JP2014517593A - 遮断サーバを用いたスプーフィング攻撃に対する防御方法 - Google Patents

遮断サーバを用いたスプーフィング攻撃に対する防御方法 Download PDF

Info

Publication number
JP2014517593A
JP2014517593A JP2014510237A JP2014510237A JP2014517593A JP 2014517593 A JP2014517593 A JP 2014517593A JP 2014510237 A JP2014510237 A JP 2014510237A JP 2014510237 A JP2014510237 A JP 2014510237A JP 2014517593 A JP2014517593 A JP 2014517593A
Authority
JP
Japan
Prior art keywords
address
mac address
arp packet
client
arp
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014510237A
Other languages
English (en)
Other versions
JP5826920B2 (ja
Inventor
ジュン セオブ キム
ウー ヤン ジュン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ESTsoft Corp
Original Assignee
ESTsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ESTsoft Corp filed Critical ESTsoft Corp
Publication of JP2014517593A publication Critical patent/JP2014517593A/ja
Application granted granted Critical
Publication of JP5826920B2 publication Critical patent/JP5826920B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/40Support for services or applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Abstract

【課題】
遮断サーバを用いたスプーフィング(なりすまし)攻撃に対する防御方法に係り、さらに詳しくは、ネットワーク網の内部のクライアントに受信されるARPパケットに含まれているIP及びMACアドレスを検査して、スプーフィング攻撃に用いられるものであると確認されれば、正常のIPアドレスと対応するMACアドレスに変更することを特徴とする遮断サーバを用いたスプーフィング攻撃に対する防御方法の提供。
【解決手段】
本発明によれば、ネットワーク網に対するスプーフィング攻撃を遮断するに当たって、ネットワーク網に接続された正常ハードウェアに関するIPアドレス及びMACアドレスを予め格納して監視することができるので、早い時間内に正確な防御が可能になるという効果がある。
【選択図】図1

Description

本発明は、遮断サーバを用いたスプーフィング(なりすまし)攻撃に対する防御方法に係り、さらに詳しくは、ネットワーク網の内部のクライアントに受信されるARPパケットに含まれているIP及びMACアドレスを検査して、スプーフィング攻撃に用いられるものであると確認されれば、正常のIPアドレスと対応するMACアドレスに変更することを特徴とする遮断サーバを用いたスプーフィング攻撃に対する防御方法に関する。
インターネットの使用がますます増大するに伴い、ハッキングの技術もまた増大しており、現在に至ってはハッキングプログラムなどがネットワーク上に散在する状況にまで至ってしまい、今度は、専門家ではなく、一般人もハッカーになりうるという状況に至ってしまった。
このように、DoS、DDoS、スニッフィングまたはハイジャックなどのハッキングのために用いられる根本的な手段が、ARPまたはIPスプーフィングである。これらのうち、アドレス解決プロトコル(ARP:Address Resolution Protocol)スプーフィングは、発信者(送り手)のハードウェアアドレスと発信者のIPアドレスを操作することであり、ローカルネットワークにおいて、他のシステムのIPアドレスに対して、攻撃システムのMACアドレスをARPリプライパケットのソース情報として用いて、ローカルネットワーク内の他のルータやスイッチ、ホストのARPテーブルを変更することにより、攻撃システムのIPアドレスではないパケットを、攻撃システムのMACアドレスを付けて攻撃システムに転送する攻撃技法である。
また、IPスプーフィングは、自分のソースIPを変更して他のシステムに自分が誰であるか隠したり、他のシステムであると誤認させたりする攻撃のための手段として用いられる。
現在、ARPやIPスプーフィング攻撃による被害は、ハッキング被害のほとんどを占めると認められ、誰かがインターネットに載っているスプーフィングツールを用いて特定のホストを攻撃したり、網内にある情報を盗み見することによりセキュリティが維持されるべき個人情報が盗用されやすくなったりするのが現状である。
例えば、ARPスプーフィングを用いて同じ内部ネットワークに接続された他のホストにおいて行われる種々のIPパケットを盗み見することにより、個人情報が流出される虞があり、金融情報さえ露出される危険があり、特定のサーバの管理者レベルのID及びパスワードを盗み見することにより、サーバ情報を自分勝手に操作することが可能であるのが現状である。さらには、IPスプーフィングを行って外部ネットワーク上において行われるオンライン作業を盗み見する場合に一層多くのシステムが攻撃に露出されやすくなる。
このようなスプーフィングを防ぐために現在用いられている技法としては、フィルタリング機能付きルータを用いて、外部網から入ってくるIPパケットに対してそれぞれのポートに接続されたホストに関する個別のIPアドレスを用いることなく、ローカルネットワークに割り当てられたIPネットワークアドレス及びマスクを用いてフィルタリングを行う方法がある。しかしながら、前記方法は、フィルタリングに各ホストの個別のIPアドレスではなく、ローカルネットワークアドレスを用いるため、攻撃者が任意のローカルネットワークの他のアドレスを用いてスプーフィングを行う場合に、これを突き止めることができないだけではなく、ARPスプーフィングに対しては全く対応することができないという問題点があった。
上述した問題点を解消するための本発明は、各クライアントPCが遮断サーバから得たネットワーク網内の全てのクライアントPCの有効なIP−MACアドレス情報を含んでいる許容IP−MACアドレス一覧及び遮断MACアドレス一覧を用いてARPテーブル及びARPパケットを検査することにより、ARPスプーフィング攻撃にリアルタイムにてまたは事後に対応できるようにする遮断サーバを用いたスプーフィング攻撃に対する防御方法を提供することを目的とする。
また、本発明は、許容IP−MACアドレス一覧及び遮断IP−MACアドレス一覧を遮断サーバまたは各クライアントに格納して遮断サーバやクライアントが独自的にスプーフィング攻撃を監視及び遮断できるようにする遮断サーバを用いたスプーフィング攻撃に対する防御方法を提供することを目的とする。
上述の問題点を解消するために案出された本発明は、ネットワーク網の内部のL2スイッチ104を介して中継されるARPパケットに含まれているIPアドレス及びMACアドレスを検査して、スプーフィング攻撃がなされていると判断されれば、前記ARPパケットの伝送を遮断する防御方法であって、遮断サーバ108のアドレス収集部108−1が、前記ネットワーク網の内部に接続されたクライアント106のIPアドレス及びMACアドレスを収集する第1ステップと、前記アドレス収集部108−1が、前記第1ステップにおいて収集した前記IPアドレス及び前記MACアドレスを互いに対応付けた許容IP−MACアドレス一覧を生成し、前記許容IP−MACアドレス一覧を許容アドレスDB108−3に格納する第2ステップと、前記アドレス収集部108−1が、前記ネットワーク網の内部に接続されたクライアント106のうち、スプーフィング攻撃をする攻撃者が用いるクライアント106のMACアドレスに関する情報である遮断MACアドレス一覧を遮断アドレスDB108−4に格納する第3ステップと、前記クライアント106にARPパケットが流入すれば、前記クライアント106のARPパケット処理部106−1cは、前記ARPパケットに含まれている送信者のIPアドレス及びMACアドレスを抽出して前記遮断サーバ108に伝送しながらスプーフィング攻撃有無の検査を要請する第4ステップと、遮断サーバ108のアドレス検査部108−2の検査結果、前記第4ステップにおいて抽出された送信者のMACアドレスが前記遮断アドレスDB108−4に格納された遮断MACアドレス一覧に含まれている場合に、前記ARPパケットが感染ARPパケットであるということを前記遮断サーバ108が前記クライアント106に通報する第5ステップと、前記ARPパケット処理部106−1cが、前記感染ARPパケットの送受信を遮断する第6ステップと、を含む。
前記第5ステップは、前記第4ステップにおいて抽出された送信者のMACアドレスが前記遮断MACアドレス一覧に含まれていない場合に、前記送信者のIPアドレス及びMACアドレスが前記許容IP−MACアドレス一覧にないか、あるいは、前記送信者のIPアドレス及びMACアドレスが前記許容IP−MACアドレス一覧にマッピングされてアドレス対として格納されている許容IP−MACアドレスの構成と異なれば、前記ARPパケットを疑いのあるARPパケットとして定義する第5−1ステップと、前記アドレス検査部108−2が、単位時間の間に前記クライアント106に流入したARPパケットのうち、前記疑いのあるARPパケットに含まれている送信者のMACアドレスと同じ送信者のMACアドレスを有するARPパケットの伝送数を累積する第5−2ステップと、所定の時間の間に累積された伝送数が臨界値を超える場合に、前記疑いのあるARPパケットを感染ARPパケットとして分類する第5−3ステップと、をさらに含む。
他の実施形態に係る本発明は、ネットワーク網の内部のL2スイッチ104を介して中継されるARPパケットに含まれているIPアドレス及びMACアドレスを検査して、スプーフィング攻撃がなされていると判断されれば、前記ARPパケットの伝送を遮断する防御方法であって、遮断サーバ108のアドレス収集部108−1が、前記ネットワーク網の内部に接続されたクライアント106のIPアドレス及びMACアドレスを収集する第1ステップと、前記アドレス収集部108−1が、前記第1ステップにおいて収集した前記IPアドレス及び前記MACアドレスを互いに対応付けた許容IP−MACアドレス一覧を生成し、前記許容IP−MACアドレス一覧を許容アドレスDB108−3に格納する第2ステップと、前記アドレス収集部108−1が、前記ネットワーク網の内部に接続されたクライアント106のうち、スプーフィング攻撃をする攻撃者が用いるクライアント106のMACアドレスに関する情報である遮断MACアドレス一覧を遮断アドレスDB108−4に格納する第3ステップと、前記クライアント106のARPテーブル保護部106−1bが、前記クライアント106のARPテーブルに含まれているARPエントリのIPアドレス及びMACアドレスを抽出して前記遮断サーバ108に伝送しながらスプーフィング攻撃有無の検査を要請する第4ステップと、遮断サーバ108のアドレス検査部108−2の検査結果、前記第4ステップにおいて抽出されたMACアドレスが前記遮断アドレスDB108−4に格納された遮断MACアドレス一覧に含まれている場合に、前記ARPエントリが感染ARPエントリであるということを前記遮断サーバ108が前記クライアント106に通報する第5ステップと、前記ARPテーブル保護部106−1bが、前記感染ARPエントリに含まれているIPアドレスを抽出し、前記抽出されたIPアドレスと対応付けられて格納された正常MACアドレスを前記許容IP−MACアドレス一覧から照会する第6ステップと、前記ARPテーブル保護部106−1bが、前記感染ARPエントリのMACアドレスを前記照会された正常MACアドレスに変更する第7ステップと、を含む。
さらに他の実施形態に係る本発明は、ネットワーク網の内部のL2スイッチ104を介して中継されるARPパケットに含まれているIPアドレス及びMACアドレスを検査してスプーフィング攻撃がなされていると判断されれば、前記ARPパケットの伝送を遮断する防御方法であって、遮断サーバ108のアドレス収集部108−1が、前記ネットワーク網の内部に接続されたクライアント106のIPアドレス及びMACアドレスを収集する第1ステップと、前記アドレス収集部108−1が、前記第1ステップにおいて収集した前記IPアドレス及び前記MACアドレスを互いに対応付けた許容IP−MACアドレス一覧を生成し、前記許容IP−MACアドレス一覧を前記クライアント106の許容アドレスDB106−1dに格納する第2ステップと、前記アドレス収集部108−1が、前記ネットワーク網の内部に接続されたクライアント106のうち、スプーフィング攻撃をする攻撃者が用いるクライアント106のMACアドレスに関する情報である遮断MACアドレス一覧を前記クライアント106の遮断アドレスDB106−1eに格納する第3ステップと、前記クライアント106にARPパケットが流入すれば、前記クライアント106のARPパケット処理部106−1cは、前記ARPパケットに含まれている送信者のIPアドレス及びMACアドレスを抽出してスプーフィング攻撃の有無を検査する第4ステップと、前記第4ステップにおいて抽出された送信者のMACアドレスが前記遮断MACアドレス一覧に含まれている場合に、前記ARPパケット処理部106−1cが、前記ARPパケットを感染ARPパケットとして分類する第5ステップと、前記ARPパケット処理部106−1cが、前記感染ARPパケットの送受信を遮断する第6ステップと、を含む。
前記第5ステップは、前記第4ステップにおいて抽出された送信者のMACアドレスが前記遮断MACアドレス一覧に含まれていない場合に、前記送信者のIPアドレス及びMACアドレスが前記許容IP−MACアドレス一覧にないか、あるいは、前記送信者のIPアドレス及びMACアドレスが前記許容IP−MACアドレス一覧にマッピングされてアドレス対として格納されている許容IP−MACアドレスの構成と異なれば、前記ARPパケットを疑いのあるARPパケットとして定義する第5−1ステップと、前記ARPパケット処理部106−1cが、単位時間の間に前記クライアント106に流入したARPパケットのうち、前記疑いのあるARPパケットに含まれている送信者のMACアドレスと同じ送信者MACアドレスを有するARPパケットの伝送数を累積する第5−2ステップと、所定の時間の間に累積された伝送数が臨界値を超える場合に、前記疑いのあるARPパケットを感染ARPパケットとして分類する第5−3ステップと、をさらに含む。
さらに他の実施形態に係る本発明は、ネットワーク網の内部のL2スイッチ104を介して中継されるARPパケットに含まれているIPアドレス及びMACアドレスを検査してスプーフィング攻撃がなされていると判断されれば、前記ARPパケットの伝送を遮断する防御方法であって、遮断サーバ108のアドレス収集部108−1が、前記ネットワーク網の内部に接続されたクライアント106のIPアドレス及びMACアドレスを収集する第1ステップと、前記アドレス収集部108−1が、前記第1ステップにおいて収集した前記IPアドレス及び前記MACアドレスを互いに対応付けた許容IP−MACアドレス一覧を生成し、前記許容IP−MACアドレス一覧を前記クライアント106の許容アドレスDB106−1dに格納する第2ステップと、前記アドレス収集部108−1が、前記ネットワーク網の内部に接続されたクライアント106のうち、スプーフィング攻撃をする攻撃者が用いるクライアント106のMACアドレスに関する情報である遮断MACアドレス一覧を前記クライアント106の遮断アドレスDB106−1eに格納する第3ステップと、前記クライアント106のARPテーブル保護部106−1bが、前記クライアント106のARPテーブルに含まれているARPエントリのIPアドレス及びMACアドレスを抽出してスプーフィング攻撃の有無を検査する第4ステップと、前記第4ステップにおいて抽出されたMACアドレスが前記遮断MACアドレス一覧に含まれている場合に、前記ARPテーブル保護部106−1bが、前記ARPエントリを感染ARPエントリとして分類する第5ステップと、前記ARPテーブル保護部106−1bが、前記感染ARPエントリに含まれているIPアドレスを抽出し、前記抽出されたIPアドレスと対応付けられて格納された正常MACアドレスを前記許容IP−MACアドレス一覧から照会する第6ステップと、前記ARPテーブル保護部106−1bが、前記感染ARPエントリのMACアドレスを前記照会された正常MACアドレスに変更する第7ステップと、を含む。
さらに他の実施形態に係る本発明は、ネットワーク網の内部のL2スイッチ104を介して中継されるARPパケットに含まれているIPアドレス及びMACアドレスを検査してスプーフィング攻撃がなされていると判断されれば、前記ARPパケットの伝送を遮断する防御方法であって、特定のクライアント106に設けられている装置のIPアドレス及びMACアドレスを収集する第1ステップと、第1ステップにおいて収集した前記IPアドレス及び前記MACアドレスを互いに対応付けたローカルIP−MACアドレス一覧を前記クライアント106の許容アドレスDB106−1dに格納する第2ステップと、前記特定のクライアント106からARPパケットが送信されるとき、前記特定のクライアント106のARPパケット処理部106−1cは、前記送信されるARPパケットに含まれている送信者のIPアドレス及びMACアドレスを抽出してスプーフィング攻撃の有無を検査する第2ステップと、第2ステップにおいて抽出された送信者のIPアドレスが前記ローカルIP−MACアドレス一覧に含まれていないか、あるいは、抽出された送信者のIPアドレスと同じIPアドレスに対応付けられて格納されたMACアドレスが前記送信されるARPパケットに含まれている送信者のMACアドレスとは異なる場合に、前記ARPパケット処理部106−1cが、前記送信されるARPパケットを感染ARPパケットとして分類する第3ステップと、前記ARPパケット処理部106−1cが、前記感染ARPパケットの送信を遮断する第4ステップと、を含む。
本発明によれば、ネットワーク網に対するスプーフィング攻撃を遮断するに当たって、ネットワーク網に接続された正常ハードウェアに関するIPアドレス及びMACアドレスを予め格納して監視することができるので、早い時間内に正確な防御が可能になるという効果がある。
また、遮断サーバだけではなく、それぞれのクライアントにも許容アドレス一覧及び遮断アドレス一覧を格納し、それぞれのクライアントが攻撃の感知と防御を行うことができるので、遮断サーバの負荷を低減し、攻撃への対応時間を短縮することができるという効果がある。
本発明の実施形態に係る遮断サーバが含まれているネットワーク網の構成要素を示すブロック図。 図1の遮断サーバの構成要素を示すブロック図。 図1のクライアントの構成要素を示すブロック図。 スプーフィング攻撃を遮断する過程を示す手順図。 スプーフィング攻撃であると疑われるパケットを監視する過程を示す手順図。
以下、添付図面に基づき、本発明の実施形態に係る「遮断サーバを用いたスプーフィング攻撃に対する防御方法」(以下、「防御方法」と称する。)について説明する。
図1は、本発明の実施形態に係る遮断サーバが含まれているネットワーク網の構成要素を示すブロック図であり、図2は、図1の遮断サーバの構成要素を示すブロック図であり、そして図3は、図1のクライアントの構成要素を示すブロック図である。
本発明の実施形態に係るスプーフィング攻撃に対する防御方法は、ネットワーク網に含まれているL2スイッチ104の下端に接続されたクライアント106と、それぞれのクライアント106と接続された遮断サーバ108と、手動で遮断対象を入力する管理者端末110と、によって行われる。クライアント106は、クライアント1106−1からクライアントN106−NまでのN個の端末から構成される。
クライアント1106−1〜クライアントN106−Nは、ARPを介して互いにIPパケットを送受する。このために、ARPパケットには、クライアント1106−1〜クライアントN106−NのIPアドレスとマッピングされたMACアドレスが含まれる。
遮断サーバ108は、IP−MACアドレス一覧収集手順によりクライアント106または管理者端末110から有効なIP−MACアドレス一覧を受け取り、これを基に許容IP−MACアドレス一覧を構成する。遮断サーバ108は、許容IP−MACアドレス一覧を有していて、L2スイッチ104を介して出入するARPパケットを検査してスプーフィング攻撃であるか否かを判断する。
遮断サーバ108は、許容IP−MACアドレス一覧をそれぞれのクライアント106に伝送して格納するようにし、クライアント106が直接的にスプーフィング攻撃を監視できるようにしてもよい。
本発明においては、クライアント106のIPアドレスと、これに対応するMACアドレス(それぞれのクライアントに設けられたアダプタのMACアドレス)とを組み合わせて「IP−MACアドレス」とする。
クライアント106は、ARPスプーフィング攻撃検査ステップにおいて、ARPテーブル保護部106−1b及びARPパケット処理部106−1cを介してARPテーブルの感染有無を検査し、クライアント106に出入するARPパケットを検査する。
ARPテーブル保護部106−1bは、クライアント106に設けられたARPテーブルの全てのARPエントリを把握する。ARPエントリの把握は、周期的に行われてもよく、遮断アドレスに関する情報が更新される度に行われてもよい。ARPエントリのうち、感染ARPエントリがある場合には、攻撃遮断過程が行われる。
ARPパケット処理部106−1cは、ARPパケットがクライアント106に入ってくる度にARPパケットの感染有無を検査する。
検査過程において発見された感染ARPエントリあるいは感染ARPパケットは、遮断サーバ108によってARPスプーフィング攻撃遮断ステップにおいて処理され(図4参照)、疑いのあるARPエントリあるいは疑いのあるARPパケットは、疑いのあるMACアドレス確認要請ステップにおいて処理される(図5参照)。
図4は、スプーフィング攻撃を遮断する過程を示す手順図であり、図5は、スプーフィング攻撃であると疑われるパケットを監視する過程を示す手順図である。
以下、図1乃至図5に基づき、本発明の実施形態に係る遮断サーバ108の動作過程について説明する。
遮断サーバ108は、ネットワーク網の内部の全てのクライアント106のIP−MACアドレス一覧を収集して格納する(ステップS102)。遮断サーバ108が収集する対象は、ローカルネットワークを構成する全ての端末を網羅し、一つのルータ102の下部に接続された全てのL2スイッチ104及びクライアント106をも含む。
このために、ネットワーク網に含まれているクライアント106は、自分のIPアドレス及び全てのアダプタハードウェアのMACアドレスを収集して遮断サーバ108に伝送する。
IP−MACアドレスの収集及び伝送は、自動的に(周期的に)行われてもよく、装備の交替や追加などの所定のイベントが発生したときに行われてもよい。
クライアント106は、新たなアダプタを追加したり既存のアダプタを除去することによりアダプタ情報の変更が感知される場合に変更された最新のIP−MACアドレスを遮断サーバ108に伝送する。
IP−MACアドレスの収集は、管理者によって手動で行われてもよいが、ネットワーク網の管理者は、ネットワーク網に接続された1台以上の個別のクライアント106−1〜106−Nに関するIP−MACアドレスを収集して管理者端末110を介して遮断サーバ108に手動で入力する。
クライアント106によって自動的に収集されたり管理者によって手動で入力されたIP−MACアドレス情報は、遮断サーバ108に格納される。アドレス収集部108−1は、クライアント106または管理者端末110から入力される有効なIP−MACアドレス一覧を受け取る。
遮断サーバ108に格納されるIP−MACアドレス情報は、ネットワーク網に含まれている装置(スイッチ、クライアント)に関する有効なアドレス情報であるため、データパケットの交換が許容されるホワイトリストとなる。
本発明においては、歪曲されていない真のIP−MACアドレス一覧を許容IP−MACアドレス一覧として定義し、許容IP−MACアドレス一覧のうち、特定のクライアント106に設けられている装置に関するアドレス情報を当該のクライアント106のローカルIP−MACアドレス一覧であると称する。
ローカルIP−MACアドレス一覧は、主として特定のクライアント106によって自動的に生成されて遮断サーバ108に送られる。許容IP−MACアドレス一覧のうち、ローカルIP−MACアドレス一覧を除く残りの一覧は、管理者が手動で入力したり、クライアント106が攻撃監視過程において取得して入力したり、外部機関のセキュリティシステムから入手して格納する。
ローカルIP−MACアドレス一覧を特に別途に保管する理由は、クライアント106からのARPパケットの感染有無を確認するためである。クライアント106自身の全ての装置に関するMACアドレスを有している状況下で、クライアント106が他のホストに向かってARPパケットを送信するとき、送信されるARPパケットに含まれている送信者のIPアドレスがローカルIP−MACアドレス一覧に含まれていないか、あるいは、送信者のIPアドレスと同じIPアドレスに対応付けられて格納されたMACアドレスが送信されるARPパケットに含まれている送信者のMACアドレスとは異なれば、クライアント106自身が既にスプーフィング攻撃を受けてIPアドレス及びMACアドレスの変更がなされていると認められる。このときには、直ちにARPパケットの送信を遮断しなければならないが、このために、ローカルIP−MACアドレス一覧を別途に管理することが好ましい。
許容IP−MACアドレス一覧のIPアドレス及びMACアドレスの関係は、1:Nの関係である。すなわち、一つのIPアドレスを有するクライアント106に独立したMACアドレスを有する多数のアダプタが設けられうるため、一つのIPアドレスと多数のMACアドレスがそれぞれのアドレス対として格納されうる。
遮断サーバ108は、許容IP−MACアドレス一覧を管理するために自動的にクライアント106に許容IP−MACアドレス一覧を要請して受け取る方式や、管理者が手動で許容IP−MACアドレス一覧を入力すればこれを格納する方式に対応可能である。
一方、L2スイッチ104を介して中継されるARPパケットのイーサネットヘッダに記録された出発地(送信者)のMACアドレスがスプーフィング攻撃に用いられるものである場合には、遮断MACアドレス一覧に追加することにより今後のさらなる攻撃を防ぐことができる。
スプーフィング攻撃を試みる端末は、ネットワーク網に含まれているクライアント106のうちの一つであり、本発明における遮断MACアドレス一覧とは、攻撃者が用いるクライアント106のハードウェアアドレスを意味する。遮断MACアドレス一覧は、遮断サーバ108による持続的な監視と管理者の入力などにより生成及び追加可能である。
IPアドレスとこれに対応するMACアドレスを対にして対応付けて格納する許容IP−MACアドレス一覧とは異なり、遮断MACアドレス一覧には、パケット転送が遮断されるMACアドレスのみ記載される。これは、攻撃者がIPアドレスを任意に変調してARPパケットに含める場合にも同じMACアドレスを有するL2スイッチ104にデータが伝送されてスプーフィング攻撃が行われるため、これを防ぐために、IPアドレスとは無関係に同じMACアドレスを有するL2スイッチ104にデータパケットが伝送されないようにするためである。
遮断サーバ108は、許容IP−MACアドレス一覧及び遮断MACアドレス一覧をそれぞれ許容アドレスDB108−3及び遮断アドレスDB108−4に格納する。遮断サーバ108は、二つのDB108−3、108−4に格納された許容IP−MACアドレス一覧及び遮断MACアドレス一覧を基にネットワーク網を出入するARPパケットの感染有無を確認する。
また、遮断サーバ108は、特定のクライアント106がネットワーク網に接続される時点を通知されたとたんに、当該クライアント106に許容IP−MACアドレス一覧及び遮断MACアドレス一覧を伝送する。
許容IP−MACアドレス一覧及び遮断MACアドレス一覧に変動が発生すれば、遮断サーバ108は、ネットワーク網に含まれている全てのクライアント106に変動された許容IP−MACアドレス一覧及び遮断IP−MACアドレス一覧を伝送する。
クライアント106に伝送された許容IP−MACアドレス一覧及び遮断MACアドレス一覧は、クライアント106の内部に存在する許容アドレスDB106−1d及び遮断アドレスDB106−1eにそれぞれ格納される。クライアント106に許容IP−MACアドレス一覧及び遮断MACアドレス一覧を伝送して格納するようにすることは選択的に採択しうるポリシーであり、クライアント106がこのようなアドレス一覧を有している場合には、自分に入力されるARPパケットを自ら検査してスプーフィング攻撃の有無を判断することができる。もし、政策的な選択によってそれぞれのクライアント106にはアドレス一覧を伝送しないと設定すれば、ARPパケットが入力される度に遮断サーバ108が攻撃の有無を判断する。
ARPテーブル保護部106−1bは、新たな許容IP−MACアドレス一覧及び遮断MACアドレス一覧が伝送される度にクライアント106のARPテーブルに含まれているARPエントリを検査して感染の有無を検査する。
[遮断サーバにのみ許容アドレス一覧が格納された場合]
先ず、遮断サーバ108のみが許容IP−MACアドレス一覧及び遮断MACアドレス一覧を有している場合の検査過程について説明する。
L2スイッチ104は、ネットワーク網の内部において受け渡されるARPパケットを中継(受信及び送信)する(ステップS104)。
クライアント106にインストールされたネットワークフィルタドライバは、クライアント106に出入するARPパケットをリアルタイムにて検査する。ここで、ARPパケットとは、ARP要請(リクエスト)及びARP応答(リプライ)をはじめとするあらゆるオペレーションタイプのARPパケットのことをいう。
ARPパケットを受信したクライアント106のARPパケット処理部106−1cは、受信されたARPパケットに含まれている出発地(送信者)のIPアドレス及びMACアドレスを抽出して遮断サーバ108に伝送することにより、スプーフィング攻撃有無の検査を要請する(ステップS106)。また、ARPテーブル保護部106−1bは、ARPテーブルに含まれているARPエントリの出発地のIPアドレス及びMACアドレスを抽出して遮断サーバ108に伝送する。
検査要請は、所定の時間おきに周期的に行われてもよく、ARPパケットが入力される度にまたは許容または遮断アドレス一覧が変更される度に行われてもよい。
アドレス検査部108−2は、抽出されたIP−MACアドレスをDB108−3、108−4に格納されたアドレス一覧と比較してスプーフィング攻撃の有無を検査する(ステップS108)。
アドレス検査部108−2は、先ず、伝送されたARPパケットまたはARPエントリの出発地のMACアドレスと同じアドレスが遮断アドレスDB108−4に格納されているか否かを検査する。
攻撃者が用いるクライアント106から伝送されたARPパケットまたはARPエントリの出発地のMACアドレスが遮断アドレスDB108−4に格納されたIP−MACアドレス一覧のMACアドレスと同じであれば、このARPパケットは、変調されたMACアドレスにパケットデータを横取りしようとするスプーフィング攻撃に用いられるものであると判断することができ、これを感染ARPパケットと称する。
例えば、クライアント1106−1が攻撃者の端末であり、クライアント2106−2とクライアント3106−3との間において受け渡されるパケットを横取りしようとすると仮定する。
クライアント1106−1は、クライアント2106−2及びクライアント3106−3に感染ARPパケットを送って自分のMACアドレスを正常の受信者のアドレスであるようにだます。すなわち、クライアント2106−2のARPテーブルにおいてクライアント3106−3のMACアドレスを記録するところにクライアント1106−1のMACアドレスが記載されるようにし、クライアント3106−3のARPテーブルにおいてクライアント2106−2のMACアドレスを記録するところにクライアント1106−1のMACアドレスが記載されるようにする。
このように感染した場合には、クライアント2106−2がクライアント3106−3に送るパケットと、クライアント3106−3がクライアント2106−2に送るパケットが両方ともクライアント1106−1に転送される。クライアント1106−1は、クライアント2106−2及びクライアント3106−3から入力されるパケットをキャプチャして格納した後、再び正常の目的地に送ったり、パケットの転送を遮断して正常の通信が行われないようにする。
遮断サーバ108は、予め格納した全てのクライアント106のIP−MACアドレス対と新たに入力されるARPパケットまたはARPエントリに含まれているIP−MACアドレス対とを比較して、正常のMACアドレスを有するものであるか否かを判断する。
攻撃者クライアント106から入力された感染ARPパケットは、遮断サーバ108によって受信者のMACアドレスを有するクライアント106に伝送されないように遮断(ドロップ)され、クライアント106のARPテーブルは、正常の装置のMACアドレスに変更される。
伝送されたARPパケットまたはARPエントリの送信者(出発地)のMACアドレスと同じアドレスが遮断アドレスDB108−4に含まれていなければ、アドレス検査部108−2は、許容アドレスDB108−3を検査してこれと同じMACアドレスがあるか否かを判断する。
もし、送信者のIPアドレス及びMACアドレスの組み合わせが許容IP−MACアドレス一覧に格納された組み合わせの内容と同じであれば、このARPパケットは、正常の装置から送られたものであるため、スプーフィング攻撃とは無関係なものであるといえる。このため、ARPパケットに含まれている目的地のIP−MACアドレスに相当するクライアント106にデータパケットを伝送しなければならないが、その前に疑いのあるパケットに対する検査ステップを経る。
二つのDB108−3、108−4に格納されたアドレスのうち、送信者のMACアドレスと同じアドレスを見出すことができないか、あるいは、送信者のMACアドレスが遮断MACアドレス一覧にはないものの、IPアドレス及びMACアドレスの組み合わせが許容IP−MACアドレス一覧に格納された組み合わせの内容とは異なれば、未だ最終的に安全なパケットであるか、それとも感染されたパケットであるかを確定することができない状態である。このときには、疑いのあるARPパケットとして分類して別途の検査過程(図4におけるAステップとして図5に示す)を経るようにする。
流入したARPパケットの送信者のMACアドレスが遮断MACアドレス一覧になければ、感染パケットではない可能性が高いが、追加の2種類の条件の充足有無を確認した後に疑いのあるARPパケットとして分類する。
第一は、送信者のIPアドレス及びMACアドレスが許容IP−MACアドレス一覧にない場合である。換言すれば、遮断一覧にもないものの、許容一覧にもなければ、その送信者からは最初に入ってきたパケットである可能性が高いため疑いのあるARPパケットとして分類する。
第二は、送信者のIPアドレス及びMACアドレスが許容IP−MACアドレス一覧に個別的に含まれているものの、許容IP−MACアドレス一覧に格納された組み合わせとは異なる場合である。例えば、クライアント1106−1及びクライアント2106−2のIP−MACアドレスが[A−a]及び[B−b]とそれぞれマッピングされて許容IP−MACアドレス一覧にアドレス対として格納されているが、特定のクライアント106に入ってきたARPパケットの送信者のIP−MACアドレス対が[A−b]または[B−a]である場合をいう。それぞれのIPアドレスであるA、Bと、MACアドレスであるa、bが許容一覧にあるものの、マッピングされたアドレス対の構成要素が変更された場合であるため、スプーフィング攻撃によってアドレスが変更されたのではないかと疑う必要はある。
許容IP−MACアドレス一覧に格納されたアドレス対の内容と正確に一致しない場合には、直ちに感染ARPパケットとして分類して遮断してもよいが、ネットワーク網の内部の通信状況に応じてMACアドレスを変更する場合もありうるため、最終的な確認のために一応疑いのあるパケットとして分類する。
疑いのあるARPパケットについては、アドレス検査部108−2が単位時間の間に当該疑いのあるARPパケットの出発地MACアドレスと同じ出発地MACアドレスを有するARPパケットの伝送数を累積する(ステップS202)。
所定の時間の間に累積された数が特定の臨界値を超える場合には、ネットワーク網に対して持続的に過度なARPパケットを発送するのであるため、スプーフィング攻撃を試みていると見なせばよい(ステップS204)。通常は、1秒当たりに20回以上のARPパケットの発送が行われる場合にスプーフィング攻撃が試みられていると判断すればよいが、この数値はネットワークの状態に応じて変更可能である。次いで、疑いのあるARPパケットを感染ARPパケットとして分類して遮断過程が行われる。
一方、いずれかのクライアント106から他のクライアント106へのARPパケットについても同じ方法によりスプーフィング攻撃による感染の有無を判断することができる。
アドレス検査部108−2は、L2スイッチ104を経て他のクライアント106へ向かうARPパケットのイーサネットヘッダの出発地IPアドレス及び出発地MACアドレスがローカルIP−MACアドレス一覧に含まれるか否かを検査する。ローカルIP−MACアドレス一覧は、ネットワーク網に含まれている特定のクライアント106の全てのハードウェアに関するアドレス情報を有しているため、特定のクライアント106からのARPパケットの出発地アドレスがローカルIP−MACアドレス一覧とは異なれば、当該特定のクライアント106は既にスプーフィング攻撃によって感染されたと見なすことができる。
このため、ARPパケットのイーサネットヘッダの出発地IPアドレス及び出発地MACアドレスがローカルIP−MACアドレス一覧に含まれていないARPパケットは感染ARPパケットであると判断して遮断過程を行う。送信されるARPパケットから出発地IPアドレス及びMACアドレスを抽出し、抽出されたIPアドレスがローカルIP−MACアドレス一覧になければ、感染ARPパケットである。
また、抽出されたIPアドレスと同じIPアドレスがローカルIP−MACアドレス一覧に含まれているか否かを照会する。照会の結果、同じIPアドレスが発見され、これと対応付けられて格納されたMACアドレスがあれば、これを照会する。送信されるARPパケットの出発地のMACアドレスとローカルIP−MACアドレス一覧から照会したMACアドレスとが同じでなければ、これもまた感染ARPパケットである。
このような全ての検査過程を経て安全なARPパケットであると認められる場合には、指定された目的地へのARPパケットの送受信が行われる(ステップS118)。
[クライアントにも許容アドレス一覧が格納された場合]
個別クライアント106の許容アドレスDB106−1d及び遮断アドレスDB106−1eに許容IP−MACアドレス一覧及び遮断MACアドレス一覧が格納されている場合には、L2スイッチ104を経て各クライアント106にARPパケットが入力される度に、または、許容アドレスDB106−1d及び遮断アドレスDB106−1eが更新される度にクライアント106のARPテーブル保護部106−1b及びARPパケット処理部106−1cが自主的にスプーフィング攻撃の有無を検査する。このときには、遮断サーバ108に感染有無の検査を要請することなく、クライアント106が直接的に行う。
この場合にも、上述のように、出発地のMACアドレスがDB106−1d、106−1eに格納されたアドレス一覧と同じであるか否かを判断する。ARPテーブル保護部106−1bは、遮断サーバ108が収集して生成した許容IP−MACアドレス一覧及び遮断MACアドレス一覧を周期的にまたは特定のイベントが発生する度に受信することにより、許容アドレスDB106−1d及び遮断アドレスDB106−1eを常に更新された状態にする。
ARPテーブル保護部106−1bは、周期的にARPエントリを検査して抽出されたIP−MACアドレスをDB106−1d、106−1eに格納されたアドレス一覧と比較して感染の有無を判断する。また、ARPパケット処理部106−1cは、ARPパケットが出入する度にIP−MACアドレスを抽出して感染の有無を判断する。
もし、出発地のMACアドレスが遮断IP−MACアドレス一覧に格納されたMACアドレスと同じであれば、ARPパケット処理部106−1cが当該ARPパケットを遮断するか、あるいは、ARPテーブル保護部106−1bがARPエントリのMACアドレスを変更する。
また、疑いのあるARPパケットについても、上述したように、所定の時間の間に同じMACアドレスを有するARPパケットが流入するかを監視し、特定の臨界値を超える場合には、感染ARPパケットとして分類する。
さらに、クライアント106からのARPパケットの出発地IP−MACアドレスがローカルIP−MACアドレス一覧に格納された情報とは異なる場合に感染ARPパケットとして分類する。
[スプーフィング攻撃遮断過程]
遮断サーバ108またはクライアント106によって感染ARPパケットであると判明された場合に、当該ARPパケットがネットワーク網の内部を伝送されないようにする必要がある。
このために、先ず、感染ARPパケットの送受信を遮断し、ARPテーブルにおいて当該IP−MACアドレスを修正する(ステップS112)。ARPパケット処理部106−1cは、遮断サーバ108からARPパケットがスプーフィング攻撃に用いられているという検査結果を通報されれば、当該感染ARPパケットの送受信を遮断する。
そして、ARPテーブル保護部106−1bは、ARPエントリがスプーフィング攻撃に用いられているという検査結果を通報されれば、当該感染ARPエントリに含まれているIP−MACアドレスのうち、IPアドレスを抽出し、抽出されたIPアドレスと対応付けられて格納された正常のMACアドレスを遮断サーバ108のDB108−3、108−4やクライアント106のDB106−1d、106−1eから照会する。正常のMACアドレスが照会されれば、感染ARPエントリの出発地(送信者)アドレスを格納された正常のMACアドレスに固定設定する(ステップS114)。今後、当該IPアドレスを有するARPパケットが入ってきたときに、固定設定された正常MACアドレスを有するクライアント106にのみ向かうことになる。
ARPテーブル保護部106−1b及びARPパケット処理部106−1cは、遮断されたパケットのオペレーションタイプ、出発地IPアドレス、出発地MACアドレス、対象地IPアドレス、対象地MACアドレス、パケット発信プロセスなどの情報を遮断サーバ108に伝送する(ステップS116)。遮断サーバ108のアドレス収集部108−1は、ARPテーブル保護部106−1b及びARPパケット処理部106−1cが伝送したデータを受信して遮断アドレスDB108−4を更新する。
以上、添付図面に基づいて本発明の好適な実施形態について説明したが、上述の本発明の技術的構成は、本発明が属する技術分野における当業者が本発明の技術的思想や必須的特徴を変更することなく他の具体的な形態で実施可能であるということが理解できる筈である。よって、上述の実施形態はあらゆる面において例示的なものであり、限定的なものではないと理解さるべきであり、本発明の範囲は前記詳細な説明よりは後述する特許請求の範囲によって開示され、特許請求の範囲の意味及び範囲並びにその等価概念から導き出されるあらゆる変更または変形された形態が本発明の範囲に含まれるものと解釈さるべきである。
102:ルータ
104:L2スイッチ
106:クライアント
108:遮断サーバ
110:管理者端末

Claims (3)

  1. ネットワーク網の内部のL2スイッチ(104)を介して中継されるARPパケットに含まれているIPアドレス及びMACアドレスを検査して、スプーフィング攻撃がなされていると判断されれば、前記ARPパケットの伝送を遮断する防御方法であって、
    遮断サーバ(108)のアドレス収集部(108−1)が、前記ネットワーク網の内部に接続されたクライアント(106)のIPアドレス及びMACアドレスを収集する第1ステップと、
    前記アドレス収集部(108−1)が、前記第1ステップにおいて収集した前記IPアドレス及び前記MACアドレスを互いに対応付けた許容IP−MACアドレス一覧を生成し、前記許容IP−MACアドレス一覧を許容アドレスDB(108−3)に格納する第2ステップと、
    前記アドレス収集部(108−1)が、前記ネットワーク網の内部に接続されたクライアント(106)のうち、スプーフィング攻撃をする攻撃者が用いるクライアント(106)のMACアドレスに関する情報である遮断MACアドレス一覧を遮断アドレスDB(108−4)に格納する第3ステップと、
    前記クライアント(106)にARPパケットが流入すれば、前記クライアント(106)のARPパケット処理部(106−1c)は、前記ARPパケットに含まれている送信者のIPアドレス及びMACアドレスを抽出して前記遮断サーバ(108)に伝送しながらスプーフィング攻撃有無の検査を要請する第4ステップと、
    遮断サーバ(108)のアドレス検査部(108−2)の検査の結果、前記第4ステップにおいて抽出された送信者のMACアドレスが前記遮断アドレスDB(108−4)に格納された遮断MACアドレス一覧に含まれている場合に、前記ARPパケットが感染ARPパケットであるということを前記遮断サーバ(108)が前記クライアント(106)に通報する第5ステップと、
    前記ARPパケット処理部(106−1c)が、前記感染ARPパケットの送受信を遮断する第6ステップと、
    を含み、
    前記第5ステップは、
    前記第4ステップにおいて抽出された送信者のMACアドレスが前記遮断MACアドレス一覧に含まれていない場合に、前記送信者のIPアドレス及びMACアドレスが前記許容IP−MACアドレス一覧にないか、あるいは、前記送信者のIPアドレス及びMACアドレスが前記許容IP−MACアドレス一覧にマッピングされてアドレス対として格納されている許容IP−MACアドレスの構成と異なれば、前記ARPパケットを疑いのあるARPパケットとして定義する第5−1ステップと、
    前記アドレス検査部(108−2)が、単位時間の間に前記クライアント(106)に流入したARPパケットのうち、前記疑いのあるARPパケットに含まれている送信者のMACアドレスと同じ送信者のMACアドレスを有するARPパケットの伝送数を累積する第5−2ステップと、
    所定の時間の間に累積された伝送数が臨界値を超える場合に、前記疑いのあるARPパケットを感染ARPパケットとして分類する第5−3ステップと、
    を含む遮断サーバを用いたスプーフィング攻撃に対する防御方法。
  2. ネットワーク網の内部のL2スイッチ(104)を介して中継されるARPパケットに含まれているIPアドレス及びMACアドレスを検査してスプーフィング攻撃がなされていると判断されれば、前記ARPパケットの伝送を遮断する防御方法であって、
    遮断サーバ(108)のアドレス収集部(108−1)が、前記ネットワーク網の内部に接続されたクライアント(106)のIPアドレス及びMACアドレスを収集する第1ステップと、
    前記アドレス収集部(108−1)が、前記第1ステップにおいて収集した前記IPアドレス及び前記MACアドレスを互いに対応付けた許容IP−MACアドレス一覧を生成し、前記許容IP−MACアドレス一覧を前記クライアント(106)の許容アドレスDB(106−1d)に格納する第2ステップと、
    前記アドレス収集部(108−1)が、前記ネットワーク網の内部に接続されたクライアント(106)のうち、スプーフィング攻撃をする攻撃者が用いるクライアント(106)のMACアドレスに関する情報である遮断MACアドレス一覧を前記クライアント(106)の遮断アドレスDB(106−1e)に格納する第3ステップと、
    前記クライアント(106)にARPパケットが流入すれば、前記クライアント(106)のARPパケット処理部(106−1c)は、前記ARPパケットに含まれている送信者のIPアドレス及びMACアドレスを抽出してスプーフィング攻撃の有無を検査する第4ステップと、
    前記第4ステップにおいて抽出された送信者のMACアドレスが前記遮断MACアドレス一覧に含まれている場合に、前記ARPパケット処理部(106−1c)が、前記ARPパケットを感染ARPパケットとして分類する第5ステップと、
    前記ARPパケット処理部(106−1c)が、前記感染ARPパケットの送受信を遮断する第6ステップと、
    を含み、
    前記第5ステップは、
    前記第4ステップにおいて抽出された送信者のMACアドレスが前記遮断MACアドレス一覧に含まれていない場合に、前記送信者のIPアドレス及びMACアドレスが前記許容IP−MACアドレス一覧にないか、あるいは、前記送信者のIPアドレス及びMACアドレスが前記許容IP−MACアドレス一覧にマッピングされてアドレス対として格納されている許容IP−MACアドレスの構成と異なれば、前記ARPパケットを疑いのあるARPパケットとして定義する第5−1ステップと、
    前記ARPパケット処理部(106−1c)が、単位時間の間に前記クライアント(106)に流入したARPパケットのうち、前記疑いのあるARPパケットに含まれている送信者のMACアドレスと同じ送信者MACアドレスを有するARPパケットの伝送数を累積する第5−2ステップと、
    所定の時間の間に累積された伝送数が臨界値を超える場合に、前記疑いのあるARPパケットを感染ARPパケットとして分類する第5−3ステップと、
    をさらに含む遮断サーバを用いたスプーフィング攻撃に対する防御方法。
  3. ネットワーク網の内部のL2スイッチ(104)を介して中継されるARPパケットに含まれているIPアドレス及びMACアドレスを検査してスプーフィング攻撃がなされていると判断されれば、前記ARPパケットの伝送を遮断する防御方法であって、
    特定のクライアント(106)に設けられている装置のIPアドレス及びMACアドレスを収集する第1ステップと、
    第1ステップにおいて収集した前記IPアドレス及び前記MACアドレスを互いに対応付けたローカルIP−MACアドレス一覧を前記クライアント(106)の許容アドレスDB(106−1d)に格納する第2ステップと、
    前記特定のクライアント(106)からARPパケットが送信されるとき、前記特定のクライアント(106)のARPパケット処理部(106−1c)は、前記送信されるARPパケットに含まれている送信者のIPアドレス及びMACアドレスを抽出してスプーフィング攻撃の有無を検査する第2ステップと、
    第2ステップにおいて抽出された送信者のIPアドレスが前記ローカルIP−MACアドレス一覧に含まれていないか、あるいは、抽出された送信者のIPアドレスと同じIPアドレスに対応付けられて格納されたMACアドレスが前記送信されるARPパケットに含まれている送信者のMACアドレスとは異なる場合に、前記ARPパケット処理部(106−1c)が、前記送信されるARPパケットを感染ARPパケットとして分類する第3ステップと、
    前記ARPパケット処理部(106−1c)が、前記感染ARPパケットの送信を遮断する第4ステップと、
    を含む遮断サーバを用いたスプーフィング攻撃に対する防御方法。

JP2014510237A 2011-05-12 2012-03-08 遮断サーバを用いたスプーフィング攻撃に対する防御方法 Active JP5826920B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
KR10-2011-0044667 2011-05-12
KR1020110044667A KR101231975B1 (ko) 2011-05-12 2011-05-12 차단서버를 이용한 스푸핑 공격 방어방법
PCT/KR2012/001714 WO2012153913A1 (ko) 2011-05-12 2012-03-08 차단서버를 이용한 스푸핑 공격 방어방법

Publications (2)

Publication Number Publication Date
JP2014517593A true JP2014517593A (ja) 2014-07-17
JP5826920B2 JP5826920B2 (ja) 2015-12-02

Family

ID=47139371

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014510237A Active JP5826920B2 (ja) 2011-05-12 2012-03-08 遮断サーバを用いたスプーフィング攻撃に対する防御方法

Country Status (5)

Country Link
US (1) US9038182B2 (ja)
JP (1) JP5826920B2 (ja)
KR (1) KR101231975B1 (ja)
DE (1) DE112012002054T5 (ja)
WO (1) WO2012153913A1 (ja)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102010052394B4 (de) * 2010-11-24 2019-01-03 Kuka Roboter Gmbh Robotersystem mit einem Roboter und zwei wechselweise mit diesem verbindbaren Einrichtungen sowie Verfahren zum Wechseln dieser Einrichtungen
JP5876788B2 (ja) * 2012-08-21 2016-03-02 株式会社Pfu 通信遮断装置、通信遮断方法、及びプログラム
KR101420196B1 (ko) * 2013-01-18 2014-07-18 한남대학교 산학협력단 DDoS 공격의 대응 방법 및 장치
US20150235052A1 (en) 2014-02-17 2015-08-20 Samsung Electronics Co., Ltd. Electronic device and method for protecting users privacy
TWI506472B (zh) * 2014-03-12 2015-11-01 Hon Hai Prec Ind Co Ltd 網路設備及其防止位址解析協定報文攻擊的方法
JPWO2015174100A1 (ja) * 2014-05-14 2017-04-20 学校法人東京電機大学 パケット転送装置、パケット転送システム及びパケット転送方法
US9985984B1 (en) * 2014-10-27 2018-05-29 National Technology & Engineering Solutions Of Sandia, Llc Dynamic defense and network randomization for computer systems
CN105741510A (zh) * 2016-03-17 2016-07-06 云丁网络技术(北京)有限公司 一种基于无线信号的智能报警方法及其智能报警系统
WO2018186511A1 (ko) * 2017-04-06 2018-10-11 (주)노르마 사물 인터넷 네트워크에서의 에이알피 스푸핑 방지 시스템
KR102640946B1 (ko) * 2017-09-26 2024-02-27 (주)노르마 Arp 스푸핑 탐지 시스템 및 방법
CN107729202A (zh) * 2017-11-06 2018-02-23 深圳开发微电子有限公司 可追溯usb生产源头的一种方法
US10547587B2 (en) 2018-03-19 2020-01-28 Didi Research America, Llc Method and system for near real-time IP user mapping
CN110401616A (zh) * 2018-04-24 2019-11-01 北京码牛科技有限公司 一种提高mac地址和ip地址安全性和稳定性的方法和系统
CN108965263B (zh) * 2018-06-26 2021-06-08 新华三技术有限公司 网络攻击防御方法及装置
JP6923809B2 (ja) * 2018-08-23 2021-08-25 日本電信電話株式会社 通信制御システム、ネットワークコントローラ及びコンピュータプログラム
US11201853B2 (en) 2019-01-10 2021-12-14 Vmware, Inc. DNS cache protection
US11277442B2 (en) * 2019-04-05 2022-03-15 Cisco Technology, Inc. Verifying the trust-worthiness of ARP senders and receivers using attestation-based methods
US11368484B1 (en) * 2019-04-26 2022-06-21 Cisco Technology, Inc Endpoint security mechanism to detect IP theft on a virtual machine mobility in switch fabric
US10855644B1 (en) * 2019-09-09 2020-12-01 Vmware, Inc. Address resolution protocol entry verification
US11575646B2 (en) * 2020-03-12 2023-02-07 Vmware, Inc. Domain name service (DNS) server cache table validation
CN112637373B (zh) * 2020-11-17 2022-05-27 新华三技术有限公司合肥分公司 一种保持哑终端在线的方法及设备

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7234163B1 (en) * 2002-09-16 2007-06-19 Cisco Technology, Inc. Method and apparatus for preventing spoofing of network addresses
US8819285B1 (en) * 2002-10-01 2014-08-26 Trustwave Holdings, Inc. System and method for managing network communications
US7523485B1 (en) * 2003-05-21 2009-04-21 Foundry Networks, Inc. System and method for source IP anti-spoofing security
KR100533785B1 (ko) * 2003-06-19 2005-12-06 주식회사 인티게이트 Dhcp 패킷을 이용한 동적 ip 주소할당 환경에서의arp/ip 스푸핑 자동 방지 방법
US8688834B2 (en) * 2004-07-09 2014-04-01 Toshiba America Research, Inc. Dynamic host configuration and network access authentication
US20060114863A1 (en) * 2004-12-01 2006-06-01 Cisco Technology, Inc. Method to secure 802.11 traffic against MAC address spoofing
KR100779072B1 (ko) * 2004-12-08 2007-11-27 한국전자통신연구원 Arp 공격 탐지 장치 및 방법
US8336092B2 (en) * 2005-02-18 2012-12-18 Duaxes Corporation Communication control device and communication control system
KR20070103502A (ko) * 2005-02-18 2007-10-23 듀아키시즈 가부시키가이샤 통신 제어 장치
US8510833B2 (en) * 2005-10-27 2013-08-13 Hewlett-Packard Development Company, L.P. Connection-rate filtering using ARP requests
WO2008039148A1 (en) * 2006-09-28 2008-04-03 Packetfront Sweden Ab Method for automatically providing a customer equipment with the correct service
KR100807933B1 (ko) * 2006-11-28 2008-03-03 엘지노텔 주식회사 에이알피 스푸핑 감지 시스템 및 감지 방법과 그 방법이저장된 컴퓨터 판독가능 저장매체
KR101064382B1 (ko) * 2007-06-07 2011-09-14 주식회사 케이티 통신 네트워크에서의 arp 공격 차단 시스템 및 방법
CN101110821B (zh) * 2007-09-06 2010-07-07 华为技术有限公司 防止arp地址欺骗攻击的方法及装置
KR101270041B1 (ko) * 2011-10-28 2013-05-31 삼성에스디에스 주식회사 Arp 스푸핑 공격 탐지 시스템 및 방법

Also Published As

Publication number Publication date
US20140325651A1 (en) 2014-10-30
WO2012153913A1 (ko) 2012-11-15
US9038182B2 (en) 2015-05-19
JP5826920B2 (ja) 2015-12-02
KR101231975B1 (ko) 2013-02-08
DE112012002054T5 (de) 2014-02-13
KR20120126674A (ko) 2012-11-21

Similar Documents

Publication Publication Date Title
JP5826920B2 (ja) 遮断サーバを用いたスプーフィング攻撃に対する防御方法
US8175096B2 (en) Device for protection against illegal communications and network system thereof
US8661544B2 (en) Detecting botnets
CN108063765B (zh) 适于解决网络安全的sdn系统
US7120934B2 (en) System, method and apparatus for detecting, identifying and responding to fraudulent requests on a network
CN101175078B (zh) 应用分布式阈值随机漫步的潜在网络威胁识别
US7478429B2 (en) Network overload detection and mitigation system and method
CN105681353A (zh) 防御端口扫描入侵的方法及装置
CN109327426A (zh) 一种防火墙攻击防御方法
KR101553264B1 (ko) 네트워크 침입방지 시스템 및 방법
JP4380710B2 (ja) トラフィック異常検出システム、トラフィック情報観測装置、及び、トラフィック情報観測プログラム
Wang et al. Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks
JP2008219149A (ja) トラヒック制御システムおよびトラヒック制御方法
CN100380336C (zh) 用于过滤和分析基于分组的通信流量的方法和装置
Wang et al. An approach for protecting the openflow switch from the saturation attack
KR101065800B1 (ko) 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체
JP2004248185A (ja) ネットワークベース分散型サービス拒否攻撃防御システムおよび通信装置
JP2017212705A (ja) 通信制御装置、通信システム、通信制御方法、及びプログラム
US20060225141A1 (en) Unauthorized access searching method and device
KR101069341B1 (ko) 분산 서비스 거부 공격 생성 방지 장치
Pattanaik et al. Early Detection and Diminution of DDoS attack instigated by compromised switches on the controller in Software Defined Networks
JP2004363915A (ja) DoS攻撃対策システムおよび方法およびプログラム

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20141219

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150105

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20150402

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150507

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150904

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20151014

R150 Certificate of patent or registration of utility model

Ref document number: 5826920

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250