、攻撃トラヒックの送信先アドレスを宛先とするトラヒックは、自ASを経由して送信先に送信されることとなる。
また、経路制御部120は、攻撃トラヒックによる攻撃が終了した場合に、経路を復旧する。例えば、経路制御部120は、ルータ11、ルータ41及びルータ42とそれぞれ通信を行い、ルータ41及びルータ42にそれぞれ設定したフィルタを解除する。これにより、ルータ41は、ルータ13に対するネットワークアドレス「10.0.1.0/23」の広告を再開し、ルータ42は、ルータ32に対するネットワークアドレス「10.0.1.0/23」の広告を再開する。また、経路制御部120は、ルータ11からルータ21に対して広告されるネットワークアドレス「10.0.1.0/23」の広告を停止させる。この結果、トラヒックがAS10及びAS30をそれぞれ経由してユーザネットワーク40に送信される経路が復旧することとなる。
このように、第2の実施形態に係る経路制御端末100は、ルータ11、ルータ41及びルータ42による経路広告を制御することで、攻撃トラヒックを自ASに送信させることができる。この結果、経路制御端末100を含む攻撃トラヒック対策システムは、複数のISPとマルチホームしているユーザに対して、1つのISPによる攻撃トラヒック対策によって、攻撃トラヒックを防ぐことを可能にする。
(第3の実施形態)
また、第1及び第2の実施形態に限定されるものではなく、例えば、経路制御端末100が、ルータ11による経路広告を制御することで、攻撃トラヒックを自ASに送信させることも可能である。第3の実施形態では、経路制御端末100が、ルータ11による経路広告を制御することで、攻撃トラヒックを自ASに送信させる場合を説明する。
第3の実施形態に係る攻撃トラヒック対策システムは、図1に示した攻撃トラヒック対策システムと同様の構成を有するが、以下に説明する点が相違する。
第3の実施形態に係る経路制御端末100は、ルータ11に接続して経路情報を追加及び削除するための権限が与えられている。
また、第3の実施形態に係る経路制御端末100において、経路制御部120は、経路制御として、自ASから自ASに接続されるASに対して、攻撃トラヒックの送信先アドレスを含む経路のプレフィックス長より長い経路の広告を実行させる。
例えば、経路制御部120は、取得部110が攻撃検出情報を受信すると、自ASの境界ルータであるルータ11に接続する。そして、経路制御部120は、ルータ11からルータ21に対してネットワークアドレス「10.0.1.0/23」のプレフィックス長より詳細な経路「10.0.1.0/24」を広告する。言い換えると、経路制御部120は、例えば、ルータ11に、ルータ21に対してネットワークアドレスのプレフィックス長より長い経路「10.0.1.0/24」の広告を実行させる。この結果、攻撃トラヒックの送信先アドレスを宛先とするトラヒックは、自ASを経由して送信先に送信されることとなる。これは、経路のルーティングにおいては、プレフィックス長の長いプレフィックスが優先的に選択されるためである。なお、これは、ここで広告される経路「10.0.1.0/24」が他のASによって破棄されない場合に適用される。
また、経路制御部120は、攻撃トラヒックによる攻撃が終了した場合に、経路を復旧する。例えば、経路制御部120は、ルータ11からルータ21に対して広告される経路「10.0.1.0/24」の広告を停止させる。この結果、トラヒックがAS10及びAS30をそれぞれ経由してユーザネットワーク40に送信される経路が復旧することとなる。
このように、第3の実施形態に係る経路制御端末100は、ルータ11による経路広告を制御することで、攻撃トラヒックを自ASに送信させることができる。この結果、経路制御端末100を含む攻撃トラヒック対策システムは、複数のISPとマルチホームしているユーザに対して、1つのISPによる攻撃トラヒック対策によって、攻撃トラヒックを防ぐことを可能にする。
(第4の実施形態)
さて、これまで本発明の実施形態について説明したが、本発明は上述した実施形態以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下では第4の実施形態として本発明に含まれる他の実施形態を説明する。
例えば、各装置の分散・統合の具体的形態(例えば、図1の形態)は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的又は物理的に分散・統合することができる。一例を挙げると、経路制御端末100に攻撃対策装置15の機能を等号してもよい。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
また、上記実施形態において説明した経路制御端末100が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。例えば、第1の実施形態に係る経路制御端末100が実行する処理をコンピュータが実行可能な言語で記述した経路制御プログラムを作成することもできる。この場合、コンピュータが経路制御プログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかる経路制御プログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録された経路制御プログラムをコンピュータに読み込ませて実行することにより上記第1の実施形態と同様の処理を実現してもよい。以下に、図1に示した経路制御端末100と同様の機能を実現する経路制御プログラムを実行するコンピュータの一例を説明する。
図3は、経路制御プログラムを実行するコンピュータ1000を示す図である。図3に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、ネットワークインタフェース1070とを有し、これらの各部はバス1080によって接続される。
メモリ1010は、図3に例示するように、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、図3に例示するように、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、図3に例示するように、ディスクドライブ1041に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブに挿入される。
ここで、図3に例示するように、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、上記の経路制御プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1031に記憶される。
また、上記実施形態で説明した各種データは、プログラムデータとして、例えばメモリ1010やハードディスクドライブ1031に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出し、各手順を実行する。
なお、経路制御プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してCPU1020によって読み出されてもよい。あるいは、経路制御プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
15 攻撃対策装置
100 経路制御端末
110 取得部
120 経路制御部

Claims (8)

  1. 複数のISP(Internet Services Provider)がそれぞれ管理する複数の自律システムと相互に接続することでインターネットに接続するネットワークに対する攻撃トラヒックに対して対策を行う攻撃対策装置と、経路制御装置とを備えた攻撃トラヒック対策システムであって、
    前記経路制御装置は、
    前記攻撃トラヒックの送信先アドレスを取得する取得部と、
    前記送信先アドレスを宛先とする前記攻撃トラヒックを、前記複数の自律システムのうち特定の自律システムに送信させる経路制御を行う経路制御部とを備え、
    前記攻撃対策装置は、前記特定の自律システムに送信される攻撃トラヒックに対する対策を行う
    ことを特徴とする攻撃トラヒック対策システム。
  2. 前記経路制御部は、前記経路制御として、前記ネットワークから前記特定の自律システム以外の自律システムに対する、前記送信先アドレスを含む経路の広告を停止させることを特徴とする請求項1に記載の攻撃トラヒック対策システム。
  3. 前記経路制御部は、前記経路制御として、前記ネットワークから前記複数の自律システムそれぞれに対する、前記送信先アドレスを含む経路の広告を停止させるとともに、前記特定の自律システムから当該特定の自律システムに接続される自律システムに対して前記送信先アドレスを含む経路の広告を実行させることを特徴とする請求項1に記載の攻撃トラヒック対策システム。
  4. 前記経路制御部は、前記経路制御として、前記特定の自律システムから当該特定の自律システムに接続される自律システムに対して前記送信先アドレスを含む経路のプレフィックス長より長い経路の広告を実行させることを特徴とする請求項1に記載の攻撃トラヒック対策システム。
  5. 前記経路制御部は、前記攻撃トラヒックによる攻撃が終了した場合に、経路を復旧することを特徴とする請求項1〜4のいずれか一つに記載の攻撃トラヒック対策システム。
  6. 複数のISP(Internet Services Provider)がそれぞれ管理する複数の自律システムと相互に接続することでインターネットに接続するネットワークに対する攻撃トラヒックの送信先アドレスを取得する取得部と、
    前記複数の自律システムのうち、自律システムを流通する攻撃トラヒックに対する対策を行う攻撃対策装置によって当該対策が行われる特定の自律システムに、前記送信先アドレスを宛先とする前記攻撃トラヒックを送信させる経路制御を行う経路制御部と
    を備えたことを特徴とする経路制御装置。
  7. 複数のISP(Internet Services Provider)がそれぞれ管理する複数の自律システムと相互に接続することでインターネットに接続するネットワークに対する攻撃トラヒックに対して対策を行う攻撃対策装置と、経路制御装置とを備えた攻撃トラヒック対策システムで実行される攻撃トラヒック対策方法であって、
    前記経路制御装置が、前記攻撃トラヒックの送信先アドレスを取得する取得ステップと、
    前記経路制御装置が、前記送信先アドレスを宛先とする前記攻撃トラヒックを、前記複数の自律システムのうち特定の自律システムに送信させる経路制御を行う経路制御ステップと、
    前記攻撃対策装置が、前記特定の自律システムに送信される攻撃トラヒックに対する対策を行う攻撃対策ステップと
    を含むことを特徴とする攻撃トラヒック対策方法。
  8. 複数のISP(Internet Services Provider)がそれぞれ管理する複数の自律システムと相互に接続することでインターネットに接続するネットワークに対する攻撃トラヒックの送信先アドレスを取得する取得手順と、
    前記複数の自律システムのうち、自律システムを流通する攻撃トラヒックに対する対策を行う攻撃対策装置によって当該対策が行われる特定の自律システムに、前記送信先アドレスを宛先とする前記攻撃トラヒックを送信させる経路制御を行う経路制御手順と
    をコンピュータに実行させることを特徴とする経路制御プログラム。
JP2013106193A 2013-05-20 2013-05-20 攻撃トラヒック対策システム、経路制御装置、攻撃トラヒック対策方法及び経路制御プログラム Pending JP2014229982A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013106193A JP2014229982A (ja) 2013-05-20 2013-05-20 攻撃トラヒック対策システム、経路制御装置、攻撃トラヒック対策方法及び経路制御プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013106193A JP2014229982A (ja) 2013-05-20 2013-05-20 攻撃トラヒック対策システム、経路制御装置、攻撃トラヒック対策方法及び経路制御プログラム

Publications (1)

Publication Number Publication Date
JP2014229982A true JP2014229982A (ja) 2014-12-08

Family

ID=52129488

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013106193A Pending JP2014229982A (ja) 2013-05-20 2013-05-20 攻撃トラヒック対策システム、経路制御装置、攻撃トラヒック対策方法及び経路制御プログラム

Country Status (1)

Country Link
JP (1) JP2014229982A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106982162A (zh) * 2016-01-19 2017-07-25 华为技术有限公司 用于转发业务流的方法、装置和系统
US10999245B2 (en) 2015-06-01 2021-05-04 Ntt Communications Corporation Communication path control method, communication path control device, and communication path control program that divide a path leading to a network that accommodates a specific device into a path that passes through a filter device and a path that does not pass through a filter device
US11582142B2 (en) 2016-09-29 2023-02-14 Ntt Communications Corporation Communication control method, communication control device, and computer program

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10999245B2 (en) 2015-06-01 2021-05-04 Ntt Communications Corporation Communication path control method, communication path control device, and communication path control program that divide a path leading to a network that accommodates a specific device into a path that passes through a filter device and a path that does not pass through a filter device
CN106982162A (zh) * 2016-01-19 2017-07-25 华为技术有限公司 用于转发业务流的方法、装置和系统
CN106982162B (zh) * 2016-01-19 2020-02-21 华为技术有限公司 用于转发业务流的方法、装置和系统
US11582142B2 (en) 2016-09-29 2023-02-14 Ntt Communications Corporation Communication control method, communication control device, and computer program

Similar Documents

Publication Publication Date Title
US10951495B2 (en) Application signature generation and distribution
US20220353190A1 (en) Methods for micro-segmentation in sd-wan for virtual networks
US9654395B2 (en) SDN-based service chaining system
US10225137B2 (en) Service node selection by an inline service switch
CN108141416B (zh) 一种报文处理方法、计算设备以及报文处理装置
US9276852B2 (en) Communication system, forwarding node, received packet process method, and program
ES2841323T3 (es) Una estrategia de red basada en intención impulsada por datos que utiliza un controlador SDN distribuido ligero para brindar experiencias inteligentes al consumidor
US9350703B2 (en) Enforcement of network-wide context aware policies
EP3767880B1 (en) Optimizing information related to a route and/or a next hop for multicast traffic
TWI713501B (zh) 識別網路環路的方法、裝置、流量清洗設備及系統
US20120023217A1 (en) Method and apparatus for policy enforcement using a tag
US11032196B2 (en) Per path and per link traffic accounting
EP3207737B1 (en) Methods and apparatuses for flexible mobile steering in cellular networks
CN111245740A (zh) 配置业务的服务质量策略方法、装置和计算设备
EP3264726A1 (en) Disaggregated broadband network gateway functionality for efficient content delivery network peering
JP2014229982A (ja) 攻撃トラヒック対策システム、経路制御装置、攻撃トラヒック対策方法及び経路制御プログラム
EP3343847A1 (en) Performing a service on a packet
US20170322862A1 (en) Information processing apparatus, method, and medium
CN103428295B (zh) 一种对等网络应用的监控方法与系统
US20150215330A1 (en) Methods and systems of controlling distribution of personal data over network(s)
US10547549B2 (en) Processing data flows based on information provided via beacons
KR101003505B1 (ko) 망 부하에 따른 트래픽의 동적 제어방법 및 그 장치
US10455449B1 (en) Achieving symmetric data path steering across a service device
US20130259061A1 (en) Router device, packet control method based on prefix management, and program
KR101543511B1 (ko) 컨텐츠 기반 네트워크에서 트래픽 동적 관리 방법 및 시스템