JP4413833B2 - 不正経路監視システムおよび方法 - Google Patents
不正経路監視システムおよび方法 Download PDFInfo
- Publication number
- JP4413833B2 JP4413833B2 JP2005235299A JP2005235299A JP4413833B2 JP 4413833 B2 JP4413833 B2 JP 4413833B2 JP 2005235299 A JP2005235299 A JP 2005235299A JP 2005235299 A JP2005235299 A JP 2005235299A JP 4413833 B2 JP4413833 B2 JP 4413833B2
- Authority
- JP
- Japan
- Prior art keywords
- route information
- bgp
- external
- route
- case
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
(1)BGP経路情報のPrefix、PrefixLength、OriginASが完全に一致する場合、
(2)BGP経路情報のPrefix、PrefixLengthが一致するが、OriginASが異なる場合、
(3)IRRデータに対して、より詳細な経路情報をもち、OriginASが一致する場合、
(4)IRRデータに対して、より詳細な経路情報をもち、OriginASが異なる場合、
(5)IRRデータが経路情報に含まれない場合、
のパターンに分類することが考えられるが、(3)については、OriginASが、経路を細分化して、通知している場合などが該当し、特に問題にならない場合が多く、(2)、(4)、(5)のケースについては、IRRデータベースが更新されない場合もあるため、すべて不正と判断することもできない。本発明の他の目的は、経路情報を(1)〜(5)のように分類すること、また、分類された経路情報について、個々の経路の状況(隣接ASの信頼性、関連経路との相対的な経路の信頼性)に応じた制御を行うことを可能とすることである。
本願において開示される代表的な発明の概要を簡単に説明すれば、以下のとおりである。
図1に本システムの基本構成を示す。100は自ASであるAS#Wであり、110は外部ASであるAS#Xであり、120は外部ASであるAS#Zである。101は自AS#W100の不正経路情報監視装置である。不正経路情報監視装置101は不正な経路情報の監視を行う装置である。102は自AS#W100のプロバイダ・エッジルータ#1であり、103は自AS#W100のプロバイダ・エッジルータ#2である。111は外部AS#X110のプロバイダルータであり、121は外部AS#Z120のプロバイダルータである。104は自AS#W100のトラヒック監視システム#1であり、105は自AS#W100のトラヒック監視システム#2である。109は不正トラヒック収集装置である。106はコアNW(ネットワーク)である。不正経路情報監視装置101、プロバイダ・エッジルータ#1(102)、プロバイダ・エッジルータ#2(103)、トラヒック監視システム#1(104)、トラヒック監視システム#2(105)、不正トラヒック収集装置109はコアNW106を介して接続されている。107はユーザ収容NWであり、ユーザ収容エッジルータ#1(108)でコアNW106と接続されている。自AS#W100のプロバイダ・エッジルータ#1(102)とトラヒック監視システム#1(104)は外部AS#X110のプロバイダルータ111と接続されている。また、自AS#W100のプロバイダ・エッジルータ#2(103)とトラヒック監視システム#2(105)は外部AS#Z120のプロバイダルータ121と接続されている。
図1の構成のもと、不正経路情報監視装置101、プロバイダ・エッジルータ102、103、トラヒック監視システム104、105は、以下の設定が行われているものとする。プロバイダ・エッジルータ102、103は、外部から注入された経路を、自ルータの経路テーブルに設定することなく不正経路情報監視装置101およびトラヒック監視システム104、105に転送するものとする。その際、プロバイダ・エッジルータ102、103が、トラヒック監視システム104、105へ経路を転送する場合は、NEXTHOPを外部ASのプロバイダルータ111、121のNEXTHOPのままとし、不正経路監視システム104、105へ経路を転送する場合は、NEXTHOPを自ルータのアドレスとする。プロバイダ・エッジルータ102、103は、不正経路情報監視装置101から送信された経路情報のみを経路テーブルに設定することとする。不正経路情報監視装置101内では、全プロバイダ・エッジルータのアドレスとそれに対となるトラヒック監視システムのアドレス情報を保持しているものとする。また、不正トラヒック収集装置109のアドレスも保持しているものとする。なお、プロバイダ・エッジルータが、外部から注入された経路を、自ルータの経路テーブルに設定することなく経路を転送する方式の詳細については、例えば、本発明者による特願2005−235165号「外部AS経路転送方法およびシステム」を参照。
(1)外部ASより受信したBGP経路情報と経路情報データベースの経路情報のPrefix、PrefixLength、OriginASが完全に一致する場合。
(2)外部ASより受信したBGP経路情報と経路情報データベースの経路情報のPrefix、PrefixLengthは一致するが、OriginASが異なる場合。
(3)外部ASより受信したBGP経路情報のPrefixLengthが、経路情報データベースの経路情報のPrefixLengthより長く、外部ASより受信したBGP経路情報と経路情報データベースの経路情報のOriginASが一致する場合。
(4)外部ASより受信したBGP経路情報のPrefixLengthが、経路情報データベースの経路情報のPrefixLengthより長く、外部ASより受信したBGP経路情報と経路情報データベースの経路情報のOriginASが異なる場合。
(5)外部ASより受信したBGP経路情報が経路情報データベースに含まれない場合。
A)他ASへの経路配信を行い、当該経路のトラヒック動向を監視しない。正当な経路情報として扱う。
B)他ASへの経路配信を行い、当該経路のトラヒック動向を監視する。
C)他ASへの経路配信を行わず、当該経路のトラヒック動向を監視する。
D)他ASへの経路配信を行わず、当該経路のトラヒックも破棄する。
不正経路情報監視装置101は、以上のようにして、受信したBGP経路情報にCommunity値すなわち判定結果の情報を付加情報として付加し、B〜Dの場合はNextHopの変更を行う。不正経路情報監視装置101は、判定されたBGP経路情報を、プロバイダ・エッジルータ#1(102)、プロバイダ・エッジルータ#2(103)、ユーザ収容エッジルータ#1(108)に送信する。なお、前述の第2〜第5の発明はCommunity値をA〜Dに設定する場合に対応する。NextHopの変更、保守者への通知は好適な例を示すものであり、これに限定されない。
Claims (2)
- 外部ASからのBGP経路情報を受信するBGP経路情報受信手段と、
IRRデータベースをもとに構成され、RIRにて運用されているIRRサーバとミラーリングまたは周期的に同期し、Prefix、PrefixLength、およびOriginAS番号の情報を有する経路情報データベースの経路情報と前記外部ASより受信したBGP経路情報のPrefix、PrefixLength、およびOriginAS番号を照合することにより、前記外部ASより受信したBGP経路情報を判定するBGP経路情報判定手段と、
前記BGP経路情報判定手段で判定されたBGP経路情報をエッジルータに送信するBGP経路情報送信手段と、
を備え、
前記BGP経路情報判定手段は、
前記外部ASより受信したBGP経路情報を、
(1)前記外部ASより受信したBGP経路情報と前記経路情報データベースの経路情報のPrefix、PrefixLength、OriginASが完全に一致する場合、
(2)前記外部ASより受信したBGP経路情報と前記経路情報データベースの経路情報のPrefix、PrefixLengthは一致するが、OriginASが異なる場合、
(3)前記外部ASより受信したBGP経路情報のPrefixLengthが、前記経路情報データベースの経路情報のPrefixLengthより長く、前記外部ASより受信したBGP経路情報と前記経路情報データベースの経路情報のOriginASが一致する場合、
(4)前記外部ASより受信したBGP経路情報のPrefixLengthが、前記経路情報データベースの経路情報のPrefixLengthより長く、前記外部ASより受信したBGP経路情報と前記経路情報データベースの経路情報のOriginASが異なる場合、
(5)前記外部ASより受信したBGP経路情報が前記経路情報データベースに含まれない場合、
に分類する手段と、
前記(1)に分類された場合で、前記外部ASより受信したBGP経路情報より詳細な経路情報がBGPテーブル内に存在しない場合と、
前記(3)に分類された場合で、前記外部ASより受信したBGP経路情報を包含する経路情報がBGPテーブル内に存在しない場合に、
他ASへの経路配信を行い、当該経路のトラヒック動向を監視せず、正当な経路情報として扱うと判定する手段と、
前記(3)に分類された場合で、前記外部ASより受信したBGP経路情報を包含する経路情報がBGPテーブル内に存在する場合に、
他ASへの経路配信を行い、当該経路のトラヒック動向を監視すると判定する手段と、
前記(1)に分類された場合で、前記外部ASより受信したBGP経路情報より詳細な経路情報がBGPテーブル内に存在する場合と、
前記(2)に分類された場合で、OriginASの隣接ASに対してペナルティポイントを加算し、前記ペナルティポイントが閾値を超過していない場合と、
前記(4)に分類された場合で、OriginASの隣接ASに対してペナルティポイントを加算し、前記ペナルティポイントが閾値を超過していない場合に、
他ASへの経路配信を行わず、当該経路のトラヒック動向を監視すると判定する判定手段と、
前記(2)に分類された場合で、OriginASの隣接ASに対してペナルティポイントを加算し、前記ペナルティポイントが閾値を超過している場合と、
前記(4)に分類された場合で、OriginASの隣接ASに対してペナルティポイントを加算し、前記ペナルティポイントが閾値を超過している場合と、
前記(5)に分類された場合に、
他ASへの経路配信を行わず、当該経路のトラヒックも破棄すると判定する手段と、
を備えることを特徴とする不正経路監視システム。 - BGP経路情報受信手段とBGP経路情報判定手段とBGP経路情報送信手段とを有する不正経路監視システムにおける不正経路監視方法であって
前記BGP経路情報受信手段が、外部ASからのBGP経路情報を受信するBGP経路情報受信ステップと、
前記BGP経路情報判定手段が、IRRデータベースをもとに構成され、RIRにて運用されているIRRサーバとミラーリングまたは周期的に同期し、Prefix、PrefixLength、OriginAS番号の情報を有する経路情報データベースの経路情報と前記外部ASより受信したBGP経路情報のPrefix、PrefixLength、およびOriginAS番号を照合することにより、前記外部ASより受信したBGP経路情報を判定するBGP経路情報判定ステップと、
前記BGP経路情報送信手段が、前記BGP経路情報判定ステップで判定されたBGP経路情報をエッジルータに送信するBGP経路情報送信ステップと、
を有し、
前記BGP経路情報判定ステップは、
前記外部ASより受信したBGP経路情報を、
(1)前記外部ASより受信したBGP経路情報と前記経路情報データベースの経路情報のPrefix、PrefixLength、OriginASが完全に一致する場合、
(2)前記外部ASより受信したBGP経路情報と前記経路情報データベースの経路情報のPrefix、PrefixLengthは一致するが、OriginASが異なる場合、
(3)前記外部ASより受信したBGP経路情報のPrefixLengthが、前記経路情報データベースの経路情報のPrefixLengthより長く、前記外部ASより受信したBGP経路情報と前記経路情報データベースの経路情報のOriginASが一致する場合、
(4)前記外部ASより受信したBGP経路情報のPrefixLengthが、前記経路情報データベースの経路情報のPrefixLengthより長く、前記外部ASより受信したBGP経路情報と前記経路情報データベースの経路情報のOriginASが異なる場合、
(5)前記外部ASより受信したBGP経路情報が前記経路情報データベースに含まれない場合、
に分類するステップと、
前記(1)に分類された場合で、前記外部ASより受信したBGP経路情報より詳細な経路情報がBGPテーブル内に存在しない場合と、
前記(3)に分類された場合で、前記外部ASより受信したBGP経路情報を包含する経路情報がBGPテーブル内に存在しない場合に、
他ASへの経路配信を行い、当該経路のトラヒック動向を監視せず、正当な経路情報として扱うと判定するステップと、
前記(3)に分類された場合で、前記外部ASより受信したBGP経路情報を包含する経路情報がBGPテーブル内に存在する場合に、
他ASへの経路配信を行い、当該経路のトラヒック動向を監視すると判定するステップと、
前記(1)に分類された場合で、前記外部ASより受信したBGP経路情報より詳細な経路情報がBGPテーブル内に存在する場合と、
前記(2)に分類された場合で、OriginASの隣接ASに対してペナルティポイントを加算し、前記ペナルティポイントが閾値を超過していない場合と、
前記(4)に分類された場合で、OriginASの隣接ASに対してペナルティポイントを加算し、前記ペナルティポイントが閾値を超過していない場合に、
他ASへの経路配信を行わず、当該経路のトラヒック動向を監視すると判定する判定ステップと、
前記(2)に分類された場合で、OriginASの隣接ASに対してペナルティポイントを加算し、前記ペナルティポイントが閾値を超過している場合と、
前記(4)に分類された場合で、OriginASの隣接ASに対してペナルティポイントを加算し、前記ペナルティポイントが閾値を超過している場合と、
前記(5)に分類された場合に、
他ASへの経路配信を行わず、当該経路のトラヒックも破棄すると判定するステップと、
を有することを特徴とする不正経路監視方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005235299A JP4413833B2 (ja) | 2005-08-15 | 2005-08-15 | 不正経路監視システムおよび方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005235299A JP4413833B2 (ja) | 2005-08-15 | 2005-08-15 | 不正経路監視システムおよび方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007053430A JP2007053430A (ja) | 2007-03-01 |
JP4413833B2 true JP4413833B2 (ja) | 2010-02-10 |
Family
ID=37917601
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005235299A Expired - Fee Related JP4413833B2 (ja) | 2005-08-15 | 2005-08-15 | 不正経路監視システムおよび方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4413833B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016195261A1 (ko) * | 2015-06-01 | 2016-12-08 | 주식회사 케이티 | 불법 트래픽 검출 장치 및 그 방법 |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4523612B2 (ja) * | 2007-03-07 | 2010-08-11 | 日本電信電話株式会社 | 経路情報・mib情報をもとにしたトラフィック監視方法 |
JP4542580B2 (ja) * | 2007-11-06 | 2010-09-15 | 日本電信電話株式会社 | 経路ハイジャック検出方法、経路監視装置、経路ハイジャック検出システムおよび経路ハイジャック検出プログラム |
JP5057077B2 (ja) * | 2008-03-05 | 2012-10-24 | Necインフロンティア株式会社 | ルータ装置、通信システム及びそれらに用いる不正経路確認方法 |
JP2010178310A (ja) * | 2009-02-02 | 2010-08-12 | Kddi Corp | 経路制御システムおよび経路制御装置 |
JP4638948B2 (ja) * | 2009-02-27 | 2011-02-23 | 日本電信電話株式会社 | 経路監視装置、経路監視プログラムおよび経路ハイジャック検出システム並びに経路ハイジャック検出方法 |
JP2011087302A (ja) * | 2009-10-19 | 2011-04-28 | Ip Infusion Inc | Bgp経路監視装置、bgp経路監視方法、およびプログラム |
JP5317294B2 (ja) * | 2010-02-26 | 2013-10-16 | Kddi株式会社 | Bgp不正メッセージ検出方法および装置 |
US8743716B2 (en) * | 2011-02-04 | 2014-06-03 | General Electric Company | Systems, methods, and apparatus for identifying invalid nodes within a mesh network |
JP5587256B2 (ja) * | 2011-06-29 | 2014-09-10 | 日本電信電話株式会社 | 経路監視装置、経路監視方法及び経路監視プログラム |
US10148690B2 (en) * | 2015-12-21 | 2018-12-04 | Symantec Corporation | Accurate real-time identification of malicious BGP hijacks |
CN108886521B (zh) | 2016-02-22 | 2021-09-10 | 动态网络服务股份有限公司 | 用于找到全球路由劫持的方法和设备 |
CN111147380B (zh) | 2018-11-02 | 2021-11-30 | 华为技术有限公司 | 一种路由处理的方法和网络设备 |
-
2005
- 2005-08-15 JP JP2005235299A patent/JP4413833B2/ja not_active Expired - Fee Related
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016195261A1 (ko) * | 2015-06-01 | 2016-12-08 | 주식회사 케이티 | 불법 트래픽 검출 장치 및 그 방법 |
Also Published As
Publication number | Publication date |
---|---|
JP2007053430A (ja) | 2007-03-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4413833B2 (ja) | 不正経路監視システムおよび方法 | |
US10084825B1 (en) | Reducing redundant operations performed by members of a cooperative security fabric | |
Lad et al. | PHAS: A Prefix Hijack Alert System. | |
US7870611B2 (en) | System method and apparatus for service attack detection on a network | |
Karlin et al. | Pretty good BGP: Improving BGP by cautiously adopting routes | |
US20070153763A1 (en) | Route change monitor for communication networks | |
CN101164286A (zh) | 包括网络装置的电子消息传输系统 | |
Pletinckx et al. | Malware coordination using the blockchain: An analysis of the cerber ransomware | |
JPWO2007116605A1 (ja) | 通信端末装置、ルール配布装置およびプログラム | |
WO2012164336A1 (en) | Distribution and processing of cyber threat intelligence data in a communications network | |
JP2002016600A (ja) | 新たに規定されたカスタマーネットワークルートの通知を検証する方法 | |
Khare et al. | Concurrent prefix hijacks: Occurrence and impacts | |
US20070143841A1 (en) | Defense device, defense method, defense program, and network-attack defense system | |
JPWO2006040910A1 (ja) | 中継装置、中継方法、中継プログラム並びにネットワーク攻撃防御システム | |
Nicholes et al. | A survey of security techniques for the border gateway protocol (BGP) | |
WO2018235085A1 (en) | METHOD OF CERTIFYING ADDRESS PROPERTIES AND ASSOCIATED SYSTEM | |
JP2011035535A (ja) | 通信遮断装置、サーバ装置、方法およびプログラム | |
Theodoridis et al. | A novel unsupervised method for securing BGP against routing hijacks | |
JP6709909B2 (ja) | 検知システム、ウェブアプリケーション装置、ウェブアプリケーションファイアウォール装置、検知システムにおける検知方法、ウェブアプリケーション装置の検知方法及びウェブアプリケーションファイアウォール装置の検知方法 | |
Karlin et al. | Pretty Good BGP: Protecting BGP by cautiously selecting routes | |
Sentana et al. | BlockJack: Towards improved prevention of IP prefix hijacking attacks in inter-domain routing via blockchain | |
Wübbeling et al. | Inter-AS routing anomalies: Improved detection and classification | |
JP2008141352A (ja) | ネットワークセキュリティシステム | |
JP4983287B2 (ja) | ルール検証装置およびルール検証方法 | |
WO2006040895A1 (ja) | 中継装置、中継方法および中継プログラム並びにネットワーク攻撃防御システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070813 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090716 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090728 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090924 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20091117 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20091118 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121127 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121127 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131127 Year of fee payment: 4 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |