JP2005236665A - Method, program, and apparatus for monitoring unauthorized routing - Google Patents

Method, program, and apparatus for monitoring unauthorized routing Download PDF

Info

Publication number
JP2005236665A
JP2005236665A JP2004043254A JP2004043254A JP2005236665A JP 2005236665 A JP2005236665 A JP 2005236665A JP 2004043254 A JP2004043254 A JP 2004043254A JP 2004043254 A JP2004043254 A JP 2004043254A JP 2005236665 A JP2005236665 A JP 2005236665A
Authority
JP
Japan
Prior art keywords
address information
information
routing
address
unauthorized
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004043254A
Other languages
Japanese (ja)
Other versions
JP3729830B2 (en
Inventor
Toru Kawabata
徹 川端
Ryuji Naito
竜治 内藤
Norikazu Yamagishi
令和 山岸
Takaaki Habara
貴明 羽原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Electronics Services Co Ltd
Original Assignee
Hitachi Electronics Services Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Electronics Services Co Ltd filed Critical Hitachi Electronics Services Co Ltd
Priority to JP2004043254A priority Critical patent/JP3729830B2/en
Publication of JP2005236665A publication Critical patent/JP2005236665A/en
Application granted granted Critical
Publication of JP3729830B2 publication Critical patent/JP3729830B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To monitor unauthorized access in communication using IP and Ethernet (R). <P>SOLUTION: An unauthorized routing monitoring method comprises a first step of collecting the routing table 311 of a router and an ARP (Address Resolution Protocol) table 312; a second step of detecting IP address information of a GW (gateway) indicating a route of the network registered in the routing table 311; a third step of detecting whether MAC (media access control address) address information, registered in the ARP table 312, of a GW corresponding to the IP address information of the detected GW is correct or not; and a fourth step of outputting the fact that the MAC (Media Access Control Address) address information of the GW corresponding to the IP address information of the GW is not correct if it is detected as incorrect. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

本発明は、IP(Internet Protocol)およびイーサネット(登録商標)を利用したネットワークにおける不正ルーティングを監視する技術に関する。   The present invention relates to a technique for monitoring unauthorized routing in a network using IP (Internet Protocol) and Ethernet (registered trademark).

現在、端末を接続させてLAN(Local Area Network)を構成し、LANからルータを介してインターネット等の外部ネットワークに接続できるようなネットワークシステムが普及している。このようなイーサネット(登録商標)のネットワークシステムでは、種々の端末機が使用されることから、マルチベンダの使用に適したIPが使用されている。
また、このようなネットワークシステムにおいて、外部ネットワークあるいはLAN内部から、LANに接続される端末に不正に侵入されることがある。このような不正侵入を監視するために、ネットワークに接続される情報機器の資源の構成及び利用状況の情報を収集し、不正利用および不正接続を検出する技術が提案されている(例えば、特許文献1参照)。 Currently, a network system in which a terminal is connected to form a LAN (Local Area Network) and can be connected from the LAN to an external network such as the Internet via a router has become widespread. In such an Ethernet (registered trademark) network system, since various terminals are used, an IP suitable for use by a multi-vendor is used.
Further, in such a network system, there is a case where an unauthorized access is made to a terminal connected to the LAN from the external network or the LAN. In order to monitor such unauthorized intrusion, a technology has been proposed that collects information on the configuration and usage status of resources of information devices connected to the network and detects unauthorized use and unauthorized connection (for example, Patent Documents). 1).

この従来技術は、図11に示すように、2つのLAN(ローカルエリアネットワーク)11、12がインターネット13と接続され、インターネット13を通じて情報のやり取りが可能な構成となっている。インターネット13には、ネットワークの利用状況等を監視するネットワーク集中監視装置14が接続されると共に、コンピュータウィルスに対する最新のワクチンのダウンロードサービスを提供するウィルス対策ワクチン配布Webサイト15が接続されている。LAN11および12には、コンピュータなどの情報機器111、112と、メールの送受信を行うためのメールサーバ113と、ファイルを管理するファイルサーバ114と、プロキシの設定を行うプロキシサーバ115と、不正アクセスを防ぐためのファイアウォールサーバ116と、LAN内における情報機器の接続状況及びトラフィックを監視する監視装置117とが接続されている。各情報機器111、112には、情報機器111および112における資源の構成及び利用状況並びに利用者による利用状況を収集するエージェントと、コンピュータウィルスに対するワクチンを投入するウィルス検知手段とを実装している。また、ネットワーク集中監視装置14において、各情報機器のエージェントが収集した情報機器の資源の構成及び利用状況の情報を取得し、ネットワーク内における各情報機器の資源の構成及び利用状況を認識すると共に、不正利用および不正接続を検出している。   As shown in FIG. 11, this prior art has a configuration in which two LANs (Local Area Networks) 11 and 12 are connected to the Internet 13 and information can be exchanged through the Internet 13. Connected to the Internet 13 is a network centralized monitoring device 14 that monitors the network usage status and the like, and is connected to an anti-virus vaccine distribution Web site 15 that provides a latest vaccine download service against computer viruses. The LANs 11 and 12 have unauthorized access to information devices 111 and 112 such as computers, a mail server 113 for sending and receiving mail, a file server 114 for managing files, a proxy server 115 for setting proxy settings, and unauthorized access. A firewall server 116 for prevention is connected to a monitoring device 117 that monitors the connection status and traffic of information devices in the LAN. Each information device 111, 112 is equipped with an agent that collects the configuration and usage status of resources in the information devices 111 and 112, and the usage status by the user, and virus detection means for introducing a vaccine against a computer virus. Further, the network centralized monitoring device 14 acquires information on the resource configuration and usage status of the information device collected by the agent of each information device, recognizes the resource configuration and usage status of each information device in the network, and Unauthorized use and unauthorized connection are detected.

特開2002-149435号公報JP 2002-149435 JP

上記従来技術では、情報機器の資源の構成や利用状況の情報を、ネットワーク集中監視装置14において逐一収集しなければならないので処理負荷が大きくなる。すなわち、上記従来技術では、ネットワーク集中監視装置14でネットワークにおけるすべての利用状況等を把握しなければならない。このため、ネットワーク集中監視装置14での処理はネットワーク規模が大きくなるほど増大する。
本発明の目的は、上記課題を解決するものであり、IPおよびイーサネット(登録商標)を利用するネットワークで、より簡単に不正接続を検出する技術を提供することにある。 In the above-described conventional technology, information on the configuration and usage status of information equipment resources must be collected by the network centralized monitoring device 14 one by one, which increases the processing load. In other words, in the above prior art, it is necessary for the network centralized monitoring device 14 to grasp all the usage conditions in the network. For this reason, the processing in the network centralized monitoring device 14 increases as the network scale increases.
An object of the present invention is to solve the above-described problems, and to provide a technique for detecting unauthorized connection more easily in a network using IP and Ethernet (registered trademark).

上記目的を達成させるために、本発明は、IP(Internet Protocol)およびイーサネット(登録商標)を利用するネットワークに接続されるルータでの不正ルーティングを監視する不正ルーティング監視方法であって、前記ルータのルーティングテーブル情報およびARP(Address Resolution Protocol)テーブル情報を採取する第1のステップと、前記ルーティングテーブル情報に登録された前記ネットワークの経路を示すGW(ゲートウェイ)のIPアドレス情報を検出する第2のステップと、前記ARPテーブル情報に登録された、前記検出されたGWのIPアドレス情報に対応するGWのMAC(Media Access Control Address)アドレス情報が正当であるか否かを検出する第3のステップと、前記GWのIPアドレス情報に対応するGWのMACアドレス情報が正当でないと検出された場合に、その旨を出力する第4のステップと、を備える。
本発明によれば、例えば、ルータのルーティングテーブルを不正に書き換えて、仮想的なルーティング情報を設定し、不正にアクセスを行うようなことが起こった場合に、その仮想的なルーティング情報のMACアドレス情報は実在しないので、GWのIPアドレス情報に対応するMACアドレス情報の正当性を検証することにより、不正接続をより簡単に検出することができる。 In order to achieve the above object, the present invention provides an unauthorized routing monitoring method for monitoring unauthorized routing in a router connected to a network using IP (Internet Protocol) and Ethernet (registered trademark). A first step of collecting routing table information and ARP (Address Resolution Protocol) table information, and a second step of detecting IP address information of a GW (gateway) indicating a route of the network registered in the routing table information A third step of detecting whether or not the MAC (Media Access Control Address) address information of the GW corresponding to the detected GW IP address information registered in the ARP table information is valid; GW MAC address information corresponding to the GW IP address information is And a fourth step of outputting a message to that effect when it is detected that it is not valid.
According to the present invention, for example, when the routing table of the router is illegally rewritten, virtual routing information is set, and unauthorized access occurs, the MAC address of the virtual routing information is generated. Since the information does not exist, unauthorized connection can be detected more easily by verifying the validity of the MAC address information corresponding to the IP address information of the GW.

本発明によれば、GW−IPアドレス情報に対応するMACアドレス情報の正当性を検証することにより、不正接続をより簡単に検出することができる。 According to the present invention, unauthorized connection can be detected more easily by verifying the validity of the MAC address information corresponding to the GW-IP address information.

以下、本発明の実施の形態を、図面を参照して説明する。
図1は、本発明の第1の実施の形態におけるIP(Internet Protocol)およびイーサネット(登録商標)を利用したネットワークシステムの構成図を示している。第1の実施の形態では、端末が、不正アクセスの検出を行い、管理端末に通知する場合を例にする。
図1において、LAN(ローカルエリアネットワーク)1は、インターネットなどのネットワーク270を介して監視センタ260に接続されている。LAN1には、パーソナルコンピュータ等の複数の端末201A、B、Cと、サーバ230と、LAN1を管理するための管理端末240と、LAN1をネットワーク270に接続するためのルータ(GW)220Aとが接続されている。端末201A、B、Cは、それぞれクライアントコンピュータとしてサーバ230と通信を行うことができる。また、ルータ220Aおよびネットワーク270を介して他のネットワークの端末と通信を行うことができる。図1において、サーバ230、管理端末240および端末201A、B、Cの各々には、オペレーティングシステムシステム(OS)271と、各種の業務を行なうためのアプリケーションプログラムAP272と、本実施の形態における不正アクセス監視プログラム(監視PRO)273と、ネットワークに接続するためのルーティング情報などの各種設定情報を記憶する設定テーブルT274とを備えている。
不正アクセス監視プログラム273は、設定テーブルT274に新たにルーティング情報が設定された場合に、その正当性を判断することにより、不正アクセスを監視するためのソフトウェアである。設定テーブルT274には、自端末のアドレス情報であるIPアドレスとMACアドレス(Media Access Control Address)、宛先の端末のアドレス情報であるルーティング情報およびARP情報を記憶している。ルーティング情報は、スタティックルーティングとダイナミックルーティングいずれでもよい。図2に、端末201Aに記憶している設定テーブルT274を示す。図2において、設定テーブルT274は、自端末のIPアドレスとMACアドレスとを対応させて記憶する自端末情報310と、ルーティング情報を記憶するルーティングテーブル311と、ARP情報を記憶するARP(Address Resolution Protocol)テーブル312とを記憶している。ルーティングテーブル311には、宛先端末ごとに、宛先端末のIPアドレスと、宛先端末との間で経由するGWのIPアドレスとが対応付けられて記憶される。ARPテーブル312には、GW毎に、GWのIPアドレスとGWのMACアドレスとが対応して記憶される。
つぎに、図3に、不正に内容が追加された場合の設定テーブルT274の例を示す。図3に示す例では、設定テーブルT274が不正に書き換えられて、宛先端末のIPアドレス192.168.1.1/32と、経由するGWのIPアドレス10.0.0.100とを含むレコードが追加され、また、ARPテーブル312に、GWのIPアドレス10.0.0.1と、GWのMACアドレスdddd.dddd.ddddとを含むレコードが追加されている。本実施の形態においては、端末のルーティングテーブル311を不正に書き換えて、仮想的なルーティング情報を設定し、その仮想的なルーティング情報により送受信を行うようなことが起こった場合に、その仮想的なルーティング情報のMACアドレス情報は実在しないので、後述する問い合わせを行うことにより、MACアドレス情報が存在するかを検証することで不正を検出している。
つぎに、端末201A、B、Cのハードウェア構成を図4に示す。端末201A、B、Cは、パーソナルコンピュータなどの電子計算機である。図4に示すように、CPU401と、ROM、RAMなどのメモリ403と、キーボードなどの入力装置402と、処理結果等を表示するディスプレイ404とを備える。前述したOS271、AP272、監視プログラム273および設定テーブル274は、メモリ403に記憶される。CPU401は、メモリ403に記憶されたOS271、AP272、監視プログラム273を実行する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
FIG. 1 shows a configuration diagram of a network system using IP (Internet Protocol) and Ethernet (registered trademark) according to the first embodiment of the present invention. In the first embodiment, a case where the terminal detects unauthorized access and notifies the management terminal is taken as an example.
In FIG. 1, a LAN (local area network) 1 is connected to a monitoring center 260 via a network 270 such as the Internet. Connected to the LAN 1 are a plurality of terminals 201 A, B, C such as personal computers, a server 230, a management terminal 240 for managing the LAN 1, and a router (GW) 220 A for connecting the LAN 1 to the network 270. Has been. Each of the terminals 201A, B, and C can communicate with the server 230 as a client computer. In addition, communication with a terminal of another network can be performed via the router 220A and the network 270. In FIG. 1, each of the server 230, the management terminal 240, and the terminals 201A, B, and C has an operating system system (OS) 271, an application program AP272 for performing various operations, and unauthorized access in the present embodiment. A monitoring program (monitoring PRO) 273 and a setting table T274 that stores various setting information such as routing information for connecting to a network are provided.
The unauthorized access monitoring program 273 is software for monitoring unauthorized access by judging the validity when routing information is newly set in the setting table T274. The setting table T274 stores an IP address and MAC address (Media Access Control Address) that are address information of the terminal, routing information and ARP information that is address information of the destination terminal. The routing information may be either static routing or dynamic routing. FIG. 2 shows a setting table T274 stored in the terminal 201A. In FIG. 2, the setting table T274 includes own terminal information 310 that stores the IP address and MAC address of the own terminal in association with each other, a routing table 311 that stores routing information, and an ARP (Address Resolution Protocol) that stores ARP information. ) Table 312. In the routing table 311, for each destination terminal, the IP address of the destination terminal and the IP address of the GW that passes between the destination terminals are stored in association with each other. The ARP table 312 stores a GW IP address and a GW MAC address in association with each GW.
Next, FIG. 3 shows an example of the setting table T274 when contents are added illegally. In the example shown in FIG. 3, the setting table T274 is illegally rewritten to include the destination terminal IP address 192.168.1.1/32 and the GW IP address 10.0.0.100 via In addition, a record including the GW IP address 10.0.0.1 and the GW MAC address dddd.ddd.ddd is added to the ARP table 312. In the present embodiment, when the routing table 311 of the terminal is illegally rewritten, virtual routing information is set, and transmission / reception is performed using the virtual routing information, the virtual routing information is set. Since the MAC address information of the routing information does not actually exist, fraud is detected by verifying whether the MAC address information exists by making an inquiry described later.
Next, the hardware configuration of the terminals 201A, B, and C is shown in FIG. The terminals 201A, B, and C are electronic computers such as personal computers. As shown in FIG. 4, a CPU 401, a memory 403 such as a ROM and a RAM, an input device 402 such as a keyboard, and a display 404 for displaying processing results and the like are provided. The OS 271, AP 272, monitoring program 273, and setting table 274 described above are stored in the memory 403. The CPU 401 executes the OS 271, AP 272, and monitoring program 273 stored in the memory 403.

図1に示す構成において、端末211が端末201Aに不正にアクセスしたときに、端末201Aにおいて不正アクセスを検出する場合を例にして第1の実施の形態を説明する。   In the configuration shown in FIG. 1, the first embodiment will be described by taking as an example a case where when the terminal 211 illegally accesses the terminal 201A, the terminal 201A detects unauthorized access.

端末201Aには、本実施の形態における不正アクセス監視プログラム273があらかじめインストールされていて、この不正アクセス監視プログラム273は、図3に示すように設定テーブルT274に新たにルーティング情報が登録されたとき、もしくは、あらかじめ定められた時間に起動される。起動周期は定期的でも不定期でもよい。本実施の形態において、ルーティング情報の登録には、正当な端末との送受信を行うためのルーティング情報の登録と、不正な端末による仮想的なルーティング情報の登録とがある場合を想定している。その仮想的なルーティング情報により送受信を行うようなことが起こった場合に、不正な端末は、仮想的なルーティング情報が宛先として設定されたパケットを受信することはできたとしても、その仮想的なルーティング情報のMACアドレス情報は実在しないので、リバースARP(RARP)コマンドや、ARPコマンド、Ping(Packet Internet Groper)コマンドなどの問い合わせに対しては応答しないので、これらのコマンドを実行することで不正を検出している。
本実施の形態における不正アクセス監視プログラム273は、次の3つの条件A,B,Cを満たす場合に、不正アクセスが行われたと判断する。
(条件A) ディフォルトルート以外のゲートウェイを経由するルーティング情報がルーティングテーブル311に存在する。
(条件B) ARPテーブル312中に条件Aを満たすゲートウェイのIPアドレスと関連付けられているMACアドレスが存在する。
(条件C) 条件Bを満たすARPテーブル312に登録されたMACアドレスが実在のものと異なる。
これらの条件A,B,Cをフローチャートに示したものが図6〜図9である。デェフォルトルート以外のゲートウェイ(GW)を経由するルーティング情報がルーティングテーブル311に存在し(条件A)、ARPテーブル312中にそのゲートウェイのIPアドレスと関連付けられたMACアドレスが存在し(条件B)、そのMACアドレスがあらかじめ登録された実在のGWのものと異なる(条件C)場合に、不正であると判断する。
以下、不正アクセス監視プログラム273の動作を、図6〜図9に示すフローチャート(その1〜4)を参照して説明する。図6〜図9に、第1の実施の形態における不正監視プログラムのフローチャート(その1〜4)を示す。
図6において、不正アクセス監視プログラム273は、新たにルーティングテーブル311のレコードが登録されたとき、もしくは、定期的に、登録されたルーティング情報のGWのIPアドレス(GW―IPアドレス)が、図3に示す設定テーブルT274のARPテーブル312に登録されているかを判断する(S601)。ARPテーブル312にGW―IPアドレスが登録されていなければ、通信を行うことができないので不正はされていないと判断する。ARPテーブル312にGW―IPアドレスが登録されていれば、ARPテーブル312に登録されているGW―IPアドレスに対応するGWのMACアドレスが正当であるか否かを検証する(S603)。この処理については、図7〜図9を用いて後述する。図3に示す例においては、新たに追加されたルーティングテーブル311のGW−IPアドレス10.0.0.1に対応するARPテーブル312のMACアドレスdddd.dddd.ddddについて検証する。
検証後、MACアドレスについて不正の疑いがあれば(S604)、不正アクセスの可能性があるとして、ディスプレイ404にその旨を表示する(S605)。図5に、ディスプレイ404に表示する表示例の説明図を示す。図5に示すように、不正を検出した場合には、「
IPアドレス10.0.0.1 MACアドレスdddd.dddd.dddd」などと、検出した結果を表示する。また、不正を検出した場合に、アラーム音などを送出したり、不正なレコードをルーティングテーブル311およびARPテーブル312からクリアしたりしてもよい。
図6において、MACアドレスが正当であれば、ルーティングテーブル311の他の新たなレコードについて検証する(S602)。もしくは、定期的に起動している場合には、すべてのレコードについて検証後、不正アクセス監視プログラム273を終了する。
つぎに、図6のS603での処理を図7〜図9を参照して説明する。MACアドレスの正当性を検証するために、端末201Aにおいて、不正アクセス監視プログラム273は、ネットワーク270に対してリバースARP(RARP)コマンドを要求する(S701)。この場合、リバースARPの要求として、S601で検出したGW−IPのMACアドレスを入力とする。RARPの応答がある場合には(S702)、RARPの応答からIPアドレスを取得し(S703)、取得したIPアドレスと、ARPテーブル312のIPアドレスとが一致するか否かを比較し(S704)、一致すれば、不正なしと判断し、図8に示すS800へ移行する(S705)。不一致の場合には、不正の疑いがある(S707)として図6に示すS604に移行する(S707)。また、RARPの応答が、一定時間にない場合には、不正ルーティングか、障害発生か、もしくは、無許可のルータが設置された疑いがあるとして(S706)、図6に示すS604へ進む(S707)。
つぎに、図8のS801において、不正アクセス監視プログラム273は、ネットワーク270に対して、IPアドレスからMACアドレスを取得するため、ARPを要求する(S801)。この場合、ARPの要求に、S601で検出したGW−IPのIPアドレスを含める。ARPの応答がある場合には(S802)、ARPの応答からMACアドレスを取得し(S803)、取得したMACアドレスと、ARPテーブル312内のARP情報のGW−IPアドレスに対応するMACアドレスとが一致するか否かを比較し(S804)、一致すれば、不正なしと判断し、図9に示すS901へ移行する(S805)。不一致の場合には、不正の疑いがあるとして図6に示すS604に移行する(S807)。また、ARPの応答が、一定時間にない場合には、不正ルーティングか、障害発生か、もしくは、無許可のルータが設置された疑いがあるとして(S806)、図6に示すS604へ進む(S807)。
つぎに、図9に示すS901おいて、不正アクセス監視プログラム273は、ネットワーク270に対してPing(Packet Internet Groper)コマンドを要求する(S901)。この場合、図6に示すS601で検出したGW−IPアドレスを宛先とする。Pingの応答がある場合には、ARPテーブル312が更新されるため、ARPテーブル312を再検索し、GW−IPアドレスに対するMACアドレスを取得し(S902)、取得したMACアドレスと、Ping実行前のMACアドレスとが一致するか否かを比較し(S903)、一致すれば、不正なしと判断し、図6に示すS602へ移行する(S904)。不一致の場合には、不正の疑いがある(S906)として図6に示すS604に移行する。また、Pingの応答が、一定時間にない場合には、不正ルーティングか、障害発生か、もしくは、無許可のルータが設置された疑いがあるとして(S906)、S604へ進む(S906)。
以上、説明したように、GW−IPアドレスのMACアドレスの正当性を検証することにより、不正アクセスをより簡単に検出することができる。また、図7〜図9に示すフローチャートは、不正を検出しない場合に、図7、図8、図9と順番に検証しているが、どれから実行してもよく、実行する順番変えてもよい。
また、端末201は、不正を検出した場合に、管理端末240や、監視センタ260の監視装置250に不正を検出した旨を通知するようにしてもよい。この場合、管理端末240や、監視センタ260の監視装置250は、端末201から不正検出の通知を受けると、不正アクセスの可能性があるとして、ディスプレイにその旨を表示することができる。
つぎに、第2の実施の形態を説明する。第1の実施の形態では、端末において不正アクセスを検出したが、第2の実施の形態では、図1に示す監視センタ260の監視装置250において、ルータ220Aに不正ルーティングが設定されたことを検出する方法ついて説明する。本実施の形態におけるルータは、前述の端末201と同様のルーティングテーブル311やARPテーブル312の設定テーブルT274を備え、SNMP(Simple Network Management Protocol)に対応している。本実施の形態においてもネットワークシステムの構成は第1の実施の形態と同様である。また、監視装置250の構成は、図4に示す端末の構成と同様である。監視装置250には、第2の実施の形態における不正アクセス監視プログラム273があらかじめインストールされていて、あらかじめ定められた時間に起動される。起動周期は、定期的でも不定期でもよい。本実施の形態においても、ルーティング情報の登録には、正当な端末との送受信を行うためのルーティング情報の登録と、不正な端末による仮想的なルーティング情報の登録とがある場合を想定している。その仮想的なルーティング情報により送受信を行うようなことが起こった場合に、不正な端末は、仮想的なルーティング情報が宛先として設定されたパケットを受信することはできたとしても、その仮想的なルーティング情報のMACアドレス情報は実在しないので、Ping(Packet Internet Groper)コマンドの問い合わせに対しては応答しないので、これらのコマンドを実行することで不正を検出している。
図10に、第2の実施の形態における不正アクセス監視プログラム273のフローチャートを示す。
監視装置250において、不正アクセス監視プログラム273は、SNMPでルータ220Aのルーティングテーブル311とARPテーブル312を採取する(S1001、S1002)。ルーティング情報のゲートウェイ(GW)―IPアドレスが、ARPテーブル312に登録されているかを判断する(S1003)。ARPテーブル312にGW―IPアドレスが登録されていなければ、通信を行うことができないので不正はされていないと判断する。ARPテーブル312にGW―IPアドレスが登録されていれば、ルータからそのGWにPingが実行可能かどうかを判断し(S1004)、可能であれば、ルータに対してそのGWにPingを実行するように指示する(S1006)。可能でなければ、監視装置250からそのGWに対してPingを実行する(S1005)。この場合、あらかじめ監視装置250に、Pingが実行可能なルータの識別情報を登録しておくことにより、登録してあるルータならば、そのGWにPingが実行可能であると判断し、登録していなければ実行不可能と判断する。S1003で検出したGW−IPアドレスを宛先とする。Pingの応答がある場合には(S1007)、ARPテーブル312が更新されるため、ARPテーブル312を再検索し、GW−IPアドレスに対するMACアドレスを取得し(S1009)、取得したMACアドレスと、Ping実行前のMACアドレスとが一致するか否かを比較し(S1010)、一致すれば、不正なしと判断し、S1012へ移行する。不一致の場合には、不正の疑いがある(S1011)として、図5に示すようにディスプレイにその旨を表示する。また、Pingの応答が、一定時間にない場合には、不正ルーティングか、障害発生か、もしくは、無許可のルータが設置された疑いがあるとして(S1008)、不正の疑いがある旨を図5に示すようにディスプレイ等に表示して通知する。
ルーティングテーブル311のすべてのレコードを検証後、さらに、ルータが複数ある場合には、他のルータ検証も行う(S1012)。 In the terminal 201A, the unauthorized access monitoring program 273 according to the present embodiment is installed in advance, and this unauthorized access monitoring program 273, when routing information is newly registered in the setting table T274 as shown in FIG. Alternatively, it is activated at a predetermined time. The activation cycle may be regular or irregular. In the present embodiment, it is assumed that routing information registration includes routing information registration for transmission / reception with a legitimate terminal and virtual routing information registration by an unauthorized terminal. In the event that transmission / reception occurs using the virtual routing information, an unauthorized terminal can receive a packet in which the virtual routing information is set as the destination, Since the MAC address information of the routing information does not exist, it does not respond to inquiries such as reverse ARP (RARP) command, ARP command, and Ping (Packet Internet Groper) command. Detected.
The unauthorized access monitoring program 273 in this embodiment determines that unauthorized access has been performed when the following three conditions A, B, and C are satisfied.
(Condition A) Routing information that passes through a gateway other than the default route exists in the routing table 311.
(Condition B) The MAC address associated with the IP address of the gateway satisfying the condition A exists in the ARP table 312.
(Condition C) The MAC address registered in the ARP table 312 satisfying the condition B is different from the actual one.
These conditions A, B, and C are shown in flowcharts in FIGS. Routing information via the gateway (GW) other than the default route exists in the routing table 311 (condition A), and the MAC address associated with the IP address of the gateway exists in the ARP table 312 (condition B). When the MAC address is different from that of a real GW registered in advance (condition C), it is determined to be illegal.
Hereinafter, the operation of the unauthorized access monitoring program 273 will be described with reference to the flowcharts (Nos. 1 to 4) shown in FIGS. 6 to 9 show flowcharts (parts 1 to 4) of the fraud monitoring program in the first embodiment.
In FIG. 6, the unauthorized access monitoring program 273 indicates that the GW IP address (GW-IP address) of the registered routing information is registered when a record of the routing table 311 is newly registered or periodically. It is determined whether it is registered in the ARP table 312 of the setting table T274 (S601). If the GW-IP address is not registered in the ARP table 312, it is determined that no fraud has been made because communication cannot be performed. If the GW-IP address is registered in the ARP table 312, it is verified whether or not the MAC address of the GW corresponding to the GW-IP address registered in the ARP table 312 is valid (S603). This process will be described later with reference to FIGS. In the example shown in FIG. 3, the MAC address dddd.dddd.dddd of the ARP table 312 corresponding to the GW-IP address 10.0.0.1 of the newly added routing table 311 is verified.
After verification, if there is a suspicion of unauthorized MAC address (S604), the display 404 indicates that there is a possibility of unauthorized access (S605). FIG. 5 shows an explanatory diagram of a display example displayed on the display 404. As shown in FIG. 5, when fraud is detected,
“IP address 10.0.0.1 MAC address dddd.dddd.dddd” and the detected result are displayed. Further, when fraud is detected, an alarm sound or the like may be sent out, or the fraudulent record may be cleared from the routing table 311 and the ARP table 312.
In FIG. 6, if the MAC address is valid, another new record of the routing table 311 is verified (S602). Alternatively, if it is periodically activated, the unauthorized access monitoring program 273 is terminated after verifying all the records.
Next, the processing in S603 of FIG. 6 will be described with reference to FIGS. In order to verify the validity of the MAC address, in the terminal 201A, the unauthorized access monitoring program 273 requests a reverse ARP (RARP) command to the network 270 (S701). In this case, the GW-IP MAC address detected in S601 is input as a reverse ARP request. When there is an RARP response (S702), an IP address is acquired from the RARP response (S703), and whether the acquired IP address matches the IP address of the ARP table 312 is compared (S704). If they match, it is determined that there is no fraud, and the process proceeds to S800 shown in FIG. 8 (S705). If they do not match, it is determined that there is a suspicion of fraud (S707), and the process proceeds to S604 shown in FIG. 6 (S707). Also, if the RARP response is not within a certain period of time, it is assumed that there is an unauthorized routing, a failure has occurred, or that an unauthorized router has been installed (S706), and the process proceeds to S604 shown in FIG. 6 (S707). ).
Next, in S801 in FIG. 8, the unauthorized access monitoring program 273 requests the network 270 for ARP in order to obtain the MAC address from the IP address (S801). In this case, the GW-IP IP address detected in S601 is included in the ARP request. When there is an ARP response (S802), the MAC address is acquired from the ARP response (S803), and the acquired MAC address and the MAC address corresponding to the GW-IP address of the ARP information in the ARP table 312 are obtained. Whether or not they match is compared (S804). If they match, it is determined that there is no fraud, and the process proceeds to S901 shown in FIG. 9 (S805). In the case of mismatch, it is determined that there is a suspicion of fraud, and the process proceeds to S604 shown in FIG. 6 (S807). If the ARP response is not within a certain period of time, it is assumed that there is an unauthorized routing, a failure has occurred, or an unauthorized router has been installed (S806), and the process proceeds to S604 shown in FIG. 6 (S807). ).
Next, in S901 shown in FIG. 9, the unauthorized access monitoring program 273 requests the network 270 for a Ping (Packet Internet Groper) command (S901). In this case, the destination is the GW-IP address detected in S601 shown in FIG. If there is a Ping response, the ARP table 312 is updated. Therefore, the ARP table 312 is searched again, and the MAC address for the GW-IP address is acquired (S902). Whether or not the MAC addresses match is compared (S903). If they match, it is determined that there is no fraud, and the process proceeds to S602 shown in FIG. 6 (S904). If they do not match, it is determined that there is a suspicion of fraud (S906), and the process proceeds to S604 shown in FIG. If there is no Ping response within a certain period of time, it is assumed that there is an unauthorized routing, a failure has occurred, or an unauthorized router has been installed (S906), and the process proceeds to S604 (S906).
As described above, unauthorized access can be detected more easily by verifying the validity of the MAC address of the GW-IP address. Further, the flowcharts shown in FIGS. 7 to 9 verify in the order of FIGS. 7, 8, and 9 when fraud is not detected. Good.
Further, when the fraud is detected, the terminal 201 may notify the management terminal 240 or the monitoring device 250 of the monitoring center 260 that the fraud has been detected. In this case, when the management terminal 240 or the monitoring device 250 of the monitoring center 260 receives a notification of fraud detection from the terminal 201, it can indicate that there is a possibility of unauthorized access on the display.
Next, a second embodiment will be described. In the first embodiment, the unauthorized access is detected in the terminal. In the second embodiment, the monitoring device 250 of the monitoring center 260 shown in FIG. 1 detects that the unauthorized routing is set in the router 220A. How to do will be explained. The router in the present embodiment includes a setting table T274 of the routing table 311 and the ARP table 312 similar to those of the terminal 201 described above, and supports SNMP (Simple Network Management Protocol). Also in this embodiment, the configuration of the network system is the same as that of the first embodiment. The configuration of the monitoring device 250 is the same as the configuration of the terminal shown in FIG. In the monitoring device 250, the unauthorized access monitoring program 273 in the second embodiment is installed in advance, and is activated at a predetermined time. The activation cycle may be regular or irregular. Also in the present embodiment, it is assumed that the registration of routing information includes the registration of routing information for transmission / reception with a legitimate terminal and the registration of virtual routing information with an unauthorized terminal. . In the event that transmission / reception occurs using the virtual routing information, an unauthorized terminal can receive a packet in which the virtual routing information is set as the destination, Since the MAC address information of the routing information does not actually exist, it does not respond to an inquiry about a Ping (Packet Internet Groper) command. Therefore, fraud is detected by executing these commands.
FIG. 10 shows a flowchart of the unauthorized access monitoring program 273 in the second embodiment.
In the monitoring device 250, the unauthorized access monitoring program 273 collects the routing table 311 and the ARP table 312 of the router 220A by SNMP (S1001, S1002). It is determined whether the gateway (GW) -IP address of the routing information is registered in the ARP table 312 (S1003). If the GW-IP address is not registered in the ARP table 312, it is determined that no fraud has been made because communication cannot be performed. If the GW-IP address is registered in the ARP table 312, it is determined whether or not Ping can be executed on the GW from the router (S1004), and if possible, the router is executed to ping the GW. (S1006). If not possible, Ping is executed from the monitoring device 250 to the GW (S1005). In this case, by registering the identification information of the router that can execute Ping in the monitoring device 250 in advance, if it is a registered router, it is determined that Ping can be executed in that GW and registered. Otherwise, it is determined that it is impossible to execute. The destination is the GW-IP address detected in S1003. If there is a Ping response (S1007), since the ARP table 312 is updated, the ARP table 312 is searched again, and the MAC address for the GW-IP address is acquired (S1009). It is compared whether or not the MAC address before execution matches (S1010). If they do not match, it is determined that there is a suspicion of fraud (S1011), and this is displayed on the display as shown in FIG. If the Ping response is not within a certain period of time, it is assumed that there is a suspicion of fraud if there is a suspicion of unauthorized routing, a failure, or an unauthorized router (S1008). As shown in FIG.
After verifying all the records in the routing table 311, if there are a plurality of routers, other router verification is also performed (S1012).

以上、説明したように、監視装置において、ルータの設定テーブルT274を採取してルーティング情報の正当性を検証することにより、不正ルーティングが設定されたことを検出することができる。   As described above, in the monitoring device, it is possible to detect that illegal routing has been set by collecting the router setting table T274 and verifying the validity of the routing information.

第1の実施の形態におけるシステム構成図。The system block diagram in 1st Embodiment. 第1の実施の形態における設定テーブルT274の説明図。Explanatory drawing of the setting table T274 in 1st Embodiment. 第1の実施の形態における設定テーブルT274の説明図。Explanatory drawing of the setting table T274 in 1st Embodiment. 第1の実施の形態における端末の構成図。The block diagram of the terminal in 1st Embodiment. 第1の実施の形態における不正検出時の表示例の説明図。Explanatory drawing of the example of a display at the time of fraud detection in 1st Embodiment. 第1の実施の形態における不正監視プログラムのフローチャート(その1)。The flowchart (the 1) of the fraud monitoring program in 1st Embodiment. 第1の実施の形態における不正監視プログラムのフローチャート(その2)。The flowchart (the 2) of the fraud monitoring program in 1st Embodiment. 第1の実施の形態における不正監視プログラムのフローチャート(その3)。The flowchart (the 3) of the fraud monitoring program in 1st Embodiment. 第1の実施の形態における不正監視プログラムのフローチャート(その4)。The flowchart (the 4) of the fraud monitoring program in 1st Embodiment. 第2の実施の形態における不正監視プログラムのフローチャート。The flowchart of the fraud monitoring program in 2nd Embodiment. 従来技術における構成図。The block diagram in a prior art.

符号の説明Explanation of symbols

201A、B、C…端末、220A・B…ルータ、230・260…サーバ、240…管理端末、250…監視装置、260…監視センタ、1…LAN、270…ネットワーク。
201A, B, C ... terminal, 220A / B ... router, 230/260 ... server, 240 ... management terminal, 250 ... monitoring device, 260 ... monitoring center, 1 ... LAN, 270 ... network.

Claims (5)

IP(Internet Protocol)およびイーサネット(登録商標)を利用するネットワークに接続されるルータでの不正ルーティングを監視する不正ルーティング監視方法であって、
前記ルータのルーティングテーブル情報およびARP(Address Resolution Protocol)テーブル情報を採取する第1のステップと、
前記ルーティングテーブル情報に登録された前記ネットワークの経路を示すGW(ゲートウェイ)のIPアドレス情報を検出する第2のステップと、
前記ARPテーブル情報に登録された、前記検出されたGWのIPアドレス情報に対応するGWのMAC(Media Access Control Address)アドレス情報が正当であるか否かを検出する第3のステップと、
前記GWのIPアドレス情報に対応するGWのMACアドレス情報が正当でないと検出された場合に、その旨を出力する第4のステップと、を備えること
を特徴とする不正ルーティング監視方法。 An unauthorized routing monitoring method for monitoring unauthorized routing in a router connected to a network using IP (Internet Protocol) and Ethernet (registered trademark),
A first step of collecting routing table information and ARP (Address Resolution Protocol) table information of the router;
A second step of detecting IP address information of a GW (gateway) indicating a route of the network registered in the routing table information;
A third step of detecting whether or not the MAC (Media Access Control Address) address information of the GW corresponding to the detected GW IP address information registered in the ARP table information is valid;
And a fourth step of outputting the fact when it is detected that the MAC address information of the GW corresponding to the IP address information of the GW is not valid. 請求項1に記載の不正ルーティング監視方法において、
前記第3のステップは、
前記ネットワークに対して前記GWのIPアドレス情報を宛先としてPing(Packet Internet Groper)コマンドを実行するステップと、
前記Pingコマンド実行後のARPテーブル情報を採取するステップと、
前記GWのMACアドレス情報と、前記Pingコマンド実行後の前記ARPテーブル情報におけるGWのMACアドレス情報とが一致するか否かを比較するステップと、
前記比較の結果、一致しない場合と、前記Pingコマンドの応答をあらかじめ定めた時間以内に受信しないときに、前記GWのMACアドレス情報が正当でないとするステップと、を備えること
を特徴とする不正ルーティング監視方法。 In the unauthorized routing monitoring method according to claim 1,
The third step includes
Executing a Ping (Packet Internet Groper) command with the IP address information of the GW as a destination for the network;
Collecting ARP table information after execution of the Ping command;
Comparing whether the MAC address information of the GW and the MAC address information of the GW in the ARP table information after execution of the Ping command match;
A step of determining that the MAC address information of the GW is not valid when the comparison does not match and the response of the Ping command is not received within a predetermined time. Monitoring method. 請求項1に記載の不正ルーティング監視方法において、
前記第3のステップは、
前記GWのIPアドレス情報を宛先としてPing(Packet Internet Groper)コマンドを実行するように前記ルータに指示するステップと、
前記Pingコマンド実行後のARPテーブル情報を採取するステップと、
前記GWのMACアドレス情報と、前記Pingコマンド実行後の前記ARPテーブル情報におけるGWのMACアドレス情報とが一致するか否かを比較するステップと、
前記比較の結果、一致しない場合と、前記Pingコマンドの応答をあらかじめ定めた時間以内に受信しないときに、前記GWのMACアドレス情報が正当でないとするステップと、を備えること
を特徴とする不正ルーティング監視方法。 In the unauthorized routing monitoring method according to claim 1,
The third step includes
Instructing the router to execute a Ping (Packet Internet Groper) command with the IP address information of the GW as a destination;
Collecting ARP table information after execution of the Ping command;
Comparing whether the MAC address information of the GW and the MAC address information of the GW in the ARP table information after execution of the Ping command match;
A step of determining that the MAC address information of the GW is not valid when the comparison does not match and the response of the Ping command is not received within a predetermined time. Monitoring method. IP(Internet Protocol)およびイーサネット(登録商標)を利用するネットワークに接続されるルータでの不正ルーティングを監視する不正ルーティング監視プログラムであって、
前記不正アクセス監視プログラムは、コンピュータに、
前記ルータのルーティングテーブル情報およびARP(Address Resolution Protocol)テーブル情報を採取する第1のステップと、
前記ルーティングテーブル情報に登録された前記ネットワークの経路を示すGW(ゲートウェイ)のIPアドレス情報を検出する第2のステップと、
前記ARPテーブル情報に登録された、前記検出されたGWのIPアドレス情報に対応するGWのMAC(Media Access Control Address)アドレス情報が正当であるか否かを検出する第3のステップと、
前記GWのIPアドレス情報に対応するGWのMACアドレス情報が正当でないと検出された場合に、その旨を出力する第4のステップと、を実行させること
を特徴とする不正ルーティング監視プログラム。 An unauthorized routing monitoring program for monitoring unauthorized routing in a router connected to a network using IP (Internet Protocol) and Ethernet (registered trademark),
The unauthorized access monitoring program
A first step of collecting routing table information and ARP (Address Resolution Protocol) table information of the router;
A second step of detecting IP address information of a GW (gateway) indicating a route of the network registered in the routing table information;
A third step of detecting whether or not the MAC (Media Access Control Address) address information of the GW corresponding to the detected GW IP address information registered in the ARP table information is valid;
And executing a fourth step of outputting the fact when it is detected that the MAC address information of the GW corresponding to the IP address information of the GW is not valid. IP(Internet Protocol)およびイーサネット(登録商標)を利用するネットワークに接続されるルータでの不正ルーティングを監視する不正ルーティング監視装置であって、
前記ルータのルーティングテーブル情報およびARP(Address Resolution Protocol)テーブル情報を採取する採取手段と、
前記ルーティングテーブル情報に登録された前記ネットワークの経路を示すGW(ゲートウェイ)のIPアドレス情報を検出する検出手段と、
前記ARPテーブル情報に登録された、前記検出されたGWのIPアドレス情報に対応するGWのMAC(Media Access Control Address)アドレス情報が正当であるか否かを検出する正当性検出手段と、
前記正当性検出手段において前記GWのIPアドレス情報に対応するGWのMACアドレス情報が正当でないと検出された場合に、その旨を出力する出力手段と、を備えること
を特徴とする不正ルーティング監視装置。
An unauthorized routing monitoring device that monitors unauthorized routing in a router connected to a network using IP (Internet Protocol) and Ethernet (registered trademark),
A collecting means for collecting routing table information and ARP (Address Resolution Protocol) table information of the router;
Detecting means for detecting IP address information of a GW (gateway) indicating a route of the network registered in the routing table information;
Legitimacy detecting means for detecting whether or not the MAC (Media Access Control Address) address information of the GW corresponding to the detected IP address information of the GW registered in the ARP table information is valid;
An unauthorized routing monitoring apparatus comprising: output means for outputting a message to the effect that the validity detecting means detects that the MAC address information of the GW corresponding to the IP address information of the GW is not valid .
JP2004043254A 2004-02-19 2004-02-19 Unauthorized routing monitoring method, unauthorized routing monitoring program, and unauthorized routing monitoring device Expired - Fee Related JP3729830B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004043254A JP3729830B2 (en) 2004-02-19 2004-02-19 Unauthorized routing monitoring method, unauthorized routing monitoring program, and unauthorized routing monitoring device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004043254A JP3729830B2 (en) 2004-02-19 2004-02-19 Unauthorized routing monitoring method, unauthorized routing monitoring program, and unauthorized routing monitoring device

Publications (2)

Publication Number Publication Date
JP2005236665A true JP2005236665A (en) 2005-09-02
JP3729830B2 JP3729830B2 (en) 2005-12-21

Family

ID=35019168

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004043254A Expired - Fee Related JP3729830B2 (en) 2004-02-19 2004-02-19 Unauthorized routing monitoring method, unauthorized routing monitoring program, and unauthorized routing monitoring device

Country Status (1)

Country Link
JP (1) JP3729830B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7991877B2 (en) 2007-10-05 2011-08-02 International Business Machines Corporation Rogue router hunter

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7991877B2 (en) 2007-10-05 2011-08-02 International Business Machines Corporation Rogue router hunter

Also Published As

Publication number Publication date
JP3729830B2 (en) 2005-12-21

Similar Documents

Publication Publication Date Title
US9049118B2 (en) Probe election in failover configuration
US7360242B2 (en) Personal firewall with location detection
JP5987627B2 (en) Unauthorized access detection method, network monitoring device and program
JP2017502625A (en) Method, device, computer program and information storage means for classifying TCP connections carrying HTTP traffic
US10193907B2 (en) Intrusion detection to prevent impersonation attacks in computer networks
JP2008177714A (en) Network system, server, ddns server, and packet relay device
JP2008084246A (en) Inter-client communication log management method and system
JP2008092465A (en) Apparatus and method for managing/controlling connection of computer terminal to network for communication
JP2003218873A (en) Communication monitoring apparatus and monitoring method
JP2007183773A (en) Server monitoring program, server monitoring device, server monitoring method
US20090122721A1 (en) Hybrid network discovery method for detecting client applications
JP2001313640A (en) Method and system for deciding access type in communication network and recording medium
JP3729830B2 (en) Unauthorized routing monitoring method, unauthorized routing monitoring program, and unauthorized routing monitoring device
JP2003258795A (en) Computer aggregate operating method, implementation system therefor, and processing program therefor
JP4767683B2 (en) Relay device, unauthorized access prevention device, and access control program
CN112565203B (en) Centralized management platform
CN101729544B (en) Method and system for security capacity negotiation
JP2008141352A (en) Network security system
JP2006013732A (en) Routing device and authentication method of information processor
JP2005236664A (en) Method, program, and terminal for monitoring unauthorized access
JP4753264B2 (en) Method, apparatus, and computer program for detecting network attacks (network attack detection)
JP2005210451A (en) Unauthorized access preventing apparatus and program
JP4561691B2 (en) Communication method, information processing apparatus, and computer program
KR101145771B1 (en) Internet protocol based filtering device and method, and legitimate user identifying device and method
US10951650B2 (en) Detection of network sniffing activity

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050913

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20051004

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111014

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees