Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP4271199B2 - BAND CONTROL METHOD AND BAND CONTROL DEVICE - Google Patents
[go: Go Back, main page]

JP4271199B2 - BAND CONTROL METHOD AND BAND CONTROL DEVICE - Google Patents

BAND CONTROL METHOD AND BAND CONTROL DEVICE Download PDF

Info

Publication number
JP4271199B2
JP4271199B2 JP2006059407A JP2006059407A JP4271199B2 JP 4271199 B2 JP4271199 B2 JP 4271199B2 JP 2006059407 A JP2006059407 A JP 2006059407A JP 2006059407 A JP2006059407 A JP 2006059407A JP 4271199 B2 JP4271199 B2 JP 4271199B2
Authority
JP
Japan
Prior art keywords
packet
token
priority
storage device
amount
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006059407A
Other languages
Japanese (ja)
Other versions
JP2007243298A (en
Inventor
康宏 佐竹
一浩 大倉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
NTT Inc USA
Original Assignee
Nippon Telegraph and Telephone Corp
NTT Inc USA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, NTT Inc USA filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2006059407A priority Critical patent/JP4271199B2/en
Publication of JP2007243298A publication Critical patent/JP2007243298A/en
Application granted granted Critical
Publication of JP4271199B2 publication Critical patent/JP4271199B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Communication Control (AREA)

Description

本発明は、帯域制御方法および帯域制御装置に係り、特に、優先パケットの利用による余剰帯域を非優先パケットが利用する際の、非優先パケットの帯域を制御するための帯域制御方法および帯域制御装置に関する。   The present invention relates to a bandwidth control method and a bandwidth control device, and in particular, a bandwidth control method and a bandwidth control device for controlling the bandwidth of a non-priority packet when a non-priority packet uses a surplus bandwidth due to the use of a priority packet. About.

多くの端末から特定のwebサイト等にサーバの処理能力を超えるトラフィックを集中させてサービスの停止を引き起こす分散サービス停止(DDoS;Distributed Denial of Service)攻撃が増加しつつある。DDoS攻撃対策では、攻撃を検出し、これに基づいて行うトラフィック制御が考えられる。
攻撃検出系にて、各パケットに対し、正規トラフィックフロー(Lフロー)、攻撃トラフィックフロー(Mフロー)、いずれかの判定が出来ない容疑トラフィックフロー(Sフロー)を判定してパケットヘッダ等により区別できるようにした後、制御系において各パケットヘッダによりパケットがどのフローに属するかを識別して各フローに応じたトラフィック制御を行う。
DDoS攻撃時の対策の目標は、トラフィックが集中する被攻撃サーバを停止させることなく、正規のトラフィックを最大限に疎通させ、攻撃時においても最大限にサービス提供を継続できるようにすることである。
攻撃時にはネットワーク、サーバ等において相対的に設備量の小さな部分から輻輳するが、通常は被攻撃サーバがネックとなる。
A distributed service outage (DDoS) attack that causes a service stop by concentrating traffic exceeding the processing capacity of the server from a large number of terminals to a specific web site or the like is increasing. In DDoS attack countermeasures, traffic control performed based on an attack detected is conceivable.
In the attack detection system, for each packet, a normal traffic flow (L flow), an attack traffic flow (M flow), or a suspected traffic flow (S flow) that cannot be determined, is distinguished by a packet header or the like. After making it possible, the control system identifies which flow the packet belongs to by each packet header and performs traffic control according to each flow.
The goal of countermeasures against DDoS attacks is to allow regular traffic to communicate as much as possible without stopping the attacked server where traffic concentrates, and to continue maximizing service provision even during an attack. .
At the time of an attack, congestion occurs from a relatively small part of the network, server, etc., but usually the attacked server becomes a bottleneck.

このため、被攻撃サーバに向かうパケットのうち、Lフローに属するパケットは可能な限り疎通を確保し、Mフローのパケットは遮断する制御を行う。
Sフローのパケットについては、正規か攻撃かの判断がつかないパケットであるため、正規のパケットについて最大限の疎通を確保するために、被攻撃サーバの処理能力(Cbps)についてLフローに属するパケット処理の余剰処理能力分だけの疎通を確保するように帯域制御を行うことが必要となる。
すなわち、Lフローのトラフィック量をLbpsとすると(C−L)bpsのレートを実現する帯域制御が必要となる。このためには、Lフローのトラフィック量Lbpsを測定し、これに応じて(C−L)bpsのレートを時々刻々調整する必要がある。
トラフィック量を実際に測定することなく容易に帯域制御を行う方式としてトークンバケット方式がある。
トークンバケット方式は、単位時間毎に一定レートのパケットの送出を許可するトークンを発行してパケットを送出させる毎にトークンを消費する方式である。トークンバケットを応用した様々な帯域制御が提案されている(下記、特許文献1参照)。
For this reason, among the packets destined for the attacked server, a packet belonging to the L flow is secured as much as possible, and the M flow packet is controlled to be blocked.
Since the packet of the S flow is a packet for which it is impossible to determine whether the packet is legitimate or attack, in order to ensure maximum communication with the legitimate packet, the packet belonging to the L flow with respect to the processing capability (Cbps) of the attacked server It is necessary to perform bandwidth control so as to ensure communication for the surplus processing capacity of processing.
In other words, if the traffic amount of the L flow is Lbps, bandwidth control for realizing a (CL) bps rate is required. For this purpose, it is necessary to measure the traffic amount Lbps of the L flow and adjust the rate of (CL) bps from time to time accordingly.
There is a token bucket method as a method for easily performing bandwidth control without actually measuring the traffic volume.
The token bucket method is a method of consuming a token every time a packet is transmitted by issuing a token that permits transmission of a packet at a constant rate per unit time. Various bandwidth controls using token buckets have been proposed (see Patent Document 1 below).

なお、本願発明に関連する先行技術文献としては以下のものがある。
特開2004−336549号公報
As prior art documents related to the invention of the present application, there are the following.
JP 2004-336549 A

トラフィックを測定してレートを時々刻々調整する煩雑さを回避するため、実際に測定することなく容易に帯域制御を行うトークンバケット方式の応用が考えられる。
しかしながら、前述の特許文献1などの従来の提案は、ネットワーク上でのサービス品質保証、トラフィックフロー間の公平性、余剰帯域の活用を目的としたもので、DDoS攻撃時の対策を目的とするものではない。
また、トラフィックを測定してトークン量を調整する方法、余ったトークンの再配置などを提案するもので方法も異なり、DDoS攻撃時の対策を可能とするものではない。
DDoS攻撃時の対策として、トラフィックが集中する被攻撃サーバを停止させることなく、正規のトラフィックを最大限に疎通させ、攻撃時においても最大限にサービス提供を継続できるようにすることを目標に、実際にトラフィック測定を行う煩雑さを伴わない帯域制御方法、帯域制御装置が要望される。
本課題に対する方法、装置として、優先キューと非優先キューとを設け、優先キューにLフローに属する優先パケットを、非優先キューにSフローに属する非優先パケットを入れ、両者から吐き出されるパケットを区別することなくまとめてトークンパケット方式などの絞り込み方式にて被攻撃サーバの処理能力Cのレートで絞り込む方法が考えられる。この場合には、優先キューと非優先キュー、即ち、キュー機能とこれに優先度を持たせるための機能を設ける必要がある。
本発明は、前記従来技術の問題点を解決するためになされたものであり、本発明の目的は、トラフィックが集中する被攻撃サーバを停止させることなく、正規のトラフィックを最大限に疎通させ、攻撃時においても最大限にサービス提供を継続可能とする技術として、優先、非優先キュー、即ち、キュー機能とこれに優先度を持たせるための機能を設けることなく実現する帯域制御方法、帯域制御装置を提供することにある。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかにする。
In order to avoid the complexity of measuring traffic and adjusting the rate from time to time, an application of a token bucket system that easily performs bandwidth control without actually measuring it can be considered.
However, the conventional proposals such as the above-mentioned Patent Document 1 are intended to guarantee service quality on the network, fairness between traffic flows, and use of surplus bandwidth, and are intended to take measures against DDoS attacks. is not.
Also, a method for adjusting the amount of tokens by measuring traffic and a method for rearranging surplus tokens are proposed, and the methods are different, and it is not possible to take measures against a DDoS attack.
As a countermeasure for DDoS attacks, the goal is to allow regular traffic to communicate as much as possible without stopping the server under attack, where traffic is concentrated, and to continue maximizing service provision even during an attack. There is a need for a bandwidth control method and bandwidth control device that do not involve the complexity of actually measuring traffic.
As a method and apparatus for this problem, a priority queue and a non-priority queue are provided, priority packets belonging to the L flow are placed in the priority queue, and non-priority packets belonging to the S flow are placed in the non-priority queue, and packets discharged from both are distinguished. A method of narrowing down at the rate of the processing capability C of the attacked server by a narrowing-down method such as a token packet method can be considered. In this case, it is necessary to provide a priority queue and a non-priority queue, that is, a queue function and a function for giving priority to the queue function.
The present invention was made to solve the problems of the prior art, and the object of the present invention is to allow normal traffic to communicate as much as possible without stopping the attacked server where the traffic is concentrated. Bandwidth control method and bandwidth control realized without providing priority and non-priority queues, that is, a queue function and a function for giving priority to it as a technology that can continue to provide services to the maximum possible even during an attack To provide an apparatus.
The above and other objects and novel features of the present invention will become apparent from the description of this specification and the accompanying drawings.

本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、下記の通りである。
本発明の第1、2の帯域制御方法(本発明の請求項1、請求項2に係る帯域制御方法)の要点を図1で説明する。
トークンを被攻撃サーバなど制御対象の処理能力Cのレートで単位時間毎に補給する。パケット送出時に、該パケットのデータ量分だけトークンを消費する。但し、優先パケットについては、トークン不足時でもトークンを消費しトークン借りを認める。
非優先パケットでは、トークン不足時にはパケットを破棄する、あるいは、非優先パケット蓄積機能を設ける場合については、当該機能に並べ、トークンが補給されてパケット転送を許容できるだけ貯まった時点で順次送出する。
これにより、キュー機能とこれに優先度を持たせるための機能を設けることなく、かつ、優先パケットのフロー(L)を実際に測定することなく、(C−L)のレートで非優先パケットの帯域制御が可能となる。
即ち、本発明の第1、2の帯域制御方法は、単位時間毎に一定レートで発行され、予め決められたデータ量のパケット送出を許可するトークンをトークン蓄積装置に蓄積し、供給されるパケットのパケット種別を、優先パケットと非優先パケットに識別し、前記優先パケットの送出時にトークンが不足していても前記優先パケットを送出してトークン残量がマイナス値となるのを許容して、パケット送出時にパケットデータ量の分だけ前記トークン蓄積装置に蓄積されているトークンを消費してトークンの残量を計算し、計算の結果をトークン残量として前記トークン蓄積装置に蓄え、前記トークン蓄積装置に蓄積されているトークンの残量で送出許可できるパケットデータ量と、送出したい前記非優先パケットのデータ量を比較して、等しいか前者が大きい場合に前記非優先パケットの送出を許可し、前記非優先パケットを送出しないときにパケットを破棄する、あるいは、前記非優先パケットを非優先パケット蓄積装置に蓄積し、前記トークン蓄積装置にトークンが補給されて、前記トークン蓄積装置に前記非優先パケットの送出を許可できるだけトークンが蓄積された時点で、前記非優先パケットを順次送出する。
これにより、キュー機能とこれに優先度を持たせるための機能を設けることなく、かつ、優先パケットのフロー(L)を実際に測定することなく、(C−L)のレートで非優先パケットの帯域を制御することが可能となる。
Of the inventions disclosed in this application, the outline of typical ones will be briefly described as follows.
The main points of the first and second band control methods of the present invention (band control methods according to claims 1 and 2 of the present invention) will be described with reference to FIG.
The token is replenished every unit time at the rate of the processing capability C to be controlled such as the attacked server. When sending a packet, tokens are consumed by the amount of data in the packet. However, for priority packets, tokens are consumed and token borrowing is permitted even when tokens are insufficient.
In the case of non-priority packets, packets are discarded when there is a shortage of tokens, or when a non-priority packet storage function is provided, the non-priority packets are sequentially sent out when tokens are replenished and packet transfer is allowed to be stored.
Thereby, without providing a queue function and a function for giving priority to this, and without actually measuring the flow (L) of the priority packet, the non-priority packet is transmitted at the rate of (CL). Band control is possible.
That is, according to the first and second bandwidth control methods of the present invention, tokens that are issued at a constant rate per unit time and permit the packet transmission of a predetermined amount of data are stored in the token storage device and supplied packets. The packet type is identified as a priority packet and a non-priority packet, and even if a token is insufficient at the time of sending the priority packet, the priority packet is sent and the token remaining amount is allowed to be a negative value. the amount corresponding to the amount of packet data consumes tokens said accumulated in the token storage device calculates the remaining amount of tokens upon delivery, stored in the token storage device the result of the calculation as a token remaining in the token storage device Compare the amount of packet data that can be sent with the remaining amount of tokens accumulated and the amount of non-priority packet data that you want to send. Or former said to allow delivery of the non-priority packet is large, the discards packets when not sending a non-priority packet, or by storing the non-priority packets in the non-priority packet storage device, the token storage device The tokens are replenished, and when the tokens are accumulated so as to allow the token storage device to transmit the non-priority packets, the non-priority packets are sequentially transmitted.
Thereby, without providing a queue function and a function for giving priority to this, and without actually measuring the flow (L) of the priority packet, the non-priority packet is transmitted at the rate of (CL). The bandwidth can be controlled.

本発明の第3の帯域制御方法(本発明の請求項3に係る帯域制御方法)の要点を図2で説明する。
本発明の第3の帯域制御方法では、優先でもなく非優先でもない中立パケットに対する方式を示すものである。この中立パケットに対してはトークンを消費せずにパケットを送出する。
このため、本発明の第3の帯域制御方法では、供給されるパケットのパケット種別を、前記優先パケットと、前記非優先パケット、前記中立パケットに識別し、中立パケットを送出する場合についてはトークンを消費しないこととする。
本発明の請求項4〜請求項6に係わる帯域制御装置は、前述の本発明の請求項1〜請求項3に係わる帯域制御方法を実施するための帯域制御装置である。
The main points of the third bandwidth control method of the present invention (the bandwidth control method according to claim 3 of the present invention) will be described with reference to FIG.
The third bandwidth control method of the present invention shows a scheme for neutral packets that are neither priority nor non-priority. For this neutral packet, the packet is transmitted without consuming the token.
For this reason, in the third bandwidth control method of the present invention, the packet types of the supplied packets are identified as the priority packet, the non-priority packet, and the neutral packet, and a token is used when the neutral packet is transmitted. Do not consume.
The bandwidth control device according to claims 4 to 6 of the present invention is a bandwidth control device for implementing the bandwidth control method according to claims 1 to 3 of the present invention.

本願において開示される発明のうち代表的なものによって得られる効果を簡単に説明すれば、下記の通りである。
本発明によれば、トラフィックが集中する被攻撃サーバを停止させることなく、正規のトラフィックを最大限に疎通させ、攻撃時においても最大限にサービス提供を継続することが可能となる。
The effects obtained by the representative ones of the inventions disclosed in the present application will be briefly described as follows.
According to the present invention, regular traffic can be communicated to the maximum without stopping an attacked server on which traffic is concentrated, and service provision can be continued to the maximum even during an attack.

以下、図面を参照して本発明の実施例を詳細に説明する。
なお、実施例を説明するための全図において、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。
[実施例1]
図3は、本発明の実施例1の帯域制御装置が適用されるネットワーク環境を示す図である。
図3に示すように、ユーザ網3とネットワーク事業者網4がアクセスリンクで接続され、DDoS攻撃を被る被攻撃サーバ1がユーザ網内にあり、ネットワーク事業者が該網のエッジにあたるエッジ装置2にて、本実施例の帯域制御装置を使用してDDoS攻撃対策のための制御を行うケースを想定する。
エッジ装置2は、通常ルータ装置が考えられ、ルータが帯域制御方法を実施することになるが、ルータに付加する外部制御装置でもよい。
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
In all the drawings for explaining the embodiments, parts having the same functions are given the same reference numerals, and repeated explanation thereof is omitted.
[Example 1]
FIG. 3 is a diagram illustrating a network environment to which the bandwidth control device according to the first embodiment of the present invention is applied.
As shown in FIG. 3, a user network 3 and a network operator network 4 are connected by an access link, an attacked server 1 subject to a DDoS attack is in the user network, and the network device is an edge device 2 corresponding to the edge of the network. A case is assumed in which the bandwidth control device of this embodiment is used to perform control for countermeasures against DDoS attacks.
The edge device 2 can be a normal router device, and the router performs the bandwidth control method, but may be an external control device added to the router.

図4は、本発明の実施例1の帯域制御装置の概略構成を示すブロック図である。
パケット受信装置10は、複数種別のパケットを受信し、パケット種別識別装置11ヘパケットを転送する。
パケット種別識別装置11は、パケットが優先パケットか非優先パケットを識別する。識別のための情報は図示していないが、別に設けてある攻撃検出系から予め受け取っておく。例えば、TCPのSyn−flood攻撃を想定すると、TCPのSynフラグが立ったパケットを非優先パケット、TCPのそれ以外のパケットは優先パケットとして識別するケースがありえる。
尚、このケースでは、背景技術にて説明した正規トラフィックフロー(Lフロー)が優先パケット(TCPのSynフラグの立たないパケット)、容疑トラフィックフロー(Sフロー)が非優先パケット(TCPのSynフラグの立ったパケット)に相当する。
Syn−flood攻撃の場合、攻撃パケットは全てTCPのSynフラグの立ったパケットであるが、正規なパケットでもTCPのSynフラグが立ったパケットがあるからである。
また、攻撃検出系にて攻撃パケットの発アドレスを特定した場合など攻撃トラフィックフロー(Mフロー)が検出できた場合は、図1の制御ポイントで攻撃パケットを遮断する制御を行うが、本発明には直接関係しないため以降説明はしない。
FIG. 4 is a block diagram illustrating a schematic configuration of the bandwidth control apparatus according to the first embodiment of the present invention.
The packet receiving device 10 receives a plurality of types of packets and transfers the packets to the packet type identification device 11.
The packet type identification device 11 identifies whether the packet is a priority packet or a non-priority packet. Although information for identification is not shown, it is received in advance from a separately provided attack detection system. For example, assuming a TCP Syn-flood attack, there may be a case where a packet with the TCP Syn flag set is identified as a non-priority packet, and the other packets of TCP are identified as priority packets.
In this case, the normal traffic flow (L flow) described in the background art is a priority packet (packet without a TCP Syn flag), and the suspect traffic flow (S flow) is a non-priority packet (TCP Syn flag Equivalent to standing packet).
This is because in the case of a syn-flood attack, all attack packets are packets with the TCP Syn flag set, but even regular packets have a packet with the TCP Syn flag set.
Further, when an attack traffic flow (M flow) can be detected, for example, when an attack packet source address is specified in the attack detection system, control is performed to block the attack packet at the control point in FIG. Since is not directly related, no further explanation will be given.

パケット種別識別装置11において、優先パケットと識別されたパケットはトークン残量計算装置13に転送される。
非優先パケットと識別されたパケットは、非優先パケット蓄積装置15を設けない場合については、非優先パケット送出判断装置12に転送される。非優先パケット蓄積装置15を設ける場合については、非優先パケット蓄積装置15が空きでなければ、非優先パケット蓄積装置15に転送され、非優先パケット蓄積装置15が空きであれば、非優先パケット送出判断装置12に転送される。
トークン発行装置16では、パケットの送出を許可するトークンを、単位時間毎に一定レートで発行する。例えば、被攻撃サーバ1など流入するトラフィックの総量を制御したい制御対象について、その処理能力をパケットの総量制限値Cbpsとして制御する場合は、1秒間にCビットのパケット送出を許可するトークンを一定レートで発行する。
トークン蓄積装置17は、トークン発行装置16が発行したトークンを蓄積する。
トークン残量計算装置13は、優先パケット、または、非優先パケットの送出時に該パケットのデータ量の分だけ、トークン蓄積装置17に蓄積されているトークンを消費してトークンの残量を計算し、その結果をトークン蓄積装置17に蓄える。
ここで、優先パケットの送出時には、トークンが不足していても優先パケットを送出してトークン残量をマイナス値として計算し、計算の結果をトークン蓄積装置17に蓄える。この処理のあと、優先パケットは、パケット送出装置14に転送される。
The packet identified by the packet type identification device 11 as a priority packet is transferred to the token remaining amount calculation device 13.
A packet identified as a non-priority packet is transferred to the non-priority packet transmission determination device 12 when the non-priority packet storage device 15 is not provided. When the non-priority packet storage device 15 is provided, if the non-priority packet storage device 15 is not empty, it is transferred to the non-priority packet storage device 15; It is transferred to the determination device 12.
The token issuing device 16 issues a token that permits packet transmission at a constant rate every unit time. For example, when the processing capacity is controlled as the total amount limit value Cbps of a control target that wants to control the total amount of traffic that flows, such as the attacked server 1, a token that permits C-bit packet transmission per second is set at a constant rate. Issue with
The token storage device 17 stores the token issued by the token issuing device 16.
The token remaining amount calculating device 13 consumes the token accumulated in the token accumulating device 17 by the amount of data of the priority packet or the non-priority packet and calculates the remaining amount of token. The result is stored in the token storage device 17.
Here, when the priority packet is transmitted, the priority packet is transmitted even if the token is insufficient, the remaining token amount is calculated as a negative value, and the calculation result is stored in the token storage device 17. After this processing, the priority packet is transferred to the packet transmission device 14.

非優先パケット送出判断装置12は、トークン蓄積装置17にて蓄積しているトークンの残量で、送出許可できるパケットデータ量と送出したい非優先パケットのデータ量を比較して、等しいか前者が大きい場合に非優先パケットの送出を許可する。
この比較は、パケット種別識別装置11から、非優先パケットを受け取ったときには、非優先パケットとトークン残量を比較する。または、非優先パケット蓄積装置15を設けるケースでは、トークン発行装置16がトークンを発行したときに、非優先パケット蓄積装置15の中で、例えば、最も時間が経過しているパケットなど次に送出すべきパケットとトークン残量を比較する。
送出を許可した非優先パケットは、トークン残量計算装置13に転送される。送出を許可できない場合は、非優先パケット蓄積装置15に該パケットを蓄積する。
パケット送出装置14では、受信したパケットを本実施例の帯域制御装置から送出する。
The non-priority packet transmission determination device 12 compares the packet data amount that can be permitted to be transmitted with the remaining token amount stored in the token storage device 17 and the data amount of the non-priority packet to be transmitted. Allow sending of non-priority packets.
In this comparison, when a non-priority packet is received from the packet type identification device 11, the non-priority packet and the remaining token amount are compared. Alternatively, in the case where the non-priority packet storage device 15 is provided, when the token issuing device 16 issues a token, the non-priority packet storage device 15 transmits, for example, the packet that has passed the most time next. Compare the packet and the token remaining.
The non-priority packet permitted to be transmitted is transferred to the token remaining amount calculation device 13. If transmission cannot be permitted, the packet is stored in the non-priority packet storage device 15.
The packet transmission device 14 transmits the received packet from the bandwidth control device of this embodiment.

図5−1は、本実施例の帯域制御装置の処理手順として、非優先パケット蓄積装置15を設けたケースにおける処理手順を示すフローチャートである。
まず、本制御装置がパケットをパケット受信装置によりパケットを受信すると(ステップS1)、パケット種別識別装置11は、該パケットを優先パケットか非優先パケットかを識別する(ステップS2)。
ステップS2におけるパケット識別結果が優先パケットであれば、優先パケットのデータ量だけトークンを消費する。即ち、トークン残量計算装置13にて、トークン残量を計算して残量値をトークン蓄積装置17に蓄積する(ステップS3)。このとき、計算結果としてマイナス値を許容する。その後、優先パケットを送出する(ステップS4)。
ステップS2におけるパケット識別結果が非優先パケットの場合であれば、非優先パケット蓄積装置15が空きか否かを判断し(ステップS5)、ステップS5において非優先パケット蓄積装置15が空きでなければ、非優先パケットを非優先パケット蓄積装置15に入れる(ステップS9)。
ステップS5において非優先パケット蓄積装置15が空きであれば、非優先パケットのデータ量とトークン蓄積装置17に蓄積されたトークン残量を比較し(ステップS6)、トークン残量が等しいか多ければ、非優先パケットのデータ量だけトークンを消費、即ち、トークン残量計算装置13にて、トークン残量を計算して残量値をトークン蓄積装置17に蓄積する(ステップS7)。その後、非優先パケットを送出する(ステップS8)。
FIG. 5A is a flowchart illustrating a processing procedure in the case where the non-priority packet storage device 15 is provided as a processing procedure of the bandwidth control device of the present embodiment.
First, when the control device receives a packet by the packet receiving device (step S1), the packet type identifying device 11 identifies whether the packet is a priority packet or a non-priority packet (step S2).
If the packet identification result in step S2 is a priority packet, the token is consumed by the data amount of the priority packet. That is, the token remaining amount calculation device 13 calculates the token remaining amount and stores the remaining amount value in the token storage device 17 (step S3). At this time, a negative value is allowed as a calculation result. Thereafter, a priority packet is transmitted (step S4).
If the packet identification result in step S2 is a non-priority packet, it is determined whether or not the non-priority packet storage device 15 is empty (step S5). If the non-priority packet storage device 15 is not empty in step S5, The non-priority packet is put into the non-priority packet storage device 15 (step S9).
If the non-priority packet storage device 15 is empty in step S5, the data amount of the non-priority packet is compared with the remaining token amount stored in the token storage device 17 (step S6). The token is consumed by the data amount of the non-priority packet, that is, the token remaining amount calculation device 13 calculates the token remaining amount and stores the remaining amount value in the token storage device 17 (step S7). Thereafter, a non-priority packet is transmitted (step S8).

ステップS6において、トークン残量が非優先パケットのデータ量よりも少なければ、非優先パケットを非優先パケット蓄積装置15に入れる(ステップS9)。
さらに、トークン発行装置16により、トークンが所望の送出レートに合わせて一定時間間隔で発行され、トークン蓄積装置17に蓄積されるが、トークンが発行されたときに(ステップS11)、発行されたトークンをトークン蓄積装置17に蓄積し(ステップS12)、その後、非優先パケット送出判断装置12が、非優先パケット蓄積装置15において、次に送出すべき非優先パケットのデータ量と、トークン蓄積装置17にあるトークン残量を比較し(ステップS13)、トークン残量が等しいか多ければ、非優先パケットのデータ量だけトークンを消費、即ち、トークン残量計算装置13にてトークン残量を計算して残量値をトークン蓄積装置17に蓄積する(ステップS7)。その後、非優先パケットを送出する(ステップS8)。ステップS13にてトークン残量が少なければ何もしない。
図5−2は、本実施例の帯域制御装置の処理手順として、非優先パケット蓄積装置15を設けないケースにおける処理手順を示すフローチャートである。図5−2のフローチャートは、ステップS5、ステップS9、ステップS13が省略され、ステップS9に代えてステップS9−1が追加される点で、図5−1のフローチャートと相異する。
非優先パケット蓄積装置15を設けないケースでは、図5−1のステップS5の処理はなく、これに続くステップS9の処理もない。また、ステップS6において、非優先パケットのデータ量がトークン残量よりも大きければ、当該非優先パケットは破棄される(ステップS9−1)。さらに、トークン発行時(ステップS11)に、特に、パケットに関する処理を行うことはなく、発行されたトークンをトークン蓄積装置17に蓄積する(ステップS12)。
以上説明したように、本実施例の帯域制御装置により、キュー機能とこれに優先度を持たせるための機能を設けることなく、かつ、優先パケットのトラフィック量を測定することなく、制御対象における優先パケットの余剰帯域を非優先パケットが最大限に利用できる帯域制御が可能となる。
If the token remaining amount is less than the data amount of the non-priority packet in step S6, the non-priority packet is put into the non-priority packet storage device 15 (step S9).
Furthermore, a token is issued by the token issuing device 16 at regular time intervals in accordance with a desired transmission rate and stored in the token storage device 17, but when the token is issued (step S11), the issued token Is stored in the token storage device 17 (step S12), and then the non-priority packet transmission determination device 12 in the non-priority packet storage device 15 stores the data amount of the non-priority packet to be transmitted next and the token storage device 17 The token remaining amount is compared (step S13), and if the token remaining amount is equal or large, the token is consumed by the data amount of the non-priority packet, that is, the token remaining amount calculation device 13 calculates the token remaining amount and The quantity value is stored in the token storage device 17 (step S7). Thereafter, a non-priority packet is transmitted (step S8). If the token remaining amount is small in step S13, nothing is done.
FIG. 5B is a flowchart illustrating the processing procedure in the case where the non-priority packet storage device 15 is not provided as the processing procedure of the bandwidth control device of the present embodiment. The flowchart of FIG. 5-2 is different from the flowchart of FIG. 5A in that step S5, step S9, and step S13 are omitted, and step S9-1 is added instead of step S9.
In the case where the non-priority packet storage device 15 is not provided, there is no processing in step S5 of FIG. 5-1, and there is no subsequent processing in step S9. In step S6, if the data amount of the non-priority packet is larger than the token remaining amount, the non-priority packet is discarded (step S9-1). Further, when the token is issued (step S11), the process relating to the packet is not particularly performed, and the issued token is stored in the token storage device 17 (step S12).
As described above, the bandwidth control device according to the present exemplary embodiment does not provide a queue function and a function for giving priority to the queue function, and does not measure the traffic amount of the priority packet. Bandwidth control that allows the non-priority packet to make maximum use of the surplus bandwidth of the packet becomes possible.

[実施例2]
図6は、本発明の実施例2の帯域制御装置が適用されるネットワーク環境を示す図である。
前述の図3のケースにおいて、ユーザ網3に被攻撃サーバ1とは、別のサーバ5が存在するケースである。別のサーバ5は単数であっても複数であってもよい。
ネットワーク事業者が該網のエッジにあたるエッジ装置2にて、本実施例の帯域制御装置を使用してDDoS攻撃対策のための制御を行うが、エッジ装置2に別のサーバ5へ向かうパケット(中立パケット)の通過があるため、本実施例の帯域制御装置では、中立パケットについて優先、非優先の制御に係らないように取り扱う必要がある。
図7は、本発明の実施例2の帯域制御装置の概略構成を示すブロック図である。
図7に示すブロック図の各装置において、図4に示すブロック図の各装置と機能が異なるのは、パケット種別識別装置11である。
[Example 2]
FIG. 6 is a diagram illustrating a network environment to which the bandwidth control apparatus according to the second embodiment of the present invention is applied.
In the case of FIG. 3 described above, a server 5 other than the attacked server 1 exists in the user network 3. Another server 5 may be singular or plural.
The network operator uses the bandwidth control device of this embodiment to control the DDoS attack countermeasure at the edge device 2 corresponding to the edge of the network. In the bandwidth control apparatus of this embodiment, it is necessary to handle the neutral packet so that it is not related to priority or non-priority control.
FIG. 7 is a block diagram showing a schematic configuration of the bandwidth control apparatus according to the second embodiment of the present invention.
In each device in the block diagram shown in FIG. 7, the packet type identification device 11 is different in function from each device in the block diagram shown in FIG. 4.

パケット種別識別装置11は、パケットが優先パケットか非優先パケットか中立パケットかを識別する。識別のための情報は図示していないが別に設けてある攻撃検出系から予め受け取っておく。
中立パケットは、本実施例では、別のサーバ5ヘ向かうパケットである。攻撃検出系が被攻撃サーバ1を検出し、その宛先をパケット種別識別装置11に知らせる。中立パケットは該宛先ではないパケットが相当するので、パケット種別識別装置11は宛先を確認して中立パケットを識別する。
また、被攻撃サーバ1宛のパケットについては、例えば、TCPのステップSyn−flood攻撃を想定すると、TCPのステップSynフラグが立ったパケットを非優先パケット、TCPのそれ以外のパケットは優先パケットとして識別する。
パケット種別識別装置11において、優先パケットと識別したパケットは、トークン残量計算装置13に転送する。非優先パケットと識別したパケットは非優先パケット送出判断装置12に転送する。中立パケットと識別したパケットはパケット送出装置14へ転送する。パケット種別識別装置11以外の装置は、図4に示す装置と同様の機能を有する。
The packet type identification device 11 identifies whether the packet is a priority packet, a non-priority packet, or a neutral packet. Information for identification is not shown, but is received in advance from an attack detection system provided separately.
In this embodiment, the neutral packet is a packet directed to another server 5. The attack detection system detects the attacked server 1 and informs the packet type identification device 11 of the destination. Since the neutral packet corresponds to a packet that is not the destination, the packet type identification device 11 confirms the destination and identifies the neutral packet.
For packets addressed to the attacked server 1, for example, assuming a TCP step syn-flood attack, packets with the TCP step syn flag set are identified as non-priority packets, and other TCP packets are identified as priority packets. To do.
The packet identified by the packet type identification device 11 as a priority packet is transferred to the token remaining amount calculation device 13. The packet identified as the non-priority packet is transferred to the non-priority packet transmission determination device 12. The packet identified as the neutral packet is transferred to the packet transmission device 14. Devices other than the packet type identification device 11 have the same functions as the device shown in FIG.

図8は、本発明の実施例2の帯域制御装置として、非優先パケット蓄積装置15を設けかつ、中立パケットの通過があるケースにおける処理手順を示すフローチャートである。
図8のフローチャートは、図5−1のステップS2で、パケット種別識別装置11が中立パケットと識別した場合の処理を追加したもので、他の部分は図5−1と同様である。
ステップS2において、パケット種別識別装置11が中立パケットと識別した場合は、パケット種別識別装置11が、パケット送出装置14に中立パケットを転送し、パケット送出装置14が中立パケットを送出する(ステップS21)。
以上により、被攻撃サーバ1と同じユーザ網3に位置する別のサーバ5に向かう中立パケットについては、トークンによる帯域制御を行わないように処理することができ、キュー機能とこれに優先度を持たせるための機能を設けることなく、かつ、優先パケットのトラフィック量を測定することなく、制御対象における優先パケットの余剰帯域を非優先パケットが最大限に利用できる帯域制御が可能となる。
なお、図示は省略するが、非優先パケット蓄積装置15を設けないケースでの処理手順を示す図5−2のフローチャートのステップS2において、パケット種別識別装置11が中立パケットと識別した場合に、パケット種別識別装置11が、パケット送出装置14に中立パケットを転送し、パケット送出装置14が中立パケットを送出するようにしてもよい。
FIG. 8 is a flowchart showing a processing procedure in the case where the non-priority packet storage device 15 is provided as the bandwidth control device according to the second embodiment of the present invention and there is a neutral packet passing.
The flowchart of FIG. 8 is obtained by adding processing when the packet type identification device 11 identifies a neutral packet in step S2 of FIG. 5-1, and the other parts are the same as FIG. 5-1.
In step S2, when the packet type identification device 11 identifies a neutral packet, the packet type identification device 11 transfers the neutral packet to the packet transmission device 14, and the packet transmission device 14 transmits the neutral packet (step S21). .
As described above, a neutral packet destined for another server 5 located in the same user network 3 as the attacked server 1 can be processed so as not to perform bandwidth control by a token, and the queue function and priority are given to this. Therefore, it is possible to perform bandwidth control that allows the non-priority packet to make maximum use of the surplus bandwidth of the priority packet in the control target without providing a function for causing the priority packet to be measured and without measuring the traffic amount of the priority packet.
Although illustration is omitted, when the packet type identification device 11 identifies a neutral packet in step S2 of the flowchart of FIG. 5-2 showing the processing procedure in the case where the non-priority packet storage device 15 is not provided, the packet The type identification device 11 may transfer the neutral packet to the packet transmission device 14, and the packet transmission device 14 may transmit the neutral packet.

以上説明したように、本実施例によれば、キュー機能とこれに優先度を持たせるための機能を設けることなく、かつ、優先パケットのトラフィック量を測定することなく、制御対象における優先パケットの余剰帯域を非優先パケットが最大限に利用できる帯域制御が可能となる。
本実施例の帯域制御装置により、DDoS攻撃時において、その目標である、トラフィックが集中する被攻撃サーバを停止させることなく、正規のトラフィックを最大限に疎通させ、攻撃時においても最大限にサービス提供を継続することが可能となる。
さらに、被攻撃サーバ1に向かわないパケットが、本実施例の帯域制御装置を通過するケースにて必要となる中立パケットの疎通を妨げない対処も可能となる。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
As described above, according to the present embodiment, the priority packet of the control target can be controlled without providing the queue function and the function for giving priority to the queue function and without measuring the traffic amount of the priority packet. Bandwidth control that allows the non-priority packet to make maximum use of the surplus bandwidth is possible.
With the bandwidth control device of this embodiment, regular traffic can be communicated to the maximum without stopping the server under attack, which is the target of traffic during a DDoS attack, and the service can be maximized even during an attack. It becomes possible to continue providing.
Furthermore, it is possible to take a countermeasure that does not hinder the communication of the neutral packet that is required when the packet that does not go to the attacked server 1 passes through the bandwidth control device of this embodiment.
As mentioned above, the invention made by the present inventor has been specifically described based on the above embodiments. However, the present invention is not limited to the above embodiments, and various modifications can be made without departing from the scope of the invention. Of course.

本発明の第1、第2の帯域制御方法の要点を説明するための図である。It is a figure for demonstrating the principal point of the 1st, 2nd zone | band control method of this invention. 本発明の第3の帯域制御方法の要点を説明するための図である。It is a figure for demonstrating the principal point of the 3rd zone | band control method of this invention. 本発明の実施例1の帯域制御装置が適用されるネットワーク環境を示す図である。It is a figure which shows the network environment where the bandwidth control apparatus of Example 1 of this invention is applied. 本発明の実施例1の帯域制御装置の概略構成を示すブロック図である。It is a block diagram which shows schematic structure of the zone | band control apparatus of Example 1 of this invention. 本発明の実施例1帯域制御装置の処理手順として、非優先パケット蓄積装置を設けたケースにおける処理手順を示すフローチャートである。7 is a flowchart showing a processing procedure in a case where a non-priority packet storage device is provided as a processing procedure of the bandwidth control device according to the first embodiment of the present invention. 本発明の実施例1の帯域制御装置の処理手順として、非優先パケット蓄積装置を設けないケースにおける処理手順を示すフローチャートである。It is a flowchart which shows the process sequence in the case where a nonpriority packet storage apparatus is not provided as a process sequence of the bandwidth control apparatus of Example 1 of this invention. 本発明の実施例2の帯域制御装置が適用されるネットワーク環境を示す図である。It is a figure which shows the network environment where the bandwidth control apparatus of Example 2 of this invention is applied. 本発明の実施例2の帯域制御装置の概略構成を示すブロック図である。It is a block diagram which shows schematic structure of the zone | band control apparatus of Example 2 of this invention. 本発明の実施例2の帯域制御装置として、非優先パケット蓄積装置を設けかつ、中立パケットの通過があるケースにおける処理手順を示すフローチャートである。It is a flowchart which shows the process sequence in the case where a non-priority packet storage apparatus is provided as a bandwidth control apparatus of Example 2 of this invention, and there exists passage of a neutral packet.

符号の説明Explanation of symbols

1 被攻撃サーバ
2 エッジ装置
3 ユーザ網
4 ネットワーク事業者網
5 別のサーバ
10 パケット受信装置
11 パケット種別識別装置
12 非優先パケット送出判断装置
13 トークン残量計算装置
14 パケット送出装置
15 非優先パケット蓄積装置
16 トークン発行装置
17 トークン蓄積装置
DESCRIPTION OF SYMBOLS 1 Server under attack 2 Edge device 3 User network 4 Network provider network 5 Another server 10 Packet receiving device 11 Packet type identification device 12 Non-priority packet transmission judgment device 13 Token remaining amount calculation device 14 Packet transmission device 15 Non-priority packet accumulation Device 16 Token issuing device 17 Token storage device

Claims (6)

供給される複数種別のパケットに対して非優先パケットの帯域を制御する帯域制御方法であって、
単位時間毎に一定レートで発行され、予め決められたデータ量のパケット送出を許可するトークンをトークン蓄積装置に蓄積し、
供給されるパケットのパケット種別を、優先パケットと非優先パケットに識別し、
前記優先パケットの送出時にトークンが不足していても前記優先パケットを送出してトークン残量がマイナス値となるのを許容して、パケット送出時にパケットデータ量の分だけ前記トークン蓄積装置に蓄積されているトークンを消費してトークンの残量を計算し、計算の結果をトークン残量として前記トークン蓄積装置に蓄え、
前記トークン蓄積装置に蓄積されているトークンの残量で送出許可できるパケットデータ量と、送出したい前記非優先パケットのデータ量を比較して、等しいか前者が大きい場合に前記非優先パケットの送出を許可することを特徴とする帯域制御方法。
A bandwidth control method for controlling the bandwidth of a non-priority packet with respect to a plurality of types of supplied packets,
A token that is issued at a constant rate per unit time and permits a packet transmission of a predetermined amount of data is stored in the token storage device ,
Identify the packet types of the supplied packets as priority packets and non-priority packets,
Even if there are insufficient tokens when sending the priority packet, the priority packet is sent and the token remaining amount is allowed to be a negative value, and when the packet is sent, the amount of packet data is stored in the token storage device. To calculate the remaining token amount, and store the result of the calculation in the token storage device as the remaining token amount,
Compare the amount of packet data that can be permitted for transmission with the remaining amount of tokens stored in the token storage device and the amount of non-priority packets to be transmitted, and send the non-priority packets when they are equal or larger A bandwidth control method characterized by permitting.
前記非優先パケットを送出しないときに、前記非優先パケットを非優先パケット蓄積装置に蓄積し、
前記トークン蓄積装置にトークンが補給されて、前記トークン蓄積装置に前記非優先パケットの送出を許可できるだけトークンが蓄積された時点で、前記非優先パケットを順次送出することを特徴とする請求項1に記載の帯域制御方法。
When not sending the non-priority packet, accumulate the non-priority packet in a non-priority packet storage device ,
Token is supplied to the token storage device, when the permit possible token transmission of the non-priority packets on the token storage device is accumulated, in claim 1, characterized in that sequentially sends the non-priority packet The bandwidth control method described.
前記優先パケット、前記非優先パケットの他に中立パケットを定義し、
供給されるパケットのパケット種別を、前記優先パケットと、前記非優先パケット、前記中立パケットに識別し、
前記中立パケットを送出する場合についてはトークンを消費しないで送出を行うことを特徴とする請求項1または請求項2に記載の帯域制御方法。
Define a neutral packet in addition to the priority packet and the non-priority packet,
Identifying the packet type of the supplied packet as the priority packet, the non-priority packet, or the neutral packet,
3. The bandwidth control method according to claim 1, wherein the neutral packet is transmitted without consuming a token.
供給される複数種別のパケットに対して非優先パケットの帯域を制御する帯域制御装置であって、
供給されるパケットのパケット種別を優先パケットと非優先パケットに識別するパケット種別識別装置と、
予め決められたデータ量のパケット送出を許可するトークンを単位時間毎に一定レートで発行するトークン発行装置と、
トークン発行装置により発行されたトークンを蓄積するトークン蓄積装置と、
前記優先パケットの送出時にトークンが不足していても前記優先パケットを送出してトークン残量がマイナス値となるのを許容して、パケット送出時にパケットデータ量の分だけ前記トークン蓄積装置に蓄積されているトークンを消費してトークンの残量を計算し、計算の結果をトークン残量として前記トークン蓄積装置に蓄えるトークン残量計算装置と、
前記トークン蓄積装置に蓄積されているトークンの残量で送出許可できるパケットデータ量と送出したい前記非優先パケットのデータ量を比較して、等しいか前者が大きい場合に前記非優先パケットの送出を許可する非優先パケット送出判断装置とを有することを特徴とする帯域制御装置。
A bandwidth control device that controls the bandwidth of a non-priority packet with respect to a plurality of types of supplied packets,
A packet type identification device for identifying a packet type of a supplied packet into a priority packet and a non-priority packet;
A token issuing device that issues a token permitting packet transmission of a predetermined amount of data at a constant rate per unit time;
A token storage device for storing tokens issued by the token issuing device;
Even if there are insufficient tokens when sending the priority packet, the priority packet is sent and the token remaining amount is allowed to be a negative value, and when the packet is sent, the amount of packet data is stored in the token storage device. A token remaining amount calculating device for calculating the remaining amount of tokens by consuming the token being stored, and storing the result of the calculation in the token storage device as the remaining token amount;
Compare the amount of packet data that can be sent out with the remaining amount of tokens stored in the token storage device and the amount of data in the non-priority packet that you want to send, and allow sending of the non-priority packet when the former is equal or larger And a non-priority packet transmission judging device.
前記非優先パケットを送出しないときに前記非優先パケットを蓄積し、前記トークン蓄積装置にトークンが補給されて、前記トークン蓄積装置に前記非優先パケットの送出を許可できるだけトークンが蓄積された時点で、前記非優先パケットを順次送出するための非優先パケット蓄積装置とを有することを特徴とする請求項4に記載の帯域制御装置。 Said accumulated non-priority packets when not sending a non-priority packet, the token is supplied to the token storage device, when the permit possible token transmission of the non-priority packets on the token storage device is accumulated, The bandwidth control device according to claim 4, further comprising a non-priority packet storage device for sequentially transmitting the non-priority packets. 前記優先パケット、前記非優先パケットの他に中立パケットを定義し、
前記パケット種別識別装置は、供給されるパケットのパケット種別を、前記優先パケットと、前記非優先パケット、前記中立パケットに識別し、
前記中立パケットを送出する場合については、トークンを消費しないで送出を行うことを特徴とする請求項4または請求項5に記載の帯域制御装置。
Define a neutral packet in addition to the priority packet and the non-priority packet,
The packet type identification device identifies the packet type of the supplied packet as the priority packet, the non-priority packet, and the neutral packet,
6. The bandwidth control apparatus according to claim 4, wherein the neutral packet is transmitted without consuming a token.
JP2006059407A 2006-03-06 2006-03-06 BAND CONTROL METHOD AND BAND CONTROL DEVICE Expired - Fee Related JP4271199B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006059407A JP4271199B2 (en) 2006-03-06 2006-03-06 BAND CONTROL METHOD AND BAND CONTROL DEVICE

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006059407A JP4271199B2 (en) 2006-03-06 2006-03-06 BAND CONTROL METHOD AND BAND CONTROL DEVICE

Publications (2)

Publication Number Publication Date
JP2007243298A JP2007243298A (en) 2007-09-20
JP4271199B2 true JP4271199B2 (en) 2009-06-03

Family

ID=38588427

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006059407A Expired - Fee Related JP4271199B2 (en) 2006-03-06 2006-03-06 BAND CONTROL METHOD AND BAND CONTROL DEVICE

Country Status (1)

Country Link
JP (1) JP4271199B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022249451A1 (en) * 2021-05-28 2022-12-01 日本電信電話株式会社 Switch, network controller, communication control method, and communication control program
CN120144070B (en) * 2025-05-16 2025-07-22 中电云计算技术有限公司 Data verification method, device, equipment and computer readable storage medium

Also Published As

Publication number Publication date
JP2007243298A (en) 2007-09-20

Similar Documents

Publication Publication Date Title
US9231876B2 (en) User traffic accountability under congestion in flow-based multi-layer switches
US6961307B1 (en) Queue management mechanism for proportional loss rate differentiation
JP4474192B2 (en) Method and apparatus for implicit discrimination of quality of service in networks
US6621791B1 (en) Traffic management and flow prioritization over multiple physical interfaces on a routed computer network
US7289447B2 (en) Method and packet-level device for traffic regulation in a data network
US9998400B2 (en) Attribution of congestion contributions
CN103442076B (en) A kind of usability guarantee method of cloud storage system
US20050213504A1 (en) Information relay apparatus and method for collecting flow statistic information
EP1798914A1 (en) Congestion control
EP2575303A1 (en) Determining congestion measures
EP2033369B1 (en) Monitoring networks
US20090010165A1 (en) Apparatus and method for limiting packet transmission rate in communication system
WO2002088879A2 (en) Weighted fair queuing-based methods and apparatus for protecting against overload conditions on nodes of a distributed network
EP1592197B1 (en) Network amplification attack mitigation
WO2007124296A2 (en) A modification of policing methods to make them more tcp-friendly
EP1759495B1 (en) Processing of data in networks
US8699373B1 (en) Service-card load distribution
CN100459589C (en) A method to monitor flow and flow monitoring equipment
US20080267068A1 (en) Lightweight bandwidth-management scheme for elastic traffic
JP4271199B2 (en) BAND CONTROL METHOD AND BAND CONTROL DEVICE
JP4697968B2 (en) Distributed denial-of-service attack prevention system, method, and bandwidth management apparatus thereof
Barakat et al. A markovian model for TCP analysis in a differentiated services network
Akintola et al. Modeling and Performance Analysis of Dynamic Random Early Detection (DRED) Gateway for Congestion Avoidance.
JP2003087313A (en) Multiplexing device, band control device, program and recording medium
JP2003023451A (en) Arrival rate detector

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080826

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081024

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090224

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090224

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120306

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4271199

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130306

Year of fee payment: 4

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees