JP2008141398A - RELAY DEVICE AND RELAY DEVICE CONTROL METHOD - Google Patents
RELAY DEVICE AND RELAY DEVICE CONTROL METHOD Download PDFInfo
- Publication number
- JP2008141398A JP2008141398A JP2006324524A JP2006324524A JP2008141398A JP 2008141398 A JP2008141398 A JP 2008141398A JP 2006324524 A JP2006324524 A JP 2006324524A JP 2006324524 A JP2006324524 A JP 2006324524A JP 2008141398 A JP2008141398 A JP 2008141398A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- connection request
- connection
- request packet
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Communication Control (AREA)
Abstract
Description
発明は、ネットワークにおいて、ワームに感染した疑いのある端末を特定することができ、ワームが発信したと疑われるコネクション接続要求が送信されることを阻止することができる中継装置および中継装置の制御方法に関するものである。 The invention can identify a terminal suspected of being infected with a worm in a network and can prevent a connection connection request suspected of being transmitted by the worm from being transmitted. It is about.
コンピュータウィルスの一種であるワームは、不特定多数の端末宛に接続要求を行うスキャニングによりネットワーク上に存在する端末を特定し、その端末に対して攻撃を行うといった動作を行うものが多い。そのため、ワームの感染拡大を抑制するためには、端末のコネクション接続動作からワームに感染した疑いのある端末を特定して、その端末を隔離したり、通信データをフィルタリングして、ワームのコネクション接続を妨害することが有効である。 A worm, which is a type of computer virus, often performs operations such as specifying a terminal existing on a network by scanning for connection requests to an unspecified number of terminals, and attacking the terminals. Therefore, in order to suppress the spread of worm infection, identify the terminal suspected of being infected with the worm from the connection connection operation of the terminal, isolate the terminal, filter the communication data, and connect the worm It is effective to obstruct.
従来のコネクション接続制限は、例えば、ネットワークにブロードキャストされるARP(Address Resolution Protocol:アドレス解決プロトコル)Requestパケットをサーバで受信し、それと同一宛先へのARP Requestパケットをサーバからも送信してARP Replyパケットの受信有無を確認し、ARP Replyパケットが返ってこないARP Requestパケット送信数が一定数に達した端末や、中継装置からICMP(Internet Control Message Protocol)Destination Unreachableパケットを転送してもらい、その数が一定数に達した端末をワーム感染端末と判断し、該当端末の通信パケットを廃棄するようにネットワーク内の中継装置に指示していた(例えば、特許文献1参照)。 For example, the conventional connection connection limitation is such that an ARP (Address Resolution Protocol) Request packet broadcast to the network is received by the server, and an ARP Request packet to the same destination is also transmitted from the server to send an ARP Reply packet. The number of ARP Request packets transmitted for which no ARP Reply packet has been returned or a relay device has received an ICMP (Internet Control Message Protocol) Destination Unreachable packet from the terminal. A terminal that reaches a certain number is determined to be a worm-infected terminal, and the communication packet of the corresponding terminal is discarded. It was instructed to relay device in the network (e.g., see Patent Document 1).
また、他の方法として、端末において接続完了待ちのTCP(Transmission Control Protocol)コネクション数を一定周期で確認し、このコネクション数がしきい値を超えた場合にワームに感染したと判断して、該当するTCPコネクションの接続要求を行っているデータベースを削除する方法も提案されている(例えば、特許文献2参照)。 As another method, the terminal confirms the number of TCP (Transmission Control Protocol) connections waiting for connection completion in a certain period, and determines that the worm is infected when the number of connections exceeds a threshold. There has also been proposed a method of deleting a database making a connection request for a TCP connection (for example, see Patent Document 2).
従来のコネクション接続制限は、TCPのコネクション接続要求を端末で監視して異常を検出していた。しかし、企業のネットワークにおいて多数の端末全てでコネクション接続制限を実施するのは運用コストが大きい。そのため、ネットワークに専用のサーバを設置して異常を検出する方法が提案されたが、この場合、ユニキャストで送信されるTCPパケットでコネクション接続要求を監視することは困難のため、ARP RequestパケットとARP ReplyパケットおよびICMP Destination Unreachableパケットを用いて異常を検出していた。 In the conventional connection connection restriction, an abnormality is detected by monitoring a TCP connection connection request at a terminal. However, it is expensive to perform connection restriction on all of a large number of terminals in a corporate network. For this reason, a method for detecting anomalies by installing a dedicated server in the network has been proposed. In this case, since it is difficult to monitor a connection connection request with a TCP packet transmitted by unicast, an ARP Request packet and An abnormality was detected using an ARP Reply packet and an ICMP Destination Unreachable packet.
しかし、ルータを経由する宛先の場合、TCPがコネクション接続要求に用いる、SYNフラグがONでACKフラグがOFFのTCPパケット(以後、TCP SYNパケットと呼ぶ)は、一旦ルータ宛に送信後に中継されるため、ARPによるアドレス解決を必要としない。更に、近年、セキュリティ上の理由から、ICMP Destination Unreachableパケットを送信しないルータや端末が多数存在するため、ICMP Destination Unreachableパケットでは、コネクション接続失敗を検出することが困難であるという問題点があった。 However, in the case of a destination via a router, a TCP packet (hereinafter referred to as a TCP SYN packet) that is used for a connection connection request by TCP and whose SYN flag is ON and ACK flag is OFF (hereinafter referred to as TCP SYN packet) is relayed after being transmitted to the router. Therefore, address resolution by ARP is not required. Furthermore, in recent years, for security reasons, there are many routers and terminals that do not transmit ICMP Destination Unreachable packets. Therefore, it is difficult for ICMP Destination Unreachable packets to detect connection failure.
また、L2スイッチング技術の進歩により、これまでルータの適用が必要だった規模のネットワークが、L2スイッチのみで運用されることが可能となっている。ルータでネットワークが多数のブロードキャストドメインに細かく分割されている場合、ワームが送信する不特定多数のコネクション接続要求パケットの大多数はルータを経由することになるため、ARPによるアドレス解決を必要とせず、従って、TCP SYNパケットを監視することでほとんどのコネクション接続失敗を検出することができた。 In addition, with the advancement of L2 switching technology, a network of a scale that previously required application of a router can be operated only by an L2 switch. If the router divides the network into many broadcast domains, the majority of unspecified connection connection request packets sent by the worm go through the router, so there is no need for ARP address resolution. Therefore, most connection connection failures could be detected by monitoring the TCP SYN packet.
しかし、大規模なブロードキャストドメインで構成されるネットワークでは、ワームの送信するコネクション接続要求パケットのかなりの量がARPによるアドレス解決に失敗するため、TCP SYNパケットのみを監視したのでは、コネクション接続失敗を効果的に検出することが困難であるという問題点があった。特に、感染端末の属するブロードキャストドメインから優先的に攻撃するワームの場合、TCP SYNパケットによるコネクション接続失敗でワーム感染が検出されたときには、大規模なブロードキャストドメイン内にワームの感染が広まってしまっていることが考えられる。 However, in a network composed of large-scale broadcast domains, a considerable amount of connection connection request packets sent by the worm fail to resolve addresses by ARP. Therefore, if only TCP SYN packets are monitored, connection connection failure may occur. There was a problem that it was difficult to detect effectively. In particular, in the case of a worm that preferentially attacks from the broadcast domain to which the infected terminal belongs, when a worm infection is detected due to a connection failure due to a TCP SYN packet, the infection of the worm has spread within a large broadcast domain. It is possible.
この発明は上述のような課題を解決するためになされたもので、コネクション接続の失敗を監視することにより、ワームに感染した疑いのある端末を特定して、ワームが発信したと疑われるコネクション接続要求が送信されることを阻止することができる中継装置および中継装置の制御方法を提供することを目的とする。 The present invention has been made to solve the above-described problems, and by monitoring a connection connection failure, a terminal suspected of being infected with a worm is identified, and a connection connection suspected to be originated by the worm. It is an object of the present invention to provide a relay apparatus and a relay apparatus control method capable of preventing a request from being transmitted.
上記課題を解決するために、この発明に係る中継装置は、ネットワークに端末を収容してパケットを中継する中継装置において、中継するパケットの中から接続要求パケットおよび接続応答パケットを抽出するパケット抽出部と、送信した接続要求パケットの宛先情報を、対応する接続応答パケットが受信されるか、あるいは、一定時間経過するまで、各接続要求パケット毎に記憶しておく宛先データベースと、宛先データベースに記憶されている宛先情報について、送信元アドレス毎に応答待ち宛先数を算出する応答待ち宛先数算出部と、接続要求パケットの送信元アドレスの応答待ち宛先数が予め設定した閾値に達していた場合、当該接続要求パケットを送信せずに廃棄する送信抑制部とを備えたことを特徴とする。 In order to solve the above problems, a relay apparatus according to the present invention includes a packet extraction unit that extracts a connection request packet and a connection response packet from relayed packets in a relay apparatus that accommodates a terminal in a network and relays a packet. The destination information of the transmitted connection request packet is stored for each connection request packet until the corresponding connection response packet is received or until a predetermined time elapses, and the destination database stores the destination information. Response destination number calculating unit that calculates the number of response waiting destinations for each source address, and the number of response waiting destinations of the source address of the connection request packet has reached a preset threshold, And a transmission suppressing unit that discards the connection request packet without transmitting it.
また、この発明に係る中継装置の制御方法は、ネットワークに端末を収容してパケットを中継する中継装置の制御方法において、中継するパケットの中から接続要求パケットおよび接続応答パケットを抽出するパケット抽出工程と、送信した接続要求パケットの宛先情報を、対応する接続応答パケットが受信されるか、あるいは、一定時間経過するまで、各接続要求パケット毎に応答待ち宛先データベースに記憶する記憶工程と、宛先データベースに記憶されている宛先情報について、送信元アドレス毎に応答待ち宛先数を算出する算出工程と、接続要求パケットの送信元アドレスの応答待ち宛先数が予め設定した閾値に達していた場合、当該接続要求パケットを送信せずに廃棄する送信抑制工程とを備えたことを特徴とする。 Also, the relay device control method according to the present invention provides a packet extraction step of extracting a connection request packet and a connection response packet from the relayed packets in the relay device control method of accommodating a terminal in a network and relaying a packet. A storage step of storing destination information of the transmitted connection request packet in a response waiting destination database for each connection request packet until a corresponding connection response packet is received or until a predetermined time elapses, and a destination database Calculation process for calculating the number of response-waiting destinations for each source address, and when the number of response-waiting destinations of the source address of the connection request packet has reached a preset threshold value, A transmission suppressing step of discarding the request packet without transmitting it.
この発明によれば、ネットワークに端末を収容してパケットを中継する中継装置において、中継するパケットの中から接続要求パケットおよび接続応答パケットを抽出し、送信した接続要求パケットの宛先情報を、対応する接続応答パケットが受信されるか、あるいは、一定時間経過するまで、宛先データベースに記憶しておき、宛先データベースに記憶されている宛先情報について、送信元アドレス毎に応答待ち宛先数を算出して、接続要求パケットの送信元アドレスの応答待ち宛先数が予め設定した閾値に達していた場合に、当該接続要求パケットを送信せずに廃棄する。このような方法によって、端末のコネクション接続の失敗を監視することにより、ワームに感染した疑いのある端末を特定することができ、この端末からワームが発信した疑いのあるコネクション接続要求が送信されることを阻止することができる。 According to the present invention, in a relay apparatus that accommodates a terminal in a network and relays a packet, a connection request packet and a connection response packet are extracted from the relayed packets, and the destination information of the transmitted connection request packet is associated with Until the connection response packet is received or until a predetermined time elapses, it is stored in the destination database, and for the destination information stored in the destination database, the number of response waiting destinations is calculated for each source address, When the number of response waiting destinations of the source address of the connection request packet has reached a preset threshold value, the connection request packet is discarded without being transmitted. By monitoring the connection failure of the terminal in this way, it is possible to identify the terminal suspected of being infected with the worm, and the connection connection request suspected of being transmitted by the worm is transmitted from this terminal. Can be prevented.
以下、本発明に係る中継装置および中継装置の制御方法の実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。 Embodiments of a relay device and a relay device control method according to the present invention will be described below in detail with reference to the drawings. Note that the present invention is not limited to the embodiments.
実施の形態1.
図1はこの発明に係る実施の形態1の中継装置を用いたネットワークのネットワーク構成図である。図1において、中継装置11〜1Nはこの発明に係る中継装置である。応答待ちデータベース21〜2Nは中継装置11〜1Nにそれぞれ設けられ、接続応答の送信が期待されている接続要求が記録されているデータベースである。端末31〜3MはIP通信によりネットワークサービスをユーザに提供する端末である。内部サーバ4は内部ネットワーク7に設置され端末31〜3Mにネットワークサービスを提供するサーバである。外部サーバ5は外部ネットワーク8に設置され端末31〜3Mにネットワークサービスを提供するサーバである。ルータ6は内部ネットワーク7と外部ネットワーク8をレイヤ3で接続する中継装置である。内部ネットワーク7はブリッジやL2スイッチで接続された1つのブロードキャストドメインを構成するレイヤ2ネットワークである。外部ネットワーク8はインターネットやイントラネットといった複数のルータを用いて構成される大規模なレイヤ3ネットワークである。
Embodiment 1 FIG.
FIG. 1 is a network configuration diagram of a network using the relay device according to the first embodiment of the present invention. In FIG. 1,
図2は中継装置の機能構成を説明するための図1の中継装置11の機能ブロック図である。中継装置11は、宛先データベース21の他に、機能的に分かれたパケット抽出部11aと、応答待ち宛先数算出部11bと、送信抑制部11cとを有している。パケット抽出部11aは、中継する多数のパケットの中から、接続要求パケットおよび接続応答パケットを抽出する(パケット抽出工程)。宛先データベース21は、送信した接続要求パケットの情報(接続要求元IPアドレス、接続要求先IPアドレス、受信時刻)を記憶して(記憶工程)、対応する接続応答パケットが受信するか、あるいは、一定時間経過するとこの情報を削除する。応答待ち宛先数算出部11bは、宛先データベース21に記憶されている宛先について、送信元アドレス毎に応答待ち宛先数を算出する(算出工程)。送信抑制部11は、接続要求パケットの送信元アドレスの応答待ち宛先数が予め設定した閾値に達していた場合、この接続要求パケットを送信せずに廃棄する(送信抑制工程)。
FIG. 2 is a functional block diagram of the
図3は実施の形態1の宛先データベース21〜2Nのデータ構造図である。図2において、接続要求元IPアドレス211には、接続要求パケットの送信元端末のIPアドレスが記載される。接続要求先IPアドレス212には、接続要求パケットの宛先端末のIPアドレスが記載される。受信時刻213には接続要求パケットの受信時刻(送信時刻でもある)が記載される。
FIG. 3 is a data structure diagram of the
次に動作について説明する。まず、内部ネットワーク内の通信動作について、端末31が内部サーバ4に接続要求をする場合で説明する。端末31は内部サーバ4のアドレス解決をするためにARP Requestパケットをブロードキャスト送信する。ARP Requestパケットは中継装置11で受信され、接続要求パケットと判定される。
Next, the operation will be described. First, the communication operation in the internal network will be described in the case where the
中継装置11は、ARP Requestパケットから得られる端末31のIPアドレスを接続要求元IPアドレス211、同様にARP Requestパケットから得られる内部サーバ4のIPアドレスを接続要求先IPアドレス212として、応答待ちデータベース21を検索する。もし、一致する情報があれば、このARP Requestパケットは再送パケットであるので、該当情報の受信時刻213のみ修正し、内部ネットワーク7に中継する。
The
一方、検索した結果、該当情報がなかった場合、中継装置11はARP Requestパケットから得られる端末31のIPアドレスが接続要求元IPアドレス211である情報の登録数を応答待ちデータベース21の中で調査する。そして、登録数が規定値に達していた場合はARP Requestパケットを廃棄する。そうでない場合は、新たにARP Requestパケットの情報を応答待ちデータベース21に登録するとともに、このARP Requestパケットを内部ネットワーク7に中継する。
On the other hand, if there is no corresponding information as a result of the search, the
内部サーバ4は、ARP Requestパケットを受信すると端末31宛にARP Replyパケットを送信する。このパケットは、中継装置11で受信され、接続応答パケットと判定される。中継装置11は、ARP Replyパケットから得られる端末31のIPアドレスを接続要求元IPアドレス211、同様にARP Replyパケットから得られる内部サーバ4のIPアドレスを説億要求先IPアドレス212として、応答待ちデータベース21を検索して、一致する情報が登録されていた場合、その情報を削除する。そして、登録の有無にかかわらず、ARP Replyパケットを端末31に中継する。
When receiving the ARP Request packet, the internal server 4 transmits an ARP Reply packet to the terminal 31. This packet is received by the
端末31では、ARP Replyパケット受信によりアドレス解決が成功したので、次に、TCP SYNパケットを内部サーバ4宛に送信する。TCP SYNパケットは中継装置11で受信され、接続要求パケットと判定され、ARP Requestパケットと同様の処理が実施され、内部ネットワーク7に中継される。
Since the terminal 31 has successfully resolved the address by receiving the ARP Reply packet, it next transmits a TCP SYN packet to the internal server 4. The TCP SYN packet is received by the
TCP SYNパケットを受信した内部サーバ4は、SYNフラグがONでACKフラグがONのTCPパケット(以後、TCP SYN+ACKパケットと呼ぶ)を端末31宛に送信する。TCP SYN+ACKパケットは中継装置11で受信され、接続応答パケットと判定され、ARP Replyパケットと同様の処理が実施され、端末31に中継される。
The internal server 4 that has received the TCP SYN packet transmits to the terminal 31 a TCP packet (hereinafter referred to as a TCP SYN + ACK packet) in which the SYN flag is ON and the ACK flag is ON. The TCP SYN + ACK packet is received by the
TCP SYN+ACKパケットを受信した端末31は、以後、内部サーバ4との通信を継続する。継続以後の通信パケットも中継装置11を経由するが、これらのパケットは接続要求パケットまたは接続応答パケットとは判別されないため、応答待ちデータベース21に登録されることなくそのまま中継される。
The terminal 31 that has received the TCP SYN + ACK packet continues communication with the internal server 4 thereafter. Communication packets after the continuation also pass through the
次に、外部ネットワークとの通信動作について、端末31が外部サーバ5に接続要求をする場合で説明する。端末31は外部サーバ5と通信する場合、ルータ6のMACアドレス宛にIPパケットを送信する。そのため端末31はARP Requestパケットを送信せず、TCP SYNパケットの送信から接続処理を開始する。以後の通信は、端末31と内部サーバ4の場合と全く同様に処理される。
Next, communication operation with an external network will be described in the case where the terminal 31 makes a connection request to the external server 5. When the terminal 31 communicates with the external server 5, the terminal 31 transmits an IP packet addressed to the MAC address of the
次に、タイムアウトによる応答待ちデータベース21のメンテナンス動作について説明する。ネットワーク異常やサーバがダウンしていた場合、接続要求パケットが中継装置11で受信されないため、応答待ちデータベース21に登録された情報が削除されない。そのため、中継装置11では定期的に応答待ちデータベース21の情報の受信時刻213を確認し、規定時間以上経過している情報を削除する。
Next, the maintenance operation of the
次に、端末31がワームに感染し、不特定多数の宛先に対して接続要求パケットの送信を行う場合の動作について説明する。端末31が内部ネットワーク7内の実際には存在しないサーバ宛に接続要求を行う場合、まず、ARP Requestパケットを送信する。このARP Requestパケットは、中継装置11において内部サーバ4宛のARP Requestパケットと全く同様に処理され、応答待ちデータベース21に登録される。このARP Requestパケットに対応するARP Replyパケットは、接続先のサーバが存在しないため、中継装置11においてタイムアウトによるメンテナンス動作が行われるまで削除されない。
Next, an operation when the terminal 31 is infected with a worm and transmits a connection request packet to an unspecified number of destinations will be described. When the terminal 31 makes a connection request to a server that does not actually exist in the
また、端末31が外部ネットワーク8の実際には存在しないサーバ宛に接続要求を行う場合、TCP SYNパケットを送信する。このTCP SYNパケットは外部サーバ5宛のTCP SYNパケットと全く同様に処理され、応答待ちデータベース21に登録される。このTCP SYNパケットに対応するTCP SYN+ACKパケットは、接続先のサーバが存在しないため、中継装置11においてタイムアウトによるメンテナンス動作が行われるまで削除されない。
Further, when the terminal 31 makes a connection request to a server that does not actually exist in the
このように、実際には存在しない端末宛の接続要求パケットの送信を短時間に繰り返すと、応答待ちデータベース21内の端末31を接続要求元IPアドレスとする登録数が増加し、最終的に規定値に達する。以後、タイムアウトによる応答待ちデータベース21のメンテナンスにより、端末31を接続要求元IPアドレスとする情報が削除されるまで、接続要求パケット、すなわち、ARP RequestパケットとTCP SYNパケットは、中継装置11において廃棄される。
As described above, when transmission of connection request packets addressed to terminals that do not actually exist is repeated in a short time, the number of registrations using the terminal 31 in the
以上のように、応答待ちの接続要求を応答待ちデータベースとして記録しておき、端末毎の登録数が規定値に達した場合、以後の接続要求パケットを廃棄するようにしているので、ワームに感染した端末の送信する不特定多数の宛先に送信される接続要求パケットの中継を直ちに抑制することができる。 As described above, connection requests waiting for a response are recorded as a response waiting database, and when the number of registrations for each terminal reaches a specified value, subsequent connection request packets are discarded. It is possible to immediately suppress relay of connection request packets transmitted to an unspecified number of destinations transmitted by the terminal.
また、接続要求パケットとして、ARP RequestパケットとTCP SYNパケットを用いているので、ルータを経由しない接続要求とルータを経由する接続要求の両方を監視することができる。 Further, since the ARP request packet and the TCP SYN packet are used as the connection request packet, it is possible to monitor both the connection request not passing through the router and the connection request passing through the router.
また、タイムアウトによる応答待ちデータベースのメンテナンスで規定時間以上経過した情報の削除を行っているので、ワームに感染したため接続要求の中継が行われなくなった端末が、ワームの駆除により正常な状態に戻った場合、中継装置11について何の設定を行わずとも時間経過により自動的に接続要求の中継が再開できる。
In addition, because the information that exceeds the specified time has been deleted during the maintenance of the database waiting for a response due to timeout, the terminal whose connection request is no longer relayed due to infection with the worm has returned to normal status due to the removal of the worm In this case, the relay of the connection request can be automatically resumed as time elapses without any setting for the
尚、以上の例では、接続要求パケットとしてARP RequestパケットTCP SYNパケット、接続応答パケットとしてARP ReplyパケットとTCP SYN+ACKパケットを用いたが、更に接続要求パケットとしてICMP Echo Requestパケット、接続応答パケットとしてICMP Echo Replyパケットを追加すると、スキャニングにICMP Echoを用いるワームにも対応することができる。 In the above example, the ARP Request packet TCP SYN packet is used as the connection request packet, and the ARP Reply packet and TCP SYN + ACK packet are used as the connection response packet. However, the ICMP Echo Request packet is further used as the connection request packet, and the ICMP Echo packet is used as the connection response packet. By adding a Reply packet, it is possible to cope with a worm that uses ICMP Echo for scanning.
以上の実施の形態1では、IPアドレスのみで接続要求パケットに対応する接続応答パケットを判別するようにしたものであるが、次に、接続要求パケットがTCP SYNパケットの場合、TCPポート番号によりTCP SYNパケットに対応するTCP SYN+ACKパケットを判別する実施の形態を示す。 In the first embodiment described above, the connection response packet corresponding to the connection request packet is determined only by the IP address. Next, when the connection request packet is a TCP SYN packet, the TCP port number is used to specify the TCP. An embodiment for discriminating a TCP SYN + ACK packet corresponding to a SYN packet will be described.
実施の形態2.
図4はこの発明に係る実施の形態2の中継装置の宛先データベースのデータ構造図である。図4において、接続要求元IPアドレス211には、接続要求パケットの送信元端末のIPアドレスが記載される。接続要求先IPアドレス212には、接続要求パケットの宛先端末のIPアドレスが記載される。受信時刻213には接続要求パケットの送信時刻が記載される。プロトコル番号14には接続要求パケットのIPヘッダのプロトコル番号が記述される。接続要求先ポート番号215にはTCP SYNパケットの宛先TCPポート番号が記述される。
Embodiment 2. FIG.
FIG. 4 is a data structure diagram of the destination database of the relay device according to the second embodiment of the present invention. In FIG. 4, the connection request
次に動作について説明する。本実施の形態では、実施の形態1と同様の動作を行うが、応答待ちデータベース21〜2Nに対する検索および登録動作のみが異なる。
Next, the operation will be described. In the present embodiment, the same operation as in the first embodiment is performed, but only the search and registration operations for the
まず、ARP RequestパケットとARP Replyパケット受信時に行われる同一情報の検索処理では、実施の形態1では接続要求元IPアドレス211と接続要求元IPアドレス212が一致するものを検索していたが、実施の形態2では、更にプロトコル番号214が一致するものを検索する。
First, in the same information search processing performed when receiving an ARP Request packet and an ARP Reply packet, the first embodiment searches for a connection request
次に、ARP Requestパケットの登録では、接続要求元IPアドレス211と接続要求元IPアドレス212に加え、プロトコル番号215を登録する。次に、TCP SYNパケットとTCP SYN+ACKパケット受信時に行われる同一情報の検索処理では、実施の形態1では接続要求元IPアドレス211と接続要求元IPアドレス212が一致するものを検索していたが、実施の形態2では、更にプロトコル番号214と接続要求先ポート番号215が一致するものを検索する。TCP SYNパケットでは接続要求先ポート番号215としてTCPの宛先ポート番号を使用する。TCP SYN+ACKパケットでは接続要求先ポート番号215としてTCPの送信元ポート番号を使用する。これ以外の処理以外は、実施の形態2は実施の形態1と全く同様の処理を行う。
Next, in the registration of the ARP request packet, the
以上のように、応答待ちデータベースにIPアドレスのほか、TCPのポート番号を記録しているので、同一サーバへのポートスキャニング動作を行うワームの接続要求パケットの中継を直ちに抑制することができる。 As described above, since the TCP port number is recorded in the response waiting database in addition to the IP address, relaying of the worm connection request packet for performing the port scanning operation to the same server can be immediately suppressed.
尚、以上の例では、接続要求パケットとしてARP RequestパケットTCP SYNパケット、接続応答パケットとしてARP ReplyパケットとTCP SYN+ACKパケットを用いたが、更に接続要求パケットとしてICMP Echo Requestパケット、接続応答パケットとしてICMP Echo Replyパケットを追加すると、スキャニングにICMP Echoを用いるワームにも対応できる。 In the above example, the ARP Request packet TCP SYN packet is used as the connection request packet, and the ARP Reply packet and TCP SYN + ACK packet are used as the connection response packet. However, the ICMP Echo Request packet is further used as the connection request packet, and the ICMP Echo packet is used as the connection response packet. By adding a Reply packet, it is possible to cope with a worm that uses ICMP Echo for scanning.
実施の形態3.
以上の実施の形態では、ARPパケット、TCPパケット、およびICMPパケットを使用したワームのスキャニングに対応したものであるが、次に、UDP(User Datagram Protocol)パケットによるワームのスキャニングにも対応することができる実施の形態を示す。
Embodiment 3 FIG.
In the above embodiment, worm scanning using an ARP packet, TCP packet, and ICMP packet is supported. Next, worm scanning using a UDP (User Datagram Protocol) packet may be supported. Possible embodiments are shown.
図5は、この発明に係る実施の形態3の中継装置の宛先データベースのデータ構造図である。図3において、接続要求元IPアドレス211には、接続要求パケットの送信元端末のIPアドレスが記載される。接続要求先IPアドレス212には、接続要求パケットの宛先端末のIPアドレスが記載される。受信時刻213には接続要求パケットの送信時刻が記載される。プロトコル番号14には接続要求パケットのIPヘッダのプロトコル番号が記述される。接続要求先ポート番号215にはTCP SYNパケットの宛先TCPポート番号もしくはUDPポート番号が記述される。応答フラグ216にはプロトコル番号214がUDPの場合に応答有無が記録される。
FIG. 5 is a data structure diagram of the destination database of the relay device according to the third embodiment of the present invention. In FIG. 3, the connection request
次に動作について説明する。ARPパケット、TCPパケット、ICMPパケットは実施の形態1と同様の処理となるので、UDPパケットの処理について、端末31と外部サーバ5の通信を例に説明する。 Next, the operation will be described. Since the ARP packet, TCP packet, and ICMP packet are processed in the same manner as in the first embodiment, the UDP packet processing will be described by taking communication between the terminal 31 and the external server 5 as an example.
まず、端末31がUDPパケットを送信すると中継装置11で受信される。UDPパケットの場合、UDPヘッダ情報では該当パケットが接続要求パケットか接続応答パケットか、それ以外のパケットかを判別することができないため、端末31のIPアドレスを接続要求元IPアドレス211、外部サーバ5のIPアドレスを接続要求先IPアドレス212、UDPの宛先ポート番号を接続要求先ポート番号215として、プロトコル番号214がUDPである情報が応答待ちデータベース21に登録されているか検索する。該当するエントリが見つかった場合、そのUDPパケットは接続要求パケットの再送パケットもしくは接続完了後のパケットと判断して、受信時刻213のみ修正し、内部ネットワーク7に中継する。
First, when the terminal 31 transmits a UDP packet, it is received by the
該当情報がなかった場合、中継装置11はUDPパケットの送信元IPアドレスが接続要求元IPアドレス211で応答フラグがOFFである情報の登録数を応答待ちデータベース21で調査する。登録数が規定値に達していた場合はUDPパケットを廃棄する。そうでない場合は、新たにUDPパケットを応答待ちデータベース21に応答フラグ216をOFFで登録し、内部ネットワーク7に中継する。
If there is no corresponding information, the
中継装置11は、外部サーバ5から端末31宛のUDPパケットを、内部ネットワーク7を経由して受信すると、接続要求元IPアドレス211を端末31のIPアドレス、接続要求先IPアドレス212を外部サーバ5のIPアドレス、接続要求先ポート番号215をUDPの送信元ポート番号として、プロトコル番号214がUDPである情報を応答待ちデータベース21で検索する。
When the
該当するエントリが見つかった場合、その情報の応答フラグ216をONにして、UDPパケットを端末31に中継する。このとき、情報の削除は行わない。そして、UDPパケットを受信した端末31は、以後、継続して外部サーバ5と通信を行うが、これらのパケットは、応答待ちデータベース216の該当する情報の応答フラグ216がONとなっているため、接続要求パケットとはみなされず、そのまま中継される。
When the corresponding entry is found, the
以上のように、応答待ちデータベースに接続完了したUDP通信の接続要求元IPアドレスと接続要求先IPアドレスおよび接続要求先ポート番号を記録しておき、接続要求パケットして、宛先データベースに記録されてない新たなUDPパケットとARP Requestパケットとを抽出し、接続応答パケットとして、宛先情報と送信元情報とが入れ替わった記録があるUDPパケットとARP Replyパケットとを抽出する。このように、記録のないパケットを接続要求パケット、記録のあるパケットをそれ以外とすることで、UDPによる接続要求パケットを上位層のプロトコルを精査せずに判定して接続要求数を確認および送信制御できるので、UDPを用いたスキャニング動作を行うワームの接続要求パケットの中継を直ちに抑制することができる。 As described above, the connection request source IP address, the connection request destination IP address, and the connection request destination port number of the UDP communication that has been connected to the response waiting database are recorded, and the connection request packet is recorded in the destination database. A new UDP packet and an ARP Request packet that are not present are extracted, and a UDP packet and an ARP Reply packet that have a record in which destination information and transmission source information are switched are extracted as connection response packets. In this way, the packet without a record is a connection request packet, and the packet with a record is other than that, and the connection request packet by UDP is judged without examining the upper layer protocol, and the number of connection requests is confirmed and transmitted. Since it can be controlled, it is possible to immediately suppress the relay of the connection request packet of the worm that performs the scanning operation using UDP.
この発明はネットワークに用いられる中継装置に適用されて好適なものであり、特に大規模なブロードキャストドメインで構成されるネットワークの中継装置に適用されて最適なものである。 The present invention is suitable when applied to a relay device used in a network, and is particularly suitable when applied to a relay device of a network composed of a large-scale broadcast domain.
11〜1N 中継装置
11a パケット抽出部
11b 応答待ち宛先数算出部
11c 送信抑制部
21〜2N 宛先データベース
31〜3N 端末
4 内部サーバ
5 外部サーバ
6 ルータ
7 内部ネットワーク
8 外部ネットワーク
211 接続要求元IPアドレス
212 接続要求先IPアドレス
213 受信時刻
214 プロトコル番号
215 接続要求先ポート番号
216 応答フラグ
11 to 1N
Claims (8)
中継するパケットの中から接続要求パケットおよび接続応答パケットを抽出するパケット抽出部と、
送信した接続要求パケットの宛先情報を、対応する接続応答パケットが受信されるか、あるいは、一定時間経過するまで、各接続要求パケット毎に記憶しておく宛先データベースと、
前記宛先データベースに記憶されている宛先情報について、送信元アドレス毎に応答待ち宛先数を算出する応答待ち宛先数算出部と、
接続要求パケットの送信元アドレスの応答待ち宛先数が予め設定した閾値に達していた場合、当該接続要求パケットを送信せずに廃棄する送信抑制部と
を備えたことを特徴とする中継装置。 In a relay device that accommodates terminals in a network and relays packets,
A packet extractor for extracting a connection request packet and a connection response packet from the relayed packets;
A destination database that stores destination information of the transmitted connection request packet for each connection request packet until a corresponding connection response packet is received or until a predetermined time elapses;
With respect to the destination information stored in the destination database, a response waiting destination number calculating unit that calculates the number of response waiting destinations for each source address;
A relay apparatus, comprising: a transmission suppressing unit that discards a connection request packet without transmitting the connection request packet when the number of response-waiting destination addresses of the connection request packet reaches a preset threshold value.
前記接続応答パケットとして、ARP ReplyパケットとSYNフラグがONでACKフラグがONのTCPパケットとを抽出する
ことを特徴とする請求項1に記載の中継装置。 The packet extraction unit extracts, as the connection request packet, an ARP Request packet and a TCP packet in which the SYN flag is ON and the ACK flag is OFF,
The relay apparatus according to claim 1, wherein an ARP reply packet and a TCP packet in which a SYN flag is ON and an ACK flag is ON are extracted as the connection response packet.
前記接続応答パケットとして、ARP ReplyパケットとICMP Echo Replyパケットとを抽出する
ことを特徴とする請求項1に記載の中継装置。 The packet extraction unit extracts an ARP Request packet and an ICMP Echo Request packet as the connection request packet,
The relay apparatus according to claim 1, wherein an ARP Reply packet and an ICMP Echo Reply packet are extracted as the connection response packet.
前記パケット抽出部は、前記接続要求パケットして、前記宛先データベースに記録されてない新たなUDPパケットとARP Requestパケットとを抽出し、前記接続応答パケットとして、宛先情報と送信元情報とが入れ替わった記録があるUDPパケットとARP Replyパケットとを抽出する
ことを特徴とする請求項1に記載の中継装置。 When the packet to be relayed is a UDP packet, the destination information and the source information are recorded in the destination database,
The packet extraction unit extracts a new UDP packet and an ARP Request packet that are not recorded in the destination database as the connection request packet, and destination information and transmission source information are switched as the connection response packet. The relay apparatus according to claim 1, wherein a UDP packet and an ARP Reply packet having a record are extracted.
中継するパケットの中から接続要求パケットおよび接続応答パケットを抽出するパケット抽出工程と、
送信した接続要求パケットの宛先情報を、対応する接続応答パケットが受信されるか、あるいは、一定時間経過するまで、各接続要求パケット毎に応答待ち宛先データベースに記憶する記憶工程と、
前記宛先データベースに記憶されている宛先情報について、送信元アドレス毎に応答待ち宛先数を算出する算出工程と、
接続要求パケットの送信元アドレスの応答待ち宛先数が予め設定した閾値に達していた場合、当該接続要求パケットを送信せずに廃棄する送信抑制工程と
を備えたことを特徴とする中継装置の制御方法。 In the control method of the relay device that accommodates the terminal in the network and relays the packet,
A packet extraction step for extracting a connection request packet and a connection response packet from the relayed packets;
A storage step of storing destination information of the transmitted connection request packet in a response waiting destination database for each connection request packet until a corresponding connection response packet is received or until a predetermined time elapses;
With respect to the destination information stored in the destination database, a calculation step of calculating the number of response waiting destinations for each source address;
A transmission control step comprising: a transmission suppression step of discarding the connection request packet without transmitting the connection request packet when the number of response waiting destinations of the source address of the connection request packet has reached a preset threshold value Method.
前記接続応答パケットとして、ARP ReplyパケットとSYNフラグがONでACKフラグがONのTCPパケットとを抽出する
ことを特徴とする請求項5に記載の中継装置の制御方法。 The packet extraction step extracts an ARP Request packet and a TCP packet in which the SYN flag is ON and the ACK flag is OFF as the connection request packet,
6. The relay apparatus control method according to claim 5, wherein an ARP reply packet and a TCP packet in which a SYN flag is ON and an ACK flag is ON are extracted as the connection response packet.
前記接続応答パケットとして、ARP ReplyパケットとICMP Echo Replyパケットとを抽出する
ことを特徴とする請求項5に記載の中継装置の制御方法。 The packet extraction step extracts an ARP Request packet and an ICMP Echo Request packet as the connection request packet,
6. The relay apparatus control method according to claim 5, wherein an ARP Reply packet and an ICMP Echo Reply packet are extracted as the connection response packet.
、前記パケット抽出工程は、前記接続要求パケットして、前記宛先データベースに記録されてない新たなUDPパケットとARP Requestパケットとを抽出し、前記接続応答パケットとして、宛先情報と送信元情報とが入れ替わった記録があるUDPパケットとARP Replyパケットとを抽出する
ことを特徴とする請求項5に記載の中継装置の制御方法。 When the packet to be relayed is a UDP packet, the destination information and the source information are recorded in the destination database,
The packet extraction step extracts a new UDP packet and an ARP Request packet that are not recorded in the destination database as the connection request packet, and the destination information and the source information are switched as the connection response packet. 6. The method of controlling a relay apparatus according to claim 5, wherein a UDP packet and an ARP reply packet having a record are extracted.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006324524A JP2008141398A (en) | 2006-11-30 | 2006-11-30 | RELAY DEVICE AND RELAY DEVICE CONTROL METHOD |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006324524A JP2008141398A (en) | 2006-11-30 | 2006-11-30 | RELAY DEVICE AND RELAY DEVICE CONTROL METHOD |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2008141398A true JP2008141398A (en) | 2008-06-19 |
Family
ID=39602432
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006324524A Pending JP2008141398A (en) | 2006-11-30 | 2006-11-30 | RELAY DEVICE AND RELAY DEVICE CONTROL METHOD |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2008141398A (en) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010092235A (en) * | 2008-10-07 | 2010-04-22 | Kddi Corp | Information processing apparatus, program, and recording medium |
| JP2011234153A (en) * | 2010-04-28 | 2011-11-17 | Mitsubishi Electric Corp | Communication device, communication system and incoming-call control method |
| KR20140034045A (en) * | 2012-09-11 | 2014-03-19 | 더 보잉 컴파니 | Detection of infected network devices via analysis of responseless outgoing network traffic |
| WO2017061469A1 (en) * | 2015-10-06 | 2017-04-13 | 日本電信電話株式会社 | Identification system, identification device and identification method |
-
2006
- 2006-11-30 JP JP2006324524A patent/JP2008141398A/en active Pending
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010092235A (en) * | 2008-10-07 | 2010-04-22 | Kddi Corp | Information processing apparatus, program, and recording medium |
| JP2011234153A (en) * | 2010-04-28 | 2011-11-17 | Mitsubishi Electric Corp | Communication device, communication system and incoming-call control method |
| KR20140034045A (en) * | 2012-09-11 | 2014-03-19 | 더 보잉 컴파니 | Detection of infected network devices via analysis of responseless outgoing network traffic |
| JP2014057307A (en) * | 2012-09-11 | 2014-03-27 | Boeing Co | Detection of infected network devices through analysis of unresponsive outgoing network traffic |
| KR102040990B1 (en) * | 2012-09-11 | 2019-11-05 | 더 보잉 컴파니 | Detection of infected network devices via analysis of responseless outgoing network traffic |
| WO2017061469A1 (en) * | 2015-10-06 | 2017-04-13 | 日本電信電話株式会社 | Identification system, identification device and identification method |
| JPWO2017061469A1 (en) * | 2015-10-06 | 2018-02-15 | 日本電信電話株式会社 | SPECIFIC SYSTEM, SPECIFIC DEVICE, AND SPECIFIC METHOD |
| US10972490B2 (en) | 2015-10-06 | 2021-04-06 | Nippon Telegraph And Telephone Corporation | Specifying system, specifying device, and specifying method |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3355514B1 (en) | Method and device for transmitting network attack defense policy and method and device for defending against network attack | |
| JP4557815B2 (en) | Relay device and relay system | |
| US8369346B2 (en) | Method and system for restricting a node from communicating with other nodes in a broadcast domain of an IP (internet protocol) network | |
| EP1906591B1 (en) | Method, device, and system for detecting layer 2 loop | |
| US20080250496A1 (en) | Frame Relay Device | |
| CN107547510B (en) | Neighbor discovery protocol security table item processing method and device | |
| WO2008141584A1 (en) | Message processing method, system, and equipment | |
| US20050243789A1 (en) | Network security system | |
| US20050149829A1 (en) | IP packet error handling apparatus and method using the same, and computer readable medium having computer program for executing the method recorded thereon | |
| KR100533785B1 (en) | Method for preventing arp/ip spoofing automatically on the dynamic ip address allocating environment using dhcp packet | |
| CN102347903A (en) | Data message forwarding method as well as device and system | |
| KR101687811B1 (en) | Design of Agent Type's ARP Spoofing Detection Scheme which uses the ARP probe Packet and Implementation of the Security Solution | |
| US7773540B1 (en) | Methods, system and apparatus preventing network and device identification | |
| JP2008141398A (en) | RELAY DEVICE AND RELAY DEVICE CONTROL METHOD | |
| JP3792654B2 (en) | Network connection apparatus and unauthorized access prevention method | |
| JP2004248185A (en) | System for protecting network-based distributed denial of service attack and communication device | |
| JP4677501B2 (en) | Relay device and relay method | |
| JP4895793B2 (en) | Network monitoring apparatus and network monitoring method | |
| JP4922620B2 (en) | Network system | |
| JP4084317B2 (en) | Worm detection method | |
| JP4542053B2 (en) | Packet relay apparatus, packet relay method, and packet relay program | |
| JP2006165877A (en) | Communication system, communication method, and communication program | |
| JP4319609B2 (en) | Attack path analysis device, attack path analysis method and program | |
| JP4863310B2 (en) | IP satellite communication system and illegal packet intrusion prevention method | |
| JP2005051588A (en) | Automatic filtering method and apparatus |