[go: up one dir, main page]

JP2008028720A - IP network device capable of controlling source IP address spoofed IP packet and source IP address spoofed IP packet control method - Google Patents

IP network device capable of controlling source IP address spoofed IP packet and source IP address spoofed IP packet control method Download PDF

Info

Publication number
JP2008028720A
JP2008028720A JP2006199429A JP2006199429A JP2008028720A JP 2008028720 A JP2008028720 A JP 2008028720A JP 2006199429 A JP2006199429 A JP 2006199429A JP 2006199429 A JP2006199429 A JP 2006199429A JP 2008028720 A JP2008028720 A JP 2008028720A
Authority
JP
Japan
Prior art keywords
address
packet
source
network device
received
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006199429A
Other languages
Japanese (ja)
Inventor
Masaro Suzuki
政朗 鈴木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2006199429A priority Critical patent/JP2008028720A/en
Publication of JP2008028720A publication Critical patent/JP2008028720A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a network security technology which flexibly controls an IP packet having the possibility of send side arrogation while ensuring the effective transfer function of an IP network apparatus. <P>SOLUTION: The send side sends a message to an adjacent IP network apparatus for exchanging routing information between IP network apparatuses with new additional information which describes an authenticated IP address of a subordinated terminal and a dealing process against the arrogation of its IP address. The receive side holds the authenticated IP address and the dealing process against the arrogation in addition to a network address and an interface. Upon receipt of an IP packet, it extracts the send side IP address to collate with a set of the held interface and the authenticated IP address and decides the validity. If being doubtful of the arrogation, it executes the process against the arrogation held in relation to its IP address. <P>COPYRIGHT: (C)2008,JPO&INPIT

Description

本発明は、ネットワークセキュリティの技術に関する。特に、送信元IP(Internet Protocol)アドレスを詐称したトラヒックによる、ネットワークリソース及びネットワーク機器へのDoS(Denial of Service Attack;サービス妨害)攻撃およびDDoS(Distributed Dos;分散サービス妨害)攻撃を防御する技術に関する。   The present invention relates to a network security technique. In particular, the present invention relates to a technique for preventing a DoS (Denial of Service Attack) attack and a DDoS (Distributed Dosage) attack on network resources and network devices caused by traffic spoofing a source IP (Internet Protocol) address. .

インターネット上で行われているような通信プロトコルTCP/IPを利用した通信は、IPパケットの送受信により行われる。IPパケットには、宛先IPアドレス情報と送信元IPアドレス情報とが格納され、インターネット等のネットワークでIPパケットの中継を行うルータ等のIPネットワーク機器は、宛先IPアドレス情報を元に、IPパケットの転送を実施している。   Communication using the communication protocol TCP / IP as performed on the Internet is performed by transmitting and receiving IP packets. The IP packet stores destination IP address information and source IP address information, and an IP network device such as a router that relays the IP packet in a network such as the Internet uses the IP packet information based on the destination IP address information. A transfer is in progress.

一般に、ルータ等のIPネットワーク機器は、IPパケットの送信元IPアドレスの正当性を確認することなく、IPパケットの転送を実施している。インターネットに接続している悪意あるユーザがDoS攻撃やDDoS攻撃を行う際には、このようなインターネットにおけるIPパケットの転送特性を悪用して送信元IPアドレスを詐称することが多い。   In general, an IP network device such as a router transfers an IP packet without confirming the validity of the source IP address of the IP packet. When a malicious user connected to the Internet performs a DoS attack or a DDoS attack, the source IP address is often misrepresented by using such IP packet transfer characteristics in the Internet.

近年、送信元IPアドレスを詐称したトラヒック(送信元IPアドレス詐称トラヒック)の制御技術として、uRPF(Unicast Reverse Path Forwarding)が注目されている。これは、イングレスフィルタリング(Ingress Filtering)と呼ばれる経路情報を利用したルータ等の入力インタフェースにおけるフィルタリング処理により、送信元IPアドレス詐称トラヒックの遮断を実現する。   In recent years, uRPF (Unicast Reverse Path Forwarding) has attracted attention as a control technique for traffic in which a source IP address is spoofed (source IP address spoofed traffic). This realizes blocking of the source IP address spoofed traffic by a filtering process in an input interface such as a router using route information called ingress filtering.

uRPFでは複数の方式が提案されている。たとえば、以下の1)〜5)などである。1)Ingress Access List、2)Loose Reverse Path Forwarding、3)Loose Reverse Path Forwarding、ignoring Default Routes、4)Strict Reverse Path Forwarding、5)Feasible Reverse Path Forwarding(例えば、特許文献1、非特許文献1、非特許文献2参照。)。   Several schemes have been proposed for uRPF. For example, the following 1) to 5). 1) Ingress Access List, 2) Loose Reverse Path Forwarding, 3) Loose Reverse Path Forwarding, Patenting Default Route, Non-patented, Non-patented, Non-patented, Non-patented, Non-patented, Non-patented, Non-patented (See Patent Document 2).

特開2005−229614JP-A-2005-229614 IETF RFC3704IETF RFC 3704 IETF RFC2267IETF RFC2267

上述のように、uRPFによるイングレスフィルタリングは、ルータ等のIPネットワーク機器が保持している経路情報(ルーティングテーブル又はフォワーディングテーブル)を利用する。受信したIPパケットが正式な加入者から送出されたIPパケットであるか送信元のIPアドレスを詐称したIPパケットであるかの判断は、受信したIPパケットの送信元IPアドレスが保持している経路情報に登録されているか否かで行う。例えば、経路情報に192.168.0/24と192.168.1/24の2つのみを保持している場合、受信したIPパケットの送信元IPアドレスが192.168.0.1や192.168.1.100であれば正式な加入者から送出されたIPパケットであると判断し、受信したIPパケットの送信元IPアドレスが192.168.3.1や172.18.1.1であれば送信元IPアドレス詐称トラヒックと判断し、廃棄する。   As described above, ingress filtering by uRPF uses route information (routing table or forwarding table) held by an IP network device such as a router. The determination of whether the received IP packet is an IP packet sent from an official subscriber or an IP packet spoofing the source IP address is based on the route held by the source IP address of the received IP packet This is done depending on whether it is registered in the information. For example, when only two routes, 192.168.8.0/24 and 192.168.1 / 24, are held in the route information, the source IP address of the received IP packet is 192.168.0.1 or 192 If it is .1688.1.100, it is determined that the packet is an IP packet sent from an official subscriber, and the source IP address of the received IP packet is 192.168.3.1 or 172.1.8.1.1. If so, it is determined that the source IP address is spoofed traffic and discarded.

ところで、一般にIPネットワーク機器は、経路情報として保持していない宛先IPアドレスを有するIPパケットを受信した場合、そのIPパケットを廃棄する。ところが、インターネット上では、転送する可能性のある経路は無数にあり、全てを経路情報として保持することは不可能である。このため、IPネットワーク機器は、全ての経路情報を網羅する特殊経路であるデフォルト・ルート(0.0.0.0/0で表現される。)を経路情報として保持することが多い。しかし、この場合、イングレスフィルタリングでは、全ての送信元IPアドレスが登録されている経路情報に合致するため、全てのIPパケットが正式な加入者から送出されたIPパケットと判断され、送信元IPアドレス詐称トラヒックを適切に遮断することができない。   By the way, generally, when an IP network device receives an IP packet having a destination IP address not held as route information, the IP network device discards the IP packet. However, on the Internet, there are innumerable paths that can be transferred, and it is impossible to hold all of them as path information. For this reason, IP network devices often hold a default route (expressed as 0.0.0.0/0), which is a special route that covers all route information, as route information. However, in this case, since ingress filtering matches all source IP addresses with the registered route information, it is determined that all IP packets are IP packets sent from official subscribers. The spoofed traffic cannot be properly blocked.

また、上記のuRPFによるイングレスフィルタリングでは、受信したIPパケットの送信元IPアドレスがルータ等のIPネットワーク機器の経路情報に登録されていない場合は、無条件にIPネットワーク機器内で廃棄する制御しかなく、柔軟な対応ができない。   In addition, ingress filtering by the uRPF described above has only control for unconditionally discarding in the IP network device when the source IP address of the received IP packet is not registered in the route information of the IP network device such as a router. Can't respond flexibly.

本発明は上記事情に鑑みてなされたもので、IPネットワーク機器の効率的な転送機能を確保しつつ、送信元を詐称した可能性のあるIPパケットに対して柔軟な制御を可能とするネットワークセキュリティ技術を提供することを目的とする。   The present invention has been made in view of the above circumstances, and network security that enables flexible control over an IP packet that may have spoofed a transmission source while ensuring an efficient transfer function of an IP network device. The purpose is to provide technology.

IPネットワーク装置間でルーティング情報を交換するためのメッセージに新たな付加情報を追加し、そこに配下の端末の認証したIPアドレス(認証IPアドレス)とそのIPアドレスが詐称された場合の処理(詐称時処理)とを記述して隣接するIPネットワーク装置に送出する。受け取った側では、ネットワークアドレスとインタフェースに加え、認証IPアドレスおよび詐称時処理を保持する。IPパケットを受信した場合は、送信元IPアドレスを抽出して、保持するインタフェースと認証されたIPアドレスとの組と照合し、正当性を判別する。正当と判別できない場合は、そのIPアドレスに対応づけて保持されている詐称時処理を行う。   New additional information is added to a message for exchanging routing information between IP network devices, and the IP address (authentication IP address) of the subordinate terminal and the processing when the IP address is spoofed (spoofing) (Time processing) is described and transmitted to the adjacent IP network device. On the receiving side, in addition to the network address and interface, the authentication IP address and the spoofing process are retained. When an IP packet is received, the source IP address is extracted and compared with a set of the interface to be held and the authenticated IP address to determine the validity. If it cannot be determined to be legitimate, a spoofing process held in association with the IP address is performed.

具体的には、複数の端末を伝送路を介して収容し、予め保持するルーティング情報に従って、受信したIPパケットを転送するIPネットワーク装置であって、隣接する他のIPネットワーク装置毎に設けられ、隣接する他のIPネットワーク装置からIPパケットをそれぞれ受信するインタフェースと、前記インタフェースで受信したIPパケットの送信元IPアドレスを抽出するIPアドレス抽出手段と、前記隣接する他のIPネットワーク装置が収容する端末のIPアドレスと、当該他のIPネットワーク装置からのIPパケットを受信する前記インタフェースを特定する情報と、当該IPアドレスが送信元IPアドレスとして詐称された場合の処理である詐称時処理とを対応づけて保持する認証情報記憶手段と、前記IPパケットを受信したインタフェースと、前記IPアドレス抽出手段が抽出した当該IPパケットの送信元IPアドレスとが前記認証情報記憶手段に対応づけて保持されている場合、正当なIPパケットと判別する送信元IPアドレス詐称監視処理手段と、前記送信元IPアドレス詐称監視処理手段において正当なIPパケットと判別された場合、ルーティング処理を行い、正当なIPパケットと判別されなかった場合、前記IPアドレス抽出手段が抽出した送信元IPアドレスに対応づけて前記認証情報記憶手段に保持される前記詐称時処理を行うルーティング処理手段と、を備えることを特徴とするIPネットワーク装置を提供する。   Specifically, it is an IP network device that accommodates a plurality of terminals via a transmission line and transfers a received IP packet according to routing information held in advance, and is provided for each other adjacent IP network device, Interfaces that receive IP packets from other adjacent IP network devices, IP address extraction means for extracting a source IP address of IP packets received at the interfaces, and terminals accommodated by the other adjacent IP network devices Is associated with the information for identifying the interface that receives the IP packet from the other IP network device and the spoofing process that is a process when the IP address is spoofed as the source IP address. Authentication information storage means for holding the IP packet, If the received interface and the source IP address of the IP packet extracted by the IP address extracting unit are held in association with the authentication information storage unit, the source IP address spoofing is determined as a legitimate IP packet. When the monitoring processing unit and the transmission source IP address spoofing monitoring processing unit determine that the packet is a legitimate IP packet, routing processing is performed. When the packet is not determined to be a legitimate IP packet, the transmission extracted by the IP address extraction unit There is provided an IP network device comprising: routing processing means for performing the spoofing process held in the authentication information storage means in association with an original IP address.

本発明によれば、IPネットワーク機器の効率的な転送機能を確保しつつ、送信元を詐称した可能性のあるIPパケットに対して柔軟な制御を可能とするネットワークセキュリティ技術を提供できる。   ADVANTAGE OF THE INVENTION According to this invention, the network security technique which enables flexible control with respect to the IP packet which may spoof the transmission source can be provided, ensuring the efficient transfer function of IP network equipment.

以下に、本発明を適用した実施の形態を説明する。   Embodiments to which the present invention is applied will be described below.

図1は、本実施形態のIPネットワークシステムのシステム構成図である。本図に示すように、本実施形態のIPネットワークシステムは、外部ネットワーク100と、外部ネットワーク100に接続する複数のルータやLAN−SW等のIPネットワーク装置200a、200b、200cと、IPネットワーク装置200a、200b、200cにそれぞれ接続する端末400a1、400a2、400b1、400c1、400c2と、不正侵入検知機器500と、ネットワーク装置200a、200b、200cと端末400a1、400a2、400b1、400c1、400c2との間の伝送路600a、600b、600cとから構成される。   FIG. 1 is a system configuration diagram of an IP network system according to the present embodiment. As shown in this figure, the IP network system of the present embodiment includes an external network 100, a plurality of routers and IP network devices 200a, 200b, and 200c connected to the external network 100, and an IP network device 200a. , 200b, and 200c connected to the terminals 400a1, 400a2, 400b1, 400c1, and 400c2, the unauthorized intrusion detection device 500, and the network devices 200a, 200b, and 200c and the terminals 400a1, 400a2, 400b1, 400c1, and 400c2, respectively. It consists of paths 600a, 600b, 600c.

以下、特に区別する必要がない場合は、それぞれ、IPネットワーク装置200、端末400、伝送路600で代表する。また、IPネットワーク装置200、端末400、不正侵入検知機器500の台数は、問わない。   Hereinafter, when there is no need to distinguish between them, the IP network device 200, the terminal 400, and the transmission path 600 are representative. Further, the number of IP network devices 200, terminals 400, and unauthorized intrusion detection devices 500 is not limited.

本実施形態のIPネットワーク装置200の動作の概要は以下の通りである。IPネットワーク装置200aは、自装置の配下に端末400a1が接続された場合若しくは明示的に収容する端末400a1を定義した場合、隣接するIPネットワーク装置200c、200bに自装置の配下のIPサブネットワーク・アドレスに関する経路情報を、BGP(Border Gateway Protocol)のUPDATEメッセージを送信することにより広告する。その際、自装置配下で正式な加入者として認証した端末400a1のホストアドレス情報(IPアドレス)[192.168.0.250]、および、送信元IPアドレスを[192.168.0.250]と詐称したIPパケットを受信した場合の処理方法を経路情報に付加して送信する(1a)。   The outline of the operation of the IP network device 200 of this embodiment is as follows. When the terminal 400a1 is connected under the control of the own device or when the terminal 400a1 to be explicitly accommodated is defined, the IP network device 200a has the IP subnetwork address under the control of the own device in the adjacent IP network devices 200c and 200b. The route information about is advertised by sending an UPDATE message of BGP (Border Gateway Protocol). At that time, the host address information (IP address) [192.168.0.250] and the source IP address of the terminal 400a1 authenticated as an official subscriber under its own device and the source IP address [192.168.0.250] The processing method in the case of receiving a spoofed IP packet is added to the route information and transmitted (1a).

経路情報を受信したIPネットワーク装置200cは、隣接する他のIPネットワーク装置200bから、送信元IPアドレス192.168.0.250のIPパケットを、IPネットワーク装置200bからのIPパケットを受け取るポートとして登録してあるI/F=Bを介して受信した場合は(1b)、送信元アドレス詐称疑惑のIPパケットとして判定し、IPネットワーク装置200aから受信した経路情報の付加情報に記述されている処理方法に従って当該IPパケットを処理する(1c)。   The IP network device 200c that has received the route information registers an IP packet with a source IP address 192.168.0.250 from another adjacent IP network device 200b as a port that receives the IP packet from the IP network device 200b. If the packet is received via the I / F = B (1b), it is determined that the IP packet is a suspicious source address spoofing, and the processing method described in the additional information of the route information received from the IP network device 200a The IP packet is processed according to (1c).

次に、上記制御を実現する本実施形態のIPネットワーク装置200について説明する。図2は、本実施形態のIPネットワーク装置200の機能構成図である。   Next, the IP network device 200 of the present embodiment that realizes the above control will be described. FIG. 2 is a functional configuration diagram of the IP network device 200 of the present embodiment.

本図に示すように、本実施形態のIPネットワーク装置200は、インタフェースモジュール部201Aとインタフェースモジュール部201Bと、IPアドレス抽出部202と、送信元IPアドレス詐称監視処理部203と、認証情報記憶部204と、ルーティング処理部205と、フォワーディングテーブル格納部206と、ルーティングテーブル格納部207と、構成定義処理部208と、を備える。なお、インタフェースモジュール部の数はこれに限られない。また、特に区別する必要がない場合は、インタフェースモジュール部201Aとインタフェースモジュール部201Bとをインタフェースモジュール部201で代表する。   As shown in the figure, the IP network device 200 according to the present embodiment includes an interface module unit 201A, an interface module unit 201B, an IP address extraction unit 202, a source IP address spoofing monitoring processing unit 203, and an authentication information storage unit. 204, a routing processing unit 205, a forwarding table storage unit 206, a routing table storage unit 207, and a configuration definition processing unit 208. The number of interface module units is not limited to this. Further, when there is no need to distinguish between them, the interface module unit 201A and the interface module unit 201B are represented by the interface module unit 201.

インタフェースモジュール部201は、IPネットワーク装置200と外部ネットワーク100または伝送路600とのインタフェースである。   The interface module unit 201 is an interface between the IP network device 200 and the external network 100 or the transmission line 600.

IPアドレス抽出部202は、インタフェースモジュール部201を介して受け取ったIPパケットから送信元IPアドレスおよび宛先IPアドレスを抽出する。抽出したIPアドレスのうち、送信元IPアドレスは、送信元IPアドレス詐称監視処理部203に受け渡す。このとき、このIPパケットを受信したインタフェースモジュール部201を特定する情報もともに受け渡す。宛先IPアドレスは、ルーティング処理部205、フォワーディングテーブル格納部206に受け渡す。   The IP address extraction unit 202 extracts the source IP address and the destination IP address from the IP packet received via the interface module unit 201. Of the extracted IP addresses, the source IP address is transferred to the source IP address spoofing monitoring processing unit 203. At this time, information specifying the interface module unit 201 that has received the IP packet is also transferred. The destination IP address is transferred to the routing processing unit 205 and the forwarding table storage unit 206.

送信元IPアドレス詐称監視処理部203は、IPアドレス抽出部202から受け取った送信元IPアドレスが詐称されたものであるか否かを判別し、IPネットワーク装置200が受信したIPパケットの処理を決定する。判別は、後述する認証情報記憶部204に登録されている情報に基づいて行う。詳細は後述する。   The source IP address spoofing monitoring processing unit 203 determines whether or not the source IP address received from the IP address extraction unit 202 is spoofed, and determines the processing of the IP packet received by the IP network device 200 To do. The determination is made based on information registered in an authentication information storage unit 204 described later. Details will be described later.

ルーティング処理部205は、送信元IPアドレス詐称処理部203の決定に従って、受信したIPパケットをネクストホップに転送する等の処理を行う。ネクストホップは、ルーティングテーブル格納部207またはフォワーディングテーブル格納部206に格納されている、ルーティングテーブルまたはフォワーディングテーブルを参照して行う。   The routing processing unit 205 performs processing such as forwarding the received IP packet to the next hop according to the determination of the source IP address spoofing processing unit 203. The next hop is performed with reference to the routing table or the forwarding table stored in the routing table storage unit 207 or the forwarding table storage unit 206.

ルーティングテーブル格納部207およびフォワーディングテーブル格納部206は、それぞれ、従来のIPネットワーク装置が保持するルーティングテーブルとフォワーディングテーブルとを格納する。   The routing table storage unit 207 and the forwarding table storage unit 206 each store a routing table and a forwarding table held by a conventional IP network device.

構成定義処理部208は、自装置配下の端末400の情報を収集し、構成定義情報を更新するとともに、UPDATEメッセージを生成し、自装置配下の端末400のIPアドレス(以下、認証IPアドレスと呼ぶ。)と、そのIPアドレスが詐称された疑惑がある場合の処理方法(以下、詐称時処理と呼ぶ。)と、を隣接するIPネットワーク装置200へ送信する。また、隣接するIPネットワーク装置200からUPDATEメッセージを受信すると、受信したインタフェースと、UPDATEメッセージに含まれる認証IPアドレスと詐称時処理とを認証情報記憶部204に登録する。   The configuration definition processing unit 208 collects information on the terminals 400 subordinate to the own device, updates the configuration definition information, generates an UPDATE message, and calls the IP address of the terminal 400 subordinate to the own device (hereinafter referred to as an authentication IP address). )) And a processing method when the IP address is suspected of being spoofed (hereinafter referred to as “spoofing process”) are transmitted to the adjacent IP network device 200. In addition, when an UPDATE message is received from the adjacent IP network device 200, the received interface, the authentication IP address included in the UPDATE message, and the processing for spoofing are registered in the authentication information storage unit 204.

なお、本実施形態においては、構成定義処理部208は、配下の端末400のIPアドレスを、管理者などから登録を受け付けることにより取得する。これは、自動的に収集するよう構成してもよい。また、詐称時処理は、管理者などから登録を受け付けることにより取得する。   In the present embodiment, the configuration definition processing unit 208 acquires the IP address of the subordinate terminal 400 by receiving registration from an administrator or the like. This may be configured to automatically collect. The misrepresentation process is acquired by accepting registration from an administrator or the like.

認証情報記憶部204には、受信したIPパケットの正当性を認証するための情報が格納される認証IPアドレステーブル2040を備える。認証IPアドレステーブル2040は、上述の構成定義処理部208により生成される。図3は、本実施形態の認証IPアドレステーブル2040の一例である。   The authentication information storage unit 204 includes an authentication IP address table 2040 that stores information for authenticating the validity of the received IP packet. The authentication IP address table 2040 is generated by the configuration definition processing unit 208 described above. FIG. 3 is an example of the authentication IP address table 2040 of this embodiment.

本図に示すように、本実施形態の認証IPアドレステーブル2040は、広告される経路情報BGPのUPDATEメッセージのNLRI(Network Layer Reachability Information)フィールドに記載されているIPサブネットワーク・アドレスの情報)であるSource Network7aと、UPDATEメッセージを受信したインタフェースであるIngress I/F7bと、認証IPアドレス7cと、詐称時処理7dとが登録される。   As shown in this figure, the authentication IP address table 2040 of the present embodiment is the IP subnetwork address information described in the NLRI (Network Layer Reachability Information) field of the UPDATE message of the route information BGP to be advertised). A certain Source Network 7a, an Ingress I / F 7b that is an interface that has received the UPDATE message, an authentication IP address 7c, and a spoofing process 7d are registered.

以上のIPネットワーク装置200は、例えば、CPU、ROM、フラッシュメモリ、RAM等から構成され、CPUがROMに格納されたプログラムをRAM上に展開して実行することにより、上記各機能を実現する。また、認証IPアドレステーブル2040、ルーティングテーブル、フォワーディングテーブルは、RAM上に格納される。   The above IP network device 200 includes, for example, a CPU, a ROM, a flash memory, a RAM, and the like, and the CPU implements each function described above by developing and executing a program stored in the ROM on the RAM. The authentication IP address table 2040, the routing table, and the forwarding table are stored on the RAM.

次に、構成定義処理部208が、この認証IPアドレスと詐称時処理とを送信する手法について説明する。   Next, a method in which the configuration definition processing unit 208 transmits the authentication IP address and the spoofing process will be described.

本実施形態のIPネットワークシステムが採用しているBGPは、インターネット上で異なるサービスプロバイダ間の相互接続時にお互いの経路情報をやり取りするために使われる経路制御プロトコルである。このBGPでは、隣接するIPネットワーク装置200に経路情報を広告する際にUPDATEメッセージが用いられる。このUPDATEメッセージにはPath Attributeと呼ばれるフィールドを用いて付加情報を添付することができる。本実施形態では、このPath Attributeフィールドを用いて、認証IPアドレスおよび詐称時処理を隣接するIPネットワーク装置200へ送信する。   The BGP adopted by the IP network system of the present embodiment is a route control protocol used for exchanging route information between different service providers on the Internet. In this BGP, an UPDATE message is used when advertising route information to the adjacent IP network device 200. Additional information can be attached to the UPDATE message using a field called Path Attribute. In the present embodiment, using this Path Attribute field, the authentication IP address and the spoofing process are transmitted to the adjacent IP network device 200.

まず、Path Attributeフィールドのフォーマットについて説明する。図4は、一般的なPath Attributeフィールドのフォーマットを説明するための図である。   First, the format of the Path Attribute field will be described. FIG. 4 is a diagram for explaining a format of a general Path Attribute field.

本図に示すように、Path Attributeフィールドは、Path Attribute Type4aと、Path Attribute Length4dと、複数のPath Attribute Value4eとを備える。   As shown in the figure, the Path Attribute field includes a Path Attribute Type 4a, a Path Attribute Length 4d, and a plurality of Path Attribute Value 4e.

Path Attribute Type4aは、Attribute Flags4bと、Attribute Type Code4cとを備える。Attribute Flags4bの各ビットは、当該Path Attributeの属性(Well KnownかOptional)および他のIPネットワーク装置200との間での伝達性(必ず転送を行う、必要であれば転送を行う等)を示す情報である。Attribute Type Code4cは当該Path Attributeの種類を明示する情報である。   The Path Attribute Type 4a is provided with Attribute Flags 4b and Attribute Type Code 4c. Each bit of Attribute Flags 4b is information indicating the attribute (Well Known or Optional) of the Path Attribute and the transferability with other IP network device 200 (always transfer, transfer if necessary). It is. The Attribute Type Code 4c is information that clearly indicates the type of the Path Attribute.

本実施形態では、このPath Attributeフィールドにおいて、新たなAttribute Type Code4cとPath Attribute Value4eとを定義し、認証IPアドレスおよび詐称時処理との通知に用いる。   In the present embodiment, a new Attribute Type Code 4c and a Path Attribute Value 4e are defined in the Path Attribute field, and are used for notification of the authentication IP address and the spoofing process.

次に、本実施形態において、構成定義処理部208が、認証IPアドレスを隣接するIPネットワーク装置200へ通知する際に用いるPath Attributeフィールドについて説明する。本実施形態では、認証IPアドレスを通知するためのこのPath Attributeを、認証Attributeと呼ぶ。   Next, in the present embodiment, the Path Attribute field used when the configuration definition processing unit 208 notifies the authentication IP address to the adjacent IP network device 200 will be described. In this embodiment, this Path Attribute for notifying the authentication IP address is called an Authentication Attribute.

図5は、本実施形態の認証Attributeフィールドを説明するための図である。   FIG. 5 is a diagram for explaining an authentication Attribute field according to this embodiment.

認証Attributeでは、Attribute Flags4bのビット0に『1=Optional』(5a)、ビット1に『1=Transitive』(5b)、ビット2に『0=Partial』(5c)、ビット3に『0=Attribute Lengthが1オクテット』(5d)を記述する。そして、Attribute Type Code4cとして新たなCode=128を割り当てる(5e)。   In Authentication Attribute, “1 = Optional” (5a) is set in bit 0 of Attribute Flags 4b, “1 = Transitive” (5b) in bit 1, “0 = Partial” (5c) in bit 2, and “0 = Attribute” in bit 3. Length is 1 octet "(5d). Then, a new Code = 128 is assigned as the Attribute Type Code 4c (5e).

すなわち、構成定義処理部208は、認証Attributeを生成する場合、Attribute Type Code4cに128と記述する。一方、Attribute Type Code4cに128と記述されたPath Attributeを受け取ると、それを認証Attirributeと判別する。   That is, when generating the authentication Attribute, the configuration definition processing unit 208 describes 128 in Attribute Type Code 4c. On the other hand, when a Path Attribute described as 128 in the Attribute Type Code 4c is received, it is determined as an authentication Attribute.

Path Attribute Length4dにIPホストアドレス(認証IPアドレス)格納に必要な4オクテット(32ビット)を記述し(5f)、Path Attribute Value4eに認証IPアドレスを記述する(5g)。   Four octets (32 bits) necessary for storing the IP host address (authentication IP address) are described in Path Attribute Length 4d (5f), and the authentication IP address is described in Path Attribute Value 4e (5g).

次に、構成定義処理部208が、詐称時処理を隣接するIPネットワーク装置200へ通知する際に用いるPath Attributeフィールドについて説明する。本実施形態では、詐称時処理を通知するためのPath Attributeを、制御Attributeと呼ぶ。   Next, the Path Attribute field used when the configuration definition processing unit 208 notifies the adjacent IP network device 200 of the spoofing process will be described. In the present embodiment, the Path Attribute for notifying the misrepresentation process is called a control Attribute.

図6は、本実施形態の制御Attributeフィールドを説明するための図である。   FIG. 6 is a diagram for explaining a control attribute field according to the present embodiment.

制御Attributeでは、Attribute Flagsのビット0に『1=Optional』(6a)、ビット1に『1=Transitive』(6b)、ビット2に『0=Partial』(6c)、ビット3に『0=Attribute Lengthが1オクテット』(6d)を記述する。そして、Attribute Type Codeとして新たなCode=192を割り当てる(6e)。   In the control Attribute, “1 = Optional” (6a) is set to bit 0 of Attribute Flags, “1 = Transitive” (6b) is set to bit 1, “0 = Partial” (6c) is set to bit 2, and “0 = Attribute” is set to bit 3. Length is 1 octet "(6d). Then, a new Code = 192 is assigned as the Attribute Type Code (6e).

すなわち、構成定義処理部208は、制御Attributeを生成する場合、Attribute Type Codeとして192を記述する。一方、ttribute Type Codeに192と記述されたPath Attributeを受け取ると、それを制御Attirributeと判別する。   That is, the configuration definition processing unit 208 describes 192 as an Attribute Type Code when generating a control Attribute. On the other hand, when a Path Attribute described as 192 in the Attribute Type Code is received, it is determined as a control Attribute.

Path Attribute Length4dに詐称時処理の処理方法を示す制御パターンを格納するために必要な1オクテット(8ビット)を記述し(6f)、Path Attribute Valueに制御パターンを記述する(6g、6h、6i)。   Write one octet (8 bits) required to store the control pattern indicating the processing method of the misrepresentation in Path Attribute Length 4d (6f), and describe the control pattern in Path Attribute Value (6g, 6h, 6i) .

記述される制御パターンには、IDS(Intrusion Detection System)などの不正侵入検知装置500に転送する「To IDS」、廃棄する「Drop」、そのまま送信する「Forward」がある。本実施形態では、それぞれ、例えば、「To IDS」をコード0000、「Drop」をコード1111、「Forward」をコード1000など、それぞれの処理について予め定めたコードを記述する。   The control patterns to be described include “To IDS” transferred to the unauthorized intrusion detection device 500 such as IDS (Intrusion Detection System), “Drop” to be discarded, and “Forward” to be transmitted as it is. In this embodiment, for example, “To IDS” is a code 0000, “Drop” is a code 1111, “Forward” is a code 1000, and a predetermined code for each process is described.

なお、不正進入検知装置500では、受け取ったIPパケットを解析し、解析結果に応じて特定のポートを遮断するなどの対処を行うことができる。   The unauthorized entry detection device 500 can analyze the received IP packet and take measures such as blocking a specific port according to the analysis result.

以上の認証Attributeおよび制御Attributeを用いて、構成定義処理部208は、自装置の配下に新たに端末400が接続された場合、そのIPアドレス(認証IPアドレス)と詐称時処理とを隣接するIPネットワーク装置200へUPDATEメッセージにより広告する。そして、隣接するIPネットワーク装置200から認証IPアドレスと詐称時処理とを受信すると、認証IPアドレステーブル2040に登録する。図7は、構成定義処理部208が認証情報の広告および登録を行い認証IPアドレステーブル2040を生成する処理である認証情報生成処理の処理シーケンスである。ここでは、IPネットワーク装置200aからIPネットワーク装置200cにUPDATEメッセージを送る場合を例にあげて説明する。なお、以下において、IPネットワーク装置200aの構成定義処理部を構成定義処理部208a、IPネットワーク装置200cの構成定義処理部を構成定義処理部208cと呼ぶ。   Using the above authentication Attribute and control Attribute, the configuration definition processing unit 208, when the terminal 400 is newly connected under its own device, the IP address (authentication IP address) and the spoofing process are adjacent to each other. Advertisement is made to the network device 200 by an UPDATE message. When the authentication IP address and the spoofing process are received from the adjacent IP network device 200, they are registered in the authentication IP address table 2040. FIG. 7 is a processing sequence of an authentication information generation process in which the configuration definition processing unit 208 advertises and registers authentication information and generates an authentication IP address table 2040. Here, a case where an UPDATE message is sent from the IP network device 200a to the IP network device 200c will be described as an example. Hereinafter, the configuration definition processing unit of the IP network device 200a is referred to as a configuration definition processing unit 208a, and the configuration definition processing unit of the IP network device 200c is referred to as a configuration definition processing unit 208c.

本図に示すように、構成定義処理部208aは、新たに端末400が自装置の配下に接続された場合、管理者などから新たに端末400のIPアドレス(認証IPアドレス)および詐称時処理の入力を受け付けると(ステップ901)、受け付けた認証IPアドレスと詐称時処理とを用いてそれぞれ認証Attributeと制御Attributeとを生成し、それらを付加したUPDATEメッセージを生成する(ステップ902)。そして、生成したUPDATEメッセージを広告する(ステップ903)。   As shown in this figure, when the terminal 400 is newly connected under its own device, the configuration definition processing unit 208a newly performs an IP address (authentication IP address) of the terminal 400 and a process for spoofing from the administrator or the like. When an input is received (step 901), an authentication Attribute and a control Attribute are generated using the received authentication IP address and spoofing processing, respectively, and an UPDATE message with these added is generated (Step 902). Then, the generated UPDATE message is advertised (step 903).

IPネットワーク装置200cの構成定義処理部208cは、UPDATEメッセージをIPネットワーク装置200aから受信する。   The configuration definition processing unit 208c of the IP network device 200c receives the UPDATE message from the IP network device 200a.

構成定義処理部208cは、UPDATEメッセージのNLRIフィールドに記述されているIPサブネットワーク・アドレス情報を、認証IPアドレステーブル2040のSource Network7aとして、UPDATEメッセージを受信したインタフェースをIngress I/F7bとして登録する(ステップ904)。   The configuration definition processing unit 208c registers the IP subnetwork address information described in the NLRI field of the UPDATE message as the source network 7a of the authentication IP address table 2040 and the interface that has received the UPDATE message as the Ingress I / F 7b ( Step 904).

そして、構成定義処理部208cは、UPDATEメッセージに添付されている付加情報(Path Attribute)の種別を、そのAttribute Type Code4cに記述されている情報により判別する。認証Attributeと判別したPath AttributeのPath Attribute Value4eから認証IPアドレス5gを抽出し、制御Attributeと判別したPath AttributeのPath Attribute Value4eから詐称時処理6gを抽出する。そして、抽出した認証IPアドレス5gおよび詐称時処理6を、それぞれ、認証IPアドレステーブル2040の認証IPアドレス7cおよび詐称時処理7dとして登録する(ステップ905)。   Then, the configuration definition processing unit 208c determines the type of additional information (Path Attribute) attached to the UPDATE message based on the information described in the Attribute Type Code 4c. The authentication IP address 5g is extracted from the Path Attribute Value 4e of the Path Attribute determined to be an Authentication Attribute, and the Path Attribute Value 6g of the Path Attribute 6G extracted from the Path Attribute 6e determined as the Control Attribute is a fraud. Then, the extracted authentication IP address 5g and spoofing process 6 are registered as the authentication IP address 7c and spoofing process 7d of the authentication IP address table 2040, respectively (step 905).

以上の手順により、本実施形態の構成情報処理部208は、認証情報記憶部204に認証IPアドレステーブル2040を生成する。   Through the above procedure, the configuration information processing unit 208 of this embodiment generates the authentication IP address table 2040 in the authentication information storage unit 204.

次に、IPネットワーク装置200内で、インタフェースモジュール201を介してIPパケットを受け取った場合の転送処理について説明する。図8は、本実施形態の転送処理の処理フローである。   Next, transfer processing when an IP packet is received via the interface module 201 in the IP network device 200 will be described. FIG. 8 is a processing flow of the transfer processing of this embodiment.

IPアドレス抽出部202は、インタフェースモジュール部201を介して受信したIPパケットから送信元IPアドレスを抽出し、受信したインタフェースモジュール部201を特定する情報とともに送信元IPアドレス詐称監視処理部203に受け渡す(ステップ801)。   The IP address extraction unit 202 extracts a transmission source IP address from an IP packet received via the interface module unit 201 and passes it to the transmission source IP address spoofing monitoring processing unit 203 together with information specifying the received interface module unit 201. (Step 801).

送信元IPアドレス詐称監視処理部203は送信元IPアドレスの正当性を判定する(ステップ802)。ここでは、送信元IPアドレス詐称監視処理部203は、認証情報記憶部204の認証IPアドレステーブル2040を参照し、受信したIPパケットを受け取ったインタフェースが、送信元IPアドレスに合致する認証IPアドレス7cに対応づけて登録されているIngress I/F7bに合致するかを判断する。合致する場合、送信元IPアドレス査証監視処理部203は、正式な加入者からのIPパケットである(正当である)と判定し、IPアドレス抽出部202に通知する。   The source IP address spoofing monitoring processing unit 203 determines the validity of the source IP address (step 802). Here, the source IP address spoofing monitoring processing unit 203 refers to the authentication IP address table 2040 of the authentication information storage unit 204, and the interface that has received the received IP packet has an authentication IP address 7c that matches the source IP address. It is determined whether or not it matches the Ingress I / F 7b registered in association with. If they match, the source IP address visa monitoring processing unit 203 determines that the IP packet is from an authorized subscriber (it is valid), and notifies the IP address extraction unit 202 of it.

通知を受けたIPアドレス抽出部202は、受信したIPパケットから宛先IPアドレスを抽出し、フォワーディングテーブル格納部206を参照し、出力インタフェースを検索する(ステップ803)。そしてルーティング処理部205は、IPアドレス抽出部202が検索した出力インタフェースからIPパケットを転送する(ステップ804)。   Upon receiving the notification, the IP address extraction unit 202 extracts a destination IP address from the received IP packet, refers to the forwarding table storage unit 206, and searches for an output interface (step 803). Then, the routing processing unit 205 transfers the IP packet from the output interface searched by the IP address extraction unit 202 (step 804).

一方、合致しない場合は、送信元IPアドレス詐称監視処理部203は、詐称疑惑ありと判断し、送信元IPアドレスに合致する認証IPアドレス7cに対応づけて登録されている詐称時処理7dとともに、その旨をIPアドレス抽出部202に通知し、通知を受けたIPアドレス抽出部202は、ルーティング処理部205に制御方法を通知する(ステップ805)。ルーティング処理部205は、受け取った制御方法に従って受信したIPパケットを処理する(ステップ806)。   On the other hand, if they do not match, the source IP address spoofing monitoring processing unit 203 determines that there is a suspicion of spoofing, together with the spoofing process 7d registered in association with the authentication IP address 7c that matches the source IP address, This is notified to the IP address extraction unit 202, and the IP address extraction unit 202 that has received the notification notifies the routing processing unit 205 of the control method (step 805). The routing processing unit 205 processes the received IP packet according to the received control method (step 806).

次に、図1のネットワークを用いて、本実施形態のIPネットワークシステム内でのIPパケットの送受信等の処理の様子を説明する。図1のネットワークでは、IPネットワーク装置200aの配下に認証IPアドレス〔192.168.0.250〕を有する端末400a1が接続され、IPネットワーク装置200bの配下には、IPアドレス〔192.168.1.250〕端末400b1が接続され、IPネットワーク装置200cの配下には、IPアドレス〔192.168.2.250〕を有する端末400c1が接続される。   Next, the state of processing such as transmission / reception of IP packets in the IP network system of the present embodiment will be described using the network of FIG. In the network of FIG. 1, a terminal 400a1 having an authentication IP address [192.168.0.250] is connected to the IP network apparatus 200a, and an IP address [192.168.1. .250] The terminal 400b1 is connected, and the terminal 400c1 having the IP address [192.168.2.250] is connected to the IP network device 200c.

図9は、本実施形態のIPネットワークシステムでの処理シーケンスである。ここでは、IPネットワーク装置200cにおける処理を代表して説明する。IPネットワーク装置200cの認証IPアドレステーブル2040に、端末400a1の認証IPアドレスが登録されているものとする。また、IPネットワーク装置200cにおいて、IPネットワーク装置200aからのIPパケットはインタフェースモジュール部201Aで受信し、IPネットワーク装置200bからのIPパケットはインタフェースモジュール部201Bで受信するものとする。   FIG. 9 is a processing sequence in the IP network system of this embodiment. Here, the processing in the IP network device 200c will be described as a representative. It is assumed that the authentication IP address of the terminal 400a1 is registered in the authentication IP address table 2040 of the IP network device 200c. In the IP network device 200c, an IP packet from the IP network device 200a is received by the interface module unit 201A, and an IP packet from the IP network device 200b is received by the interface module unit 201B.

IPネットワーク装置200aの配下の端末400a1が、送信元IPアドレスを192.168.0.250、宛先IPアドレスを192.168.2.250としたIPパケットAを送出すると(ステップ311、図1の1a)、IPネットワーク装置200cは、IPネットワーク装置200aを介してインタフェースモジュール部201AからIPパケットAを受信する。   When the terminal 400a1 under the control of the IP network device 200a sends out an IP packet A having a source IP address of 192.168.0.250 and a destination IP address of 192.168.2.250 (step 311 in FIG. 1). 1a) The IP network device 200c receives the IP packet A from the interface module unit 201A via the IP network device 200a.

IPネットワーク装置200cは、送信元の正当性を図8のステップ802の方法で判別する(ステップ312)。ここでは、正当と判別され、受信したIPパケットを宛先のアドレスを有する端末400c1に転送する(ステップ313、図1の1c)。   The IP network device 200c determines the legitimacy of the transmission source by the method of Step 802 in FIG. 8 (Step 312). Here, it is determined that the packet is valid, and the received IP packet is transferred to the terminal 400c1 having the destination address (step 313, 1c in FIG. 1).

一方、IPネットワーク装置200bの配下の端末400b1が送信元IPアドレスを192.168.0.250と詐称したIPパケットBを送出すると(ステップ321、図1の1b)、IPネットワーク装置200cは、IPネットワーク装置200bを介してインタフェースモジュール部201BからIPパケットBを受信する。   On the other hand, when the terminal 400b1 under the control of the IP network device 200b sends out an IP packet B in which the source IP address is spoofed as 192.168.0.250 (step 321; 1b in FIG. 1), the IP network device 200c The IP packet B is received from the interface module unit 201B via the network device 200b.

IPネットワーク装置200cは、送信元の正当性を図8のステップ802の方法で判別する(ステップ322)。ここでは、詐称疑惑ありと判別され、IPパケットBに対し、送信元IPアドレスとして詐称されたIPアドレス192.168.0.250に対応づけて認証IPアドレステーブルに登録されている詐称時処理7dの処理を行う(ステップ323)。   The IP network device 200c determines the legitimacy of the transmission source by the method of Step 802 in FIG. 8 (Step 322). Here, it is determined that there is a suspicion of misrepresentation, and for the IP packet B, a process of spoofing 7d registered in the authentication IP address table in association with the IP address 192.168.0.250 spoofed as the source IP address. (Step 323).

次に、本実施形態のIPネットワーク装置200は、経路情報としてデフォルト・ルートを保持している場合であっても、送信元IPアドレス詐称トラヒックを適切に遮断可能な例を説明する。   Next, an example will be described in which the IP network device 200 of the present embodiment can appropriately block the source IP address spoofing traffic even when the default route is held as the route information.

ここでは、IPネットワーク装置200の配下の端末400が、正規のIPアドレスとして〔192.168.0.250/0〕を与えられているものとする。また、IPネットワーク装置200は、隣接するIPネットワーク装置200に、デフォルト・ルート〔0.0.0.0/0〕を広告するものとする。   Here, it is assumed that the terminal 400 under the IP network device 200 is given [192.168.0.250/0] as a regular IP address. The IP network device 200 advertises the default route [0.0.0.0/0] to the adjacent IP network device 200.

先に、従来技術での制御を説明する。図10は、従来のIPネットワーク装置1200による制御を説明するための図である。従来のIPネットワーク装置を、それぞれ、IPネットワーク装置1200a、IPネットワーク装置1200cとする。   First, the control in the prior art will be described. FIG. 10 is a diagram for explaining control by the conventional IP network device 1200. The conventional IP network devices are referred to as an IP network device 1200a and an IP network device 1200c, respectively.

端末400が配下に接続されると、IPネットワーク装置1200aは、隣接するIPネットワーク装置1200cに、UPDATEメッセージを用いて経路を広告する。ここでは、経路情報としてデフォルト・ルート〔0.0.0.0/0〕、ネクストホップ(Next Hop)としてCを広告する(1001)。   When the terminal 400 is connected under the control, the IP network device 1200a advertises a route to the adjacent IP network device 1200c using the UPDATE message. Here, C is advertised as the default route [0.0.0.0/0] as the route information and as the next hop (Next Hop) (1001).

デフォルト・ルートの広告をインタフェースモジュール部Aを介して受信したIPネットワーク装置1200cでは、ルーティングテーブルのDesitinationにデフォルト・ルートを、出力I/Fに、受信したインタフェースであるインタフェースAを登録する(1002)。   In the IP network device 1200c that receives the advertisement of the default route via the interface module unit A, the default route is registered in the Destination of the routing table, and the interface A that is the received interface is registered in the output I / F (1002). .

ここで、端末400がIPアドレスを、〔192.168.1.250/0〕として詐称してIPパケットを送出した場合、IPネットワーク装置1200cでは、送信元IPアドレスとして、〔192.168.1.250/0〕が抽出され、ルーティングテーブルに本IPアドレスが存在するか否か判断される。ここでは、デフォルト・ルートが登録されているため、存在するものと判断されることとなる。   Here, when the terminal 400 spoofs the IP address as [192.168.1.250/0] and sends an IP packet, the IP network device 1200c uses [192.168.1. .250 / 0] is extracted, and it is determined whether or not the IP address exists in the routing table. Here, since the default route is registered, it is determined that it exists.

このように、従来技術のIPネットワーク装置1200cでは、送信元IPアドレス詐称トラヒックであっても、正当なIPパケットとして処理される。   As described above, in the IP network device 1200c according to the prior art, even a source IP address spoofed traffic is processed as a legitimate IP packet.

次に、本実施形態のIPネットワーク装置200の場合の例を説明する。図11は、本実施形態IPネットワーク装置200による制御を説明するための図である。   Next, an example in the case of the IP network device 200 of the present embodiment will be described. FIG. 11 is a diagram for explaining control by the IP network device 200 according to the present embodiment.

端末400が配下に接続されると、本実施形態のIPネットワーク装置200は、隣接するIPネットワーク装置200cに、UPDATEメッセージおよびその付加情報を用いて、経路情報(デフォルト・ルート)、ネクストホップ(C)、端末400aに割り当てられた正規のIPアドレス、および、当該IPアドレスが詐称された場合の処理(不図示)を通知する(1111)。   When the terminal 400 is connected to the subordinate, the IP network device 200 according to the present embodiment uses the UPDATE message and its additional information to the adjacent IP network device 200c to transmit route information (default route), next hop (C ), A normal IP address assigned to the terminal 400a and a process (not shown) when the IP address is spoofed are notified (1111).

以上の情報をインタフェースモジュール部201Bを介して受信したIPネットワーク装置200cは、認証IPアドレステーブルの、Source Network7aに、デフォルト・ルートを、Ingress I/F7bに、受信したインタフェースモジュール部201Bを特定する情報であるBを、認証IPアドレス7cに、受信した端末400の正規のIPアドレスである〔192.168.0.250/0〕を、詐称時処理7dに受信した詐称時処理(不図示)を、それぞれ登録する(1112)。   The IP network device 200c that has received the above information via the interface module unit 201B specifies information that identifies the received interface module unit 201B in the source network 7a, the default route, and the ingress I / F 7b in the authentication IP address table. B is the authentication IP address 7c, and the received IP address [192.168.0.250/0] of the received terminal 400 is the spoofing process 7d. , Respectively (1112).

ここで、端末400がIPアドレスを、〔192.168.1.250/0〕として詐称してIPパケットを送出した場合、インタフェースモジュール部201Bを介して当該IPパケットを受信したIPネットワーク装置200cは、送信元IPアドレスである〔192.168.1.250/0〕およびインタフェースモジュール部201Bの組み合わせのデータが、認証IPアドレステーブル2040の認証IPアドレス7cおよびIngress I/F7bに存在するか否かを判別する。ここでは、存在しないため、受信したIPパケットを、送信元IPアドレス詐称トラヒックと判断する。そして、IPネットワーク装置200cは、詐称されたIPアドレス〔192.168.1.250/0〕に対応づけて登録されている詐称時処理7dを行う。   Here, when the terminal 400 spoofs the IP address as [192.168.1.250/0] and sends an IP packet, the IP network device 200c that has received the IP packet via the interface module unit 201B Whether the data of the combination of the source IP address [192.168.1.250/0] and the interface module unit 201B exists in the authentication IP address 7c and the Ingress I / F 7b of the authentication IP address table 2040. Is determined. Here, since it does not exist, it is determined that the received IP packet is a source IP address spoofed traffic. Then, the IP network device 200c performs a spoofing process 7d registered in association with the spoofed IP address [192.168.1.250/0].

以上説明したように、本実施形態のIPネットワーク装置200による送信元IPアドレス詐称トラヒックの制御技術によれば、従来のイングレスフィルタリングでは判別できなかった送信元IPアドレスを詐称している疑惑のあるパケット(送信元IPアドレス詐称トラヒック)まで判別することができる。さらに、判別した送信元IPアドレス詐称トラヒックに対し、予め認証情報記憶部204に登録されている処理(詐称時処理)を行うことができる。そして、この詐称時処理は、管理者によって所望の処理を設定することができる。従って、送信元IPアドレス詐称トラヒックに対し、柔軟な制御が可能となる。   As described above, according to the control technique of the source IP address spoofing traffic by the IP network device 200 of this embodiment, there is a suspicious packet spoofing the source IP address that could not be determined by the conventional ingress filtering. It is possible to determine up to (sender IP address spoofed traffic). Furthermore, the process (falsification process) registered in advance in the authentication information storage unit 204 can be performed on the determined source IP address spoofed traffic. And this process at the time of misrepresentation can set a desired process by the administrator. Therefore, flexible control is possible for the source IP address spoofed traffic.

このように本実施形態では、廃棄だけでなく、不正進入検知装置に送信元IPアドレス詐称疑惑パケットを転送するなどの処理ができるため、送信元IPアドレス詐称疑惑パケットを解析し状況に応じた対処を行うことも可能となる。従って、IPネットワーク機器の効率的な転送機能を維持しつつ、送信元IPアドレス詐称疑惑パケットによるDos攻撃、DDoS攻撃を効果的に防御することができる。   As described above, in the present embodiment, not only discarding but also processing such as forwarding a source IP address spoofed suspicious packet to an unauthorized intrusion detection device can be performed. Can also be performed. Accordingly, it is possible to effectively prevent a Dos attack and a DDoS attack caused by a suspicious source IP address spoofing packet while maintaining an efficient transfer function of the IP network device.

また、インターネット上で一般に用いられている既存のBGPに則り、認証IPアドレスおよび詐称時処理を広告する構成をとっているため、多種多様のIPネットワーク間で、本実施形態の送信元IPアドレス詐称トラヒック制御技術を、簡易な構成で実現することができる。   In addition, since the authentication IP address and the spoofing process are advertised in accordance with the existing BGP generally used on the Internet, the source IP address spoofing of this embodiment is performed between various IP networks. The traffic control technology can be realized with a simple configuration.

本実施形態のIPネットワークシステムのシステム構成図である。1 is a system configuration diagram of an IP network system according to an embodiment. 本実施形態のIPネットワーク装置の機能構成図である。It is a functional block diagram of the IP network apparatus of this embodiment. 本実施形態の認証IPアドレステーブル2040一例を示す図である。It is a figure which shows an example of the authentication IP address table 2040 of this embodiment. Path Attributeフィールドのフォーマットを説明するための図である。It is a figure for demonstrating the format of a Path Attribute field. 本実施形態の認証Attributeフィールドを説明するための図である。It is a figure for demonstrating the authentication Attribute field of this embodiment. 本実施形態の制御Attributeフィールドを説明するための図である。It is a figure for demonstrating the control Attribute field of this embodiment. 本実施形態の認証情報生成処理の処理シーケンスである。It is a processing sequence of the authentication information generation process of this embodiment. 本実施形態の転送処理の処理フローである。It is a processing flow of the transfer process of this embodiment. 本実施形態のIPネットワークシステムでの処理シーケンスである。It is a processing sequence in the IP network system of this embodiment. 従来のIPネットワーク装置による制御を説明するための図である。It is a figure for demonstrating the control by the conventional IP network apparatus. 本実施形態のIPネットワーク装置による制御を説明するための図である。It is a figure for demonstrating the control by the IP network apparatus of this embodiment.

符号の説明Explanation of symbols

100:外部ネットワーク、200a:IPネットワーク装置、200b:IPネットワーク装置、200c:IPネットワーク装置、400a1:端末、400a2:端末、400b1:端末、400c1:端末、400c2:端末、500:不正侵入検知装置、600a:伝送路、600b:伝送路、600c:伝送路、200:IPネットワーク装置、201A:インタフェースモジュール部、201B:インタフェースモジュール部、202:IPアドレス抽出部、203:送信元IP詐称監視処理部、204:認証情報記憶部、205:ルーティング処理部、206:フォワーディングテーブル格納部、207:ルーティングテーブル格納部、208:構成定義処理部 100: external network, 200a: IP network device, 200b: IP network device, 200c: IP network device, 400a1: terminal, 400a2: terminal, 400b1: terminal, 400c1: terminal, 400c2: terminal, 500: unauthorized intrusion detection device, 600a: transmission path, 600b: transmission path, 600c: transmission path, 200: IP network device, 201A: interface module section, 201B: interface module section, 202: IP address extraction section, 203: source IP spoofing monitoring processing section, 204: Authentication information storage unit, 205: Routing processing unit, 206: Forwarding table storage unit, 207: Routing table storage unit, 208: Configuration definition processing unit

Claims (7)

複数の端末を伝送路を介して収容し、予め保持するルーティング情報に従って、受信したIPパケットを転送するIPネットワーク装置であって、
隣接する他のIPネットワーク装置毎に設けられ、隣接する他のIPネットワーク装置からIPパケットをそれぞれ受信するインタフェースと、
前記インタフェースで受信したIPパケットの送信元IPアドレスを抽出するIPアドレス抽出手段と、
前記隣接する他のIPネットワーク装置が収容する端末のIPアドレスと、当該他のIPネットワーク装置からのIPパケットを受信する前記インタフェースを特定する情報と、当該IPアドレスが送信元IPアドレスとして詐称された場合の処理である詐称時処理とを対応づけて保持する認証情報記憶手段と、
前記IPパケットを受信したインタフェースと、前記IPアドレス抽出手段が抽出した当該IPパケットの送信元IPアドレスとが前記認証情報記憶手段に対応づけて保持されている場合、正当なIPパケットと判別する送信元IPアドレス詐称監視処理手段と、
前記送信元IPアドレス詐称監視処理手段において正当なIPパケットと判別された場合、ルーティング処理を行い、正当なIPパケットと判別されなかった場合、前記IPアドレス抽出手段が抽出した送信元IPアドレスに対応づけて前記認証情報記憶手段に保持される前記詐称時処理を行うルーティング処理手段と、を備えること
を特徴とするIPネットワーク装置。 An IP network device that accommodates a plurality of terminals via a transmission path and transfers received IP packets according to routing information held in advance,
An interface that is provided for each other adjacent IP network device and receives IP packets from other adjacent IP network devices;
IP address extracting means for extracting a source IP address of an IP packet received at the interface;
The IP address of the terminal accommodated by the other adjacent IP network device, the information specifying the interface that receives the IP packet from the other IP network device, and the IP address were spoofed as the source IP address An authentication information storage means that associates and holds a fraud processing that is a process in a case,
When the interface that has received the IP packet and the source IP address of the IP packet extracted by the IP address extracting unit are held in association with the authentication information storage unit, the transmission is determined to be a legitimate IP packet. Former IP address spoofing monitoring processing means,
If the source IP address spoofing monitoring processing unit determines that the packet is a legitimate IP packet, routing processing is performed. If the IP address is not determined to be a legitimate IP packet, the IP address extraction unit corresponds to the source IP address extracted. An IP network device comprising: routing processing means for performing the spoofing process held in the authentication information storage means. 請求項1記載のIPネットワーク装置であって、
自身が収容する端末のIPアドレスと、当該IPアドレスが詐称された場合の前記詐称時処理をメッセージの付加情報として生成し、隣接する他のIPネットワーク装置に送信するとともに、隣接する他のIPネットワーク装置から前記付加情報を受け取ると、受信したインタフェースに対応づけて、前記付加情報に含まれるIPアドレスと詐称時処理とを前記認証情報記憶部に保持する構成定義処理手段をさらに備えること
を特徴とするIPネットワーク装置。 The IP network device according to claim 1,
The IP address of the terminal accommodated by itself and the above-described processing for spoofing when the IP address is spoofed are generated as additional information of the message, transmitted to other adjacent IP network devices, and other adjacent IP networks When the additional information is received from a device, the information processing apparatus further comprises a configuration definition processing unit that holds the IP address included in the additional information and the processing for fraud in the authentication information storage unit in association with the received interface. IP network device. 請求項2記載のIPネットワーク装置であって、
前記付加情報は、UPDATEメッセージのPath Attributeフィールドを用い、前記IPアドレスおよび前記詐称時処理それぞれについてについてそれぞれ生成すること
を特徴とするIPネットワーク装置。 The IP network device according to claim 2, wherein
The IP network device, wherein the additional information is generated for each of the IP address and the spoofing process using a Path Attribute field of an UPDATE message. 請求項1から3いずれか1項記載のIPネットワーク装置であって、
前記詐称時処理には、当該IPパケットの廃棄、当該IPパケットの転送、当該IPパケットを解析する、の各処理を含むこと
を特徴とするIPネットワーク装置。 The IP network device according to any one of claims 1 to 3,
The IP network device characterized in that the spoofing process includes processing of discarding the IP packet, transferring the IP packet, and analyzing the IP packet. 複数の端末を伝送路を介して収容し、予め保持するルーティング情報に従って、受信したIPパケットを転送するIPネットワーク装置を複数有するIPネットワークシステムであって、
前記IPネットワーク装置それぞれは、
隣接する他の前記IPネットワーク装置毎に設けられ、隣接する他のIPネットワーク装置からIPパケットをそれぞれ受信するインタフェースと、
前記インタフェースで受信したIPパケットの送信元IPアドレスを抽出するIPアドレス抽出手段と、
前記隣接する他のIPネットワーク装置が収容する端末のIPアドレスと、当該他のIPネットワーク装置からのIPパケットを受信する前記インタフェースを特定する情報と、当該IPアドレスが詐称された場合の処理である詐称時処理とを対応づけて保持する認証情報記憶手段と、
前記IPパケットを受信したインタフェースと、前記IPアドレス抽出手段が抽出した当該IPパケットの送信元IPアドレスとが前記認証情報記憶手段に対応づけて保持されている場合、正当なIPパケットと判別する送信元IPアドレス詐称監視処理手段と、
前記送信元IPアドレス詐称監視処理手段において正当なIPパケットと判別された場合、ルーティング処理を行い、正当なIPパケットと判別されなかった場合、前記IPアドレス抽出手段が抽出した送信元IPアドレスに対応づけて前記認証情報記憶手段に保持される前記詐称時処理を行うルーティング処理手段と、を備えること
を特徴とするIPネットワークシステム。 An IP network system having a plurality of IP network devices for accommodating a plurality of terminals via a transmission line and transferring received IP packets according to routing information held in advance,
Each of the IP network devices
An interface that is provided for each of the other adjacent IP network devices and receives IP packets from the other adjacent IP network devices;
IP address extracting means for extracting a source IP address of an IP packet received at the interface;
This is processing when an IP address of a terminal accommodated in the other adjacent IP network device, information specifying the interface that receives an IP packet from the other IP network device, and the IP address are spoofed. An authentication information storage means that holds and associates fraud processing;
When the interface that has received the IP packet and the source IP address of the IP packet extracted by the IP address extracting unit are held in association with the authentication information storage unit, the transmission is determined to be a legitimate IP packet. Former IP address spoofing monitoring processing means,
If the source IP address spoofing monitoring processing unit determines that the packet is a legitimate IP packet, routing processing is performed. If the IP address is not determined to be a legitimate IP packet, the IP address extraction unit corresponds to the source IP address extracted. An IP network system comprising: routing processing means for performing the spoofing process held in the authentication information storage means. 複数の端末を伝送路を介して収容し、予め保持するルーティング情報に従って、受信したIPパケットを転送するIPネットワーク装置による送信元IPアドレス詐称IPパケット制御方法であって、
隣接する他のIPネットワーク装置毎に予め設定されているインタフェースを介して当該隣接する他のIPネットワーク装置からIPパケットを受信するIPパケット受信ステップと、
前記受信したIPパケットから送信元IPアドレスを抽出するIPアドレス抽出ステップと、
前記受信したIPパケットの送信元IPアドレスの正当性を判別する正当性判別ステップと、
前記正当性判別ステップで送信元IPアドレスが正当と判別されたIPパケットを転送するとともに、正当と判別されなかったIPパケットに対し、前記送信元IPアドレスが詐称された場合に行う処理として予め定めた処理を行う転送ステップと、を備え、
前記正当性判別ステップは、
予め保持する認証情報に、前記IPパケットを受信したインタフェースと、前記抽出した送信元IPアドレスとが、対応づけて登録されている場合、前記受信したIPパケットの送信元IPアドレスを正当と判別すること
を特徴とする送信元IPアドレス詐称IPパケット制御方法。 A source IP address spoofing IP packet control method by an IP network device that accommodates a plurality of terminals via a transmission line and transfers a received IP packet according to routing information held in advance,
An IP packet receiving step of receiving an IP packet from the other adjacent IP network device via an interface set in advance for each other adjacent IP network device;
An IP address extracting step of extracting a source IP address from the received IP packet;
A legitimacy determining step of determining the legitimacy of the source IP address of the received IP packet;
The IP packet whose source IP address is determined to be valid in the legitimacy determination step is forwarded, and predetermined processing is performed when the source IP address is spoofed for an IP packet that is not determined to be valid. A transfer step for performing the processing,
The legitimacy determining step includes
If the interface that received the IP packet and the extracted source IP address are registered in association with the authentication information held in advance, it is determined that the source IP address of the received IP packet is valid A source IP address spoofing IP packet control method characterized by the above. コンピュータを、
隣接する他のIPネットワーク装置毎に設けられ、隣接する他のIPネットワーク装置からIPパケットをそれぞれ受信するインタフェースと、
前記インタフェースで受信したIPパケットの送信元IPアドレスを抽出するIPアドレス抽出手段と、
前記隣接する他のIPネットワーク装置が収容する端末のIPアドレスと、当該他のIPネットワーク装置からのIPパケットを受信する前記インタフェースを特定する情報と、当該IPアドレスが送信元IPアドレスとして詐称された場合の処理である詐称時処理とを対応づけて保持する認証情報記憶手段と、
前記IPパケットを受信したインタフェースと、前記IPアドレス抽出手段が抽出した当該IPパケットの送信元IPアドレスとが前記認証情報記憶手段に対応づけて保持されている場合、正当なIPパケットと判別する送信元IPアドレス詐称監視処理手段と、
前記送信元IPアドレス詐称監視処理手段において正当なIPパケットと判別された場合、ルーティング処理を行い、正当なIPパケットと判別されなかった場合、前記IPアドレス抽出手段が抽出した送信元IPアドレスに対応づけて前記認証情報記憶手段に保持される前記詐称時処理を行うルーティング処理手段と、して機能させるためのプログラム。 Computer
An interface that is provided for each other adjacent IP network device and receives IP packets from other adjacent IP network devices;
IP address extracting means for extracting a source IP address of an IP packet received at the interface;
The IP address of the terminal accommodated by the other adjacent IP network device, the information specifying the interface that receives the IP packet from the other IP network device, and the IP address were spoofed as the source IP address An authentication information storage means that associates and holds a fraud processing that is a process in a case,
When the interface that has received the IP packet and the source IP address of the IP packet extracted by the IP address extracting unit are held in association with the authentication information storage unit, the transmission is determined to be a legitimate IP packet. Former IP address spoofing monitoring processing means,
If the source IP address spoofing monitoring processing unit determines that the packet is a legitimate IP packet, routing processing is performed. If the IP address is not determined to be a legitimate IP packet, the IP address extraction unit corresponds to the source IP address extracted. A program for functioning as routing processing means for performing the spoofing process held in the authentication information storage means.
JP2006199429A 2006-07-21 2006-07-21 IP network device capable of controlling source IP address spoofed IP packet and source IP address spoofed IP packet control method Pending JP2008028720A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006199429A JP2008028720A (en) 2006-07-21 2006-07-21 IP network device capable of controlling source IP address spoofed IP packet and source IP address spoofed IP packet control method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006199429A JP2008028720A (en) 2006-07-21 2006-07-21 IP network device capable of controlling source IP address spoofed IP packet and source IP address spoofed IP packet control method

Publications (1)

Publication Number Publication Date
JP2008028720A true JP2008028720A (en) 2008-02-07

Family

ID=39118912

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006199429A Pending JP2008028720A (en) 2006-07-21 2006-07-21 IP network device capable of controlling source IP address spoofed IP packet and source IP address spoofed IP packet control method

Country Status (1)

Country Link
JP (1) JP2008028720A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011135243A (en) * 2009-12-24 2011-07-07 Kddi Corp Handover method of mobile terminal through ip network, system, access gateway, and program
JP2019033320A (en) * 2017-08-04 2019-02-28 日本電信電話株式会社 Attack response system and attack response method

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011135243A (en) * 2009-12-24 2011-07-07 Kddi Corp Handover method of mobile terminal through ip network, system, access gateway, and program
JP2019033320A (en) * 2017-08-04 2019-02-28 日本電信電話株式会社 Attack response system and attack response method

Similar Documents

Publication Publication Date Title
CN101030977B (en) Device for protection against illegal communications and network system thereof
US8484372B1 (en) Distributed filtering for networks
US7167922B2 (en) Method and apparatus for providing automatic ingress filtering
CN113132342B (en) Method, network device, tunnel entry point device and storage medium
CN1640090B (en) An apparatus and method for secure, automated response to distributed denial of service attacks
US7823202B1 (en) Method for detecting internet border gateway protocol prefix hijacking attacks
US7360245B1 (en) Method and system for filtering spoofed packets in a network
US6973040B1 (en) Method of maintaining lists of network characteristics
US10931711B2 (en) System of defending against HTTP DDoS attack based on SDN and method thereof
US20040196843A1 (en) Protection of network infrastructure and secure communication of control information thereto
US8320249B2 (en) Method and system for controlling network access on a per-flow basis
CN107690004B (en) Method and device for processing address resolution protocol message
US20150207729A1 (en) Tying data plane paths to a secure control plane
JP4808573B2 (en) System, method, and program for identifying the source of malicious network messages
Yao et al. VASE: Filtering IP spoofing traffic with agility
JPWO2015174100A1 (en) Packet transfer device, packet transfer system, and packet transfer method
JP5178573B2 (en) Communication system and communication method
JP2004248185A (en) System for protecting network-based distributed denial of service attack and communication device
JP2004164107A (en) Unauthorized access monitoring system
JP2008028720A (en) IP network device capable of controlling source IP address spoofed IP packet and source IP address spoofed IP packet control method
JP4641848B2 (en) Unauthorized access search method and apparatus
JP2003298628A (en) Server protection network system, server and router
JP2004096246A (en) Data transmission method, data transmission system and data transmission device
CN111431913B (en) Method and device for detecting existence of router advertisement protection mechanism
JP3917557B2 (en) Network attack prevention device, network attack prevention method, network attack prevention program, and recording medium recording the program