JP2005198090A - Method and device for preventing unauthorized connection to network - Google Patents

Method and device for preventing unauthorized connection to network Download PDF

Info

Publication number
JP2005198090A
JP2005198090A JP2004003060A JP2004003060A JP2005198090A JP 2005198090 A JP2005198090 A JP 2005198090A JP 2004003060 A JP2004003060 A JP 2004003060A JP 2004003060 A JP2004003060 A JP 2004003060A JP 2005198090 A JP2005198090 A JP 2005198090A
Authority
JP
Japan
Prior art keywords
terminal
unauthorized
arp
network
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004003060A
Other languages
Japanese (ja)
Other versions
JP4245486B2 (en
Inventor
Akio Yonehara
昭雄 米原
Shigeru Yoshida
茂 吉田
Shungo Tojiyama
俊吾 兎耳山
Hiroshi Yamamoto
寛 山本
Hironaga Miyazaki
博永 宮崎
Osamu Shibagaki
税 芝垣
Akinori Kubota
明範 久保田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2004003060A priority Critical patent/JP4245486B2/en
Publication of JP2005198090A publication Critical patent/JP2005198090A/en
Application granted granted Critical
Publication of JP4245486B2 publication Critical patent/JP4245486B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a method and a device for preventing unauthorized connection to a network which have low costs and require low man-hours for introduction with respect to closed area communication within a LAN. <P>SOLUTION: It is discriminated whether unique information of a terminal included in an ARP request received from the terminal through the LAN is already registered or not, and the terminal is regarded as an unauthorized terminal to transmit a disturbing message showing duplication of unique information of the terminal when it is discriminated that it is not registered yet. The ARP request is an ARP request transmitted when connecting to the network or an ARP request by which the unauthorized terminal requests unique information to another terminal. The disturbing message comprises at least one of a disturbing reply wherein unique information of the unauthorized terminal is set in a transmission source address, and a disturbing request so that the unauthorized terminal is in a unique information duplicate state. It may be discriminated whether unique information of a terminal is already registered or not by an ARP reply returned in response to an ARP request which is successively transmitted to registered terminals. The unique information includes a MAC address or an IP address and includes a VLAN tag also. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

本発明は、ネットワーク不正接続防止方法及び装置に関し、特に複数のルータやハブで構成されるLAN(閉域網)内における端末のネットワーク不正接続防止方法及び装置に関するものである。   The present invention relates to a network unauthorized connection prevention method and apparatus, and more particularly to a network unauthorized connection prevention method and apparatus for a terminal in a LAN (closed network) composed of a plurality of routers and hubs.

従来、LAN内で端末を誤接続又は不正接続(悪意を持った接続)がなされた場合は、ネットワーク機器によって次のような防止策を実施していた。
(1)事前に許可された端末のIPアドレスやMACアドレス以外の端末(許可されていない端末)についてはネットワーク機器によって接続を許可しない従来技術がある。 Conventionally, when a terminal is erroneously connected or illegally connected (malicious connection) in a LAN, the following preventive measures have been implemented by network devices.
(1) There is a conventional technology that does not permit connection by a network device for terminals other than the IP address or MAC address of a terminal that has been permitted in advance (terminals that are not permitted).

この例としては、全ポートへの接続許可を端末のIPアドレスで設定し、受信したARP(Address Resolution Protocol)フレームの送信元IPアドレスとポートへの接続許可が設定された端末のIPアドレスとが一致していれば、最後に受信したフレームの送信元MACアドレスが当該ARPフレームの送信元MACアドレスであるポートを使用できなくした侵入防止機能付ハブがある(例えば、特許文献1参照。)。
(2)外部ネットワークとLANを接続する際に、その中継装置(ファイアーウォール、ルータ)にデータベースを設け、流入するパケットを常に監視し、受信したパケットの内容から不正なパケットを検出し、この場合に不正なパケットの侵入に対する防止対策を講じた従来技術がある(例えば、特許文献2参照。)。
特開平11−177597号公報(要約書、図1) 特開2002−73433号公報(要約書、図1) In this example, permission to connect to all ports is set by the IP address of the terminal, and the source IP address of the received Address Resolution Protocol (ARP) frame and the IP address of the terminal that has permission to connect to the port are set. If they match, there is a hub with an intrusion prevention function in which the port whose source MAC address of the last received frame is the source MAC address of the ARP frame cannot be used (for example, see Patent Document 1).
(2) When connecting an external network and a LAN, a database is set up in the relay device (firewall, router) to constantly monitor incoming packets and detect illegal packets from the contents of received packets. In addition, there is a conventional technique in which measures for preventing intrusion of illegal packets are taken (for example, see Patent Document 2).
Japanese Patent Laid-Open No. 11-177597 (Abstract, Fig. 1) JP 2002-73433 A (Abstract, Fig. 1)

上記の従来技術(1)の場合には、侵入防止機能は中継装置であるハブに実装することが前提であり、現在運用中のイントラネットワーク内にこの機能を持ったハブが無い場合は全ハブに該侵入防止機能を実装する必要がある。また、ネットワーク構成に変更が生じた場合においても全ハブの装備に変更が伴うことから機器費用と導入工数が膨らむという問題がある。   In the case of the above prior art (1), it is assumed that the intrusion prevention function is installed in the hub as a relay device. If there is no hub with this function in the currently operating intranetwork, all hubs It is necessary to implement the intrusion prevention function. In addition, even when the network configuration is changed, there is a problem that equipment costs and introduction man-hours increase because the equipment of all hubs is changed.

またこの場合、不正ポートが検出されると、そのポートを使用できないようになっているため、そのポートがカスケードで別のハブに接続されている場合には、その別のハブに接続されている正規の端末も通信ができなくなってしまうという問題があった。   Also, in this case, when an unauthorized port is detected, the port cannot be used. If the port is connected to another hub in the cascade, it is connected to the other hub. There was a problem that even legitimate terminals could not communicate.

更に、上記の従来技術(2)の場合には、インターネット(外部ネットワーク)とLANを中継する装置(ファイアーウォール又はルータ)に不正接続監視機能を実装することで、不正パケットを中継させないで不正接続を抑制するものであり、LAN内の閉域通信においては不正接続防止ができないという問題があった。   Furthermore, in the case of the above-mentioned prior art (2), an unauthorized connection monitoring function is implemented in a device (firewall or router) that relays between the Internet (external network) and the LAN, thereby preventing unauthorized connection without relaying unauthorized packets. There is a problem that unauthorized connection cannot be prevented in closed communication within a LAN.

従って本発明は、LAN内の閉域通信において、安価と導入工数が少ないネットワーク不正接続防止方法及び装置を提供することを目的とする。   SUMMARY OF THE INVENTION Accordingly, an object of the present invention is to provide a network unauthorized connection prevention method and apparatus that is inexpensive and requires less man-hours in closed area communication within a LAN.

上記の目的を達成するため本発明に係るネットワーク不正接続防止方法は、端末よりLANを介して受信したARPリクエストに含まれる該端末の個有情報が登録済であるか否かを判定する第1ステップと、該第1ステップで未登録と判定されたとき、該端末を不正端末と見做して該端末の個有情報が重複して存在することを示す妨害メッセージを送信する第2ステップと、を備えたことを特徴としている。   In order to achieve the above object, the network unauthorized connection prevention method according to the present invention is a first method for determining whether or not the personal information of the terminal included in the ARP request received from the terminal via the LAN is registered. A second step of transmitting a jamming message indicating that the terminal's unique information is duplicated when the terminal is determined to be unregistered in the first step, It is characterized by having.

すなわち、第1ステップでは、LAN内に接続した端末からの個有情報がARPリクエストとして受信されたとき、この個有情報が予め登録してある情報と一致しているか否かを判定する。そして、第2ステップでは、この第1ステップで、未登録であることが分かった端末を不正端末と見做して妨害メッセージを送信する。   That is, in the first step, when private information from a terminal connected in the LAN is received as an ARP request, it is determined whether or not this private information matches information registered in advance. Then, in the second step, the terminal found to be unregistered in this first step is regarded as an unauthorized terminal and a jamming message is transmitted.

この妨害メッセージには、その端末の個有情報が重複して存在することを示す情報が含まれているので、この妨害メッセージを受信した不正端末12においては、自分の個有情報が重複していることを知るので、通信を止めてしまうこととなり、不正接続を防止できる。   Since this jamming message includes information indicating that the unique information of the terminal is duplicated, the unauthorized terminal 12 that received this jamming message duplicates its own proprietary information. Because it knows that it is, the communication will be stopped and unauthorized connection can be prevented.

このようにして本発明によれば、LAN内のノードをネットワークに接続させることが可能であるため、ネットワークの機器費用や変更に伴う作業工数の削減が可能となる。   In this way, according to the present invention, nodes in the LAN can be connected to the network, so that it is possible to reduce network equipment costs and work man-hours associated with changes.

また、不正接続端末のみ通信を妨害し、他の正規な接続端末への影響を与えなくすることが可能である。   In addition, it is possible to prevent only unauthorized connection terminals from interfering with communication and prevent other legitimate connection terminals from being affected.

更には、LAN内の閉域通信における不正接続防止が実現可能となる。   Furthermore, it is possible to prevent unauthorized connection in closed communication within a LAN.

上記のARPリクエストは、例えば、ネットワーク接続時に送信されるARPリクエストであるが、これを逃れた場合の防止策として該不正端末が他の端末に対してアドレスを要求するときのARPリクエストを用いて不正接続端末通信の妨害を行ってもよい。   The above ARP request is, for example, an ARP request transmitted at the time of connection to the network. As a preventive measure in case of escaping this request, the ARP request when the unauthorized terminal requests an address from another terminal is used. Interference with unauthorized connection terminal communication may be performed.

また、上記の第2ステップにおいては、該妨害メッセージを一定時間間隔毎に所定回数繰り返して送信するようにしてもよい。これにより不正端末は自分の個有情報が重複したことを確実に知ることが可能となり、不正接続端末の通信を確実に防止することが可能となる。   Further, in the second step, the disturbing message may be repeatedly transmitted a predetermined number of times at regular time intervals. This makes it possible for an unauthorized terminal to reliably know that its own information has been duplicated, and to reliably prevent unauthorized terminals from communicating.

上記の妨害メッセージとしては、該不正端末が該個有情報の重複状態となるように、送信元アドレスに該不正端末の個有情報を設定した妨害リプライ及び妨害リクエストの内の少なくともいずれか一方から成るものとすることができる。   The jamming message includes at least one of a jamming reply and a jamming request in which the personal information of the fraudulent terminal is set in the source address so that the fraudulent terminal is in an overlapping state of the personal information. It can consist of

すなわち、不正端末を検出したときには、不正端末に対して個有情報が重複していることを検出したときに行われるシーケンスを真似て、妨害ARPリプライ及び妨害ARPリクエストの双方を送信しても良いし、或いは妨害ARPリプライのみを送信しても良く、若しくは重複したときに自分の個有情報が正しいか否かをチェックしに行くための妨害ARPリクエストのみを送信しても良い。   That is, when an unauthorized terminal is detected, both the disturbing ARP reply and the disturbing ARP request may be transmitted by imitating the sequence performed when it is detected that unique information is duplicated for the unauthorized terminal. Alternatively, only the disturbing ARP reply may be transmitted, or only the disturbing ARP request for checking whether or not the personal information is correct in the case of duplication may be transmitted.

上記の個有情報としては、MACアドレス又はIPアドレスのいずれを用いてもよい。   As the personal information, either a MAC address or an IP address may be used.

一方、本発明においては、登録済の端末の各々に対してARPリクエストを順次送信する第1ステップと、該ARPリクエストに応答して返って来たARPリプライから、その端末の個有情報が登録済であるか否かを判定する第2ステップと、該第2ステップで未登録と判定されたとき、該端末を不正端末と見做して該端末の個有情報が重複して存在することを示す妨害メッセージを送信する第3ステップと、を備えることもできる。   On the other hand, in the present invention, the unique information of the terminal is registered from the first step of sequentially transmitting the ARP request to each registered terminal and the ARP reply returned in response to the ARP request. A second step for determining whether or not the terminal has been registered, and when it is determined that the terminal has not been registered in the second step, the terminal is regarded as an unauthorized terminal, and the unique information of the terminal is duplicated And a third step of transmitting a jamming message indicating.

すなわち、第1ステップにおいて予め登録してある端末の各々に対してARPリクエストを順次送信すると、このARPリクエストに応答して端末側からARPリプライが返ってくる。そこで第2ステップでは、このときの端末の個有情報が登録済であるか否かを判定し、更に第3ステップにおいて、上記の第2ステップで未登録と判定したとき、その端末を不正端末と見做して上記と同様の妨害メッセージを送信する。   That is, when an ARP request is sequentially transmitted to each of the terminals registered in advance in the first step, an ARP reply is returned from the terminal side in response to the ARP request. Therefore, in the second step, it is determined whether or not the proprietary information of the terminal at this time is already registered. Further, in the third step, when it is determined that the terminal is not registered in the second step, the terminal is regarded as an unauthorized terminal. As a result, the same obstruction message as above is transmitted.

これにより、不正接続端末の捜索をより強化することが可能となり、上記の場合に万が一ネットワーク不正接続防止策を逃れた場合においても、不正接続端末通信の妨害が可能となる。   As a result, the search for unauthorized connection terminals can be further strengthened, and even if the network illegal connection prevention measures are escaped in the above case, the unauthorized connection terminal communication can be disturbed.

更に本発明では、上記の場合において、該個有情報が判定対象としてアドレス及びVLAN(Virtual LAN)タグを含み、該妨害メッセージが、該アドレス及び該VLANタグを含むことができる。   Further, according to the present invention, in the above case, the unique information may include an address and a VLAN (Virtual LAN) tag as a determination target, and the disturbance message may include the address and the VLAN tag.

すなわち、上記のように端末の固有情報として、アドレス及びVLANタグを用いることにより、VLANを使用したネットワーク環境下においても、そのセグメントと異なるアドレスを付与した端末を接続した場合には不正接続を検出し妨害することが可能となる。   In other words, by using the address and VLAN tag as the unique information of the terminal as described above, even in a network environment using VLAN, if a terminal with a different address from that segment is connected, an unauthorized connection is detected. And can be obstructed.

上記の本発明に係るネットワーク不正接続防止方法を実現する本発明のネットワーク不正接続防止装置は、端末よりLANを介して受信したARPリクエストに含まれる該端末の個有情報が登録済であるか否かを判定する第1手段と、該第1手段で未登録と判定されたとき、該端末を不正端末と見做して該端末の個有情報が重複して存在することを示す妨害メッセージを送信する第2手段と、を備えたことを特徴としている。   The network unauthorized connection prevention apparatus according to the present invention for realizing the network unauthorized connection prevention method according to the present invention described above, whether or not the terminal unique information included in the ARP request received from the terminal via the LAN has been registered. A first means for determining whether or not when the first means determines that the terminal is unregistered, the terminal is regarded as an unauthorized terminal, and an interfering message indicating that there is duplication of personal information of the terminal And a second means for transmitting.

上記のネットワーク不正接続防止装置において、ARPリクエストとして、ネットワーク接続時に送信されるARPリクエスト又は、該不正端末が他の端末に対して個有情報を要求するときのARPリクエストを用いることができる。   In the network unauthorized connection preventing apparatus described above, an ARP request transmitted at the time of network connection or an ARP request when the unauthorized terminal requests private information from another terminal can be used as the ARP request.

また、上記の第2手段は、該妨害メッセージを一定時間間隔毎に所定回数くり返して送信する手段を含むことができる。   Further, the second means may include means for repeatedly transmitting the interference message a predetermined number of times at regular time intervals.

上記のネットワーク不正接続防止装置において、該妨害メッセージは、該不正端末が、該個有情報の重複状態となるように、送信元アドレスに該不正端末の個有情報を設定した妨害リプライ及び妨害リクエストの内の少なくともいずれか一方で構成することができる。   In the network unauthorized connection prevention apparatus, the jamming message includes a jamming reply and a jamming request in which the illegal terminal has the proprietary information of the illegal terminal set in a source address so that the proprietary information is in an overlapping state. It can comprise at least any one of these.

上記の個有情報としては本発明方法と同様に、MACアドレス又はIPアドレスを用いることができる。   As the individual information, a MAC address or an IP address can be used as in the method of the present invention.

さらに本発明では、登録済の端末の各々に対してARPリクエストを順次送信する第1手段と、該ARPリクエストに応答して返って来たARPリプライから、その端末のアドレスが登録済であるか否かを判定する第2手段と、該第2手段で未登録と判定されたとき、該端末を不正端末と見做して該端末のアドレスが重複して存在することを示す妨害メッセージを送信する第3手段と、を備えたことを特徴とするネットワーク不正接続防止装置が提供される。   Further, in the present invention, whether the address of the terminal is registered from the first means for sequentially transmitting the ARP request to each registered terminal and the ARP reply returned in response to the ARP request. A second means for determining whether or not, and when the second means determines that it is not registered, transmits a disturbing message indicating that the terminal address is duplicated by regarding the terminal as an unauthorized terminal There is provided a network unauthorized connection prevention device characterized by comprising the third means.

さらに本発明のネットワーク不正接続防止装置においても、個有情報が判定対象としてアドレス及びVLANタグを含み、該妨害メッセージが該アドレス及び該VLANタグを含むことができる。   Further, in the network unauthorized connection preventing apparatus of the present invention, the unique information can include an address and a VLAN tag as a determination target, and the disturbance message can include the address and the VLAN tag.

以上のように本発明に係るネットワーク不正接続防止方法及び装置によれば、LAN内の不正接続防止を抑制するものであり、イントラネットワーク内の1ノード(パソコンレベル)として接続される装置に実装可能であり、現在運用中のハブ、ファイアーウォール、ルータに実装する必要が無いため、既設のネットワークに影響することなく且つコスト抑制も可能となる。   As described above, according to the network unauthorized connection prevention method and apparatus according to the present invention, the unauthorized connection prevention in the LAN is suppressed, and can be implemented in a device connected as one node (PC level) in the intra network. In addition, since it is not necessary to mount it on a hub, firewall, or router that is currently in operation, costs can be reduced without affecting the existing network.

更に、本発明では、LAN構成(物理構成、論理構成)に依存していないため、LANの構成変更が生じた場合は、本発明のみの設定変更で不正接続防止が可能になり、LAN運用管理者の負担を軽減することが可能となる。   Furthermore, since the present invention does not depend on the LAN configuration (physical configuration, logical configuration), if a LAN configuration change occurs, unauthorized connection can be prevented by changing the settings of the present invention alone, and LAN operation management The burden on the person can be reduced.

更には、従来のようにカスケード接続された場合に正規端末も通信不能になるというようなことが無く、不正接続端末のみを妨害することができる。   Furthermore, when a cascade connection is made as in the prior art, the legitimate terminal does not become incapable of communication, and only the illegally connected terminal can be blocked.

更に本発明ではVLANを使用しているネットワーク環境においても該当するセグメントで使用できないアドレスを設定した不正接続端末の検索又は通信妨害が可能であり、更に本発明装置1台で複数セグメントの制御が可能となる。   Furthermore, in the present invention, even in a network environment using VLAN, it is possible to search for unauthorized connection terminals set with addresses that cannot be used in the corresponding segment or to block communication, and moreover, it is possible to control multiple segments with one device of the present invention. It becomes.

また本発明ではDHCP(Dynamic Host Configuration Protocol)環境でIPアドレスとMACアドレスが動的に変化するようなネットワーク運用でもMACアドレスのみにより不正接続検出するようにした場合、DHCP環境にも適用可能である。   Further, in the present invention, even in a network operation in which the IP address and the MAC address dynamically change in a DHCP (Dynamic Host Configuration Protocol) environment, when the unauthorized connection is detected only by the MAC address, the present invention can be applied to the DHCP environment. .

図1は、本発明に係るネットワーク不正接続防止方法及び装置に用いられるシステム構成例を示したもので、同図(1)は特に、LAN100内に正規端末10,11とネットワーク不正接続防止装置20のみが接続されたシステム構成例を示し、同図(2)は、正規端末10の代わりに、不正端末12が接続されたときのシステム構成例を示している。なお、図中、ARPリクエストはRQ〜で示し、ARPリプライはRP〜で示す。   FIG. 1 shows an example of a system configuration used in a network unauthorized connection prevention method and apparatus according to the present invention, and FIG. 1 (1) particularly shows regular terminals 10 and 11 and network unauthorized connection prevention apparatus 20 in a LAN 100. 2 shows a system configuration example in which only the unauthorized terminal 12 is connected instead of the regular terminal 10. In the figure, the ARP request is indicated by RQ˜, and the ARP reply is indicated by RP˜.

図2は、本発明に係るネットワーク不正接続防止装置20をハブ30を介してVLAN110を構成するセグメントA及びセグメントBに接続したVLAN環境のシステム構成例を示している。   FIG. 2 shows a system configuration example of a VLAN environment in which the network unauthorized connection preventing apparatus 20 according to the present invention is connected to the segment A and the segment B configuring the VLAN 110 via the hub 30.

図1及び図2に示した本発明に係るネットワーク不正接続防止方法を実現する装置の実施例が図3に示されている。   FIG. 3 shows an embodiment of an apparatus for realizing the network unauthorized connection prevention method according to the present invention shown in FIG. 1 and FIG.

この実施例では、ネットワーク不正接続防止装置20は、LAN100とのインタフェース制御及びタグ(VLANタグ)の解析又は付与を行うネットワークインタフェース部21と、ARPフレームの解析及び生成を行うARP処理部22と、接続端末からのアドレス等の端末個有情報とアドレス情報データベース部24内の情報との一致/不一致を検索又は検出する不正接続判定部23と、この不正接続判定部23で不正接続と判定した場合に妨害メッセージの送信を指示する妨害処理部25と、ネットワーク内に存在する不正接続端末を捜索するメッセージの送信を指示する捜索要求処理部26とで構成されている。   In this embodiment, the network unauthorized connection prevention device 20 includes an interface control with the LAN 100 and a network interface unit 21 for analyzing or giving a tag (VLAN tag), an ARP processing unit 22 for analyzing and generating an ARP frame, When the unauthorized connection determination unit 23 searches for or detects a match / mismatch between the terminal unique information such as the address from the connected terminal and the information in the address information database unit 24, and the unauthorized connection determination unit 23 determines that the connection is unauthorized. A jamming processing unit 25 for instructing transmission of a jamming message and a search request processing unit 26 for instructing transmission of a message for searching for an illegally connected terminal existing in the network.

そして更に、ネットワークインタフェース部21は、VLANタグ解析部211とVLANタグ付与部212とで構成されており、ARP処理部22は、ARP受信部221とARP送信部222とで構成されており、不正接続判定部23は不正検出部231を備えており、妨害処理部25は妨害制御部251と受信アドレスバッファ252とタイマー制御部253とで構成されており、捜索要求処理部26は、捜索制御部261とタイマー処理部262とで構成されている。   Furthermore, the network interface unit 21 includes a VLAN tag analysis unit 211 and a VLAN tag assignment unit 212, and the ARP processing unit 22 includes an ARP reception unit 221 and an ARP transmission unit 222. The connection determination unit 23 includes a fraud detection unit 231, the interference processing unit 25 includes an interference control unit 251, a reception address buffer 252 and a timer control unit 253, and the search request processing unit 26 includes a search control unit. 261 and a timer processing unit 262.

以下、図3に示した本発明に係るネットワーク不正接続防止方法を実現する装置の実施例の動作を、図1及び図2並びに図4以降を参照して説明する。
実施例(1):図4〜6
まず、図4(1)は図1(1)に示したように、正規端末10及び11とネットワーク不正接続防止装置20がLAN100に接続されたときのシーケンス例を示したものである。 The operation of the embodiment of the apparatus for realizing the network unauthorized connection prevention method according to the present invention shown in FIG. 3 will be described below with reference to FIGS.
Example (1): FIGS. 4-6
First, FIG. 4 (1) shows a sequence example when the regular terminals 10 and 11 and the network unauthorized connection prevention device 20 are connected to the LAN 100 as shown in FIG. 1 (1).

このシーケンス例において、正規端末10は、LAN100に接続されると、その個有情報であるIPアドレスの重複確認を行うため、正規端末10の、やはり個有情報であるMACアドレスを要求する正規ARPリクエストRQ1がブロードキャストで送信される(ステップS1)。正規端末11は自分宛のARPリクエストではないため、何も応答を返さない(ステップS2)。   In this sequence example, when the legitimate terminal 10 is connected to the LAN 100, the legitimate ARP requesting the MAC address, which is also the private information, of the legitimate terminal 10, in order to confirm the duplication of the IP address that is the private information. Request RQ1 is transmitted by broadcast (step S1). Since the legitimate terminal 11 is not an ARP request addressed to itself, no response is returned (step S2).

一方、これと同時に、ネットワーク不正接続防止装置20においても正規ARPリクエストRQ1はブロードキャストで送られて来るため、ネットワーク不正接続防止装置20においては、ネットワークインタフェース部21において、図5のフローチャートに示すようにパケットを受信する(ステップS401)とともに、VLANタグ解析部211でVLANタグ情報の解析を行う(ステップS402)。   On the other hand, at the same time, the regular ARP request RQ1 is also sent by broadcast in the network unauthorized connection prevention device 20, so in the network unauthorized connection prevention device 20, in the network interface unit 21, as shown in the flowchart of FIG. The packet is received (step S401), and the VLAN tag analysis unit 211 analyzes the VLAN tag information (step S402).

なお、このステップS402のVLANタグ解析は点線で示したように、この実施例(1)では特に用いず、後述の実施例(3)で用いるものであるので、この実施例(1)では説明せず、実施例(3)において説明を行う。   Note that the VLAN tag analysis in step S402 is not particularly used in this embodiment (1) and is used in the embodiment (3) described later, as shown by the dotted line. Without mentioning, it will be described in Example (3).

この後、ARP処理部22が起動され、ARP受信部221でARPフレームか否かの判定(ステップS411)が行われ、送信元・送信先のアドレス情報(MACアドレス、IPアドレス)の抽出及び解析を行う(ステップS412)。ステップS411において受信パケットがARPフレームではないことが分かったときにはこの受信パケットを無視し、ステップS401に戻るが、ARPフレームであることが分かったときには、ARP処理部22は、ステップS412で抽出したアドレス情報を入力情報として不正接続判定部23を起動し、不正接続判定部23はその中の不正検出部231を用いて、その入力アドレス情報が、ネットワーク管理者によって予めアドレス情報データベース部24に登録されたアドレス情報内に存在するか否かを判定する(ステップS421及びS422)。   Thereafter, the ARP processing unit 22 is activated, and the ARP receiving unit 221 determines whether or not the frame is an ARP frame (step S411), and extracts and analyzes source / destination address information (MAC address, IP address). Is performed (step S412). When it is determined in step S411 that the received packet is not an ARP frame, the received packet is ignored and the process returns to step S401. However, when it is determined that the received packet is an ARP frame, the ARP processing unit 22 extracts the address extracted in step S412. The unauthorized connection determination unit 23 is activated using the information as input information, and the unauthorized connection determination unit 23 uses the unauthorized detection unit 231 therein, and the input address information is registered in the address information database unit 24 in advance by the network administrator. It is determined whether or not it exists in the address information (steps S421 and S422).

このステップS422における判定処理によって、入力アドレス情報がアドレス情報データベース部24内にこの例では存在するため、端末10を正常接続と見做し、上記の正規ARPリクエストRQ1を無視する(ステップS3)ことにより正規端末10は通信可能な状態になり、図5のフローチャートはステップS422からステップS401に戻ってパケット受信状態になる。   As a result of the determination process in step S422, the input address information exists in the address information database unit 24 in this example, so the terminal 10 is regarded as a normal connection, and the regular ARP request RQ1 is ignored (step S3). Thus, the authorized terminal 10 becomes communicable, and the flowchart of FIG. 5 returns from step S422 to step S401 to enter the packet reception state.

一方、図1(2)に示すように、不正端末12がLAN100に接続されたような場合、図4(2)に示すシーケンスが実行されることになる。   On the other hand, as shown in FIG. 1 (2), when the unauthorized terminal 12 is connected to the LAN 100, the sequence shown in FIG. 4 (2) is executed.

まず、不正端末12が図4(1)と同様に正規ARPリクエストRQ2を送信し、IPアドレスの重複確認が行われる(ステップS11)。このときの正規ARPリクエストRQ2のフレームフォーマットが図6に示されている。図示のように不正端末10の正規ARPリクエストRQ2においては、タイプ=“806”(16進数)がARPフレームであることを示し、オプションコード=“01”がARPリクエストであることを示している。   First, the unauthorized terminal 12 transmits a regular ARP request RQ2 as in FIG. 4 (1), and IP address duplication is confirmed (step S11). The frame format of the regular ARP request RQ2 at this time is shown in FIG. As shown in the figure, in the regular ARP request RQ2 of the unauthorized terminal 10, type = “806” (hexadecimal number) indicates an ARP frame, and option code = “01” indicates an ARP request.

このようなARPリクエストRQ2には、送信元MACアドレス情報エリアD1101において不正端末10のMACアドレスが設定され、送信元IPアドレス情報エリアD1102においては不正端末10のIPアドレスが設定され、送信先MACアドレス情報エリアD1103には、ブロードキャストであるため特にアドレスは設定されておらず、そして送信先IPアドレス情報エリアD1104には不正端末10のIPアドレスが設定されて送信される。   In such an ARP request RQ2, the MAC address of the unauthorized terminal 10 is set in the source MAC address information area D1101, the IP address of the unauthorized terminal 10 is set in the source IP address information area D1102, and the destination MAC address The address is not set in the information area D1103 because it is broadcast, and the IP address of the unauthorized terminal 10 is set and transmitted in the transmission destination IP address information area D1104.

正規端末11は自分宛のARPリクエストではないため、何も応答は返さない(ステップS12)。正規ARPリクエストRQ2を同時に受信するネットワーク不正接続防止装置20においては不正検出を行う(ステップS13)。   Since the regular terminal 11 is not an ARP request addressed to itself, no response is returned (step S12). The network unauthorized connection prevention device 20 that receives the regular ARP request RQ2 at the same time performs unauthorized detection (step S13).

すなわち、ネットワーク不正接続防止装置20においては、図5に示したステップS401〜S422を実行することにより、不正接続判定部23における不正検出部231が、アドレス情報データベース部24内に該入力アドレス情報が存在しないことを検出し、端末12を不正接続と見做し、妨害処理部25の妨害制御部251を起動する。   That is, the network unauthorized connection prevention device 20 executes steps S401 to S422 shown in FIG. 5 so that the unauthorized detection unit 231 in the unauthorized connection determination unit 23 stores the input address information in the address information database unit 24. It detects that it does not exist, regards the terminal 12 as an unauthorized connection, and activates the disturbance control unit 251 of the disturbance processing unit 25.

妨害制御部251では、図6に示した正規ARPリクエストRQ2における送信元IPアドレス情報エリアD1102と送信先IPアドレス情報エリアD1104が同一であることからネットワーク接続時であると判定する(ステップS431)。   The disturbance control unit 251 determines that the network is connected because the transmission source IP address information area D1102 and the transmission destination IP address information area D1104 in the regular ARP request RQ2 shown in FIG. 6 are the same (step S431).

この結果、妨害制御部211は、不正端末12のアドレス情報を入力し、妨害ARPリプライ及び妨害ARPリクエストの送信要求をARP処理部22のARP送信部222に対して行う(ステップS432)。   As a result, the jamming control unit 211 inputs the address information of the unauthorized terminal 12, and sends a jamming ARP reply and a jamming ARP request transmission request to the ARP transmission unit 222 of the ARP processing unit 22 (step S432).

ARP処理部22のARP送信部222は、図6の妨害ARPリプライRP1に示すように、送信元MACアドレス情報エリアD1105において、自分のMACアドレス、すなわちネットワーク不正接続防止装置20のMACアドレスを設定し、送信元IPアドレス情報エリアD1106に不正端末12のIPアドレスを設定し、送信先MACアドレス情報エリアD1107に不正端末12のMACアドレスを設定し、そして送信先IPアドレス情報エリアD1108に不正端末12のIPアドレスを設定し(ステップS441)たARPメッセージを生成し(ステップS441)、送信する(ステップS452及びS14)。なお、図5においては、ここにおいてもステップS451としてVLANタグ付与を行っているが、これも実施例(3)において説明する。   The ARP transmission unit 222 of the ARP processing unit 22 sets its own MAC address, that is, the MAC address of the network unauthorized connection prevention device 20 in the source MAC address information area D1105, as shown in the disturbing ARP reply RP1 of FIG. The IP address of the unauthorized terminal 12 is set in the source IP address information area D1106, the MAC address of the unauthorized terminal 12 is set in the destination MAC address information area D1107, and the unauthorized terminal 12 is set in the destination IP address information area D1108. An ARP message with the IP address set (step S441) is generated (step S441) and transmitted (steps S452 and S14). In FIG. 5, VLAN tagging is also performed here as step S451, which will also be described in Example (3).

また、ネットワーク不正接続防止装置20においては、図6に示す妨害ARPリクエストRQ3を送信するため、送信元MACアドレス情報エリアD1109にネットワーク不正接続防止装置20のMACアドレスを設定し、送信元IPアドレス情報エリアD1110に不正端末12のIPアドレスを設定し、送信先IPアドレス情報エリアD1112に不正端末12のIPアドレスを設定したARPメッセージを生成し、送信する(ステップS441,S452, S15)。   Further, in order to transmit the disturbing ARP request RQ3 shown in FIG. 6 in the network unauthorized connection prevention device 20, the MAC address of the network unauthorized connection prevention device 20 is set in the source MAC address information area D1109, and the source IP address information An ARP message in which the IP address of the unauthorized terminal 12 is set in the area D1110 and the IP address of the unauthorized terminal 12 is set in the transmission destination IP address information area D1112 is generated and transmitted (steps S441, S452, and S15).

これにより、不正端末12はIPアドレスが重複していることを知らされるので、通信を止めることになる。   As a result, since the unauthorized terminal 12 is informed that the IP address is duplicated, the communication is stopped.

なお、再度不正端末12から正規ARPリクエストRQ4が送信されるようなことがあった場合(ステップS16)、正規端末11においてはIPアドレスが重複していないため無視されるが(ステップS17)、ネットワーク不正接続防止装置20においては不正検出が行われ(ステップS18)、上記と同様にして妨害ARPリプライRP2が送信され(ステップS19)、これとともに妨害ARPリクエストRQ5を送信する(ステップS20)ことにより、不正端末12においては、IPアドレスが重複したことにより完全に閉塞したように見え、通信不能と判断することになる(ステップS21)。
実施例(2):図7、図8、図5
この実施例(2)は、不正端末から正規端末への通信時における不正検出及び妨害を行うものであり、システム構成は、図1(2)に示すものに対応している。 In addition, when the regular ARP request RQ4 is transmitted from the unauthorized terminal 12 again (step S16), the IP address is not duplicated in the regular terminal 11 but is ignored (step S17). In the unauthorized connection prevention device 20, unauthorized detection is performed (step S18), and the disturbing ARP reply RP2 is transmitted in the same manner as described above (step S19), and together with this, the disturbing ARP request RQ5 is transmitted (step S20), The unauthorized terminal 12 appears to be completely blocked due to duplication of the IP address, and it is determined that communication is impossible (step S21).
Example (2): FIG. 7, FIG. 8, FIG.
This embodiment (2) performs fraud detection and interference during communication from a fraudulent terminal to a legitimate terminal, and the system configuration corresponds to that shown in FIG. 1 (2).

まず、図7(1)は端末間の正常接続時のシーケンス例を示したもので、正規端末10が正規端末11に対し通信を開始したとき、正規端末10は正規ARPリクエストRQ11を送信することにより正規端末のMACアドレスを要求する(ステップS31)。   First, Fig. 7 (1) shows an example of a sequence at the time of normal connection between terminals. When the regular terminal 10 starts communication with the regular terminal 11, the regular terminal 10 sends a regular ARP request RQ11. To request the MAC address of the authorized terminal (step S31).

この正規ARPリクエストRQ11を受信した正規端末11は自分のMACアドレスを格納した正規ARPリプライRP11を正規端末10に対して返信する(ステップS33)ことで正規端末10から正規端末11へのIP通信(1)(ステップS34)が可能となる。なお、正規ARPリクエストRQ11を正規端末11と同時に受信したネットワーク不正接続防止装置20においては、正常時は、図5のステップS401〜S422を実行することによりステップS422において不正アドレスではないことが分かるので、この正規ARPリクエストRQ11を無視する(ステップS32)。   The regular terminal 11 that has received the regular ARP request RQ11 returns a regular ARP reply RP11 storing its own MAC address to the regular terminal 10 (step S33), so that IP communication from the regular terminal 10 to the regular terminal 11 ( 1) (Step S34) becomes possible. Note that in the network unauthorized connection prevention device 20 that has received the regular ARP request RQ11 at the same time as the regular terminal 11, when it is normal, it can be seen that it is not an unauthorized address in step S422 by executing steps S401 to S422 in FIG. The regular ARP request RQ11 is ignored (step S32).

また、正規端末11は正規端末10へのIP通信(2)を実現するため、正規ARPリクエストRQ12を送信する(ステップS35)ことで正規端末10のMACアドレス要求後、正規端末10からの正規ARPリプライRP12を受信する(ステップS37)ことで正規端末11は正規端末10のMACアドレスを取得するので、双方向でのIP通信(1)及び(2)が確立される。   Further, in order to realize IP communication (2) to the regular terminal 10, the regular terminal 11 transmits a regular ARP request RQ12 (step S35), thereby requesting the regular ARP from the regular terminal 10 after requesting the MAC address of the regular terminal 10. By receiving the reply RP12 (step S37), the authorized terminal 11 acquires the MAC address of the authorized terminal 10, so that bidirectional IP communication (1) and (2) is established.

なお、ステップS35で送信された正規ARPリクエストRQ12は、ネットワーク不正接続防止装置20においても受信されるが、正常時は上記と同様に無視されることになる(ステップS36)。   The regular ARP request RQ12 transmitted in step S35 is also received by the network unauthorized connection prevention device 20, but is ignored in the same manner as described above (step S36).

一方、図7(2)に示すように、正規端末10の代わりに不正端末12がLAN100に接続された場合、不正端末12が正規端末11に対して通信を開始したとき、不正端末12は図8に示す正規ARPリクエストRQ13を送信することで正規端末11のMACアドレスを要求する(ステップS41)。正規ARPリクエストRQ13を受信した正規端末11は自分のMACアドレスを格納した正規ARPリプライRP13を不正端末12に対して送信する(ステップS43)ことで不正端末12から正規端末11へのIP通信(1)が可能となる(ステップS44)。   On the other hand, as shown in FIG. 7 (2), when the unauthorized terminal 12 is connected to the LAN 100 instead of the authorized terminal 10, when the unauthorized terminal 12 starts communication with the authorized terminal 11, the unauthorized terminal 12 The MAC address of the authorized terminal 11 is requested by transmitting the authorized ARP request RQ13 shown in FIG. 8 (step S41). The legitimate terminal 11 that has received the legitimate ARP request RQ13 transmits the legitimate ARP reply RP13 storing its own MAC address to the fraudulent terminal 12 (step S43), whereby IP communication from the fraudulent terminal 12 to the legitimate terminal 11 (1 ) Is possible (step S44).

また、正規端末11は不正端末12へのIP通信(2)を実現するために、正規ARPリクエストRQ14を送信する(ステップS45)ことで不正端末12のMACアドレスを要求し、これに応答して不正端末12からの正規ARPリプライRP14が送られて来る(ステップS47)ことで正規端末11は不正端末12のMACアドレスを取得し双方向でのIP通信(1)及び(2)が確立される(ステップS44,S48)。   The authorized terminal 11 requests the MAC address of the unauthorized terminal 12 by sending an authorized ARP request RQ14 (step S45) in order to realize IP communication (2) to the unauthorized terminal 12, and in response to this, By sending the regular ARP reply RP14 from the unauthorized terminal 12 (step S47), the authorized terminal 11 obtains the MAC address of the unauthorized terminal 12, and bidirectional IP communication (1) and (2) is established. (Steps S44, S48).

一方、正規ARPリクエストRQ13をブロードキャストで受信したネットワーク不正接続防止装置20は、不正接続判定部23における不正接続部231によって、入力アドレス情報がネットワーク管理者によって予め登録されたアドレス情報データベース部24に存在するか否かを判定し(図5のステップS422)、この結果、アドレス情報データベース部24内に入力アドレス情報が存在しない場合、不正接続と見做し(ステップS42)、アドレス情報を入力し、妨害処理部25内の妨害制御部251を起動する。なお、正規ARPリクエストRQ14を受信したときには、ネットワーク不正接続防止装置20は正規の端末であることが分かるので無視する(ステップS46)。   On the other hand, the network unauthorized connection prevention device 20 that has received the regular ARP request RQ13 by broadcast exists in the address information database unit 24 in which the input address information is registered in advance by the network administrator by the unauthorized connection unit 231 in the unauthorized connection determination unit 23. (Step S422 in FIG. 5), and as a result, if the input address information does not exist in the address information database unit 24, it is regarded as an unauthorized connection (step S42), the address information is input, The disturbance control unit 251 in the disturbance processing unit 25 is activated. When the regular ARP request RQ14 is received, the network unauthorized connection prevention device 20 is ignored because it is known to be a regular terminal (step S46).

妨害制御部251においては、送信元のアドレス情報を受信アドレスバッファ252に格納した後、送信元のアドレス情報と送信先のアドレス情報を比較し、一致しない場合、不正端末12から正規端末11への通信と判断する(ステップS431)。   In the jamming control unit 251, after the source address information is stored in the reception address buffer 252, the source address information is compared with the destination address information. The communication is determined (step S431).

不正接続を認識した妨害制御部251は、アドレス情報を入力とし、ARP処理部22内のARP送信部222を起動する。ARP送信部222は入力情報を元にARPメッセージとしての妨害ARPリクエストを編集する。   Recognizing the unauthorized connection, the disturbance control unit 251 receives the address information and activates the ARP transmission unit 222 in the ARP processing unit 22. The ARP transmitter 222 edits the disturbing ARP request as an ARP message based on the input information.

すなわち、ARP送信部222は意図的に、ARPリクエスト内の送信元MACアドレス情報エリアD1205においてネットワーク不正接続防止装置20のMACアドレスを設定し、送信元IPアドレス情報エリアD1206に不正端末12のIPアドレスを設定し、送信先IPアドレス情報エリアD1208に不正端末12のIPアドレスをそれぞれ設定して、図8に示す妨害ARPリクエストRQ15を送信する(ステップS49)。   That is, the ARP transmitter 222 intentionally sets the MAC address of the network unauthorized connection prevention device 20 in the source MAC address information area D1205 in the ARP request, and the IP address of the unauthorized terminal 12 in the source IP address information area D1206. Is set, the IP address of the unauthorized terminal 12 is set in the destination IP address information area D1208, and the disturbing ARP request RQ15 shown in FIG. 8 is transmitted (step S49).

妨害ARPリクエストRQ15を受信した不正端末12は、自分自身が使用しているIPアドレスをネットワーク不正接続防止装置20が使用していることから、IPアドレスが重複していることを認識するため、正規端末11へのIP通信(3)(ステップS50)を妨害することが可能となる。   The unauthorized terminal 12 that received the disturbing ARP request RQ15 recognizes that the IP address used by itself is used by the network unauthorized connection prevention device 20 and therefore the IP address is duplicated. It is possible to block IP communication (3) (step S50) to the terminal 11.

また、不正端末12は、妨害ARPリクエストRQ15を受信した後は、正規端末11宛のIPパケット(ステップS50)はネットワーク不正接続防止装置20に向けて流れるため(ステップS51)、通信は成立しないことになる。このときネットワーク不正接続防止装置20は正規端末11からのIP通信(3)を無視する(ステップS52)。   Also, after the unauthorized terminal 12 receives the disturbing ARP request RQ15, the IP packet (step S50) addressed to the authorized terminal 11 flows toward the network unauthorized connection prevention device 20 (step S51), so that communication cannot be established. become. At this time, the network unauthorized connection prevention device 20 ignores the IP communication (3) from the regular terminal 11 (step S52).

なお、ネットワーク不正接続防止装置20において、不正検出したとき(ステップS42)から、妨害ARPリクエストRQ15を送信する(ステップS49)まで時間がかかっているように示されているが、実際には即応答することになる。   The network unauthorized connection prevention device 20 shows that it takes time from when an unauthorized detection is detected (step S42) until the jamming ARP request RQ15 is transmitted (step S49). Will do.

また、万が一ネットワーク上でロスが発生し、不正端末12から正規端末11への通信を妨害できなかった場合の救済対策として、1回目の妨害ARPリクエストRQ15を送信した後、妨害処理部25内のタイマー制御部253は受信アドレスバッファ252内に書き込まれたアドレス情報に対し、一定間隔でこの例では3回、妨害制御部25を経由して妨害ARPリクエストRQ16〜RQ18の送信要求を実施することで、通信を妨害している(ステップS53,S57, S61)。   In addition, in the unlikely event that a loss occurs on the network and communication from the unauthorized terminal 12 to the authorized terminal 11 cannot be interrupted, after sending the first disturbing ARP request RQ15, The timer control unit 253 performs transmission requests for the disturbing ARP requests RQ16 to RQ18 via the jamming control unit 25 three times at regular intervals with respect to the address information written in the reception address buffer 252 in this example. The communication is interrupted (steps S53, S57, S61).

そして、タイマー満了時(ステップS434)、タイマー制御部253は受信アドレスバッファ252内に書き込まれた対応アドレス情報を解放することで不正端末12への妨害ARPメッセージの送信を中止することになる。   When the timer expires (step S434), the timer control unit 253 cancels the transmission of the disturbing ARP message to the unauthorized terminal 12 by releasing the corresponding address information written in the reception address buffer 252.

また、妨害ARPリクエストを受信したとき、不正端末12においては一時的に閉塞したように見えるが、しばらくするとIPパケット送信可能となるので(ステップS65)、上述したように数回妨害ARPリクエストRQ16〜RQ18を送信することが好ましい。これらの各妨害ARPリクエストに対して不正端末12からのIP通信(3)(ステップS54,S58, S62)はそれぞれ無視される(ステップS56, S60, S64)。
実施例(3):図9〜図11
この実施例(3)は、ネットワーク不正接続防止装置20から、ネットワークに存在する不正端末の捜索を行う実施例を示したものである。 Also, when a disturbing ARP request is received, it appears that the unauthorized terminal 12 is temporarily blocked, but since it becomes possible to transmit an IP packet after a while (step S65), as described above, the disturbing ARP request RQ16 ~ It is preferable to send RQ18. The IP communication (3) (steps S54, S58, S62) from the unauthorized terminal 12 is ignored for each of these disturbing ARP requests (steps S56, S60, S64).
Example (3): FIGS. 9 to 11
This embodiment (3) shows an embodiment in which the unauthorized terminal existing in the network is searched from the unauthorized network connection preventing apparatus 20.

まずこの実施例においては、ネットワーク不正接続防止装置20は、捜索要求処理部26内のタイマー処理部262がタイマー満了時(図10のステップS501)、捜索制御部261を起動する。捜索制御部261は全端末のIPアドレスを検索するために、アドレス情報データベース部24に対しARP送出先アドレスデータベース検索の指示を出す(ステップS502)。   First, in this embodiment, the network unauthorized connection prevention device 20 activates the search control unit 261 when the timer processing unit 262 in the search request processing unit 26 expires (step S501 in FIG. 10). The search control unit 261 issues an ARP transmission destination address database search instruction to the address information database unit 24 in order to search the IP addresses of all terminals (step S502).

この結果、ARP送出先アドレスが判明すると、捜索要求処理部26はARP送信部222に対し、ARPリクエスト送信要求(ステップS503, S504)を指示し、捜索制御部261からの入力情報に基づき、ARPメッセージ(ARPリクエスト)の生成を行う(ステップS511)。   As a result, when the ARP destination address is found, the search request processing unit 26 instructs the ARP transmission unit 222 to send an ARP request transmission request (steps S503 and S504), and based on the input information from the search control unit 261, A message (ARP request) is generated (step S511).

このときのメッセージ内容は、図11の正規ARPリクエストRQ21に示すように、送信元MACアドレス情報エリアD1301にネットワーク不正接続防止装置20のMACアドレスを設定し、送信元IPアドレス情報エリアD1302にネットワーク不正接続防止装置20のIPアドレスを設定し、送信先IPアドレス情報エリアD1304にARP送出先アドレスデータベース検索(ステップS502)によって判明した端末のIPアドレス(図示の例では正規端末11のIPアドレス)が設定される。   As shown in the regular ARP request RQ21 in FIG. 11, the message content at this time is set the MAC address of the network unauthorized connection prevention device 20 in the source MAC address information area D1301, and the network illegal in the source IP address information area D1302. Set the IP address of the connection prevention device 20, and set the IP address of the terminal (IP address of the regular terminal 11 in the example shown) found in the destination IP address information area D1304 by the ARP destination address database search (step S502) Is done.

そして、ARP送信部222は、ネットワークインタフェース部21からの捜索ARPリクエスト送信指示(ステップS522)により、正規ARPリクエストRQ21をLAN100に送信する(ステップS522)。   Then, the ARP transmitter 222 transmits the normal ARP request RQ21 to the LAN 100 in response to a search ARP request transmission instruction (step S522) from the network interface unit 21 (step S522).

このようにして、ネットワーク不正接続防止装置20から送信された正規ARPリクエストRQ21(図9のステップS71)が正規端末11宛の正規ARPリクエストの場合、正規端末11は正規ARPリプライRP21をネットワーク不正接続防止装置20に返す(ステップS72)。この正規ARPリプライRP21のメッセージ内容は、図11に示すように、タイプ=“806”でARPフレームであることが示され、オプションコード=“02”でARPリプライであることが設定されるとともに、送信元MACアドレス情報エリアD1305に正規端末11のMACアドレスが設定され、送信元IPアドレス情報エリアD1306に正規端末11のIPアドレスが設定され、送信先IPアドレス情報エリアD1307にネットワーク不正接続防止装置20のMACアドレスが設定され、そして送信先IPアドレス情報エリアD1308にネットワーク不正接続防止装置20のIPアドレスが設定されることになる。   In this way, when the regular ARP request RQ21 (step S71 in FIG. 9) transmitted from the network unauthorized connection prevention device 20 is a regular ARP request addressed to the regular terminal 11, the regular terminal 11 connects the regular ARP reply RP21 to the network illegally. Return to the prevention device 20 (step S72). As shown in FIG. 11, the message content of this regular ARP reply RP21 indicates that the type = “806” is an ARP frame, the option code = “02” is set to be an ARP reply, The MAC address of the legitimate terminal 11 is set in the source MAC address information area D1305, the IP address of the legitimate terminal 11 is set in the source IP address information area D1306, and the network unauthorized connection prevention device 20 is set in the destination IP address information area D1307. MAC address is set, and the IP address of the network unauthorized connection prevention device 20 is set in the destination IP address information area D1308.

ネットワーク不正接続防止装置20が正規ARPリプライRP21を受信すると、上述したように図5のステップS422により、不正でないと判断して無視する(ステップS74)。   When the network unauthorized connection preventing apparatus 20 receives the regular ARP reply RP21, it is determined that the network unauthorized connection preventing apparatus 20 is not unauthorized by step S422 in FIG. 5 as described above (step S74).

更に、次のARP送出先アドレス検索が、捜索要求処理部26からのARP送出先アドレスデータベース検索指示(ステップS502)によって再開される。その後の制御方法は上記と同様に実行される。図9の例では、正規ARPリクエストRQ24及びその他全IPアドレスに正規ARPリクエストを送信する(ステップS84)。図示の例では、端末11及び10は応答しない(ステップS82,S83)。   Further, the next ARP destination address search is resumed by an ARP destination address database search instruction (step S502) from the search request processing unit 26. Subsequent control methods are executed in the same manner as described above. In the example of FIG. 9, a regular ARP request is transmitted to the regular ARP request RQ24 and all other IP addresses (step S84). In the illustrated example, the terminals 11 and 10 do not respond (steps S82 and S83).

そして、ARP送出先アドレスデータベース検索指示(ステップS502)により全端末のIPアドレスにARPリクエストを送信し終えると(ステップS85)、全処理終了(ステップS503)となり、不正端末検索フローが終了する。このとき、タイマー処理部262はリセットされ、タイマーが満了になると再び不正端末検索フローが開始され(ステップS86)、ネットワーク不正接続防止装置20から正規端末11宛の正規ARPリクエストRQ21が再度送信され(ステップS87)、正規端末11からは上記と同様に正規ARPリプライRP21が返送される(ステップS88)。   When the ARP request destination database search instruction (step S502) finishes sending ARP requests to the IP addresses of all terminals (step S85), the whole process ends (step S503), and the unauthorized terminal search flow ends. At this time, the timer processing unit 262 is reset, and when the timer expires, the unauthorized terminal search flow is started again (step S86), and the authorized ARP request RQ21 addressed to the authorized terminal 11 is transmitted again from the unauthorized network connection preventing device 20 ( In step S87), the regular terminal 11 returns the regular ARP reply RP21 in the same manner as described above (step S88).

一方、ネットワーク不正接続防止装置20は、正規ARPリプライRP21を受信した後、図示の如く不正端末12宛の正規ARPリクエストRQ22を送信したとすると(ステップS75)、不正端末11から正規ARPリプライRP22を受信した結果(ステップS77)、上述したように図5のステップS422において不正と判定した場合には(ステップS78)、妨害ARPリクエストRQ23を送信する(ステップS79)。この妨害ARPリクエストRQ23は図8に示した妨害ARPリクエストRQ15〜RQ18と同様のものであり、これを不正端末12に送信することによって、不正端末12においてはIPアドレスが重複することとなり通信妨害を可能にする。   On the other hand, if the network unauthorized connection prevention device 20 receives the regular ARP reply RP21 and then sends a regular ARP request RQ22 addressed to the unauthorized terminal 12 as shown in the figure (step S75), the unauthorized terminal 11 sends the authorized ARP reply RP22. As a result of the reception (step S77), as described above, when it is determined to be illegal in step S422 of FIG. 5 (step S78), the disturbing ARP request RQ23 is transmitted (step S79). This disturbing ARP request RQ23 is the same as the disturbing ARP requests RQ15 to RQ18 shown in FIG. 8. By transmitting this to the unauthorized terminal 12, the IP address is duplicated in the unauthorized terminal 12, causing communication interference. to enable.

なお、上記と同様に妨害ARPリクエストを受信したときには一時的に閉塞したように見えるがしばらくするとIPパケット送信可能な状態となる(ステップS80)ので、この実施例においても、タイマーにより繰り返し妨害ARPリクエストを送信することが好ましい。
実施例(4):図12及び図5
この実施例(4)は上記の実施例(1)の変形例を示すものである。すなわち、図12を図6と比較すると分かるように、不正端末12からの正規ARPリクエストRQ2に関しては、図6のフレームではVLANタグが付いていないが、図12の実施例においては、VLANタグが追加され、図2に示すVLAN環境のネットワークに対応させている。 In the same way as above, when a disturbing ARP request is received, it seems to be temporarily blocked, but after a while the IP packet can be sent (step S80), so in this embodiment also the disturbing ARP request is repeated by the timer. Is preferably transmitted.
Example (4): FIGS. 12 and 5
This embodiment (4) shows a modification of the above embodiment (1). That is, as can be seen by comparing FIG. 12 with FIG. 6, regarding the regular ARP request RQ2 from the unauthorized terminal 12, there is no VLAN tag in the frame of FIG. 6, but in the embodiment of FIG. Added to support the VLAN environment network shown in Figure 2.

すなわち、上記の実施例(1)において、図5に示すステップS402においてVLANタグの解析を行い、ステップS451においてVLANタグの付与を行う点が異なっており、ネットワーク不正接続防止装置20は、正規ARPリクエストRQ2を受信すると(図4(2)のステップS13)、ネットワークインタフェース部21内のVLANタグ解析部211で受信パケット内のVLANタグ情報の有無を判定し、VLANタグ情報が有る場合にはこのVLANタグ情報を解析し(ステップS402)、VLANタグ情報を上記のアドレス情報に加えた形の入力情報としてARP処理部22を起動し、ARP受信部221でARPメッセージか否かの判定を行い(ステップS411)、送信元・送信先のアドレス情報(MACアドレス、IPアドレス)の抽出を行う。   That is, in the above embodiment (1), the VLAN tag is analyzed in step S402 shown in FIG. 5 and the VLAN tag is assigned in step S451. When the request RQ2 is received (step S13 in FIG. 4 (2)), the VLAN tag analysis unit 211 in the network interface unit 21 determines the presence / absence of VLAN tag information in the received packet. The VLAN tag information is analyzed (step S402), the ARP processing unit 22 is activated as input information obtained by adding the VLAN tag information to the above address information, and the ARP receiving unit 221 determines whether or not it is an ARP message ( Step S411), the source / destination address information (MAC address, IP address) is extracted.

ARP受信部221でARPメッセージと判定したARP処理部22は、抽出したVLANタグ情報及びアドレス情報を入力情報として不正接続判定部23を起動する。起動された不正接続判定部23は不正検出部231により、入力VLANタグ情報及び入力アドレス情報の組がネットワーク管理者によって予め登録されたアドレス情報データベース部224に存在するか否かを判定する(ステップS422)。   The ARP processing unit 22 determined as an ARP message by the ARP reception unit 221 activates the unauthorized connection determination unit 23 using the extracted VLAN tag information and address information as input information. The activated unauthorized connection determination unit 23 determines whether the combination of the input VLAN tag information and the input address information exists in the address information database unit 224 registered in advance by the network administrator by the fraud detection unit 231 (Step S1). S422).

この判定処理によって、アドレス情報データベース部24内に入力VLANタグ情報及び入力アドレス情報の組が存在する時には、図4(1)に示すようなシーケンスとなるが、存在しない場合には、不正接続と見做し、妨害処理部25内の妨害制御部251を起動する。   With this determination process, when the set of input VLAN tag information and input address information exists in the address information database unit 24, the sequence is as shown in FIG. 4 (1). The interference control unit 251 in the interference processing unit 25 is activated.

妨害制御部251では、ステップS431において、送信元IPアドレス情報エリアD1102と送信先IPアドレス情報エリアD1104が同一であることから、ネットワーク接続時と判断してVLANタグ情報及び不正端末12のアドレス情報を入力情報とし、妨害ARPリプライ及び妨害ARPリクエスト送信要求を、ARP処理部22内のARP送信部222に対して行う。ARP送信部222は、入力情報を元に上記と同様にARPメッセージを生成する(ステップS441)。ARP処理部22は、生成したメッセージ及びVLANタグ情報を入力してネットワークインタフェース部21を起動する。   In the disturbance control unit 251, in step S431, the source IP address information area D1102 and the destination IP address information area D1104 are the same, so it is determined that the network is connected, and the VLAN tag information and the address information of the unauthorized terminal 12 are obtained. As the input information, a disturbing ARP reply and a disturbing ARP request transmission request are made to the ARP transmitting unit 222 in the ARP processing unit 22. The ARP transmitter 222 generates an ARP message based on the input information as described above (step S441). The ARP processing unit 22 activates the network interface unit 21 by inputting the generated message and VLAN tag information.

ネットワークインタフェース部21では、VLANタグ付与部212において、VLAN環境下であれば入力VLANタグ情報を送信メッセージのVLANタグ情報として設定し、図12に示す妨害ARPリプライ(RP1,RP2)及び妨害ARPリクエスト(RQ3,RQ5)をARPメッセージとして送出する(ステップS452)。   In the network interface unit 21, the VLAN tag assigning unit 212 sets the input VLAN tag information as the VLAN tag information of the transmission message in the VLAN environment, and the disturbing ARP reply (RP1, RP2) and the disturbing ARP request shown in FIG. (RQ3, RQ5) is transmitted as an ARP message (step S452).

ここで、受信時のVLANタグ情報と同じVLANタグ情報を挿入して送信することにより、図2に示すようなVLAN環境下でも、VLANタグが例えば、“A”であれば、これに対応するセグメント“A”内における不正端末12に対し確実に妨害ARPメッセージが届き妨害可能となる。
実施例(5):図13及び図5
この実施例(5)は上記の実施例(2)の変形例を示したもので、上記の実施例(4)と実施例(1)との関係と同様に、入力情報としてアドレス情報に加えてVLANタグ情報を用いたものである。 Here, by inserting and transmitting the same VLAN tag information as the VLAN tag information at the time of reception, even if the VLAN tag is “A”, for example, even in a VLAN environment as shown in FIG. A disturbing ARP message is reliably delivered to the unauthorized terminal 12 in the segment “A” and can be blocked.
Example (5): FIGS. 13 and 5
This embodiment (5) shows a modification of the above embodiment (2), and in addition to the address information as input information, as in the relationship between the above embodiment (4) and the embodiment (1). VLAN tag information is used.

すなわち、図7(2)に示す不正端末12からの正規ARPリクエストRQ13として図13に示すように、パケット内にVLANタグ情報が付加されており、ネットワーク不正接続防止装置20においては、上記の実施例(4)と同様にアドレス情報に加えてVLANタグ情報も不正アドレスの判定に用い(図5のステップS422)、図7(2)の場合には不正アドレスが検出されるので、ステップS431に進む。このとき、実施例(2)の場合には、端末間通信を行う場合であるので、この実施例(5)においても同様にステップS433に進んで図13に示す妨害ARPリクエストRQ13の送信要求を行う。   That is, as shown in FIG. 13 as a regular ARP request RQ13 from the unauthorized terminal 12 shown in FIG. 7 (2), VLAN tag information is added in the packet. As in the example (4), in addition to the address information, the VLAN tag information is also used for determining an illegal address (step S422 in FIG. 5). In the case of FIG. 7 (2), an illegal address is detected. move on. At this time, since the case of the embodiment (2) is a case where communication between terminals is performed, also in this embodiment (5), the process similarly proceeds to step S433, and the transmission request of the disturbing ARP request RQ13 shown in FIG. Do.

そして、ステップS441でARPメッセージを生成する際に、不正端末12から受信した正規ARPリクエストRQ13に設定されているVLANタグ情報をVLANタグ付与部212が付与することにより(ステップS451)、妨害ARPリクエストRQ13が送信され、VLAN環境下に置かれている不正端末12においても確実に妨害ARPメッセージが届き妨害可能となる。
実施例(6):図14及び図10
この実施例(6)は上記の実施例(3)の変形例を示すものである。すなわち、図14に示すように、ネットワーク不正接続防止装置20からの正規ARPリクエストRQ21,RQ22は、図11に示したパケットに対して、VLANタグ情報が加えられた形になっており、これは図10に示すフローチャートにおいて、ARP処理部22がARPメッセージを生成する際(ステップS511)、アドレス情報に加えてVLANタグ情報も併せてVLANタグ付与部212において付与し(ステップS521)、捜索ARPリクエストとして送信するものである(ステップS522)。 Then, when generating the ARP message in step S441, the VLAN tag assignment unit 212 assigns the VLAN tag information set in the regular ARP request RQ13 received from the unauthorized terminal 12 (step S451), thereby preventing the disturbing ARP request. The RQ 13 is transmitted and the unauthorized terminal 12 placed under the VLAN environment can reliably receive the disturbing ARP message and be able to interfere.
Example (6): FIGS. 14 and 10
This embodiment (6) shows a modification of the above embodiment (3). That is, as shown in FIG. 14, the regular ARP requests RQ21 and RQ22 from the network unauthorized connection prevention device 20 are in a form in which VLAN tag information is added to the packet shown in FIG. In the flowchart shown in FIG. 10, when the ARP processing unit 22 generates an ARP message (step S511), VLAN tag information is added together with the VLAN tag information in addition to the address information (step S521), and a search ARP request is made. (Step S522).

したがって、このような捜索ARPリクエストを受けた端末においては、図14に示すように正規ARPリクエストのARPリプライRP21,RP22として、正規ARPリクエストに設定されているVLANタグ情報をそのまま追加したフレームが返送されて来るので、図9で説明したように、不正端末12からの正規ARPリプライRP22は、ネットワーク不正接続防止装置20において不正検出されることとなる(ステップS78)。   Therefore, at the terminal that has received such a search ARP request, as shown in FIG. 14, a frame with the VLAN tag information set in the normal ARP request added as is is returned as the ARP replies RP21 and RP22 of the normal ARP request. Therefore, as explained in FIG. 9, the authorized ARP reply RP22 from the unauthorized terminal 12 is detected illegally in the unauthorized network connection preventing apparatus 20 (step S78).

なお、本発明におけるARPリクエストは、IPアドレスが既知の通信相手の物理アドレス(もしくはリンク層アドレス)を求めるプロトコルの規定(RFC826)に基づく通信フレームであるARPフレームの1つを単に指すものではなく、本発明の主旨に照らしてその目的及び機能を有するあらゆる通信フレームとして構成し得るものである。   The ARP request in the present invention does not simply indicate one of the ARP frames that is a communication frame based on the protocol specification (RFC826) for obtaining the physical address (or link layer address) of the communication partner whose IP address is known. In light of the gist of the present invention, it can be configured as any communication frame having the purpose and function.


(付記1)
端末よりLANを介して受信したARPリクエストに含まれる該端末の個有情報が登録済であるか否かを判定する第1ステップと、
該第1ステップで未登録と判定されたとき、該端末を不正端末と見做して該端末の個有情報が重複して存在することを示す妨害メッセージを送信する第2ステップと、
を備えたことを特徴とするネットワーク不正接続防止方法。
(付記2)
付記1において、
該ARPリクエストが、ネットワーク接続時に送信されるARPリクエストであることを特徴とするネットワーク不正接続防止方法。
(付記3)
付記1において、
該ARPリクエストが、該不正端末が他の端末に対して個有情報を要求するときのARPリクエストであることを特徴とするネットワーク不正接続防止方法。
(付記4)
付記1において、
該第2ステップが、該妨害メッセージを一定時間間隔毎に所定回数くり返して送信するステップを含むことを特徴とするネットワーク不正接続防止方法。
(付記5)
付記1において、
該妨害メッセージは、該不正端末が該個有情報の重複状態となるように、送信元アドレスに該不正端末の個有情報を設定した妨害リプライ及び妨害リクエストの内の少なくともいずれか一方から成ることを特徴とするネットワーク不正接続防止方法。
(付記6)
付記1において、
該個有情報が、MACアドレス又はIPアドレスであることを特徴とするネットワーク不正接続防止方法。
(付記7)
登録済の端末の各々に対してARPリクエストを順次送信する第1ステップと、
該ARPリクエストに応答して返って来たARPリプライから、その端末の個有情報が登録済であるか否かを判定する第2ステップと、
該第2ステップで未登録と判定されたとき、該端末を不正端末と見做して該端末の個有情報が重複して存在することを示す妨害メッセージを送信する第3ステップと、
を備えたことを特徴とするネットワーク不正接続防止方法。
(付記8)
付記1から7のいずれか1つにおいて、
該個有情報が、判定対象としてアドレス及びVLANタグを含み、該妨害メッセージが該アドレス及び該VLANタグを含むことを特徴とするネットワーク不正接続防止方法。
(付記9)
端末よりLANを介して受信したARPリクエストに含まれる該端末の個有情報が登録済であるか否かを判定する第1手段と、
該第1手段で未登録と判定されたとき、該端末を不正端末と見做して該端末の個有情報が重複して存在することを示す妨害メッセージを送信する第2手段と、
を備えたことを特徴とするネットワーク不正接続防止装置。
(付記10)
付記9において、
該ARPリクエストが、ネットワーク接続時に送信されるARPリクエストであることを特徴とするネットワーク不正接続防止装置。
(付記11)
付記9において、
該ARPリクエストが、該不正端末が他の端末に対して個有情報を要求するときのARPリクエストであることを特徴とするネットワーク不正接続防止装置。
(付記12)
付記9において、
該第2手段が、該妨害メッセージを一定時間間隔毎に所定回数くり返して送信する手段を含むことを特徴とするネットワーク不正接続防止装置。
(付記13)
付記9において、
該妨害メッセージは、該不正端末が該個有情報の重複状態となるように、送信元アドレスに該不正端末の個有情報を設定した妨害リプライ及び妨害リクエストの内の少なくともいずれか一方から成ることを特徴とするネットワーク不正接続防止装置。
(付記14)
付記9において、
該個有情報が、MACアドレス又はIPアドレスであることを特徴とするネットワーク不正接続防止装置。
(付記15)
登録済の端末の各々に対してARPリクエストを順次送信する第1手段と、
該ARPリクエストに応答して返って来たARPリプライから、その端末の個有情報が登録済であるか否かを判定する第2手段と、
該第2手段で未登録と判定されたとき、該端末を不正端末と見做して該端末の個有情報が重複して存在することを示す妨害メッセージを送信する第3手段と、
を備えたことを特徴とするネットワーク不正接続防止装置。
(付記16)
付記9から15のいずれか1つにおいて、
該個有情報が、判定対象としてアドレス及びVLANタグを含み、該妨害メッセージが、該アドレス及び該VLANタグを含むことを特徴とするネットワーク不正接続防止装置。
(Appendix 1)
A first step of determining whether or not the personal information of the terminal included in the ARP request received via the LAN from the terminal has been registered;
A second step of transmitting a jamming message indicating that the terminal's personal information is duplicated when the terminal is determined to be unregistered in the first step;
A method for preventing unauthorized network connection, comprising:
(Appendix 2)
In Appendix 1,
A network unauthorized connection prevention method, wherein the ARP request is an ARP request transmitted at the time of network connection.
(Appendix 3)
In Appendix 1,
A network unauthorized connection prevention method, wherein the ARP request is an ARP request when the unauthorized terminal requests private information from another terminal.
(Appendix 4)
In Appendix 1,
2. The network unauthorized connection prevention method according to claim 2, wherein the second step includes a step of repeatedly transmitting the jamming message a predetermined number of times at predetermined time intervals.
(Appendix 5)
In Appendix 1,
The jamming message is composed of at least one of a jamming reply and a jamming request in which the personal information of the illegal terminal is set in the transmission source address so that the illegal terminal is duplicated in the personal information. A method for preventing unauthorized network connection.
(Appendix 6)
In Appendix 1,
A network unauthorized connection prevention method, wherein the personal information is a MAC address or an IP address.
(Appendix 7)
A first step of sequentially sending an ARP request to each registered terminal;
From the ARP reply returned in response to the ARP request, a second step of determining whether the personal information of the terminal has been registered,
When it is determined that the terminal is not registered in the second step, a third step of transmitting a jamming message indicating that the terminal is regarded as an unauthorized terminal and the unique information of the terminal is duplicated; and
A method for preventing unauthorized network connection, comprising:
(Appendix 8)
In any one of appendices 1 to 7,
The network unauthorized connection prevention method, wherein the personal information includes an address and a VLAN tag as a determination target, and the interference message includes the address and the VLAN tag.
(Appendix 9)
A first means for determining whether the personal information of the terminal included in the ARP request received via the LAN from the terminal is registered;
When it is determined that the first means is not registered, the second means that the terminal is regarded as an unauthorized terminal and transmits a jamming message indicating that the unique information of the terminal exists,
An apparatus for preventing unauthorized connection of a network, comprising:
(Appendix 10)
In Appendix 9,
An apparatus for preventing unauthorized network connection, wherein the ARP request is an ARP request transmitted at the time of network connection.
(Appendix 11)
In Appendix 9,
An apparatus for preventing unauthorized connection of a network, wherein the ARP request is an ARP request when the unauthorized terminal requests private information from another terminal.
(Appendix 12)
In Appendix 9,
An apparatus for preventing unauthorized connection of a network, wherein the second means includes means for repeatedly transmitting the jamming message a predetermined number of times at regular time intervals.
(Appendix 13)
In Appendix 9,
The jamming message is composed of at least one of a jamming reply and a jamming request in which the personal information of the illegal terminal is set in the transmission source address so that the illegal terminal is duplicated in the personal information. An apparatus for preventing unauthorized connection of network.
(Appendix 14)
In Appendix 9,
An apparatus for preventing unauthorized connection of a network, wherein the unique information is a MAC address or an IP address.
(Appendix 15)
A first means for sequentially sending an ARP request to each registered terminal;
From the ARP reply returned in response to the ARP request, a second means for determining whether or not the personal information of the terminal has been registered;
When it is determined that the second means is unregistered, the third means for transmitting a jamming message indicating that the terminal is regarded as an unauthorized terminal and that the unique information of the terminal is duplicated, and
An apparatus for preventing unauthorized connection of a network, comprising:
(Appendix 16)
In any one of appendices 9 to 15,
An apparatus for preventing unauthorized connection of a network, wherein the personal information includes an address and a VLAN tag as a determination target, and the interference message includes the address and the VLAN tag.

本発明に係るネットワーク不正接続防止方法及び装置に用いられるシステム構成例を示した図である。It is the figure which showed the system configuration example used for the network unauthorized connection prevention method and apparatus which concern on this invention. 本発明に係るネットワーク不正接続防止方法及び装置をVLAN環境で用いたときのシステム構成図である。1 is a system configuration diagram when a network unauthorized connection prevention method and apparatus according to the present invention are used in a VLAN environment. FIG. 本発明に係るネットワーク不正接続防止方法を実現する装置の構成例を示したブロック図である。It is the block diagram which showed the structural example of the apparatus which implement | achieves the network unauthorized connection prevention method which concerns on this invention. 図3に示した本発明に係るネットワーク不正接続防止装置の実施例(1)の動作を示したシーケンス図である。FIG. 4 is a sequence diagram showing an operation of the embodiment (1) of the network unauthorized connection preventing apparatus according to the present invention shown in FIG. 図3に示した本発明に係るネットワーク不正接続防止装置の受信動作例を示したフローチャート図である。FIG. 4 is a flowchart showing an example of a reception operation of the network unauthorized connection prevention apparatus according to the present invention shown in FIG. 図4に示したシーケンス例で用いるARPプロトコルの概略フレーム(VLANタグ無し時)を示したフォーマット図である。FIG. 5 is a format diagram showing a schematic frame (when there is no VLAN tag) of the ARP protocol used in the sequence example shown in FIG. 図3に示した本発明に係るネットワーク不正接続防止装置の実施例(2)の動作を示したシーケンス図である。FIG. 4 is a sequence diagram showing an operation of the embodiment (2) of the network unauthorized connection preventing apparatus according to the present invention shown in FIG. 図7に示したシーケンス例で用いるARPプロトコルの概略フレーム(VLANタグ無し時)を示したフォーマット図である。FIG. 8 is a format diagram showing a schematic frame (when there is no VLAN tag) of the ARP protocol used in the sequence example shown in FIG. 図3に示した本発明に係るネットワーク不正接続防止装置の実施例(3)の動作を示したシーケンス図である。FIG. 4 is a sequence diagram showing the operation of the embodiment (3) of the unauthorized network connection preventing apparatus according to the present invention shown in FIG. 図3に示した本発明に係るネットワーク不正接続防止装置の送信動作例を示したフローチャート図である。FIG. 4 is a flowchart showing an example of transmission operation of the unauthorized network connection preventing apparatus according to the present invention shown in FIG. 図9に示したシーケンス例で用いるARPプロトコルの概略フレーム(VLANタグ無し時)を示したフォーマット図である。FIG. 10 is a format diagram showing a schematic frame (when there is no VLAN tag) of the ARP protocol used in the sequence example shown in FIG. 図4に示したシーケンス例で実施例(4)として用いるARPプロトコルの概略フレーム(VLANタグ付き時)を示したフォーマット図である。FIG. 5 is a format diagram showing a schematic frame (when a VLAN tag is attached) of the ARP protocol used as the embodiment (4) in the sequence example shown in FIG. 図7に示したシーケンス例で実施例(5)として用いるARPプロトコルの概略フレーム(VLANタグ付き時)を示したフォーマット図である。FIG. 8 is a format diagram showing a schematic frame (when a VLAN tag is attached) of the ARP protocol used as the embodiment (5) in the sequence example shown in FIG. 図9に示したシーケンス例で実施例(6)として用いるARPプロトコルの概略フレーム(VLANタグ付き時)を示したフォーマット図である。FIG. 10 is a format diagram showing a schematic frame (when a VLAN tag is attached) of the ARP protocol used as the embodiment (6) in the sequence example shown in FIG.

符号の説明Explanation of symbols

10,11 正規端末
12 不正端末
20 ネットワーク不正接続防止装置
30 ハブ
21 ネットワークインタフェース部
211 VLANタグ解析部
212 VLANタグ不要部
22 ARP処理部
221 ARP受信部
222 ARP送信部
23 不正接続判定部
231 不正検出部
24 アドレス情報データベース部
25 妨害処理部
100 LAN
110 VLAN
251 妨害制御部
252 受信アドレスバッファ
253 タイマー制御部
26 捜索要求処理部
261 捜索制御部
262 タイマー処理部
RP(RP1, RP11, RP12) ARPリプライ
RQ(RQ1, RQ2 ,RQ3, RQ4, RQ11, RQ12) ARPリクエスト
図中、同一符号は同一又は相当部分を示す。 10,11 Regular terminal
12 Unauthorized terminal
20 Network unauthorized connection prevention device
30 hub
21 Network interface section
211 VLAN tag analyzer
212 VLAN tag unnecessary part
22 ARP processing section
221 ARP receiver
222 ARP transmitter
23 Unauthorized connection determination section
231 Fraud detector
24 Address information database section
25 Interference handling section
100 LAN
110 VLAN
251 Interference controller
252 Receive address buffer
253 Timer controller
26 Search request processing section
261 Search Control Unit
262 Timer processing section
RP (RP1, RP11, RP12) ARP reply
RQ (RQ1, RQ2, RQ3, RQ4, RQ11, RQ12) ARP request In the figure, the same symbols indicate the same or corresponding parts.

Claims (5)

端末よりLANを介して受信したARPリクエストに含まれる該端末の個有情報が登録済であるか否かを判定する第1ステップと、
該第1ステップで未登録と判定されたとき、該端末を不正端末と見做して該端末の個有情報が重複して存在することを示す妨害メッセージを送信する第2ステップと、
を備えたことを特徴とするネットワーク不正接続防止方法。 A first step of determining whether or not the personal information of the terminal included in the ARP request received via the LAN from the terminal has been registered;
A second step of transmitting a jamming message indicating that the terminal's personal information is duplicated when the terminal is determined to be unregistered in the first step;
A method for preventing unauthorized network connection, comprising: 請求項1において、
該ARPリクエストが、ネットワーク接続時に送信されるARPリクエストであることを特徴とするネットワーク不正接続防止方法。 In claim 1,
A network unauthorized connection prevention method, wherein the ARP request is an ARP request transmitted at the time of network connection. 端末よりLANを介して受信したARPリクエストに含まれる該端末の個有情報が登録済であるか否かを判定する第1手段と、
該第1手段で未登録と判定されたとき、該端末を不正端末と見做して該端末の個有情報が重複して存在することを示す妨害メッセージを送信する第2手段と、
を備えたことを特徴とするネットワーク不正接続防止装置。 A first means for determining whether the personal information of the terminal included in the ARP request received via the LAN from the terminal is registered;
When it is determined that the first means is not registered, the second means that the terminal is regarded as an unauthorized terminal and transmits a jamming message indicating that the unique information of the terminal exists,
An apparatus for preventing unauthorized connection of a network, comprising: 請求項3において、
該ARPリクエストが、ネットワーク接続時に送信されるARPリクエストであることを特徴とするネットワーク不正接続防止装置。 In claim 3,
An apparatus for preventing unauthorized network connection, wherein the ARP request is an ARP request transmitted at the time of network connection. 登録済の端末の各々に対してARPリクエストを順次送信する第1手段と、
該ARPリクエストに応答して返って来たARPリプライから、その端末の個有情報が登録済であるか否かを判定する第2手段と、
該第2手段で未登録と判定されたとき、該端末を不正端末と見做して該端末の個有情報が重複して存在することを示す妨害メッセージを送信する第3手段と、
を備えたことを特徴とするネットワーク不正接続防止装置。
A first means for sequentially sending an ARP request to each registered terminal;
From the ARP reply returned in response to the ARP request, a second means for determining whether or not the personal information of the terminal has been registered;
When it is determined that the second means is unregistered, the third means for transmitting a jamming message indicating that the terminal is regarded as an unauthorized terminal and that the unique information of the terminal is duplicated, and
An apparatus for preventing unauthorized connection of a network, comprising:
JP2004003060A 2004-01-08 2004-01-08 Network unauthorized connection prevention method and apparatus Expired - Fee Related JP4245486B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004003060A JP4245486B2 (en) 2004-01-08 2004-01-08 Network unauthorized connection prevention method and apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004003060A JP4245486B2 (en) 2004-01-08 2004-01-08 Network unauthorized connection prevention method and apparatus

Publications (2)

Publication Number Publication Date
JP2005198090A true JP2005198090A (en) 2005-07-21
JP4245486B2 JP4245486B2 (en) 2009-03-25

Family

ID=34818077

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004003060A Expired - Fee Related JP4245486B2 (en) 2004-01-08 2004-01-08 Network unauthorized connection prevention method and apparatus

Country Status (1)

Country Link
JP (1) JP4245486B2 (en)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008048252A (en) * 2006-08-18 2008-02-28 Fujitsu Access Ltd Authentication system for communication device
JP2008244765A (en) * 2007-03-27 2008-10-09 Toshiba Corp Dynamic host configuration protocol server, and ip address assignment method
JP2008252924A (en) * 2008-05-19 2008-10-16 Hitachi Ltd Device, method and program for monitoring network, and recording medium with network monitoring program stored therein
JP2008283495A (en) * 2007-05-10 2008-11-20 Nippon Telegr & Teleph Corp <Ntt> System and method for packet transfer
WO2009031453A1 (en) * 2007-09-07 2009-03-12 Cyber Solutions Inc. Network security monitor apparatus and network security monitor system
JP2009296246A (en) * 2008-06-04 2009-12-17 Alaxala Networks Corp Network relay device, and network relay method
JP2010226522A (en) * 2009-03-24 2010-10-07 Fuji Xerox Co Ltd Image forming apparatus, communication apparatus, and communication program
WO2012014509A1 (en) 2010-07-30 2012-02-02 株式会社サイバー・ソリューションズ Unauthorized access blocking control method
JP2013145956A (en) * 2012-01-13 2013-07-25 Sumitomo Electric System Solutions Co Ltd Quarantine control device, quarantine control computer program, and quarantine method
JP2016072801A (en) * 2014-09-30 2016-05-09 パナソニックIpマネジメント株式会社 Communication monitoring device and communication monitoring system
JP6134954B1 (en) * 2016-01-14 2017-05-31 株式会社Pfu Network security device, network management method, and program
JP2017183858A (en) * 2016-03-29 2017-10-05 アズビル株式会社 Unauthorized access prevention device and method
KR20210082364A (en) 2019-12-25 2021-07-05 아즈빌주식회사 Detection device and detection method
JP2022525205A (en) * 2019-03-20 2022-05-11 新華三技術有限公司 Abnormal host monitoring

Cited By (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008048252A (en) * 2006-08-18 2008-02-28 Fujitsu Access Ltd Authentication system for communication device
JP2008244765A (en) * 2007-03-27 2008-10-09 Toshiba Corp Dynamic host configuration protocol server, and ip address assignment method
JP2008283495A (en) * 2007-05-10 2008-11-20 Nippon Telegr & Teleph Corp <Ntt> System and method for packet transfer
WO2009031453A1 (en) * 2007-09-07 2009-03-12 Cyber Solutions Inc. Network security monitor apparatus and network security monitor system
US8819764B2 (en) 2007-09-07 2014-08-26 Cyber Solutions Inc. Network security monitor apparatus and network security monitor system
JP2008252924A (en) * 2008-05-19 2008-10-16 Hitachi Ltd Device, method and program for monitoring network, and recording medium with network monitoring program stored therein
JP4491489B2 (en) * 2008-05-19 2010-06-30 株式会社日立製作所 Network monitoring device, network monitoring system, and network monitoring method
JP2009296246A (en) * 2008-06-04 2009-12-17 Alaxala Networks Corp Network relay device, and network relay method
JP4734374B2 (en) * 2008-06-04 2011-07-27 アラクサラネットワークス株式会社 Network relay device and network relay device method
US8422493B2 (en) 2008-06-04 2013-04-16 Alaxala Networks Corporation Network relay device and network relay method
US8390856B2 (en) 2009-03-24 2013-03-05 Fuji Xerox Co., Ltd. Image forming apparatus, communication device, computer readable medium, and communication method
JP2010226522A (en) * 2009-03-24 2010-10-07 Fuji Xerox Co Ltd Image forming apparatus, communication apparatus, and communication program
WO2012014509A1 (en) 2010-07-30 2012-02-02 株式会社サイバー・ソリューションズ Unauthorized access blocking control method
US8955049B2 (en) 2010-07-30 2015-02-10 Cyber Solutions Inc. Method and a program for controlling communication of target apparatus
JP2013145956A (en) * 2012-01-13 2013-07-25 Sumitomo Electric System Solutions Co Ltd Quarantine control device, quarantine control computer program, and quarantine method
JP2016072801A (en) * 2014-09-30 2016-05-09 パナソニックIpマネジメント株式会社 Communication monitoring device and communication monitoring system
JP6134954B1 (en) * 2016-01-14 2017-05-31 株式会社Pfu Network security device, network management method, and program
JP2017126876A (en) * 2016-01-14 2017-07-20 株式会社Pfu Network security device, network management method and program
JP2017183858A (en) * 2016-03-29 2017-10-05 アズビル株式会社 Unauthorized access prevention device and method
JP2022525205A (en) * 2019-03-20 2022-05-11 新華三技術有限公司 Abnormal host monitoring
JP7228712B2 (en) 2019-03-20 2023-02-24 新華三技術有限公司 Abnormal host monitoring
KR20210082364A (en) 2019-12-25 2021-07-05 아즈빌주식회사 Detection device and detection method

Also Published As

Publication number Publication date
JP4245486B2 (en) 2009-03-25

Similar Documents

Publication Publication Date Title
KR100610287B1 (en) Method and apparatus for providing node security in a router of a packet network
JP4405360B2 (en) Firewall system and firewall control method
JP4245486B2 (en) Network unauthorized connection prevention method and apparatus
JP5790827B2 (en) Control device, control method, and communication system
US7207061B2 (en) State machine for accessing a stealth firewall
CN1989745B (en) Method of operating a network by test packet
US7725932B2 (en) Restricting communication service
JP2008520159A (en) IP management method and apparatus for protecting / blocking a specific IP address on a network or a specific apparatus
JP2020017809A (en) Communication apparatus and communication system
JP2017175462A (en) Communication control device, communication control method and program
JPWO2015174100A1 (en) Packet transfer device, packet transfer system, and packet transfer method
US9686311B2 (en) Interdicting undesired service
JP2007104396A (en) Unjust connection preventing system, method, and program
JP2007266931A (en) Communication interruption apparatus, and communication interruption program
JP2006238415A (en) METHOD FOR OPERATING LOCAL COMPUTER NETWORK CONNECTED TO REMOTE PRIVATE NETWORK BY IPsec TUNNEL, SOFTWARE MODULE AND IPsec GATEWAY
WO2015136842A1 (en) Network management device, network system, network management method, and recording medium
JP2009005122A (en) Illegal access detection apparatus, and security management device and illegal access detection system using the device
JP7167809B2 (en) Information processing device and network connection determination method
US20060185009A1 (en) Communication apparatus and communication method
JP4421462B2 (en) Intrusion detection system and management device
JP2005210451A (en) Unauthorized access preventing apparatus and program
JP2007102747A (en) Packet detector, message detection program, shutdown program of unauthorized e-mail
JP4674494B2 (en) Packet receiver
JP4899973B2 (en) Communication security system and communication security device
KR102005376B1 (en) A network monitoring, access control and intrusion prevention system based on the virtual network overlays

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20061208

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080902

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081104

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090106

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090106

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120116

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130116

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130116

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140116

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees