Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP3889701B2 - Packet path tracking system - Google Patents
[go: Go Back, main page]

JP3889701B2 - Packet path tracking system - Google Patents

Packet path tracking system Download PDF

Info

Publication number
JP3889701B2
JP3889701B2 JP2002367422A JP2002367422A JP3889701B2 JP 3889701 B2 JP3889701 B2 JP 3889701B2 JP 2002367422 A JP2002367422 A JP 2002367422A JP 2002367422 A JP2002367422 A JP 2002367422A JP 3889701 B2 JP3889701 B2 JP 3889701B2
Authority
JP
Japan
Prior art keywords
packet
inquiry
log recording
tracking system
propagation path
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2002367422A
Other languages
Japanese (ja)
Other versions
JP2004201042A (en
Inventor
浩志 星野
孝祥 清水
貴志 田中
龍之介 大島
太郎 丸山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yokogawa Electric Corp
Original Assignee
Yokogawa Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yokogawa Electric Corp filed Critical Yokogawa Electric Corp
Priority to JP2002367422A priority Critical patent/JP3889701B2/en
Publication of JP2004201042A publication Critical patent/JP2004201042A/en
Application granted granted Critical
Publication of JP3889701B2 publication Critical patent/JP3889701B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、ネットワークを伝播するパケットを記録してパケットの伝播経路を追跡するパケット経路追跡システムに関し、特に反射攻撃パケットの伝播経路の追跡が可能なパケット経路追跡システムに関する。
【0002】
【従来の技術】
従来のネットワークを伝播するパケットを記録してパケットの伝播経路を追跡するパケット経路追跡システムに関連する先行技術文献としては次のようなものがある。
【0003】
【特許文献1】
特開平10−164064号公報
【特許文献2】
特開2000−341315号公報
【0004】
従来のインターネット上ではパケットを連続してターゲットに送信して当該ターゲットの提供するサービスを停止等させるDoS攻撃(Denial of Service attack:サービス停止攻撃:以下、単にDoSと呼ぶ。)が問題になっている。
【0005】
特に、複数地点から一斉に一つのターゲットに対してDoS攻撃を行うDDoS攻撃(Distributed DoS:分散型DoS:以下、単にDDoS攻撃と呼ぶ。)が大きな問題になっている。
【0006】
このため、このようなDDoS攻撃等を防止するため、不正なパケットの発信源を特定するパケット経路追跡システムが考案されている。
【0007】
図9はこのような従来のパケット経路追跡システムの一例を示す構成ブロック図である。図9において1は攻撃者(アタッカー)が操作する端末、2はDDoS攻撃等のターゲットとなるサーバ、3及び4はISP(Internet Service Provider:インターネットサービス提供業者:以下、単にISPと呼ぶ。)、5,6,7及び8はルータ、9,10及び11は伝播するパケットの情報を記録するパケットログ記録装置である。
【0008】
端末1はルータ5を介してISP3に接続され、ISP3はルータ6及びルータ7を介してISP4に接続される。また、サーバ2はルータ8を介してISP4に接続される。
【0009】
さらに、端末1とルータ5との間の回線にはパケットログ記録装置9が接続され、ルータ6とルータ7との間の回線にはパケットログ記録装置10が接続され、サーバ2とルータ8との間の回線にはパケットログ記録装置11が接続される。
【0010】
ここで、図9に示す従来のパケット経路追跡システムの動作を図10及び図11を用いて説明する。図10は攻撃者(アタッカー)の攻撃経路を示す説明図、図11はパケットの記録状況を説明する説明図である。
【0011】
図10中”AT01”に示すように攻撃者(アタッカー)は端末1からISP3及びISP4を介してターゲットであるサーバ2に対してDoS攻撃等を行う。
【0012】
一方、パケットログ記録装置9,10及び11は接続された回線を伝播するパケットを取得して記憶手段に順次記録して行く。
【0013】
例えば、図11中”LG11”、”LG12”及び”LG13”に示すようにパケットログ記録装置9,10及び11はDoS攻撃のために伝播する不正なパケットを取得して記憶手段に順次記録する。
【0014】
そして、DoS攻撃等を受けたサーバ2が受信した不正なパケットと、パケットログ記録装置9,10及び11にそれぞれ記録されたパケットを比較して当該不正なパケットが伝播した経路を特定する。
【0015】
例えば、図10に示すDoS攻撃等に用いられた不正なパケットはパケットログ記録装置9,10及び11に記録されているので図10中”AT01”に示すような不正なパケットの伝播経路を特定することが可能になる。
【0016】
但し、監視している回線に伝播するパケットの全ての情報を順次記録するために、記憶手段には膨大な記憶容量が必要になるため、効率良くパケットの情報を保持する方法が考案されている。
【0017】
図12はこのようなパケットログ記録装置の具体例を示す構成ブロック図であり、12は演算制御手段、13は記憶手段である。
【0018】
観測点である回線からの入力は演算制御手段12に接続され、演算制御手段12の出力は記憶手段13に接続される。
【0019】
ここで、図12に示すパケットログ記録装置の動作を図13を用いて説明する。図13は取得したパケットの記録方法を説明する説明図である。
【0020】
図12中”LG21”に示すように観測点である回線から入力されたパケットは演算制御手段12に取り込まれ、IP(Internet Protocol)パケットの中で伝播中に不変である部分等を抽出する。
【0021】
そして、演算制御手段12は抽出された情報をハッシュ関数を用いてハッシュ値に変換し、このハッシュ値を記憶手段13のアドレスとみなして、該当するアドレスにビットを立てる等してある特定のパケットが伝播したことを記録する。
【0022】
ここで、ハッシュ関数とは、原文から固定長の疑似乱数(ハッシュ値)を生成する関数であって、このハッシュ関数は不可逆な一方向関数を含むために生成されたハッシュ値から元の原文を再現することはできない。また、同じハッシュ値となる異なるデータを作成することは極めて困難である。
【0023】
例えば、演算制御手段12が、図13中”PI31”に示すような取得したパケットから抽出された伝播中に不変である部分にハッシュ関数を適用して、図13中”HV31”に示すようなハッシュ値(例えば、XXXXH:16ビットの16進数表現)を得られた場合を想定する。
【0024】
この場合、演算制御手段12は得られたハッシュ値(XXXXH)を記憶手段13のアドレスとみなして、”XXXXH”のアドレスに図13中”WD31”に示すようにデータを書き込む。
【0025】
例えば、データの書込み方法としては”00000000B(8ビットデータ)”から”00000001B”等(ビットを立てる)に変更することによってある特定のパケットが伝播したことを記録する。
【0026】
そして、DoS攻撃等を受けたサーバが受信した不正なパケットに前記ハッシュ関数を適用して得られたハッシュ値に対応する記憶手段13のアドレスにビットが立っていれば不正なパケットがパケットログ記録装置が接続された回線を伝播したことになる。
【0027】
この結果、図12に示すパケットログ記録装置ではパケットの情報を全て記憶手段に記録するのではなく、パケットの一部分にハッシュ関数を適用して得られたハッシュ値に対応する記憶手段のアドレスに記録する(ビットを立てる)ことにより、記憶手段の記憶容量は小さくて良く、効率良くパケットの情報を保持することが可能である。
【0028】
【発明が解決しようとする課題】
しかし、図9に示すパケットログ記録装置を用いたパケット経路追跡システムではターゲットとなるサーバ2等に対して反射攻撃(Reflection Attack)パケットによる攻撃であった場合にはパケットの伝播経路を追跡できないと言った問題点があった。
【0029】
ここで、反射攻撃パケットとは踏み台となるサーバに対してソースアドレスを偽造した問合せのパケットを送信し、踏み台となるサーバが偽装されたソースアドレスの標的の端末に対して回答のパケットを送信してしまうことにより、実質的に標的の端末にDoS攻撃等を行うものである。
【0030】
図14はこのような反射攻撃を説明するための従来のパケット経路追跡システムの一例を示す構成ブロック図である。図14において14は攻撃側端末、15は踏み台となるサーバ、16は伝播経路解析装置である標的側端末、17及び18は伝播するパケットの情報を記録するパケットログ記録装置である。
【0031】
攻撃側端末14はネットワーク等によってサーバ15に接続され、標的側端末16もまたネットワーク等によってサーバ15に接続される。また、攻撃側端末14とサーバ15との間の回線にはパケットログ記録装置17が接続され、サーバ15と標的側端末16との間の回線にはパケットログ記録装置18が接続される。
【0032】
また、パケットログ記録装置17及び18の基本的な構成に関しては図12に示す従来のパケットログ記録装置の構成と同様である。
【0033】
ここで、図14に示す従来のパケット経路追跡システムの動作を図15及び図16を用いて説明する。図15は反射攻撃の攻撃者(アタッカー)の攻撃経路を示す説明図、図16はパケットの伝播経路の追跡状況を説明する説明図である。
【0034】
攻撃側端末14は図15中”PC41”に示すような自らのソースアドレス(送信元のIPアドレス)を標的側端末16のIPアドレスに置換(偽造)した問合せのパケットを踏み台にするサーバ15に送信する。
【0035】
このとき、図15中”PC41”に示すソースアドレスを偽造されたパケットは勿論、パケットログ記録装置17に記録される。
【0036】
一方、図15中”PC41”に示す問合せのパケットを受信したサーバ15は、当該問合せに対する回答のパケットを生成して送信元である攻撃側端末14に対して送信しようとする。
【0037】
但し、図15中”PC41”に示す問合せのパケットにおいてはソースアドレスが偽造されているため、当該偽造を認識していないサーバ15は図15中”PC41”に示す問合せのパケットに記載されているソースアドレスを有する標的側端末16に対して図15中”PC42”に示すような回答パケットを送信することになる。
【0038】
このとき、図15中”PC42”に示す回答パケットは勿論、パケットログ記録装置18に記録される。
【0039】
そして、図15中”PC42”に示すような不正なパケットを受信した伝播経路解析装置である標的側端末16は受信した不正なパケットと、パケットログ記録装置17及び18にそれぞれ記録されたパケットを比較して当該不正なパケットが伝播した経路を特定する。
【0040】
例えば、図15中”PC42”に示すDoS攻撃等に用いられた不正なパケットはパケットログ記録装置18に記録されているので図16中”TR51”に示すような不正なパケットの伝播経路を途中まで特定することができる。
【0041】
但し、パケットログ記録装置17には標的側端末16で受信された図15中”PC42”に示すDoS攻撃等に用いられた不正なパケットは記録されていない(図15中”PC41”に示すパケットが記録されているのみ)ので図16中”TR52”に示すような不正なパケットの伝播経路までは特定することができない。
【0042】
すなわち、反射攻撃では受信した不正なパケットの伝播経路を追跡することにより踏み台にされたサーバまではたどり着くことができるものの、攻撃側端末までの伝播経路を追跡できなくなってしまう。
従って本発明が解決しようとする課題は、回答パケットに基づき踏み台となったサーバまでの経路のみならず攻撃側端末までの伝播経路の追跡が可能なパケット経路追跡システムを実現することにある。
【0043】
【課題を解決するための手段】
このような課題を達成するために、本発明のうち請求項1記載の発明は、
ネットワークを伝播するパケットを記録してパケットの伝播経路を追跡するパケット経路追跡システムにおいて、
ネットワークの複数の観測点を伝播するパケットを記録する複数のパケットログ記録装置と、不正な回答パケットを受信した標的側端末から伝播経路追跡依頼があった場合、複数の前記パケットログ記録装置を検索して前記回答パケットの伝播経路を特定すると共に、検出された前記回答パケットから問合せパケット依存部分を抽出して問合せパケットの形式を推定した上で複数の前記パケットログ記録装置を検索して推定された前記問合せパケットの伝播経路を特定する伝播経路解析装置とを備えたことにより、回答パケットに基づき踏み台となったサーバまでの経路のみならず攻撃側端末までの伝播経路の追跡が可能となる。
【0045】
請求項2記載の発明は、
ネットワークを伝播するパケットを記録してパケットの伝播経路を追跡するパケット経路追跡システムにおいて、
ネットワークの複数の観測点を伝播するパケットを記録する複数のパケットログ記録装置と、不正な回答パケットを受信した場合、複数の前記パケットログ記録装置を検索して前記回答パケットの伝播経路を特定すると共に、検出された前記回答パケットから問合せパケット依存部分を抽出して問合せパケットの形式を推定した上で複数の前記パケットログ記録装置を検索して推定された前記問合せパケットの伝播経路を特定する伝播経路解析装置とを備えたことにより、回答パケットに基づき踏み台となったサーバまでの経路のみならず攻撃側端末までの伝播経路の追跡が可能となる。
【0047】
請求項3記載の発明は、
請求項1若しくは請求項2記載の発明であるパケット経路追跡システムにおいて、
前記パケットログ記録装置が、
前記問合せパケット若しくは前記回答パケットの情報を記録する記憶手段と、複数の前記観測点の一を伝播する前記問合せパケット若しくは前記回答パケットを取り込み全ての情報を記憶手段に書き込むと共に前記伝播経路解析装置の制御により前記問合せパケット若しくは前記回答パケットの伝播経路のトレースを行う演算制御手段とから構成されたことにより、回答パケットに基づき踏み台となったサーバまでの経路のみならず攻撃側端末までの伝播経路の追跡が可能となる。
【0048】
請求項4記載の発明は、
請求項3記載の発明であるパケット経路追跡システムにおいて、
前記伝播経路解析装置が、
前記パケットログ記録装置の記憶手段に記録されている前記情報の内、前記問合せパケット依存部分が一致していれば推定された前記問合せパケットが前記パケットログ記録装置に記録されているものと判断することにより、回答パケットに基づき踏み台となったサーバまでの経路のみならず攻撃側端末までの伝播経路の追跡が可能となる。
【0049】
請求項5記載の発明は、
請求項1若しくは請求項2記載の発明であるパケット経路追跡システムにおいて、
前記パケットログ記録装置が、
前記問合せパケット若しくは前記回答パケットの情報を記録する記憶手段と、複数の前記観測点の一を伝播する前記問合せパケット若しくは前記回答パケットを取り込み問合せパケット依存部分を抽出してハッシュ関数を適用し、得られたハッシュ値を前記記憶手段のアドレスとみなしてこのアドレスに前記情報としてデータを書き込むと共に前記伝播経路解析装置の制御により前記問合せパケット若しくは前記回答パケットの伝播経路のトレースを行う演算制御手段とから構成されたことにより、回答パケットに基づき踏み台となったサーバまでの経路のみならず攻撃側端末までの伝播経路の追跡が可能となる。
【0050】
請求項6記載の発明は、
請求項5記載の発明であるパケット経路追跡システムにおいて、
前記伝播経路解析装置が、
前記問合せパケット依存部分にハッシュ関数を適用して得られたハッシュ値に対応する記憶手段のアドレスに記録があれば推定された元パケットがパケットログ記録装置に記録されているものと判断することにより、回答パケットに基づき踏み台となったサーバまでの経路のみならず攻撃側端末までの伝播経路の追跡が可能となる。
【0051】
請求項7記載の発明は、
請求項1乃至請求項6のいずれかに記載の発明であるパケット経路追跡システムにおいて、
前記問合せパケット若しくは前記回答パケットが、
ICMPで用いられるパケットであることにより、回答パケットに基づき踏み台となったサーバまでの経路のみならず攻撃側端末までの伝播経路の追跡が可能となる。
【0052】
請求項8記載の発明は、
請求項7記載の発明であるパケット経路追跡システムにおいて、
前記問合せパケット若しくは前記回答パケットが、
ICMPのechoコマンドを使って実現されているpingコマンドのパケットであることにより、回答パケットに基づき踏み台となったサーバまでの経路のみならず攻撃側端末までの伝播経路の追跡が可能となる。
【0053】
請求項9記載の発明は、
請求項1乃至請求項6のいずれかに記載の発明であるパケット経路追跡システムにおいて、
前記問合せパケット若しくは前記回答パケットが、
UDPで用いられるパケットであることにより、回答パケットに基づき踏み台となったサーバまでの経路のみならず攻撃側端末までの伝播経路の追跡が可能となる。
【0054】
請求項10記載の発明は、
請求項1乃至請求項6のいずれかに記載の発明であるパケット経路追跡システムにおいて、
前記問合せパケット若しくは前記回答パケットが、
TCPで用いられるパケットであることにより、回答パケットに基づき踏み台となったサーバまでの経路のみならず攻撃側端末までの伝播経路の追跡が可能となる。
【0055】
【発明の実施の形態】
以下本発明を図面を用いて詳細に説明する。図1は本発明に係るパケット経路追跡システムの一実施例を示す構成ブロック図である。図1において14,16,17及び18は図14と同一符号を付してあり、19は踏み台となる伝播経路解析装置であるサーバである。
【0056】
攻撃側端末14はネットワーク等によってサーバ19に接続され、標的側端末16もまたネットワーク等によってサーバ19に接続される。また、攻撃側端末14とサーバ19との間の回線にはパケットログ記録装置17が接続され、サーバ19と標的側端末16との間の回線にはパケットログ記録装置18が接続される。
【0057】
ここで、図1に示す実施例の動作を図2,図3,図4,図5,図6,図7及び図8を用いて説明する。
【0058】
図2は反射攻撃の攻撃者(アタッカー)の攻撃経路を示す説明図、図3はサーバ19の反射攻撃パケットの伝播経路の追跡動作を説明するフロー図、図4,図5及び図8はサーバ19の反射攻撃パケットの伝播経路の追跡動作を説明する説明図、図6は反射攻撃パケットの構成の一例を示す説明図、図7は反射攻撃パケットと元パケットの関連を説明する説明図である。
【0059】
攻撃側端末14は図2中”PC61”に示すような自らのソースアドレス(送信元のIPアドレス)を標的側端末16のIPアドレスに置換(偽造)した問合せのパケット(以下、元パケットと呼ぶ。)を踏み台にするサーバ19に送信する。
【0060】
このとき、図2中”PC61”に示す元パケットは勿論、パケットログ記録装置17に記録される。
【0061】
一方、図2中”PC61”に示す元パケットを受信したサーバ19は、当該問合せに対する回答のパケットを生成して送信元である攻撃側端末14に対して送信しようとする。
【0062】
但し、図2中”PC61”に示す元パケットにおいてはソースアドレスが偽造されているため、当該偽造を認識していないサーバ19は図2中”PC61”に示す元パケットに記載されているソースアドレスを有する標的側端末16に対して図2中”PC62”に示すような回答パケット(以下、反射攻撃パケットと呼ぶ。)を送信することになる。
【0063】
このとき、図2中”PC62”に示す反射攻撃パケットは勿論、パケットログ記録装置18に記録される。
【0064】
そして、図2中”PC62”に示すような不正な反射攻撃パケットを受信した標的側端末16は、従来例で記載したように受信した反射攻撃パケットと、パケットログ記録装置17及び18にそれぞれ記録されたパケットを比較して当該反射攻撃パケットが伝播した経路を特定する。
【0065】
例えば、図2中”PC62”に示す反射攻撃パケットはパケットログ記録装置18に記録されているので、標的側端末16は踏み台にされたサーバ19まで反射攻撃パケットの伝播経路を特定することができる。
【0066】
但し、標的側端末16ではそれ以上反射攻撃パケットの伝播経路は特定できないので、踏み台にされたサーバ19に対して反射攻撃パケットの伝播経路の追跡依頼を行う。
【0067】
図3中”S001”においてサーバ19は前述のような標的側端末16からの反射攻撃パケットの伝播経路の追跡依頼の有無を判断し、もし、当該依頼がある場合には図3中”S002”においてパケットログ記録装置17及び18を検索する。
【0068】
例えば、サーバ19は反射攻撃パケットを用いて図4中”SR71”及び”SR72”に示すようなパケットログ記録装置17及び18の記録内容を検索する。
【0069】
そして、図3中”S003”においてサーバ19はパケットログ記録装置に反射攻撃パケットが記録されているか否かを判断する。
【0070】
例えば、図5中”RP81”に示すようにパケットログ記録装置18に反射攻撃パケットが記録されているか否かを判断する。
【0071】
もし、図3中”S003”において反射攻撃パケットが記録、言い換えれば、反射攻撃パケットが検出された場合には、明らかにサーバ19自らが標的側端末16を攻撃していることになるので、図3中”S004”においてサーバ19は反射攻撃パケットの伝播経路を特定する。
【0072】
そして、図3中”S005”においてサーバ19は検出された反射攻撃パケットから元パケット依存部分を抽出すると共に元パケットの形式を推定する。
【0073】
例えば、図6中”PC91”は、ネットワークにおいてIPパケットが通信先まで届いているかどうか等を調べるために利用させる最も基本的なコマンドであるICMP(Internet Control Message Protocol)のechoコマンドを使って実現されている”pingコマンド”において送信される回答パケット(反射攻撃パケットに相当)の一例である。
【0074】
このようなパケットは図6中”IPH91”、”ICH91”及び”ICD91”に示す”IPヘッダ”、”ICMPヘッダ”及び”ICMPデータ”等の部分に分類され、それぞれの部分には送信先アドレスや送信元アドレス等の”pingコマンド”を実行するのに必要な様々な情報が記載されている。
【0075】
そして、このような回答パケット(反射攻撃パケットに相当)における各情報は、問合せパケット(元パケットに相当)の情報に依存して決定される情報(以下、依存情報と呼ぶ。)と問合せパケット(元パケットに相当)とは全く無関係に決定される情報(以下、非依存情報と呼ぶ。)とに分類できる。
【0076】
例えば、図7中”PC61”及び”PC62”は図2における元パケット及び反射攻撃パケットの一例をそれぞれ示しており、図7中”IPH101”及び”IPH102”は元パケット及び反射攻撃パケットの”IPヘッダ”、図7中”ICH101”及び”ICH102”は元パケット及び反射攻撃パケットの”ICMPヘッダ”、図7中”ICD101”及び”ICD102”は元パケット及び反射攻撃パケットの”ICMPデータ”をそれぞれ示している。
【0077】
そして、反射攻撃パケット中の各情報である図7中”FD101”、”FD102”、”FD103”及び”FD104”は依存情報であり、他の部分は非依存情報である。
【0078】
すなわち、図7中”FD101”、”FD102”、”FD103”及び”FD104”に示す依存情報は、元パケット中の各情報である図7中”FD105”、”FD106”、”FD107”及び”FD108”に基づき情報が決定されることになる。
【0079】
言い換えれば、図7中”FD101”、”FD102”、”FD103”及び”FD104”に示す反射攻撃パケット中の依存情報のみが元パケットと共通する唯一の情報となる。
【0080】
このため、図7中”FD101”、”FD102”、”FD103”及び”FD104”に示す依存情報の部分を元パケットと同一と推定し、非依存情報の部分をマスクして新たなパケットとすることにより、反射攻撃パケットから元パケット依存部分が抽出され元パケットの形式を推定することができる。
【0081】
具体的には、例えば、”IPヘッダ”において、”Version”、”IHL”、”Total Length”、”Protocol”のような依存情報はそのまま元パケットとして用いられ、”Source Address”及び”Destination Address”のような依存情報はは相互に入れ換えることにより元パケットとして用いられる。
【0082】
同様に、例えば、”ICMPヘッダ”において、”Code”、”Identifier”及び”Sequence Number”のような依存情報はそのまま元パケットとして用いられ、”ICMPデータ”のような依存情報もまたそのまま元パケットとして用いられる。
【0083】
そして、図3中”S006”においてサーバ19はパケットログ記録装置17及び18を検索すると共に、図3中”S007”においてサーバ19はパケットログ記録装置にこのように推定された形式の元パケットが記録されているか否かを判断する。
【0084】
例えば、サーバ19は推定された形式の元パケットを用いて図4中”SR71”及び”SR72”に示すようなパケットログ記録装置17及び18の記録内容を検索し、図8中”SP111”に示すようにパケットログ記録装置17に推定された形式の元パケットが記録されているか否かを判断する。
【0085】
すなわち、パケットログ記録装置に記録されている情報において、推定された元パケットの非依存情報が一致しなくても、依存情報が一致していれば推定された元パケットがパケットログ記録装置に記録されているものと判断する。
【0086】
一方、パケットログ記録装置にハッシュ値に対応する記憶手段のアドレスに記録する(ビットを立てる)手法で情報が記録されている場合には、推定された元パケットの内で依存情報にハッシュ関数を適用して得られたハッシュ値に対応する記憶手段のアドレスに記録があれば(ビットが立っていれば)、推定された元パケットがパケットログ記録装置に記録されているものと判断する。
【0087】
もし、図3中”S007”において推定された形式の元パケットが記録、言い換えれば、推定された形式の元パケットが検出された場合には、図3中”S008”においてサーバ19は元パケットの伝播経路を特定する。
【0088】
この結果、標的側端末16から伝播経路追跡依頼があった場合、踏み台となったサーバ19がパケットログ記録装置を検索して反射攻撃パケット(回答パケット)の伝播経路を特定すると共に、検出された反射攻撃パケット(回答パケット)から元パケット(問合せパケット)依存部分を抽出して元パケット(問合せパケット)の形式を推定した上でパケットログ記録装置を検索して推定された元パケット(問合せパケット)の伝播経路を特定することにより、反射攻撃パケットの伝播経路の追跡が可能になる。
【0089】
なお、図1に示す実施例の説明ではパケットログ記録装置としては、記憶手段の記憶容量は小さくするため、パケットの依存情報を抽出してハッシュ関数を適用して得られたハッシュ値に対応する記憶手段のアドレスに記録する(ビットを立てる)必要性がある。
【0090】
但し、パケットログ記録装置が伝播するパケットの情報を全て記憶手段に記録する場合には、上述のようにパケットの内の依存情報を抽出する必要性はない。
【0091】
また、図1に示す実施例の説明では標的側端末16は反射攻撃パケットの伝播経路が特定できなくなった時点で踏み台にされたサーバ19を伝播経路解析装置として反射攻撃パケットの伝播経路の追跡依頼を行っているが、勿論、反射攻撃パケットの伝播経路が特定できなくなった時点で反射攻撃の可能性が推定できるので、標的側端末16自らが伝播経路解析装置として検出された反射攻撃パケットから元パケット依存部分を抽出して元パケットの形式を推定した上でパケットログ記録装置を検索して元パケットの伝播経路を特定しても構わない。
【0092】
また、図1に示す実施例の説明ではICMP(Internet Control Message Protocol)のechoコマンドを使って実現されている”pingコマンド”のパケットを例示しているが、勿論、これに限定される訳ではなく、ICMPで用いられる他のパケット(Destination Unreachable Message、Time Exceeded Message、Parameter Problem Message、Source Quench Message及びRedirect Message等)であっても、依存情報の部分を元パケットと同一と推定し、非依存情報の部分をマスクして新たなパケットとすることにより、反射攻撃パケットから元パケット依存部分が抽出され元パケットの形式を推定することができる。
【0093】
さらに、TCP(Transmission Control Protocol)で用いられるパケット、UDP(User Datagram Protocol)で用いられるパケット等であっても、依存情報の部分を元パケットと同一と推定し、非依存情報の部分をマスクして新たなパケットとすることにより、反射攻撃パケットから元パケット依存部分が抽出され元パケットの形式を推定することができる。
【0094】
【発明の効果】
以上説明したことから明らかなように、本発明によれば次のような効果がある。
請求項1,2,3,4,5,6,7,8,9及び請求項10の発明によれば、標的側端末から伝播経路追跡依頼があった場合等、踏み台となったサーバ若しくは標的側端末がパケットログ記録装置を検索して反射攻撃パケット(回答パケット)の伝播経路を特定すると共に、検出された反射攻撃パケット(回答パケット)から元パケット(問合せパケット)依存部分を抽出して元パケット(問合せパケット)の形式を推定した上でパケットログ記録装置を検索して推定された元パケット(問合せパケット)の伝播経路を特定することにより、回答パケットに基づき踏み台となったサーバまでの経路のみならず攻撃側端末までの伝播経路の追跡が可能となる。
【図面の簡単な説明】
【図1】本発明に係るパケット経路追跡システムの一実施例を示す構成ブロック図である。
【図2】反射攻撃の攻撃者(アタッカー)の攻撃経路を示す説明図である。
【図3】サーバの反射攻撃パケットの伝播経路の追跡動作を説明するフロー図である。
【図4】サーバの反射攻撃パケットの伝播経路の追跡動作を説明する説明図である。
【図5】サーバの反射攻撃パケットの伝播経路の追跡動作を説明する説明図である。
【図6】反射攻撃パケットの構成の一例を示す説明図である。
【図7】反射攻撃パケットと元パケットの関連を説明する説明図である。
【図8】サーバの反射攻撃パケットの伝播経路の追跡動作を説明する説明図である。
【図9】従来のパケット経路追跡システムの一例を示す構成ブロック図である。
【図10】攻撃者(アタッカー)の攻撃経路を示す説明図である。
【図11】パケットの記録状況を説明する説明図である。
【図12】パケットログ記録装置の具体例を示す構成ブロック図である。
【図13】取得したパケットの記録方法を説明する説明図である。
【図14】反射攻撃を説明するための従来のパケット経路追跡システムの一例を示す構成ブロック図である。
【図15】反射攻撃の攻撃者(アタッカー)の攻撃経路を示す説明図である。
【図16】パケットの伝播経路の追跡状況を説明する説明図である。
【符号の説明】
1 端末
2,15,19 サーバ
3,4 ISP
5,6,7,8 ルータ
9,10,11,17,18 パケットログ記録装置
12 演算制御手段
13 記憶手段
14 攻撃側端末
16 標的側端末
[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a packet path tracking system that records a packet propagating through a network and tracks the packet propagation path, and more particularly to a packet path tracking system that can track the propagation path of a replay attack packet.
[0002]
[Prior art]
Prior art documents related to a packet path tracking system that records a packet propagating through a conventional network and tracks the packet propagation path include the following.
[0003]
[Patent Document 1]
JP-A-10-164064
[Patent Document 2]
JP 2000-341315 A
[0004]
On the conventional Internet, a DoS attack (Denial of Service attack: hereinafter simply referred to as DoS) is a problem in which packets are continuously transmitted to a target to stop a service provided by the target. Yes.
[0005]
In particular, a DDoS attack (Distributed DoS: hereinafter simply referred to as a DDoS attack) in which a DoS attack is performed on a single target simultaneously from a plurality of points has become a serious problem.
[0006]
For this reason, in order to prevent such a DDoS attack or the like, a packet path tracking system that identifies the source of an illegal packet has been devised.
[0007]
FIG. 9 is a block diagram showing the configuration of an example of such a conventional packet path tracking system. In FIG. 9, 1 is a terminal operated by an attacker (attacker), 2 is a target server for DDoS attacks and the like, 3 and 4 are ISPs (Internet Service Providers: hereinafter simply referred to as ISPs), Reference numerals 5, 6, 7 and 8 denote routers. Reference numerals 9, 10 and 11 denote packet log recording devices for recording information of packets to propagate.
[0008]
The terminal 1 is connected to the ISP 3 via the router 5, and the ISP 3 is connected to the ISP 4 via the router 6 and the router 7. The server 2 is connected to the ISP 4 via the router 8.
[0009]
Further, a packet log recording device 9 is connected to the line between the terminal 1 and the router 5, a packet log recording device 10 is connected to the line between the router 6 and the router 7, and the server 2 and the router 8 The packet log recording device 11 is connected to the line between the two.
[0010]
Here, the operation of the conventional packet path tracking system shown in FIG. 9 will be described with reference to FIGS. FIG. 10 is an explanatory diagram illustrating an attack path of an attacker (attacker), and FIG. 11 is an explanatory diagram illustrating a packet recording state.
[0011]
As shown by “AT01” in FIG. 10, an attacker (attacker) performs a DoS attack or the like from the terminal 1 to the target server 2 via the ISP 3 and ISP 4.
[0012]
On the other hand, the packet log recording devices 9, 10 and 11 acquire packets propagating through the connected lines and sequentially record them in the storage means.
[0013]
For example, as shown by “LG11”, “LG12”, and “LG13” in FIG. 11, the packet log recording devices 9, 10, and 11 acquire illegal packets that propagate due to a DoS attack and sequentially record them in the storage means. .
[0014]
Then, the illegal packet received by the server 2 subjected to the DoS attack or the like is compared with the packets recorded in the packet log recording devices 9, 10, and 11, respectively, and the path through which the illegal packet propagated is specified.
[0015]
For example, since the illegal packet used in the DoS attack or the like shown in FIG. 10 is recorded in the packet log recording devices 9, 10, and 11, the propagation path of the illegal packet as indicated by “AT01” in FIG. 10 is specified. It becomes possible to do.
[0016]
However, in order to sequentially record all information of packets propagated to the monitored line, the storage means requires a huge storage capacity, and therefore a method for efficiently holding packet information has been devised. .
[0017]
FIG. 12 is a block diagram showing a specific example of such a packet log recording apparatus. Reference numeral 12 denotes an arithmetic control unit, and 13 denotes a storage unit.
[0018]
The input from the line that is the observation point is connected to the calculation control means 12, and the output of the calculation control means 12 is connected to the storage means 13.
[0019]
Here, the operation of the packet log recording apparatus shown in FIG. 12 will be described with reference to FIG. FIG. 13 is an explanatory diagram for explaining a method of recording the acquired packet.
[0020]
As shown by “LG21” in FIG. 12, a packet input from a line as an observation point is taken into the arithmetic control means 12, and a portion that is invariant during propagation is extracted from an IP (Internet Protocol) packet.
[0021]
Then, the arithmetic control means 12 converts the extracted information into a hash value using a hash function, regards this hash value as the address of the storage means 13, and sets a specific packet such as setting a bit at the corresponding address. Records that has been propagated.
[0022]
Here, the hash function is a function that generates a fixed-length pseudo-random number (hash value) from the original text, and since this hash function includes an irreversible one-way function, the original text is generated from the generated hash value. It cannot be reproduced. Also, it is extremely difficult to create different data with the same hash value.
[0023]
For example, the arithmetic control unit 12 applies a hash function to a portion that is invariant during propagation extracted from the acquired packet as indicated by “PI31” in FIG. 13, and as indicated by “HV31” in FIG. 13. Assume that a hash value (for example, XXXXH: 16-bit hexadecimal representation) is obtained.
[0024]
In this case, the arithmetic control unit 12 regards the obtained hash value (XXXXH) as the address of the storage unit 13 and writes data to the address “XXXXH” as indicated by “WD31” in FIG.
[0025]
For example, it is recorded that a specific packet has been propagated by changing the data writing method from “00000000B (8-bit data)” to “00000001B” or the like (setting a bit).
[0026]
If a bit is set in the address of the storage means 13 corresponding to the hash value obtained by applying the hash function to an illegal packet received by a server that has received a DoS attack or the like, the illegal packet is recorded in the packet log. This means that the device has propagated through the connected line.
[0027]
As a result, the packet log recording apparatus shown in FIG. 12 does not record all the packet information in the storage means, but records it at the address of the storage means corresponding to the hash value obtained by applying the hash function to a part of the packet. By doing (setting a bit), the storage capacity of the storage means may be small, and packet information can be efficiently held.
[0028]
[Problems to be solved by the invention]
However, in the packet path tracking system using the packet log recording device shown in FIG. 9, if the attack is caused by a reflection attack packet against the target server 2 or the like, the packet propagation path cannot be traced. There was a problem I said.
[0029]
Here, a replay attack packet is an inquiry packet in which the source address is forged to the server serving as a platform, and a response packet is transmitted to the target terminal of the source address for which the platform server is forged. As a result, a DoS attack or the like is substantially performed on the target terminal.
[0030]
FIG. 14 is a configuration block diagram showing an example of a conventional packet path tracking system for explaining such a replay attack. In FIG. 14, 14 is an attack side terminal, 15 is a server serving as a platform, 16 is a target side terminal that is a propagation path analysis device, and 17 and 18 are packet log recording devices that record information of packets to be propagated.
[0031]
The attacking side terminal 14 is connected to the server 15 via a network or the like, and the target side terminal 16 is also connected to the server 15 via a network or the like. A packet log recording device 17 is connected to the line between the attacking side terminal 14 and the server 15, and a packet log recording device 18 is connected to the line between the server 15 and the target side terminal 16.
[0032]
The basic configuration of the packet log recording devices 17 and 18 is the same as that of the conventional packet log recording device shown in FIG.
[0033]
Here, the operation of the conventional packet path tracking system shown in FIG. 14 will be described with reference to FIGS. FIG. 15 is an explanatory diagram showing an attack path of an attacker (attacker) in a replay attack, and FIG.
[0034]
The attacking terminal 14 replaces its source address (source IP address) with the IP address of the target terminal 16 (forged) as shown in “PC 41” in FIG. Send.
[0035]
At this time, the packet whose source address indicated by “PC 41” in FIG. 15 is forged is recorded in the packet log recording device 17 as well.
[0036]
On the other hand, the server 15 that has received the inquiry packet indicated by “PC 41” in FIG. 15 attempts to generate a reply packet to the inquiry and transmit it to the attacking terminal 14 that is the transmission source.
[0037]
However, since the source address is forged in the inquiry packet indicated by “PC41” in FIG. 15, the server 15 that does not recognize the forgery is described in the inquiry packet indicated by “PC41” in FIG. An answer packet such as “PC42” in FIG. 15 is transmitted to the target terminal 16 having the source address.
[0038]
At this time, the reply packet indicated by “PC 42” in FIG. 15 is recorded in the packet log recording device 18 as a matter of course.
[0039]
Then, the target side terminal 16 which is the propagation path analyzing device that has received the illegal packet as shown by “PC42” in FIG. 15 receives the received illegal packet and the packet recorded in the packet log recording devices 17 and 18, respectively. The route through which the illegal packet is propagated is identified by comparison.
[0040]
For example, since an illegal packet used for the DoS attack indicated by “PC42” in FIG. 15 is recorded in the packet log recording device 18, the illegal packet propagation path as indicated by “TR51” in FIG. Can be identified.
[0041]
However, the packet log recording device 17 does not record the illegal packet received by the target terminal 16 and used for the DoS attack indicated by “PC 42” in FIG. 15 (the packet indicated by “PC 41” in FIG. 15). Therefore, it is impossible to specify an illegal packet propagation path as indicated by “TR52” in FIG.
[0042]
  That is, in the replay attack, the server that is used as a platform can be reached by tracing the propagation path of the received illegal packet, but the propagation path to the attacking terminal cannot be traced.
Therefore, the problem to be solved by the present invention isBased on the response packet, it is possible to trace not only the route to the server that became the stepping stone but also the propagation route to the attacking terminalIt is to realize a packet path tracking system.
[0043]
[Means for Solving the Problems]
  In order to achieve such a problem, the invention according to claim 1 of the present invention is:
  In a packet path tracking system that records packets propagating through a network and tracks packet propagation paths,
  When there are a plurality of packet log recording devices that record packets propagating through a plurality of observation points of the network and a propagation path tracking request from a target side terminal that has received an illegal reply packet, the plurality of packet log recording devices are searched. And specifying the propagation path of the reply packet,A query packet dependent portion is extracted from the detected reply packet to estimate the format of the query packet, and then a plurality of packet log recording devices are searched to identify the estimated propagation path of the query packet.By having a propagation path analysis device,Based on the response packet, it is possible to trace not only the route to the server that has become a stepping stone but also the propagation route to the attacking terminal.
[0045]
  The invention according to claim 2
  In a packet path tracking system that records packets propagating through a network and tracks packet propagation paths,
  When a plurality of packet log recording devices that record packets propagating through a plurality of observation points of the network and an illegal answer packet are received, the plurality of packet log recording devices are searched to identify the propagation path of the answer packet In addition, a query packet dependent portion is extracted from the detected response packet to estimate the format of the query packet, and then a plurality of packet log recording devices are searched to identify a propagation path of the estimated query packet. With route analyzerBy havingBased on the response packet, it is possible to trace not only the route to the server that has become a stepping stone but also the propagation route to the attacking terminal.
[0047]
  The invention described in claim 3
  Invention of Claim 1 or Claim 2In the packet path tracking system,
  The packet log recording device comprises:
  A storage unit that records information of the inquiry packet or the reply packet; and the inquiry packet or the reply packet that propagates through one of the plurality of observation points is captured and all information is written to the storage unit, and the propagation path analyzer By being configured with arithmetic control means for tracing the propagation path of the inquiry packet or the reply packet by control,Based on the response packet, it is possible to trace not only the route to the server that has become a stepping stone but also the propagation route to the attacking terminal.
[0048]
  The invention described in claim 4
  Invention of Claim 3In the packet path tracking system,
  The propagation path analyzer is
If the inquiry packet dependence part matches among the information recorded in the storage means of the packet log recording device, it is determined that the estimated inquiry packet is recorded in the packet log recording device. ByBased on the response packet, it is possible to trace not only the route to the server that has become a stepping stone but also the propagation route to the attacking terminal.
[0049]
  The invention according to claim 5
  Invention of Claim 1 or Claim 2In the packet path tracking system,
  The packet log recording device comprises:
  Storage means for recording information of the inquiry packet or the answer packet; and taking the inquiry packet or the answer packet propagating through one of the plurality of observation points; From the arithmetic control means which regards the obtained hash value as the address of the storage means and writes data as the information to the address and traces the propagation path of the inquiry packet or the reply packet under the control of the propagation path analyzer By being configured,Based on the response packet, it is possible to trace not only the route to the server that has become a stepping stone but also the propagation route to the attacking terminal.
[0050]
  The invention described in claim 6
  Invention of Claim 5In the packet path tracking system,
  The propagation path analyzer is
  By determining that the estimated original packet is recorded in the packet log recording device if there is a record at the address of the storage means corresponding to the hash value obtained by applying a hash function to the inquiry packet dependent part ,Based on the response packet, it is possible to trace not only the route to the server that has become a stepping stone but also the propagation route to the attacking terminal.
[0051]
  The invention described in claim 7
  The invention according to any one of claims 1 to 6In the packet path tracking system,
  The inquiry packet or the answer packet is
  By being a packet used in ICMP,Based on the response packet, it is possible to trace not only the route to the server that has become a stepping stone but also the propagation route to the attacking terminal.
[0052]
  The invention described in claim 8
  Invention of Claim 7In the packet path tracking system,
  The inquiry packet or the answer packet is
  By being a packet of the ping command implemented using the ICMP echo command,Based on the response packet, it is possible to trace not only the route to the server that has become a stepping stone but also the propagation route to the attacking terminal.
[0053]
  The invention according to claim 9
  The invention according to any one of claims 1 to 6In the packet path tracking system,
  The inquiry packet or the answer packet is
  By being a packet used in UDP,Based on the response packet, it is possible to trace not only the route to the server that has become a stepping stone but also the propagation route to the attacking terminal.
[0054]
  The invention according to claim 10 is:
  The invention according to any one of claims 1 to 6In the packet path tracking system,
  The inquiry packet or the answer packet is
  By being a packet used in TCP,Based on the response packet, it is possible to trace not only the route to the server that has become a stepping stone but also the propagation route to the attacking terminal.
[0055]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, the present invention will be described in detail with reference to the drawings. FIG. 1 is a block diagram showing the configuration of an embodiment of a packet path tracking system according to the present invention. In FIG. 1, reference numerals 14, 16, 17 and 18 are assigned the same reference numerals as those in FIG.
[0056]
The attacking terminal 14 is connected to the server 19 via a network or the like, and the target terminal 16 is also connected to the server 19 via a network or the like. A packet log recording device 17 is connected to the line between the attack side terminal 14 and the server 19, and a packet log recording device 18 is connected to the line between the server 19 and the target side terminal 16.
[0057]
Here, the operation of the embodiment shown in FIG. 1 will be described with reference to FIGS. 2, 3, 4, 5, 6, 7 and 8.
[0058]
FIG. 2 is an explanatory diagram showing an attack path of an attacker (attacker) of a replay attack, FIG. 3 is a flow diagram for explaining the operation of tracing a propagation path of a replay attack packet by the server 19, and FIGS. FIG. 6 is an explanatory diagram illustrating an example of a configuration of a reflection attack packet, and FIG. 7 is an explanatory diagram illustrating a relationship between the reflection attack packet and the original packet. .
[0059]
The attacking terminal 14 replaces (forges) its own source address (source IP address) as shown by “PC 61” in FIG. 2 with the IP address of the target terminal 16 (hereinafter referred to as the original packet). .) Is transmitted to the server 19 as a springboard.
[0060]
At this time, the original packet indicated by “PC 61” in FIG. 2 is recorded in the packet log recording device 17 as a matter of course.
[0061]
On the other hand, the server 19 that has received the original packet indicated by “PC 61” in FIG. 2 attempts to generate a reply packet to the inquiry and transmit it to the attacking terminal 14 that is the transmission source.
[0062]
However, since the source address is forged in the original packet indicated by “PC 61” in FIG. 2, the server 19 that does not recognize the forgery has the source address described in the original packet indicated by “PC 61” in FIG. An answer packet (hereinafter referred to as a replay attack packet) as shown by “PC 62” in FIG.
[0063]
At this time, the replay attack packet indicated by “PC 62” in FIG. 2 is recorded in the packet log recording device 18 as a matter of course.
[0064]
Then, the target terminal 16 that has received the illegal replay attack packet as indicated by “PC 62” in FIG. 2 records the replay attack packet received as described in the conventional example and the packet log recording devices 17 and 18, respectively. The route that the reflection attack packet propagated is identified by comparing the received packets.
[0065]
For example, since the replay attack packet indicated by “PC 62” in FIG. 2 is recorded in the packet log recording device 18, the target side terminal 16 can specify the propagation path of the replay attack packet to the server 19 that has been stepped on. .
[0066]
However, since the target side terminal 16 cannot specify the propagation path of the reflection attack packet any more, it requests the server 19 placed on the platform to track the propagation path of the reflection attack packet.
[0067]
In “S001” in FIG. 3, the server 19 determines whether or not there is a request for tracking the propagation path of the reflection attack packet from the target side terminal 16 as described above, and if there is such a request, “S002” in FIG. The packet log recording devices 17 and 18 are searched.
[0068]
For example, the server 19 searches the recorded contents of the packet log recording devices 17 and 18 as indicated by “SR71” and “SR72” in FIG. 4 using the reflection attack packet.
[0069]
Then, in “S003” in FIG. 3, the server 19 determines whether or not a reflection attack packet is recorded in the packet log recording device.
[0070]
For example, it is determined whether or not a replay attack packet is recorded in the packet log recording device 18 as indicated by “RP81” in FIG.
[0071]
If a replay attack packet is recorded in “S003” in FIG. 3, in other words, if a replay attack packet is detected, the server 19 is clearly attacking the target terminal 16 itself. 3 "S004", the server 19 specifies the propagation path of the reflection attack packet.
[0072]
Then, in “S005” in FIG. 3, the server 19 extracts the original packet dependence portion from the detected replay attack packet and estimates the format of the original packet.
[0073]
For example, “PC91” in FIG. 6 is realized by using the Internet Control Message Protocol (ICMP) echo command, which is the most basic command used to check whether or not an IP packet reaches the communication destination in the network. This is an example of a reply packet (corresponding to a reflection attack packet) transmitted in the “ping command” that is performed.
[0074]
Such packets are classified into parts such as “IP header”, “ICMP header”, and “ICMP data” shown in “IPH91”, “ICH91” and “ICD91” in FIG. 6, and each part has a destination address. And various information necessary for executing a “ping command” such as a transmission source address.
[0075]
Each information in such a reply packet (corresponding to a reflection attack packet) is determined depending on information of an inquiry packet (corresponding to an original packet) (hereinafter referred to as dependency information) and an inquiry packet ( Information (hereinafter referred to as non-dependent information) determined completely independently of the original packet).
[0076]
For example, “PC61” and “PC62” in FIG. 7 show examples of the original packet and the replay attack packet in FIG. 2, respectively, and “IPH101” and “IPH102” in FIG. "ICH101" and "ICH102" in FIG. 7 are "ICMP headers" of the original packet and reflection attack packet, and "ICCD101" and "IC102" in FIG. 7 are "ICMP data" of the original packet and reflection attack packet, respectively. Show.
[0077]
In FIG. 7, “FD101”, “FD102”, “FD103”, and “FD104”, which are each information in the replay attack packet, are dependency information, and the other portions are independent information.
[0078]
That is, the dependency information shown in “FD101”, “FD102”, “FD103”, and “FD104” in FIG. 7 is “FD105”, “FD106”, “FD107”, and “FD” in FIG. Information is determined based on the FD 108 ″.
[0079]
In other words, only the dependency information in the replay attack packet indicated by “FD101”, “FD102”, “FD103”, and “FD104” in FIG. 7 is the only information common to the original packet.
[0080]
For this reason, the part of the dependency information shown in “FD101”, “FD102”, “FD103”, and “FD104” in FIG. 7 is estimated to be the same as the original packet, and the part of the nondependent information is masked to form a new packet. Thus, the original packet dependent portion is extracted from the reflection attack packet, and the format of the original packet can be estimated.
[0081]
Specifically, for example, in the “IP header”, dependency information such as “Version”, “IHL”, “Total Length”, “Protocol” is used as it is as the original packet, and “Source Address” and “Destination Address” The dependency information such as "" is used as an original packet by exchanging with each other.
[0082]
Similarly, for example, in the “ICMP header”, dependency information such as “Code”, “Identifier”, and “Sequence Number” is used as it is as the original packet, and dependency information such as “ICMP data” is also used as it is in the original packet. Used as
[0083]
Then, in “S006” in FIG. 3, the server 19 searches the packet log recording devices 17 and 18, and in “S007” in FIG. 3, the server 19 stores the original packet in the estimated format in the packet log recording device. Determine whether it is recorded.
[0084]
For example, the server 19 searches the recorded contents of the packet log recording devices 17 and 18 as indicated by “SR71” and “SR72” in FIG. 4 using the original packet of the estimated format, and displays “SP111” in FIG. As shown, it is determined whether or not the original packet of the estimated format is recorded in the packet log recording device 17.
[0085]
That is, in the information recorded in the packet log recording device, even if the estimated original packet non-dependence information does not match, the estimated original packet is recorded in the packet log recording device if the dependency information matches. Judge that it has been.
[0086]
On the other hand, when information is recorded in the packet log recording device by a method of recording (setting a bit) at the address of the storage unit corresponding to the hash value, a hash function is added to the dependency information in the estimated original packet. If there is a record at the address of the storage means corresponding to the hash value obtained by application (if a bit is set), it is determined that the estimated original packet is recorded in the packet log recording device.
[0087]
If the original packet of the format estimated in “S007” in FIG. 3 is recorded, in other words, if the original packet of the estimated format is detected, the server 19 in “S008” in FIG. Identify the propagation path.
[0088]
As a result, when there is a propagation path tracking request from the target terminal 16, the server 19 that has become a stepping stone searches the packet log recording device to identify the propagation path of the replay attack packet (answer packet) and is detected. The original packet (inquiry packet) estimated by searching the packet log recorder after extracting the original packet (inquiry packet) dependent part from the replay attack packet (answer packet) and estimating the format of the original packet (inquiry packet) By specifying the propagation path, it is possible to trace the propagation path of the replay attack packet.
[0089]
In the description of the embodiment shown in FIG. 1, the packet log recording apparatus corresponds to the hash value obtained by extracting the packet dependency information and applying the hash function in order to reduce the storage capacity of the storage means. There is a need to record (set a bit) at the address of the storage means.
[0090]
However, when all the packet information propagated by the packet log recording device is recorded in the storage means, there is no need to extract the dependency information in the packet as described above.
[0091]
Further, in the description of the embodiment shown in FIG. 1, the target terminal 16 requests the tracking of the propagation path of the replay attack packet by using the server 19 that has been used as a step when the propagation path of the replay attack packet cannot be specified. Of course, since the possibility of a replay attack can be estimated when the propagation path of the replay attack packet cannot be specified, the target side terminal 16 itself can be estimated from the replay attack packet detected as the propagation path analysis device. The packet dependence part may be extracted to estimate the format of the original packet, and the packet log recording device may be searched to identify the propagation path of the original packet.
[0092]
Further, in the description of the embodiment shown in FIG. 1, a packet of a “ping command” realized by using the ICMP (Internet Control Message Protocol) echo command is illustrated, but of course, it is not limited to this. Even if it is another packet used in ICMP (Destination Unreachable Message, Time Exceeded Message, Parameter Problem Message, Source Quench Message, Redirect Message, etc.), the dependent information part is assumed to be the same as the original packet and is not dependent By masking the information portion to obtain a new packet, the original packet dependent portion is extracted from the replay attack packet, and the format of the original packet can be estimated.
[0093]
Furthermore, even for packets used in TCP (Transmission Control Protocol), packets used in UDP (User Datagram Protocol), etc., the dependency information part is estimated to be the same as the original packet, and the non-dependent information part is masked. By using the new packet, the original packet dependent portion is extracted from the replay attack packet, and the format of the original packet can be estimated.
[0094]
【The invention's effect】
  As is apparent from the above description, the present invention has the following effects.
  According to the inventions of claims 1, 2, 3, 4, 5, 6, 7, 8, 9 and claim 10,When there is a propagation path tracking request from the target side terminal, the server that became the step or the target side terminal searches the packet log recording device, and the reflection attack packet(Answer packet)Redirect attack packets detected along with the propagation path of(Answer packet)The original packet (inquiry packet) dependent part is extracted from the original packet (inquiry packet), the format of the original packet (inquiry packet) is estimated, the packet log recording device is searched, and the propagation path of the estimated original packet (inquiry packet) is specified. ByBased on the response packet, it is possible to trace not only the route to the server that has become a stepping stone but also the propagation route to the attacking terminal.
[Brief description of the drawings]
FIG. 1 is a configuration block diagram showing an embodiment of a packet path tracking system according to the present invention.
FIG. 2 is an explanatory diagram showing an attack path of an attacker (attacker) in a replay attack.
FIG. 3 is a flowchart for explaining a tracking operation of a propagation path of a reflection attack packet of a server.
FIG. 4 is an explanatory diagram for explaining a tracking operation of a propagation path of a reflection attack packet of a server.
FIG. 5 is an explanatory diagram for explaining a tracing operation of a propagation path of a reflection attack packet of a server.
FIG. 6 is an explanatory diagram showing an example of a configuration of a reflection attack packet.
FIG. 7 is an explanatory diagram illustrating a relationship between a reflection attack packet and an original packet.
FIG. 8 is an explanatory diagram for explaining a tracking operation of a propagation path of a reflection attack packet of a server.
FIG. 9 is a configuration block diagram showing an example of a conventional packet path tracking system.
FIG. 10 is an explanatory diagram showing an attack path of an attacker (attacker).
FIG. 11 is an explanatory diagram for explaining a packet recording state;
FIG. 12 is a configuration block diagram showing a specific example of a packet log recording apparatus.
FIG. 13 is an explanatory diagram illustrating a method for recording acquired packets.
FIG. 14 is a configuration block diagram showing an example of a conventional packet path tracking system for explaining a replay attack.
FIG. 15 is an explanatory diagram showing an attack path of an attacker (attacker) in a replay attack.
FIG. 16 is an explanatory diagram for explaining a tracking situation of a packet propagation path;
[Explanation of symbols]
1 terminal
2,15,19 servers
3,4 ISP
5, 6, 7, 8 routers
9, 10, 11, 17, 18 Packet log recording device
12 Calculation control means
13 Storage means
14 Attacking terminal
16 Target terminal

Claims (10)

ネットワークを伝播するパケットを記録してパケットの伝播経路を追跡するパケット経路追跡システムにおいて、
ネットワークの複数の観測点を伝播するパケットを記録する複数のパケットログ記録装置と、
不正な回答パケットを受信した標的側端末から伝播経路追跡依頼があった場合、複数の前記パケットログ記録装置を検索して前記回答パケットの伝播経路を特定すると共に、検出された前記回答パケットから問合せパケット依存部分を抽出して問合せパケットの形式を推定した上で複数の前記パケットログ記録装置を検索して推定された前記問合せパケットの伝播経路を特定する伝播経路解析装置と
を備えたことを特徴とするパケット経路追跡システム。
In a packet path tracking system that records packets propagating through a network and tracks packet propagation paths,
A plurality of packet log recording devices for recording packets propagating through a plurality of observation points of the network;
When there is a propagation path tracking request from the target terminal that has received the illegal reply packet, the plurality of packet log recording devices are searched to identify the propagation path of the reply packet, and an inquiry is made from the detected reply packet. And a propagation path analysis device that searches a plurality of the packet log recording devices after extracting a packet-dependent portion to estimate the format of the inquiry packet and identifies the estimated propagation route of the inquiry packet. And packet path tracking system.
ネットワークを伝播するパケットを記録してパケットの伝播経路を追跡するパケット経路追跡システムにおいて、In a packet path tracking system that records packets propagating through a network and tracks packet propagation paths,
ネットワークの複数の観測点を伝播するパケットを記録する複数のパケットログ記録装置と、A plurality of packet log recording devices for recording packets propagating through a plurality of observation points of the network;
不正な回答パケットを受信した場合、複数の前記パケットログ記録装置を検索して前記回答パケットの伝播経路を特定すると共に、検出された前記回答パケットから問合せパケット依存部分を抽出して問合せパケットの形式を推定した上で複数の前記パケットログ記録装置を検索して推定された前記問合せパケットの伝播経路を特定する伝播経路解析装置とWhen an illegal answer packet is received, a plurality of the packet log recording devices are searched to identify a propagation path of the answer packet, and an inquiry packet dependent portion is extracted from the detected answer packet to obtain a format of the inquiry packet A propagation path analysis device for identifying a propagation path of the inquiry packet estimated by searching a plurality of the packet log recording devices after estimating
を備えたことを特徴とするパケット経路追跡システム。A packet path tracking system comprising:
前記パケットログ記録装置が、The packet log recording device comprises:
前記問合せパケット若しくは前記回答パケットの情報を記録する記憶手段と、Storage means for recording information of the inquiry packet or the reply packet;
複数の前記観測点の一を伝播する前記問合せパケット若しくは前記回答パケットを取り込み全ての情報を記憶手段に書き込むと共に前記伝播経路解析装置の制御により前記問合せパケット若しくは前記回答パケットの伝播経路のトレースを行う演算制御手段とThe inquiry packet or the answer packet propagating through one of the plurality of observation points is captured and all information is written in the storage means, and the propagation path of the inquiry packet or the answer packet is traced under the control of the propagation path analyzer. Arithmetic control means
から構成されたことを特徴とするIt is composed of
請求項1若しくは請求項2記載のパケット経路追跡システム。The packet path tracking system according to claim 1 or 2.
前記伝播経路解析装置が、The propagation path analyzer is
前記パケットログ記録装置の前記記憶手段に記録されている前記情報の内、前記問合せパケット依存部分が一致していれば推定された前記問合せパケットが前記パケットログ記録装置に記録されているものと判断することを特徴とするIf the inquiry packet dependent portion of the information recorded in the storage means of the packet log recording device matches, it is determined that the estimated inquiry packet is recorded in the packet log recording device. It is characterized by
請求項3記載のパケット経路追跡システム。The packet path tracking system according to claim 3.
前記パケットログ記録装置が、The packet log recording device comprises:
前記問合せパケット若しくは前記回答パケットの情報を記録する記憶手段と、Storage means for recording information of the inquiry packet or the reply packet;
複数の前記観測点の一を伝播する前記問合せパケット若しくは前記回答パケットを取り込み問合せパケット依存部分を抽出してハッシュ関数を適用し、得られたハッシュ値を前記記憶手段のアドレスとみなしてこのアドレスに前記情報としてデータを書き込むと共に前記伝播経路解析装置の制御により前記問合せパケット若しくは前記回答パケットの伝播経路のトレースを行う演算制御手段とThe query packet or the answer packet propagating through one of the observation points is extracted, a query packet dependent part is extracted, a hash function is applied, and the obtained hash value is regarded as the address of the storage means, Arithmetic control means for writing data as the information and tracing the propagation path of the inquiry packet or the reply packet under the control of the propagation path analyzer;
から構成されたことを特徴とするIt is composed of
請求項1若しくは請求項2記載のパケット経路追跡システム。The packet path tracking system according to claim 1 or 2.
前記伝播経路解析装置が、The propagation path analyzer is
前記問合せパケット依存部分にハッシュ関数を適用して得られたハッシュ値に対応するCorresponds to the hash value obtained by applying a hash function to the query packet dependent part 記憶手段のアドレスに記録があれば推定された元パケットがパケットログ記録装置に記録されているものと判断することを特徴とするIf there is a record at the address of the storage means, it is determined that the estimated original packet is recorded in the packet log recording device
請求項5記載のパケット経路追跡システム。The packet path tracking system according to claim 5.
前記問合せパケット若しくは前記回答パケットが、The inquiry packet or the answer packet is
ICMPで用いられるパケットであることを特徴とするIt is a packet used in ICMP
請求項1乃至請求項6のいずれかに記載のパケット経路追跡システム。The packet path tracking system according to any one of claims 1 to 6.
前記問合せパケット若しくは前記回答パケットが、The inquiry packet or the answer packet is
ICMPのechoコマンドを使って実現されているpingコマンドのパケットであることを特徴とするIt is a packet of a ping command implemented using the ICMP echo command.
請求項7記載のパケット経路追跡システム。The packet path tracking system according to claim 7.
前記問合せパケット若しくは前記回答パケットが、The inquiry packet or the answer packet is
UDPで用いられるパケットであることを特徴とするIt is a packet used in UDP
請求項1乃至請求項6のいずれかに記載のパケット経路追跡システム。The packet path tracking system according to any one of claims 1 to 6.
前記問合せパケット若しくは前記回答パケットが、
TCPで用いられるパケットであることを特徴とする
請求項1乃至請求項6のいずれかに記載のパケット経路追跡システム
The inquiry packet or the answer packet is
It is a packet used in TCP
The packet path tracking system according to any one of claims 1 to 6 .
JP2002367422A 2002-12-19 2002-12-19 Packet path tracking system Expired - Lifetime JP3889701B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002367422A JP3889701B2 (en) 2002-12-19 2002-12-19 Packet path tracking system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002367422A JP3889701B2 (en) 2002-12-19 2002-12-19 Packet path tracking system

Publications (2)

Publication Number Publication Date
JP2004201042A JP2004201042A (en) 2004-07-15
JP3889701B2 true JP3889701B2 (en) 2007-03-07

Family

ID=32764311

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002367422A Expired - Lifetime JP3889701B2 (en) 2002-12-19 2002-12-19 Packet path tracking system

Country Status (1)

Country Link
JP (1) JP3889701B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109617728A (en) * 2018-12-14 2019-04-12 中国电子科技网络信息安全有限公司 A distributed IP-level network topology detection method based on multi-protocol

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6740191B2 (en) * 2017-08-04 2020-08-12 日本電信電話株式会社 Attack response system and attack response method

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109617728A (en) * 2018-12-14 2019-04-12 中国电子科技网络信息安全有限公司 A distributed IP-level network topology detection method based on multi-protocol

Also Published As

Publication number Publication date
JP2004201042A (en) 2004-07-15

Similar Documents

Publication Publication Date Title
Chatzoglou et al. Revisiting QUIC attacks: a comprehensive review on QUIC security and a hands-on study: E. Chatzoglou et al.
Gong et al. Website detection using remote traffic analysis
CN110808879B (en) A protocol identification method, apparatus, device and readable storage medium
US8904524B1 (en) Detection of fast flux networks
US8510436B2 (en) Utilizing captured IP packets to determine operations performed on packets by a network device
Skowyra et al. Have no phear: Networks without identifiers
US10264004B2 (en) System and method for connection fingerprint generation and stepping-stone traceback based on netflow
JP5119059B2 (en) Information processing apparatus, information processing system, program, and recording medium
CN114449064A (en) Application identification method and device for TLS encrypted traffic and application identification equipment
KR100439170B1 (en) Attacker traceback method by using edge router's log information in the internet
KR102149531B1 (en) Method for connection fingerprint generation and traceback based on netflow
JP3889701B2 (en) Packet path tracking system
KR101081433B1 (en) Backtracking Method of Attack Packet in IP6-based Network and Its Recording Media
Carrier et al. A recursive session token protocol for use in computer forensics and tcp traceback
CN111988421B (en) Method and system for recording DDoS attack log abstract based on block chain
JP5116578B2 (en) Information processing apparatus, information processing system, program, and recording medium
Carrier et al. The session token protocol for forensics and traceback
JP3832412B2 (en) Packet path tracking system
JP4167866B2 (en) Data transmission method, data transmission system, and data transmission apparatus
JP4135094B2 (en) Packet path tracking system
JP3826399B2 (en) Packet log recording device
Schwartzenberg Using machine learning techniques for advanced passive operating system fingerprinting
JP5116577B2 (en) Information processing apparatus, information processing system, program, and recording medium
JP2003298648A (en) Packet log recording device
JP4203809B2 (en) Packet log recording device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20041122

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060706

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060724

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060831

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20061120

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20061130

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 3889701

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091208

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101208

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101208

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111208

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121208

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131208

Year of fee payment: 7

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term