JP4365868B2 - 経路情報生成広告方法、経路情報生成広告装置および経路情報生成広告プログラム - Google Patents

経路情報生成広告方法、経路情報生成広告装置および経路情報生成広告プログラム Download PDF

Info

Publication number
JP4365868B2
JP4365868B2 JP2007050618A JP2007050618A JP4365868B2 JP 4365868 B2 JP4365868 B2 JP 4365868B2 JP 2007050618 A JP2007050618 A JP 2007050618A JP 2007050618 A JP2007050618 A JP 2007050618A JP 4365868 B2 JP4365868 B2 JP 4365868B2
Authority
JP
Japan
Prior art keywords
route
route information
information
hijack
address space
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007050618A
Other languages
English (en)
Other versions
JP2008219185A (ja
Inventor
光穂 田原
利充 大島
律 草場
宗平 馬島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2007050618A priority Critical patent/JP4365868B2/ja
Publication of JP2008219185A publication Critical patent/JP2008219185A/ja
Application granted granted Critical
Publication of JP4365868B2 publication Critical patent/JP4365868B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、インターネットの経路情報生成広告技術に関する。
インターネットは、ISP(商用プロバイダ、Internet Service Provider)や企業や大学等の異なる組織によって運営される1万以上のAS(自律システム、Autonomous System)が有機的に接続されたものである。このAS間は、専用線、あるいはIX(Internet eXchange)によって接続される。
ASのネットワーク接続装置(ルータ)は、BGP(Border Gateway Protocol)により、互いの経路情報を交換し、この交換した経路情報をもとに、所定のネットワーク宛にデータを転送するときの経路を決定する。この経路情報は、プレフィックスとパス属性とを含んで構成される。このプレフィックスとは経路とも言い、ネットワークアドレスとそのネットワークアドレスのネットマスク長(以下、経路長ともいう)により、宛先となるIP(Internet Protocol)アドレス空間を示した情報である。また、パス属性は経路情報に付加される当該経路の属性情報であり、例えば、ASパス(ASパス属性)やネクストホップ(ネクストホップ属性)等がある。このASパスは、宛先のASへ到達するまでに経由するASのAS番号のリストであり、ネクストホップは、その宛先となるIPアドレス空間(プリフィックス)へパケットを送信するときの次のルータ(ノード)のIPアドレスを示した情報である。
BGPはパスベクトル型のルーティングプロトコルであり、あるASが広告した経路情報は、各ASをホップバイホップで伝播し、インターネット中に拡散する。例えば、この経路情報の伝播の過程で、各ASのルータは自ASのAS番号をASパス属性に追加していく。このように、各ASで経路情報のパス属性の操作や経路フィルタリング等を行うことで、各AS独自の運用ポリシーに基づいた経路制御を行なっている。
しかし、BGPには伝播する経路情報の正当性を確認する機能がない。そのため、オペレータの設定ミスや悪意のある設定によって、いったん誤った経路情報が広告されると、インターネット全体にその誤った経路情報が伝播してしまう。
誤った経路情報の広告の具体的な例としては、経路ハイジャックがある。これはあるASがネットワークアドレス管理団体より正当に割り当てられたネットワークアドレスを経路広告しているところに、そのネットワークアドレスを割り当てられていないASがそのネットワークアドレスまたはその一部を経路広告することである。
この経路ハイジャックが発生し、誤った経路情報がインターネット全体に伝播すると、そのネットワークアドレスヘのパケットは、その誤った経路情報を広告したASへ転送される。そのため、そのネットワークアドレスが正当に割り当てられたASへの通信に障害が発生する。以下、このように誤った経路情報の広告によりハイジャックされた経路のことを「ハイジャック経路」という。
この経路ハイジャックについて、図面を参照しながら詳細に説明する。図1は、経路ハイジャックを説明するために引用した図である。
ここでは、AS−A(AS番号「1000」)、AS−B(AS番号「2000」)、AS−C(AS番号「3000」)、AS−D(AS番号「4000」)およびAS−X(AS番号「5000」)がそれぞれ、お互いの経路情報を交換し、経路表を作成する。
例えば、AS−Aのルータは符号1001に示すような経路表を作成する。なお、ここでは図示を省略しているが、この経路表の経路情報は、前記したネクストホップ等、様々な属性情報を含む。各ASのルータは、このように作成した経路表に基づきパケットの転送を行う。
ここで、AS−Xのルータが、誤ってAS−Dのプレフィックスの一部に関する経路情報を広告すると、前記したAS−Aのルータには、プレフィックス「10.4.128.0/17」のASパスは「2000 3000 5000」であるという情報が経路表に書き込まれる(符号1003に示すハイジャック経路参照)。
つまり、図1の符号1002に示す経路情報によれば、AS−Aからプレフィックス「10.4.128.0/17」宛のパケットは、本来、AS−BおよびAS−Cを経由して、AS−Dへ転送されるべきところ、図1の符号1003に示す経路情報が選択されることで、AS−Xへ吸い込まれてしまい、AS−Dにパケットが届かないことになる。
なお、各ASのルータがパケットを転送する場合において、符号1002に示す元の広告経路(「10.4.0.0/16」)ではなく、符号1003に示すハイジャック経路(「10.4.128.0/17」)を選択するのは、経路表に宛先アドレスを包含する経路情報が複数あるときに、ルータはよりネットマスク長の長い経路情報を選択する最長一致規則を用いているからである。
このような経路ハイジャックが発生したときは、被害を受けたAS−Dのオペレータ等がAS−Xのオペレータに依頼し、誤った経路情報(ハイジャック経路の経路情報)をこのAS−Xのルータの経路表から削除してもらうことが本格的な対処となる。しかし、AS−Xのオペレータと連絡できない場合もあり、この対処には時間を要することもある。また、たとえAS−Xのルータの経路表からハイジャック経路の経路情報を削除したとしても、いったん各ASのルータに伝播した経路情報がすべて削除されるまでには時間がかかる。そこで、このような経路ハイジャックによる通信障害に対する暫定対処技術として以下の技術が提案されている。
すなわち、AS−Dのオペレータが、自ASの経路ハイジャックを発見すると、自ASの経路情報として、ハイジャック経路(ハイジャックされた経路)よりもネットマスク長の長い経路情報をルータに設定する。ここで、AS−Dのオペレータが、自ASの経路情報として、ハイジャック経路よりもネットマスク長の長い経路情報を設定するのは、各ASのルータが前記した最長一致規則を用いているからである。
例えば、図1において、符号1002に示す経路が、符号1003に示す経路によりハイジャックされた場合、このハイジャックされた経路(ハイジャック経路)のプレフィックス(アドレス空間)を複数に分割して、ネットマスク長の長いプレフィックスでIPアドレス空間を埋め尽くすようにする。例えば、図1において、符号1003に示すプレフィックス「10.4.128.0/17」を、よりマスク長の長いプレフィックス、つまり、符号1004に示す「10.4.128.0/18」と「10.4.192.0/18」という2つのプレフィックスに分割する。以下、このようにして分割された経路を前記ハイジャック経路の暫定対処経路という。
なお、ここでは2つのプレフィックスに分割した例を示したが、より多くのプレフィックスに分割してもよいし、分割したプレフィックス同士でIPアドレス空間を重複させてもよい。このようにして分割したプリフィックスをAS−D内のルータに設定し、このルータが経路広告を行うと、その経路情報は各ASに伝播する。
そして、AS−Aのルータの経路表(符号1001参照)には、ハイジャック経路(符号1003参照)に対する暫定対処経路として、プレフィックス「10.4.128.0/18」のASパスは「2000 3000 4000」であり、プレフィックス「10.4.192.0/18」のASパスは「2000 3000 4000」であるという情報が書き込まれる(符号1004参照)。
このような暫定対処経路の経路情報を持つルータは、前記した最長一致規則により、ネットマスク長の長い暫定対処経路の経路情報を選択する。例えば、経路表に、ネットマスク長「/18」の暫定対処経路があれば、ネットマスク長「/17」のハイジャック経路が含まれていたとしても、ルータは暫定対処経路を選択し、この暫定対処経路に基づきパケットを転送するため、通信障害を回復させることができる。
ここまでAS間の観点から説明を行ってきたが、次に、自AS内のルータに対する暫定対処経路の設定について、図2を参照しながら説明する。図2は、暫定対処経路の設定について説明するために引用した図である。
ここで、AS−Dは、4台のルータ10(10R,10A,10B,10C)を備える。また、AS−Cはルータ10Zを備える。さらに、ルータ10Rは、ルータ10A,10B,10Cと接続し、ルータ10Cは、AS−Cのルータ10Zと接続している。ルータ10Rは、経路情報を反射させるルートリフレクタであり、ルータ10A,10B,10CとiBGP(internal Border Gateway Protocol、内部BGP)セッションを張り経路情報を交換している。ルータ10Cはルータ10RとのiBGPセッションに加えて、ルータ10ZとeBGP(external Border Gateway Protocol、外部BGP)セッションを張り経路情報を交換している。なお、ここでは説明を簡単にするためルータ10Rをルートリフレクタとして用いる構成としたが、ルートリフレクタとして用いず、ルータ10R,10A,10B,10CがフルメッシュでiBGPセッションを張り、経路情報を交換してもよい。
また、図2において、元の広告経路を「10.4.0.0/16」、ハイジャック経路を「10.4.128.0/17」、その暫定対処経路を「10.4.128.0/18」および「10.4.192.0/18」とする。さらに、ハイジャック経路「10.4.0.128.0/17」を含む「10.4.0.0/16」はルータ10Aに接続されている。このルータ10Aからの経路情報は、まず、iBGPによりAS−D内の各ルータ10へ広告される。そして、eBGPによりルータ10C経由でAS−Cのルータ10Zへ広告される。
ここで、自AS内で適切なパケット転送が行われるようにするため、ルータには、「iBGPセッションでは、AS内で広告された経路情報については、その経路情報を広告したルータのIPアドレスをネクストホップとして用いる」という制約がある(非特許文献1参照)。
このため、図2において、AS−D内のルータ10Aに暫定対処経路を設定するとき、暫定対処経路の経路情報のネクストホップには、この暫定対処経路に接続するルータ10AのIPアドレスである「NH_A」を設定する必要がある。つまり、暫定対処経路(「10.4.128.0/18」および「10.4.192.0/18」)宛のパケットが、AS−Dに到達した後、この暫定対処経路に接続するルータ10Aに転送されるようにするため、暫定対処経路の経路情報のネクストホップとして、このルータ10AのIPアドレス「NH_A」を設定する必要がある。
このように、AS内において暫定対処経路への適切なパケット転送が行われるようにするためには、暫定対処経路へ接続するルータ自身が暫定対処経路の経路情報を広告する必要がある。このため、ハイジャック経路が発生すると、オペレータ等がこの暫定対処経路へ接続するルータを特定し、この特定したルータ自体に暫定対処経路の経路情報を設定する必要があった。
サム・ハラビ他、「インターネットルーティングアーキテクチャ」、第2版、ソフトバンクパブリッシング、2001年8月22日、p166−167
しかし、このような暫定対処経路の経路情報の設定を行うルータの特定は、経路やルータが多数存在するASにおいて、非常に時間がかかる作業である。そのため、経路ハイジャックの検出から暫定対処経路の経路情報の設定による通信の回復まで長時間かかっていた。
本発明は、前記した課題を解決し、経路ハイジャックに伴う通信障害を速やかに回復するための手段を提供することを目的とする。
前記した課題を解決するため、請求項1に記載の発明は、ハイジャック経路に対する暫定対処経路の経路情報を生成し広告する経路情報生成広告方法であって、BGP(Border Gateway Protocol)により経路情報を交換し、この経路情報に基づき経路制御を行う経路情報処理装置に接続される経路情報生成広告装置が、前記経路情報処理装置の保持する経路情報を取得し、前記経路情報生成広告装置の記憶部の経路情報を更新するステップと、前記ハイジャック経路のIPアドレス空間のネットワークアドレスおよびそのネットワークアドレスのネットマスク長を示した経路ハイジャック発生情報を受信するステップと、前記記憶部の経路情報を検索して、この経路情報の中に、前記経路前記ハイジャック経路のIPアドレス空間を含む経路情報があったとき、前記ハイジャック経路のIPアドレス空間を含む経路情報に示されるIPアドレス空間を、そのハイジャック経路よりもネットマスク長の長いIPアドレス空間に分割した暫定対処経路の経路情報を生成するステップと、前記記憶部の経路情報から、前記ハイジャック経路のIPアドレス空間へのネクストホップの情報を読み出し、その読み出したネクストホップの情報を、前記生成した暫定対処経路の経路情報のネクストホップの情報として付与し、前記ネクストホップの情報を付与した暫定対処経路の経路情報を、iBGP(internal Border Gateway Protocol)により、自AS(Autonomous System)内の経路情報処理装置へ広告するステップとを実行することを特徴とする経路情報生成広告方法とした。
また、請求項3に記載の発明は、BGP(Border Gateway Protocol)により経路情報を交換し、この交換した経路情報に基づき経路制御を行う経路情報処理装置に接続される経路情報生成広告装置であって、データの入出力を司る入出力部と、前記経路情報を記憶する記憶部と、前記入出力部経由で、当該経路情報生成広告装置に接続される経路情報処理装置から経路情報を取得し、前記記憶部に記憶された経路情報を更新する経路情報収集部と、前記入出力部経由で、ハイジャック経路のIPアドレス空間のネットワークアドレスおよびそのネットワークアドレスのネットマスク長を示した経路ハイジャック発生情報を受信したとき、前記記憶部の経路情報を検索して、この経路情報の中に、前記ハイジャック経路のIPアドレス空間を含む経路情報があるか否かを判断し、前記経路情報の中に、前記ハイジャック経路のIPアドレス空間を含む経路情報があると判断したとき、前記ハイジャック経路のIPアドレス空間を含む経路情報に示されるIPアドレス空間を、そのハイジャック経路よりもネットマスク長の長いIPアドレス空間に分割した暫定対処経路の経路情報を生成し、前記記憶部の経路情報から、前記ハイジャック経路のIPアドレス空間へのネクストホップの情報を読み出し、その読み出したネクストホップの情報を、前記生成した暫定対処経路の経路情報のネクストホップの情報として付与し、前記ネクストホップの情報を付与した暫定対処経路の経路情報を、前記入出力部経由で、iBGP(internal Border Gateway Protocol)により、自AS(Autonomous System)内の経路情報処理装置へ広告する経路情報生成部と、を備えることを特徴とする経路情報生成広告装置とした。
このようにすることで、経路情報生成広告装置は、経路ハイジャック発生情報を受信すると、経路情報処理装置から取得した経路情報(経路表)を参照して、ハイジャック経路の暫定対処経路の経路情報を生成する。ここで、経路情報生成広告装置が生成する暫定対処経路の経路情報には、前記経路表において、ハイジャック経路のIPアドレス空間に対するネクストホップとして登録されているデータを付与する。このようにすることで、暫定対処経路に接続するルータを特定する手間や、このルータに暫定対処経路の経路情報を設定し、広告させる手間を省くことができる。従って、経路ハイジャックに伴う通信障害を速やかに回復することができる。
請求項2に記載の発明は、請求項1に記載の経路情報生成広告方法において、前記経路情報生成広告装置が、前記暫定対処経路の削除をするため、前記削除の対象の暫定対処経路のIPアドレス空間を示した暫定対処経路削除依頼を受信するステップと、この暫定対処経路削除依頼に示されるIPアドレス空間を含むwithdrawメッセージを、前記経路情報処理装置へ広告するステップとを実行することを特徴とする経路情報生成広告方法とした。
請求項4に記載の発明は、請求項3に記載の経路情報生成広告装置において、前記経路情報生成部は、前記暫定対処経路の削除をするため、前記削除の対象の暫定対処経路のIPアドレス空間を示した暫定対処経路削除依頼を受信したとき、この暫定対処経路削除依頼に示されるIPアドレス空間を含むwithdrawメッセージを、前記経路情報処理装置へ広告することを特徴とする経路情報生成広告装置とした。
このようにすることで、経路情報生成広告装置は、暫定対処経路削除依頼に基づき各ASの経路情報処理装置から、暫定対処経路を削除することができる。
請求項5に記載の発明は、請求項1または請求項2に記載の経路情報生成広告方法を、経路情報生成広告装置であるコンピュータに実行させることを特徴とする経路情報生成広告プログラムとした。
このようなプログラムをコンピュータにインストールすることで、コンピュータに請求項1または請求項2に記載の経路情報生成広告方法を実行させることができる。
本発明によれば、AS内のルータ(経路情報処理装置)に接続される経路情報生成広告装置が、暫定対処経路の経路情報を作成し、広告するので、オペレータ等が暫定対処経路の経路情報を設定すべきルータを特定する必要がなくなる。これにより、経路ハイジャックに伴う通信障害を速やかに回復することができる。
以下、本発明を実施するための最良の形態(以下、実施の形態という)について説明する。
図3は、本実施の形態の経路情報生成広告装置を含むシステムの構成例を示した図である。図3を用いて、システムの構成を説明する。ここでは、システムがAS-C(AS番号「3000」)とAS−D(AS番号「4000」)とを含む場合を例に説明する。なお、各ルータ10は、前記したBGP(eBGPおよびiBGP)により経路情報を交換し、この経路情報に基づく経路制御を行う。
AS−Dは、4台のルータ(経路情報処理装置)10(10R,10A,10B,10C)と、経路情報生成広告装置100とを備える。ルータ10Rは、ルートリフレクタであり、ルータ10A,10B,10Cおよび経路情報生成広告装置100とiBGPセッションを張り経路情報を交換している。また、ルータ10Cは、AS−Dのルータ10RとのiBGPセッションに加えて、ルータ10ZとeBGPセッションを張り、経路情報を交換している。ここでは説明を簡単にするため、ルータ10Rをルートリフレクタとして用いる構成としたが、ルートリフレクタを用いず、ルータ10R,10A,10B,10Cおよび経路情報生成広告装置100がフルメッシュでiBGPセッションを張り、経路情報を交換してもよい。
各ルータ10および経路情報生成広告装置100で交換される経路情報は、プレフィックス(プレフィックス属性)とパス属性とを含んで構成される。プレフィックスとは経路とも言い、ネットワークアドレスとそのネットワークアドレスのネットマスク長(以下、経路長ともいう)を含む。また、パス属性として、ASパス属性(ASパス)やネクストホップ属性(ネクストホップ)等を含む。
経路情報生成広告装置100は、BGPを実装したコンピュータであり、この経路情報生成広告装置100に接続されるルータ10からBGPにより経路情報を取得(収集)すると、この取得した経路情報を記憶部(後記)の経路表に記憶する。つまり、ルータ10の経路表と同じ経路表を記憶する。そして、経路情報生成広告装置100は、自身の記憶部に記憶された経路表をもとに、暫定対処経路の経路情報を生成し広告する。広告された経路情報は、接続するルータ10を経由し、AS内および他ASに伝播していく。
次に、図4を用いて、経路情報生成広告装置100を詳細に説明する。図4は、図3の経路情報生成広告装置の機能ブロック図である。
図4に示すように、経路情報生成広告装置100は、経路情報や経路ハイジャック発生情報等の各種データの入出力を司る入出力部11と、経路情報の収集や、暫定対処経路の経路情報の生成を行う処理部12と、経路情報を示した経路表131を記憶する記憶部13とを備える。
入出力部11は、ルータ10等とのデータ入出力を行うための入出力インタフェースから構成される。また、処理部12は、この経路情報生成広告装置100が備えるCPU(Central Processing Unit)によるプログラム実行処理や、専用回路等により実現される。さらに、記憶部13は、RAM(Random Access Memory)、ROM(Read Only Memory)、HDD(Hard Disk Drive)、フラッシュメモリ等の記憶媒体から構成される。なお、経路情報生成広告装置100をプログラム実行処理により実現する場合、記憶部13には、この経路情報生成広告装置100の機能を実現するための経路情報生成広告プログラムが格納される。
<入出力部>
入出力部11は、この経路情報生成広告装置100に接続されるルータ10(例えば、図3のルータ10R)からの経路情報や、外部装置からの経路ハイジャック発生情報(後記する図8参照)を受信すると、この情報を処理部12に受け渡す。なお、この経路ハイジャック発生情報は、図示しない経路ハイジャック検出装置から受信してもよいし、オペレータが入力装置等により直接入力したものでもよい。また、入出力部11は、処理部12で生成された暫定対処経路の経路情報を受信すると、その経路情報をルータ10へ送信する。
<処理部>
処理部12は、経路情報生成広告装置100全体の制御を司り、経路情報収集部121と、経路情報生成部122とを備える。この処理部12は、BGP(eBGPおよびiBGP)により他のルータ10との間で経路情報を交換する。
経路情報収集部121は、この経路情報生成広告装置100に接続されるルータ10の経路表の経路情報(図示省略)が更新されると、この更新された経路情報を受信する。そして、経路情報収集部121は、この受信した経路情報をもとに、記憶部13の経路表131を更新する。つまり、経路情報収集部121は、ルータ10の経路表と同じ経路表131を記憶部13に作成する。
経路情報生成部122は、経路ハイジャック発生情報を受信すると、経路表13を参照し、ハイジャック経路に対する暫定対処経路の経路情報を生成する。なお、経路ハイジャック発生情報とは、ハイジャック経路のプレフィックス(ネットワークアドレスとそのネットマスク長)を含む情報である。この経路ハイジャック発生情報の詳細は後記する。
また、ここで経路情報生成部122が生成する暫定対処経路は、前記したとおり、このハイジャック経路のIPアドレス空間を、このハイジャック経路のネットマスク長の長いプレフィックスで埋め尽くすようにした経路である。ここで、経路情報生成部122は、この暫定対処経路の経路情報にもパス属性(ASパスおよびネクストホップ)を設定するが、このパス属性は、経路表131において、この暫定対処経路を包含する経路の経路情報のパス属性を用いる。このときの暫定対処経路の経路情報の生成手順の詳細は、経路情報生成広告装置の処理手順の説明の項で後記する。経路情報生成部122は、このようにして暫定対処経路の経路情報を生成すると、この経路情報を入出力部11経由で、ルータ10へ広告する。
<記憶部>
記憶部13は、経路表131を記憶する。この経路表131を、図5を用いて説明する。図5は、図4の経路表を例示した図である。図5に示すように、経路表131は、1以上の経路情報を含んで構成され、それぞれの経路情報は、プレフィックスと、そのプレフィックスのパス属性とを含む。
例えば、図5の符号502に示す経路情報は、プレフィックス「10.2.0.0/16」のASパスは「3000 2000」であり、この経路のネクストホップは「NH_C」であることを示す。なお、図5に例示する経路表131には、パス属性のうち、ネクストホップとASパスのみを表示しているが、これ以外の情報を含んでいてもよい。符号501に示す経路情報については後記する。
<処理手順>
次に、図3〜図6および図8を参照しつつ、図7を用いて経路情報生成広告装置100の処理手順を説明する。図6は、本実施の形態の暫定対処経路の経路情報を例示した図である。図7は、図3の経路情報生成広告装置の処理手順を示したフローチャートである。図8は、本実施の形態の経路ハイジャック発生情報を例示した図である。
なお、図7のフローチャートにおいて説明を省略しているが、図4の経路情報収集部121はルータ10から経路情報を受信すると、随時、経路表131を更新していくものとする。
まず、経路情報生成部122は、経路ハイジャック発生情報の受信を待ち(S701)、経路ハイジャック発生情報を受信すると(S701のyes)、この経路ハイジャック発生情報に示されるハイジャック経路を包含する経路情報を経路表131から抽出する(S702)。なお、経路情報生成部122が、まだ経路ハイジャック発生情報を受信していない状態のときは(S701のno)、S702の処理はまだ実行しない。
例えば、経路情報生成部122が、図8の符号801に示すような経路ハイジャック発生情報を受信したとき、図5に例示する経路表131から、そのハイジャック経路(「10.4.128.0/17」)を包含する符号501に示す経路情報を抽出する。
図7の説明に戻る。経路情報生成部122は、経路表131からハイジャック経路を包含する経路情報を抽出すると(S702のyes)、経路ハイジャック発生情報とそのハイジャック経路を包含する経路情報をもとに、暫定対処経路の経路情報を生成する(S703)。
例えば、経路情報生成部122は、図8の符号801の経路ハイジャック発生情報に示されるプレフィックス(アドレス空間)を複数に分割して、暫定対処経路のプレフィックスを求める。ここで経路情報生成部122の求める暫定対処経路のプレフィックスは、そのネットマスク長が、ハイジャック経路より長く、かつ、その暫定対処経路のプレフィックスで、ハイジャック経路のアドレス空間を埋め尽くすようなものである。従って、例えば、経路情報生成部122は、図6の符号601に示すように、暫定対処経路のプレフィックスとして、ハイジャック経路よりもネットワーク長が1長く、ハイジャック経路のプレフィックス「10.4.128.0/17」を包含する、「10.4.128.0/18」、「10.4.192.0/18」という2つのプレフィックスを求める。なお、ここではハイジャック経路のプレフィックスを2つに分割した例を示したが、より多くに分割してもよいし、各暫定対処経路のIPアドレス空間同士を重複させるようにしてもよい。
また、経路情報生成部122は、これらの暫定対処経路の経路情報にパス属性を付与するが、このパス属性は、S702において、経路表131から抽出した経路情報に含まれるものを用いる。
例えば、経路情報生成部122が、ハイジャック経路を包含する経路情報として、図5の符号501に示す経路情報を抽出した場合、図6の符号601に示す暫定対処経路の経路情報のパス属性の情報にも、この符号501に示す経路情報のパス属性の情報であるネクストホップ「NH_A」を設定する。なお、この場合、図5の符号501に示す経路情報においてASパスはブランクなので、経路情報生成部122は、暫定対処経路の経路情報のASパスもブランクとする。
なお、図7のS702において、経路情報生成部122が、ハイジャック経路を包含する経路情報を抽出できなかったときは(S702のno)、そのまま処理を終了する。
S703の後、経路情報生成部122は、生成した暫定対処経路の経路情報を、図4の入出力部11を介して広告する(S704)。例えば、図3に示すように、経路情報生成広告装置100は、生成した暫定対処経路の経路情報を、まず、この経路情報生成広告装置100に接続されるルータ10Rに送信する。そして、この経路情報は、ルータ10R経由で、まず同じAS内のルータ10Cに広告され、それから他のAS(AS−C)のルータ10Zに広告される。この後、この経路情報はインターネットに伝播していく。
このようにすることで、経路ハイジャックが発生した際、経路情報生成広告装置100が即座に暫定対処経路の経路情報を広告するので、その結果、図9に示すように通信を回復することができる。図9は、本実施の形態の経路情報生成広告装置による暫定対処経路の経路情報広告により通信が回復する様子を説明するために引用した図である。
図9に示すように、(1)AS−XがAS−Dの経路の一部を誤って広告し、経路ハイジャックが発生すると、(2)AS−Dの経路情報生成広告装置100は、通信を回復させるための暫定対処経路の経路情報を広告する。そして、この暫定対処経路の経路情報が各ASのルータに伝播すると、(3)各ルータは、前記した最長一致則に基づきパケットを転送するので、AS−Dとの通信が回復する。つまり、各ルータは、最長一致則に基づき、ハイジャック経路ではなく暫定対処経路の経路情報を最適経路として選択し、この経路情報に基づきパケットを転送するので、(4)AS−Xに吸い込まれていたパケットが吸い込まれなくなる。
このように、本実施の形態によれば、ルータ10に接続される経路情報生成広告装置100が、経路表131を参照して、ハイジャック経路の暫定対処経路を生成し、自AS内のルータ10へ広告する。また、ここで生成される暫定対処経路の経路情報には、この暫定対処経路へ接続するルータ10のIPアドレスをネクストホップとして設定したものである。これにより、他のASから自ASの暫定対処経路宛に転送されてきたパケットは、自ASのルータ10により、この暫定対処経路に接続するルータ10へ適切に転送される。つまり、自AS内で適切なパケット転送が行われる。従って、従来のようにオペレータが暫定対処経路に接続するルータ10(つまり、ハイジャック経路に接続するルータ10)を特定する必要がなくなるので、経路ハイジャックに伴う通信障害を速やかに回復することができる。
なお、このような暫定対処経路の経路情報の広告により通信が回復し、各ASのルータ10の経路表から、ハイジャック経路が削除されたことを確認した後、以下の手順により、各ルータ10の経路表から、暫定対処経路の経路情報を削除するようにしてもよい。
例えば、経路情報生成広告装置100が、外部の装置等から、削除対象である暫定対処経路のIPアドレス空間を示した暫定対処経路削除依頼を受信すると、この暫定対処経路削除依頼に示されるIPアドレス空間を含むwithdrawメッセージを、この経路情報生成広告装置100に接続されるルータ10Rへ広告する。
例えば、経路情報生成広告装置100の経路情報生成部122が、外部の装置等から、暫定対処経路削除依頼として、以下の表1に例示するような、削除対象プレフィックスを示す情報を受け取ると、経路情報生成部122は、削除対象の暫定対処経路のプレフィックスを含めたwithdrawメッセージを生成し、このメッセージをルータ10Rへ広告する。
すなわち、経路情報生成部122が、表1に例示するような暫定対処経路削除依頼を受信したとき、ルータ10Rに対し、プレフィックス「10.4.128.0/17」の経路(暫定対処経路)を取り消すwithdrawメッセージを生成し、広告する。
Figure 0004365868
経路情報生成部122が、このようなwithdrawメッセージを生成し、ルータ10Rに、広告すると、ルータ10R経由で各ルータ10にもこのwithdrawメッセージが広告される。つまり、このようなwithdrawメッセージの広告を受けた各ASのルータ10において、当該プレフィックスの経路情報があった場合にはこれを削除し、その結果、最適経路(ベストパス)が無くなった場合には、他のルータ10にもこのwithdrawメッセージを広告する。これにより、各ASのルータ10においても、当該プレフィックスの経路情報(暫定対処経路の経路情報)が削除される。このように各ASのルータ10から暫定対処経路の経路情報が削除されると、ルータ10は、元の広告経路(例えば、図9の符号1002に示す経路情報)に基づき経路制御を行うようになる。なお、この暫定対処経路削除依頼は、例えば、当該暫定対処経路の広告を行ったASのオペレータ等が図示しない端末装置等を用いて経路情報生成広告装置100へ送信する。
本実施の形態に係る経路情報生成広告装置100は、前記したような処理を実行させる経路情報生成広告用プログラムによって実現することができ、そのプログラムをコンピュータによる読み取り可能な記憶媒体(CD−ROM等)に記憶して提供することが可能である。また、そのプログラムを、インターネット等のネットワークを通して提供することも可能である。
経路ハイジャックを説明するために引用した図である。 暫定対処経路の設定について説明するために引用した図である。 本実施の形態の経路情報生成広告装置を含むシステムの構成例を示した図である。 図3の経路情報生成広告装置の機能ブロック図である。 図4の経路表を例示した図である。 本実施の形態の暫定対処経路の経路情報を例示した図である。 図3の経路情報生成広告装置の処理手順を示したフローチャートである。 本実施の形態の経路ハイジャック発生情報を例示した図である。 本実施の形態の経路情報生成広告装置による暫定対処経路の経路情報広告により通信が回復する様子を説明するために引用した図である。
符号の説明
10(10A,10B,10C,10Z) ルータ(経路情報処理装置)
11 入出力部
12 処理部
13 記憶部
100 経路情報生成広告装置
121 経路情報収集部
122 経路情報生成部
131 経路表(経路情報)

Claims (5)

  1. ハイジャック経路に対する暫定対処経路の経路情報を生成し広告する経路情報生成広告方法であって、
    BGP(Border Gateway Protocol)により経路情報を交換し、この経路情報に基づき経路制御を行う経路情報処理装置に接続される経路情報生成広告装置が、
    前記経路情報処理装置の保持する経路情報を取得し、前記経路情報生成広告装置の記憶部の経路情報を更新するステップと、
    前記ハイジャック経路のIPアドレス空間のネットワークアドレスおよびそのネットワークアドレスのネットマスク長を示した経路ハイジャック発生情報を受信するステップと、
    前記記憶部の経路情報を検索して、この経路情報の中に、前記経路前記ハイジャック経路のIPアドレス空間を含む経路情報があったとき、
    前記ハイジャック経路のIPアドレス空間を含む経路情報に示されるIPアドレス空間を、そのハイジャック経路よりもネットマスク長の長いIPアドレス空間に分割した暫定対処経路の経路情報を生成するステップと、
    前記記憶部の経路情報から、前記ハイジャック経路のIPアドレス空間へのネクストホップの情報を読み出し、その読み出したネクストホップの情報を、前記生成した暫定対処経路の経路情報のネクストホップの情報として付与し、前記ネクストホップの情報を付与した暫定対処経路の経路情報を、iBGP(internal Border Gateway Protocol)により、自AS(Autonomous System)内の経路情報処理装置へ広告するステップと、
    を実行することを特徴とする経路情報生成広告方法。
  2. 前記経路情報生成広告装置が、
    前記暫定対処経路の削除をするため、前記削除の対象の暫定対処経路のIPアドレス空間を示した暫定対処経路削除依頼を受信するステップと、
    この暫定対処経路削除依頼に示されるIPアドレス空間を含むwithdrawメッセージを、前記経路情報処理装置へ広告するステップと、
    を実行することを特徴とする請求項1に記載の経路情報生成広告方法。
  3. BGP(Border Gateway Protocol)により経路情報を交換し、この交換した経路情報に基づき経路制御を行う経路情報処理装置に接続される経路情報生成広告装置であって、
    データの入出力を司る入出力部と、
    前記経路情報を記憶する記憶部と、
    前記入出力部経由で、当該経路情報生成広告装置に接続される経路情報処理装置から経路情報を取得し、前記記憶部に記憶された経路情報を更新する経路情報収集部と、
    前記入出力部経由で、ハイジャック経路のIPアドレス空間のネットワークアドレスおよびそのネットワークアドレスのネットマスク長を示した経路ハイジャック発生情報を受信したとき、前記記憶部の経路情報を検索して、この経路情報の中に、前記ハイジャック経路のIPアドレス空間を含む経路情報があるか否かを判断し、前記経路情報の中に、前記ハイジャック経路のIPアドレス空間を含む経路情報があると判断したとき、
    前記ハイジャック経路のIPアドレス空間を含む経路情報に示されるIPアドレス空間を、そのハイジャック経路よりもネットマスク長の長いIPアドレス空間に分割した暫定対処経路の経路情報を生成し、前記記憶部の経路情報から、前記ハイジャック経路のIPアドレス空間へのネクストホップの情報を読み出し、その読み出したネクストホップの情報を、前記生成した暫定対処経路の経路情報のネクストホップの情報として付与し、前記ネクストホップの情報を付与した暫定対処経路の経路情報を、前記入出力部経由で、iBGP(internal Border Gateway Protocol)により、自AS(Autonomous System)内の経路情報処理装置へ広告する経路情報生成部と、
    を備えることを特徴とする経路情報生成広告装置。
  4. 前記経路情報生成部は、
    前記暫定対処経路の削除をするため、前記削除の対象の暫定対処経路のIPアドレス空間を示した暫定対処経路削除依頼を受信したとき、この暫定対処経路削除依頼に示されるIPアドレス空間を含むwithdrawメッセージを、前記経路情報処理装置へ広告することを特徴とする請求項3に記載の経路情報生成広告装置。
  5. 請求項1または請求項2に記載の経路情報生成広告方法を、経路情報生成広告装置であるコンピュータに実行させることを特徴とする経路情報生成広告プログラム。
JP2007050618A 2007-02-28 2007-02-28 経路情報生成広告方法、経路情報生成広告装置および経路情報生成広告プログラム Expired - Fee Related JP4365868B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007050618A JP4365868B2 (ja) 2007-02-28 2007-02-28 経路情報生成広告方法、経路情報生成広告装置および経路情報生成広告プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007050618A JP4365868B2 (ja) 2007-02-28 2007-02-28 経路情報生成広告方法、経路情報生成広告装置および経路情報生成広告プログラム

Publications (2)

Publication Number Publication Date
JP2008219185A JP2008219185A (ja) 2008-09-18
JP4365868B2 true JP4365868B2 (ja) 2009-11-18

Family

ID=39838747

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007050618A Expired - Fee Related JP4365868B2 (ja) 2007-02-28 2007-02-28 経路情報生成広告方法、経路情報生成広告装置および経路情報生成広告プログラム

Country Status (1)

Country Link
JP (1) JP4365868B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10148690B2 (en) * 2015-12-21 2018-12-04 Symantec Corporation Accurate real-time identification of malicious BGP hijacks

Also Published As

Publication number Publication date
JP2008219185A (ja) 2008-09-18

Similar Documents

Publication Publication Date Title
US6968393B1 (en) Method and apparatus for an attribute oriented routing update
US8812726B2 (en) Service insertion in a computer network using internet protocol version 6 techniques
US7035202B2 (en) Network routing using link failure information
US8432913B2 (en) Relay device, network system, route switching method, and recording medium
US20060233181A1 (en) Method and apparatus for accelerating border gateway protocol convergence
JP6085263B2 (ja) 中継ノード及び経路制御方法
JP6195014B2 (ja) 通信システム、通信方法、中継装置、および、通信プログラム
CN103825826B (zh) 一种动态路由的实现方法和装置
US11895014B2 (en) Aggregated route communication method and apparatus
CN102594657B (zh) 一种路由迭代方法及路由交换设备
EP3166264A1 (en) Isis-based routing calculation method and device
EP4012987A1 (en) Method and apparatus for processing link state information
CN102752205A (zh) 一种路由迭代的方法和装置
US20230116548A1 (en) Route Processing Method and Related Device
CN105814944A (zh) 基于显式信令的拓扑发现
JP3895359B2 (ja) Vpn通信制御装置、vpnにおける通信制御方法、仮想専用網管理装置
JP4365869B2 (ja) 経路情報変更方法、経路情報変更装置および経路情報変更プログラム
JP4365868B2 (ja) 経路情報生成広告方法、経路情報生成広告装置および経路情報生成広告プログラム
JP2014003408A (ja) 中継転送システム、経路制御装置およびエッジ装置
JP3989503B2 (ja) ネットワーク中継器
JP4809824B2 (ja) Bgpセッションの設計方法、セッション設計装置およびbgpセッション設計プログラム
CN103825827B (zh) 一种路由通告方法及设备
US9143399B2 (en) Minimizing the number of not-via addresses
WO2023016550A1 (zh) 一种路由发送方法及设备
JP6977690B2 (ja) 転送装置および転送方法

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090121

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090519

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090721

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090818

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090821

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120828

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130828

Year of fee payment: 4

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees