JP2005051588A - Automatic filtering method and device - Google Patents

Automatic filtering method and device Download PDF

Info

Publication number
JP2005051588A
JP2005051588A JP2003282588A JP2003282588A JP2005051588A JP 2005051588 A JP2005051588 A JP 2005051588A JP 2003282588 A JP2003282588 A JP 2003282588A JP 2003282588 A JP2003282588 A JP 2003282588A JP 2005051588 A JP2005051588 A JP 2005051588A
Authority
JP
Japan
Prior art keywords
packet
icmp
unprocessable
error notification
packets
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003282588A
Other languages
Japanese (ja)
Inventor
Takehiro Hattori
雄大 服部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Holdings Corp
Original Assignee
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Industrial Co Ltd filed Critical Matsushita Electric Industrial Co Ltd
Priority to JP2003282588A priority Critical patent/JP2005051588A/en
Publication of JP2005051588A publication Critical patent/JP2005051588A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a filtering method and a device which automatically recognize IP packets which network terminals don't require, and perform abandonment processing. <P>SOLUTION: The automatic filtering method has; a step S1010 of detecting an IP packet; a step S1020 of deciding whether the detected IP packet is an ICMP packet or not; a step S1030 of discriminating whether a detected ICMP packet is a destination unreachable message or not; a step S1040 of deciding whether a detected destination unreachable message is caused by impossibility of processing in network terminals or not; a step S1050 of acquiring information of an IP packet to be abandoned, from the detected ICMP packet; and a step S1010 of setting acquired information of the IP packet to be abandoned, to a filter device. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

本発明は、ネットワークに接続された機器に対する不正なアクセスに対するため、不要なIPパケットを自動的に認識しフィルタリングする方法、および機器を提供する。   The present invention provides a method and an apparatus for automatically recognizing and filtering unnecessary IP packets for unauthorized access to an apparatus connected to a network.

近年、ネットワーク技術の進展に伴い、各家庭でも常時インターネットに接続できる環境が増大している。それに伴い、WWW(World Wide Web)等の各種サーバを自宅のPC(Personal Computer)上に構築し、宅外から宅内のPCにアクセスできるようにしている家庭も増加している。反面、常時インターネットに接続しているために、悪意を持つ人間からの不正アクセスを受ける危険が高まっている。特にDoS(Denial of Service)攻撃と呼ばれる攻撃は、業務用のサーバをも停止させるほど被害が大きく、その対策方法もいくつか考案されている(例えば特許文献1参照。)。   In recent years, with the advancement of network technology, the environment in which each home can always connect to the Internet is increasing. Along with this, an increasing number of homes have built various servers such as WWW (World Wide Web) on home PCs (Personal Computers) to allow access to home PCs from outside the home. On the other hand, since it is always connected to the Internet, there is an increased risk of unauthorized access from malicious persons. In particular, an attack called a DoS (Denial of Service) attack is so large that even a business server is stopped, and several countermeasures have been devised (see, for example, Patent Document 1).

しかしながら、上記特許文献1などで提案されている方法は、プロバイダなどのサービス業者が行うような大規模なものである。各家庭向けの対策としては、家庭用ルータ製品に標準的に備えられているIP(Internet Protocol)パケットのフィルタリング機能を用いることが一般的な方法となる。IPパケットのフィルタリング機能を用いれば、特定のパケットのみ外部から通過、または廃棄することが可能となる。例えば、通常WWWに使われるHTTP(Hyper Text Transfer Protocol)のパケットのみを通過させる場合、TCP(Transmission Control Protocol)の宛先ポート番号が80番のパケットのみを通過させ、その他の外部からのパケットを廃棄するように設定すればよい。
特開2002−158660号公報(第3−4項、図1) However, the method proposed in Patent Document 1 and the like is a large-scale method performed by a service provider such as a provider. As a countermeasure for each home, a general method is to use a filtering function of an IP (Internet Protocol) packet that is provided as standard in home router products. If the IP packet filtering function is used, only specific packets can be passed from the outside or discarded. For example, if only HTTP (Hyper Text Transfer Protocol) packets normally used for WWW are allowed to pass, only TCP (Transmission Control Protocol) destination port number 80 is passed, and other external packets are discarded. It should be set so that.
Japanese Patent Laid-Open No. 2002-158660 (Section 3-4, FIG. 1)

しかしながら、IPパケットのフィルタリング機能を用いるためには、IPに関する知識がある程度必要となり、誰にでも簡単に設定できるというものではない。すなわち、宅内に構築するサーバが何番のポートを使用しているかを把握しておかなくてはならない。さらに、新しいサーバを構築するたびに設定を更新する必要が生じる。   However, in order to use the IP packet filtering function, knowledge of IP is required to some extent, and it cannot be easily set by anyone. In other words, it is necessary to know what port the server built in the home is using. Further, it is necessary to update the setting every time a new server is constructed.

そこで、本発明は外部からアクセスされるネットワーク機器が不要とするIPパケットを自動的に判断し、フィルタリングする方法、および機器を提供することを目的とする。   Accordingly, an object of the present invention is to provide a method and apparatus for automatically determining and filtering an IP packet that is unnecessary for a network device accessed from the outside.

上記課題を解決するために本発明は、ネットワーク機器が処理することができない処理不能パケットを受信したときに前記処理不能パケットの送信元に対して送信するエラー通知パケットを検知するステップと、前記エラー通知パケットに記載されている前記処理不能パケットの情報を取得するステップと、前記処理不能パケットの情報に該当するパケットを廃棄するステップを持つことを特徴とする自動フィルタリング方法である。   In order to solve the above-mentioned problem, the present invention detects an error notification packet to be transmitted to a transmission source of the unprocessable packet when the network device receives an unprocessable packet that cannot be processed by the network device, and the error An automatic filtering method comprising: obtaining information on the unprocessable packet described in the notification packet; and discarding a packet corresponding to the information on the unprocessable packet.

これによれば、使用者はIPに関する知識が乏しくても、自動的に不要なIPパケットが認識され廃棄することで、不正アクセスを防ぐことができる。   According to this, even if the user has little knowledge about IP, it is possible to prevent unauthorized access by automatically recognizing and discarding unnecessary IP packets.

また、本発明は、前記処理不能パケットの送信元に対するエラー通知パケットの送信回数を記録し、前記送信回数が予め定められた回数を超えた場合、前記処理不能パケットの送信元から送られてくるパケットを全て廃棄することを特徴とする請求項1に記載の自動フィルタリング方法である。   Further, the present invention records the number of transmissions of the error notification packet to the transmission source of the unprocessable packet, and is transmitted from the transmission source of the unprocessable packet when the number of transmissions exceeds a predetermined number. The automatic filtering method according to claim 1, wherein all packets are discarded.

これによれば、不正なアクセスを行っている機器を判別することができるようになり、その機器からのアクセスを全て禁止し、不正アクセスを防ぐことができる。   According to this, it becomes possible to determine the device that has made unauthorized access, and all access from the device can be prohibited, thereby preventing unauthorized access.

以上、説明したところから明らかなように、本発明はICMPメッセージを解析し、ネットワーク端末にとって不要なIPパケットを自動的にフィルタリングする仕組みを備えることで、ネットワーク端末の負荷を減らすとともに、不正アクセスを防ぐことができる。   As is apparent from the above description, the present invention provides a mechanism for analyzing an ICMP message and automatically filtering IP packets unnecessary for the network terminal, thereby reducing the load on the network terminal and preventing unauthorized access. Can be prevented.

以下、本発明の実施の形態を添付面に基づいて詳述する。   Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.

(実施の形態1)
図1は本発明の実施の形態に係るネットワーク端末100の構成図を示す。ネットワーク端末100は、たとえばPCや、ネットワーク機能を備えたTVやビデオデッキなどの家庭電化製品などであり、宅内に随時設置されている。 (Embodiment 1)
FIG. 1 shows a configuration diagram of a network terminal 100 according to an embodiment of the present invention. The network terminal 100 is, for example, a home appliance such as a PC, a TV or a video deck having a network function, and is installed at home as needed.

ネットワーク端末100は、ネットワークインタフェース110を備え、このネットワークインタフェース110を用いてネットワークに接続されている。制御部120は、ネットワークインタフェース110を介して外部から入力されるIPパケットを処理し、ネットワークインタフェース110を介して外部にIPパケットを出力するためのソフトウェアプログラムを実行している。フィルタ部130は、ネットワークインタフェース110と制御部120の間に位置し、既定の設定に従ってネットワークインタフェース110から制御部120へ送信されるIPパケットを廃棄する。ICMP検出部140は、制御部120とネットワークインタフェース110の間に位置し、制御部120からネットワークインタフェース110へ送信されるICMPパケットを検出し、検出したICMPパケットからフィルタリング条件を特定し、フィルタ部130に対して設定する。ICMP、およびICMP検出部140については、後ほど詳しく説明する。   The network terminal 100 includes a network interface 110 and is connected to the network using the network interface 110. The control unit 120 executes a software program for processing an IP packet input from the outside via the network interface 110 and outputting the IP packet to the outside via the network interface 110. The filter unit 130 is located between the network interface 110 and the control unit 120 and discards an IP packet transmitted from the network interface 110 to the control unit 120 according to a predetermined setting. The ICMP detection unit 140 is located between the control unit 120 and the network interface 110, detects an ICMP packet transmitted from the control unit 120 to the network interface 110, specifies a filtering condition from the detected ICMP packet, and filters 130 Set for. The ICMP and the ICMP detection unit 140 will be described in detail later.

なお、フィルタ部130およびICMP検出部140は、ネットワークインタフェース110の機能の一部としてハードウェアとして実装されてもよいし、制御部120上で動作するソフトウェアとして実装されてもよい。   Note that the filter unit 130 and the ICMP detection unit 140 may be implemented as hardware as part of the function of the network interface 110, or may be implemented as software that operates on the control unit 120.

図2はフィルタ部130の設定例を表している。   FIG. 2 shows a setting example of the filter unit 130.

フィルタ部130では、フィルタ部130の設定表200に従ってフィルタリング処理を行っている。フィルタ部130の設定表200において、IPヘッダに含まれるプロトコル番号212、送信元IPアドレス213、および宛先IPアドレス214と、TCP、またはUDPヘッダに含まれる送信元ポート番号215、および宛先ポート番号216の組み合わせに対して動作217を設定する。動作217には「通過」「廃棄」の2つの選択肢が存在する。また、各組み合わせには優先度211があり、対象となるIPパケットが複数の組み合わせに該当する場合は、最も優先度の高い組み合わせに従う。各組み合わせに該当しないIPパケットは、優先度がデフォルトの動作に従う。   The filter unit 130 performs a filtering process according to the setting table 200 of the filter unit 130. In the setting table 200 of the filter unit 130, the protocol number 212, the source IP address 213, and the destination IP address 214 included in the IP header, and the source port number 215 and the destination port number 216 included in the TCP or UDP header are included. The operation 217 is set for the combination. In the operation 217, there are two options of “pass” and “discard”. Each combination has a priority 211, and when the target IP packet corresponds to a plurality of combinations, the combination having the highest priority is followed. An IP packet not corresponding to each combination follows the default operation.

図2の例の場合、192.168.10.5のIPアドレスを持つネットワーク端末が、192.168.0.10のIPアドレスを持つ端末にTCP(プロトコル番号6)によるWebアクセス(宛先ポート番号80)、またはTelnet(宛先ポート番号23)のみ通過させるような設定となっている。送信元ポート番号215等に設定されている「*」は、すべての値が該当するということを示している。   In the case of the example in FIG. 2, a network terminal having an IP address of 192.168.10.5 accesses a terminal having an IP address of 192.168.0.10 by TCP (protocol number 6) (destination port number). 80) or Telnet (destination port number 23) only. “*” Set in the transmission source port number 215 or the like indicates that all values are applicable.

ICMPは、PINGコマンドでも用いられているように、指定したIPアドレスを持つ端末が存在するかどうか確かめる機能も備えているが、主にIP層で発生したエラーを通知するためのプロトコルである。ICMPのエラー通知機能の1つに、宛先到達不能メッセージ(Destination Unreachable Message)を送る機能がある。宛先到達不能メッセージは、宛先IPアドレスを持つ端末にIPパケットを正しく送信できなかったことを、送信元IPアドレスを持つ端末に知らせるために用いられるメッセージである。   ICMP is also a protocol for notifying errors that occur mainly in the IP layer, although it also has a function to check whether there is a terminal having a specified IP address, as used in the PING command. One of the ICMP error notification functions is a function for sending a destination unreachable message (Destination Unreachable Message). The destination unreachable message is a message used to notify a terminal having a source IP address that an IP packet has not been correctly transmitted to a terminal having a destination IP address.

宛先到達不能メッセージのフォーマット300を図3に示す。宛先不能メッセージには、0〜7ビットにTypeフィールド301、8〜15ビットにCodeフィールド302、16〜31ビットにChecksumフィールド303、32〜63ビットにUnusedフィールド304、および64ビット以降のInternet Header + 64bit of Original Datagramフィールド305から構成されている。   A format 300 of the destination unreachable message is shown in FIG. For the non-destination message, Type field 301 for 0 to 7 bits, Code field 302 for 8 to 15 bits, Checksum field 303 for 16 to 31 bits, Unused field 304 for 32 to 63 bits, and Internet Header + after 64 bits It consists of a 64-bit of Original Datagram field 305.

ICMPパケットには、Typeフィールド301は共通に存在しており、このTypeフィールド301が「3」の場合が宛先到達不能メッセージと決められている。また、宛先到達不能メッセージでは、その理由をCodeフィールド302にセットすることができる。   The ICMP field has a common Type field 301, and when this Type field 301 is “3”, it is determined that the destination unreachable message. In the destination unreachable message, the reason can be set in the Code field 302.

ネットワーク端末100において、制御部120は受信したIPパケットのプロトコル番号212に該当するプロトコルを処理できない場合、Codeフィールド302を「2」に設定して宛先到達不能メッセージを送信する。また、制御部120は、受信したIPパケットの宛先ポート番号が未使用の場合、Codeフィールド302を「3」に設定して宛先到達不能メッセージを送信する。   In the network terminal 100, when the control unit 120 cannot process the protocol corresponding to the protocol number 212 of the received IP packet, it sets the Code field 302 to “2” and transmits a destination unreachable message. In addition, when the destination port number of the received IP packet is not used, the control unit 120 sets the Code field 302 to “3” and transmits a destination unreachable message.

すなわち、ネットワーク端末100が、宛先到達不能メッセージを返信する要因となったIPパケットは、ネットワーク端末100にとって不必要なパケットと判断することができる。   That is, the IP packet that causes the network terminal 100 to return the destination unreachable message can be determined as a packet unnecessary for the network terminal 100.

図4はICMP検出部140のフローチャートを示す。   FIG. 4 shows a flowchart of the ICMP detection unit 140.

まずステップS1010では、ICMP検出部140は制御部120からネットワークインタフェース110へ出力されるIPパケットを検出するまで待機する。   First, in step S1010, the ICMP detection unit 140 stands by until an IP packet output from the control unit 120 to the network interface 110 is detected.

ステップS1020では、受信したIPパケットがICMPパケットかどうかを検査する。ICMPパケットは、IPパケットヘッダにあるプロトコル番号フィールドが「1」と既定されているので、それを元に判断する。ICMPパケットでない場合はステップS1010へ戻る。   In step S1020, it is checked whether the received IP packet is an ICMP packet. The ICMP packet is determined based on the protocol number field in the IP packet header, which is defined as “1”. If it is not an ICMP packet, the process returns to step S1010.

ステップS1030では、ICMPパケットが宛先到達不能メッセージであるかどうかを検査する。宛先到達不能メッセージは、Typeフィールド301が「3」と既定されているので、それを元に判断する。宛先到達不能メッセージでない場合はステップS1010へ戻る。   In step S1030, it is checked whether the ICMP packet is a destination unreachable message. The destination unreachable message is determined based on the Type field 301, which is defined as “3”. If it is not a destination unreachable message, the process returns to step S1010.

ステップS1040では、宛先到達不能の理由が、プロトコル処理不可能、またはポート未使用であるかどうかを検査する。プロトコル処理不可能の場合はCodeフィールド302が「2」、ポート未使用である場合はCodeフィールド302が「3」と既定されているので、それを元に判断する。宛先到達不能の理由がそれ以外の場合はステップS1010へ戻る。   In step S1040, it is checked whether the reason why the destination is unreachable is that protocol processing is not possible or the port is not used. When the protocol processing is impossible, the Code field 302 is “2”, and when the port is not used, the Code field 302 is “3”. If the destination is unreachable, return to step S1010.

ステップS1050では、ICMPパケットのInternet Header + 64bit of Original Datagramフィールドからフィルタリングするための設定情報を抽出する。Internet Header + 64bit of Original Datagramフィールドには、ネットワーク端末100によって処理できなかったIPパケットのヘッダと8バイト分のTCP、またはUDPヘッダが格納されている。この各ヘッダから、フィルタリングするための各種設定情報を取り出すことが
ステップS1060では、ステップS1050で抽出した設定情報をフィルタ部130へ設定する。 In step S1050, setting information for filtering is extracted from the Internet Header + 64-bit of Original Datagram field of the ICMP packet. In the Internet Header + 64-bit of Original Datagram field, a header of an IP packet that could not be processed by the network terminal 100 and a TCP or UDP header for 8 bytes are stored. Extracting various setting information for filtering from each header sets the setting information extracted in step S1050 to the filter unit 130 in step S1060.

最後に、ネットワーク端末100が起動してから、最初にICMPパケットを検出して、フィルタリング設定を行うまでの手順を図5を用いて説明する。なお、ネットワーク端末100のIPアドレスは192.168.0.10とする。   Finally, the procedure from when the network terminal 100 is activated until the first ICMP packet is detected and the filtering setting is performed will be described with reference to FIG. The IP address of the network terminal 100 is assumed to be 192.168.0.10.

ステップS2010では、ネットワーク端末100が起動して、フィルタ部130の設定表200をリセットする。リセット後、フィルタ部130の設定表200は、図6に示すように、デフォルトですべてのIPパケットを通過させるような設定になる。   In step S2010, the network terminal 100 is activated to reset the setting table 200 of the filter unit 130. After the reset, the setting table 200 of the filter unit 130 is set to pass all IP packets by default as shown in FIG.

ステップS2020では、ネットワーク端末100のネットワークインタフェース110は、192.168.30.9のIPアドレスを持つ端末からIPパケット(プロトコル番号212は6、送信元IPアドレス213は、192.168.30.9、宛先IPアドレス214は192.168.0.10、送信元ポート番号215は3001、宛先ポート番号216は23)を受信する。   In step S2020, the network interface 110 of the network terminal 100 receives an IP packet (protocol number 212 is 6 and the source IP address 213 is 192.168.30.9) from a terminal having an IP address of 192.168.30.9. The destination IP address 214 is 192.168.0.10, the source port number 215 is 3001, and the destination port number 216 is 23).

ステップS2030では、フィルタ部130では、全てのIPパケットを通過させる設定になっているので、受信したIPパケットを制御部120へ渡す。   In step S2030, since the filter unit 130 is set to pass all IP packets, the received IP packet is transferred to the control unit 120.

ステップS2040では、制御部120は、ポート番号23を未使用、すなわちTelenetサーバではないので、192.168.30.9の端末に対してICMPの宛先到達不能メッセージをCodeフィールド302に「3」を設定して送信する。   In step S2040, the control unit 120 does not use the port number 23, that is, since it is not a Telnet server, so that an ICMP destination unreachable message is set to “3” in the Code field 302 to the terminal of 192.168.30.9. Set and send.

ステップS2050では、ICMP検出部140では、ICMPパケットからフィルタリングする設定を特定し、フィルタ部130に設定する。このとき、フィルタ部130の設定表200は図7のようになる。また、ICMPパケットをネットワークインタフェース110へ渡す。   In step S2050, the ICMP detection unit 140 identifies settings to be filtered from the ICMP packet and sets the settings in the filter unit 130. At this time, the setting table 200 of the filter unit 130 is as shown in FIG. Further, the ICMP packet is passed to the network interface 110.

ステップS2060では、ネットワークインタフェース110は、192.168.30.9のIPアドレスを持つ端末にICMPパケットを送信する。   In step S2060, the network interface 110 transmits an ICMP packet to a terminal having an IP address of 192.168.30.9.

以上のように、本実施例では、ICMPパケットを監視することで、ネットワーク端末100が不要とするIPパケットを自動的にフィルタリングすることで、不正なアクセスを防ぐことができる。   As described above, in this embodiment, it is possible to prevent unauthorized access by automatically monitoring IP packets unnecessary for the network terminal 100 by monitoring ICMP packets.

なお、本実施例では、ステップS2050においてICMPパケットを送信するように記述したが、ICMPパケットを送信することは、ネットワーク端末100が存在することを証明することになるので、ステップS2050、またはステップS2060においてICMPパケットを廃棄してしまってもよい。   In this embodiment, it is described that an ICMP packet is transmitted in step S2050. However, transmitting an ICMP packet proves that the network terminal 100 exists, so step S2050 or step S2060. The ICMP packet may be discarded.

(実施の形態2)
図8、図9を用いて本発明の実施の形態2における、ネットワーク端末100のICMP検出部140の動作を説明する。 (Embodiment 2)
The operation of the ICMP detection unit 140 of the network terminal 100 in the second embodiment of the present invention will be described with reference to FIGS.

図8はICMP検出部140に備えられているICMPパケット送信回数テーブル400である。ICMPパケット送信回数テーブル400は、番号401と、ICMPパケットの宛先IPアドレス402とICMPパケット送信回数403を対応させている。ICMPパケット送信回数403は、ICMPパケットを送信するごとにカウントアップされる。   FIG. 8 is an ICMP packet transmission count table 400 provided in the ICMP detection unit 140. The ICMP packet transmission times table 400 associates numbers 401 with ICMP packet destination IP addresses 402 and ICMP packet transmission times 403. The ICMP packet transmission count 403 is incremented every time an ICMP packet is transmitted.

図9は本実施の形態におけるICMP検出部140のフローチャートの一部を記している。以下、本実施の形態におけるICMP検出部140の動作を図9を用いて行う。   FIG. 9 shows a part of a flowchart of the ICMP detection unit 140 in the present embodiment. Hereinafter, the operation of the ICMP detection unit 140 in the present embodiment is performed with reference to FIG.

ICMP検出部140は、ステップS1010〜ステップS1060までは本実施の形態1において説明したとおりの動作を行うので、本実施の形態ではその説明を省略する。以下、ステップS1070以降を説明する。   The ICMP detection unit 140 performs the operation as described in the first embodiment from step S1010 to step S1060, and thus the description thereof is omitted in the present embodiment. Hereinafter, step S1070 and subsequent steps will be described.

ステップS1070では、ICMP送信回数テーブル400を更新する。ICMP検出部140は、ICMPパケット送信回数テーブル400を用いて、ICMPパケットの宛先IPアドレス402ごとに、ICMPパケット送信回数403を記録している。ステップS1070では、ICMPパケットを送信するIPアドレス402に対応するICMPパケット送信回数403をカウントアップする。   In step S1070, the ICMP transmission frequency table 400 is updated. The ICMP detection unit 140 uses the ICMP packet transmission count table 400 to record the ICMP packet transmission count 403 for each destination IP address 402 of the ICMP packet. In step S1070, the ICMP packet transmission count 403 corresponding to the IP address 402 to which the ICMP packet is transmitted is counted up.

ステップS1080では、ステップS1070でカウントアップICMPパケット送信回数403が既定値を超えたかどうか判断する。既定値を超えていない場合、ステップS1010へ戻る。   In step S1080, it is determined whether the count-up ICMP packet transmission count 403 has exceeded a predetermined value in step S1070. If the predetermined value is not exceeded, the process returns to step S1010.

ステップS1090では、ICMPパケット送信回数403が既定値を超えたIPアドレスからのIPパケットを全て拒否する設定値を、フィルタ部130へ設定する。図10に192.168.40.8のIPアドレスを持つ端末からのIPパケットを全て拒否したときの設定例を示す。   In step S1090, a setting value for rejecting all IP packets from an IP address whose ICMP packet transmission count 403 exceeds a predetermined value is set in the filter unit 130. FIG. 10 shows a setting example when all IP packets from a terminal having an IP address of 192.168.40.8 are rejected.

以上のように、本実施の形態では、ICMPパケットの宛先IPアドレスごとにICMPパケットの送信回数を記録しておくことで、ポートスキャンなどを行っている端末のIPアドレスを特定し、不正なアクセスを防ぐことができる。   As described above, in this embodiment, by recording the number of ICMP packet transmissions for each destination IP address of the ICMP packet, the IP address of the terminal performing port scanning or the like is specified, and unauthorized access is made. Can be prevented.

本発明はICMPメッセージを解析し、ネットワーク端末にとって不要なIPパケットを自動的にフィルタリングする仕組みを備えることにより、ネットワーク端末の負荷を減らすとともに、不正アクセスを防ぐことができるものであり、ネットワークに接続された機器に対する不正なアクセスに対するため、不要なIPパケットを自動的に認識しフィルタリングする等において有用である。   The present invention provides a mechanism for analyzing an ICMP message and automatically filtering IP packets unnecessary for the network terminal, thereby reducing the load on the network terminal and preventing unauthorized access. This is useful for automatically recognizing and filtering unnecessary IP packets in order to deal with unauthorized access to a device that has been used.

ネットワーク端末100の構成図Configuration diagram of network terminal 100 フィルタ部130の設定例を表す図The figure showing the example of a setting of the filter part 130 宛先到達不能メッセージのフォーマットを表す図Diagram showing the format of the destination unreachable message ICMP検出部140のフローチャートFlow chart of ICMP detection unit 140 ネットワーク端末100の動作手順を表す図The figure showing the operation | movement procedure of the network terminal 100 フィルタ部130の設定表を表す図The figure showing the setting table of the filter part 130 フィルタ部130の設定表を表す図The figure showing the setting table of the filter part 130 ICMPパケット送信回数テーブルを表す図The figure showing an ICMP packet transmission frequency table ICMP検出部140のフローチャートFlow chart of ICMP detection unit 140 フィルタ部130の設定表を表す図The figure showing the setting table of the filter part 130

符号の説明Explanation of symbols

100 ネットワーク端末
110 ネットワークインタフェース
120 制御部
130 フィルタ部
140 ICMP検出部
200 フィルタ部130の設定表
211 優先順
212 プロトコル番号
213 送信元IPアドレス
214 宛先IPアドレス
215 送信元ポート番号
216 宛先ポート番号
217 動作
300 宛先到達不能メッセージフォーマット
301 Typeフィールド
302 Codeフィールド
303 Checksumフィールド
304 Unusedフィールド
305 Internet Header + 64bit of Original Datagramフィールド
400 ICMPパケット送信回数テーブル
401 番号
402 ICMPパケットの宛先IPアドレス
403 ICMPパケット送信回数 DESCRIPTION OF SYMBOLS 100 Network terminal 110 Network interface 120 Control part 130 Filter part 140 ICMP detection part 200 Filter part 130 setting table 211 Priority order 212 Protocol number 213 Source IP address 214 Destination IP address 215 Source port number 216 Destination port number 217 Operation 300 Destination unreachable message format 301 Type field 302 Code field 303 Checksum field 304 Unused field 305 Internet Header + 64 bit of Original Datagram field 400 Number of ICMP packet transmission times table 401 Number 402 ICMP packet destination IP address 403 I

Claims (6)

ネットワーク機器が処理することができない処理不能パケットを受信したときに前記処理不能パケットの送信元に対して送信するエラー通知パケットを検知するステップと、
前記エラー通知パケットに記載されている前記処理不能パケットの情報を取得するステップと、
前記処理不能パケットの情報に該当するパケットを廃棄するステップ
を実行することを特徴とする自動フィルタリング方法。 Detecting an error notification packet to be transmitted to the transmission source of the unprocessable packet when the network device receives an unprocessable packet that cannot be processed;
Obtaining information of the unprocessable packet described in the error notification packet;
An automatic filtering method comprising: performing a step of discarding a packet corresponding to the information of the unprocessable packet. 処理不能パケットの情報に該当するパケットを廃棄するステップは、前記処理不能パケットの送信元に対するエラー通知パケットの送信回数を記録し、前記送信回数が予め定められた回数を超えた場合、前記処理不能パケットの送信元から送られてくるパケットを全て廃棄することを特徴とする請求項1に記載の自動フィルタリング方法。 The step of discarding the packet corresponding to the information of the unprocessable packet records the number of transmissions of the error notification packet to the transmission source of the unprocessable packet, and when the number of transmissions exceeds a predetermined number, the process is not possible 2. The automatic filtering method according to claim 1, wherein all packets sent from the packet transmission source are discarded. 前記エラー通知パケットは、ICMP(Internet Control Message Protocol)であることを特徴とする請求項1または2に記載の自動フィルタリング方法。 The automatic filtering method according to claim 1, wherein the error notification packet is ICMP (Internet Control Message Protocol). ネットワークに接続するための接続部と、
前記接続手段から入力されるパケットの中から予め定められた条件に該当するパケットを廃棄するフィルタ部と、
前記フィルタ部の条件に該当しなかったパケットを処理する制御部と、
前記制御部から出力されるパケットの中から前記エラー通知パケットを監視し、前記エラー通知パケットに記載されている前記処理不能パケットの情報を取得し、前記フィルタ部に対して前記処理不能パケットを廃棄するように設定する検出部
を備えることを特徴とする自動フィルタリング機器。 A connection for connecting to the network;
A filter unit that discards packets that satisfy a predetermined condition from packets input from the connection means;
A control unit that processes packets that do not meet the conditions of the filter unit;
The error notification packet is monitored from the packets output from the control unit, the information of the unprocessable packet described in the error notification packet is acquired, and the unprocessable packet is discarded to the filter unit An automatic filtering device comprising: a detection unit configured to perform the setting. 前記検出部は、前記処理不能パケットの送信元に対するエラー通知パケットの送信回数を記録する手段を備え、前記送信回数が予め定められた回数を超えた場合、前記フィルタ部に前記処理不能パケットの送信元から送られてくるパケットを全て廃棄するように設定することを特徴とする請求項4記載の自動フィルタリング機器。 The detection unit includes means for recording the number of transmissions of the error notification packet to the transmission source of the unprocessable packet, and when the number of transmissions exceeds a predetermined number of times, the transmission of the unprocessable packet to the filter unit 5. The automatic filtering device according to claim 4, wherein the setting is made such that all packets sent from the source are discarded. 前記エラー通知パケットは、ICMP(Internet Control Message Protocol)であることを特徴とする請求項4または5に記載の自動フィルタリング機器。 6. The automatic filtering device according to claim 4, wherein the error notification packet is ICMP (Internet Control Message Protocol).
JP2003282588A 2003-07-30 2003-07-30 Automatic filtering method and device Pending JP2005051588A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003282588A JP2005051588A (en) 2003-07-30 2003-07-30 Automatic filtering method and device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003282588A JP2005051588A (en) 2003-07-30 2003-07-30 Automatic filtering method and device

Publications (1)

Publication Number Publication Date
JP2005051588A true JP2005051588A (en) 2005-02-24

Family

ID=34267763

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003282588A Pending JP2005051588A (en) 2003-07-30 2003-07-30 Automatic filtering method and device

Country Status (1)

Country Link
JP (1) JP2005051588A (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007208861A (en) * 2006-02-06 2007-08-16 Alaxala Networks Corp Illegal access monitoring apparatus and packet relaying device
JP2008535304A (en) * 2005-03-24 2008-08-28 インターナショナル・ビジネス・マシーンズ・コーポレーション Method, apparatus, and computer program for detecting network attacks (network attack detection)
US9026642B2 (en) 2009-03-10 2015-05-05 Canon Kabushiki Kaisha Processing apparatus, control method thereof, and storage medium
JP2017017527A (en) * 2015-07-01 2017-01-19 アラクサラネットワークス株式会社 Network system and switch

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008535304A (en) * 2005-03-24 2008-08-28 インターナショナル・ビジネス・マシーンズ・コーポレーション Method, apparatus, and computer program for detecting network attacks (network attack detection)
JP4753264B2 (en) * 2005-03-24 2011-08-24 インターナショナル・ビジネス・マシーンズ・コーポレーション Method, apparatus, and computer program for detecting network attacks (network attack detection)
JP2007208861A (en) * 2006-02-06 2007-08-16 Alaxala Networks Corp Illegal access monitoring apparatus and packet relaying device
US9026642B2 (en) 2009-03-10 2015-05-05 Canon Kabushiki Kaisha Processing apparatus, control method thereof, and storage medium
JP2017017527A (en) * 2015-07-01 2017-01-19 アラクサラネットワークス株式会社 Network system and switch

Similar Documents

Publication Publication Date Title
JP4072150B2 (en) Host-based network intrusion detection system
US6792546B1 (en) Intrusion detection signature analysis using regular expressions and logical operators
EP2739003B1 (en) Systems and methods to detect and respond to distributed denial of service (DDoS) attacks
US7031267B2 (en) PLD-based packet filtering methods with PLD configuration data update of filtering rules
US7401145B2 (en) In-line mode network intrusion detect and prevent system and method thereof
US8438241B2 (en) Detecting and protecting against worm traffic on a network
CN101589595B (en) A containment mechanism for potentially contaminated end systems
US6954775B1 (en) Parallel intrusion detection sensors with load balancing for high speed networks
US20070022468A1 (en) Packet transmission equipment and packet transmission system
US20020083331A1 (en) Methods and systems using PLD-based network communication protocols
US20020080784A1 (en) Methods and systems using PLD-based network communication protocols
EP1906591A2 (en) Method, device and system for detecting layer 2 loop
WO1998026554A1 (en) Method and apparatus for assignment of ip addresses
JP2008177714A (en) Network system, server, ddns server, and packet relay device
JPWO2008084729A1 (en) Application chain virus and DNS attack source detection device, method and program thereof
US8320249B2 (en) Method and system for controlling network access on a per-flow basis
KR20010079361A (en) Apparatus for firewall of network status based Method thereof
EP1595193B1 (en) Detecting and protecting against worm traffic on a network
WO2002025402A2 (en) Systems and methods that protect networks and devices against denial of service attacks
Wang et al. Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks
JP2005193590A (en) Printing device
WO2005111805A1 (en) Method of network traffic signature detection
JP2007259223A (en) Defense system and method against illegal access on network, and program therefor
RU2304302C2 (en) Method for processing network packets to detect computer attacks
JP2005051588A (en) Automatic filtering method and device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060707

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20060821

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080425

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081111

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090310