JP4547340B2 - トラフィック制御方式、装置及びシステム - Google Patents

トラフィック制御方式、装置及びシステム Download PDF

Info

Publication number
JP4547340B2
JP4547340B2 JP2006019978A JP2006019978A JP4547340B2 JP 4547340 B2 JP4547340 B2 JP 4547340B2 JP 2006019978 A JP2006019978 A JP 2006019978A JP 2006019978 A JP2006019978 A JP 2006019978A JP 4547340 B2 JP4547340 B2 JP 4547340B2
Authority
JP
Japan
Prior art keywords
flow
information
port
packet relay
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006019978A
Other languages
English (en)
Other versions
JP2007201966A (ja
Inventor
伸介 鈴木
敏男 下條
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alaxala Networks Corp
Original Assignee
Alaxala Networks Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alaxala Networks Corp filed Critical Alaxala Networks Corp
Priority to JP2006019978A priority Critical patent/JP4547340B2/ja
Priority to US11/621,631 priority patent/US7788721B2/en
Publication of JP2007201966A publication Critical patent/JP2007201966A/ja
Application granted granted Critical
Publication of JP4547340B2 publication Critical patent/JP4547340B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0894Packet rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

技術分野は、インターネットにおける通信制御技術に関し、特にネットワーク制御技術に関する。
インターネットが社会インフラとして定着しつつある今日、ウィルスやワームや悪意を持ったユーザからインターネット上のサーバへのネットワーク攻撃が深刻化している。
ネットワーク攻撃に対しては、実際の攻撃トラフィックの発生源に近い場所で措置することが望ましい。攻撃トラフィックが複数のサーバに対して送信されることが多いためである。さらに攻撃トラフィックの発生源はその攻撃トラフィックの実際のフロー情報に基づいて判断する必要がある。送信元IPアドレスなどIPヘッダ情報は詐称されることも多く、実際の発生源を特定できないためである。攻撃トラフィックフロー情報の検知は一般に、フロー情報抽出技術(ポートミラー、sFlow、NetFlowなど)とフロー内容分析技術との組合せで実現される(非特許文献1、非特許文献2参照)。
以上の観点を考慮したネットワーク攻撃対策として、2種類の対策がある。1つはAnomaly-based IPS(Intrusion Prevention System)、もう一つはTraffic Engineeringである。
Anomaly-based IPSは、トラフィックの内容の異常さをチェックする技術であり、トラフィックの計測およびトラフィックのフィルタリングができる装置により実現される。ある装置で異常トラフィックを計測によって検出したときに、その装置で該当トラフィックをフィルタすることにより、異常トラフィックがネットワークに流れることを防止する(非特許文献3参照)。なお、計測とフィルタリングとを同一装置で行う実装と別装置で行う実装とがある。
Traffic Engineeringは、トラフィックの流量の異常さをチェックする技術であり、トラフィックの計測およびトラフィックのフロー制御ができる装置により実現される。その装置で異常な流量のトラフィックを計測によって検出したときに、該当トラフィックを流すフローをMPLSなどによって適切に制御することにより、異常トラフィックが正常トラフィックへ影響を与えることを防止する(特許文献1参照)。
IETF RFC3176 "InMon Corporation's sFlow: A Method for Monitoring Traffic in Switched and Routed Networks" IETF RFC3954 "Cisco Systems NetFlow Services Export Version 9" "Intrusion Detection and Prevention", C.Endorf, E.Schulz, J.Mellander C.F.Endorf. McGraw-Hill. 2003/12, ISBN 0072229543 特開2001-150023号公報「優先度別パス切替方式及び方式」
従来のトラフィック測定に基づくインターネットからの攻撃対策技術には、例えば3つの課題がある。
1つ目は、同じセキュリティ対策を多数の中継装置で行うことによる、中継装置の計算資源の無駄遣いである。anomaly-based IPSでは或る一つのフローに対して複数の中継装置で異常を検知した場合、全ての中継装置でフィルタリングが行われてしまう。またTraffic Engineeringでは、或る一つのフローを迂回させるために、経路上の全ての中継装置で同じ経路制御ルールを適用する必要がある。また、各中継装置で設定可能な経路制御ルールの数には制限があり、数が足りなくならないよう有効に利用することが求められている。
2つ目は、Traffic Engineeringとanomaly-based IPS等のような複数種類のトラフィック制御を独立に実行することによる、中継装置の計算資源の無駄遣いである。Traffic Engineeringをanomaly-based IPSと独立に実施した場合、Traffic Engineering用のトラフィック計測とは独立に、anomaly-based IPS用のトラフィック計測を行う必要がある。そのため中継装置におけるトラフィック計測処理の負荷量が倍になる。またTraffic Engineeringは、anomaly-based IPSによりフィルタリングされて消滅するはずのトラフィックに対してもパス計算を行う。そのためフィルタリングされるトラフィックに対しても、Traffic Engineering処理を行うことになり無駄である。
3つ目は、不要なトラフィック制御の残存による非効率なパケット中継である。或るフローに対してTraffic Engineeringやanomaly-based IPS等によるトラフィック制御を行った場合、該当フローが流れなくなった後も、これらトラフィック制御(フィルタリングやパス制御)は残ったままである。そのため、トラフィック制御を行う必要がなくなっているにもかかわらず、無駄に継続させてしまう。また、各中継装置で可能なトラフィック制御の数には限りがあり、無駄な継続によって数が不足することを防止することが求められている。
そこで例えば次の手段を提供する。
中継装置で検出した異常トラフィックの情報を、管理サーバで集中制御する。管理サーバには、中継装置のどのポートがどのポートとつながっているかというトポロジー情報、各中継装置に対して指令するインタフェース、指令内容を記憶するフロー制御命令テーブル、トラフィックの内容の異常性を判定するエンジン、トポロジー情報を図示する描画システムの5つを備える。
管理サーバは、受信した情報をフロー単位で管理し、或るフローに起因する情報がどの中継装置のどのポートから入りどのポートから出るかを抽出する。そしてのフローの入出力ポートとトポロジー情報とを組み合わせることにより、フロー全体がどこから入りどこへ出るかを計算する。
計算した、フローについて、そのフローが通過するネットワーク中継装置間を、トポロジー描画システム上で通過順にプロットする。
計算の結果、フローがループしていると判明した場合、管理サーバはフローを構成する任意の1リンクを切断する。またフローがある中継装置から先に中継されないと判明した場合、管理サーバはその中継装置の上流の中継装置に対してそのトラフィックをフィルタリングするよう要請する。なお、STP(Spanning Tree Protocol)等のループ検出プロトコルはトラフィック量が過剰でプロトコルパケットが隣接する中継装置に届かない場合には機能しないが、本手段ではこうした事態を回避することができる。
フローがネットワークの末端から別のネットワークの末端に流れている場合は、トラフィック内容が異常か否かに応じて処理を変える。トラフィック内容が異常な場合は起点のネットワークの中継装置にてそのフローを廃棄するよう要請し、正常な場合は起点のネットワークの中継装置にてそのフローの帯域を絞るよう要請する。
これらの要請の際、フロー制御命令テーブルに、要請した内容とその要請を解除する時間を記録し、その時間になったら、要請していたフロー制御命令を解除するよう再度要請する。
例えば上記の手段によれば、ネットワーク管理サーバにおいてフロー情報とトポロジー情報とを組み合わせることにより、フローの起点など効果的な場所でトラフィックを制御できる。
また、複数種類のトラフィック制御を用いても、中継装置の計算資源の負担が少ない。
また、フローをネットワークトポロジー図上にマッピングすることができる。これにより、異常の原因となっているフローをフロー種別や異常原因別等に可視化することができる。
また、フロー情報とトポロジー情報の組合せによりループしているフローを発見できる。
また、フロー情報とトポロジー情報との組合せにより、実際にはどこにも中継されないトラフィックを発見できるため、こうしたトラフィックによる無駄な帯域消費を防ぐ。
また、無駄なトラフィック制御が残存することを防ぐ。
本発明の実施に好適な実施形態の例を説明する。ただし、本発明は本実施形態に限定されない。
図1は、ネットワーク構成例を示す。ネットワークは、フローを監視する機能であるトラフィックモニタを有するパケット中継装置101、102、103とそのトラフィックモニタで取得したモニタ情報(フロー情報)を受信して一括管理し制御する管理サーバ100とを含み、互いに回線で接続されている。パケット中継装置は、例えばルータやスイッチである。なお、トラフィック、フロー、トラフィックフローとは、データパケットの流れのことを言い、フロー情報とはフローを特定できる情報である。例えばフローの送信元および送信先アドレスとフローのプロトコル番号(TCP、UDPなど)とプロトコル詳細情報(TCP/UDPポート情報など)が含まれ、パケットのヘッダ情報からこれらの情報を抽出することにより、パケットがどのフローに起因するものかを求めることが出来る。また、フローとは例えば、ネットワークを介して送信者と受信者の間(2台のLANステーションどうし等)を移動するデータのストリームであり、単一の回線上で複数のフローが伝達されることもある。
図2は、パケット中継装置101の内部構造例を示す。パケット中継装置101は、ネットワークインタフェース309を介して、他のパケット中継装置(102、103)及び管理サーバ100と接続されている。ネットワークインタフェース309は、複数のポートを有する。ネットワークインタフェース309の或るポート(弟1ポート)から入力されたパケットは、フロー制御部308での処理後、パケットバッファ306に格納される。そしてパケットプロセッサ304が経路テーブル305の内容に基づきパケット出力先を決定し、パケットバッファ306に格納されたパケットを、フロー制御部308を介して、ネットワークインタフェース309へ出力する。なお、パケット中継装置102、103も同様な構造である。なお、上述したトラフィックモニタは、フロー制御部308とフロー統計テーブル303とCPU301に相当する。
フロー制御部308では、フロー制御情報テーブル307に基づき入出力パケットのフィルタリングやシェーピングを行い、また通過したフローの入出力ポートやパケットヘッダの情報をメモリ302上のフロー統計テーブル303に格納する。パケット中継装置のCPU301はフロー統計テーブル303にある情報のうち適切な情報をsFlowやNetFlowといったプロトコルを用いて管理サーバ100へ送付する。どのフロー情報を送付対象とするかはフロー制御情報テーブル307により決定されるが、ここでは所定の閾値以上の流量のフローや所定の時間以上流れるフローを送付対象として以下説明する。
図3は、管理サーバ100の内部構造例を示す。管理サーバ100のメモリ120内には、パケット中継装置の隣接関係を記述するトポロジー情報テーブル130と、パケット中継装置から送付されたフロー情報を格納する検出フロー情報テーブル140と、トラフィックの内容の異常性を診断するためのデータベースである異常トラフィックデータベース150と、トポロジー情報を表示するためのトポロジー図計算モジュール151とが格納されている。これらの情報に基づき管理サーバ100は、CPU121でトラフィック制御内容を決定し、ネットワークインタフェース122を介して、その内容をパケット中継装置101、102、103へ通知する。通知に際しては、その通知内容とその通知内容を解除する時間をフロー制御命令テーブル160に記録する。トポロジー図計算モジュール151はCPU121上で動くプログラムで、トポロジー情報テーブル130や検出フロー情報テーブル140の情報からトポロジー図を計算し、計算された図をビデオインタフェース152経由でディスプレイ123に表示する。
図4は、管理サーバ100内のトポロジー情報テーブル130の構造例を示す。トポロジー情報テーブル130は、管理下の各パケット中継装置に関して、装置IPアドレス131と接続ポートリスト132を有する。トポロジー情報テーブル130は構成定義により静的に定義されるか、SNMPなどのプロトコル情報から動的に自動生成される。その生成手法に関しては本発明の対象外である。接続ポートリスト132は、該当するパケット中継装置の各ポートが他のパケット中継装置のどのポートに接続されているかを示す。接続先が「−」となっているエントリは、例えば末端のパケット中継装置や管理下にないパケット中継装置とつながっていることを示す。具体的に、例えば図4では、S1としてパケット中継装置101の装置アドレス「192.168.255.1」が記録され、パケット中継装置101のネットワークインタフェース309のポート2がS3(パケット中継装置103)のネットワークインタフェースのポート5と接続し、パケット中継装置101のネットワークインタフェース309のポート4がS2(パケット中継装置102)のネットワークインタフェースのポート10に接続し、パケット中継装置101のネットワークインタフェース309のポート8が管理サーバ100の管理下にないネットワーク中継装置のポートと接続していることを示している。
図5は、管理サーバ100内の検出フロー情報テーブル140の構造例を示す。検出フロー情報テーブル140は、管理下の各パケット中継装置から報告されたフロー情報を格納するテーブルで、報告元のパケット中継装置を示す装置142とフローを入力したポートの番号を示す入力ポート143とフローを出力したポートの番号を示す出力ポート144と最終更新時間145の組を、フローID141単位に整理している。フローIDの割当に際しては、フローの送信元および送信先アドレスとフローのプロトコル番号(TCP、UDPなど)とプロトコル詳細情報(TCP/UDPポート情報など)を用い、同じフローに同じIDを割り当てる。具体的に、例えば図5では、フローID「#1」がS1(パケット中継装置101)のネットワークインタフェース309のポート8から入力されてポート4から出力したことが、パケット中継装置101から報告され、2005/01/01 00:00:00:00の更新が最終であることを示している。
図6は、管理サーバ100内のフロー制御命令テーブル160の構造例を示す。フロー制御命令テーブル160は、どのパケット中継装置でどのような制御命令をいつまで行うかを示したテーブルであり、各々の情報がそれぞれ装置フィールド161、制御内容フィールド161、解除時間フィールド162に記録されている。具体的に、例えば図6の1行目のエントリはは、S1(パケット中継装置101)に対して「drop from 3.4.5.6 to 8.9.10.11at port 4 outbound 」の命令を、2005/01/01 00:15:00まで有効にすることを示している。
管理サーバ100は、一定時間間隔に検出フロー情報テーブル140を読み、新規エントリが追加されたか否かをチェックする。具体的には、検出フロー情報テーブル140の各フローエントリの最終更新時間フィールド145が前回のフロー情報テーブルチェックの時間よりも新しければ、そのフロー情報に関する制御が新規に必要と判断する。
管理サーバ100は、一定時間間隔に検出フロー情報テーブル140を読み、新規エントリが追加されたか否かをチェックする。具体的には、検出フロー情報テーブル140の各フローエントリの最終更新時間フィールド145が前回のフロー情報テーブルチェックの時間よりも新しければ、そのフロー情報に関する制御が新規に必要と判断する。
同様に管理サーバ100は、一定時間間隔にフロー制御命令テーブル160を読み、フロー制御命令を解除する必要があるか否かをチェックする。具体的には、フロー制御命令テーブル160の各エントリの解除時間フィールド162が現在時間よりも前ならば、当該エントリの装置フィールド161に対してそのフロー制御を解除するように要請する。
あるフロー情報に関して制御が必要と判断した場合、図7及び図8のフローチャートに示すアルゴリズムに基づき、そのフローの発生源と出力先をそれぞれ探索する。
図7は、管理サーバ100のCPU121がメモリ120の情報を用いて実行するフローの発生源を探索するアルゴリズムの例を示す。
或るパケット中継装置から受信したフロー情報に関してその発生源を調べる場合、まず該当するフロー情報の入力ポートを図5に示した検出フロー情報テーブル140の入力ポート欄143から調べる。そしてその入力ポートの対向接続先(入力元)の装置ポート情報を、図4に示したトポロジー情報テーブル130から検索する(ステップ405)。具体的に図4と図5のデータを用いて説明すると、例えば、図5において、装置S1(パケット中継装置101)について、フローID「#1」が装置S1のポート8から入力されており、図4の装置S1のポート8の接続先は「−」なので、フローID「#1」の対向接続先装置ポート情報(入力元)は、「−」であることが分かる。装置S2(パケット中継装置102)について、フローID「#1」が装置S2のポート10から入力されており、図4の装置S2のポート10の接続先は装置S1のポート4なので、フローID「#1」の対向接続先装置ポート情報(入力元)は、装置S1のポート4であることが分かる。
もし対向接続先が存在しない場合(ステップ410でNo)の場合には異常終了する(ステップ415)。
対向接続先が存在しても(ステップ410でYes)、装置ポート情報が「−」ならば(ステップ420でYes)、管理下のパケット中継装置以外からそのフローが来ていると判断して、探索を終了する(ステップ425)。装置S1のフローID「#1」の場合、ここで終了する。
装置ポート情報が「−」でない場合(ステップ420でNo)、最初の探索の場合には、ステップ430がNなので、図5に示した検出フロー情報テーブル140から、同一フローIDでその対向接続先の装置ポートへ出力されるフロー情報を検索する(ステップ440)。具体的に図5のデータを用いて説明すると、装置S2のフロー「#1」の場合、同一のフローID「#1」が装置S1のポート8から入力されポート4から出力されていることが分かる。さらに、図4からポート8の接続先ポート(入力元)は「−」なので、装置S1における対向接続先(入力元)は「―」であることが分かる。
同一フローIDでその対向接続先の装置ポートへ出力されるフロー情報があった場合には(ステップ445でYes)、このフローIDの発生源を対向接続先から検索する(ステップ450)。具体的に図5のデータを用いて説明すると、フローID「#1」について、装置S2における対向接続先(入力元)は装置S1のポート4であり、装置S1におけるフローID「#1」のフローの入力元はポート8であり、装置S1のポート8の対向接続先は「−」であるから、発生源は装置S1のポート8と分かる。
そして、続いて他のフロー情報に関して同様な探索処理を繰り返す。図5のデータでは、フローID「#2」について実施する。
なお、装置ポート情報が「−」でなくとも(ステップ420でNo)、探索処理の繰返しの結果、過去に通過したパケット装置を再度通過したことが判明した場合は(ステップ430でY)、そのフローはループを構成していると判断して探索を終了する(ステップ435)。例えば、図5のフローID「#3」に関して、図7のフローチャートに従って処理を行うと、装置S1における対向接続先は装置S3のポート5であり、装置S3における対向接続先は装置S2のポート13であり、装置S2における対向接続先は装置S1となる。装置S1に到るフローの発生元として装置S1が再度出現しているので、フローID「#3」はループを構成していると判断する。なお、CPU121においてループを構成していると判断する機能を特にループ検出部ともいう。
図8は、管理サーバ100のCPU121がメモリ120の情報を用いて実行するフローの出力先を探索するアルゴリズムの例を示す。
或るパケット中継装置から受信したフロー情報に関してその出力先(行先)を調べる場合、まず該当するフロー情報の出力ポートを図5に示した検出フロー情報テーブルの出力ポート欄144から調べる。そしてそのポートの対向接続先(出力先)の装置ポート情報を、図4に示したトポロジー情報テーブル130から検索する(ステップ505)。具体的に図4と図5のデータを用いて説明すると、例えば、図5において、装置S1(パケット中継装置101)について、フローID「#1」が装置S1のポート4から出力されており、図4の装置S1のポート4の接続先は装置S2のポート10なので、フローID「#1」の対向接続先装置ポート情報(出力先)は、装置S2のポート10であることが分かる。
もし対向接続先(出力先)が存在しない場合(ステップ410でNo)の場合には異常終了する(ステップ515)。
対向接続先(出力先)が存在しても(ステップ510でYes)、その装置ポート情報が「−」ならば、管理下のパケット中継装置以外へフローが出力されていると判断して、探索を終了する(ステップ525)。
装置ポート情報が「−」でない場合(ステップ520でNo)、最初の探索の場合には、ステップ530がNなので、図5に示した検出フロー情報テーブル140から、同一フローIDでその対向接続先(出力先)の装置ポートから入力されるフロー情報を検索する(ステップ540)。具体的に図5のデータを用いて説明すると、同一のフローID「#1」が装置S2のポート10から入力されポート1から出力されていることが分かる。さらに、図4からポート1の接続先ポートは「−」なので、装置S2における対向接続先(出力先)は「―」であることが分かる。
同一フローIDでその対向接続先の装置ポートへ入力されるフロー情報があった場合には(ステップ545でYes)、このフローIDの行先を対向接続先から検索する(ステップ555)。具体的に図5のデータを用いて説明すると、フローID「#1」について、装置S1における対向接続先(出力先)は装置S2のポート10であり、装置装置S2における対向接続先(出力先)は「−」であるから、出力先は装置S2と分かる。
そして、続いて他のフロー情報に関して同様な探索処理を繰り返す。図5のデータでは、フローID「#2」について実施する。
同一フローIDでその対向接続先の装置ポートへ入力されるフロー情報が存在しない場合は、そのパケット中継装置から先にパケットが流れないと判断し、探索処理を終了する(ステップ550)。
なお、装置ポート情報が「−」でなくとも(ステップ520でNo)、探索処理の繰返しの結果、過去に通過したパケット装置を再度通過したことが判明した場合は(ステップ530でY)、そのフローはループを構成していると判断して探索を終了する(ステップ535)。
図9は、管理サーバ100のCPU121がメモリ120の情報を用いて実行する、当該パケット中継装置に対してトラフィック制御の要求のアルゴリズム例を示す。トラフィック制御要求送信に際しては、図4に示したトポロジー情報テーブルの装置アドレス131を参照し、送信先アドレスを決定する。要求送信に用いるプロトコルは、SNMPやTelnetやXMLなど任意のプロトコルで構わない。トラフィック制御要求に際しては、そのトラフィック制御命令の有効期間を決定し、制御命令の送り先とその内容とそれが解除される時間の対応付けを図6に示したフロー制御命令テーブル160に記録する。
フローの発生源検索(ステップ605、図7)の結果、ループが発生していることがわかった場合(ステップ610でY)、最初にそのフローを発見したパケット中継装置、すなわち或るフローIDがループであることを検出した場合にその検出に当たって図7のステップ400で選択したパケット中継装置、に対して、当該フローIDの出力ポートを切断するよう指示する(ステップ615)。図5の例ではフローID「#3」がこのケースに該当する。そのため最初にフローID「#3」を発見したパケット中継装置S1にて、フローID「#3」の出力を停止する制御命令「drop from 3.4.5.6 to 8.9.10.11at port 4 outbound」を実行する。
フローの出力先検索(ステップ620、図8)の結果、ループ発生が判明した場合(ステップ623でY)も同様である。
フローの出力先検索の結果、出力フローがあるパケット中継装置から先に流れていないことが判明した場合(ステップ625でY)、その上流のパケット中継装置においてそのフローを廃棄するフィルタ設定を行う(ステップ630)。図5の例ではフローID「#4」がこのケースに該当する。そのためフローID「#4」の中継がとまった装置S2にて、フローID「#4」の出力を停止する制御命令「drop from 4.5.6.7 to 9.10.11.12 at port 13 outbound」を実行する。
以上のいずれにも該当しない場合、フローがどこから入力されどこへ出力されるかを特定できる。管理サーバは、そのフローの内容を異常トラフィックデータベース150と照合することにより、フローの内容がセキュリティポリシー上正常か否かを判定する(ステップ625)。異常なトラフィックに対しては、フロー発生源のパケット中継装置にてそのトラフィックを廃棄するフィルタ設定を行う(ステップ640)。正常なトラフィックに対しては、フロー発生源のパケット中継装置にてそのトラフィックの帯域を絞るようなシェーパー設定を行う(ステップ645)。図5の例でフローID「#1」が正常なトラフィックとして本ケースに該当した場合、フローID「#1」の発生源である装置S1にて、フローID「#1」の帯域を絞る制御命令「limit from 2.3.4.5 to 7.8.9.10:http at port 8 within 10Mbps inbound」を実行する。
図10は、管理サーバ100のCPU121がメモリ120の情報を用いて実行するトポロジー図の描画のアルゴリズム例を示す。ここでは、図4に示したトポロジー情報テーブル130と図5に示した検出フロー情報テーブル140の情報に基づいて、フローID「#1」について描画する例を説明する。他のフローIDについても同様である。図11は、図10によって描画された例を示す。
まずトポロジー図計算モジュール151は、トポロジー情報テーブル130の情報から、ネットワークトポロジー図を描画する。トポロジー情報テーブル130内にある管理対象とするパケット中継装置(ネットワーク装置)の数を計算し(ステップ705)、同心円上に等間隔にネットワーク装置を配置して描画する(ステップ710)。図4及び図5では、パケット中継装置の数は3である。
次に各パケット中継装置についてトポロジー情報テーブル130内の接続装置ポートリスト132に従ってポート毎に、ステップ710で描画した図において線分で結び、線分の両端にそれぞれのパケット中継装置のポート番号を表示する(ステップ725)。なお接続装置がない管理サーバの管理下にないパケット中継装置である場合には、当該ネットワーク装置から同心円の放射線方向に線分を伸ばすことにより描画する。各パケット中継装置について順次実施する(ステップ730、720)。
検出フロー情報テーブル140のフローIDフィールド141に基づき、検出フロー情報テーブル140からフローID「#1」に所属するフロー情報を抽出する(ステップ755)。
抽出したフロー情報の装置142の入力ポート143からの線分と、装置142の出力ポート144からの線分とを、ステップ725で描画した線分とは異なる色で再描画する(ステップ760、761)。各フローについて順次実施する(ステップ762、750)。
フローID「#1」の内容を異常トラフィックデータベース150と照合した結果と、図7で得られたフローの起点(発生源)、図8で得られた終点(行先)ポートと共に表示する(ステップ770)。制御の内容、例えば制御命令を該当するフローIDと対応付けて表示するようにしてもよい。
ネットワーク構成例 パケット中継装置の内部構造例 管理サーバの内部構造例 トポロジー情報テーブル例 検出フロー情報テーブル例 フロー制御命令テーブル例 フロー発生源探索アルゴリズム例 フロー出力先探索アルゴリズム例 トラフィック制御アルゴリズム例 フロートポロジー描画アルゴリズム例 フロートポロジー描画例
符号の説明
100:管理サーバ
101〜103:パケット中継装置

Claims (10)

  1. それぞれ複数のポートを有する複数のパケット中継装置と接続する管理サーバであって、
    前記複数のパケット中継装置の前記複数のポートの接続関係情報を記憶するトポロジー情報記憶部と、
    前記複数のパケット中継装置からトラフィックフローを特定するフロー情報と入力ポートを示す入力ポート情報とを受信するフロー情報受信部と、
    前記フロー情報受信部で受信した入力ポート情報とフロー情報とトポロジー情報記憶部に記憶されたポートの接続関係情報とにより、トラフィックフローの起点を検索するフロー起点検索部とを有し、
    前記フロー起点検索部は、前記フロー情報受信部で第1のパケット中継装置から受信した第1のフロー情報に対応する第1の入力ポート情報と一致するポートを前記接続関係情報から検索して、当該ポートの接続先である第2のパケット中継装置から受信した前記第1のフロー情報に対応する第2の入力ポート情報と一致するポートを前記接続関係情報から検索する。
  2. 請求項1記載の管理サーバであって、
    前記フロー起点検索部は、前記第2の入力ポート情報と一致するポートの接続先が、前記管理サーバと接続していないとき、前記第2のパケット中継装置をトラフィックフローの起点と判断する。
  3. 請求項1記載の管理サーバであって、
    前記フロー起点検索部で検索した起点に対し、前記フロー情報受信部で受信したフロー情報に対応するトラフィックの制御を指令する制御指令部を有する。
  4. それぞれ複数のポートを有する複数のパケット中継装置と接続する管理サーバであって、
    前記複数のパケット中継装置の前記複数のポートの接続関係情報を記憶するトポロジー情報記憶部と、
    前記複数のパケット中継装置からトラフィックフローを特定するフロー情報と出力ポートを示す出力ポート情報とを受信するフロー情報受信部と、
    前記フロー情報受信部で受信した出力ポート情報とフロー情報とトポロジー情報記憶部に記憶されたポートの接続関係情報とにより、トラフィックフローの終点を検索するフロー終点検索部とを有し、
    前記フロー終点検索部は、前記フロー情報受信部で第1のパケット中継装置から受信した第1のフロー情報に対応する第1の出力ポート情報と一致するポートを前記接続関係情報から検索して、当該ポートの接続先である第2のパケット中継装置から受信した前記第1のフロー情報に対応する第2の出力ポート情報と一致するポートを前記接続関係情報から検索する。
  5. 請求項4記載の管理サーバであって、
    前記フロー終点検索部は、前記第2の出力ポート情報と一致するポートの接続先が、前記管理サーバと接続していないとき、前記第2のパケット中継装置をトラフィックフローの終点と判断する。
  6. 請求項5記載の管理サーバであって、
    前記フロー終点検索部で前記第1のフロー情報に対応する第2の出力ポート情報が検索できなかったとき、前記第1のパケット中継装置に前記第1のフロー情報に対応するトラフィックの制御を指令する制御指令部を有する。
  7. それぞれ複数のポートを有する複数のパケット中継装置と接続する管理サーバであって、
    前記複数のパケット中継装置の前記複数のポートの接続関係情報を記憶するトポロジー情報記憶部と、
    前記複数のパケット中継装置からトラフィックフローを特定するフロー情報と入力ポート又は出力ポートを示す入出力ポート情報とを受信するフロー情報受信部と、
    前記フロー情報受信部で受信したフロー情報及び入出力ポート情報とトポロジー情報記憶部に記憶されたポートの接続関係情報とにより、フロー情報毎に3以上のパケット中継装置をつなぐフローを表示するフロー表示部と、
    前記フロー情報受信部で受信した入力ポート情報とフロー情報とトポロジー情報記憶部
    に記憶されたポートの接続関係情報とにより、トラフィックフローの起点を検索するフロー起点検索部と、
    前記フロー情報受信部で受信した出力ポート情報とフロー情報とトポロジー情報記憶部に記憶されたポートの接続関係情報とにより、トラフィックフローの終点を検索するフロー終点検索部とを有し、
    前記フロー起点検索部は、前記フロー情報受信部で第1のパケット中継装置から受信した第1のフロー情報に対応する第1の入力ポート情報と一致するポートを前記接続関係情報から検索して、当該ポートの接続先である第2のパケット中継装置から受信した前記第1のフロー情報に対応する第2の入力ポート情報と一致するポートを前記接続関係情報から検索し、
    前記フロー終点検索部は、前記フロー情報受信部で第3のパケット中継装置から受信した第3のフロー情報に対応する第3の出力ポート情報と一致するポートを前記接続関係情報から検索して、当該ポートの接続先である第4のパケット中継装置から受信した前記第3のフロー情報に対応する第4の出力ポート情報と一致するポートを前記接続関係情報から検索し、
    前記フロー表示部は、前記フロー起点検索部で検索した起点と、前記フロー終点部で検索した終点とをフロー毎に表示する。
  8. 請求項7記載の管理サーバであって、
    前記フロー表示部は、前記トポロジー情報記憶部に基づいて前記3以上のパケット中継
    装置を線分で接続したトポロジー図を表示し、当該トポロジー図の線分に対応して前記フロー情報受信部で受信したフロー情報と入出力ポート情報とに基づいたフローを表示する
  9. 請求項7記載の管理サーバであって、さらに、
    前記フロー情報受信部で受信した情報に基づいて、フローを制御するフロー制御部を有し、
    前記フロー表示部は、前記フロー制御部による制御の内容をフロー毎に表示する。
  10. それぞれ複数のポートを有する複数のパケット中継装置と接続する管理サーバであって、
    前記複数のパケット中継装置の前記複数のポートの接続関係情報を記憶するトポロジー情報記憶部と、
    前記複数のパケット中継装置からトラフィックフローを特定するフロー情報と入力ポートを示す入力ポート情報とを受信するフロー情報受信部と、
    前記フロー情報受信部で第1のパケット中継装置から受信した第1のフロー情報に対応する第1の入力ポート情報と一致する第2のポートを前記接続関係情報から検索して、当該第2のポートの接続先である第2のパケット中継装置から受信した前記第1のフロー情報に対応する第3の入力ポート情報と一致する第4のポートを前記接続関係情報から検索し、当該第4のポートの接続先である第3のパケット中継装置から受信した前記第1のフロー情報に対応する第5の入力ポート情報と一致する第6のポートを前記接続関係情報から検索し、当該第6のポートの接続先が前記第1又は第2のパケット中継装置であったとき、ループが形成されていると判断するループ検出部とを有する。
JP2006019978A 2006-01-30 2006-01-30 トラフィック制御方式、装置及びシステム Expired - Fee Related JP4547340B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2006019978A JP4547340B2 (ja) 2006-01-30 2006-01-30 トラフィック制御方式、装置及びシステム
US11/621,631 US7788721B2 (en) 2006-01-30 2007-01-10 Traffic control method, apparatus, and system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006019978A JP4547340B2 (ja) 2006-01-30 2006-01-30 トラフィック制御方式、装置及びシステム

Publications (2)

Publication Number Publication Date
JP2007201966A JP2007201966A (ja) 2007-08-09
JP4547340B2 true JP4547340B2 (ja) 2010-09-22

Family

ID=38322043

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006019978A Expired - Fee Related JP4547340B2 (ja) 2006-01-30 2006-01-30 トラフィック制御方式、装置及びシステム

Country Status (2)

Country Link
US (1) US7788721B2 (ja)
JP (1) JP4547340B2 (ja)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4973734B2 (ja) 2007-09-26 2012-07-11 富士通株式会社 ネットワーク監視システム、経路抽出方法、プログラム、及びプログラムを記録したコンピュータ読み取り可能な記録媒体
EP2107715B1 (en) 2008-03-31 2019-12-25 Synopsys, Inc. Method, device arrangement and computer program product for creating identity graphs analyzing communication network
US7855967B1 (en) * 2008-09-26 2010-12-21 Tellabs San Jose, Inc. Method and apparatus for providing line rate netflow statistics gathering
US8149699B2 (en) * 2008-12-02 2012-04-03 Electronics And Telecommunications Research Institute Method and apparatus for controlling traffic according to user
US8274895B2 (en) * 2009-01-26 2012-09-25 Telefonaktiebolaget L M Ericsson (Publ) Dynamic management of network flows
JP5169999B2 (ja) * 2009-06-03 2013-03-27 Necインフロンティア株式会社 サービス停止攻撃検出システム、ネットワーク中継装置、サービス停止攻撃防御方法
JP5511332B2 (ja) * 2009-11-30 2014-06-04 キヤノン株式会社 通信装置及び方法、並びにプログラム
US20110138463A1 (en) * 2009-12-07 2011-06-09 Electronics And Telecommunications Research Institute Method and system for ddos traffic detection and traffic mitigation using flow statistics
WO2011081020A1 (ja) * 2010-01-04 2011-07-07 日本電気株式会社 ネットワークシステム、コントローラ、ネットワーク制御方法
JP5854048B2 (ja) * 2011-01-28 2016-02-09 日本電気株式会社 通信システム、転送ノード、制御装置、通信制御方法およびプログラム
CN104170332A (zh) * 2012-03-09 2014-11-26 日本电气株式会社 控制装置、通信系统、交换机控制方法以及程序
US8982711B2 (en) 2012-04-20 2015-03-17 Allied Telesis Holdings Kabushiki Kaisha Self-healing communications network
JP5995279B2 (ja) * 2012-10-24 2016-09-21 日本電気株式会社 ネットワーク機器、方法、及びプログラム
CN104660504A (zh) * 2013-08-05 2015-05-27 Agh科学技术大学 计算机网络中进行封包多路径路由选择的装置及其方法
JP6771855B2 (ja) * 2014-06-02 2020-10-21 ヤマハ株式会社 中継装置およびプログラム
US10659314B2 (en) * 2015-07-20 2020-05-19 Schweitzer Engineering Laboratories, Inc. Communication host profiles
JP6668835B2 (ja) * 2016-03-10 2020-03-18 富士ゼロックス株式会社 情報処理装置及び情報処理プログラム
US10594731B2 (en) 2016-03-24 2020-03-17 Snowflake Inc. Systems, methods, and devices for securely managing network connections

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000124952A (ja) * 1998-10-15 2000-04-28 Ntt Data Corp 電子データの追跡方法及びシステム、記録媒体
JP2002185539A (ja) * 2000-12-15 2002-06-28 Fujitsu Ltd 不正侵入防御機能を有するip通信ネットワークシステム
JP2002271372A (ja) * 2001-03-14 2002-09-20 Nec Corp 通信ネットワーク及びパス設定方法並びにパス設定用プログラム
JP2005311458A (ja) * 2004-04-16 2005-11-04 Intec Netcore Inc ネットワーク情報提示装置及び方法

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6993026B1 (en) * 2000-08-31 2006-01-31 Verizon Communications Inc. Methods, apparatus and data structures for preserving address and service level information in a virtual private network
JP2002344492A (ja) 2001-05-18 2002-11-29 Nec Corp 優先度別パス切替方法及び方式
US7512980B2 (en) * 2001-11-30 2009-03-31 Lancope, Inc. Packet sampling flow-based detection of network intrusions
US20030229703A1 (en) * 2002-06-06 2003-12-11 International Business Machines Corporation Method and apparatus for identifying intrusions into a network data processing system
US6934252B2 (en) * 2002-09-16 2005-08-23 North Carolina State University Methods and systems for fast binary network address lookups using parent node information stored in routing table entries
KR100611741B1 (ko) * 2004-10-19 2006-08-11 한국전자통신연구원 네트워크 침입 탐지 및 방지 시스템 및 그 방법
US7676841B2 (en) * 2005-02-01 2010-03-09 Fmr Llc Network intrusion mitigation
US8077718B2 (en) * 2005-08-12 2011-12-13 Microsoft Corporation Distributed network management
US8255996B2 (en) * 2005-12-30 2012-08-28 Extreme Networks, Inc. Network threat detection and mitigation

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000124952A (ja) * 1998-10-15 2000-04-28 Ntt Data Corp 電子データの追跡方法及びシステム、記録媒体
JP2002185539A (ja) * 2000-12-15 2002-06-28 Fujitsu Ltd 不正侵入防御機能を有するip通信ネットワークシステム
JP2002271372A (ja) * 2001-03-14 2002-09-20 Nec Corp 通信ネットワーク及びパス設定方法並びにパス設定用プログラム
JP2005311458A (ja) * 2004-04-16 2005-11-04 Intec Netcore Inc ネットワーク情報提示装置及び方法

Also Published As

Publication number Publication date
JP2007201966A (ja) 2007-08-09
US20070177600A1 (en) 2007-08-02
US7788721B2 (en) 2010-08-31

Similar Documents

Publication Publication Date Title
JP4547340B2 (ja) トラフィック制御方式、装置及びシステム
US10972391B2 (en) Full-path validation in segment routing
US10291534B2 (en) Incremental application of resources to network traffic flows based on heuristics and business policies
JP5411134B2 (ja) ネットワークスイッチにおけるポートリダイレクトのための方法及びメカニズム
JP5207082B2 (ja) コンピュータシステム、及びコンピュータシステムの監視方法
US7876676B2 (en) Network monitoring system and method capable of reducing processing load on network monitoring apparatus
US9065723B2 (en) Unaddressed device communication from within an MPLS network
JP4380710B2 (ja) トラフィック異常検出システム、トラフィック情報観測装置、及び、トラフィック情報観測プログラム
JPWO2013039083A1 (ja) 通信システム、制御装置および通信方法
KR101352553B1 (ko) 플로우별 통계정보를 이용한 분산 서비스 거부 공격(ddos) 탐지 및 트래픽 경감 방법 및 그 시스템
JP2008219149A (ja) トラヒック制御システムおよびトラヒック制御方法
JP4244356B2 (ja) トラヒック分析・制御システム
JP4279324B2 (ja) ネットワーク制御方法
KR20060130892A (ko) 광대역 네트워크에서의 분산 서비스 거부 공격 탐지 및대응 방법
JP4260848B2 (ja) ネットワーク制御方法
JP7104201B2 (ja) パケット中継装置およびパケット中継方法
KR102066555B1 (ko) 소프트웨어 정의 네트워크를 이용하여 트래픽을 추적하는 방법, 장치 및 컴퓨터 프로그램
JP6934758B2 (ja) パケット中継装置およびパケット中継方法
JP2015154433A (ja) 通信監視装置
JP2009200984A (ja) ネットワーク制御方法およびネットワーク制御装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080714

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080714

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100406

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100512

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100629

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100705

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130709

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees