JP3832412B2 - パケット経路追跡システム - Google Patents
パケット経路追跡システム Download PDFInfo
- Publication number
- JP3832412B2 JP3832412B2 JP2002284968A JP2002284968A JP3832412B2 JP 3832412 B2 JP3832412 B2 JP 3832412B2 JP 2002284968 A JP2002284968 A JP 2002284968A JP 2002284968 A JP2002284968 A JP 2002284968A JP 3832412 B2 JP3832412 B2 JP 3832412B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- propagation path
- log recording
- propagation
- path
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、ネットワークを伝播するパケットを記録してパケットの伝播経路を追跡するパケット経路追跡システムに関し、特に確実にパケットの伝播経路の追跡が可能で、複数経路の特定が可能なパケット経路追跡システムに関する。
【0002】
【従来の技術】
従来のネットワークを伝播するパケットを記録してパケットの伝播経路を追跡するパケット経路追跡システムに関連する先行技術文献としては次のようなものがある。
【0003】
【特許文献1】
特開平10−164064号公報
【特許文献2】
特開2000−341315号公報
【0004】
従来のインターネット上ではパケットを連続してターゲットに送信して当該ターゲットの提供するサービスを停止等させるDoS(Denial of Service attack:サービス停止攻撃:以下、単にDoSと呼ぶ。)が問題になっている。
【0005】
特に、複数地点から一斉に一つのターゲットに対してDoS攻撃を行うDDoS(Distributed DoS:分散型DoS:以下、単にDDoSと呼ぶ。)が大きな問題になっている。
【0006】
このため、このようなDDoS攻撃等を防止するため、不正なパケットの発信源を特定するパケット経路追跡システムが考案されている。
【0007】
図5はこのような従来のパケット経路追跡システムの一例を示す構成ブロック図である。図5において1は攻撃者(アタッカー)が操作する端末、2はDDoS攻撃等のターゲットとなるサーバ、3及び4はISP(Internet Service Provider:インターネットサービス提供業者:以下、単にISPと呼ぶ。)、5,6,7及び8はルータ、9,10及び11は伝播するパケットの情報を記録するパケットログ記録装置である。
【0008】
端末1はルータ5を介してISP3に接続され、ISP3はルータ6及びルータ7を介してISP4に接続される。また、サーバ2はルータ8を介してISP4に接続される。
【0009】
さらに、端末1とルータ5との間の回線にはパケットログ記録装置9が接続され、ルータ6とルータ7との間の回線にはパケットログ記録装置10が接続され、サーバ2とルータ8との間の回線にはパケットログ記録装置11が接続される。
【0010】
ここで、図5に示す従来のパケット経路追跡システムの動作を図6及び図7を用いて説明する。図6は攻撃者(アタッカー)の攻撃経路を示す説明図、図7はパケットの記録状況を説明する説明図である。
【0011】
図6中”AT01”に示すように攻撃者(アタッカー)は端末1からISP3及びISP4を介してターゲットであるサーバ2に対してDoS攻撃等を行う。
【0012】
一方、パケットログ記録装置9,10及び11は接続された回線を伝播するパケットを取得して記憶手段に順次記録して行く。
【0013】
例えば、図7中”LG11”、”LG12”及び”LG13”に示すようにパケットログ記録装置9,10及び11はDoS攻撃のために伝播する不正なパケットを取得して記憶手段に順次記録する。
【0014】
そして、DoS攻撃等を受けたサーバ2が受信した不正なパケットと、パケットログ記録装置9,10及び11にそれぞれ記録されたパケットを比較して当該不正なパケットが伝播した経路を特定する。
【0015】
例えば、図6に示すDoS攻撃等に用いられた不正なパケットはパケットログ記録装置9,10及び11に記録されているので図6中”AT01”に示すような不正なパケットの伝播経路を特定することが可能になる。
【0016】
但し、監視している回線に伝播するパケットの全ての情報を順次記録するために、記憶手段には膨大な記憶容量が必要になるため、効率良くパケットの情報を保持する方法が考案されている。
【0017】
図8はこのようなパケットログ記録装置の具体例を示す構成ブロック図であり、12は演算制御手段、13は記憶手段である。
【0018】
観測点である回線からの入力は演算制御手段12に接続され、演算制御手段12の出力は記憶手段13に接続される。
【0019】
ここで、図8に示すパケットログ記録装置の動作を図9を用いて説明する。図9は取得したパケットの記録方法を説明する説明図である。
【0020】
図8中”LG21”に示すように観測点である回線から入力されたパケットは演算制御手段12に取り込まれ、IP(Internet Protocol)パケットの中で伝播中に不変である部分等を抽出する。
【0021】
そして、演算制御手段12は抽出された情報をハッシュ関数を用いてハッシュ値に変換し、このハッシュ値を記憶手段13のアドレスとみなして、該当するアドレスにビットを立てる等してある特定のパケットが伝播したことを記録する。
【0022】
ここで、ハッシュ関数とは、原文から固定長の疑似乱数(ハッシュ値)を生成する関数であって、このハッシュ関数は不可逆な一方向関数を含むために生成されたハッシュ値から元の原文を再現することはできない。また、同じハッシュ値となる異なるデータを作成することは極めて困難である。
【0023】
例えば、演算制御手段12が、図9中”PI31”に示すような取得したパケットから抽出された伝播中に不変である部分にハッシュ関数を適用して、図9中”HV31”に示すようなハッシュ値(例えば、XXXXH:16ビットの16進数表現)を得られた場合を想定する。
【0024】
この場合、演算制御手段12は得られたハッシュ値(XXXXH)を記憶手段13のアドレスとみなして、”XXXXH”のアドレスに図9中”WD31”に示すようにデータを書き込む。
【0025】
例えば、データの書込み方法としては”00000000B(8ビットデータ)”から”00000001B”等(ビットを立てる)に変更することによってある特定のパケットが伝播したことを記録する。
【0026】
そして、DoS攻撃等を受けたサーバが受信した不正なパケットに前記ハッシュ関数を適用して得られたハッシュ値に対応する記憶手段13のアドレスにビットが立っていれば不正なパケットがパケットログ記録装置が接続された回線を伝播したことになる。
【0027】
この結果、図8に示すパケットログ記録装置ではパケットの情報を全て記憶手段に記録するのではなく、パケットの一部分にハッシュ関数を適用して得られたハッシュ値に対応する記憶手段のアドレスに記録する(ビットを立てる)ことにより、記憶手段の記憶容量は小さくて良く、効率良くパケットの情報を保持することが可能である。
【0028】
【発明が解決しようとする課題】
しかし、図7に示すパケットログ記録装置を用いたパケット経路追跡システムではパケットの伝播経路が複雑であった場合には、パケットの伝播経路を特定できないと言った問題点があった。
【0029】
図10はこのような問題点を有する従来のパケット経路追跡システムの一例を示す構成ブロック図である。図10において14はDDoS攻撃等のターゲットとなるサーバ等の標的側端末、15は攻撃側端末、16,17及び18は従来のパケットログ記録装置、19はISPである。但し、説明の簡単のために図5に示すルータ等の記載は省略している。
【0030】
標的側端末14はネットワーク等によってパケットログ記録装置18に接続され、攻撃側端末15はネットワーク等によってパケットログ記録装置17に接続される。また、ISP19はネットワーク等によってパケットログ記録装置16に接続され、パケットログ記録装置16,17及び18はネットワーク等によって互いに相互に接続される。
【0031】
ここで、従来例の問題点を図11を用いて説明する。図11はパケットの伝播経路の一例を示す説明図である。
【0032】
標的側端末14がDoS攻撃等を受けた場合、前述の説明のように各パケットログ記録装置16,17及び18は当該不正なパケットが伝播した場合にはそのログが記録される。
【0033】
例えば、全てのパケットログ記録装置16,17及び18で当該不正なパケットのログが残っていた場合、特に、ログの取り込みの間隔が長い場合にはログが記録されている時刻がどのパケットログ記録装置16〜18でも同じになってしまい、図11中”RT41”に示す伝播経路であるのか図11中”RT42”に示す伝播経路であるのかを特定することができなくなってしまう。
【0034】
また、例えば、標的側端末14が攻撃側端末15及びISP19と言った複数の経路から、図11中”RT44”及び”RT43”に示すような伝播経路で同時にDoS攻撃等を受けた場合には、同様に、全てのパケットログ記録装置16,17及び18で当該不正なパケットのログが残るので、複数経路の攻撃なのか単独の攻撃なのかが断定できず、伝播経路を特定することがさらに困難になると言った問題点が生じる。
従って本発明が解決しようとする課題は、確実にパケットの伝播経路の追跡が可能で、複数経路の特定が可能なパケット経路追跡システムを実現することにある。
【0035】
【課題を解決するための手段】
このような課題を達成するために、本発明のうち請求項1記載の発明は、
ネットワークを伝播するパケットを記録してパケットの伝播経路を追跡するパケット経路追跡システムにおいて、
ネットワークの複数の観測点を伝播するパケットを記録する複数のパケットログ記録装置と、不正なパケットのログが記録されている全ての前記パケットログ記録装置に標的側端末に対する伝播経路のトレースを行わせ、これらのトレース結果を重ね合わせることにより前記標的側端末までのパケットの伝播経路を特定する伝播経路解析装置とを備えたことにより、確実にパケットの伝播経路の追跡が可能になる。
【0036】
請求項2記載の発明は、
請求項1記載の発明であるパケット経路追跡システムにおいて、
前記伝播経路解析装置が、
複数の前記パケットログ記録装置に前記不正なパケットのログが記録されているか否かを判断し、複数の前記パケットログ記録装置の何れかにログが記録されている場合には、ログが記録されている全ての前記パケットログ記録装置に前記標的側端末に対する伝播経路のトレースを行わせ、トレース結果を重ね合わせて全てのトレース結果が一致した場合にはその伝播経路をもって前記標的側端末までの前記パケットの伝播経路とすることにより、確実にパケットの伝播経路の追跡が可能になる。
【0037】
請求項3記載の発明は、
請求項1記載の発明であるパケット経路追跡システムにおいて、
前記伝播経路解析装置が、
複数の前記パケットログ記録装置に前記不正なパケットのログが記録されているか否かを判断し、複数の前記パケットログ記録装置の何れかにログが記録されている場合には、ログが記録されている全ての前記パケットログ記録装置に前記標的側端末に対する伝播経路のトレースを行わせ、トレース結果を重ね合わせて全てのトレース結果が一致しない場合にはこれらのトレース結果の伝播経路が一致する組み合わせで重ね合わせることにより前記標的側端末までの前記パケットの複数の伝播経路を特定することにより、複数経路の特定が可能になる。
【0038】
請求項4記載の発明は、
請求項1乃至請求項3のいずれかに記載の発明であるパケット経路追跡システムにおいて、
前記パケットログ記録装置が、
前記パケットの情報を記録する記憶手段と、複数の前記観測点の一を伝播するパケットを取り込み伝播中に不変である部分を抽出してハッシュ関数を適用し、得られたハッシュ値を前記記憶手段のアドレスとみなしてこのアドレスに前記情報としてデータを書き込むと共に前記伝播経路解析装置の制御により前記標的側端末に対する伝播経路のトレースを行う演算制御手段とから構成されたことにより、確実にパケットの伝播経路の追跡が可能になる。
【0039】
請求項5記載の発明は、
請求項1乃至請求項4のいずれかに記載の発明であるパケット経路追跡システムにおいて、
前記標的側端末が、
前記伝播経路解析装置の機能を有することことにより、確実にパケットの伝播経路の追跡が可能になる。また、複数経路の特定が可能になる。
【0040】
【発明の実施の形態】
以下本発明を図面を用いて詳細に説明する。図1は本発明に係るパケット経路追跡システムの一実施例を示す構成ブロック図である。
【0041】
図1において15及び19は図10と同一符号を付してあり、14aは伝播経路解析機能を有する標的側端末、20,21及び22は標的側端末14aの制御によりIPのルート(伝播経路)をトレースして検査する機能を有するパケットログ記録装置である。
【0042】
また、パケットログ記録装置20,21及び22の基本的な構成に関しては図8に示す従来のパケットログ記録装置の構成と同様である。
【0043】
標的側端末14aはネットワーク等によってパケットログ記録装置22に接続され、攻撃側端末15はネットワーク等によってパケットログ記録装置21に接続される。また、ISP19はネットワーク等によってパケットログ記録装置20に接続され、パケットログ記録装置20,21及び22はネットワーク等によって互いに相互に接続される。
【0044】
ここで、図1に示す実施例の動作を図2、図3及び図4を用いて説明する。図2は標的側端末14a(若しくは、その他の伝播経路解析機能を有する装置)における伝播経路の特定方法を説明するフロー図、図3は攻撃パケットの伝播経路が1つである場合の伝播経路の特定方法を説明する説明図、図4は攻撃パケットの伝播経路が複数である場合の伝播経路の特定方法を説明する説明図である。
【0045】
標的側端末14aがDoS攻撃等を受けた場合、従来例と同様に各パケットログ記録装置20,21及び22は当該不正なパケットが伝播した場合にはそのログを記録する。
【0046】
例えば、全てのパケットログ記録装置20,21及び22で当該不正なパケットのログが残っていた場合を想定する。
【0047】
図2中”S001”において標的側端末14aはパケットログ記録装置20〜22に不正なパケットのログが記録されているか否かを判断し、もし、パケットログ記録装置20〜22の何れかにログが記録されている場合(今回は、パケットログ記録装置20〜22の全てにログが記録されている)には、図2中”S002”において標的側端末14aはログが記録されている全てのパケットログ記録装置を制御して標的側端末14aに対するルート(伝播経路)のトレースを行わせる。
【0048】
例えば、標的側端末14aは各パケットログ記録装置20〜22において引数として標的側端末14aのIPアドレス、若しくは、標的側端末14aのホスト名を与えて”traceroute”や”tracert.exe”等のコマンドを実行させて、各パケットログ記録装置20〜22から標的側端末14aまでのパケットの伝播経路を取得させる。
【0049】
図2中”S003”において標的側端末14aはログが記録されている全てのパケットログ記録装置でルート(伝播経路)のトレースが完了したか否かを判断し、もし、トレースが完了していない場合には図2中”S002”のステップに戻り、トレースが完了している場合には図2中”S004”において標的側端末14aはトレース結果を重ね合わせる。
【0050】
さらに、図2中”S005”において標的側端末14aは全てのトレース結果が一致したか否かを判断し、もし、一致した場合には図2中”S006”において1つの伝播経路を特定する。
【0051】
例えば、パケットログ記録装置20からのルート(伝播経路)のトレース結果が図3中”TR51”に示すような伝播経路であり、同様に、パケットログ記録装置21及び22からのルート(伝播経路)のトレース結果が図3中”TR52”及び”TR53”に示すような伝播経路であった場合、これらのトレース結果を重ね合わせる。
【0052】
この場合、パケットログ記録装置21からは”パケットログ記録装置21:パケットログ記録装置20:パケットログ記録装置22:標的側端末14a”の順番にパケットが伝播している。
【0053】
同様に、パケットログ記録装置20からは”パケットログ記録装置20:パケットログ記録装置22:標的側端末14a”の順番にパケットが伝播し、パケットログ記録装置22からは”パケットログ記録装置22:標的側端末14a”の順番にパケットが伝播している。
【0054】
すなわち、これらのトレース結果を重ね合わせることにより、伝播経路が一致し、図3中”AR51”に示すような標的側端末14aまでの攻撃パケットの伝播経路を特定することができる。
【0055】
この結果、ログが記録されている全てのパケットログ記録装置に標的側端末14aに対するルート(伝播経路)のトレースを行わせ、これらのトレース結果を重ね合わせて標的側端末14aまでの攻撃パケットの伝播経路を特定することにより、確実にパケットの伝播経路の追跡が可能になる。
【0056】
一方、図2中”S005”において標的側端末14aは全てのトレース結果が一致しなかった場合には、図2中”S007”において標的側端末14aは各トレース結果の伝播経路が一致する組み合わせを見つけ出して複数の伝播経路を特定する。
【0057】
例えば、パケットログ記録装置20からのルート(伝播経路)のトレース結果が図4中”TR61”に示すような伝播経路であり、同様に、パケットログ記録装置21及び22からのルート(伝播経路)のトレース結果が図4中”TR62”及び”TR63”に示すような伝播経路であった場合、これらのトレース結果を重ね合わせる。
【0058】
この場合、パケットログ記録装置20からは”パケットログ記録装置20:パケットログ記録装置22:標的側端末14a”の順番にパケットが伝播している。
【0059】
同様に、パケットログ記録装置21からは”パケットログ記録装置21:パケットログ記録装置22:標的側端末14a”の順番にパケットが伝播し、パケットログ記録装置22からは”パケットログ記録装置22:標的側端末14a”の順番にパケットが伝播している。
【0060】
この時、これらの全てのトレース結果を重ね合わせても全ての伝播経路が一致せず、複数の伝播経路が存在する可能性があるため、各トレース結果の伝播経路が一致する組み合わせを見つけ出して複数の伝播経路を特定する。
【0061】
例えば、パケットログ記録装置20及び22のトレース結果の組み合わせに着目して重ね合わせれば伝播経路が一致し、図4中”AR61”に示すような攻撃パケットの伝播経路を特定することができる。
【0062】
また、例えば、パケットログ記録装置21及び22のトレース結果の組み合わせに着目して重ね合わせれば伝播経路が一致し、図4中”AR62”に示すような攻撃パケットの伝播経路を特定することができる。
【0063】
すなわち、これらのトレース結果の伝播経路が一致する組み合わせで重ね合わせることにより、図4中”AR61”及び”AR62”に示すような標的側端末14aまでの複数の攻撃パケットの伝播経路を特定することができる。
【0064】
この結果、ログが記録されている全てのパケットログ記録装置に標的側端末14aに対するルート(伝播経路)のトレースを行わせ、これらのトレース結果の伝播経路が一致する組み合わせで重ね合わせて標的側端末14aまでの攻撃パケットの伝播経路を特定することにより、複数経路の特定が可能になる。
【0065】
なお、図1に示す実施例では標的側端末14aが伝播経路解析機能を有している旨記載しているが、勿論、標的側端末14aの他に伝播経路解析機能を持たせコンピュータ等の伝播経路解析装置を設けて攻撃パケットの伝播経路を特定しても構わない。
【0066】
また、図1に示す実施例では複数のトレース結果を重ね合わせることによって、パケットの伝播経路を特定しているが、図3中”TR52”等に示すトレース結果をもって攻撃パケットの伝播経路としても勿論構わない。
【0067】
【発明の効果】
以上説明したことから明らかなように、本発明によれば次のような効果がある。
請求項1,2,4及び請求項5の発明によれば、不正なログが記録されている全てのパケットログ記録装置に標的側端末に対するルート(伝播経路)のトレースを行わせ、これらのトレース結果を重ね合わせて標的側端末までの攻撃パケットの伝播経路を特定することにより、確実にパケットの伝播経路の追跡が可能になる。
【0068】
また、請求項3及び請求項5の発明によれば、不正なログが記録されている全てのパケットログ記録装置に標的側端末に対するルート(伝播経路)のトレースを行わせ、これらのトレース結果の伝播経路が一致する組み合わせで重ね合わせて標的側端末までの攻撃パケットの伝播経路を特定することにより、複数経路の特定が可能になる。
【図面の簡単な説明】
【図1】本発明に係るパケット経路追跡システムの一実施例を示す構成ブロック図である。
【図2】標的側端末(若しくは、その他の伝播経路解析機能を有する装置)における伝播経路の特定方法を説明するフロー図である。
【図3】攻撃パケットの伝播経路が1つである場合の伝播経路の特定方法を説明する説明図である。
【図4】攻撃パケットの伝播経路が複数である場合の伝播経路の特定方法を説明する説明図である。
【図5】従来のパケット経路追跡システムの一例を示す構成ブロック図である。
【図6】攻撃者(アタッカー)の攻撃経路を示す説明図である。
【図7】パケットの記録状況を説明する説明図である。
【図8】パケットログ記録装置の具体例を示す構成ブロック図である。
【図9】取得したパケットの記録方法を説明する説明図である。
【図10】従来のパケット経路追跡システムの一例を示す構成ブロック図である。
【図11】パケットの伝播経路の一例を示す説明図である。
【符号の説明】
1 端末
2 サーバ
3,4,19 ISP
5,6,7,8 ルータ
9,10,11,16,17,18,20,21,22 パケットログ記録装置
12 演算制御手段
13 記憶手段
14,14a 標的側端末
15 攻撃側端末
【発明の属する技術分野】
本発明は、ネットワークを伝播するパケットを記録してパケットの伝播経路を追跡するパケット経路追跡システムに関し、特に確実にパケットの伝播経路の追跡が可能で、複数経路の特定が可能なパケット経路追跡システムに関する。
【0002】
【従来の技術】
従来のネットワークを伝播するパケットを記録してパケットの伝播経路を追跡するパケット経路追跡システムに関連する先行技術文献としては次のようなものがある。
【0003】
【特許文献1】
特開平10−164064号公報
【特許文献2】
特開2000−341315号公報
【0004】
従来のインターネット上ではパケットを連続してターゲットに送信して当該ターゲットの提供するサービスを停止等させるDoS(Denial of Service attack:サービス停止攻撃:以下、単にDoSと呼ぶ。)が問題になっている。
【0005】
特に、複数地点から一斉に一つのターゲットに対してDoS攻撃を行うDDoS(Distributed DoS:分散型DoS:以下、単にDDoSと呼ぶ。)が大きな問題になっている。
【0006】
このため、このようなDDoS攻撃等を防止するため、不正なパケットの発信源を特定するパケット経路追跡システムが考案されている。
【0007】
図5はこのような従来のパケット経路追跡システムの一例を示す構成ブロック図である。図5において1は攻撃者(アタッカー)が操作する端末、2はDDoS攻撃等のターゲットとなるサーバ、3及び4はISP(Internet Service Provider:インターネットサービス提供業者:以下、単にISPと呼ぶ。)、5,6,7及び8はルータ、9,10及び11は伝播するパケットの情報を記録するパケットログ記録装置である。
【0008】
端末1はルータ5を介してISP3に接続され、ISP3はルータ6及びルータ7を介してISP4に接続される。また、サーバ2はルータ8を介してISP4に接続される。
【0009】
さらに、端末1とルータ5との間の回線にはパケットログ記録装置9が接続され、ルータ6とルータ7との間の回線にはパケットログ記録装置10が接続され、サーバ2とルータ8との間の回線にはパケットログ記録装置11が接続される。
【0010】
ここで、図5に示す従来のパケット経路追跡システムの動作を図6及び図7を用いて説明する。図6は攻撃者(アタッカー)の攻撃経路を示す説明図、図7はパケットの記録状況を説明する説明図である。
【0011】
図6中”AT01”に示すように攻撃者(アタッカー)は端末1からISP3及びISP4を介してターゲットであるサーバ2に対してDoS攻撃等を行う。
【0012】
一方、パケットログ記録装置9,10及び11は接続された回線を伝播するパケットを取得して記憶手段に順次記録して行く。
【0013】
例えば、図7中”LG11”、”LG12”及び”LG13”に示すようにパケットログ記録装置9,10及び11はDoS攻撃のために伝播する不正なパケットを取得して記憶手段に順次記録する。
【0014】
そして、DoS攻撃等を受けたサーバ2が受信した不正なパケットと、パケットログ記録装置9,10及び11にそれぞれ記録されたパケットを比較して当該不正なパケットが伝播した経路を特定する。
【0015】
例えば、図6に示すDoS攻撃等に用いられた不正なパケットはパケットログ記録装置9,10及び11に記録されているので図6中”AT01”に示すような不正なパケットの伝播経路を特定することが可能になる。
【0016】
但し、監視している回線に伝播するパケットの全ての情報を順次記録するために、記憶手段には膨大な記憶容量が必要になるため、効率良くパケットの情報を保持する方法が考案されている。
【0017】
図8はこのようなパケットログ記録装置の具体例を示す構成ブロック図であり、12は演算制御手段、13は記憶手段である。
【0018】
観測点である回線からの入力は演算制御手段12に接続され、演算制御手段12の出力は記憶手段13に接続される。
【0019】
ここで、図8に示すパケットログ記録装置の動作を図9を用いて説明する。図9は取得したパケットの記録方法を説明する説明図である。
【0020】
図8中”LG21”に示すように観測点である回線から入力されたパケットは演算制御手段12に取り込まれ、IP(Internet Protocol)パケットの中で伝播中に不変である部分等を抽出する。
【0021】
そして、演算制御手段12は抽出された情報をハッシュ関数を用いてハッシュ値に変換し、このハッシュ値を記憶手段13のアドレスとみなして、該当するアドレスにビットを立てる等してある特定のパケットが伝播したことを記録する。
【0022】
ここで、ハッシュ関数とは、原文から固定長の疑似乱数(ハッシュ値)を生成する関数であって、このハッシュ関数は不可逆な一方向関数を含むために生成されたハッシュ値から元の原文を再現することはできない。また、同じハッシュ値となる異なるデータを作成することは極めて困難である。
【0023】
例えば、演算制御手段12が、図9中”PI31”に示すような取得したパケットから抽出された伝播中に不変である部分にハッシュ関数を適用して、図9中”HV31”に示すようなハッシュ値(例えば、XXXXH:16ビットの16進数表現)を得られた場合を想定する。
【0024】
この場合、演算制御手段12は得られたハッシュ値(XXXXH)を記憶手段13のアドレスとみなして、”XXXXH”のアドレスに図9中”WD31”に示すようにデータを書き込む。
【0025】
例えば、データの書込み方法としては”00000000B(8ビットデータ)”から”00000001B”等(ビットを立てる)に変更することによってある特定のパケットが伝播したことを記録する。
【0026】
そして、DoS攻撃等を受けたサーバが受信した不正なパケットに前記ハッシュ関数を適用して得られたハッシュ値に対応する記憶手段13のアドレスにビットが立っていれば不正なパケットがパケットログ記録装置が接続された回線を伝播したことになる。
【0027】
この結果、図8に示すパケットログ記録装置ではパケットの情報を全て記憶手段に記録するのではなく、パケットの一部分にハッシュ関数を適用して得られたハッシュ値に対応する記憶手段のアドレスに記録する(ビットを立てる)ことにより、記憶手段の記憶容量は小さくて良く、効率良くパケットの情報を保持することが可能である。
【0028】
【発明が解決しようとする課題】
しかし、図7に示すパケットログ記録装置を用いたパケット経路追跡システムではパケットの伝播経路が複雑であった場合には、パケットの伝播経路を特定できないと言った問題点があった。
【0029】
図10はこのような問題点を有する従来のパケット経路追跡システムの一例を示す構成ブロック図である。図10において14はDDoS攻撃等のターゲットとなるサーバ等の標的側端末、15は攻撃側端末、16,17及び18は従来のパケットログ記録装置、19はISPである。但し、説明の簡単のために図5に示すルータ等の記載は省略している。
【0030】
標的側端末14はネットワーク等によってパケットログ記録装置18に接続され、攻撃側端末15はネットワーク等によってパケットログ記録装置17に接続される。また、ISP19はネットワーク等によってパケットログ記録装置16に接続され、パケットログ記録装置16,17及び18はネットワーク等によって互いに相互に接続される。
【0031】
ここで、従来例の問題点を図11を用いて説明する。図11はパケットの伝播経路の一例を示す説明図である。
【0032】
標的側端末14がDoS攻撃等を受けた場合、前述の説明のように各パケットログ記録装置16,17及び18は当該不正なパケットが伝播した場合にはそのログが記録される。
【0033】
例えば、全てのパケットログ記録装置16,17及び18で当該不正なパケットのログが残っていた場合、特に、ログの取り込みの間隔が長い場合にはログが記録されている時刻がどのパケットログ記録装置16〜18でも同じになってしまい、図11中”RT41”に示す伝播経路であるのか図11中”RT42”に示す伝播経路であるのかを特定することができなくなってしまう。
【0034】
また、例えば、標的側端末14が攻撃側端末15及びISP19と言った複数の経路から、図11中”RT44”及び”RT43”に示すような伝播経路で同時にDoS攻撃等を受けた場合には、同様に、全てのパケットログ記録装置16,17及び18で当該不正なパケットのログが残るので、複数経路の攻撃なのか単独の攻撃なのかが断定できず、伝播経路を特定することがさらに困難になると言った問題点が生じる。
従って本発明が解決しようとする課題は、確実にパケットの伝播経路の追跡が可能で、複数経路の特定が可能なパケット経路追跡システムを実現することにある。
【0035】
【課題を解決するための手段】
このような課題を達成するために、本発明のうち請求項1記載の発明は、
ネットワークを伝播するパケットを記録してパケットの伝播経路を追跡するパケット経路追跡システムにおいて、
ネットワークの複数の観測点を伝播するパケットを記録する複数のパケットログ記録装置と、不正なパケットのログが記録されている全ての前記パケットログ記録装置に標的側端末に対する伝播経路のトレースを行わせ、これらのトレース結果を重ね合わせることにより前記標的側端末までのパケットの伝播経路を特定する伝播経路解析装置とを備えたことにより、確実にパケットの伝播経路の追跡が可能になる。
【0036】
請求項2記載の発明は、
請求項1記載の発明であるパケット経路追跡システムにおいて、
前記伝播経路解析装置が、
複数の前記パケットログ記録装置に前記不正なパケットのログが記録されているか否かを判断し、複数の前記パケットログ記録装置の何れかにログが記録されている場合には、ログが記録されている全ての前記パケットログ記録装置に前記標的側端末に対する伝播経路のトレースを行わせ、トレース結果を重ね合わせて全てのトレース結果が一致した場合にはその伝播経路をもって前記標的側端末までの前記パケットの伝播経路とすることにより、確実にパケットの伝播経路の追跡が可能になる。
【0037】
請求項3記載の発明は、
請求項1記載の発明であるパケット経路追跡システムにおいて、
前記伝播経路解析装置が、
複数の前記パケットログ記録装置に前記不正なパケットのログが記録されているか否かを判断し、複数の前記パケットログ記録装置の何れかにログが記録されている場合には、ログが記録されている全ての前記パケットログ記録装置に前記標的側端末に対する伝播経路のトレースを行わせ、トレース結果を重ね合わせて全てのトレース結果が一致しない場合にはこれらのトレース結果の伝播経路が一致する組み合わせで重ね合わせることにより前記標的側端末までの前記パケットの複数の伝播経路を特定することにより、複数経路の特定が可能になる。
【0038】
請求項4記載の発明は、
請求項1乃至請求項3のいずれかに記載の発明であるパケット経路追跡システムにおいて、
前記パケットログ記録装置が、
前記パケットの情報を記録する記憶手段と、複数の前記観測点の一を伝播するパケットを取り込み伝播中に不変である部分を抽出してハッシュ関数を適用し、得られたハッシュ値を前記記憶手段のアドレスとみなしてこのアドレスに前記情報としてデータを書き込むと共に前記伝播経路解析装置の制御により前記標的側端末に対する伝播経路のトレースを行う演算制御手段とから構成されたことにより、確実にパケットの伝播経路の追跡が可能になる。
【0039】
請求項5記載の発明は、
請求項1乃至請求項4のいずれかに記載の発明であるパケット経路追跡システムにおいて、
前記標的側端末が、
前記伝播経路解析装置の機能を有することことにより、確実にパケットの伝播経路の追跡が可能になる。また、複数経路の特定が可能になる。
【0040】
【発明の実施の形態】
以下本発明を図面を用いて詳細に説明する。図1は本発明に係るパケット経路追跡システムの一実施例を示す構成ブロック図である。
【0041】
図1において15及び19は図10と同一符号を付してあり、14aは伝播経路解析機能を有する標的側端末、20,21及び22は標的側端末14aの制御によりIPのルート(伝播経路)をトレースして検査する機能を有するパケットログ記録装置である。
【0042】
また、パケットログ記録装置20,21及び22の基本的な構成に関しては図8に示す従来のパケットログ記録装置の構成と同様である。
【0043】
標的側端末14aはネットワーク等によってパケットログ記録装置22に接続され、攻撃側端末15はネットワーク等によってパケットログ記録装置21に接続される。また、ISP19はネットワーク等によってパケットログ記録装置20に接続され、パケットログ記録装置20,21及び22はネットワーク等によって互いに相互に接続される。
【0044】
ここで、図1に示す実施例の動作を図2、図3及び図4を用いて説明する。図2は標的側端末14a(若しくは、その他の伝播経路解析機能を有する装置)における伝播経路の特定方法を説明するフロー図、図3は攻撃パケットの伝播経路が1つである場合の伝播経路の特定方法を説明する説明図、図4は攻撃パケットの伝播経路が複数である場合の伝播経路の特定方法を説明する説明図である。
【0045】
標的側端末14aがDoS攻撃等を受けた場合、従来例と同様に各パケットログ記録装置20,21及び22は当該不正なパケットが伝播した場合にはそのログを記録する。
【0046】
例えば、全てのパケットログ記録装置20,21及び22で当該不正なパケットのログが残っていた場合を想定する。
【0047】
図2中”S001”において標的側端末14aはパケットログ記録装置20〜22に不正なパケットのログが記録されているか否かを判断し、もし、パケットログ記録装置20〜22の何れかにログが記録されている場合(今回は、パケットログ記録装置20〜22の全てにログが記録されている)には、図2中”S002”において標的側端末14aはログが記録されている全てのパケットログ記録装置を制御して標的側端末14aに対するルート(伝播経路)のトレースを行わせる。
【0048】
例えば、標的側端末14aは各パケットログ記録装置20〜22において引数として標的側端末14aのIPアドレス、若しくは、標的側端末14aのホスト名を与えて”traceroute”や”tracert.exe”等のコマンドを実行させて、各パケットログ記録装置20〜22から標的側端末14aまでのパケットの伝播経路を取得させる。
【0049】
図2中”S003”において標的側端末14aはログが記録されている全てのパケットログ記録装置でルート(伝播経路)のトレースが完了したか否かを判断し、もし、トレースが完了していない場合には図2中”S002”のステップに戻り、トレースが完了している場合には図2中”S004”において標的側端末14aはトレース結果を重ね合わせる。
【0050】
さらに、図2中”S005”において標的側端末14aは全てのトレース結果が一致したか否かを判断し、もし、一致した場合には図2中”S006”において1つの伝播経路を特定する。
【0051】
例えば、パケットログ記録装置20からのルート(伝播経路)のトレース結果が図3中”TR51”に示すような伝播経路であり、同様に、パケットログ記録装置21及び22からのルート(伝播経路)のトレース結果が図3中”TR52”及び”TR53”に示すような伝播経路であった場合、これらのトレース結果を重ね合わせる。
【0052】
この場合、パケットログ記録装置21からは”パケットログ記録装置21:パケットログ記録装置20:パケットログ記録装置22:標的側端末14a”の順番にパケットが伝播している。
【0053】
同様に、パケットログ記録装置20からは”パケットログ記録装置20:パケットログ記録装置22:標的側端末14a”の順番にパケットが伝播し、パケットログ記録装置22からは”パケットログ記録装置22:標的側端末14a”の順番にパケットが伝播している。
【0054】
すなわち、これらのトレース結果を重ね合わせることにより、伝播経路が一致し、図3中”AR51”に示すような標的側端末14aまでの攻撃パケットの伝播経路を特定することができる。
【0055】
この結果、ログが記録されている全てのパケットログ記録装置に標的側端末14aに対するルート(伝播経路)のトレースを行わせ、これらのトレース結果を重ね合わせて標的側端末14aまでの攻撃パケットの伝播経路を特定することにより、確実にパケットの伝播経路の追跡が可能になる。
【0056】
一方、図2中”S005”において標的側端末14aは全てのトレース結果が一致しなかった場合には、図2中”S007”において標的側端末14aは各トレース結果の伝播経路が一致する組み合わせを見つけ出して複数の伝播経路を特定する。
【0057】
例えば、パケットログ記録装置20からのルート(伝播経路)のトレース結果が図4中”TR61”に示すような伝播経路であり、同様に、パケットログ記録装置21及び22からのルート(伝播経路)のトレース結果が図4中”TR62”及び”TR63”に示すような伝播経路であった場合、これらのトレース結果を重ね合わせる。
【0058】
この場合、パケットログ記録装置20からは”パケットログ記録装置20:パケットログ記録装置22:標的側端末14a”の順番にパケットが伝播している。
【0059】
同様に、パケットログ記録装置21からは”パケットログ記録装置21:パケットログ記録装置22:標的側端末14a”の順番にパケットが伝播し、パケットログ記録装置22からは”パケットログ記録装置22:標的側端末14a”の順番にパケットが伝播している。
【0060】
この時、これらの全てのトレース結果を重ね合わせても全ての伝播経路が一致せず、複数の伝播経路が存在する可能性があるため、各トレース結果の伝播経路が一致する組み合わせを見つけ出して複数の伝播経路を特定する。
【0061】
例えば、パケットログ記録装置20及び22のトレース結果の組み合わせに着目して重ね合わせれば伝播経路が一致し、図4中”AR61”に示すような攻撃パケットの伝播経路を特定することができる。
【0062】
また、例えば、パケットログ記録装置21及び22のトレース結果の組み合わせに着目して重ね合わせれば伝播経路が一致し、図4中”AR62”に示すような攻撃パケットの伝播経路を特定することができる。
【0063】
すなわち、これらのトレース結果の伝播経路が一致する組み合わせで重ね合わせることにより、図4中”AR61”及び”AR62”に示すような標的側端末14aまでの複数の攻撃パケットの伝播経路を特定することができる。
【0064】
この結果、ログが記録されている全てのパケットログ記録装置に標的側端末14aに対するルート(伝播経路)のトレースを行わせ、これらのトレース結果の伝播経路が一致する組み合わせで重ね合わせて標的側端末14aまでの攻撃パケットの伝播経路を特定することにより、複数経路の特定が可能になる。
【0065】
なお、図1に示す実施例では標的側端末14aが伝播経路解析機能を有している旨記載しているが、勿論、標的側端末14aの他に伝播経路解析機能を持たせコンピュータ等の伝播経路解析装置を設けて攻撃パケットの伝播経路を特定しても構わない。
【0066】
また、図1に示す実施例では複数のトレース結果を重ね合わせることによって、パケットの伝播経路を特定しているが、図3中”TR52”等に示すトレース結果をもって攻撃パケットの伝播経路としても勿論構わない。
【0067】
【発明の効果】
以上説明したことから明らかなように、本発明によれば次のような効果がある。
請求項1,2,4及び請求項5の発明によれば、不正なログが記録されている全てのパケットログ記録装置に標的側端末に対するルート(伝播経路)のトレースを行わせ、これらのトレース結果を重ね合わせて標的側端末までの攻撃パケットの伝播経路を特定することにより、確実にパケットの伝播経路の追跡が可能になる。
【0068】
また、請求項3及び請求項5の発明によれば、不正なログが記録されている全てのパケットログ記録装置に標的側端末に対するルート(伝播経路)のトレースを行わせ、これらのトレース結果の伝播経路が一致する組み合わせで重ね合わせて標的側端末までの攻撃パケットの伝播経路を特定することにより、複数経路の特定が可能になる。
【図面の簡単な説明】
【図1】本発明に係るパケット経路追跡システムの一実施例を示す構成ブロック図である。
【図2】標的側端末(若しくは、その他の伝播経路解析機能を有する装置)における伝播経路の特定方法を説明するフロー図である。
【図3】攻撃パケットの伝播経路が1つである場合の伝播経路の特定方法を説明する説明図である。
【図4】攻撃パケットの伝播経路が複数である場合の伝播経路の特定方法を説明する説明図である。
【図5】従来のパケット経路追跡システムの一例を示す構成ブロック図である。
【図6】攻撃者(アタッカー)の攻撃経路を示す説明図である。
【図7】パケットの記録状況を説明する説明図である。
【図8】パケットログ記録装置の具体例を示す構成ブロック図である。
【図9】取得したパケットの記録方法を説明する説明図である。
【図10】従来のパケット経路追跡システムの一例を示す構成ブロック図である。
【図11】パケットの伝播経路の一例を示す説明図である。
【符号の説明】
1 端末
2 サーバ
3,4,19 ISP
5,6,7,8 ルータ
9,10,11,16,17,18,20,21,22 パケットログ記録装置
12 演算制御手段
13 記憶手段
14,14a 標的側端末
15 攻撃側端末
Claims (5)
- ネットワークを伝播するパケットを記録してパケットの伝播経路を追跡するパケット経路追跡システムにおいて、
ネットワークの複数の観測点を伝播するパケットを記録する複数のパケットログ記録装置と、
不正なパケットのログが記録されている全ての前記パケットログ記録装置に標的側端末に対する伝播経路のトレースを行わせ、これらのトレース結果を重ね合わせることにより前記標的側端末までのパケットの伝播経路を特定する伝播経路解析装置と
を備えたことを特徴とするパケット経路追跡システム。 - 前記伝播経路解析装置が、
複数の前記パケットログ記録装置に前記不正なパケットのログが記録されているか否かを判断し、
複数の前記パケットログ記録装置の何れかにログが記録されている場合には、ログが記録されている全ての前記パケットログ記録装置に前記標的側端末に対する伝播経路のトレースを行わせ、
トレース結果を重ね合わせて全てのトレース結果が一致した場合にはその伝播経路をもって前記標的側端末までの前記パケットの伝播経路とすることを特徴とする
請求項1記載のパケット経路追跡システム。 - 前記伝播経路解析装置が、
複数の前記パケットログ記録装置に前記不正なパケットのログが記録されているか否かを判断し、
複数の前記パケットログ記録装置の何れかにログが記録されている場合には、ログが記録されている全ての前記パケットログ記録装置に前記標的側端末に対する伝播経路のトレースを行わせ、
トレース結果を重ね合わせて全てのトレース結果が一致しない場合にはこれらのトレース結果の伝播経路が一致する組み合わせで重ね合わせることにより前記標的側端末までの前記パケットの複数の伝播経路を特定することを特徴とする
請求項1記載のパケット経路追跡システム。 - 前記パケットログ記録装置が、
前記パケットの情報を記録する記憶手段と、
複数の前記観測点の一を伝播するパケットを取り込み伝播中に不変である部分を抽出してハッシュ関数を適用し、得られたハッシュ値を前記記憶手段のアドレスとみなしてこのアドレスに前記情報としてデータを書き込むと共に前記伝播経路解析装置の制御により前記標的側端末に対する伝播経路のトレースを行う演算制御手段と
から構成されたことを特徴とする
請求項1乃至請求項3のいずれかに記載のパケット経路追跡システム。 - 前記標的側端末が、
前記伝播経路解析装置の機能を有することを特徴とする
請求項1乃至請求項4のいずれかに記載のパケット経路追跡システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002284968A JP3832412B2 (ja) | 2002-09-30 | 2002-09-30 | パケット経路追跡システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002284968A JP3832412B2 (ja) | 2002-09-30 | 2002-09-30 | パケット経路追跡システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004120695A JP2004120695A (ja) | 2004-04-15 |
| JP3832412B2 true JP3832412B2 (ja) | 2006-10-11 |
Family
ID=32278386
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002284968A Expired - Fee Related JP3832412B2 (ja) | 2002-09-30 | 2002-09-30 | パケット経路追跡システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3832412B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5090300B2 (ja) * | 2008-09-17 | 2012-12-05 | 沖電気工業株式会社 | パケット通過記録装置及び方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3448254B2 (ja) * | 2000-02-02 | 2003-09-22 | インターナショナル・ビジネス・マシーンズ・コーポレーション | アクセス・チェーン追跡システム、ネットワーク・システム、方法、及び記録媒体 |
| JP2001308918A (ja) * | 2000-04-20 | 2001-11-02 | Mitsubishi Electric Corp | 攻撃経路追跡システム及びルータ装置 |
| US20040085906A1 (en) * | 2001-04-27 | 2004-05-06 | Hisamichi Ohtani | Packet tracing system |
-
2002
- 2002-09-30 JP JP2002284968A patent/JP3832412B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2004120695A (ja) | 2004-04-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8041804B2 (en) | Utilizing captured IP packets to determine operations performed on packets by a network device | |
| US11398969B2 (en) | Network conversation testing of flow level operations | |
| US10387656B2 (en) | Integrated interactive application security testing | |
| US7738403B2 (en) | Method for determining the operations performed on packets by a network device | |
| US20120166637A1 (en) | Method, device and medium for determining operations performed on a packet | |
| JP5119059B2 (ja) | 情報処理装置、情報処理システム、プログラム、および記録媒体 | |
| Chatzoglou et al. | Revisiting QUIC attacks: A comprehensive review on QUIC security and a hands-on study | |
| JP7337941B2 (ja) | 保護されたメッセージを再生するための方法および再生ユニット | |
| JP6962374B2 (ja) | ログ分析装置、ログ分析方法及びプログラム | |
| Lin et al. | Low-storage capture and loss recovery selective replay of real flows | |
| US9916225B1 (en) | Computer implemented system and method and computer program product for testing a software component by simulating a computing component using captured network packet information | |
| CN104852921A (zh) | 网络设备防开放端口攻击测试系统及方法 | |
| KR100439170B1 (ko) | 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역추적 방법 | |
| JP3832412B2 (ja) | パケット経路追跡システム | |
| JP3750803B2 (ja) | パケットログ記録装置 | |
| JP3889701B2 (ja) | パケット経路追跡システム | |
| JP2006262036A (ja) | パケット経路追跡システム | |
| JP2005182187A (ja) | 不正アクセス検知方法、不正アクセス検知システム及び不正アクセス検知プログラム | |
| Yang et al. | Identify encrypted packets to detect stepping-stone intrusion | |
| JP3797308B2 (ja) | パケットログ記録装置 | |
| Vitale et al. | Inmap-t: Leveraging TTCN-3 to test the security impact of intra network elements | |
| JP3826399B2 (ja) | パケットログ記録装置 | |
| KR102156600B1 (ko) | 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법 | |
| JP4203809B2 (ja) | パケットログ記録装置 | |
| JP4135094B2 (ja) | パケット経路追跡システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040316 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050826 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20051017 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20051205 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060627 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20060710 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20051205 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100728 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110728 Year of fee payment: 5 |
|
| LAPS | Cancellation because of no payment of annual fees |