JP2007102747A - Packet detector, message detection program, shutdown program of unauthorized e-mail - Google Patents
Packet detector, message detection program, shutdown program of unauthorized e-mail Download PDFInfo
- Publication number
- JP2007102747A JP2007102747A JP2005349609A JP2005349609A JP2007102747A JP 2007102747 A JP2007102747 A JP 2007102747A JP 2005349609 A JP2005349609 A JP 2005349609A JP 2005349609 A JP2005349609 A JP 2005349609A JP 2007102747 A JP2007102747 A JP 2007102747A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- data
- address
- server
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、ネットワーク上のウィルスのうち、不正なアプリケーションデータが添付されたメールデータの伝染を遮断するためのパケット検知装置、メッセージ検知プログラム、不正メールの遮断プログラムに関する。 The present invention relates to a packet detection device, a message detection program, and an illegal mail blocking program for blocking the transmission of mail data to which unauthorized application data is attached among viruses on a network.
従来より、ウィルス検知技術としては、既知のウィルスについて定義ファイルと呼ばれる特徴情報を記述したデータを予め用意しておき、ウィルスに感染している可能性のあるファイルと定義ファイルとをパターンマッチングするものが知られている。この定義ファイルは、コンピュータウイルスに感染したファイルや、ネットワーク上で自己複製を繰り返すワームプログラムの特徴を収録したファイルであって、アンチウィルスソフト(ワクチンソフト)がコンピュータウイルスやワームを検出するために、定義ファイル内に収録された各ウイルスのパターンが検査対象のファイルと照合されて、パターンとの一致が見られるとそのファイルがウイルスに感染していると判断する。 Conventionally, as virus detection technology, data that describes characteristic information called definition file for a known virus is prepared in advance, and a file that may be infected with a virus is pattern-matched with the definition file. It has been known. This definition file is a file that contains the characteristics of a computer virus-infected file or a worm program that repeats itself over the network, and is defined by anti-virus software (vaccine software) to detect computer viruses and worms. Each virus pattern recorded in the file is compared with the file to be inspected, and if a match with the pattern is found, it is determined that the file is infected with the virus.
また、従来から知られているウィルスの一種であるワーム対策としては、例えば、「http://www.nttdata.co.jp/netcom/pdf/nc04_ss_03.pdf」に記載されているようなものも挙げられる。 In addition, as a worm countermeasure that is a type of virus that has been known in the past, for example, one described in "http://www.nttdata.co.jp/netcom/pdf/nc04_ss_03.pdf" Can be mentioned.
しかしながら、従来において、ウィルスの定義ファイルを用意しておくパターンマッチング型のウィルス検知技術では、定義ファイルがない新種のウィルスや亜種のウィルスを検知することができないといった問題がある。 However, the conventional pattern matching type virus detection technology that prepares a virus definition file has a problem that it cannot detect a new type of virus or a subtype of virus that does not have a definition file.
そこで、本発明は、上述した実情に鑑みて提案されたものであり、メールサーバ名を問い合わせるタイプの不正なウイルスの動作を防止することができるパケット検知装置、メッセージ検知プログラム、不正メールの遮断プログラムを提供することを目的とする。 Therefore, the present invention has been proposed in view of the above-described circumstances, and a packet detection device, a message detection program, and an illegal mail blocking program that can prevent the operation of an illegal virus of a type that inquires about a mail server name. The purpose is to provide.
本発明は、コンピュータウィルスによって、コンピュータが不正な電子メールを送信することを防止するためのパケット検知装置、メッセージ検知プログラム、不正メールの遮断プログラムであり、あらゆるネットワーク上のコンピュータに格納できるものである。 The present invention is a packet detection device, a message detection program, and an illegal mail blocking program for preventing a computer from sending an illegal electronic mail due to a computer virus, and can be stored in a computer on any network. .
本発明は、ネットワーク上で伝送されるパケットを検知するパケット検知装置であって、上述の課題を解決するために、ネットワーク上のクライアントコンピュータから送信されるパケットに含まれるアプリケーションデータの種類を指定する識別子を検出するアプリケーション識別子検出手段と、アプリケーション識別子検出手段によって検出した識別子が、ホスト名をネットワーク層アドレスに変換するネームサービスのアプリケーションを示すものであるかを検出するアプリケーション種類特定手段と、アプリケーション種類特定手段によって特定されたアプリケーション種類がネームサービスであることが検出された場合に、前記パケットのアプリケーションデータに、メールサーバのネットワーク層アドレスを問い合わせるデータが含まれているか否かを検知するデータ検知手段とを備える。 The present invention is a packet detection device for detecting a packet transmitted on a network, and specifies the type of application data included in a packet transmitted from a client computer on the network in order to solve the above-described problem. An application identifier detecting means for detecting an identifier, an application type specifying means for detecting whether the identifier detected by the application identifier detecting means indicates a name service application for converting a host name into a network layer address, and an application type Data that inquires the application data of the packet about the network layer address of the mail server when it is detected that the application type specified by the specifying means is a name service And a data detection means for detecting whether or not included.
本発明は、メールサーバのネットワーク層におけるアドレスを問い合わせるメッセージに対して応答するサーバ装置、又は、当該サーバ装置宛に送信されたメッセージを転送するプロキシサーバ装置に格納され、ネットワークを介して受信したメッセージを検知するメッセージ検知プログラムであって、上述の課題を解決するために、受信したメッセージの送信元アドレスを取得し、当該送信元アドレスと、予めサーバアドレス格納手段に格納した前記メールサーバのネットワーク層におけるアドレスとを比較して、当該送信元アドレスが前記サーバアドレス格納手段に格納されていないメッセージを検知するメッセージ検知機能と、メッセージ検知機能によって送信元アドレスが前記サーバアドレス格納手段に格納されていないメッセージが、前記メールサーバのネットワーク層アドレスを問い合わせるデータであるか否かを検知するデータ検知機能とを、サーバ装置又は前記プロキシサーバ装置に実装させる。 The present invention relates to a server device that responds to a message that inquires about an address in the network layer of a mail server, or a message that is stored in a proxy server device that forwards a message sent to the server device and received via a network. In order to solve the above-described problem, the message detection program acquires the transmission source address of the received message, and the transmission server address and the network layer of the mail server previously stored in the server address storage means And a message detection function for detecting a message in which the source address is not stored in the server address storage means, and the source address is not stored in the server address storage means by the message detection function. message And a data detection function for detecting whether the data to query the network layer address of the mail server, is implemented in the server apparatus or the proxy server device.
本発明は、コンピュータウィルスによって、コンピュータが不正な電子メールを送信することを防止する不正メールの検知プログラムであって、上述の課題を解決するために、コンピュータに、当該コンピュータから送信されるパケットに含まれるアプリケーションデータの種類を指定する識別子を検出するアプリケーション識別子検出機能と、前記アプリケーション識別子検出機能によって検出した識別子が、ホスト名をネットワーク層アドレスに変換するネームサービスのアプリケーションを示すものであるかを検出するアプリケーション種類特定機能と、アプリケーション種類特定機能によって特定されたアプリケーション種類がネームサービスであることが検出された場合に、前記パケットのアプリケーションデータに、メールサーバのネットワーク層アドレスを問い合わせるデータが含まれているか否かを判定するアプリケーションデータ判定機能と、前記アプリケーションデータ判定機能によってメールサーバのネットワーク層アドレスを問い合わせるデータが含まれていると判定された場合に、当該アプリケーションデータを含むパケットの送信を遮断するパケット遮断機能とを実装させる。 The present invention is a fraudulent mail detection program that prevents a computer from sending fraudulent electronic mail due to a computer virus. In order to solve the above-described problem, the present invention relates to a packet sent from the computer. An application identifier detection function that detects an identifier that specifies the type of application data included, and whether the identifier detected by the application identifier detection function indicates a name service application that converts a host name into a network layer address When it is detected that the application type specifying function to be detected and the application type specified by the application type specifying function are name services, a mail service is added to the application data of the packet. An application data determination function that determines whether or not data that inquires about the network layer address is included, and when the application data determination function determines that data that inquires the network layer address of the mail server is included, A packet blocking function for blocking transmission of a packet including the application data is implemented.
本発明に係るパケット検知装置によれば、クライアントコンピュータから送信されるパケットに含まれるアプリケーションデータの種類を指定する識別子を見て、ホスト名をネットワーク層アドレスに変換するネームサービスのアプリケーションを示すものであることを検出し、且つ、パケットのアプリケーションデータに、メールサーバのネットワーク層アドレスを問い合わせるデータが含まれていることを検出できるので、メールサーバ名を問い合わせるタイプの不正なウイルスの動作を検知して、防止に利用できる。 The packet detection device according to the present invention shows a name service application that converts a host name into a network layer address by looking at an identifier that specifies the type of application data included in a packet transmitted from a client computer. Since it can detect that there is data that inquires about the network layer address of the mail server in the application data of the packet, it detects the operation of an illegal virus that inquires about the mail server name. Can be used for prevention.
本発明に係るメッセージ検知プログラムによれば、サーバ装置又はプロキシサーバ装置に格納されたメールサーバのネットワーク層におけるアドレスと、受信したメッセージの送信元アドレスとを比較して、当該送信元アドレスが前記サーバアドレス格納手段に格納されていないメッセージを検知し、当該メッセージがメールサーバのネットワーク層アドレスを問い合わせるデータであることを検知できるので、メールサーバ名を問い合わせるタイプの不正なウイルスの動作を検知して、当該不正なウイルスの動作によるメッセージに対する応答を防止できる。 According to the message detection program of the present invention, the address in the network layer of the mail server stored in the server device or the proxy server device is compared with the source address of the received message, and the source address is the server. Detecting messages that are not stored in the address storage means and detecting that the message is data that inquires about the network layer address of the mail server. It is possible to prevent a response to a message due to an illegal virus operation.
本発明に係る不正メールの遮断プログラムよれば、コンピュータから送信されるパケットに含まれるアプリケーションデータの種類を指定する識別子を見て、ホスト名をネットワーク層アドレスに変換するネームサービスのアプリケーションを示すものであることを検出し、且つ、パケットのアプリケーションデータに、メールサーバのネットワーク層アドレスを問い合わせるデータが含まれている場合に、当該パケットの送信を遮断するので、メールサーバ名を問い合わせるタイプの不正なウイルスの動作を防止することができる。 The illegal mail blocking program according to the present invention refers to an application of a name service that converts a host name into a network layer address by looking at an identifier that specifies the type of application data included in a packet transmitted from a computer. If the packet application data contains data that inquires about the network layer address of the mail server, the transmission of the packet is blocked, so an illegal virus that inquires about the mail server name. Can be prevented.
以下、本発明の実施の形態について図面を参照して説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
本発明は、例えば図1に示すように、端末1A、1Bと、メールサーバ2,4と、DNS(Domain Name System)サーバ3とを有するネットワークシステムにおいて、端末1A、1Bに実装される不正メールの遮断プログラムに適用される。この実施形態では、例えば端末1Aに不正メールの遮断プログラムがインストールされて、当該不正メールの遮断プログラムの機能を実装する。
For example, as shown in FIG. 1, the present invention is a network
通常、このネットワークシステムにおいて、図1に示すような手順(1)〜(8)が行われることによって、端末1Aから端末1Bにメールデータを送信する。すなわち、先ず端末1Aは、宛先メールアドレスを「hanako@abc.cdf.co.jp」とし、本文を「Hello!」としたメールデータS1を作成すると、当該端末1Aのメールクライアント設定で登録されているホスト名「mail.cdf.co.jp」のメールサーバ(SMTP(Simple Mail Transfer Protocol)サーバ)2に、メールデータS1を送信する(手順(1))。
Normally, in this network system, mail data is transmitted from the
このメールデータS1は、ホスト名「mail.cdf.co.jp」のメールサーバ2で受信されると、メールサーバ2は、当該メールデータS1に含まれているメールデータの宛先を認識し、当該メールデータS1の宛先の端末1Bがアクセスできるメールサーバ4のIP(Internet Protocol)アドレスを問い合わせるMX(Mail eXchanger)レコード問い合わせS2を含むパケットをDNSサーバ3に送信する(手順(2))。このMXレコード問い合わせS2には、メールデータの宛先となるメールアドレスのドメイン名「abc.cdf.co.jp」が含まれる。
When the mail data S1 is received by the
MXレコード問い合わせS2を含むパケットをDNSサーバ3で受信すると、DNSサーバ3は、MXレコード問い合わせS2と共に受信したメールデータのドメイン名「abc.cdf.co.jp」に対応したメールサーバ4のホスト名「server.abc.cdf.co.jp」及びIPアドレスをDNSデータから取り出す。そして、DNSサーバ3は、取り出したメールサーバ4のホスト名及びIPアドレスを含むMXレコード情報S3をメールサーバ2に返信する(手順(3))。このようにDNSサーバ3は、メールサーバ2に対してホスト名をネットワーク層アドレスに変換するネームサービスを提供する。
When the
メールサーバ2は、DNSサーバ3からMXレコード情報S3を受信すると、当該MXレコード情報S3に含まれているIPアドレス宛であってメールデータS1を含むメールデータS4を送信する(手順(4))。
When the
メールサーバ4は、メールデータS4を受信すると、当該メールデータS4をメールボックスに記憶しておく。その後、端末1Bによってメールアドレスを指定したメールボックス確認S5の要求がなされると(手順(7))、メールサーバ4は、メールボックスに記憶しておいたメールデータを端末1Bに送信して、端末1Bによって端末1Aから送信されたメールデータS1を受信できる。
When receiving the mail data S4, the mail server 4 stores the mail data S4 in the mail box. Thereafter, when the
このような通常のメール送信動作に対し、端末1Aが、不正ソフトウェアのコピーを添付したメールを大量に送信する所謂マスメーリング型の不正ソフトウェアに感染されてしまうと、当該不正ソフトウェアの機能によって、図2に示すように、端末1Aのアドレス帳に登録されているメールアドレスのドメイン名とMXレコード問い合わせを含むパケットをDNSサーバ3に送信して(手順(1))、メールサーバ4のホスト名及びIPアドレスを含むMXレコード情報を受信してしまう(手順(2))。そして、端末1Aの不正ソフトウェアによって、添付ファイル名称「ワーム.exe」の不正ソフトウェアを添付したメールデータをメールサーバ4に送信し(手順(3))、端末1Bのメールボックス確認S5によって(手順(4))、当該メールデータを端末1Bに送信させてしまう(手順(5))。
If the
このような動作を行うネットワークシステムにおいて、端末1Aには、図3に示すように、基本ソフトウェア実行部11、メールアプリケーションを含むアプリケーションソフトウェア実行部12が実装されている。基本ソフトウェア実行部11は、ネットワーク10と接続された通信インターフェース部21とTCP(Transmission Control Protocol)/IP通信制御部22とを備える。
In the network system performing such operations, the
このような端末1Aは、図4に示すように、アプリケーションソフトウェア実行部12によってアプリケーションデータ110を作成すると、当該アプリケーションデータ110を基本ソフトウェア実行部11に渡す。基本ソフトウェア実行部11は、TCP/IP通信制御部22によってアプリケーションデータ110の先頭にTCPヘッダ又はUDPヘッダのトランスポート層ヘッダ111,IP層ヘッダ112を付加したIPパケットを作成し、通信インターフェース部21によって当該IPパケットにリンク層ヘッダ等を付加して所定の変調処理等を施して、ネットワーク10に送出する。上述のように、メールデータS1をメールサーバ2に送信する場合、メールの本文はアプリケーションデータ110として作成される。また、ネットワーク10から端末1A宛に送信されたIPパケットは、通信インターフェース部21によって復調処理等が施された後に、TCP/IP通信制御部22で解析されて、アプリケーションソフトウェア実行部12に渡される。
As shown in FIG. 4, such a
ところが、例えば他の端末から送信された不正なメール内容をプレビュー又は不正な添付ファイルを実行してしまった場合には、アプリケーション層に、不正ソフトウェア実行部13が実装されてしまう。
However, for example, when an unauthorized mail content transmitted from another terminal is previewed or an unauthorized attachment is executed, the unauthorized
この不正ソフトウェア実行部13は、端末1Aに実装されると、上述の図2に示した手順(1)〜手順(5)を実現させるために、MXレコード問い合わせを含むIPパケットの送信を行う。このIPパケットは、後述のフィルタリング処理を実行しない場合、TCP/IP通信制御部22及び通信インターフェース部21を経由して、ネットワーク10を介してDNSサーバ3に送出されてしまう。この不正ソフトウェア実行部13で作成された図4におけるアプリケーションデータ110には、MXレコード問い合わせを含んでいる。
When implemented in the
このような不正ソフトウェア実行部13で実現される機能に対し、本発明を適用した不正メールの遮断プログラムを実装した端末1Aは、TCP/IP通信制御部22で作成されたパケットを監視して不正なパケットの送信を遮断するための機能として、MXレコード問い合わせ遮断部30を備えている。このMXレコード問い合わせ遮断部30は、上述の不正メールの遮断プログラムを端末1Aにインストールすることによって実現できる機能部である。
In contrast to the functions realized by the unauthorized
このMXレコード問い合わせ遮断部30は、TCP/IP通信制御部22で作成されて、通信インターフェース部21に渡されるべきIPパケットを横取りするパケットフック部31と、当該パケットフック部31で横取りしたIPパケットに対してフィルタリング処理を行うフィルタリング部32とを備える。
The MX record
パケットフック部31は、端末1Aから送信されるIPパケットを横取りすると、当該IPパケットをフィルタリング部32に渡し、フィルタリング部32でフィルタリング処理がなされたIPパケットを受け取り、通信インターフェース部21に渡す。
When the
フィルタリング部32は、パケットフック部31からIPパケットを受け取ると、当該IPパケットがDNSサーバ3へのMXレコード問い合わせを含むものか否かを判定する。このとき、フィルタリング部32は、アプリケーションデータ110の種類を指定する識別子であるポート番号をトランスポート層ヘッダ111から参照して、当該ポート番号がMXレコード問い合わせを含むアプリケーションデータがアプリケーションデータ110に格納されていることを示す値か否かを判定する。また、フィルタリング部32は、アプリケーションデータ110の内容を解析して、MXレコード問い合わせを示すデータであるか否かを判定する。そして、フィルタリング部32は、IPパケットがDNSサーバ3へのMXレコード問い合わせを含むものである場合には、当該IPパケットをパケットフック部31に渡さない。これにより、フィルタリング部32は、不正ソフトウェア実行部13によって作成されたアプリケーションデータ110を含むIPパケットの送信を遮断する。
When receiving an IP packet from the
一方、フィルタリング部32は、IPパケットがDNSサーバ3へのMXレコード問い合わせを含まない場合には、当該IPパケットをパケットフック部31に渡す。なお、メールデータのみならず、Webサイトを閲覧するためのWebサーバ名及びIPアドレスをDNSサーバ3に問い合わせる場合には、ポート番号及びアプリケーションデータ110であった場合には、フィルタリング部32によって受け取ったIPパケットをパケットフック部31に戻すことは勿論のことである。
On the other hand, when the IP packet does not include the MX record inquiry to the
つぎに、上述したように構成された端末1Aにおいて、端末1AからDNSサーバ3に対するMXレコード問い合わせを含むIPパケットを遮断する処理手順について図5のフローチャートを参照して説明する。
Next, a processing procedure for blocking an IP packet including an MX record inquiry from the terminal 1A to the
先ずパケットフック部31は、TCP/IP通信制御部22からIPパケットを横取りしてフィルタリング部32に渡すと、ステップS1において、フィルタリング部32は、当該IPパケットのトランスポート層ヘッダ111がUDPヘッダであるUDPパケットか否かを判定し、UDPパケットであると判定した場合には、ステップS2において、UDPヘッダに格納されているポート番号を取り出す。そして、このポート番号がネームサービスへの問い合わせを示す番号(DNSポート宛)であった場合には、ステップS6に処理を進め、そうでない場合には、ステップS3において、当該IPパケットをパケットフック部31を介して通信インターフェース部21に渡す。
First, when the
ステップS6において、フィルタリング部32は、UDPパケットのアプリケーションデータ110を解析して、当該アプリケーションデータ110が、DNSサーバ3へのMXレコード問い合わせであって、メールサーバ情報に対する問い合わせであるか否かを判定する。そして、MXレコード問い合わせであると判定した場合には、ステップS7において当該UDPパケットを破棄し、MXレコード問い合わせではない場合にはステップS3でIPパケットをDNSサーバ3に渡す。
In step S6, the
ここで、UDPパケットの場合、MXレコード問い合わせは、単一のパケットのアプリケーションデータ110として格納されているので、当該アプリケーションデータ110そのものがメールサーバ情報に対する問い合わせなのかを解析することになる。
Here, in the case of a UDP packet, the MX record inquiry is stored as the
また、ステップS1でUDPパケットではないと判定した場合には、ステップS4において、トランスポート層ヘッダ111がTCPヘッダか否かを判定し、TCPヘッダである場合には、ステップS5において、TCPヘッダに含まれるポート番号がネームサービスへの問い合わせを示す番号(DNSポート宛)であるか否かを判定する。そして、ポート番号がネームサービスへの問い合わせを示す番号であった場合にはステップS8に処理を進る。一方、トランスポート層ヘッダ111がTCPヘッダでない場合又はTCPヘッダであってもポート番号がネームサービスへの問い合わせを示す番号でない場合にはステップS3に処理を進める。
If it is determined in step S1 that it is not a UDP packet, it is determined in step S4 whether or not the
フィルタリング部32は、ステップS8において、アプリケーションデータ110にメールサーバのホスト名の問い合わせであるMXレコード問い合わせが含まれているか否かを判定する。そして、MXレコード問い合わせを含んでいる場合には、ステップS9において当該IPパケットを破棄し、ステップS10において、通信インターフェース部21からDNSサーバ3宛にFINパケットを送信させて端末1AとDNSサーバ3とのセッションを切断する。
In step S8, the
ここで、TCPに従って端末1Aの不正ソフトウェア実行部13がDNSサーバ3のDNSデータを取得する場合には、複数のIPパケットを使用する可能性があるので、当該複数のIPパケットのうち何れかでMXレコード問い合わせを含むIPパケットを検出できた場合には、セッション自体を切断する必要がある。また、ステップS8において、単一のIPパケットでMXレコード問い合わせがアプリケーションデータ110に含まれていることが判定できなくても、複数のIPパケットに亘ってポート番号の判定及びアプリケーションデータ110の解析を行って、端末1AからDNSサーバ3へのMXレコード問い合わせを検出しても良い。
Here, when the unauthorized
なお、端末1AからDNSサーバ3にメールサーバ情報を問い合わせる手法としては、MXレコードのみを指定する手法と、DNSサーバ3が持つすべての情報を問い合わせ、当該DNSサーバ3が持つ情報からメールサーバ情報のみを抽出する手法とがあるが、その何れかであっても、ステップS6及びステップS8で検出できるようにする。
In addition, as a method for inquiring mail server information from the terminal 1A to the
このように、本発明を適用した不正メールの遮断プログラムを実装した端末1Aによれば、パケットフック部31及びフィルタリング部32が実行するステップS1〜ステップS10の機能、すなわち、ステップS1,2とステップS4,5によって、パケットに含まれるアプリケーションデータの種類を指定する識別子を検出するアプリケーション識別子検出機能と、当該アプリケーション識別子検出機能によって検出した識別子が、ホスト名をネットワーク層アドレスに変換するネームサービスのアプリケーションを示すものであるかを検出するアプリケーション種類特定機能とを実現でき、ステップS6,8によって、当該アプリケーション種類特定機能によって特定されたアプリケーション種類がネームサービスであることが検出された場合に、パケットのアプリケーションデータに、メールサーバのネットワーク層アドレスを問い合わせるデータが含まれているか否かを判定するアプリケーションデータ判定機能を実現でき、ステップS7,9,10によって、アプリケーションデータ判定機能によってメールサーバのネットワーク層アドレスを問い合わせるデータが含まれていると判定された場合に、当該アプリケーションデータを含むパケットの送信を遮断するパケット遮断機能を実現できる。
As described above, according to the terminal 1A in which the illegal mail blocking program to which the present invention is applied is implemented, the functions of Step S1 to Step S10 executed by the
このように、不正メールの遮断プログラムによってパケットフック部31及びフィルタリング部32を構成することによって、不正ソフトウェア実行部13によって、メールサーバ名を問い合わせるタイプの不正なウイルスの動作を防止することができる。すなわち、ウィルスの内容が未知であっても、端末1AからDNSサーバ3へのMXレコード問い合わせを遮断でき、既知の不正ソフトウェアを定義ファイルとして格納しておかなくても、不正ソフトウェアの特徴的な動作を遮断することによって、不正メールの更なる伝染防止できる。また、この不正メールの遮断プログラムでは、通常のメールソフトの動作には影響を及ぼさずに、上記効果を実現できる。
In this way, by configuring the
つぎに、本発明を適用したパケットの検知機能及び遮断機能を、図6に示すように、端末とDNSサーバ3との間のゲートウェイ等の中間機器201,202によって検知して遮断することについて説明する。
Next, a description will be given of detecting and blocking a packet detection function and a blocking function to which the present invention is applied by
図7に示すように、通常、端末1Aとメールサーバ2とDNSサーバ3とを含むネットワークには、ネットワーク層アドレスを参照する中継装置であるルータ301,データリンク層アドレスを参照するブリッジ型機器302及びスイッチ303,スイッチ303で中継するデータを監視する横付け型機器304が存在する。また、DNSサーバ3の負荷を分散するために、DNSサーバ3の前段に、DNSサーバ3で送受信されるメッセージを中継するDNSプロキシ305が挿入されていることもある。このDNSプロキシ305は、アプリケーション層の処理を行う中継装置である。
As shown in FIG. 7, normally, in a network including the
このようなネットワークにおいて、コンピュータウイルスに端末1Aが感染すると、端末1AからDNSサーバ3宛にMXレコード問い合わせメッセージQ1が送信される。この不正なMXレコード問い合わせメッセージQ1は、図中点線で示すメッセージ伝送経路に沿って、ルータ301、ブリッジ型機器302、スイッチ303、DNSプロキシ305で中継されて、DNSサーバ3で受信されてしまう。また、不正なMXレコード問い合わせメッセージQ1は、横付け型機器304でも受信される。これに対し、メールサーバ2からDNSサーバ3宛の正当なMXレコード問い合わせメッセージQ2は、ルータ301、ブリッジ型機器302、スイッチ303、DNSプロキシ305によって中継されて、DNSサーバ3で受信される。
In such a network, when the
このように、データリンク層で動作するブリッジ型機器302、スイッチ303、ネットワーク層で動作するルータ301、横付け型機器304、アプリケーション層で動作するDNSプロキシ305は、正当なMXレコード問い合わせメッセージQ2のみならず、不正なMXレコード問い合わせメッセージQ1もDNSサーバ3に受信させてしまう。
As described above, the bridge-type device 302 operating in the data link layer, the switch 303, the
これに対し、上述の本発明を適用した不正な動作の検知機能及び遮断機能は、ルータ301,ブリッジ型機器302,スイッチ303,横付け型機器304,DNSプロキシ305,DNSサーバ3の何れかに実装しても、上述したようにメールサーバ名を問い合わせるタイプの不正なウイルスの動作を防止することができる。ここで、上述の端末1Aに不正な動作の検知機能を実装する場合とは異なり、ルータ301,ブリッジ型機器302,スイッチ303,DNSプロキシ305の中継装置及び横付け型機器304は、正当なMXレコード問い合わせメッセージQ2を確実に通過させるように設計する必要がある。
On the other hand, the illegal operation detection function and blocking function to which the present invention is applied are implemented in any one of the
以下、ネットワークを構成する機器に少なくとも不正な動作の検知機能を実装した実施の形態について説明する。 In the following, an embodiment in which at least an illegal operation detection function is implemented in devices constituting a network will be described.
先ず、DNSサーバ3(DNSプロキシ305)に不正な動作の検知機能を実装した場合について説明する。 First, a case where an illegal operation detection function is implemented in the DNS server 3 (DNS proxy 305) will be described.
DNSサーバ3は、図8に示すように、基本ソフトウェア実行部311、DNSサーバソフトウェア実行部312、設定インターフェース部313、MXレコード問い合わせ遮断部314が実装されている。
As shown in FIG. 8, the
DNSサーバソフトウェア実行部312は、メールサーバ2からMXレコード問い合わせメッセージを受信すると、当該MXレコード問い合わせメッセージに含まれるメールデータのドメイン名に対応したメール送信先のメールサーバ4のホスト名及びIPアドレスをDNSデータから取り出し、取り出したメールサーバ4のホスト名及びIPアドレスを含むMXレコード情報をメールサーバ2に返信させる。このようにDNSサーバソフトウェア実行部312は、メールサーバ2に対してホスト名をネットワーク層アドレスに変換するネームサービスを提供する処理を行う。
When the DNS server
通常、DNSサーバ3は、正当なMXレコード問い合わせメッセージQ2を通信インターフェース部321及びTCP/IP通信制御部322を介して受信すると、正当なMXレコード問い合わせメッセージQ2に対するMXレコード情報をDNSサーバソフトウェア実行部312で作成し、当該MXレコード情報を基本ソフトウェア実行部311に渡す。基本ソフトウェア実行部311は、TCP/IP通信制御部322によってMXレコード情報の先頭にトランスポート層ヘッダ,IP層ヘッダを付加したIPパケットを作成し、通信インターフェース部321によって当該IPパケットにリンク層ヘッダ等を付加して所定の変調処理等を施して、ネットワーク10に送出する。
Normally, when the
なお、DNSサーバソフトウェア実行部312をDNSプロキシソフトウェア実行部とした場合には、基本ソフトウェア実行部311から受信したMXレコード問い合わせメッセージを、別のDNSサーバ3に転送するために、通常、MXレコード問い合わせメッセージの宛先を変更してTCP/IP通信制御部322に渡す処理を行う。
Note that when the DNS server
DNSサーバ3は、不正なMXレコード問い合わせメッセージQ1を検知、遮断する機能部として、MXレコード問い合わせ遮断部314を備える。このMXレコード問い合わせ遮断部314は、MXレコード問い合わせメッセージがDNSサーバソフトウェア実行部312に渡される前に、MXレコード問い合わせメッセージを検知して、不正な場合に当該メッセージの通過、遮断又は管理者等への警告を行うかを判断する。このために、MXレコード問い合わせ遮断部314は、通信インターフェース部321で受信したMXレコード問い合わせメッセージを横取りするパケットフック部331と、検知部332と、動作設定データ記憶部333とを備える。
The
MXレコード問い合わせ遮断部314は、通信インターフェース部321でMXレコード問い合わせメッセージを受信すると、当該MXレコード問い合わせメッセージを横取りし、検知部332で不正なものであるかの検知を行う。このとき、検知部332は、動作設定データ記憶部333に記憶された動作設定データを参照する。
When the MX record inquiry message is received by the
この動作設定データは、図9に示すように、MXレコード問い合わせメッセージの送信元アドレス、マスク、アクション(動作内容)を対応付けて複数記憶している。この動作設定データには、送信元アドレスとして、MXレコード問い合わせメッセージを受け付けることを許可するメールサーバのアドレスを含んでいる。この動作設定データは、管理者の操作等によって設定インターフェース部313から入力されて、動作設定データ記憶部333に登録される。
As shown in FIG. 9, the operation setting data stores a plurality of MX record inquiry message transmission source addresses, masks, and actions (operation contents) in association with each other. This operation setting data includes the address of a mail server that is permitted to accept the MX record inquiry message as the source address. The operation setting data is input from the setting
検知部332は、通信インターフェース部321から横取りしたMXレコード問い合わせメッセージの宛先が、動作設定データの送信元アドレス及びマスクの何れかと合致するかを識別すると、当該送信元アドレス及びマスクに対応したアクションを識別する。
When the
そして、検知部332は、MXレコード問い合わせメッセージのDNSサーバソフトウェア実行部312への受け渡しを許可する場合には当該MXレコード問い合わせメッセージをパケットフック部331からTCP/IP通信制御部322を介してDNSサーバソフトウェア実行部312に送る。一方、MXレコード問い合わせメッセージのDNSサーバソフトウェア実行部312への受け渡しを遮断する場合には、当該MXレコード問い合わせメッセージをパケットフック部331に渡さずに破棄する。また、警告をすると判断した場合には、管理者へのメール送信等によってその旨を伝達する。
When the
また、動作設定データは、ネットワーク上の端末からのMXレコード問い合わせメッセージを破棄するように設定しても良い。また、DNSサーバ3とメールサーバとの間に存在しないことが登録されている中継装置からMXレコード問い合わせメッセージが送信された場合には、全てのMXレコード問い合わせメッセージを破棄するように設定しても良い。すなわち、検知部332は、動作設定データに含まれていない送信元アドレスのMXレコード問い合わせメッセージを受信した場合には、当該MXレコード問い合わせメッセージが不正なもので有るか否かの検知対象とはしないようにする。
The operation setting data may be set so as to discard the MX record inquiry message from the terminal on the network. In addition, when an MX record inquiry message is transmitted from a relay apparatus that is registered not to exist between the
このように構成されたDNSサーバ3(又はDNSプロキシ305)において、端末1AからDNSサーバ3に対するMXレコード問い合わせを遮断する処理手順について図10のフローチャートを参照して説明する。なお、以下のフローチャートの説明では、上述した処理と同じ処理については、同一のステップ番号を付することによりその詳細な説明を省略する。
With reference to the flowchart of FIG. 10, a description will be given of a processing procedure for blocking an MX record inquiry from the terminal 1A to the
先ずパケットフック部331は、通信インターフェース部321から受信パケットを横取りして検知部332に渡すと、ステップS1において、検知部332は、当該受信パケットのトランスポート層ヘッダがUDPヘッダであるUDPパケットか否かを判定し、UDPパケットであると判定した場合には、ステップS2において、UDPヘッダに格納されているポート番号を取り出す。そして、このポート番号がネームサービスへの問い合わせを示す番号(DNSポート宛)であった場合には、ステップS6に処理を進め、そうでない場合には、ステップS14において、当該受信パケットをパケットフック部331を介してTCP/IP通信制御部322に渡す。
First, when the
ステップS6において、検知部332は、UDPパケットのアプリケーションデータを解析して、当該アプリケーションデータが、MXレコード問い合わせメッセージであって、メールサーバ情報に対する問い合わせであるか否かを判定する。そして、MXレコード問い合わせメッセージであると判定した場合には、ステップS11において、動作設定データを参照して、受信したMXレコード問い合わせメッセージの送信元アドレスに対する動作を判定する。
In step S6, the
そして、検知部332は、MXレコード問い合わせメッセージに対するMXレコード情報の返信を許可すると判定した場合には、当該UDPパケットをTCP/IP通信制御部322に受け渡して、MXレコード問い合わせメッセージをDNSサーバソフトウェア実行部312に渡させて処理を終了する。一方、当該MXレコード問い合わせメッセージを破棄すると判定した場合にはステップS13において、当該UDPパケットを破棄して処理を終了する。また、警告を発すると判定した場合には、ステップS12において、管理者等に警告メール等を送信して、UDPパケットをTCP/IP通信制御部322に渡して、DNSサーバソフトウェア実行部312に渡させて処理を終了する。
If the
一方、ステップS1で受信パケットがUDPパケットではない場合には、ステップS4において受信パケットがTCPパケットであるかを判定し、ステップS5において受信パケットのポート番号を取り出して、DNSポート宛であるかを判定する。そして、ステップS4で受信パケットがTCPパケットではないと判定された場合、又は、ステップS5でDNSポート宛ではないと判定した場合、受信パケットをパケットフック部331からTCP/IP通信制御部322に渡して処理を終了する。
On the other hand, if the received packet is not a UDP packet in step S1, it is determined in step S4 whether the received packet is a TCP packet. In step S5, the port number of the received packet is extracted to determine whether it is destined for the DNS port. judge. If it is determined in step S4 that the received packet is not a TCP packet, or if it is determined in step S5 that it is not destined for the DNS port, the received packet is passed from the
また、検知部332は、ステップS4で受信パケットがTCPパケットであり、ステップS5でDNSポート宛であると判定した場合には、ステップS8において、TCPパケットのアプリケーションデータにメールサーバのホスト名の問い合わせであるMXレコード問い合わせが含まれているか否かを判定し、MXレコード問い合わせメッセージを含んでいない場合には、ステップS14でMXレコード問い合わせメッセージをパケットフック部331からTCP/IP通信制御部322に渡す。一方、MXレコード問い合わせを含んでいる場合には、ステップS15において、動作設定データを参照して送信元アドレスに対する動作を判定する。
If the
そして、検知部332は、MXレコード問い合わせメッセージに対するMXレコード情報の返信を許可すると判定した場合には、当該MXレコード問い合わせメッセージをTCP/IP通信制御部322に受け渡して、DNSサーバソフトウェア実行部312に渡させて処理を終了する。一方、当該MXレコード問い合わせメッセージを破棄すると判定した場合にはステップS17において、当該TCPパケットを破棄し、更にステップS18でTCPセッションを切断して処理を終了する。また、警告を発すると判定した場合には、ステップS16において、管理者等に警告メール等を送信して、MXレコード問い合わせメッセージをTCP/IP通信制御部322に渡して、DNSサーバソフトウェア実行部312に渡させて処理を終了する。
If the
なお、この処理では、先ず、全てのMXレコード問い合わせメッセージについてポート番号がDNSポート宛であるかの確認、アプリケーションデータがMXレコード問い合わせメッセージであるかの確認をした後に、送信元アドレスと動作設定データの送信元アドレスとを比較してアクションを決定しているが、これに限らず、先ず、動作設定データにメールサーバ等の正当な送信元アドレスのみを登録しておき、MXレコード問い合わせメッセージの送信元アドレスが動作設定データの送信元アドレスに含まれていない場合にはポート番号及びアプリケーションデータの検知対象から除外するようにしても良い。 In this process, first, it is confirmed whether the port number is addressed to the DNS port for all MX record inquiry messages, and after confirming whether the application data is the MX record inquiry message, the transmission source address and the operation setting data are set. The action is determined by comparing the source address of the mail server. However, the present invention is not limited to this. First, only a valid source address such as a mail server is registered in the operation setting data, and the MX record inquiry message is transmitted. When the original address is not included in the transmission source address of the operation setting data, it may be excluded from the port number and application data detection targets.
このように、本発明を適用したDNSサーバ3(又はDNSプロキシ305)によれば、予め動作設定データ記憶部333に不正又は正当なMXレコード問い合わせメッセージを識別する動作設定データを記憶させておくので、不正な端末1AからのMXレコード問い合わせメッセージを検知及び遮断できる。
As described above, according to the DNS server 3 (or DNS proxy 305) to which the present invention is applied, the operation setting data for identifying an unauthorized or legitimate MX record inquiry message is stored in the operation setting
また、DNSサーバ3(又はDNSプロキシ305)は、図11に示すように、DNSサーバソフトウェア実行部312でMXレコード問い合わせメッセージを受信した時に、DNSサーバソフトウェア実行部312で動作設定データを参照して、MXレコード問い合わせメッセージに対する動作を決定しても良い。
Further, as shown in FIG. 11, when the DNS server
このDNSサーバ3(又はDNSプロキシ305)の動作は、図12に示すように、先ず、DNSサーバソフトウェア実行部312でメッセージを受信すると、ステップS6において当該メッセージがMXレコード問い合わせメッセージであるか否かを判定し、そうである場合には、ステップS11でMXレコード問い合わせメッセージの送信元アドレスをTCP/IP通信制御部322から取得し、当該送信元アドレスと動作設定データとを比較して、MXレコード問い合わせメッセージに対する動作を判定する。
As shown in FIG. 12, the operation of the DNS server 3 (or DNS proxy 305) is as follows. First, when a message is received by the DNS server
そして、DNSサーバソフトウェア実行部312は、受信した送信元アドレスが、MXレコード問い合わせメッセージに対してMXレコード情報の返信が許可されたものであると判定した場合には、ステップS21において、MXレコード情報の応答を行う。一方、受信した送信元アドレスが、MXレコード問い合わせメッセージを遮断するものであると判定した場合には、ステップS13に処理を進めてMXレコード問い合わせメッセージを破棄して処理を終了する。更に、受信した送信元アドレスが、警告を発するものであると判定した場合にはステップS21に処理を進めて、警告メール等を送信した上で、MXレコード問い合わせメッセージの応答を行う。
When the DNS server
このように、MXレコード問い合わせ遮断部314でMXレコード問い合わせメッセージに対する処理を行うのみならず、DNSサーバ3及びアプリケーション層の中継装置によって、アプリケーション層でMXレコード問い合わせメッセージが不正であるかを判断する処理を行うこともでき、これによっても、上述と同様に不正なMXレコード問い合わせメッセージを検知及び遮断できることに加えて、MXレコード情報の送信を遮断できる。また、このDNSサーバ3及びDNSプロキシ305は、不正な動作によって端末1AからDNSサーバ3にMXレコード問い合わせメッセージが送信されている恐れがある場合に、当該端末1Aの送信元アドレスを管理者等に通知することができる。
As described above, the MX record
つぎに、ルータ301、ブリッジ型機器302、スイッチ303といったネットワーク層の中継装置、データリンク層の中継装置に不正なMXレコード問い合わせメッセージの検知機能を実装した場合について説明する。以下、ルータ301、ブリッジ型機器302、スイッチ303を総称して、単に中継装置と呼ぶ。
Next, a case where an unauthorized MX record inquiry message detection function is implemented in a network layer relay device such as the
中継装置は、図13に示すように、基本ソフトウェア実行部341、MXレコード問い合わせ遮断部342、設定インターフェース部343が実装されている。この中継装置がルータ301である場合、基本ソフトウェア実行部341の通信インターフェース部351でパケットを受信すると、TCP/IP通信制御部352によってルーティングテーブル等を参照してインターネット層のルーティング処理を行って通信インターフェース部351から転送させる。また、中継装置がブリッジ型機器302、スイッチ303のデータリンク層の中継装置である場合、基本ソフトウェア実行部341の通信インターフェース部351でパケットを受信すると、イーサネット(登録商標)通信制御部352によってアドレステーブル等を参照してデータリンク層の処理を行って通信インターフェース部351から転送させる。
As shown in FIG. 13, the relay device includes a basic
このような中継装置は、MXレコード問い合わせメッセージをパケットフック部361を介して検知部362で検知すると、動作設定データ記憶部363の動作設定データを参照して、MXレコード問い合わせメッセージの送信元アドレスによって当該MXレコード問い合わせメッセージに対する動作を決定する。また、この動作設定データも上述と同様に、設定インターフェース部343を介して設定される。
When such a relay device detects the MX record inquiry message by the
この動作設定データは、図9に示したように、MXレコード問い合わせメッセージの送信元アドレス、マスク、アクション(動作内容)を対応付けて複数記憶している。この動作設定データには、送信元アドレスとして、MXレコード問い合わせメッセージを受け付けることを許可するメールサーバのアドレスと、ネットワーク上の端末のアドレスとを含んでいる。また、メールサーバとDNSサーバ3との間の経路上に存在しないとして登録されている他の中継装置からのMXレコード問い合わせメッセージについては、全てのMXレコード問い合わせメッセージを破棄するように設定しても良い。この動作設定データは、管理者の操作等によって設定インターフェース部313から入力されて、動作設定データ記憶部333に登録される。
As shown in FIG. 9, the operation setting data stores a plurality of MX record inquiry message transmission source addresses, masks, and actions (operation contents) in association with each other. This operation setting data includes, as a transmission source address, the address of a mail server that is permitted to accept the MX record inquiry message and the address of a terminal on the network. Further, MX record inquiry messages from other relay apparatuses registered as not existing on the route between the mail server and the
また、この中継装置は、図10に示したように、検知部362によって、トランスポート層のポート番号を検出して、当該ポート番号がDNSポート宛かを判定し(ステップS1,2,4,5)、そうである場合に、パケットのアプリケーションデータとしてMXレコード問い合わせメッセージが格納されている場合に(ステップS6,8)、送信元アドレスを動作設定データで判定する(ステップS11,15)。そして、中継装置は、動作設定データを参照して得た動作によって、MXレコード問い合わせメッセージの転送(ステップS14)、パケットの破棄(ステップS13,17)、警告(ステップS12,16)を行う。
Further, as shown in FIG. 10, the relay device detects the port number of the transport layer by the
このように、ネットワーク層やデータリンク層の中継装置によって、不正なMXレコード問い合わせメッセージの検知及び遮断を行うこともでき、これによっても、上述と同様にDNSサーバ3への不正なMXレコード問い合わせメッセージへの送信を検知及び転送の遮断ができる。また、この中継装置は、不正な動作によって端末1AからDNSサーバ3にMXレコード問い合わせメッセージが送信されている恐れがある場合に、当該端末1Aの送信元アドレスを管理者等に通知することができる。
In this way, an illegal MX record inquiry message can be detected and blocked by a relay device in the network layer or data link layer, and this also makes an illegal MX record inquiry message to the
つぎに、横付け型機器304に不正な動作の検知機能を実装した場合について説明する。
Next, a case where an improper operation detection function is implemented in the
横付け型機器304は、図14に示すように、基本ソフトウェア実行部371、MXレコード問い合わせ遮断部372、設定インターフェース部373が実装されている。この横付け型機器304は、ブリッジ型機器302、スイッチ303等のデータリンク層の中継装置で転送するパケットを通信インターフェース部381で受信して、MXレコード問い合わせ遮断部372のパケットキャプチャ部391で受信する。
As shown in FIG. 14, the
この横付け型機器304は、パケットをパケットキャプチャ部391を介して検知部392で受け取ると、動作設定データ記憶部393の動作設定データを参照して、MXレコード問い合わせメッセージの送信元アドレスによって当該MXレコード問い合わせメッセージに対する動作を決定する。この動作設定データは、MXレコード問い合わせメッセージを出力することが正当なメールサーバ等や、MXレコード問い合わせメッセージを出力することが不正な端末等の送信元アドレスと、送信元アドレス及びマスクに対応した動作として、警告を発するか否かのみが設定されている。
When the
この横付け型機器304は、図15に示すように、検知部392によって、トランスポート層のポート番号を検出して、当該ポート番号がDNSポート宛かを判定し(ステップS1,2,4,5)、そうである場合に、パケットのアプリケーションデータとしてMXレコード問い合わせメッセージが格納されている場合に(ステップS6,8)、送信元アドレスを動作設定データで判定する(ステップS11,15)。そして、横付け型機器304は、動作設定データを参照して、送信元アドレスが正当なものである場合には警告を発せずに処理を終了し、送信元アドレスが不正なものである場合には、ステップS31,32によって警告メール等を管理者宛に送信する。
As shown in FIG. 15, the
このように、横付け型機器304によって、MXレコード問い合わせメッセージに対する処理を行うこともでき、これによっても、上述と同様に端末1AからDNSサーバ3への不正なMXレコード問い合わせメッセージへの送信を検知して、管理者等に不正な端末1Aが存在し且つ当該端末1Aの送信元アドレスを通知することができる。
In this way, the
なお、上述の実施の形態は本発明の一例である。このため、本発明は、上述の実施形態に限定されることはなく、この実施の形態以外であっても、本発明に係る技術的思想を逸脱しない範囲であれば、設計等に応じて種々の変更が可能であることは勿論である。 The above-described embodiment is an example of the present invention. For this reason, the present invention is not limited to the above-described embodiment, and various modifications can be made depending on the design and the like as long as the technical idea according to the present invention is not deviated from this embodiment. Of course, it is possible to change.
すなわち、上述した実施の形態では、DNSサーバ3、DNSプロキシ305、ルータ301、ブリッジ型機器302、スイッチ303、横付け型機器304に不正なMXレコード問い合わせメッセージを検知して遮断する機能を実装した場合について説明したが、当該ネットワーク上の機器に不正なMXレコード問い合わせメッセージを検知する機能のみを実装し、当該不正なMXレコード問い合わせメッセージの受信又は転送を禁止するように、他のネットワーク上の機器のポートと閉じる等の制御をするようにしても良い。これによっても、上述と同様の効果を発揮できる。
That is, in the above-described embodiment, when the
また、上述した実施形態における不正な電子メールが配信されることを防止するため機能は、家電機器群がネットワーク接続されたホームネットワークや、設備装置群がネットワーク接続された設備ネットワークなどにも適用できる。例えば、ホームネットワークに接続されてアプリケーションとしてメール機能を具備する家電機器がコンピュータウィルスに感染した場合であっても、当該家電機器から外部ネットワークへと不正なコンピュータウィルスを含む電子メールが送信されることを防止することができる。 In addition, the function for preventing an unauthorized e-mail from being distributed in the above-described embodiment can be applied to a home network in which home appliance groups are connected to a network, an equipment network in which equipment groups are connected to a network, and the like. . For example, even when a home appliance that is connected to a home network and has an email function as an application is infected with a computer virus, an email containing an unauthorized computer virus is transmitted from the home appliance to the external network. Can be prevented.
ここで、ホームネットワークを構築する技術としては、ECHOネットの他、エミット(EMIT(Embedded Micro Internetworking Technology))と称される機器組み込み型ネットワーク技術などがあげられる。この組み込み型ネットワーク技術は、ネットワーク機器にEMITミドルウェアを組み込んでネットワークに接続できる機能を備え、EMIT技術と称されている。 Here, as a technology for constructing a home network, in addition to the ECHO network, an embedded network technology called EMIT (Embedded Micro Internetworking Technology) can be used. This embedded network technology has a function of incorporating EMIT middleware into a network device and connecting it to a network, and is called EMIT technology.
より具体的には、上述した不正な電子メールが送信されることを防止する機能を有する端末、ネットワークを構成する中継装置、横付け型機器にEMIT技術を実現するEMITソフトウェアを搭載し、当該EMITソフトウェアを搭載した端末、中継装置、横付け機器と、当該端末、中継装置、横付け機器を遠隔で制御又は監視するユーザ機器とをインターネット上に設けられたセンターサーバ(図示せず)を介して通信接続する。このユーザ機器は、例えば、携帯電話、PC(Personal Computer)、PDA(Personal Digital Assistant)、PHS(Personal Handy phone System)等の外部端末(図示せず)である。 More specifically, EMIT software for realizing EMIT technology is installed in a terminal having a function to prevent the above-described unauthorized e-mail from being transmitted, a relay device constituting a network, and a horizontal device, and the EMIT software. A terminal, a relay device, and a horizontal device on which the terminal is mounted and a user device that remotely controls or monitors the terminal, the relay device, and the horizontal device are connected via a center server (not shown) provided on the Internet. . This user device is, for example, an external terminal (not shown) such as a mobile phone, a PC (Personal Computer), a PDA (Personal Digital Assistant), or a PHS (Personal Handy phone System).
このようなEMIT技術を実装したシステムによれば、ユーザ機器は、端末、中継装置、横付け機器によってメールサーバ名のネットワーク層アドレスを問い合わせるメッセージをどのくらいの頻度で検知したかを遠隔監視でき、不正な電子メールを遮断又は警報する送信元アドレスを追加制御したり、検知対象にしないメールサーバのアドレス情報を遠隔で追加することができる。 According to such a system in which EMIT technology is implemented, a user device can remotely monitor how often a message for inquiring a network layer address of a mail server name is detected by a terminal, a relay device, or a horizontal device, It is possible to additionally control a source address for blocking or alarming an electronic mail, or to add address information of a mail server that is not a detection target remotely.
1 端末
2,4 メールサーバ
3 DNSサーバ
4 メールサーバ
10 ネットワーク
11 基本ソフトウェア実行部
12 アプリケーションソフトウェア実行部
13 不正ソフトウェア実行部
21 通信インターフェース部
22 TCP/IP通信制御部
31 パケットフック部
32 フィルタリング部
1
Claims (8)
前記ネットワーク上のクライアントコンピュータから送信されるパケットに含まれるアプリケーションデータの種類を指定する識別子を検出するアプリケーション識別子検出手段と、
前記アプリケーション識別子検出手段によって検出した識別子が、ホスト名をネットワーク層アドレスに変換するネームサービスのアプリケーションを示すものであるかを検出するアプリケーション種類特定手段と、
前記アプリケーション種類特定手段によって特定されたアプリケーション種類がネームサービスであることが検出された場合に、前記パケットのアプリケーションデータに、メールサーバのネットワーク層アドレスを問い合わせるデータが含まれているか否かを検知するデータ検知手段と
を備えることを特徴とするパケット検知装置。 A packet detection device that detects a packet for inquiring information identifying a mail server among packets transmitted over a network,
Application identifier detection means for detecting an identifier for specifying the type of application data included in a packet transmitted from a client computer on the network;
Application type specifying means for detecting whether the identifier detected by the application identifier detecting means indicates a name service application for converting a host name into a network layer address;
When it is detected that the application type specified by the application type specifying unit is a name service, it is detected whether or not the application data of the packet includes data for inquiring the network layer address of the mail server. A packet detection device comprising: a data detection means.
前記ネットワークから送信されるパケットに含まれるネットワーク層の送信元アドレスと、前記サーバアドレス格納手段に格納されたアドレスとを比較して、当該送信元アドレスが前記サーバアドレス格納手段に格納されている場合に、当該パケットを検知対象とはしないことを特徴とする請求項1に記載のパケット検知装置。 Server address storage means for storing the address in the network layer of the mail server that inquires about the network layer address of another mail server,
When the source address of the network layer included in the packet transmitted from the network is compared with the address stored in the server address storage means, and the source address is stored in the server address storage means The packet detection apparatus according to claim 1, wherein the packet is not a detection target.
を特徴とする請求項1又は請求項2に記載のパケット検知装置。 A packet blocking means for blocking transmission of a packet including the application data when the data detecting means detects that data for inquiring a network layer address of a mail server is included. The packet detection apparatus according to claim 1 or 2.
を特徴とする請求項1又は請求項2に記載のパケット検知装置。 When the data detecting means detects that data inquiring the network layer address of the mail server is included, the data detecting means further comprises warning means for warning that a packet including the application data is transmitted. The packet detection apparatus according to claim 1 or 2.
受信したメッセージの送信元アドレスを取得し、当該送信元アドレスと、予めサーバアドレス格納手段に格納した他のメールサーバのネットワーク層アドレスを問い合わせるメールサーバのネットワーク層におけるアドレスとを比較して、前記サーバアドレス格納手段に格納されていない送信元アドレスで送信されたメッセージを検知するメッセージ検知機能と、
前記メッセージ検知機能によって検知された前記サーバアドレス格納手段に格納されていない送信元アドレスで送信されたメッセージが、前記メールサーバのネットワーク層アドレスを問い合わせるデータであるか否かを検知するデータ検知機能と
を前記サーバ装置又は前記プロキシサーバ装置に実装させることを特徴とするメッセージ検知プログラム。 Of the messages received via the network, stored in the server device that responds to the message that inquires about the address in the network layer of the mail server, or the proxy server device that forwards the message sent to the server device. A message detection program for detecting a message for inquiring information identifying a server,
The server acquires the source address of the received message, compares the source address with the address in the network layer of the mail server that inquires about the network layer address of another mail server stored in the server address storage means in advance, and A message detection function for detecting a message transmitted at a source address not stored in the address storage means;
A data detection function for detecting whether a message transmitted with a source address not stored in the server address storage means detected by the message detection function is data for inquiring a network layer address of the mail server; Is installed on the server device or the proxy server device.
を特徴とする請求項5に記載のメッセージ検知プログラム。 The source address of the received message is other than the address in the network layer of the mail server stored in the server address storage means, and the message is data for inquiring the network layer address of the mail server by the data detection function. The message detection program according to claim 5, further comprising warning means for warning that the message is transmitted when detected.
コンピュータに、
当該コンピュータから送信されるパケットに含まれるアプリケーションデータの種類を指定する識別子を検出するアプリケーション識別子検出機能と、
前記アプリケーション識別子検出機能によって検出した識別子が、ホスト名をネットワーク層アドレスに変換するネームサービスのアプリケーションを示すものであるかを検出するアプリケーション種類特定機能と、
前記アプリケーション種類特定機能によって特定されたアプリケーション種類がネームサービスであることが検出された場合に、前記パケットのアプリケーションデータに、メールサーバのネットワーク層アドレスを問い合わせるデータが含まれているか否かを判定するアプリケーションデータ判定機能と、
前記アプリケーションデータ判定機能によってメールサーバのネットワーク層アドレスを問い合わせるデータが含まれていると判定された場合に、当該アプリケーションデータを含むパケットの送信を遮断するパケット遮断機能と
を実装させる不正メールの遮断プログラム。 A fraudulent email detection program that prevents a computer virus from sending fraudulent emails to a computer,
On the computer,
An application identifier detection function for detecting an identifier that specifies the type of application data included in a packet transmitted from the computer;
An application type identification function for detecting whether the identifier detected by the application identifier detection function indicates a name service application that converts a host name into a network layer address;
When it is detected that the application type specified by the application type specifying function is a name service, it is determined whether the application data of the packet includes data for inquiring the network layer address of the mail server. Application data judgment function,
A fraudulent mail blocking program that implements a packet blocking function that blocks transmission of packets including the application data when it is determined by the application data determination function that data for inquiring the network layer address of the mail server is included. .
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005349609A JP2007102747A (en) | 2005-09-09 | 2005-12-02 | Packet detector, message detection program, shutdown program of unauthorized e-mail |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005262998 | 2005-09-09 | ||
JP2005349609A JP2007102747A (en) | 2005-09-09 | 2005-12-02 | Packet detector, message detection program, shutdown program of unauthorized e-mail |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2007102747A true JP2007102747A (en) | 2007-04-19 |
Family
ID=38029590
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005349609A Pending JP2007102747A (en) | 2005-09-09 | 2005-12-02 | Packet detector, message detection program, shutdown program of unauthorized e-mail |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2007102747A (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101953131A (en) * | 2008-02-25 | 2011-01-19 | 吉林克斯公司 | The block boundary that is used for wireless communication system detects |
JP2013517726A (en) * | 2010-01-19 | 2013-05-16 | アルカテル−ルーセント | Method and system for preventing DNS cache poisoning |
US11818094B1 (en) * | 2022-08-29 | 2023-11-14 | Zixcorp Systems, Inc. | Systems and methods for synchronizing hostnames and IP addresses in email systems |
-
2005
- 2005-12-02 JP JP2005349609A patent/JP2007102747A/en active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101953131A (en) * | 2008-02-25 | 2011-01-19 | 吉林克斯公司 | The block boundary that is used for wireless communication system detects |
JP2013517726A (en) * | 2010-01-19 | 2013-05-16 | アルカテル−ルーセント | Method and system for preventing DNS cache poisoning |
US11818094B1 (en) * | 2022-08-29 | 2023-11-14 | Zixcorp Systems, Inc. | Systems and methods for synchronizing hostnames and IP addresses in email systems |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105743878B (en) | Dynamic service handling using honeypots | |
US8667582B2 (en) | System, method, and computer program product for directing predetermined network traffic to a honeypot | |
US10419378B2 (en) | Net-based email filtering | |
US20090320135A1 (en) | System and method for network edge data protection | |
JP2006319982A (en) | Worm-specifying and non-activating method and apparatus in communications network | |
JP2008177714A (en) | Network system, server, ddns server, and packet relay device | |
US20070143841A1 (en) | Defense device, defense method, defense program, and network-attack defense system | |
US20050180421A1 (en) | Source address-fabricated packet detection unit, source address-fabricated packet detection method, and source address-fabricated packet detection program | |
JP4082613B2 (en) | Device for restricting communication services | |
JP2008092465A (en) | Apparatus and method for managing/controlling connection of computer terminal to network for communication | |
JPWO2015174100A1 (en) | Packet transfer device, packet transfer system, and packet transfer method | |
US20080168563A1 (en) | Storage medium storing terminal identifying program terminal identifying apparatus, and mail system | |
JP2007102747A (en) | Packet detector, message detection program, shutdown program of unauthorized e-mail | |
JP2007266931A (en) | Communication interruption apparatus, and communication interruption program | |
KR101088867B1 (en) | Network switch and security notification method therein | |
Yamanoue et al. | A malicious bot capturing system using a beneficial bot and Wiki | |
JP2007264990A (en) | Automatic notification device of illegal communication and automatic notification program of unauthorized communication | |
JP4542053B2 (en) | Packet relay apparatus, packet relay method, and packet relay program | |
JP5267893B2 (en) | Network monitoring system, network monitoring method, and network monitoring program | |
JP6938205B2 (en) | Access control system | |
WO2004051946A1 (en) | Source address spoofing packet detecting apparatus, source address spoofing packet detecting method, and source address spoofing packet detecting program | |
JP2006023934A (en) | Method and system for protecting against denial-of-service attack | |
JP4710889B2 (en) | Attack packet countermeasure system, attack packet countermeasure method, attack packet countermeasure apparatus, and attack packet countermeasure program | |
JP2007174386A (en) | Illegal mail detecting system | |
JP2006165877A (en) | Communication system, communication method, and communication program |