JP2014150504A - Network monitoring device, network monitoring method, and computer program - Google Patents
Network monitoring device, network monitoring method, and computer program Download PDFInfo
- Publication number
- JP2014150504A JP2014150504A JP2013019678A JP2013019678A JP2014150504A JP 2014150504 A JP2014150504 A JP 2014150504A JP 2013019678 A JP2013019678 A JP 2013019678A JP 2013019678 A JP2013019678 A JP 2013019678A JP 2014150504 A JP2014150504 A JP 2014150504A
- Authority
- JP
- Japan
- Prior art keywords
- address
- response
- logical
- correspondence information
- illegal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、中間者攻撃を防御するためにネットワークを監視する技術に関する。 The present invention relates to a technique for monitoring a network in order to prevent a man-in-the-middle attack.
ネットワークに対する不正なアクセス手段として、ARP(Address Resolution Protocol)スプーフィングと呼ばれる中間者攻撃が知られている。ARPとは、論理アドレスからそれに対応する物理アドレスを得るために用いられるプロトコルである。また、ARPスプーフィングとは、ある論理アドレスに対する物理アドレスを要求するARP要求に対して、攻撃者端末が、自装置の物理アドレスを不正に応答するARP応答によりその論理アドレスを有する正規の端末になりすますことをいう。 A man-in-the-middle attack called ARP (Address Resolution Protocol) spoofing is known as an unauthorized access means to the network. ARP is a protocol used to obtain a physical address corresponding to a logical address. In addition, ARP spoofing means that in response to an ARP request that requests a physical address for a certain logical address, the attacker terminal impersonates the legitimate terminal having that logical address by an ARP response that responds illegally to the physical address of its own device. That means.
例えば、あるネットワークにおいて、ルータBから、端末Dの論理アドレスに対するARP要求がブロードキャストされたとする。攻撃者端末Eは、ルータBに対して、端末Dの論理アドレスを発信側の論理アドレスとして含み、自装置の物理アドレスを発信側の物理アドレスとして含む不正なARP応答を送信する。このARP応答を受信したルータBは、ARP応答に含まれる端末Dの論理アドレスおよび攻撃者端末Eの物理アドレスの組み合わせを、ARPテーブルに格納する。 For example, it is assumed that an ARP request for the logical address of the terminal D is broadcast from the router B in a certain network. The attacker terminal E transmits to the router B an illegal ARP response including the logical address of the terminal D as a logical address on the transmission side and including the physical address of the own device as the physical address on the transmission side. The router B that has received this ARP response stores the combination of the logical address of the terminal D and the physical address of the attacker terminal E included in the ARP response in the ARP table.
また、同じネットワークにおいて、端末Dから、ルータBの論理アドレスに対するARP要求がブロードキャストされたとする。攻撃者端末Eは、端末Dに対して、ルータBの論理アドレスを発信側の論理アドレスとして含み、自装置の物理アドレスを発信側の物理アドレスとして含む不正なARP応答を送信する。このARP応答を受信した端末Dは、ARP応答に含まれるルータBの論理アドレスおよび攻撃者端末Eの物理アドレスの組み合わせを、ARPテーブルに格納する。 Also assume that an ARP request for the logical address of router B is broadcast from terminal D in the same network. The attacker terminal E transmits to the terminal D an illegal ARP response including the logical address of the router B as the logical address on the transmission side and including the physical address of the own device as the physical address on the transmission side. The terminal D that has received this ARP response stores the combination of the logical address of the router B and the physical address of the attacker terminal E included in the ARP response in the ARP table.
これにより、端末DからルータBに送信されるはずの情報は、攻撃者端末Eに送信される。攻撃者端末Eは、端末DからルータB宛の情報を受信すると、端末DになりすましてルータBにこの情報を転送可能となる。ルータBは、攻撃者端末Eから転送された情報を、端末Dからの情報だとして外部ネットワークに転送してしまう。また、これに対して外部ネットワークから返信があった場合、ルータBから端末Dに返信されるはずの情報は、攻撃者端末Eに返信される。攻撃者端末Eは、ルータBから端末D宛の情報を受信すると、ルータBになりすまして端末Dにこの情報を返信可能となる。このようにして、攻撃者端末Eは、端末DおよびルータB間で送受信される情報を盗聴する。 As a result, information that should be transmitted from the terminal D to the router B is transmitted to the attacker terminal E. When the attacker terminal E receives information addressed to the router B from the terminal D, the attacker terminal E can impersonate the terminal D and transfer this information to the router B. The router B transfers the information transferred from the attacker terminal E to the external network as information from the terminal D. On the other hand, when there is a reply from the external network, information that should be returned from the router B to the terminal D is returned to the attacker terminal E. When the attacker terminal E receives information addressed to the terminal D from the router B, the attacker terminal E can impersonate the router B and return this information to the terminal D. In this way, the attacker terminal E eavesdrops on information transmitted and received between the terminal D and the router B.
特許文献1には、このような中間者攻撃を防御する関連技術の一例が記載されている。この関連技術は、偽装ARP要求および偽装ARP応答を用いて不正な装置からの通信を防御する。
具体的には、この関連技術では、ネットワーク監視装置は、ネットワークに接続される登録済端末のリストを保持しておく。そして、ネットワーク監視装置は、リストにない未登録端末からのARP要求を検出すると、要求先の登録済端末に対して、発信側の物理アドレスをネットワーク監視装置の物理アドレスに偽装した偽装ARP要求を送信する。登録済端末は、一旦は未登録端末からのARP要求を受信するが、その後、この偽装ARP要求を受信する。そこで、登録済端末は、自装置のARPテーブルにおいて、未登録端末の論理アドレスに対してネットワーク監視装置の物理アドレスを対応付けるよう書き換える。これにより、この関連技術は、登録済端末から未登録端末への通信を防止する。また、ネットワーク監視装置は、ARP要求の送信元である未登録端末に対して、発信側の物理アドレスを未登録端末自身の物理アドレスに偽装した偽装ARP応答を送信する。未登録端末は、一旦は登録済端末からのARP応答を受信するが、その後、この偽装ARP応答を受信する。そこで、未登録端末は、自装置のARPテーブルにおいて、登録済端末の論理アドレスに対して未登録端末自身の物理アドレスを対応付けるよう書き換える。これにより、この関連技術は、未登録端末から登録済端末への通信を防御する。 Specifically, in this related technique, the network monitoring apparatus holds a list of registered terminals connected to the network. When the network monitoring device detects an ARP request from an unregistered terminal that is not in the list, the network monitoring device sends a spoofed ARP request in which the physical address of the calling side is spoofed to the physical address of the network monitoring device to the requested registered terminal. Send. The registered terminal once receives an ARP request from an unregistered terminal, but then receives this fake ARP request. Therefore, the registered terminal rewrites the physical address of the network monitoring device in association with the logical address of the unregistered terminal in the ARP table of the own device. Thereby, this related technique prevents communication from a registered terminal to an unregistered terminal. Further, the network monitoring device transmits a forged ARP response in which the physical address of the calling side is impersonated to the physical address of the unregistered terminal itself to the unregistered terminal that is the transmission source of the ARP request. The unregistered terminal once receives the ARP response from the registered terminal, but then receives the camouflaged ARP response. Therefore, the unregistered terminal rewrites the physical address of the unregistered terminal in association with the logical address of the registered terminal in the ARP table of the own apparatus. Thereby, this related technique prevents communication from an unregistered terminal to a registered terminal.
また、特許文献2には、このような中間者攻撃を防御する他の関連技術の一例が記載されている。この関連技術は、不正な通信装置からのARPパケットを廃棄する。
具体的には、この関連技術では、回線収容装置は、各端末から送信される情報をネットワークに中継する中継ユニットを有し、各端末に割り当てられた論理アドレスおよび物理アドレスの対応関係をテーブルに記憶しておく。そして、回線収容装置は、ARP要求またはARP応答を端末から受信した際に、ARPパケットに含まれる発信側の物理アドレスおよび発信側の論理アドレスがテーブルに登録されていない場合、そのARPパケットをフィルタリングにより廃棄する。 Specifically, in this related technology, the line accommodating apparatus has a relay unit that relays information transmitted from each terminal to the network, and the correspondence between logical addresses and physical addresses assigned to each terminal is stored in a table. Remember. Then, when the line accommodating apparatus receives an ARP request or an ARP response from the terminal, if the physical address of the transmission side and the logical address of the transmission side included in the ARP packet are not registered in the table, the line accommodation apparatus filters the ARP packet. Dispose of.
また、特許文献3には、このような中間者攻撃を防御する他の関連技術の一例が記載されている。この関連技術は、動的に論理アドレスが割り当てられるネットワークにおいて静的な論理アドレスを用いる端末を不正な端末であるとみなして、そのような端末に対する通信を遮断する。
具体的には、この関連技術では、パケット転送装置は、アドレス配布サーバからのアドレス配布応答に含まれる論理アドレスを、アドレス配布要求元の端末に割り当てる前に、その論理アドレスに対するARP要求をブロードキャストする。これに対するARP応答があれば、このパケット転送装置は、応答してきた端末を、静的にその論理アドレスを用いる不正な端末であるとみなす。そして、パケット転送装置は、その不正な端末に対して、フィルタリングにより通信を遮断する。 Specifically, in this related technology, the packet transfer apparatus broadcasts an ARP request for the logical address before assigning the logical address included in the address distribution response from the address distribution server to the address distribution requesting terminal. . If there is an ARP response to this, the packet transfer apparatus regards the terminal that has responded as an illegal terminal that statically uses its logical address. Then, the packet transfer apparatus blocks communication with the unauthorized terminal by filtering.
しかしながら、特許文献1〜特許文献3に記載された関連技術には、以下のような課題がある。
However, the related techniques described in
特許文献1に記載された関連技術は、未登録端末からのARP要求を検出することにより、未登録端末および登録済端末間の通信を防御することができる。しかしながら、特許文献1には、未登録端末からのARP応答を検出することについては記載されていない。したがって、この関連技術は、不正なARP応答に基づく中間者攻撃を防御することはできない。
The related technology described in
また、特許文献2に記載された関連技術は、ネットワークに接続される全ての端末から送信される情報を集線する集線装置によって実現される。したがって、この関連技術を用いて中間者攻撃を防御するには、既存の集線装置やネットワーク構成の置換が必要となり、導入コストが大きい。
The related art described in
また、特許文献3に記載された関連技術は、端末に対するアドレス配布のタイミングでしか、不正なARP応答を検出することができない。したがって、この関連技術は、不正なARP応答を検出できない場合があり、中間者攻撃を確実に防御できない。
Further, the related technique described in
本発明は、上述の課題を解決するためになされたもので、多大な導入コストを必要とせずに、中間者攻撃を防御する技術を提供することを目的とする。 The present invention has been made to solve the above-described problems, and an object thereof is to provide a technique for defending against a man-in-the-middle attack without requiring a large introduction cost.
本発明のネットワーク監視装置は、各通信装置の論理アドレスおよび物理アドレスの対応関係を表すアドレス対応情報を記憶するアドレス対応情報記憶部と、前記各通信装置が接続されるネットワーク上において、前記論理アドレスに対する物理アドレスの解決要求に対する応答を表すアドレス応答を検出し、検出したアドレス応答に含まれる発信側の論理アドレスおよび発信側の物理アドレスの組み合わせが前記アドレス対応情報記憶部に記憶されていない場合に、不正なアドレス応答であると判断する不正アドレス応答検出部と、前記アドレス対応情報記憶部を参照することにより前記不正なアドレス応答を修復し、前記不正なアドレス応答の送信先に対して、修復したアドレス応答を送信する修復アドレス応答送信部と、を備える。 The network monitoring apparatus according to the present invention includes an address correspondence information storage unit that stores address correspondence information indicating a correspondence relation between a logical address and a physical address of each communication device, and the logical address on the network to which each communication device is connected. An address response representing a response to a physical address resolution request is detected, and the combination of the logical address of the caller and the physical address of the caller included in the detected address response is not stored in the address correspondence information storage unit An illegal address response detection unit that determines that the address response is invalid, and the address correspondence information storage unit is referred to repair the illegal address response, and the destination of the illegal address response is repaired. And a repaired address response transmission unit that transmits the address response that has been performed.
また、本発明のネットワーク監視方法は、各通信装置の論理アドレスおよび物理アドレスの対応関係を表すアドレス対応情報を記憶しておき、前記各通信装置が接続されるネットワーク上において、前記論理アドレスに対する物理アドレスの解決要求に対する応答を表すアドレス応答を検出し、検出したアドレス応答に含まれる発信側の論理アドレスおよび発信側の物理アドレスの組み合わせを表す前記アドレス対応情報を記憶していない場合に、不正なアドレス応答であると判断し、前記アドレス対応情報を参照することにより前記不正なアドレス応答を修復し、前記不正なアドレス応答の送信先に対して、修復したアドレス応答を送信する。 The network monitoring method of the present invention stores address correspondence information indicating the correspondence between the logical address and the physical address of each communication device, and the physical address for the logical address is stored on the network to which the communication device is connected. If an address response representing a response to the address resolution request is detected and the address correspondence information representing the combination of the logical address of the caller and the physical address of the caller included in the detected address response is not stored, It judges that it is an address response, refers to the address correspondence information, repairs the unauthorized address response, and transmits the repaired address response to the destination of the unauthorized address response.
また、本発明のコンピュータ・プログラムは、各通信装置の論理アドレスおよび物理アドレスの対応関係を表すアドレス対応情報を記憶するアドレス対応情報記憶部を用いて、前記各通信装置が接続されるネットワーク上において、前記論理アドレスに対する物理アドレスの解決要求に対する応答を表すアドレス応答を検出し、検出したアドレス応答に含まれる発信側の論理アドレスおよび発信側の物理アドレスの組み合わせが前記アドレス対応情報記憶部に記憶されていない場合に、不正なアドレス応答であると判断する不正アドレス応答検出ステップと、前記アドレス対応情報記憶部を参照することにより前記不正なアドレス応答を修復し、前記不正なアドレス応答の送信先に対して、修復したアドレス応答を送信する修復アドレス応答送信ステップと、をコンピュータ装置に実行させる。 Further, the computer program of the present invention uses an address correspondence information storage unit that stores address correspondence information indicating a correspondence relationship between a logical address and a physical address of each communication device on a network to which the communication devices are connected. An address response representing a response to the physical address resolution request for the logical address is detected, and the combination of the logical address of the caller and the physical address of the caller included in the detected address response is stored in the address correspondence information storage unit If not, an illegal address response detection step for determining that the address response is an illegal address response, and repairing the illegal address response by referring to the address correspondence information storage unit, to the transmission destination of the illegal address response Repair address response that sends repaired address response to Executing signal and the step, to the computer device.
本発明は、多大な導入コストを必要とせずに、中間者攻撃を防御する技術を提供することができる。 The present invention can provide a technique for defending against a man-in-the-middle attack without requiring a large introduction cost.
以下、本発明の実施の形態について、図面を参照して詳細に説明する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
(第1の実施の形態)
本発明の第1の実施の形態としてのネットワーク監視装置10により監視されるネットワーク80の構成を図1に示す。図1において、ネットワーク監視装置10は、ネットワーク80上の通信を監視可能にネットワーク80に接続される。また、ネットワーク80には、1つ以上の通信装置90が接続されている。なお、図1には、2つの通信装置90を示したが、本発明において監視対象となるネットワークに接続される通信装置の数を限定するものではない。
(First embodiment)
FIG. 1 shows a configuration of a
まず、監視対象のネットワーク80に接続される通信装置90について説明する。通信装置90は、論理アドレスにより通信先が指定された情報を、論理アドレスに対応する物理アドレスを用いて送受信する装置である。論理アドレスとは、例えば、IP(Internet Protocol)アドレスである。また、物理アドレスとは、例えば、MAC(Media Access Control)アドレスである。
First, the
また、通信装置90は、アドレス対応関係テーブルを有している。アドレス対応関係テーブルには、他の装置の論理アドレスおよび物理アドレスの対応関係が記憶される。通信装置90は、論理アドレスに対応する物理アドレスをアドレス対応関係テーブルから取得し、取得した物理アドレスを用いて通信を行う。
The
また、通信装置90は、論理アドレスに対応する物理アドレスがアドレス対応関係テーブルに記憶されていない場合、論理アドレスに対する物理アドレスの解決を要求するアドレス要求をブロードキャストする。ここで、アドレス要求には、要求元の論理アドレスと、要求元の物理アドレスと、解決要求対象の論理アドレスとが含まれる。解決要求対象の論理アドレスを有する通信装置90は、アドレス要求に対応するアドレス応答を、要求元の通信装置90に対して送信する。このアドレス応答には、発信側の論理アドレスと、発信側の物理アドレスとが含まれる。つまり、アドレス応答に含まれる発信側の論理アドレスは、解決要求対象の論理アドレスを表す。また、アドレス応答に含まれる発信側の物理アドレスは、解決要求対象の物理アドレスを表す。このようなアドレス要求およびアドレス応答は、例えば、ARP(Address Resolution Protocol)に基づく情報であってもよい。
Further, when the physical address corresponding to the logical address is not stored in the address correspondence table, the
また、通信装置90は、アドレス要求の送信に応じて受信されたアドレス応答に基づき、アドレス対応関係テーブルを更新する。具体的には、通信装置90は、受信したアドレス応答に含まれる発信側の論理アドレスと、発信側の物理アドレスとを対応付けてアドレス対応関係テーブルに登録する。もし、アドレス対応関係テーブルに、該当する論理アドレスが既に登録されている場合、通信装置90は、該当する論理アドレスに対応する物理アドレスを、新たに受信したアドレス応答に含まれる発信側の物理アドレスに更新する。
In addition, the
次に、ネットワーク監視装置10の機能ブロックを図2に示す。図2において、ネットワーク監視装置10は、アドレス対応情報記憶部11と、不正アドレス応答検出部12と、修復アドレス応答送信部13とを備える。
Next, functional blocks of the
ここで、ネットワーク監視装置10は、図3に示すようなハードウェア要素を含む装置によって構成可能である。図3において、ネットワーク監視装置10は、CPU(Central Processing Unit)1001と、RAM(Random Access Memory)1002と、ROM(Read Only Memory)1003と、ハードディスク等の記憶装置1004と、ネットワークインタフェース1005とを備えたコンピュータ装置によって構成される。また、この場合、アドレス対応情報記憶部11は、記憶装置1004によって構成される。また、不正アドレス応答検出部12および修復アドレス応答送信部13は、ネットワークインタフェース1005と、ROM1003および記憶装置1004に記憶されたコンピュータ・プログラムおよび各種データをRAM1002に読み込んで実行するCPU1001とによって構成される。なお、ネットワーク監視装置10およびその各機能ブロックを構成するハードウェア構成は、上述の構成に限定されない。
Here, the
アドレス対応情報記憶部11は、各通信装置90の論理アドレスおよび物理アドレスの対応関係を表すアドレス対応情報を記憶する。
The address correspondence
不正アドレス応答検出部12は、ネットワーク80における不正なアドレス応答を検出する。具体的には、不正アドレス応答検出部12は、ネットワーク80上の情報を監視することにより、いずれかの通信装置90に対するアドレス応答を検出する。そして、不正アドレス応答検出部12は、検出したアドレス応答に含まれる発信側の論理アドレスおよび発信側の物理アドレスの組み合わせが、アドレス対応情報記憶部11に記憶されているか否かを判断する。そして、不正アドレス応答検出部12は、その組み合わせがアドレス対応情報記憶部11に記憶されていない場合に、不正なアドレス応答であると判断する。例えば、ARPに基づくアドレス応答の場合、不正アドレス応答検出部12は、発信側の論理アドレスとしてRFC826で規定されるar$spaフィールドと、発信側の物理アドレスとしてRFC826で規定されるar$shaフィールドとの組み合わせについて判断処理を行えばよい。
The illegal address
修復アドレス応答送信部13は、アドレス対応情報記憶部11を参照することにより、不正なアドレス応答を修復する。そして、修復アドレス応答送信部13は、不正なアドレス応答の送信先に対して、修復したアドレス応答を送信する。
The repair address
例えば、修復アドレス応答送信部13は、アドレス対応情報記憶部11を参照することにより、不正なアドレス応答に含まれていた発信側の論理アドレスに対応する物理アドレスを特定する。そして、修復アドレス応答送信部13は、特定した物理アドレスを発信側の物理アドレスとして含み、不正なアドレス応答に含まれていた発信側の論理アドレスを含むアドレス応答を生成する。例えば、ARPに基づくアドレス応答の場合、修復アドレス応答送信部13は、不正なアドレス応答のar$spaフィールドの値をそのままar$spaフィールドに設定し、アドレス対応情報記憶部11から取得した物理アドレスをar$shaフィールドに設定したアドレス応答を生成すればよい。そして、修復アドレス応答送信部13は、生成したアドレス応答を、不正なアドレス応答の送信先として指定されていた通信装置90に対して送信する。
For example, the repair address
以上のように構成されたネットワーク監視装置10の動作について、図4を参照して説明する。
The operation of the
まず、不正アドレス応答検出部12は、ネットワーク80上の通信におけるアドレス応答を検出する(ステップS1)。
First, the illegal address
ここで、ステップS1で検出されたアドレス応答の送信先である通信装置90は、このアドレス応答を受信する。これにより、この通信装置90は、自装置のアドレス対応関係テーブルに、このアドレス応答に含まれる発信側の論理アドレスおよび発信側の物理アドレスを対応付けて登録することになる。
Here, the
次に、ネットワーク監視装置10において、不正アドレス応答検出部12は、ステップS1で検出したアドレス応答に含まれる発信側の論理アドレスおよび発信側の物理アドレスの組み合わせが、アドレス対応情報記憶部11に記憶されているか否かを判断する(ステップS2)。
Next, in the
ここで、該当する組み合わせがアドレス対応情報記憶部11に記憶されていると判断された場合、ネットワーク監視装置10の動作は終了する。
Here, when it is determined that the corresponding combination is stored in the address correspondence
一方、該当する組み合わせがアドレス対応情報記憶部11に記憶されていないと判断された場合、不正アドレス応答検出部12は、ステップS1で検出されたアドレス応答を不正なものとみなす。そこで、修復アドレス応答送信部13は、アドレス対応情報記憶部11を参照することにより、不正なアドレス応答を修復する(ステップS3)。
On the other hand, when it is determined that the corresponding combination is not stored in the address correspondence
例えば、修復アドレス応答送信部13は、不正なアドレス応答に含まれる発信側の論理アドレスに対応する物理アドレスを、アドレス対応情報記憶部11から取得する。そして、修復アドレス応答送信部13は、不正なアドレス応答に含まれていた発信側の論理アドレスを含み、アドレス対応情報記憶部11から取得した物理アドレスを発信側の物理アドレスとして含むアドレス応答を生成すればよい。
For example, the repair address
次に、修復アドレス応答送信部13は、ステップS1で検出したアドレス応答の送信先の通信装置90に対して、ステップS3で修復したアドレス応答を送信する(ステップS4)。
Next, the repaired address
これにより、この通信装置90は、修復されたアドレス応答に基づいて、アドレス対応関係テーブルを更新する。その結果、この通信装置90において該当する論理アドレスに対して一旦登録された不正な物理アドレスは、修復されたアドレス応答に含まれる物理アドレスに書き換えられる。
Thus, the
以上で、ネットワーク監視装置10は動作を終了する。
Thus, the
次に、本発明の第1の実施の形態の効果について述べる。 Next, effects of the first exemplary embodiment of the present invention will be described.
本発明の第1の実施の形態としてのネットワーク監視装置は、多大な導入コストを必要とせずに、中間者攻撃を防御することができる。 The network monitoring apparatus according to the first embodiment of the present invention can protect against a man-in-the-middle attack without requiring a large introduction cost.
その理由は、アドレス対応情報記憶部が、各端末の論理アドレスおよび物理アドレスの対応関係を表すアドレス対応情報を記憶し、不正アドレス応答検出部が、発信側の論理アドレスおよび発信側の物理アドレスの組み合わせがアドレス対応情報記憶部に記憶されていないアドレス応答を不正なものとして検出し、修復アドレス応答送信部が、アドレス対応情報記憶部に基づいて不正なアドレス応答を修復し、不正なアドレス応答を受信した通信装置に対して修復したアドレス応答を送信するからである。 The reason is that the address correspondence information storage unit stores address correspondence information indicating the correspondence between the logical address and the physical address of each terminal, and the illegal address response detection unit stores the logical address of the calling side and the physical address of the calling side. An address response whose combination is not stored in the address correspondence information storage unit is detected as an illegal one, and the repair address response transmission unit repairs the invalid address response based on the address correspondence information storage unit, This is because the repaired address response is transmitted to the received communication device.
これにより、不正なアドレス応答を受信した通信装置は、一旦は、不正な物理アドレスを自装置のアドレス対応関係テーブルに登録するが、その後、修復したアドレス応答の受信により不正な物理アドレスを正しい物理アドレスに書き換える。その結果、本実施の形態は、不正な端末により不正に書き換えられた通信装置のアドレス対応関係テーブルを修復し、中間者攻撃を無効化することができる。 As a result, the communication device that has received the illegal address response once registers the illegal physical address in the address correspondence table of its own device. Rewrite to address. As a result, the present embodiment can repair the address correspondence table of the communication device that has been illegally rewritten by an unauthorized terminal and invalidate the man-in-the-middle attack.
このように、本実施の形態は、監視対象のネットワークに対して、ネットワーク上の通信を監視できるよう本実施の形態のネットワーク監視装置を追加するだけで、中間者攻撃を防御することができ、既存の集線装置の置換やネットワーク構成の変更といった導入コストを必要としない。 In this way, this embodiment can prevent man-in-the-middle attacks by simply adding the network monitoring device of this embodiment so that communication on the network can be monitored with respect to the network to be monitored. Installation costs such as replacing existing line concentrators and changing the network configuration are not required.
(第2の実施の形態)
次に、本発明の第2の実施の形態について図面を参照して詳細に説明する。なお、本実施の形態の説明において参照する各図面において、本発明の第1の実施の形態と同一の構成および同様に動作するステップには同一の符号を付して本実施の形態における詳細な説明を省略する。
(Second Embodiment)
Next, a second embodiment of the present invention will be described in detail with reference to the drawings. Note that, in each drawing referred to in the description of the present embodiment, the same reference numerals are given to the same configuration and steps that operate in the same manner as in the first embodiment of the present invention, and the detailed description in the present embodiment. Description is omitted.
まず、本発明の第2の実施の形態としてのネットワーク監視装置20により監視されるネットワーク81の構成を図5に示す。図5において、ネットワーク監視装置20は、ネットワーク81上の通信を監視可能にネットワーク81に接続される。ネットワーク81には、1つ以上の通信装置90と、アドレス配布サーバ91とが接続される。なお、図5には、2つの通信装置90を示したが、本発明において監視対象となるネットワークに接続される通信装置の数を限定するものではない。
First, FIG. 5 shows the configuration of a
アドレス配布サーバ91は、各通信装置90からのアドレス配布要求に応じて、アドレス配布応答を送信する。例えば、アドレス配布サーバ91は、DHCP(Dynamic Host Configuration Protocol)に基づくアドレス配布を行う装置であってもよい。アドレス配布応答は、配布される論理アドレスと、アドレス配布先の通信装置90の物理アドレスとを含み、アドレス配布先の通信装置90に対して送信される。
The
次に、ネットワーク監視装置20の機能ブロック構成を図6に示す。図6において、ネットワーク監視装置20は、本発明の第1の実施の形態としてのネットワーク監視装置10と同一の構成に加えて、さらに、アドレス対応情報登録部24を備える。例えば、アドレス対応情報登録部24は、ネットワークインタフェース1005と、ROM1003および記憶装置1004に記憶されたコンピュータ・プログラムおよび各種データをRAM1002に読み込んで実行するCPU1001とによって構成可能である。
Next, the functional block configuration of the
アドレス対応情報登録部24は、アドレス配布サーバ91により各通信装置90に対して送信されるアドレス配布応答を検出する。そして、アドレス対応情報登録部24は、検出したアドレス配布応答に基づいて、アドレス対応情報をアドレス対応情報記憶部11に登録する。具体的には、アドレス対応情報登録部24は、検出したアドレス配布応答から、アドレス配布先の物理アドレスおよび配布される論理アドレスを抽出し、その対応関係を表すアドレス対応情報を登録すればよい。もし、抽出した物理アドレスに関するアドレス対応情報が既に登録されている場合、アドレス対応情報登録部24は、その物理アドレスに対する論理アドレスを、新たにアドレス配布応答から抽出した論理アドレスに書き換える。
The address correspondence
以上のように構成されたネットワーク監視装置20の動作について、図面を参照して説明する。まず、ネットワーク監視装置20のアドレス対応情報登録動作を図7に示す。
The operation of the
図7において、まず、アドレス対応情報登録部24は、ネットワーク81上の通信におけるアドレス配布応答を検出する(ステップS11)。
In FIG. 7, first, the address correspondence
次に、アドレス対応情報登録部24は、ステップS11で検出したアドレス配布応答から、アドレス配布先の物理アドレスおよび配布される論理アドレスを抽出し、アドレス対応情報としてアドレス対応情報記憶部11に登録する(ステップS12)。
Next, the address correspondence
以上で、ネットワーク監視装置20は、アドレス対応情報登録動作を終了する。
Thus, the
また、ネットワーク監視装置20は、このようにして動的に更新したアドレス対応情報記憶部11を用いて、本発明の第1の実施の形態としてのネットワーク監視装置10と同様に、図4に示したステップS1〜S4まで動作する。これにより、ネットワーク監視装置20は、動的に変化する論理アドレスおよび物理アドレスの対応関係に基づいて、不正アドレス応答の検出および修復動作を行う。
Further, the
次に、ネットワーク監視装置20の動作を具体例で示す。
Next, the operation of the
この具体例における監視対象のネットワーク81の構成を図8に示す。図8において、ネットワーク81には、ネットワーク監視装置20、通信装置90、DHCPサーバ91、ルータ92、および、不正端末93が接続される。
The configuration of the
DHCPサーバ91およびルータ92は、通信装置90と同様に、アドレス管理テーブルを用いて通信を行う。
As with the
また、ルータ92は、複数のポートを有する。複数のポートのうちの1つは、他の通常のポートで送受信される情報が出力されるミラーポートとして設定されている。通常の各ポートには、通信装置90、DHCPサーバ91、不正端末93がそれぞれ接続される。ミラーポートには、ネットワーク監視装置20が接続される。これにより、ネットワーク監視装置20は、ネットワーク81上の通信を監視可能にネットワーク81に接続される。
The
また、DHCPサーバ91は、物理アドレス「MAC−C」を有し、論理アドレス「IP−C」を自装置に設定している。また、ルータ92は、物理アドレス「MAC−B」を有し、論理アドレス「IP−B」を自装置に設定している。また、通信装置90は、物理アドレスとして「MAC−D」を有する。また、不正端末93は、物理アドレスとして「MAC−E」を有する。
Further, the
ネットワーク監視装置20のアドレス対応情報記憶部11は、図9(a)に示すように、DHCPサーバ91およびルータ92の論理アドレスおよび物理アドレスの対応関係をアドレス対応情報として記憶している。
As shown in FIG. 9A, the address correspondence
このとき、通信装置90が、論理アドレスの配布要求メッセージを送信したとする。
At this time, it is assumed that the
これに応じて、DHCPサーバ91は、通信装置90に対して論理アドレス「IP−D」を割り当て、物理アドレス「MAC−D」および論理アドレス「IP−D」を含むアドレス配布応答を、通信装置90に対して送信する。これにより、通信装置90は、自装置の論理アドレスとして「IP−D」を設定する。
In response to this, the
次に、ネットワーク監視装置20のアドレス対応情報登録部24は、このアドレス配布応答を検出する(ステップS11)。
Next, the address correspondence
次に、アドレス対応情報登録部24は、検出したアドレス配布応答から、物理アドレス「MAC−D」および論理アドレス「IP−D」を抽出し、アドレス対応情報としてアドレス対応情報記憶部11に登録する(ステップS12)。
Next, the address correspondence
以上の動作により、アドレス対応情報記憶部11は、図9(b)に示すようなアドレス対応情報を記憶していることになる。
With the above operation, the address correspondence
この状態で、通信装置90が、ルータ92の論理アドレス「IP−B」に対する物理アドレスを要求するアドレス要求をブロードキャストし、不正端末93が、これに対する不正なアドレス応答を送信したことを想定する。このアドレス応答には、発信側の論理アドレスとしてルータ92の論理アドレスである「IP−B」と、不正な発信側の物理アドレスとして「MAC−E」とが含まれている。これにより、通信装置90は、自装置のアドレス対応関係テーブルに、ルータ92の論理アドレス「IP−B」に、不正端末93の物理アドレス「MAC−E」を対応付けて登録することになる。
In this state, it is assumed that the
ここで、ネットワーク監視装置20の不正アドレス応答検出部12が、このアドレス応答を検出する(ステップS1)。
Here, the illegal address
次に、不正アドレス応答検出部12は、この論理アドレス「IP−B」および物理アドレス「MAC−E」の組み合わせが図9(b)に示したアドレス対応情報記憶部11に記憶されていないので、このアドレス応答は不正であると判断する(ステップS2でNo)
次に、修復アドレス応答送信部13は、アドレス応答の修復を行う(ステップS3)。具体的には、修復アドレス応答送信部13は、図9(b)に示したアドレス対応情報記憶部11を参照し、不正なアドレス応答に含まれる発信側の論理アドレス「IP−B」に対応する物理アドレス「MAC−B」を取得する。そして、修復アドレス応答送信部13は、発信側の論理アドレスとして「IP−B」を含み、アドレス対応情報記憶部11から取得した物理アドレス「MAC−B」を発信側の物理アドレスとして含むアドレス応答を生成すればよい。
Next, since the combination of the logical address “IP-B” and the physical address “MAC-E” is not stored in the address correspondence
Next, the repair
次に、修復アドレス応答送信部13は、不正なアドレス応答の送信先であった通信装置90に対して、ステップS3で修復したアドレス応答を送信する(ステップS4)。
Next, the repair address
これにより、通信装置90は、修復されたアドレス応答に基づいて、アドレス対応関係テーブルを更新する。その結果、通信装置90は、ルータ92の論理アドレス「IP−B」に対して一旦登録した不正端末93の物理アドレス「MAC−E」を、ルータ92の物理アドレス「MAC−B」に書き換えることができる。
Thereby, the
このように、ネットワーク監視装置20は、通信装置90に対してルータ92になりすまそうとした不正端末93の中間者攻撃を無効化する。
In this way, the
また、さらに、ルータ92が、通信装置90の論理アドレス「IP−D」に対する物理アドレスを要求するアドレス要求をブロードキャストし、不正端末93が、これに対する不正なアドレス応答を送信したことを想定する。このアドレス応答には、発信側の論理アドレスとして通信装置90の論理アドレスである「IP−D」と、不正な発信側の物理アドレスとして「MAC−E」とが含まれている。これにより、ルータ92は、自装置のアドレス対応関係テーブルに、通信装置90の論理アドレス「IP−D」に、不正端末93の物理アドレス「MAC−E」を対応付けて登録することになる。
Further, it is assumed that the
ここで、ネットワーク監視装置20の不正アドレス応答検出部12が、このアドレス応答を検出する(ステップS1)。
Here, the illegal address
次に、不正アドレス応答検出部12は、この論理アドレス「IP−D」および物理アドレス「MAC−E」の組み合わせが図9(b)に示したアドレス対応情報記憶部11に記憶されていないので、このアドレス応答は不正であると判断する(ステップS2でNo)
次に、修復アドレス応答送信部13は、アドレス応答の修復を行う(ステップS3)。具体的には、修復アドレス応答送信部13は、図9(b)に示したアドレス対応情報記憶部11を参照し、不正なアドレス応答に含まれる発信側の論理アドレス「IP−D」に対応する物理アドレス「MAC−D」を取得する。そして、修復アドレス応答送信部13は、発信側の論理アドレスとして「IP−D」を含み、アドレス対応情報記憶部11から取得した物理アドレス「MAC−D」を発信側の物理アドレスとして含むアドレス応答を生成すればよい。
Next, since the combination of the logical address “IP-D” and the physical address “MAC-E” is not stored in the address correspondence
Next, the repair
次に、修復アドレス応答送信部13は、不正なアドレス応答の送信先であったルータ92に対して、ステップS3で修復したアドレス応答を送信する(ステップS4)。
Next, the repaired address
これにより、ルータ92は、修復されたアドレス応答に基づいて、アドレス対応関係テーブルを更新する。その結果、ルータ92は、通信装置90の論理アドレス「IP−D」に対して一旦登録した不正端末93の物理アドレス「MAC−E」を、通信装置90の物理アドレス「MAC−D」に書き換えることができる。
As a result, the
このように、ネットワーク監視装置20は、ルータ92に対して通信装置90になりすまそうとした不正端末93の中間者攻撃を無効化する。
As described above, the
以上で、具体例の説明を終了する。 This is the end of the description of the specific example.
次に、本発明の第2の実施の形態の効果について述べる。 Next, the effect of the second exemplary embodiment of the present invention will be described.
本発明の第2の実施の形態としてのネットワーク監視装置は、動的に変化する論理アドレスおよび物理アドレスの対応関係に基づいて、多大な管理コストを必要とせずに、中間者攻撃を防御することができる。 The network monitoring apparatus according to the second embodiment of the present invention protects against a man-in-the-middle attack without requiring a large management cost based on the correspondence relationship between dynamically changing logical addresses and physical addresses. Can do.
その理由は、アドレス対応情報管理部が、アドレス配布サーバからのアドレス配布応答を検出することによりアドレス対応情報記憶部を動的に更新し、不正アドレス応答検出部が、動的に更新されるアドレス対応情報記憶部に基づいて不正アドレス応答を検出し、修復アドレス応答送信部が、動的に更新されるアドレス対応情報記憶部に基づいて不正なアドレス応答を修復するからである。 The reason is that the address correspondence information management unit dynamically updates the address correspondence information storage unit by detecting an address distribution response from the address distribution server, and the illegal address response detection unit dynamically updates the address. This is because an illegal address response is detected based on the correspondence information storage unit, and the repair address response transmission unit repairs the illegal address response based on the dynamically updated address correspondence information storage unit.
このように、本実施の形態は、監視対象のネットワークに接続される正常な通信装置が動的に変化する場合であっても、アドレス配布サーバからのアドレス配布応答を検出することにより、不正なアドレス応答の検出および修復に用いるアドレス対応情報記憶部を動的に更新するので、管理コストを低減する。 As described above, the present embodiment detects an address distribution response from the address distribution server even if a normal communication device connected to the monitored network changes dynamically. Since the address correspondence information storage unit used for detecting and repairing the address response is dynamically updated, the management cost is reduced.
(第3の実施の形態)
次に、本発明の第3の実施の形態について図面を参照して詳細に説明する。なお、本実施の形態の説明において参照する各図面において、本発明の第1および第2の実施の形態と同一の構成および同様に動作するステップには同一の符号を付して本実施の形態における詳細な説明を省略する。
(Third embodiment)
Next, a third embodiment of the present invention will be described in detail with reference to the drawings. Note that, in each drawing referred to in the description of the present embodiment, the same configurations and steps that operate in the same manner as in the first and second embodiments of the present invention are denoted by the same reference numerals, and the present embodiment. The detailed description in is omitted.
まず、本発明の第3の実施の形態としてのネットワーク監視装置30により監視されるネットワーク82の構成を図10に示す。図10において、ネットワーク監視装置30は、ネットワーク82上の通信を監視可能にネットワーク82に接続される。ネットワーク82には、1つ以上の通信装置90と、アドレス配布サーバ91と、不正接続防止装置94とが接続される。なお、図10には、2つの通信装置90および1つの不正接続防止装置94を示したが、本発明において監視対象となるネットワークに接続される通信装置および不正接続防止装置の数を限定するものではない。
First, FIG. 10 shows the configuration of the
不正接続防止装置94は、未登録端末に対して、偽装したアドレス応答を送信することにより、未登録端末によるネットワーク82に対する接続を防止する装置である。例えば、不正接続防止装置94は、特許文献1に記載された関連技術を採用する装置であってもよい。この場合、不正接続防止装置94は、アドレス対応情報記憶部11に記憶されていない通信装置(未登録端末)からのアドレス要求を検出する。そして、不正接続防止装置94は、検出したアドレス要求の送信元である未登録端末に対して、発信側の物理アドレスを未登録端末自身の物理アドレスに偽装したアドレス応答を送信する。その結果、未登録端末は、自装置のアドレス対応関係テーブルにおいて、登録済の通信装置90の論理アドレスに対して、自装置自身の物理アドレスを対応付けるよう書き換えることになる。したがって、未登録端末は、登録済の通信装置90に対して通信を行うことができない。この他、不正接続防止装置94は、偽装したアドレス応答を用いて、未登録端末からのネットワーク82への接続を防止する装置であれば、その他の関連技術により実現されるものであってもよい。
The unauthorized
次に、ネットワーク監視装置30の機能ブロック構成を図11に示す。図11において、ネットワーク監視装置30は、本発明の第2の実施の形態としてのネットワーク監視装置20に対して、不正アドレス応答検出部12に替えて不正アドレス応答検出部32を備え、さらに、除外論理アドレス記憶部35を備える点が異なる。例えば、除外論理アドレス記憶部35は、記憶装置1004によって構成可能である。
Next, a functional block configuration of the
除外論理アドレス記憶部35は、不正なアドレス応答の発信側として判断する対象から除外する除外論理アドレスを記憶する。例えば、除外論理アドレス記憶部35は、不正接続防止装置94の論理アドレスを除外論理アドレスとして記憶する。
The excluded logical
不正アドレス応答検出部32は、アドレス応答に含まれる発信側の論理アドレスが除外論理アドレスである場合には、該アドレス応答を不正なアドレス応答として判断しない。
The illegal address
以上のように構成されたネットワーク監視装置30の動作を、図12を参照して説明する。
The operation of the
まず、不正アドレス応答検出部32は、本発明の第1の実施の形態と同様にステップS1を実行することにより、ネットワーク82上の通信におけるアドレス応答を検出する。
First, the illegal address
次に、不正アドレス応答検出部32は、アドレス応答に含まれる発信側の論理アドレスが、除外論理アドレスであるか否かを判断する(ステップS22)。
Next, the illegal address
ここで、除外論理アドレスであると判断された場合、ネットワーク監視装置30の動作は終了する。
Here, when it is determined that the address is an excluded logical address, the operation of the
一方、除外論理アドレスでないと判断された場合、ネットワーク監視装置30は、ステップS2〜S4まで、本発明の第1の実施の形態と同様に動作することにより、不正なアドレス応答の検出および修復を行う。
On the other hand, if it is determined that the logical address is not an excluded logical address, the
以上で、ネットワーク監視装置30は動作を終了する。
Thus, the
次に、本発明の第3の実施の形態の効果について述べる。 Next, effects of the third exemplary embodiment of the present invention will be described.
本発明の第3の実施の形態としてのネットワーク監視装置は、多大な導入コストを必要としない中間者攻撃の防御技術を、偽装アドレス応答を用いた不正接続防止技術と共存させることができる。 The network monitoring apparatus according to the third embodiment of the present invention can coexist a man-in-the-middle attack protection technique that does not require a large introduction cost with an unauthorized connection prevention technique using a forged address response.
その理由は、除外論理アドレス記憶部が除外論理アドレスを記憶しておき、不正アドレス応答検出部が、検出したアドレス応答に含まれる発信側の論理アドレスが除外論理アドレスである場合には、検出したアドレス応答は不正なものではないと判断するからである。 The reason is that the exclusion logical address storage unit stores the exclusion logical address, and the illegal address response detection unit detects that the originating logical address included in the detected address response is an exclusion logical address. This is because it is determined that the address response is not illegal.
これにより、本発明の第3の実施の形態は、除外論理アドレス記憶部にあらかじめ不正接続防止装置の論理アドレスを記憶しておくことにより、不正接続防止装置により送信される偽装アドレス応答を不正なアドレス応答として判断しない。その結果、本実施の形態は、不正接続防止装置により接続が防止された未登録端末には、修復したアドレス応答を送信することがない。 As a result, the third embodiment of the present invention stores the logical address of the unauthorized connection prevention device in advance in the excluded logical address storage unit so that the spoofed address response transmitted by the unauthorized connection prevention device is illegal. Not determined as an address response. As a result, in the present embodiment, the repaired address response is not transmitted to an unregistered terminal whose connection is prevented by the unauthorized connection prevention apparatus.
なお、本発明の第3の実施の形態において、除外論理アドレス記憶部は、不正接続防止装置の論理アドレスに限らず、不正なアドレス応答の送信元としての判断対象から除外することが適切なその他の装置の論理アドレスを記憶してもよい。また、除外論理アドレス記憶部は、1つ以上の論理アドレスを記憶していてもよい。 In the third embodiment of the present invention, the excluded logical address storage unit is not limited to the logical address of the unauthorized connection prevention device, but may be appropriately excluded from the determination target as the transmission source of the unauthorized address response. The logical address of the device may be stored. Further, the excluded logical address storage unit may store one or more logical addresses.
また、上述した本発明の各実施の形態において、アドレス要求およびアドレス応答がARPに基づくものである例を中心に説明したが、アドレス要求およびアドレス応答は、その他のプロトコルに基づくものであってもよい。 In each of the embodiments of the present invention described above, the example in which the address request and the address response are based on ARP has been mainly described. However, the address request and the address response may be based on other protocols. Good.
また、上述した本発明の各実施の形態において、監視対象のネットワークに対して1つのネットワーク監視装置を接続する例を中心に説明したが、ネットワーク構成に応じて、ネットワーク上の通信を監視可能に複数のネットワーク監視装置を接続してもよい。 Further, in each of the embodiments of the present invention described above, an example in which one network monitoring device is connected to a monitoring target network has been described. However, according to the network configuration, communication on the network can be monitored. A plurality of network monitoring devices may be connected.
また、上述した本発明の第2の実施の形態において、ネットワーク監視装置が、ルータのミラーポートに接続されることによりネットワーク上の通信を監視する接続例を説明した。その他、各実施の形態としてのネットワーク監視装置は、ネットワーク上の通信を監視可能であれば、その他の接続形態によりネットワークに接続されていてもよい。 Further, in the above-described second embodiment of the present invention, the connection example has been described in which the network monitoring device monitors the communication on the network by being connected to the mirror port of the router. In addition, the network monitoring device as each embodiment may be connected to the network by other connection modes as long as it can monitor communication on the network.
また、上述した本発明の各実施の形態において、ネットワーク監視装置は、ルータ、アドレス配布サーバ、または、不正接続防止装置と同一の装置上に実現されていてもよい。あるいは、ネットワーク監視装置の各機能ブロックは、異なる装置に分散されて実現されていてもよい。 In each embodiment of the present invention described above, the network monitoring device may be realized on the same device as the router, the address distribution server, or the unauthorized connection prevention device. Alternatively, each functional block of the network monitoring device may be realized by being distributed to different devices.
また、上述した本発明の各実施の形態において、各フローチャートを参照して説明したネットワーク監視装置の動作を、本発明のコンピュータ・プログラムとしてコンピュータ装置の記憶装置(記憶媒体)に格納しておき、係るコンピュータ・プログラムを当該CPUが読み出して実行するようにしてもよい。そして、このような場合において、本発明は、係るコンピュータ・プログラムのコードあるいは記憶媒体によって構成される。 In each embodiment of the present invention described above, the operation of the network monitoring device described with reference to each flowchart is stored in a storage device (storage medium) of the computer device as a computer program of the present invention. Such a computer program may be read and executed by the CPU. In such a case, the present invention is constituted by the code of the computer program or a storage medium.
また、上述した各実施の形態は、適宜組み合わせて実施されることが可能である。 Moreover, each embodiment mentioned above can be implemented in combination as appropriate.
また、本発明は、上述した各実施の形態に限定されず、様々な態様で実施されることが可能である。 The present invention is not limited to the above-described embodiments, and can be implemented in various modes.
10、20、30 ネットワーク監視装置
11 アドレス対応情報記憶部
12、32 不正アドレス応答検出部
13 修復アドレス応答送信部
24 アドレス対応情報登録部
35 除外論理アドレス記憶部
80、81、82 ネットワーク
90 通信装置
91 アドレス配布サーバ
92 ルータ
93 不正端末
94 不正接続防止装置
1001 CPU
1002 RAM
1003 ROM
1004 記憶装置
1005 ネットワークインタフェース
10, 20, 30
1002 RAM
1003 ROM
1004
Claims (9)
前記各通信装置が接続されるネットワーク上において、前記論理アドレスに対する物理アドレスの解決要求に対する応答を表すアドレス応答を検出し、検出したアドレス応答に含まれる発信側の論理アドレスおよび発信側の物理アドレスの組み合わせが前記アドレス対応情報記憶部に記憶されていない場合に、不正なアドレス応答であると判断する不正アドレス応答検出部と、
前記アドレス対応情報記憶部を参照することにより前記不正なアドレス応答を修復し、前記不正なアドレス応答の送信先に対して、修復したアドレス応答を送信する修復アドレス応答送信部と、
を備えたネットワーク監視装置。 An address correspondence information storage unit for storing address correspondence information representing a correspondence relationship between a logical address and a physical address of each communication device;
On the network to which each of the communication devices is connected, an address response representing a response to the physical address resolution request for the logical address is detected, and the logical address of the caller and the physical address of the caller included in the detected address response are detected. An illegal address response detection unit that determines an illegal address response when a combination is not stored in the address correspondence information storage unit;
A repaired address response transmission unit that repairs the unauthorized address response by referring to the address correspondence information storage unit and transmits the repaired address response to the transmission destination of the unauthorized address response;
Network monitoring device with
前記不正アドレス応答検出部は、前記アドレス応答に含まれる発信側の論理アドレスが前記除外論理アドレスである場合には、該アドレス応答を不正なアドレス応答と判断しないことを特徴とする請求項1または請求項2に記載のネットワーク監視装置。 An exclusion logical address storage unit that stores an exclusion logical address to be excluded from a target to be determined as a sender of an illegal address response;
2. The illegal address response detection unit does not determine that the address response is an illegal address response when a logical address on the transmission side included in the address response is the excluded logical address. The network monitoring device according to claim 2.
前記各通信装置が接続されるネットワーク上において、前記論理アドレスに対する物理アドレスの解決要求に対する応答を表すアドレス応答を検出し、
検出したアドレス応答に含まれる発信側の論理アドレスおよび発信側の物理アドレスの組み合わせを表す前記アドレス対応情報を記憶していない場合に、不正なアドレス応答であると判断し、
前記アドレス対応情報を参照することにより前記不正なアドレス応答を修復し、
前記不正なアドレス応答の送信先に対して、修復したアドレス応答を送信する、ネットワーク監視方法。 Store address correspondence information representing the correspondence between logical addresses and physical addresses of each communication device,
Detecting an address response representing a response to a resolution request of a physical address for the logical address on a network to which each of the communication devices is connected;
If the address correspondence information indicating the combination of the logical address of the caller and the physical address of the caller included in the detected address response is not stored, it is determined that the address response is invalid.
Repairing the invalid address response by referring to the address correspondence information;
A network monitoring method for transmitting a repaired address response to a destination of the illegal address response.
検出したアドレス配布応答に含まれるアドレス配布先の物理アドレスおよび配布される論理アドレスの対応関係を表す前記アドレス対応情報を記憶することを特徴とする請求項4に記載のネットワーク監視方法。 Further, an address distribution response transmitted to each communication device by the address distribution server is detected,
5. The network monitoring method according to claim 4, wherein the address correspondence information indicating a correspondence relationship between a physical address of an address distribution destination included in the detected address distribution response and a logical address to be distributed is stored.
前記アドレス応答に含まれる発信側の論理アドレスが前記除外論理アドレスである場合には、該アドレス応答を不正なアドレス応答と判断しないことを特徴とする請求項4または請求項5に記載のネットワーク監視方法。 In addition, an excluded logical address to be excluded from a target to be determined as the sender of an illegal address response is further stored,
The network monitoring according to claim 4 or 5, wherein when the logical address of the caller included in the address response is the excluded logical address, the address response is not determined as an illegal address response. Method.
前記各通信装置が接続されるネットワーク上において、前記論理アドレスに対する物理アドレスの解決要求に対する応答を表すアドレス応答を検出し、検出したアドレス応答に含まれる発信側の論理アドレスおよび発信側の物理アドレスの組み合わせが前記アドレス対応情報記憶部に記憶されていない場合に、不正なアドレス応答であると判断する不正アドレス応答検出ステップと、
前記アドレス対応情報記憶部を参照することにより前記不正なアドレス応答を修復し、前記不正なアドレス応答の送信先に対して、修復したアドレス応答を送信する修復アドレス応答送信ステップと、
をコンピュータ装置に実行させるコンピュータ・プログラム。 Using an address correspondence information storage unit that stores address correspondence information representing the correspondence between logical addresses and physical addresses of each communication device,
On the network to which each of the communication devices is connected, an address response representing a response to the physical address resolution request for the logical address is detected, and the logical address of the caller and the physical address of the caller included in the detected address response are detected. An illegal address response detection step for determining that the combination is an illegal address response when a combination is not stored in the address correspondence information storage unit;
A repaired address response transmission step of repairing the unauthorized address response by referring to the address correspondence information storage unit and transmitting the repaired address response to the transmission destination of the unauthorized address response;
Is a computer program that causes a computer device to execute.
前記不正アドレス応答検出ステップにおいて、前記アドレス応答に含まれる発信側の論理アドレスが前記除外論理アドレスである場合には、該アドレス応答を不正なアドレス応答と判断しないことを特徴とする請求項7または請求項8に記載のコンピュータ・プログラム。 Further using an excluded logical address storage unit that stores an excluded logical address to be excluded from a target to be determined as a sender of an illegal address response,
8. The illegal address response detection step, wherein the address response is not determined to be an illegal address response when the logical address of the caller included in the address response is the excluded logical address. The computer program according to claim 8.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013019678A JP2014150504A (en) | 2013-02-04 | 2013-02-04 | Network monitoring device, network monitoring method, and computer program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013019678A JP2014150504A (en) | 2013-02-04 | 2013-02-04 | Network monitoring device, network monitoring method, and computer program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2014150504A true JP2014150504A (en) | 2014-08-21 |
Family
ID=51573137
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013019678A Pending JP2014150504A (en) | 2013-02-04 | 2013-02-04 | Network monitoring device, network monitoring method, and computer program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2014150504A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6058857B1 (en) * | 2016-08-05 | 2017-01-11 | 株式会社ナビック | Network monitoring device, network monitoring system, and network monitoring method |
CN111917703A (en) * | 2019-05-10 | 2020-11-10 | 阿自倍尔株式会社 | Monitoring device and monitoring method |
-
2013
- 2013-02-04 JP JP2013019678A patent/JP2014150504A/en active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6058857B1 (en) * | 2016-08-05 | 2017-01-11 | 株式会社ナビック | Network monitoring device, network monitoring system, and network monitoring method |
CN111917703A (en) * | 2019-05-10 | 2020-11-10 | 阿自倍尔株式会社 | Monitoring device and monitoring method |
CN111917703B (en) * | 2019-05-10 | 2023-05-09 | 阿自倍尔株式会社 | Monitoring device and monitoring method |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110445770B (en) | Network attack source positioning and protecting method, electronic equipment and computer storage medium | |
US11057404B2 (en) | Method and apparatus for defending against DNS attack, and storage medium | |
JP4174392B2 (en) | Network unauthorized connection prevention system and network unauthorized connection prevention device | |
US8661544B2 (en) | Detecting botnets | |
JP6138714B2 (en) | Communication device and communication control method in communication device | |
JPWO2005036831A1 (en) | Frame relay device | |
JP2008177714A (en) | Network system, server, ddns server, and packet relay device | |
US20210112093A1 (en) | Measuring address resolution protocol spoofing success | |
CN112383559B (en) | Address resolution protocol attack protection method and device | |
JP2007104396A (en) | Unjust connection preventing system, method, and program | |
JP2014150504A (en) | Network monitoring device, network monitoring method, and computer program | |
JP6418232B2 (en) | Network management device, network system, network management method and program | |
Fayyaz et al. | Using JPCAP to prevent man-in-the-middle attacks in a local area network environment | |
JP5267893B2 (en) | Network monitoring system, network monitoring method, and network monitoring program | |
JP2019041176A (en) | Unauthorized connection blocking device and unauthorized connection blocking method | |
CN114024731A (en) | Message processing method and device | |
KR101188308B1 (en) | Pseudo packet monitoring system for address resolution protocol spoofing monitoring of malicious code and pseudo packet monitoring method therefor | |
JPWO2016170598A1 (en) | Information processing apparatus, method, and program | |
CN110401646A (en) | CGA parameter detection method and device in IPv6 safety neighbor discovering transitional environment | |
KR102425707B1 (en) | Fraud detection device and fraud detection method | |
CN110768983B (en) | Message processing method and device | |
US20230269236A1 (en) | Automatic proxy system, automatic proxy method and non-transitory computer readable medium | |
Miglani et al. | Feasibility analysis of different methods for prevention against ARP spoofing | |
Sharma et al. | A new approach to prevent ARP spoofing | |
JP2023032671A (en) | Security management device |