JP2005236665A - Method, program, and apparatus for monitoring unauthorized routing - Google Patents
Method, program, and apparatus for monitoring unauthorized routing Download PDFInfo
- Publication number
- JP2005236665A JP2005236665A JP2004043254A JP2004043254A JP2005236665A JP 2005236665 A JP2005236665 A JP 2005236665A JP 2004043254 A JP2004043254 A JP 2004043254A JP 2004043254 A JP2004043254 A JP 2004043254A JP 2005236665 A JP2005236665 A JP 2005236665A
- Authority
- JP
- Japan
- Prior art keywords
- address information
- information
- routing
- address
- unauthorized
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、IP(Internet Protocol)およびイーサネット(登録商標)を利用したネットワークにおける不正ルーティングを監視する技術に関する。 The present invention relates to a technique for monitoring unauthorized routing in a network using IP (Internet Protocol) and Ethernet (registered trademark).
現在、端末を接続させてLAN(Local Area Network)を構成し、LANからルータを介してインターネット等の外部ネットワークに接続できるようなネットワークシステムが普及している。このようなイーサネット(登録商標)のネットワークシステムでは、種々の端末機が使用されることから、マルチベンダの使用に適したIPが使用されている。
また、このようなネットワークシステムにおいて、外部ネットワークあるいはLAN内部から、LANに接続される端末に不正に侵入されることがある。このような不正侵入を監視するために、ネットワークに接続される情報機器の資源の構成及び利用状況の情報を収集し、不正利用および不正接続を検出する技術が提案されている(例えば、特許文献1参照)。
Currently, a network system in which a terminal is connected to form a LAN (Local Area Network) and can be connected from the LAN to an external network such as the Internet via a router has become widespread. In such an Ethernet (registered trademark) network system, since various terminals are used, an IP suitable for use by a multi-vendor is used.
Further, in such a network system, there is a case where an unauthorized access is made to a terminal connected to the LAN from the external network or the LAN. In order to monitor such unauthorized intrusion, a technology has been proposed that collects information on the configuration and usage status of resources of information devices connected to the network and detects unauthorized use and unauthorized connection (for example, Patent Documents). 1).
この従来技術は、図11に示すように、2つのLAN(ローカルエリアネットワーク)11、12がインターネット13と接続され、インターネット13を通じて情報のやり取りが可能な構成となっている。インターネット13には、ネットワークの利用状況等を監視するネットワーク集中監視装置14が接続されると共に、コンピュータウィルスに対する最新のワクチンのダウンロードサービスを提供するウィルス対策ワクチン配布Webサイト15が接続されている。LAN11および12には、コンピュータなどの情報機器111、112と、メールの送受信を行うためのメールサーバ113と、ファイルを管理するファイルサーバ114と、プロキシの設定を行うプロキシサーバ115と、不正アクセスを防ぐためのファイアウォールサーバ116と、LAN内における情報機器の接続状況及びトラフィックを監視する監視装置117とが接続されている。各情報機器111、112には、情報機器111および112における資源の構成及び利用状況並びに利用者による利用状況を収集するエージェントと、コンピュータウィルスに対するワクチンを投入するウィルス検知手段とを実装している。また、ネットワーク集中監視装置14において、各情報機器のエージェントが収集した情報機器の資源の構成及び利用状況の情報を取得し、ネットワーク内における各情報機器の資源の構成及び利用状況を認識すると共に、不正利用および不正接続を検出している。
As shown in FIG. 11, this prior art has a configuration in which two LANs (Local Area Networks) 11 and 12 are connected to the Internet 13 and information can be exchanged through the Internet 13. Connected to the Internet 13 is a network centralized
上記従来技術では、情報機器の資源の構成や利用状況の情報を、ネットワーク集中監視装置14において逐一収集しなければならないので処理負荷が大きくなる。すなわち、上記従来技術では、ネットワーク集中監視装置14でネットワークにおけるすべての利用状況等を把握しなければならない。このため、ネットワーク集中監視装置14での処理はネットワーク規模が大きくなるほど増大する。
本発明の目的は、上記課題を解決するものであり、IPおよびイーサネット(登録商標)を利用するネットワークで、より簡単に不正接続を検出する技術を提供することにある。
In the above-described conventional technology, information on the configuration and usage status of information equipment resources must be collected by the network centralized
An object of the present invention is to solve the above-described problems, and to provide a technique for detecting unauthorized connection more easily in a network using IP and Ethernet (registered trademark).
上記目的を達成させるために、本発明は、IP(Internet Protocol)およびイーサネット(登録商標)を利用するネットワークに接続されるルータでの不正ルーティングを監視する不正ルーティング監視方法であって、前記ルータのルーティングテーブル情報およびARP(Address Resolution Protocol)テーブル情報を採取する第1のステップと、前記ルーティングテーブル情報に登録された前記ネットワークの経路を示すGW(ゲートウェイ)のIPアドレス情報を検出する第2のステップと、前記ARPテーブル情報に登録された、前記検出されたGWのIPアドレス情報に対応するGWのMAC(Media Access Control Address)アドレス情報が正当であるか否かを検出する第3のステップと、前記GWのIPアドレス情報に対応するGWのMACアドレス情報が正当でないと検出された場合に、その旨を出力する第4のステップと、を備える。
本発明によれば、例えば、ルータのルーティングテーブルを不正に書き換えて、仮想的なルーティング情報を設定し、不正にアクセスを行うようなことが起こった場合に、その仮想的なルーティング情報のMACアドレス情報は実在しないので、GWのIPアドレス情報に対応するMACアドレス情報の正当性を検証することにより、不正接続をより簡単に検出することができる。
In order to achieve the above object, the present invention provides an unauthorized routing monitoring method for monitoring unauthorized routing in a router connected to a network using IP (Internet Protocol) and Ethernet (registered trademark). A first step of collecting routing table information and ARP (Address Resolution Protocol) table information, and a second step of detecting IP address information of a GW (gateway) indicating a route of the network registered in the routing table information A third step of detecting whether or not the MAC (Media Access Control Address) address information of the GW corresponding to the detected GW IP address information registered in the ARP table information is valid; GW MAC address information corresponding to the GW IP address information is And a fourth step of outputting a message to that effect when it is detected that it is not valid.
According to the present invention, for example, when the routing table of the router is illegally rewritten, virtual routing information is set, and unauthorized access occurs, the MAC address of the virtual routing information is generated. Since the information does not exist, unauthorized connection can be detected more easily by verifying the validity of the MAC address information corresponding to the IP address information of the GW.
本発明によれば、GW−IPアドレス情報に対応するMACアドレス情報の正当性を検証することにより、不正接続をより簡単に検出することができる。 According to the present invention, unauthorized connection can be detected more easily by verifying the validity of the MAC address information corresponding to the GW-IP address information.
以下、本発明の実施の形態を、図面を参照して説明する。
図1は、本発明の第1の実施の形態におけるIP(Internet Protocol)およびイーサネット(登録商標)を利用したネットワークシステムの構成図を示している。第1の実施の形態では、端末が、不正アクセスの検出を行い、管理端末に通知する場合を例にする。
図1において、LAN(ローカルエリアネットワーク)1は、インターネットなどのネットワーク270を介して監視センタ260に接続されている。LAN1には、パーソナルコンピュータ等の複数の端末201A、B、Cと、サーバ230と、LAN1を管理するための管理端末240と、LAN1をネットワーク270に接続するためのルータ(GW)220Aとが接続されている。端末201A、B、Cは、それぞれクライアントコンピュータとしてサーバ230と通信を行うことができる。また、ルータ220Aおよびネットワーク270を介して他のネットワークの端末と通信を行うことができる。図1において、サーバ230、管理端末240および端末201A、B、Cの各々には、オペレーティングシステムシステム(OS)271と、各種の業務を行なうためのアプリケーションプログラムAP272と、本実施の形態における不正アクセス監視プログラム(監視PRO)273と、ネットワークに接続するためのルーティング情報などの各種設定情報を記憶する設定テーブルT274とを備えている。
不正アクセス監視プログラム273は、設定テーブルT274に新たにルーティング情報が設定された場合に、その正当性を判断することにより、不正アクセスを監視するためのソフトウェアである。設定テーブルT274には、自端末のアドレス情報であるIPアドレスとMACアドレス(Media Access Control Address)、宛先の端末のアドレス情報であるルーティング情報およびARP情報を記憶している。ルーティング情報は、スタティックルーティングとダイナミックルーティングいずれでもよい。図2に、端末201Aに記憶している設定テーブルT274を示す。図2において、設定テーブルT274は、自端末のIPアドレスとMACアドレスとを対応させて記憶する自端末情報310と、ルーティング情報を記憶するルーティングテーブル311と、ARP情報を記憶するARP(Address Resolution Protocol)テーブル312とを記憶している。ルーティングテーブル311には、宛先端末ごとに、宛先端末のIPアドレスと、宛先端末との間で経由するGWのIPアドレスとが対応付けられて記憶される。ARPテーブル312には、GW毎に、GWのIPアドレスとGWのMACアドレスとが対応して記憶される。
つぎに、図3に、不正に内容が追加された場合の設定テーブルT274の例を示す。図3に示す例では、設定テーブルT274が不正に書き換えられて、宛先端末のIPアドレス192.168.1.1/32と、経由するGWのIPアドレス10.0.0.100とを含むレコードが追加され、また、ARPテーブル312に、GWのIPアドレス10.0.0.1と、GWのMACアドレスdddd.dddd.ddddとを含むレコードが追加されている。本実施の形態においては、端末のルーティングテーブル311を不正に書き換えて、仮想的なルーティング情報を設定し、その仮想的なルーティング情報により送受信を行うようなことが起こった場合に、その仮想的なルーティング情報のMACアドレス情報は実在しないので、後述する問い合わせを行うことにより、MACアドレス情報が存在するかを検証することで不正を検出している。
つぎに、端末201A、B、Cのハードウェア構成を図4に示す。端末201A、B、Cは、パーソナルコンピュータなどの電子計算機である。図4に示すように、CPU401と、ROM、RAMなどのメモリ403と、キーボードなどの入力装置402と、処理結果等を表示するディスプレイ404とを備える。前述したOS271、AP272、監視プログラム273および設定テーブル274は、メモリ403に記憶される。CPU401は、メモリ403に記憶されたOS271、AP272、監視プログラム273を実行する。
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
FIG. 1 shows a configuration diagram of a network system using IP (Internet Protocol) and Ethernet (registered trademark) according to the first embodiment of the present invention. In the first embodiment, a case where the terminal detects unauthorized access and notifies the management terminal is taken as an example.
In FIG. 1, a LAN (local area network) 1 is connected to a
The unauthorized access monitoring program 273 is software for monitoring unauthorized access by judging the validity when routing information is newly set in the setting table T274. The setting table T274 stores an IP address and MAC address (Media Access Control Address) that are address information of the terminal, routing information and ARP information that is address information of the destination terminal. The routing information may be either static routing or dynamic routing. FIG. 2 shows a setting table T274 stored in the
Next, FIG. 3 shows an example of the setting table T274 when contents are added illegally. In the example shown in FIG. 3, the setting table T274 is illegally rewritten to include the destination terminal IP address 192.168.1.1/32 and the GW IP address 10.0.0.100 via In addition, a record including the GW IP address 10.0.0.1 and the GW MAC address dddd.ddd.ddd is added to the ARP table 312. In the present embodiment, when the routing table 311 of the terminal is illegally rewritten, virtual routing information is set, and transmission / reception is performed using the virtual routing information, the virtual routing information is set. Since the MAC address information of the routing information does not actually exist, fraud is detected by verifying whether the MAC address information exists by making an inquiry described later.
Next, the hardware configuration of the
図1に示す構成において、端末211が端末201Aに不正にアクセスしたときに、端末201Aにおいて不正アクセスを検出する場合を例にして第1の実施の形態を説明する。
In the configuration shown in FIG. 1, the first embodiment will be described by taking as an example a case where when the
端末201Aには、本実施の形態における不正アクセス監視プログラム273があらかじめインストールされていて、この不正アクセス監視プログラム273は、図3に示すように設定テーブルT274に新たにルーティング情報が登録されたとき、もしくは、あらかじめ定められた時間に起動される。起動周期は定期的でも不定期でもよい。本実施の形態において、ルーティング情報の登録には、正当な端末との送受信を行うためのルーティング情報の登録と、不正な端末による仮想的なルーティング情報の登録とがある場合を想定している。その仮想的なルーティング情報により送受信を行うようなことが起こった場合に、不正な端末は、仮想的なルーティング情報が宛先として設定されたパケットを受信することはできたとしても、その仮想的なルーティング情報のMACアドレス情報は実在しないので、リバースARP(RARP)コマンドや、ARPコマンド、Ping(Packet Internet Groper)コマンドなどの問い合わせに対しては応答しないので、これらのコマンドを実行することで不正を検出している。
本実施の形態における不正アクセス監視プログラム273は、次の3つの条件A,B,Cを満たす場合に、不正アクセスが行われたと判断する。
(条件A) ディフォルトルート以外のゲートウェイを経由するルーティング情報がルーティングテーブル311に存在する。
(条件B) ARPテーブル312中に条件Aを満たすゲートウェイのIPアドレスと関連付けられているMACアドレスが存在する。
(条件C) 条件Bを満たすARPテーブル312に登録されたMACアドレスが実在のものと異なる。
これらの条件A,B,Cをフローチャートに示したものが図6〜図9である。デェフォルトルート以外のゲートウェイ(GW)を経由するルーティング情報がルーティングテーブル311に存在し(条件A)、ARPテーブル312中にそのゲートウェイのIPアドレスと関連付けられたMACアドレスが存在し(条件B)、そのMACアドレスがあらかじめ登録された実在のGWのものと異なる(条件C)場合に、不正であると判断する。
以下、不正アクセス監視プログラム273の動作を、図6〜図9に示すフローチャート(その1〜4)を参照して説明する。図6〜図9に、第1の実施の形態における不正監視プログラムのフローチャート(その1〜4)を示す。
図6において、不正アクセス監視プログラム273は、新たにルーティングテーブル311のレコードが登録されたとき、もしくは、定期的に、登録されたルーティング情報のGWのIPアドレス(GW―IPアドレス)が、図3に示す設定テーブルT274のARPテーブル312に登録されているかを判断する(S601)。ARPテーブル312にGW―IPアドレスが登録されていなければ、通信を行うことができないので不正はされていないと判断する。ARPテーブル312にGW―IPアドレスが登録されていれば、ARPテーブル312に登録されているGW―IPアドレスに対応するGWのMACアドレスが正当であるか否かを検証する(S603)。この処理については、図7〜図9を用いて後述する。図3に示す例においては、新たに追加されたルーティングテーブル311のGW−IPアドレス10.0.0.1に対応するARPテーブル312のMACアドレスdddd.dddd.ddddについて検証する。
検証後、MACアドレスについて不正の疑いがあれば(S604)、不正アクセスの可能性があるとして、ディスプレイ404にその旨を表示する(S605)。図5に、ディスプレイ404に表示する表示例の説明図を示す。図5に示すように、不正を検出した場合には、「
IPアドレス10.0.0.1 MACアドレスdddd.dddd.dddd」などと、検出した結果を表示する。また、不正を検出した場合に、アラーム音などを送出したり、不正なレコードをルーティングテーブル311およびARPテーブル312からクリアしたりしてもよい。
図6において、MACアドレスが正当であれば、ルーティングテーブル311の他の新たなレコードについて検証する(S602)。もしくは、定期的に起動している場合には、すべてのレコードについて検証後、不正アクセス監視プログラム273を終了する。
つぎに、図6のS603での処理を図7〜図9を参照して説明する。MACアドレスの正当性を検証するために、端末201Aにおいて、不正アクセス監視プログラム273は、ネットワーク270に対してリバースARP(RARP)コマンドを要求する(S701)。この場合、リバースARPの要求として、S601で検出したGW−IPのMACアドレスを入力とする。RARPの応答がある場合には(S702)、RARPの応答からIPアドレスを取得し(S703)、取得したIPアドレスと、ARPテーブル312のIPアドレスとが一致するか否かを比較し(S704)、一致すれば、不正なしと判断し、図8に示すS800へ移行する(S705)。不一致の場合には、不正の疑いがある(S707)として図6に示すS604に移行する(S707)。また、RARPの応答が、一定時間にない場合には、不正ルーティングか、障害発生か、もしくは、無許可のルータが設置された疑いがあるとして(S706)、図6に示すS604へ進む(S707)。
つぎに、図8のS801において、不正アクセス監視プログラム273は、ネットワーク270に対して、IPアドレスからMACアドレスを取得するため、ARPを要求する(S801)。この場合、ARPの要求に、S601で検出したGW−IPのIPアドレスを含める。ARPの応答がある場合には(S802)、ARPの応答からMACアドレスを取得し(S803)、取得したMACアドレスと、ARPテーブル312内のARP情報のGW−IPアドレスに対応するMACアドレスとが一致するか否かを比較し(S804)、一致すれば、不正なしと判断し、図9に示すS901へ移行する(S805)。不一致の場合には、不正の疑いがあるとして図6に示すS604に移行する(S807)。また、ARPの応答が、一定時間にない場合には、不正ルーティングか、障害発生か、もしくは、無許可のルータが設置された疑いがあるとして(S806)、図6に示すS604へ進む(S807)。
つぎに、図9に示すS901おいて、不正アクセス監視プログラム273は、ネットワーク270に対してPing(Packet Internet Groper)コマンドを要求する(S901)。この場合、図6に示すS601で検出したGW−IPアドレスを宛先とする。Pingの応答がある場合には、ARPテーブル312が更新されるため、ARPテーブル312を再検索し、GW−IPアドレスに対するMACアドレスを取得し(S902)、取得したMACアドレスと、Ping実行前のMACアドレスとが一致するか否かを比較し(S903)、一致すれば、不正なしと判断し、図6に示すS602へ移行する(S904)。不一致の場合には、不正の疑いがある(S906)として図6に示すS604に移行する。また、Pingの応答が、一定時間にない場合には、不正ルーティングか、障害発生か、もしくは、無許可のルータが設置された疑いがあるとして(S906)、S604へ進む(S906)。
以上、説明したように、GW−IPアドレスのMACアドレスの正当性を検証することにより、不正アクセスをより簡単に検出することができる。また、図7〜図9に示すフローチャートは、不正を検出しない場合に、図7、図8、図9と順番に検証しているが、どれから実行してもよく、実行する順番変えてもよい。
また、端末201は、不正を検出した場合に、管理端末240や、監視センタ260の監視装置250に不正を検出した旨を通知するようにしてもよい。この場合、管理端末240や、監視センタ260の監視装置250は、端末201から不正検出の通知を受けると、不正アクセスの可能性があるとして、ディスプレイにその旨を表示することができる。
つぎに、第2の実施の形態を説明する。第1の実施の形態では、端末において不正アクセスを検出したが、第2の実施の形態では、図1に示す監視センタ260の監視装置250において、ルータ220Aに不正ルーティングが設定されたことを検出する方法ついて説明する。本実施の形態におけるルータは、前述の端末201と同様のルーティングテーブル311やARPテーブル312の設定テーブルT274を備え、SNMP(Simple Network Management Protocol)に対応している。本実施の形態においてもネットワークシステムの構成は第1の実施の形態と同様である。また、監視装置250の構成は、図4に示す端末の構成と同様である。監視装置250には、第2の実施の形態における不正アクセス監視プログラム273があらかじめインストールされていて、あらかじめ定められた時間に起動される。起動周期は、定期的でも不定期でもよい。本実施の形態においても、ルーティング情報の登録には、正当な端末との送受信を行うためのルーティング情報の登録と、不正な端末による仮想的なルーティング情報の登録とがある場合を想定している。その仮想的なルーティング情報により送受信を行うようなことが起こった場合に、不正な端末は、仮想的なルーティング情報が宛先として設定されたパケットを受信することはできたとしても、その仮想的なルーティング情報のMACアドレス情報は実在しないので、Ping(Packet Internet Groper)コマンドの問い合わせに対しては応答しないので、これらのコマンドを実行することで不正を検出している。
図10に、第2の実施の形態における不正アクセス監視プログラム273のフローチャートを示す。
監視装置250において、不正アクセス監視プログラム273は、SNMPでルータ220Aのルーティングテーブル311とARPテーブル312を採取する(S1001、S1002)。ルーティング情報のゲートウェイ(GW)―IPアドレスが、ARPテーブル312に登録されているかを判断する(S1003)。ARPテーブル312にGW―IPアドレスが登録されていなければ、通信を行うことができないので不正はされていないと判断する。ARPテーブル312にGW―IPアドレスが登録されていれば、ルータからそのGWにPingが実行可能かどうかを判断し(S1004)、可能であれば、ルータに対してそのGWにPingを実行するように指示する(S1006)。可能でなければ、監視装置250からそのGWに対してPingを実行する(S1005)。この場合、あらかじめ監視装置250に、Pingが実行可能なルータの識別情報を登録しておくことにより、登録してあるルータならば、そのGWにPingが実行可能であると判断し、登録していなければ実行不可能と判断する。S1003で検出したGW−IPアドレスを宛先とする。Pingの応答がある場合には(S1007)、ARPテーブル312が更新されるため、ARPテーブル312を再検索し、GW−IPアドレスに対するMACアドレスを取得し(S1009)、取得したMACアドレスと、Ping実行前のMACアドレスとが一致するか否かを比較し(S1010)、一致すれば、不正なしと判断し、S1012へ移行する。不一致の場合には、不正の疑いがある(S1011)として、図5に示すようにディスプレイにその旨を表示する。また、Pingの応答が、一定時間にない場合には、不正ルーティングか、障害発生か、もしくは、無許可のルータが設置された疑いがあるとして(S1008)、不正の疑いがある旨を図5に示すようにディスプレイ等に表示して通知する。
ルーティングテーブル311のすべてのレコードを検証後、さらに、ルータが複数ある場合には、他のルータ検証も行う(S1012)。
In the
The unauthorized access monitoring program 273 in this embodiment determines that unauthorized access has been performed when the following three conditions A, B, and C are satisfied.
(Condition A) Routing information that passes through a gateway other than the default route exists in the routing table 311.
(Condition B) The MAC address associated with the IP address of the gateway satisfying the condition A exists in the ARP table 312.
(Condition C) The MAC address registered in the ARP table 312 satisfying the condition B is different from the actual one.
These conditions A, B, and C are shown in flowcharts in FIGS. Routing information via the gateway (GW) other than the default route exists in the routing table 311 (condition A), and the MAC address associated with the IP address of the gateway exists in the ARP table 312 (condition B). When the MAC address is different from that of a real GW registered in advance (condition C), it is determined to be illegal.
Hereinafter, the operation of the unauthorized access monitoring program 273 will be described with reference to the flowcharts (Nos. 1 to 4) shown in FIGS. 6 to 9 show flowcharts (
In FIG. 6, the unauthorized access monitoring program 273 indicates that the GW IP address (GW-IP address) of the registered routing information is registered when a record of the routing table 311 is newly registered or periodically. It is determined whether it is registered in the ARP table 312 of the setting table T274 (S601). If the GW-IP address is not registered in the ARP table 312, it is determined that no fraud has been made because communication cannot be performed. If the GW-IP address is registered in the ARP table 312, it is verified whether or not the MAC address of the GW corresponding to the GW-IP address registered in the ARP table 312 is valid (S603). This process will be described later with reference to FIGS. In the example shown in FIG. 3, the MAC address dddd.dddd.dddd of the ARP table 312 corresponding to the GW-IP address 10.0.0.1 of the newly added routing table 311 is verified.
After verification, if there is a suspicion of unauthorized MAC address (S604), the
“IP address 10.0.0.1 MAC address dddd.dddd.dddd” and the detected result are displayed. Further, when fraud is detected, an alarm sound or the like may be sent out, or the fraudulent record may be cleared from the routing table 311 and the ARP table 312.
In FIG. 6, if the MAC address is valid, another new record of the routing table 311 is verified (S602). Alternatively, if it is periodically activated, the unauthorized access monitoring program 273 is terminated after verifying all the records.
Next, the processing in S603 of FIG. 6 will be described with reference to FIGS. In order to verify the validity of the MAC address, in the terminal 201A, the unauthorized access monitoring program 273 requests a reverse ARP (RARP) command to the network 270 (S701). In this case, the GW-IP MAC address detected in S601 is input as a reverse ARP request. When there is an RARP response (S702), an IP address is acquired from the RARP response (S703), and whether the acquired IP address matches the IP address of the ARP table 312 is compared (S704). If they match, it is determined that there is no fraud, and the process proceeds to S800 shown in FIG. 8 (S705). If they do not match, it is determined that there is a suspicion of fraud (S707), and the process proceeds to S604 shown in FIG. 6 (S707). Also, if the RARP response is not within a certain period of time, it is assumed that there is an unauthorized routing, a failure has occurred, or that an unauthorized router has been installed (S706), and the process proceeds to S604 shown in FIG. 6 (S707). ).
Next, in S801 in FIG. 8, the unauthorized access monitoring program 273 requests the network 270 for ARP in order to obtain the MAC address from the IP address (S801). In this case, the GW-IP IP address detected in S601 is included in the ARP request. When there is an ARP response (S802), the MAC address is acquired from the ARP response (S803), and the acquired MAC address and the MAC address corresponding to the GW-IP address of the ARP information in the ARP table 312 are obtained. Whether or not they match is compared (S804). If they match, it is determined that there is no fraud, and the process proceeds to S901 shown in FIG. 9 (S805). In the case of mismatch, it is determined that there is a suspicion of fraud, and the process proceeds to S604 shown in FIG. 6 (S807). If the ARP response is not within a certain period of time, it is assumed that there is an unauthorized routing, a failure has occurred, or an unauthorized router has been installed (S806), and the process proceeds to S604 shown in FIG. 6 (S807). ).
Next, in S901 shown in FIG. 9, the unauthorized access monitoring program 273 requests the network 270 for a Ping (Packet Internet Groper) command (S901). In this case, the destination is the GW-IP address detected in S601 shown in FIG. If there is a Ping response, the ARP table 312 is updated. Therefore, the ARP table 312 is searched again, and the MAC address for the GW-IP address is acquired (S902). Whether or not the MAC addresses match is compared (S903). If they match, it is determined that there is no fraud, and the process proceeds to S602 shown in FIG. 6 (S904). If they do not match, it is determined that there is a suspicion of fraud (S906), and the process proceeds to S604 shown in FIG. If there is no Ping response within a certain period of time, it is assumed that there is an unauthorized routing, a failure has occurred, or an unauthorized router has been installed (S906), and the process proceeds to S604 (S906).
As described above, unauthorized access can be detected more easily by verifying the validity of the MAC address of the GW-IP address. Further, the flowcharts shown in FIGS. 7 to 9 verify in the order of FIGS. 7, 8, and 9 when fraud is not detected. Good.
Further, when the fraud is detected, the terminal 201 may notify the
Next, a second embodiment will be described. In the first embodiment, the unauthorized access is detected in the terminal. In the second embodiment, the
FIG. 10 shows a flowchart of the unauthorized access monitoring program 273 in the second embodiment.
In the
After verifying all the records in the routing table 311, if there are a plurality of routers, other router verification is also performed (S1012).
以上、説明したように、監視装置において、ルータの設定テーブルT274を採取してルーティング情報の正当性を検証することにより、不正ルーティングが設定されたことを検出することができる。 As described above, in the monitoring device, it is possible to detect that illegal routing has been set by collecting the router setting table T274 and verifying the validity of the routing information.
201A、B、C…端末、220A・B…ルータ、230・260…サーバ、240…管理端末、250…監視装置、260…監視センタ、1…LAN、270…ネットワーク。
201A, B, C ... terminal, 220A / B ... router, 230/260 ... server, 240 ... management terminal, 250 ... monitoring device, 260 ... monitoring center, 1 ... LAN, 270 ... network.
Claims (5)
前記ルータのルーティングテーブル情報およびARP(Address Resolution Protocol)テーブル情報を採取する第1のステップと、
前記ルーティングテーブル情報に登録された前記ネットワークの経路を示すGW(ゲートウェイ)のIPアドレス情報を検出する第2のステップと、
前記ARPテーブル情報に登録された、前記検出されたGWのIPアドレス情報に対応するGWのMAC(Media Access Control Address)アドレス情報が正当であるか否かを検出する第3のステップと、
前記GWのIPアドレス情報に対応するGWのMACアドレス情報が正当でないと検出された場合に、その旨を出力する第4のステップと、を備えること
を特徴とする不正ルーティング監視方法。 An unauthorized routing monitoring method for monitoring unauthorized routing in a router connected to a network using IP (Internet Protocol) and Ethernet (registered trademark),
A first step of collecting routing table information and ARP (Address Resolution Protocol) table information of the router;
A second step of detecting IP address information of a GW (gateway) indicating a route of the network registered in the routing table information;
A third step of detecting whether or not the MAC (Media Access Control Address) address information of the GW corresponding to the detected GW IP address information registered in the ARP table information is valid;
And a fourth step of outputting the fact when it is detected that the MAC address information of the GW corresponding to the IP address information of the GW is not valid.
前記第3のステップは、
前記ネットワークに対して前記GWのIPアドレス情報を宛先としてPing(Packet Internet Groper)コマンドを実行するステップと、
前記Pingコマンド実行後のARPテーブル情報を採取するステップと、
前記GWのMACアドレス情報と、前記Pingコマンド実行後の前記ARPテーブル情報におけるGWのMACアドレス情報とが一致するか否かを比較するステップと、
前記比較の結果、一致しない場合と、前記Pingコマンドの応答をあらかじめ定めた時間以内に受信しないときに、前記GWのMACアドレス情報が正当でないとするステップと、を備えること
を特徴とする不正ルーティング監視方法。 In the unauthorized routing monitoring method according to claim 1,
The third step includes
Executing a Ping (Packet Internet Groper) command with the IP address information of the GW as a destination for the network;
Collecting ARP table information after execution of the Ping command;
Comparing whether the MAC address information of the GW and the MAC address information of the GW in the ARP table information after execution of the Ping command match;
A step of determining that the MAC address information of the GW is not valid when the comparison does not match and the response of the Ping command is not received within a predetermined time. Monitoring method.
前記第3のステップは、
前記GWのIPアドレス情報を宛先としてPing(Packet Internet Groper)コマンドを実行するように前記ルータに指示するステップと、
前記Pingコマンド実行後のARPテーブル情報を採取するステップと、
前記GWのMACアドレス情報と、前記Pingコマンド実行後の前記ARPテーブル情報におけるGWのMACアドレス情報とが一致するか否かを比較するステップと、
前記比較の結果、一致しない場合と、前記Pingコマンドの応答をあらかじめ定めた時間以内に受信しないときに、前記GWのMACアドレス情報が正当でないとするステップと、を備えること
を特徴とする不正ルーティング監視方法。 In the unauthorized routing monitoring method according to claim 1,
The third step includes
Instructing the router to execute a Ping (Packet Internet Groper) command with the IP address information of the GW as a destination;
Collecting ARP table information after execution of the Ping command;
Comparing whether the MAC address information of the GW and the MAC address information of the GW in the ARP table information after execution of the Ping command match;
A step of determining that the MAC address information of the GW is not valid when the comparison does not match and the response of the Ping command is not received within a predetermined time. Monitoring method.
前記不正アクセス監視プログラムは、コンピュータに、
前記ルータのルーティングテーブル情報およびARP(Address Resolution Protocol)テーブル情報を採取する第1のステップと、
前記ルーティングテーブル情報に登録された前記ネットワークの経路を示すGW(ゲートウェイ)のIPアドレス情報を検出する第2のステップと、
前記ARPテーブル情報に登録された、前記検出されたGWのIPアドレス情報に対応するGWのMAC(Media Access Control Address)アドレス情報が正当であるか否かを検出する第3のステップと、
前記GWのIPアドレス情報に対応するGWのMACアドレス情報が正当でないと検出された場合に、その旨を出力する第4のステップと、を実行させること
を特徴とする不正ルーティング監視プログラム。 An unauthorized routing monitoring program for monitoring unauthorized routing in a router connected to a network using IP (Internet Protocol) and Ethernet (registered trademark),
The unauthorized access monitoring program
A first step of collecting routing table information and ARP (Address Resolution Protocol) table information of the router;
A second step of detecting IP address information of a GW (gateway) indicating a route of the network registered in the routing table information;
A third step of detecting whether or not the MAC (Media Access Control Address) address information of the GW corresponding to the detected GW IP address information registered in the ARP table information is valid;
And executing a fourth step of outputting the fact when it is detected that the MAC address information of the GW corresponding to the IP address information of the GW is not valid.
前記ルータのルーティングテーブル情報およびARP(Address Resolution Protocol)テーブル情報を採取する採取手段と、
前記ルーティングテーブル情報に登録された前記ネットワークの経路を示すGW(ゲートウェイ)のIPアドレス情報を検出する検出手段と、
前記ARPテーブル情報に登録された、前記検出されたGWのIPアドレス情報に対応するGWのMAC(Media Access Control Address)アドレス情報が正当であるか否かを検出する正当性検出手段と、
前記正当性検出手段において前記GWのIPアドレス情報に対応するGWのMACアドレス情報が正当でないと検出された場合に、その旨を出力する出力手段と、を備えること
を特徴とする不正ルーティング監視装置。
An unauthorized routing monitoring device that monitors unauthorized routing in a router connected to a network using IP (Internet Protocol) and Ethernet (registered trademark),
A collecting means for collecting routing table information and ARP (Address Resolution Protocol) table information of the router;
Detecting means for detecting IP address information of a GW (gateway) indicating a route of the network registered in the routing table information;
Legitimacy detecting means for detecting whether or not the MAC (Media Access Control Address) address information of the GW corresponding to the detected IP address information of the GW registered in the ARP table information is valid;
An unauthorized routing monitoring apparatus comprising: output means for outputting a message to the effect that the validity detecting means detects that the MAC address information of the GW corresponding to the IP address information of the GW is not valid .
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004043254A JP3729830B2 (en) | 2004-02-19 | 2004-02-19 | Unauthorized routing monitoring method, unauthorized routing monitoring program, and unauthorized routing monitoring device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004043254A JP3729830B2 (en) | 2004-02-19 | 2004-02-19 | Unauthorized routing monitoring method, unauthorized routing monitoring program, and unauthorized routing monitoring device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005236665A true JP2005236665A (en) | 2005-09-02 |
JP3729830B2 JP3729830B2 (en) | 2005-12-21 |
Family
ID=35019168
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004043254A Expired - Fee Related JP3729830B2 (en) | 2004-02-19 | 2004-02-19 | Unauthorized routing monitoring method, unauthorized routing monitoring program, and unauthorized routing monitoring device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3729830B2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7991877B2 (en) | 2007-10-05 | 2011-08-02 | International Business Machines Corporation | Rogue router hunter |
-
2004
- 2004-02-19 JP JP2004043254A patent/JP3729830B2/en not_active Expired - Fee Related
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7991877B2 (en) | 2007-10-05 | 2011-08-02 | International Business Machines Corporation | Rogue router hunter |
Also Published As
Publication number | Publication date |
---|---|
JP3729830B2 (en) | 2005-12-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9049118B2 (en) | Probe election in failover configuration | |
US7360242B2 (en) | Personal firewall with location detection | |
JP5987627B2 (en) | Unauthorized access detection method, network monitoring device and program | |
JP2017502625A (en) | Method, device, computer program and information storage means for classifying TCP connections carrying HTTP traffic | |
US10193907B2 (en) | Intrusion detection to prevent impersonation attacks in computer networks | |
JP2008177714A (en) | Network system, server, ddns server, and packet relay device | |
JP2008084246A (en) | Inter-client communication log management method and system | |
JP2008092465A (en) | Apparatus and method for managing/controlling connection of computer terminal to network for communication | |
JP2003218873A (en) | Communication monitoring apparatus and monitoring method | |
JP2007183773A (en) | Server monitoring program, server monitoring device, server monitoring method | |
US20090122721A1 (en) | Hybrid network discovery method for detecting client applications | |
JP2001313640A (en) | Method and system for deciding access type in communication network and recording medium | |
JP3729830B2 (en) | Unauthorized routing monitoring method, unauthorized routing monitoring program, and unauthorized routing monitoring device | |
JP2003258795A (en) | Computer aggregate operating method, implementation system therefor, and processing program therefor | |
JP4767683B2 (en) | Relay device, unauthorized access prevention device, and access control program | |
CN112565203B (en) | Centralized management platform | |
CN101729544B (en) | Method and system for security capacity negotiation | |
JP2008141352A (en) | Network security system | |
JP2006013732A (en) | Routing device and authentication method of information processor | |
JP2005236664A (en) | Method, program, and terminal for monitoring unauthorized access | |
JP4753264B2 (en) | Method, apparatus, and computer program for detecting network attacks (network attack detection) | |
JP2005210451A (en) | Unauthorized access preventing apparatus and program | |
JP4561691B2 (en) | Communication method, information processing apparatus, and computer program | |
KR101145771B1 (en) | Internet protocol based filtering device and method, and legitimate user identifying device and method | |
US10951650B2 (en) | Detection of network sniffing activity |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20050913 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20051004 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111014 Year of fee payment: 6 |
|
LAPS | Cancellation because of no payment of annual fees |