JP2007251259A - Vpn通信検出方法及び装置 - Google Patents
Vpn通信検出方法及び装置 Download PDFInfo
- Publication number
- JP2007251259A JP2007251259A JP2006068004A JP2006068004A JP2007251259A JP 2007251259 A JP2007251259 A JP 2007251259A JP 2006068004 A JP2006068004 A JP 2006068004A JP 2006068004 A JP2006068004 A JP 2006068004A JP 2007251259 A JP2007251259 A JP 2007251259A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- node
- internal network
- vpn
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【解決手段】外部ネットワーク側から入力した内部ネットワーク上のノード宛てのパケット、及び内部ネットワーク側から入力した外部ネットワーク上のノード宛てのパケットを中継する際に遅延時間を挿入して、テスト対象のノードに対し応答要求パケットを送信してから、その応答パケットを受信するまでに要した応答時間を計測する。この応答時間が上記遅延時間の長さに応じて変化する場合には、テスト対象のノードが内部ネットワーク上のノードとVPN通信を行っているノードであると判定する。
【選択図】 図9
Description
"One Point Wall"、[online]、ネットエージェント社、[平成18年3月6日検索]、インターネット<URL:http://www.onepointwall.jp/>
図1に示すように、ノードBとノードCとの間でVPN(トンネル)通信を行っていて、ノードCまたはノードCが物理的に接続しているネットワークと内部ネットワークとの間で、VPNトンネルを経由してネットワークパケットが転送される。
ここでは例としてL3VPNで接続されたノードを検出する場合の問題点について説明する。仮想的にはトンネルを経由して外部にいるノードと内部ネットワークとの間の通信を行うが、実際にはカプセル化されたパケットがルータRAを経由して外部にいるノードとやりとりされる。
前記ネットワーク構成において、トンネル通信としてL2VPNを使用している場合の例を示す。
次に、以下の実施形態の説明で用いるネットワーク構成例について説明する。ここでは、以下の条件を満たすネットワークを前提としている。
1.検出装置
図6は、本実施形態に係る検出装置1の構成例を示したものである。図6の検出装置1は、コネクション管理部101、判定部102、判定パケット送受信部103を含む。
この方法では、検出装置1が中継するパケット全てに遅延を挿入し、挿入した遅延とテスト対象のノードへ応答を要求するパケット(検出用パケット)を送信してから、その応答パケットが返ってくるまでに要する時間(応答時間)との相関をみることで、テスト対象のノードが外部ネットワーク上のノードであり、VPNトンネル経由で内部ネットワークと接続しているか否かを検出する。
この方法では、検出装置1が中継するパケット全てを破棄し、破棄した場合と破棄しない場合の、テスト対象のノードへの当該パケットの到達性を比較することで、テスト対象のノードが外部ネットワーク上のノードであり、VPNトンネル経由で内部ネットワークと接続しているか否かを検出する。
この方法では、検出装置1が中継するパケットのうち、パケットの種類毎に(例えば、テスト対象のパケットとして選択されたパケットに)遅延を挿入し、挿入した遅延とテスト対象のノードへ応答を要求するパケット(検出用パケット)を送信してから、その応答パケットが反ってくるまでに要する時間(応答時間)との相関をみることで、テスト対象のノードが外部ネットワーク上のノードであり、VPNトンネル経由で内部ネットワークと接続しているか否かを検出する。そして、これが検出できた場合、その際に遅延を挿入したパケットがテスト対象のノードとの間のVPNパケットであると判定できる。
以下、図19に示すシーケンス図を参照して、コネクション監視動作について説明する。ここでは、検出装置1には、予めテスト対象のノード(ここでは、ノードC)のMACアドレス、IPアドレスが与えられる。
次に、検出装置1において、図20に示したコネクション管理テーブルを用いて、VPN経由で接続されているノードと、VPN通信のパケットとを検出するための検出方法について説明する。
この方法では、検出装置1が中継するパケットのうち、予め指定及び選択された種類のパケットを破棄した場合と破棄しなかった場合とで、テスト対象のノードへの当該パケットの到達性を比較することで、テスト対象のノードが外部ネットワーク上のノードであり、VPNトンネル経由で内部ネットワークと接続しているか否かを検出する。そして、これが検出できた場合、その際に破棄したパケットのなかにテスト対象との間のVPNパケットが含まれていると判定できる。
次に、以上説明した第3及び第4の検出方法の適用例について説明する。
上記第1の実施形態では、検出装置1が、コネクション管理部101と、判定部102と、判定パケット送受信部103を備えている場合を示した。
図32は、第2の実施形態に係る検出装置2と中継装置RAの構成例を示したものである。なお、図32において、図6と同一部分には同一符号を付している。
まず、テスト対象のノードが、VPNトンネル経由で内部ネットワークと接続する外部ネットワーク上のノードCであるとき、外部ネットワークから内部ネットワークへ向かうパケットがコネクション管理部101を通過する際に、コネクション管理部101が当該パケットに遅延時間αを挿入する場合を例にとり、第2の実施形態における第1の検出方法について、図8、図34〜図36を参照して説明する。なお、図34〜図36のそれぞれにおいて、図11、図12、図9と同一部分には同一符号を付している。また、図34及び図35は、第2の実施形態に係るネットワーク内のデータの流れを説明するための図で、テスト対象のノードが内部ネットワークのノードとVPN通信を行っているノードである場合に、図34は、検出用パケットがノードCに到達するまでを示している。さらに、図35は、ノードCからの応答パケットが検出装置に到達するまでを示している。
次に、テスト対象のノードが、VPNトンネル経由で内部ネットワークと接続する外部ネットワーク上のノードCであるとき、ルータRAを通過するパケットをコネクション管理部101が破棄する場合を例にとり、第2の実施形態における第2の検出方法について説明する。
次に、テスト対象のノードが、VPNトンネル経由で内部ネットワークと接続する外部ネットワーク上のノードCである場合を例にとり、第1の実施形態で説明した第3の検出方法を第2の実施形態に適用する場合について説明する。
次に、テスト対象のノードが、VPNトンネル経由で内部ネットワークと接続する外部ネットワーク上のノードCである場合を例にとり、第1の実施形態で説明した第4の検出方法を第2の実施形態に適用する場合について説明する。
上記第1及び第2の実施形態において、内部ネットワークから外部ネットワークへの経路が複数ある場合は、以下のような方法で検出を行うことができる。
外部ネットワークへの全ての経路上に検出装置を設置することで検出が可能になる。そうしないと、VPN通信が検出装置1を設置していない経路で外部と接続する場合に検知できなくなってしまうため、全ての経路上に設置する必要がある。
さらに、それぞれの検出装置1が連携して動作する必要がある。例えば、第1の実施形態における第1の検出方法では、内部ネットワークに設置された全ての検出装置1が同時に遅延を挿入する必要がある。
外部ネットワークへの全ての経路上にある全ての中継装置が、コネクション管理部101を備え、内部ネットワーク上の検出装置2からの指示を受けて、前述の動作を行う必要がある。
第1及び第2の実施形態における、第3及び第4の検出方法において、検出装置1あるいは中継装置内のコネクション管理部101を通過する全ての種類のパケットをテスト対象としても、VPN通信の検出(パケット及びノードの検出)は可能であるが、パケットの種類が多い(コネクション数が多い)と検出処理の処理量が多く、実施が難しい場合が考えられる。
・暗号化されていると思われるパケット
・未知のプロトコル(プロトコル番号が未知のもの、ヘッダが未知なもの)
暗号化されているかどうかは、パケット中のデータのエントロピーを調べることで、暗号化された通信かどうかを推定することができる。
Claims (22)
- 内部ネットワークと外部ネットワークとが中継装置で接続されたネットワークにおいて、前記内部ネットワーク上のノードと前記外部ネットワーク上のノードとの間のVPN(Virtual Private Network)通信を検出するためのVPN通信検出方法であって、
前記内部ネットワークに接続された検出装置が、テスト対象のノードに対し第1の応答要求パケットを送信する第1の送信ステップと、
前記中継装置あるいは前記検出装置が、前記外部ネットワーク側から入力した前記内部ネットワーク上のノード宛てのパケット及び前記内部ネットワーク側から入力した前記外部ネットワーク上のノード宛てのパケットのうちの少なくとも一方を、第1の遅延時間だけ遅らせて、前記内部ネットワーク上のノード宛てのパケットの場合には前記内部ネットワーク側へ出力し、前記外部ネットワーク上のノード宛てのパケットの場合には前記外部ネットワーク側へ出力する第1の遅延挿入ステップと、
前記検出装置が、前記第1の応答要求パケットに対する前記テスト対象のノードからの第1の応答パケットを受信する第1の受信ステップと、
前記検出装置が、前記第1の送信ステップで前記第1の応答要求パケットを送信してから前記第1の受信ステップで前記第1の応答パケットを受信するまでに要した第1の応答時間を計測する第1の計測ステップと、
前記内部ネットワークに接続された検出装置が、前記テスト対象のノードに対し第2の応答要求パケットを送信する第2の送信ステップと、
前記中継装置あるいは前記検出装置が、前記外部ネットワーク側から入力した前記内部ネットワーク上のノード宛てのパケット及び前記内部ネットワーク側から入力した前記外部ネットワーク上のノード宛てのパケットのうちの少なくとも一方を、前記第1の遅延時間とは異なる長さの第2の遅延時間だけ遅らせて、前記内部ネットワーク上のノード宛てのパケットの場合には前記内部ネットワーク側へ出力し、前記外部ネットワーク上のノード宛てのパケットの場合には前記外部ネットワーク側へ出力する第2の遅延挿入ステップと、
前記検出装置が、前記第2の応答要求パケットに対する前記テスト対象のノードからの第2の応答パケットを受信する第2の受信ステップと、
前記検出装置が、前記第2の送信ステップで前記第2の応答要求パケットを送信してから前記第2の受信ステップで前記第2の応答パケットを受信するまでに要した第2の応答時間を計測する第2の計測ステップと、
前記検出装置が、前記第1及び第2の応答時間が、前記第1及び第2の遅延時間の長さの違いに応じて変化しているとき、前記テスト対象のノードが前記内部ネットワーク上のノードとVPN通信を行っているノードであると判定する判定ステップと、
を含むVPN通信検出方法。 - 前記判定ステップは、前記第1及び第2の応答時間が、前記第1及び第2の遅延時間の長さの違いに関わらずほぼ一定であるとき、前記テスト対象のノードが前記内部ネットワーク上のノードとVPN通信を行っているノードではないと判定することを特徴とする請求項1記載のVPN通信方法。
- 前記第1及び第2の遅延時間のうちのいずれか一方は、「0」秒であることを特徴とする請求項1記載のVPN通信方法。
- 前記テスト対象のノードが前記内部ネットワーク上のノードとVPN通信を行っているノードであると判定された場合、前記第1の応答時間は、前記第1の応答要求パケットが送信されてから、当該第1の応答要求パケットが前記内部ネットワーク上のノード及び前記中継装置を介して前記テスト対象のノードに到達し、さらに当該テスト対象のノードから送信された前記第1の応答パケットが前記中継装置及び前記内部ネットワーク上のノードを介して前記検出装置へ到達するまでに要する時間であり、当該第1の応答時間には前記第1の遅延時間が含まれていることを特徴とする請求項1記載のVPN通信検出方法。
- 内部ネットワークと外部ネットワークとが中継装置で接続されたネットワークにおいて、前記内部ネットワーク上のノードと前記外部ネットワーク上のノードとの間のVPN(Virtual Private Network)通信を検出するためのVPN通信検出方法であって、
前記中継装置あるいは前記内部ネットワークに接続された検出装置は、前記外部ネットワーク側から入力した前記内部ネットワーク上のノード宛てのパケット、及び前記内部ネットワーク側から入力した前記外部ネットワーク上のノード宛てのパケットうちのいずれか一方あるいは両方を破棄するパケット破棄手段を用いてパケットを破棄するパケット破棄モードと、パケットの破棄を行わない通常モードとを有し、
前記中継装置あるいは前記内部ネットワークに接続された検出装置が、前記パケット破棄モードと前記通常モードのうち、前記パケット破棄モードに切り替えるステップと、
前記検出装置が、テスト対象のノードに対し応答要求パケットを送信する送信ステップと、
前記中継装置あるいは前記検出装置が前記パケット破棄モードのときに、前記応答要求パケットに対する前記テスト対象のノードからの応答パケットの受信の有無を検出する第1の検出ステップと、
前記中継装置あるいは前記検出装置が、前記パケット破棄モードと前記通常モードのうち、前記通常モードに切り替えるステップと、
前記中継装置あるいは前記検出装置が前記通常モードのときに、前記応答パケットの受信の有無を検出する第2の検出ステップと、
(a)前記第1の検出ステップで前記応答パケットの受信は検出されず、前記第2の検出ステップで前記応答パケットの受信が検出されたとき、前記テスト対象のノードは、前記内部ネットワーク上のノードとVPN通信を行っているノードであると判定し、(b)前記第1及び第2の検出ステップで前記応答パケットの受信が検出されたとき、前記テスト対象のノードは、前記内部ネットワーク上のノードとVPN通信を行っているノードではないと判定する判定ステップと、
を含むVPN通信検出方法。 - 前記第1及び第2の遅延挿入ステップは、
前記外部ネットワーク側から入力した前記内部ネットワーク上のノード宛てのパケット、及び前記内部ネットワーク側から入力した前記外部ネットワーク上のノード宛てのパケットのうち、宛先MACアドレス、送信元MACアドレス、宛先IPアドレス、送信元IPアドレス、プロトコル番号、宛先ポート番号及び送信元ポート番号のうちの少なくとも1つを含む属性情報により特定されるテスト対象のパケットを、前記遅延時間だけ遅らせて前記内部ネットワーク側あるいは前記外部ネットワーク側へ出力することを特徴とする請求項1記載のVPN通信検出方法。 - 前記パケット破棄手段は、前記外部ネットワーク側から入力した前記内部ネットワーク上のノード宛てのパケット、及び前記内部ネットワーク側から入力した前記外部ネットワーク上のノード宛てのパケットのうち、宛先MACアドレス、送信元MACアドレス、宛先IPアドレス、送信元IPアドレス、プロトコル番号、宛先ポート番号及び送信元ポート番号のうちの少なくとも1つを含む属性情報により特定されるテスト対象のパケットを破棄することを特徴とする請求項5記載のVPN通信検出方法。
- 前記判定ステップは、前記テスト対象のノードが前記内部ネットワーク上のノードとVPN通信を行っているノードであると判定した場合、当該テスト対象のパケットを前記テスト対象のノードとの間のVPN通信のパケットであると判定することを特徴とする請求項6または7記載のVPN通信検出方法。
- 前記中継装置あるいは前記検出装置は、前記外部ネットワーク側から入力した前記内部ネットワーク上のノード宛てのパケット、及び前記内部ネットワーク側から入力した前記外部ネットワーク上のノード宛てのパケットの前記属性情報を収集する収集ステップと、
収集された各パケットの属性情報を記憶手段に記憶するステップと、
をさらに含み、
前記記憶手段で記憶された各パケットの属性情報に基づき前記テスト対象のパケットが選択されることを特徴とする請求項6または7記載のVPN通信検出方法。 - 内部ネットワークと外部ネットワークとが接続されたネットワークにおいて、前記内部ネットワーク上のノードと前記外部ネットワーク上のノードとの間のVPN(Virtual Private Network)通信を検出するための前記内部ネットワークに接続されたVPN通信検出装置において、
テスト対象のノードに対し応答要求パケットを送信する送信手段と、
前記外部ネットワーク側から入力した前記内部ネットワーク上のノード宛てのパケット及び前記内部ネットワーク側から入力した前記外部ネットワーク上のノード宛てのパケットのうちの少なくとも一方を、異なる長さの複数の遅延時間のうちの指示された遅延時間だけ遅らせて、前記内部ネットワーク上のノード宛てのパケットの場合には前記内部ネットワーク側へ出力し、前記外部ネットワーク上のノード宛てのパケットの場合には前記外部ネットワーク側へ出力する遅延挿入手段と、
前記応答要求パケットに対する前記テスト対象のノードからの応答パケットを受信する受信手段と、
前記送信手段で前記応答要求パケットを送信してから前記受信手段で前記応答パケットを受信するまでに要した応答時間を計測する計測手段と、
前記遅延挿入手段で挿入する各遅延時間と、当該遅延挿入手段で当該遅延時間の挿入を行っているときに計測された前記応答時間との相関を基に、前記テスト対象のノードが前記内部ネットワーク上のノードとVPN通信を行っているノードであるか否かを判定する判定手段と、
を具備したことを特徴としたVPN通信検出装置。 - 前記判定手段は、前記応答時間が、挿入された前記遅延時間の長さの違いに応じて変化しているとき、前記テスト対象のノードは、前記内部ネットワーク上のノードとVPN通信を行っているノードであると判定することを特徴とする請求項10記載のVPN通信検出装置。
- 前記複数の遅延時間のうちの1つは、「0」秒であることを特徴とする請求項10記載のVPN通信検出方法。
- 前記判定手段は、前記応答時間が、挿入された前記遅延時間の長さにかかわらずほぼ一定であるとき、前記テスト対象のノードは、前記内部ネットワーク上のノードとVPN通信を行っているノードではないと判定することを特徴とする請求項10記載のVPN通信検出装置。
- 内部ネットワークと外部ネットワークとが接続されたネットワークにおいて、前記内部ネットワーク上のノードと前記外部ネットワーク上のノードとの間のVPN(Virtual Private Network)通信を検出するための前記内部ネットワークに接続されたVPN通信検出装置であって、
前記外部ネットワーク側から入力した前記内部ネットワーク上のノード宛てのパケット、及び前記内部ネットワーク側から入力した前記外部ネットワーク上のノード宛てのパケットうちのいずれか一方あるいは両方を破棄するパケット破棄手段を用いてパケットを破棄するパケット破棄モードと、パケットの破棄を行わない通常モードとのうちのいずれか一方に切り替える切替手段と、
テスト対象のノードに対し応答要求パケットを送信する送信手段と、
前記切替手段で前記パケット破棄モードに切り替えて、前記送信手段で送信された前記応答要求パケットに対する前記テスト対象のノードからの応答パケットの受信の有無を検出する第1の検出手段と、
前記切替手段で前記通常モードに切り替えて、前記送信手段で送信された前記応答要求パケットに対する前記テスト対象のノードからの応答パケットの受信の有無を検出する第2の検出手段と、
前記第1及び第2の検出手段での検出結果を基に、前記テスト対象のノードが、前記内部ネットワーク上のノードとVPN通信を行っているノードであるか否かを判定する判定手段と、
を具備したことを特徴としたVPN通信検出装置。 - 前記判定手段は、
前記第1の検出手段で前記応答パケットの受信は検出されず、前記第2の検出手段で前記応答パケットの受信が検出されたとき、前記テスト対象のノードは、前記内部ネットワーク上のノードとVPN通信を行っているノードであると判定することを特徴とする請求項14記載のVPN通信検出装置。 - 前記判定手段は、
前記第1及び第2の検出手段で前記応答パケットの受信が検出されたとき、前記テスト対象のノードは、前記内部ネットワーク上のノードとVPN通信を行っているノードではないと判定することを特徴とする請求項14記載のVPN通信検出装置。 - 前記遅延挿入手段は、
前記外部ネットワーク側から入力した前記内部ネットワーク上のノード宛てのパケット、及び前記内部ネットワーク側から入力した前記外部ネットワーク上のノード宛てのパケットのうち、宛先MACアドレス、送信元MACアドレス、宛先IPアドレス、送信元IPアドレス、プロトコル番号、宛先ポート番号及び送信元ポート番号のうちの少なくとも1つを含む属性情報により特定されるテスト対象のパケットを、前記遅延時間だけ遅らせて前記内部ネットワーク側あるいは前記外部ネットワーク側へ出力することを特徴とする請求項10記載のVPN通信検出装置。 - 前記パケット破棄手段は、前記外部ネットワーク側から入力した前記内部ネットワーク上のノード宛てのパケット、及び前記内部ネットワーク側から入力した前記外部ネットワーク上のノード宛てのパケットのうち、宛先MACアドレス、送信元MACアドレス、宛先IPアドレス、送信元IPアドレス、プロトコル番号、宛先ポート番号及び送信元ポート番号のうちの少なくとも1つを含む属性情報により特定されるテスト対象のパケットを破棄することを特徴とする請求項14記載のVPN通信検出方法。
- 前記判定手段は、前記テスト対象のノードが、前記内部ネットワーク上のノードとVPN通信を行っているノードであると判定した場合には、前記テスト対象のパケットを前記テスト対象のノードとの間のVPN通信のパケットであると判定することを特徴とする請求項17または18記載のVPN通信検出装置。
- 前記外部ネットワーク側から入力した前記内部ネットワーク上のノード宛てのパケット、及び前記内部ネットワーク側から入力した前記外部ネットワーク上のノード宛てのパケットの前記属性情報を収集する収集手段と、
収集された各パケットの属性情報を記憶する記憶手段と、
をさらに具備し、
前記記憶手段で記憶された各パケットの属性情報に基づき前記テスト対象のパケットが選択されることを特徴とする請求項17または18記載のVPN通信検出装置。 - 内部ネットワークと外部ネットワークとが中継装置を介して接続されたネットワークにおいて、前記内部ネットワーク上のノードと前記外部ネットワーク上のノードとの間のVPN(Virtual Private Network)通信を検出するための前記内部ネットワークに接続されたVPN通信検出装置において、
テスト対象のノードに対し応答要求パケットを送信する送信手段と、
前記応答要求パケットに対する前記テスト対象のノードからの応答パケットを受信する受信手段と、
前記送信手段で前記応答要求パケットを送信してから前記受信手段で前記応答パケットを受信するまでに要した応答時間を計測する計測手段と、
前記中継装置が、前記外部ネットワーク側から入力した前記内部ネットワーク上のノード宛てのパケット、及び前記内部ネットワーク側から入力した前記外部ネットワーク上のノード宛てのパケットを中継する際に挿入する遅延時間と前記応答時間との相関を基に、前記テスト対象のノードが前記内部ネットワーク上のノードとVPN通信を行っているノードであるか否かを判定する判定手段と、
を具備したことを特徴としたVPN検出装置。 - 内部ネットワークと外部ネットワークとが中継装置を介して接続されたネットワークにおいて、前記内部ネットワーク上のノードと前記外部ネットワーク上のノードとの間のVPN(Virtual Private Network)通信を検出するための前記内部ネットワークに接続されたVPN検出装置であって、
前記中継装置を、前記外部ネットワーク側から入力した前記内部ネットワーク上のノード宛てのパケット、及び前記内部ネットワーク側から入力した前記外部ネットワーク上のノード宛てのパケットうちのいずれか一方あるいは両方を破棄するパケット破棄モードと、パケットの破棄を行わない通常モードとのうちのいずれか一方に切り替える切替手段と、
テスト対象のノードに対し応答要求パケットを送信する送信手段と、
前記切替手段で前記中継装置を前記パケット破棄モードに切り替えて、前記送信手段で送信された前記応答要求パケットに対する前記テスト対象のノードからの応答パケットの受信の有無を検出する第1の検出手段と、
前記切替手段で前記中継装置を前記通常モードに切り替えて、前記送信手段で送信された前記応答要求パケットに対する前記テスト対象のノードからの応答パケットの受信の有無を検出する第2の検出手段と、
前記第1及び第2の検出手段での検出結果を基に、前記テスト対象のノードが、前記内部ネットワーク上のノードとVPN通信を行っているノードであるか否かを判定する判定手段と、
を具備したことを特徴としたVPN検出装置。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006068004A JP4509955B2 (ja) | 2006-03-13 | 2006-03-13 | Vpn通信検出方法及び装置 |
US11/716,883 US8149722B2 (en) | 2006-03-13 | 2007-03-12 | Method and apparatus for detecting VPN communication |
CNB2007100862855A CN100499561C (zh) | 2006-03-13 | 2007-03-13 | 用于探测虚拟专用网通信的方法和设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006068004A JP4509955B2 (ja) | 2006-03-13 | 2006-03-13 | Vpn通信検出方法及び装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007251259A true JP2007251259A (ja) | 2007-09-27 |
JP4509955B2 JP4509955B2 (ja) | 2010-07-21 |
Family
ID=38595137
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006068004A Expired - Fee Related JP4509955B2 (ja) | 2006-03-13 | 2006-03-13 | Vpn通信検出方法及び装置 |
Country Status (3)
Country | Link |
---|---|
US (1) | US8149722B2 (ja) |
JP (1) | JP4509955B2 (ja) |
CN (1) | CN100499561C (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102008049077A1 (de) | 2007-09-27 | 2009-04-02 | Hitachi, Ltd. | Vorrichtung und Verfahren zum Steuern und Regeln einer variablen Ventilvorrichtung |
US8737238B2 (en) | 2009-06-11 | 2014-05-27 | Nec Corporation | Congestion detecting method and communication node |
Families Citing this family (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4866335B2 (ja) * | 2007-11-28 | 2012-02-01 | 富士通株式会社 | 中継装置,試験装置,試験方法,及び試験プログラム |
SG153685A1 (en) * | 2007-12-17 | 2009-07-29 | Univ Nanyang | Peer-to-peer communication in wireless sensor network through delay response between packets |
JP2009290605A (ja) * | 2008-05-29 | 2009-12-10 | Fujitsu Ltd | 中継装置、中継方法および監視装置 |
US7916761B2 (en) * | 2008-11-03 | 2011-03-29 | The Boeing Company | Methods and apparatus for adding latency and jitter to selected network packets |
JP5212913B2 (ja) * | 2009-03-02 | 2013-06-19 | 日本電気株式会社 | Vpn接続システム、及びvpn接続方法 |
US8874741B2 (en) * | 2009-11-25 | 2014-10-28 | T-Mobile Usa, Inc. | Secured remote management of a home network |
US8531987B2 (en) * | 2009-12-29 | 2013-09-10 | Telecom Italia S.P.A. | Performing a time measurement in a communication network |
CN102812667B (zh) | 2010-02-23 | 2016-05-04 | Lg电子株式会社 | 用于发起家庭网络系统中的会话的方法和装置 |
US8615605B2 (en) * | 2010-10-22 | 2013-12-24 | Microsoft Corporation | Automatic identification of travel and non-travel network addresses |
US8634322B2 (en) * | 2012-02-18 | 2014-01-21 | Bank Of America Corporation | Apparatus and methods for adaptive network throttling |
CN103905510B (zh) | 2012-12-28 | 2018-04-27 | 深圳市腾讯计算机系统有限公司 | 一种数据包的处理方法及后台服务器 |
CN103490950B (zh) * | 2013-09-03 | 2017-12-22 | 深圳市迈腾电子有限公司 | 一种路由器pptp会话容量模拟方法 |
US9967183B2 (en) * | 2013-12-20 | 2018-05-08 | Huawei Technologies Co., Ltd. | Source routing with entropy-header |
US20150200843A1 (en) * | 2014-01-15 | 2015-07-16 | Cisco Technology, Inc. A Corporation Of California | Packet Labels For Identifying Synchronization Groups of Packets |
US9521219B2 (en) * | 2014-01-20 | 2016-12-13 | Echelon Corporation | Systems, methods, and apparatuses using common addressing |
US9813488B2 (en) * | 2014-06-25 | 2017-11-07 | Comcast Cable Communications, Llc | Detecting virtual private network usage |
US10038672B1 (en) | 2016-03-29 | 2018-07-31 | EMC IP Holding Company LLC | Virtual private network sessions generation |
CN105791032B (zh) * | 2016-05-04 | 2018-12-07 | 珠海格力电器股份有限公司 | 智能家电与移动终端之间传输协议的测试方法及装置 |
WO2018031951A1 (en) | 2016-08-11 | 2018-02-15 | Hopzero, Inc. | Method and system for limiting the range of data transmissions |
CN106487946B (zh) * | 2016-10-12 | 2019-11-19 | 重庆金美通信有限责任公司 | 一种大规模通信网络ip资源冲突检测方法、系统和设备 |
US10630657B2 (en) * | 2017-03-02 | 2020-04-21 | ColorTokens, Inc. | System and method for enhancing the security of data packets exchanged across a computer network |
CN106921540B (zh) * | 2017-04-14 | 2020-12-25 | 王蕴卓 | 一种测试UPnP功能及页面规则检查的方法及装置 |
US10469367B2 (en) | 2017-10-04 | 2019-11-05 | Cisco Technology, Inc. | Segment routing network processing of packets including operations signaling and processing of packets in manners providing processing and/or memory efficiencies |
US11177977B2 (en) | 2017-12-21 | 2021-11-16 | Arris Enterprises Llc | Method and system for GRE tunnel control based on client activity detection |
US11451973B2 (en) | 2020-09-23 | 2022-09-20 | T-Mobile Usa, Inc. | Simulating operation of a 5G wireless telecommunication network |
US11310146B1 (en) * | 2021-03-27 | 2022-04-19 | Netflow, UAB | System and method for optimal multiserver VPN routing |
CN115378838B (zh) * | 2022-08-24 | 2024-02-09 | 深圳市共进电子股份有限公司 | 测试路由器IPsec的方法、装置、介质及系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005184510A (ja) * | 2003-12-19 | 2005-07-07 | Fujitsu Ltd | ルータ |
JP2007194764A (ja) * | 2006-01-18 | 2007-08-02 | Hitachi Ltd | 運用管理システム |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050088977A1 (en) * | 2000-12-14 | 2005-04-28 | Nortel Networks Limited | Dynamic virtual private network (VPN) tunnel quality of service (QoS) treatment |
US6914886B2 (en) * | 2001-05-03 | 2005-07-05 | Radware Ltd. | Controlling traffic on links between autonomous systems |
CN1685687B (zh) * | 2002-09-30 | 2013-10-30 | 皇家飞利浦电子股份有限公司 | 确定目标节点对于源节点的邻近性的方法 |
US7631055B1 (en) * | 2003-04-23 | 2009-12-08 | Cisco Technology, Inc. | Method and apparatus providing automatic connection announcement from a modular network device to a network management point |
CA2544345A1 (en) * | 2003-10-31 | 2005-05-12 | Warner Bros. Entertainment Inc. | Method and system for limiting content diffusion to local receivers |
US7002943B2 (en) * | 2003-12-08 | 2006-02-21 | Airtight Networks, Inc. | Method and system for monitoring a selected region of an airspace associated with local area networks of computing devices |
US7877599B2 (en) * | 2004-05-28 | 2011-01-25 | Nokia Inc. | System, method and computer program product for updating the states of a firewall |
-
2006
- 2006-03-13 JP JP2006068004A patent/JP4509955B2/ja not_active Expired - Fee Related
-
2007
- 2007-03-12 US US11/716,883 patent/US8149722B2/en not_active Expired - Fee Related
- 2007-03-13 CN CNB2007100862855A patent/CN100499561C/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005184510A (ja) * | 2003-12-19 | 2005-07-07 | Fujitsu Ltd | ルータ |
JP2007194764A (ja) * | 2006-01-18 | 2007-08-02 | Hitachi Ltd | 運用管理システム |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102008049077A1 (de) | 2007-09-27 | 2009-04-02 | Hitachi, Ltd. | Vorrichtung und Verfahren zum Steuern und Regeln einer variablen Ventilvorrichtung |
US8737238B2 (en) | 2009-06-11 | 2014-05-27 | Nec Corporation | Congestion detecting method and communication node |
Also Published As
Publication number | Publication date |
---|---|
US8149722B2 (en) | 2012-04-03 |
US20070280247A1 (en) | 2007-12-06 |
CN101039246A (zh) | 2007-09-19 |
CN100499561C (zh) | 2009-06-10 |
JP4509955B2 (ja) | 2010-07-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4509955B2 (ja) | Vpn通信検出方法及び装置 | |
US20120257529A1 (en) | Computer system and method of monitoring computer system | |
CN113132342B (zh) | 方法、网络装置、隧道入口点装置及存储介质 | |
EP2764662B1 (en) | Test traffic interceptor in a data network | |
EP1326403B1 (en) | Communication system for establishing PPPoE like connections between IEEE 1394 based peers and IP based peers | |
US8254286B2 (en) | Method and system for detection of NAT devices in a network | |
EP2448183A1 (en) | Relay device and method thereof | |
EP3025453B1 (en) | Probe routing in a network | |
JP6605558B2 (ja) | ネットワークのプローブ・ルーティング | |
EP2127220B1 (en) | Automatic discovery of blocking access-list id and match statements in a network | |
EP3448001B1 (en) | Communication security apparatus, control method, and storage medium storing a program | |
JP5242301B2 (ja) | メッセージを転送する装置、出力方法および出力プログラム | |
JP2001168915A (ja) | Ipパケット転送装置 | |
US8593997B2 (en) | Full duplex/half duplex mismatch detecting method and full duplex/half duplex mismatch detecting apparatus applicable with the method | |
US10812383B2 (en) | Communication apparatus and communication method | |
CN100353711C (zh) | 通信系统、通信装置、操作控制方法 | |
JP6424740B2 (ja) | パケット中継装置およびパケット中継方法 | |
JP4615435B2 (ja) | ネットワーク中継装置 | |
KR101712922B1 (ko) | 동적 터널엔드 방식의 가상 사설 네트워크 시스템과 그를 위한 가상 라우터 및 매니저 장치 | |
JP3919488B2 (ja) | データ中継装置、データ中継方法、データ中継処理プログラム及びデータ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体 | |
JP2003244251A (ja) | トンネル経路を再構成するパケット通信方法 | |
Morton et al. | IPv4, IPv6, and IPv4-IPv6 Coexistence: Updates for the IP Performance Metrics (IPPM) Framework | |
CN112910790B (zh) | 导流系统及其方法 | |
Taylor | Using a compromised router to capture network traffic | |
Morton et al. | RFC 8468: IPv4, IPv6, and IPv4-IPv6 Coexistence: Updates for the IP Performance Metrics (IPPM) Framework |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070926 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20091015 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091020 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091218 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100406 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100428 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130514 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130514 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130514 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140514 Year of fee payment: 4 |
|
LAPS | Cancellation because of no payment of annual fees |