JP2015115794A - 転送装置、転送方法、および、転送プログラム - Google Patents
転送装置、転送方法、および、転送プログラム Download PDFInfo
- Publication number
- JP2015115794A JP2015115794A JP2013256651A JP2013256651A JP2015115794A JP 2015115794 A JP2015115794 A JP 2015115794A JP 2013256651 A JP2013256651 A JP 2013256651A JP 2013256651 A JP2013256651 A JP 2013256651A JP 2015115794 A JP2015115794 A JP 2015115794A
- Authority
- JP
- Japan
- Prior art keywords
- address
- transfer
- packet
- unit
- wireless communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012546 transfer Methods 0.000 title claims abstract description 68
- 238000000034 method Methods 0.000 title claims description 92
- 238000004891 communication Methods 0.000 claims abstract description 186
- 238000004458 analytical method Methods 0.000 claims description 53
- 230000008569 process Effects 0.000 claims description 30
- 238000012545 processing Methods 0.000 claims description 12
- 238000004364 calculation method Methods 0.000 claims description 10
- 238000010295 mobile communication Methods 0.000 abstract description 41
- 238000001914 filtration Methods 0.000 description 26
- 238000010586 diagram Methods 0.000 description 16
- 230000007123 defense Effects 0.000 description 13
- 238000001514 detection method Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 10
- 230000005540 biological transmission Effects 0.000 description 6
- 230000008859 change Effects 0.000 description 5
- 230000004044 response Effects 0.000 description 5
- 238000009789 rate limiting process Methods 0.000 description 4
- 230000003139 buffering effect Effects 0.000 description 2
- 238000007796 conventional method Methods 0.000 description 2
- 230000000116 mitigating effect Effects 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
【解決手段】転送装置500は、無線通信装置に第1のアドレスを割り当て、第1のアドレスに応じた第1の無線アクセス方式により、第1のアドレスCが割り当てられた無線通信装置と無線通信可能に接続する接続部501と、接続部501によって接続された第1の無線アクセス方式に従った第1の通信レートを、第1のアドレスが攻撃対象であるか否かを判定するしきい値に決定する決定部502と、決定部502によって決定されたしきい値である第1の通信レートにより、第1のアドレスを宛先とする第1のパケットを受信して、第1のアドレスが割り当てられた無線通信装置に転送する転送部503と、を有する。
【選択図】図5
Description
図1は、複数の無線アクセス方式を持つ移動体通信システム群を集約する無線通信システム1の構成例を示す説明図である。図1では、白塗矢印が正常パケットを指す。以降の図面でも同様である。相互のエリアの補完と通信速度の速い無線方式への優先接続を目的とする移動体通信システム間ハンドオーバーを実現するために、異なる移動体通信システム2〜4を同一のホームエージェントに接続する必要がある。
図3は、図1および図2に示した移動体通信システムにおけるPDN−GW110のレートしきい値決定例を示す説明図である。移動体通信システム2〜4の無線アクセス方式ごとに、また端末122、132、142が存在する環境の無線状況によって、端末122、132、142の通信レートが異なる場合がある。このため、PDN−GW110は、移動体通信システム2〜4の無線アクセス方式や環境に応じて端末122、132、142のレートしきい値を決定する。レートしきい値とは、該当する無線アクセス方式で当該端末122、132、142にアサインされたIPアドレスに許容される通信レートのしきい値である。当該IPアドレス宛のパケットの通信レートが、レートしきい値以上になると、PDN−GW110は、当該IPアドレス宛のパケットに攻撃パケットが含まれていると判断する。
図4は、通信装置のハードウェア構成例を示すブロック図である。ここで、通信装置とは、図1のサーバ、コア中継装置120、130、140、基地局121、131、141、端末122、132、142である。通信装置400は、プロセッサ401と、記憶デバイス402と、入力デバイス403と、出力デバイス404と、通信インターフェース(通信IF)405と、を有する。プロセッサ401、記憶デバイス402、入力デバイス403、出力デバイス404、および通信IF405は、バスにより接続される。プロセッサ401は、通信装置400を制御する。
図5は、PDN−GW110である転送装置500の機能的構成例を示すブロック図である。転送装置500は、接続部501と、決定部502と、転送部503と、第1の記憶部510と、算出部504と、判定部505と、制御部506と、分析部507と、第2の記憶部520と、更新部508と、を有する。第1の記憶部510および第2の記憶部520は、具体的には、たとえば、図4に示した記憶デバイス402によりその機能を実現する。また、接続部501、決定部502、転送部503、算出部504、判定部505、制御部506、分析部507、および、更新部508は、具体的には、たとえば、図4に示した記憶デバイス402に記憶されたプログラムをプロセッサ401に実行させることによりその機能を実現する。また、接続部501、決定部502、転送部503、算出部504、判定部505、制御部506、分析部507、および、更新部508の少なくとも一部は、ハードウェアにより実現することとしてもよい。
図7は、PDN−GW110を用いたDoS/DDoS攻撃の検出例を示す説明図である。PDN−GW110は、移動体通信システム2〜4のホームエージェントとして、セッション情報管理テーブル310により、端末122、132、142に割り当てたホームアドレスと、端末122、132、142の位置を示すForeign Agentである基地局のアドレスと、を管理する。また、PDN−GW110は、新規接続時や移動体通信システム間のハンドオーバー時に端末122、132、142の無線アクセス方式を識別して管理する。端末122、132、142の無線アクセス方式は、新規接続時とLTE、EVDO、WiMAXといった無線通信システム間ハンドオーバー時にシグナリングによりPDN−GW110に通知可能である。
図8は、DoS/DDoS攻撃の防御例1を示す説明図である。図8では、ホームアドレスが動的割当の場合の防御例を示す。防御前は、大量の攻撃パケットが正常通信パケットに混ざって、IPアドレスCを持つWiMAX端末142−1に送信される。この場合、処理しきれない正常なパケットがドロップされる場合がある。
つぎに、レートしきい値の更新例について説明する。上述した例では、レートしきい値は、図6に示した通信レートテーブル600を参照して取得した下り最大通信レートに安全率を乗じた値である。これに対し、更新部808は、PDN−GW110が決定した初期のレートしきい値や更新後のレートしきい値を、端末からの正常時の通信レートの通知を受けることにより更新する。
2 移動体通信システム(LTE)
3 移動体通信システム(EVDO)
4 移動体通信システム(WiMAX)
500 転送装置
501 接続部
502 決定部
503 転送部
504 算出部
505 判定部
506 制御部
507 分析部
508 更新部
510 第1の記憶部
520 第2の記憶部
Claims (12)
- 無線通信装置に第1のアドレスを割り当て、前記第1のアドレスに応じた第1の無線アクセス方式により、前記第1のアドレスが割り当てられた前記無線通信装置と無線通信可能に接続する接続部と、
前記接続部によって接続された第1の無線アクセス方式に従った第1の通信レートを、前記第1のアドレスが攻撃対象であるか否かを判定するしきい値に決定する決定部と、
前記決定部によって決定されたしきい値である前記第1の通信レートにより、前記第1のアドレスを宛先とする第1のパケットを受信して、前記第1のアドレスが割り当てられた前記無線通信装置に転送する転送部と、
を有することを特徴とする転送装置。 - 無線アクセス方式ごとに通信レートを関連付けた対応情報を記憶する記憶部を有し、
前記決定部は、前記対応情報を参照することにより、前記第1の通信レートを前記しきい値に決定することを特徴とする請求項1に記載の転送装置。 - 前記第1のパケットの受信回数に基づいて、前記第1のアドレスに関する第2の通信レートを算出する算出部と、
前記しきい値と前記算出部によって算出された第2の通信レートとに基づいて、前記第1のアドレスが攻撃対象であるか否かを判定する判定部と、
前記判定部によって判定された判定結果に基づいて、前記転送部による転送を制御する制御部と、
を有することを特徴とする請求項1に記載の転送装置。 - 前記接続部は、前記第1のアドレスが動的に変更可能なアドレスであり、かつ、前記判定部によって前記第1のアドレスが攻撃対象であると判定された場合、前記第1の無線アクセス方式による接続を切断するとともに、前記第1のアドレスとは異なる第2のアドレスを前記無線通信装置に割り当て、前記第2のアドレスに応じた第2の無線アクセス方式により、前記第2のアドレスが割り当てられた前記無線通信装置と無線通信可能に接続し、
前記制御部は、前記転送部を制御して、前記第2のアドレス宛先とする第2のパケットを受信して、前記第2のアドレスが割り当てられた前記無線通信装置に転送することを特徴とする請求項3に記載の転送装置。 - 前記制御部は、前記第1のパケットを廃棄するように制御することを特徴とする請求項4に記載の転送装置。
- 前記接続部により前記無線通信装置に前記第2のアドレスが割り当てられた後に受信される前記第1のパケットを分析し、分析結果を攻撃パターンとなるパケットの特徴情報として格納する分析部を有することを特徴とする請求項4に記載の転送装置。
- 前記攻撃パターンとなるパケットの特徴情報を記憶する記憶部を有し、
前記制御部は、前記転送部を制御して、前記受信パケットのうち、前記特徴情報を参照して前記攻撃パターンに該当すると判断されなかった前記受信パケットを、前記受信パケットの宛先となるアドレスが割り当てられた無線通信装置に転送することを特徴とする請求項6に記載の転送装置。 - 攻撃パターンとなるパケットの特徴情報を記憶する記憶部と、
前記制御部は、前記転送部を制御して、前記第1のパケットのうち、前記特徴情報を参照して前記攻撃パターンに該当すると判断されなかった前記第1のパケットを、前記第1のアドレスが割り当てられた前記無線通信装置に転送することを特徴とする請求項1に記載の転送装置。 - 前記制御部は、前記第1のパケットのうち、前記分析部によって前記攻撃パターンに該当すると判断された前記第1のパケットを廃棄することを特徴とする請求項8に記載の転送装置。
- アドレスごとの通信レートを更新する更新部を有し、
前記更新部は、前記無線通信装置が測定した前記第1の無線アクセス方式による第3の通信レートを含む情報を前記無線通信装置から受信した場合、前記第1の通信レートと前記第3の通信レートとの差分に基づいて、前記第1の通信レートを前記第3の通信レートに更新し、
前記決定部は、前記更新部による更新後の通信レートである前記第3の通信レートを前記しきい値に決定することを特徴とする請求項1に記載の転送装置。 - 受信したパケットを転送する転送装置による転送方法であって、
前記転送装置は、
無線通信装置に第1のアドレスを割り当て、前記第1のアドレスに応じた第1の無線アクセス方式により、前記第1のアドレスが割り当てられた前記無線通信装置と無線通信可能に接続する接続処理と、
前記接続処理によって接続された第1の無線アクセス方式に従った第1の通信レートを、前記第1のアドレスが攻撃対象であるか否かを判定するしきい値に決定する決定処理と、
前記決定処理によって決定されたしきい値である前記第1の通信レートにより、前記第1のアドレスを宛先とする第1のパケットを受信して、前記第1のアドレスが割り当てられた前記無線通信装置に転送する転送処理と、
を実行することを特徴とする転送方法。 - 受信したパケットを転送する転送装置のメモリに格納された転送プログラムであって、
前記転送装置内のプロセッサに、
無線通信装置に第1のアドレスを割り当て、前記第1のアドレスに応じた第1の無線アクセス方式により、前記第1のアドレスが割り当てられた前記無線通信装置と無線通信可能に接続する接続処理と、
前記接続処理によって接続された第1の無線アクセス方式に従った第1の通信レートを、前記第1のアドレスが攻撃対象であるか否かを判定するしきい値に決定する決定処理と、
前記決定処理によって決定されたしきい値である前記第1の通信レートにより、前記第1のアドレスを宛先とする第1のパケットを受信して、前記第1のアドレスが割り当てられた前記無線通信装置に転送する転送処理と、
を実行させることを特徴とする転送プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013256651A JP2015115794A (ja) | 2013-12-12 | 2013-12-12 | 転送装置、転送方法、および、転送プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013256651A JP2015115794A (ja) | 2013-12-12 | 2013-12-12 | 転送装置、転送方法、および、転送プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015115794A true JP2015115794A (ja) | 2015-06-22 |
JP2015115794A5 JP2015115794A5 (ja) | 2016-03-24 |
Family
ID=53529217
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013256651A Pending JP2015115794A (ja) | 2013-12-12 | 2013-12-12 | 転送装置、転送方法、および、転送プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2015115794A (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020025220A (ja) * | 2018-08-08 | 2020-02-13 | 株式会社Nttドコモ | 制御装置 |
JP2021512538A (ja) * | 2018-01-29 | 2021-05-13 | コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. | Bluetooth(登録商標)ベースのipv6低電力ネットワーキング |
JP2022514172A (ja) * | 2018-11-30 | 2022-02-10 | シスコ テクノロジー,インコーポレイテッド | 相乗的なdnsセキュリティ更新 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004320132A (ja) * | 2003-04-11 | 2004-11-11 | Sharp Corp | 無線通信システム |
JP2009124505A (ja) * | 2007-11-15 | 2009-06-04 | Ntt Docomo Inc | 移動通信端末、データ送信方法、通信装置及びデータ受信方法 |
JP2010510736A (ja) * | 2006-11-24 | 2010-04-02 | パナソニック株式会社 | ホーム・エージェントに対するサービス妨害攻撃を緩和する方法 |
WO2011152052A1 (ja) * | 2010-06-02 | 2011-12-08 | パナソニック株式会社 | 通信制御装置およびパケットフィルタリング方法 |
JP2013009185A (ja) * | 2011-06-24 | 2013-01-10 | Nippon Telegr & Teleph Corp <Ntt> | 通信監視システム及び方法及び通信監視装置及び仮想ホスト装置及び通信監視プログラム |
-
2013
- 2013-12-12 JP JP2013256651A patent/JP2015115794A/ja active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004320132A (ja) * | 2003-04-11 | 2004-11-11 | Sharp Corp | 無線通信システム |
JP2010510736A (ja) * | 2006-11-24 | 2010-04-02 | パナソニック株式会社 | ホーム・エージェントに対するサービス妨害攻撃を緩和する方法 |
JP2009124505A (ja) * | 2007-11-15 | 2009-06-04 | Ntt Docomo Inc | 移動通信端末、データ送信方法、通信装置及びデータ受信方法 |
WO2011152052A1 (ja) * | 2010-06-02 | 2011-12-08 | パナソニック株式会社 | 通信制御装置およびパケットフィルタリング方法 |
JP2013009185A (ja) * | 2011-06-24 | 2013-01-10 | Nippon Telegr & Teleph Corp <Ntt> | 通信監視システム及び方法及び通信監視装置及び仮想ホスト装置及び通信監視プログラム |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2021512538A (ja) * | 2018-01-29 | 2021-05-13 | コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. | Bluetooth(登録商標)ベースのipv6低電力ネットワーキング |
JP7486424B2 (ja) | 2018-01-29 | 2024-05-17 | コーニンクレッカ フィリップス エヌ ヴェ | Bluetooth(登録商標)ベースのipv6低電力ネットワーキング |
JP2020025220A (ja) * | 2018-08-08 | 2020-02-13 | 株式会社Nttドコモ | 制御装置 |
JP7037452B2 (ja) | 2018-08-08 | 2022-03-16 | 株式会社Nttドコモ | 制御装置 |
JP2022514172A (ja) * | 2018-11-30 | 2022-02-10 | シスコ テクノロジー,インコーポレイテッド | 相乗的なdnsセキュリティ更新 |
JP7373560B2 (ja) | 2018-11-30 | 2023-11-02 | シスコ テクノロジー,インコーポレイテッド | 相乗的なdnsセキュリティ更新 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11671402B2 (en) | Service resource scheduling method and apparatus | |
US20210250771A1 (en) | Method For Determining Class Information And Apparatus | |
EP2615793A1 (en) | Methods and systems for protecting network devices from intrusion | |
JP6097411B2 (ja) | データ送信方法、装置及びシステム | |
CN107666473B (zh) | 一种攻击检测的方法及控制器 | |
CN104301066A (zh) | 数据包传输方法及装置 | |
CN106533973B (zh) | 分发业务消息的方法、设备和系统 | |
US11895533B2 (en) | Method for controlling connection between terminal and network, and related apparatus | |
JP6422677B2 (ja) | ネットワーク中継装置、同装置を用いたDDoS防御方法および負荷分散方法 | |
CN113692753B (zh) | 网络装置和在网络装置中实现的搜索边缘服务的方法 | |
US9450880B2 (en) | Load condition based transfer of processing responsibility | |
CN106534301A (zh) | 网络出站负载均衡方法及装置 | |
US10321355B2 (en) | Access node, mobility management network element, and paging message processing method | |
JP2015115794A (ja) | 転送装置、転送方法、および、転送プログラム | |
US10405233B2 (en) | Enhanced overload protection in a telecommunications network | |
CN106470421A (zh) | 一种防止恶意终端非法占用核心网资源的方法和设备 | |
US20220286853A1 (en) | Mobility management for aggressive devices | |
KR101351607B1 (ko) | 복수의 호스트와 서버간의 패킷의 전송을 제어하는 방법 및 부하 분산 장치, 그리고 부하 분산 장치로부터 패킷을 수신하는 방법 및 서버 | |
JP5670937B2 (ja) | 端末接続管理システム | |
JP2007028268A (ja) | 不正パケットを送信する端末の帯域割当を制限する基地局、システム及び方法 | |
US20230164149A1 (en) | Causing or preventing an update to a network address translation table | |
KR20120012229A (ko) | 불필요한 패킷 송수신 차단 장치 및 그 방법 | |
EP4181554A1 (en) | Traffic control server and method | |
CN115277632B (zh) | 查询、信息处理方法、装置及通信设备 | |
JP6740189B2 (ja) | 通信制御装置、通信制御方法、及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160208 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160208 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20161124 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20161220 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20170620 |