JP4542580B2 - 経路ハイジャック検出方法、経路監視装置、経路ハイジャック検出システムおよび経路ハイジャック検出プログラム - Google Patents

経路ハイジャック検出方法、経路監視装置、経路ハイジャック検出システムおよび経路ハイジャック検出プログラム Download PDF

Info

Publication number
JP4542580B2
JP4542580B2 JP2007288384A JP2007288384A JP4542580B2 JP 4542580 B2 JP4542580 B2 JP 4542580B2 JP 2007288384 A JP2007288384 A JP 2007288384A JP 2007288384 A JP2007288384 A JP 2007288384A JP 4542580 B2 JP4542580 B2 JP 4542580B2
Authority
JP
Japan
Prior art keywords
route
hijack
monitoring device
suspected
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007288384A
Other languages
English (en)
Other versions
JP2009118138A (ja
Inventor
光穂 田原
利充 大島
敏雄 老松
宗平 馬島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2007288384A priority Critical patent/JP4542580B2/ja
Publication of JP2009118138A publication Critical patent/JP2009118138A/ja
Application granted granted Critical
Publication of JP4542580B2 publication Critical patent/JP4542580B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、経路ハイジャック検出技術に関する。
インターネットは、ISP(商用プロバイダ、Internet Service Provider)や企業や大学等の異なる組織によって運営される1万以上のAS(自律システム、Autonomous System)が有機的に接続されたものである。このAS間は、専用線、あるいはIX(Internet eXchange)によって接続される。
ASの経路制御装置(ルータ)は、BGP(Border Gateway Protocol)により、互いの経路情報を交換し、この交換した経路情報をもとに、所定のネットワーク宛にデータを転送するときの経路を決定する。この経路情報は、プレフィックスとパス属性とを含んで構成される。このプレフィックスとは経路とも言い、ネットワークアドレスとそのネットワークアドレスのネットマスク長(以下、経路長ともいう)により、宛先となるIP(Internet Protocol)アドレス空間を示した情報である。また、パス属性は経路情報に付加される当該経路の属性情報であり、例えば、ASパス(ASパス属性)やネクストホップ(ネクストホップ属性)等がある。このASパスは、宛先のASへ到達するまでに経由するASのAS番号のリストであり、ネクストホップは、その宛先となるIPアドレス空間(プレフィックス)へパケットを送信するときの次のルータ(ノード)のIPアドレスを示した情報である。
BGPはパスベクトル型のルーティングプロトコルであり、あるASが広告した経路情報は、各ASをホップバイホップで伝播し、インターネット中に拡散する。例えば、この経路情報の伝播の過程で、各ASのルータは自ASのAS番号をASパス属性に追加していく。このようにして経路情報に追加されたAS番号により、各ルータは、当該プレフィックスを持つパケットをどのASを経由して、どのASへ到達させればよいかを知ることができる。
しかし、オペレータの設定ミスや悪意のある設定によって誤った経路情報が広告され、その誤った経路情報がインターネット全体に伝播してしまうことがある。この誤った経路情報の広告の具体的な例としては、経路ハイジャックがある。この経路ハイジャックとは、本来、そのネットワークアドレスを割り当てられていないASが、自身のASからそのネットワークアドレスまたはその一部の経路情報を広告することである。この経路ハイジャックが発生し、誤った経路情報がインターネット全体に伝播すると、そのネットワークアドレスヘのパケットは、その誤った経路情報を広告したASへ転送される。そのため、そのネットワークアドレスが正当に割り当てられたASへの通信に障害が発生する。
この経路ハイジャックについて、図面を参照しながら詳細に説明する。図6は、経路ハイジャックを概念的に説明した図である。
ここでは、ネットワークがAS−A(AS番号「65010」)、AS−B(AS番号「65020」)、AS−C(AS番号「65030」)、AS−D(AS番号「65040」)およびAS−E(AS番号「65050」)を含んで構成される場合を例に説明する。各ASはそれぞれ、お互いの経路情報を交換し、経路表を作成する。例えば、AS−E(AS番号「65050」)のルータ(図示省略)が、「10.0.0.0/16」の経路情報を各AS(AS−A、AS−B、AS−C、AS−D)のルータに広告すると、AS−A、AS−B、AS−C、AS−Dのルータはそれぞれ経路表1001(1001A,1001B,1001C,1001D)を作成する。つまり、経路表1001(1001A〜1001D)には、符号1002(1002A,1002B,1002C,1002D)に示す元の広告経路が追加される。
各ASのルータは、このようにして作成した経路表1001に基づきパケットの転送を行う。例えば、経路表1001Aの符号1002Aに示す経路情報に基づき、「10.0.0.0/16」宛のパケットは、AS番号「65020」のAS(AS−B)→AS番号「65050」のAS(AS−E)という経路で転送される。つまり、まず、AS−Aのルータは、経路表1001Aの符号1002Aに示す経路情報に基づき、「10.0.0.0/16」宛のパケットをAS−Bのルータへ転送する。次に、このパケットを受信したAS−Bのルータは、経路表1001Bの符号1002Bに示す経路情報に基づき、AS番号「65050」のAS(AS−E)へ転送する。
ここで、(1)AS−Dのルータが、AS−Eのプレフィックスの一部(「10.0.0.0/24」)の経路情報を広告すると、AS−A、AS−B、AS−Cのルータの経路表1001(1001A,1001B,1001C)には、プレフィックス「10.0.0.0/24」の経路情報の広告元はAS番号「65040」であるという情報が書き込まれる(符号1003A,1003B,1003Cに示すハイジャック経路参照)。
(2)これにより、本来、AS−E(AS番号「65050」)へ転送されるべき「10.0.0.0/16」宛のパケットがAS−D(AS番号「65040」)へ吸い込まれてしまい、AS−Eにパケットが届かないことになる。つまり、AS−Bのルータは元の広告経路1002Bの経路情報ではなく、ハイジャック経路1003Bの経路情報の方を参照してパケットの転送先を決定するので、パケットがAS−D(AS番号「65040」)へ吸い込まれてしまう。
なお、各ASのルータがパケットを転送する場合において、符号1002Bに示す元の広告経路(「10.0.0.0/16」)ではなく、符号1003Bに示すハイジャック経路(「10.0.0.0/24」)を選択するのは、経路表1001に宛先アドレスを包含する経路情報が複数あるとき、ルータはよりネットマスク長の長い経路情報を選択する最長一致規則を用いるからである。
従来、このような経路ハイジャックを検出する技術として、各ASに分散配置された経路監視装置それぞれが、IRRデータベース(Internet Routing Registry database)のデータと経路情報とを照合し、経路ハイジャックを検出する技術がある(特許文献1参照)。このIRRデータベースとは、インターネット上の経路情報(IPアドレス空間)とその経路に割り当てられた正当なAS番号と示したデータベースである。この技術を、図7を用いて説明する。
図7は、本発明の比較例となる技術を説明した図である。図7に示すように各ASには各AS間で交換される経路情報を監視する経路監視装置が設置される。ここで、例えば、(0)AS−Eの経路監視装置が「10.0.0.0/16」の監視を他の経路監視装置(AS−A、AS−B、AS−C、AS−Dの経路監視装置)へ依頼すると、(1)各経路監視装置は、この「10.0.0.0/16」の監視を開始する。(2)ここで、「10.0.0.0/24」の経路情報を他のASから受信すると、(3)この経路情報における、経路とその経路情報の広告元(origin)のAS番号を、IRRデータベースのデータと照合し、この経路「10.0.0.0/24」がハイジャックされたか否か判定する。(4)そして、経路監視装置は、この判定結果を監視の依頼元であるAS−E(AS−Eの経路監視装置)へ通知する。(5)この後、この判定結果が経路ハイジャックの場合、警報をオペレータに通知する。例えば、AS−Eの経路監視装置において「10.0.0.0/24」がハイジャックされた旨の通知を受信した場合、AS−Eの経路を管理するオペレータへ経路ハイジャック発生の警報が通知される。
特開2006−25088号公報
しかし、このようにIRRデータベースを参照した経路ハイジャックの検出は、IRRデータベースのデータに漏れなくデータが登録されていることを前提としている。このため、IRRデータベースのデータに登録漏れがあると以下のような問題が発生することがある。この問題を、図8を用いて説明する。図8は、図7の技術における問題点を説明した図である。図7と同様の構成要素は同じ符号を付して、説明を省略する。ここでも、各経路監視装置における監視対象経路は「10.0.0.0/16」である場合を例に説明する。
(0)例えば、まず、AS−Eは、顧客ネットワークに「10.0.0.0/24」を割り振る。つまり、AS−Eは、正当に所有するIPアドレス「10.0.0.0/16」の一部である「10.0.0.0/24」を顧客ネットワークに割り振る。そして、AS−Eは、この顧客ネットワークとStatic経路で経路接続する。(1)この後、顧客ネットワークが、冗長性確保のためAS−Dと接続し、AS−DとStatic経路で経路接続する。(2)そして、AS−Dは、顧客ネットワークが正当に保有する「10.0.0.0/24」をAS−Dから広告する。(3)その後、各ASの経路監視装置において、このAS−Dから広告された「10.0.0.0/24」の経路情報を受信すると、この経路は監視対象経路「10.0.0.0/16」に含まれるので、(4)IRRデータベースと照合する。(5)ここで、IRRデータベースにおいて、route「10.0.0.0/24」に対しorigin「AS番号65040(AS−D)」というデータがないと、各経路監視装置は経路ハイジャックが発生したと判定し、この判定結果をAS−Eへ通知する。つまり、IRRデータベースにデータの登録漏れがあると、経路ハイジャックされていないにもかかわらず、その旨の通知がAS−Eに行われるおそれがある。
そこで、本発明は、前記した課題を解決し、IRRデータベースに依存せずに経路ハイジャックの検出を可能とすることを目的とする。
前記した課題を解決するため請求項1に記載の発明は、各AS(Autonomous System)においてBGP(Border Gateway Protocol)により交換される経路情報を複数の経路監視装置により監視し、ハイジャック経路を検出する経路ハイジャック検出システムにおける前記経路監視装置が、前記ハイジャック経路である可能性のある被疑ハイジャック経路のIPアドレス空間を示した被疑ハイジャック検出情報を受信したとき、他の前記経路監視装置それぞれへ、前記被疑ハイジャック検出情報に示されるIPアドレス空間へのPING試験の実行を依頼するステップと、自身の経路監視装置において前記被疑ハイジャックの経路情報に示されるIPアドレス空間のIPアドレスそれぞれに対しPING試験を実行するステップと、他の前記経路監視装置それぞれから、前記PING試験の結果を受信するステップと、前記自身の経路監視装置で実行したPING試験の結果および前記受信したPING試験の結果を記憶部に記録するステップと、前記記録したPING試験の結果のうち、前記被疑ハイジャック検出情報を送信した経路監視装置における前記PING試験結果と、前記被疑ハイジャック検出情報を送信しなかった前記経路監視装置における前記PING試験結果との類似度を計算するステップと、前記計算した類似度が所定の閾値a以下であるとき、前記被疑ハイジャック検出情報に示されるIPアドレス空間に経路ハイジャックが発生した可能性が高いと判定するステップと、入出力部経由で、前記判定結果を出力するステップとを実行することを特徴とする経路ハイジャック検出方法とした。
請求項6に記載の発明は、各AS(Autonomous System)においてBGP(Border Gateway Protocol)により交換される経路情報を複数の経路監視装置により監視し、経路ハイジャックを検出する経路ハイジャック検出システムにおける前記経路監視装置であって、各種データの入出力を司る入出力部と、前記ハイジャック経路である可能性のある被疑ハイジャック経路のIPアドレス空間を示した被疑ハイジャック検出情報を受信する被疑ハイジャック情報受信部と、他の前記経路監視装置それぞれへ、前記被疑ハイジャック検出情報に示されるIPアドレス空間へのPING試験の実行を依頼する試験依頼部と、前記被疑ハイジャック検出情報に示されるIPアドレス空間へのPING試験を実行し、このPING試験の結果を記憶部に記録する試験実行部と、前記他の経路監視装置それぞれから、前記PING試験の結果を受信し、このPING試験の結果を前記記憶部に記録する試験結果受信部と、前記記録したPING試験の結果のうち、前記被疑ハイジャック検出情報を送信した経路監視装置における前記PING試験結果と、前記被疑ハイジャック検出情報を送信しなかった前記経路監視装置における前記PING試験の結果との類似度を計算し、前記計算した類似度が所定の閾値以下であるとき、前記被疑ハイジャック検出情報に示されるIPアドレス空間に経路ハイジャックが発生した可能性が高いと判定するハイジャック判定部と、前記判定結果を出力する判定結果通知部とを備えることを特徴とする。
請求項8に記載の発明は、請求項7に記載の経路監視装置を複数含んで構成されることを特徴とする経路ハイジャック検出システムとした。
このようにすることで、被疑ハイジャック経路が検出されたとき、経路監視装置は、各ASの経路監視装置へこの被疑ハイジャック経路へのPING試験を依頼する。そして、被疑ハイジャック経路が検出された経路監視装置におけるPING試験の結果と、それ以外の(つまり、被疑ハイジャック経路が検出されなかった)経路監視装置におけるPING試験の結果とが類似しないものであれば、それぞれのPING試験により到達したIPアドレス空間は、別のIPアドレス空間である可能性が高いので、被疑ハイジャック経路において実際に経路ハイジャックが発生した可能性が高いと判断できる。つまり、経路監視装置は、IRRデータベースに依存せずに経路ハイジャックを検出することができる。
請求項2に記載の発明は、請求項1に記載の経路ハイジャック検出方法において、前記経路監視装置が、前記被疑ハイジャック検出情報を送信した経路監視装置における前記PING試験結果と、前記被疑ハイジャック検出情報を送信しなかった前記経路監視装置における前記PING試験結果とをそれぞれベクトルで記述し、前記被疑ハイジャック検出情報を送信した経路監視装置における前記PING試験結果のベクトルを加算し、前記被疑ハイジャック検出情報を送信しなかった前記経路監視装置における前記PING試験結果のベクトルを加算し、前記加算したベクトル同士のなす角度θを計算するステップと、前記計算した角度θの絶対値が所定の閾値bよりも大きいとき、前記被疑ハイジャック検出情報に示されるIPアドレス空間に経路ハイジャックが発生した可能性が高いと判定するステップとを実行することを特徴とする。
このようにすることで、経路監視装置は、被疑ハイジャック経路が検出された経路監視装置におけるPING試験の結果と、それ以外の経路監視装置におけるPING試験の結果との類似の度合をベクトルのなす角度θで計算できる。ここで、被疑ハイジャック経路が検出された経路監視装置におけるPING試験の結果と、被疑ハイジャック経路が検出されなかった経路監視装置におけるPING試験の結果とが類似していないほど、角度θの絶対値は大きくなり、類似しているほど、角度θの絶対値は小さくなる。つまり、角度θの絶対値は大きくなるほど、それぞれのPING試験により到達したIPアドレス空間は異なるIPアドレス空間である可能性が高いので、経路監視装置は経路ハイジャックが発生した可能性が高いと判断できる。なお、経路監視装置におけるPING試験の結果のベクトルXは、例えば、被疑ハイジャック経路のIPアドレス空間が256個(つまり「/24」)であった場合、それぞれのPING試験結果を、OKであれば「1」、NGであれば「−1」として、ベクトルX=[x0,x1,x2,…,x255]というように記述したものである。
請求項3に記載の発明は、請求項2に記載の経路ハイジャック検出方法において、前記経路監視装置が、前記被疑ハイジャック検出情報を送信した経路監視装置における前記PING試験結果のベクトルの平均値を計算し、前記被疑ハイジャック検出情報を送信しなかった経路監視装置における前記PING試験結果のベクトルの平均値を計算し、前記平均値を計算したベクトルそれぞれの始点を一致させたときの終点間の距離を計算するステップと、前記計算した距離が所定の閾値cよりも大きいとき、前記被疑ハイジャックの経路情報に示されるIPアドレス空間に経路ハイジャックが発生した可能性が高いと判定するステップとを実行することを特徴とする。
このようにすることで、被疑ハイジャック経路が検出された経路監視装置におけるPING試験の結果と、被疑ハイジャック経路が検出されなかった経路監視装置におけるPING試験の結果との類似度をベクトル間の距離で計算できる。
請求項4に記載の発明は、請求項に記載の経路ハイジャック検出方法において、前記経路監視装置が、前記計算した類似度が前記所定の閾値aを超えるとき、前記計算した角度θの絶対値が前記所定の閾値b以下であるとき、または、前記計算した距離が所定の閾値c以下であるとき、前記被疑ハイジャック検出情報に示されるIPアドレス空間に経路ハイジャックが発生した可能性は低いと判定するステップを実行することを特徴とする。
このようにすることで、被疑ハイジャック経路が検出された経路監視装置におけるPING試験の結果と、被疑ハイジャック経路が検出されなかった経路監視装置におけるPING試験の結果とが類似しているとき、それぞれのPING試験により到達したIPアドレス空間は、同じIPアドレス空間である可能性が高いので、経路監視装置は経路ハイジャックが発生した可能性は低いと判断できる。これにより、経路監視装置は、経路ハイジャックの誤検出を防止できる。
請求項5に記載の発明は、請求項1ないし請求項3のいずれか1項に記載の経路ハイジャック検出方法において、前記経路監視装置の記憶部は、当該経路監視装置における監視対象経路のIPアドレス空間、そのIPアドレス空間に割り当てられた正当なAS番号およびそのIPアドレス空間の監視結果の送信先の経路監視装置の識別情報を示した監視対象経路情報と、自身のASの経路制御装置の保持する経路情報とを記憶し、前記経路監視装置は、前記記憶部の経路情報に示されるIPアドレス空間のうち、前記監視対象経路情報に示されるIPアドレス空間に含まれる経路情報について、その経路情報に示されるIPアドレス空間のAS番号が、前記監視対象経路のAS番号と異なる被疑ハイジャック経路の経路情報があるか否かを監視し、前記監視対象経路のAS番号と異なる被疑ハイジャック経路の経路情報があると判断したとき、前記被疑ハイジャック経路のIPアドレス空間を示した前記被疑ハイジャック検出情報を、前記IPアドレス空間の監視結果の送信先の経路監視装置へ送信するステップと、他の前記経路監視装置からPING試験の対象となるIPアドレス空間を示したPING試験の依頼を受信したとき、前記IPアドレス空間のIPアドレスそれぞれに対しPING試験を実行するステップと、前記実行したPING試験の結果を前記PING試験の依頼元の経路監視装置へ送信するステップとを実行することを特徴とする。
請求項7に記載の発明は、請求項6に記載の経路監視装置において、前記記憶部は、当該経路監視装置における監視対象経路のIPアドレス空間、そのIPアドレス空間に割り当てられた正当なAS番号およびそのIPアドレス空間の監視結果の送信先の経路監視装置の識別情報を示した監視対象経路情報と、自身のASの経路制御装置の保持する経路情報とを記憶し、前記試験実行部は、他の前記経路監視装置からPING試験の対象となるIPアドレス空間を示したPING試験の依頼を受信したとき、前記IPアドレス空間のIPアドレスそれぞれに対しPING試験を実行し、前記経路監視装置は、前記経路情報のうち、前記監視対象経路情報に示されるIPアドレス空間に含まれる経路情報について、その経路情報に示されるIPアドレス空間のAS番号が、前記監視対象経路のAS番号と異なる被疑ハイジャック経路の経路情報があるか否かを監視し、前記監視対象経路のAS番号と異なる経路情報があると判断したとき、前記被疑ハイジャック経路のIPアドレス空間を示した前記被疑ハイジャック検出情報を、前記IPアドレス空間の監視結果の送信先の経路監視装置へ送信する経路監視部と、前記実行したPING試験の結果を、前記PING試験の依頼元の経路監視装置へ送信する試験結果送信部とを備えることを特徴とする。
このようにすることで、各経路監視装置は、被疑ハイジャック経路を検出した経路監視装置から、この被疑ハイジャック経路に対するPING試験の結果を取得できる。
請求項9に記載の発明は、請求項1ないし請求項5のいずれか1項に記載の経路ハイジャック検出方法を、コンピュータである経路監視装置に実行させるための経路ハイジャック検出プログラムとした。
このようなプログラムによれば、一般的なコンピュータに、請求項1ないし請求項5のいずれか1項に記載の経路ハイジャック検出方法を実行させることができる。
本発明によれば、経路監視装置はIRRデータベースに依存せずに経路ハイジャックの検出を行うことができる。
以下、本発明を実施するための最良の形態(以下、実施の形態という)について説明する。
まず、図1および図2を用いて、経路ハイジャック検出システムの動作概要を説明する。図1および図2は、本実施の形態の経路監視装置を含む経路ハイジャック検出システム(以下、システムと略す)を例示した図である。システムは、前記した図8と同様に、AS−A(AS番号「65010」)、AS−B(AS番号「65020」)、AS−C(AS番号「65030」)、AS−D(AS番号「65040」)およびAS−E(AS番号「65050」)を含んで構成される。そして、各ASのルータはそれぞれ、BGPによりお互いの経路情報を交換し、経路表1001(1001A,1001B,1001C,1001D)を作成する。このASの数や経路表1001の数は図1および図2に示す数に限定されない。
例えば、AS−E(AS番号「65050」)が、「10.0.0.0/16」の経路情報を、各AS(AS−A、AS−B、AS−C、AS−D)に広告すると、各ASのルータは経路表1001に符号1002A,1002B,1002C,1002Dに示す経路情報を追加する。
ここでAS−Dにより「10.0.0.0/24」が経路ハイジャックされると以下のようになる。つまり、AS−Dが、本来AS−Eのプレフィックスの一部である「10.0.0.0/24」に関する経路情報を広告し、AS−A、AS−B、AS−Cのルータの経路表1001A,1001B,1001Cに、プレフィックス「10.0.0.0/24」経路情報の広告元はAS番号「65040」のAS(AS−D)であるという情報が書き込まれる(符号1004A,1004B,1004Cに示す経路情報参照)。
なお、以下の説明において、各ASのルータは、自身のAS内の経路に関する経路情報を他のASから受け取らないようフィルタリングを行うものとする。例えば、AS−Eのルータは、他のASから自身のASの経路「10.0.0.0/16」や「10.0.0.0/24」の経路情報の広告を受信しても破棄する。
なお、本システムは、経路監視装置100(100A,100B,100C,100E)を含んで構成される。そして、この経路監視装置100(100A〜100C,100E)はそれぞれ、自身のAS内のルータにおける経路表1001を監視し、被疑ハイジャック経路の経路情報があるか否かを判定する。なお、経路表1001に被疑ハイジャック経路の経路情報があるか否かは以下のようにして判定する。
すなわち、経路監視装置100は予め監視経路情報(監視対象とする経路(IPアドレス空間)と、その経路に割り当てられた正当なAS番号とを示した情報)を設定しておく。そして、自身の経路監視装置100における経路表1001の経路情報のうち、その経路(プレフィックス)が監視対象経路に含まれ、かつ、その監視経路情報においてその経路に割り当てられたAS番号と異なる経路情報を発見したとき、その経路を被疑ハイジャック経路(ハイジャック経路である可能性のある経路)として検出する。なお、ここでは、経路がハイジャックされたおそれのあるAS−Eの経路監視装置100Eが、被疑ハイジャック経路を検出した経路監視装置100A〜100CへPING試験を依頼して、被疑ハイジャック経路が、ハイジャック経路である可能性が高いか否かを判定する場合を例に説明する。
例えば、(0−0)経路監視装置100A〜100Cは、被疑ハイジャック経路「10.0.0.0/24」を検出すると、この経路情報をAS−Eの経路監視装置100Eへ送信する。つまり、経路監視装置100A〜100Cは、経路表1001A〜1001Cを監視し、被疑ハイジャック経路1004A〜1004Cを検出すると、この経路情報(被疑ハイジャック検出情報)を、この経路が属する正当なAS(AS−E)の経路監視装置100Eへ送信する。
(0−1)このような情報を受信した経路監視装置100Eは、この被疑ハイジャック経路へのPING試験を各経路監視装置100(100A〜100C)へ依頼する。つまり、AS−Dの「10.0.0.0/24」へのPING試験を依頼する。また、経路監視装置100Eも被疑ハイジャック経路「10.0.0.0/24」へのPING試験を実行する。つまり、経路監視装置100Eは、AS−Eの「10.0.0.0/24」へのPING試験を実行し、PINGは本来のネットワークに届くことになる。
(1−0)経路監視装置100EからのPING試験の依頼を受けた経路監視装置100(100A〜100C)は、被疑ハイジャック経路「10.0.0.0/24」へPING試験を実行する。これによりPINGはハイジャックを行ったネットワーク(AS−Dの「10.0.0.0/24」)へ届く。
(1−1)この後、経路監視装置100(100A〜100C)は、AS−Eの経路監視装置100EにPING試験結果を送信する。
(1−2)そして、経路監視装置100Eは、各経路監視装置100(100A〜100C)からのPING試験結果を収集(受信)する。
(2−0)次に、経路監視装置100Eは、被疑ハイジャック経路を検出した経路監視装置100(100A〜100C)でのPING試験結果と、被疑ハイジャック経路を未検出の経路監視装置100(100E)のPING試験結果とを比較する。
(2−1)そして、経路監視装置100Eは、この比較結果によりこの被疑ハイジャック経路をハイジャック経路(ハイジャック経路である可能性が高い)と判定した場合、オペレータ等に通知する。例えば、被疑ハイジャック経路を検出した経路監視装置100(100A〜100C)でのPING試験結果と、被疑ハイジャック経路を検出しなかった経路監視装置100(100E)でのPING試験結果との類似度が低ければ、この被疑ハイジャック経路はハイジャック経路である可能性が高いと判定する。一方、被疑ハイジャック経路を検出した経路監視装置100でのPING試験結果と、被疑ハイジャック経路を検出しなかった経路監視装置100でのPING試験結果との類似度が高ければ、被疑ハイジャック経路はハイジャック経路である可能性は低いと判定する。
例えば、図2に示すように、AS−E(AS番号「65050」)からIPアドレス「10.0.0.0/24」を割り当てられた顧客ネットワークが、AS−Eの他に、AS−D(AS番号「65040」)ともStatic経路を確立するようなネットワーク構成の場合、AS−A、AS−B、AS−C、AS−Dの経路表1001には、符号1002A〜1002Dに示すようなAS番号「65050」を広告元とする「10.0.0.0/16」の経路情報と、符号1004A〜1004Cに示すようなAS番号「65040」を広告元とする「10.0.0.0/24」の経路情報とが登録される。これにより、経路監視装置100A〜100Cにおいて被疑ハイジャック経路が検出される。しかし、経路監視装置100Eにおいて、各経路監視装置100からこの被疑ハイジャック経路「10.0.0.0/24」へのPING試験結果はほぼ同じであることを確認できれば、図2のようなネットワーク構成であることが推測できる。従って、経路監視装置100Eは、被疑ハイジャック経路がハイジャック経路である可能性は低いと判定するので、経路ハイジャックの誤報を防止できる。
なお、図1および図2において経路監視装置100の数は各ASに1つずつしか設置していないが、各ASに複数設置するようにしてもよい。
次に、図3を用いて、経路監視装置100を詳細に説明する。図3は、図1の経路監視装置の機能ブロック図である。なお、この経路監視装置100は、経路表1001から被疑ハイジャック経路を検出したり、PING試験を実行したりする機能と、他の経路監視装置100から被疑ハイジャック経路検出情報を受信したとき、被疑ハイジャック経路がハイジャック経路である可能性が高いか否かの判定する機能とを備える。
このような経路監視装置100は、図3に示すように、経路情報や経路ハイジャック検出情報の各種データの入出力を司る入出力部11と、被疑ハイジャック経路がハイジャック経路か否かの判定等を行う処理部12と、経路表1001や監視対象経路情報131を記憶する記憶部13とを備える。
入出力部11は、AS内のルータ等とのデータ入出力を司る入出力インタフェースから構成される。また、処理部12は、この経路監視装置100が備えるCPU(Central Processing Unit)によるプログラム実行処理や、専用回路等により実現される。さらに、記憶部13は、RAM(Random Access Memory)、ROM(Read Only Memory)、HDD(Hard Disk Drive)、フラッシュメモリ等の記憶媒体から構成される。なお、経路監視装置100をプログラム実行処理により実現する場合、記憶部13には、この経路監視装置100の機能を実現するための経路ハイジャック検出プログラムが記録される。
<入出力部>
入出力部11は、この経路監視装置100に接続されるルータからの経路情報や、他の経路監視装置100からの被疑ハイジャック検出情報(詳細は後記)やPING試験結果を受信する。また、自身の経路監視装置100において被疑ハイジャック経路を検出したときは、被疑ハイジャック検出情報やPING試験結果を送信する。
<処理部>
処理部12は、経路監視装置100全体の制御を司り、主に、被疑ハイジャック経路がハイジャック経路か否かを判定するハイジャック判定処理部120と、自身の経路監視装置100の経路表1001から被疑ハイジャック経路を検出する被疑ハイジャック検出部127とを備える。
ハイジャック判定処理部120は、被疑ハイジャック検出情報受信部121と、試験依頼部122と、試験実行部123と、試験結果受信部124と、ハイジャック判定部125と、判定結果通知部126とを含んで構成される。
この被疑ハイジャック検出情報受信部121は、他の経路監視装置100から被疑ハイジャック検出情報を受信する。この被疑ハイジャック検出情報は、以下の表1に例示するように、被疑ハイジャック経路(被疑ハイジャック経路のIPアドレス空間)、その被疑ハイジャック検出情報の送信元の経路監視装置100の識別情報(IPアドレス等)、その被疑ハイジャック経路の広告元のASのAS番号等を含む。例えば、表1に示す被疑ハイジャック検出情報は、識別情報が「C」である経路監視装置100(100C)において、被疑ハイジャック経路「10.0.0.0/24」を検出し、この被疑ハイジャック経路の広告元のASのAS番号は「65040」であることを示す。なお、この被疑ハイジャック検出情報受信部121は、この被疑ハイジャック検出情報の送信元である経路監視装置100の識別情報を記憶部13のRAM等に記録しておく。
Figure 0004542580
試験依頼部122は、他の経路監視装置100それぞれに、被疑ハイジャック検出情報に示される経路(例えば、「10.0.0.0/24」)へのPING試験の実行を依頼する。
試験実行部123は、自身の経路監視装置100において被疑ハイジャック検出情報に示される経路(例えば、「10.0.0.0/24」)に対するPING試験を実行する。なお、この試験実行部123は、自身の経路監視装置100の試験依頼部122からの依頼によってもPING試験を実行するし、他の経路監視装置100の試験依頼部122からの依頼によってもPING試験を実行する。このときのPING試験結果は記憶部13のRAM等に記録しておく。
試験結果受信部124は、他の経路監視装置100それぞれから被疑ハイジャック経路(例えば、「10.0.0.0/24」)のPING試験結果を受信する。このとき受信したPING試験結果は、そのPING試験結果の送信元の経路監視装置100の識別情報とともに記憶部13のRAM等に記録しておく。
ハイジャック判定部125は、被疑ハイジャック経路を検出した経路監視装置100からのPING試験結果と、被疑ハイジャック経路を検出しなかった経路監視装置100からのPING試験結果との比較により、被疑ハイジャック経路がハイジャック経路である可能性が高いか否かを判定する。
例えば、ハイジャック判定部125は、被疑ハイジャック経路を検出した経路監視装置100からのPING試験の結果と、被疑ハイジャック経路を検出しなかった経路監視装置100からのPING試験の結果との類似度を計算する。そして、この類似度が所定の閾値a以下のとき、経路監視装置100はそれぞれ別のIPアドレス空間にPING試験を行った可能性が高いので被疑ハイジャック経路をハイジャック経路である可能性が高いと判定する。一方、類似度が所定の閾値aを超えるとき、経路監視装置100はそれぞれ同じIPアドレス空間にPING試験を行った可能性が高いので被疑ハイジャック経路がハイジャック経路である可能性は低いと判定する。このときの判定処理の詳細はフローチャートを用いて後記する。
なお、このハイジャック判定部125において、記憶部13のRAM上に記録されたPING試験結果のうち、どのPING試験結果が被疑ハイジャック経路を検出した経路監視装置100から送信されたものかは、記憶部13のRAM上に記録された被疑ハイジャック検出情報の送信元の経路監視装置100の識別情報を元に判断する。
判定結果通知部126は、ハイジャック判定部125による判定結果を外部に出力する。
次に、被疑ハイジャック検出部127を説明する。被疑ハイジャック検出部127は、経路情報更新部128と、経路監視部129と、試験結果送信部130とを含んで構成される。
経路情報更新部128は、この経路監視装置100に接続されるルータ(図示せず)の経路表の経路情報(図示省略)が更新されると、この更新情報を元に記憶部13の経路表1001を更新する。つまり、経路情報更新部128は、ルータの経路表と同じ経路表1001を記憶部13に作成する。
経路監視部129は、監視対象経路情報131を参照して、経路表1001の経路情報に被疑ハイジャック経路があるか否かを監視する。この監視対象経路情報131は、以下の表2に例示するように、監視対象となるIPアドレス空間(プレフィックス)と、そのIPアドレス空間に割り当てられたASのAS番号、このIPアドレス空間で被疑ハイジャック経路を検出したときの通知先(被疑ハイジャック検出情報の送信先)の経路監視装置100の識別情報等を示した情報である。
Figure 0004542580
そして、経路監視部129は、経路表1001から被疑ハイジャック経路を検出すると、この被疑ハイジャック経路のプレフィックス(IPアドレス空間)を示した被疑ハイジャック検出情報を、監視対象経路情報131に示される被疑ハイジャック検出情報の送信先)の経路監視装置100へ送信する。
例えば、経路監視部129は、表2に例示した監視対象経路情報131に基づき、以下のようにして経路情報を監視する。まず、経路監視部129は、経路表1001の経路情報のうち、表2の監視対象経路情報131に示されるIPアドレス空間(例えば、「10.0.0.0/16」)に含まれるものについて、この監視対象経路情報131に示されるAS番号(例えば、「65050」)とは異なるものがあるか否かを監視する。ここで、経路表1001にプレフィックス「10.0.0.0/24」、AS番号「65040」という経路情報が登録されていたとき、経路監視部129は、この経路情報のプレフィックスは監視対象経路情報131に示されるプレフィックスに含まれるが、この監視対象経路情報131に示されるAS番号と異なるので、この経路を被疑ハイジャック経路として検出する。そして、経路監視部129は、この検出した被疑ハイジャック経路に関する被疑ハイジャック検出情報を、この監視対象経路情報131に示される送信先である識別情報「E」の経路監視装置100(経路監視装置100E)へ送信する。これにより、経路監視装置100Eは、他の経路監視装置100A〜100Cにおいて被疑ハイジャック経路が検出されたことを知ることができる。
試験結果送信部130は、自身の経路監視装置100の試験実行部123において実行したPING試験結果(試験結果)を、このPING試験の依頼元の経路監視装置100へ送信する。
<記憶部>
記憶部13は、経路表1001と監視対象経路情報131とを記憶する。この経路表1001は、図1に示すように、1以上の経路情報を含んで構成され、それぞれの経路情報は、プレフィックスと、そのプレフィックスのASパスとを含む。また、監視対象経路情報131は、前記したとおり監視対象となるIPアドレス空間(プレフィックス)と、そのIPアドレス空間に割り当てられたASのAS番号とを示した情報である。この監視対象経路情報131は、入出力部11経由で設定される。
<動作手順>
次に、図1〜図3を参照しつつ、図4を用いて経路監視装置100の動作手順を説明する。図4は、図3の経路監視装置の動作手順を示したフローチャートである。ここでは、経路監視装置100Cにおいて検出された被疑ハイジャック経路に関する被疑ハイジャック検出情報を、経路監視装置100Eが受信する場合を例に説明する。なお、図4において説明を省略しているが、経路監視装置100(100C,100E)は、随時ルータの経路情報を収集し、経路表1001を更新していくものとする。
まず、図1の経路監視装置100Cの経路監視部129(図3参照)は、監視対象経路情報131を参照して、経路表1001Cから被疑ハイジャック経路を検出する(S101)。そして、経路監視部129は、この被疑ハイジャック経路の経路情報を示した被疑ハイジャック検出情報を、経路監視装置100Eへ送信する(S102)。なお、この被疑ハイジャック検出情報の送信先は、監視対象経路情報131を参照して特定する。
経路監視装置100Eの被疑ハイジャック検出情報受信部121は、経路監視装置100Cからの被疑ハイジャック検出情報を受信すると、その被疑ハイジャック検出情報の送信元の経路監視装置100の識別情報を記憶部13に記録しておく。そして、試験依頼部122は、他の各経路監視装置100(100A〜100C)へ、この被疑ハイジャック経路(例えば「10.0.0.0/24」)へのPING試験を依頼する(S103)。
この後、経路監視装置100Eの試験実行部123は、自身のAS(AS−E)内の被疑ハイジャック経路(例えば「10.0.0.0/24」)へのPING試験を実行する(S104)。つまり、試験実行部123は、本来のネットワークへのPING試験を実行する。
また、経路監視装置100EからのPING試験依頼を受信した経路監視装置100Cは、被疑ハイジャック経路(例えば「10.0.0.0/24」)へのPING試験を実行する(S105)。つまり、経路監視装置100Eの試験実行部123は、AS−Dの被疑ハイジャック経路(例えば「10.0.0.0/24」)へのPING試験を実行する。
そして、PING試験を実行した経路監視装置100Cの試験結果送信部130は、PING試験結果を経路監視装置100Eへ送信する(S106)。なお、ここでは説明を省略しているが、経路監視装置100EからのPING試験依頼を受信した経路監視装置100A,100Bも、被疑ハイジャック経路(例えば「10.0.0.0/24」)へのPING試験を実行し、そのPING試験結果を経路監視装置100Eへ送信する。
経路監視装置100Eの試験結果受信部124は、各経路監視装置100からのPING試験結果を受信すると、このPING試験結果を記憶部13に記録する。なお、経路監視装置100A,100BからのPING試験結果を受信すると、このPING試験結果も記憶部13に記録する。そして、経路監視装置100Eのハイジャック判定部125は、記憶部13に記憶されたPING試験結果のうち、被疑ハイジャック経路を検出した経路監視装置100からのPING試験結果と、被疑ハイジャック経路を検出しなかった経路監視装置100からのPING試験結果との類似度を計算してハイジャック判定処理を行う(S107)。このハイジャック判定処理の詳細は後記する。
そして、経路監視装置100Eの判定結果通知部126は、S107における判定結果をオペレータ等に通知する(S108)。例えば、この判定結果通知部126は、被疑ハイジャック経路「10.0.0.0/24」がAS−Dにより経路ハイジャックされた可能性が高いことを電子メール等でオペレータの端末装置へ通知する。
このようにすることで、本システムは、IRRデータベースのデータに依存せずに、ハイジャック経路である可能性の高い経路を検出することができる。
次に、図1〜図3を参照しつつ、図5を用いて、図4のハイジャック判定処理を説明する。図5は、図4のハイジャック判定処理を例示したフローチャートである。ここでは、PING試験結果の類似度を、ベクトルを用いて示す。つまり、被疑ハイジャック経路を検出した経路監視装置100(100A〜100C)でのPING試験結果と、被疑ハイジャック経路を未検出の経路監視装置100(100E)のPING試験結果の類似度を、それぞれのPING試験結果をベクトルで記述し、このベクトル同士のなす角度θとして計算する。そして、ハイジャック判定部125は、この角度θの絶対値により、被疑ハイジャック経路がハイジャック経路である可能性が高いか否かを判定する。ここで取り扱うPING試験結果は、経路「10.0.0.0/24」へのPING試験結果である場合を例に説明する。
まず、経路監視装置100(100E)のハイジャック判定部125は、記憶部13のRAM等に記録された各経路監視装置100(100A〜100C,100E)でのPING試験結果を、OKであれば「1」、NGであれば「−1」に置き換えて、ベクトルXとして記述する。例えば、「10.0.0.0」のPING試験結果をx0、「10.0.0.1」のPING試験結果をx1というように、「10.0.0.0/24」の256個のIPアドレスそれぞれに対するPING試験結果の並びをベクトルX=[x0,x1,x2,…,x255]として記述する。
そして、ハイジャック判定部125は、被疑ハイジャック経路を検出した経路監視装置100(100A〜100C)でのPING試験結果のベクトルXを加算し、Xdetectを求める(S201)。例えば、ハイジャック判定部125は、被疑ハイジャック経路を検出したAS−A(AS番号「65010」)の経路監視装置100AのPING試験結果(Xas65010=[1,−1,…,−1])と、AS−B(AS番号「65020」)の経路監視装置100BのPING試験結果(Xas65020=[−1,−1,…,−1])と、AS−C(AS番号「65030」)の経路監視装置100CのPING試験結果(Xas65030=[1,−1,…,−1])とを加算する。そして被疑ハイジャック経路を検出した経路監視装置100のPING試験結果を示すベクトルXdetect=Xas65010+Xas65020+Xas65030=[1,−3,…,−3]を求める。
次に、ハイジャック判定部125は、記憶部13のRAM等に記録されたPING試験結果のうち、被疑ハイジャック経路を検出しなかった経路監視装置100(100E)でのPING試験結果のベクトルを加算して、Xnondetectを求める(S202)。例えば、自身の経路監視装置100(100E)以外、被疑ハイジャック経路を検出しなかったときは、経路監視装置100(100E)は、自身の経路監視装置100(100E)におけるPING試験結果をそのままベクトルXnondetectとする。
そして、ハイジャック判定部125は、以下の式(1)により、ベクトルXdetectと、ベクトルXnondetectとのなす角度をθとしたときのcosθを求める(S203)。なお、−π/2<θ<π/2または−90°<θ<90°とする。
cosθ=(Xdetect・Xnondetect)/(|Xdetect|×|Xnondetect|)…式(1)
そして、ハイジャック判定部125は、このθの絶対値|θ|を求め、この|θ|が閾値(閾値b)を超えるか否かを判定する(S204)。ここで、|θ|が閾値(閾値b)を超えるとき(S204のYes)、被疑ハイジャック経路「10.0.0.0/24」はハイジャック経路である可能性が高いと判定する(S205)。
つまり、経路監視装置100A〜100CのPING試験結果のベクトルXと、経路監視装置100EのPING試験結果のベクトルXとのなす角度θが大きいということは、類似度が小さいということである。よって、経路監視装置100A〜100CがPING試験を行った経路と、経路監視装置100EがPING試験を行った経路とが実際には異なるものである可能性が高いと推測できる。従って、経路監視装置100Eは、経路監視装置100A〜100Cから通知された被疑ハイジャック経路「10.0.0.0/24」に経路ハイジャックが発生した可能性が高いと判定することができる。
一方、|θ|が閾値(閾値b)以下のとき(S204のNo)、ハイジャック判定部125は、被疑ハイジャック経路「10.0.0.0/24」はハイジャック経路である可能性が低いと判定する(S206)。
つまり、ベクトルXdetectと、ベクトルXnondetectとのなす角度θが小さいということは、経路監視装置100A〜100CがPING試験を行った経路と、経路監視装置100EがPING試験を行った経路とが同じである可能性が高いと考えられる。従って、経路監視装置100Eは、経路監視装置100A〜100Cから通知された被疑ハイジャック経路「10.0.0.0/24」において経路ハイジャックが発生している可能性は低いと考えられる。例えば、図2に示したように、AS−E(AS番号「65050」)からIPアドレス「10.0.0.0/24」を割り当てられた顧客ネットワークにおいて、AS−D(AS番号「65040」)ともStatic経路を確立したため、同じ経路で異なるAS番号を広告元とする経路情報が広告されたに過ぎないと考えられるので、経路監視装置100Eは経路ハイジャックが発生している可能性は低いと判定できる。
なお、本実施の形態において、被疑ハイジャック経路を検出した経路監視装置100(100A〜100C)からのPING試験結果と、被疑ハイジャック経路を検出しなかった経路監視装置100(100E)からのPING試験結果とを比較するとき、ベクトルXdetectと、ベクトルXnondetectとのなす角度θを求めることとしたが、これに限定されない。例えば、経路監視装置100において、被疑ハイジャック経路を検出した経路監視装置100(100A〜100C)からのPING試験結果のベクトルXと、被疑ハイジャック経路を検出した経路監視装置100(100E)のPING試験結果のベクトルXとの類似度を前記した角度θ以外の方法で求め、経路監視装置100は、その類似度が閾値a以下のとき、被疑ハイジャック経路がハイジャック経路である可能性が高いと判定し、その類似度が閾値aを超えるとき、被疑ハイジャック経路はハイジャック経路である可能性が低いと判定してもよい。
また、被疑ハイジャック経路を検出した経路監視装置100(100A〜100C)からのPING試験結果のベクトルXと、被疑ハイジャック経路を検出しなかった経路監視装置100(100E)のPING試験結果のベクトルXとの相関係数を計算する。そして、経路監視装置100は、その相関係数が所定の閾値dよりも小さいとき、被疑ハイジャック経路がハイジャック経路である可能性が高いと判定し、所定の閾値d以上であるとき、被疑ハイジャック経路がハイジャック経路である可能性は低いと判定するようにしてもよい。
さらに、経路監視装置100において、被疑ハイジャック経路を検出した経路監視装置100(100A〜100C)からのPING試験結果のベクトルX(座標位置)の平均値と、被疑ハイジャック経路を検出しなかった経路監視装置100(100E)のPING試験結果のベクトルX(座標位置)の平均値とを計算し、これらベクトルそれぞれの始点を一致させたときの終点間の距離を計算する。そして、経路監視装置100は、この計算した距離が、所定の閾値cよりも大きいとき、被疑ハイジャック経路がハイジャック経路である可能性が高いと判定し、所定の閾値c以下であるとき、被疑ハイジャック経路がハイジャック経路である可能性は低いと判定するようにしてもよい。
その他、被疑ハイジャック経路を検出した経路監視装置100(100A〜100C)からのPING試験結果と、被疑ハイジャック経路を検出しなかった経路監視装置100(100E)のPING試験結果との類似度を判定できる方法であれば、前記した方法に限定されない。
また、前記した実施の形態において、システムはIRRデータベースを含んだ構成とし、IRRデータベースの登録漏れの検出に用いるようにしてもよい。例えば、経路監視装置100において被疑ハイジャック経路を検出するとき、IRRデータベースのデータを参照して検出する。そして、被疑ハイジャック検出情報を受信した経路監視装置100において、前記したPING試験結果の比較により、被疑ハイジャック経路がハイジャック経路である可能性が低いと判定した場合、この被疑ハイジャック経路の経路情報を、IRRデータベースを管理するオペレータの端末装置等へ送信する。このようにすることでIRRデータベースの登録漏れをチェックしやすくなる。
なお、前記した実施の形態において、経路監視装置100は、PING試験結果をベクトルXとして記述するとき、PING試験結果がOKのとき「1」、NGのとき「−1」に置き換えて、記述することにしたが、OKの値と、NGの値をそれぞれ異なる値にすれば、これに限定されない。例えば、経路監視装置100は、PING試験結果がOKのとき「1」、NGのとき「−0.1」に置き換えて、ベクトルXを記述するようにしてもよい。
さらに、前記した実施の形態において、経路監視装置100は、ネットワークの疎通性確認のためICMP(Internet Control Message Protocol)を用いたPING試験を行うこととしたが、これに限定されない。例えば、経路監視装置100は、特定のUDP(User Datagram Protocol)ポートでの通信を確認するためのUDP−PINGや、特定のTCP(Transmission Control Protocol)ポートでの通信を確認するためのTCP−PING等、他のネットワーク疎通性試験を行うようにしてもよい。
また、前記した実施の形態において、経路監視装置100は、被疑ハイジャック経路を検出した経路監視装置100におけるPING試験結果と、被疑ハイジャック経路を検出しなかった経路監視装置100にけるPING試験結果とを取得し、それぞれの類似度を計算することとしたがこれに限定されない。
例えば、各経路監視装置100は、自身の監視対象経路に対し所定期間ごとにPING試験を行い、そのPING試験結果を記憶部13に記録していく。そして、経路監視装置100は、被疑ハイジャック経路(例えば、「10.0.0./24」)を検出すると、記憶部13に記録されたPING試験結果から、この被疑ハイジャック経路へのPING試験結果を読み出す。つまり、被疑ハイジャック経路検出前における被疑ハイジャック経路へのPING試験結果を読み出す。そして、経路監視装置100は、この読み出したPING試験結果と、被疑ハイジャック経路検出後のPING試験結果との類似度を計算する。そして、この被疑ハイジャック検出前のPING試験結果と、被疑ハイジャック検出後のPING試験結果との類似度が所定の値以下であるとき、この経路監視装置100は、当該被疑ハイジャック経路(例えば、「10.0.0./24」)に経路ハイジャックが発生した可能性が高いと判定するようにしてもよい。
また、被疑ハイジャック経路を検出した経路監視装置100それぞれが、この被疑ハイジャック経路検出前のPING試験結果と、被疑ハイジャック経路検出後のPING試験結果とを、ハイジャックされたASの経路監視装置100へ送信し、このPING試験結果を受信した経路監視装置100において、この被疑ハイジャック経路(例えば、「10.0.0./24」)に経路ハイジャックが発生している可能性が高いか否かの判定を行うようにしてもよい。つまり、被疑ハイジャック経路に経路ハイジャックが発生している可能性が高いか否かの判定は、被疑ハイジャック経路を検出した経路監視装置100で行ってもよいし、それ以外の経路監視装置100で行ってもよい。
本実施の形態に係る経路監視装置100は、前記したような処理を実行させる経路ハイジャック検出プログラムによって実現することができ、このプログラムをコンピュータによる読み取り可能な記憶媒体(CD−ROM等)に記憶して提供することが可能である。また、そのプログラムを、インターネット等のネットワークを通して提供することも可能である。
本実施の形態の経路監視装置を含む経路ハイジャック検出システムを例示した図である。 本実施の形態の経路監視装置を含む経路ハイジャック検出システムを例示した図である。 図1の経路監視装置の機能ブロック図である。 図3の経路監視装置の動作手順を示したフローチャートである。 図4のハイジャック判定処理を例示したフローチャートである。 経路ハイジャックを概念的に説明した図である。 本発明の比較例となる技術を説明した図である。 図7の比較例の技術における問題点を説明した図である。
符号の説明
11 入出力部
12 処理部
13 記憶部
100(100A,B,C,E) 経路監視装置
120 ハイジャック判定処理部
121 被疑ハイジャック検出情報受信部
122 試験依頼部
123 試験実行部
124 試験結果受信部
125 ハイジャック判定部
126 判定結果通知部
127 被疑ハイジャック検出部
128 経路情報更新部
129 経路監視部
130 試験結果送信部
131 監視対象経路情報

Claims (9)

  1. 各AS(Autonomous System)においてBGP(Border Gateway Protocol)により交換される経路情報を複数の経路監視装置により監視し、ハイジャック経路を検出する経路ハイジャック検出システムにおける前記経路監視装置が、
    前記ハイジャック経路である可能性のある被疑ハイジャック経路のIPアドレス空間を示した被疑ハイジャック検出情報を受信したとき、
    他の前記経路監視装置それぞれへ、前記被疑ハイジャック検出情報に示されるIPアドレス空間へのPING試験の実行を依頼するステップと、
    自身の経路監視装置において前記被疑ハイジャックの経路情報に示されるIPアドレス空間のIPアドレスそれぞれに対しPING試験を実行するステップと、
    他の前記経路監視装置それぞれから、前記PING試験の結果を受信するステップと、
    前記自身の経路監視装置で実行したPING試験の結果および前記受信したPING試験の結果を記憶部に記録するステップと、
    前記記録したPING試験の結果のうち、前記被疑ハイジャック検出情報を送信した経路監視装置における前記PING試験結果と、前記被疑ハイジャック検出情報を送信しなかった前記経路監視装置における前記PING試験結果との類似度を計算するステップと、
    前記計算した類似度が所定の閾値a以下であるとき、
    前記被疑ハイジャック検出情報に示されるIPアドレス空間に経路ハイジャックが発生した可能性が高いと判定するステップと、
    入出力部経由で、前記判定結果を出力するステップとを実行することを特徴とする経路ハイジャック検出方法。
  2. 前記経路監視装置は、
    前記被疑ハイジャック検出情報を送信した経路監視装置における前記PING試験結果と、前記被疑ハイジャック検出情報を送信しなかった前記経路監視装置における前記PING試験結果とをそれぞれベクトルで記述し、
    前記被疑ハイジャック検出情報を送信した経路監視装置における前記PING試験結果のベクトルを加算し、前記被疑ハイジャック検出情報を送信しなかった前記経路監視装置における前記PING試験結果のベクトルを加算し、前記加算したベクトル同士のなす角度θを計算するステップと、
    前記計算した角度θの絶対値が所定の閾値bよりも大きいとき、
    前記被疑ハイジャック検出情報に示されるIPアドレス空間に経路ハイジャックが発生した可能性が高いと判定するステップとを実行することを特徴とする請求項1に記載の経路ハイジャック検出方法。
  3. 前記経路監視装置は、
    前記被疑ハイジャック検出情報を送信した経路監視装置における前記PING試験結果のベクトルの平均値を計算し、前記被疑ハイジャック検出情報を送信しなかった経路監視装置における前記PING試験結果のベクトルの平均値を計算し、前記平均値を計算したベクトルそれぞれの始点を一致させたときの終点間の距離を計算するステップと、
    前記計算した距離が所定の閾値cよりも大きいとき、
    前記被疑ハイジャックの経路情報に示されるIPアドレス空間に経路ハイジャックが発生した可能性が高いと判定するステップとを実行することを特徴とする請求項2に記載の経路ハイジャック検出方法。
  4. 前記経路監視装置は、
    前記計算した類似度が前記所定の閾値aを超えるとき、前記計算した角度θの絶対値が前記所定の閾値b以下であるとき、または、前記計算した距離が所定の閾値c以下であるとき、
    前記被疑ハイジャック検出情報に示されるIPアドレス空間に経路ハイジャックが発生した可能性は低いと判定するステップを実行することを特徴とする請求項に記載の経路ハイジャック検出方法。
  5. 前記経路監視装置の記憶部は、
    当該経路監視装置における監視対象経路のIPアドレス空間、そのIPアドレス空間に割り当てられた正当なAS番号およびそのIPアドレス空間の監視結果の送信先の経路監視装置の識別情報を示した監視対象経路情報と、自身のASの経路制御装置の保持する経路情報とを記憶し、
    前記経路監視装置は、
    前記記憶部の経路情報に示されるIPアドレス空間のうち、前記監視対象経路情報に示されるIPアドレス空間に含まれる経路情報について、その経路情報に示されるIPアドレス空間のAS番号が、前記監視対象経路のAS番号と異なる被疑ハイジャック経路の経路情報があるか否かを監視し、前記監視対象経路のAS番号と異なる被疑ハイジャック経路の経路情報があると判断したとき、
    前記被疑ハイジャック経路のIPアドレス空間を示した前記被疑ハイジャック検出情報を、前記IPアドレス空間の監視結果の送信先の経路監視装置へ送信するステップと、
    他の前記経路監視装置からPING試験の対象となるIPアドレス空間を示したPING試験の依頼を受信したとき、前記IPアドレス空間のIPアドレスそれぞれに対しPING試験を実行するステップと、
    前記実行したPING試験の結果を前記PING試験の依頼元の経路監視装置へ送信するステップとを実行することを特徴とする請求項1ないし請求項3のいずれか1項に記載の経路ハイジャック検出方法。
  6. 各AS(Autonomous System)においてBGP(Border Gateway Protocol)により交換される経路情報を複数の経路監視装置により監視し、経路ハイジャックを検出する経路ハイジャック検出システムにおける前記経路監視装置であって、
    各種データの入出力を司る入出力部と、
    前記ハイジャック経路である可能性のある被疑ハイジャック経路のIPアドレス空間を示した被疑ハイジャック検出情報を受信する被疑ハイジャック情報受信部と、
    他の前記経路監視装置それぞれへ、前記被疑ハイジャック検出情報に示されるIPアドレス空間へのPING試験の実行を依頼する試験依頼部と、
    前記被疑ハイジャック検出情報に示されるIPアドレス空間へのPING試験を実行し、このPING試験の結果を記憶部に記録する試験実行部と、
    前記他の経路監視装置それぞれから、前記PING試験の結果を受信し、このPING試験の結果を前記記憶部に記録する試験結果受信部と、
    前記記録したPING試験の結果のうち、前記被疑ハイジャック検出情報を送信した経路監視装置における前記PING試験結果と、前記被疑ハイジャック検出情報を送信しなかった前記経路監視装置における前記PING試験結果との類似度を計算し、前記計算した類似度が所定の閾値以下であるとき、前記被疑ハイジャック検出情報に示されるIPアドレス空間に経路ハイジャックが発生した可能性が高いと判定するハイジャック判定部と、
    前記判定結果を出力する判定結果通知部とを備えることを特徴とする経路監視装置。
  7. 前記記憶部は、
    当該経路監視装置における監視対象経路のIPアドレス空間、そのIPアドレス空間に割り当てられた正当なAS番号およびそのIPアドレス空間の監視結果の送信先の経路監視装置の識別情報を示した監視対象経路情報と、自身のASの経路制御装置の保持する経路情報とを記憶し、
    前記試験実行部は、
    他の前記経路監視装置からPING試験の対象となるIPアドレス空間を示したPING試験の依頼を受信したとき、前記IPアドレス空間のIPアドレスそれぞれに対しPING試験を実行し、
    前記経路監視装置は、
    前記経路情報のうち、前記監視対象経路情報に示されるIPアドレス空間に含まれる経路情報について、その経路情報に示されるIPアドレス空間のAS番号が、前記監視対象経路のAS番号と異なる被疑ハイジャック経路の経路情報があるか否かを監視し、前記監視対象経路のAS番号と異なる経路情報があると判断したとき、前記被疑ハイジャック経路のIPアドレス空間を示した前記被疑ハイジャック検出情報を、前記IPアドレス空間の監視結果の送信先の経路監視装置へ送信する経路監視部と、
    前記実行したPING試験の結果を、前記PING試験の依頼元の経路監視装置へ送信する試験結果送信部とを備えることを特徴とする請求項6に記載の経路監視装置。
  8. 請求項7に記載の経路監視装置を複数含んで構成されることを特徴とする経路ハイジャック検出システム。
  9. 請求項1ないし請求項5のいずれか1項に記載の経路ハイジャック検出方法を、コンピュータである経路監視装置に実行させるための経路ハイジャック検出プログラム。
JP2007288384A 2007-11-06 2007-11-06 経路ハイジャック検出方法、経路監視装置、経路ハイジャック検出システムおよび経路ハイジャック検出プログラム Expired - Fee Related JP4542580B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007288384A JP4542580B2 (ja) 2007-11-06 2007-11-06 経路ハイジャック検出方法、経路監視装置、経路ハイジャック検出システムおよび経路ハイジャック検出プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007288384A JP4542580B2 (ja) 2007-11-06 2007-11-06 経路ハイジャック検出方法、経路監視装置、経路ハイジャック検出システムおよび経路ハイジャック検出プログラム

Publications (2)

Publication Number Publication Date
JP2009118138A JP2009118138A (ja) 2009-05-28
JP4542580B2 true JP4542580B2 (ja) 2010-09-15

Family

ID=40784775

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007288384A Expired - Fee Related JP4542580B2 (ja) 2007-11-06 2007-11-06 経路ハイジャック検出方法、経路監視装置、経路ハイジャック検出システムおよび経路ハイジャック検出プログラム

Country Status (1)

Country Link
JP (1) JP4542580B2 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5317350B2 (ja) * 2009-12-24 2013-10-16 Kddi株式会社 Ipネットワークを介した移動端末のハンドオーバ方法、システム、アクセスゲートウェイ及びプログラム
JP5317294B2 (ja) * 2010-02-26 2013-10-16 Kddi株式会社 Bgp不正メッセージ検出方法および装置
JP5587256B2 (ja) * 2011-06-29 2014-09-10 日本電信電話株式会社 経路監視装置、経路監視方法及び経路監視プログラム
CN113328990B (zh) * 2021-04-21 2022-09-09 北京邮电大学 基于多重过滤的网间路由劫持检测方法及电子设备
CN115664848B (zh) * 2022-12-08 2023-03-10 北京华云安信息技术有限公司 路由器配置的劫持检测方法、装置、电子设备及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006025088A (ja) * 2004-07-07 2006-01-26 Nippon Telegr & Teleph Corp <Ntt> 経路検出装置およびその方法、ならびにそのプログラム
JP2007053430A (ja) * 2005-08-15 2007-03-01 Nippon Telegr & Teleph Corp <Ntt> 不正経路監視システムおよび方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006025088A (ja) * 2004-07-07 2006-01-26 Nippon Telegr & Teleph Corp <Ntt> 経路検出装置およびその方法、ならびにそのプログラム
JP2007053430A (ja) * 2005-08-15 2007-03-01 Nippon Telegr & Teleph Corp <Ntt> 不正経路監視システムおよび方法

Also Published As

Publication number Publication date
JP2009118138A (ja) 2009-05-28

Similar Documents

Publication Publication Date Title
US7280486B2 (en) Detection of forwarding problems for external prefixes
US20180109553A1 (en) Mitigating network attacks
CN110620727B (zh) 多环境下的网关自动路由方法及相关设备
US9455995B2 (en) Identifying source of malicious network messages
US20160323165A1 (en) Method of diagnosis of service functions in an ip network
US20090241188A1 (en) Communication monitoring apparatus and communication monitoring method
US11133980B2 (en) Detecting sources of computer network failures
JP4542580B2 (ja) 経路ハイジャック検出方法、経路監視装置、経路ハイジャック検出システムおよび経路ハイジャック検出プログラム
CN109787869B (zh) 一种路径故障检测方法及设备
CN110740144B (zh) 确定攻击目标的方法、装置、设备及存储介质
CN104780103A (zh) 报文转发方法及装置
CN109831378B (zh) 一种报文超时回应方法及装置
CN111010362B (zh) 一种异常主机的监控方法及装置
JP4334505B2 (ja) 中継装置およびデータ中継方法
CN111565124A (zh) 拓扑分析方法及装置
US20170012869A1 (en) Forwarding table management in computer networks
CN104137517B (zh) 用于检测对等网络中故障对等体的对等体、装置和方法
JP4638948B2 (ja) 経路監視装置、経路監視プログラムおよび経路ハイジャック検出システム並びに経路ハイジャック検出方法
JP2009081736A (ja) パケット転送装置及びパケット転送プログラム
CN110365635B (zh) 一种非法端点的接入控制方法和装置
US20240073235A1 (en) System and method for chaos testing in an edge network
Schutrup et al. BGP hijack alert system
JP6835700B2 (ja) 通信障害区間切り分け装置、通信障害区間切り分け方法、及びプログラム
CN107302602B (zh) 信息传递方法及装置
JP2016170651A (ja) 不正アクセス検出方法、装置、及びプログラム

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20091124

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091201

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100128

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100608

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100625

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130702

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees