JP2014150504A - Network monitoring device, network monitoring method, and computer program - Google Patents

Network monitoring device, network monitoring method, and computer program Download PDF

Info

Publication number
JP2014150504A
JP2014150504A JP2013019678A JP2013019678A JP2014150504A JP 2014150504 A JP2014150504 A JP 2014150504A JP 2013019678 A JP2013019678 A JP 2013019678A JP 2013019678 A JP2013019678 A JP 2013019678A JP 2014150504 A JP2014150504 A JP 2014150504A
Authority
JP
Japan
Prior art keywords
address
response
logical
correspondence information
illegal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2013019678A
Other languages
Japanese (ja)
Inventor
Akira Ito
陽 伊藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2013019678A priority Critical patent/JP2014150504A/en
Publication of JP2014150504A publication Critical patent/JP2014150504A/en
Pending legal-status Critical Current

Links

Images

Abstract

PROBLEM TO BE SOLVED: To provide a technique of protecting the man-in-the-middle attack without the need for a large amount of introduction cost.SOLUTION: There is provided a network monitoring device comprising: an address correspondence information storing part 11 configured to store address correspondence information indicating correspondence between a logic address and a physical address of each of a plurality of communication devices; an incorrect address response detection part 12 configured to detect an address response indicating a response to a solution request of the physical address to the logic address in a network in which the communication devices are connected, and determine that the address response is incorrect when a combination of the logic address of an initiating party and the physical address of the initiating party included in the detected address response is not stored in the address correspondence information storing part 11; and a recovered address response transmission part 13 configured to recover an incorrect address response by referring to the address correspondence information storage part 11, and transmit the recovered address response to a destination of the incorrect address response.

Description

本発明は、中間者攻撃を防御するためにネットワークを監視する技術に関する。   The present invention relates to a technique for monitoring a network in order to prevent a man-in-the-middle attack.

ネットワークに対する不正なアクセス手段として、ARP(Address Resolution Protocol)スプーフィングと呼ばれる中間者攻撃が知られている。ARPとは、論理アドレスからそれに対応する物理アドレスを得るために用いられるプロトコルである。また、ARPスプーフィングとは、ある論理アドレスに対する物理アドレスを要求するARP要求に対して、攻撃者端末が、自装置の物理アドレスを不正に応答するARP応答によりその論理アドレスを有する正規の端末になりすますことをいう。   A man-in-the-middle attack called ARP (Address Resolution Protocol) spoofing is known as an unauthorized access means to the network. ARP is a protocol used to obtain a physical address corresponding to a logical address. In addition, ARP spoofing means that in response to an ARP request that requests a physical address for a certain logical address, the attacker terminal impersonates the legitimate terminal having that logical address by an ARP response that responds illegally to the physical address of its own device. That means.

例えば、あるネットワークにおいて、ルータBから、端末Dの論理アドレスに対するARP要求がブロードキャストされたとする。攻撃者端末Eは、ルータBに対して、端末Dの論理アドレスを発信側の論理アドレスとして含み、自装置の物理アドレスを発信側の物理アドレスとして含む不正なARP応答を送信する。このARP応答を受信したルータBは、ARP応答に含まれる端末Dの論理アドレスおよび攻撃者端末Eの物理アドレスの組み合わせを、ARPテーブルに格納する。   For example, it is assumed that an ARP request for the logical address of the terminal D is broadcast from the router B in a certain network. The attacker terminal E transmits to the router B an illegal ARP response including the logical address of the terminal D as a logical address on the transmission side and including the physical address of the own device as the physical address on the transmission side. The router B that has received this ARP response stores the combination of the logical address of the terminal D and the physical address of the attacker terminal E included in the ARP response in the ARP table.

また、同じネットワークにおいて、端末Dから、ルータBの論理アドレスに対するARP要求がブロードキャストされたとする。攻撃者端末Eは、端末Dに対して、ルータBの論理アドレスを発信側の論理アドレスとして含み、自装置の物理アドレスを発信側の物理アドレスとして含む不正なARP応答を送信する。このARP応答を受信した端末Dは、ARP応答に含まれるルータBの論理アドレスおよび攻撃者端末Eの物理アドレスの組み合わせを、ARPテーブルに格納する。   Also assume that an ARP request for the logical address of router B is broadcast from terminal D in the same network. The attacker terminal E transmits to the terminal D an illegal ARP response including the logical address of the router B as the logical address on the transmission side and including the physical address of the own device as the physical address on the transmission side. The terminal D that has received this ARP response stores the combination of the logical address of the router B and the physical address of the attacker terminal E included in the ARP response in the ARP table.

これにより、端末DからルータBに送信されるはずの情報は、攻撃者端末Eに送信される。攻撃者端末Eは、端末DからルータB宛の情報を受信すると、端末DになりすましてルータBにこの情報を転送可能となる。ルータBは、攻撃者端末Eから転送された情報を、端末Dからの情報だとして外部ネットワークに転送してしまう。また、これに対して外部ネットワークから返信があった場合、ルータBから端末Dに返信されるはずの情報は、攻撃者端末Eに返信される。攻撃者端末Eは、ルータBから端末D宛の情報を受信すると、ルータBになりすまして端末Dにこの情報を返信可能となる。このようにして、攻撃者端末Eは、端末DおよびルータB間で送受信される情報を盗聴する。   As a result, information that should be transmitted from the terminal D to the router B is transmitted to the attacker terminal E. When the attacker terminal E receives information addressed to the router B from the terminal D, the attacker terminal E can impersonate the terminal D and transfer this information to the router B. The router B transfers the information transferred from the attacker terminal E to the external network as information from the terminal D. On the other hand, when there is a reply from the external network, information that should be returned from the router B to the terminal D is returned to the attacker terminal E. When the attacker terminal E receives information addressed to the terminal D from the router B, the attacker terminal E can impersonate the router B and return this information to the terminal D. In this way, the attacker terminal E eavesdrops on information transmitted and received between the terminal D and the router B.

特許文献1には、このような中間者攻撃を防御する関連技術の一例が記載されている。この関連技術は、偽装ARP要求および偽装ARP応答を用いて不正な装置からの通信を防御する。   Patent Document 1 describes an example of related technology for protecting against such a man-in-the-middle attack. This related technology protects communication from an unauthorized device using a fake ARP request and a fake ARP response.

具体的には、この関連技術では、ネットワーク監視装置は、ネットワークに接続される登録済端末のリストを保持しておく。そして、ネットワーク監視装置は、リストにない未登録端末からのARP要求を検出すると、要求先の登録済端末に対して、発信側の物理アドレスをネットワーク監視装置の物理アドレスに偽装した偽装ARP要求を送信する。登録済端末は、一旦は未登録端末からのARP要求を受信するが、その後、この偽装ARP要求を受信する。そこで、登録済端末は、自装置のARPテーブルにおいて、未登録端末の論理アドレスに対してネットワーク監視装置の物理アドレスを対応付けるよう書き換える。これにより、この関連技術は、登録済端末から未登録端末への通信を防止する。また、ネットワーク監視装置は、ARP要求の送信元である未登録端末に対して、発信側の物理アドレスを未登録端末自身の物理アドレスに偽装した偽装ARP応答を送信する。未登録端末は、一旦は登録済端末からのARP応答を受信するが、その後、この偽装ARP応答を受信する。そこで、未登録端末は、自装置のARPテーブルにおいて、登録済端末の論理アドレスに対して未登録端末自身の物理アドレスを対応付けるよう書き換える。これにより、この関連技術は、未登録端末から登録済端末への通信を防御する。   Specifically, in this related technique, the network monitoring apparatus holds a list of registered terminals connected to the network. When the network monitoring device detects an ARP request from an unregistered terminal that is not in the list, the network monitoring device sends a spoofed ARP request in which the physical address of the calling side is spoofed to the physical address of the network monitoring device to the requested registered terminal. Send. The registered terminal once receives an ARP request from an unregistered terminal, but then receives this fake ARP request. Therefore, the registered terminal rewrites the physical address of the network monitoring device in association with the logical address of the unregistered terminal in the ARP table of the own device. Thereby, this related technique prevents communication from a registered terminal to an unregistered terminal. Further, the network monitoring device transmits a forged ARP response in which the physical address of the calling side is impersonated to the physical address of the unregistered terminal itself to the unregistered terminal that is the transmission source of the ARP request. The unregistered terminal once receives the ARP response from the registered terminal, but then receives the camouflaged ARP response. Therefore, the unregistered terminal rewrites the physical address of the unregistered terminal in association with the logical address of the registered terminal in the ARP table of the own apparatus. Thereby, this related technique prevents communication from an unregistered terminal to a registered terminal.

また、特許文献2には、このような中間者攻撃を防御する他の関連技術の一例が記載されている。この関連技術は、不正な通信装置からのARPパケットを廃棄する。   Patent Document 2 describes an example of another related technique for defending against such a man-in-the-middle attack. This related technique discards an ARP packet from an unauthorized communication device.

具体的には、この関連技術では、回線収容装置は、各端末から送信される情報をネットワークに中継する中継ユニットを有し、各端末に割り当てられた論理アドレスおよび物理アドレスの対応関係をテーブルに記憶しておく。そして、回線収容装置は、ARP要求またはARP応答を端末から受信した際に、ARPパケットに含まれる発信側の物理アドレスおよび発信側の論理アドレスがテーブルに登録されていない場合、そのARPパケットをフィルタリングにより廃棄する。   Specifically, in this related technology, the line accommodating apparatus has a relay unit that relays information transmitted from each terminal to the network, and the correspondence between logical addresses and physical addresses assigned to each terminal is stored in a table. Remember. Then, when the line accommodating apparatus receives an ARP request or an ARP response from the terminal, if the physical address of the transmission side and the logical address of the transmission side included in the ARP packet are not registered in the table, the line accommodation apparatus filters the ARP packet. Dispose of.

また、特許文献3には、このような中間者攻撃を防御する他の関連技術の一例が記載されている。この関連技術は、動的に論理アドレスが割り当てられるネットワークにおいて静的な論理アドレスを用いる端末を不正な端末であるとみなして、そのような端末に対する通信を遮断する。   Patent Document 3 describes an example of another related technique for protecting such a man-in-the-middle attack. In this related technology, a terminal using a static logical address in a network to which a logical address is dynamically assigned is regarded as an unauthorized terminal, and communication with respect to such a terminal is blocked.

具体的には、この関連技術では、パケット転送装置は、アドレス配布サーバからのアドレス配布応答に含まれる論理アドレスを、アドレス配布要求元の端末に割り当てる前に、その論理アドレスに対するARP要求をブロードキャストする。これに対するARP応答があれば、このパケット転送装置は、応答してきた端末を、静的にその論理アドレスを用いる不正な端末であるとみなす。そして、パケット転送装置は、その不正な端末に対して、フィルタリングにより通信を遮断する。   Specifically, in this related technology, the packet transfer apparatus broadcasts an ARP request for the logical address before assigning the logical address included in the address distribution response from the address distribution server to the address distribution requesting terminal. . If there is an ARP response to this, the packet transfer apparatus regards the terminal that has responded as an illegal terminal that statically uses its logical address. Then, the packet transfer apparatus blocks communication with the unauthorized terminal by filtering.

特開2010−220066号公報JP 2010-220066 A 特開2006−94417号公報JP 2006-94417 A 特開2007−36374号公報JP 2007-36374 A

しかしながら、特許文献1〜特許文献3に記載された関連技術には、以下のような課題がある。   However, the related techniques described in Patent Documents 1 to 3 have the following problems.

特許文献1に記載された関連技術は、未登録端末からのARP要求を検出することにより、未登録端末および登録済端末間の通信を防御することができる。しかしながら、特許文献1には、未登録端末からのARP応答を検出することについては記載されていない。したがって、この関連技術は、不正なARP応答に基づく中間者攻撃を防御することはできない。   The related technology described in Patent Literature 1 can prevent communication between an unregistered terminal and a registered terminal by detecting an ARP request from an unregistered terminal. However, Patent Document 1 does not describe detecting an ARP response from an unregistered terminal. Therefore, this related technique cannot prevent a man-in-the-middle attack based on an unauthorized ARP response.

また、特許文献2に記載された関連技術は、ネットワークに接続される全ての端末から送信される情報を集線する集線装置によって実現される。したがって、この関連技術を用いて中間者攻撃を防御するには、既存の集線装置やネットワーク構成の置換が必要となり、導入コストが大きい。   The related art described in Patent Document 2 is realized by a line concentrator that collects information transmitted from all terminals connected to a network. Therefore, to protect against man-in-the-middle attacks using this related technology, it is necessary to replace existing line concentrators and network configurations, and the introduction cost is high.

また、特許文献3に記載された関連技術は、端末に対するアドレス配布のタイミングでしか、不正なARP応答を検出することができない。したがって、この関連技術は、不正なARP応答を検出できない場合があり、中間者攻撃を確実に防御できない。   Further, the related technique described in Patent Document 3 can detect an illegal ARP response only at the timing of address distribution to the terminal. Therefore, this related technique may not be able to detect an unauthorized ARP response and cannot reliably prevent a man-in-the-middle attack.

本発明は、上述の課題を解決するためになされたもので、多大な導入コストを必要とせずに、中間者攻撃を防御する技術を提供することを目的とする。   The present invention has been made to solve the above-described problems, and an object thereof is to provide a technique for defending against a man-in-the-middle attack without requiring a large introduction cost.

本発明のネットワーク監視装置は、各通信装置の論理アドレスおよび物理アドレスの対応関係を表すアドレス対応情報を記憶するアドレス対応情報記憶部と、前記各通信装置が接続されるネットワーク上において、前記論理アドレスに対する物理アドレスの解決要求に対する応答を表すアドレス応答を検出し、検出したアドレス応答に含まれる発信側の論理アドレスおよび発信側の物理アドレスの組み合わせが前記アドレス対応情報記憶部に記憶されていない場合に、不正なアドレス応答であると判断する不正アドレス応答検出部と、前記アドレス対応情報記憶部を参照することにより前記不正なアドレス応答を修復し、前記不正なアドレス応答の送信先に対して、修復したアドレス応答を送信する修復アドレス応答送信部と、を備える。   The network monitoring apparatus according to the present invention includes an address correspondence information storage unit that stores address correspondence information indicating a correspondence relation between a logical address and a physical address of each communication device, and the logical address on the network to which each communication device is connected. An address response representing a response to a physical address resolution request is detected, and the combination of the logical address of the caller and the physical address of the caller included in the detected address response is not stored in the address correspondence information storage unit An illegal address response detection unit that determines that the address response is invalid, and the address correspondence information storage unit is referred to repair the illegal address response, and the destination of the illegal address response is repaired. And a repaired address response transmission unit that transmits the address response that has been performed.

また、本発明のネットワーク監視方法は、各通信装置の論理アドレスおよび物理アドレスの対応関係を表すアドレス対応情報を記憶しておき、前記各通信装置が接続されるネットワーク上において、前記論理アドレスに対する物理アドレスの解決要求に対する応答を表すアドレス応答を検出し、検出したアドレス応答に含まれる発信側の論理アドレスおよび発信側の物理アドレスの組み合わせを表す前記アドレス対応情報を記憶していない場合に、不正なアドレス応答であると判断し、前記アドレス対応情報を参照することにより前記不正なアドレス応答を修復し、前記不正なアドレス応答の送信先に対して、修復したアドレス応答を送信する。   The network monitoring method of the present invention stores address correspondence information indicating the correspondence between the logical address and the physical address of each communication device, and the physical address for the logical address is stored on the network to which the communication device is connected. If an address response representing a response to the address resolution request is detected and the address correspondence information representing the combination of the logical address of the caller and the physical address of the caller included in the detected address response is not stored, It judges that it is an address response, refers to the address correspondence information, repairs the unauthorized address response, and transmits the repaired address response to the destination of the unauthorized address response.

また、本発明のコンピュータ・プログラムは、各通信装置の論理アドレスおよび物理アドレスの対応関係を表すアドレス対応情報を記憶するアドレス対応情報記憶部を用いて、前記各通信装置が接続されるネットワーク上において、前記論理アドレスに対する物理アドレスの解決要求に対する応答を表すアドレス応答を検出し、検出したアドレス応答に含まれる発信側の論理アドレスおよび発信側の物理アドレスの組み合わせが前記アドレス対応情報記憶部に記憶されていない場合に、不正なアドレス応答であると判断する不正アドレス応答検出ステップと、前記アドレス対応情報記憶部を参照することにより前記不正なアドレス応答を修復し、前記不正なアドレス応答の送信先に対して、修復したアドレス応答を送信する修復アドレス応答送信ステップと、をコンピュータ装置に実行させる。   Further, the computer program of the present invention uses an address correspondence information storage unit that stores address correspondence information indicating a correspondence relationship between a logical address and a physical address of each communication device on a network to which the communication devices are connected. An address response representing a response to the physical address resolution request for the logical address is detected, and the combination of the logical address of the caller and the physical address of the caller included in the detected address response is stored in the address correspondence information storage unit If not, an illegal address response detection step for determining that the address response is an illegal address response, and repairing the illegal address response by referring to the address correspondence information storage unit, to the transmission destination of the illegal address response Repair address response that sends repaired address response to Executing signal and the step, to the computer device.

本発明は、多大な導入コストを必要とせずに、中間者攻撃を防御する技術を提供することができる。   The present invention can provide a technique for defending against a man-in-the-middle attack without requiring a large introduction cost.

本発明の第1の実施の形態において監視対象となるネットワークの構成図である。It is a block diagram of the network used as the monitoring object in the 1st Embodiment of this invention. 本発明の第1の実施の形態としてのネットワーク監視装置の機能ブロック図である。It is a functional block diagram of the network monitoring apparatus as the first embodiment of the present invention. 本発明の第1の実施の形態としてのネットワーク監視装置のハードウェア構成の一例を示す図である。It is a figure which shows an example of the hardware constitutions of the network monitoring apparatus as the 1st Embodiment of this invention. 本発明の第1の実施の形態としてのネットワーク監視装置の動作を説明するフローチャートである。It is a flowchart explaining operation | movement of the network monitoring apparatus as the 1st Embodiment of this invention. 本発明の第2の実施の形態において監視対象となるネットワークの構成図である。It is a block diagram of the network used as the monitoring object in the 2nd Embodiment of this invention. 本発明の第2の実施の形態としてのネットワーク監視装置の機能ブロック図である。It is a functional block diagram of the network monitoring apparatus as the 2nd Embodiment of this invention. 本発明の第2の実施の形態としてのネットワーク監視装置のアドレス対応情報登録動作を説明するフローチャートである。It is a flowchart explaining the address corresponding | compatible information registration operation | movement of the network monitoring apparatus as the 2nd Embodiment of this invention. 本発明の第2の実施の形態において監視対象となるネットワークの具体例を示す構成図である。It is a block diagram which shows the specific example of the network used as the monitoring object in the 2nd Embodiment of this invention. (a)および(b)は、本発明の第2の実施の形態においてアドレス対応情報記憶部に記憶される情報の一例を示す図である。(A) And (b) is a figure which shows an example of the information memorize | stored in the address corresponding | compatible information storage part in the 2nd Embodiment of this invention. 本発明の第3の実施の形態において監視対象となるネットワークの構成図である。It is a block diagram of the network used as the monitoring object in the 3rd Embodiment of this invention. 本発明の第3の実施の形態としてのネットワーク監視装置の機能ブロック図である。It is a functional block diagram of the network monitoring apparatus as the 3rd Embodiment of this invention. 本発明の第3の実施の形態としてのネットワーク監視装置の動作を説明するフローチャートである。It is a flowchart explaining operation | movement of the network monitoring apparatus as the 3rd Embodiment of this invention.

以下、本発明の実施の形態について、図面を参照して詳細に説明する。   Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.

(第1の実施の形態)
本発明の第1の実施の形態としてのネットワーク監視装置10により監視されるネットワーク80の構成を図1に示す。図1において、ネットワーク監視装置10は、ネットワーク80上の通信を監視可能にネットワーク80に接続される。また、ネットワーク80には、1つ以上の通信装置90が接続されている。なお、図1には、2つの通信装置90を示したが、本発明において監視対象となるネットワークに接続される通信装置の数を限定するものではない。 (First embodiment)
FIG. 1 shows a configuration of a network 80 monitored by the network monitoring apparatus 10 as the first embodiment of the present invention. In FIG. 1, a network monitoring apparatus 10 is connected to a network 80 so that communication on the network 80 can be monitored. In addition, one or more communication devices 90 are connected to the network 80. Although FIG. 1 shows two communication devices 90, the number of communication devices connected to a network to be monitored in the present invention is not limited.

まず、監視対象のネットワーク80に接続される通信装置90について説明する。通信装置90は、論理アドレスにより通信先が指定された情報を、論理アドレスに対応する物理アドレスを用いて送受信する装置である。論理アドレスとは、例えば、IP(Internet Protocol)アドレスである。また、物理アドレスとは、例えば、MAC(Media Access Control)アドレスである。   First, the communication device 90 connected to the monitoring target network 80 will be described. The communication device 90 is a device that transmits and receives information whose communication destination is specified by a logical address using a physical address corresponding to the logical address. The logical address is, for example, an IP (Internet Protocol) address. The physical address is, for example, a MAC (Media Access Control) address.

また、通信装置90は、アドレス対応関係テーブルを有している。アドレス対応関係テーブルには、他の装置の論理アドレスおよび物理アドレスの対応関係が記憶される。通信装置90は、論理アドレスに対応する物理アドレスをアドレス対応関係テーブルから取得し、取得した物理アドレスを用いて通信を行う。   The communication device 90 also has an address correspondence table. In the address correspondence table, correspondence between logical addresses and physical addresses of other devices is stored. The communication device 90 acquires a physical address corresponding to the logical address from the address correspondence table and performs communication using the acquired physical address.

また、通信装置90は、論理アドレスに対応する物理アドレスがアドレス対応関係テーブルに記憶されていない場合、論理アドレスに対する物理アドレスの解決を要求するアドレス要求をブロードキャストする。ここで、アドレス要求には、要求元の論理アドレスと、要求元の物理アドレスと、解決要求対象の論理アドレスとが含まれる。解決要求対象の論理アドレスを有する通信装置90は、アドレス要求に対応するアドレス応答を、要求元の通信装置90に対して送信する。このアドレス応答には、発信側の論理アドレスと、発信側の物理アドレスとが含まれる。つまり、アドレス応答に含まれる発信側の論理アドレスは、解決要求対象の論理アドレスを表す。また、アドレス応答に含まれる発信側の物理アドレスは、解決要求対象の物理アドレスを表す。このようなアドレス要求およびアドレス応答は、例えば、ARP(Address Resolution Protocol)に基づく情報であってもよい。   Further, when the physical address corresponding to the logical address is not stored in the address correspondence table, the communication device 90 broadcasts an address request for requesting resolution of the physical address for the logical address. Here, the address request includes a request source logical address, a request source physical address, and a resolution request target logical address. The communication device 90 having the resolution request target logical address transmits an address response corresponding to the address request to the requesting communication device 90. This address response includes the logical address of the caller and the physical address of the caller. That is, the logical address on the transmission side included in the address response represents the logical address targeted for the solution. Further, the physical address on the transmission side included in the address response represents the physical address to be resolved. Such an address request and address response may be information based on, for example, ARP (Address Resolution Protocol).

また、通信装置90は、アドレス要求の送信に応じて受信されたアドレス応答に基づき、アドレス対応関係テーブルを更新する。具体的には、通信装置90は、受信したアドレス応答に含まれる発信側の論理アドレスと、発信側の物理アドレスとを対応付けてアドレス対応関係テーブルに登録する。もし、アドレス対応関係テーブルに、該当する論理アドレスが既に登録されている場合、通信装置90は、該当する論理アドレスに対応する物理アドレスを、新たに受信したアドレス応答に含まれる発信側の物理アドレスに更新する。   In addition, the communication device 90 updates the address correspondence table based on the address response received in response to the transmission of the address request. Specifically, the communication device 90 associates the logical address of the transmission side included in the received address response with the physical address of the transmission side and registers them in the address correspondence table. If the corresponding logical address is already registered in the address correspondence table, the communication apparatus 90 uses the physical address corresponding to the corresponding logical address as the physical address of the transmission side included in the newly received address response. Update to

次に、ネットワーク監視装置10の機能ブロックを図2に示す。図2において、ネットワーク監視装置10は、アドレス対応情報記憶部11と、不正アドレス応答検出部12と、修復アドレス応答送信部13とを備える。   Next, functional blocks of the network monitoring apparatus 10 are shown in FIG. In FIG. 2, the network monitoring apparatus 10 includes an address correspondence information storage unit 11, an illegal address response detection unit 12, and a repair address response transmission unit 13.

ここで、ネットワーク監視装置10は、図3に示すようなハードウェア要素を含む装置によって構成可能である。図3において、ネットワーク監視装置10は、CPU(Central Processing Unit)1001と、RAM(Random Access Memory)1002と、ROM(Read Only Memory)1003と、ハードディスク等の記憶装置1004と、ネットワークインタフェース1005とを備えたコンピュータ装置によって構成される。また、この場合、アドレス対応情報記憶部11は、記憶装置1004によって構成される。また、不正アドレス応答検出部12および修復アドレス応答送信部13は、ネットワークインタフェース1005と、ROM1003および記憶装置1004に記憶されたコンピュータ・プログラムおよび各種データをRAM1002に読み込んで実行するCPU1001とによって構成される。なお、ネットワーク監視装置10およびその各機能ブロックを構成するハードウェア構成は、上述の構成に限定されない。   Here, the network monitoring device 10 can be configured by a device including hardware elements as shown in FIG. In FIG. 3, the network monitoring apparatus 10 includes a CPU (Central Processing Unit) 1001, a RAM (Random Access Memory) 1002, a ROM (Read Only Memory) 1003, a storage device 1004 such as a hard disk, and a network interface 1005. It is comprised by the computer apparatus provided. In this case, the address correspondence information storage unit 11 is configured by the storage device 1004. The illegal address response detection unit 12 and the repaired address response transmission unit 13 include a network interface 1005 and a CPU 1001 that reads a computer program and various data stored in the ROM 1003 and the storage device 1004 into the RAM 1002 and executes them. . In addition, the hardware configuration which comprises the network monitoring apparatus 10 and each function block is not limited to the above-mentioned configuration.

アドレス対応情報記憶部11は、各通信装置90の論理アドレスおよび物理アドレスの対応関係を表すアドレス対応情報を記憶する。   The address correspondence information storage unit 11 stores address correspondence information indicating the correspondence between the logical address and the physical address of each communication device 90.

不正アドレス応答検出部12は、ネットワーク80における不正なアドレス応答を検出する。具体的には、不正アドレス応答検出部12は、ネットワーク80上の情報を監視することにより、いずれかの通信装置90に対するアドレス応答を検出する。そして、不正アドレス応答検出部12は、検出したアドレス応答に含まれる発信側の論理アドレスおよび発信側の物理アドレスの組み合わせが、アドレス対応情報記憶部11に記憶されているか否かを判断する。そして、不正アドレス応答検出部12は、その組み合わせがアドレス対応情報記憶部11に記憶されていない場合に、不正なアドレス応答であると判断する。例えば、ARPに基づくアドレス応答の場合、不正アドレス応答検出部12は、発信側の論理アドレスとしてRFC826で規定されるar$spaフィールドと、発信側の物理アドレスとしてRFC826で規定されるar$shaフィールドとの組み合わせについて判断処理を行えばよい。   The illegal address response detection unit 12 detects an illegal address response in the network 80. Specifically, the illegal address response detection unit 12 detects an address response to any one of the communication devices 90 by monitoring information on the network 80. Then, the unauthorized address response detection unit 12 determines whether or not the combination of the transmission side logical address and the transmission side physical address included in the detected address response is stored in the address correspondence information storage unit 11. Then, when the combination is not stored in the address correspondence information storage unit 11, the illegal address response detection unit 12 determines that it is an illegal address response. For example, in the case of an address response based on ARP, the illegal address response detection unit 12 uses the ar $ spa field defined by RFC826 as the logical address of the transmission side and the ar $ sha field defined by RFC826 as the physical address of the transmission side. Judgment processing may be performed for the combination.

修復アドレス応答送信部13は、アドレス対応情報記憶部11を参照することにより、不正なアドレス応答を修復する。そして、修復アドレス応答送信部13は、不正なアドレス応答の送信先に対して、修復したアドレス応答を送信する。   The repair address response transmission unit 13 refers to the address correspondence information storage unit 11 to repair an illegal address response. Then, the repair address response transmission unit 13 transmits the repaired address response to the transmission destination of the illegal address response.

例えば、修復アドレス応答送信部13は、アドレス対応情報記憶部11を参照することにより、不正なアドレス応答に含まれていた発信側の論理アドレスに対応する物理アドレスを特定する。そして、修復アドレス応答送信部13は、特定した物理アドレスを発信側の物理アドレスとして含み、不正なアドレス応答に含まれていた発信側の論理アドレスを含むアドレス応答を生成する。例えば、ARPに基づくアドレス応答の場合、修復アドレス応答送信部13は、不正なアドレス応答のar$spaフィールドの値をそのままar$spaフィールドに設定し、アドレス対応情報記憶部11から取得した物理アドレスをar$shaフィールドに設定したアドレス応答を生成すればよい。そして、修復アドレス応答送信部13は、生成したアドレス応答を、不正なアドレス応答の送信先として指定されていた通信装置90に対して送信する。   For example, the repair address response transmission unit 13 refers to the address correspondence information storage unit 11 to identify the physical address corresponding to the logical address of the caller included in the illegal address response. Then, the repair address response transmission unit 13 generates an address response including the specified physical address as the physical address of the transmission side and including the logical address of the transmission side included in the illegal address response. For example, in the case of an address response based on ARP, the repair address response transmission unit 13 sets the value of the ar $ spa field of the illegal address response as it is in the ar $ spa field, and acquires the physical address acquired from the address correspondence information storage unit 11 Just generate an address response with the ar $ sha field set. Then, the repair address response transmission unit 13 transmits the generated address response to the communication device 90 that has been designated as the destination of the unauthorized address response.

以上のように構成されたネットワーク監視装置10の動作について、図4を参照して説明する。   The operation of the network monitoring apparatus 10 configured as described above will be described with reference to FIG.

まず、不正アドレス応答検出部12は、ネットワーク80上の通信におけるアドレス応答を検出する(ステップS1)。   First, the illegal address response detection unit 12 detects an address response in communication on the network 80 (step S1).

ここで、ステップS1で検出されたアドレス応答の送信先である通信装置90は、このアドレス応答を受信する。これにより、この通信装置90は、自装置のアドレス対応関係テーブルに、このアドレス応答に含まれる発信側の論理アドレスおよび発信側の物理アドレスを対応付けて登録することになる。   Here, the communication device 90 which is the transmission destination of the address response detected in step S1 receives this address response. As a result, the communication device 90 registers the logical address of the caller and the physical address of the caller included in the address response in association with the address correspondence table of the own device.

次に、ネットワーク監視装置10において、不正アドレス応答検出部12は、ステップS1で検出したアドレス応答に含まれる発信側の論理アドレスおよび発信側の物理アドレスの組み合わせが、アドレス対応情報記憶部11に記憶されているか否かを判断する(ステップS2)。   Next, in the network monitoring device 10, the unauthorized address response detection unit 12 stores the combination of the transmission side logical address and the transmission side physical address included in the address response detected in step S <b> 1 in the address correspondence information storage unit 11. It is determined whether it has been performed (step S2).

ここで、該当する組み合わせがアドレス対応情報記憶部11に記憶されていると判断された場合、ネットワーク監視装置10の動作は終了する。   Here, when it is determined that the corresponding combination is stored in the address correspondence information storage unit 11, the operation of the network monitoring device 10 ends.

一方、該当する組み合わせがアドレス対応情報記憶部11に記憶されていないと判断された場合、不正アドレス応答検出部12は、ステップS1で検出されたアドレス応答を不正なものとみなす。そこで、修復アドレス応答送信部13は、アドレス対応情報記憶部11を参照することにより、不正なアドレス応答を修復する(ステップS3)。   On the other hand, when it is determined that the corresponding combination is not stored in the address correspondence information storage unit 11, the illegal address response detection unit 12 regards the address response detected in step S1 as an illegal one. Therefore, the repair address response transmission unit 13 repairs an illegal address response by referring to the address correspondence information storage unit 11 (step S3).

例えば、修復アドレス応答送信部13は、不正なアドレス応答に含まれる発信側の論理アドレスに対応する物理アドレスを、アドレス対応情報記憶部11から取得する。そして、修復アドレス応答送信部13は、不正なアドレス応答に含まれていた発信側の論理アドレスを含み、アドレス対応情報記憶部11から取得した物理アドレスを発信側の物理アドレスとして含むアドレス応答を生成すればよい。   For example, the repair address response transmission unit 13 acquires the physical address corresponding to the logical address on the transmission side included in the illegal address response from the address correspondence information storage unit 11. Then, the repair address response transmission unit 13 generates an address response including the logical address of the transmission side included in the illegal address response and including the physical address acquired from the address correspondence information storage unit 11 as the physical address of the transmission side. do it.

次に、修復アドレス応答送信部13は、ステップS1で検出したアドレス応答の送信先の通信装置90に対して、ステップS3で修復したアドレス応答を送信する(ステップS4)。   Next, the repaired address response transmission unit 13 transmits the address response repaired in step S3 to the communication device 90 that is the destination of the address response detected in step S1 (step S4).

これにより、この通信装置90は、修復されたアドレス応答に基づいて、アドレス対応関係テーブルを更新する。その結果、この通信装置90において該当する論理アドレスに対して一旦登録された不正な物理アドレスは、修復されたアドレス応答に含まれる物理アドレスに書き換えられる。   Thus, the communication device 90 updates the address correspondence table based on the repaired address response. As a result, the illegal physical address once registered for the corresponding logical address in the communication device 90 is rewritten to the physical address included in the repaired address response.

以上で、ネットワーク監視装置10は動作を終了する。   Thus, the network monitoring device 10 ends the operation.

次に、本発明の第1の実施の形態の効果について述べる。   Next, effects of the first exemplary embodiment of the present invention will be described.

本発明の第1の実施の形態としてのネットワーク監視装置は、多大な導入コストを必要とせずに、中間者攻撃を防御することができる。   The network monitoring apparatus according to the first embodiment of the present invention can protect against a man-in-the-middle attack without requiring a large introduction cost.

その理由は、アドレス対応情報記憶部が、各端末の論理アドレスおよび物理アドレスの対応関係を表すアドレス対応情報を記憶し、不正アドレス応答検出部が、発信側の論理アドレスおよび発信側の物理アドレスの組み合わせがアドレス対応情報記憶部に記憶されていないアドレス応答を不正なものとして検出し、修復アドレス応答送信部が、アドレス対応情報記憶部に基づいて不正なアドレス応答を修復し、不正なアドレス応答を受信した通信装置に対して修復したアドレス応答を送信するからである。   The reason is that the address correspondence information storage unit stores address correspondence information indicating the correspondence between the logical address and the physical address of each terminal, and the illegal address response detection unit stores the logical address of the calling side and the physical address of the calling side. An address response whose combination is not stored in the address correspondence information storage unit is detected as an illegal one, and the repair address response transmission unit repairs the invalid address response based on the address correspondence information storage unit, This is because the repaired address response is transmitted to the received communication device.

これにより、不正なアドレス応答を受信した通信装置は、一旦は、不正な物理アドレスを自装置のアドレス対応関係テーブルに登録するが、その後、修復したアドレス応答の受信により不正な物理アドレスを正しい物理アドレスに書き換える。その結果、本実施の形態は、不正な端末により不正に書き換えられた通信装置のアドレス対応関係テーブルを修復し、中間者攻撃を無効化することができる。   As a result, the communication device that has received the illegal address response once registers the illegal physical address in the address correspondence table of its own device. Rewrite to address. As a result, the present embodiment can repair the address correspondence table of the communication device that has been illegally rewritten by an unauthorized terminal and invalidate the man-in-the-middle attack.

このように、本実施の形態は、監視対象のネットワークに対して、ネットワーク上の通信を監視できるよう本実施の形態のネットワーク監視装置を追加するだけで、中間者攻撃を防御することができ、既存の集線装置の置換やネットワーク構成の変更といった導入コストを必要としない。   In this way, this embodiment can prevent man-in-the-middle attacks by simply adding the network monitoring device of this embodiment so that communication on the network can be monitored with respect to the network to be monitored. Installation costs such as replacing existing line concentrators and changing the network configuration are not required.

(第2の実施の形態)
次に、本発明の第2の実施の形態について図面を参照して詳細に説明する。なお、本実施の形態の説明において参照する各図面において、本発明の第1の実施の形態と同一の構成および同様に動作するステップには同一の符号を付して本実施の形態における詳細な説明を省略する。 (Second Embodiment)
Next, a second embodiment of the present invention will be described in detail with reference to the drawings. Note that, in each drawing referred to in the description of the present embodiment, the same reference numerals are given to the same configuration and steps that operate in the same manner as in the first embodiment of the present invention, and the detailed description in the present embodiment. Description is omitted.

まず、本発明の第2の実施の形態としてのネットワーク監視装置20により監視されるネットワーク81の構成を図5に示す。図5において、ネットワーク監視装置20は、ネットワーク81上の通信を監視可能にネットワーク81に接続される。ネットワーク81には、1つ以上の通信装置90と、アドレス配布サーバ91とが接続される。なお、図5には、2つの通信装置90を示したが、本発明において監視対象となるネットワークに接続される通信装置の数を限定するものではない。   First, FIG. 5 shows the configuration of a network 81 monitored by the network monitoring apparatus 20 as the second embodiment of the present invention. In FIG. 5, the network monitoring device 20 is connected to the network 81 so that communication on the network 81 can be monitored. One or more communication devices 90 and an address distribution server 91 are connected to the network 81. 5 shows two communication devices 90, the number of communication devices connected to the network to be monitored in the present invention is not limited.

アドレス配布サーバ91は、各通信装置90からのアドレス配布要求に応じて、アドレス配布応答を送信する。例えば、アドレス配布サーバ91は、DHCP(Dynamic Host Configuration Protocol)に基づくアドレス配布を行う装置であってもよい。アドレス配布応答は、配布される論理アドレスと、アドレス配布先の通信装置90の物理アドレスとを含み、アドレス配布先の通信装置90に対して送信される。   The address distribution server 91 transmits an address distribution response in response to an address distribution request from each communication device 90. For example, the address distribution server 91 may be a device that performs address distribution based on DHCP (Dynamic Host Configuration Protocol). The address distribution response includes the logical address to be distributed and the physical address of the address distribution destination communication device 90, and is transmitted to the address distribution destination communication device 90.

次に、ネットワーク監視装置20の機能ブロック構成を図6に示す。図6において、ネットワーク監視装置20は、本発明の第1の実施の形態としてのネットワーク監視装置10と同一の構成に加えて、さらに、アドレス対応情報登録部24を備える。例えば、アドレス対応情報登録部24は、ネットワークインタフェース1005と、ROM1003および記憶装置1004に記憶されたコンピュータ・プログラムおよび各種データをRAM1002に読み込んで実行するCPU1001とによって構成可能である。   Next, the functional block configuration of the network monitoring device 20 is shown in FIG. In FIG. 6, the network monitoring device 20 includes an address correspondence information registration unit 24 in addition to the same configuration as the network monitoring device 10 as the first embodiment of the present invention. For example, the address correspondence information registration unit 24 can be configured by a network interface 1005 and a CPU 1001 that reads a computer program and various data stored in the ROM 1003 and the storage device 1004 into the RAM 1002 and executes them.

アドレス対応情報登録部24は、アドレス配布サーバ91により各通信装置90に対して送信されるアドレス配布応答を検出する。そして、アドレス対応情報登録部24は、検出したアドレス配布応答に基づいて、アドレス対応情報をアドレス対応情報記憶部11に登録する。具体的には、アドレス対応情報登録部24は、検出したアドレス配布応答から、アドレス配布先の物理アドレスおよび配布される論理アドレスを抽出し、その対応関係を表すアドレス対応情報を登録すればよい。もし、抽出した物理アドレスに関するアドレス対応情報が既に登録されている場合、アドレス対応情報登録部24は、その物理アドレスに対する論理アドレスを、新たにアドレス配布応答から抽出した論理アドレスに書き換える。   The address correspondence information registration unit 24 detects an address distribution response transmitted from the address distribution server 91 to each communication device 90. Then, the address correspondence information registration unit 24 registers the address correspondence information in the address correspondence information storage unit 11 based on the detected address distribution response. Specifically, the address correspondence information registration unit 24 extracts the physical address of the address distribution destination and the logical address to be distributed from the detected address distribution response, and registers the address correspondence information indicating the correspondence relationship. If the address correspondence information related to the extracted physical address has already been registered, the address correspondence information registration unit 24 rewrites the logical address for the physical address to the logical address newly extracted from the address distribution response.

以上のように構成されたネットワーク監視装置20の動作について、図面を参照して説明する。まず、ネットワーク監視装置20のアドレス対応情報登録動作を図7に示す。   The operation of the network monitoring apparatus 20 configured as described above will be described with reference to the drawings. First, the address correspondence information registration operation of the network monitoring device 20 is shown in FIG.

図7において、まず、アドレス対応情報登録部24は、ネットワーク81上の通信におけるアドレス配布応答を検出する(ステップS11)。   In FIG. 7, first, the address correspondence information registration unit 24 detects an address distribution response in communication on the network 81 (step S11).

次に、アドレス対応情報登録部24は、ステップS11で検出したアドレス配布応答から、アドレス配布先の物理アドレスおよび配布される論理アドレスを抽出し、アドレス対応情報としてアドレス対応情報記憶部11に登録する(ステップS12)。   Next, the address correspondence information registration unit 24 extracts the physical address of the address distribution destination and the logical address to be distributed from the address distribution response detected in step S11, and registers it in the address correspondence information storage unit 11 as address correspondence information. (Step S12).

以上で、ネットワーク監視装置20は、アドレス対応情報登録動作を終了する。   Thus, the network monitoring apparatus 20 ends the address correspondence information registration operation.

また、ネットワーク監視装置20は、このようにして動的に更新したアドレス対応情報記憶部11を用いて、本発明の第1の実施の形態としてのネットワーク監視装置10と同様に、図4に示したステップS1〜S4まで動作する。これにより、ネットワーク監視装置20は、動的に変化する論理アドレスおよび物理アドレスの対応関係に基づいて、不正アドレス応答の検出および修復動作を行う。   Further, the network monitoring device 20 uses the address correspondence information storage unit 11 dynamically updated as described above, and similarly to the network monitoring device 10 according to the first embodiment of the present invention, is shown in FIG. Steps S1 to S4 are performed. As a result, the network monitoring device 20 performs an illegal address response detection and repair operation based on the correspondence between the logical address and the physical address that dynamically change.

次に、ネットワーク監視装置20の動作を具体例で示す。   Next, the operation of the network monitoring device 20 will be shown as a specific example.

この具体例における監視対象のネットワーク81の構成を図8に示す。図8において、ネットワーク81には、ネットワーク監視装置20、通信装置90、DHCPサーバ91、ルータ92、および、不正端末93が接続される。   The configuration of the network 81 to be monitored in this specific example is shown in FIG. In FIG. 8, a network monitoring device 20, a communication device 90, a DHCP server 91, a router 92, and an unauthorized terminal 93 are connected to a network 81.

DHCPサーバ91およびルータ92は、通信装置90と同様に、アドレス管理テーブルを用いて通信を行う。   As with the communication device 90, the DHCP server 91 and the router 92 communicate using an address management table.

また、ルータ92は、複数のポートを有する。複数のポートのうちの1つは、他の通常のポートで送受信される情報が出力されるミラーポートとして設定されている。通常の各ポートには、通信装置90、DHCPサーバ91、不正端末93がそれぞれ接続される。ミラーポートには、ネットワーク監視装置20が接続される。これにより、ネットワーク監視装置20は、ネットワーク81上の通信を監視可能にネットワーク81に接続される。   The router 92 has a plurality of ports. One of the plurality of ports is set as a mirror port from which information transmitted / received at another normal port is output. A communication device 90, a DHCP server 91, and an unauthorized terminal 93 are connected to each normal port. The network monitoring device 20 is connected to the mirror port. Thereby, the network monitoring apparatus 20 is connected to the network 81 so that communication on the network 81 can be monitored.

また、DHCPサーバ91は、物理アドレス「MAC−C」を有し、論理アドレス「IP−C」を自装置に設定している。また、ルータ92は、物理アドレス「MAC−B」を有し、論理アドレス「IP−B」を自装置に設定している。また、通信装置90は、物理アドレスとして「MAC−D」を有する。また、不正端末93は、物理アドレスとして「MAC−E」を有する。   Further, the DHCP server 91 has a physical address “MAC-C” and sets a logical address “IP-C” in its own apparatus. Further, the router 92 has a physical address “MAC-B” and sets a logical address “IP-B” in its own apparatus. Further, the communication device 90 has “MAC-D” as a physical address. The unauthorized terminal 93 has “MAC-E” as a physical address.

ネットワーク監視装置20のアドレス対応情報記憶部11は、図9(a)に示すように、DHCPサーバ91およびルータ92の論理アドレスおよび物理アドレスの対応関係をアドレス対応情報として記憶している。   As shown in FIG. 9A, the address correspondence information storage unit 11 of the network monitoring device 20 stores the correspondence between the logical address and the physical address of the DHCP server 91 and the router 92 as address correspondence information.

このとき、通信装置90が、論理アドレスの配布要求メッセージを送信したとする。   At this time, it is assumed that the communication device 90 has transmitted a logical address distribution request message.

これに応じて、DHCPサーバ91は、通信装置90に対して論理アドレス「IP−D」を割り当て、物理アドレス「MAC−D」および論理アドレス「IP−D」を含むアドレス配布応答を、通信装置90に対して送信する。これにより、通信装置90は、自装置の論理アドレスとして「IP−D」を設定する。   In response to this, the DHCP server 91 assigns a logical address “IP-D” to the communication device 90 and sends an address distribution response including the physical address “MAC-D” and the logical address “IP-D” to the communication device. Sent to 90. Thereby, the communication device 90 sets “IP-D” as the logical address of the own device.

次に、ネットワーク監視装置20のアドレス対応情報登録部24は、このアドレス配布応答を検出する(ステップS11)。   Next, the address correspondence information registration unit 24 of the network monitoring device 20 detects this address distribution response (step S11).

次に、アドレス対応情報登録部24は、検出したアドレス配布応答から、物理アドレス「MAC−D」および論理アドレス「IP−D」を抽出し、アドレス対応情報としてアドレス対応情報記憶部11に登録する(ステップS12)。   Next, the address correspondence information registration unit 24 extracts the physical address “MAC-D” and the logical address “IP-D” from the detected address distribution response, and registers them in the address correspondence information storage unit 11 as address correspondence information. (Step S12).

以上の動作により、アドレス対応情報記憶部11は、図9(b)に示すようなアドレス対応情報を記憶していることになる。   With the above operation, the address correspondence information storage unit 11 stores address correspondence information as shown in FIG.

この状態で、通信装置90が、ルータ92の論理アドレス「IP−B」に対する物理アドレスを要求するアドレス要求をブロードキャストし、不正端末93が、これに対する不正なアドレス応答を送信したことを想定する。このアドレス応答には、発信側の論理アドレスとしてルータ92の論理アドレスである「IP−B」と、不正な発信側の物理アドレスとして「MAC−E」とが含まれている。これにより、通信装置90は、自装置のアドレス対応関係テーブルに、ルータ92の論理アドレス「IP−B」に、不正端末93の物理アドレス「MAC−E」を対応付けて登録することになる。   In this state, it is assumed that the communication device 90 broadcasts an address request for requesting a physical address for the logical address “IP-B” of the router 92, and the unauthorized terminal 93 has transmitted an unauthorized address response thereto. This address response includes “IP-B” which is the logical address of the router 92 as a logical address on the transmission side and “MAC-E” as a physical address on the illegal transmission side. As a result, the communication device 90 registers the physical address “MAC-E” of the unauthorized terminal 93 in association with the logical address “IP-B” of the router 92 in the address correspondence table of its own device.

ここで、ネットワーク監視装置20の不正アドレス応答検出部12が、このアドレス応答を検出する(ステップS1)。   Here, the illegal address response detection unit 12 of the network monitoring device 20 detects this address response (step S1).

次に、不正アドレス応答検出部12は、この論理アドレス「IP−B」および物理アドレス「MAC−E」の組み合わせが図9(b)に示したアドレス対応情報記憶部11に記憶されていないので、このアドレス応答は不正であると判断する(ステップS2でNo)
次に、修復アドレス応答送信部13は、アドレス応答の修復を行う(ステップS3)。具体的には、修復アドレス応答送信部13は、図9(b)に示したアドレス対応情報記憶部11を参照し、不正なアドレス応答に含まれる発信側の論理アドレス「IP−B」に対応する物理アドレス「MAC−B」を取得する。そして、修復アドレス応答送信部13は、発信側の論理アドレスとして「IP−B」を含み、アドレス対応情報記憶部11から取得した物理アドレス「MAC−B」を発信側の物理アドレスとして含むアドレス応答を生成すればよい。 Next, since the combination of the logical address “IP-B” and the physical address “MAC-E” is not stored in the address correspondence information storage unit 11 shown in FIG. The address response is determined to be invalid (No in step S2).
Next, the repair address response transmitter 13 repairs the address response (step S3). Specifically, the repair address response transmission unit 13 refers to the address correspondence information storage unit 11 illustrated in FIG. 9B and corresponds to the logical address “IP-B” on the transmission side included in the illegal address response. The physical address “MAC-B” to be acquired is acquired. Then, the repair address response transmission unit 13 includes “IP-B” as a logical address on the transmission side, and an address response including the physical address “MAC-B” acquired from the address correspondence information storage unit 11 as a physical address on the transmission side. Should be generated.

次に、修復アドレス応答送信部13は、不正なアドレス応答の送信先であった通信装置90に対して、ステップS3で修復したアドレス応答を送信する(ステップS4)。   Next, the repair address response transmission unit 13 transmits the address response repaired in step S3 to the communication device 90 that is the destination of the illegal address response (step S4).

これにより、通信装置90は、修復されたアドレス応答に基づいて、アドレス対応関係テーブルを更新する。その結果、通信装置90は、ルータ92の論理アドレス「IP−B」に対して一旦登録した不正端末93の物理アドレス「MAC−E」を、ルータ92の物理アドレス「MAC−B」に書き換えることができる。   Thereby, the communication device 90 updates the address correspondence table based on the repaired address response. As a result, the communication device 90 rewrites the physical address “MAC-E” of the unauthorized terminal 93 once registered with respect to the logical address “IP-B” of the router 92 to the physical address “MAC-B” of the router 92. Can do.

このように、ネットワーク監視装置20は、通信装置90に対してルータ92になりすまそうとした不正端末93の中間者攻撃を無効化する。   In this way, the network monitoring device 20 invalidates the man-in-the-middle attack of the unauthorized terminal 93 that attempts to impersonate the router 92 with respect to the communication device 90.

また、さらに、ルータ92が、通信装置90の論理アドレス「IP−D」に対する物理アドレスを要求するアドレス要求をブロードキャストし、不正端末93が、これに対する不正なアドレス応答を送信したことを想定する。このアドレス応答には、発信側の論理アドレスとして通信装置90の論理アドレスである「IP−D」と、不正な発信側の物理アドレスとして「MAC−E」とが含まれている。これにより、ルータ92は、自装置のアドレス対応関係テーブルに、通信装置90の論理アドレス「IP−D」に、不正端末93の物理アドレス「MAC−E」を対応付けて登録することになる。   Further, it is assumed that the router 92 broadcasts an address request for requesting a physical address for the logical address “IP-D” of the communication device 90, and the unauthorized terminal 93 has transmitted an unauthorized address response thereto. This address response includes “IP-D”, which is the logical address of the communication device 90, as a logical address on the transmission side, and “MAC-E”, as a physical address on the unauthorized transmission side. As a result, the router 92 registers the physical address “MAC-E” of the unauthorized terminal 93 in association with the logical address “IP-D” of the communication device 90 in the address correspondence table of its own device.

ここで、ネットワーク監視装置20の不正アドレス応答検出部12が、このアドレス応答を検出する(ステップS1)。   Here, the illegal address response detection unit 12 of the network monitoring device 20 detects this address response (step S1).

次に、不正アドレス応答検出部12は、この論理アドレス「IP−D」および物理アドレス「MAC−E」の組み合わせが図9(b)に示したアドレス対応情報記憶部11に記憶されていないので、このアドレス応答は不正であると判断する(ステップS2でNo)
次に、修復アドレス応答送信部13は、アドレス応答の修復を行う(ステップS3)。具体的には、修復アドレス応答送信部13は、図9(b)に示したアドレス対応情報記憶部11を参照し、不正なアドレス応答に含まれる発信側の論理アドレス「IP−D」に対応する物理アドレス「MAC−D」を取得する。そして、修復アドレス応答送信部13は、発信側の論理アドレスとして「IP−D」を含み、アドレス対応情報記憶部11から取得した物理アドレス「MAC−D」を発信側の物理アドレスとして含むアドレス応答を生成すればよい。 Next, since the combination of the logical address “IP-D” and the physical address “MAC-E” is not stored in the address correspondence information storage unit 11 shown in FIG. The address response is determined to be invalid (No in step S2).
Next, the repair address response transmitter 13 repairs the address response (step S3). Specifically, the repair address response transmission unit 13 refers to the address correspondence information storage unit 11 illustrated in FIG. 9B and corresponds to the logical address “IP-D” on the transmission side included in the illegal address response. The physical address “MAC-D” to be acquired is acquired. Then, the repair address response transmission unit 13 includes “IP-D” as a logical address on the transmission side, and an address response including the physical address “MAC-D” acquired from the address correspondence information storage unit 11 as a physical address on the transmission side. Should be generated.

次に、修復アドレス応答送信部13は、不正なアドレス応答の送信先であったルータ92に対して、ステップS3で修復したアドレス応答を送信する(ステップS4)。   Next, the repaired address response transmission unit 13 transmits the address response repaired in step S3 to the router 92 that is the destination of the unauthorized address response (step S4).

これにより、ルータ92は、修復されたアドレス応答に基づいて、アドレス対応関係テーブルを更新する。その結果、ルータ92は、通信装置90の論理アドレス「IP−D」に対して一旦登録した不正端末93の物理アドレス「MAC−E」を、通信装置90の物理アドレス「MAC−D」に書き換えることができる。   As a result, the router 92 updates the address correspondence table based on the repaired address response. As a result, the router 92 rewrites the physical address “MAC-E” of the unauthorized terminal 93 once registered for the logical address “IP-D” of the communication device 90 with the physical address “MAC-D” of the communication device 90. be able to.

このように、ネットワーク監視装置20は、ルータ92に対して通信装置90になりすまそうとした不正端末93の中間者攻撃を無効化する。   As described above, the network monitoring device 20 invalidates the man-in-the-middle attack of the unauthorized terminal 93 that attempts to impersonate the communication device 90 with respect to the router 92.

以上で、具体例の説明を終了する。   This is the end of the description of the specific example.

次に、本発明の第2の実施の形態の効果について述べる。   Next, the effect of the second exemplary embodiment of the present invention will be described.

本発明の第2の実施の形態としてのネットワーク監視装置は、動的に変化する論理アドレスおよび物理アドレスの対応関係に基づいて、多大な管理コストを必要とせずに、中間者攻撃を防御することができる。   The network monitoring apparatus according to the second embodiment of the present invention protects against a man-in-the-middle attack without requiring a large management cost based on the correspondence relationship between dynamically changing logical addresses and physical addresses. Can do.

その理由は、アドレス対応情報管理部が、アドレス配布サーバからのアドレス配布応答を検出することによりアドレス対応情報記憶部を動的に更新し、不正アドレス応答検出部が、動的に更新されるアドレス対応情報記憶部に基づいて不正アドレス応答を検出し、修復アドレス応答送信部が、動的に更新されるアドレス対応情報記憶部に基づいて不正なアドレス応答を修復するからである。   The reason is that the address correspondence information management unit dynamically updates the address correspondence information storage unit by detecting an address distribution response from the address distribution server, and the illegal address response detection unit dynamically updates the address. This is because an illegal address response is detected based on the correspondence information storage unit, and the repair address response transmission unit repairs the illegal address response based on the dynamically updated address correspondence information storage unit.

このように、本実施の形態は、監視対象のネットワークに接続される正常な通信装置が動的に変化する場合であっても、アドレス配布サーバからのアドレス配布応答を検出することにより、不正なアドレス応答の検出および修復に用いるアドレス対応情報記憶部を動的に更新するので、管理コストを低減する。   As described above, the present embodiment detects an address distribution response from the address distribution server even if a normal communication device connected to the monitored network changes dynamically. Since the address correspondence information storage unit used for detecting and repairing the address response is dynamically updated, the management cost is reduced.

(第3の実施の形態)
次に、本発明の第3の実施の形態について図面を参照して詳細に説明する。なお、本実施の形態の説明において参照する各図面において、本発明の第1および第2の実施の形態と同一の構成および同様に動作するステップには同一の符号を付して本実施の形態における詳細な説明を省略する。 (Third embodiment)
Next, a third embodiment of the present invention will be described in detail with reference to the drawings. Note that, in each drawing referred to in the description of the present embodiment, the same configurations and steps that operate in the same manner as in the first and second embodiments of the present invention are denoted by the same reference numerals, and the present embodiment. The detailed description in is omitted.

まず、本発明の第3の実施の形態としてのネットワーク監視装置30により監視されるネットワーク82の構成を図10に示す。図10において、ネットワーク監視装置30は、ネットワーク82上の通信を監視可能にネットワーク82に接続される。ネットワーク82には、1つ以上の通信装置90と、アドレス配布サーバ91と、不正接続防止装置94とが接続される。なお、図10には、2つの通信装置90および1つの不正接続防止装置94を示したが、本発明において監視対象となるネットワークに接続される通信装置および不正接続防止装置の数を限定するものではない。   First, FIG. 10 shows the configuration of the network 82 monitored by the network monitoring apparatus 30 as the third embodiment of the present invention. In FIG. 10, the network monitoring device 30 is connected to the network 82 so that communication on the network 82 can be monitored. One or more communication devices 90, an address distribution server 91, and an unauthorized connection prevention device 94 are connected to the network 82. FIG. 10 shows two communication devices 90 and one unauthorized connection prevention device 94. However, in the present invention, the number of communication devices and unauthorized connection prevention devices connected to the network to be monitored is limited. is not.

不正接続防止装置94は、未登録端末に対して、偽装したアドレス応答を送信することにより、未登録端末によるネットワーク82に対する接続を防止する装置である。例えば、不正接続防止装置94は、特許文献1に記載された関連技術を採用する装置であってもよい。この場合、不正接続防止装置94は、アドレス対応情報記憶部11に記憶されていない通信装置(未登録端末)からのアドレス要求を検出する。そして、不正接続防止装置94は、検出したアドレス要求の送信元である未登録端末に対して、発信側の物理アドレスを未登録端末自身の物理アドレスに偽装したアドレス応答を送信する。その結果、未登録端末は、自装置のアドレス対応関係テーブルにおいて、登録済の通信装置90の論理アドレスに対して、自装置自身の物理アドレスを対応付けるよう書き換えることになる。したがって、未登録端末は、登録済の通信装置90に対して通信を行うことができない。この他、不正接続防止装置94は、偽装したアドレス応答を用いて、未登録端末からのネットワーク82への接続を防止する装置であれば、その他の関連技術により実現されるものであってもよい。   The unauthorized connection prevention device 94 is a device that prevents connection of the unregistered terminal to the network 82 by transmitting a camouflaged address response to the unregistered terminal. For example, the unauthorized connection prevention device 94 may be a device that employs a related technique described in Patent Document 1. In this case, the unauthorized connection prevention device 94 detects an address request from a communication device (unregistered terminal) that is not stored in the address correspondence information storage unit 11. Then, the unauthorized connection prevention device 94 transmits an address response in which the physical address of the transmission side is disguised as the physical address of the unregistered terminal itself to the unregistered terminal that is the transmission source of the detected address request. As a result, the unregistered terminal rewrites the own device's own physical address to the logical address of the registered communication device 90 in the own device's address correspondence table. Therefore, an unregistered terminal cannot communicate with the registered communication device 90. In addition, the unauthorized connection prevention device 94 may be realized by other related technology as long as it is a device that prevents connection from an unregistered terminal to the network 82 using a forged address response. .

次に、ネットワーク監視装置30の機能ブロック構成を図11に示す。図11において、ネットワーク監視装置30は、本発明の第2の実施の形態としてのネットワーク監視装置20に対して、不正アドレス応答検出部12に替えて不正アドレス応答検出部32を備え、さらに、除外論理アドレス記憶部35を備える点が異なる。例えば、除外論理アドレス記憶部35は、記憶装置1004によって構成可能である。   Next, a functional block configuration of the network monitoring apparatus 30 is shown in FIG. In FIG. 11, the network monitoring device 30 includes an illegal address response detection unit 32 instead of the illegal address response detection unit 12 with respect to the network monitoring device 20 as the second embodiment of the present invention. The difference is that a logical address storage unit 35 is provided. For example, the excluded logical address storage unit 35 can be configured by the storage device 1004.

除外論理アドレス記憶部35は、不正なアドレス応答の発信側として判断する対象から除外する除外論理アドレスを記憶する。例えば、除外論理アドレス記憶部35は、不正接続防止装置94の論理アドレスを除外論理アドレスとして記憶する。   The excluded logical address storage unit 35 stores an excluded logical address to be excluded from a target to be determined as an unauthorized address response sender. For example, the excluded logical address storage unit 35 stores the logical address of the unauthorized connection prevention device 94 as an excluded logical address.

不正アドレス応答検出部32は、アドレス応答に含まれる発信側の論理アドレスが除外論理アドレスである場合には、該アドレス応答を不正なアドレス応答として判断しない。   The illegal address response detection unit 32 does not determine the address response as an illegal address response when the logical address on the transmission side included in the address response is an excluded logical address.

以上のように構成されたネットワーク監視装置30の動作を、図12を参照して説明する。   The operation of the network monitoring device 30 configured as described above will be described with reference to FIG.

まず、不正アドレス応答検出部32は、本発明の第1の実施の形態と同様にステップS1を実行することにより、ネットワーク82上の通信におけるアドレス応答を検出する。   First, the illegal address response detection unit 32 detects an address response in communication on the network 82 by executing step S1 as in the first embodiment of the present invention.

次に、不正アドレス応答検出部32は、アドレス応答に含まれる発信側の論理アドレスが、除外論理アドレスであるか否かを判断する(ステップS22)。   Next, the illegal address response detection unit 32 determines whether or not the originating logical address included in the address response is an excluded logical address (step S22).

ここで、除外論理アドレスであると判断された場合、ネットワーク監視装置30の動作は終了する。   Here, when it is determined that the address is an excluded logical address, the operation of the network monitoring device 30 ends.

一方、除外論理アドレスでないと判断された場合、ネットワーク監視装置30は、ステップS2〜S4まで、本発明の第1の実施の形態と同様に動作することにより、不正なアドレス応答の検出および修復を行う。   On the other hand, if it is determined that the logical address is not an excluded logical address, the network monitoring device 30 operates in the same manner as in the first embodiment of the present invention until steps S2 to S4, thereby detecting and repairing an illegal address response. Do.

以上で、ネットワーク監視装置30は動作を終了する。   Thus, the network monitoring device 30 ends the operation.

次に、本発明の第3の実施の形態の効果について述べる。   Next, effects of the third exemplary embodiment of the present invention will be described.

本発明の第3の実施の形態としてのネットワーク監視装置は、多大な導入コストを必要としない中間者攻撃の防御技術を、偽装アドレス応答を用いた不正接続防止技術と共存させることができる。   The network monitoring apparatus according to the third embodiment of the present invention can coexist a man-in-the-middle attack protection technique that does not require a large introduction cost with an unauthorized connection prevention technique using a forged address response.

その理由は、除外論理アドレス記憶部が除外論理アドレスを記憶しておき、不正アドレス応答検出部が、検出したアドレス応答に含まれる発信側の論理アドレスが除外論理アドレスである場合には、検出したアドレス応答は不正なものではないと判断するからである。   The reason is that the exclusion logical address storage unit stores the exclusion logical address, and the illegal address response detection unit detects that the originating logical address included in the detected address response is an exclusion logical address. This is because it is determined that the address response is not illegal.

これにより、本発明の第3の実施の形態は、除外論理アドレス記憶部にあらかじめ不正接続防止装置の論理アドレスを記憶しておくことにより、不正接続防止装置により送信される偽装アドレス応答を不正なアドレス応答として判断しない。その結果、本実施の形態は、不正接続防止装置により接続が防止された未登録端末には、修復したアドレス応答を送信することがない。   As a result, the third embodiment of the present invention stores the logical address of the unauthorized connection prevention device in advance in the excluded logical address storage unit so that the spoofed address response transmitted by the unauthorized connection prevention device is illegal. Not determined as an address response. As a result, in the present embodiment, the repaired address response is not transmitted to an unregistered terminal whose connection is prevented by the unauthorized connection prevention apparatus.

なお、本発明の第3の実施の形態において、除外論理アドレス記憶部は、不正接続防止装置の論理アドレスに限らず、不正なアドレス応答の送信元としての判断対象から除外することが適切なその他の装置の論理アドレスを記憶してもよい。また、除外論理アドレス記憶部は、1つ以上の論理アドレスを記憶していてもよい。   In the third embodiment of the present invention, the excluded logical address storage unit is not limited to the logical address of the unauthorized connection prevention device, but may be appropriately excluded from the determination target as the transmission source of the unauthorized address response. The logical address of the device may be stored. Further, the excluded logical address storage unit may store one or more logical addresses.

また、上述した本発明の各実施の形態において、アドレス要求およびアドレス応答がARPに基づくものである例を中心に説明したが、アドレス要求およびアドレス応答は、その他のプロトコルに基づくものであってもよい。   In each of the embodiments of the present invention described above, the example in which the address request and the address response are based on ARP has been mainly described. However, the address request and the address response may be based on other protocols. Good.

また、上述した本発明の各実施の形態において、監視対象のネットワークに対して1つのネットワーク監視装置を接続する例を中心に説明したが、ネットワーク構成に応じて、ネットワーク上の通信を監視可能に複数のネットワーク監視装置を接続してもよい。   Further, in each of the embodiments of the present invention described above, an example in which one network monitoring device is connected to a monitoring target network has been described. However, according to the network configuration, communication on the network can be monitored. A plurality of network monitoring devices may be connected.

また、上述した本発明の第2の実施の形態において、ネットワーク監視装置が、ルータのミラーポートに接続されることによりネットワーク上の通信を監視する接続例を説明した。その他、各実施の形態としてのネットワーク監視装置は、ネットワーク上の通信を監視可能であれば、その他の接続形態によりネットワークに接続されていてもよい。   Further, in the above-described second embodiment of the present invention, the connection example has been described in which the network monitoring device monitors the communication on the network by being connected to the mirror port of the router. In addition, the network monitoring device as each embodiment may be connected to the network by other connection modes as long as it can monitor communication on the network.

また、上述した本発明の各実施の形態において、ネットワーク監視装置は、ルータ、アドレス配布サーバ、または、不正接続防止装置と同一の装置上に実現されていてもよい。あるいは、ネットワーク監視装置の各機能ブロックは、異なる装置に分散されて実現されていてもよい。   In each embodiment of the present invention described above, the network monitoring device may be realized on the same device as the router, the address distribution server, or the unauthorized connection prevention device. Alternatively, each functional block of the network monitoring device may be realized by being distributed to different devices.

また、上述した本発明の各実施の形態において、各フローチャートを参照して説明したネットワーク監視装置の動作を、本発明のコンピュータ・プログラムとしてコンピュータ装置の記憶装置(記憶媒体)に格納しておき、係るコンピュータ・プログラムを当該CPUが読み出して実行するようにしてもよい。そして、このような場合において、本発明は、係るコンピュータ・プログラムのコードあるいは記憶媒体によって構成される。   In each embodiment of the present invention described above, the operation of the network monitoring device described with reference to each flowchart is stored in a storage device (storage medium) of the computer device as a computer program of the present invention. Such a computer program may be read and executed by the CPU. In such a case, the present invention is constituted by the code of the computer program or a storage medium.

また、上述した各実施の形態は、適宜組み合わせて実施されることが可能である。   Moreover, each embodiment mentioned above can be implemented in combination as appropriate.

また、本発明は、上述した各実施の形態に限定されず、様々な態様で実施されることが可能である。   The present invention is not limited to the above-described embodiments, and can be implemented in various modes.

10、20、30 ネットワーク監視装置
11 アドレス対応情報記憶部
12、32 不正アドレス応答検出部
13 修復アドレス応答送信部
24 アドレス対応情報登録部
35 除外論理アドレス記憶部
80、81、82 ネットワーク
90 通信装置
91 アドレス配布サーバ
92 ルータ
93 不正端末
94 不正接続防止装置
1001 CPU
1002 RAM
1003 ROM
1004 記憶装置
1005 ネットワークインタフェース 10, 20, 30 Network monitoring device 11 Address correspondence information storage unit 12, 32 Illegal address response detection unit 13 Repair address response transmission unit 24 Address correspondence information registration unit 35 Exclusion logical address storage unit 80, 81, 82 Network 90 Communication device 91 Address distribution server 92 Router 93 Unauthorized terminal 94 Unauthorized connection prevention device 1001 CPU
1002 RAM
1003 ROM
1004 Storage device 1005 Network interface

Claims (9)

各通信装置の論理アドレスおよび物理アドレスの対応関係を表すアドレス対応情報を記憶するアドレス対応情報記憶部と、
前記各通信装置が接続されるネットワーク上において、前記論理アドレスに対する物理アドレスの解決要求に対する応答を表すアドレス応答を検出し、検出したアドレス応答に含まれる発信側の論理アドレスおよび発信側の物理アドレスの組み合わせが前記アドレス対応情報記憶部に記憶されていない場合に、不正なアドレス応答であると判断する不正アドレス応答検出部と、
前記アドレス対応情報記憶部を参照することにより前記不正なアドレス応答を修復し、前記不正なアドレス応答の送信先に対して、修復したアドレス応答を送信する修復アドレス応答送信部と、
を備えたネットワーク監視装置。 An address correspondence information storage unit for storing address correspondence information representing a correspondence relationship between a logical address and a physical address of each communication device;
On the network to which each of the communication devices is connected, an address response representing a response to the physical address resolution request for the logical address is detected, and the logical address of the caller and the physical address of the caller included in the detected address response are detected. An illegal address response detection unit that determines an illegal address response when a combination is not stored in the address correspondence information storage unit;
A repaired address response transmission unit that repairs the unauthorized address response by referring to the address correspondence information storage unit and transmits the repaired address response to the transmission destination of the unauthorized address response;
Network monitoring device with アドレス配布サーバにより前記各通信装置に対して送信されるアドレス配布応答を検出し、検出したアドレス配布応答に含まれるアドレス配布先の物理アドレスおよび配布される論理アドレスを前記アドレス対応情報記憶部に登録するアドレス対応情報登録部をさらに備えることを特徴とする請求項1に記載のネットワーク監視装置。   An address distribution response sent to each communication device by the address distribution server is detected, and the physical address of the address distribution destination and the logical address to be distributed included in the detected address distribution response are registered in the address correspondence information storage unit The network monitoring apparatus according to claim 1, further comprising an address correspondence information registration unit configured to perform registration. 不正なアドレス応答の発信側として判断する対象から除外する除外論理アドレスを記憶する除外論理アドレス記憶部をさらに備え、
前記不正アドレス応答検出部は、前記アドレス応答に含まれる発信側の論理アドレスが前記除外論理アドレスである場合には、該アドレス応答を不正なアドレス応答と判断しないことを特徴とする請求項1または請求項2に記載のネットワーク監視装置。 An exclusion logical address storage unit that stores an exclusion logical address to be excluded from a target to be determined as a sender of an illegal address response;
2. The illegal address response detection unit does not determine that the address response is an illegal address response when a logical address on the transmission side included in the address response is the excluded logical address. The network monitoring device according to claim 2. 各通信装置の論理アドレスおよび物理アドレスの対応関係を表すアドレス対応情報を記憶しておき、
前記各通信装置が接続されるネットワーク上において、前記論理アドレスに対する物理アドレスの解決要求に対する応答を表すアドレス応答を検出し、
検出したアドレス応答に含まれる発信側の論理アドレスおよび発信側の物理アドレスの組み合わせを表す前記アドレス対応情報を記憶していない場合に、不正なアドレス応答であると判断し、
前記アドレス対応情報を参照することにより前記不正なアドレス応答を修復し、
前記不正なアドレス応答の送信先に対して、修復したアドレス応答を送信する、ネットワーク監視方法。 Store address correspondence information representing the correspondence between logical addresses and physical addresses of each communication device,
Detecting an address response representing a response to a resolution request of a physical address for the logical address on a network to which each of the communication devices is connected;
If the address correspondence information indicating the combination of the logical address of the caller and the physical address of the caller included in the detected address response is not stored, it is determined that the address response is invalid.
Repairing the invalid address response by referring to the address correspondence information;
A network monitoring method for transmitting a repaired address response to a destination of the illegal address response. さらに、アドレス配布サーバにより前記各通信装置に対して送信されるアドレス配布応答を検出し、
検出したアドレス配布応答に含まれるアドレス配布先の物理アドレスおよび配布される論理アドレスの対応関係を表す前記アドレス対応情報を記憶することを特徴とする請求項4に記載のネットワーク監視方法。 Further, an address distribution response transmitted to each communication device by the address distribution server is detected,
5. The network monitoring method according to claim 4, wherein the address correspondence information indicating a correspondence relationship between a physical address of an address distribution destination included in the detected address distribution response and a logical address to be distributed is stored. 不正なアドレス応答の発信側として判断する対象から除外する除外論理アドレスをさらに記憶しておき、
前記アドレス応答に含まれる発信側の論理アドレスが前記除外論理アドレスである場合には、該アドレス応答を不正なアドレス応答と判断しないことを特徴とする請求項4または請求項5に記載のネットワーク監視方法。 In addition, an excluded logical address to be excluded from a target to be determined as the sender of an illegal address response is further stored,
The network monitoring according to claim 4 or 5, wherein when the logical address of the caller included in the address response is the excluded logical address, the address response is not determined as an illegal address response. Method. 各通信装置の論理アドレスおよび物理アドレスの対応関係を表すアドレス対応情報を記憶するアドレス対応情報記憶部を用いて、
前記各通信装置が接続されるネットワーク上において、前記論理アドレスに対する物理アドレスの解決要求に対する応答を表すアドレス応答を検出し、検出したアドレス応答に含まれる発信側の論理アドレスおよび発信側の物理アドレスの組み合わせが前記アドレス対応情報記憶部に記憶されていない場合に、不正なアドレス応答であると判断する不正アドレス応答検出ステップと、
前記アドレス対応情報記憶部を参照することにより前記不正なアドレス応答を修復し、前記不正なアドレス応答の送信先に対して、修復したアドレス応答を送信する修復アドレス応答送信ステップと、
をコンピュータ装置に実行させるコンピュータ・プログラム。 Using an address correspondence information storage unit that stores address correspondence information representing the correspondence between logical addresses and physical addresses of each communication device,
On the network to which each of the communication devices is connected, an address response representing a response to the physical address resolution request for the logical address is detected, and the logical address of the caller and the physical address of the caller included in the detected address response are detected. An illegal address response detection step for determining that the combination is an illegal address response when a combination is not stored in the address correspondence information storage unit;
A repaired address response transmission step of repairing the unauthorized address response by referring to the address correspondence information storage unit and transmitting the repaired address response to the transmission destination of the unauthorized address response;
Is a computer program that causes a computer device to execute. アドレス配布サーバにより前記各通信装置に対して送信されるアドレス配布応答を検出し、検出したアドレス配布応答に含まれるアドレス配布先の物理アドレスおよび配布される論理アドレスを前記アドレス対応情報記憶部に登録するアドレス対応情報登録ステップを、前記コンピュータ装置にさらに実行させることを特徴とする請求項7に記載のコンピュータ・プログラム。   An address distribution response sent to each communication device by the address distribution server is detected, and the physical address of the address distribution destination and the logical address to be distributed included in the detected address distribution response are registered in the address correspondence information storage unit The computer program according to claim 7, further causing the computer device to execute an address correspondence information registration step. 不正なアドレス応答の発信側として判断する対象から除外する除外論理アドレスを記憶する除外論理アドレス記憶部をさらに用いて、
前記不正アドレス応答検出ステップにおいて、前記アドレス応答に含まれる発信側の論理アドレスが前記除外論理アドレスである場合には、該アドレス応答を不正なアドレス応答と判断しないことを特徴とする請求項7または請求項8に記載のコンピュータ・プログラム。 Further using an excluded logical address storage unit that stores an excluded logical address to be excluded from a target to be determined as a sender of an illegal address response,
8. The illegal address response detection step, wherein the address response is not determined to be an illegal address response when the logical address of the caller included in the address response is the excluded logical address. The computer program according to claim 8.
JP2013019678A 2013-02-04 2013-02-04 Network monitoring device, network monitoring method, and computer program Pending JP2014150504A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013019678A JP2014150504A (en) 2013-02-04 2013-02-04 Network monitoring device, network monitoring method, and computer program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013019678A JP2014150504A (en) 2013-02-04 2013-02-04 Network monitoring device, network monitoring method, and computer program

Publications (1)

Publication Number Publication Date
JP2014150504A true JP2014150504A (en) 2014-08-21

Family

ID=51573137

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013019678A Pending JP2014150504A (en) 2013-02-04 2013-02-04 Network monitoring device, network monitoring method, and computer program

Country Status (1)

Country Link
JP (1) JP2014150504A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6058857B1 (en) * 2016-08-05 2017-01-11 株式会社ナビック Network monitoring device, network monitoring system, and network monitoring method
CN111917703A (en) * 2019-05-10 2020-11-10 阿自倍尔株式会社 Monitoring device and monitoring method

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6058857B1 (en) * 2016-08-05 2017-01-11 株式会社ナビック Network monitoring device, network monitoring system, and network monitoring method
CN111917703A (en) * 2019-05-10 2020-11-10 阿自倍尔株式会社 Monitoring device and monitoring method
CN111917703B (en) * 2019-05-10 2023-05-09 阿自倍尔株式会社 Monitoring device and monitoring method

Similar Documents

Publication Publication Date Title
CN110445770B (en) Network attack source positioning and protecting method, electronic equipment and computer storage medium
US11057404B2 (en) Method and apparatus for defending against DNS attack, and storage medium
JP4174392B2 (en) Network unauthorized connection prevention system and network unauthorized connection prevention device
US8661544B2 (en) Detecting botnets
JP6138714B2 (en) Communication device and communication control method in communication device
JPWO2005036831A1 (en) Frame relay device
JP2008177714A (en) Network system, server, ddns server, and packet relay device
US20210112093A1 (en) Measuring address resolution protocol spoofing success
CN112383559B (en) Address resolution protocol attack protection method and device
JP2007104396A (en) Unjust connection preventing system, method, and program
JP2014150504A (en) Network monitoring device, network monitoring method, and computer program
JP6418232B2 (en) Network management device, network system, network management method and program
Fayyaz et al. Using JPCAP to prevent man-in-the-middle attacks in a local area network environment
JP5267893B2 (en) Network monitoring system, network monitoring method, and network monitoring program
JP2019041176A (en) Unauthorized connection blocking device and unauthorized connection blocking method
CN114024731A (en) Message processing method and device
KR101188308B1 (en) Pseudo packet monitoring system for address resolution protocol spoofing monitoring of malicious code and pseudo packet monitoring method therefor
JPWO2016170598A1 (en) Information processing apparatus, method, and program
CN110401646A (en) CGA parameter detection method and device in IPv6 safety neighbor discovering transitional environment
KR102425707B1 (en) Fraud detection device and fraud detection method
CN110768983B (en) Message processing method and device
US20230269236A1 (en) Automatic proxy system, automatic proxy method and non-transitory computer readable medium
Miglani et al. Feasibility analysis of different methods for prevention against ARP spoofing
Sharma et al. A new approach to prevent ARP spoofing
JP2023032671A (en) Security management device