JP2015231131A - ネットワーク中継装置、同装置を用いたDDoS防御方法および負荷分散方法 - Google Patents
ネットワーク中継装置、同装置を用いたDDoS防御方法および負荷分散方法 Download PDFInfo
- Publication number
- JP2015231131A JP2015231131A JP2014116303A JP2014116303A JP2015231131A JP 2015231131 A JP2015231131 A JP 2015231131A JP 2014116303 A JP2014116303 A JP 2014116303A JP 2014116303 A JP2014116303 A JP 2014116303A JP 2015231131 A JP2015231131 A JP 2015231131A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- network
- condition
- address
- relay device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 ネットワークセキュリティに関する情報を迅速に取り込み、DDoS攻撃を防御したり、ネットワークサーバの効果的な負荷分散を可能にすること。【解決手段】パケットに関する検出条件と識別コードを格納する運用側・待機側を相補的に切替可能なテーブルと、前記テーブルの運用側と待機側とを切り替えるテーブル切替手段と、外部から検出条件を入力し待機側のテーブルに登録するパケット条件登録手段と、一の機器から他の機器宛のパケットを受信するパケット受信手段と、受信パケットを運用側のテーブルのパケット条件に該当するか否かを判定する照合手段と、判定の結果パケット条件に該当する場合は、該条件に対応する処理内容を実行するパケット処理手段と、検出条件の入力周期等によって異常を検知する監視手段とを備え、前記テーブル切替手段は、監視手段による異常検知により前記テーブルの運用側と待機側とを切り替える。【選択図】 図1
Description
本発明は、IP(Internet Protocol)ネットワーク上に設置される装置および方式に係り、特にIPネットワーク上を流れるパケット情報をチェックし、送信元から受信のパケットを廃棄、或いは装置が複数持っている物理ポートへの割り振りを行うネットワーク中継装置、同装置を用いたDDoS防御方法および負荷分散方法に関する。
従来、IPネットワーク上に設置されるウェブサーバではDDoS(Distributed Denial of Service)のようなサイバー攻撃に対してはサーバ自体やサーバ前段に設置されたファイアウォールのアプリケーション・ゲートウェイ処理により通過パケットを予めサーバやファイアウォール上に登録されたセキュリティーポリシーに基づいて廃棄、拒否処理するというフィルタリング方式で攻撃パケットをブロックする方式が提案されてきた。
さらに上記方式に対して、特許文献1ではファイアウォールの中に仮想ネットワークデバイスを介挿することにより、ファイアウォールにIPアドレスを割り振らずに済み、ファイアウォール自身の外部ネットワークからのステルス性を確保している。また、特許文献2では攻撃パケットを廃棄、拒否処理する方法として、ゲートウェイサーバやファイアウォール内でOSI参照モデルにおける低階層のパケットフィルタリングをアプリケーション・ゲートウェイ処理の前段で実施することで、大量パケット処理の負荷軽減を図っている。
さらに上記方式に対して、特許文献1ではファイアウォールの中に仮想ネットワークデバイスを介挿することにより、ファイアウォールにIPアドレスを割り振らずに済み、ファイアウォール自身の外部ネットワークからのステルス性を確保している。また、特許文献2では攻撃パケットを廃棄、拒否処理する方法として、ゲートウェイサーバやファイアウォール内でOSI参照モデルにおける低階層のパケットフィルタリングをアプリケーション・ゲートウェイ処理の前段で実施することで、大量パケット処理の負荷軽減を図っている。
従来の方式の特許文献 1においては、ステルス性を確保するためにファイアウォールのカーネル空間内に仮想ネットワークドライバを設けている。これは直接ファイアウォールを指定されて攻撃を受けることがないという利点はあるが、DDoSのようなサイバー攻撃において大量の数のコンピュータから送信されるパケットに対しては、その処理する際の負荷のため、ファイアウォール自体の動作が遅延、あるいは停止させられ、ネットワーク経由で提供するサービスの停止に追い込まれかねない。特許文献 2においても、依然アプリケーション・ゲートウェイ処理を利用してフィルタリング動作を行うため、パケットの処理負荷からは免れることはない。
本発明はかかる従来の問題に鑑みてなされたものであり、ネットワークの外部との通信において、送受信されるパケットを監視し、サービス品質を落とすことなくブロックリストに登録されたIPアドレス情報を含む送受信パケットを抽出し、ステルス性を確保しながら抽出パケットを廃棄してDDoSのようなサイバー攻撃からネットワーク内のサーバやネットワーク機器を防御し、またステルス性はなくなるが、IPアドレス振り分けリストや帯域制限設定を基に装置が複数持っている物理ポートへの受信パケットを割り振ることにより、並列でサービスを提供する複数サーバへの負荷を分散して、サービス提供の機会損失を限定されたサーバにとどめるネットワーク中継装置、同装置を用いたDDoS防御方法および負荷分散方法の提供を目的とする。
上記目的を達成するため、本発明に係るネットワーク中継装置は、ネットワークを介して通信するネットワーク機器間に設置され、前記ネットワーク機器間で送受信されるデータを中継するネットワーク中継装置であって、
パケットに関する検出条件と検出条件ごとの識別コードを格納する運用側と待機側とを相補的に切替可能な検出条件格納テーブルと、前記検出条件格納テーブルの運用側と待機側とを切り替えるテーブル切替手段と、外部から前記検出条件を入力し待機側の前記検出条件格納テーブルに登録するパケット条件登録手段と、一のネットワーク機器から他のネットワーク機器宛のパケットを受信するパケット受信手段と、前記パケット受信手段によって受信されたパケットを運用側の前記検出条件格納テーブルのパケット条件に該当するか否かを判定する照合手段と、前記照合手段による判定の結果、パケット条件に該当する場合は、該パケット条件に対応する処理内容を実行するパケット処理手段と、外部からの前記検出条件の入力周期、処理負荷あるいはパケットのトラフィック(ネットワーク負荷)によって異常を検知する監視手段と、を備え、
前記テーブル切替手段は、外部からの切替指令又は前記監視手段による異常検知により前記検出条件格納テーブルの運用側と待機側とを切り替えることを特徴とする。
パケットに関する検出条件と検出条件ごとの識別コードを格納する運用側と待機側とを相補的に切替可能な検出条件格納テーブルと、前記検出条件格納テーブルの運用側と待機側とを切り替えるテーブル切替手段と、外部から前記検出条件を入力し待機側の前記検出条件格納テーブルに登録するパケット条件登録手段と、一のネットワーク機器から他のネットワーク機器宛のパケットを受信するパケット受信手段と、前記パケット受信手段によって受信されたパケットを運用側の前記検出条件格納テーブルのパケット条件に該当するか否かを判定する照合手段と、前記照合手段による判定の結果、パケット条件に該当する場合は、該パケット条件に対応する処理内容を実行するパケット処理手段と、外部からの前記検出条件の入力周期、処理負荷あるいはパケットのトラフィック(ネットワーク負荷)によって異常を検知する監視手段と、を備え、
前記テーブル切替手段は、外部からの切替指令又は前記監視手段による異常検知により前記検出条件格納テーブルの運用側と待機側とを切り替えることを特徴とする。
本発明では、監視手段による異常検知によって、検出条件格納テーブルの待機側を運用側に切り替えるので、検出条件を提供する外部の装置自体がDDoS等のサイバー攻撃を受けても最新の情報でパケット処理を行うことが可能になり、ネットワークセキュリティを向上させることができる。
なお、IPアドレスあるいはIPアドレス範囲ごとにトラフィックの閾値や異常の種別によって処理内容を変える処理内容実行テーブルを設け、パケット処理手段は当該テーブルを参照して処理内容を実行するようにしても良い。
本発明に係るDDoS防御方法は前記ネットワーク中継装置を用いてネットワーク機器をDDoS攻撃から防御する方法であって、前記ネットワーク中継装置の上位側の物理ポートは上位ネットワークと接続し、前記ネットワーク中継装置の下位側の一または二以上の物理ポートはネットワーク機器と接続し、前記検出条件格納テーブルはパケット条件としてDDoS攻撃のIPアドレス情報を保存し、前記パケット処理手段は上位側の物理ポートからの受信パケットの送信元IPアドレスがDDoS攻撃のIPアドレス情報に該当する場合は、当該受信パケットを廃棄することを特徴とする。
また、本発明に係る負荷分散方法は、前記ネットワーク中継装置に、さらに物理ポートの通信帯域を制限する帯域制限手段を設けて、前記パケット処理手段は、送信元IPアドレスに基づいて、パケットを出力する物理ポートを選択し、前記帯域制限手段は、前記照合手段による判定の結果、パケット条件に該当する場合は、該パケット条件に基づいて前記物理ポートの帯域を制限するようにする。そして、ネットワーク中継装置の上位側ポートはルータを介して上位ネットワークと接続し、ネットワーク中継装置の下位側複数の物理ポートは、それぞれサーバと接続し、前記パケット処理手段は送信元IPアドレスに基づいて前記物理ポートを選択する。これにより下位側物理ポートに繋がる各サーバ間の負荷を効率よく分散させることができる。
上記目的を達成するため、本発明に係るネットワーク中継装置(1)は、ネットワークを介して通信するネットワーク機器間に設置され、前記ネットワーク機器間で送受信されるデータを中継する装置であって、一のネットワーク機器から他のネットワーク機器宛のパケットを受信するパケット受信手段(22)と、外部からパケット条件と各条件に該当した時の処理内容を記したリスト(33)を記憶領域に登録する手段(28)と、前記パケット受信手段によって受信された複数のパケット群を前記リスト上のパケット条件と照合する手段(25)と、前記パケット群が前記リスト上で該当したパケット条件に対応する処理内容に従って前記パケット群の送信処理を行うパケット処理手段(21)と、を備えたことを特徴とする。
これにより、ネットワークを流れるパケットストリーム上で本ネットワーク中継装置上に登録された前記パケット条件と照合し、条件と合致したパケット群に対して前記処理内容を実行することができる。ここにおいて、前記パケット条件は発信元のIPアドレス、宛先IPアドレスなどパケット上のIPヘッダ部に記載される情報を項目として利用できる。なお、前記パケット条件として設定されるIPアドレスにはIPv4だけでなく、IPv6も利用できる。これによりIPv4に比べて膨大なアドレス空間が利用できるIPv6のサイバー攻撃についても効果がある。
また、前記処理内容として、パケットの廃棄、通過、或いは複数の物理ポートのうちの1つを選択して送信、などが項目として利用できる。
前記パケット処理手段は、前記処理内容がパケットを廃棄とする場合、該当のパケットに対して送信元側へ(ACKやNACKなどの)応答パケットを返さず、前記処理内容がパケットを通過とする場合は該当のパケットに対して送信元側へ応答パケットを正常に返すように構成するのが好ましい。
また、このパケット処理手段は、一のネットワーク機器から他のネットワーク機器宛にパケット群を転送する際の送信元IPアドレスを本ネットワーク中継装置が前記パケット群を受信した際の送信元IPアドレス情報などに付け替えるIPアドレス情報付け替え処理を実行するようにしても良い。前記処理内容のうちパケットの廃棄と通過の2項目のみを利用する場合には前記IPアドレス情報付け替え処理によって、本ネットワーク中継装置自身にIPアドレスを付与せずにデータを透過的に中継でき、本ネットワーク中継装置は外部から感知不能となるため、本ネットワーク中継装置は外部からのサイバー攻撃を受けず、高いセキュリティ性を保つことができる。加えて、本ネットワーク中継装置が透過的にデータを中継できることから、既存のネットワーク環境下でかつIPv4とIPv6という異なるプロトコルが混在する利用環境下でも他のネットワーク中継装置のIPアドレス情報やルーティング情報の設定を変更することなく本ネットワーク中継装置を利用することができる。
本発明によれば、低い負荷で外部からのパケットを処理できるので、高速処理を必要とする大容量ネットワーク通信においても通信速度への影響を低減し、ネットワーク利用者にストレスを与えない。
また、本発明に係る前記パケット処理手段はOSI参照モデルのIP層(ネットワーク層)とTCP/UDP層(トランスポート層)の条件で前記動作を判断するパケットフィルタリング方式を含むことを特徴とする。
本発明によれば、前記パケット処理手段にて前記動作には受信パケットを前記パケット条件に応じて本ネットワーク中継装置が持つ複数の物理ポートに割り振ることが含まれるが、さらに受信パケットを割り振るポートに通信帯域制限を行うことで、重要性の高い前記パケット条件に合致する場合に多くの通信帯域を与え、攻撃が疑われるような前記パケット条件に合致する場合にパケット条件通信帯域を絞る、という利用が可能になる。このため、大量な通信量となった場合でも効率よく通信帯域を利用することができる。さらに各物理ポートに接続するサーバなどの装置の処理能力に応じた通信帯域を設定することもできる。
なお、前記登録手段は本ネットワーク中継装置のもつ物理ポートごとに通信帯域制限設定を行えるようにし、また、前記パケット処理手段は、前記帯域制限設定に基づき本ネットワーク中継装置のもつ物理ポートごとに通信帯域制限を実施する機能を備えるのが好ましい。
以上説明したように、本発明によれば、サービス品質を落とすことなくブロックリストに登録されたIPアドレス情報を含む送受信パケットを検出して、当該パケットの廃棄等の処理を行うのでDDoSのようなサイバー攻撃からネットワーク内のサーバやネットワーク機器を防御することができる。また送信元IPアドレスによって物理ポートを振り分けると共に各物理ポートの通信帯域の制限を行うので、各物理ポートに繋がり並列でサービスを提供する複数サーバの負荷分散を図ることができる。
以下に本発明に係るネットワーク中継装置の第1の実施の形態を図面を参照しながら説明する。
図1において、本実施の形態によるネットワーク中継装置1は、スイッチ装置2とパケット条件設定手段3とを備えている。スイッチ装置2は、物理ポート31(31a〜31e)、物理ポートとの間で送信処理および受信処理を実行する送受信処理手段22、受信したパケットを一時格納する転送用バッファ23、受信パケットのIPアドレスを検出するIPアドレス検出手段24、検出したIPアドレスが所定の条件に該当するか否かを判定する照合手段25、およびパケットの転送処理や廃棄処理等を実行するパケット処理手段21を備えている。
物理ポート31としては、ネットワークの上位にある機器と接続するためのポート(WAN)と、ネットワークの下位にある機器と接続するための複数のポート(例えばL1〜L4)を有する。このとき、例えば物理ポートL1は、スイッチ装置2の内部設定やデータベースを更新する専用ポート、物理ポートL4はミラーポート、物理ポートL2,L3は下位のネットワーク機器との通信用にするなど物理ポートの役割を決めて構成するようにしても良い。
また、本実施の形態によるスイッチ装置2は、パケットの検出条件とその識別コードを対応付けた検出条件格納テーブル33を備えている。この検出条件格納テーブル33は、テーブル選択用ポインタ26によって運用側と待機側が相補的に切替可能な第1のテーブル33aと第2のテーブル33bで構成されている。
スイッチ装置2は、さらにテーブル選択用ポインタ26の内容を書き換えるテーブル切替手段30、パケット条件設定手段3の動作の異常を検知する監視手段29を備えている。
図2は、ネットワーク中継装置1を用いてDDoS攻撃に対処するネットワークシステム構成の一例を示す図である。
ここで、スイッチ装置2の上位側ポート(WAN)はインターネット等への上位ネットワーク6に接続され、下位側ポートはルータ4を介して複数のネットワーク機器5に接続されている。
パケット条件設定手段3は、パーソナルコンピュータなどの汎用コンピュータや携帯端末、あるいは専用端末で構成することができる。なお、パケット条件設定手段3はスイッチ装置2の一機能としてスイッチ装置2と一体で構成するようにしても良い。
ここで、スイッチ装置2の上位側ポート(WAN)はインターネット等への上位ネットワーク6に接続され、下位側ポートはルータ4を介して複数のネットワーク機器5に接続されている。
パケット条件設定手段3は、パーソナルコンピュータなどの汎用コンピュータや携帯端末、あるいは専用端末で構成することができる。なお、パケット条件設定手段3はスイッチ装置2の一機能としてスイッチ装置2と一体で構成するようにしても良い。
以下、パケット条件設定手段は3、スイッチ装置2とは別に単独で上位ネットワーク6と繋がり、スイッチ装置2とは専用I/F35(例えばUSB、WiFi)で繋がる場合について説明する。
なお、スイッチ装置2は、OSI参照モデルの第2層レベルのスイッチング処理を実行する機能を有し、ルータ4はOSI参照モデルの第3層レベルのルーティング機能を有しており、これらの機能は既存の技術を使うものとして説明を省略する。
なお、スイッチ装置2は、OSI参照モデルの第2層レベルのスイッチング処理を実行する機能を有し、ルータ4はOSI参照モデルの第3層レベルのルーティング機能を有しており、これらの機能は既存の技術を使うものとして説明を省略する。
本実施の形態によるスイッチ装置2は、受信したパケットを転送用バッファ23に一時格納すると共に、IPアドレス検出手段24によって受信パケットの送信元IPアドレスおよび宛先IPアドレスを検出する。
一方、テーブル選択用ポインタ26には、運用側の検出条件格納テーブル33のメモリアドレスが格納されており、照合手段25は、このメモリアドレスをもとに、運行側の検出条件格納テーブル33にアクセスして検出条件を読み出す。
検出条件として例えば、IPアドレス、プロトコル番号、ポート番号(TCP,UDPの場合)、スループットに関するパケット閾値を設定することができる。図3は、検出条件格納テーブルのデータ例である。検出条件として、検出すべき項目(IPアドレス又はIPアドレスの範囲),識別コード,および処理内容(パケットの通過もしくは廃棄)が保存されている。
なお、IPアドレスに関する識別コードとしては次のものがある。
1)地域別(たとえば国別)にIPアドレスを分類した各地域の識別コード
2)未定義IPアドレスを意味する識別コード
3)ダークネットを意味する識別コード
4)DDoSの検知,観測されたIPアドレスの識別コード。なお、緊急性などの情報をこの識別コードに含めるようにしても良い。
5)個別にブラックリストを指定した場合の識別コード
上記は識別コードの一例であり、個別に判定条件(例えばフィードバックデータに該当するか否か等)を設けてその識別コードを設けるようにしても良い。
1)地域別(たとえば国別)にIPアドレスを分類した各地域の識別コード
2)未定義IPアドレスを意味する識別コード
3)ダークネットを意味する識別コード
4)DDoSの検知,観測されたIPアドレスの識別コード。なお、緊急性などの情報をこの識別コードに含めるようにしても良い。
5)個別にブラックリストを指定した場合の識別コード
上記は識別コードの一例であり、個別に判定条件(例えばフィードバックデータに該当するか否か等)を設けてその識別コードを設けるようにしても良い。
図3の例で説明すれば、第1行目の"201.XXX.0.0/16"はIPアドレスの範囲として、
"201.XXX.0.0"から16個のアドレスが検出対象となることを示している。
即ち、第1行目のデータである"201.XXX.0.0/16 01 PASS"は、IPアドレスが、
"201.XXX.0.0〜201.XXX.0.15"の範囲内にあって、識別コードが"01" (日本)であればパケットを通過(PASS)させることを意味する。
また、第5行目のデータである"101.XXX.303.44 500 DROP"は、IPアドレスが、
"101.XXX.303.44"であって、識別コードが"500" (マルウェア)であればパケットを廃棄(DROP)することを意味している。
"201.XXX.0.0"から16個のアドレスが検出対象となることを示している。
即ち、第1行目のデータである"201.XXX.0.0/16 01 PASS"は、IPアドレスが、
"201.XXX.0.0〜201.XXX.0.15"の範囲内にあって、識別コードが"01" (日本)であればパケットを通過(PASS)させることを意味する。
また、第5行目のデータである"101.XXX.303.44 500 DROP"は、IPアドレスが、
"101.XXX.303.44"であって、識別コードが"500" (マルウェア)であればパケットを廃棄(DROP)することを意味している。
照合手段25は、受信したパケットが検出条件に該当するか否かを判定し、該当する場合は、その検出条件に対応する識別コード,処理内容,及びIPアドレスをパケット処理手段21に通知する。
パケット処理手段21は、照合手段25から渡された識別コードと処理内容をもとに、図4に例示する処理内容実行テーブル34を参照しながら対応する処理ルーチンを実行する。照合手段25はどの検出条件にも該当しない場合は、識別コードとしてどのコードにも該当しないNULLコードをパケット処理手段21に渡し、パケット処理手段21はOSI参照モデルの通常のスイッチング処理を実行する。
ここで、処理内容実行テーブル34は、図4に示すようにIPアドレス又はその範囲、判定条件、処理内容(パケットの通過もしくは廃棄)、転送IP(転送先のIPアドレス)が保存されている。判定条件の監視閾値(あるいは監視閾値範囲)として、例えばネットワーク負荷(n秒たりのパケット数)を用いることができる。例えば監視閾値(1)を
1,000,000/30秒と設定した場合、図4第1行目のデータはIPアドレスが"201.XXX.0.0 〜201.XXX.0.15"の範囲内にあるパケットを30秒間に1,000,000パケット以上受信すると、IPアドレス"12.XX.0.0"へ転送することを意味している。
1,000,000/30秒と設定した場合、図4第1行目のデータはIPアドレスが"201.XXX.0.0 〜201.XXX.0.15"の範囲内にあるパケットを30秒間に1,000,000パケット以上受信すると、IPアドレス"12.XX.0.0"へ転送することを意味している。
また、第2行目のデータは、異常の種別を意味する異常検出(1)として、例えば、監視手段29によって異常を検出した場合は、廃棄(DROP)することを意味している。例えば、サービスを行っているサーバとの通信応答に一定時間以上の遅延がある場合に異常としてパケットを廃棄することによって、著しくサービスが妨害されるような事態に対処することができる。異常検出は、これに限らず、例えばパケット条件設定手段3との通信が一定時間以上ない場合は異常とするようにしても良い。
なお、同じIPアドレスもしくはIPアドレス範囲に複数の判定条件が設定される場合は、判定条件に優先順位をつけて優先順位の高い処理を実行するのが好ましい。
また、図5に例示する動的テーブル36によって処理内容を実行するようにしても良い。この動的テーブル36は、例えば監視手段29によって追加、削除される。すなわち監視手段29は、あるIPアドレスの一定時間内の受信量が一定値を超えた場合に、そのIPアドレスのパケット情報から動的テーブルを作成して追加し、そのIPアドレスの一定時間内の受信量が一定値以下になった場合に、そのIPアドレスの動的テーブルを削除する。これにより、クラウドデータベース7からDDoS等の情報を取得できない場合や、下位ネットワークの機器がDDoS攻撃を行うような場合でも、そのパケットを通過させないなどの対応が可能になる。なお、図5において、「コントロールフラグ」はパケットの通過(PASS)/廃棄(DROP)および記録処理(SYSLOG出力)の要否を示すフラグである。
パケット処理手段21の処理概要は上述したところであるが、図6を用いてさらに詳しく説明する。
パケット処理手段21の処理概要は上述したところであるが、図6を用いてさらに詳しく説明する。
パケット処理手段21は、パケットを受信すると、まずパケットヘッダ判定処理(ステップS1〜ステップS12)を実行する。このパケットヘッダ判定処理は、パケットヘッダのみによって一律、通過(PASS)させるか、あるいは廃棄(DROP)するかを決定するものであって、通常は初期設定されるものである。
パケット処理手段21は、パケットヘッダ判定処理の後、識別コード判定処理を実行する。識別コード判定処理として、パケット処理手段21は、まず照合手段25から渡された識別コードが有るかどうか、即ち識別コードがNULLでないかどうかを判定し(S13)、NULLで無い場合は(S13で「YES」)、記録処理をするか否かを判定し(S14)、記録処理をする場合は、パケットの記録を保存する(S15)。そして識別コードに対応する処理内容が廃棄(DROP)か否かを判定する(S16)。その結果、処理内容が廃棄(DROP)の場合は(S16で「YES」)転送用バッファ23をクリアする。
一方、ステップS16において、処理内容が廃棄(DROP)でない場合は(S16で「NO」)、次に処理内容実行テーブル34にアクセスして、当該IPアドレスに対応する判定条件が設定されている場合は、その判定条件に該当するか否かを判定し(S17)、該当する場合は(S17で「YES」)、その判定条件に対応する処理内容が廃棄(DROP)か否かを判定する(S18)。そして廃棄(DROP)が設定されている場合は(S18で「YES」)、転送用バッファ23をクリアすると共に、記録処理手段27を介してパケットの記録を保存する(S19)。ステップS18の判定の結果、処理内容が廃棄(DROP)でない場合は(S18で「NO」)、次に転送IPの設定がされているか否かを判定し(S20)、転送IPが設定されている場合はその転送先へ送信する(S21)。
パケット処理手段21は、上記の識別コード判定処理の後、動的テーブルマッチング判定処理を実行する。パケット処理手段21は、まず動的テーブル36にアクセスして、パケットデータが動的テーブルの値と一致するか否かを判定し(S22)、一致する場合は、記録処理をするか否かを判定し(S23)、記録処理をする場合は、パケットの記録を保存する(S24)。次にパケット処理手段21は動的テーブル36のコントロールフラグが廃棄(DROP)になっているか否かを判定する(S25)。その結果、廃棄(DROP)になっている場合は、転送用バッファ23をクリアする。
そして、パケット処理手段21は、ステップS22においてどの動的テーブル36にもマッチングしない場合、あるいはステップS25において廃棄(DROP)でない場合は、通過(PASS)処理を実行する(S26)。
以上パケット処理手段21の処理手順について説明した。
以上パケット処理手段21の処理手順について説明した。
次に検出条件格納テーブル33の更新処理について説明する。
パケット条件設定手段3は、上位ネットワークを介して繋がる一又は二以上のデータベース(たとえばクラウドデータベース)7から、DDoS攻撃などの予測情報や、ダークネット情報などのネットワークセキュリティに関する情報を受け取る。パケット条件設定手段3は、例えばDDoS攻撃を受けている地域やDDoS攻撃を行っているIPアドレス情報をクラウドデータベース7から受け取るとそれを逐次メモリ(図示せず)に保存していく。検出条件のIPアドレス情報としては、たとえばIPアドレス内の地域などを特定するビット位置で管理することができる。そして、パケット条件設定手段3は、DDoS攻撃を受けている地域が一定の範囲に近づいたり、あるいはDDoS攻撃の頻度が一定値以上になると、検出条件としてIPアドレス情報とDDoS攻撃であることを示す識別コードとをスイッチ装置2へ送る。パケット条件設定手段3は、ダークネットなどの情報については更新の都度スイッチ装置2へ送る。なお、パケット条件設定手段3からスイッチ装置2へ送信するデータとしては、前回送信時の差分のみを送るようにすると効率が良い。この場合、パケット条件設定手段3の電源投入後、あるいはリセット直後の最初の送信は検出条件格納テーブル33に登録すべき全データを送る必要がある。
パケット条件設定手段3は、上位ネットワークを介して繋がる一又は二以上のデータベース(たとえばクラウドデータベース)7から、DDoS攻撃などの予測情報や、ダークネット情報などのネットワークセキュリティに関する情報を受け取る。パケット条件設定手段3は、例えばDDoS攻撃を受けている地域やDDoS攻撃を行っているIPアドレス情報をクラウドデータベース7から受け取るとそれを逐次メモリ(図示せず)に保存していく。検出条件のIPアドレス情報としては、たとえばIPアドレス内の地域などを特定するビット位置で管理することができる。そして、パケット条件設定手段3は、DDoS攻撃を受けている地域が一定の範囲に近づいたり、あるいはDDoS攻撃の頻度が一定値以上になると、検出条件としてIPアドレス情報とDDoS攻撃であることを示す識別コードとをスイッチ装置2へ送る。パケット条件設定手段3は、ダークネットなどの情報については更新の都度スイッチ装置2へ送る。なお、パケット条件設定手段3からスイッチ装置2へ送信するデータとしては、前回送信時の差分のみを送るようにすると効率が良い。この場合、パケット条件設定手段3の電源投入後、あるいはリセット直後の最初の送信は検出条件格納テーブル33に登録すべき全データを送る必要がある。
スイッチ装置2のパケット条件登録手段28は、パケット条件設定手段3から送られてくる検出条件ごとの識別コードを受信すると、テーブル選択用ポインタ26を参照して、待機側の検出条件格納テーブル33に逐次登録する。なお、テーブル選択用ポインタ26としては、運用側,待機側の検出条件格納テーブル33のメモリアドレスを直接指定するようにしても良いし、運用側の識別情報として例えば、「0」又は「1」の情報のみを記憶し、「0」ならば第1のテーブル33a,「1」ならば第2のテーブル33bが運用側であると解釈してアクセスし、待機側はその逆の意味合いで解釈してアクセスするようにしても良い。
パケット条件設定手段3は、一連の更新データの送信が完了すると、切替指令を送信する。スイッチ装置2のパケット条件登録手段28は、切替指令を受信すると、テーブル切替手段30を介してテーブル選択用ポインタ26のポインタ値を書き換えて、運用側,待機側を切り替えると共に、新たな運用側の検出条件格納テーブル33の内容を待機側の検出条件格納テーブル33にコピーする。これにより差分伝送が可能になる。
この一連の処理により、パケット処理手段21は、常に最新の情報を格納する動作側の検出条件格納テーブル33にアクセスでき、スイッチ装置2は、DDoS攻撃等にリアルタイムで対応することができ、ネットワークセキュリティを向上させることができる。
この一連の処理により、パケット処理手段21は、常に最新の情報を格納する動作側の検出条件格納テーブル33にアクセスでき、スイッチ装置2は、DDoS攻撃等にリアルタイムで対応することができ、ネットワークセキュリティを向上させることができる。
DDoS攻撃のIPアドレス情報としては、国等の地域などでグループ化して設定するようにすれば、メモリ空間の節約になり検索時間の短縮を図ることができる。その一方で、このようなグループ化は、本来制限すべき必要の無い外部ネットワーク機器との通信も遮断してしまう可能性がある。このため、DDoS攻撃の可能性が低くなった場合は、速やかに規制対象から外すのが好ましい。
ところで、上述したようにパケット条件設定手段3は上位ネットワークを通してクラウドデータベース7からDDoS攻撃等のセキュリティ情報を取得するので、パケット条件設定手段3自身がDDoS攻撃を受ける可能性がある。検索条件の更新中にDDoS攻撃を受けてしまうと、高負荷になってしまい、切替指令を送ることができなくなったり、送信タイミングが遅延する可能性がある。
このため本実施の形態では、監視手段29によって、パケット条件設定手段3から周期的に受信があるか否かを監視し、一定時間以上パケット条件設定手段3からの受信が無い場合はテーブル切替手段30を起動してテーブル選択用ポインタ26のポインタ値を書き換える。これにより、検索条件の更新中にパケット条件設定手段3がDDoS攻撃を受けた場合でも検出条件格納テーブル33の運用側,待機側を切り替えることができ、スイッチ装置2は、より新しいセキュリティ情報でパケット処理を行うことができる。
記録処理手段27は、検出原因(判断位置,判断コード)、検出した物理ポート、パケットの処理内容(例えば転送したか廃棄したか)、パケットヘッダ情報(プロトコル番号等)、送信元IPアドレス、宛先IPアドレス、フォワーディングIPアドレス、その他予め設定されたネットワークセキュリティ解析に必要な情報を特定のローカルポートから出力したり、パケット条件設定手段3へ送信する。
パケット条件設定手段3は、スイッチ装置2から送られてくるネットワークセキュリティ解析用の情報を受信すると、上位ネットワーク6を介してクラウドデータベース7へ送信する。
以上、本実施の形態によるスイッチ装置2は、自身のIPアドレスを持たないので自身はDDoS攻撃を受けることがなく、本ネットワーク中継装置1に繋がる下位のネットワーク機器5の負荷を低減させることができる。これにより以後の攻撃対象から外れる可能性も高くなる。またDDoSの攻撃に対して、WAN側にセッションテーブルを設けるなどのIPパケットの管理を行う必要がない。
また、本実施の形態のネットワーク中継装置1によれば、パケット条件設定手段3と、スイッチ装置2とを専用I/F35で接続し、検出条件格納テーブル33の周期的な更新の都度テーブル選択用ポインタ26を書き換えるので、パケット処理手段21は、最新のネットワークセキュリティ情報でパケット処理をすることができる。これにより、DDoS攻撃を効果的に防止することができ、また制限処理を特定のIPアドレス空間のみに絞ることにより処理速度を早くすることができる。
さらに本実施の形態によれば、DDoS攻撃の送信元IPアドレス情報を周期的に更新するようにしておき、パケット条件設定手段3がDDoS攻撃の対象となった場合は、スイッチ装置2の監視手段29でテーブル選択用ポインタ26を切り替えるので、スイッチ装置2に繋がる下位のネットワーク機器5をDDoSの攻撃から防ぐことができる。
通常、SYNパケットを受信すると、SYN ACKを返信する。無差別なSYNパケットの送信(SYN攻撃)に対して、SYN ACKを返すことでDDoSが成立する。
本ネットワーク中継装置1は、ネットワークの上位側から下位側へのパケットのみならず、下位側から上位側へのパケットも同様に監視するので無差別攻撃を自ら行わないようにするこができる。
本ネットワーク中継装置1は、ネットワークの上位側から下位側へのパケットのみならず、下位側から上位側へのパケットも同様に監視するので無差別攻撃を自ら行わないようにするこができる。
DDoSの場合、通常はACK確認番号が固定なので、攻撃元IPアドレスおよびDDoSのSYN ACKの確認番号(TCP ACK番号)により、他のネットワーク機器への攻撃も効果的に遮断することができる。即ち、攻撃応答パターンを動的テーブル36に登録しておくことで、攻撃の被害を抑止できるのみならず、加害者にもならないようにすることができる。また、ログを取ることにより攻撃手法の分析、解析を通して、最新の対策が可能になる。さらに、IPヘッダ、TCP/UDPのヘッダのみで判定することにより、高速な処理も可能になる。
(他の実施例1)
上記説明では、図2に示すようにパケット条件設定手段3とスイッチ装置2との間はUSB,WiFi等の専用のインタフェースで接続することとしたが、スイッチ装置2の下位側の物理ポート(例えばL1)に接続して、当該物理ポートを通して検出条件の更新を行うようにしても良い。
上記説明では、図2に示すようにパケット条件設定手段3とスイッチ装置2との間はUSB,WiFi等の専用のインタフェースで接続することとしたが、スイッチ装置2の下位側の物理ポート(例えばL1)に接続して、当該物理ポートを通して検出条件の更新を行うようにしても良い。
このとき、スイッチ装置2に帯域制限手段(図示せず)を設け、各物理ポートの通信帯域を制限できるようにするのが好ましい。なお、帯域制限のしかたは特許文献3などに記載の従来技術を用いることができる。
そして、下位のルータ4に繋がる物理ポートの帯域を優先的に確保し、パケット条件設定手段3に繋がる物理ポートの通信帯域の優先度を最も小さく設定する。これにより、スイッチ装置2の監視手段29による異常検出が早くなりルータ4に繋がる下位のネットワーク機器5への影響を抑えて、DDoS攻撃を効果的に防止することができる。
(他の実施例2)
図7は、パケット条件設定手段3がルータ4を通してクラウドデータベース7と通信を行う場合のシステム構成例である。またパケット条件設定手段3は、クラウドデータベース7から受信した情報をスイッチ装置2のパケット条件設定手段3用に割り当てられた特定ポート(図7の例ではL1)を介してパケット条件登録手段28に送る。
図7は、パケット条件設定手段3がルータ4を通してクラウドデータベース7と通信を行う場合のシステム構成例である。またパケット条件設定手段3は、クラウドデータベース7から受信した情報をスイッチ装置2のパケット条件設定手段3用に割り当てられた特定ポート(図7の例ではL1)を介してパケット条件登録手段28に送る。
このような構成の場合は、パケット条件設定手段3は、グローバルIPアドレスを持つ必要がないが、他の下位側ネットワーク機器5と同じタイミングでDDoSの攻撃に晒されることになる。このような場合でも、待機側の検出条件格納テーブル33を周期的に更新しておき、監視手段29が異常を検知した場合は、テーブル選択用ポインタ26を切り替えるので、予めDDoS攻撃の予報情報を当該検出条件格納テーブル33に保存しておくことにより、ルータ4に繋がるネットワーク機器5をDDoS攻撃から守ることができる。
このとき、他の実施例1で説明したように、スイッチ装置2の各物理ポートに帯域制限を設けるのが好ましい。
このとき、他の実施例1で説明したように、スイッチ装置2の各物理ポートに帯域制限を設けるのが好ましい。
以上は、クラウドデータベース7から受信したデータによって、内部の待機側の検出条件格納テーブル33のデータを書き換えた後に同テーブルを動作側へ切り替えるというものであるが、スイッチ装置2側から取得したセキュリティ解析用の情報をクラウドデータベース7へ送信するようにしても良い。
具体的には、パケット条件設定手段3は、物理ポートL1を介してスイッチ装置2の記録処理手段27から送られてきた解析用情報、例えば転送処理を行ったパケットの送信元IPアドレス、必要により送信先のIPアドレス、およびトラフィック情報等の解析用情報を受信する。パケット条件設定手段3は受信した解析用情報をルータ4を経由してクラウドデータベース7へ送信する。これにより、クラウドデータベース7ではIPアドレスから地域情報を分析することにより、現在どの地域に攻撃を受けているか、また攻撃される地域の移動経路から次に攻撃を受ける危険性の高い地域を割り出して注意情報を通知することができる。
なお、上記説明では、パケット条件設定手段3とスイッチ装置2との間は物理ポートL1を通してデータの受渡しをするようにしたが、図7の破線で示す専用I/F35を通してデータの受渡しを行うようにしても良い。
(他の実施例3)
図8は、オフラインでUSBメモリ8等の外部記憶手段に検出条件や識別コードを含むネットワークセキュリティ情報を保存しておき、スイッチ装置2の専用インタフェースを介して、この情報を読み込むものである。
図8は、オフラインでUSBメモリ8等の外部記憶手段に検出条件や識別コードを含むネットワークセキュリティ情報を保存しておき、スイッチ装置2の専用インタフェースを介して、この情報を読み込むものである。
スイッチ装置2のパケット条件登録手段28は、検出条件と識別コードの全データを読み込み、待機側の検出条件格納テーブル33の更新処理を完了した後に、テーブル切替手段30を介してテーブル選択用ポインタ26を切り替える。
なお、図8においてUSBメモリ8に代えて、USBポートに3GもしくはLTE等の通信機器を繋ぐようにしても良い。そしてこの通信機器をパケット条件設定手段3に接続する。これによりスイッチ装置2は独自のIPアドレスを必要とせずに動作可能になる。
以上、上位側のネットワークから下位側のネットワーク機器5にDDoS攻撃を行う場合について説明したが、本実施の形態のネットワーク中継装置1は、下位側から上位側へ送信する場合のIPアドレスについても同様に扱うことができる。よってクラウドデータベース7から送られてきたネットワークセキュリティ情報により、自装置のIPアドレスが対象となれば、スイッチ装置2のパケット処理手段21は、検出条件格納テーブル33,処理内容実行テーブル34に基づいて廃棄等の処理を行うことができるので、万一ウィルス感染等によってDDoS攻撃を行う立場になったとしても、本ネットワーク中継装置1によって効果的に防止することができ、またそのような事態になったことをパケット条件設定手段3によって速やかにクラウドデータベース7に通知することができるので、ネットワークセキュリティを向上させることができる。
(応用例)
次に、ネットワーク中継装置1の使用方法の応用例を説明する。
ネットワークに繋がるサーバ(例えばWEBサーバ)のフロントエンドに本実施の形態によるネットワーク中継装置1を接続し、外部ネットワークと接続する。ネットワーク中継装置1の処理内容として、当該サーバから送信されるデータについては、送信元が当該サーバのIPアドレス以外のパケットについては全て廃棄する。一方、送信先アドレスが当該サーバとなっている受信データについては、その送信元アドレスのアドレスコードによって、異なるポートに出力するようにする。例えば、送信元アドレスが特定地域のアドレスコードになっている場合は、第1の物理ポートへ転送し、それ以外の地域の場合は第2の物理ポートへ転送する。そして、第1および第2のポートには、それぞれサーバを接続し、アクセスの負荷分散を行う。このとき、各物理ポートの帯域制限を行うようにしても良い。なお、各物理ポートに繋がるサーバには同じIPアドレスを割り付けることができる。
次に、ネットワーク中継装置1の使用方法の応用例を説明する。
ネットワークに繋がるサーバ(例えばWEBサーバ)のフロントエンドに本実施の形態によるネットワーク中継装置1を接続し、外部ネットワークと接続する。ネットワーク中継装置1の処理内容として、当該サーバから送信されるデータについては、送信元が当該サーバのIPアドレス以外のパケットについては全て廃棄する。一方、送信先アドレスが当該サーバとなっている受信データについては、その送信元アドレスのアドレスコードによって、異なるポートに出力するようにする。例えば、送信元アドレスが特定地域のアドレスコードになっている場合は、第1の物理ポートへ転送し、それ以外の地域の場合は第2の物理ポートへ転送する。そして、第1および第2のポートには、それぞれサーバを接続し、アクセスの負荷分散を行う。このとき、各物理ポートの帯域制限を行うようにしても良い。なお、各物理ポートに繋がるサーバには同じIPアドレスを割り付けることができる。
この構成によれば、DDoS攻撃を行う可能性が高い地域を特定地域として上記の設定を行うことにより、特定地域からのDDoS攻撃によりサーバ群全体が機能不全になることを防ぐことができ、サービスの質(QoS)を確保することができる。
また、この構成において、第1の物理ポートに繋がるサーバをハニーポットサーバとし、第2の物理ポートに繋がるサーバをサービスサーバとすれば効果的にDDoS攻撃をかわすことができる。
次に、本発明の第2の実施の形態について説明する。
図9は第2の実施の形態によるネットワーク中継装置1の使用方法の説明図である。なお、ネットワーク中継装置の構成は図1に示す第1の実施の形態と同様であるので説明を割愛する。
図9は第2の実施の形態によるネットワーク中継装置1の使用方法の説明図である。なお、ネットワーク中継装置の構成は図1に示す第1の実施の形態と同様であるので説明を割愛する。
本実施の形態によるシステム構成は、本ネットワーク中継装置1の上位側(WAN側)にルータ4を設置するものである。具体的には、スイッチ装置2の上位側の物理ポート(WAN)はルータ4を介して上位ネットワーク6へ接続する。また、パケット条件設定手段3は上位ネットワーク6に接続し、下位側はスイッチ装置2の物理ポートL1に接続する。スイッチ装置2の下位側の物理ポート(L2〜L4)は、ネットワーク機器5であるサーバ装置にそれぞれ接続する。
このシステム構成において、スイッチ装置2のパケット処理手段21は、検出条件格納テーブル33の地域別情報に基づいて、送信元IPアドレスの地域に応じて物理ポートを選択する。これにより、各サーバ装置は、地域ごとに割り当てられて処理を行うことになる。また、帯域制限手段(図示せず)は、検出条件格納テーブル33のDDoS情報に基づいて、DDoSの発信地域に該当する物理ポートの通信帯域を他の物理ポートに対して小さくする。
この応用例としては、図9の構成において、たとえばDDoS攻撃の可能性が高いと判定された地域から送られてくるパケットは物理ポートL2へ転送し、それ以外の地域から送られてくるパケットは、その発信地域や相手先の重要度によって物理ポートL3,L4で処理するなど動的に物理ポートを切り替えるようにしてもよい。そして、それぞれの物理ポートL2〜L4の帯域も重要度に基づいて制御する。
これにより、特定地域からのアクセスに対して負荷が集中することを防止し、サーバ装置の効果的な負荷分散を実現することができる。
これにより、特定地域からのアクセスに対して負荷が集中することを防止し、サーバ装置の効果的な負荷分散を実現することができる。
なお本発明は上述した実施の形態に限定されることなく、その要旨を逸脱しない範囲で種々変形して実現することができる。
例えば、図2,図9において、パケット条件設定手段3はルータ4が繋がる上位ネットワーク6とは別のネットワーク(専用回線やVPN等)を介してクラウドデータベース7と通信を行うようにしても良い。
例えば、図2,図9において、パケット条件設定手段3はルータ4が繋がる上位ネットワーク6とは別のネットワーク(専用回線やVPN等)を介してクラウドデータベース7と通信を行うようにしても良い。
1 ネットワーク中継装置
2 スイッチ装置
3 パケット条件設定手段
4 ルータ
5 ネットワーク機器
6 上位ネットワーク
7 クラウドデータベース
8 USBメモリ
21 パケット処理手段
22 送受信処理手段
23 転送用バッファ
24 IPアドレス検出手段
25 照合手段
26 テーブル選択用ポインタ
27 記録処理手段
28 パケット条件登録手段
29 監視手段
30 テーブル切替手段
31(31a〜31e) 物理ポート
33(33a,33b) 検出条件格納テーブル
34 処理内容実行テーブル
35 専用I/F
36 動的テーブル
2 スイッチ装置
3 パケット条件設定手段
4 ルータ
5 ネットワーク機器
6 上位ネットワーク
7 クラウドデータベース
8 USBメモリ
21 パケット処理手段
22 送受信処理手段
23 転送用バッファ
24 IPアドレス検出手段
25 照合手段
26 テーブル選択用ポインタ
27 記録処理手段
28 パケット条件登録手段
29 監視手段
30 テーブル切替手段
31(31a〜31e) 物理ポート
33(33a,33b) 検出条件格納テーブル
34 処理内容実行テーブル
35 専用I/F
36 動的テーブル
Claims (6)
- ネットワークを介して通信するネットワーク機器間に設置され、前記ネットワーク機器間で送受信されるデータを中継するネットワーク中継装置であって、
パケットに関する検出条件と検出条件ごとの識別コードを格納する運用側と待機側とを相補的に切替可能な検出条件格納テーブルと、
前記検出条件格納テーブルの運用側と待機側とを切り替えるテーブル切替手段と、
外部から前記検出条件を入力し待機側の前記検出条件格納テーブルに登録するパケット条件登録手段と、
一のネットワーク機器から他のネットワーク機器宛のパケットを受信するパケット受信手段と、
前記パケット受信手段によって受信されたパケットを運用側の前記検出条件格納テーブルのパケット条件に該当するか否かを判定する照合手段と、
前記照合手段による判定の結果、パケット条件に該当する場合は、該パケット条件に対応する処理内容を実行するパケット処理手段と、
外部からの前記検出条件の入力周期、処理負荷あるいはパケットのトラフィックによって異常を検知する監視手段と、を備え、
前記テーブル切替手段は、外部からの切替指令又は前記監視手段による異常検知により前記検出条件格納テーブルの運用側と待機側とを切り替えることを特徴とするネットワーク中継装置。 - 外部ネットワークを介して繋がるデータベースからIPアドレスコードごとの注意情報を入力し、前記検出条件のリストを生成するパケット条件設定手段を備え、
前記パケット条件登録手段は、前記パケット条件設定手段から前記検出条件を入力し、
前記監視手段は、一定時間以上前記パケット条件設定手段からのデータの受信が無いことによって異常を検知することを特徴とする請求項1に記載のネットワーク中継装置。 - 前記パケット処理手段はOSI参照モデルのIP層(ネットワーク層)及び/又はTCP/UDP層(トランスポート層)で前記処理内容を実行し、
予め設定されたIPアドレス宛へ前記パケットを送信する処理を実行することを特徴とする請求項1または2に記載のネットワーク中継装置。 - 物理ポートの通信帯域を制限する帯域制限手段を備え、
前記パケット処理手段は、送信元IPアドレスに基づいて、パケットを出力する物理ポートを選択し、
前記帯域制限手段は、前記照合手段による判定の結果、パケット条件に該当する場合は、該パケット条件に基づいて前記物理ポートの帯域を制限することを特徴とする請求項1乃至3のいずれか一項に記載のネットワーク中継装置。 - 請求項1乃至4のいずれか一項に記載のネットワーク中継装置を用いてネットワーク機器をDDoS攻撃から防御する方法であって、前記ネットワーク中継装置の上位側の物理ポートは上位ネットワークと接続し、前記ネットワーク中継装置の下位側の一または二以上の物理ポートはネットワーク機器と接続し、前記検出条件格納テーブルはパケット条件としてDDoS攻撃のIPアドレス情報を保存し、前記パケット処理手段は上位側の物理ポートからの受信パケットの送信元IPアドレスがDDoS攻撃のIPアドレス情報に該当する場合は、当該受信パケットを廃棄することを特徴とするDDoS防御方法。
- 請求項4に記載のネットワーク中継装置を用いて、ネットワークに接続されるサーバの負荷を分散する方法であって、前記ネットワーク中継装置の上位側ポートはルータを介して上位ネットワークと接続し、前記ネットワーク中継装置の下位側複数の物理ポートは、それぞれサーバと接続し、前記パケット処理手段は送信元IPアドレスに基づいて、前記物理ポートを選択することを特徴とする負荷分散方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014116303A JP6422677B2 (ja) | 2014-06-04 | 2014-06-04 | ネットワーク中継装置、同装置を用いたDDoS防御方法および負荷分散方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014116303A JP6422677B2 (ja) | 2014-06-04 | 2014-06-04 | ネットワーク中継装置、同装置を用いたDDoS防御方法および負荷分散方法 |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2015231131A true JP2015231131A (ja) | 2015-12-21 |
| JP2015231131A5 JP2015231131A5 (ja) | 2017-07-06 |
| JP6422677B2 JP6422677B2 (ja) | 2018-11-14 |
Family
ID=54887711
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014116303A Active JP6422677B2 (ja) | 2014-06-04 | 2014-06-04 | ネットワーク中継装置、同装置を用いたDDoS防御方法および負荷分散方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6422677B2 (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPWO2016194123A1 (ja) * | 2015-06-02 | 2017-07-20 | 三菱電機ビルテクノサービス株式会社 | 中継装置、ネットワーク監視システム及びプログラム |
| JP2017200152A (ja) * | 2016-04-28 | 2017-11-02 | 学校法人東京電機大学 | 通信制限範囲特定装置、通信制御装置、通信装置、通信システム、通信制限範囲特定方法、及びプログラム |
| WO2018105197A1 (ja) * | 2016-12-08 | 2018-06-14 | 株式会社デンソー | イーサネットスイッチ |
| JP2018196290A (ja) * | 2017-05-19 | 2018-12-06 | ミネベアミツミ株式会社 | ワイヤレス電力伝送システム、およびワイヤレス電力伝送システムの通信方法 |
| CN109587008A (zh) * | 2018-12-28 | 2019-04-05 | 华为技术服务有限公司 | 检测异常流量数据的方法、装置及存储介质 |
| CN110050264A (zh) * | 2017-01-30 | 2019-07-23 | 株式会社日立制作所 | 使用了usb中继装置的病毒检测系统以及病毒检测方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008165616A (ja) * | 2006-12-28 | 2008-07-17 | Mitsubishi Electric Corp | 検索装置およびデータ処理装置 |
| JP2012049674A (ja) * | 2010-08-25 | 2012-03-08 | Nec Corp | 通信装置、通信システム、通信方法、および通信プログラム |
-
2014
- 2014-06-04 JP JP2014116303A patent/JP6422677B2/ja active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008165616A (ja) * | 2006-12-28 | 2008-07-17 | Mitsubishi Electric Corp | 検索装置およびデータ処理装置 |
| JP2012049674A (ja) * | 2010-08-25 | 2012-03-08 | Nec Corp | 通信装置、通信システム、通信方法、および通信プログラム |
Non-Patent Citations (2)
| Title |
|---|
| "サイバー攻撃の観測情報をWebで公開−nicterが収集した情報の利活用を促進−", NICT NEWS, JPN6018006527, May 2012 (2012-05-01) * |
| OPENFLOW SWITCH SPECIFICATION VERSION 1.4.0, JPN6018006533, 14 October 2013 (2013-10-14), US, pages pp.15,18-19,24-25,31,55-56,187 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPWO2016194123A1 (ja) * | 2015-06-02 | 2017-07-20 | 三菱電機ビルテクノサービス株式会社 | 中継装置、ネットワーク監視システム及びプログラム |
| JP2017200152A (ja) * | 2016-04-28 | 2017-11-02 | 学校法人東京電機大学 | 通信制限範囲特定装置、通信制御装置、通信装置、通信システム、通信制限範囲特定方法、及びプログラム |
| WO2018105197A1 (ja) * | 2016-12-08 | 2018-06-14 | 株式会社デンソー | イーサネットスイッチ |
| CN110050264A (zh) * | 2017-01-30 | 2019-07-23 | 株式会社日立制作所 | 使用了usb中继装置的病毒检测系统以及病毒检测方法 |
| JP2018196290A (ja) * | 2017-05-19 | 2018-12-06 | ミネベアミツミ株式会社 | ワイヤレス電力伝送システム、およびワイヤレス電力伝送システムの通信方法 |
| CN109587008A (zh) * | 2018-12-28 | 2019-04-05 | 华为技术服务有限公司 | 检测异常流量数据的方法、装置及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6422677B2 (ja) | 2018-11-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10623309B1 (en) | Rule processing of packets | |
| Gao et al. | Detection and mitigation of DoS attacks in software defined networks | |
| JP6422677B2 (ja) | ネットワーク中継装置、同装置を用いたDDoS防御方法および負荷分散方法 | |
| KR102536676B1 (ko) | 패킷 처리 방법 및 장치, 및 관련 디바이스들 | |
| CN108353068B (zh) | Sdn控制器辅助的入侵防御系统 | |
| WO2016101783A1 (zh) | 一种攻击数据包的处理方法、装置及系统 | |
| EP3226509B1 (en) | Dynamic prioritization of network traffic based on reputation | |
| US20160294871A1 (en) | System and method for mitigating against denial of service attacks | |
| US8910267B2 (en) | Method for managing connections in firewalls | |
| JP5305045B2 (ja) | スイッチングハブ及び検疫ネットワークシステム | |
| US9032524B2 (en) | Line-rate packet filtering technique for general purpose operating systems | |
| JP2011160041A (ja) | フロントエンドシステム、フロントエンド処理方法 | |
| US10986018B2 (en) | Reducing traffic overload in software defined network | |
| US9258213B2 (en) | Detecting and mitigating forwarding loops in stateful network devices | |
| US9590905B2 (en) | Control apparatus and a communication method, apparatus, and system to perform path control of a network | |
| KR20120060655A (ko) | 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크 | |
| US10313238B2 (en) | Communication system, communication method, and non-transitiory computer readable medium storing program | |
| US8630296B2 (en) | Shared and separate network stack instances | |
| EP3166262B1 (en) | Control device, control system, control method, and control program | |
| US10771499B2 (en) | Automatic handling of device group oversubscription using stateless upstream network devices | |
| US11838197B2 (en) | Methods and system for securing a SDN controller from denial of service attack | |
| JP2013070325A (ja) | 通信システム、通信装置、サーバ、通信方法 | |
| JP7059726B2 (ja) | 通信システム、通信制御装置、通信制御方法及び通信制御プログラム | |
| US11122115B1 (en) | Workload distribution in a data network | |
| JP6897254B2 (ja) | 通信システム、通信プログラム、およびコンピュータ読取可能な記録媒体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170510 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170510 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180227 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180427 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180918 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20181017 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6422677 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |