JP4677501B2 - 中継装置および中継方法 - Google Patents

中継装置および中継方法 Download PDF

Info

Publication number
JP4677501B2
JP4677501B2 JP2009522445A JP2009522445A JP4677501B2 JP 4677501 B2 JP4677501 B2 JP 4677501B2 JP 2009522445 A JP2009522445 A JP 2009522445A JP 2009522445 A JP2009522445 A JP 2009522445A JP 4677501 B2 JP4677501 B2 JP 4677501B2
Authority
JP
Japan
Prior art keywords
packet
address
request
inspection
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009522445A
Other languages
English (en)
Other versions
JPWO2009008052A1 (ja
Inventor
淳 小川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Publication of JPWO2009008052A1 publication Critical patent/JPWO2009008052A1/ja
Application granted granted Critical
Publication of JP4677501B2 publication Critical patent/JP4677501B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ネットワーク上を伝送されるパケットの中継を行うと共に、当該パケットから攻撃パケットを検出した場合に、当該攻撃パケットを廃棄する中継装置およびその中継方法に関するものである。
近年、攻撃パケットによるネットワークやサーバへの攻撃が増加している。一般に、攻撃パケットは、その送信元を隠すために、送信元IP(Internet Protocol)アドレスを詐称していることが多い。
これは、第1にエンドユーザが端末にIPアドレスを設定可能であること、第2に通信先端末(サーバ)が、送信元のIPアドレスの妥当性を認証する仕組みがないこと、第3に中継装置(ルータ)は、中継対象のパケットをどのIF(Interface)から受信するべきかを把握する仕組みがないこと等により、通信先端末のIPアドレスの詐称が容易であり、かつ攻撃パケットの発信元をトレースすることは難しいためである。
そこで、特許文献1では上記した3つの問題点に着目し、中継装置で、詐称した送信元のIPアドレスを有するパケットを検出し、検出したパケットを廃棄することによって攻撃パケットによるネットワークやサーバへの攻撃を防いでいる。
特許文献1は、ルータが到着したパケットの宛先IPアドレスをキーに経路テーブルを検索し、パケット中継を行う点、すなわち、端末はIPアドレスを詐称したパケットを送信することはできるが、詐称したIPアドレスを宛先としてパケットを受信することはできないことを利用している。
ここで、図19を用いて、従来技術(特許文献1)について説明する。図19は、従来技術を説明するための図である。図19において、端末10は、IPアドレスAを正規に有する端末であり、端末20は、IPアドレスAを詐称する端末である。端末10,20ともにサーバ50宛にパケットを送信しているものとする。
第1にルータ2は、一定時間内に、複数の異なるインターフェース(IF−α、IF−β)から、同一送信元IPアドレスを一定量以上受信する((1)参照)。第2にルータ2は、送信元検査用パケットを、IPアドレスAを宛先IPアドレス、ルータ2のIPアドレスを送信元IPアドレスとして送信する((2)参照)。この結果、送信元検査用パケットは、IPアドレスAを正規に有する端末10に送信され、IPアドレスを詐称している端末20には送信されない。
そして、第3に送信元検査用アドレスを受信した端末10は、ルータ2宛に送信元検査用パケットの回答を返信する((3)参照)。第4にルータ2は、送信元検査用パケットの回答を受信したインタフェース(図19ではIF−α)から受信した送信元IPアドレスAを有するパケットのみ疎通を許可し、それ以外のインタフェース(図19ではIF−β)から受信する送信元IPアドレスAのパケットに対しては廃棄するようフィルタのエントリを設定する((4)参照)。
特開2002−176454号公報
しかしながら、上述した従来の技術では、パケットに対してフィルタを設定した場合に、送信元IPアドレスを詐称していない正規のパケットであっても、誤って廃棄してしまうという問題があった。
図20は、従来技術の問題点を説明するための図である。図20において、ネットワーク網は冗長構成となっており、正規のIPアドレスAを有する端末10は、サーバ50,60とそれぞれ通信を行っている。このネットワーク網における経路制御では、端末10発でサーバ50宛のパケットは、ルータ4,3,1を経由してサーバ50に到達し、端末10発でサーバ60宛のパケットは、ルータ4,5,1を経由してサーバ60に到達する。
図20に示す経路によって端末10からサーバ50,60にパケットが送信される場合には、ルータ1は、端末10からのパケットをIF−αおよびIF−βの2つのインタフェースから受信することになる。
このとき、端末20がIPアドレスAを詐称し、サーバ50へパケットを送信したとする。ルータ1は、背景技術で述べた手順を実行し、IPアドレスAを送信元IPアドレスとするパケットをIF−βからのみ受信するフィルタを設定する。このため、IF−αから受信する、端末10からサーバ60へのパケット(IPアドレスAを詐称していない正規のパケット)も廃棄されてしまう。
また、上記方法によってフィルタのエントリを設定した後に、パケットの経路変更が生じ、例えば、端末10からサーバ50宛の経路がルータ3経由からルータ5経由になった場合、従来の技術では、自律的に経路変更と同期してフィルタのエントリを変更できないため、正規のパケットを廃棄してしまう。
なお、送信元検査用パケットに応答する装置は、エンドの端末(端末10)である。このため、端末20による攻撃中に、端末10がシャットダウン中であれば、従来の技術では正規のIPアドレスAを有する端末発のパケットを受信するインタフェースを特定することができない。
すなわち、正規のパケットを廃棄することなく、送信元IPアドレスを詐称した攻撃パケットのみを的確に廃棄することが極めて重要な課題となっている。
この発明は、上述した従来技術の課題を解決するためになされたものであり、送信元IPアドレスを詐称した攻撃パケットのみを的確に廃棄することができる中継装置および中継方法を提供することを目的とする。
本発明は、ネットワーク上を伝送されるパケットの中継を行うと共に、当該パケットから攻撃パケットを検出した場合に、当該攻撃パケットを廃棄する中継装置であって、前記攻撃パケットを検出した場合に、前記攻撃パケットに含まれる送信元アドレスを宛先アドレスに設定し、前記攻撃パケットに含まれる宛先アドレスを送信元アドレスに設定した検査用パケットを出力する検査用パケット出力手段と、前記検査用パケットの応答パケットを取得した場合に、当該応答パケットに含まれる送信元アドレスと宛先アドレスと当該応答パケットを受信したインタフェースの識別情報とを対応付けてフィルタテーブルに記憶するフィルタテーブル記憶手段と、前記フィルタテーブルに基づいて転送対象となるパケットを転送するか否かを判定する転送制御手段と、を備えたことを特徴とする。
また、本発明は、上記発明において、前記パケットを転送するネットワーク上の経路を変更するか否かを判定する経路変更判定手段と、前記経路変更判定手段の判定結果に基づいて、前記検査用パケットの出力を要求する要求パケットを出力する要求パケット出力手段とを更に備えたことを特徴とする。
また、本発明は、上記発明において、前記検査用パケットを取得し、当該検査用パケットの宛先アドレスを有する端末装置が配下のサブネットに接続されている場合に、当該端末装置の代わりに前記検査用パケットの応答アドレスを出力する代理応答手段を更に備えたことを特徴とする。
また、本発明は、上記発明において、前記検査用パケット出力手段は、前記要求パケットを取得した場合に、前記検査用パケットを出力することを特徴とする。
また、本発明は、ネットワーク上を伝送されるパケットの中継を行うと共に、当該パケットから攻撃パケットを検出した場合に、当該攻撃パケットを廃棄する中継装置の中継方法であって、前記攻撃パケットを検出した場合に、前記攻撃パケットに含まれる送信元アドレスを宛先アドレスに設定し、前記攻撃パケットに含まれる宛先アドレスを送信元アドレスに設定した検査用パケットを出力する検査用パケット出力工程と、前記検査用パケットの応答パケットを取得した場合に、当該応答パケットに含まれる送信元アドレスと宛先アドレスと当該応答パケットを受信したインタフェースの識別情報とを対応付けてフィルタテーブルに記憶するフィルタテーブル記憶工程と、前記フィルタテーブルに基づいて転送対象となるパケットを転送するか否かを判定する転送制御工程と、を含んだことを特徴とする。
また、本発明は、上記発明において、前記パケットを転送するネットワーク上の経路を変更するか否かを判定する経路変更判定工程と、前記経路変更判定工程の判定結果に基づいて、前記検査用パケットの出力を要求する要求パケットを出力する要求パケット出力工程とを更に含んだことを特徴とする。
また、本発明は、上記発明において、前記検査用パケットを取得し、当該検査用パケットの宛先アドレスを有する端末装置が配下のサブネットに接続されている場合に、当該端末装置の代わりに前記検査用パケットの応答アドレスを出力する代理応答工程を更に含んだことを特徴とする。
また、本発明は、上記発明において、前記検査用パケット出力工程は、前記要求パケットを取得した場合に、前記検査用パケットを出力することを特徴とする。
本発明によれば、攻撃パケットのみを的確に廃棄することができる。また、検査用パケットの宛先となる正規の端末がシャットダウン中であっても、フィルタテーブルのエントリを適切に設定することができる。
図1は、本実施例にかかる中継装置の概要および特徴を説明するための図である。 図2は、本実施例1にかかるネットワークシステムの構成を示す図である。 図3は、本実施例1にかかるパケットのデータ構造の一例を示す図である。 図4は、本実施例1にかかるネットワークシステムの処理を説明するための図である。 図5は、本実施例1にかかるルータの構成を示す機能ブロック図である。 図6は、フィルタテーブルのデータ構造の一例を示す図である。 図7は、本実施例1にかかるルータが攻撃パケットを検出した場合の処理を示すフローチャートである。 図8は、本実施例1にかかるルータが送信元検査用パケット(要求用)を取得した場合の処理を示すフローチャートである。 図9は、本実施例1にかかるルータが送信元検査用パケット(回答用)を取得した場合の処理を示すフローチャートである。 図10は、本実施例1にかかるルータがその他のパケットを取得した場合の処理を示すフローチャートである。 図11は、本実施例2にかかるネットワークシステムの構成を示す図である。 図12は、本実施例2にかかるネットワークシステムの処理を説明するための図である。 図13は、本実施例3にかかるネットワークシステムを示す図である。 図14は、本実施例3にかかるネットワークシステムの処理を説明するための図である。 図15は、本実施例3にかかるフィルタテーブルのデータ構造の一例を示す図である。 図16は、本実施例3にかかるルータの構成を示す機能ブロック図である。 図17は、本実施例3にかかるルータが経路変更を判定する場合の処理を示すフローチャートである。 図18は、本実施例3にかかるルータが発信依頼パケットを取得した場合の処理を示すフローチャートである。 図19は、従来技術を説明するための図である。 図20は、従来技術の問題点を説明するための図である。
符号の説明
10,20 端末
50,60 サーバ
1,2,3,4,5,100,200,300,400,500,120,220,320,420,520,130,230,330,430,530 ルータ
101,131 通信部
102,132 パケット種別判定部
103,133 フィルタテーブル
104,134 フィルタ書き込み部
105,135 パケット終端判定部
106,136 送信元検査用パケット(回答用)作成部
107,137 送信元検査用パケット(要求用)作成部
108,139 フィルタ検索部
109,140 攻撃パケット検出部
110,141 タイマー部
111,142 経路制御部
112,143 経路テーブル
113,144 パケット転送処理部
138 発信依頼パケット作成部
以下に、本発明にかかる中継装置および中継方法の実施例を図面に基づいて詳細に説明する。なお、この実施例によりこの発明が限定されるものではない。
まず、本実施例1にかかる中継装置(ルータ)の概要および特徴について説明する。図1は、本実施例にかかる中継装置の概要および特徴を説明するための図である。同図に示すように、本実施例1にかかる中継装置は、パケットの転送を行うか否かの判定基準となるフィルタを設定する場合に、パケットの送信元IPアドレスと宛先IPアドレスとパケットを受信するインタフェースとを対応付けて設定する。
図1に示すフィルタは、宛先IPアドレスBに対して送信されるパケットのうち、IF−βから入力された送信元IPアドレスAとなるパケットのみの転送を許可し、その他のパケット(宛先IPアドレスBに対して送信されるパケット)を廃棄する。
このように、本実施例1にかかる中継装置は、送信元IPアドレスと宛先IPアドレスとパケットを受信するインタフェースとの組でフィルタの設定を行うので、攻撃パケットを的確に廃棄し、正規のパケットを誤って廃棄してしまうという問題を解消することができる。
例えば、従来技術では、図20に示すように、端末10からサーバ60に転送されるパケットがルータ1によって廃棄されていたが、本実施例1では、宛先IPアドレスも含めてパケットフィルタリングを行っているため、サーバ60宛のパケットは廃棄対象にならず、従来技術のように正規のパケットを廃棄してしまうことがない。
次に、本実施例1にかかるネットワークシステムについて説明する。図2は、本実施例1にかかるネットワークシステムの構成を示す図(一例)である。同図に示すように、このネットワークシステムは、正規のIPアドレスAを有する端末10、詐称したIPアドレスAを有する端末20、サービス要求に応答して各種サービスを提供するサーバ50,60、ルータ100〜500を備える。
そして、端末10は、ルータ300,400,200,100経由でサーバ50にパケットを送信し、ルータ300,200,100経由でサーバ60にパケット送信しているものとする。また、端末20は、ルータ500,200,100経由でサーバ50にパケットを送信しているものとする。
ここで、本実施例1のネットワークシステムで利用されるパケットのデータ構造について説明する。図3は、本実施例1にかかるパケットのデータ構造の一例を示す図である。同図に示すように、このパケットはメッセージ種別と、TCP(Transmission Control Protocol)ヘッダと、IPヘッダとを備える。このうち、TCPヘッダおよびIPヘッダは既存のTCPヘッダ、IPヘッダと同様であるため説明を省略する。
メッセージ種別は、パケットの種別を識別する番号を格納する。メッセージ種別に「0」が格納されていれば、かかるパケットは、送信元検査用パケット(要求用)を示す。メッセージ種別に「1」が格納されていれば、かかるパケットは、送信元検査用パケット(回答用)を示す。メッセージ種別に「2」が格納されていれば、かかるパケットは、発信依頼パケットを示す。
送信元検査用パケット(要求用)は、攻撃パケットを検出したルータが、攻撃パケットの送信元IPアドレスを宛先IPアドレスとして送信するパケットである。送信元検査用パケット(回答用)は、送信元検査用パケット(要求用)の宛先IPアドレスの端末を収容するルータが、その送信元IPアドレスを宛先IPアドレスとして返信するパケットである。
発信依頼パケットは、パケットの経路変更を検出したルータが、新しい経路に対応したフィルタエントリを作成するように、送信元検査用パケット(要求用)の送信を指示するパケットである(発信依頼パケットに関する説明は、実施例3で行うため、実施例1では発信依頼パケットに関する説明を省略する)。
続いて、端末10発のパケットがサーバ50宛/60宛ともに疎通し、端末20からのパケット(攻撃パケット)を廃棄するまでのネットワークシステムの処理について説明する。図4は、本実施例1にかかるネットワークシステムの処理を説明するための図である。
同図に示すように、ルータ200は、一定時間内に、複数の異なるインタフェース(IF−α、IF−β、IF−γ;図2参照)から、同一送信元IPアドレスAを有し、かつ同一の宛先IPアドレスBを有するパケットを一定量以上受信する(ステップS101)。
そして、ルータ200は、攻撃パケットを検出した場合に、送信元検査用パケット(要求用)を生成し、生成した送信元検査用パケット(要求用)を送信する(ステップS102)。かかる送信元検査用パケット(要求用)のメッセージ種別には「0」が格納され、送信元検査用パケット(要求用)の送信元IPアドレスはB(攻撃パケットに含まれる宛先IPアドレス)となり、宛先IPアドレスはA(攻撃パケットに含まれる送信元IPアドレス)となる。
送信元検査用パケット(要求用)を受信した、端末10を収容するルータ300は、ルータ200宛に送信元検査用パケット(回答用)を送信する(ステップS103)。かかる送信元検査用パケット(回答用)のメッセージ種別には「1」が格納され、送信元検査用パケット(回答用)の送信元IPアドレスはAとなり、宛先IPアドレスはBとなる。
続いて、ルータ200は、送信元検査用パケット(回答用)を受信したインタフェース、すなわち、IF−βから受信した送信元IPアドレスと宛先IPアドレスを有するパケットの疎通を許可し、それ以外は廃棄するフィルタを設定する(ステップS104)。図示を省略するが、送信元検査用パケットの経路上にあるルータ300も、IF−δから受信した送信元IPアドレスAと宛先IPアドレスBを有するパケットのみ疎通を許可するようフィルタを設定する。
ルータ200は、ステップS104で設定したフィルタにより、IF−γから受信される、詐称したアドレスAを有する端末20発のパケットを廃棄し、かつ端末10からサーバ50,60宛のパケットを中継する(ステップS105)。以降、ステップS101〜ステップS105を定期的に繰り返し、フィルタテーブルのエントリをリフレッシュする。
次に、本実施例1にかかるルータ100の構成について説明する。なお、ルータ200〜500の構成は、ルータ100の構成と同様であるため、説明を省略する。図5は、本実施例1にかかるルータ100の構成を示す機能ブロック図である。同図に示すように、このルータ100は、通信部101と、パケット種別判定部102と、フィルタテーブル103と、フィルタ書き込み部104と、パケット終端判定部105と、送信元検査用パケット(回答用)作成部106と、送信元検査用パケット(要求用)作成部107と、フィルタ検索部108と、攻撃パケット検出部109と、タイマー部110と、経路制御部111と、経路テーブル112と、パケット転送処理部113とを備えて構成される。
通信部101は、ネットワークからのパケットの受信処理及びネットワークへのパケットの送信処理を行う手段である。通信部101は、受信したパケットをパケット種別判定部102および攻撃パケット検出部109に出力する。
パケット種別判定部102は、パケットに含まれるメッセージ種別に基づいてパケットの種別を判定し、判定結果に基づいてパケットをフィルタ書き込み部104、パケット終端判定部105あるいはパケット転送処理部113に出力する手段である。
パケット種別判定部102は、パケットが送信元検査用パケット(要求用)である場合(メッセージ種別に「0」が格納されている場合)には、パケットをパケット終端判定部105に出力する。
パケット種別判定部102は、パケットが送信元検査用パケット(回答用)である場合(メッセージ種別に「1」が格納されている場合)には、パケットをフィルタ書き込み部104に出力する。パケット種別判定部102は、その他のパケットをパケット転送処理部113に出力する。
フィルタテーブル103は、パケットを廃棄するか否かを判定するための情報を記憶するテーブルである。図6は、フィルタテーブル103のデータ構造の一例を示す図である。同図に示すように、このフィルタテーブル103は、送信元IPアドレスと、宛先IPアドレスと、受信インタフェースと、処理と、該当ラインを登録(更新)した時刻とを備える。
図6の1段目では、インタフェース(IF−α)から受信し、送信元IPアドレスA、宛先IPアドレスBを有するパケットを廃棄する旨が登録されている。2段目では、インタフェース(IF−β)から受信し、送信元IPアドレスA、宛先IPアドレスBを有するパケットの転送を許可する旨が登録されている。また、3段目では、インタフェース(IF−γ)から受信し、送信元IPアドレスA、宛先IPアドレスBを有するパケットを廃棄する旨が登録されている。
図5の説明に戻ると、フィルタ書き込み部104は、送信元検査用パケット(回答用)の送信元IPアドレス、宛先IPアドレス、受信インタフェース番号からフィルタテーブル103のエントリを作成する手段である。フィルタ書き込み部104は、送信元検査用パケット(回答用)の受信インタフェースのみ、フィルタテーブルの処理フィールドを「Permit」とし、他のインタフェースを「Deny」とし、時刻フィールドに現在の時刻を登録する。フィルタ書き込み部104は、フィルタテーブル103に同一エントリが存在する場合には、現在時刻をアップデート(更新)する。
パケット終端判定部105は、送信元検査用パケット(要求用/回答用)を終端するか、中継するかの判定を行う手段である。具体的に、パケット終端判定部105は、送信元検査用パケット(要求用/回答用)の宛先IPアドレスが、自ルータの配下のサブネット内であるならば終端し、送信元検査用パケット(要求用)作成部107または送信元検査用パケット(回答用)作成部106に処理を渡す。なお、ここでは、図示を省略するが、パケット終端判定部105は、自ルータの配下のサブネット内に存在する端末のIPアドレスを保持しているものとする。
パケット終端判定部105は、送信元検査用パケット(回答用)作成部106には、終端した、送信元検査用パケット(要求用)の宛先IPアドレスを送信元IPアドレス、送信元検査用パケット(要求用)の送信元IPアドレスを宛先IPアドレスとして、送信元検査用パケット(回答用)を生成するように指示する。
送信元検査用パケット(回答用)作成部106は、パケット終端判定部105からの指示に基づいて、送信元検査用パケット(回答用)を作成する手段である(送信元検査用パケット(回答用)のフォーマットは、図3参照)。送信元検査用パケット(回答用)作成部106は、生成した送信元検査用パケット(回答用)を通信部101に出力し、ネットワークに送信する。
送信元検査用パケット(要求用)作成部107は、攻撃パケット検出部109、タイマー部110等からの指示に基づいて、送信元検査用パケット(要求用)を作成する手段である(送信元検査用パケット(要求用)のフォーマットは、図3参照)。送信元検査用パケット(要求用)作成部107は、生成した送信元検査用パケット(要求用)を通信部101に出力し、ネットワークに送信する。
フィルタ検索部108は、パケット転送処理部113から出力される条件(送信元IPアドレス、宛先IPアドレス、インタフェース)を基にして、フィルタテーブル103を検索し、検索結果(「Permit」あるいは「Deny」)をパケット転送処理部113に出力する手段である。また、フィルタ検索部108は、タイマー部110の要求に応じて、フィルタテーブル103のデータをタイマー部110に出力し、タイマー部110の指示に応じて、フィルタテーブル103のエントリを削除する。
攻撃パケット検出部109は、攻撃パケットを検出する手段である。攻撃パケット検出部109が攻撃パケットを検出する手法は、従来と同様の手法を用いるものとする。攻撃パケット検出部109は、攻撃パケットを検出した場合に、送信元検査用パケット(要求用)作成部107に、攻撃パケットの送信元IPアドレスを宛先IPアドレス、攻撃パケットの宛先IPアドレスを送信元IPアドレスとした、送信元検査用パケット(要求用)を作成するよう指示する。
タイマー部110は、送信元検査用パケット(要求用)の再送信およびタイムアウトしたフィルタテーブル103のエントリの削除を行う手段である。まず、タイマー部110が、送信元検査用パケット(要求用)の再送信を行う処理について説明する。送信元検査用パケット(要求用)の再送信を行うことによって、フィルタテーブル103のエントリをリフレッシュさせる。
タイマー部110は、一定時間(t1)毎に、フィルタ検索部108を通じて、フィルタテーブル103の送信元IPアドレスフィールドのうち、自ルータの配下のサブネット内にあるIPアドレスを検索する。この検索でヒットしたエントリの時刻フィールドにある時刻から予め決められた時間が経過している場合、該エントリ情報の送信元IPアドレスフィールドの値を送信元IPアドレスとし、宛先IPアドレスフィールドの値を宛先IPアドレスとする送信元検査用パケット(要求用)作成部107に指示する。
続いて、タイマー部110がフィルタテーブル103のエントリの削除を行う処理について説明する。タイマー部110は、一定時間毎(t2:ただし、t2>t1とする)に、フィルタ検索部108を通じて、フィルタテーブル103の時刻フィールドを検索し、予め決められた時間が経過しているエントリ削除を実行する(エントリの削除をフィルタ検索部108に依頼する)。
経路制御部111は、パケットの経路を制御する手段であり、経路テーブル112は、パケットを中継する場合の経路の情報を記憶するテーブルである。
パケット転送処理部113は、いわゆる既存のパケットの転送処理、および送信元IPアドレスを作用したパケットの廃棄を行う手段である。パケット転送処理部113は、各受信パケットの、送信元IPアドレス、宛先IPアドレス、受信インタフェースに合致するエントリがフィルタテーブル113に存在するかを、フィルタ検索部108を介して検索する。そして、エントリが存在し、かつその処理フィールドが「Deny」である場合には、該当受信パケットを廃棄する。
一方、パケット転送処理部113は、エントリが存在しない場合、あるいは、該当パケットに対応する処理フィールドが「Permit」である場合には、かかる受信パケットを転送する。
次に、本実施例1にかかるルータの各処理手順について説明する。ここでは、ルータが攻撃パケットを検出した場合の処理(図4のステップS101,102に該当する処理)、ルータが送信元検査用パケット(要求用)を取得した場合の処理(図4のステップS103に該当する処理)、ルータが送信元検査用パケット(回答用)を取得した場合の処理(図4のステップS104に該当する処理)、その他のパケットを取得した場合の処理(図4のステップS105に該当する処理)について順に説明する。
まず、ルータが攻撃パケットを検出した場合の処理について説明する。図7は、本実施例1にかかるルータが攻撃パケットを検出した場合の処理を示すフローチャートである。同図に示すように、攻撃パケット検出部109がパケットを取得し(ステップS201)、攻撃パケットを検出したか否かを判定する(ステップS202)。そして、攻撃パケットを検出していない場合には(ステップS203,No)、ステップS201に移行する。
一方、攻撃パケット検出部109が、攻撃パケットを検出した場合には(ステップS203,Yes)、攻撃パケットの送信元IPアドレスを宛先IPアドレス、攻撃パケットの宛先IPアドレスを送信元IPアドレスとした送信元検査用パケット(要求用)の作成指示を送信元検査用パケット(要求用)作成部107に出力する(ステップS204)。
そして、送信元検査用パケット(要求用)作成部107が送信元検査用パケット(要求用)を作成し(ステップS205)、送信元検査用パケット(要求用)を通信部101に出力して、ネットワークに出力する(ステップS206)。
次に、ルータが送信元検査用パケット(要求用)を取得した場合の処理について説明する。図8は、ルータが送信元検査用パケット(要求用)を取得した場合の処理を示すフローチャートである。同図に示すように、パケット種別判定部102は、通信部101から送信元検査用パケット(要求用)を取得し(ステップS301)、パケット終端判定部105に送信元検査用パケット(要求用)を出力する(ステップS302)。
そして、パケット終端判定部105は、送信元検査用パケット(要求用)を終端するか否かを判定し(ステップS303)、終端しない場合には(ステップS304,No)、送信元検査用パケット(要求用)を転送する(ステップS305)。
一方、パケット終端判定部105は、送信元検査用パケット(要求用)を終端しない場合には(ステップS304,Yes)、送信元検査用パケット(要求用)の宛先IPアドレスを送信元IPアドレス、送信元検査用パケット(要求用)の送信元IPアドレスを宛先IPアドレスとした送信元検査用パケット(回答用)の作成指示を送信元検査用パケット(回答用)作成部106に出力する(ステップS306)。
続いて、送信元検査用パケット(回答用)作成部106は、送信元検査用パケット(回答用)を作成し(ステップS307)、送信元検査用パケット(回答用)を通信部101に出力して、ネットワークに出力する(ステップS308)。
次に、ルータが送信元検査用パケット(回答用)を取得した場合の処理について説明する。図9は、本実施例1にかかるルータが送信元検査用パケット(回答用)を取得した場合の処理を示すフローチャートである。
図9に示すように、パケット種別判定部102は、通信部101から送信元検査用パケット(回答用)を取得し(ステップS401)、フィルタ書き込み部104に送信元検査用パケット(回答用)を出力する(ステップS402)。
そして、フィルタ書き込み部104は、送信元検査用パケット(回答用)の送信元IPアドレス、宛先IPアドレス、受信インタフェース番号に基づいてフィルタテーブル103のエントリを生成し(ステップS403)、パケット終端判定部に、送信元検査用パケット(回答用)を出力する(ステップS404)。
そして、パケット終端判定部105は、送信元検査用パケット(回答用)を終端するか否かを判定し(ステップS405)、終端しない場合には(ステップS406,No)、送信元検査用パケット(回答用)を転送する(ステップS407)。
一方、パケット終端判定部105は、送信元検査用パケット(回答用)を終端する場合には(ステップS406,Yes)、処理を終了する。
次に、ルータがその他のパケット(通常のパケット)を取得した場合の処理について説明する。図10は、本実施例1にかかるルータがその他のパケットを取得した場合の処理を示すフローチャートである。同図に示すように、パケット種別判定部102は、通信部101からパケット(その他のパケット)を取得し(ステップS501)、パケットをパケット転送処理部113に出力する(ステップS502)。
そして、パケット転送処理部113は、フィルタ検索部108を介して、フィルタテーブルに基づいてパケットを転送するか否かを判定し(ステップS504)、パケットを転送する場合には(ステップS503,Yes)、経路制御部111の指示に応じてパケットを転送する(ステップS505)。一方、パケット転送処理部113は、パケット転送を行わない場合には(ステップS504,No)、パケットを廃棄する(ステップS506)。
なお、上述した図7〜図10のフローチャートでは、各処理の説明を、図5の機能ブロック図(すなわち、スイッチ100の各処理部)を用いて説明したが、他のスイッチ200〜500の機能部もスイッチ100の各機能部と同様の処理を行うものとする。
上述してきたように、本実施例1のネットワークシステムに含まれる各ルータ100〜500は、攻撃パケットを検出した場合に、攻撃パケットに含まれる送信元IPアドレスを宛先IPアドレスに設定し、攻撃パケットに含まれる宛先IPアドレスを送信元IPアドレスに設定した送信元検査用パケット(要求用)を出力する。そして、送信元検査用パケット(回答用)を取得した場合に、送信元検査用パケット(回答用)に含まれる送信元IPアドレスと宛先IPアドレスと当該応答パケットを受信したインタフェースの識別情報とを対応付けてフィルタテーブル103に登録し、フィルタテーブル103に基づいて転送対象となるパケットを転送するか否かを判定するので、攻撃パケットを的確に廃棄し、正規のパケットを誤って廃棄してしまうという問題を解消することができる。
次に、本実施例2にかかる中継装置(ルータ)の概要および特徴について説明する。本実施例2にかかる中継装置は、配下のサブネットに接続された端末がシャットダウン中に、当該端末宛の送信元検査用パケット(要求用)を取得した場合に、かかる端末に代わって送信元検査用パケット(回答用)を出力する。
このように、配下のサブネットに接続された端末の代わりに、送信元検査用パケット(回答用)を出力するので、正規の端末がシャットダウン中であっても、フィルタテーブルのエントリを適切に設定することができる。
次に、本実施例2にかかるネットワークシステムについて説明する。図11は、本実施例2にかかるネットワークシステムの構成を示す図(一例)である。同図に示すように、このネットワークシステムは、正規のIPアドレスAを有する端末10(シャットダウン中)、詐称したIPアドレスを有する端末20、サービス要求に応答して各種サービスを提供するサーバ50,60、ルータ120〜520を備える。
なお、ルータ120は、IDS(Intrusion Detection System)で攻撃パケットを検出し、送信元検査用パケット(要求用)を出力する場合のトリガとする。IDSは、ネットワーク上を流れるパケットを分析し、パターン照合により不正アクセスと思われるパケットを検出する機能のことである。
次に、本実施例2にかかるネットワークシステムの処理について説明する。図12は、本実施例2にかかるネットワークシステムの処理を説明するための図である。同図に示すように、ルータ120のIDSが、送信元IPアドレスにAを有する、悪意のあるパケット(攻撃パケット)を検出する(ステップS601)。
そして、ルータ120は、送信元検査用パケット(要求用)を送信する(ステップS602)。かかる送信元検査用パケット(要求用)のメッセージ種別には「0」が格納され、送信元検査用パケット(要求用)の送信元IPアドレスはB(攻撃パケットに含まれる宛先IPアドレス)となり、宛先IPアドレスはA(攻撃パケットに含まれる送信元IPアドレス)となる。この結果、送信元検査用パケット(要求用)は、IPアドレスAを正規に有する端末10宛に送信される。
送信元検査用パケット(要求用)を受信した、端末10を収容するルータ320は、ルータ220宛に送信元検査用パケット(回答用)を送信する(ステップS603)。かかる送信元検査用パケット(回答用)のメッセージ種別には「1」が格納され、送信元検査用パケット(回答用)の送信元IPアドレスはAとなり、宛先IPアドレスはBとなる。
続いて、ルータ220は、送信元検査用パケット(回答用)を受信したインタフェース、すなわち、IF−βから受信した送信元IPアドレスと宛先IPアドレスを有するパケットの疎通を許可し、それ以外は廃棄するフィルタを設定する(ステップS604)。図示を省略するが、送信元検査用パケットの経路上にあるルータ320も、IF−δから受信した送信元IPアドレスAと宛先IPアドレスBを有するパケットのみ疎通を許可するようフィルタを設定する。また、ルータ120も、送信元検査用パケットを受信したインタフェースから受信した送信元IPアドレスAと宛先IPアドレスBを有するパケットのみ疎通を許可するようフィルタを設定する。
ルータ220は、ステップS604で設定したフィルタにより、IF−γから受信される、詐称したアドレスAを有する端末20発のパケットを廃棄し、かつ起動した端末10から送信されるサーバ50,60宛のパケットを中継する(ステップS605)。以降、ステップS601〜ステップS605を定期的に繰り返し、フィルタテーブルのエントリをリフレッシュする。
ところで、本実施例2にかかるルータ120〜520の構成は、図5に示した構成と同様であるため、説明を省略する。なお、ルータ120の攻撃パケット検出部109は、IDS方式によって攻撃パケットを検出するものとする。
上述してきたように、本実施例2のネットワークシステムでは、ルータ320(一例)が配下のサブネットに接続された端末がシャットダウン中に、当該端末宛の送信元検査用パケット(要求用)を取得した場合に、かかる端末に代わって送信元検査用パケット(回答用)を出力するので、正規の端末がシャットダウン中であっても、フィルタテーブルのエントリを適切に設定することができる。すなわち、詐称されたIPアドレスを正規に有する端末のオン/オフに限らず、ルータ120〜520は、正規の端末発のパケットを受信するべきインタフェースの特定をすることができる。
次に、本実施例3にかかる中継装置(ルータ)の概要および特徴について説明する。本実施例3にかかる中継装置は、パケットを転送するネットワーク上の経路を変更する場合に、変更した経路に接続された他の中継装置に対して、送信元検査用パケット(要求用)の出力を要求するパケット(以下、発信依頼パケット)を出力し、かかる発信依頼パケットを受信した中継装置に送信元検査用パケット(要求用)を出力させてフィルタテーブルを更新させる。
このように、経路変更する場合に、変更した経路に接続された他の中継装置に発信依頼パケットを出力して、送信元検査用パケット(要求用)を出力させるので、経路制御プロトコルとの連携を取った上で、かつ、詐称した送信元IPアドレスを有する攻撃パケットの廃棄を実現することができる。
次に、本実施例3にかかるネットワークシステムについて説明する。図13は、本実施例3にかかるネットワークシステムを示す図である。同図に示すように、このネットワークシステムは、正規のIPアドレスを有する端末10、詐称したIPアドレスを有する端末20、サービス要求に応答して各種サービスを提供するサーバ50,60、ルータ130〜530を備える。
そして、図13に示す例では、ルータ230とルータ330との間で、断線などが発生し、経路変更を行った場合を示している。かかる影響により、端末10からサーバ50への経路がルータ430経由になっている(経路変更前では、端末10からサーバ50への経路は、ルータ430を経由していない)。
ここで、経路変更が生じ、フィルタテーブルの設定が更新されるまでのネットワークシステムの処理について説明する。図14は、本実施例3にかかるネットワークシステムの処理を説明するための図である。まず、ルータ230〜330間で断線が発生した場合に、ルータ330は、サーバ50宛(IPアドレスB宛)を含むルータ230経由のあて先をルータ430経由の宛先に切り替える(ステップS701)。
続いて、ルータ330は、経路変更に関わるIPアドレスが、フィルタテーブルの宛先IPアドレスフィールドに含まれているエントリの有無を判定する。ルータ330は、IPアドレスBに関して、図15に示すようなエントリが存在しているものとする。
ルータ330は、図15に示すエントリの送信元IPアドレスA、宛先IPアドレスBに基づいて、発信依頼パケットを送信する(ステップS702)。かかる発信依頼パケットのメッセージ種別には「3」が格納され、発信依頼パケットの送信元IPアドレスはAとなり、発信依頼パケットの宛先IPアドレスはBとなる。
サーバ50を収容するルータ130は、発信依頼パケットを受信後、受信した発信依頼パケットの宛先IPアドレスと送信元IPアドレスを入れ替えて、送信元検査用パケット(要求用)を送信する(ステップS703)。かかる送信元検査用パケット(要求用)パケットのメッセージ種別には「0」が格納され、送信元IPアドレスはBとなり、宛先IPアドレスはAとなる。
送信元検査用パケット(要求用)を受信した、端末10を収容するルータ330は、ルータ130宛に送信元検査用パケット(回答用)を送信する(ステップS704)。かかる送信元検査用パケット(回答用)のメッセージ種別には「1」が格納され、送信元検査用パケット(回答用)の送信元IPアドレスはAとなり、宛先IPアドレスはBとなる。
続いて、ルータ430、230、130は、送信元検査用パケット(回答用)を受信したインタフェースから受信した送信元IPアドレスAと宛先IPアドレスBを有するパケットのみ疎通を許可し、それ以外は廃棄するフィルタテーブルを再設定する(ステップS705)。
図示を省略するが、送信元検査用パケットの経路上にあるルータ330も、IF−δから受信した送信元IPアドレスAと宛先IPアドレスBを有するパケットのみ疎通を許可するようフィルタを再設定する。
ルータ230は、ステップS705で設定したフィルタテーブルにより、IF−αから受信される端末10からサーバ50宛のパケットを中継する(ステップS706)。以降、ステップS703からステップS706のプロセスを定期的に繰り返し、フィルタテーブルのエントリをリフレッシュする。
次に、本実施例3にかかるルータ130の構成について説明する。なお、ルータ230〜530の構成は、ルータ130の構成と同様であるため、説明を省略する。図16は、本実施例3にかかるルータ130の構成を示す機能ブロック図である。同図に示すように、このルータ130は、通信部131と、パケット種別判定部132と、フィルタテーブル133と、フィルタ書き込み部134と、パケット終端判定部135と、送信元検査用パケット(回答用)作成部136と、送信元検査用パケット(要求用)作成部137と、発信依頼パケット作成部138と、フィルタ検索部139と、攻撃パケット検出部140と、タイマー部141と、経路制御部142と、経路テーブル143と、パケット転送処理部144とを備えて構成される。
通信部131は、ネットワークからのパケットの受信処理及びネットワークへのパケットの送信処理を行う手段である。通信部131は、受信したパケットをパケット種別判定部132および攻撃パケット検出部140に出力する。
パケット種別判定部132は、パケットに含まれるメッセージ種別に基づいてパケットの種別を判定し、判定結果に基づいてパケットをフィルタ書き込み部134、パケット終端判定部135あるいはパケット転送処理部144に出力する手段である。
パケット種別判定部132は、パケットが送信元検査用パケット(要求用)である場合(メッセージ種別に「0」が格納されている場合)、あるいはパケットが発信依頼パケットである場合(メッセージ種別に「2」が格納されている場合)には、パケットをパケット終端判定部135に出力する。
パケット種別判定部132は、パケットが送信元検査用パケット(回答用)である場合(メッセージ種別に「1」が格納されている場合)には、パケットをフィルタ書き込み部134に出力する。パケット種別判定部132は、その他のパケットをパケット転送処理部144に出力する。
フィルタテーブル133は、パケットを廃棄するか否かを判定するための情報を記憶するテーブルである。なお、フィルタテーブル133のデータ構造は、図6あるいは図15に示したフィルタテーブルのデータ構造と同様であるので説明を省略する。
フィルタ書き込み部134は、送信元検査用パケット(回答用)の送信元IPアドレス、宛先IPアドレス、受信インタフェース番号からフィルタテーブル133のエントリを作成する手段である。フィルタ書き込み部134は、送信元検査用パケット(回答用)の受信インタフェースのみ、フィルタテーブルの処理フィールドを「Permit」とし、他のインタフェースを「Deny」とし、時刻フィールドに現在の時刻を登録する。フィルタ書き込み部134は、フィルタテーブル133に同一エントリが存在する場合には、現在時刻をアップデート(更新)する。
パケット終端判定部135は、送信元検査用パケット(要求用/回答用)、発信依頼パケットを終端するか、中継するかの判定を行う手段である。具体的に、パケット終端判定部135は、送信元検査用パケット(要求用/回答用)、発信依頼パケットの宛先IPアドレスが、自ルータの配下のサブネット内であるならば終端し、送信元検査用パケット(要求用)作成部137または送信元検査用パケット(回答用)作成部136に処理を渡す。なお、ここでは、図示を省略するが、パケット終端判定部135は、自ルータの配下のサブネット内に存在する端末のIPアドレスを保持しているものとする。
パケット終端判定部135は、送信元検査用パケット(回答用)作成部136には、終端した、送信元検査用パケット(要求用)の宛先IPアドレスを送信元IPアドレス、送信元検査用パケット(要求用)の送信元IPアドレスを宛先IPアドレスとして、送信元検査用パケット(回答用)を生成するように指示する。
また、パケット終端判定部135は、送信元検査用パケット(要求用)作成部137には、終端した、パケット発信依頼パケットの宛先IPアドレスを送信元IPアドレス、送信元IPアドレスを宛先IPアドレスとして、送信元検査用パケット(要求用)を作成するように指示する。
送信元検査用パケット(回答用)作成部136は、パケット終端判定部135からの指示に基づいて、送信元検査用パケット(回答用)を作成する手段である(送信元検査用パケット(回答用)のフォーマットは、図3参照)。送信元検査用パケット(回答用)作成部136は、作成した送信元検査用パケット(回答用)を通信部131に出力し、ネットワークに送信する。
送信元検査用パケット(要求用)作成部137は、パケット終端判定部135、攻撃パケット検出部140、タイマー部141からの指示に基づいて、送信元検査用パケット(要求用)を作成する手段である(送信元検査用パケット(要求用)のフォーマットは、図3参照)。送信元検査用パケット(要求用)作成部137は、作成した送信元検査用パケット(要求用)を通信部131に出力し、ネットワークに送信する。
発信依頼パケット作成部138は、経路制御部142からの指示に基づいて、発信依頼パケットを作成する手段である(発信依頼パケットのフォーマットは、図3参照)。発信依頼パケット作成部138は、作成した発信依頼パケットを通信部131に出力し、ネットワークに送信する。
フィルタ検索部139は、パケット転送処理部144から出力される条件(送信元IPアドレス、宛先IPアドレス、インタフェース)を基にして、フィルタテーブル133を検索し、検索結果(「Permit」あるいは「Deny」)をパケット転送処理部144に出力する手段である。また、フィルタ検索部139は、タイマー部141の要求に応じて、フィルタテーブル133のデータをタイマー部141に出力し、タイマー部141の指示に応じて、フィルタテーブル133のエントリを削除する。
攻撃パケット検出部140は、攻撃パケットを検出する手段である。攻撃パケット検出部140が攻撃パケットを検出する手法は、従来と同様の手法を用いるものとする。攻撃パケット検出部140は、攻撃パケットを検出した場合に、送信元検査用パケット(要求用)作成部137に、攻撃パケットの送信元IPアドレスを宛先IPアドレス、攻撃パケットの宛先IPアドレスを送信元IPアドレスとした、送信元検査用パケット(要求用)を作成するよう指示する。
タイマー部141は、送信元検査用パケット(要求用)の再送信およびタイムアウトしたフィルタテーブル133のエントリの削除を行う手段である。まず、タイマー部141が、送信元検査用パケット(要求用)の再送信を行う処理について説明する。送信元検査用パケット(要求用)の再送信を行うことによって、フィルタテーブル133のエントリをリフレッシュさせる。
タイマー部141は、一定時間(t1)毎に、フィルタ検索部139を通じて、フィルタテーブル133の送信元IPアドレスフィールドのうち、自ルータの配下のサブネット内にあるIPアドレスを検索する。この検索でヒットしたエントリの時刻フィールドにある時刻から予め決められた時間が経過している場合、該エントリ情報の送信元IPアドレスフィールドの値を送信元IPアドレスとし、宛先IPアドレスフィールドの値を宛先IPアドレスとする送信元検査用パケット(要求用)作成部137に指示する。
続いて、タイマー部141がフィルタテーブル133のエントリの削除を行う処理について説明する。タイマー部141は、一定時間毎(t2:ただし、t2>t1とする)に、フィルタ検索部139を通じて、フィルタテーブル133の時刻フィールドを検索し、予め決められた時間が経過しているエントリ削除を実行する(エントリの削除をフィルタ検索部139に依頼する)。
経路制御部142は、いわゆるIPの経路制御機能に加え、経路変更を検出した場合に、経路変更に関わるIPアドレスが、フィルタテーブル133の宛先IPアドレスフィールドに含まれているか否かを判定する(フィルタ検索部139経由で確認する)。例えば、宛先IPアドレスB宛のパケットの経路が、断線の発生した経路を含んでいる場合には、IPアドレスBがフィルタテーブル133の宛先IPアドレスフィールドに含まれているか否かを判定する。なお、各宛先IPアドレスの経路は、経路テーブル143に登録されているものとする。
そして、経路制御部142は、フィルタテーブル133に該当エントリが存在した場合に、かかるエントリ情報の送信元IPアドレスフィールドの値を送信元IPアドレスとし、宛先IPアドレスフィールドの値を宛先IPアドレスとする発信依頼パケットを生成するように、発信依頼パケット生成部138に指示する。
経路制御部142は、パケットの経路を制御する手段であり、経路テーブル143は、パケットを中継する場合の経路の情報を記憶するテーブルである。
パケット転送処理部144は、いわゆる既存のパケットの転送処理、および送信元IPアドレスを作用したパケットの廃棄を行う手段である。パケット転送処理部144は、各受信パケットの、送信元IPアドレス、宛先IPアドレス、受信インタフェースに合致するエントリがフィルタテーブル133に存在するかを、フィルタ検索部139を介して検索する。そして、エントリが存在し、かつその処理フィールドが「Deny」である場合には、該当受信パケットを廃棄する。
一方、パケット転送処理部144は、エントリが存在しない場合、あるいは、該当パケットに対応する処理フィールドが「Permit」である場合には、かかる受信パケットを転送する。
次に、本実施例3にかかるルータの各処理手順について説明する。ここでは、ルータが経路変更を判定する場合の処理(図14のステップS701,702に該当する処理)、ルータが発信依頼パケットを取得した場合の処理(図14のステップS703に該当する処理)について説明する。なお、図14のステップS704,705に該当する処理は、図8、図9に示した処理と同様であるため説明を省略する。
まず、ルータが経路変更を判定する場合の処理について説明する。図17は、本実施例3にかかるルータが経路変更を判定する場合の処理を示すフローチャートである。同図に示すように、経路制御部142が経路変更を行うか否かを判定し(ステップS801)、経路変更を行わない場合には(ステップS802,No)、ステップS801に移行する。
一方、経路変更を行う場合(断線などを検出した場合)には(ステップS802,Yes)、経路変更に関わるIPアドレスがフィルタテーブル133の宛先IPアドレスフィールドに含まれているか否かを判定し(ステップS803)、含まれていない場合には(ステップS804,No)、処理を終了する。
経路変更に関わるIPアドレスがフィルタテーブル133の宛先IPアドレスフィールドに含まれている場合には(ステップS804,Yes)、該当するエントリの送信元IPアドレスフィールドの値を送信元IPアドレスとし、宛先IPアドレスフィールドの値を宛先IPアドレスとする発信依頼パケットの生成指示を発信依頼パケット作成部138に出力する(ステップS805)。
そして、発信依頼パケット作成部138は、発信依頼パケットを作成し(ステップS806)、作成した発信依頼パケットを通信部131に出力して、ネットワークに出力する(ステップS807)。
次に、ルータが発信依頼パケットを取得した場合の処理について説明する。図18は、本実施例3にかかるルータが発信依頼パケットを取得した場合の処理を示すフローチャートである。同図に示すように、パケット種別判定部132は、通信部131から発信依頼パケットを取得し(ステップS901)、パケット終端判定部135に発信依頼パケットを出力する(ステップS902)。
そして、パケット終端判定部135は、発信依頼パケットを終端するか否かを判定し(ステップS903)、終端しない場合には(ステップS904,No)、送信元検査用パケット(回答用)を転送する(ステップS905)。
一方、パケット終端判定部135は、送信元検査用パケット(回答用)を終端する場合には(ステップS904,Yes)、発信依頼パケットの宛先IPアドレスを送信元IPアドレス、発信依頼パケットの送信元IPアドレスを宛先IPアドレスとして送信元検査用パケット(要求用)の作成指示を出力する(ステップS906)。
送信元検査用パケット(要求用)作成部137は、送信元検査用パケット(要求用)を作成し(ステップS907)、作成した送信元検査用パケット(要求用)を通信部131に出力し、ネットワークに出力する(ステップS908)。
なお、上述した図17、図18のフローチャートでは、各処理の説明を、図16の機能ブロック図(すなわち、ルータ130の各処理部)を用いて説明したが、他のルータ230〜530の機能部もルータ130の各機能部と同様の処理を行うものとする。
上述してきたように、本実施例3にかかるネットワークシステムでは、ルータ130〜530は、パケットを転送するネットワーク上の経路を変更する場合に、変更した経路に接続された他の中継装置に対して、送信元検査用パケット(要求用)の出力を要求するパケット(以下、発信依頼パケット)を出力し、かかる発信依頼パケットを受信した中継装置に送信元検査用パケット(要求用)を出力させてフィルタテーブルを更新させるので、経路制御プロトコルとの連携を取った上で、かつ、詐称した送信元IPアドレスを有する攻撃パケットの廃棄を実現することができる。
ところで、本実施例において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部あるいは一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
また、図5、図16等に示したルータ100、130等の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部または任意の一部がCPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
以上のように、本発明にかかる中継装置および中継方法は、冗長化された構成を有するネットワークシステムに有用であり、特に、正規のパケットを誤って廃棄することなく、攻撃パケットを廃棄する場合に適している。

Claims (8)

  1. ネットワーク上を伝送されるパケットの中継を行うと共に、当該パケットから攻撃パケットを検出した場合に、当該攻撃パケットを廃棄する中継装置であって、
    前記攻撃パケットを検出した場合に、前記攻撃パケットに含まれる送信元アドレスを宛先アドレスに設定し、前記攻撃パケットに含まれる宛先アドレスを送信元アドレスに設定した検査用パケットを出力する検査用パケット出力手段と、
    前記検査用パケットの応答パケットを取得した場合に、当該応答パケットに含まれる送信元アドレスと宛先アドレスと当該応答パケットを受信したインタフェースの識別情報とを対応付けてフィルタテーブルに記憶するフィルタテーブル記憶手段と、
    前記フィルタテーブルに基づいて転送対象となるパケットを転送するか否かを判定する転送制御手段と、
    を備えたことを特徴とする中継装置。
  2. 前記パケットを転送するネットワーク上の経路を変更するか否かを判定する経路変更判定手段と、前記経路変更判定手段の判定結果に基づいて、前記検査用パケットの出力を要求する要求パケットを出力する要求パケット出力手段とを更に備えたことを特徴とする請求項1に記載の中継装置。
  3. 前記検査用パケットを取得し、当該検査用パケットの宛先アドレスを有する端末装置が配下のサブネットに接続されている場合に、当該端末装置の代わりに前記検査用パケットの応答アドレスを出力する代理応答手段を更に備えたことを特徴とする請求項2に記載の中継装置。
  4. 前記検査用パケット出力手段は、前記要求パケットを取得した場合に、前記検査用パケットを出力することを特徴とする請求項3に記載の中継装置。
  5. ネットワーク上を伝送されるパケットの中継を行うと共に、当該パケットから攻撃パケットを検出した場合に、当該攻撃パケットを廃棄する中継装置の中継方法であって、
    前記攻撃パケットを検出した場合に、前記攻撃パケットに含まれる送信元アドレスを宛先アドレスに設定し、前記攻撃パケットに含まれる宛先アドレスを送信元アドレスに設定した検査用パケットを出力する検査用パケット出力工程と、
    前記検査用パケットの応答パケットを取得した場合に、当該応答パケットに含まれる送信元アドレスと宛先アドレスと当該応答パケットを受信したインタフェースの識別情報とを対応付けてフィルタテーブルに記憶するフィルタテーブル記憶工程と、
    前記フィルタテーブルに基づいて転送対象となるパケットを転送するか否かを判定する転送制御工程と、
    を含んだことを特徴とする中継方法。
  6. 前記パケットを転送するネットワーク上の経路を変更するか否かを判定する経路変更判定工程と、前記経路変更判定工程の判定結果に基づいて、前記検査用パケットの出力を要求する要求パケットを出力する要求パケット出力工程とを更に含んだことを特徴とする請求項5に記載の中継方法。
  7. 前記検査用パケットを取得し、当該検査用パケットの宛先アドレスを有する端末装置が配下のサブネットに接続されている場合に、当該端末装置の代わりに前記検査用パケットの応答アドレスを出力する代理応答工程を更に含んだことを特徴とする請求項6に記載の中継方法。
  8. 前記検査用パケット出力工程は、前記要求パケットを取得した場合に、前記検査用パケットを出力することを特徴とする請求項7に記載の中継方法。
JP2009522445A 2007-07-09 2007-07-09 中継装置および中継方法 Expired - Fee Related JP4677501B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2007/063672 WO2009008052A1 (ja) 2007-07-09 2007-07-09 中継装置および中継方法

Publications (2)

Publication Number Publication Date
JPWO2009008052A1 JPWO2009008052A1 (ja) 2010-09-02
JP4677501B2 true JP4677501B2 (ja) 2011-04-27

Family

ID=40228249

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009522445A Expired - Fee Related JP4677501B2 (ja) 2007-07-09 2007-07-09 中継装置および中継方法

Country Status (3)

Country Link
US (1) US8276204B2 (ja)
JP (1) JP4677501B2 (ja)
WO (1) WO2009008052A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5470938B2 (ja) * 2009-03-16 2014-04-16 株式会社リコー 情報処理装置、情報処理方法、及びプログラム
US8634084B2 (en) * 2010-03-29 2014-01-21 Kabushiki Kaisha Toshiba Data processing system and image forming apparatus
JP2018082310A (ja) * 2016-11-16 2018-05-24 富士通株式会社 PaaS接続プログラム、PaaS接続方法及びPaaS接続装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000312225A (ja) * 1998-10-05 2000-11-07 Hitachi Ltd パケット中継装置
JP2002158699A (ja) * 2000-11-20 2002-05-31 Nippon Telegr & Teleph Corp <Ntt> DoS攻撃防止方法および装置およびシステムおよび記録媒体
JP2002176454A (ja) * 2000-12-05 2002-06-21 Nec Corp パケット転送制御装置、パケット転送制御方法およびパケット転送制御システム
JP2005130190A (ja) * 2003-10-23 2005-05-19 Nippon Telegr & Teleph Corp <Ntt> 攻撃パケット防御システム
JP2007060456A (ja) * 2005-08-26 2007-03-08 Alaxala Networks Corp フィルタリングを備えるパケット転送装置

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100333250B1 (ko) 1998-10-05 2002-05-17 가나이 쓰토무 패킷 중계 장치
JP3996288B2 (ja) * 1998-12-07 2007-10-24 株式会社日立製作所 通信ネットワークシステムの管理方法および情報中継装置
US7013482B1 (en) * 2000-07-07 2006-03-14 802 Systems Llc Methods for packet filtering including packet invalidation if packet validity determination not timely made
US6772334B1 (en) * 2000-08-31 2004-08-03 Networks Associates, Inc. System and method for preventing a spoofed denial of service attack in a networked computing environment
US7536548B1 (en) * 2002-06-04 2009-05-19 Rockwell Automation Technologies, Inc. System and methodology providing multi-tier-security for network data exchange with industrial control components
US20040162992A1 (en) * 2003-02-19 2004-08-19 Sami Vikash Krishna Internet privacy protection device
KR100744530B1 (ko) * 2003-09-17 2007-08-01 한국전자통신연구원 연결 재설정 기법을 이용한 실시간 연결 역추적 장치 및그 방법
KR100834570B1 (ko) * 2006-06-23 2008-06-02 한국전자통신연구원 실시간 상태 기반 패킷 검사 방법 및 이를 위한 장치

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000312225A (ja) * 1998-10-05 2000-11-07 Hitachi Ltd パケット中継装置
JP2002158699A (ja) * 2000-11-20 2002-05-31 Nippon Telegr & Teleph Corp <Ntt> DoS攻撃防止方法および装置およびシステムおよび記録媒体
JP2002176454A (ja) * 2000-12-05 2002-06-21 Nec Corp パケット転送制御装置、パケット転送制御方法およびパケット転送制御システム
JP2005130190A (ja) * 2003-10-23 2005-05-19 Nippon Telegr & Teleph Corp <Ntt> 攻撃パケット防御システム
JP2007060456A (ja) * 2005-08-26 2007-03-08 Alaxala Networks Corp フィルタリングを備えるパケット転送装置

Also Published As

Publication number Publication date
US8276204B2 (en) 2012-09-25
WO2009008052A1 (ja) 2009-01-15
US20100088764A1 (en) 2010-04-08
JPWO2009008052A1 (ja) 2010-09-02

Similar Documents

Publication Publication Date Title
JP4154615B2 (ja) Sipサーバ共有モジュール装置、sipメッセージ中継方法、及びプログラム
CN107547510B (zh) 一种邻居发现协议安全表项处理方法和装置
US20070288613A1 (en) Providing support for responding to location protocol queries within a network node
CN110741604B (zh) 车载通信装置、通信控制方法和记录介质
WO2005036831A1 (ja) フレーム中継装置
JP2012080418A (ja) ネットワーク認証における端末接続状態管理
US10630700B2 (en) Probe counter state for neighbor discovery
CN109698791B (zh) 一种基于动态路径的匿名接入方法
US20150207729A1 (en) Tying data plane paths to a secure control plane
CN109076022B (zh) 网络地址转换装置、设置请求装置、通信系统、通信方法和存储程序的存储介质
JP4677501B2 (ja) 中継装置および中継方法
US8271678B2 (en) Independent detection and filtering of undesirable packets
JP2012138727A (ja) 情報処理装置、アドレス重複対処方法およびアドレス重複対処用プログラム
JP2008283495A (ja) パケット転送システムおよびパケット転送方法
JP6476530B2 (ja) 情報処理装置、方法およびプログラム
CN105791458B (zh) 地址配置方法和装置
JP2008141398A (ja) 中継装置および中継装置の制御方法
JP2007235594A (ja) ネットワークアクセスシステムおよびネットワークアクセス方法
JP2008109357A (ja) パケット転送装置及びパケット転送方法
JP2005033351A (ja) パケット中継装置
JP5420465B2 (ja) 通信監視装置、方法およびプログラム
KR101088868B1 (ko) 네트워크 스위치의 에이알피 패킷 처리 방법
JP2007208575A (ja) 不正トラフィック管理装置およびシステム
JP2007174583A (ja) ネットワーク中継装置
CN113676542B (zh) 一种连接建立方法、系统及装置

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110125

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110131

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140204

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees