JP4148526B2 - ネットワークアドレス変換機器を検出する装置および方法。 - Google Patents

ネットワークアドレス変換機器を検出する装置および方法。 Download PDF

Info

Publication number
JP4148526B2
JP4148526B2 JP2006117235A JP2006117235A JP4148526B2 JP 4148526 B2 JP4148526 B2 JP 4148526B2 JP 2006117235 A JP2006117235 A JP 2006117235A JP 2006117235 A JP2006117235 A JP 2006117235A JP 4148526 B2 JP4148526 B2 JP 4148526B2
Authority
JP
Japan
Prior art keywords
network
network data
address
packet
address translation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006117235A
Other languages
English (en)
Other versions
JP2007295039A (ja
Inventor
直人 清水
賢太郎 青木
之信 森谷
英夫 安庭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Priority to JP2006117235A priority Critical patent/JP4148526B2/ja
Priority to US11/688,385 priority patent/US7912048B2/en
Priority to CN2007100898236A priority patent/CN101060397B/zh
Publication of JP2007295039A publication Critical patent/JP2007295039A/ja
Application granted granted Critical
Publication of JP4148526B2 publication Critical patent/JP4148526B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、PCなどの正規認証を得ている端末上で、ネットワークアドレス変換機器を動作させることで、接続許可を得ていない端末を接続している状態を把握することに関する。
最近、企業などのイントラネットなどでは、情報漏洩やコンピュータ・ウィルスの蔓延を防ぐため、許可を得ていないコンピュータの接続を防止するようにしている。そのため、認証スイッチやワイヤレスアクセスポイントでは、IEEE 802.1xなどで端末を認証した後、認証された端末をMACアドレス(Media Access Control Address)あるいはMACアドレスとIPアドレス(Internet Protocol Address)のペアで判別している。また、不正な接続端末の検出を可能にする製品・システムにおいても、同様の判別を行っている。このように、MACアドレス・IPアドレスを用いた端末の判別法は広く用いられている。
一方、接続許可を得た正規端末にLANカードを複数枚装着して、該正規端末上で、NAT(Network Address Translation)またはNAPT(Network Address Port Translation)を動作させ、正規端末のNAT/NAPT経由で認証を受けていない端末をネットワークに接続する方法がある。このような接続は、企業の従業員が、自宅で使用しているPC(Personal Computer)などを、企業のネットワークに接続するために、悪意無く利用することがある。この場合、該PCが、アンチ・ウィルス・ソフトなどのセキュリティ・ソフトをインストールしないで、また、最悪の場合、コンピュータ・ウィルスに感染している状態で接続される場合がある。このような接続許可を受けていない端末は接続を許可すべきでない。
しかし、該PCは、正規端末のNATまたはNAPT経由でネットワークに接続するので、接続許可を受けていない該PCより出たパケットのMACアドレスおよびIPアドレスは正規端末のものに置き換わり、発見するのが容易でなくなる。このため、企業内ネットワークで、疑わしいアクセスや、動作があっても、ネットワーク管理者はそれを突き止めることは容易ではない。
非特許文献1では、これらの、NAT/NAPTを動作させている端末を見つけるために、スイッチ上を流れるパケットの情報をsFlowプロトコル(RFC 3176)を用いて、解析サーバに収集している。解析サーバ上では、IPヘッダのTTL(Time To Live)値をチェックし、NAT/NAPTを動作させている端末を確認している。非特許文献2では、詳細は不明だが、ネットワーク上を流れるネットワークデータのTTL値やTCP(Transmission Control Protocol)ヘッダのTimeスタンプ値などを用いて、NATを動作させている端末を確認しているようである。
非特許文献1および非特許文献2では、パケットをモニタリングするだけなので、NAT/NAPTの検出率があまり高くない。また、TTLの初期値は、Microsoft Windows(登録商標)OS(Operating System)では128、Linux(登録商標)OSでは64で決まっているが、この値はレジストリやOSの設定ファイルを変更することで、ユーザが容易にTTL初期値を改竄できるので、NAT/NAPTの検出について信頼性が高いとはいえない。
Detecting NAT Devices using sFlow (URL:http://www.sflow.org/detectNAT/) NATDet - NATDetection Tool (URL:http://elceef.itsec.pl/natdet/)
NATまたはNAPTなどのネットワークアドレス変換機器を動作させている端末を、より高い精度で検出し、無効化する必要がある。
上記課題を解決するため、本発明においては、ネットワークアドレス変換機器を検出する方法を提案する。該方法は、 ネットワークデータを第1の機器(例えば、NAT/NAPTを介してネットワークに接続される機器)に転送するネットワークアドレス変換機器を検出する方法であって、ネットワークに接続された第2の機器(例えば、ネットワークに接続される単一のまたはPC)のアドレスを取得するステップと、前記アドレスを送信先アドレスとし、前記ネットワークデータの転送可能回数を、前記第1の機器に到達するのに要する転送回数として設定した疑似ネットワークデータを作成するステップと、前記疑似ネットワークデータを、前記第2の機器に送信するステップと、前記第2の機器から、前記疑似ネットワークデータの再転送不可のメッセージを検知するステップと、 前記メッセージを検知したことに応答して、前記第2の機器が、ネットワークアドレス変換機器を動作させていると判断するステップとを含む方法である。該方法により、NATまたはNAPTを動作させている端末を高い精度で検出することが可能となる。
前記方法は、さらに、前記ネットワークアドレス変換機器を動作させていると判断した場合、前記ネットワークに接続された機器宛てに送信するネットワークデータの前記転送可能回数を変更して、前記ネットワークアドレス変換機器を無効化するステップとを含む。該方法により、NAT/NAPTを検出した後、NAT/NAPTの無効化処理を自動で行うので、ネットワークの管理がより容易になる。
図1は、ネットワークアドレス変換機器(IPアドレスの変換を行うNAT、またはアドレスおよびポート番号の変換を行うNAPT)を動作させている端末を検出する装置に関するハードウェア構成100の概略を示している。中央演算処理装置であるCPU101は各種オペレーティング・システムの制御下で様々なプログラムを実行する。CPU101はバス102を介して、メモリ103、ディスク104、ディスプレイ・アダプタ105、ユーザ・インタフェース106およびネットワーク・インタフェース107と相互接続される。
ディスク104には、コンピュータを機能させるために必要なソフトウェア、オペレーティング・システムおよび本発明を実行するためのプログラム等が含まれる。これらのプログラムは必要に応じメモリに読み出されCPUで実行される。また、ディスク104には、ネットワークをモニタリングしてキャプチャしたネットワークデータ(パケット)や、既にチェックしたネットワークアドレスなどを記録しておく。なお、ディスク104は、フラッシュメモリなどで代用可能であり、記録可能な媒体であればハードディスクに限定されないことは当業者には自明である。
ユーザ・インタフェース106を通して、キーボード109およびマウス110に接続され、ディスプレイ・アダプタ105を通してディスプレイ装置108に接続され、ネットワーク・インタフェース107を通してネットワーク111に接続される。キーボード109およびマウス110により、本装置が操作され、ディスプレイ装置108に、処理の途中経過や処理結果が表示される。ネットワーク・インタフェース107は、ネットワーク・カードなどが接続される。ネットワーク・インタフェース107を介して、ネットワークデータの取得や送信が行われる。
ネットワーク111を介して、本発明が分散環境で実施される場合もある。なお、このハードウェア構成100は、コンピュータ・システム、バス配置およびネットワーク接続の一実施形態の例示に過ぎず、本発明の特徴は、さまざまなシステム構成で、同一の構成要素を複数有する形態で、または、ネットワーク上にさらに分散された形態で実現することができる。
図2は、ネットワークアドレス変換機器検出装置が動作するネットワーク環境の一例である。例えばインターネット201から、企業内のルータ202に接続され、本発明のネットワークアドレス変換機器検出装置203にさらに接続される。ネットワークアドレス変換機器検出装置203は、ネットワーク・スイッチ211と接続され、ネットワークスイッチ211には、ネットワークスイッチ210および212が接続されている。ルータ202は、サブネットワークを形成する。それぞれのネットワーク・スイッチには複数のPC端末が接続されており、ネットワーク・スイッチ211には、PC220、221、222・・・が接続されている。図2からわかるように、本発明のネットワークアドレス変換機器検出装置203は、ルータ202とネットワーク・スイッチ211の間に位置している。
ネットワークアドレス変換機器検出装置203は、ネットワークスイッチ211に接続されているPC220〜223・・に加えて、他のネットワークスイッチ210および212に接続されているPCから送られるネットワークデータを、全て取得することができる。ルータ202がある位置に、L3スイッチがあり、これが、ミラーリング機能を備えていれば、ネットワークアドレス変換機器検出装置203は、ミラーリング機能に直接接続すればよく、ここに位置する必要はない。また、ネットワークアドレス変換機器検出装置203は、他の実施形態としては、それぞれのPCとネットワーク・スイッチの間に、ネットワークデータのキャプチャ装置を設置してもよい。ネットワークへの接続形態は図2に限られるものではない。
図3は、ネットワークアドレス変換機器検出装置の機能構成の概略を示したものである。通信部301は、ネットワークデータを収集したり、送信したりするのに使用する。ネットワークデータのキャプチャ部302は、各PCが送信しているネットワークデータをキャプチャする。ネットワークデータ作成部303は、ネットワークデータのキャプチャ部302でキャプチャしたネットワークデータの送信先アドレス、送信元アドレス、送信元ポート、送信先ポートと同じ設定値を持つ疑似のネットワークデータを作成する。作成されたネットワークデータは、ネットワークアドレス変換機器により転送できないように、すなわち、転送しようとしたときに転送不可のエラーメッセージが出るようにパラメータを設定する。そして、作成されたネットワークデータは、通信部301から送信される。
ネットワークアドレス変換機器判断部304は、ネットワークデータの送信後、転送不可のエラーメッセージが返ってきたか否かを判断する。転送不可のエラーメッセージがあった場合、ネットワークアドレス変換装置が動作しているということなので、ネットワークデータのネットワークアドレスを持つPC端末は、NAT/NAPTを動作していると判断できる。チェック管理DB305は、キャプチャしたネットワークデータや、チェックし終わったネットワークアドレスなどを記録しておく。ネットワークアドレス変換機器無効化処理部306は、NAT/NAPTを動作させている機器宛てのネットワークデータのパラメータの一部を変更することで、NAT/NAPTを実質的に無効にする処理を行う。無効化の詳細については後述する。
図4は、パケットなどのネットワークデータが、ネットワークアドレス変換機器であるNAT/NAPTを動作しているPCに転送される際の概要を示したものである。図4(a)では、従来のWindowsOSから送信されたネットワークデータであるパケットが、NAT/NAPTにより転送される様子を示したものである。PC−Aからパケット401が送信される。パケット401は、PC−Bに到達した後、ネットワークアドレスが変更されて、パケット402としてPC−Xに転送される。パケット401では、転送可能回数を示すパラメータであるTTLの初期値は128になっている。パケット401が、NAT/NAPT機器で転送される際、TTLの値は1減され、パケット402では、TTLは127になる。なお、Linuxの場合、TTLの初期値は64である。
図4(b)は、ネットワークアドレス変換機器検出装置410が作成したパケット411を送信する概要を示している。ネットワークアドレス変換機器検出装置410は、TTLの値が1のパケットをPC−Bに対して送信する。これは、PC−AとPC−Bの間のパケットをキャプチャして、これを元に、パケット411を作成してもよい。NAT/NAPTが動作するPC−Bでは、それを、パケット412としてPC−Xに転送する場合、転送可能回数であるTTLが0となるので、転送不可としてエラーメッセージを送信する。エラーメッセージ413をネットワークアドレス変換機器検出装置410が検出すれば、PC−BがNAT/NAPTを動作させていることが分かる。
図5は、ネットワークアドレス変換機器を検出するための処理フローを例示している。ステップ501で処理を開始する。ステップ503でネットワークに接続されたPCから送信されるネットワークデータをキャプチャする。ステップ505では、ステップ503でキャプチャしたネットワークデータの送信先アドレスを取得する。ここでは、既にチェックしたPCのアドレスについては、再チェックを行わないようにしてもよい。既にチャックしたPCのアドレスの場合は、再度別のネットワークデータを取得するようにステップ503に戻る。再チェックを行わないようにするには、図3のチェック管理DB305にチェック済みアドレスを登録して管理することで実現できる。
また、ステップ503および505では、代わりに、ルータやインテリジェント・スイッチが管理するARP(Address Resolution Protocol)テーブルからアドレスを取得するようにしてもよい。ステップ507では、ステップ505で取得した送信先アドレスを持つネットワークデータを作成する。このネットワークデータは転送可能回数であるTTL値を1にするなどのパラメータ設定があるが、詳細については後述する。ステップ509では、ステップ507で作成したネットワークデータを送信する。ステップ511では、ステップ509で送信したネットワークデータに対して、ネットワークデータ転送不可のエラーメッセージを検出したか判断する。
ステップ511でエラーメッセージを検出しない場合(No)、ステップ515に進む。一方、ステップ511でエラーメッセージを検出した場合(Yes)、ステップ513で、ネットワークデータの送信先アドレスのPCがNAT/NAPTを動作させていることを特定する。ステップ515では、さらに検出処理を続けるか判断する。ステップ515で、処理を続けると判断した場合(Yes)、他のPCのアドレスについて検出処理を行うため、ステップ503に戻る。ステップ515で、処理を続けないと判断した場合(No)、ステップ517に進み、処理を終了する。
図6は、図5のフローに従って、NAT/NAPT検出装置が、ネットワークデータであるパケットを処理する概要を示したものである。PC−A601はMACアドレス00:00:00:00:00:01とIPアドレス192.168.103.200に設定されている。PC−B602は、NATまたはNAPTを動作させている端末であると仮定する。すなわち、PC−Bの正規ネットワーク側は、MACアドレス00:00:00:00:00:02とIPアドレス192.168.103.100に設定されたネットワークカードを持つ。
もう一枚のネットワークカードは、MACアドレス00:00:00:00:00:03とIPアドレス192.168.94.10を有するネットワークカードを持ち、プライベートネットワーク側に接続している。さらに、接続許可を受けていないPC−Xが、NAT/NAPTを介してPC−Bに接続される。PC−XはMACアドレス00:00:00:00:00:04とIPアドレス192.168.94.20に設定されている。また、ここではNAT/NAPT検出システム604が、動作しているものとする。
PC−Xは、PC−BのNAT/NAPTを介して、PC−Aとパケットの送受信を行っているものとする。PC−Xから、送信されたパケット611は、送信元MAC:00:00:00:00:00:04、送信先MAC:00:00:00:00:00:03(ネットワークカード2のMACアドレス)、TTL:128、送信元IP:192.168. 94.20、送信先IP:192.168.103.200(PC−AのIPアドレス)、TCP送信元ポート:10000、TCP送信先ポート:23、TCPフラグ:ACK+PSHに設定されている。パケット611は、PC−BのNAT/NAPTによりアドレスを変換される。ネットワークカード1から、PC−Aに送信されるときには、パケット612のようにMACアドレス、IPアドレス、ポート番号等が変更される。
また、PC−Aからは、返答として、パケット613が送出される。パケット613は、PC−BのNAT/NAPTを介して、ネットワークカード2から、パケット614として送信される。NAT/NAPT検出装置604は、パケット613をキャプチャし、NAT/NAPTを検知するためのパケット621を作成して、PC−B宛てに送信する。ここでは、パケット621は、IPヘッダのTTL値を1に設定し、TCPヘッダのChecksum値に不正な数値を入れる。
これは、PC−BがNAT/NAPTを動作させていない場合には、PC−Bは、パケットを受取った後、TCP Checksumが間違っているので、そのパケットを廃棄するだけで、他には影響ないからである。また、パケットのTCPフラグをACKに設定していてもよい。これも、関係ないACKを受取った場合、PC−Bはそのパケットを廃棄するだけだからである。さらに、UDPセッションの場合、UDP Checksumに不正な値を入れてもよい。
PC−Bが、NAT/NAPTを動作させている場合、TTL値が1なので、これ以上他にパケット622を転送できないとして、ICMP(Internet Control Message Protocol) Time Exceededメッセージ622を送出する。NAT/NAPT検出装置604は、パケット622を検出した場合、PC−BはNAT/NAPTを動作させているものとして判断する。なお、パケット621がPC−Bで本来処理されるものであっても、Checksumが間違っているので、パケット621を廃棄するだけで、他の処理には影響を与えない。
しかし、NAT/NAPT検出装置604は、パケット622をキャプチャすることに失敗する場合もある。検出の精度を上げるためには、NAT/NAPT検出システムから、パケット621の送信を複数回繰り返すのがよい。
さらに、精度を上げるために、他の項目をチェックすることと併せて、NAT/NAPTを検出することも考えられる。例えば、図7は、IPヘッダのIDフィールドの変化を示したものである。701と702のパケットのIDフィールドと、703と704のIDフィールドでは、数値が大きく離れているため、同一のPCから送出されたパケットであっても、2つのIDの体系があることが予想される。そのため、このような場合には、該PCは、NAT/NAPTを動作させていると予想される。
また、IPヘッダのTTLフィールドの値をチェックすることで、NAT/NAPTを動作しているか否かを判断することが可能である。例えば、図8のように、パケット801と802では、TTL値が128なので、WindowsOSから送出され初期値のTTLだと判断できる。一方、パケット803と804では、TTL値が127なので、NAT/NAPTで転送されたものとして判断できる。しかし、このTTL値は、PCのレジストリの変更で、ユーザが自由に設定できるので、単独では信頼性に欠ける恐れがある。そのため、図6のパケット622の検出と併せて利用するのが好ましい。
さらに、TCPヘッダやUDPヘッダのポート番号の値をチェックッすることで、NAT/NAPTを動作しているか否かを判断することが可能である。図9のように、パケット901と902のポート番号と、パケット903と904の送信元ポート番号はあまりにも違うので(ポート番号が不連続な値であるので)、これらのパケットが同一の送信元の場合、NAT/NAPTを動作している可能性があると考えられる。
さらに、TCPタイムスタンプの値をチェックすることで、NAT/NAPTを動作しているか否かを判断することが可能である。各PCごとにマシン時間が異なるので、ある一定時間内にタイムスタンプが大きく異なる複数のパケットが同一のPCから送信されている場合、すなわち、不連続なTCPタイムスタンプの値が観測された場合、NAT/NAPTを動作している可能性があると考えられる。
図10は、NAT/NAPTを動作しているPCに対して、NAT/NAPTを無効化する方法を示している。ここでは、NAT/NAPTを無効化するために、NAT/NAPTを動作しているPC宛てのパケットのTTL値を1に変更するようにする。これは、ルータやレイヤ3スイッチに、TTL値の変更機能を追加し、NAT/NAPT検出装置からNAT/NAPTを動作しているPCのアドレスの通知を受けた後、該PC宛てのパケットを中継する際に、パケットのTTL値を1に設定することで可能である。すなわち、パケット1010をルーティングする際に、パケット1012のようにTTL値を1に変更する。
また、図11では、PC1100のARPテーブルを変更して、該PC宛てのパケットを、TTL変更機器向けにすることで、TTLの値を1に変更することも可能である。これは、ARPテーブル1102中のNAT/NAPTを動作しているPCに対応するMACアドレス1103を、TTL変換装置のMACアドレスに変更することで実現できる。これにより、PC−X宛てのパケットは必ずTTL変換機器1106を経由することになり、例えば、TTL値が128のパケット1104を、TTL値が1のパケット1108に変更される。この結果、NAT/NAPTを実質的に無効化できる。
以上、本発明によれば、NATやNAPTのようなネットワークアドレス変換機器動作するPCを、高い精度で検出することができ、また、発見した後、NATやNAPTを容易に無効化することが可能である。
以上、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されない。上記実施の形態に、多様な変更または改良を加えることが可能であることが当業者に明らかである。その様な変更または改良を加えた形態も本発明の技術的範囲に含まれ得ることが、特許請求の範囲の記載から明らかである。
ネットワークアドレス変換機器を動作させている端末を検出する装置に関するハードウェア構成の概略を示している。 ネットワークアドレス変換機器検出装置が動作するネットワーク環境の例示である。 ネットワークアドレス変換機器検出装置の機能構成の概略を示したものである。 ネットワークデータが、ネットワークアドレス変換機器を動作しているPC転送される際の概要を示したものである。 ネットワークアドレス変換機器を検出するための処理フローを例示している。 NAT/NAPT検出装置が、パケットを処理する概要を示したものである。 IPヘッダのIDフィールドの変化を例示したものである。 パケットのTTL値の例示である。 パケットのポート番号の例示である。 NAT/NAPTを無効化する方法を例示している。 NAT/NAPTを無効化する方法を例示している。

Claims (13)

  1. ネットワークデータを第1の機器に転送するネットワークアドレス変換機器を検出する方法であって、
    ネットワークに接続された第2の機器のアドレスを取得するステップと、
    前記アドレスを送信先アドレスとし、前記ネットワークデータの転送可能回数を、前記第1の機器に到達するのに要する転送回数として設定した疑似ネットワークデータを作成するステップと、
    前記疑似ネットワークデータを、前記第2の機器に送信するステップと、
    前記第2の機器から、前記疑似ネットワークデータの再転送不可のメッセージを検知するステップと、
    前記メッセージを検知したことに応答して、前記第2の機器が、ネットワークアドレス変換機器を動作させていると判断するステップと、
    前記動作させていると判断した場合、前記第2の機器宛てに送信するネットワークデータを前記前記第2の機器宛てにルーティングする際に前記転送可能回数を1に変更して、前記ネットワークアドレス変換機器としての機能を無効化するステップと
    を含む方法。
  2. 無効化するステップに替えて、
    前記動作させていると判断した場合、ARPテーブルを変換することで、前記第2の機器宛てのネットワークデータを前記転送回数の変換装置を必ず経由するようにし、前記転送回数の前記変換機器において前記転送可能回数を1に変更して、前記ネットワークアドレス変換機器としての機能を無効化するステップと
    を含む請求項1に記載の方法。
  3. 前記アドレスを取得するステップは、さらに、
    前記ネットワークを流れる前記ネットワークデータをキャプチャするステップと、
    前記キャプチャしたネットワークデータの送信先アドレスを取得するステップと
    を含む請求項1または2に記載の方法。
  4. 前記ネットワークデータはパケットであり、前記転送可能回数はTTL値である、請求項1または2に記載の方法。
  5. 前記ネットワークアドレス変換機器がNATまたはNAPTのいずれか1つである、請求項1または2に記載の方法。
  6. 前記方法は、さらに、
    パケットのTTLの値、ポート番号が不連続か、または、TCPタイムスタンプが不連続かのいずれか1つ以上から、前記ネットワークアドレス変換機器を動作させていると判断するステップと
    を含む請求項1乃至5のいずれかに記載の方法。
  7. 請求項1乃至6のいずれか1項に記載の方法の各ステップを、コンピュータに実行させるための、コンピュータ・プログラム。
  8. ネットワークデータを第1の機器に転送するネットワークアドレス変換機器を検出する装置であって、
    ネットワークに接続された第2の機器のアドレスを取得する手段と、
    前記アドレスを送信先アドレスとし、、前記ネットワークデータの転送可能回数の上限を、前記送信先機器までの転送回数として設定した疑似ネットワークデータを作成する手段と、
    前記疑似ネットワークデータを、前記第2の機器に送信する手段と、
    前記第2の先機器から、前記作成した疑似ネットワークデータの転送不可のメッセージを検知した場合に、前記第2の機器が、ネットワークアドレス変換機器を動作させていると判断する手段と、
    前記ネットワークアドレス変換機器を動作させていると判断した場合に、前記第2の機器宛てに送信するネットワークデータの前記転送可能回数を変更して、前記ネットワークアドレス変換機器としての機能を無効化する手段と
    を有する装置。
  9. 無効化する手段に替えて、
    前記ネットワークアドレス変換機器を前記動作させていると判断した場合、ARPテーブルを変換することで、前記第2の機器宛てのネットワークデータを前記転送回数の変換装置を必ず経由するようにし、前記転送回数の前記変換機器において前記転送可能回数を1に変更して、前記ネットワークアドレス変換機器としての機能を無効化する手段と
    を含む請求項8に記載の装置。
  10. 前記装置は、さらに
    前記ネットワークデータをキャプチャする手段をさらに含み、
    前記アドレスを取得する手段は、前記キャプチャした前記ネットワークデータの送信先アドレスから取得することを特徴とする
    請求項8または9に記載の装置。
  11. 前記ネットワークデータはパケットであり、前記転送可能回数はTTL値である、請求項8または9に記載の装置。
  12. 前記ネットワークアドレス変換機器がNATまたはNAPTのいずれか1つである、請求項8または9に記載の装置。
  13. 前記パケットは、ACKパケット、TCP Checksumに正しくない値を入れたパケット、または、UDP Checksumに正しくない値を入れたパケットのいずれかである請求項11に記載の装置。
JP2006117235A 2006-04-20 2006-04-20 ネットワークアドレス変換機器を検出する装置および方法。 Expired - Fee Related JP4148526B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2006117235A JP4148526B2 (ja) 2006-04-20 2006-04-20 ネットワークアドレス変換機器を検出する装置および方法。
US11/688,385 US7912048B2 (en) 2006-04-20 2007-03-20 Apparatus and method for detecting network address translation device
CN2007100898236A CN101060397B (zh) 2006-04-20 2007-04-05 检测网络地址转换装置的设备和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006117235A JP4148526B2 (ja) 2006-04-20 2006-04-20 ネットワークアドレス変換機器を検出する装置および方法。

Publications (2)

Publication Number Publication Date
JP2007295039A JP2007295039A (ja) 2007-11-08
JP4148526B2 true JP4148526B2 (ja) 2008-09-10

Family

ID=38661120

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006117235A Expired - Fee Related JP4148526B2 (ja) 2006-04-20 2006-04-20 ネットワークアドレス変換機器を検出する装置および方法。

Country Status (3)

Country Link
US (1) US7912048B2 (ja)
JP (1) JP4148526B2 (ja)
CN (1) CN101060397B (ja)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102577248B (zh) * 2009-10-28 2016-01-06 惠普发展公司,有限责任合伙企业 用于nat设备的检测的方法和装置
CN105681487A (zh) * 2009-10-28 2016-06-15 惠普发展公司,有限责任合伙企业 用于nat设备的检测的方法和装置
KR101387974B1 (ko) * 2013-12-24 2014-04-22 주식회사 파이오링크 패킷의 특성을 이용하여 nat 장치를 탐지하기 위한 방법, 장치 및 컴퓨터 판독 가능한 기록 매체
CN104717316B (zh) * 2015-04-03 2017-11-14 山东华软金盾软件股份有限公司 一种跨nat环境下客户端接入方法和系统
KR101852506B1 (ko) * 2016-08-12 2018-04-27 주식회사 케이티 단말 정보 식별 시스템 및 그 방법
KR101775325B1 (ko) * 2017-01-02 2017-09-19 주식회사 파이오링크 Nat 장치를 탐지하기 위한 방법 및 장치
JP6667876B2 (ja) * 2017-04-26 2020-03-18 サイレックス・テクノロジー株式会社 基地局、基地局システム、及び、通信方法
CN108092876A (zh) * 2017-11-23 2018-05-29 湖北大学 一种基于即时通讯应用的nat检测方法及系统
JP7135870B2 (ja) * 2019-01-07 2022-09-13 富士通株式会社 検知装置、検知方法、および、検知プログラム
JP2021022778A (ja) * 2019-07-25 2021-02-18 富士通株式会社 検証プログラム、検証方法及び検証装置
CN113132504A (zh) * 2019-12-31 2021-07-16 奇安信科技集团股份有限公司 网络地址转换设备的识别方法、装置和计算机设备
CN112995358B (zh) * 2021-04-21 2021-07-23 中国人民解放军国防科技大学 大规模网络地址转换流量识别方法、装置及计算机设备
CN114584529B (zh) * 2022-01-29 2023-06-30 中国电子科技集团公司第五十二研究所 一种基于nat和虚拟网桥的推理服务器
CN114928586A (zh) * 2022-02-09 2022-08-19 浙江远望信息股份有限公司 一种基于主动扫描的nat设备发现方法

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3919488B2 (ja) 2001-09-10 2007-05-23 三菱電機株式会社 データ中継装置、データ中継方法、データ中継処理プログラム及びデータ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体
CN100339845C (zh) * 2002-08-15 2007-09-26 联想网御科技(北京)有限公司 基于状态检测的链路层统一资源定位符过滤的方法
US7002943B2 (en) 2003-12-08 2006-02-21 Airtight Networks, Inc. Method and system for monitoring a selected region of an airspace associated with local area networks of computing devices
US7440434B2 (en) * 2004-02-11 2008-10-21 Airtight Networks, Inc. Method and system for detecting wireless access devices operably coupled to computer local area networks and related methods
US7536723B1 (en) * 2004-02-11 2009-05-19 Airtight Networks, Inc. Automated method and system for monitoring local area computer networks for unauthorized wireless access
JP2006050405A (ja) 2004-08-06 2006-02-16 Nec Infrontia Corp 通信ネットワークシステム、通信端末およびnat解決方法
US7599365B1 (en) * 2005-10-12 2009-10-06 2Wire, Inc. System and method for detecting a network packet handling device
US8255996B2 (en) * 2005-12-30 2012-08-28 Extreme Networks, Inc. Network threat detection and mitigation

Also Published As

Publication number Publication date
CN101060397B (zh) 2010-05-26
JP2007295039A (ja) 2007-11-08
US7912048B2 (en) 2011-03-22
US20070258452A1 (en) 2007-11-08
CN101060397A (zh) 2007-10-24

Similar Documents

Publication Publication Date Title
JP4148526B2 (ja) ネットワークアドレス変換機器を検出する装置および方法。
US10511620B2 (en) Detection of vulnerable devices in wireless networks
US10581880B2 (en) System and method for generating rules for attack detection feedback system
EP2494741B1 (en) Method and device for detection of a nat device
US7703138B2 (en) Use of application signature to identify trusted traffic
JP2008177714A (ja) ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置
JP2006319982A (ja) 通信ネットワーク内ワーム特定及び不活化方法及び装置
JPWO2008084729A1 (ja) アプリケーション連鎖性ウイルス及びdns攻撃発信元検知装置、その方法及びそのプログラム
US8250645B2 (en) Malware detection methods and systems for multiple users sharing common access switch
JP2008092465A (ja) コンピュータ端末がネットワークに接続して通信することを管理・制御するための装置および方法。
JP2019097133A (ja) 通信監視システム及び通信監視方法
Tyagi et al. Packet inspection for unauthorized OS detection in enterprises
EP1754348B1 (en) Using address ranges to detect malicious activity
US20170034004A1 (en) Discovering network nodes
JP4767683B2 (ja) 中継装置、不正アクセス防止装置、およびアクセス制御プログラム
JP2011199507A (ja) 攻撃検出装置、攻撃検出方法、及びプログラム
US10015179B2 (en) Interrogating malware
JP4484190B2 (ja) ルーター探索システム、ルーター探索方法、及びルーター探索プログラム
KR20150026187A (ko) 드로퍼 판별을 위한 시스템 및 방법
JP4753264B2 (ja) ネットワーク攻撃を検出するための方法、装置、およびコンピュータ・プログラム(ネットワーク攻撃の検出)
WO2009110327A1 (ja) ネットワーク監視システム、ネットワーク監視方法、及びネットワーク監視プログラム
JP2006165877A (ja) 通信システム、通信方法および通信プログラム
KR101584763B1 (ko) 불법 공유기 및 네트워크 주소 변환 기기 탐지를 위한 정보 수집 방법
JP6869203B2 (ja) 監視システム
KR100656478B1 (ko) 네트워크 보안 시스템 및 그 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080125

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20080131

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080311

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080415

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20080430

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080618

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080623

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110704

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110704

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120704

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees