JP6954071B2 - Network monitoring equipment and methods - Google Patents
Network monitoring equipment and methods Download PDFInfo
- Publication number
- JP6954071B2 JP6954071B2 JP2017236711A JP2017236711A JP6954071B2 JP 6954071 B2 JP6954071 B2 JP 6954071B2 JP 2017236711 A JP2017236711 A JP 2017236711A JP 2017236711 A JP2017236711 A JP 2017236711A JP 6954071 B2 JP6954071 B2 JP 6954071B2
- Authority
- JP
- Japan
- Prior art keywords
- address
- terminal
- communication
- packet
- confirmation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、通信ネットワークに接続された端末による通信を監視し、許可されていない不正端末による不正な通信を妨害するためのネットワーク監視技術に関する。 The present invention relates to a network monitoring technique for monitoring communication by a terminal connected to a communication network and interfering with unauthorized communication by an unauthorized unauthorized terminal.
従来、通信ネットワークに接続された端末による通信を監視し、許可されていない不正端末による通信を妨害するネットワーク監視技術として、通信開始時に端末から送信されるARPリクエストを監視する技術が提案されている(例えば、特許文献1など参照)。
例えばLANからなる通信ネットワークを介して、任意の相手端末と通信を行う際、レイヤ3(ネットワーク層)でIPによりパケットを送受信するには、相手端末のIPアドレスが必要となる。
Conventionally, as a network monitoring technology that monitors communication by a terminal connected to a communication network and interferes with communication by an unauthorized unauthorized terminal, a technology for monitoring an ARP request sent from the terminal at the start of communication has been proposed. (See, for example, Patent Document 1).
For example, when communicating with an arbitrary partner terminal via a communication network consisting of a LAN, the IP address of the partner terminal is required in order to send and receive packets by IP at layer 3 (network layer).
これに加えて、レイヤ2(データリンク層)で、Ethernet(登録商標)でパケットを格納したフレームを送受信するには、相手端末のMACアドレスが必要となる。
このため、レイヤ2では、ARPリクエストとARPリプライという制御用パケットを送受信することにより、指定したIPアドレスの相手端末のMACアドレスを取得するプロトコル、すなわちARP(Address Resolution Protocol)が規定されている。
In addition to this, in order to send and receive a frame containing a packet in Ethernet (registered trademark) in layer 2 (data link layer), the MAC address of the other terminal is required.
Therefore, in layer 2, a protocol for acquiring the MAC address of the partner terminal of the specified IP address by sending and receiving control packets called ARP request and ARP reply, that is, ARP (Address Resolution Protocol) is defined.
このARPでは、まず、送信元端末が、相手端末のIPアドレスを確認IPアドレスとして指定したARPリクエストパケットを通信ネットワークへブロードキャスト送信する。次に、通信ネットワークに接続されている各端末は、当該ARPリクエストパケットの確認IPアドレスが自端末のIPアドレスと一致するか確認する。この後、IPアドレスが一致した端末が、自端末のMACアドレスを含むARPリプライパケットを送信元端末へ通知する。 In this ARP, first, the source terminal broadcasts an ARP request packet in which the IP address of the other terminal is designated as the confirmation IP address to the communication network. Next, each terminal connected to the communication network confirms whether the confirmation IP address of the ARP request packet matches the IP address of its own terminal. After that, the terminal having the same IP address notifies the source terminal of the ARP reply packet including the MAC address of the own terminal.
前述した従来技術は、このようなARPリクエストパケットが不正端末からも必ず送信されることに着目し、不正端末からのARPリクエストパケットに対して、指定された確認IPアドレスと対応する実際のMACアドレスとは異なるMACアドレスを用いた偽のARPリプライパケットを、ネットワーク監視装置から不正端末へ通知するようにしたものである。
これにより、不正端末には、偽のARPリプライパケットで本来とは異なるMACアドレスが通知されるため、不正端末が混乱して通信ができなくなり、結果として、不正端末の通信が妨害されることになる。
The above-mentioned conventional technique pays attention to the fact that such an ARP request packet is always transmitted from a malicious terminal, and the actual MAC address corresponding to the specified confirmation IP address for the ARP request packet from the malicious terminal. A fake ARP reply packet using a MAC address different from the above is notified from the network monitoring device to the unauthorized terminal.
As a result, the fraudulent terminal is notified of a MAC address different from the original one by a fake ARP reply packet, so that the fraudulent terminal is confused and cannot communicate, and as a result, the communication of the fraudulent terminal is disturbed. Become.
しかしながら、このような従来技術では、ARPリクエストパケットの宛先として指定されていないネットワーク監視装置から、偽のARPリプライパケットが送信されるため、この偽のARPリプライパケットが、不正端末や同じ通信ネットワークに接続されている他の端末装置で検査され、不正なARPリプライパケットであると判定される場合がある。
したがって、このような場合には、ARPリクエストパケットで指定された確認IPアドレスの端末からのARPリプライパケットにより、不正端末が通信を開始する可能性があり、結果として不正端末の通信を妨害できないという問題点があった。
However, in such a conventional technique, a fake ARP reply packet is transmitted from a network monitoring device that is not designated as a destination of the ARP request packet, so that the fake ARP reply packet is sent to an unauthorized terminal or the same communication network. It may be inspected by another connected terminal device and determined to be an invalid ARP reply packet.
Therefore, in such a case, the ARP reply packet from the terminal with the confirmation IP address specified in the ARP request packet may cause the unauthorized terminal to start communication, and as a result, the communication of the unauthorized terminal cannot be interrupted. There was a problem.
本発明はこのような課題を解決するためのものであり、不正端末による通信を確実に妨害することができるネットワーク監視技術を提供することを目的としている。 The present invention is intended to solve such a problem, and an object of the present invention is to provide a network monitoring technique capable of reliably interfering with communication by an unauthorized terminal.
このような目的を達成するために、本発明にかかるネットワーク監視装置は、通信ネットワークを介して任意の端末と通信を行う通信I/F部と、前記通信ネットワークを介した通信が許可されている正規端末のアドレスが予め登録されているアドレスリストを記憶する記憶部と、前記通信ネットワークに接続された端末による通信を監視し、任意の端末から重複確認パケットが送信された場合、当該重複確認パケットに含まれる確認IPアドレスを抽出して前記アドレスリストと照合することにより、前記重複確認パケットの送信元端末が不正端末であるか否かを判定する通信監視部と、前記送信元端末が不正端末であると判定された場合、前記確認IPアドレスが重複していることを示す重複応答パケットを、前記送信元端末へ返送する重複応答返信部とを備えている。 In order to achieve such an object, the network monitoring device according to the present invention is permitted to communicate with an arbitrary terminal via a communication network and a communication I / F unit via the communication network. When the duplication confirmation packet is transmitted from an arbitrary terminal by monitoring the communication between the storage unit that stores the address list in which the address of the legitimate terminal is registered in advance and the terminal connected to the communication network, the duplication confirmation packet A communication monitoring unit that determines whether or not the source terminal of the duplicate confirmation packet is an unauthorized terminal by extracting the confirmation IP address included in the above and collating it with the address list, and the source terminal is an unauthorized terminal. When it is determined that the above is the case, it is provided with a duplicate response reply unit that returns a duplicate response packet indicating that the confirmation IP address is duplicated to the source terminal.
また、本発明にかかる上記ネットワーク監視装置は、前記送信元端末が不正端末であると判定された場合、前記確認IPアドレスを新たな自IPアドレスとして前記通信I/F部に追加設定する通信I/F設定部を、さらに備えている。 Moreover, the network monitoring equipment according to the present invention, additionally sets the case where the transmission source terminal is determined to be unauthorized terminal, to the communication I / F section the confirmation IP address as the new local IP address communication It also has an I / F setting unit.
また、本発明にかかる上記ネットワーク監視装置の一構成例は、前記通信監視部が、前記重複確認パケットとして重複確認用のARPプローブパケットが送信された場合、当該ARPプローブパケットに含まれる前記確認IPアドレスを抽出して前記アドレスリストと照合することにより、前記送信元端末が不正端末であるか否かを判定し、前記重複応答返信部は、前記送信元端末が不正端末であると判定された場合、前記ARPプローブパケットに含まれる前記確認IPアドレスを送信元アドレスとし、自装置MACアドレスを送信元MACアドレスとした重複応答用のARPリプライパケットを、前記送信元端末へ返送するようにしたものである。 Further, in one configuration example of the network monitoring device according to the present invention, when the communication monitoring unit transmits an ARP probe packet for duplication confirmation as the duplication confirmation packet, the confirmation IP included in the ARP probe packet. By extracting the address and collating it with the address list, it is determined whether or not the source terminal is an unauthorized terminal, and the duplicate response reply unit determines that the source terminal is an unauthorized terminal. In this case, the ARP reply packet for duplicate response, in which the confirmation IP address included in the ARP probe packet is used as the source address and the own device MAC address is used as the source MAC address, is returned to the source terminal. Is.
また、本発明にかかるネットワーク監視方法は、通信ネットワークに接続されるネットワーク機器で用いられるネットワーク監視方法であって、記憶部が、前記通信ネットワークを介した通信が許可されている正規端末のアドレスが予め登録されているアドレスリストを記憶する記憶ステップと、通信監視部が、前記通信ネットワークに接続された端末による通信を監視し、任意の端末から重複確認パケットが送信された場合、当該重複確認パケットに含まれMACアドレスとIPアドレスとの少なくともいずれか一方を抽出して前記アドレスリストと照合することにより、前記重複確認パケットの送信元端末が不正端末であるか否かを判定する通信監視ステップと、重複応答返信部が、前記送信元端末が不正端末であると判定された場合、確認IPアドレスが重複していることを示す重複応答パケットを、前記送信元端末へ返送する重複応答返信ステップとを備え、通信I/F設定部が、前記送信元端末が不正端末であると判定された場合、前記確認IPアドレスを新たな自IPアドレスとして通信I/F部に追加設定するステップを、さらに備えている。 Further, the network monitoring method according to the present invention is a network monitoring method used in a network device connected to a communication network, and the storage unit has an address of a legitimate terminal that is permitted to communicate via the communication network. A storage step for storing a pre-registered address list and a communication monitoring unit monitor communication by a terminal connected to the communication network, and when a duplicate confirmation packet is transmitted from an arbitrary terminal, the duplicate confirmation packet is transmitted. By extracting at least one of the MAC address and the IP address included in the above and collating it with the address list, a communication monitoring step of determining whether or not the source terminal of the duplicate confirmation packet is an unauthorized terminal. , overlapping response response unit, overlapping response replies the sender terminal and the determined if an unauthorized terminal, duplicate response packet indicating that the check IP addresses are duplicated, and returns to the source terminal When the communication I / F setting unit determines that the source terminal is an unauthorized terminal, the communication I / F setting unit additionally sets the confirmation IP address as a new own IP address in the communication I / F unit. , Further prepared .
本発明によれば、不正端末からの重複確認パケットに対して、重複応答用のARPリプライパケットが不正端末へ返送されるため、不正端末による通信を確実に妨害することが可能となる。また、本発明によれば、不正端末が通信ネットワークLで用いる自己のIPアドレスの設定自体を阻止することができるため、不正端末が自己のIPアドレスを使用可能状態となった以降に通信妨害を行う従来技術と比較して、より高いセキュリティ性を得ることができる。 According to the present invention, since the ARP reply packet for duplicate response is returned to the malicious terminal in response to the duplicate confirmation packet from the unauthorized terminal, it is possible to reliably interfere with the communication by the unauthorized terminal. Further, according to the present invention, since it is possible to prevent the unauthorized terminal from setting its own IP address used in the communication network L, communication interference is caused after the unauthorized terminal becomes available for its own IP address. Higher security can be obtained as compared with the conventional technique to be performed.
次に、本発明の一実施の形態について図面を参照して説明する。
[ネットワーク監視装置]
まず、図1を参照して、本実施の形態にかかるネットワーク監視装置10について説明する。図1は、ネットワーク監視装置の構成を示すブロック図である。
Next, an embodiment of the present invention will be described with reference to the drawings.
[Network monitoring device]
First, the
このネットワーク監視装置10は、全体としてUTM(Unified Threat Management)、ゲートウェイ、ルータ、スイッチ、ハブなどのネットワーク機器からなり、LAN(Local Area Network)などの通信ネットワークLに接続されて、通信ネットワークLに接続された端末による通信を監視し、許可されていない不正端末21による、許可されている正規端末20との不正な通信を妨害する機能を有している。
The
図1に示すように、ネットワーク監視装置10は、主な機能部として、通信I/F部11、記憶部12、通信監視部13、重複応答返信部14、および通信I/F設定部15を備えている。
As shown in FIG. 1, the
通信I/F部11は、通信ネットワークLに接続された正規端末20や不正端末21との間でパケットを送受信することにより通信を行う機能を有している。
記憶部12は、半導体メモリやハードディスクなどの記憶装置からなり、ネットワーク監視装置10の動作に用いる各種の処理データやプログラムを記憶する機能を有している。記憶部12で記憶する主な処理データとして、ネットワーク監視装置10の自IPアドレスおよび自MACアドレスのほか、正規端末20のアドレスリスト12Aがある。
The communication I /
The
図2は、アドレスリストの構成例である。ここでは、正規端末20ごとに、当該正規端末20で用いている正規端末アドレスとして、MACアドレスおよびIPアドレスが予め登録されている。不正端末21を判定する際、不正端末21のMACアドレスおよびIPアドレスが、これら正規端末20のMACアドレスおよびIPアドレスと照合される。なお、照合する際、MACアドレスおよびIPアドレスの一方だけでも照合可能であるため、正規端末アドレスとして、MACアドレスまたはIPアドレスのいずれか一方のみをアドレスリスト12Aに登録してもよい。
FIG. 2 is an example of an address list configuration. Here, for each
通信監視部13は、通信ネットワークLに接続された正規端末20や不正端末21による通信を監視し、任意の端末から重複確認パケットが送信された場合、当該重複確認パケットに含まれる確認IPアドレスを抽出してアドレスリストと照合することにより、重複確認パケットの送信元端末が不正端末21であるか否かを判定する機能を有している。
The
重複応答返信部14は、通信監視部13により、重複確認パケットの送信元端末が不正端末21であると判定された場合、当該重複確認パケットに含まれる確認IPアドレスが重複していることを示す重複応答パケットを、送信元端末すなわち不正端末21へ返送する機能を有している。
When the
通信I/F設定部15は、通信監視部13により、重複確認パケットの送信元端末が不正端末21であると判定された場合、当該重複確認パケットに含まれる確認IPアドレスを新たな自IPアドレスとして通信I/F部11に追加設定する機能を有している。
When the
本実施の形態では、重複確認パケットの具体例として重複確認用のARPプローブパケットを用いる場合を例として説明する。
図3は、ARPパケットの構成例である。ここでは、Ethernetフレーム30のデータ部31にARPパケット40を格納した例が示されている。
ARPパケット40は、主な制御データとして、オペレーションコード41、送信元MACアドレス42、送信元IPアドレス43、宛先MACアドレス44、および宛先IPアドレス45を有している。
In the present embodiment, a case where an ARP probe packet for duplication confirmation is used as a specific example of the duplication confirmation packet will be described as an example.
FIG. 3 is a configuration example of an ARP packet. Here, an example in which the
The
オペレーションコード41は、ARPパケット40のARPの種別を示す識別情報である。パケットをARPリクエストパケットとして用いる場合、オペレーションコード41は0x0001に設定され、パケットをARPリプライパケットとして用いる場合、オペレーションコード41は0x0002に設定される。
送信元MACアドレス42および送信元IPアドレス43は、ARPパケットを送信する送信元のMACアドレスおよびIPアドレスである。
宛先MACアドレス44および宛先IPアドレス45は、ARPパケットの送信先のMACアドレスおよびIPアドレスである。
The
The
The
図4は、ARPプローブパケットの送信例である。ここでは、不正端末21のMACアドレスおよび確認したい確認IPアドレスと、ネットワーク監視装置10のMACアドレスおよびIPアドレスが、以下であるものとする。
・不正端末21
MACアドレス :「xx:xx:xx:xx:xx:01」
確認IPアドレス:「x.x.x.1」
・ネットワーク監視装置10
MACアドレス :「yy:yy:yy:yy:yy:02」
IPアドレス :「y.y.y.2」
FIG. 4 is an example of transmitting an ARP probe packet. Here, it is assumed that the MAC address of the
・
MAC address: "xx: xx: xx: xx: xx: 01"
Confirmation IP address: "xxx1"
・
MAC address: "yy: yy: yy: yy: yy: 02"
IP address: "yyy2"
不正端末21から重複確認用のARPプローブパケットを送信する場合、送信元MACアドレス42には不正端末21のMACアドレスが設定されるが、確認IPアドレスがまだ使用できないため、送信元IPアドレス43には未使用を表す未使用IPアドレスが設定される。また、ARPプローブパケットがすべての端末で受信されるように、宛先MACアドレス44にはブロードキャストアドレスが設定され、宛先IPアドレス45には、確認IPアドレス、すなわち不正端末21が使用したいIPアドレスが設定される。
When an ARP probe packet for duplication confirmation is transmitted from the
・ARPプローブパケット(重複確認用)
送信元MACアドレス:「xx:xx:xx:xx:xx:01」(不正端末のMACアドレス)
送信元IPアドレス :「0.0.0.0」(未使用IPアドレス)
宛先MACアドレス :「FF:FF:FF:FF:FF:FF」(ブロードキャストアドレス)
宛先IPアドレス :「x.x.x.1」(確認IPアドレス)
・ ARP probe packet (for duplicate confirmation)
Source MAC address: "xx: xx: xx: xx: xx: 01" (MAC address of unauthorized terminal)
Source IP address: "0.0.0.0" (unused IP address)
Destination MAC address: "FF: FF: FF: FF: FF: FF" (broadcast address)
Destination IP address: "xxx1" (confirmation IP address)
これに対して、ネットワーク監視装置10は、不正端末21が使用したい確認IPアドレスが重複アドレスであることを強制的に通知して、確認IPアドレスの使用を妨害する。このため、不正端末21からのARPプローブパケットに対して、重複応答用のARPリプライパケットを送信する場合、送信元MACアドレス42には、自装置のMACアドレスが設定され、送信元IPアドレスには確認IPアドレスが設定される。また、宛先MACアドレスおよび宛先IPアドレスには、ARPプローブパケットの送信元MACアドレスおよび送信元IPアドレスがそのまま設定される。
On the other hand, the
・ARPリプライパケット(重複応答用)
送信元MACアドレス:「yy:yy:yy:yy:yy:02」(監視装置のMACアドレス)
送信元IPアドレス :「x.x.x.1」(確認IPアドレス)
宛先MACアドレス :「xx:xx:xx:xx:xx:01」(ARPプローブ送信元MACアドレス)
宛先IPアドレス :「0.0.0.0」(ARPプローブ送信元IPアドレス)
・ ARP reply packet (for duplicate response)
Source MAC address: "yy: yy: yy: yy: yy: 02" (MAC address of monitoring device)
Source IP address: "xxx1" (confirmation IP address)
Destination MAC address: "xx: xx: xx: xx: xx: 01" (ARP probe source MAC address)
Destination IP address: "0.0.0.0" (ARP probe source IP address)
これにより、不正端末21は、受信したARPリプライパケットにおいて、送信元IPアドレス、すなわち不正端末21が指定した確認IPアドレスに対して、送信元MACアドレスが明示されているため、すでに確認IPアドレスを用いる端末が存在し、確認IPアドレスが重複アドレスであると判定することになる。このため、不正端末21は、確認IPアドレスを使用した通信が行えなくなる。
As a result, the
[本実施の形態の動作]
次に、図5を参照して、本実施の形態にかかるネットワーク監視装置10の動作について説明する。図5は、ネットワーク監視動作を示すシーケンス図である。
ここでは、ネットワーク監視装置10の記憶部12に、正規端末20のMACアドレスおよびIPアドレスがすでに設定されているものとする。
[Operation of the present embodiment]
Next, the operation of the
Here, it is assumed that the MAC address and the IP address of the
不正端末21が、通信ネットワークLにリンクアップされた場合(ステップ100)、自己が使用するIPアドレスが他の端末と重複していなことを確認するため、図4に示したような、使用したい確認IPアドレスを宛先IPアドレスとして指定した重複確認用のARPプローブパケットを、ブロードキャストで通信ネットワークLに接続されているすべての端末へ送信する(ステップ101)。
When the
このARPプローブパケットは、各正規端末20で受信されるが、指定された宛先IPアドレスすなわち確認IPアドレスが自端末のIPアドレスと異なるため、ARPプローブパケットに対するAPRリプライパケットの返信は行わない。
This ARP probe packet is received by each
一方、ネットワーク監視装置10は、通信I/F部11を介して通信ネットワークLに接続された正規端末20や不正端末21による通信を常時監視しており、不正端末21から送信されたARPプローブパケットの検出に応じて(ステップ102)、次のような一連の通信妨害処理(ステップ103)を実行する。
On the other hand, the
まず、通信監視部13は、検出したARPプローブパケットから送信元MACアドレスを抽出し(ステップ110)、記憶部12のアドレスリスト12Aと照合することにより(ステップ111)、重複確認パケットの送信元端末が不正端末21であるか否かを判定する(ステップ112)。
ここで、送信元MACアドレスがアドレスリスト12Aに登録されている正規端末20のものと一致し、照合が成功した場合(ステップ112:NO)、通信監視部13は、一連の通信妨害処理を中止し、通信監視に戻る。
First, the
Here, when the source MAC address matches that of the
一方、送信元MACアドレスがアドレスリスト12Aに登録されている正規端末20のものと一致せず、照合が失敗した場合(ステップ112:YES)、通信監視部13は、ARPプローブパケットの送信元端末が不正端末21であると判定する(ステップ113)。
通信I/F設定部15は、通信監視部13により、ARPプローブパケットの送信元端末が不正端末21であると判定された場合、当該ARPプローブパケットに含まれる確認IPアドレスを新たな自IPアドレスとして通信I/F部11に追加設定する(ステップ114)。これにより、正規端末20および不正端末21からは、ネットワーク監視装置10で、確認IPアドレスが使用されていると認識されることになる。
On the other hand, if the source MAC address does not match that of the
When the
また、重複応答返信部14は、通信監視部13により、ARPリプライパケットの送信元端末が不正端末21であると判定された場合、当該ARPプローブパケットに含まれる確認IPアドレスが重複していることを示す重複応答パケットとして、図4に示したようなARPリプライパケットを生成し(ステップ115)、通信I/F部11から通信ネットワークLへ送信し(ステップ116)、一連の通信妨害処理を終了する。
Further, when the
これにより、ネットワーク監視装置10から送信されたARPプローブパケットは、通信ネットワークLを介して不正端末21で受信され(ステップ104)、不正端末21は、受信したARPプローブパケットの送信元MACアドレスと送信元IPアドレスに、アドレス値が設定されていることから、確認IPアドレスが重複していることを確認する(ステップ105)。これにより、確認IPアドレスを用いた通信ネットワークLでの通信を断念することになる。
As a result, the ARP probe packet transmitted from the
この後、異なる新たなIPアドレスを用いて不正端末21が通信を試みる場合にも、新たなIPアドレスの重複確認を行う必要がある。このため、不正端末21は、使用したい新たな確認IPアドレスを宛先IPアドレスとして指定した重複確認用のARPプローブパケットを送信することになるが、ネットワーク監視装置10で前述した通信妨害処理が実行されるため、新たなIPアドレスを用いた通信ネットワークLでの通信が妨害されることになる。
After that, even when the
[本実施の形態の効果]
このように、本実施の形態は、ネットワーク監視装置10において、通信監視部13が、通信ネットワークLに接続された端末による通信を監視し、任意の端末から重複確認パケットが送信された場合、当該重複確認パケットに含まれる確認IPアドレスを抽出して記憶部12のアドレスリスト12Aと照合することにより、重複確認パケットの送信元端末が不正端末21であるか否かを判定し、送信元端末が不正端末21であると判定された場合、重複応答返信部14が、確認IPアドレスが重複していることを示す重複応答パケットを、送信元端末すなわち不正端末21へ返送するようにしたものである。
[Effect of this embodiment]
As described above, in the present embodiment, when the
より具体的には、通信監視部13が、重複確認パケットとして重複確認用のARPプローブパケットが送信された場合、当該ARPプローブパケットに含まれる確認IPアドレスを抽出してアドレスリスト12Aと照合することにより、送信元端末が不正端末21であるか否かを判定し、重複応答返信部14が、送信元端末が不正端末21であると判定された場合、ARPプローブパケットに含まれる確認IPアドレスを送信元アドレスとし、自装置MACアドレスを送信元MACアドレスとした重複応答用のARPリプライパケットを、送信元端末へ返送するようにしたものである。
More specifically, when the
前述したように、APRリクエストパケットは、本来、指定したIPアドレスと対応するMACアドレスを要求するためのものであるが、宛先IPアドレスとして自己で使用したい確認IPアドレスを設定することにより、IPアドレスの重複確認を行うためのARPプローブパケットとして使用されている。
本発明は、このような重複確認用のARPプローブパケットに対する、重複応答用のARPリプライパケットは、確認IPアドレスと一致するIPアドレスの端末からしか返送されず、ネットワーク監視装置10から重複応答用のARPリプライパケットを送信しても、不正なARPリプライパケットとは見なされない点に着目したものである。
As described above, the APR request packet is originally for requesting the MAC address corresponding to the specified IP address, but by setting the confirmation IP address that you want to use as the destination IP address, you can set the IP address. It is used as an ARP probe packet for checking duplicates.
In the present invention, the ARP reply packet for duplicate response to such the ARP probe packet for duplicate confirmation is returned only from the terminal of the IP address that matches the confirmation IP address, and the
これにより、MACアドレス要求用のAPRリクエストパケットに対する偽のARPリプライパケットを返送する従来技術と比較して、重複応答用のARPリプライパケットが不正なARPリプライパケットと見なされる可能性はない。また、ARPプローブパケットで指定された確認IPアドレスの端末から重複応答用のARPリプライパケットが不正端末21へ返送されたとしても、これにより不正端末21が通信可能となることはない。
As a result, there is no possibility that the ARP reply packet for duplicate response is regarded as an invalid ARP reply packet as compared with the conventional technique for returning a fake ARP reply packet for the APR request packet for MAC address request. Further, even if the ARP reply packet for duplicate response is returned from the terminal of the confirmation IP address specified in the ARP probe packet to the
したがって、本発明によれば、不正端末21からの重複確認パケットに対して、重複応答用のARPリプライパケットが不正端末21へ返送されるため、不正端末21による通信を確実に妨害することが可能となる。また、本発明によれば、不正端末21が通信ネットワークLで用いる自己のIPアドレスの設定自体を阻止することができるため、不正端末21が自己のIPアドレスを使用可能状態となった以降に通信妨害を行う従来技術と比較して、より高いセキュリティ性を得ることができる。
Therefore, according to the present invention, in response to the duplicate confirmation packet from the
また、本実施の形態において、通信I/F設定部15が、通信監視部13において、重複確認用のARPプローブパケットの送信元端末が不正端末21であると判定された場合、確認IPアドレスを新たな自IPアドレスとして通信I/F部11に追加設定するようにしてもよい。
これにより、確認IPアドレスを自IPアドレスとし、元々のネットワーク監視装置10のMACアドレスを自MACアドレスとする新たな通信I/Fが、通信ネットワークLに接続されたことになる。
Further, in the present embodiment, when the communication I /
As a result, a new communication I / F having the confirmed IP address as the own IP address and the original MAC address of the
このため、通信ネットワークLに接続されている正規端末20や不正端末21から、新たな通信I/Fが、通信可能な状態で通信ネットワークLに実在するものとして認識されることになる。したがって、確認IPアドレス宛のパケットが誤って送信された場合でも、ネットワーク監視装置10で正しく受信することができる。
Therefore, the
[実施の形態の拡張]
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。また、各実施形態については、矛盾しない範囲で任意に組み合わせて実施することができる。
[Extension of Embodiment]
Although the present invention has been described above with reference to the embodiments, the present invention is not limited to the above embodiments. Various changes that can be understood by those skilled in the art can be made within the scope of the present invention in the configuration and details of the present invention. In addition, each embodiment can be implemented in any combination within a consistent range.
以上で説明した実施の形態では、ネットワーク監視装置10の通信I/F設定部15が、重複確認パケットに含まれる確認IPアドレスを新たな自IPアドレスとして通信I/F部11に追加設定する場合について説明した、この場合、確認IPアドレスを持つ新たな通信I/FのMACアドレスとして、ネットワーク監視装置10の元々のMACアドレスが割り当てられることになるが、新たな通信I/FのMACアドレスとして、元々のMACアドレスとは異なるMACアドレスを割り当ててもよい。
In the embodiment described above, when the communication I /
この際、基本的には、通信ネットワークLに接続されている各端末のMACアドレスと重複していなければ、いずれのMACアドレスを新たな通信I/Fに割り当ててもよい。このため、重複する可能性が低い予備MACアドレスを予め記憶部12に設定しておき、新たな通信I/Fを追加した時点で、記憶部12から読み出した予備MACアドレスを新たな通信I/Fに割り当ててもよい。
At this time, basically, any MAC address may be assigned to the new communication I / F as long as it does not overlap with the MAC address of each terminal connected to the communication network L. Therefore, a spare MAC address that is unlikely to be duplicated is set in the
また、通信I/F部11において、現用の通信I/Fの通信モジュールとは別個に、異なるMACアドレスを有する予備の通信モジュールを予め備えておき、新たな通信I/Fを追加する際、重複確認パケットに含まれる確認IPアドレスを、予備の通信モジュールからなる新たな通信I/Fに割り当てるようにしてもよい。
Further, when the communication I /
また、重複確認パケットに含まれる確認IPアドレスを割り当てた新たな通信I/Fについては、通信監視部13が、任意の端末による確認IPアドレスの使用を監視しておき、一定の監視期間にわたり確認IPアドレスの使用が確認されなくなった時点で、例えば新たな通信I/Fの動作を停止するようにしてもよい。これにより、新たな通信I/Fでの消費電力を削減できるとともに、確認IPアドレスの管理のための不要な処理を停止することが可能となる。
Further, regarding the new communication I / F to which the confirmation IP address included in the duplicate confirmation packet is assigned, the
10…ネットワーク監視装置、11…通信I/F部、12…記憶部、12A…アドレスリスト、13…通信監視部、14…重複応答返信部、15…通信I/F設定部、20…正規端末、21…不正端末、30…Ethernetフレーム、31…データ部、40…ARPパケット、41…オペレーションコード、42…送信元MACアドレス、43…送信元IPアドレス、44…宛先MACアドレス、45…宛先IPアドレス、L…通信ネットワーク。 10 ... Network monitoring device, 11 ... Communication I / F unit, 12 ... Storage unit, 12A ... Address list, 13 ... Communication monitoring unit, 14 ... Duplicate response reply unit, 15 ... Communication I / F setting unit, 20 ... Regular terminal , 21 ... Unauthorized terminal, 30 ... Ethernet frame, 31 ... Data part, 40 ... ARP packet, 41 ... Operation code, 42 ... Source MAC address, 43 ... Source IP address, 44 ... Destination MAC address, 45 ... Destination IP Address, L ... Communication network.
Claims (3)
前記通信ネットワークを介した通信が許可されている正規端末のアドレスが予め登録されているアドレスリストを記憶する記憶部と、
前記通信ネットワークに接続された端末による通信を監視し、任意の端末から重複確認パケットが送信された場合、当該重複確認パケットに含まれるMACアドレスとIPアドレスとの少なくともいずれか一方を抽出して前記アドレスリストと照合することにより、前記重複確認パケットの送信元端末が不正端末であるか否かを判定する通信監視部と、
前記送信元端末が不正端末であると判定された場合、確認IPアドレスが重複していることを示す重複応答パケットを、前記送信元端末へ返送する重複応答返信部と
を備え、
前記送信元端末が不正端末であると判定された場合、前記確認IPアドレスを新たな自IPアドレスとして前記通信I/F部に追加設定する通信I/F設定部を、さらに備えることを特徴とするネットワーク監視装置。 A communication I / F unit that communicates with an arbitrary terminal via a communication network,
A storage unit that stores an address list in which the addresses of legitimate terminals that are permitted to communicate via the communication network are registered in advance, and a storage unit.
When the communication by the terminal connected to the communication network is monitored and the duplication confirmation packet is transmitted from an arbitrary terminal , at least one of the MAC address and the IP address included in the duplication confirmation packet is extracted and described above. A communication monitoring unit that determines whether or not the source terminal of the duplicate confirmation packet is an unauthorized terminal by collating with the address list.
Duplicate response packet indicating that if the source terminal is determined to be unauthorized terminal, is confirmed IP address is duplicated, and a duplicate response returning unit for returning to the sender terminal,
If the source terminal is determined to be unauthorized terminal, the communication I / F setting unit additionally sets the communication I / F the confirmation IP address as a new local IP address, further comprising said Rukoto Network monitoring device.
前記通信監視部は、前記重複確認パケットとして重複確認用のARPプローブパケットが送信された場合、当該ARPプローブパケットに含まれる前記確認IPアドレスを抽出して前記アドレスリストと照合することにより、前記送信元端末が不正端末であるか否かを判定し、
前記重複応答返信部は、前記送信元端末が不正端末であると判定された場合、前記ARPプローブパケットに含まれる前記確認IPアドレスを送信元アドレスとし、自装置MACアドレスを送信元MACアドレスとした重複応答用のARPリプライパケットを、前記送信元端末へ返送する
ことを特徴とするネットワーク監視装置。 In the network monitoring device according to claim 1,
When the ARP probe packet for duplication confirmation is transmitted as the duplication confirmation packet, the communication monitoring unit extracts the confirmation IP address included in the ARP probe packet and collates it with the address list to perform the transmission. Determine if the original terminal is a fraudulent terminal and
When it is determined that the source terminal is an unauthorized terminal, the duplicate response reply unit uses the confirmation IP address included in the ARP probe packet as the source address and the own device MAC address as the source MAC address. A network monitoring device characterized in that an ARP reply packet for a duplicate response is returned to the source terminal.
記憶部が、前記通信ネットワークを介した通信が許可されている正規端末のアドレスが予め登録されているアドレスリストを記憶する記憶ステップと、
通信監視部が、前記通信ネットワークに接続された端末による通信を監視し、任意の端末から重複確認パケットが送信された場合、当該重複確認パケットに含まれMACアドレスとIPアドレスとの少なくともいずれか一方を抽出して前記アドレスリストと照合することにより、前記重複確認パケットの送信元端末が不正端末であるか否かを判定する通信監視ステップと、
重複応答返信部が、前記送信元端末が不正端末であると判定された場合、確認IPアドレスが重複していることを示す重複応答パケットを、前記送信元端末へ返送する重複応答返信ステップと
を備え、
通信I/F設定部が、前記送信元端末が不正端末であると判定された場合、前記確認IPアドレスを新たな自IPアドレスとして通信I/F部に追加設定するステップを、さらに備えることを特徴とするネットワーク監視方法。 A network monitoring method used by network devices connected to communication networks.
A storage step in which the storage unit stores an address list in which the addresses of legitimate terminals permitted to communicate via the communication network are registered in advance, and a storage step.
When the communication monitoring unit monitors the communication by the terminal connected to the communication network and the duplicate confirmation packet is transmitted from an arbitrary terminal , at least one of the MAC address and the IP address included in the duplicate confirmation packet is included in the duplicate confirmation packet. And a communication monitoring step of determining whether or not the source terminal of the duplicate confirmation packet is an unauthorized terminal by extracting and collating with the address list.
Duplicate response response unit, overlapping response reply step of the source terminal and the determined if an unauthorized terminal, duplicate response packet indicating that the check IP addresses are duplicated, and returns to the source terminal equipped with a door,
Communication I / F setting unit, when the source terminal is determined to be unauthorized terminal, the step of adding configure the communication I / F section the confirmation IP address as a new local IP address, further comprising Rukoto A network monitoring method characterized by.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017236711A JP6954071B2 (en) | 2017-12-11 | 2017-12-11 | Network monitoring equipment and methods |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017236711A JP6954071B2 (en) | 2017-12-11 | 2017-12-11 | Network monitoring equipment and methods |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019106583A JP2019106583A (en) | 2019-06-27 |
| JP6954071B2 true JP6954071B2 (en) | 2021-10-27 |
Family
ID=67062481
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017236711A Active JP6954071B2 (en) | 2017-12-11 | 2017-12-11 | Network monitoring equipment and methods |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6954071B2 (en) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102445916B1 (en) | 2021-09-09 | 2022-09-21 | 스콥정보통신 주식회사 | Apparatus and method for managing terminal in network |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005260615A (en) * | 2004-03-12 | 2005-09-22 | Hitachi Ltd | Network monitoring device, network monitoring method, network monitoring program, and recording medium storing network monitoring program |
| JP5820106B2 (en) * | 2010-11-08 | 2015-11-24 | キヤノン株式会社 | Communication apparatus and control method thereof |
| TWI474668B (en) * | 2012-11-26 | 2015-02-21 | Method for distinguishing and blocking off network node | |
| JP6134954B1 (en) * | 2016-01-14 | 2017-05-31 | 株式会社Pfu | Network security device, network management method, and program |
-
2017
- 2017-12-11 JP JP2017236711A patent/JP6954071B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019106583A (en) | 2019-06-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3824274B2 (en) | Unauthorized connection detection system and unauthorized connection detection method | |
| CN101370019B (en) | Method and switchboard for preventing packet cheating attack of address analysis protocol | |
| US7870603B2 (en) | Method and apparatus for automatic filter generation and maintenance | |
| US10601766B2 (en) | Determine anomalous behavior based on dynamic device configuration address range | |
| CN101651696B (en) | Method and device for preventing neighbor discovery (ND) attack | |
| CN101621525B (en) | Method and equipment for treating legal entries | |
| CN101611608A (en) | Method and system for restricting communication of one node with other nodes in broadcast domain of IP (Internet protocol) network | |
| JP3499621B2 (en) | Address management device and address management method | |
| CN101577645B (en) | Method and device for detecting counterfeit network equipment | |
| JPWO2012014509A1 (en) | Unauthorized access blocking control method | |
| CN104410642B (en) | Equipment access cognitive method based on ARP protocol | |
| JP4179300B2 (en) | Network management method and apparatus, and management program | |
| CN104660730B (en) | The means of communication and its system of server-side and far-end unit | |
| CN113556337A (en) | Terminal address identification method, network system, electronic device and storage medium | |
| KR102909617B1 (en) | Vehicle and controlling method of vehicle | |
| JP6954071B2 (en) | Network monitoring equipment and methods | |
| CN101707535B (en) | Method and device for detecting counterfeit network equipment | |
| JP2005210451A (en) | Unauthorized access prevention device and program | |
| CN104601460B (en) | A kind of message forwarding method and device | |
| US11153877B2 (en) | Method for bonding a plurality of radio connections in a wireless network | |
| KR102445916B1 (en) | Apparatus and method for managing terminal in network | |
| JP4002276B2 (en) | Unauthorized connection detection system | |
| CA3231366C (en) | Apparatus and method for managing terminal in network | |
| CN105871846A (en) | Multicast group management method and device | |
| JP2006320024A (en) | Unauthorized connection detection system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200525 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210409 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210518 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210713 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210831 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210913 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6954071 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |