JP2021093773A - パケット中継装置およびパケット中継方法 - Google Patents
パケット中継装置およびパケット中継方法 Download PDFInfo
- Publication number
- JP2021093773A JP2021093773A JP2021045572A JP2021045572A JP2021093773A JP 2021093773 A JP2021093773 A JP 2021093773A JP 2021045572 A JP2021045572 A JP 2021045572A JP 2021045572 A JP2021045572 A JP 2021045572A JP 2021093773 A JP2021093773 A JP 2021093773A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- entry
- statistical
- information
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
図1は、本発明の一実施例におけるパケット中継装置を適用するネットワークの構成を示す図である。
フロー統計機能を備える本実施例のパケット中継装置100は、インターネット600とLAN700を接続している。また、本実施例のパケット中継装置100は、管理端末400と接続され、管理者が管理端末400でパケット中継装置100の設定等の管理を行う。パケット中継装置100は、インターネット600とLAN700間の通信を中継するとともに通信に関するフローの統計情報をカウントし、カウントしたフローの統計情報をアナライザ500へ送信し、アナライ
ザ500でフローの統計情報の解析を行う。
パケット中継装置100は、入力回線を接続する入力ポート110、パケットを受信するパケット受信部120、受信パケットの出力ポートの判定を含むパケット中継処理を行う受信側パケット処理部130、受信パケットに対して各種判定を行う受信側判定部140、受信側のフロー統計処理をする受信側統計処理部150、受信パケットを送信側パケット処理部180へ中継するパケット中継処理手段170、送信パケットの受信MACアドレスと送信MACアドレスの書き換えを含むパケット中継に関する処理を行う送信側パケット処理部180、送信パケットに対して各種判定を行う送信側判定部190、送信側のフロー統計処理をする送信側統計処理部200、パケットを送信するパケット送信部210、出力回線を接続する出力ポート220、パケット中継装置の管理者がパケット中継装置の管理を行う管理端末400の指示に基づいて受信側パケット処理部130、受信側判定部140、受信側統計処理部150、送信側パケット処理部180、送信側判定部190、送信側統計処理部200に対するテーブル設定の指示、テーブル読み出しの指示、パケット中継装置100でカウントしたフロー統計情報のアナライザ500への送信、通信プロトコル処理等を行う制御CPU160で構成する。
本実施例において、パケット中継装置100の内部で扱うパケットヘッダ情報300は、受信パケットのパケットヘッダであるL2情報305、L3情報306、L4情報307、L7情報308、ペイロード309と、パケット受信部120で判定して付加した入力ポート情報301、出力ポート情報302、パケットのByte長303、受信側判定部140で判定して付加した判定結果304とで構成する。
受信側判定部140は、Logic攻撃判定部141、フィルタ判定部142、送信元詐称判定部143、フラッド攻撃判定部144、廃棄要因判定部145で構成する。
Logic攻撃判定部141には、システムの脆弱性を利用する攻撃と判定する条件(Byte長に関する条件を含む)であるLogic攻撃テーブルを予め本発明のパケット中継装置100の起動時に制御CPU160または管理者が登録しておく。Logic攻撃判定部は、Logic攻撃テーブル14
10に一致した受信パケットをLogic攻撃と判定する。
フィルタ判定部142には、パケット中継装置100の管理者が定義したフィルタすべきフロー(パケットヘッダ情報300に関する条件で定まるパケットの集合)の条件を登録したフィルタテーブルを予め登録しておく。フィルタ判定部142は、フィルタリスト(フィルタテーブルとも称する)に一致した受信パケットをフィルタパケット(ユーザ(管理者)が登録した攻撃パケット)と判定する。
送信元詐称判定部143では、uRPF(unicast Reverse Path Forwarding)等の手段で受信パケットの送信元アドレスに関する情報が詐称であると判定した受信パケットを送信元詐称攻撃と判定する。
フラッド攻撃判定部144では、フローの帯域がパケット中継装置100の管理者が定義した監視帯域を超過した場合、またはフローのバースト量がパケット中継装置100の管理者が定義した許容バースト量を超過した場合、フラッド攻撃と判定する。
廃棄要因判定部145では、Logic攻撃判定部141、フィルタ判定部142、送信元詐称判定部143、フラッド攻撃判定部144で攻撃と判定するフィルタ条件以外の廃棄要因を含むか否かを判定する。廃棄要因判定部145では、廃棄要因として、IPヘッダ異常、TTL超過、Null廃棄(経路検索の結果、宛先ホストが存在しない)等の判定を行う。攻撃と判定するフィルタ条件および各廃棄要因に一致しない場合は、正常通信と判定し当該パケットを通過とする。
Logic攻撃判定部141は、Logic攻撃と判定する条件を設定したLogic攻撃エントリ1 1411〜Logic攻撃エントリn 141nで構成するLogic攻撃テーブル1410で構成する。
Logic攻撃判定部141は、パケットヘッダ情報300を入力すると、パケットヘッダ情報300のうちLogic攻撃エントリとの一致判定に必要な情報と、Logic攻撃エントリ1 1411〜Logic攻撃エントリn 141nの条件を逐次比較する。入力されたパケットヘッダ情報と一致するLogic攻撃エントリがある場合は、そのパケットヘッダ情報を持つパケットの攻撃種別はLogic攻撃であると判定する。
フィルタパケット判定部142は、フィルタパケットの判定条件を設定したフィルタエントリ1 1421〜フィルタエントリn 142nで構成するフィルタテーブル1420を有する。フィルタパケット判定部142は、パケットヘッダ情報300を入力すると、パケットヘッダ情報300のうちフィルタエントリとの一致判定に必要な情報と、フィルタエントリ1 1421〜フィルタエントリn 142nの条件を逐次比較する。入力されたパケットヘッダ情報300と一致するフィルタエントリがある場合は、パケットヘッダ情報300はフィルタ対象の攻撃パケットであると判定する。フィルタエントリの条件としては、パケットヘッダ情報300のL2情報305、L3情報306、L4情報307、L7情報308が設定される。フィルタエントリの条件は、パケット中継装置100の管理者が管理端末400から指示し制御CPU160経由で設定する。
送信元詐称攻撃判定部143は、送信元経路検索要求部1431と送信元詐称判定部1432を有する。受信側パケット処理部130は、IPアドレス1ないしnに対する出力ポートを設定した経路エントリ1(IP1)1301ないしn(IPn)130nで構成する経路テーブル1300で構成する。
パケット中継装置100の管理者は、予め、監視対象として定義したフロー毎に監視帯域を設定する。フラッド攻撃判定部144は、定義されたフロー毎の帯域を監視し、監視帯域を超過したフローのパケットヘッダ情報300の攻撃種別にフラッド攻撃と判定する。
する。
受信側統計処理部150は、統計テーブル1500と、統計処理判定テーブル1501、カウンタテーブル1502を有する。統計テーブル1500は、カウント対象のフローの条件を設定したn個の統計エントリ1 15001〜統計エントリn 1500nからなるテーブルである。また、統計処理判定テーブル1501は、統計エントリ毎に統計エントリ登録処理・統計カウント処理を設定するn個の統計処理判定エントリ1 15011〜1501nを有するテーブルである。さらに、カウンタテーブル1502は、統計エントリ毎にカウンタを備えるn個のカウンタエントリ1 15021〜カウンタエントリn 1502nで構成するテーブルである。受信側統計処理部150は、さらに、タイマ1503、タイムアウト判定部1504で構成する。
統計処理の詳細は、以降で説明する。タイマ1503は現在時刻情報を示し、タイムアウト判定部1504における判定に用いたり、カウンタテーブル1502に書き込む情報の一部として用いる。
統計テーブル1500は、統計エントリ1 15001〜統計エントリn 1500nで構成する。統計エントリ15001は、判定結果150011、L2情報150016、L3情報306のSIP(送信元IPアドレス)150012、L3情報306のDIP(宛先IPアドレス)150013 、L4情報307のSPORT(送信元ポート番号)150014、L4情報307のDPORT(宛先ポート番号)150015で構成する。カウント対象とするパケットヘッダ情報の条件を設定する統計エントリ15001に、受信側判定部140や送信側判定部190でパケットヘッダ情報に追加した判定結果15011を含めることが、本発明の特徴である。なお、カウント対象条件として、判定結果の他、入力ポート情報301、出力ポート情報302、L2情報305、L3情報306、L4情報307、L7情報308を設定する構成としても構わない。なお、図10の統計テーブル1500の例で、d.c.(don’t care)は、任意の値を示す。
このように、本実施例では、L2情報、SIP、DIP、SPORT,DPORTが同じで、従来は区別してカウントしていなかったフローであっても送信元詐称攻撃と正常通信のフロー統計を区別してカウントすることができる。従来技術では、パケットヘッダ情報に判定結果が含まれておらず、また、統計エントリも判定結果を含まないので、送信元詐称攻撃と正常通信のフロー統計を区別してカウントすることができなかった。
統計エントリとして統計エントリ15003、統計エントリ15004がある。また、統計エントリ15004と統計エントリ15005はL2情報2、SIP3、DIP2、SPORT2、DPORT2については同一フローに関する統計エントリである。統計エントリ15004は判定結果が帯域過大であり、フラッド攻撃判定部144で帯域過大のパケットと判定されたパケットのフロー統計をカウントする統計エントリである。一方統計エントリ15005は判定結果が正常通信であり、フラッド攻撃ではない正常通信のパケットのフロー統計をカウントする統計エントリである。このように、本実施例では、同一フローであってもフラッド攻撃と正常通信のフロー統計を区別してカウントすることができる。
統計処理判定テーブル1501は、統計処理判定エントリ1 15011〜統計処理判定エントリn 1501nで構成する。統計処理判定エントリは、登録指示フラグ150111、判定結果登録フラグ150112、カウント指示フラグ15011で構成する。
受信側統計処理部150において、入力されたパケットのパケットヘッダ情報が、統計処理判定エントリに対応する統計エントリに登録された条件と一致し、さらに登録指示フラグ150111が1である場合には、当該の統計エントリは登録用のエントリとなる。受信側統計処理部150は、制御CPU160に対しパケットヘッダ情報300に相当するフローが一致する統計エントリの登録を指示する。登録する統計エントリの登録アドレスは、統計テーブル1500において統計エントリが未登録のアドレスのうち最若番アドレスとする。登録指示フラグ150111が0である場合には、統計エントリの登録処理は行わない。
カウント指示フラグは、登録指示フラグが0である場合に有効となる。統計処理判定エントリに対応する統計エントリにパケットヘッダ情報300が一致した場合に、カウント指示フラグが1である場合には、当該の統計エントリは統計カウント用のエントリとなり、統計処理判定エントリに対応するカウンタテーブル1502のカウンタエントリ15021のカウンタを加算処理する。
例えば、統計エントリ15001〜統計エントリ1500Aは統計カウント用のエントリであるから、登録指示フラグは0、判定結果登録指示フラグは0、カウント指示フラグは1に設定する。統計エントリ1500n-2、統計エントリ1500n-1は判定結果を含めた登録用のエントリであるから、登録指示フラグは1、判定結果登録指示フラグは1、カウント指示フラグは0に設定する。統計エントリ1500nは判定結果を含めない登録用のエントリであるから、登録指示フラグは1、判定結果登録指示フラグは0、カウント指示フラグは0に設定する。
カウンタテーブル1502は、カウンタエントリ1 15021〜カウンタエントリn 1502nで構成する。カウンタエントリは、パケットカウンタ150211、Byteカウンタ150212、前回統計採取時刻150213、タイムアウト時間150214で構成する。
パケット中継装置100は、受信側統計処理部150でパケット受信(1701)すると、統計テーブル1500を受信パケットで検索(1702)する。検索結果、一致エントリの有無を判定(1703)し、一致エントリが無かった場合は受信パケットに対する統計エントリは登録不要(1712)であり、統計エントリ登録の処理を終了する。
一致エントリが有る場合は統計テ−ブル1500の一致エントリに対応する統計処理判定テーブル1501の統計判定処理エントリを読み出し(1704)する。読み出した統計処理判定エントリの登録指示フラグが1であるか否かを判定(1705)し、登録指示フラグが1でない場合は、受信パケットに対する統計エントリは登録不要(1712)であり、統計エントリ登録の処理を終了する。
登録指示フラグが1である場合は、制御CPU160にエントリ登録要求を送信する。この際、受信パケットヘッダと判定結果を合わせて送信(1706)する。
空きエントリが有った場合は、統計処理判定テーブル1501のエントリ登録として、統計テーブル1500の登録用空きエントリに対応する登録処理判定テーブル1501の統計処理判定エントリに、登録フラグ=0の統計処理判定エントリを登録(1709)して、統計エントリ登録の処理を終了する。
次に、統計テーブル1500のエントリ登録として、統計テーブル1500の登録用空きエントリに受信パケットヘッダと判定結果を書き込み、統計エントリを登録(1710)して登録終了
(1711)する。
パケット中継装置100は、受信側統計処理部150でパケット受信(1801)すると、受信パケットはTCPパケットかつTCPフラグのFINフラグ(通信終了を示すフラグ)=1であるか否かを判定(1802)する。受信パケットがTCPパケットかつTCPフラグのFINフラグ(通信終了を示すフラグ)=1という条件を満たさない場合は、通信終了していないため削除不要(1814)であり、統計エントリ削除の処理を終了する。
受信パケットがTCPパケットかつTCPフラグのFINフラグ(通信終了を示すフラグ)=1という条件を満たす場合は、受信パケットの統計採取処理(1803)をする。
受信パケットの統計採取処理(1803)を終了すると、制御CPU160にエントリ削除要求を送信する。この際、受信パケットヘッダを送信(1804)する。
次に、統計エントリの削除回数を示す変数iを0に設定(1805)する。
次に、制御CPU160が統計テーブル1500の削除エントリの検索として、受信パケットヘッダに一致する統計エントリを検索(1806)する。検索結果、一致エントリ、つまり削除対象とする削除エントリが統計テーブル1500に存在するか否かを判定(1807)する。削除エントリが無かった場合は、i=0でないか否かを判定(1815)し、i=0であった場合は削除エントリ無しで非削除終了(1817)であり、統計エントリ削除の処理を終了する。i=0でなかった場合は、削除エントリ有りで削除終了(1816)する。
1807の削除エントリの有無の判定で、削除エントリが有った場合は、制御CPU160が統計テーブル1500の削除エントリを削除(1808)する。
次に、統計テーブル1500の削除エントリに対応する統計処理判定テーブル1501の統計処理判定エントリを読み出し(1809)する。
次に、読み出した統計処理判定エントリの統計値を制御CPU160に送信(1810)する。
次に、制御CPU160が受信した統計値をアナライザ500へ送信(1811)する。
次に、制御CPU160が統計処理判定テーブル1501のエントリ削除として、統計テーブル1500の削除エントリに対応する統計処理判定テーブル1501の統計処理判定エントリを削除(1812)する。
次に、iに1を加算処理(1813)し、1806の処理をする。
パケット中継装置100は、タイムアウト契機の場合は、統計処理判定エントリ毎に一定の周期で、統計処理判定エントリ毎の通信終了の有無をタイムアウト判定する。タイムアウト時間150214は、統計処理判定エントリ毎に設定可能である。本実施例では、特定のフローに関する統計エントリを判定結果毎に備えるため、特定の判定結果に関する統計処理判定エントリでタイムアウトとなった場合でも、そのフローに対する別の判定結果に関する統計処理判定エントリはタイムアウトとならず通信が継続している可能性がある。判定結果によらずフロー毎の統計として管理するには、判定結果毎に備える統計エントリ毎のエントリ削除ではなく、特定のフローについての判定結果が異なる複数の統計エントリを一括でエントリ削除することが望ましい。そのため、ある統計処理判定エントリでタイムアウトと判定した場合に、即時にその統計判定処理エントリを削除するのではなく、フローが一致する他の統計処理判定エントリのタイムアウトを判定し、フローが一致する他の統計処理判定エントリの全てがタイムアウトと判定した場合に、当該の統計処理判定エントリ、およびこれらに対応する全ての統計エントリを削除する。
まず、パケット中継装置100は、統計処理判定エントリのエントリ番号を示す変数iに0を設定(1901)する。
次に、タイマ1503が示す現在の時刻情報が、統計処理判定エントリiに関する通信終了の判定に関わるタイムアウトをチェックすべき時刻であるか否かを判定(1902)する。統計処理判定エントリ0がタイムアウトをチェックすべき時刻でない場合には、iに1を加算処理(1927)し、iが統計処理判定エントリ番号の最大値nに達したか否かを判定(1928)する。iが統計処理判定エントリ番号の最大値nに達した場合は、全ての統計処理判定エントリはタイムアウトのチェック時刻ではないため、削除不要(1929)であり、統計エントリ削除の処理を終了する。iが統計処理判定エントリ番号の最大値nに達していない場合は、再び1902の判定処理をする。統計処理判定エントリiがタイムアウトをチェックすべき時刻でない場合には、再び1927の加算処理をし、1928の判定処理をする。
統計処理判定エントリiがタイムアウトをチェックすべき時刻である場合には、統計処理判定テーブル1501の統計処理判定エントリiを読み出し(1903)する。
タイマ1503が示す現在時刻情報と前回統計採取時刻150213の差が統計処理判定エントリiのタイムアウト時間より大である場合は、統計テーブル1500の統計エントリiを読み出し(1905)する。
次に、統計エントリiのパケットヘッダ情報の設定値で、統計テーブル1500のADR(j)+1以降のアドレスを検索(1907)する。1906の処理でj=0に設定した場合は、ADR(0)=-0であるため、ADR(0)+1=0アドレス以降、つまり統計テーブル1500の全アドレスを検索対象とする。
検索結果、一致エントリがあった場合は、ADR(j)=一致エントリのアドレスに設定(1909)する。1906の処理でj=0に設定した場合は、ADR(0)= 一致エントリのアドレスに設定する。
次に、jに1を加算処理(1910)する。
1908の判定結果、一致エントリ無しの場合は、統計エントリiのフローに一致する全ての一致エントリのアドレスADR(j)が判明し、j=0でないか否か判定(1912)する。j=0であった場合は、統計エントリiのパケットヘッダ情報で統計テーブル1500を検索しても統計エントリiを含め一致する統計エントリiが存在しないという矛盾が生じるため、異常終了(1930)と判定し、統計エントリ削除の処理を終了する。
j=0でなかった場合は、全ての一致エントリに関するタイムアウトを判定するための変数kを0に設定(1913)する。
次に、タイマ1503が示す現在時刻情報と統計処理判定エントリkの前回統計採取時刻150213の差が統計処理判定エントリiのタイムアウト時間より大であるか判定(1914)し、大でない場合は通信終了しておらずエントリ削除不要(1931)と判定し、統計エントリ削除の処理を終了する。
タイマ1503が示す現在時刻情報と統計処理判定エントリkの前回統計採取時刻150213の差が統計処理判定エントリiのタイムアウト時間より大である場合は、kに1を加算処理(1915)する。
kがj+1に等しい場合は、全ての一致エントリのタイムアウト判定を完了し、全ての一致エントリがタイムアウトと判定されたことになるため、全ての一致エントリの削除処理をするため、エントリ削除に関する変数mに0を設定(1917)する。
次に、制御CPU160に統計エントリm(アドレスADR(m))の削除要求を送信(1918)する。
次に、制御CPU160が統計テーブル1500の統計エントリmを削除(1919)する。
次に、統計処理判定テーブル1501の統計処理判定エントリmを読み出し(1920)する。
次に、読み出した統計処理判定エントリmの統計値を制御CPU160に送信(1921)する。
次に、制御CPU160が受信した統計エントリmの統計値をアナライザ500へ送信(1922)する。
次に、制御CPU160が統計処理判定テーブル1501の統計処理判定エントリmを削除(1923)する。
次に、mに1を加算処理(1924)する。
次に、m=j+1であるか否か判定(1925)する。
m=j+1でない場合は、全ての一致エントリの削除を完了していないため、再び1918の処理をする。
m=j+1である場合は、全ての一致エントリの削除を完了したため、削除終了(1926)と判定し、統計エントリ削除の処理を終了する。
図20に示す統計エントリ削除処理は、図19に示した統計エントリ削除処理の簡易版である。簡易版フローチャートでは、統計処理判定エントリ毎に一定の周期で、通信終了の有無をタイムアウト判定する。判定の結果、タイムアウトとなった場合にはその統計処理判定エントリを削除する。削除した統計処理エントリと同じフローに対する別の判定結果に関する統計処理判定エントリではタイムアウトとならず通信が継続している可能性はあるが、図20の削除処理ではフロー毎の統計エントリの管理はせず判定結果毎の統計エントリの管理とすることで、統計エントリの削除処理を簡易化する。
まず、統計処理判定エントリのエントリ番号を示す変数iに0を設定(2001)する。
次に、タイマ1503が示す現在の時刻情報が、統計処理判定エントリiに関する通信終了の判定に関わるタイムアウトをチェックすべき時刻であるか否かを判定(2002)する。統計処理判定エントリ0がタイムアウトをチェックすべき時刻でない場合には、iに1を加算処理(2012)し、iが統計処理判定エントリ番号の最大値nに達したか否かを判定(2013)する。iが統計処理判定エントリ番号の最大値nに達した場合は、全ての統計処理判定エントリのタイムアウトのチェック時刻ではないため、削除不要(2014)であり、統計エントリ削除の処理を終了する。iが統計処理判定エントリ番号の最大値nに達していない場合は、再び2002の判定処理をする。統計処理判定エントリiがタイムアウトをチェックすべき時刻でない場合には、再び2012の加算処理をし、2013の判定処理をする。
統計処理判定エントリiがタイムアウトをチェックすべき時刻である場合には、統計処理判定テーブル1501の統計処理判定エントリiを読み出し(2003)する。
次に、タイマ1503が示す現在時刻情報と前回統計採取時刻150213の差が統計処理判定エントリiのタイムアウト時間より大であるか判定(2004)する。タイマ1503が示す現在時刻情報と前回統計採取時刻150213の差が統計処理判定エントリiのタイムアウト時間より大でない場合は、通信終了しておらずエントリ削除不要(2014)と判定する。
iのタイムアウト時間より大である場合は、制御CPU160にエントリ削除要求、つまり統計テーブル1500の統計エントリ削除の要求を送信(2005)する。
次に、制御CPU160が統計テーブル1500の統計エントリiを削除(2006)する。
次に、統計処理判定テーブル1501の統計処理判定エントリiを読み出し(2007)する。
次に、読み出した統計処理判定エントリiの統計値を制御CPU160に送信(2008)する。
次に、制御CPU160が受信した統計値をアナライザ500へ送信(2009)する。
次に、制御CPU160が統計処理判定エントリiを削除(2010)する。
次に、削除終了(2011)と判定し、統計エントリ削除の処理を終了する。
ントするので、統計エントリ毎のByteカウンタと統計を採取した時間情報からフロー毎の帯域またはバースト量をアナライザ500にて演算し、その後で帯域またはバースト量が過大であるフローに対する分析を行う必要があった。本来、アナライザ500にて演算する必要のない帯域またはバースト量の少ないフローに対する演算負荷がかかるという課題があった。本実施例のパケット中継装置100によれば、パケット中継装置100のフラッド攻撃判定部144で判定結果が帯域またはバースト量が過大であるフロー統計だけを登録してカウント対象とすることができるので、アナライザ500でフロー毎の帯域またはバースト量を演算する必要がなく、アナライザ500の演算負荷を低減できる。
図14に示す例では、本実施例のパケット中継装置100を経由してマルウェア感染端末200がC&Cサーバ1 900に接続する構成を示している。
C&Cサーバ1のIPアドレスDIP1は、外部から入手した情報として既知であるものとし、パケット中継装置100のフィルタテーブル1420のフィルタエントリ1421のDIPにDIP1としてパケット中継装置100の管理者が初期設定で登録する。なお、DIP1はC&Cサーバ1というセキュリティ上の特性が既知の宛先IPアドレスであるため、DIP1と通信した端末を自動的に遮断するためDIP1をカウント対象条件として生成した統計エントリのSIPをフィルタエントリとして追加する、といったシナリオを事前に立てることができる。そのため、パケットヘッダ情報300がフィルタエントリ1421に一致した場合の判定結果はフィルタ(C&C)とし、C&Cサーバ通信というフィルタ要因が判定可能となるようにフィルタの判定結果の要因をコード化する。
登録する。このとき、感染端末のIPアドレスをSIP1とし、統計カウント用の統計エントリ150027のSIP150011には、SIP1を設定する。登録用の統計エントリ150026に基づいて登録した統計カウント用の統計エントリ150027のカウンタにより、C&Cサーバ1 900に対しどのIPアドレスからどのようなプロトコルでどのような通信が行われようとしたかをアナライザに出力して分析することができる。
(1)パケット送受信部と、パケットの転送処理を行うパケット処理部と、制御部とを有し、ネットワークを介してパケットを中継するパケット中継装置であって、
前記パケット送受信部を介して送受信するパケットのヘッダに含まれる情報に基づきフローを識別し、識別したフローを構成するパケットについて、予め定めた属性に一致するか否かの判定を行い、前記判定したパケットのパケットヘッダに判定結果に関する情報を含めて出力する判定部と、前記判定結果に関する情報とフロー識別情報に基づきフロー統計情報をカウントする統計処理部を有することを特徴とするパケット中継装置。
(2)上記(1)に記載のパケット中継装置であって、前記属性として、予め登録した攻撃パケットの条件に一致するか否かの判定を行うことを特徴とするパケット中継装置。
(3)上記(2)に記載のパケット中継装置であって、予め複数種類の攻撃パケットの条件を設定し、前記判定結果に関する情報として、前記攻撃の種別を示す情報を含めて出力し、前記攻撃種別を示す情報とフロー識別情報に基づきフロー統計情報をカウントすることを特徴とするパケット中継装置。
(4)上記(2)に記載のパケット中継装置であって、前記属性として、パケットの廃棄要因の判定を行い、前記判定結果に関する情報として、前記廃棄要因を示す情報を含めて出力することを特徴とするパケット中継装置。
(5)上記(1)に記載のパケット中継装置であって、前記統計処理部は、登録用エントリと登録処理判定エントリとカウンタエントリを有し、前記登録用エントリに登録された判定結果を含むフロー条件を満たすパケットを受信すると、前記登録処理判定エントリに設定された登録処理およびカウントを行うための条件に従って、登録エントリを設定し、フロー統計情報をカウントすることを特徴とするパケット中継装置。
(6)上記(1)に記載のパケット中継装置であって、前記統計処理部において、フロー識別情報に基づきフロー統計情報をカウントする際、共通のフロー識別情報について、複数の判定結果についてフロー統計情報をカウントすることを特徴とするパケット中継装置。
(7)ネットワーク間でパケットを中継する方法であって、送受信するパケットのヘッダに含まれる情報に基づきフローを識別し、識別したフローを構成するパケットについて、予め定めた属性に一致するか否かの判定を行い、前記判定したパケットのパケットヘッダに判定結果に関する情報を含めて出力し、前記判定結果に関する情報と前記フロー識別情報に基づきフロー統計情報をカウントすることを特徴とするパケット中継方法。
(8)上記(7)に記載のパケット中継方法であって、前記属性として、予め登録した攻撃パケットの条件に一致するか否かの判定を行うことを特徴とするパケット中継方法。
(9)上記(8)に記載のパケット中継方法であって、予め複数種類の攻撃パケットの条件を設定し、前記判定結果に関する情報として、前記攻撃の種類を示す情報を含めて出力し、前記攻撃種別を示す情報とフロー識別情報に基づきフロー統計情報をカウントすることを特徴とするパケット中継方法。
(10)上記(8)に記載のパケット中継方法であって、前記属性として、パケットの廃棄要因の判定を行い、前記判定結果に関する情報として、前記廃棄要因を示す情報を含めて出力することを特徴とするパケット中継方法。
(11)上記(7)に記載のパケット中継方法であって、フロー識別情報に基づき識別したフローについて判定結果に関する情報の異なる複数のフロー統計情報を解析した結果に基づいて前記中継処理を制御するパケット中継方法。
110 入力ポート
120 パケット受信部
130 受信側パケット処理部
140 受信側判定部
141 Logic攻撃判定部
142 フィルタパケット判定部
143 送信元詐称攻撃判定部
144 フラッド攻撃判定部
145 廃棄要因判定部
150 受信側統計処理部
160 制御CPU
170 パケット中継処理手段
180 送信側パケット処理部
190 送信側判定部
200 送信側統計処理部
210 パケット送信部
220 出力ポート
400 管理端末
500 アナライザ
Claims (14)
- パケット送受信部と、パケットの転送処理を行うパケット処理部と、制御部とを有し、ネットワークを介してパケットを中継するパケット中継装置であって、
前記パケット送受信部を介して送受信するパケットのヘッダに含まれる情報に基づきフローを識別し、識別したフローを構成するパケットについて、予め定めた属性に一致するか否かの判定を行い、前記判定したパケットのパケットヘッダに判定結果に関する情報を含めて出力する判定部と、前記判定結果に関する情報とフロー識別情報に基づきフロー統計情報をカウントする統計処理部を有し、
前記制御部は、前記判定したパケットの判定結果に関する情報と、フロー識別情報とに基づいて、前記統計処理部による前記フロー統計情報のカウントの実施を制御することを特徴とするパケット中継装置。 - 請求項1に記載のパケット中継装置であって、前記属性として、予め登録した攻撃パケットの条件に一致するか否かの判定を行うことを特徴とするパケット中継装置。
- 請求項2に記載のパケット中継装置であって、予め複数種類の攻撃パケットの条件を設定し、前記判定結果に関する情報として、前記攻撃の種別を示す情報を含めて出力し、前記攻撃種別を示す情報とフロー識別情報に基づきフロー統計情報をカウントすることを特徴とするパケット中継装置。
- 請求項2に記載のパケット中継装置であって、前記属性として、パケットの廃棄要因の判定を行い、前記判定結果に関する情報として、前記廃棄要因を示す情報を含めて出力することを特徴とするパケット中継装置。
- 請求項1に記載のパケット中継装置であって、前記統計処理部は、登録用エントリと統計カウント用エントリとを有し、前記登録用エントリに設定された判定結果を含むフロー条件を満たすパケットを受信すると、前記登録用エントリに対応する統計処理判定エントリに設定された登録処理を行うための条件に従って、統計カウント用エントリを新たに登録し、前記統計カウント用エントリに設定された判定結果を含むフロー条件を満たすパケットを受信すると、前記統計カウント用エントリにおいてフロー統計情報をカウントすることを特徴とするパケット中継装置。
- 請求項5に記載のパケット中継装置であって、
前記制御部は、前記受信したパケットの判定結果に関する情報がフィルタすべきフローであることを示していた場合に、前記受信したパケットのフロー識別情報に基づいて決定した条件を設定した登録用エントリを新たに登録することを特徴とするパケット中継装置。 - 請求項1に記載のパケット中継装置であって、前記統計処理部において、フロー識別情報に基づきフロー統計情報をカウントする際、共通のフロー識別情報について、複数の判定結果についてフロー統計情報をカウントすることを特徴とするパケット中継装置。
- ネットワーク間でパケットを中継する方法であって、送受信するパケットのヘッダに含まれる情報に基づきフローを識別し、識別したフローを構成するパケットについて、予め定めた属性に一致するか否かの判定を行い、前記判定したパケットのパケットヘッダに判定結果に関する情報を含めて出力し、前記判定結果に関する情報とフロー識別情報に基づきフロー統計情報をカウントし、前記判定したパケットの判定結果に関する情報と、フロー識別情報とに基づいて、前記フロー統計情報のカウントの実施を制御することを特徴とするパケット中継方法。
- 請求項8に記載のパケット中継方法であって、前記属性として、予め登録した攻撃パケットの条件に一致するか否かの判定を行うことを特徴とするパケット中継方法。
- 請求項9に記載のパケット中継方法であって、予め複数種類の攻撃パケットの条件を設定し、前記判定結果に関する情報として、前記攻撃の種類を示す情報を含めて出力し、前記攻撃種別を示す情報とフロー識別情報に基づきフロー統計情報をカウントすることを特徴とするパケット中継方法。
- 請求項9に記載のパケット中継方法であって、前記属性として、パケットの廃棄要因の判定を行い、前記判定結果に関する情報として、前記廃棄要因を示す情報を含めて出力することを特徴とするパケット中継方法。
- 請求項8に記載のパケット中継方法であって、登録用エントリに設定された判定結果を含むフロー条件を満たすパケットを受信すると、前記登録用エントリに対応する統計処理判定エントリに設定された登録処理を行うための条件に従って、統計カウント用エントリを新たに登録し、前記統計カウント用エントリに設定された判定結果を含むフロー条件を満たすパケットを受信すると、前記統計カウント用エントリにおいてフロー統計情報をカウントすることを特徴とするパケット中継方法。
- 請求項12に記載のパケット中継方法であって、
前記受信したパケットの判定結果に関する情報がフィルタすべきフローであることを示していた場合に、前記受信したパケットのフロー識別情報に基づいて決定した条件を設定した登録用エントリを新たに登録することを特徴とするパケット中継方法。 - 請求項8に記載のパケット中継方法であって、フロー識別情報に基づきフロー統計情報をカウントする際、共通のフロー識別情報について、複数の判定結果についてフロー統計情報をカウントすることを特徴とするパケット中継方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021045572A JP7104201B2 (ja) | 2021-03-19 | 2021-03-19 | パケット中継装置およびパケット中継方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021045572A JP7104201B2 (ja) | 2021-03-19 | 2021-03-19 | パケット中継装置およびパケット中継方法 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017125776A Division JP6934758B2 (ja) | 2017-06-28 | 2017-06-28 | パケット中継装置およびパケット中継方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2021093773A true JP2021093773A (ja) | 2021-06-17 |
JP7104201B2 JP7104201B2 (ja) | 2022-07-20 |
Family
ID=76310955
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021045572A Active JP7104201B2 (ja) | 2021-03-19 | 2021-03-19 | パケット中継装置およびパケット中継方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7104201B2 (ja) |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002007234A (ja) * | 2000-06-20 | 2002-01-11 | Mitsubishi Electric Corp | 不正メッセージ検出装置、不正メッセージ対策システム、不正メッセージ検出方法、不正メッセージ対策方法、及びコンピュータ読み取り可能な記録媒体 |
JP2005277804A (ja) * | 2004-03-25 | 2005-10-06 | Hitachi Ltd | 情報中継装置 |
JP2006005402A (ja) * | 2004-06-15 | 2006-01-05 | Hitachi Ltd | 通信統計収集装置 |
JP2006254134A (ja) * | 2005-03-11 | 2006-09-21 | Alaxala Networks Corp | 通信統計収集装置 |
JP2007310662A (ja) * | 2006-05-18 | 2007-11-29 | Mitsubishi Electric Corp | ファイアウォール装置 |
JP2011176434A (ja) * | 2010-02-23 | 2011-09-08 | Nippon Telegr & Teleph Corp <Ntt> | トラヒック量変化検知と連携した原因特定システム、方法、装置、及びプログラム |
JP2012510126A (ja) * | 2008-11-26 | 2012-04-26 | マイクロソフト コーポレーション | リモートデスクトッププロトコルのためのハードウェアアクセラレーション |
JP2015053673A (ja) * | 2013-08-05 | 2015-03-19 | アラクサラネットワークス株式会社 | パケット中継装置及びパケット中継方法 |
JP2017511072A (ja) * | 2014-04-11 | 2017-04-13 | レベル スリー コミュニケーションズ,エルエルシー | ヒューリスティック及びビジネスポリシーに基づく、ネットワークトラフィックフローに対するリソースのインクリメンタルアプリケーション |
-
2021
- 2021-03-19 JP JP2021045572A patent/JP7104201B2/ja active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002007234A (ja) * | 2000-06-20 | 2002-01-11 | Mitsubishi Electric Corp | 不正メッセージ検出装置、不正メッセージ対策システム、不正メッセージ検出方法、不正メッセージ対策方法、及びコンピュータ読み取り可能な記録媒体 |
JP2005277804A (ja) * | 2004-03-25 | 2005-10-06 | Hitachi Ltd | 情報中継装置 |
JP2006005402A (ja) * | 2004-06-15 | 2006-01-05 | Hitachi Ltd | 通信統計収集装置 |
JP2006254134A (ja) * | 2005-03-11 | 2006-09-21 | Alaxala Networks Corp | 通信統計収集装置 |
JP2007310662A (ja) * | 2006-05-18 | 2007-11-29 | Mitsubishi Electric Corp | ファイアウォール装置 |
JP2012510126A (ja) * | 2008-11-26 | 2012-04-26 | マイクロソフト コーポレーション | リモートデスクトッププロトコルのためのハードウェアアクセラレーション |
JP2011176434A (ja) * | 2010-02-23 | 2011-09-08 | Nippon Telegr & Teleph Corp <Ntt> | トラヒック量変化検知と連携した原因特定システム、方法、装置、及びプログラム |
JP2015053673A (ja) * | 2013-08-05 | 2015-03-19 | アラクサラネットワークス株式会社 | パケット中継装置及びパケット中継方法 |
JP2017511072A (ja) * | 2014-04-11 | 2017-04-13 | レベル スリー コミュニケーションズ,エルエルシー | ヒューリスティック及びビジネスポリシーに基づく、ネットワークトラフィックフローに対するリソースのインクリメンタルアプリケーション |
Also Published As
Publication number | Publication date |
---|---|
JP7104201B2 (ja) | 2022-07-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11882150B2 (en) | Dynamic security actions for network tunnels against spoofing | |
US8175096B2 (en) | Device for protection against illegal communications and network system thereof | |
US9258323B1 (en) | Distributed filtering for networks | |
US7623466B2 (en) | Symmetric connection detection | |
US7467408B1 (en) | Method and apparatus for capturing and filtering datagrams for network security monitoring | |
CN108040057B (zh) | 适于保障网络安全、网络通信质量的sdn系统的工作方法 | |
US7436770B2 (en) | Metering packet flows for limiting effects of denial of service attacks | |
US7356599B2 (en) | Method and apparatus for data normalization | |
US8339959B1 (en) | Streamlined packet forwarding using dynamic filters for routing and security in a shared forwarding plane | |
US7636305B1 (en) | Method and apparatus for monitoring network traffic | |
US9276852B2 (en) | Communication system, forwarding node, received packet process method, and program | |
US10931711B2 (en) | System of defending against HTTP DDoS attack based on SDN and method thereof | |
US9306794B2 (en) | Algorithm for long-lived large flow identification | |
US7849503B2 (en) | Packet processing using distribution algorithms | |
US7876676B2 (en) | Network monitoring system and method capable of reducing processing load on network monitoring apparatus | |
US20070115850A1 (en) | Detection method for abnormal traffic and packet relay apparatus | |
KR20110089179A (ko) | 네트워크 침입 방지 | |
US8910267B2 (en) | Method for managing connections in firewalls | |
CN112202646B (zh) | 一种流量分析方法和系统 | |
US8006303B1 (en) | System, method and program product for intrusion protection of a network | |
Paolucci et al. | P4-based multi-layer traffic engineering encompassing cyber security | |
KR20110065273A (ko) | 플로우별 통계정보를 이용한 분산 서비스 거부 공격(ddos) 탐지 및 트래픽 경감 방법 및 그 시스템 | |
Mohammadi et al. | Practical extensions to countermeasure dos attacks in software defined networking | |
US20070101429A1 (en) | Connection-rate filtering using ARP requests | |
Wang et al. | An approach for protecting the openflow switch from the saturation attack |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210319 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20211122 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211130 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220125 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220621 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220707 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7104201 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |