控制装置、控制系统、控制方法和控制程序与流程

技术特征：

1.一种控制装置，该控制装置对边界路由器进行各种控制，所述边界路由器设置于由虚拟网络相互连接的多个据点，并对该据点内的设备与外部网络之间的通信进行中继，其特征在于，

所述控制装置具有：

nat设定部，其当检测到分组向任意据点内的设备集中时，对于被检测到所述分组的集中的设备即攻击对象设备所属的据点以外的各据点的边界路由器，进行所述攻击对象设备的ip地址的nat设定即网络地址转换设定；

重定向设定部，其对设置于任意据点内的重定向装置进行设定，使得针对所述重定向装置的访问重定向到所述攻击对象设备所属的据点以外的任意据点的边界路由器下属的所述攻击对象设备；以及

nat变更部，其在所述重定向的设定之后，将所述攻击对象设备所属的据点的边界路由器的nat设定中的所述攻击对象设备的私有ip地址变更成所述重定向装置的私有ip地址。

2.根据权利要求1所述的控制装置，其特征在于，

所述重定向设定部从具有dns信息即域名系统信息的dns服务器取得所述攻击对象设备所属的据点以外的任意据点的边界路由器下属的所述攻击对象设备的主机名，并对所述重定向装置进行设定，使得针对所述重定向装置的访问重定向到该主机名的主机，所述dns信息中设定有：所述设备的主机名和与所述主机名对应的ip地址、以及该设备所属的据点以外的据点的边界路由器下属的所述攻击对象设备的主机名和与所述主机名对应的ip地址。

3.根据权利要求1所述的控制装置，其特征在于，

所述控制装置还具有存储部，该存储部存储设定于dns服务器即域名系统服务器中的dns信息，所述dns信息包括：所述设备的主机名和与所述主机名对应的ip地址、以及该设备所属的据点以外的据点的边界路由器下属的所述攻击对象设备的主机名和与所述主机名对应的ip地址，

所述重定向设定部从所述dns信息中取得所述攻击对象设备所属的据点以外的任意据点的边界路由器下属的所述攻击对象设备的主机名，并对所述重定向装置进行设定，使得针对所述重定向装置的访问重定向到该主机名的主机。

4.根据权利要求1～3中的任一项所述的控制装置，其特征在于，

当不存在所述重定向装置时，所述重定向设定部在据点内生成所述重定向装置，或者所述重定向设定部进行设定，使得据点内的设备作为所述重定向装置进行动作。

5.根据权利要求1～3中的任一项所述的控制装置，其特征在于，

所述控制装置还具有迁移执行部，在利用所述nat变更部将所述攻击对象设备所属的据点的边界路由器的nat设定中的所述攻击对象设备的私有ip地址变更成所述重定向装置的私有ip地址之后，该迁移执行部使所述攻击对象设备迁移至其它据点。

6.根据权利要求1～3中的任一项所述的控制装置，其特征在于，

关于分组向所述任意据点内的设备集中的检测，是下述情况中的任意一种：在所述据点的边界路由器中检测到针对所述设备的ddos攻击的情况、检测出接收到了超出预先设定的阈值的分组的情况、以及检测出接收到了超出所述边界路由器的外部网络侧的接口中设定的带宽的业务量的分组的情况。

7.一种控制系统，该控制系统具有控制装置，该控制装置对边界路由器进行各种控制，所述边界路由器设置于由虚拟网络相互连接的多个据点，并对该据点内的设备与外部网络之间的通信进行中继，所述控制系统的特征在于，

所述控制系统具有重定向装置，该重定向装置对来自其它装置的访问进行重定向，

所述控制装置具有：

nat设定部，其当检测到分组向任意据点内的设备集中时，对于被检测到所述分组的集中的设备即攻击对象设备所属的据点以外的各据点的边界路由器，进行所述攻击对象设备的ip地址的nat设定即网络地址转换设定；

重定向设定部，其对所述重定向装置进行设定，使得针对所述重定向装置的访问重定向到所述攻击对象设备所属的据点以外的任意据点的边界路由器下属的所述攻击对象设备；以及

nat变更部，其在所述重定向的设定之后，将所述攻击对象设备所属的据点的边界路由器的nat设定中的所述攻击对象设备的私有ip地址变更成所述重定向装置的私有ip地址。

8.根据权利要求7所述的控制系统，其特征在于，

所述控制系统还具有dns服务器，该dns服务器具有dns信息即域名系统信息，所述dns信息中设定有：所述设备的主机名和与所述主机名对应的ip地址、以及该设备所属的据点以外的据点的边界路由器下属的所述攻击对象设备的主机名和与所述主机名对应的ip地址，

所述重定向设定部从所述dns服务器取得所述攻击对象设备所属的据点以外的任意据点的边界路由器下属的所述攻击对象设备的主机名，并对所述重定向装置进行设定，使得针对所述重定向装置的访问重定向到该主机名的主机。

9.一种控制方法，用于对边界路由器进行各种控制，所述边界路由器设置于由虚拟网络相互连接的多个据点，并对该据点内的设备与外部网络之间的通信进行中继，所述控制方法的特征在于，包含下述步骤：

当检测到分组向任意据点内的设备集中时，对于被检测到所述分组的集中的设备即攻击对象设备所属的据点以外的各据点的边界路由器，进行所述攻击对象设备的ip地址的nat设定即网络地址转换设定；

对设置于任意据点内的重定向装置进行设定，使得针对所述重定向装置的访问重定向到所述攻击对象设备所属的据点以外的任意据点的边界路由器下属的所述攻击对象设备；以及

在所述重定向的设定之后，将所述攻击对象设备所属的据点的边界路由器的nat设定中的所述攻击对象设备的私有ip地址变更成所述重定向装置的私有ip地址。