JP4063771B2 - ルータ - Google Patents
ルータ Download PDFInfo
- Publication number
- JP4063771B2 JP4063771B2 JP2004001363A JP2004001363A JP4063771B2 JP 4063771 B2 JP4063771 B2 JP 4063771B2 JP 2004001363 A JP2004001363 A JP 2004001363A JP 2004001363 A JP2004001363 A JP 2004001363A JP 4063771 B2 JP4063771 B2 JP 4063771B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- registered
- time
- unit
- source address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 230000005540 biological transmission Effects 0.000 claims description 49
- 230000002265 prevention Effects 0.000 claims description 29
- 230000002159 abnormal effect Effects 0.000 description 38
- 241000700605 Viruses Species 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 238000001914 filtration Methods 0.000 description 4
- 238000000034 method Methods 0.000 description 4
- 238000001514 detection method Methods 0.000 description 2
- 230000001105 regulatory effect Effects 0.000 description 2
- 230000007123 defense Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
異常端末は、コンピュータウイルスを他のネットワーク(第2ネットワーク)上にばらまくために、多量のパケットを送信する。このため、異常端末から送信される多量のパケットの宛先アドレスは異なる傾向にある。本発明のルータによれば、第1所定時間において、異なる宛先アドレスと同一の送信元アドレス(異常端末のアドレス)とを有するパケットの数が設定数を超えた場合、パケットを破棄するため、異常端末(同一の送信元アドレス)からの多量のパケットの通過を防止することができる。
不特定パケット配送判定部(7)は、第1所定時間において、上記数が設定数以下である場合、パケットの転送を許可し、上記数が設定数を超えた場合、パケットの転送の拒否を表す不許可情報を同一の送信元アドレスに対応付けてテーブル(11、12、21、22)に登録する。
不正パケット防止部(9)は、テーブル(11、12、21、22)を参照して、不許可情報に基づいてパケットを破棄する。
本発明のルータによれば、第1所定時間において、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数が設定数を超えた場合、不許可情報を同一の送信元アドレス(異常端末のアドレス)に対応付けてテーブル(11、12、21、22)に登録するため、異常端末(同一の送信元アドレス)から多量のパケットが再度送信されても、テーブル(11、12、21、22)を参照して、異常端末(同一の送信元アドレス)からの多量のパケットの通過を防止することができる。
不特定パケット配送判定部(7)は、テーブル(11、12)を参照して、登録時刻から第2所定時間が経過したときに、第2所定時間が経過した登録時刻と、第2所定時間が経過した登録時刻に対応する登録宛先アドレスとを消去し、上記消去された登録宛先アドレスに対応する登録数から、上記消去された登録宛先アドレスの数だけ減算する。第2所定時間は、第1所定時間よりも長い。
不特定パケット配送判定部(7)は、第1所定時間において、上記異なる宛先アドレスのうち、登録宛先アドレスに一致しない宛先アドレスを同一の送信元アドレスに対応付けてテーブル(11、12)に登録し、現在の時刻を登録時刻として上記一致しない宛先アドレスに対応付けてテーブル(11、12)に登録し、上記一致しない宛先アドレスの数を登録数に加算して上記数として同一の送信元アドレスに対応付けてテーブル(11、12)に登録する。
本発明の第1の態様に係るルータによれば、テーブル(11、12)を用いて同一の送信元アドレスと宛先アドレス(登録宛先アドレス)とを管理する場合、第2所定時間が経過した情報(登録宛先アドレス、登録時刻)をテーブル(11、12)から消去することが好ましい。このため、本発明の第1の態様に係るルータによれば、第1所定時間において異常端末(同一の送信元アドレス)から送信された多量のパケットの通過を防止することができる上に、テーブル(11、12)に登録される記憶容量が従来(例示;特許文献1)よりも低減される。
本発明の第1の態様に係るルータによれば、テーブル(11、12)を用いて同一の送信元アドレスと宛先アドレス(登録宛先アドレス)とを管理する場合、同一の送信元アドレスから送信された多量のパケットの宛先アドレスのうちの登録宛先アドレスに一致する宛先アドレスに対応する登録時刻を現在の時刻に更新することが好ましい。
不特定パケット配送判定部(7)は、テーブル(21、22)を参照して、登録時刻から第2所定時間が経過したときに、第2所定時間が経過した登録時刻と、第2所定時間が経過した登録時刻に対応する登録ハッシュ値とを消去し、上記消去された登録ハッシュ値に対応するハッシュ値登録数から、上記消去された登録ハッシュ値の数だけ減算する。第2所定時間は、第1所定時間よりも長い。
不特定パケット配送判定部(7)は、第1所定時間において、上記異なる宛先アドレスに基づいてハッシュ値を算出し、上記算出されたハッシュ値のうち、登録ハッシュ値に一致しないハッシュ値を同一の送信元アドレスに対応付けてテーブル(21、22)に登録し、現在の時刻を登録時刻として上記一致しないハッシュ値に対応付けてテーブル(21、22)に登録し、上記一致しないハッシュ値の数をハッシュ登録数に加算して上記数として同一の送信元アドレスに対応付けてテーブル(21、22)に登録する。
本発明の第2の態様に係るルータによれば、テーブル(21、22)を用いて同一の送信元アドレスとハッシュ値(登録ハッシュ値)とを管理する場合、第2所定時間が経過した情報(登録ハッシュ値、登録時刻)をテーブル(21、22)から消去することが好ましい。ハッシュ値(登録ハッシュ値)がテーブル(21、22)に登録される記憶容量は、宛先アドレス(登録宛先アドレス)がテーブル(21、22)に登録される記憶容量よりも小さい。このため、本発明の第2の態様に係るルータによれば、第1所定時間において異常端末(同一の送信元アドレス)から送信された多量のパケットの通過を防止することができる上に、テーブル(21、22)に登録される記憶容量が本発明の第1の態様に係るルータにおけるテーブル(11、12)の記憶容量よりも低減される。
本発明の第2の態様に係るルータによれば、テーブル(11、12)を用いて同一の送信元アドレスとハッシュ値(登録ハッシュ値)とを管理する場合、同一の送信元アドレスから送信された多量のパケットの宛先アドレスに基づいて計算されたハッシュ値のうちの登録ハッシュ値に一致するハッシュ値に対応する登録時刻を現在の時刻に更新することが好ましい。
不特定パケット配送判定部(7)は、テーブル(11、12、21、22)を参照して、第1所定時間において、上記数が設定数を超えた場合、不許可情報を同一の送信元アドレスに対応付けてテーブル(11、12、21、22)に登録すると共に、パケットの転送が拒否された旨を表す警報情報を警報器(8)に出力する。警報情報は、同一の送信元アドレスを含む。
警報器(8)は、警報情報に基づいて、パケットの転送が拒否された旨を管理者に通知する。
本発明のルータによれば、第1所定時間において、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数が設定数を超えた場合、同一の送信元アドレス(異常端末のアドレス)を含む警報情報を管理者に通知するため、異常端末(同一の送信元アドレス)のユーザを特定することができる。即ち、管理者は、直ちに、異常端末のユーザを把握することができ、異常端末のユーザに警告状を通達したり、取締機関(例示;警察)に通報することができる。
本発明のルータによれば、異常端末(同一の送信元アドレス)のユーザを特定するために、警報情報が表示されることが好ましい。
図1は、本発明の第1実施形態に係るルータの構成を示すブロック図である。本発明の第1実施形態に係るルータは、コンピュータであるLAN(Local Area Network)インタフェース部1、LANフィルタインタフェース部2、配送処理部3、WAN(Wide Area Network)フィルタインタフェース部4、WANインタフェース部5、フィルタ処理部6と、警報器であるアラーム表示部8とを具備する。フィルタ処理部6は、パケットフィルタリング機能を有する。LANインタフェース部1は、LANとLANフィルタインタフェース部2とに接続されている。LANフィルタインタフェース部2は、配送処理部3とフィルタ処理部6とに接続されている。WANフィルタインタフェース部4は、配送処理部3とフィルタ処理部6とに接続されている。WANインタフェース部5は、WANとWANフィルタインタフェース部4とに接続されている。フィルタ処理部6は、アラーム表示部8に接続されている。
LANインタフェース部1は、LANフィルタインタフェース部2から受け取ったパケットをLANに転送する。
LANフィルタインタフェース部2は、配送処理部3からパケットを受け取ったとき、配送処理部3からのパケットであることを表す情報をパケットに付加してフィルタ処理部6に出力する。LANフィルタインタフェース部2は、フィルタ処理部6からパケットを受け取った場合、受け取ったパケットをLANインタフェース部1に転送する。
配送処理部3は、WANフィルタインタフェース部4からパケットを受け取り、受け取ったパケットの宛先アドレスに従って、予め決められた配送経路にパケットを受け渡す。予め決められた配送経路として、受け取ったパケットの宛先アドレスがLANに適用される場合、配送処理部3は、受け取ったパケットをLANフィルタインタフェース部2に転送する。予め決められた配送経路として、受け取ったパケットの宛先アドレスがWANに適用される場合、配送処理部3は、受け取ったパケットをWANフィルタインタフェース部4に転送する。
WANフィルタインタフェース部4は、配送処理部3からパケットを受け取ったとき、配送処理部3からのパケットであることを表す情報をパケットに付加してフィルタ処理部6に出力する。WANフィルタインタフェース部4は、フィルタ処理部6からパケットを受け取った場合、受け取ったパケットをWANインタフェース部5に転送する。
WANインタフェース部5は、WANフィルタインタフェース部4から受け取ったパケットをWANに送信する。
不特定パケット配送判定部7は、WANフィルタインタフェース部4からパケットを受け取り、WAN用テーブル12を参照する。不特定パケット配送判定部7は、単位時間において、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数が設定数以下である場合、パケットをWANフィルタインタフェース部4に出力する(返す)。不特定パケット配送判定部7は、単位時間において、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数が設定数を超えた場合、パケットの転送の拒否を表す不許可情報をWAN用テーブル12に登録してWANフィルタインタフェース部4と不正パケット防止部9とに出力する。このとき、不特定パケット配送判定部7は、パケットの転送が拒否された旨を表す警報情報をアラーム表示部8に出力する。この警報情報は、同一の送信元アドレスを含む。
不正パケット防止部9は、WAN用テーブル12を参照して、不許可情報に基づいて、WANフィルタインタフェース部4からのパケットを破棄する。
以下の説明では、第1インタフェース部をLANインタフェース部1とし、第1フィルタインタフェース部をLANフィルタインタフェース部2とし、第2インタフェース部をWANインタフェース部5とし、第2フィルタインタフェース部をWANフィルタインタフェース部4とする。
この場合、前述のステップS3にて、不特定パケット配送判定部7は、LANフィルタインタフェース部2からのパケットを受け取り、送信元アドレスをLAN用テーブル11に登録する。不特定パケット配送判定部7は、単位時間において、LANフィルタインタフェース部2からのパケットの宛先アドレスを登録宛先アドレスとして同一の送信元アドレスに対応付けてLAN用テーブル11に登録し、現在の時刻を登録時刻として上記の登録宛先アドレス(登録された宛先アドレス)に対応付けてLAN用テーブル11に登録する。また、不特定パケット配送判定部7は、単位時間において、登録宛先アドレスの数を登録数(即ち、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数)として同一の送信元アドレスに対応付けてLAN用テーブル11に登録する。
このように、不特定パケット配送判定部7は、単位時間において、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数をカウントする。
この場合、不特定パケット配送判定部7は、LAN用テーブル11を参照して、登録時刻から設定単位時間(第2所定時間)が経過したか否かを調べる。設定単位時間(第2所定時間)は、上記の単位時間(第1所定時間)よりも長い。不特定パケット配送判定部7は、LAN用テーブル11を参照して、登録時刻から設定単位時間が経過したときに、設定単位時間が経過した登録時刻と、設定単位時間が経過した登録時刻に対応する登録宛先アドレスとを消去し、上記消去された登録宛先アドレスに対応する登録数から、上記消去された登録宛先アドレスの数だけ減算する。
前述のステップS3にて、不特定パケット配送判定部7は、LANフィルタインタフェース部2からのパケットを受け取り、LAN用テーブル11を参照する。不特定パケット配送判定部7は、単位時間において、LANフィルタインタフェース部2からのパケットの宛先アドレスが登録宛先アドレスに一致しない場合、その宛先アドレス(一致しない宛先アドレス)を登録宛先アドレスとして同一の送信元アドレスに対応付けてLAN用テーブル11に登録し、現在の時刻を登録時刻として上記の一致しない宛先アドレスに対応付けてLAN用テーブル11に登録する。また、不特定パケット配送判定部7は、単位時間において、上記の一致しない宛先アドレスの数を上記の登録数に加算した数を、新たな登録数(即ち、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数)として、同一の送信元アドレスに対応付けてLAN用テーブル11に登録する。また、不特定パケット配送判定部7は、単位時間において、LANフィルタインタフェース部2からのパケットの宛先アドレスが登録宛先アドレスに一致する場合、その登録宛先アドレスに対応する登録時刻を現在の時刻に更新する。
このように、不特定パケット配送判定部7は、単位時間において、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数をカウントする。
不特定パケット配送判定部7は、LAN用テーブル11を参照して、単位時間において、登録数が設定数以下である場合、パケットの転送の許可を表す許可情報を同一の送信元アドレスに対応付けてLAN用テーブル11に登録し、パケットをLANフィルタインタフェース部2に返す。この場合、LANフィルタインタフェース部2は、フィルタ処理部6からのパケットを配送処理部3に転送する。
この場合、前述のステップS7にて、不特定パケット配送判定部7は、WANフィルタインタフェース部4からのパケットを受け取り、送信元アドレスをWAN用テーブル12に登録する。不特定パケット配送判定部7は、単位時間において、WANフィルタインタフェース部4からのパケットの宛先アドレスを登録宛先アドレスとして同一の送信元アドレスに対応付けてWAN用テーブル12に登録し、現在の時刻を登録時刻として上記の登録宛先アドレス(登録された宛先アドレス)に対応付けてWAN用テーブル12に登録する。また、不特定パケット配送判定部7は、単位時間において、登録宛先アドレスの数を登録数(即ち、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数)として同一の送信元アドレスに対応付けてWAN用テーブル12に登録する。
このように、不特定パケット配送判定部7は、単位時間において、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数をカウントする。
この場合、不特定パケット配送判定部7は、WAN用テーブル12を参照して、登録時刻から設定単位時間が経過したか否かを調べる。設定単位時間は、上記の単位時間よりも長い。不特定パケット配送判定部7は、WAN用テーブル12を参照して、登録時刻から設定単位時間が経過したときに、設定単位時間が経過した登録時刻と、設定単位時間が経過した登録時刻に対応する登録宛先アドレスとを消去し、上記消去された登録宛先アドレスに対応する登録数から、上記消去された登録宛先アドレスの数だけ減算する。
前述のステップS7にて、不特定パケット配送判定部7は、WANフィルタインタフェース部4からのパケットを受け取り、WAN用テーブル12を参照する。不特定パケット配送判定部7は、単位時間において、WANフィルタインタフェース部4からのパケットの宛先アドレスが登録宛先アドレスに一致しない場合、その宛先アドレスを登録宛先アドレスとして同一の送信元アドレスに対応付けてWAN用テーブル12に登録し、現在の時刻を登録時刻として上記の一致しない宛先アドレスに対応付けてWAN用テーブル12に登録する。また、不特定パケット配送判定部7は、単位時間において、上記の一致しない宛先アドレスの数を上記の登録数に加算した数を、新たな登録数(即ち、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数)として、同一の送信元アドレスに対応付けてWAN用テーブル12に登録する。また、不特定パケット配送判定部7は、単位時間において、WANフィルタインタフェース部4からのパケットの宛先アドレスが登録宛先アドレスに一致する場合、その登録宛先アドレスに対応する登録時刻を現在の時刻に更新する。
このように、不特定パケット配送判定部7は、単位時間において、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数をカウントする。
不特定パケット配送判定部7は、WAN用テーブル12を参照して、単位時間において、登録数が設定数以下である場合、パケットの転送の許可を表す許可情報を同一の送信元アドレスに対応付けてWAN用テーブル12に登録し、パケットをWANフィルタインタフェース部4に返す。この場合、WANフィルタインタフェース部4は、フィルタ処理部6からのLANインタフェース部5に転送する。
例えば、登録時刻17−iが登録時刻17−mであり、不特定パケット配送判定部7は、LAN用テーブル11に登録された登録時刻17−mが設定単位時間を経過した場合(ステップS13−YES)、登録時刻17−mと、登録時刻17−mに対応する登録宛先アドレス16−mとを消去し、登録宛先アドレス16−mに対応する登録数15から“1”をデクリメントする(ステップS15)。その後、不特定パケット配送判定部7は、再度、LAN用テーブル11を参照する(ステップS11を実行する)。
例えば、登録時刻17−iが登録時刻17−1であり、不特定パケット配送判定部7は、LAN用テーブル11に登録された登録時刻17−1が設定単位時間を経過していない場合(ステップS13−NO)、再度、LAN用テーブル11を参照する(ステップS11を実行する)。
不特定パケット配送判定部7は、LAN用テーブル11に登録された全ての登録時刻を参照した場合(ステップS12−YES)、終了する。
不特定パケット配送判定部7は、LAN用テーブル11を参照した結果、送信元アドレス13に対応する判定情報14が不許可情報を表すか否かを調べる(ステップS22)。
本発明の第2実施形態に係るルータでは、宛先アドレスに代えて、宛先アドレスによるハッシュ値をテーブル(LAN用テーブル、WAN用テーブル)に登録する。これにより、テーブル(LAN用テーブル、WAN用テーブル)に登録される記憶容量が、本発明の第1実施形態に係るルータにおけるテーブル(LAN用テーブル11、WAN用テーブル12)の記憶容量よりも低減される。第2実施形態では、前述の第1実施形態と重複する説明を省略する。
この場合、前述のステップS3にて、不特定パケット配送判定部7は、LANフィルタインタフェース部2からのパケットを受け取り、送信元アドレスをLAN用テーブル21に登録する。不特定パケット配送判定部7は、単位時間において、LANフィルタインタフェース部2からのパケットの宛先アドレスに基づいてハッシュ値を算出し、算出されたハッシュ値を登録ハッシュ値として同一の送信元アドレスに対応付けてLAN用テーブル21に登録し、現在の時刻を登録時刻として上記の登録ハッシュ値(登録されたハッシュ値)に対応付けてLAN用テーブル21に登録する。また、不特定パケット配送判定部7は、単位時間において、登録ハッシュ値の数をハッシュ登録数(即ち、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数)として同一の送信元アドレスに対応付けてLAN用テーブル21に登録する。
このように、不特定パケット配送判定部7は、単位時間において、異なる宛先アドレス(ハッシュ値)と同一の送信元アドレスとを有するパケットの数をカウントする。
この場合、不特定パケット配送判定部7は、LAN用テーブル21を参照して、登録時刻から設定単位時間が経過したか否かを調べる。設定単位時間は、上記の単位時間よりも長い。不特定パケット配送判定部7は、LAN用テーブル21を参照して、登録時刻から設定単位時間が経過したときに、設定単位時間が経過した登録時刻と、設定単位時間が経過した登録時刻に対応する登録ハッシュ値とを消去し、上記消去された登録ハッシュ値に対応する登録数から、上記消去された登録ハッシュ値の数だけ減算する。
前述のステップS3にて、不特定パケット配送判定部7は、LANフィルタインタフェース部2からのパケットを受け取り、LAN用テーブル21を参照する。不特定パケット配送判定部7は、単位時間において、LANフィルタインタフェース部2からのパケットの宛先アドレスに基づいてハッシュ値を算出し、算出されたハッシュ値が登録ハッシュ値に一致しない場合、そのハッシュ値(一致しないハッシュ値)を登録ハッシュ値として同一の送信元アドレスに対応付けてLAN用テーブル21に登録し、現在の時刻を登録時刻として上記の一致しないハッシュ値に対応付けてLAN用テーブル21に登録する。また、不特定パケット配送判定部7は、単位時間において、上記の一致しないハッシュ値の数を上記のハッシュ登録数に加算した数を、新たなハッシュ登録数(即ち、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数)として、同一の送信元アドレスに対応付けてLAN用テーブル21に登録する。また、不特定パケット配送判定部7は、単位時間において、LANフィルタインタフェース部2からのパケットの宛先アドレスに基づいてハッシュ値を算出し、算出されたハッシュ値が登録ハッシュ値に一致する場合、その登録ハッシュ値に対応する登録時刻を現在の時刻に更新する。
このように、不特定パケット配送判定部7は、単位時間において、異なる宛先アドレス(ハッシュ値)と同一の送信元アドレスとを有するパケットの数をカウントする。
不特定パケット配送判定部7は、LAN用テーブル21を参照して、単位時間において、ハッシュ登録数が設定数以下である場合、パケットの転送の許可を表す許可情報を同一の送信元アドレスに対応付けてLAN用テーブル21に登録し、パケットをLANフィルタインタフェース部2に返す。この場合、LANフィルタインタフェース部2は、フィルタ処理部6からのパケットを配送処理部3に転送する。
この場合、前述のステップS7にて、不特定パケット配送判定部7は、WANフィルタインタフェース部4からのパケットを受け取り、送信元アドレスをWAN用テーブル22に登録する。不特定パケット配送判定部7は、単位時間において、WANフィルタインタフェース部4からのパケットの宛先アドレスに基づいてハッシュ値を算出し、算出されたハッシュ値を登録ハッシュ値として同一の送信元アドレスに対応付けてWAN用テーブル22に登録し、現在の時刻を登録時刻として上記の登録ハッシュ値(登録されたハッシュ値)に対応付けてWAN用テーブル22に登録する。また、不特定パケット配送判定部7は、単位時間において、登録ハッシュ値の数をハッシュ登録数(即ち、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数)として同一の送信元アドレスに対応付けてWAN用テーブル22に登録する。
このように、不特定パケット配送判定部7は、単位時間において、異なる宛先アドレス(ハッシュ値)と同一の送信元アドレスとを有するパケットの数をカウントする。
この場合、不特定パケット配送判定部7は、WAN用テーブル22を参照して、登録時刻から設定単位時間が経過したか否かを調べる。設定単位時間は、上記の単位時間よりも長い。不特定パケット配送判定部7は、WAN用テーブル22を参照して、登録時刻から設定単位時間が経過したときに、設定単位時間が経過した登録時刻と、設定単位時間が経過した登録時刻に対応する登録ハッシュ値とを消去し、上記消去された登録ハッシュ値に対応する登録数から、上記消去された登録ハッシュ値の数だけ減算する。
前述のステップS7にて、不特定パケット配送判定部7は、WANフィルタインタフェース部4からのパケットを受け取り、WAN用テーブル22を参照する。不特定パケット配送判定部7は、単位時間において、WANフィルタインタフェース部4からのパケットの宛先アドレスに基づいてハッシュ値を算出し、算出されたハッシュ値が登録ハッシュ値に一致しない場合、そのハッシュ値(一致しないハッシュ値)を登録ハッシュ値として同一の送信元アドレスに対応付けてWAN用テーブル22に登録し、現在の時刻を登録時刻として上記の一致しないハッシュ値に対応付けてWAN用テーブル22に登録する。また、不特定パケット配送判定部7は、単位時間において、上記の一致しないハッシュ値の数を上記のハッシュ登録数に加算した数を、新たなハッシュ登録数(即ち、異なる宛先アドレスと同一の送信元アドレスとを有するパケットの数)として、同一の送信元アドレスに対応付けてWAN用テーブル22に登録する。また、不特定パケット配送判定部7は、単位時間において、WANフィルタインタフェース部4からのパケットの宛先アドレスに基づいてハッシュ値を算出し、算出されたハッシュ値が登録ハッシュ値に一致する場合、その登録ハッシュ値に対応する登録時刻を現在の時刻に更新する。
このように、不特定パケット配送判定部7は、単位時間において、異なる宛先アドレス(ハッシュ値)と同一の送信元アドレスとを有するパケットの数をカウントする。
不特定パケット配送判定部7は、WAN用テーブル22を参照して、単位時間において、ハッシュ登録数が設定数以下である場合、パケットの転送の許可を表す許可情報を同一の送信元アドレスに対応付けてWAN用テーブル22に登録し、パケットをWANフィルタインタフェース部4に返す。この場合、WANフィルタインタフェース部4は、フィルタ処理部6からのLANインタフェース部5に転送する。
例えば、登録時刻27−iが登録時刻27−nであり、不特定パケット配送判定部7は、LAN用テーブル21に登録された登録時刻27−nが設定単位時間を経過した場合(ステップS43−YES)、登録時刻27−nと、登録時刻27−nに対応する登録ハッシュ値26−nとを消去し(ステップS44)、登録ハッシュ値26−nに対応するハッシュ登録数25から“1”をデクリメントする(ステップS45)。その後、不特定パケット配送判定部7は、再度、LAN用テーブル21を参照する(ステップS41を実行する)。
例えば、登録時刻27−iが登録時刻27−1であり、不特定パケット配送判定部7は、LAN用テーブル21に登録された登録時刻27−1が設定単位時間を経過していない場合(ステップS43−NO)、再度、LAN用テーブル21を参照する(ステップS41を実行する)。
不特定パケット配送判定部7は、LAN用テーブル21に登録された全ての登録時刻を参照した場合(ステップS42−YES)、終了する。
不特定パケット配送判定部7は、LAN用テーブル21を参照した結果、送信元アドレス23に対応する判定情報24が不許可情報を表すか否かを調べる(ステップS52)。
2 LANフィルタインタフェース部
3 配送処理部
4 WANフィルタインタフェース部
5 WANインタフェース部
6 フィルタ処理部
7 不特定パケット配送判定部
8 アラーム表示部
9 不正パケット防止部
10 記憶部
11 LANテーブル
12 WANテーブル
13 送信元アドレス
14 判定情報
15 登録数
16−1〜16−m 登録宛先アドレス
17−1〜17−m 登録時刻
21 LANテーブル
22 WANテーブル
23 送信元アドレス
24 判定情報
25 ハッシュ登録数
26−1〜26−n 登録ハッシュ値
27−1〜27−n 登録時刻
Claims (8)
- 第1ネットワークからのパケットを受信する第1インタフェース部と、
前記パケットの転送の可否を判定するフィルタ処理部と、
前記パケットの転送が許可されたとき、前記パケットを第2ネットワークに送信する第2インタフェース部と
を具備し、
前記パケットは、送信元アドレスと宛先アドレスとを含み、
前記フィルタ処理部は、
テーブルと、
前記同一の送信元アドレスを前記テーブルに登録する不特定パケット配送判定部と、
不正パケット防止部と
を具備し、
前記不特定パケット配送判定部は、第1所定時間において、異なる宛先アドレスと同一の送信元アドレスとを有する前記パケットの数としてパケット数が設定数以下である場合、前記パケットの転送を許可し、前記パケット数が前記設定数を超えた場合、前記パケットの転送の拒否を表す不許可情報を前記同一の送信元アドレスに対応付けて前記テーブルに登録し、
前記不正パケット防止部は、前記テーブルを参照して、前記不許可情報に基づいて前記パケットを破棄し、
前記テーブルには、前記同一の送信元アドレスに対応付けられて、更に、登録数と登録宛先アドレスと登録時刻とが登録され、前記登録時刻は、前記登録宛先アドレスが前記テーブルに登録されたときの時刻であり、
前記不特定パケット配送判定部は、前記テーブルを参照して、前記登録時刻から第2所定時間が経過したときに、前記第2所定時間が経過した前記登録時刻と、前記第2所定時間が経過した前記登録時刻に対応する前記登録宛先アドレスとを消去し、前記消去された登録宛先アドレスに対応する前記登録数から、前記消去された登録宛先アドレスの数だけ減算し、
前記第2所定時間は、前記第1所定時間よりも長く、
前記不特定パケット配送判定部は、前記第1所定時間において、前記異なる宛先アドレスのうち、前記登録宛先アドレスに一致しない宛先アドレスを前記同一の送信元アドレスに対応付けて前記テーブルに登録し、現在の時刻を前記登録時刻として前記一致しない宛先アドレスに対応付けて前記テーブルに登録し、前記一致しない宛先アドレスの数を前記登録数に加算して前記パケット数として前記同一の送信元アドレスに対応付けて前記テーブルに登録する
ルータ。 - 請求項1に記載のルータにおいて、
前記不特定パケット配送判定部は、前記テーブルを参照して、前記第1所定時間において、前記異なる宛先アドレスのうちの前記登録宛先アドレスに一致する宛先アドレスに対応する前記登録時刻を前記現在の時刻に更新する
ルータ。 - 第1ネットワークからのパケットを受信する第1インタフェース部と、
前記パケットの転送の可否を判定するフィルタ処理部と、
前記パケットの転送が許可されたとき、前記パケットを第2ネットワークに送信する第2インタフェース部と
を具備し、
前記パケットは、送信元アドレスと宛先アドレスとを含み、
前記フィルタ処理部は、
テーブルと、
前記同一の送信元アドレスを前記テーブルに登録する不特定パケット配送判定部と、
不正パケット防止部と
を具備し、
前記不特定パケット配送判定部は、第1所定時間において、異なる宛先アドレスと同一の送信元アドレスとを有する前記パケットの数としてパケット数が設定数以下である場合、前記パケットの転送を許可し、前記パケット数が前記設定数を超えた場合、前記パケットの転送の拒否を表す不許可情報を前記同一の送信元アドレスに対応付けて前記テーブルに登録し、
前記不正パケット防止部は、前記テーブルを参照して、前記不許可情報に基づいて前記パケットを破棄し、
前記テーブルには、前記同一の送信元アドレスに対応付けられて、更に、ハッシュ登録数と登録ハッシュ値と登録時刻とが登録され、前記登録時刻は、前記登録ハッシュ値が前記テーブルに登録されたときの時刻であり、
前記不特定パケット配送判定部は、前記テーブルを参照して、前記登録時刻から第2所定時間が経過したときに、前記第2所定時間が経過した前記登録時刻と、前記第2所定時間が経過した前記登録時刻に対応する前記登録ハッシュ値とを消去し、前記消去された登録ハッシュ値に対応する前記ハッシュ登録数から、前記消去された登録ハッシュ値の数だけ減算し、
前記第2所定時間は、前記第1所定時間よりも長く、
前記不特定パケット配送判定部は、前記第1所定時間において、前記異なる宛先アドレスに基づいてハッシュ値を算出し、前記算出されたハッシュ値のうち、前記登録ハッシュ値に一致しないハッシュ値を前記同一の送信元アドレスに対応付けて前記テーブルに登録し、現在の時刻を前記登録時刻として前記一致しないハッシュ値に対応付けて前記テーブルに登録し、前記一致しないハッシュ値の数を前記ハッシュ登録数に加算して前記パケット数として前記同一の送信元アドレスに対応付けて前記テーブルに登録する
ルータ。 - 請求項3に記載のルータにおいて、
前記不特定パケット配送判定部は、前記テーブルを参照して、前記第1所定時間において、前記算出されたハッシュ値のうちの前記登録ハッシュ値に一致するハッシュ値に対応する前記登録時刻を前記現在の時刻に更新する
ルータ。 - 請求項1〜4のいずれか一項に記載のルータにおいて、
更に、
管理者に利用される警報器を具備し、
前記不特定パケット配送判定部は、前記テーブルを参照して、前記第1所定時間において、前記パケット数が前記設定数を超えた場合、前記不許可情報を前記同一の送信元アドレスに対応付けて前記テーブルに登録すると共に、前記パケットの転送が拒否された旨を表す警報情報を前記警報器に出力し、
前記警報情報は、前記同一の送信元アドレスを含み、
前記警報器は、前記警報情報に基づいて、前記パケットの転送が拒否された旨を前記管理者に通知する
ルータ。 - 請求項5に記載のルータにおいて、
前記警報器は、前記警報情報を表示する表示部を含む
ルータ。 - 請求項1〜6のいずれか一項に記載のルータにおいて、
前記第1ネットワークと前記第1インタフェース部は、LAN(Local Area Network)に適用され、
前記第2ネットワークと前記第2インタフェース部は、WAN(Wide Area Network)に適用される
ルータ。 - 請求項1〜6のいずれか一項に記載のルータにおいて、
前記第1ネットワークと前記第1インタフェース部は、WAN(Wide Area Network)に適用され、
前記第2ネットワークと前記第2インタフェース部は、LAN(Local Area Network)に適用される
ルータ。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004001363A JP4063771B2 (ja) | 2004-01-06 | 2004-01-06 | ルータ |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004001363A JP4063771B2 (ja) | 2004-01-06 | 2004-01-06 | ルータ |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005197959A JP2005197959A (ja) | 2005-07-21 |
JP4063771B2 true JP4063771B2 (ja) | 2008-03-19 |
Family
ID=34816898
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004001363A Expired - Lifetime JP4063771B2 (ja) | 2004-01-06 | 2004-01-06 | ルータ |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4063771B2 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012178792A (ja) * | 2011-02-28 | 2012-09-13 | Nec Access Technica Ltd | ルータ装置、ノード管理方法およびノード管理プログラム |
JP6949466B2 (ja) * | 2016-08-24 | 2021-10-13 | Necプラットフォームズ株式会社 | 中継装置、通信システム、中継方法、及び中継用プログラム |
JP7277168B2 (ja) * | 2019-02-20 | 2023-05-18 | キヤノン株式会社 | リソースサービスシステム、及び、制御方法 |
CN111935108B (zh) * | 2020-07-24 | 2023-02-28 | 杭州安恒信息技术股份有限公司 | 云数据安全访问控制方法、装置、电子装置及存储介质 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001057554A (ja) * | 1999-08-17 | 2001-02-27 | Yoshimi Baba | クラッカー監視システム |
TW453072B (en) * | 1999-08-18 | 2001-09-01 | Alma Baba Technical Res Lab Co | System for montoring network for cracker attacic |
JP2002124996A (ja) * | 2000-10-13 | 2002-04-26 | Yoshimi Baba | 高速パケット取得エンジン・セキュリティ |
JP3760919B2 (ja) * | 2003-02-28 | 2006-03-29 | 日本電気株式会社 | 不正アクセス防止方法、装置、プログラム |
-
2004
- 2004-01-06 JP JP2004001363A patent/JP4063771B2/ja not_active Expired - Lifetime
Also Published As
Publication number | Publication date |
---|---|
JP2005197959A (ja) | 2005-07-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2021209277B2 (en) | Efficient packet capture for cyber threat analysis | |
US7401145B2 (en) | In-line mode network intrusion detect and prevent system and method thereof | |
US7904942B2 (en) | Method of updating intrusion detection rules through link data packet | |
US20070022468A1 (en) | Packet transmission equipment and packet transmission system | |
JP4774307B2 (ja) | 不正アクセス監視装置及びパケット中継装置 | |
JPWO2005036831A1 (ja) | フレーム中継装置 | |
US10193890B2 (en) | Communication apparatus to manage whitelist information | |
US7684339B2 (en) | Communication control system | |
US20050180421A1 (en) | Source address-fabricated packet detection unit, source address-fabricated packet detection method, and source address-fabricated packet detection program | |
CN109005175A (zh) | 网络防护方法、装置、服务器及存储介质 | |
CN112583850B (zh) | 网络攻击防护方法、装置及系统 | |
JP2008054204A (ja) | 接続装置及び端末装置及びデータ確認プログラム | |
JP4063771B2 (ja) | ルータ | |
JP2003099339A (ja) | 侵入検知・防御装置及びプログラム | |
JP5153779B2 (ja) | 1つまたは複数のパケット・ネットワーク内で望まれないトラフィックの告発をオーバーライドする方法および装置 | |
JP2013134711A (ja) | 医療クラウドシステム | |
KR101088867B1 (ko) | 네트워크 스위치 및 그 네트워크 스위치의 보안공지방법 | |
JP4014599B2 (ja) | 送信元アドレス偽装パケット検出装置、送信元アドレス偽装パケット検出方法、送信元アドレス偽装パケット検出プログラム | |
US8646081B1 (en) | Method and system to detect a security event in a packet flow and block the packet flow at an egress point in a communication network | |
JP2007336220A (ja) | パケット制御装置、パケット制御方法およびパケット制御プログラム | |
Cisco | Configuring IP Permit List | |
Cisco | Configuring IP Permit List | |
JP2003283555A (ja) | 分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラム | |
JP2007142841A (ja) | 攻撃パケット迂回システム、方法、およびトンネル機能付きルータ | |
JP2007228449A (ja) | パケット中継装置、パケット中継方法及びパケット中継プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070910 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071108 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20071129 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20071225 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4063771 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110111 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110111 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120111 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130111 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130111 Year of fee payment: 5 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
EXPY | Cancellation because of completion of term |