JP3856368B2 - Ipネットワークにおけるプロミスキャスノードを発見する方法及び装置、並びにプロミスキャスノード発見プログラム - Google Patents
Ipネットワークにおけるプロミスキャスノードを発見する方法及び装置、並びにプロミスキャスノード発見プログラム Download PDFInfo
- Publication number
- JP3856368B2 JP3856368B2 JP2001032167A JP2001032167A JP3856368B2 JP 3856368 B2 JP3856368 B2 JP 3856368B2 JP 2001032167 A JP2001032167 A JP 2001032167A JP 2001032167 A JP2001032167 A JP 2001032167A JP 3856368 B2 JP3856368 B2 JP 3856368B2
- Authority
- JP
- Japan
- Prior art keywords
- node
- promiscuous
- network
- address
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Description
【発明の属する技術分野】
本発明は、IPネットワークにおけるプロミスキャス(promiscuous)ノードを発見する方法及び装置、並びにプロミスキャスノード発見のためのコンピュータプログラムに関する。
【0002】
【従来の技術】
インターネットやイントラネットは、現在のネットワーク社会において重要な役割を担っており、電子メール、電子商取引、電子マネーなどを扱うe−ビジネスにとって不可欠の通信手段となっている。このような状況の発展に伴い、ネットワーク上のセキュリティ対策、特に不正アクセスへの対策が重要になってきている。
【0003】
ネットワーク上のセキュリティ対策として、例えば、検索機能によってリモートやローカルのホストのセキュリティホールを自動的に検出するプログラムをコンピュータにインストールし、このプログラムを起動させてTCP/IPのポートに問合せを送り、ターゲットからの応答を記録し、当該ターゲットのホストで現在動作しているサービス、そのサービスを所有しているユーザ、匿名ログインの可否、特定のネットワークサービスに認証が必要かどうか等の情報を収集し、常に外からの攻撃がないかどうかを監視するシステムを備えることで、ネットワークセキュリティを強化する技術がある。
【0004】
【発明が解決しようとする課題】
しかしながら、不正アクセスの中でも、ネットワーク上のコンピュータを利用したネットワーク盗聴(ネットワーク上の情報を不正に取得する不正アクセス)は、ノードへの侵入を試みる不正アクセスの場合に行われるパケットの送出がないので、従来は、ネットワーク盗聴を行うようなノードの発見に有効な手段がなく、知らない間に情報が流出している恐れがあった。
【0005】
図1は、ネットワーク上の盗聴を図示したものである。これは、ネットワーク1にサーバ装置2とユーザ端末(パソコン)3が接続し、サーバとユーザ間でデータその他の情報の通信を行っているとき、ネットワーク1上で不正に情報を収集している盗聴ノード(プロミスキャスノード)4が存在している場合である。
【0006】
本発明の目的は、ネットワーク盗聴のような不正アクセスを行うノードを発見する方法と、それを実施するための装置及びコンピュータプログラムを提供することにある。
【0007】
【課題を解決するための手段】
本発明の原理の1つは、IP(Internet Protocol)アドレスを有するノードでは、物理的なインタフェース(例えば、ネットワークインタフェースカード(NIC))が、物理アドレスであるMACアドレスを有する点に着目し、上記のようにIPアドレスからMACアドレスを得る機能を有するARP(Address Resolution Protocol:アドレス解析プロトコル)を利用して、ブロードキャストではない「適当な」MACアドレス宛に、特定のIPアドレスを有するノードのMACアドレスを問い合せるリクエストパケットを送信し、これに応答してMACアドレスを知らせるレスポンスパケットを受信することで、プロミスキャスノードを発見するものである。
【0008】
上記の適当なMACアドレスとは、次の条件を満たすものである。
【0009】
1.ブロードキャスト(後述の“FF−FF−FF−FF−FF−FF”)でないこと
2.問合せ相手のMACアドレスでないこと
3.ノードのソフトウエア上のフィルタで取り込まれる値であること
「ソフトウエア上のフィルタ」とは、当該ノードに所定のアドレスからの信号若しくはデータ等の情報だけを取り込むようにプログラム上で設定されるフィルタである。このフィルタで取り込まれる値としては、例えば、(1)先頭の2バイトが“FF”であるもの(“FF−FF−00−00−00−00”など)、(2)先頭の1バイトが“01”であるもの(“01−00−00−00−00−00”など)がある。
【0010】
上記3つの条件を満たすMACアドレスの例:
1) FF−FF−00−00−00−00
2) FF−FF−FF−FF−FF−FE。
【0011】
本発明の方法は、上記原理に基づき、ネットワークに接続されたノードに対して、特定のIPアドレスを有するノードの物理アドレスを問い合せるリクエストパケットを生成するステップと、生成したリクエストパケットをブロードキャストではない物理アドレス宛に送るステップと、当該リクエストパケットに応答するレスポンスパケットを受けることでプロミスキャスノードを特定するステップとを備えたことを特徴とする。
【0012】
上記方法を実施するための装置は、ネットワークに接続されたノードに対して、特定のIPアドレスを有するノードの物理アドレスを問い合せるリクエストパケットを生成する物理アドレス問合せ手段と、この物理アドレス問合せ手段によって生成したリクエストパケットをブロードキャストではない物理アドレス宛に送るリクエスト発送手段と、前記リクエストパケットに応答したレスポンスパケットを受けることにより、プロミスキャスノードを特定するプロミスキャス特定手段とを備えたことを特徴とする。この装置は、パソコンのCPU及び周辺装置などのハードウエア資源を上記各手段として機能させるプログラムを格納したコンピュータによって実現される。
【0013】
また、上記のように「適当な」MACアドレス宛に特定のアドレス問合せパケットを送るだけでなく、発明の別態様として、ネットワークに存在する全てのアドレスを別々のリクエストパケットに書き込み、全リクエストパケットをネットワーク上に送信して、各リクエストパケットに対するレスポンスパケットを受信することにより、ネットワーク上のプロミスキャスノードを発見する方法も提供される。
【0014】
この方法をコンピュータに実施させるために、ネットワークに接続された全ノードに対して、各ノードが有する物理アドレスを問い合せるリクエストパケットを、ブロードキャストではない物理アドレス宛に発送する処理と、各リクエストパケットに対するレスポンスパケットが受けることでプロミスキャスノードを特定する処理とを実行することを特徴とするコンピュータプログラムが提供される。
【0015】
【作用及び効果】
本発明によれば、リクエストパケットを発送し、それに応答したノードの物理アドレスを知らせるレスポンスパケットからプロミスキャスノードを検出することができる。これにより、ネットワーク盗聴のような不正アクセスを行うノードを発見し、不正行為の停止要求などの対応を取ることができるので、ネットワークのセキュリティを強化することができる。また、パケットは、アプリケーションソフトウエアの影響を受けずにやり取りされるので、より確実に低負荷でプロミスキャスノードの検出をすることができる。
【0016】
別態様の発明によれば、ネットワークに接続されているノードに対してリクエストパケットを発送し、レスポンスパケットを確認していくことにより、ネットワーク上のプロミスキャスノードを特定することができる。これは、ARPによる問合せとそれに対する応答のやり取りで行われるので,ネットワーク負荷を増大させることなく、プロミスキャスノードを発見できる。
【0017】
【発明の実施の形態】
通常、インターネットのようなネットワーク上に接続されたノードは、IPアドレスをもつ。IPは、ネットワーク層に属し、インターネット上でパケットの配送等のデータ通信をするために必要な通信規約である。データ伝送時には、各種へッダ情報、発信元IPアドレス、及び宛先(IPアドレス)に送信されるデータを付加して、パケットとしてネットワーク上に流す。これらの情報を宛先に送るためには、宛先の物理的アドレス(MACアドレス)が必要である。IPアドレスからMACアドレスを得るための通信方式として、ARP(Address Resolution Protocol)が知られている。
【0018】
例えば、2つのノードAとノードBとが互いにLANを介して接続されるネットワーク環境において、一方のノードAは、通信開始の際、送信先として他方のノードBのIPアドレスをターゲットIPフィールドに設定して、ARPリクエストフレームをブロードキャストで送信する。他方のノードBは、ターゲットIPアドレスに一致するIPアドレスをもつので、このARPリクエストフレームを受信し、その応答として、ターゲット物理アドレスに自己のMACアドレスを設定したARPレスポンスフレームを、一方のノードAに送信する。このノードAは、ARPレスポンスフレームを受信して、相手ノードBのMACアドレスを得ると共に、このMACアドレスを用いて相手ノードBへの通信を実行する。
【0019】
このように、ARPによれば、宛先のノードは自分宛に送信された場合、自分のMACアドレスを返信する。一般に、MACアドレスは6バイトで構成され、他との重複がないように割り当てられている。以下、ブロードキャスト(全ノード宛)のMACアドレスを“FF−FF−FF−FF−FF−FF”(16進数表示)とする。
【0020】
図2は、一般的なNIC(ネットワークインタフェースカード)の動作を示す。図示のNIC(この場合、「イーサネット」ドライバ)のMACアドレスが“01−02−03−04−05−06”であるとき、このNICは、自宛(当該MACアドレス)のパケットとブロードキャスト宛(FF−FF−FF−FF−FF−FF)のパケットを取り込むが、それ以外のパケットは受け取らない。
【0021】
図3は、NICがプロミスキャスノードであるときの動作を示す。この場合、NICは、自宛とブロードキャスト宛に限らず、全てのパケットを受信する。
【0022】
図4は、上記ARPを利用してMACアドレスの問合せを行う動作を示す。
【0023】
送信元のノード(例えば、IPアドレス:192.168.1.1,MACアドレス:00−00−00−00−00−01)11は、ネットワーク1に接続した全ノードに対して、特定(例えば、IPアドレス:192.168.1.10)のMACアドレスの問合せを行う。このときの問合せパケット(ARPリクエストパケット)の内容は「IPアドレス:192.168.1.10のノードは、MACアドレスを教えてください。」というものであり、その宛先は、ブロードキャスト宛(FF−FF−FF−FF−FF−FF)とする。宛先が全ノードなので、同一ネットワーク上の全てのノードが、この問合せパケットを取り込む。
【0024】
上記問合せパケットを受信した各ノード12,13,14は、それぞれ、問合せアドレス(図4の場合、IPアドレス:192.168.1.10)が自分のIPアドレスであるかをチェックする。そして、問合せが自分のIPアドレスに対するものであった場合、そのノード(図4の例では、右端のノード14)は、自分のMACアドレス(00−00−00−00−00−12)を書き加えたARPレスポンスパケットを、送信元(宛先MACアドレス:00−00−00−00−00−01)のノード11に返送する。このとき、該当しなかった他のノード12,13(例えば、IPアドレス:192.168.1.2,192.168.1.3)は、一切の応答をしない。
【0025】
図5は、本発明によりプロミスキャスノードを判別する方法を示す。
【0026】
この場合、送信元のノード11は、MACアドレスの問合せを行うARPリクエストパケットを、ブロードキャスト宛ではなく、通常の宛先と異なる適当なMACアドレス(例えば、FF−FF−00−00−00−00)宛に送信する。
【0027】
この問合せパケットに対して、問合せのIPアドレス(例えば、192.168.1.10)を有するノード14であっても、(a)通常モードの場合は、問合せパケットが自分宛でもブロードキャスト宛でもないので、問合せパケットは受け取らず、従って応答もない。一方、(b)プロミスキャスモードのノードは、自分宛及びブロードキャスト宛以外のパケットでも受信する。そして、問合せのIPアドレスを有するノード14は、自分のMACアドレスを加えた応答(ARPレスポンスパケット)を返送することとなる。
【0028】
以上のように、ブロードキャストでない適当なMACアドレスを宛先として、特定のIPアドレスを有するノードのMACアドレスを問い合せるARPリクエストパケットを送信し、応答のARPレスポンスパケットを受信することにより、プロミスキャスノードを特定することができる。
【0029】
また、この特定方法を利用して、同一ネットワーク内のプロミスキャスノードを検索するように検索プログラムを作成することができる。
【0030】
或いは、ネットワークに存在する全てのアドレスを別々のリクエストパケットに書き込み、それらのリクエストパケットを送信するようにしてもよい。その送信は、各リクエストパケットを個々に発送すればよく、任意の順番、アドレス順或いはランダムに発送する方式のいずれでもよい。この方式では、図6に示すように、一のアドレス問合せパケットをネットワーク上に送信し(ST1)、それに対するレスポンスパケットの受信をチェックし(ST2)、当該レスポンスパケットを受信しなければ、次のアドレス問合せパケットを送信するというようにして、レスポンスパケットを受信するまで順次アドレス問合せパケットを送信する。そして、レスポンスパケットを受信したときは、そのレスポンスパケットによってネットワーク上のプロミスキャスノードを特定する(ST3)。こうして、ネットワーク上のプロミスキャスノードを発見することができる。
【図面の簡単な説明】
【図1】ネットワーク上の盗聴を示す図。
【図2】一般的なNICの動作を示す図。
【図3】NICがプロミスキャスノードであるときの動作を示す図。
【図4】ARPを利用してMACアドレスの問合せを行う動作を示す図。
【図5】本発明によりプロミスキャスノードを判別する方法を示す図。
【図6】個々のアドレス問合せに対する応答からプロミスキャスノード判別処理の手順を示すフローチャート。
【符号の説明】
1…ネットワーク、2…サーバ装置、3…ユーザ端末、4…盗聴ノード、11〜14…ノード。
Claims (3)
- ネットワークに接続されたノードに対して、特定のIPアドレスを有するノードの物理アドレスを問い合せるリクエストパケットを生成するステップと、
生成したリクエストパケットをブロードキャストではない物理アドレス宛に送るステップと、
前記リクエストパケットに応答したレスポンスパケットを受けることによりプロミスキャスノードを特定するステップと
を備えたことを特徴とするプロミスキャスノードの発見方法。 - ネットワークに接続されたノードに対して、特定のIPアドレスを有するノードの物理アドレスを問い合せるリクエストパケットを生成する物理アドレス問合せ手段と、
前記物理アドレス問合せ手段によって生成したリクエストパケットをブロードキャストではない物理アドレス宛に送るリクエスト発送手段と、
前記リクエストパケットに応答したレスポンスパケットを受けることにより、プロミスキャスノードを特定するプロミスキャス特定手段と
を備えたことを特徴とする、プロミスキャスノードを発見する装置。 - ネットワークに接続された全ノードに対して、各ノードが有する物理アドレスを問い合せるリクエストパケットを、ブロードキャストでない物理アドレス宛に発送する処理と、前記リクエストパケットの各々に対するレスポンスパケットを受けることでプロミスキャスノードを特定する処理とをコンピュータに実行させるプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2001032167A JP3856368B2 (ja) | 2001-02-08 | 2001-02-08 | Ipネットワークにおけるプロミスキャスノードを発見する方法及び装置、並びにプロミスキャスノード発見プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2001032167A JP3856368B2 (ja) | 2001-02-08 | 2001-02-08 | Ipネットワークにおけるプロミスキャスノードを発見する方法及び装置、並びにプロミスキャスノード発見プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2002237821A JP2002237821A (ja) | 2002-08-23 |
JP3856368B2 true JP3856368B2 (ja) | 2006-12-13 |
Family
ID=18896142
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2001032167A Expired - Lifetime JP3856368B2 (ja) | 2001-02-08 | 2001-02-08 | Ipネットワークにおけるプロミスキャスノードを発見する方法及び装置、並びにプロミスキャスノード発見プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3856368B2 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100964456B1 (ko) | 2008-06-23 | 2010-06-16 | 아주대학교산학협력단 | 악의적 노드 판정 방법 |
-
2001
- 2001-02-08 JP JP2001032167A patent/JP3856368B2/ja not_active Expired - Lifetime
Also Published As
Publication number | Publication date |
---|---|
JP2002237821A (ja) | 2002-08-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101253390B1 (ko) | 라우터 검출 | |
US7962957B2 (en) | Method and apparatus for detecting port scans with fake source address | |
US7870603B2 (en) | Method and apparatus for automatic filter generation and maintenance | |
US7436833B2 (en) | Communication system, router, method of communication, method of routing, and computer program product | |
US20040123142A1 (en) | Detecting a network attack | |
EP2469787B1 (en) | Method and device for preventing network attacks | |
JP2007036374A (ja) | パケット転送装置、通信網及びパケット転送方法 | |
JP2006287299A (ja) | ネットワーク管理方法および装置並びに管理プログラム | |
JP2019009596A (ja) | 車載通信装置、通信制御方法および通信制御プログラム | |
JP3590394B2 (ja) | パケット転送装置、パケット転送方法およびプログラム | |
JP3856368B2 (ja) | Ipネットワークにおけるプロミスキャスノードを発見する方法及び装置、並びにプロミスキャスノード発見プログラム | |
US20090073877A1 (en) | Packet processing apparatus, communication system, packet processing method and program that executes this method | |
JP4484190B2 (ja) | ルーター探索システム、ルーター探索方法、及びルーター探索プログラム | |
KR100478910B1 (ko) | 아이피 충돌 검출 및 차단 시스템과 그 방법 | |
JP2005210451A (ja) | 不正アクセス防止装置及びプログラム | |
US20060185009A1 (en) | Communication apparatus and communication method | |
JP4029898B2 (ja) | ネットワーク装置 | |
Newsham et al. | Windows Vista network attack surface analysis: A broad overview | |
JP7232121B2 (ja) | 監視装置および監視方法 | |
JP2004289260A (ja) | 動的アドレス付与サーバを利用したクライアントの安全性検診システム | |
JP2006165877A (ja) | 通信システム、通信方法および通信プログラム | |
KR101290036B1 (ko) | 동적 공격에 대한 네트워크 보안 장치 및 방법 | |
McGann | IPv6 packet filtering |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040601 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060831 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060906 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20060908 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 3856368 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090922 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100922 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100922 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110922 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120922 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120922 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120922 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130922 Year of fee payment: 7 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130922 Year of fee payment: 7 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140922 Year of fee payment: 8 |
|
EXPY | Cancellation because of completion of term |