JP5178573B2 - 通信システムおよび通信方法 - Google Patents

通信システムおよび通信方法 Download PDF

Info

Publication number
JP5178573B2
JP5178573B2 JP2009034231A JP2009034231A JP5178573B2 JP 5178573 B2 JP5178573 B2 JP 5178573B2 JP 2009034231 A JP2009034231 A JP 2009034231A JP 2009034231 A JP2009034231 A JP 2009034231A JP 5178573 B2 JP5178573 B2 JP 5178573B2
Authority
JP
Japan
Prior art keywords
packet
terminal
relay
address
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009034231A
Other languages
English (en)
Other versions
JP2010193083A (ja
Inventor
歩 窪田
隆将 磯原
優 三宅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI R&D Laboratories Inc
Original Assignee
KDDI R&D Laboratories Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI R&D Laboratories Inc filed Critical KDDI R&D Laboratories Inc
Priority to JP2009034231A priority Critical patent/JP5178573B2/ja
Publication of JP2010193083A publication Critical patent/JP2010193083A/ja
Application granted granted Critical
Publication of JP5178573B2 publication Critical patent/JP5178573B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、パケットを中継する1台以上の中継端末を備えた通信システムに関する。また、本発明は、中継端末を含む端末が通信を行う通信方法にも関する。
攻撃対象サーバに対して、インターネットを介して多数のホストから大量のパケットを送信することによりサービスを停止させる等の被害をもたらす分散サービス不能攻撃(Distributed Denial of Service攻撃、DDoS攻撃)がある。従来は、被害を受けているサーバの管理者からの申告もしくはISP等の通信事業者が行う監視によりDDOS攻撃を検知し、攻撃パケットを廃棄するためのフィルタリングルールや経路制御の設定をルータ等の通信事業者設備に投入することによりその対策が行われている。
DDoS攻撃の対策に関する技術として、特許文献1には、攻撃トラヒックの経路上の多数のルータへ機能を追加し、攻撃の上流に遡って攻撃トラヒックの制御を行うことが記載されている。
特開2003−283572号公報
DDoS攻撃によるネットワーク帯域の浪費を防ぐため、極力、攻撃元に近い装置でパケットの廃棄を行うことが望ましい。しかし、DDoS攻撃では、多数の攻撃ホストから攻撃パケットが送信され、それらの攻撃パケットが攻撃対象サーバに到着するまでに経由する経路が多数存在するため、経路毎にパケットの廃棄を行うことが困難であった。
本発明は、上述した課題に鑑みてなされたものであって、ネットワーク上で効率的にパケットの廃棄を行うことができる通信システムおよび通信方法を提供することを目的とする。
本発明は、上記の課題を解決するためになされたもので、外部端末から通信端末へ送信されるパケットを中継する1台以上の中継端末と、1台以上の前記通信端末とを備えた通信システムであって、前記中継端末は、前記通信端末に割り当てられた仮想IPアドレスへの経路が前記中継端末への経路であることをネットワーク上に広報する広報手段と、前記外部端末のIPアドレスを送信元とし、前記通信端末の仮想IPアドレスを宛先とする第1のパケットを受信する第1のパケット受信手段と、前記中継端末のIPアドレスを送信元とし、前記通信端末の実IPアドレスを宛先とする第2のパケットに前記第1のパケットを変換する変換手段と、前記第2のパケットを送信するパケット送信手段と、パケットをフィルタリングする指示を前記通信端末から受信する指示受信手段と、受信された前記指示に基づいて前記第1のパケットまたは前記第2のパケットをフィルタリングするフィルタリング手段と、を備え、前記通信端末は、前記第2のパケットを受信する第2のパケット受信手段と、各々の前記中継端末からの前記第2のパケットの数をカウントするカウント手段と、前記中継端末毎にカウントされた前記第2のパケットの数に基づいて、前記指示を送信する前記中継端末を決定する決定手段と、前記決定手段によって決定された前記中継端末へ前記指示を送信する指示送信手段と、を備えたことを特徴とする通信システムである。
また、本発明の通信システムにおいて、前記第2のパケットは、前記外部端末のIPアドレスを含み、前記指示は、前記外部端末毎にパケットをフィルタリングするルールを含んでおり、前記フィルタリング手段は、受信された前記指示に含まれる前記ルールに基づいてパケットをフィルタリングし、前記カウント手段は、各々の前記中継端末からの前記第2のパケットの数をカウントすると共に各々の前記外部端末からの前記第2のパケットの数をカウントし、前記決定手段は、前記中継端末毎にカウントされた前記第2のパケットの数に基づいて、前記指示を送信する前記中継端末を決定すると共に、前記外部端末毎にカウントされた前記第2のパケットの数に基づいて前記ルールを決定することを特徴とする。
また、本発明の通信システムにおいて、前記フィルタリング手段は、フィルタリングの開始から所定時間が経過したとき、フィルタリングを終了することを特徴とする。
また、本発明の通信システムは、複数台の前記中継端末を備えたことを特徴とする。
また、本発明は、外部端末から通信端末へ送信されるパケットを中継する1台以上の中継端末と、1台以上の前記通信端末とが行う通信の方法であって、前記中継端末は、前記通信端末に割り当てられた仮想IPアドレスへの経路が前記中継端末への経路であることをネットワーク上に広報する処理と、前記外部端末のIPアドレスを送信元とし、前記通信端末の仮想IPアドレスを宛先とする第1のパケットを受信する処理と、前記中継端末のIPアドレスを送信元とし、前記通信端末の実IPアドレスを宛先とする第2のパケットに前記第1のパケットを変換する処理と、前記第2のパケットを送信する処理と、パケットをフィルタリングする指示を前記通信端末から受信する処理と、受信された前記指示に基づいてパケットをフィルタリングする処理と、を実行し、前記通信端末は、前記第2のパケットを受信する処理と、各々の前記中継端末からの前記第2のパケットの数をカウントする処理と、前記中継端末毎にカウントされた前記第2のパケットの数に基づいて、前記指示を送信する前記中継端末を決定する処理と、前記決定手段によって決定された前記中継端末へ前記指示を送信する処理と、を実行することを特徴とする通信方法である。
本発明によれば、通信端末に割り当てられた仮想IPアドレスへの経路が中継端末への経路であることがネットワーク上に広報されるので、通信端末の仮想IPアドレスを宛先とする第1のパケットは中継端末によって受信される。この第1のパケットは、中継端末によって、通信端末の実IPアドレスを宛先とする第2のパケットに変換されて通信端末へ送信される。このように、外部端末から通信端末へ送信されるパケットは中継端末を経由するので、この中継端末においてパケットのフィルタリングを行うことによって、ネットワーク上で効率的にパケットの廃棄を行うことができる。
本発明の一実施形態による通信システムの構成を示す構成図である。 本発明の一実施形態による通信システムが備えるサーバと中継端末の構成を示すブロック図である。 本発明の一実施形態による通信システムが実行する通信の手順を示すシーケンス図である。 本発明の一実施形態におけるパケットのカプセル化の様子を示す参考図である。 本発明の一実施形態による通信システムが備えるサーバの動作の手順を示すフローチャートである。 本発明の一実施形態による通信システムが備える中継端末の動作の手順を示すフローチャートである。
以下、図面を参照し、本発明の実施形態を説明する。図1は、本発明の一実施形態による通信システムの構成を示している。本通信システムは、ネットワーク100と、ネットワーク100を介して通信を行うクライアント端末10、サーバ20、中継端末30とを備えている。クライアント端末10、サーバ20、中継端末30はそれぞれ1台以上(1または複数台)存在している。
クライアント端末10は、DDoS攻撃の攻撃元(攻撃ホスト)となりうる端末である。サーバ20は、所定のサービスを提供するFTP(File Transfer Protocol)サーバやWebサーバ等であり、DDoS攻撃の攻撃対象となりうる端末である。サーバ20には、実ネットワークで用いるIPアドレス(本明細書では実IPアドレスとする)とは別の、仮想的なIPアドレス(本明細書では仮想IPアドレスとする)が割り当てられている。中継端末30は、クライアント端末10とサーバ20の間で送受信されるパケットを中継する。
1つのサーバ20への経路について、どの中継端末30から見ても同一のホップ数で到達できるかのような経路情報を各中継端末30がネットワーク100内に広報する。これによって、クライアント端末10からサーバ20へのIPパケットは、クライアント端末10に最も近い中継端末30を経由する。このIPパケットは、中継端末30でカプセル化され、中継端末30とサーバ20の間のトンネルを介してサーバ20へ送信される。
また、サーバ20からクライアント端末10へ送信されるパケットは、上記とは逆にトンネルを介して中継端末30で受信された後、通常のIPパケットに変換され、クライアント端末10へ送信される。したがって、クライアント端末10がサーバ20と行う通信は、両者の位置関係にかかわらず、必ず中継端末30を介して行われる。
DDoS攻撃では、個々の攻撃ホストが送信する攻撃パケットは比較的少量であるため、攻撃ホストに近い上流でDDoS攻撃を検知するのは困難である。このため、最下流のサーバ20がDDoS攻撃の検知を行い、中継端末30がパケットの廃棄を行う。これによって、攻撃ホストとなっているクライアント端末10に最も近い中継端末30で効率的にパケットを廃棄することができ、ネットワーク帯域の浪費を最小限に抑えることができる。
図2はサーバ20と中継端末30の機能構成を示している。サーバ20は、サーバアプリケーション21、トンネル通信部22、経路記憶部23、パケット情報記憶部24、フィルタリングルール決定部25を備えている。サーバアプリケーション21は、クライアント端末10へ各種サービスの提供を行う。トンネル通信部22は、通信部22a、パケット処理部22b、攻撃検知部22cを備えている。通信部22aは、トンネルを介して中継端末30とパケットの送受信を行う。パケット処理部22bは、中継端末30から受信されたパケットおよび中継端末30へ送信されるパケットに対して、後述する処理を行う。攻撃検知部22cは、サーバ20へのトラヒックを監視し、DDoS攻撃を検知する。
経路記憶部23は、サーバ20がクライアント端末10と通信を行う際に中継を行う中継端末30の情報とクライアント端末10の情報を記憶する。具体的には、クライアント端末10のIPアドレス(IPclient)と中継端末30のIPアドレス(IPproxy)が経路記憶部23に格納される。パケット情報記憶部24は、中継端末30から受信されたパケットの情報(クライアント端末10、中継端末30のIPアドレス等)を記憶する。フィルタリングルール決定部25は、DDoS攻撃が検知された場合に、中継端末30に設定するフィルタリングルール(パケット廃棄ルール)を決定し、決定したフィルタリングルールの情報を含むパケットを中継端末30へ送信する。このパケットは、中継端末30に対してフィルタリングを指示する機能も有する。
中継端末30は、パケット中継部31、中継情報記憶部32、フィルタリングルール管理部33を備えている。パケット中継部31は、経路制御部31a、通信部31b、パケット処理部31c、フィルタリング部31dを備えている。経路制御部31aは、BGP(Border Gateway Protocol)等の経路制御プロトコルを用いて経路を広報することによって、サーバ20に割り当てられた仮想IPアドレスへの経路が中継端末30への経路であることをネットワーク100上に広報する。通信部31bは、クライアント端末10とパケットの送受信を行うと共に、トンネルを介してサーバ20とパケットの送受信を行う。パケット処理部31cは、クライアント端末10とサーバ20との間で中継するパケットに対して、後述する処理を行う。フィルタリング部31dはパケットのフィルタリングを行う。
中継情報記憶部32は、パケットの中継に必要な情報を記憶する。具体的には、サーバ20の仮想IPアドレス(IPvirtual)とサーバ20の実IPアドレス(IPreal)が中継情報記憶部32に格納される。フィルタリングルール管理部33は、サーバ20から送信された、フィルタリングルールを含むパケットを受信し、フィルタリングルールを管理する。
次に、本実施形態によるサーバ20と中継端末30の動作を説明する。なお、中継端末30の中継情報記憶部32には、サーバ20に割り当てられている仮想IPアドレスと実IPアドレスの組が予め保存されているものとする。また、中継端末30の経路制御部31aは、サーバ20に割り当てられた仮想IPアドレスへの経路が中継端末30への経路であることをネットワーク100上に予め広報している。
以下、図3を参照しながら、クライアント端末10とサーバ20の間の通信の手順を説明する。以下では、クライアント端末10のIPアドレスをIPClientとし、サーバ20の仮想IPアドレスをIPvirtual、実IPアドレスをIPrealとし、中継端末30のIPアドレスをIPproxyとする。まず、クライアント端末10は、IPvirtual宛てにパケットを送信する(ステップS100)。IPvirtual宛ての経路が中継端末30への経路であることを中継端末30がネットワーク上に広報しているため、クライアント端末10から送信されたパケットは中継端末30に到着する。
中継端末30の通信部31bはクライアント端末10からのパケットを受信する。パケット処理部31cは、クライアント端末10から受信したパケットに含まれるサーバ20の仮想IPアドレス(IPvirtual)をキーにして、中継情報記憶部32に格納されている情報を検索し、IPvirtual に対応したサーバ20の実IPアドレス(IPreal)を取得する。パケット処理部31cはパケットのデータと、自身が保持する秘密鍵からハッシュ値を計算し、認証データを生成する。そして、パケット処理部31cは、クライアント端末10からのパケットと認証データをカプセル化する(ステップS105)。
図4はカプセル化の様子を示している。IPヘッダ400aおよびペイロード400bを含むクライアント端末10からのパケット400に対して、認証データを含む認証ヘッダ410を付加し、さらにUDPヘッダ420およびIPヘッダ430を付加することによって、カプセル化したパケットが生成される。IPヘッダ400aには、送信元としてクライアント端末10のIPアドレスが記録され、宛先としてサーバ20の仮想IPアドレス(IPvirtual)が記録されている。また、IPヘッダ430には、送信元として中継端末30のIPアドレス(IPproxy)が記録され、宛先としてサーバ20の実IPアドレス(IPreal)が記録されている。したがって、クライアント端末10(IPclient)を送信元としサーバ20(IPvirtual)を宛先とするパケットが、カプセル化によって、中継端末30(IPproxy)を送信元としサーバ20(IPreal)を宛先とするパケットに変換される。
通信部31bは、カプセル化されたパケットをサーバ20へ送信する(ステップS110)。
サーバ20の通信部22aは、中継端末30からのパケットを受信する。パケット処理部22bは、カプセル化されているパケットを分解し、クライアント端末10からのデータ(図4のパケット400のデータ)と認証データ(図4の認証ヘッダ410のデータ)に基づいて、データの検証を行う。
このとき、パケット処理部22bは、クライアント端末10からのデータと、自身が保持する秘密鍵からハッシュ値を計算し、認証データを生成する。続いて、パケット処理部22bは、この認証データと、カプセル化されたパケットに付加されていた認証データとを比較する。両者が一致した場合には、次の処理が行われる。また、両者が一致しなかった場合には、パケットが破棄され、処理が終了する(ステップS115)。
認証データ同士が一致した場合、パケット処理部22bは、クライアント端末10からのパケットに付加されているIPヘッダ(図4のIPヘッダ400a)に含まれる送信元のIPアドレス(IPclient)と、カプセル化されたパケットに付加されているIPヘッダ(図4のIPヘッダ430)に含まれる送信元のIPアドレス(IPproxy)とを対応させて経路記憶部23に格納する。さらに、パケット処理部22bは、クライアント端末10からのパケットをサーバアプリケーション21に渡す(ステップS120)。
サーバアプリケーション21は、必要な処理を行った後、サーバ20(IPvirtual)を送信元としクライアント端末10(IPclient)を宛先とするパケットを生成し、パケット処理部22bに渡す(ステップS125)。
パケット処理部22bは、クライアント端末10のIPアドレス(IPclient)をキーにして、中継端末30のIPアドレス(IPproxy)を経路記憶部23から読み出す。続いて、パケット処理部22bは、サーバアプリケーション21からのパケットのデータと、自身が保持する秘密鍵からハッシュ値を計算し、認証データを生成する。続いて、パケット処理部22bは、サーバアプリケーション21からのパケットと認証データをカプセル化する(ステップS130)。
認証データの生成方法およびカプセル化の方法は、前述した方法と同様である。サーバ20(IPvirtual)を送信元としクライアント端末10(IPclient)を宛先とするパケットは、カプセル化によって、サーバ20(IPreal)を送信元とし中継端末30(IPproxy)を宛先とするパケットに変換される。カプセル化されたパケットの構造は、図4に示した構造と同様である。通信部22aは、パケット処理部22bによってカプセル化されたパケットを中継端末30へ送信する(ステップS135)。
中継端末30の通信部31bはサーバ20からのパケットを受信する。パケット処理部31cは、カプセル化されているパケットを分解し、サーバ20からのデータと認証データに基づいて、データの検証を行う。データの検証方法は、前述した方法と同様である。認証データ同士の比較が行われ、認証データ同士が一致した場合には、次の処理が行われる。また、認証データ同士が一致しなかった場合には、パケットが破棄され、処理が終了する(ステップS140)。
認証データ同士が一致した場合、パケット処理部31cは、カプセル化されたパケットを分解して得られた、サーバ20(IPvirtual)を送信元としクライアント端末10(IPclient)を宛先とするパケットを通信部31bへ出力する。通信部31bは、このパケットをクライアント端末10へ送信する(ステップS145)。
上記の通信と並行して、サーバ20はDDoS攻撃の検知とフィルタリングルールの決定を行う。図5はこのときのサーバ20の動作を示している。以下、図5を参照しながらサーバ20の動作を説明する。
サーバ20において、通信部22aが中継端末30からパケットを受信すると、パケット処理部22bは、そのパケットから検出したクライアント端末10のIPアドレス(IPclient)と、中継端末30のIPアドレス(IPproxy)と、カウント値とを関連付けてパケット情報記憶部24に格納する。カウント値の初期値は0であり、同一のIPclient、IPproxyが記録されたパケットが受信されるとカウント値が1ずつ増加する。また、攻撃検知部22cは所定時間以内に受信されたパケットの数をカウントし、サーバ20へのトラヒックを監視する(ステップS200)。
続いて、攻撃検知部22cは、トラヒック(カウントしたパケットの数)が所定の閾値を超えているか否かを判定することによって、DDoS攻撃の有無を検知する(ステップS205)。トラヒックが所定の閾値を超えていない場合、DDoS攻撃は発生していないと判定され、処理がステップS200に戻る。また、トラヒックが所定の閾値を超えている場合、DDoS攻撃が発生していると判定される。この場合、フィルタリングルール決定部25は以下のようにして各中継端末30のフィルタリングルールを決定する。
まず、フィルタリングルール決定部25は、パケット情報記憶部24に格納されている情報に基づいて、中継端末30毎に単位時間当たりの攻撃パケット数を集計する。上述したように、パケット情報記憶部24には、クライアント端末10のIPアドレス(IPclient)と、中継端末30のIPアドレス(IPproxy)と、カウント値とを関連付けた情報が保存されている。フィルタリングルール決定部25は、同一のIPproxyを有する情報の各カウント値を合計することによって、中継端末30毎の単位時間当たりの攻撃パケット数を集計する(ステップS210)。
続いて、フィルタリングルール決定部25は、フィルタリングルールを決定する対象とする未選択の1つの中継端末30を選択する(ステップS215)。フィルタリングルール決定部25は、選択した中継端末30の攻撃パケット数(ステップS210で集計した数)に基づいて、その中継端末30で攻撃パケットが受信されたか否かを判定する(ステップS220)。攻撃パケットが受信されていない場合(ステップS210で集計した数が0の場合)、フィルタリングルール決定部25は、対象の中継端末30に関しては、フィルタリングルールを追加しないと決定する(ステップS265)。続いて、処理はステップS250へ進む。
一方、選択した中継端末30で攻撃パケットが受信された場合(ステップS210で集計した数が1以上の場合)、フィルタリングルール決定部25は、選択した中継端末30で単位時間内に受信された攻撃パケットの送信元のIPアドレスの種類数をカウントする。すなわち、フィルタリングルール決定部25は、選択した中継端末30のIPアドレス(IPproxy)と関連付けられているクライアント端末10のIPアドレス(IPclient)の種類数をカウントする。そして、フィルタリングルール決定部25は、カウントした数(送信元IPアドレス数)が、中継端末30で設定可能なフィルタリングルール数(N_max)を超えているか否かを判定する(ステップS230)。説明を簡単にするため、各中継端末30で設定可能なフィルタリングルール数(N_max)は一定値であるものとする。
送信元IPアドレス数がN_max以下である場合、フィルタリングルール決定部25は、攻撃パケットの送信元のIPアドレス、すなわち、選択した中継端末30のIPアドレス(IPproxy)と関連付けられている全クライアント端末10のIPアドレス(IPclient)を個別に指定してパケットを廃棄するフィルタリングルールを生成する(ステップS260)。続いて、処理はステップS245へ進む。
一方、送信元IPアドレス数がN_maxを超えている場合、フィルタリングルール決定部25は、選択した中継端末30のIPアドレス(IPproxy)と関連付けられているクライアント端末10のIPアドレス(IPclient)毎にカウント値をソートする。そして、フィルタリングルール決定部25は、カウント値の多い方から上位N_max個のカウント値を合計し、合計値が、選択した中継端末30における単位時間当たりの攻撃パケット数(ステップS210で集計した値)に占める割合を算出する。さらに、フィルタリングルール決定部25は、その割合が所定の割合Rを超えているか否かを判定する(ステップS235)。
算出した割合が所定の割合R以下である場合、フィルタリングルール決定部25は、上位N_max個のカウント値と関連付けられているクライアント端末10のIPアドレス(IPclient)を個別に指定してパケットを廃棄するフィルタリングルールを生成する(ステップS255)。続いて、処理はステップS245へ進む。
一方、算出した割合が所定の割合Rを超えている場合、フィルタリングルール決定部25は、送信元のIPアドレスは指定せずに、宛先のIPアドレス(サーバ20の仮想IPアドレス(IPvirtual))、プロトコル種別、ポート番号等を個別に指定してパケットを廃棄するフィルタリングルールを生成する(ステップS240)。続いて、フィルタリングルール決定部25は、選択した中継端末30に対して、上記により決定したフィルタリングルールとタイムアウト時間の情報を含むパケットを送信する(ステップS245)。タイムアウト時間は、フィルタリングルールの適用を開始してからその適用を終了するまでの時間である。
続いて、フィルタリングルール決定部25は、全ての中継端末30についてフィルタリングルールを決定したか否かを判定する(ステップS250)。フィルタリングルールを決定していない中継端末30がある場合、ステップS215に戻って上記の処理が繰り返される。また、全ての中継端末30についてフィルタリングルールを決定した場合、処理はステップS200に戻る。
上記の処理により、攻撃パケットを中継した中継端末30のフィルタリングルールが決定される。上記を簡単にまとめると、送信元IPアドレス数が少ない場合には、送信元IPアドレスを個別に指定してパケットを破棄するフィルタリングルールが生成される(ステップS260)。また、送信元IPアドレス数が多く、かつカウント値の上位N_max個の送信元からのトラヒックの割合が小さい場合には、カウント値の上位N_max個の送信元IPアドレスを個別に指定してパケットを破棄するフィルタリングルールが生成される(ステップS255)。また、送信元IPアドレス数が多く、かつカウント値の上位N_max個の送信元からのトラヒックの割合が大きい場合には、送信元IPアドレスとは無関係に宛先IPアドレス等を個別に指定してパケットを破棄するフィルタリングルールが生成される(ステップS240)。
一方、中継端末30は以下のようにしてフィルタリングを行う。図6はこのときの中継端末30の動作を示している。以下、図6を参照しながら中継端末30の動作を説明する。
中継端末30において、フィルタリングルール管理部33は、サーバ20から送信された、フィルタリングルールとタイムアウト時間の情報を含むパケットを受信する(ステップS300)。続いて、フィルタリングルール管理部33は、受信したパケットに含まれるフィルタリングルールの情報に基づいて、フィルタリング部31dにフィルタリングルールの設定を行うと共に、時間の計測を開始する(ステップS305。フィルタリング部31dは、設定に従って、通信部31bで受信されたパケットの通過/破棄を判定し、パケットのフィルタリングを行う。破棄すると判定されたパケットは、フィルタリング部31dによって破棄される(ステップS310)。
続いて、フィルタリングルール管理部33は、サーバ20から受信されたパケットに含まれるタイムアウト時間の情報に基づいて、タイムアウト時間が経過したか否かを判定する(ステップS315)。タイムアウト時間が経過していない場合、処理はステップS310に戻り、フィルタリングが継続される。また、タイムアウト時間が経過した場合、フィルタリングルール管理部33は、サーバ20から通知されたフィルタリングルールの情報を削除すると共に、フィルタリング部31dの設定を解除する(ステップS320)。続いて、処理はステップS300に戻る。
上述したように、本実施形態によれば、サーバ20に割り当てられた仮想IPアドレスへの経路が中継端末30への経路であることがネットワーク上に広報されるので、サーバ20の仮想IPアドレスを宛先とするパケットは中継端末30によって受信される。このパケットは、中継端末30によって、サーバ20の実IPアドレスを宛先とするパケットに変換されてサーバ20へ送信される。このように、クライアント端末10からサーバ20へ送信されるパケットは必ず中継端末30を経由するので、この中継端末30においてパケットのフィルタリングを行うことによって、ネットワーク上で効率的にパケットの廃棄を行うことができる。
前述したように、DDoS攻撃によるネットワーク帯域の浪費を防ぐためには、極力、攻撃元に近い装置でパケットの廃棄を行うことが望ましい。本実施形態によれば、攻撃ホストとなっているクライアント端末10に最も近い中継端末30で効率的にパケットを廃棄することができるので、ネットワーク帯域の浪費を最小限に抑えることができる。
また、トンネル毎(中継端末30毎)にパケット数をカウントし、トンネル毎にフィルタリングを行うことによって、攻撃パケットの含まれる割合の高いトンネルについてのみ選択的にトラヒックを削減することが可能となる。これによって、攻撃以外のトラヒックへの影響を最小限にしつつ、攻撃の影響を緩和することができる。
また、送信元のクライアント端末10毎にパケット数をカウントし、クライアント端末10のIPアドレスを個別に指定してフィルタリングを行うことによって、中継端末30において攻撃のトラヒックと攻撃以外のトラヒックとを分離し、より柔軟なパケット廃棄を行うことができる。攻撃ホストの数が多くない場合には、このような柔軟なパケット廃棄が可能であるが、攻撃ホストの数が多い場合には、中継端末30で個別に送信元のIPアドレスを指定したフィルタリングを行うことが困難となる場合がある。
したがって、中継端末30の数はできるだけ多い方が、攻撃への耐性がより高まる。中継端末30の数が十分に多い場合、個々の中継端末30が担当するクライアント端末10の数が小さくなるため、中継端末30において、クライアント端末10のIPアドレスを個別に指定して攻撃パケットのみを選択的に廃棄することができる。
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成は上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。
10・・・クライアント端末(外部端末)、20・・・サーバ(通信端末)、21・・・サーバアプリケーション、22・・・トンネル通信部、22a・・・通信部(第2のパケット受信手段)、22b・・・パケット処理部(カウント手段)、22c・・・攻撃検知部、23・・・経路記憶部、24・・・パケット情報記憶部、25・・・フィルタリングルール決定部(決定手段、指示送信手段)、30・・・中継端末、31・・・パケット中継部、31a・・・経路制御部、31b・・・通信部(第1のパケット受信手段、パケット送信手段)、31c・・・パケット処理部(変換手段)、31d・・・フィルタリング部(フィルタリング手段)、32・・・中継情報記憶部、33・・・フィルタリングルール管理部(指示受信手段)

Claims (5)

  1. 外部端末から通信端末へ送信されるパケットを中継する1台以上の中継端末と、1台以上の前記通信端末とを備えた通信システムであって、
    前記中継端末は、
    前記通信端末に割り当てられた仮想IPアドレスへの経路が前記中継端末への経路であることをネットワーク上に広報する広報手段と、
    前記外部端末のIPアドレスを送信元とし、前記通信端末の仮想IPアドレスを宛先とする第1のパケットを受信する第1のパケット受信手段と、
    前記中継端末のIPアドレスを送信元とし、前記通信端末の実IPアドレスを宛先とする第2のパケットに前記第1のパケットを変換する変換手段と、
    前記第2のパケットを送信するパケット送信手段と、
    パケットをフィルタリングする指示を前記通信端末から受信する指示受信手段と、
    受信された前記指示に基づいて前記第1のパケットをフィルタリングするフィルタリング手段と、
    を備え、
    前記通信端末は、
    前記第2のパケットを受信する第2のパケット受信手段と、
    各々の前記中継端末からの前記第2のパケットの数をカウントするカウント手段と、
    前記中継端末毎にカウントされた前記第2のパケットの数に基づいて、前記指示を送信する前記中継端末を決定する決定手段と、
    前記決定手段によって決定された前記中継端末へ前記指示を送信する指示送信手段と、
    を備えたことを特徴とする通信システム。
  2. 前記第2のパケットは、前記外部端末のIPアドレスを含み、
    前記指示は、前記外部端末毎にパケットをフィルタリングするルールを含んでおり、
    前記フィルタリング手段は、受信された前記指示に含まれる前記ルールに基づいて前記第1のパケットをフィルタリングし、
    前記カウント手段は、各々の前記中継端末からの前記第2のパケットの数をカウントすると共に各々の前記外部端末からの前記第2のパケットの数をカウントし、
    前記決定手段は、前記中継端末毎にカウントされた前記第2のパケットの数に基づいて、前記指示を送信する前記中継端末を決定すると共に、前記外部端末毎にカウントされた前記第2のパケットの数に基づいて前記ルールを決定する
    ことを特徴とする請求項1に記載の通信システム。
  3. 前記フィルタリング手段は、フィルタリングの開始から所定時間が経過したとき、フィルタリングを終了することを特徴とする請求項1または請求項2に記載の通信システム。
  4. 複数台の前記中継端末を備えたことを特徴とする請求項1〜請求項3のいずれかに記載の通信システム。
  5. 外部端末から通信端末へ送信されるパケットを中継する1台以上の中継端末と、1台以上の前記通信端末とが行う通信の方法であって、
    前記中継端末は、
    前記通信端末に割り当てられた仮想IPアドレスへの経路が前記中継端末への経路であることをネットワーク上に広報する処理と、
    前記外部端末のIPアドレスを送信元とし、前記通信端末の仮想IPアドレスを宛先とする第1のパケットを受信する処理と、
    前記中継端末のIPアドレスを送信元とし、前記通信端末の実IPアドレスを宛先とする第2のパケットに前記第1のパケットを変換する処理と、
    前記第2のパケットを送信する処理と、
    パケットをフィルタリングする指示を前記通信端末から受信する処理と、
    受信された前記指示に基づいて前記第1のパケットをフィルタリングする処理と、
    を実行し、
    前記通信端末は、
    前記第2のパケットを受信する処理と、
    各々の前記中継端末からの前記第2のパケットの数をカウントする処理と、
    前記中継端末毎にカウントされた前記第2のパケットの数に基づいて、前記指示を送信する前記中継端末を決定する処理と、
    決定された前記中継端末へ前記指示を送信する処理と、
    を実行することを特徴とする通信方法。
JP2009034231A 2009-02-17 2009-02-17 通信システムおよび通信方法 Expired - Fee Related JP5178573B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009034231A JP5178573B2 (ja) 2009-02-17 2009-02-17 通信システムおよび通信方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009034231A JP5178573B2 (ja) 2009-02-17 2009-02-17 通信システムおよび通信方法

Publications (2)

Publication Number Publication Date
JP2010193083A JP2010193083A (ja) 2010-09-02
JP5178573B2 true JP5178573B2 (ja) 2013-04-10

Family

ID=42818665

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009034231A Expired - Fee Related JP5178573B2 (ja) 2009-02-17 2009-02-17 通信システムおよび通信方法

Country Status (1)

Country Link
JP (1) JP5178573B2 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8966622B2 (en) * 2010-12-29 2015-02-24 Amazon Technologies, Inc. Techniques for protecting against denial of service attacks near the source
US9385990B2 (en) * 2011-11-30 2016-07-05 Murata Machinery, Ltd. Relay server and relay communication system
JP5870009B2 (ja) * 2012-02-20 2016-02-24 アラクサラネットワークス株式会社 ネットワークシステム、ネットワーク中継方法及び装置
JPWO2016170664A1 (ja) * 2015-04-24 2017-12-28 株式会社日立製作所 異常パケットフィルタリング装置、及び、異常パケットフィルタリング方法
JP6652525B2 (ja) * 2017-06-15 2020-02-26 日本電信電話株式会社 ブラックリスト設定装置、ブラックリスト設定方法及びブラックリスト設定プログラム
CN118174970B (zh) * 2024-05-15 2024-08-09 环球数科集团有限公司 一种用于防止DDoS攻击的分布式网关设计系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3928866B2 (ja) * 2003-04-18 2007-06-13 日本電信電話株式会社 DoS攻撃元検出方法、DoS攻撃阻止方法、セッション制御装置、ルータ制御装置、プログラムおよびその記録媒体
JP4421462B2 (ja) * 2004-12-06 2010-02-24 三菱電機株式会社 不正侵入検知システムおよび管理装置
JP4654092B2 (ja) * 2005-08-25 2011-03-16 日本電信電話株式会社 Sipサーバにおける攻撃防御方法、システム及びプログラム

Also Published As

Publication number Publication date
JP2010193083A (ja) 2010-09-02

Similar Documents

Publication Publication Date Title
US10931711B2 (en) System of defending against HTTP DDoS attack based on SDN and method thereof
US9258323B1 (en) Distributed filtering for networks
Ioannidis et al. Implementing pushback: Router-based defense against DDoS attacks
CN108040057B (zh) 适于保障网络安全、网络通信质量的sdn系统的工作方法
US10798060B2 (en) Network attack defense policy sending method and apparatus, and network attack defending method and apparatus
CN113132342B (zh) 方法、网络装置、隧道入口点装置及存储介质
JP4634320B2 (ja) 対異常通信防御を行うための装置とネットワークシステム
Yaar et al. SIFF: A stateless Internet flow filter to mitigate DDoS flooding attacks
US6973040B1 (en) Method of maintaining lists of network characteristics
US7898966B1 (en) Discard interface for diffusing network attacks
US7818795B1 (en) Per-port protection against denial-of-service and distributed denial-of-service attacks
US20060191003A1 (en) Method of improving security performance in stateful inspection of TCP connections
US20130259052A1 (en) Communication system, forwarding node, received packet process method, and program
US7302705B1 (en) Method and apparatus for tracing a denial-of-service attack back to its source
JP2011160041A (ja) フロントエンドシステム、フロントエンド処理方法
JP5178573B2 (ja) 通信システムおよび通信方法
CN1906905B (zh) 拒绝服务攻击防御系统、拒绝服务攻击防御方法
CN113037731B (zh) 基于sdn架构和蜜网的网络流量控制方法及系统
Sen A robust mechanism for defending distributed denial of service attacks on web servers
Nur et al. Single packet AS traceback against DoS attacks
CN106059939B (zh) 一种报文转发方法及装置
KR101060615B1 (ko) 올아이피네트워크 환경의 공격 탐지 및 추적 시스템 및 방법
Chen et al. MAFIC: adaptive packet dropping for cutting malicious flows to push back DDoS attacks
Beitollahi et al. A four-steptechnique fortackling ddos attacks
JP4326423B2 (ja) 管理装置および不正アクセス防御システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110912

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20110913

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120824

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120925

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20121121

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20121122

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121211

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130108

LAPS Cancellation because of no payment of annual fees