JP4922620B2 - ネットワークシステム - Google Patents
ネットワークシステム Download PDFInfo
- Publication number
- JP4922620B2 JP4922620B2 JP2006038665A JP2006038665A JP4922620B2 JP 4922620 B2 JP4922620 B2 JP 4922620B2 JP 2006038665 A JP2006038665 A JP 2006038665A JP 2006038665 A JP2006038665 A JP 2006038665A JP 4922620 B2 JP4922620 B2 JP 4922620B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- network
- filtering
- transmission
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
Description
本発明はネットワークシステムに関し、特に通信パケットをフィルタリングする機能を備えるネットワーク端末装置を有するネットワークシステムに関する。
一般に、ネットワーク端末又はネットワーク中継機器は、不正な受信パケットや処理不要な受信パケットを選択的に破棄するためのパケットフィルタリング機能を有する。このフィルタリング機能の目的の一つは不正なパケットを排除することによるネットワークセキュリティの強化であり、別の目的は処理不要なパケットを事前に排除することによりネットワーク端末に内蔵された通信処理プロセッサの負荷を低減することである。
特に後者の目的のため、パケットフィルタリング処理はネットワーク端末のネットワークインターフェース機能に近い受信端にて、ホストプロセッサとは分離された専用DSP(Digital Signal Processor)又は専用ハードウェアにより実現されることが多い。具体的にフィルタリング処理は、受信パケットに記載された各種情報と、端末内部で管理するフィルタリング条件との比較によって行われるが、その比較ポイント、すなわち受信パケットの何れのプロトコルフィールドに対して検閲をかけるかによってフィルタリングレイヤの分類がなされる。例えば、受信データのEthernet(登録商標)フレームアドレスを検閲対象とする場合、又はIPパケットアドレスを対象とする場合、それぞれが対応するOSI(Open Systems Interconnection)階層に準じてレイヤ2フィルタリング、レイヤ3フィルタリングと呼称する。
また、昨今では、自ネットワーク端末が送信しようとするパケットに対してネットワークインターフェース端点でフィルタリング処理を行うプロセッサを実装する情報処理装置が提案されている(例えば、特許文献1)。この情報処理装置の目的の一つはQoS(Quality of Service)制御的な観点、すなわち接続中のネットワークが輻輳状態(混雑状態)にあり、自ネットワーク端末から送信しようとする全てのパケットが正しくネットワーク側に受け入れられる保証が得られないとき、送信候補パケットのうち重要度の高いものを優先して送信しようとする装置であり、パケットの重要度判定テーブルと照合しながら送信端でのパケット間引き処理を行う。
また、上記情報処理装置の別の目的としては、昨今問題となっているネットワークを介したウィルス感染や踏み台攻撃を受けて異常状態となったネットワーク端末に対する対処である。何らかの外的な要因によりネットワーク端末が異常状態となり、自らのネットワークアドレスを偽ったり、無作為にウィルスをばら撒くような不正なパケット送信を行うような状態となった場合に、ネットワーク上の他端末に対する悪影響を未然に防ぐ目的で、上記情報処理装置では送信端に予めフィルタリング機能が設けられている。
特開2004−139178号公報
しかしながら、上記自送信パケットに対するフィルタリング機能を設けるという発想自体が最近のもであり、上記後者の目的の技術要件については十分に検討が進んでいないというのが実情である。
また、上記踏み台攻撃とは、何らかの悪意のある端末が、ネットワーク上の特定ノード(端末、サーバ、中継器等)にセキュリティ攻撃を行おうとする際、直接には攻撃せず、無関係の端末に対して攻撃プログラムを流布・感染させることで、自分の代理で目標ノードを攻撃する手法である。特に、代理攻撃端末を多く作り、特定時間に同期して一斉攻撃を仕掛ける手法はDDoS攻撃(Distributed Denial of Service attacks )と呼ばれ、インターネットにおける昨今の主要な問題の一つとなっている。
このDDoS攻撃に対する抜本的な対策は難しく、間接的な対策として攻撃に加担する端末が極力少なくなるように、インターネット上の端末それぞれに充分なセキュリティ対策を施すことが望ましいとされている。このようなDDoS攻撃により踏み台とされた端末における特徴的な挙動としては、攻撃する端末の特定を逃れるために送信元IPアドレスを詐称することが多いという点がある。従って、ネットワーク端末が送信元IPアドレスを詐称したパケットを送信しようとすることを何らかの手段で防ぐことができれば、DDoS攻撃の対策手段になり得る。
また、上記従来の情報処理装置では、送信候補パケットのうち重要度の高いものを優先して送信するフィルタリング機能を有するだけであるため、DDoS攻撃を回避することは不可能である。
本発明は係る点に鑑みてなされたものであり、フィルタリング条件により送信パケットの送信可否を判断するとともに、送信パケットの送信元アドレスを検閲する送信パケットフィルタリング機能を、通信機能を司るホストプロセッサとは別の専用プロセッサに設けて、送信パケットに対して適正なフィルタリング処理を実行可能とし、DDoS攻撃等を未然に防止するネットワーク端末装置を有するネットワークシステムを提供することを目的とする。
本発明のネットワークシステムは、通信処理を行うホストプロセッサと、送信パケットのフィルタリング処理を行う専用プロセッサとを有するネットワーク端末装置と、前記ネットワーク端末装置が接続されるローカルエリアネットワークと外部ネットワークとを結ぶ中継点に配置されて通信パケットの異常状態を検出する通信監視装置と、を具備するネットワークシステムにおいて、前記通信監視装置は、前記ネットワーク端末装置で利用されるフィルタリング条件を記憶した記憶手段と、前記異常状態を検出した場合にフィルタリング処理を開始させるイネーブル信号と前記フィルタリング条件とを前記ネットワーク端末装置へ送信する手段と、を有し、前記ネットワーク端末装置の前記専用プロセッサは、フィルタリング条件を記憶するフィルタ条件記憶手段と、イネーブル状態のときに、前記フィルタ条件記憶手段に記憶されたフィルタリング条件を参照して前記送信パケットの送信可否を判断して送信不可パケットの廃棄を行うとともに、当該送信不可パケットの廃棄を前記ホストプロセッサに通知する送信パケットフィルタ処理手段と、を有し、前記ネットワーク端末装置の前記ホストプロセッサは、前記専用プロセッサから通知される前記送信パケットフィルタ処理手段の動作状態を報知するフィルタ動作状態報知手段を具備し、前記通信監視装置から前記フィルタリング条件と前記イネーブル信号を受信した場合に、前記フィルタリング条件を前記専用プロセッサへ通知して前記フィルタ条件記憶手段へ記憶させるとともに、前記送信パケットフィルタ処理手段をイネーブル状態にする一方、前記送信パケットフィルタ処理手段をイネーブル状態にした後、前記パケット廃棄の通知が所定時間ない場合に、前記送信パケットフィルタ処理手段の前記イネーブル状態を解除する構成を採る。
この構成によれば、送信パケットに対して適正なフィルタリング処理を実行することが可能になり、DDoS攻撃等を未然に防止することができる。また、ホストプロセッサはパケット廃棄通知により自律的に異常パケットの回復を図ることができる。
また、本発明に係るネットワーク端末装置は、前記専用プロセッサは、前記送信パケットフィルタ処理手段の動作状態を監視して前記ホストプロセッサに通知する状態監視通知手段を具備する構成としてもよい。
この構成によれば、ホストプロセッサは送信パケットフィルタ処理の動作状態を認識して動作管理が可能になり、その処理に伴う送信スループットの低下や無駄な消費電力の増大を最小限に留めることができる。
また、本発明に係るネットワーク端末装置は、前記ホストプロセッサが、前記専用プロセッサから通知される前記送信パケットフィルタ処理手段の動作状態を報知するフィルタ動作状態報知手段を具備する構成としてもよい。
この構成によれば、端末ユーザに対して明示的なフィルタ設定が可能となり、ネットワーク側からの一方的なフィルタリング条件設定によりユーザが困惑するといった事態を防止することができる。
また、本発明に係るネットワーク端末装置は、上記のように、前記ホストプロセッサが、外部ネットワーク上に配置された通信監視装置から前記フィルタリング条件を受信して前記専用プロセッサに通知して、前記送信パケットフィルタ処理手段をイネーブル状態とする構成を採っている。
この構成によれば、ホストプロセッサは送信パケットフィルタ処理の開始タイミングを制御することが可能になる。
また、一例として示すネットワーク端末装置は、通信処理を行うホストプロセッサと、送信パケットのフィルタリング処理を行う専用プロセッサとを有するネットワーク端末装置であって、前記専用プロセッサは、前記送信パケットに設定された送信元論理アドレスの成否を検閲し、該送信パケットの送信可否を判断して送信不可パケットの廃棄を行うとともに、当該パケット廃棄を前記ホストプロセッサに通知する送信パケットフィルタ処理手段を具備する構成を採る。
この構成によれば、送信パケットに対して適正なフィルタリング処理を実行することが可能になり、ホストCPUの自律的な回復を促すことができ、DDoS攻撃等を未然に防止することができる。
また、上記のネットワーク端末装置において、前記専用プロセッサは、自端末装置の物理アドレス情報に対応する論理アドレスを外部ネットワーク上に配置されたアドレス管理サーバに対して問合せて、該アドレス管理サーバからの応答により前記送信元論理アドレスを認識するアドレス認識手段を具備する構成としてもよい。
この構成によれば、ユーザが故意にローカルエリア内の機密情報を漏洩しようとする行為を未然に防止することができる。
また、上記のネットワーク端末装置において、前記アドレス管理サーバはDHCPサーバである構成を採ってもよい。
この構成によれば、ネットワーク端末装置は、特別な通信手順を実行することなく、IPネットワーク上のDHCPサーバに対して自端末のIPアドレスを問い合わせることが可能になる。
また、上記のネットワーク端末装置において、前記アドレス管理サーバはRARPサーバである構成を採ってもよい。
この構成によれば、ネットワーク端末装置は、特別な通信手順を実行することなく、IPネットワーク上のRARPサーバに対して自端末のIPアドレスを問い合わせることが可能になる。
本発明によれば、送信パケットに対して適正なフィルタリング処理を実行することが可能になり、DDoS攻撃等を未然に防止することができる。
以下、本発明の実施の形態について図面を参照して詳細に説明する。
(実施の形態1)
図1は、本実施の形態1に係るネットワーク端末装置の構成を示すブロック図である。図1において、ネットワーク端末装置1は、ネットワークI/F2と、パケットフィルタリング機能部3と、ホストCPU(Central Processing Unit )4と、CPU周辺回路5と、RAM(Random Access Memory)6と、ROM(Read Only Memory)7と、から構成される。パケットフィルタリング機能部3、ホストCPU4、CPU周辺回路5、RAM6及びROM7は、バス8を介して相互に接続されている。
図1は、本実施の形態1に係るネットワーク端末装置の構成を示すブロック図である。図1において、ネットワーク端末装置1は、ネットワークI/F2と、パケットフィルタリング機能部3と、ホストCPU(Central Processing Unit )4と、CPU周辺回路5と、RAM(Random Access Memory)6と、ROM(Read Only Memory)7と、から構成される。パケットフィルタリング機能部3、ホストCPU4、CPU周辺回路5、RAM6及びROM7は、バス8を介して相互に接続されている。
ネットワークI/F2は、図示しないネットワークに接続し、ネットワーク端末装置1のネットワーク機能(L1〜L2のフレーミング処理等)を実現する。また、ネットワークI/F2は、パケットフィルタリング機能部3から入力される送信パケットをネットワークに送信し、ネットワークからパケットを受信してパケットフィルタリング機能部3に出力する。
パケットフィルタリング機能部3は、送信パケットフィルタ部3Aと、フィルタ条件記憶部3Bと、特定パケット抽出部3cを有する受信パケットフィルタ部3Cと、状態監視通知部3Dと、から構成される。このパケットフィルタリング機能部3は専用プロセッサにより構成される。
送信パケットフィルタ部3Aは、ホストCPU4からバス8を介して入力される送信パケットをフィルタ条件記憶部3Bに記憶されたフィルタ条件を参照して送信可能か否かを判定して廃棄対象のパケットを見付け、そのパケットを廃棄した上で廃棄した旨を、状態監視通知部3DからホストCPU4に通知する。
フィルタ条件記憶部3Bは、後述する通信監視装置102から受信するフィルタリング条件を記憶する。このフィルタリング条件には、送信パケットの送信可否及び受信パケットの受信可否を判断する条件として、IPレイヤにおける送信先アドレス制限あるいは送信元アドレス制限(送信元アドレスが適正であるかの検閲)、またはTCP(Transmission Control Protocol )階層でのパターンマッチング(ウィルス検出)等が含まれる。
受信パケットフィルタ部3Cは、特定パケット抽出部3cによりフィルタ条件記憶部3Bに記憶されたフィルタ条件を参照して受信可能か否かを判定して破棄対象の特定パケットを抽出し、その抽出された特定パケットを破棄した上で破棄した旨を、状態監視通知部3DからホストCPU4に通知する。
状態監視通知部3Dは、送信パケットフィルタ部3Aの送信フィルタリング処理と、受信パケットフィルタ部3Cの受信フィルタリング処理の各活性状態を管理し、その各活性状態の解除判定を行うとともに、送信パケットフィルタ部3A及び受信パケットフィルタ部3Cの各パケット破棄処理に伴う通知をホストCPU4に対して行う。
ホストCPU4(ホストプロセッサ)は、ROM7に記憶されたプログラムにより通信動作を含むネットワーク端末装置1の主要機能を制御するホストプロセッサである。CPU周辺回路5は、ネットワーク端末装置1のインターフェース機能(キー操作や画面表示機能等)を実現する回路である。RAM6は、主にホストCPU4の処理動作に使用されるワークエリア等を形成する一時記憶メモリである。ROM7は、主にホストCPU4の動作プログラムや静的設定値等を記憶する不揮発性メモリである。
次に、図2は、図1のネットワーク端末装置1が複数台接続されるネットワークシステムの構成を示す図である。
図2のネットワークシステム100では、複数台のネットワーク端末装置1がLAN(Local Area Network)101に接続され、LAN101は外部ネットワーク103上の通信監視装置102に接続されている。
通信監視装置102は、LAN101と外部ネットワーク103を結ぶ中継点に位置する装置であり、LAN101に接続されたネットワーク端末装置1と外部ネットワーク103に接続される他のネットワーク端末装置(図示せず)との間の通信を監視する。また、通信監視装置102は、ネットワーク端末装置1において利用されるフィルタリング条件を記憶し、ネットワーク端末装置1が通信中に通信異常を検出した場合に、送信フィルタイネーブル信号とともに記憶したフィルタリング条件をネットワーク端末装置1に送信する機能を有する。なお、通信監視装置102は、送受信パケットのフィルタリング(選択廃棄)処理は行わないため、正常状態にある他の端末の通信を阻害することはない。
なお、通信監視装置102は、当該ネットワークシステム全体の運営会社あるいは通信事業者の構内に設置され、外部からのアクセスが物理的に制限されているものであり、その安全性は充分に保証されているものとする。また、通信監視装置102は、LAN101と外部ネットワーク103を結ぶ中継点に位置するものであれば、何れのネットワーク装置と併設されるものであってもよい。一般的にネットワーク中継点に配置されるスイッチングハブやIPルータに対して、通信監視機能と異常検出・通知機能を持たせたものであってもよく、また単独に存在するプロキシサーバとして設置される形態でもよい。
また、この場合、通信監視装置102では、通信パケットの異常状態は検出するものの、異常検出時に通信パケット廃棄の必要性は負わないため、実際に廃棄処理までを行う場合と比べてその処理負荷及び装置コストは大幅に低減される。通信監視装置において廃棄処理まで行おうとする場合、導通パケットを一旦装置内で塞き止めて廃棄の必要性について判断を行った後に透過するという手順が必要になり、高速の処理能力あるいは大容量のパケットメモリが必要となるからである。
次に、図2のネットワークシステム100における動作について、図3に示すシーケンス図を参照して説明する。
図3において、特定のネットワーク端末装置1がLAN101及び外部ネットワーク103を介して他の端末と通信中であるとすると(ステップS101)、送出パケットは通信監視装置102により監視される。この通信中に、通信監視装置102において異常パケットが検出されると(ステップS102)、当該異常パケットの送出を止めるためのフィルタリング条件がネットワーク端末装置1内のホストCPU4に通知される(ステップS103)。
ネットワーク端末装置1内のホストCPU4では、フィルタリング条件が通知されると、パケットフィルタリング機能部3内の送信パケットフィルタ部3Aの機能をイネーブル状態とし、そのフィルタリング条件をフィルタ条件記憶部3Bに記憶させる(ステップS104)。
通信監視装置102からホストCPU4への情報伝達手段については、特に限定するものではないが、例えば、レイヤ2のEthernet(登録商標)階層でVLAN(Virtual LAN)を使う等して特別のフレームを定義したり、ICMP(Internet Control Message Protocol )の未使用種別番号を使って専用パケットを定義する等の方法が考えられる。また、通信監視装置102から通知されるフィルタリング条件に関しても、同様に特に限定するものではないが、例えば、IPレイヤにおいて送信先アドレス制御、あるいは送信元アドレス制限(適正であることの検閲)、またはTCP(Transmission Control Protocol )階層でのパターンマッチング(ウィルス検出)等が想定される。
次いで、パケットフィルタリング機能部3では、送信パケットフィルタ部3Aにより送信パケットに対する送信フィルタリング処理が開始される(ステップS105)。送信パケットフィルタ部3Aでは、送信パケットのそれぞれに対してフィルタ条件記憶部3Bに記憶されたフィルタリング条件に照らし合わされて送信可否が判断される。そして、送信可と判断された送出パケットは透過されてLAN101から外部ネットワーク103に送出される(ステップS106)また、送信不可と判断された送出パケットは、廃棄対象パケットとして廃棄され(ステップS107)、廃棄の旨がホストCPU4に通知される(ステップS108)。
この廃棄の通知手段は、ネットワーク端末装置1内部の実装に依存し、端末内部のバスあるいは結線情報としての伝達、パケット導通を模したインバイドの情報伝達等の実装形態をとり得る。
以後、上記ステップS106〜ステップS108と同様の処理が繰り返し実行される(ステップS109〜S112)。その後、廃棄通知によりホストCPU4が自律的に異常状態を回復し、送信パケット群の中に廃棄対象となるパケットが存在しなくなった場合、
ホストCPU4は、パケットフィルタリング機能部3の送信フィルタリング処理をディセーブルとする(ステップS113)。
ホストCPU4は、パケットフィルタリング機能部3の送信フィルタリング処理をディセーブルとする(ステップS113)。
この一連の処理実施のため、ホストCPU4では、最後の送信フィルタリング処理によりパケット廃棄してからの経過時間と、それ以降に送出した情報量(あるいはパケット個数)が、それぞれ所望の閾値を上回ったことを条件に送信フィルタリング処理が解除される。これら2つの閾値は、上記フィルタリング条件と共に通知するようにしてもよい。
このように、ネットワーク端末装置1内で自律的に状態回復を図り、フィルタリング処理の必要性が無くなった時点で処理を停止することで、フィルタリング処理に伴う送信スループットの低下や無駄な消費電力の増大を最小限に留めることができる。
なお、図1において、状態監視通知部3Dとして示した機能部は、上記送信フィルタリング処理の活性状態を管理し、活性状態の解除判定を行い、かつ廃棄処理に伴ってホストCPU4に破棄通知を行うものである。
以上のように、本実施の形態1のネットワーク端末装置及びネットワークシステムによれば、ホストCPUとは別の専用プロセッサによるパケットフィルタリング機能部を設け、ホストCPUから送出されるパケットの異常を判断し、異常パケットを廃棄して廃棄したことをホストCPUに通知することにより、ホストCPUの自律的な回復を促すことができ、DDoS攻撃等を未然に防止することができる。
なお、上記実施の形態1では、専用プロセッサでパケットの廃棄が生じた際はその旨が廃棄通知という形でホストCPUに通知される場合を示したが、その実装形態としては専用プロセッサが活性状態にあって、云わば非監視状態(要注意状態)であることが、端末ユーザに対して明示的に示されていることが望ましい。そこで、フィルタリング機能部がイネーブル状態である場合は、その旨を専用プロセッサがホストCPUに伝達し、ホストCPUの機能として、端末ユーザに状態通知を行う機能を付加してもよい。
この場合、ユーザへの伝達方法としては、例えば、状態を示すアイコンを端末画面に表示したり、あるいは表示画面を点灯させる等の方法が考えられる。
また、通信監視装置からフィルタリング条件が通知される際に、フィルタリング条件とは直接関係のないユーザ宛のメッセージを送信する場合もあり得る。この場合は、例えば、特定のフィルタリング条件を端末に通知する際、そのフィルタリング条件が端末において有効になった際に端末画面に自動表示させ、当該端末がどのようなフィルタリング条件で制限状態になったかをユーザに知らせるといった使用方法も可能である(例えば、現在、特定サーバへのアクセスが制限されているといったメッセージ)。この機能により、ユーザに対して明示的なフィルタ設定が可能となり、ネットワーク側からの一方的なフィルタリング条件設定によりユーザが困惑するといった事態を防止することができる。
(実施の形態2)
本実施の形態2では、ネットワーク端末装置に実装された送信パケットフィルタリング機能が、レイヤ3のフィルタリング処理の一環として実施するIPパケットの送信元アドレスの検閲(端末のIPアドレスが正しく記載されているか否かの検閲)に使用する自端末のIPアドレスの認識を、通信機能を司るホストCPU側の手助け無く自律して行うことで、常に適正なフィルタリング処理を実現させる場合を説明する。
本実施の形態2では、ネットワーク端末装置に実装された送信パケットフィルタリング機能が、レイヤ3のフィルタリング処理の一環として実施するIPパケットの送信元アドレスの検閲(端末のIPアドレスが正しく記載されているか否かの検閲)に使用する自端末のIPアドレスの認識を、通信機能を司るホストCPU側の手助け無く自律して行うことで、常に適正なフィルタリング処理を実現させる場合を説明する。
図4は、本実施の形態2に適用するネットワーク端末装置20の構成を示すブロック図である。なお、図4に示す構成において、上記図1に示した構成と同一の構成部分には、同一符号を付してその構成説明を省略する。
図4において、ネットワーク端末装置20は、ネットワークI/F2と、パケットフィルタリング機能部21と、ホストCPU(Central Processing Unit )4と、CPU周辺回路5と、RAM(Random Access Memory)6と、物理アドレス記憶部22Aを有するROM(Read Only Memory)22と、から構成される。パケットフィルタリング機能部21、ホストCPU4、CPU周辺回路5、RAM6及びROM22は、バス8を介して相互に接続されている。
パケットフィルタリング機能部21は、送信パケットフィルタ部3Aと、フィルタ条件記憶部3Bと、特定パケット抽出部3cを有する受信パケットフィルタ部3Cと、自アドレス認識部21Aと、から構成される。このパケットフィルタリング機能部21は専用プロセッサにより構成される。
自アドレス認識部21Aは、物理アドレス記憶部22Aに格納されたアドレス情報を読み出すとともに、ネットワーク端末装置20のIPアドレス把握のための後述する一連の通信シーケンスを始動する機能を有する。
ROM22は、主にホストCPU4の動作プログラムや静的設定値等を記憶する不揮発性メモリである。物理アドレス記憶部22Aは、ネットワーク端末装置20固有の物理アドレス(例えば、Ethernet(登録商標)あればMACアドレス)を記憶する記憶領域である。
次に、図5は、図4のネットワーク端末装置20が複数台接続されるネットワークシステムの構成を示す図である。
図5のネットワークシステム200では、複数台のネットワーク端末装置20がLAN(Local Area Network)101に接続され、LAN101は外部ネットワーク103上の通信監視装置102に接続されている。また、外部ネットワーク103上にはアドレス管理サーバであるDHCP(Dynamic Host Configuration Protocol )サーバ201が接続されている。
次に、図5のネットワークシステム200における動作について、図6に示すシーケンス図を参照して説明する。
図6において、特定のネットワーク端末装置20がLAN101及び外部ネットワーク103を介して他の端末との通信を開始する(ステップS201)。この通信の開始をパケットフィルタリング機能部21が検出すると、パケットフィルタリング機能部21内の自アドレス認識部21Aは、図6に示すIPアドレス取得手順(1)又はIPアドレス取得手順(2)のいずれかの方法によって自IPアドレスの確認を図る。
まず、IPアドレス取得手順(1)について説明する。この場合、アドレス管理サーバ(DHCPサーバ201)への問合せ処理である。
一般にIPネットワークでは、ネットワーク端末が属するネットワークにアドレス管理(発行)サーバが存在する場合、ネットワーク端末から特定のアドレス要求パケットをブロードキャストすることでアドレス情報の問合せが可能である。
ネットワーク端末装置20内のパケットフィルタリング機能部21は、自端末が属するブロードキャストドメイン(ローカルネットワークエリア:LAN101)内にアドレス管理サーバ(DHCPサーバ201)が存在することを想定して、自端末の物理アドレスに対応するIPアドレスの問い合わせパケットをブロードキャストして応答を待つ(ステップS202)。パケットフィルタリング機能部21は、ネットワーク103上のDHCPサーバ201から応答が返信されれば、自端末のIPアドレスを認識する(ステップS203)。
パケットフィルタリング機能部21内の自アドレス認識部21Aは、物理アドレス記憶部22Aから自端末の物理アドレス情報を得て、上記のような一連のIPアドレス問い合わせ処理を実行する。
次に、IPアドレス取得手順(2)について説明する。この場合、アドレス解決サーバ(RARP(Reverse Address Resolution Protocol )サーバ)への問合せ処理である。
一般にIPネットワークでは、自端末のIPアドレスを物理アドレスを元に問合せることが可能なサーバ(RARPサーバ)が標準規格上で定義されている。RARPプロトコルとは、ARP(Address Resolution Protocol )プロトコルの逆で、自ノードのMACアドレスから自ノードのIPアドレスを求めるためのプロトコルである。
このRARPプロトコルでは、自ノードのMACアドレスをブロードキャストドメイン(ローカルネットワークエリア:LAN101)内にブロードキャストして問合せを行うと、ネットワーク上に存在するRARPサーバ(この場合、通信監視装置102)が、そのノードのIPアドレスを返す仕組みになっている。
ネットワーク端末装置20内のパケットフィルタリング機能部21は、アドレス解決サーバであるRARPサーバ(通信監視装置102)がネットワーク上に存在することを想定して、自端末の物理アドレス情報に対応するIPアドレスの問合せパケット(RARP/IARP(Inverse Address Resolution Protocol )要求)をブロードキャストして問合せを待つ(ステップS204)。パケットフィルタリング機能部21は、ネットワーク103上のRARPサーバ(通信監視装置102)から応答(RARP/IARP応答)が返信されれば、自端末のIPアドレスを認識する(ステップS205)。
パケットフィルタリング機能部21内の自アドレス認識部21Aは、物理アドレス記憶部22Aから自端末の物理アドレス情報を得て、上記のような一連のIPアドレス問い合わせ処理を実行して、応答されたIPアドレスを保持する(ステップS206)。
上記の手順を経て自端末のIPアドレスを認識したパケットフィルタリング機能部21は、送信パケットのそれぞれに対して、送信元IPアドレスが正しく設定されているか否かを判断する送信フィルタリング処理を開始する(ステップS207)。
送信パケットフィルタ部3Aでは、送信パケットのそれぞれに対して保持された送信元IPアドレスが正しく設定されているか否かにより送信可否が判断される。そして、送信可と判断された送出パケットは透過されてLAN101から外部ネットワーク103に送出される(ステップS208)また、送信元IPアドレスとは異なるIPアドレスが見つかり送信不可と判断された送出パケットは、廃棄対象パケットとして廃棄され(ステップS209)、廃棄の旨がホストCPU4に通知される(ステップS210)。
この廃棄の通知手段は、ネットワーク端末装置1内部の実装に依存し、端末内部のバスあるいは結線情報としての伝達、パケット導通を模したインバイドの情報伝達等の実装形態をとり得る。
以後、送信パケットフィルタ部3Aでは、通信が継続している間は、上記ステップS208〜ステップS210と同様の処理が繰り返し実行される(ステップS211〜S213)。その後、パケットフィルタリング機能部21は、通信の終了に合わせてフィルタリング処理の停止、自IPアドレス認識の破棄を行う。
通信終了の認識は、パケットフィルタリング機能部21における自律認識とする。また、通信終了の定義としては、TCPセッションの終了、あるいはEthernet(登録商標)レイヤでのリンク断等である。
以上のように、本実施の形態2のネットワーク端末装置及びネットワークシステムによれば、ホストCPUとは別の専用プロセッサによるパケットフィルタリング機能部を設け、通信開始後に自端末の物理アドレス情報に対応するIPアドレスをネットワーク上のアドレス管理サーバ(DHCPサーバ)又はRARPサーバ(通信監視装置102)に問合せて送信元IPアドレスを認識し、送信パケットそれぞれに対して正しいIPアドレスが設定されているか否かを判断して、送信パケットの透過又は廃棄を行い、パケット廃棄をホストCPUに通知するようにした。このため、送信パケットに対して適正なフィルタリング処理を実行することが可能になり、ホストCPUの自律的な回復を促すことができ、DDoS攻撃等を未然に防止することができる。
また、本実施の形態2のネットワーク端末装置では、自端末の物理アドレス情報に対応するIPアドレスをネットワーク上のアドレス管理サーバ(DHCPサーバ)又はRARPサーバ(通信監視装置102)に問合せて送信元IPアドレスを認識するようにしたため、ユーザが故意にローカルエリア内の機密情報を漏洩しようとする行為(悪意のあるユーザがパケット送信元を改竄してネットワークを不正に利用する行為)を未然に防止することができる。
なお、上記実施の形態2では、自アドレス認識部において2つの方法のIPアドレス取得手順(1)(2)を実行する場合を示したが、これら以外の方法でもよい。例えば、IPv6(Internet Protocol Version 6 )通信を想定した場合、近隣発見プロトコル(NDP(Neighbor Discovery Protocol )プロトコル)等の使用によりIPアドレスを認識するようにしてもよい。
本発明は、フィルタリング条件により送信パケットの送信可否を判断するとともに、送信パケットの送信元アドレスを検閲する送信パケットフィルタリング機能を、通信機能を司るホストプロセッサとは別の専用プロセッサに設けて、送信パケットに対して適正なフィルタリング処理を実行可能とし、DDoS攻撃等を未然に防止することを可能にする点でネットワーク端末装置等に有用である。
1、20 ネットワーク端末装置
2 ネットワークI/F
3 パケットフィルタリング機能部
3A 送信パケットフィルタ部
3B フィルタ条件記憶部
3C 受信パケットフィルタ部
3c 特定パケット抽出部
3D 状態監視通知部
4 ホストCPU
5 CPU周辺回路
6 RAM
7、22 ROM
8 バス
100、200 ネットワークシステム
101 LAN
102 通信監視装置
103 外部ネットワーク
21A 自アドレス認識部
22A 物理アドレス記憶部
2 ネットワークI/F
3 パケットフィルタリング機能部
3A 送信パケットフィルタ部
3B フィルタ条件記憶部
3C 受信パケットフィルタ部
3c 特定パケット抽出部
3D 状態監視通知部
4 ホストCPU
5 CPU周辺回路
6 RAM
7、22 ROM
8 バス
100、200 ネットワークシステム
101 LAN
102 通信監視装置
103 外部ネットワーク
21A 自アドレス認識部
22A 物理アドレス記憶部
Claims (1)
- 通信処理を行うホストプロセッサと、送信パケットのフィルタリング処理を行う専用プロセッサとを有するネットワーク端末装置と、
前記ネットワーク端末装置が接続されるローカルエリアネットワークと外部ネットワークとを結ぶ中継点に配置されて通信パケットの異常状態を検出する通信監視装置と、
を具備するネットワークシステムにおいて、
前記通信監視装置は、
前記ネットワーク端末装置で利用されるフィルタリング条件を記憶した記憶手段と、
前記異常状態を検出した場合にフィルタリング処理を開始させるイネーブル信号と前記フィルタリング条件とを前記ネットワーク端末装置へ送信する手段と、
を有し、
前記ネットワーク端末装置の前記専用プロセッサは、
フィルタリング条件を記憶するフィルタ条件記憶手段と、
イネーブル状態のときに、前記フィルタ条件記憶手段に記憶されたフィルタリング条件を参照して前記送信パケットの送信可否を判断して送信不可パケットの廃棄を行うとともに、当該送信不可パケットの廃棄を前記ホストプロセッサに通知する送信パケットフィルタ処理手段と、
を有し、
前記ネットワーク端末装置の前記ホストプロセッサは、
前記専用プロセッサから通知される前記送信パケットフィルタ処理手段の動作状態を報知するフィルタ動作状態報知手段を具備し、
前記通信監視装置から前記フィルタリング条件と前記イネーブル信号を受信した場合に、前記フィルタリング条件を前記専用プロセッサへ通知して前記フィルタ条件記憶手段へ記憶させるとともに、前記送信パケットフィルタ処理手段をイネーブル状態にする一方、
前記送信パケットフィルタ処理手段をイネーブル状態にした後、前記パケット廃棄の通知が所定時間ない場合に、前記送信パケットフィルタ処理手段の前記イネーブル状態を解除する
ネットワークシステム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006038665A JP4922620B2 (ja) | 2006-02-15 | 2006-02-15 | ネットワークシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006038665A JP4922620B2 (ja) | 2006-02-15 | 2006-02-15 | ネットワークシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007221395A JP2007221395A (ja) | 2007-08-30 |
| JP4922620B2 true JP4922620B2 (ja) | 2012-04-25 |
Family
ID=38498175
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006038665A Expired - Fee Related JP4922620B2 (ja) | 2006-02-15 | 2006-02-15 | ネットワークシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4922620B2 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100908404B1 (ko) * | 2008-09-04 | 2009-07-20 | (주)이스트소프트 | 분산서비스거부공격의 방어방법 및 방어시스템 |
| CN102457824B (zh) * | 2010-10-26 | 2015-05-27 | 中国移动通信集团公司 | 一种事件处理方法和装置 |
| JP2021069023A (ja) * | 2019-10-24 | 2021-04-30 | 株式会社日立製作所 | 通信機能を有する装置並びに通信システム |
| CN113645624A (zh) * | 2021-08-25 | 2021-11-12 | 广东省高峰科技有限公司 | 一种异常网络数据的排查方法和装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001077811A (ja) * | 1999-09-01 | 2001-03-23 | Akuton Technology Kk | ネットワークインターフェースカード |
| JP2004139178A (ja) * | 2002-10-15 | 2004-05-13 | Sony Corp | 情報処理装置及び方法、並びにプログラム |
-
2006
- 2006-02-15 JP JP2006038665A patent/JP4922620B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007221395A (ja) | 2007-08-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4820437B2 (ja) | 情報処理装置 | |
| US7757285B2 (en) | Intrusion detection and prevention system | |
| US10212160B2 (en) | Preserving an authentication state by maintaining a virtual local area network (VLAN) association | |
| JP3824274B2 (ja) | 不正接続検知システム及び不正接続検知方法 | |
| US20060280121A1 (en) | Frame-transfer control device, DoS-attack preventing device, and DoS-attack preventing system | |
| EP1722535A2 (en) | Method and apparatus for identifying and disabling worms in communication networks | |
| WO2008141584A1 (en) | Message processing method, system, and equipment | |
| WO2008131667A1 (fr) | Procédé, dispositif d'identification des flux de services et procédé, système de protection contre une attaque par déni de service | |
| JP2005079706A (ja) | ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置 | |
| US9800593B2 (en) | Controller for software defined networking and method of detecting attacker | |
| CN101453495A (zh) | 防止授权地址解析协议信息丢失的方法、系统和设备 | |
| KR20060030037A (ko) | 네트워크 공격 대책방법, 네트워크 공격 대책장치 및 네트워크 공격 대책 프로그램을 기록한 기록매체 | |
| JP2012034129A (ja) | 管理サーバ、通信遮断装置、情報処理システム、方法およびプログラム | |
| KR100533785B1 (ko) | Dhcp 패킷을 이용한 동적 ip 주소할당 환경에서의arp/ip 스푸핑 자동 방지 방법 | |
| KR101064382B1 (ko) | 통신 네트워크에서의 arp 공격 차단 시스템 및 방법 | |
| US20070220256A1 (en) | Electronic mechanical device | |
| CN107690004B (zh) | 地址解析协议报文的处理方法及装置 | |
| CN106878326A (zh) | 基于反向检测的IPv6邻居缓存保护方法及其装置 | |
| JP4922620B2 (ja) | ネットワークシステム | |
| OConnor | Detecting and responding to data link layer attacks | |
| TWI315139B (ja) | ||
| JP2011129968A (ja) | 通信端末装置 | |
| CN110099015B (zh) | 一种由网络交换设备执行的方法、网络交换设备及介质 | |
| US9686311B2 (en) | Interdicting undesired service | |
| EP3133790B1 (en) | Message sending method and apparatus |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20081225 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110627 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110705 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110901 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120110 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120206 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150210 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |