図面 (/)

技術 ネットワーク中継装置、同装置を用いたDDoS防御方法および負荷分散方法

出願人 株式会社ギデオン
発明者 西尾高幸沖田昌弘塩川素由
出願日 2014年6月4日 (6年5ヶ月経過) 出願番号 2014-116303
公開日 2015年12月21日 (4年11ヶ月経過) 公開番号 2015-231131
状態 特許登録済
技術分野 計算機・データ通信 広域データ交換
主要キーワード 監視閾値 判断位置 外部ネットワーク機器 判断コード 解析用情報 動作側 容量ネットワーク ステルス性
関連する未来課題
重要な関連分野

この項目の情報は公開日時点(2015年12月21日)のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります

図面 (10)

課題

ネットワークセキュリティに関する情報を迅速に取り込み、DDoS攻撃防御したり、ネットワークサーバの効果的な負荷分散を可能にすること。

解決手段

パケットに関する検出条件識別コードを格納する運用側待機側相補的切替可能なテーブルと、前記テーブルの運用側と待機側とを切り替えるテーブル切替手段と、外部から検出条件を入力し待機側のテーブルに登録するパケット条件登録手段と、一の機器から他の機器宛のパケットを受信するパケット受信手段と、受信パケットを運用側のテーブルのパケット条件に該当するか否かを判定する照合手段と、判定の結果パケット条件に該当する場合は、該条件に対応する処理内容を実行するパケット処理手段と、検出条件の入力周期等によって異常を検知する監視手段とを備え、前記テーブル切替手段は、監視手段による異常検知により前記テーブルの運用側と待機側とを切り替える。

概要

背景

従来、IPネットワーク上に設置されるウェブサーバではDDoS(Distributed Denial of Service)のようなサイバー攻撃に対してはサーバ自体やサーバ前段に設置されたファイアウォールアプリケーションゲートウェイ処理により通過パケットを予めサーバやファイアウォール上に登録されたセキュリティーポリシーに基づいて廃棄拒否処理するというフィルタリング方式攻撃パケットブロックする方式が提案されてきた。
さらに上記方式に対して、特許文献1ではファイアウォールの中に仮想ネットワークデバイスを介挿することにより、ファイアウォールにIPアドレス割り振らずに済み、ファイアウォール自身の外部ネットワークからのステルス性を確保している。また、特許文献2では攻撃パケットを廃棄、拒否処理する方法として、ゲートウェイサーバやファイアウォール内でOSI参照モデルにおける低階層のパケットフィルタリングをアプリケーション・ゲートウェイ処理の前段で実施することで、大量パケット処理負荷軽減を図っている。

概要

ネットワークセキュリティに関する情報を迅速に取り込み、DDoS攻撃防御したり、ネットワークサーバの効果的な負荷分散を可能にすること。パケットに関する検出条件識別コードを格納する運用側待機側相補的切替可能なテーブルと、前記テーブルの運用側と待機側とを切り替えるテーブル切替手段と、外部から検出条件を入力し待機側のテーブルに登録するパケット条件登録手段と、一の機器から他の機器宛のパケットを受信するパケット受信手段と、受信パケットを運用側のテーブルのパケット条件に該当するか否かを判定する照合手段と、判定の結果パケット条件に該当する場合は、該条件に対応する処理内容を実行するパケット処理手段と、検出条件の入力周期等によって異常を検知する監視手段とを備え、前記テーブル切替手段は、監視手段による異常検知により前記テーブルの運用側と待機側とを切り替える。

目的

これは直接ファイアウォールを指定されて攻撃を受けることがないという利点はあるが、DDoSのようなサイバー攻撃において大量の数のコンピュータから送信されるパケットに対しては、その処理する際の負荷のため、ファイアウォール自体の動作が遅延、あるいは停止させられ、ネットワーク経由で提供する

効果

実績

技術文献被引用数
1件
牽制数
1件

この技術が所属する分野

(分野番号表示ON)※整理標準化データをもとに当社作成

ライセンス契約や譲渡などの可能性がある特許掲載中! 開放特許随時追加・更新中 詳しくはこちら

請求項1

ネットワークを介して通信するネットワーク機器間に設置され、前記ネットワーク機器間で送受信されるデータを中継するネットワーク中継装置であって、パケットに関する検出条件検出条件ごと識別コードを格納する運用側待機側とを相補的切替可能な検出条件格納テーブルと、前記検出条件格納テーブルの運用側と待機側とを切り替えるテーブル切替手段と、外部から前記検出条件を入力し待機側の前記検出条件格納テーブルに登録するパケット条件登録手段と、一のネットワーク機器から他のネットワーク機器宛のパケットを受信するパケット受信手段と、前記パケット受信手段によって受信されたパケットを運用側の前記検出条件格納テーブルのパケット条件に該当するか否かを判定する照合手段と、前記照合手段による判定の結果、パケット条件に該当する場合は、該パケット条件に対応する処理内容を実行するパケット処理手段と、外部からの前記検出条件の入力周期処理負荷あるいはパケットのトラフィックによって異常を検知する監視手段と、を備え、前記テーブル切替手段は、外部からの切替指令又は前記監視手段による異常検知により前記検出条件格納テーブルの運用側と待機側とを切り替えることを特徴とするネットワーク中継装置。

請求項2

外部ネットワークを介して繋がるデータベースからIPアドレスコードごとの注意情報を入力し、前記検出条件のリストを生成するパケット条件設定手段を備え、前記パケット条件登録手段は、前記パケット条件設定手段から前記検出条件を入力し、前記監視手段は、一定時間以上前記パケット条件設定手段からのデータの受信が無いことによって異常を検知することを特徴とする請求項1に記載のネットワーク中継装置。

請求項3

前記パケット処理手段はOSI参照モデルのIP層(ネットワーク層)及び/又はTCP/UDP層(トランスポート層)で前記処理内容を実行し、予め設定されたIPアドレス宛へ前記パケットを送信する処理を実行することを特徴とする請求項1または2に記載のネットワーク中継装置。

請求項4

物理ポート通信帯域を制限する帯域制限手段を備え、前記パケット処理手段は、送信元IPアドレスに基づいて、パケットを出力する物理ポートを選択し、前記帯域制限手段は、前記照合手段による判定の結果、パケット条件に該当する場合は、該パケット条件に基づいて前記物理ポートの帯域を制限することを特徴とする請求項1乃至3のいずれか一項に記載のネットワーク中継装置。

請求項5

請求項1乃至4のいずれか一項に記載のネットワーク中継装置を用いてネットワーク機器をDDoS攻撃から防御する方法であって、前記ネットワーク中継装置の上位側の物理ポートは上位ネットワークと接続し、前記ネットワーク中継装置の下位側の一または二以上の物理ポートはネットワーク機器と接続し、前記検出条件格納テーブルはパケット条件としてDDoS攻撃のIPアドレス情報を保存し、前記パケット処理手段は上位側の物理ポートからの受信パケットの送信元IPアドレスがDDoS攻撃のIPアドレス情報に該当する場合は、当該受信パケットを廃棄することを特徴とするDDoS防御方法

請求項6

請求項4に記載のネットワーク中継装置を用いて、ネットワークに接続されるサーバ負荷を分散する方法であって、前記ネットワーク中継装置の上位側ポートルータを介して上位ネットワークと接続し、前記ネットワーク中継装置の下位側複数の物理ポートは、それぞれサーバと接続し、前記パケット処理手段は送信元IPアドレスに基づいて、前記物理ポートを選択することを特徴とする負荷分散方法

技術分野

0001

本発明は、IP(Internet Protocol)ネットワーク上に設置される装置および方式に係り、特にIPネットワーク上を流れるパケット情報チェックし、送信元から受信のパケット廃棄、或いは装置が複数持っている物理ポートへの割り振りを行うネットワーク中継装置、同装置を用いたDDoS防御方法および負荷分散方法に関する。

背景技術

0002

従来、IPネットワーク上に設置されるウェブサーバではDDoS(Distributed Denial of Service)のようなサイバー攻撃に対してはサーバ自体やサーバ前段に設置されたファイアウォールアプリケーションゲートウェイ処理により通過パケットを予めサーバやファイアウォール上に登録されたセキュリティーポリシーに基づいて廃棄、拒否処理するというフィルタリング方式攻撃パケットブロックする方式が提案されてきた。
さらに上記方式に対して、特許文献1ではファイアウォールの中に仮想ネットワークデバイスを介挿することにより、ファイアウォールにIPアドレス割り振らずに済み、ファイアウォール自身の外部ネットワークからのステルス性を確保している。また、特許文献2では攻撃パケットを廃棄、拒否処理する方法として、ゲートウェイサーバやファイアウォール内でOSI参照モデルにおける低階層のパケットフィルタリングをアプリケーション・ゲートウェイ処理の前段で実施することで、大量パケット処理負荷軽減を図っている。

先行技術

0003

特開2011−182269号公報
特開2012−114917号公報
特許第4809758号公報

発明が解決しようとする課題

0004

従来の方式の特許文献 1においては、ステルス性を確保するためにファイアウォールのカーネル空間内に仮想ネットワークドライバを設けている。これは直接ファイアウォールを指定されて攻撃を受けることがないという利点はあるが、DDoSのようなサイバー攻撃において大量の数のコンピュータから送信されるパケットに対しては、その処理する際の負荷のため、ファイアウォール自体の動作が遅延、あるいは停止させられ、ネットワーク経由で提供するサービスの停止に追い込まれかねない。特許文献 2においても、依然アプリケーション・ゲートウェイ処理を利用してフィルタリング動作を行うため、パケットの処理負荷からは免れることはない。

0005

本発明はかかる従来の問題に鑑みてなされたものであり、ネットワークの外部との通信において、送受信されるパケットを監視し、サービス品質を落とすことなくブロックリストに登録されたIPアドレス情報を含む送受信パケットを抽出し、ステルス性を確保しながら抽出パケットを廃棄してDDoSのようなサイバー攻撃からネットワーク内のサーバやネットワーク機器防御し、またステルス性はなくなるが、IPアドレス振り分けリスト帯域制限設定を基に装置が複数持っている物理ポートへの受信パケットを割り振ることにより、並列でサービスを提供する複数サーバへの負荷を分散して、サービス提供機会損失を限定されたサーバにとどめるネットワーク中継装置、同装置を用いたDDoS防御方法および負荷分散方法の提供を目的とする。

課題を解決するための手段

0006

上記目的を達成するため、本発明に係るネットワーク中継装置は、ネットワークを介して通信するネットワーク機器間に設置され、前記ネットワーク機器間で送受信されるデータを中継するネットワーク中継装置であって、
パケットに関する検出条件検出条件ごと識別コードを格納する運用側待機側とを相補的切替可能な検出条件格納テーブルと、前記検出条件格納テーブルの運用側と待機側とを切り替えるテーブル切替手段と、外部から前記検出条件を入力し待機側の前記検出条件格納テーブルに登録するパケット条件登録手段と、一のネットワーク機器から他のネットワーク機器宛のパケットを受信するパケット受信手段と、前記パケット受信手段によって受信されたパケットを運用側の前記検出条件格納テーブルのパケット条件に該当するか否かを判定する照合手段と、前記照合手段による判定の結果、パケット条件に該当する場合は、該パケット条件に対応する処理内容を実行するパケット処理手段と、外部からの前記検出条件の入力周期、処理負荷あるいはパケットのトラフィックネットワーク負荷)によって異常を検知する監視手段と、を備え、
前記テーブル切替手段は、外部からの切替指令又は前記監視手段による異常検知により前記検出条件格納テーブルの運用側と待機側とを切り替えることを特徴とする。

0007

本発明では、監視手段による異常検知によって、検出条件格納テーブルの待機側を運用側に切り替えるので、検出条件を提供する外部の装置自体がDDoS等のサイバー攻撃を受けても最新の情報でパケット処理を行うことが可能になり、ネットワークセキュリティを向上させることができる。

0008

なお、IPアドレスあるいはIPアドレス範囲ごとにトラフィックの閾値や異常の種別によって処理内容を変える処理内容実行テーブルを設け、パケット処理手段は当該テーブルを参照して処理内容を実行するようにしても良い。

0009

本発明に係るDDoS防御方法は前記ネットワーク中継装置を用いてネットワーク機器をDDoS攻撃から防御する方法であって、前記ネットワーク中継装置の上位側の物理ポートは上位ネットワークと接続し、前記ネットワーク中継装置の下位側の一または二以上の物理ポートはネットワーク機器と接続し、前記検出条件格納テーブルはパケット条件としてDDoS攻撃のIPアドレス情報を保存し、前記パケット処理手段は上位側の物理ポートからの受信パケットの送信元IPアドレスがDDoS攻撃のIPアドレス情報に該当する場合は、当該受信パケットを廃棄することを特徴とする。

0010

また、本発明に係る負荷分散方法は、前記ネットワーク中継装置に、さらに物理ポートの通信帯域を制限する帯域制限手段を設けて、前記パケット処理手段は、送信元IPアドレスに基づいて、パケットを出力する物理ポートを選択し、前記帯域制限手段は、前記照合手段による判定の結果、パケット条件に該当する場合は、該パケット条件に基づいて前記物理ポートの帯域を制限するようにする。そして、ネットワーク中継装置の上位側ポートルータを介して上位ネットワークと接続し、ネットワーク中継装置の下位側複数の物理ポートは、それぞれサーバと接続し、前記パケット処理手段は送信元IPアドレスに基づいて前記物理ポートを選択する。これにより下位側物理ポートに繋がる各サーバ間の負荷を効率よく分散させることができる。

0011

上記目的を達成するため、本発明に係るネットワーク中継装置(1)は、ネットワークを介して通信するネットワーク機器間に設置され、前記ネットワーク機器間で送受信されるデータを中継する装置であって、一のネットワーク機器から他のネットワーク機器宛のパケットを受信するパケット受信手段(22)と、外部からパケット条件と各条件に該当した時の処理内容を記したリスト(33)を記憶領域に登録する手段(28)と、前記パケット受信手段によって受信された複数のパケット群を前記リスト上のパケット条件と照合する手段(25)と、前記パケット群が前記リスト上で該当したパケット条件に対応する処理内容に従って前記パケット群の送信処理を行うパケット処理手段(21)と、を備えたことを特徴とする。

0012

これにより、ネットワークを流れるパケットストリーム上で本ネットワーク中継装置上に登録された前記パケット条件と照合し、条件と合致したパケット群に対して前記処理内容を実行することができる。ここにおいて、前記パケット条件は発信元のIPアドレス、宛先IPアドレスなどパケット上のIPヘッダ部に記載される情報を項目として利用できる。なお、前記パケット条件として設定されるIPアドレスにはIPv4だけでなく、IPv6も利用できる。これによりIPv4に比べて膨大なアドレス空間が利用できるIPv6のサイバー攻撃についても効果がある。

0013

また、前記処理内容として、パケットの廃棄、通過、或いは複数の物理ポートのうちの1つを選択して送信、などが項目として利用できる。

0014

前記パケット処理手段は、前記処理内容がパケットを廃棄とする場合、該当のパケットに対して送信元側へ(ACKやNACKなどの)応答パケットを返さず、前記処理内容がパケットを通過とする場合は該当のパケットに対して送信元側へ応答パケットを正常に返すように構成するのが好ましい。

0015

また、このパケット処理手段は、一のネットワーク機器から他のネットワーク機器宛にパケット群を転送する際の送信元IPアドレスを本ネットワーク中継装置が前記パケット群を受信した際の送信元IPアドレス情報などに付け替えるIPアドレス情報付け替え処理を実行するようにしても良い。前記処理内容のうちパケットの廃棄と通過の2項目のみを利用する場合には前記IPアドレス情報付け替え処理によって、本ネットワーク中継装置自身にIPアドレスを付与せずにデータを透過的に中継でき、本ネットワーク中継装置は外部から感知不能となるため、本ネットワーク中継装置は外部からのサイバー攻撃を受けず、高いセキュリティ性を保つことができる。加えて、本ネットワーク中継装置が透過的にデータを中継できることから、既存のネットワーク環境下でかつIPv4とIPv6という異なるプロトコルが混在する利用環境下でも他のネットワーク中継装置のIPアドレス情報やルーティング情報の設定を変更することなく本ネットワーク中継装置を利用することができる。

0016

本発明によれば、低い負荷で外部からのパケットを処理できるので、高速処理を必要とする大容量ネットワーク通信においても通信速度への影響を低減し、ネットワーク利用者ストレスを与えない。

0017

また、本発明に係る前記パケット処理手段はOSI参照モデルのIP層(ネットワーク層)とTCP/UDP層(トランスポート層)の条件で前記動作を判断するパケットフィルタリング方式を含むことを特徴とする。

0018

本発明によれば、前記パケット処理手段にて前記動作には受信パケットを前記パケット条件に応じて本ネットワーク中継装置が持つ複数の物理ポートに割り振ることが含まれるが、さらに受信パケットを割り振るポート通信帯域制限を行うことで、重要性の高い前記パケット条件に合致する場合に多くの通信帯域を与え、攻撃が疑われるような前記パケット条件に合致する場合にパケット条件通信帯域を絞る、という利用が可能になる。このため、大量な通信量となった場合でも効率よく通信帯域を利用することができる。さらに各物理ポートに接続するサーバなどの装置の処理能力に応じた通信帯域を設定することもできる。

0019

なお、前記登録手段は本ネットワーク中継装置のもつ物理ポートごとに通信帯域制限設定を行えるようにし、また、前記パケット処理手段は、前記帯域制限設定に基づき本ネットワーク中継装置のもつ物理ポートごとに通信帯域制限を実施する機能を備えるのが好ましい。

発明の効果

0020

以上説明したように、本発明によれば、サービス品質を落とすことなくブロックリストに登録されたIPアドレス情報を含む送受信パケットを検出して、当該パケットの廃棄等の処理を行うのでDDoSのようなサイバー攻撃からネットワーク内のサーバやネットワーク機器を防御することができる。また送信元IPアドレスによって物理ポートを振り分けると共に各物理ポートの通信帯域の制限を行うので、各物理ポートに繋がり並列でサービスを提供する複数サーバの負荷分散を図ることができる。

図面の簡単な説明

0021

本発明の実施の形態によるネットワーク中継装置の機能ブロック図である。
本発明の第1の実施の形態によるネットワーク中継装置を用いてDDoS防御方法を実現するシステムの説明図である。
図1の検出条件格納テーブルのデータ構成例である。
図1の処理内容実行テーブルのデータ構成例である。
図1の動的テーブルのデータ構成例である。
図1のパケット処理手段の処理手順を示すフローチャートである。
図2の他の実施例2によるシステムの説明図である。
図2の他の実施例3によるシステムの説明図である。
本発明の第2の実施の形態によるネットワーク中継装置を用いてサーバ装置の負荷分散を実現するシステムの説明図である。

実施例

0022

以下に本発明に係るネットワーク中継装置の第1の実施の形態を図面を参照しながら説明する。

0023

図1において、本実施の形態によるネットワーク中継装置1は、スイッチ装置2とパケット条件設定手段3とを備えている。スイッチ装置2は、物理ポート31(31a〜31e)、物理ポートとの間で送信処理および受信処理を実行する送受信処理手段22、受信したパケットを一時格納する転送用バッファ23、受信パケットのIPアドレスを検出するIPアドレス検出手段24、検出したIPアドレスが所定の条件に該当するか否かを判定する照合手段25、およびパケットの転送処理廃棄処理等を実行するパケット処理手段21を備えている。

0024

物理ポート31としては、ネットワークの上位にある機器と接続するためのポート(WAN)と、ネットワークの下位にある機器と接続するための複数のポート(例えばL1〜L4)を有する。このとき、例えば物理ポートL1は、スイッチ装置2の内部設定データベース更新する専用ポート、物理ポートL4はミラーポート、物理ポートL2,L3は下位のネットワーク機器との通信用にするなど物理ポートの役割を決めて構成するようにしても良い。

0025

また、本実施の形態によるスイッチ装置2は、パケットの検出条件とその識別コードを対応付けた検出条件格納テーブル33を備えている。この検出条件格納テーブル33は、テーブル選択ポインタ26によって運用側と待機側が相補的に切替可能な第1のテーブル33aと第2のテーブル33bで構成されている。

0026

スイッチ装置2は、さらにテーブル選択用ポインタ26の内容を書き換えるテーブル切替手段30、パケット条件設定手段3の動作の異常を検知する監視手段29を備えている。

0027

図2は、ネットワーク中継装置1を用いてDDoS攻撃に対処するネットワークシステム構成の一例を示す図である。
ここで、スイッチ装置2の上位側ポート(WAN)はインターネット等への上位ネットワーク6に接続され、下位側ポートはルータ4を介して複数のネットワーク機器5に接続されている。
パケット条件設定手段3は、パーソナルコンピュータなどの汎用コンピュータ携帯端末、あるいは専用端末で構成することができる。なお、パケット条件設定手段3はスイッチ装置2の一機能としてスイッチ装置2と一体で構成するようにしても良い。

0028

以下、パケット条件設定手段は3、スイッチ装置2とは別に単独で上位ネットワーク6と繋がり、スイッチ装置2とは専用I/F35(例えばUSB、WiFi)で繋がる場合について説明する。
なお、スイッチ装置2は、OSI参照モデルの第2層レベルスイッチング処理を実行する機能を有し、ルータ4はOSI参照モデルの第3層レベルのルーティング機能を有しており、これらの機能は既存の技術を使うものとして説明を省略する。

0029

本実施の形態によるスイッチ装置2は、受信したパケットを転送用バッファ23に一時格納すると共に、IPアドレス検出手段24によって受信パケットの送信元IPアドレスおよび宛先IPアドレスを検出する。

0030

一方、テーブル選択用ポインタ26には、運用側の検出条件格納テーブル33のメモリアドレスが格納されており、照合手段25は、このメモリアドレスをもとに、運行側の検出条件格納テーブル33にアクセスして検出条件を読み出す。

0031

検出条件として例えば、IPアドレス、プロトコル番号ポート番号(TCP,UDPの場合)、スループットに関するパケット閾値を設定することができる。図3は、検出条件格納テーブルのデータ例である。検出条件として、検出すべき項目(IPアドレス又はIPアドレスの範囲),識別コード,および処理内容(パケットの通過もしくは廃棄)が保存されている。

0032

なお、IPアドレスに関する識別コードとしては次のものがある。
1)地域別(たとえば国別)にIPアドレスを分類した各地域の識別コード
2)未定義IPアドレスを意味する識別コード
3)ダークネットを意味する識別コード
4)DDoSの検知,観測されたIPアドレスの識別コード。なお、緊急性などの情報をこの識別コードに含めるようにしても良い。
5)個別にブラックリストを指定した場合の識別コード
上記は識別コードの一例であり、個別に判定条件(例えばフィードバックデータに該当するか否か等)を設けてその識別コードを設けるようにしても良い。

0033

図3の例で説明すれば、第1行目の"201.XXX.0.0/16"はIPアドレスの範囲として、
"201.XXX.0.0"から16個のアドレスが検出対象となることを示している。
即ち、第1行目のデータである"201.XXX.0.0/16 01PASS"は、IPアドレスが、
"201.XXX.0.0〜201.XXX.0.15"の範囲内にあって、識別コードが"01" (日本)であればパケットを通過(PASS)させることを意味する。
また、第5行目のデータである"101.XXX.303.44 500 DROP"は、IPアドレスが、
"101.XXX.303.44"であって、識別コードが"500" (マルウェア)であればパケットを廃棄(DROP)することを意味している。

0034

照合手段25は、受信したパケットが検出条件に該当するか否かを判定し、該当する場合は、その検出条件に対応する識別コード,処理内容,及びIPアドレスをパケット処理手段21に通知する。

0035

パケット処理手段21は、照合手段25から渡された識別コードと処理内容をもとに、図4に例示する処理内容実行テーブル34を参照しながら対応する処理ルーチンを実行する。照合手段25はどの検出条件にも該当しない場合は、識別コードとしてどのコードにも該当しないNULLコードをパケット処理手段21に渡し、パケット処理手段21はOSI参照モデルの通常のスイッチング処理を実行する。

0036

ここで、処理内容実行テーブル34は、図4に示すようにIPアドレス又はその範囲、判定条件、処理内容(パケットの通過もしくは廃棄)、転送IP(転送先のIPアドレス)が保存されている。判定条件の監視閾値(あるいは監視閾値範囲)として、例えばネットワーク負荷(n秒たりのパケット数)を用いることができる。例えば監視閾値(1)を
1,000,000/30秒と設定した場合、図4第1行目のデータはIPアドレスが"201.XXX.0.0 〜201.XXX.0.15"の範囲内にあるパケットを30秒間に1,000,000パケット以上受信すると、IPアドレス"12.XX.0.0"へ転送することを意味している。

0037

また、第2行目のデータは、異常の種別を意味する異常検出(1)として、例えば、監視手段29によって異常を検出した場合は、廃棄(DROP)することを意味している。例えば、サービスを行っているサーバとの通信応答に一定時間以上の遅延がある場合に異常としてパケットを廃棄することによって、著しくサービスが妨害されるような事態に対処することができる。異常検出は、これに限らず、例えばパケット条件設定手段3との通信が一定時間以上ない場合は異常とするようにしても良い。

0038

なお、同じIPアドレスもしくはIPアドレス範囲に複数の判定条件が設定される場合は、判定条件に優先順位をつけて優先順位の高い処理を実行するのが好ましい。

0039

また、図5に例示する動的テーブル36によって処理内容を実行するようにしても良い。この動的テーブル36は、例えば監視手段29によって追加、削除される。すなわち監視手段29は、あるIPアドレスの一定時間内の受信量一定値を超えた場合に、そのIPアドレスのパケット情報から動的テーブルを作成して追加し、そのIPアドレスの一定時間内の受信量が一定値以下になった場合に、そのIPアドレスの動的テーブルを削除する。これにより、クラウドデータベース7からDDoS等の情報を取得できない場合や、下位ネットワークの機器がDDoS攻撃を行うような場合でも、そのパケットを通過させないなどの対応が可能になる。なお、図5において、「コントロールフラグ」はパケットの通過(PASS)/廃棄(DROP)および記録処理(SYSLOG出力)の要否を示すフラグである。
パケット処理手段21の処理概要は上述したところであるが、図6を用いてさらに詳しく説明する。

0040

パケット処理手段21は、パケットを受信すると、まずパケットヘッダ判定処理(ステップS1〜ステップS12)を実行する。このパケットヘッダ判定処理は、パケットヘッダのみによって一律、通過(PASS)させるか、あるいは廃棄(DROP)するかを決定するものであって、通常は初期設定されるものである。

0041

パケット処理手段21は、パケットヘッダ判定処理の後、識別コード判定処理を実行する。識別コード判定処理として、パケット処理手段21は、まず照合手段25から渡された識別コードが有るかどうか、即ち識別コードがNULLでないかどうかを判定し(S13)、NULLで無い場合は(S13で「YES」)、記録処理をするか否かを判定し(S14)、記録処理をする場合は、パケットの記録を保存する(S15)。そして識別コードに対応する処理内容が廃棄(DROP)か否かを判定する(S16)。その結果、処理内容が廃棄(DROP)の場合は(S16で「YES」)転送用バッファ23をクリアする。

0042

一方、ステップS16において、処理内容が廃棄(DROP)でない場合は(S16で「NO」)、次に処理内容実行テーブル34にアクセスして、当該IPアドレスに対応する判定条件が設定されている場合は、その判定条件に該当するか否かを判定し(S17)、該当する場合は(S17で「YES」)、その判定条件に対応する処理内容が廃棄(DROP)か否かを判定する(S18)。そして廃棄(DROP)が設定されている場合は(S18で「YES」)、転送用バッファ23をクリアすると共に、記録処理手段27を介してパケットの記録を保存する(S19)。ステップS18の判定の結果、処理内容が廃棄(DROP)でない場合は(S18で「NO」)、次に転送IPの設定がされているか否かを判定し(S20)、転送IPが設定されている場合はその転送先へ送信する(S21)。

0043

パケット処理手段21は、上記の識別コード判定処理の後、動的テーブルマチング判定処理を実行する。パケット処理手段21は、まず動的テーブル36にアクセスして、パケットデータが動的テーブルの値と一致するか否かを判定し(S22)、一致する場合は、記録処理をするか否かを判定し(S23)、記録処理をする場合は、パケットの記録を保存する(S24)。次にパケット処理手段21は動的テーブル36のコントロールフラグが廃棄(DROP)になっているか否かを判定する(S25)。その結果、廃棄(DROP)になっている場合は、転送用バッファ23をクリアする。

0044

そして、パケット処理手段21は、ステップS22においてどの動的テーブル36にもマッチングしない場合、あるいはステップS25において廃棄(DROP)でない場合は、通過(PASS)処理を実行する(S26)。
以上パケット処理手段21の処理手順について説明した。

0045

次に検出条件格納テーブル33の更新処理について説明する。
パケット条件設定手段3は、上位ネットワークを介して繋がる一又は二以上のデータベース(たとえばクラウドデータベース)7から、DDoS攻撃などの予測情報や、ダークネット情報などのネットワークセキュリティに関する情報を受け取る。パケット条件設定手段3は、例えばDDoS攻撃を受けている地域やDDoS攻撃を行っているIPアドレス情報をクラウドデータベース7から受け取るとそれを逐次メモリ(図示せず)に保存していく。検出条件のIPアドレス情報としては、たとえばIPアドレス内の地域などを特定するビット位置で管理することができる。そして、パケット条件設定手段3は、DDoS攻撃を受けている地域が一定の範囲に近づいたり、あるいはDDoS攻撃の頻度が一定値以上になると、検出条件としてIPアドレス情報とDDoS攻撃であることを示す識別コードとをスイッチ装置2へ送る。パケット条件設定手段3は、ダークネットなどの情報については更新の都度スイッチ装置2へ送る。なお、パケット条件設定手段3からスイッチ装置2へ送信するデータとしては、前回送信時の差分のみを送るようにすると効率が良い。この場合、パケット条件設定手段3の電源投入後、あるいはリセット直後の最初の送信は検出条件格納テーブル33に登録すべき全データを送る必要がある。

0046

スイッチ装置2のパケット条件登録手段28は、パケット条件設定手段3から送られてくる検出条件ごとの識別コードを受信すると、テーブル選択用ポインタ26を参照して、待機側の検出条件格納テーブル33に逐次登録する。なお、テーブル選択用ポインタ26としては、運用側,待機側の検出条件格納テーブル33のメモリアドレスを直接指定するようにしても良いし、運用側の識別情報として例えば、「0」又は「1」の情報のみを記憶し、「0」ならば第1のテーブル33a,「1」ならば第2のテーブル33bが運用側であると解釈してアクセスし、待機側はその逆の意味合いで解釈してアクセスするようにしても良い。

0047

パケット条件設定手段3は、一連の更新データの送信が完了すると、切替指令を送信する。スイッチ装置2のパケット条件登録手段28は、切替指令を受信すると、テーブル切替手段30を介してテーブル選択用ポインタ26のポインタ値を書き換えて、運用側,待機側を切り替えると共に、新たな運用側の検出条件格納テーブル33の内容を待機側の検出条件格納テーブル33にコピーする。これにより差分伝送が可能になる。
この一連の処理により、パケット処理手段21は、常に最新の情報を格納する動作側の検出条件格納テーブル33にアクセスでき、スイッチ装置2は、DDoS攻撃等にリアルタイムで対応することができ、ネットワークセキュリティを向上させることができる。

0048

DDoS攻撃のIPアドレス情報としては、国等の地域などでグループ化して設定するようにすれば、メモリ空間の節約になり検索時間の短縮を図ることができる。その一方で、このようなグループ化は、本来制限すべき必要の無い外部ネットワーク機器との通信も遮断してしまう可能性がある。このため、DDoS攻撃の可能性が低くなった場合は、速やかに規制対象から外すのが好ましい。

0049

ところで、上述したようにパケット条件設定手段3は上位ネットワークを通してクラウドデータベース7からDDoS攻撃等のセキュリティ情報を取得するので、パケット条件設定手段3自身がDDoS攻撃を受ける可能性がある。検索条件の更新中にDDoS攻撃を受けてしまうと、高負荷になってしまい、切替指令を送ることができなくなったり、送信タイミングが遅延する可能性がある。

0050

このため本実施の形態では、監視手段29によって、パケット条件設定手段3から周期的に受信があるか否かを監視し、一定時間以上パケット条件設定手段3からの受信が無い場合はテーブル切替手段30を起動してテーブル選択用ポインタ26のポインタ値を書き換える。これにより、検索条件の更新中にパケット条件設定手段3がDDoS攻撃を受けた場合でも検出条件格納テーブル33の運用側,待機側を切り替えることができ、スイッチ装置2は、より新しいセキュリティ情報でパケット処理を行うことができる。

0051

記録処理手段27は、検出原因(判断位置判断コード)、検出した物理ポート、パケットの処理内容(例えば転送したか廃棄したか)、パケットヘッダ情報(プロトコル番号等)、送信元IPアドレス、宛先IPアドレス、フォワーディングIPアドレス、その他予め設定されたネットワークセキュリティ解析に必要な情報を特定のローカルポートから出力したり、パケット条件設定手段3へ送信する。

0052

パケット条件設定手段3は、スイッチ装置2から送られてくるネットワークセキュリティ解析用の情報を受信すると、上位ネットワーク6を介してクラウドデータベース7へ送信する。

0053

以上、本実施の形態によるスイッチ装置2は、自身のIPアドレスを持たないので自身はDDoS攻撃を受けることがなく、本ネットワーク中継装置1に繋がる下位のネットワーク機器5の負荷を低減させることができる。これにより以後の攻撃対象から外れる可能性も高くなる。またDDoSの攻撃に対して、WAN側セッションテーブルを設けるなどのIPパケットの管理を行う必要がない。

0054

また、本実施の形態のネットワーク中継装置1によれば、パケット条件設定手段3と、スイッチ装置2とを専用I/F35で接続し、検出条件格納テーブル33の周期的な更新の都度テーブル選択用ポインタ26を書き換えるので、パケット処理手段21は、最新のネットワークセキュリティ情報でパケット処理をすることができる。これにより、DDoS攻撃を効果的に防止することができ、また制限処理を特定のIPアドレス空間のみに絞ることにより処理速度を早くすることができる。

0055

さらに本実施の形態によれば、DDoS攻撃の送信元IPアドレス情報を周期的に更新するようにしておき、パケット条件設定手段3がDDoS攻撃の対象となった場合は、スイッチ装置2の監視手段29でテーブル選択用ポインタ26を切り替えるので、スイッチ装置2に繋がる下位のネットワーク機器5をDDoSの攻撃から防ぐことができる。

0056

通常、SYNパケットを受信すると、SYNACKを返信する。無差別なSYNパケットの送信(SYN攻撃)に対して、SYN ACKを返すことでDDoSが成立する。
本ネットワーク中継装置1は、ネットワークの上位側から下位側へのパケットのみならず、下位側から上位側へのパケットも同様に監視するので無差別攻撃を自ら行わないようにするこができる。

0057

DDoSの場合、通常はACK確認番号が固定なので、攻撃元IPアドレスおよびDDoSのSYNACKの確認番号(TCPACK番号)により、他のネットワーク機器への攻撃も効果的に遮断することができる。即ち、攻撃応答パターンを動的テーブル36に登録しておくことで、攻撃の被害を抑止できるのみならず、加害者にもならないようにすることができる。また、ログを取ることにより攻撃手法分析、解析を通して、最新の対策が可能になる。さらに、IPヘッダ、TCP/UDPのヘッダのみで判定することにより、高速な処理も可能になる。

0058

(他の実施例1)
上記説明では、図2に示すようにパケット条件設定手段3とスイッチ装置2との間はUSB,WiFi等の専用のインタフェースで接続することとしたが、スイッチ装置2の下位側の物理ポート(例えばL1)に接続して、当該物理ポートを通して検出条件の更新を行うようにしても良い。

0059

このとき、スイッチ装置2に帯域制限手段(図示せず)を設け、各物理ポートの通信帯域を制限できるようにするのが好ましい。なお、帯域制限のしかたは特許文献3などに記載の従来技術を用いることができる。

0060

そして、下位のルータ4に繋がる物理ポートの帯域を優先的に確保し、パケット条件設定手段3に繋がる物理ポートの通信帯域の優先度を最も小さく設定する。これにより、スイッチ装置2の監視手段29による異常検出が早くなりルータ4に繋がる下位のネットワーク機器5への影響を抑えて、DDoS攻撃を効果的に防止することができる。

0061

(他の実施例2)
図7は、パケット条件設定手段3がルータ4を通してクラウドデータベース7と通信を行う場合のシステム構成例である。またパケット条件設定手段3は、クラウドデータベース7から受信した情報をスイッチ装置2のパケット条件設定手段3用に割り当てられた特定ポート図7の例ではL1)を介してパケット条件登録手段28に送る。

0062

このような構成の場合は、パケット条件設定手段3は、グローバルIPアドレスを持つ必要がないが、他の下位側ネットワーク機器5と同じタイミングでDDoSの攻撃に晒されることになる。このような場合でも、待機側の検出条件格納テーブル33を周期的に更新しておき、監視手段29が異常を検知した場合は、テーブル選択用ポインタ26を切り替えるので、予めDDoS攻撃の予報情報を当該検出条件格納テーブル33に保存しておくことにより、ルータ4に繋がるネットワーク機器5をDDoS攻撃から守ることができる。
このとき、他の実施例1で説明したように、スイッチ装置2の各物理ポートに帯域制限を設けるのが好ましい。

0063

以上は、クラウドデータベース7から受信したデータによって、内部の待機側の検出条件格納テーブル33のデータを書き換えた後に同テーブルを動作側へ切り替えるというものであるが、スイッチ装置2側から取得したセキュリティ解析用の情報をクラウドデータベース7へ送信するようにしても良い。

0064

具体的には、パケット条件設定手段3は、物理ポートL1を介してスイッチ装置2の記録処理手段27から送られてきた解析用情報、例えば転送処理を行ったパケットの送信元IPアドレス、必要により送信先のIPアドレス、およびトラフィック情報等の解析用情報を受信する。パケット条件設定手段3は受信した解析用情報をルータ4を経由してクラウドデータベース7へ送信する。これにより、クラウドデータベース7ではIPアドレスから地域情報を分析することにより、現在どの地域に攻撃を受けているか、また攻撃される地域の移動経路から次に攻撃を受ける危険性の高い地域を割り出し注意情報を通知することができる。

0065

なお、上記説明では、パケット条件設定手段3とスイッチ装置2との間は物理ポートL1を通してデータの受渡しをするようにしたが、図7破線で示す専用I/F35を通してデータの受渡しを行うようにしても良い。

0066

(他の実施例3)
図8は、オフラインUSBメモリ8等の外部記憶手段に検出条件や識別コードを含むネットワークセキュリティ情報を保存しておき、スイッチ装置2の専用インタフェースを介して、この情報を読み込むものである。

0067

スイッチ装置2のパケット条件登録手段28は、検出条件と識別コードの全データを読み込み、待機側の検出条件格納テーブル33の更新処理を完了した後に、テーブル切替手段30を介してテーブル選択用ポインタ26を切り替える。

0068

なお、図8においてUSBメモリ8に代えて、USBポートに3GもしくはLTE等の通信機器繋ぐようにしても良い。そしてこの通信機器をパケット条件設定手段3に接続する。これによりスイッチ装置2は独自のIPアドレスを必要とせずに動作可能になる。

0069

以上、上位側のネットワークから下位側のネットワーク機器5にDDoS攻撃を行う場合について説明したが、本実施の形態のネットワーク中継装置1は、下位側から上位側へ送信する場合のIPアドレスについても同様に扱うことができる。よってクラウドデータベース7から送られてきたネットワークセキュリティ情報により、自装置のIPアドレスが対象となれば、スイッチ装置2のパケット処理手段21は、検出条件格納テーブル33,処理内容実行テーブル34に基づいて廃棄等の処理を行うことができるので、万一ウィルス感染等によってDDoS攻撃を行う立場になったとしても、本ネットワーク中継装置1によって効果的に防止することができ、またそのような事態になったことをパケット条件設定手段3によって速やかにクラウドデータベース7に通知することができるので、ネットワークセキュリティを向上させることができる。

0070

(応用例)
次に、ネットワーク中継装置1の使用方法の応用例を説明する。
ネットワークに繋がるサーバ(例えばWEBサーバ)のフロントエンドに本実施の形態によるネットワーク中継装置1を接続し、外部ネットワークと接続する。ネットワーク中継装置1の処理内容として、当該サーバから送信されるデータについては、送信元が当該サーバのIPアドレス以外のパケットについては全て廃棄する。一方、送信先アドレスが当該サーバとなっている受信データについては、その送信元アドレスアドレスコードによって、異なるポートに出力するようにする。例えば、送信元アドレスが特定地域のアドレスコードになっている場合は、第1の物理ポートへ転送し、それ以外の地域の場合は第2の物理ポートへ転送する。そして、第1および第2のポートには、それぞれサーバを接続し、アクセスの負荷分散を行う。このとき、各物理ポートの帯域制限を行うようにしても良い。なお、各物理ポートに繋がるサーバには同じIPアドレスを割り付けることができる。

0071

この構成によれば、DDoS攻撃を行う可能性が高い地域を特定地域として上記の設定を行うことにより、特定地域からのDDoS攻撃によりサーバ群全体が機能不全になることを防ぐことができ、サービスの質(QoS)を確保することができる。

0072

また、この構成において、第1の物理ポートに繋がるサーバをハニーポットサーバとし、第2の物理ポートに繋がるサーバをサービスサーバとすれば効果的にDDoS攻撃をかわすことができる。

0073

次に、本発明の第2の実施の形態について説明する。
図9は第2の実施の形態によるネットワーク中継装置1の使用方法の説明図である。なお、ネットワーク中継装置の構成は図1に示す第1の実施の形態と同様であるので説明を割愛する。

0074

本実施の形態によるシステム構成は、本ネットワーク中継装置1の上位側(WAN側)にルータ4を設置するものである。具体的には、スイッチ装置2の上位側の物理ポート(WAN)はルータ4を介して上位ネットワーク6へ接続する。また、パケット条件設定手段3は上位ネットワーク6に接続し、下位側はスイッチ装置2の物理ポートL1に接続する。スイッチ装置2の下位側の物理ポート(L2〜L4)は、ネットワーク機器5であるサーバ装置にそれぞれ接続する。

0075

このシステム構成において、スイッチ装置2のパケット処理手段21は、検出条件格納テーブル33の地域別情報に基づいて、送信元IPアドレスの地域に応じて物理ポートを選択する。これにより、各サーバ装置は、地域ごとに割り当てられて処理を行うことになる。また、帯域制限手段(図示せず)は、検出条件格納テーブル33のDDoS情報に基づいて、DDoSの発信地域に該当する物理ポートの通信帯域を他の物理ポートに対して小さくする。

0076

この応用例としては、図9の構成において、たとえばDDoS攻撃の可能性が高いと判定された地域から送られてくるパケットは物理ポートL2へ転送し、それ以外の地域から送られてくるパケットは、その発信地域や相手先重要度によって物理ポートL3,L4で処理するなど動的に物理ポートを切り替えるようにしてもよい。そして、それぞれの物理ポートL2〜L4の帯域も重要度に基づいて制御する。
これにより、特定地域からのアクセスに対して負荷が集中することを防止し、サーバ装置の効果的な負荷分散を実現することができる。

0077

なお本発明は上述した実施の形態に限定されることなく、その要旨を逸脱しない範囲で種々変形して実現することができる。
例えば、図2図9において、パケット条件設定手段3はルータ4が繋がる上位ネットワーク6とは別のネットワーク(専用回線やVPN等)を介してクラウドデータベース7と通信を行うようにしても良い。

0078

1ネットワーク中継装置
2スイッチ装置
3パケット条件設定手段
4ルータ
5ネットワーク機器
6上位ネットワーク
7クラウドデータベース
8USBメモリ
21パケット処理手段
22送受信処理手段
23転送用バッファ
24IPアドレス検出手段
25 照合手段
26テーブル選択用ポインタ
27記録処理手段
28 パケット条件登録手段
29監視手段
30 テーブル切替手段
31(31a〜31e)物理ポート
33(33a,33b)検出条件格納テーブル
34処理内容実行テーブル
35 専用I/F
36 動的テーブル

ページトップへ

この技術を出願した法人

この技術を発明した人物

ページトップへ

関連する挑戦したい社会課題

関連する公募課題

ページトップへ

技術視点だけで見ていませんか?

この技術の活用可能性がある分野

分野別動向を把握したい方- 事業化視点で見る -

(分野番号表示ON)※整理標準化データをもとに当社作成

ページトップへ

おススメ サービス

おススメ astavisionコンテンツ

新着 最近 公開された関連が強い技術

この 技術と関連性が強い人物

関連性が強い人物一覧

この 技術と関連する社会課題

関連する挑戦したい社会課題一覧

この 技術と関連する公募課題

関連する公募課題一覧

astavision 新着記事

サイト情報について

本サービスは、国が公開している情報(公開特許公報、特許整理標準化データ等)を元に構成されています。出典元のデータには一部間違いやノイズがあり、情報の正確さについては保証致しかねます。また一時的に、各データの収録範囲や更新周期によって、一部の情報が正しく表示されないことがございます。当サイトの情報を元にした諸問題、不利益等について当方は何ら責任を負いかねることを予めご承知おきのほど宜しくお願い申し上げます。

主たる情報の出典

特許情報…特許整理標準化データ(XML編)、公開特許公報、特許公報、審決公報、Patent Map Guidance System データ