JP2010118745A - 検疫制御装置、検疫制御コンピュータプログラム、通信妨害方法、端末装置、エージェントコンピュータプログラム、コンピュータプログラムセット、及び誤学習処理方法 - Google Patents
検疫制御装置、検疫制御コンピュータプログラム、通信妨害方法、端末装置、エージェントコンピュータプログラム、コンピュータプログラムセット、及び誤学習処理方法 Download PDFInfo
- Publication number
- JP2010118745A JP2010118745A JP2008288835A JP2008288835A JP2010118745A JP 2010118745 A JP2010118745 A JP 2010118745A JP 2008288835 A JP2008288835 A JP 2008288835A JP 2008288835 A JP2008288835 A JP 2008288835A JP 2010118745 A JP2010118745 A JP 2010118745A
- Authority
- JP
- Japan
- Prior art keywords
- terminal device
- arp response
- mac address
- agent
- quarantine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【解決手段】通信の妨害処理を行う通信妨害部を備えた検疫制御装置であって、前記通信妨害部は、送信元IPアドレスが前記妨害対象端末装置のIPアドレスであり、送信元MACアドレスが検疫制御装置のMACアドレスである疑似ARP応答パケットをブロードキャスト送信する第1疑似ARP応答送信部と、疑似ARP応答パケットをユニキャスト送信する第2疑似ARP応答送信部と、第1疑似ARP応答送信部によってブロードキャスト送信された疑似ARP応答パケットでは、妨害対象端末装置のMACアドレスを誤学習させることができない誤学習不能端末装置を識別する識別部と、を備え、第2疑似ARP応答送信部は、誤学習不能端末装置に対して、疑似ARP応答パケットをユニキャスト送信する。
【選択図】図28
Description
InterSec/NQ30b,[online],NEC,[2008年10月1日検索],インターネット<http://www.express.nec.co.jp/pcserver/products/appliance/nq/index.html>
前記先の出願における妨害処理は、送信元IPアドレスが妨害対象端末装置のIPアドレスであり、送信元MACアドレスが偽MACアドレスである疑似ARP応答を、検疫制御装置がブロードキャスト送信することによって行われる。
Vista系OSにて実際に送受信されるパケットから推測すると、Vista系OSでは、ブロードキャストされたARP応答を受け取った場合、そのARP応答に含まれるMACアドレスを直ちに学習せず、そのARP応答の送信元IPアドレスを手がかりに、ARP応答の送信元に対してMACアドレスを確認する処理を行うためではないかと推察される。
なお、WindowsXP(登録商標)など、Vista系OSよりも前のバージョンのOSやVista系以外のその他のOSでは、ブロードキャスト疑似ARPにより誤学習をさせることができた。
しかし、各端末装置へユニキャストで疑似ARP応答を送信すると、パケットの通信量や検疫制御装置の処理量が増加するという問題が発生する。つまり、妨害対象端末装置が1台存在するごとに、ネットワーク内の全端末装置にユニキャスト疑似ARP応答を送信することになり、ネットワーク内の端末装置数と妨害対象端末装置の積に比例して負荷が増加する。
(1)本発明は、ネットワークに接続された端末装置のうち通信の妨害が必要とされる妨害対象端末装置について、通信の妨害処理を行う通信妨害部を備えた検疫制御装置であって、前記通信妨害部は、送信元IPアドレスが前記妨害対象端末装置のIPアドレスであり、送信元MACアドレスが前記妨害対象端末装置のMACアドレス以外の偽MACアドレスである疑似ARP応答を、ブロードキャスト送信する第1疑似ARP応答送信部と、送信元IPアドレスが前記妨害対象端末装置のIPアドレスであり、送信元MACアドレスが前記妨害対象端末装置のMACアドレス以外の偽MACアドレスである疑似ARP応答を、ユニキャスト送信する第2疑似ARP応答送信部と、前記第1疑似ARP応答送信部によってブロードキャスト送信された前記疑似ARP応答では、前記妨害対象端末装置のMACアドレスを誤学習させることができない誤学習不能端末装置を識別する識別部と、を備え、前記第2疑似ARP応答送信部は、前記識別部によって誤学習不能端末装置であると識別された端末装置に対して、前記疑似ARP応答をユニキャスト送信することを特徴とする検疫制御装置である。
妨害が必要ではない非妨害対象端末装置から妨害が必要な妨害対象端末装置に状態遷移した後の最初の妨害処理の際には、ネットワーク上の各端末装置が、妨害対象端末装置のMACアドレスを既に認識しているおそれがある。このため、状態遷移した後の最初の妨害処理の際には、妨害対象端末装置の通信相手以外の端末装置を、疑似ARP応答をユニキャスト送信する対象から除外せず、2回目以降において除外することで、確実な妨害が行える。
(14)他の観点からみた本発明は、コンピュータを、前記(1)〜(13)のいずれか1項に記載の検疫制御装置として機能させるための検疫制御コンピュータプログラムである。
(15)他の観点からみた本発明は、ネットワークに接続された端末装置のうち通信の妨害が必要とされる妨害対象端末装置について、通信の妨害処理を行う通信妨害方法であって、前記妨害処理では、送信元IPアドレスが前記妨害対象端末装置のIPアドレスであり、送信元MACアドレスが前記妨害対象端末装置のMACアドレス以外の偽MACアドレスである疑似ARP応答を、ブロードキャスト送信するとともに、前記第1疑似ARP応答送信部によってブロードキャスト送信された前記疑似ARP応答では、前記妨害対象端末装置のMACアドレスを誤学習させることができない誤学習不能端末装置に対して、送信元IPアドレスが前記妨害対象端末装置のIPアドレスであり、送信元MACアドレスが妨害対象端末装置のMACアドレス以外の偽MACアドレスである疑似ARP応答を、ユニキャスト送信することを特徴とする通信妨害方法である。なお、ブロードキャスト送信とユニキャスト送信の送信順序は特に限定されない。
(17)他の観点からみた本発明は、エージェントが搭載された端末装置であって、前記エージェントは、通信の妨害が必要とされる妨害対象端末装置のMACアドレス以外の偽MACアドレスが、前記妨害対象端末装置のMACアドレスであるとする誤学習を、当該エージェントが搭載された端末装置に対して行わせる誤学習処理部を備えていることを特徴とする端末装置である。この場合、エージェントが端末装置に対して、妨害対象端末装置のMACアドレスを誤学習させることができる。したがって、エージェントが搭載された端末装置に対しては、疑似ARP応答のユニキャスト送信をする必要がなく、通信量や処理量の増加を抑えることができる。
(22)他の観点からみた本発明は、コンピュータを、前記(17)〜(21)のいずれか1項に記載のエージェントとして機能させるためのエージェントコンピュータプログラムである。
(23)他の観点からみた本発明は、コンピュータを、前記(1)〜(13)のいずれか1項に記載の検疫制御装置として機能させるための検疫制御コンピュータプログラムと、コンピュータを、前記(17)〜(21)のいずれか1項に記載のエージェントとして機能させるためのエージェントコンピュータプログラムと、を含むコンピュータプログラムセットである。
(24)他の観点からみた本発明は、エージェントが搭載された端末装置における誤学習処理方法であって、前記エージェントは、通信の妨害が必要とされる妨害対象端末装置のMACアドレス以外の偽MACアドレスが、前記妨害対象端末装置のMACアドレスであるとする誤学習を、当該エージェントが搭載された端末装置対して行わせることを特徴とする誤学習処理方法である。
(25)他の観点からみた本発明は、検疫制御装置と端末装置とがネットワークを介して接続された検疫システムにおいて、前記端末装置のうち通信の妨害が必要とされる妨害対象端末装置について、通信の妨害を行う方法であって、送信元IPアドレスが前記妨害対象端末装置のIPアドレスであり、送信元MACアドレスが前記妨害対象端末装置のMACアドレス以外の偽MACアドレスである疑似ARP応答を、前記検疫制御装置がユニキャスト送信するユニキャスト送信ステップと、前記端末装置に搭載されたエージェントが、当該エージェントが搭載された端末装置に対して前記妨害対象端末装置のMACアドレスを誤学習させる誤学習処理を行う誤学習処理ステップと、を含み、前記ユニキャスト送信ステップでは、前記妨害対象端末装置以外の端末装置であって、かつエージェントが搭載されていない端末装置へ、前記疑似ARP応答をユニキャスト送信することを特徴とする通信妨害方法である。
上記発明によれば、エージェントが搭載された端末装置へは、ユニキャスト疑似ARP応答の送信が行われず、エージェントによって端末装置における誤学習が行われる。したがって、疑似ARP応答をユニキャスト送信が必要な端末装置の数を少なくできる。よって、端末装置への疑似ARP応答送信をユニキャストで行っても、通信量や処理量の増加を抑えることができる。
(26)他の観点からみた本発明は、ネットワークに接続された端末装置のうち通信の妨害が必要とされる妨害対象端末装置について、通信の妨害処理を行う通信妨害部を備えた検疫制御装置であって、前記通信妨害部は、送信元IPアドレスが前記妨害対象端末装置のIPアドレスであり、送信元MACアドレスが妨害対象端末装置のMACアドレス以外の偽MACアドレスである疑似ARP応答を、ユニキャスト送信する疑似ARP応答送信部を備え、前記疑似ARP応答送信部は、妨害対象端末装置以外の端末装置であって、かつエージェントが搭載されていない端末装置へ、前記疑似ARP応答を送信するものであり、前記エージェントは、当該エージェントが搭載された端末装置に対して妨害対象端末装置のMACアドレスを誤学習させる誤学習処理を行うものであることを特徴とする検疫制御装置である。上記本発明によれば、エージェントが搭載された端末装置へは、ユニキャスト疑似ARP応答の送信が行われず、エージェントによって端末装置における誤学習が行われる。したがって、疑似ARP応答をユニキャスト送信が必要な端末装置の数を少なくできる。よって、端末装置への疑似ARP応答送信をユニキャストで行っても、通信量や処理量の増加を抑えることができる。
[1.検疫システムの全体構成]
図1は、検疫システム1の全体を示している。この検疫システム1は、LAN等のネットワーク(TCP/IPネットワーク)に、ネットワーク検疫制御を行う検疫制御装置2、ネットワーク検疫の対象となるPC等の検疫対象となる端末装置3a,3b、及び検疫管理サーバ4を接続して構成されている。なお、複数の検疫対象端末装置3a,3bを特に区別しない場合には、「検疫対象端末装置3」と総称する。
また、図1には、社内サーバ5、ルータ6を示しているが、これらは検疫システム1には直接関係のない構成要素である。
検疫制御装置2、検疫対象端末装置3、及び検疫管理サーバ4は、コンピュータプログラムを実行可能なコンピュータによって構成されており、それぞれ、コンピュータプログラムが記憶されるハードディスクやメモリ等の記憶部(図示省略)と、コンピュータプログラムを実行するためのCPU等の演算部(図示省略)とを有している。
また、検疫管理サーバ4には検疫管理コンピュータプログラムP3がインストールされている。
これらのコンピュータプログラムP1,P2、及び必要であればP3、を総称して、検疫システムコンピュータプログラムセットという。
なお、ネットワークセグメントN内の装置のうち、プリンタ7等の什器や端末装置8には、エージェントコンピュータプログラムP2がインストールされていない。
また、検疫制御コンピュータプログラムP1は、CD−ROM等の可搬型記録媒体C2ではなく、検疫制御装置2にプリインストールされた状態で、ユーザに提供することも可能である。
検疫制御装置2は、TCP/IPによるネットワーク通信をサポートするOS(例えばWindows(登録商標),Linux(登録商標))がインストールされたコンピュータに、検疫制御コンピュータプログラムP1をインストールして構成されている。なお、検疫制御装置2のOSとしてWindows(登録商標)を採用した場合、そのバージョンは特に限定されない。
図3に示すように、検疫制御装置2は、検査部210、判定部220、端末情報テーブル230、テーブル更新部240、通信監視部(ARP要求監視部)250、通信妨害部260、通信正常化部270、例外通信部280、未登録端末装置処理部290、及び第1端末情報テーブル送信部295を備えている。
図3の端末情報テーブル230の詳細を図4に示す。端末情報テーブル230は、ネットワーク上の端末装置の通信の妨害処理の要否を判定するために用いられるものであり、第1端末情報テーブル230a及び第2端末情報テーブル230bを有している。
なお、第2端末情報テーブル230bは、許可端末情報テーブル233、禁止端末情報テーブル234、及び例外情報テーブル235を有して構成されている。
第1端末情報テーブル230aは、後述するエージェントpingによって、端末装置から取得した情報を保持する領域である。
この第1端末情報テーブル230aには、端末装置のIPアドレスを記憶する領域230a−1、端末装置のMACアドレスを記憶する領域230a−2、端末装置に搭載されているエージェントのIDを記憶する領域230a−3、端末装置が合格端末であるか隔離端末であるかを示す情報(端末情報)を記憶する領域230a−4、端末装置が有するOSの種別を示す情報(OS情報)を記憶する領域230a−5、及びエージェントping応答の有無を示す情報を記憶する領域230a−6を有している。
なお、端末装置の検査結果(検査ポリシーチェック結果)は、後述する「エージェントping」機能により、検疫対象端末装置(エージェントコンピュータプログラムP2)3から取得する。
また、前記領域230a−4の端末情報が「隔離」となるのは、端末装置の検査結果が「隔離」であった場合のほか、エージェントコンピュータプログラムP2がインストールされていない場合や、その他隔離して通信を妨害すべき場合である。
[3.1.2.1 許可端末情報テーブル233]
許可端末情報テーブル233は、常に、通常のネットワーク通信を許可する端末装置の一覧情報(MACアドレス又はIPアドレスの一覧)を保持する領域である。ここで、許可端末情報テーブル233に登録されている端末装置は、「許可端末」というものとする。
なお、許可端末情報は、後述する「管理用通信機能」により、検疫管理サーバ4から取得する。
禁止端末情報テーブル234には、無条件に通常の通信を禁止する(妨害する)端末装置の一覧情報(MACアドレス又はIPアドレスの一覧)を保持する領域である。ここで、禁止端末情報テーブル234に登録されている端末装置は、「禁止端末」というものとする。禁止端末とされている端末装置については、当該端末装置から受信した検査結果にかかわらず、妨害処理が必要であると判定される。
なお、禁止端末情報は、後述する「管理用通信機能」により、検疫管理サーバ4から取得する。
例外情報テーブル235は、検疫対象端末装置の検査結果が「隔離」(=「不合格」)であった検疫対象端末装置3からでも通信できる、例外的な通信相手の一覧情報(IPアドレスの一覧)を保持する領域である。
なお、例外情報テーブルは、後述する「管理用通信機能」により、検疫管理サーバ4から取得する。
第1端末情報テーブル230aは、エージェントping応答に基づいて、テーブルの内容が更新されるものである。
これに対し、第2端末情報テーブル230bを構成する、許可端末情報テーブル233、禁止端末情報テーブル234、及び例外情報テーブル235は、検疫管理サーバ4から取得されるものである。
検疫制御装置2の主要な機能は、エージェントping機能、検疫管理サーバ4との間で行う管理用通信機能、及びネットワーク内の通信妨害処理等を行うネットワーク通信制御機能であり、これらの機能は、図3に示す各部によって実現される。
検疫制御装置2は、独自のネットワークプロトコルとして、「エージェントping」を有している。エージェントpingは、検疫対象端末装置3に対し、検査結果の送信を要求するものである。
エージェントpingに関する処理は、図3に示す検査部(エージェントping機能部)210によって行われる。
なお、エージェントping応答受信部213は、端末装置のOS情報も受信するため、OS情報(学習不能端末であるか否かを識別するための識別情報)を取得する取得手段でもある。
なお、端末装置の判定は検疫制御装置2の判定部220によって行われ、第1端末情報テーブル230aへの登録は、テーブル更新部240によって行われる(図3参照)。
検疫制御装置2は、検疫管理サーバ4との間で、端末情報テーブル230のうち、第2端末情報テーブル230b(許可端末情報テーブル233,禁止端末情報テーブル234,例外情報テーブル235)及び後述の静的リストテーブル263の各内容のやりとりを行うことができる。第2端末情報テーブル230b及び静的リストテーブル263のやりとりは、検疫制御装置2の第2端末情報テーブル&静的リストテーブル更新部(管理用通信部)242によって行われる(図3参照)。
第2端末情報テーブル&静的リストテーブル更新部242は、検疫管理サーバ4から取得した第2端末情報テーブル230bの内容を検疫制御装置2の第2端末情報テーブル230bの各テーブル領域233,234,235に保存するとともに、検疫管理サーバ4から取得した静的リストテーブル263の内容を検疫制御装置2の静的リストテーブル263に保存する。
検疫制御装置2は、通信の妨害処理が必要な端末装置に対して、通信妨害を行う通信妨害部260を備えている(図3参照)。通信妨害処理は、MACアドレス又はIPアドレスが許可端末情報テーブル233に登録されている端末装置(許可端末)、又は検査結果が合格である端末装置(合格端末)に対しては、行わない。
逆に、禁止端末情報テーブル234に登録されている端末装置(禁止端末)、検査結果が隔離(=不合格)である端末装置(隔離端末)、又はエージェントpingに応答せず検査結果を特定できない端末装置(隔離端末)には、通信妨害処理を行う。
検疫対象端末装置3は、TCP/IPによるネットワーク通信をサポートするOSがインストールされたコンピュータに、当該コンピュータの内部状態を所定の検査ポリシーに従って検査するためのエージェントコンピュータプログラムP2をインストールして構成されている。
本システムのネットワーク内の検疫対象端末装置3及びその他の端末装置7,8には、WindowsVistaやWindowsServer2008等のVista系OSを有する端末装置と、WindowsXPなどの非Visita系OSを有する端末装置とか混在している。ただし、端末装置のOSは、上記したものに限定されるわけではない。なお、Windows、WindowsVista、及びVistaは登録商標であり、以下同様である。
図5に示すように、検疫対象端末装置3は、検査制御部310、検査ポリシー受信部320、検査部330、及び誤学習処理部340を備えている。
検査ポリシー受信部320は、予め検疫管理サーバ4から検査ポリシーを取得する。なお、検査ポリシー受信部320は、検査を行うときに、検査ポリシーを取得してもよい。また、検査時に検疫対象端末装置3と検疫管理サーバ4が直接通信を行う必要はない。
エージェントping応答送信部334は、エージェントping応答として、前記検査結果(端末情報)の他、端末IPアドレス、MACアドレス、エージェントID、及びOS情報を送信する。つまり、エージェントping応答送信部は、エージェントが搭載されている端末装置が有するOSの種別を送信する手段でもある。
検疫管理サーバ(検疫管理コンピュータ)4は、TCP/IPによるネットワーク通信をサポートするOSがインストールされたコンピュータに、検疫管理コンピュータプログラムP3をインストールして構成されている。
図6に示すように、検疫管理サーバ4は、テーブル生成部410、テーブル送信部420、検査ポリシー生成部430、及び検査ポリシー送信部440を備えている。
テーブル送信部420は、生成された第2端末情報テーブル230b及び静的リストテーブル263を検疫制御装置2へ送信するためのものである。
検査ポリシー送信部440は、生成された検査ポリシーを検疫対象端末装置2へ送信するためのものである。
[6.1 ARP:Address Resolution Protocol]
検疫制御装置2及び検疫対象端末装置3に搭載されたOSがサポートするTCP/IPにおけるプロトコルの一つとしてARP(Address Resolution Protocol;アドレス解決プロトコル)がある。このARPは、ある端末装置のIPアドレスから、当該端末装置のMACアドレスを取得するためのプロトコルである。ARPは、OSがサポートする機能であるが、検疫システム1において用いられるため、以下で説明する。
以上によって、ある端末Aが、ネットワーク上の他の端末BのMACアドレスを取得することができる。
図8及び図9は、検疫制御装置2の通信監視部250がネットワーク上を流れるARPパケットを監視・補捉し、通信妨害部260による通信の妨害の要否を、判定部220が判定する処理の流れを示している。
なお、送信先確認処理としては、送信先IPアドレス確認処理(ステップS2−4)と、送信先MACアドレス確認処理(ステップS2−5)が行われる。
送信元確認処理では、まず、第1判定部220aが、ARP要求パケットの送信元IPアドレス又はMACアドレスが、禁止端末情報テーブル234に登録されているかどうかを確認する(ステップS2−3−1)。すなわち、送信元が禁止端末であるか否かを判定する。
登録されていれば、ステップS2−3−7に進み、登録されていなければステップS2−3−2に進む。
隔離端末として登録されていれば、ステップS2−3−7に進み、登録されていなければ、ステップS2−3−3に進む。
登録されていれば、ステップS2−4−1(送信先IPアドレス確認処理)に進み、送信元に対する妨害処理は行わない。登録されていなければ、ステップS2−3−4へ進む。
合格端末として登録されていれば、ステップS2−4−1(送信先IPアドレス確認処理)に進み、送信元に対する妨害処理は行わない。登録されていなければ、ステップS2−3−5へ進む。
そこで、ステップS2−3−5では、未知の送信元に対して、エージェントpingを行って、通信妨害すべきか否かを判定するのに必要な送信元(端末装置)の検査結果の取得を試みる。なお、ステップS2−3−5の処理の詳細については後述する。
図10(a)(b)に示される疑似ARP応答パケットは、いずれも、「送信元IPアドレス」としてARP要求パケットの送信元端末(妨害対象端末装置)のIPアドレスが設定され、「送信元MACアドレス」として検疫制御装置2のMACアドレス(偽MACアドレス)が設定される。
ここで、第1疑似ARP応答送信部261aにおいて生成される疑似ARP応答パケットは、図10(a)に示すように、ブロードキャスト送信用であり、疑似ARP応答パケットの「送信先IPアドレス」及び「送信先MACアドレス」としては、それぞれブロードキャストアドレスが設定される。したがって、疑似ARP応答パケットは、ネットワークに対してブロードキャスト送信される。
一方、第2疑似ARP応答送信部261cにおいて生成される疑似ARP応答パケットは、図10(b)に示すように、第1疑似ARP応答送信部261aによってブロードキャスト送信された疑似ARP応答パケットでは、妨害対象端末装置のMACアドレスを誤学習させることができない誤学習不能端末装置(Vista系OSを有する端末装置)に対してユニキャスト送信されるものである。したがって、図10(b)では、疑似ARP応答パケットの「送信先IPアドレス」及び「送信先MACアドレス」としては、それぞれ誤学習不能端末装置であるVista系OS端末装置のIPアドレス及びMACアドレスが設定される。
これにより、ARP要求パケットの送信元端末(妨害対象端末装置)が通信する可能性のある通信相手の端末装置に対して、送信元端末のMACアドレスを誤って学習させる結果となる。つまり、非Vista系OSを有する端末装置であれば、図10(a)のブロードキャスト疑似ARP応答パケットによって妨害対象端末装置のMACアドレスを誤学習し、Vista系OSを有する端末装置であれば、図10(b)のユニキャスト疑似ARP応答パケットによって妨害対象端末装置のMACアドレスを誤学習する。
しかも、検疫制御装置2は、妨害処理として、疑似ARP「応答」パケットを送るので、他の端末装置3からのARP応答パケットを受ける必要がなく、通信負荷の増加を避けることができる。
なお、この妨害処理の更なる詳細については、後述する。
送信先IPアドレス確認処理では、まず、第1判定部220aが、ARP要求パケットの送信先IPアドレスが、禁止端末情報テーブル234に登録されているかどうかを確認する(ステップS2−4−1)。すなわち、送信先が禁止端末であるか否かを判定する。
登録されていれば、ステップS2−6に進み、登録されていなければステップS2−4−2に進む。
登録されていれば、ステップS2−6に進み、登録されていなければ、ステップS2−4−3に進む。
登録されていれば、送信先に対する妨害処理が不要であるのでARP要求パケット監視処理を終了する。登録されていなければ、ステップS2−4−4へ進む。
登録されていれば、送信先に対する妨害処理が不要であるのでARP要求パケット監視処理を終了する。登録されていなければ、ステップS2−4−5へ進む。
そこで、ステップS2−4−5では、未知の送信先に対して、図11に示すARP要求パケットを送信する。ステップS2−4−5の処理は、検疫制御装置2の未登録端末装置処理部290(図3参照)が行う。未登録端末装置処理部290は、ARP要求送信部291を備えており、このARP要求送信部291は、未知の送信先のMACアドレスを得るため、図11に示すようにアドレス設定したARP要求パケットをブロードキャスト送信する。
送信先MACアドレス確認処理では、まず、第1判定部220aが、ARP要求パケットの送信先MACアドレスが、禁止端末情報テーブル234に登録されているかどうかを確認する(ステップS2−5−1)。すなわち、送信先が禁止端末であるか否かを判定する。
登録されていれば、ステップS2−6に進み、登録されていなければステップS2−5−2に進む。
登録されていれば、ステップS2−6に進み、登録されていなければ、ステップS2−5−3に進む。
登録されていれば、送信先に対する妨害処理を行う必要がないので、ARP要求パケット監視処理を終了する。登録されていなければ、ステップS2−5−4へ進む。
登録されていれば、送信先に対する妨害処理を行う必要がないので、ARP要求パケット監視処理を終了する。登録されていなければ、ステップS2−5−5へ進む。
そこで、ステップS2−5−5では、未知の送信先に対して、エージェントpingを行って、通信妨害すべきか否かを判定するのに必要な送信先(端末装置)の検査結果の取得を試みる。なお、ステップS2−5−5の処理の詳細については後述する。
これらの疑似ARP応答パケットでは、「送信元IPアドレス」としてARP要求パケットの送信先端末(妨害対象端末装置)のIPアドレスが設定され、疑似ARP応答パケットの「送信元MACアドレス」として検疫制御装置2のMACアドレス(偽MACアドレス)が設定される。
図12(a)の疑似ARP応答パケットの場合、「送信先IPアドレス」及び「送信先MACアドレス」としては、それぞれブロードキャストアドレスが設定される。したがって、疑似ARP応答パケットは、ネットワークに対してブロードキャスト送信される。
一方、第2疑似ARP応答送信部261cにおいて生成される疑似ARP応答パケットは、図12(b)に示すように、誤学習不能端末装置(Vista系OSを有する端末装置)に対してユニキャスト送信されるものである。したがって、図12(b)では、疑似ARP応答パケットの「送信先IPアドレス」及び「送信先MACアドレス」としては、それぞれ誤学習不能端末装置であるVista系OS端末装置のIPアドレス及びMACアドレスが設定される。
これにより、ARP要求パケットの送信先端末(妨害対象端末装置)が通信する可能性のある通信相手の端末装置に対して、送信先端末のMACアドレスを誤って学習させる結果となる。
一方、ARP要求パケットの送信先端末向けのパケットは、MACアドレスが検疫制御装置2のものであるから、すべて検疫制御装置2で受信可能である。検疫制御装置2は、このような自己のMACアドレスが送信先に設定されたパケットを収集、破棄する。よって、ARP要求パケットの送信先端末(妨害対象端末装置)とその相手先の通信を妨害することができる。
しかも、検疫制御装置2は、妨害処理として、疑似ARP「応答」を送るので、他の端末装置3からのARP応答パケットを受ける必要がなく、通信負荷の増加を避けることができる。
なお、この妨害処理の更なる詳細については、後述する。
図13は、エージェントping実行処理を示している。エージェントping実行処理では、まず、エージェントping送信部211が、隔離すべきかどうかの判断の対象である端末装置(のエージェントコンピュータプログラムP2)に向けて、エージェントpingを送信する(ステップS3−1)。
受信した検査結果が、「合格」を示している場合には、ステップS3−5へ進み、「隔離」(=「不合格」)を示している場合には、ステップS3−7へ進む。
図14は、エージェントpingプロトコルのシーケンスと、エージェントpingのデータ構造を示している。
なお、ここでは、検疫制御装置2が送出するエージェントpingを、「エージェントping要求」というものとする。
これら3つのパケットを区別するため、エージェントpingは、そのデータ構造として「タイプ」というフラグ値領域を有している。図15に示すように、タイプには、「要求」「応答」「開始要求」の3種類を示す情報があり、いずれかの情報がエージェントpingパケットの「タイプ」領域に格納される。
また、エージェントping応答には、プロトコルバージョン及びタイプ以外に、検査結果に関する情報、及び、エージェントが搭載された端末装置が有するOSの種別を示す情報(OS情報)が含まれる。
なお、エージェントpingには、通常のパケットと同様に、送信元及び送信先のIPアドレス及びMACアドレスが格納されている。
エージェントpingは、検疫制御装置2が定期的に実施するものである。しかしそれだけでは、検疫対象端末装置3が定期的に又は必要時に行う検査の結果が、前回値と異なった場合(隔離すべき状態から合格の状態に遷移した場合、又は合格の状態から隔離すべき状態に遷移した場合)、検疫制御装置2は、それに応じた検疫制御の変更を瞬時に行うことができない。
特に、検疫対象端末装置3において、エージェントコンピュータプログラムP2が起動した時、及び、検疫対象端末装置3の利用者が、エージェントコンピュータプログラムP2に対して、検査の実施を要求し、その検査が終了した時には、必ず、エージェントping開始要求送信部335は、エージェントping開始要求を行う。図17は、このエージェントping開始要求のシーケンスを示している。
図18に示すように、検疫制御装置2のエージェントping送信管理部212(図3参照)は、合格端末情報テーブル231に登録されている端末装置に対して定期的にエージェントpingを行うことで、妨害処理の要否を判断すると共に、端末情報テーブル230をメンテナンスする。
合格端末のうち、内部状態を確認すべき合格端末がある場合には、ステップS5−3に進み、第1端末情報テーブル230a上のすべての合格端末の状態を確認した場合は、定期的エージェントping実行処理を終了する(ステップS5−2)。
ステップS5−10では、状態確認対象端末装置を、隔離端末として、第1端末情報テーブル230aに登録する。このとき、エージェントping応答に基づき、当該隔離端末に関するその他の情報も登録される。
ここで送信される疑似ARP応答パケットは、アドレス部分が図19(a)(b)に示すように設定されたARP応答パケットとして生成される。図19(a)が第1疑似ARP応答送信部261aによって生成されるブロードキャスト疑似ARP応答パケットであり、図19(b)が第2疑似ARP応答送信部261cによって生成されるユニキャスト疑似ARP応答パケットである。
これらの疑似ARP応答パケットでは、「送信元IPアドレス」として状態確認対象端末装置(妨害対象端末装置)のIPアドレスが設定され、疑似ARP応答パケットの「送信元MACアドレス」として検疫制御装置2のMACアドレス(偽MACアドレス)が設定される。
図19(a)の疑似ARP応答パケットの場合、「送信先IPアドレス」及び「送信先MACアドレス」としては、それぞれブロードキャストアドレスが設定される。したがって、疑似ARP応答パケットは、ネットワークに対してブロードキャスト送信される。
一方、第2疑似ARP応答送信部261cにおいて生成される疑似ARP応答パケットは、図19(b)に示すように、誤学習不能端末装置(Vista系OSを有する端末装置)に対してユニキャスト送信されるものである。したがって、図19(b)では、疑似ARP応答パケットの「送信先IPアドレス」及び「送信先MACアドレス」としては、それぞれ誤学習不能端末装置であるVista系OS端末装置のIPアドレス及びMACアドレスが設定される。
これにより、状態確認対象端末装置(妨害対象端末装置)が通信する可能性のある通信相手の端末装置が、送信先端末のMACアドレスを誤って認識・学習することになる。
図20に示すように、検疫制御装置2のエージェントping送信管理部212(図3参照)は、第1端末情報テーブル230aに隔離端末として登録されている端末装置に対して定期的にエージェントpingを行うことで、妨害処理の要否を判断すると共に、端末情報テーブル230をメンテナンスする。
第1端末情報テーブル230aにおいて、内部状態を確認すべき隔離端末がある場合は、ステップS6−3に進み、第1端末情報テーブル230aにおけるすべての隔離端末の状態を確認した場合は、定期的エージェントping実行処理を終了する(ステップS6−2)。
状態確認対象端末装置が、前回のポーリングで応答有りだった場合(つまり、第1端末情報テーブル230aの「エージェントping応答の有無」欄230a−6の値が、「応答有り」を示している場合)、ステップS6−7に進む。
ステップS6−12では、状態確認対象端末装置を、合格端末として、第1端末情報テーブル230aに登録し、ステップS6−13へ進む。このとき、エージェントping応答に基づき、当該隔離端末に関するその他の情報も登録される。
正常ARP応答送信部271は、図29に示すように、疑似ARP応答送信部261と同様な構成を持つ。つまり、正常ARP応答送信部271は、正常ARP応答パケットをブロードキャスト送信する第1正常ARP応答送信部271aと、正常ARP応答パケットをユニキャスト送信する第2正常ARP応答送信部271cとを備え、さらに、正常ARP応答パケットをユニキャスト送信する対象を識別する端末装置を識別する識別部271bを備えている。
これらの正常ARP応答パケットでは、「送信元IPアドレス」及び「送信元MACアドレス」として状態確認対象端末装置(妨害対象でなくなった端末装置)のIPアドレス及びMACアドレスが正しく設定される。
図21(a)の正常ARP応答パケットの場合、「送信先IPアドレス」及び「送信先MACアドレス」としては、それぞれブロードキャストアドレスが設定される。したがって、正常ARP応答パケットは、ネットワークに対してブロードキャスト送信される。
一方、第2正常ARP応答送信部271cにおいて生成される正常ARP応答パケットは、図21(b)に示すように、Vista系OSを有する端末装置に対してユニキャスト送信されるものである。したがって、図21(b)では、正常ARP応答パケットの「送信先IPアドレス」及び「送信先MACアドレス」としては、それぞれVista系OS端末装置のIPアドレス及びMACアドレスが設定される。
正常ARP応答パケットの送信により、ネットワーク内の端末装置は、状態確認対象端末装置のMACアドレスを正しく学習できるため、状態確認対象端末装置との間の通信が正常に行える。
図22は、検疫対象端末装置3の検査制御部310による、検査ポリシーに従った検査の処理手順を示している。
その後、検疫制御装置2からエージェントping要求を受信したら、エージェントping応答として、検査結果を検疫制御装置2に送信する。
図23に示すように、検疫管理サーバ4のテーブル生成部410(図6参照)では、管理者が、第2端末情報テーブル230b及び静的リストテーブル263のテーブル情報を入力装置から入力することができる(ステップS8−1)。
入力された第2端末情報テーブル230b及び静的リストテーブル263のテーブル情報は、テーブル送信部420(図6参照)によって、検疫制御装置2に送信される(ステップS8−2)。
[6.8.1 妨害の実現方法]
図25(a)(b)は、ステップS2−3−7,S2−6,S5−11において送信される既述の疑似ARP応答パケットのデータ構造を示している。図25(a)は、ブロードキャスト疑似ARP応答パケットを示す、図25(b)は、ユニキャスト疑似ARP応答パケットを示す。
検疫制御装置2が、この疑似ARP応答パケットをブロードキャストすることで、妨害対象端末装置の通信妨害がおこなわれる。なお、送信元MACアドレスが格納される第2領域D2には、検疫制御装置2のMACアドレスに代えて、パケット収集・破棄用の別の装置のMACアドレスであってもよい。すなわち、第2領域には、妨害対象端末装置の正しいMACアドレス以外の偽MACアドレスが格納されていればよい。
これにより、周囲の端末装置から妨害対象端末装置へ向けて送信されたデータパケットはすべて検疫制御装置2(又は別の装置)に届くようになる。検疫制御装置は、そのデータパケットを破棄することにより、データパケットが妨害対象端末装置に届かなくなる。その結果、妨害対象端末装置とその通信相手との間での双方向通信(TCP)或いは通信相手から妨害対象端末装置への片方向通信(UDP)が成立せず、妨害となる。
つまり、図25(b)のユニキャスト疑似ARP応答パケットは、Vista系OSを有する端末装置(OSの種別が不明なものを含む)に対して送信されるものであり、送信先IPアドレスを格納する第3領域D3及び送信先MACアドレスを格納する第4領域D4に、それぞれ、Vista系OSのIPアドレス及びMACアドレスが格納されている。
疑似ARP応答パケットのブロードキャスト送信とユニキャスト送信を併用することで、ネットワーク内の端末装置のOS種別にかかわらず、ネットワーク内の端末装置に妨害対象端末装置のMACアドレスを誤学習させることができる。
また、ネットワーク内の全端末装置に、疑似ARP応答パケットをユニキャスト送信せず、Vista系OSを有する端末装置に限定して、ユニキャスト送信することで、通信負荷・処理負荷を低減することができる。
まず、端末Aから端末BのMACアドレスを取得するためのARP要求パケットが送出される(ステップS10−1)。これにより、端末Bは、一旦は、端末AのMACアドレスを正しく学習する。
なお、このARP要求パケットは、検疫制御装置2によって補捉される(ステップS10−2)。
すると、検疫制御装置2は、図26に示すように、送信元MACアドレスを、自己のMACアドレスとし、送信元IPアドレスを端末AのIPアドレスとした、疑似ARP応答パケットをブロードキャスト送信及びユニキャスト送信する(ステップS10−5)。これにより、端末Bを含むネットワーク上の端末(端末Aを除く)は、端末が有するOSの種別にかかわらず、端末AのMACアドレスを誤って学習し、妨害が成立する。
すると、端末Aは、ARP応答パケットを検疫制御装置2に送信してくる(ステップS11−4)ので、これをARP応答受信部292により受信する。これにより、検疫制御装置2は、端末AのMACアドレスを取得できる。
すると、検疫制御装置2は、図27に示すように、送信元MACアドレスを、自己のMACアドレスとし、送信元IPアドレスを端末AのIPアドレスとした、疑似ARP応答パケットをブロードキャスト送信及びユニキャスト送信する(ステップS11−6)。これにより、端末Bを含むネットワーク上の端末(端末Aを除く)は、端末が有するOSの種別にかかわらず、端末AのMACアドレスを誤って学習し、妨害が成立する。
妨害処理の際には、疑似ARP応答送信部261は、まず、疑似ARP応答パケットのブロードキャスト送信を行う(ステップS12−1)。続いて、疑似ARP応答送信部261は、ユニキャスト送信処理(ステップS12−2〜S12−7)を行う。
ユニキャスト送信処理には、ユニキャスト送信の対象(誤学習不能端末装置)を識別する処理(ステップS12−2)、ユニキャスト送信の対象から所定の端末装置を除外する除外処理(ステップS12−3〜S12−6)、ユニキャスト疑似ARP応答パケットを送信する処理(ステップS12−7)が含まれる。
ステップS12−2のユニキャスト送信の対象(誤学習不能端末装置)を識別する処理では、端末装置が有するOSがVista系であるか否かの判定を行う。この判定は、識別部216bが、第1端末情報テーブル230aのOS情報230a−5を参照することで行う。端末装置のOSが非Vista系である場合には、その端末装置へはユニキャスト送信せずに終了する。
端末装置のOSがVista系である場合は、ステップS12−3へ進む。なお、ステップS12−2において、OS情報が不明な場合(第1端末情報テーブル230aにOS情報230a−5が無い場合)は、Vista系OSとみなし、ステップS12−3へ進む。OSが不明な場合はVista系OSとみなすことで、端末装置の誤学習を確実に行わせることができる。
エージェントが搭載されている端末装置を、疑似ARP応答パケットのユニキャスト送信の対象から除外することで、通信量・処理量を低減することができる。なお、エージェントによる誤学習処理については後述する。
ステップS12−5において、端末装置が静的リストテーブル263に登録されていると判定された場合、Vista系OSであっても、疑似ARP応答パケットをユニキャスト送信せず、終了する。
このように、本来的にユニキャスト疑似ARP応答パケットの送信が不要な端末装置を、ユニキャスト送信の対象から除外することで、通信量・処理量を低減することができる。
ここで、隔離対象端末が「新規隔離」であるときは、隔離端末(妨害対象端末装置)が、妨害が必要ではない合格端末(非妨害対象端末装置)から、妨害が必要な隔離端末(妨害対象端末装置)に状態遷移した後の最初の妨害処理のときをいう。また、「新規隔離でない」のは、隔離端末(妨害対象端末装置)が、妨害が必要ではない合格端末(非妨害対象端末装置)から、妨害が必要な隔離端末(妨害対象端末装置)に状態遷移した後の2回目以降の妨害処理のときをいう。
つまり、端末装置が隔離端末となる前に、当該端末装置が、他の端末装置と通信しており、当該端末装置又は当該他の端末装置のARPテーブルに、互いのMACアドレスが残っている場合、当該端末装置が隔離端末となっても、当該端末装置と当該他の端末装置との間でARP要求パケットが送信されず、検疫制御装置2は、隔離端末が関与する通信を検出することができない。したがって、検疫制御装置2は、新規隔離端末の通信を妨害するためのユニキャスト疑似ARP応答パケットを送信せず、通信相手がVista系OSの場合には妨害が行えない。
そのため、端末装置が合格端末から隔離端末に状態遷移した場合には、状態遷移後最初の妨害処理の際に、全Vista系OS端末に対して、ユニキャスト疑似ARP応答パケットを送信し、妨害漏れを防ぐ。
一方、端末装置が合格端末から隔離端末に状態遷移した後の2回目以降の妨害処理の際には、上記のように、隔離端末の通信相手ではない合格端末を、ユニキャスト疑似ARP応答送信の対象から除外するため、通信量・処理量を低減することができる。
一方、「隔離対象端末が新規隔離である」場合や、「隔離対象端末が新規隔離でない」場合(2回目以降の妨害処理の場合)であっても、隔離対象端末の通信相手である場合には除外せず、ユニキャスト疑似ARP応答パケットを送信する(ステップS12−7)。
妨害処理は、図26及び図27のように、妨害対象端末装置の通信検出時に実行するだけでなく、図26及び図27のステップS10−6及びステップS11−7に示したように、検疫制御装置2は、定期的に疑似ARP応答パケットのブロードキャスト送信を行う。各端末装置が学習したARPテーブルの内容は、その通信相手との通信が一定期間以上無いと自動的に削除されてしまう。そのため、検疫制御装置2の疑似ARP応答送信管理部262は、禁止端末情報テーブル234又は隔離端末情報テーブル232に登録されている端末装置の通信を妨害するための疑似ARP応答パケットを定期的にブロードキャスト送信する。
ここで、Vista系OSには、自身のARPテーブルを定期的に確認する機能がある。すなわち、妨害対象端末装置のMACアドレスを誤学習している端末装置は、そのARPテーブルに、「隔離端末のIPアドレス,検疫制御装置2のMACアドレス」が記録されている。この端末装置は、図32に示すARP要求パケットを定期的にユニキャスト送信する。このARP要求パケットは、送信先IPアドレスが、妨害対象端末装置のIPアドレスとなっているが、送信先MACアドレスが検疫制御装置のMACアドレスとなっているため、妨害対象端末装置は、ARP応答パケットを返さない。
その代わり、検疫制御装置2の第2疑似ARP応答送信部271cは、図32のARP要求パケットへの応答として、図25(b)に示す疑似ARP応答パケットを、前記端末装置へ送信する。これにより、妨害対象端末装置のMACアドレスを誤学習している端末装置における、誤学習状態が維持される。
前述のように、端末装置にエージェントが搭載されていると判断された場合、端末装置の誤学習処理は、端末装置に搭載されたエージェントに委ねられ(ステップS12−4)、Vista系OS端末であっても、疑似ARP応答パケットはユニキャスト送信されない。
エージェントに誤学習処理を行わせるため、図3に示すように、検疫制御装置2は、第1端末情報テーブル送信部295を備えている。この第1端末情報テーブル送信部295は、各端末装置それぞれのエージェントに対して、妨害対象端末装置である隔離端末を示す情報(第1端末情報テーブル230a)を送信する送信手段である。
つまり、この送信部295は、図13のエージェントping実行処理によって、第1端末情報テーブル230aの内容が更新されたときに、その第1端末情報テーブル230aの内容を、エージェントへ送信する。これにより、エージェントは、新たに端末が隔離された場合や、端末が合格となった場合には、その最新情報を直ちに入手することができる。
つまり、妨害対象端末装置に搭載されたエージェントのARPテーブル操作部342は、自端末のARPテーブルにおけるMACアドレスを、全端末について、検疫制御装置2のMACアドレス(偽MACアドレス)に書き換える。
また、非妨害対象端末装置に搭載されたエージェントのARPテーブル操作部342は、自端末のARPテーブルの内容のうち、全ての妨害対象端末装置のMACアドレスを、検疫制御装置のMACアドレス(偽MACアドレス)に書き換える処理を行う。これらの処理により、隔離端末からの通信、隔離端末への通信が、ともに検疫制御装置2へ流れるようになる。
なお、妨害対象端末装置を示す情報は、検疫制御装置2から送信された第1端末情報テーブル230aの内容である必要はない。例えば、検疫制御装置2から送信されたブロードキャスト疑似ARP応答パケットを端末装置が受信すると、そのブロードキャスト疑似ARP応答パケットをエージェントが取得し、そのブロードキャスト疑似ARP応答パケットの送信元IPアドレスに基づいて、エージェントが妨害対象端末装置を把握してもよい。
妨害対象端末装置宛として検疫制御装置2(又は他の収集・破棄用装置)に送られてくるデータパケットのうち、送信元(=検疫制御装置の周囲の端末装置)のIPアドレスが、例外情報テーブル235に登録されている場合、検疫制御装置2(又は他の収集・破棄用装置)の通信中継部281は、そのデータパケットを破棄せずに、妨害対象端末装置に転送する。つまり、妨害対象端末装置であっても、例外に指定された端末装置との間だけは通信を成立させる(妨害しない)。
つまり、当該リソース又はファイル等があるサーバを例外情報テーブルに登録しておくことで、当該リソース又はファイル等を当該サーバからネットワーク経由で取得することができ、隔離端末の内部状態改善を容易に行える。
また、誤学習不能端末装置のOSは、WindowsXPやWindowsServer2008に限定されるものではなく、ブロードキャスト送信された疑似ARP応答パケットでは妨害対象端末装置のMACアドレスを誤学習させることができないすべてのOSが含まれる。
214:エージェントping開始要求受信部(開始要求受信部),220:判定部,220a:第1判定部,220b:第2判定部(エージェントping利用の判定部),230:端末情報テーブル,230a:第1端末情報テーブル,231:合格端末情報テーブ(非妨害対象情報),232:隔離端末情報テーブル(妨害対象情報),230b:第2端末情報テーブル,233:許可端末情報テーブル(非妨害対象情報),234:禁止端末情報テーブル(妨害対象情報),235:例外情報テーブル(例外的通信許可情報),240:テーブル更新部,241:第1テーブル更新部,242:第2端末情報テーブル&静的リストテーブル更新部(管理用通信部),250:通信監視部(ARP要求監視部),251:ARP要求補捉部,252:ARP要求解析部(送信元及び送信先のアドレス取得部),260:通信妨害部,261:疑似ARP応答送信部,261a:第1疑似ARP応答送信部,261b:識別部,261c:第2疑似ARP応答送信部,262:疑似ARP応答送信管理部,263:静的リストテーブル,264:ユニキャスト疑似ARP情報テーブル,270:通信正常化部,271:正常ARP応答送信部,271a:第1正常ARP応答送信部,271b:識別部271b,第2正常ARP応答送信部272c,280:例外通信部,281:通信中継部,290:未登録端末装置処理部,291:ARP応答送信部,292:ARP応答受信部,295:第1端末情報テーブル送信部,3:検疫対象端末装置,310:検査制御部,320:検査ポリシー受信部,330:検査部,331:検査実行部,332:エージェントping要求受信部(検査結果送信要求受信部),333:エージェントping応答生成部,334:エージェントping応答送信部(検査結果送信部),335:エージェントping開始要求送信部(送信開始要求),340:誤学習処理部,341:端末情報受信部341,342:ARPテーブル操作部342,4:検疫管理サーバ(検疫管理コンピュータ),410:テーブル生成部,420:テーブル送信部,430:検査ポリシー生成部,440:検査ポリシー送信部,5:社内サーバ,6:ルータ,7:プリンタ,8:エージェントコンピュータプログラム未搭載の端末装置,P1:検疫制御コンピュータプログラム,P2:エージェントコンピュータプログラム,P3:検疫管理コンピュータプログラム,D1:第1領域,D2:第2領域,D3:第3領域,D4:第4領域
Claims (26)
- ネットワークに接続された端末装置のうち通信の妨害が必要とされる妨害対象端末装置について、通信の妨害処理を行う通信妨害部を備えた検疫制御装置であって、
前記通信妨害部は、
送信元IPアドレスが前記妨害対象端末装置のIPアドレスであり、送信元MACアドレスが前記妨害対象端末装置のMACアドレス以外の偽MACアドレスである疑似ARP応答を、ブロードキャスト送信する第1疑似ARP応答送信部と、
送信元IPアドレスが前記妨害対象端末装置のIPアドレスであり、送信元MACアドレスが前記妨害対象端末装置のMACアドレス以外の偽MACアドレスである疑似ARP応答を、ユニキャスト送信する第2疑似ARP応答送信部と、
前記第1疑似ARP応答送信部によってブロードキャスト送信された前記疑似ARP応答では、前記妨害対象端末装置のMACアドレスを誤学習させることができない誤学習不能端末装置を識別する識別部と、
を備え、
前記第2疑似ARP応答送信部は、前記識別部によって誤学習不能端末装置であると識別された端末装置に対して、前記疑似ARP応答をユニキャスト送信する
ことを特徴とする検疫制御装置。 - 前記識別部は、前記誤学習不能端末装置のうち所定の端末装置を、前記疑似ARP応答をユニキャスト送信する対象から除外する除外手段を備える請求項1記載の検疫制御装置。
- 前記除外手段が除外する端末装置は、エージェントが搭載された誤学習不能端末装置であり、
前記エージェントは、当該エージェントが搭載された誤学習不能端末装置に対して妨害対象端末装置のMACアドレスを誤学習させる誤学習処理を行うものである請求項2記載の検疫制御装置。 - 前記疑似ARP応答をユニキャスト送信する対象から除外する除外端末装置を示す除外端末装置リストを備え、
前記除外手段が除外する端末装置は、前記除外端末装置リストに示される除外端末装置である請求項2又は3に記載の検疫制御装置。 - 前記除外手段が除外する端末装置は、前記妨害対象端末装置の通信相手以外の端末装置である請求項2〜4のいずれか1項に記載の検疫制御装置。
- 前記除外手段は、
妨害対象端末装置が、妨害が必要ではない非妨害対象端末装置から妨害が必要な妨害対象端末装置に状態遷移した後の最初の妨害処理の際には、前記妨害対象端末装置の通信相手以外の端末装置を、前記疑似ARP応答をユニキャスト送信する対象から除外せず、
前記状態遷移した後の2回目以降の妨害処理の際には、前記妨害対象端末装置の通信相手以外の端末装置を、前記疑似ARP応答をユニキャスト送信する対象から除外するものである
請求項5記載の検疫制御装置。 - 妨害対象端末装置と、その通信相手とを記憶するための通信相手テーブルを備え、
前記除外手段は、前記通信相手テーブルを参照することで、前記妨害対象端末装置の通信相手を認識する請求項5又は6記載の検疫制御装置。 - 前記第2疑似ARP応答送信部は、前記妨害対象端末装置のMACアドレスを誤学習している端末装置が妨害対象端末装置のMACアドレスを確認するARP要求を行ったときに、当該ARP要求を送信した前記端末装置に対して、前記疑似ARP応答を送信する請求項1〜7のいずれか1項に記載の検疫制御装置。
- 前記通信妨害部は、妨害処理を、前記妨害対象端末装置の通信検出時に実行するとともに、定期的に実行するよう構成され、
前記妨害対象端末装置の通信検出時における妨害処理では、前記疑似ARP応答のブロードキャスト送信とともに、前記疑似ARP応答のユニキャスト送信を行い、
定期的に実行する妨害処理では、前記疑似ARP応答のユニキャスト送信は行わずに、前記疑似ARP応答のブロードキャスト送信を行う請求項1〜8のいずれか1項に記載の検疫制御装置。 - 前記端末装置が前記誤学習不能端末装置であるか否かを識別するための識別情報を、前記端末装置から取得する取得手段を備え、
前記識別部は、前記取得手段によって取得した識別情報に基づいて、誤学習不能端末装置を識別する請求項1〜9のいずれか1項に記載の検疫制御装置。 - 前記識別部は、前記端末装置が有するOSの種別によって、誤学習不能端末装置を識別する請求項1〜10のいずれか1項に記載の検疫制御装置。
- 妨害対象端末装置を示す情報を、端末装置に搭載された前記エージェントに対して送信する送信手段を備えている請求項3記載の検疫制御装置。
- 前記送信手段は、端末装置が、妨害が必要ではない非妨害対象端末装置から妨害が必要な妨害対象端末装置へ状態遷移したとき、又は、妨害が必要な妨害対象端末装置から妨害が必要ではない非妨害対象端末装置へ状態遷移したときに、妨害対象端末装置を示す情報を送信する請求項12記載の検疫制御装置。
- コンピュータを、請求項1〜13のいずれか1項に記載の検疫制御装置として機能させるための検疫制御コンピュータプログラム。
- ネットワークに接続された端末装置のうち通信の妨害が必要とされる妨害対象端末装置について、通信の妨害処理を行う通信妨害方法であって、
前記妨害処理では、
送信元IPアドレスが前記妨害対象端末装置のIPアドレスであり、送信元MACアドレスが前記妨害対象端末装置のMACアドレス以外の偽MACアドレスである疑似ARP応答を、ブロードキャスト送信するとともに、
前記第1疑似ARP応答送信部によってブロードキャスト送信された前記疑似ARP応答では、前記妨害対象端末装置のMACアドレスを誤学習させることができない誤学習不能端末装置に対して、送信元IPアドレスが前記妨害対象端末装置のIPアドレスであり、送信元MACアドレスが妨害対象端末装置のMACアドレス以外の偽MACアドレスである疑似ARP応答を、ユニキャスト送信する
ことを特徴とする通信妨害方法。 - 前記妨害処理では、前記端末装置が誤学習不能端末装置であるか否かを示す情報を、当該端末装置から取得することで、前記誤学習不能端末を識別することを特徴とする請求項15記載の通信妨害方法。
- エージェントが搭載された端末装置であって、
前記エージェントは、通信の妨害が必要とされる妨害対象端末装置のMACアドレス以外の偽MACアドレスが、前記妨害対象端末装置のMACアドレスであるとする誤学習を、当該エージェントが搭載された端末装置に対して行わせる誤学習処理部を備えていることを特徴とする端末装置。 - 前記エージェントは、妨害対象端末装置を示す情報を、ネットワークを通じて端末装置外部から取得する手段を備えている請求項17記載の端末装置。
- 前記エージェントは、請求項12又は13に記載の検疫制御装置から、妨害対象端末装置を示す情報を取得する請求項18記載の端末装置。
- エージェントが搭載された端末装置であって、
請求項1〜13のいずれか1項に記載の検疫制御装置に対し、当該エージェントが搭載された端末装置が、前記誤学習不能端末装置であるか否かを示す情報を送信する送信手段を備えていることを特徴とする端末装置。 - 前記送信手段は、当該エージェントが搭載された端末装置が前記誤学習不能端末装置であるか否かを示す情報として、当該エージェントが搭載された端末装置が有するOSの種別を送信することを特徴とする請求項20記載の端末装置。
- コンピュータを、請求項17〜21のいずれか1項に記載のエージェントとして機能させるためのエージェントコンピュータプログラム。
- コンピュータを、請求項1〜13のいずれか1項に記載の検疫制御装置として機能させるための検疫制御コンピュータプログラムと、
コンピュータを、請求項17〜21のいずれか1項に記載のエージェントとして機能させるためのエージェントコンピュータプログラムと、
を含むコンピュータプログラムセット。 - エージェントが搭載された端末装置における誤学習処理方法であって、
前記エージェントは、通信の妨害が必要とされる妨害対象端末装置のMACアドレス以外の偽MACアドレスが、前記妨害対象端末装置のMACアドレスであるとする誤学習を、当該エージェントが搭載された端末装置対して行わせることを特徴とする誤学習処理方法。 - 検疫制御装置と端末装置とがネットワークを介して接続された検疫システムにおいて、前記端末装置のうち通信の妨害が必要とされる妨害対象端末装置について、通信の妨害を行う方法であって、
送信元IPアドレスが前記妨害対象端末装置のIPアドレスであり、送信元MACアドレスが前記妨害対象端末装置のMACアドレス以外の偽MACアドレスである疑似ARP応答を、前記検疫制御装置がユニキャスト送信するユニキャスト送信ステップと、
前記端末装置に搭載されたエージェントが、当該エージェントが搭載された端末装置に対して前記妨害対象端末装置のMACアドレスを誤学習させる誤学習処理を行う誤学習処理ステップと、を含み、
前記ユニキャスト送信ステップでは、前記妨害対象端末装置以外の端末装置であって、かつエージェントが搭載されていない端末装置へ、前記疑似ARP応答をユニキャスト送信する
ことを特徴とする通信妨害方法。 - ネットワークに接続された端末装置のうち通信の妨害が必要とされる妨害対象端末装置について、通信の妨害処理を行う通信妨害部を備えた検疫制御装置であって、
前記通信妨害部は、送信元IPアドレスが前記妨害対象端末装置のIPアドレスであり、送信元MACアドレスが妨害対象端末装置のMACアドレス以外の偽MACアドレスである疑似ARP応答を、ユニキャスト送信する疑似ARP応答送信部を備え、
前記疑似ARP応答送信部は、妨害対象端末装置以外の端末装置であって、かつエージェントが搭載されていない端末装置へ、前記疑似ARP応答を送信するものであり、
前記エージェントは、当該エージェントが搭載された端末装置に対して妨害対象端末装置のMACアドレスを誤学習させる誤学習処理を行うものである
ことを特徴とする検疫制御装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008288835A JP5163984B2 (ja) | 2008-11-11 | 2008-11-11 | 検疫制御装置、検疫制御コンピュータプログラム、通信妨害方法、端末装置、エージェントコンピュータプログラム、コンピュータプログラム、及び誤学習処理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008288835A JP5163984B2 (ja) | 2008-11-11 | 2008-11-11 | 検疫制御装置、検疫制御コンピュータプログラム、通信妨害方法、端末装置、エージェントコンピュータプログラム、コンピュータプログラム、及び誤学習処理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010118745A true JP2010118745A (ja) | 2010-05-27 |
JP5163984B2 JP5163984B2 (ja) | 2013-03-13 |
Family
ID=42306136
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008288835A Expired - Fee Related JP5163984B2 (ja) | 2008-11-11 | 2008-11-11 | 検疫制御装置、検疫制御コンピュータプログラム、通信妨害方法、端末装置、エージェントコンピュータプログラム、コンピュータプログラム、及び誤学習処理方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5163984B2 (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012138727A (ja) * | 2010-12-27 | 2012-07-19 | Pfu Ltd | 情報処理装置、アドレス重複対処方法およびアドレス重複対処用プログラム |
WO2012160809A1 (en) * | 2011-05-23 | 2012-11-29 | Nec Corporation | Communication system, control device, communication method, and program |
CN104883410A (zh) * | 2015-05-21 | 2015-09-02 | 深圳颐和网络科技有限公司 | 一种网络传输方法和网络传输装置 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004185498A (ja) * | 2002-12-05 | 2004-07-02 | Matsushita Electric Ind Co Ltd | アクセス制御装置 |
JP2005079706A (ja) * | 2003-08-28 | 2005-03-24 | Nec Corp | ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置 |
JP2006157293A (ja) * | 2004-11-26 | 2006-06-15 | Nippon Telegraph & Telephone East Corp | サーバ、通信端末および通信システム |
JP2008054204A (ja) * | 2006-08-28 | 2008-03-06 | Mitsubishi Electric Corp | 接続装置及び端末装置及びデータ確認プログラム |
JP2008060766A (ja) * | 2006-08-30 | 2008-03-13 | Mitsubishi Electric Corp | ネットワーク監視装置、検疫システム、セキュアゲートウェイ、ネットワーク監視プログラム及びネットワーク監視方法 |
JP2008077558A (ja) * | 2006-09-25 | 2008-04-03 | Mitsubishi Electric Corp | 検疫ネットワークシステム |
JP2008092465A (ja) * | 2006-10-04 | 2008-04-17 | Internatl Business Mach Corp <Ibm> | コンピュータ端末がネットワークに接続して通信することを管理・制御するための装置および方法。 |
JP2008278193A (ja) * | 2007-04-27 | 2008-11-13 | Sumitomo Electric System Solutions Co Ltd | 検疫制御装置、検疫制御コンピュータプログラム、検疫方法、検疫対象端末装置、エージェントコンピュータプログラム、検査方法、コンピュータプログラムセット、及びパケットデータ構造 |
-
2008
- 2008-11-11 JP JP2008288835A patent/JP5163984B2/ja not_active Expired - Fee Related
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004185498A (ja) * | 2002-12-05 | 2004-07-02 | Matsushita Electric Ind Co Ltd | アクセス制御装置 |
JP2005079706A (ja) * | 2003-08-28 | 2005-03-24 | Nec Corp | ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置 |
JP2006157293A (ja) * | 2004-11-26 | 2006-06-15 | Nippon Telegraph & Telephone East Corp | サーバ、通信端末および通信システム |
JP2008054204A (ja) * | 2006-08-28 | 2008-03-06 | Mitsubishi Electric Corp | 接続装置及び端末装置及びデータ確認プログラム |
JP2008060766A (ja) * | 2006-08-30 | 2008-03-13 | Mitsubishi Electric Corp | ネットワーク監視装置、検疫システム、セキュアゲートウェイ、ネットワーク監視プログラム及びネットワーク監視方法 |
JP2008077558A (ja) * | 2006-09-25 | 2008-04-03 | Mitsubishi Electric Corp | 検疫ネットワークシステム |
JP2008092465A (ja) * | 2006-10-04 | 2008-04-17 | Internatl Business Mach Corp <Ibm> | コンピュータ端末がネットワークに接続して通信することを管理・制御するための装置および方法。 |
JP2008278193A (ja) * | 2007-04-27 | 2008-11-13 | Sumitomo Electric System Solutions Co Ltd | 検疫制御装置、検疫制御コンピュータプログラム、検疫方法、検疫対象端末装置、エージェントコンピュータプログラム、検査方法、コンピュータプログラムセット、及びパケットデータ構造 |
Non-Patent Citations (4)
Title |
---|
CSND200701524004; 三華 和夫: 'IPv4の基本から最新IPv6までほんとうに理解できるインターネットプロトコル やさしく分かるTCP/IP' Windows Server World Vol.13 No.3 第13巻 第3号, 20080301, 52〜60, (株)IDCジャパン * |
CSNG200700026045; 猿田智勇、他2名: 'ネットワークポリシーに従わないPCの無力化に関する検討' 情報処理学会シンポジウムシリーズ Vol.2006 No.11 第2006巻 第11号, 20061025, pp.311〜314, 社団法人情報処理学会 * |
JPN6012041589; 猿田智勇、他2名: 'ネットワークポリシーに従わないPCの無力化に関する検討' 情報処理学会シンポジウムシリーズ Vol.2006 No.11 第2006巻 第11号, 20061025, pp.311〜314, 社団法人情報処理学会 * |
JPN6012041590; 三華 和夫: 'IPv4の基本から最新IPv6までほんとうに理解できるインターネットプロトコル やさしく分かるTCP/IP' Windows Server World Vol.13 No.3 第13巻 第3号, 20080301, 52〜60, (株)IDCジャパン * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012138727A (ja) * | 2010-12-27 | 2012-07-19 | Pfu Ltd | 情報処理装置、アドレス重複対処方法およびアドレス重複対処用プログラム |
WO2012160809A1 (en) * | 2011-05-23 | 2012-11-29 | Nec Corporation | Communication system, control device, communication method, and program |
JP2014518021A (ja) * | 2011-05-23 | 2014-07-24 | 日本電気株式会社 | 通信システム、制御装置、通信方法およびプログラム |
US9215237B2 (en) | 2011-05-23 | 2015-12-15 | Nec Corporation | Communication system, control device, communication method, and program |
CN104883410A (zh) * | 2015-05-21 | 2015-09-02 | 深圳颐和网络科技有限公司 | 一种网络传输方法和网络传输装置 |
CN104883410B (zh) * | 2015-05-21 | 2018-03-02 | 上海沪景信息科技有限公司 | 一种网络传输方法和网络传输装置 |
Also Published As
Publication number | Publication date |
---|---|
JP5163984B2 (ja) | 2013-03-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11082436B1 (en) | System and method for offloading packet processing and static analysis operations | |
US8910248B2 (en) | Terminal connection status management with network authentication | |
JP2008278193A (ja) | 検疫制御装置、検疫制御コンピュータプログラム、検疫方法、検疫対象端末装置、エージェントコンピュータプログラム、検査方法、コンピュータプログラムセット、及びパケットデータ構造 | |
WO2007045155A1 (en) | A method for realizing mobile station secure update and correlative reacting system | |
EP1838067A2 (en) | Voice-quality evaluating system, communication system, test management apparatus, and test communication apparatus | |
JP5163984B2 (ja) | 検疫制御装置、検疫制御コンピュータプログラム、通信妨害方法、端末装置、エージェントコンピュータプログラム、コンピュータプログラム、及び誤学習処理方法 | |
US8484345B2 (en) | Communication control apparatus, communication control system, and communication control method | |
JP5822161B2 (ja) | 検疫制御装置、検疫制御コンピュータプログラム、及び検疫方法 | |
JP4245486B2 (ja) | ネットワーク不正接続防止方法及び装置 | |
JP5769301B2 (ja) | 検疫制御装置、検疫制御コンピュータプログラム、及び検疫方法 | |
JP4895793B2 (ja) | ネットワーク監視装置及びネットワーク監視方法 | |
JP5267893B2 (ja) | ネットワーク監視システム、ネットワーク監視方法、及びネットワーク監視プログラム | |
JP4921864B2 (ja) | 通信制御装置、認証システムおよび通信制御プログラム | |
JP6476530B2 (ja) | 情報処理装置、方法およびプログラム | |
JP2016015676A (ja) | 監視装置、監視システム、および、監視方法 | |
JP2015019320A (ja) | 管理システム、管理装置、及びコンピュータプログラム | |
JP4677501B2 (ja) | 中継装置および中継方法 | |
JP4290526B2 (ja) | ネットワークシステム | |
JP3880530B2 (ja) | 動的アドレス付与サーバを利用したクライアントの安全性検診システム | |
US8897142B2 (en) | Communication monitoring device | |
US8660143B2 (en) | Data packet interception system | |
JP2019103118A (ja) | 通信中継装置、通信中継プログラム、および通信中継方法 | |
JP2024008391A (ja) | ネットワーク検査装置、ネットワーク検査プログラム、ネットワーク検査方法及びネットワーク検査システム | |
JP5600133B2 (ja) | 監視装置、監視方法および監視プログラム | |
JP6988542B2 (ja) | エッジ装置、制御方法、及び制御プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A625 | Written request for application examination (by other person) |
Free format text: JAPANESE INTERMEDIATE CODE: A625 Effective date: 20110826 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120704 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120814 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120924 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121120 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121206 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151228 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5163984 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |