A Proposal of Multi-Layer-Binding Router to Prevent Cyber-Attacks, and its Implementation and Evaluation using OpenFlow

アドレス詐称パケットやサイバー攻撃パケットのインターネットへの流出/流入阻止を目的としたマルチレイ ヤ・バインディング・ルータ(MLBR)を提案する.これは,(1) ノードもしくはエンティティから接続要求があっ た時,その真正性を認証し,認証レベルに応じて提供する通信サービス品質(QoS)を決定する,(2) 接続要求のあ ったポートまたはチャネルをキーに,ノードもしくはエンティティの IP アドレスと MAC アドレスとの対をバインデ ィングテーブルに登録する,(3) パケットを受信したポートまたはチャネルをキーにバインディングテーブルを検索 し,受信パケットの送信元 IP アドレスと送信元 MAC アドレスの対が存在するときは,次ホップノードへ指定された QoS で転送し,存在しないときはアドレス詐称パケットと見なして廃棄する,(4) 他のノードからの廃棄要請を受け て,以後,該当する攻撃パケットを廃棄する,さらに,(5) インターネット利用者側に egress MLBR を,インターネ ット側に ingress MLBR を配備することによって,攻撃パケットのインターネットへの流出/流入を阻止することを骨 子とする. OpenFlow を用いた小規模なテストベッドを構築し,テレビなどの IEEE802.1X 非対応ノードに対する ARP リフレ クションによる認証処理実験,SYN Flood 攻撃ツールを用いたアドレス詐称パケットの遮断実験,OpenFlow スイッチ の性能評価などを行い,所望の機能・性能を発揮することを確認した.