JP6683480B2 - 通信装置及び通信システム - Google Patents
通信装置及び通信システム Download PDFInfo
- Publication number
- JP6683480B2 JP6683480B2 JP2016006566A JP2016006566A JP6683480B2 JP 6683480 B2 JP6683480 B2 JP 6683480B2 JP 2016006566 A JP2016006566 A JP 2016006566A JP 2016006566 A JP2016006566 A JP 2016006566A JP 6683480 B2 JP6683480 B2 JP 6683480B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- transfer
- communication
- address
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
ところで、サイバー攻撃は、年々過激化・巧妙化する傾向にあり、攻撃の手法やタイミングを予測しきることができず、攻撃が顕在化してから、管理者が定めた通信規則を変更するなどの対策を講じている。
本発明の一態様に係る通信装置は、前記第1制限要求は、転送元の真正性と前記第1制限要求の完全性を検証するための第1検証コードが付加され、前記制御部は、前記抽出した第1検証コードを用いて前記第1制限要求に係る前記真正性と前記完全性の検証を行い、前記検証に成功した後、前記第1制限要求に該当するパケットの前記転送部による転送を制限し、さらに、前記第2制御要求に前記転送元の真正性と前記第2制御要求の完全性を検証するための第2検証コードを付加した前記要求パケットを生成し、前記攻撃元への経路に向けて送出する。
本発明の一態様に係る通信システムは、通信装置を複数備え、前記複数の通信装置のうち第1通信装置は、通信利用者ネットワークの通信事業者ネットワーク寄りの端部に設けられ、前記複数の通信装置のうち第2通信装置は、一つ又は複数の前記第1通信装置を収容するよう前記通信事業者ネットワークの通信利用者ネットワーク寄りの端部に設けられ、前記複数の通信装置のうち第3通信装置は、前記通信事業者ネットワークにおける他の通信事業者ネットワークとの境界に設けられる。
通信システム1は、ネットワークNW1を形成する。ネットワークNW1は、互いに通信を可能とする1又は複数の他のネットワークに接続されている。ネットワークNW2とネットワークNW3とネットワークNW4は、他のネットワークの一例である。以下の説明において、ネットワークNW1、ネットワークNW2、ネットワークNW3、ネットワークNW4等を総称してネットワークNWということがある。例えば、各ネットワークNWは、異なるISP(Internet Service Provider)等によって独立して管理されており、管理者が定める通信規則(ポリシー等)はそれぞれ異なるものとする。例えば、各ネットワークNWは、互いに接続されており、例えば、それぞれがインターネットの一部を構成する。
通信システム1を構成するMLBR10には、複数のタイプがあり、互いに構成と用途が異なる。利用者ネットワーク側の出口(egress)に設置するeMLBR11と、ネットワークNW1の利用者側入口(ingress)端部(エッジ)に設置するiMLBR12と、他のネットワークとの境界に配置するbMLBR13は、MLBR10の一例である。MLBR10の各タイプを上記のように配置することにより、例えば、外部のネットワークから大量の送信元IPアドレスを詐称するパケットが送り付けられても、bMLBR13が当該攻撃パケットを遮断する。bMLBR13は、その処理を実施するに当たり送信元IPアドレス以外の情報を組み合わせて利用して、より正確に処理をする。例えば、送信元IPアドレス以外の情報には、攻撃パケットの廃棄を要請した端末装置17もしくは実際に攻撃された通信端末等のIPアドレス、ポート番号等が含まれていてもよい。
eMLBR11(通信装置)は、コントローラ111(制御部)と、IF部113と、IF部114と、スイッチ部112(転送部)と、記憶部115とを含む。コントローラ111と記憶部115の組み合わせは通信制御装置の一例である。
iMLBR12は、コントローラ121と、IF部123と、IF部124と、スイッチ部122と、記憶部125とを含む。
bMLBR13は、コントローラ131と、IF部133と、IF部134と、スイッチ部132と、記憶部135とを含む。
端末装置17は、CPUと、ROM、EEPROM、HDD、RAM、レジスタ等の記憶装置と、を含むコンピュータであり、実行するプログラムにより端末或いはサーバとして機能する。例えば、端末装置17のCPUは、プログラムの実行により、端末装置17を、IDS/IPSとして機能する。端末装置17は、端末装置17に実装したもしくは端末装置17が接続しているローカルエリアネットワークに接続されたIDS/IPSにより、所定の通信量又は頻度を超えて到来するパケットや、その振る舞いの異常さもしくは既知の攻撃パターンなどから攻撃パケットとして検出する。端末装置17は、攻撃パケットを検出した場合に、ネットワークNW1における攻撃パケットの転送を中断させることを要求するメッセージをeMLBR11に対して送信する。例えば、eMLBR11攻撃パケットの転送を中断させることを要求するメッセージを、攻撃パケットを廃棄することを要求する廃棄要請メッセージとして受け付けて、攻撃パケットを廃棄してもよい。以下の説明では、攻撃パケットの転送を中断させることを要求するメッセージをDRM(Dropping Request Message)と呼ぶ。
図3から図5を参照して、攻撃パケットの転送を制限する処理について説明する。攻撃パケットの転送を制限する処理として、端末装置17によるDRMの生成から、ネットワークNW1におけるMLBR10のうち攻撃ノードに最も接近しているbMLBR13に、DRMによる要求が伝搬されて、bMLBR13が攻撃パケットを遮断するまでの処理を例示する。図3は、eMLBR11における処理の手順を示すフローチャートである。図4は、iMLBR12における処理の手順を示すフローチャートである。図5は、bMLBR13における処理の手順を示すフローチャートである。
以下の説明では、OpenFlow(登録商標)の技術を適用してMLBR10を構成する場合を例示する。
OpenFlowの各ノードは、OpenFlowコントローラにより制御されるOpenFlowスイッチ部を備える。一般的なOpenFlowの技術では、1つのOpenFlowコントローラが複数のOpenFlowスイッチを一元管理する。
これに代えて、本実施形態のMLBR10は、コントローラ111とスイッチ部112とを備えており、MLBR10ごとに設けられたコントローラ111がスイッチ部112を管理する。この点が一般的なOpenFlowの構成と異なる。以下、上記の相違点を中心に説明する。
図6から図9を参照して、スイッチ部のより具体的な一例について説明する。図6は、スイッチ部112を示す図である。スイッチ部112は、各段のフローテーブルとして、廃棄テーブル1121、パケットタイプテーブル1122、SCOPEテーブル1123、MLBテーブル1124、ルーティングテーブル1125を備える。図7から図9のそれぞれは、廃棄テーブル1121、パケットタイプテーブル1122、SCOPEテーブル1123の一例を示す図である。
スイッチ部112において、廃棄テーブル1121には、廃棄するパケットのフローエントリが必要数格納される。廃棄するパケットのフローエントリは、前述のパケットの転送を制限する条件に対応する。例えば図7に示すように、廃棄テーブル1121は、格納されたフローエントリにマッチしたパケットを廃棄(drop)する。格納されたフローエントリにマッチしなかったパケットは、パケットタイプテーブル1122による選択処理の対象にする。フローエントリに規定するアドレス情報は、1つのIPアドレスであってもよく、或いは、複数のIPアドレスを含むネットワークアドレスであってもよい。例えば、廃棄テーブル1121のフローエントリとして、転送を制限する領域に対応するネットワークアドレスをマッチ条件として規定する。廃棄テーブル1121は、そのネットワークアドレスが示すアドレス空間に含まれた送信元IPアドレスが付与されているパケットの転送を制限する。図7に示す「129.168.3.0/24」は、IPv4で記述した場合のネットワークアドレスの一例である。
認証・検疫に成功した端末装置17は、MLBテーブル1124に登録・管理される。
eMLBR11は、パケットを受信すると、受信したパケットのフローエントリがMLBテーブル1124に存在するか調べ、存在する場合には、受信したパケットのアドレスがプライベートIPアドレスであればグローバルIPアドレス等に変換してからAHを付加し、さらにMACアドレスを書き替えて、指定されたQoSでiMLBR12へ転送する。指定されたQoSには、例えば、帯域制限なし、AHを付加しての転送、帯域制限などの項目を含めてもよい。
図10を参照して、DRMの一例とその通信手順(DRP)について説明する。図10は、DRMの一例を説明するための図である。同図にDRMを送信するパケットのフレーム構成の一例を示す。同フレームは、MACヘッダ、IPヘッダ、TCPヘッダ、ペイロードを含む。ペイロードにはDRMが割り付けられる。DRMを送受信する端末装置17及びMLBR10等は、DRMの通信手順を規定するDRPを共有し、DRPに基づいて通信する。
図11は、DoS攻撃遮断実験の構成を示す図である。図11のbMLBR13をuRPF相当機能として機能させて、同図に示す範囲でランダムに送信元IPアドレスを変えながら、ホストEから攻撃パケットに見立てたICMPパケットを1ppsの頻度で端末装置17−1宛に送信する。端末装置17−1は、受信したパケットの累計が10パケットに達するとログに書き出す。端末装置17−1は、攻撃パケットから抽出した攻撃元IPアドレスと、送信先IPアドレスと、パケットタイプとを組み合せてDRMを生成して、eMLBR11宛に送信する。各MLBR10は、前述の手順に従ってDRMを転送して、廃棄テーブル1121等の廃棄テーブルに、DRMに基づいて生成した廃棄エントリを登録する。各MLBR10は、上記の廃棄エントリを登録した後、該当するパケットを受信すると廃棄する。以上のモデルに基づいて実験を行う。
同図におけるG1が、ホストEが送信したパケットの累計(累積パケット数)を示し、G2が、bMLBR13をuRPFとして機能させたことにより廃棄したパケット数の累計を示し、G3が、端末装置17−1が受信したパケット数の累計を示す。
本実験では攻撃ホストEが1台で、送信元IPアドレスを詐称するDoS攻撃を模したものであるが、DDoS攻撃などの多重攻撃を受けた場合も、同様に攻撃パケットを廃棄する。
なお、コントローラ121は、bMLBR13に対して転送DRMを通知した後、受信パケットの送信元である他のbMLBR13(第2送信ノード)に対して、端末装置17から取得したDRMに基づいて生成した転送DRM(第3制限要求)を送信するもしくは同じネットワーク上の複数のbMLBR13に対して一斉に送信するように制御してもよい。これにより、上記のように、他のネットワークNWを含めて複数の経路が設定される場合においても、第1の経路の対策を講じた後に第2の経路に対しても必要な対策を講じることができる。コントローラ121は、第1の経路に対する処理を実施した後、一定時間経過しても攻撃パケットが止まらないときに、上記の第2の経路に対する対策を実施するようにしてもよい。
実施形態の変形例では、他のネットワークNW、例えばネットワークNW2に、ネットワークNW1において生成された転送DRMをさらに転送する場合を例示する。実施形態の通信システム1は転送DRMを、他のネットワークNWに転送しないものであったため、この点が異なる。以下、相違点を中心に説明する。
図13のS35において抽出した制限条件がテーブル1351に登録されていると判定した場合、又はS36の処理を終えた場合、通信システム1のbMLBR13は、自装置に接続されているネットワークNWの通信システムが、契約先ISPなど連携可能なものであるか否かを判定する(S40)。連携可能な通信システムがないと判定した場合には、S39の処理に進む。
Claims (3)
- IPアドレスを用いてパケットの転送制御を行う通信装置であって、
パケットの転送を制限する制限条件を定めた第1規則を用いて、自通信装置が受信したパケットのうち前記第1規則に該当するパケットの転送を制限し、
パケットの送信元への経路である逆行経路を示す逆行経路情報を含む第2規則を用いて、前記第1規則に該当しないパケットのうちから、前記受信したパケットの送信元IPアドレスが前記第2規則の逆行経路情報に含まれる第1パケットを特定して前記第1パケットを転送し、前記受信したパケットの送信元IPアドレスが前記第2規則の逆行経路情報に含まれない第2パケットの転送を制限することで、前記第1パケットを前記逆行経路のアドレス空間内に制限する転送部と、
被害を受けた端末装置側からの第1制限要求を前記受信したパケットから抽出し、前記抽出した第1制限要求に基づいて、前記第1規則の前記制限条件を更新し、前記第1制限要求に基づく第2制限要求を含む要求パケットを生成し、前記逆行経路側にある他の通信装置の第1規則を更新するように攻撃元への経路に向けて送出する制御部と
を備える通信装置。 - 前記第1制限要求は、転送元の真正性と前記第1制限要求の完全性を検証するための第1検証コードが付加され、
前記制御部は、
前記抽出した第1検証コードを用いて前記第1制限要求に係る前記真正性と前記完全性の検証を行い、前記検証に成功した後、前記第1制限要求に該当するパケットの前記転送部による転送を制限し、さらに、
前記第2制御要求に、前記転送元の真正性と前記第2制御要求の完全性を検証するための第2検証コードを付加した前記要求パケットを生成し、前記攻撃元への経路に向けて送出する
請求項1に記載の通信装置。 - 請求項1または請求項2に記載の通信装置を複数備えた通信システムであって、
前記複数の通信装置のうち第1通信装置は、
通信利用者ネットワークの通信事業者ネットワーク寄りの端部に設けられ、
前記複数の通信装置のうち第2通信装置は、
一つ又は複数の前記第1通信装置を収容するよう前記通信事業者ネットワークの通信利用者ネットワーク寄りの端部に設けられ、
前記複数の通信装置のうち第3通信装置は、
前記通信事業者ネットワークにおける他の通信事業者ネットワークとの境界に設けられる
通信システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016006566A JP6683480B2 (ja) | 2016-01-15 | 2016-01-15 | 通信装置及び通信システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016006566A JP6683480B2 (ja) | 2016-01-15 | 2016-01-15 | 通信装置及び通信システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017126962A JP2017126962A (ja) | 2017-07-20 |
JP6683480B2 true JP6683480B2 (ja) | 2020-04-22 |
Family
ID=59365618
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016006566A Active JP6683480B2 (ja) | 2016-01-15 | 2016-01-15 | 通信装置及び通信システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6683480B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023281748A1 (ja) | 2021-07-09 | 2023-01-12 | 浩 小林 | 再生可能エネルギ供給システム、浮体式洋上太陽光発電プラント、及び再生可能エネルギ供給方法 |
-
2016
- 2016-01-15 JP JP2016006566A patent/JP6683480B2/ja active Active
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023281748A1 (ja) | 2021-07-09 | 2023-01-12 | 浩 小林 | 再生可能エネルギ供給システム、浮体式洋上太陽光発電プラント、及び再生可能エネルギ供給方法 |
Also Published As
Publication number | Publication date |
---|---|
JP2017126962A (ja) | 2017-07-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5880560B2 (ja) | 通信システム、転送ノード、受信パケット処理方法およびプログラム | |
Yao et al. | Source address validation solution with OpenFlow/NOX architecture | |
US9043884B2 (en) | Autonomic network protection based on neighbor discovery | |
US7360245B1 (en) | Method and system for filtering spoofed packets in a network | |
US7167922B2 (en) | Method and apparatus for providing automatic ingress filtering | |
US9654482B2 (en) | Overcoming circular dependencies when bootstrapping an RPKI site | |
US11362837B2 (en) | Generating trustable RPL messages having root-signed rank values | |
JP6737610B2 (ja) | 通信装置 | |
CN109525601B (zh) | 内网中终端间的横向流量隔离方法和装置 | |
US10630700B2 (en) | Probe counter state for neighbor discovery | |
US9722919B2 (en) | Tying data plane paths to a secure control plane | |
US9930049B2 (en) | Method and apparatus for verifying source addresses in a communication network | |
US20060191006A1 (en) | Denial-of-service-attack protecting method, denial-of-service attack protecting system, denial-of-service attack protecting device, repeater, denial-of-service attack protecting program, and program for repeater | |
US11558194B2 (en) | Secured protection of advertisement parameters in a zero trust low power and lossy network | |
WO2015174100A1 (ja) | パケット転送装置、パケット転送システム及びパケット転送方法 | |
Song et al. | Novel attacks in OSPF networks to poison routing table | |
Sandhya Venu et al. | Invincible AODV to detect black hole and gray hole attacks in mobile ad hoc networks | |
CN117426071A (zh) | 使用路径属性扩展边界网关协议(BGP)FlowSpec发起授权 | |
US8819790B2 (en) | Cooperation method and system between send mechanism and IPSec protocol in IPV6 environment | |
US8893271B1 (en) | End node discovery and tracking in layer-2 of an internet protocol version 6 network | |
JP6780838B2 (ja) | 通信制御装置及び課金方法 | |
Liu et al. | DISCS: a distributed collaboration system for inter-AS spoofing defense | |
KR100856918B1 (ko) | IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및IPv6 기반 네트워크 시스템 | |
JP6683480B2 (ja) | 通信装置及び通信システム | |
JP2017200152A (ja) | 通信制限範囲特定装置、通信制御装置、通信装置、通信システム、通信制限範囲特定方法、及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A80 | Written request to apply exceptions to lack of novelty of invention |
Free format text: JAPANESE INTERMEDIATE CODE: A80 Effective date: 20160215 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160303 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181210 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20190110 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20190110 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190917 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191001 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191129 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191202 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191217 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200210 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20200207 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200324 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200326 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6683480 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |