JP3919488B2 - Data relay apparatus, data relay method, data relay processing program, and computer-readable recording medium recording the data relay processing program - Google Patents
Data relay apparatus, data relay method, data relay processing program, and computer-readable recording medium recording the data relay processing program Download PDFInfo
- Publication number
- JP3919488B2 JP3919488B2 JP2001272867A JP2001272867A JP3919488B2 JP 3919488 B2 JP3919488 B2 JP 3919488B2 JP 2001272867 A JP2001272867 A JP 2001272867A JP 2001272867 A JP2001272867 A JP 2001272867A JP 3919488 B2 JP3919488 B2 JP 3919488B2
- Authority
- JP
- Japan
- Prior art keywords
- network distance
- data
- data communication
- value
- communication device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
【0001】
【発明の属する技術分野】
この発明は、攻撃データが複数のパケットに分割されてネットワークへ送られた際に、その攻撃データを正しく発見したり、無効化する装置等に関するものである。
【0002】
【従来の技術】
従来の技術として、特開2000−354034に「事業:ハッカー監視室」が開示されている。
図14及び図15は、この「事業:ハッカー監視室」を説明する図である。
図14において、100は、データ通信装置が接続可能でパケットの送受信が可能なネットワークA、200は、データ通信装置が接続可能でパケットの送受信が可能なネットワークBである。
2は、ネットワークA100にてターゲットマシン4に対する攻撃データを複数のパケットにて送る攻撃マシンである。
3は、ネットワークA100とネットワークB200の間のパケットの中継を行うルータである。
4は、ネットワークB200にてサービスを提供するターゲットマシンである。
6は、ネットワークA100に接続され、ネットワークA100内のデータ通信装置から送信されたパケットを受信し、受信したパケットの中から攻撃データを検出する攻撃検出システムである。
【0003】
図15は、攻撃検出システム6の内部構成を示しており、61は、ネットワークA100にて通信されるパケットをパケットの宛先にかかわらず受信するパケット受信部である。
62は、パケット受信部61から渡されたパケットを元に通信データを再構成するデータ再構成部である。
63は、攻撃データの特徴である攻撃シグネチャ(攻撃コマンド)を、予め保存しておくシグネチャデータベース(以下、シグネチャDBとする)である。
64は、再構成された通信データと攻撃シグネチャとを比較して攻撃データかどうかを判定する攻撃チェック部である。
【0004】
次に、攻撃検出システム6の動作について説明する。
パケット受信部61は、ネットワークA100に接続されたデータ通信装置より送信されたパケットを受信する。
ここで、例えば、攻撃マシン2よりターゲットマシン4を宛先とする図16(b)〜(d)に示すパケットA、パケットB、パケットCを受信したとする。
次に、データ再構成部62は、パケット受信部61により受信されたパケットのデータ内容の再構成を行う。
図16の例では、パケットA、パケットB、パケットCのそれぞれのデータ内容を組み合わせて図16(e)に示すように、”/cgi−bin/phaf”というデータ内容に再構成する。
次に、攻撃チェック部64が、再構成されたデータ内容と、シグネチャDB63に蓄積されている攻撃シグネチャとを比較し、比較の結果攻撃データであると判定した場合は、その攻撃データを破棄し、攻撃データでないと判断した場合は、宛先のデータ通信装置への転送を許可する。
図16(a)は、シグネチャDB63に蓄積された攻撃シグネチャを示す。
図16(a)の攻撃シグネチャと図16(e)の再構成結果は、データ内容が一致しないため(攻撃シグネチャでは/phf”となっているのに対して再構成結果では/phaf”となっているため)、攻撃チェック部64は、これらパケットA、パケットB、パケットCは攻撃データではないと判断し、これらのパケットの転送を許可する。
【0005】
一方で、図16(b)〜(d)のパケットA、パケットB、パケットCには、それぞれTTL(Time To Live)の値が示されている。
このTTL値は、パケットがネットワークの中に滞在可能な時間(秒数)を示す値であり、ルータ(ゲートウェイ)を通過する度にルータ(ゲートウェイ)の処理に費やした時間が、表示されたTTL値から減算される。ただし、処理時間が1秒に満たない場合や、処理時間を計測できない場合は、少なくとも1秒が減らされる。そして、TTL値が0となった場合には、ルータ(ゲートウェイ)によりそのパケットは破棄されることになる。即ち、TTLは、パケットの有効期間を示す値となる。
また、ルータの処理に費やした時間の代わりに、ホップカウントを用いてTTL値とすることも可能である。つまり、ルータを1つ通過するたびにTTL値を1つづつ減らし、TTL値が0となった時点でルータがパケットを破棄するようにしてもよい。この場合には、TTL値は、パケットが転送されるネットワーク距離を示すことになる。
ここで、パケットAではTTL=5、パケットBではTTL=1、パケットCではTTL=5である。このため、攻撃検出システム6からターゲットマシン4までに必要なTTL値が2〜5の間の場合は、パケットBは途中のルータで破棄され、パケットA及びパケットCのみがターゲットマシン4に到達することになる。
ターゲットマシン4に到達したパケットA及びパケットCのデータ内容は、図16(f)に示すものとなり、これは、結局図16(a)の攻撃シグネチャと一致する結果となる。
【0006】
【発明が解決しようとする課題】
このように、従来の技術においては、攻撃検出システムには到達するものの、ルータを経由するターゲットマシンには到達しないようにTTLを操作したダミーのパケットを、攻撃データの分割された複数のパケットの間に潜り込ませることによって、攻撃シグネチャとして検出不能(見かけ上は攻撃データと判定できない)でありながらターゲットマシンが攻撃されるという問題があった。
そこで、本発明は、このような問題点を解決することを目的とする。
【0007】
【課題を解決するための手段】
本発明に係るデータ中継装置は、
複数のデータ通信装置間のデータ通信を中継するデータ中継装置であって、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継装置からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信部と、
前記データ中継装置から前記送信データの宛先とされた宛先データ通信装置までのネットワーク距離を測定ネットワーク距離として測定するネットワーク距離測定部と、
前記送信データに表示された前記表示ネットワーク距離と、前記ネットワーク距離測定部により測定された前記測定ネットワーク距離とを比較し、比較結果に基づき前記送信データを破棄するか否かを決定するデータ検査部とを有することを特徴とする。
【0008】
前記データ中継装置は、更に、同一のデータ通信装置を宛先データ通信装置とする複数の送信データが前記データ受信部により受信され、受信された前記複数の送信データのうち少なくとも二以上の送信データが前記データ検査部により破棄されずに維持された場合に、維持された送信データを組み合わせて維持された送信データのデータ内容を再構成するデータ再構成部と、
前記データ再構成部により再構成されたデータ内容が、前記宛先データ通信装置への攻撃を目的とするデータ内容であるか否かを判定するデータ判定部とを有することを特徴とする。
【0009】
データ検査部は、前記送信データの前記表示ネットワーク距離の値が、前記測定ネットワーク距離の値よりも小さい場合に前記送信データを破棄する決定を行うことを特徴とする。
【0010】
前記データ受信部は、前記表示ネットワーク距離としてTTL(Time To Live)値が表示された送信データを受信し、
前記ネットワーク距離測定部は、前記測定ネットワーク距離として前記データ中継装置から前記宛先データ通信装置までに必要なTTL値を測定し、
前記データ検査部は、前記送信データに表示されたTTL値と、前記ネットワーク距離測定部により測定されたTTL値とを比較し、比較結果に基づき前記送信データを破棄するか否かを決定することを特徴とする。
【0011】
前記データ中継装置は、更に、いずれかのデータ通信装置への攻撃に用いられる攻撃コマンドを少なくとも一つ以上記憶した攻撃コマンド記憶部を有し、
前記データ判定部は、前記データ再構成部により再構成されたデータ内容が前記攻撃コマンド記憶部に記憶された前記攻撃コマンドのいずれかに一致するか否かを判定することを特徴とする。
【0012】
本発明に係るデータ中継装置は、
複数のデータ通信装置間のデータ通信を中継するデータ中継装置であって、
前記複数のデータ通信装置のそれぞれについて、前記データ中継装置からそれぞれのデータ通信装置までのネットワーク距離を記憶ネットワーク距離として記憶するネットワーク距離記憶部と、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継装置からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信部と、
前記送信データに表示された前記表示ネットワーク距離と、前記送信データの宛先とされた宛先データ通信装置の記憶ネットワーク距離とを比較し、比較結果に基づき前記表示ネットワーク距離及び前記宛先データ通信装置の記憶ネットワーク距離のいずれか一方の値を変更するネットワーク距離変更部と、
前記ネットワーク距離変更部により前記表示ネットワーク距離及び前記宛先通信装置の記憶ネットワーク距離のいずれか一方の値の変更が行われた後に、前記送信データを前記宛先データ通信装置に対して送信するデータ送信部とを有することを特徴とする。
【0013】
前記ネットワーク距離変更部は、前記表示ネットワーク距離の値が前記宛先データ通信装置の記憶ネットワーク距離の値よりも小さい場合は、前記表示ネットワーク距離の値を前記宛先データ通信装置の記憶ネットワーク距離の値に変更し、前記宛先データ通信装置の記憶ネットワーク距離の値が前記表示ネットワーク距離の値よりも小さい場合は、前記宛先データ通信装置の記憶ネットワーク距離の値を前記表示ネットワーク距離の値に変更することを特徴とする。
【0014】
前記ネットワーク距離記憶部に記憶ネットワーク距離が記憶されていない新規のデータ通信装置を宛先とする送信データが前記データ受信部により受信された場合に、前記ネットワーク距離記憶部は、前記送信データに表示されたネットワーク距離を、前記新規のデータ通信装置の記憶ネットワーク距離として記憶することを特徴とする。
【0015】
前記ネットワーク距離記憶部は、前記記憶ネットワーク距離として前記データ中継装置からそれぞれのデータ通信装置までに必要なTTL(Time To Live)値を記憶し、
前記データ受信部は、前記表示ネットワーク距離としてTTL値が表示された送信データを受信し、
前記ネットワーク距離変更部は、前記送信データに表示された表示TTL値と前記ネットワーク距離記憶部に記憶された前記宛先データ通信装置の記憶TTL値とを比較し、比較結果に基づき前記表示TTL値及び前記宛先データ通信装置の記憶TTL値のいずれか一方の値を変更することを特徴とする。
【0016】
本発明に係るデータ中継方法は、
複数のデータ通信装置間のデータ通信を中継するデータ中継方法であって、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継方法からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信ステップと、
前記データ中継方法から前記送信データの宛先とされた宛先データ通信装置までのネットワーク距離を測定ネットワーク距離として測定するネットワーク距離測定ステップと、
前記送信データに表示された前記表示ネットワーク距離と、前記ネットワーク距離測定ステップにより測定された前記測定ネットワーク距離とを比較し、比較結果に基づき前記送信データを破棄するか否かを決定するデータ検査ステップとを有することを特徴とする。
【0017】
前記データ中継方法は、更に、同一のデータ通信装置を宛先データ通信装置とする複数の送信データが前記データ受信ステップにより受信され、受信された前記複数の送信データのうち少なくとも二以上の送信データが前記データ検査ステップにより破棄されずに維持された場合に、維持された送信データを組み合わせて維持された送信データのデータ内容を再構成するデータ再構成ステップと、
前記データ再構成ステップにより再構成されたデータ内容が、前記宛先データ通信装置への攻撃を目的とするデータ内容であるか否かを判定するデータ判定ステップとを有することを特徴とする。
【0018】
データ検査ステップは、前記送信データの前記表示ネットワーク距離の値が、前記測定ネットワーク距離の値よりも小さい場合に前記送信データを破棄する決定を行うことを特徴とする。
【0019】
前記データ受信ステップは、前記表示ネットワーク距離としてTTL(Time To Live)値が表示された送信データを受信し、
前記ネットワーク距離測定ステップは、前記測定ネットワーク距離として前記データ中継方法から前記宛先データ通信装置までに必要なTTL値を測定し、
前記データ検査ステップは、前記送信データに表示されたTTL値と、前記ネットワーク距離測定ステップにより測定されたTTL値とを比較し、比較結果に基づき前記送信データを破棄するか否かを決定することを特徴とする。
【0020】
本発明に係るデータ中継方法は、
複数のデータ通信装置間のデータ通信を中継するデータ中継方法であって、
前記複数のデータ通信装置のそれぞれについて、前記データ中継方法からそれぞれのデータ通信装置までのネットワーク距離を記憶ネットワーク距離として記憶するネットワーク距離記憶ステップと、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継方法からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信ステップと、
前記送信データに表示された前記表示ネットワーク距離と、前記送信データの宛先とされた宛先データ通信装置の記憶ネットワーク距離とを比較し、比較結果に基づき前記表示ネットワーク距離及び前記宛先データ通信装置の記憶ネットワーク距離のいずれか一方の値を変更するネットワーク距離変更ステップと、
前記ネットワーク距離変更ステップにより前記表示ネットワーク距離及び前記宛先通信装置の記憶ネットワーク距離のいずれか一方の値の変更が行われた後に、前記送信データを前記宛先データ通信装置に対して送信するデータ送信ステップとを有することを特徴とする。
【0021】
前記ネットワーク距離変更ステップは、前記表示ネットワーク距離の値が前記宛先データ通信装置の記憶ネットワーク距離の値よりも小さい場合は、前記表示ネットワーク距離の値を前記宛先データ通信装置の記憶ネットワーク距離の値に変更し、前記宛先データ通信装置の記憶ネットワーク距離の値が前記表示ネットワーク距離の値よりも小さい場合は、前記宛先データ通信装置の記憶ネットワーク距離の値を前記表示ネットワーク距離の値に変更することを特徴とする。
【0022】
前記ネットワーク距離記憶ステップは、前記記憶ネットワーク距離として前記データ中継方法からそれぞれのデータ通信装置までに必要なTTL(Time To Live)値を記憶し、
前記データ受信ステップは、前記表示ネットワーク距離としてTTL値が表示された送信データを受信し、
前記ネットワーク距離変更ステップは、前記送信データに表示された表示TTL値と前記ネットワーク距離記憶ステップに記憶された前記宛先データ通信装置の記憶TTL値とを比較し、比較結果に基づき前記表示TTL値及び前記宛先データ通信装置の記憶TTL値のいずれか一方の値を変更することを特徴とする。
【0023】
本発明に係るデータ中継処理プログラムは、
複数のデータ通信装置間のデータ通信を中継するデータ中継処理をデータ中継装置に実行させるためのデータ中継処理プログラムであって、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継装置からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信処理と、
前記データ中継装置から前記送信データの宛先とされた宛先データ通信装置までのネットワーク距離を測定ネットワーク距離として測定するネットワーク距離測定処理と、
前記送信データに表示された前記表示ネットワーク距離と、前記ネットワーク距離測定処理により測定された前記測定ネットワーク距離とを比較し、比較結果に基づき前記送信データを破棄するか否かを決定するデータ検査処理とを前記データ中継装置に実行させるためのデータ中継処理プログラムであることを特徴とする。
【0024】
前記データ中継処理プログラムは、更に、同一のデータ通信装置を宛先データ通信装置とする複数の送信データが前記データ受信処理により受信され、受信された前記複数の送信データのうち少なくとも二以上の送信データが前記データ検査処理により破棄されずに維持された場合に、維持された送信データを組み合わせて維持された送信データのデータ内容を再構成するデータ再構成処理と、
前記データ再構成処理により再構成されたデータ内容が、前記宛先データ通信装置への攻撃を目的とするデータ内容であるか否かを判定するデータ判定処理とを前記データ中継装置に実行させるためのデータ中継処理プログラムであることを特徴とする。
【0025】
本発明に係るデータ中継処理プログラムは、
複数のデータ通信装置間のデータ通信を中継するデータ中継処理をデータ中継装置に実行させるためのデータ中継処理プログラムであって、
前記複数のデータ通信装置のそれぞれについて、前記データ中継装置からそれぞれのデータ通信装置までのネットワーク距離を記憶ネットワーク距離として記憶するネットワーク距離記憶処理と、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継装置からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信処理と、
前記送信データに表示された前記表示ネットワーク距離と、前記送信データの宛先とされた宛先データ通信装置の記憶ネットワーク距離とを比較し、比較結果に基づき前記表示ネットワーク距離及び前記宛先データ通信装置の記憶ネットワーク距離のいずれか一方の値を変更するネットワーク距離変更処理と、
前記ネットワーク距離変更処理により前記表示ネットワーク距離及び前記宛先通信装置の記憶ネットワーク距離のいずれか一方の値の変更が行われた後に、前記送信データを前記宛先データ通信装置に対して送信するデータ送信処理とを前記データ中継装置に実行させるためのデータ中継処理プログラムであることを特徴とする。
【0026】
本発明に係るコンピュータ読み取り可能な記録媒体は、
複数のデータ通信装置間のデータ通信を中継するデータ中継処理をデータ中継装置に実行させるためのデータ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体であって、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継装置からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信処理と、
前記データ中継装置から前記送信データの宛先とされた宛先データ通信装置までのネットワーク距離を測定ネットワーク距離として測定するネットワーク距離測定処理と、
前記送信データに表示された前記表示ネットワーク距離と、前記ネットワーク距離測定処理により測定された前記測定ネットワーク距離とを比較し、比較結果に基づき前記送信データを破棄するか否かを決定するデータ検査処理とを前記データ中継装置に実行させるためのデータ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体であることを特徴とする。
【0027】
前記データ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体は、更に、同一のデータ通信装置を宛先データ通信装置とする複数の送信データが前記データ受信処理により受信され、受信された前記複数の送信データのうち少なくとも二以上の送信データが前記データ検査処理により破棄されずに維持された場合に、維持された送信データを組み合わせて維持された送信データのデータ内容を再構成するデータ再構成処理と、
前記データ再構成処理により再構成されたデータ内容が、前記宛先データ通信装置への攻撃を目的とするデータ内容であるか否かを判定するデータ判定処理とを前記データ中継装置に実行させるためのデータ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体であることを特徴とする。
【0028】
本発明に係るコンピュータ読み取り可能な記録媒体は、
複数のデータ通信装置間のデータ通信を中継するデータ中継処理をデータ中継装置に実行させるためのデータ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体であって、
前記複数のデータ通信装置のそれぞれについて、前記データ中継装置からそれぞれのデータ通信装置までのネットワーク距離を記憶ネットワーク距離として記憶するネットワーク距離記憶処理と、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継装置からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信処理と、
前記送信データに表示された前記表示ネットワーク距離と、前記送信データの宛先とされた宛先データ通信装置の記憶ネットワーク距離とを比較し、比較結果に基づき前記表示ネットワーク距離及び前記宛先データ通信装置の記憶ネットワーク距離のいずれか一方の値を変更するネットワーク距離変更処理と、
前記ネットワーク距離変更処理により前記表示ネットワーク距離及び前記宛先通信装置の記憶ネットワーク距離のいずれか一方の値の変更が行われた後に、前記送信データを前記宛先データ通信装置に対して送信するデータ送信処理とを前記データ中継装置に実行させるためのデータ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体であることを特徴とする。
【0029】
【発明の実施の形態】
実施の形態1.
図1は、本実施の形態に係るネットワーク構成の一例を示す図である。
図1において、1はネットワークA100に接続され、ネットワークA100内のデータ通信装置から送信されたパケットを受信し、受信したパケットの中から攻撃データを検出する攻撃対策システムである。攻撃対策システムは、本発明に係るデータ中継装置に相当する。
なお、他の構成要素は、図14に示したものと同様である。
【0030】
図2は、攻撃対策システム1の内部構成を示す図である。
11は、ネットワークA100にて通信されるパケットをパケットの宛先にかかわらず受信するとともに、攻撃チェック部17により攻撃データでないと判定されたパケットを宛先のデータ通信装置に対して送信するパケット送受信部である。なお、パケット送受信部11が受信するパケットには、TTL(Time To Live)値が含まれている。このTTL値は、ネットワーク距離に相当する。前述したように、ルータの処理に費やした時間の代わりに、ホップカウントを用いてTTL値とすることも可能であり、ルータを1つ通過するたびにTTL値を1つづつ減らし、TTL値が0となった時点でルータがパケットを破棄するようにしてもよい。この場合には、TTL値はパケットが転送されるネットワーク距離に相当する。
12は、パケット送受信部11によりパケットが受信された場合に、受信されたパケットの宛先であるデータ通信装置(宛先データ通信装置)までのネットワーク距離を測定するための測定パケットを生成する測定パケット生成部である。13は、測定パケット生成部12により生成された測定パケットを宛先データ通信装置に対して送信し、測定パケットに対する応答を受信する測定パケット送受信部である。
なお、測定パケット生成部12と測定パケット送受信部13とを合わせてネットワーク距離測定部という。
14は、パケット送受信部11で受信されたパケットに含まれるTTL値と測定パケット送受信部13から得られたネットワーク距離を比較し、比較結果に基づき、パケットの破棄の決定又はパケットをデータ再構成部15へ渡す決定のいずれかを行うパケット検査部である。パケット検査部14は、データ検査部に相当する。
15は、パケット検査部14から渡されたパケットを元に通信データを再構成するデータ再構成部である。
16は、攻撃データの特徴である攻撃シグネチャ(攻撃コマンド)を、予め保存しておくシグネチャデータベース(以下、シグネチャDBとする)である。シグネチャDB16は、攻撃コマンド記憶部に相当する。
17は、再構成された通信データと攻撃シグネチャとを比較して攻撃データかどうかを判定する攻撃チェック部である。攻撃チェック部17は、データ判定部に相当する。
【0031】
なお、攻撃対策システム1(データ中継装置)は、図示していないが、例えばマイクロプロセッサ等のCPU、半導体メモリ等や磁気ディスク等の記録手段、及び通信手段を有する計算機により実現することができる。記録手段には、攻撃対策システム1に含まれる各構成要素の機能を実現するプログラムが記録されており、CPUがこれらのプログラムを読み込むことにより攻撃対策システム1の動作を制御し、各構成要素の機能を実現することができる。
なお、これらのプログラムを計算機で読みとり可能な記録媒体に記録することも可能である。更には、これらのプログラムを通信網を介して転送することも可能である。
【0032】
次に、攻撃対策システム1の動作について説明する。
パケット送受信部11は、ネットワークA100に接続されたデータ通信装置より送信されたパケットを受信する。
ここで、例えば、攻撃マシン2よりターゲットマシン4を宛先とする図3(b)〜(d)に示すパケットA、パケットB、パケットCを受信したとする。
次に、パケット送受信部11は、受信したパケットA、パケットB、パケットCをパケット検査部14へと渡す。
パケット検査部14では、図4に示すパケット検査手順によりパケットを処理する。
以下、図4のフローチャート図に従って、パケット検査部14の処理を説明する。
【0033】
まず、パケット検査部14は、ステップS11にて、パケットから宛先データ通信装置(ここでは、ターゲットマシン4)のアドレス(以下、宛先アドレスとする)を取得する。
次に、ステップS12にて、宛先アドレスを測定パケット生成部12に渡して呼び出す。
ここで、図5を用いて、測定パケット生成部12及び測定パケット送受信部13によるネットワーク距離の測定手順を説明する。
【0034】
まず、測定パケット生成部12が、ステップS21において、測定パケットを作成する。具体的には、IPデータグラム・ヘッダ・フォーマットのDestination Address=宛先アドレス(ここでは、ターゲットマシン4のアドレス)、TTL=1に設定した測定パケットを生成する。図6に、IPデータグラム・ヘッダ・フォーマットの例を示す。図6の例では、Identification35に宛先アドレスを設定し、Time To Live36にTTL=1を設定する。また、測定パケットは、図7に示すように、ICMPエコー要求メッセージ37とする。
次に、ステップS22において、測定パケット送受信部13が、測定パケットをネットワークA100に送る。
ここで、宛先データ通信装置(ここでは、ターゲットマシン4)までに配置されたルータ3では、測定パケットのTTL値を確認し、TTL値を1減算する。減算の結果、TTL値は0となるので、ICMP時間超過メッセージ38(図8)が結果パケットとしてルータ3から送り返される。
次に、ステップS23において、測定パケット送受信部13が結果パケットを受信する。
次に、ステップS24において、測定パケット生成部12が、結果パケットより測定パケットが宛先データ通信装置に到達したか否かを判断する。ここでは、結果パケットがICMP時間超過メッセージであるためパケット未到着と判断される。
次に、ステップS25において、測定パケット生成部12は、現在のTTL値とTTL値の上限値(=225)とを比較する。ここでは、現在のTTL=1が上限値未満と判断される。
次に、ステップS26において、測定パケット生成部12は、現在のTTLの値に1加算し、TTL=2が設定された測定パケットを生成し、ステップS22に戻り、処理を繰り返す。
なお、ステップS25において、TTLが上限値(=255)に達した場合は、ステップS27にて測定不能とする。
ステップS23において、宛先アドレス(ターゲットマシン4)から送信されたICMPエコー応答メッセージを受信した場合(図9)は、ステップS24にて、測定パケット生成部12は、パケット到達と判定する。
ステップS24において、パケット到達と判断した場合は、測定パケット生成部12は、TTLの値を測定したネットワーク距離としてパケット検査部14に渡す。
【0035】
パケット検査部14では、図4のステップS13において、パケット送受信部11により受信されたパケットに表示されたTTL値と測定されたネットワーク距離(TTL値)とを比較し、測定結果(測定されたネットワーク距離)がパケットのTTL値以下の場合は、ステップS14へ、パケットのTTL値が測定結果より小さい場合は、S15へ進む。
ステップS14では、パケット検査部14は、そのパケットが宛先データ通信装置(ターゲットマシン4)へ到達すると判断して、データ再構成部15へそのパケットを渡す。
一方、ステップS15では、パケットが宛先データ通信装置(ターゲットマシン4)へ到達しないと判断して、そのパケットを破棄する決定を行い、破棄する。
図3の例では、測定されたTTL値が2〜5である場合は、パケットA及びパケットCは、ステップS14において、データ再構成部15へ渡され、パケットBは、ステップS15において、破棄されることになる。
【0036】
次に、データ再構成部15では、パケット検査部14から渡されたパケットを元にデータを再構成し、再構成結果を攻撃チェック部17へ渡す。
攻撃チェック部17は、再構成結果と、シグネチャDB16に格納された攻撃シグネチャを比較することで、攻撃データかどうかの判断を行う。
図3の例では、データ再構成部15は、パケットA及びパケットCを元に、図3(e)に示すデータ内容を再構成する。
攻撃チェック部17は、シグネチャDB16に格納された図3(a)に示す攻撃シグネチャと図3(e)の再構成結果とを比較し、再構成結果が攻撃シグネチャと一致するためパケットA及びパケットCは攻撃データであると判定し、パケットA及びパケットCは破棄される。
【0037】
実施の形態2.
図10は、本実施の形態に係るネットワーク構成の一例を示す図である。
本実施の形態では、攻撃対策システム1は、実施の形態1におけるルータ3としての役割も果たし、ネットワークA100とネットワークB200との間に配置され、ネットワークA100より送信したパケットを受信し、受信したパケットをネットワークB200へ渡す。
なお、他の構成要素は、図1に示したものと同様である。
また、図10では、省略しているが、図14と同様に、攻撃検出システム6を配備してもよい。
【0038】
図11は、本実施の形態に係る攻撃対策システム1の内部構成を示す図である。
図11において、101は、ネットワークA100にて通信されるパケットを受信し、中継制御部103へと渡すパケット送受信部(以下、パケット送受信部Aとする)である。なお、パケット送受信部A101が受信するパケットには、TTL(Time To Live)値が含まれている。また、パケット送受信部A101は、データ送信部又はデータ受信部に相当する。
102は、ネットワークB200にて通信されるパケットを受信し、中継制御部103へと渡すパケット送受信部(以下、パケット送受信部Bとする)である。なお、パケット送受信部B102は、データ送信部又はデータ受信部に相当する。
103は、パケット送受信部A101、パケット送受信部B102、TTL変更部105間の制御を行う中継制御部である。
104は、パケットの宛先とTTL(Time To Live)値の組み合わせを記憶するネットワーク距離記憶部である。ネットワーク距離記憶部104は、例えば、図13(a)に示すようにパケットの宛先とTTL値の組合せを記憶している。
105は、中継制御部103から渡されたパケットについて、パケットに含まれたTTL値とネットワーク距離記憶部104に格納された対応するTTL値とを比較し、比較結果に応じてパケットのTTL値又はネットワーク距離記憶部104に記憶されたTTL値を変更するTTL変更部である。また、TTL値がネットワーク距離記憶部104に格納されていない新規データ通信装置がパケットの宛先となっている場合は、TTL変更部105は、その新規データ通信装置宛のパケットに含まれたTTL値をネットワーク距離記憶部104に格納する。なお、TTL変更部105は、ネットワーク距離変更部に相当する。
なお、本実施の形態における攻撃対策システム1(データ中継装置)も、図示していないが、例えばマイクロプロセッサ等のCPU、半導体メモリ等や磁気ディスク等の記録手段、及び通信手段を有する計算機により実現することができる。記録手段には、攻撃対策システム1に含まれる各構成要素の機能を実現するプログラムが記録されており、CPUがこれらのプログラムを読み込むことにより攻撃対策システム1の動作を制御し、各構成要素の機能を実現することができる。
なお、これらのプログラムを計算機で読みとり可能な記録媒体に記録することも可能である。更には、これらのプログラムを通信網を介して転送することも可能である。
【0039】
次に、本実施の形態に係る攻撃対策システム1の動作について説明する。
パケット送受信部A101は、ネットワークA100に接続されたデータ通信装置より送信されたパケットを受信する。
ここで、例えば、攻撃マシン2よりターゲットマシン4を宛先とする図3(b)〜(d)に示すパケットA、パケットB、パケットCを受信したとする。
次に、パケット送受信部A101は、受信したパケットA、パケットB、パケットCを中継制御部103へと渡す。
中継制御部103は、受信したパケットをTTL変更部105へと渡す。
TTL変更部105では、図12に示すTTL変更手順によりパケットを処理する。
以下、図12のフローチャート図に従って、TTL変更部105の処理を説明する。
【0040】
まず、TTL変更部105は、ステップS31において、パケットから宛先データ通信装置(ここでは、ターゲットマシン4)のアドレス(以下、宛先アドレスとする)を取得する。
次に、TTL変更部105は、ステップS32において、ネットワーク距離記憶部104に宛先アドレスに対応したTTL値(ネットワーク距離)が登録されているかどうかを判定する。
登録済みの場合は、ステップS33に進み、ネットワーク距離記憶部104から宛先アドレスに対応するTTL値を取り出す。
未登録の場合(新規データ通信装置の場合)は、ステップS34に進み、パケットからTTL値を取りだし、ネットワーク距離記憶部104に宛先アドレスとTTL値を登録する。
次に、ステップS33へ進んだ場合は、TTL変更部105は、ステップS35において、ネットワーク距離記憶部104より取得したTTL値と、パケットに含まれたTTL値とを比較する。そして、比較結果により、パケットのTTL値の方が大きい場合は、ステップS36において、ネットワーク距離記憶部104のTTL値をパケットのTTL値に変更する更新を行う。
一方、パケットのTTL値の方が小さい場合は、ステップS37において、パケットのTTL値をネットワーク距離記憶部のTTL値に変更する更新を行う。
【0041】
このようにしてTTL値の変更が行われた後は、TTL変更部105は、パケット(パケットのTTL値の変更が行われた場合は、TTL値が変更されたパケット)を中継制御部103へと渡す。
中継制御部103は、TTL変更部105から受け取ったパケットをパケット送受信部B102へと渡す。
パケット送受信部B102は、パケットをネットワークB200へと渡す。
【0042】
ここで、ターゲットマシン4までのTTL値がネットワーク距離記憶部104に記憶されていないとした場合(ターゲットマシン4が新規データ通信装置であった場合)に、図3(b)のパケットAがTTL変更部105で処理されると、パケットAから取り出された宛先アドレス(ターゲットマシン4)とTTL=5がネットワーク距離記憶部104に格納され(図13(a))、図13(b)に示す中継後パケットA’がターゲットマシン4へと送られる。
次に、図3(c)のパケットBがTTL変更部105で処理されると、パケットBから取り出された宛先アドレス(ターゲットマシン4)とTTL=1とが、ネットワーク距離記憶部104に格納されている対応するTTL値(TTL=5)と比較され、パケットBのTTL値の方が小さいので、パケットBのTTL値はTTL=5に更新され、図13(c)の中継後パケットB’がターゲットマシン4へと送られる。
次に、図3(d)のパケットCがTTL変更部105で処理されると、パケットCから取り出された宛先アドレス(ターゲットマシン4)とTTL=5とが、ネットワーク距離記憶部104に格納されている対応するTTL値(TTL=5)と比較され、両者のTTL値は同じなので、パケットCのTTL値はTTL=5のまま、図13(d)の中継後パケットC’がターゲットマシン4へと送られる。
ターゲットマシン4上に到着した中継後パケットA’、中継後パケットB’、中継後パケットC’によりデータが再構築されると、図13(e)のターゲットマシンでの結果が得られる。
しかし、このターゲットマシンでの結果は、図3(a)に示す攻撃シグネチャと異なる。このため、これら中継後パケットA’、中継後パケットB’、中継後パケットC’のデータ内容は、攻撃としては動作しない為、ターゲットマシン4への攻撃が無効化されたことになる。
【0043】
ところで、上記の説明ではネットワークプロトコルとしてTCP/IPを用いた場合について述べているが、その他のパケットを送受するネットワークプロトコルに関しても応用可能である。
【0044】
ところで、上記の説明ではネットワークが2つの場合について述べているが、それ以上のネットワークが接続されている場合にも応用可能である。
【0045】
また、上記の実施の形態1、2では、本発明に係るデータ中継装置について説明したが、実施の形態1、2に示した処理手順と同様の処理手順により本発明に係るデータ中継方法を実現することができる。
【0046】
また、ここで、実施の形態1、2で説明した攻撃対策システムの特徴をまとめる。
【0047】
実施の形態1に係る攻撃対策システムは、
通信装置が接続可能でパケットの送受信が可能なネットワークAと、
通信装置が接続可能でパケットの送受信が可能なネットワークBと、
ネットワークAとネットワークBの間のパケットの中継を行うルータと、
ネットワークBにてサービスを提供するターゲットマシンと、
ネットワークAにてターゲットマシンに攻撃データを複数のパケットにて送る攻撃マシンからなる環境において、
ネットワークAに接続され、
ネットワークAにて通信されるパケットをパケットの宛先にかかわらず受信するパケット受信部と、
パケットの宛先までのネットワーク距離を測定する測定パケットを生成する測定パケット生成部と、
ネットワーク距離測定用のパケットをネットワークAに送受信する測定パケット送受信部と、
受信されたパケットに含まれるTTL(Time To Live)値と測定されたネットワーク距離を比較してパケットをデータ再構成部へ渡すかどうかを判定するパケット検査部と、
パケット検査部から渡されたパケットを元に通信データを再構成するデータ再構成部と、
攻撃データの特徴である攻撃シグネチャを、予め保存しておくシグネチャDBと、
再構成された通信データと攻撃シグネチャを比較して攻撃データかどうかを判定する攻撃チェック部を持つことを特徴とする。
【0048】
実施の形態2に係る攻撃対策システムは、
通信装置が接続可能でパケットの送受信が可能なネットワークAと、
通信装置が接続可能でパケットの送受信が可能なネットワークBと、
ネットワークBにてサービスを提供するターゲットマシンと、
ネットワークAにてターゲットマシンに攻撃データを複数のパケットにて送る攻撃マシンからなる環境において、ネットワークAとネットワークBの間で、ネットワークAにて通信されるパケットを受信し中継制御部へと渡すパケット送受信部Aと、
ネットワークBにて通信されるパケットを受信し中継制御部へと渡すパケット送受信部Bと、
パケットの宛先とTTL(Time To Live)値の組み合わせを記憶するネットワーク距離記憶部と、
パケット中継制御部から渡されたパケットの宛先とTTL(Time To Live)値の組み合わせがネットワーク距離記憶部に含まれない場合は格納し、既に含まれる場合はTTLの比較と更新を行ってTTLをパケット中継制御部へ渡すTTL変更部と、
パケット送受信部Aまたはパケット送受信部Bから渡されたパケットの宛先とTTLをTTL変更部に渡し、TTL変更部から渡されたTTLをパケットのTTLに設定し、反対側のパケット送受信部にパケットを中継の為に渡す中継制御部を持つことを特徴とする。
【0049】
【発明の効果】
以上のように、本発明によれば、受信した送信データに表示されたネットワーク距離と、測定した宛先データ通信装置までのネットワーク距離とを比較し、表示されたネットワーク距離の値が測定したネットワーク距離の値よりも小さい場合には受信した送信データを破棄し、破棄されなかった送信データのデータ内容を再構成して攻撃目的の有無を判定するため、宛先データ通信装置まで到達しないダミーデータが含まれているため見かけ上攻撃データと判定されないような攻撃データも検出することができ、宛先データ通信装置への攻撃を未然に防止することができる。
【0050】
また、本発明によれば、各データ通信装置までのネットワーク距離を記憶しておき、受信した送信データに表示されたネットワーク距離と、宛先データ通信装置について記憶しているネットワーク距離とを比較し、表示されたネットワーク距離の値が記憶しているネットワーク距離の値よりも小さい場合は、表示されたネットワーク距離の値を記憶しているネットワーク距離の値に変更して送信データを宛先データ通信装置に対して送信するため、宛先データ通信装置まで到達しないダミーデータが含まれているため見かけ上攻撃データと判定されないような攻撃データの攻撃を無効化することができる。
【図面の簡単な説明】
【図1】 実施の形態1に係るネットワーク構成の一例を示す図である。
【図2】 実施の形態1に係る攻撃対策システムの内部構成を示す図である。
【図3】 攻撃シグネチャ、受信パケット、再構成結果の例を示す図である。
【図4】 パケット検査部における手順の流れを示すフローチャート図である。
【図5】 ネットワーク距離測定部における手順の流れを示すフローチャート図である。
【図6】 TCP/IPにおけるIPデータグラム・ヘッダ・フォーマットの例を示す図である。
【図7】 TCP/IPにおけるICMPのエコー要求メッセージの例を示す図である。
【図8】 TCP/IPにおけるICMPの時間超過メッセージの例を示す図である。
【図9】 TCP/IPにおけるICMPのエコー応答メッセージの例を示す図である。
【図10】 実施の形態2に係るネットワーク構成の一例を示す図である。
【図11】 実施の形態2に係る攻撃対策システムの内部構成を示す図である。
【図12】 TTL変更部における手順の流れを示すフローチャート図である。
【図13】 ネットワーク距離記憶部の記憶内容、更新処理後のパケット、ターゲットマシンでの結果の例を示す図である。
【図14】 従来技術を適用するネットワーク構成の一例を示す図である。
【図15】 従来技術における攻撃検出システムの内部構成を示す図である。
【図16】 攻撃シグネチャ、受信パケット、従来の再構成結果、従来のターゲットマシンでの結果を示す図である。
【符号の説明】
1 攻撃対策システム、2 攻撃マシン、3 ルータ、4 ターゲットマシン、11 パケット送受信部、12 測定パケット生成部、13 測定パケット送受信部、14 パケット検査部、15 データ再構成部、16 シグネチャデータベース、17 攻撃チェック部、100 ネットワークA、101 パケット送受信部、102 パケット送受信部、103 中継制御部、104 ネットワーク距離記憶部、105 TTL変更部、200 ネットワークB。[0001]
BACKGROUND OF THE INVENTION
The present invention relates to an apparatus for correctly detecting or invalidating attack data when the attack data is divided into a plurality of packets and sent to a network.
[0002]
[Prior art]
As a conventional technique, Japanese Unexamined Patent Application Publication No. 2000-354034 discloses “Business: Hacker Monitoring Room”.
FIG. 14 and FIG. 15 are diagrams for explaining this “business: hacker monitoring room”.
In FIG. 14, reference numeral 100 denotes a network A to which a data communication apparatus can be connected and capable of transmitting / receiving packets, and
An
[0003]
FIG. 15 shows the internal configuration of the
A
[0004]
Next, the operation of the
The
Here, for example, it is assumed that the packet A, the packet B, and the packet C illustrated in FIGS. 16B to 16D that are destined for the
Next, the
In the example of FIG. 16, the data contents of the packet A, the packet B, and the packet C are combined and reconfigured to the data contents “/ cgi-bin / phaf” as shown in FIG.
Next, when the
FIG. 16A shows attack signatures accumulated in the
The attack signature in FIG. 16 (a) and the reconstruction result in FIG. 16 (e) are the data contents (the attack signature is / phf ″ whereas the reconstruction result is / phaf ″ because the data contents do not match). Therefore, the
[0005]
On the other hand, the value of TTL (Time To Live) is shown in each of packet A, packet B, and packet C in FIGS.
This TTL value is a value indicating the time (seconds) that a packet can stay in the network, and the time spent for processing of the router (gateway) every time it passes through the router (gateway) is displayed as the TTL. Subtracted from value. However, when the processing time is less than 1 second or when the processing time cannot be measured, at least 1 second is reduced. When the TTL value becomes 0, the packet is discarded by the router (gateway). That is, TTL is a value indicating the valid period of the packet.
Moreover, it is also possible to set it as a TTL value using a hop count instead of the time spent for processing of the router. That is, every time one router is passed, the TTL value may be decreased by one, and the router may discard the packet when the TTL value becomes zero. In this case, the TTL value indicates the network distance to which the packet is transferred.
Here, TTL = 5 for packet A, TTL = 1 for packet B, and TTL = 5 for packet C. For this reason, when the TTL value required from the
The data contents of the packet A and the packet C that have arrived at the
[0006]
[Problems to be solved by the invention]
As described above, in the conventional technology, although the attack detection system is reached, a dummy packet obtained by manipulating the TTL so as not to reach the target machine via the router is changed to a plurality of packets obtained by dividing the attack data. There is a problem in that the target machine is attacked while it is not detected as an attack signature (it cannot be determined as attack data apparently) by being inserted in between.
Therefore, an object of the present invention is to solve such problems.
[0007]
[Means for Solving the Problems]
The data relay device according to the present invention is:
A data relay device that relays data communication between a plurality of data communication devices,
A data receiving unit that receives transmission data that is transmitted from any data communication device as a destination to any other data communication device and that displays a network distance that can be transferred from the data relay device as a display network distance;
A network distance measuring unit that measures a network distance from the data relay device to a destination data communication device that is a destination of the transmission data as a measurement network distance;
A data inspection unit that compares the display network distance displayed in the transmission data with the measured network distance measured by the network distance measurement unit and determines whether to discard the transmission data based on the comparison result It is characterized by having.
[0008]
The data relay device further receives a plurality of transmission data having the same data communication device as a destination data communication device by the data reception unit, and at least two or more transmission data among the received transmission data are received. A data restructuring unit that reconstructs the data content of the transmission data maintained in combination with the maintained transmission data when maintained without being discarded by the data inspection unit;
And a data determination unit that determines whether or not the data content reconstructed by the data reconstruction unit is data content intended to attack the destination data communication device.
[0009]
The data inspection unit may determine to discard the transmission data when the value of the display network distance of the transmission data is smaller than the value of the measurement network distance.
[0010]
The data receiving unit receives transmission data in which a TTL (Time To Live) value is displayed as the display network distance,
The network distance measurement unit measures a TTL value necessary from the data relay device to the destination data communication device as the measurement network distance,
The data inspection unit compares the TTL value displayed in the transmission data with the TTL value measured by the network distance measurement unit, and determines whether to discard the transmission data based on a comparison result. It is characterized by.
[0011]
The data relay device further includes an attack command storage unit that stores at least one attack command used for attacking any of the data communication devices,
The data determination unit determines whether the data content reconstructed by the data reconstruction unit matches any of the attack commands stored in the attack command storage unit.
[0012]
The data relay device according to the present invention is:
A data relay device that relays data communication between a plurality of data communication devices,
For each of the plurality of data communication devices, a network distance storage unit that stores a network distance from the data relay device to each data communication device as a storage network distance;
A data receiving unit that receives transmission data that is transmitted from any data communication device as a destination to any other data communication device and that displays a network distance that can be transferred from the data relay device as a display network distance;
The display network distance displayed in the transmission data is compared with the storage network distance of the destination data communication device that is the destination of the transmission data, and based on the comparison result, the display network distance and the storage of the destination data communication device A network distance changing unit for changing one of the values of the network distance;
A data transmission unit that transmits the transmission data to the destination data communication apparatus after the value of either the display network distance or the storage network distance of the destination communication apparatus is changed by the network distance change unit It is characterized by having.
[0013]
When the value of the display network distance is smaller than the value of the storage network distance of the destination data communication device, the network distance change unit changes the value of the display network distance to the value of the storage network distance of the destination data communication device. If the value of the storage network distance of the destination data communication device is smaller than the value of the display network distance, the storage network distance value of the destination data communication device is changed to the value of the display network distance. Features.
[0014]
When transmission data destined for a new data communication device whose storage network distance is not stored in the network distance storage unit is received by the data reception unit, the network distance storage unit is displayed in the transmission data. The network distance is stored as the storage network distance of the new data communication apparatus.
[0015]
The network distance storage unit stores a TTL (Time To Live) value required from the data relay device to each data communication device as the storage network distance,
The data receiving unit receives transmission data in which a TTL value is displayed as the display network distance,
The network distance changing unit compares the display TTL value displayed in the transmission data with the stored TTL value of the destination data communication device stored in the network distance storage unit, and based on the comparison result, the display TTL value and One of the stored TTL values of the destination data communication apparatus is changed.
[0016]
The data relay method according to the present invention includes:
A data relay method for relaying data communication between a plurality of data communication devices,
A data receiving step for receiving transmission data transmitted from any data communication device as a destination to any other data communication device and displaying a network distance that can be transferred from the data relay method as a display network distance;
A network distance measuring step of measuring a network distance from the data relay method to a destination data communication device that is a destination of the transmission data as a measurement network distance;
A data inspection step of comparing the display network distance displayed in the transmission data with the measured network distance measured in the network distance measurement step and determining whether to discard the transmission data based on the comparison result It is characterized by having.
[0017]
In the data relay method, a plurality of transmission data having the same data communication device as a destination data communication device is received by the data reception step, and at least two or more transmission data among the plurality of transmission data received are received. A data restructuring step for reconfiguring the data content of the transmission data maintained in combination with the maintained transmission data when maintained without being discarded by the data checking step;
A data determination step of determining whether or not the data content reconfigured by the data reconfiguration step is data content intended for an attack on the destination data communication device.
[0018]
The data inspection step is characterized in that a determination is made to discard the transmission data when the value of the display network distance of the transmission data is smaller than the value of the measurement network distance.
[0019]
The data reception step receives transmission data in which a TTL (Time To Live) value is displayed as the display network distance,
The network distance measurement step measures a TTL value necessary from the data relay method to the destination data communication device as the measurement network distance,
The data checking step compares the TTL value displayed in the transmission data with the TTL value measured in the network distance measurement step, and determines whether to discard the transmission data based on the comparison result. It is characterized by.
[0020]
The data relay method according to the present invention includes:
A data relay method for relaying data communication between a plurality of data communication devices,
For each of the plurality of data communication devices, a network distance storage step for storing a network distance from the data relay method to each data communication device as a storage network distance;
A data receiving step for receiving transmission data transmitted from any data communication device as a destination to any other data communication device and displaying a network distance that can be transferred from the data relay method as a display network distance;
The display network distance displayed in the transmission data is compared with the storage network distance of the destination data communication device that is the destination of the transmission data, and based on the comparison result, the display network distance and the storage of the destination data communication device A network distance changing step for changing one of the values of the network distance;
A data transmission step of transmitting the transmission data to the destination data communication device after the value of either the display network distance or the storage network distance of the destination communication device is changed by the network distance change step. It is characterized by having.
[0021]
In the network distance changing step, when the value of the display network distance is smaller than the value of the storage network distance of the destination data communication device, the value of the display network distance is changed to the value of the storage network distance of the destination data communication device. If the value of the storage network distance of the destination data communication device is smaller than the value of the display network distance, the storage network distance value of the destination data communication device is changed to the value of the display network distance. Features.
[0022]
The network distance storing step stores a TTL (Time To Live) value necessary from the data relay method to each data communication device as the storage network distance,
The data receiving step receives transmission data in which a TTL value is displayed as the display network distance,
The network distance changing step compares the display TTL value displayed in the transmission data with the storage TTL value of the destination data communication device stored in the network distance storage step, and based on the comparison result, the display TTL value and One of the stored TTL values of the destination data communication apparatus is changed.
[0023]
A data relay processing program according to the present invention includes:
A data relay processing program for causing a data relay device to execute data relay processing for relaying data communication between a plurality of data communication devices,
A data reception process for receiving transmission data transmitted from one of the data communication devices as a destination to any other data communication device and displaying a network distance that can be transferred from the data relay device as a display network distance;
A network distance measurement process for measuring a network distance from the data relay device to a destination data communication device as a destination of the transmission data as a measurement network distance;
Data inspection processing for comparing the display network distance displayed in the transmission data with the measured network distance measured by the network distance measurement processing and determining whether to discard the transmission data based on the comparison result And a data relay processing program for causing the data relay device to execute the above.
[0024]
The data relay processing program further receives a plurality of transmission data having the same data communication device as a destination data communication device by the data reception processing, and at least two or more transmission data of the received transmission data Is reconstructed by reconfiguring the data content of the transmission data maintained by combining the maintained transmission data when the data inspection process is maintained without being discarded, and
For causing the data relay device to execute data determination processing for determining whether the data content reconfigured by the data reconfiguration processing is data content intended for an attack on the destination data communication device It is a data relay processing program.
[0025]
A data relay processing program according to the present invention includes:
A data relay processing program for causing a data relay device to execute data relay processing for relaying data communication between a plurality of data communication devices,
For each of the plurality of data communication devices, a network distance storage process for storing a network distance from the data relay device to each data communication device as a storage network distance;
A data reception process for receiving transmission data transmitted from one of the data communication devices as a destination to any other data communication device and displaying a network distance that can be transferred from the data relay device as a display network distance;
The display network distance displayed in the transmission data is compared with the storage network distance of the destination data communication device that is the destination of the transmission data, and based on the comparison result, the display network distance and the storage of the destination data communication device A network distance change process for changing one of the network distance values,
Data transmission processing for transmitting the transmission data to the destination data communication device after the value of either the display network distance or the storage network distance of the destination communication device is changed by the network distance change processing And a data relay processing program for causing the data relay device to execute.
[0026]
A computer-readable recording medium according to the present invention includes:
A computer-readable recording medium recording a data relay processing program for causing a data relay device to execute data relay processing for relaying data communication between a plurality of data communication devices,
A data reception process for receiving transmission data transmitted from one of the data communication devices as a destination to any other data communication device and displaying a network distance that can be transferred from the data relay device as a display network distance;
A network distance measurement process for measuring a network distance from the data relay device to a destination data communication device as a destination of the transmission data as a measurement network distance;
Data inspection processing for comparing the display network distance displayed in the transmission data with the measured network distance measured by the network distance measurement processing and determining whether to discard the transmission data based on the comparison result Is a computer-readable recording medium on which a data relay processing program for causing the data relay apparatus to execute is recorded.
[0027]
The computer-readable recording medium on which the data relay processing program is recorded further includes a plurality of transmission data received by the data reception process with the same data communication device as a destination data communication device, and the plurality of transmissions received. A data reconstruction process for reconstructing the data content of the transmission data maintained by combining the maintained transmission data when at least two or more transmission data of the data is maintained without being discarded by the data inspection process; ,
For causing the data relay device to execute data determination processing for determining whether the data content reconfigured by the data reconfiguration processing is data content intended for an attack on the destination data communication device It is a computer-readable recording medium on which a data relay processing program is recorded.
[0028]
A computer-readable recording medium according to the present invention includes:
A computer-readable recording medium recording a data relay processing program for causing a data relay device to execute data relay processing for relaying data communication between a plurality of data communication devices,
For each of the plurality of data communication devices, a network distance storage process for storing a network distance from the data relay device to each data communication device as a storage network distance;
A data reception process for receiving transmission data transmitted from one of the data communication devices as a destination to any other data communication device and displaying a network distance that can be transferred from the data relay device as a display network distance;
The display network distance displayed in the transmission data is compared with the storage network distance of the destination data communication device that is the destination of the transmission data, and based on the comparison result, the display network distance and the storage of the destination data communication device A network distance change process for changing one of the network distance values,
Data transmission processing for transmitting the transmission data to the destination data communication device after the value of either the display network distance or the storage network distance of the destination communication device is changed by the network distance change processing Is a computer-readable recording medium on which a data relay processing program for causing the data relay apparatus to execute is recorded.
[0029]
DETAILED DESCRIPTION OF THE INVENTION
FIG. 1 is a diagram illustrating an example of a network configuration according to the present embodiment.
In FIG. 1,
Other components are the same as those shown in FIG.
[0030]
FIG. 2 is a diagram showing an internal configuration of the
11 is a packet transmission / reception unit that receives a packet communicated in the network A100 regardless of the destination of the packet, and transmits a packet that is determined not to be attack data by the
12 is a measurement packet generator that generates a measurement packet for measuring a network distance to a data communication device (destination data communication device) that is a destination of the received packet when the packet is received by the packet transmitting / receiving
The measurement
14 compares the TTL value included in the packet received by the packet transmitting / receiving
A
[0031]
Although not shown, the attack countermeasure system 1 (data relay device) can be realized by a computer having a CPU such as a microprocessor, a recording unit such as a semiconductor memory or a magnetic disk, and a communication unit. The recording means records a program that realizes the function of each component included in the
These programs can also be recorded on a recording medium that can be read by a computer. Furthermore, it is also possible to transfer these programs via a communication network.
[0032]
Next, the operation of the
The packet transmitting / receiving
Here, for example, it is assumed that the packet A, the packet B, and the packet C shown in FIGS.
Next, the packet transmitting / receiving
The
Hereinafter, the processing of the
[0033]
First, in step S11, the
Next, in step S12, the destination address is passed to the
Here, the measurement procedure of the network distance by the
[0034]
First, the
Next, in step S22, the measurement packet transmission /
Here, the
Next, in step S23, the measurement packet transmitting / receiving
Next, in step S24, the
Next, in step S25, the
Next, in step S26, the
In step S25, if the TTL reaches the upper limit (= 255), measurement is disabled in step S27.
In step S23, when the ICMP echo response message transmitted from the destination address (target machine 4) is received (FIG. 9), the
If it is determined in step S24 that the packet has arrived, the measurement
[0035]
In step S13 of FIG. 4, the
In step S <b> 14, the
On the other hand, in step S15, it is determined that the packet does not reach the destination data communication apparatus (target machine 4), and the decision to discard the packet is made and discarded.
In the example of FIG. 3, when the measured TTL value is 2 to 5, the packet A and the packet C are passed to the
[0036]
Next, the
The
In the example of FIG. 3, the
The
[0037]
FIG. 10 is a diagram illustrating an example of a network configuration according to the present embodiment.
In the present embodiment, the
Other components are the same as those shown in FIG.
Although omitted in FIG. 10, the
[0038]
FIG. 11 is a diagram showing an internal configuration of the
In FIG. 11,
A
A network
105 compares the TTL value included in the packet with the corresponding TTL value stored in the network
The attack countermeasure system 1 (data relay device) in the present embodiment is also not shown, but is realized by a computer having a CPU such as a microprocessor, a recording unit such as a semiconductor memory or a magnetic disk, and a communication unit. can do. The recording means records a program that realizes the function of each component included in the
These programs can also be recorded on a recording medium that can be read by a computer. Furthermore, it is also possible to transfer these programs via a communication network.
[0039]
Next, the operation of the
The packet transmitting / receiving unit A101 receives a packet transmitted from a data communication apparatus connected to the network A100.
Here, for example, it is assumed that the packet A, the packet B, and the packet C shown in FIGS.
Next, the packet transmitting / receiving
The
The
Hereinafter, the processing of the
[0040]
First, in step S31, the
Next, in step S32, the
If registered, the process proceeds to step S33, and the TTL value corresponding to the destination address is extracted from the network
If not registered (in the case of a new data communication apparatus), the process proceeds to step S34, where the TTL value is extracted from the packet, and the destination address and the TTL value are registered in the network
Next, when the process proceeds to step S33, the
On the other hand, when the TTL value of the packet is smaller, in step S37, an update is performed to change the TTL value of the packet to the TTL value of the network distance storage unit.
[0041]
After the TTL value is changed in this way, the
The
The packet transmitting / receiving unit B102 passes the packet to the network B200.
[0042]
Here, when the TTL value up to the
Next, when the packet B in FIG. 3C is processed by the
Next, when the packet C in FIG. 3D is processed by the
When the data is reconstructed by the post-relay packet A ′, the post-relay packet B ′, and the post-relay packet C ′ arriving on the
However, the result on this target machine is different from the attack signature shown in FIG. For this reason, the data contents of the post-relay packet A ′, the post-relay packet B ′, and the post-relay packet C ′ do not operate as an attack, and thus the attack on the
[0043]
In the above description, the case where TCP / IP is used as the network protocol is described. However, the present invention can also be applied to other network protocols for transmitting and receiving packets.
[0044]
In the above description, the case where there are two networks is described. However, the present invention can be applied to a case where more networks are connected.
[0045]
In the first and second embodiments, the data relay apparatus according to the present invention has been described. However, the data relay method according to the present invention is realized by the same processing procedure as the processing procedure described in the first and second embodiments. can do.
[0046]
Here, the features of the attack countermeasure system described in the first and second embodiments are summarized.
[0047]
The attack countermeasure system according to
Network A that can be connected to a communication device and can send and receive packets;
A network B to which a communication device can be connected and packets can be transmitted and received;
A router that relays packets between network A and network B;
A target machine that provides services on network B;
In an environment consisting of attack machines that send attack data in multiple packets to the target machine in network A,
Connected to network A,
A packet receiving unit for receiving a packet communicated in the network A regardless of the destination of the packet;
A measurement packet generator for generating a measurement packet for measuring the network distance to the packet destination;
A measurement packet transmission / reception unit for transmitting / receiving a network distance measurement packet to / from network A;
A packet inspection unit that compares a TTL (Time To Live) value included in the received packet with the measured network distance to determine whether to pass the packet to the data reconstruction unit;
A data reconstruction unit that reconstructs communication data based on the packet passed from the packet inspection unit;
A signature DB that stores in advance an attack signature that is characteristic of attack data;
It has an attack check unit that compares the reconstructed communication data with an attack signature to determine whether the attack data is attack data.
[0048]
The attack countermeasure system according to the second embodiment is:
Network A that can be connected to a communication device and can send and receive packets;
A network B to which a communication device can be connected and packets can be transmitted and received;
A target machine that provides services on network B;
In an environment consisting of an attack machine that sends attack data to a target machine in a network A by a plurality of packets, a packet that is communicated between the network A and the network B and is transmitted to the relay control unit. A transceiver A;
A packet transmitting / receiving unit B that receives a packet communicated in the network B and passes it to the relay control unit;
A network distance storage unit that stores a combination of a packet destination and a TTL (Time To Live) value;
If the combination of the destination of the packet passed from the packet relay control unit and the TTL (Time To Live) value is not included in the network distance storage unit, it is stored, and if it is already included, the TTL is compared and updated to perform the TTL A TTL changing unit to be passed to the packet relay control unit;
The packet destination and TTL passed from the packet transmitting / receiving unit A or the packet transmitting / receiving unit B are passed to the TTL changing unit, the TTL passed from the TTL changing unit is set to the TTL of the packet, and the packet is sent to the opposite packet transmitting / receiving unit. It is characterized by having a relay control unit that delivers for relaying.
[0049]
【The invention's effect】
As described above, according to the present invention, the network distance displayed in the received transmission data is compared with the measured network distance to the destination data communication device, and the displayed network distance value is measured. If it is smaller than the value of the received data, the received data is discarded, and dummy data that does not reach the destination data communication device is included to reconstruct the data content of the transmitted data that was not discarded and to determine whether there is an attack purpose. Therefore, attack data that is not apparently determined as attack data can be detected, and an attack on the destination data communication apparatus can be prevented in advance.
[0050]
Further, according to the present invention, the network distance to each data communication device is stored, the network distance displayed in the received transmission data is compared with the network distance stored for the destination data communication device, If the displayed network distance value is smaller than the stored network distance value, the displayed network distance value is changed to the stored network distance value and the transmission data is sent to the destination data communication device. On the other hand, since the dummy data that does not reach the destination data communication device is included, the attack of the attack data that does not seem to be determined as attack data can be invalidated.
[Brief description of the drawings]
FIG. 1 is a diagram illustrating an example of a network configuration according to a first embodiment.
FIG. 2 is a diagram showing an internal configuration of the attack countermeasure system according to the first embodiment.
FIG. 3 is a diagram illustrating examples of attack signatures, received packets, and reconfiguration results.
FIG. 4 is a flowchart showing a procedure flow in a packet inspection unit.
FIG. 5 is a flowchart showing a procedure flow in a network distance measurement unit.
FIG. 6 is a diagram illustrating an example of an IP datagram header format in TCP / IP.
FIG. 7 is a diagram illustrating an example of an ICMP echo request message in TCP / IP.
FIG. 8 is a diagram illustrating an example of an ICMP time exceeded message in TCP / IP.
FIG. 9 is a diagram illustrating an example of an ICMP echo response message in TCP / IP.
10 is a diagram illustrating an example of a network configuration according to
11 is a diagram showing an internal configuration of an attack countermeasure system according to
FIG. 12 is a flowchart showing a procedure flow in a TTL changing unit.
FIG. 13 is a diagram illustrating an example of storage contents of a network distance storage unit, a packet after update processing, and a result in a target machine.
FIG. 14 is a diagram illustrating an example of a network configuration to which a conventional technique is applied.
FIG. 15 is a diagram illustrating an internal configuration of an attack detection system according to a conventional technique.
FIG. 16 is a diagram illustrating an attack signature, a received packet, a conventional reconfiguration result, and a result on a conventional target machine.
[Explanation of symbols]
DESCRIPTION OF
Claims (7)
前記複数のデータ通信装置のそれぞれについて、前記データ中継装置からそれぞれのデータ通信装置までのネットワーク距離を記憶ネットワーク距離として記憶するネットワーク距離記憶部と、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継装置からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信部と、
前記送信データに表示された前記表示ネットワーク距離と、前記送信データの宛先とされた宛先データ通信装置の記憶ネットワーク距離とを比較し、比較結果に基づき前記表示ネットワーク距離及び前記宛先データ通信装置の記憶ネットワーク距離のいずれか一方の値を変更するネットワーク距離変更部と、
前記ネットワーク距離変更部により前記表示ネットワーク距離及び前記宛先通信装置の記憶ネットワーク距離のいずれか一方の値の変更が行われた後に、前記送信データを前記宛先データ通信装置に対して送信するデータ送信部とを有し、
前記ネットワーク距離変更部は、前記表示ネットワーク距離の値が前記宛先データ通信装置の記憶ネットワーク距離の値よりも小さい場合は、前記表示ネットワーク距離の値を前記宛先データ通信装置の記憶ネットワーク距離の値に変更し、前記宛先データ通信装置の記憶ネットワーク距離の値が前記表示ネットワーク距離の値よりも小さい場合は、前記宛先データ通信装置の記憶ネットワーク距離の値を前記表示ネットワーク距離の値に変更することを特徴とするデータ中継装置。A data relay device that relays data communication between a plurality of data communication devices,
For each of the plurality of data communication devices, a network distance storage unit that stores a network distance from the data relay device to each data communication device as a storage network distance;
A data receiving unit that receives transmission data that is transmitted from any data communication device as a destination to any other data communication device and that displays a network distance that can be transferred from the data relay device as a display network distance;
The display network distance displayed in the transmission data is compared with the storage network distance of the destination data communication device that is the destination of the transmission data, and based on the comparison result, the display network distance and the storage of the destination data communication device A network distance changing unit for changing one of the values of the network distance;
A data transmission unit that transmits the transmission data to the destination data communication apparatus after the value of either the display network distance or the storage network distance of the destination communication apparatus is changed by the network distance change unit It has a door,
When the value of the display network distance is smaller than the value of the storage network distance of the destination data communication device, the network distance change unit changes the value of the display network distance to the value of the storage network distance of the destination data communication device. If the value of the storage network distance of the destination data communication device is smaller than the value of the display network distance, the storage network distance value of the destination data communication device is changed to the value of the display network distance. Characteristic data relay device.
前記データ受信部は、前記表示ネットワーク距離としてTTL値が表示された送信データを受信し、
前記ネットワーク距離変更部は、前記送信データに表示された表示TTL値と前記ネットワーク距離記憶部に記憶された前記宛先データ通信装置の記憶TTL値とを比較し、比較結果に基づき前記表示TTL値及び前記宛先データ通信装置の記憶TTL値のいずれか一方の値を変更することを特徴とする請求項1に記載のデータ中継装置。The network distance storage unit stores a TTL (Time To Live) value required from the data relay device to each data communication device as the storage network distance,
The data receiving unit receives transmission data in which a TTL value is displayed as the display network distance,
The network distance changing unit compares the display TTL value displayed in the transmission data with the stored TTL value of the destination data communication device stored in the network distance storage unit, and based on the comparison result, the display TTL value and The data relay apparatus according to claim 1, wherein one of the stored TTL values of the destination data communication apparatus is changed.
前記複数のデータ通信装置のそれぞれについて、前記データ中継方法からそれぞれのデータ通信装置までのネットワーク距離を記憶ネットワーク距離として記憶するネットワーク距離記憶ステップと、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継方法からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信ステップと、
前記送信データに表示された前記表示ネットワーク距離と、前記送信データの宛先とされた宛先データ通信装置の記憶ネットワーク距離とを比較し、比較結果に基づき前記表示ネットワーク距離及び前記宛先データ通信装置の記憶ネットワーク距離のいずれか一方の値を変更するネットワーク距離変更ステップと、
前記ネットワーク距離変更ステップにより前記表示ネットワーク距離及び前記宛先通信装置の記憶ネットワーク距離のいずれか一方の値の変更が行われた後に、前記送信データを前記宛先データ通信装置に対して送信するデータ送信ステップとを有し、
前記ネットワーク距離変更ステップは、前記表示ネットワーク距離の値が前記宛先データ通信装置の記憶ネットワーク距離の値よりも小さい場合は、前記表示ネットワーク距離の値を前記宛先データ通信装置の記憶ネットワーク距離の値に変更し、前記宛先データ通信装置の記憶ネットワーク距離の値が前記表示ネットワーク距離の値よりも小さい場合は、前記宛先データ通信装置の記憶ネットワーク距離の値を前記表示ネットワーク距離の値に変更することを特徴とするデータ中継方法。A data relay method for relaying data communication between a plurality of data communication devices,
For each of the plurality of data communication devices, a network distance storage step for storing a network distance from the data relay method to each data communication device as a storage network distance;
A data receiving step for receiving transmission data transmitted from any data communication device as a destination to any other data communication device and displaying a network distance that can be transferred from the data relay method as a display network distance;
The display network distance displayed in the transmission data is compared with the storage network distance of the destination data communication device that is the destination of the transmission data, and based on the comparison result, the display network distance and the storage of the destination data communication device A network distance changing step for changing one of the values of the network distance;
A data transmission step of transmitting the transmission data to the destination data communication device after the value of either the display network distance or the storage network distance of the destination communication device is changed by the network distance change step. It has a door,
In the network distance changing step, when the value of the display network distance is smaller than the value of the storage network distance of the destination data communication device, the value of the display network distance is changed to the value of the storage network distance of the destination data communication device. If the value of the storage network distance of the destination data communication device is smaller than the value of the display network distance, the storage network distance value of the destination data communication device is changed to the value of the display network distance. Characteristic data relay method.
前記データ受信ステップは、前記表示ネットワーク距離としてTTL値が表示された送信データを受信し、
前記ネットワーク距離変更ステップは、前記送信データに表示された表示TTL値と前記ネットワーク距離記憶ステップに記憶された前記宛先データ通信装置の記憶TTL値とを比較し、比較結果に基づき前記表示TTL値及び前記宛先データ通信装置の記憶TTL値のいずれか一方の値を変更することを特徴とする請求項4に記載のデータ中継方法。The network distance storing step stores a TTL (Time To Live) value necessary from the data relay method to each data communication device as the storage network distance,
The data receiving step receives transmission data in which a TTL value is displayed as the display network distance,
The network distance changing step compares the display TTL value displayed in the transmission data with the storage TTL value of the destination data communication device stored in the network distance storage step, and based on the comparison result, the display TTL value and 5. The data relay method according to claim 4 , wherein one of the stored TTL values of the destination data communication apparatus is changed.
前記複数のデータ通信装置のそれぞれについて、前記データ中継装置からそれぞれのデータ通信装置までのネットワーク距離を記憶ネットワーク距離として記憶するネットワーク距離記憶処理と、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継装置からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信処理と、
前記送信データに表示された前記表示ネットワーク距離と、前記送信データの宛先とされた宛先データ通信装置の記憶ネットワーク距離とを比較し、比較結果に基づき前記表示ネットワーク距離及び前記宛先データ通信装置の記憶ネットワーク距離のいずれか一方の値を変更する処理であって、前記表示ネットワーク距離の値が前記宛先データ通信装置の記憶ネットワーク距離の値よりも小さい場合は、前記表示ネットワーク距離の値を前記宛先データ通信装置の記憶ネットワーク距離の値に変更し、前記宛先データ通信装置の記憶ネットワーク距離の値が前記表示ネットワーク距離の値よりも小さい場合は、前記宛先データ通信装置の記憶ネットワーク距離の値を前記表示ネットワーク距離の値に変更するネットワーク距離変更処理と、
前記ネットワーク距離変更処理により前記表示ネットワーク距離及び前記宛先通信装置の記憶ネットワーク距離のいずれか一方の値の変更が行われた後に、前記送信データを前記宛先データ通信装置に対して送信するデータ送信処理とを前記データ中継装置に実行させるためのデータ中継処理プログラム。A data relay processing program for causing a data relay device to execute data relay processing for relaying data communication between a plurality of data communication devices,
For each of the plurality of data communication devices, a network distance storage process for storing a network distance from the data relay device to each data communication device as a storage network distance;
A data reception process for receiving transmission data transmitted from one of the data communication devices as a destination to any other data communication device and displaying a network distance that can be transferred from the data relay device as a display network distance;
The display network distance displayed in the transmission data is compared with the storage network distance of the destination data communication device that is the destination of the transmission data, and based on the comparison result, the display network distance and the storage of the destination data communication device In the process of changing one of the network distance values, when the display network distance value is smaller than the storage network distance value of the destination data communication device, the display network distance value is set to the destination data. When the storage network distance value of the destination data communication device is smaller than the display network distance value, the storage network distance value of the destination data communication device is displayed. Network distance change processing to change to the network distance value ,
Data transmission processing for transmitting the transmission data to the destination data communication device after the value of either the display network distance or the storage network distance of the destination communication device is changed by the network distance change processing And a data relay processing program for causing the data relay device to execute.
前記複数のデータ通信装置のそれぞれについて、前記データ中継装置からそれぞれのデータ通信装置までのネットワーク距離を記憶ネットワーク距離として記憶するネットワーク距離記憶処理と、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継装置からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信処理と、
前記送信データに表示された前記表示ネットワーク距離と、前記送信データの宛先とされた宛先データ通信装置の記憶ネットワーク距離とを比較し、比較結果に基づき前記表示ネットワーク距離及び前記宛先データ通信装置の記憶ネットワーク距離のいずれか一方の値を変更する処理であって、前記表示ネットワーク距離の値が前記宛先データ通信装置の 記憶ネットワーク距離の値よりも小さい場合は、前記表示ネットワーク距離の値を前記宛先データ通信装置の記憶ネットワーク距離の値に変更し、前記宛先データ通信装置の記憶ネットワーク距離の値が前記表示ネットワーク距離の値よりも小さい場合は、前記宛先データ通信装置の記憶ネットワーク距離の値を前記表示ネットワーク距離の値に変更するネットワーク距離変更処理と、
前記ネットワーク距離変更処理により前記表示ネットワーク距離及び前記宛先通信装置の記憶ネットワーク距離のいずれか一方の値の変更が行われた後に、前記送信データを前記宛先データ通信装置に対して送信するデータ送信処理とを前記データ中継装置に実行させるためのデータ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体。A computer-readable recording medium recording a data relay processing program for causing a data relay device to execute data relay processing for relaying data communication between a plurality of data communication devices,
For each of the plurality of data communication devices, a network distance storage process for storing a network distance from the data relay device to each data communication device as a storage network distance;
A data reception process for receiving transmission data transmitted from one of the data communication devices as a destination to any other data communication device and displaying a network distance that can be transferred from the data relay device as a display network distance;
The display network distance displayed in the transmission data is compared with the storage network distance of the destination data communication device that is the destination of the transmission data, and based on the comparison result, the display network distance and the storage of the destination data communication device In the process of changing one of the network distance values, when the display network distance value is smaller than the storage network distance value of the destination data communication device , the display network distance value is set to the destination data. When the storage network distance value of the destination data communication device is smaller than the display network distance value, the storage network distance value of the destination data communication device is displayed. Network distance change processing to change to the network distance value ,
Data transmission processing for transmitting the transmission data to the destination data communication device after the value of either the display network distance or the storage network distance of the destination communication device is changed by the network distance change processing A computer-readable recording medium on which a data relay processing program for causing the data relay device to execute is recorded.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2001272867A JP3919488B2 (en) | 2001-09-10 | 2001-09-10 | Data relay apparatus, data relay method, data relay processing program, and computer-readable recording medium recording the data relay processing program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2001272867A JP3919488B2 (en) | 2001-09-10 | 2001-09-10 | Data relay apparatus, data relay method, data relay processing program, and computer-readable recording medium recording the data relay processing program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2003087333A JP2003087333A (en) | 2003-03-20 |
JP3919488B2 true JP3919488B2 (en) | 2007-05-23 |
Family
ID=19098165
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2001272867A Expired - Fee Related JP3919488B2 (en) | 2001-09-10 | 2001-09-10 | Data relay apparatus, data relay method, data relay processing program, and computer-readable recording medium recording the data relay processing program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3919488B2 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4649253B2 (en) * | 2005-03-30 | 2011-03-09 | 株式会社野村総合研究所 | Log acquisition program and method |
JP4551316B2 (en) * | 2005-11-22 | 2010-09-29 | 日本電信電話株式会社 | Relay device and relay device program |
JP4148526B2 (en) | 2006-04-20 | 2008-09-10 | インターナショナル・ビジネス・マシーンズ・コーポレーション | Apparatus and method for detecting a network address translation device. |
-
2001
- 2001-09-10 JP JP2001272867A patent/JP3919488B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2003087333A (en) | 2003-03-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4509955B2 (en) | VPN communication detection method and apparatus | |
US7936743B2 (en) | Method and system for determining a path between two points of an IP network over which datagrams are transmitted | |
CN113132342B (en) | Method, network device, tunnel entry point device, and storage medium | |
EP2001165B1 (en) | Method and system for measuring network performance | |
JP3225924B2 (en) | Communication quality control device | |
EP2764662B1 (en) | Test traffic interceptor in a data network | |
CN108111509B (en) | Data transmission method | |
US11943147B2 (en) | Method of determining passive round trip time, RTT, delay in a telecommunications system | |
US7773540B1 (en) | Methods, system and apparatus preventing network and device identification | |
CN101237468A (en) | Relay device, program and relay method | |
JP2008098813A (en) | Information communication device, information communication method, and program | |
US20160156742A1 (en) | Relaying system and method of transmitting ip address of client to server using encapsulation protocol | |
US20080192641A1 (en) | Automatic discovery of blocking access-list ID and match statements in a network | |
Edeline et al. | A bottom-up investigation of the transport-layer ossification | |
Simpson | TCP cookie transactions (TCPCT) | |
Göhring et al. | Path mtu discovery considered harmful | |
JP3919488B2 (en) | Data relay apparatus, data relay method, data relay processing program, and computer-readable recording medium recording the data relay processing program | |
EP3328032B1 (en) | Network proxy detection | |
JP2003163681A (en) | Device and method for transferring packet and program | |
JP3961415B2 (en) | Protocol defect automatic detection method and protocol defect automatic detection device | |
Custura et al. | Reducing the acknowledgement frequency in IETF QUIC | |
Hoogstraaten | Evaluating server-side internet proxy detection methods | |
JP2001358771A (en) | Device for controlling communication quality | |
CN113965338B (en) | Intranet penetration method | |
CN116915653A (en) | Method and system for detecting number of devices based on network address conversion |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20040518 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20041019 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050411 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20061206 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061212 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070123 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070213 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070213 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 3919488 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100223 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110223 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120223 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130223 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130223 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140223 Year of fee payment: 7 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |