JP2015176579A - 通信制御装置、通信制御方法、及びプログラム - Google Patents
通信制御装置、通信制御方法、及びプログラム Download PDFInfo
- Publication number
- JP2015176579A JP2015176579A JP2014055078A JP2014055078A JP2015176579A JP 2015176579 A JP2015176579 A JP 2015176579A JP 2014055078 A JP2014055078 A JP 2014055078A JP 2014055078 A JP2014055078 A JP 2014055078A JP 2015176579 A JP2015176579 A JP 2015176579A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- communication
- computer
- connection
- communication control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
[第1の実施形態]
図1は、第1の実施形態による通信制御装置1の一例を示す機能ブロック図である。
この図に示すように、本実施形態による通信制御装置1は、ネットワーク機器4を介して、被攻撃側のコンピュータ装置である被攻撃側コンピュータ装置2と、攻撃側のコンピュータ装置である攻撃側コンピュータ装置3とに接続されている。
このように、送信元のコンピュータ装置から送信先のコンピュータ装置に対して送られたパケットは無効となるが、通信制御装置1は、送信元のコンピュータ装置から送信先のコンピュータ装置に対して送られたTCPパケットを受け取ることができる状態を、「通信制御装置が送信元から送信先のコンピュータ装置に対する接続要求に基づき確立される接続(コネクション)を乗っ取っている」と表現する。
具体的には、通信制御装置1は、送信先のコンピュータ装置から送信元のコンピュータ装置への応答である「SYN+ACK」パケットを検知して、送信先のコンピュータ装置に対して、ソースアドレスが送信元のコンピュータ装置のIPで応答を返す。次に、送信先のコンピュータ装置から送信元のコンピュータ装置に向けた通信についても、通信制御装置1と送信先のコンピュータ装置との間でTCPの通信相手を特定するためのIPアドレス、ポート番号、及びシーケンス番号が共有される。
以下の説明において、単に「乗っ取る」との表現は、送信元から送信先のコンピュータ装置に対する接続要求に基づき確立される接続(コネクション)を乗っ取る場合、あるいは、その応答についても乗っ取る場合の双方を示すものとする。
この図において、検知対象記憶部21は、「攻撃側IP」と、「被攻撃側IP」とを関連付けて記憶する。ここで、「攻撃側IP」は、攻撃側コンピュータ装置3のIPアドレスを示し、「被攻撃側IP」は、被攻撃側コンピュータ装置2のIPアドレスを示している。
図2に示す例では、「攻撃側IP」が“192.168.0.1”であり、このIPアドレスに対応する攻撃側コンピュータ装置3の攻撃目標となる「被攻撃側IP」が“XXX.0.0.3”及び“XXX.0.0.4”であることを示している。すなわち、“XXX.0.0.3”及び“XXX.0.0.4”のそれぞれに対応するコンピュータ装置が、被攻撃側コンピュータ装置2であることを示している。
ここで、ペイロードとは、TCPパケットのうち、ヘッダ部分を除いた、本来転送したいデータ部分のことを示す。また、「対応する処理」とは、受信したパケットに対して通信制御装置1が実行する処理のことであり、例えば、ペイロードのデータをダミーデータに変更して転送する処理、ペイロードのデータをそのまま転送する処理などである。
判定ルール記憶部22には、予め定められたルール情報が記憶されていてもよいし、後述する通信履歴記憶部24に記憶される通信履歴に基づいて、ルール情報が記憶されてもよい。
ここで、コネクションとは、TCPのコネクションのことであり、以下の説明において、「TCPのコネクション」を単に「コネクション」と称して説明する。シーケンス管理情報記憶部23は、例えば、被攻撃側コンピュータ装置2のIPアドレス及びポート番号と、被攻撃側コンピュータ装置2のシーケンス番号(N)と、第1のコネクションにおける通信制御装置1のシーケンス番号(DM)とを関連付けて被攻撃側管理情報として記憶する。
なお、「シーケンス番号」とは、TCPのプロトコルにおける送信側(送信元)のデータの先頭番号を示している。また、「確認応答番号」とは、送信先に対して次に受信予定のデータの先頭番号を示している。「シーケンス番号」及び「確認応答番号」は、TCPパケットのヘッダ部に含まれており、コネクションが確立された正当なTCPパケットであるか否かは、この「シーケンス番号」及び「確認応答番号」を利用して判定される。
通信制御装置1から攻撃側コンピュータ装置3に向けて送信するTCPパケットにおいて、シーケンス番号(DN)がシーケンス番号として利用され、シーケンス番号(M)が確認応答番号として利用される。また、攻撃側コンピュータ装置3から通信制御装置1に向けて送信するTCPパケットにおいて、シーケンス番号(M)がシーケンス番号として利用され、シーケンス番号(DN)が確認応答番号として利用される。
図3は、本実施形態におけるシーケンス管理情報記憶部23のデータ例を示す図である。
この図において、シーケンス管理情報記憶部23は、「IP」と、「ポート番号」と、「SeqNO(N)」と、「SeqNO(DM)」とを関連付けた「被攻撃側管理情報」を記憶する。また、シーケンス管理情報記憶部23は、「IP」と、「ポート番号」と、「SeqNO(M)」と、「SeqNO(DN)」とを関連付けた「攻撃側管理情報」を記憶する。
また、「攻撃側管理情報」の「IP」及び「ポート番号」が、“192.168.0.1”及び“ZZ”であることを示している。また、この「攻撃側管理情報」の「IP」に対応する攻撃側コンピュータ装置3の「SeqNO(M)」が“200”であり、「SeqNO(DN)」が“10”であることを示している。
具体的には、通常はTCPコネクションが確立している両端の端末、つまり、攻撃側コンピュータ装置3と被攻撃側コンピュータ装置2との間でTCPのシーケンス番号が共有されるが、通信制御装置1がセッションを乗っ取る場合、攻撃側コンピュータ装置3と通信制御装置1の間、被攻撃側コンピュータ装置2と通信制御装置1との間で別のシーケンス番号が共有される。つまり、両端の端末の間では、シーケンス番号が共有されない。
制御部30は、パケット検知部31と、パケット判定部32と、疑似応答制御部33とを備えている。
また、パケット判定部32は、第1のコネクション及び第2のコネクションを確立した後に、判定ルール記憶部22が記憶するルール情報に基づいて、通信パケットのペイロードをダミーデータに変更するか否かを判定する。すなわち、パケット判定部32は、第1のコネクション及び第2のコネクションを確立した後に、予め定められたルールに基づいて、第3の通信パケット及び第4の通信パケットのそれぞれのペイロードをダミーデータに変更するか否かを判定する。
なお、コネクションの確立の際には、2つのコンピュータ装置それぞれでシーケンス番号を独自に生成することとなっている。そのため、例えば、疑似応答制御部33が乱数を用いてシーケンス番号を生成し、生成したシーケンス番号を含む疑似パケットを生成すれば、シーケンス番号が送信先のコンピュータ装置からの返信パケットと異なるように疑似パケットを生成することができる。本来のコンピュータ装置で生成されるシーケンス番号と、疑似応答制御部33が生成するシーケンス番号とが衝突する確率はきわめて低いため、疑似応答制御部33が、任意にシーケンス番号を生成しても支障ない。
疑似応答制御部33は、例えば、第1のコネクションによって被攻撃側コンピュータ装置2から攻撃側コンピュータ装置3に向けて送信された第3の通信パケットを通信履歴として、通信履歴記憶部24に記憶させる。そして、疑似応答制御部33は、シーケンス管理情報記憶部23が記憶する管理情報に基づいて、第3の通信パケットを第2のコネクション用のシーケンス番号及び確認応答番号に変更して、第1の転送パケットとして攻撃側コンピュータ装置3に向けて送信(転送)する。また、疑似応答制御部33は、この第3の通信パケットのペイロードをダミーデータに変更して転送する。
なお、第1の転送パケットと第2の転送パケットとを総称して転送パケットと称する。
ここで、ペイロードをダミーデータに変更するか否かは、上述したパケット判定部32が、判定ルール記憶部22が記憶するルール情報に基づいて判定する。すなわち、疑似応答制御部33は、パケット判定部32が判定した判定結果に基づいて、第3の通信パケット及び第4の通信パケットのそれぞれのペイロードをダミーデータに変更するか否かを切り替える。
また、疑似応答制御部33は、応答生成部331と、送信制御部332とを備えている。
また、応答生成部331は、例えば、被攻撃側コンピュータ装置2及び攻撃側コンピュータ装置3の情報収集のために、通信制御装置1を管理する管理者からの指令に基づいて、送信パケットなどのTCPパケットを生成する。
なお、応答生成部331は、第1のコネクション用のシーケンス番号(DM)と、第2のコネクション用のシーケンス番号(M)との差が所定の閾値分以上になるように、TCPパケットのペイロードのデータ数を調整してTCPパケットを生成してもよい。また、応答生成部331は、第1のコネクション用のシーケンス番号(N)と、第2のコネクション用のシーケンス番号(DN)との差が所定の閾値分以上になるように、TCPパケットのペイロードのデータ数を調整してTCPパケットを生成してもよい。
図4は、本実施形態における通信制御装置1が被攻撃側コンピュータ装置2とのコネクションを確立する動作の一例を示す図である。
この図では、被攻撃側コンピュータ装置2と攻撃側コンピュータ装置3との間のコネクションを確立する際に、通信制御装置1が、確立しようとしている当該コネクションを乗っ取って、通信制御装置1と被攻撃側コンピュータ装置2との間の第1のコネクションを確立する場合の一例を示している。
なお、図4において、“SegNO”は、TCPのシーケンス番号を示し、“Ack”は、TCPの確認応答番号を示す。
疑似応答制御部33は、生成したシーケンス番号(DM)を「SeqNO(DM)」として、シーケンス管理情報記憶部23に記憶させる。そして、疑似応答制御部33の応答生成部331は、生成したシーケンス番号(DM)を含む「SYN+ACK」パケット(SeqNO(=DM)=dm、Ack=n+1)を疑似パケットとして生成する。
なお、通信制御装置1は、例えば、乱数に基づいてシーケンス番号(DM)を生成すので、攻撃側コンピュータ装置3で生成されるシーケンス番号(M)と番号が一致する確率がきわめて低い。そのため、通信制御装置1は、実質的に支障が生じることがない。また、通信制御装置1は、生成した疑似パケットを被攻撃側コンピュータ装置2に送信した場合に、通信制御装置1の配置により攻撃側コンピュータ装置3からの応答(返信パケット)よりも疑似パケットが先に攻撃側コンピュータ装置3に到着する.
この図では、被攻撃側コンピュータ装置2と攻撃側コンピュータ装置3との間のコネクションを確立する際に、通信制御装置1が、確立しようとしている当該コネクションを乗っ取って、通信制御装置1と攻撃側コンピュータ装置3との間の第2のコネクションを確立する場合の一例を示している。ここでは、図4に示すステップS101の処理に続く処理を示している。
このように、通信制御装置1は、被攻撃側コンピュータ装置2と攻撃側コンピュータ装置3との間のコネクションを乗っ取り、第2のコネクションを確立する。
図6は、本実施形態における通信制御装置1の動作の一例を示す図である。
この図において、まず、被攻撃側コンピュータ装置2が「SYN」パケット(SeqNO=n)を攻撃側コンピュータ装置3に向けて送信する(ステップS101)。この「SYN」パケット(SeqNO=n)は、通信制御装置1及び攻撃側コンピュータ装置3により受信される。
被攻撃側コンピュータ装置2は、「SYN+ACK」パケット(SeqNO(=DM)=dm、Ack=n+1)に対して、「ACK」パケット(SeqNO=n+1、Ack=dm+1)を送信する(ステップS103)。このパケットを通信制御装置1が受信することで、第1のコネクションが確立される。これにより、通信制御装置1は、被攻撃側コンピュータ装置2に対して、攻撃側コンピュータ装置3に成りすまして通信を行うことが可能になる。
次に、通信制御装置1は、「SYN+ACK」パケット(SeqNO=m、Ack=n+1)に対して、上述の図5で説明したように、「ACK」パケット(SeqNO(=DN)=n+1、Ack=m+1)を被攻撃側コンピュータ装置2よりも先に攻撃側コンピュータ装置3に向けて送信する(ステップS202)。このパケットを攻撃側コンピュータ装置3が受信することで、第2のコネクションが確立される。これにより、通信制御装置1は、攻撃側コンピュータ装置3に対して、攻撃側コンピュータ装置3に成りすまして通信を行うことが可能になる。
なお、上述した図4〜図6に示す例では、コネクションの確立が被攻撃側コンピュータ装置2から開始される場合について説明したが、コネクションの確立が攻撃側コンピュータ装置3から開始される場合についても同様である。但し、その場合には、通信制御装置1は、疑似パケットにおいて、第2のコネクションにおけるシーケンス番号(DN)を生成することになる。
図7は、本実施形態における通信制御装置1が、ダミーデータを転送する場合の動作の一例を示す図である。
この図において、第1のコネクション及び第2のコネクションを確立した後の状態であり、各装置のシーケンス番号の初期値は、「SeqNO(DM)」が“dm+1”、「SeqNO(N)」が“n+1”、「SeqNO(DN)」が“n+1”、及び「SeqNO(M)」が“m+1”であるものとして説明する。
図8は、本実施形態における通信制御装置1が、生データを転送する場合の動作の一例を示す図である。
この図において、第1のコネクション及び第2のコネクションを確立した後の状態であり、各装置のシーケンス番号の初期値は、「SeqNO(DM)」が“dm+1”、「SeqNO(N)」が“n+1”、「SeqNO(DN)」が“n+1”、及び「SeqNO(M)」が“m+1”であるものとして説明する。
このように、通信制御装置1は、ペイロードの内容が安全であると予め判明している場合や、被攻撃側コンピュータ装置2及び攻撃側コンピュータ装置3から情報を引き出す場合には、パケットのペイロードをダミーデータに変更せずに生データを転送する。
これにより、本実施形態による通信制御装置1は、2つのコンピュータ装置の間のTCPのコネクションを無効にするとともに、送信元のコンピュータ装置とのTCPのコネクションを確立することができる。そのため、本実施形態による通信制御装置1は、2つのコンピュータ装置との接続状態を維持しつつ、情報を収集することができる。よって、本実施形態による通信制御装置1は、不正な通信に対する対策を行うことができる。
すなわち、本実施形態による通信制御装置1は、被攻撃側コンピュータ装置2及び攻撃側コンピュータ装置3の間のコネクションを乗っ取るとともに、被攻撃側コンピュータ装置2及び攻撃側コンピュータ装置3の双方に成りすますことで、双方から攻撃に関する有効な情報を収集することができる。また、被攻撃側コンピュータ装置2と攻撃側コンピュータ装置3との直接の通信を禁止するので、本実施形態による通信制御装置1は、不正プログラムに感染した被攻撃側コンピュータ装置2が、内部LAN内の他のコンピュータ装置に対して攻撃を実施することを防ぐことができる。
これにより、本実施形態による通信制御装置1は、簡易な手法により、2つのコンピュータ装置の間でコネクションを無効にして、2つのコンピュータ装置の双方に成りすますことができる。また、本実施形態による通信制御装置1は、コネクションを確立する際にコネクションを無効にするので、2つのコンピュータ装置の間の通信の開始時点から安全を確保しつつ、情報を収集することができる。
これにより、本実施形態による通信制御装置1は、被攻撃側コンピュータ装置2と攻撃側コンピュータ装置3との間のコネクションを乗っ取って、双方のコンピュータ装置に成りすますことができる。
これにより、本実施形態による通信制御装置1は、ペイロードの内容を無害化しつつ、被攻撃側コンピュータ装置2及び攻撃側コンピュータ装置3との通信状態を維持することができる。よって、本実施形態による通信制御装置1は、より安全を確保しつつ、情報を収集することができる。
これにより、本実施形態による通信制御装置1は、例えば、ペイロードの内容が安全であると予め判明している場合に、被攻撃側コンピュータ装置2及び攻撃側コンピュータ装置3の双方のコンピュータ装置に生データを転送することができる。そのため、本実施形態による通信制御装置1は、双方のコンピュータ装置が通信制御装置1にコネクションを乗っ取られたことを検知する確率を低減することができる。
なお、本実施形態による通信制御装置1は、例えば、安全が確保できる所定の頻度以下で、双方のコンピュータ装置に生データを転送するようにしてもよい。
これにより、本実施形態による通信制御装置1は、疑似パケット、転送パケット、送信パケット、及び返信パケットなどを、ペイロードの内容に応じた適切に生成することができる。
これにより、本実施形態による通信制御装置1は、2つのコンピュータ装置の間の通信を記録しておくことが可能になる。よって、本実施形態による通信制御装置1は、通信履歴記憶部24が記憶する通信履歴を解析することにより、効率よく不正な通信に対する対策を行うことができる。
これにより、本実施形態による通信制御方法は、上述した通信制御装置1と同様に、2つのコンピュータ装置との接続状態を維持しつつ、情報を収集することができるので、不正な通信に対する対策を行うことができる。
次に、第2の実施形態による通信制御装置1aについて、図面を参照して説明する。
図9は、第2の実施形態による通信制御装置1aの一例を示す機能ブロック図である。
図9に示すように、通信制御装置1aは、通信部10と、記憶部20と、制御部30aとを備えている。なお、通信制御装置1a及びネットワーク機器4は、第1の実施形態と同様に、被攻撃側コンピュータ装置2と、攻撃側コンピュータ装置3との間の通信経路上に配置されている。
また、上述した第1の実施形態の通信制御装置1は、コネクションの乗っ取りを開始するタイミングがコネクションの確立する際であるのに対して、本実施形態の通信制御装置1aは、コネクションが確立された後に開始する点が異なる。すなわち、本実施形態では、制御部30aの一部の機能が、第1の実施形態の制御部30と異なり、この異なる機能について以下説明する。
疑似応答制御部33aは、コネクションの乗っ取りを開始するタイミングが異なる点を除いて、第1の実施形態の疑似応答制御部33と同様の機能を有する。疑似応答制御部33aは、例えば、2つのコンピュータ装置の間でコネクションを確立した後に疑似パケットの送信を開始する場合に、ペイロードのデータ数が送信先のコンピュータ装置からの返信パケットと異なるように生成した疑似パケットを、送信元のコンピュータ装置に向けて送信させる。
なお、疑似応答制御部33aは、シーケンス番号(DM)と、シーケンス番号(M)との差が所定の閾値分以上になるように、ペイロードのデータ数を調整してTCPパケットを生成してもよい。また、疑似応答制御部33aは、シーケンス番号(N)と、シーケンス番号(DN)との差が所定の閾値分以上になるように、ペイロードのデータ数を調整してTCPパケットを生成してもよい。
応答生成部331aは、第1の実施形態の応答生成部331が有する機能の他に、上述した疑似パケットなどのTCPパケットを生成する。
図10は、本実施形態における通信制御装置1aの動作の一例を示す図である。
この図では、被攻撃側コンピュータ装置2と攻撃側コンピュータ装置3との間のコネクションを確立した後に、通信制御装置1aが、被攻撃側コンピュータ装置2と攻撃側コンピュータ装置3との間の当該コネクションを乗っ取る場合の一例を示している。すなわち、この図では、被攻撃側コンピュータ装置2と攻撃側コンピュータ装置3との間のコネクションを確立した後に、通信制御装置1aが、通信制御装置1aと被攻撃側コンピュータ装置2との間の第1のコネクションと、通信制御装置1aと攻撃側コンピュータ装置3との間の第2のコネクションとを確立する場合の一例を示している。
被攻撃側コンピュータ装置2が、「SYN」パケット(SeqNO=n)を攻撃側コンピュータ装置3に向けて送信する(ステップS301)。
次に、攻撃側コンピュータ装置3は、「SYN」パケット(SeqNO=n)に対して、「SYN+ACK」パケット(SeqNO=m、Ack=n+1)を被攻撃側コンピュータ装置2に向けて送信する(ステップS401)。
これにより、被攻撃側コンピュータ装置2と攻撃側コンピュータ装置3との間のコネクションが確立される。
なお、通信制御装置1aは、この間に、被攻撃側コンピュータ装置2と攻撃側コンピュータ装置3との間で通信されるTCPパケットに基づいて、シーケンス管理情報記憶部23のシーケンス番号(N)、シーケンス番号(DM)、シーケンス番号(M)、及びシーケンス番号(DN)を記憶及び更新させる。
この図に示す例では、被攻撃側コンピュータ装置2が、「ACK」パケット(SeqNO=n+1、Ack=m+1)を送信した後に開始するものとして説明する。
次に、通信制御装置1aは、「ACK」パケット(SeqNO=m+1、Ack=n+1)に対して、「ACK」パケット(SeqNO(=DN)=n+1、Ack(=M)=m+1,4バイト)を被攻撃側コンピュータ装置2よりも先に攻撃側コンピュータ装置3に向けて送信する(ステップS403)。このパケットを攻撃側コンピュータ装置3が受信することで、第2のコネクションが確立される。これにより、通信制御装置1aは、攻撃側コンピュータ装置3に対して、攻撃側コンピュータ装置3に成りすまして通信を行うことが可能になる。
また、以降の処理は、第1の実施形態における通信制御装置1と同様であるので、ここではその説明を省略する。
これにより、本実施形態による通信制御装置1aは、第1の実施形態と同様に、不正な通信に対する対策を行うことができる。また、本実施形態による通信制御装置1aは、簡易な手法により、2つのコンピュータ装置の間でコネクションを無効にして、2つのコンピュータ装置の双方に成りすますことができる。また、本実施形態による通信制御装置1aは、既にコネクションを確立している場合であっても、コネクションを無効にすることができる。
これにより、本実施形態による通信制御装置1aは、被攻撃側コンピュータ装置2と攻撃側コンピュータ装置3とが、偶然にコネクションが確立されてしまう可能性を低減することができる。よって、本実施形態による通信制御装置1aは、よりより安全を確保しつつ、情報を収集することができる。
次に、第3の実施形態による通信制御装置1bについて、図面を参照して説明する。
図11は、第3の実施形態による通信制御装置1bの一例を示す機能ブロック図である。
図11に示すように、通信制御装置1bは、通信部10と、記憶部20と、制御部30bとを備えている。なお、通信制御装置1b及びネットワーク機器4は、第1及び第2の実施形態と同様に、被攻撃側コンピュータ装置2と、攻撃側コンピュータ装置3との間の通信経路上に配置されている。
本実施形態の通信制御装置1bは、コネクションが確立された後に開始する点が異なる。すなわち、本実施形態では、制御部30bの一部の機能が、第1の実施形態の制御部30と異なり、この異なる機能について以下説明する。
駆除用処理部34は、“GET/HTTP/1.1”が含まれている場合に、被攻撃側コンピュータ装置2に向けて、“HTTP/1.1 301 Moved Permanently”を含むTCPパケットを送信させる。これにより、被攻撃側コンピュータ装置2は、例えば、内部LAN内の安全なサーバ装置と強制的に接続させて隔離される。また、駆除用処理部34は、攻撃側コンピュータ装置3に向けて、“GET/HTTP/1.1”を含むTCPパケットを第2のコネクションにより送信させて、例えば、悪意のあるコンテンツを収集し、通信履歴記憶部24に通信履歴として記憶させる。
なお、この図において、第1のコネクション及び第2のコネクションを確立した後の状態である。
図12に示す例では、被攻撃側コンピュータ装置2が、まず、「ACK」パケット(GET/HTTP/1.1 HOST:evik.example.com)を攻撃側コンピュータ装置3に向けて送信する(ステップS501)。ここでは、被攻撃側コンピュータ装置2が、危険なWebサイトである“evik.example.com”に接続しようとしている状態である。
攻撃側コンピュータ装置3は、「ACK」パケット(HTTP/1.1 200 OK)を第2のコネクションにより送信し(ステップS602)、さらに、「ACK」パケット(悪意のあるコンテンツ)を第2のコネクションにより送信する(ステップS603)。
これにより、被攻撃側コンピュータ装置2が安全に隔離されるので、本実施形態による通信制御装置1bは、より安全を確保しつつ、攻撃側コンピュータ装置3からの情報を収集することができる。
例えば、上記の各実施形態において、それぞれの実施形態を単独で実施する場合を説明したが、これに限定されるものではなく、上記の各実施形態のうちの複数の実施形態を組み合わせて実施してもよい。
また、上記の各実施形態において、通信制御装置1(1a、1b)は、1台の被攻撃側コンピュータ装置2と1台の攻撃側コンピュータ装置3との間の通信を制御する例を説明したが、これに限定されるものではない。例えば、通信制御装置1(1a、1b)は、複数台の被攻撃側コンピュータ装置2と複数台の攻撃側コンピュータ装置3との間の通信を制御してもよい。
また、「コンピュータシステム」は、インターネットやWAN、LAN、専用回線等の通信回線を含むネットワークを介して接続された複数のコンピュータ装置を含んでもよい。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。このように、プログラムを記憶した記録媒体は、CD−ROM等の非一過性の記録媒体であってもよい。
2 被攻撃側コンピュータ装置
3 攻撃側コンピュータ装置
4 ネットワーク機器
10 通信部
20 記憶部
21 検知対象記憶部
22 判定ルール記憶部
23 シーケンス管理情報記憶部
24 通信履歴記憶部
30、30a、30b 制御部
31 パケット検知部
32 パケット判定部
33、33a 疑似応答制御部
34 駆除用処理部
331、331a 応答生成部
332 送信制御部
Claims (8)
- 送信元及び送信先の2つのコンピュータ装置との間の応答速度よりも送信元のコンピュータ装置と自装置との間の応答速度が速くなるように配置される通信制御装置であって、
ネットワークで通信されるTCPパケットを監視し、前記ネットワークを介して接続された少なくとも2つのコンピュータ装置の間で通信される通信パケットを検知するパケット検知部と、
前記パケット検知部が前記通信パケットを検知した場合に、当該通信パケットに対する送信先のコンピュータ装置からの返信パケットを無効にするように生成された疑似パケットを、送信元のコンピュータ装置に向けて送信させる制御部と
を備えることを特徴とする通信制御装置。 - 前記制御部は、
前記2つのコンピュータ装置の間でコネクションを確立する際に前記疑似パケットの送信を開始する場合に、シーケンス番号が前記送信先のコンピュータ装置からの前記返信パケットと異なるように生成した前記疑似パケットを、前記送信元のコンピュータ装置に向けて送信させる
ことを特徴とする請求項1に記載の通信制御装置。 - 前記制御部は、
前記2つのコンピュータ装置の間でコネクションを確立した後に前記疑似パケットの送信を開始する場合に、ペイロードのデータ数が前記送信先のコンピュータ装置からの前記返信パケットと異なるように生成した前記疑似パケットを、前記送信元のコンピュータ装置に向けて送信させる
ことを特徴とする請求項1又は請求項2に記載の通信制御装置。 - 前記2つのコンピュータ装置には、被攻撃側のコンピュータ装置と、攻撃側のコンピュータ装置とが含まれ、
前記制御部は、
前記被攻撃側のコンピュータ装置から前記攻撃側のコンピュータ装置に送信された第1の通信パケットに対する前記攻撃側のコンピュータ装置からの第1の返信パケットを無効にするように、第1の疑似パケットを生成し、生成した前記第1の疑似パケットを前記被攻撃側のコンピュータ装置に向けて送信させて、自装置と前記被攻撃側のコンピュータ装置との間の第1のコネクションを確立し、
前記攻撃側のコンピュータ装置から前記被攻撃側のコンピュータ装置に送信された第2の通信パケットに対する前記被攻撃側のコンピュータ装置からの第2の返信パケットを無効にするように、第2の疑似パケットを生成し、生成した前記第2の疑似パケットを前記攻撃側のコンピュータ装置に向けて送信させて、自装置と前記攻撃側のコンピュータ装置との間の第2のコネクションを確立する
ことを特徴とする請求項1から請求項3のいずれか一項に記載の通信制御装置。 - 前記制御部は、
前記第1のコネクション及び前記第2のコネクションを確立した後に、前記第1のコネクションによって前記被攻撃側のコンピュータ装置から送信された第3の通信パケットのペイロードをダミーデータに変更するとともに、当該第3の通信パケットを前記第2のコネクションにおけるシーケンス番号及び確認応答番号に変更して、前記攻撃側のコンピュータ装置に向けて送信させ、
前記第1のコネクション及び前記第2のコネクションを確立した後に、前記第2のコネクションによって前記攻撃側のコンピュータ装置から送信された第4の通信パケットのペイロードをダミーデータに変更するとともに、当該第4の通信パケットを前記第1のコネクションにおけるシーケンス番号及び確認応答番号に変更して、前記被攻撃側のコンピュータ装置に向けて送信させる
ことを特徴とする請求項4に記載の通信制御装置。 - 前記第1のコネクション及び前記第2のコネクションを確立した後に、予め定められたルールに基づいて、前記第3の通信パケット及び前記第4の通信パケットのそれぞれのペイロードをダミーデータに変更するか否かを判定する判定部を備え、
前記制御部は、
前記判定部が判定した判定結果に基づいて、前記第3の通信パケット及び前記第4の通信パケットのそれぞれのペイロードを、ダミーデータに変更するか否かを切り替える
ことを特徴とする請求項5に記載の通信制御装置。 - 送信元及び送信先の2つのコンピュータ装置との間の応答速度よりも送信元のコンピュータ装置と自装置との間の応答速度が速くなるように配置される通信制御装置が、ネットワークで通信されるTCPパケットを監視し、前記ネットワークを介して接続された少なくとも2つのコンピュータ装置の間で通信される通信パケットを検知するパケット検知ステップと、
前記通信制御装置が、前記パケット検知ステップにて前記通信パケットを検知した場合に、当該通信パケットに対する送信先のコンピュータ装置からの返信パケットを無効にするように生成された疑似パケットを、送信元のコンピュータ装置に向けて送信する制御ステップと
を含むことを特徴とする通信制御方法。 - 送信元及び送信先の2つのコンピュータ装置との間の応答速度よりも送信元のコンピュータ装置と自装置との間の応答速度が速くなるように配置される通信制御装置のコンピュータに、
ネットワークで通信されるTCPパケットを監視し、前記ネットワークを介して接続された少なくとも2つのコンピュータ装置の間で通信される通信パケットを検知するパケット検知ステップと、
前記パケット検知ステップにて前記通信パケットを検知した場合に、当該通信パケットに対する送信先のコンピュータ装置からの返信パケットを無効にするように生成された疑似パケットを、送信元のコンピュータ装置に向けて送信させる制御ステップと
を実行させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014055078A JP6220709B2 (ja) | 2014-03-18 | 2014-03-18 | 通信制御装置、通信制御方法、及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014055078A JP6220709B2 (ja) | 2014-03-18 | 2014-03-18 | 通信制御装置、通信制御方法、及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015176579A true JP2015176579A (ja) | 2015-10-05 |
JP6220709B2 JP6220709B2 (ja) | 2017-10-25 |
Family
ID=54255665
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014055078A Active JP6220709B2 (ja) | 2014-03-18 | 2014-03-18 | 通信制御装置、通信制御方法、及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6220709B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020054818A1 (ja) * | 2018-09-14 | 2020-03-19 | 株式会社 東芝 | 通信制御装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002312261A (ja) * | 2001-04-09 | 2002-10-25 | Nippon Telegr & Teleph Corp <Ntt> | ネットワークサービス中継方法及び中継装置 |
JP2003309607A (ja) * | 2002-04-17 | 2003-10-31 | Ntt Data Corp | アンチプロファイリング装置およびアンチプロファイリングプログラム |
JP2007537617A (ja) * | 2004-01-07 | 2007-12-20 | アラジン ノゥリッジ システムズ リミテッド | チェックポイントを介して実行ファイルの通過時間を高速化する方法 |
JP2010200300A (ja) * | 2009-01-28 | 2010-09-09 | Meidensha Corp | Tcp通信方式 |
-
2014
- 2014-03-18 JP JP2014055078A patent/JP6220709B2/ja active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002312261A (ja) * | 2001-04-09 | 2002-10-25 | Nippon Telegr & Teleph Corp <Ntt> | ネットワークサービス中継方法及び中継装置 |
JP2003309607A (ja) * | 2002-04-17 | 2003-10-31 | Ntt Data Corp | アンチプロファイリング装置およびアンチプロファイリングプログラム |
JP2007537617A (ja) * | 2004-01-07 | 2007-12-20 | アラジン ノゥリッジ システムズ リミテッド | チェックポイントを介して実行ファイルの通過時間を高速化する方法 |
JP2010200300A (ja) * | 2009-01-28 | 2010-09-09 | Meidensha Corp | Tcp通信方式 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020054818A1 (ja) * | 2018-09-14 | 2020-03-19 | 株式会社 東芝 | 通信制御装置 |
JPWO2020054818A1 (ja) * | 2018-09-14 | 2021-04-30 | 株式会社東芝 | 通信制御装置 |
JP7068482B2 (ja) | 2018-09-14 | 2022-05-16 | 株式会社東芝 | 通信制御システム |
Also Published As
Publication number | Publication date |
---|---|
JP6220709B2 (ja) | 2017-10-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101263329B1 (ko) | 네트워크 공격 방어 장치 및 방법, 이를 포함한 패킷 송수신 처리 장치 및 방법 | |
US8677474B2 (en) | Detection of rogue client-agnostic NAT device tunnels | |
JP5009244B2 (ja) | マルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラム | |
US10680893B2 (en) | Communication device, system, and method | |
JP6364255B2 (ja) | 通信制御装置、攻撃防御システム、攻撃防御方法、及びプログラム | |
US9800593B2 (en) | Controller for software defined networking and method of detecting attacker | |
KR20080020584A (ko) | 지능망 인터페이스 컨트롤러 | |
JP2017204722A (ja) | Sdnコントローラ | |
CN108270722B (zh) | 一种攻击行为检测方法和装置 | |
US20170070518A1 (en) | Advanced persistent threat identification | |
KR20120060655A (ko) | 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크 | |
JP2020017809A (ja) | 通信装置及び通信システム | |
US7773540B1 (en) | Methods, system and apparatus preventing network and device identification | |
JP2008054204A (ja) | 接続装置及び端末装置及びデータ確認プログラム | |
JP2011154727A (ja) | 解析システム、解析方法および解析プログラム | |
JP2008276457A (ja) | ネットワーク保護プログラム、ネットワーク保護装置およびネットワーク保護方法 | |
JP2008306610A (ja) | 不正侵入・不正ソフトウェア調査システム、および通信振分装置 | |
US20150326590A1 (en) | Interdicting undesired service | |
JP6220709B2 (ja) | 通信制御装置、通信制御方法、及びプログラム | |
JP5531064B2 (ja) | 通信装置、通信システム、通信方法、および、通信プログラム | |
US11159533B2 (en) | Relay apparatus | |
JP2018073397A (ja) | 通信装置 | |
KR20130009130A (ko) | 좀비 피씨 및 디도스 대응 장치 및 방법 | |
JP6635029B2 (ja) | 情報処理装置、情報処理システム及び通信履歴解析方法 | |
JP6101525B2 (ja) | 通信制御装置、通信制御方法、通信制御プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20161205 |
|
TRDD | Decision of grant or rejection written | ||
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170831 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170905 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20171002 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6220709 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |