JP3919488B2 - データ中継装置、データ中継方法、データ中継処理プログラム及びデータ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体 - Google Patents
データ中継装置、データ中継方法、データ中継処理プログラム及びデータ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体 Download PDFInfo
- Publication number
- JP3919488B2 JP3919488B2 JP2001272867A JP2001272867A JP3919488B2 JP 3919488 B2 JP3919488 B2 JP 3919488B2 JP 2001272867 A JP2001272867 A JP 2001272867A JP 2001272867 A JP2001272867 A JP 2001272867A JP 3919488 B2 JP3919488 B2 JP 3919488B2
- Authority
- JP
- Japan
- Prior art keywords
- network distance
- data
- data communication
- value
- communication device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
【0001】
【発明の属する技術分野】
この発明は、攻撃データが複数のパケットに分割されてネットワークへ送られた際に、その攻撃データを正しく発見したり、無効化する装置等に関するものである。
【0002】
【従来の技術】
従来の技術として、特開2000−354034に「事業:ハッカー監視室」が開示されている。
図14及び図15は、この「事業:ハッカー監視室」を説明する図である。
図14において、100は、データ通信装置が接続可能でパケットの送受信が可能なネットワークA、200は、データ通信装置が接続可能でパケットの送受信が可能なネットワークBである。
2は、ネットワークA100にてターゲットマシン4に対する攻撃データを複数のパケットにて送る攻撃マシンである。
3は、ネットワークA100とネットワークB200の間のパケットの中継を行うルータである。
4は、ネットワークB200にてサービスを提供するターゲットマシンである。
6は、ネットワークA100に接続され、ネットワークA100内のデータ通信装置から送信されたパケットを受信し、受信したパケットの中から攻撃データを検出する攻撃検出システムである。
【0003】
図15は、攻撃検出システム6の内部構成を示しており、61は、ネットワークA100にて通信されるパケットをパケットの宛先にかかわらず受信するパケット受信部である。
62は、パケット受信部61から渡されたパケットを元に通信データを再構成するデータ再構成部である。
63は、攻撃データの特徴である攻撃シグネチャ(攻撃コマンド)を、予め保存しておくシグネチャデータベース(以下、シグネチャDBとする)である。
64は、再構成された通信データと攻撃シグネチャとを比較して攻撃データかどうかを判定する攻撃チェック部である。
【0004】
次に、攻撃検出システム6の動作について説明する。
パケット受信部61は、ネットワークA100に接続されたデータ通信装置より送信されたパケットを受信する。
ここで、例えば、攻撃マシン2よりターゲットマシン4を宛先とする図16(b)〜(d)に示すパケットA、パケットB、パケットCを受信したとする。
次に、データ再構成部62は、パケット受信部61により受信されたパケットのデータ内容の再構成を行う。
図16の例では、パケットA、パケットB、パケットCのそれぞれのデータ内容を組み合わせて図16(e)に示すように、”/cgi−bin/phaf”というデータ内容に再構成する。
次に、攻撃チェック部64が、再構成されたデータ内容と、シグネチャDB63に蓄積されている攻撃シグネチャとを比較し、比較の結果攻撃データであると判定した場合は、その攻撃データを破棄し、攻撃データでないと判断した場合は、宛先のデータ通信装置への転送を許可する。
図16(a)は、シグネチャDB63に蓄積された攻撃シグネチャを示す。
図16(a)の攻撃シグネチャと図16(e)の再構成結果は、データ内容が一致しないため(攻撃シグネチャでは/phf”となっているのに対して再構成結果では/phaf”となっているため)、攻撃チェック部64は、これらパケットA、パケットB、パケットCは攻撃データではないと判断し、これらのパケットの転送を許可する。
【0005】
一方で、図16(b)〜(d)のパケットA、パケットB、パケットCには、それぞれTTL(Time To Live)の値が示されている。
このTTL値は、パケットがネットワークの中に滞在可能な時間(秒数)を示す値であり、ルータ(ゲートウェイ)を通過する度にルータ(ゲートウェイ)の処理に費やした時間が、表示されたTTL値から減算される。ただし、処理時間が1秒に満たない場合や、処理時間を計測できない場合は、少なくとも1秒が減らされる。そして、TTL値が0となった場合には、ルータ(ゲートウェイ)によりそのパケットは破棄されることになる。即ち、TTLは、パケットの有効期間を示す値となる。
また、ルータの処理に費やした時間の代わりに、ホップカウントを用いてTTL値とすることも可能である。つまり、ルータを1つ通過するたびにTTL値を1つづつ減らし、TTL値が0となった時点でルータがパケットを破棄するようにしてもよい。この場合には、TTL値は、パケットが転送されるネットワーク距離を示すことになる。
ここで、パケットAではTTL=5、パケットBではTTL=1、パケットCではTTL=5である。このため、攻撃検出システム6からターゲットマシン4までに必要なTTL値が2〜5の間の場合は、パケットBは途中のルータで破棄され、パケットA及びパケットCのみがターゲットマシン4に到達することになる。
ターゲットマシン4に到達したパケットA及びパケットCのデータ内容は、図16(f)に示すものとなり、これは、結局図16(a)の攻撃シグネチャと一致する結果となる。
【0006】
【発明が解決しようとする課題】
このように、従来の技術においては、攻撃検出システムには到達するものの、ルータを経由するターゲットマシンには到達しないようにTTLを操作したダミーのパケットを、攻撃データの分割された複数のパケットの間に潜り込ませることによって、攻撃シグネチャとして検出不能(見かけ上は攻撃データと判定できない)でありながらターゲットマシンが攻撃されるという問題があった。
そこで、本発明は、このような問題点を解決することを目的とする。
【0007】
【課題を解決するための手段】
本発明に係るデータ中継装置は、
複数のデータ通信装置間のデータ通信を中継するデータ中継装置であって、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継装置からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信部と、
前記データ中継装置から前記送信データの宛先とされた宛先データ通信装置までのネットワーク距離を測定ネットワーク距離として測定するネットワーク距離測定部と、
前記送信データに表示された前記表示ネットワーク距離と、前記ネットワーク距離測定部により測定された前記測定ネットワーク距離とを比較し、比較結果に基づき前記送信データを破棄するか否かを決定するデータ検査部とを有することを特徴とする。
【0008】
前記データ中継装置は、更に、同一のデータ通信装置を宛先データ通信装置とする複数の送信データが前記データ受信部により受信され、受信された前記複数の送信データのうち少なくとも二以上の送信データが前記データ検査部により破棄されずに維持された場合に、維持された送信データを組み合わせて維持された送信データのデータ内容を再構成するデータ再構成部と、
前記データ再構成部により再構成されたデータ内容が、前記宛先データ通信装置への攻撃を目的とするデータ内容であるか否かを判定するデータ判定部とを有することを特徴とする。
【0009】
データ検査部は、前記送信データの前記表示ネットワーク距離の値が、前記測定ネットワーク距離の値よりも小さい場合に前記送信データを破棄する決定を行うことを特徴とする。
【0010】
前記データ受信部は、前記表示ネットワーク距離としてTTL(Time To Live)値が表示された送信データを受信し、
前記ネットワーク距離測定部は、前記測定ネットワーク距離として前記データ中継装置から前記宛先データ通信装置までに必要なTTL値を測定し、
前記データ検査部は、前記送信データに表示されたTTL値と、前記ネットワーク距離測定部により測定されたTTL値とを比較し、比較結果に基づき前記送信データを破棄するか否かを決定することを特徴とする。
【0011】
前記データ中継装置は、更に、いずれかのデータ通信装置への攻撃に用いられる攻撃コマンドを少なくとも一つ以上記憶した攻撃コマンド記憶部を有し、
前記データ判定部は、前記データ再構成部により再構成されたデータ内容が前記攻撃コマンド記憶部に記憶された前記攻撃コマンドのいずれかに一致するか否かを判定することを特徴とする。
【0012】
本発明に係るデータ中継装置は、
複数のデータ通信装置間のデータ通信を中継するデータ中継装置であって、
前記複数のデータ通信装置のそれぞれについて、前記データ中継装置からそれぞれのデータ通信装置までのネットワーク距離を記憶ネットワーク距離として記憶するネットワーク距離記憶部と、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継装置からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信部と、
前記送信データに表示された前記表示ネットワーク距離と、前記送信データの宛先とされた宛先データ通信装置の記憶ネットワーク距離とを比較し、比較結果に基づき前記表示ネットワーク距離及び前記宛先データ通信装置の記憶ネットワーク距離のいずれか一方の値を変更するネットワーク距離変更部と、
前記ネットワーク距離変更部により前記表示ネットワーク距離及び前記宛先通信装置の記憶ネットワーク距離のいずれか一方の値の変更が行われた後に、前記送信データを前記宛先データ通信装置に対して送信するデータ送信部とを有することを特徴とする。
【0013】
前記ネットワーク距離変更部は、前記表示ネットワーク距離の値が前記宛先データ通信装置の記憶ネットワーク距離の値よりも小さい場合は、前記表示ネットワーク距離の値を前記宛先データ通信装置の記憶ネットワーク距離の値に変更し、前記宛先データ通信装置の記憶ネットワーク距離の値が前記表示ネットワーク距離の値よりも小さい場合は、前記宛先データ通信装置の記憶ネットワーク距離の値を前記表示ネットワーク距離の値に変更することを特徴とする。
【0014】
前記ネットワーク距離記憶部に記憶ネットワーク距離が記憶されていない新規のデータ通信装置を宛先とする送信データが前記データ受信部により受信された場合に、前記ネットワーク距離記憶部は、前記送信データに表示されたネットワーク距離を、前記新規のデータ通信装置の記憶ネットワーク距離として記憶することを特徴とする。
【0015】
前記ネットワーク距離記憶部は、前記記憶ネットワーク距離として前記データ中継装置からそれぞれのデータ通信装置までに必要なTTL(Time To Live)値を記憶し、
前記データ受信部は、前記表示ネットワーク距離としてTTL値が表示された送信データを受信し、
前記ネットワーク距離変更部は、前記送信データに表示された表示TTL値と前記ネットワーク距離記憶部に記憶された前記宛先データ通信装置の記憶TTL値とを比較し、比較結果に基づき前記表示TTL値及び前記宛先データ通信装置の記憶TTL値のいずれか一方の値を変更することを特徴とする。
【0016】
本発明に係るデータ中継方法は、
複数のデータ通信装置間のデータ通信を中継するデータ中継方法であって、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継方法からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信ステップと、
前記データ中継方法から前記送信データの宛先とされた宛先データ通信装置までのネットワーク距離を測定ネットワーク距離として測定するネットワーク距離測定ステップと、
前記送信データに表示された前記表示ネットワーク距離と、前記ネットワーク距離測定ステップにより測定された前記測定ネットワーク距離とを比較し、比較結果に基づき前記送信データを破棄するか否かを決定するデータ検査ステップとを有することを特徴とする。
【0017】
前記データ中継方法は、更に、同一のデータ通信装置を宛先データ通信装置とする複数の送信データが前記データ受信ステップにより受信され、受信された前記複数の送信データのうち少なくとも二以上の送信データが前記データ検査ステップにより破棄されずに維持された場合に、維持された送信データを組み合わせて維持された送信データのデータ内容を再構成するデータ再構成ステップと、
前記データ再構成ステップにより再構成されたデータ内容が、前記宛先データ通信装置への攻撃を目的とするデータ内容であるか否かを判定するデータ判定ステップとを有することを特徴とする。
【0018】
データ検査ステップは、前記送信データの前記表示ネットワーク距離の値が、前記測定ネットワーク距離の値よりも小さい場合に前記送信データを破棄する決定を行うことを特徴とする。
【0019】
前記データ受信ステップは、前記表示ネットワーク距離としてTTL(Time To Live)値が表示された送信データを受信し、
前記ネットワーク距離測定ステップは、前記測定ネットワーク距離として前記データ中継方法から前記宛先データ通信装置までに必要なTTL値を測定し、
前記データ検査ステップは、前記送信データに表示されたTTL値と、前記ネットワーク距離測定ステップにより測定されたTTL値とを比較し、比較結果に基づき前記送信データを破棄するか否かを決定することを特徴とする。
【0020】
本発明に係るデータ中継方法は、
複数のデータ通信装置間のデータ通信を中継するデータ中継方法であって、
前記複数のデータ通信装置のそれぞれについて、前記データ中継方法からそれぞれのデータ通信装置までのネットワーク距離を記憶ネットワーク距離として記憶するネットワーク距離記憶ステップと、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継方法からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信ステップと、
前記送信データに表示された前記表示ネットワーク距離と、前記送信データの宛先とされた宛先データ通信装置の記憶ネットワーク距離とを比較し、比較結果に基づき前記表示ネットワーク距離及び前記宛先データ通信装置の記憶ネットワーク距離のいずれか一方の値を変更するネットワーク距離変更ステップと、
前記ネットワーク距離変更ステップにより前記表示ネットワーク距離及び前記宛先通信装置の記憶ネットワーク距離のいずれか一方の値の変更が行われた後に、前記送信データを前記宛先データ通信装置に対して送信するデータ送信ステップとを有することを特徴とする。
【0021】
前記ネットワーク距離変更ステップは、前記表示ネットワーク距離の値が前記宛先データ通信装置の記憶ネットワーク距離の値よりも小さい場合は、前記表示ネットワーク距離の値を前記宛先データ通信装置の記憶ネットワーク距離の値に変更し、前記宛先データ通信装置の記憶ネットワーク距離の値が前記表示ネットワーク距離の値よりも小さい場合は、前記宛先データ通信装置の記憶ネットワーク距離の値を前記表示ネットワーク距離の値に変更することを特徴とする。
【0022】
前記ネットワーク距離記憶ステップは、前記記憶ネットワーク距離として前記データ中継方法からそれぞれのデータ通信装置までに必要なTTL(Time To Live)値を記憶し、
前記データ受信ステップは、前記表示ネットワーク距離としてTTL値が表示された送信データを受信し、
前記ネットワーク距離変更ステップは、前記送信データに表示された表示TTL値と前記ネットワーク距離記憶ステップに記憶された前記宛先データ通信装置の記憶TTL値とを比較し、比較結果に基づき前記表示TTL値及び前記宛先データ通信装置の記憶TTL値のいずれか一方の値を変更することを特徴とする。
【0023】
本発明に係るデータ中継処理プログラムは、
複数のデータ通信装置間のデータ通信を中継するデータ中継処理をデータ中継装置に実行させるためのデータ中継処理プログラムであって、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継装置からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信処理と、
前記データ中継装置から前記送信データの宛先とされた宛先データ通信装置までのネットワーク距離を測定ネットワーク距離として測定するネットワーク距離測定処理と、
前記送信データに表示された前記表示ネットワーク距離と、前記ネットワーク距離測定処理により測定された前記測定ネットワーク距離とを比較し、比較結果に基づき前記送信データを破棄するか否かを決定するデータ検査処理とを前記データ中継装置に実行させるためのデータ中継処理プログラムであることを特徴とする。
【0024】
前記データ中継処理プログラムは、更に、同一のデータ通信装置を宛先データ通信装置とする複数の送信データが前記データ受信処理により受信され、受信された前記複数の送信データのうち少なくとも二以上の送信データが前記データ検査処理により破棄されずに維持された場合に、維持された送信データを組み合わせて維持された送信データのデータ内容を再構成するデータ再構成処理と、
前記データ再構成処理により再構成されたデータ内容が、前記宛先データ通信装置への攻撃を目的とするデータ内容であるか否かを判定するデータ判定処理とを前記データ中継装置に実行させるためのデータ中継処理プログラムであることを特徴とする。
【0025】
本発明に係るデータ中継処理プログラムは、
複数のデータ通信装置間のデータ通信を中継するデータ中継処理をデータ中継装置に実行させるためのデータ中継処理プログラムであって、
前記複数のデータ通信装置のそれぞれについて、前記データ中継装置からそれぞれのデータ通信装置までのネットワーク距離を記憶ネットワーク距離として記憶するネットワーク距離記憶処理と、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継装置からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信処理と、
前記送信データに表示された前記表示ネットワーク距離と、前記送信データの宛先とされた宛先データ通信装置の記憶ネットワーク距離とを比較し、比較結果に基づき前記表示ネットワーク距離及び前記宛先データ通信装置の記憶ネットワーク距離のいずれか一方の値を変更するネットワーク距離変更処理と、
前記ネットワーク距離変更処理により前記表示ネットワーク距離及び前記宛先通信装置の記憶ネットワーク距離のいずれか一方の値の変更が行われた後に、前記送信データを前記宛先データ通信装置に対して送信するデータ送信処理とを前記データ中継装置に実行させるためのデータ中継処理プログラムであることを特徴とする。
【0026】
本発明に係るコンピュータ読み取り可能な記録媒体は、
複数のデータ通信装置間のデータ通信を中継するデータ中継処理をデータ中継装置に実行させるためのデータ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体であって、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継装置からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信処理と、
前記データ中継装置から前記送信データの宛先とされた宛先データ通信装置までのネットワーク距離を測定ネットワーク距離として測定するネットワーク距離測定処理と、
前記送信データに表示された前記表示ネットワーク距離と、前記ネットワーク距離測定処理により測定された前記測定ネットワーク距離とを比較し、比較結果に基づき前記送信データを破棄するか否かを決定するデータ検査処理とを前記データ中継装置に実行させるためのデータ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体であることを特徴とする。
【0027】
前記データ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体は、更に、同一のデータ通信装置を宛先データ通信装置とする複数の送信データが前記データ受信処理により受信され、受信された前記複数の送信データのうち少なくとも二以上の送信データが前記データ検査処理により破棄されずに維持された場合に、維持された送信データを組み合わせて維持された送信データのデータ内容を再構成するデータ再構成処理と、
前記データ再構成処理により再構成されたデータ内容が、前記宛先データ通信装置への攻撃を目的とするデータ内容であるか否かを判定するデータ判定処理とを前記データ中継装置に実行させるためのデータ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体であることを特徴とする。
【0028】
本発明に係るコンピュータ読み取り可能な記録媒体は、
複数のデータ通信装置間のデータ通信を中継するデータ中継処理をデータ中継装置に実行させるためのデータ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体であって、
前記複数のデータ通信装置のそれぞれについて、前記データ中継装置からそれぞれのデータ通信装置までのネットワーク距離を記憶ネットワーク距離として記憶するネットワーク距離記憶処理と、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継装置からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信処理と、
前記送信データに表示された前記表示ネットワーク距離と、前記送信データの宛先とされた宛先データ通信装置の記憶ネットワーク距離とを比較し、比較結果に基づき前記表示ネットワーク距離及び前記宛先データ通信装置の記憶ネットワーク距離のいずれか一方の値を変更するネットワーク距離変更処理と、
前記ネットワーク距離変更処理により前記表示ネットワーク距離及び前記宛先通信装置の記憶ネットワーク距離のいずれか一方の値の変更が行われた後に、前記送信データを前記宛先データ通信装置に対して送信するデータ送信処理とを前記データ中継装置に実行させるためのデータ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体であることを特徴とする。
【0029】
【発明の実施の形態】
実施の形態1.
図1は、本実施の形態に係るネットワーク構成の一例を示す図である。
図1において、1はネットワークA100に接続され、ネットワークA100内のデータ通信装置から送信されたパケットを受信し、受信したパケットの中から攻撃データを検出する攻撃対策システムである。攻撃対策システムは、本発明に係るデータ中継装置に相当する。
なお、他の構成要素は、図14に示したものと同様である。
【0030】
図2は、攻撃対策システム1の内部構成を示す図である。
11は、ネットワークA100にて通信されるパケットをパケットの宛先にかかわらず受信するとともに、攻撃チェック部17により攻撃データでないと判定されたパケットを宛先のデータ通信装置に対して送信するパケット送受信部である。なお、パケット送受信部11が受信するパケットには、TTL(Time To Live)値が含まれている。このTTL値は、ネットワーク距離に相当する。前述したように、ルータの処理に費やした時間の代わりに、ホップカウントを用いてTTL値とすることも可能であり、ルータを1つ通過するたびにTTL値を1つづつ減らし、TTL値が0となった時点でルータがパケットを破棄するようにしてもよい。この場合には、TTL値はパケットが転送されるネットワーク距離に相当する。
12は、パケット送受信部11によりパケットが受信された場合に、受信されたパケットの宛先であるデータ通信装置(宛先データ通信装置)までのネットワーク距離を測定するための測定パケットを生成する測定パケット生成部である。13は、測定パケット生成部12により生成された測定パケットを宛先データ通信装置に対して送信し、測定パケットに対する応答を受信する測定パケット送受信部である。
なお、測定パケット生成部12と測定パケット送受信部13とを合わせてネットワーク距離測定部という。
14は、パケット送受信部11で受信されたパケットに含まれるTTL値と測定パケット送受信部13から得られたネットワーク距離を比較し、比較結果に基づき、パケットの破棄の決定又はパケットをデータ再構成部15へ渡す決定のいずれかを行うパケット検査部である。パケット検査部14は、データ検査部に相当する。
15は、パケット検査部14から渡されたパケットを元に通信データを再構成するデータ再構成部である。
16は、攻撃データの特徴である攻撃シグネチャ(攻撃コマンド)を、予め保存しておくシグネチャデータベース(以下、シグネチャDBとする)である。シグネチャDB16は、攻撃コマンド記憶部に相当する。
17は、再構成された通信データと攻撃シグネチャとを比較して攻撃データかどうかを判定する攻撃チェック部である。攻撃チェック部17は、データ判定部に相当する。
【0031】
なお、攻撃対策システム1(データ中継装置)は、図示していないが、例えばマイクロプロセッサ等のCPU、半導体メモリ等や磁気ディスク等の記録手段、及び通信手段を有する計算機により実現することができる。記録手段には、攻撃対策システム1に含まれる各構成要素の機能を実現するプログラムが記録されており、CPUがこれらのプログラムを読み込むことにより攻撃対策システム1の動作を制御し、各構成要素の機能を実現することができる。
なお、これらのプログラムを計算機で読みとり可能な記録媒体に記録することも可能である。更には、これらのプログラムを通信網を介して転送することも可能である。
【0032】
次に、攻撃対策システム1の動作について説明する。
パケット送受信部11は、ネットワークA100に接続されたデータ通信装置より送信されたパケットを受信する。
ここで、例えば、攻撃マシン2よりターゲットマシン4を宛先とする図3(b)〜(d)に示すパケットA、パケットB、パケットCを受信したとする。
次に、パケット送受信部11は、受信したパケットA、パケットB、パケットCをパケット検査部14へと渡す。
パケット検査部14では、図4に示すパケット検査手順によりパケットを処理する。
以下、図4のフローチャート図に従って、パケット検査部14の処理を説明する。
【0033】
まず、パケット検査部14は、ステップS11にて、パケットから宛先データ通信装置(ここでは、ターゲットマシン4)のアドレス(以下、宛先アドレスとする)を取得する。
次に、ステップS12にて、宛先アドレスを測定パケット生成部12に渡して呼び出す。
ここで、図5を用いて、測定パケット生成部12及び測定パケット送受信部13によるネットワーク距離の測定手順を説明する。
【0034】
まず、測定パケット生成部12が、ステップS21において、測定パケットを作成する。具体的には、IPデータグラム・ヘッダ・フォーマットのDestination Address=宛先アドレス(ここでは、ターゲットマシン4のアドレス)、TTL=1に設定した測定パケットを生成する。図6に、IPデータグラム・ヘッダ・フォーマットの例を示す。図6の例では、Identification35に宛先アドレスを設定し、Time To Live36にTTL=1を設定する。また、測定パケットは、図7に示すように、ICMPエコー要求メッセージ37とする。
次に、ステップS22において、測定パケット送受信部13が、測定パケットをネットワークA100に送る。
ここで、宛先データ通信装置(ここでは、ターゲットマシン4)までに配置されたルータ3では、測定パケットのTTL値を確認し、TTL値を1減算する。減算の結果、TTL値は0となるので、ICMP時間超過メッセージ38(図8)が結果パケットとしてルータ3から送り返される。
次に、ステップS23において、測定パケット送受信部13が結果パケットを受信する。
次に、ステップS24において、測定パケット生成部12が、結果パケットより測定パケットが宛先データ通信装置に到達したか否かを判断する。ここでは、結果パケットがICMP時間超過メッセージであるためパケット未到着と判断される。
次に、ステップS25において、測定パケット生成部12は、現在のTTL値とTTL値の上限値(=225)とを比較する。ここでは、現在のTTL=1が上限値未満と判断される。
次に、ステップS26において、測定パケット生成部12は、現在のTTLの値に1加算し、TTL=2が設定された測定パケットを生成し、ステップS22に戻り、処理を繰り返す。
なお、ステップS25において、TTLが上限値(=255)に達した場合は、ステップS27にて測定不能とする。
ステップS23において、宛先アドレス(ターゲットマシン4)から送信されたICMPエコー応答メッセージを受信した場合(図9)は、ステップS24にて、測定パケット生成部12は、パケット到達と判定する。
ステップS24において、パケット到達と判断した場合は、測定パケット生成部12は、TTLの値を測定したネットワーク距離としてパケット検査部14に渡す。
【0035】
パケット検査部14では、図4のステップS13において、パケット送受信部11により受信されたパケットに表示されたTTL値と測定されたネットワーク距離(TTL値)とを比較し、測定結果(測定されたネットワーク距離)がパケットのTTL値以下の場合は、ステップS14へ、パケットのTTL値が測定結果より小さい場合は、S15へ進む。
ステップS14では、パケット検査部14は、そのパケットが宛先データ通信装置(ターゲットマシン4)へ到達すると判断して、データ再構成部15へそのパケットを渡す。
一方、ステップS15では、パケットが宛先データ通信装置(ターゲットマシン4)へ到達しないと判断して、そのパケットを破棄する決定を行い、破棄する。
図3の例では、測定されたTTL値が2〜5である場合は、パケットA及びパケットCは、ステップS14において、データ再構成部15へ渡され、パケットBは、ステップS15において、破棄されることになる。
【0036】
次に、データ再構成部15では、パケット検査部14から渡されたパケットを元にデータを再構成し、再構成結果を攻撃チェック部17へ渡す。
攻撃チェック部17は、再構成結果と、シグネチャDB16に格納された攻撃シグネチャを比較することで、攻撃データかどうかの判断を行う。
図3の例では、データ再構成部15は、パケットA及びパケットCを元に、図3(e)に示すデータ内容を再構成する。
攻撃チェック部17は、シグネチャDB16に格納された図3(a)に示す攻撃シグネチャと図3(e)の再構成結果とを比較し、再構成結果が攻撃シグネチャと一致するためパケットA及びパケットCは攻撃データであると判定し、パケットA及びパケットCは破棄される。
【0037】
実施の形態2.
図10は、本実施の形態に係るネットワーク構成の一例を示す図である。
本実施の形態では、攻撃対策システム1は、実施の形態1におけるルータ3としての役割も果たし、ネットワークA100とネットワークB200との間に配置され、ネットワークA100より送信したパケットを受信し、受信したパケットをネットワークB200へ渡す。
なお、他の構成要素は、図1に示したものと同様である。
また、図10では、省略しているが、図14と同様に、攻撃検出システム6を配備してもよい。
【0038】
図11は、本実施の形態に係る攻撃対策システム1の内部構成を示す図である。
図11において、101は、ネットワークA100にて通信されるパケットを受信し、中継制御部103へと渡すパケット送受信部(以下、パケット送受信部Aとする)である。なお、パケット送受信部A101が受信するパケットには、TTL(Time To Live)値が含まれている。また、パケット送受信部A101は、データ送信部又はデータ受信部に相当する。
102は、ネットワークB200にて通信されるパケットを受信し、中継制御部103へと渡すパケット送受信部(以下、パケット送受信部Bとする)である。なお、パケット送受信部B102は、データ送信部又はデータ受信部に相当する。
103は、パケット送受信部A101、パケット送受信部B102、TTL変更部105間の制御を行う中継制御部である。
104は、パケットの宛先とTTL(Time To Live)値の組み合わせを記憶するネットワーク距離記憶部である。ネットワーク距離記憶部104は、例えば、図13(a)に示すようにパケットの宛先とTTL値の組合せを記憶している。
105は、中継制御部103から渡されたパケットについて、パケットに含まれたTTL値とネットワーク距離記憶部104に格納された対応するTTL値とを比較し、比較結果に応じてパケットのTTL値又はネットワーク距離記憶部104に記憶されたTTL値を変更するTTL変更部である。また、TTL値がネットワーク距離記憶部104に格納されていない新規データ通信装置がパケットの宛先となっている場合は、TTL変更部105は、その新規データ通信装置宛のパケットに含まれたTTL値をネットワーク距離記憶部104に格納する。なお、TTL変更部105は、ネットワーク距離変更部に相当する。
なお、本実施の形態における攻撃対策システム1(データ中継装置)も、図示していないが、例えばマイクロプロセッサ等のCPU、半導体メモリ等や磁気ディスク等の記録手段、及び通信手段を有する計算機により実現することができる。記録手段には、攻撃対策システム1に含まれる各構成要素の機能を実現するプログラムが記録されており、CPUがこれらのプログラムを読み込むことにより攻撃対策システム1の動作を制御し、各構成要素の機能を実現することができる。
なお、これらのプログラムを計算機で読みとり可能な記録媒体に記録することも可能である。更には、これらのプログラムを通信網を介して転送することも可能である。
【0039】
次に、本実施の形態に係る攻撃対策システム1の動作について説明する。
パケット送受信部A101は、ネットワークA100に接続されたデータ通信装置より送信されたパケットを受信する。
ここで、例えば、攻撃マシン2よりターゲットマシン4を宛先とする図3(b)〜(d)に示すパケットA、パケットB、パケットCを受信したとする。
次に、パケット送受信部A101は、受信したパケットA、パケットB、パケットCを中継制御部103へと渡す。
中継制御部103は、受信したパケットをTTL変更部105へと渡す。
TTL変更部105では、図12に示すTTL変更手順によりパケットを処理する。
以下、図12のフローチャート図に従って、TTL変更部105の処理を説明する。
【0040】
まず、TTL変更部105は、ステップS31において、パケットから宛先データ通信装置(ここでは、ターゲットマシン4)のアドレス(以下、宛先アドレスとする)を取得する。
次に、TTL変更部105は、ステップS32において、ネットワーク距離記憶部104に宛先アドレスに対応したTTL値(ネットワーク距離)が登録されているかどうかを判定する。
登録済みの場合は、ステップS33に進み、ネットワーク距離記憶部104から宛先アドレスに対応するTTL値を取り出す。
未登録の場合(新規データ通信装置の場合)は、ステップS34に進み、パケットからTTL値を取りだし、ネットワーク距離記憶部104に宛先アドレスとTTL値を登録する。
次に、ステップS33へ進んだ場合は、TTL変更部105は、ステップS35において、ネットワーク距離記憶部104より取得したTTL値と、パケットに含まれたTTL値とを比較する。そして、比較結果により、パケットのTTL値の方が大きい場合は、ステップS36において、ネットワーク距離記憶部104のTTL値をパケットのTTL値に変更する更新を行う。
一方、パケットのTTL値の方が小さい場合は、ステップS37において、パケットのTTL値をネットワーク距離記憶部のTTL値に変更する更新を行う。
【0041】
このようにしてTTL値の変更が行われた後は、TTL変更部105は、パケット(パケットのTTL値の変更が行われた場合は、TTL値が変更されたパケット)を中継制御部103へと渡す。
中継制御部103は、TTL変更部105から受け取ったパケットをパケット送受信部B102へと渡す。
パケット送受信部B102は、パケットをネットワークB200へと渡す。
【0042】
ここで、ターゲットマシン4までのTTL値がネットワーク距離記憶部104に記憶されていないとした場合(ターゲットマシン4が新規データ通信装置であった場合)に、図3(b)のパケットAがTTL変更部105で処理されると、パケットAから取り出された宛先アドレス(ターゲットマシン4)とTTL=5がネットワーク距離記憶部104に格納され(図13(a))、図13(b)に示す中継後パケットA’がターゲットマシン4へと送られる。
次に、図3(c)のパケットBがTTL変更部105で処理されると、パケットBから取り出された宛先アドレス(ターゲットマシン4)とTTL=1とが、ネットワーク距離記憶部104に格納されている対応するTTL値(TTL=5)と比較され、パケットBのTTL値の方が小さいので、パケットBのTTL値はTTL=5に更新され、図13(c)の中継後パケットB’がターゲットマシン4へと送られる。
次に、図3(d)のパケットCがTTL変更部105で処理されると、パケットCから取り出された宛先アドレス(ターゲットマシン4)とTTL=5とが、ネットワーク距離記憶部104に格納されている対応するTTL値(TTL=5)と比較され、両者のTTL値は同じなので、パケットCのTTL値はTTL=5のまま、図13(d)の中継後パケットC’がターゲットマシン4へと送られる。
ターゲットマシン4上に到着した中継後パケットA’、中継後パケットB’、中継後パケットC’によりデータが再構築されると、図13(e)のターゲットマシンでの結果が得られる。
しかし、このターゲットマシンでの結果は、図3(a)に示す攻撃シグネチャと異なる。このため、これら中継後パケットA’、中継後パケットB’、中継後パケットC’のデータ内容は、攻撃としては動作しない為、ターゲットマシン4への攻撃が無効化されたことになる。
【0043】
ところで、上記の説明ではネットワークプロトコルとしてTCP/IPを用いた場合について述べているが、その他のパケットを送受するネットワークプロトコルに関しても応用可能である。
【0044】
ところで、上記の説明ではネットワークが2つの場合について述べているが、それ以上のネットワークが接続されている場合にも応用可能である。
【0045】
また、上記の実施の形態1、2では、本発明に係るデータ中継装置について説明したが、実施の形態1、2に示した処理手順と同様の処理手順により本発明に係るデータ中継方法を実現することができる。
【0046】
また、ここで、実施の形態1、2で説明した攻撃対策システムの特徴をまとめる。
【0047】
実施の形態1に係る攻撃対策システムは、
通信装置が接続可能でパケットの送受信が可能なネットワークAと、
通信装置が接続可能でパケットの送受信が可能なネットワークBと、
ネットワークAとネットワークBの間のパケットの中継を行うルータと、
ネットワークBにてサービスを提供するターゲットマシンと、
ネットワークAにてターゲットマシンに攻撃データを複数のパケットにて送る攻撃マシンからなる環境において、
ネットワークAに接続され、
ネットワークAにて通信されるパケットをパケットの宛先にかかわらず受信するパケット受信部と、
パケットの宛先までのネットワーク距離を測定する測定パケットを生成する測定パケット生成部と、
ネットワーク距離測定用のパケットをネットワークAに送受信する測定パケット送受信部と、
受信されたパケットに含まれるTTL(Time To Live)値と測定されたネットワーク距離を比較してパケットをデータ再構成部へ渡すかどうかを判定するパケット検査部と、
パケット検査部から渡されたパケットを元に通信データを再構成するデータ再構成部と、
攻撃データの特徴である攻撃シグネチャを、予め保存しておくシグネチャDBと、
再構成された通信データと攻撃シグネチャを比較して攻撃データかどうかを判定する攻撃チェック部を持つことを特徴とする。
【0048】
実施の形態2に係る攻撃対策システムは、
通信装置が接続可能でパケットの送受信が可能なネットワークAと、
通信装置が接続可能でパケットの送受信が可能なネットワークBと、
ネットワークBにてサービスを提供するターゲットマシンと、
ネットワークAにてターゲットマシンに攻撃データを複数のパケットにて送る攻撃マシンからなる環境において、ネットワークAとネットワークBの間で、ネットワークAにて通信されるパケットを受信し中継制御部へと渡すパケット送受信部Aと、
ネットワークBにて通信されるパケットを受信し中継制御部へと渡すパケット送受信部Bと、
パケットの宛先とTTL(Time To Live)値の組み合わせを記憶するネットワーク距離記憶部と、
パケット中継制御部から渡されたパケットの宛先とTTL(Time To Live)値の組み合わせがネットワーク距離記憶部に含まれない場合は格納し、既に含まれる場合はTTLの比較と更新を行ってTTLをパケット中継制御部へ渡すTTL変更部と、
パケット送受信部Aまたはパケット送受信部Bから渡されたパケットの宛先とTTLをTTL変更部に渡し、TTL変更部から渡されたTTLをパケットのTTLに設定し、反対側のパケット送受信部にパケットを中継の為に渡す中継制御部を持つことを特徴とする。
【0049】
【発明の効果】
以上のように、本発明によれば、受信した送信データに表示されたネットワーク距離と、測定した宛先データ通信装置までのネットワーク距離とを比較し、表示されたネットワーク距離の値が測定したネットワーク距離の値よりも小さい場合には受信した送信データを破棄し、破棄されなかった送信データのデータ内容を再構成して攻撃目的の有無を判定するため、宛先データ通信装置まで到達しないダミーデータが含まれているため見かけ上攻撃データと判定されないような攻撃データも検出することができ、宛先データ通信装置への攻撃を未然に防止することができる。
【0050】
また、本発明によれば、各データ通信装置までのネットワーク距離を記憶しておき、受信した送信データに表示されたネットワーク距離と、宛先データ通信装置について記憶しているネットワーク距離とを比較し、表示されたネットワーク距離の値が記憶しているネットワーク距離の値よりも小さい場合は、表示されたネットワーク距離の値を記憶しているネットワーク距離の値に変更して送信データを宛先データ通信装置に対して送信するため、宛先データ通信装置まで到達しないダミーデータが含まれているため見かけ上攻撃データと判定されないような攻撃データの攻撃を無効化することができる。
【図面の簡単な説明】
【図1】 実施の形態1に係るネットワーク構成の一例を示す図である。
【図2】 実施の形態1に係る攻撃対策システムの内部構成を示す図である。
【図3】 攻撃シグネチャ、受信パケット、再構成結果の例を示す図である。
【図4】 パケット検査部における手順の流れを示すフローチャート図である。
【図5】 ネットワーク距離測定部における手順の流れを示すフローチャート図である。
【図6】 TCP/IPにおけるIPデータグラム・ヘッダ・フォーマットの例を示す図である。
【図7】 TCP/IPにおけるICMPのエコー要求メッセージの例を示す図である。
【図8】 TCP/IPにおけるICMPの時間超過メッセージの例を示す図である。
【図9】 TCP/IPにおけるICMPのエコー応答メッセージの例を示す図である。
【図10】 実施の形態2に係るネットワーク構成の一例を示す図である。
【図11】 実施の形態2に係る攻撃対策システムの内部構成を示す図である。
【図12】 TTL変更部における手順の流れを示すフローチャート図である。
【図13】 ネットワーク距離記憶部の記憶内容、更新処理後のパケット、ターゲットマシンでの結果の例を示す図である。
【図14】 従来技術を適用するネットワーク構成の一例を示す図である。
【図15】 従来技術における攻撃検出システムの内部構成を示す図である。
【図16】 攻撃シグネチャ、受信パケット、従来の再構成結果、従来のターゲットマシンでの結果を示す図である。
【符号の説明】
1 攻撃対策システム、2 攻撃マシン、3 ルータ、4 ターゲットマシン、11 パケット送受信部、12 測定パケット生成部、13 測定パケット送受信部、14 パケット検査部、15 データ再構成部、16 シグネチャデータベース、17 攻撃チェック部、100 ネットワークA、101 パケット送受信部、102 パケット送受信部、103 中継制御部、104 ネットワーク距離記憶部、105 TTL変更部、200 ネットワークB。
【発明の属する技術分野】
この発明は、攻撃データが複数のパケットに分割されてネットワークへ送られた際に、その攻撃データを正しく発見したり、無効化する装置等に関するものである。
【0002】
【従来の技術】
従来の技術として、特開2000−354034に「事業:ハッカー監視室」が開示されている。
図14及び図15は、この「事業:ハッカー監視室」を説明する図である。
図14において、100は、データ通信装置が接続可能でパケットの送受信が可能なネットワークA、200は、データ通信装置が接続可能でパケットの送受信が可能なネットワークBである。
2は、ネットワークA100にてターゲットマシン4に対する攻撃データを複数のパケットにて送る攻撃マシンである。
3は、ネットワークA100とネットワークB200の間のパケットの中継を行うルータである。
4は、ネットワークB200にてサービスを提供するターゲットマシンである。
6は、ネットワークA100に接続され、ネットワークA100内のデータ通信装置から送信されたパケットを受信し、受信したパケットの中から攻撃データを検出する攻撃検出システムである。
【0003】
図15は、攻撃検出システム6の内部構成を示しており、61は、ネットワークA100にて通信されるパケットをパケットの宛先にかかわらず受信するパケット受信部である。
62は、パケット受信部61から渡されたパケットを元に通信データを再構成するデータ再構成部である。
63は、攻撃データの特徴である攻撃シグネチャ(攻撃コマンド)を、予め保存しておくシグネチャデータベース(以下、シグネチャDBとする)である。
64は、再構成された通信データと攻撃シグネチャとを比較して攻撃データかどうかを判定する攻撃チェック部である。
【0004】
次に、攻撃検出システム6の動作について説明する。
パケット受信部61は、ネットワークA100に接続されたデータ通信装置より送信されたパケットを受信する。
ここで、例えば、攻撃マシン2よりターゲットマシン4を宛先とする図16(b)〜(d)に示すパケットA、パケットB、パケットCを受信したとする。
次に、データ再構成部62は、パケット受信部61により受信されたパケットのデータ内容の再構成を行う。
図16の例では、パケットA、パケットB、パケットCのそれぞれのデータ内容を組み合わせて図16(e)に示すように、”/cgi−bin/phaf”というデータ内容に再構成する。
次に、攻撃チェック部64が、再構成されたデータ内容と、シグネチャDB63に蓄積されている攻撃シグネチャとを比較し、比較の結果攻撃データであると判定した場合は、その攻撃データを破棄し、攻撃データでないと判断した場合は、宛先のデータ通信装置への転送を許可する。
図16(a)は、シグネチャDB63に蓄積された攻撃シグネチャを示す。
図16(a)の攻撃シグネチャと図16(e)の再構成結果は、データ内容が一致しないため(攻撃シグネチャでは/phf”となっているのに対して再構成結果では/phaf”となっているため)、攻撃チェック部64は、これらパケットA、パケットB、パケットCは攻撃データではないと判断し、これらのパケットの転送を許可する。
【0005】
一方で、図16(b)〜(d)のパケットA、パケットB、パケットCには、それぞれTTL(Time To Live)の値が示されている。
このTTL値は、パケットがネットワークの中に滞在可能な時間(秒数)を示す値であり、ルータ(ゲートウェイ)を通過する度にルータ(ゲートウェイ)の処理に費やした時間が、表示されたTTL値から減算される。ただし、処理時間が1秒に満たない場合や、処理時間を計測できない場合は、少なくとも1秒が減らされる。そして、TTL値が0となった場合には、ルータ(ゲートウェイ)によりそのパケットは破棄されることになる。即ち、TTLは、パケットの有効期間を示す値となる。
また、ルータの処理に費やした時間の代わりに、ホップカウントを用いてTTL値とすることも可能である。つまり、ルータを1つ通過するたびにTTL値を1つづつ減らし、TTL値が0となった時点でルータがパケットを破棄するようにしてもよい。この場合には、TTL値は、パケットが転送されるネットワーク距離を示すことになる。
ここで、パケットAではTTL=5、パケットBではTTL=1、パケットCではTTL=5である。このため、攻撃検出システム6からターゲットマシン4までに必要なTTL値が2〜5の間の場合は、パケットBは途中のルータで破棄され、パケットA及びパケットCのみがターゲットマシン4に到達することになる。
ターゲットマシン4に到達したパケットA及びパケットCのデータ内容は、図16(f)に示すものとなり、これは、結局図16(a)の攻撃シグネチャと一致する結果となる。
【0006】
【発明が解決しようとする課題】
このように、従来の技術においては、攻撃検出システムには到達するものの、ルータを経由するターゲットマシンには到達しないようにTTLを操作したダミーのパケットを、攻撃データの分割された複数のパケットの間に潜り込ませることによって、攻撃シグネチャとして検出不能(見かけ上は攻撃データと判定できない)でありながらターゲットマシンが攻撃されるという問題があった。
そこで、本発明は、このような問題点を解決することを目的とする。
【0007】
【課題を解決するための手段】
本発明に係るデータ中継装置は、
複数のデータ通信装置間のデータ通信を中継するデータ中継装置であって、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継装置からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信部と、
前記データ中継装置から前記送信データの宛先とされた宛先データ通信装置までのネットワーク距離を測定ネットワーク距離として測定するネットワーク距離測定部と、
前記送信データに表示された前記表示ネットワーク距離と、前記ネットワーク距離測定部により測定された前記測定ネットワーク距離とを比較し、比較結果に基づき前記送信データを破棄するか否かを決定するデータ検査部とを有することを特徴とする。
【0008】
前記データ中継装置は、更に、同一のデータ通信装置を宛先データ通信装置とする複数の送信データが前記データ受信部により受信され、受信された前記複数の送信データのうち少なくとも二以上の送信データが前記データ検査部により破棄されずに維持された場合に、維持された送信データを組み合わせて維持された送信データのデータ内容を再構成するデータ再構成部と、
前記データ再構成部により再構成されたデータ内容が、前記宛先データ通信装置への攻撃を目的とするデータ内容であるか否かを判定するデータ判定部とを有することを特徴とする。
【0009】
データ検査部は、前記送信データの前記表示ネットワーク距離の値が、前記測定ネットワーク距離の値よりも小さい場合に前記送信データを破棄する決定を行うことを特徴とする。
【0010】
前記データ受信部は、前記表示ネットワーク距離としてTTL(Time To Live)値が表示された送信データを受信し、
前記ネットワーク距離測定部は、前記測定ネットワーク距離として前記データ中継装置から前記宛先データ通信装置までに必要なTTL値を測定し、
前記データ検査部は、前記送信データに表示されたTTL値と、前記ネットワーク距離測定部により測定されたTTL値とを比較し、比較結果に基づき前記送信データを破棄するか否かを決定することを特徴とする。
【0011】
前記データ中継装置は、更に、いずれかのデータ通信装置への攻撃に用いられる攻撃コマンドを少なくとも一つ以上記憶した攻撃コマンド記憶部を有し、
前記データ判定部は、前記データ再構成部により再構成されたデータ内容が前記攻撃コマンド記憶部に記憶された前記攻撃コマンドのいずれかに一致するか否かを判定することを特徴とする。
【0012】
本発明に係るデータ中継装置は、
複数のデータ通信装置間のデータ通信を中継するデータ中継装置であって、
前記複数のデータ通信装置のそれぞれについて、前記データ中継装置からそれぞれのデータ通信装置までのネットワーク距離を記憶ネットワーク距離として記憶するネットワーク距離記憶部と、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継装置からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信部と、
前記送信データに表示された前記表示ネットワーク距離と、前記送信データの宛先とされた宛先データ通信装置の記憶ネットワーク距離とを比較し、比較結果に基づき前記表示ネットワーク距離及び前記宛先データ通信装置の記憶ネットワーク距離のいずれか一方の値を変更するネットワーク距離変更部と、
前記ネットワーク距離変更部により前記表示ネットワーク距離及び前記宛先通信装置の記憶ネットワーク距離のいずれか一方の値の変更が行われた後に、前記送信データを前記宛先データ通信装置に対して送信するデータ送信部とを有することを特徴とする。
【0013】
前記ネットワーク距離変更部は、前記表示ネットワーク距離の値が前記宛先データ通信装置の記憶ネットワーク距離の値よりも小さい場合は、前記表示ネットワーク距離の値を前記宛先データ通信装置の記憶ネットワーク距離の値に変更し、前記宛先データ通信装置の記憶ネットワーク距離の値が前記表示ネットワーク距離の値よりも小さい場合は、前記宛先データ通信装置の記憶ネットワーク距離の値を前記表示ネットワーク距離の値に変更することを特徴とする。
【0014】
前記ネットワーク距離記憶部に記憶ネットワーク距離が記憶されていない新規のデータ通信装置を宛先とする送信データが前記データ受信部により受信された場合に、前記ネットワーク距離記憶部は、前記送信データに表示されたネットワーク距離を、前記新規のデータ通信装置の記憶ネットワーク距離として記憶することを特徴とする。
【0015】
前記ネットワーク距離記憶部は、前記記憶ネットワーク距離として前記データ中継装置からそれぞれのデータ通信装置までに必要なTTL(Time To Live)値を記憶し、
前記データ受信部は、前記表示ネットワーク距離としてTTL値が表示された送信データを受信し、
前記ネットワーク距離変更部は、前記送信データに表示された表示TTL値と前記ネットワーク距離記憶部に記憶された前記宛先データ通信装置の記憶TTL値とを比較し、比較結果に基づき前記表示TTL値及び前記宛先データ通信装置の記憶TTL値のいずれか一方の値を変更することを特徴とする。
【0016】
本発明に係るデータ中継方法は、
複数のデータ通信装置間のデータ通信を中継するデータ中継方法であって、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継方法からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信ステップと、
前記データ中継方法から前記送信データの宛先とされた宛先データ通信装置までのネットワーク距離を測定ネットワーク距離として測定するネットワーク距離測定ステップと、
前記送信データに表示された前記表示ネットワーク距離と、前記ネットワーク距離測定ステップにより測定された前記測定ネットワーク距離とを比較し、比較結果に基づき前記送信データを破棄するか否かを決定するデータ検査ステップとを有することを特徴とする。
【0017】
前記データ中継方法は、更に、同一のデータ通信装置を宛先データ通信装置とする複数の送信データが前記データ受信ステップにより受信され、受信された前記複数の送信データのうち少なくとも二以上の送信データが前記データ検査ステップにより破棄されずに維持された場合に、維持された送信データを組み合わせて維持された送信データのデータ内容を再構成するデータ再構成ステップと、
前記データ再構成ステップにより再構成されたデータ内容が、前記宛先データ通信装置への攻撃を目的とするデータ内容であるか否かを判定するデータ判定ステップとを有することを特徴とする。
【0018】
データ検査ステップは、前記送信データの前記表示ネットワーク距離の値が、前記測定ネットワーク距離の値よりも小さい場合に前記送信データを破棄する決定を行うことを特徴とする。
【0019】
前記データ受信ステップは、前記表示ネットワーク距離としてTTL(Time To Live)値が表示された送信データを受信し、
前記ネットワーク距離測定ステップは、前記測定ネットワーク距離として前記データ中継方法から前記宛先データ通信装置までに必要なTTL値を測定し、
前記データ検査ステップは、前記送信データに表示されたTTL値と、前記ネットワーク距離測定ステップにより測定されたTTL値とを比較し、比較結果に基づき前記送信データを破棄するか否かを決定することを特徴とする。
【0020】
本発明に係るデータ中継方法は、
複数のデータ通信装置間のデータ通信を中継するデータ中継方法であって、
前記複数のデータ通信装置のそれぞれについて、前記データ中継方法からそれぞれのデータ通信装置までのネットワーク距離を記憶ネットワーク距離として記憶するネットワーク距離記憶ステップと、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継方法からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信ステップと、
前記送信データに表示された前記表示ネットワーク距離と、前記送信データの宛先とされた宛先データ通信装置の記憶ネットワーク距離とを比較し、比較結果に基づき前記表示ネットワーク距離及び前記宛先データ通信装置の記憶ネットワーク距離のいずれか一方の値を変更するネットワーク距離変更ステップと、
前記ネットワーク距離変更ステップにより前記表示ネットワーク距離及び前記宛先通信装置の記憶ネットワーク距離のいずれか一方の値の変更が行われた後に、前記送信データを前記宛先データ通信装置に対して送信するデータ送信ステップとを有することを特徴とする。
【0021】
前記ネットワーク距離変更ステップは、前記表示ネットワーク距離の値が前記宛先データ通信装置の記憶ネットワーク距離の値よりも小さい場合は、前記表示ネットワーク距離の値を前記宛先データ通信装置の記憶ネットワーク距離の値に変更し、前記宛先データ通信装置の記憶ネットワーク距離の値が前記表示ネットワーク距離の値よりも小さい場合は、前記宛先データ通信装置の記憶ネットワーク距離の値を前記表示ネットワーク距離の値に変更することを特徴とする。
【0022】
前記ネットワーク距離記憶ステップは、前記記憶ネットワーク距離として前記データ中継方法からそれぞれのデータ通信装置までに必要なTTL(Time To Live)値を記憶し、
前記データ受信ステップは、前記表示ネットワーク距離としてTTL値が表示された送信データを受信し、
前記ネットワーク距離変更ステップは、前記送信データに表示された表示TTL値と前記ネットワーク距離記憶ステップに記憶された前記宛先データ通信装置の記憶TTL値とを比較し、比較結果に基づき前記表示TTL値及び前記宛先データ通信装置の記憶TTL値のいずれか一方の値を変更することを特徴とする。
【0023】
本発明に係るデータ中継処理プログラムは、
複数のデータ通信装置間のデータ通信を中継するデータ中継処理をデータ中継装置に実行させるためのデータ中継処理プログラムであって、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継装置からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信処理と、
前記データ中継装置から前記送信データの宛先とされた宛先データ通信装置までのネットワーク距離を測定ネットワーク距離として測定するネットワーク距離測定処理と、
前記送信データに表示された前記表示ネットワーク距離と、前記ネットワーク距離測定処理により測定された前記測定ネットワーク距離とを比較し、比較結果に基づき前記送信データを破棄するか否かを決定するデータ検査処理とを前記データ中継装置に実行させるためのデータ中継処理プログラムであることを特徴とする。
【0024】
前記データ中継処理プログラムは、更に、同一のデータ通信装置を宛先データ通信装置とする複数の送信データが前記データ受信処理により受信され、受信された前記複数の送信データのうち少なくとも二以上の送信データが前記データ検査処理により破棄されずに維持された場合に、維持された送信データを組み合わせて維持された送信データのデータ内容を再構成するデータ再構成処理と、
前記データ再構成処理により再構成されたデータ内容が、前記宛先データ通信装置への攻撃を目的とするデータ内容であるか否かを判定するデータ判定処理とを前記データ中継装置に実行させるためのデータ中継処理プログラムであることを特徴とする。
【0025】
本発明に係るデータ中継処理プログラムは、
複数のデータ通信装置間のデータ通信を中継するデータ中継処理をデータ中継装置に実行させるためのデータ中継処理プログラムであって、
前記複数のデータ通信装置のそれぞれについて、前記データ中継装置からそれぞれのデータ通信装置までのネットワーク距離を記憶ネットワーク距離として記憶するネットワーク距離記憶処理と、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継装置からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信処理と、
前記送信データに表示された前記表示ネットワーク距離と、前記送信データの宛先とされた宛先データ通信装置の記憶ネットワーク距離とを比較し、比較結果に基づき前記表示ネットワーク距離及び前記宛先データ通信装置の記憶ネットワーク距離のいずれか一方の値を変更するネットワーク距離変更処理と、
前記ネットワーク距離変更処理により前記表示ネットワーク距離及び前記宛先通信装置の記憶ネットワーク距離のいずれか一方の値の変更が行われた後に、前記送信データを前記宛先データ通信装置に対して送信するデータ送信処理とを前記データ中継装置に実行させるためのデータ中継処理プログラムであることを特徴とする。
【0026】
本発明に係るコンピュータ読み取り可能な記録媒体は、
複数のデータ通信装置間のデータ通信を中継するデータ中継処理をデータ中継装置に実行させるためのデータ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体であって、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継装置からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信処理と、
前記データ中継装置から前記送信データの宛先とされた宛先データ通信装置までのネットワーク距離を測定ネットワーク距離として測定するネットワーク距離測定処理と、
前記送信データに表示された前記表示ネットワーク距離と、前記ネットワーク距離測定処理により測定された前記測定ネットワーク距離とを比較し、比較結果に基づき前記送信データを破棄するか否かを決定するデータ検査処理とを前記データ中継装置に実行させるためのデータ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体であることを特徴とする。
【0027】
前記データ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体は、更に、同一のデータ通信装置を宛先データ通信装置とする複数の送信データが前記データ受信処理により受信され、受信された前記複数の送信データのうち少なくとも二以上の送信データが前記データ検査処理により破棄されずに維持された場合に、維持された送信データを組み合わせて維持された送信データのデータ内容を再構成するデータ再構成処理と、
前記データ再構成処理により再構成されたデータ内容が、前記宛先データ通信装置への攻撃を目的とするデータ内容であるか否かを判定するデータ判定処理とを前記データ中継装置に実行させるためのデータ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体であることを特徴とする。
【0028】
本発明に係るコンピュータ読み取り可能な記録媒体は、
複数のデータ通信装置間のデータ通信を中継するデータ中継処理をデータ中継装置に実行させるためのデータ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体であって、
前記複数のデータ通信装置のそれぞれについて、前記データ中継装置からそれぞれのデータ通信装置までのネットワーク距離を記憶ネットワーク距離として記憶するネットワーク距離記憶処理と、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継装置からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信処理と、
前記送信データに表示された前記表示ネットワーク距離と、前記送信データの宛先とされた宛先データ通信装置の記憶ネットワーク距離とを比較し、比較結果に基づき前記表示ネットワーク距離及び前記宛先データ通信装置の記憶ネットワーク距離のいずれか一方の値を変更するネットワーク距離変更処理と、
前記ネットワーク距離変更処理により前記表示ネットワーク距離及び前記宛先通信装置の記憶ネットワーク距離のいずれか一方の値の変更が行われた後に、前記送信データを前記宛先データ通信装置に対して送信するデータ送信処理とを前記データ中継装置に実行させるためのデータ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体であることを特徴とする。
【0029】
【発明の実施の形態】
実施の形態1.
図1は、本実施の形態に係るネットワーク構成の一例を示す図である。
図1において、1はネットワークA100に接続され、ネットワークA100内のデータ通信装置から送信されたパケットを受信し、受信したパケットの中から攻撃データを検出する攻撃対策システムである。攻撃対策システムは、本発明に係るデータ中継装置に相当する。
なお、他の構成要素は、図14に示したものと同様である。
【0030】
図2は、攻撃対策システム1の内部構成を示す図である。
11は、ネットワークA100にて通信されるパケットをパケットの宛先にかかわらず受信するとともに、攻撃チェック部17により攻撃データでないと判定されたパケットを宛先のデータ通信装置に対して送信するパケット送受信部である。なお、パケット送受信部11が受信するパケットには、TTL(Time To Live)値が含まれている。このTTL値は、ネットワーク距離に相当する。前述したように、ルータの処理に費やした時間の代わりに、ホップカウントを用いてTTL値とすることも可能であり、ルータを1つ通過するたびにTTL値を1つづつ減らし、TTL値が0となった時点でルータがパケットを破棄するようにしてもよい。この場合には、TTL値はパケットが転送されるネットワーク距離に相当する。
12は、パケット送受信部11によりパケットが受信された場合に、受信されたパケットの宛先であるデータ通信装置(宛先データ通信装置)までのネットワーク距離を測定するための測定パケットを生成する測定パケット生成部である。13は、測定パケット生成部12により生成された測定パケットを宛先データ通信装置に対して送信し、測定パケットに対する応答を受信する測定パケット送受信部である。
なお、測定パケット生成部12と測定パケット送受信部13とを合わせてネットワーク距離測定部という。
14は、パケット送受信部11で受信されたパケットに含まれるTTL値と測定パケット送受信部13から得られたネットワーク距離を比較し、比較結果に基づき、パケットの破棄の決定又はパケットをデータ再構成部15へ渡す決定のいずれかを行うパケット検査部である。パケット検査部14は、データ検査部に相当する。
15は、パケット検査部14から渡されたパケットを元に通信データを再構成するデータ再構成部である。
16は、攻撃データの特徴である攻撃シグネチャ(攻撃コマンド)を、予め保存しておくシグネチャデータベース(以下、シグネチャDBとする)である。シグネチャDB16は、攻撃コマンド記憶部に相当する。
17は、再構成された通信データと攻撃シグネチャとを比較して攻撃データかどうかを判定する攻撃チェック部である。攻撃チェック部17は、データ判定部に相当する。
【0031】
なお、攻撃対策システム1(データ中継装置)は、図示していないが、例えばマイクロプロセッサ等のCPU、半導体メモリ等や磁気ディスク等の記録手段、及び通信手段を有する計算機により実現することができる。記録手段には、攻撃対策システム1に含まれる各構成要素の機能を実現するプログラムが記録されており、CPUがこれらのプログラムを読み込むことにより攻撃対策システム1の動作を制御し、各構成要素の機能を実現することができる。
なお、これらのプログラムを計算機で読みとり可能な記録媒体に記録することも可能である。更には、これらのプログラムを通信網を介して転送することも可能である。
【0032】
次に、攻撃対策システム1の動作について説明する。
パケット送受信部11は、ネットワークA100に接続されたデータ通信装置より送信されたパケットを受信する。
ここで、例えば、攻撃マシン2よりターゲットマシン4を宛先とする図3(b)〜(d)に示すパケットA、パケットB、パケットCを受信したとする。
次に、パケット送受信部11は、受信したパケットA、パケットB、パケットCをパケット検査部14へと渡す。
パケット検査部14では、図4に示すパケット検査手順によりパケットを処理する。
以下、図4のフローチャート図に従って、パケット検査部14の処理を説明する。
【0033】
まず、パケット検査部14は、ステップS11にて、パケットから宛先データ通信装置(ここでは、ターゲットマシン4)のアドレス(以下、宛先アドレスとする)を取得する。
次に、ステップS12にて、宛先アドレスを測定パケット生成部12に渡して呼び出す。
ここで、図5を用いて、測定パケット生成部12及び測定パケット送受信部13によるネットワーク距離の測定手順を説明する。
【0034】
まず、測定パケット生成部12が、ステップS21において、測定パケットを作成する。具体的には、IPデータグラム・ヘッダ・フォーマットのDestination Address=宛先アドレス(ここでは、ターゲットマシン4のアドレス)、TTL=1に設定した測定パケットを生成する。図6に、IPデータグラム・ヘッダ・フォーマットの例を示す。図6の例では、Identification35に宛先アドレスを設定し、Time To Live36にTTL=1を設定する。また、測定パケットは、図7に示すように、ICMPエコー要求メッセージ37とする。
次に、ステップS22において、測定パケット送受信部13が、測定パケットをネットワークA100に送る。
ここで、宛先データ通信装置(ここでは、ターゲットマシン4)までに配置されたルータ3では、測定パケットのTTL値を確認し、TTL値を1減算する。減算の結果、TTL値は0となるので、ICMP時間超過メッセージ38(図8)が結果パケットとしてルータ3から送り返される。
次に、ステップS23において、測定パケット送受信部13が結果パケットを受信する。
次に、ステップS24において、測定パケット生成部12が、結果パケットより測定パケットが宛先データ通信装置に到達したか否かを判断する。ここでは、結果パケットがICMP時間超過メッセージであるためパケット未到着と判断される。
次に、ステップS25において、測定パケット生成部12は、現在のTTL値とTTL値の上限値(=225)とを比較する。ここでは、現在のTTL=1が上限値未満と判断される。
次に、ステップS26において、測定パケット生成部12は、現在のTTLの値に1加算し、TTL=2が設定された測定パケットを生成し、ステップS22に戻り、処理を繰り返す。
なお、ステップS25において、TTLが上限値(=255)に達した場合は、ステップS27にて測定不能とする。
ステップS23において、宛先アドレス(ターゲットマシン4)から送信されたICMPエコー応答メッセージを受信した場合(図9)は、ステップS24にて、測定パケット生成部12は、パケット到達と判定する。
ステップS24において、パケット到達と判断した場合は、測定パケット生成部12は、TTLの値を測定したネットワーク距離としてパケット検査部14に渡す。
【0035】
パケット検査部14では、図4のステップS13において、パケット送受信部11により受信されたパケットに表示されたTTL値と測定されたネットワーク距離(TTL値)とを比較し、測定結果(測定されたネットワーク距離)がパケットのTTL値以下の場合は、ステップS14へ、パケットのTTL値が測定結果より小さい場合は、S15へ進む。
ステップS14では、パケット検査部14は、そのパケットが宛先データ通信装置(ターゲットマシン4)へ到達すると判断して、データ再構成部15へそのパケットを渡す。
一方、ステップS15では、パケットが宛先データ通信装置(ターゲットマシン4)へ到達しないと判断して、そのパケットを破棄する決定を行い、破棄する。
図3の例では、測定されたTTL値が2〜5である場合は、パケットA及びパケットCは、ステップS14において、データ再構成部15へ渡され、パケットBは、ステップS15において、破棄されることになる。
【0036】
次に、データ再構成部15では、パケット検査部14から渡されたパケットを元にデータを再構成し、再構成結果を攻撃チェック部17へ渡す。
攻撃チェック部17は、再構成結果と、シグネチャDB16に格納された攻撃シグネチャを比較することで、攻撃データかどうかの判断を行う。
図3の例では、データ再構成部15は、パケットA及びパケットCを元に、図3(e)に示すデータ内容を再構成する。
攻撃チェック部17は、シグネチャDB16に格納された図3(a)に示す攻撃シグネチャと図3(e)の再構成結果とを比較し、再構成結果が攻撃シグネチャと一致するためパケットA及びパケットCは攻撃データであると判定し、パケットA及びパケットCは破棄される。
【0037】
実施の形態2.
図10は、本実施の形態に係るネットワーク構成の一例を示す図である。
本実施の形態では、攻撃対策システム1は、実施の形態1におけるルータ3としての役割も果たし、ネットワークA100とネットワークB200との間に配置され、ネットワークA100より送信したパケットを受信し、受信したパケットをネットワークB200へ渡す。
なお、他の構成要素は、図1に示したものと同様である。
また、図10では、省略しているが、図14と同様に、攻撃検出システム6を配備してもよい。
【0038】
図11は、本実施の形態に係る攻撃対策システム1の内部構成を示す図である。
図11において、101は、ネットワークA100にて通信されるパケットを受信し、中継制御部103へと渡すパケット送受信部(以下、パケット送受信部Aとする)である。なお、パケット送受信部A101が受信するパケットには、TTL(Time To Live)値が含まれている。また、パケット送受信部A101は、データ送信部又はデータ受信部に相当する。
102は、ネットワークB200にて通信されるパケットを受信し、中継制御部103へと渡すパケット送受信部(以下、パケット送受信部Bとする)である。なお、パケット送受信部B102は、データ送信部又はデータ受信部に相当する。
103は、パケット送受信部A101、パケット送受信部B102、TTL変更部105間の制御を行う中継制御部である。
104は、パケットの宛先とTTL(Time To Live)値の組み合わせを記憶するネットワーク距離記憶部である。ネットワーク距離記憶部104は、例えば、図13(a)に示すようにパケットの宛先とTTL値の組合せを記憶している。
105は、中継制御部103から渡されたパケットについて、パケットに含まれたTTL値とネットワーク距離記憶部104に格納された対応するTTL値とを比較し、比較結果に応じてパケットのTTL値又はネットワーク距離記憶部104に記憶されたTTL値を変更するTTL変更部である。また、TTL値がネットワーク距離記憶部104に格納されていない新規データ通信装置がパケットの宛先となっている場合は、TTL変更部105は、その新規データ通信装置宛のパケットに含まれたTTL値をネットワーク距離記憶部104に格納する。なお、TTL変更部105は、ネットワーク距離変更部に相当する。
なお、本実施の形態における攻撃対策システム1(データ中継装置)も、図示していないが、例えばマイクロプロセッサ等のCPU、半導体メモリ等や磁気ディスク等の記録手段、及び通信手段を有する計算機により実現することができる。記録手段には、攻撃対策システム1に含まれる各構成要素の機能を実現するプログラムが記録されており、CPUがこれらのプログラムを読み込むことにより攻撃対策システム1の動作を制御し、各構成要素の機能を実現することができる。
なお、これらのプログラムを計算機で読みとり可能な記録媒体に記録することも可能である。更には、これらのプログラムを通信網を介して転送することも可能である。
【0039】
次に、本実施の形態に係る攻撃対策システム1の動作について説明する。
パケット送受信部A101は、ネットワークA100に接続されたデータ通信装置より送信されたパケットを受信する。
ここで、例えば、攻撃マシン2よりターゲットマシン4を宛先とする図3(b)〜(d)に示すパケットA、パケットB、パケットCを受信したとする。
次に、パケット送受信部A101は、受信したパケットA、パケットB、パケットCを中継制御部103へと渡す。
中継制御部103は、受信したパケットをTTL変更部105へと渡す。
TTL変更部105では、図12に示すTTL変更手順によりパケットを処理する。
以下、図12のフローチャート図に従って、TTL変更部105の処理を説明する。
【0040】
まず、TTL変更部105は、ステップS31において、パケットから宛先データ通信装置(ここでは、ターゲットマシン4)のアドレス(以下、宛先アドレスとする)を取得する。
次に、TTL変更部105は、ステップS32において、ネットワーク距離記憶部104に宛先アドレスに対応したTTL値(ネットワーク距離)が登録されているかどうかを判定する。
登録済みの場合は、ステップS33に進み、ネットワーク距離記憶部104から宛先アドレスに対応するTTL値を取り出す。
未登録の場合(新規データ通信装置の場合)は、ステップS34に進み、パケットからTTL値を取りだし、ネットワーク距離記憶部104に宛先アドレスとTTL値を登録する。
次に、ステップS33へ進んだ場合は、TTL変更部105は、ステップS35において、ネットワーク距離記憶部104より取得したTTL値と、パケットに含まれたTTL値とを比較する。そして、比較結果により、パケットのTTL値の方が大きい場合は、ステップS36において、ネットワーク距離記憶部104のTTL値をパケットのTTL値に変更する更新を行う。
一方、パケットのTTL値の方が小さい場合は、ステップS37において、パケットのTTL値をネットワーク距離記憶部のTTL値に変更する更新を行う。
【0041】
このようにしてTTL値の変更が行われた後は、TTL変更部105は、パケット(パケットのTTL値の変更が行われた場合は、TTL値が変更されたパケット)を中継制御部103へと渡す。
中継制御部103は、TTL変更部105から受け取ったパケットをパケット送受信部B102へと渡す。
パケット送受信部B102は、パケットをネットワークB200へと渡す。
【0042】
ここで、ターゲットマシン4までのTTL値がネットワーク距離記憶部104に記憶されていないとした場合(ターゲットマシン4が新規データ通信装置であった場合)に、図3(b)のパケットAがTTL変更部105で処理されると、パケットAから取り出された宛先アドレス(ターゲットマシン4)とTTL=5がネットワーク距離記憶部104に格納され(図13(a))、図13(b)に示す中継後パケットA’がターゲットマシン4へと送られる。
次に、図3(c)のパケットBがTTL変更部105で処理されると、パケットBから取り出された宛先アドレス(ターゲットマシン4)とTTL=1とが、ネットワーク距離記憶部104に格納されている対応するTTL値(TTL=5)と比較され、パケットBのTTL値の方が小さいので、パケットBのTTL値はTTL=5に更新され、図13(c)の中継後パケットB’がターゲットマシン4へと送られる。
次に、図3(d)のパケットCがTTL変更部105で処理されると、パケットCから取り出された宛先アドレス(ターゲットマシン4)とTTL=5とが、ネットワーク距離記憶部104に格納されている対応するTTL値(TTL=5)と比較され、両者のTTL値は同じなので、パケットCのTTL値はTTL=5のまま、図13(d)の中継後パケットC’がターゲットマシン4へと送られる。
ターゲットマシン4上に到着した中継後パケットA’、中継後パケットB’、中継後パケットC’によりデータが再構築されると、図13(e)のターゲットマシンでの結果が得られる。
しかし、このターゲットマシンでの結果は、図3(a)に示す攻撃シグネチャと異なる。このため、これら中継後パケットA’、中継後パケットB’、中継後パケットC’のデータ内容は、攻撃としては動作しない為、ターゲットマシン4への攻撃が無効化されたことになる。
【0043】
ところで、上記の説明ではネットワークプロトコルとしてTCP/IPを用いた場合について述べているが、その他のパケットを送受するネットワークプロトコルに関しても応用可能である。
【0044】
ところで、上記の説明ではネットワークが2つの場合について述べているが、それ以上のネットワークが接続されている場合にも応用可能である。
【0045】
また、上記の実施の形態1、2では、本発明に係るデータ中継装置について説明したが、実施の形態1、2に示した処理手順と同様の処理手順により本発明に係るデータ中継方法を実現することができる。
【0046】
また、ここで、実施の形態1、2で説明した攻撃対策システムの特徴をまとめる。
【0047】
実施の形態1に係る攻撃対策システムは、
通信装置が接続可能でパケットの送受信が可能なネットワークAと、
通信装置が接続可能でパケットの送受信が可能なネットワークBと、
ネットワークAとネットワークBの間のパケットの中継を行うルータと、
ネットワークBにてサービスを提供するターゲットマシンと、
ネットワークAにてターゲットマシンに攻撃データを複数のパケットにて送る攻撃マシンからなる環境において、
ネットワークAに接続され、
ネットワークAにて通信されるパケットをパケットの宛先にかかわらず受信するパケット受信部と、
パケットの宛先までのネットワーク距離を測定する測定パケットを生成する測定パケット生成部と、
ネットワーク距離測定用のパケットをネットワークAに送受信する測定パケット送受信部と、
受信されたパケットに含まれるTTL(Time To Live)値と測定されたネットワーク距離を比較してパケットをデータ再構成部へ渡すかどうかを判定するパケット検査部と、
パケット検査部から渡されたパケットを元に通信データを再構成するデータ再構成部と、
攻撃データの特徴である攻撃シグネチャを、予め保存しておくシグネチャDBと、
再構成された通信データと攻撃シグネチャを比較して攻撃データかどうかを判定する攻撃チェック部を持つことを特徴とする。
【0048】
実施の形態2に係る攻撃対策システムは、
通信装置が接続可能でパケットの送受信が可能なネットワークAと、
通信装置が接続可能でパケットの送受信が可能なネットワークBと、
ネットワークBにてサービスを提供するターゲットマシンと、
ネットワークAにてターゲットマシンに攻撃データを複数のパケットにて送る攻撃マシンからなる環境において、ネットワークAとネットワークBの間で、ネットワークAにて通信されるパケットを受信し中継制御部へと渡すパケット送受信部Aと、
ネットワークBにて通信されるパケットを受信し中継制御部へと渡すパケット送受信部Bと、
パケットの宛先とTTL(Time To Live)値の組み合わせを記憶するネットワーク距離記憶部と、
パケット中継制御部から渡されたパケットの宛先とTTL(Time To Live)値の組み合わせがネットワーク距離記憶部に含まれない場合は格納し、既に含まれる場合はTTLの比較と更新を行ってTTLをパケット中継制御部へ渡すTTL変更部と、
パケット送受信部Aまたはパケット送受信部Bから渡されたパケットの宛先とTTLをTTL変更部に渡し、TTL変更部から渡されたTTLをパケットのTTLに設定し、反対側のパケット送受信部にパケットを中継の為に渡す中継制御部を持つことを特徴とする。
【0049】
【発明の効果】
以上のように、本発明によれば、受信した送信データに表示されたネットワーク距離と、測定した宛先データ通信装置までのネットワーク距離とを比較し、表示されたネットワーク距離の値が測定したネットワーク距離の値よりも小さい場合には受信した送信データを破棄し、破棄されなかった送信データのデータ内容を再構成して攻撃目的の有無を判定するため、宛先データ通信装置まで到達しないダミーデータが含まれているため見かけ上攻撃データと判定されないような攻撃データも検出することができ、宛先データ通信装置への攻撃を未然に防止することができる。
【0050】
また、本発明によれば、各データ通信装置までのネットワーク距離を記憶しておき、受信した送信データに表示されたネットワーク距離と、宛先データ通信装置について記憶しているネットワーク距離とを比較し、表示されたネットワーク距離の値が記憶しているネットワーク距離の値よりも小さい場合は、表示されたネットワーク距離の値を記憶しているネットワーク距離の値に変更して送信データを宛先データ通信装置に対して送信するため、宛先データ通信装置まで到達しないダミーデータが含まれているため見かけ上攻撃データと判定されないような攻撃データの攻撃を無効化することができる。
【図面の簡単な説明】
【図1】 実施の形態1に係るネットワーク構成の一例を示す図である。
【図2】 実施の形態1に係る攻撃対策システムの内部構成を示す図である。
【図3】 攻撃シグネチャ、受信パケット、再構成結果の例を示す図である。
【図4】 パケット検査部における手順の流れを示すフローチャート図である。
【図5】 ネットワーク距離測定部における手順の流れを示すフローチャート図である。
【図6】 TCP/IPにおけるIPデータグラム・ヘッダ・フォーマットの例を示す図である。
【図7】 TCP/IPにおけるICMPのエコー要求メッセージの例を示す図である。
【図8】 TCP/IPにおけるICMPの時間超過メッセージの例を示す図である。
【図9】 TCP/IPにおけるICMPのエコー応答メッセージの例を示す図である。
【図10】 実施の形態2に係るネットワーク構成の一例を示す図である。
【図11】 実施の形態2に係る攻撃対策システムの内部構成を示す図である。
【図12】 TTL変更部における手順の流れを示すフローチャート図である。
【図13】 ネットワーク距離記憶部の記憶内容、更新処理後のパケット、ターゲットマシンでの結果の例を示す図である。
【図14】 従来技術を適用するネットワーク構成の一例を示す図である。
【図15】 従来技術における攻撃検出システムの内部構成を示す図である。
【図16】 攻撃シグネチャ、受信パケット、従来の再構成結果、従来のターゲットマシンでの結果を示す図である。
【符号の説明】
1 攻撃対策システム、2 攻撃マシン、3 ルータ、4 ターゲットマシン、11 パケット送受信部、12 測定パケット生成部、13 測定パケット送受信部、14 パケット検査部、15 データ再構成部、16 シグネチャデータベース、17 攻撃チェック部、100 ネットワークA、101 パケット送受信部、102 パケット送受信部、103 中継制御部、104 ネットワーク距離記憶部、105 TTL変更部、200 ネットワークB。
Claims (7)
- 複数のデータ通信装置間のデータ通信を中継するデータ中継装置であって、
前記複数のデータ通信装置のそれぞれについて、前記データ中継装置からそれぞれのデータ通信装置までのネットワーク距離を記憶ネットワーク距離として記憶するネットワーク距離記憶部と、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継装置からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信部と、
前記送信データに表示された前記表示ネットワーク距離と、前記送信データの宛先とされた宛先データ通信装置の記憶ネットワーク距離とを比較し、比較結果に基づき前記表示ネットワーク距離及び前記宛先データ通信装置の記憶ネットワーク距離のいずれか一方の値を変更するネットワーク距離変更部と、
前記ネットワーク距離変更部により前記表示ネットワーク距離及び前記宛先通信装置の記憶ネットワーク距離のいずれか一方の値の変更が行われた後に、前記送信データを前記宛先データ通信装置に対して送信するデータ送信部とを有し、
前記ネットワーク距離変更部は、前記表示ネットワーク距離の値が前記宛先データ通信装置の記憶ネットワーク距離の値よりも小さい場合は、前記表示ネットワーク距離の値を前記宛先データ通信装置の記憶ネットワーク距離の値に変更し、前記宛先データ通信装置の記憶ネットワーク距離の値が前記表示ネットワーク距離の値よりも小さい場合は、前記宛先データ通信装置の記憶ネットワーク距離の値を前記表示ネットワーク距離の値に変更することを特徴とするデータ中継装置。 - 前記ネットワーク距離記憶部に記憶ネットワーク距離が記憶されていない新規のデータ通信装置を宛先とする送信データが前記データ受信部により受信された場合に、前記ネットワーク距離記憶部は、前記送信データに表示されたネットワーク距離を、前記新規のデータ通信装置の記憶ネットワーク距離として記憶することを特徴とする請求項1に記載のデータ中継装置。
- 前記ネットワーク距離記憶部は、前記記憶ネットワーク距離として前記データ中継装置からそれぞれのデータ通信装置までに必要なTTL(Time To Live)値を記憶し、
前記データ受信部は、前記表示ネットワーク距離としてTTL値が表示された送信データを受信し、
前記ネットワーク距離変更部は、前記送信データに表示された表示TTL値と前記ネットワーク距離記憶部に記憶された前記宛先データ通信装置の記憶TTL値とを比較し、比較結果に基づき前記表示TTL値及び前記宛先データ通信装置の記憶TTL値のいずれか一方の値を変更することを特徴とする請求項1に記載のデータ中継装置。 - 複数のデータ通信装置間のデータ通信を中継するデータ中継方法であって、
前記複数のデータ通信装置のそれぞれについて、前記データ中継方法からそれぞれのデータ通信装置までのネットワーク距離を記憶ネットワーク距離として記憶するネットワーク距離記憶ステップと、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継方法からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信ステップと、
前記送信データに表示された前記表示ネットワーク距離と、前記送信データの宛先とされた宛先データ通信装置の記憶ネットワーク距離とを比較し、比較結果に基づき前記表示ネットワーク距離及び前記宛先データ通信装置の記憶ネットワーク距離のいずれか一方の値を変更するネットワーク距離変更ステップと、
前記ネットワーク距離変更ステップにより前記表示ネットワーク距離及び前記宛先通信装置の記憶ネットワーク距離のいずれか一方の値の変更が行われた後に、前記送信データを前記宛先データ通信装置に対して送信するデータ送信ステップとを有し、
前記ネットワーク距離変更ステップは、前記表示ネットワーク距離の値が前記宛先データ通信装置の記憶ネットワーク距離の値よりも小さい場合は、前記表示ネットワーク距離の値を前記宛先データ通信装置の記憶ネットワーク距離の値に変更し、前記宛先データ通信装置の記憶ネットワーク距離の値が前記表示ネットワーク距離の値よりも小さい場合は、前記宛先データ通信装置の記憶ネットワーク距離の値を前記表示ネットワーク距離の値に変更することを特徴とするデータ中継方法。 - 前記ネットワーク距離記憶ステップは、前記記憶ネットワーク距離として前記データ中継方法からそれぞれのデータ通信装置までに必要なTTL(Time To Live)値を記憶し、
前記データ受信ステップは、前記表示ネットワーク距離としてTTL値が表示された送信データを受信し、
前記ネットワーク距離変更ステップは、前記送信データに表示された表示TTL値と前記ネットワーク距離記憶ステップに記憶された前記宛先データ通信装置の記憶TTL値とを比較し、比較結果に基づき前記表示TTL値及び前記宛先データ通信装置の記憶TTL値のいずれか一方の値を変更することを特徴とする請求項4に記載のデータ中継方法。 - 複数のデータ通信装置間のデータ通信を中継するデータ中継処理をデータ中継装置に実行させるためのデータ中継処理プログラムであって、
前記複数のデータ通信装置のそれぞれについて、前記データ中継装置からそれぞれのデータ通信装置までのネットワーク距離を記憶ネットワーク距離として記憶するネットワーク距離記憶処理と、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継装置からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信処理と、
前記送信データに表示された前記表示ネットワーク距離と、前記送信データの宛先とされた宛先データ通信装置の記憶ネットワーク距離とを比較し、比較結果に基づき前記表示ネットワーク距離及び前記宛先データ通信装置の記憶ネットワーク距離のいずれか一方の値を変更する処理であって、前記表示ネットワーク距離の値が前記宛先データ通信装置の記憶ネットワーク距離の値よりも小さい場合は、前記表示ネットワーク距離の値を前記宛先データ通信装置の記憶ネットワーク距離の値に変更し、前記宛先データ通信装置の記憶ネットワーク距離の値が前記表示ネットワーク距離の値よりも小さい場合は、前記宛先データ通信装置の記憶ネットワーク距離の値を前記表示ネットワーク距離の値に変更するネットワーク距離変更処理と、
前記ネットワーク距離変更処理により前記表示ネットワーク距離及び前記宛先通信装置の記憶ネットワーク距離のいずれか一方の値の変更が行われた後に、前記送信データを前記宛先データ通信装置に対して送信するデータ送信処理とを前記データ中継装置に実行させるためのデータ中継処理プログラム。 - 複数のデータ通信装置間のデータ通信を中継するデータ中継処理をデータ中継装置に実行させるためのデータ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体であって、
前記複数のデータ通信装置のそれぞれについて、前記データ中継装置からそれぞれのデータ通信装置までのネットワーク距離を記憶ネットワーク距離として記憶するネットワーク距離記憶処理と、
いずれかのデータ通信装置から他のいずれかのデータ通信装置を宛先として送信され、前記データ中継装置からデータ転送可能なネットワーク距離が表示ネットワーク距離として表示された送信データを受信するデータ受信処理と、
前記送信データに表示された前記表示ネットワーク距離と、前記送信データの宛先とされた宛先データ通信装置の記憶ネットワーク距離とを比較し、比較結果に基づき前記表示ネットワーク距離及び前記宛先データ通信装置の記憶ネットワーク距離のいずれか一方の値を変更する処理であって、前記表示ネットワーク距離の値が前記宛先データ通信装置の 記憶ネットワーク距離の値よりも小さい場合は、前記表示ネットワーク距離の値を前記宛先データ通信装置の記憶ネットワーク距離の値に変更し、前記宛先データ通信装置の記憶ネットワーク距離の値が前記表示ネットワーク距離の値よりも小さい場合は、前記宛先データ通信装置の記憶ネットワーク距離の値を前記表示ネットワーク距離の値に変更するネットワーク距離変更処理と、
前記ネットワーク距離変更処理により前記表示ネットワーク距離及び前記宛先通信装置の記憶ネットワーク距離のいずれか一方の値の変更が行われた後に、前記送信データを前記宛先データ通信装置に対して送信するデータ送信処理とを前記データ中継装置に実行させるためのデータ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001272867A JP3919488B2 (ja) | 2001-09-10 | 2001-09-10 | データ中継装置、データ中継方法、データ中継処理プログラム及びデータ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001272867A JP3919488B2 (ja) | 2001-09-10 | 2001-09-10 | データ中継装置、データ中継方法、データ中継処理プログラム及びデータ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2003087333A JP2003087333A (ja) | 2003-03-20 |
| JP3919488B2 true JP3919488B2 (ja) | 2007-05-23 |
Family
ID=19098165
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001272867A Expired - Fee Related JP3919488B2 (ja) | 2001-09-10 | 2001-09-10 | データ中継装置、データ中継方法、データ中継処理プログラム及びデータ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3919488B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4649253B2 (ja) * | 2005-03-30 | 2011-03-09 | 株式会社野村総合研究所 | ログ取得プログラムおよび方法 |
| JP4551316B2 (ja) * | 2005-11-22 | 2010-09-29 | 日本電信電話株式会社 | 中継装置および中継装置用プログラム |
| JP4148526B2 (ja) | 2006-04-20 | 2008-09-10 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ネットワークアドレス変換機器を検出する装置および方法。 |
-
2001
- 2001-09-10 JP JP2001272867A patent/JP3919488B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2003087333A (ja) | 2003-03-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4509955B2 (ja) | Vpn通信検出方法及び装置 | |
| US7936743B2 (en) | Method and system for determining a path between two points of an IP network over which datagrams are transmitted | |
| CN113132342B (zh) | 方法、网络装置、隧道入口点装置及存储介质 | |
| EP2001165B1 (en) | Method and system for measuring network performance | |
| JP3225924B2 (ja) | 通信品質制御装置 | |
| EP2764662B1 (en) | Test traffic interceptor in a data network | |
| CN108111509B (zh) | 数据传输方法 | |
| US11943147B2 (en) | Method of determining passive round trip time, RTT, delay in a telecommunications system | |
| US20090316719A1 (en) | Method for managing mechanisms to enhance transmission of data streams in a tunnel, corresponding computer program product, storage medium and tunnel end-point | |
| CN101237468A (zh) | 中继装置、程序以及中继方法 | |
| JP2008098813A (ja) | 情報通信装置、情報通信方法、及びプログラム | |
| US20160156742A1 (en) | Relaying system and method of transmitting ip address of client to server using encapsulation protocol | |
| US20080192641A1 (en) | Automatic discovery of blocking access-list ID and match statements in a network | |
| Edeline et al. | A bottom-up investigation of the transport-layer ossification | |
| Simpson | TCP cookie transactions (TCPCT) | |
| Göhring et al. | Path mtu discovery considered harmful | |
| JP3919488B2 (ja) | データ中継装置、データ中継方法、データ中継処理プログラム及びデータ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体 | |
| Custura et al. | Reducing the acknowledgement frequency in IETF QUIC | |
| JP2003163681A (ja) | パケット転送装置、パケット転送方法およびプログラム | |
| JP3961415B2 (ja) | プロトコル不具合自動検出方法、及び、プロトコル不具合自動検出装置 | |
| Hoogstraaten | Evaluating server-side internet proxy detection methods | |
| JP2001358771A (ja) | 通信品質制御装置 | |
| CN113965338B (zh) | 内网穿透方法 | |
| Hinden et al. | RFC 9268: IPv6 Minimum Path MTU Hop-by-Hop Option | |
| Ekman | Automobile Control Systems: Transition from Controller Area Networks to Ethernets |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20040518 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20041019 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050411 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20061206 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061212 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070123 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070213 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070213 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 3919488 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100223 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110223 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120223 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130223 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130223 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140223 Year of fee payment: 7 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |