JP3819368B2 - 通信制御装置、通信制御方法、通信制御付サーバ装置、通信制御付サーバ装置による通信制御方法及び通信制御プログラム - Google Patents

通信制御装置、通信制御方法、通信制御付サーバ装置、通信制御付サーバ装置による通信制御方法及び通信制御プログラム Download PDF

Info

Publication number
JP3819368B2
JP3819368B2 JP2003045957A JP2003045957A JP3819368B2 JP 3819368 B2 JP3819368 B2 JP 3819368B2 JP 2003045957 A JP2003045957 A JP 2003045957A JP 2003045957 A JP2003045957 A JP 2003045957A JP 3819368 B2 JP3819368 B2 JP 3819368B2
Authority
JP
Japan
Prior art keywords
value
connection request
communication control
weight
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003045957A
Other languages
English (en)
Other versions
JP2004260295A (ja
Inventor
政浩 石山
達哉 神明
雄三 玉田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2003045957A priority Critical patent/JP3819368B2/ja
Priority to US10/740,440 priority patent/US7366785B2/en
Publication of JP2004260295A publication Critical patent/JP2004260295A/ja
Application granted granted Critical
Publication of JP3819368B2 publication Critical patent/JP3819368B2/ja
Priority to US12/041,900 priority patent/US20080165682A1/en
Priority to US12/042,010 priority patent/US20080159283A1/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/161Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/167Adaptation for transition between two IP versions, e.g. between IPv4 and IPv6
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Communication Control (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、IPv6アドレスを用いた環境において、不適切な接続要求を制限する為の通信制御装置、通信制御方法、通信制御付サーバ装置、通信制御付サーバ装置による通信制御方法及び通信制御プログラムに関する。
【0002】
【従来の技術】
近年、世界最大のコンピュータネットワーク「インターネット(Internet)」の利用が普及している。利用者側はインターネットと接続して公開されている情報やサービスを利用する。逆に、企業側は、インターネットを通してアクセスしてくる利用者に対し、情報やサービスを提供することで、新たなコンピュータビジネスを開拓している。このインターネットの利用に関しての新たな技術開発及びその展開は近年目覚ましい。インターネットの世界では、各端末はIPアドレスと呼ばれる識別子をもち、このIPアドレスを元にパケットの交換が行われている。一例として、トランスミッション・コントロール・プロトコル(TCP)(例えば、非特許文献1参照。)では、送受信者それぞれのIPアドレスとポート番号の4つ組でその接続が識別される。TCPはコネクション型プロトコルである為、各端末はTCPの接続を行なった場合には最低でもこの4つ組を記憶する必要がある。悪意の第三者は、この性質を利用して、必要の無い接続を要求し、対象となる端末のハードウェア及びソフトウェアの資源(以下、「資源」と記載)を枯渇させる攻撃を行なうことがある。
【0003】
現在主に使われているインターネットプロトコルバージョン4(IPv4)では、アドレス空間は32ビットで、アドレスの枯渇にともないユーザに割り当てられるアドレスは非常に少ないものとなりつつある。この為、同じIPアドレスからの接続数を制限することにより、このような資源を枯渇させる攻撃を回避してきた。
【0004】
近年はインターネットプロトコルバージョン6(IPv6)の開発及び実用化が進んでいる。IPv6では、アドレス空間は128ビットに拡張されている。
【0005】
【非特許文献1】
IETF RFC793 Transmission Control Protocol, Darpa Internet Program, Protocol specification、September 1981
【0006】
【非特許文献2】
IETF RFC2460 Internet Protocol, Version 6(IPv6) Specification, December 1998
【0007】
【発明が解決しようとする課題】
しかし、IPv6では、アドレス空間が128ビットに拡張されている分、一つのネットワークは64ビット分のアドレスを収容可能となっている。IPv6ではこの広大なアドレス空間を利用した有益性が多数存在するが、一方でこのアドレス空間の広さが悪意の第三者に対して有益に働くという問題がある。つまり、あるネットワークに端末を接続した悪意の第三者はほぼ64ビットのアドレス幅を利用して対象となる端末の攻撃を行なうことが可能となる。更に、IPv6では個人でも複数のネットワークを収容可能とする為、より広いアドレス空間を割り当てることが考えられる。この為、IPv6では、悪意の第三者による資源を枯渇させる攻撃等に対し、従来のIPv4のような単純なアドレスの比較では攻撃を回避することは出来ない。
【0008】
本発明は上記問題点を解決する為になされたものであり、IPv6アドレスを用いた通信において、送信元の正当性を検証し不適切な接続要求を制限することにより悪意の第三者による資源枯渇の攻撃を回避する為の通信制御装置、通信制御方法、通信制御付サーバ装置、通信制御付サーバ装置による通信制御方法及び通信制御プログラムに関する。
【0009】
【課題を解決するための手段】
上記の問題点を解決するための本発明の第1の特徴は、通信装置と、この通信装置にネットワークを介して接続されたサーバ装置との間に配置され、前記通信装置からの単位時間あたりのパケット受信回数に基づく重み付け値を、受信したパケットの送信元アドレスの所定の部分の値ごとに記憶する記憶手段と、前記通信装置から前記サーバ装置に対して送信された接続要求パケットを受信する接続要求受信手段と、前記接続要求受信手段で受信した接続要求パケットの送信元アドレスの所定の部分の値に対応する重み付け値を前記記憶手段から取得する重み検出手段と、前記重み検出手段で取得した重み付け値が予め設定された値を超えるときは、前記通信装置に接続されることにより前記サーバ装置のハードウェアまたはソフトウェア資源が所定の値以上消費されると判断して受信した接続要求パケットを破棄して前記通信装置から前記サーバ装置への接続要求を拒否し、前記重み検出手段で取得した重み付け値が予め設定された値以下の適正範囲のときは前記通信装置から前記サーバ装置への接続処理を行う接続制御手段と、前記接続制御手段で接続処理が行われたときは、前記記憶手段に記憶されている前記接続要求パケットの送信元アドレスの所定の部分の値の重み付け値に、所定の演算により算出された重みを加える重み加算手段と、前記接続制御手段で接続処理が行われたときに、前記通信装置と前記サーバ装置とを接続するために、取得した接続要求パケットを前記サーバ装置に送信するパケット送信手段とを具備する通信制御装置であることを要旨とする。
【0010】
また、本発明の第2の特徴は、通信装置にネットワークを介して接続され、前記通信装置からの単位時間あたりのパケット受信回数に基づく重み付け値を、受信したパケットの送信元アドレスの所定の部分の値ごとに記憶する記憶手段と、前記通信装置から送信された接続要求パケットを受信する接続要求受信手段と、前記接続要求受信手段で受信した接続要求パケットの送信元アドレスの所定の部分の値に対応する重み付け値を前記記憶手段から取得する重み検出手段と、前記重み検出手段で取得した重み付け値が予め設定された値を超えるときは、前記通信装置と接続することによりハードウェアまたはソフトウェア資源を所定の値以上消費すると判断して受信した接続要求パケットを破棄して前記通信装置からの接続要求を拒否し、前記重み検出手段で取得した重み付け値が予め設定された値以下の適正範囲のときは前記通信装置からの接続処理を行う接続制御手段と、前記接続制御手段で接続処理が行われたときは、前記記憶手段に記憶されている前記接続要求パケットの送信元アドレスの所定の部分の値の重み付け値に、所定の演算により算出された重みを加える重み加算手段とを具備する通信制御付サーバ装置であることを要旨とする。
【0011】
本発明の第3の特徴は、通信装置と、この通信装置にネットワークを介して接続されたサーバ装置との間に配置された通信制御装置が、前記通信装置からの単位時間あたりのパケット受信回数に基づく重み付け値を、受信したパケットの送信元アドレスの所定の部分の値ごとに記憶し、前記通信装置から前記サーバ装置に対して送信された接続要求パケットを受信し、受信した接続要求パケットの送信元アドレスの所定の部分の値に対応する重み付け値を、記憶している単位時間あたりのパケット受信回数に基づいて算出された重み付け値の中から検出して取得し、取得した重み付け値が予め設定された値を超えるときは、前記通信装置と接続されることにより前記サーバ装置のハードウェアまたはソフトウェア資源が所定の値以上消費されると判断して受信した接続要求パケットを破棄して前記通信装置から前記サーバ装置への接続要求を拒否し、取得した重み付け値が予め設定された値以下の適正範囲のときは前記通信装置から前記サーバ装置への接続処理を行い、前記接続処理が行われたときは、記憶している前記接続要求パケットの送信元アドレスの所定の部分の値の重み付け値に、所定の演算により算出された重みを加え、前記接続処理が行われたときに、前記通信装置と前記サーバ装置とを接続するために、取得した接続要求パケットを前記サーバ装置に送信する通信制御方法であることを要旨とする。
【0012】
本発明の第4の特徴は、通信装置にネットワークを介して接続された通信制御付サーバ装置が、前記通信装置からの単位時間あたりのパケット受信回数に基づく重み付け値を、受信したパケットの送信元アドレスの所定の部分の値ごとに記憶し、前記通信装置から送信された接続要求パケットを受信し、受信した接続要求パケットの送信元アドレスの所定の部分の値に対応する重み付け値を、記憶している単位時間あたりのパケット受信回数に基づいて算出された重み付け値の中から検出して取得し、取得した重み付け値が予め設定された値を超えるときは、前記通信装置と接続することによりハードウェアまたはソフトウェア資源が所定の値以上消費されると判断して受信した接続要求パケットを破棄して前記通信装置からの接続要求を拒否し、取得した重み付け値が予め設定された値以下の適正範囲のときは前記通信装置からの接続処理を行い、前記接続処理が行われたときは、記憶している前記接続要求パケットの送信元アドレスの所定の部分の値の重み付け値に、所定の演算により算出された重みを加えることを特徴とする通信制御付サーバ装置による通信制御方法であることを要旨とする。
【0013】
本発明の第5の特徴は、通信装置と、この通信装置にネットワークを介して接続されたサーバ装置との間に配置されたコンピュータに、前記通信装置からの単位時間あたりのパケット受信回数に基づく重み付け値を、受信したパケットの送信元アドレスの所定の部分の値ごとに記憶する機能と、前記通信装置から前記サーバ装置に対して送信された接続要求パケットを受信する機能と、受信した接続要求パケットの送信元アドレスの所定の部分の値に対応する重み付け値を、記憶している単位時間あたりのパケット受信回数に基づいて算出された重み付け値の中から検出して取得する機能と、取得した重み付け値が予め設定された値を超えるときは、前記通信装置と接続されることにより前記サーバ装置のハードウェアまたはソフトウェア資源が所定の値以上消費されると判断して受信した接続要求パケットを破棄して前記通信装置から前記サーバ装置への接続要求を拒否し、取得した重み付け値が予め設定された値以下の適正範囲のときは前記通信装置から前記サーバ装置への接続処理を行う機能と、前記接続処理が行われたときに、記憶している前記接続要求パケットの送信元アドレスの所定の部分の値の重み付け値に、所定の演算により算出された重みを加える機能と、前記接続処理が行われたときに、前記通信装置と前記サーバ装置とを接続するために、取得した接続要求パケットを前記サーバ装置に送信する機能とを実行させる通信制御プログラムであることを要旨とする。
【0014】
本発明の第6の特徴は、通信装置にネットワークを介して接続された通信制御付サーバ装置が、前記通信装置からの単位時間あたりのパケット受信回数に基づく重み付け値を、受信したパケットの送信元アドレスの所定の部分の値ごとに記憶する機能と、前記通信装置から送信された接続要求パケットを受信する機能と、受信した接続要求パケットの送信元アドレスの所定の部分の値に対応する重み付け値を、記憶している単位時間あたりのパケット受信回数に基づいて算出された重み付け値の中から検出して取得する機能と、取得した重み付け値が予め設定された値を超えるときは、前記通信装置と接続することによりハードウェアまたはソフトウェア資源が所定の値以上消費されると判断して受信した接続要求パケットを破棄して前記通信装置からの接続要求を拒否し、取得した重み付け値が予め設定された値以下の適正範囲のときは前記通信装置からの接続処理を行う機能と、前記接続処理が行われたときは、記憶している前記接続要求パケットの送信元アドレスの所定の部分の値の重み付け値に、所定の演算により算出された重みを加える機能とを実行させる通信制御プログラムであることを要旨とする。
【0015】
【発明の実施の形態】
(第1の実施の形態)
(通信接続システム)
本発明の第1の実施の形態に係る通信接続システムは、図1に示すように、通信制御装置100、通信サーバ装置1、LANケーブル2に接続する通信装置2a、2b、LANケーブル3に接続する通信装置3a、LANケーブル4に接続する通信装置4a、LANケーブル5に接続する通信装置5a、各通信装置と通信サーバ装置1を接続するネットワーク6等から構成される。尚、ネットワーク6とは、有線、無線等を問わず、通信媒体を介してデータ伝送を行うインターネット等の通信網を指すものとする。
【0016】
各LANケーブルに接続された通信装置2a、2b、3a、4a、5aは、ネットワーク6を介して、通信サーバ装置1に対し適宜接続を要求する。この際、通信制御装置100は、通信装置2a、2b、3a、4a、5aの内に、接続の要求を不必要に多発させ、通信サーバ装置1の資源を多量に使用している通信装置が存在するか否かを監視する。この監視はパケットの送信元アドレスに「重み」を付加し、この重みにより、そのパケットの送信元がどれぐらい偏っているかを測定することにより行なわれる。つまり、同じ送信元から資源消費が行なわれるパケットがくるたびに、その送信元アドレスは重くなっていくように処理する。又、通信制御装置100は、その重みに従って、対象となるパケットの処理を決定する。例えば、非常に重いパケットは、接続の要求を不必要に多発させている通信装置からのものであると判断し、その通信装置からの接続要求は通信サーバ装置1に送信せず廃棄する等の制御を行なう。尚、通信制御装置100の機能は、コンピュータに所定の機能を実現するソフトウェアプログラムをインストールすること等により実現される。
【0017】
(通信制御装置)
本発明の第1の実施の形態に係る通信制御装置100は、図2に示すように、記憶装置10、入力装置11、出力装置12、通信制御装置13、主記憶装置14及び処理制御装置(CPU)15等を備えている。記憶装置10は、受信パケット記憶装置16、資源記憶装置17、パケット分割記憶装置18、重み記憶装置19、重み判断記憶装置20及びプログラム記憶装置31等から構成される。
【0018】
受信パケット記憶装置16は、通信装置2a、2b、3a、4a、5aから送信された接続要求の為のパケットを受信し、一時記憶する。資源記憶装置17は、受信したパケットの資源カテゴリ情報を記憶する。
【0019】
パケット分割記憶装置18は、パケットが保持するアドレスの分割位置を定めたアドレス構造を記憶する。重み記憶装置19は、図5に示すように、分割部分の現在の重み、パケットの分割部毎の加重変数及び加重後の重みを記憶する。重み判断記憶装置20は、重みを検出した結果、その重みが基準値以上であるか以下であるかを判定するための基準値テーブルを記憶する。又、判定の結果、そのパケットに対しどのような処理を行うかについても記憶する。プログラム記憶装置31は、CPU15が処理を行うプログラムを記憶する。
【0020】
CPU15は、接続要求受信手段15a、資源検出手段15b、パケット分割手段15c、重み検出手段15d、接続制御手段15e、重み加算手段15f及びパケット送信手段15g等を備えている。
【0021】
接続要求受信手段15aは、通信装置2a、2b、3a、4a、5aから送信された接続要求を受信するモジュールである。資源検出手段15bは、第1の検出手段であり、受信したパケットの資源を検出するモジュールである。例えば、受信パケットがシンクロナイズフラグパケット(SYNパケット)であった場合、SYNパケットはTCPのコネクション確立要求のパケットである為、この資源カテゴリはTCPであると検出する。パケット分割手段15cは、パケット分割記憶装置18に記憶されるパケットの分割情報を基に、受信パケットの分割を行なうモジュールである。パケット分割手段15cは、このアドレス構造の特徴を考慮してパケットの分割を行なう。例として図3では、128ビットのパケットを48ビット目、64ビット目にて単純に3分割する。結果、P1領域48ビット、P2領域16ビット及びP3領域64ビットに分割する構造となる。図4では、パケットを48ビット目、64ビット目にて3分割し、先頭ビットからの累積値をとる。よって、P1領域48ビット、P2領域64ビット及びP3領域128ビットに分割する構造となる。
【0022】
重み検出手段15dは、第2の検出手段であり、接続要求が資源の所定の値以上を消費するか否かを検出するモジュールである。更に、記憶装置10に記憶されたアドレスに関する情報が同一若しくは近隣のネットワークに属する通信装置のアドレスに基づくものであるか否かを検出するモジュールである。具体的には、重み検出手段15dは、受信パケットの送信元アドレスの重みを、重み記憶装置19内の情報より検出し、この重みを基に、一定以上の資源を消費するか、同一通信装置又は近隣のネットワークに属する通信装置から送信されているか否かを判断する。尚、IPv6アドレスは上位のネットワーク部の書き換えが可能である為、近隣のネットワークを指すアドレスを偽って、同一通信装置より送信されていることもありえる。接続制御手段15eは、検出された送信元アドレスの重みを基に、通信サーバ装置1に接続するか否かの判断を制御するモジュールである。重み加算手段15fは、送信元アドレスの重みが適正範囲であると判定され、通信サーバ装置1に送信される場合、この送信元アドレスの重みに新たな重みを加えるモジュールである。パケット送信手段15gは、接続許可された受信パケット、例えばSYNパケットを通信サーバ装置1に送信するモジュールである。
【0023】
入力装置11は、通信装置2a、2b、3a、4a、5a等からSYNパケット等のパケットを受信するインタフェースである。出力装置12は、通信サーバ装置1に対し、接続可能と許可したSYNパケット等のパケットを送信するインタフェースである。通信制御装置13は、無線、有線等の通信回線を介してパケットを他の通信装置等のノード及びルータ等に送受信する為の制御信号を生成する。主記憶装置14は、処理の手順を記述したプログラムや処理されるべきパケット等のデータを一時的に記憶し、CPU15の要請に従ってプログラムの機械命令やデータを引き渡す。CPU15で処理されたデータは主記憶装置に書き込まれる。主記憶装置14とCPU15はアドレスバス、データバス、制御信号等で結ばれている。
【0024】
(通信制御方法)
次に、通信制御装置100の動作について図7を用いて説明する。
【0025】
(a)ステップS101において、通信制御装置100の接続要求受信手段15aは、通信装置2a、2b、3a、4a、5aのいずれかから送信されたパケットを受信し、受信パケット記憶装置16にて一時記憶させる。
【0026】
(b)ステップS102において、資源検出手段15bは、受信パケット記憶装置16にて一時記憶されているパケットを取り出し、このパケットの資源カテゴリを検出する。例えば、SYNパケットであった場合、このパケットはTCPの資源カテゴリに属すると検出される。
【0027】
(c)ステップS103において、パケット分割手段15cは、パケット分割記憶装置18内の情報を基に、受信パケットの送信元アドレスを図3及び図4のように分割する。
【0028】
(d)ステップS104において、重み検出手段15dは、重み記憶装置19を基に、分割された受信パケットの、分割部分毎の重みを検出する。例えば、重み記憶装置19の、図5(a)の分割部分の現在の重み「P1:1、P2:2、P3:3」の部分を検出する。
【0029】
(e)ステップS105において、接続制御手段15eは、検出された現在の分割部分の重みが基準値内であるか否かを判断する。この基準値はプログラム等によって予め設定されている。
【0030】
(f)重みが基準値内であると判断された場合、ステップS106に進み、重みが基準値内であっても、ある特徴が発見されたパケットに対しては一定の送信条件を設定する。送信条件の設定は図6の重み判断記憶装置20の内容を基に行なう。例えば、重みが基準値内であっても、単位時間内の重みの差分が大きい、つまり、短時間に集中的に一定の通信装置よりパケットを受信している場合、悪意がある可能性が高いと判断し、通信サーバ装置1へこのパケットを送信することを大幅に遅延させる。又、現在の全体の重み平均より重い場合、つまり他の通信装置と比較し、若干パケットの受信回数が多い場合は、悪意がある可能性が低いにせよ考えられると判断して、通信サーバ装置1へこのパケットを送信することを少し遅延させる。尚、全体の重み平均より軽い場合は、通常どおりの速度にて送信処理をおこなう。
【0031】
(g)ステップS107においては、重み加算手段15fが、パケットの重みを加える。加重は重み記憶装置19に記憶される「重み」と「分割部分の加重変数」を基に行なう。加重変数は基準の重みに対する加算、掛算等の為に用いる。P1、P2、P3の各加重変数は全部同じ値にしても良いし、一部の分割部分に高い加重をかけてもよい。IPv6アドレスにおいては図3及び図4のネットワークプレフィックス部(P1+P2)は可変長で上位のネットワークを特定する。これに対しインタフェースID部(P3)は通信装置2a、2b、3a、4a、5aが各々有するユニークなMACアドレスを基に作成されるので通信装置2a、2b、3a、4a、5aを特定することができる。つまり、P1やP1+P2が同じであれば近い若しくは同じネットワークに存在する通信装置からのパケットであり、P1+P2+P3が同じであると、全く同じ通信装置からのパケットであるといえる。この為、P1≦P2≦P3と加重をかけるのが好ましい。図5(c)では加重後の重みはP1:1(1*1)、P2:2(1*2)P3:6(2*3)となる。
【0032】
尚、重みは、通信サーバ装置1に現在の資源の消費がどの送信元アドレスからきているかをすべて問い合わせ、攻撃の可能性があると判断される通信装置を特定し、この特定された通信装置のみのアドレスを受信パケット記憶装置に16に記憶してから計算してもよい。
【0033】
(h)最後にステップS108では、パケット送信手段15gは、重みを加えられたパケットを通信サーバ装置1に対して送信する。
【0034】
本発明の第1の実施の形態に係る通信制御装置100によると、資源検出及び重み検出を行なうことにより、パケットの送信元の正当性を検証することができる。更に、この検証結果を基に、接続制御手段が不適切な接続要求を受信拒否する等の制限を行なうことにより悪意の第三者による資源枯渇の攻撃を回避することが可能となる。
【0035】
通信制御装置100はブリッジやルータに埋め込んでもよい。通信制御装置100は、保護対象の通信サーバ装置1の為に通信サーバ装置1宛のパケットを他の独自の手法により処理してもよいし、通信サーバ装置1に受信したパケットの重みを通知してもよい。通知方式にはフローラベル(flow label)やトラフィッククラス(traffic class)の値を適宜書き換える等の手法が考えられる。あるいは通信制御装置100自体がディフサーブ(diffserv)のようなサービス管理手法を利用して通信サーバ装置1へのトラフィックを制御してもよい。例として、通信サーバ装置1及び通信制御装置100のメンテナンスする側と攻撃者側が、近いネットワークに属している場合は、重みによる通信制御を行なっていても攻撃が発生する。その為、通信制御装置100は、特別な条件を満たせば「重み」に関係なく接続を受け入れられる領域を持っても良い。具体的には、正しくIPsecが行なわれていれば「重い」送信元アドレスからでも接続を受け入れるというような方法が考えられる。この場合、以下の第2の実施の形態に述べるような、通信制御装置100が通信サーバ装置1内に搭載されている装置の方が有利である。
【0036】
(第2の実施の形態)
(通信接続システム)
次に、図1の通信制御装置100が通信サーバ装置1内に搭載されている通信制御付サーバ装置200について説明する。その他の装置については図1の通信制御装置100の通信接続システムと同様である為説明を省略する。
【0037】
(通信制御付サーバ装置)
本発明の第2の実施の形態に係る通信制御付サーバ装置200は、図8に示すように、記憶装置40、入力装置21、出力装置22、通信制御装置23、主記憶装置24及び処理制御装置(CPU)25等を備えている。
【0038】
記憶装置40は、受信パケット記憶装置26、資源記憶装置27、パケット分割記憶装置28、重み記憶装置29、重み判断記憶装置30、プログラム記憶装置31、重み履歴記憶装置32及びサーバ処理記憶装置33等から構成される。
【0039】
重み履歴記憶装置32は、同一若しくは近くのネットワークに属する送信元から受信したパケットの重みの変化、つまり重みの履歴を、図9に示すように単位時間毎に記憶する。
【0040】
サーバ処理記憶装置33は、通常のクライアントサーバ接続を行い、通信端末に対し一定のサービス処理を行なう際に必要な情報を記憶する。
【0041】
CPU25は、接続要求受信手段25a、資源検出手段25b、パケット分割手段25c、重み検出手段25d、接続制御手段25e、重み加算手段25f、重み減算手段25g、接続応答送信手段25h及びサーバ処理手段25i等を備えている。重み減算手段25gは、送信元アドレスの重みが適正範囲であると判定され、通信サーバ装置1に送信される場合、この送信元アドレスの重みを減らすモジュールである。サーバ処理手段25iは、通常のクライアントサーバ接続を行い、通信端末に対し一定のサービス処理を行うモジュールである。その他の装置については第1の実施の形態と同様のものを使用するため説明を省略する。
【0042】
(通信制御方法)
次に、通信制御付サーバ装置200の動作について図10を用いて説明する。
【0043】
(a)ステップS201において、通信制御付サーバ装置200の接続要求受信手段25aは、通信装置2a、2b、3a、4a、5aのいずれかから送信されたパケットを受信し、受信パケット記憶装置26にて一時記憶させる。
【0044】
(b)ステップS202において、資源検出手段25bは、受信パケット記憶装置26にて一時記憶されているパケットを取り出し、このパケットの資源カテゴリを検出する。
【0045】
(c)ステップS203において、パケット分割手段25cは、パケット分割記憶装置28内の情報を基に、受信パケットの送信元アドレスを図3及び図4のように分割する。
【0046】
(d)ステップS204において、重み検出手段25dは、重み記憶装置29を基に、分割された受信パケットの、分割部分毎の重みを検出する。
【0047】
(f)ステップS205において、重み検出手段25dは、重み履歴記憶装置32より、分割された受信パケットの、分割部分毎の重みの履歴を検出する。
【0048】
(e)ステップS206において、接続制御手段25eは、検出された現在の分割部分の重みが基準値内であるか否かを判断する。この基準値はプログラム等によって予め設定されている。更に、重みの履歴が適正であるか否かを判断する。例えば、同一若しくはそれに近いネットワークに属する通信装置より僅か数時間の間に通常の域を越える量のパケットが送られてきた結果の重みであるか、通常の域で単純にパケットが送られてきた結果の重みであるか等を判断する。
【0049】
(g)ステップS207においては、ステップS206で、重みが基準値であり、且つ、重みの履歴が正常であった場合、何らかの事情により一定期間に接続要求が集中しただけであるとみなし、重み減算手段25gはそのパケットの重みを減算する。
【0050】
(h)ステップS208においては、ステップS206で、重みが基準値内であった場合、重み加算手段15fが、パケットの重みを加える。加重は重み記憶装置19に記憶される「重み」と「分割部分の加重変数」を基に行なう。
【0051】
(i)ステップS209においては、ステップS206で、重みが基準値外であり、且つ、重みの履歴が異常であった場合、このパケットの送信元通信装置は敵意を持って攻撃しているとみなし、このパケットを廃棄する。
【0052】
(j)ステップS210においては、ステップS207及びS208で重みが基準値内であっても、ある特徴が発見されたパケットに対し、図6の重み判断記憶装置30に記憶された情報を基に、サーバ処理手段25iでの処理条件を設定する。サーバ処理手段25iでは、アクノレッジメント(ACK)パケット、ACK/SYNパケット等の接続応答パケットを作成する。
【0053】
(k)最後にステップS211では、接続応答送信手段25hは、接続応答パケットを受信したパケットの送信元アドレスに対して送信する。
【0054】
本発明の第2の実施の形態に係る通信制御付サーバ装置200によると、資源、重み及びその重みの履歴の検出を行なうことにより、パケットの送信元の正当性及び攻撃性を具体的に検証することができる。更に、この検証結果を基に、接続制御手段が不適切な接続要求を受信拒否する等の制限を行なうことにより悪意の第三者による資源枯渇の攻撃を回避することが可能となる。
【0055】
通信制御付サーバ装置200は、通信制御機能とサーバ機能を備えている為、IPsecペイロードの正当性を判断する為のセキュリティアソシエイションの譲渡が行ないやすい。この為、通信サーバ装置1及び通信制御装置100のメンテナンスする側と攻撃者側が、近いネットワークに属している場合に発生する攻撃に対しても、特別な条件を満たせば「重み」に関係なく接続を受け入れることができる。具体的には、正しくIPsecが行なわれていれば「重い」送信元アドレスからでも接続を受け入れる等の手法がある。
【0056】
(重み計算処理の実施例)
通信装置2a、2b、3a、4a、5a等から多くの接続要求等を受ける通信サーバでは、重みを求める処理の割合が非常に高くなる。この為、多少重みにずれが生じても、近似的且つ効率的に重みを計算できる手法が望ましい。一例としてハッシュ表を用いた計算処理の手法について、図11を参照して説明する。
【0057】
(a)先ず、あるパケットのP1、P2、P3のハッシュ表を作成する。ハッシュ表はP1、P2、P3をハッシュ演算して小さめな有限のビット長kで表せる値にする。つまり、ハッシュ表の配列のインデックス値をkとする。その後この配列の中にP1をハッシュ演算した値H(P1)と、P2をハッシュ演算した値H(P2)と、P3をハッシュ演算した値H(P3)をそれぞれ入力する。P1、P2、P3アドレスを数値化した値を、図3のように単純分割して計算する場合、木構造のハッシュ表を作成し、図4のように累積して計算する場合、P1、P2、P3用の3つのハッシュ表を作成する。
【0058】
(b)作成したP1のハッシュ表には、該当領域のハッシュ演算の通過回数(重みの値)が記述されている。つまり、ハッシュ表内の同配列領域を演算が通過した回数をそのまま重みの値としてカウントする。例えば配列のインデックスが3で、アドレス(0)(1)(2)を有していた場合、ハッシュ表作成の際に、アドレス(1)を通過した演算が1回あった場合には重みは1、アドレス(2)を通過した演算が2回あった場合には重みは2、アドレス(3)を通過した演算が3回あった場合には重みは3となる。重みの値は図示しない重み記憶領域に加算され、記憶される。この重みの値をW1とする。
【0059】
又、P1のハッシュ表には、H(P2)のハッシュ表の位置(例えばその領域へのポインタ)が記述されている。これに従って次のハッシュ表H(P2)に進む。
【0060】
(c)P2のハッシュ表には、該当領域のハッシュ演算の通過回数(重みの値)が記述されている。その重みの値を図示しない重み記憶領域に加算し、記憶する。この重みの値をW2とする。又、P2のハッシュ表には、H(P3)のハッシュ表の位置(例えばその領域へのポインタ)が記述されている。これに従って次のハッシュ表H(P3)に進む。
【0061】
(d)P3のハッシュ表には、該当領域のハッシュ演算の通過回数(重みの値)が記述されている。その重みの値を図示しない重み記憶領域に加算し、記憶する。この重みの値をW3とする。
【0062】
(e)つまり、重み記憶領域には、図5(b)の分割部分の加重変数を用いた、
重み=W1*(P1の加重変数)+W2*(P2の加重変数)
+W3*(P3の加重変数)…(1)
で表される重みが入力されている。重み検出の計算時には、W1、W2、W3の各領域の重みを計算しながら処理してもよい。この例では重みは単純に同じ量だけ増加させ、
重み=W1*1+(W2*2)+(W3*3)…(2)
この式2の様に算出時に加重を加味している。この他、重みを増やす際に加重を考慮して増加させ、計算時には単純に
重み=W1+W2+W3…(3)
と計算する方法も考えられる。
【0063】
(f)更に、資源が解放されるようなパケット、例えば資源カテゴリがTCPであった場合のFINパケット等を観測した場合は、このパケットの送信元アドレスに対応する重みを減らす。重みの減らし方は、重みの増加手法と同様の手法にて減らしてもよいし、異なる手法にて異なる重み量を減らしても良い。
【0064】
上記の実施例による重みの計算方法を用いて、その重みの検出を行なうことにより、パケットの送信元の正当性及び攻撃性を具体的に検証することができる。更に、この検証結果を基に、不適切な接続要求を受信拒否する等の制限を行なうことができる。
【0065】
又、(f)に記載の方法によると、悪意の第三者が、資源を埋め切らせずに常にサーバを重い状態にしておくことが目的として攻撃している場合、通信制御付サーバ装置200側でこの攻撃を識別出来る可能性がある。
【0066】
【発明の効果】
本発明によると、IPv6アドレスを用いた通信において、送信元の正当性を検証し不適切な接続要求を制限することにより悪意の第三者による資源枯渇の攻撃を回避する為の通信制御装置、通信制御方法、通信制御付サーバ装置、通信制御付サーバ装置による通信制御方法及び通信制御プログラムを提供することができる。
【図面の簡単な説明】
【図1】本発明の第1実施の形態に係る通信制御装置を用いたシステムの概要図である。
【図2】本発明の第1実施の形態に係る通信制御装置の構成を示す構成図である。
【図3】IPv6アドレスのデータの構造を示すデータ構造図である。
【図4】IPv6アドレスのデータの構造を示すデータ構造図である。
【図5】重み記憶装置内の重みデータを示す図である。
【図6】重み判断記憶装置内の重み判断データを示す図である。
【図7】通信制御装置の動作を示すフローチャートである。
【図8】本発明の第2実施の形態に係る通信制御付サーバ装置の構成を示す構成図である。
【図9】重み履歴記憶装置内の重み履歴データを示す図である。
【図10】通信制御付サーバ装置の動作を示すフローチャートである。
【図11】ハッシュ演算による重み管理表を示す図である。
【符号の説明】
1…通信サーバ装置
2、3、4、5…LANケーブル
2a、3a、4a、5a…通信装置
6…ネットワーク
10…記憶装置
11…入力装置
12…出力装置
13…通信制御装置
14…主記憶装置
15…CPU
15a…接続要求受信手段
15b…資源検出手段
15c…パケット分割手段
15d…検出手段
15e…接続制御手段
15f…加算手段
15g…パケット送信手段
16…受信パケット記憶装置
17…資源記憶装置
18…パケット分割記憶装置
19…記憶装置
20…重み判断記憶装置
100…通信制御装置
21…入力装置
22…出力装置
23…通信制御装置
24…主記憶装置
25a…接続要求受信手段
25b…資源検出手段
25c…パケット分割手段
25d…検出手段
25e…接続制御手段
25f…加算手段
25g…減算手段
25h…接続応答送信手段
25i…サーバ処理手段
26…受信パケット記憶装置
27…資源記憶装置
28…パケット分割記憶装置
29…重み記憶装置
30…重み判断記憶装置
31…プログラム記憶装置
32…重み履歴記憶装置
33…サーバ処理記憶装置
33…プログラム記憶装置
40…記憶装置
200…通信制御付サーバ装置

Claims (22)

  1. 通信装置と、この通信装置にネットワークを介して接続されたサーバ装置との間に配置され、
    前記通信装置からの単位時間あたりのパケット受信回数に基づく重み付け値を、受信したパケットの送信元アドレスの所定の部分の値ごとに記憶する記憶手段と、
    前記通信装置から前記サーバ装置に対して送信された接続要求パケットを受信する接続要求受信手段と、
    前記接続要求受信手段で受信した接続要求パケットの送信元アドレスの所定の部分の値に対応する重み付け値を前記記憶手段から取得する重み検出手段と、
    前記重み検出手段で取得した重み付け値が予め設定された値を超えるときは、前記通信装置に接続されることにより前記サーバ装置のハードウェアまたはソフトウェア資源が所定の値以上消費されると判断して受信した接続要求パケットを破棄して前記通信装置から前記サーバ装置への接続要求を拒否し、前記重み検出手段で取得した重み付け値が予め設定された値以下の適正範囲のときは前記通信装置から前記サーバ装置への接続処理を行う接続制御手段と、
    前記接続制御手段で接続処理が行われたときは、前記記憶手段に記憶されている前記接続要求パケットの送信元アドレスの所定の部分の値の重み付け値に、所定の演算により算出された重みを加える重み加算手段と、
    前記接続制御手段で接続処理が行われたときに、前記通信装置と前記サーバ装置とを接続するために、取得した接続要求パケットを前記サーバ装置に送信するパケット送信手段と、
    を具備することを特徴とする通信制御装置。
  2. 前記送信元アドレスはIPv6アドレスであり、前記送信元アドレスの所定の部分の値は、ネットワークプレフィクスの一部または全部である
    ことを特徴とする請求項1に記載の通信制御装置。
  3. 前記接続要求受信手段で受信した接続要求パケットが正当な接続要求によるものであることが証明されたときは、前記接続制御手段において前記重み付け値が予め設定された値を超えると判断されたときでも接続処理を行う
    ことを特徴とする請求項1または2に記載の通信制御装置。
  4. 前記記憶手段は、前記重み付け値の履歴を記憶し、
    前記接続制御手段は、前記重み検出手段で取得した重み付け値を前記重み付け値の履歴に基づいて加算または減算により調整し、この調整された重み付け値を基に前記サーバ装置への接続要求を拒否するかまたは接続処理を行うかを判断する
    ことを特徴とする請求項1〜3いずれか1項に記載の通信制御装置。
  5. 前記重み加算手段において、重みを算出するための所定の演算はハッシュ処理により行われる
    ことを特徴とする請求項1〜4いずれか1項に記載の通信制御装置。
  6. 通信装置にネットワークを介して接続され、
    前記通信装置からの単位時間あたりのパケット受信回数に基づく重み付け値を、受信したパケットの送信元アドレスの所定の部分の値ごとに記憶する記憶手段と、
    前記通信装置から送信された接続要求パケットを受信する接続要求受信手段と、
    前記接続要求受信手段で受信した接続要求パケットの送信元アドレスの所定の部分の値に対応する重み付け値を前記記憶手段から取得する重み検出手段と、
    前記重み検出手段で取得した重み付け値が予め設定された値を超えるときは、前記通信装置と接続することによりハードウェアまたはソフトウェア資源を所定の値以上消費すると判断して受信した接続要求パケットを破棄して前記通信装置からの接続要求を拒否し、前記重み検出手段で取得した重み付け値が予め設定された値以下の適正範囲のときは前記通信装置からの接続処理を行う接続制御手段と、
    前記接続制御手段で接続処理が行われたときは、前記記憶手段に記憶されている前記接続要求パケットの送信元アドレスの所定の部分の値の重み付け値に、所定の演算により算 出された重みを加える重み加算手段と、
    を具備することを特徴とする通信制御付サーバ装置。
  7. 前記送信元アドレスはIPv6アドレスであり、前記送信元アドレスの所定の部分の値は、ネットワークプレフィクスの一部または全部である
    ことを特徴とする請求項6に記載の通信制御装置。
  8. 前記接続要求受信手段で受信した接続要求パケットが正当な接続要求によるものであることが証明されたときは、前記接続制御手段において前記重み付け値が予め設定された値を超えると判断されたときでも接続処理を行う
    ことを特徴とする請求項6または7に記載の通信制御付サーバ装置。
  9. 前記記憶手段は、前記重み付け値の履歴を記憶し、
    前記接続制御手段は、前記重み検出手段で取得した重み付け値を前記重み付け値の履歴に基づいて加算または減算により調整し、この調整された重み付け値を基に前記接続要求を拒否するかまたは接続処理を行うかを判断する
    ことを特徴とする請求項6〜8いずれか1項に記載の通信制御付サーバ装置。
  10. 前記重み加算手段において、重みを算出するための所定の演算はハッシュ処理により行われる
    ことを特徴とする請求項6〜9いずれか1項に記載の通信制御付サーバ装置。
  11. 通信装置と、この通信装置にネットワークを介して接続されたサーバ装置との間に配置された通信制御装置が、
    前記通信装置からの単位時間あたりのパケット受信回数に基づく重み付け値を、受信したパケットの送信元アドレスの所定の部分の値ごとに記憶し、
    前記通信装置から前記サーバ装置に対して送信された接続要求パケットを受信し、
    受信した接続要求パケットの送信元アドレスの所定の部分の値に対応する重み付け値を、記憶している単位時間あたりのパケット受信回数に基づいて算出された重み付け値の中から検出して取得し、
    取得した重み付け値が予め設定された値を超えるときは、前記通信装置と接続されることにより前記サーバ装置のハードウェアまたはソフトウェア資源が所定の値以上消費されると判断して受信した接続要求パケットを破棄して前記通信装置から前記サーバ装置への接続要求を拒否し、取得した重み付け値が予め設定された値以下の適正範囲のときは前記通信装置から前記サーバ装置への接続処理を行い、
    前記接続処理が行われたときは、記憶している前記接続要求パケットの送信元アドレスの所定の部分の値の重み付け値に、所定の演算により算出された重みを加え、
    前記接続処理が行われたときに、前記通信装置と前記サーバ装置とを接続するために、取得した接続要求パケットを前記サーバ装置に送信する
    ことを特徴とする通信制御方法。
  12. 前記送信元アドレスはIPv6アドレスであり、前記送信元アドレスの所定の部分の値は、ネットワークプレフィクスの一部または全部である
    ことを特徴とする請求項11に記載の通信制御方法。
  13. 前記通信制御装置は、受信した接続要求パケットが正当な接続要求によるものであることが証明されたときは、前記重み付け値が予め設定された値を超えると判断したときでも接続処理を行う
    ことを特徴とする請求項11または12に記載の通信制御方法。
  14. 前記通信制御装置は、前記重み付け値の履歴を記憶し、
    取得した前記重み付け値を、前記重み付け値の履歴に基づいて加算または減算により調整し、この調整された重み付け値を基に前記サーバ装置への接続要求を拒否するかまたは接続処理を行うかを判断する
    ことを特徴とする請求項11〜13いずれか1項に記載の通信制御方法。
  15. 前記通信制御装置は、前記重みを算出するための所定の演算はハッシュ処理により行う
    ことを特徴とする請求項11〜14いずれか1項に記載の通信制御方法。
  16. 通信装置にネットワークを介して接続された通信制御付サーバ装置が、
    前記通信装置からの単位時間あたりのパケット受信回数に基づく重み付け値を、受信したパケットの送信元アドレスの所定の部分の値ごとに記憶し、
    前記通信装置から送信された接続要求パケットを受信し、
    受信した接続要求パケットの送信元アドレスの所定の部分の値に対応する重み付け値を、記憶している単位時間あたりのパケット受信回数に基づいて算出された重み付け値の中から検出して取得し、
    取得した重み付け値が予め設定された値を超えるときは、前記通信装置と接続することによりハードウェアまたはソフトウェア資源が所定の値以上消費されると判断して受信した接続要求パケットを破棄して前記通信装置からの接続要求を拒否し、取得した重み付け値が予め設定された値以下の適正範囲のときは前記通信装置からの接続処理を行い、
    前記接続処理が行われたときは、記憶している前記接続要求パケットの送信元アドレスの所定の部分の値の重み付け値に、所定の演算により算出された重みを加える
    ことを特徴とする通信制御付サーバ装置による通信制御方法。
  17. 前記送信元アドレスはIPv6アドレスであり、前記送信元アドレスの所定の部分の値は、ネットワークプレフィクスの一部または全部である
    ことを特徴とする請求項16に記載の通信制御付サーバ装置による通信制御方法。
  18. 前記通信制御付サーバ装置は、受信した接続要求パケットが正当な接続要求によるものであることが証明されたときは、前記重み付け値が予め設定された値を超えると判断したときでも接続処理を行う
    ことを特徴とする請求項16または17に記載の通信制御付サーバ装置による通信制御方法。
  19. 前記通信制御付サーバ装置は、前記重み付け値の履歴を記憶し、
    取得した前記重み付け値を、前記重み付け値の履歴に基づいて加算または減算により調整し、この調整された重み付け値を基に前記サーバ装置への接続要求を拒否するかまたは接続処理を行うかを判断する
    ことを特徴とする請求項16〜18いずれか1項に記載の通信制御付サーバ装置による通信制御方法。
  20. 前記通信制御付サーバ装置は、前記重みを算出するための所定の演算はハッシュ処理により行う
    ことを特徴とする請求項16〜19いずれか1項に記載の通信制御付サーバ装置による通信制御方法。
  21. 通信装置と、この通信装置にネットワークを介して接続されたサーバ装置との間に配置されたコンピュータに、
    前記通信装置からの単位時間あたりのパケット受信回数に基づく重み付け値を、受信したパケットの送信元アドレスの所定の部分の値ごとに記憶する機能と、
    前記通信装置から前記サーバ装置に対して送信された接続要求パケットを受信する機能と、
    受信した接続要求パケットの送信元アドレスの所定の部分の値に対応する重み付け値を、記憶している単位時間あたりのパケット受信回数に基づいて算出された重み付け値の中から検出して取得する機能と、
    取得した重み付け値が予め設定された値を超えるときは、前記通信装置と接続されることにより前記サーバ装置のハードウェアまたはソフトウェア資源が所定の値以上消費されると判断して受信した接続要求パケットを破棄して前記通信装置から前記サーバ装置への接続要求を拒否し、取得した重み付け値が予め設定された値以下の適正範囲のときは前記通信装置から前記サーバ装置への接続処理を行う機能と、
    前記接続処理が行われたときに、記憶している前記接続要求パケットの送信元アドレスの所定の部分の値の重み付け値に、所定の演算により算出された重みを加える機能と、
    前記接続処理が行われたときに、前記通信装置と前記サーバ装置とを接続するために、 取得した接続要求パケットを前記サーバ装置に送信する機能と、
    を実行させる通信制御プログラム。
  22. 通信装置にネットワークを介して接続された通信制御付サーバ装置が、
    前記通信装置からの単位時間あたりのパケット受信回数に基づく重み付け値を、受信したパケットの送信元アドレスの所定の部分の値ごとに記憶する機能と、
    前記通信装置から送信された接続要求パケットを受信する機能と、
    受信した接続要求パケットの送信元アドレスの所定の部分の値に対応する重み付け値を、記憶している単位時間あたりのパケット受信回数に基づいて算出された重み付け値の中から検出して取得する機能と、
    取得した重み付け値が予め設定された値を超えるときは、前記通信装置と接続することによりハードウェアまたはソフトウェア資源が所定の値以上消費されると判断して受信した接続要求パケットを破棄して前記通信装置からの接続要求を拒否し、取得した重み付け値が予め設定された値以下の適正範囲のときは前記通信装置からの接続処理を行う機能と、
    前記接続処理が行われたときは、記憶している前記接続要求パケットの送信元アドレスの所定の部分の値の重み付け値に、所定の演算により算出された重みを加える機能と、
    を実行させる通信制御プログラム。
JP2003045957A 2003-02-24 2003-02-24 通信制御装置、通信制御方法、通信制御付サーバ装置、通信制御付サーバ装置による通信制御方法及び通信制御プログラム Expired - Fee Related JP3819368B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2003045957A JP3819368B2 (ja) 2003-02-24 2003-02-24 通信制御装置、通信制御方法、通信制御付サーバ装置、通信制御付サーバ装置による通信制御方法及び通信制御プログラム
US10/740,440 US7366785B2 (en) 2003-02-24 2003-12-22 Communication control apparatus, communication control method and communication control program product
US12/041,900 US20080165682A1 (en) 2003-02-24 2008-03-04 Communication control apparatus, communication control method and communication control program product
US12/042,010 US20080159283A1 (en) 2003-02-24 2008-03-04 Communication control apparatus, communication control method and communication control program product

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003045957A JP3819368B2 (ja) 2003-02-24 2003-02-24 通信制御装置、通信制御方法、通信制御付サーバ装置、通信制御付サーバ装置による通信制御方法及び通信制御プログラム

Publications (2)

Publication Number Publication Date
JP2004260295A JP2004260295A (ja) 2004-09-16
JP3819368B2 true JP3819368B2 (ja) 2006-09-06

Family

ID=33112634

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003045957A Expired - Fee Related JP3819368B2 (ja) 2003-02-24 2003-02-24 通信制御装置、通信制御方法、通信制御付サーバ装置、通信制御付サーバ装置による通信制御方法及び通信制御プログラム

Country Status (2)

Country Link
US (3) US7366785B2 (ja)
JP (1) JP3819368B2 (ja)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ATE447280T1 (de) * 2004-11-10 2009-11-15 Ericsson Telefon Ab L M Sitzungszulassungs-kontrollverfahren und vorrichtung
US9171157B2 (en) * 2006-03-28 2015-10-27 Blue Coat Systems, Inc. Method and system for tracking access to application data and preventing data exploitation by malicious programs
US8462628B2 (en) * 2006-12-20 2013-06-11 Integrated Device Technology, Inc. Method of improving over protocol-required scheduling tables while maintaining same
US8112803B1 (en) * 2006-12-22 2012-02-07 Symantec Corporation IPv6 malicious code blocking system and method
JP5127670B2 (ja) * 2008-11-04 2013-01-23 三菱電機株式会社 フィルタ装置及びフィルタ方法及びプログラム
US8418211B2 (en) * 2008-12-31 2013-04-09 Echostar Technologies L.L.C. Antenna diversity for control device applications
JP5403160B2 (ja) * 2010-06-23 2014-01-29 富士通株式会社 通信装置、通信方法、および通信プログラム
US9177139B2 (en) * 2012-12-30 2015-11-03 Honeywell International Inc. Control system cyber security
US9794372B2 (en) * 2015-04-07 2017-10-17 At&T Intellectual Property I, L.P. Connection management service
US9954892B2 (en) * 2015-09-28 2018-04-24 Nxp B.V. Controller area network (CAN) device and method for controlling CAN traffic
US10361934B2 (en) 2015-09-28 2019-07-23 Nxp B.V. Controller area network (CAN) device and method for controlling CAN traffic

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6094435A (en) * 1997-06-30 2000-07-25 Sun Microsystems, Inc. System and method for a quality of service in a multi-layer network element
US6502135B1 (en) * 1998-10-30 2002-12-31 Science Applications International Corporation Agile network protocol for secure communications with assured system availability
JP3456923B2 (ja) * 1999-05-20 2003-10-14 シャープ株式会社 ホスト機器及び同期通信システム及び通信干渉防止方法及び通信干渉防止プログラムを記録したコンピュータ読み取り可能な記録媒体
US6744767B1 (en) * 1999-12-30 2004-06-01 At&T Corp. Method and apparatus for provisioning and monitoring internet protocol quality of service
US7065578B2 (en) * 2000-03-20 2006-06-20 At&T Corp. Service selection in a shared access network using policy routing
US7215637B1 (en) * 2000-04-17 2007-05-08 Juniper Networks, Inc. Systems and methods for processing packets
JP2002158699A (ja) 2000-11-20 2002-05-31 Nippon Telegr & Teleph Corp <Ntt> DoS攻撃防止方法および装置およびシステムおよび記録媒体
US7203170B2 (en) * 2001-05-01 2007-04-10 Integrated Device Technology, Inc. Network switch port with weighted random early discard
US20030072326A1 (en) * 2001-08-14 2003-04-17 Mehdi Alasti Method and apparatus for parallel, weighted arbitration scheduling for a switch fabric
KR100431191B1 (ko) * 2001-12-03 2004-05-12 주식회사 케이티 크레딧 기반 라운드 로빈을 이용한 패킷 스케쥴링장치 및방법
US7260085B2 (en) * 2002-03-21 2007-08-21 Acme Packet, Inc. System and method for determining a destination for an internet protocol packet
US6930988B2 (en) * 2002-10-28 2005-08-16 Nokia Corporation Method and system for fast IP connectivity in a mobile network

Also Published As

Publication number Publication date
US20080159283A1 (en) 2008-07-03
US20080165682A1 (en) 2008-07-10
US7366785B2 (en) 2008-04-29
JP2004260295A (ja) 2004-09-16
US20040205762A1 (en) 2004-10-14

Similar Documents

Publication Publication Date Title
US8224976B2 (en) Using a server&#39;s capability profile to establish a connection
EP1844596B1 (en) Method and system for mitigating denial of service in a communication network
US20080159283A1 (en) Communication control apparatus, communication control method and communication control program product
KR100481614B1 (ko) 서비스 거부와 분산 서비스 거부 공격으로부터 정상트래픽을 보호하는 방법 및 그 장치
US8850046B2 (en) Securing an access provider
US8879388B2 (en) Method and system for intrusion detection and prevention based on packet type recognition in a network
US8201252B2 (en) Methods and devices for providing distributed, adaptive IP filtering against distributed denial of service attacks
US7404210B2 (en) Method and apparatus for defending against distributed denial of service attacks on TCP servers by TCP stateless hogs
EP3226509B1 (en) Dynamic prioritization of network traffic based on reputation
WO2011131076A1 (zh) 建立流转发表项的方法及数据通信设备
JP2009525708A (ja) プロトコルリンクレイヤ
EP4058917A1 (en) System and method to protect resource allocation in stateful connection managers
Mohammadi et al. SYN‐Guard: An effective counter for SYN flooding attack in software‐defined networking
WO2022178169A1 (en) Methods and systems for synchronizing state amongst monitoring nodes
Khalid et al. FRID: Flood attack mitigation using resources efficient intrusion detection techniques in delay tolerant networks
Alicherry et al. Diploma: Distributed policy enforcement architecture for manets
WO2009064114A2 (en) Protection method and system for distributed denial of service attack
Al-Duwairi et al. Intentional dropping: a novel scheme for SYN flooding mitigation
WO2010081321A1 (zh) 实现上送速率动态联动的方法、装置和系统
US7920564B1 (en) Differential services support for control traffic from privileged nodes in IP networks
KR20120059914A (ko) 분산 서비스 거부 공격 탐지용 제품에 대한 평가 방법 및 평가 장치
Daci et al. IP Layer Client Puzzles: A Cryptographic Defense against DDoS Attack
Malarkodi et al. Modified AODV protocol for prevention of Denial of service attacks in wireless Ad hoc networks
Choudhari et al. SCTP-Sec: A secure Transmission Control Protocol

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040604

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060309

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060314

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060515

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060606

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060614

LAPS Cancellation because of no payment of annual fees