JP4638948B2 - 経路監視装置、経路監視プログラムおよび経路ハイジャック検出システム並びに経路ハイジャック検出方法 - Google Patents

経路監視装置、経路監視プログラムおよび経路ハイジャック検出システム並びに経路ハイジャック検出方法 Download PDF

Info

Publication number
JP4638948B2
JP4638948B2 JP2009045714A JP2009045714A JP4638948B2 JP 4638948 B2 JP4638948 B2 JP 4638948B2 JP 2009045714 A JP2009045714 A JP 2009045714A JP 2009045714 A JP2009045714 A JP 2009045714A JP 4638948 B2 JP4638948 B2 JP 4638948B2
Authority
JP
Japan
Prior art keywords
route
path
information
adjacency
hijack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009045714A
Other languages
English (en)
Other versions
JP2010200245A (ja
Inventor
光穂 田原
直規 立石
啓 松葉
光 瀬社家
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2009045714A priority Critical patent/JP4638948B2/ja
Publication of JP2010200245A publication Critical patent/JP2010200245A/ja
Application granted granted Critical
Publication of JP4638948B2 publication Critical patent/JP4638948B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、インターネットの経路ハイジャック検出技術に関するものである。
インターネットは、ISP(商用プロバイダ、Internet Service Provider)や企業や大学等の異なる組織によって運営される1万以上のAS(自律システム、Autonomous System)が有機的に接続されたものである。このAS間は、専用線、あるいはIX(Internet eXchange)によって接続される。
ASの経路制御装置(ルータ)は、AS間の経路制御を担うBGP(Border Gateway Protocol)により、互いの経路情報を交換し、この交換した経路情報をもとに、所定のネットワーク宛にデータを転送するときの経路を決定する。この経路情報は、プレフィックス(Prefix)とパス属性とを含んで構成される。このプレフィックスとは経路とも言い、ネットワークアドレスとそのネットワークアドレスのネットマスク長(以下、経路長ともいう)により、宛先となるIP(Internet Protocol)アドレス空間を示した情報である。また、パス属性は経路情報に付加される当該経路の属性情報であり、例えば、ASパス(ASパス属性)やネクストホップ(ネクストホップ属性)等がある。このASパス(AS-PATH)は、宛先のASへ到達するまでに経由するASのAS番号のリストであり、ネクストホップは、その宛先となるIPアドレス空間(プレフィックス)へパケットを送信するときの次のルータ(ノード)のIPアドレスを示した情報である。
BGPはパスベクトル型のルーティングプロトコルであり、あるASが広告した経路情報は、各ASをホップバイホップで伝播し、インターネット中に拡散する。例えば、この経路情報の伝播の過程で、各ASのルータは自ASのAS番号をASパス属性に追加していく。このようにして経路情報に追加されたAS番号により、各ルータは、当該プレフィックスを持つパケットをどのASを経由して、どのASへ到達させればよいかを知ることができる。
しかし、BGPプロトコルは性善説に基づき設計されているため、不正な経路情報が一旦広告されると、その不正な経路情報がインターネット全体に拡散し、伝播してしまい、大規模な通信障害を引き起こすことがある。この不正な経路情報は、オペレータの設定ミスにより生じる場合もあるが、不正な経路情報の広告による通信障害の代表例として、経路ハイジャック(以下、単に、ハイジャックと呼ぶ場合もある)がある。
経路ハイジャックは、あるASがネットワークアドレス管理団体等から正当に割り振られたアドレス帯(以下、プレフィックスとも言う)を経路広告しているところに、そのアドレス帯を割り振られていないASがそのアドレス帯またはその一部を不正に経路広告することで、発生する。経路ハイジャックが発生し、不正な経路情報がインターネット全体に伝播すると、そのアドレスヘのパケットは不正な経路情報を広告したASへ転送されるため、正当に割り振られたASへの通信に障害が発生する。
経路ハイジャックについて、図面を参照しながら詳細に説明する。図8は、経路ハイジャックの典型例を概念的に示す説明図である。ここでは、ネットワークがAS10(AS番号「10」)、AS20(AS番号「20」)、AS30(AS番号「30」)、AS40(AS番号「40」)およびAS50(AS番号「50」)を含んで構成される場合を例に説明する。各ASはそれぞれ、お互いの経路情報を交換し、経路表を作成する。
例えば、AS50のルータ(図示省略)が、AS50が正当に保有する「50.0.0.0/16」の経路情報を各AS(AS10、AS20、AS30、AS40)のルータに広告すると、AS10、AS20、AS30、AS40のルータはそれぞれ経路表1001,1002,1003,1004を作成する。つまり、図8に示す経路表1001〜1004には、1行目に元の広告経路が追加される。経路表1001〜1005において、経路情報の前に記述された記号(アスタリスク:*)は、同じプレフィックスが複数ある場合に優先度が高い方またはそれぞれに付与されている。なお、図8では、すべてに表示してある。
各AS10〜40のルータは、このようにして作成した経路表1001〜1004に基づきパケットの転送を行う。例えば、AS10の経路表1001の1行目に示す経路情報に基づき、「50.0.0.0/16」宛のパケットは、AS10→AS20→AS30→AS40→AS50という経路で転送される。つまり、まず、AS10のルータは、経路表1001の1行目に示す経路情報に基づき、「50.0.0.0/16」宛のパケットをAS20のルータへ転送する。次に、このパケットを受信したAS20のルータは、経路表1002の1行目に示す経路情報に基づき、AS30へ転送する。さらに、このパケットを受信したAS30のルータは、経路表1003の1行目に示す経路情報に基づき、AS40へ転送する。最後に、このパケットを受信したAS40のルータは、経路表1004の1行目に示す経路情報に基づき、AS50へ転送する。
(S101)ここで、AS10〜AS50とは別のAS60のルータが、AS50のプレフィックスの一部(「50.0.0.0/24」)の経路情報を誤って(過失で)広告したとする。すると、図8に示すように、AS10、AS20、AS30、AS40のルータの経路表1001、1002、1003、1004には、その2行目に、プレフィックス「50.0.0.0/24」の経路情報の広告元はAS番号「60」であるという情報(経路ハイジャック経路情報)が書き込まれる。
(S102)これにより、本来、AS50へ転送されるべき「50.0.0.0/24」宛のパケットがAS60へ吸い込まれてしまう。つまり、このパケットを受信したAS20のルータは、元の広告経路の経路情報(経路表1002の1行目に記載の経路情報)ではなく、経路ハイジャック経路情報(経路表1002の2行目に記載の経路情報)の方を参照してパケットの転送先を決定するので、パケットがAS60へ吸い込まれてしまう。
(S103)結果として、このパケットがAS50に届かないことになる。すなわち、通信に障害が発生する。
なお、各ASのルータがパケットを転送する場合において、経路表の1行目に記載の元の広告経路(「50.0.0.0/16」)ではなく、経路表の2行目に記載の経路ハイジャック経路(「50.0.0.0/24」)を選択する理由は、経路表に宛先アドレスを包含する経路情報が複数ある場合には、ルータは、よりネットマスク長の長い経路情報を選択する最長一致規則を用いるからである。
従来、このような経路ハイジャックを検出する技術として、各ASに分散配置された経路監視装置それぞれが、受け取った経路情報を、IRRデータベース(Internet Routing Registry database)のデータ(経路情報)と照合し、経路ハイジャックを検出する技術がある(特許文献1参照)。このIRRデータベースとは、インターネット上の経路情報(IPアドレス空間)とその経路に割り当てられた正当なAS番号と示したデータベースである。
特許文献1に記載の技術を、図9を用いて説明する。図9は、従来の経路ハイジャック検知技術を概念的に示す説明図である。図9に示すように、AS10、AS20、AS50には、経路監視装置100(100A,100B,100C)がそれぞれ分散配置され、各経路監視装置100が協調連携し、各AS間で交換される経路情報を監視することで、経路障害を検知している。
(S200)ここで、例えば、AS50の経路監視装置100Cは、「50.0.0.0/16」の監視を他の経路監視装置100A,100Bに依頼する。
(S201)各経路監視装置100A,100Bは、監視依頼に基づき、この「50.0.0.0/16」の監視を開始する。すなわち、各経路監視装置100A,100Bは、それぞれが接続するAS10,20内のルータから受信する経路情報をチェックし、監視対象経路である「50.0.0.0/16」に経路ハイジャックが発生していないかを監視する。
(S202)ここで、各経路監視装置100A,100Bは、被疑経路ハイジャック経路情報として、AS60から、「50.0.0.0/24」の経路情報を受信する。
(S203)すると、各経路監視装置100A,100Bは、この被疑経路ハイジャック経路情報がAS60の経路として登録されているか否かによって経路ハイジャックか否かを判定するために、IRRデータベース300と照合する。
具体的には、各経路監視装置100A,100Bは、この経路情報「50.0.0.0/24」を送信したAS60のAS番号「60」が、IRRデータベース300において、経路情報「50.0.0.0/24」の広告元(origin)のAS番号として登録されているか否かを判別する。照合の結果、被疑経路ハイジャック経路情報がIRRデータベース300に登録されていない場合には「経路ハイジャック」と判定する。
(S204)そして、各経路監視装置100A,100Bは、この判定結果を、監視の依頼元であるAS50の経路監視装置100Cへ通知する。
(S205)この後、経路監視装置100Cは、通知された判定結果が「経路ハイジャック」の場合には、AS50の経路を管理しているNOC(Network Operations Center)200にいるオペレータに、経路ハイジャック発生の警報を通知する。
表1に、IRRデータベース300に登録されている経路情報の例を示す。経路ハイジャック判定に用いるのは、このうち、1行目のroute属性と、3行目のorigin属性である。
Figure 0004638948
特開2006−25088号公報
しかしながら、ハイジャッカーが意図的に(故意に)、IRRデータベース300に登録されている経路情報と同様の経路情報を経路広告した場合、特許文献1に記載のIRR参照方式では検知できない。このような故意の経路ハイジャックを、オリジン詐称経路ハイジャックやASパス詐称経路ハイジャック(オリジン(originAS)を詐称するだけではなくASパスをも詐称するハイジャック)という。
まず、オリジン詐称経路ハイジャックの具体例を図10に示す。ここでは、図8と同様に、AS50が正当にプレフィックス「50.0.0.0/16」を保有し、その経路情報をIRRデータベース(図示を省略)に登録しているものとする。
(S301)この前提のもとで、ハイジャッカーHJerが、「50.0.0.0/16」のオリジンASを詐称し(これを詐称AS50という)、本来の(オリジン)AS50(以下、本来AS50という)が正当に保有するプレフィックス「50.0.0.0/16」を、AS20経由で経路広告したとする。
(S302)そして、AS50が広告した経路情報と、ハイジャッカーHJerが広告した経路情報とが、各AS10〜40にて比較され、ハイジャッカーHJerが広告した経路の方が優先度が高い場合には、その経路が選択され、その結果、本来AS50に転送されるべきパケットがハイジャッカーHJerに転送され、吸い込まれる。
(S303)このため、本来AS50に転送されるべきパケットがAS50に届かない。すなわち、通信に障害が発生する。
前記した(S302)において、各AS10〜40に行われる経路情報の比較について説明する。例えば、AS10では、AS50が広告した「50.0.0.0/16」の経路のASパスは、経路表1001において、符号311で示すように、“20 30 40 50”である。また、AS10では、ハイジャッカーHJerが広告したASパスは、経路表1001において、符号312で示すように、“20 50”である。この場合、ハイジャッカーHJerが広告した経路のASパスの方が短い。そのため、AS10は、ハイジャッカーHJerが広告した経路を選択する。
なお、経路表1001において、符号312で示すプレフィックスには記号(アスタリスク:*)が付与され、符号311で示すプレフィックスにはその記号(アスタリスク:*)が付与されていない。この記号(アスタリスク:*)は、同じプレフィックスの場合には、優先度の高い方に付与されている。
AS10では、「50.0.0.0/16」向けのパケットは、短いASパスを通るので、AS20を経由して、ハイジャッカーHJerに転送される。このように、オリジン詐称経路ハイジャックの場合は、図示しないIRRデータベースに登録されている経路情報通りに経路広告されているため、図9を参照して説明した特許文献1に記載のIRR参照方式では検知できない。
次に、ASパス詐称経路ハイジャックを一般化した例を図11に示す。
(S401)ここでは、ハイジャッカーHJerがASパスを詐称し、“40 50”というASパスで、AS50が正当に保有するプレフィックス「50.0.0.0/16」の経路をAS20経由で広告したとする。
(S402)この場合も、オリジン詐称経路ハイジャックと同様に、各AS10〜40では、AS50が広告した経路情報と、ハイジャッカーHJerが広告した経路情報とを比較する。
例えば、AS10では、AS50が広告した「50.0.0.0/16」の経路のASパスは、経路表1001において、符号411で示すように、“20 30 40 50”である。また、AS10では、ハイジャッカーHJerが広告したASパスは、経路表1001において、符号412で示すように、“20 40 50”である。 この場合、ハイジャッカーHJerが広告したASパスの方が短い。そのため、AS10は、ハイジャッカーHJerが広告した経路を選択する。このようにAS10では、「50.0.0.0/16」向けのパケットは、短いASパスを通るので、AS20を経由して、ハイジャッカーHJerに転送される。
(S403)このため、本来AS50に転送されるべきパケットがAS50に届かない。すなわち、通信に障害が発生する。
これまでに、本願発明者らは、このようなオリジン詐称経路ハイジャックやASパス詐称経路ハイジャックの場合であっても経路ハイジャックを検出できる経路ハイジャック検出技術を開発してきた(特願2007−288384号)。経路ハイジャック検出技術には、さらなる改良の余地がある。そこで、本発明では、オリジン詐称経路ハイジャックを含めたASパス詐称経路ハイジャックを検出する技術を提供することを目的とする。
前記した課題を解決するため請求項1に記載の経路監視装置は、各AS(Autonomous System)においてBGP(Border Gateway Protocol)により交換される経路情報を複数の経路監視装置により監視し、経路ハイジャックを検出する経路ハイジャック検出システムにおける前記経路監視装置であって、各種データの入出力を司る入出力手段と、前記経路情報を記述した経路表を記憶する記憶手段と、前記経路表において経路変更を検出し、変更後の経路情報の1つを被疑経路情報として特定する変更検出手段と、前記特定された被疑経路情報におけるASパスにて連続して経由する2つのASの一方の前記経路監視装置に対して、当該被疑経路情報の他方のASと隣接しているか判定する隣接判定処理を依頼する隣接判定依頼情報を送信する隣接判定依頼情報送信手段と、前記依頼に応答した処理を実行した結果として隣接可能性の高低のいずれかを示す隣接判定結果を受信する隣接判定結果受信手段と、隣接可能性が低いことを示す前記隣接判定結果を受信した場合に、経路ハイジャックが発生した可能性が高いと判定するハイジャック判定手段と、前記経路ハイジャックが発生した可能性が高い場合に、ハイジャック発生の警報を出力するハイジャック報知手段と、他の前記経路監視装置から、前記被疑経路情報において自ASに相手先ASが隣接しているか否か判定する隣接判定処理の依頼として、前記隣接判定依頼情報を受信する隣接判定依頼情報受信手段と、前記受信した隣接判定依頼情報で依頼された被疑経路情報における相手先ASを、自ASとの隣接判定対象として、前記経路表において当該被疑経路情報を除く経路情報のASパスにおいて、自ASに隣接しているか否かを判定し、自ASが相手先ASに隣接している場合に隣接可能性が高く、さもなければ低いことを示す隣接判定結果を生成する隣接判定手段と、前記生成された隣接判定結果を返信する隣接判定結果送信手段とを備えることを特徴とする。
かかる構成によれば、経路監視装置は、経路情報の受信をトリガに更新された経路表において経路変更を自ら検出し、被疑経路情報を特定する。ここで、被疑経路情報は、正当なオリジンASによって通常の経路変更がなされた経路情報である可能性と、ASパス詐称経路ハイジャックが発生した経路情報である可能性がある。経路監視装置は、特定した被疑経路情報により、そのASパスの変化の妥当性評価を行う。妥当性は、被疑経路情報のASパスで示されるASの隣接関係と、実際のネットワークシステムにおけるASの隣接関係とが同じであるか否かによって評価される。経路監視装置は、ASパスの2つのASの一方の経路監視装置に対して、隣接判定依頼情報を送信することで、他方のAS(相手先AS)と隣接しているか判定する処理を依頼し、隣接可能性の高低のいずれかを示す隣接判定結果を受信する。したがって、経路監視装置は、オリジンAS詐称経路ハイジャックやASパス詐称経路ハイジャックが発生した可能性が高いか否かを判定することができる。
また、請求項2に記載の経路監視装置は、請求項1に記載の経路監視装置において、前記隣接判定手段が、前記経路表において特定された被疑経路情報におけるASパスが広告元ASのみである場合に当該広告元ASである相手先ASを、さらに自ASとの隣接判定対象として、前記経路表において当該被疑経路情報を除く経路情報のASパスにおいて、自ASに隣接しているか否かを判定し、自ASが相手先ASに隣接している場合に隣接可能性が高く、さもなければ低いことを示す隣接判定結果を生成し、前記ハイジャック判定手段が、前記隣接判定手段によって、隣接可能性が高いことを示す前記隣接判定結果を生成した場合に、経路ハイジャックが発生した可能性が低いと判定することを特徴とする。
かかる構成によれば、経路監視装置は、被疑経路情報におけるASパスが広告元ASのみである場合にも当該広告元ASが詐称していないか検出できる。したがって、経路監視装置は、オリジンAS詐称経路ハイジャックやASパス詐称経路ハイジャックを検出した場合に、オリジンAS詐称をしたASが自ASに隣接していることを認識しそれを特定することができる。
また、請求項3に記載の経路監視装置は、請求項1または請求項2に記載の経路監視装置において、前記経路ハイジャック検出システムが、インターネット上の経路情報と、その経路に割り当てられた正当なASと、前記正当なASと隣接関係にあるASのグループとを情報として含むデータベースであるIRRデータベースをさらに備え、前記経路監視装置が、前記特定された被疑経路情報におけるASパスにて連続して経由する2つのASが前記IRRデータベースにおいて同じグループに登録されているか検索するIRR情報検索手段をさらに備え、前記ハイジャック判定手段が、当該2つのASが前記IRRデータベースにおいて同じグループに登録されている場合には、前記受信した隣接判定結果と併せて判定し、経路ハイジャックが発生した可能性が低いと判定することを特徴とする。
かかる構成によれば、経路監視装置は、特定された被疑経路情報におけるASパスの2つのASがIRRデータベースにおいて同じグループに登録されているか検索することができる。したがって、IRRデータベースにおける登録を確認することで、受信する判定結果と併せて、経路ハイジャックが発生した可能性が低いと判定することができる。
また、請求項4に記載の経路ハイジャック検出システムは、請求項1または請求項2に記載の経路監視装置を複数含んで構成されることを特徴とする。
かかる構成によれば、経路ハイジャック検出システムは、オリジン詐称経路ハイジャックを含めたASパス詐称経路ハイジャックを検出できる経路監視装置を複数含んで構成されるので、経路ハイジャック検出システムのネットワーク運営者が、ASと経路監視装置との分散状態等を含めて、運用形態に合わせた多様な経路ハイジャック検出システムを構成することができる。
また、請求項5に記載の経路ハイジャック検出システムは、インターネット上の経路情報と、その経路に割り当てられた正当なASと、前記正当なASと隣接関係にあるASのグループとを情報として含むデータベースであるIRRデータベースを備え、請求項3に記載の経路監視装置を複数含んで構成されることを特徴とする。
かかる構成によれば、経路ハイジャック検出システムは、IRR情報検索手段を有する経路監視装置を複数含んで構成されるので、経路監視装置が、相手先ASと隣接しているか判定を依頼すべきASに経路監視装置が存在しない場合であっても、IRRデータベースを参照することで隣接判定が可能となる。
また、前記した課題を解決するため請求項6に記載の経路ハイジャック検出方法は、各AS(Autonomous System)においてBGP(Border Gateway Protocol)により交換される経路情報を記述した経路表を記憶する複数の経路監視装置が前記経路情報を監視することで経路ハイジャックを検出する経路ハイジャック検出システムにおける経路ハイジャック検出方法であって、第1の経路監視装置が、前記経路表において経路変更を検出し、変更後の経路情報の1つを被疑経路情報として特定する経路変更検出ステップと、前記経路表において特定された被疑経路情報におけるASパスにて連続して経由する2つのASの一方の前記経路監視装置に対して、当該被疑経路情報の他方のASと隣接しているか判定する隣接判定処理を依頼する隣接判定依頼情報を送信する隣接判定依頼情報送信ステップとを実行し、前記第2の経路監視装置が、前記第1の経路監視装置からの依頼として、前記隣接判定依頼情報を受信する隣接判定依頼情報受信ステップと、前記受信した隣接判定依頼情報で依頼された被疑経路情報における相手先ASを、自ASとの隣接判定対象として、前記経路表において当該被疑経路情報を除く経路情報のASパスにおいて、自ASに隣接しているか否かを判定し、自ASが相手先ASに隣接している場合に隣接可能性が高く、さもなければ低いことを示す隣接判定結果を生成する隣接判定ステップと、前記生成された隣接判定結果を返信する隣接判定結果送信ステップとを実行し、前記第1の経路監視装置が、前記第2の経路監視装置から前記隣接判定結果を受信する隣接判定結果受信ステップと、隣接可能性が低いことを示す前記隣接判定結果を受信した場合に、経路ハイジャックが発生した可能性が高いと判定するハイジャック判定ステップと、前記経路ハイジャックが発生した可能性が高い場合に、ハイジャック発生の警報を出力するハイジャック報知ステップとを実行することを特徴とする。
かかる手順によれば、経路ハイジャック検出システムは、隣接判定依頼情報を送信する第1の経路監視装置と、隣接判定依頼情報を受信する第2の経路監視装置とを備え、第1の経路監視装置は、経路情報の受信をトリガに更新された経路表において経路変更を自ら検出し、被疑経路情報を特定し、そのASパスの変化の妥当性評価を行う。そして、第1の経路監視装置は、評価対象の2つのASの一方の第2の経路監視装置に対して、相手先ASとの隣接判定を依頼する。一方、依頼を受けた第2の経路監視装置は、相手先ASと隣接しているか判定する処理を実行し、隣接可能性の高低のいずれかを示す隣接判定結果を送信する。したがって、第1の経路監視装置は、オリジンAS詐称経路ハイジャックやASパス詐称経路ハイジャックが発生した可能性が高いか否かを判定することができる。
また、請求項7に記載の経路ハイジャック検出方法は、請求項6に記載の経路ハイジャック検出方法において、前記第1の経路監視装置が、前記経路表において特定された被疑経路情報におけるASパスは広告元ASのみであるか否かを判定するステップと、当該被疑経路情報におけるASパスは広告元ASのみである場合、前記隣接判定ステップにて、当該広告元ASである相手先ASを、自ASとの隣接判定対象として、前記経路表において当該被疑経路情報を除く経路情報のASパスにおいて、自ASに隣接しているか否かを判定し、自ASが相手先ASに隣接している場合に隣接可能性が高く、さもなければ低いことを示す隣接判定結果を生成し、前記ハイジャック判定ステップが、前記広告元ASである相手先ASを自ASとの隣接判定対象として隣接可能性が高い隣接判定結果を生成した場合、経路ハイジャックが発生した可能性が低いと判定し、当該被疑経路情報におけるASパスが広告元ASのみではない場合、前記隣接判定依頼情報送信ステップを実行することを特徴とする。
かかる手順によれば、経路ハイジャック検出システムにおいて、第1の経路監視装置が、被疑経路情報におけるASパスが広告元ASのみである場合にも当該広告元ASが詐称していないか検出できる。したがって、第1の経路監視装置は、オリジンAS詐称経路ハイジャックやASパス詐称経路ハイジャックを検出した場合に、オリジンAS詐称をしたASが自ASに隣接していることを認識しそれを特定することができる。
また、請求項8に記載の経路ハイジャック検出方法は、請求項6または請求項7に記載の経路ハイジャック検出方法において、前記経路ハイジャック検出システムが、インターネット上の経路情報と、その経路に割り当てられた正当なASと、前記正当なASと隣接関係にあるASのグループとを情報として含むデータベースであるIRRデータベースをさらに備え、前記第1の経路監視装置が、前記特定された被疑経路情報におけるASパスにて連続して経由する2つのASが前記IRRデータベースにおいて同じグループに登録されているか検索するIRR情報検索ステップをさらに実行し、前記ハイジャック判定ステップが、当該2つのASが前記IRRデータベースにおいて同じグループに登録されている場合には、前記受信した隣接判定結果と併せて、経路ハイジャックが発生した可能性が低いと判定することを特徴とする。
かかる手順によれば、経路ハイジャック検出システムは、IRRデータベースを備えており、第1の経路監視装置が、被疑経路情報を特定してASパスの変化の妥当性評価を行うときに、第2の経路監視装置に対して、その隣接判定を依頼すると共に、当該2つのASの隣接関係をIRRデータベースと照合することで、隣接関係を判定することができる。そして、IRRデータベースにおける登録を確認することで、第2の経路監視装置から受信する判定結果と併せて、経路ハイジャックが発生した可能性が低いと判定することが可能となる。
また、請求項9に記載の経路監視プログラムは、請求項1ないし請求項3のいずれか一項に記載の経路監視装置を構成する各手段としてコンピュータを機能させるためのプログラムとした。このように構成されることにより、このプログラムをインストールされたコンピュータは、このプログラムに基づいた各機能を実現することができる。
本発明によれば、経路変更のあった被疑経路情報の隣接関係を調査して当該被疑経路情報のASパスの変化の妥当性評価を行うので、たとえ同様な経路変更があったとしても、正当なオリジンASによって通常の経路変更がなされた場合と、ASパス詐称経路ハイジャックが発生した場合とを区別して検出することができる。したがって、本発明によれば、オリジン詐称およびASパス詐称による経路ハイジャックの検出が可能となる。
本発明の実施形態に係る経路監視装置を含む経路ハイジャック検出システムを例示した図である(経路ハイジャックの可能性が高いと判定する場合)。 本発明の実施形態に係る経路監視装置を含む経路ハイジャック検出システムを例示した図である(経路ハイジャックの可能性が低いと判定する場合)。 本発明の実施形態に係る経路監視装置を含む経路ハイジャック検出システムの一例を示す構成図である。 本発明の実施形態に係る経路監視装置の構成例を示すブロック図である。 本発明の実施形態に係る経路監視装置の動作例を示すシーケンス図(その1)である。 図5に示す隣接判定処理の一例を示すフローチャートである。 本発明の実施形態に係る経路監視装置の動作例を示すシーケンス図(その2)である。 本発明が検知対象とする経路ハイジャックの典型例を概念的に示す説明図である。 従来の経路ハイジャック検知技術を概念的に示す説明図である。 従来の経路ハイジャック検知技術では解決が困難な経路ハイジャックの一例を概念的に示す説明図である。 従来の経路ハイジャック検知技術では解決が困難な経路ハイジャックの他の例を概念的に示す説明図である。
図面を参照して本発明の経路監視装置、経路ハイジャック検出システムおよびその検出方法を実施するための形態(以下「実施形態」という)について詳細に説明する。以下では、経路ハイジャック検出システムの概要、ASパス妥当性の評価方法、経路監視装置の構成、経路ハイジャック検出システムの動作について順次説明する。
[経路ハイジャック検出システムの概要]
<経路ハイジャック検出原理>
まず、図1ないし図3を用いて、経路ハイジャック検出システムの概要を説明する。図1ないし図3は、本発明の実施形態に係る経路監視装置を含む経路ハイジャック検出システムを例示した図である。
図1ないし図3に示すように、経路ハイジャック検出システム1(図3参照)は、図8と同様に、AS10(AS番号「10」)、AS20(AS番号「20」)、AS30(AS番号「30」)、AS40(AS番号「40」)およびAS50(AS番号「50」)を含んで構成される。そして、各AS10〜50のルータはそれぞれ、BGPによりお互いの経路情報を交換し、経路表1001〜1005を作成する。このASの数や経路表の数は図1ないし図3に示す数に限定されない。
経路ハイジャック検出システム1は、オリジン詐称経路ハイジャックを含めたASパス詐称経路ハイジャックを検出する。ここで、「ASパス詐称経路ハイジャックが発生した経路情報」とは、オリジンAS以外のASパスが変更となる経路情報である。これに対して、ASパス詐称経路ハイジャックが発生した疑いがある経路情報は、「被疑ASパス詐称経路ハイジャック経路情報(以下、単に被疑経路情報という)」である。この「被疑経路情報」は、「オリジンASによって通常の経路変更がなされた経路情報」である可能性と、「ASパス詐称経路ハイジャックが発生した経路情報」である可能性がある。本発明の実施形態に係る経路監視装置100は、監視対象経路に対する被疑経路情報を受信すると、それを契機に、そのASパスの変化の妥当性評価を行い、経路ハイジャックかあるいは通常の経路変更かを判定する。被疑経路情報から導かれるASの隣接関係と、実際のネットワークシステムにおけるASの隣接関係とが同じであれば、通常の経路変更の可能性が高く、異なれば、経路ハイジャックの可能性が高くなる。
発明が解決しようとする課題で述べたように、図10に例示したオリジン詐称経路ハイジャックの具体例の場合には、図10の符号311,312で示すように、AS10では、「50.0.0.0/16」のASパスが“20 30 40 50”から“20 50”へ変わった。そこで、図1の説明図においても、同様な例を用いることで、経路ハイジャック検出システム1がオリジン詐称経路ハイジャックを検出できることを示す。ちなみに、図10では、AS50が広告している「50.0.0.0/16」のみを経路表1001〜1005に表示していたが、実際には各AS10〜50が広告している経路が経路表に記載されている。そのため、AS10、AS20、AS30、AS40がそれぞれ、「10.0.0.0/16」、「20.0.0.0/16」、「30.0.0.0/16」、「40.0.0.0/16」を広告しているとすると、経路表は図1のよう5行以上のものになる。図1に示す経路監視装置100Aは、ASパスが“20 30 40 50”から“20 50”へ変化したこと、すなわちAS20とAS50とが新たな隣接関係になったことの妥当性評価を行う。この詳細は、<ASパス妥当性が低い例1>として後記する。また、図2の説明図を用いて、通常の経路変更が行われたときに、経路ハイジャックを誤検出しないことを示す。この詳細は、<ASパス妥当性が高い例>として後記する。
また、図11に例示したASパス詐称経路ハイジャックの具体例の場合には、図11の符号411,412で示すように、AS10では、「50.0.0.0/16」のASパスが“20 30 40 50”から“20 40 50”へ変わった。そこで、図11の例では、図11に示す経路監視装置100Aは、ASパスが“20 30 40 50”から“20 40 50”へ変化したこと、すなわちAS20とAS40とが新たな隣接関係になったことの妥当性評価を行う。この詳細は、<ASパス妥当性が低い例2>
として後記する。
<経路ハイジャック検出システムの構成例>
図3に示すように、経路ハイジャック検出システム1は、3つの経路監視装置100(100A,100B,100C)を備えている。経路監視装置100Aは、AS10に設置され、経路監視装置100Bは、AS20に設置され、経路監視装置100Cは、AS50に設置されている。なお、各ASすべてに経路監視装置100を設置してもよいし、1つのASに複数の経路監視装置100を設置するようにしてもよい。
経路ハイジャック検出システム1において、図1および図2では省略したが、各AS10〜50は、NOC200(200A、200B,200C,200D,200E)に管理されている。また、経路ハイジャック検出システム1は、IRRデータベース300を備えているものとする。経路監視装置100(100A,100B,100C)は、IRRデータベース300に接続されており、IRR情報を参照することができる。
IRRデータベース300は、インターネット上の経路情報と、その経路に割り当てられた正当なASと、正当なASと隣接関係にあるASのグループとを情報として含むデータベースである。
[ASパス妥当性の評価方法]
<ASパス妥当性が低い例1>
ASパス妥当性が低い例1について図1を参照して説明する。
≪前提≫
例えば、AS50が、「50.0.0.0/16」の経路情報を、各AS(AS10、AS20、AS30、AS40)に広告すると、各ASのルータは経路表に経路情報を追加する。ここで、AS50を詐称するHJerにより「50.0.0.0/16」が経路ハイジャックされると以下のようになる。つまり、HJerが、本来AS50のプレフィックスである「50.0.0.0/16」の経路情報を広告し、AS10〜AS40のルータの経路表1001〜1004に、プレフィックス「50.0.0.0/16」の経路情報の広告元はAS50(詐称AS50)であるという情報が書き込まれる。以下、経路ハイジャック検出システムは、図1に示す(S0)〜(S5)のように動作する。
(S0)例えば、AS10では、AS50が広告した「50.0.0.0/16」の経路のASパスは、経路表1001において、符号21で示すように、“20 30 40 50”である。また、AS10では、ハイジャッカーHJerが広告したASパスは、経路表1001において、符号22で示すように、“20 50”である。つまり、ASパス(経路)が変更される。
(S1)AS10の経路監視装置100Aは、符号22で示す被疑経路情報を解釈し、AS20とAS50とが新たな隣接関係になったということを認識する。この場合には、AS10の直接の隣接関係の変更ではないので、経路監視装置100A自身では、隣接関係を判定(調査)できない。
(S2)そのため、AS10の経路監視装置100Aは、AS20の経路監視装置100Bと、AS50の経路監視装置100Cに調査を依頼し、それぞれのAS(AS20,AS50)が隣接しているかを確認する。
(S3a)具体的には、まず、AS20の経路監視装置100Bに問い合わせる。すると、AS20の経路表1002から、被疑経路情報である「50.0.0.0/16」を除く他の経路情報からは、AS20が隣接しているのはAS10とAS30のみであり、AS50とは隣接していないことがわかる。したがって、AS20の経路監視装置100Bは、AS20がAS50と隣接していないことを返答する。
(S3b)また、AS50の経路監視装置100Cに問い合わせる。すると、AS50の経路表1005から、AS50が隣接しているのはAS40のみであり、AS20とは隣接していないことがわかる。したがって、AS50の経路監視装置100Cは、AS50がAS20と隣接していないことを返答する。
(S4)AS20とAS50が隣接している可能性は低いという調査結果から、被疑経路情報のASパスの妥当性は低いことがわかり、オリジン詐称経路ハイジャックの可能性が高いと判定する。
(S5)AS50の経路を管理しているNOC200Eにいるオペレータに、経路ハイジャック発生の警報を通知する。
<ASパス妥当性が高い例>
次に、図2にて、図1を参照して説明した経路ハイジャックの場合と同様の被疑経路情報でありながら、経路ハイジャックではなく、通常の経路変更の場合を示す。
≪前提≫
ここでは、符号23に示すように、AS50が新たにAS20と接続し、AS20に対し、「50.0.0.0/16」を広告している。以下、経路ハイジャック検出システムは、図2に示す(S10)〜(S15)のように動作する。
(S10)よって、図1を参照して説明した経路ハイジャックの場合と同様に、例えば、AS10では、経路表1001において、符号21,22に示すように、「50.0.0.0/16」のASパスが“20 30 40 50”から“20 50”へ変更となる。なお、(S11)および(S12)は、前記した(S1)および(S2)と同様なので説明を省略する。
(S13a)AS10の経路監視装置100Aは、まず、AS20の経路監視装置100Bに問い合わせる。すると、AS20の経路表1002から、被疑対象の「50.0.0.0/16」以外に、符号24に示すように、AS40の「40.0.0.0/16」がAS50経由で広告されていることがわかる。したがって、AS20の経路監視装置100Bは、AS20がAS50と隣接していることを返答する。
(S13b)また、経路監視装置100Aは、AS50の経路監視装置100Cに問い合わせる。すると、符号25,26,27にそれぞれ示すように、「10.0.0.0/16」、「20.0.0.0/16」、「30.0.0.0/16」がAS20経由で広告されていることがわかる。したがって、AS50の経路監視装置100Cは、AS50がAS20と隣接していることを返答する。
(S14)AS20とAS50が隣接している可能性は高い調査結果から、被疑経路情報のASパスの妥当性は高いことがわかり、オリジン詐称経路ハイジャックの可能性が低いと判定する。
(S15)したがって、この場合には、AS50の経路を管理しているNOC200Eにいるオペレータに、経路ハイジャック発生の警報を通知しない。つまり、誤検出しない。
<ASパス妥当性が低い例2>
ASパス妥当性が低い例2について図11を参照して説明する。
≪前提≫
例えば、AS10では、AS50が広告した「50.0.0.0/16」の経路のASパスは、経路表1001において、符号411で示すように、“20 30 40 50”である。また、AS10では、ハイジャッカーHJerが広告したASパスは、経路表1001において、符号412で示すように、“20 40 50”である。したがって、このケースでは、AS20とAS40が、仮想線421で示すように、新たな隣接関係になったことの妥当性評価を行う。
AS10の経路監視装置100Aが、AS20の経路監視装置100Bに調査を依頼し、返答を取得する方法は、<ASパス妥当性が低い例1>の(S3a)と同様である。一方、AS20の相手先ASであるAS40の経路監視装置100に問い合わせをしようとしたとしても、AS40には経路監視装置100がない。そこで、この場合には、IRRデータベース300へAS−SETの問い合わせを行う。AS−SETの例を表2に示す。ここでは、AS40のAS40−NETというAS−SETを示している。
Figure 0004638948
一般的に、AS−SETの「members(表2の3行目参照)」には、対象のAS(この場合にはAS40)に関連するASの情報が入れられる。表2の例では、「AS40」に関連するASの情報として、「AS40,AS30,AS50」が記述されている。AS−SETの対象のAS(この場合にはAS40)は、AS−SETの「members」に登録がないASとは隣接関係がないと言える。よって、表2の例では、AS40はAS20と隣接関係がないと言える。なお、対象のAS(この場合にはAS40)のAS−SETがIRRデータベース300に登録されていない場合には、対象のAS(この場合にはAS40)に関する隣接関係の評価は行わない。
この例では、IRRデータベース300に、AS40のAS−SETが登録されており、かつ、AS40のAS−SETの情報(IRR情報)によれば、AS40はAS20と隣接していないことから、AS20の経路監視装置100Bに調査を依頼した結果と併せて判定し、AS40はAS20と隣接している可能性は極めて低い(隣接していない)ことがわかる。したがって、経路監視装置100Aは、オリジン詐称経路ハイジャックの可能性が高いと判定できるので、オペレータに、経路ハイジャック発生の警報を通知する。なお、IRRデータベース300へAS−SETの問い合わせ(検索結果)と、調査を依頼した結果(受信する判定結果)とは対等に取り扱う。
[経路監視装置の構成]
次に、図4を用いて、経路監視装置100を詳細に説明する。図4は、本発明の実施形態に係る経路監視装置の構成例を示すブロック図である。なお、経路監視装置100A〜100Cは、同等なものとして、経路監視装置100Aを用いて説明する。この経路監視装置100A(100)は、経路表1001から経路ハイジャックを検出したり、後記する隣接判定依頼情報を生成する機能(第1の経路監視装置の機能)と、他の経路監視装置100から隣接判定依頼情報を受信したとき、隣接可能性が高いか否かを判定する機能(第2の経路監視装置の機能)とを備える。
このような経路監視装置100は、図4に示すように、経路情報や隣接判定依頼情報等の各種データの入出力を司る入出力部11と、経路ハイジャックが発生したか否かの判定等を行う処理部12と、経路情報を記述した経路表1001を記憶する記憶部13とを備える。
入出力部11は、AS内のルータ等とのデータ入出力を司る入出力インタフェースから構成される。また、処理部12は、この経路監視装置100が備えるCPU(Central Processing Unit)によるプログラム実行処理や、専用回路等により実現される。さらに、記憶部13は、RAM(Random Access Memory)、ROM(Read Only Memory)、HDD(Hard Disk Drive)、フラッシュメモリ等の記憶媒体から構成される。なお、経路監視装置100をプログラム実行処理により実現する場合、記憶部13には、この経路監視装置100の機能を実現するための経路ハイジャック検出プログラムが記録される。
<入出力部>
入出力部11は、この経路監視装置100に接続されるルータからの経路情報や、他の経路監視装置100からの隣接判定依頼情報(詳細は後記)や隣接判定結果を受信する。また、自身の経路監視装置100において生成した隣接判定依頼情報や隣接判定結果を送信する。
<処理部>
処理部12は、経路監視装置100全体の制御を司り、経路情報更新部121と、経路変更検出部122と、隣接判定部123と、隣接判定依頼情報送信部124と、隣接判定結果受信部125と、IRR情報検索部126と、ハイジャック判定部127と、ハイジャック報知部128と、隣接判定依頼情報受信部131と、隣接判定結果送信部132とを備える。
経路情報更新部121は、この経路監視装置100に接続されるルータ(図示せず)の経路表の経路情報(図示省略)が更新されると、この更新情報を元に記憶部13の経路表1001を更新する。つまり、経路情報更新部121は、ルータの経路表と同じ経路表1001を記憶部13に作成する。
変更検出部122は、更新された経路表1001において経路変更を検出し、変更後の経路情報の1つを被疑経路情報として特定するものである。
隣接判定部123は、本実施形態では、タイミングの異なる2つの処理を行うので、処理部12の他のブロックを説明した後にあらためて説明する。
隣接判定依頼情報送信部124は、変更検出部122で特定された被疑経路情報におけるASパスにて連続して経由する2つのASの一方の経路監視装置100(100Bまたは/および100C)に対して、当該被疑経路情報の他方のASと隣接しているか判定する隣接判定処理を依頼する隣接判定依頼情報を送信するものである。
隣接判定結果受信部125は、他の経路監視装置100(100B,100C)から、依頼に応答した処理を実行した結果として隣接可能性の高低のいずれかを示す隣接判定結果を受信するものである。
IRR情報検索部126は、経路表1001において特定された被疑経路情報に対する隣接判定処理にて対象とした2つのASが隣接していないと判定された場合に、当該2つのASがIRRデータベース300において同じグループに登録されているか検索するものである
ハイジャック判定部127は、隣接可能性が低いことを示す隣接判定結果を受信した場合に、経路ハイジャックが発生した可能性が高いと判定するものである。また、ハイジャック判定部127は、隣接可能性が高いことを示す隣接判定結果を受信した場合に、経路ハイジャックが発生した可能性が低いと判定する。本実施形態では、ハイジャック判定部127は、IRR情報検索部126によって判定対象の2つのASがIRRデータベース300において同じグループに登録されている場合には、隣接判定依頼情報受信部131で受信した隣接判定結果よりも優先して、経路ハイジャックが発生した可能性が低いと判定する。
ハイジャック報知部128は、経路ハイジャックが発生した可能性が高い場合に、経路ハイジャック発生の警報を出力するものである。
隣接判定依頼情報受信部131は、他の前記経路監視装置100(100B,100C)から、被疑経路情報において自ASに相手先ASが隣接しているか否か判定する隣接判定処理の依頼として、隣接判定依頼情報を受信するものである。
隣接判定結果送信部132は、隣接判定部123で生成された隣接判定結果を返信するものである。
隣接判定部123は、隣接判定依頼情報受信部131で受信した隣接判定依頼情報で依頼された被疑経路情報における相手先ASを、自ASとの隣接判定対象として、経路表1001において当該被疑経路情報を除く経路情報のASパスにおいて、自ASに隣接しているか否かを判定し、自ASが相手先ASに隣接している場合に隣接可能性が高く、さもなければ低いことを示す隣接判定結果を生成するものである。
本実施形態では、隣接判定部123は、変更検出部122にて経路表1001において特定された被疑経路情報におけるASパスが広告元ASのみである場合に当該広告元ASである相手先ASを、さらに自ASとの隣接判定対象として、経路表1001において当該被疑経路情報を除く経路情報のASパスにおいて、自ASに隣接しているか否かを判定し、自ASが相手先ASに隣接している場合に隣接可能性が高く、さもなければ低いことを示す隣接判定結果を生成することとした。
[動作手順]
<第1の経路監視装置と第2の経路監視装置とを用い経路ハイジャックを検出する場合>
次に、図3および図4を参照しつつ、図5を用いて経路監視装置100の動作手順の具体例1を説明する。図5は、本発明の実施形態に係る経路監視装置の動作例を示すシーケンス図(その1)である。ここでは、隣接判定依頼情報を生成する第1の経路監視装置を経路監視装置100A、隣接判定依頼情報を受信する第2の経路監視装置を経路監視装置100B、100Cとする場合を例に説明する。
経路監視装置100Aは、ルータから経路情報を受信する(ステップS21)。そして、経路監視装置100Aは、更新された経路表1001において経路変更を検出し、変更後の経路情報の1つを被疑経路情報として特定する(ステップS22:経路変更検出ステップ)。そして、経路監視装置100Aは、図6に示す隣接判定処理を実行する(ステップS23:隣接判定ステップ)。この場合、経路監視装置100Aは、第1の経路監視装置なので、図6に示すように、自ASが判定対象か否かを判別する(ステップS46)。これは、経路表1001において特定された被疑経路情報におけるASパスは広告元ASのみであるか否かを判定することを表している。ここでは、ステップS46でNoの場合を説明する。この場合、図5に戻って、ステップS24(隣接判定依頼情報送信ステップ)にて、隣接関係の判定を依頼する。すなわち、経路監視装置100Aは、前記したステップS22にて特定された被疑経路情報におけるASパスにて連続して経由する2つのASの一方の経路監視装置に対して、当該被疑経路情報の他方のASと隣接しているか判定する隣接判定処理を依頼する隣接判定依頼情報を送信する。なお、この例では、2つのASの経路監視装置100B,100Cに対して、当該2つのASが隣接しているか判定する処理を依頼する隣接判定依頼情報を送信することとしたが、一方の装置にだけ送信してもよい。
経路監視装置100B,100Cは、経路監視装置100Aからの依頼として、隣接判定依頼情報を受信し(ステップS25,S26:隣接判定依頼情報受信ステップ)、受信した隣接判定依頼情報と自ASの経路表1002,1005に基づいて、自ASが相手先ASに隣接しているか否かを判定し、自ASが相手先ASに隣接している場合に隣接可能性が高く、さもなければ低いことを示す隣接判定結果を生成する(ステップS27,S28:隣接判定ステップ)。そして、経路監視装置100B,100Cは、生成された隣接判定結果を、経路監視装置100Aに返信する(ステップS29,S30:隣接判定結果送信ステップ)。
経路監視装置100Aは、経路監視装置100B,100Cから隣接判定結果を受信する(ステップS31:隣接判定結果受信ステップ)。
ここで、経路監視装置100Aは、隣接可能性が低いことを示す隣接判定結果を受信した場合に、経路ハイジャックが発生した可能性が高いと判定する。そして、この場合、経路監視装置100Aは、ハイジャック発生の警報(ASパス詐称経路ハイジャックが発生したことを示す情報)を出力し、NOC200のオペレータに通知する(ステップS32:経路ハイジャック判定ステップ、経路ハイジャック報知ステップ)。したがって、経路ハイジャックが発生した可能性が高い場合には、NOC200は、ハイジャック発生の警報を受信する(ステップS33)。
≪隣接判定処理≫
図6は、図5に示す隣接判定処理の一例を示すフローチャートである。図6に示す隣接判定処理は、第1の経路監視装置が実行する場合と、第2の経路監視装置が実行する場合とでは処理が異なる。図5では、第1の経路監視装置を経路監視装置100A、隣接判定依頼情報を受信する第2の経路監視装置を経路監視装置100B、100Cとして説明したが、図6では、より一般化させるために、第1の経路監視装置、および第2の経路監視装置として図示した。
第1の経路監視装置(例えば100A)の処理で、ステップS46でYesの場合、または、第2の経路監視装置(例えば100B、100C)が隣接判定処理を行う場合(例えば、ステップS27,S28)を説明する。これらは、共通の処理となるので、以下では、「第1」、「第2」を区別することなく、あらためて経路監視装置100と表記する。まず、経路監視装置100は、ステップS41にて、経路表において経路変更後の経路情報として、特定された被疑経路情報(被疑ASパス詐称経路ハイジャック経路情報)を除く他の経路情報を参照する。
そして、経路監視装置は、相手先ASを直前に経由するか否かを判別する(ステップS42)。例えば、経路監視装置100がAS20の経路監視装置100Bであれば、隣接判定依頼情報にて、相手先ASが「AS50」である場合に、AS20とAS50とが隣接しているか判別することとなる。経路監視装置100は、参照した経路情報では隣接しているか判定できない場合(ステップS42:No)、対象のすべての経路情報を参照するまで(ステップS43:Yes)、次の経路情報を繰り返し参照する(ステップS43:No)。ステップS43にてYesの場合、経路監視装置100は、隣接可能性は低いと判定し(ステップS44)、例えば、経路監視装置100がAS20の経路監視装置100Bであれば、ステップS29,S30に戻る。また、例えば、経路監視装置100がAS10の経路監視装置100Aであれば、ステップS32に戻る。ステップS42にて、経路監視装置100が、参照した経路情報で隣接していると判定した場合(ステップS42:Yes)、隣接可能性は高いと判定し(ステップS45)、経路監視装置100Bであれば、ステップS29,S30に戻り、経路監視装置100Aであれば、処理を終了する。これは、経路監視装置100Aが、ステップS45に進んで、隣接可能性は高いと判定した場合、経路ハイジャックではない通常の経路変更がなされたことを検知したことになるからである。したがって、通常の経路変更がなされたときには、経路ハイジャックを誤検出しないことになる。
<第1および第2の経路監視装置とIRRデータベースを用いて経路ハイジャックを検出する場合>
次に、図3ないし図6を参照しつつ、図7を用いて経路監視装置100の動作手順の具体例2を説明する。図7は、本発明の実施形態に係る経路監視装置の動作例を示すシーケンス図(その2)である。ここでは、隣接判定依頼情報を生成する第1の経路監視装置を経路監視装置100A、隣接判定依頼情報を受信する第2の経路監視装置を経路監視装置100Bだけにすると共に、IRRデータベースを利用する場合を例に説明する。なお、図5のフローチャートと同じ処理には同じ符号を付し、説明を省略する。
図7に示すように、経路監視装置100Aは、ステップS21〜S23を実行し、AS20とAS40との間の隣接関係を調査することになったとする。この場合、AS20の経路監視装置100Aに対しては図5と同様な処理を行い、かつ、AS40には経路監視装置100が存在していないため、AS40の情報についてIRRデータベース300を参照する(ステップS51)。IRRデータベース300は、IRR情報を提供する(ステップS52)。経路監視装置100Aは、IRRデータベース300にIRR情報が登録されている場合、このIRR情報により隣接している(経路ハイジャックではない通常の経路変更がなされた)と判定する(ステップS53)。一方、IRRデータベース300にIRR情報が登録されていない場合、経路監視装置100Bから受信した判定結果で示される隣接可能性により、経路ハイジャックが発生したか否かを判定し、必要に応じてステップS32に進む。
本発明の実施形態に係る経路監視装置100は、前記したような処理を実行させる経路ハイジャック検出プログラムによって実現することができ、このプログラムをコンピュータによる読み取り可能な記録媒体(CD−ROM等)に記録して提供することが可能である。また、そのプログラムを、インターネット等のネットワークを通して提供することも可能である。
本実施形態によれば、経路表において経路変更を検出したときにその被疑経路情報の隣接関係を調査して当該被疑経路情報のASパスの変化の妥当性評価を行うので、たとえ同様な経路変更があったとしても、正当なオリジンASによって通常の経路変更がなされた場合と、ASパス詐称経路ハイジャックが発生した場合とを区別して検出することができる。したがって、本実施形態によれば、オリジン詐称およびASパス詐称による経路ハイジャックの検出が可能となる。
以上、本発明の実施形態について説明したが、本発明はこれに限定されるものではなく、その趣旨を変えない範囲で実施することができる。例えば、経路ハイジャック検出システム1は、IRRデータベース300を備えるベストモードで説明したが、本発明においてIRRデータベース300は必須ではない。
また、本実施形態では、経路監視装置100A〜100Cは、同等なものとして、それぞれが、前記した第1の経路監視装置の機能と、前記した第2の経路監視装置の機能とを備えるベストモードで説明したが、本発明はこれに限らず、例えば経路監視装置100Aを前記した第1の経路監視装置の機能を有した専用機、経路監視装置100B,100Cを、前記した第2の経路監視装置の機能を有した専用機としてもよい。あるいは、これらの経路監視装置を混在させた経路ハイジャック検出システムを構成することもできる。
1 経路ハイジャック検出システム
10〜60 AS
100(100A,100B,100C) 経路監視装置
200 NOC
300 IRRデータベース
11 入出力部(入出力手段)
12 処理部
121 経路情報更新部(経路情報更新手段)
122 経路変更検出部(経路変更検出手段)
123 隣接判定部(隣接判定手段)
124 隣接判定依頼情報送信部(隣接判定依頼情報送信手段)
125 隣接判定結果受信部(隣接判定結果受信手段)
126 IRR情報検索部(IRR情報検索手段)
127 ハイジャック判定部(ハイジャック判定手段)
128 ハイジャック報知部(ハイジャック報知手段)
131 隣接判定依頼情報受信部(隣接判定依頼情報受信手段)
132 隣接判定結果送信部(隣接判定結果送信手段)
13 記憶部(記憶手段)
1001〜1005 経路表

Claims (9)

  1. 各AS(Autonomous System)においてBGP(Border Gateway Protocol)により交換される経路情報を複数の経路監視装置により監視し、経路ハイジャックを検出する経路ハイジャック検出システムにおける前記経路監視装置であって、
    各種データの入出力を司る入出力手段と、
    前記経路情報を記述した経路表を記憶する記憶手段と、
    前記経路表において経路変更を検出し、変更後の経路情報の1つを被疑経路情報として特定する変更検出手段と、
    前記特定された被疑経路情報におけるASパスにて連続して経由する2つのASの一方の前記経路監視装置に対して、当該被疑経路情報の他方のASと隣接しているか判定する隣接判定処理を依頼する隣接判定依頼情報を送信する隣接判定依頼情報送信手段と、
    前記依頼に応答した処理を実行した結果として隣接可能性の高低のいずれかを示す隣接判定結果を受信する隣接判定結果受信手段と、
    隣接可能性が低いことを示す前記隣接判定結果を受信した場合に、経路ハイジャックが発生した可能性が高いと判定するハイジャック判定手段と、
    前記経路ハイジャックが発生した可能性が高い場合に、ハイジャック発生の警報を出力するハイジャック報知手段と、
    他の前記経路監視装置から、前記被疑経路情報において自ASに相手先ASが隣接しているか否か判定する隣接判定処理の依頼として、前記隣接判定依頼情報を受信する隣接判定依頼情報受信手段と、
    前記受信した隣接判定依頼情報で依頼された被疑経路情報における相手先ASを、自ASとの隣接判定対象として、前記経路表において当該被疑経路情報を除く経路情報のASパスにおいて、自ASに隣接しているか否かを判定し、自ASが相手先ASに隣接している場合に隣接可能性が高く、さもなければ低いことを示す隣接判定結果を生成する隣接判定手段と、
    前記生成された隣接判定結果を返信する隣接判定結果送信手段と、
    を備えることを特徴とする経路監視装置。
  2. 前記隣接判定手段は、
    前記経路表において特定された被疑経路情報におけるASパスが広告元ASのみである場合に当該広告元ASである相手先ASを、さらに自ASとの隣接判定対象として、前記経路表において当該被疑経路情報を除く経路情報のASパスにおいて、自ASに隣接しているか否かを判定し、自ASが相手先ASに隣接している場合に隣接可能性が高く、さもなければ低いことを示す隣接判定結果を生成し、
    前記ハイジャック判定手段は、
    前記隣接判定手段によって、隣接可能性が高いことを示す前記隣接判定結果を生成した場合に、経路ハイジャックが発生した可能性が低いと判定することを特徴とする請求項1に記載の経路監視装置。
  3. 前記経路ハイジャック検出システムは、
    インターネット上の経路情報と、その経路に割り当てられた正当なASと、前記正当なASと隣接関係にあるASのグループとを情報として含むデータベースであるIRRデータベースをさらに備え、
    前記経路監視装置は、
    前記特定された被疑経路情報におけるASパスにて連続して経由する2つのASが前記IRRデータベースにおいて同じグループに登録されているか検索するIRR情報検索手段をさらに備え、
    前記ハイジャック判定手段は、
    当該2つのASが前記IRRデータベースにおいて同じグループに登録されている場合には、前記受信した隣接判定結果と併せて、経路ハイジャックが発生した可能性が低いと判定することを特徴とする請求項1または請求項2に記載の経路監視装置。
  4. 請求項1または請求項2に記載の経路監視装置を複数含んで構成されることを特徴とする経路ハイジャック検出システム。
  5. インターネット上の経路情報と、その経路に割り当てられた正当なASと、前記正当なASと隣接関係にあるASのグループとを情報として含むデータベースであるIRRデータベースを備え、
    請求項3に記載の経路監視装置を複数含んで構成されることを特徴とする経路ハイジャック検出システム。
  6. 各AS(Autonomous System)においてBGP(Border Gateway Protocol)により交換される経路情報を記述した経路表を記憶する複数の経路監視装置が前記経路情報を監視することで経路ハイジャックを検出する経路ハイジャック検出システムにおける経路ハイジャック検出方法であって、
    第1の経路監視装置は、
    前記経路表において経路変更を検出し、変更後の経路情報の1つを被疑経路情報として特定する経路変更検出ステップと、
    前記経路表において特定された被疑経路情報におけるASパスにて連続して経由する2つのASの一方の前記経路監視装置に対して、当該被疑経路情報の他方のASと隣接しているか判定する隣接判定処理を依頼する隣接判定依頼情報を送信する隣接判定依頼情報送信ステップとを実行し、
    前記第2の経路監視装置が、
    前記第1の経路監視装置からの依頼として、前記隣接判定依頼情報を受信する隣接判定依頼情報受信ステップと、
    前記受信した隣接判定依頼情報で依頼された被疑経路情報における相手先ASを、自ASとの隣接判定対象として、前記経路表において当該被疑経路情報を除く経路情報のASパスにおいて、自ASに隣接しているか否かを判定し、自ASが相手先ASに隣接している場合に隣接可能性が高く、さもなければ低いことを示す隣接判定結果を生成する隣接判定ステップと、
    前記生成された隣接判定結果を返信する隣接判定結果送信ステップとを実行し、
    前記第1の経路監視装置が、
    前記第2の経路監視装置から前記隣接判定結果を受信する隣接判定結果受信ステップと、
    隣接可能性が低いことを示す前記隣接判定結果を受信した場合に、経路ハイジャックが発生した可能性が高いと判定するハイジャック判定ステップと、
    前記経路ハイジャックが発生した可能性が高い場合に、ハイジャック発生の警報を出力するハイジャック報知ステップとを実行することを特徴とする経路ハイジャック検出方法。
  7. 前記第1の経路監視装置は、
    前記経路表において特定された被疑経路情報におけるASパスは広告元ASのみであるか否かを判定するステップと、
    当該被疑経路情報におけるASパスは広告元ASのみである場合、前記隣接判定ステップにて、当該広告元ASである相手先ASを、自ASとの隣接判定対象として、前記経路表において当該被疑経路情報を除く経路情報のASパスにおいて、自ASに隣接しているか否かを判定し、自ASが相手先ASに隣接している場合に隣接可能性が高く、さもなければ低いことを示す隣接判定結果を生成し、
    前記ハイジャック判定ステップは、
    前記広告元ASである相手先ASを自ASとの隣接判定対象として隣接可能性が高い隣接判定結果を生成した場合、経路ハイジャックが発生した可能性が低いと判定し、
    当該被疑経路情報におけるASパスが広告元ASのみではない場合、前記隣接判定依頼情報送信ステップを実行することを特徴とする請求項6に記載の経路ハイジャック検出方法。
  8. 前記経路ハイジャック検出システムは、
    インターネット上の経路情報と、その経路に割り当てられた正当なASと、前記正当なASと隣接関係にあるASのグループとを情報として含むデータベースであるIRRデータベースをさらに備え、
    前記第1の経路監視装置は、
    前記特定された被疑経路情報におけるASパスにて連続して経由する2つのASが前記IRRデータベースにおいて同じグループに登録されているか検索するIRR情報検索ステップをさらに実行し、
    前記ハイジャック判定ステップは、
    当該2つのASが前記IRRデータベースにおいて同じグループに登録されている場合には、前記受信した隣接判定結果と併せて、経路ハイジャックが発生した可能性が低いと判定することを特徴とする請求項6または請求項7に記載の経路ハイジャック検出方法。
  9. 請求項1ないし請求項3のいずれか一項に記載の経路監視装置を構成する各手段としてコンピュータを機能させるための経路監視プログラム。
JP2009045714A 2009-02-27 2009-02-27 経路監視装置、経路監視プログラムおよび経路ハイジャック検出システム並びに経路ハイジャック検出方法 Expired - Fee Related JP4638948B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009045714A JP4638948B2 (ja) 2009-02-27 2009-02-27 経路監視装置、経路監視プログラムおよび経路ハイジャック検出システム並びに経路ハイジャック検出方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009045714A JP4638948B2 (ja) 2009-02-27 2009-02-27 経路監視装置、経路監視プログラムおよび経路ハイジャック検出システム並びに経路ハイジャック検出方法

Publications (2)

Publication Number Publication Date
JP2010200245A JP2010200245A (ja) 2010-09-09
JP4638948B2 true JP4638948B2 (ja) 2011-02-23

Family

ID=42824448

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009045714A Expired - Fee Related JP4638948B2 (ja) 2009-02-27 2009-02-27 経路監視装置、経路監視プログラムおよび経路ハイジャック検出システム並びに経路ハイジャック検出方法

Country Status (1)

Country Link
JP (1) JP4638948B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017147166A1 (en) 2016-02-22 2017-08-31 Dynamic Network Services, Inc. Methods and apparatus for finding global routing hijacks

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006229700A (ja) * 2005-02-18 2006-08-31 Nippon Telegr & Teleph Corp <Ntt> ネットワーク間経路情報の監視代行サービスシステムとその方法、および装置、ならびにそのプログラム
JP2006261786A (ja) * 2005-03-15 2006-09-28 Nippon Telegr & Teleph Corp <Ntt> As間接続関係解析装置、as間接続関係解析方法およびas間接続関係解析プログラム
JP2007053430A (ja) * 2005-08-15 2007-03-01 Nippon Telegr & Teleph Corp <Ntt> 不正経路監視システムおよび方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006229700A (ja) * 2005-02-18 2006-08-31 Nippon Telegr & Teleph Corp <Ntt> ネットワーク間経路情報の監視代行サービスシステムとその方法、および装置、ならびにそのプログラム
JP2006261786A (ja) * 2005-03-15 2006-09-28 Nippon Telegr & Teleph Corp <Ntt> As間接続関係解析装置、as間接続関係解析方法およびas間接続関係解析プログラム
JP2007053430A (ja) * 2005-08-15 2007-03-01 Nippon Telegr & Teleph Corp <Ntt> 不正経路監視システムおよび方法

Also Published As

Publication number Publication date
JP2010200245A (ja) 2010-09-09

Similar Documents

Publication Publication Date Title
US20230041892A1 (en) Event driven route control
US9455995B2 (en) Identifying source of malicious network messages
JP7046818B2 (ja) グローバルルーティングハイジャックを発見するための方法および装置
KR101270041B1 (ko) Arp 스푸핑 공격 탐지 시스템 및 방법
Rajab et al. On the Effectiveness of Distributed Worm Monitoring.
KR100800370B1 (ko) 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치
Marder et al. Pushing the boundaries with bdrmapit: Mapping router ownership at internet scale
KR20120096580A (ko) Dns 캐시의 포이즈닝을 방지하기 위한 방법 및 시스템
US8955117B2 (en) System and method to locate a prefix hijacker within a one-hop neighborhood
US10397225B2 (en) System and method for network access control
KR20080028381A (ko) 타겟 희생자 자체-식별 및 제어에 의해 ip네트워크들에서 서비스 거부 공격들에 대한 방어 방법
JP2006350561A (ja) 攻撃検出装置
CN102325079B (zh) 报文传输方法和出口路由器
JP4542580B2 (ja) 経路ハイジャック検出方法、経路監視装置、経路ハイジャック検出システムおよび経路ハイジャック検出プログラム
JP2011090429A (ja) 統合監視システム
US9094331B2 (en) Method and apparatus for internet protocol (IP) logical wire security
JP4638948B2 (ja) 経路監視装置、経路監視プログラムおよび経路ハイジャック検出システム並びに経路ハイジャック検出方法
JP2006191433A (ja) 踏み台パケット・進入中継装置特定装置
CN110401646A (zh) IPv6安全邻居发现过渡环境中CGA参数探测方法及装置
JP2005130121A (ja) ネットワーク管理装置、ネットワーク管理方法、ネットワーク管理プログラム
JP2007208575A (ja) 不正トラフィック管理装置およびシステム
CN104137517A (zh) 用于检测对等网络中故障对等体的对等体、应用和方法
Principal An approach for determining conditions for monitoring of critical nodes for MANET intrusion detection system
US20230082637A1 (en) Assistance method for managing a cyber attack, and device and system thereof
US11882019B1 (en) Source address validation for asymmetric routing

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101116

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101126

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131203

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees