JP3729830B2 - 不正ルーティング監視方法、不正ルーティング監視プログラムおよび不正ルーティング監視装置 - Google Patents
不正ルーティング監視方法、不正ルーティング監視プログラムおよび不正ルーティング監視装置 Download PDFInfo
- Publication number
- JP3729830B2 JP3729830B2 JP2004043254A JP2004043254A JP3729830B2 JP 3729830 B2 JP3729830 B2 JP 3729830B2 JP 2004043254 A JP2004043254 A JP 2004043254A JP 2004043254 A JP2004043254 A JP 2004043254A JP 3729830 B2 JP3729830 B2 JP 3729830B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- address information
- routing
- unauthorized
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、IP(Internet Protocol)およびイーサネット(登録商標)を利用したネットワークにおける不正ルーティングを監視する技術に関する。
現在、端末を接続させてLAN(Local Area Network)を構成し、LANからルータを介してインターネット等の外部ネットワークに接続できるようなネットワークシステムが普及している。このようなイーサネット(登録商標)のネットワークシステムでは、種々の端末機が使用されることから、マルチベンダの使用に適したIPが使用されている。
また、このようなネットワークシステムにおいて、外部ネットワークあるいはLAN内部から、LANに接続される端末に不正に侵入されることがある。このような不正侵入を監視するために、ネットワークに接続される情報機器の資源の構成及び利用状況の情報を収集し、不正利用および不正接続を検出する技術が提案されている(例えば、特許文献1参照)。
また、このようなネットワークシステムにおいて、外部ネットワークあるいはLAN内部から、LANに接続される端末に不正に侵入されることがある。このような不正侵入を監視するために、ネットワークに接続される情報機器の資源の構成及び利用状況の情報を収集し、不正利用および不正接続を検出する技術が提案されている(例えば、特許文献1参照)。
この従来技術は、図11に示すように、2つのLAN(ローカルエリアネットワーク)11、12がインターネット13と接続され、インターネット13を通じて情報のやり取りが可能な構成となっている。インターネット13には、ネットワークの利用状況等を監視するネットワーク集中監視装置14が接続されると共に、コンピュータウィルスに対する最新のワクチンのダウンロードサービスを提供するウィルス対策ワクチン配布Webサイト15が接続されている。LAN11および12には、コンピュータなどの情報機器111、112と、メールの送受信を行うためのメールサーバ113と、ファイルを管理するファイルサーバ114と、プロキシの設定を行うプロキシサーバ115と、不正アクセスを防ぐためのファイアウォールサーバ116と、LAN内における情報機器の接続状況及びトラフィックを監視する監視装置117とが接続されている。各情報機器111、112には、情報機器111および112における資源の構成及び利用状況並びに利用者による利用状況を収集するエージェントと、コンピュータウィルスに対するワクチンを投入するウィルス検知手段とを実装している。また、ネットワーク集中監視装置14において、各情報機器のエージェントが収集した情報機器の資源の構成及び利用状況の情報を取得し、ネットワーク内における各情報機器の資源の構成及び利用状況を認識すると共に、不正利用および不正接続を検出している。
上記従来技術では、情報機器の資源の構成や利用状況の情報を、ネットワーク集中監視装置14において逐一収集しなければならないので処理負荷が大きくなる。すなわち、上記従来技術では、ネットワーク集中監視装置14でネットワークにおけるすべての利用状況等を把握しなければならない。このため、ネットワーク集中監視装置14での処理はネットワーク規模が大きくなるほど増大する。
本発明の目的は、上記課題を解決するものであり、IPおよびイーサネット(登録商標)を利用するネットワークで、より簡単に不正接続を検出する技術を提供することにある。
本発明の目的は、上記課題を解決するものであり、IPおよびイーサネット(登録商標)を利用するネットワークで、より簡単に不正接続を検出する技術を提供することにある。
上記目的を達成させるために、本発明は、IP(Internet Protocol)およびイーサネット(登録商標)を利用するネットワークに接続されるルータでの不正ルーティングを監視する不正ルーティング監視方法であって、前記ルータのルーティングテーブル情報およびARP(Address Resolution Protocol)テーブル情報を採取する第1のステップと、前記ルーティングテーブル情報に登録された前記ネットワークの経路を示すGW(ゲートウェイ)のIPアドレス情報を検出する第2のステップと、前記ARPテーブル情報に登録された、前記検出されたGWのIPアドレス情報に対応するGWのMAC(Media Access Control Address)アドレス情報が正当であるか否かを検出する第3のステップと、前記GWのIPアドレス情報に対応するGWのMACアドレス情報が正当でないと検出された場合に、その旨を出力する第4のステップと、を備える。
本発明によれば、例えば、ルータのルーティングテーブルを不正に書き換えて、仮想的なルーティング情報を設定し、不正にアクセスを行うようなことが起こった場合に、その仮想的なルーティング情報のMACアドレス情報は実在しないので、GWのIPアドレス情報に対応するMACアドレス情報の正当性を検証することにより、不正接続をより簡単に検出することができる。
本発明によれば、例えば、ルータのルーティングテーブルを不正に書き換えて、仮想的なルーティング情報を設定し、不正にアクセスを行うようなことが起こった場合に、その仮想的なルーティング情報のMACアドレス情報は実在しないので、GWのIPアドレス情報に対応するMACアドレス情報の正当性を検証することにより、不正接続をより簡単に検出することができる。
本発明によれば、GW−IPアドレス情報に対応するMACアドレス情報の正当性を検証することにより、不正接続をより簡単に検出することができる。
以下、本発明の実施の形態を、図面を参照して説明する。
図1は、本発明の第1の実施の形態におけるIP(Internet Protocol)およびイーサネット(登録商標)を利用したネットワークシステムの構成図を示している。第1の実施の形態では、端末が、不正アクセスの検出を行い、管理端末に通知する場合を例にする。
図1において、LAN(ローカルエリアネットワーク)1は、インターネットなどのネットワーク270を介して監視センタ260に接続されている。LAN1には、パーソナルコンピュータ等の複数の端末201A、B、Cと、サーバ230と、LAN1を管理するための管理端末240と、LAN1をネットワーク270に接続するためのルータ(GW)220Aとが接続されている。端末201A、B、Cは、それぞれクライアントコンピュータとしてサーバ230と通信を行うことができる。また、ルータ220Aおよびネットワーク270を介して他のネットワークの端末と通信を行うことができる。図1において、サーバ230、管理端末240および端末201A、B、Cの各々には、オペレーティングシステムシステム(OS)271と、各種の業務を行なうためのアプリケーションプログラムAP272と、本実施の形態における不正アクセス監視プログラム(監視PRO)273と、ネットワークに接続するためのルーティング情報などの各種設定情報を記憶する設定テーブルT274とを備えている。
不正アクセス監視プログラム273は、設定テーブルT274に新たにルーティング情報が設定された場合に、その正当性を判断することにより、不正アクセスを監視するためのソフトウェアである。設定テーブルT274には、自端末のアドレス情報であるIPアドレスとMACアドレス(Media Access Control Address)、宛先の端末のアドレス情報であるルーティング情報およびARP情報を記憶している。ルーティング情報は、スタティックルーティングとダイナミックルーティングいずれでもよい。図2に、端末201Aに記憶している設定テーブルT274を示す。図2において、設定テーブルT274は、自端末のIPアドレスとMACアドレスとを対応させて記憶する自端末情報310と、ルーティング情報を記憶するルーティングテーブル311と、ARP情報を記憶するARP(Address Resolution Protocol)テーブル312とを記憶している。ルーティングテーブル311には、宛先端末ごとに、宛先端末のIPアドレスと、宛先端末との間で経由するGWのIPアドレスとが対応付けられて記憶される。ARPテーブル312には、GW毎に、GWのIPアドレスとGWのMACアドレスとが対応して記憶される。
つぎに、図3に、不正に内容が追加された場合の設定テーブルT274の例を示す。図3に示す例では、設定テーブルT274が不正に書き換えられて、宛先端末のIPアドレス192.168.1.1/32と、経由するGWのIPアドレス10.0.0.100とを含むレコードが追加され、また、ARPテーブル312に、GWのIPアドレス10.0.0.1と、GWのMACアドレスdddd.dddd.ddddとを含むレコードが追加されている。本実施の形態においては、端末のルーティングテーブル311を不正に書き換えて、仮想的なルーティング情報を設定し、その仮想的なルーティング情報により送受信を行うようなことが起こった場合に、その仮想的なルーティング情報のMACアドレス情報は実在しないので、後述する問い合わせを行うことにより、MACアドレス情報が存在するかを検証することで不正を検出している。
つぎに、端末201A、B、Cのハードウェア構成を図4に示す。端末201A、B、Cは、パーソナルコンピュータなどの電子計算機である。図4に示すように、CPU401と、ROM、RAMなどのメモリ403と、キーボードなどの入力装置402と、処理結果等を表示するディスプレイ404とを備える。前述したOS271、AP272、監視プログラム273および設定テーブル274は、メモリ403に記憶される。CPU401は、メモリ403に記憶されたOS271、AP272、監視プログラム273を実行する。
図1は、本発明の第1の実施の形態におけるIP(Internet Protocol)およびイーサネット(登録商標)を利用したネットワークシステムの構成図を示している。第1の実施の形態では、端末が、不正アクセスの検出を行い、管理端末に通知する場合を例にする。
図1において、LAN(ローカルエリアネットワーク)1は、インターネットなどのネットワーク270を介して監視センタ260に接続されている。LAN1には、パーソナルコンピュータ等の複数の端末201A、B、Cと、サーバ230と、LAN1を管理するための管理端末240と、LAN1をネットワーク270に接続するためのルータ(GW)220Aとが接続されている。端末201A、B、Cは、それぞれクライアントコンピュータとしてサーバ230と通信を行うことができる。また、ルータ220Aおよびネットワーク270を介して他のネットワークの端末と通信を行うことができる。図1において、サーバ230、管理端末240および端末201A、B、Cの各々には、オペレーティングシステムシステム(OS)271と、各種の業務を行なうためのアプリケーションプログラムAP272と、本実施の形態における不正アクセス監視プログラム(監視PRO)273と、ネットワークに接続するためのルーティング情報などの各種設定情報を記憶する設定テーブルT274とを備えている。
不正アクセス監視プログラム273は、設定テーブルT274に新たにルーティング情報が設定された場合に、その正当性を判断することにより、不正アクセスを監視するためのソフトウェアである。設定テーブルT274には、自端末のアドレス情報であるIPアドレスとMACアドレス(Media Access Control Address)、宛先の端末のアドレス情報であるルーティング情報およびARP情報を記憶している。ルーティング情報は、スタティックルーティングとダイナミックルーティングいずれでもよい。図2に、端末201Aに記憶している設定テーブルT274を示す。図2において、設定テーブルT274は、自端末のIPアドレスとMACアドレスとを対応させて記憶する自端末情報310と、ルーティング情報を記憶するルーティングテーブル311と、ARP情報を記憶するARP(Address Resolution Protocol)テーブル312とを記憶している。ルーティングテーブル311には、宛先端末ごとに、宛先端末のIPアドレスと、宛先端末との間で経由するGWのIPアドレスとが対応付けられて記憶される。ARPテーブル312には、GW毎に、GWのIPアドレスとGWのMACアドレスとが対応して記憶される。
つぎに、図3に、不正に内容が追加された場合の設定テーブルT274の例を示す。図3に示す例では、設定テーブルT274が不正に書き換えられて、宛先端末のIPアドレス192.168.1.1/32と、経由するGWのIPアドレス10.0.0.100とを含むレコードが追加され、また、ARPテーブル312に、GWのIPアドレス10.0.0.1と、GWのMACアドレスdddd.dddd.ddddとを含むレコードが追加されている。本実施の形態においては、端末のルーティングテーブル311を不正に書き換えて、仮想的なルーティング情報を設定し、その仮想的なルーティング情報により送受信を行うようなことが起こった場合に、その仮想的なルーティング情報のMACアドレス情報は実在しないので、後述する問い合わせを行うことにより、MACアドレス情報が存在するかを検証することで不正を検出している。
つぎに、端末201A、B、Cのハードウェア構成を図4に示す。端末201A、B、Cは、パーソナルコンピュータなどの電子計算機である。図4に示すように、CPU401と、ROM、RAMなどのメモリ403と、キーボードなどの入力装置402と、処理結果等を表示するディスプレイ404とを備える。前述したOS271、AP272、監視プログラム273および設定テーブル274は、メモリ403に記憶される。CPU401は、メモリ403に記憶されたOS271、AP272、監視プログラム273を実行する。
図1に示す構成において、端末211が端末201Aに不正にアクセスしたときに、端末201Aにおいて不正アクセスを検出する場合を例にして第1の実施の形態を説明する。
端末201Aには、本実施の形態における不正アクセス監視プログラム273があらかじめインストールされていて、この不正アクセス監視プログラム273は、図3に示すように設定テーブルT274に新たにルーティング情報が登録されたとき、もしくは、あらかじめ定められた時間に起動される。起動周期は定期的でも不定期でもよい。本実施の形態において、ルーティング情報の登録には、正当な端末との送受信を行うためのルーティング情報の登録と、不正な端末による仮想的なルーティング情報の登録とがある場合を想定している。その仮想的なルーティング情報により送受信を行うようなことが起こった場合に、不正な端末は、仮想的なルーティング情報が宛先として設定されたパケットを受信することはできたとしても、その仮想的なルーティング情報のMACアドレス情報は実在しないので、リバースARP(RARP)コマンドや、ARPコマンド、Ping(Packet Internet Groper)コマンドなどの問い合わせに対しては応答しないので、これらのコマンドを実行することで不正を検出している。
本実施の形態における不正アクセス監視プログラム273は、次の3つの条件A,B,Cを満たす場合に、不正アクセスが行われたと判断する。
(条件A) ディフォルトルート以外のゲートウェイを経由するルーティング情報がルーティングテーブル311に存在する。
(条件B) ARPテーブル312中に条件Aを満たすゲートウェイのIPアドレスと関連付けられているMACアドレスが存在する。
(条件C) 条件Bを満たすARPテーブル312に登録されたMACアドレスが実在のものと異なる。
これらの条件A,B,Cをフローチャートに示したものが図6〜図9である。デェフォルトルート以外のゲートウェイ(GW)を経由するルーティング情報がルーティングテーブル311に存在し(条件A)、ARPテーブル312中にそのゲートウェイのIPアドレスと関連付けられたMACアドレスが存在し(条件B)、そのMACアドレスがあらかじめ登録された実在のGWのものと異なる(条件C)場合に、不正であると判断する。
以下、不正アクセス監視プログラム273の動作を、図6〜図9に示すフローチャート(その1〜4)を参照して説明する。図6〜図9に、第1の実施の形態における不正監視プログラムのフローチャート(その1〜4)を示す。
図6において、不正アクセス監視プログラム273は、新たにルーティングテーブル311のレコードが登録されたとき、もしくは、定期的に、登録されたルーティング情報のGWのIPアドレス(GW―IPアドレス)が、図3に示す設定テーブルT274のARPテーブル312に登録されているかを判断する(S601)。ARPテーブル312にGW―IPアドレスが登録されていなければ、通信を行うことができないので不正はされていないと判断する。ARPテーブル312にGW―IPアドレスが登録されていれば、ARPテーブル312に登録されているGW―IPアドレスに対応するGWのMACアドレスが正当であるか否かを検証する(S603)。この処理については、図7〜図9を用いて後述する。図3に示す例においては、新たに追加されたルーティングテーブル311のGW−IPアドレス10.0.0.1に対応するARPテーブル312のMACアドレスdddd.dddd.ddddについて検証する。
検証後、MACアドレスについて不正の疑いがあれば(S604)、不正アクセスの可能性があるとして、ディスプレイ404にその旨を表示する(S605)。図5に、ディスプレイ404に表示する表示例の説明図を示す。図5に示すように、不正を検出した場合には、「
IPアドレス10.0.0.1 MACアドレスdddd.dddd.dddd」などと、検出した結果を表示する。また、不正を検出した場合に、アラーム音などを送出したり、不正なレコードをルーティングテーブル311およびARPテーブル312からクリアしたりしてもよい。
図6において、MACアドレスが正当であれば、ルーティングテーブル311の他の新たなレコードについて検証する(S602)。もしくは、定期的に起動している場合には、すべてのレコードについて検証後、不正アクセス監視プログラム273を終了する。
つぎに、図6のS603での処理を図7〜図9を参照して説明する。MACアドレスの正当性を検証するために、端末201Aにおいて、不正アクセス監視プログラム273は、ネットワーク270に対してリバースARP(RARP)コマンドを要求する(S701)。この場合、リバースARPの要求として、S601で検出したGW−IPのMACアドレスを入力とする。RARPの応答がある場合には(S702)、RARPの応答からIPアドレスを取得し(S703)、取得したIPアドレスと、ARPテーブル312のIPアドレスとが一致するか否かを比較し(S704)、一致すれば、不正なしと判断し、図8に示すS800へ移行する(S705)。不一致の場合には、不正の疑いがある(S707)として図6に示すS604に移行する(S707)。また、RARPの応答が、一定時間にない場合には、不正ルーティングか、障害発生か、もしくは、無許可のルータが設置された疑いがあるとして(S706)、図6に示すS604へ進む(S707)。
つぎに、図8のS801において、不正アクセス監視プログラム273は、ネットワーク270に対して、IPアドレスからMACアドレスを取得するため、ARPを要求する(S801)。この場合、ARPの要求に、S601で検出したGW−IPのIPアドレスを含める。ARPの応答がある場合には(S802)、ARPの応答からMACアドレスを取得し(S803)、取得したMACアドレスと、ARPテーブル312内のARP情報のGW−IPアドレスに対応するMACアドレスとが一致するか否かを比較し(S804)、一致すれば、不正なしと判断し、図9に示すS901へ移行する(S805)。不一致の場合には、不正の疑いがあるとして図6に示すS604に移行する(S807)。また、ARPの応答が、一定時間にない場合には、不正ルーティングか、障害発生か、もしくは、無許可のルータが設置された疑いがあるとして(S806)、図6に示すS604へ進む(S807)。
つぎに、図9に示すS901おいて、不正アクセス監視プログラム273は、ネットワーク270に対してPing(Packet Internet Groper)コマンドを要求する(S901)。この場合、図6に示すS601で検出したGW−IPアドレスを宛先とする。Pingの応答がある場合には、ARPテーブル312が更新されるため、ARPテーブル312を再検索し、GW−IPアドレスに対するMACアドレスを取得し(S902)、取得したMACアドレスと、Ping実行前のMACアドレスとが一致するか否かを比較し(S903)、一致すれば、不正なしと判断し、図6に示すS602へ移行する(S904)。不一致の場合には、不正の疑いがある(S906)として図6に示すS604に移行する。また、Pingの応答が、一定時間にない場合には、不正ルーティングか、障害発生か、もしくは、無許可のルータが設置された疑いがあるとして(S906)、S604へ進む(S906)。
以上、説明したように、GW−IPアドレスのMACアドレスの正当性を検証することにより、不正アクセスをより簡単に検出することができる。また、図7〜図9に示すフローチャートは、不正を検出しない場合に、図7、図8、図9と順番に検証しているが、どれから実行してもよく、実行する順番変えてもよい。
また、端末201は、不正を検出した場合に、管理端末240や、監視センタ260の監視装置250に不正を検出した旨を通知するようにしてもよい。この場合、管理端末240や、監視センタ260の監視装置250は、端末201から不正検出の通知を受けると、不正アクセスの可能性があるとして、ディスプレイにその旨を表示することができる。
つぎに、第2の実施の形態を説明する。第1の実施の形態では、端末において不正アクセスを検出したが、第2の実施の形態では、図1に示す監視センタ260の監視装置250において、ルータ220Aに不正ルーティングが設定されたことを検出する方法ついて説明する。本実施の形態におけるルータは、前述の端末201と同様のルーティングテーブル311やARPテーブル312の設定テーブルT274を備え、SNMP(Simple Network Management Protocol)に対応している。本実施の形態においてもネットワークシステムの構成は第1の実施の形態と同様である。また、監視装置250の構成は、図4に示す端末の構成と同様である。監視装置250には、第2の実施の形態における不正アクセス監視プログラム273があらかじめインストールされていて、あらかじめ定められた時間に起動される。起動周期は、定期的でも不定期でもよい。本実施の形態においても、ルーティング情報の登録には、正当な端末との送受信を行うためのルーティング情報の登録と、不正な端末による仮想的なルーティング情報の登録とがある場合を想定している。その仮想的なルーティング情報により送受信を行うようなことが起こった場合に、不正な端末は、仮想的なルーティング情報が宛先として設定されたパケットを受信することはできたとしても、その仮想的なルーティング情報のMACアドレス情報は実在しないので、Ping(Packet Internet Groper)コマンドの問い合わせに対しては応答しないので、これらのコマンドを実行することで不正を検出している。
図10に、第2の実施の形態における不正アクセス監視プログラム273のフローチャートを示す。
監視装置250において、不正アクセス監視プログラム273は、SNMPでルータ220Aのルーティングテーブル311とARPテーブル312を採取する(S1001、S1002)。ルーティング情報のゲートウェイ(GW)―IPアドレスが、ARPテーブル312に登録されているかを判断する(S1003)。ARPテーブル312にGW―IPアドレスが登録されていなければ、通信を行うことができないので不正はされていないと判断する。ARPテーブル312にGW―IPアドレスが登録されていれば、ルータからそのGWにPingが実行可能かどうかを判断し(S1004)、可能であれば、ルータに対してそのGWにPingを実行するように指示する(S1006)。可能でなければ、監視装置250からそのGWに対してPingを実行する(S1005)。この場合、あらかじめ監視装置250に、Pingが実行可能なルータの識別情報を登録しておくことにより、登録してあるルータならば、そのGWにPingが実行可能であると判断し、登録していなければ実行不可能と判断する。S1003で検出したGW−IPアドレスを宛先とする。Pingの応答がある場合には(S1007)、ARPテーブル312が更新されるため、ARPテーブル312を再検索し、GW−IPアドレスに対するMACアドレスを取得し(S1009)、取得したMACアドレスと、Ping実行前のMACアドレスとが一致するか否かを比較し(S1010)、一致すれば、不正なしと判断し、S1012へ移行する。不一致の場合には、不正の疑いがある(S1011)として、図5に示すようにディスプレイにその旨を表示する。また、Pingの応答が、一定時間にない場合には、不正ルーティングか、障害発生か、もしくは、無許可のルータが設置された疑いがあるとして(S1008)、不正の疑いがある旨を図5に示すようにディスプレイ等に表示して通知する。
ルーティングテーブル311のすべてのレコードを検証後、さらに、ルータが複数ある場合には、他のルータ検証も行う(S1012)。
本実施の形態における不正アクセス監視プログラム273は、次の3つの条件A,B,Cを満たす場合に、不正アクセスが行われたと判断する。
(条件A) ディフォルトルート以外のゲートウェイを経由するルーティング情報がルーティングテーブル311に存在する。
(条件B) ARPテーブル312中に条件Aを満たすゲートウェイのIPアドレスと関連付けられているMACアドレスが存在する。
(条件C) 条件Bを満たすARPテーブル312に登録されたMACアドレスが実在のものと異なる。
これらの条件A,B,Cをフローチャートに示したものが図6〜図9である。デェフォルトルート以外のゲートウェイ(GW)を経由するルーティング情報がルーティングテーブル311に存在し(条件A)、ARPテーブル312中にそのゲートウェイのIPアドレスと関連付けられたMACアドレスが存在し(条件B)、そのMACアドレスがあらかじめ登録された実在のGWのものと異なる(条件C)場合に、不正であると判断する。
以下、不正アクセス監視プログラム273の動作を、図6〜図9に示すフローチャート(その1〜4)を参照して説明する。図6〜図9に、第1の実施の形態における不正監視プログラムのフローチャート(その1〜4)を示す。
図6において、不正アクセス監視プログラム273は、新たにルーティングテーブル311のレコードが登録されたとき、もしくは、定期的に、登録されたルーティング情報のGWのIPアドレス(GW―IPアドレス)が、図3に示す設定テーブルT274のARPテーブル312に登録されているかを判断する(S601)。ARPテーブル312にGW―IPアドレスが登録されていなければ、通信を行うことができないので不正はされていないと判断する。ARPテーブル312にGW―IPアドレスが登録されていれば、ARPテーブル312に登録されているGW―IPアドレスに対応するGWのMACアドレスが正当であるか否かを検証する(S603)。この処理については、図7〜図9を用いて後述する。図3に示す例においては、新たに追加されたルーティングテーブル311のGW−IPアドレス10.0.0.1に対応するARPテーブル312のMACアドレスdddd.dddd.ddddについて検証する。
検証後、MACアドレスについて不正の疑いがあれば(S604)、不正アクセスの可能性があるとして、ディスプレイ404にその旨を表示する(S605)。図5に、ディスプレイ404に表示する表示例の説明図を示す。図5に示すように、不正を検出した場合には、「
IPアドレス10.0.0.1 MACアドレスdddd.dddd.dddd」などと、検出した結果を表示する。また、不正を検出した場合に、アラーム音などを送出したり、不正なレコードをルーティングテーブル311およびARPテーブル312からクリアしたりしてもよい。
図6において、MACアドレスが正当であれば、ルーティングテーブル311の他の新たなレコードについて検証する(S602)。もしくは、定期的に起動している場合には、すべてのレコードについて検証後、不正アクセス監視プログラム273を終了する。
つぎに、図6のS603での処理を図7〜図9を参照して説明する。MACアドレスの正当性を検証するために、端末201Aにおいて、不正アクセス監視プログラム273は、ネットワーク270に対してリバースARP(RARP)コマンドを要求する(S701)。この場合、リバースARPの要求として、S601で検出したGW−IPのMACアドレスを入力とする。RARPの応答がある場合には(S702)、RARPの応答からIPアドレスを取得し(S703)、取得したIPアドレスと、ARPテーブル312のIPアドレスとが一致するか否かを比較し(S704)、一致すれば、不正なしと判断し、図8に示すS800へ移行する(S705)。不一致の場合には、不正の疑いがある(S707)として図6に示すS604に移行する(S707)。また、RARPの応答が、一定時間にない場合には、不正ルーティングか、障害発生か、もしくは、無許可のルータが設置された疑いがあるとして(S706)、図6に示すS604へ進む(S707)。
つぎに、図8のS801において、不正アクセス監視プログラム273は、ネットワーク270に対して、IPアドレスからMACアドレスを取得するため、ARPを要求する(S801)。この場合、ARPの要求に、S601で検出したGW−IPのIPアドレスを含める。ARPの応答がある場合には(S802)、ARPの応答からMACアドレスを取得し(S803)、取得したMACアドレスと、ARPテーブル312内のARP情報のGW−IPアドレスに対応するMACアドレスとが一致するか否かを比較し(S804)、一致すれば、不正なしと判断し、図9に示すS901へ移行する(S805)。不一致の場合には、不正の疑いがあるとして図6に示すS604に移行する(S807)。また、ARPの応答が、一定時間にない場合には、不正ルーティングか、障害発生か、もしくは、無許可のルータが設置された疑いがあるとして(S806)、図6に示すS604へ進む(S807)。
つぎに、図9に示すS901おいて、不正アクセス監視プログラム273は、ネットワーク270に対してPing(Packet Internet Groper)コマンドを要求する(S901)。この場合、図6に示すS601で検出したGW−IPアドレスを宛先とする。Pingの応答がある場合には、ARPテーブル312が更新されるため、ARPテーブル312を再検索し、GW−IPアドレスに対するMACアドレスを取得し(S902)、取得したMACアドレスと、Ping実行前のMACアドレスとが一致するか否かを比較し(S903)、一致すれば、不正なしと判断し、図6に示すS602へ移行する(S904)。不一致の場合には、不正の疑いがある(S906)として図6に示すS604に移行する。また、Pingの応答が、一定時間にない場合には、不正ルーティングか、障害発生か、もしくは、無許可のルータが設置された疑いがあるとして(S906)、S604へ進む(S906)。
以上、説明したように、GW−IPアドレスのMACアドレスの正当性を検証することにより、不正アクセスをより簡単に検出することができる。また、図7〜図9に示すフローチャートは、不正を検出しない場合に、図7、図8、図9と順番に検証しているが、どれから実行してもよく、実行する順番変えてもよい。
また、端末201は、不正を検出した場合に、管理端末240や、監視センタ260の監視装置250に不正を検出した旨を通知するようにしてもよい。この場合、管理端末240や、監視センタ260の監視装置250は、端末201から不正検出の通知を受けると、不正アクセスの可能性があるとして、ディスプレイにその旨を表示することができる。
つぎに、第2の実施の形態を説明する。第1の実施の形態では、端末において不正アクセスを検出したが、第2の実施の形態では、図1に示す監視センタ260の監視装置250において、ルータ220Aに不正ルーティングが設定されたことを検出する方法ついて説明する。本実施の形態におけるルータは、前述の端末201と同様のルーティングテーブル311やARPテーブル312の設定テーブルT274を備え、SNMP(Simple Network Management Protocol)に対応している。本実施の形態においてもネットワークシステムの構成は第1の実施の形態と同様である。また、監視装置250の構成は、図4に示す端末の構成と同様である。監視装置250には、第2の実施の形態における不正アクセス監視プログラム273があらかじめインストールされていて、あらかじめ定められた時間に起動される。起動周期は、定期的でも不定期でもよい。本実施の形態においても、ルーティング情報の登録には、正当な端末との送受信を行うためのルーティング情報の登録と、不正な端末による仮想的なルーティング情報の登録とがある場合を想定している。その仮想的なルーティング情報により送受信を行うようなことが起こった場合に、不正な端末は、仮想的なルーティング情報が宛先として設定されたパケットを受信することはできたとしても、その仮想的なルーティング情報のMACアドレス情報は実在しないので、Ping(Packet Internet Groper)コマンドの問い合わせに対しては応答しないので、これらのコマンドを実行することで不正を検出している。
図10に、第2の実施の形態における不正アクセス監視プログラム273のフローチャートを示す。
監視装置250において、不正アクセス監視プログラム273は、SNMPでルータ220Aのルーティングテーブル311とARPテーブル312を採取する(S1001、S1002)。ルーティング情報のゲートウェイ(GW)―IPアドレスが、ARPテーブル312に登録されているかを判断する(S1003)。ARPテーブル312にGW―IPアドレスが登録されていなければ、通信を行うことができないので不正はされていないと判断する。ARPテーブル312にGW―IPアドレスが登録されていれば、ルータからそのGWにPingが実行可能かどうかを判断し(S1004)、可能であれば、ルータに対してそのGWにPingを実行するように指示する(S1006)。可能でなければ、監視装置250からそのGWに対してPingを実行する(S1005)。この場合、あらかじめ監視装置250に、Pingが実行可能なルータの識別情報を登録しておくことにより、登録してあるルータならば、そのGWにPingが実行可能であると判断し、登録していなければ実行不可能と判断する。S1003で検出したGW−IPアドレスを宛先とする。Pingの応答がある場合には(S1007)、ARPテーブル312が更新されるため、ARPテーブル312を再検索し、GW−IPアドレスに対するMACアドレスを取得し(S1009)、取得したMACアドレスと、Ping実行前のMACアドレスとが一致するか否かを比較し(S1010)、一致すれば、不正なしと判断し、S1012へ移行する。不一致の場合には、不正の疑いがある(S1011)として、図5に示すようにディスプレイにその旨を表示する。また、Pingの応答が、一定時間にない場合には、不正ルーティングか、障害発生か、もしくは、無許可のルータが設置された疑いがあるとして(S1008)、不正の疑いがある旨を図5に示すようにディスプレイ等に表示して通知する。
ルーティングテーブル311のすべてのレコードを検証後、さらに、ルータが複数ある場合には、他のルータ検証も行う(S1012)。
以上、説明したように、監視装置において、ルータの設定テーブルT274を採取してルーティング情報の正当性を検証することにより、不正ルーティングが設定されたことを検出することができる。
201A、B、C…端末、220A・B…ルータ、230・260…サーバ、240…管理端末、250…監視装置、260…監視センタ、1…LAN、270…ネットワーク。
Claims (5)
- IP(Internet Protocol)およびイーサネット(登録商標)を利用するネットワークに接続されるルータでの不正ルーティングを監視する不正ルーティング監視方法であって、
前記ルータのルーティングテーブル情報およびARP(Address Resolution Protocol)テーブル情報を採取する第1のステップと、
前記ルーティングテーブル情報に登録された前記ネットワークの経路を示すGW(ゲートウェイ)のIPアドレス情報を検出する第2のステップと、
前記ARPテーブル情報に登録された、前記検出されたGWのIPアドレス情報に対応するGWのMAC(Media Access Control Address)アドレス情報が正当であるか否かを検出する第3のステップと、
前記GWのIPアドレス情報に対応するGWのMACアドレス情報が正当でないと検出された場合に、その旨を出力する第4のステップと、を備えること
を特徴とする不正ルーティング監視方法。 - 請求項1に記載の不正ルーティング監視方法において、
前記第3のステップは、
前記ネットワークに対して前記GWのIPアドレス情報を宛先としてPing(Packet Internet Groper)コマンドを実行するステップと、
前記Pingコマンド実行後のARPテーブル情報を採取するステップと、
前記GWのMACアドレス情報と、前記Pingコマンド実行後の前記ARPテーブル情報におけるGWのMACアドレス情報とが一致するか否かを比較するステップと、
前記比較の結果、一致しない場合と、前記Pingコマンドの応答をあらかじめ定めた時間以内に受信しないときに、前記GWのMACアドレス情報が正当でないとするステップと、を備えること
を特徴とする不正ルーティング監視方法。 - 請求項1に記載の不正ルーティング監視方法において、
前記第3のステップは、
前記GWのIPアドレス情報を宛先としてPing(Packet Internet Groper)コマンドを実行するように前記ルータに指示するステップと、
前記Pingコマンド実行後のARPテーブル情報を採取するステップと、
前記GWのMACアドレス情報と、前記Pingコマンド実行後の前記ARPテーブル情報におけるGWのMACアドレス情報とが一致するか否かを比較するステップと、
前記比較の結果、一致しない場合と、前記Pingコマンドの応答をあらかじめ定めた時間以内に受信しないときに、前記GWのMACアドレス情報が正当でないとするステップと、を備えること
を特徴とする不正ルーティング監視方法。 - IP(Internet Protocol)およびイーサネット(登録商標)を利用するネットワークに接続されるルータでの不正ルーティングを監視する不正ルーティング監視プログラムであって、
前記不正アクセス監視プログラムは、コンピュータに、
前記ルータのルーティングテーブル情報およびARP(Address Resolution Protocol)テーブル情報を採取する第1のステップと、
前記ルーティングテーブル情報に登録された前記ネットワークの経路を示すGW(ゲートウェイ)のIPアドレス情報を検出する第2のステップと、
前記ARPテーブル情報に登録された、前記検出されたGWのIPアドレス情報に対応するGWのMAC(Media Access Control Address)アドレス情報が正当であるか否かを検出する第3のステップと、
前記GWのIPアドレス情報に対応するGWのMACアドレス情報が正当でないと検出された場合に、その旨を出力する第4のステップと、を実行させること
を特徴とする不正ルーティング監視プログラム。 - IP(Internet Protocol)およびイーサネット(登録商標)を利用するネットワークに接続されるルータでの不正ルーティングを監視する不正ルーティング監視装置であって、
前記ルータのルーティングテーブル情報およびARP(Address Resolution Protocol)テーブル情報を採取する採取手段と、
前記ルーティングテーブル情報に登録された前記ネットワークの経路を示すGW(ゲートウェイ)のIPアドレス情報を検出する検出手段と、
前記ARPテーブル情報に登録された、前記検出されたGWのIPアドレス情報に対応するGWのMAC(Media Access Control Address)アドレス情報が正当であるか否かを検出する正当性検出手段と、
前記正当性検出手段において前記GWのIPアドレス情報に対応するGWのMACアドレス情報が正当でないと検出された場合に、その旨を出力する出力手段と、を備えること
を特徴とする不正ルーティング監視装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004043254A JP3729830B2 (ja) | 2004-02-19 | 2004-02-19 | 不正ルーティング監視方法、不正ルーティング監視プログラムおよび不正ルーティング監視装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004043254A JP3729830B2 (ja) | 2004-02-19 | 2004-02-19 | 不正ルーティング監視方法、不正ルーティング監視プログラムおよび不正ルーティング監視装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005236665A JP2005236665A (ja) | 2005-09-02 |
JP3729830B2 true JP3729830B2 (ja) | 2005-12-21 |
Family
ID=35019168
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004043254A Expired - Fee Related JP3729830B2 (ja) | 2004-02-19 | 2004-02-19 | 不正ルーティング監視方法、不正ルーティング監視プログラムおよび不正ルーティング監視装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3729830B2 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7991877B2 (en) | 2007-10-05 | 2011-08-02 | International Business Machines Corporation | Rogue router hunter |
-
2004
- 2004-02-19 JP JP2004043254A patent/JP3729830B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2005236665A (ja) | 2005-09-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7360242B2 (en) | Personal firewall with location detection | |
US9049118B2 (en) | Probe election in failover configuration | |
JP4195480B2 (ja) | コンピュータ端末がネットワークに接続して通信することを管理・制御するための装置および方法。 | |
EP3297248B1 (en) | System and method for generating rules for attack detection feedback system | |
JP5987627B2 (ja) | 不正アクセス検出方法、ネットワーク監視装置及びプログラム | |
JP2008177714A (ja) | ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置 | |
US20170272456A1 (en) | Intrusion detection to prevent impersonation attacks in computer networks | |
JP2003218873A (ja) | 通信監視装置及び監視方法 | |
JP2007183773A (ja) | サーバ監視プログラム、サーバ監視装置、サーバ監視方法 | |
US20090122721A1 (en) | Hybrid network discovery method for detecting client applications | |
JP2001313640A (ja) | 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体 | |
US20040243843A1 (en) | Content server defending system | |
CN112491836B (zh) | 通信系统、方法、装置及电子设备 | |
JP3729830B2 (ja) | 不正ルーティング監視方法、不正ルーティング監視プログラムおよび不正ルーティング監視装置 | |
JP2003258795A (ja) | コンピュータ集合体運用方法及びその実施システム並びにその処理プログラム | |
JP4767683B2 (ja) | 中継装置、不正アクセス防止装置、およびアクセス制御プログラム | |
CN113242255B (zh) | 一种基于企业安全的智能流量分析方法及系统 | |
CN101729544B (zh) | 一种安全能力协商方法和系统 | |
CN112565203B (zh) | 一种集中管理平台 | |
JP2008141352A (ja) | ネットワークセキュリティシステム | |
JP4753264B2 (ja) | ネットワーク攻撃を検出するための方法、装置、およびコンピュータ・プログラム(ネットワーク攻撃の検出) | |
JP2006013732A (ja) | ルーティング装置および情報処理装置の認証方法 | |
JP2005236664A (ja) | 不正アクセス監視方法、不正アクセス監視プログラムおよび不正アクセス監視端末 | |
JP2005210451A (ja) | 不正アクセス防止装置及びプログラム | |
JP4561691B2 (ja) | 通信方法、情報処理装置、およびコンピュータプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20050913 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20051004 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111014 Year of fee payment: 6 |
|
LAPS | Cancellation because of no payment of annual fees |