JP2005286877A - Communication jamming server, communication jamming program, communication jamming method, information communication system, and information communication method - Google Patents
Communication jamming server, communication jamming program, communication jamming method, information communication system, and information communication method Download PDFInfo
- Publication number
- JP2005286877A JP2005286877A JP2004100475A JP2004100475A JP2005286877A JP 2005286877 A JP2005286877 A JP 2005286877A JP 2004100475 A JP2004100475 A JP 2004100475A JP 2004100475 A JP2004100475 A JP 2004100475A JP 2005286877 A JP2005286877 A JP 2005286877A
- Authority
- JP
- Japan
- Prior art keywords
- address
- mac address
- infected computer
- computer
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、コンピュータワームによる攻撃を受けた感染コンピュータから他のコンピュータへの攻撃を防ぐ通信妨害サーバ、通信妨害プログラム、通信妨害方法、情報通信システム及び情報通信方法に関する。 The present invention relates to a communication blocking server, a communication blocking program, a communication blocking method, an information communication system, and an information communication method for preventing an attack from an infected computer that has been attacked by a computer worm to another computer.
近年のコンピュータネットワークの発達に伴い、コンピュータワーム、ウィルス、ハッキングなどの不正アクセスも増加し、コンピュータネットワークを介して機密情報が流出したりサービス不能攻撃を受けたりする場合がある。コンピュータワームは、例えばNimda、Code Red等が挙げられ、コンピュータにインストールされるオペレーションシステムやソフトウェアのセキュリティホールと呼ばれるバグを狙ってコンピュータを攻撃する。感染速度が早く危険度も高いコンピュータワームが度々発生され、莫大な損害を与える場合もある。 With the development of computer networks in recent years, unauthorized access such as computer worms, viruses, hacking and the like has also increased, and confidential information may be leaked or a denial of service attack may occur via the computer network. Examples of the computer worm include Nimda, Code Red, and the like, and attack the computer by targeting a bug called a security hole of an operation system or software installed in the computer. Computer worms with high infection speed and high risk are frequently generated, and can cause enormous damage.
しかし、ネットワークの利便性を享受しながら安全性も確保するためには、適切なセキュリティ対策が不可欠である。特に企業や団体などの組織においては、この様に不正アクセスに対して、ファイアウォールを設けたりウィルス対策ソフトウェアをインストールすることにより不正アクセスを防御する対策が求められている。 However, appropriate security measures are indispensable to ensure the safety while enjoying the convenience of the network. In particular, organizations such as companies and organizations are required to take measures against unauthorized access by providing a firewall or installing anti-virus software against such unauthorized access.
しかし、TCP/IPを採用したコンピュータネットワークにおいてファイアウォールは、送信元のIPアドレスやポート番号によって通信を許可するか否かを判定しているので、ファイアウォールのみによるセキュリティ対策は安全性の確保が困難になっている。これを踏まえ、ファイアウォールを通過してきた通信を監視し、不正アクセスの侵入を検知するIDS(Intrusion Detection System)や更に保護対象となるサーバを侵入から保護するIDP(Intrusion Detection and Prevention)などへの期待が高まっている。 However, in a computer network that employs TCP / IP, the firewall determines whether to permit communication based on the IP address and port number of the transmission source, so it is difficult to ensure safety with security measures using only the firewall. It has become. Based on this, expectation for IDS (Intrusion Detection System) that monitors communications that have passed through firewalls and detects intrusion of unauthorized access, and IDP (Intrusion Detection and Prevention) that protects servers to be protected from intrusion Is growing.
また、DDoSなどの不正アクセスに対応するために、DDoS攻撃を検出した場合に、防御側ネットワークの管理者の指示により攻撃遮断機に通信制御の指示を出す不正アクセス防御システムがある(例えば特許文献1)。この特許文献1に記載の不正アクセス防御システムでは、DDoS攻撃のプログラムを仕組まれた踏み台ホストは、通信制御の指示を受け取ると通信を制御する。
In addition, in order to cope with unauthorized access such as DDoS, there is an unauthorized access protection system that, when a DDoS attack is detected, issues a communication control instruction to an attack blocker according to an instruction from the administrator of the defending network (for example, Patent Documents). 1). In the unauthorized access protection system described in
一方、MACアドレスの問合要求を受けると、ARPサーバとなって問合要求を受けたMACアドレスを返信することによって、LAN内のトラフィックの軽減、セキュリティ対策を図ることのできるネットワークブリッジ装置がある(特許文献2)。この特許文献2に記載のネットワークブリッジ装置は、MACアドレスとIPアドレスとを予め対応付けて登録したアドレステーブルを備えており、このアドレステーブルを参照して、MACアドレスを返信する。
しかし、IDPは保護対象となるサーバを保護するものであるので、社内イントラネットなどの通信ネットワークに存在する全ての情報機器をIDPによって保護することは不可能である。 However, since IDP protects a server to be protected, it is impossible to protect all information devices existing in a communication network such as an in-house intranet with IDP.
例えば、コンピュータは、ウィルス対策ソフトウェアについて常に最新のウィルスパターンファイルを取得し、セキュリティホールを修正する修正ファイルを適用することにより、不正アクセスから防御できる場合も多い。しかし、組織の通信ネットワーク上に存在する全てのコンピュータを防御するためには、多大なコストと労力とを引換に厳密に管理されなければならない。従ってウィルスパターンファイルの管理や修正ファイルの管理によって全てのコンピュータを不正アクセスから防御することは事実上不可能で、管理されないコンピュータの脆弱性が高くなってしまう。 For example, in many cases, a computer can protect against unauthorized access by always obtaining the latest virus pattern file for anti-virus software and applying a correction file for correcting a security hole. However, in order to protect all the computers existing on the communication network of the organization, it must be strictly managed in exchange for a great deal of cost and labor. Therefore, it is virtually impossible to protect all computers from unauthorized access by managing virus pattern files and managing modified files, and the vulnerability of unmanaged computers becomes high.
従って、通信ネットワークに不正アクセスが侵入しコンピュータに感染してしまうと、脆弱性の高いコンピュータが狙われ更に被害が拡大してしまう問題がある。 Therefore, when unauthorized access enters a communication network and infects a computer, there is a problem that damage is further increased by targeting a highly vulnerable computer.
また、上述した特許文献1に記載のシステムにおいては、DDoS攻撃などの時間を要して被害を与える不正アクセスに対しては有効なシステムである。しかし、Nimda、Code Red等などのコンピュータワームは、自己増殖を繰り返しながら破壊活動を行うので、ひとたび感染すれば瞬時にその被害が広まってしまう問題がある。
In addition, the system described in
また、上述した特許文献2に記載の装置においては、定期的にMACアドレスを問い合わせ、応答されたMACアドレスを抽出してアドレステーブルに登録されたものと一致しない場合、警告メールを送信することにより、セキュリティ対策を採っていると思料される。この特許文献2に記載の装置は、コンピュータのMACアドレスが変更された場合に有効なセキュリティ対策であって、コンピュータのワームに対するセキュリティ対策ではない。 In the device described in Patent Document 2 described above, the MAC address is periodically inquired, and when the responded MAC address is extracted and does not match the one registered in the address table, a warning mail is transmitted. It is thought that security measures are taken. The apparatus described in Patent Document 2 is a security measure effective when the computer MAC address is changed, and is not a security measure against a computer worm.
従って本発明の目的は、コンピュータワームによる攻撃を受けた感染コンピュータから他のコンピュータへの攻撃を防ぐ通信妨害サーバ、通信妨害プログラム、通信妨害方法、情報通信システム及び情報通信方法を提供することである。 Accordingly, an object of the present invention is to provide a communication blocking server, a communication blocking program, a communication blocking method, an information communication system, and an information communication method that prevent an attack from an infected computer that has been attacked by a computer worm to another computer. .
上記課題を解決するために、本発明の第1の特徴に係る通信妨害サーバは、コンピュータワームによる攻撃を受けた感染コンピュータのIPアドレスを受信し、感染コンピュータIPアドレスとして記憶装置に記憶する手段と、記憶装置から感染コンピュータIPアドレスを読み出して、感染コンピュータのMACアドレスをダミーMACアドレスに設定するダミーMACアドレス設定命令を作成して、ダミーMACアドレス設定命令を感染コンピュータと同一のネットワークセグメントに存在する情報機器に送信する手段とを備える。これにより、本発明の第1の特徴に係る通信妨害サーバは、感染コンピュータと感染コンピュータと同一のネットワークセグメントに存在する機器との間の通信コネクションを確立させない。 In order to solve the above-mentioned problem, the communication blocking server according to the first aspect of the present invention comprises means for receiving an IP address of an infected computer attacked by a computer worm and storing it in a storage device as an infected computer IP address. Reads out the infected computer IP address from the storage device, creates a dummy MAC address setting command for setting the MAC address of the infected computer as a dummy MAC address, and the dummy MAC address setting command exists in the same network segment as the infected computer Means for transmitting to the information equipment. As a result, the communication jamming server according to the first feature of the present invention does not establish a communication connection between an infected computer and a device existing in the same network segment as the infected computer.
ここで、ダミーMACアドレスは、ネットワークセグメントに存在する情報機器のいずれのMACアドレスにも該当しない文言、或いは通信妨害サーバのMACアドレスであることが好ましい。これにより、感染コンピュータから送信される攻撃パケットを他の情報機器に送信させることができなくなる。 Here, the dummy MAC address is preferably a word that does not correspond to any MAC address of the information device existing in the network segment, or a MAC address of the communication disturbing server. As a result, the attack packet transmitted from the infected computer cannot be transmitted to another information device.
更に、所定のIPアドレスに基づいてMACアドレスを問い合わせるリクエストを受信する手段と、所定のIPアドレスが、感染コンピュータIPアドレスである場合、感染コンピュータIPアドレスとダミーMACアドレスとを関連づけるリクエストに対するリプライを生成して送信する手段とを更に備えることが好ましい。これによれば、複数のコンピュータが感染された場合にでも対応することができる。 Further, a means for receiving a request for inquiring a MAC address based on a predetermined IP address, and if the predetermined IP address is an infected computer IP address, generate a reply for the request associating the infected computer IP address with a dummy MAC address. And a means for transmitting. According to this, even when a plurality of computers are infected, it is possible to cope with it.
本発明の第2の特徴に係る通信妨害サーバは、コンピュータワームによる攻撃を受けた感染コンピュータのIPアドレスを受信し、感染コンピュータIPアドレスとして記憶装置に記憶するステップと、記憶装置から感染コンピュータIPアドレスを読み出して、感染コンピュータのMACアドレスをダミーMACアドレスに設定するダミーMACアドレス設定命令を作成して、ダミーMACアドレス設定命令を感染コンピュータと同一のネットワークセグメントに存在する情報機器に送信するステップとをコンピュータに実行させることにより、感染コンピュータと感染コンピュータと同一のネットワークセグメントに存在する機器との間の通信コネクションを確立させない。 The communication jamming server according to the second aspect of the present invention receives an IP address of an infected computer that has been attacked by a computer worm, stores the IP address of the infected computer in the storage device as an infected computer IP address, and transmits the infected computer IP address from the storage device. To create a dummy MAC address setting command for setting the MAC address of the infected computer to a dummy MAC address, and to transmit the dummy MAC address setting command to an information device in the same network segment as the infected computer. By causing the computer to execute, a communication connection between the infected computer and a device existing in the same network segment as the infected computer is not established.
更に、ダミーMACアドレスは、ネットワークセグメントに存在する情報機器のいずれのMACアドレスにも該当しない文言、或いは通信妨害サーバのMACアドレスであることが好ましい。 Furthermore, it is preferable that the dummy MAC address is a word that does not correspond to any MAC address of the information device existing in the network segment, or the MAC address of the communication blocking server.
更に、所定のIPアドレスに基づいてMACアドレスを問い合わせるリクエストを受信するステップと、所定のIPアドレスが、感染コンピュータIPアドレスである場合、感染コンピュータIPアドレスとダミーMACアドレスとを関連づけるリクエストに対するリプライを生成して送信するステップとを更にコンピュータに実行させることが好ましい。 Furthermore, a step of receiving a request for inquiring about a MAC address based on a predetermined IP address, and if the predetermined IP address is an infected computer IP address, generate a reply for the request associating the infected computer IP address with a dummy MAC address. It is preferable to further cause the computer to execute the transmitting step.
本発明の第3の特徴に係る通信妨害方法は、コンピュータワームによる攻撃を受けた感染コンピュータのIPアドレスを受信し、感染コンピュータIPアドレスとして記憶装置に記憶するステップと、記憶装置から感染コンピュータIPアドレスを読み出して、感染コンピュータのMACアドレスをダミーMACアドレスに設定するダミーMACアドレス設定命令を作成して、ダミーMACアドレス設定命令を感染コンピュータと同一のネットワークセグメントに存在する情報機器に送信するステップとを備え、感染コンピュータと感染コンピュータと同一のネットワークセグメントに存在する機器との間の通信コネクションを確立させない。 According to a third aspect of the present invention, there is provided a communication blocking method comprising: receiving an IP address of an infected computer that has been attacked by a computer worm; storing the IP address of the infected computer as an infected computer IP address in a storage device; To create a dummy MAC address setting command for setting the MAC address of the infected computer to a dummy MAC address, and to transmit the dummy MAC address setting command to an information device in the same network segment as the infected computer. The communication connection between the infected computer and the device existing in the same network segment as the infected computer is not established.
本発明の第4の特徴に係る情報通信システムは、ネットワークセグメントの識別子と、ネットワークセグメントに設置された通信妨害サーバの識別子とが関連づけられた通信妨害サーバリストを記憶装置から読み出すとともに、コンピュータワームによる攻撃を受けた感染コンピュータのIPアドレスを取得し、感染コンピュータのIPアドレスに基づいて感染コンピュータが設置されたネットワークセグメントを判定し、感染コンピュータが設置されたネットワークセグメントに設置された通信妨害サーバの識別子を抽出し、抽出された通信妨害サーバに対して感染コンピュータのIPアドレスを送信する手段を備えるコントローラサーバと、コントローラサーバから感染コンピュータのIPアドレスを受信し、感染コンピュータIPアドレスとして記憶装置に記憶する手段と、記憶装置から感染コンピュータIPアドレスを読み出して、感染コンピュータのMACアドレスをダミーMACアドレスに設定するダミーMACアドレス設定命令を作成して、ダミーMACアドレス設定命令を感染コンピュータと同一のネットワークセグメントに存在する情報機器に送信する手段とを備える通信妨害サーバと、感染コンピュータと同一のネットワークセグメントに設置され、通信妨害サーバから送信されたダミーMACアドレス設定命令を受信すると、同一のネットワークセグメントに存在する情報機器のIPアドレスとMACアドレスとが対応付けられたARPテーブルを読み出し、感染コンピュータIPアドレスに対応するMACアドレスを、ダミーMACアドレスに書き換える手段を備える情報機器とを備える。 The information communication system according to the fourth aspect of the present invention reads a communication jamming server list in which an identifier of a network segment and an identifier of a jamming server installed in the network segment are associated with each other, and uses a computer worm. Obtain the IP address of the infected computer that was attacked, determine the network segment where the infected computer was installed based on the IP address of the infected computer, and identify the communication blocking server installed in the network segment where the infected computer was installed A controller server having means for transmitting the IP address of the infected computer to the extracted communication blocking server, and receiving the IP address of the infected computer from the controller server, And storing the infected computer IP address from the storage device, creating a dummy MAC address setting command for setting the infected computer's MAC address to the dummy MAC address, and infecting the dummy MAC address setting command A communication jamming server comprising means for transmitting to an information device existing in the same network segment as the computer, and a dummy MAC address setting command installed in the same network segment as the infected computer and transmitted from the communications jamming server; Reads the ARP table in which the IP address and MAC address of the information device existing in the same network segment are associated, and rewrites the MAC address corresponding to the infected computer IP address to a dummy MAC address And an information apparatus equipped with the stage.
本発明の第5の特徴に係る情報通信方法は、コントローラサーバが、ネットワークセグメントの識別子と、ネットワークセグメントに設置された通信妨害サーバの識別子とが関連づけられた通信妨害サーバリストを記憶装置から読み出すとともに、コンピュータワームによる攻撃を受けた感染コンピュータのIPアドレスを取得するステップと、コントローラサーバが、感染コンピュータのIPアドレスに基づいて感染コンピュータが設置されたネットワークセグメントを判定し、感染コンピュータが設置されたネットワークセグメントに設置された通信妨害サーバの識別子を抽出するステップと、コントローラサーバが、抽出された通信妨害サーバに対して感染コンピュータのIPアドレスを送信するステップと、通信妨害サーバが、コントローラサーバから感染コンピュータのIPアドレスを受信するステップと、通信妨害サーバが、感染コンピュータIPアドレスとして記憶装置に記憶する手段と、記憶装置から感染コンピュータIPアドレスを読み出して、感染コンピュータのMACアドレスをダミーMACアドレスに設定するダミーMACアドレス設定命令を作成するステップと、通信妨害サーバが、ダミーMACアドレス設定命令を感染コンピュータと同一のネットワークセグメントに存在する情報機器に送信するステップと、 情報機器が、通信妨害サーバから送信されたダミーMACアドレス設定命令を受信するステップと、情報機器が、同一のネットワークセグメントに存在する情報機器のIPアドレスとMACアドレスとが対応付けられたARPテーブルを読み出し、感染コンピュータIPアドレスに対応するMACアドレスを、ダミーMACアドレスに書き換えるステップとを備える。 In the information communication method according to the fifth aspect of the present invention, the controller server reads from the storage device a communication jamming server list in which the identifier of the network segment is associated with the identifier of the jamming server installed in the network segment. Obtaining the IP address of the infected computer that has been attacked by the computer worm, and the controller server determines the network segment in which the infected computer is installed based on the IP address of the infected computer, and the network in which the infected computer is installed Extracting an identifier of a communication jamming server installed in the segment; a controller server transmitting an IP address of an infected computer to the extracted communication jamming server; Receiving the IP address of the infected computer from the roller server, means for the communication blocking server to store the infected computer IP address in the storage device, and reading out the infected computer IP address from the storage device to dummy the MAC address of the infected computer Creating a dummy MAC address setting command for setting a MAC address; a step for sending a dummy MAC address setting command to an information device in the same network segment as the infected computer; The step of receiving the dummy MAC address setting command transmitted from the jamming server and the information device read the ARP table in which the IP address and the MAC address of the information device existing in the same network segment are associated with each other. And rewriting the MAC address corresponding to the infected computer IP address to a dummy MAC address.
本発明によれば、コンピュータワームによる攻撃を受けた感染コンピュータから他のコンピュータへの攻撃を防ぐ通信妨害サーバ、通信妨害プログラム、通信妨害方法、情報通信システム及び情報通信方法を提供することができる。 According to the present invention, it is possible to provide a communication blocking server, a communication blocking program, a communication blocking method, an information communication system, and an information communication method that prevent an attack from an infected computer that has been attacked by a computer worm to another computer.
次に、図面を参照して、本発明の実施の形態を説明する。以下の図面の記載において、同一又は類似の部分には同一又は類似の符号を付している。 Next, embodiments of the present invention will be described with reference to the drawings. In the following description of the drawings, the same or similar parts are denoted by the same or similar reference numerals.
(最良の実施の形態)
図1に示すように、本発明の最良の実施の形態に係る情報通信システムは、例えば、第1のネットワークセグメント10aと、第2のネットワークセグメント10bを備えており、第1のネットワークセグメント10aには通信妨害サーバ1bが、第2のネットワークセグメント10bには通信妨害サーバ1aがそれぞれ接続されている。第1のネットワークセグメント10a及び第2のネットワークセグメント10bは、ルータ5を介して相互に接続されている。第1のネットワークセグメント10a及び第2のネットワークセグメント10bにおいては、それぞれTCP−IPに基づいて通信される。
(Best Embodiment)
As shown in FIG. 1, the information communication system according to the preferred embodiment of the present invention includes, for example, a first network segment 10a and a second network segment 10b, and the first network segment 10a includes The communication blocking server 1b is connected to the second network segment 10b. The first network segment 10 a and the second network segment 10 b are connected to each other via the router 5. The first network segment 10a and the second network segment 10b communicate based on TCP-IP.
第1のネットワークセグメント10aには、第1のネットワークセグメント10aへの不正アクセスの侵入を検知するIDS装置7及びIDP装置8、コントローラサーバ6、妨害サーバ1bが接続されている。更に、IDP装置8には、IDP装置8によって保護されるウェブサーバ9が接続されている。第2のネットワークセグメント10bには、侵入したコンピュータワームによって感染された感染コンピュータ2、セキュリティパッチやウィルスパターンファイルの管理が弱い脆弱コンピュータ3、コンピュータ4、通信妨害サーバ1aが接続されている。
Connected to the first network segment 10a are an
ここで、第1の通信妨害サーバ1aにはIPアドレス「M」が、第2の通信妨害サーバ1bにはIPアドレス「N」が、感染コンピュータ2にはIPアドレス「A」がそれぞれ割り当てられているとする。また、感染コンピュータ2のMACアドレスは、「MAC_A」であるとする。第1のネットワークセグメント10aと第2のネットワークセグメント10bとの境界に設置されたルータ5は、図2に示すようなARPテーブル51aを備えているとする。ARPテーブル51aでは、感染コンピュータ2のIPアドレス「A」にMACアドレス「MAC_A」が関連づけられている。その他の情報機器も図2に示すようなARPテーブルを備えている。 Here, the IP address “M” is assigned to the first communication blocking server 1a, the IP address “N” is assigned to the second communication blocking server 1b, and the IP address “A” is assigned to the infected computer 2. Suppose that Further, it is assumed that the MAC address of the infected computer 2 is “MAC_A”. Assume that the router 5 installed at the boundary between the first network segment 10a and the second network segment 10b includes an ARP table 51a as shown in FIG. In the ARP table 51a, the MAC address “MAC_A” is associated with the IP address “A” of the infected computer 2. Other information devices also have an ARP table as shown in FIG.
コントローラサーバ6は、IDS装置7及びIDP装置8によって検出された不正アクセスの情報を取得し、通信妨害サーバ1a及び1bに通信を妨害する命令を出すサーバである。
The controller server 6 is a server that obtains information on unauthorized access detected by the
コントローラサーバ6は、ネットワークセグメントの識別子と、ネットワークセグメントに設置された通信妨害サーバの識別子とが関連づけられた通信妨害サーバリスト61を備えており、通信妨害サーバリスト61は、コントローラサーバ6によって読み出し可能な内蔵又は外付けの記憶装置に記憶されている。通信妨害サーバリスト61は、図3に示すように、「第1のネットワークセグメント」に通信妨害サーバ1bのIPアドレス「N」が関連づけられている。
The controller server 6 includes a communication
コントローラサーバ6は、通信妨害サーバリスト61を記憶装置から読み出すとともに、コンピュータワームによる攻撃を受けた感染コンピュータ2のIPアドレス(A)を取得し、感染コンピュータのIPアドレス(A)に基づいて感染コンピュータが設置されたネットワークセグメントを判定する。ここでは、コントローラサーバ6は、感染コンピュータ2が第2のネットワークセグメント10bに設置されていると判定する。更に、コントローラサーバ6は、感染コンピュータ2が設置された第2のネットワークセグメント10bに設置された通信妨害サーバ1bの識別子を抽出し、抽出された通信妨害サーバ1bに対して感染コンピュータ2のIPアドレス(A)を送信する。
The controller server 6 reads out the communication blocking
通信妨害サーバ1aは、コントローラサーバ6から感染コンピュータ2のIPアドレス(A)を受信し、感染コンピュータIPアドレス11として記憶装置107に記憶する。通信妨害サーバ1aは、記憶装置107から感染コンピュータIPアドレス11を読み出して、感染コンピュータのMACアドレスをダミーMACアドレスに設定するダミーMACアドレス設定命令を作成して、感染コンピュータ2と同一のネットワークセグメント10bに存在する感染コンピュータ2、脆弱コンピュータ3、ルータ5などの情報機器にダミーMACアドレス設定命令を送信する。
The communication blocking server 1 a receives the IP address (A) of the infected computer 2 from the controller server 6 and stores it in the
感染コンピュータ2、脆弱コンピュータ3、ルータ5などの情報機器は、通信妨害サーバ1aから送信されたダミーMACアドレス設定命令を受信すると、同一のネットワークセグメント10bに存在する情報機器のIPアドレスとMACアドレスとが対応付けられたARPテーブルを読み出し、感染コンピュータIPアドレスに対応するMACアドレスを、ダミーMACアドレスに書き換える。 When the information device such as the infected computer 2, the vulnerable computer 3, and the router 5 receives the dummy MAC address setting command transmitted from the communication blocking server 1a, the IP address and MAC address of the information device existing in the same network segment 10b are set. Is read, and the MAC address corresponding to the infected computer IP address is rewritten to a dummy MAC address.
ここで、図4を参照して、本発明の最良の実施の形態に係る情報通信システムの処理の流れを説明する。 Here, with reference to FIG. 4, the flow of processing of the information communication system according to the best mode of the present invention will be described.
IDS装置7やIDP装置8によってコンピュータワームの侵入が検出されると、まず、ステップS101において、コントローラサーバ6は、コンピュータワームに感染された感染コンピュータ2のIPアドレス(A)を取得する。更に、ステップS102において、感染コンピュータ2が属しているネットワークセグメントを特定し、通信妨害サーバリスト61からそのネットワークセグメントに設置された通信妨害サーバ1aを検索する。更に、コントローラサーバ6は、ステップS103において、ステップS102で検索された通信妨害サーバ1aに感染コンピュータ2のIPアドレス(A)を送信し、感染コンピュータ2の通信を妨害する命令を送信する。
When the intrusion of the computer worm is detected by the
妨害命令を受信すると通信妨害サーバ1aは、ステップS104a及びステップS104bにおいて、同じネットワークセグメント10bに設置された情報機器、即ち脆弱コンピュータ3、ルータ5などに妨害命令をブロードキャスト送信する。具体的には、感染コンピュータ2のIPアドレス(A)に対応するMACアドレスをダミーMACアドレスである「MAC_X」に変更するようにGratuitous ARPを送信する。 Upon receiving the obstruction instruction, the communication obstruction server 1a broadcasts the obstruction instruction to information devices installed in the same network segment 10b, that is, the vulnerable computer 3 and the router 5 in steps S104a and S104b. Specifically, the Gratuitous ARP is transmitted so that the MAC address corresponding to the IP address (A) of the infected computer 2 is changed to “MAC_X” which is a dummy MAC address.
妨害命令を受信すると、脆弱コンピュータ3及びルータ5などは、ステップS105a及びステップS105bにおいて、予め記憶されたARPテーブルに対して、感染コンピュータ2のIPアドレス(A)に対応するMACアドレスをダミーMACアドレスである「MAC_X」に変更する。例えば、ルータ5は、図5のARPテーブル51bの様に、感染コンピュータ2のIPアドレス「A」に対応するMACアドレスを「MAC_A」に変更する。 When receiving the obstruction command, the vulnerable computer 3 and the router 5 etc., in step S105a and step S105b, set the MAC address corresponding to the IP address (A) of the infected computer 2 to the dummy MAC address with respect to the ARP table stored in advance. To “MAC_X”. For example, the router 5 changes the MAC address corresponding to the IP address “A” of the infected computer 2 to “MAC_A” as in the ARP table 51b of FIG.
一方、感染コンピュータ2は、新たな感染先となる脆弱コンピュータ3に攻撃パケットを送信しようとする。 On the other hand, the infected computer 2 tries to send an attack packet to the vulnerable computer 3 as a new infection destination.
詳細には、感染コンピュータ2は、ステップS106において、脆弱コンピュータ3に攻撃パケットを送信するために、SYN(接続要求)パケットを送信し、感染コンピュータ2と脆弱コンピュータ3との間の通信コネクションを確立しようとする。 More specifically, the infected computer 2 transmits a SYN (connection request) packet to establish a communication connection between the infected computer 2 and the vulnerable computer 3 in order to transmit an attack packet to the vulnerable computer 3 in step S106. try to.
これに対し、脆弱コンピュータ3は、ステップS107において、SYNパケットに対する返答であるSYN_ACK(接続要求確認)パケットを感染コンピュータ2に送信しようとする。このとき、脆弱コンピュータ3は、脆弱コンピュータ3に備えられたARPテーブルを読み出し、感染コンピュータ2のMACアドレスが「MAC_X」に対してSYN_ACKパケットを送信する。しかし、MACアドレス「MAC_X」は、第2のネットワークセグメント10b上に存在しないため、SYN_ACKパケットは感染コンピュータ2に到達しない。 On the other hand, the vulnerable computer 3 tries to transmit a SYN_ACK (connection request confirmation) packet, which is a response to the SYN packet, to the infected computer 2 in step S107. At this time, the vulnerable computer 3 reads the ARP table provided in the vulnerable computer 3 and transmits a SYN_ACK packet to the MAC address “MAC_X” of the infected computer 2. However, since the MAC address “MAC_X” does not exist on the second network segment 10b, the SYN_ACK packet does not reach the infected computer 2.
従って、感染コンピュータ2は、脆弱コンピュータ3にACK(確認応答)パケットを送信することができないので、感染コンピュータ2と脆弱コンピュータ3との間で通信コネクションが確立されない。これにより、感染コンピュータ2は脆弱コンピュータ3に攻撃パケットを送信することができないので、脆弱コンピュータ3が感染コンピュータ2からコンピュータワームに感染することはない。感染コンピュータ2は、脆弱コンピュータ3以外の情報機器とも通信コネクションを確立できないので、感染コンピュータ2による二次感染を防ぐことができる。 Accordingly, since the infected computer 2 cannot transmit an ACK (acknowledgment) packet to the vulnerable computer 3, a communication connection is not established between the infected computer 2 and the vulnerable computer 3. Thereby, since the infected computer 2 cannot transmit the attack packet to the vulnerable computer 3, the vulnerable computer 3 is not infected with the computer worm from the infected computer 2. Since the infected computer 2 cannot establish a communication connection with information devices other than the vulnerable computer 3, secondary infection by the infected computer 2 can be prevented.
また、通信妨害サーバ1aは、ネットワークセグメント10b上で送信されたARPリクエストに対してその返答を行う。
図6に示すように、ネットワークセグメント10b上に存在するコンピュータ4は、ステップS201a乃至ステップS201dにおいて、ネットワークセグメント10b上に存在する全ての情報機器に感染コンピュータ2のIPアドレス「A」に対応するMACアドレスを問い合わせるARPリクエストを送信する。そのとき通信妨害サーバ1aは、感染コンピュータ2のIPアドレス「A」に対応するMACアドレスをダミーMACアドレス「MAC_X」であるARPリプライをコンピュータ4に送信する。
Further, the communication blocking server 1a makes a response to the ARP request transmitted on the network segment 10b.
As shown in FIG. 6, in step S201a to step S201d, the computer 4 existing on the network segment 10b sends the MAC corresponding to the IP address “A” of the infected computer 2 to all the information devices existing on the network segment 10b. An ARP request for inquiring an address is transmitted. At that time, the communication blocking server 1 a transmits an ARP reply having a dummy MAC address “MAC_X” as the MAC address corresponding to the IP address “A” of the infected computer 2 to the computer 4.
これにより、コンピュータ4と感染コンピュータ2との間で通信コネクションを確立させなくすることができる。 Thereby, it is possible to prevent a communication connection from being established between the computer 4 and the infected computer 2.
ここで、本発明の最良の実施の形態に係る通信妨害サーバ1aについて詳述する。 Here, the communication jamming server 1a according to the preferred embodiment of the present invention will be described in detail.
図7に示すように本発明の最良の実施の形態に係る通信妨害サーバ1aは、感染コンピュータIPアドレス11、ダミーMACアドレス対応テーブル12、対象IPアドレス13、感染コンピュータアドレス通知受信手段31、ダミーMACアドレス設定命令送信手段32、ARPリクエスト受信手段33及びARPリプライ送信手段34を備えている。
As shown in FIG. 7, the communication blocking server 1a according to the preferred embodiment of the present invention includes an infected computer IP address 11, a dummy MAC address correspondence table 12, a
図8に示すように、本発明の最良の実施の形態に係る通信妨害サーバ1aは、中央処理制御装置101、ROM(Read Only Memory)102、RAM(Random Access Memory)103及び入出力インタフェース109が、バス110を介して接続されている。入出力インタフェース109には、入力装置104、表示装置105、通信制御装置106、記憶装置107及びリムーバブルディスク108が接続されている。
As shown in FIG. 8, the communication jamming server 1a according to the preferred embodiment of the present invention includes a central
中央処理制御装置101は、入力装置104からの入力信号に基づいてROM102から通信妨害サーバ1aを起動するためのブートプログラムを読み出して実行し、更に記憶装置107に記憶されたオペレーティングシステムを読み出す。更に中央処理制御装置101は、入力装置104や通信制御装置106などの入力信号に基づいて、各種装置の制御を行ったり、RAM103や記憶装置107などに記憶されたプログラム及びデータを読み出してRAM103にロードするとともに、RAM103から読み出されたプログラムのコマンドに基づいて、データの計算又は加工など、後述する一連の処理を実現する処理装置である。
The central
入力装置104は、操作者が各種の操作を入力するキーボード、マウスなどの入力デバイスにより構成されており、操作者の操作に基づいて入力信号を作成し、入出力インタフェース109及びバス110を介して中央処理制御装置101に送信される。表示装置105は、CRT(Cathode Ray Tube)ディスプレイや液晶ディスプレイなどであり、中央処理制御装置101からバス110及び入出力インタフェース109を介して表示装置105において表示させる出力信号を受信し、例えば中央処理制御装置101の処理結果などを表示する装置である。通信制御装置106は、LANカードやモデムなどの装置であり、通信妨害サーバ1aをインターネットやLANなどの通信ネットワークに接続する装置である。通信制御装置106を介して通信ネットワークと送受信したデータは入力信号又は出力信号として、入出力インタフェース及びバス110を介して中央処理制御装置101に送受信される。
The
記憶装置107は磁気ディスク装置であって、中央処理制御装置101で実行されるプログラムやデータが記憶されている。リムーバブルディスク108は、光ディスクやフレキシブルディスクのことであり、ディスクドライブによって読み書きされた信号は、入出力インタフェース109及びバス110を介して中央処理制御装置101に送受信される。
The
本発明の第1の実施の形態に係る通信妨害サーバ1aの記憶装置107には、通信妨害プログラムが記憶されるとともに、感染コンピュータIPアドレス11、ダミーMACアドレス対応テーブル12、対象IPアドレス13が記憶される。また、通信妨害プログラムが通信妨害サーバ1aの中央処理制御装置101に読み込まれ実行されることによって、感染コンピュータアドレス通知受信手段31、ダミーMACアドレス設定命令送信手段32、ARPリクエスト受信手段33及びARPリプライ送信手段34が通信妨害サーバ1aに実装される。
The
感染コンピュータアドレス通知受信手段31は、コンピュータワームによる攻撃を受けた感染コンピュータ2のIPアドレス(A)を受信し、感染コンピュータIPアドレス11として記憶装置107に記憶する。
The infected computer address notification receiving means 31 receives the IP address (A) of the infected computer 2 that has been attacked by the computer worm, and stores it in the
ダミーMACアドレス設定命令送信手段32は、記憶装置107から感染コンピュータIPアドレス11を読み出して、感染コンピュータ2のMACアドレスをダミーMACアドレス「MAC_X」に設定するダミーMACアドレス設定命令を作成して、ダミーMACアドレス設定命令を感染コンピュータと同一のネットワークセグメントに存在する情報機器に送信する。ここで、「ダミーMACアドレス」は、ネットワークセグメントに存在する情報機器のいずれのMACアドレスにも該当しない文言である。具体的には、ダミーMACアドレス設定命令送信手段32は、感染コンピュータ2のMACアドレスをダミーMACアドレス「MAC_X」に設定するGratuitous ARP21を生成して、ネットワークセグメント10bに存在する情報機器にブロードキャスト送信する。
The dummy MAC address setting command transmission means 32 reads the infected computer IP address 11 from the
このとき、ダミーMACアドレス設定命令送信手段32は、感染コンピュータ2のIPアドレスと、感染コンピュータ2に割り当てたMACアドレスとを対応付けたダミーMACアドレス対応テーブル12を備えても良い。
At this time, the dummy MAC address setting
具体的にダミーMACアドレス対応テーブル12は、図9に示すように感染コンピュータ2のIPアドレス「A」と、感染コンピュータ2の真のMACアドレス「MAC_A」と、感染コンピュータ2に割り当てた「MAC_X」とが関連づけられて記憶装置107に記憶されている。このとき、Gratuitous ARP21を送信した時刻も関連づけられるのが好ましい。
Specifically, the dummy MAC address correspondence table 12 includes an IP address “A” of the infected computer 2, a true MAC address “MAC_A” of the infected computer 2, and “MAC_X” assigned to the infected computer 2 as shown in FIG. Are stored in the
ARPリクエスト受信手段33は、所定のIPアドレスに基づいてMACアドレスを問い合わせるARPリクエスト22を受信する。ARPリクエスト受信手段33は、ARPリクエスト22から対象となる対象IPアドレス13を抽出し、記憶装置107に記憶する。
The ARP
ARPリプライ送信手段34は、記憶装置107から対象IPアドレス13を読み出すとともに、所定のIPアドレス13が、感染コンピュータIPアドレスである場合、感染コンピュータIPアドレスとダミーMACアドレスとを関連づけるリクエストに対するARPリプライ23を生成して送信する。
The ARP
このとき、記憶装置107からダミーMACアドレス対応テーブル12を読み出して、対象IPアドレス13がダミーMACアドレス対応テーブル12に登録されているか否かを判定する。登録されている場合、ARPリプライ送信手段34は、対象IPアドレス13に対応付けられたダミーMACアドレスを返信する。一方、登録されていない場合、ARPリプライ送信手段34は、自身が備えるARPテーブル(図示せず)に記憶された情報に基づいて、ARPリプライ23を生成して送信する。
At this time, the dummy MAC address correspondence table 12 is read from the
これにより、本発明の最良の実施の形態に係る通信妨害サーバ1aは、感染コンピュータ2と感染コンピュータ2と同一のネットワークセグメントに存在する機器との間の通信コネクションを確立させなくすることができる。従って、本発明の最良の実施の形態に係る通信妨害サーバ1aは、感染コンピュータ2からの二次被害を防止することができる。 As a result, the communication jamming server 1a according to the best embodiment of the present invention can prevent the infected computer 2 and the infected computer 2 from establishing a communication connection between devices existing in the same network segment. Therefore, the communication blocking server 1a according to the best embodiment of the present invention can prevent secondary damage from the infected computer 2.
また、本発明の最良の実施の形態における通信妨害サーバ1aは、感染コンピュータ2のIPアドレスにダミーMACアドレスを対応付けさせることにより通信コネクションを確立させない。この様に、本発明の最良の実施の形態における通信妨害サーバ1aは、MACアドレスによって通信されるネットワークセグメント、即ちルータを超えないネットワークセグメント内において有効である。従って、ルータで区切られたネットワークセグメント毎に妨害サーバを設けるのが好ましい。 Further, the communication blocking server 1a in the best mode of the present invention does not establish a communication connection by associating the dummy MAC address with the IP address of the infected computer 2. As described above, the communication jamming server 1a in the best mode of the present invention is effective in a network segment communicated by a MAC address, that is, a network segment not exceeding a router. Therefore, it is preferable to provide a disturbing server for each network segment separated by a router.
(最良の実施の形態の変形例)
本発明の最良の実施の形態の変形例に係る通信妨害サーバ1aは、ダミーMACアドレスとして、通信妨害サーバ1a自身のMACアドレスを設定したGratuitous ARP21を送信する。
(Modification of the best embodiment)
The communication jamming server 1a according to the modified example of the best embodiment of the present invention transmits the
本発明の最良の実施の形態の変形例に係る通信妨害サーバ1aによれば、感染コンピュータ2は通信妨害サーバ1aと通信コネクションを確立し、通信妨害サーバ1aに攻撃パケットを送信する。通信妨害サーバ1a自身によって攻撃パケットが受信されるので、他の情報機器への攻撃パケットの送信を防止することができる。また、通信妨害サーバ1aが攻撃パケットを受信することにより、攻撃パケットを受信した頻度や攻撃パケットの内容に基づいて、通信妨害サーバ1aが対応しても良い。 According to the communication jamming server 1a according to the modification of the best mode of the present invention, the infected computer 2 establishes a communication connection with the communication jamming server 1a and transmits an attack packet to the communication jamming server 1a. Since the attack packet is received by the communication blocking server 1a itself, transmission of the attack packet to other information devices can be prevented. Further, when the communication blocking server 1a receives the attack packet, the communication blocking server 1a may respond based on the frequency of receiving the attack packet or the content of the attack packet.
(その他の実施の形態)
上記のように、本発明の最良の実施の形態によって記載したが、この開示の一部をなす論述及び図面はこの発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施の形態、実施例及び運用技術が明らかとなる。
(Other embodiments)
As described above, the present invention has been described according to the best mode for carrying out the invention. However, it should not be understood that the description and drawings constituting a part of this disclosure limit the present invention. From this disclosure, various alternative embodiments, examples, and operational techniques will be apparent to those skilled in the art.
例えば、本発明の最良の実施の形態においては、コントローラサーバ、IDS装置7、IDP装置8、通信妨害サーバ1a、1bなどの情報機器は、それぞれ異なるハードウェア上に実現される様に記載したが、一つのハードウェア上に任意の複数の情報機器の機能を備えさせても良い。
For example, in the best mode of the present invention, it has been described that information devices such as the controller server, the
本発明はここでは記載していない様々な実施の形態等を含むことは勿論である。従って、本発明の技術的範囲は上記の説明から妥当な特許請求の範囲に係る発明特定事項によってのみ定められるものである。 It goes without saying that the present invention includes various embodiments not described herein. Therefore, the technical scope of the present invention is defined only by the invention specifying matters according to the scope of claims reasonable from the above description.
1a,1b…通信妨害サーバ
2…感染コンピュータ
3…脆弱コンピュータ
4…コンピュータ
5…ルータ
6…コントローラサーバ
7…IDS装置
8…IDP装置
9…ウェブサーバ
10a、10b…ネットワークセグメント
11…感染コンピュータIPアドレス
12…アドレス対応テーブル
13…対象IPアドレス
21…Gratuitous ARP
22…ARPリクエスト
23…ARPリプライ
31…感染コンピュータアドレス通知受信手段
32…アドレス設定命令送信手段
33…ARPリクエスト受信手段
34…ARPリプライ送信手段
51a、51n…ARPテーブル
61…通信妨害サーバリスト
101…中央処理制御装置
102…ROM
103…RAM
104…入力装置
105…表示装置
106…通信制御装置
107…記憶装置
108…リムーバブルディスク
109…入出力インタフェース
110…バス
DESCRIPTION OF SYMBOLS 1a, 1b ... Communication obstruction server 2 ... Infected computer 3 ... Vulnerable computer 4 ... Computer 5 ... Router 6 ...
22 ...
103 ... RAM
104 ...
Claims (9)
前記記憶装置から前記感染コンピュータIPアドレスを読み出して、前記感染コンピュータのMACアドレスをダミーMACアドレスに設定するダミーMACアドレス設定命令を作成して、前記ダミーMACアドレス設定命令を前記感染コンピュータと同一のネットワークセグメントに存在する情報機器に送信する手段とを備え、
前記感染コンピュータと前記感染コンピュータと同一のネットワークセグメントに存在する機器との間の通信コネクションを確立させない
ことを特徴とする通信妨害サーバ。 Means for receiving an IP address of an infected computer attacked by a computer worm and storing it in a storage device as an infected computer IP address;
Reading the infected computer IP address from the storage device, creating a dummy MAC address setting command for setting the MAC address of the infected computer as a dummy MAC address, and sending the dummy MAC address setting command to the same network as the infected computer Means for transmitting to information equipment existing in the segment,
A communication blocking server that does not establish a communication connection between the infected computer and a device that exists in the same network segment as the infected computer.
前記所定のIPアドレスが、前記感染コンピュータIPアドレスである場合、前記感染コンピュータIPアドレスと前記ダミーMACアドレスとを関連づける前記リクエストに対するリプライを生成して送信する手段
とを更に備えることを特徴とする請求項1又は2に記載の通信妨害サーバ。 Means for receiving a request to query a MAC address based on a predetermined IP address;
When the predetermined IP address is the infected computer IP address, it further comprises means for generating and transmitting a reply for the request associating the infected computer IP address with the dummy MAC address. Item 3. The communication jamming server according to item 1 or 2.
前記記憶装置から前記感染コンピュータIPアドレスを読み出して、前記感染コンピュータのMACアドレスをダミーMACアドレスに設定するダミーMACアドレス設定命令を作成して、前記ダミーMACアドレス設定命令を前記感染コンピュータと同一のネットワークセグメントに存在する情報機器に送信するステップ
とをコンピュータに実行させることにより、前記感染コンピュータと前記感染コンピュータと同一のネットワークセグメントに存在する機器との間の通信コネクションを確立させない
ことを特徴とする通信妨害プログラム。 Receiving an IP address of an infected computer attacked by a computer worm and storing it in a storage device as an infected computer IP address;
Reading the infected computer IP address from the storage device, creating a dummy MAC address setting command for setting the MAC address of the infected computer as a dummy MAC address, and sending the dummy MAC address setting command to the same network as the infected computer A communication connection between the infected computer and a device existing in the same network segment as the infected computer by causing the computer to execute the step of transmitting to the information device existing in the segment. Interfering program.
前記ダミーMACアドレスは、前記ネットワークセグメントに存在する情報機器のいずれのMACアドレスにも該当しない文言、或いは前記通信妨害サーバのMACアドレスであることを特徴とする請求項4に記載の通信妨害プログラム。 The communication jamming program according to claim 4, wherein the dummy MAC address is a word that does not correspond to any MAC address of an information device existing in the network segment, or a MAC address of the communications jamming server. .
所定のIPアドレスに基づいてMACアドレスを問い合わせるリクエストを受信するステップと、
前記所定のIPアドレスが、前記感染コンピュータIPアドレスである場合、前記感染コンピュータIPアドレスと前記ダミーMACアドレスとを関連づける前記リクエストに対するリプライを生成して送信するステップ
とを更にコンピュータに実行させることを特徴とする請求項4又は5に記載の通信妨害プログラム。 Receiving a request to query a MAC address based on a predetermined IP address;
When the predetermined IP address is the infected computer IP address, the computer is further caused to generate and send a reply to the request that associates the infected computer IP address with the dummy MAC address. The communication jamming program according to claim 4 or 5.
前記記憶装置から前記感染コンピュータIPアドレスを読み出して、前記感染コンピュータのMACアドレスをダミーMACアドレスに設定するダミーMACアドレス設定命令を作成して、前記ダミーMACアドレス設定命令を前記感染コンピュータと同一のネットワークセグメントに存在する情報機器に送信するステップとを備え、
前記感染コンピュータと前記感染コンピュータと同一のネットワークセグメントに存在する機器との間の通信コネクションを確立させない
ことを特徴とする通信妨害方法。 Receiving an IP address of an infected computer attacked by a computer worm and storing it in a storage device as an infected computer IP address;
Reading the infected computer IP address from the storage device, creating a dummy MAC address setting command for setting the MAC address of the infected computer as a dummy MAC address, and sending the dummy MAC address setting command to the same network as the infected computer Transmitting to information equipment existing in the segment,
A communication blocking method, wherein a communication connection between the infected computer and a device existing in the same network segment as the infected computer is not established.
前記コントローラサーバから前記感染コンピュータのIPアドレスを受信し、感染コンピュータIPアドレスとして記憶装置に記憶する手段と、前記記憶装置から前記感染コンピュータIPアドレスを読み出して、前記感染コンピュータのMACアドレスをダミーMACアドレスに設定するダミーMACアドレス設定命令を作成して、前記ダミーMACアドレス設定命令を前記感染コンピュータと同一のネットワークセグメントに存在する情報機器に送信する手段とを備える通信妨害サーバと、
前記感染コンピュータと同一のネットワークセグメントに設置され、前記通信妨害サーバから送信された前記ダミーMACアドレス設定命令を受信すると、前記同一のネットワークセグメントに存在する情報機器のIPアドレスとMACアドレスとが対応付けられたARPテーブルを読み出し、前記感染コンピュータIPアドレスに対応するMACアドレスを、前記ダミーMACアドレスに書き換える手段を備える情報機器
とを備えることを特徴とする情報通信システム。 Reading a communication blocking server list in which a network segment identifier and an identifier of a communication blocking server installed in the network segment are associated with each other, obtaining an IP address of an infected computer attacked by a computer worm, The network segment in which the infected computer is installed is determined based on the IP address of the infected computer, the identifier of a communication blocking server installed in the network segment in which the infected computer is installed, and the extracted communication blocking A controller server comprising means for transmitting the IP address of the infected computer to the server;
Means for receiving an IP address of the infected computer from the controller server and storing it in a storage device as an infected computer IP address; reading the infected computer IP address from the storage device; and setting the MAC address of the infected computer as a dummy MAC address Creating a dummy MAC address setting command to be set, and a means for transmitting the dummy MAC address setting command to an information device existing in the same network segment as the infected computer,
When receiving the dummy MAC address setting command installed in the same network segment as the infected computer and transmitted from the communication blocking server, the IP address and MAC address of the information device existing in the same network segment are associated with each other. An information communication system comprising: an information device that reads a read ARP table and rewrites a MAC address corresponding to the infected computer IP address with the dummy MAC address.
前記コントローラサーバが、前記感染コンピュータのIPアドレスに基づいて前記感染コンピュータが設置されたネットワークセグメントを判定し、前記感染コンピュータが設置されたネットワークセグメントに設置された通信妨害サーバの識別子を抽出するステップと、
前記コントローラサーバが、抽出された前記通信妨害サーバに対して前記感染コンピュータのIPアドレスを送信するステップと、
前記通信妨害サーバが、前記コントローラサーバから前記感染コンピュータのIPアドレスを受信するステップと、
前記通信妨害サーバが、感染コンピュータIPアドレスとして記憶装置に記憶する手段と、前記記憶装置から前記感染コンピュータIPアドレスを読み出して、前記感染コンピュータのMACアドレスをダミーMACアドレスに設定するダミーMACアドレス設定命令を作成するステップと、
前記通信妨害サーバが、前記ダミーMACアドレス設定命令を前記感染コンピュータと同一のネットワークセグメントに存在する情報機器に送信するステップと、
前記情報機器が、前記通信妨害サーバから送信された前記ダミーMACアドレス設定命令を受信するステップと、
前記情報機器が、前記同一のネットワークセグメントに存在する情報機器のIPアドレスとMACアドレスとが対応付けられたARPテーブルを読み出し、前記感染コンピュータIPアドレスに対応するMACアドレスを、前記ダミーMACアドレスに書き換えるステップ
とを備えることを特徴とする情報通信方法。
The controller server reads from the storage device a communication blocking server list in which the identifier of the network segment and the identifier of the communication blocking server installed in the network segment are associated, and the IP address of the infected computer that has been attacked by the computer worm Step to get the
The controller server determining a network segment in which the infected computer is installed based on an IP address of the infected computer, and extracting an identifier of a communication blocking server installed in the network segment in which the infected computer is installed; ,
The controller server transmitting the IP address of the infected computer to the extracted communication jamming server;
The communication jamming server receiving an IP address of the infected computer from the controller server;
The communication blocking server stores in the storage device as an infected computer IP address, and reads out the infected computer IP address from the storage device and sets the MAC address of the infected computer as a dummy MAC address. The steps of creating
The communication jamming server transmits the dummy MAC address setting command to an information device existing in the same network segment as the infected computer;
The information device receiving the dummy MAC address setting command transmitted from the communication jamming server;
The information device reads an ARP table in which the IP address and MAC address of the information device existing in the same network segment are associated, and rewrites the MAC address corresponding to the infected computer IP address to the dummy MAC address. An information communication method comprising the steps of:
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004100475A JP3836472B2 (en) | 2004-03-30 | 2004-03-30 | Communication jamming server, communication jamming program, communication jamming method, information communication system, and information communication method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004100475A JP3836472B2 (en) | 2004-03-30 | 2004-03-30 | Communication jamming server, communication jamming program, communication jamming method, information communication system, and information communication method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005286877A true JP2005286877A (en) | 2005-10-13 |
| JP3836472B2 JP3836472B2 (en) | 2006-10-25 |
Family
ID=35184770
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004100475A Expired - Fee Related JP3836472B2 (en) | 2004-03-30 | 2004-03-30 | Communication jamming server, communication jamming program, communication jamming method, information communication system, and information communication method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3836472B2 (en) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007101716A2 (en) * | 2006-03-08 | 2007-09-13 | Tomtom International B.V. | Communication device with indirect command distribution |
| JP2017005519A (en) * | 2015-06-11 | 2017-01-05 | 三菱電機株式会社 | Communication apparatus and communication method |
-
2004
- 2004-03-30 JP JP2004100475A patent/JP3836472B2/en not_active Expired - Fee Related
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007101716A2 (en) * | 2006-03-08 | 2007-09-13 | Tomtom International B.V. | Communication device with indirect command distribution |
| WO2007101716A3 (en) * | 2006-03-08 | 2008-03-06 | Tomtom Int Bv | Communication device with indirect command distribution |
| JP2017005519A (en) * | 2015-06-11 | 2017-01-05 | 三菱電機株式会社 | Communication apparatus and communication method |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3836472B2 (en) | 2006-10-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100952350B1 (en) | Intelligent network interface controller | |
| US8191141B2 (en) | Method and system for cloaked observation and remediation of software attacks | |
| US7653941B2 (en) | System and method for detecting an infective element in a network environment | |
| JP4741255B2 (en) | System and method for protecting a computing device from computer exploits delivered in a protected communication over a networked environment | |
| US6892241B2 (en) | Anti-virus policy enforcement system and method | |
| US7474655B2 (en) | Restricting communication service | |
| US11303673B1 (en) | System and method for preventing lateral propagation of ransomware using a security appliance that functions as a DHCP relay on a shared network | |
| US20060256730A1 (en) | Intelligent quarantine device | |
| US11303669B1 (en) | System and method for tunneling endpoint traffic to the cloud for ransomware lateral movement protection | |
| WO2003010922A1 (en) | Network security architecture | |
| US20170250998A1 (en) | Systems and methods of preventing infection or data leakage from contact with a malicious host system | |
| US20130298220A1 (en) | System and method for managing filtering information of attack traffic | |
| JP2006262019A (en) | Network quarantine program, recording medium recording program, network quarantine method, and network quarantine apparatus | |
| JP2006243878A (en) | Unauthorized access detection system | |
| US20050259657A1 (en) | Using address ranges to detect malicious activity | |
| US20040093514A1 (en) | Method for automatically isolating worm and hacker attacks within a local area network | |
| US10205738B2 (en) | Advanced persistent threat mitigation | |
| JP3836472B2 (en) | Communication jamming server, communication jamming program, communication jamming method, information communication system, and information communication method | |
| JP2002158660A (en) | Protection system against unauthorized access | |
| JP4418211B2 (en) | Network security maintenance method, connection permission server, and connection permission server program | |
| JP2006100996A (en) | Network integrated supervisory apparatus, network integrated supervisory method, and network integrated supervisory system | |
| JP2011030223A (en) | Flow-based dynamic access control system and method | |
| JP4710889B2 (en) | Attack packet countermeasure system, attack packet countermeasure method, attack packet countermeasure apparatus, and attack packet countermeasure program | |
| US20130246621A1 (en) | System, method, and computer program product for managing a connection between a device and a network | |
| JP2007266957A (en) | Address acquisition apparatus, and address acquisition program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060413 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060418 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060619 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060718 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20060726 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100804 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100804 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110804 Year of fee payment: 5 |
|
| LAPS | Cancellation because of no payment of annual fees |