JP4167866B2 - データ伝送方法、データ伝送システム及びデータ伝送装置 - Google Patents

データ伝送方法、データ伝送システム及びデータ伝送装置 Download PDF

Info

Publication number
JP4167866B2
JP4167866B2 JP2002251958A JP2002251958A JP4167866B2 JP 4167866 B2 JP4167866 B2 JP 4167866B2 JP 2002251958 A JP2002251958 A JP 2002251958A JP 2002251958 A JP2002251958 A JP 2002251958A JP 4167866 B2 JP4167866 B2 JP 4167866B2
Authority
JP
Japan
Prior art keywords
packet
node
information
network
relay network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2002251958A
Other languages
English (en)
Other versions
JP2004096246A (ja
Inventor
真 久保田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2002251958A priority Critical patent/JP4167866B2/ja
Publication of JP2004096246A publication Critical patent/JP2004096246A/ja
Application granted granted Critical
Publication of JP4167866B2 publication Critical patent/JP4167866B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明はデー手伝送方法、同方法を実現するデータ伝送システム及び同システムを構成するデータ伝送装置に係り、特にパケット中継網等のデータ通信網において、悪意を持って攻撃を仕掛けてくるユーザ等に対する有効な対策を講じ得るデー手伝送方法、同方法を実現するデータ伝送システム及び同システムを構成するデータ伝送装置に関する。
【0002】
【従来の技術】
現在、インターネット等のデータ通信網上で、悪意を持ったユーザによるサーバやネットワークへの攻撃が急増し、問題となっている。ここで述べる攻撃とは、例えば所謂DoS(Denial of Service、サービス妨害)攻撃と呼ばれる、特定ネットワークの帯域やサーバリソースを意図的に無意味なデータで溢れさせる等の方法によって当該システムの運用を妨害する攻撃、所謂Intrusion(侵入)と呼ばれる、正規な権限/許可無しにシステムの情報/リソースに不正にアクセスする攻撃等、ネットワーク上で展開される各種攻撃的なアクションを指す。
【0003】
この問題に対応すべく、インターネット上に特定のネットワークやシステムを接続する際には、インターネットとの境界部分に、当該攻撃を検知/遮断する機能を有する装置を設置する形態が一般的となりつつある。この装置は、一般的にファイアウォール(Firewall)と呼ばれている。
【0004】
【発明が解決しようとする課題】
しかしながら、当該攻撃への対応としては、攻撃の検知/遮断だけでは十分ではなく、更なる高度な攻撃の可能性をも除去する目的等から、当該攻撃者の特定を行うことも重要である。具体的には、当該攻撃を受けたネットワークやシステムが攻撃者を特定する為に、当該攻撃に使用されたパケットの送信元ホストや当該攻撃を仕掛けたユーザの情報を追跡する機能が重要視される。以後、このような機能を[追跡]機能と称し、この機能を実現する行為のことを「追跡」と称する。以下、この[追跡]機能について述べる。
【0005】
上記攻撃を検知したファイアウォールの管理者は、上記追跡を行うにあたり、当該攻撃の主体としてのパケット中の送信元IPアドレス(以下ではIP−SAと称する)によっても攻撃者のホストが特定できるとは限らない。即ち、IPパケットは送信ホストが自由に生成可能なことから、攻撃に使われたパケット(以下攻撃用パケットと称する)中のIP−SAは、攻撃者により第3者のIPアドレスを詐称したものである可能性があり、正しい送信元ホストのアドレスとは限らない。このように攻撃者が第3者のIPアドレスの詐称によってパケットを送信する行為は、一般的にスプーフィング(Spoofing;成り済まし)と称される。
【0006】
上述のように、パケット中のIP−SAに絶対的な信用性が無い事実を鑑みると、追跡作業としては、中継網が過去に該パケットを中継した実際の経路の情報を何らかの方法で入手し、実際の送信元ホストの位置を追跡していく方法が考えられる。しかしながら経路の履歴が原則パケット中に残らず、又各中継ノードにおける中継情報の履歴の記録が補償されていないため、IPパケット通信網において、パケット通信経路はアグリゲートされ、即ち、異なる拠点から同じ宛先に送信されたパケットは途中からは同じ中継ノードを通って中継されるため、パケットが中継された実際の経路の情報を全て漏れなく入手することは容易ではない。
【0007】
本発明は上記状況に鑑みてなされたものであり、比較的簡易な構成にて悪意を持って攻撃を仕掛けてきたユーザ等のアクセスに対する効果的な追跡動作を実施可能なデータ伝送方式を提供することを目的とする。
【0008】
【課題を解決するための手段】
上記目的を達成するために本発明では、データ中継網の入口のノードにて、中継すべきパケットに当該パケットの入手元情報を含む付加情報を付加し、更にデータ中継網の出口のノードにて、当該データ中継網で中継されたパケット自体の識別情報を、当該パケットに付加された付加情報に含まれた当該パケットの入手元情報と対応付けて記録するようにした。
【0009】
このような構成とすることにより、当該データ中継網によって中継されたパケットの送信元を探索する際、当該パケットの識別情報をキーとして上記出口ノードにおける記録を検索することによって当該パケットの入手元情報を取得可能となる。
【0010】
【発明の実施の形態】
まず、本発明によるデータ伝送方法の基になる考え方について最初に説明する。
【0011】
上述の如く攻撃の主体としてのパケットの送信元を特定することが困難な状況を鑑みたとき、追跡の為のアプローチとして、中継網に必要な機能と、その機能を使って攻撃者のホストを追跡する手順として、以下の手順が考えられる。尚、ここでは追跡を行う主体は、攻撃を検知した「ファイアウォールの管理者」であることとして説明を行なうが、実際には、この追跡主体はファイアウォールによって守られたネットワークやシステムの管理者や、或いはファイアウォール上の何らかのプログラムであっても良く、また必要に応じて、各中継網の管理者と連携して追跡すること場合をも又想定し得る。
【0012】
(1)中継網の各ノードがパケット中継時に、ノード内にパケットの受信情報をログとして残す手法
即ち、攻撃を検知したファイアウォールの管理者は、このログを基に、攻撃用パケットを中継した前ホップノードをサーバ側から順に辿り、最終的に送信元ホストを特定する方法である。
(2)上記(1)に加え、ファイアウォール内に、情報を少しでも多く収集する為の何らかの仕組みをアプリケーションレベルで設ける手法
情報を少しでも多く収集する為の何らかの仕組みの例としては、例えばファイアウォールは、攻撃を検知すると、攻撃を遮断する代わりに、その攻撃者を呼び寄せる囮として、攻撃/侵入に成功したように見せかけるアプリケーション機能を起動し、当該攻撃者の行動を長期間監視することで、より多くの情報を集める、という方法である。
【0013】
上記手法(1)について、その概要について図1と共に説明する。
【0014】
即ち、インターネットに接続されたホストH11が、ホストH01のアドレスを詐称して(即ちIP−SAをスプーフィングして)サーバS22に攻撃を仕掛け、その攻撃を検知したファイアウォールN21が攻撃者を追跡する場合を想定している。この場合、ホップ・バイ・ホップで順々にノード内のログを辿っていくこととなる。具体的には、ファイアウォールN21のログL21上の対応受信インタフェース#210及びMACアドレスPの情報から当該インタフェース#210を介して接続されMACアドレスPを有するノードN20を辿り、当該ノードN20のログL20上の対応インタフェース#200及びMACアドレスQの情報から当該インタフェースを介して接続されMACアドレスQを有するノードNQを辿り、同様にしてノードNQのログLQ上の対応する情報から更に一つ前の中継ノードLPを辿り、最後にインターネット入り口ノードであるノードN10へと辿り着く。そして当該ノードN10のログL10上の対応する受信インタフェース番号とMACアドレスの情報から更に、ホストH11へと至る更に上流側のノードを探索する。
【0015】
ところが、このようにして該当パケットの伝送路を順次辿るためには膨大な作業量を必要とされると共に、各中継ノードにて上記のL21,L20,LP,LQ等のログを保管しているという保障も無い。
【0016】
又、上記(2)の手法はあくまで攻撃者としてのユーザの情報をより多く得る為のものであり、実際に攻撃者追跡の際には、結局(1)の手法等の具体的追跡手法が必要となる。
【0017】
このように、IP中継網において攻撃者を追跡する為の手法は、前述の(1)又は(1)と(2)の組み合わせが必要であり、この方法によると、上述の如く、パケット中継網の上で攻撃者を追跡するには膨大な手間を要することとなる。
【0018】
他方、近年キャリアと称される通信事業者やISP(Internet Service Provider)によるIP網では、網の高速/高機能化を狙いとしてMPLS(Multiprotocol Label Switching)と称される手法の導入が進められている。
【0019】
このMPLSは、IETF(The Internet Engineering Task Force)のRFC 3031 等で規定されるプロトコルであり、中継網の入口エッジノードがパケットに対してMPLSで規定されたラベルの付加を行い(すなわちカプセリング処理を行い)、中継網内部の各ノードは当該ラベルによりパケットを中継し、中継網の外部にパケットを送信する前に該ラベルを削除する(すなわちデカプセリング処理を行う)手法である。尚、ここで述べた中継網とは、キャリア/ISP毎にパケット中継網として定めている所定の管理ドメインを示す。
【0020】
このように中継網にカプセリング技術が導入され始めた背景を鑑みた場合、追跡の為のアプローチとして、新たに以下のアプローチ(3)〜(4)が考えられる。なお、上記同様、追跡を行う主体は、攻撃を検知した「ファイアウォールの管理者」であるものとして説明するが、実際には、ファイアウォールにより守られたネットワークやシステムの管理者や、或いはファイアウォール上の何らかのプログラムであっても良く、また必要に応じて、各中継網の管理者と連携して追跡することをも想定可能である。
【0021】
(3)中継網の各エッジノードはパケット中継時に、ノード内とパケット内の両方に追跡の為の記録を残す手法
中継網の入口エッジノードは、パケット中継時に、パケットの受信情報を記したログを記録しておくと共に、当該パケット中に、このログの識別子を何らかの形で記録したうえで、網の出口またはファイアウォール迄この識別子を渡す構成とする。その結果、攻撃を検知したファイアウォールの管理者は、パケット中の前記ログ識別子を用いて、当該ログ識別子によって識別された特定のログのみを参照しながら中継網内の送信元ホストを追跡することにより、追跡にかかる手間を削減可能となる。
【0022】
尚、ここで上記ログの識別子とは、後程ログを特定する為に使う情報であり、例えばログをノード単位で設ける場合を想定した場合、ここで言うログの識別子は、入口エッジノード自体の識別子を意味することになる。又、上記入り口エッジノードとは、特定の中継網を介してパケットを中継送信する場合において、当該中継網内で最初にパケットを中継するノードを意味し、例えば図1において、ノードN10はインターネットを介してパケットを中継送信する場合の、当該パケットに関する入り口ノードとなる。
【0023】
(4)中継網の各エッジノードは、パケット中継時に、パケット内に入口エッジノードの前ホップノード情報を残す手法
この手法では、中継網の入口エッジノードは、パケット中継時に、このノードにパケットを送ってきた前ホップノードの識別情報を、パケット中に何らかの形で記録し、網の出口またはファイアウォール迄この識別子を渡す構成とする。攻撃を検知したファイアウォールの管理者は、パケット中の前記の前ホップノード情報を用いて当該前ホップノードを辿り当該送信元ホストを追跡することにより、追跡にかかる手間を軽減することが可能である。
【0024】
ここで上記前ホップノード情報とは、中継網が認識し得る「前ホップノードを特定可能な情報」を意味し、具体的には例えば「入口ノードのポート」を識別するための情報である。又、前ホップノード/ルータのMAC−SA等があれば、より手前のホップのノード/ルータを特定出来るが、前述の如くユーザが作るパケット中の値は絶対的には信用出来ないという前提なので、基本的には使えない情報である(但し補助的には使用して良い)。
【0025】
上記手法(3)又は(4)によれば攻撃者追跡の際に行うべきログの参照回数が前記(1)の手法に比べて減る為、攻撃者追跡の手間を、手法(1)に比べて大幅に減らせる効果がある。
【0026】
従来のIPパケット通信手法によれば、基本的にはパケットにヘッダを付加する仕組みは無いため、上記アプローチ実現の際には、中継ノードの処理を実質的に変更する必要があったが、上記MPLSによる手法の適用により、当該問題は解決する。即ち、MPLSにおけるラベル付加の仕組みを利用し、当該ラベル値として、上記手法(3)や(4)による追跡の為の情報を適用したラベル値をパケットに付加することにより、これら(3)又は(4)の手法の実現に必要となる、「パケット中に、追跡の為の何らかのヘッダを付加する構成」が、規定の枠組み範囲内で実現可能となる。
【0027】
尚、MPLSによるラベリング機能を利用する以外に、Route−Record−Optionと称されるオプション機能の適用によってパケット中への中継ノードの記録機能を利用することも可能ではある。しかしながらこの機能では、オプションの指定によって送信元ホストのみ指定可能であるが、攻撃者はこのようなオプションを指定しないことが可能であるため、基本的に利用不可と考えるべきである。
【0028】
又、MPLSのラベリング機能を利用する以外の方法として、データリンク層以下におけるヘッダ付加の機能が考えられるが、この機能ではデータリンク層のヘッダはルータを跨いで伝播できない為、ここでは利用不可である。
【0029】
しかしながら、MPLSは、元々上記追跡の為の機能は持たず、MPLS本来の機能だけでは、前記(3)又は(4)のアプローチを実現するには十分でない。即ち、MPLSではラベルを出口ノードで削除してしまう。従って上記手法(4)を実現する為には以下の2つの機能が必要となる。即ち、入口エッジノードで各中継パケットに対しラベル付加する機能に加え、当該ラベルを削除するノードが、各中継パケットについて、当該パケットと当該ラベルとの対応関係をログとして残す機能が必要であるが、後者が本来のMPLSに備わってはいない。
【0030】
また、上記手法(3)については更に、入口エッジノードで各中継パケットついてログを取る機能が必要となるが、この機能もやはりMPLSに本来的には備わっていない機能である。
【0031】
従って、本発明の実施の形態では、パケット中継網の上での攻撃を検出した際に、攻撃者の追跡を効率的に行うことが可能なシステムの提供するにおいて、以下に述べる各実施例の構成を有するものとする。尚、以下、特定の管理ドメインで定義される中継網の範囲のことを、単に網又はパケット中継網と呼ぶ。
【0032】
まず、本発明の第1実施例について説明する。本実施例は、前記アプローチ(4)に対応する。図2は、本発明の第1実施例によるデータ伝送方法を説明するための原理図である。図中、各ノードN10,N20のパケット中継部11、21は、パケットP1のヘッダに基づき当該パケットの宛先を決定するものであり、従来技術のIPパケットデータ伝送方式における各ノードに備わった機能をそのまま利用可能である。ノードN10の受信元識別情報付加部12は、当該パケット中継網NW1の外部から受信したパケットに対し、パケットの受信元情報を含むヘッダHD1を付加する機能部である。
【0033】
又、ノードN20の出口ログ記録部23は、網NW1の外部へ送信するパケットの識別情報を、当該パケット中に格納された前記受信元情報と対応付けてログとして記録する機能部である。同ノードN20の受信元識別情報削除部22は、パケット中継網NW1の外部へ送信するパケットに関し、当該パケットの受信元情報を含むヘッダHD1を削除する機能部である。
【0034】
図2に示すデータ伝送方法によるパケット中継処理としては、まず網NW1の外部からパケットP1を受信したエッジノードN10は、パケット中継部11により宛先を決定し、前記受信元識別情報付加部12により受信元情報を含むヘッダHD1を付加した後に該パケットP1を送信する。他方網NW1内部を経由して送信されたパケットP1を当該網NW1の外部へ送信するエッジノードN20は、パケット中継部21により宛先を決定し、当該パケット中に格納された上記受信元識別情報と該パケット自体の識別情報との対応付けを、出口ログ記録部23によりログとして記録し、受信元識別情報削除部22によりヘッダHD1を削除した後に当該パケットP1を送信する。
【0035】
次に当該網NW1が過去に中継したパケットについて送信元ノード位置を追跡するための手順について以下の通りである。従来技術のIPパケット伝送方式のファイアウォールが備える一般的な機能部としての攻撃検知部31により攻撃を検知した、網NW1の外部のファイアウォールF30の管理者やプログラムが、当該ファイアウォールF30内のログを参照する等の手法により、当該攻撃時に使われたパケットを中継した出口エッジノードN20を特定する。
【0036】
次に、前記出口ログ記録部23により、当該攻撃時に使われたパケットP1自体の識別情報をキーとしてログ24に記録された対応する前記受信元識別情報を獲得する。この受信元識別情報によって、当該パケットの送信元ノード位置として、該網NW1で当該パケットを網NW1外部から受信した入口エッジノードN10及びその際の受信元情報、即ち受信ポートの情報等を獲得することが可能となる。
【0037】
このように、本発明の第1実施例によれば、図1と共に説明した追跡手法に比べ、網のパケット中継処理としては、網の内部ノード及び入口エッジノードにおけるログの記録は不要である。又追跡手順としては、網内の内部ノードのログの記録を順に辿る手順も不要である。従って、攻撃者追跡の為の手間が大幅に削減可能である。
【0038】
次に、本発明の第2実施例について説明する。同実施例も、上記アプローチ(4)に対応する機能を実現するものである。本実施例では、上記第1実施例における受信元識別情報として、具体的に当該パケットを受信したポートの識別情報を使用する構成である。他の構成については第1実施例と同様である。
【0039】
次に、図3と共に本発明の第3実施例について説明する。本実施例は上記アプローチ(3)に対応する機能を実現する。即ち、この実施例では、上述の第1実施例の構成に加え、入り口ノードN10は入口ログ記録部13を含む。当該記録部13は、網NW1の外部から受信したパケットP1の識別情報を、当該パケットP1の受信元を示す各種情報と対応付けてログとして記録する(14)。
【0040】
そして第3実施例における入り口ノードN10は、受信元識別情報付加部12において、網NW1の外部から受信したパケットP1に対し、受信元識別情報として、上記ログ14の識別情報を含むヘッダHD1を付加する。
【0041】
第3実施例におけるパケット中継処理は以下の通りに実施される。即ち、網NW1の外部からパケットP1を受信した前記エッジノードN10は、パケット中継部N11により宛先を決定し、前記入口ログ記録部13により上記の如くログを記録し、更に前記受信元識別情報付加部12により受信元情報としてのログ識別情報を含むヘッダHD1を付加した後に該パケットP1を送信する。
【0042】
又、網NW1の外部へパケットを送信する前記エッジノードN20は、パケット中継部21により受信パケットP1の宛先を決定し、当該パケットP1中に格納された受信元識別情報としてのログ識別情報(HD1)と該パケットの識別情報との対応付けを、前記出口ログ記録部23によりログ24として記録し、受信元識別情報削除部22によりヘッダHD1を削除した後に当該パケットP1を送信する。
【0043】
当該網NW1が過去に中継したパケットP1について送信元ノード位置を追跡する手順は以下の通りである。即ち、まずファイアウォールF30の攻撃検知部31により攻撃を検知したファイアウォールの管理者やプログラムが、当該ファイアウォールF30内のログ34を参照する等の手法により、攻撃時に使われたパケットP1を中継した出口エッジノードN20を特定する。
【0044】
次に攻撃時に使われたパケットP1の識別情報をキーとして、前記出口ログ記録部23によりログ24に記録された前記受信元識別情報、即ち当該パケットP1の受信元を示す情報を記したログを特定し、該ログを、攻撃時に使われたパケットの識別情報をキーとして検索する。その結果、該パケットの送信元ノード位置として、該網で該パケットを受信した入口エッジノードN10を取得出来、更には当該ノードN10におけるログ14を検索することによって当該ノードN10における当該パケットの受信ポートの情報を獲得することが可能となる。その結果、更に該当するユーザのホストH1側伝送路を辿ることが可能となる。
【0045】
このように、前記第1実施例による効果に加え、パケットに付加する受信元識別情報の情報量を効率化でき、また入口エッジノード内のログ中に受信元情報として詳細な記録を残すことにより、より精度の高い追跡が行え、攻撃者のより確実な特定が可能となる。
【0046】
次に、本発明の第4実施例について説明する。本実施例は、上記アプローチ(3)に対応する機能を実現するものである。ここでは、図3と共に説明した上記第3実施例における受信元識別情報付加部12において、網NW1の外部から受信したパケットP1に対し、受信元識別情報として、前記入口ログ記録部13が該パケットP1の受信元を示す各種情報を記録したログ中の該当する「エントリ」(項目)の識別情報を含むヘッダHD1を付加するものとする。
【0047】
この場合の当該網が過去に中継したパケットについて送信元ノード位置を追跡する手順は以下の通りである。即ち、まず攻撃検知部31により攻撃を検知した網外部のファイアウォールF30の管理者やプログラムが、該ファイアウォール内のログ34を参照する等の手法により、攻撃時に使われたパケットP1を中継した出口エッジノードN20を特定し、次に攻撃時に使われたパケットの識別情報をキーとして、前記出口ログ記録部23によりログに記録された前記受信元識別情報、即ち該パケットの受信元を示す各種情報を記した網内のログ14及び該ログ14の「エントリ」情報を取得し、該ログ14を、前記エントリ情報をキーとして検索することにより、該パケットの送信元ノード位置として、当該網で該パケットを受信した入口エッジノードN10の受信ポートの情報を獲得することが可能となる。
【0048】
このように、前記第3実施例による効果に加え、入口エッジノードN10内のログ14検索動作を効率化可能であり、もって、追跡手順を簡略化できる。
【0049】
次に、図4と共に、本発明の第5実施例について説明する。本実施例は、上記アプローチ(4)に対応する機能を実現する。本実施例では上記第1実施例に加え、付加処理起動部15を有し、当該起動部15は、網NW1の外部から受信したパケットP1が、予め監視対象として指示された所定のヘッダ値を持つパケットかどうかを判定し、監視対象と判断した時に、前記受信元識別情報付加部12を起動する。又、出口エッジノードN20は出口処理起動部25を有し、当該起動部25は、網NW1の外部へ送信するパケットP1が、予め監視対象として指示されたヘッダ値を持つパケットかどうかを判定し、監視対象と判断した時に、前記出口ログ記録部23と前記受信元識別情報削除部22を起動する。
【0050】
第5実施例におけるパケット中継処理としては、網NW1の外部からパケットP1を受信した前記エッジノードN10は、パケット中継部11により宛先を決定し、次に予め管理者等により指示された設定のもとに、付加処理起動部15により監視対象パケットかどうかの判断を行い、監視対象判断した時にのみ前記受信元識別情報付加部12を起動し、当該付加部12の前述の機能を実行する。
【0051】
網NW1の外部へパケットP1を送信する前記エッジノードN20は、パケット中継部21により宛先を決定し、次に予め管理者等により指示された設定のもとに、出口処理起動部25により監視対象パケットかどうかの判断を行い、監視対象判断した時にのみ前記出口ログ記録部23と受信元識別情報削除部22を起動し、夫々の該当する機能を実行させる。
【0052】
又、該網NW1が過去に中継したパケットP1について送信元ノード位置を追跡する手順としては、上記第1実施例におけるものと同様である。
【0053】
このように、第5実施例では、第1実施例による効果に加え、非監視対象として設定したパケット中継時には、各中継ノードにおける追跡の為の処理が省略でき、中継処理の高速化およびログ用のリソースの削減が可能となる。
【0054】
次に、図5と共に、本発明の第6実施例について説明する。この場合、上記アプローチ(3)に対応する機能を実現するものであり、上記第3実施例の構成に加え、出口エッジノードN20は上記第5実施例で説明した出口処理起動部25を有し、入口エッジノードN10は入口処理起動部16を有する。当該入口処理起動部16は、網NW1の外部から受信したパケットP1が、監視対象として指示された所定のヘッダ値を持つパケットかどうかを判定し、監視対象と判断した時に、前記受信元識別情報付加部12と入口ログ記録部13とを起動する構成である。
【0055】
又、パケット中継処理としては、網NW1の外部からパケットP1を受信した前記エッジノードN10は、パケット中継部11により宛先を決定し、次に予め管理者等により指示された設定のもとに、入口処理起動部16により監視対象パケットかどうかの判断を行い、監視対象判断した時にのみ前記受信元識別情報付加部12と入口ログ記録部13とを起動し、夫々の該当する機能を実行させる。
【0056】
網NW1の外部へパケットP1を送信する前記エッジノードN20は、パケット中継部21により宛先を決定し、次に予め管理者等により指示された設定のもとに、出口処理起動部25により監視対象パケットかどうかの判断を行い、監視対象判断した時にのみ前記出口ログ記録部23と受信元識別情報削除部22を起動し、夫々該当する機能を実行させる。
【0057】
網NW1が過去に中継したパケットについて送信元ノード位置を追跡する手順としては、前記第3実施例における場合と同様である。
【0058】
このように、第3実施例による効果に加え、非監視対象として設定したパケット中継時には、各中継ノードにおける追跡の為の処理が省略でき、中継処理の高速化およびログ用のリソースの削減が可能となる。
【0059】
次に、図6と共に、本発明の第7実施例について説明する。本実施例は、上記アプローチ(4)に対応する機能を実現するものである。本実施例は、図4に示す上記第5実施例の構成に加え、各エッジノードN20はトリガ受信部26を有し、当該受信部26は、攻撃検知の手段を備えた装置F30の手段攻撃検知部31から、監視対象パケットの識別情報を、監視のON/OFF情報と共に受信し、上記通知を受信すると、出口処理起動部25に当該通知内容を設定する(つまり、監視ON時は、監視対象として、トリガ時受信部26が受信した識別情報を追加し、OFF時は,トリガ受信部が受信した識別情報を監視対象から外す)と共に、トリガ通知部27を起動する。
【0060】
又、各エッジノードN10はトリガ通信部17を有し、当該通信部17は、網NW1内の当該エッジノード内の付加処理起動部15に対し、監視対象パケットの識別情報を、監視のON/OFF情報と共に通知する。
【0061】
又、各エッジノードN20は、前記トリガ受信部26により、ファイアウォールF30から監視対象パケットの識別情報及び監視のON/OFF情報を受信すると、出口ログ記録部25に当該通知された内容を設定すると共に、トリガ通知部27を起動する。起動された前記トリガ通知部27は、トリガ通信部17を介して網NW1内の各エッジノードN10内の前記付加処理起動部15に対し、監視対象パケットの識別情報を監視のON/OFF情報と共に通知し、各付加処理起動部15に、当該通知された内容を設定する。
【0062】
このように、第7実施例では、ファイアウォールから記録開始のトリガ及び記録対象パケットの識別情報を通知し、その指示情報に従って各エッジノードにて上記所定の情報付加/ログ記録動作を実行する。
【0063】
この場合、該網NW1が過去に中継したパケットについて送信元ノード位置を追跡する手順としては、前記第5実施例における場合と同様である。
【0064】
このように、監視対象を外部の攻撃検知手段と連動して指定出来るため、攻撃検知から追跡のためのシステムのセットアップ迄の時間を、第5実施例に基づく静的セットアップの場合よりも短縮できる可能性がある。
【0065】
次に、本発明の第8実施例について説明する。この場合、上記アプローチ(3)に対応する機能を実現するものである。ここでは、上記図5に示す第6実施例において、更に、各エッジノードは前記トリガ受信部26を有し、当該受信部26は、網NW1内の各エッジノードN10内の前記入口処理起動部16に対し、監視対象パケットの識別情報を、監視のON/OFF情報と共に通知する。又、各エッジノードN20では、前記トリガ受信部26により、ファイアウォールF30から監視対象パケットの識別情報を監視のON/OFF情報と共に受信すると、出口ログ記録部25に当該通知された内容を設定すると共に、トリガ通知部27を起動する。起動された前記トリガ通知部27は、網NW1内の各エッジノードN10内の前記入口処理起動部16に対し、監視対象パケットの識別情報を監視のON/OFF情報と共に通知し、各入口処理起動部16に、当該通知された内容を設定する。
【0066】
網NW1が過去に中継したパケットについて送信元ノード位置を追跡する手順としては、前記第6実施例における場合と同様である。
【0067】
第8実施例では、このように、第6実施例による効果に加え、第7実施例同様、監視対象を外部の攻撃検知手段と連動して指定出来るため、攻撃検知から追跡のためのシステムのセットアップ迄の時間を、第5実施例に基づく静的セットアップの場合よりも短縮できる可能性がある。
【0068】
以下、以上の本発明の各実施例を実現するための更に詳細な構成について説明する。
【0069】
本発明は、基本的に中継網がカプセリング技術を導入可能であれば、そのためのカプセリングプロトコルを限定するものではないが、本実施例では、このカプセリング技術として上記MPLS方式を使用するものとする。
【0070】
ここで、本発明をMPLS網の上で運用する際には、その際のラベル値が、上記受信元識別情報としての要件を満たしている必要がある。従って、以下、実施例の更なる詳細な説明においては、まず受信元識別情報としての要件について説明する。次に、MPLSを中心とした各種プロトコルにおけるラベルアサイン指針について説明し、各指針が前記要件を満たすかどうかの評価を行う。
【0071】
なお、本発明を実施するにあたり、必ずしもラベルアサイン指針が以下に説明する内容と同一である必要は無く、対応する要件を満たす限り、他のいかなる指針を適用してもよいことは言うまでもない。
【0072】
まず、本発明の実施例による受信元識別情報の要件を整理する。本発明の実施例は上記アプローチ(3),(4)を実現する構成を有するため、受信元識別情報としての要件を、このアプローチ(3),(4)に応じて以下に示す。
【0073】
まず、アプローチ(3)に関し、受信元識別情報は、中継網の入口ノードのログが後程特定可能な情報を含むことが必要である。
【0074】
次にアプローチ(4)に関し、受信元識別情報は、中継網の入口ノードの前ホップノードを後程特定可能な情報を含むことが必要である。
【0075】
なお、後者で述べた「前ホップノード情報」は、ユーザが作るパケット中の値がスプーフィングされている可能性があることを鑑みた場合、結局「入口ノードの受信ポート情報」にマッピングすることが望ましく、パケット中の各パラメタもマッピングする場合は、あくまで補助的な情報として使用することが望ましい。
【0076】
次に、MPLSを基本技術として使用した各種プロトコルにおけるラベルアサイン指針及び各指針が前記要件を満たすかどうかの評価について以下に述べる。
【0077】
IPルーティング処理をそのままMPLSにマッピングした場合(このようにして実現される方式を、以下、単にIP−MPLSと称する。IP−MPLSではIPパケットにラベルが一つ付加される。このラベルのことを以下L1ラベルと称し、このパケットフォーマットを図9(b)に示す。)、MPLSのL1ラベルは、パケットを宛先ノードまで中継することを目的としたパラメタであり、現状の使い方としては、IP−DA(宛先アドレス)がマッピングされる。しかしながら中継の為には送信元情報は不要な為、L1ラベルには入口情報は含まれない。又、異なる拠点から同じ宛先に送信されたパケットが途中から同じ中継ノードを通り中継される場合、同じL1ラベル値が付く為、このラベルは、後からパケットの送信元を辿る用途には利用不可である。
【0078】
又、周知のRFC(request for comments)2547で規定されるMPLS−VPN(virtual private network)を用いた場合(以下MPLS−VPNと称する。MPLS−VPNでは、IPパケットにラベルが二つ付加される。このラベルのことを、パケットの先頭側から順に、以下L1,L2ラベルと称し、このパケットフォーマットを図9(a)に示す。)も、このL1ラベルは上記IP−MPLS方式におけるL1ラベルと同じであり、同様に上記用途には利用不可である。他方、この場合のL2ラベルは、VPN内でパケットを宛先ノードまで中継することを目的としたパラメタであり、現状の使い方としては、VPN毎に、IP−DA又は出口エッジノードのポートがマッピングされる。この場合も同様に中継の為には送信元情報は不要な為、L2ラベルには入口情報は含まれず、異なる拠点から同じ宛先に送信されたパケットに対しても同じL2ラベル値が付く為、このラベルも、後からパケットの送信元を辿る用途には利用不可である。
【0079】
次に、本出願人の出願による特願2001−283477号「レイヤ2−VPN中継システム」(平成13年9月18日出願)で本発明者等が開示したレイヤ2−VPNを用いた場合(以下L2−VPNと称する。レイヤ2―VPNでは、レイヤ2フレームにラベルが二つ付加される。このラベルのことを、パケットの先頭側から順に以下L1,L2ラベルと称し、このパケットフォーマットを図9(c)に示す。)を考える。この場合、そのL1ラベルは上記IP−MPLSの場合のL1ラベルと同じであり、従って上記用途には利用不可である。他方、この場合のL2ラベルは、MACフレームを宛先ノードまで中継する点、及び、MACフレームの送信元ノードの位置をMPLSのエッジノードで学習し、MPLSのフォワーディングテーブルに登録することを目的としたパラメタであり、L2ラベルへのマッピング対象として、上記出願明細書には、例えば以下の内容が開示されている。即ち、{MPLS網の入口ノードの受信ポートと、出口ノードの受信ポートとの対}から当該L2ラベルへのマッピングが開示されている。
【0080】
このL2ラベルのマッピングを行うシステムでは、前記アプローチ(4)を適用可能であり、アプローチ(3)も、ログを保持する単位がポート以上であれば適用可能である。
【0081】
以上の通り、本発明の要件を満たすラベルアサイン指針として、本発明等の提案による上記L2−VPNマッピング例を使用することとすればよい。又アプローチ(3)を実現の際には、ログの粒度はポート単位では細かすぎるので、ノード単位で一つのログを保持するものとすればよい。
【0082】
尚、前記レイヤ2−VPNの内容の内、以下に述べる処理で使用するのは、ラベルのマッピング方法(即ちLSPの張り方)のみである。即ち、前記レイヤ2−VPNのシステムはそもそもがレイヤ2でのVPNを目的とした構成であるため、MPLS網のエッジノードは中継時にレイヤ2ヘッダによって宛先決定を行い、又ラベル付加後のフレームフォーマットとして図9(c)を使用する構成となっているが、以下の説明では、中継時にはレイヤ3ヘッダによって宛先決定を行うものとして説明する。フレームフォーマットは図9(a)であり、L1ラベルは前記IP−MPLSの場合ものと同じL1ラベルを使用する。これは説明の簡略化のためであり、他の実施の形態として、中継レイヤ及びフレームフォーマットを前記レイヤ2−VPNの場合の如くとすることも可能である。
【0083】
以下、「ポート」と「インタフェース」とは同義として扱う。また、「インタフェース」のことをIFと略記することもある。
【0084】
まず、上記第1及び第2実施例を実現するための詳細な構成例について図8と共に説明する。
【0085】
まず、想定するネットワーク構成及び当該ネットワークにおけるMPLSによるパスであるLSP(Label Switched Path)の張り方について、図8と共に説明する。
【0086】
ネットワーク構成としては、あるISP(internet serviceprovider)網NW1において、エッジノードN20にコンテンツサイトNW2が接続されており、コンテンツサイトの入口にはファイアウォールN21が配置されており、また当該ISP網NW1内では下位層でイーサネット(登録商標)としてのMPLSが適用されているものとする。又、当該ISP網内のLSPの張り方としては、エッジノードのユーザ網側のポート間を網内でフルメッシュに接続することを想定する。このパスのことを、以下L2−LSPとも称し、L2−LSP用のラベルのことをL2−Labelと称する。
【0087】
このL2−Labelは、第2実施例で示した、入口エッジノードのポート情報を含む受信元識別情報であり、各エッジノードがL2−Label付きパケットを受信した際に、このL2−LabelがMPLS網内のどのエッジノードのどのポートから送られたかが、例えば管理者によって予め静的になされた設定により一意に求められるように番号をアサインしたラベルである。ここでは即ち、エッジノードが持つポートのうち、ISP網NW1の外部の網またはノードを収容するポートのことを外部ポートと呼ぶとき、ISP網NW1の管理者により、{外部ポート−外部ポート}対毎にISP網NW1内でユニークな値を割り振った値であることを想定する。この割り振りの管理例としての、L2−Label値アサインを管理するテーブルを以下の表1に示す。
【0088】
【表1】
Figure 0004167866
この例によれば、パケットのL2−Labelの値によって、当該パケットの中継に用いられた入口、出口各ノードと該当する外部ポートとを同時に特定可能である。
【0089】
使用するLSPとしては、上記L2−LSP以外に、ISP網NW1のMPLS網内のノード間を中継する為のLSP(以下L1−LSPと称する)をも張るものとする。これらL1−LSP及びL2−LSPの張り方としては、前記本発明者等の提案によるL2−VPNのラベルアサイン方針およびLSPの張り方をそのまま適用可能である。尚、図7ではL2−LSPのみ記載し、L1−LSPについては省略している。
【0090】
以上の構成において、LDP(Label Distribution Protocol)等の既存のラベル配信用プロトコル、RIP等のルーティングプロトコル、及びARP(Address Resolution Protocol)等の各種既存制御プロトコルの動作によって最終的に構築される宛先決定用のテーブル、及び当該テーブルを基にして、中継されたパケットについてファイアウォール内の攻撃検出部31が攻撃用のパケットであると認識したときの、該当する送信者追跡の手順について、図8と共に説明する。
【0091】
尚、ここでは上記宛先検索テーブルは、受信IF毎に異なる、論理的には受信IF毎に分かれたテーブルであるが、物理的にはテーブルの検索キーに受信IFを含めることにより、複数IF毎の論理的なテーブルを、一つの物理テーブルにまとめたものとされる。
【0092】
以下、図8を基に、攻撃者から送信されたパケットがファイアウォールN21迄中継され、その後攻撃用のパケットと判断したファイアウォールN21の管理者が、当該パケットの追跡を行う迄の流れについて説明する。
【0093】
まず、攻撃者から送信されたパケットP1がファイアウォールN21まで中継されるまでの流れを説明する。図中網NW11内のサイトの中にいる攻撃者は、IP−SA(送信元アドレス)を1.1.1.1と詐称したIPパケットを使い、サーバS22に対して攻撃を仕掛けるものとする。
【0094】
当該パケットP1を外部ポートから受信した網NW1の入口エッジノードN10は、宛先決定テーブルT10を用いてパケット中継部12により送信IF等の宛先情報を得るとともに、受信元識別情報としてL2−Label値500を得る。入口エッジノードN10は更に、受信元識別情報付加部12により、L2−LabelおよびL1−Labelを付加してMPLS網NW1にパケットP1を送信する。この時のパケットフォーマットを図9(a)に示す。尚、上記受信元識別情報に直接対応するラベルはL2−Labelだけであるが、ここではL1−Labelも合わせてパケットに付加するものとする。
【0095】
このようにしてヘッダ付加後に送信されたパケットP1は、以後公知のMPLSによる中継処理に従い、網NW1を経てノードN20まで到達する。その際、MPLSでは通常、MPLS網の出口手前ノードにおいてパケット中の一段目のラベルが削除される為、ここでは、ノードN20は、図9(a)のパケットフォーマットから先頭のヘッダが除かれた結果前記L2−Labelが先頭に付いたパケット(図9(b)のパケットフォーマットを有する)を受信する。上述のような、MPLSによる2段ラベルスタック付パケットの中継の様子を図10に例示する。
【0096】
MPLS網NW1からパケットP1を受信した網NW1の出口エッジノードN20は、宛先決定テーブルT20を用いて、当該パケットのヘッダに格納された上記L2−Label値(500)から、パケット中継部21により送信IF等の宛先情報を得る。出口エッジノードN20は更に、出口ログ記録部23により、パケットP1自体の識別情報と、受信元識別情報としてのL2−Label値とを対応付けたログを記録する。ここで記録したログの例を図8中のログL20として示す。パケットP1自体の識別情報として、ここではIP−SA、IP−DA、TimeStampの組み合わせを記録している。これは、後でファイアウォールN21の管理者から追跡対象パケットを指示されたときに、当該パケットを特定する為のキーとして使用するための情報の組み合わせの一例である。
【0097】
出口エッジノードN20は、当該パケットP1を外部ポートへ送信する前に、受信元識別情報削除部22により、L2−Labelを削除してコンテンツサイトNW2にパケットP1を送信する。この時のパケットフォーマットは、通常のIPパケットものと同様である。
【0098】
以上の中継処理を経たパケットP1が、その後図中のファイアウォールN21で攻撃用のパケットとして検知され、その結果、ログとして当該パケットP1のIP−SA、IP−DA、TimeStampの組み合わせが記録されたものとする。この攻撃検知部31についてはここでは特定しない。即ち、通常のファイアウォールの攻撃検出機能部であればいずれの構成でも適用可である。またこの場合のログの形式についても、ログ対象のパラメタの代表例を記載し、それによってパケットを何らかの形で特定できれば、その形式/組み合わせ等は任意のものでよい。
【0099】
以下、図8と共に、上記パケットP1を攻撃用のパケットと判断したファイアウォールN21の管理者が、当該パケットの追跡を行う際の手順について説明する。
【0100】
パケットの追跡を行う際の手順は以下の通りである。即ち、図中ファイアウォールN21の管理者は、まず攻撃に使われたパケットP1を中継した中継網NW1および中継時に出口となったノードN20の情報を獲得し、当該中継網の管理者に、これをパケットP1の識別情報と共に連絡する。ここでは、ネットワーク構成上、該当するの中継網と出口ノードは、網NW1のノードN20と一意に決まるが、これ以外にログ34中の情報を使い中継網を特定する等の手法を用いても良い。またこの場合、該当するパケットの識別情報としてIP−SA、IP−DA、TimeStampの組み合わせを網NW1の管理者に対して連絡する。
【0101】
連絡を受けた網NW1の管理者は、エッジノードN20のログL20を、連絡を受けたパケット識別情報をキーとして検索し、対応する受信元識別情報としてラベル値500を獲得する。この場合、具体的な受信元識別情報は、ポート番号(前記表1により、IF#100)である。従って網NW1の管理者は更に、表1を参照して、対応する入口ノード及びポートが、夫々ノードN10、IF#100であることを認識し、当該ポートに接続されたホストG11を攻撃者として特定することが可能となる。
【0102】
以上の手順により、IP−SAがスプーフィングされた場合に於いても、攻撃者のノードの位置を、比較的少ない手順で特定することが可能となる。
【0103】
尚、上記の例では、一つのISP網の内部でのみ本発明のシステムを適用する例について説明したが、ネットワーク構成上、攻撃者が他のISP網の先に存在するケースも有り得る。そのような場合には、前記の表1によって直接攻撃者に通ずるポートを特定する代わりに、一旦前ホップのISP網を特定し、以後当該ISP網の内部に於いて同様の手順を実行することにより、最終的に攻撃者のノードの位置を特定することが可能となる。
【0104】
このように、本発明は、必ずしも一つのISP網内に限った適用に限定する必要は無く、MPLSを用いて前記L2−Labelアサインのポリシが適用可能であり且つMPLSによって接続された網の範囲内に於いて、自由に適用可能である。
【0105】
今後、各ISP網やキャリアによる接続をMPLSで行うケースも増えていくことが予想され、そのような場合に各ISP/キャリア間を跨いで本発明を適用することにより、より顕著な効果を奏し得る。
【0106】
又、本実施例は、MPLSをベースにパケットの追跡支援システムを構築する例であったが、MPLSに限られず、ヘッダ付加/削除を行うプロトコルであれば他のプロトコルにおいても適用可能である。即ち、MPLSの代わりに例えばL2TPやIPSecなどのIPカプセリング技術を適用して本発明を実施しても良いし、又IPのオプションヘッダの用途を独自に拡張し、カプセリングを行う代わりにオプションヘッダフィールドを用いて本発明を実施しても良い。
【0107】
以下に上記第3実施例を実施する際の詳細な構成例について図11と共に説明する。この場合、入口ログ記録部13は、ログのリソースの物理的実体を受信ポート毎に保持し、またログの記録は受信ポート毎に行うものとする。但し、ログ・リソースの粒度については、例えば上述のようにポート単位とする以外に装置単位としても良く、特に粒度は問わない。更には、ISP網内の全ノードのログを集中的に管理する何らかのログ取りサーバを別途設けても良い。
【0108】
図11の場合、ネットワーク構成としては、IP網NW11には複数のホストH11、H12が接続されていることを除き図8の例の場合と同様であり、又LSPの張り方についても図8の場合と同様とする。但しL2−Labelは、上記第3実施例で示されたように、入口ログ記録部13が記録するログ・リソースに対応付け、出口ノードN20において当該ログを一意に識別可能なように、予め設定されている必要がある。
【0109】
図11の構成例では、ログをポート毎に設ける前提である為、L2−Labelのアサインは、結果的に、図8の構成例の場合と同じでよい。この場合の割り振りの管理部例として、L2−Label値アサインを管理するテーブル例を以下の表2に示す。
【0110】
【表2】
Figure 0004167866
以下、図11と共に、攻撃者から送信されたパケットP1がファイアウォールN21まで中継され、その後攻撃用のパケットと判断したファイアウォールの管理者が、該パケットの追跡を行うまでの流れを説明する。(尚、図中、各ログL10,L20,L21中のetc項とは、Port−SA,Port−DA,IP−Checksum等の、各種パケット識別用に使い得る情報を示す。)
まず、攻撃者から送信されたパケットP1がファイアウォールN21迄中継されるまでの流れについて説明する。図中網NW11のサイトの中にいる攻撃者は、IP−SAを1.1.1.1と詐称したIPパケットを使い、サーバS22に対して攻撃を仕掛けるものとする。この場合、当該パケットP1を外部ポートから受信した網NW1の入口エッジノードN10は、宛先決定テーブルT10を用いてパケット中継部11により送信IF等の宛先情報を得ると共に、受信元識別情報としてL2−Label値500を得る。(尚、テーブルT10において、上記の如く、L1−LabelはMPLS網内部を中継する為のラベルを示し、L2−Labelはエッジノードの入口のログのリソースと出口ノードのポート間を接続するパスに割り当てたラベルのことを示す。)
入口エッジノードN10は更に、入口ログ記録部13により、パケットP1自体の識別情報と受信元識別情報としてのL2−Labelとを対応付けたログを記録する。ここで記録したログの例を図中、ログL10として示す。パケットの識別情報として、ここではIP−SA、IP−DA、TimeStamp、MAC−SAの組み合わせを記録している。これは、後で、パケットの送信元ホストを追跡する際に、追跡対象のパケットを特定する為のキーとして、或いは当該キーに対応するパケットの受信情報として使用するためのものであり、例えばMAC−SA(MAC送信元アドレス)を含めることで、図8の構成例の場合に比してより詳細な情報が入手可能となる。又、受信ポート情報も追跡時には必要だが、この例ではログがポート単位であり、ログの識別によってポートも分かるため、ログの記録対象から外してある。
【0111】
入口エッジノードN10は更に、受信元識別情報付加部12により、L2−Label及びL1−Labelを付加してMPLS網にパケットP1を送信する。この時のパケットフォーマットは、図9(a)に示されるものである。尚、受信元識別情報に直接対応するラベルはL2−Labelだけであるが、ここではL1−Labelも併せてパケットに付加することとしている。
【0112】
このようにしてヘッダHD1付加後に送信されたパケットP1は、以後公知のMPLSによる中継処理に従い、網NW1を経てノードN20まで到達する。その際、MPLSでは通常、MPLS網の出口手前ノードにおいてパケット中の一段目のラベルが削除される為、ここでは、ノードN20は、前記L2−Labelが先頭に付いたパケット(図9(b)のパケットフォーマット)を受信する。
【0113】
MPLS網NW1からパケットP1を受信したの出口エッジノードN20は、宛先決定テーブルT20を用いてパケット中継部21により送信IF等の宛先情報を得る。
【0114】
出口エッジノードN20は更に、出口ログ記録部23により、パケットP1自体の識別情報と受信元識別情報としての上記L2−Labelとを対応付けたログを記録する。ここで記録したログの例を図中のログL20として示す。尚、上記パケット自体の識別情報として、ここではIP−SA、IP−DA、TimeStampの組み合わせを記録している。これは、後でファイアウォールN21の管理者から追跡対象パケットを指示されたときに、該当するパケットを特定する為のキーとして使用するための情報の組み合わせの一例である。
【0115】
出口エッジノードN20は、当該パケットを外部ポートへ送信する前に、受信元識別情報削除部22により、L2−Labelを削除してコンテンツサイトNW2にパケットP1を送信する。この時のパケットフォーマットは、通常のIPパケットと同様である。
【0116】
以上の中継処理を経たパケットP1が、その後図中のファイアウォールN21で攻撃用のパケットとして検知され、その際のログとして当該パケットP1のIP−SA、IP−DA、TimeStampの組み合わせを記録したものとする。
【0117】
以下、図11と共に、当該パケットP1を攻撃用のパケットと判断したファイアウォールN21の管理者が、当該パケットP1の追跡を行う際の手順について説明する。
【0118】
図中ファイアウォールN21の管理者は、まず攻撃に使われたパケットP1を中継した中継網NW1および中継時に出口となったノードN20の情報を獲得し、当該中継網の管理者に、該当するパケットP1自体の識別情報と共に連絡する。ここでは、パケットの識別情報としてIP−SA、IP−DA、TimeStampの組み合わせを連絡したものとする。
【0119】
連絡を受けた網NW1の管理者は、エッジノードN20のログL20を、連絡を受けたパケット識別情報をキーとして検索し、対応する受信元識別情報としてラベル値500を獲得する。網NW1の管理者は更に、前記表2を参照して、対応するログ・リソースが、エッジノードN10のIF#100に設けられたログL10であることを認識する。網NW1の管理者は更に、このように特定した当該ログL10を、前記攻撃対象パケットの識別情報により検索し、MAC−SA=MAC#T01のホストH11が該当する送信元ホストであることを認識する。このMACアドレスは、攻撃者によりスプーフィングされている可能性はあるが、他方、スプーフィングされて無い可能性もある為、図8の構成例の場合に比してより細かい情報を獲得可能である。
【0120】
以上の手順により、IP−SA(IP送信元アドレス)がスプーフィングされた場合に於いても、攻撃者のノードの位置を、比較的少ない手順で特定することが可能となる。
【0121】
以下に上記第4実施例を実施するための詳細な構成について説明する。この場合の構成は基本的には上記図11の構成例と同様であり、両者間の差異として、第4実施例の場合、L2−Labelのアサインの粒度が、ログ・リソース単位でなく、ログのインデックス(項目)単位となる。この場合のL2−Label値アサイン管理テーブル例について以下の表3に示す。又、このラベルアサインに対応するノードN10のログの内容を図12に示す。
【0122】
【表3】
Figure 0004167866
上記の如く、本発明の実施例によれば、網のパケット中継処理としては、網の内部ノードにおけるログの記録が不要となり、また追跡手順としては、網内の内部ノードのログの記録を順に辿る手順が不要となり、攻撃者追跡の為の手間が大幅に削減できる。
【0123】
又、本発明の適用範囲としては、セキュリティ関連用途だけでなく、例えばネットワーク上で何らかのサービスを提供するコンテンツプロバイダが、顧客からの連絡により、当該顧客のホストとの間に通信速度劣化等の何らかの障害があることを認識した際等に、本発明を適用することにより、コンテンツプロバイダ側で、問題となった時刻頃のパケットの追跡を比較的単純な手続きで行うことが出来る。すなわち、図8の構成例で説明したような、ISP網毎に本発明のシステムを適用する形態において、顧客との間に存在するISP網を通した追跡を比較的単純な手順で行うことができる。
【0124】
本発明は、以下の付記に記載の構成を含む。
【0125】
(付記1)
データ中継網を介してパケットを中継するデータ伝送方法であって、
データ中継網の入口のノードにて、中継すべきパケットに当該パケットの入手元情報を含む付加情報を付加する段階と、
データ中継網の出口のノードにて、当該データ中継網で中継されたパケット自体の識別情報を、当該パケットに付加された付加情報に含まれた当該パケットの入手元情報と対応付けて記録する段階とよりなるデータ伝送方法。
【0126】
(付記2)
前記パケットの入手元情報は、当該パケットをデータ中継網を介して中継するために受信した前記データ中継網の入口ノードの当該パケットを受信したポートを識別する情報よりなる付記1に記載のデータ伝送方法。
【0127】
(付記3)
更に、前記データ中継網の入口ノードにて、入手したパケット自体の識別情報を、当該パケットの入手元情報と対応付けて記録する段階と、
該段階にてパケット自体の識別情報を当該パケットの入手元情報と対応付けて記録するための記録手段を識別するための情報を含む付加情報を当該パケットに付加する段階とよりなる付記1又は2に記載のデータ伝送方法。
【0128】
(付記4)
更に、前記記録手段を識別する段階では、当該記録手段の該当する記録項目を識別する情報を含む付加情報を当該パケットに付加する段階よりなる付記3に記載のデータ伝送方法。
【0129】
(付記5)
前記データ中継網の入口ノードにて、中継伝送すべきパケットが所定の監視対象として設定された条件を満たすか否かを判断する段階と、
該段階にて当該パケットが所定の監視対象として設定された条件を満たすと判断された際に前記中継すべきパケットに当該パケットの入手元情報を含む付加情報を付加する入手元情報付加段階と、
データ中継網の出口のノードにて、中継伝送されたパケットが所定の監視対象として設定された条件を満たすか否かを判断する段階と、
該段階にて当該パケットが所定の監視対象として設定された条件を満たすと判断された際に当該パケット自体の識別情報を当該パケットに付加された付加情報に含まれた当該パケットの入手元情報と対応付けて記録する中継後記録段階とよりなる付記1又は2に記載のデータ伝送方法。
【0130】
(付記6)
前記データ中継網の入口ノードにて、中継すべきパケットが所定の監視対象として設定された条件を満たすか否かを判断し、当該パケットが所定の監視対象として設定された条件を満たすと判断された場合に、データ中継網の入口ノードにて、前記中継すべきパケットに当該パケットの入手元情報を含む付加情報を付加すると共に当該パケット自体の識別情報を上記入手元情報と対応付けて記録する段階と、
データ中継網の出口のノードにて、当該データ中継網で中継されたパケットが所定の監視対象として設定された条件を満たすと判断された場合に、当該パケット自体の識別情報を、当該パケットに付加された付加情報に含まれた当該パケットの入手元情報と対応付けて記録する段階とよりなる請求項1又は2に記載のデータ伝送方法。
【0131】
(付記7)
前記データ中継網の入口ノードでは、中継伝送すべきパケットが所定の監視対象として設定された条件を満たすか否かを判断する段階と、
該段階にて当該パケットが所定の監視対象として設定された条件を満たすと判断された際に前記データ中継網の入口ノードにて、入手したパケット自体の識別情報を当該パケットの入手元情報と対応付けて記録する中継前記録段階と、
該段階にてパケット自体の識別情報を当該パケットの入手元情報と対応付けて記録するための記録手段を識別するための情報を含む付加情報を当該パケットに付加する記録手段情報付加段階と、
データ中継網の出口ノードにて、中継伝送されたパケットが所定の監視対象として設定された条件を満たすか否かを判断する段階と
該段階にて当該パケットが所定の監視対象として設定された条件を満たすと判断された際に当該パケット自体の識別情報を当該パケットに付加された付加情報に含まれた当該パケットの入手元情報と対応付けて記録する中継後記録段階とよりなる付記3又は4に記載のデータ伝送方法。
【0132】
(付記8)
前記判断段階は外部指示入力によって監視対象の条件を設定する付記6に記載のデータ伝送方法。
【0133】
(付記9)
前記判断段階は外部指示入力によって監視対象の条件を設定する付記7に記載のデータ伝送方法。
【0134】
(付記10)
データ中継網を介してパケットを中継するデータ伝送システムであって、
データ中継網の入口のノードにて、中継すべきパケットに当該パケットの入手元情報を含む付加情報を付加する入手元情報付加手段と、
データ中継網の出口のノードにて、当該データ中継網で中継されたパケット自体の識別情報を、当該パケットに付加された付加情報に含まれた当該パケットの入手元情報と対応付けて記録する中継後記録手段とよりなるデータ伝送システム。
【0135】
(付記11)
前記パケットの入手元情報は、当該パケットをデータ中継網を介して中継伝送するために受信した前記データ中継網の入口ノードの当該パケットを受信したポートを識別する情報よりなる付記10に記載のデータ伝送システム。
【0136】
(付記12)
更に、前記データ中継網の入口ノードにて、入手したパケット自体の識別情報を、当該パケットの入手元情報と対応付けて記録する中継前記録手段と、
該手段にてパケット自体の識別情報を当該パケットの入手元情報と対応付けて記録するための記録手段を識別するための情報を含む付加情報を当該パケットに付加する記録手段情報付加手段とよりなる付記10又は11に記載のデータ伝送システム。
【0137】
(付記13)
更に、前記記録手段情報付加手段は、当該記録手段の該当する記録項目を識別する情報を含む付加情報を当該パケットに付加する構成の付記12に記載のデータ伝送システム。
【0138】
(付記14)
前記データ中継網のエッジノードにおいて、受信パケットが所定の監視対象として設定された条件を満たすか否かを判断する判断手段と、
該段階にて当該パケットが所定の監視対象として設定された条件を満たすと判断された際に前記入手元情報付加手段又は中継後情報記録手段とを起動する手段とよりなる付記10又は11に記載のデータ伝送システム。
【0139】
(付記15)
前記データ中継網のエッジノードにおいて、中継伝送すべきパケットが所定の監視対象として設定された条件を満たすか否かを判断する判断手段と、
該段階にて当該パケットが所定の監視対象として設定された条件を満たすと判断された際に前記中継前記録手段と記録手段情報付加手段又は中継後記録手段とを起動する手段とよりなる付記12又は13に記載のデータ伝送システム。
【0140】
(付記16)
前記記判断手段は外部指示入力によって監視対象の条件を設定する付記14に記載のデータ伝送システム。
【0141】
(付記17)
前記記判断手段は外部指示入力によって監視対象の条件を設定する付記15に記載のデータ伝送システム。
【0142】
(付記18)
データ中継網を介してパケットを中継伝送するデータ伝送システムに使用されるデータ伝送装置であって、
データ中継網の入口のノードとして機能する際に、中継すべきパケットに当該パケットの入手元情報を含む付加情報を付加する入手元情報付加手段と、
データ中継網の出口のノードとして機能する際に、当該データ中継網で中継されたパケット自体の識別情報を、当該パケットに付加された付加情報に含まれた当該パケットの入手元情報と対応付けて記録する中継後記録手段とよりなるデータ伝送装置。
【0143】
(付記19)
前記パケットの入手元情報は、当該パケットをデータ中継網を介して中継伝送するために受信した前記データ中継網の入口ノードの当該パケットを受信したポートを識別する情報よりなる付記18に記載のデータ伝送装置。
【0144】
(付記20)
更に、前記データ中継網の入口ノードとして機能する際、入手したパケット自体の識別情報を、当該パケットの入手元情報と対応付けて記録する中継前記録手段と、
該手段にてパケット自体の識別情報を当該パケットの入手元情報と対応付けて記録するための記録手段を識別するための情報を含む付加情報を当該パケットに付加する記録手段情報付加手段とよりなる付記19又は20に記載のデータ伝送装置。
【0145】
(付記21)
更に、前記記録手段情報付加手段は、当該記録手段の該当する記録項目を識別する情報を含む付加情報を当該パケットに付加する構成の付記20に記載のデータ伝送装置。
【0146】
(付記22)
受信パケットが所定の監視対象として設定された条件を満たすか否かを判断する判断手段と、
該手段にて当該パケットが所定の監視対象として設定された条件を満たすと判断された際に、前記入手元情報付加手段又は前記中継後情報記録手段を起動する手段とよりなる付記18又は19に記載のデータ伝送装置。
【0147】
(付記23)
受信パケットが所定の監視対象として設定された条件を満たすか否かを判断する判断手段と、
該段階にて当該パケットが所定の監視対象として設定された条件を満たすと判断された際に前記中継前記録手段と記録手段情報付加手段又は中継後記録手段とを起動する手段とよりなる付記20又は21に記載のデータ伝送装置。
【0148】
(付記24)
前記記判断手段は外部指示入力によって監視対象の条件を設定する付記22に記載のデータ伝送装置。
【0149】
(付記25)
前記記判断手段は外部指示入力によって監視対象の条件を設定する付記23に記載のデータ伝送装置。
【0150】
【発明の効果】
本発明によれば、データ中継網によって中継されたパケットの送信元を探索する際、当該パケットの識別情報をキーとして上記出口ノードにおける記録を検索することによって当該パケットの入手元情報を取得可能であるため、該当するパケットの送信元を容易に探索し得、データ伝送におけるセキュリティを高めたシステムを構築可能となる。
【図面の簡単な説明】
【図1】特定パケットの伝送路を追跡する際に考え得る手法について説明するための図である。
【図2】本発明の第1実施例の構成を説明するための図である。
【図3】本発明の第3実施例の構成を説明するための図である。
【図4】本発明の第5実施例の構成を説明するための図である。
【図5】本発明の第6実施例の構成を説明するための図である。
【図6】本発明の第7実施例の構成を説明するための図である。
【図7】本発明の各実施例を適用可能なネットワーク構成例及びデータ伝送パスの張り方の一例について説明するための図である。
【図8】本発明の実施例の構成を更に詳細に説明するための図(その1)である。
【図9】本発明の実施例におけるMPLSによるパケットフォーマット例を説明するための図である。
【図10】本発明の実施例を適用可能なMPLSによる中継処理におけるラベル処理について説明するための図である。
【図11】本発明の実施例の構成を更に詳細に説明するための図(その2)である。
【図12】本発明の第4実施例におけるラベル割当に対応するノードのログ内容を説明するための図である。
【符号の説明】
11、21 パケット中継部
12 受信元識別情報付加部
13 入力ログ記録部
14、24、34 ログ
15 付加処理起動部
16 入口処理起動部
17 トリガ通信部
22 受信元識別情報削除部
23 出力ログ記録部
25 出口処理起動部
26 トリガ受信部
27 トリガ通知部

Claims (5)

  1. データ中継網を介してパケットを中継伝送するためのデータ伝送方法であって、
    データ中継網の入口のノードにて、中継すべきパケットに当該パケットの入手元情報を含む付加情報を付加する段階と、
    データ中継網の出口のノードにて、当該データ中継網で中継されたパケット自体の識別情報を、当該パケットに付加された付加情報に含まれた当該パケットの入手元情報と対応付けて記録する段階とよりなり、
    前記パケットの入手元情報は、当該パケットをデータ中継網を介して中継するために受信した前記データ中継網の入口のノードの当該パケットを受信したインタフェースを識別する情報よりなるデータ伝送方法。
  2. 更に、前記データ中継網の入口のノードにて、入手したパケット自体の識別情報を、当該パケットの入手元情報と対応付けて記録する段階と、
    該段階にてパケット自体の識別情報を当該パケットの入手元情報と対応付けて記録するための記録手段を識別するための情報を含む付加情報を当該パケットに付加する段階とよりなる請求項1に記載のデータ伝送方法。
  3. 前記データ中継網の入口のノードにて、中継すべきパケットが所定の監視対象として設定された条件を満たすか否かを判断し、当該パケットが所定の監視対象として設定された条件を満たすと判断された場合に、データ中継網の入口のノードにて、前記中継すべきパケットに当該パケットの入手元情報を含む付加情報を付加する段階と、
    データ中継網の出口のノードにて、当該データ中継網で中継されたパケットが所定の監視対象として設定された条件を満たすと判断された場合に、当該パケット自体の識別情報を、当該パケットに付加された付加情報に含まれた当該パケットの入手元情報と対応付けて記録する段階とよりなる請求項1又は2に記載のデータ伝送方法。
  4. 前記データ中継網の入口のノードにて、中継すべきパケットが所定の監視対象として設定された条件を満たすか否かを判断し、当該パケットが所定の監視対象として設定された条件を満たすと判断された場合に、データ中継網の入口のノードにて、前記中継すべきパケットに当該パケットの入手元情報を含む付加情報を付加すると共に当該パケット自体の識別情報を上記入手元情報と対応付けて記録する段階と、
    データ中継網の出口のノードにて、当該データ中継網で中継されたパケットが所定の監視対象として設定された条件を満たすと判断された場合に、当該パケット自体の識別情報を、当該パケットに付加された付加情報に含まれた当該パケットの入手元情報と対応付けて記録する段階とよりなる請求項1又は2に記載のデータ伝送方法。
  5. データ中継網を介してパケットを中継伝送するデータ伝送システムを構成するデータ伝送装置であって、
    データ中継網の入口のノードとして機能する際に、中継すべきパケットに当該パケットの入手元情報を含む付加情報を付加する入手元情報付加手段と、
    データ中継網の出口のノードとして機能する際に、当該データ中継網で中継されたパケット自体の識別情報を、当該パケットに付加された付加情報に含まれた当該パケットの入手元情報と対応付けて記録する中継後記録手段とよりなり、
    前記パケットの入手元情報は、当該パケットをデータ中継網を介して中継するために受信する前記データ中継網の入口のノードとして機能した際の、当該パケットを受信したインタフェースを識別する情報よりなるデータ伝送装置。
JP2002251958A 2002-08-29 2002-08-29 データ伝送方法、データ伝送システム及びデータ伝送装置 Expired - Fee Related JP4167866B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002251958A JP4167866B2 (ja) 2002-08-29 2002-08-29 データ伝送方法、データ伝送システム及びデータ伝送装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002251958A JP4167866B2 (ja) 2002-08-29 2002-08-29 データ伝送方法、データ伝送システム及びデータ伝送装置

Publications (2)

Publication Number Publication Date
JP2004096246A JP2004096246A (ja) 2004-03-25
JP4167866B2 true JP4167866B2 (ja) 2008-10-22

Family

ID=32058397

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002251958A Expired - Fee Related JP4167866B2 (ja) 2002-08-29 2002-08-29 データ伝送方法、データ伝送システム及びデータ伝送装置

Country Status (1)

Country Link
JP (1) JP4167866B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4074266B2 (ja) 2004-05-26 2008-04-09 株式会社東芝 パケットフィルタリング装置、及びパケットフィルタリングプログラム
JP4641848B2 (ja) * 2005-03-30 2011-03-02 富士通株式会社 不正アクセス探索方法及び装置
JP4597882B2 (ja) * 2006-02-16 2010-12-15 Kddi株式会社 パケット探索管理装置およびパケット探索管理方法
JP5190807B2 (ja) * 2009-07-28 2013-04-24 横河電機株式会社 パケット経路追跡システム

Also Published As

Publication number Publication date
JP2004096246A (ja) 2004-03-25

Similar Documents

Publication Publication Date Title
CN113132342B (zh) 方法、网络装置、隧道入口点装置及存储介质
US7636305B1 (en) Method and apparatus for monitoring network traffic
US8116307B1 (en) Packet structure for mirrored traffic flow
US7730521B1 (en) Authentication device initiated lawful intercept of network traffic
US7995477B2 (en) Collecting network traffic information
KR100422802B1 (ko) 네트워크간의 침입에 대응하기 위한 보안 시스템 및 그 방법
EP1517517A1 (en) IP time to live (ttl) field used as a covert channel
US20080127338A1 (en) System and method for preventing malicious code spread using web technology
Varadharajan A practical method to counteract denial of service attacks
US8320249B2 (en) Method and system for controlling network access on a per-flow basis
JP2006319973A (ja) プロトコル汎用の傍受用ネットワーク装置
US8161555B2 (en) Progressive wiretap
JP3699941B2 (ja) 分散型サービス不能攻撃防止方法及びゲート装置、通信装置、分散型サービス不能攻撃防止プログラム及び記録媒体
JP4167866B2 (ja) データ伝送方法、データ伝送システム及びデータ伝送装置
US20040233849A1 (en) Methodologies, systems and computer readable media for identifying candidate relay nodes on a network architecture
KR101081433B1 (ko) IPv6 기반 네트워크의 공격 패킷의 역추적 방법 및 그 기록매체
KR101060615B1 (ko) 올아이피네트워크 환경의 공격 탐지 및 추적 시스템 및 방법
Takahashi et al. Taxonomical approach to the deployment of traceback mechanisms
KR20110040152A (ko) 공격자 패킷 역추적 방법 및 이를 위한 시스템
Tupakula et al. Analysis of traceback techniques
JP2008028720A (ja) 送信元ipアドレス詐称ipパケットを制御可能なipネットワーク装置および送信元ipアドレス詐称ipパケット制御方法
US12003551B1 (en) Lawfully intercepting traffic for analysis independent of a protocol associated with the traffic
JP6746541B2 (ja) 転送システム、情報処理装置、転送方法及び情報処理方法
WO2023222028A1 (zh) 一种网络编程技术处理方法、系统及存储介质
Stamatelatos A measurement study of BGP Blackhole routing performance

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050816

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070611

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070724

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070925

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080212

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080220

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080729

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080804

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110808

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120808

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120808

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130808

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees