JP2005198090A - Method and device for preventing unauthorized connection to network - Google Patents
Method and device for preventing unauthorized connection to network Download PDFInfo
- Publication number
- JP2005198090A JP2005198090A JP2004003060A JP2004003060A JP2005198090A JP 2005198090 A JP2005198090 A JP 2005198090A JP 2004003060 A JP2004003060 A JP 2004003060A JP 2004003060 A JP2004003060 A JP 2004003060A JP 2005198090 A JP2005198090 A JP 2005198090A
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- unauthorized
- arp
- network
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、ネットワーク不正接続防止方法及び装置に関し、特に複数のルータやハブで構成されるLAN(閉域網)内における端末のネットワーク不正接続防止方法及び装置に関するものである。 The present invention relates to a network unauthorized connection prevention method and apparatus, and more particularly to a network unauthorized connection prevention method and apparatus for a terminal in a LAN (closed network) composed of a plurality of routers and hubs.
従来、LAN内で端末を誤接続又は不正接続(悪意を持った接続)がなされた場合は、ネットワーク機器によって次のような防止策を実施していた。
(1)事前に許可された端末のIPアドレスやMACアドレス以外の端末(許可されていない端末)についてはネットワーク機器によって接続を許可しない従来技術がある。
Conventionally, when a terminal is erroneously connected or illegally connected (malicious connection) in a LAN, the following preventive measures have been implemented by network devices.
(1) There is a conventional technology that does not permit connection by a network device for terminals other than the IP address or MAC address of a terminal that has been permitted in advance (terminals that are not permitted).
この例としては、全ポートへの接続許可を端末のIPアドレスで設定し、受信したARP(Address Resolution Protocol)フレームの送信元IPアドレスとポートへの接続許可が設定された端末のIPアドレスとが一致していれば、最後に受信したフレームの送信元MACアドレスが当該ARPフレームの送信元MACアドレスであるポートを使用できなくした侵入防止機能付ハブがある(例えば、特許文献1参照。)。
(2)外部ネットワークとLANを接続する際に、その中継装置(ファイアーウォール、ルータ)にデータベースを設け、流入するパケットを常に監視し、受信したパケットの内容から不正なパケットを検出し、この場合に不正なパケットの侵入に対する防止対策を講じた従来技術がある(例えば、特許文献2参照。)。
(2) When connecting an external network and a LAN, a database is set up in the relay device (firewall, router) to constantly monitor incoming packets and detect illegal packets from the contents of received packets. In addition, there is a conventional technique in which measures for preventing intrusion of illegal packets are taken (for example, see Patent Document 2).
上記の従来技術(1)の場合には、侵入防止機能は中継装置であるハブに実装することが前提であり、現在運用中のイントラネットワーク内にこの機能を持ったハブが無い場合は全ハブに該侵入防止機能を実装する必要がある。また、ネットワーク構成に変更が生じた場合においても全ハブの装備に変更が伴うことから機器費用と導入工数が膨らむという問題がある。 In the case of the above prior art (1), it is assumed that the intrusion prevention function is installed in the hub as a relay device. If there is no hub with this function in the currently operating intranetwork, all hubs It is necessary to implement the intrusion prevention function. In addition, even when the network configuration is changed, there is a problem that equipment costs and introduction man-hours increase because the equipment of all hubs is changed.
またこの場合、不正ポートが検出されると、そのポートを使用できないようになっているため、そのポートがカスケードで別のハブに接続されている場合には、その別のハブに接続されている正規の端末も通信ができなくなってしまうという問題があった。 Also, in this case, when an unauthorized port is detected, the port cannot be used. If the port is connected to another hub in the cascade, it is connected to the other hub. There was a problem that even legitimate terminals could not communicate.
更に、上記の従来技術(2)の場合には、インターネット(外部ネットワーク)とLANを中継する装置(ファイアーウォール又はルータ)に不正接続監視機能を実装することで、不正パケットを中継させないで不正接続を抑制するものであり、LAN内の閉域通信においては不正接続防止ができないという問題があった。 Furthermore, in the case of the above-mentioned prior art (2), an unauthorized connection monitoring function is implemented in a device (firewall or router) that relays between the Internet (external network) and the LAN, thereby preventing unauthorized connection without relaying unauthorized packets. There is a problem that unauthorized connection cannot be prevented in closed communication within a LAN.
従って本発明は、LAN内の閉域通信において、安価と導入工数が少ないネットワーク不正接続防止方法及び装置を提供することを目的とする。 SUMMARY OF THE INVENTION Accordingly, an object of the present invention is to provide a network unauthorized connection prevention method and apparatus that is inexpensive and requires less man-hours in closed area communication within a LAN.
上記の目的を達成するため本発明に係るネットワーク不正接続防止方法は、端末よりLANを介して受信したARPリクエストに含まれる該端末の個有情報が登録済であるか否かを判定する第1ステップと、該第1ステップで未登録と判定されたとき、該端末を不正端末と見做して該端末の個有情報が重複して存在することを示す妨害メッセージを送信する第2ステップと、を備えたことを特徴としている。 In order to achieve the above object, the network unauthorized connection prevention method according to the present invention is a first method for determining whether or not the personal information of the terminal included in the ARP request received from the terminal via the LAN is registered. A second step of transmitting a jamming message indicating that the terminal's unique information is duplicated when the terminal is determined to be unregistered in the first step, It is characterized by having.
すなわち、第1ステップでは、LAN内に接続した端末からの個有情報がARPリクエストとして受信されたとき、この個有情報が予め登録してある情報と一致しているか否かを判定する。そして、第2ステップでは、この第1ステップで、未登録であることが分かった端末を不正端末と見做して妨害メッセージを送信する。 That is, in the first step, when private information from a terminal connected in the LAN is received as an ARP request, it is determined whether or not this private information matches information registered in advance. Then, in the second step, the terminal found to be unregistered in this first step is regarded as an unauthorized terminal and a jamming message is transmitted.
この妨害メッセージには、その端末の個有情報が重複して存在することを示す情報が含まれているので、この妨害メッセージを受信した不正端末12においては、自分の個有情報が重複していることを知るので、通信を止めてしまうこととなり、不正接続を防止できる。 Since this jamming message includes information indicating that the unique information of the terminal is duplicated, the unauthorized terminal 12 that received this jamming message duplicates its own proprietary information. Because it knows that it is, the communication will be stopped and unauthorized connection can be prevented.
このようにして本発明によれば、LAN内のノードをネットワークに接続させることが可能であるため、ネットワークの機器費用や変更に伴う作業工数の削減が可能となる。 In this way, according to the present invention, nodes in the LAN can be connected to the network, so that it is possible to reduce network equipment costs and work man-hours associated with changes.
また、不正接続端末のみ通信を妨害し、他の正規な接続端末への影響を与えなくすることが可能である。 In addition, it is possible to prevent only unauthorized connection terminals from interfering with communication and prevent other legitimate connection terminals from being affected.
更には、LAN内の閉域通信における不正接続防止が実現可能となる。 Furthermore, it is possible to prevent unauthorized connection in closed communication within a LAN.
上記のARPリクエストは、例えば、ネットワーク接続時に送信されるARPリクエストであるが、これを逃れた場合の防止策として該不正端末が他の端末に対してアドレスを要求するときのARPリクエストを用いて不正接続端末通信の妨害を行ってもよい。 The above ARP request is, for example, an ARP request transmitted at the time of connection to the network. As a preventive measure in case of escaping this request, the ARP request when the unauthorized terminal requests an address from another terminal is used. Interference with unauthorized connection terminal communication may be performed.
また、上記の第2ステップにおいては、該妨害メッセージを一定時間間隔毎に所定回数繰り返して送信するようにしてもよい。これにより不正端末は自分の個有情報が重複したことを確実に知ることが可能となり、不正接続端末の通信を確実に防止することが可能となる。 Further, in the second step, the disturbing message may be repeatedly transmitted a predetermined number of times at regular time intervals. This makes it possible for an unauthorized terminal to reliably know that its own information has been duplicated, and to reliably prevent unauthorized terminals from communicating.
上記の妨害メッセージとしては、該不正端末が該個有情報の重複状態となるように、送信元アドレスに該不正端末の個有情報を設定した妨害リプライ及び妨害リクエストの内の少なくともいずれか一方から成るものとすることができる。 The jamming message includes at least one of a jamming reply and a jamming request in which the personal information of the fraudulent terminal is set in the source address so that the fraudulent terminal is in an overlapping state of the personal information. It can consist of
すなわち、不正端末を検出したときには、不正端末に対して個有情報が重複していることを検出したときに行われるシーケンスを真似て、妨害ARPリプライ及び妨害ARPリクエストの双方を送信しても良いし、或いは妨害ARPリプライのみを送信しても良く、若しくは重複したときに自分の個有情報が正しいか否かをチェックしに行くための妨害ARPリクエストのみを送信しても良い。 That is, when an unauthorized terminal is detected, both the disturbing ARP reply and the disturbing ARP request may be transmitted by imitating the sequence performed when it is detected that unique information is duplicated for the unauthorized terminal. Alternatively, only the disturbing ARP reply may be transmitted, or only the disturbing ARP request for checking whether or not the personal information is correct in the case of duplication may be transmitted.
上記の個有情報としては、MACアドレス又はIPアドレスのいずれを用いてもよい。 As the personal information, either a MAC address or an IP address may be used.
一方、本発明においては、登録済の端末の各々に対してARPリクエストを順次送信する第1ステップと、該ARPリクエストに応答して返って来たARPリプライから、その端末の個有情報が登録済であるか否かを判定する第2ステップと、該第2ステップで未登録と判定されたとき、該端末を不正端末と見做して該端末の個有情報が重複して存在することを示す妨害メッセージを送信する第3ステップと、を備えることもできる。 On the other hand, in the present invention, the unique information of the terminal is registered from the first step of sequentially transmitting the ARP request to each registered terminal and the ARP reply returned in response to the ARP request. A second step for determining whether or not the terminal has been registered, and when it is determined that the terminal has not been registered in the second step, the terminal is regarded as an unauthorized terminal, and the unique information of the terminal is duplicated And a third step of transmitting a jamming message indicating.
すなわち、第1ステップにおいて予め登録してある端末の各々に対してARPリクエストを順次送信すると、このARPリクエストに応答して端末側からARPリプライが返ってくる。そこで第2ステップでは、このときの端末の個有情報が登録済であるか否かを判定し、更に第3ステップにおいて、上記の第2ステップで未登録と判定したとき、その端末を不正端末と見做して上記と同様の妨害メッセージを送信する。 That is, when an ARP request is sequentially transmitted to each of the terminals registered in advance in the first step, an ARP reply is returned from the terminal side in response to the ARP request. Therefore, in the second step, it is determined whether or not the proprietary information of the terminal at this time is already registered. Further, in the third step, when it is determined that the terminal is not registered in the second step, the terminal is regarded as an unauthorized terminal. As a result, the same obstruction message as above is transmitted.
これにより、不正接続端末の捜索をより強化することが可能となり、上記の場合に万が一ネットワーク不正接続防止策を逃れた場合においても、不正接続端末通信の妨害が可能となる。 As a result, the search for unauthorized connection terminals can be further strengthened, and even if the network illegal connection prevention measures are escaped in the above case, the unauthorized connection terminal communication can be disturbed.
更に本発明では、上記の場合において、該個有情報が判定対象としてアドレス及びVLAN(Virtual LAN)タグを含み、該妨害メッセージが、該アドレス及び該VLANタグを含むことができる。 Further, according to the present invention, in the above case, the unique information may include an address and a VLAN (Virtual LAN) tag as a determination target, and the disturbance message may include the address and the VLAN tag.
すなわち、上記のように端末の固有情報として、アドレス及びVLANタグを用いることにより、VLANを使用したネットワーク環境下においても、そのセグメントと異なるアドレスを付与した端末を接続した場合には不正接続を検出し妨害することが可能となる。 In other words, by using the address and VLAN tag as the unique information of the terminal as described above, even in a network environment using VLAN, if a terminal with a different address from that segment is connected, an unauthorized connection is detected. And can be obstructed.
上記の本発明に係るネットワーク不正接続防止方法を実現する本発明のネットワーク不正接続防止装置は、端末よりLANを介して受信したARPリクエストに含まれる該端末の個有情報が登録済であるか否かを判定する第1手段と、該第1手段で未登録と判定されたとき、該端末を不正端末と見做して該端末の個有情報が重複して存在することを示す妨害メッセージを送信する第2手段と、を備えたことを特徴としている。 The network unauthorized connection prevention apparatus according to the present invention for realizing the network unauthorized connection prevention method according to the present invention described above, whether or not the terminal unique information included in the ARP request received from the terminal via the LAN has been registered. A first means for determining whether or not when the first means determines that the terminal is unregistered, the terminal is regarded as an unauthorized terminal, and an interfering message indicating that there is duplication of personal information of the terminal And a second means for transmitting.
上記のネットワーク不正接続防止装置において、ARPリクエストとして、ネットワーク接続時に送信されるARPリクエスト又は、該不正端末が他の端末に対して個有情報を要求するときのARPリクエストを用いることができる。 In the network unauthorized connection preventing apparatus described above, an ARP request transmitted at the time of network connection or an ARP request when the unauthorized terminal requests private information from another terminal can be used as the ARP request.
また、上記の第2手段は、該妨害メッセージを一定時間間隔毎に所定回数くり返して送信する手段を含むことができる。 Further, the second means may include means for repeatedly transmitting the interference message a predetermined number of times at regular time intervals.
上記のネットワーク不正接続防止装置において、該妨害メッセージは、該不正端末が、該個有情報の重複状態となるように、送信元アドレスに該不正端末の個有情報を設定した妨害リプライ及び妨害リクエストの内の少なくともいずれか一方で構成することができる。 In the network unauthorized connection prevention apparatus, the jamming message includes a jamming reply and a jamming request in which the illegal terminal has the proprietary information of the illegal terminal set in a source address so that the proprietary information is in an overlapping state. It can comprise at least any one of these.
上記の個有情報としては本発明方法と同様に、MACアドレス又はIPアドレスを用いることができる。 As the individual information, a MAC address or an IP address can be used as in the method of the present invention.
さらに本発明では、登録済の端末の各々に対してARPリクエストを順次送信する第1手段と、該ARPリクエストに応答して返って来たARPリプライから、その端末のアドレスが登録済であるか否かを判定する第2手段と、該第2手段で未登録と判定されたとき、該端末を不正端末と見做して該端末のアドレスが重複して存在することを示す妨害メッセージを送信する第3手段と、を備えたことを特徴とするネットワーク不正接続防止装置が提供される。 Further, in the present invention, whether the address of the terminal is registered from the first means for sequentially transmitting the ARP request to each registered terminal and the ARP reply returned in response to the ARP request. A second means for determining whether or not, and when the second means determines that it is not registered, transmits a disturbing message indicating that the terminal address is duplicated by regarding the terminal as an unauthorized terminal There is provided a network unauthorized connection prevention device characterized by comprising the third means.
さらに本発明のネットワーク不正接続防止装置においても、個有情報が判定対象としてアドレス及びVLANタグを含み、該妨害メッセージが該アドレス及び該VLANタグを含むことができる。 Further, in the network unauthorized connection preventing apparatus of the present invention, the unique information can include an address and a VLAN tag as a determination target, and the disturbance message can include the address and the VLAN tag.
以上のように本発明に係るネットワーク不正接続防止方法及び装置によれば、LAN内の不正接続防止を抑制するものであり、イントラネットワーク内の1ノード(パソコンレベル)として接続される装置に実装可能であり、現在運用中のハブ、ファイアーウォール、ルータに実装する必要が無いため、既設のネットワークに影響することなく且つコスト抑制も可能となる。 As described above, according to the network unauthorized connection prevention method and apparatus according to the present invention, the unauthorized connection prevention in the LAN is suppressed, and can be implemented in a device connected as one node (PC level) in the intra network. In addition, since it is not necessary to mount it on a hub, firewall, or router that is currently in operation, costs can be reduced without affecting the existing network.
更に、本発明では、LAN構成(物理構成、論理構成)に依存していないため、LANの構成変更が生じた場合は、本発明のみの設定変更で不正接続防止が可能になり、LAN運用管理者の負担を軽減することが可能となる。 Furthermore, since the present invention does not depend on the LAN configuration (physical configuration, logical configuration), if a LAN configuration change occurs, unauthorized connection can be prevented by changing the settings of the present invention alone, and LAN operation management The burden on the person can be reduced.
更には、従来のようにカスケード接続された場合に正規端末も通信不能になるというようなことが無く、不正接続端末のみを妨害することができる。 Furthermore, when a cascade connection is made as in the prior art, the legitimate terminal does not become incapable of communication, and only the illegally connected terminal can be blocked.
更に本発明ではVLANを使用しているネットワーク環境においても該当するセグメントで使用できないアドレスを設定した不正接続端末の検索又は通信妨害が可能であり、更に本発明装置1台で複数セグメントの制御が可能となる。 Furthermore, in the present invention, even in a network environment using VLAN, it is possible to search for unauthorized connection terminals set with addresses that cannot be used in the corresponding segment or to block communication, and moreover, it is possible to control multiple segments with one device of the present invention. It becomes.
また本発明ではDHCP(Dynamic Host Configuration Protocol)環境でIPアドレスとMACアドレスが動的に変化するようなネットワーク運用でもMACアドレスのみにより不正接続検出するようにした場合、DHCP環境にも適用可能である。 Further, in the present invention, even in a network operation in which the IP address and the MAC address dynamically change in a DHCP (Dynamic Host Configuration Protocol) environment, when the unauthorized connection is detected only by the MAC address, the present invention can be applied to the DHCP environment. .
図1は、本発明に係るネットワーク不正接続防止方法及び装置に用いられるシステム構成例を示したもので、同図(1)は特に、LAN100内に正規端末10,11とネットワーク不正接続防止装置20のみが接続されたシステム構成例を示し、同図(2)は、正規端末10の代わりに、不正端末12が接続されたときのシステム構成例を示している。なお、図中、ARPリクエストはRQ〜で示し、ARPリプライはRP〜で示す。
FIG. 1 shows an example of a system configuration used in a network unauthorized connection prevention method and apparatus according to the present invention, and FIG. 1 (1) particularly shows regular terminals 10 and 11 and network unauthorized
図2は、本発明に係るネットワーク不正接続防止装置20をハブ30を介してVLAN110を構成するセグメントA及びセグメントBに接続したVLAN環境のシステム構成例を示している。
FIG. 2 shows a system configuration example of a VLAN environment in which the network unauthorized
図1及び図2に示した本発明に係るネットワーク不正接続防止方法を実現する装置の実施例が図3に示されている。 FIG. 3 shows an embodiment of an apparatus for realizing the network unauthorized connection prevention method according to the present invention shown in FIG. 1 and FIG.
この実施例では、ネットワーク不正接続防止装置20は、LAN100とのインタフェース制御及びタグ(VLANタグ)の解析又は付与を行うネットワークインタフェース部21と、ARPフレームの解析及び生成を行うARP処理部22と、接続端末からのアドレス等の端末個有情報とアドレス情報データベース部24内の情報との一致/不一致を検索又は検出する不正接続判定部23と、この不正接続判定部23で不正接続と判定した場合に妨害メッセージの送信を指示する妨害処理部25と、ネットワーク内に存在する不正接続端末を捜索するメッセージの送信を指示する捜索要求処理部26とで構成されている。
In this embodiment, the network unauthorized
そして更に、ネットワークインタフェース部21は、VLANタグ解析部211とVLANタグ付与部212とで構成されており、ARP処理部22は、ARP受信部221とARP送信部222とで構成されており、不正接続判定部23は不正検出部231を備えており、妨害処理部25は妨害制御部251と受信アドレスバッファ252とタイマー制御部253とで構成されており、捜索要求処理部26は、捜索制御部261とタイマー処理部262とで構成されている。
Furthermore, the network interface unit 21 includes a VLAN tag analysis unit 211 and a VLAN
以下、図3に示した本発明に係るネットワーク不正接続防止方法を実現する装置の実施例の動作を、図1及び図2並びに図4以降を参照して説明する。
実施例(1):図4〜6
まず、図4(1)は図1(1)に示したように、正規端末10及び11とネットワーク不正接続防止装置20がLAN100に接続されたときのシーケンス例を示したものである。
The operation of the embodiment of the apparatus for realizing the network unauthorized connection prevention method according to the present invention shown in FIG. 3 will be described below with reference to FIGS.
Example (1): FIGS. 4-6
First, FIG. 4 (1) shows a sequence example when the regular terminals 10 and 11 and the network unauthorized
このシーケンス例において、正規端末10は、LAN100に接続されると、その個有情報であるIPアドレスの重複確認を行うため、正規端末10の、やはり個有情報であるMACアドレスを要求する正規ARPリクエストRQ1がブロードキャストで送信される(ステップS1)。正規端末11は自分宛のARPリクエストではないため、何も応答を返さない(ステップS2)。
In this sequence example, when the legitimate terminal 10 is connected to the
一方、これと同時に、ネットワーク不正接続防止装置20においても正規ARPリクエストRQ1はブロードキャストで送られて来るため、ネットワーク不正接続防止装置20においては、ネットワークインタフェース部21において、図5のフローチャートに示すようにパケットを受信する(ステップS401)とともに、VLANタグ解析部211でVLANタグ情報の解析を行う(ステップS402)。
On the other hand, at the same time, the regular ARP request RQ1 is also sent by broadcast in the network unauthorized
なお、このステップS402のVLANタグ解析は点線で示したように、この実施例(1)では特に用いず、後述の実施例(3)で用いるものであるので、この実施例(1)では説明せず、実施例(3)において説明を行う。 Note that the VLAN tag analysis in step S402 is not particularly used in this embodiment (1) and is used in the embodiment (3) described later, as shown by the dotted line. Without mentioning, it will be described in Example (3).
この後、ARP処理部22が起動され、ARP受信部221でARPフレームか否かの判定(ステップS411)が行われ、送信元・送信先のアドレス情報(MACアドレス、IPアドレス)の抽出及び解析を行う(ステップS412)。ステップS411において受信パケットがARPフレームではないことが分かったときにはこの受信パケットを無視し、ステップS401に戻るが、ARPフレームであることが分かったときには、ARP処理部22は、ステップS412で抽出したアドレス情報を入力情報として不正接続判定部23を起動し、不正接続判定部23はその中の不正検出部231を用いて、その入力アドレス情報が、ネットワーク管理者によって予めアドレス情報データベース部24に登録されたアドレス情報内に存在するか否かを判定する(ステップS421及びS422)。
Thereafter, the
このステップS422における判定処理によって、入力アドレス情報がアドレス情報データベース部24内にこの例では存在するため、端末10を正常接続と見做し、上記の正規ARPリクエストRQ1を無視する(ステップS3)ことにより正規端末10は通信可能な状態になり、図5のフローチャートはステップS422からステップS401に戻ってパケット受信状態になる。
As a result of the determination process in step S422, the input address information exists in the address
一方、図1(2)に示すように、不正端末12がLAN100に接続されたような場合、図4(2)に示すシーケンスが実行されることになる。
On the other hand, as shown in FIG. 1 (2), when the unauthorized terminal 12 is connected to the
まず、不正端末12が図4(1)と同様に正規ARPリクエストRQ2を送信し、IPアドレスの重複確認が行われる(ステップS11)。このときの正規ARPリクエストRQ2のフレームフォーマットが図6に示されている。図示のように不正端末10の正規ARPリクエストRQ2においては、タイプ=“806”(16進数)がARPフレームであることを示し、オプションコード=“01”がARPリクエストであることを示している。 First, the unauthorized terminal 12 transmits a regular ARP request RQ2 as in FIG. 4 (1), and IP address duplication is confirmed (step S11). The frame format of the regular ARP request RQ2 at this time is shown in FIG. As shown in the figure, in the regular ARP request RQ2 of the unauthorized terminal 10, type = “806” (hexadecimal number) indicates an ARP frame, and option code = “01” indicates an ARP request.
このようなARPリクエストRQ2には、送信元MACアドレス情報エリアD1101において不正端末10のMACアドレスが設定され、送信元IPアドレス情報エリアD1102においては不正端末10のIPアドレスが設定され、送信先MACアドレス情報エリアD1103には、ブロードキャストであるため特にアドレスは設定されておらず、そして送信先IPアドレス情報エリアD1104には不正端末10のIPアドレスが設定されて送信される。 In such an ARP request RQ2, the MAC address of the unauthorized terminal 10 is set in the source MAC address information area D1101, the IP address of the unauthorized terminal 10 is set in the source IP address information area D1102, and the destination MAC address The address is not set in the information area D1103 because it is broadcast, and the IP address of the unauthorized terminal 10 is set and transmitted in the transmission destination IP address information area D1104.
正規端末11は自分宛のARPリクエストではないため、何も応答は返さない(ステップS12)。正規ARPリクエストRQ2を同時に受信するネットワーク不正接続防止装置20においては不正検出を行う(ステップS13)。
Since the regular terminal 11 is not an ARP request addressed to itself, no response is returned (step S12). The network unauthorized
すなわち、ネットワーク不正接続防止装置20においては、図5に示したステップS401〜S422を実行することにより、不正接続判定部23における不正検出部231が、アドレス情報データベース部24内に該入力アドレス情報が存在しないことを検出し、端末12を不正接続と見做し、妨害処理部25の妨害制御部251を起動する。
That is, the network unauthorized
妨害制御部251では、図6に示した正規ARPリクエストRQ2における送信元IPアドレス情報エリアD1102と送信先IPアドレス情報エリアD1104が同一であることからネットワーク接続時であると判定する(ステップS431)。
The
この結果、妨害制御部211は、不正端末12のアドレス情報を入力し、妨害ARPリプライ及び妨害ARPリクエストの送信要求をARP処理部22のARP送信部222に対して行う(ステップS432)。
As a result, the jamming control unit 211 inputs the address information of the unauthorized terminal 12, and sends a jamming ARP reply and a jamming ARP request transmission request to the
ARP処理部22のARP送信部222は、図6の妨害ARPリプライRP1に示すように、送信元MACアドレス情報エリアD1105において、自分のMACアドレス、すなわちネットワーク不正接続防止装置20のMACアドレスを設定し、送信元IPアドレス情報エリアD1106に不正端末12のIPアドレスを設定し、送信先MACアドレス情報エリアD1107に不正端末12のMACアドレスを設定し、そして送信先IPアドレス情報エリアD1108に不正端末12のIPアドレスを設定し(ステップS441)たARPメッセージを生成し(ステップS441)、送信する(ステップS452及びS14)。なお、図5においては、ここにおいてもステップS451としてVLANタグ付与を行っているが、これも実施例(3)において説明する。
The
また、ネットワーク不正接続防止装置20においては、図6に示す妨害ARPリクエストRQ3を送信するため、送信元MACアドレス情報エリアD1109にネットワーク不正接続防止装置20のMACアドレスを設定し、送信元IPアドレス情報エリアD1110に不正端末12のIPアドレスを設定し、送信先IPアドレス情報エリアD1112に不正端末12のIPアドレスを設定したARPメッセージを生成し、送信する(ステップS441,S452, S15)。
Further, in order to transmit the disturbing ARP request RQ3 shown in FIG. 6 in the network unauthorized
これにより、不正端末12はIPアドレスが重複していることを知らされるので、通信を止めることになる。 As a result, since the unauthorized terminal 12 is informed that the IP address is duplicated, the communication is stopped.
なお、再度不正端末12から正規ARPリクエストRQ4が送信されるようなことがあった場合(ステップS16)、正規端末11においてはIPアドレスが重複していないため無視されるが(ステップS17)、ネットワーク不正接続防止装置20においては不正検出が行われ(ステップS18)、上記と同様にして妨害ARPリプライRP2が送信され(ステップS19)、これとともに妨害ARPリクエストRQ5を送信する(ステップS20)ことにより、不正端末12においては、IPアドレスが重複したことにより完全に閉塞したように見え、通信不能と判断することになる(ステップS21)。
実施例(2):図7、図8、図5
この実施例(2)は、不正端末から正規端末への通信時における不正検出及び妨害を行うものであり、システム構成は、図1(2)に示すものに対応している。
In addition, when the regular ARP request RQ4 is transmitted from the unauthorized terminal 12 again (step S16), the IP address is not duplicated in the regular terminal 11 but is ignored (step S17). In the unauthorized
Example (2): FIG. 7, FIG. 8, FIG.
This embodiment (2) performs fraud detection and interference during communication from a fraudulent terminal to a legitimate terminal, and the system configuration corresponds to that shown in FIG. 1 (2).
まず、図7(1)は端末間の正常接続時のシーケンス例を示したもので、正規端末10が正規端末11に対し通信を開始したとき、正規端末10は正規ARPリクエストRQ11を送信することにより正規端末のMACアドレスを要求する(ステップS31)。 First, Fig. 7 (1) shows an example of a sequence at the time of normal connection between terminals. When the regular terminal 10 starts communication with the regular terminal 11, the regular terminal 10 sends a regular ARP request RQ11. To request the MAC address of the authorized terminal (step S31).
この正規ARPリクエストRQ11を受信した正規端末11は自分のMACアドレスを格納した正規ARPリプライRP11を正規端末10に対して返信する(ステップS33)ことで正規端末10から正規端末11へのIP通信(1)(ステップS34)が可能となる。なお、正規ARPリクエストRQ11を正規端末11と同時に受信したネットワーク不正接続防止装置20においては、正常時は、図5のステップS401〜S422を実行することによりステップS422において不正アドレスではないことが分かるので、この正規ARPリクエストRQ11を無視する(ステップS32)。
The regular terminal 11 that has received the regular ARP request RQ11 returns a regular ARP reply RP11 storing its own MAC address to the regular terminal 10 (step S33), so that IP communication from the regular terminal 10 to the regular terminal 11 ( 1) (Step S34) becomes possible. Note that in the network unauthorized
また、正規端末11は正規端末10へのIP通信(2)を実現するため、正規ARPリクエストRQ12を送信する(ステップS35)ことで正規端末10のMACアドレス要求後、正規端末10からの正規ARPリプライRP12を受信する(ステップS37)ことで正規端末11は正規端末10のMACアドレスを取得するので、双方向でのIP通信(1)及び(2)が確立される。 Further, in order to realize IP communication (2) to the regular terminal 10, the regular terminal 11 transmits a regular ARP request RQ12 (step S35), thereby requesting the regular ARP from the regular terminal 10 after requesting the MAC address of the regular terminal 10. By receiving the reply RP12 (step S37), the authorized terminal 11 acquires the MAC address of the authorized terminal 10, so that bidirectional IP communication (1) and (2) is established.
なお、ステップS35で送信された正規ARPリクエストRQ12は、ネットワーク不正接続防止装置20においても受信されるが、正常時は上記と同様に無視されることになる(ステップS36)。
The regular ARP request RQ12 transmitted in step S35 is also received by the network unauthorized
一方、図7(2)に示すように、正規端末10の代わりに不正端末12がLAN100に接続された場合、不正端末12が正規端末11に対して通信を開始したとき、不正端末12は図8に示す正規ARPリクエストRQ13を送信することで正規端末11のMACアドレスを要求する(ステップS41)。正規ARPリクエストRQ13を受信した正規端末11は自分のMACアドレスを格納した正規ARPリプライRP13を不正端末12に対して送信する(ステップS43)ことで不正端末12から正規端末11へのIP通信(1)が可能となる(ステップS44)。
On the other hand, as shown in FIG. 7 (2), when the unauthorized terminal 12 is connected to the
また、正規端末11は不正端末12へのIP通信(2)を実現するために、正規ARPリクエストRQ14を送信する(ステップS45)ことで不正端末12のMACアドレスを要求し、これに応答して不正端末12からの正規ARPリプライRP14が送られて来る(ステップS47)ことで正規端末11は不正端末12のMACアドレスを取得し双方向でのIP通信(1)及び(2)が確立される(ステップS44,S48)。 The authorized terminal 11 requests the MAC address of the unauthorized terminal 12 by sending an authorized ARP request RQ14 (step S45) in order to realize IP communication (2) to the unauthorized terminal 12, and in response to this, By sending the regular ARP reply RP14 from the unauthorized terminal 12 (step S47), the authorized terminal 11 obtains the MAC address of the unauthorized terminal 12, and bidirectional IP communication (1) and (2) is established. (Steps S44, S48).
一方、正規ARPリクエストRQ13をブロードキャストで受信したネットワーク不正接続防止装置20は、不正接続判定部23における不正接続部231によって、入力アドレス情報がネットワーク管理者によって予め登録されたアドレス情報データベース部24に存在するか否かを判定し(図5のステップS422)、この結果、アドレス情報データベース部24内に入力アドレス情報が存在しない場合、不正接続と見做し(ステップS42)、アドレス情報を入力し、妨害処理部25内の妨害制御部251を起動する。なお、正規ARPリクエストRQ14を受信したときには、ネットワーク不正接続防止装置20は正規の端末であることが分かるので無視する(ステップS46)。
On the other hand, the network unauthorized
妨害制御部251においては、送信元のアドレス情報を受信アドレスバッファ252に格納した後、送信元のアドレス情報と送信先のアドレス情報を比較し、一致しない場合、不正端末12から正規端末11への通信と判断する(ステップS431)。
In the jamming
不正接続を認識した妨害制御部251は、アドレス情報を入力とし、ARP処理部22内のARP送信部222を起動する。ARP送信部222は入力情報を元にARPメッセージとしての妨害ARPリクエストを編集する。
Recognizing the unauthorized connection, the
すなわち、ARP送信部222は意図的に、ARPリクエスト内の送信元MACアドレス情報エリアD1205においてネットワーク不正接続防止装置20のMACアドレスを設定し、送信元IPアドレス情報エリアD1206に不正端末12のIPアドレスを設定し、送信先IPアドレス情報エリアD1208に不正端末12のIPアドレスをそれぞれ設定して、図8に示す妨害ARPリクエストRQ15を送信する(ステップS49)。
That is, the
妨害ARPリクエストRQ15を受信した不正端末12は、自分自身が使用しているIPアドレスをネットワーク不正接続防止装置20が使用していることから、IPアドレスが重複していることを認識するため、正規端末11へのIP通信(3)(ステップS50)を妨害することが可能となる。
The unauthorized terminal 12 that received the disturbing ARP request RQ15 recognizes that the IP address used by itself is used by the network unauthorized
また、不正端末12は、妨害ARPリクエストRQ15を受信した後は、正規端末11宛のIPパケット(ステップS50)はネットワーク不正接続防止装置20に向けて流れるため(ステップS51)、通信は成立しないことになる。このときネットワーク不正接続防止装置20は正規端末11からのIP通信(3)を無視する(ステップS52)。
Also, after the unauthorized terminal 12 receives the disturbing ARP request RQ15, the IP packet (step S50) addressed to the authorized terminal 11 flows toward the network unauthorized connection prevention device 20 (step S51), so that communication cannot be established. become. At this time, the network unauthorized
なお、ネットワーク不正接続防止装置20において、不正検出したとき(ステップS42)から、妨害ARPリクエストRQ15を送信する(ステップS49)まで時間がかかっているように示されているが、実際には即応答することになる。
The network unauthorized
また、万が一ネットワーク上でロスが発生し、不正端末12から正規端末11への通信を妨害できなかった場合の救済対策として、1回目の妨害ARPリクエストRQ15を送信した後、妨害処理部25内のタイマー制御部253は受信アドレスバッファ252内に書き込まれたアドレス情報に対し、一定間隔でこの例では3回、妨害制御部25を経由して妨害ARPリクエストRQ16〜RQ18の送信要求を実施することで、通信を妨害している(ステップS53,S57, S61)。
In addition, in the unlikely event that a loss occurs on the network and communication from the unauthorized terminal 12 to the authorized terminal 11 cannot be interrupted, after sending the first disturbing ARP request RQ15, The
そして、タイマー満了時(ステップS434)、タイマー制御部253は受信アドレスバッファ252内に書き込まれた対応アドレス情報を解放することで不正端末12への妨害ARPメッセージの送信を中止することになる。
When the timer expires (step S434), the
また、妨害ARPリクエストを受信したとき、不正端末12においては一時的に閉塞したように見えるが、しばらくするとIPパケット送信可能となるので(ステップS65)、上述したように数回妨害ARPリクエストRQ16〜RQ18を送信することが好ましい。これらの各妨害ARPリクエストに対して不正端末12からのIP通信(3)(ステップS54,S58, S62)はそれぞれ無視される(ステップS56, S60, S64)。
実施例(3):図9〜図11
この実施例(3)は、ネットワーク不正接続防止装置20から、ネットワークに存在する不正端末の捜索を行う実施例を示したものである。
Also, when a disturbing ARP request is received, it appears that the unauthorized terminal 12 is temporarily blocked, but since it becomes possible to transmit an IP packet after a while (step S65), as described above, the disturbing ARP request RQ16 ~ It is preferable to send RQ18. The IP communication (3) (steps S54, S58, S62) from the unauthorized terminal 12 is ignored for each of these disturbing ARP requests (steps S56, S60, S64).
Example (3): FIGS. 9 to 11
This embodiment (3) shows an embodiment in which the unauthorized terminal existing in the network is searched from the unauthorized network
まずこの実施例においては、ネットワーク不正接続防止装置20は、捜索要求処理部26内のタイマー処理部262がタイマー満了時(図10のステップS501)、捜索制御部261を起動する。捜索制御部261は全端末のIPアドレスを検索するために、アドレス情報データベース部24に対しARP送出先アドレスデータベース検索の指示を出す(ステップS502)。
First, in this embodiment, the network unauthorized
この結果、ARP送出先アドレスが判明すると、捜索要求処理部26はARP送信部222に対し、ARPリクエスト送信要求(ステップS503, S504)を指示し、捜索制御部261からの入力情報に基づき、ARPメッセージ(ARPリクエスト)の生成を行う(ステップS511)。
As a result, when the ARP destination address is found, the search
このときのメッセージ内容は、図11の正規ARPリクエストRQ21に示すように、送信元MACアドレス情報エリアD1301にネットワーク不正接続防止装置20のMACアドレスを設定し、送信元IPアドレス情報エリアD1302にネットワーク不正接続防止装置20のIPアドレスを設定し、送信先IPアドレス情報エリアD1304にARP送出先アドレスデータベース検索(ステップS502)によって判明した端末のIPアドレス(図示の例では正規端末11のIPアドレス)が設定される。
As shown in the regular ARP request RQ21 in FIG. 11, the message content at this time is set the MAC address of the network unauthorized
そして、ARP送信部222は、ネットワークインタフェース部21からの捜索ARPリクエスト送信指示(ステップS522)により、正規ARPリクエストRQ21をLAN100に送信する(ステップS522)。
Then, the
このようにして、ネットワーク不正接続防止装置20から送信された正規ARPリクエストRQ21(図9のステップS71)が正規端末11宛の正規ARPリクエストの場合、正規端末11は正規ARPリプライRP21をネットワーク不正接続防止装置20に返す(ステップS72)。この正規ARPリプライRP21のメッセージ内容は、図11に示すように、タイプ=“806”でARPフレームであることが示され、オプションコード=“02”でARPリプライであることが設定されるとともに、送信元MACアドレス情報エリアD1305に正規端末11のMACアドレスが設定され、送信元IPアドレス情報エリアD1306に正規端末11のIPアドレスが設定され、送信先IPアドレス情報エリアD1307にネットワーク不正接続防止装置20のMACアドレスが設定され、そして送信先IPアドレス情報エリアD1308にネットワーク不正接続防止装置20のIPアドレスが設定されることになる。
In this way, when the regular ARP request RQ21 (step S71 in FIG. 9) transmitted from the network unauthorized
ネットワーク不正接続防止装置20が正規ARPリプライRP21を受信すると、上述したように図5のステップS422により、不正でないと判断して無視する(ステップS74)。
When the network unauthorized
更に、次のARP送出先アドレス検索が、捜索要求処理部26からのARP送出先アドレスデータベース検索指示(ステップS502)によって再開される。その後の制御方法は上記と同様に実行される。図9の例では、正規ARPリクエストRQ24及びその他全IPアドレスに正規ARPリクエストを送信する(ステップS84)。図示の例では、端末11及び10は応答しない(ステップS82,S83)。
Further, the next ARP destination address search is resumed by an ARP destination address database search instruction (step S502) from the search
そして、ARP送出先アドレスデータベース検索指示(ステップS502)により全端末のIPアドレスにARPリクエストを送信し終えると(ステップS85)、全処理終了(ステップS503)となり、不正端末検索フローが終了する。このとき、タイマー処理部262はリセットされ、タイマーが満了になると再び不正端末検索フローが開始され(ステップS86)、ネットワーク不正接続防止装置20から正規端末11宛の正規ARPリクエストRQ21が再度送信され(ステップS87)、正規端末11からは上記と同様に正規ARPリプライRP21が返送される(ステップS88)。
When the ARP request destination database search instruction (step S502) finishes sending ARP requests to the IP addresses of all terminals (step S85), the whole process ends (step S503), and the unauthorized terminal search flow ends. At this time, the
一方、ネットワーク不正接続防止装置20は、正規ARPリプライRP21を受信した後、図示の如く不正端末12宛の正規ARPリクエストRQ22を送信したとすると(ステップS75)、不正端末11から正規ARPリプライRP22を受信した結果(ステップS77)、上述したように図5のステップS422において不正と判定した場合には(ステップS78)、妨害ARPリクエストRQ23を送信する(ステップS79)。この妨害ARPリクエストRQ23は図8に示した妨害ARPリクエストRQ15〜RQ18と同様のものであり、これを不正端末12に送信することによって、不正端末12においてはIPアドレスが重複することとなり通信妨害を可能にする。
On the other hand, if the network unauthorized
なお、上記と同様に妨害ARPリクエストを受信したときには一時的に閉塞したように見えるがしばらくするとIPパケット送信可能な状態となる(ステップS80)ので、この実施例においても、タイマーにより繰り返し妨害ARPリクエストを送信することが好ましい。
実施例(4):図12及び図5
この実施例(4)は上記の実施例(1)の変形例を示すものである。すなわち、図12を図6と比較すると分かるように、不正端末12からの正規ARPリクエストRQ2に関しては、図6のフレームではVLANタグが付いていないが、図12の実施例においては、VLANタグが追加され、図2に示すVLAN環境のネットワークに対応させている。
In the same way as above, when a disturbing ARP request is received, it seems to be temporarily blocked, but after a while the IP packet can be sent (step S80), so in this embodiment also the disturbing ARP request is repeated by the timer. Is preferably transmitted.
Example (4): FIGS. 12 and 5
This embodiment (4) shows a modification of the above embodiment (1). That is, as can be seen by comparing FIG. 12 with FIG. 6, regarding the regular ARP request RQ2 from the unauthorized terminal 12, there is no VLAN tag in the frame of FIG. 6, but in the embodiment of FIG. Added to support the VLAN environment network shown in Figure 2.
すなわち、上記の実施例(1)において、図5に示すステップS402においてVLANタグの解析を行い、ステップS451においてVLANタグの付与を行う点が異なっており、ネットワーク不正接続防止装置20は、正規ARPリクエストRQ2を受信すると(図4(2)のステップS13)、ネットワークインタフェース部21内のVLANタグ解析部211で受信パケット内のVLANタグ情報の有無を判定し、VLANタグ情報が有る場合にはこのVLANタグ情報を解析し(ステップS402)、VLANタグ情報を上記のアドレス情報に加えた形の入力情報としてARP処理部22を起動し、ARP受信部221でARPメッセージか否かの判定を行い(ステップS411)、送信元・送信先のアドレス情報(MACアドレス、IPアドレス)の抽出を行う。
That is, in the above embodiment (1), the VLAN tag is analyzed in step S402 shown in FIG. 5 and the VLAN tag is assigned in step S451. When the request RQ2 is received (step S13 in FIG. 4 (2)), the VLAN tag analysis unit 211 in the network interface unit 21 determines the presence / absence of VLAN tag information in the received packet. The VLAN tag information is analyzed (step S402), the
ARP受信部221でARPメッセージと判定したARP処理部22は、抽出したVLANタグ情報及びアドレス情報を入力情報として不正接続判定部23を起動する。起動された不正接続判定部23は不正検出部231により、入力VLANタグ情報及び入力アドレス情報の組がネットワーク管理者によって予め登録されたアドレス情報データベース部224に存在するか否かを判定する(ステップS422)。
The
この判定処理によって、アドレス情報データベース部24内に入力VLANタグ情報及び入力アドレス情報の組が存在する時には、図4(1)に示すようなシーケンスとなるが、存在しない場合には、不正接続と見做し、妨害処理部25内の妨害制御部251を起動する。
With this determination process, when the set of input VLAN tag information and input address information exists in the address
妨害制御部251では、ステップS431において、送信元IPアドレス情報エリアD1102と送信先IPアドレス情報エリアD1104が同一であることから、ネットワーク接続時と判断してVLANタグ情報及び不正端末12のアドレス情報を入力情報とし、妨害ARPリプライ及び妨害ARPリクエスト送信要求を、ARP処理部22内のARP送信部222に対して行う。ARP送信部222は、入力情報を元に上記と同様にARPメッセージを生成する(ステップS441)。ARP処理部22は、生成したメッセージ及びVLANタグ情報を入力してネットワークインタフェース部21を起動する。
In the
ネットワークインタフェース部21では、VLANタグ付与部212において、VLAN環境下であれば入力VLANタグ情報を送信メッセージのVLANタグ情報として設定し、図12に示す妨害ARPリプライ(RP1,RP2)及び妨害ARPリクエスト(RQ3,RQ5)をARPメッセージとして送出する(ステップS452)。
In the network interface unit 21, the VLAN
ここで、受信時のVLANタグ情報と同じVLANタグ情報を挿入して送信することにより、図2に示すようなVLAN環境下でも、VLANタグが例えば、“A”であれば、これに対応するセグメント“A”内における不正端末12に対し確実に妨害ARPメッセージが届き妨害可能となる。
実施例(5):図13及び図5
この実施例(5)は上記の実施例(2)の変形例を示したもので、上記の実施例(4)と実施例(1)との関係と同様に、入力情報としてアドレス情報に加えてVLANタグ情報を用いたものである。
Here, by inserting and transmitting the same VLAN tag information as the VLAN tag information at the time of reception, even if the VLAN tag is “A”, for example, even in a VLAN environment as shown in FIG. A disturbing ARP message is reliably delivered to the unauthorized terminal 12 in the segment “A” and can be blocked.
Example (5): FIGS. 13 and 5
This embodiment (5) shows a modification of the above embodiment (2), and in addition to the address information as input information, as in the relationship between the above embodiment (4) and the embodiment (1). VLAN tag information is used.
すなわち、図7(2)に示す不正端末12からの正規ARPリクエストRQ13として図13に示すように、パケット内にVLANタグ情報が付加されており、ネットワーク不正接続防止装置20においては、上記の実施例(4)と同様にアドレス情報に加えてVLANタグ情報も不正アドレスの判定に用い(図5のステップS422)、図7(2)の場合には不正アドレスが検出されるので、ステップS431に進む。このとき、実施例(2)の場合には、端末間通信を行う場合であるので、この実施例(5)においても同様にステップS433に進んで図13に示す妨害ARPリクエストRQ13の送信要求を行う。 That is, as shown in FIG. 13 as a regular ARP request RQ13 from the unauthorized terminal 12 shown in FIG. 7 (2), VLAN tag information is added in the packet. As in the example (4), in addition to the address information, the VLAN tag information is also used for determining an illegal address (step S422 in FIG. 5). In the case of FIG. 7 (2), an illegal address is detected. move on. At this time, since the case of the embodiment (2) is a case where communication between terminals is performed, also in this embodiment (5), the process similarly proceeds to step S433, and the transmission request of the disturbing ARP request RQ13 shown in FIG. Do.
そして、ステップS441でARPメッセージを生成する際に、不正端末12から受信した正規ARPリクエストRQ13に設定されているVLANタグ情報をVLANタグ付与部212が付与することにより(ステップS451)、妨害ARPリクエストRQ13が送信され、VLAN環境下に置かれている不正端末12においても確実に妨害ARPメッセージが届き妨害可能となる。
実施例(6):図14及び図10
この実施例(6)は上記の実施例(3)の変形例を示すものである。すなわち、図14に示すように、ネットワーク不正接続防止装置20からの正規ARPリクエストRQ21,RQ22は、図11に示したパケットに対して、VLANタグ情報が加えられた形になっており、これは図10に示すフローチャートにおいて、ARP処理部22がARPメッセージを生成する際(ステップS511)、アドレス情報に加えてVLANタグ情報も併せてVLANタグ付与部212において付与し(ステップS521)、捜索ARPリクエストとして送信するものである(ステップS522)。
Then, when generating the ARP message in step S441, the VLAN
Example (6): FIGS. 14 and 10
This embodiment (6) shows a modification of the above embodiment (3). That is, as shown in FIG. 14, the regular ARP requests RQ21 and RQ22 from the network unauthorized
したがって、このような捜索ARPリクエストを受けた端末においては、図14に示すように正規ARPリクエストのARPリプライRP21,RP22として、正規ARPリクエストに設定されているVLANタグ情報をそのまま追加したフレームが返送されて来るので、図9で説明したように、不正端末12からの正規ARPリプライRP22は、ネットワーク不正接続防止装置20において不正検出されることとなる(ステップS78)。 Therefore, at the terminal that has received such a search ARP request, as shown in FIG. 14, a frame with the VLAN tag information set in the normal ARP request added as is is returned as the ARP replies RP21 and RP22 of the normal ARP request. Therefore, as explained in FIG. 9, the authorized ARP reply RP22 from the unauthorized terminal 12 is detected illegally in the unauthorized network connection preventing apparatus 20 (step S78).
なお、本発明におけるARPリクエストは、IPアドレスが既知の通信相手の物理アドレス(もしくはリンク層アドレス)を求めるプロトコルの規定(RFC826)に基づく通信フレームであるARPフレームの1つを単に指すものではなく、本発明の主旨に照らしてその目的及び機能を有するあらゆる通信フレームとして構成し得るものである。 The ARP request in the present invention does not simply indicate one of the ARP frames that is a communication frame based on the protocol specification (RFC826) for obtaining the physical address (or link layer address) of the communication partner whose IP address is known. In light of the gist of the present invention, it can be configured as any communication frame having the purpose and function.
(付記1)
端末よりLANを介して受信したARPリクエストに含まれる該端末の個有情報が登録済であるか否かを判定する第1ステップと、
該第1ステップで未登録と判定されたとき、該端末を不正端末と見做して該端末の個有情報が重複して存在することを示す妨害メッセージを送信する第2ステップと、
を備えたことを特徴とするネットワーク不正接続防止方法。
(付記2)
付記1において、
該ARPリクエストが、ネットワーク接続時に送信されるARPリクエストであることを特徴とするネットワーク不正接続防止方法。
(付記3)
付記1において、
該ARPリクエストが、該不正端末が他の端末に対して個有情報を要求するときのARPリクエストであることを特徴とするネットワーク不正接続防止方法。
(付記4)
付記1において、
該第2ステップが、該妨害メッセージを一定時間間隔毎に所定回数くり返して送信するステップを含むことを特徴とするネットワーク不正接続防止方法。
(付記5)
付記1において、
該妨害メッセージは、該不正端末が該個有情報の重複状態となるように、送信元アドレスに該不正端末の個有情報を設定した妨害リプライ及び妨害リクエストの内の少なくともいずれか一方から成ることを特徴とするネットワーク不正接続防止方法。
(付記6)
付記1において、
該個有情報が、MACアドレス又はIPアドレスであることを特徴とするネットワーク不正接続防止方法。
(付記7)
登録済の端末の各々に対してARPリクエストを順次送信する第1ステップと、
該ARPリクエストに応答して返って来たARPリプライから、その端末の個有情報が登録済であるか否かを判定する第2ステップと、
該第2ステップで未登録と判定されたとき、該端末を不正端末と見做して該端末の個有情報が重複して存在することを示す妨害メッセージを送信する第3ステップと、
を備えたことを特徴とするネットワーク不正接続防止方法。
(付記8)
付記1から7のいずれか1つにおいて、
該個有情報が、判定対象としてアドレス及びVLANタグを含み、該妨害メッセージが該アドレス及び該VLANタグを含むことを特徴とするネットワーク不正接続防止方法。
(付記9)
端末よりLANを介して受信したARPリクエストに含まれる該端末の個有情報が登録済であるか否かを判定する第1手段と、
該第1手段で未登録と判定されたとき、該端末を不正端末と見做して該端末の個有情報が重複して存在することを示す妨害メッセージを送信する第2手段と、
を備えたことを特徴とするネットワーク不正接続防止装置。
(付記10)
付記9において、
該ARPリクエストが、ネットワーク接続時に送信されるARPリクエストであることを特徴とするネットワーク不正接続防止装置。
(付記11)
付記9において、
該ARPリクエストが、該不正端末が他の端末に対して個有情報を要求するときのARPリクエストであることを特徴とするネットワーク不正接続防止装置。
(付記12)
付記9において、
該第2手段が、該妨害メッセージを一定時間間隔毎に所定回数くり返して送信する手段を含むことを特徴とするネットワーク不正接続防止装置。
(付記13)
付記9において、
該妨害メッセージは、該不正端末が該個有情報の重複状態となるように、送信元アドレスに該不正端末の個有情報を設定した妨害リプライ及び妨害リクエストの内の少なくともいずれか一方から成ることを特徴とするネットワーク不正接続防止装置。
(付記14)
付記9において、
該個有情報が、MACアドレス又はIPアドレスであることを特徴とするネットワーク不正接続防止装置。
(付記15)
登録済の端末の各々に対してARPリクエストを順次送信する第1手段と、
該ARPリクエストに応答して返って来たARPリプライから、その端末の個有情報が登録済であるか否かを判定する第2手段と、
該第2手段で未登録と判定されたとき、該端末を不正端末と見做して該端末の個有情報が重複して存在することを示す妨害メッセージを送信する第3手段と、
を備えたことを特徴とするネットワーク不正接続防止装置。
(付記16)
付記9から15のいずれか1つにおいて、
該個有情報が、判定対象としてアドレス及びVLANタグを含み、該妨害メッセージが、該アドレス及び該VLANタグを含むことを特徴とするネットワーク不正接続防止装置。
(Appendix 1)
A first step of determining whether or not the personal information of the terminal included in the ARP request received via the LAN from the terminal has been registered;
A second step of transmitting a jamming message indicating that the terminal's personal information is duplicated when the terminal is determined to be unregistered in the first step;
A method for preventing unauthorized network connection, comprising:
(Appendix 2)
In
A network unauthorized connection prevention method, wherein the ARP request is an ARP request transmitted at the time of network connection.
(Appendix 3)
In
A network unauthorized connection prevention method, wherein the ARP request is an ARP request when the unauthorized terminal requests private information from another terminal.
(Appendix 4)
In
2. The network unauthorized connection prevention method according to
(Appendix 5)
In
The jamming message is composed of at least one of a jamming reply and a jamming request in which the personal information of the illegal terminal is set in the transmission source address so that the illegal terminal is duplicated in the personal information. A method for preventing unauthorized network connection.
(Appendix 6)
In
A network unauthorized connection prevention method, wherein the personal information is a MAC address or an IP address.
(Appendix 7)
A first step of sequentially sending an ARP request to each registered terminal;
From the ARP reply returned in response to the ARP request, a second step of determining whether the personal information of the terminal has been registered,
When it is determined that the terminal is not registered in the second step, a third step of transmitting a jamming message indicating that the terminal is regarded as an unauthorized terminal and the unique information of the terminal is duplicated; and
A method for preventing unauthorized network connection, comprising:
(Appendix 8)
In any one of
The network unauthorized connection prevention method, wherein the personal information includes an address and a VLAN tag as a determination target, and the interference message includes the address and the VLAN tag.
(Appendix 9)
A first means for determining whether the personal information of the terminal included in the ARP request received via the LAN from the terminal is registered;
When it is determined that the first means is not registered, the second means that the terminal is regarded as an unauthorized terminal and transmits a jamming message indicating that the unique information of the terminal exists,
An apparatus for preventing unauthorized connection of a network, comprising:
(Appendix 10)
In Appendix 9,
An apparatus for preventing unauthorized network connection, wherein the ARP request is an ARP request transmitted at the time of network connection.
(Appendix 11)
In Appendix 9,
An apparatus for preventing unauthorized connection of a network, wherein the ARP request is an ARP request when the unauthorized terminal requests private information from another terminal.
(Appendix 12)
In Appendix 9,
An apparatus for preventing unauthorized connection of a network, wherein the second means includes means for repeatedly transmitting the jamming message a predetermined number of times at regular time intervals.
(Appendix 13)
In Appendix 9,
The jamming message is composed of at least one of a jamming reply and a jamming request in which the personal information of the illegal terminal is set in the transmission source address so that the illegal terminal is duplicated in the personal information. An apparatus for preventing unauthorized connection of network.
(Appendix 14)
In Appendix 9,
An apparatus for preventing unauthorized connection of a network, wherein the unique information is a MAC address or an IP address.
(Appendix 15)
A first means for sequentially sending an ARP request to each registered terminal;
From the ARP reply returned in response to the ARP request, a second means for determining whether or not the personal information of the terminal has been registered;
When it is determined that the second means is unregistered, the third means for transmitting a jamming message indicating that the terminal is regarded as an unauthorized terminal and that the unique information of the terminal is duplicated, and
An apparatus for preventing unauthorized connection of a network, comprising:
(Appendix 16)
In any one of appendices 9 to 15,
An apparatus for preventing unauthorized connection of a network, wherein the personal information includes an address and a VLAN tag as a determination target, and the interference message includes the address and the VLAN tag.
10,11 正規端末
12 不正端末
20 ネットワーク不正接続防止装置
30 ハブ
21 ネットワークインタフェース部
211 VLANタグ解析部
212 VLANタグ不要部
22 ARP処理部
221 ARP受信部
222 ARP送信部
23 不正接続判定部
231 不正検出部
24 アドレス情報データベース部
25 妨害処理部
100 LAN
110 VLAN
251 妨害制御部
252 受信アドレスバッファ
253 タイマー制御部
26 捜索要求処理部
261 捜索制御部
262 タイマー処理部
RP(RP1, RP11, RP12) ARPリプライ
RQ(RQ1, RQ2 ,RQ3, RQ4, RQ11, RQ12) ARPリクエスト
図中、同一符号は同一又は相当部分を示す。
10,11 Regular terminal
12 Unauthorized terminal
20 Network unauthorized connection prevention device
30 hub
21 Network interface section
211 VLAN tag analyzer
212 VLAN tag unnecessary part
22 ARP processing section
221 ARP receiver
222 ARP transmitter
23 Unauthorized connection determination section
231 Fraud detector
24 Address information database section
25 Interference handling section
100 LAN
110 VLAN
251 Interference controller
252 Receive address buffer
253 Timer controller
26 Search request processing section
261 Search Control Unit
262 Timer processing section
RP (RP1, RP11, RP12) ARP reply
RQ (RQ1, RQ2, RQ3, RQ4, RQ11, RQ12) ARP request In the figure, the same symbols indicate the same or corresponding parts.
Claims (5)
該第1ステップで未登録と判定されたとき、該端末を不正端末と見做して該端末の個有情報が重複して存在することを示す妨害メッセージを送信する第2ステップと、
を備えたことを特徴とするネットワーク不正接続防止方法。 A first step of determining whether or not the personal information of the terminal included in the ARP request received via the LAN from the terminal has been registered;
A second step of transmitting a jamming message indicating that the terminal's personal information is duplicated when the terminal is determined to be unregistered in the first step;
A method for preventing unauthorized network connection, comprising:
該ARPリクエストが、ネットワーク接続時に送信されるARPリクエストであることを特徴とするネットワーク不正接続防止方法。 In claim 1,
A network unauthorized connection prevention method, wherein the ARP request is an ARP request transmitted at the time of network connection.
該第1手段で未登録と判定されたとき、該端末を不正端末と見做して該端末の個有情報が重複して存在することを示す妨害メッセージを送信する第2手段と、
を備えたことを特徴とするネットワーク不正接続防止装置。 A first means for determining whether the personal information of the terminal included in the ARP request received via the LAN from the terminal is registered;
When it is determined that the first means is not registered, the second means that the terminal is regarded as an unauthorized terminal and transmits a jamming message indicating that the unique information of the terminal exists,
An apparatus for preventing unauthorized connection of a network, comprising:
該ARPリクエストが、ネットワーク接続時に送信されるARPリクエストであることを特徴とするネットワーク不正接続防止装置。 In claim 3,
An apparatus for preventing unauthorized network connection, wherein the ARP request is an ARP request transmitted at the time of network connection.
該ARPリクエストに応答して返って来たARPリプライから、その端末の個有情報が登録済であるか否かを判定する第2手段と、
該第2手段で未登録と判定されたとき、該端末を不正端末と見做して該端末の個有情報が重複して存在することを示す妨害メッセージを送信する第3手段と、
を備えたことを特徴とするネットワーク不正接続防止装置。
A first means for sequentially sending an ARP request to each registered terminal;
From the ARP reply returned in response to the ARP request, a second means for determining whether or not the personal information of the terminal has been registered;
When it is determined that the second means is unregistered, the third means for transmitting a jamming message indicating that the terminal is regarded as an unauthorized terminal and that the unique information of the terminal is duplicated, and
An apparatus for preventing unauthorized connection of a network, comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004003060A JP4245486B2 (en) | 2004-01-08 | 2004-01-08 | Network unauthorized connection prevention method and apparatus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004003060A JP4245486B2 (en) | 2004-01-08 | 2004-01-08 | Network unauthorized connection prevention method and apparatus |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005198090A true JP2005198090A (en) | 2005-07-21 |
JP4245486B2 JP4245486B2 (en) | 2009-03-25 |
Family
ID=34818077
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004003060A Expired - Fee Related JP4245486B2 (en) | 2004-01-08 | 2004-01-08 | Network unauthorized connection prevention method and apparatus |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4245486B2 (en) |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008048252A (en) * | 2006-08-18 | 2008-02-28 | Fujitsu Access Ltd | Authentication system for communication device |
JP2008244765A (en) * | 2007-03-27 | 2008-10-09 | Toshiba Corp | Dynamic host configuration protocol server, and ip address assignment method |
JP2008252924A (en) * | 2008-05-19 | 2008-10-16 | Hitachi Ltd | Device, method and program for monitoring network, and recording medium with network monitoring program stored therein |
JP2008283495A (en) * | 2007-05-10 | 2008-11-20 | Nippon Telegr & Teleph Corp <Ntt> | System and method for packet transfer |
WO2009031453A1 (en) * | 2007-09-07 | 2009-03-12 | Cyber Solutions Inc. | Network security monitor apparatus and network security monitor system |
JP2009296246A (en) * | 2008-06-04 | 2009-12-17 | Alaxala Networks Corp | Network relay device, and network relay method |
JP2010226522A (en) * | 2009-03-24 | 2010-10-07 | Fuji Xerox Co Ltd | Image forming apparatus, communication apparatus, and communication program |
WO2012014509A1 (en) | 2010-07-30 | 2012-02-02 | 株式会社サイバー・ソリューションズ | Unauthorized access blocking control method |
JP2013145956A (en) * | 2012-01-13 | 2013-07-25 | Sumitomo Electric System Solutions Co Ltd | Quarantine control device, quarantine control computer program, and quarantine method |
JP2016072801A (en) * | 2014-09-30 | 2016-05-09 | パナソニックIpマネジメント株式会社 | Communication monitoring device and communication monitoring system |
JP6134954B1 (en) * | 2016-01-14 | 2017-05-31 | 株式会社Pfu | Network security device, network management method, and program |
JP2017183858A (en) * | 2016-03-29 | 2017-10-05 | アズビル株式会社 | Unauthorized access prevention device and method |
KR20210082364A (en) | 2019-12-25 | 2021-07-05 | 아즈빌주식회사 | Detection device and detection method |
JP2022525205A (en) * | 2019-03-20 | 2022-05-11 | 新華三技術有限公司 | Abnormal host monitoring |
-
2004
- 2004-01-08 JP JP2004003060A patent/JP4245486B2/en not_active Expired - Fee Related
Cited By (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008048252A (en) * | 2006-08-18 | 2008-02-28 | Fujitsu Access Ltd | Authentication system for communication device |
JP2008244765A (en) * | 2007-03-27 | 2008-10-09 | Toshiba Corp | Dynamic host configuration protocol server, and ip address assignment method |
JP2008283495A (en) * | 2007-05-10 | 2008-11-20 | Nippon Telegr & Teleph Corp <Ntt> | System and method for packet transfer |
WO2009031453A1 (en) * | 2007-09-07 | 2009-03-12 | Cyber Solutions Inc. | Network security monitor apparatus and network security monitor system |
US8819764B2 (en) | 2007-09-07 | 2014-08-26 | Cyber Solutions Inc. | Network security monitor apparatus and network security monitor system |
JP2008252924A (en) * | 2008-05-19 | 2008-10-16 | Hitachi Ltd | Device, method and program for monitoring network, and recording medium with network monitoring program stored therein |
JP4491489B2 (en) * | 2008-05-19 | 2010-06-30 | 株式会社日立製作所 | Network monitoring device, network monitoring system, and network monitoring method |
JP2009296246A (en) * | 2008-06-04 | 2009-12-17 | Alaxala Networks Corp | Network relay device, and network relay method |
JP4734374B2 (en) * | 2008-06-04 | 2011-07-27 | アラクサラネットワークス株式会社 | Network relay device and network relay device method |
US8422493B2 (en) | 2008-06-04 | 2013-04-16 | Alaxala Networks Corporation | Network relay device and network relay method |
US8390856B2 (en) | 2009-03-24 | 2013-03-05 | Fuji Xerox Co., Ltd. | Image forming apparatus, communication device, computer readable medium, and communication method |
JP2010226522A (en) * | 2009-03-24 | 2010-10-07 | Fuji Xerox Co Ltd | Image forming apparatus, communication apparatus, and communication program |
WO2012014509A1 (en) | 2010-07-30 | 2012-02-02 | 株式会社サイバー・ソリューションズ | Unauthorized access blocking control method |
US8955049B2 (en) | 2010-07-30 | 2015-02-10 | Cyber Solutions Inc. | Method and a program for controlling communication of target apparatus |
JP2013145956A (en) * | 2012-01-13 | 2013-07-25 | Sumitomo Electric System Solutions Co Ltd | Quarantine control device, quarantine control computer program, and quarantine method |
JP2016072801A (en) * | 2014-09-30 | 2016-05-09 | パナソニックIpマネジメント株式会社 | Communication monitoring device and communication monitoring system |
JP6134954B1 (en) * | 2016-01-14 | 2017-05-31 | 株式会社Pfu | Network security device, network management method, and program |
JP2017126876A (en) * | 2016-01-14 | 2017-07-20 | 株式会社Pfu | Network security device, network management method and program |
JP2017183858A (en) * | 2016-03-29 | 2017-10-05 | アズビル株式会社 | Unauthorized access prevention device and method |
JP2022525205A (en) * | 2019-03-20 | 2022-05-11 | 新華三技術有限公司 | Abnormal host monitoring |
JP7228712B2 (en) | 2019-03-20 | 2023-02-24 | 新華三技術有限公司 | Abnormal host monitoring |
KR20210082364A (en) | 2019-12-25 | 2021-07-05 | 아즈빌주식회사 | Detection device and detection method |
Also Published As
Publication number | Publication date |
---|---|
JP4245486B2 (en) | 2009-03-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100610287B1 (en) | Method and apparatus for providing node security in a router of a packet network | |
JP4405360B2 (en) | Firewall system and firewall control method | |
JP4245486B2 (en) | Network unauthorized connection prevention method and apparatus | |
JP5790827B2 (en) | Control device, control method, and communication system | |
US7207061B2 (en) | State machine for accessing a stealth firewall | |
CN1989745B (en) | Method of operating a network by test packet | |
US7725932B2 (en) | Restricting communication service | |
JP2008520159A (en) | IP management method and apparatus for protecting / blocking a specific IP address on a network or a specific apparatus | |
JP2020017809A (en) | Communication apparatus and communication system | |
JP2017175462A (en) | Communication control device, communication control method and program | |
JPWO2015174100A1 (en) | Packet transfer device, packet transfer system, and packet transfer method | |
US9686311B2 (en) | Interdicting undesired service | |
JP2007104396A (en) | Unjust connection preventing system, method, and program | |
JP2007266931A (en) | Communication interruption apparatus, and communication interruption program | |
JP2006238415A (en) | METHOD FOR OPERATING LOCAL COMPUTER NETWORK CONNECTED TO REMOTE PRIVATE NETWORK BY IPsec TUNNEL, SOFTWARE MODULE AND IPsec GATEWAY | |
WO2015136842A1 (en) | Network management device, network system, network management method, and recording medium | |
JP2009005122A (en) | Illegal access detection apparatus, and security management device and illegal access detection system using the device | |
JP7167809B2 (en) | Information processing device and network connection determination method | |
US20060185009A1 (en) | Communication apparatus and communication method | |
JP4421462B2 (en) | Intrusion detection system and management device | |
JP2005210451A (en) | Unauthorized access preventing apparatus and program | |
JP2007102747A (en) | Packet detector, message detection program, shutdown program of unauthorized e-mail | |
JP4674494B2 (en) | Packet receiver | |
JP4899973B2 (en) | Communication security system and communication security device | |
KR102005376B1 (en) | A network monitoring, access control and intrusion prevention system based on the virtual network overlays |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20061208 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080902 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081104 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090106 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090106 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120116 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130116 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130116 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140116 Year of fee payment: 5 |
|
LAPS | Cancellation because of no payment of annual fees |