JP2015115794A - 転送装置、転送方法、および、転送プログラム - Google Patents
転送装置、転送方法、および、転送プログラム Download PDFInfo
- Publication number
- JP2015115794A JP2015115794A JP2013256651A JP2013256651A JP2015115794A JP 2015115794 A JP2015115794 A JP 2015115794A JP 2013256651 A JP2013256651 A JP 2013256651A JP 2013256651 A JP2013256651 A JP 2013256651A JP 2015115794 A JP2015115794 A JP 2015115794A
- Authority
- JP
- Japan
- Prior art keywords
- address
- transfer
- packet
- unit
- wireless communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012546 transfer Methods 0.000 title claims abstract description 68
- 238000000034 method Methods 0.000 title claims description 92
- 238000004891 communication Methods 0.000 claims abstract description 186
- 238000004458 analytical method Methods 0.000 claims description 53
- 230000008569 process Effects 0.000 claims description 30
- 238000012545 processing Methods 0.000 claims description 12
- 238000004364 calculation method Methods 0.000 claims description 10
- 238000010295 mobile communication Methods 0.000 abstract description 41
- 238000001914 filtration Methods 0.000 description 26
- 238000010586 diagram Methods 0.000 description 16
- 230000007123 defense Effects 0.000 description 13
- 238000001514 detection method Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 10
- 230000005540 biological transmission Effects 0.000 description 6
- 230000008859 change Effects 0.000 description 5
- 230000004044 response Effects 0.000 description 5
- 238000009789 rate limiting process Methods 0.000 description 4
- 230000003139 buffering effect Effects 0.000 description 2
- 238000007796 conventional method Methods 0.000 description 2
- 230000000116 mitigating effect Effects 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
【課題】移動体通信システム内の端末へのDoS/DDoS攻撃の検出の容易化を図ること。
【解決手段】転送装置500は、無線通信装置に第1のアドレスを割り当て、第1のアドレスに応じた第1の無線アクセス方式により、第1のアドレスCが割り当てられた無線通信装置と無線通信可能に接続する接続部501と、接続部501によって接続された第1の無線アクセス方式に従った第1の通信レートを、第1のアドレスが攻撃対象であるか否かを判定するしきい値に決定する決定部502と、決定部502によって決定されたしきい値である第1の通信レートにより、第1のアドレスを宛先とする第1のパケットを受信して、第1のアドレスが割り当てられた無線通信装置に転送する転送部503と、を有する。
【選択図】図5
【解決手段】転送装置500は、無線通信装置に第1のアドレスを割り当て、第1のアドレスに応じた第1の無線アクセス方式により、第1のアドレスCが割り当てられた無線通信装置と無線通信可能に接続する接続部501と、接続部501によって接続された第1の無線アクセス方式に従った第1の通信レートを、第1のアドレスが攻撃対象であるか否かを判定するしきい値に決定する決定部502と、決定部502によって決定されたしきい値である第1の通信レートにより、第1のアドレスを宛先とする第1のパケットを受信して、第1のアドレスが割り当てられた無線通信装置に転送する転送部503と、を有する。
【選択図】図5
Description
本発明は、パケットを転送する転送装置、転送方法、および、転送プログラムに関する。
Worldwide Interoperability for Microwave Access(WiMAX)やLong Term Evolution(LTE)のようなデータ通信専用の移動体通信システムの通信速度の向上により、移動体システムの端末が直接インターネットと接続するようになった。その結果、従来の専用網に閉じた音声通信システムと違い、移動体通信システムの端末は、インターネット上の様々な脅威に晒される。その中に、特に端末のInternet Protocol(IP)アドレスへのDenial−of−Service or Distributed Denial−of−Service(DoS/DDoS)攻撃は、移動体通信システム全体に対して影響をもたらす場合がある。
移動体通信システムでは、基地局はセンター装置よりデータ転送性能が低く、通信するためのバックホール回線容量も少ないため、端末のIPアドレス宛に大量の攻撃パケットが発生した場合、センター装置から転送された攻撃パケットが、基地局のリソースと帯域を占用してしまい、基地局配下の数多くの端末が通信不能に陥る事態が生じる場合がある。
従来技術として、外部ネットワークの端末から内部ネットワークのサーバへのアクセスを制御する中継装置がある(たとえば、下記特許文献1を参照。)。特許文献1の中継装置は、端末がサーバ宛に送出するパケットの伝送を一定条件下で許容し、許容されたパケットに対し、サーバが接続を許可した場合、サーバ宛のパケット伝送の条件を緩和する。しかる後、中継装置は、緩和された条件で、端末とサーバとのパケット伝送を制御する。
また、攻撃対象IPアドレスのリース更新通信を行い、IPアドレスがDHCPサーバへ返却されるのを防ぎつつ、別のIPアドレスを通信に用いることにより、ネットワーク攻撃を他の通信端末に引き継いでしまうことを回避する従来技術がある(たとえば、下記特許文献2を参照。)。特許文献2の通信端末は、DoS攻撃を検出すると、自装置に割当てられたMACアドレスを変更し、変更されたMACアドレスに対応した新たなIPアドレスをDHCPサーバから取得し、新たなIPアドレスを基に外部ネットワークを介して通信する。また、通信端末は、攻撃対象IPアドレスの定期的な更新処理を継続することで、DHCPサーバにIPアドレスが返却されないようにし、ホームネットワーク内の他の端末に攻撃先が切り替ることを防ぐ。
また、外部装置に対して受信パケットに適用する処理内容を問い合わせて学習する通信装置がある(たとえば、下記特許文献3を参照。)。特許文献3の通信システムは、サーバと通信装置を有する。サーバは、不正パケットであるか否かを判別するための定義パタンとパケットとを照合することにより不正パケットを廃棄し、その他のパケットについては送信元に対し該パケットに適用する処理内容を通知する。たとえば、サーバは、定義パタンとの照合の結果、不正パケットであると判断した場合、該不正パケットを廃棄するとともに、通信装置に対し、不正パケットと同一の特徴を持つパケットを廃棄する処理内容を通知する。通信装置は、サーバに対し未知のパケットを転送し、サーバから通知された処理内容に基づいて、受信パケットを処理する。
また、非特許文献1には、DDoS攻撃の軽減対策が開示されている。非特許文献1には、DoS/DDoS攻撃検知方法として、パケット分析による方法が開示されている。
シスコシステムズ株式会社 DDoS攻撃の軽減対策 [online]、2007年4月 [2013年12月検索] インターネット<http://www.cisco.com/web/JP/product/hs/security/tad/tech/pdf/dda_wp.pdf>
しかしながら、上述した特許文献1の中継装置では、DoS/DDoS攻撃検知方法としては、主にレートしきい値による判定方法を採用するが、当該判定方法の場合、移動体通信システムでは、無線アクセス方式ごとに端末の通信レートが異なる場合があったり、また端末が存在する環境の無線状況によって端末の通信レートが異なる場合がある。したがって、特許文献1の中継装置では、適切なレートしきい値を設定することができないという問題がある。
また、上述した特許文献2の場合、I/FからCPUに送られる受信割込み数が、予め定めた閾値を超えた場合に不正パケットとして検出するが、攻撃者が巧妙に攻撃パケットのプロトコルやサイズなどを動的に変更しながら送信した場合、正常パケットとの区別がつかないため、検出が困難であるという問題がある。また、通信端末が、不正パケットによる攻撃中という高負荷な状態のときに、変更されたMACアドレスに対応した新たなIPアドレスをDHCPサーバから取得する必要があるという問題がある。また、個々の通信端末についての防御となるため、移動体通信システムに適した防御方法にはならない。
また、上述した特許文献3の場合も、攻撃者が巧妙に攻撃パケットのプロトコルやサイズなどを動的に変更しながら送信した場合、定義パタンと照合しない場合があり、正常パケットとの区別がつかないため、検出が困難であるという問題がある。
また、上述した非特許文献1の場合も、攻撃者が巧妙に攻撃パケットのプロトコルやサイズなどを動的に変更しながら送信した場合、正常パケットとの区別がつかないため、検出が困難であるという問題がある。このように、不正パケットと正常パケットとの区別が難しいため、DoS/DDoS攻撃の阻止が困難である。
本発明は、移動体通信システム内の端末へのDoS/DDoS攻撃の検出の容易化を図ることを目的とする。
本願において開示される発明の一側面となる転送装置、転送方法、および、転送プログラムは、無線通信装置に第1のアドレスを割り当て、前記第1のアドレスに応じた第1の無線アクセス方式により、前記第1のアドレスが割り当てられた前記無線通信装置と無線通信可能に接続し、接続された第1の無線アクセス方式に従った第1の通信レートを、前記第1のアドレスが攻撃対象であるか否かを判定するしきい値に決定し、決定されたしきい値である前記第1の通信レートにより、前記第1のアドレスを宛先とする第1のパケットを受信して、前記第1のアドレスが割り当てられた前記無線通信装置に転送することを特徴とする。
本発明の代表的な実施の形態によれば、移動体通信システム内の端末へのDoS/DDoS攻撃の検出の容易化を図ることができる。前述した以外の課題、構成及び効果は、以下の実施例の説明により明らかにされる。
以下に、一例として、LTE、Evolution Data Only(Optimized)(EVDO)、および、WiMAXの三つの無線通信システムにおける無線アクセス方式を持つ無線通信システムを用いた実施例を図面により詳細に説明する。
<移動体通信システム例>
図1は、複数の無線アクセス方式を持つ移動体通信システム群を集約する無線通信システム1の構成例を示す説明図である。図1では、白塗矢印が正常パケットを指す。以降の図面でも同様である。相互のエリアの補完と通信速度の速い無線方式への優先接続を目的とする移動体通信システム間ハンドオーバーを実現するために、異なる移動体通信システム2〜4を同一のホームエージェントに接続する必要がある。
図1は、複数の無線アクセス方式を持つ移動体通信システム群を集約する無線通信システム1の構成例を示す説明図である。図1では、白塗矢印が正常パケットを指す。以降の図面でも同様である。相互のエリアの補完と通信速度の速い無線方式への優先接続を目的とする移動体通信システム間ハンドオーバーを実現するために、異なる移動体通信システム2〜4を同一のホームエージェントに接続する必要がある。
ホームエージェントは、端末122、132、142のIPアドレスをアサインして管理する役割を持つ転送装置であり、同一のホームエージェントであれば、端末122、132、142が移動体通信システム間でハンドオーバーしても同じIPアドレスを維持できるため、サービスの継続が可能である。
ホームエージェントの機能を持つ装置は移動体通信システム2〜4によって名称が異なるが、LTE(移動体通信システム2)の場合はPublic Data Network−Gateway(PDN−GW)110となる。PDN−GW110は、EVDO(移動体通信システム3)とWiMAX(移動体通信システム4)とを収容できるため、本実施例はPDN−GW110によるDoS/DDoS攻撃の防御を実現する。PDN−GW110のリア側はインターネット100と接続される。
PDN−GW110のフロント側は、LTEのコア中継装置であるServing−GW(S−GW)120、EVDOのコア中継装置であるHigh Rate Packet Data(HRPD) S−GW(HSGW)&Point Coodination Function130、および、WiMAXのコア中継装置であるAccess Service Network(ASN)−GW140と接続される。
S−GW120はLTE基地局121、HSGW&PCFはEVDO基地局131、ASN−GW140はWiMAX基地局141に接続される。LTE基地局121の配下にLTE端末122、EVDO基地局131の配下にEVDO端末132、WiMAX基地局141の配下にWiMAX端末142が無線で接続される。
PDN−GW110は、端末が新規接続時に端末にホームアドレスとなるIPアドレスを割り当てる役割を持つ。また、PDN−GW110は、端末が新規接続と移動体通信システム間ハンドオーバーをする際、端末122、132、142から無線アクセス方式の通知を受け、端末122、132、142のセッション情報として管理する。インターネット100上にあるサーバ150からの端末122、132、142宛のIPパケット(以下、単にパケット)は、PDN−GW110に集約され、PDN−GW110が管理している端末122、132、142の位置情報に基づき、コア中継装置120、130、140、そして各基地局121、131、141を経由し、端末122、132、142に到達する。
図2は、端末122、132、142がDoS/DDoS攻撃を受けた場合の影響を示す説明図である。端末群がインターネット100にアクセスをしている時に、インターネット100上の攻撃者200である通信装置(サーバまたは端末)が、あるWiMAX端末142−1宛に大量のパケット(以下、攻撃パケット)を送信し始めた場合を例に挙げる。図2では、黒塗り矢印が攻撃パケットを指す。以降の図面でも同様である。
攻撃パケットは、通常のパケットと一緒にPDN−GW110、ASN−GW140、および、WiMAX基地局141−1を経由し、攻撃対象となるWiMAX端末142−1に転送される。該当WiMAX端末142−1が攻撃によってサービス不能になるだけでなく、攻撃パケットの量が多くWiMAX基地局141−1の処理性能と無線リソースを圧迫した場合、該当WiMAX基地局141−1配下の他のWiMAX端末142−2も影響を受ける。
さらに、攻撃パケットのレートの高さにより、ASN−GW140の処理性能や回線を圧迫した場合、ASN−GW140に接続される他のWiMAX基地局141−2配下のWiMAX端末142−3、142−4も影響を受ける。最悪な場合、PDN−GW110まで処理性能が圧迫され、移動体通信システム全体のサービス不能に陥ることも想定される。
<レートしきい値決定例>
図3は、図1および図2に示した移動体通信システムにおけるPDN−GW110のレートしきい値決定例を示す説明図である。移動体通信システム2〜4の無線アクセス方式ごとに、また端末122、132、142が存在する環境の無線状況によって、端末122、132、142の通信レートが異なる場合がある。このため、PDN−GW110は、移動体通信システム2〜4の無線アクセス方式や環境に応じて端末122、132、142のレートしきい値を決定する。レートしきい値とは、該当する無線アクセス方式で当該端末122、132、142にアサインされたIPアドレスに許容される通信レートのしきい値である。当該IPアドレス宛のパケットの通信レートが、レートしきい値以上になると、PDN−GW110は、当該IPアドレス宛のパケットに攻撃パケットが含まれていると判断する。
図3は、図1および図2に示した移動体通信システムにおけるPDN−GW110のレートしきい値決定例を示す説明図である。移動体通信システム2〜4の無線アクセス方式ごとに、また端末122、132、142が存在する環境の無線状況によって、端末122、132、142の通信レートが異なる場合がある。このため、PDN−GW110は、移動体通信システム2〜4の無線アクセス方式や環境に応じて端末122、132、142のレートしきい値を決定する。レートしきい値とは、該当する無線アクセス方式で当該端末122、132、142にアサインされたIPアドレスに許容される通信レートのしきい値である。当該IPアドレス宛のパケットの通信レートが、レートしきい値以上になると、PDN−GW110は、当該IPアドレス宛のパケットに攻撃パケットが含まれていると判断する。
図3の(A)の例では、まず、PDN−GW110は、IPアドレスCが割り当てられたWiMAX端末142−1とのWiMAXのセッション確立後、無線アクセス方式であるWiMAXの通信レート(たとえば、40[Mbps])に応じたレートしきい値Rtを設定する。通信レートは、無線アクセス方式ごとに異なる。通信レートは、許容される通信レートの最大値であるため、レートしきい値Rtは、たとえば、通信レートに安全率であるn%(0<n≦100)を乗じた値となる。PDN−GW110は、サーバ150からのC宛のパケットをレートしきい値Rtの通信レートでWiMAX端末142−1に転送する。
また、PDN−GW110は、C宛のパケットの受信回数をカウントして、通信レートRrを算出する。通信レートRrは、C宛のパケット長に受信回数を乗じて受信期間で割ることにより算出される。(A)の例では、Rr<Rtとなり、正常なパケットが転送されていると判断される。
(B)の例では、PDN−GW110は、攻撃者200からの宛先Cのパケットも受信する。このため、Rr≧Rtとなる。したがって、PDN−GW110は、IPアドレスCは攻撃者200の攻撃対象であると判断する。このように、PDN−GW110においても、適切なレートしきい値を容易に設定することができる。
<ハードウェア構成例>
図4は、通信装置のハードウェア構成例を示すブロック図である。ここで、通信装置とは、図1のサーバ、コア中継装置120、130、140、基地局121、131、141、端末122、132、142である。通信装置400は、プロセッサ401と、記憶デバイス402と、入力デバイス403と、出力デバイス404と、通信インターフェース(通信IF)405と、を有する。プロセッサ401、記憶デバイス402、入力デバイス403、出力デバイス404、および通信IF405は、バスにより接続される。プロセッサ401は、通信装置400を制御する。
図4は、通信装置のハードウェア構成例を示すブロック図である。ここで、通信装置とは、図1のサーバ、コア中継装置120、130、140、基地局121、131、141、端末122、132、142である。通信装置400は、プロセッサ401と、記憶デバイス402と、入力デバイス403と、出力デバイス404と、通信インターフェース(通信IF)405と、を有する。プロセッサ401、記憶デバイス402、入力デバイス403、出力デバイス404、および通信IF405は、バスにより接続される。プロセッサ401は、通信装置400を制御する。
記憶デバイス402は、プロセッサ401の作業エリアとなる。また、記憶デバイス402は、各種プログラムやデータを記憶する非一時的な記録媒体である。記憶デバイス402としては、たとえば、ROM(Read Only Memory)、RAM(Random Access Memory)、HDD(Hard Disk Drive)、フラッシュメモリがある。入力デバイス403は、データを入力する。入力デバイス403としては、たとえば、キーボード、マウス、タッチパネル、テンキー、スキャナがある。出力デバイス404は、データを出力する。出力デバイス404としては、たとえば、ディスプレイ、プリンタがある。通信IF405は、ネットワークと接続し、データを送受信する。
<PDN−GW110の機能的構成例>
図5は、PDN−GW110である転送装置500の機能的構成例を示すブロック図である。転送装置500は、接続部501と、決定部502と、転送部503と、第1の記憶部510と、算出部504と、判定部505と、制御部506と、分析部507と、第2の記憶部520と、更新部508と、を有する。第1の記憶部510および第2の記憶部520は、具体的には、たとえば、図4に示した記憶デバイス402によりその機能を実現する。また、接続部501、決定部502、転送部503、算出部504、判定部505、制御部506、分析部507、および、更新部508は、具体的には、たとえば、図4に示した記憶デバイス402に記憶されたプログラムをプロセッサ401に実行させることによりその機能を実現する。また、接続部501、決定部502、転送部503、算出部504、判定部505、制御部506、分析部507、および、更新部508の少なくとも一部は、ハードウェアにより実現することとしてもよい。
図5は、PDN−GW110である転送装置500の機能的構成例を示すブロック図である。転送装置500は、接続部501と、決定部502と、転送部503と、第1の記憶部510と、算出部504と、判定部505と、制御部506と、分析部507と、第2の記憶部520と、更新部508と、を有する。第1の記憶部510および第2の記憶部520は、具体的には、たとえば、図4に示した記憶デバイス402によりその機能を実現する。また、接続部501、決定部502、転送部503、算出部504、判定部505、制御部506、分析部507、および、更新部508は、具体的には、たとえば、図4に示した記憶デバイス402に記憶されたプログラムをプロセッサ401に実行させることによりその機能を実現する。また、接続部501、決定部502、転送部503、算出部504、判定部505、制御部506、分析部507、および、更新部508の少なくとも一部は、ハードウェアにより実現することとしてもよい。
接続部501は、無線通信装置に第1のアドレスを割り当て、第1のアドレスに応じた第1の無線アクセス方式により、第1のアドレスが割り当てられた無線通信装置と無線通信可能に接続する。無線通信装置とは、無線アクセス方式によるセッションの確立相手となる端末122、132、142である。図1の例では、無線アクセス方式がLTEの場合は、無線通信装置はLTE端末122であり、EVDOの場合は、無線通信装置はEVDO端末132であり、WiMAXの場合は、無線通信装置はWiMAX端末142である。接続部501は、無線通信装置とセッションを確立させ、通信可能な状態にする。
第1のアドレスとは、ホームエージェントの機能の一つであるアサイン機能により無線通信装置に割り当てられるIPアドレスである。割当方式には、動的割当と固定割当がある。動的割当は、割り当てられたIPアドレスの変更が可能な割当方式であり、固定割当は、変更されない固定の割当方式である。いずれの割当方式も、無線通信装置側から指定することができる。
接続部501は、このようなセッションの内容を、セッション情報管理テーブルを用いて管理する。セッション情報管理テーブルは、セッションごとに、そのセッションを一意に特定するIDと、割り当てるIPアドレスと、パケットを中継するコア中継装置120、130、140のアドレスと、割当方式(動的/固定)と、無線アクセス方式と、を記憶するテーブルである。図2の例では、たとえば、IPアドレスCが割り当てられるWiMAX端末142−1について、割り当てるIPアドレスがC、コア中継装置のアドレスがASN−GW140のアドレス、割当方式が動的、無線アクセス方式がWiMAXといった情報が1つのセッションとして管理される。
決定部502は、接続部501によって接続された第1の無線アクセス方式に従った第1の通信レートを、第1のアドレスが攻撃対象であるか否かを判定するレートしきい値Rtに決定する。第1の通信レートとは、第1の無線アクセス方式に応じた通信レートに、安全率であるn%(0<n≦100)を乗じた値となる。決定部502は、第1の無線アクセス方式に応じた通信レートは、無線アクセス方式ごとに通信レートを関連付けた対応情報を参照することにより取得する。決定部502は、第1の通信レートをレートしきい値Rtに決定する。レートしきい値Rtは、第1のアドレスが攻撃対象であるか否かを判定するしきい値である。
第1の記憶部510は、対応情報を記憶する。対応情報とは、無線アクセス方式ごとに通信レートを関連付けた通信レートテーブルである。
図6は、対応情報の記憶内容の一例を示す説明図である。通信レートテーブル600は、無線アクセス方式フィールドと、帯域幅フィールドと、Multiple−Input and Multiple−Output(MIMO)フィールドと、下り最大通信レートフィールドと、を有し、無線アクセス方式ごとに、各フィールドの値を記憶する。
無線アクセス方式フィールドには、無線アクセス方式を特定する情報(名称や識別情報)が格納される。帯域幅フィールドには、その無線アクセス方式による帯域幅が格納される。MIMOフィールドには、その無線アクセス方式が適用される送信側のアンテナ数と受信側のアンテナ数との組み合わせが格納される。下り最大通信レートフィールドには、その無線アクセス方式に応じた通信レートが格納される。最大通信レートフィールドの値が、第1の無線アクセス方式に応じた通信レートとして取得される。
図5に戻り、転送部503は、決定部502によって決定されたレートしきい値Rtである第1の通信レートにより、第1のアドレスを宛先とする第1のパケットを受信して、第1のアドレスが割り当てられた無線通信装置に転送する。
算出部504は、第1のパケットの受信回数に基づいて、第1のアドレスに関する第2の通信レートRrを算出する。算出部504は、第1のアドレス宛のパケット長に受信回数を乗じて受信期間で割ることにより算出する。異なるパケット長が混在する場合には、算出部504は、異なるパケット長ごとに受信回数を乗じてから総和を求め、当該総和を受信期間で割ることにより通信レートRrを算出する。
判定部505は、レートしきい値Rtと算出部504によって算出された第2の通信レートRrとに基づいて、第1のアドレスが攻撃対象であるか否かを判定する。たとえば、Rr<Rtの場合は、判定部505は、第1のアドレスが攻撃対象でないと判定し、Rr≧Rtの場合は、判定部505は、第1のアドレスが攻撃対象であると判定する。
制御部506は、判定部505によって判定された判定結果に基づいて、転送部503による転送を制御する。具体的には、たとえば、第1のアドレスが動的に割り当てられたアドレスであり、かつ、判定部505によって第1のアドレスが攻撃対象であると判定された場合、接続部501は、第1の無線アクセス方式による接続を切断する。これにより、第1のアドレス宛のパケットは、無線通信装置に到達しなくなる。
また、接続部501は、第1のアドレスとは異なる第2のアドレスを無線通信装置に割り当て、第2のアドレスに応じた第2の無線アクセス方式により、第2のアドレスが割り当てられた無線通信装置と無線通信可能に接続する。そして、制御部506は、転送部503を制御して、第2のアドレスを宛先とする第2のパケットを受信して、第2のアドレスが割り当てられた無線通信装置に転送する。これにより、無線通信装置は、第2のアドレス宛のパケットを受信することができる。
この場合、制御部506は、第1のパケットを廃棄するように転送部503を制御することとしてもよく、また、第1のパケットを廃棄せずにバッファリングしてもよい。バッファリングする場合、分析部507による分析対象となる。攻撃者200には、第1のアドレスから第2のアドレスへの割当変更はわからないため、第2のアドレスの割当後に受信される第1のアドレスを宛先とするパケットは、攻撃パケットである可能性が高い。
分析部507は、接続部501により無線通信装置に第2のアドレスが割り当てられた後に受信される第1のパケットを分析する。分析部507は、たとえば、受信されたパケットのIPアレス、パケット長、ポート番号、プロトコルなどの特徴情報を分析する。そして、分析部507は、分析結果を、攻撃パターンとなるパケットの特徴情報(攻撃パターン情報)として第2の記憶部520に格納する。
第2の記憶部520は、攻撃パターン情報テーブルを記憶する(図9の符号900を参照。)。攻撃パターン情報テーブルは、攻撃パターンごとにその特徴情報を記憶するテーブルである。攻撃パターン情報テーブルは、パケットごとに、宛先IPアドレスフィールド、パケット長フィールド、ポート番号フィールド、プロトコルフィールドを有し、パケットごとに各フィールドの値を有する。
宛先IPアドレスフィールドには、そのパケットの宛先IPアドレスが格納される。パケット長フィールドには、そのパケットのパケット長が格納される。パケット長フィールドには、そのパケットのパケット長が格納される。パケット長は、通信レートRrの算出に用いられる。ポート番号フィールドには、そのパケットを出力するポート番号が格納される。プロトコルフィールドには、そのパケットの通信に適用されるプロトコルを特定する情報(名称や識別情報)が格納される。
なお、分析部507は、すべてのフィールドの値が同一のパケットについては、件数をカウントして攻撃パターン情報として格納してもよい。また、分析部507は、所定件数以上の攻撃パターン情報のみを第2の記憶部520に格納することとしてもよい。
またこの場合、制御部506は、あらたな受信パケットについて、攻撃パターン情報テーブルを参照して、攻撃パターン情報と一致するか否かを判断してもよい。そして、制御部506は、転送部503を制御して、受信パケットのうち、攻撃パターン情報に該当すると判断されなかった受信パケットを、受信パケットの宛先となるアドレスが割り当てられた無線通信装置に転送することとしてもよい。また、制御部506は、第1のパケットのうち、攻撃パターン情報に該当すると判断された第1のパケットを廃棄することとしてもよい。これにより、転送装置500の省メモリ化を図ることができる。
更新部508は、無線通信装置に割り当てられたアドレスごとの通信レートを更新する。具体的には、たとえば、更新部508は、無線通信装置が測定した第1の無線アクセス方式に基づく第3の通信レートを含む情報を無線通信装置から受信した場合、第1の通信レートと第3の通信レートとの差分に基づいて、第1の通信レートを第3の通信レートに更新する。たとえば、更新部508は、当該差分が許容範囲外の場合に、第1の通信レートを第3の通信レートに更新する。
この場合、決定部502は、更新部508による更新後の通信レートである第3の通信レートをレートしきい値Rtに決定する。これにより、更新後は、第3の通信レートによりしきい値判定される。
<DoS/DDoS攻撃の検出例>
図7は、PDN−GW110を用いたDoS/DDoS攻撃の検出例を示す説明図である。PDN−GW110は、移動体通信システム2〜4のホームエージェントとして、セッション情報管理テーブル310により、端末122、132、142に割り当てたホームアドレスと、端末122、132、142の位置を示すForeign Agentである基地局のアドレスと、を管理する。また、PDN−GW110は、新規接続時や移動体通信システム間のハンドオーバー時に端末122、132、142の無線アクセス方式を識別して管理する。端末122、132、142の無線アクセス方式は、新規接続時とLTE、EVDO、WiMAXといった無線通信システム間ハンドオーバー時にシグナリングによりPDN−GW110に通知可能である。
図7は、PDN−GW110を用いたDoS/DDoS攻撃の検出例を示す説明図である。PDN−GW110は、移動体通信システム2〜4のホームエージェントとして、セッション情報管理テーブル310により、端末122、132、142に割り当てたホームアドレスと、端末122、132、142の位置を示すForeign Agentである基地局のアドレスと、を管理する。また、PDN−GW110は、新規接続時や移動体通信システム間のハンドオーバー時に端末122、132、142の無線アクセス方式を識別して管理する。端末122、132、142の無線アクセス方式は、新規接続時とLTE、EVDO、WiMAXといった無線通信システム間ハンドオーバー時にシグナリングによりPDN−GW110に通知可能である。
図7の右側のシーケンス図において、例えば、ある移動体通信システム(LTE、EVDO、WiMAXのいずれか)からPDN−GW110に接続する場合、標準で規定されている新規接続プロシージャの中で、移動体通信システムは、PDN−GW110に接続要求を送信する(ステップS71)。当該接続要求の中には、無線アクセス方式の属性を示すRAT(Radio Access Technology)が含まれ、RATには、EVDO、WiMAX、LTEといった自身の移動体通信システムで採用される無線アクセス方式の識別情報が設定されているものとする。これにより、移動体通信システムは、PDN−GW110に無線アクセス方式を通知することができる。
受信したPDN−GW110は、接続処理を実行してセッション情報管理テーブル310を生成する(ステップS72)。つぎに、PDN−GW110は、ホームアドレスとして端末にIPアドレスCを割り当てるために、接続相手となる移動体通信システムに、IPアドレスを含む接続応答を返す(ステップS73)。
このあと、PDN−GW110は、決定部502により、RATで特定された無線アクセス方式で無線通信可能な通信レートであるレートしきい値を決定する(ステップS74)。
図7では、たとえば、LTEではレートしきい値として100[Mbps]、EVDOではレートしきい値として3.1[Mbps]、WiMAXではレートしきい値として40[Mbps]が決定される。また、LTEではある端末122にIPアドレスAが割り当てられ、EVDOではある端末132にIPアドレスBが割り当てられ、WiMAXではある端末132にIPアドレスCが割り当てられる。
PDN−GW110は、端末に割り当てたアドレス毎に受信パケットをカウントして受信レートを計算し、転送可能なレートしきい値以上であるか否かを常時監視する。PDN−GW110は、IPアドレスAのセッション情報311、IPアドレスBのセッション情報312、IPアドレスCのセッション情報313を管理する。移動体通信システム間ハンドオーバーが発生した場合、レートしきい値は、図7の右のシーケンスに従い、ハンドオーバー後の新しい無線アクセス方式に従い決定される。
端末122、132、142は、それぞれ設定されたレートしきい値以上の通信ができないため、各々のHome Address宛の通信レートが一定時間にわたってレートしきい値以上となった場合、判定部505は、端末122、132、142に設定されたIPアドレスがDoS/DDoS攻撃を受けたと判定する。本実施例では、判定部505は、IPアドレスC宛の通信レートがレートしきい値である40[Mbps]以上になったことを検知し、DoS/DDoS攻撃が発生したと判定する。
PDN−GW110は、DoS/DDoS攻撃を検知した場合、DoS/DDoS攻撃の防御処理を行うが、IPアドレスの割当方式が動的割当であるか固定割当であるかによりその防御方法が異なる。動的割当とは、割り当てたIPアドレスを変更することが可能な割当方式であり、固定割当とは、割り当てたIPアドレスを変更することができない割当方式である。
<DoS/DDoS攻撃の防御例>
図8は、DoS/DDoS攻撃の防御例1を示す説明図である。図8では、ホームアドレスが動的割当の場合の防御例を示す。防御前は、大量の攻撃パケットが正常通信パケットに混ざって、IPアドレスCを持つWiMAX端末142−1に送信される。この場合、処理しきれない正常なパケットがドロップされる場合がある。
図8は、DoS/DDoS攻撃の防御例1を示す説明図である。図8では、ホームアドレスが動的割当の場合の防御例を示す。防御前は、大量の攻撃パケットが正常通信パケットに混ざって、IPアドレスCを持つWiMAX端末142−1に送信される。この場合、処理しきれない正常なパケットがドロップされる場合がある。
動的割当の場合、一時通信断が伴うが、WiMAX端末142−1のIPアドレスが変わってもサービスは継続可能である。具体的には、あるIPアドレス(ここでは例としてC)がDoS/DDoS攻撃対象と判定された場合、PDN−GW110は、IPアドレスCの通信コネクションを切断するプロシージャ411を実施する(ステップS81)。PDN−GW110、または、ホームエージェント機能主導のコネクション切断プロシージャは、各無線通信システムにおいて標準で規定されている。
通常、その後WiMAX端末142−1は、自動的に再接続要求を行う(ステップS82)。具体的には、各無線通信システムにおいて標準で規定されている新規接続プロシージャの中でPDN−GW110宛に再接続要求412が送信される。PDN−GW110は、IPアドレスCと異なるIPアドレスDをWiMAX端末142に割り当て(ステップS83)、再接続応答を返信する(ステップS84)。この後、WiMAX端末142−1は、新しいIPアドレスDを使用してサーバ150にアクセスすることになり、IPアドレスCへの攻撃の影響を受けることがない。
PDN−GW110はIPアドレスCを保留し、他の端末122、132、142にアサインしないようにする。PDN−GW110は、管理するIPアドレスにのみパケットを転送するため、IPアドレスCへの攻撃パケットはPDN−GW110止まりで廃棄され、無線通信システム内へ転送されることはない。
IPアドレスCは攻撃停止後あるいは一定時間経過後に保留を解除し、再び他の端末122、132、142に割当可能な状態にしてもよい。
このように、攻撃されたIPアドレスを閉塞後、該当IPアドレス宛のパケットが相変わらずホームエージェントまでルーティングされるが、端末122、132、142に割り当てていないIPアドレスへのパケットはホームエージェントが移動体通信システム2〜4内へ転送しない。したがって、移動体通信システム2〜4内の装置及び回線をDoS/DDoS攻撃から守ることができる。
図9は、図8の防御例において、攻撃パケットを活用した攻撃パターンの分析方法を示す説明図である。DoS/DDoS攻撃を受けた動的割当のWiMAX端末142を切断・再接続後、IPアドレスCを持つ端末が存在しなくなるため、IPアドレスC宛のパケットはすべて攻撃パケットとなる。分析部507が、IPアドレスC宛のパケットを分析することにより、攻撃パターンを検出することができる。分析部507は、PDN−GW110の中に内蔵してもよいし、独立した外部装置で実現してもよい。
PDN−GW110は動的割当のWiMAX端末142−1の防御処理を行った後、分析部507に分析開始指示メッセージ511を送信する。分析部507は、分析開始応答メッセージをPDN−GW110に送信する(ステップS92)。その後PDN−GW110はアドレスC宛のパケットを分析部507に転送して、分析部507は、分析処理を実行する(ステップS93)。
分析部507は、分析処理(ステップS93)において、IPアドレスC宛のパケットを廃棄せずに、バッファリングする(ステップS931)。そして、分析部507は、バッファリングされたパケットごとに、IPアドレス解析(ステップS932)、パケット長解析(ステップS933)、ポート番号解析(ステップS934)、および、プロトコル解析(ステップS935)を実行して、解析した送信元IPアドレス、パケット長、TCP/UDPのポート番号、および、IPの上位プロトコルの組み合わせを攻撃パターン情報として攻撃パターン情報テーブル900に保持する。また、異なるパケットで解析結果が同一である場合は、分析部507は、同一の攻撃パターン情報として攻撃パターン情報テーブル900に保持し、件数を計数する。
PDN−GW110は、IPアドレスC宛のパケットが受信されなくなると、攻撃終了と判断し、分析部507に分析停止指示メッセージを送信する(ステップS94)。分析部507は、分析停止指示メッセージに応答して、分析処理を終了する(ステップS95)。
このように、攻撃対象のIPアドレス宛の攻撃パケットを破棄せず、分析部507により分析することでDoS/DDoS攻撃の攻撃パターンを特定することができる。
図10は、DoS/DDoS攻撃の防御例2を示す説明図である。図10では、ホームアドレスが固定割当の場合の防御例を示す。固定割当の場合、端末122、132、142のIPアドレスを変更できないため、PDN−GW110は、制御部506のフィルタリング処理によりパケットのフィルタリングを実施することになる。
PDN−GW110が、たとえば、IPアドレスCへのDoS/DDoS攻撃を検知すると、制御部506にフィルタリング開始指示メッセージを送信する(ステップS101)。フィルタリング開始指示メッセージには端末122、132、142のIPアドレスCなどのセッション情報とレートしきい値が含まれる。制御部506がフィルタリング開始応答すると(ステップS102)、PDN−GW110は、IPアドレスC宛のすべてのパケットを制御部506にリダイレクトし、制御部506は、フィルタリングを実行する(ステップS103)。制御部506のフィルタリング処理(ステップS103)には、一次フィルタリング処理(ステップS1031)、パケット分析フィルタリング処理(ステップS1032)、および、レート制限処理(ステップS1033)がある。
一次フィルタリング処理(ステップS1031)は、分析部507に蓄積された攻撃パターン情報540を定期的に取得し、取得した攻撃パターン情報540に基づきフィルタリング処理を実行する。すなわち、一次フィルタリング処理(ステップS1031)では、攻撃パターン情報に一致するパケットが廃棄される。
一次フィルタリング処理(ステップS1031)においてパケットの通信レートがレートしきい値を下回らない場合、一次フィルタリング失敗と判断する。この場合、制御部506は、パケット分析フィルタリング処理(ステップS1032)により、図9に示したIPアドレス解析(ステップS932)、パケット長解析(ステップS933)、ポート番号解析(ステップS934)、および、プロトコル解析(ステップS935)を実行して、解析した送信元IPアドレス、パケット長、TCP/UDPのポート番号、および、IPの上位プロトコルを攻撃パターン情報として保持する。
一方、一次フィルタリング処理(ステップS1031)においてパケットの通信レートがレートしきい値を下回った場合、一次フィルタリング成功となり、パケット分析フィルタリング処理(ステップS1032)、および、レート制限処理(ステップS1033)を実行することなく、制御部506は転送部503によりパケットを転送する。
パケット分析フィルタリング処理(ステップS1032)後でも通信レートがレートしきい値を下回らない場合、パケット分析フィルタリング失敗と判断し、制御部506は、レート制限処理(ステップS1033)により、強制的にポリシングでレート制限を実施する(ステップS1033)。制限する通信レートはレートしきい値と同様に無線アクセス方式を考慮した値となる(例えば、制限レート=レートしきい値×n%。ただし、0<n≦100)。そして、制御部506は、レート制限処理(ステップS1033)による制限レートを下回るパケットをIPアドレスCが割り当てられたWiMAX端末142−1に転送する。
PDN−GW110はIPアドレスCへのトラフィックを継続監視し、攻撃終了と判断した場合、制御部506にフィルタリング停止指示メッセージを送信する(ステップS104)。制御部506は、フィルタリング停止指示メッセージに応答して、フィルタリング処理を終了する(ステップS105)。フィルタリング処理(ステップS103)は、PDN−GW110内で実行してもよいし、独立した装置で実行してもよい。固定割当の端末の防御方法では、移動体通信システム2〜4内のコア中継装置120、130、140、基地局121、131、141、他の端末122、132、142への影響を抑制することができる。
このように、端末122、132、142のIPアドレスが固定で割り当てられた場合は変更できないため、ホームエージェントはフィルタリング処理(ステップS103)を実施することにより、通信システム内へ転送するパケット数を処理可能な量まで減らし、移動体通信システムをDoS/DDoS攻撃から防御することができる。また、フィルタリングする際に、分析部507にて分析された攻撃パターン情報を利用することもできる。
<レートしきい値の更新例>
つぎに、レートしきい値の更新例について説明する。上述した例では、レートしきい値は、図6に示した通信レートテーブル600を参照して取得した下り最大通信レートに安全率を乗じた値である。これに対し、更新部808は、PDN−GW110が決定した初期のレートしきい値や更新後のレートしきい値を、端末からの正常時の通信レートの通知を受けることにより更新する。
つぎに、レートしきい値の更新例について説明する。上述した例では、レートしきい値は、図6に示した通信レートテーブル600を参照して取得した下り最大通信レートに安全率を乗じた値である。これに対し、更新部808は、PDN−GW110が決定した初期のレートしきい値や更新後のレートしきい値を、端末からの正常時の通信レートの通知を受けることにより更新する。
図11は、実施例2にかかるレートしきい値の決定例を示す説明図である。PDN−GW110はセッション情報管理テーブル310にて、端末122、132、142の正常な通信レートを常に管理する。PDN−GW110はバーストを考慮し、通常な通信レートに安全率を示す係数n%を乗じてDoS/DDoS攻撃を判別するためのレートしきい値として転送部503に通知する。図9では、WiMAXを例にあげて説明するが、LET、EVDOでも同様である。
WiMAX端末142は、常時自身の通信レートを測定し、通信可能な正常な通信レートをPDN−GW110に正常通信レート報告メッセージで通知する(ステップS111)。PDN−GW110は正常通信レート報告メッセージに応答する(ステップS112)。
WiMAX端末142は、移動などにより無線環境が変化し、正常な通信レートがあらかじめ設定された変動範囲外になった場合、当該変化を検知する(ステップS114)。そして、端末は、変化後の正常通信レートを含む正常通信レート報告を、PDN−GW110に通知する(ステップS115)。PDN−GW110は、更新部508により、セッション情報管理テーブル310における該当端末の正常通信レートを更新し(ステップS116)、正常通信レート報告に応答する(ステップS117)。
このように、端末122、132、142側からの通常通信レート報告をトリガにしてレートしきい値を更新することにより、レートしきい値を動的に変更することができ、無線状況に応じて円滑な通信を行うことが可能となる。
以上説明したように、本実施例は、移動体通信システム2〜4内の端末122、132、142に割り当てたIPアドレスへのDoS/DDoS攻撃の判定基準となるレートしきい値を、移動体通信システム2〜4の無線アクセス方式に応じて決定する。これにより、移動体通信システム2〜4内の端末122、132、142へのDoS/DDoS攻撃の検出を移動体通信システム2〜4の前段にて容易に実行することができる。
なお、本発明は前述した実施例に限定されるものではなく、添付した特許請求の範囲の趣旨内における様々な変形例及び同等の構成が含まれる。例えば、前述した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに本発明は限定されない。また、ある実施例の構成の一部を他の実施例の構成に置き換えてもよい。また、ある実施例の構成に他の実施例の構成を加えてもよい。また、各実施例の構成の一部について、他の構成の追加・削除・置換をしてもよい。
また、前述した各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等により、ハードウェアで実現してもよく、プロセッサがそれぞれの機能を実現するプログラムを解釈し実行することにより、ソフトウェアで実現してもよい。
各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリ、ハードディスク、SSD(Solid State Drive)等の記憶装置、又は、ICカード、SDカード、DVD等の記録媒体に格納することができる。
また、制御線や情報線は説明上必要と考えられるものを示しており、実装上必要な全ての制御線や情報線を示しているとは限らない。実際には、ほとんど全ての構成が相互に接続されていると考えてよい。
1 無線通信システム
2 移動体通信システム(LTE)
3 移動体通信システム(EVDO)
4 移動体通信システム(WiMAX)
500 転送装置
501 接続部
502 決定部
503 転送部
504 算出部
505 判定部
506 制御部
507 分析部
508 更新部
510 第1の記憶部
520 第2の記憶部
2 移動体通信システム(LTE)
3 移動体通信システム(EVDO)
4 移動体通信システム(WiMAX)
500 転送装置
501 接続部
502 決定部
503 転送部
504 算出部
505 判定部
506 制御部
507 分析部
508 更新部
510 第1の記憶部
520 第2の記憶部
Claims (12)
- 無線通信装置に第1のアドレスを割り当て、前記第1のアドレスに応じた第1の無線アクセス方式により、前記第1のアドレスが割り当てられた前記無線通信装置と無線通信可能に接続する接続部と、
前記接続部によって接続された第1の無線アクセス方式に従った第1の通信レートを、前記第1のアドレスが攻撃対象であるか否かを判定するしきい値に決定する決定部と、
前記決定部によって決定されたしきい値である前記第1の通信レートにより、前記第1のアドレスを宛先とする第1のパケットを受信して、前記第1のアドレスが割り当てられた前記無線通信装置に転送する転送部と、
を有することを特徴とする転送装置。 - 無線アクセス方式ごとに通信レートを関連付けた対応情報を記憶する記憶部を有し、
前記決定部は、前記対応情報を参照することにより、前記第1の通信レートを前記しきい値に決定することを特徴とする請求項1に記載の転送装置。 - 前記第1のパケットの受信回数に基づいて、前記第1のアドレスに関する第2の通信レートを算出する算出部と、
前記しきい値と前記算出部によって算出された第2の通信レートとに基づいて、前記第1のアドレスが攻撃対象であるか否かを判定する判定部と、
前記判定部によって判定された判定結果に基づいて、前記転送部による転送を制御する制御部と、
を有することを特徴とする請求項1に記載の転送装置。 - 前記接続部は、前記第1のアドレスが動的に変更可能なアドレスであり、かつ、前記判定部によって前記第1のアドレスが攻撃対象であると判定された場合、前記第1の無線アクセス方式による接続を切断するとともに、前記第1のアドレスとは異なる第2のアドレスを前記無線通信装置に割り当て、前記第2のアドレスに応じた第2の無線アクセス方式により、前記第2のアドレスが割り当てられた前記無線通信装置と無線通信可能に接続し、
前記制御部は、前記転送部を制御して、前記第2のアドレス宛先とする第2のパケットを受信して、前記第2のアドレスが割り当てられた前記無線通信装置に転送することを特徴とする請求項3に記載の転送装置。 - 前記制御部は、前記第1のパケットを廃棄するように制御することを特徴とする請求項4に記載の転送装置。
- 前記接続部により前記無線通信装置に前記第2のアドレスが割り当てられた後に受信される前記第1のパケットを分析し、分析結果を攻撃パターンとなるパケットの特徴情報として格納する分析部を有することを特徴とする請求項4に記載の転送装置。
- 前記攻撃パターンとなるパケットの特徴情報を記憶する記憶部を有し、
前記制御部は、前記転送部を制御して、前記受信パケットのうち、前記特徴情報を参照して前記攻撃パターンに該当すると判断されなかった前記受信パケットを、前記受信パケットの宛先となるアドレスが割り当てられた無線通信装置に転送することを特徴とする請求項6に記載の転送装置。 - 攻撃パターンとなるパケットの特徴情報を記憶する記憶部と、
前記制御部は、前記転送部を制御して、前記第1のパケットのうち、前記特徴情報を参照して前記攻撃パターンに該当すると判断されなかった前記第1のパケットを、前記第1のアドレスが割り当てられた前記無線通信装置に転送することを特徴とする請求項1に記載の転送装置。 - 前記制御部は、前記第1のパケットのうち、前記分析部によって前記攻撃パターンに該当すると判断された前記第1のパケットを廃棄することを特徴とする請求項8に記載の転送装置。
- アドレスごとの通信レートを更新する更新部を有し、
前記更新部は、前記無線通信装置が測定した前記第1の無線アクセス方式による第3の通信レートを含む情報を前記無線通信装置から受信した場合、前記第1の通信レートと前記第3の通信レートとの差分に基づいて、前記第1の通信レートを前記第3の通信レートに更新し、
前記決定部は、前記更新部による更新後の通信レートである前記第3の通信レートを前記しきい値に決定することを特徴とする請求項1に記載の転送装置。 - 受信したパケットを転送する転送装置による転送方法であって、
前記転送装置は、
無線通信装置に第1のアドレスを割り当て、前記第1のアドレスに応じた第1の無線アクセス方式により、前記第1のアドレスが割り当てられた前記無線通信装置と無線通信可能に接続する接続処理と、
前記接続処理によって接続された第1の無線アクセス方式に従った第1の通信レートを、前記第1のアドレスが攻撃対象であるか否かを判定するしきい値に決定する決定処理と、
前記決定処理によって決定されたしきい値である前記第1の通信レートにより、前記第1のアドレスを宛先とする第1のパケットを受信して、前記第1のアドレスが割り当てられた前記無線通信装置に転送する転送処理と、
を実行することを特徴とする転送方法。 - 受信したパケットを転送する転送装置のメモリに格納された転送プログラムであって、
前記転送装置内のプロセッサに、
無線通信装置に第1のアドレスを割り当て、前記第1のアドレスに応じた第1の無線アクセス方式により、前記第1のアドレスが割り当てられた前記無線通信装置と無線通信可能に接続する接続処理と、
前記接続処理によって接続された第1の無線アクセス方式に従った第1の通信レートを、前記第1のアドレスが攻撃対象であるか否かを判定するしきい値に決定する決定処理と、
前記決定処理によって決定されたしきい値である前記第1の通信レートにより、前記第1のアドレスを宛先とする第1のパケットを受信して、前記第1のアドレスが割り当てられた前記無線通信装置に転送する転送処理と、
を実行させることを特徴とする転送プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013256651A JP2015115794A (ja) | 2013-12-12 | 2013-12-12 | 転送装置、転送方法、および、転送プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013256651A JP2015115794A (ja) | 2013-12-12 | 2013-12-12 | 転送装置、転送方法、および、転送プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015115794A true JP2015115794A (ja) | 2015-06-22 |
| JP2015115794A5 JP2015115794A5 (ja) | 2016-03-24 |
Family
ID=53529217
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013256651A Pending JP2015115794A (ja) | 2013-12-12 | 2013-12-12 | 転送装置、転送方法、および、転送プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2015115794A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2020025220A (ja) * | 2018-08-08 | 2020-02-13 | 株式会社Nttドコモ | 制御装置 |
| JP2021512538A (ja) * | 2018-01-29 | 2021-05-13 | コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. | Bluetooth(登録商標)ベースのipv6低電力ネットワーキング |
| JP2022514172A (ja) * | 2018-11-30 | 2022-02-10 | シスコ テクノロジー,インコーポレイテッド | 相乗的なdnsセキュリティ更新 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004320132A (ja) * | 2003-04-11 | 2004-11-11 | Sharp Corp | 無線通信システム |
| JP2009124505A (ja) * | 2007-11-15 | 2009-06-04 | Ntt Docomo Inc | 移動通信端末、データ送信方法、通信装置及びデータ受信方法 |
| JP2010510736A (ja) * | 2006-11-24 | 2010-04-02 | パナソニック株式会社 | ホーム・エージェントに対するサービス妨害攻撃を緩和する方法 |
| WO2011152052A1 (ja) * | 2010-06-02 | 2011-12-08 | パナソニック株式会社 | 通信制御装置およびパケットフィルタリング方法 |
| JP2013009185A (ja) * | 2011-06-24 | 2013-01-10 | Nippon Telegr & Teleph Corp <Ntt> | 通信監視システム及び方法及び通信監視装置及び仮想ホスト装置及び通信監視プログラム |
-
2013
- 2013-12-12 JP JP2013256651A patent/JP2015115794A/ja active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004320132A (ja) * | 2003-04-11 | 2004-11-11 | Sharp Corp | 無線通信システム |
| JP2010510736A (ja) * | 2006-11-24 | 2010-04-02 | パナソニック株式会社 | ホーム・エージェントに対するサービス妨害攻撃を緩和する方法 |
| JP2009124505A (ja) * | 2007-11-15 | 2009-06-04 | Ntt Docomo Inc | 移動通信端末、データ送信方法、通信装置及びデータ受信方法 |
| WO2011152052A1 (ja) * | 2010-06-02 | 2011-12-08 | パナソニック株式会社 | 通信制御装置およびパケットフィルタリング方法 |
| JP2013009185A (ja) * | 2011-06-24 | 2013-01-10 | Nippon Telegr & Teleph Corp <Ntt> | 通信監視システム及び方法及び通信監視装置及び仮想ホスト装置及び通信監視プログラム |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2021512538A (ja) * | 2018-01-29 | 2021-05-13 | コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. | Bluetooth(登録商標)ベースのipv6低電力ネットワーキング |
| JP7486424B2 (ja) | 2018-01-29 | 2024-05-17 | コーニンクレッカ フィリップス エヌ ヴェ | Bluetooth(登録商標)ベースのipv6低電力ネットワーキング |
| JP2020025220A (ja) * | 2018-08-08 | 2020-02-13 | 株式会社Nttドコモ | 制御装置 |
| JP7037452B2 (ja) | 2018-08-08 | 2022-03-16 | 株式会社Nttドコモ | 制御装置 |
| JP2022514172A (ja) * | 2018-11-30 | 2022-02-10 | シスコ テクノロジー,インコーポレイテッド | 相乗的なdnsセキュリティ更新 |
| JP7373560B2 (ja) | 2018-11-30 | 2023-11-02 | シスコ テクノロジー,インコーポレイテッド | 相乗的なdnsセキュリティ更新 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11671402B2 (en) | Service resource scheduling method and apparatus | |
| US20210250771A1 (en) | Method For Determining Class Information And Apparatus | |
| EP2615793A1 (en) | Methods and systems for protecting network devices from intrusion | |
| JP6097411B2 (ja) | データ送信方法、装置及びシステム | |
| CN107666473B (zh) | 一种攻击检测的方法及控制器 | |
| CN104301066A (zh) | 数据包传输方法及装置 | |
| CN106533973B (zh) | 分发业务消息的方法、设备和系统 | |
| US11895533B2 (en) | Method for controlling connection between terminal and network, and related apparatus | |
| JP6422677B2 (ja) | ネットワーク中継装置、同装置を用いたDDoS防御方法および負荷分散方法 | |
| CN113692753B (zh) | 网络装置和在网络装置中实现的搜索边缘服务的方法 | |
| US9450880B2 (en) | Load condition based transfer of processing responsibility | |
| CN106534301A (zh) | 网络出站负载均衡方法及装置 | |
| US10321355B2 (en) | Access node, mobility management network element, and paging message processing method | |
| JP2015115794A (ja) | 転送装置、転送方法、および、転送プログラム | |
| US10405233B2 (en) | Enhanced overload protection in a telecommunications network | |
| CN106470421A (zh) | 一种防止恶意终端非法占用核心网资源的方法和设备 | |
| US20220286853A1 (en) | Mobility management for aggressive devices | |
| KR101351607B1 (ko) | 복수의 호스트와 서버간의 패킷의 전송을 제어하는 방법 및 부하 분산 장치, 그리고 부하 분산 장치로부터 패킷을 수신하는 방법 및 서버 | |
| JP5670937B2 (ja) | 端末接続管理システム | |
| JP2007028268A (ja) | 不正パケットを送信する端末の帯域割当を制限する基地局、システム及び方法 | |
| US20230164149A1 (en) | Causing or preventing an update to a network address translation table | |
| KR20120012229A (ko) | 불필요한 패킷 송수신 차단 장치 및 그 방법 | |
| EP4181554A1 (en) | Traffic control server and method | |
| CN115277632B (zh) | 查询、信息处理方法、装置及通信设备 | |
| JP6740189B2 (ja) | 通信制御装置、通信制御方法、及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160208 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160208 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20161124 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20161220 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20170620 |