JP5922622B2 - 制御装置、通信システム、および、通信制御方法 - Google Patents
制御装置、通信システム、および、通信制御方法 Download PDFInfo
- Publication number
- JP5922622B2 JP5922622B2 JP2013157928A JP2013157928A JP5922622B2 JP 5922622 B2 JP5922622 B2 JP 5922622B2 JP 2013157928 A JP2013157928 A JP 2013157928A JP 2013157928 A JP2013157928 A JP 2013157928A JP 5922622 B2 JP5922622 B2 JP 5922622B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- instruction
- control device
- border router
- transfer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
以下、本発明を実施するための形態(実施形態)について説明する。まず、本実施形態の通信システムの概要を説明する。図1は、通信システムの構成例を示す図である。ここでは、反射型DoSが、DNSアンプ攻撃である場合を例に説明するが、これに限定されない。
図1に示すように、通信システムは、ネットワークNの境界ルータ(転送装置)20と、制御装置10とを含んで構成される。ネットワークNは、例えば、ISP等のネットワークである。境界ルータ20は、ネットワークNと他のネットワーク(例えば、LAN(Local Area Network)や、ISPのネットワーク、IX(Internet eXchange)など)との境界に設置されるルータであり、入力されたパケットの転送制御を行う。制御装置10は、各境界ルータ20の制御を行う。
(制御装置)
次に、図3を用いて、制御装置10および境界ルータ20の構成を詳細に説明する。図3は、制御装置および境界ルータの機能ブロック図である。まず、制御装置10を説明する。なお、以下の説明において、攻撃が発生しているネットワークはLAN1であり、この攻撃の検知および通知は、LAN1とネットワークNとの間に設置される境界ルータ20Aが行う場合を例に説明する。
次に、境界ルータ20を説明する。境界ルータ20は、通信制御部21、制御部22、記憶部23を備える。
次に、図4を用いて通信システムによる反射型DoSの防御処理の処理手順を説明する。図4は、第1の実施形態の通信システムによる反射型DoSの防御処理の処理手順を示すフローチャートである。ここでは、通信システムの境界ルータ20Aが、LAN1へのDNSアンプ攻撃を検知し、これを制御装置10へ通知する場合を例に説明する。反射型DoSの防御処理手順は、大きく、防御開始フェーズ(S11〜S21)と、防御中フェーズ(S22〜S28)とに分けられる。
制御装置10のパケット廃棄指示部123は、境界ルータ20(例えば、境界ルータ20A)からLAN1へのDNSアンプ攻撃の通知を受信すると(S11)、境界ルータ20A以外の境界ルータ20(例えば、境界ルータ20B,20C)それぞれに対し、外部からLAN1宛のDNS応答(DNSクエリパケットに対する応答パケット)を廃棄する旨のルールを送信する(S12)。
当該ルールを受信した境界ルータ20Aは、LAN1側からのDNSクエリを全て制御装置10へ転送する(S22)。すなわち、境界ルータ20Aのルール管理部221は、S22で送信されたルールを記憶部23に格納し、転送制御部222は、当該ルールに従い、LAN1側からのDNSクエリを全て制御装置10へ転送する。
第2の実施形態の境界ルータ20は、制御装置10からの応答パケットの廃棄を指示するルールの受信後、自身の境界ルータ20における単位時間あたりの当該応答パケットの通過数(受信数)が所定の閾値未満のときは当該応答パケットの廃棄を行わないようにする。
次に、図5を用いて、第2の実施形態の通信システムの処理手順を説明する。図5は、第2の実施形態の通信システムにおける反射型DoSの防御処理の処理手順を示す図である。ここでも、通信システムの境界ルータ20Aが、LAN1へのDNSアンプ攻撃を検知し、これを制御装置10へ通知する場合を例に説明する。
なお、前記した実施形態において制御装置10のパケット廃棄指示部123が境界ルータ20へ送信するルールには、所定のサービスに関し、攻撃が発生したネットワーク(例えば、LAN1)宛の応答パケットを廃棄する旨を記載することとしたが、これに限定されない。例えば、所定のサービスに関する応答パケット(例えば、送信元ポート番号「53」の応答パケット)は、宛先にかかわらず全て廃棄する旨を記載してもよい。
前記した制御装置10が実行する処理をコンピュータが実行可能な言語で記述した制御プログラムで実現することもできる。この場合、コンピュータが制御プログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかる制御プログラムをコンピュータで読み取り可能な記録媒体に記録して、この記録媒体に記録された制御プログラムをコンピュータに読み込ませて実行することにより前記した実施形態と同様の処理を実現してもよい。以下に、制御装置10と同様の機能を実現する制御プログラムを実行するコンピュータの一例を説明する。
11、21 通信制御部
12、22 制御部
13、23 記憶部
20(20A、20B、20C) 境界ルータ
121 転送指示部
122 パケット転送部
123 パケット廃棄指示部
124 パケット転送許可指示部
221 ルール管理部
222 転送制御部
223 攻撃検知部
224 攻撃通知部
225 ルール適用通知部
226 ルール適用判定部
Claims (8)
- 第1のネットワークと複数の第2のネットワークとを接続する複数の境界ルータそれぞれに対し、パケットの転送制御を指示する制御装置であって、
前記複数の境界ルータのうち第1の境界ルータに対し、所定のサービスに関する要求パケットを、前記制御装置へ転送する旨の指示を送信する転送指示部と、
前記所定のサービスに関する応答パケットのうち、前記第1の境界ルータに接続される第2のネットワーク宛の応答パケットを廃棄する旨の指示を、前記第1の境界ルータ以外の境界ルータである第2の境界ルータそれぞれへ送信するパケット廃棄指示部と、
前記第1の境界ルータから前記所定のサービスに関する要求パケットを受信したとき、前記第2の境界ルータそれぞれに対し、前記所定のサービスに関する応答パケットのうち、前記第2のネットワーク宛の応答パケットの転送を許可する旨の指示を送信するパケット転送許可指示部と、
前記第1の境界ルータから受信した要求パケットを、前記要求パケットの宛先へ転送するパケット転送部とを備えることを特徴とする制御装置。 - 前記パケット転送部は、
前記応答パケットの転送を許可する旨の指示の送信先の第2の境界ルータそれぞれから、前記指示を受信した旨の通知を受信したとき、前記第1の境界ルータから受信した要求パケットを、前記要求パケットの宛先へ転送することを特徴とする請求項1に記載の制御装置。 - 前記制御装置が、前記第2のネットワークへの攻撃を検知した旨の攻撃通知を前記第1の境界ルータから受信したとき、
前記転送指示部は、
前記第1の境界ルータに対し、前記所定のサービスに関する要求パケットを、前記制御装置へ転送する旨の指示を送信し、
前記パケット廃棄指示部は、
前記所定のサービスに関する応答パケットのうち、前記第2のネットワーク宛の応答パケットを廃棄する旨の指示を、前記第2の境界ルータそれぞれへ送信し、
前記パケット転送許可指示部は、
前記第1の境界ルータから、前記所定のサービスに関する要求パケットを受信したとき、前記第2の境界ルータそれぞれに対し、前記所定のサービスに関する応答パケットのうち、前記第1の境界ルータに接続される第2のネットワーク宛の応答パケットの転送を許可する旨の指示を送信し、
前記パケット転送部は、
前記応答パケットの転送を許可する旨の指示を送信した第2の境界ルータそれぞれから、前記指示を受信した旨の通知を受信したとき、前記第1の境界ルータから受信した要求パケットを、前記要求パケットの宛先へ転送することを特徴とする請求項1または請求項2に記載の制御装置。 - 前記応答パケットの転送を許可する旨の指示は、前記応答パケットの転送を許可する期間をさらに含むことを特徴とする請求項1ないし請求項3のいずれか1項に記載の制御装置。
- 第1のネットワークと複数の第2のネットワークとを接続する境界ルータそれぞれに対し、パケットの転送制御の指示を行う制御装置を有する通信システムであって、
前記制御装置は、
前記第1のネットワークと第2のネットワークとを接続する第1の境界ルータに対し、所定のサービスに関する要求パケットを、前記制御装置へ転送する旨の指示を送信する転送指示部と、
前記所定のサービスに関する応答パケットのうち、前記第1の境界ルータに接続される第2のネットワーク宛の応答パケットを廃棄する旨の指示を、前記第1の境界ルータ以外の境界ルータである第2の境界ルータそれぞれへ送信するパケット廃棄指示部と、
前記第1の境界ルータから前記所定のサービスに関する要求パケットを受信したとき、前記第2の境界ルータそれぞれに対し、前記所定のサービスに関する応答パケットのうち、前記第2のネットワーク宛の応答パケットの転送を許可する旨の指示を送信するパケット転送許可指示部と、
前記第1の境界ルータから受信した要求パケットを、前記要求パケットの宛先へ転送するパケット転送部とを備え、
前記境界ルータはそれぞれ、
前記制御装置からの指示に基づき、前記所定のサービスに関する要求パケットの前記制御装置へ転送、および、前記所定のサービスに関する応答パケットのうち、前記第2のネットワーク宛の応答パケットの廃棄を行う転送制御部と、
前記制御装置からの指示を受信したとき、前記指示を受信した旨の通知を前記制御装置へ送信する通知部とを備えることを特徴とする通信システム。 - 前記境界ルータは、さらに、
前記応答パケットの通過数が所定の閾値以上であるとき、攻撃を検知する攻撃検知部と、
前記攻撃が検知されたとき、前記制御装置へ前記攻撃の対象となるサービスおよび宛先を少なくとも含む攻撃通知を送信する攻撃通知部とを備えることを特徴とする請求項5に記載の通信システム。 - 前記転送制御部は、
前記制御装置から、前記応答パケットの廃棄の指示を受信した場合において、単位時間あたりの前記応答パケットの受信数が所定の閾値未満である期間は、前記応答パケットの廃棄を停止し、
前記通知部は、
前記応答パケットの廃棄を停止している間、前記応答パケットの廃棄を停止している旨の通知である応答パケット廃棄停止通知を所定の間隔で前記制御装置へ継続的に通知し、
前記制御装置のパケット転送許可指示部は、
前記第1の境界ルータから前記所定のサービスに関する要求パケットを受信したとき、前記応答パケットの転送を許可する旨の指示の送信先を、前記第2の境界ルータのうち、当該要求パケットを受信した時刻から所定の時間以内に前記応答パケット廃棄停止通知を送信した第2の境界ルータ以外の第2の境界ルータとすることを特徴とする請求項5または請求項6に記載の通信システム。 - 第1のネットワークと複数の第2のネットワークとを接続する複数の境界ルータそれぞれに対し、パケットの転送制御を指示する制御装置が、
前記複数の境界ルータのうち第1の境界ルータに対し、所定のサービスに関する要求パケットを、前記制御装置へ転送する旨の指示を送信するステップと、
前記所定のサービスに関する応答パケットのうち、前記第1の境界ルータに接続される第2のネットワーク宛の応答パケットを廃棄する旨の指示を、前記第1の境界ルータ以外の境界ルータである第2の境界ルータそれぞれへ送信するステップと、
前記第1の境界ルータから前記所定のサービスに関する要求パケットを受信したとき、前記第2の境界ルータそれぞれに対し、前記所定のサービスに関する応答パケットのうち、前記第2のネットワーク宛の応答パケットの転送を許可する旨の指示を送信するステップと、
前記第1の境界ルータから受信した要求パケットを、前記要求パケットの宛先へ転送するステップとを実行することを特徴とする通信制御方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013157928A JP5922622B2 (ja) | 2013-07-30 | 2013-07-30 | 制御装置、通信システム、および、通信制御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013157928A JP5922622B2 (ja) | 2013-07-30 | 2013-07-30 | 制御装置、通信システム、および、通信制御方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015029207A JP2015029207A (ja) | 2015-02-12 |
JP5922622B2 true JP5922622B2 (ja) | 2016-05-24 |
Family
ID=52492648
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013157928A Active JP5922622B2 (ja) | 2013-07-30 | 2013-07-30 | 制御装置、通信システム、および、通信制御方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5922622B2 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102046612B1 (ko) * | 2018-08-22 | 2019-11-19 | 숭실대학교산학협력단 | Sdn 기반의 dns 증폭 공격 방어시스템 및 그 방법 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7725602B2 (en) * | 2000-07-19 | 2010-05-25 | Akamai Technologies, Inc. | Domain name resolution using a distributed DNS network |
JP2004328307A (ja) * | 2003-04-24 | 2004-11-18 | Mitsubishi Electric Corp | 攻撃防御システム、攻撃防御制御サーバおよび攻撃防御方法 |
JP2006201951A (ja) * | 2005-01-19 | 2006-08-03 | Nec Corp | ネットワーク防御システム、ネットワーク防御方法、監視マネージャおよびプログラム |
JP4296184B2 (ja) * | 2006-03-13 | 2009-07-15 | 日本電信電話株式会社 | 攻撃検出装置、攻撃検出方法および攻撃検出プログラム |
JP4287456B2 (ja) * | 2006-10-26 | 2009-07-01 | 株式会社東芝 | サービス不能攻撃を防止するサーバ装置、方法およびプログラム |
US8261351B1 (en) * | 2008-01-22 | 2012-09-04 | F5 Networks, Inc. | DNS flood protection platform for a network |
JP4592789B2 (ja) * | 2008-07-29 | 2010-12-08 | 日本電信電話株式会社 | 通信制御装置、通信制御方法および通信制御処理プログラム |
-
2013
- 2013-07-30 JP JP2013157928A patent/JP5922622B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2015029207A (ja) | 2015-02-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8661544B2 (en) | Detecting botnets | |
KR101270041B1 (ko) | Arp 스푸핑 공격 탐지 시스템 및 방법 | |
US8886927B2 (en) | Method, apparatus and system for preventing DDoS attacks in cloud system | |
JP6026789B2 (ja) | ネーム基盤のネットワークシステムでペンディングテーブルのオーバーフローを防止するノード装置、並びにそのオーバーフローを防止する装置及び方法 | |
US10097520B2 (en) | Method and apparatus for causing delay in processing requests for internet resources received from client devices | |
US9843590B1 (en) | Method and apparatus for causing a delay in processing requests for internet resources received from client devices | |
CN110266678B (zh) | 安全攻击检测方法、装置、计算机设备及存储介质 | |
JP6329275B2 (ja) | 制御装置、通信システム、制御方法、および、制御プログラム | |
WO2013097475A1 (zh) | 防火墙的数据检测方法及装置 | |
US10397225B2 (en) | System and method for network access control | |
US20110026529A1 (en) | Method And Apparatus For Option-based Marking Of A DHCP Packet | |
KR20120060655A (ko) | 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크 | |
WO2008131658A1 (fr) | Procédé et dispositif pour fureter le dhcp | |
JP2009239525A (ja) | フィルタリング装置、フィルタリング方法およびフィルタリングプログラム | |
US8159948B2 (en) | Methods and apparatus for many-to-one connection-rate monitoring | |
WO2019096104A1 (zh) | 攻击防范 | |
CN102546587B (zh) | 防止网关系统会话资源被恶意耗尽的方法及装置 | |
US20070101429A1 (en) | Connection-rate filtering using ARP requests | |
JP2019152912A (ja) | 不正通信対処システム及び方法 | |
JP5922622B2 (ja) | 制御装置、通信システム、および、通信制御方法 | |
US20180191744A1 (en) | System and method to implement cloud-based threat mitigation for identified targets | |
KR101065800B1 (ko) | 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체 | |
JP6593137B2 (ja) | パケット蓄積装置,及びパケット蓄積方法 | |
JP4084317B2 (ja) | ワーム検出方法 | |
JP2009081736A (ja) | パケット転送装置及びパケット転送プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150805 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20151001 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20151005 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160408 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160412 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160414 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5922622 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |