JP5111618B2 - Macテーブルのオーバーフロー攻撃に対する防御を容易にすること - Google Patents
Macテーブルのオーバーフロー攻撃に対する防御を容易にすること Download PDFInfo
- Publication number
- JP5111618B2 JP5111618B2 JP2010541881A JP2010541881A JP5111618B2 JP 5111618 B2 JP5111618 B2 JP 5111618B2 JP 2010541881 A JP2010541881 A JP 2010541881A JP 2010541881 A JP2010541881 A JP 2010541881A JP 5111618 B2 JP5111618 B2 JP 5111618B2
- Authority
- JP
- Japan
- Prior art keywords
- mac address
- mac
- category
- timeout value
- addresses
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 claims description 21
- 230000007246 mechanism Effects 0.000 claims description 12
- 230000002457 bidirectional effect Effects 0.000 claims description 6
- 230000004044 response Effects 0.000 claims description 3
- 101100059544 Arabidopsis thaliana CDC5 gene Proteins 0.000 description 19
- 101150115300 MAC1 gene Proteins 0.000 description 19
- 101100244969 Arabidopsis thaliana PRL1 gene Proteins 0.000 description 15
- 102100039558 Galectin-3 Human genes 0.000 description 15
- 101100454448 Homo sapiens LGALS3 gene Proteins 0.000 description 15
- 101150051246 MAC2 gene Proteins 0.000 description 15
- 230000008901 benefit Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000007423 decrease Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000000593 degrading effect Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 238000012559 user support system Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
- H04L12/462—LAN interconnection over a bridge based backbone
- H04L12/4625—Single bridge functionality, e.g. connection of two networks over a single bridge
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/25—Routing or path finding in a switch fabric
- H04L49/251—Cut-through or wormhole routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/35—Switches specially adapted for specific applications
- H04L49/351—Switches specially adapted for specific applications for local area network [LAN], e.g. Ethernet switches
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/145—Detection or countermeasures against cache poisoning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
本明細書でなされる開示は一般にMAC(メディアアクセス制御)テーブル内の送信元アドレス学習に関し、より詳細にはMACテーブル内の情報の制御を通じてMACテーブルのオーバーフロー攻撃に対する防御を容易にすることに関する。
イーサネット(登録商標)スイッチ(すなわちスイッチ)は、イーサネット(登録商標)フレームからの物理的宛先アドレス(すなわちMACアドレス)によってイーサネット(登録商標)フレームを特定のポートに転送する。これを行うためには、スイッチはどのポートが特定の宛先アドレスにつながるかを覚えなければならない。この情報は送信元学習として知られている手段によってポピュレートされている(すなわち組み込まれている)MACテーブルに格納される。送信元学習は、受信したイーサネット(登録商標)フレームの送信元アドレスを検査することによってイーサネット(登録商標)フレームのMACアドレスを動的に学習するスイッチを含む。このイーサネット(登録商標)フレームについてのMACアドレスがMACテーブル内に存在しない場合、このMACアドレスをMACアドレスが学習されたポートに関連付ける記録が作成される。
それぞれの動的に学習されたエントリは生存時間を有する。このように、それぞれのMACアドレスを指定しているイーサネット(登録商標)フレームが構成可能な期間にスイッチによって受信されない場合、MACテーブル内のそれぞれのエントリはエージアウトしてしまう。この構成可能な期間はタイムアウト値と呼ばれる。MACテーブルが一杯の場合、テーブル内のいくつかのエントリがエージアウトするまでMACアドレスは学習されない。
MACテーブル内の情報を管理することに関連する悪行については、MACテーブルのオーバーフロー攻撃がイーサネット(登録商標)LAN、および、たとえばMPLS(マルチプロトコルラベルスイッチング)を介する仮想プライベートLANサービス(VPLS)などの疑似イーサネット(登録商標)LANサービスにとって主なリスクのうちの1つである。MACテーブルのオーバーフロー攻撃では、攻撃者はイーサネット(登録商標)スイッチのMACテーブルの送信元学習を悪用しようとする。このような悪用は、イーサネット(登録商標)スイッチを多数の無効送信元MACアドレスにさらして(すなわち無効送信元MACアドレスの超過)、MACテーブルをこのような無効送信元MACアドレスで満たすことを含む。そうすることで、不明アドレスへの、またはそこからのトラフィックがイーサネット(登録商標)スイッチの全てのポートで超過してしまい、ネットワーク性能を著しく劣化させて、攻撃者がトラフィックをスヌープできるようにしてしまう。攻撃者が無効送信元MACアドレスの超過を維持すると、最終的に全てのより古い正当なMACエントリがエージアウトし、全ての正当なトラフィックが超過してしまう。都市圏ネットワークまたは広域ネットワーク上にイーサネット(登録商標)が展開される際、性能およびセキュリティの両方の観点からMACアドレス超過に関連する問題はより深刻になっている。
MACアドレス超過に対して防御するための1つの知られている手法は「ポートセキュリティ」と呼ばれる。ポートセキュリティは、イーサネット(登録商標)スイッチの特定のポートについて許容されたMACアドレスをネットワーク管理者が構成(たとえば統計的に構成)できるようにすることによってMACテーブルのオーバーフローを防止する働きをする。構成されたアドレス以外のアドレスから生じたフレームは廃棄される。しかし、それぞれのMACアドレスはイーサネット(登録商標)スイッチ上で手動で構成される必要があるので、適切にスケーラブルではないことがポートセキュリティの欠点である。したがって、ネットワークが十分に大きくなった場合(たとえばキャリアネットワーク)、全部のMACアドレスを手動で構成することはしばしば不可能である。
ポートセキュリティの拡張は「動的ポートセキュリティ」と呼ばれる。動的ポートセキュリティは、管理者がMACアドレス自体をただ構成できるのではなく、それぞれのポートについて許容されたMACアドレスの数を指定できるようにする。構成されたポートについて指定された数のMACアドレスが学習されると、他の送信元MACアドレスは許容されなくなる。このように、動的ポートセキュリティはMACアドレスの手動構成問題を解決する。しかし、動的ポートセキュリティもそれ自体の欠点がないわけではない。たとえば攻撃者があるポートでMAC超過攻撃を仕掛ける場合、MACアドレスの許容制限に到達すると、同じポートに接続された正当なホストに対してサービスの妨害(DoS)攻撃を引き起こすことがある。さらに、動的ポートセキュリティは柔軟性が制限されている。新しいユーザがポートに追加されると、スイッチ上のMACアドレスの許容制限を引き上げてより多くのMACアドレスを収容しなければならない。これらの理由から、動的ポートセキュリティはサービスプロバイダネットワークにとって適切ではない。
MACSec(すなわち、IEEE802.1aeで定義されたMACセキュリティ)と呼ばれる標準は、LANにおけるデータの機密性および完全性を保護するために暗号技法を使用することによってLANセキュリティを提供し、またMAC超過問題も間接的に解決する。しかしMACSecは、DoS攻撃を防止するためにスイッチおよび全てのエンドユーザのサポートを必要とする重量ソリューションである。したがって、MACSecは既存のネットワークでは作動しないことがある。さらにMACSecは、この標準をサポートするために必要なイーサネット(登録商標)のインストールベースをアップグレードするには実用的ではなく、PKI(公開鍵インフラストラクチャ)セキュリティ鍵を帯域外またはオンラインで配信するためにいくつかのメカニズムが設置されなければネットワーク通信を開始できない。MACSec標準をサポートするために重要な鍵管理作業が行われなければならない。その結果、VPLSサービスプロバイダなどの、速度およびサービス可用性により関心を持っている何人かのユーザにとっては、MACテーブルのオーバーフロー攻撃に対する軽量ソリューションの方がより望ましい場合がある。
IEEE802.1ae
MACテーブルのオーバーフロー攻撃に対して防御するための知られている手法に関連する限界を克服する方法でMACテーブルのオーバーフロー攻撃に対して防御するソリューションが好都合であり、望ましく、また便利であろう。
本発明の実施形態は、MACテーブルのオーバーフロー攻撃に対して防御するための知られている手法に関連する限界を克服する方法で、MACテーブルのオーバーフロー攻撃に対して防御するために構成されている。より詳細には、本発明の実施形態は攻撃者が無効送信元MACアドレスの超過を維持する場合に、MACテーブルのオーバーフロー攻撃がMACテーブル内の正当なMACエントリがエージアウトさせることを防ぐ。このように、本発明の実施形態は全ての正当なトラフィックが、攻撃者からの無効送信元MACアドレスを利用して超過させられるのを防止する。
従来、スイッチが送信元学習(すなわち動的学習)によってMACテーブルを作成し、このテーブルに基づいてフレームを転送する。これらの動的に学習したエントリのそれぞれは同じタイムアウト値を有する。したがってスイッチが攻撃を受ける場合、より古いエントリが新しいエントリよりもゆっくりとエージアウトすることが学習されると、最終的にそのスイッチのMACテーブルは容量が一杯になる。全てのMACアドレスに同じタイムアウト値を割り振ることとは対照的に、本発明の実施形態によって構成されたスイッチは、正当なMACアドレスに割り振るタイムアウト値より短いタイムアウト値を無効MACアドレスに割り振る。そうすることで、MACテーブルのオーバーフロー攻撃が起きた時に、MACテーブル内の無効エントリがより速くエージアウトして正当なMACアドレスのためのスペースを空けることができ、起こりうるMACテーブルのオーバーフロー攻撃を防止することができる。
本発明の一実施形態では、MACテーブルのオーバーフロー攻撃に対して防御するための方法は複数の操作を含む。MACテーブル内の複数のMACアドレスのそれぞれが、対応する一方向トラフィックまたは双方向トラフィックを有するかどうかを決定するために操作が実行される。その後、対応する双方向トラフィックを有するそれぞれのMACアドレスをMACアドレスの第1カテゴリと指定するために、および対応する一方向トラフィックを有するそれぞれのMACアドレスをMACアドレスの第2カテゴリと指定するために操作が実行される。規定のしきい値を超えるMACアドレスの第2カテゴリと指定されたMACアドレスの数に応じて、MACアドレスの第2カテゴリと指定されたMACアドレスの少なくとも一部のタイムアウト値が、MACアドレスの第1カテゴリと指定されたMACアドレスのタイムアウト値より少なくなるように操作が実行される。
本発明の他の実施形態では、イーサネット(登録商標)スイッチはMACテーブル、超過決定メカニズム、およびタイムアウト値調整メカニズムを備える。MACテーブルは内部に複数のMACアドレスエントリを有する。エントリのそれぞれは、それぞれのMACアドレス、それぞれのMACアドレスカテゴリ、およびそれぞれのタイムアウト値を指定する。それぞれのMACアドレスカテゴリは、一方向トラフィックに対応するMACアドレスカテゴリおよび双方向トラフィックに対応するMACアドレスカテゴリのうちの1つである。超過決定メカニズムは、一方向トラフィックMACアドレスカテゴリを指定するMACアドレスエントリの数の増加が規定のしきい値を超える時を判定するように構成されている。タイムアウト値調整メカニズムは、MACアドレスカテゴリによってタイムアウト値を調整するように構成されている。このような調整は、一方向トラフィックMACアドレスカテゴリを指定するMACアドレスエントリの少なくとも一部のタイムアウト値がデフォルトのタイムアウト値より少なくなるようにすることを含む。
本発明の他の実施形態では、データ記憶装置は内部に格納されたプロセッサ実行可能命令のセットを有する。プロセッサ実行可能命令のセットは、MACテーブルのオーバーフロー攻撃に対して防御するように構成された様々な命令を含む。この目的を達成するために、MACテーブルに複数のMACアドレスエントリをポピュレートするために命令が提供される。1つ1つのエントリがそれぞれのMACアドレス、それぞれのMACアドレスカテゴリ、およびそれぞれのタイムアウト値を指定し、それぞれのMACアドレスカテゴリは一方向トラフィックに対応するMACアドレスカテゴリおよび双方向トラフィックに対応するMACアドレスカテゴリのうちの1つである。一方向トラフィックMACアドレスカテゴリを指定するMACアドレスエントリの数の増加が規定のしきい値を超える時を判定するために命令が提供される。規定のしきい値を超える一方向トラフィックMACアドレスカテゴリを指定するMACアドレスエントリの数に応じて、MACアドレスカテゴリによってタイムアウト値の少なくとも一部を調整するために命令が提供される。
このように、本発明の実施形態がMACテーブルのオーバーフロー攻撃に対して防御するための従来の手法に関するいくつかの諸利点を提供する方法で、MACテーブルのオーバーフロー攻撃に対する防御を容易にすることを当業者は理解するであろう。このような実施形態の1つの利点は、軽量、簡単、単純な方法でMACテーブルのオーバーフロー攻撃に対して防御し、それによって複雑な計算が必要とされず、またスイッチが引き続き従来のブリッジのように働くことである。他の利点は、このような実施形態は柔軟でスケーラブルな方法でMACテーブルのオーバーフロー攻撃に対して防御し、それによってMACアドレスまたは複数のMACアドレスが構成される必要がなく、また新しいユーザが追加されてもスイッチ上の構成変更が必要とされないことである。本発明の他の利点は、このような実施形態は回復力がある方法でMACテーブルのオーバーフロー攻撃に対して防御し、それによって攻撃が起こった時にスイッチが引き続き他のポートまたは攻撃が発生したポートから/への正当なユーザトラフィックさえも許可することであり、これはVPLS(たとえば、サービスプロバイダからのエミュレートローカルエリアネットワーク(E−LAN)サービス)にとって特に重要かつ便利である。さらに他の利点は、このような実施形態は、MACSecとは異なり既存のスイッチおよび/またはエンドユーザ装置に大規模な変更が行われなくてよい方法でMACテーブルのオーバーフロー攻撃に対して防御することである。
本発明のこれらおよびその他の目的、実施形態、諸利点および/または特徴は、以下の明細書、関連する図面、および添付の特許請求の範囲をさらに見直すことによって容易に明らかになるであろう。
一般的に正当なトラフィックは双方向なので、MACアドレスは適当なタイムウインドウ内でスイッチによって送信元および宛先の両方として見なされうる。逆に、一般的にMACテーブルのオーバーフロー攻撃は一方向である。送信元としてスプーフィングされたMACアドレスを有するフレームがMACテーブルをオーバーフローさせようという意図で送信され、スイッチはそれらのスプーフィングされたアドレスへのいかなる応答トラフィックも見えない。MACテーブルのオーバーフロー攻撃に対して防御するために本発明の実施形態が使用するのは、これらの一方向および双方向トラフィックの考察である。
ここで本発明の実施形態の特定の記述を参照すると、スイッチ上のMACアドレスが送信元および宛先アドレスの両方として見なされた場合、「検証済み」(すなわち検証済みMACアドレス)と呼ばれる。MACアドレスが、送信元アドレスとしてのみ見なされ宛先アドレスとはまだ見なされない場合、「未検証」(すなわち未検証MACアドレス)と呼ばれる。このように、検証済みMACアドレスと通信している機械は検証済み機械であり、未検証MACアドレスと通信している機械は未検証機械である。
初めに(たとえば本発明によるシステムの初期設定時に)、検証済みMACアドレスと未検証MACアドレスの両方にデフォルトタイムアウト値が割り振られる。本発明のいくつかの実装形態では、検証済みおよび未検証MACアドレスは、現実世界の状況において送信元および宛先アドレスに関して非対称を示すトラフィックの割合が小さいので、共通のデフォルトタイムアウト値が割り振られる。本発明の他の実装形態では、検証済みおよび未検証MACアドレスは事実上異なる(たとえば比較的少量によって)、または実質的に異なる(たとえば比較的大量によって)それぞれのデフォルトタイムアウト値を割り振られる。したがって、MACテーブルのオーバーフロー攻撃が起こらない場合、スイッチは正確にまたは本質的に従来の(すなわち従来技術の)スイッチのように働く。
MAC超過が起こると(すなわちMACテーブルのオーバーフロー攻撃)、スイッチは特定のポートについて未検証MACアドレスの著しい増加を見ることになる。構成可能なペナルティしきい値1まで数が増えると、その特定のポートについての未検証アドレスのタイムアウト値が第1の構成可能な量(たとえば割合、増分など)だけ減らされるので、スプーフィングされたMACアドレス(複数可)は迅速にエージアウトし、不明な正当なMACアドレス(複数可)が引き続き学習されうる。同じ特定のポートについての未検証MACアドレスの数が増え続けて第2ペナルティしきい値2を超えると、その特定のポートについての未検証アドレスのタイムアウト値が第2の構成可能な量だけ再び減らされるので、未検証MACアドレス(複数可)はさらに迅速にタイムアウトする。反対に、MACテーブルのオーバーフロー攻撃が停止するか、未検証MACアドレスの数がどちらのペナルティしきい値も下回るまで減るほど緩やかになると、特定のポート上で学習された未検証MACアドレスについてのタイムアウト値が、最近のペナルティしきい値が超えられる前に使用された値まで復元されることになる。したがって、この実装形態ではタイムアウト値はポートベースで調整される。あるいは本発明の簡易化した実装形態では、全てのポートについての未検証MACアドレスの総数を監視でき、未検証MACアドレスについてのタイムアウト値をポートベースとは対照的にシステムワイドベースで調整できる。ペナルティしきい値の数およびそれらの値が様々なシステムパラメータ(たとえばスイッチのMACテーブルのサイズ)に基づいて構成可能でありうることが本明細書で開示される。
MACテーブルのオーバーフロー攻撃が制御不能になり、したがってポート上で受信される未検証MACアドレスの数が構成可能な廃棄しきい値まで増え続けると、攻撃不可能にするためにスイッチはそのポートからの不明MACアドレスからのトラフィックを廃棄することになる。しかし、検証済み(すなわち知られたMACアドレス)からのトラフィックは通常通り処理される。このように、スイッチはそれぞれのMACアドレスの状況を追尾してタイムアウト値または廃棄するトラフィックを未検証MACアドレスの数に基づいて調整する知能を追加した従来のスイッチのように操作する。
図1は、本発明の実施形態によるMACテーブルのオーバーフロー攻撃に対して防御するためのデータフロー方法100を示している。操作102はイーサネット(登録商標)スイッチのポート上でフレームを受信するために実行される。フレームを受信することに応答して、フレームのコンテンツに関連付けられているMAC情報を評価するために操作104が実行される。フレームの送信元MACアドレスがスイッチのMACテーブル内になく、MACテーブルが一杯ではなく、および廃棄しきい値が超えられている場合、パケットを廃棄するための操作106が実行される。フレームの送信元MACアドレスがMACテーブル内になく、MACテーブルが一杯ではなく、廃棄しきい値が超えられておらず、およびペナルティしきい値が超えられている場合、MACアドレス(すなわち未検証MACアドレス)のタイムアウト値を減らすために操作108が実行され、送信元MACアドレスをMACテーブルに未検証として追加するために実行される操作110、およびMACエントリについてのタイムアウトカウンタを開始するために実行される操作112が続く。あるいは、フレームの送信元MACアドレスがMACテーブル内にあるか、フレームの送信元MACアドレスがMACテーブル内にないがMACテーブルが一杯の場合、そのフレームについての宛先MACアドレスがMACテーブルにない場合はスイッチの全てのポートへのフレームを超過させるために操作114が実行される。フレームのMACアドレスがMACテーブル内になく、MACテーブルが一杯ではなく、廃棄しきい値が超えられておらず、およびペナルティしきい値が超えられていない場合、方法はMACテーブルに送信元MACアドレスを追加するための操作110に続く。
フレームの送信元MACアドレスがMACテーブル内にあるか、フレームの送信元MACアドレスがMACテーブル内にないがMACテーブルが一杯の場合、宛先MACアドレスがMACテーブル内にあり、送信元および宛先MACアドレスが共通のポート上になく、および宛先MACアドレスが未検証の場合は、宛先MACアドレスの状況を未検証から検証済みへ変更するために操作116が実行される。その後、ポートについてのタイムアウトカウンタをリセットするために操作118が実行され、フレームを宛先MACアドレスに転送するために操作120が実行される。宛先MACアドレスが検証済みの場合、MACアドレスの状況を未検証から検証済みに変更するための116の操作が省略されて、方法はタイムアウトカウンタをリセットするための操作118に続く。送信元および宛先MACアドレスが共通ポート上にある場合、方法はパケットを廃棄するための操作106に続く。
送信元MACアドレスを未検証としてMACテーブルに追加するための操作110を実行することに関連してタイマを開始するための操作112を再び参照すると、その後、宛先MACアドレスがMACテーブル内にあり、送信元および宛先MACアドレスは共通のポート上になく、および宛先MACアドレスが未検証の場合は、方法はMACアドレスの状況を未検証から検証済みに変更するための操作116に続く。宛先MACアドレスが検証済みの場合、MACアドレスの状況を未検証から検証済みに変更するための116の操作が省略されて、方法はタイムアウトカウンタをリセットするための操作118に続く。送信元および宛先MACアドレスが共通ポート上にある場合、方法はパケットを廃棄するための操作106に続く。
実施例−MACテーブルのオーバーフロー攻撃に対して防御するように構成されたシステム
ネットワークは、それぞれスイッチ(すなわちSwitch)のポートp1、p2、およびp3に接続されたMACアドレスMAC1、MAC2、およびMAC3を有する3つのホストマシンを含む。3つのホストマシンはそれぞれMAC1、MAC2、およびMAC3と呼ばれる。MAC1とスイッチとの間にハブ(すなわちHUB)が接続されている。スイッチが起動するとスイッチのMACテーブルが消去される。
ネットワークは、それぞれスイッチ(すなわちSwitch)のポートp1、p2、およびp3に接続されたMACアドレスMAC1、MAC2、およびMAC3を有する3つのホストマシンを含む。3つのホストマシンはそれぞれMAC1、MAC2、およびMAC3と呼ばれる。MAC1とスイッチとの間にハブ(すなわちHUB)が接続されている。スイッチが起動するとスイッチのMACテーブルが消去される。
図2および表1(すなわちスイッチMACテーブル)を参照すると、MAC1がフレームをMAC2に送信し、ポートp1上のスイッチによって受信される。スイッチはそのMACテーブルを検査してMAC1が見つからなかったので、MAC1の送信元MACアドレスのためのエントリをMACテーブル内に作成して、MAC1をポートp1に関連付け、MAC1のMACアドレスの状況を未検証と設定する。次いで、このMACテーブルエントリについてのタイムアウトカウンタが開始される。スイッチによって、ユーザ(たとえばシステム管理者)が未検証および検証済みMACアドレスの両方についてのデフォルトタイムアウト値を指定できるようになる。この例では、検証済みおよび未検証MACアドレスの両方についてのタイムアウト値が300秒に設定される。
次に、MAC1についての宛先MACアドレスがMACテーブルと突き合わせて検査される。MAC2が見つからない(すなわち、MACテーブル内にMAC2についてのエントリがない)ので、図3に示されるようにスイッチは全てのポートにフレームを超過させる。
したがって、MAC2とMAC3の両方がこのフレームを受信することになる。宛先がMAC3のアドレスではないので、MAC3はこのフレームを廃棄する。MAC2はこのフレームを受信後、MAC1に応答する。このように送信元としてMAC2を、および宛先としてMAC1を有するフレームがポートP2上のスイッチによって見られる。図4および表2を参照すると、スイッチがMAC2の送信元アドレスを検査するがMACテーブル内に見つけられないので、スイッチはポートP2をMAC2に関連付けるためにエントリを作成して、この送信元アドレスの状況を未検証と設定し(すなわちMAC2のMACアドレスはそれによって関連付けられた一方向トラフィックだけを有するので)、次いでこのMACテーブルエントリについてのタイムアウトカウンタを開始する。
その後、宛先MACアドレスが検査される。ここでMACテーブル内にMAC1が見つかり、未検証である状況を有すると決定される。したがって、MAC1のMACアドレスは双方向トラフィックをサポートし、スイッチがMAC1の状況を検証済みに変更し、MAC1についてのタイムアウトカウンタをリセットし、次いでフレームをMAC1に転送する。
実証目的のテーブルはMAC1およびMAC2アドレスがポピュレートされてから経過した時間を考慮しておらず、したがって「残りのタイムアウト」について現実的な値を有さない点に留意されたい。
図5および表3を参照すると、MAC1が別のフレームをMAC2に送信すると、スイッチはMAC2の状況を検証済みにアップデートして、MAC2についてのタイムアウトカウンタをリセットし、全てのポートを超過させずにそのフレームをP2に直接送信することになる。
図6および表4を参照すると、攻撃者がスイッチのポートP1に接続されているハブに接続して多数の無効送信元アドレス(たとえばMAC−a、MAC−bなど)を有するフレームをスイッチに送信すると、それらの無効MACアドレスはスプーフィングされて帰りのトラフィックが見られないので、スイッチはこれらの無効MACアドレスをポートP1と関連付けて、状況を未検証と設定するためにエントリを作成することになる。この段階では、スイッチは未検証MACからのトラフィックが正当かどうかわからないので、無効MACアドレスについてのデフォルトタイムアウトが引き続き使用される。一般的に、攻撃トラフィックはMACテーブル内では見つけられないスプーフィングされた宛先MACアドレスを使用することになるので、スイッチによって全てのポートにトラフィックが超過される。
表5を参照すると、攻撃がまだ続いているので多数の未検証MACアドレスがMACテーブルに追加されることになる。この数が第1構成可能しきい値(たとえば、ペナルティしきい値1)に到達すると、たとえばMACテーブルスペースの20%が1つのポート上で学習された未検証MACアドレスによって占められ、スイッチが攻撃を受けている可能性が高いので、スイッチはP1上で学習された未検証MACアドレスのタイムアウト値を50%(すなわち構成可能な値)減らすことになる。次に、P1からの全ての新しく学習された未検証MACアドレスが150秒のタイムアウト値を有することになり、正当なMACアドレスのためにスペースを空けるために迅速にエージアウトできるようになる。未検証MACアドレスの数が第2構成可能しきい値(たとえばペナルティしきい値)まで増加し続けると、対応する未検証MACアドレスのタイムアウトをさらに迅速にするためにタイムアウト値はさらに50%減らされる。攻撃が停止するか緩やかになると、より古い無効未検証MACアドレスがエージアウトするので未検証MACアドレスの数は減るはずである。その数がどちらのペナルティしきい値よりも少ない場合、ポート上で学習された未検証MACアドレスについてのタイムアウト値はペナルティしきい値が超えられる前に使用された値に復元される。ペナルティしきい値の数およびそれらの値は構成可能であり、MACテーブルの大きさに基づくべきである。
図7を参照すると、攻撃が激しくなると、最終的に高い割合(たとえば、廃棄しきい値)のMACテーブルが、P1上で学習された未検証MACアドレス(すなわちXと表される)で一杯になる。スイッチは攻撃が進行中であることを確信することになり、攻撃不可能にするためにポートP1上で受信した不明アドレスからの全てのトラフィックを廃棄できる。しかし、知られているMACアドレスからのトラフィック、この例ではMAC1は、引き続き正当なユーザ通信(たとえば、Vと表される検証済みのMACアドレス)を可能にすることが許容される。
次にデータ処理装置で処理可能な命令を参照すると、本明細書で行われた開示から、本明細書で開示されたMACテーブルのオーバーフロー攻撃防御機能を実行するように構成された方法、処理および/または操作は、このような機能を実行するように構成された、命令をその上に有するコンピュータ可読のメディアによって有形に実装されることが理解できるであろう。ある特定の実施形態では、上記で開示された方法100、本明細書で提示した実施例、その両方または両方からの一部の組合せを実行するために命令は有形に実装される。命令は1つまたは複数のデータ処理装置によって、メモリ装置(たとえばRAM、ROM、仮想メモリ、ハードドライブメモリなど)から、データ処理システムのドライブユニットによって読取り可能な装置(たとえばディスケット、コンパクトディスク、テープカートリッジなど)から、またはその両方からアクセス可能でよい。したがって、本発明によるコンピュータ可読メディアの実施形態は、コンパクトディスク、ハードドライブ、RAM、または本発明によるMACテーブルのオーバーフロー攻撃防御機能を実行するように構成されたコンピュータプログラム(すなわち命令)のイメージをとる他のタイプの記憶装置を含む。
前述の詳細な説明では、本明細書の一部を形成する、および本発明が実行されうる特定の実施形態を例示によって示す添付の図面を参照した。これらの実施形態およびその特定の変形形態を、当業者が本発明の実施形態を実行できるように十分に詳細に説明してきた。このような発明の開示の趣旨および範囲から逸脱することなく、他の適切な実施形態が利用されてよく、また論理的、機械的、化学的および電気的変更が行われてよいことが理解されるべきである。不要な詳細を省くために、この説明では当業者に知られているある種の情報を省略する。したがって前述の詳細な説明は本明細書で説明した特定の形式に限定することを意図せず、逆にこのような代替案、変更形態、および同等物を添付の特許請求の範囲の趣旨および範囲内に合理的に含まれうるものとして含むことを意図する。
Claims (10)
- MACテーブルのオーバーフロー攻撃に対して防御するための方法であって、
MACテーブル内の複数のMACアドレスのそれぞれが対応する一方向トラフィックまたは双方向トラフィックを有するかどうかを決定するステップと、
対応する双方向トラフィックを有するそれぞれのMACアドレスを、MACアドレスの第1カテゴリと指定するステップと
対応する一方向トラフィックを有するそれぞれのMACアドレスを、MACアドレスの第2カテゴリと指定するステップと、
規定のペナルティしきい値を超えるMACアドレスの第2カテゴリと指定された前記MACアドレスの数に応じて、MACアドレスの第2カテゴリと指定された前記MACアドレスの少なくとも一部のタイムアウト値が、MACアドレスの第1カテゴリと指定された前記MACアドレスのタイムアウト値よりも少なくなるようにするステップとを含む、方法。 - 前記決定するステップ、前記指定するステップ、および前記少なくなるようにするステップが全てポートごとのベースで実行される、請求項1に記載の方法。
- 前記MACアドレスの第1カテゴリと第2カテゴリのタイムアウト値が、初めに共通のデフォルトタイムアウト値に設定され、
MACアドレスの第2カテゴリと指定された前記MACアドレスの少なくとも一部のタイムアウト値が、MACアドレスの第1カテゴリと指定された前記MACアドレスのタイムアウト値より少なくなるようにするステップが、MACアドレスの第2カテゴリと指定された前記MACアドレスのタイムアウト値を、該規定のペナルティしきい値を超えるMACアドレスの第2カテゴリと指定された前記MACアドレスの数に応じて前記デフォルトタイムアウト値に対して減らされた値に設定するステップを含む、請求項1に記載の方法。 - それぞれの規定の廃棄しきい値を超えるMACアドレスの第2カテゴリと指定された前記MACアドレスの数に応じて、MACアドレスの第2カテゴリと指定された前記MACアドレスの少なくとも一部に関連付けられるトラフィックを廃棄するステップをさらに含む、請求項3に記載の方法。
- タイムアウト値を減らされた値に設定するステップが、
MACアドレスの第2カテゴリと指定された前記MACアドレスのタイムアウト値を、第1の規定のペナルティしきい値を超えるMACアドレスの第2カテゴリと指定された前記MACアドレスの数に応じて前記デフォルトタイムアウト値に対して第1の減らされた値に設定するステップと、
MACアドレスの第2カテゴリと指定された前記MACアドレスのタイムアウト値を、第1の規定のペナルティしきい値よりも大きい第2の規定のペナルティしきい値を超えるMACアドレスの第2カテゴリと指定された前記MACアドレスの数に応じて前記デフォルトタイムアウト値に対して第2の減らされた値に設定するステップとを含む、請求項3に記載の方法。 - 複数のMACアドレスエントリを内部に有するMACテーブルであって、前記エントリのそれぞれがそれぞれのMACアドレス、それぞれのMACアドレスカテゴリ、およびそれぞれのタイムアウト値を指定し、それぞれのMACアドレスカテゴリが一方向トラフィックに対応するMACアドレスカテゴリおよび双方向トラフィックに対応するMACアドレスカテゴリのうちの1つであるMACテーブルと、
前記一方向トラフィックMACアドレスカテゴリを指定するMACアドレスエントリの数の増加が規定のペナルティしきい値を超える時を判定するように構成された超過決定メカニズムと、
MACアドレスカテゴリによって前記タイムアウト値を調整するように構成されたタイムアウト値調整メカニズムであって、前記調整することが前記一方向トラフィックMACアドレスカテゴリを指定する前記MACアドレスエントリの少なくとも一部のタイムアウト値がデフォルトタイムアウト値より少なくなるようにすることを含むタイムアウト値調整メカニズムとを備える、イーサネット(登録商標)スイッチ。 - 前記判定および前記調整がポートごとのベースで実行される、請求項6に記載のスイッチ。
- 超過決定メカニズムが、
前記一方向トラフィックMACアドレスカテゴリを指定する前記MACアドレスエントリの数の増加が第1の規定のペナルティしきい値を超える時、
前記一方向トラフィックMACアドレスカテゴリを指定する前記MACアドレスエントリの数の増加が第2の規定のペナルティしきい値を超える時、および、
前記一方向トラフィックMACアドレスカテゴリを指定する前記MACアドレスエントリの数の増加が規定の廃棄しきい値を超える時を判定するように構成され、
タイムアウト値調整メカニズムが、
前記一方向トラフィックMACアドレスカテゴリを指定する前記MACアドレスエントリ内のタイムアウト値を、第1の規定のペナルティしきい値を超える前記一方向トラフィックMACアドレスカテゴリを指定する前記MACアドレスエントリの数に応じてデフォルトタイムアウト値に対して第1の減らされた値に設定し、
前記一方向トラフィックMACアドレスカテゴリを指定する前記MACアドレスエントリ内のタイムアウト値を、第2の規定のペナルティしきい値を超える前記一方向トラフィックMACアドレスカテゴリを指定する前記MACアドレスエントリの数に応じて前記デフォルトタイムアウト値に対して第2の減らされた値に設定し、
該既定の廃棄しきい値を超える前記一方向トラフィックMACアドレスカテゴリを指定する前記MACアドレスエントリの数に応じて前記一方向トラフィックMACアドレスカテゴリを指定する前記MACアドレスエントリの少なくとも一部に関連付けられるトラフィックを廃棄するように構成される、請求項6に記載のスイッチ。 - 超過決定メカニズムが、前記一方向トラフィックMACアドレスカテゴリを指定する前記MACアドレスエントリの数が現在減らされたタイムアウト値に対応する該第1の規定のペナルティしきい値を下回る時を判定するように構成され、
タイムアウト値調整メカニズムが前記一方向トラフィックMACアドレスカテゴリを指定する前記MACアドレスエントリのタイムアウト値を、現在減らされたタイムアウト値に対応する第1の規定のペナルティしきい値から後退する前記一方向トラフィックMACアドレスカテゴリを指定する前記MACアドレスエントリの数に応じて現在減らされたタイムアウト値ほど減らされないタイムアウト値に設定するように構成される、請求項8に記載のスイッチ。 - 前記判定および前記調整がポートごとのベースで実行される、請求項8に記載のスイッチ。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/008,535 US8180874B2 (en) | 2008-01-11 | 2008-01-11 | Facilitating defense against MAC table overflow attacks |
| US12/008,535 | 2008-01-11 | ||
| PCT/IB2009/051972 WO2009093224A2 (en) | 2008-01-11 | 2009-01-08 | Facilitating defense against mac table overflow attacks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2011509619A JP2011509619A (ja) | 2011-03-24 |
| JP5111618B2 true JP5111618B2 (ja) | 2013-01-09 |
Family
ID=40851635
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010541881A Expired - Fee Related JP5111618B2 (ja) | 2008-01-11 | 2009-01-08 | Macテーブルのオーバーフロー攻撃に対する防御を容易にすること |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US8180874B2 (ja) |
| EP (1) | EP2260628B1 (ja) |
| JP (1) | JP5111618B2 (ja) |
| KR (1) | KR101171545B1 (ja) |
| CN (1) | CN101911648B (ja) |
| AT (1) | ATE524009T1 (ja) |
| WO (1) | WO2009093224A2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8758713B2 (en) | 2007-05-07 | 2014-06-24 | The Honjo Chemical Corporation | Method for photooxidation of carbon monoxide in gas phase to carbon dioxide |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2009862B1 (en) * | 2007-06-29 | 2012-11-14 | Nokia Siemens Networks Oy | Method for protection a network through port blocking |
| US8379522B2 (en) * | 2010-01-15 | 2013-02-19 | Alcatel Lucent | Link aggregation flood control |
| US11082665B2 (en) | 2010-11-05 | 2021-08-03 | Razberi Secure Technologies, Llc | System and method for a security system |
| US10477158B2 (en) * | 2010-11-05 | 2019-11-12 | Razberi Technologies, Inc. | System and method for a security system |
| CN102404148A (zh) * | 2011-11-22 | 2012-04-04 | 华为技术有限公司 | 一种mac地址表管理方法及装置 |
| CN103095717B (zh) * | 2013-01-28 | 2015-11-25 | 杭州华三通信技术有限公司 | 防止mac地址表溢出攻击的方法及网络设备 |
| US10419267B2 (en) | 2014-01-22 | 2019-09-17 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Network control software notification with advance learning |
| US20150207664A1 (en) * | 2014-01-22 | 2015-07-23 | International Business Machines Corporation | Network control software notification with denial of service protection |
| US9912615B2 (en) * | 2015-02-05 | 2018-03-06 | Verizon Patent And Licensing Inc. | Dynamic removal of MAC table entries based on a MAC table fullness level |
| CN106603736B (zh) * | 2015-10-20 | 2020-05-19 | 中兴通讯股份有限公司 | Mac地址处理方法及装置 |
| US10313153B2 (en) * | 2017-02-27 | 2019-06-04 | Cisco Technology, Inc. | Adaptive MAC grouping and timeout in EVPN environments using machine learning |
| GB2574468B (en) * | 2018-06-08 | 2020-08-26 | F Secure Corp | Detecting a remote exploitation attack |
| US11044253B2 (en) * | 2018-10-31 | 2021-06-22 | Bank Of America Corporation | MAC authentication bypass endpoint database access control |
| US10764315B1 (en) * | 2019-05-08 | 2020-09-01 | Capital One Services, Llc | Virtual private cloud flow log event fingerprinting and aggregation |
| FI128961B (en) * | 2020-02-19 | 2021-04-15 | Telia Co Ab | Management of network addresses |
| US11336647B2 (en) * | 2020-09-30 | 2022-05-17 | Juniper Networks, Inc. | Error handling for media access control security |
| US11445439B1 (en) * | 2021-03-01 | 2022-09-13 | Charter Communications Operating, Llc | Managing power over ethernet through a switch |
| WO2024111109A1 (ja) * | 2022-11-25 | 2024-05-30 | 三菱電機株式会社 | 通信装置 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US2007230A (en) * | 1933-08-08 | 1935-07-09 | Wade John Ross | Boiler |
| US7274665B2 (en) | 2002-09-30 | 2007-09-25 | Intel Corporation | Packet storm control |
| US7668948B2 (en) * | 2002-12-31 | 2010-02-23 | Intel Corporation | Staggered time zones |
| US20050141537A1 (en) * | 2003-12-29 | 2005-06-30 | Intel Corporation A Delaware Corporation | Auto-learning of MAC addresses and lexicographic lookup of hardware database |
| US7508757B2 (en) * | 2004-10-15 | 2009-03-24 | Alcatel Lucent | Network with MAC table overflow protection |
| CN1822565A (zh) * | 2004-10-15 | 2006-08-23 | 阿尔卡特公司 | 具有mac表溢出保护的网络 |
| JP4481147B2 (ja) * | 2004-10-28 | 2010-06-16 | 富士通株式会社 | Macアドレス学習装置 |
| JP2007067515A (ja) * | 2005-08-29 | 2007-03-15 | Nec Corp | Lanスイッチ及びmacアドレス学習方法並びにプログラム |
| JP2007266850A (ja) | 2006-03-28 | 2007-10-11 | Fujitsu Ltd | 伝送装置 |
| CN100438439C (zh) * | 2006-05-19 | 2008-11-26 | 华为技术有限公司 | 一种防止mac地址欺骗的方法 |
-
2008
- 2008-01-11 US US12/008,535 patent/US8180874B2/en not_active Expired - Fee Related
-
2009
- 2009-01-08 KR KR1020107015258A patent/KR101171545B1/ko not_active Expired - Fee Related
- 2009-01-08 WO PCT/IB2009/051972 patent/WO2009093224A2/en not_active Ceased
- 2009-01-08 CN CN200980101945XA patent/CN101911648B/zh not_active Expired - Fee Related
- 2009-01-08 JP JP2010541881A patent/JP5111618B2/ja not_active Expired - Fee Related
- 2009-01-08 EP EP09703949A patent/EP2260628B1/en not_active Not-in-force
- 2009-01-08 AT AT09703949T patent/ATE524009T1/de not_active IP Right Cessation
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8758713B2 (en) | 2007-05-07 | 2014-06-24 | The Honjo Chemical Corporation | Method for photooxidation of carbon monoxide in gas phase to carbon dioxide |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2009093224A3 (en) | 2009-12-17 |
| ATE524009T1 (de) | 2011-09-15 |
| KR20100095626A (ko) | 2010-08-31 |
| EP2260628B1 (en) | 2011-09-07 |
| CN101911648B (zh) | 2013-10-16 |
| KR101171545B1 (ko) | 2012-08-06 |
| US8180874B2 (en) | 2012-05-15 |
| US20090182854A1 (en) | 2009-07-16 |
| JP2011509619A (ja) | 2011-03-24 |
| EP2260628A2 (en) | 2010-12-15 |
| WO2009093224A2 (en) | 2009-07-30 |
| CN101911648A (zh) | 2010-12-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5111618B2 (ja) | Macテーブルのオーバーフロー攻撃に対する防御を容易にすること | |
| TWI495301B (zh) | 控制封包的階層式速率限制 | |
| CN103621038B (zh) | 中间件机器环境中支持子网管理数据包防火墙限制和业务保护中的至少一项的系统和方法 | |
| JP6793056B2 (ja) | 通信装置及びシステム及び方法 | |
| CN107005483B (zh) | 用于高性能网络结构安全的技术 | |
| EP2570954A1 (en) | Method, device and system for preventing distributed denial of service attack in cloud system | |
| JP4320603B2 (ja) | 加入者回線収容装置およびパケットフィルタリング方法 | |
| CN101170515B (zh) | 一种处理报文的方法、系统和网关设备 | |
| EP2309685A1 (en) | A method and apparatus for realizing forwarding the reversal transmission path of the unique address | |
| CN101345743A (zh) | 防止利用地址解析协议进行网络攻击的方法及其系统 | |
| CN107690004B (zh) | 地址解析协议报文的处理方法及装置 | |
| US20170237769A1 (en) | Packet transfer method and packet transfer apparatus | |
| CN100420197C (zh) | 一种实现网络设备防攻击的方法 | |
| CN104702560A (zh) | 一种防止报文攻击方法及装置 | |
| CN101980496A (zh) | 报文处理方法和系统、交换机和接入服务器设备 | |
| KR100533785B1 (ko) | Dhcp 패킷을 이용한 동적 ip 주소할당 환경에서의arp/ip 스푸핑 자동 방지 방법 | |
| RU2602333C2 (ru) | Сетевая система, способ обработки пакетов и носитель записи | |
| WO2017063578A1 (zh) | 数据报文处理方法及装置 | |
| US8788823B1 (en) | System and method for filtering network traffic | |
| JP2010239591A (ja) | ネットワークシステム、中継装置、およびネットワーク制御方法 | |
| CN107395615B (zh) | 一种打印机安全防护的方法和装置 | |
| CN111901284A (zh) | 流量控制方法及系统 | |
| US7826447B1 (en) | Preventing denial-of-service attacks employing broadcast packets | |
| US10050937B1 (en) | Reducing impact of network attacks in access networks | |
| CN102045302A (zh) | 网络攻击的防范方法、业务控制节点及接入节点 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120126 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120207 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20120501 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20120510 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120802 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120911 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121009 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151019 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees | ||
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R371 | Transfer withdrawn |
Free format text: JAPANESE INTERMEDIATE CODE: R371 |