JP2019029907A - Transfer system, information processing device, transfer method and information processing method - Google Patents
Transfer system, information processing device, transfer method and information processing method Download PDFInfo
- Publication number
- JP2019029907A JP2019029907A JP2017149403A JP2017149403A JP2019029907A JP 2019029907 A JP2019029907 A JP 2019029907A JP 2017149403 A JP2017149403 A JP 2017149403A JP 2017149403 A JP2017149403 A JP 2017149403A JP 2019029907 A JP2019029907 A JP 2019029907A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- transfer
- information
- information processing
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、転送システム、情報処理装置、転送方法及び情報処理方法に関する。 The present invention relates to a transfer system, an information processing apparatus, a transfer method, and an information processing method.
ネットワークにおけるDDoS(Distributed Denial of Service attack)攻撃に対する対処としては、主として、「攻撃対象となる装置前段でのセキュリティ装置対処」と、「攻撃元に近いGWR(ゲートウェイルータ)付近での対処」とが有る。前者は、トラヒック集約ポイントでの対処であるため、ミティゲーション装置等のセキュリティ装置の性能限界により全ての攻撃を防ぎ切れない場合が考えられる。後者は、DDoS攻撃では送信元IPアドレスが詐称されていることが多いため、GWRのポイントで正常通信も止めてしまう可能性があり、即時に遮断することが難しい。そのため、ミティゲーション装置等にトラフィックを引き込んでクリーニングする対策が考えられるが、攻撃元に近い転送装置から引き込む場合は伝送コストが高くなってしまう。 As countermeasures against DDoS (Distributed Denial of Service attack) attacks in the network, there are mainly “countermeasures for security devices in the first stage of the attack target device” and “measures near the GWR (gateway router) near the attack source”. Yes. Since the former is a countermeasure at a traffic aggregation point, there is a case where all attacks cannot be prevented due to the performance limit of a security device such as a mitigation device. In the latter case, the source IP address is often misrepresented in a DDoS attack, so normal communication may also be stopped at the GWR point, and it is difficult to immediately block it. For this reason, it is possible to take measures for drawing traffic into a mitigation device or the like and cleaning it, but if it is drawn from a transfer device close to the attack source, the transmission cost becomes high.
したがって、攻撃通信がネットワーク内で適度に集約された箇所から通信を引き込むことが有効と考えられるが、そのための前提として攻撃通信がどの経路を通っているかを知る必要があるが、セキュリティ装置等が検知した攻撃通信の送信元IPアドレスと宛先IPアドレスの情報だけでは、攻撃通信がネットワークのどの経路を通過したかの把握は困難である。 Therefore, it is considered effective to draw communication from a location where attack communication is moderately aggregated in the network. However, as a precondition for this, it is necessary to know which route the attack communication is taking, but security devices etc. It is difficult to grasp which route of the attack communication has passed through only the information of the detected source IP address and destination IP address of the attack communication.
攻撃通信の経路を知る方法として、全てのルータから全てのFlow情報を収集し結合することが考えられる。しかし、この方法は、データ量が膨大になると共に、収集コストが高く、経済的ではない。 As a method of knowing the path of attack communication, it is conceivable to collect and combine all Flow information from all routers. However, this method is not economical because the amount of data is enormous and the collection cost is high.
そこで、全ルータからFlow情報をサンプリング収集し結合することが考えられる。 Therefore, it is conceivable to collect and collect Flow information from all routers.
しかしながら、Flow情報は、サンプリングのため確率的であり、経路を100%特定できるわけではない。具体的には、サンプリングデータに攻撃通信が無かったり、Flowコレクタ側の検知条件(閾値)に満たない場合は、攻撃経路を正確に特定することが困難である。その結果、経路を特定するためには更なる調査が必要となり、保守者の稼働が更に必要となってしまう。 However, Flow information is probabilistic because of sampling, and the path cannot be specified 100%. Specifically, when there is no attack communication in the sampling data or the detection condition (threshold value) on the flow collector side is not satisfied, it is difficult to accurately specify the attack path. As a result, in order to specify the route, further investigation is required, and operation of the maintenance person is further required.
本発明は、上記の点に鑑みてなされたものであって、特定の通信の経路を効率的に把握可能とすることを目的とする。 The present invention has been made in view of the above points, and an object thereof is to make it possible to efficiently grasp a specific communication path.
そこで上記課題を解決するため、ネットワークにおいてパケットを転送する複数の転送装置を含む転送システムは、情報処理装置から受信した条件に合致するパケットを受信すると、自装置のアドレスと、所定のフラグ情報とを当該パケットに記録する第1の転送装置と、前記所定のフラグ情報が記録されたパケットを受信すると、自装置のアドレスを当該パケットに追加する1以上の第2の転送装置と、前記所定のフラグ情報が記録されたパケットに記録されている前記転送装置のアドレス群を前記情報処理装置に送信する第3の転送装置とを含む。 Therefore, in order to solve the above problem, when a transfer system including a plurality of transfer devices that transfer packets in a network receives a packet that matches the conditions received from the information processing device, the transfer system receives the address of the device, predetermined flag information, A first transfer device that records the packet in the packet, and one or more second transfer devices that add the address of the device to the packet when the packet in which the predetermined flag information is recorded is received; And a third transfer device for transmitting the address group of the transfer device recorded in the packet in which flag information is recorded to the information processing device.
特定の通信の経路を効率的に把握可能とすることができる。 It is possible to efficiently grasp a specific communication path.
以下、図面に基づいて本発明の実施の形態を説明する。図1は、本発明の実施の形態におけるネットワーク構成例を示す図である。図1において、ネットワークN1は、ルータR1〜R7等の複数のルータ(転送装置)を含む。このうち、ルータR1及びルータR2は、ゲートウェイルータ(GWR)である。本実施の形態において、2つのGWRのうちのルータR1が、サイバー攻撃(例えば、DDoS(Distributed Denial of Service attack)攻撃)の攻撃元である装置XからのIPパケット(以下、「攻撃パケット」という。)を最初に受信する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a diagram illustrating a network configuration example according to an embodiment of the present invention. In FIG. 1, a network N1 includes a plurality of routers (transfer devices) such as routers R1 to R7. Among these, the router R1 and the router R2 are gateway routers (GWR). In the present embodiment, the router R1 of the two GWRs receives an IP packet (hereinafter referred to as an “attack packet”) from the device X that is an attack source of a cyber attack (for example, a DDoS (Distributed Denial of Service attack) attack). .) Is received first.
また、ルータR7は、装置Yに対するエッジルータである。装置Yは、本実施の形態においてサイバー攻撃の対象となるコンピュータ等である。したがって、本実施の形態において、攻撃パケット(攻撃通信)の送信元は、装置Xであり、宛先は装置Yである。なお、各ルータを区別しない場合、「ルータR」という。 The router R7 is an edge router for the device Y. The device Y is a computer or the like that is a target of a cyber attack in the present embodiment. Therefore, in the present embodiment, the transmission source of the attack packet (attack communication) is the device X and the destination is the device Y. In addition, when not distinguishing each router, it is called "router R".
GWRであるルータR1及びR2と、エッジルータであるルータR7とは、制御装置10と所定の回線(ネットワーク)を介して接続される。
The routers R1 and R2 that are GWR and the router R7 that is an edge router are connected to the
制御装置10は、ネットワークN1内における攻撃パケットの経路を特定するための処理を実行する1以上のコンピュータ(情報処理装置)である。すなわち、制御装置10は、1つのコンピュータであってもよいし、分散された複数のコンピュータによって構成されてもよい。
The
セキュリティ装置30は、DDos攻撃の発生を検知し、攻撃パケットの条件を示す情報を制御装置10へ通知する。但し、装置Yが、セキュリティ装置30の機能を兼ねてもよい。
The security device 30 detects the occurrence of the DDos attack and notifies the
図2は、本発明の実施の形態における制御装置10のハードウェア構成例を示す図である。図2の制御装置10は、それぞれバスBで相互に接続されているドライブ装置100、補助記憶装置102、メモリ装置103、CPU104、及びインタフェース装置105等を有する。
FIG. 2 is a diagram illustrating a hardware configuration example of the
制御装置10での処理を実現するプログラムは、CD−ROM等の記録媒体101によって提供される。プログラムを記憶した記録媒体101がドライブ装置100にセットされると、プログラムが記録媒体101からドライブ装置100を介して補助記憶装置102にインストールされる。但し、プログラムのインストールは必ずしも記録媒体101より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置102は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。
A program for realizing processing in the
メモリ装置103は、プログラムの起動指示があった場合に、補助記憶装置102からプログラムを読み出して格納する。CPU104は、メモリ装置103に格納されたプログラムに従って制御装置10に係る機能を実行する。インタフェース装置105は、ネットワークに接続するためのインタフェースとして用いられる。
The
図3は、本発明の実施の形態における制御装置10及びルータRの機能構成例を示す図である。図3において、制御装置10は、攻撃情報受信部11、制御部12、経路情報受信部13及び経路特定部14等を有する。これら各部は、制御装置10にインストールされた1以上のプログラムが、CPU104に実行させる処理により実現される。制御装置10は、また、攻撃情報記憶部111、経路情報記憶部112及び攻撃経路記憶部113等を利用する。これら各記憶部は、例えば、補助記憶装置102、又は制御装置10にネットワークを介して接続可能な記憶装置等を用いて実現可能である。
FIG. 3 is a diagram illustrating a functional configuration example of the
一方、ルータRは、被制御部21、パケット受信部22、アドレス記録部23、経路情報送信部24及びパケット転送部25等を有する。これら各部は、ルータRにインストールされた1以上のプログラムが、ルータRのCPUに実行させる処理により実現される。但し、各部は、回路によって実現されてもよい。ルータRは、また、制御情報記憶部26を利用する。制御情報記憶部26は、例えば、ルータRが有するメモリ等を用いて実現可能である。なお、本実施の形態において、被制御部21及び制御情報記憶部26は、GWRであるルータR1及びR2以外は有していなくてもよい。また、経路情報送信部24は、エッジルータであるルータR7以外は有していなくてもよい。
On the other hand, the router R includes a controlled
以下、ネットワークN1に関して実行される処理手順について説明する。図4は、攻撃検知時に実行される処理手順の一例を説明するためのシーケンス図である。 Hereinafter, a processing procedure executed regarding the network N1 will be described. FIG. 4 is a sequence diagram for explaining an example of a processing procedure executed when an attack is detected.
セキュリティ装置30は、B装置からA装置へのDDos攻撃等を検知すると、攻撃パケットに関する条件を示す情報(例えば、5tuple情報)等を含む攻撃情報を、制御装置10へ送信する(S10)。Syslog等が攻撃情報として利用されてもよい。すなわち、セキュリティ装置30が把握可能な情報の全てが攻撃情報に含まれてもよい。なお、5tuple情報は、送信元IPアドレス(SrcIP_X)、宛先IPアドレス(DstIP_Y)、送信元ポート番号、宛先ポート番号、プロトコルである。 When the security device 30 detects a DDos attack or the like from the B device to the A device, the security device 30 transmits attack information including information (for example, 5 tuple information) indicating conditions regarding the attack packet to the control device 10 (S10). Syslog or the like may be used as attack information. That is, all information that can be grasped by the security device 30 may be included in the attack information. The 5-tuple information includes a transmission source IP address (SrcIP_X), a destination IP address (DstIP_Y), a transmission source port number, a destination port number, and a protocol.
制御装置10の攻撃情報受信部11は、当該攻撃情報を受信すると、当該攻撃情報を含むレコード(攻撃A,5tuple情報等)を攻撃情報記憶部111へ記憶する(S102)。したがって、攻撃情報記憶部111には、このような攻撃情報の履歴が記憶される。なお、「攻撃A」は、攻撃の識別子であり、攻撃情報記憶部111にて付与される。
Upon receiving the attack information, the attack
続いて、攻撃情報受信部11は、当該攻撃情報を制御部12に通知する(S103)。制御部12は、当該攻撃情報の通知に応じ、攻撃パケットに対して特別な処理を実行させるための制御情報をGWRであるルータR1及びルータR2へ送信する(S104)。当該制御情報には、制御対象のパケットの条件としての5tuple情報と、当該攻撃パケットのTOSフィールドの特定の部分に所定のフラグ情報を記録する(例えば、TOSフィールドの未使用の特定のビットに1を立てる)といった命令とが含まれる。なお、制御対象のパケットの条件は、5tuple情報に限られない。送信元IPアドレス及び宛先IPアドレスが当該条件とされてもよいし、宛先IPアドレスのみが当該条件とされてもよい。
Subsequently, the attack
当該制御命令を受信したルータR1の被制御部21は、当該制御情報をルータR1の制御情報記憶部26に記憶する(S105)。また、当該制御命令を受信したルータR2も同様の処理を実行する。
The controlled
なお、制御情報は、ACL(Access Control List)等の既存のフィルタリングの仕組みを利用して実現されてもよい。 The control information may be realized by using an existing filtering mechanism such as ACL (Access Control List).
図5は、GWRにおける攻撃パケットの受信に応じて実行される処理手順の一例を説明するためのシーケンス図である。 FIG. 5 is a sequence diagram for explaining an example of a processing procedure executed in response to reception of an attack packet in the GWR.
ルータR1のパケット受信部22は、ネットワークN1の外部からパケットを受信すると(S201)、図4において制御情報記憶部26に記憶した制御情報に含まれている条件に当該パケットが合致するか否かを判定する(S202)。例えば、当該パケットの5tuple情報が、当該条件に合致するか否かが判定される。
When the
当該パケットが当該条件に合致しない場合、以降においては、図5の処理手順ではなく、一般的な転送処理が実行される。 When the packet does not meet the condition, a general transfer process is executed instead of the process procedure of FIG.
当該パケットが当該条件に合致する場合(すなわち、当該パケットが攻撃パケットである場合)、パケット受信部22は、当該制御情報に従って、当該パケットのIPヘッダに所定のフラグ情報を記録する(S203)。例えば、当該パケットのTOSフィールドの未使用の特定のビットに1を立てることで所定のフラグ情報の記録が実現されてもよい。但し、所定のフラグ情報の設定先は、ToSフィールドには限定されない。例えば、IPv4の機構であるRRを用いる場合は、オプションフィールド内の規定された場所に所定のフラグが設定される。続いて、ルータR1のアドレス記録部23は、当該パケットに所定のフラグ情報が記録されているか否かを判定し、当該所定のフラグ情報が記録されていることに基づいて、当該パケットのIPヘッダのオプションフィールドに自装置(ルータR1)のIPアドレスを記録する(S204)。続いて、パケット転送部25は、当該パケットを通常の転送方法に従って転送する(S205)。
When the packet matches the condition (that is, when the packet is an attack packet), the
当該パケットの転送先のルータRのパケット受信部22が、当該パケットを受信すると、アドレス記録部23は、当該パケットのIPヘッダに所定のフラグ情報が記録されているか否かを確認する(S206)。当該ルータRのアドレス記録部23は、当該パケットに当該所定のフラグ情報が記録されていることに基づいて、当該パケットのIPヘッダのオプションフィールドに当該ルータRのIPアドレスを追加的に記録する(S207)。すなわち、既に記録されているIPアドレスの末尾に、当該ルータのIPアドレスが記録される。続いて、当該ルータRのパケット転送部25は、当該パケットを転送する(S208)。
When the
ステップS206〜S208は、当該パケットの転送先の各ルータRにおいて同様に実行される。 Steps S206 to S208 are executed in the same way in each router R that is the transfer destination of the packet.
当該パケットが、エッジルータであるルータR7のパケット受信部22によって受信されると、ルータR7において、ステップS206及びS207と同様の処理が実行される(S209、S210)。続いて、ルータR7の経路情報送信部24は、ルータR7がエッジルータであることに基づき、当該パケットの5tuple情報と、当該パケットのIPヘッダのオプションフィールドに記録されているIPアドレス列(IPアドレス群)とを含む経路情報を、制御装置10へ送信する(S211)。すなわち、当該パケットが装置Yに転送される直前において経路情報が制御装置10へ送信される。なお、経路情報は、Flow情報に含められて、sflow又はNetFlow等の公知の仕組みを利用して送信されてもよい。また、或るルータRが、エッジルータであるか否かの判定は、公知の技術に基づいて行われればよい。
When the packet is received by the
続いて、制御装置10の経路情報受信部13は、受信した経路情報を経路情報記憶部112に記憶する(S212)。したがって、経路情報記憶部112には、図5の処理手順が実行されるたびに、追加的に経路情報が記憶される。
Subsequently, the route
続いて、制御装置10の経路特定部14が実行する処理について説明する。図6は、経路特定部14が実行する処理手順の一例を説明するためのフローチャートである。図6の処理手順は、例えば、図5のステップS212に同期して(S212に続いて)実行されてもよいし、定期的等、ステップS212とは非同期に実行されてもよい。
Subsequently, a process executed by the
ステップS301において経路特定部14は、攻撃情報記憶部111に記憶されている全ての攻撃情報を取得する。
In step S <b> 301, the
続いて、経路特定部14は、経路情報記憶部112に記憶されている全ての経路情報を取得する(S302)。
Subsequently, the
続いて、経路特定部14は、攻撃情報の一覧と、経路情報の一覧とを突合して、各攻撃情報に対応する経路情報を特定する(S303)。例えば、攻撃情報ごとに、当該攻撃情報に含まれている5tuple情報に一致する5tuple情報を含む経路情報が検索される。検索された経路情報は、当該攻撃情報に関連付けられる。その結果、各DDos攻撃の攻撃パケットについて、ネットワークN1内の経路を把握することが可能となる。
Subsequently, the
なお、突合の粒度(条件)は、必ずしも5tupleでなくてもよい。例えば、送信元IPアドレス及び宛先IPアドレスのみの一致によって関連付けが行われてもよいし、宛先IPアドレスのみの一致によって関連付けが行われてもよい。例えば、攻撃が複数の経路を通ってある1つの宛先IPアドレスに到達している可能性がある場合に、宛先IPアドレスだけで突合することで当該攻撃の全ルートを把握することが可能だからである。 The particle size (condition) of the butt does not necessarily have to be 5 tuple. For example, the association may be performed by matching only the source IP address and the destination IP address, or may be performed by matching only the destination IP address. For example, when there is a possibility that an attack has reached a single destination IP address through a plurality of routes, it is possible to grasp all the routes of the attack by colliding with only the destination IP address. is there.
続いて、経路特定部14は、特定結果を攻撃経路記憶部113に記憶する(S304)。例えば、ステップS303において関連付けられた攻撃情報と経路情報とが、関連付けが維持された状態で攻撃経路記憶部113に記憶される。攻撃経路記憶部113に記憶された攻撃情報及び経路情報は、攻撃情報記憶部111又は経路情報記憶部112から削除されてもよい。
Subsequently, the
なお、各ルータRのIPアドレスの記録については、IPv4(RFC791)で規定されているレコードルート(RR)の仕組みを用いて各ルータRのIPアドレスがオプションフィールドに記録されるようにしてもよい。 As for the recording of the IP address of each router R, the IP address of each router R may be recorded in the option field using a record route (RR) mechanism defined in IPv4 (RFC791). .
上述したように、本実施の形態によれば、DDos攻撃であると疑われる通信(攻撃パケット)に対して所定のフラグ情報が記録され、所定のフラグ情報が記録されたパケットを転送した各ルータによって当該ルータのIPアドレスが当該パケットに記録される。したがって、DDos攻撃に係る通信等、特定の通信の経路を効率的に把握可能とすることができる。その結果、保守者の稼動コストの削減を期待することができる。 As described above, according to the present embodiment, each of the routers to which the predetermined flag information is recorded for the communication (attack packet) suspected of being a DDos attack and the packet in which the predetermined flag information is recorded is transferred. Thus, the IP address of the router is recorded in the packet. Accordingly, it is possible to efficiently grasp a specific communication path such as communication related to the DDos attack. As a result, it is possible to expect a reduction in operating costs for the maintenance personnel.
具体的には、全でのルータから全てのトラフィック情報を収集し結合する場合に比べて、低コスト/少データ量で同等の情報を取得可能とすることができる。また、全ルータからFlow情報をサンプリング収集し結合する場合に比べて、経路を特定できる可能性を高めることができる。 Specifically, it is possible to obtain equivalent information at a low cost / small amount of data compared to a case where all traffic information is collected and combined from all routers. Further, the possibility of specifying the path can be increased as compared with the case where the flow information is collected by sampling from all the routers and combined.
また、本実施の形態は、ルータR等の関連機器に対して特殊な改造/追加開発の必要性が小さい。基本的には、各ルータR等の設定変更によって本実施の形態を実現することができる。また、本実施の形態は、IPアドレスの記載、フラグの設定など、実装済の機能を拡張することなく、また、IPレイヤの処理で動作可能とすることができる。したがって、本実施の形態は、導入コストを小さく抑えることができる。 Further, the present embodiment has a small need for special modification / additional development for related devices such as the router R. Basically, the present embodiment can be realized by changing the setting of each router R or the like. In addition, the present embodiment can be operated by the processing of the IP layer without expanding the mounted functions such as the description of the IP address and the setting of the flag. Therefore, the present embodiment can reduce the introduction cost.
なお、本実施の形態は、DDos攻撃に係る攻撃通信の経路を特定する例について説明したが、他の特定の通信に関する経路の特定に関して本実施の形態が適用されてもよい。 In addition, although this Embodiment demonstrated the example which specifies the path | route of the attack communication which concerns on a DDos attack, this Embodiment may be applied regarding the specification of the path | route regarding other specific communication.
なお、本実施の形態において、ルータRは、転送装置の一例である。ルータR1は、第1の転送装置の一例である。ルータR2〜R6は、第2の転送装置の一例である。ルータR7は、第3の転送装置の一例である。制御部12は、送信部の一例である。経路情報受信部13は、受信部の一例である。経路特定部14は、関連付け部の一例である。制御装置10は、情報処理装置の一例である。
In the present embodiment, the router R is an example of a transfer device. The router R1 is an example of a first transfer device. Routers R2 to R6 are examples of the second transfer device. The router R7 is an example of a third transfer device. The
以上、本発明の実施の形態について詳述したが、本発明は斯かる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。 Although the embodiments of the present invention have been described in detail above, the present invention is not limited to such specific embodiments, and various modifications can be made within the scope of the gist of the present invention described in the claims. Deformation / change is possible.
10 制御装置
11 攻撃情報受信部
12 制御部
13 経路情報受信部
14 経路特定部
21 被制御部
22 パケット受信部
23 アドレス記録部
24 経路情報送信部
25 パケット転送部
26 制御情報記憶部
30 セキュリティ装置
100 ドライブ装置
101 記録媒体
102 補助記憶装置
103 メモリ装置
104 CPU
105 インタフェース装置
111 攻撃情報記憶部
112 経路情報記憶部
113 攻撃経路記憶部
B バス
R1、R2、R3、R4、R5、R6、R7 ルータ
X 装置
Y 装置
DESCRIPTION OF
105
Claims (8)
情報処理装置から受信した条件に合致するパケットを受信すると、自装置のアドレスと、所定のフラグ情報とを当該パケットに記録する第1の転送装置と、
前記所定のフラグ情報が記録されたパケットを受信すると、自装置のアドレスを当該パケットに追加する1以上の第2の転送装置と、
前記所定のフラグ情報が記録されたパケットに記録されている前記転送装置のアドレス群を前記情報処理装置に送信する第3の転送装置と、
を含むことを特徴とする転送システム。 A transfer system including a plurality of transfer devices for transferring packets in a network,
When receiving a packet that matches the conditions received from the information processing device, a first transfer device that records the address of the device and predetermined flag information in the packet;
When receiving the packet in which the predetermined flag information is recorded, one or more second transfer devices that add the address of the device to the packet;
A third transfer device that transmits an address group of the transfer device recorded in the packet in which the predetermined flag information is recorded, to the information processing device;
A transfer system comprising:
ことを特徴とする請求項1記載の転送システム。 The third transfer device transmits the address group of the transfer device recorded in the packet to the information processing device immediately before the packet in which the predetermined flag information is recorded is transferred to a destination address.
The transfer system according to claim 1.
前記情報処理装置は、
前記条件を第1の転送装置に送信する送信部と、
前記アドレス群を前記第3の転送装置から受信する受信部と、
前記アドレス群を、前記条件に係る通信に関連付ける関連付け部と、
を有することを特徴とする請求項1又は2記載の転送システム。 Further including the information processing apparatus,
The information processing apparatus includes:
A transmitter that transmits the condition to the first transfer device;
A receiving unit for receiving the address group from the third transfer device;
An association unit associating the address group with communication according to the condition;
The transfer system according to claim 1, further comprising:
前記条件を第1の転送装置に送信する送信部と、
前記アドレス群を前記第3の転送装置から受信する受信部と、
前記アドレス群を、前記条件に係る通信情報に関連付ける関連付け部と、
を有することを特徴とする情報処理装置。 The information processing apparatus according to claim 1 or 2,
A transmitter that transmits the condition to the first transfer device;
A receiving unit for receiving the address group from the third transfer device;
An association unit for associating the address group with communication information according to the condition;
An information processing apparatus comprising:
第1の転送装置が、情報処理装置から受信した条件に合致するパケットを受信すると、自装置のアドレスと、所定のフラグ情報とを当該パケットに記録する手順と、
1以上の第2の転送装置が、前記所定のフラグ情報が記録されたパケットを受信すると、自装置のアドレスを当該パケットに追加する手順と、
第3の転送装置が、前記所定のフラグ情報が記録されたパケットに記録されている前記転送装置のアドレス群を前記情報処理装置に送信する手順と、
を実行することを特徴とする転送方法。 A transfer method executed by a plurality of transfer devices that transfer packets in a network,
When the first transfer device receives a packet that matches the conditions received from the information processing device, a procedure for recording the address of the device itself and predetermined flag information in the packet;
When one or more second transfer apparatuses receive a packet in which the predetermined flag information is recorded, a procedure for adding the address of the own apparatus to the packet;
A procedure in which a third transfer device transmits an address group of the transfer device recorded in the packet in which the predetermined flag information is recorded to the information processing device;
The transfer method characterized by performing.
ことを特徴とする請求項5記載の転送方法。 The third transfer device transmits the address group of the transfer device recorded in the packet to the information processing device immediately before the packet in which the predetermined flag information is recorded is transferred to a destination address.
6. The transfer method according to claim 5, wherein:
前記条件を第1の転送装置に送信する送信手順と、
前記アドレス群を前記第3の転送装置から受信する受信手順と、
前記アドレス群を、前記条件に係る通信に関連付ける関連付け手順と、
を実行することを特徴とする請求項5又は6記載の転送方法。 The information processing apparatus is
A transmission procedure for transmitting the condition to the first transfer device;
A receiving procedure for receiving the address group from the third transfer device;
An association procedure for associating the address group with communication according to the condition;
7. The transfer method according to claim 5 or 6, wherein:
前記条件を第1の転送装置に送信する送信手順と、
前記アドレス群を前記第3の転送装置から受信する受信手順と、
前記アドレス群を、前記条件に係る通信に関連付ける関連付け手順と、
を実行することを特徴とする情報処理方法。 The information processing apparatus according to claim 1 or 2,
A transmission procedure for transmitting the condition to the first transfer device;
A receiving procedure for receiving the address group from the third transfer device;
An association procedure for associating the address group with communication according to the condition;
The information processing method characterized by performing.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017149403A JP6746541B2 (en) | 2017-08-01 | 2017-08-01 | Transfer system, information processing device, transfer method, and information processing method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017149403A JP6746541B2 (en) | 2017-08-01 | 2017-08-01 | Transfer system, information processing device, transfer method, and information processing method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019029907A true JP2019029907A (en) | 2019-02-21 |
JP6746541B2 JP6746541B2 (en) | 2020-08-26 |
Family
ID=65478970
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017149403A Active JP6746541B2 (en) | 2017-08-01 | 2017-08-01 | Transfer system, information processing device, transfer method, and information processing method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6746541B2 (en) |
-
2017
- 2017-08-01 JP JP2017149403A patent/JP6746541B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP6746541B2 (en) | 2020-08-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5673557B2 (en) | Network system, controller, and network control method | |
CN108040057B (en) | Working method of SDN system suitable for guaranteeing network security and network communication quality | |
US7636305B1 (en) | Method and apparatus for monitoring network traffic | |
US8175096B2 (en) | Device for protection against illegal communications and network system thereof | |
US7995477B2 (en) | Collecting network traffic information | |
JP5717057B2 (en) | Network system, controller, switch, and traffic monitoring method | |
JP4759389B2 (en) | Packet communication device | |
US7729271B2 (en) | Detection method for abnormal traffic and packet relay apparatus | |
JP5880560B2 (en) | Communication system, forwarding node, received packet processing method and program | |
CN108737447B (en) | User datagram protocol flow filtering method, device, server and storage medium | |
US20100153537A1 (en) | Method and apparatus for providing detection of internet protocol address hijacking | |
US20110026529A1 (en) | Method And Apparatus For Option-based Marking Of A DHCP Packet | |
WO2011032321A1 (en) | Data forwarding method, data processing method, system and device thereof | |
WO2020017272A1 (en) | Attack-countering place selection apparatus and attack-countering place selection method | |
JP5725236B2 (en) | Communication system, node, packet transfer method and program | |
Wang et al. | Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks | |
JP2011159247A (en) | Network system, controller, and network control method | |
JP5178573B2 (en) | Communication system and communication method | |
CN106059939B (en) | Message forwarding method and device | |
JP6746541B2 (en) | Transfer system, information processing device, transfer method, and information processing method | |
US11838197B2 (en) | Methods and system for securing a SDN controller from denial of service attack | |
TW201132055A (en) | Routing device and related packet processing circuit | |
JP4326423B2 (en) | Management device and unauthorized access protection system | |
JP2004096246A (en) | Data transmission method, data transmission system, and data transmitter | |
CN116633633A (en) | Data transmission method, device, electronic equipment and storage medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190822 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200710 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200804 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200805 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6746541 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |