JP2011114743A - Method and apparatus for monitoring network - Google Patents
Method and apparatus for monitoring network Download PDFInfo
- Publication number
- JP2011114743A JP2011114743A JP2009271027A JP2009271027A JP2011114743A JP 2011114743 A JP2011114743 A JP 2011114743A JP 2009271027 A JP2009271027 A JP 2009271027A JP 2009271027 A JP2009271027 A JP 2009271027A JP 2011114743 A JP2011114743 A JP 2011114743A
- Authority
- JP
- Japan
- Prior art keywords
- route
- traffic
- change
- generation source
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】ネットワーク監視において、IRRデータベース不備の場合でも、ネットワーク異常の正確な検出と、迅速な分析を行う。
【解決手段】BGPルータより出力されるBGPメッセージを受信するBGPメッセージ受信手段と、前記BGPメッセージ受信手段で抽出された経路情報を管理する経路情報管理手段と、前記経路情報管理手段が管理する経路情報の中で、IPアドレス空間に一部でも重複があり、かつ生成元AS番号が異なる経路を検出した場合にBGP経路生成元AS変更として記録する経路生成元AS変更記録手段と、トラフィック情報を収集するトラフィック収集手段と、変更前後の経路生成元AS番号を含む経路情報毎のトラフィック量を算出する経路トラフィック算出手段と、前記BGP経路生成元AS変更によるトラフィック変動を算出する経路トラフィック変動算出手段とを具備する。
【選択図】図2In network monitoring, even when an IRR database is inadequate, accurate detection and quick analysis of a network abnormality are performed.
A BGP message receiving unit that receives a BGP message output from a BGP router, a route information management unit that manages route information extracted by the BGP message receiving unit, and a route that is managed by the route information management unit Among the information, a route generation source AS change recording means for recording as a BGP route generation source AS change when a route having a partly overlapping IP address space and a different generation source AS number is detected, and traffic information Traffic collecting means for collecting, route traffic calculating means for calculating the traffic amount for each piece of route information including the route generation source AS numbers before and after the change, and route traffic fluctuation calculation means for calculating traffic fluctuation due to the BGP route generation source AS change It comprises.
[Selection] Figure 2
Description
本発明は、ネットワーク監視方法及びネットワーク監視装置に係わり、特に、インターネットの経路変動を監視する際に有効な技術に関する。 The present invention relates to a network monitoring method and a network monitoring apparatus, and more particularly to a technique that is effective in monitoring Internet path fluctuations.
複数の自律システム(Autonomous System;以下、ASという)より構成されるインターネットにおいて、IPパケットはBGP(Border Gateway Protocol)経路情報に基づいて送信される。BGP経路情報には、経路生成元AS番号と経由ASがASパス属性として記録される。
攻撃目的により経路を乗っ取ってIPパケットを誘導したり、一時的に経路を注入してSPAMメールを送信したり、設定誤りで他ASが所有する経路を広告すること等による不正経路広告により、経路を所有するAS以外のAS番号が経路生成元ASとして記録されたBGP経路情報がAS間を伝播する場合がある。
従来のネットワーク監視装置としては、BGP経路情報を受信するBGP経路情報受信手段と、IRR(Internet Routing Registry)データベースを基に構成され、外部ASより受信したBGP経路情報を照合して不正経路を判定するBGP経路情報判定手段で構成されるものが知られている。
In the Internet composed of a plurality of autonomous systems (hereinafter referred to as AS), IP packets are transmitted based on BGP (Border Gateway Protocol) route information. In the BGP route information, a route generation source AS number and a via AS are recorded as AS path attributes.
Route by hijacking the route for attack purposes, injecting the IP packet temporarily, sending SPAM mail by injecting the route temporarily, advertising the route owned by other AS due to setting error, etc. In some cases, BGP route information in which an AS number other than the AS that owns the AS is recorded as the route generation source AS propagates between ASs.
A conventional network monitoring device is configured based on BGP route information receiving means for receiving BGP route information and an IRR (Internet Routing Registry) database, and determines an illegal route by comparing BGP route information received from an external AS. What is comprised of the BGP route information determination means is known.
しかしながら、従来のネットワーク監視装置では、BGP経路情報及びIRRデータベースを基に不正経路を判定しているため、IRRデータベース更新不備による経路生成元AS番号不一致と不正経路広告による経路生成元AS番号不一致を判別できないといった問題があり、経路変動によりどれだけのトラフィックが影響を受けたかの監視や、トラフィック変動を基にして関係する経路変動を抽出することができず、ネットワーク監視において支障を来していた。
本発明は、前記従来技術の問題点を解決するためになされたものであり、本発明の目的は、ネットワーク監視において、IRRデータベース不備の場合でも、ネットワーク異常の正確な検出と、迅速な分析を行うことが可能となる技術を提供することにある。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかにする。
However, in the conventional network monitoring device, since the illegal route is determined based on the BGP route information and the IRR database, the route generator AS number mismatch due to the incomplete IRR database update and the route generator AS number mismatch due to the illegal route advertisement are detected. There is a problem that it cannot be discriminated, and it is impossible to monitor how much traffic is affected by the route fluctuation and to extract a related route fluctuation based on the traffic fluctuation.
The present invention has been made to solve the above-mentioned problems of the prior art, and an object of the present invention is to accurately detect a network abnormality and perform a rapid analysis even when the IRR database is inadequate in network monitoring. It is to provide a technique that can be performed.
The above and other objects and novel features of the present invention will become apparent from the description of this specification and the accompanying drawings.
本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、下記の通りである。
(1)複数の自律システムで構成されるネットワークに適用されるネットワーク監視装置におけるネットワーク監視方法であって、BGPルータより出力されるBGPメッセージ、あるいは、BGPルータより出力されるBGPメッセージ及びIRRデータベースに記録している経路情報を受信するステップ1と、前記ステップ1で抽出された経路情報を管理するステップ2と、前記ステップ2で管理した経路情報の中で、IPアドレス空間に一部でも重複があり、かつ生成元AS番号が異なる経路を検出した場合に、変更前後の生成元AS番号と、変更時刻とを変更BGP経路生成元AS変更として記記録するステップ3と、トラフィック情報を収集するステップ4と、前記ステップ3において前記BGP経路生成元AS変更を記録したときに、前記ステップ2で管理した経路情報と前記ステップ4で収集したトラフィック情報とに基づき、変更前後の経路生成元AS番号を含む経路情報毎のトラフィック量を算出するステップ5と、前記ステップ3で前記BGP経路生成元AS変更を記録したときに、前記ステップ5で算出された前記トラフィック量に基づき、前記BGP経路生成元AS変更によるトラフィック変動を算出するステップ6とを具備することを特徴とする。
Of the inventions disclosed in this application, the outline of typical ones will be briefly described as follows.
(1) A network monitoring method in a network monitoring apparatus applied to a network composed of a plurality of autonomous systems, which includes a BGP message output from a BGP router, or a BGP message output from a BGP router and an IRR database.
(2)(1)において、前記ステップ6において、変更前後の経路生成元AS番号と、変更前後の経路生成元AS番号を含む経路情報毎のトラフィック量を管理者に通知する。
(3)(1)において、前記ステップ6において、前記BGP経路生成元AS変更によるトラフィック変動が許容範囲を超えたときに、変更前後の経路生成元AS番号と、変更前後の経路生成元AS番号を含む経路情報毎のトラフィック変動量を管理者に通知する。
(4)(1)において、前記ステップ5において、前記算出した変更前後の経路生成元AS番号を含む経路情報毎のトラフィック量を、経路情報・プロトコル毎のトラフィック量、あるいは、経路情報・ポート番号毎トラフィック量に集計し、前記ステップ6において、前記BGP経路生成元AS変更による経路情報・プロトコル毎のトラフィック量変動、あるいは、経路情報・ポート番号毎トラフィック量変動が許容範囲を超えたときに、変更前後の経路生成元AS番号と、変更前後の経路生成元AS番号を含む経路情報・プロトコル毎のトラフィック量変動、あるいは、経路情報・ポート番号毎トラフィック量を管理者に通知する。
(5)(1)において、前記ステップ6において、前記BGP経路生成元AS変更によるトラフィック変動が許容範囲を超えたときに、トラフィック量変動時刻付近の受信BGPメッセージと、経路情報と、経路生成元AS変更記録と、変更前後の経路生成元AS番号を含む経路情報毎のトラフィック変動量を管理者に通知する。
(6)また、本発明は、前述のネットワーク監視方法を実施するネットワーク監視装置である。
(2) In (1), in
(3) In (1), when the traffic variation due to the BGP route generation source AS change exceeds the allowable range in
(4) In (1), in
(5) In (1), when the traffic variation due to the BGP route generation source AS change exceeds the allowable range in
(6) Moreover, this invention is a network monitoring apparatus which implements the above-mentioned network monitoring method.
本願において開示される発明のうち代表的なものによって得られる効果を簡単に説明すれば、下記の通りである。
本発明によれば、ネットワーク監視において、IRRデータベース不備の場合でも、ネットワーク異常の正確な検出と、迅速な分析を行うことが可能となる。
The effects obtained by the representative ones of the inventions disclosed in the present application will be briefly described as follows.
According to the present invention, even when the IRR database is inadequate in network monitoring, it is possible to accurately detect network abnormality and perform quick analysis.
以下、図面を参照して本発明の実施例を詳細に説明する。
なお、実施例を説明するための全図において、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。また、以下の実施例は、本発明の特許請求の範囲の解釈を限定するためのものではない。
[実施例1]
図1は、本発明の実施例1に係るネットワーク監視装置が適用されるBGPネットワークの一例を示す図である。
図1において、100は自ASであるAS1、110は他ASであるAS2、120は他ASのAS3である。AS1(100)のBGPルータ(Border Gateway Protocol;以下、ルータという)1−1(11)とAS2(110)のルータ2−1(13)との間でBGPメッセージを用いて経路情報を交換し、AS1(100)のルータ1−2(12)とAS3(120)のルータ3−1(14)との間でBGPメッセージを用いて経路情報を交換する。
ネットワーク監視装置10は、ルータ1−1(11)及びルータ1−2(12)より、I−BGP(Internal-BGP)によりBGPメッセージを受信し、フローデータを用いて端末(15)とWebサーバ16との間のトラフィックを含むルータ1−1(11)及びルータ1−2(12)のトラフィック情報を受信する。
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
In all the drawings for explaining the embodiments, parts having the same functions are given the same reference numerals, and repeated explanation thereof is omitted. Also, the following examples are not intended to limit the interpretation of the scope of the claims of the present invention.
[Example 1]
FIG. 1 is a diagram illustrating an example of a BGP network to which the network monitoring apparatus according to the first embodiment of the present invention is applied.
In FIG. 1, 100 is an
The
図2は、本発明の実施例1におけるネットワーク監視装置の概略構成を示すブロック図である。
BGPメッセージ受信部20は、ルータからBGPメッセージを受信して記録し、経路情報管理部21に、経路情報として、プレフィックス、次ホップルータ、ピアAS、生成元AS、ASホップ数、ASパス、コミュニティ情報・受信時刻を渡す。
経路情報管理部21は、受信した経路情報を記録し、記録している経路情報の中で、記録しているプレフィックスと完全に一致して生成元ASが異なる新たな経路情報を受信した場合、及び、記録しているプレフィックスの一部に含まれるプレフィックスであり生成元ASが異なる新たな経路情報を受信した場合、並びに、記録しているプレフィックスを含むプレフィックスであり生成元ASが異なる新たな経路情報を受信した場合、経路生成元AS変更として経路生成元AS変更記録部22に変更前後の経路情報を渡す。前述の処理の際、Withdrawメッセージを受信して一時的に経路情報が削除されても、該経路情報を一定時間保持することで、生成元ASの変更を判断する。
経路生成元AS変更記録部22は、経路生成元AS変更前後の経路情報を受信し、経路生成元AS変更を検出して記録し、経路トラフィック変動算出部25、及び経路トラフィック算出部24へ経路生成元AS変更前後の経路情報を渡す。
FIG. 2 is a block diagram illustrating a schematic configuration of the network monitoring apparatus according to the first embodiment of the present invention.
The BGP
The route
The route generation source AS
トラフィック収集部23は、ルータからトラフィック情報を受信して、ルータのインタフェース毎への入力トラフィック及び出力トラフィックに対して、送信元IPアドレス・宛先IPアドレス・プロトコル・送信元ポート番号・宛先ポート番号の組み合わせに対するトラフィック量を時系列で記録し、経路トラフィック算出部24に渡す。ルータから得られるトラフィック情報として、例えばNetflow及びsFlow及びIPFIX等のフローデータがあげられる。
経路トラフィック算出部24は、経路情報管理部21で記録している経路情報と、受信したトラフィック情報を基にして、プレフィックス宛て及びプレフィックス向けのトラフィック量を、プロトコル毎、送信元ポート番号毎、および宛先ポート番号毎の条件で算出し、かつ、プレフィックス宛及びプレフィックス向けトラフィック量を、次ホップルータ毎、ピアAS毎、生成元AS毎、ASホップ数毎、ASパス毎およびコミュニティ情報毎に集計し、記録する。
また、経路生成元AS変更記録部22より経路生成元AS変更前後の経路情報が渡された場合、該当するプレフィックスに関して、トラフィック収集部23の記録を用いて一定時間過去のプレフィックス宛て及びプレフィックス向けのトラフィック量を、プロトコル毎、送信元ポート番号毎、および宛先ポート番号毎の条件で算出し、かつ、プレフィックス宛及びプレフィックス向けトラフィック量を、次ホップルータ毎、ピアAS毎、生成元AS毎、ASホップ数毎、ASパス毎およびコミュニティ情報毎に集計し、記録する。
The
Based on the route information recorded by the route
In addition, when the route information before and after the route generation source AS change is passed from the route generation source AS
経路トラフィック変動算出部25は、経路生成元AS変更記録部22より経路生成元AS変更前後の経路情報を受信し、経路トラフィック算出部24より生成元ASが変更される前の該当するプレフィックスに対する変更前後の時刻に対するトラフィック量を取得する。次に、生成元ASを変更した後に該当するプレフィックスに対して、経路トラフィック算出部24より変更前後の時刻に対するトラフィック量を取得する。
生成元AS変更前後のプレフィックス毎のトラフィック量の差分をプロトコル毎、送信元ポート番号毎、および宛先ポート番号毎の条件で算出し、変動量があらかじめ設定された閾値を超えた場合、生成元AS変更によるトラフィック異常として、変更前後の生成元AS番号およびトラフィック量情報を含むアラートを管理者に送信する。
同時に、経路トラフィック算出部24より、変更前後の時刻に対するトラフィック量を、次ホップルータ毎、ピアAS毎、生成元AS毎、ASホップ数毎、ASパス毎、およびコミュニティ毎に取得し、トラフィック変動量があらかじめ設定された閾値を超えた場合、トラフィック異常として、変更前後の生成元AS番号およびトラフィック量情報を含むアラートを管理者に送信する。
経路トラフィック変動算出部25は、経路トラフィック算出部24からの情報だけでも、プロトコル毎、送信元ポート番号毎、および宛先ポート番号毎に集計されたプレフィックス毎のトラフィック変動量、並びに、次ホップルータ毎、ピアAS毎、生成元AS毎、ASホップ数毎、ASパス毎、およびコミュニティ毎のトラフィック変動量に対して、あらかじめ設定された閾値を超えた場合、トラフィック量変動時刻付近の受信BGPメッセージと経路情報と経路生成元AS変更記録を、BGPメッセージ受信部20と、経路情報管理部21と、経路生成元AS変更記録部22から取得し、BGPメッセージ、経路情報、経路生成元AS変更記録およびトラフィック情報を含むアラートを管理者に送信する。
The route traffic
When the difference in traffic volume for each prefix before and after the change of the source AS is calculated for each protocol, each source port number, and each destination port number, and the fluctuation amount exceeds a preset threshold, the source AS As a traffic abnormality due to the change, an alert including the generation AS number before and after the change and the traffic volume information is transmitted to the administrator.
At the same time, the traffic volume for the time before and after the change is acquired from the route
The route traffic
図1のAS2(110)が保有するプレフィックス[192.168.0.0/16]がルータ2−1(13)から広告されているとき、AS1(100)内のルータは、[192.168.0.0/16]宛てのIPパケットをAS2(110)宛てに送信するよう転送テーブルに設定し、AS2(110)内のWebサーバ16のIPアドレス[192.168.0.1]に対して、TCPプロトコル・宛先ポート番号80番で通信を行う。また、AS1(100)内のルータは、経路[192.168.1.0/16]の生成元ASがAS2(110)である旨のBGPメッセージをピアルータに送信する。
図2のBGPメッセージ受信部20は受信したBGPメッセージを記録し、経路情報管理部21は、図6に示すように、プレフィックス、次ホップルータ、ピアAS、生成元AS、ASホップ数、ASパス、コミュニティ、受信時刻を記録する。
図2のトラフィック収集部23は、受信したトラフィック情報を記録し、図7及び図8に示すように、トラフィック情報出力ルータ、入力インタフェース、出力インタフェース、送信元IPアドレス、宛先IPアドレス、プロトコル、送信元ポート番号、宛先ポート番号、トラフィック量、パケット数、受信時刻を記録する。プロトコル、送信元ポート番号、宛先ポート番号については、全数(ANY)条件でも計測、記録する。即ち、プロトコル、送信元ポート番号、宛先ポート番号については分類せず、トラフィック情報出力ルータ、入力インタフェース、出力インタフェース、宛先プレフィックス毎の分類だけでも計測、記録する。
経路トラフィック算出部24は、図9及び図10に示すように、トラフィック情報出力ルータ、入力インタフェース、出力インタフェース、宛先プレフィックス、プロトコル、送信元ポート番号、宛先ポート番号、トラフィック量、パケット数、受信時刻を記録する。プロトコル、送信元ポート番号、宛先ポート番号については、全数(ANY)条件でも計測、記録する。
また、経路トラフィック算出部24は、トラフィック収集部23及び経路情報管理部21より、受信したトラフィック情報に対して、図11〜16に示すように、次ホップルータ毎、ピアAS毎、生成元AS毎、ASホップ数毎、ASパス毎、およびコミュニティ毎にトラフィック量を集計し、記録する。
When the prefix [192.168.0.0/16] held by the AS2 (110) in FIG. 1 is advertised by the router 2-1 (13), the router in the AS1 (100) .0.0 / 16] is set in the forwarding table so that the IP packet addressed to AS2 (110) is transmitted to the IP address [192.168.0.1] of the
The BGP
2 records the received traffic information, and as shown in FIGS. 7 and 8, the traffic information output router, input interface, output interface, source IP address, destination IP address, protocol, transmission Record the original port number, destination port number, traffic volume, number of packets, and reception time. The protocol, source port number, and destination port number are measured and recorded even under the total number (ANY) condition. That is, the protocol, the transmission source port number, and the destination port number are not classified, and only the classification for each traffic information output router, input interface, output interface, and destination prefix is measured and recorded.
As shown in FIGS. 9 and 10, the route
In addition, the route
図1のAS3(120)のルータ3−1(14)から、攻撃目的あるいは設定間違いにより[192.168.0.0/24]の経路が広告されると、プレフィックス長のより長い経路を優先するLongestMatchにより、AS1(100)内のルータは[192.168.1.0/24]宛てのIPパケットをAS3(120)向けに送信するよう転送テーブルを設定し、経路[192.168.1.0/24]の生成元ASがAS3(120)である旨のBGPメッセージをピアルータに送信する。
この結果、AS1(100)内のルータは、[192.168.0.1]宛てのIPパケットを含む[192.168.0.0/24]宛てのパケットをAS3(120)宛てに送信するため、AS1(100)内の端末15は、AS2(110)のWebサーバ16宛にパケットを送信してもAS3(120)に送信され、Webサーバ16からの戻りのパケットは受信しなくなる。
図2のBGPメッセージ受信部20は受信したBGPメッセージを記録し、経路情報管理部21に、経路情報として、プレフィックス、次ホップルータ、ピアAS、生成元AS、ASホップ数、ASパス、コミュニティ情報・受信時刻を渡す。
When the route of [192.168.0.0/24] is advertised from the router 3-1 (14) of the AS 3 (120) in FIG. 1 for the purpose of attack or misconfiguration, the route with the longer prefix length is given priority. By using LongestMatch, the router in the AS1 (100) sets a forwarding table so as to transmit the IP packet addressed to [192.168.1.0/24] to the AS3 (120), and the route [192.168.1. .0 / 24] is transmitted to the peer router as a BGP message indicating that the generation source AS is AS3 (120).
As a result, the router in AS1 (100) transmits a packet addressed to [192.168.0.0/24] including an IP packet addressed to [192.168.0.1] to AS3 (120). Therefore, even if the terminal 15 in the AS 1 (100) transmits a packet addressed to the
The BGP
経路情報管理部21は、図17に示すように、プレフィックス、次ホップルータ、ピアAS、生成元AS、ASホップ数、ASパス、コミュニティ、受信時刻を記録する。また、経路情報管理部21は、受信した経路情報が、記録している経路情報のプレフィックスに含まれるプレフィックスであり生成元ASが異なる新たな経路情報であるので、経路生成元AS変更記録部22に変更前後の経路情報を渡す。
図2のトラフィック収集部23は、受信したトラフィック情報を記録する。送信元IPアドレス[10.0.0.1]、及び宛先IPアドレス[192.168.0.1]の時刻T4以降のトラフィックは、TCP接続を試みるSYNパケットを少量受信する可能性があるが、送信元IPアドレス[192.168.0.1]、及び宛先IPアドレス[10.0.0.1]のパケットは流れないため、ルータ1−1(11)からトラフィック情報として出力されない。
このとき、経路トラフィック算出部24は、トラフィック収集部23より渡されるトラフィック情報について、[192.168.0.0/24]を宛先IPアドレスとするトラフィック情報として少量のトラフィックが観測された場合に記録する。[192.168.0.0/24]を送信元IPアドレスとするトラフィック情報については受信しないため、トラフィック量は記録されない。
As shown in FIG. 17, the route
The
At this time, the route
経路生成元AS変更記録部22は、プレフィックス[192.168.0.0/24]、生成元AS[3]、受信時刻[T3]と、プレフィックス[192.168.0.0/16]、生成元AS[2]、受信時刻[T1]を比較し、プレフィックス[192.168.0.0/16]に、プレフィックス[192.168.0.0/24]が含まれること、かつ生成元ASがAS2(110)からAS3(120)に変更されたことを検出し、プレフィックス[192.168.0.0/24]、変更前生成元AS[2]、変更後生成元AS[3]、変更時刻[T3]を記録し、経路トラフィック変動算出部25と、トラフィック算出部24へ通知するとともに、管理者に記録した情報を含むアラートを送信する。
また、経路トラフィック算出部24は、経路生成元AS変更記録部22から通知されたプレフィックスである[192.168.0.0/24]を宛先または送信元とする一定時間前(例えば、30分前)のトラフィック量について、トラフィック収集部23の記録を用いて算出し記録する。例えば、図18、図19に示すような値を記録する。
経路トラフィック変動算出部25は、通知された経路生成元AS変更記録より、プレフィックス[192.168.0.0/24]に対するトラフィック変化量を算出する。経路生成元AS変更を検出した時刻T3の一定時間前と、T3以降の該プレフィックス[192.168.0.0/24]に関するトラフィック量を比較し、プロトコル毎、送信元ポート番号毎、宛先ポート番号毎のいずれかでトラフィック変動量の許容範囲(例えば、50%)を超えていることを検出する。そして、生成元AS変更によるトラフィック異常アラートとして、図20の情報を含むアラートを設定された管理者に送信する。
また、経路トラフィック変動算出部25は、経路生成元AS変更を検出した時刻T3の一定時間前と、T3以降のトラフィック量を比較し、次ホップルータ毎、ピアAS毎、生成元AS毎、ASホップ数毎、ASパス毎、コミュニティ毎のトラフィック変化量に対して、許容範囲(例えば、50%)を超えていることを検出する。そして、トラフィック異常アラートとして、例えば図21〜図26の情報を含むアラートを設定された管理者に送信する。
The route generation source AS
In addition, the route
The route traffic
Further, the route traffic
経路トラフィック変動算出部25は、経路情報変更の検出有無に関わらず、経路トラフィック算出部24の記録に基づき、プレフィックス[192.168.0.0/24]、及びプレフィックス[192.168.0.0/16]に対して、最新時刻のトラフィック量と一定時間(例えば、30分)前のトラフィック量を比較し、プロトコル毎、送信元ポート番号毎、宛先ポート番号毎の各条件のいずれかでトラフィック変動量の許容範囲(例えば、50%)を超えていることを検出する。同時に次ホップルータ毎、ピアAS毎、生成元AS毎、ASホップ数毎、ASパス毎、コミュニティ毎のトラフィック変化量に対してもトラフィック変動量の許容範囲(例えば、50%)を超えていることを検出する。
そして、最新時刻と一定時間前の間に受信したBGPメッセージと、経路情報と、経路生成元AS変更記録を、BGPメッセージ受信部20、経路情報管理部21、経路生成元AS変更記録部22から取得し、図20及び図27〜図32を含むアラートを管理者に送信する。
なお、図1ではネットワーク監視装置10がルータ1−1(11)及びルータ1−2(12)とBGPメッセージを交換していたが、図3に示すようにRR(Route Reflector)17とネットワーク監視装置10がBGPメッセージを交換する構成にしてもよい。
以上説明したように、本実施例に係るネットワーク監視装置は、受信したBGPメッセージより経路生成元AS変更を検出するだけでなく、トラフィック情報よりプレフィックス毎のトラフィック変動量が許容範囲を超えたことを検出することで、トラフィックに影響を与える経路生成元AS変更と、IRRデータベース不備のときのようにトラフィックに影響を与えない経路生成元AS変更を判別して検出可能とし、経路変動によりどれだけのトラフィックが影響を受けたかの監視や、トラフィック変動を基にして関係する経路変動を抽出することが可能になる。
The route traffic
Then, the BGP message, the route information, and the route generation source AS change record received between the latest time and a certain time ago are received from the BGP
In FIG. 1, the
As described above, the network monitoring apparatus according to the present embodiment not only detects the route generation source AS change from the received BGP message, but also confirms that the traffic fluctuation amount for each prefix exceeds the allowable range based on the traffic information. By detecting, it becomes possible to detect and detect a route generation source AS change that affects traffic and a route generation source AS change that does not affect traffic as in the case of incomplete IRR database. It becomes possible to monitor whether the traffic has been affected and to extract related path variations based on the traffic variations.
[実施例2]
本発明の実施例2に係るネットワーク監視装置の動作について、図2及び図4を参照して説明する。なお、本発明の実施例2に係るネットワーク監視装置を構成する構成要素のうち、本発明の実施例1に係るネットワーク監視装置を構成する構成要素と同一の構成要素には同一の符号を付し、それぞれの説明を省略する。
図4のAS2(110)が保有するプレフィックス[192.168.0.0/16]がルータ2−1(13)から広告されているとき、AS1(100)内のルータは、[192.168.0.0/16]宛てのIPパケットをAS2(110)宛てに送信するよう転送テーブルに設定する。AS2(110)内のWebサーバ16のIPアドレス[192.168.0.1]に対してTCPプロトコル・宛先ポート番号80番で通信を行う。また、AS1(100)内のルータは、経路[192.168.1.0/16]の生成元ASがAS2(110)である旨のBGPメッセージをピアルータに送信する。
図4のネットワーク監視装置10は、ルータ1−1(11)及びルータ1−2(12)より、I−BGPを用いてBGPメッセージを受信し、フローデータを用いて端末とWebサーバ16とのトラフィックを含むルータ1−1(11)及びルータ1−2(12)のトラフィック情報を受信し、IRRデータベース(以下、IRRという)18より、ASに割り当てられている経路情報を取得する。
[Example 2]
The operation of the network monitoring apparatus according to the second embodiment of the present invention will be described with reference to FIGS. Of the constituent elements that constitute the network monitoring apparatus according to the second embodiment of the present invention, the same constituent elements as those constituting the network monitoring apparatus according to the first embodiment of the present invention are denoted by the same reference numerals. Each description is omitted.
When the prefix [192.168.0.0/16] held by the AS2 (110) in FIG. 4 is advertised from the router 2-1 (13), the router in the AS1 (100) .0.0 / 16] is set in the forwarding table so that the IP packet addressed to AS2 (110) is transmitted. Communication is performed with the TCP protocol /
The
図2のBGPメッセージ受信部20は、一定時間ごとにIRR18から経路情報を取得し、経路情報管理部21はプレフィックス[192.168.0.0/16]、生成元AS[2]、情報源[IRR]を記録する。また、ルータ1−1(11)から受信したBGPメッセージを記録し、経路情報管理部21は図6に示すように経路情報を記録する。
経路生成元AS変更記録部22は、プレフィックス[192.168.0.0/16]、生成元AS[2]、受信時刻[T1]と、IRR18を情報源とするプレフィックス[192.168.0.0/16]、生成元AS[2]を比較し、経路生成元ASに相違がないことを記録する。
トラフィック収集部23は、受信したトラフィック情報として、図7、図8の情報を記録する。プロトコル、送信元ポート番号、宛先ポート番号については、全数(ANY)条件でも計測、記録する。
経路トラフィック算出部24は、プレフィックス毎のトラフィック量として、図9、図10の情報を記録する。プロトコル、送信元ポート番号、宛先ポート番号については、全数(ANY)条件でも計測、記録する。
また、経路トラフィック算出部24は、トラフィック収集部23及び経路情報管理部21より、受信したトラフィック情報に対して、次ホップルータ毎、ピアAS毎、生成元AS毎、ASホップ数毎、ASパス毎、コミュニティ毎にトラフィック量を集計し、例えば図11〜図16の情報を記録する。
The BGP
The route generation source AS
The
The route
In addition, the route
図4のAS3(120)のルータ3−1(14)から、攻撃目的あるいは設定間違いにより[192.168.0.0/24]の経路が広告されると、プレフィックス長のより長い経路を優先するLongestMatchにより、AS1(100)内のルータは[192.168.1.0/24]宛てのIPパケットをAS3(120)向けに送信するよう転送テーブルを設定し、経路[192.168.1.0/24]の生成元ASがAS3(120)である旨のBGPメッセージをピアルータに送信する。
この結果、AS1(100)内のルータは、[192.168.0.1]宛てのIPパケットを含む[192.168.0.0/24]宛てのパケットをAS3(120)宛てに送信するため、AS1(100)内の端末15は、AS2(110)のWebサーバ16宛にパケットを送信してもAS3(120)に送信され、Webサーバ16からの戻りのパケットは受信しなくなる。
図2のBGPメッセージ受信部20は受信したBGPメッセージを記録し、経路情報管理部21に、経路情報として、プレフィックス、次ホップルータ、ピアAS、生成元AS、ASホップ数、ASパス、コミュニティ情報・受信時刻を渡す。
When the route of [192.168.0.0/24] is advertised from the router 3-1 (14) of the AS 3 (120) in FIG. 4 for the purpose of attack or misconfiguration, the route with the longer prefix length is given priority. By using LongestMatch, the router in the AS1 (100) sets a forwarding table so as to transmit the IP packet addressed to [192.168.1.0/24] to the AS3 (120), and the route [192.168.1. .0 / 24] is transmitted to the peer router as a BGP message indicating that the generation source AS is AS3 (120).
As a result, the router in AS1 (100) transmits a packet addressed to [192.168.0.0/24] including an IP packet addressed to [192.168.0.1] to AS3 (120). Therefore, even if the terminal 15 in the AS 1 (100) transmits a packet addressed to the
The BGP
経路情報管理部21は、例えば図17に示すように、プレフィックス、次ホップルータ、ピアAS、生成元AS、ASホップ数、ASパス、コミュニティ、受信時刻を記録する。また、経路情報管理部21は、受信した経路情報が、記録している経路情報のプレフィックスに含まれるプレフィックスであり生成元ASが異なる新たな経路情報であるので、経路生成元AS変更記録部22に変更前後の経路情報を渡す。
図2のトラフィック収集部23は、受信したトラフィック情報を記録する。送信元IPアドレス[10.0.0.1]、宛先IPアドレス[192.168.0.1]の時刻T3以降のトラフィックは、TCP接続を試みるSYNパケットを少量受信する可能性があるが、送信元IPアドレス[192.168.0.1]、宛先IPアドレス[10.0.0.1]のパケットは流れないため、ルータ1−1(11)からトラフィック情報として出力されない。
このとき、経路トラフィック算出部24は、トラフィック収集部23より渡されるトラフィック情報について、[192.168.0.0/24]を宛先IPアドレスとするトラフィック情報として少量のトラフィックが観測された場合に記録する。[192.168.0.0/24]を送信元IPアドレスとするトラフィック情報については受信しないため、トラフィック情報を記録しない。
For example, as illustrated in FIG. 17, the route
The
At this time, the route
経路生成元AS変更記録部22は、プレフィックス[192.168.0.0/24]、生成元AS[3]、受信時刻[T3]と、IRR18を情報源とするプレフィックス[192.168.0.0/16]、生成元AS[2]を比較し、IRR18を情報源とするプレフィックス[192.168.0.0/16]に、BGPメッセージを情報源とするプレフィックス[192.168.0.0/24]が含まれること、かつ生成元ASがAS2(110)からAS3(120)に変更されたことを検出し、経路生成元AS変更として、プレフィックス[192.168.0.0/24]、変更前生成元AS[2]、変更後生成元AS[3]、変更時刻[T3]を記録し、経路トラフィック変動算出部25と、経路トラフィック算出部24へ渡すとともに、管理者に記録した情報を含むアラートを送信する。
また、経路トラフィック算出部24は、経路生成元AS変更記録部22から渡されたプレフィックスである[192.168.0.0/24]を宛先または送信元とする一定時間前(例えば、30分前)のトラフィック量について、トラフィック収集部23の記録を用いて算出し記録する。例えば、図18、図19の情報を得る。
経路トラフィック変動算出部25は、受信した経路生成元AS変更記録より、プレフィックス[192.168.0.0/24]に対するトラフィック変化量を算出する。経路生成元AS変更を検出した時刻T3の一定時間前と、T3以降の該プレフィックス[192.168.0.0/24]に関するトラフィック量を比較し、プロトコル毎、送信元ポート番号毎、宛先ポート番号毎のいずれかでトラフィック変動量の許容範囲(例えば、50%)を超えていることを検出する。そして、生成元AS変更によるトラフィック異常アラートとして、図20の情報を含むアラートを設定された管理者に送信する。
The route generation source AS
Further, the route
The route traffic
また、経路トラフィック変動算出部25は、経路生成元AS変更を検出した時刻T3の一定時間前と、T3以降のトラフィック量を比較し、次ホップルータ毎、ピアAS毎、生成元AS毎、ASホップ数毎、ASパス毎、コミュニティ毎のトラフィック変化量に対して、許容範囲(例えば、50%)を超えていることを検出する。そして、トラフィック異常アラートとして、図20〜図26の情報を含むアラートを設定された管理者に送信する。
経路トラフィック変動算出部25は、経路情報変更の検出有無に関わらず、経路トラフィック算出部24の記録に基づき、プレフィックス[192.168.0.0/24]、及びプレフィックス[192.168.0.0/16]に対して、最新時刻のトラフィック量と一定時間前のトラフィック量を比較し、プロトコル毎、送信元ポート番号毎、宛先ポート番号毎の各条件のいずれかでトラフィック変動量の許容範囲を超えていることを検出する。同時に次ホップルータ毎、ピアAS毎、生成元AS毎、ASホップ数毎、ASパス毎、コミュニティ毎のトラフィック変化量に対してもトラフィック変動量の許容範囲を超えていることを検出する。
そして、最新時刻と一定時間前の間に受信したBGPメッセージと経路情報と経路生成元AS変更記録をBGPメッセージ受信部20と、経路情報管理部21と、経路生成元AS変更記録部22から取得し、図20及び図27〜図32を含むアラートを管理者に送信する。
Further, the route traffic
The route traffic
Then, the BGP message, the route information, and the route generation source AS change record received between the latest time and a certain time ago are acquired from the BGP
なお、図4ではネットワーク監視装置10がルータ1−1(11)及びルータ1−2(12)とBGPメッセージを交換していたが、図5に示すようにRR(7)とネットワーク監視装置10がBGPメッセージを交換する構成にしてもよい。
以上説明したように、本実施例に係るネットワーク監視装置は、IRR(18)による経路情報を基準にして、受信したBGPメッセージと照合することで経路生成元AS変更を検出するだけでなく、トラフィック情報よりプレフィックス毎のトラフィック変動量が許容範囲を超えたことを検出することで、トラフィックに影響を与える経路生成元AS変更と、IRRデータベース不備のときのように経路生成元ASが異なる経路広告であってもトラフィックに影響を与えないものを判別して検出可能とし、経路変動によりどれだけのトラフィックが影響を受けたかの監視や、トラフィック変動を基にして関係する経路変動を抽出することが可能になる。
In FIG. 4, the
As described above, the network monitoring apparatus according to the present embodiment not only detects the route generation source AS change by comparing with the received BGP message on the basis of the route information by the IRR (18), but also the traffic. By detecting that the amount of traffic fluctuation for each prefix exceeds the allowable range from the information, it is possible to change the route generation source AS that affects traffic and the route advertisement with different route generation source AS, such as when the IRR database is inadequate. Even if there is, it is possible to detect and detect what does not affect traffic, and it is possible to monitor how much traffic is affected by route fluctuations and extract related route fluctuations based on traffic fluctuations Become.
このように、本実施例のネットワーク監視装置は、BGP経路情報以外に経路毎トラフィック変動量を合わせて分析することにより、BGP経路生成元ASの変更を検出した上で、トラフィック変化の有無を認識でき、経路変動によりどれだけのトラフィックが影響を受けたかの監視や、トラフィック変動を基にして関係する経路変動を抽出することが可能になるという効果を有し、ネットワーク監視装置として有用である。
本発明によれば、BGP経路情報及びIRRデータベース以外に、経路情報毎トラフィック変動量、及びプロトコル・ポート番号毎の経路毎トラフィック変動量を観測することにより、IRRデータベース不備の場合でも、BGP経路生成元ASの変更を検出した上で、トラフィック変動量の許容量超過を検出できる。これにより、攻撃目的により経路を乗っ取ってIPパケットを誘導する場合の不正経路広告で現れる送受信トラフィック量変化や、一時的に経路を注入してSPAMメールを送信するときの不正経路広告で現れるトラフィックのプロトコル・ポート番号変化や、設定誤りで他ASが所有する経路を広告することによる送受信トラフィックの減少を検出可能にするとともに、IRRデータベース不備のときのように経路生成元ASが異なる経路広告であってもトラフィックに影響を与えないものを判別して検出可能とし、経路変動によりどれだけのトラフィックが影響を受けたかの監視や、トラフィック変動を基にして関係する経路変動を抽出することが可能になる。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
As described above, the network monitoring apparatus according to the present embodiment recognizes whether there is a traffic change after detecting a change in the BGP path generation source AS by analyzing the traffic fluctuation amount for each path in addition to the BGP path information. It is possible to monitor how much traffic has been affected by the path variation, and to extract a related path variation based on the traffic variation, and is useful as a network monitoring device.
According to the present invention, in addition to the BGP route information and the IRR database, by generating the traffic fluctuation amount for each route information and the traffic fluctuation amount for each route for each protocol / port number, it is possible to generate a BGP route even when the IRR database is insufficient. After detecting the change of the original AS, it is possible to detect that the traffic fluctuation amount exceeds the allowable amount. This makes it possible to change the amount of traffic sent and received that appears in an illegal route advertisement when an IP packet is derived by hijacking the route for the purpose of an attack, or the traffic that appears in an illegal route advertisement when a SPAM mail is sent by temporarily injecting a route. This makes it possible to detect a decrease in transmission / reception traffic due to advertising of routes owned by other ASs due to protocol / port number changes or misconfigurations, as well as route advertisements with different route generation ASs such as when the IRR database is inadequate. Even if it does not affect traffic, it can be detected and detected, and it becomes possible to monitor how much traffic is affected by the route fluctuation and extract the relevant route fluctuation based on the traffic fluctuation. .
As mentioned above, the invention made by the present inventor has been specifically described based on the above embodiments. However, the present invention is not limited to the above embodiments, and various modifications can be made without departing from the scope of the invention. Of course.
10 ネットワーク監視装置
11,12,13,14 ルータ
15 端末
16 Webサーバ
17 RR(Route Reflector)
18 IRR(Internet Routing Registry)データベース
20 BGPメッセージ受信部
21 経路情報管理部
22 経路生成元AS変更記録部
23 トラフィック収集部
24 経路トラフィック算出部
25 経路トラフィック変動算出部
100,110,120 AS
DESCRIPTION OF
18 IRR (Internet Routing Registry)
Claims (11)
BGPルータより出力されるBGPメッセージ、あるいは、BGPルータより出力されるBGPメッセージ及びIRRデータベースに記録している経路情報を受信するステップ1と、
前記ステップ1で抽出された経路情報を管理するステップ2と、
前記ステップ2で管理した経路情報の中で、IPアドレス空間に一部でも重複があり、かつ生成元AS番号が異なる経路を検出した場合に、変更前後の生成元AS番号と、変更時刻とを変更BGP経路生成元AS変更として記記録するステップ3と、
トラフィック情報を収集するステップ4と、
前記ステップ3において前記BGP経路生成元AS変更を記録したときに、前記ステップ2で管理した経路情報と前記ステップ4で収集したトラフィック情報とに基づき、変更前後の経路生成元AS番号を含む経路情報毎のトラフィック量を算出するステップ5と、
前記ステップ3で前記BGP経路生成元AS変更を記録したときに、前記ステップ5で算出された前記トラフィック量に基づき、前記BGP経路生成元AS変更によるトラフィック変動を算出するステップ6とを具備することを特徴とするネットワーク監視方法。 A network monitoring method in a network monitoring device applied to a network composed of a plurality of autonomous systems,
Step 1 for receiving a BGP message output from a BGP router, or a BGP message output from a BGP router and route information recorded in an IRR database;
Step 2 for managing the route information extracted in Step 1;
In the route information managed in the step 2, when a route having a partly overlapping IP address space and a different source AS number is detected, the source AS number before and after the change and the change time are obtained. Step 3 for recording as a changed BGP route generation source AS change;
Step 4 for collecting traffic information;
Route information including the route source AS numbers before and after the change based on the route information managed in Step 2 and the traffic information collected in Step 4 when the BGP route source AS change is recorded in Step 3 Step 5 for calculating the amount of traffic for each,
Step 6 of calculating traffic fluctuation due to the BGP route generation source AS change based on the traffic amount calculated in Step 5 when the BGP route generation source AS change is recorded in Step 3. A network monitoring method characterized by the above.
前記ステップ6において、前記BGP経路生成元AS変更による経路情報・プロトコル毎のトラフィック量変動、あるいは、経路情報・ポート番号毎トラフィック量変動が許容範囲を超えたときに、変更前後の経路生成元AS番号と、変更前後の経路生成元AS番号を含む経路情報・プロトコル毎のトラフィック量変動、あるいは、経路情報・ポート番号毎トラフィック量を管理者に通知することを特徴とすることを特徴とする請求項1に記載のネットワーク監視方法。 In step 5, the traffic volume for each path information including the calculated path generation source AS number before and after the change is totaled into the traffic volume for each path information / protocol or the traffic volume for each path information / port number,
In step 6, when the fluctuation in traffic volume for each route information / protocol due to the BGP route generation source AS change or the change in traffic volume for each route information / port number exceeds an allowable range, the route generation source AS before and after the change is changed. A change in traffic volume for each path information / protocol including the number and the path generation source AS number before and after the change, or a traffic volume for each path information / port number is notified to the administrator. Item 5. The network monitoring method according to Item 1.
BGPルータより出力されるBGPメッセージを受信するBGPメッセージ受信手段と、
経路情報管理手段と、
経路生成元AS変更記録手段と、
トラフィック情報を収集するトラフィック収集手段と、
経路トラフィック算出手段と、
経路トラフィック変動算出手段とを具備し、
前記経路情報管理手段は、前記BGPメッセージ受信手段で抽出された経路情報を管理するとともに、前記経路情報管理手段で管理している経路情報の中で、IPアドレス空間に一部でも重複があり、かつ生成元AS番号が異なる経路を検出した場合に、生成元AS番号変更前後の経路情報を前記経路生成元AS変更記録手段に渡し、
前記経路生成元AS変更記録手段は、前記経路情報管理手段から渡された生成元AS番号変更前後の経路情報に基づき、変更前後の生成元AS番号と、変更時刻とを変更BGP経路生成元AS変更として記録するとともに、前記経路トラフィック算出手段と前記経路トラフィック変動算出手段に通知し、
前記経路トラフィック算出手段は、前記経路生成元AS変更記録手段から前記BGP経路生成元AS変更が通知されたときに、前記経路情報管理手段に管理されている経路情報と前記トラフィック収集手段で収集したトラフィック情報とに基づき、変更前後の経路生成元AS番号を含む経路情報毎のトラフィック量を算出し、
前記経路トラフィック算出手段は、前記経路生成元AS変更記録手段から前記BGP経路生成元AS変更が通知されたときに、前記経路トラフィック算出手段で算出された前記トラフィック量に基づき、前記BGP経路生成元AS変更によるトラフィック変動を算出することを特徴とするネットワーク監視装置。 A network monitoring device applied to a network composed of a plurality of autonomous systems,
A BGP message receiving means for receiving a BGP message output from the BGP router;
Route information management means;
A route generation source AS change recording means;
A traffic collection means for collecting traffic information;
Route traffic calculation means,
Route traffic fluctuation calculation means,
The route information management means manages the route information extracted by the BGP message receiving means, and there is some overlap in the IP address space among the route information managed by the route information management means, And when a route with a different source AS number is detected, route information before and after the change of the source AS number is passed to the route source AS change recording means,
The route generation source AS change recording unit changes the generation source AS number before and after the change and the change time based on the route information before and after the change of the generation source AS number passed from the route information management unit, and changes the BGP route generation source AS. Record the change, notify the route traffic calculation means and the route traffic fluctuation calculation means,
The route traffic calculation unit collects the route information managed by the route information management unit and the traffic collection unit when the BGP route generation source AS change is notified from the route generation source AS change recording unit. Based on the traffic information, calculate the traffic volume for each route information including the route generation source AS number before and after the change,
The route traffic calculation unit is configured to generate the BGP route generation source based on the traffic amount calculated by the route traffic calculation unit when the BGP route generation source AS change is notified from the route generation source AS change recording unit. A network monitoring apparatus for calculating traffic fluctuation due to AS change.
BGPルータより出力されるBGPメッセージ、およびIRRデータベースに記録されている経路情報を受信するBGPメッセージ受信手段と、
経路情報管理手段と、
経路生成元AS変更記録手段と、
トラフィック情報を収集するトラフィック収集手段と、
経路トラフィック算出手段と、
経路トラフィック変動算出手段とを具備し、
前記経路情報管理手段は、前記BGPメッセージ受信手段で抽出された経路情報を管理するとともに、管理している経路情報の中で、IPアドレス空間に一部でも重複があり、かつ生成元AS番号が異なる経路を検出した場合に、生成元AS番号変更前後の経路情報を前記経路生成元AS変更記録手段に渡し、
前記経路生成元AS変更記録手段は、前記経路情報管理手段から渡された生成元AS番号変更前後の経路情報に基づき、変更前後の生成元AS番号と、変更時刻とを変更BGP経路生成元AS変更として記録するとともに、前記経路トラフィック算出手段と前記経路トラフィック変動算出手段に通知し、
前記経路トラフィック算出手段は、前記経路生成元AS変更記録手段から前記BGP経路生成元AS変更が通知されたときに、前記経路情報管理手段に管理されている経路情報と前記トラフィック収集手段で収集したトラフィック情報とに基づき、変更前後の経路生成元AS番号を含む経路情報毎のトラフィック量を算出し、
前記経路トラフィック算出手段は、前記経路生成元AS変更記録手段から前記BGP経路生成元AS変更が通知されたときに、前記経路トラフィック算出手段で算出された前記トラフィック量に基づき、前記BGP経路生成元AS変更によるトラフィック変動を算出することを特徴とするネットワーク監視装置。 A network monitoring device applied to a network composed of a plurality of autonomous systems,
BGP message receiving means for receiving the BGP message output from the BGP router and the route information recorded in the IRR database;
Route information management means;
A route generation source AS change recording means;
A traffic collection means for collecting traffic information;
Route traffic calculation means,
Route traffic fluctuation calculation means,
The route information management means manages the route information extracted by the BGP message receiving means, and there is a part of the IP address space in the managed route information, and the generation AS number is When a different route is detected, the route information before and after the change of the generation source AS number is passed to the route generation source AS change recording means,
The route generation source AS change recording unit changes the generation source AS number before and after the change and the change time based on the route information before and after the change of the generation source AS number passed from the route information management unit, and changes the BGP route generation source AS. Record the change, notify the route traffic calculation means and the route traffic fluctuation calculation means,
The route traffic calculation unit collects the route information managed by the route information management unit and the traffic collection unit when the BGP route generation source AS change is notified from the route generation source AS change recording unit. Based on the traffic information, calculate the traffic volume for each route information including the route generation source AS number before and after the change,
The route traffic calculation unit is configured to generate the BGP route generation source based on the traffic amount calculated by the route traffic calculation unit when the BGP route generation source AS change is notified from the route generation source AS change recording unit. A network monitoring apparatus for calculating traffic fluctuation due to AS change.
前記経路トラフィック変動算出手段は、前記BGP経路生成元AS変更による経路情報・プロトコル毎のトラフィック量変動、あるいは、経路情報・ポート番号毎トラフィック量変動が許容範囲を超えたときに、変更前後の経路生成元AS番号と、変更前後の経路生成元AS番号を含む経路情報・プロトコル毎のトラフィック量変動、あるいは、経路情報・ポート番号毎トラフィック量を管理者に通知することを特徴とする請求項6または請求項7に記載のネットワーク監視装置。 The route traffic calculating means aggregates the traffic amount for each route information including the calculated route generation source AS number before and after the change into the traffic amount for each route information / protocol or the traffic amount for each route information / port number. ,
The route traffic fluctuation calculating means is configured to change the route before and after the change when the traffic amount fluctuation for each route information / protocol due to the BGP route generation source AS change or the traffic amount fluctuation for each route information / port number exceeds an allowable range. The traffic information for each path information / protocol including the generation source AS number and the path generation source AS number before and after the change, or the traffic volume for each path information / port number is notified to the administrator. Or the network monitoring apparatus of Claim 7.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009271027A JP5080549B2 (en) | 2009-11-30 | 2009-11-30 | Network monitoring method and network monitoring apparatus |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009271027A JP5080549B2 (en) | 2009-11-30 | 2009-11-30 | Network monitoring method and network monitoring apparatus |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2011114743A true JP2011114743A (en) | 2011-06-09 |
| JP5080549B2 JP5080549B2 (en) | 2012-11-21 |
Family
ID=44236731
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009271027A Active JP5080549B2 (en) | 2009-11-30 | 2009-11-30 | Network monitoring method and network monitoring apparatus |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5080549B2 (en) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011172105A (en) * | 2010-02-19 | 2011-09-01 | Nippon Telegr & Teleph Corp <Ntt> | Apparatus, method and system for monitoring traffic fluctuation |
| JP2011249911A (en) * | 2010-05-24 | 2011-12-08 | Nippon Telegr & Teleph Corp <Ntt> | Network monitoring apparatus, network monitoring method, and network monitoring program |
| JP2012244302A (en) * | 2011-05-17 | 2012-12-10 | Nippon Telegr & Teleph Corp <Ntt> | Network monitoring apparatus and network monitoring method |
| JP2013012881A (en) * | 2011-06-29 | 2013-01-17 | Nippon Telegr & Teleph Corp <Ntt> | Device, method and program for route monitoring |
| CN114124811A (en) * | 2021-10-21 | 2022-03-01 | 中盈优创资讯科技有限公司 | Real-time monitoring method for route leakage |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008085812A (en) * | 2006-09-28 | 2008-04-10 | Oki Electric Ind Co Ltd | Network monitoring system, network monitoring method, and network monitoring program |
| JP2009044501A (en) * | 2007-08-09 | 2009-02-26 | Nippon Telegr & Teleph Corp <Ntt> | Traffic amount change cause identification method, system, program, and recording medium |
-
2009
- 2009-11-30 JP JP2009271027A patent/JP5080549B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008085812A (en) * | 2006-09-28 | 2008-04-10 | Oki Electric Ind Co Ltd | Network monitoring system, network monitoring method, and network monitoring program |
| JP2009044501A (en) * | 2007-08-09 | 2009-02-26 | Nippon Telegr & Teleph Corp <Ntt> | Traffic amount change cause identification method, system, program, and recording medium |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011172105A (en) * | 2010-02-19 | 2011-09-01 | Nippon Telegr & Teleph Corp <Ntt> | Apparatus, method and system for monitoring traffic fluctuation |
| JP2011249911A (en) * | 2010-05-24 | 2011-12-08 | Nippon Telegr & Teleph Corp <Ntt> | Network monitoring apparatus, network monitoring method, and network monitoring program |
| JP2012244302A (en) * | 2011-05-17 | 2012-12-10 | Nippon Telegr & Teleph Corp <Ntt> | Network monitoring apparatus and network monitoring method |
| JP2013012881A (en) * | 2011-06-29 | 2013-01-17 | Nippon Telegr & Teleph Corp <Ntt> | Device, method and program for route monitoring |
| CN114124811A (en) * | 2021-10-21 | 2022-03-01 | 中盈优创资讯科技有限公司 | Real-time monitoring method for route leakage |
| CN114124811B (en) * | 2021-10-21 | 2023-08-01 | 中盈优创资讯科技有限公司 | Route leakage real-time monitoring method |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5080549B2 (en) | 2012-11-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Zhang et al. | Planetseer: Internet path failure monitoring and characterization in wide-area services. | |
| EP1861963B1 (en) | System and methods for identifying network path performance | |
| Ballani et al. | A study of prefix hijacking and interception in the Internet | |
| Feldmann et al. | Deriving traffic demands for operational IP networks: Methodology and experience | |
| Lad et al. | PHAS: A Prefix Hijack Alert System. | |
| Kruegel et al. | Topology-based detection of anomalous BGP messages | |
| CN103442008A (en) | System and method for detecting routing security | |
| US8165019B2 (en) | Indirect measurement methodology to infer routing changes using statistics of flow arrival processes | |
| US20100153537A1 (en) | Method and apparatus for providing detection of internet protocol address hijacking | |
| CN116055120B (en) | Inter-domain source address anomaly detection method, device, storage medium and network equipment | |
| JP5080549B2 (en) | Network monitoring method and network monitoring apparatus | |
| WO2008062787A1 (en) | Flow information restricting apparatus and method | |
| CN118803759A (en) | Source address verification method, device and network equipment | |
| US20110141899A1 (en) | Network access apparatus and method for monitoring and controlling traffic using operation, administration, and maintenance (oam) packet in internet protocol (ip) network | |
| CN102316004B (en) | Method and device for determining routing information between nodes in communication network | |
| US7898955B1 (en) | System and method for real-time diagnosis of routing problems | |
| CN103414729B (en) | The detecting system of a kind of routing attack and method | |
| Teixeira et al. | BGP route propagation between neighboring domains | |
| JP4955083B2 (en) | Traffic fluctuation monitoring device, traffic fluctuation monitoring method, and traffic fluctuation monitoring system | |
| JP7302740B2 (en) | Measuring device, measuring system, measuring method, and measuring program | |
| JP5829183B2 (en) | Method, node device, and program for detecting faulty node device or faulted link in real time based on routing protocol | |
| JP5274494B2 (en) | Method, node device, and program for detecting faulty link based on routing protocol | |
| Cao et al. | A Packet-Based Anomaly Detection Model for Inter-domain Routing | |
| Kastelein | Inferring relationship types and simulating BGP traffic between Autonomous Systems using the valley-free constraint | |
| Tachibana et al. | IP performance management infrastructure for ISP |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110831 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120731 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120828 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120830 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150907 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5080549 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |