JP2009225046A - 通信妨害装置及び通信妨害プログラム - Google Patents

通信妨害装置及び通信妨害プログラム Download PDF

Info

Publication number
JP2009225046A
JP2009225046A JP2008066624A JP2008066624A JP2009225046A JP 2009225046 A JP2009225046 A JP 2009225046A JP 2008066624 A JP2008066624 A JP 2008066624A JP 2008066624 A JP2008066624 A JP 2008066624A JP 2009225046 A JP2009225046 A JP 2009225046A
Authority
JP
Japan
Prior art keywords
terminal
arp
address
unauthorized
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2008066624A
Other languages
English (en)
Inventor
Masahiko Yoshimura
政彦 吉村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Digital Solutions Corp
Original Assignee
Toshiba Corp
Toshiba Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Solutions Corp filed Critical Toshiba Corp
Priority to JP2008066624A priority Critical patent/JP2009225046A/ja
Publication of JP2009225046A publication Critical patent/JP2009225046A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】不正端末であった端末が正規端末となった場合に、その端末からの通信を可能とする。
【解決手段】パケット収集部51は、端末から送出されたARP要求パケットを収集する。問合せ部52は、ARP要求パケットを送出した端末が正規端末であるか不正端末であるかを判定する。問合せ結果キャッシュ部43は、ARP要求パケットに含まれる発信元端末情報及び問合せ部52による判定結果を対応付けて保持する。ARPパケット送出部53は、不正端末から正規端末に変更された端末を示す発信元端末情報に対応付けて問合せ結果キャッシュ部43に保持されている判定結果が不正端末であることを示すと判定された場合、端末に割り当てられていないIPアドレスを含む予め定められた数のARP応答パケットを、不正端末から正規端末に変更された端末に対して送出する。
【選択図】図2

Description

本発明は、ネットワークへの接続が許可されていない不正端末の通信を妨害する通信妨害装置及び通信妨害プログラムに関する。
近年、コンピュータネットワークへの接続が許可されていない端末(以下、不正端末と表記)の通信を妨害する通信妨害装置が開発されている。
このような通信妨害装置においては、不正端末を検出し、当該不正端末の通信を妨害するためにARP(Address Resolution Protocol)パケットが利用される。このARPパケットは、例えばある端末のアドレス情報を解決するため、つまり、ある端末のIP(Internet Protocol)アドレスから当該端末のMAC(Media Access Control)アドレスを取得するために用いられる。
通信妨害装置は、例えばブロードキャストパケットであるARP要求パケットを監視する。ARP要求パケットは、当該ARP要求パケットの発信元となる端末(以下、発信元端末と表記)のIPアドレス及びMACアドレスと、当該発信元端末の通信相手となる端末(以下、通信相手端末と表記)のIPアドレスとを含む。発信元端末は、ARP要求パケットを送出することにより、当該ARP要求パケットに含まれるIPアドレスが割り当てられている通信相手端末に対して、当該通信相手端末のMACアドレスを含むARP応答パケットを応答として返すように要求する。
通信妨害装置は、上記したようなARP要求パケットを監視することにより、ARP要求パケットに含まれる発信元端末のMACアドレスもしくはIPアドレスを参照する。これにより、発信元端末がネットワークへの接続が許可されている端末(以下、正規端末と表記)として予め登録されているか否かを判定し、不正端末を検出する。
ここで、通信妨害装置によって監視されたARP要求パケットの発信元端末が、正規端末として登録されていない不正端末である場合を想定する。この場合、通信相手端末のMACアドレスとは異なる偽りのMACアドレスが埋め込まれたARP応答パケットが、当該不正端末に送出される。これにより、不正端末のARPキャッシュを正しくない状態にすることができる。よって、不正端末は、通信相手端末のMACアドレスが分からないため、当該通信相手端末とは通信することができない。その結果、不正端末は、通信が妨害され、ネットワークから切り離された状態になる。
また、不正端末が静的にARPキャッシュ(ARPテーブル)を設定していた場合に、ARP要求パケットを受信した通信相手端末が不正端末と通信することを防ぐために、通信相手端末に偽のARP要求パケットを送出し、不正端末との通信を妨害する。
上記したような技術として、例えば不正端末が静的にARPテーブルを設定した場合でもアクセス制限を行うことが可能であり、かつ、通信端末の組み合わせでアクセス制御を行うことを可能とする技術が開示されている(例えば、特許文献1を参照)。
また、ネットワークへの接続を許可されていない不許可装置によりブロードキャストされたARPリクエストに対して、情報処理装置から正しいARP応答パケットが不許可装置へ送信された後に、情報処理装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットを不許可装置へ送信する技術が開示されている(例えば、特許文献2を参照)。この技術によれば、ネットワークへの接続を許可されていない情報処理装置である不許可装置が、そのネットワークに接続し、当該ネットワーク内部の情報処理装置に接続することを防止することが可能となる。
特開2004−185498号公報 特開2005−79706号公報
ところで、不正端末か否かは、定常とは限らない。つまり、それまで不正端末であっても、ある時点から正規端末となる場合もある。例えば、不正端末であった端末が正規端末となった場合、すなわち不正端末が正規端末として登録された場合を想定する。この場合、この端末は不正端末であったため、上記したような通信妨害装置により当該端末のARPキャッシュが正しくない状態にされている場合がある。
一方、例えばARP要求パケットにより解決された通信相手端末のアドレス情報は、当該ARP要求パケットの発信元端末のARPキャッシュに一定期間保持される。この間の通信相手端末との通信には、ARPキャッシュに保持されているアドレス情報が使用される。このため、ARPキャッシュにアドレス情報が残っている限りARP要求パケットは送出されない。ARPキャッシュに保持されているアドレス情報は、一定期間経過するとクリアされる。しかしながら、この一定期間は、例えばプラットフォーム(OS:Operating System)により異なっており、数分から数時間という幅がある。
上記したように端末が不正端末から正規端末となった場合であっても、例えば正しくない状態にされているARPキャッシュ内のアドレス情報は、すぐに正常に戻るとは限らない。そのため、正規端末となった端末であるにもかかわらず、ARPキャッシュ上にアドレス情報が残っている端末との通信を行うことができない。正規端末となった端末であっても、そのときにARPキャッシュの状態が正しくない場合、上記したようにARPキャッシュに保持されているアドレス情報がクリアされない限り、通信を行うことができない状態が継続する。
すなわち、正規端末として登録された場合であっても、正常な通信を実行できるまでにしばらく時間を要する場合がある。
そこで、本発明の目的は、不正端末であった端末が正規端末となった場合に、その端末からの通信を可能とする通信妨害装置及び通信妨害プログラムを提供することにある。
本発明の1つの態様によれば、各種パケットを通信可能なネットワークに接続された通信妨害装置が提供される。この通信妨害装置は、前記ネットワークに接続された端末から送出された当該端末を示す発信元端末情報を含むARP要求パケットを、前記ネットワーク上から収集する収集手段と、前記ネットワークへの接続が許可されている正規端末を示す登録情報を予め格納する格納手段と、前記収集されたARP要求パケットに含まれる発信元端末情報によって示される端末が前記正規端末であるか前記ネットワークへの接続が許可されていない不正端末であるかを、前記格納手段に格納されている登録情報に基づいて判定する第1の判定手段と、前記収集されたARP要求パケットに含まれる発信元端末情報及び前記第1の判定手段による判定結果を対応付けて保持する保持手段と、前記端末が前記不正端末から前記正規端末に変更されたことを示す変更通知を入力する入力手段と、前記保持手段を参照して、前記入力された変更通知によって示される前記不正端末から前記正規端末に変更された端末を示す発信元端末情報に対応付けられている判定結果が前記不正端末であることを示すかを判定する第2の判定手段と、前記判定結果が前記不正端末であることを示すと前記第2の判定手段によって判定された場合、前記ネットワーク上に存在する端末に割り当てられているIPアドレス以外のIPアドレスを含む予め定められた数のARP応答パケットを、前記不正端末から前記正規端末に変更された端末に対して送出する送出手段とを具備する。
本発明によれば、不正端末であった端末が正規端末となった場合に、その端末からの通信を可能とする。
以下、図面を参照して、本発明の実施形態について説明する。
図1は、本発明の実施形態に係る通信妨害装置が接続されるネットワークシステムについて説明するための図である。
図1に示すように、複数の端末はネットワーク30と接続されている。ネットワーク30は、例えばLAN(Local Area Network)のような各種パケットを通信可能なネットワークである。複数の端末は、端末21及び端末22を含む。なお、図1には端末21及び端末22以外の端末は省略されている。端末21及び端末22を含む複数の端末は、それぞれ後述するARPキャッシュを有する。
ネットワーク30には、コンピュータ10が接続されている。コンピュータ10は、例えばハードディスクドライブのような外部記憶装置40と接続されている。この外部記憶装置40は、コンピュータ10によって実行されるプログラム41を格納する。コンピュータ10及び外部記憶装置40は、通信妨害装置50を構成する。
図2は、図1に示す通信妨害装置50の主として機能構成を示すブロック図である。通信妨害装置50は、パケット収集部51、問合せ部52、ARPパケット送出部53及び登録情報受付部54を有する。本実施形態において、これらの各部51乃至54は、図1に示すコンピュータ10が外部記憶装置40に格納されているプログラム41を実行することにより実現されるものとする。このプログラム41は、コンピュータ読取可能な記憶媒体に予め格納して頒布可能である。また、このプログラム41が、ネットワーク30を介してコンピュータ10にダウンロードされても構わない。
通信妨害装置50は、端末登録情報格納部42を有する。本実施形態において、この端末登録情報格納部42は図1に示す外部記憶装置40に格納される。また、通信妨害装置50は、問合せ結果キャッシュ部43を有する。本実施形態において、この問合せ結果キャッシュ部43は例えば図1に示すコンピュータ10に備えられるメモリ内にその領域が確保されている。
パケット収集部51は、ネットワーク30上のARP(Address Resolution Protocol)要求パケットを収集する。ARP要求パケットは、ネットワーク30に接続される複数の端末から送出される。このARP要求パケットは、例えば当該ARP要求パケットの発信元となる端末(以下、発信元端末と表記)の通信相手となる端末(以下、通信相手端末と表記)のIP(Internet Protocol)アドレスから、当該通信相手端末のMAC(Media Access Control)アドレスを取得するために用いられる。また、ARP要求パケットは、例えばネットワーク30に接続される全ての端末等(通信妨害装置50を含む)に送出されるブロードキャストパケットである。
ARP要求パケットには、発信元端末を示す発信元端末情報及び通信相手端末を示す通信相手端末情報が含まれる。発信元端末情報は、発信元端末に割り当てられているIPアドレス及び当該発信元端末を特定するためのMACアドレスを含む。通信相手端末情報は、通信相手端末に割り当てられているIPアドレスを含む。以下、端末に割り当てられているIPアドレスを単に端末のIPアドレス(例えば、発信元端末のIPアドレス等)と表記する。同様に、端末を特定するためのMACアドレスを単に端末のMACアドレス(例えば、発信元端末のMACアドレス等)と表記する。
ARP要求パケットがブロードキャストにより発信元端末から送出されると、当該ARP要求パケットに含まれる通信相手端末情報に含まれるIPアドレスが割り当てられている通信相手端末は、当該ARP要求パケットに対する応答として、当該通信相手端末自身のMACアドレスを含むARP応答パケットを発信元端末に対して送出する。このARP応答パケットを受信することにより、発信元端末は、通信相手端末のMACアドレスを取得する。なお、このARP応答パケットは、例えばARP要求パケットの発信元端末を指定して送出されるユニキャストパケットである。ARP応答パケットには、例えば当該ARP応答パケットを送出する端末(ARP要求パケットにおける通信相手端末)のMACアドレス及びIPアドレスと、当該ARP応答パケットの送出先となる端末(ARP要求パケットにおける発信元端末)のMACアドレス及びIPアドレスとが含まれる。
問合せ部52は、パケット収集部51によって収集された複数のARP要求パケットの各々を送出した発信元端末が、ネットワーク30への接続が許可されている端末(以下、正規端末と表記)であるか、または当該ネットワーク30への接続が許可されていない端末(以下、不正端末と表記)であるかを判定する。問合せ部52は、パケット収集部51によって収集されたARP要求パケットに含まれる発信元端末情報に基づいて判定処理を実行する。また、問合せ部52は、端末登録情報格納部42を参照して判定処理を実行する。
端末登録情報格納部42には、ネットワーク30への接続が許可されている正規端末を示す登録情報が予め格納(登録)されている。この登録情報は、例えば正規端末である端末のIPアドレス及びMACアドレスを含む。なお、端末登録情報格納部42に格納されている登録情報は、例えば通信妨害装置50の管理者によって追加または削除等、各種変更される。
問合せ結果キャッシュ部43には、パケット収集部51によって収集された複数のARP要求パケットの各々に含まれている発信元端末情報及び当該発信元端末情報によって示される発信元端末が正規端末であるか不正端末であるかの問合せ部52による判定結果が保持される。
ARPパケット送出部53は、問合せ部52によって発信元端末が不正端末であると判定された場合、当該発信元端末の通信相手となる通信相手端末のMACアドレスとは異なるMACアドレスを含む偽ARP応答パケットを、当該発信元端末に対して送出する。つまり、ARPパケット送出部53は、通信相手端末を送信元として偽ARP応答パケットを送出する。この偽ARP応答パケットは、例えば特定のARP要求パケットに応じて送出されるものではなく、独立して発信元端末に送出される。
このとき、ARPパケット送出部53は、例えば発信元端末からブロードキャストにより送出されたARP要求パケットを受信した通信相手端末から、当該通信相手端末のMACアドレスを含むARP応答パケットが送出された後に偽ARP応答パケットを送出する。なお、上記した通信相手端末のMACアドレスとは異なるMACアドレスは、例えば通信妨害装置50のMACアドレスまたはネットワーク30上に存在しないMACアドレス等を含む。
前述した端末(ここでは、発信元端末)が有するARPキャッシュには、例えばARP要求パケットにより解決された通信相手端末のアドレス情報が保持される。このアドレス情報は、通信相手端末のIPアドレス及びMACアドレスを示す。ネットワーク30に接続されている端末は、当該端末が有するARPキャッシュに保持されているアドレス情報に基づいて、通信相手端末との通信を行う。なお、ARPキャッシュに保持されるアドレス情報は、例えば一定期間経過するとクリアされる。また、この一定期間は、例えばプラットフォーム(OS:Operating System)により異なる。
ここで、例えばネットワーク30に接続される発信元端末(例えば、端末21)が不正端末である場合を想定する。この場合に、端末21がブロードキャストにより通信相手端末を例えば端末22とするARP要求パケットを送出したものとする。この場合、このARP要求パケットを受信した端末22は、当該端末22のアドレス情報(IPアドレス及びMACアドレス)を含むARP応答パケットを端末21に対して送出する。端末21は、端末22から送出されたARP応答パケットを受信すると、当該ARP応答パケットに含まれる端末22のアドレス情報を端末21が有するARPキャッシュに保持する。この後にARPパケット送出部53によって端末21に対して偽ARP応答パケットが送出されると、端末21は、当該偽ARP応答パケットに含まれる端末22のIPアドレス及び当該端末22のMACアドレスとは異なるMACアドレスを含むアドレス情報を、当該端末22のARPキャッシュに保持(上書き)する。これにより、例えば不正端末である端末21のARPキャッシュには、端末22のIPアドレス及びMACアドレスを含むアドレス情報は保持されず、当該端末22のIPアドレス及び当該端末22のMACアドレスとは異なるMACアドレスを含むアドレス情報が保持される。このため、端末21のARPキャッシュは正しくない状態となる。よって、端末21が不正端末である場合においては、当該端末21は、端末22と正常に通信することができなくなる。
また、ARPパケット送出部53は、例えば問合せ結果キャッシュ部43に保持されている発信元端末情報によって示される発信元端末が不正端末から正規端末に変更された場合、ネットワーク30上に存在する端末等(ネットワーク30に接続されている端末等)に割り当てられているIPアドレス以外のIPアドレス及び任意のMACアドレスを含む偽ARP応答パケットを、当該発信元端末に対して送出する。このとき、ARPパケット送出部53は、不正端末から正規端末に変更された発信元端末が有するARPキャッシュをオーバーフローさせるために、当該ARPキャッシュをオーバーフローさせるために十分な予め定められた数(多数)のARP応答パケットを送出する。
なお、上記したように偽ARP応答パケットに含まれるIPアドレスは、ネットワーク30上に存在する端末に割り当てられているIPアドレスではないIPアドレスである。一方、偽ARP応答パケットに含まれるMACアドレスは、例えばネットワーク30上に存在する端末等を特定するための実際のMACアドレスでも構わない。具体的には、例えば偽ARP応答パケットに含まれるMACアドレスとして通信妨害装置50のMACアドレスを用いても構わない。
ARPパケット送出部53は、上記した予め定められた数の偽ARP応答パケットが送出された後、例えば正規端末であることを示す問合せ部52による判定結果に対応付けて問合せ結果キャッシュ部43に保持されている発信元端末情報(つまり、当該発信元端末情報によって示される発信元端末のIPアドレス及びMACアドレス)を含むARP応答パケットを、不正端末から正規端末に変更された発信元端末に対して送出する。
また、ARPパケット送出部53は、例えば問合せ結果キャッシュ部43に保持されている発信元端末情報によって示される発信元端末が不正端末に変更された場合、当該発信元端末を示す発信元端末情報(当該発信元端末のIPアドレス及びMACアドレス)を含むARP応答パケットを、ネットワーク30上の全てのホストアドレスに対して送信する。この場合、ARPパケット送出部53は、端末登録情報格納部42に格納されている登録情報によって示される全ての正規端末に対してARP応答パケットを送出する。つまり、ARPパケット送出部53は、端末登録情報格納部42に格納されている登録情報に含まれるIPアドレス及びMACアドレスを用いて、ARP応答パケットを正規端末に対して送出する。なお、不正端末から正規端末に変更された発信元端末のIPアドレス及びMACアドレスは、問合せ結果キャッシュ部43に保持されている。
なお、これらのARP応答パケットは、上記したように例えば特定のARP要求パケットに応じて送出されるものではなく、独立して送出されるパケットである。
登録情報受付部54は、例えば通信妨害装置50の管理者による正規端末を示す登録情報の追加または削除等の変更を示す変更通知を入力(受信)する。この変更通知には、例えば変更された端末のMACアドレス(またはIPアドレス)及び当該端末が正規端末または不正端末に変更されたこと(を示す情報)が含まれる。
なお、変更通知は、例えば正規端末のIPアドレス及びMACアドレス等を管理する管理サーバ等が存在する場合には当該管理サーバから通知され、通信妨害装置50に入力される。一方、このような管理サーバが存在しない場合には、例えば通信妨害装置50の管理者の操作に応じて変更通知が入力される。
登録情報受付部54は、入力された変更通知に応じて、端末登録情報格納部42に格納されている登録情報の変更処理を実行する。登録情報受付部54は、入力された変更通知によって示される例えば不正端末から正規端末に変更された端末を示す発信元端末情報が問合せ結果キャッシュ部43に保持されているか否かを判定する。登録情報受付部54は、例えば不正端末から正規端末に変更された端末を示す発信元端末情報に対応付けて問合せ結果キャッシュ部43に保持されている問合せ部52による判定結果が不正端末を示すか否かを判定する。また、登録情報受付部54は、入力された変更通知に応じて、問合せ結果キャッシュ部43に保持されている問合せ部52による判定結果を書き換える。
図3は、問合せ結果キャッシュ部43のデータ構造の一例を示す。図3に示すように、問合せ結果キャッシュ部43には、発信元端末を示す発信元端末情報及び状態(問合せ部52による判定結果)が対応付けて保持されている。発信元端末情報には、発信元端末のMACアドレス及びIPアドレスが含まれる。状態には、正規端末であることを示す「正規(端末)」または不正端末であることを示す「不正(端末)」が含まれる。
図3に示す例では、問合せ結果キャッシュ部43には、発信元端末Aを示す発信元端末情報「A(mac、ip)」及び状態「正規」が対応付けて保持されている。なお、「A(mac、ip)」は、発信元端末AのMACアドレス及びIPアドレスを示す。
問合せキャッシュ部43には、発信元端末Bを示す発信元端末情報「B(mac、ip)」及び状態「正規」が対応付けて保持されている。問合せキャッシュ部43には、発信元端末Cを示す発信元端末情報「C(mac、ip)」及び状態「不正」が対応付けて保持されている。また、問合せキャッシュ部43には、発信元端末Dを示す発信元端末情報「D(mac、ip)」及び状態「正規」が対応付けて保持されている。
次に、図4のフローチャートを参照して、発信元端末からARP要求パケットがブロードキャストにより送出された際の通信妨害装置50の処理手順について説明する。
まず、パケット収集部51は、発信元端末から送出されたARP要求パケットをネットワーク30上から収集する(ステップS1)。このパケット収集部51によって収集されたARP要求パケットには、発信元端末のIPアドレス及びMACアドレス(発信元端末情報)が含まれる。また、パケット収集部51によって収集されたARP要求パケットには、通信相手端末のIPアドレス(通信相手端末情報)が含まれる。
次に、問合せ部52は、パケット収集部51によって収集されたARP要求パケットを送出した発信元端末が正規端末であるか不正端末であるかを判定する(ステップS2)。問合せ部52は、パケット収集部51によって収集されたARP要求パケットに含まれる発信元端末のMACアドレス(及びIPアドレス)を含む登録情報が端末登録情報格納部42に存在するか否かによって判定処理を実行する。
問合せ部52は、パケット収集部51によって収集されたARP要求パケットに含まれる発信元端末を示す発信元端末情報(発信元端末のIPアドレス及びMACアドレス)及び当該問合せ部52による判定結果(正規または不正)を問合せ結果キャッシュ部43に登録する(ステップS3)。
ここで、問合せ部52による判定結果が不正である場合(ステップS4のNO)、ARPパケット送出部53は、パケット収集部51によって収集されたARP要求パケットに含まれる通信相手端末情報によって示される通信相手端末のMACアドレスとは異なるMACアドレスを含む偽ARP応答パケットを、発信元端末に対して送出する(ステップS5)。つまり、ARPパケット送出部53は、パケット収集部51によって収集されたARP要求パケットに含まれる通信相手端末情報によって示される通信相手端末を送信元として偽ARP応答パケットを送出する。
なお、ARPパケット送出部53は、例えば通信相手端末のMACアドレスを含むARP応答パケットが当該通信相手端末から送出された後に、偽ARP応答パケットを送出する。この通信相手端末から送出されたARP応答パケットは、発信元端末から送出されたARP要求パケットに対する応答である。この場合、ARPパケット送出部53は、例えば予め定められた一定期間が経過した場合に、通信相手端末からARP応答パケットが送出されたものとして偽ARP応答パケットを送出する。また、ARPパケット送出部53は、偽ARP応答パケットを複数回送出する構成であっても構わない。
一方、ステップS4において問合せ部52による判定結果が正規である場合、ステップS1に戻って処理が繰り返される。
次に、図5のフローチャートを参照して、端末登録情報格納部42に格納されている登録情報が変更された場合の通信妨害装置50の処理手順について説明する。
まず、登録情報受付部54は、例えば管理者による登録情報の変更を示す変更通知を入力(受信)する(ステップS11)。ここでは、登録情報受付部54によって入力された変更通知は、ネットワーク30上に存在する端末が不正端末から正規端末に変更されたことを示すものとする。なお、この変更通知は、例えば正規端末(のIPアドレス及びMACアドレス)の管理を行う管理サーバから通知される。登録情報受付部54は、入力された変更通知に応じて、端末登録情報格納部42に格納されている登録情報を変更する。
以下、変更通知によって示される不正端末から正規端末に変更された端末を対象端末として説明する。
次に、登録情報受付部54は、対象端末を示す発信元端末情報が問合せ結果キャッシュ部43に保持されているか否かを判定する。対象端末を示す発信元端末情報が問合せ結果キャッシュ部43に保持されていると判定された場合、登録情報受付部54は、当該発信元端末情報に対応付けて問合せ結果キャッシュ部43に保持されている状態(問合せ部52による判定結果)が不正であるか否かを判定する(ステップS12)。
問合せ結果キャッシュ部43に保持されている状態が不正であると判定された場合(ステップS12のYES)、登録情報受付部54は、当該問合せ結果キャッシュ部43に保持されている状態を正規に変更する(ステップS13)。
なお、上記したように問合せ結果キャッシュ部43に保持されている状態が不正である場合、当該状態に対応付けて問合せ結果キャッシュ部43に保持されている発信元端末情報によって示される発信元端末のARPキャッシュは、上記した例えば図4に示すフローチャートに示される処理によって正しくない状態にされている。つまり、この発信元端末は、不正端末から正規端末に変更された場合であっても、例えば一定期間経過後にARPキャッシュテーブルに保持されているアドレス情報がクリアされない限り通信相手端末と正常に通信を行うことができない。
そこで、ARPパケット送出部53は、ネットワーク30上に存在する端末に割り当てられているIPアドレス以外のIPアドレス及び任意のMACアドレス(例えば、通信妨害装置50のMACアドレス)を含む多数の偽ARP応答パケットを対象端末に対して送出する(ステップS14)。これにより、ARPパケット送出部53は、対象端末が有するARPキャッシュをオーバーフローさせる。なお、ARPパケット送出部53は、例えば対象端末が有するARPキャッシュをオーバーフローさせるために十分な数として予め定められた数(例えば、10000)の偽ARP応答パケットを送出する。
ここで、図6〜図8を参照して、多数の偽ARP応答パケットが対象端末に送出された際の当該対象端末が有するARPキャッシュの状態の遷移について説明する。
図6は、ARPパケット送出部53によって多数の偽ARP応答パケットが送出される前の対象端末が有するARPキャッシュ210の状態を示す。つまり、図6は、対象端末が不正端末から正規端末に変更された時点での当該対象端末が有するARPキャッシュ210の状態を示す。
図6に示すように、対象端末が有するARPキャッシュ210には、例えば領域0〜2000が含まれているものとする。このARPキャッシュ210では、当該ARPキャッシュ210に含まれる領域0〜2000の各領域にアドレス情報が保持可能である。このアドレス情報は、対象端末の通信相手となる端末(通信相手端末)のIPアドレス及びMACアドレスを含む。
上記したように対象端末が不正端末から正規端末に変更された時点では、ARPキャッシュ210には、図4に示すフローチャートに示される処理により正常でないアドレス情報が保持されている。
図6に示す例では、対象端末が有するARPキャッシュ210の領域0には、IPアドレス「10.0.0.1」及びMACアドレス「XX:XX:XX:XX:XX:XX」を含むアドレス情報211が保持されている。このIPアドレス「10.0.0.1」は、対象端末が不正端末である際に送出したARP要求パケットに含まれる通信相手端末情報によって示される通信相手端末のIPアドレスである。また、MACアドレス「XX:XX:XX:XX:XX:XX」は、IPアドレス「10.0.0.1」が割り当てられている端末(通信相手端末)のMACアドレスとは異なるMACアドレスである。
また、対象端末が有するARPキャッシュ210の領域1には、IPアドレス「10.0.0.2」及びMACアドレス「XX:XX:XX:XX:XX:XX」を含むアドレス情報212が保持されている。このIPアドレス「10.0.0.2」は、例えば対象端末が不正端末である際に送出したARP要求パケットに含まれる通信相手端末情報によって示される通信相手端末のIPアドレスである。また、MACアドレス「XX:XX:XX:XX:XX:XX」は、IPアドレス「10.0.0.2」が割り当てられている端末(通信相手端末)のMACアドレスとは異なるMACアドレスである。
このように、対象端末が有するARPキャッシュ210にアドレス情報211が保持されている以上、当該対象端末は、不正端末から正規端末に変更された場合であっても、当該アドレス情報211に含まれるIPアドレス「10.0.0.1」が割り当てられている端末にアクセスすることはできない。同様に、ARPキャッシュ210にアドレス情報212が保持されている以上、対象端末は、当該アドレス情報212に含まれるIPアドレス「10.0.0.2」が割り当てられている端末にアクセスすることはできない。
なお、ARPキャッシュ210には、上記したアドレス情報211及び212以外のアドレス情報は保持されていないものとする。つまり、ARPキャッシュ210において、領域0〜2000のうち、アドレス情報211及び212が保持されている領域0及び1以外(領域2〜2000)は空き領域であるものとする。
ここで、例えばARPキャッシュ210を有する対象端末に対して偽ARP応答パケットが送出された場合を想定する。この場合、ARPキャッシュ210においては、偽ARP応答パケットに含まれるIPアドレス及びMACアドレスを含むアドレス情報が上記したアドレス情報が保持されていない領域(つまり、空き領域)に保持される。
図7は、ARPパケット送出部53によって偽ARP応答パケットが送出された場合の対象端末が有するARPキャッシュ210の状態を示す。ここで送出された偽ARP応答パケットには、IPアドレス「YY.Y.Y.Y」及びMACアドレス「ZZ:ZZ:ZZ:ZZ:ZZ:ZZ」が含まれるものとする。上記したように、このIPアドレス「YY.Y.Y.Y」は、ネットワーク30上の端末に割り当てられているIPアドレス以外のIPアドレスである。また、MACアドレス「ZZ:ZZ:ZZ:ZZ:ZZ:ZZ」は任意のMACアドレス(例えば、通信妨害装置50のMACアドレス等)である。
図7に示すように、この偽ARP応答パケット対象端末に対して送出された場合、上記したように当該対象端末のARPキャッシュ210のアドレス情報が保持されていない領域(ここでは、領域2)に、当該偽ARP応答パケットに含まれるIPアドレス「YY.Y.Y.Y」及びMACアドレス「ZZ:ZZ:ZZ:ZZ:ZZ:ZZ」を含むアドレス情報213が保持される。
なお、図示していないが、ARPパケット送出部53は多数の偽ARP応答パケットを送出するので、この後に同じ偽ARP応答パケットが送出された場合にも同様に、ARPキャッシュ210の空き領域(例えば、領域3)に順にIPアドレス「YY.Y.Y.Y」及びMACアドレス「ZZ:ZZ:ZZ:ZZ:ZZ:ZZ」を含むアドレス情報213が保持される。このように、ARPキャッシュ210の領域2000にアドレス情報213が保持されるまで、つまり、当該ARPキャッシュ210に空き領域がなくなるまで、ARPキャッシュ210にアドレス情報213が保持される。
ここで、ARPパケット送出部53によって多数の偽ARP応答パケットが送出されたことにより、ARPキャッシュ210の領域0〜2000の全てにアドレス情報が保持され、当該ARPキャッシュ210に空き領域がない状態を想定する。この場合、ARPキャッシュ210の領域0にはアドレス情報211が保持されており、領域1にはアドレス情報212が保持されており、それ以外の領域2から2000にはアドレス情報213が保持されている。
このようにARPキャッシュ210の領域がアドレス情報で埋まっている状態において、更に上記したIPアドレス「YY.Y.Y.Y」及びMACアドレス「ZZ:ZZ:ZZ:ZZ:ZZ:ZZ」を含む偽ARP応答パケットが送出されると、IPアドレス「YY.Y.Y.Y」及びMACアドレス「ZZ:ZZ:ZZ:ZZ:ZZ:ZZ」を含むアドレス情報213が当該ARPキャッシュ210に保持されているアドレス情報のうち古いアドレス情報(ここでは、例えば領域0のアドレス情報211)に上書きされる。また、更に偽ARP応答パケットが送出されると、同様に、アドレス情報213が領域1のアドレス情報212に上書きされる。以下、更に偽ARP応答パケットが送出された場合にも同様に上書き処理が実行される。このように、対象端末が有するARPキャッシュ210をあふれさせることにより、当該ARPキャッシュ210は、図8に示す状態となる。
つまり、上記したように対象端末に対して多数の偽ARP応答パケットが送出され、当該対象端末が有するARPキャッシュ210をあふれさせることにより、図8に示すように、ARPキャッシュ210には、ネットワーク30上の端末に割り当てられていないIPアドレス「YY.Y.Y.Y」及び任意のMACアドレス「ZZ:ZZ:ZZ:ZZ:ZZ:ZZ」を含むアドレス情報213のみが保持される。
ここで、不正規端末から正規端末に変更された対象端末が有するARPキャッシュ210が図8に示すような状態である場合に、当該対象端末が例えばネットワーク30上に存在する端末と通信を行う場合を想定する。なお、対象端末は、例えばIPアドレス「10.0.0.1」が割り当てられている端末(通信相手端末)と通信を行うものとする。
上記したように、対象端末が有するARPキャッシュ210に保持されているアドレス情報に含まれるIPアドレスは、ネットワーク30上に存在する端末に割り当てられていないIPアドレスである。したがって、対象端末が有するARPキャッシュ210にはIPアドレス「10.0.0.1」を含むアドレス情報は保持されていない。このため、対象端末が通信相手端末と通信を行う場合には、当該対象端末は、通信相手端末にIPアドレス「10.0.0.1」を含むARP要求パケットを送出する。これにより、対象端末は、送出されたARP要求パケットに対する応答として、通信相手端末から当該通信相手端末のMACアドレスを含むARP応答パケットを受信する。
これにより、対象端末は、上記したようにARPキャッシュ210に保持されているアドレス情報がクリアされるまで待機することなく、通信相手端末と通信を行うことができる。なお、対象端末は、既に正規端末に変更されているため、ARP要求パケットを送出したとしても、上記した図4に示すフローチャートに示される処理によって通信が妨害されることはない。
なお、図6〜図8に示す例では、同一の偽ARP応答パケットが多数送出されたものとして説明したが、偽ARP応答パケットに含まれるIPアドレスがネットワーク30上に存在する端末に割り当てられているIPアドレス以外のIPアドレスであれば、異なる偽ARP応答パケットが送出されても構わない。
再び図5に戻ると、ARPパケット送出部53は、上記したステップS14の処理が実行された後、状態が正規である発信元端末のIPアドレス及びMACアドレスを含むARP応答パケット(正規のARP応答パケット)を対象端末に対して送出する(ステップS15)。ARPパケット送出部53は、状態「正規」に対応付けて問合せ結果キャッシュ部43に保持されている発信元端末情報に含まれるIPアドレス及びMACアドレスを含むARP応答パケットを対象端末に対して送出する。
ここで、図9を参照して、ARPキャッシュ210が上記した図8に示す状態である対象端末に対して、正規のARP応答パケットが送出された場合について説明する。図9は、ARPパケット送出部53によって正規のARP応答パケットが送出された場合の対象端末が有するARPキャッシュ210の状態を示す。
ARPパケット送出部53によって送出された正規のARP応答パケットは、IPアドレス「10.0.0.1」及びMACアドレス「00:00:AB:CD:EF:01」を含むものとする。このIPアドレス「10.0.01」は問合せ結果キャッシュ部43において状態「正規」に対応付けて保持されている発信元端末情報によって示される端末(発信元端末)に割り当てられているIPアドレスであり、MACアドレス「00:00:AB:CD:EF:01」は当該端末を特定するためのMACアドレスである。つまり、このIPアドレス及びMACアドレスを用いることによって、当該IPアドレスが割り当てられている端末(MACアドレスによって特定される端末)に対して通信を行うことができる。
この場合、図9に示すように、ARPパケット送出部53によって送出された正規のARP応答パケットに含まれるIPアドレス「10.0.0.1」及びMACアドレス「00:00:AB:CD:EF:01」を含むアドレス情報214が、ARPキャッシュ210に保持されている古いアドレス情報213に上書きされる。図9に示す例では、ARPキャッシュ210の領域0にアドレス情報214が上書きされている。これにより、対象端末は、例えば状態が正規である発信元端末(正規端末)にARP要求パケットを送出することなく、アドレス情報214を用いて当該発信元端末と通信することができる。
また、ARPパケット送出部53によって送出された正規のARP応答パケットにIPアドレス「10.0.0.2」及びMACアドレス「00:00:AB:CD:EF:02」が含まれている場合を想定する。この場合には、図9に示すように、IPアドレス「10.0.0.2」及びMACアドレス「00:00:AB:CD:EF:02」を含むアドレス情報215が、ARPキャッシュ210に保持されている古いアドレス情報213に上書きされる。図9に示す例では、ARPキャッシュ210の領域1にアドレス情報214が上書きされている。これにより、対象端末は、ARP要求パケットを送出することなく、アドレス情報214を用いて通信することができる。
再び図5に戻ると、ARPパケット送出部53は、問合せ結果キャッシュ部43に保持されている対象端末を示す発信元端末情報(対象端末のIPアドレス及びMACアドレス)を含むARP応答パケット(対象端末のARP応答パケット)を、端末登録情報格納部42に格納されている登録情報によって示される全ての正規端末に対して送出する(ステップS16)。このとき、ARPパケット送出部53は、端末登録情報格納部42に格納されている登録情報に含まれる正規端末のIPアドレス及びMACアドレスを用いて対象端末のARP応答パケットを送出する。
なお、対象端末のIPアドレス及びMACアドレスを含む対象端末のARP応答パケットをブロードキャストにより全ての正規端末に送出する構成であっても構わない。
この処理により、正規端末が有するARPキャッシュには、対象端末のIPアドレス及びMACアドレスを含むアドレス情報(対象端末のアドレス情報)が保持される。これにより、正規端末は、ARPキャッシュに保持された対象端末のアドレス情報を用いることによって対象端末にアクセスすることができる。
一方、ステップS12において、問合せ結果キャッシュ部43に保持されている状態が不正でないと判定された場合、ステップS11に戻って処理が繰り返される。また、問合せ結果キャッシュ部43に対象端末を示す発信元端末情報が保持されていない場合についても同様に、ステップS11に戻って処理が繰り返される。
上記したように本実施形態においては、例えば問合せ結果キャッシュ部43に保持されている発信元端末情報によって示される端末が不正端末から正規端末に変更された場合に、当該変更を示す変更通知を入力し、当該変更された端末(対象端末)に対して予め定められた数(多数)の偽ARP応答パケットが送出される。これにより、不正端末から正規端末に変更された対象端末が有するARPキャッシュをオーバーフローさせることで、当該対象端末が他の正規端末と通信を行う際にはARP要求パケットが送出されるので、当該ARPキャッシュに保持されているアドレス情報がクリアされるのを待機することなく対象端末からの通信を可能とする。
また、本実施形態においては、対象端末が有するARPキャッシュをオーバーフローさせた後に、状態「正規」に対応付けて問合せ結果キャッシュ43に保持されている発信元端末情報(発信元端末のIPアドレス及びMACアドレス)を含むARP応答パケットが対象端末に対して送出される。これにより、正規端末である発信元端末のアドレス情報が対象端末のARPキャッシュに保持されるので、対象端末はARP要求パケットを送出して当該正規端末(発信元端末)のMACアドレスを取得することなく当該正規端末と通信を行うことができる。
また、本実施形態においては、端末登録情報格納42に格納されている登録情報によって示される全ての正規端末に対して対象端末のIPアドレス及びMACアドレスが含まれるARP応答パケットが送出される。これにより、正規端末は、対象端末から送出されたARP応答パケットに含まれる対象端末のIPアドレス及びMACアドレスを用いて対象端末へアクセスすることが可能となる。
[変形例]
次に、図10〜図12を参照して、本実施形態の変形例について説明する。なお、本変形例に係る通信妨害装置の構成については、前述した本実施形態に係る通信妨害装置50と同様の構成であるので、図1及び図2を用いて説明する。
本変形例に係る通信妨害装置50は、前述した本実施形態とは異なり、ARPパケット送出部53によって偽ARP応答パケットが不正端末から正規端末に変更された端末(対象端末)に対して送出されている間に当該対象端末から送出されたARP要求パケットの数をカウントするリクエストカウンタ(図示せず)を有する。リクエストカウンタは、パケット収集部51によって収集された対象端末を示す発信元端末情報を含むARP要求パケットの数をカウントする。
問合せ結果キャッシュ部43には、パケット収集部51によって収集された複数のARP要求パケットの各々に含まれている発信元端末情報及び当該発信元端末情報によって示される発信元端末が正規端末であるか不正端末であるかの問合せ部52による判定結果に対応付けてリクエストカウンタによってカウントされた数(以下、リクエストカウント値と表記)が保持される。
ARPパケット送出部53は、問合せ結果キャッシュ部43に保持されているリクエストカウンタ値に基づいて、予め定められた数(例えば、2回)のARP要求パケットが対象端末によって送出されるまで当該対象端末に対して偽ARP応答パケットを送出する。この偽ARP応答パケットには、前述したようにネットワーク30上に存在する端末に割り当てられているIPアドレス以外のIPアドレス及び任意のMACアドレスが含まれる。
つまり、前述した本実施形態においては予め定められた数(例えば、10000)の偽ARP応答パケットが対象端末に対して送出されると当該偽ARP応答パケットの送出処理が停止されるのに対して、本変形例においては、送出される偽ARP応答パケットの数は定められておらず、当該対象端末からARP要求パケットが送出された回数で偽ARP応答パケットの送出処理が停止される点で前述した本実施形態とは異なる。
なお、上記したように偽ARP応答パケットの送出処理を停止するために用いられるARP要求パケットの送出回数は、予め定められているが、適宜変更可能である。以下、偽ARP応答パケットの送出処理を停止するために用いられるARP要求パケットの送出回数を、規定回数と表記する。
図10は、本変形例に係る通信妨害装置50が有する問合せ結果キャッシュ部43のデータ構造の一例を示す。図10に示すように、問合せ結果キャッシュ部43には、発信元端末を示す発信元端末情報、状態及びリクエストカウンタ値が対応付けて保持されている。このリクエストカウンタ値は、上記したように当該リクエストカウンタ値に対応付けられている発信元端末情報によって示される端末(発信元端末)が不正端末から正規端末に変更され、当該端末(対象端末)に対して偽ARP応答パケットが送出されている間に、当該端末によって送出されたARP要求パケットの数である。
図10に示す例では、問合せ結果キャッシュ部43には、発信元端末Aを示す発信元端末情報「A(mac、ip)」、状態「正規」及びリクエストカウンタ値「1」が保持されている。これによれば、発信元端末Aは、当該発信元端末Aに対して偽ARP応答パケット送出されている間にARP要求パケットを1回送出したことが示される。
問合せ結果キャッシュ部43には、発信元端末Bを示す発信元端末情報「B(mac、ip)」、状態「正規」及びリクエストカウンタ値「0」が保持されている。これによれば、例えば発信元端末Bは、当該発信元端末Bに対して偽ARP応答パケットが送出されている間にARP要求パケットをまだ送出していないか、または、当該偽ARP応答パケット送出処理が実行されていないことを示す。
問合せ結果キャッシュ部43には、発信元端末Cを示す発信元端末情報「C(mac、ip)」、状態「不正」及びリクエストカウンタ値「0」が保持されている。なお、状態「不正」である場合には、発信元端末Cは、対象端末(不正端末から正規端末に変更された端末)でないためリクエストカウンタ値は0である。
問合せ結果キャッシュ部43には、発信元端末Dを示す発信元端末情報「D(mac、ip)」、状態「正規」及びリクエストカウンタ値「0」が保持されている。
次に、図11のフローチャートを参照して、発信元端末からARP要求パケットがブロードキャストにより送出された際の本変形例に係る通信妨害装置50の処理手順について説明する。ここでは、上記した規定回数として例えば2回が予め定められているものとして説明する。
まず、前述した図4に示すステップS1に相当するステップS21の処理が実行される。
次に、問合せ部52は、パケット収集部51によって収集されたARP要求パケットを送出した発信元端末(当該ARP要求パケットに含まれる発信元端末情報によって示される発信元端末)に対して前述した図5に示すステップS14における偽ARP応答パケット送出処理を実行中(偽ARP応答パケット送出処理中)であるか否かを判定する(ステップS22)。この偽ARP応答パケットは、前述したようにネットワーク30上に存在する端末に割り当てられているIPアドレス以外のIPアドレス及びMACアドレスを含む。
なお、偽ARP応答パケット送出処理中である場合、パケット収集部51によって収集されたパケットを送出した発信元端末は、不正端末から正規端末に変更された対象端末である。
偽ARP応答パケット送出処理中であると判定された場合(ステップS22のYES)、問合せ部52は、対象端末(発信元端末)によって送出されたARP要求パケット(パケット収集部51によって収集されたARP要求パケット)が当該偽ARP応答パケット送出処理中における1回目のARP要求パケットであるか否かを判定する(ステップS23)。つまり、問合せ部52は、対象端末によって送出されたARP要求パケットがARP応答パケット送出処理を開始して初めてのものであるか否かを判定する。
このとき、問合せ部52は、パケット収集部51によって収集されたARP要求パケットを送出した対象端末(発信元端末)に対応付けて問合せ結果キャッシュ部43に保持されているリクエストカウンタ値を参照して、判定処理を実行する。つまり、対象端末(を示す発信元端末情報)に対応付けて問合せ結果キャッシュ部43に保持されているリクエストカウンタ値が0であれば偽ARP応答パケット送出処理中における1回目のARP要求パケットであると判定される。
偽ARP応答パケット送出処理中における1回目のARP要求パケットでないと判定された場合(ステップS23のNO)、問合せ部52は、偽ARP応答パケット送出処理中における2回目のARP要求パケットであると判定する。この場合、問合せ部52は、対象端末に対応付けて問合せ結果キャッシュ部43に保持されているリクエストカウンタ値をクリア、つまり、当該リクエストカウンタ値を0にする(ステップS24)。
偽ARP応答パケット送出処理中における2回目のARP要求パケットであると判定された場合、ARPパケット送出部53は、対象端末が有するARPキャッシュがあふれた、つまり、当該ARPキャッシュがオーバーフローしたためにARP要求パケットが送出されたものとみなして、対象端末に対する偽ARP応答パケット送出処理を停止する(ステップS25)。
ステップS25の処理が実行されると、前述した図4に示すステップS2〜ステップS5に相当するステップS26〜ステップS29の処理が実行される。
一方、ステップS22において、偽ARP応答パケット送出処理中でないと判定された場合には、ステップS26以降の処理が実行される。
また、ステップS23において、偽ARP応答パケット送出処理中における1回目のARP応答パケットであると判定された場合、対象端末に対応付けて問合せ結果キャッシュ部43に保持されているリクエストカウンタ値に1を加える(ステップS30)。つまり、対象端末に対応付けて問合せ結果キャッシュ部43に保持されているリクエストカウンタ値を1にする。これにより、偽ARP応答パケット送出処理中に対象端末から1回ARP要求パケットが送出されたことが示される。ステップS30の処理が実行されると、ステップS26以降の処理が実行される。
なお、上記したように規定回数が2回である場合にはリクエストカウンタ値は0または1のみであるため、この場合にはリクエストカウンタに代えてフラグを用いる構成であっても構わない。
また、図11においては、規定回数が2回であるものとして説明したが、上記したように当該規定回数は適宜変更可能であるため、当該規定回数は2回に限られない。規定回数は例えば1回であってもよいが、1回ARP要求パケットが対象端末から送出されただけでは、当該対象端末が有するARPキャッシュがオーバーフローしたとみなすには信頼性が低いため、規定回数は例えば2回以上の複数回であることが好ましい。
次に、図12のフローチャートを参照して、端末登録情報格納部42に格納されている登録情報が変更された場合の本変形例に係る通信妨害装置50の処理手順について説明する。
まず、前述した図5に示すステップS11〜ステップS13に相当するステップS31〜ステップS33の処理が実行される。
次に、ARPパケット送出部53は、ネットワーク30上に存在する端末に割り当てられているIPアドレス以外のIPアドレス及び任意のMACアドレスを含む偽ARP応答パケットを、上記した図11に示すステップS25において偽ARP応答パケットの送出処理が停止されるまで対象端末に対して送出する(ステップS34)。
ステップS34の処理が実行されると、前述した図5に示すステップS15及びステップS16に相当するステップS35及びステップS36の処理が実行される。
上記したように本変形例においては、前述した本実施形態と異なり、ネットワーク30上に存在する端末に割り当てられているIPアドレス以外のIPアドレス及び任意のMACアドレスを含む偽ARP応答パケットが、対象端末から例えば2回ARP要求パケットが送出される(2回ARP要求パケットがパケット収集部51によって収集される)まで送出される。つまり、本変形例においては、ARP要求パケットが対象端末から2回送出されると、当該対象端末が有するARPキャッシュがオーバーフローしたものとみなされる。これにより、前述した本実施形態では対象端末が有するARPキャッシュをオーバーフローさせるために、十分な多数の偽ARP応答パケット送出されるのに対して、本変形例においては、上記したように対象端末が有するARPキャッシュのオーバーフローを認識することによって余分な偽ARP応答パケットを送出することを抑制できる。したがって、本変形例においては、余分な偽ARP応答パケットを送出することなく、当該対象端末が他の正規端末と通信を行う際にはARP要求パケットが送出させることができるので、当該ARPキャッシュに保持されているアドレス情報がクリアされるのを待機することなく当該対象端末からの通信を可能とする。
なお、本願発明は、上記実施形態またはその変形例そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態またはその変形例に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態またはその変形例に示される全構成要素から幾つかの構成要素を削除してもよい。更に、実施形態またはその変形例に亘る構成要素を適宜組合せてもよい。
本発明の実施形態に係る通信妨害装置が接続されるネットワークシステムについて説明するための図。 図1に示す通信妨害装置50の主として機能構成を示すブロック図。 問合せ結果キャッシュ部43のデータ構造の一例を示す図。 発信元端末からARP要求パケットがブロードキャストにより送出された際の通信妨害装置50の処理手順を示すフローチャート。 端末登録情報格納部42に格納されている登録情報が変更された場合の通信妨害装置50の処理手順を示すフローチャート。 ARPパケット送出部53によって多数の偽ARP応答パケットが送出される前の対象端末が有するARPキャッシュ210の状態を示す図。 ARPパケット送出部53によって偽ARP応答パケットが送出された場合の対象端末が有するARPキャッシュ210の状態を示す図。 ARPパケット送出部53によって多数の偽ARP応答パケットが送出された後の対象端末が有するARPキャッシュ210の状態を示す図。 ARPパケット送出部53によって正規のARP応答パケットが送出された場合の対象端末が有するARPキャッシュ210の状態を示す図。 本実施形態の変形例に係る通信妨害装置50が有する問合せ結果キャッシュ部43のデータ構造の一例を示す。 発信元端末からARP要求パケットがブロードキャストにより送出された際の本変形例に係る通信妨害装置50の処理手順を示すフローチャート。 端末登録情報格納部42に格納されている登録情報が変更された場合の本変形例に係る通信妨害装置50の処理手順を示すフローチャート。
符号の説明
10…コンピュータ、21,22…端末、30…ネットワーク、40…外部記憶装置、42…端末登録情報格納部、43…問合せ結果キャッシュ部(保持手段)、50…通信妨害装置、51…パケット収集部、52…問合せ部、53…ARPパケット送出部、54…登録情報受付部。

Claims (5)

  1. 各種パケットを通信可能なネットワークに接続された通信妨害装置において、
    前記ネットワークに接続された端末から送出された当該端末を示す発信元端末情報を含むARP要求パケットを、前記ネットワーク上から収集する収集手段と、
    前記ネットワークへの接続が許可されている正規端末を示す登録情報を予め格納する格納手段と、
    前記収集されたARP要求パケットに含まれる発信元端末情報によって示される端末が前記正規端末であるか前記ネットワークへの接続が許可されていない不正端末であるかを、前記格納手段に格納されている登録情報に基づいて判定する第1の判定手段と、
    前記収集されたARP要求パケットに含まれる発信元端末情報及び前記第1の判定手段による判定結果を対応付けて保持する保持手段と、
    前記端末が前記不正端末から前記正規端末に変更されたことを示す変更通知を入力する入力手段と、
    前記保持手段を参照して、前記入力された変更通知によって示される前記不正端末から前記正規端末に変更された端末を示す発信元端末情報に対応付けられている判定結果が前記不正端末であることを示すかを判定する第2の判定手段と、
    前記判定結果が前記不正端末であることを示すと前記第2の判定手段によって判定された場合、前記ネットワーク上に存在する端末に割り当てられているIPアドレス以外のIPアドレスを含む予め定められた数のARP応答パケットを、前記不正端末から前記正規端末に変更された端末に対して送出する送出手段と
    を具備することを特徴とする通信妨害装置。
  2. 前記送出手段は、前記予め定められた数のARP応答パケットが送出された後に、前記正規端末であることを示す判定結果に対応付けて前記保持手段に保持されている発信元端末情報を含むARP応答パケットを、前記不正端末から前記正規端末に変更された端末に対して更に送出し、前記保持手段に保持されている前記不正端末から前記正規端末に変更された端末を示す発信元端末情報を含むARP応答パケットを、前記格納手段に格納されている登録情報によって示される正規端末に対して更に送出することを特徴とする請求項1記載の通信妨害装置。
  3. 各種パケットを通信可能なネットワークに接続された通信妨害装置において、
    前記ネットワークに接続された端末から送出された当該端末を示す発信元端末情報を含むARP要求パケットを、前記ネットワーク上から収集する収集手段と、
    前記ネットワークへの接続が許可されている正規端末を示す登録情報を予め格納する格納手段と、
    前記収集されたARP要求パケットに含まれる発信元端末情報によって示される端末が前記正規端末であるか前記ネットワークへの接続が許可されていない不正端末であるかを、前記格納手段に格納されている登録情報に基づいて判定する第1の判定手段と、
    前記収集されたARP要求パケットに含まれる発信元端末情報及び前記第1の判定手段による判定結果を対応付けて保持する保持手段と、
    前記端末が前記不正端末から前記正規端末に変更されたことを示す変更通知を入力する入力手段と、
    前記保持手段を参照して、前記入力された変更通知によって示される前記不正端末から前記正規端末に変更された端末を示す発信元端末情報に対応付けられている判定結果が前記不正端末であることを示すかを判定する第2の判定手段と、
    前記判定結果が前記不正端末であることを示すと前記第2の判定手段によって判定された場合、前記ネットワーク上に存在する端末に割り当てられているIPアドレス以外のIPアドレスを含むARP応答パケットを、前記不正端末から前記正規端末に変更された端末から予め定められた数のARP要求パケットが送出されるまで、前記正規端末から前記不正端末に変更された端末に対して送出する送出手段と
    を具備することを特徴とする通信妨害装置。
  4. 前記送出手段によって前記ARP応答パケットが前記不正端末から前記正規端末に変更された端末に対して送出されている間に、当該端末を示す発信元端末情報を含むARP要求パケットが前記収集手段によって収集された数をカウントするカウンタを更に具備し、
    前記保持手段は、前記収集されたARP要求パケットに含まれる発信元端末情報に対応付けて前記カウンタによってカウントされたカウンタ値を保持し、
    前記送出手段は、前記保持手段に保持されているカウンタ値に基づいて、前記予め定められた数の前記不正端末から前記正規端末に変更された端末を示す発信元端末情報を含むARP要求パケットが前記収集手段によって収集されるまで前記ARP応答パケットを送出する
    ことを特徴とする請求項3記載の通信妨害装置。
  5. 各種パケットを通信可能なネットワークへの接続が許可されている正規端末を示す登録情報を予め格納する格納手段を含む外部記憶装置と、前記ネットワークに接続され、保持手段を備えるコンピュータとから構成される通信妨害装置において、前記コンピュータによって実行される通信妨害プログラムであって、
    前記コンピュータに、
    前記ネットワークに接続された端末から送出された当該端末を示す発信元端末情報を含むARP要求パケットを、前記ネットワーク上から収集するステップと、
    前記収集されたARP要求パケットに含まれる発信元端末情報によって示される端末が前記正規端末であるか前記ネットワークへの接続が許可されていない不正端末であるかを、前記格納手段に格納されている登録情報に基づいて判定するステップと、
    前記収集されたARP要求パケットに含まれる発信元端末情報及び前記判定結果を対応付けて前記保持手段に保持させるステップと、
    前記端末が前記不正端末から前記正規端末に変更されたことを示す変更通知を入力するステップと、
    前記保持手段を参照して、前記入力された変更通知によって示される前記不正端末から前記正規端末に変更された端末を示す発信元端末情報に対応付けられている判定結果が前記不正端末であることを示すかを判定するステップと、
    前記判定結果が前記不正端末であることを示すと判定された場合、前記ネットワーク上に存在する端末に割り当てられているIPアドレス以外のIPアドレスを含む予め定められた数のARP応答パケットを、前記不正端末から前記正規端末に変更された端末に対して送出するステップと
    を実行させるための通信妨害プログラム。
JP2008066624A 2008-03-14 2008-03-14 通信妨害装置及び通信妨害プログラム Pending JP2009225046A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008066624A JP2009225046A (ja) 2008-03-14 2008-03-14 通信妨害装置及び通信妨害プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008066624A JP2009225046A (ja) 2008-03-14 2008-03-14 通信妨害装置及び通信妨害プログラム

Publications (1)

Publication Number Publication Date
JP2009225046A true JP2009225046A (ja) 2009-10-01

Family

ID=41241393

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008066624A Pending JP2009225046A (ja) 2008-03-14 2008-03-14 通信妨害装置及び通信妨害プログラム

Country Status (1)

Country Link
JP (1) JP2009225046A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011104266A (ja) * 2009-11-20 2011-06-02 Hoya Corp Octプローブ、及びoctシステム

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000307657A (ja) * 1999-03-30 2000-11-02 Internatl Business Mach Corp <Ibm> ホスト・クラスタのためのネットワーク・ディスパッチャを利用するデータ伝送システムにおけるルータ監視システム
JP2002325077A (ja) * 2001-04-25 2002-11-08 Hitachi Software Eng Co Ltd ネットワーク管理方法及びネットワーク管理装置
JP2006310903A (ja) * 2005-04-26 2006-11-09 Hitachi Ltd 冗長化システムにおける回線切替制御方法
JP2008054204A (ja) * 2006-08-28 2008-03-06 Mitsubishi Electric Corp 接続装置及び端末装置及びデータ確認プログラム
JP2008060766A (ja) * 2006-08-30 2008-03-13 Mitsubishi Electric Corp ネットワーク監視装置、検疫システム、セキュアゲートウェイ、ネットワーク監視プログラム及びネットワーク監視方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000307657A (ja) * 1999-03-30 2000-11-02 Internatl Business Mach Corp <Ibm> ホスト・クラスタのためのネットワーク・ディスパッチャを利用するデータ伝送システムにおけるルータ監視システム
JP2002325077A (ja) * 2001-04-25 2002-11-08 Hitachi Software Eng Co Ltd ネットワーク管理方法及びネットワーク管理装置
JP2006310903A (ja) * 2005-04-26 2006-11-09 Hitachi Ltd 冗長化システムにおける回線切替制御方法
JP2008054204A (ja) * 2006-08-28 2008-03-06 Mitsubishi Electric Corp 接続装置及び端末装置及びデータ確認プログラム
JP2008060766A (ja) * 2006-08-30 2008-03-13 Mitsubishi Electric Corp ネットワーク監視装置、検疫システム、セキュアゲートウェイ、ネットワーク監視プログラム及びネットワーク監視方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011104266A (ja) * 2009-11-20 2011-06-02 Hoya Corp Octプローブ、及びoctシステム

Similar Documents

Publication Publication Date Title
US8250647B2 (en) Method and apparatus for automatic filter generation and maintenance
US11165869B2 (en) Method and apparatus for dynamic destination address control in a computer network
US8369346B2 (en) Method and system for restricting a node from communicating with other nodes in a broadcast domain of an IP (internet protocol) network
US10491561B2 (en) Equipment for offering domain-name resolution services
CN114145004B (zh) 用于使用dns消息以选择性地收集计算机取证数据的系统及方法
JP5581141B2 (ja) 管理サーバ、通信遮断装置、情報処理システム、方法およびプログラム
US8712917B2 (en) Software execution management apparatus, method, and computer-readable medium thereof
JP2008113409A (ja) トラフィック制御システム及び管理サーバ
JP2006040196A (ja) ソフトウェア監視システムおよび監視方法
JP2009225045A (ja) 通信妨害装置及び通信妨害プログラム
JP2008227600A (ja) 通信妨害装置及び通信妨害プログラム
JP4750750B2 (ja) パケット転送システムおよびパケット転送方法
JP5509999B2 (ja) 不正接続防止装置及びプログラム
JP2009225046A (ja) 通信妨害装置及び通信妨害プログラム
JP5267893B2 (ja) ネットワーク監視システム、ネットワーク監視方法、及びネットワーク監視プログラム
JP2009081736A (ja) パケット転送装置及びパケット転送プログラム
CN111683068A (zh) 失陷主机的定位方法、防护装置、网络安全设备及介质
KR100942719B1 (ko) 동적 호스트 설정 프로토콜 스누핑 기능을 구비한 장치
JP4381411B2 (ja) ウィルス感染監視装置およびプログラム
TWI709309B (zh) 網管裝置及其網管方法
JP2004146931A (ja) パケット転送装置およびパケット転送装置の不正アクセス検知時に於ける情報通知方法
US20230269236A1 (en) Automatic proxy system, automatic proxy method and non-transitory computer readable medium
JP2008227601A (ja) 通信妨害装置及び通信妨害プログラム
JP5958902B2 (ja) ネットワークシステム
KR101400136B1 (ko) 보안 시스템 및 그것의 동작 방법

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100726

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100803

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20101130