JP2008227601A - 通信妨害装置及び通信妨害プログラム - Google Patents
通信妨害装置及び通信妨害プログラム Download PDFInfo
- Publication number
- JP2008227601A JP2008227601A JP2007058871A JP2007058871A JP2008227601A JP 2008227601 A JP2008227601 A JP 2008227601A JP 2007058871 A JP2007058871 A JP 2007058871A JP 2007058871 A JP2007058871 A JP 2007058871A JP 2008227601 A JP2008227601 A JP 2008227601A
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- arp
- communication partner
- information indicating
- source terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】不正端末であった端末が正規端末となった場合に、その端末からの通信を実行することを可能とする。
【解決手段】パケット収集部51は、発信元端末から送出された発信元端末情報及び通信相手端末情報を含むARP要求パケットを収集する。端末登録情報格納部42は、正規端末を示す登録情報を予め格納する。問合せ結果キャッシュ部43は、パケット収集部51によって収集されたARP要求パケットに含まれる発信元端末情報、通信相手端末情報及び当該発信元端末情報によって示される発信元端末が正規端末か否かを対応付けて保持する。ARPパケット送出部53は、登録情報受付部54によって入力された変更通知及び問合せ結果キャッシュ部43を参照して、通信相手端末情報及び発信元端末を示す発信元端末情報を含むARP要求パケットを送出する。
【選択図】 図2
【解決手段】パケット収集部51は、発信元端末から送出された発信元端末情報及び通信相手端末情報を含むARP要求パケットを収集する。端末登録情報格納部42は、正規端末を示す登録情報を予め格納する。問合せ結果キャッシュ部43は、パケット収集部51によって収集されたARP要求パケットに含まれる発信元端末情報、通信相手端末情報及び当該発信元端末情報によって示される発信元端末が正規端末か否かを対応付けて保持する。ARPパケット送出部53は、登録情報受付部54によって入力された変更通知及び問合せ結果キャッシュ部43を参照して、通信相手端末情報及び発信元端末を示す発信元端末情報を含むARP要求パケットを送出する。
【選択図】 図2
Description
本発明は、ネットワークへの接続が許可されていない不正端末の通信を妨害する通信妨害装置及び通信妨害プログラムに関する。
近年、コンピュータネットワークへの接続が許可されていない端末(以下、不正端末と表記)の通信を妨害する通信妨害装置が開発されている。
このような通信妨害装置においては、不正端末を検出し、当該不正端末の通信を妨害するためにARP(Address Resolution Protocol)パケットが利用される。このARPパケットは、例えばある端末のアドレス情報を解決するため、つまり、ある端末のIPアドレスから当該端末のMACアドレスを取得するために用いられる。
通信妨害装置は、例えばブロードキャストパケットであるARP要求パケットを監視する。ARP要求パケットは、当該ARP要求パケットの発信元となる端末(以下、発信元端末と表記)のIPアドレス及びMACアドレスと、当該発信元端末の通信相手となる端末(以下、通信相手端末と表記)のIPアドレスとを含む。発信元端末は、ARP要求パケットを送出することにより、当該ARP要求パケットに含まれるIPアドレスが割り当てられている通信相手端末に対して、当該通信相手端末のMACアドレス含むARP応答パケットを応答として返すように要求する。
通信妨害装置は、上記したようなARP要求パケットを監視することにより、ARP要求パケットに含まれる発信元端末のMACアドレスもしくはIPアドレスを参照する。これにより、発信元端末がネットワークへの接続が許可されている端末(以下、正規端末と表記)として予め登録されているか否かを判別し、不正端末を検出する。
ここで、通信妨害装置によって監視されたARP要求パケットの発信元端末が、正規端末として登録されていない不正端末である場合を想定する。この場合、通信相手端末のMACアドレスとは異なる偽りのMACアドレスが埋め込まれたARP応答パケットが、当該不正端末に送出される。これにより、不正端末のARPキャッシュを正しくない状態にすることができる。よって、不正端末は、通信相手端末のMACアドレスがわからないため、当該通信相手端末とは通信することができない。その結果、不正端末は、通信が妨害され、ネットワークから切り離された状態になる。
また、不正端末が静的にARPキャッシュ(ARPテーブル)を設定していた場合に、ARP要求パケットを受信した通信相手端末が不正端末と通信することを防ぐために、通信相手端末に偽のARP要求パケットを送出し、不正端末との通信を妨害する。
上記したような技術として、例えば不正端末が静的にARPテーブルを設定した場合でもアクセス制限を行うことが可能でありかつ、通信端末の組み合わせでアクセス制御を行うことを可能とする技術が開示されている(例えば、特許文献1を参照)。
また、ネットワークへの接続を許可されていない不許可装置によりブロードキャストされたARPリクエストに対して、情報処理装置から正しいARP応答パケットが不許可装置へ送信された後に、情報処理装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットを不許可装置へ送信する技術が開示されている(例えば、特許文献2を参照)。この技術によれば、ネットワークへの接続を許可されていない情報処理装置である不許可装置が、そのネットワークに接続し、当該ネットワーク内部の情報処理装置に接続することを防止することが可能となる。
特開2004−185498号公報
特開2005−79706号公報
ところで、不正端末か否かは、定常とは限らない。つまり、それまで不正端末であっても、ある時点から正規端末となる場合もある。例えば、ある端末が不正端末であった場合において、当該端末が正規端末となった場合、すなわち不正端末が正規端末として登録された場合、それまで不正端末であったため、上記したような通信妨害装置により当該端末のARPキャッシュが正しくない状態にされている場合がある。
一方、例えばARP要求パケットにより解決された通信相手端末のアドレス情報は、当該ARP要求パケットの発信元端末のARPキャッシュに一定期間保持される。この間の通信相手端末との通信には、ARPキャッシュに保持されているアドレス情報が使用される。このため、ARPキャッシュにアドレス情報が残っている限りARP要求パケットは送出されない。ARPキャッシュに保持されているアドレス情報は、一定期間経過するとクリアされる。しかしながら、この一定期間は、例えばプラットフォーム(OS:Operating System)により異なっており、数分から数時間という幅がある。
上記したように端末が不正端末から正規端末となった場合であっても、例えば正しくない状態にされているARPキャッシュ内のアドレス情報は、すぐに正常に戻るとは限らない。そのため、正規端末となった端末であるにもかかわらず、ARPキャッシュ上にアドレス情報が残っている端末との通信を行うことができない。正規端末となった端末であっても、そのときにARPキャッシュの状態が正しくない場合、上記したようにARPキャッシュに保持されているアドレス情報がクリアされない限り、通信が行うことができない状態が継続する。
すなわち、正規端末として登録された場合であっても、正常な通信を実行できるまでにしばらく時間を要する場合がある。
本発明の目的は、不正端末であった端末が正規端末となった場合に、その端末からの通信を実行することが可能な通信妨害装置及び通信妨害プログラムを提供することにある。
本発明の1つの態様によれば、各種パケットを通信可能なネットワークに接続された通信妨害装置が提供される。この通信妨害装置は、前記ネットワークに接続された第1の端末から送出された当該第1の端末を示す発信元端末情報及び当該第1の端末の通信相手となる第2の端末を示す通信相手端末情報を含むARP要求パケットを、前記ネットワーク上から収集する収集手段と、前記ネットワークへの接続が許可されている正規端末を示す登録情報を予め格納する格納手段と、前記収集されたARP要求パケットに含まれる発信元端末情報によって示される第1の端末が正規端末であるかを、前記格納手段に格納されている登録情報に基づいて判定する第1の判定手段と、前記収集されたARP要求パケットに含まれる発信元端末情報、通信相手端末情報及び前記第1の判定手段による判定結果を対応付けて保持する保持手段と、前記第1の端末が前記ネットワークへの接続が許可されていない不正端末から前記正規端末に変更されたことを示す変更通知を入力する入力手段と、前記入力された変更通知によって示される前記不正端末から前記正規端末に変更された第1の端末を示す発信元端末情報に対応付けられている判定結果が前記不正端末であることを示すかを判定する第2の判定手段と、前記判定結果が前記不正端末であることを示すと前記第2の判定手段によって判定された場合、前記不正端末から前記正規端末に変更された第1の端末を示す発信元端末情報に対応付けて前記保持手段に保持されている通信相手端末情報及び当該第1の端末を示す発信元端末情報を含むARP要求パケットを送出する送出手段とを具備する。
本発明によれば、不正端末であった端末が正規端末となった場合に、その端末からの通信を実行することを可能とする。
以下、図面を参照して、本発明の実施形態について説明する。
図1は、本発明に係る通信妨害装置が接続されるネットワークシステムについて説明するための図である。
図1に示すように、複数の端末はネットワーク30と接続されている。ネットワーク30は、例えばLAN(Local Area Network)のような各種パケットを通信可能なネットワークである。複数の端末は、端末21及び端末22を含む。なお、図1には端末21及び端末22以外の端末は省略されている。端末21及び端末22を含む複数の端末は、それぞれ後述するARPキャッシュを有する。
ネットワーク30には、コンピュータ10が鉄属されている。コンピュータ10は、例えばハードディスクドライブのような外部記憶装置40と接続されている。この外部記憶装置40は、コンピュータ10によって実行されるプログラム41を格納する。コンピュータ10及び外部記憶装置40は、通信妨害装置50を構成する。
図2は、図1に示される通信妨害装置50の主として機能構成を示すブロック図である。通信妨害装置50は、パケット収集部51、問合せ部52、ARPパケット送出部53及び登録情報受付部54を有する。本実施形態において、これらの各部51乃至54は、図1に示されるコンピュータ10が外部記憶装置40に格納されているプログラム41を実行することにより実現されるものとする。このプログラム41は、コンピュータ読取可能な記憶媒体に予め格納して頒布可能である。また、このプログラム41が、ネットワーク30を介してコンピュータ10にダウンロードされてもかまわない。
また、通信妨害装置50は、端末登録情報格納部42を含む。本実施形態において、この端末登録情報格納部42は外部記憶装置40に格納される。また、通信妨害装置50は、問合せ結果キャッシュ部43を含む。本実施形態において、この問合せ結果キャッシュ部43は例えばコンピュータ10に備えられるメモリ内にその領域が確保されている。
パケット収集部51は、ネットワーク30上のARP(Address Resolution Protocol)要求パケットを収集する。ARP要求パケットは、ネットワーク30に接続される複数の端末から送出される。このARP要求パケットは、例えばARP要求パケットの発信元となる端末(以下、発信元端末と表記)の通信相手となる端末(以下、通信相手端末と表記)のIP(Internet Protocol)アドレスから、当該通信相手端末のMAC(Media Access Control)アドレスを取得するために用いられる。また、ARP要求パケットは、例えばネットワーク30に接続されるすべての端末等(通信妨害装置50を含む)に送出されるブロードキャストパケットである。ARP要求パケットには、発信元端末(第1の端末)を示す発信元端末情報及び通信相手端末(第2の端末)を示す通信相手端末情報が含まれる。発信元端末情報は、発信元端末に割り当てられているIPアドレス及び当該発信元端末を特定するMACアドレスを含む。通信相手端末情報は、通信相手端末に割り当てられているIPアドレスを含む。
ARP要求パケットがブロードキャストにより発信元端末から送出されると、当該ARP要求パケットに含まれる通信相手端末情報に含まれるIPアドレスが割り当てられている通信相手端末は、当該ARP要求パケットに対する応答として、当該通信相手端末自身のMACアドレスを含むARP応答パケットを発信元端末に対して送出する。このARP応答パケットを受信することにより、発信元端末は、通信相手端末のMACアドレスを取得する。なお、このARP応答パケットは、例えばARP要求パケットの発信元端末を指定して送出されるユニキャストパケットである。ARP応答パケットには、例えば当該ARP応答パケットを送出する端末(ARP要求パケットにおける通信相手端末)のMACアドレス及びIPアドレスと、当該ARP応答パケットの送出先となる端末(ARP要求パケットにおける発信元端末)のMACアドレス及びIPアドレスとが含まれる。
問合せ部52は、パケット収集部51によって収集された複数のARP要求パケットの各々を送出した発信元端末が、ネットワーク30への接続が許可されている端末(以下、正規端末と表記)であるか否かを判定する。問合せ部52は、パケット収集部51によって収集されたARP要求パケットに含まれる発信元端末情報に基づいて判定処理を実行する。また、問合せ部52は、端末登録情報格納部42を参照して判定処理を実行する。なお、正規端末とは反対に、ネットワーク30への接続が許可されていない端末は不正端末と称する。
端末登録情報格納部42には、ネットワーク30への接続が許可されている正規端末を示す登録情報が予め格納(登録)されている。この登録情報は、例えば正規端末である端末のMACアドレスを含む。なお、端末登録情報格納部42に格納されている登録情報は、例えば通信妨害装置50の管理者によって追加または削除等、各種変更される。
問合せ結果キャッシュ部43には、パケット収集部51によって収集された複数のARP要求パケットの各々に含まれている発信元端末情報、通信相手端末情報及び当該発信元端末情報によって示される発信元端末が正規端末であるか否かの問合せ部52による判定結果が保持される。
ARPパケット送出部53は、問合せ部52によって発信元端末が正規端末でないと判定された場合、当該発信元端末の通信相手となる通信相手端末のMACアドレスとは異なるMACアドレスを含む偽ARP応答パケットを、当該発信元端末に対して送出する。つまり、ARPパケット送出部53は、当該通信相手端末を送信元として偽ARP応答パケットを送出する。この偽ARP応答パケットは、例えば特定のARP要求パケットに応じて送出されるものではなく、独立して例えば発信元端末に送出される。
このとき、ARPパケット送出部53は、例えば発信元端末からブロードキャストにより送出されたARP要求パケットを受信した通信相手端末から、当該通信相手端末のMACアドレスを含むARP応答パケットが送出された後に偽ARP応答パケットを送出する。なお、上記した通信相手端末のMACアドレスとは異なるMACアドレスは、例えば通信妨害装置50のMACアドレスまたはネットワーク30上に存在しないMACアドレス等を含む。
前述した端末(ここでは発信元端末)が有するARPキャッシュには、例えばARP要求パケットにより解決された通信相手端末のアドレス情報が保持される。このアドレス情報は、通信相手端末のIPアドレス及びMACアドレスを示す。ネットワーク30に接続されている端末は、当該端末が有するARPキャッシュに保持されているアドレス情報に基づいて、通信相手端末との通信を行う。なお、ARPキャッシュに保持されるアドレス情報は、例えば一定期間経過するとクリアされる。また、この一定期間は、例えばプラットフォーム(OS:Operating System)により異なる。
ここで、例えばネットワーク30に接続される発信元端末(例えば端末21)が不正端末である場合を想定する。この場合に、端末21がブロードキャストにより通信相手端末を例えば端末22とするARP要求パケットを送出したものとする。この場合、このARP要求パケットを受信した端末22は、当該端末22のアドレス情報(MACアドレス及びIPアドレス)を含むARP応答パケットを端末21に対して送出する。端末21は、端末22から送出されたARP応答パケットを受信すると、当該ARP応答パケットに含まれる端末22のアドレス情報を端末21が有するARPキャッシュに保持する。この後にARPパケット送出部53によって端末21に対して偽ARP応答パケットが送出されると、端末21は、当該偽ARP応答パケットに含まれる端末22のMACアドレスとは異なるMACアドレス及び当該端末22のIPアドレスを含むアドレス情報を、当該端末22のARPキャッシュに保持(上書き)する。これにより、例えば不正端末である端末21のARPキャッシュには、端末22のMACアドレス及びIPアドレスを含むアドレス情報は保持されず、当該端末22のMACアドレスとは異なるMACアドレス及び当該端末22のIPアドレスを含むアドレス情報が保持される。このため、端末21のARPキャッシュは正しくない状態となる。よって、端末21が不正端末である場合においては、当該端末21は、端末22と正常に通信することができなくなる。
また、ARPパケット送出部53は、例えば問合せ結果キャッシュ部43に保持されている発信元端末情報によって示される発信元端末が不正端末から正規端末に変更された場合、当該発信元端末情報に対応付けて問合せ結果キャッシュ部43に保持されている通信相手端末情報及び当該発信元端末を示す発信元端末情報(発信元端末のMACアドレス及びIPアドレス)を含むARP要求パケットを送出する。つまり、不正端末から正規端末に変更された発信元端末を送信元としてARP要求パケットを送出する。なお、このARP要求パケットは、ブロードキャストパケットである。
また、ARPパケット送出部53は、例えば問合せ結果キャッシュ部43に保持されている発信元端末情報によって示される発信元端末が不正端末から正規端末に変更された場合、当該発信元端末を示す発信元端末情報を含むARP応答パケットを、当該発信元端末情報に対応付けて問合せ結果キャッシュ部43に保持されている通信相手端末情報によって示される通信相手端末に対して送出する。つまり、ARPパケット送出部53は、当該発信元端末を送信元としてARP応答パケットを送出する。
なお、このARP応答パケットは、上記したように例えば特定のARP要求パケットに応じて送出されるものではなく、独立して送出されるパケットである。
このとき、ARPパケット送出部53は、通信妨害装置50を送信元として、不正端末から正規端末に変更された発信元端末を示す発信元端末情報に対応付けて問合せ結果キャッシュ部43に保持されている通信相手端末情報によって示される通信相手端末のIPアドレスを含むARP要求パケットをブロードキャストにより送出する。通信相手端末が、このARP要求パケットを受信することにより、当該通信相手端末のMACアドレスを含むARP応答パケットが通信妨害装置50に返される。通信相手端末から送出されたARP応答パケットは、例えばパケット収集部51によって収集(受信)される。これにより、パケット収集部51によって収集されたARP応答パケットに含まれる通信相手端末のMACアドレスが、取得される。ARPパケット送出部53は、取得されたMACアドレスを用いて、上記した発信元端末情報を含むARP応答パケットを通信相手端末に対して送出する。
登録情報受付部54は、例えば通信妨害装置50の管理者による正規端末を示す登録情報の追加または削除等の変更を示す変更通知を入力(受信)する。この変更通知には、例えば変更された端末のMACアドレス及び当該端末が正規端末または不正端末に変更されたこと(を示す情報)が含まれる。登録情報受付部54は、入力された変更通知に応じて、端末登録情報格納部42に格納されている登録情報の変更処理を実行する。登録情報受付部54は、入力された変更通知によって示される例えば不正端末から正規端末に変更された端末を示す発信元端末情報が、問合せ結果キャッシュ部43に保持されているか否かを判定する。登録情報受付部54は、例えば不正端末から正規端末に変更された端末を示す発信元端末情報に対応付けて問合せ結果キャッシュ部43に保持されている問合せ部52による判定結果が不正端末を示すか否かを判定する。また、登録情報受付部54は、入力された変更通知に応じて、問合せ結果キャッシュ部43に保持されている問合せ部52による判定結果を書き換える。
図3は、問合せ結果キャッシュ部43のデータ構造の一例を示す。図3に示すように、問合せ結果キャッシュ部43には、発信元端末を示す発信元端末情報と状態(問合せ部52による判定結果)と通信相手端末を示す通信相手端末情報とが対応付けて保持されている。発信元端末情報には、発信元端末のMACアドレス及びIPアドレスが含まれる。状態には、正規(端末)または不正(端末)が含まれる。通信相手端末情報には、通信相手端末のIPアドレスが含まれる。なお、発信元端末に複数の通信相手端末が存在する場合には、当該発信元端末を示す発信元端末情報に対応付けて複数の通信相手端末を示す通信相手端末情報が保持される。
図3に示す例では、例えば発信元端末Aを示す発信元端末情報「A(mac,ip)」と状態「正規」と通信相手端末B及びDを示す通信相手端末情報「B(ip)」及び「D(ip)」とが対応付けて保持されている。なお、「A(mac,ip)」は、発信元端末AのMACアドレス及びIPアドレスを示す。「B(ip)」は、通信相手端末BのIPアドレスを示し、「D(ip)」は、通信相手端末DのIPアドレスを示す。
発信元端末Bを示す発信元端末情報「B(mac,ip)」と状態「正規」と通信相手端末Aを示す通信相手端末情報「A(ip)」とが対応付けて保持されている。発信元端末Cを示す発信元端末情報「C(mac,ip)」と状態「不正」と通信相手端末Eを示す通信相手端末情報「E(ip)」とが対応付けて保持されている。また、発信元端末Dを示す発信元端末情報「D(mac,ip)」と状態「正規」と通信相手端末A、F及びGを示す通信相手端末情報「A(ip)」、「F(ip)」及び「G(ip)」とが対応付けて保持されている。
次に、図4のフローチャートを参照して、発信元端末からARP要求パケットがブロードキャストにより送出された際の通信妨害装置50の処理手順について説明する。
まず、パケット収集部51は、発信元端末から送出されたARP要求パケットをネットワーク上から収集する(ステップS1)。このパケット収集部51によって収集されたARP要求パケットには、発信元端末のMACアドレス、IPアドレス(発信元端末情報)及び通信相手端末のIPアドレス(通信相手端末情報)が含まれている。
次に、問合せ部52は、パケット収集部51によって収集されたARP要求パケットを送出した発信元端末が正規端末であるか否かを判定する(ステップS2)。問合せ部52は、パケット収集部51によって収集されたARP要求パケットに含まれる発信元端末のMACアドレスを含む登録情報が端末登録情報格納部42に存在するか否かによって判定処理を実行する。
問合せ部52は、パケット収集部51によって収集されたARP要求パケットに含まれる発信元端末の発信元端末情報(発信元端末のMACアドレス及びIPアドレス)、通信相手端末情報(通信相手端末のIPアドレス)及び問合せ部52による判定結果(正規または不正)を問合せ結果キャッシュ部43に登録する(ステップS3)。
ここで、問合せ部52による判定結果が不正である場合(ステップS4のNO)、ARPパケット送出部53は、パケット収集部51によって収集されたARP要求パケットに含まれる通信相手端末情報によって示される通信相手端末のMACアドレスとは異なるMACアドレスを含む偽ARP応答パケットを、発信元端末に対して送出する(ステップS5)。つまり、ARPパケット送出部53は、当該通信相手端末を送信元として偽ARP応答パケットを送出する。なお、ARPパケット送出部53は、例えば通信相手端末のMACアドレスを含むARP応答パケットが当該通信相手端末から送出された後に、偽ARP応答パケットを送出する。この通信相手端末から送出されたARP応答パケットは、発信元端末から送出されたARP要求パケットに対する応答である。この場合、ARPパケット送出部53は、例えば予め定められた一定期間が経過した場合に、通信相手端末からARP応答パケットが送出されたものとして偽ARP応答パケットを送出する。また、ARPパケット送出部53は、偽ARP応答パケットを複数回送出する構成であっても構わない。
一方、ステップS4において問合せ部52による判定結果が正規である場合、ステップS1に戻って処理が繰り返される。
次に、図5のフローチャートを参照して、端末登録情報格納部42に格納されている登録情報が変更された場合の通信妨害装置50の処理手順について説明する。
まず、登録情報受付部54は、例えば管理者による登録情報の変更を示す変更通知を入力(受信)する(ステップS11)。ここでは、登録情報受付部54によって入力された変更通知は、問合せ結果キャッシュ部43に保持されている発信元端末情報によって示される発信元端末が正規端末に変更されたことを示すものとする。登録情報受付部54は、入力された変更通知に応じて、端末登録情報格納部42に格納されている登録情報を変更する。以下、変更通知によって示される不正端末に変更された端末を対象端末として説明する。
次に、登録情報受付部54は、対象端末を示す発信元端末情報が問合せ結果キャッシュ部43に保持されているか否かを判定する。登録情報受付部54は、対象端末を示す発信元端末情報が問合せ結果キャッシュ部43に保持されている場合、当該発信元端末情報に対応付けて問合せ結果キャッシュ部43に保持されている状態(問合せ部52による判定結果)が不正規であるか否かを判定する(ステップS12)。
問合せ結果キャッシュ部43に保持されている状態が不正規である場合(ステップSS12のYES)、登録情報受付部54は、当該問合せ結果キャッシュ部43に保持されている状態を不正に変更する(ステップS13)。
なお、上記したように問合せ結果キャッシュ部43に保持されている状態が不正規である場合、その状態に対応付けて問合せ結果キャッシュ部43に保持されている発信元端末情報によって示される発信元端末のARPキャッシュは、上記した例えば図4に示すフローチャートに示される処理によって正しくない状態にされている。つまり、この発信元端末は、不正端末から正規端末に変更されたにもかかわらず、このARPキャッシュの状態では通信相手端末と正常に通信を行うことができない。
ARPパケット送出部53は、対象端末を示す発信元端末情報に対応付けて問合せ結果キャッシュ部43に保持されている通信相手端末情報(通信相手端末のIPアドレス)及び当該発信元端末情報(発信元端末のMACアドレス及びIPアドレス)を含むARP要求パケットを送出する(ステップS14)。このARP要求パケットは、ブロードキャストパケットである。つまり、ARPパケット送出部53は、対象端末を送信元として、通信相手端末情報によって示される通信相手端末のアドレス情報(MACアドレス)を解決するためのARP要求パケットを送出する。ARPパケット送出部53によって対象端末を送信元とするARP要求パケットが送出されると、当該ARP要求パケットに含まれる通信相手端末情報(通信相手端末のIPアドレス)が割り当てられている端末(つまり、通信相手端末)は、当該ARP要求パケットに対する応答として、当該通信相手端末のMACアドレスを含むARP応答パケットを対象端末に対して送出する。これにより、対象端末のARPキャッシュには通信相手端末のアドレス情報(通信相手端末のMACアドレス及びIPアドレス)が保持されることとなり、当該ARPキャッシュは正常な状態となる。
なお、対象端末を示す発信元端末情報に対応付けて複数の通信相手端末情報が問合せ結果キャッシュ部43に保持されている場合には、当該複数の通信相手端末情報の各々を含むARP要求パケットが送出される。
ARPパケット送出部53は、対象端末を示す発信元端末情報に対応付けて問合せ結果キャッシュ部43に保持されている通信相手端末情報及び通信妨害装置50のMACアドレス及びIPアドレスを含むARP要求パケットを送出する(ステップS15)。このARP要求パケットは、ブロードキャストパケットである。つまり、ARPパケット送出部53は、通信妨害装置50を送信元として、通信相手端末情報によって示される通信相手端末のアドレス情報(MACアドレス)を解決するためのARP要求パケットを送出する。
ARPパケット送出部53によって通信妨害装置50を送信元とするARP要求パケットが送出されると、当該ARP要求パケットに含まれる通信相手端末情報(IPアドレス)が割り当てられている通信相手端末は、当該ARP要求パケットに対する応答として、当該通信相手端末のMACアドレスを含むARP応答パケットを通信妨害装置50に対して送出する。パケット収集部51は、通信相手端末から送出されたARP応答パケットを収集(受信)する。これにより、パケット収集部51によって収集されたARP応答パケットに含まれる通信相手端末のMACアドレスが取得される(ステップS16)。
ARPパケット送出部53は、例えば問合せ結果キャッシュ部43に保持されている対象端末を示す発信元端末情報(対象端末のMACアドレス及びIPアドレス)を含むARP応答パケットを、当該発信元端末情報に対応付けて問合せ結果キャッシュ部43に保持されている通信相手端末情報によって示される通信相手端末に対して送出する(ステップS17)。このとき、ARPパケット送出部53は、取得された通信相手端末のMACアドレス及び問合せ結果キャッシュ部43に保持されている通信相手端末情報(通信相手端末のIPアドレス)を用いて、ARP応答パケットを送出する。
なお、上記したように、対象端末を示す発信元端末情報に対応付けて複数の通信相手端末情報が問合せ結果キャッシュ部43に保持されている場合には、当該複数の通信相手端末情報によって示される複数の通信相手端末の各々に対してARP応答パケットが送出される。
一方、ステップS12において問合せ結果キャッシュ部43に保持されている状態が正規である場合、ステップS11に戻って処理が繰り返される。また、問合せ結果キャッシュ部43に対象端末を示す発信元端末情報が保持されていない場合についても同様に、ステップS11に戻って処理が繰り返される。
上記したように本実施形態においては、例えば問合せ結果キャッシュ部43に保持されている発信元端末情報によって示される発信元端末が不正端末から正規端末に変更された場合に当該変更を示す変更通知を入力し、当該変更された対象端末を送信元とするARP要求パケットが送出される。また、通信相手端末に対しては、対象端末を示す発信元端末情報(対象端末のMACアドレス及びIPアドレス)を含むARP応答パケットが送出される。これにより、不正端末から正規端末に変更された対象端末は、当該変更時に当該対象端末のARPキャッシュが正しくない状態であっても、通信相手端末との通信を行うことが可能となる。
[第1の変形例]
次に、図6及び図7を参照して、本実施形態の第1の変形例について説明する。なお、本変形例に係る通信妨害装置の構成については、前述した本実施形態に係る通信妨害装置50と同様の構成であるので、図1及び図2を用いて説明する。以下の各変形例についても同様にして図1及び図2を用いて説明する。
次に、図6及び図7を参照して、本実施形態の第1の変形例について説明する。なお、本変形例に係る通信妨害装置の構成については、前述した本実施形態に係る通信妨害装置50と同様の構成であるので、図1及び図2を用いて説明する。以下の各変形例についても同様にして図1及び図2を用いて説明する。
本変形例においては、前述した本実施形態とは異なり、対象端末が不正端末から正規端末に変更された場合、問合せ結果キャッシュ部43に保持されている発信元端末情報を含むARP応答パケットが、当該対象端末に対して送出される。また、本変形例においては、対象端末を示す発信元端末情報を含むARP応答パケットが、問合せ結果キャッシュ部43に保持されている発信元端末情報によって示される発信元端末に対して送出される。
図6は、問合せ結果キャッシュ部43のデータ構造の一例を示す。図6に示すように、問合せ結果キャッシュ部43には、発信元端末を示す発信元端末情報及び状態が対応付けて保持されている。
図6に示す例では、例えば発信元端末Aを示す発信元端末情報「A(mac,ip)」及び状態「正規」が対応付けて保持されている。発信元端末Bを示す発信元端末情報「B(mac,ip)」及び状態「正規」が対応付けて保持されている。発信元端末Cを示す発信元端末情報「C(mac,ip)」及び状態「不正」が対応付けて保持されている。また、発信元端末Dを示す発信元端末情報「D(mac,ip)」及び状態「正規」が対応付けて保持されている。
次に、図7のフローチャートを参照して、端末登録情報格納部42に格納されている登録情報が変更された場合の通信妨害装置50の処理手順について説明する。
まず、前述した図5のフローチャートのステップS11〜S13に相当するステップS21〜S23の処理が実行される。
次に、ARPパケット送出部53は、正規を示す状態(判定結果)に対応付けて問合せ結果キャッシュ部43に保持されている発信元端末情報(に含まれる発信元端末のMACアドレス及びIPアドレス)の各々を含むARP応答パケットを、対象端末に対して送出する(ステップS24)。つまり、ARPパケット送出部53は、正規を示す状態(判定結果)に対応付けて問合せ結果キャッシュ部43に保持されている発信元端末情報によって示される発信元端末の各々を送信元とするARP応答パケットを送出する。このとき、ARPパケット送出部53は、問合せ結果キャッシュ部43に保持されている発信元端末情報に含まれる対象端末のMACアドレス及びIPアドレスを用いてARP応答パケットを当該対象端末に対して送出する。
ARPパケット送出部53は、問合せ結果キャッシュ部43に保持されている対象端末を示す発信元端末情報を含むARP応答パケットを、正規を示す状態に対応付けて問合せ結果キャッシュ部43に保持されている発信元端末情報によって示される発信元端末の各々に対して送出する(ステップS25)。つまり、ARPパケット送出部53は、対象端末を送信元としてARP応答パケットを送出する。このとき、ARPパケット送出部53は、正規を示す状態に対応付けて問合せ結果キャッシュ部43に保持されている発信元端末情報に含まれる発信元端末の各々のMACアドレス及びIPアドレスを用いて、ARP応答パケットを当該発信元端末の各々に対して送出する。
上記したように本変形例においては、例えば問合せ結果キャッシュ部43に保持されている発信元端末情報によって示される発信元端末が不正端末から正規端末に変更された場合に当該変更を示す変更通知を入力し、当該変更された対象端末を示す発信元端末情報を含むARP応答パケットが、正規を示す状態に対応付けて問合せ結果キャッシュ部43に保持されている発信元端末情報によって示される発信元端末の各々に対して送出される。また、正規を示す状態に対応付けて問合せ結果キャッシュ部43に保持されている発信元端末情報の各々を含むARP応答パケットが、対象端末に対して送出される。これにより、不正端末から正規端末に変更された対象端末は、正規を示す状態に対応付けて問合せ結果キャッシュ部43に保持されている発信元端末情報によって示される発信元端末の各々との通信を行うことが可能となる。
なお、本変形例においては、問合せ結果キャッシュ部43には発信元端末情報及び状態が対応付けて保持されているものとして説明したが、前述した本実施形態と同様に通信相手端末情報も対応付けて保持される構成でも構わない。この場合、正規を示す状態に対応付けて問合せ結果キャッシュ部43に保持されている発信元端末情報によって示される発信元端末のMACアドレスの各々を含むARP応答パケット及び前述した本実施形態と同様に対象端末を示す発信元端末情報に対応付けて問合せ結果キャッシュ部43に保持されている通信相手端末情報によって示される通信相手端末のMACアドレスを含むARP応答パケットが、対象端末に対して送出される。また、正規を示す状態に対応付けて問合せ結果キャッシュ部43に保持されている発信元端末情報によって示される発信元端末の各々及び対象端末を示す発信元端末情報に対応付けて問合せ結果キャッシュ部43に保持されている通信相手端末情報によって示される通信相手端末に対して、対象端末を示す発信元端末情報を含むARP応答パケットが送出される。
[第2の変形例]
次に、図8を参照して、本実施形態の第2の変形例について説明する。なお、本変形例の問合せ結果キャッシュ部43は、前述した図6に示すデータ構造であるものとする。
次に、図8を参照して、本実施形態の第2の変形例について説明する。なお、本変形例の問合せ結果キャッシュ部43は、前述した図6に示すデータ構造であるものとする。
本変形例においては、対象端末が不正端末から正規端末に変更された場合、端末登録情報格納部42に格納されている登録情報によって示される正規端末のMACアドレスを含むARP応答パケットが、対象端末に対して送出される。また、対象端末を示す発信元端末情報を含むARP応答パケットが、端末登録情報格納部42に格納されている登録情報によって示される正規端末に対して送出される。また、本変形例においては、端末登録情報格納部42に格納されている登録情報には、前述した本実施形態及び第1の変形例とは異なる、正規端末のMACアドレスに加えて当該正規端末に割り当てられているIPアドレスが含まれている。
図8のフローチャートを参照して、端末登録情報格納部42に格納された登録情報が変更された場合の通信妨害装置50の処理手順について説明する。
まず、前述した図7のフローチャートのステップS21〜S23に相当するステップS31〜S33の処理が実行される。
次に、ARPパケット送出部53は、端末登録情報格納部42に格納されている登録情報に含まれる正規端末の各々のMACアドレス及びIPアドレスを含むARP応答パケットを、対象端末に対して送出する(ステップS34)。つまり、ARPパケット送出部53は、端末登録情報格納部42に格納されている登録情報によって示される正規端末の各々を送信元としてARP応答パケットを送出する。このとき、ARPパケット送出部53は、問合せ結果キャッシュ部43に保持されている発信元端末情報に含まれる対象端末のMACアドレス及びIPアドレスを用いて、ARP応答パケットを当該対象端末に対して送出する。
ARPパケット送出部53は、問合せ結果キャッシュ部43に保持されている対象端末を示す発信元端末情報に含まれる当該対象端末のMACアドレスを含むARP応答パケットを、端末登録情報格納部42に格納されている登録情報によって示される正規端末の各々に対して送出する(ステップS35)。つまり、ARPパケット送出部53は、対象端末を送信元としてARP応答パケットを送出する。このとき、ARPパケット送出部53は、端末登録情報格納部42に格納されている登録情報に含まれる正規端末の各々のMACアドレス及びIPアドレスを用いて、ARP応答パケットを当該正規端末の各々に対して送出する。
上記したように本変形例においては、例えば問合せ結果キャッシュ部43に保持されている発信元端末情報によって示される発信元端末が不正端末から正規端末に変更された場合に当該変更を示す変更通知を入力し、当該変更された対象端末を示す発信元端末情報を含むARP応答パケットが、端末登録情報格納部42に格納されている登録情報によって示される正規端末の各々に対して送出される。また、端末登録情報格納部42に格納されている登録情報に含まれる正規端末の各々のMACアドレス及びIPアドレスを含むARP応答パケットが、対象端末に対して送出される。これにより、不正端末から正規端末に変更された対象端末は、端末登録情報格納部42に格納されている登録情報によって示される正規端末の各々との通信を行うことが可能となる。
なお、本変形例においては、上記したように端末登録情報格納部42に格納されている登録情報によって示される正規端末及び対象端末に対してARP応答パケットを送出するものとして説明したが、これに加えて、前述した本実施形態または第1の変形例で説明したように通信相手端末または正規を示す状態に対応付けて問合せ結果キャッシュ部43に保持されている発信元端末情報によって示される発信元端末に対してARP応答パケットが送出される構成であっても構わない。また、この場合、通信相手端末のMACアドレス及びIPアドレスを含むARP応答パケットまたは正規を示す状態に対応付けて問合せ結果キャッシュ部43に保持されている発信元端末情報を含むARP応答パケットが、対象端末に対して送出される。
[第3の変形例]
次に、図9〜図11を参照して、本実施形態の第3の変形例について説明する。本変形例においては、例えばネットワーク30上からARP要求パケットが収集された際に、当該ARP要求パケットに含まれる通信相手端末情報によって示される通信相手端末のMACアドレスを取得する点で、本実施形態とは異なる。
次に、図9〜図11を参照して、本実施形態の第3の変形例について説明する。本変形例においては、例えばネットワーク30上からARP要求パケットが収集された際に、当該ARP要求パケットに含まれる通信相手端末情報によって示される通信相手端末のMACアドレスを取得する点で、本実施形態とは異なる。
図9のフローチャートを参照して、例えばネットワーク30上のARPパケットを収集する際の通信妨害装置50の処理手順について説明する。なお、ARPパケットは、ARP要求パケットまたはARP応答パケットである。
まず、前述した図4のフローチャートのステップS1〜S5の処理に相当するステップS41〜S45の処理が実行される。
次に、パケット収集部51によって収集されたARPパケットがARP要求パケットであるか否かが判定される(ステップS46)。
ここで、ARPパケットがARP要求パケットである場合(ステップS46のYES)、ARPパケット送出部53は、対象端末を示す発信元端末情報に対応付けて問合せ結果キャッシュ部43に保持されている通信相手端末情報及び通信妨害装置50のMACアドレス及びIPアドレスを含むARP要求パケットを送出する(ステップS47)。このARP要求パケットは、ブロードキャストパケットである。ARPパケット送出部53は、通信妨害装置50を送信元として、通信相手端末情報によって示される通信相手端末のMACアドレスを取得するためのARP要求パケットを送出する。
次に、ARPパケット送出部53によって通信妨害装置50を送信元とするARP要求パケットが送出されると、当該ARP要求パケットに含まれる通信相手端末情報(IPアドレス)が割り当てられている通信相手端末は、当該ARP要求パケットに対する応答として、当該通信相手端末のMACアドレスを含むARP応答パケットを通信妨害装置50に対して送出する。パケット収集部51は、通信相手端末から送出されたARP応答パケットを収集(受信)する。これにより、パケット収集部51によって収集されたARP応答パケットに含まれる通信相手端末のMACアドレスが取得される(ステップS48)。取得された通信相手端末のMACアドレスは、問合せ結果キャッシュ部43に保持される。
一方、ステップS46においてARPパケットがARP要求パケットでない場合、つまりARPパケットがARP応答パケットである場合には、ステップS41に戻って処理が繰り返される。なお、ARPパケット送出部53が例えば通信妨害装置50を送信元としてARP要求パケットを送信しており、パケット収集部51がその応答であるARP応答パケットを受信した場合等が該当する。
図10は、問合せ結果キャッシュ部43のデータ構造の一例を示す。図10に示すように、問合せ結果キャッシュ部43には、発信元端末を示す発信元端末情報と状態(問合せ部52による判定結果)と通信相手端末を示す通信相手端末情報とが対応付けて保持されている。発信元端末情報には、発信元端末のMACアドレス及びIPアドレスが含まれる。状態には、正規(端末)または不正(端末)が含まれる。通信相手端末情報には、通信相手端末のIPアドレス及び上記した図9のフローチャートに示す処理で取得された通信相手端末のMACアドレスが含まれる。なお、発信元端末に複数の通信相手端末が存在する場合には、当該発信元端末を示す発信元端末情報に対応付けて複数の通信相手端末を示す通信相手端末情報が保持される。
図10に示す例では、例えば発信元端末Aを示す発信元端末情報「A(mac,ip)」と状態「正規」と通信相手端末B及びDを示す通信相手端末情報「B(mac,ip)」及び「D(mac,ip)」とが対応付けて保持されている。
発信元端末Bを示す発信元端末情報「B(mac,ip)」と状態「正規」と通信相手端末Aを示す通信相手端末情報「A(mac,ip)」とが対応付けて保持されている。発信元端末Cを示す発信元端末情報「C(mac,ip)」と状態「不正」と通信相手端末Eを示す通信相手端末情報「E(mac,ip)」とが対応付けて保持されている。また、発信元端末Dを示す発信元端末情報「D(mac,ip)」と状態「正規」と通信相手端末A、F及びGを示す通信相手端末情報「A(mac,ip)」、「F(mac,ip)」及び「G(mac,ip)」とが対応付けて保持されている。
次に、図11のフローチャートを参照して、端末登録情報格納部42に格納されている登録情報が変更された場合の通信妨害装置50の処理手順について説明する。
まず、前述した図8のフローチャートのステップS31〜S33に相当するステップS51〜S53の処理が実行される。
次に、ARPパケット送出部53は、対象端末を示す発信元端末情報に対応付けて問合せ結果キャッシュ部43に保持されている通信相手端末情報(通信相手端末のMACアドレス及びIPアドレス)を含むARP応答パケットを、対象端末に対して送出する(ステップS54)。つまり、ARPパケット送出部53は、対象端末を示す発信元端末情報に対応付けて問合せ結果キャッシュ部43に保持されている通信相手端末情報によって示される通信相手端末を送信元とするARP応答パケットを送出する。このとき、ARPパケット送出部53は、問合せ結果キャッシュ部43に保持されている発信元端末情報に含まれる対象端末のMACアドレス及びIPアドレスを用いて、ARP応答パケットを当該対象端末に対して送出する。
ARPパケット送出部53は、問合せ結果キャッシュ部43に保持されている対象端末を示す発信元端末情報を含むARP応答パケットを、当該対象端末を示す発信元端末情報に対応付けて問合せ結果キャッシュ部43に保持されている通信相手端末情報によって示される通信相手端末に対して送出する(ステップS55)。つまり、ARPパケット送出部53は、対象端末を送信元としてARP応答パケットを送出する。このとき、ARPパケット送出部53は、対象端末を示す発信元端末情報に対応付けて問合せ結果キャッシュ部43に保持されている通信相手端末情報に含まれる通信相手端末のMACアドレス及びIPアドレスを用いて、ARP応答パケットを当該通信相手端末に送出する。
上記したように本変形例においては、前述した本実施形態のように変更通知がある度に通信相手端末のMACアドレスを取得する場合に比べて、予めARP要求パケットを収集した段階で通信相手端末のMACアドレスを取得しておくので、当該変更通知があった場合の処理時間を短縮することが可能となる。これにより、対象端末は、より短時間で通信相手端末との通信を行うことが可能となる。
[第4の変形例]
次に、図12を参照して、本実施形態の第4の変形例について説明する。図12は、本変形例に係る通信妨害装置が接続されるネットワークシステムについて説明するための図である。
次に、図12を参照して、本実施形態の第4の変形例について説明する。図12は、本変形例に係る通信妨害装置が接続されるネットワークシステムについて説明するための図である。
図12に示すように、本変形例においては、例えばネットワーク30及びネットワーク31を含む複数のネットワークに接続された管理サーバ60が存在する。ネットワーク30には、通信妨害装置501と端末21及び端末22を含む複数の端末とが接続されている。また、ネットワーク31には、通信妨害装置502と端末23及び端末24を含む複数の端末とが接続されている。
管理サーバ60は、端末登録情報格納部70に格納されている登録情報を一元管理する。この端末登録情報格納部70には、例えばネットワーク30への接続が許可されている正規端末及びネットワーク31への接続が許可されている正規端末を示す登録情報が格納されている。つまり、例えば管理者は、管理サーバ60により複数のネットワークに接続される正規端末についての管理を行うことができる。
端末登録情報格納部70は、前述した本実施形態及び第1〜第3の変形例とは異なり、通信妨害装置501または502の外部に設けられている。つまり、本変形例に係る通信妨害装置501及び502は、通信妨害装置501及び502の内部に端末登録情報格納部42が設けられていない点で、前述した本実施形態または第1〜第3の変形例に係る通信妨害装置50とは異なる。なお、通信妨害装置501及び502は、端末登録情報格納部42を除いては、前述した本実施形態または第1〜第3の変形例に係る通信妨害装置50と同様の構成である。通信妨害装置501及び502は、端末登録情報格納部70に格納されている登録情報が必要な場合には、例えば管理サーバ60に問い合わせることにより、例えば前述した本実施形態または第1〜第3の変形例で説明したような処理を実行することが可能である。
上記したように本変形例においては、複数のネットワーク(例えばネットワーク31及び32)の各々に通信妨害装置(例えば通信妨害装置501及び502)が接続されている場合であっても、管理サーバ60により複数のネットワークの正規端末を示す登録情報を一元管理することが可能となる。これにより例えば管理者は、複数の通信妨害装置の各々について端末登録情報を管理する必要がないため、処理効率を向上させることが可能となる。
なお、本願発明は、上記実施形態またはその各変形例そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態またはその各変形例に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態またはその各変形例に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態またはその各変形例に亘る構成要素を適宜組合せてもよい。
10…コンピュータ、21,22,23,24…端末、30,31…ネットワーク、40…外部記憶装置、42,70…端末登録情報格納部、43…問合せ結果キャッシュ部、50,501,502…通信妨害装置、51…パケット収集部、52…問合せ部、53…ARPパケット送出部、54…登録情報受付部、60…管理サーバ。
Claims (9)
- 各種パケットを通信可能なネットワークに接続された通信妨害装置において、
前記ネットワークに接続された第1の端末から送出された当該第1の端末を示す発信元端末情報及び当該第1の端末の通信相手となる第2の端末を示す通信相手端末情報を含むARP要求パケットを、前記ネットワーク上から収集する収集手段と、
前記ネットワークへの接続が許可されている正規端末を示す登録情報を予め格納する格納手段と、
前記収集されたARP要求パケットに含まれる発信元端末情報によって示される第1の端末が正規端末であるかを、前記格納手段に格納されている登録情報に基づいて判定する第1の判定手段と、
前記収集されたARP要求パケットに含まれる発信元端末情報、通信相手端末情報及び前記第1の判定手段による判定結果を対応付けて保持する保持手段と、
前記第1の端末が前記ネットワークへの接続が許可されていない不正端末から前記正規端末に変更されたことを示す変更通知を入力する入力手段と、
前記保持手段を参照して、前記入力された変更通知によって示される前記不正端末から前記正規端末に変更された第1の端末を示す発信元端末情報に対応付けられている判定結果が前記不正端末であることを示すかを判定する第2の判定手段と、
前記判定結果が前記不正端末であることを示すと前記第2の判定手段によって判定された場合、前記不正端末から前記正規端末に変更された第1の端末を示す発信元端末情報に対応付けて前記保持手段に保持されている通信相手端末情報及び当該第1の端末を示す発信元端末情報を含むARP要求パケットを送出する送出手段と
を具備することを特徴とする通信妨害装置。 - 前記送出手段は、前記保持手段に保持されている前記第1の端末を示す発信元端末情報を含むARP応答パケットを、当該第1の端末を示す発信元端末情報に対応付けて前記保持手段に保持されている通信相手端末情報によって示される第2の端末に対して送出することを特徴とする請求項1記載の通信妨害装置。
- 前記送出手段は、前記正規端末であることを示す判定結果に対応付けて前記保持手段に保持されている発信元端末情報の各々を含むARP応答パケットを、前記入力された変更通知によって示される前記不正端末から前記正規端末に変更された第1の端末に対して更に送出する
ことを特徴とする請求項1記載の通信妨害装置。 - 前記送出手段は、前記第1の端末を示す発信元端末情報を含むARP応答パケットを、前記正規端末であることを示す判定結果に対応付けて前記保持手段に保持されている発信元端末情報によって示される発信元端末の各々に対して送出することを特徴とする請求項3記載の通信妨害装置。
- 前記格納手段に格納されている登録情報は、当該登録情報によって示される正規端末のMACアドレスを含み、
前記送出手段は、前記格納手段に格納されている登録情報に含まれる前記正規端末の各々のMACアドレスを含むARP応答パケットを、前記入力された変更通知によって示される前記不正端末から前記正規端末に変更された第1の端末に対して更に送出することを特徴とする請求項1記載の通信妨害装置。 - 前記送出手段は、前記第1の端末を示す発信元端末情報を含むARP応答パケットを、前記格納手段に格納されている登録情報によって示される正規端末の各々に対して送出することを特徴とする請求項5記載の通信妨害装置。
- 各種パケットを通信可能なネットワークに接続された通信妨害装置において、
前記ネットワークに接続された第1の端末から送出された当該第1の端末を示す発信元端末情報及び当該第1の端末の通信相手となる第2の端末を示す通信相手端末情報を含むARP要求パケットを、前記ネットワーク上から収集する収集手段と、
前記収集されたARP要求パケットに含まれる発信元端末情報によって示される第1の端末が前記ネットワークへの接続が許可されている正規端末であるかを、当該正規端末を示す登録情報を予め格納する外部に設けられた格納手段を参照して判定する第1の判定手段と、
前記収集されたARP要求パケットに含まれる発信元端末情報、通信相手端末情報及び前記第1の判定手段による判定結果を対応付けて保持する保持手段と、
前記第1の端末が前記ネットワークへの接続が許可されていない不正端末から前記正規端末に変更されたことを示す変更通知を入力する入力手段と、
前記保持手段を参照して、前記入力された変更通知によって示される前記不正端末から前記正規端末に変更された第1の端末を示す発信元端末情報に対応付けられている判定結果が前記不正端末であることを示すかを判定する第2の判定手段と、
前記判定結果が前記不正端末であることを示すと前記第2の判定手段によって判定された場合、前記不正端末から前記正規端末に変更された第1の端末を示す発信元端末情報に対応付けて前記保持手段に保持されている通信相手端末情報及び当該第1の端末を示す発信元端末情報を含むARP要求パケットを送出する送出手段と
を具備することを特徴とする通信妨害装置。 - 各種パケットを通信可能なネットワークへの接続が許可されている正規端末を示す登録情報を予め格納する格納手段を含む外部記憶装置と、前記ネットワークに接続され、保持手段を備えるコンピュータとから構成される通信妨害装置において、前記コンピュータに実行される通信妨害プログラムであって、
前記コンピュータに、
前記ネットワークに接続された第1の端末から送出された当該第1の端末を示す発信元端末情報及び当該複数の端末の各々の通信相手となる第2の端末を示す通信相手端末情報を含むARP要求パケットを、前記ネットワーク上から収集するステップと、
前記収集されたARP要求パケットに含まれる発信元端末情報によって示される第1の端末が正規端末であるかを、前記格納手段に格納されている登録情報に基づいて判定するステップと、
前記収集されたARP要求パケットに含まれる発信元端末情報、通信相手端末情報及び前記判定された結果を対応付けて前記保持手段に保持させるステップと、
前記第1の端末が前記正規端末である場合に、当該第1の端末が前記ネットワークへの接続が許可されていない不正端末から前記正規端末に変更されたことを示す変更通知を入力するステップと、
前記保持手段を参照して、前記入力された変更通知によって示される前記不正端末から前記正規端末に変更された第1の端末を示す発信元端末情報に対応付けられている判定結果が前記不正端末であることを示すかを判定するステップと、
前記判定結果が前記不正端末であることを示すと判定された場合、前記不正端末から前記正規端末に変更された第1の端末を示す発信元端末情報に対応付けて前記保持手段に保持されている通信相手端末情報及び当該第1の端末を示す発信元端末情報を含むARP要求パケットを送出するステップと
を実行させることを特徴とする通信妨害プログラム。 - 各種パケットを通信可能なネットワークに接続され、保持手段を備えるコンピュータによって実行される通信妨害プログラムであって、
前記コンピュータに、
前記ネットワークに接続された第1の端末から送出された当該第1の端末を示す発信元端末情報及び当該複数の端末の各々の通信相手となる第2の端末を示す通信相手端末情報を含むARP要求パケットを、前記ネットワーク上から収集するステップと、
前記収集されたARP要求パケットに含まれる発信元端末情報によって示される第1の端末が前記ネットワークへの接続が許可されている正規端末であるかを、当該正規端末を示す登録情報を予め格納する前記通信妨害装置の外部に設けられた格納手段を参照して判定するステップと、
前記収集されたARP要求パケットに含まれる発信元端末情報、通信相手端末情報及び前記判定された結果を対応付けて前記保持手段に保持させるステップと、
前記第1の端末が前記正規端末である場合に、当該第1の端末が前記ネットワークへの接続が許可されていない不正端末から前記正規端末に変更されたことを示す変更通知を入力するステップと、
前記保持手段を参照して、前記入力された変更通知によって示される前記不正端末から前記正規端末に変更された第1の端末を示す発信元端末情報に対応付けられている判定結果が前記不正端末であることを示すかを判定するステップと、
前記判定結果が前記不正端末であることを示すと判定された場合、前記不正端末から前記正規端末に変更された第1の端末を示す発信元端末情報に対応付けて前記保持手段に保持されている通信相手端末情報及び当該第1の端末を示す発信元端末情報を含むARP要求パケットを送出するステップと
を実行させることを特徴とする通信妨害プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007058871A JP2008227601A (ja) | 2007-03-08 | 2007-03-08 | 通信妨害装置及び通信妨害プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007058871A JP2008227601A (ja) | 2007-03-08 | 2007-03-08 | 通信妨害装置及び通信妨害プログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008227601A true JP2008227601A (ja) | 2008-09-25 |
Family
ID=39845729
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007058871A Pending JP2008227601A (ja) | 2007-03-08 | 2007-03-08 | 通信妨害装置及び通信妨害プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008227601A (ja) |
-
2007
- 2007-03-08 JP JP2007058871A patent/JP2008227601A/ja active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8250647B2 (en) | Method and apparatus for automatic filter generation and maintenance | |
US8369346B2 (en) | Method and system for restricting a node from communicating with other nodes in a broadcast domain of an IP (internet protocol) network | |
US20120084840A1 (en) | Terminal connection status management with network authentication | |
CN114145004B (zh) | 用于使用dns消息以选择性地收集计算机取证数据的系统及方法 | |
WO2005036831A1 (ja) | フレーム中継装置 | |
JP2012034129A (ja) | 管理サーバ、通信遮断装置、情報処理システム、方法およびプログラム | |
JP2008113409A (ja) | トラフィック制御システム及び管理サーバ | |
JP2006287299A (ja) | ネットワーク管理方法および装置並びに管理プログラム | |
KR20180038033A (ko) | 자동 구성 서버 및 방법 | |
JP2008227600A (ja) | 通信妨害装置及び通信妨害プログラム | |
JP2003258795A (ja) | コンピュータ集合体運用方法及びその実施システム並びにその処理プログラム | |
US8239930B2 (en) | Method for controlling access to a network in a communication system | |
JP2008283495A (ja) | パケット転送システムおよびパケット転送方法 | |
JP2009225045A (ja) | 通信妨害装置及び通信妨害プログラム | |
JP5509999B2 (ja) | 不正接続防止装置及びプログラム | |
JP5267893B2 (ja) | ネットワーク監視システム、ネットワーク監視方法、及びネットワーク監視プログラム | |
JP2008227601A (ja) | 通信妨害装置及び通信妨害プログラム | |
JP2009225046A (ja) | 通信妨害装置及び通信妨害プログラム | |
JP2009081736A (ja) | パケット転送装置及びパケット転送プログラム | |
JP2009181359A (ja) | ピア・ツー・ピア通信制御装置 | |
JP2006190057A (ja) | 不正接続検知システム | |
RU2776349C1 (ru) | Системы и способы использования сообщений dns для селективного сбора компьютерных криминалистических данных | |
CN113037704B (zh) | 检测装置以及检测方法 | |
TWI709309B (zh) | 網管裝置及其網管方法 | |
JP4710889B2 (ja) | 攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策装置、及び攻撃パケット対策プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090129 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090428 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090908 |