JP7376288B2 - Specific device and method - Google Patents
Specific device and method Download PDFInfo
- Publication number
- JP7376288B2 JP7376288B2 JP2019164339A JP2019164339A JP7376288B2 JP 7376288 B2 JP7376288 B2 JP 7376288B2 JP 2019164339 A JP2019164339 A JP 2019164339A JP 2019164339 A JP2019164339 A JP 2019164339A JP 7376288 B2 JP7376288 B2 JP 7376288B2
- Authority
- JP
- Japan
- Prior art keywords
- default gateway
- address
- packet
- terminal device
- specific device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/659—Internet protocol version 6 [IPv6] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、特定装置および特定方法に関し、特にIPv6環境におけるネットワークの監視技術に関する。 TECHNICAL FIELD The present invention relates to a specifying device and a specifying method, and particularly to a technique for monitoring networks in an IPv6 environment.
近年、IoTの普及により様々な機器がインターネットにつながるようになっている。これにともなって、インターネットにつながる機器の数も爆発的に増え、従来インターネットプロトコルとして用いられてきたIPv4から、新たに128ビットのアドレス長を持つプロトコルとしてIPv6への移行が進んでいる。また、ネットワーク監視装置などの多くのネットワークセキュリティ製品においても、IPv6に対応したものが急速に求められている。 In recent years, with the spread of IoT, various devices have become connected to the Internet. Along with this, the number of devices connected to the Internet has increased explosively, and the transition from IPv4, which has traditionally been used as an Internet protocol, to IPv6, which is a new protocol with an address length of 128 bits, is progressing. Furthermore, many network security products such as network monitoring devices are also rapidly required to be compatible with IPv6.
IPv6環境において、IPv6アドレスの自動設定を行う際に、RA(Router Advertisement)パケットが送受信される。RAパケットを受信した端末装置は、RAパケットの送信元アドレスを、デフォルトゲートウェイとして設定する。 In an IPv6 environment, when automatically setting an IPv6 address, RA (Router Advertisement) packets are transmitted and received. The terminal device that receives the RA packet sets the source address of the RA packet as the default gateway.
例えば、悪意のあるものから不正なRAパケットが送信された場合、そのRAパケットを受信した端末装置において、不正なRAパケットの送信元アドレスが、正規のデフォルトゲートウェイよりも優先度が高い設定のデフォルトゲートウェイとして追加されてしまうことがある。また、悪意のあるものによって、正規のデフォルトゲートウェイとは異なるデフォルトゲートウェイが正規の端末装置に設定され、ネットワークへの不正アクセスが行われるということも可能となる。 For example, if a malicious RA packet is sent by a malicious party, the terminal device that received the RA packet will have the source address of the fraudulent RA packet set to a default gateway with a higher priority than the legitimate default gateway. It may be added as a gateway. Furthermore, it is also possible for a malicious party to set a default gateway different from the official default gateway on a legitimate terminal device, thereby allowing unauthorized access to the network.
例えば、特許文献1は、IPv6環境におけるネットワークへの不正接続を防止する技術を開示している。特許文献1に記載の技術では、ネットワークに監視装置を設置し、ネットワーク内を流れるNS(Neighbor Solicitation)パケットを監視して、NSパケットの送信元アドレスやMACアドレスをもとに、ネットワークへの接続が許可されている端末装置かどうかを判断する。
For example,
しかし、特許文献1に記載の技術によるネットワーク内を流れるNSパケットの監視では、不正の検出のために、ネットワークに接続されている端末装置に設定されている優先度が最も高い設定のデフォルトゲートウェイを把握することが困難であった。
However, in monitoring NS packets flowing within a network using the technology described in
本発明は、上述した課題を解決するためになされたものであり、IPv6環境において、ネットワークに接続されている端末装置に設定されている優先度が最も高い設定のデフォルトゲートウェイの情報を把握する新たな不正の検出技術を提供することを目的とする。 The present invention has been made in order to solve the above-mentioned problems, and is a novel technology that grasps information about the default gateway with the highest priority set in a terminal device connected to a network in an IPv6 environment. The purpose is to provide a reliable fraud detection technology.
上述した課題を解決するために、本発明に係る特定装置は、TCP通信での接続の終了を示す第1制御ビットをヘッダに含む送信パケットを生成するように構成された生成部と、前記生成部により生成された前記送信パケットの送信元アドレスとして、自装置に設定されているIPv6アドレスとは異なる送信元アドレスを設定するように構成された設定部と、前記設定部によって前記送信元アドレスが設定された前記送信パケットを予め設定された端末装置に送信するように構成された送信部と、前記送信パケットに対する応答を示す第2制御ビットがヘッダに含まれた応答パケットをキャプチャするように構成された取得部と、前記取得部によってキャプチャされた前記応答パケットに含まれる前記応答パケットの送信先を示す情報を抽出するように構成された抽出部と、前記抽出部によって抽出された前記送信先を示す情報に基づいて、前記端末装置に設定されているデフォルトゲートウェイを特定するように構成された特定部とを備える。 In order to solve the above-mentioned problems, a specific device according to the present invention includes a generation unit configured to generate a transmission packet including a first control bit in the header indicating termination of a connection in TCP communication, a setting section configured to set a source address different from the IPv6 address set in the own device as the source address of the transmission packet generated by the section; a transmitter configured to transmit the configured transmission packet to a preset terminal device; and configured to capture a response packet whose header includes a second control bit indicating a response to the transmission packet. an extraction unit configured to extract information indicating a transmission destination of the response packet included in the response packet captured by the acquisition unit, and the transmission destination extracted by the extraction unit. and a specifying unit configured to specify a default gateway set in the terminal device based on information indicating the terminal device.
また、本発明に係る特定装置において、監視対象のネットワークにおける正規デフォルトゲートウェイに関する情報を記憶するように構成された記憶部と、前記特定部によって特定された前記端末装置に設定されているデフォルトゲートウェイが、前記記憶部に記憶されている前記正規デフォルトゲートウェイと一致するか否かを判断するように構成された判断部とをさらに備えていてもよい。 Further, in the specific device according to the present invention, a storage section configured to store information regarding a regular default gateway in a network to be monitored, and a default gateway set in the terminal device specified by the specifying section are provided. , and a determination unit configured to determine whether the gateway matches the authorized default gateway stored in the storage unit.
また、本発明に係る特定装置において、前記判断部は、前記正規デフォルトゲートウェイと一致しないと判断した場合に、前記特定部によって特定された前記端末装置に設定されている前記デフォルトゲートウェイは不正なデフォルトゲートウェイであると判断してもよい。 Further, in the specific device according to the present invention, when the determining unit determines that the default gateway does not match the regular default gateway, the default gateway set in the terminal device identified by the identifying unit is an unauthorized default gateway. It may be determined that it is a gateway.
また、本発明に係る特定装置において、前記設定部は、前記送信元アドレスとして、リンクローカル内のグローバル識別子もしくはサブネット識別子が異なるユニークローカルIPv6ユニキャストアドレスを設定してもよい。 Furthermore, in the specific device according to the present invention, the setting unit may set a unique local IPv6 unicast address having a different global identifier or subnet identifier within a link local as the source address.
また、本発明に係る特定装置において、前記第1制御ビットは、FINフラグを含み、
前記第2制御ビットは、RSTフラグおよびACKフラグを含んでいてもよい。
Further, in the specific device according to the present invention, the first control bit includes a FIN flag;
The second control bits may include an RST flag and an ACK flag.
また、本発明に係る特定装置において、前記送信部は、前記端末装置が開いていないポートに前記送信パケットを送信してもよい。 Moreover, in the specific device according to the present invention, the transmitter may transmit the transmit packet to a port that is not opened by the terminal device.
上述した課題を解決するために、本発明に係る特定方法は、TCP通信での接続の終了を示す第1制御ビットがヘッダに含まれた送信パケットを生成する第1ステップと、前記第1ステップで生成された前記送信パケットの送信元アドレスとして、自装置に設定されているIPv6アドレスとは異なる送信元アドレスを設定する第2ステップと、前記第2ステップで前記送信元アドレスが設定された前記送信パケットを予め設定された端末装置に送信する第3ステップと、前記送信パケットに対する応答を示す第2制御ビットがヘッダに含まれた応答パケットをキャプチャする第4ステップと、前記第4ステップでキャプチャされた前記応答パケットに含まれる前記応答パケットの送信先を示す情報を抽出する第5ステップと、前記第5ステップで抽出された前記送信先を示す情報に基づいて、前記端末装置に設定されているデフォルトゲートウェイを特定する第6ステップとを備える。 In order to solve the above problems, the identification method according to the present invention includes a first step of generating a transmission packet whose header includes a first control bit indicating termination of a connection in TCP communication, and the first step. a second step of setting a source address different from the IPv6 address set in the own device as the source address of the transmitted packet generated in the second step; a third step of transmitting a transmission packet to a preset terminal device; a fourth step of capturing a response packet whose header includes a second control bit indicating a response to the transmission packet; and a fourth step of capturing a response packet in the fourth step. a fifth step of extracting information indicating the destination of the response packet included in the response packet, and a step of extracting information indicating the destination of the response packet that is set in the terminal device based on the information indicating the destination extracted in the fifth step. and a sixth step of identifying a default gateway.
本発明によれば、自装置に設定されているIPv6アドレスとは異なる送信元アドレスが設定された第1制御ビットをヘッダに含む送信パケットを端末装置に送信し、送信パケットに対する応答を示す第2制御ビットが含まれる応答パケットをキャプチャして、応答パケットの送信先を示す情報を抽出する。そのため、IPv6環境において、端末装置に設定されている優先度が最も高い設定のデフォルトゲートウェイの情報を把握する新たな不正の検出技術を実現することができる。 According to the present invention, a transmission packet including a first control bit in the header set with a source address different from the IPv6 address set in the own device is transmitted to a terminal device, and a second control bit indicating a response to the transmission packet is transmitted to the terminal device. The response packet containing the control bits is captured and information indicating the destination of the response packet is extracted. Therefore, in an IPv6 environment, it is possible to realize a new fraud detection technique that grasps information about the default gateway with the highest priority set in the terminal device.
以下、本発明の好適な実施の形態について、図1から図5を参照して詳細に説明する。
[ネットワークシステムの構成]
まず、本発明の実施の形態に係る特定装置1を備えるネットワークシステムの概要について説明する。
本発明の実施の形態に係る特定装置1は、LANなどのネットワークNWに接続されている端末装置3a、3bに設定されている最も優先度が高い設定のデフォルトゲートウェイの情報を特定する。特定装置1は、例えば、図1に示すようなネットワークシステムに設けられる。また、ネットワークシステムは、例えば、BA(Building Automation)システムなどに設けられる。
Hereinafter, preferred embodiments of the present invention will be described in detail with reference to FIGS. 1 to 5.
[Network system configuration]
First, an overview of a network system including a
The
ネットワークシステムは、図1に示すように、ネットワークNWを介して互いに通信可能に接続されている特定装置1と、ルータ2a、2bと、端末装置3a、3bとを備える。
As shown in FIG. 1, the network system includes a
ルータ2a、2bは、IPv6に対応したルータであり、ゲートウェイとして機能する。本実施の形態では、ルータ2aのMACアドレスは、「S」であり、ルータ2bのMACアドレスは、「R」であるものとする。また、本実施の形態では、ネットワークNWにおける正規のルータは、ルータ2aであり、ルータ2bは、不正なルータであるものとする。
The
端末装置3a、3bは、IPv6が動作するPCなどの端末である。図1に示す複数の端末装置3a、3bのうち、端末装置3aには、正規のルータ2aがデフォルトゲートウェイとして設定されている。一方、端末装置3bには、正規のデフォルトゲートウェイとは異なるデフォルトゲートウェイが優先度が最も高いデフォルトゲートウェイとして設定されている。
The
端末装置3aは、事前に送信されたルータ2aからのICMPv6の正規のルータ広告(Router Advertisement:RA)パケットを受信し、RAパケットの送信元のルータ2aをデフォルトゲートウェイとして設定している。端末装置3aについては、正規デフォルトゲートウェイが設定されている。
The
一方、ルータ2bは、事前に端末装置3bに対して不正なRAパケットを送信している。不正なRAパケットを受信した端末装置3bでは、RAパケットの送信元であるルータ2bが、優先度が最も高いデフォルトゲートウェイとして追加されている。したがって、本実施の形態では、端末装置3bには不正なデフォルトゲートウェイが設定されている。
On the other hand, the
また、本実施の形態において、特定装置1は、TCPプロトコルを用いて、デフォルトゲートウェイを特定したい端末装置3a、3bの閉じているポートに対して、FINフラグ(第1制御ビット)をセットしたTCPパケットを送信パケットとして送信する。また、特定装置1は、送信パケットを特定対象の端末装置3a、3bに送信する際に、送信元アドレスを特定装置1に設定されているIPv6アドレス「G」とは異なる送信元アドレスを設定する。送信元アドレスとして、リンクローカル内に存在する何れのリンクローカルアドレスとも異なるユニークローカルIPv6ユニキャストアドレス、例えば「H」が設定される。
In addition, in this embodiment, the
TCPプロトコルにおいて、FINパケットはコネクションの終了を示す。そのため、FINフラグがセットされた送信パケットを受信すると、端末装置3a、3bは、対象のポートが閉じているため、接続リセットを示すRSTフラグとACKフラグ(第2制御ビット)がセットされたTCPパケットを応答パケットとして返送する。しかし、送信パケットの送信元アドレス「H」はリンクローカルとは違うグローバル識別子もしくはサブネット識別子のアドレスであるため、端末装置3a、3bに設定されている最も優先度が高い設定のデフォルトゲートウェイを送信先として、端末装置3a、3bは応答パケットを送信する。
In the TCP protocol, a FIN packet indicates the end of a connection. Therefore, when receiving a transmission packet with the FIN flag set, the
このとき、特定装置1は、ネットワークNWを流れるRSTパケットとACKパケットとを含む応答パケットをキャプチャする。さらに、特定装置1は、キャプチャした応答パケットに含まれるそれぞれの応答パケットの送信先を示す情報から、端末装置3a、3bに設定されているデフォルトゲートウェイを特定する。
At this time, the
[特定装置の機能ブロック]
次に、本実施の形態に係る特定装置1の構成について、図2のブロック図を用いて説明する。
図2に示すように、特定装置1は、生成部10、設定部11、送信部12、取得部13、抽出部14、特定部15、記憶部16、および判断部17を備える。
[Functional block of specific device]
Next, the configuration of the
As shown in FIG. 2, the
生成部10は、TCP通信におけるコネクションの終了を示すFINフラグが設定された送信パケットを生成する。より詳細には、生成部10は、送信パケットのヘッダにおいてFINフラグを立てる。
The
設定部11は、生成部10によって生成された送信パケットの送信元アドレスとして、特定装置1に設定されているIPv6アドレス「G」とは異なる送信元アドレスを設定する。具体的には、設定部11は、送信元アドレスとして、リンクローカル内に存在しない、グローバル識別子もしくはサブネット識別子が異なるユニークローカルIPv6ユニキャストアドレス「H」を設定する。
The setting
送信部12は、送信元アドレス「H」が設定され、FINフラグが設定された送信パケットを、端末装置3a、3bに送信する。送信部12は、デフォルトゲートウェイ情報を取得したいスキャン対象の端末装置3a、3bに送信パケットを送信する。
The
取得部13は、ネットワークNWを流れるFINフラグが設定されたヘッダを有する送信パケットに対する応答を示す、RSTフラグおよびACKフラグがヘッダに含まれた応答パケットをキャプチャする。
The
抽出部14は、キャプチャされた応答パケットに含まれる、その応答パケットの送信先を示す情報を抽出する。具体的には、抽出部14は応答パケットに含まれる送信先のMACアドレスを抽出する。本実施の形態では、端末装置3aによる応答パケットに含まれる送信先のMACアドレスは、ルータ2aを示すMACアドレス「S」である。一方、端末装置3bの応答パケットに含まれる送信先のMACアドレスは、ルータ2bを示すMACアドレス「R」となっている。
The
特定部15は、抽出部14によって抽出された応答パケットの送信先を示す情報に基づいて、端末装置3a、3bに設定されているデフォルトゲートウェイを特定する。端末装置3a、3bによって送信される応答パケットの送信先アドレスを示すMACアドレスは、それぞれの端末装置3a、3bに設定されているデフォルトゲートウェイである。そのため、特定部15は、MACアドレス「S」を有するルータ2bが、端末装置3aにおいて最も優先度が高い設定のデフォルトゲートウェイとして設定されていることを特定する。また、特定部15は、端末装置3bの応答パケットの送信先MACアドレス「R」で示されるルータ2bが、端末装置3bにおいて最も優先度が高い設定のデフォルトゲートウェイとして設定されていることを特定する。
The identifying
記憶部16は、監視対象のネットワークNWにおける正規デフォルトゲートウェイに関する情報を記憶している。本実施の形態では、ルータ2aが正規のルータであり、MACアドレス「S」で示されるルータ2aが正規のデフォルトゲートウェイとして予め登録されている。
The
判断部17は、特定部15によって特定された端末装置3a、3bに設定されている最も優先度が高い設定のデフォルトゲートウェイが、記憶部16に記憶されている正規デフォルトゲートウェイと一致するか否かを判断する。本実施の形態では、判断部17は、端末装置3aに設定されているデフォルトゲートウェイ(MACアドレス「S」)は、正規デフォルトゲートウェイであると判断する。一方、判断部17は、端末装置3bに設定されているデフォルトゲートウェイ(MACアドレス「R」)は、正規デフォルトゲートウェイではなく、不正なデフォルトゲートウェイであると判断する。
The determining
[特定装置のハードウェア構成]
次に上述した機能を有する特定装置1のハードウェア構成の一例について、図3を用いて説明する。
[Hardware configuration of specific device]
Next, an example of the hardware configuration of the
図3に示すように、特定装置1は、例えば、バス101を介して接続されるプロセッサ102、主記憶装置103、通信インターフェース104、補助記憶装置105、入出力I/O106を備えるコンピュータと、これらのハードウェア資源を制御するプログラムによって実現することができる。
As shown in FIG. 3, the
主記憶装置103には、プロセッサ102が各種制御や演算を行うためのプログラムが予め格納されている。プロセッサ102と主記憶装置103とによって、図2に示した生成部10、設定部11、取得部13、抽出部14、特定部15、判断部17など、特定装置1の各機能が実現される。
The
通信インターフェース104は、特定装置1とルータ2a、2b、端末装置3a、3bや各種外部電子機器との間をネットワーク接続するためのインターフェース回路である。通信インターフェース104によって図2で説明した送信部12、および取得部13が実現される。
The
補助記憶装置105は、読み書き可能な記憶媒体と、その記憶媒体に対してプログラムやデータなどの各種情報を読み書きするための駆動装置とで構成されている。補助記憶装置105には、記憶媒体としてハードディスクやフラッシュメモリなどの半導体メモリを使用することができる。
The
補助記憶装置105は、特定装置1が、端末装置3a、3bに設定されている最も優先度が高い設定のデフォルトゲートウェイを特定するためのプログラムを格納するプログラム格納領域を有する。補助記憶装置105によって、図2で説明した記憶部16が実現される。さらには、例えば、上述したデータやプログラムやなどをバックアップするためのバックアップ領域などを有していてもよい。
The
入出力I/O106は、外部機器からの信号を入力したり、外部機器へ信号を出力したりするI/O端子により構成される。
The input/output I/
表示装置107は、液晶ディスプレイなどによって構成される。表示装置107は、特定部15によって特定されたデフォルトゲートウェイや、判断部17による判断結果を表示画面に表示することができる。
The
[特定方法]
次に上述した構成を有する特定装置1の動作について、図4のフローチャートを用いて説明する。なお、以下において、記憶部16には、予め正規デフォルトゲートウェイに関する情報が格納されているものとする。
[Identification method]
Next, the operation of the
まず、生成部10は、FINフラグが設定されたTCPパケットを送信パケットとして生成する(ステップS1)。次に、設定部11は、送信パケットの送信元アドレスとして、リンクローカルとは違うグローバル識別子もしくはサブネット識別子のユニークローカルIPv6ユニキャストアドレスを設定する(ステップS2)。
First, the
次に、送信部12は、FINフラグを立てた送信パケットを、スキャン対象の端末装置3a、3bに送信する(ステップS3)。このとき送信部12は、端末装置3a、3bが開いていないポートに対して送信パケットを送信する。その後、取得部13は、端末装置3a、3bが送信パケットに対する応答としてRSTフラグとACKフラグとがヘッダに含まれた応答パケットをキャプチャする(ステップS4)。
Next, the
次に、抽出部14は、ステップS4でキャプチャされた応答パケットに含まれる、その応答パケットの送信先を示す情報を抽出する(ステップS5)。より詳細には、抽出部14は、端末装置3a、3bが送信した応答パケットの送信先MACアドレスを抽出する。その後、特定部15は、抽出された送信先を示す情報に基づいて、端末装置3a、3bに設定されている最も優先度が高い設定のデフォルトゲートウェイを特定する(ステップS6)。
Next, the
次に、判断部17は、ステップS6で特定されたデフォルトゲートウェイに基づいて、それぞれの端末装置3a、3bに設定されている最も優先度が高い設定のデフォルトゲートウェイが正規デフォルトゲートウェイと一致するか否かを判断する(ステップS7)。その後、表示装置107において判断部17による判断結果を表示する(ステップS8)。あるいは、判断結果は、通信インターフェース104からネットワークNW上の図示されない特定の端末装置に送出することができる。
Next, based on the default gateway specified in step S6, the determining
[ネットワークシステムの動作シーケンス]
次に、上述した特定装置1を備えるネットワークシステムの動作について、図5のシーケンス図を参照して説明する。なお、以下において、端末装置3aには、デフォルトゲートウェイとして正規のルータ2aが予め設定されており、端末装置3bには、デフォルトゲートウェイとして不正なルータ2bが予め設定されているものとする。
[Network system operation sequence]
Next, the operation of the network system including the above-mentioned
まず、特定装置1は、FINフラグが設定された送信パケットを生成する(ステップS100)。その後、特定装置1は、自装置のIPv6アドレス「G」とは異なる、すなわち、リンクローカルのグローバル識別子もしくはサブネット識別子が違うユニークローカルIPv6ユニキャストアドレス「H」を送信元アドレスとして、生成した送信パケットをスキャン対象の端末装置3a、3bに送信する(ステップS101、S102)。より詳細には、特定装置1は、端末装置3a、3bが開いていないポートにFINフラグを立てた送信パケットを送信する。
First, the
次に、FINフラグが設定された送信パケットを受信した端末装置3aは、応答パケットを生成して送信する(ステップS103)。より詳細には、端末装置3aは、端末装置3aにおいて設定されているデフォルトゲートウェイ「S」を送信先としてRSTフラグおよびACKフラグが設定された応答パケットをルータ2a(MACアドレス「S」)に送信する。
Next, the
一方、FINフラグが設定された送信パケットを受信した端末装置3bは、端末装置3bにおいて設定されているデフォルトゲートウェイ「R」を送信先として、RSTフラグおよびACKフラグが設定された応答パケットをルータ2b(MACアドレス「R」)に送信する(ステップS104)。
On the other hand, the
次に、特定装置1は、ネットワークNWを流れるRSTフラグおよびACKフラグが設定された応答パケットをキャプチャする(ステップS105)。次に、特定装置1は、キャプチャされた応答パケットのそれぞれに含まれる、応答パケットの送信先を示すMACアドレス「S」、「R」を抽出し、MACアドレス「S」、「R」から端末装置3a、3bに設定されている最も優先度が高い設定のデフォルトゲートウェイを特定する(ステップS106)。
Next, the
特定装置1は、端末装置3aに設定されている優先度が最も高い設定のデフォルトゲートウェイはMACアドレス「S」を有するルータ2aであると特定する。一方、端末装置3bに設定されている優先度が最も高い設定のデフォルトゲートウェイはMACアドレス「R」を有するルータ2bであると特定する。
The
その後、特定装置1は、記憶部16に格納されている正規デフォルトゲートウェイを参照し、端末装置3a、3bに設定されている最も優先度が高い設定のデフォルトゲートウェイが正規デフォルトゲートウェイと一致するか否かを判断する(ステップS107)。本実施の形態では、端末装置3aに設定されている優先度が最も高い設定のデフォルトゲートウェイは、正規デフォルトゲートウェイであると判断する。一方、端末装置3bに設定されている優先度が最も高い設定のデフォルトゲートウェイは、正規デフォルトゲートウェイではなく、不正なデフォルトゲートウェイであると判断する。
After that, the
特定装置1は、さらに、不正なデフォルトゲートウェイであるルータ2bは、不正なルータであると判断し、これらの判断結果を表示装置107に表示させることができる。あるいは、特定装置1は、判断結果をネットワークNW上の図示されない特定の端末装置に送信することができる。
The
以上説明したように、本実施の形態に係る特定装置1によれば、リンクローカルのグローバル識別子もしくはサブネット識別子が違うユニークローカルIPv6ユニキャストアドレスを送信元アドレスとして設定し、FINフラグが設定された送信パケットを、特定対象の端末装置3a、3bが開いていないポートに対して送信する。さらに、特定装置1は、端末装置3a、3bによるRSTフラグとACKフラグとが設定された応答パケットをキャプチャして、応答パケットに含まれる送信先MACアドレスを抽出する。そのため、端末装置3a、3bに設定されている最も優先度が高い設定のデフォルトゲートウェイを特定することができる。
As explained above, according to the
また、特定装置1によれば、TCPプロトコルを利用してスキャン対象とする端末装置3a、3bのデフォルトゲートウェイを特定するので、端末装置3a、3bなどに新たなソフトウェアをインストールする必要がなく、より簡易な構成で端末装置3a、3bに設定されている優先度が最も高いデフォルトゲートウェイを特定することができる。
Further, according to the
また、特定装置1によれば、不正なデフォルトゲートウェイを特定することができるので、ネットワークNWにおける不正端末を検出することが可能となる。
Further, according to the identifying
なお、説明した実施の形態では、特定対象の端末装置3a、3bが2つである場合を例示したが、端末装置3a、3bの数は2つ以外であってもよい。
In addition, although the described embodiment illustrated the case where the number of
以上、本発明の特定装置および特定方法における実施の形態について説明したが、本発明は説明した実施の形態に限定されるものではなく、請求項に記載した発明の範囲において当業者が想定し得る各種の変形を行うことが可能である。 Although the embodiments of the identification device and identification method of the present invention have been described above, the present invention is not limited to the described embodiments, and can be imagined by a person skilled in the art within the scope of the invention described in the claims. Various modifications are possible.
1…特定装置、2a、2b…ルータ、3a、3b…端末装置、10…生成部、11…設定部、12…送信部、13…取得部、14…抽出部、15…特定部、16…記憶部、17…判断部、101…バス、102…プロセッサ、103…主記憶装置、104…通信インターフェース、105…補助記憶装置、106…入出力I/O、107…表示装置、NW…ネットワーク。
DESCRIPTION OF
Claims (6)
前記生成部により生成された前記送信パケットの送信元アドレスとして、自装置に設定されているIPv6アドレスとは異なり、かつ、リンクローカル内に存在する何れのリンクローカルアドレスとも異なるユニークローカルIPv6ユニキャストアドレスを設定するように構成された設定部と、
前記設定部によって前記送信元アドレスが設定された前記送信パケットを予め設定された端末装置の開いていないポートに送信するように構成された送信部と、
前記送信パケットに対する応答を示すRSTフラグおよびACKフラグを含む第2制御ビットがヘッダに含まれた応答パケットをキャプチャするように構成された取得部と、
前記取得部によってキャプチャされた前記応答パケットに含まれる前記応答パケットの送信先を示す情報を抽出するように構成された抽出部と、
前記抽出部によって抽出された前記送信先を示す情報に基づいて、前記端末装置に設定されているデフォルトゲートウェイを特定するように構成された特定部と
を備える特定装置。 a generation unit configured to generate a transmission packet including a first control bit in the header indicating termination of a connection in TCP communication;
As the source address of the transmission packet generated by the generation unit , a unique local IPv6 unicast that is different from the IPv6 address set in the own device and different from any link local address existing in the link local. a setting section configured to set an address ;
a transmitting unit configured to transmit the transmission packet in which the source address is set by the setting unit to a preset unopened port of a terminal device;
an acquisition unit configured to capture a response packet whose header includes a second control bit including an RST flag and an ACK flag indicating a response to the transmitted packet;
an extraction unit configured to extract information indicating a destination of the response packet included in the response packet captured by the acquisition unit;
A specifying unit configured to specify a default gateway set in the terminal device based on information indicating the destination extracted by the extracting unit.
監視対象のネットワークにおける正規デフォルトゲートウェイに関する情報を記憶するように構成された記憶部と、
前記特定部によって特定された前記端末装置に設定されているデフォルトゲートウェイが、前記記憶部に記憶されている前記正規デフォルトゲートウェイと一致するか否かを判断するように構成された判断部と
をさらに備える
ことを特徴とする特定装置。 The specific device according to claim 1,
a storage unit configured to store information regarding an authorized default gateway in a network to be monitored;
a determining unit configured to determine whether a default gateway set in the terminal device identified by the identifying unit matches the authorized default gateway stored in the storage unit; A specific device characterized by comprising:
前記判断部は、前記正規デフォルトゲートウェイと一致しないと判断した場合に、前記特定部によって特定された前記端末装置に設定されている前記デフォルトゲートウェイは不正なデフォルトゲートウェイであると判断する
ことを特徴とする特定装置。 The specific device according to claim 2,
The determining unit determines that the default gateway set in the terminal device specified by the identifying unit is an unauthorized default gateway when determining that the default gateway does not match the authorized default gateway. specific equipment.
前記設定部は、前記送信元アドレスとして、リンクローカル内のグローバル識別子もしくはサブネット識別子が異なるユニークローカルIPv6ユニキャストアドレスを設定する
ことを特徴とする特定装置。 The specific device according to any one of claims 1 to 3,
The specific device is characterized in that the setting unit sets, as the source address, a unique local IPv6 unicast address having a different global identifier or subnet identifier within link local.
前記第1制御ビットは、FINフラグを含む
ことを特徴とする特定装置。 The specific device according to any one of claims 1 to 4,
The first control bit includes a FIN flag.
A specific device characterized by:
前記第1ステップで生成された前記送信パケットの送信元アドレスとして、自装置に設
定されているIPv6アドレスとは異なり、かつ、リンクローカル内に存在する何れのリンクローカルアドレスとも異なるユニークローカルIPv6ユニキャストアドレスを設定する第2ステップと、
前記第2ステップで前記送信元アドレスが設定された前記送信パケットを予め設定された端末装置の開いていないポートに送信する第3ステップと、
前記送信パケットに対する応答を示すRSTフラグおよびACKフラグを含む第2制御ビットがヘッダに含まれた応答パケットをキャプチャする第4ステップと、
前記第4ステップでキャプチャされた前記応答パケットに含まれる前記応答パケットの送信先を示す情報を抽出する第5ステップと、
前記第5ステップで抽出された前記送信先を示す情報に基づいて、前記端末装置に設定されているデフォルトゲートウェイを特定する第6ステップと
を備える特定方法。 a first step of generating a transmission packet whose header includes a first control bit indicating termination of a connection in TCP communication;
As the source address of the transmission packet generated in the first step , a unique local IPv6 address that is different from the IPv6 address set in the own device and different from any link local address existing in the link local. The second step is to set the cast address ,
a third step of transmitting the transmission packet with the source address set in the second step to a preset unopened port of a terminal device;
a fourth step of capturing a response packet whose header includes a second control bit including an RST flag and an ACK flag indicating a response to the transmitted packet;
a fifth step of extracting information indicating a destination of the response packet included in the response packet captured in the fourth step;
and a sixth step of identifying a default gateway set in the terminal device based on the information indicating the destination extracted in the fifth step.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019164339A JP7376288B2 (en) | 2019-09-10 | 2019-09-10 | Specific device and method |
| CN202010940123.9A CN112565092B (en) | 2019-09-10 | 2020-09-09 | Determining apparatus and determining method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019164339A JP7376288B2 (en) | 2019-09-10 | 2019-09-10 | Specific device and method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2021044655A JP2021044655A (en) | 2021-03-18 |
| JP7376288B2 true JP7376288B2 (en) | 2023-11-08 |
Family
ID=74864322
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019164339A Active JP7376288B2 (en) | 2019-09-10 | 2019-09-10 | Specific device and method |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP7376288B2 (en) |
| CN (1) | CN112565092B (en) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030115367A1 (en) | 2001-12-18 | 2003-06-19 | Brother Kogyo Kabushiki Kaisha | Address deducing system for deducing network settings |
| JP2006148530A (en) | 2004-11-19 | 2006-06-08 | Fuji Electric Systems Co Ltd | Line diagnosis method |
| JP2010147744A (en) | 2008-12-18 | 2010-07-01 | Alaxala Networks Corp | Network relay apparatus and method, and computer program therefor |
| CN104115463A (en) | 2011-11-07 | 2014-10-22 | 网络流逻辑公司 | Streaming method and system for processing network metadata |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6070187A (en) * | 1998-03-26 | 2000-05-30 | Hewlett-Packard Company | Method and apparatus for configuring a network node to be its own gateway |
| CN100589434C (en) * | 2006-06-30 | 2010-02-10 | 中兴通讯股份有限公司 | Method for Realizing Anti-Spoofing of Service Server Address in Access Mode |
| CN101257388B (en) * | 2008-04-08 | 2010-07-28 | 成都市华为赛门铁克科技有限公司 | Lawless exterior joint detecting method, apparatus and system |
| CN102546661B (en) * | 2012-02-21 | 2015-08-26 | 神州数码网络(北京)有限公司 | A kind of method and system preventing IPv6 gateway neighbours spoofing attack |
| CN103916490B (en) * | 2014-04-03 | 2017-05-24 | 深信服网络科技(深圳)有限公司 | DNS tamper-proof method and device |
| JP2019009637A (en) * | 2017-06-26 | 2019-01-17 | アズビル株式会社 | Network monitoring device |
-
2019
- 2019-09-10 JP JP2019164339A patent/JP7376288B2/en active Active
-
2020
- 2020-09-09 CN CN202010940123.9A patent/CN112565092B/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030115367A1 (en) | 2001-12-18 | 2003-06-19 | Brother Kogyo Kabushiki Kaisha | Address deducing system for deducing network settings |
| JP2003188900A (en) | 2001-12-18 | 2003-07-04 | Brother Ind Ltd | Address estimation system, network device, address estimation method, and address estimation program |
| JP2006148530A (en) | 2004-11-19 | 2006-06-08 | Fuji Electric Systems Co Ltd | Line diagnosis method |
| JP2010147744A (en) | 2008-12-18 | 2010-07-01 | Alaxala Networks Corp | Network relay apparatus and method, and computer program therefor |
| CN104115463A (en) | 2011-11-07 | 2014-10-22 | 网络流逻辑公司 | Streaming method and system for processing network metadata |
| JP2015502060A (en) | 2011-11-07 | 2015-01-19 | ネットフロー ロジック コーポレーション | Streaming method and system for processing network metadata |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112565092B (en) | 2023-02-28 |
| JP2021044655A (en) | 2021-03-18 |
| CN112565092A (en) | 2021-03-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2140656B1 (en) | Method and apparatus for detecting port scans with fake source address | |
| KR101010465B1 (en) | Network Security Factors Using Endpoint Resources | |
| US7376745B2 (en) | Network address generating system, network address generating apparatus and method, program and storage medium | |
| TWI506472B (en) | Network device and method for avoiding arp attacks | |
| US20040049695A1 (en) | System for providing a real-time attacking connection traceback using a packet watermark insertion technique and method therefor | |
| US20050027854A1 (en) | Method, program and system for automatically detecting malicious computer network reconnaissance | |
| WO2021139643A1 (en) | Method and apparatus for detecting encrypted network attack traffic, and electronic device | |
| CN102014110A (en) | Method for authenticating communication flows, communication system and protective device | |
| CN101252584B (en) | Authentication method, system and equipment for bidirectional forwarding detection protocol conversation | |
| US20170237769A1 (en) | Packet transfer method and packet transfer apparatus | |
| US20170063859A1 (en) | System and method for network access control | |
| EP2690832B1 (en) | Communication device, communication system, and communication method | |
| US20070274274A1 (en) | Open wireless access point detection and identification | |
| JP7376288B2 (en) | Specific device and method | |
| JP4484190B2 (en) | Router search system, router search method, and router search program | |
| JP7376289B2 (en) | Address monitoring device and address monitoring method | |
| CN100353711C (en) | Communication system, communication apparatus, operation control method, and program | |
| KR102387010B1 (en) | Monitoring apparatus and monitoring method | |
| EP4475482B1 (en) | Network apparatus and network attack blocking method thereof | |
| CN113037704B (en) | Detection device and detection method | |
| JP3856368B2 (en) | Method and apparatus for discovering promiscuous nodes in an IP network, and promiscuous node discovery program | |
| CN119155360A (en) | Data transmission method, device, electronic equipment and readable medium | |
| CN118802198A (en) | Security detection system, method and electronic equipment for accessing network | |
| TWI284809B (en) | Method preventing illegal intrusion via bus | |
| Pandya | TCP/IP Packet Analysis |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220621 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230313 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230418 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230619 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231003 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231026 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7376288 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |