JP5222096B2 - 無線通信装置および無線通信方法 - Google Patents
無線通信装置および無線通信方法 Download PDFInfo
- Publication number
- JP5222096B2 JP5222096B2 JP2008280526A JP2008280526A JP5222096B2 JP 5222096 B2 JP5222096 B2 JP 5222096B2 JP 2008280526 A JP2008280526 A JP 2008280526A JP 2008280526 A JP2008280526 A JP 2008280526A JP 5222096 B2 JP5222096 B2 JP 5222096B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- resource
- unit
- wireless communication
- syn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、通信網を介して通信を行い、サーバとして機能する無線通信装置および無線通信方法に関する。
昨今、携帯電話やPHS(Personal Handy-phone System)、PDA(Personal Digital Assistant)など、様々な無線通信装置が提供されている。これらの無線通信装置は、基地局やルータと無線通信を行うことでインターネットに接続し、各サーバからメール、HTML文書、映像・音楽ファイルの送受信を含む様々なサービスを受けることができる。この無線通信装置における無線通信の速度は年々高速化して、大容量の情報の送受信が可能となり、また、情報処理速度の向上を通じて、実行できるアプリケーションの種類が増えてきた。これは、無線通信装置が、PC(Personal Computer)に近しい機能を提供するようになってきていることを表している。このような技術の流れから、近い将来、無線通信装置をサーバとして機能させるサービスが提供されることが予想される。
ところで、サーバがクライアントと通信を行う際、TCP/IP(Transmission Control Protocol/Internet Protocol)においてはスリーハンドシェイクが実行される。スリーハンドシェイクとは、クライアントがサーバに対して接続要求であるSYN(synchronization)パケットを送信すると、そのSYNパケットを受信したサーバが確認応答であるSYN/ACK(ACKnowledgement)パケットを返信し、さらにそのSYN/ACKパケットに対して、クライアントがACKパケットを返信することで接続を確立する手順である。このときサーバは、クライアントからSYNパケットを受信すると、そのクライアントに対応するソケットを生成してクライアントとの送受信に備える。
ソケットとは、TCP/IPを用いた通信を行うための仮想的なインターフェースである。ここで、DHCP(Dynamic Host Configuration Protocol)サーバに割り当てられたIPアドレスと、その補助アドレスであるポート番号の組み合わせ1組につき1つのソケットが生成可能である。サーバはこのソケットを用いてクライアントとの通信を行う。1つのIPアドレスで使用できるポート番号は有限であり通常65536個用意されている。すなわちソケットも1つのIPアドレスに対して有限となる。サーバはSYNパケットを受信すると、生成したソケットをクライアントからのACKパケットが無くともタイムアウトになるまで確保する。そのため、短時間に大量のSYNパケットを受信すると、ソケットを生成するリソース(ポート、メモリ領域、処理能力等)が枯渇し、新たにソケットを生成できず通信機能が麻痺してしまう。これがSYNフラッド攻撃である。
その防衛策として、サーバは、SYNパケットを受信してもそのコネクション識別子を記憶せず、サーバから改めてSYNパケットを送信し、そのSYNパケットに対する返信としてSYN/ACKパケットをクライアントから受信して初めてコネクション識別子を記憶する技術が公開されている(例えば特許文献1)。サーバが受信したSYNパケットに記載された偽装IPアドレスにSYNパケットを送信しても、偽装IPアドレスのため、クライアントは受信を検知できずSYN/ACKパケットを返信しない。サーバは無駄なコネクション識別子を記憶せずに、メモリのリソースの浪費を回避できる。
特開2006−42156号公報
しかし、上述の防衛策を用いたとしても、SYNフラッド攻撃を受けると、受信したSYNパケットに応じてSYNパケットを返信するためにソケットを生成しなければならない。コネクション識別子を記憶するメモリの浪費は回避できるが、ソケット生成のためのポート番号、処理能力を割り当てなければならず、短時間に大量のSYNパケットを受信するとサーバとしての機能は麻痺してしまう。
特に、無線通信装置は機能面でPCに近づいたとはいえ、それよりも処理速度や通信速度が低い可能性があるため、無線通信装置は、サーバとして機能させるにはこの攻撃に対する耐性が低く、攻撃を受けると比較的早くダウンしてしまうおそれがある。また、無線通信装置に、従来のサーバ用の高度な対策ソフトをインストールすることは処理速度およびコスト面で敷居が高い。
そこで、本発明は、このような問題に鑑み、SYNフラッド攻撃を受けたとき当該無線通信装置のサーバとしての機能が麻痺するのを回避することが可能な無線通信装置および無線通信方法を提供することを目的とする。
上記課題を解決するために、本発明の代表的な構成は、TCP/IPを用いて通信網に接続可能な無線通信装置において、他の機器からの要求に対して通信網を介して任意のデータを提供するデータ管理部と、他の機器からのSYNパケットの受信を行うパケット受信部と、他の機器からSYNパケットを受信するとソケットを生成し、ソケットにリソースを割り当てるリソース割当部と、リソースが割り当てられるとSYNパケットに記載されている送信元IPアドレスに対してSYN/ACKパケットを送信するパケット送信部と、他の機器から不正なアクセスが行われているか否かを判断する不正判断部と、不正判断部によって不正なアクセスが行われていると判断されると、当該無線通信装置内のリソースの空きを確保するリソース確保部と、を備えることを特徴とする。
当該無線通信装置におけるリソースの割当頻度を測定するリソース測定部をさらに備え、不正判断部は、割当頻度が所定値を超えると不正なアクセスが行われていると判断してもよい。
SYN/ACKパケットを送信してから第1所定時間を経過しても、他の機器からのSYN/ACKパケットを受信完了していない場合、他の機器に対してpingコマンドによるpingパケットを送信するpingコマンド部をさらに備え、不正判断部は、pingパケットを送信してから第2所定時間を経過しても、pingパケットに対する応答が無いと、不正なアクセスが行われていると判断してもよい。
リソース確保部は、不正判断部によって不正なアクセスが行われていると判断されると、不正なアクセスが行われていると判断されたソケットを解放してもよい。
リソース確保部は、不正判断部によって不正なアクセスが行われていると判断されると、リソース割当部の機能を停止させてもよい。
リソース確保部は、不正判断部によって不正なアクセスが行われていると判断されると、パケット送受信に用いられるポートを閉じてもよい。
リソース確保部は、不正判断部によって不正なアクセスが行われていると判断されると、IPアドレスを再取得してもよい。
SYN/ACKパケットを送信してから第3所定時間を経過しても、他の機器からSYN/ACKパケットを受信しないと、ソケットを解放する通信解放部をさらに備えてもよい。
TCP/IPを用いて通信網に接続可能な無線通信装置を用いて無線通信を実行する無線通信方法において、他の機器からの要求に対して通信網を介して任意のデータを提供し、他の機器からのSYNパケットの受信を行い、他の機器からSYNパケットを受信するとソケットを生成し、ソケットにリソースを割り当て、リソースが割り当てられるとSYNパケットに記載されている送信元IPアドレスに対してSYN/ACKパケットを送信し、他の機器から不正なアクセスが行われているか否かを判断し、不正なアクセスが行われていると判断されると、当該無線通信装置内のリソースの空きを確保する。
上述した無線通信装置の技術的思想に基づく構成要素やその説明は、当該無線通信方法にも適用可能である。
以上説明したように本発明の無線通信装置によれば、SYNフラッド攻撃を受けたとき当該無線通信装置のサーバとしての機能が麻痺するのを回避することが可能となる。
以下に添付図面を参照しながら、本発明の好適な実施形態について詳細に説明する。かかる実施形態に示す寸法、材料、その他具体的な数値などは、発明の理解を容易とするための例示にすぎず、特に断る場合を除き、本発明を限定するものではない。なお、本明細書及び図面において、実質的に同一の機能、構成を有する要素については、同一の符号を付することにより重複説明を省略し、また本発明に直接関係のない要素は図示を省略する。
無線通信装置における無線通信の速度は、年々高速化して大容量の情報の送受信が可能となり、また、無線通信装置自体の情報処理速度が向上し、実行できるアプリケーションの種類が増えてきた。従って、無線通信装置は、PCに近しい機能を提供することが可能となってきている。このような技術の流れから、無線通信装置をサーバとして機能させるサービスが提供されることが予想される。以下に、このような無線通信装置をサーバとして用いる無線通信システムを説明する。
(無線通信システム100)
図1は、無線通信システムの概略的な構成を説明するための概略図である。無線通信システム100は、サーバとして機能する携帯端末110と、端末装置112と、基地局120と、ISDN(Integrated Services Digital Network)回線、インターネット、専用回線等で構成される通信網130と、DHCPサーバ140と、DDNS(Dynamic Domain Name System)サーバ150とを含んで構成される。
図1は、無線通信システムの概略的な構成を説明するための概略図である。無線通信システム100は、サーバとして機能する携帯端末110と、端末装置112と、基地局120と、ISDN(Integrated Services Digital Network)回線、インターネット、専用回線等で構成される通信網130と、DHCPサーバ140と、DDNS(Dynamic Domain Name System)サーバ150とを含んで構成される。
ここでは、無線通信装置として携帯端末110を、他の機器として端末装置112を挙げて説明する。本実施形態では、かかる携帯端末110として携帯電話を、端末装置112としてPCを挙げているが、かかる場合に限られず、PHS端末、ノート型パーソナルコンピュータ、PDA(Personal Digital Assistant)、デジタルカメラ、音楽プレイヤー、カーナビゲーション、ポータブルテレビ、ゲーム機器、DVDプレイヤー、リモートコントローラ、ICカード等の無線通信可能な様々な電子機器を携帯端末110および端末装置112として適用することができる。
上記無線通信システム100において、携帯端末110は、サーバとして機能するために、通信可能範囲内にある基地局120に無線接続要求を行う。無線接続要求を受信した基地局120は、通信網130を介して、TCP/IPを用いてDHCPサーバ140にIPアドレスの割当要求を行い、割り当てられたIPアドレスを携帯端末110に通知する。
IPアドレスを割り当てられた携帯端末110は、DDNSサーバ150に対して、初めてサーバとして機能するときはドメイン名と割り当てられたIPアドレスとを関連付けて登録する。既にドメイン名を登録済みの場合は、当該接続で割り当てられたIPアドレスを用いて、登録済みのドメイン名に関連付けられたIPアドレスを更新する。本実施形態において、携帯端末110はWebサーバとして機能し、Webサイトを提供する。
端末装置112が、携帯端末110がサーバとして提供するWebサイトにアクセスする場合、端末装置112は、通信可能範囲内にある基地局120に無線接続要求を行う。無線接続要求を受信した基地局120は、通信網130を介してDHCPサーバ140にIPアドレスの割当要求を行い、割り当てられたIPアドレスを端末装置112に通知する。端末装置112は、IPアドレスが割り当てられると、DDNSサーバ150に対して目的のWebサイトのドメイン名に対応するIPアドレスを要求し、取得したIPアドレスに対して接続要求を行い、後述する構成要素を通じたスリーハンドシェイクで接続を確立する。
このスリーハンドシェイクにおいて、悪意のある端末装置112が自装置のIPアドレスを偽装して短時間に大量のSYNパケットを送りつける、所謂SYNフラッド攻撃に対して、PCより処理速度や通信速度が劣る携帯端末110ではすぐにサーバとしての機能が麻痺してしまう。
そこで、本実施形態は、SYNフラッド攻撃を受けたとき当該携帯端末110のサーバとしての機能が麻痺するのを回避することを目的としている。以下、無線通信システム100の第1の実施形態にかかるにおける携帯端末110の特徴を説明し、携帯端末110を用いた無線通信方法を説明する。さらにその後、一部の構成要素を変形した第2の実施形態にかかる携帯端末400の特徴を説明し、携帯端末400を用いた無線通信方法を説明する。
(第1の実施形態:携帯端末110)
図2は、第1の実施形態にかかる携帯端末のハードウェア構成を示したブロック図であり、図3は、第1の実施形態にかかる携帯端末の外観を例示した斜視図である。携帯端末110は、端末制御部210と、端末メモリ212と、表示部214と、操作部216と、音声入力部218と、音声出力部220と、無線通信部222とを含んで構成される。
図2は、第1の実施形態にかかる携帯端末のハードウェア構成を示したブロック図であり、図3は、第1の実施形態にかかる携帯端末の外観を例示した斜視図である。携帯端末110は、端末制御部210と、端末メモリ212と、表示部214と、操作部216と、音声入力部218と、音声出力部220と、無線通信部222とを含んで構成される。
端末制御部210は、中央処理装置(CPU)を含む半導体集積回路により携帯端末110全体を管理および制御し、端末メモリ212のプログラムを用いて、通話機能、メール送受信機能、撮像機能、音楽再生機能、TV視聴機能も遂行する。端末メモリ212は、ROM、RAM、EEPROM、不揮発性RAM、フラッシュメモリ、HDD等で構成され、端末制御部210で処理されるプログラムや通信データ等を記憶する。
表示部214は、液晶ディスプレイ、EL(Electro Luminescence)ディスプレイ等で構成され、端末メモリ212に記憶された、または通信網130を介してアプリケーションサーバ(図示せず)から提供されるアプリケーションデータ、他のWebサーバから提供される、Webコンテンツ、アプリケーションのGUI(Graphical User Interface)等を表示することができる。操作部216は、キーボード、十字キー、ジョイスティック等の可動スイッチで構成され、ユーザの操作入力を受け付ける。
音声入力部218は、マイク等の音声認識手段で構成され、通話時に入力されたユーザの音声を携帯端末110内で処理可能な電気信号に変換する。音声出力部220は、スピーカで構成され、携帯端末110で受信した通話相手の音声信号を音声に変えて出力する。また、音声出力部220は、着信音や、操作部216の操作音、アラーム音等も出力できる。
無線通信部222は、基地局120との無線通信を行う。このような無線通信としては、ARIB STD T95やPHS MoUやA−GN4.00−01−TSの他に、CDMA(Code Division Multiple Access)、WiMAX(Worldwide Interoperability for Microwave Access))、LTE(Long Term Evolution)、WLAN(Wireless Local Area Network)等様々な通信方式を適用することができる。また、後述するパケット送信部256およびパケット受信部252は、無線通信部222を介してTCP/IPを用いた通信におけるパケットの送受信を行う。
また、端末制御部210は、データ管理部250と、パケット受信部252と、リソース割当部254と、パケット送信部256と、不正判断部258と、リソース確保部260と、リソース測定部262と、通信解放部264としても機能する。
データ管理部250は、通信網130を介して接続されたクライアントとしての端末装置112に対し、様々なデータを提供するサーバとして機能する。本実施形態において、データ管理部250は、例えば、WebサーバとしてWebサイトを提供するためのデータを管理する。例えば、端末装置112からアクセスがあり、後述する構成要素を通じたスリーハンドシェイクによって接続が確立すると、データ管理部250は、端末装置112から受信したパケットに記載されている、当該WebサイトのWebコンテンツのパスに対応したHTML文書、映像・音楽ファイル等をパケットにし、端末装置112に送信する。
パケット受信部252は、端末装置112とTCP/IPを用いた通信におけるパケットを、無線通信部222を介して受信する。また、パケット受信部252は、端末装置112との通信の開始時に、接続要求であるSYNパケットの受信を行う。
リソース割当部254は、パケット受信部252が受信したSYNパケットに関連付けて、そのSYNパケットを送信した端末装置112との通信用にソケットを生成し、そのソケットにリソースを割り当てる。ここで、ソケットとは、TCP/IPを用いた通信を行うための仮想的なインターフェースである。DHCPサーバ140に割り当てられたIPアドレスと、その補助アドレスであるポート番号の組み合わせ1組につき1つのソケットが生成可能である。携帯端末110はこのソケットを用いて端末装置112との通信を行う。1つのIPアドレスで使用できるポート番号は有限であり通常65536個用意されている。すなわちソケットも1つのIPアドレスに対して有限となる。リソースとは、目的を達するために必要となる要素を意味し、ここで、ソケットを生成するためのリソースには、ポート番号、メモリ領域、処理能力等が含まれる。
パケット送信部256は、リソース割当部254がソケットを生成しリソースを割り当てると、そのソケットを用いて、パケット受信部252が受信したSYNパケットに記載されている送信元IPアドレスに対してSYN/ACKパケットを送信する。このSYN/ACKパケットは、SYNパケットを送信した端末装置112に対する接続許可応答であり、さらに、当該携帯端末110から端末装置112に対する接続要求でもある。
不正判断部258は、端末装置112から不正なアクセスが行われているか否かを判断する。本実施形態において、不正判断部258は、後述するリソース測定部262が測定した割当頻度が、所定値を超えると不正なアクセスが行われていると判断する。
リソース確保部260は、不正判断部258によって不正なアクセスが行われていると判断されると、当該携帯端末110内のリソースの空きを確保する。TCP/IPにおいてはSYNパケットを受信すると、ソケットを生成しSYN/ACKパケットを送信する。本実施形態では、そのアクセスが不正なアクセスであるか否かが判断され、当該携帯端末110のサーバとしての機能が麻痺する前に、必要なリソースが確保される。かかる構成により、リソースの枯渇によるフリーズやクラッシュ等の致命的な障害の発生を回避できる。
本実施形態において、リソース確保部260は、不正判断部258によって不正なアクセスが行われていると判断されると、リソース割当部254の機能を停止させる。
すなわち、リソース割当部254がソケットの生成を停止することで、新規の接続の確立を一時的に停止しリソースを確保しておく。かかる構成により、SYNフラッド攻撃によるOSやアプリケーションのフリーズ、クラッシュ、およびそれに伴うデータの欠落といった致命的な障害を回避することができる。
また、リソース確保部260は、不正判断部258によって不正なアクセスが行われていると判断されると、リソース割当部254の機能を停止させる代わりに、パケット送受信に用いられるポートを閉じてもよい。ポートを閉じることで、そのポートを使用した通信を一時的に遮断し割り当てていたリソースを解放する。かかる構成により、ソケットの生成を停止する場合と同様、SYNフラッド攻撃によるOSやアプリケーションがフリーズ、クラッシュし、また、それに伴うデータの欠落といった致命的な障害を回避することができる。ここで、ポートを閉じるとは、特定のプロトコルのために用意されたポート番号を用いた通信の受付を停止することを言う。例えば、本実施形態においては、Webサーバとして機能するため、その通信で用いる例えばHTTP(HyperText Transfer Protocol)を用いた通信専用のポート番号「80」を閉じることで、通信を遮断する。
さらに、リソース確保部260は、不正判断部258によって不正なアクセスが行われていると判断されると、IPアドレスを再取得してもよい。本実施形態において、IPアドレスの再取得は、PPP(Point to Point Protocol)接続を一旦切断し、再接続を行うことで実現するが、かかる方法に限られず、例えば、DHCPサーバ140に対して、再取得の要求を行ってもよい。
かかる構成により、リソース確保部260は、SYNフラッド攻撃の対象とされたIPアドレスを破棄し、攻撃を行っているクライアントには知られていない、再取得したIPアドレスを用いて通信を行いサーバとしての機能を継続することができる。
リソース測定部262は、当該携帯端末110におけるリソースの割当頻度を測定する。ここで、割当頻度とは、所定の時間内にSYNパケットを受信した回数、すなわち、そのSYNパケットに応じて生成したソケットに対して、リソースを割り当てた回数とする。
図4は、第1の実施形態にかかるリソース測定部によるリソースの割当頻度の測定を説明した説明図である。特に、図4(a)は、リソースの割当頻度の測定を説明した説明図であり、図4(b)は、リソースの割当頻度に加えて、SYN/ACKパケットに対するACパケットの受信頻度の測定を説明した説明図であり、図4(c)は、リソースの割当頻度に加えて、リソースの解放頻度の測定を説明した説明図である。ここで、○印は、SYNパケットを受信したタイミングを、△印は、SYN/ACKパケットに対するACKパケットを受信したタイミングを、×印は、FIN(Finish)パケットの受信に応じてそのリソースを解放するタイミングをそれぞれ示す。
図4(a)において、例えば、時刻Aの時点では、直前の所定の時間内に2回、SYNパケットを受信しリソースを割り当てている。これをリソースの割当頻度とする。その後も同様に、常時、リソースの割当頻度を測定し、SYNフラッド攻撃を受けると、時刻Bの時点で、リソースの割当頻度が10回となる。本実施形態において例えば、所定値を6回とすると、時刻Bでは、割当頻度が所定値を超えているため、不正判断部258は、不正なアクセスを受けていると判断する。
また、図4(b)で示すように、リソース測定部262は、所定の時間内にSYN/ACKパケットに対するACKパケットを受信した回数も考慮して、その受信頻度を測定してもよい。SYN/ACKパケットに対するACKパケットを受信した場合、そのパケットの送信元は実在のIPアドレスを持った端末装置112であり、正規のアクセスが行われていると判断できる。このSYN/ACKパケットに対するACKパケットの受信頻度を、リソースの割当頻度から減算した値と、所定値とを比較することで、不正なアクセスが行われているかの判断をより正確に行うことができる。
さらに、図4(c)で示すように、リソース測定部262は、所定の時間内にソケットを解放しリソースを解放した回数も考慮して、その受信頻度を測定してもよい。FINパケットを受信したり、SYN/ACKに対するACKパケットを受信せず第3所定時間が経過した場合、その通信で用いられてきたソケットは解放され、リソースが解放される。そのFINパケットの受信頻度および第3所定時間の経過に基づくソケットの解放頻度、すなわちリソース解放頻度を、リソースの割当頻度から減算した値が、当該携帯端末110のリソース余力の減少速度をより正確に示すため、この値と所定値を比較することで、リソースの空きを確保するためにリソース確保部260が機能すべきタイミングをより正確に判断することができる。
ただし、SYNフラッド攻撃を受ける場合、SYNパケットは短時間で大量に送信されるため、リソース割当頻度は大きくなる。しかし、第3所定時間が経過するまで、不正なアクセスに応じて生成したリソースが解放されず、解放される可能性があるのは正規のアクセスの任意の解放となるので、リソースの解放頻度はリソース割当頻度に比べて無視できるほど小さくなる。そのため、リソースの割当頻度のみを所定値を比較することで、不正なアクセスが行われているかを判断してもよく、本実施形態においては、この例を用いて説明を行う。
パケット受信部252がSYNパケットを受信し、リソース割当部254がソケットを生成すると、ソケット生成の度にリソースが割り当てらる。特に、SYNフラッド攻撃を受けている場合、パケット受信部252は、短時間に大量のSYNパケットを受信するため、リソースは急激に割り当てられる。不正判断部258は、このリソースの割当頻度(所定の時間内の割当回数)を常に測定し、所定値を越えると不正なアクセスが行われていると判断する。このように、携帯端末110にも搭載可能な、単純で低負荷・低コストな構成により、SYNフラッド攻撃を迅速に検出することができ、当該携帯端末110のサーバとしての機能が麻痺する前に、必要なリソースの空きを確保することが可能となる。
通信解放部264は、パケット送信部256がSYN/ACKパケットを送信してから第3所定時間を経過しても、端末装置112からACKパケットを受信しないと、ソケットを解放する。
かかる構成により、いつまでも、通信環境の悪化などで応答の無い端末装置112との通信のために、ソケットを確保してリソースを占有させてしまい、新規の通信のためのソケットのリソースが不足する事態を回避することができる。
このように、本実施形態の携帯端末110は、リソースの割当頻度を常に計測することで、SYNフラッド攻撃を迅速に検出し、防衛策を講じることで当該携帯端末110のサーバとしての機能が麻痺する前に、必要なリソースの空きを確保することが可能となる。
(無線通信方法)
次に、第1の実施形態にかかる携帯端末110を用いて無線通信を実行する無線通信方法を詳細に説明する。
次に、第1の実施形態にかかる携帯端末110を用いて無線通信を実行する無線通信方法を詳細に説明する。
図5は、第1の実施形態にかかる携帯端末を用いた無線通信方法の処理の流れを示したフローチャートである。ここでは、携帯端末110の説明で記述したように、不正なアクセスの判断にリソースの割当頻度を用いた場合を説明する。
リソース測定部262は、図4で説明したように、所定の時間内にSYNパケットを受信してリソースを割り当てた回数から、リソース割当頻度を測定する(S300)。そして、不正判断部258は、リソースの割当頻度と所定値を比較し(S302)、リソース割当頻度の方が大きい場合(S302YES)、リソース確保部260は、リソース割当部254にリソースの割り当てを停止させ、ソケットの生成を停止する(S304)。また、リソース割当頻度が所定値より小さい場合(S302NO)、引き続きリソース割当頻度の測定(S300)を継続する。
このように、本実施形態にかかる携帯端末110を用いて無線通信を実行する無線通信方法において、リソースの割当頻度を常に測定し、所定値と比較することで、SYNフラッド攻撃を迅速に検出し、防衛策を講じることで当該携帯端末110のサーバとしての機能が麻痺する前に、必要なリソースの空きを確保することが可能となる。
(第2の実施形態)
第1の実施形態において、携帯端末110の不正判断部258は、リソース測定部262が測定した割当頻度によって不正なアクセスの有無を判断した。第2の実施形態では、リソース測定部262の代わりに他の手段を用いて不正なアクセスの有無を判断する携帯端末400について説明し、その後、携帯端末400を用いて無線通信を実行する無線通信方法について説明する。
第1の実施形態において、携帯端末110の不正判断部258は、リソース測定部262が測定した割当頻度によって不正なアクセスの有無を判断した。第2の実施形態では、リソース測定部262の代わりに他の手段を用いて不正なアクセスの有無を判断する携帯端末400について説明し、その後、携帯端末400を用いて無線通信を実行する無線通信方法について説明する。
(携帯端末400)
図6は、第2の実施形態にかかる携帯端末のハードウェア構成を示したブロック図である。携帯端末400は、端末制御部410と、端末メモリ212と、表示部214と、操作部216と、音声入力部218と、音声出力部218と、無線通信部222とを含んで構成される。携帯端末110における構成要素として既に述べた、端末メモリ212と、表示部214と、操作部216と、音声入力部218と、音声出力部218と、無線通信部222とは、実質的に機能が同一なので重複説明を省略し、ここでは、構成が相違する端末制御部410を説明する。
図6は、第2の実施形態にかかる携帯端末のハードウェア構成を示したブロック図である。携帯端末400は、端末制御部410と、端末メモリ212と、表示部214と、操作部216と、音声入力部218と、音声出力部218と、無線通信部222とを含んで構成される。携帯端末110における構成要素として既に述べた、端末メモリ212と、表示部214と、操作部216と、音声入力部218と、音声出力部218と、無線通信部222とは、実質的に機能が同一なので重複説明を省略し、ここでは、構成が相違する端末制御部410を説明する。
端末制御部410は、データ管理部250と、パケット受信部252と、リソース割当部254と、パケット送信部256と、不正判断部458と、リソース確保部460と、pingコマンド部466と、通信解放部264としても機能する。ここでも、携帯端末110ですでに説明したデータ管理部250と、パケット受信部252と、リソース割当部254と、パケット送信部256と、通信解放部264とは省略し、不正判断部458と、リソース確保部460と、pingコマンド部466とを主に説明する。
不正判断部458は、端末装置112から不正なアクセスが行われているか否かを判断する。本実施形態において、不正判断部458は、後述するpingコマンド部466が端末装置112に対して、pingパケットを送信してから第2所定時間を経過しても、pingパケットに対する応答が無いと、不正なアクセスが行われていると判断する。
リソース確保部460は、不正判断部458によって不正なアクセスが行われていると判断されると、不正なアクセスが行われていると判断されたソケットを解放する。
かかる構成により、不正なアクセスに対して割り当てられたソケットのみを迅速に解放することができ、他の通信に対して影響を与えずに、SYNフラッド攻撃等でIPアドレスを偽装した不正なアクセスのみを遮断することが可能となる。
pingコマンド部466は、SYN/ACKパケットを送信してから第1所定時間を経過しても、端末装置112からのACKパケットを受信完了していない場合、端末装置112に対してpingコマンドによるpingパケットを送信する。
pingパケットの送信に対して返信がないと、そのIPアドレスは実在しない偽装IPアドレスである可能性が高い。従って、本実施形態では、pingパケットの返信がない端末装置112のアクセスを不正なアクセスと判断する。かかる構成により、携帯端末400にも搭載可能な、単純で低負荷・低コストな構成により、SYNフラッド攻撃を迅速に検出することができ、当該携帯端末400のサーバとしての機能が麻痺する前に、必要なリソースの空きを確保することが可能となる。特に、ソケット毎に不正なアクセスを検出できるため、個別の通信に対しての対応も可能となる。
このように、本実施形態の携帯端末400は、pingコマンドによるpingパケットを送信し、その応答の有無を判断することで、SYNフラッド攻撃を迅速に検出し、防衛策を講じることで当該携帯端末400のサーバとしての機能が麻痺する前に、必要なリソースの空きを確保することが可能となる。
(無線通信方法)
次に、本実施形態にかかる携帯端末400を用いて無線通信を実行する無線通信方法を詳細に説明する。
次に、本実施形態にかかる携帯端末400を用いて無線通信を実行する無線通信方法を詳細に説明する。
図7は、第2の実施形態にかかる携帯端末を用いた無線通信方法の処理の流れを示したフローチャートである。ここでは、第1の実施形態で説明したリソースの割当頻度の測定の代わりに、pingコマンドによるpingパケットに対する応答の有無を不正なアクセスの判断に用いている。
パケット受信部252が端末装置112からSYNパケットを受信すると(S500YES)、リソース割当部254は、ソケットを生成し(S502)そのソケットにリソースを割り当てる。そして、パケット送信部256は、SYN/ACKパケットを端末装置112へ送信する(S504)。
パケット受信部252がACKパケットを受信すると(S506YES)、対象の端末装置112と通信を開始する(S508)。ACKパケットを受信せず(S506NO)、第1所定時間を経過した場合(S510YES)、pingコマンド部466が、すでにpingコマンドによるpingパケットを送信したか否かを判断する(S512)。pingパケットをすでに送信済みの場合(S512YES)、pingパケット送信の処理(S514)は行わず次の処理に移行する。pingパケットをまだ送信していなかった場合(S512NO)のみ、pingパケットを送信する(S514)。
そして、pingパケットを送信してから第2所定時間が経過しかつpingパケットに対して応答が無い場合、もしくは、SYN/ACKパケットを送信してから第3所定時間が経過した場合(S516YES)、ソケットとそのリソースを解放する(S518)。そのどちらでもない場合(S516NO)、ACKパケットを受信したか否かの判断(S506)に戻る。
図8は、第2の実施形態にかかる携帯端末を用いた無線通信方法の処理の流れを例示したシーケンス図である。かかるシーケンス図は、図7の無線通信方法を具体的に示したものであり、端末装置112からアクセスがあった場合の実際の対応を時系列で表している。
初めに端末装置112が正規のアクセスを行う場合を説明する。端末装置112がソケットを生成しリソースを割り当て(S600)、正規のIPアドレスを記載したSYNパケットを送信すると(S602)、そのSYNパケットを受信した携帯端末110は、ソケットを生成しそのソケットにリソースを割り当てる(S604)。そして、SYN/ACKパケットを、受信したSYNパケットに記載されているIPアドレスに送信する(S606)。端末装置112は、携帯端末110からSYN/ACKパケットを受信すると、携帯端末110に対してACKパケットを送信し(S608)、携帯端末110がACKパケットを受信すると、通信を開始し、パケットの送受信を行う(S610)。
これに対して、端末装置112が不正なアクセスを行う場合を説明する。端末装置112は、ソケットを生成し、そのソケットにリソースを割り当てると(S650)、偽装IPアドレスを記載したSYNパケットを送信する(S652)。携帯端末110は、端末装置112からSYNパケットを受信すると、ソケットを生成し、そのソケットにリソースを割り当てる(S654)。そして、SYN/ACKパケットを、受信したSYNパケットに記載されているIPアドレスに送信する(S656)が、偽装IPアドレスであるため端末装置112は、そのSYN/ACKパケットを受信できない。
携帯端末110は、端末装置112からの応答であるACKパケットを受信しないまま、第1所定時間が経過すると(S658)、上述の偽装IPアドレスにpingパケットを送信する(S660)が、偽装IPアドレスであるため応答は無い。そのまま、第2所定時間が経過すると(S662)、ソケットとそのリソースを解放する(S664)。
このように、本実施形態にかかる携帯端末400を用いて無線通信を行う無線通信方法において、pingコマンドによるpingパケットを送信し、その応答の有無を判断することで、SYNフラッド攻撃を迅速に検出し、防衛策を講じることで当該携帯端末400のサーバとしての機能が麻痺する前に、必要なリソースの空きを確保することが可能となる。
以上、添付図面を参照しながら本発明の好適な実施形態について説明したが、本発明はかかる実施形態に限定されないことは言うまでもない。当業者であれば、特許請求の範囲に記載された範疇内において、各種の変更例または修正例に想到し得ることは明らかであり、それらについても当然に本発明の技術的範囲に属するものと了解される。
例えば、第1の実施形態にかかる携帯端末110におけるリソース確保部260の機能に、第2の実施形態にかかる携帯端末400におけるリソース確保部460を持たせてもよいし、その逆に、携帯端末400におけるリソース確保部460に、携帯端末110におけるリソース確保部260の機能を持たせてもよい。
なお、本明細書の無線通信方法における各工程は、必ずしもシーケンス図として記載された順序に沿って時系列に処理する必要はなく、並列的あるいはサブルーチンによる処理を含んでもよい。
本発明は、通信網を介して通信を行い、サーバとして機能する無線通信装置および無線通信方法に利用することができる。
110、400 …携帯端末(無線通信装置)
112 …端末装置(他の機器)
250 …データ管理部
252 …パケット受信部
254 …リソース割当部
256 …パケット送信部
258、458 …不正判断部
260、460 …リソース確保部
262 …リソース測定部
264 …通信解放部
466 …pingコマンド部
112 …端末装置(他の機器)
250 …データ管理部
252 …パケット受信部
254 …リソース割当部
256 …パケット送信部
258、458 …不正判断部
260、460 …リソース確保部
262 …リソース測定部
264 …通信解放部
466 …pingコマンド部
Claims (4)
- TCP/IPを用いて通信網に接続可能な無線通信装置において、
他の機器からの要求に対して前記通信網を介して任意のデータを提供するデータ管理部と、
他の機器からのSYNパケットの受信を行うパケット受信部と、
前記他の機器からSYNパケットを受信するとソケットを生成し、該ソケットにリソースを割り当てるリソース割当部と、
前記ソケットに前記リソースが割り当てられると前記SYNパケットに記載されている送信元IPアドレスに対してSYN/ACKパケットを送信するパケット送信部と、
前記他の機器から不正なアクセスが行われているか否かを判断する不正判断部と、
前記不正判断部によって不正なアクセスが行われていると判断されると、当該無線通信装置内のリソースの空きを確保するリソース確保部と、
前記リソースの割当頻度及び前記リソースの解放頻度を測定するリソース測定部と、
を備え、
前記不正判断部は、前記割当頻度から前記解放頻度を減算した値が所定値を超えると不正なアクセスが行われていると判断することを特徴とする無線通信装置。 - 前記リソース確保部は、前記不正判断部によって不正なアクセスが行われていると判断されると、前記リソース割当部の機能を停止させることを特徴とする請求項1に記載の無線通信装置。
- TCP/IPを用いて通信網に接続可能な無線通信装置において、
他の機器からの要求に対して前記通信網を介して任意のデータを提供するデータ管理部と、
他の機器からのSYNパケットの受信を行うパケット受信部と、
前記他の機器からSYNパケットを受信するとソケットを生成し、該ソケットにリソースを割り当てるリソース割当部と、
前記リソースが割り当てられると前記SYNパケットに記載されている送信元IPアドレスに対してSYN/ACKパケットを送信するパケット送信部と、
前記他の機器から不正なアクセスが行われているか否かを判断する不正判断部と、
前記不正判断部によって不正なアクセスが行われていると判断されると、当該無線通信装置内のリソースの空きを確保するリソース確保部と、
前記SYN/ACKパケットを送信してから第1所定時間を経過しても、前記他の機器からのACKパケットを受信完了していない場合、前記他の機器に対してpingコマンドによるpingパケットを送信するpingコマンド部と、を備え、
前記不正判断部は、前記pingパケットを送信してから第2所定時間を経過しても、前記pingパケットに対する応答が無いと、前記不正なアクセスが行われていると判断することを特徴とする無線通信装置。 - TCP/IPを用いて通信網に接続可能な無線通信装置を用いて無線通信を実行する無線通信方法において、
他の機器からの要求に対して前記通信網を介して任意のデータを提供し、
他の機器からのSYNパケットの受信を行い、
前記他の機器からSYNパケットを受信するとソケットを生成し、該ソケットにリソースを割り当て、
前記ソケットに前記リソースが割り当てられると前記SYNパケットに記載されている送信元IPアドレスに対してSYN/ACKパケットを送信し、
前記リソースの割当頻度及び前記リソースの解放頻度を測定し、
前記割当頻度から前記解放頻度を減算した値が所定値を超えると、前記他の機器から不正なアクセスが行われていると判断し、
不正なアクセスが行われていると判断されると、当該無線通信装置内のリソースの空きを確保することを特徴とする無線通信方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008280526A JP5222096B2 (ja) | 2008-10-30 | 2008-10-30 | 無線通信装置および無線通信方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008280526A JP5222096B2 (ja) | 2008-10-30 | 2008-10-30 | 無線通信装置および無線通信方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010109775A JP2010109775A (ja) | 2010-05-13 |
| JP5222096B2 true JP5222096B2 (ja) | 2013-06-26 |
Family
ID=42298754
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008280526A Expired - Fee Related JP5222096B2 (ja) | 2008-10-30 | 2008-10-30 | 無線通信装置および無線通信方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5222096B2 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102427452B (zh) * | 2011-12-06 | 2014-07-30 | 北京星网锐捷网络技术有限公司 | 同步报文发送方法、装置和网络设备 |
| WO2013145662A1 (en) * | 2012-03-26 | 2013-10-03 | Nec Corporation | Radio access network apparatus, controlling method, mobile communication system, and non-transitory computer readable medium embodying instructions for controlling a device |
| US20150334572A1 (en) * | 2012-09-28 | 2015-11-19 | Nec Corporation | Radio access network apparatus, mobile communication system, communication method, and non-transitory computer readable medium storing program |
| KR101569857B1 (ko) * | 2014-06-20 | 2015-11-27 | 서정환 | 클라이언트 경로 제어 시스템을 활용한 장애유발 클라이언트 검출 방법 및 시스템 |
| JP6435695B2 (ja) * | 2014-08-04 | 2018-12-12 | 富士通株式会社 | コントローラ,及びその攻撃者検知方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002073433A (ja) * | 2000-08-28 | 2002-03-12 | Mitsubishi Electric Corp | 侵入検知装置及び不正侵入対策管理システム及び侵入検知方法 |
| JP3810996B2 (ja) * | 2000-11-20 | 2006-08-16 | 株式会社エヌ・ティ・ティ・ドコモ | 端末状況開示方法、端末状況開示システムおよび無線通信端末 |
| JP3648211B2 (ja) * | 2002-03-28 | 2005-05-18 | 富士通株式会社 | パケット中継プログラム、パケット中継装置および記録媒体 |
| JP3792654B2 (ja) * | 2003-01-07 | 2006-07-05 | Necアクセステクニカ株式会社 | ネットワーク接続装置及び不正アクセス防止方法 |
-
2008
- 2008-10-30 JP JP2008280526A patent/JP5222096B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2010109775A (ja) | 2010-05-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112136304A (zh) | 用于基于应用的数据传输执行网络连接的电子设备及其方法 | |
| JP5222096B2 (ja) | 無線通信装置および無線通信方法 | |
| CN109088799B (zh) | 一种客户端接入方法、装置、终端以及存储介质 | |
| EP4054133A1 (en) | Multipath transmission method and device | |
| US9055099B2 (en) | Method of preventing TCP-based denial-of-service attacks on mobile devices | |
| KR20130079453A (ko) | 안전한 클라우드 환경 구현을 위한 단말기 | |
| US8744447B2 (en) | Method, apparatus, and system for wireless connection | |
| CN112119673B (zh) | 支持多种无线通信协议的电子装置及其方法 | |
| US8191143B1 (en) | Anti-pharming in wireless computer networks at pre-IP state | |
| KR20130101672A (ko) | 네트워크 공격을 감지하는 이동 통신 단말기 및 그 감지 방법 | |
| EP4117212A1 (en) | Data blind retransmission method and apparatus, storage medium, and terminal device | |
| JP5662582B2 (ja) | 伝送制御プロトコル接続を確立するシステムおよび方法 | |
| CN102573111A (zh) | 传输控制协议资源的释放方法及装置 | |
| CN108512714B (zh) | 一种报文传输方法、相关设备和系统 | |
| JP2006203537A (ja) | ネットワーク伝送装置およびネットワーク伝送方法 | |
| KR102558475B1 (ko) | 네트워크 상태 식별을 위한 방법 및 그 전자 장치 | |
| EP2742709B1 (en) | Limiting rate of mac address change in wireless modem | |
| JP2008054102A (ja) | 移動機および通信方法 | |
| KR100884665B1 (ko) | 갱신된 IP 주소를 SIP 서버에 등록하는 VoIP단말기 및 방법 | |
| JP6640065B2 (ja) | 通信装置、通信制御装置、通信方法、通信制御方法、及びプログラム | |
| JP2003298763A (ja) | 無線通信機 | |
| TWI427995B (zh) | 用戶端設備及其防止攻擊的方法 | |
| KR20090082815A (ko) | 사내 망의 게이트웨이 탐지 방법 및 게이트웨이 탐지 장치 | |
| JP2015115794A (ja) | 転送装置、転送方法、および、転送プログラム | |
| KR101139537B1 (ko) | 이동통신망의 스캐닝 트래픽 탐지방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110929 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120906 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120918 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121115 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20121211 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130206 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130226 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130308 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20160315 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5222096 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |