JP2005210451A - 不正アクセス防止装置及びプログラム - Google Patents
不正アクセス防止装置及びプログラム Download PDFInfo
- Publication number
- JP2005210451A JP2005210451A JP2004015194A JP2004015194A JP2005210451A JP 2005210451 A JP2005210451 A JP 2005210451A JP 2004015194 A JP2004015194 A JP 2004015194A JP 2004015194 A JP2004015194 A JP 2004015194A JP 2005210451 A JP2005210451 A JP 2005210451A
- Authority
- JP
- Japan
- Prior art keywords
- address
- network
- request packet
- database
- physical address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Small-Scale Networks (AREA)
Abstract
【課題】 ネットワークへの不正アクセス検知及びネットワークへの不正アクセス防止を実現する。
【解決手段】 監視ホストは、ネットワーク内の全ての正当なホストのIPアドレスと物理アドレスを、予め、データベース(DB)に登録する(S1〜S6)。その後、監視ホストは、ネットワークの伝送路上のARP要求パケットを監視して、該データベースに登録されていないIPアドレスの物理アドレスを問い合わせるARP要求パケットを検知すると、自身の物理アドレスを通知するARP応答パケットを返す(S7〜S9)。また、使用IPアドレスの物理アドレスを問い合わせるARP要求パケットであっても、発信元物理アドレスがデータベースに登録されていなければ、それを監視ホストの物理アドレスに書き換えたダミーのARP要求パケットを送出する(S8、S10、S11)。
【選択図】図3
【解決手段】 監視ホストは、ネットワーク内の全ての正当なホストのIPアドレスと物理アドレスを、予め、データベース(DB)に登録する(S1〜S6)。その後、監視ホストは、ネットワークの伝送路上のARP要求パケットを監視して、該データベースに登録されていないIPアドレスの物理アドレスを問い合わせるARP要求パケットを検知すると、自身の物理アドレスを通知するARP応答パケットを返す(S7〜S9)。また、使用IPアドレスの物理アドレスを問い合わせるARP要求パケットであっても、発信元物理アドレスがデータベースに登録されていなければ、それを監視ホストの物理アドレスに書き換えたダミーのARP要求パケットを送出する(S8、S10、S11)。
【選択図】図3
Description
本発明は、ネットワークにおける不正アクセスを防止する技術に関する。
近年、インターネットやイントラネットを代表とするネットワーク基盤の進展に伴う高度ネットワーク社会の実現により、電子メールやWebブラウザ(以下、ブラウザ)の利用が拡大している。特に、e−ビジネスの利用の拡大が顕著であり、その代表的な電子商取引においては、企業間での商取引や個人の商品購入などが行われている。個人の電子商取引としては、ホームページでのオンラインショッピングや、電子市場におけるオークションによる商品購入などがある。
このように、高度ネットワーク社会においては、ブラウザや電子メールを介して、電子商取引、電子マネーの流通などのe−ビジネスが展開される。このようなe−ビジネスにおいては、個人情報などの貴重な情報がネットワーク上を介して交換され、データベースに登録される。これらの個人情報は、ネットワークを介して通信されるため、悪意のある第3者によりネットワーク上で盗聴されたり改竄されたりする行為が発生している。また、悪意のある行為者が、ネットワークを介してデータベースに不正にアクセスし、該データベースから上記個人情報などの貴重な情報を盗んだり、改竄するなどの悪質な行為も発生している。また、さらには、他人のサーバを踏み台にしてDDoS(Distributed Denial of Service)攻撃を行い、第3者のサーバを一斉攻撃し、そのサービスを停止させたり、そのサーバのシステム自体を停止させるなどの悪質な行為も発生している。
このため、上記のような不正行為を検知したり未然に防止するためのネットワークセキュリティ対策の重要性が高まっている。このようなネットワークセキュリティの従来技術の1つとして、侵入検知システム(IDS:Intrusion Detection System)が知られている。IDSは、侵入検知ツールであり、ネットワーク型とホスト型に大別される。ネットワーク型では、ネットワーク上を流れるパケットを監視し、シグニチャと呼ばれる攻撃パターンのデータベースを保有し、アクセスが許可されていないパターンや、攻撃プログラムを含むパターンを該データベースとの照合により検出して、社内ネットワークでの不正アクセスを検知する(不正アクセスの検知には、コマンドの特定パターンとのマッチングなどが用いられる。
また、IDS以外に、ファイアウォールやプロキシー(プロキシーサーバ)なども知られている。ファイアウォールは、ネットワークシステムの内部と外部に設けられるセキュリティシステムであり、外部からのアクセスを制限して、内部システムの安全性を高める。プロキシーサーバは、社内ネットワークとインターネットとの間に設置するパケット中継装置またはソフトウェアであり、社内のクライアントからのアクセスを代理して、インターネットに中継する。ファイアウォールの場合、Webサイトを外部に公開している企業はTCPの80番のポートを開放している可能性が高く、ファイアウォールはこのポート経由で攻撃を受ける危険性を有する。また、最近では、CGI(Common Gateway Interface)プログラムのバグを突く攻撃、クロスサイト・スクリプティング攻撃など、ファイアウォールでは守りきれない攻撃が増加している。
インターネットに接続されるノード(サーバ、パソコン端末などの情報処理装置やルーターなどの中継機器など)は、固有のIPアドレスを用いてTCP/IPプロトコルにより他のノードと通信を行う。インターネットでは、サブネットマスクで区切られたIPネットワークの範囲をサブネットと呼んでいる。このサブネットは、通常は、ルーターで区切られた範囲と同一である。尚、サブネットマスクとは、ルーターで区切った一つのローカルネットワークのアドレス範囲を表現するために使用するIPアドレス用のネットマスク値である。
通常、サブネット内のノード(ホストとも言う)には同一のIPアドレスが割り当てられることはない。同一サブネット内の異なるノード同士は、自ノードと他ノードのIPアドレスによって互いに相手を指定しながらネットワーク通信を行う。このネットワーク通信は、実際の物理的レベルでは、MACアドレスと呼ばれる機器(ノード)固有のアドレスを用いて行われる。このMACアドレスは、機器製造時にNIC(Network Interface Card)上のROMに書き込まれ、世界的に一意なアドレスである。MAC(Media Access Control)アドレスは、データリンク層の下位副層であるMAC層(媒体アクセス制御層)のアドレスである。
TCP/IPプロトコル環境においては、ノードは他のノードと通信する際、最初に、ARP(Address Resolution Protocol)要求パケットをネットワーク上に送信して、通信相手先の他のノードのMACアドレスを取得し、それから、IPパケットによる通信を開始する。
企業や工場、店舗のフロア内や一般家庭などの各ネットワークにおいては、各ノードはネットワーク接続を行おうとするする場合、当初はIPアドレスを持っていないため、自身が接続されているネットワークの管理者に自己のIPアドレスを割り当ててもらうことになる。すなわち、ネットワーク管理者からの割り当てを経ずに、自身が勝手にIPアドレスを決めてネットワークに接続を行おうとするノードの行為は、不正なノードがネットワークに接続されたか、ノードが不正にネットワークを利用を行おうとしていると見なすことができる。
あるネットワークで、ネットワーク管理者から正当に割り当てられたIPアドレスを持っていないノードが、該ネットワークに対して不正にアクセスする際の基本的な行動パターンとしては、まず、(1)自分が利用するIPアドレスを決めるため、該ネットワークで未使用となっているIPアドレスの探索、(2)そして、その探索後、不正アクセスの対象とするノードに対する通信を開始することである。
この場合、前者(1)では、使われていないと想定するIPアドレスにARP要求パケットを送出することになる。後者(2)でも、不正アクセス対象先のIPアドレスに対してARP要求パケットを送出する必要がある。よって、ネットワーク上に流れるARP要求パケットを監視することにより、不正アクセスの検知、もしくは、ネットワークの不正利用を未然に防止することが可能になると考えられる。
ところで、ARPパケットではなく、DHCP(Dynamic Host Configuration Protocol)パケットを利用して、不正なノードによるネットワーク接続を監視する技術が知られている。例えば、ネットワーク上を流れるDHCPofferメッセージのパケットを取り込み、そのパケット内のIPアドレスと物理アドレスの対が登録済みであるか否かを調べることにより、不正ノード(アドレス管理装置や一般ノード)を検出する技術が知られている(例えば、特許文献1参照)。
しかしながら、DHCPはDHCPサーバがIPアドレスを自動的に設定する方式である。TCP/IPプロトコル環境のネットワーク(TCP/IPネットワーク)では、DHCPサーバを利用せずに、静的にIPアドレスを勝手に割り当ててることができる。このような場合、不正ノードはDHCPパケットを使用せずにTCP/IPネットワークへ接続できるため、DHCPパケットの監視による不正ノード検知方式は万全なものとはいえない。
特願平8−18659号公報
上述したように、従来のDHCPパケットを用いたネットワーク監視方式では、静的にIPアドレスを割り当てているノードを検知することはできなかった。
本発明は、ネットワーク上を流れるARPパケットを監視することにより、ネットワークに不正にアクセスしようとしているノードを検知し、その不正ノードのネットワーク利用を防止することを目的とする。
本発明は、ネットワーク上を流れるARPパケットを監視することにより、ネットワークに不正にアクセスしようとしているノードを検知し、その不正ノードのネットワーク利用を防止することを目的とする。
本発明の第1の態様の不正アクセス防止装置は、ネットワーク内の正当なホストについて、そのIPアドレスと物理アドレスを格納しているデータベースと、ネットワークの伝送路上を流れる、ネットワーク内で未使用となっているIPアドレスの物理アドレスを問い合わせる要求パケットを監視する監視手段と、該監視手段により該要求パケットが検知されたとき、該要求パケット内の問い合わせIPアドレスが前記データベースに登録されているか判断する第1の判断手段と、該第1の判断手段による判断結果に応じて、前記要求パケットによる不正アクセスを防止するためのパケットを送信するパケット送信手段とを備えることを特徴とする。
前記パケット送信手段は、例えば、前記第1の判断手段により、前記問い合わせIPアドレスが前記データベースに登録されていないと判断したときは、前記要求パケットに対する応答パケットを送信する。
第1の態様の不正アクセス防止装置によれば、不正アクセスホストによる未使用IPアドレスの探索を阻止できる。
本発明の第2の態様の不正アクセス防止装置は、前記第1の判断手段により、前記問い合わせIPアドレスが前記データベースに登録されていないと判断されたとき、前記要求パケットの送信元物理アドレスが前記データベースに登録されているか判断する第2の判断手段を、さらに備える。そして、前記パケット送信手段は、該第2の判断手段により、前記送信元物理アドレスが前記データベースに登録されていないと判断されときは、前記要求パケットの発信元物理アドレスを自ホストの物理アドレスに書き換え、その物理アドレスが書き換えられた要求パケットを送信することを特徴とする。
本発明の第2の態様の不正アクセス防止装置は、前記第1の判断手段により、前記問い合わせIPアドレスが前記データベースに登録されていないと判断されたとき、前記要求パケットの送信元物理アドレスが前記データベースに登録されているか判断する第2の判断手段を、さらに備える。そして、前記パケット送信手段は、該第2の判断手段により、前記送信元物理アドレスが前記データベースに登録されていないと判断されときは、前記要求パケットの発信元物理アドレスを自ホストの物理アドレスに書き換え、その物理アドレスが書き換えられた要求パケットを送信することを特徴とする。
本発明の第2の態様の不正アクセス防止装置によれば、IPアドレスを偽って不正アクセスを試みようとする不正ホストによるネットワークへのアクセスを防止できる。
本発明の第1の態様のプログラムは、ネットワーク内の正当なホストについて、そのIPアドレスと物理アドレスをデータベースに登録する処理と、ネットワークの伝送路上を流れる、ネットワーク内で未使用となっているIPアドレスの物理アドレスを問い合わせる要求パケットを監視する処理と、該監視処理により該要求パケットが検知されたとき、該要求パケット内の問い合わせIPアドレスが前記データベースに登録されているか判断する処理と、該判断処理による判断結果に応じて、前記要求パケットによる不正アクセスを防止するためのパケットを送信する処理とをコンピュータに実行させる
前記パケット送信処理では、例えば、前記判断処理によって前記問い合わせIPアドレスが前記データベースに登録されていないと判断されたときは、前記要求パケットに対する応答パケットを送信する。
本発明の第1の態様のプログラムは、ネットワーク内の正当なホストについて、そのIPアドレスと物理アドレスをデータベースに登録する処理と、ネットワークの伝送路上を流れる、ネットワーク内で未使用となっているIPアドレスの物理アドレスを問い合わせる要求パケットを監視する処理と、該監視処理により該要求パケットが検知されたとき、該要求パケット内の問い合わせIPアドレスが前記データベースに登録されているか判断する処理と、該判断処理による判断結果に応じて、前記要求パケットによる不正アクセスを防止するためのパケットを送信する処理とをコンピュータに実行させる
前記パケット送信処理では、例えば、前記判断処理によって前記問い合わせIPアドレスが前記データベースに登録されていないと判断されたときは、前記要求パケットに対する応答パケットを送信する。
本発明の第1の態様のプログラムは、上記第1の態様の不正アクセス防止装置と同様な作用・効果が得られる。
本発明の第2の態様のプログラムは、前記問い合わせIPアドレスの判断処理により、前記問い合わせIPアドレスが前記データベースに登録されていないと判断されたとき、前記要求パケットの送信元物理アドレスが前記データベースに登録されているか判断する処理を、さらにコンピュータに実行させる。そして、前記パケット送信処理では、該発信元物理アドレスの判断処理により、前記送信元物理アドレスが前記データベースに登録されていないと判断されときは、前記要求パケットの発信元物理アドレスを自ホストの物理アドレスに書き換え、その物理アドレスが書き換えられた要求パケットを送信することを特徴とする。
本発明の第2の態様のプログラムは、前記問い合わせIPアドレスの判断処理により、前記問い合わせIPアドレスが前記データベースに登録されていないと判断されたとき、前記要求パケットの送信元物理アドレスが前記データベースに登録されているか判断する処理を、さらにコンピュータに実行させる。そして、前記パケット送信処理では、該発信元物理アドレスの判断処理により、前記送信元物理アドレスが前記データベースに登録されていないと判断されときは、前記要求パケットの発信元物理アドレスを自ホストの物理アドレスに書き換え、その物理アドレスが書き換えられた要求パケットを送信することを特徴とする。
本発明の第2の態様のプログラムは、上記第2の態様の不正アクセス防止装置と同様な作用・効果が得られる。
本発明によれば、ネットワークに不正にアクセスしようとしているノードを検知でき、その不正ノードのネットワーク利用を阻止できる。
以下、図面を参照しながら本発明の実施形態を説明する。
図1は、本発明の一実施例のシステム構成図である。
同図に示すネットワーク1は、単独のネットワークで構成される小規模システムであり、1つのサブネットである。ネットワーク1は、伝送路11に接続された1台の監視ホスト20と1台の端末(クライアント端末)13及び1台のルーター16から構成されている。同図においては、もう一つの端末14が伝送路11に接続されているが、この端末14はネットワーク1に対して不正アクセスを試みようとしている端末である。ネットワーク1は1つのサブネットである。本発明の基本構成は、このように、1つのサブネット(物理的なパケットの到達範囲)に1台の監視ホストが設置される形態をとる。
同図に示すネットワーク1は、単独のネットワークで構成される小規模システムであり、1つのサブネットである。ネットワーク1は、伝送路11に接続された1台の監視ホスト20と1台の端末(クライアント端末)13及び1台のルーター16から構成されている。同図においては、もう一つの端末14が伝送路11に接続されているが、この端末14はネットワーク1に対して不正アクセスを試みようとしている端末である。ネットワーク1は1つのサブネットである。本発明の基本構成は、このように、1つのサブネット(物理的なパケットの到達範囲)に1台の監視ホストが設置される形態をとる。
監視ホスト20は、ネットワークシステム1に不正アクセスを行おうとしているホストを検知するために設置されたサーバであり、ネットワーク1に対して不正アクセスを行うノード(ホスト)を検知する際に参照するデータベース21を備えている。
データベース21は、ネットワーク1内の正当な各ホストについて、そのIPアドレスと物理アドレス(MACアドレスなど)を記録している。監視ホスト20は、予め(例えば、ネットワーク1のシステム立ち上げ時等)、ネットワーク1が使用するIPアドレス範囲の全てのIPアドレスに対してARP要求パケットを送信し、それに対するARP応答パケットを基に、ネットワーク1に接続されたホストのIPアドレスと物理アドレス(MACアドレスなど)の対応情報を収集し、それをデータベース11に登録する。
また、監視ホスト20は、上記ARP要求パケットに対するARP応答パケットから、ネットワーク1内で未使用のIPアドレスの情報を知る(ARP応答パケットが返ってこないIPアドレスは未使用であるとみなす)。
図1に示すように、監視ホスト20のIPアドレスは「192.168.0.100」であり、物理アドレスは「aa-bb-cc-dd-ee-22」である。また、クライアント端末13のIPアドレスは「192.168.0.10」であり、ルーター16のIPアドレスは「192.168.0.1」、物理アドレスは「aa-bb-cc-dd-ee-00」である。また、ネットワーク1のIPアドレスは「192.168
.0.0」となっており、これはネットワーク1全体を表す。このネットワーク1のIPアドレスの後尾には「/24」という表記が付加されているが、この表記は、ネットワーク1のホストに割り当てられたIPアドレスにおいて、ネットワーク番号部分のビット数が24ビットであることを示す。
.0.0」となっており、これはネットワーク1全体を表す。このネットワーク1のIPアドレスの後尾には「/24」という表記が付加されているが、この表記は、ネットワーク1のホストに割り当てられたIPアドレスにおいて、ネットワーク番号部分のビット数が24ビットであることを示す。
図2は、監視ホスト20が備えるデータベース21の格納情報の内容を示す図である。
同図に示すように、データベース11は、No.1〜3の各レコードに、それぞれ、監視ホスト20、ルーター16、クライアント端末13のIPアドレスと物理アドレスを格納している。
同図に示すように、データベース11は、No.1〜3の各レコードに、それぞれ、監視ホスト20、ルーター16、クライアント端末13のIPアドレスと物理アドレスを格納している。
図3は、上記構成のネットワーク1における監視ホスト20の動作を示すフローチャートである。
まず、ネットワーク1のIPアドレス範囲を取得し、その範囲における最初と最後のIPアドレスを決定する(ステップS1)。そして、まず、最初のIPアドレスに対するARP要求パケットを伝送路11に送出する(ステップS2)。
まず、ネットワーク1のIPアドレス範囲を取得し、その範囲における最初と最後のIPアドレスを決定する(ステップS1)。そして、まず、最初のIPアドレスに対するARP要求パケットを伝送路11に送出する(ステップS2)。
監視ホスト20は、伝送路11を監視し、ステップS2で送出したARP要求パケットに対するARP応答パケットを受信したか判断する(ステップS3)。監視ホスト20は、例えば、ARP要求パケット送出した後、予め定められた所定時間まで伝送路11を監視する。そして、該所定時間が経過しても上記ARP要求パケットに対するARP応答パケットを受信しなかった場合には、ステップS2でARP要求パケットを送出したIPアドレスから応答がないものとみなす。逆に、監視ホスト20は、ステップS2で送出したARP要求パケットに対するARP応答パケットを上記所定時間以内に受信した場合には、該ARP要求パケットを送出したIPアドレスから応答があったと判断する。
ステップS3では、応答があったと判断すると、当該ARP応答パケットから物理アドレスを取り出し、その応答があったホストのIPアドレスと物理アドレス(上記収集した物理アドレス)をデータベース21に記録して(ステップS4)、ステップS5に移行する。一方、応答がないと判断すると、直ちに、ステップS5に移行する。
ステップS5では、上記IPアドレス範囲の最後のIPアドレスのARP要求パケットに対する応答の有無の判断が終了したか判断し、まだ、終了していなければ、ARP要求パケットを送出するIPアドレスを次のIPアドレスの値に設定し(ステップS6)、ステップS2に戻る。
このようにして、監視ホスト20は、ステップS2〜S6の処理を繰り返すことにより、上記IPアドレス範囲内の全てのIPアドレスに対してARP要求パケットを送出し、それに対する応答の有無を基にして、ネットワーク1に接続されている全ホストの物理アドレスを収集する。そして、該物理アドレスとそれに対応するIPアドレスをデータベース11に登録する。
以上のようにして、監視ホスト20は、ネットワーク1に存在する正当なホストについて、そのIPアドレスと物理アドレスの組をデータベース11に登録する処理を終了すると、ステップS7の処理に移行する。
ステップS7では、監視ホスト20は、伝送路11を流れるARP要求パケットを監視する(ステップS7)。そして、ARP要求パケットを見つけると、伝送路11からそのARP要求パケットを取り込み、そのARP要求パケットで指定された問い合わせIPアドレスがデータベース(DB)21に登録されているか調べ、データベース11に登録されているIPアドレス宛てのARP要求パケットであるか判断する(ステップS8)。
ステップS8で、データベース11に登録されていないIPアドレス宛てのARP要求パケットであると判断すると、監視ホスト20は自分がそのIPアドレスを有するホストであるかのようにみせかけて、そのARP要求パケットの送信元IPアドレス宛てに、上記問い合わせIPアドレスを送信元IPアドレスとするARP応答パケットを伝送路11に送出する(ステップS9)。そして、ステップS7に戻る。
ステップS9において、監視ホスト20は、具体的には、受信したARP要求パケットに対するARP応答パケットとして、発信元IPアドレスは該ARP要求パケットの宛先IPアドレスとし、発信元物理アドレスは自分の物理アドレスとするARP応答パケットを送出する。 このように、データベース11に登録されていないIPアドレス宛てのARP要求パケットがネットワーク1に送られてきた場合、そのARP要求パケットに対してARP応答パケットを返す。このため、不正アクセスしようとするホストは、ネットワーク1で未使用のIPアドレスを探索しようとしても、必ず、ARP応答パケットが返ってくるので、目的を達成する、すなわち、ネットワーク1で未使用となっているIPアドレスを探索することはできない。
ステップS8で、ARP要求パケットの問い合わせIPアドレスがデータベース21に登録されてると判断すると、そのARP要求パケットの送信元の物理アドレスがデータベース11に登録されているか調べ、その物理アドレスがデータベース21に登録されていなければ、そのARP要求パケットの発信元物理アドレスを自分の物理アドレスに書き換えて再送する。すなわち、受信したARP要求パケットの発信元IPアドレス、宛先物理アドレス及び宛先IPアドレスは元のままで、発信元物理アドレスだけが監視ホスト20の物理アドレスに書き換えられたダミーのARP要求パケットを送出する(ステップS11)。そして、ステップS7に戻る。
このようにして送出されたダミーのARP要求パケットは、ネットワーク1内の宛先IPアドレスを有するホストに送られることになる。このため、そのホストから、該ダミーのARP要求パケットに対するARP応答パケットが送出される。このARP応答パケットは、その宛先物理アドレスが監視ホスト20となっているため、監視ホスト20に送られることになる。
上記図3のフローチャートの動作を、図4〜図6を参照しながら、より具体的に説明する。
図4は、クライアント端末13がIPアドレス(「192.168.0.1」)のMACアドレスを問い合わせるARP要求パケットを発信した場合の処理シーケンス(通常のARPシーケンス)示す図である。
図4は、クライアント端末13がIPアドレス(「192.168.0.1」)のMACアドレスを問い合わせるARP要求パケットを発信した場合の処理シーケンス(通常のARPシーケンス)示す図である。
クライアント端末13が、同図に示すアドレス情報(発信元物理アドレス、発信元IPアドレス、宛先物理アドレス、宛先IPアドレス)が設定されたARP要求パケット41を伝送路11に送出すると、監視ホスト20は、このARP要求パケット41を伝送路11から取り込み、そのパケット41内の宛先IPアドレス(「192.168.0.1」)と発信元物理アドレス(「aa-bb-cc-dd-ee-11」)を調べ、それらのアドレスがデータベース11に登録されているか調べる(図4のステップS8、S10)。そして、それらのアドレスがデータベース11に登録されていると判断すると、ARP要求パケット41が正当なARP要求パケットであり、かつ自分宛てでないと判断して無視する。
ルーター16は、ARP要求パケット41が自分のIPアドレス(「192.168.0.1」)宛てであるので、クライアント端末13にARP応答パケット43を返す。このARP応答パケットの発信元物理アドレス(「aa-bb-cc-dd-ee-00」)と発信元IPアドレス(「192.168.0.1」)はルーター16のアドレスであり、宛先物理アドレス(「aa-bb-cc-dd-ee-11」)と宛先IPアドレス(「192.168.0.10」)はクライアント端末13のアドレスである。
このように、ネットワーク1の正当なホストからのARP要求パケットは、TCP/IPプロトコルの通常のシーケンスで処理され、その正当なホストに目的のMACアドレス(不図示)がARP応答パケットにより通知される。
図5は、ネットワーク1に対して未使用のIPアドレスに対するARP要求パケットが送られてきた場合の処理シーケンスを示す図である。
不正アクセス端末14が、ネットワーク1における未使用IPアドレスを探索する目的で、同図に示すアドレス情報(発信元物理アドレスが「aa-bb-cc-dd-ee-99」、発信元IPアドレスが「192.168.0.6」、宛先物理アドレスが「00-00-00-00-00」、宛先IPアドレスが「192.168.0.5」)が設定されたARP要求パケット51を伝送路11に送出すると、監視ホスト20はこのARP要求パケット51を検知し、その宛先IPアドレス(「192.168.0.5」)がデータベース21に登録されているか調べる(図3のステップS8)。そして、監視ホスト20は、その宛先IPアドレスがデータベース21に登録されていないと判断すると、自分の物理アドレス(「aa-bb-cc-dd-ee-22」)を発信者物理アドレに、自分のIPアドレス(「192.168.0.5」)を発信元IPアドレスにしたARP応答パケットを不正アクセス端末14に返す(図3のステップS9)。
不正アクセス端末14が、ネットワーク1における未使用IPアドレスを探索する目的で、同図に示すアドレス情報(発信元物理アドレスが「aa-bb-cc-dd-ee-99」、発信元IPアドレスが「192.168.0.6」、宛先物理アドレスが「00-00-00-00-00」、宛先IPアドレスが「192.168.0.5」)が設定されたARP要求パケット51を伝送路11に送出すると、監視ホスト20はこのARP要求パケット51を検知し、その宛先IPアドレス(「192.168.0.5」)がデータベース21に登録されているか調べる(図3のステップS8)。そして、監視ホスト20は、その宛先IPアドレスがデータベース21に登録されていないと判断すると、自分の物理アドレス(「aa-bb-cc-dd-ee-22」)を発信者物理アドレに、自分のIPアドレス(「192.168.0.5」)を発信元IPアドレスにしたARP応答パケットを不正アクセス端末14に返す(図3のステップS9)。
このように、ネットワーク1に未使用のIPアドレスの物理アドレスを問い合わせるARP要求パケットが送られてきた場合には、監視ホスト20がそれに対してARP応答パケットを返すので、不正アクセス端末14はネットワーク1で未使用のIPアドレスを探索することはできななくなる。
図6は、ネットワーク1に登録されたIPアドレスの物理アドレスを問い合わせるARP要求パケットが、ネットワーク1に登録されていない物理アドレス(発信元物理アドレス)でネットワーク1に送られてきた場合の処理シーケンスを示す図である。
不正アクセス端末14が、ネットワーク1に登録されているIPアドレス(この場合、ルーター16のIPアドレス)の物理アドレスを知ろうとして、アドレス情報(発信元物理アドレスが「aa-bb-cc-dd-ee-99」、発信元IPアドレスが「192.168.0.6」、宛先物理アドレスが「00-00-00-00-001」、宛先IPアドレスが「192.168.0.1」)が設定されたARP要求パケット61をネットワーク1に対して送出すると、このARP要求パケット61はルーター16によって受信される。
ルーター16は、ARP要求パケット61に対してARP応答パケット(第1のARP応答パケット)を返す。この間、監視ホスト20は伝送路11上に送出されたARP応答パケットを検知し、その宛先IPアドレスと発信元物理アドレスを調べる(図3のステップS8、S10)。 そして、ARP要求パケット61の発信元物理アドレス(「aa-bb-cc-dd-ee-99」)がデータベース21に登録されていないことを知ると、ARP要求パケット61の発信元物理アドレスを自分の物理アドレス(「aa-bb-cc-dd-ee-22」)に書き換えたダミーのARP要求パケット63をルーター16に送る(図3のステップS11)。
ルーター16は、上記ダミーのARP要求パケット63を受信すると、それに対するARP応答パケット(第2のARP応答パケット)を監視ホスト20に送信する。すなわち、上記ダミーのARP要求パケット63によって、ルーター16側の ARPキャッシュ(不図示)が書き変わり、以後の通信パケットは監視ホスト20宛に送られることになり、不正アクセス端末14はパケットを受け取ることが出来なくなる。この結果、不正アクセス端末14による不正IPアドレスを利用したネットワーク1への不正なアクセスは阻止される。
また、上記ルーター16が伝送路11上に送出した第2のARP応答パケットの宛先IPアドレスは不正アクセス端末14のIPアドレス(=192.168.06)に設定されている。これにより、不正アクセス端末14は、アドレス競合状態となり、以後の利用が不可能となる。例えば、あるOS(オペレーティングシステム)においては、不正アクセス端末14の画面上に「IPアドレスが競合しています」というメッセージが表示され、以後のネットワーク接続が困難となる。
このように、監視ホスト20は、データベース21に登録されていない物理アドレスが送信元物理アドレスとなっているARP要求パケット61を検出すると、そのARP要求パケット61のダミーのARP要求パケット63(ARP要求パケット61の送信元物理アドレスを自身の物理アドレスに書き換えたARP要求パケット)を作成して伝送路11上に送出して不正アクセス端末14を撹乱させ、該不正アクセス端末14によるネットワーク1に対する不正アクセスを防止する。
図7は、本発明の他の実施例のシステム構成図である。
同図に示すネットワーク100は、本発明を適用した大規模ネットワークであり、ネットワーク70、ネットワーク80及びネットワーク90の3つのネットワークから構成されている。
同図に示すネットワーク100は、本発明を適用した大規模ネットワークであり、ネットワーク70、ネットワーク80及びネットワーク90の3つのネットワークから構成されている。
ネットワーク70は、伝送路111と、それに接続されたクライアント端末113、監視ホスト(親)120及びルーター116から構成されている。監視ホスト120は、図1の監視ホスト20と同様な機能を有するホストであり、データベース121を備えていある。このデータベース111は、ネットワーク100の全ホストについて、それらのIPアドレスと物理アドレスを格納している。
ネットワーク80は、伝送路131と、それに接続された監視ホスト(子)140及びルーター136から構成されている。図7に示す例では、このネットワーク80の伝送路131に不正アクセス端末114が接続されている。
ネットワーク90は、上記2つのネットワーク80,90の上位階層のネットワークである。ネットワーク90は、伝送路141と、それに接続されたクライアント端末150及びサーバ147から構成されている。クライアント端末150は、監視ホスト機能を有するソフトウェア(アプリケーションプログラム)がインストールされており、監視ホスト(子)の機能を備えている。
ネットワーク70とネットワーク90はルーター116によって接続されており、ネットワーク80とネットワーク90はルーター136によって接続されている。
ネットワーク90のIPアドレスは「192.168.0.0」であり、そのネットワーク番号は24ビットである。また、ネットワーク70のIPアドレスは「198.168.10.0」であり、そのネットワーク番号は24ビットである。また、ネットワーク80のIPアドレスは「198.168.20.0」であり、そのネットワーク番号は24ビットである。
ネットワーク90のIPアドレスは「192.168.0.0」であり、そのネットワーク番号は24ビットである。また、ネットワーク70のIPアドレスは「198.168.10.0」であり、そのネットワーク番号は24ビットである。また、ネットワーク80のIPアドレスは「198.168.20.0」であり、そのネットワーク番号は24ビットである。
上記構成のネットワーク100の各サブネットであるネットワーク70、80及び90には、それぞれ、監視ホスト120、140及び150が設置されている。この実施例においては、ネットワーク70に設置された監視ホスト20が、データベース121においてネットワーク100全体のホストのIPアドレスと物理アドレスを一括管理している。このため、ネットワーク80の監視ホスト140とネットワーク90の監視ホスト(クライアント端末)150は、ネットワーク70の監視ホスト120が保有するデータベース121をアクセス・参照することにより、図1の監視ホスト20と同様にして自ネットワークへの不正アクセスを防止する。
図7においては、ネットワーク80において、監視ホスト140が、データベース121を参照することにより不正アクセス端末114を検知し、その不正アクセス端末114によるネットワーク80への不正アクセスを阻止する処理を模式的に示している。
また、ネットワーク90の監視ホスト150は、ネットワーク90に既設されていたクライアント端末であり、当初は監視ホストではなかったものである。本発明の監視ホスト機能はソフトウェア(プログラム)として実現可能であり、監視ホスト150は、その監視ホスト機能を備えたソフトウェア(監視ソフト)をインストールすることにより、監視ホストとして機能するようになったホストである。
このように、本発明においては、必ずしも、全てのサブネットに監視ホストを新規に設置する必要はない。既設のホストに前記監視ソフトをインストールすることで、監視ホストの新規設置を代替することが可能である。そして、実施例1のデータベース11と同様なデータベース(ネットワーク内の正規ホストのIPアドレスと物理アドレスとの対応関係が登録されたデータベース)をネットワーク内のいずれか一つのサーバ(図7のネットワーク100においては、監視ホスト120)で管理する構成を採用することで、ネットワーク内の全正規ホストのIPアドレスと物理アドレスの対応関係を、効率的に一括集中管理することが可能である。
本発明は、TCP/IPプロトコルを採用する全てのネットワークの不正アクセス防止に効果的である。
1 ネットワーク
11 伝送路
13 クライアント端末
14 不正アクセス端末
16 ルーター
20 監視ホスト
21 データベース
41、51 ARP要求パケット
43、53 ARP応答パケット
61、63 ARP要求パケット
70、80、90 ネットワーク
111、131,141 伝送路
113 クライアント端末
114 不正アクセス端末
116、136 ルーター
120 監視ホスト(親)
121 データベース
131 伝送路
140 監視ホスト(子)
147 サーバ
150 既設クライアント端末(監視ホスト(子)機能入り)
11 伝送路
13 クライアント端末
14 不正アクセス端末
16 ルーター
20 監視ホスト
21 データベース
41、51 ARP要求パケット
43、53 ARP応答パケット
61、63 ARP要求パケット
70、80、90 ネットワーク
111、131,141 伝送路
113 クライアント端末
114 不正アクセス端末
116、136 ルーター
120 監視ホスト(親)
121 データベース
131 伝送路
140 監視ホスト(子)
147 サーバ
150 既設クライアント端末(監視ホスト(子)機能入り)
Claims (6)
- ネットワーク内の正当なホストについて、そのIPアドレスと物理アドレスを格納しているデータベースと、
ネットワークの伝送路上を流れる、ネットワーク内で未使用となっているIPアドレスの物理アドレスを問い合わせる要求パケットを監視する監視手段と、
該監視手段により該要求パケットが検知されたとき、該要求パケット内の問い合わせIPアドレスが前記データベースに登録されているか判断する第1の判断手段と、
該第1の判断手段による判断結果に応じて、前記要求パケットによる不正アクセスを防止するためのパケットを送信するパケット送信手段と、
を備えることを特徴とする不正アクセス防止装置。 - 前記パケット送信手段は、前記第1の判断手段により、前記問い合わせIPアドレスが前記データベースに登録されていないと判断したときは、前記要求パケットに対する応答パケットを送信すること、
を特徴とする請求項1記載の不正アクセス防止装置。 - 前記第1の判断手段により、前記問い合わせIPアドレスが前記データベースに登録されていないと判断されたとき、前記要求パケットの送信元物理アドレスが前記データベースに登録されているか判断する第2の判断手段を、さらに備え、
前記パケット送信手段は、該第2の判断手段により、前記送信元物理アドレスが前記データベースに登録されていないと判断されときは、前記要求パケットの発信元物理アドレスを自ホストの物理アドレスに書き換え、その物理アドレスが書き換えられた要求パケットを送信すること、
を特徴とする請求項1記載の不正アクセス防止装置。 - ネットワーク内の正当なホストについて、そのIPアドレスと物理アドレスをデータベースに登録する処理と、
ネットワークの伝送路上を流れる、ネットワーク内で未使用となっているIPアドレスの物理アドレスを問い合わせる要求パケットを監視する処理と、
該監視処理により該要求パケットが検知されたとき、該要求パケット内の問い合わせIPアドレスが前記データベースに登録されているか判断する処理と、
該判断処理による判断結果に応じて、前記要求パケットによる不正アクセスを防止するためのパケットを送信する処理と、
をコンピュータに実行させるプログラム。 - 前記パケット送信処理では、前記判断処理によって前記問い合わせIPアドレスが前記データベースに登録されていないと判断されたときは、前記要求パケットに対する応答パケットを送信すること、
を特徴とする請求4記載のプログラム。 - 前記問い合わせIPアドレスの判断処理により、前記問い合わせIPアドレスが前記データベースに登録されていないと判断されたとき、前記要求パケットの送信元物理アドレスが前記データベースに登録されているか判断する処理を、さらにコンピュータに実行させ、
前記パケット送信処理では、該発信元物理アドレスの判断処理により、前記送信元物理アドレスが前記データベースに登録されていないと判断されときは、前記要求パケットの発信元物理アドレスを自ホストの物理アドレスに書き換え、その物理アドレスが書き換えられた要求パケットを送信すること、
を特徴とする請求項4記載のプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004015194A JP2005210451A (ja) | 2004-01-23 | 2004-01-23 | 不正アクセス防止装置及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004015194A JP2005210451A (ja) | 2004-01-23 | 2004-01-23 | 不正アクセス防止装置及びプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2005210451A true JP2005210451A (ja) | 2005-08-04 |
Family
ID=34900733
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004015194A Pending JP2005210451A (ja) | 2004-01-23 | 2004-01-23 | 不正アクセス防止装置及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2005210451A (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007336401A (ja) * | 2006-06-16 | 2007-12-27 | Toshiba Corp | 通信制御装置、認証システムおよび通信制御プログラム |
| JP2008059017A (ja) * | 2006-08-29 | 2008-03-13 | Daihen Corp | ロボット制御システム |
| JP2009159045A (ja) * | 2007-12-25 | 2009-07-16 | Nec Corp | 接続制御装置及び接続制御方法並びに制御プログラム |
| WO2012077603A1 (ja) | 2010-12-09 | 2012-06-14 | 日本電気株式会社 | コンピュータシステム、コントローラ、及びネットワーク監視方法 |
| JP2016072801A (ja) * | 2014-09-30 | 2016-05-09 | パナソニックIpマネジメント株式会社 | 通信監視装置及び通信監視システム |
| CN111324882A (zh) * | 2020-01-21 | 2020-06-23 | 天津芯海创科技有限公司 | 一种处理器输出数据监测方法及装置 |
| US20220231987A1 (en) * | 2017-12-07 | 2022-07-21 | Ridgeback Network Defense, Inc. | Network anti-tampering system |
-
2004
- 2004-01-23 JP JP2004015194A patent/JP2005210451A/ja active Pending
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007336401A (ja) * | 2006-06-16 | 2007-12-27 | Toshiba Corp | 通信制御装置、認証システムおよび通信制御プログラム |
| JP2008059017A (ja) * | 2006-08-29 | 2008-03-13 | Daihen Corp | ロボット制御システム |
| JP2009159045A (ja) * | 2007-12-25 | 2009-07-16 | Nec Corp | 接続制御装置及び接続制御方法並びに制御プログラム |
| WO2012077603A1 (ja) | 2010-12-09 | 2012-06-14 | 日本電気株式会社 | コンピュータシステム、コントローラ、及びネットワーク監視方法 |
| US9118716B2 (en) | 2010-12-09 | 2015-08-25 | Nec Corporation | Computer system, controller and network monitoring method |
| JP2016072801A (ja) * | 2014-09-30 | 2016-05-09 | パナソニックIpマネジメント株式会社 | 通信監視装置及び通信監視システム |
| US20220231987A1 (en) * | 2017-12-07 | 2022-07-21 | Ridgeback Network Defense, Inc. | Network anti-tampering system |
| CN111324882A (zh) * | 2020-01-21 | 2020-06-23 | 天津芯海创科技有限公司 | 一种处理器输出数据监测方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7039721B1 (en) | System and method for protecting internet protocol addresses | |
| US7360242B2 (en) | Personal firewall with location detection | |
| CN100384150C (zh) | 防止多个主机的异步arp高速缓存中毒的方法和系统 | |
| JP4174392B2 (ja) | ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置 | |
| EP3297248B1 (en) | System and method for generating rules for attack detection feedback system | |
| JP2008177714A (ja) | ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置 | |
| US20050283831A1 (en) | Security system and method using server security solution and network security solution | |
| JP4179300B2 (ja) | ネットワーク管理方法および装置並びに管理プログラム | |
| CN107547510B (zh) | 一种邻居发现协议安全表项处理方法和装置 | |
| Lu et al. | An SDN‐based authentication mechanism for securing neighbor discovery protocol in IPv6 | |
| JP2004302538A (ja) | ネットワークセキュリティシステム及びネットワークセキュリティ管理方法 | |
| US7987255B2 (en) | Distributed denial of service congestion recovery using split horizon DNS | |
| WO2014206152A1 (zh) | 一种网络安全监控方法和系统 | |
| JP2005210451A (ja) | 不正アクセス防止装置及びプログラム | |
| US20040233849A1 (en) | Methodologies, systems and computer readable media for identifying candidate relay nodes on a network architecture | |
| JP2007104396A (ja) | 不正接続防止システムおよび方法、プログラム | |
| Naaz et al. | Investigating DHCP and DNS Protocols Using Wireshark | |
| EP1592199A1 (en) | Administration of network security | |
| Yamanoue et al. | A malicious bot capturing system using a beneficial bot and Wiki | |
| JP2003258795A (ja) | コンピュータ集合体運用方法及びその実施システム並びにその処理プログラム | |
| JP5267893B2 (ja) | ネットワーク監視システム、ネットワーク監視方法、及びネットワーク監視プログラム | |
| JP4484190B2 (ja) | ルーター探索システム、ルーター探索方法、及びルーター探索プログラム | |
| JP4753264B2 (ja) | ネットワーク攻撃を検出するための方法、装置、およびコンピュータ・プログラム(ネットワーク攻撃の検出) | |
| KR101997181B1 (ko) | Dns관리장치 및 그 동작 방법 | |
| JP2003186763A (ja) | コンピュータシステムへの不正侵入の検知と防止方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060714 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080828 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080902 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090113 |