JP4634320B2 - 対異常通信防御を行うための装置とネットワークシステム - Google Patents

対異常通信防御を行うための装置とネットワークシステム Download PDF

Info

Publication number
JP4634320B2
JP4634320B2 JP2006052181A JP2006052181A JP4634320B2 JP 4634320 B2 JP4634320 B2 JP 4634320B2 JP 2006052181 A JP2006052181 A JP 2006052181A JP 2006052181 A JP2006052181 A JP 2006052181A JP 4634320 B2 JP4634320 B2 JP 4634320B2
Authority
JP
Japan
Prior art keywords
packet
address
connection request
unit
routing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006052181A
Other languages
English (en)
Other versions
JP2007235341A (ja
Inventor
隆史 磯部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2006052181A priority Critical patent/JP4634320B2/ja
Priority to US11/657,556 priority patent/US8175096B2/en
Priority to CN200710084904.7A priority patent/CN101030977B/zh
Publication of JP2007235341A publication Critical patent/JP2007235341A/ja
Application granted granted Critical
Publication of JP4634320B2 publication Critical patent/JP4634320B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/163In-band adaptation of TCP data exchange; In-band control procedures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、対異常通信防御を行うための通信装置と対異常通信防御装置とネットワークシステムに関する。
近年、インターネットに代表されるIP(Internet Protocol)ネットワークのライフライン化や個人情報保護法制定などの動きに伴って、ネットワークセキュリティの重要度が高まってきている。
多くの企業や個人は、自身のネットワーク内に設置されたPCからの情報の漏洩や、自身のネットワーク内に設置されたサーバに対する攻撃を防止するために、通信事業者のネットワークとのアクセス点に、FW(Firewall)、IDS(Intrusion Detection System)、IPS(Intrusion Prevention System)などの対異常通信防御装置を設置して、情報資源を防御することが一般的になっている。
このような対異常通信防御装置は、異常通信を行うホストを探知したり、探知したホストからの異常通信の排除又は異常通信の帯域制御を実施すると共に、正規通信を保護する。
TCPプロトコルを用いた異常通信の排除と、TCPプロトコルを用いた正規通信の保護については、セッションテーブルに通信の状態を記録しておき、SYN−ACKパケットを代理応答することで正規通信か否かを判定する方式などが使用されている(非特許文献1参照)。
しかし、アクセス点に設置した対異常通信防御装置では防御できない攻撃も存在する。例えば、クライアントPCとWebサーバが通信しているときに、攻撃者の操る乗っ取りサーバと複数のゾンビサーバによって、通信経路上のルータに向けて大量のパケットを送信してルータのパケット転送機能を低下させる攻撃が行われたとする。この場合、PCとサーバの間で流れているパケットが、攻撃を受けたルータで廃棄され、正常な通信が行われなくなる。
そのため、通信事業者は、ネットワークの上流側の他のネットワークとの接続点に設置するエッジルータに、対異常通信防御機能を追加して、ネットワークで行われる全ての通信を解析し、通信障害の原因となるP2P(Peer to Peer)などの過大通信や、DDoS(Distributed Denial of Service)などのルータやサーバの攻撃を目的とした不正通信など各種の異常通信を確実に探知、排除する必要が出てきた。
なお、企業や個人のネットワークは一箇所で通信事業者のネットワークと接続していることが一般的であるのに対して、通信事業者のネットワークは複数箇所で他の通信事業者のネットワークと接続している。
また、通信事業者のネットワークは、ネットワーク内のルーティングプロトコルとして、最短経路探索アルゴリズムを用いたRIP(非特許文献2参照)やOSPF(非特許文献3参照)などを用いている。そのため、あるホスト間の通信において、往路と復路が異なる場合が存在する。
また、対異常通信防御には、接続要求元アドレスと、接続要求先アドレスと、通信が行われた最新の時刻を表す記録時間とから構成される通信データを記録するセッションテーブルを必要とする。セッションテーブル記載の通信データを更新する際には、テーブル検索にハッシュを用い、一致する通信データがないときに、複数の通信データから最も古い記録時間を持つ通信データを上書きする方式(非特許文献4参照)などが用いられている。
Christoph L. Schuba、Ivan V. Krsul、Markus G. Kuhn、Eugene H. Spafford、Aurobindo Sundaram、Diego Zamboni、「Analysis of a Denial of Service Attack on TCP」、IEEE Symposium、1997年5月、p.208−223 C. Hedrick、「Routing Information Protocol」、RFC1058、1998年6月 J. Moy、「OSPF Version 2」、RFC15831994年3月 J. Lemon、「Resisting SYN flooding DoS attacks with a SYN cache」、Proceedings of USENIX BSDCon'2002、2002年2月、p.89−98
対異常通信防御装置を、個人や企業のネットワークと通信事業者のネットワークとの接続点に設置しただけでは防御できない攻撃が存在する。そのため、通信事業者のネットワークの上流側接続点に設置するエッジルータに、対異常通信防御機能を追加して、異常通信を行うホストを探知し、探知したホストからの異常通信の排除又は異常通信の帯域制御を実施すると共に、正規通信を保護する必要がある。
このような、対異常通信防御装置を用いた異常通信の排除を、図22を参照して説明する。
ある攻撃ユーザのホスト1701から別のホスト1702に向けて、送信シーケンス番号(SEQ番号)をAとして、送信元IPアドレスを偽装して送信されたSYNパケット1703が対異常通信防御装置1700に到着すると、ランダムな値BをSEQ番号に付与した(処理1708)SYN−ACKパケット1704が、偽装した送信元IPアドレス宛に返信される。攻撃ユーザのホスト1701は、送信元IPアドレスを偽装したため、SYN−ACKパケット1704を受信することができず(処理1706)、対異常通信防御装置1700がSYN−ACKパケット1704に付与したSEQ番号の値Bを知ることができない。仮に、攻撃ユーザのホスト1701が、値BをEと予測して、ACK番号をE+1に設定したACKパケット1705を接続要求先ホスト1702に向けて送信しても(処理1707)、ACK番号が予測値のB+1と一致しないため、前記送信元IPアドレスと接続要求先ホスト1702との間の通信は異常と判定され、ACKパケット1705は廃棄される(処理1709)。
このように、異常通信が送信元やSEQ番号、ACK番号を偽っているために、対異常通信防御装置1700によって、その通信が遮断される。
一方、このような対異常通信防御は、正規通信と判定されたパケットについて、図2に示すように、接続要求先ホスト1602から送られてくるSYN−ACKパケット1610に記載されたSEQ番号Cを用いて、接続要求先ホスト1602からのデータパケット1613のSEQ番号を変換する処理1619を行うため、通信の往路と復路が同一である必要がある。一方、非特許文献2,3によるルーティングを用いた通信事業者のネットワークでは、通信の往路と復路が異なる場合があるため、前述の対異常通信防御を用いると、正常に通信が行えないという問題があった。
この、通信の往路と復路が異なるときに、前述の対異常通信防御を用いると、正常に通信が行えない問題について、図23と図24を用いて詳細に説明する。
図23は、ある正規ユーザのホスト1811が、あるホスト1812に向けて通信を行う場合を示す。正規ユーザのホスト1811とホスト1812との間には、4つのネットワーク1801〜1804が存在し、往路はネットワーク1801と対異常通信防御装置1820を経由する経路1840に設定され、復路は、通信装置1822によって、ネットワーク1803を経由する経路1850に設定される。このとき、正規ユーザのホスト1811が、ホスト1812に向けて送信シーケンス番号(SEQ番号)をAとしてSYNパケット1903を送信すると、対異常通信防御装置1820によって、ランダムな値BをSEQ番号に付与した(処理1910)SYN−ACKパケット1904がホスト1811に返信される。さらに、その後、ホスト1811が、接続要求先ホスト1812に向けてACKパケット1905を送信すると、対異常通信防御装置1820が、ACKパケット1905の受信シーケンス番号(ACK番号)が処理1910で付与したSEQ番号+1と一致するか否かを判定し、一致する場合のみ正規通信と判定して(処理1911)、SEQ番号をA、ACK番号を0としたSYNパケット1908を接続要求先ホスト1812に向けて送信する。SYNパケット1908を受け取った接続要求先ホスト1812は、ランダムな値CをSEQ番号に付与した(処理1913)SYN−ACKパケット1906を接続要求元ホスト1811に向けて返信する。このSYN−ACKパケット1906は、経路1850を通って正規ユーザのホスト1811に到達するため、対異常通信防御装置1820において、SEQ番号の変換処理が行われない。そのため、SYN−ACKパケット1906のSEQ番号は、正規ユーザのホスト1811が期待する値Bと異なることとなり、廃棄される(処理1830及び1912)。また、対異常通信防御装置1820は、SYN−ACKパケット1906を受信できないため、正規ユーザのホスト1811が送信したデータパケット1907を通過させることができない(処理1914)。なお、攻撃ユーザ1810からの異常通信1860は、対異常通信防御装置1820によって排除することができる。
前述の対異常通信防御は、ランダムに生成した送信元偽装アドレスから大量の接続要求を特定のホストに送りつけるような攻撃が大規模に行われると、セッションテーブルに記録される通信データの量が増大する。そのため、接続要求元ホストと接続要求先ホストとの間のRTT(Round Trip Time)が大きく状態遷移が遅い正規通信に関する通信データが、更新頻度が低くなることで上書きされやすくなり、正規通信の保護に失敗する確率が高まるという問題があった。
本発明は、このような問題点を解決するために、対異常通信防御を複数の接続点を持つ通信事業者のネットワークにおいて使用可能とするルーティング方式を備えた通信装置と、大規模な異常通信が行われてもRTTが大きい正規通信の保護に失敗する確率を最小化する対異常通信防御方式を備えた対異常通信防御装置と、これらの装置を備えたネットワークシステムと、を提供することを目的とする。
本発明による一実施形態によると、ネットワークで転送されるパケットを受信し、前記パケットを当該パケットの宛先に基づいて送信する通信装置であって、前記通信装置は、前記パケットを前記ネットワークへ入出力する複数の回線に接続され、一つ又は複数の回線へのパケットの入出力を制御する複数のネットワークインターフェースと、前記パケットを前記ネットワークインターフェースにスイッチングするスイッチ部と、前記宛先の情報を格納するルーティングテーブルを格納する記憶部と、を備え、前記ルーティングテーブルは、TCPプロトコル用の第1のルーティングテーブルと、前記TCPプロトコル以外の第2のルーティングテーブルと、を含み、前記記憶部は、前記パケットを送信するときに、前記第1及び第2のルーティングテーブルのいずれを用いるかを決定するための情報を格納するルーティング種別登録情報を格納し、前記ネットワークインターフェースは、パケットを送信する回線番号を決定するルーティング部と、前記スイッチ部を経由したパケットがTCPプロトコルを用いたSYNパケットであるかを判定するTCP−SYN判定部と、を備え、前記回線から入力されたパケットを、前記ルーティング部を経由させ前記スイッチ部へ入力し、前記スイッチ部から入力されたパケットを前記TCP−SYN判定部がTCPプロトコルを用いたSYNパケットであると判定した場合、当該パケットを前記ルーティング部を経由させて、前記ネットワークへ出力し、前記スイッチ部から入力されたパケットを前記TCP−SYN判定部がTCPプロトコルを用いたSYNパケットでないと判定した場合、当該パケットを前記ルーティング部を経由させずに、前記ネットワークへ出力し、前記ルーティング部は、前記パケットのプロトコルの種別を判定する種別判定部と、前記パケットに付加されているフラグの種別を判定する付加情報判定部と、前記ルーティング種別登録情報を参照して、前記受信したパケットの転送に用いるルーティングテーブルを判定するルーティング判定部と、を備え、前記ルーティング判定部が、前記受信したパケットの転送に用いるルーティングテーブルが第1のルーティングテーブルであると判定し、かつ、前記付加情報判定部が、当該パケットに付加されているフラグがSYNであると判定した場合は、当該パケットの送信元アドレスと当該パケットを受信した回線番号とを関連付けて前記第1のルーティングテーブルに格納し、前記ルーティング判定部が、前記受信したパケットの転送に用いるルーティングテーブルが第1のルーティングテーブルであると判定し、かつ、前記付加情報判定部が、当該パケットに付加されているフラグがSYNでないと判定した場合は、当該パケットの宛先アドレスと一致する宛先アドレスに関連付けられた回線番号を前記第1のルーティングテーブルから取得し、前記取得された回線番号を経由して当該パケットを送信し、前記ルーティング判定部が、前記受信したパケットに用いるルーティングテーブルが第2のルーティングテーブルであると判定した場合、又は、前記種別判定部が、前記受信したパケットのプロトコルがTCPプロトコルでないと判定した場合、当該パケットの宛先アドレスと一致する宛先アドレスに関連付けられた回線番号を前記第2のルーティングテーブルから取得し、前記取得された回線番号を経由して当該パケットを送信することを特徴とする。
本発明によると、複数の接続点を持つ通信事業者のネットワークにおいて、対異常通信防御を可能とするルーティング方式を実現でき、さらに、大規模な異常通信が行われてもRTTが大きい正規通信の保護に失敗する確率を最小化する対異常通信防御方式を備えた装置及びネットワークシステムを実現できる。
まず、本発明の実施の形態のネットワークシステムについて説明する。
図1は、本発明の実施の形態のネットワークシステムの説明図である。この図は、ネットワーク1504において、上流側ネットワークに複数の接続点で対異常通信装置1600を設置し、異常通信の防御を実行する処理を示す。
図1に示すネットワークシステムは、通信装置1522と、対異常通信防御装置1600及び1521を備えるネットワーク1504と、上流側のネットワーク1501、1502及び1503とを含んで構成される。
また、ネットワーク1502にはホスト1601が接続され、ネットワーク1504にはホスト1602が接続されている。ホスト1601は、ホスト1602への正規の接続要求を送信する正規ユーザのホストとして登録されている。
ホスト1601は、ネットワーク1502、1501及び1504を経由して、ホスト1602に接続要求を送信する。この接続要求は、ネットワーク1501を経由し、対異常通信防御装置1600を介して、ネットワーク1504を経由する経路1540によってホスト1602に送信される。
対異常通信防御装置1600は、ネットワーク1504に送信される通信データの内容から、異常通信であるか否かを判定し、異常通信であると判定した場合は、当該通信を遮断する。
通信装置1522は、ルーティング部を備え、受信したパケットを適切な宛先に送信する。
次に、以上のように構成されたネットワークシステムの動作を説明する。
図2は、本発明の実施の形態のネットワークシステムの動作を示すシーケンス図である。
この図2のシーケンス図は、正規ユーザのホストであるホスト1601から送信された接続要求が、ネットワーク1504の対異常通信防御装置1600を介して、ホスト1602に送信されるときの処理を示す。
正規ユーザのホスト1601は、ホスト1602を宛先として、送信シーケンス番号(以下、「SEQ番号」と称呼する)を「A」に、受信シーケンス番号(以下、「ACK番号」と称呼する)を「0」に、それぞれ設定したSYNパケット1603を送信する。このSYNパケット1603は、ネットワーク1502及び1501を経由して、ネットワーク1504の対異常通信防御装置1600が受信する。
対異常通信防御装置1600は、SYNパケット1603を受信すると、ランダムな値「B」をSEQ番号に付与し、ACK番号に「A+1」を付与したSYN−ACKパケット1604を生成する(処理1614)。そして、このSYN−ACKパケット1604を、接続要求元のホスト1601に返信する。
ホスト1601は、SYN−ACKパケット1604を受信すると、接続要求先ホスト1602を宛先として、SEQ番号を「A+1」に、ACK番号を「B+1」に、それぞれ設定したACKパケット1605を送信する。
対異常通信防御装置1600は、ACKパケット1605を受信すると、このACKパケット1605のACK番号を参照して、このACK番号が、処理1614で付与したSEQ番号に1を加算した値と一致するか否かを判定する。ACK番号が一致した場合は、対異常通信防御装置1600は、正規の通信と判定する(処理1615)。そして、SEQ番号を「A」に、ACK番号を「0」にそれぞれ設定したSYNパケット1609を生成する。このSYNパケット1609を、ホスト1601からの接続要求の宛先であるホスト1602を宛先として送信する。このSYNパケット1609は、ネットワーク1504において、通信装置1522を介してホスト1602に送信される。
接続要求先のホスト1602は、SYNパケット1609を受信すると、ランダムな値「C」をSEQ番号に付与し、ACK番号に「A+1」を付与したSYN−ACKパケット1610を生成する(処理1617)。そして、このSYN−ACKパケット1610を、接続要求元のホスト1601に返信する。
対異常通信防御装置1600は、SYN−ACKパケット1610を受信すると、前述のように、SEQ番号を「A+1」に、ACK番号を「C+1」に、それぞれ設定したACKパケット1611を、接続要求先ホスト1602を宛先として送信する。
ここで、接続要求元のホスト1601は、ACKパケット1605を送信した後、通常のデータパケット1606を、ホスト1602を宛先として送信する。
対異常通信防御装置1600は、ACKパケット1611を接続要求先のホスト1602に送信する処理が完了するまでは、受信したデータパケット1606をバッファに蓄積する(処理1616)。そして、ACKパケット1611を接続要求先のホスト1602に送信する処理が完了したときは、対異常通信防御装置1600は、SYN−ACKパケット1604のSEQ番号「B」とSYN−ACKパケット1610のSEQ番号「C」との差分値をACK番号から減算して、TCPチェックサムを再計算する(処理1618)そして、このTCPチェックサムを付与したデータパケット1612を、接続要求先のホスト1602を宛先として送信する。
一方、接続要求先のホスト1602から送信されたデータパケット1613は、対異常通信防御装置1600が受信する。対異常通信防御装置1600は、SYN−ACKパケット1604のSEQ番号「B」とSYN−ACKパケット1610のSEQ番号「C」との差分値をSEQ番号に加算して、TCPチェックサムを再計算する(処理1619)。そして、このTCPチェックサムを付与したデータパケット1608を、接続要求元のホスト1601を宛先として送信する。
図3は、ネットワーク1504における、対異常通信防御装置1600、通信装置1522及びホスト1602の通信のシーケンス図である。
対異常通信防御装置から、接続要求先のホスト1602を宛先として送信されたSYNパケット1609は、ネットワーク1504の通信装置1522が受信する。
通信装置1522は、受信したSYNパケットから、送信元IPアドレス及び入力回線番号を取得して、これらを、それぞれ宛先IPアドレス及び出力回線番号としてTCP向けルーティングテーブルに登録する(処理301)。そして、通信装置1522は、SYNパケット1609を通常のルーティングテーブルに従って転送する(処理302)。
接続要求先のホスト1602は、SYNパケット1609を受信すると、ランダムな値「C」をSEQ番号に付与したSYN−ACKパケット1610を生成する(処理1617)そして、このSYN−ACKパケット1610を、接続要求元のホスト1601を宛先として返信する。
通信装置1522は、このSYN−ACKパケット1610を受信すると、宛先IPアドレスを取得して、TCP向けルーティングテーブルを参照する。そして、処理301で登録されたSYNパケット1609の入力回線に、このSYN−ACKパケット1610を転送する(処理303)。
この通信装置1522の処理によって、SYN−ACKパケット1610は、ネットワーク1504において、経路1550を通るようになり、他の対異常通信防御装置1521ではなく、SYNパケット1609を受信した対異常通信防御装置1600に必ず到着する。このようにすることによって、ACKパケット1611を接続要求先ホスト1602に向けて送信する処理や、SYN−ACKパケット1604のSEQ番号BとSYN−ACKパケット1610のSEQ番号Cの差分を、データパケット1606のACK番号から減算して、TCPチェックサムを再計算する処理1618などが正常に行えるようになる。
また、接続要求先のホスト1602から送信されたデータパケット1613は、同様に、処理301でTCP向けルーティングテーブルに登録されたSYNパケット1609の入力回線に転送される。この結果、データパケット1611は、対異常通信防御装置1600に必ず到着する。そのため、SYN−ACKパケット1604のSEQ番号BとSYN−ACKパケット1610のSEQ番号Cの差分を、データパケット1613のSEQ番号に加算して、TCPチェックサムを再計算する処理1619が正常に行えるようになる。なお、攻撃ユーザ1510の異常通信は、対異常通信防御装置1600で排除される。
図4は、本発明の実施の形態のネットワークシステムの動作を示すシーケンス図であり、対異常通信防御装置1600が、バッファ蓄積処理1616を行わない場合の処理を示す。
前述のように、接続要求元のホスト1601が接続要求先ホスト1602を宛先として送信したSYNパケット1603は、対異常通信防御装置1600を介して、SYNパケット1609として送信される。接続要求先ホスト1602は、接続要求元のホスト1601を宛先としたSYN−ACKパケット1610を送信する。対異常通信防御装置1600は、このSYN−ACKパケット1610を受信すると、ACKパケット1611を送信する。
ここで、接続要求元のホスト1601は、ACKパケット1605を送信した後、通常のデータパケット1606を、ホスト1602を宛先として送信する。
対異常通信防御装置1600は、ACKパケット1611を接続要求先のホスト1602に送信する処理が完了するまでは、受信したデータパケット1606を破棄する(処理2316)。
接続要求元のホスト1601は、データパケット1606が破棄されたことを知ると、そのデータパケット2306を再送する(処理2317)。
そして、ACKパケット1611を接続要求先のホスト1602に送信する処理が完了した後に、対異常通信防御装置1600がデータパケット2306を受信すると、対異常通信防御装置1600は、前述のように、SYN−ACKパケット1604のSEQ番号「B」とSYN−ACKパケット1610のSEQ番号「C」との差分値をACK番号から減算して、TCPチェックサムを再計算する(処理2318)そして、このTCPチェックサムを付与したデータパケット2312を、接続要求先のホスト1602を宛先として送信する。以降の処理は、前述の図2と同一である。
このように、ネットワーク1504において、対異常通信防御装置1600及び通信装置1522の処理によって、送受信されるパケットは、必ず、そのパケットの送信元のパケットを受け取った対異常通信防御装置1600を経由して送信される。
次に、本発明の通信装置について説明する。
図5は、本発明の実施の形態の通信装置の構成ブロック図である。
通信装置2000は、パケットを受け取ると、そのパケットのヘッダ情報から宛先IPアドレスやSYN番号、ACK番号等を抽出して、これらに基づいたルーティングをして、適切な宛先に送信する。
通信装置2000は、N個のネットワークインターフェース2001−n(n=1〜N)と、スイッチ部2002とから構成される。
スイッチ部2002は、パケットを適切なネットワークインターフェース2001にスイッチングする。
ネットワークインターフェース2001−nは、K個の回線2003−n−k(k=1〜K)と、各回線2003−n−kに対応した回線番号付与部2004−n−k(k=1〜K)及び回線番号削除部2005−n−k(k=1〜K)と、入力パケット集約部2006−nと、ルーティング部100−nと、フロー制御部2007−nと、内部スイッチング部2009−nと、TCP−SYN判定部2011−nと、出力パケット集約部2012−nと、出力パケット配線部2010−nとを含む。以下、n=1の場合について述べる。
回線番号付与部2004−1−k(k=1〜K)は、回線2003−1−kから入力されたパケットに回線番号を付与して装置内部用フォーマットに変換する。入力パケット集約部2006−1は、回線番号付与部2004−1からのパケットデータとTCP−SYN判定部2011−1からのパケットデータとを集約する。ルーティング部100−1は、集約されたパケットデータの出力回線番号を決定する。フロー制御部2007−1は、QoS(Quality of Service)制御等のパケットのフローを制御する。内部スイッチング部2009−1は、出力回線番号が回線2003−1−k宛でないパケットデータ2020−1をスイッチング部2002に出力する。また、出力回線番号が回線2003−1−k宛であるパケットデータを後述の出力パケット集約部2012−1に出力する。TCP−SYN判定部2011−1は、スイッチング部2002から受け取ったスイッチング済みのパケットデータ2021−1がTCPプロトコルを用いたSYNパケットである場合に入力パケット集約部2006−1に出力する。また、TCPプロトコルを用いたSYNパケットでない場合に後述の出力パケット集約部2012−1に出力する。出力パケット集約部2012−1は、内部スイッチング部2009−1とTCP−SYN判定部2011−1からのパケットデータを集約する。出力パケット配線部2010−1は、パケットデータの出力回線番号に応じて回線番号削除部2005−1−k(k=1〜K)のいずれかにパケットデータを出力する。回線番号削除部2005−1−kは、装置内部用フォーマットのパケットデータから回線番号を削除して元のフォーマットに戻して、回線2003−1−kにパケットを送る。
次に、通信装置2000のルーティング部100について説明する。
図6は、通信装置2000が備えるルーティング部100の構成ブロック図である。
ルーティング部100は、IPヘッダ抽出部101と、TCPヘッダ抽出部102と、入力回線番号抽出部103と、TCP判定部105と、SYN判定部106と、ルーティング種別登録テーブル113と、ルーティング判定部108と、通常のルーティングテーブル115と、TCP向けルーティングテーブル116と、出力回線番号検索部1(110)と、出力回線番号検索部2(111)と、テーブル書き込み部112と、出力回線番号選択部107と、出力回線番号付与部104とを含む。
IPヘッダ抽出部101は、入力パケットデータ120からIPヘッダを抽出する。TCPヘッダ抽出部102は、入力パケットデータ120からTCPヘッダを抽出する。入力回線番号抽出部103は、入力パケットデータ120から入力回線番号を抽出する。TCP判定部105は、入力パケットデータ120のプロトコルがTCPか否かを判定する。SYN判定部106は、入力パケットデータ120のTCPフラグがSYNか否かを判定する。ルーティング種別登録テーブル113は、パケットの種類毎に、通常のルーティングをするか、TCP向けルーティングをするかを決定するルーティング種別を登録する。ルーティング判定部108は、ルーティング種別登録テーブル113を用いて入力パケットデータ120のルーティング種別を判定する。通常のルーティングテーブル115は、ルーティングプロトコルを用いて宛先IPアドレス毎に出力回線番号を記録する。TCP向けルーティングテーブル116は、TCPフラグがSYNであるパケットの送信元IPアドレスと入力回線番号を用いて、宛先IPアドレス毎に出力回線番号を記録する。出力回線番号検索部1(110)は、通常のルーティングテーブル115から入力パケットデータ120の宛先IPアドレスに対応した出力回線番号を検索する。出力回線番号検索部2(111)は、TCP向けルーティングテーブル116から入力パケットデータ120の宛先IPアドレスに対応した出力回線番号を検索する。テーブル書き込み部112は、入力パケットデータ120を用いて宛先IPアドレス毎に出力回線番号を記録する。出力回線番号選択部107は、ルーティング種別とパケットの種類に応じて出力回線番号検索部1(110)の検索結果と出力回線番号検索部2(111)の検索結果とのいずれかを選択する。出力回線番号付与部104は、出力回線番号選択部107が選択した出力回線番号128を入力パケットデータ120に付与する。
図7は、ルーティング部100に入力されるパケットデータ120の説明図である。
通信装置2000において、回線番号付与部2004−1−kは、受信したパケットに自身の回線番号を付与して内部用のパケットデータ120を作成する。この内部用のパケットデータ120は、入力パケット集約部2006を介してルーティング部100に入力される。
パケットデータ120は、InLine2201と、OutLine2202と、SMAC2203と、DMAC2204と、Proto2205と、SIP2206と、DIP2207と、Sport2208と、Dport2209と、Flag2210と、ChkSum2211と、SEQ2212と、ACK2213と、OtherHeader2214と、Payload2215と、を含む。
InLine2201は、パケットが入力した回線の識別番号である入力回線番号を格納する。OutLine2202は、パケットを出力する回線の識別番号である出力回線番号を格納する。SMAC2203は、データリンク層の送信元アドレスである送信元MACアドレスを格納する。DMAC2204は、宛先アドレスである宛先MACアドレスを格納する。Proto2205は、ネットワーク層のプロトコルを格納する。SIP2206は、送信元アドレス、すなわち、送信側のホストのアドレスである送信元IPアドレスを格納する。DIP2207は、宛先アドレス、すなわち、受信側のホストのアドレスである宛先IPアドレスを格納する。Sport2208は、TCPの送信元ポートを格納する。Dport2209は、TCPの宛先ポートを格納する。Flag2210はTCPフラグを格納する。ChkSum2211は、TCPチェックサムを格納する。SEQ2212は、送信シーケンス番号(SEQ番号)を格納する。ACK2213は、受信シーケンス番号(ACK番号)を格納する。OtherHeader2214は、その他のIP/TCPヘッダデータを格納する。Payload2215は、パケットヘッダ以外のデータを格納する。
次に、ルーティング部100の動作を説明する。
ルーティング部100は、パケットデータ120が入力され、このパケットデータ120をルーティングしたパケットデータ124を出力する。
ルーティング部100に入力された入力パケットデータ120は、IPヘッダ抽出部101と、TCPヘッダ抽出部102と、入力回線番号抽出部103と、ルーティング判定部108とに入力される。
IPヘッダ抽出部101は、入力パケットデータ120から、Proto2205と、SIP2206と、DIP2207とを含むIPヘッダデータ125を抽出する。そして、抽出されたIPヘッダデータ125を、TCP判定部105、出力回線番号検索部1(110)、出力回線検索部2(111)及びテーブル書き込み部112に出力する。
TCPヘッダ抽出部102は、入力パケットデータ120から、Flag2210を含むTCPヘッダデータ126を抽出する。そして、抽出されたTCPヘッダデータを、SYN判定部106に出力する。
入力回線番号抽出部103は、入力パケットデータ120から、InLine2201を含む入力回線番号データ127を抽出する。そして、抽出された入力回線番号データ127を、テーブル書き込み部112に出力する。
ルーティング判定部108は、ルーティング種別登録テーブル113を検索する。
図8Aは、ルーティング種別登録テーブル113の一例の説明図である。
ルーティング種別登録テーブル113は、M個のエントリ113(113−1〜113−M)を含む。
エントリ113−m(m=1〜M)は、InLine113−m−1(m=1〜M)と、OutLine113−m−2(m=1〜M)と、SMAC113−m−3(m=1〜M)と、DMAC113−m−4(m=1〜M)と、Proto113−m−5(m=1〜M)と、SIP113−m−6(m=1〜M)と、DIP113−m−7(m=1〜M)と、Sport113−m−8(m=1〜M)と、Dport113−m−9(m=1〜M)と、RoutingType113−m−10(m=1〜M)と、を含む。
InLine113−m−1は、入力回線番号の条件を格納する。OutLine113−m−2は、出力回線番号の条件を格納する。SMAC113−m−3は、送信元MACアドレスの条件を格納する。DMAC113−m−4は、宛先MACアドレスの条件を格納する。Proto113−m−5は、ネットワーク層のプロトコルの条件を格納する。SIP113−m−6は、送信元IPアドレスの条件を格納する。DIP113−m−7は、宛先IPアドレスの条件を格納する。Sport113−m−8は、TCPの送信元ポートを格納する。Dport113−m−9は、TCPの宛先ポートを格納する。RoutingType113−m−10は、通常のルーティング又はTCP向けルーティングを示す情報を格納する。
より具体的には、ルーティング判定部108は、ルーティング種別登録テーブル113から、入力パケットデータ120と条件が一致するエントリ113−mを検索する(処理132)。そして、検索されたエントリ113−mに含まれるRoutingType113−m−10をルーティング種別判定結果129として、テーブル書き込み部112及び出力回線選択部107に出力する。
IPヘッダ抽出部101が出力したIPヘッダデータ125は、TCP判定部105に入力される。
TCP判定部105は、IPヘッダデータ125に含まれるProto2205を参照して、プロトコルがTCPであるか否かを判定する。プロトコルがTCPであると判定した場合は「一致」を示すTCP判定結果130を、プロトコルがTCP以外であると判定した場合は「不一致」を示すTCP判定結果130を、テーブル書き込み部112及び出力回線選択部107に出力する。
TCPヘッダ抽出部102が出力したTCPヘッダデータ126は、SYN判定部106に入力される。
SYN判定部106は、TCPヘッダデータ126に含まれるFlag2210を参照して、TCPフラグがSYNか否かを判定する。TCPフラグがSYNの場合は「一致」を示すSYN判定結果131を、TCPフラグがSYN以外の場合は「不一致」を示すSYN判定結果131を、テーブル書き込み部112及び出力回線選択部107に出力する。
IPヘッダ抽出部101が出力したIPヘッダデータ125は、出力回線番号検索部110と出力回線番号検索部111とに入力される。
出力回線番号検索部1(110)は、通常のルーティングテーブル115を参照して、IPヘッダデータ125に含まれるDIP2207に対応する出力回線番号を検索する。
図8Bは、通常のルーティングテーブル115の一例の説明図である。
通常のルーティングテーブル115は、M個のエントリ115−m(m=1〜M)を含む。
エントリ115−mは、DIP115−m−1(m=1〜M)と、OutLine115−m−2(m=1〜M)とを含む。DIP115−m−1は、宛先IPアドレスの条件を格納する。OutLine115−m−2は、出力回線番号を格納する。
より具体的には、出力回線番号検索部1(110)は、通常のルーティングテーブル115を参照して、IPヘッダデータ125に含まれるDIP2207の宛先IPアドレスが一致するエントリ115−mを検索する(処理134)。そして、検索されたエントリ115−mに含まれるOutLine115−m−2を、通常のルーティングテーブル検索結果140として、出力回線番号選択部107に出力する。
出力回線番号検索部2(111)は、TCP向けルーティングテーブル116を参照して、IPヘッダデータ125に含まれるDIP2207に対応する出力回線番号を検索する。
図8Cは、TCP向けルーティングテーブル116の一例の説明図である。
TCP向けルーティングテーブル116は、M個のエントリ116−m(m=1〜M)を含む。
エントリ116−mは、DIP116−m−1(m=1〜M)と、OutLine116−m−2(m=1〜M)とを含む。DIP116−m−1は、宛先IPアドレスの条件を格納する。OutLine116−m−2は、出力回線番号を格納する。
より具体的には、出力回線番号検索部2(111)は、TCP向けルーティングテーブル116を参照して、IPヘッダデータ125に含まれるDIP2207の宛先IPアドレスが一致するエントリ116−mを検索する(処理135)。そして、検索されたエントリ116−mに含まれるOutLine116−m−2を、TCP向けルーティングテーブル検索結果141として、出力回線番号選択部107に出力する。
IPヘッダ抽出部101が出力したIPヘッダデータ125と、ルーティング判定部108が出力したルーティング種別判定結果129と、TCP判定部105が出力したTCP判定結果130と、SYN判定部106が出力したSYN判定結果131と、入力回線番号抽出部103が出力した入力回線番号データ127とは、テーブル書き込み部112に入力される。
テーブル書き込み部112は、ルーティング種別判定結果129がTCP向けルーティングであり、TCP判定結果130が「一致」であり、かつ、SYN判定結果131が「一致」である場合は、IPヘッダデータ125に含まれるSIP2206と入力回線番号データ127に含まれるInLine2201とを取得する。そして、取得したSIP2206をDIP116−m−1に設定し、取得したInLine2201をOutLine116−m−2に設定したエントリ116−mを、TCP向けルーティングテーブル116に登録する(処理136)。
また、ルーティング判定部108が出力したルーティング種別判定結果129と、TCP判定部105が出力したTCP判定結果130と、SYN判定部106が出力したSYN判定結果131と、出力回線番号検索部110が出力した通常のルーティングテーブル検索結果140と、出力回線番号検索部111が出力したTCP向けルーティングテーブル検索結果141とは、出力回線番号選択部107に入力される。
出力回線番号選択部107は、ルーティング種別判定結果129がTCP向けルーティングでない場合、ルーティング種別判定結果129がTCP向けルーティングであり、かつ、TCP判定結果130が「不一致」である場合、又は、ルーティング種別判定結果129がTCP向けルーティングであり、かつ、TCP判定結果130が「一致」であり、かつ、SYN判定結果130が「一致」である場合、は、通常のルーティングテーブル検索結果140に含まれるOutLine115−m−2を、最終的なルーティング検索結果である出力回線番号128として、出力回線番号付与部104に出力する。一方、ルーティング種別判定結果129がTCP向けルーティングであり、かつ、TCP判定結果130が「一致」であり、かつ、SYN判定部106が「不一致」である場合は、TCP向けルーティングテーブル検索結果141に含まれるOutLine116−m−2を、最終的なルーティング検索結果である出力回線番号128として、出力回線番号付与部104に出力する。
また、ルーティング部100に入力された入力パケットデータ120と、出力回線番号選択部107が出力した出力回線番号128と、は、出力回線番号付与部104に入力される。
出力回線番号付与部104は、受信した入力パケットデータ120に、出力回線番号128をOutLine2202として付加して、新たなパケットデータ124を生成する。そして、このパケットデータ124を、フロー制御部2007に出力する。
図9は、ルーティング部100の処理のフローチャートである。
初めに、ルーティング種別判定部108が、ルーティング種別がTCP向けルーティングであるか否かを判定する(ステップ201)。TCP向けルーティングと判定した場合は、次に、TCP判定部105が、入力パケットデータ120がTCPパケットであるか否かを判定する(ステップ202)。TCPパケットと判定した場合は、次に、SYN判定部106が、入力パケットデータ120がSYNパケットであるか否かを判定する(ステップ203)。SYNパケットと判定した場合は、次に、テーブル書き込み部112が、IPヘッダデータ125に含まれる送信元IPであるSIP2206と、入力回線番号データ127に含まれるInLine2201と、を、それぞれ、DIP116−m−1と出力回線番号OutLine116−m−2とに設定したエントリ116−mを、TCP向けルーティングテーブル116に登録する(ステップ204)。
一方、ステップ201において、判定結果がTCP向けルーティングではない場合、ステップ202において、判定結果がTCPパケットではない場合、又は、ステップ203において、判定結果がSYNパケットである場合は、通常のルーティングテーブル検索結果140に含まれるOutLine115−m−2が最終的なルーティング検索結果128となる。すなわち、通常のルーティングテーブル検索結果140に従って、パケットデータ120をルーティングする(ステップ205)。
また、ステップ203において、判定結果がSYNパケットでないと判定した場合は、TCP向けルーティングテーブル検索結果141に含まれるOutLine116−m−2を最終的なルーティング検索結果128と判断する。すなわち、TCP向けルーティングテーブル検索結果141に従って、パケットデータ120をルーティングする(ステップ206)。
次に、本発明の対異常通信防御装置について説明する。
図10は、本発明の実施の形態の対異常通信防御装置の構成ブロック図である。
対異常通信防御装置2100は、N個のネットワークインターフェース2101−n(n=1〜N)と、パケットを適切なネットワークインターフェース2101−nにスイッチングするスイッチ部2102と、から構成される。
ネットワークインターフェース2101−nは、K個の回線2103−n−k(k=1〜K)と、各回線2103−n−kに対応した回線番号付与部2104−n−k(k=1〜K)及び回線番号削除部2105−n−k(k=1〜K)と、入力パケット集約部2106−nと、ルーティング部2108−nと、パケット集約部2112−nと、対異常通信防御部400−nと、フロー制御部2107−nと、内部スイッチング部2109−nと、出力パケット配線部2110−nとを含む。以下、n=1の場合について述べる。
対異常通信防御部400−1は、異常通信を送信するホストを探知したり、探知したホストからの異常通信の排除又は帯域制御を実行すると同時に、正規通信を保護する。
また、ルーティング部2108−1は、前述したルーティング部100とは異なり、従来の一般的なルーティングのみを実行する。すなわち、受信したパケットを通常のルーティングテーブルによってルーティングして、その結果を出力する。
また、その他の構成は前述した通信装置2000の構成とほぼ同様である。すなわち、K個の回線2103−n−k(k=1〜K)と、回線2103−n−kから入力されたパケットに回線番号を付与して装置内部用フォーマットに変換する回線番号付与部2104−n−1〜Kと、回線番号付与部2104−n−kからのパケットデータを集約する入力パケット集約部2106−nと、スイッチング部2102から受け取ったスイッチング済みパケットデータ2121−nとルーティング部2108−nから受け取ったパケットデータとを集約するパケット集約部2112−nと、QoS(Quality of Service)制御等のパケットのフローを制御するフロー制御部2107−nと、出力回線番号が回線2103−n−k(k=1〜K)宛でないパケットデータ2120−nをスイッチング部2102へ出力し、また、出力回線番号が回線2103−n−k(k=1〜K)宛であるパケットデータを出力パケット配線部2110−nに出力する内部スイッチング部2109−nと、パケットデータの出力回線番号に応じて回線番号削除部2105−n−k(k=1〜K)のいずれかにパケットデータを出力する出力パケット配線部2110−nと、装置内部用フォーマットのパケットデータから回線番号を削除して元のフォーマットに戻す回線番号削除部2105−n−kと、を含む。
対異常通信防御部400に入力されるパケットデータ470は、前述の図7と同様である。
すなわち、パケットが入力した回線の識別番号である入力回線番号を格納するInLine2201と、パケットを出力する回線の識別番号である出力回線番号を格納するOutLine2202と、データリンク層の送信元アドレスである送信元MACアドレスを格納するSMAC2203と、宛先アドレスである宛先MACアドレスを格納するDMAC2204と、ネットワーク層のプロトコルを格納するProto2205と、送信元アドレス(送信側ホストのIPアドレス)である送信元IPアドレスを格納するSIP2206と、宛先アドレス(受信側ホストのIPアドレス)である宛先IPアドレスを格納するDIP2207と、TCPの送信元ポートを格納するSport2208と、TCPの宛先ポートを格納するDport2209と、TCPフラグを格納するFlag2210と、TCPチェックサムを格納するChkSum2211と、送信シーケンス番号(SEQ番号)を格納するSEQ2212と、受信シーケンス番号(ACK番号)を格納するACK2213と、その他のIP/TCPヘッダデータを格納するOtherHeader2214と、パケットヘッダ以外のデータを格納するPayload2215と、を含む。
図11は、本発明実施の形態の対異常通信防御装置2100の対異常通信防御部400の構成ブロック図である。
対異常通信防御部400は、異常通信探知部471と、フィルタリング部479と、帯域制御部480と、IPヘッダ抽出部401と、TCPヘッダ抽出部402と、アドレス生成部407と、TCP判定部408と、SYN判定部409と、SYN−ACK判定部410と、ACK判定部411と、タイマー429と、SIP−DIPテーブル422と、SIP−DIP更新部412と、SIP−DIP一致判定部413と、DIP−SIP一致判定部414と、時間更新部415と、制限時間テーブル424と、制限時間超過判定部416と、制限時間更新部417と、制限時間保持部428と、SEQ番号テーブル425と、SEQ番号更新部418と、ACK一致判定部419と、状態テーブル426と、状態更新部420と、差分SEQテーブル427と、差分SEQ更新部421と、バッファ蓄積部432と、SEQ番号変換部403と、ACK番号変換部404と、パケット更新部405と、チェックサム更新部406と、パケット集約部475とを含む。
異常通信探知部471は、入力パケットデータ470を基に異常通信を探知し、探知結果に応じて入力パケットデータ430,472,473,474のいずれかを出力する。フィルタリング部479は、パケットデータをフィルタリングし、その結果、廃棄されなかったパケットデータ477を出力する。帯域制御部480は、パケットデータを帯域制御し、その結果、廃棄されなかったパケットデータ478を出力する。IPヘッダ抽出部401は、入力パケットデータ430からIPヘッダデータ437を抽出する。TCPヘッダ抽出部402は、入力パケットデータ430からTCPヘッダデータ438を抽出する。アドレス生成部407は、IPヘッダ抽出部401が抽出したIPヘッダデータ437からテーブルアドレス439を生成する。TCP判定部408は、IPヘッダデータ437を参照して、そのプロトコルがTCPであるか否かを判定する。SYN判定部409は、TCPヘッダデータ438を参照して、そのTCPフラグがSYNであるか否かを判定する。SYN−ACK判定部410は、TCPヘッダデータ438を参照して、そのTCPフラグがSYN−ACKであるか否かを判定する。ACK判定部411は、TCPヘッダデータ438を参照して、そのTCPフラグがACKか否かを判定する。タイマー429は、現在時刻441を生成する。SIP−DIP更新部412は、SIP−DIPテーブル422のテーブルアドレス439によって指定された領域に記録された送信元IPアドレス(SIP)と宛先IPアドレス(DIP)と、の内容を更新する。SIP−DIP一致判定部413は、SIP−DIPテーブル422のテーブルアドレス439によって指定された領域に記録された送信元IPアドレス(SIP)と宛先IPアドレス(DIP)とが、IPヘッダデータ437に含まれるSIP及びDIPと一致するか否かを判定する。DIP−SIP一致判定部414は、SIP−DIPテーブル422のテーブルアドレス439によって指定された領域に記録された送信元IPアドレス(SIP)と宛先IPアドレス(DIP)とが、IPヘッダデータ437に含まれるDIP及びSIPと一致するか否かを判定する。時間更新部415は、時間テーブル423のテーブルアドレス439によって指定された領域に記録された最新の通信時刻を更新する。制限時間超過判定部416は、時間テーブル423のテーブルアドレス439が指定する領域に記録された通信時刻と現在時刻441との差分が、制限時間テーブル424のテーブルアドレス439によって指定された領域に記録された制限時間を超過したか否かを判定する。制限時間更新部417は、制限時間テーブル424のテーブルアドレス439によって指定された領域に記録された制限時間を更新する。制限時間保持部428は、制限時間更新部417が使用する制限時間を予め記録する。SEQ番号更新部418は、SEQ番号テーブル425のテーブルアドレス439によって指定された領域に記録されたSEQ番号を更新する。ACK一致判定部419は、SEQ番号テーブル425のテーブルアドレス439によって指定された領域に記録されたSEQ番号と、TCPヘッダデータ438に含まれるACK番号に1を加算した値とが一致するか否かを判定する。状態更新部420は、状態テーブル426のテーブルアドレス439によって指定された領域に記録された判定結果を更新する。差分SEQ更新部421は、差分SEQテーブル427のテーブルアドレス439によって指定された領域に記録されたシーケンス番号の変換に使用するための値を変更する。バッファ蓄積部432は、パケットの通過又は廃棄が判定されるまで、入力パケットデータ430を一時的に蓄積する。SEQ番号変換部403は、通過と判定されたパケットのSEQ番号を変換する。ACK番号変換部404は、通過と判定されたパケットのACK番号を変換する。パケット更新部405は、制限時間更新部417が制限時間テーブル424に記録された制限時間を更新したとき、又は、状態更新部420が状態テーブル426に記録された判定結果を更新したときに、パケットデータ434を変換してパケットデータ435を生成して、このパケットデータ435をチェックサム更新部406に出力する。チェックサム更新部406は、パケットデータ435のTCPチェックサムを再計算してパケットデータ436を生成して、このパケットデータ436をパケット集約部475に出力する。パケット集約部475は、受信したパケットデータ472、436、477、478からパケットデータ476を生成して、生成されたパケットデータ476をフロー制御部2107に出力する。
SIP−DIPテーブル422は、テーブルアドレス439によって指定された領域に、送信元IPアドレス(SIP)と宛先IPアドレス(DIP)を記録する。時間テーブル423は、通信が実行されたときに、テーブルアドレス439によって指定された領域に、最新の通信時刻を記録する。制限時間テーブル424は、テーブルアドレス439によって指定された領域に、データの上書きを制限する時間を指定するための制限時間を記録する。SEQ番号テーブル425は、SYN−ACKパケットに付与するための送信シーケンス番号(SEQ番号)を記録する。状態テーブル426は、パケットを通過するか廃棄するか、の判定結果である通過/廃棄判定結果を記録する。差分SEQテーブル427は、通過すると判定されたパケットのシーケンス番号の変換に使用するための値を記録する。
次に、対異常通信防御装置2100の動作を説明する。
対異常通信防御部400には、パケットデータ470が入力され、このパケットデータ470を処理したパケットデータ476が出力される。
対異常通信防御部400に入力されたパケットデータ470は、異常通信探知部471に入力される。
異常通信探知部471は、パケットデータ470が異常か正常かを判定する。異常と判定されたパケットデータ470は、異常通信の種類(DDoS攻撃、DoS攻撃、ワーム攻撃、P2Pトラヒック等)を判定する。正常と判定されたパケットデータ470は、パケットデータ474として、パケット集約部476に出力する。また、異常通信であり、かつ、DDoS攻撃又はDoS攻撃と判定されたパケットデータ470は、パケットデータ430としてIPヘッダ抽出部401及びTCPヘッダ抽出部402に出力する。また、異常通信であり、かつ、ワーム攻撃と判定されたパケットデータ470は、パケットデータ473としてフィルタリング部479に出力する。また、異常通信であり、かつ、P2Pトラヒックと判定されたパケットデータ470は、パケットデータ472として帯域制御部480に出力する。
異常通信探知部471が出力したパケットデータ430は、IPヘッダ抽出部401及びTCPヘッダ抽出部402に入力される。
IPヘッダ抽出部401は、パケットデータ430から、Proto2205とSIP2206とDIP2207とを含むIPヘッダデータ437を抽出する。また、TCPヘッダ抽出部402は、パケットデータ430から、Flag2210とSEQ2212とACK2213とを含むTCPヘッダデータ438を抽出する。
IPヘッダ抽出部401が抽出したIPヘッダデータ437は、アドレス生成部407とTCP判定部408とに入力される。
アドレス生成部407は、IPヘッダデータ437に含まれるSIP2206とDIP2207を基に、ハッシュ値を生成する。そしてこのハッシュ値を、テーブルアドレス439として出力する。
TCP判定部408は、IPヘッダデータ437に含まれるProto2205を用いて、プロトコルがTCPであるか否を判定する。そして、プロトコルがTCPである場合は「一致」、プロトコルがTCP以外である場合は「不一致」を示すTCP判定結果440を出力する。
TCPヘッダ抽出部402が出力したTCPヘッダデータ438は、SYN判定部409とSYN−ACK判定部410とACK判定部411とに入力される。
SYN判定部409は、TCPヘッダデータ438に含まれるFlag2210を用いて、TCPフラグがSYNであるか否かを判定する。TCPフラグがSYNである場合は「一致」、TCPフラグがSYN以外である場合は「不一致」を示すSYN判定結果446を出力する。SYN−ACK判定部410は、TCPヘッダデータ438に含まれるFlag2210を用いて、TCPフラグがSYN−ACKである否かを判定する。TCPフラグがSYN−ACKである場合は「一致」、TCPフラグがSYN−ACK以外である場合は、「不一致」を示すSYN−ACK判定結果445を出力する。ACK判定部411は、TCPヘッダデータ438に含まれるFlag2210を用いて、TCPフラグがACKであるか否かを判定する。TCPフラグがACKである場合は「一致」、TCPフラグがACK以外である場合は「不一致」を示すACK判定結果444を出力する。
また、IPヘッダ抽出部401が出力したIPヘッダデータ437は、SIP−DIP一致判定部413に入力される。
SIP−DIP一致判定部413は、IPヘッダデータ437に含まれるSIP2206とDIP2207とが、SIP−DIPテーブル422に記載されている送信元IPアドレスと宛先IPアドレスとに一致するか否かを判定する。
図12Aは、SIP−DIPテーブル422の一例の説明図である。
SIP−DIPテーブル422は、M個のエントリ422−m(m=1〜M)を含む。
各エントリ422−mは、SIP422−m−1(m=1〜M)とDIP422−m−2(m=1〜M)とを含む。SIP422−m−1は、送信元IPアドレスを格納する。DIP422−m−2は、宛先IPアドレスを格納する。
より具体的には、SIP−DIP一致判定部413は、テーブルアドレス439を用いて、このアドレスを指定してSIP−DIPテーブル422内のエントリ422−mを取得する(処理456)。さらに、IPヘッダデータ437に含まれるSIP2206とDIP2207とが、エントリ422−mに含まれるSIP422−m−1とDIP422−m−2とに一致するか否かを判定し、判定結果をSIP−DIP一致判定結果443として出力する。
IPヘッダ抽出部401が出力したIPヘッダデータ437は、DIP−SIP一致判定部414に入力される。
DIP−SIP一致判定部414は、テーブルアドレス439を用いて、SIP−DIPテーブル422内のエントリ422−mを取得する(処理456)。さらに、IPヘッダデータ437に含まれるDIP2207とSIP2206とが、エントリ422−mに含まれるSIP422−m−1とDIP422−m−2とに一致するか否かを判定し、判定結果をDIP−SIP一致判定結果447として出力する。
タイマー429は現在時刻441を生成する。この現在時刻441は、制限時間超過判定部416に入力される。
制限時間超過判定部416は、タイマー429が生成した現在時刻441と、時間テーブル423に記載されている通信時刻との差分が、制限時間テーブル424に記載されている制限時間を超過したか否かを判定する。
図12Bは、時間テーブル423の一例の説明図である。
時間テーブル423は、通信が実行された最新の時刻を示すM個の通信時刻TIME423−m(m=1〜M)を含む。
図12Cは、制限時間テーブル424の一例の説明図である。
制限時間テーブル424は、データの上書きを制限する時間を指定するためのM個の制限時間TIME_LIMIT424−m(m=1〜M)を含む。
より具体的には、制限時間超過判定部416は、テーブルアドレス439を用いて、時間テーブル423の通信時刻TIME423−mと(処理458)、制限時間テーブル424の制限時間TIME_LIMIT424−mとを取得する(処理452)。そして、タイマー429が生成した現在時刻441と、通信時刻TIME423−mとの差分が、制限時間TIME_LIMIT424−mを超過しているか否かを判定する。そして、この判定結果を制限時間超過判定結果442として出力する。
TCPヘッダ抽出部402が出力したTCPヘッダデータ438は、ACK一致判定部419に入力される。
ACK一致判定部419は、TCPヘッダデータ438に含まれるACK2213が、SEQ番号テーブル425に記載されたSEQ番号に1を加算した値と一致するか否かを判定する。
図12Dは、SEQ番号テーブル425の一例の説明図である。
SEQ番号テーブル425は、SYN−ACKパケットに付与する送信シーケンス番号(SEQ番号)を示すM個のSEQ425−m(m=1〜M)を含む。
より具体的には、ACK一致判定部419は、テーブルアドレス439のアドレスを用いて、SEQ番号テーブル425のSEQ425−m(m=1〜M)を取得する(処理461)。そして、TCPヘッダデータ438に含まれるACK2213が、SEQ425−mに1を加算した値と一致するか否かを判定する。そして。この判定結果をACK一致判定結果448として出力する。
IPヘッダ抽出部401が出力したIPヘッダデータ437と、SIP−DIP一致判定部413が出力したSIP−DIP一致判定結果443と、制限時間超過判定部416が出力した制限時間超過判定結果442とは、SIP−DIP更新部412に入力される。
図13は、SIP−DIP更新部412の動作のフローチャートである。
SIP−DIP更新部412は、受け取ったSIP−DIP一致判定結果443が「不一致」であり、かつ、受け取った制限時間超過判定結果442が超過しているか否かを判定する(ステップ601)。受け取ったSIP−DIP一致判定結果443が「不一致」であり、かつ、受け取った制限時間超過判定結果442が超過していると判定した場合は、SIP−DIPテーブル422の、テーブルアドレス439が指定するエントリ422−mに含まれるSIP422−m−1とDIP422−m−2とを、それぞれ、IPヘッダデータ437に含まれるSIP2206とDIP2207とに変更して、エントリを更新する(ステップ602)(処理455)。
この処理によって、SIP−DIPテーブル422のエントリが更新される。
タイマー429が生成した現在時刻441と、SIP−DIP一致判定部413が出力したSIP−DIP一致判定結果443と、制限時間超過判定部416が出力した制限時間超過判定結果442は、時間更新部415に入力される。
図14は、時間更新部415の動作のフローチャートである。
時間更新部415は、受け取ったSIP−DIP一致判定結果443が「一致」、又は、受け取った制限時間超過判定結果442が超過しているか否かを判定する(ステップ701)。受け取ったSIP−DIP一致判定結果443が「一致」、又は、受け取った制限時間超過判定結果442が超過していると判定した場合は、時間テーブル423の、テーブルアドレス439によって指定された通信時刻TIME423−mを、現在時刻441に変更して、通信時刻TIME423−mを更新する(ステップ702)(処理457)。
この処理によって、時間テーブル423のエントリが更新される。
SIP−DIP一致判定部413が出力したSIP−DIP一致判定結果443と、DIP−SIP一致判定部414が出力したDIP−SIP一致判定結果447と、制限時間超過判定部416が出力した制限時間超過判定結果442と、TCP判定部408が出力したTCP判定結果440と、SYN判定部409が出力したSYN判定結果446と、SYN−ACK判定部410が出力したSYN−ACK判定結果445と、ACK判定部411が出力したACK判定結果444と、ACK一致判定部419が出力したACK一致判定結果448とは、制限時間更新部417に入力される。
図15は、制限時間更新部417の動作のフローチャートである。
制限時間更新部417は、受け取ったSIP−DIP一致判定結果443が「不一致」であり、かつ、受け取った制限時間超過判定結果442が超過しているか否かを判定する(ステップ501)。受け取ったSIP−DIP一致判定結果443が「不一致」であり、かつ、受け取った制限時間超過判定結果442が超過していると判定した場合は、制限時間テーブル424の、テーブルアドレス439によって指定された制限時間TIME_LIMIT424−mを、制限時間保持部428から取得した制限時間T1 465に変更して、制限時間T1を更新する(ステップ502)(処理459)。
次に、制限時間更新部417は、受け取ったTCP判定結果440が「一致」であり、かつ、受け取ったSYN判定結果446が「一致」であり、かつ、制限時間テーブル424の、テーブルアドレス439によって指定された制限時間TIME_LIMIT424−mがT1であるか否かを判定する(ステップ503)。受け取ったTCP判定結果440が「一致」であり、かつ、受け取ったSYN判定結果446が「一致」であり、かつ、制限時間テーブル424の、テーブルアドレス439によって指定された制限時間TIME_LIMIT424−mがT1であると判定した場合は、制限時間テーブル424の、テーブルアドレス439によって指定された制限時間TIME_LIMIT424−mを、制限時間保持部428から取得した制限時間T2 465に変更して、制限時間T2を変更する(ステップ504)(処理459)。
次に、制限時間更新部417は、受け取ったSIP−DIP一致判定結果443が「一致」であり、かつ、受け取ったTCP判定結果440が「一致」であり、かつ、受け取ったACK判定結果444が「一致」であり、かつ、受け取ったACK一致判定結果448が「一致」であり、かつ、制限時間テーブル424の、テーブルアドレス439によって指定された制限時間TIME_LIMIT424−mがT2であるか否かを判定する(ステップ505)。この条件を満たす場合は、制限時間更新部417は、制限時間テーブル424の、テーブルアドレス439によって指定された制限時間TIME_LIMIT424−mを、制限時間保持部428から取得した制限時間T3 465に変更して、制限時間T3を更新する(ステップ506)(処理459)。
次に、制限時間更新部417は、受け取ったDIP−SIP一致判定結果447が「一致」であり、かつ、TCP判定結果440が「一致」であり、かつ、SYN−ACK判定結果445が「一致」であり、かつ、制限時間テーブル424の、テーブルアドレス439によって指定された制限時間TIME_LIMIT424−mがT3であるか否かを判定する(ステップ507)。この条件を満たす場合は、制限時間更新部417は、制限時間テーブル424の、テーブルアドレス439によって指定された制限時間TIME_LIMIT424−mを、制限時間保持部428から取得した制限時間T4 465に変更して、制限時間T4を更新する(ステップ508)(処理459)。そして、更新前と更新後の制限時間(T1、T2、T3、T4)を、制限時間449として出力する。
なお、制限時間保持部428が保持している制限時間(T1、T2、T3、T4)の値は、外部の端末464からコマンド466を用いて変更することができる。なお、T1にはできる限り小さな値を、T2には接続要求元ホストと対異常通信防御装置との間のRTTの最大値よりも大きな値を、T3には接続要求先ホストと対異常通信防御装置との間のRTTよりも大きな値を、T4には数分程度の値を設定することが推奨される。
SIP−DIP一致判定部413が出力したSIP−DIP一致判定結果443と、制限時間超過判定部416が出力した制限時間超過判定結果442と、TCP判定部408が出力したTCP判定結果440と、SYN判定部409が出力したSYN判定結果446は、SEQ番号更新部418に入力される。
図16は、SEQ番号更新部418の動作のフローチャートである。
SEQ番号更新部418は、受け取ったSIP−DIP一致判定結果443が「不一致」であり、かつ、受け取った制限時間超過判定結果442が超過し、かつ、受け取ったTCP判定結果440が「一致」であり、かつ、受け取ったSYN判定結果446が「一致」であり、かつ、制限時間テーブル424の、テーブルアドレス439によって指定された制限時間TIME_LIMIT424−mがT1であるか否かを判定する(ステップ801)。この条件を満たす場合は、SEQ番号テーブル425の、テーブルアドレス439によって指定されたSEQ425−m(m=1〜M)を、ランダムに生成した値に変更460する(ステップ802)。そして、生成した値をランダム生成値450として出力する。
SIP−DIP一致判定部413が出力したSIP−DIP一致判定結果443と、DIP−SIP一致判定部414が出力したDIP−SIP一致判定結果447と、制限時間超過判定部416が出力した制限時間超過判定結果442と、TCP判定部408が出力したTCP判定結果440と、SYN−ACK判定部410が出力したSYN−ACK判定結果445は、状態更新部420に入力される。
状態更新部420は、パケットを通過させるか廃棄するかを指定する状態テーブル426記載の判定結果を更新する。
図12Eは、状態テーブル426の一例の説明図である。状態テーブル426は、パケットを通過させるか廃棄するかの判定結果を格納するM個の通過/廃棄判定結果STATE426−m(m=1〜M)を含む。
図17は、状態更新部420の動作のフローチャートである。
状態更新部420は、受け取ったSIP−DIP一致判定結果443が「不一致」であり、かつ、受け取った制限時間超過判定結果442が超過となっているか否かを判定する(ステップ901)。受け取ったSIP−DIP一致判定結果443が「不一致」であり、かつ、受け取った制限時間超過判定結果442が超過となっていると判定した場合は、状態テーブル426の、テーブルアドレス439によって指定された通過/廃棄判定結果STATE426−mを、「廃棄」に変更する(ステップ902)(処理462)。
次に、状態更新部420は、受け取ったDIP−SIP一致判定結果447が「一致」であり、かつ、TCP判定結果440が「一致」であり、かつ、SYN−ACK判定結果445が「一致」であり、かつ、制限時間テーブル424の、テーブルアドレス439によって指定された制限時間TIME_LIMIT424−mがT3であるか否かを判定する(ステップ903)。この条件を満たす場合は、状態テーブル426の、テーブルアドレス439によって指定された通過/廃棄判定結果STATE426−mを、「通過」に変更する(ステップ904)。そして、変更前と変更後の通過/廃棄判定結果を通過/廃棄判定結果451として出力する。
TCPヘッダ抽出部402が出力したTCPヘッダデータ438と、SIP−DIP一致判定部413が出力したSIP−DIP一致判定結果443と、DIP−SIP一致判定部414が出力したDIP−SIP一致判定結果447と、制限時間超過判定部416が出力した制限時間超過判定結果442と、TCP判定部408が出力したTCP判定結果440と、SYN−ACK判定部410が出力したSYN−ACK判定結果445は、差分SEQ更新部421に入力される。
差分SEQ更新部421は、通過と判定したパケットのシーケンス番号の変換に使用するための値を指定する差分SEQテーブル427記載の値を更新する。
図12Fは、差分SEQテーブル427の一例の説明図である。
差分SEQテーブル427は、通過と判定したパケットのシーケンス番号の変換に使用するための値を記録するM個の差分値ΔSEQ427−m(m=1〜M)を含む。
図18は、差分SEQ更新部421の動作のフローチャートである。
差分SEQ更新部421は、受け取ったSIP−DIP一致判定結果443が「不一致」であり、かつ、受け取った制限時間超過判定結果442が超過となっているか否かを判定する(ステップ1001)。受け取ったSIP−DIP一致判定結果443が「不一致」であり、かつ、受け取った制限時間超過判定結果442が超過となっていると判定した場合は、差分SEQテーブル427の、テーブルアドレス439によって指定された差分SEQ ΔSEQ427−mを、0に変更する(ステップ1002)(処理463)。
次に、差分SEQ更新部421は、受け取ったDIP−SIP一致判定結果447が「一致」であり、かつ、TCP判定結果440が「一致」であり、かつ、SYN−ACK判定結果445が「一致」であり、かつ、制限時間テーブル424の、テーブルアドレス439によって指定された制限時間TIME_LIMIT424−mがT3であり、かつ、状態テーブル426の、テーブルアドレス439によって指定された通過/廃棄判定結果STATE426−mが「廃棄」であるか否かを判定する(ステップ1003)。この条件を満たす場合は、差分SEQテーブル427の、テーブルアドレス439によって指定された差分SEQ ΔSEQ427−mを、SEQ番号テーブル425の、テーブルアドレス439によって指定されたSEQ425−mと、TCPヘッダデータ438に含まれるSEQ2212と、の差分の値に変更する(ステップ1004)(処理463)。
異常通信探知部470が出力した入力パケットデータ430と、制限時間更新部415が出力した制限時間449と、状態更新部420が出力した通過/廃棄判定結果451と、アドレス生成部407が出力したテーブルアドレス439は、バッファ蓄積部432に入力される。
バッファ蓄積部432は、メモリ等から構成されるバッファを備えている。バッファ蓄積部432は、変更前の制限時間449と変更後の制限時間449とが共にT3である場合に、入力パケットデータ430を、バッファ内のテーブルアドレス439によって指定された領域に蓄積する。また、それ以外の場合は、入力パケットデータ430を、パケットデータ431として出力する。また、蓄積した入力パケットデータ430は、変更後の通過/廃棄判定結果451が通過に変更された後に読み出されて、パケットデータ431として出力される。なお、このパケットデータ431のフォーマットは、入力パケットデータ430と同一である。
バッファ蓄積部432が出力したパケットデータ431と、DIP−SIP一致判定部414が出力したDIP−SIP一致判定結果447と、TCP判定部408が出力したTCP判定結果440と、制限時間テーブル424からテーブルアドレス439によって指定されて取得された制限時間TIME_LIMIT424−mと、状態テーブル426からテーブルアドレス439によって指定されて取得された通過/廃棄判定結果STATE426−mと、差分SEQテーブル427からテーブルアドレス439によって指定されて取得された差分SEQ ΔSEQ427−mとは、SEQ番号変換部403に入力される。
図19は、SEQ番号変換部403の動作のフローチャートである。
SEQ番号変換部403は、受け取ったDIP−SIP一致判定結果447が「一致」であり、かつ、受け取ったTCP判定結果440が「一致」であり、かつ、制限時間TIME_LIMIT424−mがT3であり、かつ、通過/廃棄判定結果STATE426−mが「通過」であるか否かを判定する(ステップ1101)。この条件を満たす場合に、SEQ番号変換部403は、パケットデータ431が含むSEQ2212に、差分SEQ ΔSEQ427−mを加算する(ステップ1102)。この結果処理されたパケットデータは、パケットデータ433として出力される。なお、このパケットデータ433のフォーマットは、入力パケットデータ430と同一である。
SEQ番号変換部403が出力したパケットデータ433と、SIP−DIP一致判定部413が出力したSIP−DIP一致判定結果443と、TCP判定部408が出力したTCP判定結果440と、制限時間テーブル424からテーブルアドレス439によって指定されて取得された制限時間TIME_LIMIT424−mと、状態テーブル426からテーブルアドレス439によって指定されて取得された通過/廃棄判定結果STATE426−mと、差分SEQテーブル427からテーブルアドレス439によって指定されて取得された差分SEQ ΔSEQ427−mは、ACK番号変換部404に入力される。
図20は、ACK番号変換部404の動作のフローチャートである。
ACK番号変換部404は、受け取ったSIP−DIP一致判定結果443が「一致」であり、かつ、受け取ったTCP判定結果440が「一致」であり、かつ、受け取った制限時間TIME_LIMIT424−mがT3であり、かつ、受け取った通過/廃棄判定結果STATE426−mが「通過」であるか否かを判定する(ステップ1201)。この条件を満たす場合に、ACK番号変換部404は、パケットデータ433が含むACK2213から、差分SEQ ΔSEQ427−mを減算する(ステップ1202)。この結果処理されたパケットデータは、パケットデータ434として出力される。なお、このパケットデータ434のフォーマットは、入力パケットデータ430と同一である。
ACK番号変換部404が出力したパケットデータ434と、制限時間更新部415が出力した制限時間449と、状態更新部420が出力した通過/廃棄判定結果451と、SEQ番号更新部418が出力したランダム生成値450は、パケット変更部405に入力される。
図21は、パケット変更部405の動作のフローチャートである。
パケット変更部405は、受け取った制限時間449に含まれる更新前の制限時間がT1であり、更新後の制限時間がT2であるか否かを判定する(ステップ1301)。受け取った制限時間449に含まれる更新前の制限時間がT1であり、更新後の制限時間がT2である場合は、パケットデータ434のInLine2201の値とOutLine2202の値とを交換する。また、パケットデータ434のSMAC2203の値とDMAC2204の値とを交換する。また、パケットデータ434のSIP2206の値とDIP2207の値とを交換する。また、パケットデータ434のSport2208の値とDport2209の値とを交換する。また、パケットデータ434のFlag2210の値を、2から18に変更する。すわなち、SYNを示す値である2から、SYN−ACKを示す値である18に変更する。また、パケットデータ434のSEQ2212の値をランダム生成値450に設定する。また、ACK2213の値をSEQ2212の値に1を加算した値に変更する(ステップ1302)。
次に、パケット変更部405は、受け取った制限時間449に含まれる更新前の制限時間がT2であり、更新後の制限時間がT3であるか否かを判定する(ステップ1303)。受け取った制限時間449に含まれる更新前の制限時間がT2であり、更新後の制限時間がT3である場合は、パケットデータ434のFlag2210の値を、16から2に変更する。すなわち、ACKを示す16からSYNを示す2に変更する。また、SEQ2212の値から1を減算する。また、ACK2213の値を0に変更する(ステップ1304)。
次に、パケット変更部405は、受け取った通過/廃棄判定結果451に含まれる更新前の通過/廃棄判定結果が「廃棄」であり、更新後の通過/廃棄判定結果が「通過」であるか否かを判定する(ステップ1305)。受け取った通過/廃棄判定結果451に含まれる更新前の通過/廃棄判定結果が「廃棄」であり、更新後の通過/廃棄判定結果が「通過」である場合は、パケットデータ434のInLine2201の値とOutLine2202の値とを交換する。また、パケットデータ434のSMAC2203の値とDMAC2204の値とを交換する。また、パケットデータ434のSIP2206の値とDIP2207の値とを交換する。また、パケットデータ434のSport2208の値とDport2209の値とを交換する。また、パケットデータ434のFlag2210の値を、18から16に変更する。すなわち、SYN−ACKを示す18から、ACKを表す16に変更する。また、SEQ2212の値をACK2213に変更する。また、ACK2213の値をSEQ2212に1を加算した値に変更する(ステップ1306)。
次に、パケット変更部405は、受け取った制限時間449に含まれる更新前の制限時間がT1であり、更新後の制限時間がT2であるか否か、又は、受け取った制限時間449に含まれる更新前の制限時間がT2であり、更新後の制限時間がT3であるか否か、又は、受け取った通過/廃棄判定結果451に含まれる更新後の通過/廃棄判定結果が「通過」であるか否かを判定する(ステップ1307)。これら条件を1つでも満たす場合は、パケット変更部405は、パケットデータ434をパケットデータ435として出力する(ステップ1308)。一方、これら条件を満たさない場合は、パケットデータ434を廃棄する(ステップ1309)。なお、このパケットデータ435のフォーマットは、入力パケットデータ430と同一である。
パケット変更部405が出力したパケットデータ435と、TCP判定部408が出力したTCP判定結果440と、制限時間更新部415が出力した制限時間449と、状態更新部420が出力した通過/廃棄判定結果451と、SIP−DIP一致判定部413が出力したSIP−DIP一致判定結果443と、DIP−SIP一致判定部414が出力したDIP−SIP一致判定結果447は、チェックサム更新部406に入力される。
チェックサム更新部406は、受け取った制限時間449に含まれる更新前の制限時間がT1であり、更新後の制限時間がT2であるか否か、又は、受け取った制限時間449に含まれる更新前の制限時間がT2であり、更新後の制限時間がT3であるか否か、又は、受け取った通過/廃棄判定結果451に含まれる更新後の通過/廃棄判定結果が「通過」であり、かつ、受け取ったTCP判定結果440が「一致」であり、かつ、SIP−DIP一致判定結果443とDIP−SIP一致判定結果447とのうちいずれかが「一致」であるか否かを判定する。この条件を満たす場合に、チェックサム更新部406は、パケットデータ435のTCPチェックサムChkSum2211を再計算する。このチェックサムを新たに格納した処理済みのパケットデータは、パケットデータ436として出力する。
以上のように処理を行うことで、本発明の実施の形態の対異常通信防御部400は、大規模な異常通信が発生した場合にも、RTTが大きい正規通信の保護に失敗する確率を最小化することができる。
本発明の実施の形態のネットワークシステムの説明図である。 本発明の実施の形態のネットワークシステムの動作を示すシーケンス図である。 本発明の実施の形態の対異常通信防御装置、通信装置及びホストの通信のシーケンス図である。 本発明の実施の形態のネットワークシステムの動作を示すシーケンス図であり 本発明の実施の形態の通信装置の構成ブロック図である。 本発明の実施の形態のルーティング部の構成ブロック図である。 本発明の実施の形態のパケットデータの説明図である。 本発明の実施の形態のルーティング種別登録テーブルの一例の説明図である。 本発明の実施の形態の通常のルーティングテーブルの一例の説明図である。 本発明の実施の形態のTCP向けルーティングテーブルの一例の説明図である。 本発明の実施の形態のルーティング部の処理のフローチャートである。 本発明の実施の形態の本発明の実施の形態の対異常通信防御装置の構成ブロック図である。 本発明の実施の形態の本発明の実施の形態の対異常通信防御部の構成ブロック図である。 本発明の実施の形態のSIP−DIPテーブルの一例の説明図である。 本発明の実施の形態の時間テーブルの一例の説明図である。 本発明の実施の形態の制限時間テーブルの一例の説明図である。 本発明の実施の形態のSEQ番号テーブルの一例の説明図である。 本発明の実施の形態の状態テーブルの一例の説明図である。 本発明の実施の形態の差分SEQテーブルの一例の説明図である。 本発明の実施の形態のSIP−DIP更新部の動作のフローチャートである。 本発明の実施の形態の時間更新部の動作のフローチャートである。 本発明の実施の形態の制限時間更新部の動作のフローチャートである。 本発明の実施の形態のSEQ番号更新部の動作のフローチャートである。 本発明の実施の形態の状態更新部の動作のフローチャートである。 本発明の実施の形態の差分SEQ更新部の動作のフローチャートである。 本発明の実施の形態のSEQ番号変換部の動作のフローチャートである。 本発明の実施の形態のACK番号変換部の動作のフローチャートである。 本発明の実施の形態のパケット変更部の動作のフローチャートである。 従来の、対異常通信防御装置が異常通信の排除のシーケンス図である。 従来の、正規通信の保護に失敗する場合を示す説明図である。 従来の、正規通信の保護に失敗する場合を示すシーケンス図である。
符号の説明
100 ルーティング部
400 対異常通信防御部
1501〜1504 ネットワーク
1522 通信装置
1801〜1804 ネットワーク
1822 通信装置

Claims (7)

  1. ネットワークで転送されるパケットを受信し、前記パケットを当該パケットの宛先に基づいて送信する通信装置であって、
    前記通信装置は、
    前記パケットを前記ネットワークへ入出力する複数の回線に接続され、
    一つ又は複数の回線へのパケットの入出力を制御する複数のネットワークインターフェースと、
    前記パケットを前記ネットワークインターフェースにスイッチングするスイッチ部と、
    前記宛先の情報を格納するルーティングテーブルを格納する記憶部と、を備え、
    前記ルーティングテーブルは、TCPプロトコル用の第1のルーティングテーブルと、
    前記TCPプロトコル以外の第2のルーティングテーブルと、を含み、
    前記記憶部は、前記パケットを送信するときに、前記第1及び第2のルーティングテーブルのいずれを用いるかを決定するための情報を格納するルーティング種別登録情報を格納し、
    前記ネットワークインターフェースは、
    パケットを送信する回線番号を決定するルーティング部と、
    前記スイッチ部を経由したパケットがTCPプロトコルを用いたSYNパケットであるかを判定するTCP−SYN判定部と、を備え、
    前記回線から入力されたパケットを、前記ルーティング部を経由させ前記スイッチ部へ入力し、
    前記スイッチ部から入力されたパケットを前記TCP−SYN判定部がTCPプロトコルを用いたSYNパケットであると判定した場合、当該パケットを前記ルーティング部を経由させて、前記ネットワークへ出力し、
    前記スイッチ部から入力されたパケットを前記TCP−SYN判定部がTCPプロトコルを用いたSYNパケットでないと判定した場合、当該パケットを前記ルーティング部を経由させずに、前記ネットワークへ出力し、
    前記ルーティング部は、
    前記パケットのプロトコルの種別を判定する種別判定部と、
    前記パケットに付加されているフラグの種別を判定する付加情報判定部と、
    前記ルーティング種別登録情報を参照して、前記受信したパケットの転送に用いるルーティングテーブルを判定するルーティング判定部と、を備え、
    前記ルーティング判定部が、前記受信したパケットの転送に用いるルーティングテーブルが第1のルーティングテーブルであると判定し、かつ、前記付加情報判定部が、当該パケットに付加されているフラグがSYNであると判定した場合は、当該パケットの送信元アドレスと当該パケットを受信した回線番号とを関連付けて前記第1のルーティングテーブルに格納し、
    前記ルーティング判定部が、前記受信したパケットの転送に用いるルーティングテーブルが第1のルーティングテーブルであると判定し、かつ、前記付加情報判定部が、当該パケットに付加されているフラグがSYNでないと判定した場合は、当該パケットの宛先アドレスと一致する宛先アドレスに関連付けられた回線番号を前記第1のルーティングテーブルから取得し、前記取得された回線番号を経由して当該パケットを送信し、
    前記ルーティング判定部が、前記受信したパケットに用いるルーティングテーブルが第2のルーティングテーブルであると判定した場合、又は、前記種別判定部が、前記受信したパケットのプロトコルがTCPプロトコルでないと判定した場合、当該パケットの宛先アドレスと一致する宛先アドレスに関連付けられた回線番号を前記第2のルーティングテーブルから取得し、前記取得された回線番号を経由して当該パケットを送信することを特徴とする通信装置。
  2. ネットワークに接続され、前記ネットワークで送受信されるパケットを受信し、前記パケットを当該パケットの宛先に基づいて送信する対異常通信防御装置であって、
    前記対異常通信防御装置は、制御部を備え、
    前記制御部は、前記パケットが異常である場合は当該パケットの送信を制限する対異常通信防御部を備え、
    前記対通信異常防御部は、
    接続要求元IPアドレスから接続要求先IPアドレスに送信され、プロトコルがTCPプロトコルであり、かつ、付加されているフラグがSYNである第1のパケットを受信した場合は、前記第1のパケットの接続要求元IPアドレスを接続要求先IPアドレスに、前記第1のパケットの接続要求先IPアドレスを接続要求元IPアドレスに、それぞれ変更し、フラグをSYN−ACKに変更し、ランダムな値である送信シーケンス番号を付加した第2のパケットを生成し、当該第2のパケットを前記接続要求元IPアドレスに送信し、
    その後、接続要求元IPアドレスから接続要求先IPアドレスに送信され、プロトコルがTCPプロトコルであり、かつ、付加されているフラグがACKであり、かつ、付加されている受信シーケンス番号が、前記送信シーケンス番号に1を加算した値である第3のパケットを受信した場合は、前記接続要求先IPアドレスと前記接続要求元IPアドレスとの通信を正規のものと判定し、前記第3のパケットのフラグをSYNに変更し、送信シーケンス番号から1を減算し、受信シーケンス番号を0に設定した第4のパケットを生成し、当該第4のパケットを前記接続要求先IPアドレスに送信し、
    その後、接続要求先IPアドレスから接続要求元IPアドレスに送信され、プロトコルがTCPプロトコルであり、かつ、付加されているフラグがSYN−ACKである第5のパケットを受信した場合は、前記第5のパケットの接続要求元IPアドレスを接続要求先IPアドレスに、前記第5のパケットの接続要求先IPアドレスを接続要求元IPアドレスに、それぞれ変更し、フラグをACKに変更し、前記第5のパケットの送信シーケンス番号を受信シーケンス番号に、前記第5のパケットの受信シーケンス番号を送信シーケンス番号に、それぞれ変更し、さらに、前記受信シーケンス番号に1を加算した第6のパケットを生成し、当該第6のパケットを前記接続要求先IPアドレスに送信することによって、前記接続要求先IPアドレスと前記接続要求元IPアドレスとの通信の通過を許可し、
    前記通過を判定した後、前記接続要求元IPアドレスと前記接続要求先IPアドレスとの間のパケットの送受信を許可し、
    その後、前記接続要求元IPアドレスから前記接続要求先IPアドレスに送信される第7のパケットを受信したときは、前記第7のパケットの付加された受信シーケンス番号から、前記第2のパケットに付加された送信シーケンス番号と前記第5のパケットに付加された送信シーケンス番号との差分値を減算した上で、TCPチェックサムの値を再計算し、
    前記接続要求先IPアドレスから前記接続要求元IPアドレスに送信される第8のパケットを受信したときは、前記第8のパケットの送信シーケンス番号に、前記第2のパケットの送信シーケンス番号と前記第5のパケットの送信シーケンス番号の差分値を加算した上で、TCPチェックサムの値を再計算し、
    前記通過判定前において、前記接続要求元IPアドレスと前記接続要求先IPアドレス間で送受信されるパケットを廃棄することを特徴とする対異常通信防御装置。
  3. 対異常通信防御装置は、記憶部を備え、
    前記記憶部は、前記パケットの接続要求元IPアドレス、前記パケットの接続要求先IPアドレス、前記パケットが到着した到着時間と、前記パケットに関する情報の更新を制限する期間を示す制限時間と、を関連付けて記録するセッション情報を格納し、
    前記制御部は、現在時刻と前記セッション情報に記録された到着時間との差分値が、前記セッションテーブルに記録された制限時間を超過した場合に、当該パケットに関する情報の更新を許可することを特徴とする請求項2に記載の対異常通信防御装置。
  4. 前記制御部は、前記パケットの接続要求元IPアドレス、前記パケットの接続要求先IPアドレス、及び、現在時刻と前記セッション情報に記録された到着時間との差分値、の少なくとも一つに基づいて、前記制限時間を変更することを特徴とする請求項3に記載の対異常通信防御装置。
  5. 前記制御部は、前記第1、第3又は第5のパケットを受信した場合は、前記セッションテーブルに記録された制限時間を変更することを特徴とする請求項3に記載の対異常通信防御装置。
  6. 前記対異常通信防御装置は、
    前記パケットを前記ネットワークへ入出力する複数の回線に接続され、
    一つ又は複数の回線へのパケットの入出力を制御する複数のネットワークインターフェースと、
    前記パケットを前記ネットワークインターフェースにスイッチングするスイッチ部と、を備え、
    前記ネットワークインターフェースは、前記対異常通信防御部を備え、
    前記ネットワークインターフェースは、
    前記回線から入力されたパケットを、前記対異常通信防御部を経由させ前記スイッチ部へ入力し、
    前記スイッチ部から入力されたパケットを、前記対異常通信防御部を経由させ前記回線へ入力することを特徴とする請求項2に記載の対異常通信防御装置。
  7. ネットワークで転送されるパケットを受信し、前記パケットを当該パケットの宛先に基づいて送信する一又は複数の通信装置と、
    前記ネットワークに接続され、前記ネットワークで送受信されるパケットを受信し、前記パケットを当該パケットの宛先に基づいて送信し、前記パケットが異常である場合は当該パケットの送信を制限する対異常通信防御部を備える対異常通信防御装置とがネットワークに接続されたネットワークシステムにおいて、
    前記通信装置は、
    前記パケットを前記ネットワークへ入出力する複数の回線に接続され、
    一つ又は複数の回線へのパケットの入出力を制御する複数のネットワークインターフェースと、
    前記パケットを前記ネットワークインターフェースにスイッチングするスイッチ部と、
    前記宛先の情報を格納するルーティングテーブルを格納する記憶部と、を備え、
    前記ルーティングテーブルは、TCPプロトコル用の第1のルーティングテーブルと、
    前記TCPプロトコル以外の第2のルーティングテーブルと、を含み、
    前記記憶部は、前記パケットを送信するときに、前記第1及び第2のルーティングテーブルのいずれを用いるかを決定するための情報を格納するルーティング種別登録情報を格納し、
    前記ネットワークインターフェースは、
    パケットを送信する回線番号を決定するルーティング部と、
    前記スイッチ部を経由したパケットがTCPプロトコルを用いたSYNパケットであるかを判定するTCP−SYN判定部と、を備え、
    前記回線から入力されたパケットを、前記ルーティング部を経由させ前記スイッチ部へ入力し、
    前記スイッチ部から入力されたパケットを前記TCP−SYN判定部がTCPプロトコルを用いたSYNパケットであると判定した場合、当該パケットを前記ルーティング部を経由させて、前記ネットワークへ出力し、
    前記スイッチ部から入力されたパケットを前記TCP−SYN判定部がTCPプロトコルを用いたSYNパケットでないと判定した場合、当該パケットを前記ルーティング部を経由させずに、前記ネットワークへ出力し、
    前記ルーティング部は、
    前記パケットのプロトコルの種別を判定する種別判定部と、
    前記パケットに付加されているフラグの種別を判定する付加情報判定部と、
    前記ルーティング種別登録情報を参照して、前記受信したパケットの転送に用いるルーティングテーブルを判定するルーティング判定部と、を備え、
    前記ルーティング判定部が、前記受信したパケットの転送に用いるルーティングテーブルが第1のルーティングテーブルであると判定し、かつ、前記付加情報判定部が、当該パケットに付加されているフラグがSYNであると判定した場合は、当該パケットの送信元アドレスと当該パケットを受信した回線番号とを関連付けて前記第1のルーティングテーブルに格納し、
    前記ルーティング判定部が、前記受信したパケットの転送に用いるルーティングテーブルが第1のルーティングテーブルであると判定し、かつ、前記付加情報判定部が、当該パケットに付加されているフラグがSYNでないと判定した場合は、当該パケットの宛先アドレスと一致する宛先アドレスに関連付けられた回線番号を前記第1のルーティングテーブルから取得し、前記取得された回線番号を経由して当該パケットを送信し、
    前記ルーティング判定部が、前記受信したパケットに用いるルーティングテーブルが第2のルーティングテーブルであると判定した場合、又は、前記種別判定部が、前記受信したパケットのプロトコルがTCPプロトコルでないと判定した場合、当該パケットの宛先アドレスと一致する宛先アドレスに関連付けられた回線番号を前記第2のルーティングテーブルから取得し、前記取得された回線番号を経由して当該パケットを送信し、
    前記対異常通信防御装置は、
    前記パケットを前記ネットワークへ入出力する複数の回線に接続され、
    一つ又は複数の回線へのパケットの入出力を制御する複数のネットワークインターフェースと、
    前記パケットを前記ネットワークインターフェースにスイッチングするスイッチ部と、を備え、
    前記ネットワークインターフェースは、前記対異常通信防御部を備え、
    前記ネットワークインターフェースは、
    前記回線から入力されたパケットを、前記対異常通信防御部を経由させ前記スイッチ部へ入力し、
    前記スイッチ部から入力されたパケットを、前記対異常通信防御部を経由させ前記回線へ入力し、
    前記対通信異常防御部は、
    接続要求元IPアドレスから接続要求先IPアドレスに送信され、プロトコルがTCPプロトコルであり、かつ、付加されているフラグがSYNである第1のパケットを受信した場合は、前記第1のパケットの接続要求元IPアドレスを接続要求先IPアドレスに、前記第1のパケットの接続要求先IPアドレスを接続要求元IPアドレスに、それぞれ変更し、フラグをSYN−ACKに変更し、ランダムな値である送信シーケンス番号を付加した第2のパケットを生成し、当該第2のパケットを前記接続要求元IPアドレスに送信し、
    その後、接続要求元IPアドレスから接続要求先IPアドレスに送信され、プロトコルがTCPプロトコルであり、かつ、付加されているフラグがACKであり、かつ、付加されている受信シーケンス番号が、前記送信シーケンス番号に1を加算した値である第3のパケットを受信した場合は、前記接続要求先IPアドレスと前記接続要求元IPアドレスとの通信を正規のものと判定し、前記第3のパケットのフラグをSYNに変更し、送信シーケンス番号から1を減算し、受信シーケンス番号を0に設定した第4のパケットを生成し、当該第4のパケットを前記接続要求先IPアドレスに送信し、
    その後、接続要求先IPアドレスから接続要求元IPアドレスに送信され、プロトコルがTCPプロトコルであり、かつ、付加されているフラグがSYN−ACKである第5のパケットを受信した場合は、前記第5のパケットの接続要求元IPアドレスを接続要求先IPアドレスに、前記第5のパケットの接続要求先IPアドレスを接続要求元IPアドレスに、それぞれ変更し、フラグをACKに変更し、前記第5のパケットの送信シーケンス番号を受信シーケンス番号に、前記第5のパケットの受信シーケンス番号を送信シーケンス番号に、それぞれ変更し、さらに、前記受信シーケンス番号に1を加算した第6のパケットを生成し、当該第6のパケットを前記接続要求先IPアドレスに送信することによって、前記接続要求先IPアドレスと前記接続要求元IPアドレスとの通信の通過を許可し、
    前記通過を判定した後、前記接続要求元IPアドレスと前記接続要求先IPアドレスとの間のパケットの送受信を許可し、
    その後、前記接続要求元IPアドレスから前記接続要求先IPアドレスに送信される第7のパケットを受信したときは、前記第7のパケットの付加された受信シーケンス番号から、前記第2のパケットに付加された送信シーケンス番号と前記第5のパケットに付加された送信シーケンス番号との差分値を減算した上で、TCPチェックサムの値を再計算し、
    前記接続要求先IPアドレスから前記接続要求元IPアドレスに送信される第8のパケットを受信したときは、前記第8のパケットの送信シーケンス番号に、前記第2のパケットの送信シーケンス番号と前記第5のパケットの送信シーケンス番号の差分値を加算した上で、TCPチェックサムの値を再計算し、
    前記通過判定前において、前記接続要求元IPアドレスと前記接続要求先IPアドレス間で送受信されるパケットを廃棄することを特徴とするネットワークシステム。
JP2006052181A 2006-02-28 2006-02-28 対異常通信防御を行うための装置とネットワークシステム Expired - Fee Related JP4634320B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2006052181A JP4634320B2 (ja) 2006-02-28 2006-02-28 対異常通信防御を行うための装置とネットワークシステム
US11/657,556 US8175096B2 (en) 2006-02-28 2007-01-25 Device for protection against illegal communications and network system thereof
CN200710084904.7A CN101030977B (zh) 2006-02-28 2007-02-16 用于防御非法通信的装置及其网络系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006052181A JP4634320B2 (ja) 2006-02-28 2006-02-28 対異常通信防御を行うための装置とネットワークシステム

Publications (2)

Publication Number Publication Date
JP2007235341A JP2007235341A (ja) 2007-09-13
JP4634320B2 true JP4634320B2 (ja) 2011-02-16

Family

ID=38443911

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006052181A Expired - Fee Related JP4634320B2 (ja) 2006-02-28 2006-02-28 対異常通信防御を行うための装置とネットワークシステム

Country Status (3)

Country Link
US (1) US8175096B2 (ja)
JP (1) JP4634320B2 (ja)
CN (1) CN101030977B (ja)

Families Citing this family (53)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6226680B1 (en) * 1997-10-14 2001-05-01 Alacritech, Inc. Intelligent network interface system method for protocol processing
US7831745B1 (en) 2004-05-25 2010-11-09 Chelsio Communications, Inc. Scalable direct memory access using validation of host and scatter gather engine (SGE) generation indications
US7715436B1 (en) 2005-11-18 2010-05-11 Chelsio Communications, Inc. Method for UDP transmit protocol offload processing with traffic management
US7724658B1 (en) 2005-08-31 2010-05-25 Chelsio Communications, Inc. Protocol offload transmit traffic management
US7660306B1 (en) 2006-01-12 2010-02-09 Chelsio Communications, Inc. Virtualizing the operation of intelligent network interface circuitry
US7660264B1 (en) 2005-12-19 2010-02-09 Chelsio Communications, Inc. Method for traffic schedulign in intelligent network interface circuitry
US7616563B1 (en) 2005-08-31 2009-11-10 Chelsio Communications, Inc. Method to implement an L4-L7 switch using split connections and an offloading NIC
US7760733B1 (en) 2005-10-13 2010-07-20 Chelsio Communications, Inc. Filtering ingress packets in network interface circuitry
US8935406B1 (en) * 2007-04-16 2015-01-13 Chelsio Communications, Inc. Network adaptor configured for connection establishment offload
US8589587B1 (en) 2007-05-11 2013-11-19 Chelsio Communications, Inc. Protocol offload in intelligent network adaptor, including application level signalling
US8060644B1 (en) 2007-05-11 2011-11-15 Chelsio Communications, Inc. Intelligent network adaptor with end-to-end flow control
US7826350B1 (en) 2007-05-11 2010-11-02 Chelsio Communications, Inc. Intelligent network adaptor with adaptive direct data placement scheme
US7831720B1 (en) 2007-05-17 2010-11-09 Chelsio Communications, Inc. Full offload of stateful connections, with partial connection offload
US7852756B2 (en) * 2007-06-13 2010-12-14 02Micro International Limited Network interface system with filtering function
JP2009152953A (ja) * 2007-12-21 2009-07-09 Nec Corp ゲートウェイ装置およびパケット転送方法
US8064362B2 (en) * 2008-08-21 2011-11-22 Cisco Technology, Inc. Wide area network optimization proxy routing protocol
WO2011025876A1 (en) * 2009-08-27 2011-03-03 Interdigital Patent Holdings, Inc. Method and apparatus for solving limited addressing space in machine-to-machine (m2m) environments
CN102045302A (zh) * 2009-10-10 2011-05-04 中兴通讯股份有限公司 网络攻击的防范方法、业务控制节点及接入节点
US8625421B2 (en) * 2012-02-03 2014-01-07 Telefonaktiebolaget L M Ericsson (Publ) DAD-NS triggered address resolution for DoS attack protection
US8887280B1 (en) * 2012-05-21 2014-11-11 Amazon Technologies, Inc. Distributed denial-of-service defense mechanism
CN102946387B (zh) * 2012-11-01 2016-12-21 惠州Tcl移动通信有限公司 一种防御拒接服务攻击的方法
US9288227B2 (en) * 2012-11-28 2016-03-15 Verisign, Inc. Systems and methods for transparently monitoring network traffic for denial of service attacks
JP2016031749A (ja) * 2014-07-30 2016-03-07 富士通株式会社 パケット監視装置、パケット監視方法及びパケット監視プログラム
WO2016168661A1 (en) * 2015-04-17 2016-10-20 Level 3 Communications, Llc Illicit route viewing system and method of operation
US10374904B2 (en) 2015-05-15 2019-08-06 Cisco Technology, Inc. Diagnostic network visualization
US9967158B2 (en) 2015-06-05 2018-05-08 Cisco Technology, Inc. Interactive hierarchical network chord diagram for application dependency mapping
US10142353B2 (en) 2015-06-05 2018-11-27 Cisco Technology, Inc. System for monitoring and managing datacenters
US10536357B2 (en) 2015-06-05 2020-01-14 Cisco Technology, Inc. Late data detection in data center
CN104967572B (zh) * 2015-06-05 2019-04-12 小米科技有限责任公司 网络访问方法、装置及设备
CN105049489A (zh) * 2015-06-25 2015-11-11 上海斐讯数据通信技术有限公司 一种在uboot上实现三次握手的方法
US10289438B2 (en) 2016-06-16 2019-05-14 Cisco Technology, Inc. Techniques for coordination of application components deployed on distributed virtual machines
US10708183B2 (en) 2016-07-21 2020-07-07 Cisco Technology, Inc. System and method of providing segment routing as a service
CN106100839B (zh) * 2016-08-16 2019-05-10 电子科技大学 一种基于tcp数据包和自定义算法的网络通信安全方法
US10972388B2 (en) 2016-11-22 2021-04-06 Cisco Technology, Inc. Federated microburst detection
US10708152B2 (en) 2017-03-23 2020-07-07 Cisco Technology, Inc. Predicting application and network performance
US10523512B2 (en) 2017-03-24 2019-12-31 Cisco Technology, Inc. Network agent for generating platform specific network policies
US10594560B2 (en) 2017-03-27 2020-03-17 Cisco Technology, Inc. Intent driven network policy platform
US10250446B2 (en) 2017-03-27 2019-04-02 Cisco Technology, Inc. Distributed policy store
US10764141B2 (en) 2017-03-27 2020-09-01 Cisco Technology, Inc. Network agent for reporting to a network policy system
US10873794B2 (en) 2017-03-28 2020-12-22 Cisco Technology, Inc. Flowlet resolution for application performance monitoring and management
US10680887B2 (en) 2017-07-21 2020-06-09 Cisco Technology, Inc. Remote device status audit and recovery
WO2019021402A1 (ja) * 2017-07-26 2019-01-31 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 通信装置、通信方法および通信システム
US10554501B2 (en) 2017-10-23 2020-02-04 Cisco Technology, Inc. Network migration assistant
US10523541B2 (en) 2017-10-25 2019-12-31 Cisco Technology, Inc. Federated network and application data analytics platform
US10594542B2 (en) 2017-10-27 2020-03-17 Cisco Technology, Inc. System and method for network root cause analysis
KR102354699B1 (ko) * 2017-10-31 2022-01-24 삼성전자주식회사 네트워크 연결 제어 장치 및 그 방법
US11233821B2 (en) 2018-01-04 2022-01-25 Cisco Technology, Inc. Network intrusion counter-intelligence
US10574575B2 (en) 2018-01-25 2020-02-25 Cisco Technology, Inc. Network flow stitching using middle box flow stitching
US10826803B2 (en) 2018-01-25 2020-11-03 Cisco Technology, Inc. Mechanism for facilitating efficient policy updates
US10798015B2 (en) 2018-01-25 2020-10-06 Cisco Technology, Inc. Discovery of middleboxes using traffic flow stitching
US10999149B2 (en) 2018-01-25 2021-05-04 Cisco Technology, Inc. Automatic configuration discovery based on traffic flow data
US11128700B2 (en) 2018-01-26 2021-09-21 Cisco Technology, Inc. Load balancing configuration based on traffic flow telemetry
CN110493228B (zh) * 2019-08-21 2021-10-26 中国工商银行股份有限公司 一种终端违规联网检测方法及装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003179647A (ja) * 2001-12-13 2003-06-27 Toshiba Corp パケット転送装置およびパケット転送方法

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5793763A (en) * 1995-11-03 1998-08-11 Cisco Technology, Inc. Security system for network address translation systems
DE69708281T2 (de) * 1996-04-24 2002-05-16 Nortel Networks Ltd., St.Laurent Internetprotokoll-filter
JPH10154995A (ja) * 1996-11-20 1998-06-09 Fujitsu Ltd ゲートウェイ装置及びパケット中継方法
US6477595B1 (en) * 1999-10-25 2002-11-05 E-Cell Technologies Scalable DSL access multiplexer with high reliability
JP3730480B2 (ja) * 2000-05-23 2006-01-05 株式会社東芝 ゲートウェイ装置
US6772334B1 (en) * 2000-08-31 2004-08-03 Networks Associates, Inc. System and method for preventing a spoofed denial of service attack in a networked computing environment
US7096497B2 (en) * 2001-03-30 2006-08-22 Intel Corporation File checking using remote signing authority via a network
US7760744B1 (en) * 2003-11-20 2010-07-20 Juniper Networks, Inc. Media path optimization for multimedia over internet protocol
US7050940B2 (en) * 2004-03-17 2006-05-23 International Business Machines Corporation Method and system for maintaining and examining timers for network connections
KR100608136B1 (ko) * 2005-02-18 2006-08-08 재단법인서울대학교산학협력재단 티씨피 연결의 스테이트풀 인스펙션에 있어서의 보안성능향상방법
US7688829B2 (en) * 2005-09-14 2010-03-30 Cisco Technology, Inc. System and methods for network segmentation

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003179647A (ja) * 2001-12-13 2003-06-27 Toshiba Corp パケット転送装置およびパケット転送方法

Also Published As

Publication number Publication date
US20070201474A1 (en) 2007-08-30
CN101030977A (zh) 2007-09-05
JP2007235341A (ja) 2007-09-13
US8175096B2 (en) 2012-05-08
CN101030977B (zh) 2013-11-06

Similar Documents

Publication Publication Date Title
JP4634320B2 (ja) 対異常通信防御を行うための装置とネットワークシステム
Dayal et al. Research trends in security and DDoS in SDN
JP4759389B2 (ja) パケット通信装置
CN113132342B (zh) 方法、网络装置、隧道入口点装置及存储介质
US8661544B2 (en) Detecting botnets
AU2010286686B2 (en) Method for optimizing a route cache
JP5826920B2 (ja) 遮断サーバを用いたスプーフィング攻撃に対する防御方法
US10931711B2 (en) System of defending against HTTP DDoS attack based on SDN and method thereof
CN105991655B (zh) 用于缓解基于邻居发现的拒绝服务攻击的方法和装置
WO2004036335A2 (en) Method and apparatus for providing automatic ingress filtering
JP6599819B2 (ja) パケット中継装置
Hong et al. Dynamic threshold for DDoS mitigation in SDN environment
Wang et al. Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks
JP5178573B2 (ja) 通信システムおよび通信方法
WO2012081721A1 (ja) 通信システム、ノード、パケット転送方法およびプログラム
Nur et al. Single packet AS traceback against DoS attacks
US20180331957A1 (en) Policy Enforcement Based on Host Value Classification
US20230367875A1 (en) Method for processing traffic in protection device, and protection device
Wang et al. An approach for protecting the openflow switch from the saturation attack
CN113765858A (zh) 一种实现高性能状态防火墙的方法及装置
JP4326423B2 (ja) 管理装置および不正アクセス防御システム
JP2008028720A (ja) 送信元ipアドレス詐称ipパケットを制御可能なipネットワーク装置および送信元ipアドレス詐称ipパケット制御方法
JP6746541B2 (ja) 転送システム、情報処理装置、転送方法及び情報処理方法
KR101848428B1 (ko) 유선 통신기반의 보안 기능 향상을 위한 라우팅 방법 및 유선 통신기반의 보안 기능을 갖는 엔트리 라우터 시스템
Priya et al. DETECTION OF DDOS ATTACKS USING IP TRACEBACK AND NETWORK CODING TECHNIQUE.

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080929

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100728

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100810

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101012

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101026

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101118

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131126

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees