JP2018125745A - 転送装置及び転送方法 - Google Patents
転送装置及び転送方法 Download PDFInfo
- Publication number
- JP2018125745A JP2018125745A JP2017017308A JP2017017308A JP2018125745A JP 2018125745 A JP2018125745 A JP 2018125745A JP 2017017308 A JP2017017308 A JP 2017017308A JP 2017017308 A JP2017017308 A JP 2017017308A JP 2018125745 A JP2018125745 A JP 2018125745A
- Authority
- JP
- Japan
- Prior art keywords
- router
- action
- action rule
- traffic
- isp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】特定のトラフィックに対する制御のための作業負担を軽減すること。【解決手段】BGP Flowspecを実装した転送装置は、BGP FlowspecのアクションルールをeBGPセッション経由で受信する受信部と、前記アクションルールを、iBGPセッションによって接続される他の転送装置に伝搬する伝搬部と、を有する。【選択図】図7
Description
本発明は、転送装置及び転送方法に関する。
図1には、The Internetにおいて、ISP−XとISP−Yとが接続されており、その他ISPからのDDoS攻撃がISP−Xを経由して、ISP−Y向けに攻撃トラフィックが流入している状態において、ISP−X側で遮断等の対処が実行されている状況が示されている。
従来、このような状況においてISP―Y側でDDoS攻撃が検知されると(S1)、ISP−Yのオペレータが、当該DDoS攻撃の対処をISP−Xへ依頼する(S2)。ISP−Xのオペレータは、当該依頼に応じ、ISP−Yに接続するルータに対して、遮断等の対処を行う(S3)。
この場合、ISP−Yにおいては、DDoSによるネットワークの帯域消費は回避されるが、ISP−Xにおいては帯域消費が継続したままである(S4)。
そこで、従来、図2に示されるように、ISP−Xのオペレータが、S3での対処の設定情報から、当該DDoS攻撃の流入元を調査し(S5)、流入元のルータに対して、当該DDoS攻撃の対処設定(遮断等)を実施している(S6)。
RFC7674
上記のように、従来の対処方法では、DDoS攻撃の経由ネットワークであるISP−Xにおいてもオペレータに稼働が発生している。特に、IP通信のネットワークにおいて、トラフィックの流入元を特定する為には、一般的に何らかのシステム対応(フロー分析システム等)が必要である。
仮に、何らかのツールやシステムにて分析や設定稼働を軽減できたとしても、そのツールやシステムの開発やメンテナンスにコストがかかる。
本発明は、上記の点に鑑みてなされたものであって、特定のトラフィックに対する制御のための作業負担を軽減することを目的とする。
そこで上記課題を解決するため、BGP Flowspecを実装した転送装置は、BGP FlowspecのアクションルールをeBGPセッション経由で受信する受信部と、前記アクションルールを、iBGPセッションによって接続される他の転送装置に伝搬する伝搬部と、を有する。
特定のトラフィックに対する制御のための作業負担を軽減することができる。
以下、図面に基づいて本発明の実施の形態を説明する。図3は、本発明の実施の形態におけるネットワーク構成例を示す図である。図3において、ISP−A、ISP−B、及び複数のその他ISPは、それぞれ、異なるAS(Autonomous System)号によって識別されるISP(Internet Service Provider)である。
ISP−Aは、ルータa1〜a6(以下、それぞれを区別しない場合「ルータa」という)を含む。ISP−Bは、ルータb1を含む。各ルータは、それぞれに設定された設定情報に従って、パケットを転送する装置である。
ルータa1とルータb1との間では、BGPピアが張られ、BGP(Border Gateway Protocol)を利用した通信が行われる。すなわち、ルータa1とルータb1とは、eBGP(外部BGP)セッションによって接続される。また、各ルータaの間では、BGPピアが張られ、BGPを利用した通信が行われる。すなわち、各ルータaは、iBGP(内部BGP)セッションによって接続される。なお、同一ISP内における各BGPルータは、iBGPフルメッシュ構成、又はRR(ルートリフレクタ)構成にて、iBGPルート情報を交換する。図3では、ISP−A内においてiBGPフルメッシュ構成が採用されている例が示されているが、RR構成が採用されてもよい。
図4は、本発明の実施の形態におけるルータのハードウェア構成例を示す図である。図4のルータは、それぞれバスBで相互に接続されているドライブ装置100、補助記憶装置101、メモリ装置102、CPU103、及びインタフェース装置104等を有する。
ルータでの処理を実現するプログラムは、補助記憶装置101に記憶される。メモリ装置102は、補助記憶装置101に記憶されているプログラムを読み出して格納する。CPU103は、メモリ装置102に格納されたプログラムに従ってルータに係る機能を実行する。インタフェース装置104は、ネットワークに接続するためのインタフェースとして用いられる。
本実施の形態において、各ルータa及びルータb1は、BGP Flowspec(以下、単に「Flowspec」という。)を実装したルータである。Flowspecは、特定のトラフィックに対する遮断等のアクションを、BGPピアを張った対向ルータに実行させるプロトコルである。したがって、ルータb1にFlowspecの拡張コミュニティ(RFC4360)においてアクションルールが設定されると、当該アクションルールに従った制御が、ルータa1によって実行される。
Flowspecでは、図5に示される4種類のアクションルールが規定されている。traffic−rateは、レート制限または遮断を実行するためのアクションルールである。traffic−actionは、サンプリングやロギング等を実行するためのアクションルールである。redirectは、指定方向への転送を実行するためのアクションルールである。traffic−markingは、DSCP値の書き換えを実行するためのアクションルールである。図5におけるTypeは、各アクションルールの識別情報である。なお、アクションルールは、当該アクションルールの適用対象とされるトラフィック又はフローを特定するための情報(宛先IPアドレス、宛先ポート番号、送信元IPアドレス、送信元ポート番号等)に対応付けられる。
例えば、その他ISPからのDDoS攻撃がISP−Aを経由して、ISP−B向けに攻撃トラフィックが流入している状態において、当該攻撃トラフィックに対してtraffic−rateがルータb1に設定されると、当該traffic−rateに基づいて、ルータa1が当該攻撃トラフィックを制限又は遮断する。その結果、ルータa1に関する設定について、ISP−Aのオペレータによる稼動が削減される。
しかし、ISP−Aにおいては帯域消費が継続したままであるため、ISP−Aのオペレータは、DDoS攻撃の流入元を調査や、流入元のルータに対する当該DDoS攻撃の対処設定等の実施を行う必要が有る。Flowspecでは、ルータb1に対して設定されたアクションルールは、ルータa1のみによって実行され、他のルータaによって実行されないからである。
そこで、本実施の形態では、新たなアクションルールが定義される。図6は、本実施の形態において定義されるアクションルールの一例を示す図である。図6に示されるように、本実施の形態では、「action−distribution」が定義される。「action−distribution」のTypeの値は、他のアクションルールと重複しない値であればよい。
「action−distribution」は、DDoS対処に主に用いられる「traffic−rate」が示すアクションルールに加え、iBGPセッションによって接続される他のルータへの当該アクションルールの伝搬の実行をも含むアクションルールである。したがって、「action−distribution」は、フレームフォーマットを踏襲する。すなわち、最後の4バイトにおいて、レートが設定される。当該レートが0に設定されると、当該アクションルールに対応するトラフィックが遮断される。
例えば、「action−distribution」がルータb1に設定されると、ルータa1は、当該「action−distribution」に基づいて、特定のトラフィックについてレート制限又は遮断を実行すると共に、当該「action−distribution」を、iBGPセッションによって接続される他のルータaに伝搬(転送)する。当該「action−distribution」が伝搬された他のルータaは、同じトラフィックに対して同様のレート制限又は遮断を実行する。その結果、ISP−Aにおけるオペレータによる、DDoS攻撃の流入元を調査や、流入元のルータに対する当該DDoS攻撃の対処設定等の実施のための稼動を削減することができる。
このような「action−distribution」に対応可能とするため、各ルータaは、図7に示されるような機能構成を有する。
図7は、本実施の形態におけるルータaの機能構成例を示す図である。図7において、ルータaは、受信部11、伝搬部12及び実行部13等を有する。これら各部は、ルータaにインストールされたプログラムがCPU103に実行させる処理によって実現されてもよいし、回路(ハードウェア)によって実現されてもよい。
受信部11は、eBGPセッション又はiBGPセッションで接続される対向ルータからアクションルールを受信する。
伝搬部12は、受信部11によって受信されたアクションルールが「action−distribution」である場合に、当該アクションルールをiBGPセッションで接続される他のルータaに伝搬(転送)する。
実行部13は、受信部11によって受信されたアクションルールに対応するトラフィックについて、当該アクションルールに従った制御を実行する。当該アクションルールが「action−distribution」であれば、実行部13は、トラフィックのレート制限又は遮断等を実行する。
以下、ルータa1が実行する処理手順について説明する。図8は、ルータa1が実行する処理手順の一例を説明するためのフローチャートである。
例えば、ISP−Bのオペレータによって、ルータb1に対して、特定のトラフィックに対するアクションルール「action−distribution」が設定されると、ルータa1の受信部11は、当該アクションルールをFlowspecに従って、eBGPセッション経由で受信する(S201)。
続いて、伝搬部12は、ルータa1とiBGPセッションによって接続されるルータa2〜a6へ、当該「action−distribution」を伝搬(転送)する(S202)。
続いて、実行部13は、当該「action−distribution」に従って、当該特定のトラフィックについてレート制限又は遮断を実行する(S203)。
なお、ステップS202において伝搬された「action−distribution」の受信先のルータa2〜a6は、図8のステップS201及びS203を実行する。
その結果、その他ISPからのDDoS攻撃がISP−Aを経由して、ISP−B向けに攻撃トラフィックが流入している状態において、図9に示されるような制御が可能となる。
図9は、DDoS攻撃に対して本実施の形態において可能となる制御を説明するための図である。
図9に示されるように、攻撃トラフィックに対する「action−distribution」がルータb1に設定されると、当該アクションルールが各ルータaに伝搬する。その結果、攻撃トラフィックの流入元のルータであるルータa2〜a5においても自動的に攻撃トラフィックを遮断可能とすることができる。
したがって、ISP−Aにおける各ルータに対する設定作業等の作業負担を軽減することができる。すなわち、特定のトラフィックに対する制御のための作業負担を軽減することができる。
また、本実施の形態は、既存のFlowspec仕組みに拡張を加えることで実現することができる。
なお、攻撃トラフィックの流入元のルータa2〜a5において、当該攻撃トラフィックが遮断されるのであれば、「action−distribution」の伝搬元であるルータa1においては、図8のステップS203は実行されなくてもよい。
また、「action−distribution」の伝搬先の各ルータaが、eBGPセッションで接続されるその他ISPのルータへ、当該アクションルールを伝搬するようにしてもよい。
更に、ルータa1は、ルータb1から「action−distribution」を受信した場合、「action−distribution」を「traffic−rate」に置換して、置換後のアクションルールを他のルータaに伝搬してもよい。「action−distribution」のフォーマットは、「traffic−rate」のフォーマットを踏襲しているため、Typeの値を置換することで、「action−distribution」から「traffic−rate」への置換は可能である。
更に、アクションルールの伝搬は、新たなアクションルールの定義以外の方法によって実現されてもよい。例えば、「traffic−rate」に対して、当該アクションルールの伝搬を示す所定の情報が付随されるようにしてもよい。ルータa1の伝搬部12は、当該所定の情報が「traffic−rate」に付随している場合には、当該「traffic−rate」を他のルータaに伝搬するようにしてもよい。
なお、本実施の形態において、ルータは、転送装置の一例である。
以上、本発明の実施例について詳述したが、本発明は斯かる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
11 受信部
12 伝搬部
13 実行部
101 補助記憶装置
102 メモリ装置
103 CPU
104 インタフェース装置
a1、a2、a3、a4、a5、a6、b1 ルータ
B バス
12 伝搬部
13 実行部
101 補助記憶装置
102 メモリ装置
103 CPU
104 インタフェース装置
a1、a2、a3、a4、a5、a6、b1 ルータ
B バス
Claims (6)
- BGP Flowspecを実装した転送装置であって、
BGP FlowspecのアクションルールをeBGPセッション経由で受信する受信部と、
前記アクションルールを、iBGPセッションによって接続される他の転送装置に伝搬する伝搬部と、
を有することを特徴とする転送装置。 - 前記伝搬部は、特定のアクションルールを、iBGPセッションによって接続される他の転送装置に伝搬する、
ことを特徴とする請求項1記載の転送装置。 - 前記特定のアクションルールのフォーマットは、「traffic−rate」のフォーマットを踏襲する、
ことを特徴とする請求項2記載の転送装置。 - BGP Flowspecを実装した転送装置が、
BGP FlowspecのアクションルールをeBGPセッション経由で受信する受信手順と、
前記アクションルールを、iBGPセッションによって接続される他の転送装置に伝搬する伝搬手順と、
を実行することを特徴とする転送方法。 - 前記伝搬手順は、特定のアクションルールを、iBGPセッションによって接続される他の転送装置に伝搬する、
ことを特徴とする請求項4記載の転送方法。 - 前記特定のアクションルールのフォーマットは、「traffic−rate」のフォーマットを踏襲する、
ことを特徴とする請求項5記載の転送方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017017308A JP2018125745A (ja) | 2017-02-02 | 2017-02-02 | 転送装置及び転送方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017017308A JP2018125745A (ja) | 2017-02-02 | 2017-02-02 | 転送装置及び転送方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2018125745A true JP2018125745A (ja) | 2018-08-09 |
Family
ID=63110482
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017017308A Pending JP2018125745A (ja) | 2017-02-02 | 2017-02-02 | 転送装置及び転送方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2018125745A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102018130588A1 (de) * | 2018-11-30 | 2020-06-04 | DE-CIX Management GmbH | Computerimplementiertes Verfahren zur Abwehr oder Abmilderung von DDoS-Angriffen auf IT-Infrastrukturen |
| JP7470786B2 (ja) | 2019-10-31 | 2024-04-18 | 華為技術有限公司 | 情報報告方法、データ処理方法、及び装置 |
-
2017
- 2017-02-02 JP JP2017017308A patent/JP2018125745A/ja active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102018130588A1 (de) * | 2018-11-30 | 2020-06-04 | DE-CIX Management GmbH | Computerimplementiertes Verfahren zur Abwehr oder Abmilderung von DDoS-Angriffen auf IT-Infrastrukturen |
| DE102018130588B4 (de) * | 2018-11-30 | 2020-12-03 | DE-CIX Management GmbH | Computerimplementiertes Verfahren zur Abwehr oder Abmilderung von DDoS-Angriffen auf IT-Infrastrukturen |
| US11122076B2 (en) | 2018-11-30 | 2021-09-14 | DE-CIX Management GmbH | Method for defending against or mitigating DDoS attacks on IT infrastructures |
| JP7470786B2 (ja) | 2019-10-31 | 2024-04-18 | 華為技術有限公司 | 情報報告方法、データ処理方法、及び装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3222006B1 (en) | Passive performance measurement for inline service chaining | |
| EP3222005B1 (en) | Passive performance measurement for inline service chaining | |
| CN105281947B (zh) | 用于将遗留网络变换成具备sdn能力的网络的技术 | |
| ES2841323T3 (es) | Una estrategia de red basada en intención impulsada por datos que utiliza un controlador SDN distribuido ligero para brindar experiencias inteligentes al consumidor | |
| TWI532344B (zh) | 不使用網路而判定防火牆是否將阻絶特定網路封包 | |
| US10225169B2 (en) | Method and apparatus for autonomously relaying statistics to a network controller in a software-defined networking network | |
| Zhang et al. | BGP design and implementation | |
| US11283683B2 (en) | Network modification impact prediction | |
| US9509631B2 (en) | Quality of service (QoS) for information centric networks | |
| US20140376402A1 (en) | Methods and systems for automatic generation of routing configuration files | |
| EP3249529B1 (en) | Method and system for tracking network device information in a network switch | |
| EP3576347A1 (en) | Network device snapshots | |
| Laraba et al. | Defeating protocol abuse with P4: Application to explicit congestion notification | |
| EP3646533B1 (en) | Inline stateful monitoring request generation for sdn | |
| EP3456020A1 (en) | Mechanism for inline packet response generation in software defined networks | |
| US8819201B2 (en) | Method and apparatus for providing routing and access control filters | |
| US9762746B2 (en) | Advice of charge in content centric networks | |
| JP2018125745A (ja) | 転送装置及び転送方法 | |
| WO2014069502A1 (ja) | 通信システム、経路情報交換装置、通信ノード、経路情報の転送方法及びプログラム | |
| Jain et al. | Troubleshooting BGP: A practical guide to understanding and troubleshooting BGP | |
| CN106059803A (zh) | 一种在计算节点上实现虚拟机南北向通信的方法 | |
| JP2017147516A (ja) | DDoS攻撃情報共有装置、動作方法及びプログラム | |
| CN108199965B (zh) | Flow spec表项下发方法、网络设备、控制器及自治系统 | |
| US10079718B1 (en) | Network traffic processing system | |
| WO2016070406A1 (zh) | 一种拓扑发现方法及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181205 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190912 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191105 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20200609 |