JP4413833B2 - 不正経路監視システムおよび方法 - Google Patents

不正経路監視システムおよび方法 Download PDF

Info

Publication number
JP4413833B2
JP4413833B2 JP2005235299A JP2005235299A JP4413833B2 JP 4413833 B2 JP4413833 B2 JP 4413833B2 JP 2005235299 A JP2005235299 A JP 2005235299A JP 2005235299 A JP2005235299 A JP 2005235299A JP 4413833 B2 JP4413833 B2 JP 4413833B2
Authority
JP
Japan
Prior art keywords
route information
bgp
external
route
case
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005235299A
Other languages
English (en)
Other versions
JP2007053430A (ja
Inventor
淳史 小林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2005235299A priority Critical patent/JP4413833B2/ja
Publication of JP2007053430A publication Critical patent/JP2007053430A/ja
Application granted granted Critical
Publication of JP4413833B2 publication Critical patent/JP4413833B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、複数AS(Autonomous System、自律システム)との接続を行い、インターネットに代表されるネットワークの経路情報を制御し、不正な経路情報の伝播及びこれに付随した問題を解決するための不正経路情報監視システムおよび方法に関する。
インターネットのバックボーンでは、ASがBGP(Border Gateway Protocol)によって、隣接するASから得た経路情報を自ASの経路制御のポリシーに沿って、次のASに伝え、インターネット上での膨大な経路情報が構成される。経路情報が複数のASを跨る場合において、BGPプロトコル内のAS Path属性により、中継したAS番号及び生成源となるAS番号が記録される。
BGPにより中継される経路情報は、中継されるASのポリシーにより変更することも可能であり、本来のAS Path属性と異なる情報が伝播される場合がある。
近年、これらの経路情報を詐称することにより、トラヒックをハッキングし、詐称元ASのサービスを不能とする問題や不正なWEBサイトにエンドユーザを誘導する問題が発生している。
従来、これらの問題に対しては、RIR(Regional Internet Registries)にて運用されているIRR(インターネット・ルーティング・レジストリ)サーバの情報をもとにBGPルータに対してフィルタリングを行い不正な経路情報を削除する等の手法が考えられていた。しかし、詐称目的に発生する不正経路情報に対して、運用者の誤設定により発生する不正な経路情報も多々発生しており、これについては、実トラヒック上に影響がない場合もあり、運用上フィルタリングを適用するまでには、到っていない。
また、プロバイダへのマルチホーム接続等の影響により、正当な経路情報に対して、より詳細な経路情報(PrefixLengthが長い経路情報)として経路を通知する場合が、実運用として多く存在し、その見極めが十分にできていない。このため、IRRデータと比較して、経路情報のPrefixLengthが長い場合でも不正な経路と判定できない場合がある。パケットを転送する際は、ロンゲストマッチの原則から、より長いPrefixLengthをもつ経路が優先されることになり、より詳細な経路情報を用いた経路のハイジャックが行いやすい環境にある。
特許文献1には、監視対象IPネットワークに接続されたIPプローブ装置により得られるAS番号を使用して、監視対象IPネットワークのIPデータグラムの集約統計処理をリアルタイムに行う集約統計処理方法について記載されている。特許文献1は、IRRを用いて、AS番号単位のトラヒック統計を収集することを目的としており、不正な経路を判定するということについては、考えられていない。
非特許文献1には、IANA(Internet Assigned Numbers Authority)により、配布されていない経路情報を監視して、BGPプロトコルにて、この情報を配信することにより、不正な経路の流入を抑止するということを目的とした技術が記載されている。非特許文献1では、OriginAS情報を含めたIRRデータベースとの比較による不正な経路の判別方法及び制御方法については、検討されていない。
特開2003−143143公報 "The Team Cymru Bogon Route Server Project"ver 2.1、2005年3月15日、[online]、[平成17年7月24日検索]、インターネット<http://www.cymru.com/BGP/bogon-rs.html>
外部ASから受信する経路情報内に、詐称などを目的とした不正な経路情報や設定誤りなどによる不正な経路情報が含まれている場合がある。本発明は、詐称などを目的とした不正な経路情報や設定誤りなどによる不正な経路情報を監視し、経路情報の正当性を判定するための技術を提供することを目的とする。
また、OriginAS、Prefix、PrefixLengthの3つの情報について、BGP経路情報をIRRデータと比較する場合には、
(1)BGP経路情報のPrefix、PrefixLength、OriginASが完全に一致する場合、
(2)BGP経路情報のPrefix、PrefixLengthが一致するが、OriginASが異なる場合、
(3)IRRデータに対して、より詳細な経路情報をもち、OriginASが一致する場合、
(4)IRRデータに対して、より詳細な経路情報をもち、OriginASが異なる場合、
(5)IRRデータが経路情報に含まれない場合、
のパターンに分類することが考えられるが、(3)については、OriginASが、経路を細分化して、通知している場合などが該当し、特に問題にならない場合が多く、(2)、(4)、(5)のケースについては、IRRデータベースが更新されない場合もあるため、すべて不正と判断することもできない。本発明の他の目的は、経路情報を(1)〜(5)のように分類すること、また、分類された経路情報について、個々の経路の状況(隣接ASの信頼性、関連経路との相対的な経路の信頼性)に応じた制御を行うことを可能とすることである。
本発明は、不正経路情報監視装置が、外部ASより受信したBGP経路情報(Prefix、PrefixLength、OriginAS)とIRR経路情報データベースに含まれる経路情報の照合(突き合わせ)をすることにより、経路情報の正当性を判別する。
本願において開示される代表的な発明の概要を簡単に説明すれば、以下のとおりである。
発明は、外部ASからのBGP経路情報を受信するBGP経路情報受信手段と、IRRデータベースをもとに構成され、RIRにて運用されているIRRサーバとミラーリングまたは周期的に同期し、Prefix、PrefixLength、およびOriginAS番号の情報を有する経路情報データベースの経路情報と前記外部ASより受信したBGP経路情報のPrefix、PrefixLength、およびOriginAS番号を照合することにより、前記外部ASより受信したBGP経路情報を判定するBGP経路情報判定手段と、前記BGP経路情報判定手段で判定されたBGP経路情報をエッジルータに送信するBGP経路情報送信手段と、を備え、前記BGP経路情報判定手段は、前記外部ASより受信したBGP経路情報を、(1)前記外部ASより受信したBGP経路情報と前記経路情報データベースの経路情報のPrefix、PrefixLength、OriginASが完全に一致する場合、(2)前記外部ASより受信したBGP経路情報と前記経路情報データベースの経路情報のPrefix、PrefixLengthは一致するが、OriginASが異なる場合、(3)前記外部ASより受信したBGP経路情報のPrefixLengthが、前記経路情報データベースの経路情報のPrefixLengthより長く、前記外部ASより受信したBGP経路情報と前記経路情報データベースの経路情報のOriginASが一致する場合、(4)前記外部ASより受信したBGP経路情報のPrefixLengthが、前記経路情報データベースの経路情報のPrefixLengthより長く、前記外部ASより受信したBGP経路情報と前記経路情報データベースの経路情報のOriginASが異なる場合、(5)前記外部ASより受信したBGP経路情報が前記経路情報データベースに含まれない場合、 に分類する手段と、前記(1)に分類された場合で、前記外部ASより受信したBGP経路情報より詳細な経路情報がBGPテーブル内に存在しない場合と、前記(3)に分類された場合で、前記外部ASより受信したBGP経路情報を包含する経路情報がBGPテーブル内に存在しない場合に、他ASへの経路配信を行い、当該経路のトラヒック動向を監視せず、正当な経路情報として扱うと判定する手段と、前記(3)に分類された場合で、前記外部ASより受信したBGP経路情報を包含する経路情報がBGPテーブル内に存在する場合に、他ASへの経路配信を行い、当該経路のトラヒック動向を監視すると判定する手段と、前記(1)に分類された場合で、前記外部ASより受信したBGP経路情報より詳細な経路情報がBGPテーブル内に存在する場合と、前記(2)に分類された場合で、OriginASの隣接ASに対してペナルティポイントを加算し、前記ペナルティポイントが閾値を超過していない場合と、前記(4)に分類された場合で、OriginASの隣接ASに対してペナルティポイントを加算し、前記ペナルティポイントが閾値を超過していない場合に、他ASへの経路配信を行わず、当該経路のトラヒック動向を監視すると判定する判定手段と、前記(2)に分類された場合で、OriginASの隣接ASに対してペナルティポイントを加算し、前記ペナルティポイントが閾値を超過している場合と、前記(4)に分類された場合で、OriginASの隣接ASに対してペナルティポイントを加算し、前記ペナルティポイントが閾値を超過している場合と、前記(5)に分類された場合に、他ASへの経路配信を行わず、当該経路のトラヒックも破棄すると判定する手段と、を備えることを特徴とする不正経路監視システムである。
本発明により、外部ASから受信する経路情報内に、詐称などを目的とした不正な経路情報や設定誤りなどによる不正な経路情報が含まれている場合を監視することができる。また、外部ASから受信する経路情報を区別・検出し、個々の経路の状況(隣接ASの信頼性、関連経路との相対的な経路の信頼性)に応じた制御を行うことが可能である。
以下、本発明の実施形態を図を用いて詳細に説明する。
図1に本システムの基本構成を示す。100は自ASであるAS#Wであり、110は外部ASであるAS#Xであり、120は外部ASであるAS#Zである。101は自AS#W100の不正経路情報監視装置である。不正経路情報監視装置101は不正な経路情報の監視を行う装置である。102は自AS#W100のプロバイダ・エッジルータ#1であり、103は自AS#W100のプロバイダ・エッジルータ#2である。111は外部AS#X110のプロバイダルータであり、121は外部AS#Z120のプロバイダルータである。104は自AS#W100のトラヒック監視システム#1であり、105は自AS#W100のトラヒック監視システム#2である。109は不正トラヒック収集装置である。106はコアNW(ネットワーク)である。不正経路情報監視装置101、プロバイダ・エッジルータ#1(102)、プロバイダ・エッジルータ#2(103)、トラヒック監視システム#1(104)、トラヒック監視システム#2(105)、不正トラヒック収集装置109はコアNW106を介して接続されている。107はユーザ収容NWであり、ユーザ収容エッジルータ#1(108)でコアNW106と接続されている。自AS#W100のプロバイダ・エッジルータ#1(102)とトラヒック監視システム#1(104)は外部AS#X110のプロバイダルータ111と接続されている。また、自AS#W100のプロバイダ・エッジルータ#2(103)とトラヒック監視システム#2(105)は外部AS#Z120のプロバイダルータ121と接続されている。
外部ASのプロバイダルータと自AS内のプロバイダ・エッジルータは、external−BGP(以下、e−BGP)のセッションを確立するものとし、自AS内のプロバイダ・エッジルータ、ユーザ収容エッジルータ、トラヒック監視システム、不正経路情報監視装置間は、internal−BGP(以下、i−BGP)のセッションを確立するものとする。
プロバイダ・エッジルータ102、103は、外部ASとBGPのピアリングを行うためのルータであり、ユーザ収容エッジルータ108は、自AS内で収容するお客さま(ユーザ)を収容するためのエッジルータである。
また、トラヒック監視システム104、105は、ルーティングするトラフィックの特性を検査し、異常がないか確認するための装置である。不正トラヒック収集装置109は、不正と考えられるトラヒックを収集するための装置で、トラヒックを収集し、後に分析するために使用される装置である。
図1の構成のもと、不正経路情報監視装置101、プロバイダ・エッジルータ102、103、トラヒック監視システム104、105は、以下の設定が行われているものとする。プロバイダ・エッジルータ102、103は、外部から注入された経路を、自ルータの経路テーブルに設定することなく不正経路情報監視装置101およびトラヒック監視システム104、105に転送するものとする。その際、プロバイダ・エッジルータ102、103が、トラヒック監視システム104、105へ経路を転送する場合は、NEXTHOPを外部ASのプロバイダルータ111、121のNEXTHOPのままとし、不正経路監視システム104、105へ経路を転送する場合は、NEXTHOPを自ルータのアドレスとする。プロバイダ・エッジルータ102、103は、不正経路情報監視装置101から送信された経路情報のみを経路テーブルに設定することとする。不正経路情報監視装置101内では、全プロバイダ・エッジルータのアドレスとそれに対となるトラヒック監視システムのアドレス情報を保持しているものとする。また、不正トラヒック収集装置109のアドレスも保持しているものとする。なお、プロバイダ・エッジルータが、外部から注入された経路を、自ルータの経路テーブルに設定することなく経路を転送する方式の詳細については、例えば、本発明者による特願2005−235165号「外部AS経路転送方法およびシステム」を参照。
不正経路監視装置101は、図には示していないが、外部ASからのBGP経路情報を受信するBGP経路情報受信手段と、IRRデータベースをもとに構成され、RIRにて運用されているIRRサーバとミラーリングまたは周期的に同期し、route及びroute6オブジェクト内に記述されたPrefix、PrefixLength、およびorigin属性に記述されたOriginAS番号の情報を有する経路情報データベースと、この経路情報データベースの経路情報と外部ASより受信したBGP経路情報のPrefix、PrefixLength、およびOriginAS番号を照合することにより、外部ASより受信したBGP経路情報を判定するBGP経路情報判定手段と、BGP経路情報判定手段で判定されたBGP経路情報をエッジルータに送信するBGP経路情報送信手段と、を備える。不正経路監視装置101は、BGP経路情報受信手段(図示していない)で外部ASからのBGP経路情報を受信し、そのBGP経路情報をBGP経路情報判定手段(図示していない)が判定し、BGP経路情報判定手段(図示していない)が、BGP経路情報判定手段で判定されたBGP経路情報をエッジルータに送信する。
不正経路情報監視装置101の判定方法について説明する。不正経路情報監視装置101は次のようにして不正情報を判定する。BGPによる経路情報のUPDATEを受信した場合に、当該経路情報をもとに、IRRデータとの比較を行う。不正経路情報監視装置101は、IRRデータベースをもとに構成された経路情報データベースを用いてBGPの経路情報の正当性をチェックする場合に、Prefix、PrefixLength、OriginASの3つの情報について、照合を行い、当該経路情報を以下の(1)〜(5)に分類する。
(1)外部ASより受信したBGP経路情報と経路情報データベースの経路情報のPrefix、PrefixLength、OriginASが完全に一致する場合。
(2)外部ASより受信したBGP経路情報と経路情報データベースの経路情報のPrefix、PrefixLengthは一致するが、OriginASが異なる場合。
(3)外部ASより受信したBGP経路情報のPrefixLengthが、経路情報データベースの経路情報のPrefixLengthより長く、外部ASより受信したBGP経路情報と経路情報データベースの経路情報のOriginASが一致する場合。
(4)外部ASより受信したBGP経路情報のPrefixLengthが、経路情報データベースの経路情報のPrefixLengthより長く、外部ASより受信したBGP経路情報と経路情報データベースの経路情報のOriginASが異なる場合。
(5)外部ASより受信したBGP経路情報が経路情報データベースに含まれない場合。
上記の分類の結果、(1)に分類された場合には、既に受信済みのBGP経路情報に、より詳細な経路情報がないか確認する。存在しない場合は、これを正当な経路情報と判定する。存在する場合には、当該経路情報を不正と扱う。
(3)に分類された場合には、既に受信済みのBGP経路情報から、当該経路情報を包含する経路情報が他にないか調査する。デフォルトルート以外の経路情報で包含する経路情報がない場合には、これを正当な経路情報と判定する。また、包含する経路情報がある場合には、当該経路情報を不正と扱う。
(2)、(4)、(5)の経路情報については、不正な経路情報とみなして、他ASへの経路の配信は行わない。ただし、トラヒックの動向とあわせて、不正経路を判断する必要があるため、時限的に期限を設けて、経路を配信し、トラヒック動向とあわせて監視する。
その他、不正経路の注入は、OriginASに隣接するASによって、実施される。そのため、不正経路を注入した隣接ASに対して、ペナルティを加算し、その加算値が一定の閾値を超えた場合には、制御方法を変更するなどの判定方法を可能とする。加算するペナルティ値については、コマンド等により、可変とすることが可能であり、加算されたペナルティ値の上限・下限の閾値についてもコマンド等により変更可能とする。また、加算されたペナルティ値については、時間的な推移により減衰していくものとする。
次に、不正経路情報の制御方法について説明する。不正な経路情報と判定された場合もしくは、危険性がある場合に、以下のような制御の方法が実施される。
A)他ASへの経路配信を行い、当該経路のトラヒック動向を監視しない。正当な経路情報として扱う。
B)他ASへの経路配信を行い、当該経路のトラヒック動向を監視する。
C)他ASへの経路配信を行わず、当該経路のトラヒック動向を監視する。
D)他ASへの経路配信を行わず、当該経路のトラヒックも破棄する。
上記の制御は、BGP経路属性のCommunity値、Next−Hop値の設定を行うことで、これを可能する。不正経路情報監視装置101では、上記のA〜Dにそれぞれ、Community値A〜Dを設定する。B、Cの場合には、NEXTHOPのアドレスを受信元プロバイダ・エッジルータに対応するトラヒック監視装置のアドレスに変更する。例えば、受信元プロバイダ・エッジルータがプロバイダ・エッジルータ#2(103)であれば、これに対応するトラヒック監視装置#2(105)のアドレスに変更する。Dの場合には、NEXTHOPのアドレスを不正トラヒック収集装置109のアドレスに変更する。Community値の設定及びNEXTHOPの設定を実施した後、不正経路監視装置101からプロバイダ・エッジルータ#1(102)、プロバイダ・エッジルータ#2(103)、ユーザ収容エッジルータ#1(108)に経路を配信する。プロバイダ・エッジルータでは、Community値A,Bの場合は、他ASへ経路を転送し、Community値C,Dについては、他ASへの経路転送を行わないこととする。
図2に、不正経路情報監視装置101のBGP経路情報判定手段の判定方法の実施例のフローチャートを示す。前記のA)〜D)が以下に説明するCommunity値A〜Dに対応する。以下、外部ASより受信したBGP情報を単に「BGP情報」という。また、IRRデータベースをもとに構成され、RIRにて運用されているIRRサーバとミラーリングまたは周期的に同期している経路情報データベースの経路情報を「IRRデータ」という。
不正経路情報監視装置101は、BGPセッション確立後、BGP経路情報の交換を行うためのメッセージであるBGP Updateを受信すると(ステップ201)、そのBGP経路情報によるIRRデータの検索を行い、BGP経路情報とIRRデータのPrefix、PrefixLengthが一致する場合と、BGP経路情報のPrefixLengthがIRRデータのPrefixLengthより長い場合と、該当データなしの場合のいずれかであるのかを判断する(ステップ202)。
ここで、ステップ202からステップ210へ向かう場合である「BGP経路情報のPrefixLengthがIRRデータのPrefixLengthより長い場合」とは、IRRデータのPrefixLengthでマスクするとBGP経路情報のPrefixとIRRデータのPrefixが一致し、BGP経路情報のPrefixLengthがIRRデータのPrefixLengthより長いという意味である。例えば、BGP経路情報のPrefixが「10.10.10.0/24」でIRRデータのPrefixが「10.0.0.0/8」である場合は、IRRデータのPrefixLength(8ビット)でマスクするとBGP経路情報は「10」、IRRデータも「10」であり一致し、BGP経路情報のPrefixLength(24ビット)がIRRデータのPrefixLength(8ビット)より長いから、この場合は、「BGP経路情報のPrefixLengthがIRRデータのPrefixLengthより長い場合」に該当する。
ステップ202で、BGP経路情報とIRRデータのPrefix、PrefixLengthが一致した場合は、OriginASが一致するかどうかの確認を行う(ステップ203)。
ステップ203で、BGP経路情報とIRRデータのOriginASが一致した場合が前記(1)の場合である。この場合は、BGPテーブル内により詳細な経路情報がないか確認し、存在する場合は、その経路のCommunity値をCと設定し、NextHopをトラック監視システムのアドレスに変更し、保守者へ通知を行う。(ステップ204)。ここで、BGPテーブルとはBGPにより受信した経路の経路テーブルであり、BGPテーブルには既に受信済みの経路情報が保存されている。また、「BGPテーブル内により詳細な経路情報が存在する場合」とは、例えば、BGP経路情報が「10.0.0.0/8」であるときに、BGPテーブル内に「10.10.10.0/24」の経路情報が存在する場合である。すなわち、この場合は、BGP経路情報のPrefixLength(8ビット)でマスクするとBGP経路情報は「10」、BGPテーブル内の経路情報も「10」であり一致し、BGP経路情報のPrefixLength(8ビット)よりBGPテーブル内の経路情報のPrefixLength(24ビット)が長いから、「BGPテーブル内により詳細な経路情報が存在する場合」に該当する。ステップ204で、BGPテーブル内により詳細な経路情報が存在しない場合は、Community値をAに設定する(ステップ205)。
ステップ203で、BGP経路情報とIRRデータのOriginASが不一致の場合が前記(2)の場合である。この場合は、OriginASの隣接ASに対してペナルティポイントを加算する(ステップ206)。そして、ステップ207で、隣接ASのペナルティポイントが閾値を超過していないか?を判断する。OKの場合(超過していない場合)は、Community値をCに設定し、NextHopをトラヒック監視システムのアドレスに変更し、保守者に通知する(ステップ208)。ステップ207でNGの場合(超過している場合)は、Community値をDに設定し、NextHopを不正トラヒック収集装置のアドレスに変更し、保守者に通知する(ステップ209)。
ステップ202でBGP経路情報のPrefixLengthがIRRデータのPrefixLengthより長い場合は、BGP経路情報とIRRデータのOriginASの確認を行う(ステップ210)。
ステップ210で一致している場合が、前記の(3)の場合である。この場合は、BGPテーブル内に当該BGP経路情報を包含する経路情報がないか確認する(ステップ211)。存在しない場合は、Community値をAに設定し、保守者に通知する(ステップ212)。存在する場合はCommunity値をCに設定し、NextHopをトラヒック監視システムのアドレスに変更し、保守者に通知する(ステップ213)。ここで、「BGPテーブル内に当該BGP経路情報を包含する経路情報が存在する場合」とは、例えば、BGP経路情報が「10.10.10.0/24」の場合に、BGPテーブル内に「10.0.0.0/8」の経路情報が存在する場合である。すなわち、この場合は、BGPテーブル内の経路情報のPrefixLength(8ビット)でマスクすると、BGP経路情報が「10」、BGPテーブル内の経路情報も「10」で一致し、PrefixLength(8ビット)が短いBGPテーブル内の経路情報は、PrefixLength(24ビット)が長いBGP経路情報を包含するから、「BGPテーブル内に当該BGP経路情報を包含する経路情報が存在する場合」に該当する。
ステップ210で不一致の場合が、前記の(4)の場合である。この場合は、OriginASの隣接ASに対してペナルティポイントを加算する(ステップ214)。そして、ステップ215で、隣接ASのペナルティポイントが閾値を超過していないか?を判断する。OKの場合(超過していない場合)は、Community値をCに設定し、NextHopをトラヒック監視システムのアドレスに変更し、保守者に通知する(ステップ216)。ステップ215でNGの場合(超過している場合)は、Community値をDに設定し、NextHopを不正トラヒック収集装置のアドレスに変更し、保守者に通知する(ステップ217)。
ステップ202で、該当データがない場合は、前記の(5)の場合である。この場合は、Community値をDに設定し、NextHopを不正トラヒック収集装置のアドレスに変更し、保守者に通知する(ステップ218)
不正経路情報監視装置101は、以上のようにして、受信したBGP経路情報にCommunity値すなわち判定結果の情報を付加情報として付加し、B〜Dの場合はNextHopの変更を行う。不正経路情報監視装置101は、判定されたBGP経路情報を、プロバイダ・エッジルータ#1(102)、プロバイダ・エッジルータ#2(103)、ユーザ収容エッジルータ#1(108)に送信する。なお、前述の第2〜第5の発明はCommunity値をA〜Dに設定する場合に対応する。NextHopの変更、保守者への通知は好適な例を示すものであり、これに限定されない。
図3に、プロバイダ・エッジルータのBGP Community値をもとにした不正経路の制御方法の実施例を示す。プロバイダ・エッジルータ102、103は、BGP Updateを受信すると(ステップ301)、BGP Communityによる制御分類を行う(ステップ302)。 Community値=Aの場合は、BGP経路情報を受信し自ルータの経路テーブルに設定し、他のASへの経路を配信する(ステップ303)。Community値=Bの場合は、BGP経路情報を受信し自ルータの経路テーブルに設定し、他のASへの経路を配信する(ステップ304)。Community値=Cの場合は、BGP経路情報を受信し自ルータの経路テーブルに設定するが、他のASへの経路の配信は行わない(ステップ305)。Community値=Dの場合は、BGP経路情報を受信し自ルータの経路テーブルに設定するが、他のASへの経路の配信は行わない(ステップ306)。
次に、経路情報の制御によるトラヒック情報の流れについて説明する。図1の外部AS#Z120から経路を受信し、A〜Dのパターンで判定された場合の経路の流れとトラヒックの流れを図4〜7に示す。図4〜7において、点線の矢印が経路の流れであり、実線の矢印がトラヒックの流れである。図4〜7は、外部AS#Z120のプロバイダルータ121からのBGP経路情報を、不正経路情報監視装置101がプロバイダ・エッジルータ#2(103)を経由して受信した場合を示す図である。不正経路情報監視装置101は、受信したBGP経路情報を、図2に示すように判定し、Community値A〜Dを付加情報として付加したBGP経路情報をプロバイダ・エッジルータ#1(102)、プロバイダ・エッジルータ#2(103)、ユーザ収容エッジルータ108に配信する。この時、不正経路情報監視装置101は、B、Cの場合は、BGP経路情報のNextHopをトラヒック監視システム#2(105)のアドレスに変更して配信し、Dの場合は、BGP経路情報のNextHopを不正トラヒック収集装置109のアドレスに変更して配信する。
図4は、パターンAの場合である。Community値=Aであるから、プロバイダ・エッジルータ#1(102)、プロバイダ・エッジルータ#2(103)、ユーザ収容エッジルータ108は、不正経路情報監視装置101から受信したBGP経路情報を自ルータの経路テーブルに設定し、プロバイダ・エッジルータ#1(102)は外部AS#X110へ経路を配信する(図3のステップ303)。このBGP経路情報に基づいた外部AS#X110からのトラヒックはプロバイダ・エッジルータ#1(102)、プロバイダ・エッジルータ#2(103)を経由して、外部AS#Z120に転送される。ユーザ収容NW107からのトラヒックはユーザ収容エッジルータ#1(108)、プロバイダ・エッジルータ#2(103)を経由して、外部AS#Z120に転送される。すなわち、パターンAの場合は、外部AS#Z120からのBGP経路情報が正当な場合であり、通常どおりのトラヒックの転送となる。
図5は、パターンBの場合である。Community値=Bであるから、プロバイダ・エッジルータ#1(102)、プロバイダ・エッジルータ#2(103)、ユーザ収容エッジルータ108は不正経路情報監視装置101から受信したBGP経路情報を自ルータの経路テーブルに設定し、プロバイダ・エッジルータ#1(102)は外部AS#X110へ経路を配信する(図3のステップ304)。このBGP経路情報に基づいた外部AS#X110からのトラヒックはプロバイダ・エッジルータ#1(102)からNextHopのトラヒック監視システム#2(105)に転送され、トラヒック監視システム#2(105)から、外部AS#Z120に転送される。ユーザ収容NW107からのトラヒックはユーザ収容エッジルータ#1(108)からNextHopのトラヒック監視システム#2(105)に転送され、外部AS#Z120に転送される。すなわち、パターンBの場合は、外部AS#X110やユーザ収容NW108からのトラヒックは外部AS#Z120に向けて転送されるが、そのトラヒックはトラヒック監視システム#2(105)で監視することができる。
図6は、パターンCの場合である。Community値=Cであるから、プロバイダ・エッジルータ#1(102)、プロバイダ・エッジルータ#2(103)、ユーザ収容エッジルータ108は不正経路情報監視装置101から受信したBGP経路情報を自ルータの経路テーブルに設定するが、プロバイダ・エッジルータ#1(102)は外部AS#X110へ経路を配信しない(図3のステップ305)。したがって、このBGP経路情報に基づいた外部AS#X110からのトラヒックは基本的にはないが、もし、そのようなトラヒックがあったとしても、プロバイダ・エッジルータ#1(102)からNextHopのトラヒック監視システム#2(105)に転送され、トラヒック監視システム#2(105)から、外部AS#Z120に転送される。ユーザ収容NW107からのトラヒックは、ユーザ収容エッジルータ#1(108)からNextHopのトラヒック監視システム#2(105)に転送され、外部AS#Z120に転送される。すなわち、パターンCの場合は、外部AS#X110へBGP経路情報を配信しないから、不正な経路情報が拡散するのを防ぐことができる。また、外部AS#X110からのトラヒックがあった場合、あるいはユーザ収容NW107からのトラヒックがあった場合は、そのトラヒックをトラヒック監視システム#2(105)で監視することができる。
図7は、パターンDの場合である。Community値=Dであるから、プロバイダ・エッジルータ#1(102)、プロバイダ・エッジルータ#2(103)、ユーザ収容エッジルータ108は不正経路情報監視装置101から受信したBGP経路情報を自ルータの経路テーブルに設定するが、プロバイダ・エッジルータ#1(102)は外部AS#X110へ経路を配信しない(図3のステップ306)。したがって、このBGP経路情報に基づいた外部AS#X110からのトラヒックは基本的にはないが、もし、そのようなトラヒックがあったとしても、プロバイダ・エッジルータ#1(102)からNextHopの不正トラヒック収集装置109に転送される。ユーザ収容NW107からのトラヒックはユーザ収容エッジルータ#1(108)からNextHopの不正トラヒック収集装置に転送される。すなわち、パターンDの場合は、外部AS#X110へBGP経路情報を配信しないから、不正な経路情報が拡散するのを防ぐことができる。さらに、外部AS#X110からのトラヒックがあった場合、あるいはユーザ収容NW107からのトラヒックがあった場合は、そのトラヒックを不正トラヒック収集装置109に転送することによって破棄し、外部AS#Z120には転送しないから、外部AS#X110からのユーザやユーザ収容NW107のユーザが不正なサイト等をアクセスするのを防ぐことができると共に、不正トラヒックを収集するので、そのデータを用いて不正トラヒックの分析を行うことができる。
本実施形態(実施例)により、誤設定や運用上の問題等により、不正経路情報が発生したと判別される可能性がある場合には、不正経路情報監視装置が、保守運用者に対して警報を発生し、当該経路に関わるトラヒック動向を監視することができる。また、詐称等の目的で不正経路情報が発生したと判別される可能性がある場合には、自AS内への経路の配信もしくは他ASへの経路の配信を停止することができる。
実施形態(実施例)の不正経路情報監視装置、プロバイダ・エッジルータ、トラヒック監視システム、不正トラヒック収集装置は、それぞれの動作、機能、ステップを実現するための手段を有する。
不正経路情報監視装置は1台の装置として構成してもよいし、その機能を複数の装置に分散させて構成してもよい。トラヒック監視システムはエッジ・ルータあるいはその他の装置の一部として構成してもよい。不正トラヒック収集装置は不正経路情報監視装置あるいはその他の装置の一部として構成してもよい。また、NextHopを用いてトラヒック監視システムや不正トラヒック収集装置にトラヒックを誘導する代わりに、例えば、エッジ・ルータ等に経路情報とCommunity値の対照表等を備えておき、それを利用してトラヒックの監視や不正トラヒックの収集を行ってもよい。また、例えば、パターンD等の場合に、不正経路情報監視装置からBGP経路テーブルをエッジ・ルータに配信しないようにしてもよく、あるいは、配信されたBGP経路テーブルをエッジ・ルータ側で破棄してもよい。
以上、本発明者によってなされた発明を、前記実施形態(実施例)に基づき具体的に説明したが、本発明は、前記実施形態(実施例)に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
実施形態のシステムの基本構成を示す図である。 不正経路情報監視装置の判定方法の実施例のフローチャートである。 プロバイダ・エッジルータのBGP Community値をもとにした不正経路の制御方法の実施例のフローチャートである。 パターンAに判定された場合の経路の流れとトラヒックの流れの例を示す図である。 パターンBに判定された場合の経路の流れとトラヒックの流れの例を示す図である。 パターンCに判定された場合の経路の流れとトラヒックの流れの例を示す図である。 パターンDに判定された場合の経路の流れとトラヒックの流れの例を示す図である。
符号の説明
100…自AS#W、101…不正経路情報監視装置、102…プロバイダ・エッジルータ#1、103…プロバイダ・エッジルータ#2、104…トラヒック監視システム#1、105…トラヒック監視システム#2、106…コアNW、107…ユーザ収容NW、108…ユーザ収容エッジルータ#1、109…不正トラヒック収集装置、110…外部AS#X、111…外部AS#Xのプロバイダルータ、120…外部AS#Z、121…外部AS#Zのプロバイダルータ


Claims (2)

  1. 外部ASからのBGP経路情報を受信するBGP経路情報受信手段と、
    IRRデータベースをもとに構成され、RIRにて運用されているIRRサーバとミラーリングまたは周期的に同期し、Prefix、PrefixLength、およびOriginAS番号の情報を有する経路情報データベースの経路情報と前記外部ASより受信したBGP経路情報のPrefix、PrefixLength、およびOriginAS番号を照合することにより、前記外部ASより受信したBGP経路情報を判定するBGP経路情報判定手段と、
    前記BGP経路情報判定手段で判定されたBGP経路情報をエッジルータに送信するBGP経路情報送信手段と、
    を備え
    前記BGP経路情報判定手段は、
    前記外部ASより受信したBGP経路情報を、
    (1)前記外部ASより受信したBGP経路情報と前記経路情報データベースの経路情報のPrefix、PrefixLength、OriginASが完全に一致する場合、
    (2)前記外部ASより受信したBGP経路情報と前記経路情報データベースの経路情報のPrefix、PrefixLengthは一致するが、OriginASが異なる場合、
    (3)前記外部ASより受信したBGP経路情報のPrefixLengthが、前記経路情報データベースの経路情報のPrefixLengthより長く、前記外部ASより受信したBGP経路情報と前記経路情報データベースの経路情報のOriginASが一致する場合、
    (4)前記外部ASより受信したBGP経路情報のPrefixLengthが、前記経路情報データベースの経路情報のPrefixLengthより長く、前記外部ASより受信したBGP経路情報と前記経路情報データベースの経路情報のOriginASが異なる場合、
    (5)前記外部ASより受信したBGP経路情報が前記経路情報データベースに含まれない場合、
    に分類する手段と、
    前記(1)に分類された場合で、前記外部ASより受信したBGP経路情報より詳細な経路情報がBGPテーブル内に存在しない場合と、
    前記(3)に分類された場合で、前記外部ASより受信したBGP経路情報を包含する経路情報がBGPテーブル内に存在しない場合に、
    他ASへの経路配信を行い、当該経路のトラヒック動向を監視せず、正当な経路情報として扱うと判定する手段と、
    前記(3)に分類された場合で、前記外部ASより受信したBGP経路情報を包含する経路情報がBGPテーブル内に存在する場合に、
    他ASへの経路配信を行い、当該経路のトラヒック動向を監視すると判定する手段と、
    前記(1)に分類された場合で、前記外部ASより受信したBGP経路情報より詳細な経路情報がBGPテーブル内に存在する場合と、
    前記(2)に分類された場合で、OriginASの隣接ASに対してペナルティポイントを加算し、前記ペナルティポイントが閾値を超過していない場合と、
    前記(4)に分類された場合で、OriginASの隣接ASに対してペナルティポイントを加算し、前記ペナルティポイントが閾値を超過していない場合に、
    他ASへの経路配信を行わず、当該経路のトラヒック動向を監視すると判定する判定手段と、
    前記(2)に分類された場合で、OriginASの隣接ASに対してペナルティポイントを加算し、前記ペナルティポイントが閾値を超過している場合と、
    前記(4)に分類された場合で、OriginASの隣接ASに対してペナルティポイントを加算し、前記ペナルティポイントが閾値を超過している場合と、
    前記(5)に分類された場合に、
    他ASへの経路配信を行わず、当該経路のトラヒックも破棄すると判定する手段と、
    を備えることを特徴とする不正経路監視システム。
  2. BGP経路情報受信手段とBGP経路情報判定手段とBGP経路情報送信手段とを有する不正経路監視システムにおける不正経路監視方法であって
    前記BGP経路情報受信手段が、外部ASからのBGP経路情報を受信するBGP経路情報受信ステップと、
    前記BGP経路情報判定手段が、IRRデータベースをもとに構成され、RIRにて運用されているIRRサーバとミラーリングまたは周期的に同期し、Prefix、PrefixLength、OriginAS番号の情報を有する経路情報データベースの経路情報と前記外部ASより受信したBGP経路情報のPrefix、PrefixLength、およびOriginAS番号を照合することにより、前記外部ASより受信したBGP経路情報を判定するBGP経路情報判定ステップと、
    前記BGP経路情報送信手段が、前記BGP経路情報判定ステップで判定されたBGP経路情報をエッジルータに送信するBGP経路情報送信ステップと、
    を有し、
    前記BGP経路情報判定ステップは、
    前記外部ASより受信したBGP経路情報を、
    (1)前記外部ASより受信したBGP経路情報と前記経路情報データベースの経路情報のPrefix、PrefixLength、OriginASが完全に一致する場合、
    (2)前記外部ASより受信したBGP経路情報と前記経路情報データベースの経路情報のPrefix、PrefixLengthは一致するが、OriginASが異なる場合、
    (3)前記外部ASより受信したBGP経路情報のPrefixLengthが、前記経路情報データベースの経路情報のPrefixLengthより長く、前記外部ASより受信したBGP経路情報と前記経路情報データベースの経路情報のOriginASが一致する場合、
    (4)前記外部ASより受信したBGP経路情報のPrefixLengthが、前記経路情報データベースの経路情報のPrefixLengthより長く、前記外部ASより受信したBGP経路情報と前記経路情報データベースの経路情報のOriginASが異なる場合、
    (5)前記外部ASより受信したBGP経路情報が前記経路情報データベースに含まれない場合、
    に分類するステップと、
    前記(1)に分類された場合で、前記外部ASより受信したBGP経路情報より詳細な経路情報がBGPテーブル内に存在しない場合と、
    前記(3)に分類された場合で、前記外部ASより受信したBGP経路情報を包含する経路情報がBGPテーブル内に存在しない場合に、
    他ASへの経路配信を行い、当該経路のトラヒック動向を監視せず、正当な経路情報として扱うと判定するステップと、
    前記(3)に分類された場合で、前記外部ASより受信したBGP経路情報を包含する経路情報がBGPテーブル内に存在する場合に、
    他ASへの経路配信を行い、当該経路のトラヒック動向を監視すると判定するステップと、
    前記(1)に分類された場合で、前記外部ASより受信したBGP経路情報より詳細な経路情報がBGPテーブル内に存在する場合と、
    前記(2)に分類された場合で、OriginASの隣接ASに対してペナルティポイントを加算し、前記ペナルティポイントが閾値を超過していない場合と、
    前記(4)に分類された場合で、OriginASの隣接ASに対してペナルティポイントを加算し、前記ペナルティポイントが閾値を超過していない場合に、
    他ASへの経路配信を行わず、当該経路のトラヒック動向を監視すると判定する判定ステップと、
    前記(2)に分類された場合で、OriginASの隣接ASに対してペナルティポイントを加算し、前記ペナルティポイントが閾値を超過している場合と、
    前記(4)に分類された場合で、OriginASの隣接ASに対してペナルティポイントを加算し、前記ペナルティポイントが閾値を超過している場合と、
    前記(5)に分類された場合に、
    他ASへの経路配信を行わず、当該経路のトラヒックも破棄すると判定するステップと、
    を有することを特徴とする不正経路監視方法。
JP2005235299A 2005-08-15 2005-08-15 不正経路監視システムおよび方法 Expired - Fee Related JP4413833B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005235299A JP4413833B2 (ja) 2005-08-15 2005-08-15 不正経路監視システムおよび方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005235299A JP4413833B2 (ja) 2005-08-15 2005-08-15 不正経路監視システムおよび方法

Publications (2)

Publication Number Publication Date
JP2007053430A JP2007053430A (ja) 2007-03-01
JP4413833B2 true JP4413833B2 (ja) 2010-02-10

Family

ID=37917601

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005235299A Expired - Fee Related JP4413833B2 (ja) 2005-08-15 2005-08-15 不正経路監視システムおよび方法

Country Status (1)

Country Link
JP (1) JP4413833B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016195261A1 (ko) * 2015-06-01 2016-12-08 주식회사 케이티 불법 트래픽 검출 장치 및 그 방법

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4523612B2 (ja) * 2007-03-07 2010-08-11 日本電信電話株式会社 経路情報・mib情報をもとにしたトラフィック監視方法
JP4542580B2 (ja) * 2007-11-06 2010-09-15 日本電信電話株式会社 経路ハイジャック検出方法、経路監視装置、経路ハイジャック検出システムおよび経路ハイジャック検出プログラム
JP5057077B2 (ja) * 2008-03-05 2012-10-24 Necインフロンティア株式会社 ルータ装置、通信システム及びそれらに用いる不正経路確認方法
JP2010178310A (ja) * 2009-02-02 2010-08-12 Kddi Corp 経路制御システムおよび経路制御装置
JP4638948B2 (ja) * 2009-02-27 2011-02-23 日本電信電話株式会社 経路監視装置、経路監視プログラムおよび経路ハイジャック検出システム並びに経路ハイジャック検出方法
JP2011087302A (ja) * 2009-10-19 2011-04-28 Ip Infusion Inc Bgp経路監視装置、bgp経路監視方法、およびプログラム
JP5317294B2 (ja) * 2010-02-26 2013-10-16 Kddi株式会社 Bgp不正メッセージ検出方法および装置
US8743716B2 (en) * 2011-02-04 2014-06-03 General Electric Company Systems, methods, and apparatus for identifying invalid nodes within a mesh network
JP5587256B2 (ja) * 2011-06-29 2014-09-10 日本電信電話株式会社 経路監視装置、経路監視方法及び経路監視プログラム
US10148690B2 (en) * 2015-12-21 2018-12-04 Symantec Corporation Accurate real-time identification of malicious BGP hijacks
CN108886521B (zh) 2016-02-22 2021-09-10 动态网络服务股份有限公司 用于找到全球路由劫持的方法和设备
CN111147380B (zh) 2018-11-02 2021-11-30 华为技术有限公司 一种路由处理的方法和网络设备

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016195261A1 (ko) * 2015-06-01 2016-12-08 주식회사 케이티 불법 트래픽 검출 장치 및 그 방법

Also Published As

Publication number Publication date
JP2007053430A (ja) 2007-03-01

Similar Documents

Publication Publication Date Title
JP4413833B2 (ja) 不正経路監視システムおよび方法
US10084825B1 (en) Reducing redundant operations performed by members of a cooperative security fabric
Lad et al. PHAS: A Prefix Hijack Alert System.
US7870611B2 (en) System method and apparatus for service attack detection on a network
Karlin et al. Pretty good BGP: Improving BGP by cautiously adopting routes
US20070153763A1 (en) Route change monitor for communication networks
CN101164286A (zh) 包括网络装置的电子消息传输系统
Pletinckx et al. Malware coordination using the blockchain: An analysis of the cerber ransomware
JPWO2007116605A1 (ja) 通信端末装置、ルール配布装置およびプログラム
WO2012164336A1 (en) Distribution and processing of cyber threat intelligence data in a communications network
JP2002016600A (ja) 新たに規定されたカスタマーネットワークルートの通知を検証する方法
Khare et al. Concurrent prefix hijacks: Occurrence and impacts
US20070143841A1 (en) Defense device, defense method, defense program, and network-attack defense system
JPWO2006040910A1 (ja) 中継装置、中継方法、中継プログラム並びにネットワーク攻撃防御システム
Nicholes et al. A survey of security techniques for the border gateway protocol (BGP)
WO2018235085A1 (en) METHOD OF CERTIFYING ADDRESS PROPERTIES AND ASSOCIATED SYSTEM
JP2011035535A (ja) 通信遮断装置、サーバ装置、方法およびプログラム
Theodoridis et al. A novel unsupervised method for securing BGP against routing hijacks
JP6709909B2 (ja) 検知システム、ウェブアプリケーション装置、ウェブアプリケーションファイアウォール装置、検知システムにおける検知方法、ウェブアプリケーション装置の検知方法及びウェブアプリケーションファイアウォール装置の検知方法
Karlin et al. Pretty Good BGP: Protecting BGP by cautiously selecting routes
Sentana et al. BlockJack: Towards improved prevention of IP prefix hijacking attacks in inter-domain routing via blockchain
Wübbeling et al. Inter-AS routing anomalies: Improved detection and classification
JP2008141352A (ja) ネットワークセキュリティシステム
JP4983287B2 (ja) ルール検証装置およびルール検証方法
WO2006040895A1 (ja) 中継装置、中継方法および中継プログラム並びにネットワーク攻撃防御システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070813

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090716

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090728

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090924

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20091117

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20091118

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121127

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121127

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131127

Year of fee payment: 4

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees