[go: up one dir, main page]

JP2017050832A - Network system and dos (denial of service) attack defense method - Google Patents

Network system and dos (denial of service) attack defense method Download PDF

Info

Publication number
JP2017050832A
JP2017050832A JP2015175080A JP2015175080A JP2017050832A JP 2017050832 A JP2017050832 A JP 2017050832A JP 2015175080 A JP2015175080 A JP 2015175080A JP 2015175080 A JP2015175080 A JP 2015175080A JP 2017050832 A JP2017050832 A JP 2017050832A
Authority
JP
Japan
Prior art keywords
server
communication
terminal
request
connection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2015175080A
Other languages
Japanese (ja)
Inventor
宏幸 浦西
Hiroyuki Uranishi
宏幸 浦西
高橋 毅
Takeshi Takahashi
高橋  毅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2015175080A priority Critical patent/JP2017050832A/en
Publication of JP2017050832A publication Critical patent/JP2017050832A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】 正常な通信に影響せずにDoS攻撃を防御するネットワークシステム及びDoS攻撃の防御方法を提供する。【解決手段】 ネットワークシステムは、端末の通信先である第1サーバと、第1サーバと同じネットワークに接続された第2サーバと、端末からの第1サーバ宛ての通信が第2サーバで受信されるようにネットワーク内の通信経路を制御する経路制御サーバとを有し、第2サーバは、第1サーバに代わり、端末からコネクションの確立の要求を受け、応答することによりDoS攻撃を判定し、DoS攻撃ではない場合、コネクションを確立して端末と通信し、経路制御サーバに、端末からの第1サーバ宛ての通信が第1サーバで受信されるように経路変更を依頼し、コネクションに関する情報を第1サーバに送信し、経路制御サーバは、依頼に応じ経路変更し、第1サーバは、コネクションに関する情報に基づき、第2サーバから通信を引き継ぐ。【選択図】図1PROBLEM TO BE SOLVED: To provide a network system for preventing a DoS attack without affecting normal communication and a method for preventing a DoS attack. In a network system, a first server to which a terminal communicates, a second server connected to the same network as the first server, and communication from the terminal to the first server are received by the second server. The second server has a route control server that controls the communication path in the network so as to receive a request for establishing a connection from the terminal on behalf of the first server, and determines a DoS attack by responding to the request. If it is not a DoS attack, a connection is established to communicate with the terminal, the route control server is requested to change the route so that the communication from the terminal to the first server is received by the first server, and information about the connection is sent. It sends to the first server, the route control server changes the route in response to the request, and the first server takes over the communication from the second server based on the information about the connection. [Selection diagram] Fig. 1

Description

本件は、ネットワークシステム及びDoS攻撃の防御方法に関する。   The present case relates to a network system and a DoS attack protection method.

ネットワークの普及に伴い、悪意のあるユーザからサーバに対するDoS攻撃の増加が懸念されている。DoS攻撃の1つとして、例えばSYN flood攻撃が挙げられる。   With the spread of the network, there is a concern that malicious users will increase the DoS attack on the server. One example of a DoS attack is a SYN flood attack.

SYN flood攻撃は、TCP(Transfer Control Protocol)のコネクションを確立するスリーウェイハンドシェイクにおいて、端末からサーバに多数のSYNを送信し、サーバからSYN/ACKが応答されても、故意にACKを返さないものである。これにより、サーバは、待機処理の負荷が増加して、その処理能力を奪われるため、善意のユーザに対する正常なサービスの提供が不可能となる。   The SYN flood attack is a three-way handshake that establishes a TCP (Transfer Control Protocol) connection, sends a large number of SYNs from the terminal to the server, and does not intentionally return an ACK even if a SYN / ACK is responded from the server. Is. As a result, the load on standby processing increases and the processing capacity is deprived of the server, so that it is impossible to provide a normal service to a bona fide user.

これに対し、DoS攻撃に対する各種の防御方法が提案されている(例えば特許文献1〜3参照)。   On the other hand, various defense methods against DoS attacks have been proposed (see, for example, Patent Documents 1 to 3).

特開2006−345268号公報JP 2006-345268 A 特開2003−289338号公報JP 2003-289338 A 特開2013−201478号公報JP 2013-2014478 A

しかし、特許文献1及び2の防御方法によると、DoS攻撃対象の装置が、正常な通信だけでなく、DoS攻撃の通信も受信するため、DoS攻撃対象の装置の処理負荷が大きい。また、特許文献3の防御方法によると、送信元ホストと送信先ホストの間の通信経路上の先頭スイッチが、送信先ホスト宛ての正常な通信の転送だけでなく、送信元ホストとの代理TCP接続も行うため、先頭スイッチの処理負荷が大きい。   However, according to the defense methods of Patent Documents 1 and 2, the DoS attack target device receives not only normal communication but also the DoS attack communication, so the processing load on the DoS attack target device is heavy. In addition, according to the defense method of Patent Document 3, the top switch on the communication path between the transmission source host and the transmission destination host not only transfers normal communication addressed to the transmission destination host but also acts as a proxy TCP with the transmission source host. Since the connection is also performed, the processing load of the head switch is large.

したがって、特許文献1〜3の防御方法によると、正常な通信に悪影響を与えるおそれがある。   Therefore, according to the defense methods of Patent Documents 1 to 3, there is a possibility of adversely affecting normal communication.

そこで本件は上記の課題に鑑みてなされたものであり、正常な通信に影響せずにDoS攻撃を防御するネットワークシステム及びDoS攻撃の防御方法を提供することを目的とする。   Accordingly, the present invention has been made in view of the above problems, and an object thereof is to provide a network system and a DoS attack protection method that prevent a DoS attack without affecting normal communication.

本明細書に記載のネットワークシステムは、端末の通信先である第1サーバと、前記第1サーバと同じネットワークに接続された第2サーバと、前記端末からの前記第1サーバ宛ての通信が前記第2サーバで受信されるように前記ネットワーク内の通信経路を制御する経路制御サーバとを有し、前記第2サーバは、前記第1サーバに代わり、前記端末からコネクションの確立の要求を受け、前記要求に応答することにより前記要求がDoS攻撃であるか否かを判定し、前記要求がDoS攻撃ではないと判定した場合、前記コネクションを確立して前記端末と通信し、前記経路制御サーバに、前記端末からの前記第1サーバ宛ての通信が前記第1サーバで受信されるように前記通信経路の変更を依頼し、前記コネクションに関する情報を前記第1サーバに送信し、前記経路制御サーバは、前記第2サーバからの依頼に応じ前記通信経路を変更し、前記第1サーバは、前記第2サーバから受信した前記コネクションに関する情報に基づき、前記第2サーバから前記端末との通信を引き継ぐ。   The network system described in this specification includes a first server as a communication destination of a terminal, a second server connected to the same network as the first server, and communication addressed to the first server from the terminal. A path control server for controlling a communication path in the network so as to be received by the second server, and the second server receives a request for establishing a connection from the terminal instead of the first server, It is determined whether or not the request is a DoS attack by responding to the request, and when it is determined that the request is not a DoS attack, the connection is established and communicated with the terminal. Requesting the change of the communication path so that the communication addressed to the first server from the terminal is received by the first server, and sending the information on the connection to the first server The path control server changes the communication path in response to a request from the second server, and the first server receives the second information based on the information about the connection received from the second server. Take over communication with the terminal from the server.

本明細書に記載のDoS攻撃の防御方法は、経路制御サーバが、端末の通信先の第1サーバと同じネットワークに接続された第2サーバで、前記端末からの前記第1サーバ宛ての通信が受信されるように前記ネットワーク内の通信経路を制御し、前記第2サーバは、前記第1サーバに代わり、前記端末からコネクションの確立の要求を受け、前記要求に応答することにより前記要求がDoS攻撃であるか否かを判定し、前記要求がDoS攻撃ではないと判定した場合、前記コネクションを確立して前記端末との通信し、前記経路制御サーバに、前記端末からの前記第1サーバ宛ての通信が前記第1サーバで受信されるように前記通信経路の変更を依頼し、前記コネクションに関する情報を前記第1サーバに送信し、前記経路制御サーバは、前記第2サーバからの依頼に応じ前記通信経路を変更し、前記第1サーバは、前記第2サーバから受信した前記コネクションに関する情報に基づき、前記第2サーバから前記端末との通信を引き継ぐ方法である。   In the DoS attack prevention method described in this specification, the route control server is a second server connected to the same network as the first server with which the terminal communicates, and communication from the terminal to the first server is performed. The second server controls a communication path in the network so that the request is received, and the second server receives a request for establishing a connection from the terminal instead of the first server, and responds to the request, whereby the request is changed to DoS. If it is determined whether the request is a DoS attack, the connection is established and communication with the terminal is performed, and the routing server is addressed to the first server from the terminal. Requesting the change of the communication path so that the communication of the first server is received by the first server, and transmitting information related to the connection to the first server. The communication path is changed in response to a request from a second server, and the first server takes over communication with the terminal from the second server based on information on the connection received from the second server. .

正常な通信に影響せずにDoS攻撃を防御できる。   A DoS attack can be protected without affecting normal communication.

ネットワークシステムの一例を示す構成図である。It is a block diagram which shows an example of a network system. スイッチ装置の一例を示す構成図である。It is a block diagram which shows an example of a switch apparatus. 初期状態のフローテーブルの一例を示す図である。It is a figure which shows an example of the flow table of an initial state. 経路変更時のフローテーブルの一例を示す図である。It is a figure which shows an example of the flow table at the time of a route change. 経路制御サーバの一例を示す構成図である。It is a block diagram which shows an example of a route control server. 代理サーバの一例を示す構成図である。It is a block diagram which shows an example of a proxy server. コネクションデータベースの一例を示す図である。It is a figure which shows an example of a connection database. 管理サーバの一例を示す構成図である。It is a block diagram which shows an example of a management server. 宛先サーバの一例を示す構成図である。It is a block diagram which shows an example of a destination server. 初期設定処理の一例を示すシーケンス図である。It is a sequence diagram which shows an example of an initial setting process. DoS攻撃を受けた場合の処理の一例を示すシーケンス図である。It is a sequence diagram which shows an example of the process at the time of receiving a DoS attack. 正常な通信を受けた場合の処理の一例を示すシーケンス図(その1)である。It is the sequence diagram (the 1) which shows an example of the process at the time of receiving normal communication. 正常な通信を受けた場合の処理の一例を示すシーケンス図(その2)である。It is a sequence diagram (the 2) which shows an example of a process at the time of receiving normal communication. 代理サーバのパケット受信時の動作の一例を示すフローチャートである。It is a flowchart which shows an example of the operation | movement at the time of the packet reception of a proxy server. DoS攻撃の判定処理の一例を示すフローチャートである。It is a flowchart which shows an example of the determination process of DoS attack. 通信異常が検出された場合の処理の一例を示すシーケンス図である。It is a sequence diagram which shows an example of a process when a communication abnormality is detected. 宛先サーバの動作の一例を示すフローチャートである。It is a flowchart which shows an example of operation | movement of a destination server.

図1は、ネットワークシステムの一例を示す構成図である。ネットワークシステムには、複数のスイッチ(SW)装置6,6a,6bを含むネットワークA、ネットワークAに接続された宛先サーバ1及び代理サーバ2と、ネットワークA内の通信経路を制御する経路制御サーバ3と、ネットワークAを管理する管理サーバ4とが含まれる。   FIG. 1 is a configuration diagram illustrating an example of a network system. The network system includes a network A including a plurality of switch (SW) devices 6, 6 a, 6 b, a destination server 1 and a proxy server 2 connected to the network A, and a path control server 3 that controls a communication path in the network A. And a management server 4 that manages the network A.

管理サーバ4は、パーソナルコンピュータなどの操作端末5から操作され、操作に応じて宛先サーバ1、代理サーバ2、及び経路制御サーバ3の監視制御を行う。経路制御サーバ3は、管理サーバ4からの設定に従い、スイッチ装置6,6a,6bに対して通信経路を設定する。スイッチ装置6,6a,6bは、例えばレイヤ2スイッチであり、パケットごとの転送先が登録されたフローテーブルを備える。   The management server 4 is operated from an operation terminal 5 such as a personal computer, and performs monitoring control of the destination server 1, the proxy server 2, and the route control server 3 according to the operation. The path control server 3 sets a communication path for the switch devices 6, 6 a, 6 b in accordance with the setting from the management server 4. The switch devices 6, 6a, and 6b are, for example, layer 2 switches, and include a flow table in which transfer destinations for each packet are registered.

ネットワークAは、例えばSDN(Software Defined Network)であり、経路制御サーバ3からスイッチ装置6,6a,6bのフローテーブルを設定することにより、柔軟に通信経路が設定される。ネットワークAは、外部ネットワークBと接続されており、外部ネットワークBには、パーソナルコンピュータなどの端末7が接続されている。なお、端末7は、1台のみが図示されているが、複数台であってもよい。   The network A is an SDN (Software Defined Network), for example, and the communication path is flexibly set by setting the flow tables of the switch devices 6, 6 a, 6 b from the path control server 3. The network A is connected to an external network B, and a terminal 7 such as a personal computer is connected to the external network B. In addition, although only one terminal 7 is illustrated, a plurality of terminals 7 may be provided.

端末7は、宛先サーバ1を宛先とするパケットをネットワークAに送信する。つまり、宛先サーバ1は、第1サーバの一例であり、端末7の通信先である。宛先サーバ1は、端末7の(善意の)ユーザに対してサービスを提供する。なお、本実施例において、端末7のIP(Internet Protocol)アドレスを「192.168.1.6」とし、宛先サーバ1のIPアドレスを「10.1.2.3」とする。   The terminal 7 transmits a packet destined for the destination server 1 to the network A. That is, the destination server 1 is an example of a first server and is a communication destination of the terminal 7. The destination server 1 provides a service to the (bona fide) user of the terminal 7. In this embodiment, the IP (Internet Protocol) address of the terminal 7 is “192.168.1.6”, and the IP address of the destination server 1 is “10.1.2.3”.

例えば、端末7が悪意のあるユーザにより操作された場合、端末7から宛先サーバ1にDoS攻撃が行われることが懸念される。宛先サーバ1は、DoS攻撃を受けた場合、処理能力を奪われるため、サービスの提供が不可能となる。なお、本実施例では、DoS攻撃として、Syn flood攻撃を挙げるが、これに限定されない。   For example, when the terminal 7 is operated by a malicious user, there is a concern that a DoS attack is performed from the terminal 7 to the destination server 1. When the destination server 1 is subjected to a DoS attack, the processing capability is deprived and the service cannot be provided. In the present embodiment, the Syn flood attack is exemplified as the DoS attack, but the DoS attack is not limited to this.

そこで、ネットワークAは、端末7からのTCPコネクションの確立の要求を、宛先サーバ1ではなく、宛先サーバ1と同一のネットワークAに接続された代理サーバ2に送信する。このため、経路制御サーバ3は、端末7からの宛先サーバ1宛ての通信が代理サーバ2で受信されるようにネットワークA内の通信経路を制御する。このときの通信経路は、符号R1により示されている。なお、本実施例では、端末7とのコネクションとして、TCPコネクションを挙げるが、これに限定されない。   Therefore, the network A transmits a request for establishing a TCP connection from the terminal 7 to the proxy server 2 connected to the same network A as the destination server 1 instead of the destination server 1. For this reason, the route control server 3 controls the communication route in the network A so that the communication addressed to the destination server 1 from the terminal 7 is received by the proxy server 2. The communication path at this time is indicated by reference numeral R1. In the present embodiment, the TCP connection is exemplified as the connection with the terminal 7, but the present invention is not limited to this.

代理サーバ2は、第2サーバの一例であり、宛先サーバ1に代わり、端末7からTCPコネクションの確立の要求を受ける。代理サーバ2は、端末7からの要求に応答することにより、その要求がDoS攻撃であるか否かを判定する。なお、本実施例において、代理サーバ2のIPアドレスを「10.1.2.8」とする。   The proxy server 2 is an example of a second server, and receives a request for establishing a TCP connection from the terminal 7 instead of the destination server 1. The proxy server 2 determines whether or not the request is a DoS attack by responding to the request from the terminal 7. In this embodiment, the IP address of the proxy server 2 is “10.1.2.8”.

代理サーバ2は、端末7からの要求に応答することにより、その要求がDoS攻撃であるか否かを判定する。より具体的には、代理サーバ2は、TCPのスリーウェイハンドシェイクに基づき、端末7から受信したSYNに対してSYN+ACKを応答する。代理サーバ2は、応答後、所定時間内に端末からACK(応答信号)を受信しない場合、端末7の要求がDoS攻撃であると判定する。このため、代理サーバ2は、簡単にDoS攻撃を判別できる。   The proxy server 2 determines whether or not the request is a DoS attack by responding to the request from the terminal 7. More specifically, the proxy server 2 returns a SYN + ACK response to the SYN received from the terminal 7 based on the TCP three-way handshake. If the proxy server 2 does not receive an ACK (response signal) from the terminal within a predetermined time after the response, the proxy server 2 determines that the request of the terminal 7 is a DoS attack. For this reason, the proxy server 2 can easily determine the DoS attack.

代理サーバ2は、端末7の要求がDoS攻撃ではないと判定した場合、TCPコネクションを確立して端末7と通信する。この場合、代理サーバ2は、符号REQで示されるように、管理サーバ4を介し、経路制御サーバ3に、端末7からの宛先サーバ1宛ての通信が宛先サーバ1で受信されるように通信経路の変更を依頼する。   If the proxy server 2 determines that the request from the terminal 7 is not a DoS attack, the proxy server 2 establishes a TCP connection and communicates with the terminal 7. In this case, the proxy server 2 communicates with the path control server 3 via the management server 4 so that the communication addressed to the destination server 1 from the terminal 7 is received by the destination server 1 via the management server 4 as indicated by the symbol REQ. Request a change.

経路制御サーバ3は、宛先サーバ1からの依頼に応じ通信経路を変更する。このときの通信経路は、符号R2により示されている。つまり、経路制御サーバ3は、端末7の要求がDoS攻撃ではない場合、端末7からの通信の経路を、代理サーバ2に至る通信経路R1から、宛先サーバ1に至る通信経路R2に変更する。このため、端末7からの通信は、TCPコネクションの確立前、代理サーバ2で受信され、TCPコネクションの確立後、宛先サーバ1で受信される。   The route control server 3 changes the communication route in response to a request from the destination server 1. The communication path at this time is indicated by the symbol R2. That is, when the request of the terminal 7 is not a DoS attack, the path control server 3 changes the communication path from the terminal 7 from the communication path R1 reaching the proxy server 2 to the communication path R2 reaching the destination server 1. For this reason, communication from the terminal 7 is received by the proxy server 2 before the TCP connection is established, and is received by the destination server 1 after the TCP connection is established.

また、代理サーバ2は、端末7の要求がDoS攻撃ではない場合、符号CNで示されるように、管理サーバ4を介し、コネクションに関する情報を宛先サーバ1に送信する。宛先サーバ1は、代理サーバ2から受信したコネクションに関する情報に基づき、代理サーバ2から端末7との通信を引き継ぐ。このため、宛先サーバ1は、代理サーバ2により確立されたコネクションを用いて端末7と通信することができる。   In addition, when the request of the terminal 7 is not a DoS attack, the proxy server 2 transmits information related to the connection to the destination server 1 via the management server 4 as indicated by reference numeral CN. The destination server 1 takes over communication with the terminal 7 from the proxy server 2 based on the information regarding the connection received from the proxy server 2. For this reason, the destination server 1 can communicate with the terminal 7 using the connection established by the proxy server 2.

このように、代理サーバ2は、端末7からの通信を受信し、DoS攻撃ではない正常な通信だけを宛先サーバ1に引き継ぐため、宛先サーバ1は、端末7からDoS攻撃の通信を受信することなく、正常な通信だけを受信することができる。よって、本実施例のネットワークシステムによると、正常な通信に影響せずにDoS攻撃を防御できる。   Thus, since the proxy server 2 receives the communication from the terminal 7 and takes over only normal communication that is not a DoS attack to the destination server 1, the destination server 1 receives the communication of the DoS attack from the terminal 7. Only normal communication can be received. Therefore, according to the network system of the present embodiment, it is possible to prevent a DoS attack without affecting normal communication.

また、代理サーバ2は、外部ネットワークBに対するネットワークAの入口に相当するスイッチ装置6aと接続されている。つまり、代理サーバ2は、外部ネットワークBとネットワークAの境界に接続されている。このため、端末7からの通信は、ネットワークA内を最短経路で代理サーバ2に転送される。これにより、端末7からの通信がネットワークA内の他の正常な通信に与える影響が、低減される。なお、代理サーバ2は、これに限定されず、例えば、点線で示されるように、宛先サーバ1対するネットワークAの入口に相当するスイッチ装置6bと接続されてもよい。   The proxy server 2 is connected to a switch device 6a corresponding to the entrance of the network A to the external network B. That is, the proxy server 2 is connected to the boundary between the external network B and the network A. For this reason, communication from the terminal 7 is transferred to the proxy server 2 through the shortest path in the network A. Thereby, the influence which the communication from the terminal 7 has on other normal communication in the network A is reduced. In addition, the proxy server 2 is not limited to this, For example, as shown with a dotted line, you may connect with the switch apparatus 6b equivalent to the entrance of the network A with respect to the destination server 1. FIG.

また、宛先サーバ1は、代理サーバ2から端末7との通信を引き継いた後、端末7からの通信が一定時間受信されない場合、符号REQ’で示されるように、経路制御サーバ3に、端末7からの宛先サーバ1宛ての通信が代理サーバ2で受信されるように通信経路の変更を依頼する。経路制御サーバ3は、代理サーバ2からの依頼に応じ通信経路を変更する。   In addition, when the destination server 1 takes over communication with the terminal 7 from the proxy server 2 and the communication from the terminal 7 is not received for a certain period of time, the destination server 1 sends the terminal 7 to the route control server 3 as indicated by reference numeral REQ ′. The proxy server 2 is requested to change the communication path so that the communication addressed to the destination server 1 is received by the proxy server 2. The path control server 3 changes the communication path in response to a request from the proxy server 2.

このため、宛先サーバ1は、端末7との通信に異常が生じた場合、その通信を代理サーバ2で受信させることにより、他の正常な通信への影響を防止することができる。   For this reason, when an abnormality occurs in communication with the terminal 7, the destination server 1 can prevent the influence on other normal communication by causing the proxy server 2 to receive the communication.

次に、宛先サーバ1、代理サーバ2、経路制御サーバ3、管理サーバ4、及びスイッチ装置6,6a,6bの構成を説明する。   Next, the configuration of the destination server 1, the proxy server 2, the path control server 3, the management server 4, and the switch devices 6, 6a, 6b will be described.

図2は、スイッチ装置6,6a,6bの一例を示す構成図である。スイッチ装置6,6a,6bは、CPU(Central Processing Unit)60、ROM(Read Only Memory)61、RAM(Random Access Memory)62、不揮発性メモリ63、及び複数の通信ポート64を有する。CPU60は、互いに信号の入出力ができるように、ROM61、RAM62、不揮発性メモリ63、複数の通信ポート64と、データバス65を介して接続されている。   FIG. 2 is a configuration diagram illustrating an example of the switch devices 6, 6a, and 6b. The switch devices 6, 6 a, and 6 b include a CPU (Central Processing Unit) 60, a ROM (Read Only Memory) 61, a RAM (Random Access Memory) 62, a nonvolatile memory 63, and a plurality of communication ports 64. The CPU 60 is connected to the ROM 61, the RAM 62, the nonvolatile memory 63, and the plurality of communication ports 64 via the data bus 65 so that signals can be input and output with each other.

ROM61は、CPU60を駆動するプログラムが格納されている。RAM62は、CPU60のワーキングメモリとして機能する。通信ポート64は、例えばPHY(Physical Layer)/MAC(Media Access Control)デバイスであり、端末7、宛先サーバ1、代理サーバ2、他のスイッチ装置6,6a,6b、及び経路制御サーバ3との間でそれぞれパケットを送受信する。なお、本実施例において、パケットとしてIPパケットを挙げるが、これに限定されない。   The ROM 61 stores a program that drives the CPU 60. The RAM 62 functions as a working memory for the CPU 60. The communication port 64 is, for example, a PHY (Physical Layer) / MAC (Media Access Control) device, and is connected to the terminal 7, the destination server 1, the proxy server 2, the other switch devices 6, 6 a and 6 b, and the path control server 3. Send and receive packets between them. In this embodiment, an IP packet is exemplified as a packet, but the present invention is not limited to this.

CPU60は、ROM61からプログラムを読み込むと、機能として、経路設定部601及び転送処理部602が形成される。また、不揮発性メモリ63は、例えばフラッシュメモリであり、フローテーブル630が記憶されている。   When the CPU 60 reads a program from the ROM 61, a path setting unit 601 and a transfer processing unit 602 are formed as functions. The non-volatile memory 63 is a flash memory, for example, and stores a flow table 630.

経路設定部601は、経路制御サーバ3から通信ポート64を介して通信経路の制御を受けると、その制御に従いフローテーブル630を設定する。経路設定部601は、フローテーブル630の設定完了を転送処理部602に通知する。転送処理部602は、経路設定部601から設定完了通知を受けると、端末7、宛先サーバ1、代理サーバ2、または他のスイッチ装置6,6a,6bから通信ポート64を介してパケットを受信すると、フローテーブル630から、そのパケットの転送先を検索する。転送処理部602は、その転送先に応じた通信ポート64からパケットを転送する。   When receiving the control of the communication path from the path control server 3 via the communication port 64, the path setting unit 601 sets the flow table 630 according to the control. The route setting unit 601 notifies the transfer processing unit 602 that the setting of the flow table 630 has been completed. Upon receiving the setting completion notification from the path setting unit 601, the transfer processing unit 602 receives a packet from the terminal 7, the destination server 1, the proxy server 2, or the other switch devices 6, 6a, 6b via the communication port 64. The transfer destination of the packet is searched from the flow table 630. The transfer processing unit 602 transfers the packet from the communication port 64 corresponding to the transfer destination.

図3(a)には初期状態のフローテーブル630の一例が示されている。フローテーブル630は、送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号、及び転送先を含む。なお、送信元IPアドレスの「X.X.X.X」(X:16進数の0-F)が、全てのIPアドレスを示す。   FIG. 3A shows an example of the flow table 630 in the initial state. The flow table 630 includes a source IP address, a source port number, a destination IP address, a destination port number, and a transfer destination. The source IP address “X.X.X.X” (X: hexadecimal 0-F) indicates all IP addresses.

転送処理部602は、フローテーブル630から、パケット内の送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号に対応する転送先を検索する。初期状態において、転送処理部602は、宛先IPアドレスが「10.1.2.3」である全てのパケットを、IPアドレス「10.1.2.8」の転送先へ転送する。このため、宛先サーバ1宛ての全てのパケットが、代理サーバ2へ転送される。したがって、端末7からの通信がDoS攻撃ではないと確認されるまで、端末7は代理サーバ2と通信する。   The transfer processing unit 602 searches the flow table 630 for a transfer destination corresponding to the source IP address, source port number, destination IP address, and destination port number in the packet. In the initial state, the transfer processing unit 602 transfers all packets having the destination IP address “10.1.2.3” to the transfer destination having the IP address “10.1.2.8”. For this reason, all packets addressed to the destination server 1 are transferred to the proxy server 2. Therefore, the terminal 7 communicates with the proxy server 2 until it is confirmed that the communication from the terminal 7 is not a DoS attack.

また、図3(b)には、経路変更時のフローテーブル630の一例が示されている。より具体的には、図3(b)は、端末7からの通信の経路を通信経路R1から通信経路R2に変更した場合のフローテーブル630を示す。   FIG. 3B shows an example of the flow table 630 at the time of route change. More specifically, FIG. 3B shows a flow table 630 when the communication path from the terminal 7 is changed from the communication path R1 to the communication path R2.

転送処理部602は、符号Pで示されるように、送信元IPアドレスが「192.168.10.6」であり、宛先IPアドレスが「10.1.2.3」である全てのパケットを、IPアドレス「10.1.2.3」の転送先へ転送する。このため、端末7から宛先サーバ1宛てに送信された全てのパケットが、宛先サーバ1へ転送される。したがって、端末7からの通信がDoS攻撃ではなく、正常な通信であると確認された場合、端末7は宛先サーバ1と通信できる。   As indicated by the symbol P, the transfer processing unit 602 sends all packets having a source IP address “192.168.10.6” and a destination IP address “10.1.2.3” to an IP address “10.1.2.3”. Transfer to the destination. For this reason, all packets transmitted from the terminal 7 to the destination server 1 are transferred to the destination server 1. Therefore, when it is confirmed that the communication from the terminal 7 is not a DoS attack but a normal communication, the terminal 7 can communicate with the destination server 1.

図4は、経路制御サーバ3の一例を示す構成図である。経路制御サーバ3は、CPU30、ROM31、RAM32、不揮発性メモリ33、及び複数の通信ポート34を有する。CPU30は、互いに信号の入出力ができるように、ROM31、RAM32、不揮発性メモリ33、複数の通信ポート34と、データバス35を介して接続されている。   FIG. 4 is a configuration diagram illustrating an example of the route control server 3. The path control server 3 includes a CPU 30, a ROM 31, a RAM 32, a nonvolatile memory 33, and a plurality of communication ports 34. The CPU 30 is connected to a ROM 31, a RAM 32, a nonvolatile memory 33, a plurality of communication ports 34, and a data bus 35 so that signals can be input and output with each other.

ROM31は、CPU30を駆動するプログラムが格納されている。RAM32は、CPU30のワーキングメモリとして機能する。通信ポート34は、例えばネットワークインターフェースカードであり、スイッチ装置6,6a,6b及び管理サーバ4との間でそれぞれパケットを送受信する。   The ROM 31 stores a program that drives the CPU 30. The RAM 32 functions as a working memory for the CPU 30. The communication port 34 is, for example, a network interface card, and transmits / receives packets to / from the switch devices 6, 6 a, 6 b and the management server 4.

CPU30は、ROM31からプログラムを読み込むと、機能として、経路制御部301が形成される。また、不揮発性メモリ33は、例えばフラッシュメモリであり、経路情報データベース(DB)331が記憶されている。   When the CPU 30 reads a program from the ROM 31, a path control unit 301 is formed as a function. The nonvolatile memory 33 is a flash memory, for example, and stores a path information database (DB) 331.

経路制御部301は、通信ポート34を介して管理サーバ4からの通信経路の変更依頼を受信し、その依頼に応じてスイッチ装置6,6a,6bのフローテーブル630を設定することにより、ネットワークA内の通信経路を制御する。経路情報データベース331には、各スイッチ装置6,6a,6bのフローテーブル630の内容が登録されており、経路変更が行われるたびに経路制御部301により更新される。   The path control unit 301 receives a communication path change request from the management server 4 via the communication port 34, and sets the flow table 630 of the switch devices 6, 6a, 6b in response to the request, so that the network A Control the communication path inside. The contents of the flow table 630 of each switch device 6, 6a, 6b are registered in the route information database 331 and updated by the route control unit 301 every time a route change is performed.

図5は、代理サーバ2の一例を示す構成図である。代理サーバ2は、CPU20、ROM21、RAM22、不揮発性メモリ23、及び複数の通信ポート24を有する。CPU20は、互いに信号の入出力ができるように、ROM21、RAM22、不揮発性メモリ23、複数の通信ポート24と、データバス25を介して接続されている。   FIG. 5 is a configuration diagram illustrating an example of the proxy server 2. The proxy server 2 includes a CPU 20, a ROM 21, a RAM 22, a nonvolatile memory 23, and a plurality of communication ports 24. The CPU 20 is connected to a ROM 21, a RAM 22, a nonvolatile memory 23, a plurality of communication ports 24, and a data bus 25 so that signals can be input and output with each other.

ROM21は、CPU20を駆動するプログラムが格納されている。RAM22は、CPU20のワーキングメモリとして機能する。通信ポート24は、例えばネットワークインターフェースカードであり、スイッチ装置6,6a,6b及び管理サーバ4との間でそれぞれパケットを送受信する。   The ROM 21 stores a program for driving the CPU 20. The RAM 22 functions as a working memory for the CPU 20. The communication port 24 is, for example, a network interface card, and transmits / receives packets to / from the switch devices 6, 6 a, 6 b and the management server 4.

CPU20は、ROM21からプログラムを読み込むと、機能として、コネクション処理部201、経路変更依頼部202、及び通信引継依頼部203が形成される。また、不揮発性メモリ23は、例えばフラッシュメモリであり、コネクションデータベース(DB)230及び宛先サーバ情報231が記憶されている。   When the CPU 20 reads the program from the ROM 21, a connection processing unit 201, a route change request unit 202, and a communication takeover request unit 203 are formed as functions. The nonvolatile memory 23 is, for example, a flash memory, and stores a connection database (DB) 230 and destination server information 231.

コネクション処理部201は、スリーウェイハンドシェイクに従い端末7とTCPコネクションを確立する。コネクション処理部201は、スリーウェイハンドシェイクにおいて、端末7から通信ポート24を介してSYNを受信すると、SYN+ACKを、通信ポート24を介して端末7に送信する。また、コネクション処理部201は、SYNを受信すると、TCPコネクションに関する情報をコネクションデータベース230に登録する。   The connection processing unit 201 establishes a TCP connection with the terminal 7 according to the three-way handshake. When the connection processing unit 201 receives SYN from the terminal 7 via the communication port 24 in the three-way handshake, the connection processing unit 201 transmits SYN + ACK to the terminal 7 via the communication port 24. When the connection processing unit 201 receives SYN, the connection processing unit 201 registers information related to the TCP connection in the connection database 230.

図6にはコネクションデータベース230の一例が示されている。コネクションデータベース230には、送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号、及びACK番号が含まれる。送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号、及びACK番号は、端末7から受信したSYNから取得される。なお、ACK番号は、スリーウェイハンドシェイクにおけるシーケンス番号であり、随時更新される。これらのTCPコネクションに関する情報は、端末7から通信が正常である場合、宛先サーバ1により端末7との通信に使用される。   FIG. 6 shows an example of the connection database 230. The connection database 230 includes a source IP address, a source port number, a destination IP address, a destination port number, and an ACK number. The transmission source IP address, transmission source port number, destination IP address, destination port number, and ACK number are acquired from the SYN received from the terminal 7. The ACK number is a sequence number in the three-way handshake and is updated as needed. Information regarding these TCP connections is used for communication with the terminal 7 by the destination server 1 when communication from the terminal 7 is normal.

コネクション処理部201は、SYN+ACKの送信後、タイマを起動して、所定時間内に端末7からACKを受信しない場合、端末7からのSYNをDoS攻撃と判定する。これにより、コネクション処理部201は、DoS攻撃と正常な通信を容易に判別する。   After transmitting SYN + ACK, the connection processing unit 201 activates a timer, and determines that SYN from the terminal 7 is a DoS attack when ACK is not received from the terminal 7 within a predetermined time. As a result, the connection processing unit 201 easily determines a DoS attack and normal communication.

一方、コネクション処理部201は、所定時間内に端末7からACKを受信した場合、端末7からのSYNを正常な通信と判定する。この場合、コネクション処理部201は、判定結果を経路変更依頼部202及び通信引継依頼部203に通知する。   On the other hand, if the connection processing unit 201 receives an ACK from the terminal 7 within a predetermined time, the connection processing unit 201 determines that SYN from the terminal 7 is normal communication. In this case, the connection processing unit 201 notifies the determination result to the route change request unit 202 and the communication takeover request unit 203.

経路変更依頼部202は、コネクション処理部201から判定結果を通知されると、不揮発性メモリ13から宛先サーバ情報231を読み出す。宛先サーバ情報231は、宛先サーバ1のIPアドレス「10.1.2.3」を示す。なお、宛先サーバ情報231は、管理サーバ4により設定される。   When the route change request unit 202 is notified of the determination result from the connection processing unit 201, the route change request unit 202 reads the destination server information 231 from the nonvolatile memory 13. The destination server information 231 indicates the IP address “10.1.2.3” of the destination server 1. The destination server information 231 is set by the management server 4.

経路変更依頼部202は、通信ポート24を介して、管理サーバ4に、端末7からのパケットの通信経路の変更依頼を送信する。変更依頼は、宛先サーバ情報231に基づき生成される。管理サーバ4は、変更依頼を受信すると、変更依頼に基づき経路制御サーバ3に通信経路の設定を行う。これにより、ネットワークA内における端末7の通信経路が、代理サーバ2に至る経路R1から、宛先サーバ1に至る経路R2に変更される。   The route change request unit 202 transmits a packet communication route change request from the terminal 7 to the management server 4 via the communication port 24. The change request is generated based on the destination server information 231. When the management server 4 receives the change request, the management server 4 sets a communication path in the path control server 3 based on the change request. As a result, the communication path of the terminal 7 in the network A is changed from the path R1 reaching the proxy server 2 to the path R2 reaching the destination server 1.

通信引継依頼部203は、コネクション処理部201から判定結果を通知されると、不揮発性メモリ13から宛先サーバ情報231を読み出す。通信引継依頼部203は、コネクションデータベース230から、該当するTCPコネクションに関する情報を読み出し、通信ポート24を介して、通信の引継依頼として、管理サーバ4に送信する。引継依頼は、宛先サーバ情報231に基づき生成される。管理サーバ4は、引継依頼を受信すると、宛先サーバ1に引き継ぎを指示する。これにより、宛先サーバ1は、TCPコネクションに関する情報に基づき、端末7との通信を開始する。   The communication takeover request unit 203 reads the destination server information 231 from the nonvolatile memory 13 when notified of the determination result from the connection processing unit 201. The communication takeover request unit 203 reads information on the corresponding TCP connection from the connection database 230 and transmits it to the management server 4 as a communication takeover request via the communication port 24. The takeover request is generated based on the destination server information 231. When receiving the takeover request, the management server 4 instructs the destination server 1 to take over. Thereby, the destination server 1 starts communication with the terminal 7 based on the information regarding the TCP connection.

図7は、管理サーバ4の一例を示す構成図である。管理サーバ4は、CPU40、ROM41、RAM42、不揮発性メモリ43、及び複数の通信ポート44を有する。CPU40は、互いに信号の入出力ができるように、ROM41、RAM42、不揮発性メモリ43、複数の通信ポート44と、データバス45を介して接続されている。   FIG. 7 is a configuration diagram illustrating an example of the management server 4. The management server 4 includes a CPU 40, a ROM 41, a RAM 42, a nonvolatile memory 43, and a plurality of communication ports 44. The CPU 40 is connected to the ROM 41, RAM 42, nonvolatile memory 43, and a plurality of communication ports 44 via a data bus 45 so that signals can be input and output with each other.

ROM41は、CPU40を駆動するプログラムが格納されている。RAM42は、CPU40のワーキングメモリとして機能する。通信ポート44は、例えばネットワークインターフェースカードであり、宛先サーバ1、代理サーバ2、及び経路制御サーバ3との間でそれぞれパケットを送受信する。   The ROM 41 stores a program that drives the CPU 40. The RAM 42 functions as a working memory for the CPU 40. The communication port 44 is, for example, a network interface card, and transmits / receives packets to / from the destination server 1, the proxy server 2, and the path control server 3.

CPU40は、ROM41からプログラムを読み込むと、機能として、監視制御部401、経路変更処理部402、通信引継処理部403、及び設定処理部404が形成される。また、不揮発性メモリ23は、例えばフラッシュメモリであり、ネットワーク構成データベース(DB)430、及び経路情報データベース(DB)431が記憶されている。   When the CPU 40 reads the program from the ROM 41, a monitoring control unit 401, a path change processing unit 402, a communication takeover processing unit 403, and a setting processing unit 404 are formed as functions. The nonvolatile memory 23 is, for example, a flash memory, and stores a network configuration database (DB) 430 and a path information database (DB) 431.

ネットワーク構成データベース430には、ネットワークAの構成に関するデータが登録されている。より具体的には、ネットワーク構成データベース430は、ネットワークA内の各ノード及びノード同士を結ぶリンクの情報が登録されている。また、経路情報データベース431には、経路制御サーバ3の経路情報データベース331と同様の内容が登録されている。   In the network configuration database 430, data regarding the configuration of the network A is registered. More specifically, in the network configuration database 430, information on each node in the network A and a link connecting the nodes is registered. In the route information database 431, the same contents as the route information database 331 of the route control server 3 are registered.

監視制御部401は、ネットワーク構成データベース430及び経路情報データベース431に基づき、宛先サーバ1、代理サーバ2、経路制御サーバ3、及びスイッチ装置6,6a,6bの監視制御を行う。監視制御部401は、経路変更処理部402、通信引継処理部403、及び設定処理部404に動作を指示する。   The monitoring control unit 401 performs monitoring control of the destination server 1, the proxy server 2, the path control server 3, and the switch devices 6, 6a, and 6b based on the network configuration database 430 and the path information database 431. The monitoring control unit 401 instructs the route change processing unit 402, the communication takeover processing unit 403, and the setting processing unit 404 to operate.

監視制御部401は、代理サーバ2から通信ポート44を介して通信経路の変更依頼を受信したとき、経路変更処理部402に動作を指示する。経路変更処理部402は、指示を受けると、変更依頼に基づき経路情報データベース431を参照し、通信経路の設定情報を含むパケットを生成し、通信ポート44を介して経路制御サーバ3に送信する。経路変更処理部402は、経路制御サーバ3から通信経路に変更完了の通知を受信すると、通信経路の設定情報に基づき経路情報データベース431を更新する。   When the monitoring control unit 401 receives a communication path change request from the proxy server 2 via the communication port 44, the monitoring control unit 401 instructs the path change processing unit 402 to operate. Upon receiving the instruction, the route change processing unit 402 refers to the route information database 431 based on the change request, generates a packet including communication route setting information, and transmits the packet to the route control server 3 via the communication port 44. The route change processing unit 402 updates the route information database 431 based on the setting information of the communication route when receiving the notification of the completion of the change to the communication route from the route control server 3.

監視制御部401は、代理サーバ2から通信ポート44を介して通信の引継依頼を受信したとき、通信引継処理部403に動作を指示する。通信引継処理部403は、指示を受けると、引継依頼に基づき引継指示を含むパケットを生成し、通信ポート44を介して宛先サーバ1に送信する。引継指示には、TCPコネクションに関する情報が含まれる。   When the monitoring control unit 401 receives a communication takeover request from the proxy server 2 via the communication port 44, the monitoring control unit 401 instructs the communication takeover processing unit 403 to operate. Upon receiving the instruction, the communication takeover processing unit 403 generates a packet including the takeover instruction based on the takeover request, and transmits the packet to the destination server 1 via the communication port 44. The takeover instruction includes information related to the TCP connection.

また、経路変更処理部402は、端末7との通信を引き継いだ宛先サーバ1から通信経路の変更依頼を受信した場合も、変更依頼に基づき経路情報データベース431を参照し、通信経路の設定情報を含むパケットを生成し、通信ポート44を介して経路制御サーバ3に送信する。   Further, even when the route change processing unit 402 receives a communication route change request from the destination server 1 that has taken over communication with the terminal 7, the route change processing unit 402 refers to the route information database 431 based on the change request, and sets communication route setting information. A packet including the same is generated and transmitted to the route control server 3 via the communication port 44.

設定処理部404は、ネットワークシステムの起動時、監視制御部401の指示に従い代理サーバ2及び経路制御サーバ3に初期設定を行う。より具体的には、設定処理部404は、代理サーバ2に宛先サーバ情報231を設定し、経路制御サーバ3に通信経路R1の設定を行う。   The setting processing unit 404 performs initial setting on the proxy server 2 and the path control server 3 in accordance with an instruction from the monitoring control unit 401 when the network system is activated. More specifically, the setting processing unit 404 sets the destination server information 231 in the proxy server 2 and sets the communication path R1 in the path control server 3.

図8は、宛先サーバ1の一例を示す構成図である。宛先サーバ1は、CPU10、ROM11、RAM12、不揮発性メモリ13、及び複数の通信ポート14を有する。CPU10は、互いに信号の入出力ができるように、ROM11、RAM12、不揮発性メモリ13、複数の通信ポート14と、データバス15を介して接続されている。   FIG. 8 is a configuration diagram illustrating an example of the destination server 1. The destination server 1 includes a CPU 10, a ROM 11, a RAM 12, a nonvolatile memory 13, and a plurality of communication ports 14. The CPU 10 is connected to a ROM 11, a RAM 12, a nonvolatile memory 13, a plurality of communication ports 14, and a data bus 15 so that signals can be input and output with each other.

ROM11は、CPU10を駆動するプログラムが格納されている。RAM12は、CPU10のワーキングメモリとして機能する。通信ポート14は、例えばネットワークインターフェースカードであり、管理サーバ4及びスイッチ装置6,6a,6bとの間でそれぞれパケットを送受信する。   The ROM 11 stores a program for driving the CPU 10. The RAM 12 functions as a working memory for the CPU 10. The communication port 14 is, for example, a network interface card, and transmits and receives packets between the management server 4 and the switch devices 6, 6a, and 6b.

CPU10は、ROM11からプログラムを読み込むと、機能として、通信引継処理部101、通信処理部102、通信監視部103、及び経路変更依頼部104が形成される。また、不揮発性メモリ13は、例えばフラッシュメモリであり、コネクションデータベース(DB)130が記憶されている。   When the CPU 10 reads the program from the ROM 11, a communication takeover processing unit 101, a communication processing unit 102, a communication monitoring unit 103, and a route change request unit 104 are formed as functions. The nonvolatile memory 13 is a flash memory, for example, and stores a connection database (DB) 130.

通信引継処理部101は、管理サーバ4から通信ポート14を介して引継指示を受信すると、引継指示からTCPコネクションに関する情報を取得してコネクションデータベース130に登録する。なお、端末7との通信に必要な情報として、TCPコネクションに関する情報以外の情報が存在する場合、通信引継処理部101は、その情報も取得してコネクションデータベース130に登録する。通信引継処理部101は、新規のTCPコネクションが確立したことを通信処理部102に通知する。   When the communication takeover processing unit 101 receives a takeover instruction from the management server 4 via the communication port 14, the communication takeover processing unit 101 acquires information on the TCP connection from the takeover instruction and registers it in the connection database 130. When information other than information related to the TCP connection exists as information necessary for communication with the terminal 7, the communication handover processing unit 101 also acquires the information and registers it in the connection database 130. The communication takeover processing unit 101 notifies the communication processing unit 102 that a new TCP connection has been established.

通信処理部102は、端末7に所定のサービスを提供するためのアプリケーションである。通信処理部102は、通信引継処理部101から通知を受けると、コネクションデータベース130からTCPコネクションに関する情報などを読み出して、端末7との通信を開始する。これにより、端末7との通信が、代理サーバ2から宛先サーバ1に引き継がれる。   The communication processing unit 102 is an application for providing a predetermined service to the terminal 7. When the communication processing unit 102 receives the notification from the communication takeover processing unit 101, the communication processing unit 102 reads out information related to the TCP connection from the connection database 130 and starts communication with the terminal 7. Thereby, communication with the terminal 7 is handed over from the proxy server 2 to the destination server 1.

通信監視部103は、通信の引き継ぎ後、端末7との通信を監視する。より具体的には、通信監視部103は、通信処理部102から、タイマにより端末7からの通信が一定時間受信されないことを検出する。つまり、通信監視部103は、端末7との通信の異常を検出する。通信監視部103は、通信異常を検出すると、その旨を経路変更依頼部104に通知する。   The communication monitoring unit 103 monitors communication with the terminal 7 after taking over communication. More specifically, the communication monitoring unit 103 detects from the communication processing unit 102 that communication from the terminal 7 is not received for a certain time by a timer. That is, the communication monitoring unit 103 detects an abnormality in communication with the terminal 7. When the communication monitoring unit 103 detects a communication abnormality, the communication monitoring unit 103 notifies the route change request unit 104 to that effect.

経路変更依頼部104は、通信監視部103から通知を受けると、通信ポート14を介して、端末7との通信の通信経路の変更を管理サーバ4に依頼する。管理サーバ4は、その変更依頼に基づき、経路制御サーバ3に通信経路を設定する。   Upon receiving the notification from the communication monitoring unit 103, the route change request unit 104 requests the management server 4 to change the communication route for communication with the terminal 7 via the communication port 14. The management server 4 sets a communication path in the path control server 3 based on the change request.

より具体的には、経路変更依頼部104は、端末7からの宛先サーバ1宛ての通信が代理サーバ2で受信されるように通信経路の変更を依頼する。このため、宛先サーバ1は、端末7との通信に異常が生じた場合、その通信を代理サーバ2で受信させることにより、他の正常な通信への影響を防止することができる。   More specifically, the route change request unit 104 requests the change of the communication route so that the communication addressed to the destination server 1 from the terminal 7 is received by the proxy server 2. For this reason, when an abnormality occurs in communication with the terminal 7, the destination server 1 can prevent the influence on other normal communication by causing the proxy server 2 to receive the communication.

次に、ネットワークシステムにおける各処理について説明する。   Next, each process in the network system will be described.

図9は、初期設定処理の一例を示すシーケンス図である。管理サーバ4の設定処理部404は、経路制御サーバ3に通信経路の設定情報を送信する。経路制御サーバ3の経路制御部301は、端末7からの宛先サーバ1宛ての通信が代理サーバ2で受信されるように、設定情報に基づきネットワークA内の通信経路を制御する。より具体的には、経路制御部301は、通信経路R1を構成するように、スイッチ装置6,6a,6bのフローテーブル630を設定する(符号S1参照)。   FIG. 9 is a sequence diagram illustrating an example of the initial setting process. The setting processing unit 404 of the management server 4 transmits communication path setting information to the path control server 3. The path control unit 301 of the path control server 3 controls the communication path in the network A based on the setting information so that the communication addressed to the destination server 1 from the terminal 7 is received by the proxy server 2. More specifically, the path control unit 301 sets the flow table 630 of the switch devices 6, 6a, 6b so as to configure the communication path R1 (see S1).

また、管理サーバ4の設定処理部404は、代理サーバ2に宛先サーバ1のIPアドレス「10.1.2.3」を通知する。代理サーバ2は、通知されたIPアドレスに基づき宛先サーバ情報231を設定する(符号S2参照)。なお、宛先サーバ情報231の設定は、通信経路の設定より先に行われてもよい。   The setting processing unit 404 of the management server 4 notifies the proxy server 2 of the IP address “10.1.2.3” of the destination server 1. The proxy server 2 sets the destination server information 231 based on the notified IP address (see S2). The destination server information 231 may be set before the communication path is set.

図10は、DoS攻撃を受けた場合の処理の一例を示すシーケンス図である。本例では、端末7が、悪意のあるユーザにより操作されていると仮定する。   FIG. 10 is a sequence diagram illustrating an example of processing in the case of receiving a DoS attack. In this example, it is assumed that the terminal 7 is operated by a malicious user.

端末7は、外部ネットワークBを介して、宛先サーバ1宛てにTCPコネクションの確立の要求、つまりSYNを送信する。スイッチ装置6aの転送処理部602は、フローテーブル630に基づき、SYNを通信経路R1に沿って代理サーバ2に転送する。   The terminal 7 transmits a TCP connection establishment request, that is, SYN, to the destination server 1 via the external network B. Based on the flow table 630, the transfer processing unit 602 of the switch device 6a transfers SYN to the proxy server 2 along the communication path R1.

代理サーバ2のコネクション処理部201は、SYNからTCPコネクションに関する情報を取得して、コネクションデータベース230に登録する(符号S3参照)。コネクション処理部201は、SYNに対する応答として、SYN+ACKを端末7に送信する。スイッチ装置6aの転送処理部602は、フローテーブル630に基づきSYN+ACKを端末7に転送する。   The connection processing unit 201 of the proxy server 2 acquires information related to the TCP connection from the SYN and registers it in the connection database 230 (see S3). The connection processing unit 201 transmits SYN + ACK to the terminal 7 as a response to SYN. The transfer processing unit 602 of the switch device 6 a transfers SYN + ACK to the terminal 7 based on the flow table 630.

しかし、端末7は、SYN+ACKに対する応答信号のACKを送信しない。このため、代理サーバ2のコネクション処理部201は、端末7からのACKを監視するためのタイマがタイムアウトする(符号S4参照)。これにより、コネクション処理部201は、DoS攻撃を検出する(符号S5参照)。   However, the terminal 7 does not transmit ACK of the response signal for SYN + ACK. For this reason, the connection processing unit 201 of the proxy server 2 times out a timer for monitoring the ACK from the terminal 7 (see S4). As a result, the connection processing unit 201 detects a DoS attack (see S5).

このように、代理サーバ2は、宛先サーバ1に代わり、端末7からコネクションの確立の要求を受け、要求に応答することにより要求がDoS攻撃であるか否かを判定する。   In this way, the proxy server 2 receives a request for establishing a connection from the terminal 7 instead of the destination server 1, and determines whether the request is a DoS attack by responding to the request.

図11及び図2は、正常な通信を受けた場合の処理の一例を示すシーケンス図である。本例では、端末7が、善意のユーザにより操作されていると仮定する。   11 and 2 are sequence diagrams showing an example of processing when normal communication is received. In this example, it is assumed that the terminal 7 is operated by a bona fide user.

図11を参照すると、代理サーバ2のコネクション処理部201は、端末7からSYNを受信すると、SYNからTCPコネクションに関する情報を取得して、コネクションデータベース230に登録する(符号S7参照)。コネクション処理部201は、SYNに対する応答として、SYN+ACKを端末7に送信する。   Referring to FIG. 11, when the connection processing unit 201 of the proxy server 2 receives SYN from the terminal 7, the connection processing unit 201 acquires information on the TCP connection from the SYN and registers it in the connection database 230 (see S <b> 7). The connection processing unit 201 transmits SYN + ACK to the terminal 7 as a response to SYN.

端末7は、SYN+ACKを受信すると、ACKを、スイッチ装置6aを介して代理サーバ2に送信する。代理サーバ2のコネクション処理部201は、端末7からACKを受信すると、端末からのSYNがDoS攻撃ではないと判定し、TCPコネクションを確立して(符号S8参照)、端末7と通信する。ただし、コネクション処理部201は、宛先サーバ1でなければ応答できない通信を端末7から受信した場合、応答を保留する。   When receiving the SYN + ACK, the terminal 7 transmits ACK to the proxy server 2 via the switch device 6a. When the connection processing unit 201 of the proxy server 2 receives the ACK from the terminal 7, it determines that the SYN from the terminal is not a DoS attack, establishes a TCP connection (see S <b> 8), and communicates with the terminal 7. However, if the connection processing unit 201 receives from the terminal 7 a communication that can only be answered by the destination server 1, the connection processing unit 201 suspends the response.

図12を参照すると、代理サーバ2の経路変更依頼部202は、宛先サーバ情報を読み出して(符号S9参照)、端末7からの宛先サーバ1宛ての通信が宛先サーバ1で受信されるように、管理サーバ4に通信経路の変更を依頼する。管理サーバ4の経路変更処理部402は、経路制御サーバ3に、変更依頼に基づく通信経路の設定を指示する。   Referring to FIG. 12, the route change request unit 202 of the proxy server 2 reads the destination server information (see S <b> 9), so that the communication addressed to the destination server 1 from the terminal 7 is received by the destination server 1. The management server 4 is requested to change the communication path. The route change processing unit 402 of the management server 4 instructs the route control server 3 to set a communication route based on the change request.

経路制御サーバ3は、指示に従い、通信経路を経路R1から経路R2に変更する。つまち、経路制御サーバ3は、代理サーバ2からの依頼に応じ通信経路を変更する。スイッチ装置6,6a,6bは、経路制御サーバ3からの制御に従いフローテーブル630の設定を変更する(符号S10参照)。スイッチ装置6,6a,6bは、フローテーブル630の設定変更が完了すると、変更完了通知を、経路制御サーバ3を介して管理サーバ4に送信する。   The route control server 3 changes the communication route from the route R1 to the route R2 in accordance with the instruction. In other words, the route control server 3 changes the communication route in response to a request from the proxy server 2. The switch devices 6, 6a, and 6b change the setting of the flow table 630 according to the control from the path control server 3 (see S10). When the setting change of the flow table 630 is completed, the switch devices 6, 6 a, and 6 b transmit a change completion notification to the management server 4 via the path control server 3.

また、代理サーバ2の通信引継依頼部203は、コネクションデータベース230からTCPコネクションに関する情報を読み出し(符号S11参照)、通信の引継依頼に含めて管理サーバ4に送信する。管理サーバ4の通信引継処理部403は、引継依頼に基づき宛先サーバ1に通信の引き継ぎを指示する。代理サーバ2の通信引継処理部101は、引き継ぎの指示に含まれるTCPコネクションに関する情報に基づき、代理サーバ2から端末7との通信を引き継ぐ(符号S12参照)。   Further, the communication takeover request unit 203 of the proxy server 2 reads information on the TCP connection from the connection database 230 (see S11), and transmits the information to the management server 4 in a communication takeover request. The communication takeover processing unit 403 of the management server 4 instructs the destination server 1 to take over communication based on the takeover request. The communication takeover processing unit 101 of the proxy server 2 takes over the communication with the terminal 7 from the proxy server 2 based on the information regarding the TCP connection included in the takeover instruction (see S12).

このように、代理サーバ2は、端末7からの通信が正常である場合、端末7からの通信が宛先サーバ1で受信されるように通信経路を変更し、TCPコネクションに関する情報を宛先サーバ1に送信することで通信を引き継ぐ。したがって、宛先サーバ1は正常な通信だけを処理すればよいため、正常な通信に影響することなく、DoS攻撃が防御される。なお、通信の引継依頼は、通信経路の変更依頼と同時、または通信経路の変更依頼より先に行われてもよい。   As described above, when the communication from the terminal 7 is normal, the proxy server 2 changes the communication path so that the communication from the terminal 7 is received by the destination server 1, and the information regarding the TCP connection is transmitted to the destination server 1. Take over communication by sending. Therefore, since the destination server 1 only needs to process normal communication, the DoS attack is protected without affecting normal communication. The communication takeover request may be made at the same time as the communication path change request or before the communication path change request.

図13は、代理サーバ2のパケット受信時の動作の一例を示すフローチャートである。コネクション処理部201は、受信したパケットの宛先IPアドレスを宛先サーバ情報231と比較することにより、パケットが宛先サーバ1宛てであるか否かを判定する(ステップSt1)。コネクション処理部201は、パケットが宛先サーバ1宛てではない場合(ステップSt1のNo)、パケット(PKT)を廃棄し(ステップSt6)、処理を終了する。   FIG. 13 is a flowchart illustrating an example of the operation of the proxy server 2 when receiving a packet. The connection processing unit 201 determines whether the packet is addressed to the destination server 1 by comparing the destination IP address of the received packet with the destination server information 231 (step St1). If the packet is not addressed to the destination server 1 (No in step St1), the connection processing unit 201 discards the packet (PKT) (step St6) and ends the process.

コネクション処理部201は、パケットが宛先サーバ1宛てである場合(ステップSt1のYes)、パケットがSYNであるか否かを判定する(ステップSt2)。コネクション処理部201は、パケットがSYNである場合(ステップSt2のYes)、TCPコネクションに関する情報をコネクションデータベース130に登録する(ステップSt3)。   When the packet is addressed to the destination server 1 (Yes in step St1), the connection processing unit 201 determines whether the packet is SYN (step St2). When the packet is SYN (Yes in step St2), the connection processing unit 201 registers information related to the TCP connection in the connection database 130 (step St3).

次に、コネクション処理部201は、端末7にSYN+ACKを送信する(ステップSt4)。次に、コネクション処理部201は、端末7からのSYNがDoS攻撃であるか否かを判定する攻撃判定処理を実行する(ステップSt5)。なお、攻撃判定処理については後述する。   Next, the connection processing unit 201 transmits SYN + ACK to the terminal 7 (step St4). Next, the connection processing unit 201 executes an attack determination process for determining whether SYN from the terminal 7 is a DoS attack (Step St5). The attack determination process will be described later.

また、コネクション処理部201は、パケットがSYNではない場合(ステップSt2のNo)、パケットがACKであるか否かを判定する(ステップSt7)。コネクション処理部201は、パケットがACKではない場合(ステップSt7のNo)、適切な通信処理を行う(ステップSt11)。このとき、コネクション処理部201は、上述したように、宛先サーバ1でなければ応答できない通信を端末7から受信した場合、応答を保留する。   If the packet is not SYN (No in step St2), the connection processing unit 201 determines whether the packet is ACK (step St7). If the packet is not an ACK (No in step St7), the connection processing unit 201 performs an appropriate communication process (step St11). At this time, as described above, the connection processing unit 201 suspends the response when receiving communication from the terminal 7 that can only be responded to by the destination server 1.

また、コネクション処理部201は、パケットがACKである場合(ステップSt7のYes)、SYNがDoS攻撃ではないと判定し、TCPコネクションを確立する(ステップSt8)。次に、経路変更依頼部202は、管理サーバ4を介して経路制御サーバ3に通信経路の変更を依頼する(ステップSt9)。   If the packet is ACK (Yes in step St7), the connection processing unit 201 determines that SYN is not a DoS attack and establishes a TCP connection (step St8). Next, the route change request unit 202 requests the route control server 3 to change the communication route via the management server 4 (step St9).

次に、通信引継依頼部203は、管理サーバ4を介して宛先サーバ1に通信の引き継ぎを依頼する(ステップSt10)。これにより、TCPコネクションに関する情報が、宛先サーバ1に送信される。このようにして、代理サーバ2は動作する。   Next, the communication takeover request unit 203 requests the destination server 1 to take over communication via the management server 4 (step St10). As a result, information regarding the TCP connection is transmitted to the destination server 1. In this way, the proxy server 2 operates.

図14は、DoS攻撃の判定処理(図13のステップSt5)の一例を示すフローチャートである。本処理は、図13に示された動作と同時並行的に行われる。   FIG. 14 is a flowchart illustrating an example of DoS attack determination processing (step St5 in FIG. 13). This process is performed concurrently with the operation shown in FIG.

まず、コネクション処理部201は、端末7からのACKを監視するためのタイマをスタートさせる(ステップSt21)。次に、コネクション処理部201は、端末7からACKを受信したか否かを判定する(ステップSt22)。コネクション処理部201は、ACKを受信した場合(ステップSt22のYes)、タイマをストップして(ステップSt25)、処理を終了する。   First, the connection processing unit 201 starts a timer for monitoring ACK from the terminal 7 (step St21). Next, the connection processing unit 201 determines whether or not an ACK has been received from the terminal 7 (step St22). When the connection processing unit 201 receives an ACK (Yes in step St22), the connection processing unit 201 stops the timer (step St25) and ends the process.

また、コネクション処理部201は、ACKを受信していない場合(ステップSt22のNo)、タイマがタイムアウトしたか否かを判定する(ステップSt23)。つまり、コネクション処理部201は、端末7からのSYNに応答後、所定時間が経過したか否かを判定する。   If the ACK is not received (No in Step St22), the connection processing unit 201 determines whether the timer has timed out (Step St23). That is, the connection processing unit 201 determines whether or not a predetermined time has elapsed after responding to SYN from the terminal 7.

コネクション処理部201は、タイマがタイムアウトしていない場合(ステップSt23のNo)、再びステップSt22の判定処理を行う。また、コネクション処理部201は、タイマがタイムアウトした場合(ステップSt23のYes)、DoS攻撃を検出して(ステップSt24)、処理を終了する。このようにして、DoS攻撃の判定処理は行われる。   If the timer has not timed out (No in step St23), the connection processing unit 201 performs the determination process in step St22 again. Further, when the timer times out (Yes in step St23), the connection processing unit 201 detects a DoS attack (step St24) and ends the process. In this way, the DoS attack determination process is performed.

図15は、通信異常が検出された場合の処理の一例を示すシーケンス図である。宛先サーバ1の通信監視部103は、代理サーバ2から通信を引き継いだ後、端末7からの通信が一定時間受信されない場合、通信異常を検出する(符号S21参照)。   FIG. 15 is a sequence diagram illustrating an example of processing when a communication abnormality is detected. The communication monitoring unit 103 of the destination server 1 detects a communication error when the communication from the terminal 7 is not received for a certain period of time after taking over the communication from the proxy server 2 (see S21).

宛先サーバ1の経路変更依頼部104は、端末7からの宛先サーバ1宛ての通信が代理サーバ2で受信されるように、管理サーバ4に通信経路の変更を依頼する。管理サーバ4の経路変更処理部402は、経路制御サーバ3に、変更依頼に基づく通信経路の設定を指示する。   The route change request unit 104 of the destination server 1 requests the management server 4 to change the communication route so that the proxy server 2 receives communication addressed to the destination server 1 from the terminal 7. The route change processing unit 402 of the management server 4 instructs the route control server 3 to set a communication route based on the change request.

経路制御サーバ3は、指示に従い、通信経路を経路R2から経路R1に変更する。つまち、経路制御サーバ3は、宛先サーバ1からの依頼に応じ通信経路を変更する。スイッチ装置6,6a,6bは、経路制御サーバ3からの制御に従いフローテーブル630の設定を変更する(符号S22参照)。スイッチ装置6,6a,6bは、フローテーブル630の設定変更が完了すると、変更完了通知を、経路制御サーバ3を介して管理サーバ4に送信する。   The route control server 3 changes the communication route from the route R2 to the route R1 in accordance with the instruction. In other words, the route control server 3 changes the communication route in response to a request from the destination server 1. The switch devices 6, 6a, and 6b change the setting of the flow table 630 according to the control from the path control server 3 (see S22). When the setting change of the flow table 630 is completed, the switch devices 6, 6 a, and 6 b transmit a change completion notification to the management server 4 via the path control server 3.

図16は、宛先サーバ1の動作の一例を示すフローチャートである。宛先サーバ1の通信処理部102は、端末7からの通信が終了したか否かを判定する(ステップSt31)。通信処理部102は、受信されたパケットのFINフラグを検出することにより、通信の終了を判定する。   FIG. 16 is a flowchart illustrating an example of the operation of the destination server 1. The communication processing unit 102 of the destination server 1 determines whether or not communication from the terminal 7 has ended (step St31). The communication processing unit 102 determines the end of communication by detecting the FIN flag of the received packet.

通信処理部102は、通信が終了した場合(ステップSt31のYes)、TCPコネクションを開放する(ステップSt35)。また、通信が終了していない場合(ステップSt31のNo)、通信監視部103は、端末7から通信を一定時間受信していないか否かを判定する(ステップSt32)。通信監視部103は、例えばタイマにより端末7からの通信の有無を監視する。   When the communication is completed (Yes in step St31), the communication processing unit 102 releases the TCP connection (step St35). If communication has not ended (No in step St31), the communication monitoring unit 103 determines whether communication has not been received from the terminal 7 for a certain period of time (step St32). The communication monitoring unit 103 monitors the presence / absence of communication from the terminal 7 using, for example, a timer.

端末7から通信を受信した場合(ステップSt32のNo)、通信処理部102は、再びステップSt31の判定処理を行う。また、端末7から通信を一定時間受信していない場合(ステップSt32のYes)、通信監視部103は、端末7との通信の異常を検出する(ステップSt33)。   When communication is received from the terminal 7 (No in step St32), the communication processing unit 102 performs the determination process in step St31 again. If the communication is not received from the terminal 7 for a certain time (Yes in step St32), the communication monitoring unit 103 detects an abnormality in communication with the terminal 7 (step St33).

次に、経路変更依頼部104は、経路制御サーバ3に通信経路の変更を依頼する(ステップSt34)。このようにして、宛先サーバ1は動作する。   Next, the route change request unit 104 requests the route control server 3 to change the communication route (step St34). In this way, the destination server 1 operates.

これまで述べたように、実施例に係るネットワークシステムは、端末7の通信先である宛先サーバ1と、宛先サーバ1と同じネットワークAに接続された代理サーバ2と、経路制御サーバ3とを有する。経路制御サーバ3は、端末7からの宛先サーバ1宛ての通信が代理サーバ2で受信されるようにネットワークA内の通信経路を制御する。   As described above, the network system according to the embodiment includes the destination server 1 that is the communication destination of the terminal 7, the proxy server 2 connected to the same network A as the destination server 1, and the path control server 3. . The route control server 3 controls the communication route in the network A so that the communication addressed to the destination server 1 from the terminal 7 is received by the proxy server 2.

代理サーバ2は、宛先サーバ1に代わり、端末7からTCPコネクションの確立の要求を受け、その要求に応答することにより要求がDoS攻撃であるか否かを判定する。代理サーバ2は、要求がDoS攻撃ではないと判定した場合、TCPコネクションを確立して端末7と通信し、経路制御サーバ3に、端末7からの宛先サーバ1宛ての通信が宛先サーバ1で受信されるように通信経路の変更を依頼し、TCPコネクションに関する情報を宛先サーバ1に送信する。   The proxy server 2 receives a request for establishing a TCP connection from the terminal 7 instead of the destination server 1, and determines whether the request is a DoS attack by responding to the request. If the proxy server 2 determines that the request is not a DoS attack, the proxy server 2 establishes a TCP connection and communicates with the terminal 7, and the destination server 1 receives the communication addressed to the destination server 1 from the terminal 7. As described above, the communication path is requested to be changed, and information related to the TCP connection is transmitted to the destination server 1.

経路制御サーバ3は、代理サーバ2からの依頼に応じ通信経路を変更し、宛先サーバ1は、代理サーバ2から受信したTCPコネクションに関する情報に基づき、代理サーバ2から端末7との通信を引き継ぐ。   The path control server 3 changes the communication path in response to a request from the proxy server 2, and the destination server 1 takes over communication with the terminal 7 from the proxy server 2 based on the information regarding the TCP connection received from the proxy server 2.

上記の構成によると、経路制御サーバ3は、端末7の要求がDoS攻撃ではない場合、端末7からの通信の経路を、代理サーバ2に至る通信経路R1から、宛先サーバ1に至る通信経路R2に変更する。このため、端末7からの通信は、TCPコネクションの確立前、代理サーバ2で受信され、TCPコネクションの確立後、宛先サーバ1で受信される。   According to the above configuration, when the request of the terminal 7 is not a DoS attack, the path control server 3 changes the communication path from the terminal 7 to the communication path R2 from the communication path R1 reaching the proxy server 2 to the destination server 1. Change to For this reason, communication from the terminal 7 is received by the proxy server 2 before the TCP connection is established, and is received by the destination server 1 after the TCP connection is established.

また、代理サーバ2は、端末7の要求がDoS攻撃ではない場合、コネクションに関する情報を宛先サーバ1に送信する。宛先サーバ1は、代理サーバ2から受信したコネクションに関する情報に基づき、代理サーバ2から端末7との通信を引き継ぐ。このため、宛先サーバ1は、代理サーバ2により確立されたコネクションを用いて端末7と通信することができる。   Further, when the request from the terminal 7 is not a DoS attack, the proxy server 2 transmits information related to the connection to the destination server 1. The destination server 1 takes over communication with the terminal 7 from the proxy server 2 based on the information regarding the connection received from the proxy server 2. For this reason, the destination server 1 can communicate with the terminal 7 using the connection established by the proxy server 2.

代理サーバ2は、端末7からの通信を受信し、DoS攻撃ではない正常な通信だけを宛先サーバ1に引き継ぐため、宛先サーバ1は、端末7からDoS攻撃の通信を受信することなく、正常な通信だけを受信することができる。よって、実施例に係るネットワークシステムによると、正常な通信に影響せずにDoS攻撃を防御できる。   Since the proxy server 2 receives communication from the terminal 7 and takes over only normal communication that is not a DoS attack to the destination server 1, the destination server 1 does not receive a DoS attack communication from the terminal 7 and is normal. Only communication can be received. Therefore, the network system according to the embodiment can prevent a DoS attack without affecting normal communication.

また、実施例に係るDoS攻撃の防御方法では、経路制御サーバ3が、端末7の通信先の宛先サーバ1と同じネットワークAに接続された代理サーバ2で、端末7からの宛先サーバ1宛ての通信が受信されるようにネットワークA内の通信経路を制御する。   In the DoS attack defense method according to the embodiment, the route control server 3 is the proxy server 2 connected to the same network A as the destination server 1 of the communication destination of the terminal 7 and is addressed to the destination server 1 from the terminal 7. The communication path in the network A is controlled so that the communication is received.

代理サーバ2は、宛先サーバ1に代わり、端末7からTCPコネクションの確立の要求を受け、その要求に応答することにより要求がDoS攻撃であるか否かを判定する。代理サーバ2は、要求がDoS攻撃ではないと判定した場合、TCPコネクションを確立して端末7と通信し、経路制御サーバ3に、端末7からの宛先サーバ1宛ての通信が宛先サーバ1で受信されるように通信経路の変更を依頼し、TCPコネクションに関する情報を宛先サーバ1に送信する。   The proxy server 2 receives a request for establishing a TCP connection from the terminal 7 instead of the destination server 1, and determines whether the request is a DoS attack by responding to the request. If the proxy server 2 determines that the request is not a DoS attack, the proxy server 2 establishes a TCP connection and communicates with the terminal 7, and the destination server 1 receives the communication addressed to the destination server 1 from the terminal 7. As described above, the communication path is requested to be changed, and information related to the TCP connection is transmitted to the destination server 1.

経路制御サーバ3は、代理サーバ2からの依頼に応じ通信経路を変更し、宛先サーバ1は、代理サーバ2から受信したTCPコネクションに関する情報に基づき、代理サーバ2から端末7との通信を引き継ぐ。   The path control server 3 changes the communication path in response to a request from the proxy server 2, and the destination server 1 takes over communication with the terminal 7 from the proxy server 2 based on the information regarding the TCP connection received from the proxy server 2.

実施例に係るDoS攻撃の防御方法は、上記のネットワークシステムと同様の構成を含むので、上述した内容と同様の作用効果を奏する。   Since the DoS attack defense method according to the embodiment includes the same configuration as the network system described above, the same effects as those described above can be obtained.

上述した実施形態は本発明の好適な実施の例である。但し、これに限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々変形実施可能である。   The above-described embodiment is an example of a preferred embodiment of the present invention. However, the present invention is not limited to this, and various modifications can be made without departing from the scope of the present invention.

なお、以上の説明に関して更に以下の付記を開示する。
(付記1) 端末の通信先である第1サーバと、
前記第1サーバと同じネットワークに接続された第2サーバと、
前記端末からの前記第1サーバ宛ての通信が前記第2サーバで受信されるように前記ネットワーク内の通信経路を制御する経路制御サーバとを有し、
前記第2サーバは、
前記第1サーバに代わり、前記端末からコネクションの確立の要求を受け、
前記要求に応答することにより前記要求がDoS攻撃であるか否かを判定し、
前記要求がDoS攻撃ではないと判定した場合、
前記コネクションを確立して前記端末と通信し、
前記経路制御サーバに、前記端末からの前記第1サーバ宛ての通信が前記第1サーバで受信されるように前記通信経路の変更を依頼し、
前記コネクションに関する情報を前記第1サーバに送信し、
前記経路制御サーバは、前記第2サーバからの依頼に応じ前記通信経路を変更し、
前記第1サーバは、前記第2サーバから受信した前記コネクションに関する情報に基づき、前記第2サーバから前記端末との通信を引き継ぐことを特徴とするネットワークシステム。
(付記2) 前記第2サーバは、前記端末が接続された外部ネットワークと前記ネットワークの境界に接続されていることを特徴とする付記1に記載のネットワークシステム。
(付記3) 前記第2サーバは、前記要求に応答した後、所定時間内に前記端末から応答信号を受信しない場合、前記要求がDoS攻撃であると判定することを特徴とする付記1または2に記載のネットワークシステム。
(付記4) 前記第1サーバは、前記第2サーバから前記端末との通信を引き継いた後、前記端末からの通信が一定時間受信されない場合、前記経路制御サーバに、前記端末からの前記第1サーバ宛ての通信が前記第2サーバで受信されるように前記通信経路の変更を依頼し、
前記経路制御サーバは、前記第1サーバからの依頼に応じ前記通信経路を変更することを特徴とする付記1乃至3の何れかに記載のネットワークシステム。
(付記5) 経路制御サーバが、端末の通信先の第1サーバと同じネットワークに接続された第2サーバで、前記端末からの前記第1サーバ宛ての通信が受信されるように前記ネットワーク内の通信経路を制御し、
前記第2サーバは、
前記第1サーバに代わり、前記端末からコネクションの確立の要求を受け、
前記要求に応答することにより前記要求がDoS攻撃であるか否かを判定し、
前記要求がDoS攻撃ではないと判定した場合、
前記コネクションを確立して前記端末との通信し、
前記経路制御サーバに、前記端末からの前記第1サーバ宛ての通信が前記第1サーバで受信されるように前記通信経路の変更を依頼し、
前記コネクションに関する情報を前記第1サーバに送信し、
前記経路制御サーバは、前記第2サーバからの依頼に応じ前記通信経路を変更し、
前記第1サーバは、前記第2サーバから受信した前記コネクションに関する情報に基づき、前記第2サーバから前記端末との通信を引き継ぐことを特徴とするDoS攻撃の防御方法。
(付記6) 前記第2サーバは、前記端末が接続された外部ネットワークと前記ネットワークの境界に接続されていることを特徴とする付記5に記載のDoS攻撃の防御方法。
(付記7) 前記第2サーバは、前記要求に応答した後、所定時間内に前記端末から応答信号を受信しない場合、前記要求がDoS攻撃であると判定することを特徴とする付記5または6に記載のDoS攻撃の防御方法。
(付記8) 前記第1サーバは、前記第2サーバから前記端末との通信を引き継いた後、前記端末からの通信が一定時間受信されない場合、前記経路制御サーバに、前記端末からの前記第1サーバ宛ての通信が前記第2サーバで受信されるように前記通信経路の変更を依頼し、
前記経路制御サーバは、前記第1サーバからの依頼に応じ前記通信経路を変更することを特徴とする付記5乃至7の何れかに記載のDoS攻撃の防御方法。 In addition, the following additional notes are disclosed regarding the above description.
(Supplementary note 1) a first server that is a communication destination of the terminal;
A second server connected to the same network as the first server;
A path control server for controlling a communication path in the network so that communication addressed to the first server from the terminal is received by the second server;
The second server is
In place of the first server, a request for establishing a connection is received from the terminal,
Determining whether the request is a DoS attack by responding to the request;
If it is determined that the request is not a DoS attack,
Establish the connection and communicate with the terminal;
Requesting the route control server to change the communication route so that communication addressed to the first server from the terminal is received by the first server;
Sending information about the connection to the first server;
The path control server changes the communication path in response to a request from the second server,
The network system, wherein the first server takes over communication with the terminal from the second server based on the information related to the connection received from the second server.
(Supplementary note 2) The network system according to supplementary note 1, wherein the second server is connected to a boundary between the external network to which the terminal is connected and the network.
(Supplementary note 3) If the second server does not receive a response signal from the terminal within a predetermined time after responding to the request, the second server determines that the request is a DoS attack. The network system described in 1.
(Supplementary Note 4) After the first server takes over the communication with the terminal from the second server, when the communication from the terminal is not received for a certain period of time, the first server receives the first from the terminal. Requesting the change of the communication path so that the communication addressed to the server is received by the second server;
The network system according to any one of appendices 1 to 3, wherein the path control server changes the communication path in response to a request from the first server.
(Supplementary Note 5) The route control server is a second server connected to the same network as the first server with which the terminal communicates, so that the communication addressed to the first server is received from the terminal. Control the communication path,
The second server is
In place of the first server, a request for establishing a connection is received from the terminal,
Determining whether the request is a DoS attack by responding to the request;
If it is determined that the request is not a DoS attack,
Communicating with the terminal by establishing the connection;
Requesting the route control server to change the communication route so that communication addressed to the first server from the terminal is received by the first server;
Sending information about the connection to the first server;
The path control server changes the communication path in response to a request from the second server,
The DoS attack defense method, wherein the first server takes over communication with the terminal from the second server based on information on the connection received from the second server.
(Supplementary note 6) The DoS attack protection method according to supplementary note 5, wherein the second server is connected to a boundary between the external network to which the terminal is connected and the network.
(Supplementary note 7) If the second server does not receive a response signal from the terminal within a predetermined time after responding to the request, the second server determines that the request is a DoS attack. 2. A DoS attack protection method according to 1.
(Supplementary Note 8) After the first server takes over communication with the terminal from the second server, if the communication from the terminal is not received for a certain period of time, the first server receives the first from the terminal. Requesting the change of the communication path so that the communication addressed to the server is received by the second server;
The DoS attack protection method according to any one of appendices 5 to 7, wherein the path control server changes the communication path in response to a request from the first server.

1 宛先サーバ
2 代理サーバ
3 経路制御サーバ
4 管理サーバ
6,6a,6b スイッチ装置
7 端末
A ネットワーク
B 外部ネットワーク DESCRIPTION OF SYMBOLS 1 Destination server 2 Proxy server 3 Path control server 4 Management server 6, 6a, 6b Switch apparatus 7 Terminal A Network B External network

ネットワークシステムの一例を示す構成図である。It is a block diagram which shows an example of a network system. スイッチ装置の一例を示す構成図である。It is a block diagram which shows an example of a switch apparatus. フローテーブルの一例を示す図である。(a)は初期状態のフローテーブルの一例を示す図である。(b)は経路変更時のフローテーブルの一例を示す図である。It is a figure which shows an example of a flow table. (A) is a figure which shows an example of the flow table of an initial state. (B) is a figure which shows an example of the flow table at the time of a route change. 経路制御サーバの一例を示す構成図である。It is a block diagram which shows an example of a route control server. 代理サーバの一例を示す構成図である。It is a block diagram which shows an example of a proxy server. コネクションデータベースの一例を示す図である。It is a figure which shows an example of a connection database. 管理サーバの一例を示す構成図である。It is a block diagram which shows an example of a management server. 宛先サーバの一例を示す構成図である。It is a block diagram which shows an example of a destination server. 初期設定処理の一例を示すシーケンス図である。It is a sequence diagram which shows an example of an initial setting process. DoS攻撃を受けた場合の処理の一例を示すシーケンス図である。It is a sequence diagram which shows an example of the process at the time of receiving a DoS attack. 正常な通信を受けた場合の処理の一例を示すシーケンス図(その1)である。It is the sequence diagram (the 1) which shows an example of the process at the time of receiving normal communication. 正常な通信を受けた場合の処理の一例を示すシーケンス図(その2)である。It is a sequence diagram (the 2) which shows an example of a process at the time of receiving normal communication. 代理サーバのパケット受信時の動作の一例を示すフローチャートである。It is a flowchart which shows an example of the operation | movement at the time of the packet reception of a proxy server. DoS攻撃の判定処理の一例を示すフローチャートである。It is a flowchart which shows an example of the determination process of DoS attack. 通信異常が検出された場合の処理の一例を示すシーケンス図である。It is a sequence diagram which shows an example of a process when a communication abnormality is detected. 宛先サーバの動作の一例を示すフローチャートである。It is a flowchart which shows an example of operation | movement of a destination server.

Claims (5)

端末の通信先である第1サーバと、
前記第1サーバと同じネットワークに接続された第2サーバと、
前記端末からの前記第1サーバ宛ての通信が前記第2サーバで受信されるように前記ネットワーク内の通信経路を制御する経路制御サーバとを有し、
前記第2サーバは、
前記第1サーバに代わり、前記端末からコネクションの確立の要求を受け、
前記要求に応答することにより前記要求がDoS攻撃であるか否かを判定し、
前記要求がDoS攻撃ではないと判定した場合、
前記コネクションを確立して前記端末と通信し、
前記経路制御サーバに、前記端末からの前記第1サーバ宛ての通信が前記第1サーバで受信されるように前記通信経路の変更を依頼し、
前記コネクションに関する情報を前記第1サーバに送信し、
前記経路制御サーバは、前記第2サーバからの依頼に応じ前記通信経路を変更し、
前記第1サーバは、前記第2サーバから受信した前記コネクションに関する情報に基づき、前記第2サーバから前記端末との通信を引き継ぐことを特徴とするネットワークシステム。 A first server that is a communication destination of the terminal;
A second server connected to the same network as the first server;
A path control server for controlling a communication path in the network so that communication addressed to the first server from the terminal is received by the second server;
The second server is
In place of the first server, a request for establishing a connection is received from the terminal,
Determining whether the request is a DoS attack by responding to the request;
If it is determined that the request is not a DoS attack,
Establish the connection and communicate with the terminal;
Requesting the route control server to change the communication route so that communication addressed to the first server from the terminal is received by the first server;
Sending information about the connection to the first server;
The path control server changes the communication path in response to a request from the second server,
The network system, wherein the first server takes over communication with the terminal from the second server based on the information related to the connection received from the second server. 前記第2サーバは、前記端末が接続された外部ネットワークと前記ネットワークの境界に接続されていることを特徴とする請求項1に記載のネットワークシステム。   The network system according to claim 1, wherein the second server is connected to a boundary between the external network to which the terminal is connected and the network. 前記第2サーバは、前記要求に応答した後、所定時間内に前記端末から応答信号を受信しない場合、前記要求がDoS攻撃であると判定することを特徴とする請求項1または2に記載のネットワークシステム。   The said 2nd server determines with the said request | requirement being a DoS attack, when not receiving a response signal from the said terminal within a predetermined time after responding to the said request | requirement. Network system. 前記第1サーバは、前記第2サーバから前記端末との通信を引き継いた後、前記端末からの通信が一定時間受信されない場合、前記経路制御サーバに、前記端末からの前記第1サーバ宛ての通信が前記第2サーバで受信されるように前記通信経路の変更を依頼し、
前記経路制御サーバは、前記第1サーバからの依頼に応じ前記通信経路を変更することを特徴とする請求項1乃至3の何れかに記載のネットワークシステム。 When the first server takes over communication with the terminal from the second server and communication from the terminal is not received for a certain period of time, the first server sends communication to the first server from the terminal. Requesting the change of the communication path so that the second server receives it,
The network system according to claim 1, wherein the path control server changes the communication path in response to a request from the first server. 経路制御サーバが、端末の通信先の第1サーバと同じネットワークに接続された第2サーバで、前記端末からの前記第1サーバ宛ての通信が受信されるように前記ネットワーク内の通信経路を制御し、
前記第2サーバは、
前記第1サーバに代わり、前記端末からコネクションの確立の要求を受け、
前記要求に応答することにより前記要求がDoS攻撃であるか否かを判定し、
前記要求がDoS攻撃ではないと判定した場合、
前記コネクションを確立して前記端末との通信し、
前記経路制御サーバに、前記端末からの前記第1サーバ宛ての通信が前記第1サーバで受信されるように前記通信経路の変更を依頼し、
前記コネクションに関する情報を前記第1サーバに送信し、
前記経路制御サーバは、前記第2サーバからの依頼に応じ前記通信経路を変更し、
前記第1サーバは、前記第2サーバから受信した前記コネクションに関する情報に基づき、前記第2サーバから前記端末との通信を引き継ぐことを特徴とするDoS攻撃の防御方法。 The path control server controls the communication path in the network so that the communication addressed to the first server from the terminal is received by the second server connected to the same network as the first server with which the terminal communicates And
The second server is
In place of the first server, a request for establishing a connection is received from the terminal,
Determining whether the request is a DoS attack by responding to the request;
If it is determined that the request is not a DoS attack,
Communicating with the terminal by establishing the connection;
Requesting the route control server to change the communication route so that communication addressed to the first server from the terminal is received by the first server;
Sending information about the connection to the first server;
The path control server changes the communication path in response to a request from the second server,
The DoS attack defense method, wherein the first server takes over communication with the terminal from the second server based on information on the connection received from the second server.
JP2015175080A 2015-09-04 2015-09-04 Network system and dos (denial of service) attack defense method Pending JP2017050832A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015175080A JP2017050832A (en) 2015-09-04 2015-09-04 Network system and dos (denial of service) attack defense method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015175080A JP2017050832A (en) 2015-09-04 2015-09-04 Network system and dos (denial of service) attack defense method

Publications (1)

Publication Number Publication Date
JP2017050832A true JP2017050832A (en) 2017-03-09

Family

ID=58280367

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015175080A Pending JP2017050832A (en) 2015-09-04 2015-09-04 Network system and dos (denial of service) attack defense method

Country Status (1)

Country Link
JP (1) JP2017050832A (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200061997A (en) * 2018-11-26 2020-06-03 숭실대학교산학협력단 Method of establishing tcp session for sdn-based network and sdn network thereof
JP2020156071A (en) * 2019-02-21 2020-09-24 ベイジン バイドゥ ネットコム サイエンス アンド テクノロジー カンパニー リミテッド Method and device for data processing
CN112311731A (en) * 2019-07-29 2021-02-02 联合汽车电子有限公司 Vehicle-mounted processor, vehicle-mounted controller and communication method
JP2021505066A (en) * 2017-11-28 2021-02-15 ティー−モバイル ユーエスエイ インコーポレイテッド Remote and dynamic route injection into IP networks

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021505066A (en) * 2017-11-28 2021-02-15 ティー−モバイル ユーエスエイ インコーポレイテッド Remote and dynamic route injection into IP networks
JP7252957B2 (en) 2017-11-28 2023-04-05 ティー-モバイル ユーエスエイ インコーポレイテッド Remote and Dynamic Route Injection into IP Networks
US11831537B2 (en) 2017-11-28 2023-11-28 T-Mobile Usa, Inc. Remotely and dynamically injecting routes into an IP network
KR20200061997A (en) * 2018-11-26 2020-06-03 숭실대학교산학협력단 Method of establishing tcp session for sdn-based network and sdn network thereof
KR102185588B1 (en) 2018-11-26 2020-12-02 숭실대학교산학협력단 Method of establishing tcp session for sdn-based network and sdn network thereof
JP2020156071A (en) * 2019-02-21 2020-09-24 ベイジン バイドゥ ネットコム サイエンス アンド テクノロジー カンパニー リミテッド Method and device for data processing
JP7271396B2 (en) 2019-02-21 2023-05-11 ベイジン バイドゥ ネットコム サイエンス テクノロジー カンパニー リミテッド Method and apparatus for processing data
CN112311731A (en) * 2019-07-29 2021-02-02 联合汽车电子有限公司 Vehicle-mounted processor, vehicle-mounted controller and communication method

Similar Documents

Publication Publication Date Title
US7640364B2 (en) Port aggregation for network connections that are offloaded to network interface devices
US8583831B2 (en) Thin client discovery
US20220045934A1 (en) Method and apparatus of automatic route optimization in a private virtual network for client devices of a local network
JP4925218B2 (en) Intelligent failback in a load-balanced network environment
US20100281168A1 (en) Assymmetric Traffic Flow Detection
US9680948B2 (en) System and method for device failure notification
EP2984796A1 (en) Method and system for providing an information centric network
EP3225014A1 (en) Source ip address transparency systems and methods
CN104052684A (en) Dynamic maximum transmission unit size adaption
CN106612340B (en) Method for penetrating network position converter and communication device
KR100927498B1 (en) Intelligent failover in a load balanced network environment
TWI701920B (en) Packet transmission method and system thereof
US20150127837A1 (en) Relay apparatus and data transfer method
JP2017050832A (en) Network system and dos (denial of service) attack defense method
US11349934B2 (en) Opportunistic transmission control protocol (TCP) connection establishment
CN111935108B (en) Cloud data security access control method and device, electronic device and storage medium
WO2017012471A1 (en) Load balance processing method and apparatus
JP2012039188A (en) Communication system, control server, flow control method, and program thereof
RU2542933C1 (en) Method (versions), apparatus (versions) and system for controlling access
US20060239263A1 (en) Method for the establishing of connections in a communication system
JP6593137B2 (en) Packet storage device and packet storage method
CN110381007A (en) TCP accelerating method and device
WO2015167375A1 (en) Method and tcp proxy for supporting communication between a client device and a server node
US20100166011A1 (en) Method, apparatus and system for realizing dynamic correlation of control plane traffic rate
JP5889122B2 (en) Control node and communication control method