Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6954071B2 - Network monitoring equipment and methods - Google Patents
[go: Go Back, main page]

JP6954071B2 - Network monitoring equipment and methods - Google Patents

Network monitoring equipment and methods Download PDF

Info

Publication number
JP6954071B2
JP6954071B2 JP2017236711A JP2017236711A JP6954071B2 JP 6954071 B2 JP6954071 B2 JP 6954071B2 JP 2017236711 A JP2017236711 A JP 2017236711A JP 2017236711 A JP2017236711 A JP 2017236711A JP 6954071 B2 JP6954071 B2 JP 6954071B2
Authority
JP
Japan
Prior art keywords
address
terminal
communication
packet
confirmation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017236711A
Other languages
Japanese (ja)
Other versions
JP2019106583A (en
Inventor
隆行 澤田
隆行 澤田
徹也 廣瀬
徹也 廣瀬
墨 豊
豊 墨
Original Assignee
サクサ株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by サクサ株式会社 filed Critical サクサ株式会社
Priority to JP2017236711A priority Critical patent/JP6954071B2/en
Publication of JP2019106583A publication Critical patent/JP2019106583A/en
Application granted granted Critical
Publication of JP6954071B2 publication Critical patent/JP6954071B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、通信ネットワークに接続された端末による通信を監視し、許可されていない不正端末による不正な通信を妨害するためのネットワーク監視技術に関する。 The present invention relates to a network monitoring technique for monitoring communication by a terminal connected to a communication network and interfering with unauthorized communication by an unauthorized unauthorized terminal.

従来、通信ネットワークに接続された端末による通信を監視し、許可されていない不正端末による通信を妨害するネットワーク監視技術として、通信開始時に端末から送信されるARPリクエストを監視する技術が提案されている(例えば、特許文献1など参照)。
例えばLANからなる通信ネットワークを介して、任意の相手端末と通信を行う際、レイヤ3(ネットワーク層)でIPによりパケットを送受信するには、相手端末のIPアドレスが必要となる。
Conventionally, as a network monitoring technology that monitors communication by a terminal connected to a communication network and interferes with communication by an unauthorized unauthorized terminal, a technology for monitoring an ARP request sent from the terminal at the start of communication has been proposed. (See, for example, Patent Document 1).
For example, when communicating with an arbitrary partner terminal via a communication network consisting of a LAN, the IP address of the partner terminal is required in order to send and receive packets by IP at layer 3 (network layer).

これに加えて、レイヤ2(データリンク層)で、Ethernet(登録商標)でパケットを格納したフレームを送受信するには、相手端末のMACアドレスが必要となる。
このため、レイヤ2では、ARPリクエストとARPリプライという制御用パケットを送受信することにより、指定したIPアドレスの相手端末のMACアドレスを取得するプロトコル、すなわちARP(Address Resolution Protocol)が規定されている。
In addition to this, in order to send and receive a frame containing a packet in Ethernet (registered trademark) in layer 2 (data link layer), the MAC address of the other terminal is required.
Therefore, in layer 2, a protocol for acquiring the MAC address of the partner terminal of the specified IP address by sending and receiving control packets called ARP request and ARP reply, that is, ARP (Address Resolution Protocol) is defined.

このARPでは、まず、送信元端末が、相手端末のIPアドレスを確認IPアドレスとして指定したARPリクエストパケットを通信ネットワークへブロードキャスト送信する。次に、通信ネットワークに接続されている各端末は、当該ARPリクエストパケットの確認IPアドレスが自端末のIPアドレスと一致するか確認する。この後、IPアドレスが一致した端末が、自端末のMACアドレスを含むARPリプライパケットを送信元端末へ通知する。 In this ARP, first, the source terminal broadcasts an ARP request packet in which the IP address of the other terminal is designated as the confirmation IP address to the communication network. Next, each terminal connected to the communication network confirms whether the confirmation IP address of the ARP request packet matches the IP address of its own terminal. After that, the terminal having the same IP address notifies the source terminal of the ARP reply packet including the MAC address of the own terminal.

前述した従来技術は、このようなARPリクエストパケットが不正端末からも必ず送信されることに着目し、不正端末からのARPリクエストパケットに対して、指定された確認IPアドレスと対応する実際のMACアドレスとは異なるMACアドレスを用いた偽のARPリプライパケットを、ネットワーク監視装置から不正端末へ通知するようにしたものである。
これにより、不正端末には、偽のARPリプライパケットで本来とは異なるMACアドレスが通知されるため、不正端末が混乱して通信ができなくなり、結果として、不正端末の通信が妨害されることになる。
The above-mentioned conventional technique pays attention to the fact that such an ARP request packet is always transmitted from a malicious terminal, and the actual MAC address corresponding to the specified confirmation IP address for the ARP request packet from the malicious terminal. A fake ARP reply packet using a MAC address different from the above is notified from the network monitoring device to the unauthorized terminal.
As a result, the fraudulent terminal is notified of a MAC address different from the original one by a fake ARP reply packet, so that the fraudulent terminal is confused and cannot communicate, and as a result, the communication of the fraudulent terminal is disturbed. Become.

特開2008−227600号公報Japanese Unexamined Patent Publication No. 2008-227600

しかしながら、このような従来技術では、ARPリクエストパケットの宛先として指定されていないネットワーク監視装置から、偽のARPリプライパケットが送信されるため、この偽のARPリプライパケットが、不正端末や同じ通信ネットワークに接続されている他の端末装置で検査され、不正なARPリプライパケットであると判定される場合がある。
したがって、このような場合には、ARPリクエストパケットで指定された確認IPアドレスの端末からのARPリプライパケットにより、不正端末が通信を開始する可能性があり、結果として不正端末の通信を妨害できないという問題点があった。
However, in such a conventional technique, a fake ARP reply packet is transmitted from a network monitoring device that is not designated as a destination of the ARP request packet, so that the fake ARP reply packet is sent to an unauthorized terminal or the same communication network. It may be inspected by another connected terminal device and determined to be an invalid ARP reply packet.
Therefore, in such a case, the ARP reply packet from the terminal with the confirmation IP address specified in the ARP request packet may cause the unauthorized terminal to start communication, and as a result, the communication of the unauthorized terminal cannot be interrupted. There was a problem.

本発明はこのような課題を解決するためのものであり、不正端末による通信を確実に妨害することができるネットワーク監視技術を提供することを目的としている。 The present invention is intended to solve such a problem, and an object of the present invention is to provide a network monitoring technique capable of reliably interfering with communication by an unauthorized terminal.

このような目的を達成するために、本発明にかかるネットワーク監視装置は、通信ネットワークを介して任意の端末と通信を行う通信I/F部と、前記通信ネットワークを介した通信が許可されている正規端末のアドレスが予め登録されているアドレスリストを記憶する記憶部と、前記通信ネットワークに接続された端末による通信を監視し、任意の端末から重複確認パケットが送信された場合、当該重複確認パケットに含まれる確認IPアドレスを抽出して前記アドレスリストと照合することにより、前記重複確認パケットの送信元端末が不正端末であるか否かを判定する通信監視部と、前記送信元端末が不正端末であると判定された場合、前記確認IPアドレスが重複していることを示す重複応答パケットを、前記送信元端末へ返送する重複応答返信部とを備えている。 In order to achieve such an object, the network monitoring device according to the present invention is permitted to communicate with an arbitrary terminal via a communication network and a communication I / F unit via the communication network. When the duplication confirmation packet is transmitted from an arbitrary terminal by monitoring the communication between the storage unit that stores the address list in which the address of the legitimate terminal is registered in advance and the terminal connected to the communication network, the duplication confirmation packet A communication monitoring unit that determines whether or not the source terminal of the duplicate confirmation packet is an unauthorized terminal by extracting the confirmation IP address included in the above and collating it with the address list, and the source terminal is an unauthorized terminal. When it is determined that the above is the case, it is provided with a duplicate response reply unit that returns a duplicate response packet indicating that the confirmation IP address is duplicated to the source terminal.

また、本発明にかかる上記ネットワーク監視装置は、前記送信元端末が不正端末であると判定された場合、前記確認IPアドレスを新たな自IPアドレスとして前記通信I/F部に追加設定する通信I/F設定部を、さらに備えている。 Moreover, the network monitoring equipment according to the present invention, additionally sets the case where the transmission source terminal is determined to be unauthorized terminal, to the communication I / F section the confirmation IP address as the new local IP address communication It also has an I / F setting unit.

また、本発明にかかる上記ネットワーク監視装置の一構成例は、前記通信監視部が、前記重複確認パケットとして重複確認用のARPプローブパケットが送信された場合、当該ARPプローブパケットに含まれる前記確認IPアドレスを抽出して前記アドレスリストと照合することにより、前記送信元端末が不正端末であるか否かを判定し、前記重複応答返信部は、前記送信元端末が不正端末であると判定された場合、前記ARPプローブパケットに含まれる前記確認IPアドレスを送信元アドレスとし、自装置MACアドレスを送信元MACアドレスとした重複応答用のARPリプライパケットを、前記送信元端末へ返送するようにしたものである。 Further, in one configuration example of the network monitoring device according to the present invention, when the communication monitoring unit transmits an ARP probe packet for duplication confirmation as the duplication confirmation packet, the confirmation IP included in the ARP probe packet. By extracting the address and collating it with the address list, it is determined whether or not the source terminal is an unauthorized terminal, and the duplicate response reply unit determines that the source terminal is an unauthorized terminal. In this case, the ARP reply packet for duplicate response, in which the confirmation IP address included in the ARP probe packet is used as the source address and the own device MAC address is used as the source MAC address, is returned to the source terminal. Is.

また、本発明にかかるネットワーク監視方法は、通信ネットワークに接続されるネットワーク機器で用いられるネットワーク監視方法であって、記憶部が、前記通信ネットワークを介した通信が許可されている正規端末のアドレスが予め登録されているアドレスリストを記憶する記憶ステップと、通信監視部が、前記通信ネットワークに接続された端末による通信を監視し、任意の端末から重複確認パケットが送信された場合、当該重複確認パケットに含まれMACアドレスとIPアドレスとの少なくともいずれか一方を抽出して前記アドレスリストと照合することにより、前記重複確認パケットの送信元端末が不正端末であるか否かを判定する通信監視ステップと、重複応答返信部が、前記送信元端末が不正端末であると判定された場合、確認IPアドレスが重複していることを示す重複応答パケットを、前記送信元端末へ返送する重複応答返信ステップとを備え、通信I/F設定部が、前記送信元端末が不正端末であると判定された場合、前記確認IPアドレスを新たな自IPアドレスとして通信I/F部に追加設定するステップを、さらに備えている。 Further, the network monitoring method according to the present invention is a network monitoring method used in a network device connected to a communication network, and the storage unit has an address of a legitimate terminal that is permitted to communicate via the communication network. A storage step for storing a pre-registered address list and a communication monitoring unit monitor communication by a terminal connected to the communication network, and when a duplicate confirmation packet is transmitted from an arbitrary terminal, the duplicate confirmation packet is transmitted. By extracting at least one of the MAC address and the IP address included in the above and collating it with the address list, a communication monitoring step of determining whether or not the source terminal of the duplicate confirmation packet is an unauthorized terminal. , overlapping response response unit, overlapping response replies the sender terminal and the determined if an unauthorized terminal, duplicate response packet indicating that the check IP addresses are duplicated, and returns to the source terminal When the communication I / F setting unit determines that the source terminal is an unauthorized terminal, the communication I / F setting unit additionally sets the confirmation IP address as a new own IP address in the communication I / F unit. , Further prepared .

本発明によれば、不正端末からの重複確認パケットに対して、重複応答用のARPリプライパケットが不正端末へ返送されるため、不正端末による通信を確実に妨害することが可能となる。また、本発明によれば、不正端末が通信ネットワークLで用いる自己のIPアドレスの設定自体を阻止することができるため、不正端末が自己のIPアドレスを使用可能状態となった以降に通信妨害を行う従来技術と比較して、より高いセキュリティ性を得ることができる。 According to the present invention, since the ARP reply packet for duplicate response is returned to the malicious terminal in response to the duplicate confirmation packet from the unauthorized terminal, it is possible to reliably interfere with the communication by the unauthorized terminal. Further, according to the present invention, since it is possible to prevent the unauthorized terminal from setting its own IP address used in the communication network L, communication interference is caused after the unauthorized terminal becomes available for its own IP address. Higher security can be obtained as compared with the conventional technique to be performed.

ネットワーク監視装置の構成を示すブロック図である。It is a block diagram which shows the structure of the network monitoring apparatus. アドレスリストの構成例である。This is an example of address list configuration. ARPパケットの構成例である。This is a configuration example of an ARP packet. ARPプローブパケットの送信例である。This is an example of transmitting an ARP probe packet. ネットワーク監視動作を示すシーケンス図である。It is a sequence diagram which shows the network monitoring operation.

次に、本発明の一実施の形態について図面を参照して説明する。
[ネットワーク監視装置]
まず、図1を参照して、本実施の形態にかかるネットワーク監視装置10について説明する。図1は、ネットワーク監視装置の構成を示すブロック図である。
Next, an embodiment of the present invention will be described with reference to the drawings.
[Network monitoring device]
First, the network monitoring device 10 according to the present embodiment will be described with reference to FIG. FIG. 1 is a block diagram showing a configuration of a network monitoring device.

このネットワーク監視装置10は、全体としてUTM(Unified Threat Management)、ゲートウェイ、ルータ、スイッチ、ハブなどのネットワーク機器からなり、LAN(Local Area Network)などの通信ネットワークLに接続されて、通信ネットワークLに接続された端末による通信を監視し、許可されていない不正端末21による、許可されている正規端末20との不正な通信を妨害する機能を有している。 The network monitoring device 10 is composed of network devices such as UTM (Unified Threat Management), gateways, routers, switches, and hubs as a whole, and is connected to a communication network L such as a LAN (Local Area Network) to become a communication network L. It has a function of monitoring communication by the connected terminal and interfering with unauthorized communication with the authorized legitimate terminal 20 by the unauthorized unauthorized terminal 21.

図1に示すように、ネットワーク監視装置10は、主な機能部として、通信I/F部11、記憶部12、通信監視部13、重複応答返信部14、および通信I/F設定部15を備えている。 As shown in FIG. 1, the network monitoring device 10 includes a communication I / F unit 11, a storage unit 12, a communication monitoring unit 13, a duplicate response reply unit 14, and a communication I / F setting unit 15 as main functional units. I have.

通信I/F部11は、通信ネットワークLに接続された正規端末20や不正端末21との間でパケットを送受信することにより通信を行う機能を有している。
記憶部12は、半導体メモリやハードディスクなどの記憶装置からなり、ネットワーク監視装置10の動作に用いる各種の処理データやプログラムを記憶する機能を有している。記憶部12で記憶する主な処理データとして、ネットワーク監視装置10の自IPアドレスおよび自MACアドレスのほか、正規端末20のアドレスリスト12Aがある。
The communication I / F unit 11 has a function of performing communication by transmitting and receiving packets to and from a legitimate terminal 20 and an unauthorized terminal 21 connected to the communication network L.
The storage unit 12 is composed of a storage device such as a semiconductor memory or a hard disk, and has a function of storing various processing data and programs used for the operation of the network monitoring device 10. The main processing data stored in the storage unit 12 includes the local IP address and the local MAC address of the network monitoring device 10, and the address list 12A of the regular terminal 20.

図2は、アドレスリストの構成例である。ここでは、正規端末20ごとに、当該正規端末20で用いている正規端末アドレスとして、MACアドレスおよびIPアドレスが予め登録されている。不正端末21を判定する際、不正端末21のMACアドレスおよびIPアドレスが、これら正規端末20のMACアドレスおよびIPアドレスと照合される。なお、照合する際、MACアドレスおよびIPアドレスの一方だけでも照合可能であるため、正規端末アドレスとして、MACアドレスまたはIPアドレスのいずれか一方のみをアドレスリスト12Aに登録してもよい。 FIG. 2 is an example of an address list configuration. Here, for each regular terminal 20, a MAC address and an IP address are registered in advance as the regular terminal address used in the regular terminal 20. When determining the fraudulent terminal 21, the MAC address and IP address of the fraudulent terminal 21 are collated with the MAC address and IP address of the legitimate terminal 20. Since it is possible to collate only one of the MAC address and the IP address at the time of collation, only one of the MAC address and the IP address may be registered in the address list 12A as the legitimate terminal address.

通信監視部13は、通信ネットワークLに接続された正規端末20や不正端末21による通信を監視し、任意の端末から重複確認パケットが送信された場合、当該重複確認パケットに含まれる確認IPアドレスを抽出してアドレスリストと照合することにより、重複確認パケットの送信元端末が不正端末21であるか否かを判定する機能を有している。 The communication monitoring unit 13 monitors the communication by the legitimate terminal 20 or the unauthorized terminal 21 connected to the communication network L, and when the duplication confirmation packet is transmitted from an arbitrary terminal, the confirmation IP address included in the duplication confirmation packet is set. By extracting and collating with the address list, it has a function of determining whether or not the source terminal of the duplicate confirmation packet is an unauthorized terminal 21.

重複応答返信部14は、通信監視部13により、重複確認パケットの送信元端末が不正端末21であると判定された場合、当該重複確認パケットに含まれる確認IPアドレスが重複していることを示す重複応答パケットを、送信元端末すなわち不正端末21へ返送する機能を有している。 When the communication monitoring unit 13 determines that the source terminal of the duplicate confirmation packet is an unauthorized terminal 21, the duplicate response reply unit 14 indicates that the confirmation IP address included in the duplicate confirmation packet is duplicated. It has a function of returning a duplicate response packet to a source terminal, that is, an unauthorized terminal 21.

通信I/F設定部15は、通信監視部13により、重複確認パケットの送信元端末が不正端末21であると判定された場合、当該重複確認パケットに含まれる確認IPアドレスを新たな自IPアドレスとして通信I/F部11に追加設定する機能を有している。 When the communication monitoring unit 13 determines that the source terminal of the duplicate confirmation packet is an unauthorized terminal 21, the communication I / F setting unit 15 sets the confirmation IP address included in the duplicate confirmation packet to a new own IP address. It has a function to additionally set the communication I / F unit 11 as.

本実施の形態では、重複確認パケットの具体例として重複確認用のARPプローブパケットを用いる場合を例として説明する。
図3は、ARPパケットの構成例である。ここでは、Ethernetフレーム30のデータ部31にARPパケット40を格納した例が示されている。
ARPパケット40は、主な制御データとして、オペレーションコード41、送信元MACアドレス42、送信元IPアドレス43、宛先MACアドレス44、および宛先IPアドレス45を有している。
In the present embodiment, a case where an ARP probe packet for duplication confirmation is used as a specific example of the duplication confirmation packet will be described as an example.
FIG. 3 is a configuration example of an ARP packet. Here, an example in which the ARP packet 40 is stored in the data unit 31 of the Ethernet frame 30 is shown.
The ARP packet 40 has an operation code 41, a source MAC address 42, a source IP address 43, a destination MAC address 44, and a destination IP address 45 as main control data.

オペレーションコード41は、ARPパケット40のARPの種別を示す識別情報である。パケットをARPリクエストパケットとして用いる場合、オペレーションコード41は0x0001に設定され、パケットをARPリプライパケットとして用いる場合、オペレーションコード41は0x0002に設定される。
送信元MACアドレス42および送信元IPアドレス43は、ARPパケットを送信する送信元のMACアドレスおよびIPアドレスである。
宛先MACアドレス44および宛先IPアドレス45は、ARPパケットの送信先のMACアドレスおよびIPアドレスである。
The operation code 41 is identification information indicating the type of ARP of the ARP packet 40. When the packet is used as an ARP request packet, the operation code 41 is set to 0x0001, and when the packet is used as an ARP reply packet, the operation code 41 is set to 0x0002.
The source MAC address 42 and the source IP address 43 are the source MAC address and IP address for transmitting the ARP packet.
The destination MAC address 44 and the destination IP address 45 are the MAC address and IP address of the destination of the ARP packet.

図4は、ARPプローブパケットの送信例である。ここでは、不正端末21のMACアドレスおよび確認したい確認IPアドレスと、ネットワーク監視装置10のMACアドレスおよびIPアドレスが、以下であるものとする。
・不正端末21
MACアドレス :「xx:xx:xx:xx:xx:01」
確認IPアドレス:「x.x.x.1」
・ネットワーク監視装置10
MACアドレス :「yy:yy:yy:yy:yy:02」
IPアドレス :「y.y.y.2」
FIG. 4 is an example of transmitting an ARP probe packet. Here, it is assumed that the MAC address of the unauthorized terminal 21 and the confirmation IP address to be confirmed, and the MAC address and IP address of the network monitoring device 10 are as follows.
Unauthorized terminal 21
MAC address: "xx: xx: xx: xx: xx: 01"
Confirmation IP address: "xxx1"
Network monitoring device 10
MAC address: "yy: yy: yy: yy: yy: 02"
IP address: "yyy2"

不正端末21から重複確認用のARPプローブパケットを送信する場合、送信元MACアドレス42には不正端末21のMACアドレスが設定されるが、確認IPアドレスがまだ使用できないため、送信元IPアドレス43には未使用を表す未使用IPアドレスが設定される。また、ARPプローブパケットがすべての端末で受信されるように、宛先MACアドレス44にはブロードキャストアドレスが設定され、宛先IPアドレス45には、確認IPアドレス、すなわち不正端末21が使用したいIPアドレスが設定される。 When an ARP probe packet for duplication confirmation is transmitted from the unauthorized terminal 21, the MAC address of the unauthorized terminal 21 is set as the source MAC address 42, but the confirmation IP address cannot be used yet, so the source IP address 43 is used. Is set to an unused IP address indicating unused. Further, a broadcast address is set in the destination MAC address 44 so that the ARP probe packet is received by all terminals, and a confirmation IP address, that is, an IP address that the unauthorized terminal 21 wants to use is set in the destination IP address 45. Will be done.

・ARPプローブパケット(重複確認用)
送信元MACアドレス:「xx:xx:xx:xx:xx:01」(不正端末のMACアドレス)
送信元IPアドレス :「0.0.0.0」(未使用IPアドレス)
宛先MACアドレス :「FF:FF:FF:FF:FF:FF」(ブロードキャストアドレス)
宛先IPアドレス :「x.x.x.1」(確認IPアドレス)
・ ARP probe packet (for duplicate confirmation)
Source MAC address: "xx: xx: xx: xx: xx: 01" (MAC address of unauthorized terminal)
Source IP address: "0.0.0.0" (unused IP address)
Destination MAC address: "FF: FF: FF: FF: FF: FF" (broadcast address)
Destination IP address: "xxx1" (confirmation IP address)

これに対して、ネットワーク監視装置10は、不正端末21が使用したい確認IPアドレスが重複アドレスであることを強制的に通知して、確認IPアドレスの使用を妨害する。このため、不正端末21からのARPプローブパケットに対して、重複応答用のARPリプライパケットを送信する場合、送信元MACアドレス42には、自装置のMACアドレスが設定され、送信元IPアドレスには確認IPアドレスが設定される。また、宛先MACアドレスおよび宛先IPアドレスには、ARPプローブパケットの送信元MACアドレスおよび送信元IPアドレスがそのまま設定される。 On the other hand, the network monitoring device 10 forcibly notifies that the confirmation IP address that the unauthorized terminal 21 wants to use is a duplicate address, and interferes with the use of the confirmation IP address. Therefore, when transmitting an ARP reply packet for duplicate response to an ARP probe packet from an unauthorized terminal 21, the source MAC address 42 is set to the MAC address of the own device, and the source IP address is set to the source IP address. The confirmation IP address is set. Further, the source MAC address and the source IP address of the ARP probe packet are set as they are in the destination MAC address and the destination IP address.

・ARPリプライパケット(重複応答用)
送信元MACアドレス:「yy:yy:yy:yy:yy:02」(監視装置のMACアドレス)
送信元IPアドレス :「x.x.x.1」(確認IPアドレス)
宛先MACアドレス :「xx:xx:xx:xx:xx:01」(ARPプローブ送信元MACアドレス)
宛先IPアドレス :「0.0.0.0」(ARPプローブ送信元IPアドレス)
・ ARP reply packet (for duplicate response)
Source MAC address: "yy: yy: yy: yy: yy: 02" (MAC address of monitoring device)
Source IP address: "xxx1" (confirmation IP address)
Destination MAC address: "xx: xx: xx: xx: xx: 01" (ARP probe source MAC address)
Destination IP address: "0.0.0.0" (ARP probe source IP address)

これにより、不正端末21は、受信したARPリプライパケットにおいて、送信元IPアドレス、すなわち不正端末21が指定した確認IPアドレスに対して、送信元MACアドレスが明示されているため、すでに確認IPアドレスを用いる端末が存在し、確認IPアドレスが重複アドレスであると判定することになる。このため、不正端末21は、確認IPアドレスを使用した通信が行えなくなる。 As a result, the unauthorized terminal 21 has already specified the source MAC address for the source IP address, that is, the confirmation IP address specified by the unauthorized terminal 21 in the received ARP reply packet. There is a terminal to be used, and it is determined that the confirmed IP address is a duplicate address. Therefore, the unauthorized terminal 21 cannot perform communication using the confirmed IP address.

[本実施の形態の動作]
次に、図5を参照して、本実施の形態にかかるネットワーク監視装置10の動作について説明する。図5は、ネットワーク監視動作を示すシーケンス図である。
ここでは、ネットワーク監視装置10の記憶部12に、正規端末20のMACアドレスおよびIPアドレスがすでに設定されているものとする。
[Operation of the present embodiment]
Next, the operation of the network monitoring device 10 according to the present embodiment will be described with reference to FIG. FIG. 5 is a sequence diagram showing a network monitoring operation.
Here, it is assumed that the MAC address and the IP address of the regular terminal 20 have already been set in the storage unit 12 of the network monitoring device 10.

不正端末21が、通信ネットワークLにリンクアップされた場合(ステップ100)、自己が使用するIPアドレスが他の端末と重複していなことを確認するため、図4に示したような、使用したい確認IPアドレスを宛先IPアドレスとして指定した重複確認用のARPプローブパケットを、ブロードキャストで通信ネットワークLに接続されているすべての端末へ送信する(ステップ101)。 When the unauthorized terminal 21 is linked up to the communication network L (step 100), it is desired to use it as shown in FIG. 4 in order to confirm that the IP address used by itself does not overlap with other terminals. An ARP probe packet for duplication confirmation in which the confirmation IP address is designated as the destination IP address is transmitted by broadcast to all terminals connected to the communication network L (step 101).

このARPプローブパケットは、各正規端末20で受信されるが、指定された宛先IPアドレスすなわち確認IPアドレスが自端末のIPアドレスと異なるため、ARPプローブパケットに対するAPRリプライパケットの返信は行わない。 This ARP probe packet is received by each legitimate terminal 20, but since the designated destination IP address, that is, the confirmation IP address is different from the IP address of the own terminal, the APR reply packet is not returned to the ARP probe packet.

一方、ネットワーク監視装置10は、通信I/F部11を介して通信ネットワークLに接続された正規端末20や不正端末21による通信を常時監視しており、不正端末21から送信されたARPプローブパケットの検出に応じて(ステップ102)、次のような一連の通信妨害処理(ステップ103)を実行する。 On the other hand, the network monitoring device 10 constantly monitors the communication by the legitimate terminal 20 or the fraudulent terminal 21 connected to the communication network L via the communication I / F unit 11, and the ARP probe packet transmitted from the fraudulent terminal 21. In response to the detection of (step 102), a series of communication jamming processes (step 103) as follows are executed.

まず、通信監視部13は、検出したARPプローブパケットから送信元MACアドレスを抽出し(ステップ110)、記憶部12のアドレスリスト12Aと照合することにより(ステップ111)、重複確認パケットの送信元端末が不正端末21であるか否かを判定する(ステップ112)。
ここで、送信元MACアドレスがアドレスリスト12Aに登録されている正規端末20のものと一致し、照合が成功した場合(ステップ112:NO)、通信監視部13は、一連の通信妨害処理を中止し、通信監視に戻る。
First, the communication monitoring unit 13 extracts the source MAC address from the detected ARP probe packet (step 110) and collates it with the address list 12A of the storage unit 12 (step 111). Determines whether or not is an unauthorized terminal 21 (step 112).
Here, when the source MAC address matches that of the legitimate terminal 20 registered in the address list 12A and the verification is successful (step 112: NO), the communication monitoring unit 13 cancels a series of communication jamming processes. Then return to communication monitoring.

一方、送信元MACアドレスがアドレスリスト12Aに登録されている正規端末20のものと一致せず、照合が失敗した場合(ステップ112:YES)、通信監視部13は、ARPプローブパケットの送信元端末が不正端末21であると判定する(ステップ113)。
通信I/F設定部15は、通信監視部13により、ARPプローブパケットの送信元端末が不正端末21であると判定された場合、当該ARPプローブパケットに含まれる確認IPアドレスを新たな自IPアドレスとして通信I/F部11に追加設定する(ステップ114)。これにより、正規端末20および不正端末21からは、ネットワーク監視装置10で、確認IPアドレスが使用されていると認識されることになる。
On the other hand, if the source MAC address does not match that of the legitimate terminal 20 registered in the address list 12A and the verification fails (step 112: YES), the communication monitoring unit 13 determines the source terminal of the ARP probe packet. Is an unauthorized terminal 21 (step 113).
When the communication monitoring unit 13 determines that the source terminal of the ARP probe packet is an unauthorized terminal 21, the communication I / F setting unit 15 uses a new own IP address as the confirmation IP address included in the ARP probe packet. Is additionally set in the communication I / F unit 11 (step 114). As a result, the legitimate terminal 20 and the fraudulent terminal 21 recognize that the confirmation IP address is being used by the network monitoring device 10.

また、重複応答返信部14は、通信監視部13により、ARPリプライパケットの送信元端末が不正端末21であると判定された場合、当該ARPプローブパケットに含まれる確認IPアドレスが重複していることを示す重複応答パケットとして、図4に示したようなARPリプライパケットを生成し(ステップ115)、通信I/F部11から通信ネットワークLへ送信し(ステップ116)、一連の通信妨害処理を終了する。 Further, when the communication monitoring unit 13 determines that the source terminal of the ARP reply packet is an unauthorized terminal 21, the duplicate response reply unit 14 determines that the confirmation IP address included in the ARP probe packet is duplicated. As the duplicate response packet indicating the above, an ARP reply packet as shown in FIG. 4 is generated (step 115), transmitted from the communication I / F unit 11 to the communication network L (step 116), and a series of communication interference processing is completed. do.

これにより、ネットワーク監視装置10から送信されたARPプローブパケットは、通信ネットワークLを介して不正端末21で受信され(ステップ104)、不正端末21は、受信したARPプローブパケットの送信元MACアドレスと送信元IPアドレスに、アドレス値が設定されていることから、確認IPアドレスが重複していることを確認する(ステップ105)。これにより、確認IPアドレスを用いた通信ネットワークLでの通信を断念することになる。 As a result, the ARP probe packet transmitted from the network monitoring device 10 is received by the unauthorized terminal 21 via the communication network L (step 104), and the unauthorized terminal 21 transmits the received ARP probe packet with the source MAC address. Since the address value is set in the original IP address, it is confirmed that the confirmation IP address is duplicated (step 105). As a result, communication on the communication network L using the confirmed IP address is abandoned.

この後、異なる新たなIPアドレスを用いて不正端末21が通信を試みる場合にも、新たなIPアドレスの重複確認を行う必要がある。このため、不正端末21は、使用したい新たな確認IPアドレスを宛先IPアドレスとして指定した重複確認用のARPプローブパケットを送信することになるが、ネットワーク監視装置10で前述した通信妨害処理が実行されるため、新たなIPアドレスを用いた通信ネットワークLでの通信が妨害されることになる。 After that, even when the unauthorized terminal 21 tries to communicate using a different new IP address, it is necessary to confirm the duplication of the new IP address. Therefore, the unauthorized terminal 21 transmits the ARP probe packet for duplicate confirmation in which the new confirmation IP address to be used is specified as the destination IP address, but the network monitoring device 10 executes the above-mentioned communication interference process. Therefore, communication on the communication network L using the new IP address will be hindered.

[本実施の形態の効果]
このように、本実施の形態は、ネットワーク監視装置10において、通信監視部13が、通信ネットワークLに接続された端末による通信を監視し、任意の端末から重複確認パケットが送信された場合、当該重複確認パケットに含まれる確認IPアドレスを抽出して記憶部12のアドレスリスト12Aと照合することにより、重複確認パケットの送信元端末が不正端末21であるか否かを判定し、送信元端末が不正端末21であると判定された場合、重複応答返信部14が、確認IPアドレスが重複していることを示す重複応答パケットを、送信元端末すなわち不正端末21へ返送するようにしたものである。
[Effect of this embodiment]
As described above, in the present embodiment, when the communication monitoring unit 13 monitors the communication by the terminal connected to the communication network L in the network monitoring device 10 and the duplicate confirmation packet is transmitted from an arbitrary terminal, the present embodiment is concerned. By extracting the confirmation IP address included in the duplication confirmation packet and collating it with the address list 12A of the storage unit 12, it is determined whether or not the source terminal of the duplication confirmation packet is an unauthorized terminal 21, and the source terminal determines whether or not it is an unauthorized terminal 21. When it is determined that the terminal is a fraudulent terminal 21, the duplicate response reply unit 14 returns a duplicate response packet indicating that the confirmation IP address is duplicated to the source terminal, that is, the fraudulent terminal 21. ..

より具体的には、通信監視部13が、重複確認パケットとして重複確認用のARPプローブパケットが送信された場合、当該ARPプローブパケットに含まれる確認IPアドレスを抽出してアドレスリスト12Aと照合することにより、送信元端末が不正端末21であるか否かを判定し、重複応答返信部14が、送信元端末が不正端末21であると判定された場合、ARPプローブパケットに含まれる確認IPアドレスを送信元アドレスとし、自装置MACアドレスを送信元MACアドレスとした重複応答用のARPリプライパケットを、送信元端末へ返送するようにしたものである。 More specifically, when the communication monitoring unit 13 transmits an ARP probe packet for duplication confirmation as a duplication confirmation packet, the communication monitoring unit 13 extracts the confirmation IP address included in the ARP probe packet and collates it with the address list 12A. Therefore, it is determined whether or not the source terminal is an unauthorized terminal 21, and when the duplicate response reply unit 14 determines that the source terminal is an unauthorized terminal 21, the confirmation IP address included in the ARP probe packet is used. The ARP reply packet for duplicate response, which uses the own device MAC address as the source MAC address as the source address, is returned to the source terminal.

前述したように、APRリクエストパケットは、本来、指定したIPアドレスと対応するMACアドレスを要求するためのものであるが、宛先IPアドレスとして自己で使用したい確認IPアドレスを設定することにより、IPアドレスの重複確認を行うためのARPプローブパケットとして使用されている。
本発明は、このような重複確認用のARPプローブパケットに対する、重複応答用のARPリプライパケットは、確認IPアドレスと一致するIPアドレスの端末からしか返送されず、ネットワーク監視装置10から重複応答用のARPリプライパケットを送信しても、不正なARPリプライパケットとは見なされない点に着目したものである。
As described above, the APR request packet is originally for requesting the MAC address corresponding to the specified IP address, but by setting the confirmation IP address that you want to use as the destination IP address, you can set the IP address. It is used as an ARP probe packet for checking duplicates.
In the present invention, the ARP reply packet for duplicate response to such the ARP probe packet for duplicate confirmation is returned only from the terminal of the IP address that matches the confirmation IP address, and the network monitoring device 10 for the duplicate response. The focus is on the fact that even if an ARP reply packet is transmitted, it is not regarded as an invalid ARP reply packet.

これにより、MACアドレス要求用のAPRリクエストパケットに対する偽のARPリプライパケットを返送する従来技術と比較して、重複応答用のARPリプライパケットが不正なARPリプライパケットと見なされる可能性はない。また、ARPプローブパケットで指定された確認IPアドレスの端末から重複応答用のARPリプライパケットが不正端末21へ返送されたとしても、これにより不正端末21が通信可能となることはない。 As a result, there is no possibility that the ARP reply packet for duplicate response is regarded as an invalid ARP reply packet as compared with the conventional technique for returning a fake ARP reply packet for the APR request packet for MAC address request. Further, even if the ARP reply packet for duplicate response is returned from the terminal of the confirmation IP address specified in the ARP probe packet to the unauthorized terminal 21, the unauthorized terminal 21 will not be able to communicate.

したがって、本発明によれば、不正端末21からの重複確認パケットに対して、重複応答用のARPリプライパケットが不正端末21へ返送されるため、不正端末21による通信を確実に妨害することが可能となる。また、本発明によれば、不正端末21が通信ネットワークLで用いる自己のIPアドレスの設定自体を阻止することができるため、不正端末21が自己のIPアドレスを使用可能状態となった以降に通信妨害を行う従来技術と比較して、より高いセキュリティ性を得ることができる。 Therefore, according to the present invention, in response to the duplicate confirmation packet from the unauthorized terminal 21, the ARP reply packet for the duplicate response is returned to the unauthorized terminal 21, so that it is possible to reliably interfere with the communication by the unauthorized terminal 21. It becomes. Further, according to the present invention, since it is possible to prevent the unauthorized terminal 21 from setting its own IP address used in the communication network L, communication is performed after the unauthorized terminal 21 becomes available for its own IP address. Higher security can be obtained as compared with the conventional technique of interfering.

また、本実施の形態において、通信I/F設定部15が、通信監視部13において、重複確認用のARPプローブパケットの送信元端末が不正端末21であると判定された場合、確認IPアドレスを新たな自IPアドレスとして通信I/F部11に追加設定するようにしてもよい。
これにより、確認IPアドレスを自IPアドレスとし、元々のネットワーク監視装置10のMACアドレスを自MACアドレスとする新たな通信I/Fが、通信ネットワークLに接続されたことになる。
Further, in the present embodiment, when the communication I / F setting unit 15 determines in the communication monitoring unit 13 that the source terminal of the ARP probe packet for duplication confirmation is an unauthorized terminal 21, the confirmation IP address is set. The communication I / F unit 11 may be additionally set as a new own IP address.
As a result, a new communication I / F having the confirmed IP address as the own IP address and the original MAC address of the network monitoring device 10 as the own MAC address is connected to the communication network L.

このため、通信ネットワークLに接続されている正規端末20や不正端末21から、新たな通信I/Fが、通信可能な状態で通信ネットワークLに実在するものとして認識されることになる。したがって、確認IPアドレス宛のパケットが誤って送信された場合でも、ネットワーク監視装置10で正しく受信することができる。 Therefore, the legitimate terminal 20 and the unauthorized terminal 21 connected to the communication network L recognize that the new communication I / F actually exists in the communication network L in a communicable state. Therefore, even if the packet addressed to the confirmation IP address is erroneously transmitted, it can be correctly received by the network monitoring device 10.

[実施の形態の拡張]
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。また、各実施形態については、矛盾しない範囲で任意に組み合わせて実施することができる。
[Extension of Embodiment]
Although the present invention has been described above with reference to the embodiments, the present invention is not limited to the above embodiments. Various changes that can be understood by those skilled in the art can be made within the scope of the present invention in the configuration and details of the present invention. In addition, each embodiment can be implemented in any combination within a consistent range.

以上で説明した実施の形態では、ネットワーク監視装置10の通信I/F設定部15が、重複確認パケットに含まれる確認IPアドレスを新たな自IPアドレスとして通信I/F部11に追加設定する場合について説明した、この場合、確認IPアドレスを持つ新たな通信I/FのMACアドレスとして、ネットワーク監視装置10の元々のMACアドレスが割り当てられることになるが、新たな通信I/FのMACアドレスとして、元々のMACアドレスとは異なるMACアドレスを割り当ててもよい。 In the embodiment described above, when the communication I / F setting unit 15 of the network monitoring device 10 additionally sets the confirmation IP address included in the duplicate confirmation packet as a new own IP address in the communication I / F unit 11. In this case, the original MAC address of the network monitoring device 10 is assigned as the MAC address of the new communication I / F having the confirmed IP address, but as the MAC address of the new communication I / F. , You may assign a MAC address different from the original MAC address.

この際、基本的には、通信ネットワークLに接続されている各端末のMACアドレスと重複していなければ、いずれのMACアドレスを新たな通信I/Fに割り当ててもよい。このため、重複する可能性が低い予備MACアドレスを予め記憶部12に設定しておき、新たな通信I/Fを追加した時点で、記憶部12から読み出した予備MACアドレスを新たな通信I/Fに割り当ててもよい。 At this time, basically, any MAC address may be assigned to the new communication I / F as long as it does not overlap with the MAC address of each terminal connected to the communication network L. Therefore, a spare MAC address that is unlikely to be duplicated is set in the storage unit 12 in advance, and when a new communication I / F is added, the spare MAC address read from the storage unit 12 is used as the new communication I / F. It may be assigned to F.

また、通信I/F部11において、現用の通信I/Fの通信モジュールとは別個に、異なるMACアドレスを有する予備の通信モジュールを予め備えておき、新たな通信I/Fを追加する際、重複確認パケットに含まれる確認IPアドレスを、予備の通信モジュールからなる新たな通信I/Fに割り当てるようにしてもよい。 Further, when the communication I / F unit 11 is provided with a spare communication module having a different MAC address in advance separately from the communication module of the current communication I / F, and a new communication I / F is added. The confirmation IP address included in the duplicate confirmation packet may be assigned to a new communication I / F composed of a spare communication module.

また、重複確認パケットに含まれる確認IPアドレスを割り当てた新たな通信I/Fについては、通信監視部13が、任意の端末による確認IPアドレスの使用を監視しておき、一定の監視期間にわたり確認IPアドレスの使用が確認されなくなった時点で、例えば新たな通信I/Fの動作を停止するようにしてもよい。これにより、新たな通信I/Fでの消費電力を削減できるとともに、確認IPアドレスの管理のための不要な処理を停止することが可能となる。 Further, regarding the new communication I / F to which the confirmation IP address included in the duplicate confirmation packet is assigned, the communication monitoring unit 13 monitors the use of the confirmation IP address by any terminal and confirms it over a certain monitoring period. When the use of the IP address is no longer confirmed, for example, the operation of the new communication I / F may be stopped. As a result, the power consumption of the new communication I / F can be reduced, and unnecessary processing for managing the confirmed IP address can be stopped.

10…ネットワーク監視装置、11…通信I/F部、12…記憶部、12A…アドレスリスト、13…通信監視部、14…重複応答返信部、15…通信I/F設定部、20…正規端末、21…不正端末、30…Ethernetフレーム、31…データ部、40…ARPパケット、41…オペレーションコード、42…送信元MACアドレス、43…送信元IPアドレス、44…宛先MACアドレス、45…宛先IPアドレス、L…通信ネットワーク。 10 ... Network monitoring device, 11 ... Communication I / F unit, 12 ... Storage unit, 12A ... Address list, 13 ... Communication monitoring unit, 14 ... Duplicate response reply unit, 15 ... Communication I / F setting unit, 20 ... Regular terminal , 21 ... Unauthorized terminal, 30 ... Ethernet frame, 31 ... Data part, 40 ... ARP packet, 41 ... Operation code, 42 ... Source MAC address, 43 ... Source IP address, 44 ... Destination MAC address, 45 ... Destination IP Address, L ... Communication network.

Claims (3)

通信ネットワークを介して任意の端末と通信を行う通信I/F部と、
前記通信ネットワークを介した通信が許可されている正規端末のアドレスが予め登録されているアドレスリストを記憶する記憶部と、
前記通信ネットワークに接続された端末による通信を監視し、任意の端末から重複確認パケットが送信された場合、当該重複確認パケットに含まれるMACアドレスとIPアドレスとの少なくともいずれか一方を抽出して前記アドレスリストと照合することにより、前記重複確認パケットの送信元端末が不正端末であるか否かを判定する通信監視部と、
前記送信元端末が不正端末であると判定された場合、確認IPアドレスが重複していることを示す重複応答パケットを、前記送信元端末へ返送する重複応答返信部と
を備え
前記送信元端末が不正端末であると判定された場合、前記確認IPアドレスを新たな自IPアドレスとして前記通信I/F部に追加設定する通信I/F設定部を、さらに備えることを特徴とするネットワーク監視装置。
A communication I / F unit that communicates with an arbitrary terminal via a communication network,
A storage unit that stores an address list in which the addresses of legitimate terminals that are permitted to communicate via the communication network are registered in advance, and a storage unit.
When the communication by the terminal connected to the communication network is monitored and the duplication confirmation packet is transmitted from an arbitrary terminal , at least one of the MAC address and the IP address included in the duplication confirmation packet is extracted and described above. A communication monitoring unit that determines whether or not the source terminal of the duplicate confirmation packet is an unauthorized terminal by collating with the address list.
Duplicate response packet indicating that if the source terminal is determined to be unauthorized terminal, is confirmed IP address is duplicated, and a duplicate response returning unit for returning to the sender terminal,
If the source terminal is determined to be unauthorized terminal, the communication I / F setting unit additionally sets the communication I / F the confirmation IP address as a new local IP address, further comprising said Rukoto Network monitoring device.
請求項1に記載のネットワーク監視装置において、
前記通信監視部は、前記重複確認パケットとして重複確認用のARPプローブパケットが送信された場合、当該ARPプローブパケットに含まれる前記確認IPアドレスを抽出して前記アドレスリストと照合することにより、前記送信元端末が不正端末であるか否かを判定し、
前記重複応答返信部は、前記送信元端末が不正端末であると判定された場合、前記ARPプローブパケットに含まれる前記確認IPアドレスを送信元アドレスとし、自装置MACアドレスを送信元MACアドレスとした重複応答用のARPリプライパケットを、前記送信元端末へ返送する
ことを特徴とするネットワーク監視装置。
In the network monitoring device according to claim 1,
When the ARP probe packet for duplication confirmation is transmitted as the duplication confirmation packet, the communication monitoring unit extracts the confirmation IP address included in the ARP probe packet and collates it with the address list to perform the transmission. Determine if the original terminal is a fraudulent terminal and
When it is determined that the source terminal is an unauthorized terminal, the duplicate response reply unit uses the confirmation IP address included in the ARP probe packet as the source address and the own device MAC address as the source MAC address. A network monitoring device characterized in that an ARP reply packet for a duplicate response is returned to the source terminal.
通信ネットワークに接続されるネットワーク機器で用いられるネットワーク監視方法であって、
記憶部が、前記通信ネットワークを介した通信が許可されている正規端末のアドレスが予め登録されているアドレスリストを記憶する記憶ステップと、
通信監視部が、前記通信ネットワークに接続された端末による通信を監視し、任意の端末から重複確認パケットが送信された場合、当該重複確認パケットに含まれMACアドレスとIPアドレスとの少なくともいずれか一方を抽出して前記アドレスリストと照合することにより、前記重複確認パケットの送信元端末が不正端末であるか否かを判定する通信監視ステップと、
重複応答返信部が、前記送信元端末が不正端末であると判定された場合、確認IPアドレスが重複していることを示す重複応答パケットを、前記送信元端末へ返送する重複応答返信ステップと
を備え
通信I/F設定部が、前記送信元端末が不正端末であると判定された場合、前記確認IPアドレスを新たな自IPアドレスとして通信I/F部に追加設定するステップを、さらに備えることを特徴とするネットワーク監視方法。
A network monitoring method used by network devices connected to communication networks.
A storage step in which the storage unit stores an address list in which the addresses of legitimate terminals permitted to communicate via the communication network are registered in advance, and a storage step.
When the communication monitoring unit monitors the communication by the terminal connected to the communication network and the duplicate confirmation packet is transmitted from an arbitrary terminal , at least one of the MAC address and the IP address included in the duplicate confirmation packet is included in the duplicate confirmation packet. And a communication monitoring step of determining whether or not the source terminal of the duplicate confirmation packet is an unauthorized terminal by extracting and collating with the address list.
Duplicate response response unit, overlapping response reply step of the source terminal and the determined if an unauthorized terminal, duplicate response packet indicating that the check IP addresses are duplicated, and returns to the source terminal equipped with a door,
Communication I / F setting unit, when the source terminal is determined to be unauthorized terminal, the step of adding configure the communication I / F section the confirmation IP address as a new local IP address, further comprising Rukoto A network monitoring method characterized by.
JP2017236711A 2017-12-11 2017-12-11 Network monitoring equipment and methods Active JP6954071B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017236711A JP6954071B2 (en) 2017-12-11 2017-12-11 Network monitoring equipment and methods

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017236711A JP6954071B2 (en) 2017-12-11 2017-12-11 Network monitoring equipment and methods

Publications (2)

Publication Number Publication Date
JP2019106583A JP2019106583A (en) 2019-06-27
JP6954071B2 true JP6954071B2 (en) 2021-10-27

Family

ID=67062481

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017236711A Active JP6954071B2 (en) 2017-12-11 2017-12-11 Network monitoring equipment and methods

Country Status (1)

Country Link
JP (1) JP6954071B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102445916B1 (en) 2021-09-09 2022-09-21 스콥정보통신 주식회사 Apparatus and method for managing terminal in network

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005260615A (en) * 2004-03-12 2005-09-22 Hitachi Ltd Network monitoring device, network monitoring method, network monitoring program, and recording medium storing network monitoring program
JP5820106B2 (en) * 2010-11-08 2015-11-24 キヤノン株式会社 Communication apparatus and control method thereof
TWI474668B (en) * 2012-11-26 2015-02-21 Method for distinguishing and blocking off network node
JP6134954B1 (en) * 2016-01-14 2017-05-31 株式会社Pfu Network security device, network management method, and program

Also Published As

Publication number Publication date
JP2019106583A (en) 2019-06-27

Similar Documents

Publication Publication Date Title
JP3824274B2 (en) Unauthorized connection detection system and unauthorized connection detection method
CN101370019B (en) Method and switchboard for preventing packet cheating attack of address analysis protocol
US7870603B2 (en) Method and apparatus for automatic filter generation and maintenance
US10601766B2 (en) Determine anomalous behavior based on dynamic device configuration address range
CN101651696B (en) Method and device for preventing neighbor discovery (ND) attack
CN101621525B (en) Method and equipment for treating legal entries
CN101611608A (en) Method and system for restricting communication of one node with other nodes in broadcast domain of IP (Internet protocol) network
JP3499621B2 (en) Address management device and address management method
CN101577645B (en) Method and device for detecting counterfeit network equipment
JPWO2012014509A1 (en) Unauthorized access blocking control method
CN104410642B (en) Equipment access cognitive method based on ARP protocol
JP4179300B2 (en) Network management method and apparatus, and management program
CN104660730B (en) The means of communication and its system of server-side and far-end unit
CN113556337A (en) Terminal address identification method, network system, electronic device and storage medium
KR102909617B1 (en) Vehicle and controlling method of vehicle
JP6954071B2 (en) Network monitoring equipment and methods
CN101707535B (en) Method and device for detecting counterfeit network equipment
JP2005210451A (en) Unauthorized access prevention device and program
CN104601460B (en) A kind of message forwarding method and device
US11153877B2 (en) Method for bonding a plurality of radio connections in a wireless network
KR102445916B1 (en) Apparatus and method for managing terminal in network
JP4002276B2 (en) Unauthorized connection detection system
CA3231366C (en) Apparatus and method for managing terminal in network
CN105871846A (en) Multicast group management method and device
JP2006320024A (en) Unauthorized connection detection system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200525

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210409

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210518

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210713

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210831

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210913

R150 Certificate of patent or registration of utility model

Ref document number: 6954071

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350