JP4271199B2 - BAND CONTROL METHOD AND BAND CONTROL DEVICE - Google Patents
BAND CONTROL METHOD AND BAND CONTROL DEVICE Download PDFInfo
- Publication number
- JP4271199B2 JP4271199B2 JP2006059407A JP2006059407A JP4271199B2 JP 4271199 B2 JP4271199 B2 JP 4271199B2 JP 2006059407 A JP2006059407 A JP 2006059407A JP 2006059407 A JP2006059407 A JP 2006059407A JP 4271199 B2 JP4271199 B2 JP 4271199B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- token
- priority
- storage device
- amount
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Communication Control (AREA)
Description
本発明は、帯域制御方法および帯域制御装置に係り、特に、優先パケットの利用による余剰帯域を非優先パケットが利用する際の、非優先パケットの帯域を制御するための帯域制御方法および帯域制御装置に関する。 The present invention relates to a bandwidth control method and a bandwidth control device, and in particular, a bandwidth control method and a bandwidth control device for controlling the bandwidth of a non-priority packet when a non-priority packet uses a surplus bandwidth due to the use of a priority packet. About.
多くの端末から特定のwebサイト等にサーバの処理能力を超えるトラフィックを集中させてサービスの停止を引き起こす分散サービス停止(DDoS;Distributed Denial of Service)攻撃が増加しつつある。DDoS攻撃対策では、攻撃を検出し、これに基づいて行うトラフィック制御が考えられる。
攻撃検出系にて、各パケットに対し、正規トラフィックフロー(Lフロー)、攻撃トラフィックフロー(Mフロー)、いずれかの判定が出来ない容疑トラフィックフロー(Sフロー)を判定してパケットヘッダ等により区別できるようにした後、制御系において各パケットヘッダによりパケットがどのフローに属するかを識別して各フローに応じたトラフィック制御を行う。
DDoS攻撃時の対策の目標は、トラフィックが集中する被攻撃サーバを停止させることなく、正規のトラフィックを最大限に疎通させ、攻撃時においても最大限にサービス提供を継続できるようにすることである。
攻撃時にはネットワーク、サーバ等において相対的に設備量の小さな部分から輻輳するが、通常は被攻撃サーバがネックとなる。
A distributed service outage (DDoS) attack that causes a service stop by concentrating traffic exceeding the processing capacity of the server from a large number of terminals to a specific web site or the like is increasing. In DDoS attack countermeasures, traffic control performed based on an attack detected is conceivable.
In the attack detection system, for each packet, a normal traffic flow (L flow), an attack traffic flow (M flow), or a suspected traffic flow (S flow) that cannot be determined, is distinguished by a packet header or the like. After making it possible, the control system identifies which flow the packet belongs to by each packet header and performs traffic control according to each flow.
The goal of countermeasures against DDoS attacks is to allow regular traffic to communicate as much as possible without stopping the attacked server where traffic concentrates, and to continue maximizing service provision even during an attack. .
At the time of an attack, congestion occurs from a relatively small part of the network, server, etc., but usually the attacked server becomes a bottleneck.
このため、被攻撃サーバに向かうパケットのうち、Lフローに属するパケットは可能な限り疎通を確保し、Mフローのパケットは遮断する制御を行う。
Sフローのパケットについては、正規か攻撃かの判断がつかないパケットであるため、正規のパケットについて最大限の疎通を確保するために、被攻撃サーバの処理能力(Cbps)についてLフローに属するパケット処理の余剰処理能力分だけの疎通を確保するように帯域制御を行うことが必要となる。
すなわち、Lフローのトラフィック量をLbpsとすると(C−L)bpsのレートを実現する帯域制御が必要となる。このためには、Lフローのトラフィック量Lbpsを測定し、これに応じて(C−L)bpsのレートを時々刻々調整する必要がある。
トラフィック量を実際に測定することなく容易に帯域制御を行う方式としてトークンバケット方式がある。
トークンバケット方式は、単位時間毎に一定レートのパケットの送出を許可するトークンを発行してパケットを送出させる毎にトークンを消費する方式である。トークンバケットを応用した様々な帯域制御が提案されている(下記、特許文献1参照)。
For this reason, among the packets destined for the attacked server, a packet belonging to the L flow is secured as much as possible, and the M flow packet is controlled to be blocked.
Since the packet of the S flow is a packet for which it is impossible to determine whether the packet is legitimate or attack, in order to ensure maximum communication with the legitimate packet, the packet belonging to the L flow with respect to the processing capability (Cbps) of the attacked server It is necessary to perform bandwidth control so as to ensure communication for the surplus processing capacity of processing.
In other words, if the traffic amount of the L flow is Lbps, bandwidth control for realizing a (CL) bps rate is required. For this purpose, it is necessary to measure the traffic amount Lbps of the L flow and adjust the rate of (CL) bps from time to time accordingly.
There is a token bucket method as a method for easily performing bandwidth control without actually measuring the traffic volume.
The token bucket method is a method of consuming a token every time a packet is transmitted by issuing a token that permits transmission of a packet at a constant rate per unit time. Various bandwidth controls using token buckets have been proposed (see
なお、本願発明に関連する先行技術文献としては以下のものがある。
トラフィックを測定してレートを時々刻々調整する煩雑さを回避するため、実際に測定することなく容易に帯域制御を行うトークンバケット方式の応用が考えられる。
しかしながら、前述の特許文献1などの従来の提案は、ネットワーク上でのサービス品質保証、トラフィックフロー間の公平性、余剰帯域の活用を目的としたもので、DDoS攻撃時の対策を目的とするものではない。
また、トラフィックを測定してトークン量を調整する方法、余ったトークンの再配置などを提案するもので方法も異なり、DDoS攻撃時の対策を可能とするものではない。
DDoS攻撃時の対策として、トラフィックが集中する被攻撃サーバを停止させることなく、正規のトラフィックを最大限に疎通させ、攻撃時においても最大限にサービス提供を継続できるようにすることを目標に、実際にトラフィック測定を行う煩雑さを伴わない帯域制御方法、帯域制御装置が要望される。
本課題に対する方法、装置として、優先キューと非優先キューとを設け、優先キューにLフローに属する優先パケットを、非優先キューにSフローに属する非優先パケットを入れ、両者から吐き出されるパケットを区別することなくまとめてトークンパケット方式などの絞り込み方式にて被攻撃サーバの処理能力Cのレートで絞り込む方法が考えられる。この場合には、優先キューと非優先キュー、即ち、キュー機能とこれに優先度を持たせるための機能を設ける必要がある。
本発明は、前記従来技術の問題点を解決するためになされたものであり、本発明の目的は、トラフィックが集中する被攻撃サーバを停止させることなく、正規のトラフィックを最大限に疎通させ、攻撃時においても最大限にサービス提供を継続可能とする技術として、優先、非優先キュー、即ち、キュー機能とこれに優先度を持たせるための機能を設けることなく実現する帯域制御方法、帯域制御装置を提供することにある。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかにする。
In order to avoid the complexity of measuring traffic and adjusting the rate from time to time, an application of a token bucket system that easily performs bandwidth control without actually measuring it can be considered.
However, the conventional proposals such as the above-mentioned
Also, a method for adjusting the amount of tokens by measuring traffic and a method for rearranging surplus tokens are proposed, and the methods are different, and it is not possible to take measures against a DDoS attack.
As a countermeasure for DDoS attacks, the goal is to allow regular traffic to communicate as much as possible without stopping the server under attack, where traffic is concentrated, and to continue maximizing service provision even during an attack. There is a need for a bandwidth control method and bandwidth control device that do not involve the complexity of actually measuring traffic.
As a method and apparatus for this problem, a priority queue and a non-priority queue are provided, priority packets belonging to the L flow are placed in the priority queue, and non-priority packets belonging to the S flow are placed in the non-priority queue, and packets discharged from both are distinguished. A method of narrowing down at the rate of the processing capability C of the attacked server by a narrowing-down method such as a token packet method can be considered. In this case, it is necessary to provide a priority queue and a non-priority queue, that is, a queue function and a function for giving priority to the queue function.
The present invention was made to solve the problems of the prior art, and the object of the present invention is to allow normal traffic to communicate as much as possible without stopping the attacked server where the traffic is concentrated. Bandwidth control method and bandwidth control realized without providing priority and non-priority queues, that is, a queue function and a function for giving priority to it as a technology that can continue to provide services to the maximum possible even during an attack To provide an apparatus.
The above and other objects and novel features of the present invention will become apparent from the description of this specification and the accompanying drawings.
本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、下記の通りである。
本発明の第1、2の帯域制御方法(本発明の請求項1、請求項2に係る帯域制御方法)の要点を図1で説明する。
トークンを被攻撃サーバなど制御対象の処理能力Cのレートで単位時間毎に補給する。パケット送出時に、該パケットのデータ量分だけトークンを消費する。但し、優先パケットについては、トークン不足時でもトークンを消費しトークン借りを認める。
非優先パケットでは、トークン不足時にはパケットを破棄する、あるいは、非優先パケット蓄積機能を設ける場合については、当該機能に並べ、トークンが補給されてパケット転送を許容できるだけ貯まった時点で順次送出する。
これにより、キュー機能とこれに優先度を持たせるための機能を設けることなく、かつ、優先パケットのフロー(L)を実際に測定することなく、(C−L)のレートで非優先パケットの帯域制御が可能となる。
即ち、本発明の第1、2の帯域制御方法は、単位時間毎に一定レートで発行され、予め決められたデータ量のパケット送出を許可するトークンをトークン蓄積装置に蓄積し、供給されるパケットのパケット種別を、優先パケットと非優先パケットに識別し、前記優先パケットの送出時にトークンが不足していても前記優先パケットを送出してトークン残量がマイナス値となるのを許容して、パケット送出時にパケットデータ量の分だけ前記トークン蓄積装置に蓄積されているトークンを消費してトークンの残量を計算し、計算の結果をトークン残量として前記トークン蓄積装置に蓄え、前記トークン蓄積装置に蓄積されているトークンの残量で送出許可できるパケットデータ量と、送出したい前記非優先パケットのデータ量を比較して、等しいか前者が大きい場合に前記非優先パケットの送出を許可し、前記非優先パケットを送出しないときにパケットを破棄する、あるいは、前記非優先パケットを非優先パケット蓄積装置に蓄積し、前記トークン蓄積装置にトークンが補給されて、前記トークン蓄積装置に前記非優先パケットの送出を許可できるだけトークンが蓄積された時点で、前記非優先パケットを順次送出する。
これにより、キュー機能とこれに優先度を持たせるための機能を設けることなく、かつ、優先パケットのフロー(L)を実際に測定することなく、(C−L)のレートで非優先パケットの帯域を制御することが可能となる。
Of the inventions disclosed in this application, the outline of typical ones will be briefly described as follows.
The main points of the first and second band control methods of the present invention (band control methods according to
The token is replenished every unit time at the rate of the processing capability C to be controlled such as the attacked server. When sending a packet, tokens are consumed by the amount of data in the packet. However, for priority packets, tokens are consumed and token borrowing is permitted even when tokens are insufficient.
In the case of non-priority packets, packets are discarded when there is a shortage of tokens, or when a non-priority packet storage function is provided, the non-priority packets are sequentially sent out when tokens are replenished and packet transfer is allowed to be stored.
Thereby, without providing a queue function and a function for giving priority to this, and without actually measuring the flow (L) of the priority packet, the non-priority packet is transmitted at the rate of (CL). Band control is possible.
That is, according to the first and second bandwidth control methods of the present invention, tokens that are issued at a constant rate per unit time and permit the packet transmission of a predetermined amount of data are stored in the token storage device and supplied packets. The packet type is identified as a priority packet and a non-priority packet, and even if a token is insufficient at the time of sending the priority packet, the priority packet is sent and the token remaining amount is allowed to be a negative value. the amount corresponding to the amount of packet data consumes tokens said accumulated in the token storage device calculates the remaining amount of tokens upon delivery, stored in the token storage device the result of the calculation as a token remaining in the token storage device Compare the amount of packet data that can be sent with the remaining amount of tokens accumulated and the amount of non-priority packet data that you want to send. Or former said to allow delivery of the non-priority packet is large, the discards packets when not sending a non-priority packet, or by storing the non-priority packets in the non-priority packet storage device, the token storage device The tokens are replenished, and when the tokens are accumulated so as to allow the token storage device to transmit the non-priority packets, the non-priority packets are sequentially transmitted.
Thereby, without providing a queue function and a function for giving priority to this, and without actually measuring the flow (L) of the priority packet, the non-priority packet is transmitted at the rate of (CL). The bandwidth can be controlled.
本発明の第3の帯域制御方法(本発明の請求項3に係る帯域制御方法)の要点を図2で説明する。
本発明の第3の帯域制御方法では、優先でもなく非優先でもない中立パケットに対する方式を示すものである。この中立パケットに対してはトークンを消費せずにパケットを送出する。
このため、本発明の第3の帯域制御方法では、供給されるパケットのパケット種別を、前記優先パケットと、前記非優先パケット、前記中立パケットに識別し、中立パケットを送出する場合についてはトークンを消費しないこととする。
本発明の請求項4〜請求項6に係わる帯域制御装置は、前述の本発明の請求項1〜請求項3に係わる帯域制御方法を実施するための帯域制御装置である。
The main points of the third bandwidth control method of the present invention (the bandwidth control method according to
The third bandwidth control method of the present invention shows a scheme for neutral packets that are neither priority nor non-priority. For this neutral packet, the packet is transmitted without consuming the token.
For this reason, in the third bandwidth control method of the present invention, the packet types of the supplied packets are identified as the priority packet, the non-priority packet, and the neutral packet, and a token is used when the neutral packet is transmitted. Do not consume.
The bandwidth control device according to
本願において開示される発明のうち代表的なものによって得られる効果を簡単に説明すれば、下記の通りである。
本発明によれば、トラフィックが集中する被攻撃サーバを停止させることなく、正規のトラフィックを最大限に疎通させ、攻撃時においても最大限にサービス提供を継続することが可能となる。
The effects obtained by the representative ones of the inventions disclosed in the present application will be briefly described as follows.
According to the present invention, regular traffic can be communicated to the maximum without stopping an attacked server on which traffic is concentrated, and service provision can be continued to the maximum even during an attack.
以下、図面を参照して本発明の実施例を詳細に説明する。
なお、実施例を説明するための全図において、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。
[実施例1]
図3は、本発明の実施例1の帯域制御装置が適用されるネットワーク環境を示す図である。
図3に示すように、ユーザ網3とネットワーク事業者網4がアクセスリンクで接続され、DDoS攻撃を被る被攻撃サーバ1がユーザ網内にあり、ネットワーク事業者が該網のエッジにあたるエッジ装置2にて、本実施例の帯域制御装置を使用してDDoS攻撃対策のための制御を行うケースを想定する。
エッジ装置2は、通常ルータ装置が考えられ、ルータが帯域制御方法を実施することになるが、ルータに付加する外部制御装置でもよい。
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
In all the drawings for explaining the embodiments, parts having the same functions are given the same reference numerals, and repeated explanation thereof is omitted.
[Example 1]
FIG. 3 is a diagram illustrating a network environment to which the bandwidth control device according to the first embodiment of the present invention is applied.
As shown in FIG. 3, a
The
図4は、本発明の実施例1の帯域制御装置の概略構成を示すブロック図である。
パケット受信装置10は、複数種別のパケットを受信し、パケット種別識別装置11ヘパケットを転送する。
パケット種別識別装置11は、パケットが優先パケットか非優先パケットを識別する。識別のための情報は図示していないが、別に設けてある攻撃検出系から予め受け取っておく。例えば、TCPのSyn−flood攻撃を想定すると、TCPのSynフラグが立ったパケットを非優先パケット、TCPのそれ以外のパケットは優先パケットとして識別するケースがありえる。
尚、このケースでは、背景技術にて説明した正規トラフィックフロー(Lフロー)が優先パケット(TCPのSynフラグの立たないパケット)、容疑トラフィックフロー(Sフロー)が非優先パケット(TCPのSynフラグの立ったパケット)に相当する。
Syn−flood攻撃の場合、攻撃パケットは全てTCPのSynフラグの立ったパケットであるが、正規なパケットでもTCPのSynフラグが立ったパケットがあるからである。
また、攻撃検出系にて攻撃パケットの発アドレスを特定した場合など攻撃トラフィックフロー(Mフロー)が検出できた場合は、図1の制御ポイントで攻撃パケットを遮断する制御を行うが、本発明には直接関係しないため以降説明はしない。
FIG. 4 is a block diagram illustrating a schematic configuration of the bandwidth control apparatus according to the first embodiment of the present invention.
The packet receiving
The packet
In this case, the normal traffic flow (L flow) described in the background art is a priority packet (packet without a TCP Syn flag), and the suspect traffic flow (S flow) is a non-priority packet (TCP Syn flag Equivalent to standing packet).
This is because in the case of a syn-flood attack, all attack packets are packets with the TCP Syn flag set, but even regular packets have a packet with the TCP Syn flag set.
Further, when an attack traffic flow (M flow) can be detected, for example, when an attack packet source address is specified in the attack detection system, control is performed to block the attack packet at the control point in FIG. Since is not directly related, no further explanation will be given.
パケット種別識別装置11において、優先パケットと識別されたパケットはトークン残量計算装置13に転送される。
非優先パケットと識別されたパケットは、非優先パケット蓄積装置15を設けない場合については、非優先パケット送出判断装置12に転送される。非優先パケット蓄積装置15を設ける場合については、非優先パケット蓄積装置15が空きでなければ、非優先パケット蓄積装置15に転送され、非優先パケット蓄積装置15が空きであれば、非優先パケット送出判断装置12に転送される。
トークン発行装置16では、パケットの送出を許可するトークンを、単位時間毎に一定レートで発行する。例えば、被攻撃サーバ1など流入するトラフィックの総量を制御したい制御対象について、その処理能力をパケットの総量制限値Cbpsとして制御する場合は、1秒間にCビットのパケット送出を許可するトークンを一定レートで発行する。
トークン蓄積装置17は、トークン発行装置16が発行したトークンを蓄積する。
トークン残量計算装置13は、優先パケット、または、非優先パケットの送出時に該パケットのデータ量の分だけ、トークン蓄積装置17に蓄積されているトークンを消費してトークンの残量を計算し、その結果をトークン蓄積装置17に蓄える。
ここで、優先パケットの送出時には、トークンが不足していても優先パケットを送出してトークン残量をマイナス値として計算し、計算の結果をトークン蓄積装置17に蓄える。この処理のあと、優先パケットは、パケット送出装置14に転送される。
The packet identified by the packet
A packet identified as a non-priority packet is transferred to the non-priority packet
The
The
The token remaining
Here, when the priority packet is transmitted, the priority packet is transmitted even if the token is insufficient, the remaining token amount is calculated as a negative value, and the calculation result is stored in the
非優先パケット送出判断装置12は、トークン蓄積装置17にて蓄積しているトークンの残量で、送出許可できるパケットデータ量と送出したい非優先パケットのデータ量を比較して、等しいか前者が大きい場合に非優先パケットの送出を許可する。
この比較は、パケット種別識別装置11から、非優先パケットを受け取ったときには、非優先パケットとトークン残量を比較する。または、非優先パケット蓄積装置15を設けるケースでは、トークン発行装置16がトークンを発行したときに、非優先パケット蓄積装置15の中で、例えば、最も時間が経過しているパケットなど次に送出すべきパケットとトークン残量を比較する。
送出を許可した非優先パケットは、トークン残量計算装置13に転送される。送出を許可できない場合は、非優先パケット蓄積装置15に該パケットを蓄積する。
パケット送出装置14では、受信したパケットを本実施例の帯域制御装置から送出する。
The non-priority packet
In this comparison, when a non-priority packet is received from the packet
The non-priority packet permitted to be transmitted is transferred to the token remaining
The
図5−1は、本実施例の帯域制御装置の処理手順として、非優先パケット蓄積装置15を設けたケースにおける処理手順を示すフローチャートである。
まず、本制御装置がパケットをパケット受信装置によりパケットを受信すると(ステップS1)、パケット種別識別装置11は、該パケットを優先パケットか非優先パケットかを識別する(ステップS2)。
ステップS2におけるパケット識別結果が優先パケットであれば、優先パケットのデータ量だけトークンを消費する。即ち、トークン残量計算装置13にて、トークン残量を計算して残量値をトークン蓄積装置17に蓄積する(ステップS3)。このとき、計算結果としてマイナス値を許容する。その後、優先パケットを送出する(ステップS4)。
ステップS2におけるパケット識別結果が非優先パケットの場合であれば、非優先パケット蓄積装置15が空きか否かを判断し(ステップS5)、ステップS5において非優先パケット蓄積装置15が空きでなければ、非優先パケットを非優先パケット蓄積装置15に入れる(ステップS9)。
ステップS5において非優先パケット蓄積装置15が空きであれば、非優先パケットのデータ量とトークン蓄積装置17に蓄積されたトークン残量を比較し(ステップS6)、トークン残量が等しいか多ければ、非優先パケットのデータ量だけトークンを消費、即ち、トークン残量計算装置13にて、トークン残量を計算して残量値をトークン蓄積装置17に蓄積する(ステップS7)。その後、非優先パケットを送出する(ステップS8)。
FIG. 5A is a flowchart illustrating a processing procedure in the case where the non-priority
First, when the control device receives a packet by the packet receiving device (step S1), the packet
If the packet identification result in step S2 is a priority packet, the token is consumed by the data amount of the priority packet. That is, the token remaining
If the packet identification result in step S2 is a non-priority packet, it is determined whether or not the non-priority
If the non-priority
ステップS6において、トークン残量が非優先パケットのデータ量よりも少なければ、非優先パケットを非優先パケット蓄積装置15に入れる(ステップS9)。
さらに、トークン発行装置16により、トークンが所望の送出レートに合わせて一定時間間隔で発行され、トークン蓄積装置17に蓄積されるが、トークンが発行されたときに(ステップS11)、発行されたトークンをトークン蓄積装置17に蓄積し(ステップS12)、その後、非優先パケット送出判断装置12が、非優先パケット蓄積装置15において、次に送出すべき非優先パケットのデータ量と、トークン蓄積装置17にあるトークン残量を比較し(ステップS13)、トークン残量が等しいか多ければ、非優先パケットのデータ量だけトークンを消費、即ち、トークン残量計算装置13にてトークン残量を計算して残量値をトークン蓄積装置17に蓄積する(ステップS7)。その後、非優先パケットを送出する(ステップS8)。ステップS13にてトークン残量が少なければ何もしない。
図5−2は、本実施例の帯域制御装置の処理手順として、非優先パケット蓄積装置15を設けないケースにおける処理手順を示すフローチャートである。図5−2のフローチャートは、ステップS5、ステップS9、ステップS13が省略され、ステップS9に代えてステップS9−1が追加される点で、図5−1のフローチャートと相異する。
非優先パケット蓄積装置15を設けないケースでは、図5−1のステップS5の処理はなく、これに続くステップS9の処理もない。また、ステップS6において、非優先パケットのデータ量がトークン残量よりも大きければ、当該非優先パケットは破棄される(ステップS9−1)。さらに、トークン発行時(ステップS11)に、特に、パケットに関する処理を行うことはなく、発行されたトークンをトークン蓄積装置17に蓄積する(ステップS12)。
以上説明したように、本実施例の帯域制御装置により、キュー機能とこれに優先度を持たせるための機能を設けることなく、かつ、優先パケットのトラフィック量を測定することなく、制御対象における優先パケットの余剰帯域を非優先パケットが最大限に利用できる帯域制御が可能となる。
If the token remaining amount is less than the data amount of the non-priority packet in step S6, the non-priority packet is put into the non-priority packet storage device 15 (step S9).
Furthermore, a token is issued by the
FIG. 5B is a flowchart illustrating the processing procedure in the case where the non-priority
In the case where the non-priority
As described above, the bandwidth control device according to the present exemplary embodiment does not provide a queue function and a function for giving priority to the queue function, and does not measure the traffic amount of the priority packet. Bandwidth control that allows the non-priority packet to make maximum use of the surplus bandwidth of the packet becomes possible.
[実施例2]
図6は、本発明の実施例2の帯域制御装置が適用されるネットワーク環境を示す図である。
前述の図3のケースにおいて、ユーザ網3に被攻撃サーバ1とは、別のサーバ5が存在するケースである。別のサーバ5は単数であっても複数であってもよい。
ネットワーク事業者が該網のエッジにあたるエッジ装置2にて、本実施例の帯域制御装置を使用してDDoS攻撃対策のための制御を行うが、エッジ装置2に別のサーバ5へ向かうパケット(中立パケット)の通過があるため、本実施例の帯域制御装置では、中立パケットについて優先、非優先の制御に係らないように取り扱う必要がある。
図7は、本発明の実施例2の帯域制御装置の概略構成を示すブロック図である。
図7に示すブロック図の各装置において、図4に示すブロック図の各装置と機能が異なるのは、パケット種別識別装置11である。
[Example 2]
FIG. 6 is a diagram illustrating a network environment to which the bandwidth control apparatus according to the second embodiment of the present invention is applied.
In the case of FIG. 3 described above, a
The network operator uses the bandwidth control device of this embodiment to control the DDoS attack countermeasure at the
FIG. 7 is a block diagram showing a schematic configuration of the bandwidth control apparatus according to the second embodiment of the present invention.
In each device in the block diagram shown in FIG. 7, the packet
パケット種別識別装置11は、パケットが優先パケットか非優先パケットか中立パケットかを識別する。識別のための情報は図示していないが別に設けてある攻撃検出系から予め受け取っておく。
中立パケットは、本実施例では、別のサーバ5ヘ向かうパケットである。攻撃検出系が被攻撃サーバ1を検出し、その宛先をパケット種別識別装置11に知らせる。中立パケットは該宛先ではないパケットが相当するので、パケット種別識別装置11は宛先を確認して中立パケットを識別する。
また、被攻撃サーバ1宛のパケットについては、例えば、TCPのステップSyn−flood攻撃を想定すると、TCPのステップSynフラグが立ったパケットを非優先パケット、TCPのそれ以外のパケットは優先パケットとして識別する。
パケット種別識別装置11において、優先パケットと識別したパケットは、トークン残量計算装置13に転送する。非優先パケットと識別したパケットは非優先パケット送出判断装置12に転送する。中立パケットと識別したパケットはパケット送出装置14へ転送する。パケット種別識別装置11以外の装置は、図4に示す装置と同様の機能を有する。
The packet
In this embodiment, the neutral packet is a packet directed to another
For packets addressed to the attacked
The packet identified by the packet
図8は、本発明の実施例2の帯域制御装置として、非優先パケット蓄積装置15を設けかつ、中立パケットの通過があるケースにおける処理手順を示すフローチャートである。
図8のフローチャートは、図5−1のステップS2で、パケット種別識別装置11が中立パケットと識別した場合の処理を追加したもので、他の部分は図5−1と同様である。
ステップS2において、パケット種別識別装置11が中立パケットと識別した場合は、パケット種別識別装置11が、パケット送出装置14に中立パケットを転送し、パケット送出装置14が中立パケットを送出する(ステップS21)。
以上により、被攻撃サーバ1と同じユーザ網3に位置する別のサーバ5に向かう中立パケットについては、トークンによる帯域制御を行わないように処理することができ、キュー機能とこれに優先度を持たせるための機能を設けることなく、かつ、優先パケットのトラフィック量を測定することなく、制御対象における優先パケットの余剰帯域を非優先パケットが最大限に利用できる帯域制御が可能となる。
なお、図示は省略するが、非優先パケット蓄積装置15を設けないケースでの処理手順を示す図5−2のフローチャートのステップS2において、パケット種別識別装置11が中立パケットと識別した場合に、パケット種別識別装置11が、パケット送出装置14に中立パケットを転送し、パケット送出装置14が中立パケットを送出するようにしてもよい。
FIG. 8 is a flowchart showing a processing procedure in the case where the non-priority
The flowchart of FIG. 8 is obtained by adding processing when the packet
In step S2, when the packet
As described above, a neutral packet destined for another
Although illustration is omitted, when the packet
以上説明したように、本実施例によれば、キュー機能とこれに優先度を持たせるための機能を設けることなく、かつ、優先パケットのトラフィック量を測定することなく、制御対象における優先パケットの余剰帯域を非優先パケットが最大限に利用できる帯域制御が可能となる。
本実施例の帯域制御装置により、DDoS攻撃時において、その目標である、トラフィックが集中する被攻撃サーバを停止させることなく、正規のトラフィックを最大限に疎通させ、攻撃時においても最大限にサービス提供を継続することが可能となる。
さらに、被攻撃サーバ1に向かわないパケットが、本実施例の帯域制御装置を通過するケースにて必要となる中立パケットの疎通を妨げない対処も可能となる。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
As described above, according to the present embodiment, the priority packet of the control target can be controlled without providing the queue function and the function for giving priority to the queue function and without measuring the traffic amount of the priority packet. Bandwidth control that allows the non-priority packet to make maximum use of the surplus bandwidth is possible.
With the bandwidth control device of this embodiment, regular traffic can be communicated to the maximum without stopping the server under attack, which is the target of traffic during a DDoS attack, and the service can be maximized even during an attack. It becomes possible to continue providing.
Furthermore, it is possible to take a countermeasure that does not hinder the communication of the neutral packet that is required when the packet that does not go to the attacked
As mentioned above, the invention made by the present inventor has been specifically described based on the above embodiments. However, the present invention is not limited to the above embodiments, and various modifications can be made without departing from the scope of the invention. Of course.
1 被攻撃サーバ
2 エッジ装置
3 ユーザ網
4 ネットワーク事業者網
5 別のサーバ
10 パケット受信装置
11 パケット種別識別装置
12 非優先パケット送出判断装置
13 トークン残量計算装置
14 パケット送出装置
15 非優先パケット蓄積装置
16 トークン発行装置
17 トークン蓄積装置
DESCRIPTION OF
Claims (6)
単位時間毎に一定レートで発行され、予め決められたデータ量のパケット送出を許可するトークンをトークン蓄積装置に蓄積し、
供給されるパケットのパケット種別を、優先パケットと非優先パケットに識別し、
前記優先パケットの送出時にトークンが不足していても前記優先パケットを送出してトークン残量がマイナス値となるのを許容して、パケット送出時にパケットデータ量の分だけ前記トークン蓄積装置に蓄積されているトークンを消費してトークンの残量を計算し、計算の結果をトークン残量として前記トークン蓄積装置に蓄え、
前記トークン蓄積装置に蓄積されているトークンの残量で送出許可できるパケットデータ量と、送出したい前記非優先パケットのデータ量を比較して、等しいか前者が大きい場合に前記非優先パケットの送出を許可することを特徴とする帯域制御方法。 A bandwidth control method for controlling the bandwidth of a non-priority packet with respect to a plurality of types of supplied packets,
A token that is issued at a constant rate per unit time and permits a packet transmission of a predetermined amount of data is stored in the token storage device ,
Identify the packet types of the supplied packets as priority packets and non-priority packets,
Even if there are insufficient tokens when sending the priority packet, the priority packet is sent and the token remaining amount is allowed to be a negative value, and when the packet is sent, the amount of packet data is stored in the token storage device. To calculate the remaining token amount, and store the result of the calculation in the token storage device as the remaining token amount,
Compare the amount of packet data that can be permitted for transmission with the remaining amount of tokens stored in the token storage device and the amount of non-priority packets to be transmitted, and send the non-priority packets when they are equal or larger A bandwidth control method characterized by permitting.
前記トークン蓄積装置にトークンが補給されて、前記トークン蓄積装置に前記非優先パケットの送出を許可できるだけトークンが蓄積された時点で、前記非優先パケットを順次送出することを特徴とする請求項1に記載の帯域制御方法。 When not sending the non-priority packet, accumulate the non-priority packet in a non-priority packet storage device ,
Token is supplied to the token storage device, when the permit possible token transmission of the non-priority packets on the token storage device is accumulated, in claim 1, characterized in that sequentially sends the non-priority packet The bandwidth control method described.
供給されるパケットのパケット種別を、前記優先パケットと、前記非優先パケット、前記中立パケットに識別し、
前記中立パケットを送出する場合についてはトークンを消費しないで送出を行うことを特徴とする請求項1または請求項2に記載の帯域制御方法。 Define a neutral packet in addition to the priority packet and the non-priority packet,
Identifying the packet type of the supplied packet as the priority packet, the non-priority packet, or the neutral packet,
3. The bandwidth control method according to claim 1, wherein the neutral packet is transmitted without consuming a token.
供給されるパケットのパケット種別を優先パケットと非優先パケットに識別するパケット種別識別装置と、
予め決められたデータ量のパケット送出を許可するトークンを単位時間毎に一定レートで発行するトークン発行装置と、
トークン発行装置により発行されたトークンを蓄積するトークン蓄積装置と、
前記優先パケットの送出時にトークンが不足していても前記優先パケットを送出してトークン残量がマイナス値となるのを許容して、パケット送出時にパケットデータ量の分だけ前記トークン蓄積装置に蓄積されているトークンを消費してトークンの残量を計算し、計算の結果をトークン残量として前記トークン蓄積装置に蓄えるトークン残量計算装置と、
前記トークン蓄積装置に蓄積されているトークンの残量で送出許可できるパケットデータ量と送出したい前記非優先パケットのデータ量を比較して、等しいか前者が大きい場合に前記非優先パケットの送出を許可する非優先パケット送出判断装置とを有することを特徴とする帯域制御装置。 A bandwidth control device that controls the bandwidth of a non-priority packet with respect to a plurality of types of supplied packets,
A packet type identification device for identifying a packet type of a supplied packet into a priority packet and a non-priority packet;
A token issuing device that issues a token permitting packet transmission of a predetermined amount of data at a constant rate per unit time;
A token storage device for storing tokens issued by the token issuing device;
Even if there are insufficient tokens when sending the priority packet, the priority packet is sent and the token remaining amount is allowed to be a negative value, and when the packet is sent, the amount of packet data is stored in the token storage device. A token remaining amount calculating device for calculating the remaining amount of tokens by consuming the token being stored, and storing the result of the calculation in the token storage device as the remaining token amount;
Compare the amount of packet data that can be sent out with the remaining amount of tokens stored in the token storage device and the amount of data in the non-priority packet that you want to send, and allow sending of the non-priority packet when the former is equal or larger And a non-priority packet transmission judging device.
前記パケット種別識別装置は、供給されるパケットのパケット種別を、前記優先パケットと、前記非優先パケット、前記中立パケットに識別し、
前記中立パケットを送出する場合については、トークンを消費しないで送出を行うことを特徴とする請求項4または請求項5に記載の帯域制御装置。 Define a neutral packet in addition to the priority packet and the non-priority packet,
The packet type identification device identifies the packet type of the supplied packet as the priority packet, the non-priority packet, and the neutral packet,
6. The bandwidth control apparatus according to claim 4, wherein the neutral packet is transmitted without consuming a token.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006059407A JP4271199B2 (en) | 2006-03-06 | 2006-03-06 | BAND CONTROL METHOD AND BAND CONTROL DEVICE |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006059407A JP4271199B2 (en) | 2006-03-06 | 2006-03-06 | BAND CONTROL METHOD AND BAND CONTROL DEVICE |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007243298A JP2007243298A (en) | 2007-09-20 |
| JP4271199B2 true JP4271199B2 (en) | 2009-06-03 |
Family
ID=38588427
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006059407A Expired - Fee Related JP4271199B2 (en) | 2006-03-06 | 2006-03-06 | BAND CONTROL METHOD AND BAND CONTROL DEVICE |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4271199B2 (en) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022249451A1 (en) * | 2021-05-28 | 2022-12-01 | 日本電信電話株式会社 | Switch, network controller, communication control method, and communication control program |
| CN120144070B (en) * | 2025-05-16 | 2025-07-22 | 中电云计算技术有限公司 | Data verification method, device, equipment and computer readable storage medium |
-
2006
- 2006-03-06 JP JP2006059407A patent/JP4271199B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007243298A (en) | 2007-09-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9231876B2 (en) | User traffic accountability under congestion in flow-based multi-layer switches | |
| US6961307B1 (en) | Queue management mechanism for proportional loss rate differentiation | |
| JP4474192B2 (en) | Method and apparatus for implicit discrimination of quality of service in networks | |
| US6621791B1 (en) | Traffic management and flow prioritization over multiple physical interfaces on a routed computer network | |
| US7289447B2 (en) | Method and packet-level device for traffic regulation in a data network | |
| US9998400B2 (en) | Attribution of congestion contributions | |
| CN103442076B (en) | A kind of usability guarantee method of cloud storage system | |
| US20050213504A1 (en) | Information relay apparatus and method for collecting flow statistic information | |
| EP1798914A1 (en) | Congestion control | |
| EP2575303A1 (en) | Determining congestion measures | |
| EP2033369B1 (en) | Monitoring networks | |
| US20090010165A1 (en) | Apparatus and method for limiting packet transmission rate in communication system | |
| WO2002088879A2 (en) | Weighted fair queuing-based methods and apparatus for protecting against overload conditions on nodes of a distributed network | |
| EP1592197B1 (en) | Network amplification attack mitigation | |
| WO2007124296A2 (en) | A modification of policing methods to make them more tcp-friendly | |
| EP1759495B1 (en) | Processing of data in networks | |
| US8699373B1 (en) | Service-card load distribution | |
| CN100459589C (en) | A method to monitor flow and flow monitoring equipment | |
| US20080267068A1 (en) | Lightweight bandwidth-management scheme for elastic traffic | |
| JP4271199B2 (en) | BAND CONTROL METHOD AND BAND CONTROL DEVICE | |
| JP4697968B2 (en) | Distributed denial-of-service attack prevention system, method, and bandwidth management apparatus thereof | |
| Barakat et al. | A markovian model for TCP analysis in a differentiated services network | |
| Akintola et al. | Modeling and Performance Analysis of Dynamic Random Early Detection (DRED) Gateway for Congestion Avoidance. | |
| JP2003087313A (en) | Multiplexing device, band control device, program and recording medium | |
| JP2003023451A (en) | Arrival rate detector |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080826 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081024 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090224 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090224 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120306 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4271199 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130306 Year of fee payment: 4 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |