JP4014599B2 - 送信元アドレス偽装パケット検出装置、送信元アドレス偽装パケット検出方法、送信元アドレス偽装パケット検出プログラム - Google Patents
送信元アドレス偽装パケット検出装置、送信元アドレス偽装パケット検出方法、送信元アドレス偽装パケット検出プログラム Download PDFInfo
- Publication number
- JP4014599B2 JP4014599B2 JP2004556791A JP2004556791A JP4014599B2 JP 4014599 B2 JP4014599 B2 JP 4014599B2 JP 2004556791 A JP2004556791 A JP 2004556791A JP 2004556791 A JP2004556791 A JP 2004556791A JP 4014599 B2 JP4014599 B2 JP 4014599B2
- Authority
- JP
- Japan
- Prior art keywords
- address
- packet
- source address
- source
- survival time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/20—Hop count for routing purposes, e.g. TTL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、ネットワーク上のFW(Fire Wall)、フィルタ機能を持ったルータ、IDS(Intruder Detection System)等において、送信元アドレスの偽装による不正侵入や攻撃を検出する送信元アドレス偽装パケット検出装置、送信元アドレス偽装パケット検出方法、送信元アドレス偽装パケット検出プログラムに関するものである。
現在、WWW(World Wide Web)やE−Mail、携帯電話におけるパケット通信サービスの普及により、インターネットが社会インフラとして定着してきている。それに伴い、セキュリティの高機能化の要求が高まっている。この要求に対し、不正侵入や攻撃に対する防御を行うFW、IDS等多くの製品が市場に浸透している。これらの不正侵入や攻撃のうち、パケットの送信元アドレスを偽装する、送信元アドレス偽装が問題となっている。
ここで、TCP(Transmission Control Protocol)/IP(Internet Protocol)ネットワーク境界におけるFWの動作について説明する。第16図は、FWの動作の一例を示す図である。第16図において、ホスト102とホスト103が存在するLAN(Local Area Network)内部と、ホスト101が存在するLAN外部は、FW100を介して接続されている。以下、説明のため、ホスト101のIPアドレスはA、ホスト102のIPアドレスはB、ホスト103のIPアドレスはCとする。ホスト102とホスト103は信頼関係にあり、互いに送信元IPアドレスのみの認証を用いているとする。例えば、UNIX系OSのrsh(リモート・シェル)は、〜/.rhostsファイルに特定のホスト名、あるいは送信元IPアドレスを書いておくことにより信頼関係を結び、そのホストからパスワードなしでアクセスできる。
ここでホスト101が、送信するパケットのIPヘッダにおける送信元IPアドレスを、ホスト102のIPアドレスBに偽装すると、ホスト101から送信されたパケットはホスト102から送信されたパケットとみなされ、FW100を通過してホスト103にアクセスすることができ、ホスト103を不正に使用することができる。
この送信元アドレス偽装パケットの不正侵入を防ぐ手段として、FWによるフィルタリングが挙げられる。具体的には、LANの外部から内部へ向かうパケットの送信元IPアドレスが、LAN内部に存在するホストのIPアドレスかどうかをFWが判断し、LAN内部に存在するホストのIPアドレスである場合にはそのパケットを廃棄する。しかし、このようなFWによるフィルタリングは、LAN内部に存在するホストのIPアドレスに偽装したパケットを検出することができるが、LAN外部に存在するホストの送信元IPアドレスに偽装したパケットは検出することができない。
これに対して、フィルタリング通過リストを所持するFWがある。フィルタリング通過リストとは、LANの外部から内部へ通過しても良い送信元IPアドレスが記載されたリストのことである。第17図は、フィルタリング通過リストを所持するFWの動作の一例を示す図である。第17図に示す例では、ホスト103と信頼関係にあるホスト102はLAN外部に存在し、ホスト103が存在するLAN内部と、ホスト101とホスト102が存在するLAN外部は、FW110を介して接続されている。また、フィルタリング通過リストには、通過させるパケットの送信元IPアドレスとしてBが設定されている。第17図に示すように、FW110はフィルタリング通過リストに従って、ホスト102からの送信元IPアドレスBを持つパケットは通過させるが、ホスト101からの送信元IPアドレスAを持つパケットは廃棄する。
しかしながら第17図の構成において、ホスト101が、送信するパケットのIPヘッダにおける送信元IPアドレスをホスト102のIPアドレスBに偽装した場合には、FW110は、ホスト101からの送信元IPアドレスBを持つパケットを廃棄せず、通過させてしまうという問題が生じる。
本発明は、このような問題を解決するためになされたものであり、LAN外部のホストの送信元IPアドレスに偽装したパケットを検出することにより、送信元IPアドレスの偽装による不正侵入や攻撃からLAN内部を守ることができる送信元IPアドレス偽装パケット検出装置、送信元IPアドレス偽装パケット検出方法、送信元IPアドレス偽装パケット検出プログラムを提供することを目的とする。
ここで、TCP(Transmission Control Protocol)/IP(Internet Protocol)ネットワーク境界におけるFWの動作について説明する。第16図は、FWの動作の一例を示す図である。第16図において、ホスト102とホスト103が存在するLAN(Local Area Network)内部と、ホスト101が存在するLAN外部は、FW100を介して接続されている。以下、説明のため、ホスト101のIPアドレスはA、ホスト102のIPアドレスはB、ホスト103のIPアドレスはCとする。ホスト102とホスト103は信頼関係にあり、互いに送信元IPアドレスのみの認証を用いているとする。例えば、UNIX系OSのrsh(リモート・シェル)は、〜/.rhostsファイルに特定のホスト名、あるいは送信元IPアドレスを書いておくことにより信頼関係を結び、そのホストからパスワードなしでアクセスできる。
ここでホスト101が、送信するパケットのIPヘッダにおける送信元IPアドレスを、ホスト102のIPアドレスBに偽装すると、ホスト101から送信されたパケットはホスト102から送信されたパケットとみなされ、FW100を通過してホスト103にアクセスすることができ、ホスト103を不正に使用することができる。
この送信元アドレス偽装パケットの不正侵入を防ぐ手段として、FWによるフィルタリングが挙げられる。具体的には、LANの外部から内部へ向かうパケットの送信元IPアドレスが、LAN内部に存在するホストのIPアドレスかどうかをFWが判断し、LAN内部に存在するホストのIPアドレスである場合にはそのパケットを廃棄する。しかし、このようなFWによるフィルタリングは、LAN内部に存在するホストのIPアドレスに偽装したパケットを検出することができるが、LAN外部に存在するホストの送信元IPアドレスに偽装したパケットは検出することができない。
これに対して、フィルタリング通過リストを所持するFWがある。フィルタリング通過リストとは、LANの外部から内部へ通過しても良い送信元IPアドレスが記載されたリストのことである。第17図は、フィルタリング通過リストを所持するFWの動作の一例を示す図である。第17図に示す例では、ホスト103と信頼関係にあるホスト102はLAN外部に存在し、ホスト103が存在するLAN内部と、ホスト101とホスト102が存在するLAN外部は、FW110を介して接続されている。また、フィルタリング通過リストには、通過させるパケットの送信元IPアドレスとしてBが設定されている。第17図に示すように、FW110はフィルタリング通過リストに従って、ホスト102からの送信元IPアドレスBを持つパケットは通過させるが、ホスト101からの送信元IPアドレスAを持つパケットは廃棄する。
しかしながら第17図の構成において、ホスト101が、送信するパケットのIPヘッダにおける送信元IPアドレスをホスト102のIPアドレスBに偽装した場合には、FW110は、ホスト101からの送信元IPアドレスBを持つパケットを廃棄せず、通過させてしまうという問題が生じる。
本発明は、このような問題を解決するためになされたものであり、LAN外部のホストの送信元IPアドレスに偽装したパケットを検出することにより、送信元IPアドレスの偽装による不正侵入や攻撃からLAN内部を守ることができる送信元IPアドレス偽装パケット検出装置、送信元IPアドレス偽装パケット検出方法、送信元IPアドレス偽装パケット検出プログラムを提供することを目的とする。
本発明は、送信元アドレスの偽装が施されたパケットを検出する送信元アドレス偽装パケット検出装置であって、パケットの入出力を制御するとともに、入力パケットの送信元アドレスと前記入力パケットの生存時間を取得するパケット制御部と、正常な生存時間の範囲を表す基準生存時間と送信元アドレスとを対応づけて記憶する基準生存時間記憶部と、前記入力パケットの生存時間と前記入力パケットの送信元アドレスに対応する基準生存時間との比較を行い、該比較の結果に基づいて、前記入力パケットにおける送信元アドレスの偽装の有無を判定するアドレス偽装判定部とを備えてなるものである。
このような構成によれば、予め記憶された送信元アドレス毎の基準生存時間と入力パケットの生存時間とを比較することにより、送信元アドレスが偽装されたパケットを検出することができる。
また、本発明に係る送信元アドレス偽装パケット検出装置において、前記入力パケットの送信元アドレスと生存時間とを対応づけて記憶する生存時間記憶部と、該生存時間記憶部により送信元アドレス毎に記憶された生存時間に基づいて、送信元アドレス毎の基準生存時間を算出する基準生存時間算出部とをさらに備えることを特徴とするものである。
このような構成によれば、送信元アドレス毎に収集した生存時間を用いることにより、送信元アドレス毎の基準生存時間を算出することができる。
また、本発明に係る送信元アドレス偽装パケット検出装置において、前記アドレス偽装判定部が送信元アドレスの偽装無しと判定した場合に前記パケット制御部は前記入力パケットを通過させ、前記アドレス偽装判定部が送信元アドレスの偽装有りと判定した場合に前記パケット制御部は前記入力パケットを廃棄することを特徴とするものである。
このような構成によれば、送信元アドレス偽装パケットを検出した場合にそのパケットを廃棄することにより、リアルタイムで送信元アドレスの偽装による不正侵入や攻撃からLAN内部を守ることができる。
また、本発明に係る送信元アドレス偽装パケット検出装置において、前記アドレス偽装判定部が送信元アドレスの偽装有りと判定した場合に、前記入力パケットにおける送信元アドレスと宛先アドレスの間のコネクションを切断するコネクション切断部を、さらに備えることを特徴とするものである。
このような構成によれば、送信元アドレス偽装パケットを検出した場合にそのパケットを廃棄し、さらに送信元アドレスと宛先アドレスのコネクションを切断することにより、リアルタイムで送信元アドレスの偽装による不正侵入や攻撃からLAN内部を守ることができ、さらに不正侵入や攻撃の継続を防ぐことができる。
また、本発明に係る送信元アドレス偽装パケット検出装置において、前記アドレス偽装判定部が送信元アドレスの偽装有りと判定した場合に、予め指定されたアドレスへアラート情報を送信するアラート情報通知部を、さらに備えることを特徴とするものである。
このような構成によれば、送信元アドレス偽装パケットを検出した場合に、そのパケットに関するアラート情報を管理者へ通知することにより、管理者が送信元アドレスの偽装による不正侵入や攻撃を把握し、対処することができる。
また、本発明に係る送信元アドレス偽装パケット検出装置において、前記アドレス偽装判定部が送信元アドレスの偽装有りと判定した場合に、アラート情報をログとして記憶するログ記憶部を、さらに備えることを特徴とするものである。
このような構成によれば、送信元アドレス偽装パケットを検出した場合に、そのパケットに関するアラート情報をログとして記憶することにより、送信元アドレスの偽装による不正侵入や攻撃の記録を残し、ログを不正侵入や攻撃の証拠とすることができる。
また、本発明に係る送信元アドレス偽装パケット検出装置において、前記送信元アドレスは送信元IPアドレスであり、前記生存時間はTTL値であり、前記基準生存時間は正常なTTL値の範囲を表す基準TTL値であり、前記基準生存時間記憶部は基準TTL値記憶部であることを特徴とするものである。
このような構成によれば、予め記憶された送信元IPアドレス毎の基準TTL値と入力パケットのTTL値とを比較することにより、送信元IPアドレスが偽装されたパケットを検出することができる。
また、本発明に係る送信元アドレス偽装パケット検出装置において、前記入力パケットの送信元IPアドレスとTTL値とを対応づけて記憶するTTL値記憶部と、該TTL値記憶部により送信元IPアドレス毎に記憶されたTTL値に基づいて、送信元IPアドレス毎の基準TTL値を算出する基準TTL値算出部とをさらに備えることを特徴とするものである。また、本発明に係る送信元アドレス偽装パケット検出装置において、前記基準TTL値算出部は、前記TTL値記憶部により送信元IPアドレス毎に記憶されたTTL値から中央値を算出し、該中央値を含む所定の範囲を送信元IPアドレスに対応する基準TTL値とすることを特徴とするものである。また、本発明に係る送信元アドレス偽装パケット検出装置において、前記基準TTL値算出部は、前記TTL値記憶部により送信元IPアドレス毎に記憶されたTTL値から平均値を算出し、該平均値を含む所定の範囲を送信元IPアドレスに対応する基準TTL値とすることを特徴とするものである。
このような構成によれば、送信元IPアドレス毎に収集したTTL値を用いることにより、送信元IPアドレス毎の基準TTL値を算出することができる。
また、本発明に係る送信元アドレス偽装パケット検出装置において、前記アドレス偽装判定部が送信元IPアドレスの偽装無しと判定した場合に前記パケット制御部は前記入力パケットを通過させ、前記アドレス偽装判定部が送信元IPアドレスの偽装有りと判定した場合に前記パケット制御部は前記入力パケットを廃棄することを特徴とするものである。
このような構成によれば、送信元IPアドレス偽装パケットを検出した場合にそのパケットを廃棄することにより、リアルタイムで送信元IPアドレスの偽装による不正侵入や攻撃からLAN内部を守ることができる。
また、本発明に係る送信元アドレス偽装パケット検出装置において、前記アドレス偽装判定部が送信元IPアドレスの偽装有りと判定した場合に、前記入力パケットにおける送信元IPアドレスと宛先IPアドレスの間のコネクションを切断するコネクション切断部を、さらに備えることを特徴とするものである。また、本発明に係る送信元アドレス偽装パケット検出装置において、前記コネクション切断部は、送信元IPアドレスと宛先IPアドレスへリセットパケットを送信することにより前記コネクションを切断することを特徴とするものである。
このような構成によれば、送信元IPアドレス偽装パケットを検出した場合にそのパケットを廃棄し、さらに送信元IPアドレスと宛先IPアドレスのコネクションを切断することにより、リアルタイムで送信元IPアドレスの偽装による不正侵入や攻撃からLAN内部を守ることができ、さらに不正侵入や攻撃の継続を防ぐことができる。
また、本発明に係る送信元アドレス偽装パケット検出装置において、前記アドレス偽装判定部が送信元IPアドレスの偽装有りと判定した場合に、予め指定されたアドレスへアラート情報を送信するアラート情報通知部を、さらに備えることを特徴とするものである。また、本発明に係る送信元アドレス偽装パケット検出装置において、前記アラート情報は、前記入力パケットの送信元IPアドレスと宛先IPアドレスとTTL値と基準TTL値とを含むことを特徴とするものである。
このような構成によれば、送信元IPアドレス偽装パケットを検出した場合に、そのパケットに関するアラート情報を管理者へ通知することにより、管理者が送信元IPアドレスの偽装による不正侵入や攻撃を把握し、対処することができる。なお、アラート情報に更に日付や時刻を含めることができる。
また、本発明に係る送信元アドレス偽装パケット検出装置において、前記アドレス偽装判定部が送信元IPアドレスの偽装有りと判定した場合に、アラート情報をログとして記憶するログ記憶部を、さらに備えることを特徴とするものである。また、本発明に係る送信元アドレス偽装パケット検出装置において、前記アラート情報は、前記入力パケットの送信元IPアドレスと宛先IPアドレスとTTL値と基準TTL値とを含むことを特徴とするものである。
このような構成によれば、送信元IPアドレス偽装パケットを検出した場合に、そのパケットに関するアラート情報をログとして記憶することにより、送信元IPアドレスの偽装による不正侵入や攻撃の記録を残し、ログを不正侵入や攻撃の証拠とすることができる。
また、本発明は、送信元IPアドレスの偽装が施されたパケットを検出する送信元アドレス偽装パケット検出方法であって、パケットの入出力を制御するとともに、入力パケットの送信元IPアドレスと前記入力パケットのTTL値を取得するステップと、前記入力パケットの送信元IPアドレスとTTL値とを対応づけて記憶するステップと、送信元IPアドレス毎に記憶されたTTL値に基づいて、送信元IPアドレス毎の正常なTTL値の範囲を表す基準TTL値を算出するステップと、基準TTL値と送信元IPアドレスとを対応づけて記憶するステップと、前記入力パケットのTTL値と前記入力パケットの送信元IPアドレスに対応する基準TTL値との比較を行い、該比較の結果に基づいて、前記入力パケットにおける前記送信元IPアドレスが偽装か否かを判定するステップとを備えてなるものである。
このような構成によれば、送信元IPアドレス毎に収集したTTL値を用いて算出した送信元アドレス毎の基準TTL値と入力パケットのTTL値とを比較することにより、送信元IPアドレスが偽装されたパケットを検出することができる。
また、本発明に係る送信元アドレス偽装パケット検出方法において、送信元IPアドレスの偽装無しと判定した場合に前記入力パケットを通過させ、送信元IPアドレスの偽装有りと判定した場合に前記入力パケットを廃棄するステップを、さらに備えることを特徴とするものである。
このような構成によれば、送信元IPアドレス偽装パケットを検出した場合にそのパケットを廃棄することにより、リアルタイムで送信元IPアドレスの偽装による不正侵入や攻撃からLAN内部を守ることができる。
また、本発明に係る送信元アドレス偽装パケット検出方法において、送信元IPアドレスの偽装有りと判定した場合に、前記入力パケットにおける送信元IPアドレスと宛先IPアドレスの間のコネクションを切断するステップを、さらに備えることを特徴とするものである。
このような構成によれば、送信元IPアドレス偽装パケットを検出した場合にそのパケットを廃棄し、さらに送信元IPアドレスと宛先IPアドレスのコネクションを切断することにより、リアルタイムで送信元IPアドレスの偽装による不正侵入や攻撃からLAN内部を守ることができ、さらに不正侵入や攻撃の継続を防ぐことができる。
また、本発明に係る送信元アドレス偽装パケット検出方法において、送信元IPアドレスの偽装有りと判定した場合に、予め指定されたアドレスへアラート情報を送信するステップを、さらに備えることを特徴とするものである。
このような構成によれば、送信元IPアドレス偽装パケットを検出した場合に、そのパケットに関するアラート情報を管理者へ通知することにより、管理者が送信元IPアドレスの偽装による不正侵入や攻撃を把握し、対処することができる。
また、本発明に係る送信元アドレス偽装パケット検出方法において、送信元IPアドレスの偽装有りと判定した場合に、アラート情報をログとして記憶するステップを、さらに備えることを特徴とするものである。
このような構成によれば、送信元IPアドレス偽装パケットを検出した場合に、そのパケットに関するアラート情報をログとして記憶することにより、送信元IPアドレスの偽装による不正侵入や攻撃の記録を残し、ログを不正侵入や攻撃の証拠とすることができる。
また、本発明は、送信元IPアドレスの偽装が施されたパケットの検出をコンピュータに実行させるために、コンピュータにより読取可能な媒体に記憶された送信元アドレス偽装パケット検出プログラムであって、パケットの入出力を制御するとともに、入力パケットの送信元IPアドレスと前記入力パケットのTTL値を取得するステップと、前記入力パケットの送信元IPアドレスとTTL値とを対応づけて記憶するステップと、送信元IPアドレス毎に記憶されたTTL値に基づいて、送信元IPアドレス毎の正常なTTL値の範囲を表す基準TTL値を算出するステップと、基準TTL値と送信元IPアドレスとを対応づけて記憶するステップと、前記入力パケットのTTL値と前記入力パケットの送信元IPアドレスに対応する基準TTL値との比較を行い、該比較の結果に基づいて、前記入力パケットにおける前記送信元IPアドレスが偽装か否かを判定するステップとを備えてなるものである。
このような構成によれば、送信元IPアドレス毎に収集したTTL値を用いて算出した送信元アドレス毎の基準TTL値と入力パケットのTTL値とを比較することにより、送信元IPアドレスが偽装されたパケットを検出することができる。
また、本発明に係る送信元アドレス偽装パケット検出プログラムにおいて、送信元IPアドレスの偽装無しと判定した場合に前記入力パケットを通過させ、送信元IPアドレスの偽装有りと判定した場合に前記入力パケットを廃棄するステップを、さらに備えることを特徴とするものである。
このような構成によれば、送信元IPアドレス偽装パケットを検出した場合にそのパケットを廃棄することにより、リアルタイムで送信元IPアドレスの偽装による不正侵入や攻撃からLAN内部を守ることができる。
また、本発明に係る送信元アドレス偽装パケット検出プログラムにおいて、送信元IPアドレスの偽装有りと判定した場合に、前記入力パケットにおける送信元IPアドレスと宛先IPアドレスの間のコネクションを切断するステップを、さらに備えることを特徴とするものである。
このような構成によれば、送信元IPアドレス偽装パケットを検出した場合にそのパケットを廃棄し、さらに送信元IPアドレスと宛先IPアドレスのコネクションを切断することにより、リアルタイムで送信元IPアドレスの偽装による不正侵入や攻撃からLAN内部を守ることができ、さらに不正侵入や攻撃の継続を防ぐことができる。
また、本発明に係る送信元アドレス偽装パケット検出プログラムにおいて、送信元IPアドレスの偽装有りと判定した場合に、予め指定されたアドレスへアラート情報を送信するステップを、さらに備えることを特徴とするものである。
このような構成によれば、送信元IPアドレス偽装パケットを検出した場合に、そのパケットに関するアラート情報を管理者へ通知することにより、管理者が送信元IPアドレスの偽装による不正侵入や攻撃を把握し、対処することができる。
また、本発明に係る送信元アドレス偽装パケット検出プログラムにおいて、送信元IPアドレスの偽装有りと判定した場合に、アラート情報をログとして記憶するステップを、さらに備えることを特徴とするものである。
このような構成によれば、送信元IPアドレス偽装パケットを検出した場合に、そのパケットに関するアラート情報をログとして記憶することにより、送信元IPアドレスの偽装による不正侵入や攻撃の記録を残し、ログを不正侵入や攻撃の証拠とすることができる。
このような構成によれば、予め記憶された送信元アドレス毎の基準生存時間と入力パケットの生存時間とを比較することにより、送信元アドレスが偽装されたパケットを検出することができる。
また、本発明に係る送信元アドレス偽装パケット検出装置において、前記入力パケットの送信元アドレスと生存時間とを対応づけて記憶する生存時間記憶部と、該生存時間記憶部により送信元アドレス毎に記憶された生存時間に基づいて、送信元アドレス毎の基準生存時間を算出する基準生存時間算出部とをさらに備えることを特徴とするものである。
このような構成によれば、送信元アドレス毎に収集した生存時間を用いることにより、送信元アドレス毎の基準生存時間を算出することができる。
また、本発明に係る送信元アドレス偽装パケット検出装置において、前記アドレス偽装判定部が送信元アドレスの偽装無しと判定した場合に前記パケット制御部は前記入力パケットを通過させ、前記アドレス偽装判定部が送信元アドレスの偽装有りと判定した場合に前記パケット制御部は前記入力パケットを廃棄することを特徴とするものである。
このような構成によれば、送信元アドレス偽装パケットを検出した場合にそのパケットを廃棄することにより、リアルタイムで送信元アドレスの偽装による不正侵入や攻撃からLAN内部を守ることができる。
また、本発明に係る送信元アドレス偽装パケット検出装置において、前記アドレス偽装判定部が送信元アドレスの偽装有りと判定した場合に、前記入力パケットにおける送信元アドレスと宛先アドレスの間のコネクションを切断するコネクション切断部を、さらに備えることを特徴とするものである。
このような構成によれば、送信元アドレス偽装パケットを検出した場合にそのパケットを廃棄し、さらに送信元アドレスと宛先アドレスのコネクションを切断することにより、リアルタイムで送信元アドレスの偽装による不正侵入や攻撃からLAN内部を守ることができ、さらに不正侵入や攻撃の継続を防ぐことができる。
また、本発明に係る送信元アドレス偽装パケット検出装置において、前記アドレス偽装判定部が送信元アドレスの偽装有りと判定した場合に、予め指定されたアドレスへアラート情報を送信するアラート情報通知部を、さらに備えることを特徴とするものである。
このような構成によれば、送信元アドレス偽装パケットを検出した場合に、そのパケットに関するアラート情報を管理者へ通知することにより、管理者が送信元アドレスの偽装による不正侵入や攻撃を把握し、対処することができる。
また、本発明に係る送信元アドレス偽装パケット検出装置において、前記アドレス偽装判定部が送信元アドレスの偽装有りと判定した場合に、アラート情報をログとして記憶するログ記憶部を、さらに備えることを特徴とするものである。
このような構成によれば、送信元アドレス偽装パケットを検出した場合に、そのパケットに関するアラート情報をログとして記憶することにより、送信元アドレスの偽装による不正侵入や攻撃の記録を残し、ログを不正侵入や攻撃の証拠とすることができる。
また、本発明に係る送信元アドレス偽装パケット検出装置において、前記送信元アドレスは送信元IPアドレスであり、前記生存時間はTTL値であり、前記基準生存時間は正常なTTL値の範囲を表す基準TTL値であり、前記基準生存時間記憶部は基準TTL値記憶部であることを特徴とするものである。
このような構成によれば、予め記憶された送信元IPアドレス毎の基準TTL値と入力パケットのTTL値とを比較することにより、送信元IPアドレスが偽装されたパケットを検出することができる。
また、本発明に係る送信元アドレス偽装パケット検出装置において、前記入力パケットの送信元IPアドレスとTTL値とを対応づけて記憶するTTL値記憶部と、該TTL値記憶部により送信元IPアドレス毎に記憶されたTTL値に基づいて、送信元IPアドレス毎の基準TTL値を算出する基準TTL値算出部とをさらに備えることを特徴とするものである。また、本発明に係る送信元アドレス偽装パケット検出装置において、前記基準TTL値算出部は、前記TTL値記憶部により送信元IPアドレス毎に記憶されたTTL値から中央値を算出し、該中央値を含む所定の範囲を送信元IPアドレスに対応する基準TTL値とすることを特徴とするものである。また、本発明に係る送信元アドレス偽装パケット検出装置において、前記基準TTL値算出部は、前記TTL値記憶部により送信元IPアドレス毎に記憶されたTTL値から平均値を算出し、該平均値を含む所定の範囲を送信元IPアドレスに対応する基準TTL値とすることを特徴とするものである。
このような構成によれば、送信元IPアドレス毎に収集したTTL値を用いることにより、送信元IPアドレス毎の基準TTL値を算出することができる。
また、本発明に係る送信元アドレス偽装パケット検出装置において、前記アドレス偽装判定部が送信元IPアドレスの偽装無しと判定した場合に前記パケット制御部は前記入力パケットを通過させ、前記アドレス偽装判定部が送信元IPアドレスの偽装有りと判定した場合に前記パケット制御部は前記入力パケットを廃棄することを特徴とするものである。
このような構成によれば、送信元IPアドレス偽装パケットを検出した場合にそのパケットを廃棄することにより、リアルタイムで送信元IPアドレスの偽装による不正侵入や攻撃からLAN内部を守ることができる。
また、本発明に係る送信元アドレス偽装パケット検出装置において、前記アドレス偽装判定部が送信元IPアドレスの偽装有りと判定した場合に、前記入力パケットにおける送信元IPアドレスと宛先IPアドレスの間のコネクションを切断するコネクション切断部を、さらに備えることを特徴とするものである。また、本発明に係る送信元アドレス偽装パケット検出装置において、前記コネクション切断部は、送信元IPアドレスと宛先IPアドレスへリセットパケットを送信することにより前記コネクションを切断することを特徴とするものである。
このような構成によれば、送信元IPアドレス偽装パケットを検出した場合にそのパケットを廃棄し、さらに送信元IPアドレスと宛先IPアドレスのコネクションを切断することにより、リアルタイムで送信元IPアドレスの偽装による不正侵入や攻撃からLAN内部を守ることができ、さらに不正侵入や攻撃の継続を防ぐことができる。
また、本発明に係る送信元アドレス偽装パケット検出装置において、前記アドレス偽装判定部が送信元IPアドレスの偽装有りと判定した場合に、予め指定されたアドレスへアラート情報を送信するアラート情報通知部を、さらに備えることを特徴とするものである。また、本発明に係る送信元アドレス偽装パケット検出装置において、前記アラート情報は、前記入力パケットの送信元IPアドレスと宛先IPアドレスとTTL値と基準TTL値とを含むことを特徴とするものである。
このような構成によれば、送信元IPアドレス偽装パケットを検出した場合に、そのパケットに関するアラート情報を管理者へ通知することにより、管理者が送信元IPアドレスの偽装による不正侵入や攻撃を把握し、対処することができる。なお、アラート情報に更に日付や時刻を含めることができる。
また、本発明に係る送信元アドレス偽装パケット検出装置において、前記アドレス偽装判定部が送信元IPアドレスの偽装有りと判定した場合に、アラート情報をログとして記憶するログ記憶部を、さらに備えることを特徴とするものである。また、本発明に係る送信元アドレス偽装パケット検出装置において、前記アラート情報は、前記入力パケットの送信元IPアドレスと宛先IPアドレスとTTL値と基準TTL値とを含むことを特徴とするものである。
このような構成によれば、送信元IPアドレス偽装パケットを検出した場合に、そのパケットに関するアラート情報をログとして記憶することにより、送信元IPアドレスの偽装による不正侵入や攻撃の記録を残し、ログを不正侵入や攻撃の証拠とすることができる。
また、本発明は、送信元IPアドレスの偽装が施されたパケットを検出する送信元アドレス偽装パケット検出方法であって、パケットの入出力を制御するとともに、入力パケットの送信元IPアドレスと前記入力パケットのTTL値を取得するステップと、前記入力パケットの送信元IPアドレスとTTL値とを対応づけて記憶するステップと、送信元IPアドレス毎に記憶されたTTL値に基づいて、送信元IPアドレス毎の正常なTTL値の範囲を表す基準TTL値を算出するステップと、基準TTL値と送信元IPアドレスとを対応づけて記憶するステップと、前記入力パケットのTTL値と前記入力パケットの送信元IPアドレスに対応する基準TTL値との比較を行い、該比較の結果に基づいて、前記入力パケットにおける前記送信元IPアドレスが偽装か否かを判定するステップとを備えてなるものである。
このような構成によれば、送信元IPアドレス毎に収集したTTL値を用いて算出した送信元アドレス毎の基準TTL値と入力パケットのTTL値とを比較することにより、送信元IPアドレスが偽装されたパケットを検出することができる。
また、本発明に係る送信元アドレス偽装パケット検出方法において、送信元IPアドレスの偽装無しと判定した場合に前記入力パケットを通過させ、送信元IPアドレスの偽装有りと判定した場合に前記入力パケットを廃棄するステップを、さらに備えることを特徴とするものである。
このような構成によれば、送信元IPアドレス偽装パケットを検出した場合にそのパケットを廃棄することにより、リアルタイムで送信元IPアドレスの偽装による不正侵入や攻撃からLAN内部を守ることができる。
また、本発明に係る送信元アドレス偽装パケット検出方法において、送信元IPアドレスの偽装有りと判定した場合に、前記入力パケットにおける送信元IPアドレスと宛先IPアドレスの間のコネクションを切断するステップを、さらに備えることを特徴とするものである。
このような構成によれば、送信元IPアドレス偽装パケットを検出した場合にそのパケットを廃棄し、さらに送信元IPアドレスと宛先IPアドレスのコネクションを切断することにより、リアルタイムで送信元IPアドレスの偽装による不正侵入や攻撃からLAN内部を守ることができ、さらに不正侵入や攻撃の継続を防ぐことができる。
また、本発明に係る送信元アドレス偽装パケット検出方法において、送信元IPアドレスの偽装有りと判定した場合に、予め指定されたアドレスへアラート情報を送信するステップを、さらに備えることを特徴とするものである。
このような構成によれば、送信元IPアドレス偽装パケットを検出した場合に、そのパケットに関するアラート情報を管理者へ通知することにより、管理者が送信元IPアドレスの偽装による不正侵入や攻撃を把握し、対処することができる。
また、本発明に係る送信元アドレス偽装パケット検出方法において、送信元IPアドレスの偽装有りと判定した場合に、アラート情報をログとして記憶するステップを、さらに備えることを特徴とするものである。
このような構成によれば、送信元IPアドレス偽装パケットを検出した場合に、そのパケットに関するアラート情報をログとして記憶することにより、送信元IPアドレスの偽装による不正侵入や攻撃の記録を残し、ログを不正侵入や攻撃の証拠とすることができる。
また、本発明は、送信元IPアドレスの偽装が施されたパケットの検出をコンピュータに実行させるために、コンピュータにより読取可能な媒体に記憶された送信元アドレス偽装パケット検出プログラムであって、パケットの入出力を制御するとともに、入力パケットの送信元IPアドレスと前記入力パケットのTTL値を取得するステップと、前記入力パケットの送信元IPアドレスとTTL値とを対応づけて記憶するステップと、送信元IPアドレス毎に記憶されたTTL値に基づいて、送信元IPアドレス毎の正常なTTL値の範囲を表す基準TTL値を算出するステップと、基準TTL値と送信元IPアドレスとを対応づけて記憶するステップと、前記入力パケットのTTL値と前記入力パケットの送信元IPアドレスに対応する基準TTL値との比較を行い、該比較の結果に基づいて、前記入力パケットにおける前記送信元IPアドレスが偽装か否かを判定するステップとを備えてなるものである。
このような構成によれば、送信元IPアドレス毎に収集したTTL値を用いて算出した送信元アドレス毎の基準TTL値と入力パケットのTTL値とを比較することにより、送信元IPアドレスが偽装されたパケットを検出することができる。
また、本発明に係る送信元アドレス偽装パケット検出プログラムにおいて、送信元IPアドレスの偽装無しと判定した場合に前記入力パケットを通過させ、送信元IPアドレスの偽装有りと判定した場合に前記入力パケットを廃棄するステップを、さらに備えることを特徴とするものである。
このような構成によれば、送信元IPアドレス偽装パケットを検出した場合にそのパケットを廃棄することにより、リアルタイムで送信元IPアドレスの偽装による不正侵入や攻撃からLAN内部を守ることができる。
また、本発明に係る送信元アドレス偽装パケット検出プログラムにおいて、送信元IPアドレスの偽装有りと判定した場合に、前記入力パケットにおける送信元IPアドレスと宛先IPアドレスの間のコネクションを切断するステップを、さらに備えることを特徴とするものである。
このような構成によれば、送信元IPアドレス偽装パケットを検出した場合にそのパケットを廃棄し、さらに送信元IPアドレスと宛先IPアドレスのコネクションを切断することにより、リアルタイムで送信元IPアドレスの偽装による不正侵入や攻撃からLAN内部を守ることができ、さらに不正侵入や攻撃の継続を防ぐことができる。
また、本発明に係る送信元アドレス偽装パケット検出プログラムにおいて、送信元IPアドレスの偽装有りと判定した場合に、予め指定されたアドレスへアラート情報を送信するステップを、さらに備えることを特徴とするものである。
このような構成によれば、送信元IPアドレス偽装パケットを検出した場合に、そのパケットに関するアラート情報を管理者へ通知することにより、管理者が送信元IPアドレスの偽装による不正侵入や攻撃を把握し、対処することができる。
また、本発明に係る送信元アドレス偽装パケット検出プログラムにおいて、送信元IPアドレスの偽装有りと判定した場合に、アラート情報をログとして記憶するステップを、さらに備えることを特徴とするものである。
このような構成によれば、送信元IPアドレス偽装パケットを検出した場合に、そのパケットに関するアラート情報をログとして記憶することにより、送信元IPアドレスの偽装による不正侵入や攻撃の記録を残し、ログを不正侵入や攻撃の証拠とすることができる。
第1図は、パケットの構成を示す図である。
第2図は、IPヘッダの構成を示す図である。
第3図は、実施の形態1に係る送信元IPアドレス偽装パケット検出装置の機能の一例を示すブロック図である。
第4図は、実施の形態1に係る送信元IPアドレス偽装パケット検出装置の処理の一例を示すフローチャートである。
第5図は、基準TTL値テーブルの一例を示す図である。
第6図は、TTL値テーブルの一例を示す図である。
第7図は、実施の形態1に係る送信元アドレス偽装パケット検出装置を備えたFWの動作の一例を表すブロック図である。
第8図は、実施の形態2に係る送信元IPアドレス偽装パケット検出装置の機能の一例を示すブロック図である。
第9図は、TCPヘッダの構成を示す図である。
第10図は、実施の形態2に係る送信元IPアドレス偽装パケット検出装置の処理の一例を示すフローチャートである。
第11図は、実施の形態3に係る送信元IPアドレス偽装パケット検出装置の機能の一例を示すブロック図である。
第12図は、実施の形態3に係る送信元IPアドレス偽装パケット検出装置の処理の一例を示すフローチャートである。
第13図は、ログの一例を示す図である。
第14図は、実施の形態4に係る送信元IPアドレス偽装パケット検出装置の機能の一例を示すブロック図である。
第15図は、実施の形態4に係る送信元IPアドレス偽装パケット検出装置の処理の一例を示すフローチャートである。
第16図は、FWの動作の一例を示す図である。
第17図は、フィルタリング通過リストを所持するFWの動作の一例を示す図である。
第2図は、IPヘッダの構成を示す図である。
第3図は、実施の形態1に係る送信元IPアドレス偽装パケット検出装置の機能の一例を示すブロック図である。
第4図は、実施の形態1に係る送信元IPアドレス偽装パケット検出装置の処理の一例を示すフローチャートである。
第5図は、基準TTL値テーブルの一例を示す図である。
第6図は、TTL値テーブルの一例を示す図である。
第7図は、実施の形態1に係る送信元アドレス偽装パケット検出装置を備えたFWの動作の一例を表すブロック図である。
第8図は、実施の形態2に係る送信元IPアドレス偽装パケット検出装置の機能の一例を示すブロック図である。
第9図は、TCPヘッダの構成を示す図である。
第10図は、実施の形態2に係る送信元IPアドレス偽装パケット検出装置の処理の一例を示すフローチャートである。
第11図は、実施の形態3に係る送信元IPアドレス偽装パケット検出装置の機能の一例を示すブロック図である。
第12図は、実施の形態3に係る送信元IPアドレス偽装パケット検出装置の処理の一例を示すフローチャートである。
第13図は、ログの一例を示す図である。
第14図は、実施の形態4に係る送信元IPアドレス偽装パケット検出装置の機能の一例を示すブロック図である。
第15図は、実施の形態4に係る送信元IPアドレス偽装パケット検出装置の処理の一例を示すフローチャートである。
第16図は、FWの動作の一例を示す図である。
第17図は、フィルタリング通過リストを所持するFWの動作の一例を示す図である。
以下、本発明の実施の形態について図面を参照して詳細に説明する。本実施の形態では、TCP/IPネットワークにおける送信元アドレス偽装パケット検出装置について説明する。
実施の形態1.
まず、本発明の送信元アドレス偽装パケット検出装置が用いるTTL値について説明する。第1図に示すように、パケットは、イーサネットヘッダ、IPヘッダ、TCP/UDP(User Datagram Protocol)ヘッダ、データから構成されている。また、第2図に示すように、IPヘッダは、Ver.(Version)、HLen(Header Length)、TOS(Type of Service)、全データ長、識別子、フラグ、フラグメントオフセット、TTL(Time To Live)値、プロトコル、チェックサム、送信元IPアドレス、宛先IPアドレスから構成されている。
IPヘッダにおけるTTL値は、IPヘッダにおける生存時間フィールドであり、パケットが経由できるルータ数の限界値が記されている。TTL値はまず初期値を与えられ、ルータを経由するごとに値を1ずつ減らされる。TTL値が0になるとそのパケットは破棄され、ICMPタイプ11エラー(時間超過)パケットが返送される。
このような動作により、送信元IPアドレスを偽装したパケットのTTL値と、正常なパケットのTTL値は異なる場合が多い。その理由は、ホストごとにTTL値の初期値が異なる場合が多いという点と、送信元のホストからFWまでのホップ数が異なる場合が多いという点である。本発明はこの性質を利用し、通過するパケットのTTL値と基準TTL値を比較することにより、送信元IPアドレス偽装パケットを検出する。ここで、基準TTL値は、ある送信元IPアドレスに対応するTTL値の履歴に基づいて求められ、正常なTTL値の範囲を表すものである。
以下、本実施の形態に係る送信元IPアドレス偽装パケット検出装置について詳細に説明する。本実施の形態に係る送信元IPアドレス偽装パケット検出装置は、送信元IPアドレス偽装パケットを検出した場合に、そのパケットを廃棄するものである。第3図は、実施の形態1に係る送信元IPアドレス偽装パケット検出装置の機能の一例を示すブロック図である。第3図に示すように、この送信元IPアドレス偽装パケット検出装置の機能は、パケット制御部1と、アドレス偽装判定部2と、TTL値記憶部3と、基準TTL値算出部4と、基準TTL値記憶部5から構成される。
第4図は、実施の形態1に係る送信元IPアドレス偽装パケット検出装置の処理の一例を示すフローチャートである。まず、パケット制御部1は、ネットワークから入力パケットを受信し、入力パケットのIPヘッダから送信元IPアドレスとTTL値を取得してアドレス偽装判定部2へ出力する(S1)。
アドレス偽装判定部2は、入力パケットの送信元IPアドレスに対応する基準TTL値が、基準TTL値テーブルに設定されているか否かの判断を行う(S2)。ここで、基準TTL値テーブルについて説明する。基準TTL値テーブルは基準TTL値記憶部5に記憶されている。第5図は、基準TTL値テーブルの一例を示す図である。第5図に示すように基準TTL値テーブルは、送信元IPアドレス毎の正常なTTL値の範囲を表す基準TTL値を、送信元IPアドレスに対応づけて記憶する。
基準TTL値テーブルに、入力パケットの送信元IPアドレスに対応する基準TTL値が設定されていない場合(S2,N)、処理はS4へ移行する。一方、基準TTL値テーブルに、入力パケットの送信元IPアドレスに対応する基準TTL値が設定されている場合(S2,Y)、アドレス偽装判定部2は基準TTL値テーブルから送信元IPアドレスに対応する基準TTL値を取得し、入力パケットのTTL値が基準TTL値の範囲内であるか否かを判断する(S3)。
入力パケットのTTL値が基準TTL値の範囲内でない場合(S3,N)、アドレス偽装判定部2は、入力パケットが送信元IPアドレス偽装パケットであることをパケット制御部1へ通知する。入力パケットが送信元IPアドレス偽装パケットであるとの通知を受けたパケット制御部1は、入力パケットの廃棄を行い(S7)、このフローを終了する。
一方、入力パケットのTTL値が基準TTL値の範囲内である場合(S3,Y)、アドレス偽装判定部2は、入力パケットの送信元IPアドレスが正常であることをパケット制御部1へ通知するとともに、入力パケットのTTL値をTTL値テーブルに保存する(S4)。
ここで、TTL値テーブルについて説明する。TTL値テーブルはTTL値記憶部3に記憶されている。第6図は、TTL値テーブルの一例を示す図である。第6図に示すように、TTL値テーブルは、送信元IPアドレス毎に収集されたTTL値を、送信元IPアドレスに対応づけて記憶する。
基準TTL値算出部4は、TTL値テーブルに新たに記憶されたTTL値を含めて基準TTL値を算出し、その結果を基準TTL値テーブルへ保存する(S5)。基準TTL値は、例えばTTL値テーブルにおける送信元IPアドレス毎のTTL値の中央値、または平均値として算出される。また、基準TTL値は範囲を持っても良く、例えば中央値±1、平均値±1としても良い。また、基準TTL値を予め基準TTL値テーブルへ記憶させ、TTL値記憶部3と基準TTL値算出部4を省いても良い。
送信元IPアドレスが正常であるとの通知を受けたパケット制御部1は、入力パケットをネットワークへ送信し(S6)、このフローを終了する。
ここで、本実施の形態に係る送信元アドレス偽装パケット検出装置を備えたFWの動作の一例について第7図を用いて説明する。第7図は、実施の形態1に係る送信元アドレス偽装パケット検出装置を備えたFWの動作の一例を表すブロック図である。第7図に示す例では、ホスト103と信頼関係にあるホスト102はLAN外部に存在し、ホスト103が存在するLAN内部と、ホスト101とホスト102が存在するLAN外部は、FW120を介して接続されている。ここで、ホスト101のIPアドレスはA、ホスト102のIPアドレスはB、ホスト103のIPアドレスはCとする。FW120は、フィルタリング通過リストを保持するとともに、本実施の形態に係る送信元アドレス偽装パケット検出装置130を備える。フィルタリング通過リストには、通過させるパケットの送信元IPアドレスとしてBが設定されている。
ここでは簡単のため、送信元IPアドレスBを持つパケットの判定についてのみ説明する。送信元アドレス偽装パケット検出装置130は、入力パケットのTTL値と入力パケットの送信元IPアドレスに対応する基準TTL値251±1とを比較し、TTL値が基準TTL値の範囲内である場合はパケットを通過させ、TTL値が基準TTL値の範囲内でない場合はパケットの廃棄を行う。第7図に示す例においては、ホスト102から送信されたパケットは、送信元IPアドレスがBであり、さらにTTL値251が基準TTL値251±1の範囲内であるため、ホスト102から送信されたパケットを正常なパケットとみなし、通過させる。一方、ホスト101から送信されたパケットは、送信元IPアドレスはBであるが、TTL値123が基準TTL値251±1の範囲内でないため、ホスト101から送信されたパケットを送信元IPアドレス偽装パケットとみなし、廃棄する。
以上、本実施の形態では、送信元IPアドレス偽装パケットを検出した場合にそのパケットを廃棄することにより、リアルタイムで送信元IPアドレスの偽装による不正侵入や攻撃からLAN内部を守ることができる。
実施の形態2.
本実施の形態に係る送信元IPアドレス偽装パケット検出装置は、送信元IPアドレス偽装パケットを検出した場合に、そのパケットに関する情報を管理者へ通知するものである。第8図は、実施の形態2に係る送信元IPアドレス偽装パケット検出装置の機能の一例を示すブロック図である。第8図において、第3図と同一符号は第3図に示された対象と同一又は相当物を示しており、ここでの説明を省略する。第8図に示すように、本実施の形態に係る送信元IPアドレス偽装パケット検出装置の機能は、第3図に示した構成に加え、さらにアラート情報通知部21を備える。また、第3図に示した構成におけるパケット制御部1の代わりにパケット制御部1Aを備え、アドレス偽装判定部2の代わりにアドレス偽装判定部2Aを備える。
まず、パケット制御部1Aの動作について説明する。パケット制御部1Aは、ネットワークから入力パケットを受信し、入力パケットの送信元IPアドレスとTTL値を取得してアドレス偽装判定部2Aへ出力し、入力パケットのコネクション情報を取得してアラート情報通知部21へ出力し、入力パケットをネットワークへ送信する。ここで、コネクション情報は、IPヘッダから得られる送信元IPアドレスと宛先IPアドレスと、TCPヘッダから得られる送信元ポート番号と宛先ポート番号からなる。第9図に示すように、TCPヘッダは、送信元ポート番号、宛先ポート番号、シーケンス番号、ACK(Acknowledge)番号、オフセット、予約、フラグ、ウィンドウサイズ、チェックサム、緊急ポインタから構成されている。
次に、アドレス偽装判定部2Aとアラート情報通知部21の動作について説明する。第10図は、実施の形態2に係る送信元IPアドレス偽装パケット検出装置の処理の一例を示すフローチャートである。第10図において、第4図と同一符号は第4図に示された処理と同様であり、ここでの説明を省略する。本実施の形態では、入力パケットのTTL値が基準TTL値の範囲内でない場合(S3,N)、アドレス偽装判定部2Aは、入力パケットが送信元IPアドレス偽装パケットであることをアラート情報通知部21へ通知する。このときアドレス偽装判定部2Aは、アラート情報通知部21へ入力パケットのTTL値と基準TTL値を渡す。
入力パケットが送信元IPアドレス偽装パケットであるとの通知を受けたアラート情報通知部21は、まず、アラート情報の作成を行う(S21)。アラート情報は、例えば、日付と時刻と入力パケットのコネクション情報とTTL値と基準TTL値からなる。次に、アラート情報通知部21は予め指定された管理者のメールアドレスへ、アラート情報をメールとして送信し(S22)、このフローを終了する。
以上、本実施の形態では、送信元IPアドレス偽装パケットを検出した場合に、そのパケットに関するアラート情報を作成し、管理者へ通知することにより、管理者が送信元IPアドレスの偽装による不正侵入や攻撃を把握し、対処することができる。
実施の形態3.
本実施の形態に係る送信元IPアドレス偽装パケット検出装置は、送信元IPアドレス偽装パケットを検出した場合に、そのパケットに関する情報をログとして記録するものである。第11図は、実施の形態3に係る送信元IPアドレス偽装パケット検出装置の機能の一例を示すブロック図である。第11図において、第8図と同一符号は第8図に示された対象と同一又は相当物を示しており、ここでの説明を省略する。第11図に示すように、本実施の形態に係る送信元IPアドレス偽装パケット検出装置の機能は、第8図に示したアラート情報通知部21の代わりにログ記憶部31を備える。
以下、ログ記憶部31の動作について説明する。第12図は、実施の形態3に係る送信元IPアドレス偽装パケット検出装置の処理の一例を示すフローチャートである。第12図において、第4図と同一符号は第4図に示された処理と同様であり、ここでの説明を省略する。本実施の形態では、入力パケットのTTL値が基準TTL値の範囲内でない場合(S3,N)、アドレス偽装判定部2Aは、入力パケットが送信元IPアドレス偽装パケットであることをログ記憶部31へ通知する。このときアドレス偽装判定部2Aは、ログ記憶部31へ入力パケットのTTL値と基準TTL値を渡す。
入力パケットが送信元IPアドレス偽装パケットであるとの通知を受けたログ記憶部31は、まず、アラート情報の作成を行う(S31)。次に、ログ記憶部31は、アラート情報をログとして記録し(S32)、このフローを終了する。
第13図は、ログの一例を示す図である。第13図に示すように、ログには、送信元IPアドレス偽装パケットが通過した日付と時刻、送信元IPアドレス偽装パケットの基準TTL値とTTL値とコネクション情報が記録されている。
以上、本実施の形態では、送信元IPアドレス偽装パケットを検出した場合に、そのパケットに関するアラート情報を作成し、ログとして記憶することにより、送信元IPアドレスの偽装による不正侵入や攻撃の記録を残し、ログを不正侵入や攻撃の証拠とすることができる。
実施の形態4.
本実施の形態に係る送信元IPアドレス偽装パケット検出装置は、送信元IPアドレス偽装パケットを検出した場合に、そのパケットの送信元IPアドレスと宛先IPアドレスの間のコネクションを切断するものである。第14図は、実施の形態4に係る送信元IPアドレス偽装パケット検出装置の機能の一例を示すブロック図である。第14図において、第3図と同一符号は第3図に示された対象と同一又は相当物を示しており、ここでの説明を省略する。第14図に示すように、本実施の形態に係る送信元IPアドレス偽装パケット検出装置の機能は、第3図に示した構成に加え、さらにコネクション切断部41を備える。また、第3図に示した構成におけるパケット制御部1の代わりにパケット制御部1Bを備え、アドレス偽装判定部2の代わりにアドレス偽装判定部2Bを備える。
まず、パケット制御部1Bの動作について説明する。パケット制御部1Bは、ネットワークから入力パケットを受信し、入力パケットの送信元IPアドレスとTTL値を取得してアドレス偽装判定部2Bへ出力し、入力パケットをコネクション切断部41へ出力する。また、パケット制御部1Bは、入力パケットが送信元IPアドレス偽装パケットであるとの通知を受けた場合、入力パケットを廃棄する。
次に、アドレス偽装判定部2Bとコネクション切断部41の動作について説明する。第15図は、実施の形態4に係る送信元IPアドレス偽装パケット検出装置の処理の一例を示すフローチャートである。第15図において、第4図と同一符号は第4図に示された処理と同様であり、ここでの説明を省略する。本実施の形態では、入力パケットのTTL値が基準TTL値の範囲内でない場合(S3,N)、アドレス偽装判定部2Bは、入力パケットが送信元IPアドレス偽装パケットであることをコネクション切断部41とパケット制御部1Bへ通知する。
入力パケットが送信元IPアドレス偽装パケットであるとの通知を受けたコネクション切断部41は、まず入力パケットを参照して送信元IPアドレスと宛先IPアドレスに対するリセットパケットの作成を行う(S41)。リセットパケットとは、TCPにおけるコネクションを強制終了するためのパケットであり、具体的には、TCPヘッダのフラグのうちRSTフラグビットを立てたパケットのことである。次にコネクション切断部41は、リセットパケットを送信元IPアドレスと宛先IPアドレスへ送信し(S42)、このフローを終了する。
以上、本実施の形態では、送信元IPアドレス偽装パケットを検出した場合にそのパケットを廃棄し、さらにリセットパケットを生成し送信元IPアドレスと宛先IPアドレスへ送信することでTCPにおけるコネクションを切断することにより、リアルタイムで送信元IPアドレスの偽装による不正侵入や攻撃からLAN内部を守ることができ、さらに不正侵入や攻撃の継続を防ぐことができる。
なお、実施の形態1から実施の形態4で説明した送信元IPアドレス偽装パケット検出装置の機能をプログラムとすることにより、FWやルータ、IDSの機能の一部として実装し他の機能と協調し、攻撃や不正侵入の検出率を上げることができる。
実施の形態1.
まず、本発明の送信元アドレス偽装パケット検出装置が用いるTTL値について説明する。第1図に示すように、パケットは、イーサネットヘッダ、IPヘッダ、TCP/UDP(User Datagram Protocol)ヘッダ、データから構成されている。また、第2図に示すように、IPヘッダは、Ver.(Version)、HLen(Header Length)、TOS(Type of Service)、全データ長、識別子、フラグ、フラグメントオフセット、TTL(Time To Live)値、プロトコル、チェックサム、送信元IPアドレス、宛先IPアドレスから構成されている。
IPヘッダにおけるTTL値は、IPヘッダにおける生存時間フィールドであり、パケットが経由できるルータ数の限界値が記されている。TTL値はまず初期値を与えられ、ルータを経由するごとに値を1ずつ減らされる。TTL値が0になるとそのパケットは破棄され、ICMPタイプ11エラー(時間超過)パケットが返送される。
このような動作により、送信元IPアドレスを偽装したパケットのTTL値と、正常なパケットのTTL値は異なる場合が多い。その理由は、ホストごとにTTL値の初期値が異なる場合が多いという点と、送信元のホストからFWまでのホップ数が異なる場合が多いという点である。本発明はこの性質を利用し、通過するパケットのTTL値と基準TTL値を比較することにより、送信元IPアドレス偽装パケットを検出する。ここで、基準TTL値は、ある送信元IPアドレスに対応するTTL値の履歴に基づいて求められ、正常なTTL値の範囲を表すものである。
以下、本実施の形態に係る送信元IPアドレス偽装パケット検出装置について詳細に説明する。本実施の形態に係る送信元IPアドレス偽装パケット検出装置は、送信元IPアドレス偽装パケットを検出した場合に、そのパケットを廃棄するものである。第3図は、実施の形態1に係る送信元IPアドレス偽装パケット検出装置の機能の一例を示すブロック図である。第3図に示すように、この送信元IPアドレス偽装パケット検出装置の機能は、パケット制御部1と、アドレス偽装判定部2と、TTL値記憶部3と、基準TTL値算出部4と、基準TTL値記憶部5から構成される。
第4図は、実施の形態1に係る送信元IPアドレス偽装パケット検出装置の処理の一例を示すフローチャートである。まず、パケット制御部1は、ネットワークから入力パケットを受信し、入力パケットのIPヘッダから送信元IPアドレスとTTL値を取得してアドレス偽装判定部2へ出力する(S1)。
アドレス偽装判定部2は、入力パケットの送信元IPアドレスに対応する基準TTL値が、基準TTL値テーブルに設定されているか否かの判断を行う(S2)。ここで、基準TTL値テーブルについて説明する。基準TTL値テーブルは基準TTL値記憶部5に記憶されている。第5図は、基準TTL値テーブルの一例を示す図である。第5図に示すように基準TTL値テーブルは、送信元IPアドレス毎の正常なTTL値の範囲を表す基準TTL値を、送信元IPアドレスに対応づけて記憶する。
基準TTL値テーブルに、入力パケットの送信元IPアドレスに対応する基準TTL値が設定されていない場合(S2,N)、処理はS4へ移行する。一方、基準TTL値テーブルに、入力パケットの送信元IPアドレスに対応する基準TTL値が設定されている場合(S2,Y)、アドレス偽装判定部2は基準TTL値テーブルから送信元IPアドレスに対応する基準TTL値を取得し、入力パケットのTTL値が基準TTL値の範囲内であるか否かを判断する(S3)。
入力パケットのTTL値が基準TTL値の範囲内でない場合(S3,N)、アドレス偽装判定部2は、入力パケットが送信元IPアドレス偽装パケットであることをパケット制御部1へ通知する。入力パケットが送信元IPアドレス偽装パケットであるとの通知を受けたパケット制御部1は、入力パケットの廃棄を行い(S7)、このフローを終了する。
一方、入力パケットのTTL値が基準TTL値の範囲内である場合(S3,Y)、アドレス偽装判定部2は、入力パケットの送信元IPアドレスが正常であることをパケット制御部1へ通知するとともに、入力パケットのTTL値をTTL値テーブルに保存する(S4)。
ここで、TTL値テーブルについて説明する。TTL値テーブルはTTL値記憶部3に記憶されている。第6図は、TTL値テーブルの一例を示す図である。第6図に示すように、TTL値テーブルは、送信元IPアドレス毎に収集されたTTL値を、送信元IPアドレスに対応づけて記憶する。
基準TTL値算出部4は、TTL値テーブルに新たに記憶されたTTL値を含めて基準TTL値を算出し、その結果を基準TTL値テーブルへ保存する(S5)。基準TTL値は、例えばTTL値テーブルにおける送信元IPアドレス毎のTTL値の中央値、または平均値として算出される。また、基準TTL値は範囲を持っても良く、例えば中央値±1、平均値±1としても良い。また、基準TTL値を予め基準TTL値テーブルへ記憶させ、TTL値記憶部3と基準TTL値算出部4を省いても良い。
送信元IPアドレスが正常であるとの通知を受けたパケット制御部1は、入力パケットをネットワークへ送信し(S6)、このフローを終了する。
ここで、本実施の形態に係る送信元アドレス偽装パケット検出装置を備えたFWの動作の一例について第7図を用いて説明する。第7図は、実施の形態1に係る送信元アドレス偽装パケット検出装置を備えたFWの動作の一例を表すブロック図である。第7図に示す例では、ホスト103と信頼関係にあるホスト102はLAN外部に存在し、ホスト103が存在するLAN内部と、ホスト101とホスト102が存在するLAN外部は、FW120を介して接続されている。ここで、ホスト101のIPアドレスはA、ホスト102のIPアドレスはB、ホスト103のIPアドレスはCとする。FW120は、フィルタリング通過リストを保持するとともに、本実施の形態に係る送信元アドレス偽装パケット検出装置130を備える。フィルタリング通過リストには、通過させるパケットの送信元IPアドレスとしてBが設定されている。
ここでは簡単のため、送信元IPアドレスBを持つパケットの判定についてのみ説明する。送信元アドレス偽装パケット検出装置130は、入力パケットのTTL値と入力パケットの送信元IPアドレスに対応する基準TTL値251±1とを比較し、TTL値が基準TTL値の範囲内である場合はパケットを通過させ、TTL値が基準TTL値の範囲内でない場合はパケットの廃棄を行う。第7図に示す例においては、ホスト102から送信されたパケットは、送信元IPアドレスがBであり、さらにTTL値251が基準TTL値251±1の範囲内であるため、ホスト102から送信されたパケットを正常なパケットとみなし、通過させる。一方、ホスト101から送信されたパケットは、送信元IPアドレスはBであるが、TTL値123が基準TTL値251±1の範囲内でないため、ホスト101から送信されたパケットを送信元IPアドレス偽装パケットとみなし、廃棄する。
以上、本実施の形態では、送信元IPアドレス偽装パケットを検出した場合にそのパケットを廃棄することにより、リアルタイムで送信元IPアドレスの偽装による不正侵入や攻撃からLAN内部を守ることができる。
実施の形態2.
本実施の形態に係る送信元IPアドレス偽装パケット検出装置は、送信元IPアドレス偽装パケットを検出した場合に、そのパケットに関する情報を管理者へ通知するものである。第8図は、実施の形態2に係る送信元IPアドレス偽装パケット検出装置の機能の一例を示すブロック図である。第8図において、第3図と同一符号は第3図に示された対象と同一又は相当物を示しており、ここでの説明を省略する。第8図に示すように、本実施の形態に係る送信元IPアドレス偽装パケット検出装置の機能は、第3図に示した構成に加え、さらにアラート情報通知部21を備える。また、第3図に示した構成におけるパケット制御部1の代わりにパケット制御部1Aを備え、アドレス偽装判定部2の代わりにアドレス偽装判定部2Aを備える。
まず、パケット制御部1Aの動作について説明する。パケット制御部1Aは、ネットワークから入力パケットを受信し、入力パケットの送信元IPアドレスとTTL値を取得してアドレス偽装判定部2Aへ出力し、入力パケットのコネクション情報を取得してアラート情報通知部21へ出力し、入力パケットをネットワークへ送信する。ここで、コネクション情報は、IPヘッダから得られる送信元IPアドレスと宛先IPアドレスと、TCPヘッダから得られる送信元ポート番号と宛先ポート番号からなる。第9図に示すように、TCPヘッダは、送信元ポート番号、宛先ポート番号、シーケンス番号、ACK(Acknowledge)番号、オフセット、予約、フラグ、ウィンドウサイズ、チェックサム、緊急ポインタから構成されている。
次に、アドレス偽装判定部2Aとアラート情報通知部21の動作について説明する。第10図は、実施の形態2に係る送信元IPアドレス偽装パケット検出装置の処理の一例を示すフローチャートである。第10図において、第4図と同一符号は第4図に示された処理と同様であり、ここでの説明を省略する。本実施の形態では、入力パケットのTTL値が基準TTL値の範囲内でない場合(S3,N)、アドレス偽装判定部2Aは、入力パケットが送信元IPアドレス偽装パケットであることをアラート情報通知部21へ通知する。このときアドレス偽装判定部2Aは、アラート情報通知部21へ入力パケットのTTL値と基準TTL値を渡す。
入力パケットが送信元IPアドレス偽装パケットであるとの通知を受けたアラート情報通知部21は、まず、アラート情報の作成を行う(S21)。アラート情報は、例えば、日付と時刻と入力パケットのコネクション情報とTTL値と基準TTL値からなる。次に、アラート情報通知部21は予め指定された管理者のメールアドレスへ、アラート情報をメールとして送信し(S22)、このフローを終了する。
以上、本実施の形態では、送信元IPアドレス偽装パケットを検出した場合に、そのパケットに関するアラート情報を作成し、管理者へ通知することにより、管理者が送信元IPアドレスの偽装による不正侵入や攻撃を把握し、対処することができる。
実施の形態3.
本実施の形態に係る送信元IPアドレス偽装パケット検出装置は、送信元IPアドレス偽装パケットを検出した場合に、そのパケットに関する情報をログとして記録するものである。第11図は、実施の形態3に係る送信元IPアドレス偽装パケット検出装置の機能の一例を示すブロック図である。第11図において、第8図と同一符号は第8図に示された対象と同一又は相当物を示しており、ここでの説明を省略する。第11図に示すように、本実施の形態に係る送信元IPアドレス偽装パケット検出装置の機能は、第8図に示したアラート情報通知部21の代わりにログ記憶部31を備える。
以下、ログ記憶部31の動作について説明する。第12図は、実施の形態3に係る送信元IPアドレス偽装パケット検出装置の処理の一例を示すフローチャートである。第12図において、第4図と同一符号は第4図に示された処理と同様であり、ここでの説明を省略する。本実施の形態では、入力パケットのTTL値が基準TTL値の範囲内でない場合(S3,N)、アドレス偽装判定部2Aは、入力パケットが送信元IPアドレス偽装パケットであることをログ記憶部31へ通知する。このときアドレス偽装判定部2Aは、ログ記憶部31へ入力パケットのTTL値と基準TTL値を渡す。
入力パケットが送信元IPアドレス偽装パケットであるとの通知を受けたログ記憶部31は、まず、アラート情報の作成を行う(S31)。次に、ログ記憶部31は、アラート情報をログとして記録し(S32)、このフローを終了する。
第13図は、ログの一例を示す図である。第13図に示すように、ログには、送信元IPアドレス偽装パケットが通過した日付と時刻、送信元IPアドレス偽装パケットの基準TTL値とTTL値とコネクション情報が記録されている。
以上、本実施の形態では、送信元IPアドレス偽装パケットを検出した場合に、そのパケットに関するアラート情報を作成し、ログとして記憶することにより、送信元IPアドレスの偽装による不正侵入や攻撃の記録を残し、ログを不正侵入や攻撃の証拠とすることができる。
実施の形態4.
本実施の形態に係る送信元IPアドレス偽装パケット検出装置は、送信元IPアドレス偽装パケットを検出した場合に、そのパケットの送信元IPアドレスと宛先IPアドレスの間のコネクションを切断するものである。第14図は、実施の形態4に係る送信元IPアドレス偽装パケット検出装置の機能の一例を示すブロック図である。第14図において、第3図と同一符号は第3図に示された対象と同一又は相当物を示しており、ここでの説明を省略する。第14図に示すように、本実施の形態に係る送信元IPアドレス偽装パケット検出装置の機能は、第3図に示した構成に加え、さらにコネクション切断部41を備える。また、第3図に示した構成におけるパケット制御部1の代わりにパケット制御部1Bを備え、アドレス偽装判定部2の代わりにアドレス偽装判定部2Bを備える。
まず、パケット制御部1Bの動作について説明する。パケット制御部1Bは、ネットワークから入力パケットを受信し、入力パケットの送信元IPアドレスとTTL値を取得してアドレス偽装判定部2Bへ出力し、入力パケットをコネクション切断部41へ出力する。また、パケット制御部1Bは、入力パケットが送信元IPアドレス偽装パケットであるとの通知を受けた場合、入力パケットを廃棄する。
次に、アドレス偽装判定部2Bとコネクション切断部41の動作について説明する。第15図は、実施の形態4に係る送信元IPアドレス偽装パケット検出装置の処理の一例を示すフローチャートである。第15図において、第4図と同一符号は第4図に示された処理と同様であり、ここでの説明を省略する。本実施の形態では、入力パケットのTTL値が基準TTL値の範囲内でない場合(S3,N)、アドレス偽装判定部2Bは、入力パケットが送信元IPアドレス偽装パケットであることをコネクション切断部41とパケット制御部1Bへ通知する。
入力パケットが送信元IPアドレス偽装パケットであるとの通知を受けたコネクション切断部41は、まず入力パケットを参照して送信元IPアドレスと宛先IPアドレスに対するリセットパケットの作成を行う(S41)。リセットパケットとは、TCPにおけるコネクションを強制終了するためのパケットであり、具体的には、TCPヘッダのフラグのうちRSTフラグビットを立てたパケットのことである。次にコネクション切断部41は、リセットパケットを送信元IPアドレスと宛先IPアドレスへ送信し(S42)、このフローを終了する。
以上、本実施の形態では、送信元IPアドレス偽装パケットを検出した場合にそのパケットを廃棄し、さらにリセットパケットを生成し送信元IPアドレスと宛先IPアドレスへ送信することでTCPにおけるコネクションを切断することにより、リアルタイムで送信元IPアドレスの偽装による不正侵入や攻撃からLAN内部を守ることができ、さらに不正侵入や攻撃の継続を防ぐことができる。
なお、実施の形態1から実施の形態4で説明した送信元IPアドレス偽装パケット検出装置の機能をプログラムとすることにより、FWやルータ、IDSの機能の一部として実装し他の機能と協調し、攻撃や不正侵入の検出率を上げることができる。
以上説明したように本発明によれば、パケットを中継またはモニタする装置において、通過するパケットの送信元IPアドレス毎にTTL値を収集して基準TTL値を生成し、通過するパケットのTTL値と基準TTL値を比較することにより、送信元IPアドレスの偽装を検出し、検出した場合にアラートを上げる、またはそのパケットの廃棄を行うことにより、送信元IPアドレスの偽装による不正侵入や攻撃からLAN内部を守ることができる。
Claims (7)
- 送信元アドレスの偽装が施されたパケットを検出する送信元アドレス偽装パケット検出装置であって、
パケットの入出力を制御するとともに、入力パケットの送信元アドレスと前記入力パケットの生存時間を取得するパケット制御部と、
前記パケット制御部により取得された送信元アドレスに対応する前記入力パケットの生存時間を記憶する生存時間記憶部と、
前記生存時間記憶部に記憶された送信元アドレスに対する生存時間の平均値、又は平均値からの所定の範囲内の値、又は中央値のいずれかを有する生存時間を基準生存時間として算出する基準生存時間算出部と、
入力パケットに対し、入力パケットの送信元アドレスに対応する前記生存時間が前記生存時間記憶部により記憶されている場合は、前記基準生存時間算出部により算出された基準生存時間と、前記パケット制御部により取得された生存時間との比較を行い、前記入力パケットにおける送信元アドレスの偽装の有無を判定するアドレス偽装判定部と、
前記アドレス偽装判定部が送信元アドレスの偽装があると判定した場合に、前記入力パケットにおける送信元アドレスと宛先アドレスとの間のコネクションを切断するコネクション切断部とを備え、
前記パケット制御部は、前記アドレス偽装判定部が送信元アドレスの偽装無しと判定した場合、及び入力パケットの送信元アドレスに対応する前記生存時間が前記生存時間記憶部に記憶されていない場合は、前記入力パケットを通過させるとともに、前記生存時間が前記生存時間記憶部に記憶されていない場合には、前記パケット制御部により取得された送信元アドレスに対応する前記入力パケットの生存時間を前記生存時間記憶部に記憶させる一方、前記アドレス偽装判定部が送信元アドレスの偽装有りと判定した場合に前記入力パケットを廃棄し、
前記コネクション切断部は、前記入力パケットにおける送信元アドレスと宛先アドレスの間のコネクションを切断することを特徴とする送信元アドレス偽装パケット検出装置。 - 請求項1に記載の送信元アドレス偽装パケット検出装置であって、
前記アドレスはIPアドレスであり、前記生存時間はTTL値であり、前記基準生存時間は正常なTTL値の範囲を表す基準TTL値であり、前記基準生存時間記憶部は基準TTL値記憶部であることを特徴とする送信元アドレス偽装パケット検出装置。 - 請求項2に記載の送信元アドレス偽装パケット検出装置において、
前記コネクション切断部は、送信元IPアドレスと宛先IPアドレスへリセットパケットを送信することにより前記コネクションを切断することを特徴とする送信元アドレス偽装パケット検出装置。 - 請求項2に記載の送信元アドレス偽装パケット検出装置において、
前記入力パケットの送信元IPアドレスとTTL値とを対応づけて記憶するTTL値記憶部と、
該TTL値記憶部により送信元IPアドレス毎に記憶されたTTL値に基づいて、送信元IPアドレス毎の基準TTL値を算出する基準TTL値算出部と、をさらに備えることを特徴とする送信元アドレス偽装パケット検出装置。 - 請求項4に記載の送信元アドレス偽装パケット検出装置において、
前記コネクション切断部は、送信元IPアドレスと宛先IPアドレスへリセットパケットを送信することにより前記コネクションを切断することを特徴とする送信元アドレス偽装パケット検出装置。 - 送信元アドレスの偽装が施されたパケットを検出する送信元アドレス偽装パケット検出方法であって、
パケットの入出力を制御するとともに、入力パケットの送信元アドレスと前記入力パケットの生存時間を取得するパケット制御ステップと、
前記パケット制御ステップにより取得された送信元アドレスに対応する前記入力パケットの生存時間を記憶する生存時間記憶ステップと、
前記生存時間記憶ステップにより記憶された送信元アドレスに対する生存時間の平均値、又は平均値からの所定の範囲内の値、又は中央値のいずれかを有する生存時間を基準生存時間として算出する基準生存時間算出ステップと、
入力パケットに対し、入力パケットの送信元アドレスに対応する前記入力パケットの生存時間が前記生存時間記憶ステップにより記憶されている場合は、前記基準生存時間算出ステップにより算出された基準生存時間と、前記パケット制御ステップにより取得された生存時間との比較を行い、前記入力パケットにおける送信元アドレスの偽装の有無を判定するアドレス偽装判定ステップと、
前記アドレス偽装判定ステップにより送信元アドレスの偽装があると判定された場合に、前記入力パケットにおける送信元アドレスと宛先アドレスとの間のコネクションを切断するコネクション切断ステップとを備え、
前記パケット制御ステップは、前記アドレス偽装判定ステップにより送信元アドレスの偽装無しと判定された場合、及び入力パケットの送信元アドレスに対応する前記生存時間が前記生存時間記憶ステップにより記憶されていない場合は、前記入力パケットを通過させるとともに、前記生存時間が前記生存時間記憶ステップにより記憶されていない場合には、前記パケット制御ステップにより取得された送信元アドレスに対応する前記入力パケットの生存時間を前記生存時間記憶ステップにより記憶させる一方、前記アドレス偽装判定ステップにより送信元アドレスの偽装有りと判定された場合に前記入力パケットを廃棄し、
前記コネクション切断ステップは、前記入力パケットにおける送信元アドレスと宛先アドレスの間のコネクションを切断することを特徴とする送信元アドレス偽装パケット検出方法。 - 送信元アドレスの偽装が施されたパケットを検出する送信元アドレス偽装パケット検出方法をコンピュータに実行させる送信元アドレス偽装パケット検出プログラムであって、
パケットの入出力を制御するとともに、入力パケットの送信元アドレスと前記入力パケットの生存時間を取得するパケット制御ステップと、
前記パケット制御ステップにより取得された送信元アドレスに対応する前記入力パケットの生存時間を記憶する生存時間記憶ステップと、
前記生存時間記憶ステップにより記憶された送信元アドレスに対する生存時間の平均値、又は平均値からの所定の範囲内の値、又は中央値のいずれかを有する生存時間を基準生存時間として算出する基準生存時間算出ステップと、
入力パケットに対し、入力パケットの送信元アドレスに対応する前記入力パケットの生存時間が前記生存時間記憶ステップにより記憶されている場合は、前記基準生存時間算出ステップにより算出された基準生存時間と、前記パケット制御ステップにより取得された生存時間との比較を行い、前記入力パケットにおける送信元アドレスの偽装の有無を判定するアドレス偽装判定ステップと、
前記アドレス偽装判定ステップにより送信元アドレスの偽装があると判定された場合に、前記入力パケットにおける送信元アドレスと宛先アドレスとの間のコネクションを切断するコネクション切断ステップとを備え、
前記パケット制御ステップは、前記アドレス偽装判定ステップにより送信元アドレスの偽装無しと判定された場合、及び入力パケットの送信元アドレスに対応する前記生存時間が前記生存時間記憶ステップにより記憶されていない場合は、前記入力パケットを通過させるとともに、前記生存時間が前記生存時間記憶ステップにより記憶されていない場合には、前記パケット制御ステップにより取得された送信元アドレスに対応する前記入力パケットの生存時間を前記生存時間記憶ステップにより記憶させる一方、前記アドレス偽装判定ステップにより送信元アドレスの偽装有りと判定された場合に前記入力パケットを廃棄し、
前記コネクション切断ステップは、前記入力パケットにおける送信元アドレスと宛先アドレスの間のコネクションを切断することをコンピュータに実行させることを特徴とする送信元アドレス偽装パケット検出プログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2002/012583 WO2004051946A1 (ja) | 2002-12-02 | 2002-12-02 | 送信元アドレス偽装パケット検出装置、送信元アドレス偽装パケット検出方法、送信元アドレス偽装パケット検出プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2004051946A1 JPWO2004051946A1 (ja) | 2006-04-06 |
| JP4014599B2 true JP4014599B2 (ja) | 2007-11-28 |
Family
ID=32448986
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004556791A Expired - Fee Related JP4014599B2 (ja) | 2002-12-02 | 2002-12-02 | 送信元アドレス偽装パケット検出装置、送信元アドレス偽装パケット検出方法、送信元アドレス偽装パケット検出プログラム |
Country Status (3)
| Country | Link |
|---|---|
| JP (1) | JP4014599B2 (ja) |
| AU (1) | AU2002349678A1 (ja) |
| WO (1) | WO2004051946A1 (ja) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9191396B2 (en) * | 2005-09-08 | 2015-11-17 | International Business Machines Corporation | Identifying source of malicious network messages |
| JP4551316B2 (ja) * | 2005-11-22 | 2010-09-29 | 日本電信電話株式会社 | 中継装置および中継装置用プログラム |
| JP2008028740A (ja) * | 2006-07-21 | 2008-02-07 | Secure Ware:Kk | 通信制御装置、通信制御方法、及びコンピュータプログラム |
| JP4692557B2 (ja) * | 2008-02-21 | 2011-06-01 | 沖電気工業株式会社 | パケット中継装置 |
| JP6286324B2 (ja) * | 2014-08-29 | 2018-02-28 | セコム株式会社 | 通信機器及び通信サーバ |
| JP6797050B2 (ja) * | 2017-03-09 | 2020-12-09 | 三菱電機株式会社 | パケット交換装置 |
| WO2019021402A1 (ja) * | 2017-07-26 | 2019-01-31 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 通信装置、通信方法および通信システム |
| US10999323B2 (en) * | 2017-09-22 | 2021-05-04 | Nec Corporation | Network gateway spoofing detection and mitigation |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10271154A (ja) * | 1997-03-21 | 1998-10-09 | Nec Eng Ltd | 不正アクセス防止方法およびシステム |
| JP3584877B2 (ja) * | 2000-12-05 | 2004-11-04 | 日本電気株式会社 | パケット転送制御装置、パケット転送制御方法およびパケット転送制御システム |
-
2002
- 2002-12-02 JP JP2004556791A patent/JP4014599B2/ja not_active Expired - Fee Related
- 2002-12-02 WO PCT/JP2002/012583 patent/WO2004051946A1/ja active Application Filing
- 2002-12-02 AU AU2002349678A patent/AU2002349678A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| WO2004051946A1 (ja) | 2004-06-17 |
| JPWO2004051946A1 (ja) | 2006-04-06 |
| AU2002349678A1 (en) | 2004-06-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7757285B2 (en) | Intrusion detection and prevention system | |
| EP1817685B1 (en) | Intrusion detection in a data center environment | |
| EP1905197B1 (en) | System and method for detecting abnormal traffic based on early notification | |
| JP4174392B2 (ja) | ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置 | |
| KR101231975B1 (ko) | 차단서버를 이용한 스푸핑 공격 방어방법 | |
| KR101424490B1 (ko) | 지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법 | |
| US20050180421A1 (en) | Source address-fabricated packet detection unit, source address-fabricated packet detection method, and source address-fabricated packet detection program | |
| WO2021139643A1 (zh) | 加密攻击网络流量检测方法,其装置及电子设备 | |
| US20070033645A1 (en) | DNS based enforcement for confinement and detection of network malicious activities | |
| US7475420B1 (en) | Detecting network proxies through observation of symmetric relationships | |
| JP2010268483A (ja) | 能動的ネットワーク防衛システム及び方法 | |
| KR20060116741A (ko) | 통신 네트워크에서 웜을 식별하여 무력화시키는 방법과장치 | |
| EP1616258A2 (en) | System and method for network quality of service protection on security breach detection | |
| JP2006243878A (ja) | 不正アクセス検知システム | |
| KR20120060655A (ko) | 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크 | |
| US8006303B1 (en) | System, method and program product for intrusion protection of a network | |
| JP4014599B2 (ja) | 送信元アドレス偽装パケット検出装置、送信元アドレス偽装パケット検出方法、送信元アドレス偽装パケット検出プログラム | |
| JP4620070B2 (ja) | トラヒック制御システムおよびトラヒック制御方法 | |
| JP3609382B2 (ja) | 分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラム | |
| EP2007066A9 (en) | A policy enforcement point and a linkage method and system for intrude detection system | |
| JP4694578B2 (ja) | コンピュータネットワークをパケットフラッド(flood)から保護するための方法及びシステム | |
| KR101065800B1 (ko) | 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체 | |
| WO2005026872A2 (en) | Internal lan perimeter security appliance composed of a pci card and complementary software | |
| US7421737B1 (en) | Evasion detection | |
| US20060225141A1 (en) | Unauthorized access searching method and device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070410 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070601 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070911 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070911 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100921 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100921 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110921 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120921 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120921 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130921 Year of fee payment: 6 |
|
| LAPS | Cancellation because of no payment of annual fees |