JP3974554B2 - ゲートウェイ - Google Patents
ゲートウェイ Download PDFInfo
- Publication number
- JP3974554B2 JP3974554B2 JP2003139801A JP2003139801A JP3974554B2 JP 3974554 B2 JP3974554 B2 JP 3974554B2 JP 2003139801 A JP2003139801 A JP 2003139801A JP 2003139801 A JP2003139801 A JP 2003139801A JP 3974554 B2 JP3974554 B2 JP 3974554B2
- Authority
- JP
- Japan
- Prior art keywords
- sip
- sip message
- address
- operating status
- gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
【発明の属する技術分野】
本発明は、ゲートウェイに係り、特に、SIPメッセージを大量に送りつけることによってシステムダウンを誘発させるDoS攻撃に対しても、システムダウンを発生させずに、SIPによる通信の提供を可能にするSIPアプリケーションレベルゲートウェイに関する。
【0002】
【従来の技術】
インターネット上での攻撃で代表的なものとして、DoS(Denial Of Service:サービス拒否)攻撃がある。
このDoS攻撃は、インターネット上の各種サーバに対して大量の(無意味な)サービス接続要求を送り付け、サーバの負荷を高めて、サーバを過負荷でダウンさせたり、ほかの正当なユーザーへのサービスを妨げたりする攻撃である。
このDoS攻撃は、ファイアウォールを設置し、通過が許可されていないパケットを破棄することで防ぐことが可能である(例えば、非特許文献参照)。
【0003】
なお、本願発明に関連する先行技術文献としては以下のものがある。
【特許文献1】
特開2002−158699号公報
「DoS攻撃防止方法および装置およびシステムおよび記憶媒体」
【0004】
【発明が解決しようとする課題】
前述したように、DoS攻撃は、ファイアウォールにより、通過が許可されていないパケットを破棄することで防ぐことが可能である。
しかしながら、SIPメッセージがファイアウォールを通過できるように、ファイアウォールが、デフォルトのポート番号である5060[UDP(User Datagram Protocol),TCP(Transmission Control Protocol),SCTP(Stream Control Transmission Protocol)]や5061[TLS(Transport Layer Security)]であれば通過を許容する場合、悪意を持ったユーザがSIPメッセージを大量に送信することで、SIPメッセージを処理するシステムを過負荷によりサービスが停止してしまうことになる。
本発明は、このような課題を解決するものであって、本発明の目的は、SIPメッセージを大量に送りつけることによってシステムダウンを誘発させるDoS攻撃に対しても、システムダウンを発生させずに、SIPによる通信を提供することが可能なゲートウェイを提供することにある。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかにする。
【0005】
【課題を解決するための手段】
本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、下記の通りである。
即ち、本発明は、複数の端末、あるいは、SIPサーバとの間でSIP通信を行うSIPメッセージ送受信手段と、IPアドレス体系の異なるIP網間でSIPメッセージの送受信を行う場合に、SIPメッセージ内に記述されたIPアドレス情報を送信先のIPアドレス体系に応じてIPアドレス変換を行うアドレス変換手段と、SIPメッセージ内に記述されたRTP用のIPアドレス、ポート番号情報に基づいてファイアウォールの開閉制御を行うFirewall制御手段とを備えるゲートウェイであって、ゲートウェイの稼動状況を収集するシステム稼働状況収集手段と、 前記システム稼働状況収集手段で収集した稼動状況がある一定レベル以下の場合に、全ての新規のSIPメッセージを受け付け、また、前記システム稼働状況収集手段で収集した稼動状況がある一定レベルを超える状態の場合に、一定の比率で新規のSIPメッセージを受付け、その他の新規のSIPメッセージを破棄するとともに、セッション継続のためのSIPメッセージ、あるいは、受付済みSIPメッセージの後続信号を受け付ける受信信号選択手段とを備えることを特徴とする。
また、本発明は、IPアドレス体系の異なるIP網のIP端末を収容し、各IP端末間でSIPメッセージの送受信を行うノード装置であって、前記ノード装置が、前述のゲートウェイを備えることを特徴とする。
【0006】
本発明によれば、ゲートウェイの稼動状況を収集し、ゲートウェイの稼動状況がある一定レベルを超える状態の場合に、一定の比率で新規のSIPメッセージ(INVITE、REGISTER)を受付け、その他の新規のSIPメッセージ(INVITE、REGISTER)を破棄するとともに、セッシヨン継続のための再送SIPメッセージ(re−INVITE)、あるいは、受付済みSIPメッセージの後続信号(ACK、BYE等)は受け付けるようにしたので、悪意を持ったユーザがSIPメッセージを大量に送りつけることによってシステムダウンを誘発させるDoS攻撃に対しても、ゲートウェイのシステムダウンを発生させずに、ゲートウェイによる、アドレス体系の異なるIP網間でのセキュアなSIPによる通信を提供することが可能となる。
【0007】
【発明の実施の形態】
以下、図面を参照して本発明の実施の形態を詳細に説明する。
なお、実施の形態を説明するための全図において、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。
図1は、本発明の実施の形態のSIPアプリケーションレベルゲートウェイの概略構成を示すブロック図である。
同図に示すように、本実施の形態のSIPアプリケーションレベルゲートウェイは、SIPメッセージ送受信機能10と、受信信号選択機能11と、システム稼動状況収集機能12と、アドレス変換機能13と、Firewall制御機能14とを備える。
SIPメッセージ送受信機能10は、複数のIP端末、あるいは、SIPサーバとの間でSIP通信を行う。
アドレス変換機能13は、IPアドレス体系の異なるIP網間でSIPメッセージの送受信を行う場合に、SIPメッセージ内に記述されたIPアドレス情報を送信先のIPアドレス体系に応じてIPアドレス変換を行う。
Firewall制御機能14は、SIPメッセージ内に記述されたRTP(Real-time Transport Protocol)用のIPアドレス、ポート番号情報に基づいてファイアウォールの開閉制御を行う。
【0008】
受信信号選択機能11と、システム稼動状況収集機能12とは、本発明の特徴とする機能であり、システム稼動状況収集機能12は、ゲートウェイの稼動状況を収集する。
また、受信信号選択機能11は、ゲートウェイの稼動状況がある一定レベルを超える状態にある場合には、一定の比率で新規のSIPメッセージ(INVITE、または、REGISTER)を受付け、その他の新規のSIPメッセージ(INVITE、または、REGISTER)は拒否するとともに、セッシヨン継続のための再送SIPメッセージ(re−INVITE)、あるいは、受付済みSIPメッセージの後続信号(ACK、BYE等)は受け付ける。
また、ゲートウェイの稼動状況がある一定レベル以下の場合には、全ての新規のSIPメッセージを受け付ける。
【0009】
図2は、本実施の形態のSIPアプリケーションレベルゲートウェイを使用するSIPメッセージ送信時のシステム接続例を示すブロック図である。
同図において、SIP−ALGは、本実施の形態のSIPアプリケーションレベルゲートウェイを使用するノード装置であり、IPアドレス体系の異なるIP網のIP端末を収容し、各IP端末間でのSIPメッセージの送受信を行う。
図2において、ノード装置(SIP−ALG)に収容されるIP端末(T1)とIP端末(T2)とはIP網(N1)に、IP端末(T3)とIP端末(T4)とはIP網(N2)に属している。
また、IP網(N1)と、IP網(N2)とは、それぞれ異なったIPアドレス体系のIP網である。
従来技術では、例えば、IP端末(T3)のユーザが悪意を持ったユーザであって、ノード装置(SIP−ALG)にSIPメッセージを大量に送付し、ノード装置(SIP−ALG)の処理能力を圧迫させるDoS攻撃を防ぐために、ノード装置(SIP−ALG)の前後にファイアウォールを設置する。
しかしながら、SIPメッセージがファイアウォールを通過できるように、ファイアウォールが、デフォルトのポート番号(UDP,TCP,SCTPなら5060、TLSなら5061)であれば通過を許可する場合には、SIPメッセージによるDoS攻撃を防ぐことができない。
【0010】
本実施の形態は、このような状況を解決するもので、図3を用いて詳細に説明する。
図3は、図2に示すIP端末(T1)からIP端末(T3)にSIPメッセージを送信するときの制御シーケンス例を示す図である。
始めに、ノード装置(SIP−ALG)は、IP端末(T1)からのSIPメッセージを受信すると、ノード装置(SIP−ALG)の稼動状況(CPU使用率やロードアベレージ等)を照会する(ステップ301)。
次に、ノード装置(SIP−ALG)の稼動状況が予め設定された値を超えているかを判定し(ステップ302)、ステップ302において、ノード装置(SIP−ALG)の稼動状況が予め設定された値を超えていないと判定された場合には、ステップ305ヘ進む。
ステップ302において、ノード装置(SIP−ALG)の稼動状況が予め設定された値を超えていると判定された場合には、受信したSIPメッセージの種類を識別する(ステップ303)。
【0011】
ステップ303において、受信したSIPメッセージが新規のSIPメッセージ(INVITE、あるいは、REGISTER)以外の、セッシヨン継続のための再送SIPメッセージ(re−INVITE)、あるいは、受付済みSIPメッセージの後続信号(ACK、BYE等)であれば、ステップ305に進む。
また、ステップ303において、受信したSIPメッセージが新規のSIPメッセージ(INVITE、あるいは、REGISTER)であれば、一定の比率(例えば、5回に1回など)で、受信した新規のSIPメッセージを受け付ける(ステップ304)。
ステップ304において、受け付けを拒否した場合には、IP端末(T1)に、“403等のエラーメッセージ”を通知する。
ステップ303において、受信した新規のSIPメッセージを受け付けた場合にはステップ305に進む。
ステップ305では、アドレス変換機能によりSIPメッセージ内のIPアドレスを送信先のIP端末(T3)のIPアドレス体系へ変換する(ステップ305)。
次に、SIPメッセージ内のIPアドレス情報でFirewall制御機能14により、ファイアウォールを開閉し(ステップ306)、SIPメッセージをIP端末(T3)に送信する(ステップ307)。
【0012】
なお、前述の説明では、IP端末(T1)からIP端末(T3)へのSIPメッセージ送信時について述べたが、IP端末(T3)からIP端末(T1)への逆方向の通信や他のIP端末(T2,T4)とのSIPメッセージ送受信についても同様である。
以上説明したように、本実施の形態では、SIPアプリケーションレベルゲートウェイの稼動状況がある一定レベルを超える状態にあるときに、一定の比率で新規のSIPメッセージ(INVITE、EGISTER)を受付け、その他の新規のSIPメッセージ(INVITE、EGISTER)を破棄するとともに、セッション継続のための再送SIPメッセージ(re−INVITE)、あるいは、受付済みSIPメッセージの後続信号(ACK、BYE等)を受け付ける。
これにより、悪意を持ったユーザがSIPメッセージを大量に送りつけることによってシステムダウンを誘発させるDoS攻撃に対しても、SIPアプリケーションレベルゲートウェイのシステムダウンを発生させずに、SIPアプリケーションレベルゲートウェイによる、アドレス体系の異なるIP網間でのセキュアなSIPによる通信を提供することができる。
以上、本発明者によってなされた発明を、前記実施の形態に基づき具体的に説明したが、本発明は、前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
【0013】
【発明の効果】
本願において開示される発明のうち代表的なものによって得られる効果を簡単に説明すれば、下記の通りである。
本発明によれば、SIPメッセージを大量に送りつけることによってシステムダウンを誘発させるDoS攻撃に対しても、システムダウンを発生させずに、SIPによる通信を提供することが可能になる。
【図面の簡単な説明】
【図1】本発明の実施の形態のSIPアプリケーションレベルゲートウェイの概略構成を示すブロック図である。
【図2】本発明の実施の形態のSIPアプリケーションレベルゲートウェイを使用するSIPメッセージ送信時のシステム接続例を示すブロック図である。
【図3】図2に示すIP端末(T1)からIP端末(T3)にSIPメッセージを送信するときの制御シーケンス例を示す図である。
【符号の説明】
10…SIPメッセージ送受信機能、11…受信信号選択機能、12…システム稼動状況収集機能、13…アドレス変換機能、14…Firewall制御機能、SIP−ALG…ノード装置、T1〜T4…IP端末、N1,N2…IP網。
Claims (2)
- 複数の端末、あるいは、SIPサーバとの間でSIP通信を行うSIPメッセージ送受信手段と、
IPアドレス体系の異なるIP網間でSIPメッセージの送受信を行う場合に、SIPメッセージ内に記述されたIPアドレス情報を送信先のIPアドレス体系に応じてIPアドレス変換を行うアドレス変換手段と、
SIPメッセージ内に記述されたRTP用のIPアドレス、ポート番号情報に基づいてファイアウォールの開閉制御を行うFirewall制御手段とを備えるゲートウェイであって、
ゲートウェイの稼動状況を収集するシステム稼働状況収集手段と、
前記システム稼働状況収集手段で収集した稼動状況がある一定レベル以下の場合に、全ての新規のSIPメッセージを受け付け、また、前記システム稼働状況収集手段で収集した稼動状況がある一定レベルを超える状態の場合に、一定の比率で新規のSIPメッセージを受付け、その他の新規のSIPメッセージを破棄するとともに、セッション継続のためのSIPメッセージ、あるいは、受付済みSIPメッセージの後続信号を受け付ける受信信号選択手段とを備えることを特徴とするゲートウェイ。 - IPアドレス体系の異なるIP網のIP端末を収容し、各IP端末間でSIPメッセージの送受信を行うノード装置であって、
前記ノード装置は、請求項1に記載のゲートウェイを備えることを特徴とするノード装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003139801A JP3974554B2 (ja) | 2003-05-19 | 2003-05-19 | ゲートウェイ |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003139801A JP3974554B2 (ja) | 2003-05-19 | 2003-05-19 | ゲートウェイ |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2004343580A JP2004343580A (ja) | 2004-12-02 |
JP3974554B2 true JP3974554B2 (ja) | 2007-09-12 |
Family
ID=33528708
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003139801A Expired - Fee Related JP3974554B2 (ja) | 2003-05-19 | 2003-05-19 | ゲートウェイ |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3974554B2 (ja) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4555005B2 (ja) * | 2004-06-29 | 2010-09-29 | 日本電気株式会社 | プロトコル変換サーバ |
DE102006004202B4 (de) | 2006-01-27 | 2008-02-14 | Nec Europe Ltd. | Verfahren zum Schutz von SIP basierten Anwendungen |
JP4800272B2 (ja) * | 2007-08-16 | 2011-10-26 | 日本電信電話株式会社 | ナンバースキャンニング検知装置およびナンバースキャンニング検知プログラム |
AU2008348253B2 (en) * | 2008-01-17 | 2014-01-23 | Koninklijke Kpn N.V. | Method and system for controlling a computer application program |
US8463921B2 (en) | 2008-01-17 | 2013-06-11 | Scipioo Holding B.V. | Method and system for controlling a computer application program |
JP5609519B2 (ja) * | 2010-10-07 | 2014-10-22 | アイコム株式会社 | Sip機器 |
-
2003
- 2003-05-19 JP JP2003139801A patent/JP3974554B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2004343580A (ja) | 2004-12-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3535932B1 (en) | Application characterization using transport protocol analysis | |
Kohler et al. | Datagram congestion control protocol (DCCP) | |
Camarillo et al. | Evaluation of transport protocols for the session initiation protocol | |
Balakrishnan et al. | The congestion manager | |
Eggert et al. | UDP usage guidelines | |
US7391725B2 (en) | System and method for defeating SYN attacks | |
US9641561B2 (en) | Method and system for managing a SIP server | |
Fairhurst et al. | Services provided by IETF transport protocols and congestion control mechanisms | |
US7970878B1 (en) | Method and apparatus for limiting domain name server transaction bandwidth | |
US7404210B2 (en) | Method and apparatus for defending against distributed denial of service attacks on TCP servers by TCP stateless hogs | |
US9037729B2 (en) | SIP server overload control | |
JP4602158B2 (ja) | サーバ装置保護システム | |
JP3974554B2 (ja) | ゲートウェイ | |
CN101238678A (zh) | 用于分组语音通信网络的安全性网守 | |
Ohta | Performance comparisons of transport protocols for session initiation protocol signaling | |
Peuhkuri | Internet traffic measurements–aims, methodology, and discoveries | |
Eggert et al. | RFC 8085: UDP Usage Guidelines | |
Gurbani et al. | Transport protocol considerations for session initiation protocol networks | |
Kiesel et al. | Modeling and performance evaluation of transport protocols for firewall control | |
Camarillo et al. | Signalling transport protocols | |
US20060010486A1 (en) | Network security active detecting system and method thereof | |
Kiesel | On the use of cryptographic cookies for transport layer connection establishment | |
Baghdadi et al. | Improving performance of SIP signaling during overload using capabilities of connection-oriented transport protocol | |
Kiesel et al. | Modeling and performance evaluation of SCTP as transport protocol for firewall control | |
Balakrishnan et al. | RFC3124: The Congestion Manager |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050728 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070517 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070612 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070614 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100622 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100622 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110622 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120622 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130622 Year of fee payment: 6 |
|
LAPS | Cancellation because of no payment of annual fees |