JP5922622B2 - 制御装置、通信システム、および、通信制御方法 - Google Patents

制御装置、通信システム、および、通信制御方法 Download PDF

Info

Publication number
JP5922622B2
JP5922622B2 JP2013157928A JP2013157928A JP5922622B2 JP 5922622 B2 JP5922622 B2 JP 5922622B2 JP 2013157928 A JP2013157928 A JP 2013157928A JP 2013157928 A JP2013157928 A JP 2013157928A JP 5922622 B2 JP5922622 B2 JP 5922622B2
Authority
JP
Japan
Prior art keywords
packet
instruction
control device
border router
transfer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013157928A
Other languages
English (en)
Other versions
JP2015029207A (ja
Inventor
裕一 首藤
裕一 首藤
邦夫 波戸
邦夫 波戸
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2013157928A priority Critical patent/JP5922622B2/ja
Publication of JP2015029207A publication Critical patent/JP2015029207A/ja
Application granted granted Critical
Publication of JP5922622B2 publication Critical patent/JP5922622B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、制御装置、通信システム、および、通信制御方法に関する。
従来、サーバ等のネットワークを構成する機器に対して攻撃を行い、サービスの提供を不能な状態にするDoS(Denial of Service attack)がある。このDoSのうち、TCP/IP(Transmission Control Protocol/Internet Protocol)プロトコルの様々な応答パケットを大量発生させてDoSを行う反射型DoSがある。この反射型DoSの例として、DNS(Domain Name System)アンプ攻撃がある。
このDNSアンプ攻撃は、例えば、攻撃者が、遠隔操作可能なコンピュータ群に対し、送信元を偽装したDNS問い合わせをネットワーク中に散在するDNSサーバ(例えば、オープンリゾルバ)へ送信するよう指示する。つまり、送信元アドレスを攻撃対象のアドレスにしたDNS問い合わせ(DNSクエリ)をネットワーク中のDNSサーバへ送信するよう指示する。このDNSクエリを受信したDNSサーバはそれぞれ、このDNSクエリに示される送信元、つまり、攻撃対象のアドレス宛に、DNSクエリの応答を送信する。
これにより各DNSサーバから、大量のDNSクエリの応答パケットが送信され、攻撃対象のアドレスを持つ装置またはネットワークはアクセス不能の状態に陥ってしまう。また、このようなDNSアンプ攻撃が行われるとWAN(Wide Area Network)等のネットワーク全体に大量のトラヒックが流れるため、輻輳の原因となる。
このようなDoS攻撃への対策として、各ISP(Internet Services Provider)の境界ルータにおいて、攻撃対象のサーバへのTCP−syn等の特定パケットのトラヒックを絞る技術(特許文献1参照)が提案されている。しかし、この技術は、ISP同士の協力が必要である。
また、ネットワーク内に設置されるトークン分配装置において、攻撃対象のサーバへのパケットの帯域が当該サーバの処理能力以下となるように、各ISPの境界ルータに対し帯域の制限を行う技術(特許文献2参照)も提案されている。この技術によれば、ISP同士の協力は必要ない。
特開2004−166029号公報 特開2007−243419号公報
しかし、前記した特許文献2に記載の技術において、境界ルータが帯域の制限を行うと正当なパケットも廃棄してしまうおそれがある。特に、特許文献2に記載の技術により反射型DoSの対策を行う場合、境界ルータにおいて、正当な応答パケットと攻撃者からの指示に基づく応答パケットとの区別がつかないため、境界ルータにおいて正当な応答パケットの殆どが廃棄されてしまうおそれがある。
そこで本発明は前記した問題を解決し、反射型DoSの対策を行う際、境界ルータにおいて正当な応答パケットが廃棄されることなく攻撃パケットを廃棄することを課題とする。
前記した課題を解決するため、第1のネットワークと第2のネットワークとを接続する複数の境界ルータそれぞれに対し、パケットの転送制御を指示する制御装置であって、前記複数第1の境界ルータに対し、所定のサービスに関する要求パケットを、前記制御装置へ転送する旨の指示を送信する転送指示部と、前記所定のサービスに関する応答パケットのうち、前記第1の境界ルータに接続される第2のネットワーク宛の応答パケットを廃棄する旨の指示を、前記第1の境界ルータ以外の境界ルータである第2の境界ルータそれぞれへ送信するパケット廃棄指示部と、前記第1の境界ルータから前記所定のサービスに関する要求パケットを受信したとき、前記第2の境界ルータそれぞれに対し、前記所定のサービスに関する応答パケットのうち、前記第2のネットワーク宛の応答パケットの転送を許可する旨の指示を送信するパケット転送許可指示部と、前記応答パケットの転送を許可する旨の指示の送信先の第2の境界ルータそれぞれから、前記指示を受信した旨の通知を受信したとき、前記第1の境界ルータから受信した要求パケットを、前記要求パケットの宛先へ転送するパケット転送部とを備えることを特徴とする。
本発明によれば、反射型DoSの対策を行う際、境界ルータにおいて正当な応答パケットが廃棄されることなく攻撃パケットを廃棄することができる。
図1は、通信システムの構成例を示す図である。 図2は、境界ルータにおけるパケットの転送および廃棄を例示した図である。 図3は、制御装置および境界ルータの機能ブロック図である。 図4は、第1の実施形態の通信システムによる反射型DoSの防御処理の処理手順を示す図である。 図5は、第2の実施形態の通信システムによる反射型DoSの防御処理の処理手順を示す図である。 図6は、制御プログラムを実行するコンピュータを示す図である。
(概要)
以下、本発明を実施するための形態(実施形態)について説明する。まず、本実施形態の通信システムの概要を説明する。図1は、通信システムの構成例を示す図である。ここでは、反射型DoSが、DNSアンプ攻撃である場合を例に説明するが、これに限定されない。
(第1の実施形態)
図1に示すように、通信システムは、ネットワークNの境界ルータ(転送装置)20と、制御装置10とを含んで構成される。ネットワークNは、例えば、ISP等のネットワークである。境界ルータ20は、ネットワークNと他のネットワーク(例えば、LAN(Local Area Network)や、ISPのネットワーク、IX(Internet eXchange)など)との境界に設置されるルータであり、入力されたパケットの転送制御を行う。制御装置10は、各境界ルータ20の制御を行う。
ここで、例えば、LAN1とネットワークNとを接続する境界ルータ20Aにおいて、LAN1へのDNSアンプ攻撃(送信元port(ポート番号)=53)を検出した場合を考える。この場合、まず境界ルータ20Aは、LAN1宛で、送信元のポート番号が「53」であるDNS応答パケットを大量に送りつけるDNSアンプ攻撃を検知したことを、制御装置10へ通知する(S1)。
その後、制御装置10は、境界ルータ20A以外の各境界ルータ20へ、送信元のポート番号が「53」であるDNSクエリパケットに対する応答パケットでLAN1宛のものは廃棄する旨のルールを送信する(S2)。境界ルータ20A以外の各境界ルータ20は、このルールに従い、送信元のポート番号が「53」であるDNS応答パケットのうち、LAN1宛のものを廃棄する。
次に、制御装置10は、境界ルータ20Aに対し、LAN1からのDNSクエリ(要求)パケットを全て制御装置10へ転送する旨のルールを登録する(S3)。登録後、境界ルータ20Aは、LAN1からのDNSクエリパケットを受信すると、登録されたルールに従い、このDNSクエリパケットを制御装置10へ転送する。
次に、制御装置10は、境界ルータ20AからのDNSクエリパケット到着時に例外ルールを設定する(S4)。すなわち、制御装置10は、境界ルータ20AからのDNSクエリパケットが到着すると、境界ルータ20A以外の境界ルータ20それぞれに対し、当該クエリパケットに対する応答パケットの転送を許可する旨のルール(例外ルール)を設定する。応答パケットが当該クエリパケットに対する応答であるか否かの判定は後述する。そして、制御装置10は、S1で境界ルータ20Aから受信したDNSクエリパケットを、当該パケットの宛先(DNSサーバ)へ転送する。
S4の後、境界ルータ20A以外の各境界ルータ20は、制御装置10から設定された例外ルールに従い、送信元のポート番号が「53」であるDNSクエリパケットに対する応答パケットを受信したとき、当該パケットをLAN1へ転送する。これにより、LAN1から送信されたDNSクエリパケット(正当なDNSクエリパケット)に対する応答パケット(正当な応答パケット)はLAN1へ到達する。そして、例外ルールの設定から所定時間経過した後、制御装置10は境界ルータ20における当該例外ルールを削除する。
このように制御装置10は、各境界ルータ20に対し、最近LAN1から送信されたDNSクエリパケットに対する応答パケット(正当な応答パケット)は転送するが、それ以外の応答パケット(攻撃パケット)は廃棄するよう制御する。これにより、制御装置10は、DNSアンプ攻撃による所定のネットワークへのパケットの集中を低減し、正当なDNSクエリパケットに対する応答パケットを、応答パケットの宛先のネットワークへ到達させることができる。
図2は、境界ルータにおけるパケットの転送および廃棄を例示した図である。例えば、図2に示すように、最近LAN1から出たDNSクエリパケットの送信先ポート番号および送信元ポート番号は符号201に示すポート番号である場合を考える。
この場合、制御装置10が上記の処理を行うことにより、これらDNSクエリパケットに対する応答パケットのうち、各境界ルータ20において、送信元ポート番号「53」、送信先ポート番号「31257」の応答パケットと、送信元ポート番号「53」、送信先ポート番号「5009」の応答パケットと、送信元ポート番号「53」、送信先ポート番号「21998」の応答パケット以外のパケットは廃棄される。すなわち、図2に示す例でいうと、境界ルータ20は送信元ポート番号「53」、送信先ポート番号「5009」の応答パケットは転送するが、送信元ポート番号「53」、送信先ポート番号「9903」の応答パケットや、送信元ポート番号「53」、送信先ポート番号「8888」の応答パケットは廃棄する。
(構成)
(制御装置)
次に、図3を用いて、制御装置10および境界ルータ20の構成を詳細に説明する。図3は、制御装置および境界ルータの機能ブロック図である。まず、制御装置10を説明する。なお、以下の説明において、攻撃が発生しているネットワークはLAN1であり、この攻撃の検知および通知は、LAN1とネットワークNとの間に設置される境界ルータ20Aが行う場合を例に説明する。
制御装置10は、通信制御部11、制御部12、記憶部13を備える。
通信制御部11は、外部装置との間でデータの送受信を行うための通信インタフェースである。通信制御部11は、ここでは主に、制御部12から境界ルータ20へルールの送信を行うときの通信インタフェースを司る。
制御部12は、制御装置10全体の制御を司り、ここでは主に境界ルータ20へパケット転送や廃棄に関するルールを送信する。
制御部12は、転送指示部121、パケット転送部122、パケット廃棄指示部123、パケット転送許可指示部124を備える。
転送指示部121は、境界ルータ20Aから、DNSアンプ攻撃等の攻撃の通知を受信したとき、この攻撃の通知の送信元の境界ルータ20に対し、外部(例えば、LAN1)から受信したDNSクエリパケットを、制御装置10へ転送する旨のルールを送信する。例えば、転送指示部121は、境界ルータ20Aから、LAN1宛へ送信元ポート番号「53」のパケットによる攻撃の通知を受信したとき、境界ルータ20Aに対し、LAN1から受信したDNSクエリパケットを制御装置10へ転送する旨のルールを送信する。
パケット廃棄指示部123は、攻撃が発生しているネットワーク(例えば、LAN1)宛のDNS応答パケット(例えば、送信元ポート番号「53」のパケット)を廃棄する旨のルールを、境界ルータ20A以外の境界ルータ20それぞれへ送信する。これにより、境界ルータ20において攻撃が発生しているネットワーク(例えば、LAN1)宛のDNS応答パケットが廃棄される。
パケット転送許可指示部124は、境界ルータ20AからのDNSクエリパケットの受信後、パケットを廃棄する旨のルールを送信した境界ルータ20それぞれに対し、LAN1宛の応答パケットの転送を許可する旨のルール(例外ルール)を送信する。つまり、パケット転送許可指示部124は、境界ルータ20AからのDNSクエリパケットの受信後、境界ルータ20A以外の境界ルータ20それぞれに対し、LAN1宛のDNS応答パケットのうち、当該クエリパケットに対する応答パケットについては廃棄を行わない旨のルールを送信する。
パケット転送部122は、境界ルータ20からのDNSクエリパケットを受信すると、このDNSクエリパケットを記憶部13等に一時的に保留しておき、パケット転送許可指示部124による例外ルールの送信後、このDNSクエリパケットを、当該パケットの宛先に転送する。
なお、パケット転送部122は、例外ルールを送信した境界ルータ20全てから、当該例外ルールを受信した旨の通知(例外ルール受信通知)を受信したことを確認してから、DNSクエリパケットを、当該パケットの宛先に転送する。つまり、パケット転送部122は、例外ルールの送信先の境界ルータ20それぞれにおいて、例外ルールが確かに受信されたことを確認してから、DNSクエリパケットを、当該パケットの宛先に転送する。これは、DNSクエリパケットの応答パケットを受信した境界ルータ20において、誤って当該パケットが廃棄されることを避けるためである。このようにすることで、例えば、LAN1からのDNSクエリパケットの応答パケット(正当なDNSクエリパケットに対する応答パケット)を確実にLAN1に到達させることができる。
記憶部13は、ルータ情報を記憶する。このルータ情報は、ネットワークNに接続される境界ルータ20それぞれの識別情報を示した情報であり、例えば、通信制御部11経由で予め入力されているものとする。このルータ情報は、パケット廃棄指示部123が、DNS応答パケットを廃棄する旨のルールを送信する際の宛先の境界ルータ20を特定する際に参照される。
(境界ルータ)
次に、境界ルータ20を説明する。境界ルータ20は、通信制御部21、制御部22、記憶部23を備える。
通信制御部21は、外部装置との間でデータの送受信を行うための通信インタフェースである。通信制御部21は、ここでは主に、制御装置10からのルールの受信を行うときの通信インタフェースを司る。
制御部22は、制御装置10から受信したパケット転送や廃棄に関するルールに基づき、パケットの転送制御や廃棄を行う。
制御部22は、ルール管理部221、転送制御部222、攻撃検知部223、攻撃通知部224、ルール適用通知部225を備える。ルール適用判定部226については装備する場合と装備しない場合とがあり、装備する場合については後記する。
ルール管理部221は、通信制御部21経由で、制御装置10から送信されるルール、および、その後に送信される例外ルールを受信すると、これらのルールを記憶部23に格納する。また、制御装置10から、通信制御部21経由で、ルール、および、例外ルールの削除指示を受信したとき、これに従い、ルール、および、例外ルールを削除する。
転送制御部222は、記憶部23のルーティングテーブルを用いてパケットの転送制御を行う。ここで、転送制御部222は、記憶部23にルールまたは例外ルールが存在すれば、そのルールおよび例外ルールも参照して、パケットの転送制御およびパケットの廃棄を行う。
例えば、記憶部23にDNSクエリパケットに対する応答パケットでLAN1宛のパケットを廃棄する旨のルールが存在すれば、転送制御部222は、DNSクエリパケットに対する応答パケットを廃棄する。また、このようなルールの後に、制御装置10から、DNSクエリパケットに対する応答パケットの廃棄を所定期間停止する(つまり、応答パケットを転送する)旨の例外ルールを受信したとき、転送制御部222は、この例外ルールに従い、所定期間、DNSクエリパケットに対する応答パケットを転送する。さらに、当該境界ルータ20が攻撃を検知した境界ルータ20であり、記憶部23に、LAN1からのDNSクエリパケットを全て制御装置10へ転送する旨のルールが存在すれば、転送制御部222は、このルールに従い、LAN1からのDNSクエリパケットを全て制御装置10へ転送する。
なお、転送制御部222において、外部から受信した応答パケットが、以前転送したDNSクエリパケットに対する応答パケットであるか否かの判断は、例えば、DNSクエリパケットの送信元のポート番号と、DNS応答パケットの送信先のポート番号とを用いて判断する。例えば、転送制御部222において受信した応答パケットbの送信元のポート番号が、以前転送したDNSクエリパケットaの送信先のポート番号と同じであるとき、転送制御部222は、当該応答パケットbが、当該DNSクエリパケットの応答パケットであると判断する。つまり、転送制御部222は、最近自身の境界ルータ20において転送したDNSクエリパケットおよび応答パケットの送信先および送信元のポート番号を記憶部23に記憶しておき、このポート番号をもとに、受信した応答パケットが、DNSクエリパケットに対する応答パケットであるか否かの判断を行う。
攻撃検知部223は、境界ルータ20に接続されるネットワーク(例えば、LAN1)への攻撃を検知する。例えば、攻撃検知部223は、単位時間あたりの応答パケットの通過数(受信数)が所定の閾値以上であるとき、攻撃を検知する。
攻撃通知部224は、攻撃検知部223において攻撃を検知したとき、制御装置10へ攻撃通知を送信する。この攻撃通知には、攻撃の対象となるサービスが示される。例えば、攻撃通知には、攻撃パケットがDNSの応答パケットであることが示される。これにより、制御装置10は、送信元ポート番号が「53」であるDNS応答パケットを境界ルータ20それぞれで廃棄させればよいことが分かる。
ルール適用通知部225は、制御装置10からのルール、または、例外ルールを受信したとき、各ルールを受信した旨を制御装置10へ通知する。
記憶部23は、ルーティングテーブルと、制御装置10により送信されたルール(例外ルールを含む)とを記憶する。
ルーティングテーブルは、制御部22がパケットの転送先を決定する際に参照する経路情報である。ルールは、前記したとおり、パケットの転送先やパケットの廃棄、パケットの廃棄の停止等を示した情報である。制御部22の転送制御部222は基本的にはルーティングテーブルによりパケットの転送先を決定するが、ルールや例外ルールがあれば、このルールおよび例外ルールを適用してパケットの転送先の決定やパケットの廃棄、パケットの廃棄の停止等を行う。
(処理手順)
次に、図4を用いて通信システムによる反射型DoSの防御処理の処理手順を説明する。図4は、第1の実施形態の通信システムによる反射型DoSの防御処理の処理手順を示すフローチャートである。ここでは、通信システムの境界ルータ20Aが、LAN1へのDNSアンプ攻撃を検知し、これを制御装置10へ通知する場合を例に説明する。反射型DoSの防御処理手順は、大きく、防御開始フェーズ(S11〜S21)と、防御中フェーズ(S22〜S28)とに分けられる。
(防御開始フェーズ)
制御装置10のパケット廃棄指示部123は、境界ルータ20(例えば、境界ルータ20A)からLAN1へのDNSアンプ攻撃の通知を受信すると(S11)、境界ルータ20A以外の境界ルータ20(例えば、境界ルータ20B,20C)それぞれに対し、外部からLAN1宛のDNS応答(DNSクエリパケットに対する応答パケット)を廃棄する旨のルールを送信する(S12)。
このルールを受信した境界ルータ20(境界ルータ20B,20C)は、外部からLAN1宛のDNS応答を廃棄する旨のルール(廃棄ルール)を適用する(S13,S14)。すなわち、境界ルータ20B,20Cのルール管理部221は、S12で送信されたルールを記憶部23に格納し、転送制御部222は、当該ルールに従い、外部からLAN1宛のDNS応答を受信しても、このDNS応答を廃棄する。
その後、制御装置10の転送指示部121は、境界ルータ20Aに対し、LAN1側からのDNSクエリ(DNSクエリパケット)を全て制御装置10へ転送する旨のルール(転送ルール)を送信する(S21)。
(防御中フェーズ)
当該ルールを受信した境界ルータ20Aは、LAN1側からのDNSクエリを全て制御装置10へ転送する(S22)。すなわち、境界ルータ20Aのルール管理部221は、S22で送信されたルールを記憶部23に格納し、転送制御部222は、当該ルールに従い、LAN1側からのDNSクエリを全て制御装置10へ転送する。
制御装置10のパケット転送部122は、境界ルータ20AからのDNSクエリを受信すると、このDNSクエリを記憶部13に蓄積し、パケット転送許可指示部124は、DNS応答の転送を許可する旨のルール(例外ルール)を、境界ルータ20B,20Cへ送信する(S23)。
当該ルール(例外ルール)を受信した境界ルータ20B,20Cのルール管理部221は、受信したルールを記憶部23に格納し、ルール適用通知部225は、当該ルールを受信した旨の通知を、制御装置10へ送信する(S24,S25)。
制御装置10のパケット転送部122は、S23で当該ルール(例外ルール)を送信した全ての境界ルータ20(つまり、境界ルータ20B,20C)から、当該ルールを受信した旨の通知を受信したことを確認すると(S26)、境界ルータ20Aから受信したDNSクエリを、このDNSクエリの宛先であるDNSサーバへ送信する(S27)。
以上の処理により、制御装置10は、反射型DoSによる所定のネットワークへのパケットの集中を低減し、正当な応答パケットを、この応答パケットの宛先へ到達させることができる。
なお、S27の後、境界ルータ20B,20Cは、所定時間経過後、この例外ルールを削除する。ここでの例外ルールの削除は、S28に示すように、制御装置10が、境界ルータ20B,20Cに対し、例外ルールを削除する旨の命令を送信することにより行ってもよい。また、例外ルールに、当該例外ルールの受信から所定時間経過した後削除する旨の記載(つまり、応答パケットの転送を許可する期間の記載)をしておき、境界ルータ20B,20Cは、この例外ルールに従い、例外ルールを削除するようにしてもよい。
そして、このような例外ルールの削除が行われた後、制御装置10が廃棄ルールおよび転送ルールを送信してから所定の期間が経過すると、制御装置10は境界ルータ20に対して廃棄ルール、転送ルールの削除指示の送信等を行い、反射型DoSの防御処理を終了させる。
(第2の実施形態)
第2の実施形態の境界ルータ20は、制御装置10からの応答パケットの廃棄を指示するルールの受信後、自身の境界ルータ20における単位時間あたりの当該応答パケットの通過数(受信数)が所定の閾値未満のときは当該応答パケットの廃棄を行わないようにする。
このような境界ルータ20は、図3に示すルール適用判定部226をさらに備える。ルール適用判定部226は、制御装置10からのLAN1宛の応答パケットの廃棄を指示するルールを受信すると、自身の境界ルータ20における単位時間あたりの当該応答パケットの通過数(受信数)が所定の閾値未満か否かを判断する。そして、ルール適用判定部226は、自身の境界ルータ20における単位時間あたりの当該応答パケットの通過数(受信数)が所定の閾値以上であれば、当該応答パケットの廃棄を指示するルールを適用すると判定する。一方、ルール適用判定部226は、自身の境界ルータ20における単位時間あたりの当該応答パケットの通過数(受信数)が所定の閾値未満であれば、当該応答パケットの廃棄を指示するルールを適用しないと判定する。
そして、転送制御部222は、ルール適用判定部226による判定結果に従い、当該応答パケットの廃棄または転送を行う。
また、ルール適用通知部225は、制御装置10から、応答パケットの廃棄を指示するルールを受信したが、このルールを適用していないとき、所定期間ごとに、ルールを適用していない旨を制御装置10へ送信する。これにより、制御装置10は、当該境界ルータ20において、当該応答パケットの廃棄を指示するルールが適用されていないこと、つまり、当該制御装置10からの応答パケットの廃棄が行われていないことを知ることができる。
また、制御装置10のパケット転送許可指示部124は、境界ルータ20から当該応答パケットの廃棄を指示するルールが適用されていない旨の通知を受信したとき、当該境界ルータ20を、例外ルールの送信対象外とする。
(処理手順)
次に、図5を用いて、第2の実施形態の通信システムの処理手順を説明する。図5は、第2の実施形態の通信システムにおける反射型DoSの防御処理の処理手順を示す図である。ここでも、通信システムの境界ルータ20Aが、LAN1へのDNSアンプ攻撃を検知し、これを制御装置10へ通知する場合を例に説明する。
制御装置10のパケット廃棄指示部123は、第1の実施形態と同様に、境界ルータ20(例えば、図1の境界ルータ20A)からDNSアンプ攻撃の通知を受信すると、境界ルータ20A以外の境界ルータ20(例えば、境界ルータ20B,20C)それぞれに対し、外部からのDNS応答を廃棄する旨のルールを送信する(S40)。その後、当該ルールを受信した境界ルータ20(例えば、境界ルータ20B,20C)は、S41以降の処理を行う。
すなわち、LAN1宛のDNS応答を廃棄する旨のルールを受信した境界ルータ20のルール適用判定部226は、LAN1宛のDNS応答の受信数を計測し(S41)、このDNS応答の受信数が所定の閾値を超えているか否かを判断する(S42)。ここで、DNS応答の受信数が所定の閾値を超えているとき(S42でYes)、ルール適用判定部226は、制御装置10から送信されたDNS応答を廃棄する旨のルールを適用すると判定し(S45)、転送制御部222は、LAN1宛のDNS応答の廃棄する。その後、S46へ進む。
一方、LAN1宛のDNS応答の受信数が所定の閾値以下であるとき(S42でNo)、ルール適用判定部226は、制御装置10から送信されたDNS応答を廃棄する旨のルールを適用しないと判定し(S43)、ルール適用通知部225は、DNS応答を廃棄する旨のルールを適用していないこと(応答パケット廃棄停止通知)を所定の間隔で制御装置10へ通知する(S44)。これにより制御装置10は、当該通知を受信している間は、境界ルータ20においてDNS応答を廃棄する旨のルールが適用されていないことを確認する。
S44の後、制御装置10のパケット転送許可指示部124は、境界ルータ20から、所定の間隔でDNS応答を廃棄する旨のルールを適用していない旨の通知を受信中、この通知の送信元の境界ルータ20をDNS応答の転送を許可する旨のルール(例外ルール)の送信対象から除外する(S47)。この後の処理は、図4のS21と同様なので説明を省略する。
S44およびS45の後、境界ルータ20は、前回のDNS応答の受信数の計測から所定時間経過すると(S46のYes)、S41へ戻り、まだ前回のDNS応答の受信数の計測から所定時間経過していなければ(S46のNo)、S46へ戻る。
このように制御装置10は、攻撃パケットの転送をしている可能性が高い境界ルータ20に絞り込んでDNS応答を廃棄する旨のルールを送信する。これにより、制御装置10が、DNS応答の転送を許可する旨のルール(例外ルール)の送信対象の境界ルータ20を低減できるので、例外ルール受信通知の確認対象の境界ルータ20の数を低減できる。
すなわち、図4のS26に示したとおり、制御装置10のパケット転送部122は、例外ルールを送信した全ての境界ルータ20から例外ルール受信通知を受信したことを確認してから、S22で境界ルータ20から受信したDNSクエリを宛先(DNSサーバ)へ送信する。ここで、例外ルール受信通知の確認対象の境界ルータ20の数を低減することで、制御装置10のパケット転送部122がS22で境界ルータ20からDNSクエリを受信後、このDNSクエリを宛先(DNSサーバ)へ送信するまでの時間を低減できる。
(その他の実施形態)
なお、前記した実施形態において制御装置10のパケット廃棄指示部123が境界ルータ20へ送信するルールには、所定のサービスに関し、攻撃が発生したネットワーク(例えば、LAN1)宛の応答パケットを廃棄する旨を記載することとしたが、これに限定されない。例えば、所定のサービスに関する応答パケット(例えば、送信元ポート番号「53」の応答パケット)は、宛先にかかわらず全て廃棄する旨を記載してもよい。
また、転送制御部222が、受信した応答パケットが、DNSクエリに対する応答パケットであるか否かの判断は、パケットのポート番号を用いて判断することとしたが、IPアドレスや、ポート番号とIPアドレスとの組み合わせを用いてもよい。
例えば、転送制御部222が、IPアドレスを用いて判断する場合、応答パケットbの送信元のIPアドレスが、DNSクエリaの送信先のIPアドレスと同じであるとき、転送制御部222は、当該応答パケットbが、当該DNSクエリに対する応答パケットであると判断する。また、転送制御部222が、ポート番号およびIPアドレスを用いて判断する場合、応答パケットbの送信元のポート番号およびIPアドレスが、DNSクエリaの送信先のポート番号およびIPアドレスと同じであるとき、転送制御部222は、当該応答パケットbが、当該DNSクエリの応答パケットであると判断する。
また、通信システムにおいて攻撃通知を、境界ルータ20において行うこととしたが、境界ルータ20以外の装置が行ってもよい。さらに、制御装置10は、攻撃通知の受信をトリガとして、図4のS12以降の処理を行うこととしたが、これ以外のトリガによりS12以降の処理を行うようにしてもよい。
さらに、攻撃検知部223は、攻撃を検知する際、単位時間あたりのDNSクエリの応答パケットの通過数に対するDNSクエリの通過数の比を用いてもよい。すなわち、攻撃検知部223は単位時間あたりのDNSクエリの応答パケットの通過数に対するDNSクエリの通過数の比が所定の閾値以上であるとき、攻撃を検知し、攻撃通知を制御装置10へ送信するようにしてもよい。このように、攻撃検知部223が単位時間あたりのDNSクエリの応答パケットの通過数に対するDNSクエリの通過数の比を用いることで、攻撃の検知をより正確に行うことができる。
なお、第2の実施形態の制御装置10は、第1の実施形態の制御装置10と同様の手順により防御処理を終了させてもよいし、通信システム内のすべての、または、所定数以上の境界ルータ20から応答パケット廃棄停止通知を受信したとき、防御処理を終了させてもよい。
(プログラム)
前記した制御装置10が実行する処理をコンピュータが実行可能な言語で記述した制御プログラムで実現することもできる。この場合、コンピュータが制御プログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかる制御プログラムをコンピュータで読み取り可能な記録媒体に記録して、この記録媒体に記録された制御プログラムをコンピュータに読み込ませて実行することにより前記した実施形態と同様の処理を実現してもよい。以下に、制御装置10と同様の機能を実現する制御プログラムを実行するコンピュータの一例を説明する。
図6は、制御プログラムを実行するコンピュータを示す図である。図6に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有し、これらの各部はバス1080によって接続される。
メモリ1010は、図6に例示するように、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、図6に例示するように、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、図6に例示するように、ディスクドライブ1041に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1041に挿入される。シリアルポートインタフェース1050は、図6に例示するように、例えばマウス1051、キーボード1052に接続される。ビデオアダプタ1060は、図6に例示するように、例えばディスプレイ1061に接続される。
ここで、図6に例示するように、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、上記の制御プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1031に記憶される。
また、上記実施の形態で説明した各種データは、プログラムデータとして、例えばメモリ1010やハードディスクドライブ1031に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出し、前記した制御装置10の制御部12の機能を実現する。
なお、制御プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1041等を介してCPU1020によって読み出されてもよい。あるいは、プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10 制御装置
11、21 通信制御部
12、22 制御部
13、23 記憶部
20(20A、20B、20C) 境界ルータ
121 転送指示部
122 パケット転送部
123 パケット廃棄指示部
124 パケット転送許可指示部
221 ルール管理部
222 転送制御部
223 攻撃検知部
224 攻撃通知部
225 ルール適用通知部
226 ルール適用判定部

Claims (8)

  1. 第1のネットワークと複数の第2のネットワークとを接続する複数の境界ルータそれぞれに対し、パケットの転送制御を指示する制御装置であって、
    前記複数の境界ルータのうち第1の境界ルータに対し、所定のサービスに関する要求パケットを、前記制御装置へ転送する旨の指示を送信する転送指示部と、
    前記所定のサービスに関する応答パケットのうち、前記第1の境界ルータに接続される第2のネットワーク宛の応答パケットを廃棄する旨の指示を、前記第1の境界ルータ以外の境界ルータである第2の境界ルータそれぞれへ送信するパケット廃棄指示部と、
    前記第1の境界ルータから前記所定のサービスに関する要求パケットを受信したとき、前記第2の境界ルータそれぞれに対し、前記所定のサービスに関する応答パケットのうち、前記第2のネットワーク宛の応答パケットの転送を許可する旨の指示を送信するパケット転送許可指示部と、
    前記第1の境界ルータから受信した要求パケットを、前記要求パケットの宛先へ転送するパケット転送部とを備えることを特徴とする制御装置。
  2. 前記パケット転送部は、
    前記応答パケットの転送を許可する旨の指示の送信先の第2の境界ルータそれぞれから、前記指示を受信した旨の通知を受信したとき、前記第1の境界ルータから受信した要求パケットを、前記要求パケットの宛先へ転送することを特徴とする請求項1に記載の制御装置。
  3. 前記制御装置が、前記第2のネットワークへの攻撃を検知した旨の攻撃通知を前記第1の境界ルータから受信したとき、
    前記転送指示部は、
    前記第1の境界ルータに対し、前記所定のサービスに関する要求パケットを、前記制御装置へ転送する旨の指示を送信し、
    前記パケット廃棄指示部は、
    前記所定のサービスに関する応答パケットのうち、前記第2のネットワーク宛の応答パケットを廃棄する旨の指示を、前記第2の境界ルータそれぞれへ送信し、
    前記パケット転送許可指示部は、
    前記第1の境界ルータから、前記所定のサービスに関する要求パケットを受信したとき、前記第2の境界ルータそれぞれに対し、前記所定のサービスに関する応答パケットのうち、前記第1の境界ルータに接続される第2のネットワーク宛の応答パケットの転送を許可する旨の指示を送信し、
    前記パケット転送部は、
    前記応答パケットの転送を許可する旨の指示を送信した第2の境界ルータそれぞれから、前記指示を受信した旨の通知を受信したとき、前記第1の境界ルータから受信した要求パケットを、前記要求パケットの宛先へ転送することを特徴とする請求項1または請求項2に記載の制御装置。
  4. 前記応答パケットの転送を許可する旨の指示は、前記応答パケットの転送を許可する期間をさらに含むことを特徴とする請求項1ないし請求項3のいずれか1項に記載の制御装置。
  5. 第1のネットワークと複数の第2のネットワークとを接続する境界ルータそれぞれに対し、パケットの転送制御の指示を行う制御装置を有する通信システムであって、
    前記制御装置は、
    前記第1のネットワークと第2のネットワークとを接続する第1の境界ルータに対し、所定のサービスに関する要求パケットを、前記制御装置へ転送する旨の指示を送信する転送指示部と、
    前記所定のサービスに関する応答パケットのうち、前記第1の境界ルータに接続される第2のネットワーク宛の応答パケットを廃棄する旨の指示を、前記第1の境界ルータ以外の境界ルータである第2の境界ルータそれぞれへ送信するパケット廃棄指示部と、
    前記第1の境界ルータから前記所定のサービスに関する要求パケットを受信したとき、前記第2の境界ルータそれぞれに対し、前記所定のサービスに関する応答パケットのうち、前記第2のネットワーク宛の応答パケットの転送を許可する旨の指示を送信するパケット転送許可指示部と、
    前記第1の境界ルータから受信した要求パケットを、前記要求パケットの宛先へ転送するパケット転送部とを備え、
    前記境界ルータはそれぞれ、
    前記制御装置からの指示に基づき、前記所定のサービスに関する要求パケットの前記制御装置へ転送、および、前記所定のサービスに関する応答パケットのうち、前記第2のネットワーク宛の応答パケットの廃棄を行う転送制御部と、
    前記制御装置からの指示を受信したとき、前記指示を受信した旨の通知を前記制御装置へ送信する通知部とを備えることを特徴とする通信システム。
  6. 前記境界ルータは、さらに、
    前記応答パケットの通過数が所定の閾値以上であるとき、攻撃を検知する攻撃検知部と、
    前記攻撃が検知されたとき、前記制御装置へ前記攻撃の対象となるサービスおよび宛先を少なくとも含む攻撃通知を送信する攻撃通知部とを備えることを特徴とする請求項5に記載の通信システム。
  7. 前記転送制御部は、
    前記制御装置から、前記応答パケットの廃棄の指示を受信した場合において、単位時間あたりの前記応答パケットの受信数が所定の閾値未満である期間は、前記応答パケットの廃棄を停止し、
    前記通知部は、
    前記応答パケットの廃棄を停止している間、前記応答パケットの廃棄を停止している旨の通知である応答パケット廃棄停止通知を所定の間隔で前記制御装置へ継続的に通知し、
    前記制御装置のパケット転送許可指示部は、
    前記第1の境界ルータから前記所定のサービスに関する要求パケットを受信したとき、前記応答パケットの転送を許可する旨の指示の送信先を、前記第2の境界ルータのうち、当該要求パケットを受信した時刻から所定の時間以内に前記応答パケット廃棄停止通知を送信した第2の境界ルータ以外の第2の境界ルータとすることを特徴とする請求項5または請求項6に記載の通信システム。
  8. 第1のネットワークと複数の第2のネットワークとを接続する複数の境界ルータそれぞれに対し、パケットの転送制御を指示する制御装置が、
    前記複数の境界ルータのうち第1の境界ルータに対し、所定のサービスに関する要求パケットを、前記制御装置へ転送する旨の指示を送信するステップと、
    前記所定のサービスに関する応答パケットのうち、前記第1の境界ルータに接続される第2のネットワーク宛の応答パケットを廃棄する旨の指示を、前記第1の境界ルータ以外の境界ルータである第2の境界ルータそれぞれへ送信するステップと、
    前記第1の境界ルータから前記所定のサービスに関する要求パケットを受信したとき、前記第2の境界ルータそれぞれに対し、前記所定のサービスに関する応答パケットのうち、前記第2のネットワーク宛の応答パケットの転送を許可する旨の指示を送信するステップと、
    前記第1の境界ルータから受信した要求パケットを、前記要求パケットの宛先へ転送するステップとを実行することを特徴とする通信制御方法。
JP2013157928A 2013-07-30 2013-07-30 制御装置、通信システム、および、通信制御方法 Active JP5922622B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013157928A JP5922622B2 (ja) 2013-07-30 2013-07-30 制御装置、通信システム、および、通信制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013157928A JP5922622B2 (ja) 2013-07-30 2013-07-30 制御装置、通信システム、および、通信制御方法

Publications (2)

Publication Number Publication Date
JP2015029207A JP2015029207A (ja) 2015-02-12
JP5922622B2 true JP5922622B2 (ja) 2016-05-24

Family

ID=52492648

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013157928A Active JP5922622B2 (ja) 2013-07-30 2013-07-30 制御装置、通信システム、および、通信制御方法

Country Status (1)

Country Link
JP (1) JP5922622B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102046612B1 (ko) * 2018-08-22 2019-11-19 숭실대학교산학협력단 Sdn 기반의 dns 증폭 공격 방어시스템 및 그 방법

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7725602B2 (en) * 2000-07-19 2010-05-25 Akamai Technologies, Inc. Domain name resolution using a distributed DNS network
JP2004328307A (ja) * 2003-04-24 2004-11-18 Mitsubishi Electric Corp 攻撃防御システム、攻撃防御制御サーバおよび攻撃防御方法
JP2006201951A (ja) * 2005-01-19 2006-08-03 Nec Corp ネットワーク防御システム、ネットワーク防御方法、監視マネージャおよびプログラム
JP4296184B2 (ja) * 2006-03-13 2009-07-15 日本電信電話株式会社 攻撃検出装置、攻撃検出方法および攻撃検出プログラム
JP4287456B2 (ja) * 2006-10-26 2009-07-01 株式会社東芝 サービス不能攻撃を防止するサーバ装置、方法およびプログラム
US8261351B1 (en) * 2008-01-22 2012-09-04 F5 Networks, Inc. DNS flood protection platform for a network
JP4592789B2 (ja) * 2008-07-29 2010-12-08 日本電信電話株式会社 通信制御装置、通信制御方法および通信制御処理プログラム

Also Published As

Publication number Publication date
JP2015029207A (ja) 2015-02-12

Similar Documents

Publication Publication Date Title
US8661544B2 (en) Detecting botnets
KR101270041B1 (ko) Arp 스푸핑 공격 탐지 시스템 및 방법
US8886927B2 (en) Method, apparatus and system for preventing DDoS attacks in cloud system
JP6026789B2 (ja) ネーム基盤のネットワークシステムでペンディングテーブルのオーバーフローを防止するノード装置、並びにそのオーバーフローを防止する装置及び方法
US10097520B2 (en) Method and apparatus for causing delay in processing requests for internet resources received from client devices
US9843590B1 (en) Method and apparatus for causing a delay in processing requests for internet resources received from client devices
CN110266678B (zh) 安全攻击检测方法、装置、计算机设备及存储介质
JP6329275B2 (ja) 制御装置、通信システム、制御方法、および、制御プログラム
WO2013097475A1 (zh) 防火墙的数据检测方法及装置
US10397225B2 (en) System and method for network access control
US20110026529A1 (en) Method And Apparatus For Option-based Marking Of A DHCP Packet
KR20120060655A (ko) 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크
WO2008131658A1 (fr) Procédé et dispositif pour fureter le dhcp
JP2009239525A (ja) フィルタリング装置、フィルタリング方法およびフィルタリングプログラム
US8159948B2 (en) Methods and apparatus for many-to-one connection-rate monitoring
WO2019096104A1 (zh) 攻击防范
CN102546587B (zh) 防止网关系统会话资源被恶意耗尽的方法及装置
US20070101429A1 (en) Connection-rate filtering using ARP requests
JP2019152912A (ja) 不正通信対処システム及び方法
JP5922622B2 (ja) 制御装置、通信システム、および、通信制御方法
US20180191744A1 (en) System and method to implement cloud-based threat mitigation for identified targets
KR101065800B1 (ko) 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체
JP6593137B2 (ja) パケット蓄積装置,及びパケット蓄積方法
JP4084317B2 (ja) ワーム検出方法
JP2009081736A (ja) パケット転送装置及びパケット転送プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150805

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20151001

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20151005

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160408

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160412

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160414

R150 Certificate of patent or registration of utility model

Ref document number: 5922622

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150