Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7376288B2 - Specific device and method - Google Patents
[go: Go Back, main page]

JP7376288B2 - Specific device and method - Google Patents

Specific device and method Download PDF

Info

Publication number
JP7376288B2
JP7376288B2 JP2019164339A JP2019164339A JP7376288B2 JP 7376288 B2 JP7376288 B2 JP 7376288B2 JP 2019164339 A JP2019164339 A JP 2019164339A JP 2019164339 A JP2019164339 A JP 2019164339A JP 7376288 B2 JP7376288 B2 JP 7376288B2
Authority
JP
Japan
Prior art keywords
default gateway
address
packet
terminal device
specific device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019164339A
Other languages
Japanese (ja)
Other versions
JP2021044655A (en
Inventor
貴彦 太田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Azbil Corp
Original Assignee
Azbil Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Azbil Corp filed Critical Azbil Corp
Priority to JP2019164339A priority Critical patent/JP7376288B2/en
Priority to CN202010940123.9A priority patent/CN112565092B/en
Publication of JP2021044655A publication Critical patent/JP2021044655A/en
Application granted granted Critical
Publication of JP7376288B2 publication Critical patent/JP7376288B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/659Internet protocol version 6 [IPv6] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、特定装置および特定方法に関し、特にIPv6環境におけるネットワークの監視技術に関する。 TECHNICAL FIELD The present invention relates to a specifying device and a specifying method, and particularly to a technique for monitoring networks in an IPv6 environment.

近年、IoTの普及により様々な機器がインターネットにつながるようになっている。これにともなって、インターネットにつながる機器の数も爆発的に増え、従来インターネットプロトコルとして用いられてきたIPv4から、新たに128ビットのアドレス長を持つプロトコルとしてIPv6への移行が進んでいる。また、ネットワーク監視装置などの多くのネットワークセキュリティ製品においても、IPv6に対応したものが急速に求められている。 In recent years, with the spread of IoT, various devices have become connected to the Internet. Along with this, the number of devices connected to the Internet has increased explosively, and the transition from IPv4, which has traditionally been used as an Internet protocol, to IPv6, which is a new protocol with an address length of 128 bits, is progressing. Furthermore, many network security products such as network monitoring devices are also rapidly required to be compatible with IPv6.

IPv6環境において、IPv6アドレスの自動設定を行う際に、RA(Router Advertisement)パケットが送受信される。RAパケットを受信した端末装置は、RAパケットの送信元アドレスを、デフォルトゲートウェイとして設定する。 In an IPv6 environment, when automatically setting an IPv6 address, RA (Router Advertisement) packets are transmitted and received. The terminal device that receives the RA packet sets the source address of the RA packet as the default gateway.

例えば、悪意のあるものから不正なRAパケットが送信された場合、そのRAパケットを受信した端末装置において、不正なRAパケットの送信元アドレスが、正規のデフォルトゲートウェイよりも優先度が高い設定のデフォルトゲートウェイとして追加されてしまうことがある。また、悪意のあるものによって、正規のデフォルトゲートウェイとは異なるデフォルトゲートウェイが正規の端末装置に設定され、ネットワークへの不正アクセスが行われるということも可能となる。 For example, if a malicious RA packet is sent by a malicious party, the terminal device that received the RA packet will have the source address of the fraudulent RA packet set to a default gateway with a higher priority than the legitimate default gateway. It may be added as a gateway. Furthermore, it is also possible for a malicious party to set a default gateway different from the official default gateway on a legitimate terminal device, thereby allowing unauthorized access to the network.

例えば、特許文献1は、IPv6環境におけるネットワークへの不正接続を防止する技術を開示している。特許文献1に記載の技術では、ネットワークに監視装置を設置し、ネットワーク内を流れるNS(Neighbor Solicitation)パケットを監視して、NSパケットの送信元アドレスやMACアドレスをもとに、ネットワークへの接続が許可されている端末装置かどうかを判断する。 For example, Patent Document 1 discloses a technique for preventing unauthorized connection to a network in an IPv6 environment. In the technology described in Patent Document 1, a monitoring device is installed in a network, monitors NS (Neighbor Solicitation) packets flowing within the network, and connects to the network based on the source address and MAC address of the NS packet. Determine whether the terminal device is authorized.

特開2007-104396号公報Japanese Patent Application Publication No. 2007-104396

しかし、特許文献1に記載の技術によるネットワーク内を流れるNSパケットの監視では、不正の検出のために、ネットワークに接続されている端末装置に設定されている優先度が最も高い設定のデフォルトゲートウェイを把握することが困難であった。 However, in monitoring NS packets flowing within a network using the technology described in Patent Document 1, in order to detect fraud, the default gateway with the highest priority setting of the terminal device connected to the network is used. It was difficult to understand.

本発明は、上述した課題を解決するためになされたものであり、IPv6環境において、ネットワークに接続されている端末装置に設定されている優先度が最も高い設定のデフォルトゲートウェイの情報を把握する新たな不正の検出技術を提供することを目的とする。 The present invention has been made in order to solve the above-mentioned problems, and is a novel technology that grasps information about the default gateway with the highest priority set in a terminal device connected to a network in an IPv6 environment. The purpose is to provide a reliable fraud detection technology.

上述した課題を解決するために、本発明に係る特定装置は、TCP通信での接続の終了を示す第1制御ビットをヘッダに含む送信パケットを生成するように構成された生成部と、前記生成部により生成された前記送信パケットの送信元アドレスとして、自装置に設定されているIPv6アドレスとは異なる送信元アドレスを設定するように構成された設定部と、前記設定部によって前記送信元アドレスが設定された前記送信パケットを予め設定された端末装置に送信するように構成された送信部と、前記送信パケットに対する応答を示す第2制御ビットがヘッダに含まれた応答パケットをキャプチャするように構成された取得部と、前記取得部によってキャプチャされた前記応答パケットに含まれる前記応答パケットの送信先を示す情報を抽出するように構成された抽出部と、前記抽出部によって抽出された前記送信先を示す情報に基づいて、前記端末装置に設定されているデフォルトゲートウェイを特定するように構成された特定部とを備える。 In order to solve the above-mentioned problems, a specific device according to the present invention includes a generation unit configured to generate a transmission packet including a first control bit in the header indicating termination of a connection in TCP communication, a setting section configured to set a source address different from the IPv6 address set in the own device as the source address of the transmission packet generated by the section; a transmitter configured to transmit the configured transmission packet to a preset terminal device; and configured to capture a response packet whose header includes a second control bit indicating a response to the transmission packet. an extraction unit configured to extract information indicating a transmission destination of the response packet included in the response packet captured by the acquisition unit, and the transmission destination extracted by the extraction unit. and a specifying unit configured to specify a default gateway set in the terminal device based on information indicating the terminal device.

また、本発明に係る特定装置において、監視対象のネットワークにおける正規デフォルトゲートウェイに関する情報を記憶するように構成された記憶部と、前記特定部によって特定された前記端末装置に設定されているデフォルトゲートウェイが、前記記憶部に記憶されている前記正規デフォルトゲートウェイと一致するか否かを判断するように構成された判断部とをさらに備えていてもよい。 Further, in the specific device according to the present invention, a storage section configured to store information regarding a regular default gateway in a network to be monitored, and a default gateway set in the terminal device specified by the specifying section are provided. , and a determination unit configured to determine whether the gateway matches the authorized default gateway stored in the storage unit.

また、本発明に係る特定装置において、前記判断部は、前記正規デフォルトゲートウェイと一致しないと判断した場合に、前記特定部によって特定された前記端末装置に設定されている前記デフォルトゲートウェイは不正なデフォルトゲートウェイであると判断してもよい。 Further, in the specific device according to the present invention, when the determining unit determines that the default gateway does not match the regular default gateway, the default gateway set in the terminal device identified by the identifying unit is an unauthorized default gateway. It may be determined that it is a gateway.

また、本発明に係る特定装置において、前記設定部は、前記送信元アドレスとして、リンクローカル内のグローバル識別子もしくはサブネット識別子が異なるユニークローカルIPv6ユニキャストアドレスを設定してもよい。 Furthermore, in the specific device according to the present invention, the setting unit may set a unique local IPv6 unicast address having a different global identifier or subnet identifier within a link local as the source address.

また、本発明に係る特定装置において、前記第1制御ビットは、FINフラグを含み、
前記第2制御ビットは、RSTフラグおよびACKフラグを含んでいてもよい。
Further, in the specific device according to the present invention, the first control bit includes a FIN flag;
The second control bits may include an RST flag and an ACK flag.

また、本発明に係る特定装置において、前記送信部は、前記端末装置が開いていないポートに前記送信パケットを送信してもよい。 Moreover, in the specific device according to the present invention, the transmitter may transmit the transmit packet to a port that is not opened by the terminal device.

上述した課題を解決するために、本発明に係る特定方法は、TCP通信での接続の終了を示す第1制御ビットがヘッダに含まれた送信パケットを生成する第1ステップと、前記第1ステップで生成された前記送信パケットの送信元アドレスとして、自装置に設定されているIPv6アドレスとは異なる送信元アドレスを設定する第2ステップと、前記第2ステップで前記送信元アドレスが設定された前記送信パケットを予め設定された端末装置に送信する第3ステップと、前記送信パケットに対する応答を示す第2制御ビットがヘッダに含まれた応答パケットをキャプチャする第4ステップと、前記第4ステップでキャプチャされた前記応答パケットに含まれる前記応答パケットの送信先を示す情報を抽出する第5ステップと、前記第5ステップで抽出された前記送信先を示す情報に基づいて、前記端末装置に設定されているデフォルトゲートウェイを特定する第6ステップとを備える。 In order to solve the above problems, the identification method according to the present invention includes a first step of generating a transmission packet whose header includes a first control bit indicating termination of a connection in TCP communication, and the first step. a second step of setting a source address different from the IPv6 address set in the own device as the source address of the transmitted packet generated in the second step; a third step of transmitting a transmission packet to a preset terminal device; a fourth step of capturing a response packet whose header includes a second control bit indicating a response to the transmission packet; and a fourth step of capturing a response packet in the fourth step. a fifth step of extracting information indicating the destination of the response packet included in the response packet, and a step of extracting information indicating the destination of the response packet that is set in the terminal device based on the information indicating the destination extracted in the fifth step. and a sixth step of identifying a default gateway.

本発明によれば、自装置に設定されているIPv6アドレスとは異なる送信元アドレスが設定された第1制御ビットをヘッダに含む送信パケットを端末装置に送信し、送信パケットに対する応答を示す第2制御ビットが含まれる応答パケットをキャプチャして、応答パケットの送信先を示す情報を抽出する。そのため、IPv6環境において、端末装置に設定されている優先度が最も高い設定のデフォルトゲートウェイの情報を把握する新たな不正の検出技術を実現することができる。 According to the present invention, a transmission packet including a first control bit in the header set with a source address different from the IPv6 address set in the own device is transmitted to a terminal device, and a second control bit indicating a response to the transmission packet is transmitted to the terminal device. The response packet containing the control bits is captured and information indicating the destination of the response packet is extracted. Therefore, in an IPv6 environment, it is possible to realize a new fraud detection technique that grasps information about the default gateway with the highest priority set in the terminal device.

図1は、本発明の実施の形態に係る特定装置を含むネットワークシステムの構成を示すブロック図である。FIG. 1 is a block diagram showing the configuration of a network system including a specific device according to an embodiment of the present invention. 図2は、実施の形態に係る特定装置の構成を示すブロック図である。FIG. 2 is a block diagram showing the configuration of the specific device according to the embodiment. 図3は、実施の形態に係る特定装置のハードウェア構成を示すブロック図である。FIG. 3 is a block diagram showing the hardware configuration of the specific device according to the embodiment. 図4は、実施の形態に係る特定方法を説明するためのフローチャートである。FIG. 4 is a flowchart for explaining the identification method according to the embodiment. 図5は、実施の形態に係るネットワークシステムの動作を示すシーケンス図である。FIG. 5 is a sequence diagram showing the operation of the network system according to the embodiment.

以下、本発明の好適な実施の形態について、図1から図5を参照して詳細に説明する。
[ネットワークシステムの構成]
まず、本発明の実施の形態に係る特定装置1を備えるネットワークシステムの概要について説明する。
本発明の実施の形態に係る特定装置1は、LANなどのネットワークNWに接続されている端末装置3a、3bに設定されている最も優先度が高い設定のデフォルトゲートウェイの情報を特定する。特定装置1は、例えば、図1に示すようなネットワークシステムに設けられる。また、ネットワークシステムは、例えば、BA(Building Automation)システムなどに設けられる。
Hereinafter, preferred embodiments of the present invention will be described in detail with reference to FIGS. 1 to 5.
[Network system configuration]
First, an overview of a network system including a specific device 1 according to an embodiment of the present invention will be described.
The identification device 1 according to the embodiment of the present invention identifies information on the default gateway with the highest priority setting set in the terminal devices 3a, 3b connected to a network NW such as a LAN. The specific device 1 is provided, for example, in a network system as shown in FIG. Further, the network system is provided in, for example, a BA (Building Automation) system.

ネットワークシステムは、図1に示すように、ネットワークNWを介して互いに通信可能に接続されている特定装置1と、ルータ2a、2bと、端末装置3a、3bとを備える。 As shown in FIG. 1, the network system includes a specific device 1, routers 2a and 2b, and terminal devices 3a and 3b that are communicably connected to each other via a network NW.

ルータ2a、2bは、IPv6に対応したルータであり、ゲートウェイとして機能する。本実施の形態では、ルータ2aのMACアドレスは、「S」であり、ルータ2bのMACアドレスは、「R」であるものとする。また、本実施の形態では、ネットワークNWにおける正規のルータは、ルータ2aであり、ルータ2bは、不正なルータであるものとする。 The routers 2a and 2b are routers compatible with IPv6 and function as gateways. In this embodiment, it is assumed that the MAC address of the router 2a is "S" and the MAC address of the router 2b is "R". Further, in this embodiment, it is assumed that the authorized router in the network NW is the router 2a, and the router 2b is an unauthorized router.

端末装置3a、3bは、IPv6が動作するPCなどの端末である。図1に示す複数の端末装置3a、3bのうち、端末装置3aには、正規のルータ2aがデフォルトゲートウェイとして設定されている。一方、端末装置3bには、正規のデフォルトゲートウェイとは異なるデフォルトゲートウェイが優先度が最も高いデフォルトゲートウェイとして設定されている。 The terminal devices 3a and 3b are terminals such as PCs that operate on IPv6. Among the plurality of terminal devices 3a and 3b shown in FIG. 1, the terminal device 3a has the regular router 2a set as a default gateway. On the other hand, in the terminal device 3b, a default gateway different from the regular default gateway is set as the default gateway with the highest priority.

端末装置3aは、事前に送信されたルータ2aからのICMPv6の正規のルータ広告(Router Advertisement:RA)パケットを受信し、RAパケットの送信元のルータ2aをデフォルトゲートウェイとして設定している。端末装置3aについては、正規デフォルトゲートウェイが設定されている。 The terminal device 3a receives a regular ICMPv6 router advertisement (RA) packet transmitted in advance from the router 2a, and sets the router 2a, which is the source of the RA packet, as the default gateway. For the terminal device 3a, a regular default gateway is set.

一方、ルータ2bは、事前に端末装置3bに対して不正なRAパケットを送信している。不正なRAパケットを受信した端末装置3bでは、RAパケットの送信元であるルータ2bが、優先度が最も高いデフォルトゲートウェイとして追加されている。したがって、本実施の形態では、端末装置3bには不正なデフォルトゲートウェイが設定されている。 On the other hand, the router 2b has previously transmitted an invalid RA packet to the terminal device 3b. In the terminal device 3b that received the invalid RA packet, the router 2b that is the source of the RA packet is added as the default gateway with the highest priority. Therefore, in this embodiment, an invalid default gateway is set in the terminal device 3b.

また、本実施の形態において、特定装置1は、TCPプロトコルを用いて、デフォルトゲートウェイを特定したい端末装置3a、3bの閉じているポートに対して、FINフラグ(第1制御ビット)をセットしたTCPパケットを送信パケットとして送信する。また、特定装置1は、送信パケットを特定対象の端末装置3a、3bに送信する際に、送信元アドレスを特定装置1に設定されているIPv6アドレス「G」とは異なる送信元アドレスを設定する。送信元アドレスとして、リンクローカル内に存在する何れのリンクローカルアドレスとも異なるユニークローカルIPv6ユニキャストアドレス、例えば「H」が設定される。 In addition, in this embodiment, the specific device 1 uses the TCP protocol to set the FIN flag (first control bit) to the closed port of the terminal device 3a, 3b for which the default gateway is to be specified. Send the packet as an outgoing packet. In addition, when the specific device 1 transmits the transmission packet to the specific target terminal devices 3a and 3b, the specific device 1 sets a source address different from the IPv6 address "G" set in the specific device 1. . A unique local IPv6 unicast address, for example "H", which is different from any link local address existing in the link local, is set as the source address.

TCPプロトコルにおいて、FINパケットはコネクションの終了を示す。そのため、FINフラグがセットされた送信パケットを受信すると、端末装置3a、3bは、対象のポートが閉じているため、接続リセットを示すRSTフラグとACKフラグ(第2制御ビット)がセットされたTCPパケットを応答パケットとして返送する。しかし、送信パケットの送信元アドレス「H」はリンクローカルとは違うグローバル識別子もしくはサブネット識別子のアドレスであるため、端末装置3a、3bに設定されている最も優先度が高い設定のデフォルトゲートウェイを送信先として、端末装置3a、3bは応答パケットを送信する。 In the TCP protocol, a FIN packet indicates the end of a connection. Therefore, when receiving a transmission packet with the FIN flag set, the terminal devices 3a and 3b transmit the TCP packet with the RST flag and ACK flag (second control bit) set, which indicate connection reset, because the target port is closed. Send the packet back as a response packet. However, since the source address "H" of the transmitted packet is a global identifier or subnet identifier address different from link local, the default gateway with the highest priority setting set in the terminal devices 3a and 3b is used as the destination. As a result, the terminal devices 3a and 3b transmit response packets.

このとき、特定装置1は、ネットワークNWを流れるRSTパケットとACKパケットとを含む応答パケットをキャプチャする。さらに、特定装置1は、キャプチャした応答パケットに含まれるそれぞれの応答パケットの送信先を示す情報から、端末装置3a、3bに設定されているデフォルトゲートウェイを特定する。 At this time, the specific device 1 captures a response packet including an RST packet and an ACK packet flowing through the network NW. Further, the specific device 1 specifies the default gateway set in the terminal devices 3a and 3b from information indicating the destination of each response packet included in the captured response packet.

[特定装置の機能ブロック]
次に、本実施の形態に係る特定装置1の構成について、図2のブロック図を用いて説明する。
図2に示すように、特定装置1は、生成部10、設定部11、送信部12、取得部13、抽出部14、特定部15、記憶部16、および判断部17を備える。
[Functional block of specific device]
Next, the configuration of the specific device 1 according to this embodiment will be explained using the block diagram of FIG. 2.
As shown in FIG. 2, the identification device 1 includes a generation section 10, a setting section 11, a transmission section 12, an acquisition section 13, an extraction section 14, a specification section 15, a storage section 16, and a judgment section 17.

生成部10は、TCP通信におけるコネクションの終了を示すFINフラグが設定された送信パケットを生成する。より詳細には、生成部10は、送信パケットのヘッダにおいてFINフラグを立てる。 The generation unit 10 generates a transmission packet in which a FIN flag indicating termination of a connection in TCP communication is set. More specifically, the generation unit 10 sets a FIN flag in the header of the transmitted packet.

設定部11は、生成部10によって生成された送信パケットの送信元アドレスとして、特定装置1に設定されているIPv6アドレス「G」とは異なる送信元アドレスを設定する。具体的には、設定部11は、送信元アドレスとして、リンクローカル内に存在しない、グローバル識別子もしくはサブネット識別子が異なるユニークローカルIPv6ユニキャストアドレス「H」を設定する。 The setting unit 11 sets a source address different from the IPv6 address “G” set in the specific device 1 as the source address of the transmission packet generated by the generating unit 10. Specifically, the setting unit 11 sets, as the source address, a unique local IPv6 unicast address "H" that does not exist in the link local and has a different global identifier or subnet identifier.

送信部12は、送信元アドレス「H」が設定され、FINフラグが設定された送信パケットを、端末装置3a、3bに送信する。送信部12は、デフォルトゲートウェイ情報を取得したいスキャン対象の端末装置3a、3bに送信パケットを送信する。 The transmitter 12 transmits a transmission packet in which the source address "H" is set and the FIN flag is set to the terminal devices 3a and 3b. The transmitting unit 12 transmits a transmission packet to the terminal devices 3a and 3b to be scanned for which default gateway information is desired to be acquired.

取得部13は、ネットワークNWを流れるFINフラグが設定されたヘッダを有する送信パケットに対する応答を示す、RSTフラグおよびACKフラグがヘッダに含まれた応答パケットをキャプチャする。 The acquisition unit 13 captures a response packet whose header includes an RST flag and an ACK flag, which indicates a response to a transmitted packet flowing through the network NW and having a header in which a FIN flag is set.

抽出部14は、キャプチャされた応答パケットに含まれる、その応答パケットの送信先を示す情報を抽出する。具体的には、抽出部14は応答パケットに含まれる送信先のMACアドレスを抽出する。本実施の形態では、端末装置3aによる応答パケットに含まれる送信先のMACアドレスは、ルータ2aを示すMACアドレス「S」である。一方、端末装置3bの応答パケットに含まれる送信先のMACアドレスは、ルータ2bを示すMACアドレス「R」となっている。 The extraction unit 14 extracts information that is included in the captured response packet and indicates the destination of the response packet. Specifically, the extraction unit 14 extracts the MAC address of the destination included in the response packet. In this embodiment, the destination MAC address included in the response packet from the terminal device 3a is the MAC address "S" indicating the router 2a. On the other hand, the destination MAC address included in the response packet of the terminal device 3b is the MAC address "R" indicating the router 2b.

特定部15は、抽出部14によって抽出された応答パケットの送信先を示す情報に基づいて、端末装置3a、3bに設定されているデフォルトゲートウェイを特定する。端末装置3a、3bによって送信される応答パケットの送信先アドレスを示すMACアドレスは、それぞれの端末装置3a、3bに設定されているデフォルトゲートウェイである。そのため、特定部15は、MACアドレス「S」を有するルータ2bが、端末装置3aにおいて最も優先度が高い設定のデフォルトゲートウェイとして設定されていることを特定する。また、特定部15は、端末装置3bの応答パケットの送信先MACアドレス「R」で示されるルータ2bが、端末装置3bにおいて最も優先度が高い設定のデフォルトゲートウェイとして設定されていることを特定する。 The identifying unit 15 identifies the default gateway set in the terminal devices 3a and 3b based on the information indicating the destination of the response packet extracted by the extracting unit 14. The MAC address indicating the destination address of the response packet transmitted by the terminal devices 3a, 3b is the default gateway set in each terminal device 3a, 3b. Therefore, the specifying unit 15 specifies that the router 2b having the MAC address "S" is set as the default gateway with the highest priority in the terminal device 3a. The identifying unit 15 also identifies that the router 2b indicated by the destination MAC address "R" of the response packet of the terminal device 3b is set as the default gateway with the highest priority setting in the terminal device 3b. .

記憶部16は、監視対象のネットワークNWにおける正規デフォルトゲートウェイに関する情報を記憶している。本実施の形態では、ルータ2aが正規のルータであり、MACアドレス「S」で示されるルータ2aが正規のデフォルトゲートウェイとして予め登録されている。 The storage unit 16 stores information regarding the authorized default gateway in the monitored network NW. In this embodiment, the router 2a is a regular router, and the router 2a indicated by the MAC address "S" is registered in advance as a regular default gateway.

判断部17は、特定部15によって特定された端末装置3a、3bに設定されている最も優先度が高い設定のデフォルトゲートウェイが、記憶部16に記憶されている正規デフォルトゲートウェイと一致するか否かを判断する。本実施の形態では、判断部17は、端末装置3aに設定されているデフォルトゲートウェイ(MACアドレス「S」)は、正規デフォルトゲートウェイであると判断する。一方、判断部17は、端末装置3bに設定されているデフォルトゲートウェイ(MACアドレス「R」)は、正規デフォルトゲートウェイではなく、不正なデフォルトゲートウェイであると判断する。 The determining unit 17 determines whether the default gateway with the highest priority set in the terminal devices 3a, 3b identified by the identifying unit 15 matches the authorized default gateway stored in the storage unit 16. to judge. In this embodiment, the determining unit 17 determines that the default gateway (MAC address "S") set in the terminal device 3a is a regular default gateway. On the other hand, the determining unit 17 determines that the default gateway (MAC address "R") set in the terminal device 3b is not a regular default gateway but an unauthorized default gateway.

[特定装置のハードウェア構成]
次に上述した機能を有する特定装置1のハードウェア構成の一例について、図3を用いて説明する。
[Hardware configuration of specific device]
Next, an example of the hardware configuration of the specific device 1 having the above-described functions will be described using FIG. 3.

図3に示すように、特定装置1は、例えば、バス101を介して接続されるプロセッサ102、主記憶装置103、通信インターフェース104、補助記憶装置105、入出力I/O106を備えるコンピュータと、これらのハードウェア資源を制御するプログラムによって実現することができる。 As shown in FIG. 3, the specific device 1 includes, for example, a computer connected via a bus 101, including a processor 102, a main storage device 103, a communication interface 104, an auxiliary storage device 105, and an input/output I/O 106. This can be realized by a program that controls hardware resources.

主記憶装置103には、プロセッサ102が各種制御や演算を行うためのプログラムが予め格納されている。プロセッサ102と主記憶装置103とによって、図2に示した生成部10、設定部11、取得部13、抽出部14、特定部15、判断部17など、特定装置1の各機能が実現される。 The main storage device 103 stores in advance programs for the processor 102 to perform various controls and calculations. The processor 102 and the main storage device 103 realize each function of the specific device 1, such as the generation unit 10, the setting unit 11, the acquisition unit 13, the extraction unit 14, the identification unit 15, and the determination unit 17 shown in FIG. .

通信インターフェース104は、特定装置1とルータ2a、2b、端末装置3a、3bや各種外部電子機器との間をネットワーク接続するためのインターフェース回路である。通信インターフェース104によって図2で説明した送信部12、および取得部13が実現される。 The communication interface 104 is an interface circuit for network connection between the specific device 1 and the routers 2a, 2b, terminal devices 3a, 3b, and various external electronic devices. The communication interface 104 implements the transmitter 12 and the acquirer 13 described in FIG.

補助記憶装置105は、読み書き可能な記憶媒体と、その記憶媒体に対してプログラムやデータなどの各種情報を読み書きするための駆動装置とで構成されている。補助記憶装置105には、記憶媒体としてハードディスクやフラッシュメモリなどの半導体メモリを使用することができる。 The auxiliary storage device 105 includes a readable and writable storage medium and a drive device for reading and writing various information such as programs and data to and from the storage medium. For the auxiliary storage device 105, a semiconductor memory such as a hard disk or a flash memory can be used as a storage medium.

補助記憶装置105は、特定装置1が、端末装置3a、3bに設定されている最も優先度が高い設定のデフォルトゲートウェイを特定するためのプログラムを格納するプログラム格納領域を有する。補助記憶装置105によって、図2で説明した記憶部16が実現される。さらには、例えば、上述したデータやプログラムやなどをバックアップするためのバックアップ領域などを有していてもよい。 The auxiliary storage device 105 has a program storage area in which the specific device 1 stores a program for specifying the default gateway with the highest priority setting set in the terminal devices 3a and 3b. The auxiliary storage device 105 realizes the storage unit 16 described in FIG. Furthermore, for example, it may have a backup area for backing up the data, programs, etc. mentioned above.

入出力I/O106は、外部機器からの信号を入力したり、外部機器へ信号を出力したりするI/O端子により構成される。 The input/output I/O 106 is composed of I/O terminals that input signals from external devices and output signals to external devices.

表示装置107は、液晶ディスプレイなどによって構成される。表示装置107は、特定部15によって特定されたデフォルトゲートウェイや、判断部17による判断結果を表示画面に表示することができる。 The display device 107 is configured with a liquid crystal display or the like. The display device 107 can display the default gateway specified by the specifying unit 15 and the determination result by the determining unit 17 on a display screen.

[特定方法]
次に上述した構成を有する特定装置1の動作について、図4のフローチャートを用いて説明する。なお、以下において、記憶部16には、予め正規デフォルトゲートウェイに関する情報が格納されているものとする。
[Identification method]
Next, the operation of the specific device 1 having the above-described configuration will be explained using the flowchart of FIG. 4. In the following, it is assumed that the storage unit 16 stores information regarding the authorized default gateway in advance.

まず、生成部10は、FINフラグが設定されたTCPパケットを送信パケットとして生成する(ステップS1)。次に、設定部11は、送信パケットの送信元アドレスとして、リンクローカルとは違うグローバル識別子もしくはサブネット識別子のユニークローカルIPv6ユニキャストアドレスを設定する(ステップS2)。 First, the generation unit 10 generates a TCP packet with a FIN flag set as a transmission packet (step S1). Next, the setting unit 11 sets a unique local IPv6 unicast address of a global identifier or subnet identifier different from link local as the source address of the transmission packet (step S2).

次に、送信部12は、FINフラグを立てた送信パケットを、スキャン対象の端末装置3a、3bに送信する(ステップS3)。このとき送信部12は、端末装置3a、3bが開いていないポートに対して送信パケットを送信する。その後、取得部13は、端末装置3a、3bが送信パケットに対する応答としてRSTフラグとACKフラグとがヘッダに含まれた応答パケットをキャプチャする(ステップS4)。 Next, the transmitter 12 transmits the transmission packet with the FIN flag set to the terminal devices 3a and 3b to be scanned (step S3). At this time, the transmitter 12 transmits the transmission packet to the port that is not opened by the terminal devices 3a and 3b. Thereafter, the acquisition unit 13 captures a response packet whose header includes an RST flag and an ACK flag as a response to the packet transmitted by the terminal devices 3a and 3b (step S4).

次に、抽出部14は、ステップS4でキャプチャされた応答パケットに含まれる、その応答パケットの送信先を示す情報を抽出する(ステップS5)。より詳細には、抽出部14は、端末装置3a、3bが送信した応答パケットの送信先MACアドレスを抽出する。その後、特定部15は、抽出された送信先を示す情報に基づいて、端末装置3a、3bに設定されている最も優先度が高い設定のデフォルトゲートウェイを特定する(ステップS6)。 Next, the extraction unit 14 extracts information indicating the destination of the response packet, which is included in the response packet captured in step S4 (step S5). More specifically, the extraction unit 14 extracts the destination MAC address of the response packet transmitted by the terminal devices 3a and 3b. Thereafter, the identifying unit 15 identifies the default gateway with the highest priority set in the terminal devices 3a, 3b based on the extracted information indicating the destination (step S6).

次に、判断部17は、ステップS6で特定されたデフォルトゲートウェイに基づいて、それぞれの端末装置3a、3bに設定されている最も優先度が高い設定のデフォルトゲートウェイが正規デフォルトゲートウェイと一致するか否かを判断する(ステップS7)。その後、表示装置107において判断部17による判断結果を表示する(ステップS8)。あるいは、判断結果は、通信インターフェース104からネットワークNW上の図示されない特定の端末装置に送出することができる。 Next, based on the default gateway specified in step S6, the determining unit 17 determines whether the default gateway with the highest priority set in each terminal device 3a, 3b matches the authorized default gateway. (Step S7). Thereafter, the determination result by the determination unit 17 is displayed on the display device 107 (step S8). Alternatively, the determination result can be sent from the communication interface 104 to a specific terminal device (not shown) on the network NW.

[ネットワークシステムの動作シーケンス]
次に、上述した特定装置1を備えるネットワークシステムの動作について、図5のシーケンス図を参照して説明する。なお、以下において、端末装置3aには、デフォルトゲートウェイとして正規のルータ2aが予め設定されており、端末装置3bには、デフォルトゲートウェイとして不正なルータ2bが予め設定されているものとする。
[Network system operation sequence]
Next, the operation of the network system including the above-mentioned specific device 1 will be explained with reference to the sequence diagram of FIG. 5. In the following, it is assumed that the terminal device 3a is preset with a legitimate router 2a as a default gateway, and the terminal device 3b is preset with an unauthorized router 2b as a default gateway.

まず、特定装置1は、FINフラグが設定された送信パケットを生成する(ステップS100)。その後、特定装置1は、自装置のIPv6アドレス「G」とは異なる、すなわち、リンクローカルのグローバル識別子もしくはサブネット識別子が違うユニークローカルIPv6ユニキャストアドレス「H」を送信元アドレスとして、生成した送信パケットをスキャン対象の端末装置3a、3bに送信する(ステップS101、S102)。より詳細には、特定装置1は、端末装置3a、3bが開いていないポートにFINフラグを立てた送信パケットを送信する。 First, the specific device 1 generates a transmission packet in which the FIN flag is set (step S100). After that, the specific device 1 generates a transmission packet using a unique local IPv6 unicast address “H” that is different from its own device’s IPv6 address “G”, that is, has a different link-local global identifier or subnet identifier as the source address. is transmitted to the terminal devices 3a and 3b to be scanned (steps S101 and S102). More specifically, the specific device 1 transmits a transmission packet with the FIN flag set to a port that is not opened by the terminal devices 3a and 3b.

次に、FINフラグが設定された送信パケットを受信した端末装置3aは、応答パケットを生成して送信する(ステップS103)。より詳細には、端末装置3aは、端末装置3aにおいて設定されているデフォルトゲートウェイ「S」を送信先としてRSTフラグおよびACKフラグが設定された応答パケットをルータ2a(MACアドレス「S」)に送信する。 Next, the terminal device 3a that has received the transmission packet with the FIN flag set generates and transmits a response packet (step S103). More specifically, the terminal device 3a transmits a response packet in which the RST flag and the ACK flag are set to the router 2a (MAC address “S”) with the default gateway “S” set in the terminal device 3a as the destination. do.

一方、FINフラグが設定された送信パケットを受信した端末装置3bは、端末装置3bにおいて設定されているデフォルトゲートウェイ「R」を送信先として、RSTフラグおよびACKフラグが設定された応答パケットをルータ2b(MACアドレス「R」)に送信する(ステップS104)。 On the other hand, the terminal device 3b that received the transmission packet with the FIN flag set sends the response packet with the RST flag and the ACK flag set to the default gateway "R" set in the terminal device 3b to the router 2b. (MAC address "R") (step S104).

次に、特定装置1は、ネットワークNWを流れるRSTフラグおよびACKフラグが設定された応答パケットをキャプチャする(ステップS105)。次に、特定装置1は、キャプチャされた応答パケットのそれぞれに含まれる、応答パケットの送信先を示すMACアドレス「S」、「R」を抽出し、MACアドレス「S」、「R」から端末装置3a、3bに設定されている最も優先度が高い設定のデフォルトゲートウェイを特定する(ステップS106)。 Next, the specific device 1 captures the response packet in which the RST flag and the ACK flag are set, which flows through the network NW (step S105). Next, the specific device 1 extracts the MAC addresses "S" and "R" indicating the destination of the response packet, which are included in each of the captured response packets, and extracts the MAC addresses "S" and "R" from the MAC addresses "S" and "R" to the terminal. The default gateway set in the devices 3a and 3b with the highest priority is identified (step S106).

特定装置1は、端末装置3aに設定されている優先度が最も高い設定のデフォルトゲートウェイはMACアドレス「S」を有するルータ2aであると特定する。一方、端末装置3bに設定されている優先度が最も高い設定のデフォルトゲートウェイはMACアドレス「R」を有するルータ2bであると特定する。 The specific device 1 specifies that the default gateway with the highest priority set in the terminal device 3a is the router 2a having the MAC address “S”. On the other hand, the default gateway set in the terminal device 3b with the highest priority is identified as the router 2b having the MAC address "R".

その後、特定装置1は、記憶部16に格納されている正規デフォルトゲートウェイを参照し、端末装置3a、3bに設定されている最も優先度が高い設定のデフォルトゲートウェイが正規デフォルトゲートウェイと一致するか否かを判断する(ステップS107)。本実施の形態では、端末装置3aに設定されている優先度が最も高い設定のデフォルトゲートウェイは、正規デフォルトゲートウェイであると判断する。一方、端末装置3bに設定されている優先度が最も高い設定のデフォルトゲートウェイは、正規デフォルトゲートウェイではなく、不正なデフォルトゲートウェイであると判断する。 After that, the specific device 1 refers to the authorized default gateway stored in the storage unit 16, and determines whether the default gateway with the highest priority set in the terminal devices 3a, 3b matches the authorized default gateway. (Step S107). In this embodiment, it is determined that the default gateway with the highest priority set in the terminal device 3a is the authorized default gateway. On the other hand, it is determined that the default gateway with the highest priority set in the terminal device 3b is not a legitimate default gateway but an unauthorized default gateway.

特定装置1は、さらに、不正なデフォルトゲートウェイであるルータ2bは、不正なルータであると判断し、これらの判断結果を表示装置107に表示させることができる。あるいは、特定装置1は、判断結果をネットワークNW上の図示されない特定の端末装置に送信することができる。 The specific device 1 can further determine that the router 2b, which is an unauthorized default gateway, is an unauthorized router, and display the results of these determinations on the display device 107. Alternatively, the specific device 1 can transmit the determination result to a specific terminal device (not shown) on the network NW.

以上説明したように、本実施の形態に係る特定装置1によれば、リンクローカルのグローバル識別子もしくはサブネット識別子が違うユニークローカルIPv6ユニキャストアドレスを送信元アドレスとして設定し、FINフラグが設定された送信パケットを、特定対象の端末装置3a、3bが開いていないポートに対して送信する。さらに、特定装置1は、端末装置3a、3bによるRSTフラグとACKフラグとが設定された応答パケットをキャプチャして、応答パケットに含まれる送信先MACアドレスを抽出する。そのため、端末装置3a、3bに設定されている最も優先度が高い設定のデフォルトゲートウェイを特定することができる。 As explained above, according to the specific device 1 according to the present embodiment, a unique local IPv6 unicast address with a different link-local global identifier or subnet identifier is set as a source address, and a transmission with a FIN flag set is performed. The packet is transmitted to a port that is not opened by the specified target terminal devices 3a and 3b. Furthermore, the specific device 1 captures the response packets in which the RST flag and the ACK flag are set by the terminal devices 3a and 3b, and extracts the destination MAC address included in the response packets. Therefore, it is possible to specify the default gateway set in the terminal devices 3a, 3b with the highest priority.

また、特定装置1によれば、TCPプロトコルを利用してスキャン対象とする端末装置3a、3bのデフォルトゲートウェイを特定するので、端末装置3a、3bなどに新たなソフトウェアをインストールする必要がなく、より簡易な構成で端末装置3a、3bに設定されている優先度が最も高いデフォルトゲートウェイを特定することができる。 Further, according to the specific device 1, since the default gateway of the terminal devices 3a, 3b to be scanned is specified using the TCP protocol, there is no need to install new software on the terminal devices 3a, 3b, etc. The default gateway with the highest priority set in the terminal devices 3a and 3b can be identified with a simple configuration.

また、特定装置1によれば、不正なデフォルトゲートウェイを特定することができるので、ネットワークNWにおける不正端末を検出することが可能となる。 Further, according to the identifying device 1, since an unauthorized default gateway can be identified, it is possible to detect an unauthorized terminal in the network NW.

なお、説明した実施の形態では、特定対象の端末装置3a、3bが2つである場合を例示したが、端末装置3a、3bの数は2つ以外であってもよい。 In addition, although the described embodiment illustrated the case where the number of terminal devices 3a and 3b to be specified is two, the number of terminal devices 3a and 3b may be other than two.

以上、本発明の特定装置および特定方法における実施の形態について説明したが、本発明は説明した実施の形態に限定されるものではなく、請求項に記載した発明の範囲において当業者が想定し得る各種の変形を行うことが可能である。 Although the embodiments of the identification device and identification method of the present invention have been described above, the present invention is not limited to the described embodiments, and can be imagined by a person skilled in the art within the scope of the invention described in the claims. Various modifications are possible.

1…特定装置、2a、2b…ルータ、3a、3b…端末装置、10…生成部、11…設定部、12…送信部、13…取得部、14…抽出部、15…特定部、16…記憶部、17…判断部、101…バス、102…プロセッサ、103…主記憶装置、104…通信インターフェース、105…補助記憶装置、106…入出力I/O、107…表示装置、NW…ネットワーク。 DESCRIPTION OF SYMBOLS 1... Specific device, 2a, 2b... Router, 3a, 3b... Terminal device, 10... Generation part, 11... Setting part, 12... Transmission part, 13... Obtaining part, 14... Extracting part, 15... Specification part, 16... Storage unit, 17... Judgment unit, 101... Bus, 102... Processor, 103... Main storage device, 104... Communication interface, 105... Auxiliary storage device, 106... Input/output I/O, 107... Display device, NW... Network.

Claims (6)

TCP通信での接続の終了を示す第1制御ビットをヘッダに含む送信パケットを生成するように構成された生成部と、
前記生成部により生成された前記送信パケットの送信元アドレスとして、自装置に設定されているIPv6アドレスとは異なり、かつ、リンクローカル内に存在する何れのリンクローカルアドレスとも異なるユニークローカルIPv6ユニキャストアドレスを設定するように構成された設定部と、
前記設定部によって前記送信元アドレスが設定された前記送信パケットを予め設定された端末装置の開いていないポートに送信するように構成された送信部と、
前記送信パケットに対する応答を示すRSTフラグおよびACKフラグを含む第2制御ビットがヘッダに含まれた応答パケットをキャプチャするように構成された取得部と、
前記取得部によってキャプチャされた前記応答パケットに含まれる前記応答パケットの送信先を示す情報を抽出するように構成された抽出部と、
前記抽出部によって抽出された前記送信先を示す情報に基づいて、前記端末装置に設定されているデフォルトゲートウェイを特定するように構成された特定部と
を備える特定装置。
a generation unit configured to generate a transmission packet including a first control bit in the header indicating termination of a connection in TCP communication;
As the source address of the transmission packet generated by the generation unit , a unique local IPv6 unicast that is different from the IPv6 address set in the own device and different from any link local address existing in the link local. a setting section configured to set an address ;
a transmitting unit configured to transmit the transmission packet in which the source address is set by the setting unit to a preset unopened port of a terminal device;
an acquisition unit configured to capture a response packet whose header includes a second control bit including an RST flag and an ACK flag indicating a response to the transmitted packet;
an extraction unit configured to extract information indicating a destination of the response packet included in the response packet captured by the acquisition unit;
A specifying unit configured to specify a default gateway set in the terminal device based on information indicating the destination extracted by the extracting unit.
請求項1に記載の特定装置において、
監視対象のネットワークにおける正規デフォルトゲートウェイに関する情報を記憶するように構成された記憶部と、
前記特定部によって特定された前記端末装置に設定されているデフォルトゲートウェイが、前記記憶部に記憶されている前記正規デフォルトゲートウェイと一致するか否かを判断するように構成された判断部と
をさらに備える
ことを特徴とする特定装置。
The specific device according to claim 1,
a storage unit configured to store information regarding an authorized default gateway in a network to be monitored;
a determining unit configured to determine whether a default gateway set in the terminal device identified by the identifying unit matches the authorized default gateway stored in the storage unit; A specific device characterized by comprising:
請求項2に記載の特定装置において、
前記判断部は、前記正規デフォルトゲートウェイと一致しないと判断した場合に、前記特定部によって特定された前記端末装置に設定されている前記デフォルトゲートウェイは不正なデフォルトゲートウェイであると判断する
ことを特徴とする特定装置。
The specific device according to claim 2,
The determining unit determines that the default gateway set in the terminal device specified by the identifying unit is an unauthorized default gateway when determining that the default gateway does not match the authorized default gateway. specific equipment.
請求項1から3のいずれか1項に記載の特定装置において、
前記設定部は、前記送信元アドレスとして、リンクローカル内のグローバル識別子もしくはサブネット識別子が異なるユニークローカルIPv6ユニキャストアドレスを設定する
ことを特徴とする特定装置。
The specific device according to any one of claims 1 to 3,
The specific device is characterized in that the setting unit sets, as the source address, a unique local IPv6 unicast address having a different global identifier or subnet identifier within link local.
請求項1から4のいずれか1項に記載の特定装置において、
前記第1制御ビットは、FINフラグを含
ことを特徴とする特定装置。
The specific device according to any one of claims 1 to 4,
The first control bit includes a FIN flag.
A specific device characterized by:
TCP通信での接続の終了を示す第1制御ビットがヘッダに含まれた送信パケットを生成する第1ステップと、
前記第1ステップで生成された前記送信パケットの送信元アドレスとして、自装置に設
定されているIPv6アドレスとは異なり、かつ、リンクローカル内に存在する何れのリンクローカルアドレスとも異なるユニークローカルIPv6ユニキャストアドレスを設定する第2ステップと、
前記第2ステップで前記送信元アドレスが設定された前記送信パケットを予め設定された端末装置の開いていないポートに送信する第3ステップと、
前記送信パケットに対する応答を示すRSTフラグおよびACKフラグを含む第2制御ビットがヘッダに含まれた応答パケットをキャプチャする第4ステップと、
前記第4ステップでキャプチャされた前記応答パケットに含まれる前記応答パケットの送信先を示す情報を抽出する第5ステップと、
前記第5ステップで抽出された前記送信先を示す情報に基づいて、前記端末装置に設定されているデフォルトゲートウェイを特定する第6ステップと
を備える特定方法。
a first step of generating a transmission packet whose header includes a first control bit indicating termination of a connection in TCP communication;
As the source address of the transmission packet generated in the first step , a unique local IPv6 address that is different from the IPv6 address set in the own device and different from any link local address existing in the link local. The second step is to set the cast address ,
a third step of transmitting the transmission packet with the source address set in the second step to a preset unopened port of a terminal device;
a fourth step of capturing a response packet whose header includes a second control bit including an RST flag and an ACK flag indicating a response to the transmitted packet;
a fifth step of extracting information indicating a destination of the response packet included in the response packet captured in the fourth step;
and a sixth step of identifying a default gateway set in the terminal device based on the information indicating the destination extracted in the fifth step.
JP2019164339A 2019-09-10 2019-09-10 Specific device and method Active JP7376288B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2019164339A JP7376288B2 (en) 2019-09-10 2019-09-10 Specific device and method
CN202010940123.9A CN112565092B (en) 2019-09-10 2020-09-09 Determining apparatus and determining method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019164339A JP7376288B2 (en) 2019-09-10 2019-09-10 Specific device and method

Publications (2)

Publication Number Publication Date
JP2021044655A JP2021044655A (en) 2021-03-18
JP7376288B2 true JP7376288B2 (en) 2023-11-08

Family

ID=74864322

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019164339A Active JP7376288B2 (en) 2019-09-10 2019-09-10 Specific device and method

Country Status (2)

Country Link
JP (1) JP7376288B2 (en)
CN (1) CN112565092B (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030115367A1 (en) 2001-12-18 2003-06-19 Brother Kogyo Kabushiki Kaisha Address deducing system for deducing network settings
JP2006148530A (en) 2004-11-19 2006-06-08 Fuji Electric Systems Co Ltd Line diagnosis method
JP2010147744A (en) 2008-12-18 2010-07-01 Alaxala Networks Corp Network relay apparatus and method, and computer program therefor
CN104115463A (en) 2011-11-07 2014-10-22 网络流逻辑公司 Streaming method and system for processing network metadata

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6070187A (en) * 1998-03-26 2000-05-30 Hewlett-Packard Company Method and apparatus for configuring a network node to be its own gateway
CN100589434C (en) * 2006-06-30 2010-02-10 中兴通讯股份有限公司 Method for Realizing Anti-Spoofing of Service Server Address in Access Mode
CN101257388B (en) * 2008-04-08 2010-07-28 成都市华为赛门铁克科技有限公司 Lawless exterior joint detecting method, apparatus and system
CN102546661B (en) * 2012-02-21 2015-08-26 神州数码网络(北京)有限公司 A kind of method and system preventing IPv6 gateway neighbours spoofing attack
CN103916490B (en) * 2014-04-03 2017-05-24 深信服网络科技(深圳)有限公司 DNS tamper-proof method and device
JP2019009637A (en) * 2017-06-26 2019-01-17 アズビル株式会社 Network monitoring device

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030115367A1 (en) 2001-12-18 2003-06-19 Brother Kogyo Kabushiki Kaisha Address deducing system for deducing network settings
JP2003188900A (en) 2001-12-18 2003-07-04 Brother Ind Ltd Address estimation system, network device, address estimation method, and address estimation program
JP2006148530A (en) 2004-11-19 2006-06-08 Fuji Electric Systems Co Ltd Line diagnosis method
JP2010147744A (en) 2008-12-18 2010-07-01 Alaxala Networks Corp Network relay apparatus and method, and computer program therefor
CN104115463A (en) 2011-11-07 2014-10-22 网络流逻辑公司 Streaming method and system for processing network metadata
JP2015502060A (en) 2011-11-07 2015-01-19 ネットフロー ロジック コーポレーション Streaming method and system for processing network metadata

Also Published As

Publication number Publication date
CN112565092B (en) 2023-02-28
JP2021044655A (en) 2021-03-18
CN112565092A (en) 2021-03-26

Similar Documents

Publication Publication Date Title
EP2140656B1 (en) Method and apparatus for detecting port scans with fake source address
KR101010465B1 (en) Network Security Factors Using Endpoint Resources
US7376745B2 (en) Network address generating system, network address generating apparatus and method, program and storage medium
TWI506472B (en) Network device and method for avoiding arp attacks
US20040049695A1 (en) System for providing a real-time attacking connection traceback using a packet watermark insertion technique and method therefor
US20050027854A1 (en) Method, program and system for automatically detecting malicious computer network reconnaissance
WO2021139643A1 (en) Method and apparatus for detecting encrypted network attack traffic, and electronic device
CN102014110A (en) Method for authenticating communication flows, communication system and protective device
CN101252584B (en) Authentication method, system and equipment for bidirectional forwarding detection protocol conversation
US20170237769A1 (en) Packet transfer method and packet transfer apparatus
US20170063859A1 (en) System and method for network access control
EP2690832B1 (en) Communication device, communication system, and communication method
US20070274274A1 (en) Open wireless access point detection and identification
JP7376288B2 (en) Specific device and method
JP4484190B2 (en) Router search system, router search method, and router search program
JP7376289B2 (en) Address monitoring device and address monitoring method
CN100353711C (en) Communication system, communication apparatus, operation control method, and program
KR102387010B1 (en) Monitoring apparatus and monitoring method
EP4475482B1 (en) Network apparatus and network attack blocking method thereof
CN113037704B (en) Detection device and detection method
JP3856368B2 (en) Method and apparatus for discovering promiscuous nodes in an IP network, and promiscuous node discovery program
CN119155360A (en) Data transmission method, device, electronic equipment and readable medium
CN118802198A (en) Security detection system, method and electronic equipment for accessing network
TWI284809B (en) Method preventing illegal intrusion via bus
Pandya TCP/IP Packet Analysis

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220621

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230313

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230418

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230619

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231003

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20231026

R150 Certificate of patent or registration of utility model

Ref document number: 7376288

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150