JP2011129968A - Communication terminal device - Google Patents
Communication terminal device Download PDFInfo
- Publication number
- JP2011129968A JP2011129968A JP2009283622A JP2009283622A JP2011129968A JP 2011129968 A JP2011129968 A JP 2011129968A JP 2009283622 A JP2009283622 A JP 2009283622A JP 2009283622 A JP2009283622 A JP 2009283622A JP 2011129968 A JP2011129968 A JP 2011129968A
- Authority
- JP
- Japan
- Prior art keywords
- address
- mac address
- attack
- communication terminal
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、IP(Internet Protocol)ネットワークに接続することにより、ネットワークサービスに対応することができる通信端末装置(以下、通信端末と称す)に関するものである。 The present invention relates to a communication terminal device (hereinafter referred to as a communication terminal) capable of supporting a network service by connecting to an IP (Internet Protocol) network.
近年、ネットワークを介して不正なデータを送りつけるなどして、他の端末装置(以下、端末と称す)が提供または実行するサービスを阻害したり、保存されている情報を不正に引き出したりする、いわゆるネットワーク攻撃が猛威を振るっている。 In recent years, by sending illegal data over a network, etc., the services provided or executed by other terminal devices (hereinafter referred to as terminals) are obstructed, or stored information is illegally extracted. So-called network attacks are intensifying.
このようなネットワーク攻撃には複数の種類が存在するが、それぞれのネットワーク攻撃に対する対抗策となる技術も数多く存在する。例えば、特許文献1には、サービス阻害攻撃(Denial of Service攻撃:DoS攻撃)に対する対抗策に関する技術が開示されている。 There are a plurality of types of such network attacks, but there are many technologies that can be used to counter each network attack. For example, Patent Document 1 discloses a technique related to a countermeasure against a service inhibition attack (Denial of Service attack: DoS attack).
特許文献1においては、端末において通信量が過剰であるか否かを監視し、過剰である(DoS攻撃を受けている)と判断した場合には、割り込み信号を出力しないことで割り込み処理を行わず、端末のリソース占有を防ぐことにより、サービスに必要なリソースを確保し、正常な動作を維持できる技術が開示されている。 In Patent Document 1, it is monitored whether or not the communication amount is excessive in the terminal, and if it is determined that the communication amount is excessive (subject to DoS attack), interrupt processing is performed by not outputting an interrupt signal. First, a technology is disclosed that can secure resources necessary for a service and maintain normal operation by preventing terminal resource occupation.
一方、ノートパソコンなどの可搬性の高い端末においては、使用環境によって接続先のネットワークを変更しながら使用するケースがある。このとき、端末においては、接続先のネットワークによってIPアドレスを適切に設定変更する必要がある。この設定変更を手動で行う場合は、ユーザに毎回手間をかけさせることになる。また、DHCP(Dynamic Host Configuration Protocol)を使って自動設定するにしても、毎回アドレスの取得処理をする必要があり、ユーザは取得完了まで待たされることになり、ユーザの負担は決して軽いものではない。 On the other hand, a highly portable terminal such as a notebook personal computer may be used while changing a connection destination network depending on the use environment. At this time, in the terminal, it is necessary to appropriately change the IP address setting depending on the connection destination network. When this setting change is performed manually, the user has to spend time and effort every time. Moreover, even if automatic setting is performed using DHCP (Dynamic Host Configuration Protocol), it is necessary to perform address acquisition processing every time, and the user will have to wait until the acquisition is completed, and the burden on the user is not light. .
このようなユーザの負担を軽減する技術が、特許文献2に示されている。特許文献2においては、一度設定したIPアドレス情報をネットワーク切断後も保持し、新たなネットワークで通信を開始するときの接続先IPアドレスを基に、保持している複数のIPアドレス情報を検索し、適切なものを設定しなおすことで、ユーザの負荷を軽減する技術が開示されている。 A technique for reducing the burden on the user is disclosed in Patent Document 2. In Patent Document 2, IP address information once set is retained even after the network is disconnected, and a plurality of retained IP address information is retrieved based on a connection destination IP address when communication is started on a new network. A technique for reducing the load on the user by setting an appropriate one is disclosed.
しかしながら、ホームルータによりDHCPサービスが提供されているホームネットワークにおいて、ホームルータのDHCPサーバによりIPアドレスの割り当てを受けて外部ネットワークと通信を行う通信端末に対して、ネットワーク攻撃に対する対抗策として特許文献1に開示されている技術を適用し、受信割り込み処理を行わないようにすると、IPアドレスのリース更新のための通信もできなくなる。その結果として、DHCPサーバにIPアドレスが返却されてしまうことになり、さらに、返却されたIPアドレスが、家庭内の別の通信端末に割り当てられた場合には、その通信端末がネットワーク攻撃を受けることになってしまい、ホームネットワーク内でネットワーク攻撃を回避することができないという課題を有していた。 However, in a home network in which a DHCP service is provided by a home router, Patent Document 1 discloses a countermeasure against a network attack against a communication terminal that receives an IP address assigned by a DHCP server of the home router and communicates with an external network. If the technique disclosed in the above is applied and reception interruption processing is not performed, communication for IP address lease renewal becomes impossible. As a result, the IP address is returned to the DHCP server, and when the returned IP address is assigned to another communication terminal in the home, the communication terminal is subjected to a network attack. As a result, a network attack cannot be avoided in the home network.
このような課題を解決するために、攻撃対象となっているIPアドレスのリース更新通信を行い、IPアドレスがDHCPサーバへ返却されるのを防ぎつつ、別のIPアドレスを通信に用いる方法が考えられる。 In order to solve such a problem, there is a method of performing lease update communication of an IP address that is an attack target and using another IP address for communication while preventing the IP address from being returned to the DHCP server. It is done.
このような2つのIPアドレスを保持する手法として、特許文献2に開示されている技術を適用することが考えられる。しかし、特許文献2に開示されている技術においては、別のIPアドレスの取得と切り換えは新たなネットワークへの接続時に行われ、ネットワーク攻撃を受けたときにネットワーク接続を維持しながら別のIPアドレスを取得することは考慮されていないため、このような課題を解決することはできない。 As a technique for holding such two IP addresses, it is conceivable to apply the technique disclosed in Patent Document 2. However, in the technology disclosed in Patent Document 2, acquisition and switching of another IP address is performed when connecting to a new network, and another IP address is maintained while maintaining the network connection when subjected to a network attack. Such a problem cannot be solved because it is not taken into consideration.
本発明は、このような課題に鑑みてなされたものであり、攻撃対象となっているIPアドレスのリース更新通信を行い、IPアドレスがDHCPサーバへ返却されるのを防ぎつつ、別のIPアドレスを通信に用いることにより、IPアドレスの再利用の仕組みに起因するネットワーク攻撃を他の通信端末に引き継いでしまうという問題を回避することができ、ホームネットワーク全体として攻撃を防御することができる通信端末を提供することを目的とする。 The present invention has been made in view of such a problem, and performs lease update communication of an IP address that is an attack target, while preventing the IP address from being returned to the DHCP server, and another IP address. Can be used to avoid the problem of taking over network attacks caused by the IP address reuse mechanism to other communication terminals, and the home network as a whole can prevent such attacks. The purpose is to provide.
上記目的を達成するために、本願の第1の発明の通信端末装置は、ホームネットワークに接続され、DHCP(Dynamic Host Configuration Protocol)サーバから割当てられるIP(Internet Protocol)アドレスを基に、外部ネットワークを介して通信を行なう通信端末装置であって、DoS(Denial of Service)攻撃およびDoS攻撃の終了を検出する検出手段と、自装置のMAC(Media Access Control)アドレスの変更を行なうMACアドレス変更手段と、前記DHCPサーバからMACアドレスに対応したIPアドレスを取得するIPアドレス取得手段と、を備え、前記検出手段がDoS攻撃を検出した場合、前記MACアドレス変更手段は、自装置に割当てられたMACアドレスを変更し、前記IPアドレス取得手段は、変更されたMACアドレスに対応した新たなIPアドレスを前記DHCPサーバから取得し、前記新たなIPアドレスを基に前記外部ネットワークを介して通信すると共に、変更前に取得したIPアドレスは解放せずに自装置にて保持することを特徴とするものである。 In order to achieve the above object, a communication terminal device according to a first invention of the present application is connected to a home network and has an external network based on an IP (Internet Protocol) address assigned by a DHCP (Dynamic Host Configuration Protocol) server. A communication terminal device that performs communication via a detection means for detecting the end of a DoS (Denial of Service) attack and a DoS attack, and a MAC address changing means for changing the MAC (Media Access Control) address of the own device IP address acquisition means for acquiring an IP address corresponding to a MAC address from the DHCP server, and when the detection means detects a DoS attack, the MAC address change means The stage changes the MAC address assigned to the own apparatus, and the IP address acquisition unit acquires a new IP address corresponding to the changed MAC address from the DHCP server, and based on the new IP address. While communicating via the external network, the IP address acquired before the change is held in the own apparatus without being released.
また、本願の第2の発明の通信端末装置は、本願の第1の発明の通信端末装置において、前記DHCPサーバに対してリース更新の要求を行なう攻撃対象IPアドレス更新手段をさらに備え、前記攻撃対象IPアドレス更新手段が、前記DHCPサーバに対して、攻撃対象となっている前記変更前に取得したIPアドレスのリース更新要求を、予め定めた間隔で行うことにより、前記変更前に取得したIPアドレスを解放せずに自装置にて保持することを特徴とするものである。 The communication terminal device of the second invention of the present application is the communication terminal device of the first invention of the present application, further comprising attack target IP address update means for making a lease update request to the DHCP server, wherein the attack The target IP address updating means makes a lease update request for the IP address acquired before the change, which is an attack target, to the DHCP server at a predetermined interval, thereby obtaining the IP acquired before the change. It is characterized in that the address is held in its own device without being released.
また、本願の第3の発明の通信端末装置は、本願の第2の発明の通信端末装置において、前記攻撃対象IPアドレス更新手段は、予め定めた間隔で前記DHCPサーバに対して送信するDHCPREQUESTメッセージに対し、その応答メッセージの受信は行なわないことを特徴とするものである。 The communication terminal device according to a third aspect of the present invention is the communication terminal device according to the second aspect of the present invention, wherein the attack target IP address update means transmits a DHCPREQUEST message to the DHCP server at a predetermined interval. On the other hand, the response message is not received.
また、本願の第4の発明の通信端末装置は、本願の第1の発明の通信端末装置において、前記検出手段がDoS攻撃の終了したことを検出すると、前記MACアドレス変更手段が変更したMACアドレスおよび前記新たなIPアドレスを解放すると共に、前記変更前に取得したIPアドレスを基に前記外部ネットワークを介して通信することを特徴とするものである。 Further, in the communication terminal device according to the fourth aspect of the present invention, in the communication terminal device according to the first aspect of the present application, when the detecting means detects that the DoS attack has ended, the MAC address changed by the MAC address changing means The new IP address is released, and communication is performed via the external network based on the IP address acquired before the change.
また、本願の第5の発明の通信端末装置は、本願の第1の発明の通信端末装置において、自装置に送信されてくるパケットを監視し、該パケットに記載されている送信元MACアドレスを蓄積するMACアドレス蓄積手段をさらに備え、前記MACアドレス変更手段は、自装置のMACアドレスを変更する際に、前記MACアドレス蓄積手段に蓄積されているMACアドレスとは一致しないように変更することを特徴とするものである。 The communication terminal device of the fifth invention of the present application monitors the packet transmitted to the own device in the communication terminal device of the first invention of the present application, and determines the source MAC address described in the packet. A MAC address storage unit for storing the MAC address, and the MAC address change unit changes the MAC address stored in the MAC address storage unit so that the MAC address does not match when the MAC address of the own device is changed; It is a feature.
本発明の通信端末によれば、「IPアドレスの再利用の仕組みに起因するネットワーク攻撃を他の通信端末に引き継いでしまうという問題」を回避することができ、ホームネットワーク全体として攻撃を防御することができる。 According to the communication terminal of the present invention, it is possible to avoid the “problem that a network attack caused by the IP address reuse mechanism is taken over by another communication terminal”, and protect the attack as a whole home network. Can do.
以下に、本発明を実施するための形態について、図面を参照しながら説明する。 EMBODIMENT OF THE INVENTION Below, the form for implementing this invention is demonstrated, referring drawings.
(実施の形態1)
図1は、本発明の実施の形態1におけるネットワークの構成を示すブロック図である。
(Embodiment 1)
FIG. 1 is a block diagram showing a network configuration according to Embodiment 1 of the present invention.
図1において、ホームルータ102は、DHCPサーバ1021を備え、ホームネットワーク110内の各端末からインターネット101への接続の中継をするゲートウェイ機能、1つのグローバルIPアドレスをホームネットワーク110内の各端末で共有するNAT(Network Address Translation)機能、およびホームネットワーク110内の各端末にIPアドレスを割り当てるDHCPサーバ機能を有する。
In FIG. 1, the
ホームネットワーク110内の本発明に係る通信端末A103や、ネットワーク攻撃対策を備えていない通信端末B104は、これらの機能を利用することにより、インターネット101上に存在する様々なサービスが利用可能である。また、通信端末C105は、コンピュータウィルスに感染したなど、何らかの理由により、ホームネットワーク110内の端末を対象に、ネットワーク攻撃を行う可能性のある状態になっているものとする。
The
次に、図2を用いて、本発明の実施の形態1に係る通信端末A103の内部の構成について説明する。なお、図2は、本発明の実施の形態1に係る通信端末の内部の構成を示すブロック図である。 Next, the internal configuration of communication terminal A103 according to Embodiment 1 of the present invention will be described using FIG. FIG. 2 is a block diagram showing an internal configuration of the communication terminal according to Embodiment 1 of the present invention.
図2において、イーサネット(登録商標)のI/F(以下、I/Fと称す)201は、イーサネット(登録商標)を介した通信の物理層の処理を行う。通信部202は、データリンク層より上位の、ユーザにネットワークサービスを提供する際に行う通信を処理する。攻撃検出部203は、I/F201の通信状況を監視し、何らかの方法により攻撃を検出する。
In FIG. 2, an Ethernet (registered trademark) I / F (hereinafter referred to as I / F) 201 performs processing of a physical layer of communication via Ethernet (registered trademark). The
一時MAC(Media Access Control)アドレス設定部204は、一時的に必要なMACアドレスを生成する。攻撃終了検出部205は、I/F201の通信状況を監視し、何らかの方法により攻撃が終了したことを検出する。一時MACアドレス解放部206は、一時MACアドレス設定部204において生成したMACアドレスを解放する。
A temporary MAC (Media Access Control)
なお、攻撃検出部203において攻撃を検出する何らかの方法としては、I/F201からCPU(Central Processing Unit)(図示せず)に送られる受信割込み数が、予め定めた閾値を超えたときなどが考えられるが、これに限定されるものではない。
It should be noted that as a method of detecting an attack in the
IPアドレス取得部207は、呼び出し元から与えられたMACアドレスを用いてI/F201経由でホームルータ102のDHCPサーバ1021と通信し、IPアドレスの割り当てを受けた後、呼び出し元に対して、割り当てられたIPアドレスを返す。
The IP
IPアドレス更新部208は、呼び出し元から与えられたMACアドレスと、そのMACアドレスに割り当てられ、IPアドレス取得部207で取得したIPアドレスを用いて、定期的にI/F201経由でホームルータ102のDHCPサーバ1021と通信し、DHCPサーバ1021に対してIPアドレスの割り当て期間(リース時間)の延長を要求し、延長が可能か不可能かの応答の待ち受けを行って応答を受け取った後、呼び出し元に対して延長が可能か不可能かの応答結果を返す。
The IP
攻撃対象IPアドレス更新部209は、ほぼIPアドレス更新部208と同様の動作を行うが、IPアドレスの割り当て期間の延長を要求した後、延長が可能か不可能かの応答の待ち受けを行わない。
The attack target IP
IPアドレス解放部210は、呼び出し元から与えられたMACアドレスとIPアドレスを用いて、I/F201経由でホームルータ102のDHCPサーバ1021と通信し、DHCPサーバ1021に対してIPアドレスの解放を要求する。
The IP
アドレス管理部211は、通信端末A103に予め関連付けられたMACアドレス、もしくは一時MACアドレス設定部204で生成されたMACアドレスと、DHCP通信によりこれらのMACアドレスに割り当てられたIPアドレスを管理し、さらに、IPアドレスの取得、保持および解放などの制御を管理する。
The
MACアドレス蓄積部212は、I/F201で受信するパケットの送信元MACアドレスを抽出し、受信歴のある送信元MACアドレスを蓄積する。
The MAC
ここで、特許請求の範囲に記載の各手段と図2における各部との関係について説明すると、検出手段は、I/F201、攻撃検出部203および攻撃終了検出部205で構成される。また、MACアドレス変更手段は、一時MACアドレス設定部204およびアドレス管理部211で構成され、IPアドレス取得手段は、I/F201、IPアドレス取得部207およびアドレス管理部211で構成される。また、攻撃対象IPアドレス更新手段は、I/F201、IPアドレス更新部208およびアドレス管理部211で構成され、MACアドレス蓄積手段は、I/F201およびMACアドレス蓄積部212で構成される。
Here, the relationship between each unit described in the claims and each unit in FIG. 2 will be described. The detection unit includes an I /
次に、図3〜図5を用いて、本発明の実施の形態1に係る通信端末A103における動作について説明する。なお、図3は、本発明の実施の形態1に係る通信端末のアドレス管理部が保持するアドレス管理テーブルの一例を示す図である。また、図4は、本発明の実施の形態1に係る通信端末のIPアドレス更新部と攻撃対象IPアドレス更新部が、それぞれホームルータのDHCPサーバと通信する際のシーケンスの一例を示す図である。また、図5は、本発明の実施の形態1に係る通信端末のMACアドレス蓄積部において蓄積される送信元MACアドレス(ホームネットワーク内機器のMACアドレス)の一覧テーブルの一例を示す図である。 Next, the operation in communication terminal A103 according to Embodiment 1 of the present invention will be described with reference to FIGS. FIG. 3 is a diagram showing an example of an address management table held by the address management unit of the communication terminal according to Embodiment 1 of the present invention. FIG. 4 is a diagram showing an example of a sequence when the IP address update unit and the attack target IP address update unit of the communication terminal according to Embodiment 1 of the present invention communicate with the DHCP server of the home router, respectively. . FIG. 5 is a diagram showing an example of a list table of transmission source MAC addresses (MAC addresses of devices in the home network) stored in the MAC address storage unit of the communication terminal according to Embodiment 1 of the present invention.
本発明の実施の形態1に係る通信端末A103は、通常の通信端末と同様、I/F201や通信部202を備え、これらによりユーザに対して通信サービスを提供する。
The communication terminal A103 according to the first embodiment of the present invention includes an I /
また、通信用にIPアドレスの取得が必要なときには、アドレス管理部211にアドレス取得要求が送られる。例えば、イーサケーブルが通信端末A103に接続された直後は、I/F201がアドレス管理部211に対してアドレス取得要求を送る。アドレス取得要求を受ける前のアドレス管理部211が保持するアドレス管理テーブル(以下、管理テーブルと称す)は、図3の(イ)に示すように、通信端末A103に予め関連付けられたMACアドレスのみが通信用MACアドレスとして登録されている状態である。
When an IP address needs to be acquired for communication, an address acquisition request is sent to the
ここで、アドレス管理部211は、I/F201からアドレス取得要求を受け取ると、IPアドレス取得部207に対して通信用MACアドレスと共にIPアドレス取得要求を送る。
Here, upon receiving an address acquisition request from the I /
IPアドレス取得部207は、アドレス管理部211からIPアドレス取得要求を受け取ると、DHCP通信によりIPアドレスの割り当てを受け、そのIPアドレスとリース時間をアドレス管理部211に応答として返す。
When receiving an IP address acquisition request from the
アドレス管理部211は、IPアドレス取得部207から受け取ったIPアドレスとリース時間を管理テーブルに登録する。この際の管理テーブルは、図3の(ロ)に示すようになる。このように管理テーブルに登録された通信用IPアドレスは、通信部202に通知され、通信を行う際に使用される。
The
また、アドレス管理部211は、リース時間に基づいてリース更新間隔を決定し(通常はリース時間の半分)、このリース更新間隔と、管理テーブルに登録された通信用IPアドレスおよび通信用MACアドレスなどの情報を、IPアドレス更新部208に送る。
Further, the
IPアドレス更新部208は、アドレス管理部211から送られたこれらの情報を使用して、通信用IPアドレスのリース更新のために、ホームルータ102内のDHCPサーバ1021との通信を定期的に行い、DHCPサーバ1021との通信が正常にできなかった場合や、更新の拒否を受けたときは、アドレス管理部211にその旨を通知する。
The IP
以上のような一連の処理により、通信端末A103は、通信用IPアドレスの取得および保持を実現することができる。
Through the series of processes as described above, the
ここで、通信端末A103がネットワーク攻撃を受け、攻撃検出部203がネットワーク攻撃を受けたことを検出すると、攻撃回避を行うために、攻撃検出部203は、一時MACアドレス設定部204に対して攻撃検出通知を送る。
Here, when it is detected that the
一時MACアドレス設定部204は、攻撃検出部203から攻撃検出通知を受け取ると、一時的に使用するMACアドレスを生成し、その生成したMACアドレスとアドレス変更要求をアドレス管理部211に送る。
When receiving the attack detection notification from the
なお、一時MACアドレス設定部204が生成するMACアドレスの生成方法は以下の通りである。
The method for generating the MAC address generated by the temporary MAC
まず、MACアドレス蓄積部212は、それまでにI/F201で受信されたパケットの送信元MACアドレスを抽出し、受信歴のある送信元MACアドレスを全てテーブル(MACアドレステーブル)に記録する。
First, the MAC
DHCPによるIPアドレス割り当てを前提としたホームネットワーク110においては、IPアドレス割り当て要求時にブロードキャストパケットを送信するため、ホームネットワーク110内の全端末のMACアドレスを収集することが可能である。すなわち、MACアドレス蓄積部212が記録するMACアドレステーブルは、通信端末A103が動作している間にホームネットワーク110に接続された全ての端末のMACアドレステーブルとなっている。このMACアドレステーブルの一例を図5に示す。
In the
一時MACアドレス設定部204は、MACアドレスの生成にあたり、まず、MACアドレス蓄積部212に対してMACアドレステーブルの要求を行ない、MACアドレス蓄積部212からMACアドレス蓄積部212が保持しているMACアドレステーブルを取得する。
In generating a MAC address, the temporary MAC
一時MACアドレス設定部204は、ランダムにMACアドレスを生成するが、MACアドレス蓄積部212から取得したMACアドレステーブルにあるものと同じMACアドレスが生成された場合には、再度生成しなおす。これにより、ホームネットワーク110内の端末のMACアドレスと重複しないMACアドレスを生成することができ、ホームネットワーク110内に同じMACアドレスの端末が複数あることによる障害を避けることができる。
The temporary MAC
一方、アドレス管理部211は、一時MACアドレス設定部204からアドレス変更要求を受け取ると、まず、自らが管理している管理テーブル上の通信用MACアドレス、通信用IPアドレスおよびリース時間を、図3の(ハ)に示すように、攻撃対象の行に移動させる。続いて、アドレス変更要求と共に受け取った別のMACアドレスを、図3の(ニ)に示すように、通信用のMACアドレスとして設定する。
On the other hand, when the
続いて、アドレス管理部211は、IPアドレス更新部208に対して更新停止通知を送り、IPアドレス更新部208における定期的な更新処理を停止させる。
Subsequently, the
続いて、アドレス管理部211は、IPアドレス取得部207に対して、管理テーブルに登録されている通信用MACアドレスと共にIPアドレス取得要求を送る。
Subsequently, the
IPアドレス取得部207は、アドレス管理部211からIPアドレス取得要求を受け取ると、DHCP通信によりIPアドレスの割り当てを受け、その割り当てを受けたIPアドレスとリース時間を、アドレス管理部211に応答として返す。
Upon receiving an IP address acquisition request from the
アドレス管理部211は、IPアドレス取得部207から受け取ったIPアドレスとリース時間を管理テーブルに登録する。このときの管理テーブルは図3の(ホ)に示すようになる。図3の(ホ)に示される通信用IPアドレスは通信部202に通知され、通信を行う際に使用される。また、アドレス管理部211は、リース時間に基づき、リース更新間隔を決定し(通常はリース時間の半分)、決定したリース更新間隔と管理テーブル上の通信用IPアドレス、および通信用MACアドレスをIPアドレス更新部208に送る。
The
IPアドレス更新部208は、アドレス管理部211から送られたこれらの情報を使用して、通信用IPアドレスのリース更新のためにDHCPサーバ1021との通信を定期的に行い、DHCPサーバ1021との通信が正常にできなかった場合や、更新の拒否を受けたときは、アドレス管理部211にその旨を通知する。
The IP
以上のような一連の処理により、攻撃対象となっているIPアドレスとは別に、通信用IPアドレスの取得、保持を実現することができるので、攻撃を回避しつつ、ネットワークサービスの使用が可能となる。 Through a series of processes as described above, it is possible to obtain and retain a communication IP address separately from the IP address that is the target of attack, so that network services can be used while avoiding attacks. Become.
次に、アドレス管理部211は、攻撃対象IPアドレス更新部209に対して、管理テーブル上の攻撃対象IPアドレス、攻撃対象MACアドレス、およびリース時間から決定したリース更新時間を送る。
Next, the
攻撃対象IPアドレス更新部209は、アドレス管理部211から送られたこれらの情報を使用して、攻撃対象IPアドレスのリース更新のためにDHCPサーバ1021との通信を定期的に行う。
The attack target IP
この際、IPアドレス更新部208において行われる通常のリース更新処理では、図4に示すように、通信端末A103は、ホームルータ102のDHCPサーバ1021にDHCPREQUESTメッセージを送った後、メッセージの受信待ちを行い、DHCPサーバ1021から送られるDHCPACKメッセージかDHCPNAKメッセージを受信して、そのアドレスがその後の通信に使用可能か否かを判断するが、攻撃対象IPアドレス更新部209での処理は、DHCPサーバ1021にDHCPREQUESTメッセージを送った後、メッセージの受信待ちを敢えて行わない。その理由は、攻撃対象IPアドレス(MACアドレス)に対する受信待ちを行ってしまうと、その受信待ちの間にDoS攻撃による大量のパケットを受信してしまい、CPU負荷の増大によりサービスに不具合を引き起こす可能性があるからである。
At this time, in the normal lease renewal process performed in the IP
したがって、攻撃対象IPアドレス更新時には、受信待ちを行わないことで、サービスに不具合を引き起こすような問題を回避することができる。なお、受信待ちを行わない場合、そのIPアドレスが通信に使ってよいものかどうかの判断ができないが、攻撃対象IPアドレスで通信を行うことはないので、特に問題とはならない。 Therefore, when updating the attack target IP address, it is possible to avoid a problem that causes a problem in the service by not waiting for reception. When waiting for reception is not possible, it is not possible to determine whether or not the IP address can be used for communication. However, since communication is not performed using the attack target IP address, there is no particular problem.
以上のような一連の処理により、攻撃対象IPアドレスのリースを更新し続けつつ、攻撃による不具合を回避することができるので、DHCPサーバ1021へのIPアドレス返却を防ぐことができ、ホームネットワーク110内の他の通信端末、例えば、通信端末B104に対して攻撃対象IPアドレスが割り当てられ、通信端末B104がDoS攻撃を受けてしまう事態を防ぐことができる。
With the series of processes as described above, it is possible to avoid the trouble due to the attack while continuing to renew the lease of the attack target IP address, so that the return of the IP address to the
アドレス管理部211が保持する管理テーブルにおいて、攻撃対象の行にMACアドレスやIPアドレスが設定された状態(攻撃検出状態)で、攻撃終了検出部205が攻撃終了を検出すると、一時的に設定したMACアドレスとIPアドレスを解放するために、攻撃終了検出部205は、一時MACアドレス解放部206に対して攻撃終了通知を送る。
In the management table held by the
一時MACアドレス解放部206は、攻撃終了検出部205から攻撃終了通知を受け取ると、一時的に設定したIPアドレスを解放するために、アドレス管理部211にアドレス解放要求を送る。
When receiving the attack end notification from the attack
アドレス管理部211は、一時MACアドレス解放部206からアドレス解放要求を受け取ると、まず、IPアドレス解放部210に対して、管理テーブルの通信用MACアドレスと通信用IPアドレスと共にIPアドレス解放要求を送る。
Upon receiving the address release request from the temporary MAC
IPアドレス解放部210は、アドレス管理部211から受け取った通信用MACアドレスと通信用IPアドレスを用いて、DHCPサーバ1021に対してDHCPRELEASEメッセージを送り、通信用IPアドレスの返却を行なう。
The IP
アドレス管理部211は、続いて、管理テーブルの通信用MACアドレス、通信用IPアドレスおよびリース時間を削除して図3の(ハ)に示すような状態にした後、攻撃対象MACアドレスを通信用の行に移動させ、攻撃対象IPアドレスとリース時間は削除し、図3の(イ)に示すような状態にする。
Subsequently, the
続いて、アドレス管理部211は、攻撃対象IPアドレス更新部209に対して、更新停止要求を送り、攻撃対象IPアドレス更新部209は、アドレス管理部211からの更新停止要求に対応して、定期的な更新処理を停止する。
Subsequently, the
続いて、アドレス管理部211は、IPアドレス取得部207に対して、管理テーブルの通信用MACアドレスと共にIPアドレス取得要求を送り、IPアドレス取得部207は、アドレス管理部211からのIPアドレス取得要求に対応して、DHCP通信によりIPアドレスの割り当てを受け、その割り当てを受けたIPアドレスとリース時間を、アドレス管理部211に返す。
Subsequently, the
アドレス管理部211は、IPアドレス取得部207から受け取ったIPアドレスとリース時間を管理テーブルに登録する。このときの管理テーブルは図3の(ロ)に示すようになる。この図3の(ロ)に示される通信用IPアドレスは通信部202に通知され、通信を行う際に使用される。
The
また、アドレス管理部211は、管理テーブルのリース時間に基づき、リース更新間隔を決定し(通常はリース時間の半分)、決定したリース更新間隔と管理テーブル上の通信用IPアドレスおよび通信用MACアドレスをIPアドレス更新部208に送る。IPアドレス更新部208は、アドレス管理部211から送られたこれらの情報を使用して、通信用IPアドレスのリース更新のために、DHCPサーバ1021との通信を定期的に行い、DHCPサーバ1021との通信が正常にできなかった場合や、更新の拒否を受けたときには、アドレス管理部211にその旨を通知する。
Further, the
以上の一連の処理により、攻撃終了後は、攻撃回避のためにリースされていたIPアドレスを返却することができ、ホームネットワーク110内の占有リソースを最低限に抑えることができる。
Through the series of processes described above, after the attack is over, the IP address leased for avoiding the attack can be returned, and the occupied resources in the
本発明に係る通信端末は、ネットワーク攻撃を受けたときに、ネットワークサービスの提供を停止せずに攻撃の回避が可能であり、かつネットワーク内の他の端末に攻撃先が切り換わることもないので、IPネットワークに接続することによりネットワークサービスに対応することができる通信端末として有用である。 When a communication terminal according to the present invention is subjected to a network attack, the attack can be avoided without stopping the provision of network services, and the attack destination is not switched to another terminal in the network. It is useful as a communication terminal capable of supporting network services by connecting to an IP network.
101 インターネット
102 ホームルータ
103 通信端末A
104 通信端末B
105 通信端末C
110 ホームネットワーク
201 イーサネット(登録商標)I/F
202 通信部
203 攻撃検出部
204 一時MACアドレス設定部
205 攻撃終了検出部
206 一時MACアドレス解放部
207 IPアドレス取得部
208 IPアドレス更新部
209 攻撃対象IPアドレス更新部
210 IPアドレス解放部
211 アドレス管理部
212 MACアドレス蓄積部
1021 DHCPサーバ
101
104 Communication terminal B
105 Communication terminal C
110
202
Claims (5)
DoS(Denial of Service)攻撃およびDoS攻撃の終了を検出する検出手段と、
自装置のMAC(Media Access Control)アドレスの変更を行なうMACアドレス変更手段と、
前記DHCPサーバからMACアドレスに対応したIPアドレスを取得するIPアドレス取得手段と、を備え、
前記検出手段がDoS攻撃を検出した場合、前記MACアドレス変更手段は、自装置に割当てられたMACアドレスを変更し、前記IPアドレス取得手段は、変更されたMACアドレスに対応した新たなIPアドレスを前記DHCPサーバから取得し、前記新たなIPアドレスを基に前記外部ネットワークを介して通信すると共に、変更前に取得したIPアドレスは解放せずに自装置にて保持することを特徴とする通信端末装置。 A communication terminal device connected to a home network and performing communication via an external network based on an IP (Internet Protocol) address assigned from a DHCP (Dynamic Host Configuration Protocol) server,
Detection means for detecting the end of a DoS (Denial of Service) attack and a DoS attack;
MAC address changing means for changing the MAC (Media Access Control) address of its own device;
IP address acquisition means for acquiring an IP address corresponding to a MAC address from the DHCP server,
When the detecting means detects a DoS attack, the MAC address changing means changes the MAC address assigned to the own device, and the IP address obtaining means assigns a new IP address corresponding to the changed MAC address. A communication terminal that is obtained from the DHCP server and communicates via the external network based on the new IP address, and the IP address obtained before the change is held in its own device without being released. apparatus.
前記攻撃対象IPアドレス更新手段が、前記DHCPサーバに対して、攻撃対象となっている前記変更前に取得したIPアドレスのリース更新要求を、予め定めた間隔で行うことにより、前記変更前に取得したIPアドレスを解放せずに自装置にて保持することを特徴とする請求項1記載の通信端末装置。 Further comprising attack target IP address updating means for making a lease update request to the DHCP server,
The attack target IP address update means acquires before the change by making a lease update request for the IP address acquired before the change that is the attack target to the DHCP server at a predetermined interval. 2. The communication terminal device according to claim 1, wherein the IP address is held by the own device without being released.
前記MACアドレス変更手段は、自装置のMACアドレスを変更する際に、前記MACアドレス蓄積手段に蓄積されているMACアドレスとは一致しないように変更することを特徴とする請求項1記載の通信端末装置。 It further comprises a MAC address accumulating unit that monitors a packet transmitted to its own device and accumulates a source MAC address described in the packet,
2. The communication terminal according to claim 1, wherein the MAC address changing unit changes the MAC address so as not to match the MAC address stored in the MAC address storing unit when changing the MAC address of the own device. apparatus.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009283622A JP2011129968A (en) | 2009-12-15 | 2009-12-15 | Communication terminal device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009283622A JP2011129968A (en) | 2009-12-15 | 2009-12-15 | Communication terminal device |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2011129968A true JP2011129968A (en) | 2011-06-30 |
Family
ID=44292124
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009283622A Pending JP2011129968A (en) | 2009-12-15 | 2009-12-15 | Communication terminal device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2011129968A (en) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013255167A (en) * | 2012-06-08 | 2013-12-19 | Nippon Telegraph & Telephone West Corp | Relay device |
JP2015154326A (en) * | 2014-02-17 | 2015-08-24 | 富士ゼロックス株式会社 | Information processing apparatus and information processing program |
KR20150132746A (en) * | 2014-05-16 | 2015-11-26 | 주식회사 케이티 | Method and system for protecting DDoS attack |
JP2017005519A (en) * | 2015-06-11 | 2017-01-05 | 三菱電機株式会社 | Communication apparatus and communication method |
KR101769447B1 (en) * | 2013-10-21 | 2017-08-22 | 주식회사 케이티 | Management Methods of IP Address Resources For DDoS, Protection Methods Thereof, And DHCP Server For The Same |
US10929563B2 (en) | 2014-02-17 | 2021-02-23 | Samsung Electronics Co., Ltd. | Electronic device and method for protecting users privacy |
-
2009
- 2009-12-15 JP JP2009283622A patent/JP2011129968A/en active Pending
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013255167A (en) * | 2012-06-08 | 2013-12-19 | Nippon Telegraph & Telephone West Corp | Relay device |
KR101769447B1 (en) * | 2013-10-21 | 2017-08-22 | 주식회사 케이티 | Management Methods of IP Address Resources For DDoS, Protection Methods Thereof, And DHCP Server For The Same |
JP2015154326A (en) * | 2014-02-17 | 2015-08-24 | 富士ゼロックス株式会社 | Information processing apparatus and information processing program |
US10929563B2 (en) | 2014-02-17 | 2021-02-23 | Samsung Electronics Co., Ltd. | Electronic device and method for protecting users privacy |
KR20150132746A (en) * | 2014-05-16 | 2015-11-26 | 주식회사 케이티 | Method and system for protecting DDoS attack |
KR102193588B1 (en) * | 2014-05-16 | 2020-12-23 | 주식회사 케이티 | Method and system for protecting DDoS attack |
JP2017005519A (en) * | 2015-06-11 | 2017-01-05 | 三菱電機株式会社 | Communication apparatus and communication method |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4664143B2 (en) | Packet transfer apparatus, communication network, and packet transfer method | |
CN110855633B (en) | DDOS attack protection method, device, system, communication equipment and storage medium | |
EP2654268B1 (en) | Address allocation processing method and apparatus | |
US6957276B1 (en) | System and method of assigning and reclaiming static addresses through the dynamic host configuration protocol | |
EP2169877B1 (en) | Processing method and device for qinq termination configuration | |
JP2011129968A (en) | Communication terminal device | |
JP2008028914A (en) | Device and method for reducing communication load, and program | |
WO2011153886A1 (en) | Method, system and dynamic host configuration protocol server, client terminal for avoiding internet protocol address conflict | |
US9697173B2 (en) | DNS proxy service for multi-core platforms | |
JP6445408B2 (en) | Communication system and setting method | |
EP2656590A1 (en) | Dns forwarder for multi-core platforms | |
JP4922620B2 (en) | Network system | |
US20110235641A1 (en) | Communication apparatus, method of controlling the communication apparatus,and program | |
JP2008154012A (en) | Network monitoring device, network monitoring method, network communicating method, and network quarantine system | |
JP2008283495A (en) | System and method for packet transfer | |
JP2008227663A (en) | Ip communication device, ip communication system equipped with the same, and ip address setting method | |
JP2008227600A (en) | Communication jamming device and communication jamming program | |
KR100846536B1 (en) | Virtual Private Network Using DHCP and Method of Security on the Same | |
JP2011130194A (en) | Ip address allocation apparatus, auxiliary device, ip address allocation system, ip address allocation method, and program | |
JP7439714B2 (en) | Network controllers and programs | |
KR102193588B1 (en) | Method and system for protecting DDoS attack | |
JP5535757B2 (en) | Client device and program | |
JP2022054640A (en) | Network controller and program | |
JP2017175514A (en) | Switch device, address administration method and computer program | |
JP2009152891A (en) | Communication system, client device, server device, and computer program |