JP5977860B1 - 通信制御方法、通信制御装置及びプログラム - Google Patents
通信制御方法、通信制御装置及びプログラム Download PDFInfo
- Publication number
- JP5977860B1 JP5977860B1 JP2015111340A JP2015111340A JP5977860B1 JP 5977860 B1 JP5977860 B1 JP 5977860B1 JP 2015111340 A JP2015111340 A JP 2015111340A JP 2015111340 A JP2015111340 A JP 2015111340A JP 5977860 B1 JP5977860 B1 JP 5977860B1
- Authority
- JP
- Japan
- Prior art keywords
- network
- route
- communication
- router
- route information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims abstract description 309
- 238000000034 method Methods 0.000 title claims abstract description 66
- PWPJGUXAGUPAHP-UHFFFAOYSA-N lufenuron Chemical compound C1=C(Cl)C(OC(F)(F)C(C(F)(F)F)F)=CC(Cl)=C1NC(=O)NC(=O)C1=C(F)C=CC=C1F PWPJGUXAGUPAHP-UHFFFAOYSA-N 0.000 title 1
- 238000012546 transfer Methods 0.000 claims description 39
- 230000008569 process Effects 0.000 claims description 16
- 230000005540 biological transmission Effects 0.000 claims description 12
- 238000012545 processing Methods 0.000 abstract description 16
- 230000006870 function Effects 0.000 description 45
- 238000010586 diagram Methods 0.000 description 20
- 230000004044 response Effects 0.000 description 16
- 101000638180 Homo sapiens Transmembrane emp24 domain-containing protein 2 Proteins 0.000 description 13
- 102220498740 Negative regulator of P-body association_P24A_mutation Human genes 0.000 description 13
- 102220272829 rs752608224 Human genes 0.000 description 12
- 102200109183 rs879253818 Human genes 0.000 description 11
- 230000004913 activation Effects 0.000 description 5
- 230000002159 abnormal effect Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 2
- 230000004308 accommodation Effects 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/22—Alternate routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/58—Association of routers
- H04L45/586—Association of routers of virtual routers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/20—Traffic policing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】Internet Service Provider間の攻撃対策装置における処理負荷を軽減する方法、装置及びプログラムを提供する。【解決手段】通信制御装置221は、ネットワーク600とネットワーク101との間の通信経路にあるネットワーク300において、ネットワーク600からネットワーク101に向かう通信の経路を分岐させるように自律システムASZ310を制御する。通信制御装置の経路設定部2211は、分岐させた経路の第2経路をネットワーク101のアドレス空間からネットワーク102のアドレス空間が除かれたネットワーク101に向かう経路にする。第1経路には所定のアドレス空間に向かう通信を制限するフィルタ装置222が設けられており、予め定められた制約条件を満たす場合に通信をフィルタ装置により制限し、制約条件を満たさない場合に所定のアドレス空間に向かう通信を許可するように制御する。【選択図】図1
Description
本発明は、通信制御方法、通信制御装置及びプログラムに関する。
インターネットなどの公的なネットワークに接続されている通信システムでは、攻撃的な通信が集中することにより、その通信機能が低下することがある。これに対し、攻撃的な通信が集中することによる通信機能の低下を軽減させる技術が知られている(特許文献1参照)。
特許文献1によれば、複数のISP(Internet Service Provider)とマルチホームしているユーザネットワークに対する通信において、1つのISPにおいてDDoS攻撃による影響を低減させる対策を実施することが開示されている。
特許文献1によれば、複数のISP(Internet Service Provider)とマルチホームしているユーザネットワークに対する通信において、1つのISPにおいてDDoS攻撃による影響を低減させる対策を実施することが開示されている。
しかしながら、特許文献1に記載の技術では、ISP間で交換される経路情報により指定されたアドレス空間に含まれる通信全てについて、攻撃対策装置がその対策に要する処理をすることが必要とされ、攻撃対策装置における対策時の処理の負荷が高くなる。攻撃対策装置の処理能力以上のトラフィックが生じた場合などでは、処理が滞留してしまい、転送するパケットの遅延が大きくなることがある。
上記事情を鑑み、本発明は、通信システムの利便性を高めることを可能にする技術を提供することを目的としている。
本発明の一態様は、特定のネットワークと、前記特定のネットワークと接続する特定の装置を収容する第1ネットワークと、前記特定のネットワークと前記第1ネットワークとの間に設けられた第2ネットワークと、所定の条件に従い通信を制限するフィルタ部と、を含む通信システムにおいて、経路制御をする通信制御方法であって、前記特定のネットワーク側から前記第1ネットワークに向かう経路を前記第2ネットワークにおいて分岐させるように定めた経路情報により、前記分岐させた経路の第1経路を、前記フィルタ部を経由して前記特定の装置のアドレスを含む所定のアドレス空間に向かう経路にし、前記分岐させた経路の第2経路を前記第1ネットワークのアドレス空間から前記所定のアドレス空間が除かれた前記第1ネットワークに向かう経路にするように経路を制御する通信経路設定過程を前記通信システムの通信制御部に実施させることを特徴とする通信制御方法である。
本発明の一態様は、上記の通信制御方法であって、前記第1経路に設けられた第3ネットワークに前記フィルタ部が収容されており、前記第1経路を介して前記特定の装置に向かう通信が前記フィルタ部に向かうように前記通信制御部が制御する過程を含むことを特徴とする。
本発明の一態様は、上記の通信制御方法であって、前記第2ネットワークに前記フィルタ部が収容されており、前記第1経路を介して前記特定の装置に向かう通信が前記フィルタ部に向かうように前記通信制御部が制御する過程を含むことを特徴とする。
本発明の一態様は、上記の通信制御方法であって、前記通信経路設定過程において、前記特定のネットワークと前記第1ネットワークとの間の経路を制御する経路制御プロトコルを利用して、次に示す2種類の前記経路情報を前記通信制御部が出力させる過程を含み、第1の経路情報には、前記第1ネットワークのアドレス空間を示すアドレス情報が含まれ、第2の経路情報には、前記第1ネットワークのアドレス空間より狭くなるように設定された所定のアドレス空間を示すアドレス情報が含まれていることを特徴とする。
本発明の一態様は、上記の通信制御方法であって、前記第1の経路情報には、前記フィルタ部が設けられたネットワークとは別のネットワークに属するゲートウェイに、前記特定のネットワークから受信したパケットが前記第2ネットワークから転送されるように転送先を指定する情報が含まれており、前記第2の経路情報には、前記受信したパケットが前記フィルタ部に転送されるように転送先を指定する情報が含まれていることを特徴とする。
本発明の一態様は、上記の通信制御方法であって、前記第1の経路情報と前記第2の経路情報は、前記第1経路に設けられた第3ネットワークから送出されることを特徴とする。
本発明の一態様は、上記の通信制御方法であって、前記第2の経路情報について、前記第2ネットワークを経由して他のネットワークに広告されるかは、前記第2ネットワークの接続先のネットワークに応じて選択されることを特徴とする。
本発明の一態様は、上記の通信制御方法であって、前記経路情報の送出元を示す情報を前記第1ネットワークにして前記経路を設定する過程を含むことを特徴とする。
本発明の一態様は、上記の通信制御方法であって、前記第1ネットワークと前記フィルタ部が設けられたネットワークとの間にトンネルが形成されていて、前記第1経路に設けられた前記フィルタ部を経由する通信のパケットは、当該トンネルを経由して前記第3ネットワークから前記第1ネットワークに転送されることを特徴とする。
本発明の一態様は、上記の通信制御方法であって、前記フィルタ部が設けられたネットワークとは別のネットワークは、前記第1ネットワークに向かう前記第2経路に含まれるネットワークであることを特徴とする。
本発明の一態様は、上記の通信制御方法であって、前記第1ネットワークと前記第2ネットワークが他のネットワークを介して接続されている場合、前記第1ネットワークと前記第2ネットワークとの間に存在する他のネットワークを指定する情報が前記経路情報に追加されることを特徴とする。
本発明の一態様は、特定のネットワークと、前記特定のネットワークと接続する特定の装置を収容する第1ネットワークと、前記特定のネットワークと前記第1ネットワークとの間に設けられた第2ネットワークと、所定の条件に従い通信を制限するフィルタ部と、を含む通信システムにおいて、経路制御をする通信制御装置であって、前記特定のネットワーク側から前記第1ネットワークに向かう経路を前記第2ネットワークにおいて分岐させるように定めた経路情報により、前記分岐させた経路の第1経路を、前記フィルタ部を経由して前記特定の装置のアドレスを含む所定のアドレス空間に向かう経路にし、前記分岐させた経路の第2経路を前記第1ネットワークのアドレス空間から前記所定のアドレス空間が除かれた前記第1ネットワークに向かう経路にするように経路を制御する経路設定部を備えることを特徴とする通信制御装置である。
本発明の一態様は、特定のネットワークと、前記特定のネットワークと接続する特定の装置を収容する第1ネットワークと、前記特定のネットワークと前記第1ネットワークとの間に設けられた第2ネットワークと、所定の条件に従い通信を制限するフィルタ部と、を含む通信システムのコンピュータに、前記特定のネットワーク側から前記第1ネットワークに向かう経路を前記第2ネットワークにおいて分岐させるように定めた経路情報により、前記分岐させた経路の第1経路を、前記フィルタ部を経由して前記特定の装置のアドレスを含む所定のアドレス空間に向かう経路にし、前記分岐させた経路の第2経路を前記第1ネットワークのアドレス空間から前記所定のアドレス空間が除かれた前記第1ネットワークに向かう経路にするように経路を制御するステップを実行させるためのプログラムである。
本発明の一態様は、インターネットと通信する特定の装置を収容する第1ネットワークと、前記インターネットと前記第1ネットワークとの間に設けられた第2ネットワークと、所定の条件に従い通信を制限するフィルタ部を備えるとともに、前記第2ネットワークと接続し、前記第1ネットワークとトンネルを形成する第3ネットワークと、を含むネットワークにおいて、前記インターネットから前記第1ネットワークに向けられたパケットを経路制御プロトコルにより制御する通信制御方法であって、宛先が前記第1ネットワークのアドレス空間に属するパケットの転送先を、前記第3ネットワークとは別のネットワークに指定する情報が含まれる第1の経路情報を、前記第2ネットワークに広告するステップと、宛先が、前記第1ネットワークのアドレス空間より狭く、かつ、前記特定の装置のアドレスを含むアドレス空間に属するパケットの転送先を、前記第3ネットワークに指定する情報が含まれる第2の経路情報を、前記第2ネットワークに広告するステップと、を有することを特徴とする通信制御方法である。
本発明の一態様は、コンピュータに、上記に記載の通信制御方法を実行させるためのプログラムである。
本発明により、通信システムの利便性を高めることが可能となる。
図を参照して、本実施形態に係る通信システムについて説明する。
<第1実施形態>
図1は、本実施形態に係る通信システムの構成図である。本実施形態に係る通信システムの概要を以下に示す。
以下の説明では、インターネットを利用するユーザが管理するネットワーク(第1ネットワーク)内の通信装置(対象装置、特定の装置)に対するDDoS攻撃又はDoS攻撃を、特定のISP(Internet Service Provider)が管理するネットワーク(第2ネットワーク)を利用して軽減させる場合を例示して、本実施形態に係る通信システムについて説明する。
インターネットを構成する特定のネットワークとユーザのネットワーク(第1ネットワーク)とが他のネットワークを介して接続されている。上記のユーザのネットワーク内の所定のアドレス空間には、前記インターネットを介して通信する特定の装置が収容されている。例えば、上記の他のネットワークには、インターネットを構成する特定のネットワークとユーザのネットワークとの間の通信経路に設けられている特定のISP(Internet Service Provider)が管理するネットワークが含まれる。
図1は、本実施形態に係る通信システムの構成図である。本実施形態に係る通信システムの概要を以下に示す。
以下の説明では、インターネットを利用するユーザが管理するネットワーク(第1ネットワーク)内の通信装置(対象装置、特定の装置)に対するDDoS攻撃又はDoS攻撃を、特定のISP(Internet Service Provider)が管理するネットワーク(第2ネットワーク)を利用して軽減させる場合を例示して、本実施形態に係る通信システムについて説明する。
インターネットを構成する特定のネットワークとユーザのネットワーク(第1ネットワーク)とが他のネットワークを介して接続されている。上記のユーザのネットワーク内の所定のアドレス空間には、前記インターネットを介して通信する特定の装置が収容されている。例えば、上記の他のネットワークには、インターネットを構成する特定のネットワークとユーザのネットワークとの間の通信経路に設けられている特定のISP(Internet Service Provider)が管理するネットワークが含まれる。
ところで、インターネットでは経路制御プロトコルにBGP(BGP−4)が利用されている。ISPが経路情報に指定するアドレス空間を、BGPによる経路制御により攻撃対策装置に引き込む場合には、IPv4アドレスであれば「/24」で指定されるIPアドレス空間より大きなIPアドレス空間、又は、IPv6アドレスであれば「/48」で指定されるIPアドレス空間より大きなIPアドレス空間であることが必要とされる場合が多い。上記のように指定される経路情報だけでは、より細かな単位でIPアドレスを制御することができない。そのため、防御対象のIPアドレスに宛てたトラッフィクを制限する場合であっても、当該IPアドレス以外のトラフィックも攻撃対策装置を経由させる必要があり、攻撃対策装置における処理の負荷が高くなり、ユーザのネットワークに対するトラフィックに大きな遅延が発生することがあった。
そこで、本実施形態では、インターネットを構成する特定のネットワークとユーザのネットワークとの間の通信が共通の経路制御プロトコルのBGPにより経路制御がなされるように構成されていることを利用して、所定の条件に従い通信を制限するフィルタ部により、攻撃的な通信の影響を軽減させる通信制御方法について説明する。
特定のISP(Internet Service Provider)が管理するネットワーク(第2ネットワーク)において、前記インターネットを構成する特定のネットワークからユーザのネットワーク(第1ネットワーク)に向かう通信の経路を分岐させる。前記分岐させた経路の第1経路を前記所定のアドレス空間に向かう経路にする。前記分岐させた経路の第2経路をユーザのネットワーク(第1ネットワーク)のアドレス空間から前記所定のアドレス空間が除かれたユーザのネットワークに向かう経路にする。上記の通信の経路は、特定のネットワーク側からユーザのネットワーク(第1ネットワーク)に向かう経路を特定のISPが管理するネットワーク(第2ネットワーク)において分岐させるように定めた経路情報により分岐させる。
また、前記第1経路には、前記所定のアドレス空間に向かう通信を制限するフィルタ装置222(フィルタ部)が設けられている。フィルタ装置222は、制御に応じて、予め定められた制約条件を満たす場合に前記第1経路を介して前記所定のアドレス空間に向かう通信を制限し、前記制約条件を満たさない場合に前記第1経路を介して前記所定のアドレス空間に向かう通信を許可する。
上記のように構成する通信システムについて、より具体的な実施例を例示して説明する。
図1に示す通信システム1には、AS(Autonomous System:自律システム)X110、ASY210、ASZ310、ASB410、及びネットワーク600が含まれている。
図1に示す通信システム1には、AS(Autonomous System:自律システム)X110、ASY210、ASZ310、ASB410、及びネットワーク600が含まれている。
ネットワーク600は、インターネットを構成する特定のネットワークであり1又は複数の自律システム(AS)により構成される。ネットワーク600は、例えば、ルータ613、ルータ614を備えて構成されており、ルータ613、ルータ614を含む各ルータ間で経路情報が共有される。
ASX110、ASY210、ASZ310、及びASB410のそれぞれは、自律システム(AS)である。ASX110、ASY210、ASZ310、及びASB410のそれぞれには、ネットワーク100、ネットワーク200、ネットワーク300、及びネットワーク400が対応づけられている。
ここで、ASX110に対応するネットワーク100は、ネットワークアドレス(プレフィクス)「10.0.0.0/21」で識別されるものとする。ネットワーク100内にネットワーク101が設けられており、ネットワーク101は、ネットワークアドレス(プレフィクス)「10.0.0.0/24」で識別されるものとする。ネットワーク101内にネットワーク102が設けられており、ネットワーク102は、ネットワークアドレス(プレフィクス)「10.0.0.0/30」で識別されるものとする。
例えば、ASX110は、ルータ111、ルータ112、ルータ113、ルータ114、及び対象装置120を備える。
対象装置120は、攻撃的なトラフィックを成す通信の送信先にあたる被攻撃対象の通信装置である。対象装置120は、ネットワーク101内のIPアドレス(ネットワークアドレス)が割り付けられており、例えば、そのアドレスが「10.0.0.1/32」で識別されるものとする。
ルータ111、ルータ112、ルータ113及びルータ114の各ルータは、互いに経路情報を共有し、ASX110内の通信の経路制御を実施する。なお、ルータ111、ルータ112、ルータ113及びルータ114間の接続は図示する以外の構成にしてもよい。
対象装置120は、攻撃的なトラフィックを成す通信の送信先にあたる被攻撃対象の通信装置である。対象装置120は、ネットワーク101内のIPアドレス(ネットワークアドレス)が割り付けられており、例えば、そのアドレスが「10.0.0.1/32」で識別されるものとする。
ルータ111、ルータ112、ルータ113及びルータ114の各ルータは、互いに経路情報を共有し、ASX110内の通信の経路制御を実施する。なお、ルータ111、ルータ112、ルータ113及びルータ114間の接続は図示する以外の構成にしてもよい。
ルータ111、ルータ112、及びルータ113は、外部のネットワークに接続されており、ルータ112とルータ113は、接続先のネットワークに対応する各ASに対して経路情報を広告する。例えば、ルータ112は、ポートGX2において論理パスL13を介してASZ310に接続される。ルータ113は、ポートGX3において論理パスL14を介してASB410に接続される。ルータ111は、ポートGX1において論理パスを成すトンネルT12を介してASY210に接続される。なお、トンネルT12は、ASX110とASY210の間でIPパケットを透過的に中継させるものであり、例えば、カプセル化されたIPパケットを中継するように構成してもよい。ルータ111は、ASY210に対して経路情報を広告しない。ルータ114は、ネットワーク100内におけるネットワーク101とネットワーク101外の通信に対する経路制御を実施する。
ASZ310は、ルータ311、ルータ312、ルータ313、及びルータ314を備える。ルータ311、ルータ312、ルータ313、及びルータ314は、外部のネットワークに接続されており、接続先のネットワークに対応する各ASに対して経路情報を広告する。例えば、ルータ313は、ポートGZ3において論理パスL13を介してASX110に接続される。ルータ311は、ポートGZ1において論理パスL36を介してネットワーク600のルータ613に接続される。ルータ312は、ポートGZ2において論理パスL34を介してASB410に接続される。ルータ314は、ポートGZ4において論理パスL23を介してASY210に接続される。
ルータ311、ルータ312、ルータ313及びルータ314の各ルータは、互いに経路情報を共有し、ASZ310内の通信の経路制御を実施する。なお、ルータ311、ルータ312、ルータ313、及びルータ314間の接続は図示する以外の構成にしてもよい。
ルータ311、ルータ312、ルータ313及びルータ314の各ルータは、互いに経路情報を共有し、ASZ310内の通信の経路制御を実施する。なお、ルータ311、ルータ312、ルータ313、及びルータ314間の接続は図示する以外の構成にしてもよい。
ASB410は、ルータ411、ルータ412、ルータ413、及びルータ414を備える。ルータ411、ルータ412、ルータ413、及びルータ414は、外部のネットワークに接続されており、接続先のネットワークに対応する各ASに対して経路情報を広告する。例えば、ルータ413は、ポートGB3において論理パスL14を介してASX110に接続される。ルータ411は、ポートGB1において論理パスL46を介してネットワーク600のルータ614に接続される。ルータ414は、ポートGB4において論理パスL34を介してASZ310に接続される。
ルータ411、ルータ412、ルータ413及びルータ414の各ルータは、互いに経路情報を共有し、ASB410内の通信の経路制御を実施する。なお、ルータ411、ルータ412、ルータ413及びルータ414間の接続は図示する以外の構成にしてもよい。
ルータ411、ルータ412、ルータ413及びルータ414の各ルータは、互いに経路情報を共有し、ASB410内の通信の経路制御を実施する。なお、ルータ411、ルータ412、ルータ413及びルータ414間の接続は図示する以外の構成にしてもよい。
ASY210は、ルータ211、ルータ212、通信制御装置221、及びフィルタ装置222を備える。ルータ211とルータ212は、外部のネットワークであるネットワーク300に接続されており、接続先のネットワーク300に対応するASZ310に対して経路情報を広告する。例えば、ルータ211は、ポートGY1において論理パスL23を介してASZ310に接続される。ルータ212は、ポートGY2において論理パスを成すトンネルT12を介してASX110に接続される。なお、ルータ211とルータ212を分けて構成した場合を示しているが、一体の装置で構成することを制限するものではなく、ネットワーク200内の接続は図示する以外の構成にしてもよい。
通信制御装置221は、通信システム1における通信経路を制御して、攻撃的なトラフィックによる影響を軽減させるように制御する。例えば、通信制御装置221は、経路設定部2211と通信制御部2212とを備える。
経路設定部2211(通信制御装置221)は、ネットワーク600(特定のネットワーク)とネットワーク101(第1ネットワーク)との間の通信経路にあるネットワーク300(第2ネットワーク)において、ネットワーク600からネットワーク101に向かう通信の経路を分岐させるようにASZ310を制御する。経路設定部2211(通信制御装置221)は、分岐させた経路の第1経路を、所定のアドレス空間に割り付けられたネットワーク102に向かう経路にする。また、経路設定部2211(通信制御装置221)は、分岐させた経路の第2経路を、ネットワーク101のアドレス空間からネットワーク102のアドレス空間が除かれたネットワーク101に向かう経路にする。経路設定部2211(通信制御装置221)は、上記のように定めた経路情報を利用して、通信の経路の構成を調整する。
前記第1経路には、前記所定のアドレス空間に向かう通信を制限するフィルタ装置222が設けられており、予め定められた制約条件を満たす場合に前記第1経路を介して前記所定のアドレス空間に向かう通信をフィルタ装置222により制限し、前記制約条件を満たさない場合に前記第1経路を介して前記所定のアドレス空間に向かう通信を許可するように、通信制御部2212(通信制御装置221)は、フィルタ装置222を制御する。
経路設定部2211(通信制御装置221)は、ネットワーク600(特定のネットワーク)とネットワーク101(第1ネットワーク)との間の通信経路にあるネットワーク300(第2ネットワーク)において、ネットワーク600からネットワーク101に向かう通信の経路を分岐させるようにASZ310を制御する。経路設定部2211(通信制御装置221)は、分岐させた経路の第1経路を、所定のアドレス空間に割り付けられたネットワーク102に向かう経路にする。また、経路設定部2211(通信制御装置221)は、分岐させた経路の第2経路を、ネットワーク101のアドレス空間からネットワーク102のアドレス空間が除かれたネットワーク101に向かう経路にする。経路設定部2211(通信制御装置221)は、上記のように定めた経路情報を利用して、通信の経路の構成を調整する。
前記第1経路には、前記所定のアドレス空間に向かう通信を制限するフィルタ装置222が設けられており、予め定められた制約条件を満たす場合に前記第1経路を介して前記所定のアドレス空間に向かう通信をフィルタ装置222により制限し、前記制約条件を満たさない場合に前記第1経路を介して前記所定のアドレス空間に向かう通信を許可するように、通信制御部2212(通信制御装置221)は、フィルタ装置222を制御する。
フィルタ装置222は、上記の第1経路に設けられており、所定の条件に従い通信を制限する。例えば、前記第1経路において、ネットワーク300(第2ネットワーク)とネットワーク100(第1ネットワーク)との間に設けられたネットワーク200(第3ネットワーク)に収容されている。フィルタ装置222は、予め定められた制約条件を満たす場合に、前記第1経路を介してネットワーク102に対応する所定のアドレス空間に向かう通信を制限し、前記制約条件を満たさない場合に、前記第1経路を介してネットワーク102に対応する所定のアドレス空間に向かう通信を許可する。フィルタ装置222における上記の処理に実施は、通信制御装置221からの制御に応じて実施されるように構成してもよい。
次に、図1から図4を参照して、以上のように構成された通信システムにおける機能について説明する。図2は、本実施形態に係る通信システムにおける攻撃的な通信のトラフィックを軽減させる処理の手順を示すフローチャートである。
通信制御装置221は、ASX110において検出された通信状態をそれぞれ指定するデータとフィルタ装置222において検出された通信状態をそれぞれ指定するデータとを取得する(ステップS10)。通信制御装置221は、取得したデータによりASX110の通信状態を判定する(ステップS20)。ステップS20の判定により異常なトラフィックが検出され、かつ、対策機能が起動していない場合、通信制御装置221は、フィルタ装置222とASZ310における通信経路の状態を制御して対策機能を起動させる。対策機能の起動方法の詳細については後述する(ステップS30)。フィルタ装置222は、ASZ310を経て供給されるパケットをそれぞれ判定し、予め定められた制約条件を満たす場合に当該パケットを制限し、前記制約条件を満たさない場合に当該パケットを許可するというフィルタ処理を実施する(ステップS40)。
一方、対策機能が起動中にあり、ステップS20の判定により、異常なトラフィックが検出され続けている場合、ステップS40の処理により、通信制御装置221は、対策機能を継続させる。
さらに、対策機能が起動中にあり、ステップS20の判定により、異常なトラフィックが検出されなくなった場合、通信制御装置221は、起動中の対策機能を解除させて、通信経路を、対策機能を起動させる前の平常時の状態に戻し、フィルタ装置222による処理を終了させる(ステップS50)。
上記の手順により、通信システム1は、攻撃的な通信のトラフィックを軽減させることができる。なお、上記の手順では、平常時と対策時を切り替える手順を含めているが、恒常的に対策を実施することを制限するものではない。
次に、図3を参照して、本実施形態に係る通信システムによる対策機能について説明する。同図は、本実施形態に係る通信システムによる対策機能の動作を示すシーケンス図である。同図には、本実施形態の機能の説明に必要とされる主たる手順が示されている。
(平常時の通信パスの設定)
最初に平常時の通信パスが設定される。ASX110は、ASZ310に経路情報M21A1を広告する。例えば、経路情報M21A1は、プレフィクスに「10.0.0.0/21」、ASパス(AS−PATH)に「X」、ネクストホップ(Next−hop)に「GX2」をそれぞれ指定するデータを含む。ASZ310は、上記経路情報M21A1の受信に応じて、ASZ310内で経路情報を共有するとともに、ネットワーク600に経路情報M21A2を広告する。例えば、経路情報M21A2は、プレフィクスに「10.0.0.0/21」、ASパスに「ZX」、ネクストホップに「GZ1」をそれぞれ指定するデータを含む。なお、ASパスで指定する「X」、「Y」、「Z」、「B」のそれぞれは、ASX110、ASY210、ASZ310、ASB410を示す。例えば、上記のように「ZX」と記載したASパスは、「X」、「Z」の順にリスト化されるものとする。以下の説明においても同様とする。
最初に平常時の通信パスが設定される。ASX110は、ASZ310に経路情報M21A1を広告する。例えば、経路情報M21A1は、プレフィクスに「10.0.0.0/21」、ASパス(AS−PATH)に「X」、ネクストホップ(Next−hop)に「GX2」をそれぞれ指定するデータを含む。ASZ310は、上記経路情報M21A1の受信に応じて、ASZ310内で経路情報を共有するとともに、ネットワーク600に経路情報M21A2を広告する。例えば、経路情報M21A2は、プレフィクスに「10.0.0.0/21」、ASパスに「ZX」、ネクストホップに「GZ1」をそれぞれ指定するデータを含む。なお、ASパスで指定する「X」、「Y」、「Z」、「B」のそれぞれは、ASX110、ASY210、ASZ310、ASB410を示す。例えば、上記のように「ZX」と記載したASパスは、「X」、「Z」の順にリスト化されるものとする。以下の説明においても同様とする。
マルチホームで構成されるASX110は、ASB410に経路情報M21B1を広告する。例えば、経路情報M21B1は、プレフィクスに「10.0.0.0/21」、ASパスに「X」、ネクストホップに「GX3」をそれぞれ指定するデータを含む。ASB410は、上記経路情報M21B1の受信に応じて、ASB410内で経路情報を共有するとともに、ネットワーク600に経路情報M21B2を広告する。例えば、経路情報M21B2は、プレフィクスに「10.0.0.0/21」、ASパスに「BX」、ネクストホップに「GB1」をそれぞれ指定するデータを含む。
ネットワーク600を構成する各ルータは、上記の経路情報M21A2と経路情報M21B2を取得して、保持している経路情報を更新する。
(対策機能を起動させるパス設定)
通信制御装置221は、ルータ211又はフィルタ装置222を制御して、経路情報M32DFを生成させる。経路情報M32DFは、プレフィクスに「10.0.0.1/32」、ASパスに「YX」、ネクストホップにASY210のゲートウェイを示す「GY1」をそれぞれ指定するデータを含む。さらに、通信制御装置221は、経路情報M24DFを生成する。例えば、経路情報M24DFは、プレフィクスに「10.0.0.0/24」、ASパスに「YX」、ネクストホップにASX110のゲートウェイを示す「GX2」をそれぞれ指定するデータを含む。上記のASパスの指定において、「X」をASパスの先頭につけることで、ASX110側からASパスを広告することなく、対策用のパスを設定する。
ここで、通信制御装置221は、経路情報M32DFと経路情報M24DFとをルータ211からASZ310に広告させる。
なお、上記の経路情報M32DFには、プレフィクスに例えば「10.0.0.1/32」と指定した所定のアドレス空間を示すアドレス情報が含まれ、前記所定のアドレス空間がネットワーク101(又はネットワーク100、第1ネットワーク)のアドレス空間より狭くなるように設定される。経路情報M24DFには、ネットワーク101(又はネットワーク100、第1ネットワーク)のアドレス空間を示すアドレス情報が含まれている。経路情報M24DFに、さらに経路情報M32DF(第2の経路情報)が、前記第1の経路情報より優先的に選択されるようにする情報を含むように構成してもよい。
通信制御装置221は、ルータ211又はフィルタ装置222を制御して、経路情報M32DFを生成させる。経路情報M32DFは、プレフィクスに「10.0.0.1/32」、ASパスに「YX」、ネクストホップにASY210のゲートウェイを示す「GY1」をそれぞれ指定するデータを含む。さらに、通信制御装置221は、経路情報M24DFを生成する。例えば、経路情報M24DFは、プレフィクスに「10.0.0.0/24」、ASパスに「YX」、ネクストホップにASX110のゲートウェイを示す「GX2」をそれぞれ指定するデータを含む。上記のASパスの指定において、「X」をASパスの先頭につけることで、ASX110側からASパスを広告することなく、対策用のパスを設定する。
ここで、通信制御装置221は、経路情報M32DFと経路情報M24DFとをルータ211からASZ310に広告させる。
なお、上記の経路情報M32DFには、プレフィクスに例えば「10.0.0.1/32」と指定した所定のアドレス空間を示すアドレス情報が含まれ、前記所定のアドレス空間がネットワーク101(又はネットワーク100、第1ネットワーク)のアドレス空間より狭くなるように設定される。経路情報M24DFには、ネットワーク101(又はネットワーク100、第1ネットワーク)のアドレス空間を示すアドレス情報が含まれている。経路情報M24DFに、さらに経路情報M32DF(第2の経路情報)が、前記第1の経路情報より優先的に選択されるようにする情報を含むように構成してもよい。
ASZ310は、上記経路情報M32DFと経路情報M24DFの受信に応じて、ASZ310内で経路情報を共有するとともに、ネットワーク600に経路情報M24DF1を広告し、ASB410に経路情報M24DF2を広告する。例えば、経路情報M24DF1は、プレフィクスに「10.0.0.0/24」、ASパスに「ZYX」、ネクストホップに「GZ1」をそれぞれ指定するデータを含む。経路情報M24DF2は、プレフィクスに「10.0.0.0/24」、ASパスに「ZYX」、ネクストホップに「GZ2」をそれぞれ指定するデータを含む。
ASB410は、上記経路情報M24DF2の受信に応じて、ASB410内で経路情報を共有するとともに、ネットワーク600に経路情報M24DF3を広告する。例えば、経路情報M24DF3は、プレフィクスに「10.0.0.0/24」、ASパスに「BZYX」、ネクストホップに「GB1」をそれぞれ指定するデータを含む。
ネットワーク600を構成する各ルータは、上記の経路情報M24DF1と経路情報M24DF3とを取得して、保持している経路情報を更新する。
(ネットワーク600から受信するパケットの転送)
図4は、本実施形態に係る通信システムによる対策機能を起動中の通信経路を示す説明図である。同図と上記図3とを参照して説明する。
ASZ310は、ネットワーク600のルータ613からパケットを受信すると、当該パケットの送信先アドレスに応じて以下に示すように転送処理をする。
図4は、本実施形態に係る通信システムによる対策機能を起動中の通信経路を示す説明図である。同図と上記図3とを参照して説明する。
ASZ310は、ネットワーク600のルータ613からパケットを受信すると、当該パケットの送信先アドレスに応じて以下に示すように転送処理をする。
ケースA1:対象装置120宛の攻撃的な通信ではないパケットを、ASZ310が受信した場合について
ASZ310は、対象装置120宛のパケットである送信先IPアドレスが「10.0.0.1/32」のパケットP32Aを受信した場合に、受信したパケットP32AをASY210に転送する。ASY210は、パケットP32Aを取得してフィルタ装置222において、攻撃的な通信のパケットであるか否かを判定する。判定の結果、攻撃的な通信のパケットではないと判定された場合、フィルタ装置222は、トンネルT12を介して、ASX110にパケットP32Aを転送する。ASX110は転送されたパケットP32Aを取得して、対象装置120がパケットP32Aを受信する。
ASZ310は、対象装置120宛のパケットである送信先IPアドレスが「10.0.0.1/32」のパケットP32Aを受信した場合に、受信したパケットP32AをASY210に転送する。ASY210は、パケットP32Aを取得してフィルタ装置222において、攻撃的な通信のパケットであるか否かを判定する。判定の結果、攻撃的な通信のパケットではないと判定された場合、フィルタ装置222は、トンネルT12を介して、ASX110にパケットP32Aを転送する。ASX110は転送されたパケットP32Aを取得して、対象装置120がパケットP32Aを受信する。
ケースA1D:対象装置120宛の攻撃的な通信のパケットを、ASZ310が受信した場合について
ASZ310は、対象装置120宛のパケットである送信先IPアドレスが「10.0.0.1/32」のパケットP32DDAを受信した場合に、上記のケースA1の場合と同様に、受信したパケットP32DDAをASY210に転送する。ASY210は、パケットP32DDAを取得してフィルタ装置222において、攻撃的な通信のパケットであるか否かを判定する。判定の結果、攻撃的なパケットであると判定された場合、フィルタ装置222は、当該パケットP32DDAを破棄する。
ASZ310は、対象装置120宛のパケットである送信先IPアドレスが「10.0.0.1/32」のパケットP32DDAを受信した場合に、上記のケースA1の場合と同様に、受信したパケットP32DDAをASY210に転送する。ASY210は、パケットP32DDAを取得してフィルタ装置222において、攻撃的な通信のパケットであるか否かを判定する。判定の結果、攻撃的なパケットであると判定された場合、フィルタ装置222は、当該パケットP32DDAを破棄する。
ケースA3:対象装置120宛のパケットを除く「10.0.0.0/24」に含まれる送信先IPアドレスを指定するパケットを、ASZ310が受信した場合について
ASZ310は、対象装置120宛のパケットを除く「10.0.0.0/24」に含まれる送信先IPアドレスを指定するパケットP24Aを受信した場合に、受信したパケットP24AをASX110に転送する。ASX110は転送されたパケットP24Aを取得する。
ASZ310は、対象装置120宛のパケットを除く「10.0.0.0/24」に含まれる送信先IPアドレスを指定するパケットP24Aを受信した場合に、受信したパケットP24AをASX110に転送する。ASX110は転送されたパケットP24Aを取得する。
ケースA4:「10.0.0.0/24」を除く「10.0.0.0/21」に含まれる送信先IPアドレスを指定するパケットを、ASZ310が受信した場合について
ASZ310は、「10.0.0.0/24」を除く「10.0.0.0/21」に含まれる送信先IPアドレスを指定するパケットP21Aを受信した場合に、受信したパケットP21AをASX110に転送する。ASX110は転送されたパケットP21Aを取得する。
ASZ310は、「10.0.0.0/24」を除く「10.0.0.0/21」に含まれる送信先IPアドレスを指定するパケットP21Aを受信した場合に、受信したパケットP21AをASX110に転送する。ASX110は転送されたパケットP21Aを取得する。
また、ASB410は、ネットワーク600のルータ614からパケットを受信すると、当該パケットの送信先アドレスに応じて以下に示すように転送処理をする。
ケースB1:対象装置120宛の攻撃的な通信ではないパケットを、ASB410が受信した場合について
ASB410は、対象装置120宛のパケットである送信先IPアドレスが「10.0.0.1/32」のパケットP32Bを受信した場合に、受信したパケットP32BをASZ310に転送する。ASZ310は、受信したパケットP32BをASY210に転送する。ASY210は、パケットP32Bを取得してフィルタ装置222において、攻撃的な通信のパケットであるか否かを判定する。判定の結果、攻撃的な通信のパケットではないと判定された場合、ASY210は、トンネルT12を介して、ASX110にパケットP32Bを転送する。ASX110は転送されたパケットP32Bを取得して、対象装置120がパケットP32Bを受信する。
ASB410は、対象装置120宛のパケットである送信先IPアドレスが「10.0.0.1/32」のパケットP32Bを受信した場合に、受信したパケットP32BをASZ310に転送する。ASZ310は、受信したパケットP32BをASY210に転送する。ASY210は、パケットP32Bを取得してフィルタ装置222において、攻撃的な通信のパケットであるか否かを判定する。判定の結果、攻撃的な通信のパケットではないと判定された場合、ASY210は、トンネルT12を介して、ASX110にパケットP32Bを転送する。ASX110は転送されたパケットP32Bを取得して、対象装置120がパケットP32Bを受信する。
ケースB1D:対象装置120宛の攻撃的な通信のパケットを、ASB410が受信した場合について
ASB410は、対象装置120宛のパケットである送信先IPアドレスが「10.0.0.1/32」のパケットP32DDBを受信した場合に、受信したパケットP32DDBをASZ310に転送する。ASZ310は、受信したパケットP32DDBをASY210に転送する。上記のケースA1Dの場合と同様に、ASY210は、パケットP32DDBを取得してフィルタ装置222において、攻撃的な通信のパケットであるか否かを判定する。判定の結果、攻撃的なパケットであると判定された場合、フィルタ装置222は、当該パケットP32DDBを破棄する。
ASB410は、対象装置120宛のパケットである送信先IPアドレスが「10.0.0.1/32」のパケットP32DDBを受信した場合に、受信したパケットP32DDBをASZ310に転送する。ASZ310は、受信したパケットP32DDBをASY210に転送する。上記のケースA1Dの場合と同様に、ASY210は、パケットP32DDBを取得してフィルタ装置222において、攻撃的な通信のパケットであるか否かを判定する。判定の結果、攻撃的なパケットであると判定された場合、フィルタ装置222は、当該パケットP32DDBを破棄する。
ケースB3:対象装置120宛のパケットを除く「10.0.0.0/24」に含まれる送信先IPアドレスを指定するパケットを、ASB410が受信した場合について
ASB410は、対象装置120宛のパケットを除く「10.0.0.0/24」に含まれる送信先IPアドレスを指定するパケットP24Bを受信した場合に、受信したパケットP24BをASZ310に転送する。ASZ310は、受信したパケットP24BをASX110に転送する。ASX110は転送されたパケットP24Bを取得する。
ASB410は、対象装置120宛のパケットを除く「10.0.0.0/24」に含まれる送信先IPアドレスを指定するパケットP24Bを受信した場合に、受信したパケットP24BをASZ310に転送する。ASZ310は、受信したパケットP24BをASX110に転送する。ASX110は転送されたパケットP24Bを取得する。
ケースB4:「10.0.0.0/24」を除く「10.0.0.0/21」に含まれる送信先IPアドレスを指定するパケットを、ASB410が受信した場合について
ASB410は、「10.0.0.0/24」を除く「10.0.0.0/21」に含まれる送信先IPアドレスを指定するパケットP21Bを受信した場合に、受信したパケットP21BをASX110に転送する。ASX110は転送されたパケットP21Bを取得する。
ASB410は、「10.0.0.0/24」を除く「10.0.0.0/21」に含まれる送信先IPアドレスを指定するパケットP21Bを受信した場合に、受信したパケットP21BをASX110に転送する。ASX110は転送されたパケットP21Bを取得する。
上記のとおり、上記の実施形態の通信システムは、以下の2つの経路についてBGPを利用して経路広告する。
・ネクストホップを、フィルタ装置222又はASY210のIPアドレスを指定した、「/32」(対象装置120のIPアドレス)の経路。
・ASパスにASX110を追加し、ネクストホップをASX110のルータ112のIPアドレスを指定した「/24(対象装置120を含む、プレフィクスを「/24」以上で指定するIPアドレス空間)」の経路。
・ネクストホップを、フィルタ装置222又はASY210のIPアドレスを指定した、「/32」(対象装置120のIPアドレス)の経路。
・ASパスにASX110を追加し、ネクストホップをASX110のルータ112のIPアドレスを指定した「/24(対象装置120を含む、プレフィクスを「/24」以上で指定するIPアドレス空間)」の経路。
上記の2つの経路を設けたことにより、上記図4に示すように通信経路を指定する経路制御が可能となる。このように、通信システム1は、ASX110におけるルータの設定変更を必要とすることなく、低遅延のDDoS対策サービスの提供を可能にした。これにより、通信システム1は、通信システムの利便性を高めている。
<第2実施形態>
次に、図2、図5から図7を参照して、本実施形態に係る通信システム1Aについて説明する。図5は、本実施形態に係る通信システムの構成図である。本実施形態に係る通信システム1Aは、ASZ310A内で攻撃的な通信のトラフィックを抑制する。第1実施形態における構成と同じ構成には同じ符号を附し、相違点を中心に説明する。
図5に示す通信システム1Aには、ASX110A、ASZ310A、ASB410、及びネットワーク600が含まれている。ASX110A、ASZ310A、及びASB410のそれぞれは、自律システム(AS)である。ASX110A、ASZ310A、及びASB410のそれぞれには、ネットワーク100A、ネットワーク300A、及びネットワーク400が対応づけられている。
次に、図2、図5から図7を参照して、本実施形態に係る通信システム1Aについて説明する。図5は、本実施形態に係る通信システムの構成図である。本実施形態に係る通信システム1Aは、ASZ310A内で攻撃的な通信のトラフィックを抑制する。第1実施形態における構成と同じ構成には同じ符号を附し、相違点を中心に説明する。
図5に示す通信システム1Aには、ASX110A、ASZ310A、ASB410、及びネットワーク600が含まれている。ASX110A、ASZ310A、及びASB410のそれぞれは、自律システム(AS)である。ASX110A、ASZ310A、及びASB410のそれぞれには、ネットワーク100A、ネットワーク300A、及びネットワーク400が対応づけられている。
ASX110Aは、ルータ111、ルータ112、ルータ113、ルータ114、及び対象装置120を備える。ルータ111は、ポートGX1において論理パスを成すトンネルT13を介してASZ310Aに接続される。
ASX110Aから論理パスL13とトンネルT13とを介して接続されるASZ310Aは、ルータ311、ルータ312、ルータ313、ルータ314A、通信制御装置321、及びフィルタ装置322を備える。
ルータ311、ルータ312、及びルータ313は、外部のネットワークに接続されており、接続先のネットワークに対応する各ASに対して経路情報を広告する。
ルータ314AのポートGZ4に通信制御装置321とフィルタ装置322とが接続される。
ルータ311、ルータ312、ルータ313及びルータ314Aの各ルータは、互いに経路情報を共有し、ASZ310A内の通信の経路制御を実施する。なお、ルータ311、ルータ312、ルータ313、及びルータ314A間の接続は図示する以外の構成にしてもよい。
通信制御装置321は、通信システム1Aにおける通信経路を制御して、攻撃的なトラフィックによる影響を軽減させるように制御する。例えば、通信制御装置321は、経路設定部3211と通信制御部3212とを備える。通信制御装置321、経路設定部3211、通信制御部3212のそれぞれは、前述の通信制御装置221、経路設定部2211、通信制御部2212(図1)に対応する。
フィルタ装置322は、前述のフィルタ装置222(図1)に対応する。
ルータ311、ルータ312、及びルータ313は、外部のネットワークに接続されており、接続先のネットワークに対応する各ASに対して経路情報を広告する。
ルータ314AのポートGZ4に通信制御装置321とフィルタ装置322とが接続される。
ルータ311、ルータ312、ルータ313及びルータ314Aの各ルータは、互いに経路情報を共有し、ASZ310A内の通信の経路制御を実施する。なお、ルータ311、ルータ312、ルータ313、及びルータ314A間の接続は図示する以外の構成にしてもよい。
通信制御装置321は、通信システム1Aにおける通信経路を制御して、攻撃的なトラフィックによる影響を軽減させるように制御する。例えば、通信制御装置321は、経路設定部3211と通信制御部3212とを備える。通信制御装置321、経路設定部3211、通信制御部3212のそれぞれは、前述の通信制御装置221、経路設定部2211、通信制御部2212(図1)に対応する。
フィルタ装置322は、前述のフィルタ装置222(図1)に対応する。
上記のように構成した通信システム1Aは、図2に示す処理の手順に従って、攻撃的な通信のトラフィックを軽減させる。
次に、図6と図7を参照して、本実施形態に係る通信システムによる対策機能について説明する。図6は、本実施形態に係る通信システムによる対策機能の動作を示すシーケンス図である。同図には、本実施形態の機能の説明に必要とされる主たる手順が示されている。図7は、本実施形態に係る通信システムによる対策機能を起動中の通信経路を示す説明図である。
(平常時の通信パスの設定)
最初に平常時の通信パスが設定される。ASX110Aは、ASZ310Aに経路情報M21A1を広告する。例えば、経路情報M21A1は、プレフィクスに「10.0.0.0/21」、ASパス(AS−PATH)に「X」、ネクストホップ(Next−hop)に「GX2」をそれぞれ指定するデータを含む。ASZ310Aは、上記経路情報M21A1の受信に応じて、ASZ310A内で経路情報を共有するとともに、ネットワーク600に経路情報M21A2を広告する。例えば、経路情報M21A2は、プレフィクスに「10.0.0.0/21」、ASパスに「ZX」、ネクストホップに「GZ1」をそれぞれ指定するデータを含む。なお、ASパスで指定する「X」、「Z」、「B」のそれぞれは、ASX110A、ASZ310A、ASB410を示す。
最初に平常時の通信パスが設定される。ASX110Aは、ASZ310Aに経路情報M21A1を広告する。例えば、経路情報M21A1は、プレフィクスに「10.0.0.0/21」、ASパス(AS−PATH)に「X」、ネクストホップ(Next−hop)に「GX2」をそれぞれ指定するデータを含む。ASZ310Aは、上記経路情報M21A1の受信に応じて、ASZ310A内で経路情報を共有するとともに、ネットワーク600に経路情報M21A2を広告する。例えば、経路情報M21A2は、プレフィクスに「10.0.0.0/21」、ASパスに「ZX」、ネクストホップに「GZ1」をそれぞれ指定するデータを含む。なお、ASパスで指定する「X」、「Z」、「B」のそれぞれは、ASX110A、ASZ310A、ASB410を示す。
マルチホームで構成されるASX110Aは、ASB410に経路情報M21B1を広告する。例えば、経路情報M21B1は、プレフィクスに「10.0.0.0/21」、ASパスに「X」、ネクストホップに「GX3」をそれぞれ指定するデータを含む。ASB410は、上記経路情報M21B1の受信に応じて、ASB410内で経路情報を共有するとともに、ネットワーク600に経路情報M21B2を広告する。例えば、経路情報M21B2は、プレフィクスに「10.0.0.0/21」、ASパスに「BX」、ネクストホップに「GB1」をそれぞれ指定するデータを含む。
ネットワーク600を構成する各ルータは、上記の経路情報M21A2と経路情報M21B2を取得して、保持している経路情報を更新する。
(対策機能を起動させるパス設定)
通信制御装置321は、フィルタ装置322を制御して、経路情報M32DFを生成し、経路情報の広告と同様の方法でルータ314Aに通知する。経路情報M32DFは、プレフィクスに「10.0.0.1/32」、ASパスに「X」、ネクストホップに「GZ6」をそれぞれ指定するデータを含む。ASZ310Aは、上記経路情報M32DFの受信に応じて、ASZ310A内で経路情報を共有する。
通信制御装置321は、フィルタ装置322を制御して、経路情報M32DFを生成し、経路情報の広告と同様の方法でルータ314Aに通知する。経路情報M32DFは、プレフィクスに「10.0.0.1/32」、ASパスに「X」、ネクストホップに「GZ6」をそれぞれ指定するデータを含む。ASZ310Aは、上記経路情報M32DFの受信に応じて、ASZ310A内で経路情報を共有する。
さらに、通信制御装置321は、経路情報M24DF10を生成して、経路情報の広告と同様の方法でルータ314Aに通知する。例えば、経路情報M24DF10は、プレフィクスに「10.0.0.0/24」、ASパスに「X」、ネクストホップに「GX2」をそれぞれ指定するデータを含む。ASZ310Aは、上記経路情報M24DF10の受信に応じて、ASZ310A内で経路情報を共有するとともに、ネットワーク600に経路情報M24DF11を広告し、ASB410に経路情報M24DF12を広告する。例えば、経路情報M24DF11は、プレフィクスに「10.0.0.0/24」、ASパスに「ZX」、ネクストホップに「GZ1」をそれぞれ指定するデータを含む。経路情報M24DF12は、プレフィクスに「10.0.0.0/24」、ASパスに「ZX」、ネクストホップに「GZ2」をそれぞれ指定するデータを含む。
ASB410は、上記経路情報M24DF12の受信に応じて、ASB410内で経路情報を共有するとともに、ネットワーク600に経路情報M24DF13を広告する。例えば、経路情報M24DF13は、プレフィクスに「10.0.0.0/24」、ASパスに「BZX」、ネクストホップに「GB1」をそれぞれ指定するデータを含む。
ネットワーク600を構成する各ルータは、上記の経路情報M24DF11と経路情報M24DF13を取得して、保持している経路情報を更新する。
(ネットワーク600から受信するパケットの転送)
ASZ310Aは、ネットワーク600からパケットを受信すると、前述の第1実施形態と同様に当該パケットの送信先アドレスに応じて転送処理をするとともに、フィルタ装置322において、攻撃的な通信のパケットを破棄させる。
ASZ310Aは、ネットワーク600からパケットを受信すると、前述の第1実施形態と同様に当該パケットの送信先アドレスに応じて転送処理をするとともに、フィルタ装置322において、攻撃的な通信のパケットを破棄させる。
上記のとおり、本実施形態の通信システム1Aは、ネットワーク300A(第2ネットワーク)にフィルタ装置322(フィルタ部)が収容されており、前記第1経路を介して対象装置120(特定の装置)に向かう通信がネットワーク300Aに設けたフィルタ装置322に向かうように通信制御装置321(通信制御部)が制御するようにしたことにより、通信システムの利便性を高めることができる。
<第3実施形態>
次に、図2、図8から図10を参照して、本実施形態に係る通信システム1Bについて説明する。図8は、本実施形態に係る通信システムの構成図である。
本実施形態に係る通信システム1Bは、ASX110Bが他のASを介してASZ310Bに接続されており、ASX110BとASZ310Bとの間の直接的に接続される通信パスを有していない。第1実施形態と同じ構成には同じ符号を附し、相違点を中心に説明する。
図8に示す通信システム1Bには、ASX110B、ASY210B、ASZ310B、ASB410、及びネットワーク600が含まれている。ASX110B、ASY210B、ASZ310B、及びASB410のそれぞれは、自律システム(AS)である。
ASX110B、ASY210B、ASZ310B、及びASB410のそれぞれには、ネットワーク100B、ネットワーク200B、ネットワーク300B、及びネットワーク400が対応づけられている。
次に、図2、図8から図10を参照して、本実施形態に係る通信システム1Bについて説明する。図8は、本実施形態に係る通信システムの構成図である。
本実施形態に係る通信システム1Bは、ASX110Bが他のASを介してASZ310Bに接続されており、ASX110BとASZ310Bとの間の直接的に接続される通信パスを有していない。第1実施形態と同じ構成には同じ符号を附し、相違点を中心に説明する。
図8に示す通信システム1Bには、ASX110B、ASY210B、ASZ310B、ASB410、及びネットワーク600が含まれている。ASX110B、ASY210B、ASZ310B、及びASB410のそれぞれは、自律システム(AS)である。
ASX110B、ASY210B、ASZ310B、及びASB410のそれぞれには、ネットワーク100B、ネットワーク200B、ネットワーク300B、及びネットワーク400が対応づけられている。
ASX110Bは、ルータ111、ルータ113、ルータ114、及び対象装置120を備える。ルータ111、ルータ113及びルータ114の各ルータは、互いに経路情報を共有し、ASX110B内の通信の経路制御を実施する。なお、ルータ111、ルータ113及びルータ114間の接続は図示する以外の構成にしてもよい。ルータ111とルータ113は、外部のネットワークに接続されており、ルータ113は、接続先のネットワークに対応する経路情報をASB410に広告する。
ASX110Bから直接的に接続されないASZ310Bは、ルータ311、ルータ312、及びルータ314を備える。
ルータ311、ルータ312、及びルータ314は、外部のネットワークに接続されており、接続先のネットワークに対応する各ASに対して経路情報を広告する。
ルータ311、ルータ312、及びルータ314の各ルータは、互いに経路情報を共有し、ASZ310B内の通信の経路制御を実施する。なお、ルータ311、ルータ312、及びルータ314間の接続は図示する以外の構成にしてもよい。
ルータ311、ルータ312、及びルータ314は、外部のネットワークに接続されており、接続先のネットワークに対応する各ASに対して経路情報を広告する。
ルータ311、ルータ312、及びルータ314の各ルータは、互いに経路情報を共有し、ASZ310B内の通信の経路制御を実施する。なお、ルータ311、ルータ312、及びルータ314間の接続は図示する以外の構成にしてもよい。
ASX110Bから論理パスL14を介して接続されるASB410は、ルータ411、ルータ412、ルータ413、及びルータ414を備える。
ASY210Bは、ルータ211、ルータ212、通信制御装置221B、及びフィルタ装置222Bを備える。
上記のように構成した通信システム1Bは、図2に示す処理の手順に従って、攻撃的な通信のトラフィックを軽減させる。
図9は、本実施形態に係る通信システムによる対策機能の動作を示すシーケンス図である。同図には、本実施形態の機能の説明に必要とされる主たる手順が示されている。図10は、本実施形態に係る通信システムによる対策機能を起動中の通信経路を示す説明図である。
(平常時の通信パスの設定)
最初に平常時の通信パスが設定される。ASX110Bは、ASB410に経路情報M21B1を広告する。例えば、経路情報M21B1は、プレフィクスに「10.0.0.0/21」、ASパスに「X」、ネクストホップに「GX3」をそれぞれ指定するデータを含む。
ASB410は、上記経路情報M21B1の受信に応じて、ASB410内で経路情報を共有するとともに、ネットワーク600に経路情報M21B2を広告し、AXZ310Bに経路情報M21B3を広告する。例えば、経路情報M21B2は、プレフィクスに「10.0.0.0/21」、ASパスに「BX」、ネクストホップに「GB1」をそれぞれ指定するデータを含む。経路情報M21B3は、プレフィクスに「10.0.0.0/21」、ASパスに「BX」、ネクストホップに「GB4」をそれぞれ指定するデータを含む。
ASZ310Bは、上記経路情報M21B3の受信に応じて、ASZ310B内で経路情報を共有するとともに、ネットワーク600に経路情報M21B4を広告する。例えば、経路情報M21B4は、プレフィクスに「10.0.0.0/21」、ASパスに「ZBX」、ネクストホップに「GZ1」をそれぞれ指定するデータを含む。
最初に平常時の通信パスが設定される。ASX110Bは、ASB410に経路情報M21B1を広告する。例えば、経路情報M21B1は、プレフィクスに「10.0.0.0/21」、ASパスに「X」、ネクストホップに「GX3」をそれぞれ指定するデータを含む。
ASB410は、上記経路情報M21B1の受信に応じて、ASB410内で経路情報を共有するとともに、ネットワーク600に経路情報M21B2を広告し、AXZ310Bに経路情報M21B3を広告する。例えば、経路情報M21B2は、プレフィクスに「10.0.0.0/21」、ASパスに「BX」、ネクストホップに「GB1」をそれぞれ指定するデータを含む。経路情報M21B3は、プレフィクスに「10.0.0.0/21」、ASパスに「BX」、ネクストホップに「GB4」をそれぞれ指定するデータを含む。
ASZ310Bは、上記経路情報M21B3の受信に応じて、ASZ310B内で経路情報を共有するとともに、ネットワーク600に経路情報M21B4を広告する。例えば、経路情報M21B4は、プレフィクスに「10.0.0.0/21」、ASパスに「ZBX」、ネクストホップに「GZ1」をそれぞれ指定するデータを含む。
ネットワーク600を構成する各ルータは、上記の経路情報M21B2と経路情報M21B4とを取得して、保持している経路情報を更新する。
(対策機能を起動させるパス設定)
通信制御装置221Bは、ルータ211又はフィルタ装置222Bを制御して、経路情報M32DFを生成させる。経路情報M32DFは、プレフィクスに「10.0.0.1/32」、ASパスに「YBX」、ネクストホップにASY210Bのゲートウェイを示す「GY1」をそれぞれ指定するデータを含む。さらに、通信制御装置221Bは、経路情報M24DFを生成する。例えば、経路情報M24DFは、プレフィクスに「10.0.0.0/24」、ASパスに「YBX」、ネクストホップにASB410のゲートウェイを示す「GB4」をそれぞれ指定するデータを含む。上記のASパスの指定において、「X」と「B」をASパスの先頭につける。これにより、ASX110B側からASパスを広告することなく、対策用のパスを設定する。
ここで、通信制御装置221Bは、経路情報M32DFと経路情報M24DFとをルータ211からASZ310Bに広告させる。
通信制御装置221Bは、ルータ211又はフィルタ装置222Bを制御して、経路情報M32DFを生成させる。経路情報M32DFは、プレフィクスに「10.0.0.1/32」、ASパスに「YBX」、ネクストホップにASY210Bのゲートウェイを示す「GY1」をそれぞれ指定するデータを含む。さらに、通信制御装置221Bは、経路情報M24DFを生成する。例えば、経路情報M24DFは、プレフィクスに「10.0.0.0/24」、ASパスに「YBX」、ネクストホップにASB410のゲートウェイを示す「GB4」をそれぞれ指定するデータを含む。上記のASパスの指定において、「X」と「B」をASパスの先頭につける。これにより、ASX110B側からASパスを広告することなく、対策用のパスを設定する。
ここで、通信制御装置221Bは、経路情報M32DFと経路情報M24DFとをルータ211からASZ310Bに広告させる。
ASZ310Bは、上記経路情報M24DFの受信に応じて、ASZ310B内で経路情報を共有するとともに、ネットワーク600に経路情報M24DF1を広告する。例えば、経路情報M24DF1は、プレフィクスに「10.0.0.0/24」、ASパスに「ZYBX」、ネクストホップに「GZ1」をそれぞれ指定するデータを含む。
ネットワーク600を構成する各ルータは、上記の経路情報M24DF1を取得して、保持している経路情報を更新する。
(ネットワーク600から受信するパケットの転送)
ASZ310Bは、ネットワーク600のルータ613からパケットを受信すると、当該パケットの送信先アドレスに応じて以下に示すように転送処理をする。
ASZ310Bは、ネットワーク600のルータ613からパケットを受信すると、当該パケットの送信先アドレスに応じて以下に示すように転送処理をする。
ケースA1:ASZ310Bが対象装置120宛の攻撃的な通信ではないパケットを受信した場合について
ケースA1の場合は、前述の第1実施形態と同様に、ASZ310Bは、受信したパケットP32AをASY210Bに転送する。ASY210Bは、パケットP32Aを取得してフィルタ装置222Bにおいて、攻撃的な通信のパケットであるか否かを判定する。フィルタ装置222Bは、攻撃的な通信のパケットではないと判定し、トンネルT12を介して、ASX110BにパケットP32Aを転送する。ASX110Bは転送されたパケットP32Aを取得して、対象装置120がパケットP32Aを受信する。
ケースA1の場合は、前述の第1実施形態と同様に、ASZ310Bは、受信したパケットP32AをASY210Bに転送する。ASY210Bは、パケットP32Aを取得してフィルタ装置222Bにおいて、攻撃的な通信のパケットであるか否かを判定する。フィルタ装置222Bは、攻撃的な通信のパケットではないと判定し、トンネルT12を介して、ASX110BにパケットP32Aを転送する。ASX110Bは転送されたパケットP32Aを取得して、対象装置120がパケットP32Aを受信する。
ケースA1D:ASZ310Bが対象装置120宛の攻撃的な通信のパケットを受信した場合について
ケースA1Dの場合は、前述の第1実施形態と同様に、ASZ310Bは、受信したパケットP32DDAをASY210Bに転送する。ASY210Bは、パケットP32DDAを取得してフィルタ装置222Bにおいて、攻撃的な通信のパケットであるか否かを判定する。フィルタ装置222Bは、攻撃的な通信のパケットであると判定し、当該パケットを破棄する。
ケースA1Dの場合は、前述の第1実施形態と同様に、ASZ310Bは、受信したパケットP32DDAをASY210Bに転送する。ASY210Bは、パケットP32DDAを取得してフィルタ装置222Bにおいて、攻撃的な通信のパケットであるか否かを判定する。フィルタ装置222Bは、攻撃的な通信のパケットであると判定し、当該パケットを破棄する。
ケースA3:ASZ310Bが対象装置120宛のパケットを除く「10.0.0.0/24」に含まれる送信先IPアドレスを指定するパケットを受信した場合について
ASZ310Bは、対象装置120宛のパケットを除く「10.0.0.0/24」に含まれる送信先IPアドレスを指定するパケットP24Aを受信した場合に、受信したパケットP24AをASB410に転送する。ASB410は、受信したパケットP24AをASX110Bに転送する。ASX110Bは転送されたパケットP24Aを取得する。
ASZ310Bは、対象装置120宛のパケットを除く「10.0.0.0/24」に含まれる送信先IPアドレスを指定するパケットP24Aを受信した場合に、受信したパケットP24AをASB410に転送する。ASB410は、受信したパケットP24AをASX110Bに転送する。ASX110Bは転送されたパケットP24Aを取得する。
ケースA4:ASZ310Bが、「10.0.0.0/24」を除く「10.0.0.0/21」に含まれる送信先IPアドレスを指定するパケットを受信した場合について
ASZ310Bは、「10.0.0.0/24」を除く「10.0.0.0/21」に含まれる送信先IPアドレスを指定するパケットP21Aを受信した場合に、受信したパケットP21AをASB410に転送する。ASB410は、受信したパケットP21AをASX110Bに転送する。ASX110Bは転送されたパケットP21Aを取得する。
ASZ310Bは、「10.0.0.0/24」を除く「10.0.0.0/21」に含まれる送信先IPアドレスを指定するパケットP21Aを受信した場合に、受信したパケットP21AをASB410に転送する。ASB410は、受信したパケットP21AをASX110Bに転送する。ASX110Bは転送されたパケットP21Aを取得する。
ASB410は、ネットワーク600のルータ614からパケットを受信すると、当該パケットの送信先アドレスに応じて以下に示すように転送処理をする。
ところで、本実施形態の場合、ASB410がネットワーク600のルータ614から受信するパケットは制限されている。例えば、対象装置120宛の通信のパケット(ケースB1、ケースB1D)、対象装置120宛のパケットを除く「10.0.0.0/24」に含まれる送信先IPアドレスを指定するパケット(ケースB3)は、受信するパケットには含まれない。
ところで、本実施形態の場合、ASB410がネットワーク600のルータ614から受信するパケットは制限されている。例えば、対象装置120宛の通信のパケット(ケースB1、ケースB1D)、対象装置120宛のパケットを除く「10.0.0.0/24」に含まれる送信先IPアドレスを指定するパケット(ケースB3)は、受信するパケットには含まれない。
ケースB4:ASB410が、「10.0.0.0/24」を除く「10.0.0.0/21」に含まれる送信先IPアドレスを指定するパケットを受信した場合について
ASB410は、「10.0.0.0/24」を除く「10.0.0.0/21」に含まれる送信先IPアドレスを指定するパケットP21Bを受信した場合に、受信したパケットP21BをASX110Bに転送する。ASX110Bは転送されたパケットP21Bを取得する。
ASB410は、「10.0.0.0/24」を除く「10.0.0.0/21」に含まれる送信先IPアドレスを指定するパケットP21Bを受信した場合に、受信したパケットP21BをASX110Bに転送する。ASX110Bは転送されたパケットP21Bを取得する。
上記のとおり、本実施形態の通信システム1Bは、通信システムの利便性を高めることができる。
<第4実施形態>
次に、図2、図11から図13を参照して、本実施形態に係る通信システム1Cについて説明する。図11は、本実施形態に係る通信システムの構成図である。本実施形態に係る通信システム1Cは、ASY210C内で攻撃的な通信のトラフィックを抑制する。第1実施形態と同じ構成には同じ符号を附し、相違点を中心に説明する。
図11に示す通信システム1Cには、ASX110C、ASY210C、ASZ310C、ASB410C、ASC510、及びネットワーク600Cが含まれている。
ASX110C、ASY210C、ASZ310C、ASB410C及びASC510のそれぞれは、自律システム(AS)である。ASX110C、ASY210C、ASZ310C、ASB410C及びASC510のそれぞれには、ネットワーク100C、ネットワーク200C、ネットワーク300C、ネットワーク400C及びネットワーク500が対応づけられている。
ネットワーク600Cは、インターネットを構成する特定のネットワークであり1又は複数の自律システム(AS)により構成される。ネットワーク600Cは、例えば、ルータ613、ルータ614、ルータ615を備えて構成されており、ルータ613、ルータ614、ルータ615を含む各ルータ間で経路情報が共有される。
次に、図2、図11から図13を参照して、本実施形態に係る通信システム1Cについて説明する。図11は、本実施形態に係る通信システムの構成図である。本実施形態に係る通信システム1Cは、ASY210C内で攻撃的な通信のトラフィックを抑制する。第1実施形態と同じ構成には同じ符号を附し、相違点を中心に説明する。
図11に示す通信システム1Cには、ASX110C、ASY210C、ASZ310C、ASB410C、ASC510、及びネットワーク600Cが含まれている。
ASX110C、ASY210C、ASZ310C、ASB410C及びASC510のそれぞれは、自律システム(AS)である。ASX110C、ASY210C、ASZ310C、ASB410C及びASC510のそれぞれには、ネットワーク100C、ネットワーク200C、ネットワーク300C、ネットワーク400C及びネットワーク500が対応づけられている。
ネットワーク600Cは、インターネットを構成する特定のネットワークであり1又は複数の自律システム(AS)により構成される。ネットワーク600Cは、例えば、ルータ613、ルータ614、ルータ615を備えて構成されており、ルータ613、ルータ614、ルータ615を含む各ルータ間で経路情報が共有される。
ASX110Cは、ルータ111、ルータ113C、ルータ114、及び対象装置120を備える。
ルータ111、ルータ113C及びルータ114の各ルータは、互いに経路情報を共有し、ASX110C内の通信の経路制御を実施する。なお、ルータ111、ルータ113C及びルータ114間の接続は図示する以外の構成にしてもよい。
ルータ111、ルータ113C及びルータ114の各ルータは、互いに経路情報を共有し、ASX110C内の通信の経路制御を実施する。なお、ルータ111、ルータ113C及びルータ114間の接続は図示する以外の構成にしてもよい。
ルータ111とルータ113Cは、外部のネットワークに接続されており、ルータ113Cは、接続先のネットワークに対応するに対応する経路情報をASC510に広告する。
ASX110Cから直接的に接続されていないASZ310Cは、ルータ311、ルータ312、及びルータ314を備える。
ルータ311、ルータ312、及びルータ314は、外部のネットワークに接続されており、接続先のネットワークに対応する各ASに対して経路情報を広告する。
ルータ311、ルータ312、及びルータ314の各ルータは、互いに経路情報を共有し、ASZ310C内の通信の経路制御を実施する。なお、ルータ311、ルータ312、及びルータ314間の接続は図示する以外の構成にしてもよい。
ルータ311、ルータ312、及びルータ314は、外部のネットワークに接続されており、接続先のネットワークに対応する各ASに対して経路情報を広告する。
ルータ311、ルータ312、及びルータ314の各ルータは、互いに経路情報を共有し、ASZ310C内の通信の経路制御を実施する。なお、ルータ311、ルータ312、及びルータ314間の接続は図示する以外の構成にしてもよい。
ASX110Cから直接的に接続されていないASB410Cは、ルータ411、ルータ412、及びルータ414を備える。
ルータ411、ルータ412、及びルータ414は、外部のネットワークに接続されており、接続先のネットワークに対応する各ASに対して経路情報を広告する。例えば、ルータ412は、ポートGB2において論理パスL45を介してASC510に接続される。
ルータ411、ルータ412、及びルータ414の各ルータは、互いに経路情報を共有し、ASB410C内の通信の経路制御を実施する。なお、ルータ411、ルータ412、及びルータ414間の接続は図示する以外の構成にしてもよい。
ルータ411、ルータ412、及びルータ414は、外部のネットワークに接続されており、接続先のネットワークに対応する各ASに対して経路情報を広告する。例えば、ルータ412は、ポートGB2において論理パスL45を介してASC510に接続される。
ルータ411、ルータ412、及びルータ414の各ルータは、互いに経路情報を共有し、ASB410C内の通信の経路制御を実施する。なお、ルータ411、ルータ412、及びルータ414間の接続は図示する以外の構成にしてもよい。
ASX110Cから論理パスL15を介して接続されるASC510は、ルータ511、ルータ512、ルータ513及びルータ514を備える。
ルータ511、ルータ512、ルータ513及びルータ514は、外部のネットワークに接続されており、接続先のネットワークに対応する各ASに対して経路情報を広告する。例えば、ルータ513は、ポートGC3において論理パスL15を介してASX110Cに接続される。ルータ511は、ポートGC1において論理パスL56を介してネットワーク600Cのルータ615に接続される。ルータ514は、ポートGC4において論理パスL45を介してASB410Cに接続される。
ルータ511、ルータ512、ルータ513及びルータ514の各ルータは、互いに経路情報を共有し、ASC510内の通信の経路制御を実施する。なお、ルータ511、ルータ512、ルータ513及びルータ514間の接続は図示する以外の構成にしてもよい。
ルータ511、ルータ512、ルータ513及びルータ514は、外部のネットワークに接続されており、接続先のネットワークに対応する各ASに対して経路情報を広告する。例えば、ルータ513は、ポートGC3において論理パスL15を介してASX110Cに接続される。ルータ511は、ポートGC1において論理パスL56を介してネットワーク600Cのルータ615に接続される。ルータ514は、ポートGC4において論理パスL45を介してASB410Cに接続される。
ルータ511、ルータ512、ルータ513及びルータ514の各ルータは、互いに経路情報を共有し、ASC510内の通信の経路制御を実施する。なお、ルータ511、ルータ512、ルータ513及びルータ514間の接続は図示する以外の構成にしてもよい。
上記のように構成した通信システム1Cは、図2に示す処理の手順に従って、攻撃的な通信のトラフィックを軽減させる。
次に、図12を参照して、本実施形態に係る通信システムによる対策機能について説明する。同図は、本実施形態に係る通信システムによる対策機能の動作を示すシーケンス図である。同図には、本実施形態の機能の説明に必要とされる主たる手順が示されている。
図13は、本実施形態に係る通信システムによる対策機能を起動中の通信経路を示す説明図である。
図13は、本実施形態に係る通信システムによる対策機能を起動中の通信経路を示す説明図である。
(平常時の通信パスの設定)
最初に平常時の通信パスが設定される。ASX110Cは、ASC510に経路情報M21C1を広告する。例えば、経路情報M21C1は、プレフィクスに「10.0.0.0/21」、ASパスに「X」、ネクストホップに「GX3」をそれぞれ指定するデータを含む。
ASC510は、上記経路情報M21C1の受信に応じて、ASC510内で経路情報を共有するとともに、ネットワーク600Cに経路情報M21C2を広告し、ASB410Cに経路情報M21C3を広告する。例えば、経路情報M21C2は、プレフィクスに「10.0.0.0/21」、ASパスに「CX」、ネクストホップに「GC1」をそれぞれ指定するデータを含む。経路情報M21C3は、プレフィクスに「10.0.0.0/21」、ASパスに「CX」、ネクストホップに「GC4」をそれぞれ指定するデータを含む。
ASB410Cは、上記経路情報M21C3の受信に応じて、ASB410C内で経路情報を共有するとともに、ネットワーク600Cに経路情報M21C4を広告し、AXZ310Cに経路情報M21C5を広告する。例えば、経路情報M21C4は、プレフィクスに「10.0.0.0/21」、ASパスに「BCX」、ネクストホップに「GB1」をそれぞれ指定するデータを含む。経路情報M21C5は、プレフィクスに「10.0.0.0/21」、ASパスに「BCX」、ネクストホップに「GB4」をそれぞれ指定するデータを含む。
ASZ310Cは、上記経路情報M21C5の受信に応じて、ASZ310C内で経路情報を共有するとともに、ネットワーク600Cに経路情報M21C6を広告する。例えば、経路情報M21C6は、プレフィクスに「10.0.0.0/21」、ASパスに「ZBCX」、ネクストホップに「GZ1」をそれぞれ指定するデータを含む。
最初に平常時の通信パスが設定される。ASX110Cは、ASC510に経路情報M21C1を広告する。例えば、経路情報M21C1は、プレフィクスに「10.0.0.0/21」、ASパスに「X」、ネクストホップに「GX3」をそれぞれ指定するデータを含む。
ASC510は、上記経路情報M21C1の受信に応じて、ASC510内で経路情報を共有するとともに、ネットワーク600Cに経路情報M21C2を広告し、ASB410Cに経路情報M21C3を広告する。例えば、経路情報M21C2は、プレフィクスに「10.0.0.0/21」、ASパスに「CX」、ネクストホップに「GC1」をそれぞれ指定するデータを含む。経路情報M21C3は、プレフィクスに「10.0.0.0/21」、ASパスに「CX」、ネクストホップに「GC4」をそれぞれ指定するデータを含む。
ASB410Cは、上記経路情報M21C3の受信に応じて、ASB410C内で経路情報を共有するとともに、ネットワーク600Cに経路情報M21C4を広告し、AXZ310Cに経路情報M21C5を広告する。例えば、経路情報M21C4は、プレフィクスに「10.0.0.0/21」、ASパスに「BCX」、ネクストホップに「GB1」をそれぞれ指定するデータを含む。経路情報M21C5は、プレフィクスに「10.0.0.0/21」、ASパスに「BCX」、ネクストホップに「GB4」をそれぞれ指定するデータを含む。
ASZ310Cは、上記経路情報M21C5の受信に応じて、ASZ310C内で経路情報を共有するとともに、ネットワーク600Cに経路情報M21C6を広告する。例えば、経路情報M21C6は、プレフィクスに「10.0.0.0/21」、ASパスに「ZBCX」、ネクストホップに「GZ1」をそれぞれ指定するデータを含む。
ネットワーク600Cを構成する各ルータは、上記の経路情報M21C2と経路情報M21C4と経路情報M21C6とを取得して、保持している経路情報を更新する。
(対策機能を起動させるパス設定)
通信制御装置221Cは、ルータ211又はフィルタ装置222Cを制御して、経路情報M32DFを生成させる。経路情報M32DFは、プレフィクスに「10.0.0.1/32」、ASパスに「YBCX」、ネクストホップに「GY1」をそれぞれ指定するデータを含む。さらに、通信制御装置221Cは、経路情報M24DFを生成する。例えば、経路情報M24DFは、プレフィクスに「10.0.0.0/24」、ASパスに「YBCX」、ネクストホップに「GB4」をそれぞれ指定するデータを含む。上記のASパスの指定において、ASZ310Cが他のASから受けている経路情報であって、OriginASがASX110Cである経路(「10.0.0.0/21」)の経路情報、即ち経路情報M21C5に含まれるASパス(「BCX」)を再現して、上記で指定するASパスの先頭につける。経路情報M24DFのネクストホップは、上記と同様に経路情報M21C5に含まれるネクストホップ(「GB4」)に一致させる。このようにして、ASX110C側からASパスを広告することなく、対策用のパスを設定する。
ここで、通信制御装置221Cは、経路情報M32DFと経路情報M24DFとをルータ211からASZ310Cに対して広告させる。
通信制御装置221Cは、ルータ211又はフィルタ装置222Cを制御して、経路情報M32DFを生成させる。経路情報M32DFは、プレフィクスに「10.0.0.1/32」、ASパスに「YBCX」、ネクストホップに「GY1」をそれぞれ指定するデータを含む。さらに、通信制御装置221Cは、経路情報M24DFを生成する。例えば、経路情報M24DFは、プレフィクスに「10.0.0.0/24」、ASパスに「YBCX」、ネクストホップに「GB4」をそれぞれ指定するデータを含む。上記のASパスの指定において、ASZ310Cが他のASから受けている経路情報であって、OriginASがASX110Cである経路(「10.0.0.0/21」)の経路情報、即ち経路情報M21C5に含まれるASパス(「BCX」)を再現して、上記で指定するASパスの先頭につける。経路情報M24DFのネクストホップは、上記と同様に経路情報M21C5に含まれるネクストホップ(「GB4」)に一致させる。このようにして、ASX110C側からASパスを広告することなく、対策用のパスを設定する。
ここで、通信制御装置221Cは、経路情報M32DFと経路情報M24DFとをルータ211からASZ310Cに対して広告させる。
ASZ310Cは、上記経路情報M24DFの受信に応じて、ASZ310C内で経路情報を共有するとともに、ネットワーク600Cに経路情報M24DF1を広告する。例えば、経路情報M24DF1は、プレフィクスに「10.0.0.0/24」、ASパスに「ZYBCX」、ネクストホップに「GZ1」をそれぞれ指定するデータを含む。
ネットワーク600Cを構成する各ルータは、上記の経路情報M24DF1を取得して、保持している経路情報を更新する。
(ネットワーク600Cから受信するパケットの転送)
ASZ310Cは、ネットワーク600Cのルータ613からパケットを受信すると、当該パケットの送信先アドレスに応じて以下に示すように転送処理をする。
ASZ310Cは、ネットワーク600Cのルータ613からパケットを受信すると、当該パケットの送信先アドレスに応じて以下に示すように転送処理をする。
ケースA1:ASZ310Cが対象装置120宛の攻撃的な通信ではないパケットを受信した場合について
ケースA1の場合は、前述の第1実施形態と同様に、ASZ310Cは、受信したパケットP32AをASY210Cに転送する。ASY210Cは、パケットP32Aを取得してフィルタ装置222Cにおいて、攻撃的な通信のパケットであるか否かを判定する。フィルタ装置222Cは、攻撃的な通信のパケットではないと判定し、トンネルT12を介して、ASX110CにパケットP32Aを転送する。ASX110Cは転送されたパケットP32Aを取得して、対象装置120がパケットP32Aを受信する。
ケースA1の場合は、前述の第1実施形態と同様に、ASZ310Cは、受信したパケットP32AをASY210Cに転送する。ASY210Cは、パケットP32Aを取得してフィルタ装置222Cにおいて、攻撃的な通信のパケットであるか否かを判定する。フィルタ装置222Cは、攻撃的な通信のパケットではないと判定し、トンネルT12を介して、ASX110CにパケットP32Aを転送する。ASX110Cは転送されたパケットP32Aを取得して、対象装置120がパケットP32Aを受信する。
ケースA1D:ASZ310Cが対象装置120宛の攻撃的な通信のパケットを受信した場合について
ケースA1Dの場合は、前述の第1実施形態と同様に、ASZ310Cは、受信したパケットP32DDAをASY210Cに転送する。ASY210Cは、パケットP32DDAを取得してフィルタ装置222Cにおいて、攻撃的な通信のパケットであるか否かを判定する。フィルタ装置222Cは、攻撃的な通信のパケットであると判定し、当該パケットを破棄する。
ケースA1Dの場合は、前述の第1実施形態と同様に、ASZ310Cは、受信したパケットP32DDAをASY210Cに転送する。ASY210Cは、パケットP32DDAを取得してフィルタ装置222Cにおいて、攻撃的な通信のパケットであるか否かを判定する。フィルタ装置222Cは、攻撃的な通信のパケットであると判定し、当該パケットを破棄する。
ケースA3:ASZ310Cが対象装置120宛のパケットを除く「10.0.0.0/24」に含まれる送信先IPアドレスを指定するパケットを受信した場合について
ASZ310Cは、対象装置120宛のパケットを除く「10.0.0.0/24」に含まれる送信先IPアドレスを指定するパケットP24Aを受信した場合に、受信したパケットP24AをASB410Cに転送する。ASB410Cは、受信したパケットP24AをASC510に転送する。ASC510は転送されたパケットP24Aを取得する。ASC510は、受信したパケットP24AをASX110Cに転送する。ASX110Cは転送されたパケットP24Aを取得する。
ASZ310Cは、対象装置120宛のパケットを除く「10.0.0.0/24」に含まれる送信先IPアドレスを指定するパケットP24Aを受信した場合に、受信したパケットP24AをASB410Cに転送する。ASB410Cは、受信したパケットP24AをASC510に転送する。ASC510は転送されたパケットP24Aを取得する。ASC510は、受信したパケットP24AをASX110Cに転送する。ASX110Cは転送されたパケットP24Aを取得する。
ケースA4:ASZ310Cが、「10.0.0.0/24」を除く「10.0.0.0/21」に含まれる送信先IPアドレスを指定するパケットを受信した場合について
ASZ310Cは、「10.0.0.0/24」を除く「10.0.0.0/21」に含まれる送信先IPアドレスを指定するパケットP21Aを受信した場合に、受信したパケットP21AをASB410Cに転送する。ASB410Cは、受信したパケットP21AをASC510に転送する。ASC510は転送されたパケットP21Aを取得する。ASC510は、受信したパケットP21AをASX110Cに転送する。ASX110Cは転送されたパケットP21Aを取得する。
ASZ310Cは、「10.0.0.0/24」を除く「10.0.0.0/21」に含まれる送信先IPアドレスを指定するパケットP21Aを受信した場合に、受信したパケットP21AをASB410Cに転送する。ASB410Cは、受信したパケットP21AをASC510に転送する。ASC510は転送されたパケットP21Aを取得する。ASC510は、受信したパケットP21AをASX110Cに転送する。ASX110Cは転送されたパケットP21Aを取得する。
ASB410Cは、ネットワーク600Cのルータ614からパケットを受信すると、当該パケットの送信先アドレスに応じて以下に示すように転送処理をする。
ところで、本実施形態の場合、ASB410Cがネットワーク600Cのルータ614から受信するパケットは制限されている。例えば、対象装置120宛の通信のパケット(ケースB1、ケースB1D)、対象装置120宛のパケットを除く「10.0.0.0/24」に含まれる送信先IPアドレスを指定するパケット(ケースB3)は、受信するパケットには含まれない。
ところで、本実施形態の場合、ASB410Cがネットワーク600Cのルータ614から受信するパケットは制限されている。例えば、対象装置120宛の通信のパケット(ケースB1、ケースB1D)、対象装置120宛のパケットを除く「10.0.0.0/24」に含まれる送信先IPアドレスを指定するパケット(ケースB3)は、受信するパケットには含まれない。
ケースB4:「10.0.0.0/24」を除く「10.0.0.0/21」に含まれる送信先IPアドレスを指定するパケットを、ASB410Cが受信した場合について
ASB410Cは、「10.0.0.0/24」を除く「10.0.0.0/21」に含まれる送信先IPアドレスを指定するパケットP21Bを受信した場合に、受信したパケットP21BをASC510に転送する。ASC510は、転送されたパケットP21Bを取得して、取得したパケットP21BをASX110Cに転送する。ASX110Cは転送されたパケットP21Bを取得する。
ASB410Cは、「10.0.0.0/24」を除く「10.0.0.0/21」に含まれる送信先IPアドレスを指定するパケットP21Bを受信した場合に、受信したパケットP21BをASC510に転送する。ASC510は、転送されたパケットP21Bを取得して、取得したパケットP21BをASX110Cに転送する。ASX110Cは転送されたパケットP21Bを取得する。
ASC510は、ネットワーク600Cのルータ615からパケットを受信すると、当該パケットの送信先アドレスに応じて以下に示すように転送処理をする。
ところで、本実施形態の場合、ASC510がネットワーク600Cのルータ615から受信するパケットは制限されている。例えば、対象装置120宛の通信のパケット(ケースC1、ケースC1D)、対象装置120宛のパケットを除く「10.0.0.0/24」に含まれる送信先IPアドレスを指定するパケット(ケースC3)は、受信するパケットには含まれない。
ところで、本実施形態の場合、ASC510がネットワーク600Cのルータ615から受信するパケットは制限されている。例えば、対象装置120宛の通信のパケット(ケースC1、ケースC1D)、対象装置120宛のパケットを除く「10.0.0.0/24」に含まれる送信先IPアドレスを指定するパケット(ケースC3)は、受信するパケットには含まれない。
ケースC4:「10.0.0.0/24」を除く「10.0.0.0/21」に含まれる送信先IPアドレスを指定するパケットを、ASC510が受信した場合について
ASC510は、「10.0.0.0/24」を除く「10.0.0.0/21」に含まれる送信先IPアドレスを指定するパケットP21Cを受信した場合に、受信したパケットP21CをASX110Cに転送する。ASX110Cは転送されたパケットP21Cを取得する。
ASC510は、「10.0.0.0/24」を除く「10.0.0.0/21」に含まれる送信先IPアドレスを指定するパケットP21Cを受信した場合に、受信したパケットP21CをASX110Cに転送する。ASX110Cは転送されたパケットP21Cを取得する。
上記のとおり、本実施形態の通信システム1Cは、通信システムの利便性を高めることができる。
以上に示した各通信システムにおける経路情報を利用する通信制御方法を以下に整理する。
[1.実施形態に共通する構成]
第1のAS(例えばASX110):特定の対象装置120を収容するAS。
第2のAS(例えばASY210又はASZ310A):インターネット等(ネットワーク600)から対象装置120に向けられた通信について、転送先となる装置(フィルタ装置222又はフィルタ装置322)を収容するAS。
第3のAS(例えばASZ310):第1のAS、第2のAS及びインターネットと接続するAS 。
上記の第1のAS、第2のAS、第3のASの各ASは、共通する経路制御プロトコルにより通信経路が制御される。また、各ASは、同経路制御プロトコルにより制御された通信経路に従って、パケットをルーティングさせる。
なお、第2のASと第3のASは、共通するASであってもよい。
[1.実施形態に共通する構成]
第1のAS(例えばASX110):特定の対象装置120を収容するAS。
第2のAS(例えばASY210又はASZ310A):インターネット等(ネットワーク600)から対象装置120に向けられた通信について、転送先となる装置(フィルタ装置222又はフィルタ装置322)を収容するAS。
第3のAS(例えばASZ310):第1のAS、第2のAS及びインターネットと接続するAS 。
上記の第1のAS、第2のAS、第3のASの各ASは、共通する経路制御プロトコルにより通信経路が制御される。また、各ASは、同経路制御プロトコルにより制御された通信経路に従って、パケットをルーティングさせる。
なお、第2のASと第3のASは、共通するASであってもよい。
[2.経路情報の特徴]
上記の第3のASに向けて、次の2種類の経路情報を広告する。例えば、上記2種類の経路情報の第3のASに向けて広告は、第2のASから実施する。
或いは、経路情報を広告する手法を利用して、第3のAS内でその経路情報を共有する。
上記の第3のASに向けて、次の2種類の経路情報を広告する。例えば、上記2種類の経路情報の第3のASに向けて広告は、第2のASから実施する。
或いは、経路情報を広告する手法を利用して、第3のAS内でその経路情報を共有する。
2.1 第1の経路情報(例えばM24DF)
(1)この経路情報で設定されるアドレス空間が、対象装置120のアドレスを含み、かつ、第1のASのアドレス空間としてインターネット等で既に伝搬しているアドレス空間より範囲が狭くなるように設定する。このように設定することにより、各ASがパケットを中継する際に、アドレス部が一致するビット数が長い方を優先させる判定方法(ロンゲストマッチ)を利用できる。なお、インターネットに経路情報を広告する際には、インターネットの慣習に従うことが必要とされる(例えば、プレフィクスの最小単位を「/24」にすることなど。)
(2)前記送出元に送信されるパケットが第2のASとは別のASに属するゲートウェイに転送されるように転送先を指定する。このように転送先(ネクストホップ)を指定することにより、パケットをより効率よく目的の転送が行える。
なお、上記の「第2のASとは別のAS」とは、例えば、第1のASである。
(1)この経路情報で設定されるアドレス空間が、対象装置120のアドレスを含み、かつ、第1のASのアドレス空間としてインターネット等で既に伝搬しているアドレス空間より範囲が狭くなるように設定する。このように設定することにより、各ASがパケットを中継する際に、アドレス部が一致するビット数が長い方を優先させる判定方法(ロンゲストマッチ)を利用できる。なお、インターネットに経路情報を広告する際には、インターネットの慣習に従うことが必要とされる(例えば、プレフィクスの最小単位を「/24」にすることなど。)
(2)前記送出元に送信されるパケットが第2のASとは別のASに属するゲートウェイに転送されるように転送先を指定する。このように転送先(ネクストホップ)を指定することにより、パケットをより効率よく目的の転送が行える。
なお、上記の「第2のASとは別のAS」とは、例えば、第1のASである。
2.2 第2の経路情報(例えばM32DF)
(1)この経路情報が、対象装置120のアドレスを含み、かつ、第1の経路情報より優先的に選択されるように設定する。
(2)第2の経路情報の送出元宛に送信されるパケットが、第2のASに属する通信装置(例えばフィルタ装置222)に転送されるように転送先をネクストホップによって指定する。
(3)第2の経路情報が第3のASに広告された後(又は第3のAS内の各ルータで共有された後)に、第3のASを経由して他のASに広告されるかは、第3のASの接続先のASに応じて選択される。
例えば、広告を必要としないASには、当該広告を必要としないASをASパスで指定する。一方、接続先が必ずしもインターネットの慣習に従わなくてもいいASの場合には、第2の経路情報を広告先に指定することなどが選択できる。
(1)この経路情報が、対象装置120のアドレスを含み、かつ、第1の経路情報より優先的に選択されるように設定する。
(2)第2の経路情報の送出元宛に送信されるパケットが、第2のASに属する通信装置(例えばフィルタ装置222)に転送されるように転送先をネクストホップによって指定する。
(3)第2の経路情報が第3のASに広告された後(又は第3のAS内の各ルータで共有された後)に、第3のASを経由して他のASに広告されるかは、第3のASの接続先のASに応じて選択される。
例えば、広告を必要としないASには、当該広告を必要としないASをASパスで指定する。一方、接続先が必ずしもインターネットの慣習に従わなくてもいいASの場合には、第2の経路情報を広告先に指定することなどが選択できる。
なお、上記の第1の経路情報と第2の経路情報は、上記第2のASから送出される。
また、上記の第1の経路情報と第2の経路情報のASパスには、上記の第1のASと第3のASが直接接続していない場合(例えば、第3実施形態や第4実施形態の場合)、第1のASと第3のASの間に存在する他のAS(ASB410、ASC510等)を追加する。
また、上記の第1の経路情報と第2の経路情報のASパスには、上記の第1のASと第3のASが直接接続していない場合(例えば、第3実施形態や第4実施形態の場合)、第1のASと第3のASの間に存在する他のAS(ASB410、ASC510等)を追加する。
なお、上記のように通信システム1、1A、1B、1Cを構成することにより、トンネルT12又はトンネルT13を経由する通信を、対象装置120宛の通信に制限することができ、正常な通信に対する影響を小さくすることができる。
また、通信システム1、1A、1B、1Cは、上記のように、対象装置120宛の通信を制限して、トンネルT12又はトンネルT13を経由する通信のトラフィックを所定の通信量に抑えるように構成したことにより、運用コストを低減させることができる。
また、通信システム1、1A、1B、1Cは、上記のように、対象装置120宛の通信を制限して、トンネルT12又はトンネルT13を経由する通信のトラフィックを所定の通信量に抑えるように構成したことにより、運用コストを低減させることができる。
また、通信システム1、1A、1B、1Cは、上記のように、対象装置120宛の攻撃的な通信の影響を低減させる際に、ユーザが操作することなく、ユーザ側に当たるASX110のルータ112の設定を変更することなく、必要な対策を起動させることができる。そのため、通信システム1、1A、1B、1Cは、攻撃的な通信により、通信状況が悪化している中で遠隔でルータ112の設定変更を行うことも必要としない。
上述した実施形態における機能をコンピュータで実現するようにしても良い。その場合、この機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することによって実現しても良い。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の通信線のように、短時間の間、動的にプログラムを保持するもの、その場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含んでも良い。また上記プログラムは、前述した機能の一部を実現するためのものであっても良く、さらに前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであっても良い。
なお、通信システム1、1A、1B、1Cを構成する各処理部は専用のハードウェアにより実現されるものであってもよい。
なお、通信システム1、1A、1B、1Cを構成する各処理部は専用のハードウェアにより実現されるものであってもよい。
以上、本発明の実施の形態について説明したが、本発明の通信システムは、上述の図示例にのみに限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々変更を加え得ることは勿論である。
例えば、上記の説明に従えばフィルタ装置222が対象装置120宛の通信を処理することができるが、経路情報M32DF(図1、図3等)に代えて経路情報M30DF(不図示)により、対象装置120のIPアドレスをアドレス空間に含むネットワーク102(図1等)を指定するようにしてもよい。例えば、ネットワーク102のアドレス空間を「10.0.0.0/30」等とする経路情報M30DFを設定する。その際、経路情報M30DFに対応するネットワーク102のアドレス空間が、経路情報M24DFのプレフィクスで指定するアドレス空間(「10.0.0.0/24」)に含まれるようにする。このように経路情報M30DFを設定することにより、経路情報M30DFには、所定のアドレス空間を示すアドレス情報が含まれる。当該所定のアドレス空間は、経路情報M24DFのプレフィクスで指定するアドレス空間(「10.0.0.0/24」、第1ネットワークのアドレス空間)より狭くなるように設定される。経路情報M30DFには、経路情報M30DF(第2の経路情報)が、経路情報M24DF(第1の経路情報)より優先的に選択されるようにする情報が含まれている。例えば、優先的に選択されるようにする情報として、プレフィクス、アドレスのうちネットワーク部のビット数を示す情報、ネットマスクの情報などを利用するロンゲストマッチのための情報、プロトコルにより識別するための情報などが挙げられる。
なお、プロトコルにより分岐先の経路を選択するようにしてもよい。例えば、この場合、ASZ310を構成する各ルータに、プロトコルごとに所定の経路を指定するための変換テーブルを保持させておき、ASZ310の各ルータは、当該変換テーブルを参照して、分岐先を決定するようにしてもよい。
なお、プロトコルにより分岐先の経路を選択するようにしてもよい。例えば、この場合、ASZ310を構成する各ルータに、プロトコルごとに所定の経路を指定するための変換テーブルを保持させておき、ASZ310の各ルータは、当該変換テーブルを参照して、分岐先を決定するようにしてもよい。
なお、第2実施形態において、通信制御装置321とフィルタ装置322をASZ310A内に設ける構成を説明したが、第3実施形態と第4実施形態に示した構成においても、第2実施形態と同様に、通信制御装置321とフィルタ装置322をASZ310B又はASZ310C内に設けるように構成してもよい。
なお、上記のASY210、ASZ310、ASB410におけるパケットの転送は、設定された経路情報のネクストホップを参照して転送するようにしてもよく、或いは、設定された経路情報のASパスを参照して転送するようにしてもよい。上記の転送方法に応じて、必要とされる情報を経路情報に設定するようにしてもよい。
なお、上記の説明において通信制御装置221とフィルタ装置222とを別の装置として説明したが、一体の通信制御装置223として構成してもよい。通信制御装置321とフィルタ装置322についても同様に、一体の通信制御装置323として構成してもよい。
なお、上記の説明においてルータ212とフィルタ装置222とを別の装置として説明したが、フィルタ装置222がルータ212の機能を兼ね備えていてもよい。ルータ315とフィルタ装置322についても同様に、フィルタ装置322がルータ315の機能を兼ね備えていてもよい。
なお、上記の説明では、ネットワーク600、ネットワーク600Cがインターネットを構成する特定のネットワークである場合を例示して説明したが、ネットワーク600、ネットワーク600Cは、1つのAS又は複数のASを含んで構成されるAS群からなる特定のネットワークであってもよい。
また、ASY210から指定する経路情報により通信経路を制御するネットワーク100内のアドレス領域は、ユーザが管理するネットワークとして割り付けられたアドレス領域の範囲内であって、ユーザが管理するASの全部又は同AS内の一部に対応する範囲にする。
また、ASY210から指定する経路情報により通信経路を制御するネットワーク100内のアドレス領域は、ユーザが管理するネットワークとして割り付けられたアドレス領域の範囲内であって、ユーザが管理するASの全部又は同AS内の一部に対応する範囲にする。
なお、上記の説明では、トラフィックの変化に応じて対策機能を起動させるものとして説明したが、通信経路を恒常的に分岐するように設定しておき、フィルタ装置222又はフィルタ装置322を常時稼働状態にして運用してもよい。
100、100A、100B、100C、200、200B、200C ネットワーク、
300、300A、300B、300C、400、400C、500 ネットワーク、
600、600C ネットワーク
110、110A、110B、110C ASX、210、210B、210C ASY
、
310、310A、310B、310C ASZ、410、410C ASB、510
ASC、
613、614、615 ルータ
221、321 通信制御装置、222、322 フィルタ装置、
T12、T13 トンネル
300、300A、300B、300C、400、400C、500 ネットワーク、
600、600C ネットワーク
110、110A、110B、110C ASX、210、210B、210C ASY
、
310、310A、310B、310C ASZ、410、410C ASB、510
ASC、
613、614、615 ルータ
221、321 通信制御装置、222、322 フィルタ装置、
T12、T13 トンネル
Claims (13)
- 特定のネットワークと、
前記特定のネットワークと接続する特定の装置を収容する第1ネットワークと、
前記特定のネットワークと前記第1ネットワークとの間に設けられた第2ネットワークと、
所定の条件に従い通信を制限するフィルタ部と、
を含む通信システムにおいて、経路制御をする通信制御方法であって、
前記特定のネットワーク側から前記第1ネットワークに向かう経路を前記第2ネットワークにおいて分岐させるように定めた経路情報により、
前記分岐させた経路の第1経路を、前記フィルタ部を経由して前記特定の装置のアドレスを含む所定のアドレス空間に向かう経路にし、
前記分岐させた経路の第2経路を、前記フィルタ部を経由することなく、前記第1ネットワークのアドレス空間から前記所定のアドレス空間が除かれた前記第1ネットワークに向かう経路にするように経路を制御する通信経路設定過程
を前記通信システムの通信制御部に実施させる通信制御方法。 - 前記第1経路に設けられた第3ネットワークに前記フィルタ部が収容されており、
前記第1経路を介して前記特定の装置に向かう通信が前記フィルタ部に向かうように前記通信制御部が制御する過程
を含む請求項1に記載の通信制御方法。 - 前記第2ネットワークに前記フィルタ部が収容されており、前記第1経路を介して前記特定の装置に向かう通信が前記フィルタ部に向かうように前記通信制御部が制御する過程
を含む請求項1又は請求項2に記載の通信制御方法。 - 前記通信経路設定過程において、
前記特定のネットワークと前記第1ネットワークとの間の経路を制御する経路制御プロトコルを利用して、次に示す2種類の前記経路情報を前記通信制御部が出力させる過程
を含み、
第1の経路情報には、前記第1ネットワークのアドレス空間を示すアドレス情報が含まれ、第2の経路情報には、前記第1ネットワークのアドレス空間より狭くなるように設定された所定のアドレス空間を示すアドレス情報が含まれている
請求項1又は請求項2に記載の通信制御方法。 - 前記第1の経路情報には、前記フィルタ部が設けられたネットワークとは別のネットワークに属するゲートウェイに、前記特定のネットワークから受信したパケットが前記第2ネットワークから転送されるように転送先を指定する情報が含まれており、
前記第2の経路情報には、前記受信したパケットが前記フィルタ部に転送されるように転送先を指定する情報が含まれている
請求項4に記載の通信制御方法。 - 前記第1の経路情報と前記第2の経路情報は、前記第1経路に設けられた第3ネットワークから送出される
請求項4又は請求項5に記載の通信制御方法。 - 前記第2の経路情報について、前記第2ネットワークを経由して他のネットワークに広告されるかは、前記第2ネットワークの接続先のネットワークに応じて選択される
請求項4から請求項6の何れか1項に記載の通信制御方法。 - 前記経路情報の送出元を示す情報を前記第1ネットワークにして前記経路を設定する過程
を含む請求項1から請求項7の何れか1項に記載の通信制御方法。 - 前記第1ネットワークと前記フィルタ部が設けられたネットワークとの間にトンネルが形成されていて、前記第1経路に設けられた前記フィルタ部を経由する通信のパケットは、当該トンネルを経由して前記第3ネットワークから前記第1ネットワークに転送される
請求項2に記載の通信制御方法。 - 前記フィルタ部が設けられたネットワークとは別のネットワークは、前記第1ネットワークに向かう前記第2経路に含まれるネットワークである
請求項1から請求項9の何れか1項に記載の通信制御方法。 - 前記第1ネットワークと前記第2ネットワークが他のネットワークを介して接続されている場合、前記第1ネットワークと前記第2ネットワークとの間に存在する他のネットワークを指定する情報が前記経路情報に追加される
請求項1から請求項10の何れか1項に記載の通信制御方法。 - 特定のネットワークと、
前記特定のネットワークと接続する特定の装置を収容する第1ネットワークと、
前記特定のネットワークと前記第1ネットワークとの間に設けられた第2ネットワークと、
所定の条件に従い通信を制限するフィルタ部と、
を含む通信システムにおいて、経路制御をする通信制御装置であって、
前記特定のネットワーク側から前記第1ネットワークに向かう経路を前記第2ネットワークにおいて分岐させるように定めた経路情報により、
前記分岐させた経路の第1経路を、前記フィルタ部を経由して前記特定の装置のアドレスを含む所定のアドレス空間に向かう経路にし、
前記分岐させた経路の第2経路を、前記フィルタ部を経由することなく、前記第1ネットワークのアドレス空間から前記所定のアドレス空間が除かれた前記第1ネットワークに向かう経路にするように経路を制御する経路設定部
を備える通信制御装置。 - 特定のネットワークと、
前記特定のネットワークと接続する特定の装置を収容する第1ネットワークと、
前記特定のネットワークと前記第1ネットワークとの間に設けられた第2ネットワークと、
所定の条件に従い通信を制限するフィルタ部と、
を含む通信システムのコンピュータに、
前記特定のネットワーク側から前記第1ネットワークに向かう経路を前記第2ネットワークにおいて分岐させるように定めた経路情報により、
前記分岐させた経路の第1経路を、前記フィルタ部を経由して前記特定の装置のアドレスを含む所定のアドレス空間に向かう経路にし、
前記分岐させた経路の第2経路を、前記フィルタ部を経由することなく、前記第1ネットワークのアドレス空間から前記所定のアドレス空間が除かれた前記第1ネットワークに向かう経路にするように経路を制御するステップ
を実行させるためのプログラム。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015111340A JP5977860B1 (ja) | 2015-06-01 | 2015-06-01 | 通信制御方法、通信制御装置及びプログラム |
| US15/578,095 US10999245B2 (en) | 2015-06-01 | 2016-02-29 | Communication path control method, communication path control device, and communication path control program that divide a path leading to a network that accommodates a specific device into a path that passes through a filter device and a path that does not pass through a filter device |
| EP16802861.1A EP3291496B1 (en) | 2015-06-01 | 2016-02-29 | Communication control method, communication control device and program |
| PCT/JP2016/056133 WO2016194422A1 (ja) | 2015-06-01 | 2016-02-29 | 通信制御方法、通信制御装置及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015111340A JP5977860B1 (ja) | 2015-06-01 | 2015-06-01 | 通信制御方法、通信制御装置及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP5977860B1 true JP5977860B1 (ja) | 2016-08-24 |
| JP2016225868A JP2016225868A (ja) | 2016-12-28 |
Family
ID=56760026
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015111340A Active JP5977860B1 (ja) | 2015-06-01 | 2015-06-01 | 通信制御方法、通信制御装置及びプログラム |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10999245B2 (ja) |
| EP (1) | EP3291496B1 (ja) |
| JP (1) | JP5977860B1 (ja) |
| WO (1) | WO2016194422A1 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6711786B2 (ja) * | 2017-06-30 | 2020-06-17 | 日本電信電話株式会社 | 通信システムおよび通信方法 |
| JP6840690B2 (ja) * | 2018-02-13 | 2021-03-10 | 日本電信電話株式会社 | DDoS対処装置、DDoS対処方法、及びプログラム |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007129482A (ja) * | 2005-11-02 | 2007-05-24 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク攻撃防御方法、ネットワーク攻撃防御システム、中継装置、防御装置、中継装置用プログラムおよび防御装置用プログラム |
| US20120174196A1 (en) * | 2010-12-30 | 2012-07-05 | Suresh Bhogavilli | Active validation for ddos and ssl ddos attacks |
| JP2014504111A (ja) * | 2010-12-29 | 2014-02-13 | アマゾン テクノロジーズ インコーポレイテッド | ソース付近のサービス妨害拒否から保護するための技術 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6920493B1 (en) * | 2001-03-19 | 2005-07-19 | Networks Associates Technology, Inc. | System and method for communicating coalesced rule parameters in a distributed computing environment |
| US7092357B1 (en) * | 2001-11-13 | 2006-08-15 | Verizon Services Corp. | Anti-flooding flow-control methods and apparatus |
| US7209971B1 (en) * | 2001-12-11 | 2007-04-24 | Microsoft Corporation | Architecture and run-time environment for network filter drivers |
| AU2003300900A1 (en) * | 2002-12-13 | 2004-07-09 | Internap Network Services Corporation | Topology aware route control |
| US7735116B1 (en) * | 2006-03-24 | 2010-06-08 | Symantec Corporation | System and method for unified threat management with a relational rules methodology |
| US8176561B1 (en) * | 2006-12-14 | 2012-05-08 | Athena Security, Inc. | Assessing network security risk using best practices |
| US9432282B2 (en) * | 2011-02-24 | 2016-08-30 | The University Of Tulsa | Network-based hyperspeed communication and defense |
| JP5771832B2 (ja) * | 2012-02-14 | 2015-09-02 | 株式会社日立製作所 | 伝送システム、管理計算機、及び論理パス構築方法 |
| JP2014229982A (ja) | 2013-05-20 | 2014-12-08 | 日本電信電話株式会社 | 攻撃トラヒック対策システム、経路制御装置、攻撃トラヒック対策方法及び経路制御プログラム |
-
2015
- 2015-06-01 JP JP2015111340A patent/JP5977860B1/ja active Active
-
2016
- 2016-02-29 US US15/578,095 patent/US10999245B2/en active Active
- 2016-02-29 WO PCT/JP2016/056133 patent/WO2016194422A1/ja active Application Filing
- 2016-02-29 EP EP16802861.1A patent/EP3291496B1/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007129482A (ja) * | 2005-11-02 | 2007-05-24 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク攻撃防御方法、ネットワーク攻撃防御システム、中継装置、防御装置、中継装置用プログラムおよび防御装置用プログラム |
| JP2014504111A (ja) * | 2010-12-29 | 2014-02-13 | アマゾン テクノロジーズ インコーポレイテッド | ソース付近のサービス妨害拒否から保護するための技術 |
| US20120174196A1 (en) * | 2010-12-30 | 2012-07-05 | Suresh Bhogavilli | Active validation for ddos and ssl ddos attacks |
Non-Patent Citations (1)
| Title |
|---|
| JPN6016013518; Sharad Agarwal et. al.: 'DDoS Mitigation via Regional Cleaning Centers' SPRINT ATL RESEARCH REPORT RR04-ATL-013177 , 200401 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US20180152416A1 (en) | 2018-05-31 |
| EP3291496A4 (en) | 2019-01-02 |
| JP2016225868A (ja) | 2016-12-28 |
| WO2016194422A1 (ja) | 2016-12-08 |
| EP3291496A1 (en) | 2018-03-07 |
| US10999245B2 (en) | 2021-05-04 |
| EP3291496B1 (en) | 2021-09-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9191139B1 (en) | Systems and methods for reducing the computational resources for centralized control in a network | |
| US8767558B2 (en) | Custom routing decisions | |
| US8239572B1 (en) | Custom routing decisions | |
| JP2005130228A (ja) | As間の経路制御を行う通信装置およびその経路制御方法 | |
| CN111885046B (zh) | 一种基于Linux的透明内网访问方法及装置 | |
| JP2007235341A (ja) | 対異常通信防御を行うための装置とネットワークシステム | |
| KR101323852B1 (ko) | 공용 보안 정책을 기반으로 하는 가상 방화벽 시스템 및 그제어방법 | |
| US12021744B2 (en) | Stitching Label-Switched Paths between autonomous systems with internet protocol | |
| EP3166262B1 (en) | Control device, control system, control method, and control program | |
| US20160006684A1 (en) | Communication system, control apparatus, communication method, and program | |
| JP5977860B1 (ja) | 通信制御方法、通信制御装置及びプログラム | |
| JP2013135397A (ja) | ラベルスイッチングネットワーク | |
| US11582142B2 (en) | Communication control method, communication control device, and computer program | |
| FI3917098T3 (fi) | Menetelmiä ja laitteisto datapakettien reitittämiseksi verkkotopologiassa | |
| KR101867881B1 (ko) | 서비스 기능 체이닝을 운용하는 방법, 장치 및 컴퓨터 프로그램 | |
| US12126598B2 (en) | Managing exchanges between edge gateways in a cloud environment to support a private network connection | |
| US20230239273A1 (en) | Managing exchanges between edge gateways and hosts in a cloud environment to support a private network connection | |
| US20230239274A1 (en) | Managing exchanges between edge gateways in a cloud environment to support a private network connection | |
| WO2017079901A1 (zh) | 一种路由方法及路由装置 | |
| Huber | Comparing OpenOnload: A High-Speed Packet IO Framework | |
| JP2008199168A (ja) | レイヤ2スイッチ装置、レイヤ2フレーム送信方法 | |
| Keith et al. | Dynamic Partition Healing in Internet Routing | |
| WO2013076995A1 (ja) | ネットワークシステム及びセキュリティ装置 | |
| Venaas et al. | of Deliverable: Final IPv4 to IPv6 transition cookbook for end site | |
| Sasaki et al. | Development and evaluation of LISP-based instant VPN services |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160613 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160705 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160722 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5977860 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |