Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP4135094B2 - Packet path tracking system - Google Patents
[go: Go Back, main page]

JP4135094B2 - Packet path tracking system - Google Patents

Packet path tracking system Download PDF

Info

Publication number
JP4135094B2
JP4135094B2 JP2003398476A JP2003398476A JP4135094B2 JP 4135094 B2 JP4135094 B2 JP 4135094B2 JP 2003398476 A JP2003398476 A JP 2003398476A JP 2003398476 A JP2003398476 A JP 2003398476A JP 4135094 B2 JP4135094 B2 JP 4135094B2
Authority
JP
Japan
Prior art keywords
packet
cause
path
application server
path tracking
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003398476A
Other languages
Japanese (ja)
Other versions
JP2005159936A (en
Inventor
浩志 星野
誠 新美
俊輔 馬場
貴志 田中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yokogawa Electric Corp
Original Assignee
Yokogawa Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yokogawa Electric Corp filed Critical Yokogawa Electric Corp
Priority to JP2003398476A priority Critical patent/JP4135094B2/en
Publication of JP2005159936A publication Critical patent/JP2005159936A/en
Application granted granted Critical
Publication of JP4135094B2 publication Critical patent/JP4135094B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ネットワークを伝播するパケットの伝播経路を追跡するパケット経路追跡システムに関し、特にアプリケーションサーバを介した通信であっても発信元のIP(Internet Protocol)アドレスが詐称されたパケットの伝播経路の追跡が可能なパケット経路追跡システムに関する。   The present invention relates to a packet path tracking system for tracking a propagation path of a packet propagating through a network, and in particular, a packet propagation path in which a source IP (Internet Protocol) address is spoofed even in communication via an application server. The present invention relates to a packet path tracking system capable of tracking.

従来のネットワークを伝播するパケットを記録してパケットの伝播経路を追跡するパケット経路追跡システムに関連する先行技術文献としては次のようなものがある。   Prior art documents related to a packet path tracking system that records a packet propagating through a conventional network and tracks the packet propagation path include the following.

特開2003−264553号公報JP 2003-264553 A 特開2003−298648号公報JP 2003-298648 A 特開2003−298651号公報JP 2003-298651 A 特開2003−298652号公報Japanese Patent Laid-Open No. 2003-298652

図10はこのような従来のパケット経路追跡システムの一例を示す構成ブロック図である。図10において1は攻撃者が操作する攻撃側端末、2及び3はアプリケーションサービスを提供するアプリケーションサーバ、4は攻撃対象となる標的側端末、5は取得したIP(Internet Protocol)パケットのパケット情報に基づき攻撃パケットの経路追跡を行うパケット経路追跡手段、6はアプリケーションのセッション情報に基づき経路を追跡するアプリケーション経路追跡手段である。   FIG. 10 is a block diagram showing the configuration of an example of such a conventional packet path tracking system. In FIG. 10, 1 is an attacking terminal operated by an attacker, 2 and 3 are application servers that provide application services, 4 is a target terminal to be attacked, and 5 is packet information of an acquired IP (Internet Protocol) packet. A packet route tracking means for tracking the path of the attack packet based on the above, and an application route tracking means for tracking the route based on the session information of the application.

攻撃側端末1はネットワークを介してアプリケーションサーバ2に接続され、標的側端末4もまたネットワークを介してアプリケーションサーバ3に接続される。アプリケーションサーバ2及び3はアプリケーションをネットワークを介してアプリケーションサービスを提供するために相互に連携して動作する。   The attacking terminal 1 is connected to the application server 2 via the network, and the target terminal 4 is also connected to the application server 3 via the network. The application servers 2 and 3 operate in cooperation with each other in order to provide application services via the network.

また、パケット経路追跡手段5はアプリケーションサーバ3と標的側端末4との間のIPパケットの経路追跡を行い、アプリケーション経路追跡手段6はアプリケーションサーバ2及び3との間の経路追跡を行う。   The packet path tracking unit 5 tracks the path of the IP packet between the application server 3 and the target terminal 4, and the application path tracking unit 6 performs the path tracking between the application servers 2 and 3.

まず第1に、攻撃側端末1からの攻撃パケットの送信手順に関して説明する。攻撃側端末1は図10中”PK01”や”PK02”に示すようなアプリケーションサーバ2を誤動作等させて標的側端末4に攻撃パケットを送信させるようなパケットを送信元のIPアドレスを詐称して送信する。   First, a procedure for transmitting an attack packet from the attacking terminal 1 will be described. The attacking terminal 1 misrepresents the IP address of the transmission source by causing the application server 2 such as “PK01” or “PK02” in FIG. Send.

図10中”PK01”及び”PK02”に示すようなパケットを受信したアプリケーションサーバ2は図10中”SE01”に示すように攻撃パケットの送信をアプリケーションサーバ3に依頼する。   The application server 2 that has received the packets indicated by “PK01” and “PK02” in FIG. 10 requests the application server 3 to transmit an attack packet as indicated by “SE01” in FIG.

そして、攻撃パケットの送信の依頼を受けたアプリケーションサーバ3は標的側端末4に対して図10中”PK03”に示すような攻撃パケットを送信する。   Then, the application server 3 that has received the request for transmission of the attack packet transmits an attack packet as indicated by “PK03” in FIG.

ここで、このような攻撃を受けた場合の従来例の動作を図11、図12、図13及び図14を用いて説明する。図11はパケット経路の追跡手順を説明するフロー図、図12、図13及び図14は情報等の流れを説明する説明図である。   Here, the operation of the conventional example in the case of such an attack will be described with reference to FIGS. 11, 12, 13, and 14. FIG. FIG. 11 is a flowchart for explaining the packet path tracking procedure, and FIGS. 12, 13 and 14 are diagrams for explaining the flow of information and the like.

図11中”S001”において標的側端末4は図10中”PK03”に示すような攻撃パケットを受信したか否かを判断し、もし、攻撃パケットを受信した場合には、図11中”S002”においてパケット経路追跡手段5は、図12中”GP11”に示すように受信した攻撃パケットを取得し、取得した攻撃パケットに基づき攻撃パケットの伝播経路を追跡する。   In “S001” in FIG. 11, the target-side terminal 4 determines whether or not an attack packet as indicated by “PK03” in FIG. 10 has been received, and if an attack packet is received, “S002” in FIG. In FIG. 12, the packet path tracking unit 5 acquires the received attack packet as indicated by “GP11” in FIG. 12, and tracks the propagation path of the attack packet based on the acquired attack packet.

このような、IPパケットに基づく伝播経路の追跡方法の具体的な一例としては、本願出願人の出願に係る「特願2002−367422」に記載されている。   A specific example of such a propagation path tracking method based on an IP packet is described in “Japanese Patent Application No. 2002-367422” according to the application of the present applicant.

すなわち、ネットワークの複数の観測点を伝播するパケットを記録するパケットログ記録装置を配置しておき、踏み台となったサーバ等から攻撃パケットを受信した場合に、前記パケットログ記録装置を検索して攻撃パケットの伝播経路を特定すると共に、検出された攻撃パケットから元パケット依存部分を抽出して元パケットの形式を推定した上でパケットログ記録装置を検索して推定された元パケットの伝播経路を特定することにより、発信元のIPアドレスを詐称したIPパケットであっても伝播経路の追跡が可能になる。   That is, a packet log recording device that records packets propagating through a plurality of observation points of the network is arranged, and when an attack packet is received from a server that has become a stepping stone, the packet log recording device is searched to attack Identify the packet propagation path and extract the original packet dependency from the detected attack packet to estimate the format of the original packet and then search the packet logging device to identify the estimated propagation path of the original packet. By doing so, it is possible to trace the propagation path even for an IP packet in which the source IP address is spoofed.

そして、図11中”S003”においてパケット経路追跡手段5は、図12中”TB11”に示すように攻撃パケットを送信した送信元であるアプリケーションサーバ3を特定したか否かを判断する。   Then, in “S003” in FIG. 11, the packet path tracking unit 5 determines whether or not the application server 3 that is the transmission source that has transmitted the attack packet is identified, as indicated by “TB11” in FIG.

但し、実際に図10中”PK03”に示すような攻撃パケットを送信したのは送信元のアプリケーションサーバ3そのものであるので、発信元のIPアドレスを詐称されたIPパケットの経路追跡が可能なパケット経路追跡手段5であってもこれ以上の経路追跡は不可能である。   However, since it is the transmission source application server 3 itself that actually transmitted the attack packet as shown by “PK03” in FIG. 10, a packet that can trace the route of the IP packet in which the source IP address is spoofed. Even the route tracking means 5 cannot further track the route.

このため、図11中”S003”において送信元(アプリケーションサーバ3)を特定したと判断した場合には、図11中”S004”においてアプリケーション経路追跡手段6は、図13中”SI21”に示すように標的端末4が有するアプリケーションのセッション情報を取得する。   Therefore, if it is determined that the transmission source (application server 3) is specified in “S003” in FIG. 11, the application route tracking means 6 in “S004” in FIG. Session information of the application possessed by the target terminal 4 is acquired.

そして、図11中”S005”においてアプリケーション経路追跡手段6は、取得したセッション情報に基づき、図13中”TB21”に示すように攻撃パケットの送信の依頼元であるアプリケーションサーバ2を特定する。   Then, in “S005” in FIG. 11, the application path tracking means 6 identifies the application server 2 that is the request source of the attack packet transmission, as indicated by “TB21” in FIG. 13, based on the acquired session information.

しかし、図10に示すような従来例では、攻撃パケットの送信の依頼元であるアプリケーションサーバ2までは経路を追跡することはできるものの、図14中”TB31”に示すように本来の攻撃元である攻撃側端末1までの経路を特定することができないと言った問題点があった。   However, in the conventional example as shown in FIG. 10, although the route can be traced to the application server 2 that is the request source of the attack packet, the original attack source as shown in “TB31” in FIG. There was a problem that the route to a certain attacking terminal 1 could not be specified.

なぜならば、攻撃側端末1からアプリケーションサーバ2に送信された図14中”PK01”及び”PK02”に示すようなパケットは送信元のIPアドレスが詐称されているため、アプリケーション経路追跡手段6ではこれ以上の経路追跡ができないためである。
従って本発明が解決しようとする課題は、アプリケーションサーバを介した通信であっても発信元のIPアドレスが詐称されたパケットの伝播経路の追跡が可能なパケット経路追跡システムを実現することにある。
This is because the IP address of the transmission source is spoofed in the packets as indicated by “PK01” and “PK02” in FIG. 14 transmitted from the attacking terminal 1 to the application server 2. This is because the above route tracking cannot be performed.
Therefore, the problem to be solved by the present invention is to realize a packet path tracking system capable of tracking a propagation path of a packet whose source IP address is spoofed even through communication via an application server.

このような課題を達成するために、本発明のうち請求項1記載の発明は、
ネットワークを伝播するパケットの伝播経路を追跡するパケット経路追跡システムにおいて、
攻撃パケットを受信した標的側端末から提供を受けたセッション情報に基づき攻撃パケットの送信依頼元のアプリケーションサーバを特定するアプリケーション経路追跡手段と、前記送信依頼元のアプリケーションサーバに記録されているパケット情報に基づき原因パケットの伝播経路を追跡するパケット経路追跡手段とを備えたことにより、アプリケーションサーバを介した通信であっても発信元のIPアドレスが詐称されたパケットの伝播経路の追跡が可能になる。
In order to achieve such a problem, the invention according to claim 1 of the present invention is:
In a packet path tracking system that tracks the propagation path of a packet propagating through a network,
Application path tracking means for identifying the application server that is the transmission request source of the attack packet based on the session information provided from the target terminal that received the attack packet, and packet information recorded in the application server that is the transmission request source By providing the packet path tracking means for tracking the propagation path of the cause packet based on this, it is possible to trace the propagation path of the packet whose source IP address is spoofed even in communication via the application server.

請求項2記載の発明は、
請求項1記載の発明であるパケット経路追跡システムにおいて、
前記アプリケーションサーバが、
前記原因パケットを受信し、受信した前記原因パケットに対応してセッションを実行する場合には、実行するセッションの情報を前記セッション情報として、受信した原因パケットの情報を前記パケット情報として併せて記録することにより、アプリケーションサーバを介した通信であっても発信元のIPアドレスが詐称されたパケットの伝播経路の追跡が可能になる。
The invention according to claim 2
In the packet path tracking system according to claim 1,
The application server is
When the cause packet is received and a session is executed in response to the received cause packet, the session information to be executed is recorded as the session information, and the received cause packet information is also recorded as the packet information. This makes it possible to trace the propagation path of a packet in which the source IP address is spoofed even in communication via the application server.

請求項3記載の発明は、
請求項1記載の発明であるパケット経路追跡システムにおいて、
前記アプリケーション経路追跡手段が、
前記標的側端末から前記セッション情報の提供を受けた場合、提供を受けた前記セッション情報に基づきアプリケーションの経路を追跡して攻撃パケットの送信依頼元の前記アプリケーションサーバを特定し、特定した攻撃パケットの送信依頼元の前記アプリケーションサーバに対して記録されているパケット情報を前記パケット経路追跡手段に提供させることにより、アプリケーションサーバを介した通信であっても発信元のIPアドレスが詐称されたパケットの伝播経路の追跡が可能になる。
The invention described in claim 3
In the packet path tracking system according to claim 1,
The application route tracking means is
When receiving the session information from the target side terminal, the application server of the attack packet transmission request source is identified by tracking the route of the application based on the received session information, and the specified attack packet Propagation of packets in which the IP address of the sender is spoofed even by communication through the application server by providing the packet path tracking means with the packet information recorded for the application server of the transmission request source The route can be traced.

請求項4記載の発明は、
請求項1記載の発明であるパケット経路追跡システムにおいて、
前記パケット経路追跡手段が、
攻撃パケットの送信依頼元の前記アプリケーションサーバから前記パケット情報の提供を受けた場合、提供を受けた前記パケット情報に基づき前記原因パケットの伝播経路を追跡すると共に攻撃側端末及び前記原因パケットの伝播経路を特定し、特定した前記攻撃側端末及び前記原因パケットの伝播経路を前記アプリケーションサーバ或いは前記標的側端末に通知することにより、アプリケーションサーバを介した通信であっても発信元のIPアドレスが詐称されたパケットの伝播経路の追跡が可能になる。
The invention according to claim 4
In the packet path tracking system according to claim 1,
The packet path tracking means comprises:
When receiving the packet information from the application server that is the transmission request source of the attack packet, the propagation path of the cause packet is traced based on the received packet information and the attack side terminal and the propagation path of the cause packet By identifying the attacking terminal and the cause packet propagation path to the application server or the target terminal, the source IP address is spoofed even through communication via the application server. Packet propagation path can be traced.

請求項5記載の発明は、
請求項1乃至請求項4のいずれかに記載の発明であるパケット経路追跡システムにおいて、
前記パケット情報が、
前記原因パケットそのものであることにより、アプリケーションサーバを介した通信であっても発信元のIPアドレスが詐称されたパケットの伝播経路の追跡が可能になる。
The invention according to claim 5
In the packet path tracking system according to any one of claims 1 to 4,
The packet information is
By using the cause packet itself, it is possible to trace the propagation path of the packet in which the source IP address is spoofed even in communication via the application server.

請求項6記載の発明は、
請求項1乃至請求項4のいずれかに記載の発明であるパケット経路追跡システムにおいて、
前記パケット情報が、
前記原因パケットのハッシュ値であることにより、アプリケーションサーバを介した通信であっても発信元のIPアドレスが詐称されたパケットの伝播経路の追跡が可能になる。また、アプリケーションサーバで記録する情報量が少なくて済むことになる。
The invention described in claim 6
In the packet path tracking system according to any one of claims 1 to 4,
The packet information is
By using the hash value of the cause packet, it is possible to trace the propagation path of the packet in which the source IP address is spoofed even in communication via the application server. In addition, the amount of information recorded by the application server can be reduced.

請求項7記載の発明は、
請求項1乃至請求項4のいずれかに記載の発明であるパケット経路追跡システムにおいて、
前記パケット情報が、
前記原因パケットの一部分であることにより、アプリケーションサーバを介した通信であっても発信元のIPアドレスが詐称されたパケットの伝播経路の追跡が可能になる。また、アプリケーションサーバで記録する情報量が少なくて済むことになる。
The invention described in claim 7
In the packet path tracking system according to any one of claims 1 to 4,
The packet information is
By being a part of the cause packet, it is possible to trace the propagation path of the packet in which the IP address of the sender is spoofed even in communication via the application server. In addition, the amount of information recorded by the application server can be reduced.

請求項8記載の発明は、
請求項1乃至請求項7のいずれかに記載の発明であるパケット経路追跡システムにおいて、
前記パケット経路追跡手段が、
ネットワークの複数の観測点を伝播する前記原因パケットを記録するパケットログ記録装置を配置しておき、前記パケットログ記録装置を検索して前記原因パケットの伝播経路を特定すると共に、検出された前記原因パケットから元パケット依存部分を抽出して元パケットの形式を推定した上でパケットログ記録装置を検索して推定された元パケットの伝播経路を特定することにより、アプリケーションサーバを介した通信であっても発信元のIPアドレスが詐称されたパケットの伝播経路の追跡が可能になる。
The invention described in claim 8
In the packet path tracking system according to any one of claims 1 to 7,
The packet path tracking means comprises:
A packet log recording device that records the cause packet propagating through a plurality of observation points of the network is arranged, the packet log recording device is searched to identify a propagation path of the cause packet, and the detected cause It is a communication through an application server by extracting the original packet dependent part from the packet and estimating the original packet format and searching the packet log recording device to identify the estimated propagation path of the original packet. In addition, it becomes possible to trace the propagation path of a packet whose source IP address is spoofed.

請求項9記載の発明は、
請求項1乃至請求項7のいずれかに記載の発明であるパケット経路追跡システムにおいて、
ネットワークの前記原因パケットの伝播経路に存在するルータが前記原因パケットそのものに通過場所を特定するマークを付加し、前記マーク付のパケットを前記アプリケーションサーバで記録しておき、前記パケット経路追跡手段が、付加された前記マークを解析することによって、前記原因パケットの伝播経路を特定することにより、アプリケーションサーバを介した通信であっても発信元のIPアドレスが詐称されたパケットの伝播経路の追跡が可能になる。
The invention according to claim 9
In the packet path tracking system according to any one of claims 1 to 7,
A router that exists in the propagation path of the cause packet of the network adds a mark that identifies the passage location to the cause packet itself, records the marked packet with the application server, and the packet path tracking means includes: By analyzing the added mark, the propagation path of the cause packet can be specified, and the propagation path of the packet whose source IP address is spoofed can be traced even through communication via the application server. become.

請求項10記載の発明は、
請求項1乃至請求項7のいずれかに記載の発明であるパケット経路追跡システムにおいて、
ネットワークの前記原因パケットの伝播経路に存在するルータが通過場所を特定するマークを付加した新たなパケットを生成し、前記マーク付のパケットを前記アプリケーションサーバで記録しておき、前記パケット経路追跡手段が、付加された前記マークを解析することによって、前記原因パケットの伝播経路を特定することにより、アプリケーションサーバを介した通信であっても発信元のIPアドレスが詐称されたパケットの伝播経路の追跡が可能になる。
The invention according to claim 10 is:
In the packet path tracking system according to any one of claims 1 to 7,
A router present in the propagation path of the cause packet of the network generates a new packet with a mark for specifying a passage location, records the marked packet with the application server, and the packet path tracking means By analyzing the added mark, by identifying the propagation path of the cause packet, it is possible to trace the propagation path of the packet whose source IP address is spoofed even in communication via the application server. It becomes possible.

本発明によれば次のような効果がある。
請求項1,2,3,4,5,6,7,8,9及び請求項10の発明によれば、攻撃パケットの送信依頼元のアプリケーションサーバをセッション情報に基づきアプリケーション経路追跡手段で特定し、当該アプリケーションサーバに記録されているセッション情報に対応するパケット情報に基づきパケット経路追跡手段が原因パケットの伝播経路を追跡することにより、アプリケーションサーバを介した通信であっても発信元のIPアドレスが詐称されたパケットの伝播経路の追跡が可能になる。
The present invention has the following effects.
According to the first, second, third, fourth, fifth, sixth, seventh, eighth, ninth, and tenth inventions, the application server that requested the transmission of the attack packet is identified by the application route tracking means based on the session information. The packet path tracking unit tracks the propagation path of the cause packet based on the packet information corresponding to the session information recorded in the application server, so that the IP address of the source can be determined even in communication via the application server. It is possible to trace the propagation path of a spoofed packet.

また、請求項6及び請求項7の発明によれば、パケット情報を原因パケットのハッシュ値、或いは、原因パケットのデータの一部分とすることにより、アプリケーションサーバで記録する情報量が少なくて済むことになる。   Further, according to the inventions of claims 6 and 7, by making the packet information a hash value of the cause packet or a part of the data of the cause packet, the amount of information recorded by the application server can be reduced. Become.

以下本発明を図面を用いて詳細に説明する。図1は本発明に係るパケット経路追跡システムの一実施例を示す構成ブロック図である。図1において1及び4は図10に示す従来例と同一符号を付してあり、7及び8はアプリケーションサービスを提供するアプリケーションサーバ、9はアプリケーションのセッション情報に基づき経路を追跡するアプリケーション経路追跡手段、10は取得したIP(Internet Protocol)パケットのパケット情報に基づき攻撃パケットの経路追跡を行うパケット経路追跡手段である。   Hereinafter, the present invention will be described in detail with reference to the drawings. FIG. 1 is a block diagram showing the configuration of an embodiment of a packet path tracking system according to the present invention. In FIG. 1, 1 and 4 are assigned the same reference numerals as in the conventional example shown in FIG. 10, 7 and 8 are application servers that provide application services, and 9 is an application route tracking means for tracking routes based on application session information. Reference numeral 10 denotes a packet path tracking unit that traces the path of an attack packet based on packet information of an acquired IP (Internet Protocol) packet.

攻撃側端末1はネットワークを介してアプリケーションサーバ7に接続され、標的側端末4もまたネットワークを介してアプリケーションサーバ8に接続される。アプリケーションサーバ7及び8はアプリケーションをネットワークを介してアプリケーションサービスを提供するために相互に連携して動作する。   The attacking terminal 1 is connected to the application server 7 via the network, and the target terminal 4 is also connected to the application server 8 via the network. The application servers 7 and 8 operate in cooperation with each other in order to provide application services via the network.

また、アプリケーション経路追跡手段9はアプリケーションサーバ7及び8との間の経路追跡を行い、パケット経路追跡手段10はアプリケーションサーバ7と攻撃側端末1との間のIPパケットの経路追跡を行う。   The application route tracking means 9 performs route tracking between the application servers 7 and 8, and the packet route tracking means 10 performs route tracking of the IP packet between the application server 7 and the attacking terminal 1.

まず、攻撃側端末1からの攻撃パケットの送信があった場合のアプリケーションサーバ7の動作を図2及び図3を用いて説明する。図2はアプリケーションサーバ7の動作を説明するフロー図、図3はセッション実行時に取り込む情報の一例を示す説明図である。   First, the operation of the application server 7 when an attack packet is transmitted from the attacking terminal 1 will be described with reference to FIGS. FIG. 2 is a flowchart for explaining the operation of the application server 7, and FIG. 3 is an explanatory diagram showing an example of information captured at the time of session execution.

攻撃側端末1は図1中”PK41”や”PK42”に示すようなアプリケーションサーバ7を誤動作等させて標的側端末4に攻撃パケットを送信させるようなパケットを送信元のIPアドレスを詐称して送信する。   The attacking terminal 1 misrepresents a packet that causes the attacking packet to be transmitted to the target terminal 4 by causing the application server 7 such as “PK41” or “PK42” in FIG. Send.

図2中”S101”に示すようにアプリケーションサーバ7は、図1中”PK41”及び”PK42”に示すようなパケットを受信したか否かを判断し、もし、パケットを受信した場合には、図2中”S102”において受信したパケットに対応してセッションを実行するか否かを判断する。   As shown in “S101” in FIG. 2, the application server 7 determines whether or not the packets as shown in “PK41” and “PK42” in FIG. 1 have been received. It is determined whether or not to execute a session corresponding to the packet received in “S102” in FIG.

もし、図2中”S102”においてセッションを実行すると判断した場合には、図2中”S103”においてアプリケーションサーバ7は、実行するセッションの情報(セッション情報)と受信したパケットの情報(パケット情報)とを併せて記録する。   If it is determined that the session is to be executed in “S102” in FIG. 2, the application server 7 in “S103” in FIG. 2 performs information on the session to be executed (session information) and information on the received packet (packet information). And also record.

例えば、図1中”RE41”に示すようにアプリケーションサーバ7はセッション情報及びパケット情報を記録すると共に、図1中”SE41”に示すように攻撃パケットの送信をアプリケーションサーバ8に依頼する。   For example, the application server 7 records session information and packet information as indicated by “RE41” in FIG. 1, and requests the application server 8 to transmit an attack packet as indicated by “SE41” in FIG.

具体的には、図3に示すように図1中”SE41”等のセッション情報と、このセッション情報に対応する図1中”PK41”及び”PK42”と言ったパケット情報をセッションを実行する際に順次記録して行く。   Specifically, as shown in FIG. 3, when executing a session with session information such as “SE41” in FIG. 1 and packet information such as “PK41” and “PK42” in FIG. 1 corresponding to this session information. Record sequentially.

そして、攻撃パケットの送信の依頼を受けたアプリケーションサーバ8は標的側端末4に対して図1中”PK43”に示すような攻撃パケットを送信する。   Then, the application server 8 that has received the request for transmitting the attack packet transmits an attack packet as indicated by “PK43” in FIG.

ここで、図1に示す実施例の経路追跡の動作を図4、図5、図6、図7、図8及び図9を用いて説明する。図4は標的側端末4の動作を説明するフロー図、図5、図7及び図9は情報等の流れを説明する説明図、図6はアプリケーション経路追跡手段9の動作を説明するフロー図、図8はパケット経路追跡手段10の動作を説明するフロー図である。   1 will be described with reference to FIGS. 4, 5, 6, 7, 8, and 9. FIG. 4 is a flowchart for explaining the operation of the target-side terminal 4, FIGS. 5, 7 and 9 are explanatory diagrams for explaining the flow of information and the like, and FIG. 6 is a flowchart for explaining the operation of the application route tracking means 9. FIG. 8 is a flowchart for explaining the operation of the packet path tracking means 10.

図4中”S201”において標的側端末4は、攻撃パケットを受信したか否かを判断し、もし、攻撃パケットを受信したと判断した場合には、図4中”S202”において標的側端末4は、アプリケーションのセッション情報をアプリケーション経路追跡手段9に提供する。   In “S201” in FIG. 4, the target-side terminal 4 determines whether or not an attack packet has been received. If it is determined that an attack packet has been received, the target-side terminal 4 in “S202” in FIG. Provides the application path tracking means 9 with the application session information.

例えば、図5中”PK43”に示すような攻撃パケットを受信した標的側端末4は、図5中”SI51”に示すようにアプリケーションのセッション情報をアプリケーション経路追跡手段9に提供する。   For example, the target terminal 4 that has received an attack packet as indicated by “PK43” in FIG. 5 provides application session information to the application path tracking means 9 as indicated by “SI51” in FIG.

そして、図6中”S301”においてアプリケーション経路追跡手段9は、標的側端末4からセッション情報の提供を受けたか否かを判断し、もし、セッション情報の提供を受けたと判断した場合には、図6中”S302”においアプリケーション経路追跡手段9は、提供を受けたセッション情報に基づきアプリケーションの経路を追跡して攻撃パケットの送信の依頼元を特定する。   Then, in “S301” in FIG. 6, the application route tracking means 9 determines whether or not the session information is provided from the target side terminal 4. If it is determined that the session information is provided, In step S302, the application route tracking unit 9 traces the route of the application based on the provided session information and identifies the request source of the attack packet transmission.

例えば、アプリケーション経路追跡手段9は、図7中”SI51”に示すように標的側端末4からセッション情報を受領したと判断した場合には、図7中”TB51”に示すように受領したセッション情報に基づきアプリケーションの経路を追跡して攻撃パケットの送信の依頼元であるアプリケーションサーバ7を特定する。   For example, if the application path tracking means 9 determines that the session information has been received from the target terminal 4 as indicated by “SI51” in FIG. 7, the received session information as indicated by “TB51” in FIG. Based on the above, the application path 7 is traced to identify the application server 7 that is the request source of the attack packet transmission.

最後に、図6中”S303”においてアプリケーション経路追跡手段9は、特定した攻撃パケットの送信の依頼元(例えば、アプリケーションサーバ7)に対して記録されているパケット情報をパケット経路追跡手段10に提供させる。   Finally, in “S303” in FIG. 6, the application path tracking unit 9 provides the packet information recorded to the request source (for example, the application server 7) of the identified attack packet transmission to the packet path tracking unit 10. Let

例えば、図7中”PI51”に示すようにアプリケーション経路追跡手段9は、攻撃パケットの送信依頼元であるアプリケーションサーバ9に記録されている図3に示すような
パケット情報をパケット経路追跡手段10に提供させる。
For example, as indicated by “PI 51” in FIG. 7, the application path tracking means 9 sends packet information as shown in FIG. 3 recorded in the application server 9 which is the transmission request source of the attack packet to the packet path tracking means 10. Make it available.

具体的には、攻撃パケットの送信依頼元であるアプリケーションサーバ7の図7中”SE41”に示すセッションの原因となったパケット(以下、原因パケットと呼ぶ。)は図3に示す表から図7中”PK41”及び”PK42”に示すパケットであるから、アプリケーションサーバ7はパケット情報として”PK41”及び”PK42”に示す原因パケットの情報をパケット経路追跡手段10に提供する。   Specifically, the packet that causes the session indicated by “SE41” in FIG. 7 of the application server 7 that is the transmission request source of the attack packet (hereinafter referred to as the cause packet) is shown in FIG. Since the packet is indicated by “PK41” and “PK42”, the application server 7 provides the packet path tracking means 10 with information on the cause packet indicated by “PK41” and “PK42” as packet information.

図8中”S401”においてパケット経路追跡手段10は、攻撃パケットの送信依頼元(例えば、アプリケーションサーバ9)からパケット情報の提供を受けたか否かを判断し、もし、パケット情報の提供を受けたと判断した場合には、図8中”S402”においてパケット経路追跡手段10は、取得した原因パケットに基づき原因パケットの伝播経路を追跡すると共に図8中”S403”において攻撃側端末1及び原因パケットの伝播経路を特定する。   In “S401” in FIG. 8, the packet path tracking unit 10 determines whether or not the packet information is provided from the transmission request source of the attack packet (for example, the application server 9), and if the packet information is provided. When the determination is made, the packet path tracking means 10 traces the propagation path of the cause packet based on the acquired cause packet in “S402” in FIG. 8, and the attacking terminal 1 and the cause packet in “S403” in FIG. Identify the propagation path.

例えば、図9中”PI51”に示すようにパケット情報を取得した場合、パケット経路追跡手段10は取得したパケット情報に基づき図9中”TB61”に示すように原因パケット(”PK41”及び”PK42”)の伝播経路を追跡すると共に攻撃側端末1及び原因パケットの伝播経路を特定する。   For example, when packet information is acquired as indicated by “PI51” in FIG. 9, the packet path tracking means 10 causes the cause packets (“PK41” and “PK42” as indicated by “TB61” in FIG. 9 based on the acquired packet information. The propagation path of “)” is traced and the propagation path of the attacking terminal 1 and the cause packet is specified.

このような、IPパケットに基づく伝播経路の追跡方法の具体的な一例としては、本願出願人の出願に係る「特願2002−367422」に記載されている。   A specific example of such a propagation path tracking method based on an IP packet is described in “Japanese Patent Application No. 2002-367422” according to the application of the present applicant.

すなわち、ネットワークの複数の観測点を伝播するパケットを記録するパケットログ記録装置を配置しておき、踏み台となったサーバ等から攻撃パケットを受信した場合に、前記パケットログ記録装置を検索して攻撃パケットの伝播経路を特定すると共に、検出された攻撃パケットから元パケット依存部分を抽出して元パケットの形式を推定した上でパケットログ記録装置を検索して推定された元パケットの伝播経路を特定することにより、発信元のIPアドレスを詐称したIPパケットであっても伝播経路の追跡が可能になる。   That is, a packet log recording device that records packets propagating through a plurality of observation points of the network is arranged, and when an attack packet is received from a server that has become a stepping stone, the packet log recording device is searched to attack Identify the packet propagation path and extract the original packet dependency from the detected attack packet to estimate the format of the original packet and then search the packet logging device to identify the estimated propagation path of the original packet. By doing so, it is possible to trace the propagation path even for an IP packet in which the source IP address is spoofed.

そして、図8中”S404”においてパケット経路追跡手段10は、最後に特定した攻撃側端末1及び原因パケットの伝播経路をアプリケーションサーバ或いは標的側端末に通知する。   Then, in “S404” in FIG. 8, the packet path tracking means 10 notifies the application server or the target terminal of the last identified attacking terminal 1 and the propagation path of the cause packet.

この結果、攻撃パケットの送信依頼元のアプリケーションサーバをセッション情報に基づきアプリケーション経路追跡手段9で特定し、当該アプリケーションサーバに記録されているセッション情報に対応するパケット情報に基づきパケット経路追跡手段10が原因パケットの伝播経路を追跡することにより、アプリケーションサーバを介した通信であっても発信元のIPアドレスが詐称されたパケットの伝播経路の追跡が可能になる。   As a result, the application server that requested the transmission of the attack packet is identified by the application route tracking means 9 based on the session information, and the packet route tracking means 10 causes the packet information corresponding to the session information recorded in the application server. By tracking the propagation path of a packet, it is possible to trace the propagation path of a packet in which the source IP address is spoofed even in communication via an application server.

なお、図3に示すセッション実行時に取り込む情報としてセッション情報とパケット情報を例示しているが、パケット情報としては原因パケットのデータそのもののみならず、原因パケットのハッシュ値、原因パケットのデータの一部分であっても構わない。この場合には、アプリケーションサーバで記録する情報量が少なくて済むことになる。   Note that the session information and the packet information are illustrated as information captured when the session shown in FIG. 3 is performed, but the packet information includes not only the cause packet data itself but also the cause packet hash value and a part of the cause packet data. It does not matter. In this case, the amount of information recorded by the application server can be reduced.

また、図1に示す実施例ではネットワークの複数の観測点を伝播するパケットを記録するパケットログ記録装置を配置しておき、攻撃パケットを受信した場合に、前記パケットログ記録装置を検索して攻撃パケットの伝播経路を特定するパケット経路追跡手段10を用いているが、原因パケットの伝播経路に存在するルータが原因パケットそのものに通過場所を特定するマークを付加し、当該マーク付のパケットをアプリケーションサーバで記録しておき、付加されたマークを解析することによって、原因パケットの伝播経路を特定しても構わない。   In the embodiment shown in FIG. 1, a packet log recording device for recording a packet propagating through a plurality of observation points of the network is arranged, and when an attack packet is received, the packet log recording device is searched for an attack. The packet path tracking means 10 for specifying the packet propagation path is used. A router existing in the cause packet propagation path adds a mark for specifying the passage location to the cause packet itself, and the marked packet is applied to the application server. The propagation path of the cause packet may be identified by analyzing the added mark and analyzing the added mark.

また、図1に示す実施例ではネットワークの複数の観測点を伝播するパケットを記録するパケットログ記録装置を配置しておき、攻撃パケットを受信した場合に、前記パケットログ記録装置を検索して攻撃パケットの伝播経路を特定するパケット経路追跡手段10を用いているが、原因パケットの伝播経路に存在するルータが通過場所を特定するマークを付加した新たなパケットを生成して、当該マーク付のパケットをアプリケーションサーバで記録しておき、付加されたマークを解析することによって、原因パケットの伝播経路を特定しても構わない。   In the embodiment shown in FIG. 1, a packet log recording device for recording a packet propagating through a plurality of observation points of the network is arranged, and when an attack packet is received, the packet log recording device is searched for an attack. The packet path tracking means 10 for identifying the packet propagation path is used, but a router existing in the cause packet propagation path generates a new packet with a mark for identifying the passage location, and the marked packet is generated. May be recorded by the application server, and the propagation path of the cause packet may be specified by analyzing the added mark.

本発明に係るパケット経路追跡システムの一実施例を示す構成ブロック図である。1 is a configuration block diagram showing an embodiment of a packet path tracking system according to the present invention. アプリケーションサーバの動作を説明するフロー図である。It is a flowchart explaining operation | movement of an application server. セッション実行時に取り込む情報の一例を示す説明図である。It is explanatory drawing which shows an example of the information taken in at the time of session execution. 標的側端末の動作を説明するフロー図である。It is a flowchart explaining operation | movement of a target side terminal. 情報等の流れを説明する説明図である。It is explanatory drawing explaining the flow of information etc. アプリケーション経路追跡手段の動作を説明するフロー図である。It is a flowchart explaining operation | movement of an application path | route tracking means. 情報等の流れを説明する説明図である。It is explanatory drawing explaining the flow of information etc. パケット経路追跡手段の動作を説明するフロー図である。It is a flowchart explaining operation | movement of a packet path | route tracking means. 情報等の流れを説明する説明図である。It is explanatory drawing explaining the flow of information etc. 従来のパケット経路追跡システムの一例を示す構成ブロック図である。It is a block diagram showing an example of a conventional packet path tracking system. パケット経路の追跡手順を説明するフロー図である。It is a flowchart explaining the tracking procedure of a packet path | route. 情報等の流れを説明する説明図である。It is explanatory drawing explaining the flow of information etc. 情報等の流れを説明する説明図である。It is explanatory drawing explaining the flow of information etc. 情報等の流れを説明する説明図である。It is explanatory drawing explaining the flow of information etc.

符号の説明Explanation of symbols

1 攻撃側端末
2,3,7,8 アプリケーションサーバ
4 標的側端末
5,10 パケット経路追跡手段
6,9 アプリケーション経路追跡手段
DESCRIPTION OF SYMBOLS 1 Attack side terminal 2,3,7,8 Application server 4 Target side terminal 5,10 Packet path tracking means 6,9 Application path tracking means

Claims (10)

ネットワークを伝播するパケットの伝播経路を追跡するパケット経路追跡システムにおいて、
攻撃パケットを受信した標的側端末から提供を受けたセッション情報に基づき攻撃パケットの送信依頼元のアプリケーションサーバを特定するアプリケーション経路追跡手段と、
前記送信依頼元のアプリケーションサーバに記録されているパケット情報に基づき原因パケットの伝播経路を追跡するパケット経路追跡手段と
を備えたことを特徴とするパケット経路追跡システム。
In a packet path tracking system that tracks the propagation path of a packet propagating through a network,
Application path tracking means for identifying the application server that requested the transmission of the attack packet based on the session information provided from the target terminal that received the attack packet;
A packet path tracking system comprising: a packet path tracking unit that tracks a propagation path of a cause packet based on packet information recorded in the application server that is the transmission request source.
前記アプリケーションサーバが、
前記原因パケットを受信し、受信した前記原因パケットに対応してセッションを実行する場合には、実行するセッションの情報を前記セッション情報として、受信した原因パケットの情報を前記パケット情報として併せて記録することを特徴とする
請求項1記載のパケット経路追跡システム。
The application server is
When the cause packet is received and a session is executed in response to the received cause packet, the session information to be executed is recorded as the session information, and the received cause packet information is also recorded as the packet information. The packet path tracking system according to claim 1, wherein:
前記アプリケーション経路追跡手段が、
前記標的側端末から前記セッション情報の提供を受けた場合、提供を受けた前記セッション情報に基づきアプリケーションの経路を追跡して攻撃パケットの送信依頼元の前記アプリケーションサーバを特定し、
特定した攻撃パケットの送信依頼元の前記アプリケーションサーバに対して記録されているパケット情報を前記パケット経路追跡手段に提供させることを特徴とする
請求項1記載のパケット経路追跡システム。
The application route tracking means is
When receiving the provision of the session information from the target terminal, identify the application server of the attack packet transmission request source by tracking the route of the application based on the received session information,
2. The packet path tracking system according to claim 1, wherein the packet path tracking unit is provided with packet information recorded for the application server that is the transmission request source of the identified attack packet.
前記パケット経路追跡手段が、
攻撃パケットの送信依頼元の前記アプリケーションサーバから前記パケット情報の提供を受けた場合、提供を受けた前記パケット情報に基づき前記原因パケットの伝播経路を追跡すると共に攻撃側端末及び前記原因パケットの伝播経路を特定し、
特定した前記攻撃側端末及び前記原因パケットの伝播経路を前記アプリケーションサーバ或いは前記標的側端末に通知することを特徴とする
請求項1記載のパケット経路追跡システム。
The packet path tracking means comprises:
When receiving the packet information from the application server that is the transmission request source of the attack packet, the propagation path of the cause packet is traced based on the received packet information and the attack side terminal and the propagation path of the cause packet Identify
2. The packet path tracking system according to claim 1, wherein the identified attacking terminal and the propagation path of the cause packet are notified to the application server or the target terminal.
前記パケット情報が、
前記原因パケットそのものであることを特徴とする
請求項1乃至請求項4のいずれかに記載のパケット経路追跡システム。
The packet information is
5. The packet path tracking system according to claim 1, wherein the packet is the cause packet itself.
前記パケット情報が、
前記原因パケットのハッシュ値であることを特徴とする
請求項1乃至請求項4のいずれかに記載のパケット経路追跡システム。
The packet information is
5. The packet path tracking system according to claim 1, wherein the packet path tracking system is a hash value of the cause packet.
前記パケット情報が、
前記原因パケットの一部分であることを特徴とする
請求項1乃至請求項4のいずれかに記載のパケット経路追跡システム。
The packet information is
5. The packet path tracking system according to claim 1, wherein the packet path tracking system is a part of the cause packet.
前記パケット経路追跡手段が、
ネットワークの複数の観測点を伝播する前記原因パケットを記録するパケットログ記録装置を配置しておき、
前記パケットログ記録装置を検索して前記原因パケットの伝播経路を特定するか、或いは、検出された前記原因パケットから元パケット依存部分を抽出して元パケットの形式を推定した上でパケットログ記録装置を検索して推定された元パケットの伝播経路を特定することを特徴とする
請求項1乃至請求項7のいずれかに記載のパケット経路追跡システム。
The packet path tracking means comprises:
A packet log recording device for recording the cause packet propagating through a plurality of observation points of the network;
The packet log recording device is identified by searching the packet log recording device to identify the propagation path of the cause packet, or by extracting the original packet dependent portion from the detected cause packet and estimating the format of the original packet The packet path tracking system according to claim 1, wherein a propagation path of the original packet estimated by searching is identified.
ネットワークの前記原因パケットの伝播経路に存在するルータが前記原因パケットそのものに通過場所を特定するマークを付加し、前記マーク付のパケットを前記アプリケーションサーバで記録しておき、
前記パケット経路追跡手段が、付加された前記マークを解析することによって、前記原因パケットの伝播経路を特定することを特徴とする
請求項1乃至請求項7のいずれかに記載のパケット経路追跡システム。
A router that exists in the propagation path of the cause packet of the network adds a mark identifying the passage location to the cause packet itself, and records the marked packet with the application server,
8. The packet path tracking system according to claim 1, wherein the packet path tracking unit identifies the propagation path of the cause packet by analyzing the added mark.
ネットワークの前記原因パケットの伝播経路に存在するルータが通過場所を特定するマークを付加した新たなパケットを生成し、前記マーク付のパケットを前記アプリケーションサーバで記録しておき、
前記パケット経路追跡手段が、付加された前記マークを解析することによって、前記原因パケットの伝播経路を特定することを特徴とする
請求項1乃至請求項7のいずれかに記載のパケット経路追跡システム。
Generate a new packet with a mark identifying the passage location of the router present in the propagation path of the cause packet of the network, and record the marked packet with the application server,
8. The packet path tracking system according to claim 1, wherein the packet path tracking unit identifies the propagation path of the cause packet by analyzing the added mark.
JP2003398476A 2003-11-28 2003-11-28 Packet path tracking system Expired - Fee Related JP4135094B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003398476A JP4135094B2 (en) 2003-11-28 2003-11-28 Packet path tracking system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003398476A JP4135094B2 (en) 2003-11-28 2003-11-28 Packet path tracking system

Publications (2)

Publication Number Publication Date
JP2005159936A JP2005159936A (en) 2005-06-16
JP4135094B2 true JP4135094B2 (en) 2008-08-20

Family

ID=34723312

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003398476A Expired - Fee Related JP4135094B2 (en) 2003-11-28 2003-11-28 Packet path tracking system

Country Status (1)

Country Link
JP (1) JP4135094B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6081386B2 (en) * 2014-01-30 2017-02-15 日本電信電話株式会社 Information sharing apparatus, information sharing method, and information sharing program

Also Published As

Publication number Publication date
JP2005159936A (en) 2005-06-16

Similar Documents

Publication Publication Date Title
CN111343092B (en) Communication method, device, medium and electronic device based on edge computing
KR101889500B1 (en) Method and System for Network Connection-Chain Traceback using Network Flow Data
KR102622282B1 (en) Two-way packet exchange method through node path
Ling et al. Novel packet size-based covert channel attacks against anonymizer
Gong et al. Website detection using remote traffic analysis
JP4758362B2 (en) Relay device, program, and relay method
CN110808879B (en) A protocol identification method, apparatus, device and readable storage medium
US8949952B2 (en) Multi-stack subscriber sign on
CN107682470B (en) Method and device for detecting public network IP availability in NAT address pool
JP5119059B2 (en) Information processing apparatus, information processing system, program, and recording medium
CN103765858A (en) A method and server for monitoring users during their browsing within a communications network
WO2024060779A1 (en) Data traffic access control methods and apparatus, electronic device and storage medium
JP4135094B2 (en) Packet path tracking system
KR20170054215A (en) Method for connection fingerprint generation and traceback based on netflow
JP3889701B2 (en) Packet path tracking system
JP4167866B2 (en) Data transmission method, data transmission system, and data transmission apparatus
CN104980352A (en) Routing method and device for multiline computer room
Massar et al. Jumpbox–a seamless browser proxy for tor pluggable transports
KR100582543B1 (en) IP4 / IP6 Tunnel Broker System
JP2009081736A (en) Packet transfer apparatus and packet transfer program
JP2005045535A (en) Network communication system
JP2008060785A (en) Ip telephone communication recording system
JP2006262036A (en) Packet path tracking system
JP3832412B2 (en) Packet path tracking system
CN112470438A (en) Method for discovering intermediate functions and selecting a path between two communication devices

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060602

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080425

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080508

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080521

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110613

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130613

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140613

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees