JP3816370B2 - ネットワーク上の探索ノードを検知する方法及び装置、並びに探索ノード検知プログラム - Google Patents

ネットワーク上の探索ノードを検知する方法及び装置、並びに探索ノード検知プログラム Download PDF

Info

Publication number
JP3816370B2
JP3816370B2 JP2001324837A JP2001324837A JP3816370B2 JP 3816370 B2 JP3816370 B2 JP 3816370B2 JP 2001324837 A JP2001324837 A JP 2001324837A JP 2001324837 A JP2001324837 A JP 2001324837A JP 3816370 B2 JP3816370 B2 JP 3816370B2
Authority
JP
Japan
Prior art keywords
packet
address
network
node
response
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2001324837A
Other languages
English (en)
Other versions
JP2003134119A (ja
Inventor
英信 関
崇 三島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Azbil Corp
Original Assignee
Azbil Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Azbil Corp filed Critical Azbil Corp
Priority to JP2001324837A priority Critical patent/JP3816370B2/ja
Publication of JP2003134119A publication Critical patent/JP2003134119A/ja
Application granted granted Critical
Publication of JP3816370B2 publication Critical patent/JP3816370B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、ネットワーク上の探索ノードを検知する方法及び装置、並びに探索ノードを検知するためのコンピュータプログラムに関する。
【0002】
【従来の技術】
インターネットやイントラネットは現在のネットワーク社会において重要な役割を担っており、電子メール、電子商取引、電子マネーなどを扱う所謂e−ビジネスにとっては不可欠の通信手段となっている。しかし、このような状況の発展に伴い、近年では、ネットワークへの不正アクセスが急増し、不正にデータが持ち出されたり改竄されたりといった問題が深刻化している。従って、このような不正アクセス等を未然に防止するためのネットワーク上のセキュリティ対策が重要になってきている。
【0003】
ネットワークに接続されたノード(例えばコンピュータ等の情報機器)は、それぞれ固有の(重複するものはない)IPアドレスをもっており、このIPアドレスを介してデータの送受信が行われる。例えば、IPアドレスを指定してARP(Address Resolution Protocol)要求パケットをネットワークにブロードキャストで発信し、当該ネットワーク上に指定したIPアドレスが存在するときは、そのIPアドレスのノードよりARP応答パケットが返送され、データの送受信が可能となる。ここで、「ARP」とは、指定したIPアドレスからMACアドレスなどの物理アドレスを得るためのプロトコルである。
【0004】
従って、あるネットワークの情報を有していない第三者が、当該ネットワークに対して不正にアクセスするときの基本的な行動としては、当該ネットワークで稼動しているノードの探索、すなわち稼動しているノードのIPアドレスの割り出しが行われる。例えば、あるネットワークに対して、手当たり次第にIPアドレスを指定してARP要求パケットをブロードキャストで発信し、当該要求パケットに対する応答の有無によって当該ネットワーク上で稼動しているノードのIPアドレスを割り出すことができる。すなわち、割り出すことに成功したIPアドレスのノードに不正にアクセスすることが可能となる。
【0005】
そこで、ネットワークに接続されたノードから伝送されるパケットを監視することで、不正アクセスを未然に防ぐことが考えられている。
【0006】
【発明が解決しようとする課題】
しかし、ネットワーク上の全ての通信経路を監視できるような監視ポイントを用意することは非常に困難で、ネットワーク上の伝送パケットを全て監視することは現実的に難しい。また、ネットワーク上の伝送パケットを全て監視することができたとしても、当該パケットの発信元が存在するIPアドレスを探索しようとしているかどうかを判定することは難しい。
【0007】
また、ARP要求パケットを受け取ったノードからの応答パケットはユニキャストで伝送され、特に、スイッチングハブが導入されているネットワークでは、その応答パケットが発信元に一対一で伝送されるため、ARP要求パケットの発信元及び応答パケットの発信元以外のノードにおいては応答パケットを監視することができない。
【0008】
本発明の目的は、ネットワーク上に存在するIPアドレスを探索しようとしているノード(探索ノード)を容易に検知できる方法と、それを実施するための装置及びコンピュータプログラムを提供し、ネットワークのセキュリティ性を向上させることにある。
【0009】
【課題を解決するための手段】
本発明の方法は、特定のIPアドレスの物理アドレスを問い合わせるパケットである要求パケットがネットワーク上に配信されているかどうかを監視するステップと、要求パケットを検知したとき、該要求パケットと同じ特定のIPアドレスの物理アドレスを問い合わせるパケットである再送パケットを生成するステップと、再送パケットをネットワークに接続された全ノードに対して発信するステップと、再送パケットに対する特定のIPアドレスからの応答を監視するステップと、応答が検知できなかったとき、要求パケットの発信元を記憶するステップと、同一の発信元が数多く記憶されたとき、該発信元を探索ノードとして特定するステップとを備えたことを特徴とする。ここで、上記の要求パケットとは、例えば、「ARP要求パケット」である。
【0010】
また、本発明の別態様として、上記の探索ノード検知方法において、再送パケットの所定領域に当該パケットが再送パケットであることを示す識別信号を記録するステップをさらに備えた方法も提供される。ここで、再送パケットの所定領域とは、例えば再送パケットのパディング領域である。
【0011】
上記方法を実施するための装置は、特定のIPアドレスの物理アドレスを問い合わせるパケットである要求パケットがネットワーク上に配信されているかどうかを監視する要求パケット監視手段と、該要求パケット監視手段において要求パケットを検知したとき、該要求パケットと同じ特定のIPアドレスの物理アドレスを問い合わせるパケットである再送パケットを生成する再送パケット生成手段と、該再送パケット生成手段で生成された再送パケットをネットワークに接続された全ノードに対して発信する再送パケット発信手段と、該再送パケット発信手段から発信された再送パケットに対する特定のIPアドレスからの応答を監視する応答監視手段と、応答監視手段において応答が検知できなかったとき、要求パケットの発信元を記憶する発信元記憶手段と、該発信元記憶手段に、同一の発信元が数多く記憶されたとき、該発信元を探索ノードとして特定する探索ノード特定手段を備えたことを特徴とする。この装置は、パソコンのCPU及び周辺装置などのハードウエア資源を上記各手段として機能させるプログラムを格納したコンピュータによって実現される。
【0012】
この方法をコンピュータに実施させるために、特定のIPアドレスの物理アドレスを問い合わせるパケットである要求パケットがネットワーク上に配信されているかどうかを監視する処理と、要求パケットを検知したとき、該要求パケットと同じ特定のIPアドレスの物理アドレスを問い合わせるパケットである再送パケットを生成する処理と、再送パケットをネットワークに接続された全ノードに対して発信する処理と、再送パケットに対する特定のIPアドレスからの応答を監視する処理と、応答が検知できなかったとき、要求パケットの発信元を記憶する処理と、同一の発信元が数多く記憶されたとき、該発信元を探索ノードとして特定する処理とを実行することを特徴とするコンピュータプログラムが提供される。
【0013】
【作用及び効果】
本発明によれば、応答の検知できないIPアドレスに対し要求パケットを数多く発信している発信元を監視することにより、ネットワーク上で欠番のIPアドレスを欠番と知らずに探索しようとしているコンピュータ等の探索ノードが容易に検知できる。これにより、第三者の不正アクセスによる侵入や攻撃を未然にキャッチすることができ、ネットワークセキュリティの向上および信頼性を高めることができる。また、ネットワーク上にブロードキャストで発信された要求パケットと同じ特定のIPアドレスの物理アドレスを問い合わせるパケットである再送パケットを発信し、その発信した宛先からの応答の有無を監視することで探索ノードを検知しているため、ネットワーク上の全てのパケットを1つ1つ監視することなく、容易に探索ノードを検知できる。また、スイッチングハブが導入されたネットワークのように、要求パケットに対する応答がユニキャストで発信元に対し一対一で伝送される場合であっても、その要求パケットと同じ特定のIPアドレスの物理アドレスを問い合わせるパケットである再送パケットを発信することにより宛先からの応答の有無を確認することができる。すなわち、スイッチングハブが導入されているネットワークであっても、応答の検知できないIPアドレスに対し要求パケットを数多く発信している発信元を見つけ出し、探索ノードを容易に検知することができる。
【0014】
別態様の発明によれば、再送パケットの所定領域に当該パケットが再送パケットであることを示す識別信号が記録されるので、上記のような方法で探索ノードを監視しているノード(監視ノード)をネットワーク上に複数設けた場合であっても、各監視ノードにおいて、検知したパケットの識別信号を監視することにより、そのパケットが探索ノードから発信されたものではなく別の監視ノードから発信された再送パケットであることが容易に識別できる。これにより、複数の監視ノードから重複して再送パケットを発信することがなくて済む。また、ARP要求パケットがネットワーク上に氾濫することなく、複数の監視ノードから発信される再送パケットの共鳴が回避できる。識別信号が記録されるパケットの所定領域としては、パディング領域が用いられ、このパディング領域のデータ長を調節することにより、監視ノードから出たものであることを示す識別信号が記録できる。
【0015】
【発明の実施の形態】
図1は、複数のノード1〜4が接続されているネットワークの構成例を示す。この構成では、当該ネットワーク上に存在するIPアドレスを探索する探索ノード(この場合、コンピュータ)10と探索ノードを検知するためにデータの送受信を監視する監視ノード(この場合、コンピュータ)250が接続されている。上記ネットワークは、イーサネット(登録商標)を利用している。
【0016】
イーサネット上を流れる情報は、イーサネットフレームと呼ばれる60バイト〜1514バイトのパケットに入れられる。フレームの先頭には、問い合わせ先の物理アドレス及び発信元の物理アドレスが6バイトずつ並んでいる。詳しくは、図9を参照して後で説明する。
【0017】
ネットワークに接続された各ノードは、固有のIPアドレス(192.168.10.1,192.168.10.2,…)をもっている。データの送受信を行うには、まず、特定のIPアドレスの物理アドレス(例えば「MACアドレス」)を問い合わせる要求パケット(以下、「ARP要求パケット」という。)をネットワーク上に発信する。ここで、上記の特定のIPアドレスを「問い合せIPアドレス」という。この「ARP要求パケット」は、ブロードキャストで発信され、「このIPアドレスに該当するものは、物理アドレスで応答せよ」という主旨の要求が行われる。そして、この要求に対し応答があったとき、すなわち、問い合せIPアドレスのノードから当該ノードの物理アドレスが指定された応答パケット(以下、「ARP応答パケット」という。)を受信したとき、問い合せIPアドレスの物理アドレスを入手し、データの送受信が可能となる。各ノードではネットワーク上に伝送されるパケットを監視しており、検知されたパケットが自分のIPアドレスを指定しているものであるとき或いはブロードキャストであればコンピュータ内部への取り込みを行う。そして、取り込んだパケットが自分のIPアドレスを問い合せIPアドレスとして指定したARP要求パケットであるときは、発信元に対し、自分の物理アドレスを指定したARP応答パケットを返送する。これにより、ARP要求パケットの発信元と問い合せIPアドレスのノードとの間でのデータの送受信を行っている。
【0018】
図2は、図1に示したネットワークにおいて、探索ノード(IPアドレス:192.168.10.10)10から、ARP要求パケットが発信されたときの例を示す。ここで、探索ノード10は、ネットワーク上で稼動しているノードのIPアドレスを認識していないコンピュータである。このため、探索ノード10がネットワーク上で稼動しているノードのIPアドレスを認識するためには、手当たり次第にIPアドレスを指定してARP要求パケットをネットワーク上に発信する。ネットワーク上で稼動していないノードからは応答がないが、ネットワーク上で稼動しているノードからはARP応答パケットが返送される。従って、探索ノード10は、ARP要求パケットに対する応答の有無によって、ネットワーク上で稼動しているノードのIPアドレスを認識できる。従って、探索ノード10は、ARP要求パケットを発信し続け、応答のあったIPアドレスを認識することにより、例えば、このIPアドレスのノードに不正にアクセスすることができるようになる。
【0019】
この図2に示す例では、探索ノード10より、IPアドレス“192.168.10.3”を問い合せIPアドレスと指定して、物理アドレスを問い合わせるARP要求パケットが発信されたときの当該パケットの伝送経路を示している。
【0020】
図3は、IPアドレスが“192.168.10.3”のノード3より、ARP要求パケットの発信元である探索ノード10に向けてARP応答パケットがユニキャストで伝送されたときの当該パケットの伝送経路を示している。ここでは、ARP要求パケットにおいて指定された問い合せIPアドレス“192.168.10.3”のノードがネットワーク上で稼動している場合で、IPアドレス“192.168.10.3”のノード3から探索ノード10に対しARP応答パケットが発信されている。
【0021】
監視ノード250は、ネットワーク上に伝送されるパケットを常に監視しており、あるノードからARP要求パケットが発信されたことを検知すると、その検知されたARP要求パケットと同じ問い合せIPアドレスを指定したARP要求パケット(以下「再送パケット」という。)を生成し、この再送パケットをネットワーク上に発信する。そして、この再送パケットに対する応答があったとき、すなわち、監視ノード250において、再送パケットで指定した問い合せIPアドレスからのARP応答パケットを受信したときは、その問い合せIPアドレスのノードがネットワーク上で稼動している、すなわち、問い合せIPアドレスがネットワーク上に存在すると判断される。一方、再送パケットに対する応答がなかったとき、すなわち、監視ノード250において、再送パケットで指定した問い合せIPアドレスからのARP応答パケットを受信しなかったときは、その問い合せIPアドレスのノードがネットワーク上で稼動していない、すなわち、問い合せIPアドレスがネットワーク上に存在しないIPアドレスであると判断される。
【0022】
監視ノード250は、再送パケットに対する応答の有無に基づき存在しないIPアドレスを認識した場合、そのIPアドレスを指定して発信されたARP要求パケットの発信元(ここでは、探索ノード10)のIPアドレス及び物理アドレスを記憶する。そして、監視ノード250は、同一の発信元が数多く記憶されたとき、すなわち、ネットワーク上に存在しない問い合せIPアドレスを指定したARP要求パケットを数多く発信している発信元が確認されたとき、当該発信元を「探索ノード」として判別する。
【0023】
このように、監視ノード250は、ネットワーク上に存在しないIPアドレスを問い合せIPアドレスとして指定したARP要求パケットが数多く発信されていることを検知したとき、ネットワーク上に探索ノードが存在していると判別し、そのようなARP要求パケットの発信元を解析することにより、探索ノードのIPアドレスを見つけ出すことができる。
【0024】
なお、上記のようなネットワーク構成では、上記の実施例のように監視ノードから再送パケットを発信する方法でなくても、ネットワーク上の全ての伝送データを監視することにより、探索ノードの発見は可能である。しかし、スイッチングハブが導入されたネットワーク構成では、ユニキャストで発信されるARP応答パケットが、発信元との間で一対一で送受信されるため、ネットワーク上の全ての伝送データを監視することは困難であり現実的ではない。このような場合、上記実施例のように再送パケットを発信することによる探索ノード検知方法が有効に機能する。
【0025】
図4は、スイッチングハブ20が導入されているネットワークの構成例を示す。ここでは複数のスイッチングハブ20がカスケード接続され、各スイッチングハブ20には、複数のノードが接続されている。この図4に示す例では、探索ノード10と監視ノード250とが異なるスイッチングハブ20に接続されている場合を示す。以下は、この図4に示すようなスイッチングハブ20が導入されているネットワーク構成において、監視ノード250が探索ノード10の存在を検知する方法について説明する。
【0026】
図5は、図4に示したネットワークにおいて、探索ノード10より、ARP要求パケットが発信されたときのパケットの伝送経路を示す。この図5に示すように、探索ノード10からのARP要求パケットは、ブロードキャストで発信されるため、各ノードにおいて、このパケットを検知することができる。そして、このARP要求パケットに指定された問い合せIPアドレスがネットワーク上に存在するときは、そのIPアドレスのノードから、ARP要求パケットの発信元である探索ノード10に対しARP応答パケットがユニキャストで返送される。この図5に示す例では、探索ノード10より、問い合せIPアドレスとして“192.168.10.3”が指定されたARP要求パケットを発信したときの当該パケットの伝送経路を示している。
【0027】
図6は、探索ノード10より発信されたARP要求パケットを受信したIPアドレス“192.168.10.3”のノード3が、探索ノード10に対しARP応答パケットをユニキャストで返信したときの当該パケットの伝送経路を示している。すなわち、探索ノード10より発信されたARP要求パケットに指定された問い合せIPアドレスの“192.168.10.3”はネットワーク上に存在するため、この図6に示すように、そのIPアドレス“192.168.10.3”のノード3よりARP要求パケットの発信元である探索ノード10に対しARP応答パケットが返送される。このARP応答パケットはスイッチングハブ20を経由してユニキャストで伝送されるため、当該応答パケットは2つのノード間を一対一で伝送される。従って、スイッチングハブ20を介して接続された他のノードでは、当該応答パケットを検知することはできない。
【0028】
このようなネットワーク構成において、監視ノード250は、ブロードキャストで配信されているARP要求パケットを検知すると、その検知されたARP要求パケットと同じ問い合せIPアドレスを指定した「再送パケット」を生成し、この再送パケットをブロードキャストで発信する。そして、その応答の有無によって、「探索ノード」の判別を行う。
【0029】
図7は、図5に示したように、探索ノード10より発信されたARP要求パケットを検知した監視ノード250が、その検知したARP要求パケットと同じ問い合せIPアドレスである“192.168.10.3”を指定した再送パケットを生成し、ネットワークにブロードキャストで発信したときの当該再送パケットの伝送経路を示している。この場合、再送パケットにおいて指定された問い合せIPアドレスの“192.168.10.3”がネットワーク上に存在するため、そのIPアドレス“192.168.10.3”のノード3から、監視ノード250に向けてARP応答パケットがユニキャストで返信される。
【0030】
図8は、監視ノード250より発信された再送パケットを受信したノード3が、監視ノード250宛にARP応答パケットをユニキャストで返信したときの当該パケットの伝送経路を示している。このように、ARP応答パケットを検知した監視ノード250は、探索ノード10より発信されたARP要求パケットが存在するIPアドレスを指定したものであったことを認識する。一方、再送パケットに対する応答パケットが返送されない場合は、探索ノード10より発信されたARP要求パケットが存在しないIPアドレスを指定したものであったことを認識する。そして、監視ノード250は、再送パケットに対する応答パケットの返送がない場合、その問い合せIPアドレスを指定して発信されたARP要求パケットの発信元(ここでは、探索ノード10)のIPアドレス及び物理アドレスを記憶する。そして、監視ノード250は、同一の発信元が数多く記憶されたとき、すなわち、存在しないIPアドレスを問い合せIPアドレスとして指定したARP要求パケットを数多く発信している発信元が確認されたとき、当該発信元を「探索ノード」として判別する。
【0031】
このように、スイッチングハブ20が導入されているネットワークにおいても、当該ネットワーク上の監視ノード250から再送パケットを発信することにより、存在しないIPアドレスを問い合せIPアドレスとして指定したARP要求パケットを数多く発信しているノード、すなわち「探索ノード」の存在を容易に見つけ出すことができる。
【0032】
以上、2種類のネットワーク構成において本発明に係る探索ノード検知方法を適用した場合について説明したが、これらネットワーク上に複数の監視ノードを設けて探索ノードの検知を行う場合は、これら複数の監視ノードから同じ問い合せIPアドレスを指定した再送パケットが複数発信され、これらが共鳴する恐れがある。
【0033】
そこで、再送パケットの所定領域に、当該再送パケットが探索ノードではなく監視ノードから発信された再送パケットであることを示す識別信号を記録し、他の監視ノードがその識別信号を認識したときは、同じ再送パケットは送らないという処理を行うようにする。これにより、複数の監視ノードが同じ再送パケットを発信することはなく、パケットの共鳴が回避できる。
【0034】
具体的には、再送パケットの所定領域としては、パケットのパディング領域(パッドキャラクタで埋める領域)が用いられ、このパディング領域のデータ長を調節することにより、監視ノードから出たものであることを示す識別データとして記録することもできる。
【0035】
図9は、ARP要求/応答パケットのデータ構造を模式的に示したものである。この図9に示すように、ARP要求/応答パケットは、Ethernetヘッダ、28バイトARP要求/応答、及びパディング領域に分けられる。
【0036】
Ethernetヘッダの最初の2つのフィールドは、発信元と問い合せ先の物理アドレスである。ここで、ARP要求パケットの場合は、問い合せ先の物理アドレスが分かってないので、問い合せ先の物理アドレスのビットは全て“1”で構成され、これは、ブロードキャスト・アドレスを意味する。次の2バイトには、以下に続くデータの形式(ここではARP要求パケットあるいはARP応答パケットであること)を示すフレームタイプが記録される。
【0037】
28バイトARP要求/応答には、ARP要求/応答パケットに指定された発信元のIPアドレス、発信元の物理アドレス、問い合せIPアドレス、及び問い合せ先の物理アドレスが含まれる。ここで、物理アドレスについては、Ethernetヘッダと重複して記録される。
【0038】
図10は、監視ノードにおける、探索ノードを検知する手順を示したフローチャートである。
【0039】
まず、ARP要求パケットが検知されたかどうか判別する(ST1)。ここで“YES”のときは、続いて、ST1で検出したARP要求パケットのパディング領域に、監視ノードからの再送パケットであることを示す固有の識別信号が記録されているかどうかを確認する(ST2)。ここで“YES”のときはST1の処理に戻り、“NO”のときはST3の処理に移る。
【0040】
ST3では、ST1で検出したARP要求パケットに指定されているアドレス情報(発信元のIPアドレス及び物理アドレスと、問い合せIPアドレス)をRAM等の所定の記憶手段に記憶する。次に、ST3で記憶された問い合せIPアドレスを指定したARP要求パケットである「再送パケット」を生成し(ST4)、続いて、その再送パケットをネットワークに発信する(ST5)。
【0041】
次に、上記再送パケットに対する応答であるARP応答パケットが検出されたかどうか判別する(ST6)。ここで“YES”のときは、再送パケットに指定された問い合せIPアドレスが存在する場合であるので、ST1で検出されたARP要求パケットは監視の対象外であるため、ST1の処理に戻る。一方、ST6で“NO”のときであっても、所定時間が経過するまで(ST7で“NO”のとき)はST6の処理を繰り返し行い、ARP応答パケットが検出されずに所定時間が経過したとき(ST7で“YES”のとき)は、再送パケットに指定された問い合せIPアドレスが存在しないアドレスであると判断し、ST3で記憶されたARP要求パケットの発信元のIPアドレス及び物理アドレスを、監視ノード内の所定の記憶手段に探索ノードの候補として記憶する(ST8)。
【0042】
そして、上記のST8で同一の発信元IPアドレスが所定回数を超えて記憶されたかどうか判別し(ST9)、“NO”のときは、ST1の処理に戻り、“YES”のときは、その発信元IPアドレスのノードを「探索ノード」として特定する(ST10)。
【0043】
以上の実施例によれば、ネットワーク上に流れているARPパケットを監視し、応答のないIPアドレスを問い合せIPアドレスと指定したARPパケット要求パケットを数多く発信しているノードの存在を確認することにより探索ノードが検知でき、ネットワークにおけるセキュリティ性を高めることができる。
【0044】
また、以上の探索ノードの検知方法を利用して、ネットワーク上の探索ノードを検知するような検知プログラムを作成することができる。
【図面の簡単な説明】
【図1】複数のノードが接続されているネットワーク構成例を示す図。
【図2】図1のネットワークにおけるARP要求パケットの伝送経路を示す図。
【図3】図1のネットワークにおけるARP応答パケットの伝送経路を示す図。
【図4】スイッチングハブが導入されているネットワークの構成例を示す図。
【図5】図4のネットワークにおけるARP要求パケットの伝送経路を示す図。
【図6】図4のネットワークにおける探索ノードに対するARP応答パケットの伝送経路を示す図。
【図7】図4のネットワークにおける再送パケットの伝送経路を示す図。
【図8】図4のネットワークにおける監視ノードに対するARP応答パケットの伝送経路を示す図。
【図9】ARP要求/応答パケットのデータ構造を示す模式図。
【図10】探索ノードを検知する手順を示したフローチャート。
【符号の説明】
1〜4…ノード、10…探索ノード、20…スイッチングハブ、250…監視ノード。

Claims (5)

  1. 特定のIPアドレスの物理アドレスを問い合わせるパケットである要求パケットがネットワーク上に配信されているかどうかを監視するステップと、
    前記要求パケットを検知したとき、該要求パケットと同じ特定のIPアドレスの物理アドレスを問い合わせるパケットである再送パケットを生成するステップと、
    前記再送パケットを前記ネットワークに接続された全ノードに対して発信するステップと、
    前記再送パケットに対する前記特定のIPアドレスからの応答を監視するステップと、
    前記応答が検知できなかったとき、前記要求パケットの発信元を記憶するステップと、
    同一の発信元が数多く記憶されたとき、該発信元を探索ノードとして特定するステップと
    を備えたことを特徴とする探索ノード検知方法。
  2. 請求項1記載の探索ノード検知方法において、前記再送パケットの所定領域に当該パケットが再送パケットであることを示す識別信号を記録するステップを備えたことを特徴とする探索ノード検知方法。
  3. 請求項2記載の探索ノード検知方法において、前記所定領域は、前記再送パケットのパディング領域であることを特徴とする探索ノード検知方法。
  4. 特定のIPアドレスの物理アドレスを問い合わせるパケットである要求パケットがネットワーク上に配信されているかどうかを監視する要求パケット監視手段と、
    該要求パケット監視手段において要求パケットを検知したとき、該要求パケットと同じ特定のIPアドレスの物理アドレスを問い合わせるパケットである再送パケットを生成する再送パケット生成手段と、
    該再送パケット生成手段で生成された再送パケットを前記ネットワークに接続された全ノードに対して発信する再送パケット発信手段と、
    該再送パケット発信手段から発信された前記再送パケットに対する前記特定のIPアドレスからの応答を監視する応答監視手段と、
    前記応答監視手段において前記応答が検知できなかったとき、前記要求パケットの発信元を記憶する発信元記憶手段と、
    該発信元記憶手段に、同一の発信元が数多く記憶されたとき、該発信元を探索ノードとして特定する探索ノード特定手段と
    を備えたことを特徴とする探索ノード検知装置。
  5. 特定のIPアドレスの物理アドレスを問い合わせるパケットである要求パケットがネットワーク上に配信されているかどうかを監視する処理と、
    前記要求パケットを検知したとき、該要求パケットと同じ特定のIPアドレスの物理アドレスを問い合わせるパケットである再送パケットを生成する処理と、前記再送パケットを前記ネットワークに接続された全ノードに対して発信する処理と、
    前記再送パケットに対する前記特定のIPアドレスからの応答を監視する処理と、
    前記応答が検知できなかったとき、前記要求パケットの発信元を記憶する処理と、
    同一の発信元が数多く記憶されたとき、該発信元を探索ノードとして特定する処理と
    をコンピュータに実行させるプログラム。
JP2001324837A 2001-10-23 2001-10-23 ネットワーク上の探索ノードを検知する方法及び装置、並びに探索ノード検知プログラム Expired - Fee Related JP3816370B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001324837A JP3816370B2 (ja) 2001-10-23 2001-10-23 ネットワーク上の探索ノードを検知する方法及び装置、並びに探索ノード検知プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001324837A JP3816370B2 (ja) 2001-10-23 2001-10-23 ネットワーク上の探索ノードを検知する方法及び装置、並びに探索ノード検知プログラム

Publications (2)

Publication Number Publication Date
JP2003134119A JP2003134119A (ja) 2003-05-09
JP3816370B2 true JP3816370B2 (ja) 2006-08-30

Family

ID=19141500

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001324837A Expired - Fee Related JP3816370B2 (ja) 2001-10-23 2001-10-23 ネットワーク上の探索ノードを検知する方法及び装置、並びに探索ノード検知プログラム

Country Status (1)

Country Link
JP (1) JP3816370B2 (ja)

Also Published As

Publication number Publication date
JP2003134119A (ja) 2003-05-09

Similar Documents

Publication Publication Date Title
US6940821B1 (en) Method and apparatus for detecting a fault in a multicast routing infrastructure
KR101253390B1 (ko) 라우터 검출
US8892725B2 (en) Method for network anomaly detection in a network architecture based on locator/identifier split
US9130978B2 (en) Systems and methods for detecting and preventing flooding attacks in a network environment
US9065753B2 (en) Lightweight packet-drop detection for ad hoc networks
EP2502398B1 (en) Detecting malicious behaviour on a network
US7639625B2 (en) Tracing connection paths through transparent proxies
US8661544B2 (en) Detecting botnets
US7672245B2 (en) Method, device, and system for detecting layer 2 loop
US20040267876A1 (en) Ad-hoc service discovery protocol
US20040085906A1 (en) Packet tracing system
JP2009525708A (ja) プロトコルリンクレイヤ
WO2011020254A1 (zh) 防范网络攻击的方法和装置
CN108965263A (zh) 网络攻击防御方法及装置
JP3816370B2 (ja) ネットワーク上の探索ノードを検知する方法及び装置、並びに探索ノード検知プログラム
KR101465438B1 (ko) Ccn에서 패킷 손실을 방지하는 콘텐츠 획득 방법 및 장치
JP2005130121A (ja) ネットワーク管理装置、ネットワーク管理方法、ネットワーク管理プログラム
WO2014132774A1 (ja) ノード情報検出装置、ノード情報検出方法、及びプログラム
Arjmandpanah‐Kalat et al. Design and performance analysis of an efficient single flow IP traceback technique in the AS level
JP7232121B2 (ja) 監視装置および監視方法
JP3856368B2 (ja) Ipネットワークにおけるプロミスキャスノードを発見する方法及び装置、並びにプロミスキャスノード発見プログラム
Rajanarayanan et al. Wireless sensor network based detection of malicious packets drops and cluster performance study using energy with security aware LEACH (ES-LEACH)
Mastorakis et al. RFC 9508: Information-Centric Networking (ICN) Ping Protocol Specification
KR20040039100A (ko) 계층적 패킷분석에 기반한 침입 탐지 시스템
Sirohi A Comparative Analysis and Implementation of Intrusion Detection Techniques for Wireless Networks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040601

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060529

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060606

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060607

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 3816370

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100616

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100616

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100616

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100616

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100616

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100616

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110616

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120616

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130616

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130616

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140616

Year of fee payment: 8

LAPS Cancellation because of no payment of annual fees