JP6683480B2 - 通信装置及び通信システム - Google Patents
通信装置及び通信システム Download PDFInfo
- Publication number
- JP6683480B2 JP6683480B2 JP2016006566A JP2016006566A JP6683480B2 JP 6683480 B2 JP6683480 B2 JP 6683480B2 JP 2016006566 A JP2016006566 A JP 2016006566A JP 2016006566 A JP2016006566 A JP 2016006566A JP 6683480 B2 JP6683480 B2 JP 6683480B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- transfer
- communication
- address
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
本発明の実施形態は、通信装置及び通信システムに関する。
従来、複数のノードを含んで構成されるネットワークにおける通信を、そのネットワークの管理者が定める通信規則に従って制御する集中制御型の通信制御装置が知られている。関連するOpenFlow(登録商標)という技術がある。OpenFlowでは、コントローラが各ノードのスイッチを一元管理する(特許文献1、非特許文献1参照)。
ところで、サイバー攻撃は、年々過激化・巧妙化する傾向にあり、攻撃の手法やタイミングを予測しきることができず、攻撃が顕在化してから、管理者が定めた通信規則を変更するなどの対策を講じている。
ところで、サイバー攻撃は、年々過激化・巧妙化する傾向にあり、攻撃の手法やタイミングを予測しきることができず、攻撃が顕在化してから、管理者が定めた通信規則を変更するなどの対策を講じている。
"OpenFlow Switch Specification Version 1.3.1,"The Open Networking Foundation,(2013),[online]、[平成28(2016)年1月7日検索]、インターネット〈https://www.opennetworking.org/images/stories/downloads/sdn-resources/onf-specifications/openflow/openflow-spec-v1.3.1.pdf〉
しかしながら、攻撃が顕在化してから管理者が通信規則を変更するという対策では、その対策が実施されるまで、攻撃により発生した過度のトラフィックを制限することができない。また、大規模なネットワークでは、通信規則の変更を適切に行うこと自体が困難となる場合がある。
本発明が解決しようとする課題は、攻撃等により発生した不正や過度のトラフィックの要因となるパケットの送信元アドレスの範囲をより速やかに特定することができる通信装置及び通信システムを提供することである。
上記目的を達成するため、本発明の一態様に係る通信装置は、IPアドレスを用いてパケットの転送制御を行う通信装置であって、パケットの転送を制限する制限条件を定めた第1規則を用いて、自通信装置が受信したパケットのうち前記第1規則に該当するパケットの転送を制限し、パケットの送信元への経路である逆行経路を示す逆行経路情報を含む第2規則を用いて、前記第1規則に該当しないパケットのうちから、前記受信したパケットの送信元IPアドレスが前記第2規則の逆行経路情報に含まれる第1パケットを特定して前記第1パケットを転送し、前記受信したパケットの送信元IPアドレスが前記第2規則の逆行経路情報に含まれない第2パケットの転送を制限することで、前記第1パケットを前記逆行経路のアドレス空間内に制限する転送部と、被害を受けた端末装置側からの第1制限要求を前記受信したパケットから抽出し、前記抽出した第1制限要求に基づいて、前記第1規則の前記制限条件を更新し、前記第1制限要求に基づく第2制限要求を含む要求パケットを生成し、前記逆行経路側にある他の通信装置の第1規則を更新するように攻撃元への経路に向けて送出する制御部とを備える。
本発明の一態様に係る通信装置は、前記第1制限要求は、転送元の真正性と前記第1制限要求の完全性を検証するための第1検証コードが付加され、前記制御部は、前記抽出した第1検証コードを用いて前記第1制限要求に係る前記真正性と前記完全性の検証を行い、前記検証に成功した後、前記第1制限要求に該当するパケットの前記転送部による転送を制限し、さらに、前記第2制御要求に前記転送元の真正性と前記第2制御要求の完全性を検証するための第2検証コードを付加した前記要求パケットを生成し、前記攻撃元への経路に向けて送出する。
本発明の一態様に係る通信システムは、通信装置を複数備え、前記複数の通信装置のうち第1通信装置は、通信利用者ネットワークの通信事業者ネットワーク寄りの端部に設けられ、前記複数の通信装置のうち第2通信装置は、一つ又は複数の前記第1通信装置を収容するよう前記通信事業者ネットワークの通信利用者ネットワーク寄りの端部に設けられ、前記複数の通信装置のうち第3通信装置は、前記通信事業者ネットワークにおける他の通信事業者ネットワークとの境界に設けられる。
本発明の一態様に係る通信装置は、前記第1制限要求は、転送元の真正性と前記第1制限要求の完全性を検証するための第1検証コードが付加され、前記制御部は、前記抽出した第1検証コードを用いて前記第1制限要求に係る前記真正性と前記完全性の検証を行い、前記検証に成功した後、前記第1制限要求に該当するパケットの前記転送部による転送を制限し、さらに、前記第2制御要求に前記転送元の真正性と前記第2制御要求の完全性を検証するための第2検証コードを付加した前記要求パケットを生成し、前記攻撃元への経路に向けて送出する。
本発明の一態様に係る通信システムは、通信装置を複数備え、前記複数の通信装置のうち第1通信装置は、通信利用者ネットワークの通信事業者ネットワーク寄りの端部に設けられ、前記複数の通信装置のうち第2通信装置は、一つ又は複数の前記第1通信装置を収容するよう前記通信事業者ネットワークの通信利用者ネットワーク寄りの端部に設けられ、前記複数の通信装置のうち第3通信装置は、前記通信事業者ネットワークにおける他の通信事業者ネットワークとの境界に設けられる。
本発明の一態様によれば、攻撃等により発生した過度のトラフィックをより速やかに制限することができる。
以下、図面を参照し、本発明の通信制御装置、通信装置、通信システム、通信制御方法、及びプログラムの実施形態について説明する。
図1は、本実施形態の通信システム1の構成を示す図である。
通信システム1は、ネットワークNW1を形成する。ネットワークNW1は、互いに通信を可能とする1又は複数の他のネットワークに接続されている。ネットワークNW2とネットワークNW3とネットワークNW4は、他のネットワークの一例である。以下の説明において、ネットワークNW1、ネットワークNW2、ネットワークNW3、ネットワークNW4等を総称してネットワークNWということがある。例えば、各ネットワークNWは、異なるISP(Internet Service Provider)等によって独立して管理されており、管理者が定める通信規則(ポリシー等)はそれぞれ異なるものとする。例えば、各ネットワークNWは、互いに接続されており、例えば、それぞれがインターネットの一部を構成する。
通信システム1は、ネットワークNW1を形成する。ネットワークNW1は、互いに通信を可能とする1又は複数の他のネットワークに接続されている。ネットワークNW2とネットワークNW3とネットワークNW4は、他のネットワークの一例である。以下の説明において、ネットワークNW1、ネットワークNW2、ネットワークNW3、ネットワークNW4等を総称してネットワークNWということがある。例えば、各ネットワークNWは、異なるISP(Internet Service Provider)等によって独立して管理されており、管理者が定める通信規則(ポリシー等)はそれぞれ異なるものとする。例えば、各ネットワークNWは、互いに接続されており、例えば、それぞれがインターネットの一部を構成する。
通信システム1は、eMLBR(egress Multi Layer Binding Router)11と、iMLBR(ingress MLBR)12と、bMLBR(border MLBR)13と、中継装置14と、管理装置15とを含む。以下の説明において、eMLBR11と、iMLBR12と、bMLBR13とを総称してMLBR10ということがある。各MLBR10は、通信システム1の通信ノードとして機能する。通信システム1は、複数のMLBR10によってネットワークNW1を構成する。ネットワークNW1内の各MLBR10間は、互いに直接的に接続されていてもよく、中継装置14等を介して接続されていてもよい。
通信システム1には、ユーザが操作する端末装置17、IoT(Internet of Things)と総称される各種データ端末18などの端末が通信可能に接続される。例えば、端末装置17とデータ端末18は、eMLBR11等を介して、各端末からの要求等に起因する所望の通信を実施する。
管理装置15は、通信システム1における基本設定を行うとともに、各MLBR10の状態を監視させてもよい。さらに管理装置15は、連携サーバとして機能し、端末装置17などの認証と検疫を担うHRS(Home RADIUS Server)として機能させてもよい。また、管理装置15は、IDS(Intrusion Detection System)/IPS(Intrusion Prevention System)等により検出した通信履歴を記憶するように構成してもよい。
通信システム1と同様に、通信システム2は、ネットワークNW2を形成する。通信システム2は、eMLBR21と、iMLBR22と、bMLBR23と、管理装置25とを含む。また、通信システム3は、ネットワークNW3を形成する。通信システム3は、eMLBR31と、iMLBR32と、bMLBR33と、管理装置35とを含む。通信システム2におけるeMLBR21と、iMLBR22と、bMLBR23と、管理装置25、及び、通信システム3におけるeMLBR31と、iMLBR32と、bMLBR33と、管理装置35は、通信システム1のeMLBR11と、iMLBR12と、bMLBR13と、管理装置15にそれぞれ対応する。
通信システム4は、ネットワークNW4を形成する。通信システム4は、通信システム1とは異なり、MLBR10を含まずに、MLBR10とは異なるルータ等により構成される。
ところで、通信システム1において、端末装置17及びデータ端末18に到来するパケットの個数又は頻度が異常に高くなることがある。例えば、その原因がDDoS攻撃の場合には、ネットワークNW上に分散して配置された多数のコンピュータから端末装置17及びデータ端末18に対するパケットが到来する。通信システム1は、DDoS攻撃に参加しているコンピュータ等からのパケットを選択的に遮断して、通信の安全性を確保する。
なお、上記のように悪意を持って送られた攻撃パケットを遮断するように構成したシステムであっても、悪用されることが考えられる。通信システム1では、下記の点に留意してその完全性を確保する。
通信システム1は、端末装置17とデータ端末18などの端末について、真正性と健全性を検査して、その結果に応じて帯域制限や通信相手の限定等を課すサービス品質(QoS)を決定する。
通信システム1は、MLBR10が保持管理する物理ポート又は(セキュア)チャネルをキーにMACアドレスとIPアドレスとの対応関係を管理する。通信システム1は、上記の対応関係を満足しないパケットをアドレス詐称パケットとみなして廃棄する。
通信システム1は、真正性と健全性が確認された端末装置17等の端末から、正当な攻撃パケットの廃棄要請を受ける。通信システム1は、その廃棄要請に基づいて、MLBR10における転送を制限するための規則を更新し、以降、該当するアドレス非詐称の攻撃パケット等を廃棄する。
(MLBR10)
通信システム1を構成するMLBR10には、複数のタイプがあり、互いに構成と用途が異なる。利用者ネットワーク側の出口(egress)に設置するeMLBR11と、ネットワークNW1の利用者側入口(ingress)端部(エッジ)に設置するiMLBR12と、他のネットワークとの境界に配置するbMLBR13は、MLBR10の一例である。MLBR10の各タイプを上記のように配置することにより、例えば、外部のネットワークから大量の送信元IPアドレスを詐称するパケットが送り付けられても、bMLBR13が当該攻撃パケットを遮断する。bMLBR13は、その処理を実施するに当たり送信元IPアドレス以外の情報を組み合わせて利用して、より正確に処理をする。例えば、送信元IPアドレス以外の情報には、攻撃パケットの廃棄を要請した端末装置17もしくは実際に攻撃された通信端末等のIPアドレス、ポート番号等が含まれていてもよい。
通信システム1を構成するMLBR10には、複数のタイプがあり、互いに構成と用途が異なる。利用者ネットワーク側の出口(egress)に設置するeMLBR11と、ネットワークNW1の利用者側入口(ingress)端部(エッジ)に設置するiMLBR12と、他のネットワークとの境界に配置するbMLBR13は、MLBR10の一例である。MLBR10の各タイプを上記のように配置することにより、例えば、外部のネットワークから大量の送信元IPアドレスを詐称するパケットが送り付けられても、bMLBR13が当該攻撃パケットを遮断する。bMLBR13は、その処理を実施するに当たり送信元IPアドレス以外の情報を組み合わせて利用して、より正確に処理をする。例えば、送信元IPアドレス以外の情報には、攻撃パケットの廃棄を要請した端末装置17もしくは実際に攻撃された通信端末等のIPアドレス、ポート番号等が含まれていてもよい。
図2を参照して、通信システム1における各MLBR10について説明する。図2は、通信システム1の構成例を示す図である。通信システム1における各MLBR10の詳細について順に説明する。
(eMLBR11)
eMLBR11(通信装置)は、コントローラ111(制御部)と、IF部113と、IF部114と、スイッチ部112(転送部)と、記憶部115とを含む。コントローラ111と記憶部115の組み合わせは通信制御装置の一例である。
eMLBR11(通信装置)は、コントローラ111(制御部)と、IF部113と、IF部114と、スイッチ部112(転送部)と、記憶部115とを含む。コントローラ111と記憶部115の組み合わせは通信制御装置の一例である。
IF部113は、端末装置17又はデータ端末18とのインタフェースである。例えば、端末装置17又はデータ端末18と有線で通信する場合、IF部113は、通信回線が接続される物理ポートに対応させて設けられ、物理ポートを介して通信回線から取得したパケットをスイッチ部112に出力し、スイッチ部112により転送されたパケットを、物理ポートに接続される通信回線に出力する。また、例えば、端末装置17又はデータ端末18と無線で通信する場合、IF部113は、無線通信の(セキュア)チャネルに対応させて設けられ、特定の(セキュア)チャネルから取得したパケットをスイッチ部112に出力し、スイッチ部112により転送されたパケットを、特定の(セキュア)チャネルまたは有線の物理ポートに出力する。以下、物理ポートと(セキュア)チャネルを接続ポートと総称する。
IF部114は、他のMLBR10等と通信する際のインタフェースである。例えば、IF部114は、通信回線が接続される物理ポートに対応させて設けられ、物理ポートを介して通信回線から取得したパケットをスイッチ部112に出力し、スイッチ部112により転送されたパケットを、物理ポートに接続される通信回線に出力する。
スイッチ部112は、コントローラ111により設定された条件に基づいて、IF部113とIF部114とコントローラ111等の間でパケットを転送する。例えば、スイッチ部122は、プロトコルスタックのレイヤ2(L2)からレイヤ4(L4)までの各ヘッダ情報に基づいて、当該パケットの転送を制御する。パケットを転送する処理の詳細は後述する。
記憶部115は、ROM(Read Only Memory)、EEPROM(Electrically Erasable and Programmable Read Only Memory)、HDD(Hard Disk Drive)等の不揮発性の記憶装置と、RAM(Random Access Memory)レジスタ等の揮発性の記憶装置によって実現される。記憶部115は、eMLBR11を機能させるためのプログラム、スイッチ部112を制御するための複数のテーブル、通信履歴情報等を格納する。例えば、第1記憶部1151と第2記憶部1152とは、上記の複数のテーブルの一例である。第1記憶部1151は、eMLBR11が受信した受信パケット(受信データ)の転送を制限する条件を定めた第1規則を記憶する。受信パケットは、ヘッダ情報とデータ(受信データ)とを含んで構成される。第2記憶部1152は、受信パケットの転送を許可する条件を定めた第2規則を記憶する。第1規則と第2規則の詳細は後述する。
コントローラ111は、例えば、CPU(Central Processing Unit)等のプロセッサを有する。コントローラ111は、記憶部115に記憶されているプログラムにより、記憶部115に記憶されている複数のテーブルに基づいて、スイッチ部112を制御する。
(iMLBR12)
iMLBR12は、コントローラ121と、IF部123と、IF部124と、スイッチ部122と、記憶部125とを含む。
iMLBR12は、コントローラ121と、IF部123と、IF部124と、スイッチ部122と、記憶部125とを含む。
IF部123は、eMLBR11と通信する際のインタフェースである。IF部123は、eMLBR11に対する通信回線が接続される物理ポートに対応させて設けられ、物理ポートを介して通信回線から取得したパケットをスイッチ部122に出力し、スイッチ部122により転送されたパケットを、物理ポートに接続される通信回線を介してeMLBR11に対し出力する。
IF部124は、他のMLBR10等と通信する際のインタフェースである。例えば、IF部124は、他のMLBR10等に対する通信回線が接続される物理ポートに対応させて設けられ、物理ポートを介して通信回線から取得したパケットをスイッチ部122に出力し、スイッチ部122により転送されたパケットを、物理ポートに接続される通信回線を介して他のMLBR10等に対し出力する。
スイッチ部122は、コントローラ121により設定された条件に基づいて、IF部123とIF部124とコントローラ121等の間でパケットを転送する。例えば、スイッチ部122は、L2からL4までのヘッダ情報に基づいて、当該パケットの転送を制御する。パケットを転送する処理の詳細は後述する。
記憶部125は、ROM、EEPROM、HDD等の不揮発性の記憶装置と、RAM、レジスタ等の揮発性の記憶装置によって実現される。記憶部125は、iMLBR12を機能させるためのプログラム、スイッチ部122を制御するための複数のテーブル、通信履歴情報等を格納する。例えば、テーブル1251(第1記憶部)とテーブル1251(第1記憶部)とは、上記の複数のテーブルの一例である。テーブル1251は、iMLBR12が受信した受信パケット(受信データ)の転送を制限する条件を定めた第1規則を記憶する。テーブル1252は、受信パケットの転送を許可する条件を定めた第2規則を記憶する。第1規則と第2規則の詳細は後述する。
コントローラ121は、例えば、CPU等のプロセッサを有する。コントローラ121は、記憶部125に記憶されているプログラムにより、記憶部125に記憶されている複数のテーブルに基づいて、スイッチ部122を制御する。
(bMLBR13)
bMLBR13は、コントローラ131と、IF部133と、IF部134と、スイッチ部132と、記憶部135とを含む。
bMLBR13は、コントローラ131と、IF部133と、IF部134と、スイッチ部132と、記憶部135とを含む。
IF部133は、他のMLBR10等と通信する際のインタフェースである。IF部133は、他のMLBR10等に対する通信回線が接続される物理ポートに対応させて設けられ、物理ポートを介して通信回線から取得したパケットをスイッチ部132に出力し、スイッチ部132により転送されたパケットを、物理ポートに接続される通信回線を介してeMLBR11に対し出力する。
IF部134は、他のネットワークNW等と通信する際のインタフェースである。例えば、IF部134は、ネットワークNW2に対する通信回線が接続される物理ポートに対応させて設けられ、物理ポートを介して通信回線から取得したパケットをスイッチ部132に出力し、スイッチ部132により転送されたパケットを、物理ポートに接続される通信回線を介して、ネットワークNW2などの他のネットワークNWに対し出力する。
スイッチ部132は、コントローラ131により設定された条件に基づいて、IF部133とIF部134とコントローラ131等の間でパケットを転送する。例えば、スイッチ部122は、L2からL4までのヘッダ情報に基づいて、当該パケットの転送を制御する。パケットを転送する処理の詳細は後述する。
記憶部135は、ROM、EEPROM、HDD等の不揮発性の記憶装置と、RAM、レジスタ等の揮発性の記憶装置によって実現される。記憶部135は、bMLBR13を機能させるためのプログラム、スイッチ部132を制御するための複数のテーブル、通信履歴情報等を格納する。例えば、テーブル1351(第1記憶部)とテーブル1351(第1記憶部)とは、上記の複数のテーブルの一例である。テーブル1351は、bMLBR13が受信した受信パケット(受信データ)の転送を制限する条件(制限条件)を定めた第1規則を記憶する。テーブル1352は、受信パケットの転送を許可する条件(許可条件)を定めた第2規則を記憶する。第1規則と第2規則の詳細は後述する。
コントローラ131は、例えば、CPU等のプロセッサを有する。コントローラ131は、記憶部135に記憶されているプログラムによりスイッチ部132を制御する。例えば、コントローラ131は、端末装置17からの要請に基づいて、スイッチ部132の転送処理を変更する。
上記のとおり、各MLBR10は、それぞれコントローラとスイッチ部とを含む。MLBR10のコントローラは、他のMLBR10のコントローラから取得した情報等に基づいて、自装置のスイッチ部をそれぞれ制御する。
(端末装置17)
端末装置17は、CPUと、ROM、EEPROM、HDD、RAM、レジスタ等の記憶装置と、を含むコンピュータであり、実行するプログラムにより端末或いはサーバとして機能する。例えば、端末装置17のCPUは、プログラムの実行により、端末装置17を、IDS/IPSとして機能する。端末装置17は、端末装置17に実装したもしくは端末装置17が接続しているローカルエリアネットワークに接続されたIDS/IPSにより、所定の通信量又は頻度を超えて到来するパケットや、その振る舞いの異常さもしくは既知の攻撃パターンなどから攻撃パケットとして検出する。端末装置17は、攻撃パケットを検出した場合に、ネットワークNW1における攻撃パケットの転送を中断させることを要求するメッセージをeMLBR11に対して送信する。例えば、eMLBR11攻撃パケットの転送を中断させることを要求するメッセージを、攻撃パケットを廃棄することを要求する廃棄要請メッセージとして受け付けて、攻撃パケットを廃棄してもよい。以下の説明では、攻撃パケットの転送を中断させることを要求するメッセージをDRM(Dropping Request Message)と呼ぶ。
端末装置17は、CPUと、ROM、EEPROM、HDD、RAM、レジスタ等の記憶装置と、を含むコンピュータであり、実行するプログラムにより端末或いはサーバとして機能する。例えば、端末装置17のCPUは、プログラムの実行により、端末装置17を、IDS/IPSとして機能する。端末装置17は、端末装置17に実装したもしくは端末装置17が接続しているローカルエリアネットワークに接続されたIDS/IPSにより、所定の通信量又は頻度を超えて到来するパケットや、その振る舞いの異常さもしくは既知の攻撃パターンなどから攻撃パケットとして検出する。端末装置17は、攻撃パケットを検出した場合に、ネットワークNW1における攻撃パケットの転送を中断させることを要求するメッセージをeMLBR11に対して送信する。例えば、eMLBR11攻撃パケットの転送を中断させることを要求するメッセージを、攻撃パケットを廃棄することを要求する廃棄要請メッセージとして受け付けて、攻撃パケットを廃棄してもよい。以下の説明では、攻撃パケットの転送を中断させることを要求するメッセージをDRM(Dropping Request Message)と呼ぶ。
例えば、端末装置17は、自装置の正当性と完全性を示す検証用データをDRMに付加してeMLBR11へ送信する。eMLBR11は、受信した検証用データもしくは認証コードを検証し,その正当性(IDS/IPSが改ざんされたり、マルウェアに感染していたりしないことなど)と、完全性(データが改ざんされていないこと)とを確認する。なお、端末装置17とMLPR11は、共通の検証用データもしくは認証コードを生成するTPM(Trusted Platform Module)やHSM(Hardware Security Module)などハードウェアを備えて構成する。これにより、端末装置17とMLPR11は、TPMやHSMにより生成された検証用データもしくは認証コードに基づいて、プラットホームの正当性やハードウェア、ソフトウェア、DRMなどの完全性を検証してもよい。
(攻撃パケットの転送を制限する処理)
図3から図5を参照して、攻撃パケットの転送を制限する処理について説明する。攻撃パケットの転送を制限する処理として、端末装置17によるDRMの生成から、ネットワークNW1におけるMLBR10のうち攻撃ノードに最も接近しているbMLBR13に、DRMによる要求が伝搬されて、bMLBR13が攻撃パケットを遮断するまでの処理を例示する。図3は、eMLBR11における処理の手順を示すフローチャートである。図4は、iMLBR12における処理の手順を示すフローチャートである。図5は、bMLBR13における処理の手順を示すフローチャートである。
図3から図5を参照して、攻撃パケットの転送を制限する処理について説明する。攻撃パケットの転送を制限する処理として、端末装置17によるDRMの生成から、ネットワークNW1におけるMLBR10のうち攻撃ノードに最も接近しているbMLBR13に、DRMによる要求が伝搬されて、bMLBR13が攻撃パケットを遮断するまでの処理を例示する。図3は、eMLBR11における処理の手順を示すフローチャートである。図4は、iMLBR12における処理の手順を示すフローチャートである。図5は、bMLBR13における処理の手順を示すフローチャートである。
まず、端末装置17は、自装置に備える、もしくは接続しているローカルエリアネットワークに接続されたIDS/IPSが所定の通信量又は頻度を超えて到来するパケットやその振る舞いの異常さもしくは既知の攻撃パターンなどから攻撃パケットとして検知して、検知結果を端末装置17の記憶領域に通信履歴情報(ログ)として書き込む。端末装置17は、このログに基づいて攻撃パケットに付与されている送信元アドレスを特定する。上記により特定された送信元アドレスは、攻撃パケットを実際に送信した攻撃ノードの実際のアドレスと一致しないこともある。端末装置17は、特定された送信元アドレスと、宛先アドレスや宛先/送信元ポート番号などを組み合せた制限条件を含むDRMを自動で生成し、DRMに認証コードを付与してeMLBR11に送信する。なお、上記の認証コードには、DRMを認証する認証コードと、DRMに記載された攻撃先IPアドレスなどが正規に割り当てられたものかを検証するためにRPKI(Resource Public-Key Infrastructure)を用いてもよい。
図3に示すように、eMLBR11のコントローラ111は、認証コードが付与されたDRMを端末装置17から取得する(S11)。コントローラ111は、認証コードに基づいて、取得したDRMが正当なものか否かを判定する(S12)。DRMが正当なものでないと判定した場合、コントローラ111は、そのDRMを破棄して、S19の処理に進む。
一方、DRMが正当なものであると判定した場合、コントローラ111は、DRMを送信した端末装置の識別情報が正当か否かの判定(認証処理)を実施する(S13)。これにより、コントローラ111は、認証コードが付与されているDRMのみを処理の対象にすることで、虚偽の要求を処理の対象から削除してシステムの完全性を確保する。
次に、コントローラ111は、端末装置がDRMのパケットに付与したRPKIの認証コードに基づいて、パケットに付与された送信元アドレス(端末装置17のアドレス等)が正当なものであることについて判定する。DRMを送信した端末装置の識別情報が正当でないと判定した場合、コントローラ111は、そのDRMを破棄して、S19の処理に進む。
一方、端末装置の識別情報が正当であると判定した場合、コントローラ111は、そのDRMにより指定される制限条件を抽出する(S14)。
次に、コントローラ111は、抽出した制限条件が、第1記憶部1151に第1規則として登録されているか否かを判定する(S15)。抽出した制限条件が第1記憶部1151に登録されていないと判定した場合、コントローラ111は、抽出した制限条件を第1記憶部1151に追加して更新する(S16)。eMLBR11は、更新されたテーブル1251を用いて、パケットの転送処理を実施する。
一方、抽出した制限条件が第1記憶部1151に登録されていると判定した場合、又はS16の処理を終えた場合、コントローラ111は、抽出したDRMに基づいて、DRMに、予め接続先のiMLBR12との間で交換した共有鍵を用いて生成したAH(Authentication Header)を付加して転送DRMを生成する(S17)。転送DRMは、eMLBR11の接続先のiMLBR12に送られるものである。このAHにより、転送DRMにおけるデータの完全性を保証される。なお、転送DRMでは、AHによりデータの完全性を保証できることから、端末装置17により付与された認証コードに代えることができる。
次に、コントローラ111は、転送DRMを当該iMLBR12宛に送信する(S18)。
なお、DRMを送信した端末装置17の識別情報が正当でないと判定した場合、又はS18の処理を終えた場合、コントローラ111は、第1記憶部1151に登録されている制限条件のうち、攻撃パケットが到来しない状態になった後、或いは、到来しなくなって所定期間が経過した後、その制限条件を削除する(S19)。
図4に示すように、iMLBR12のコントローラ121は、図3のS18においてeMLBR11から送信された転送DRMを取得する(S21)。iMLBR12は、AHに基づいて、取得した転送DRMが正当なものか否かを判定する(S22)。転送DRMが正当なものでないと判定した場合、iMLBR12は、その転送DRMを破棄して、S29の処理に進む。
一方、転送DRMが正当なものであると判定した場合、コントローラ121は、その転送DRMにより指定される制限条件を抽出する(S24)。
次に、コントローラ121は、抽出した制限条件が、テーブル1251に第1規則として登録されているか否かを判定する(S25)。抽出した制限条件が第1記憶部1251に登録されていないと判定した場合、コントローラ121は、抽出した制限条件をテーブル1251に追加して更新する(S26)。iMLBR12は、更新された第1記憶部1251を用いて転送処理を実施する。
一方、抽出した制限条件が第1記憶部1251に登録されていると判定した場合、又はS26の処理を終えた場合、コントローラ121は、抽出した転送DRMに基づいて、転送DRMにAH(Authentication Header)を付加して、iMLBR12の接続先のbMLBR13に送る転送DRMを生成する。このAHにより、転送DRMにおけるデータの完全性が保証される(S27)。
次に、コントローラ121は、転送DRMを当該bMLBR13等に送信する(S28)。
なお、DRMを送信した端末装置17の識別情報が正当でないと判定した場合、又はS28の処理を終えた場合、eMLBR11は、第1記憶部1251に登録されている制限条件のうち、攻撃パケットが到来しない状態になった後、或いは、到来しなくなって所定期間が経過した後、その制限条件を削除する(S29)。
図5に示すように、bMLBR13は、図4のS28においてiMLBR12から送信された転送DRMを取得する(S31)。bMLBR13は、AHに基づいて、取得した転送DRMが正当なものか否かを判定する(S32)。転送DRMが正当なものでないと判定した場合、bMLBR13は、その転送DRMを破棄して、S39の処理に進む。
一方、転送DRMが正当なものであると判定した場合、コントローラ131は、その転送DRMにより指定される制限条件を抽出する(S34)。
次に、コントローラ131は、抽出した制限条件が、第1記憶部1351に第1規則として登録されているか否かを判定する(S35)。抽出した制限条件が第1記憶部1351に登録されていないと判定した場合、コントローラ131は、抽出した制限条件を第1記憶部1351に追加して更新する(S36)。bMLBR13は、更新された第1記憶部1351を用いて転送処理を実施する。
なお、DRMを送信した端末装置17の識別情報が正当でないと判定した場合、又はS36の処理を終えた場合、コントローラ131は、第1記憶部1351に登録されている制限条件のうち、攻撃パケットが到来しない状態になった後、或いは、到来しなくなって所定期間が経過した後、その制限条件を削除する(S39)。
上記の処理により、通信システム1は、bMLBRを介してネットワークNW1に流入する攻撃パケットを単独で遮断することができる。
(より具体的な一実施例)
以下の説明では、OpenFlow(登録商標)の技術を適用してMLBR10を構成する場合を例示する。
以下の説明では、OpenFlow(登録商標)の技術を適用してMLBR10を構成する場合を例示する。
(分散型のコントローラ)
OpenFlowの各ノードは、OpenFlowコントローラにより制御されるOpenFlowスイッチ部を備える。一般的なOpenFlowの技術では、1つのOpenFlowコントローラが複数のOpenFlowスイッチを一元管理する。
これに代えて、本実施形態のMLBR10は、コントローラ111とスイッチ部112とを備えており、MLBR10ごとに設けられたコントローラ111がスイッチ部112を管理する。この点が一般的なOpenFlowの構成と異なる。以下、上記の相違点を中心に説明する。
OpenFlowの各ノードは、OpenFlowコントローラにより制御されるOpenFlowスイッチ部を備える。一般的なOpenFlowの技術では、1つのOpenFlowコントローラが複数のOpenFlowスイッチを一元管理する。
これに代えて、本実施形態のMLBR10は、コントローラ111とスイッチ部112とを備えており、MLBR10ごとに設けられたコントローラ111がスイッチ部112を管理する。この点が一般的なOpenFlowの構成と異なる。以下、上記の相違点を中心に説明する。
MLBR10のコントローラは、互いに通信することにより、分散型のコントローラとして機能して、例えばDRMを順に転送する。上記のとおり、DRMは、各MLBR10における転送を制限するための情報である。MLBR10は、DRMが通知されるまでに構成されていた転送情報を変更することなく、転送を制限する制限条件を追加し、また、制限条件を単位にして個々に削除する。これにより、通信システム1は、ネットワークNW内の転送規則を維持したまま、転送を制限する制限条件のみを変更する。例えば、スイッチ部112を下記するように構成して、スイッチ部112において上記の処理を実施する。
(スイッチ部の一例)
図6から図9を参照して、スイッチ部のより具体的な一例について説明する。図6は、スイッチ部112を示す図である。スイッチ部112は、各段のフローテーブルとして、廃棄テーブル1121、パケットタイプテーブル1122、SCOPEテーブル1123、MLBテーブル1124、ルーティングテーブル1125を備える。図7から図9のそれぞれは、廃棄テーブル1121、パケットタイプテーブル1122、SCOPEテーブル1123の一例を示す図である。
図6から図9を参照して、スイッチ部のより具体的な一例について説明する。図6は、スイッチ部112を示す図である。スイッチ部112は、各段のフローテーブルとして、廃棄テーブル1121、パケットタイプテーブル1122、SCOPEテーブル1123、MLBテーブル1124、ルーティングテーブル1125を備える。図7から図9のそれぞれは、廃棄テーブル1121、パケットタイプテーブル1122、SCOPEテーブル1123の一例を示す図である。
(スイッチ部における各種テーブルの一例)
スイッチ部112において、廃棄テーブル1121には、廃棄するパケットのフローエントリが必要数格納される。廃棄するパケットのフローエントリは、前述のパケットの転送を制限する条件に対応する。例えば図7に示すように、廃棄テーブル1121は、格納されたフローエントリにマッチしたパケットを廃棄(drop)する。格納されたフローエントリにマッチしなかったパケットは、パケットタイプテーブル1122による選択処理の対象にする。フローエントリに規定するアドレス情報は、1つのIPアドレスであってもよく、或いは、複数のIPアドレスを含むネットワークアドレスであってもよい。例えば、廃棄テーブル1121のフローエントリとして、転送を制限する領域に対応するネットワークアドレスをマッチ条件として規定する。廃棄テーブル1121は、そのネットワークアドレスが示すアドレス空間に含まれた送信元IPアドレスが付与されているパケットの転送を制限する。図7に示す「129.168.3.0/24」は、IPv4で記述した場合のネットワークアドレスの一例である。
スイッチ部112において、廃棄テーブル1121には、廃棄するパケットのフローエントリが必要数格納される。廃棄するパケットのフローエントリは、前述のパケットの転送を制限する条件に対応する。例えば図7に示すように、廃棄テーブル1121は、格納されたフローエントリにマッチしたパケットを廃棄(drop)する。格納されたフローエントリにマッチしなかったパケットは、パケットタイプテーブル1122による選択処理の対象にする。フローエントリに規定するアドレス情報は、1つのIPアドレスであってもよく、或いは、複数のIPアドレスを含むネットワークアドレスであってもよい。例えば、廃棄テーブル1121のフローエントリとして、転送を制限する領域に対応するネットワークアドレスをマッチ条件として規定する。廃棄テーブル1121は、そのネットワークアドレスが示すアドレス空間に含まれた送信元IPアドレスが付与されているパケットの転送を制限する。図7に示す「129.168.3.0/24」は、IPv4で記述した場合のネットワークアドレスの一例である。
パケットタイプテーブル1122は、廃棄テーブル1121により廃棄されなかったパケットと、コントローラから取得したパケットを処理対象のパケットとし、パケットのタイプごとのフローエントリを格納する。例えば図8に示すように、パケットタイプテーブル1122に格納するフローエントリには、IPv4のパケットであることを特定するものと、IPv6のパケットであることを特定するものと、コントローラ宛に送信するパケットであることを特定するものが含まれる。例えば、パケットタイプテーブル1122として、各パケットのタイプに対応するアクションを下記のように定義する。パケットタイプテーブル1122は、自MLBR10宛のICMPv6(Internet Control Message Protocol for IPv6)又はARP(Address Resolution Protocol)、ICMP(Internet Control Message Protocol)、DHCP(Dynamic Host Configuration Protocol)、DRP(Dropping Request Message Protocol)、RIP(Routing Information Protocol)、OSPF(Open Shortest Path First)、BGP(Border Gateway Protocol)などの通信制御パケットをコントローラ111宛のパケット(Packet−In)とし、上記を除くIPv4のパケットをMLBテーブル1124による処理の対象にし、上記を除くIPv6のパケットをSCOPEテーブル1123による処理の対象にする。上記のDRPは、DRMに検証データもしくは認証コードを付加した規格である。DRPの詳細については後述する。パケットタイプテーブル1122は、コントローラ111宛のパケットのうち、コントローラ111による判定結果に基づいて、必要であればFlow−Modにて各テーブルを更新するとともに、他のMLBRに転送が必要なパケットは、スイッチ部112に戻す(Packet−Out)。
SCOPEテーブル1123は、パケットタイプテーブル1122によりIPv6のパケットであると特定されたパケットに対し、スコープ(SCOPE)の逸脱有無を判定して当該パケットのルーティングを許可するか否かを特定する。例えば図9に示すように、当該パケットのスコープに逸脱が無くルーティングを許可すると判定した場合には、SCOPEテーブル1123は、当該パケットをMLBテーブル1124による処理の対象にする。一方、当該パケットのスコープに逸脱がありルーティングを許可しないと判定した場合には、SCOPEテーブル1123は、対象のパケットを廃棄する。
MLBテーブル1124は、パケットタイプテーブル1122によりIPv4のパケットであると特定されたパケット、又は、SCOPEテーブル1123によりルーティングを許可するIPv6のパケットであると特定されたパケットに対し、当該パケットが転送を許可すべきパケットであるか否かを特定する。MLBテーブル1124は、端末装置17等のMACアドレスとIPアドレス及びeMLBR11の接続ポートの識別情報を組み合わせて、端末装置17等を認証するためのホワイトリストとして機能して、アドレス詐称のチェックを実施する。例えば、当該パケットが転送を許可すべきパケットであると特定した場合、IoTから送信されたパケットを除いた当該パケットをルーティングテーブル1125による転送処理の対象にする。当該パケットが転送すべきパケットでないと特定された場合、当該パケットをルーティングテーブル1125に従って、廃棄処理の対象にする。
ルーティングテーブル1125は、MLBテーブル1124により当該パケットが転送すべきパケットであると特定された場合、当該パケットをルーティングテーブル1125により規定される物理ポートに出力する。ルーティングテーブル1125は、当該パケットが転送すべきパケットでないと特定された場合、当該パケットをルーティングテーブル1125に従って、廃棄処理の対象にする。
上記の図1に示すように、iMLBR12のスイッチ部122は、各段のフローテーブルとして、廃棄テーブル1221、パケットタイプテーブル1222、SCOPEテーブル1223、MLBテーブル1224、ルーティングテーブル1225を備える。bMLBR13のスイッチ部132は、各段のフローテーブルとして、廃棄テーブル1321、パケットタイプテーブル1322、SCOPEテーブル1323、MLBテーブル1324、ルーティングテーブル1325を備える。iMLBR12のスイッチ部122と、bMLBR13のスイッチ部132は、下記を除き、スイッチ部112と同様の構成を備える。
iMLBR12では、eMLBR11が利用される形態に応じて、MLBテーブル1224に格納するデータを変える。例えば、eMLBR11が家庭用に用いられている場合には、iMLBR12は、グローバルIPアドレス(IPv6の場合では、これに代えて、グローバルルーティングプリフィックスとサブネットIDである。以下の説明では、グローバルIPアドレス等という。)を、eMLBR11に割り当てる。この場合、iMLBR12のコントローラ121は、eMLBR11に割り当てたグローバルIPアドレス等とeMLBR11のMACアドレス及びiMLBR12の接続ポートの識別情報を組み合わせて生成したフローエントリを、MLBテーブル1224に登録して管理する。
また、例えば、グローバルアドレス空間のアドレスが割当てられている組織ユーザ、又は、グローバルアドレス空間のアドレスを保有している組織ユーザの場合には、組織ユーザのグローバルアドレス空間のネットワークアドレスとeMLBR11のMACアドレス及びiMLBR12の接続ポートの識別情報を組み合わせて生成したフローエントリを、MLBテーブル1224に登録して管理する。
なお、iMLBR12のMLBテーブル1224は、uRPFのストリクトモード(strictモード)相当の機能を実現するように構成される。例えば、MLBR10を導入する過程などで、eMLBR11が未導入のユーザからネットワークアドレス空間内のアドレス詐称パケットが送信された場合に、uRPFのストリクトモード相当の機能では、当該アドレス詐称パケットを廃棄することができないが、eMLBR11を併せて導入することで、アドレス詐称パケットの発生自体が制限される。また、iMLBR12宛にeMLBR11を偽装する偽装パケットが送られたとしても、iMLBR12は、AHの検証によりそれを検出することができ、同パケットを廃棄する。
bMLBR13は、主に、受信したパケットの送信元IPアドレスが経路表に存在するか否かを判定し、経路表に存在するものを転送する。上記の転送処理は、uRPFのルースモード(looseモード)相当のフィルタリングと同様の処理をする。そのため、bMLBR13と他のネットワークNWのbMLBRとの間のリンクの接続ポートの識別情報や、リンクに接続されたbMLBR13のMACアドレスとを組み合わせたフローエントリを、MLBテーブル1324に登録する必要はない。
多数のISPと相互接続しているティア1(Tier 1)やティア2(Tier 2)などの上位ISPのネットワークは、複数の他のネットワークに接続されている。このような場合、同一の送信元から送信されたパケットであっても、各ネットワークの状態により、そのパケットの転送経路が変化し得る。これに対して、ネットワークNW1内のすべてのbMLBR13は、各bMLBR13の経路表を包含したMLBテーブル(所謂uRPFのルースモードの機能として)をそれぞれ保持することで、上記の転送経路の変化を吸収する。
bMLBR13のMLBテーブル1324は、逆行経路から外れた送信元IPアドレスのパケットを廃棄する。これに加えて、MLBテーブル1324は、送信元IPアドレスを詐称する攻撃パケットを大量に送り込まれても、bMLBR13のMLBテーブル1324の転送経路情報に基づいたuRPFの機能により、パケットを逆行経路内に閉じ込めることができる。すなわち、攻撃の被害を受けた端末装置17から見れば攻撃元への経路(攻撃元経路)を特定できる。端末装置17は、攻撃元経路に向けて廃棄要請を送信することで,その攻撃元経路からの攻撃をMLBR10の機能により遮断する。
(eMLBR11における端末装置17等から送信されたパケットの転送処理)
認証・検疫に成功した端末装置17は、MLBテーブル1124に登録・管理される。
eMLBR11は、パケットを受信すると、受信したパケットのフローエントリがMLBテーブル1124に存在するか調べ、存在する場合には、受信したパケットのアドレスがプライベートIPアドレスであればグローバルIPアドレス等に変換してからAHを付加し、さらにMACアドレスを書き替えて、指定されたQoSでiMLBR12へ転送する。指定されたQoSには、例えば、帯域制限なし、AHを付加しての転送、帯域制限などの項目を含めてもよい。
認証・検疫に成功した端末装置17は、MLBテーブル1124に登録・管理される。
eMLBR11は、パケットを受信すると、受信したパケットのフローエントリがMLBテーブル1124に存在するか調べ、存在する場合には、受信したパケットのアドレスがプライベートIPアドレスであればグローバルIPアドレス等に変換してからAHを付加し、さらにMACアドレスを書き替えて、指定されたQoSでiMLBR12へ転送する。指定されたQoSには、例えば、帯域制限なし、AHを付加しての転送、帯域制限などの項目を含めてもよい。
一方、存在しない場合には、eMLBR11は、偽装パケットと見なして受信したパケットを廃棄する。eMLBR11は、接続ポートを介して、端末装置17等の実在確認を適宜行い、MLBテーブル1124に登録された経路情報の有効期間を延長する。
(DRMの構成)
図10を参照して、DRMの一例とその通信手順(DRP)について説明する。図10は、DRMの一例を説明するための図である。同図にDRMを送信するパケットのフレーム構成の一例を示す。同フレームは、MACヘッダ、IPヘッダ、TCPヘッダ、ペイロードを含む。ペイロードにはDRMが割り付けられる。DRMを送受信する端末装置17及びMLBR10等は、DRMの通信手順を規定するDRPを共有し、DRPに基づいて通信する。
図10を参照して、DRMの一例とその通信手順(DRP)について説明する。図10は、DRMの一例を説明するための図である。同図にDRMを送信するパケットのフレーム構成の一例を示す。同フレームは、MACヘッダ、IPヘッダ、TCPヘッダ、ペイロードを含む。ペイロードにはDRMが割り付けられる。DRMを送受信する端末装置17及びMLBR10等は、DRMの通信手順を規定するDRPを共有し、DRPに基づいて通信する。
例えば、DRMは、DRMの通信手順を定めるプロトコル(DRP)のバージョン、DRMのメッセージ長、DRMを送信する端末装置の識別情報、有効期間、監視規定時間、廃棄対象情報、将来の機能拡張のための予約領域である拡張情報、検証用データもしくは認証コードなどの情報を含む。有効期間は、MLBR10が転送の制限を継続する期間を示す。監視規定時間は、攻撃パケットの有無を含む通信状態の監視を実施する周期を規定する。廃棄対象情報は、攻撃パケットの転送を制限するための攻撃パケットの送信元アドレス等を含む。なお、廃棄対象情報は、例えば、特定した送信元アドレスと宛先IPアドレス,送信元/宛先ポート番号,さらにTCP制御フラグやパケット長,パケットタイプなどの属性データを適宜組み合せてもよい。このような組み合わせにより,廃棄対象とした送信元ネットワークアドレス空間内から、一般ユーザが同じ宛先にパケットを送っても,誤廃棄する確率を減らすことができる。検証用データは、前述の端末装置17が自装置の正当性と完全性を示す情報と付与するものである。
端末装置17とeMLBR11との間にファイアウォールが設けられている場合には、通信可能なプロトコルが制限される。この場合、端末装置17は、ICMPなどを用いてMLBR10に発見要求メッセージを送り、eMLBR11からの応答を取得して、eMLBR11を特定するとともに、先に応答したeMLBR11の真正を確認する手順を実施する。その後、端末装置17は、上記のフレームを用いてDRMをeMLBR11に送信する。
なお、MLBR10間の通信において、相手先を認証する必要が無い場合には、DRMの検証が行えればよいため、MLBR10は、検証用データに代えて、上記のフレームのIPヘッダとTCPヘッダの間にAHを付与したフレームを用いてもよく、DRMにAHを付与して上記のペイロードに収納してもよい。
図11と図12とを参照して、DoS攻撃遮断実験の結果について説明する。
図11は、DoS攻撃遮断実験の構成を示す図である。図11のbMLBR13をuRPF相当機能として機能させて、同図に示す範囲でランダムに送信元IPアドレスを変えながら、ホストEから攻撃パケットに見立てたICMPパケットを1ppsの頻度で端末装置17−1宛に送信する。端末装置17−1は、受信したパケットの累計が10パケットに達するとログに書き出す。端末装置17−1は、攻撃パケットから抽出した攻撃元IPアドレスと、送信先IPアドレスと、パケットタイプとを組み合せてDRMを生成して、eMLBR11宛に送信する。各MLBR10は、前述の手順に従ってDRMを転送して、廃棄テーブル1121等の廃棄テーブルに、DRMに基づいて生成した廃棄エントリを登録する。各MLBR10は、上記の廃棄エントリを登録した後、該当するパケットを受信すると廃棄する。以上のモデルに基づいて実験を行う。
図11は、DoS攻撃遮断実験の構成を示す図である。図11のbMLBR13をuRPF相当機能として機能させて、同図に示す範囲でランダムに送信元IPアドレスを変えながら、ホストEから攻撃パケットに見立てたICMPパケットを1ppsの頻度で端末装置17−1宛に送信する。端末装置17−1は、受信したパケットの累計が10パケットに達するとログに書き出す。端末装置17−1は、攻撃パケットから抽出した攻撃元IPアドレスと、送信先IPアドレスと、パケットタイプとを組み合せてDRMを生成して、eMLBR11宛に送信する。各MLBR10は、前述の手順に従ってDRMを転送して、廃棄テーブル1121等の廃棄テーブルに、DRMに基づいて生成した廃棄エントリを登録する。各MLBR10は、上記の廃棄エントリを登録した後、該当するパケットを受信すると廃棄する。以上のモデルに基づいて実験を行う。
なお、通信システム1は、IPアドレス詐称範囲を下記の方法で決定する。通信システム1は、検知したパケット中の最小のIPアドレスをXmin、最大をXmaxとして、式(1)を満たす最小のnを求めることによって、IPアドレス詐称範囲を決定する。
(Xmin−Xmin mod2n)+2n>Xmax ・・・(1)
IPv4である場合、上記式(1)を満たす最小のnを求めることによってネットワークアドレスを特定でき、(32−n)がネットマスクになる。通信システム1は、この計算結果からIPアドレス詐称範囲を決定する。
また、ランダムにアドレスが詐称されているとすれば、攻撃パケット数をkとすると、IPアドレス詐称範囲の大きさに関わらず、(1−2−(k−1))の確率で詐称しているネットワークアドレスを特定できる。例えば、10個のアドレス詐称パケットを検出すれば99.8%の確率で特定できる。
通信システム1は、送信元IPアドレスが、ランダムに変化する場合であっても、上記の方法で分類された固定IPアドレス又はネットワークアドレスから、所定時間内に10パケット以上を検出することにより、99.8%以上の確率で送信元ネットワークアドレスを特定できる。
図12は、各ノードで観測した累積パケット数の継時変化を示す図である。
同図におけるG1が、ホストEが送信したパケットの累計(累積パケット数)を示し、G2が、bMLBR13をuRPFとして機能させたことにより廃棄したパケット数の累計を示し、G3が、端末装置17−1が受信したパケット数の累計を示す。
同図におけるG1が、ホストEが送信したパケットの累計(累積パケット数)を示し、G2が、bMLBR13をuRPFとして機能させたことにより廃棄したパケット数の累計を示し、G3が、端末装置17−1が受信したパケット数の累計を示す。
G2に示すように、bMLBR13をuRPFとして機能させたことにより、bMLBR13は、約2/3のパケットを遮断している。
端末装置17−1は、時刻t1において、受信したパケット数の累計が10パケットに達したことにより、DRMを送信する。G3に示すように、端末装置17−1がDRMを送信した後、端末装置17−1が受信したパケット数の累計値に変化がなく、端末装置17−1にパケットが到達しなくなったことが確認できる。
本実験では攻撃ホストEが1台で、送信元IPアドレスを詐称するDoS攻撃を模したものであるが、DDoS攻撃などの多重攻撃を受けた場合も、同様に攻撃パケットを廃棄する。
本実験では攻撃ホストEが1台で、送信元IPアドレスを詐称するDoS攻撃を模したものであるが、DDoS攻撃などの多重攻撃を受けた場合も、同様に攻撃パケットを廃棄する。
上記のとおり、本実施形態に示す通信システム1は、IPトレースバックのような攻撃の発信源のアドレスを特定することなく、攻撃パケットの送信元アドレスに基づいて、同アドレスに接近するようDRMを転送することで、攻撃パケットの経路に存在するMLBR10における攻撃パケットの転送を遮断する。
以上に説明した、実施形態によれば、eMLBR11(通信制御装置)は、通信を中継するノードを制御する。eMLBR11は、第1記憶部1151と第2記憶部1152とコントローラ111とを備える。第1記憶部1151は、eMLBR11が受信した受信パケット(受信データ)の転送を制限する条件を定めた第1規則を記憶する。第2記憶部1152は、受信パケットの転送を許可する条件を定めた第2規則を記憶する。コントローラ111は、取得した制限要求に基づいて第1規則の条件を追加し、追加した第1規則に基づいて受信パケットの転送を制限し、転送を制限しない受信パケットの転送を第2規則に基づいて実行させることにより、攻撃等により発生した過度のトラフィックをより速やかに制限することができる。
また、コントローラ111は、受信パケットの転送先から取得したDRM(第1制限要求)に基づいた転送DRM(第2制限要求)を、受信パケットの送信元であるiMLBR12(第1送信ノード)に対して送信するように制御する。端末装置17は、受信パケットの転送先の一例である。これにより、通信システム1は、実際に被害を受けた端末装置17からのDRMによる申告に基づいて、攻撃パケットの転送を制限することができる。
また、第1記憶部1151は、受信パケットの転送を制限する条件を列挙したブラックリストを第1規則として記憶する。ブラックリストとは、例えば、受信パケットの転送を制限して、スイッチ部112において当該パケットを廃棄処理するなどのためのフローリストを記憶するものである。第2記憶部1152は、受信パケットの転送を許可する条件を列挙したホワイトリストを第2規則として記憶する。ホワイトリストとは、例えば、受信パケットの転送をスイッチ部112に実施させるためのフローリストを記憶するものである。コントローラ111は、ブラックリストに基づいた制限をホワイトリストに基づいた許可より優先させて、受信パケットの転送を制御する。これにより、コントローラ111は、ブラックリストに基づいて転送するパケットを抽出して、その結果に基づいてホワイトリストに基づいて転送するように制御することができる。通信システム1は、上記のようにブラックリストを優先させたことにより、MLBR10に対する攻撃をMACフレームや接続ポートベースでの制限ができるなど、制御装置や転送処理の負荷を軽減することができる。
また、受信パケットの転送を許可する条件に転送を許可する通信元の経路を示す逆行経路情報が含まれ、一部又は全部の該経路情報が示す経路の送信元情報に、前記受信データを含む受信パケットに付与された送信元情報が該当する場合、スイッチ部112は、その受信パケットを転送する。これにより、スイッチ部112は、逆行経路情報が示す経路の送信元情報に、受信パケットに付与された送信元情報が該当する場合に、その受信パケットを転送することができる。
また、MLBR10は、第2規則として規定される該当経路情報に基づき、逆行経路から外れる送信元アドレスが付与された受信パケットの転送を制限する。MLBR10は、MLBテーブルに登録されている逆行経路情報に基づいてuRPF相当の機能の処理をする。bMLBR13は、uRPFによる通信制御を実施することにより、MLBテーブルに登録された逆行経路情報の経路以外のパケットをブロックする。これにより、送信元IPアドレス32ビットすべてを変化させながら攻撃パケットを送り込まれても,bMLBR13のMLBテーブルに書き込まれた逆行経路情報から、攻撃パケットを送り込んだ送信元への逆行経路を特定できる。
また、iMLBR12(第2通信装置)は、複数のMLBR10を含むネットワークNW1における通信利用者側の端部(エッジ)に設けられる。bMLBR13(第3通信装置)は、ネットワークNW1における他のネットワークNW側との境界に設けられる。bMLBR13のスイッチ部132は、iMLBR12を介して通知される転送DRM(第1規則)に基づいて受信パケットの転送を制限することにより、bMLBR13は、転送DRM(第1規則)に基づいて他のネットワークNW側からのパケットの転送を制御することができる。
また、MLBR10は、iMLBR12又はbMLBR13などの他のMLBR10宛の転送DRMを、自MLBR10内の経路情報に基づき、転送DRMに記述された送信元アドレスに向かう方向に送信する。これにより、MLBR10は、MLBR10間の通信により、転送DRMを中継することができ、一元管理するコントローラによる介在を得ることなく、速やかに転送DRMを転送することができる。
また、iMLBR12のスイッチ部122は、iMLBR12における転送DRMに基づいてuRPFのストリクトモード相当機能により通信する。スイッチ部122は、このuRPFのストリクトモード相当機能では、送信元IPアドレスに対する戻りのルートがルーティングテーブル1125に存在していることと、パケットを受信したインタフェースと経路情報が示すルートの出力インタフェースとが一致していることとについて判定する。bMLBR13のスイッチ部132は、bMLBR13における転送DRMに基づいて生成した廃棄エントリ(第1規則)とuRPFのルースモード相当機能(第2規則)とにより通信する。スイッチ部132は、このuRPFのルースモード相当機能では、送信元IPアドレスに対する戻りのルートがルーティングテーブル1125に存在していることについて判定する。これにより、通信システム1は、MLBテーブルに登録された逆行経路情報に基づいた逆行経路に通信の範囲を制限することができ、送信元アドレスを詐称した攻撃パケットによる影響を低減することができる。
また、ネットワークNW1は、複数の他のネットワークNWに接続され、他のネットワークNWに対応させて設けられたbMLBR13を複数含む。複数のbMLBR13は、他のネットワークNWに対応させて設けられたbMLBR13にそれぞれ規定される通信逆行経路情報を共有する。これにより、通信システム1は、他のネットワークNWを含めて複数の経路が設定される場合においても、必要な対策を講じることができる。
なお、コントローラ121は、bMLBR13に対して転送DRMを通知した後、受信パケットの送信元である他のbMLBR13(第2送信ノード)に対して、端末装置17から取得したDRMに基づいて生成した転送DRM(第3制限要求)を送信するもしくは同じネットワーク上の複数のbMLBR13に対して一斉に送信するように制御してもよい。これにより、上記のように、他のネットワークNWを含めて複数の経路が設定される場合においても、第1の経路の対策を講じた後に第2の経路に対しても必要な対策を講じることができる。コントローラ121は、第1の経路に対する処理を実施した後、一定時間経過しても攻撃パケットが止まらないときに、上記の第2の経路に対する対策を実施するようにしてもよい。
なお、コントローラ121は、bMLBR13に対して転送DRMを通知した後、受信パケットの送信元である他のbMLBR13(第2送信ノード)に対して、端末装置17から取得したDRMに基づいて生成した転送DRM(第3制限要求)を送信するもしくは同じネットワーク上の複数のbMLBR13に対して一斉に送信するように制御してもよい。これにより、上記のように、他のネットワークNWを含めて複数の経路が設定される場合においても、第1の経路の対策を講じた後に第2の経路に対しても必要な対策を講じることができる。コントローラ121は、第1の経路に対する処理を実施した後、一定時間経過しても攻撃パケットが止まらないときに、上記の第2の経路に対する対策を実施するようにしてもよい。
また、eMLBR11(第1通信装置)は、iMLBR12に接続される。eMLBR11は、eMLBR11におけるMLBテーブル1124として、端末装置17の接続ポートとMACアドレスとIPアドレスの対応関係を記憶する。eMLBR11のスイッチ部112は、MLBテーブル1124に対応関係が存在するパケットの通信を許可する。これにより、eMLBR11のスイッチ部112は、MLBテーブル1124に対応関係が管理されている接続ポートとMACアドレスとIPアドレスに基づいて通信することができ、通信経路の途中でアドレスを詐称する攻撃に対して、必要な対策を講じることができる。
(実施形態の変形例)
実施形態の変形例では、他のネットワークNW、例えばネットワークNW2に、ネットワークNW1において生成された転送DRMをさらに転送する場合を例示する。実施形態の通信システム1は転送DRMを、他のネットワークNWに転送しないものであったため、この点が異なる。以下、相違点を中心に説明する。
実施形態の変形例では、他のネットワークNW、例えばネットワークNW2に、ネットワークNW1において生成された転送DRMをさらに転送する場合を例示する。実施形態の通信システム1は転送DRMを、他のネットワークNWに転送しないものであったため、この点が異なる。以下、相違点を中心に説明する。
以下の説明において、eMLBR21と、iMLBR22と、bMLBR23とを総称してMLBR20という。ネットワークNW2のようにMLBR20を備えるネットワークが、ネットワークNW1に接続されており、bMLBR23がbMLBR13からの転送DRMを取得できるものとする。通信システム2内の各MLBR20も、通信システム1と同様の手法によって、転送DRMを転送する。
図13は、変形例のbMLBR13における処理の手順を示すフローチャートである。前述の図5と同じ処理を実施する手順には同じ符号を附す。
図13のS35において抽出した制限条件がテーブル1351に登録されていると判定した場合、又はS36の処理を終えた場合、通信システム1のbMLBR13は、自装置に接続されているネットワークNWの通信システムが、契約先ISPなど連携可能なものであるか否かを判定する(S40)。連携可能な通信システムがないと判定した場合には、S39の処理に進む。
図13のS35において抽出した制限条件がテーブル1351に登録されていると判定した場合、又はS36の処理を終えた場合、通信システム1のbMLBR13は、自装置に接続されているネットワークNWの通信システムが、契約先ISPなど連携可能なものであるか否かを判定する(S40)。連携可能な通信システムがないと判定した場合には、S39の処理に進む。
一方、連携可能な通信システムがあると判定した場合には、bMLBR13は、抽出した転送DRMに基づいて、その転送DRMに、予め交換した共有鍵を用いてAH(Authentication Header)を付加して、bMLBR13の接続先のネットワークNW2に送る転送DRMを生成する。このAHにより、転送DRMにおけるデータの完全性が保証される(S47)。
次に、bMLBR13は、転送DRMを当該ネットワークNW宛に送信する(S48)。
なお、DRMを送信した端末装置17の識別情報が正当でないと判定した場合、連携可能な通信システムがないと判定した場合、又はS48の処理を終えた場合、eMLBR11は、テーブル1351に登録されている制限条件のうち、攻撃パケットが到来しない状態になった後、或いは、到来しなくなって所定期間が経過した後、その制限条件を削除する(S39)。
以上に説明した、実施形態の変形例によれば、実施形態と同様の効果を奏するものに加え、通信システム1は、転送DRMを、受信パケットの送信元である他のネットワークのbMLBR23に対して送信することにより、bMLBR13を介してネットワークNW1に流入する攻撃パケットを単独で遮断するほか、通信システム2を連携させて、ネットワークNW2内で転送させる攻撃パケットを遮断することができる。
上記について換言すれば、bMLBR13は、自ネットワークNW内で隣接するMLBR10を特定して、そのMLBR10に対して転送DRMを送る。これらを、攻撃ノードに最も近いMLBR10、すなわち、基盤の外からの攻撃であれば、基盤の境界に位置するbMLBR13に向けて繰り返し、或いは、セキュリティ基盤内からの攻撃であれば攻撃ノードを収容しているeMLBR11またはiMLBR12に向けて繰り返すことによって、攻撃パケットのセキュリティ基盤内への流入を阻止することができる。
以上説明した少なくともひとつの実施形態によれば、通信制御装置は、通信を中継するノードを制御する。第1記憶部は、自ノードが受信した受信データの転送を制限する条件を定めた第1規則を記憶する。第2記憶部は、受信データの転送を許可する条件を定めた第2規則を記憶する。制御部は、取得した制限要求に基づいて第1規則の条件を追加し、第1規則に基づいて前記受信データの転送を制限し、転送を制限しない受信データの転送を第2規則に基づいて実行させることにより、攻撃等により発生した過度のトラフィックをより速やかに制限することができる。
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
例えば、上記の実施形態の説明では、MLBR10等のスイッチ部が攻撃パケットを“廃棄する”こととして説明したが、MLBR10等は、当該パケットを、各スイッチ部内で廃棄せずに、特定のポートから外部記憶装置に出力して格納させてもよい。
なお、上記の実施形態の説明では、端末装置17がIDS/IPSを備えるものとして説明したが、eMLBR11又はiMLBR12がIDS/IPSを備えるように構成してもよい。この場合、eMLBR11又はiMLBR12は、端末装置17のIDS/IPSに代えて、eMLBR11又はiMLBR12が備えるIDS/IPSの検出結果を取得するように構成する。
なお、ネットワークNW間でDRM(転送DRM)を転送する場合には、既存のルーティングプロトコルとの整合性をとって、BGP Flowspecを使用してもよい。
1、2、3、4…通信システム、10…MLBR、11…eMLBR、12…iMLBR、13…bMLBR、14…中継装置、15…管理装置、17…端末装置、18…データ端末、111…コントローラ(制御部)、112…スイッチ部(転送部)、113、114…IF部、115…記憶部、NW、NW1、NW3、NW4…ネットワーク
Claims (3)
- IPアドレスを用いてパケットの転送制御を行う通信装置であって、
パケットの転送を制限する制限条件を定めた第1規則を用いて、自通信装置が受信したパケットのうち前記第1規則に該当するパケットの転送を制限し、
パケットの送信元への経路である逆行経路を示す逆行経路情報を含む第2規則を用いて、前記第1規則に該当しないパケットのうちから、前記受信したパケットの送信元IPアドレスが前記第2規則の逆行経路情報に含まれる第1パケットを特定して前記第1パケットを転送し、前記受信したパケットの送信元IPアドレスが前記第2規則の逆行経路情報に含まれない第2パケットの転送を制限することで、前記第1パケットを前記逆行経路のアドレス空間内に制限する転送部と、
被害を受けた端末装置側からの第1制限要求を前記受信したパケットから抽出し、前記抽出した第1制限要求に基づいて、前記第1規則の前記制限条件を更新し、前記第1制限要求に基づく第2制限要求を含む要求パケットを生成し、前記逆行経路側にある他の通信装置の第1規則を更新するように攻撃元への経路に向けて送出する制御部と
を備える通信装置。 - 前記第1制限要求は、転送元の真正性と前記第1制限要求の完全性を検証するための第1検証コードが付加され、
前記制御部は、
前記抽出した第1検証コードを用いて前記第1制限要求に係る前記真正性と前記完全性の検証を行い、前記検証に成功した後、前記第1制限要求に該当するパケットの前記転送部による転送を制限し、さらに、
前記第2制御要求に、前記転送元の真正性と前記第2制御要求の完全性を検証するための第2検証コードを付加した前記要求パケットを生成し、前記攻撃元への経路に向けて送出する
請求項1に記載の通信装置。 - 請求項1または請求項2に記載の通信装置を複数備えた通信システムであって、
前記複数の通信装置のうち第1通信装置は、
通信利用者ネットワークの通信事業者ネットワーク寄りの端部に設けられ、
前記複数の通信装置のうち第2通信装置は、
一つ又は複数の前記第1通信装置を収容するよう前記通信事業者ネットワークの通信利用者ネットワーク寄りの端部に設けられ、
前記複数の通信装置のうち第3通信装置は、
前記通信事業者ネットワークにおける他の通信事業者ネットワークとの境界に設けられる
通信システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016006566A JP6683480B2 (ja) | 2016-01-15 | 2016-01-15 | 通信装置及び通信システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016006566A JP6683480B2 (ja) | 2016-01-15 | 2016-01-15 | 通信装置及び通信システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017126962A JP2017126962A (ja) | 2017-07-20 |
| JP6683480B2 true JP6683480B2 (ja) | 2020-04-22 |
Family
ID=59365618
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016006566A Active JP6683480B2 (ja) | 2016-01-15 | 2016-01-15 | 通信装置及び通信システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6683480B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023281748A1 (ja) | 2021-07-09 | 2023-01-12 | 浩 小林 | 再生可能エネルギ供給システム、浮体式洋上太陽光発電プラント、及び再生可能エネルギ供給方法 |
-
2016
- 2016-01-15 JP JP2016006566A patent/JP6683480B2/ja active Active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023281748A1 (ja) | 2021-07-09 | 2023-01-12 | 浩 小林 | 再生可能エネルギ供給システム、浮体式洋上太陽光発電プラント、及び再生可能エネルギ供給方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2017126962A (ja) | 2017-07-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5880560B2 (ja) | 通信システム、転送ノード、受信パケット処理方法およびプログラム | |
| Yao et al. | Source address validation solution with OpenFlow/NOX architecture | |
| US9043884B2 (en) | Autonomic network protection based on neighbor discovery | |
| US7360245B1 (en) | Method and system for filtering spoofed packets in a network | |
| US7167922B2 (en) | Method and apparatus for providing automatic ingress filtering | |
| US9654482B2 (en) | Overcoming circular dependencies when bootstrapping an RPKI site | |
| US11362837B2 (en) | Generating trustable RPL messages having root-signed rank values | |
| JP6737610B2 (ja) | 通信装置 | |
| CN109525601B (zh) | 内网中终端间的横向流量隔离方法和装置 | |
| US10630700B2 (en) | Probe counter state for neighbor discovery | |
| US9722919B2 (en) | Tying data plane paths to a secure control plane | |
| US9930049B2 (en) | Method and apparatus for verifying source addresses in a communication network | |
| US20060191006A1 (en) | Denial-of-service-attack protecting method, denial-of-service attack protecting system, denial-of-service attack protecting device, repeater, denial-of-service attack protecting program, and program for repeater | |
| US11558194B2 (en) | Secured protection of advertisement parameters in a zero trust low power and lossy network | |
| WO2015174100A1 (ja) | パケット転送装置、パケット転送システム及びパケット転送方法 | |
| Song et al. | Novel attacks in OSPF networks to poison routing table | |
| Sandhya Venu et al. | Invincible AODV to detect black hole and gray hole attacks in mobile ad hoc networks | |
| CN117426071A (zh) | 使用路径属性扩展边界网关协议(BGP)FlowSpec发起授权 | |
| US8819790B2 (en) | Cooperation method and system between send mechanism and IPSec protocol in IPV6 environment | |
| US8893271B1 (en) | End node discovery and tracking in layer-2 of an internet protocol version 6 network | |
| JP6780838B2 (ja) | 通信制御装置及び課金方法 | |
| Liu et al. | DISCS: a distributed collaboration system for inter-AS spoofing defense | |
| KR100856918B1 (ko) | IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및IPv6 기반 네트워크 시스템 | |
| JP6683480B2 (ja) | 通信装置及び通信システム | |
| JP2017200152A (ja) | 通信制限範囲特定装置、通信制御装置、通信装置、通信システム、通信制限範囲特定方法、及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A80 | Written request to apply exceptions to lack of novelty of invention |
Free format text: JAPANESE INTERMEDIATE CODE: A80 Effective date: 20160215 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160303 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181210 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20190110 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20190110 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190917 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191001 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191129 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191202 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191217 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200210 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20200207 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200324 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200326 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6683480 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |