JP4484190B2 - ルーター探索システム、ルーター探索方法、及びルーター探索プログラム - Google Patents

ルーター探索システム、ルーター探索方法、及びルーター探索プログラム Download PDF

Info

Publication number
JP4484190B2
JP4484190B2 JP2001121695A JP2001121695A JP4484190B2 JP 4484190 B2 JP4484190 B2 JP 4484190B2 JP 2001121695 A JP2001121695 A JP 2001121695A JP 2001121695 A JP2001121695 A JP 2001121695A JP 4484190 B2 JP4484190 B2 JP 4484190B2
Authority
JP
Japan
Prior art keywords
packet
router
search
inspection
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2001121695A
Other languages
English (en)
Other versions
JP2002344481A (ja
JP2002344481A5 (ja
Inventor
博明 江藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Priority to JP2001121695A priority Critical patent/JP4484190B2/ja
Priority to US10/127,135 priority patent/US7159033B2/en
Publication of JP2002344481A publication Critical patent/JP2002344481A/ja
Publication of JP2002344481A5 publication Critical patent/JP2002344481A5/ja
Application granted granted Critical
Publication of JP4484190B2 publication Critical patent/JP4484190B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/161Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0213Standardised network management protocols, e.g. simple network management protocol [SNMP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、ルーターとして作動しているネットワーク接続機器を探索するルーター探索システム及びルーター探索方法に関し、例えばイントラネット内で無認可で存在するルーターを探索するルーター探索システム、ルーター探索方法、及び関連プログラムに関するものである。
【0002】
【従来の技術】
大規模なイントラネットでは、ユーザが、ノート型パソコンを含む自分の端末を、イントラネットへ接続したまま、自分の携帯電話機用モデムやISDNルーター等を介して外部のISP(インターネット・サービス・プロバイダ)へ接続して、メールを読んだりすることがある。イントラネットの正式のルーターは十分ファイアウォールを装備しているいるのに、これら一時的なルーターは、ファイアウォールが弱く、外部の不正アクセス者の攻撃の的になり易い。なお、例えば、Windows NTやWindows 2000(いずれもマイクロソフト社の登録商標)のようなOSは、ルーター機能を装備し、ルーター機能の自動作動が有効に設定されている場合、ユーザが、特にルーター機能を作動させる意思が無くても、自分のモデム等を介して外部のISPへ接続すると、自動的にルーター機能が作動する。
【0003】
従来のルーター検出手法として、次の三つの手法が知られている。
(a)バナー検出法(banner grabbing)
telnetやftpなどの接続時のメッセージを見ることで、機器の製造元やOSなどを特定できる場合がある。専用のネットワーク機器を使用してルーターを構築している場合には、この手法でルーターを検出する場合がある。
(b)OS検出法(OS detection)
通常出現しないようなパケットに対するレスポンスは機器ごとのネットワーク実装に依存する。それ故、そのレスポンスからOSを特定することが可能である。この手法でも専用ルーターを検出できる。
(c)ルーティングプロトコル法(routing protocol)
ルーターは近傍のルーターとルーティング情報を交換するために、幾つかのプロトコル(RIP,OSPFなど)が実装されている。それらのプロトコルに対してレスポンスを返すということはルーター機能が動作していることを意味する。
(d)SNMP法(Simple Network Management Protocol)
ネットワーク機器のリモート管理用のプロトコルSNMPを実装したルーターは多い。SNMPはアクセスコントロールされているが、正当なアクセスではルーターの機能やルーターのインターフェース情報などを取得可能である。SNMPを使用すれば必要十分な情報を得ることができる。
【0004】
【発明が解決しようとする課題】
従来の検出法では、ルータは特定可能であるが、ルータの先にインター
ネットが接続されているかどうか特定できない。また、LinuxやWindowsなどのOSを利用してルーターとしている場合には、OSを特定できてもその運用方法を特定することはできない。OS検出法では、ルーターの先の情報やコンピュータのルーターとしての機能を特定することはできない。ルーティングプロトコル法では、低価格のネットワーク機器やOSを利用したルーターではルーティングプロトコルが実装されていないことが多く、それらのルーターについては、ルーターとして検出困難である。SNMP法は、アクセスコントロールによって情報を取得できなかったり、SNMPを実装していないルーターなども普及しているため、不十分である。
【0005】
本発明の目的は、複数個のネットワークを接続するルーターとして現在、作動しているネットワーク接続機器を的確に探索することのできるルーター探索システム、ルーター探索方法、及びルーター探索システムプログラムを提供することである。
【0006】
【課題を解決するための手段】
第1の発明のルーター探索システムによれば、第1のネットワークへ接続されているネットワーク接続機器の中に、第1のネットワークの外部の第2のネットワークへ接続しているものがないかを探索する。ルーター探索システムはそれぞれ第1のネットワーク及び第2のネットワークへ接続されている送信側ルーター探索装置及び受信側ルーター探索装置を有している。送信側ルーター探索装置は、送信先IPアドレス及び送信元IPアドレスをそれぞれ検査対象ネットワーク接続機器及び受信側ルーター探索装置のIPアドレスとされてかつルーター探索のためのパケットであることを示す情報(以下、「探索用パケット情報」と言う。)を含むIPパケット(以下、「検査用IPパケット」と言う。)を生成する生成手段、及び該検査用IPパケットを送信する検査用IPパケット送信手段を有している。受信側ルーター探索装置は、自己宛てのIPパケットを受信する受信手段、及び受信手段の受信したIPパケットが検査用IPパケットに対する検査対象ネットワーク接続機器の返答のIPパケット(以下、「返答用IPパケット」と言う。)であるか否かを判定しその判定結果に基づいて検査対象ネットワーク接続機器が作動中ルーターであるか否かを判断する判断する判断手段を有している。
【0007】
第1のネットワークに接続されているネットワーク機器の中で、今回の検査対象ネットワーク接続機器をどれにするかとして、例えば今回の検査対象ネットワーク接続機器を、前回の検査から漏れているものとしたり、IPアドレス付与から時間のあまり経過していないものとしたりする場合もあるが、第1のネットワークがイントラネットの場合には、該イントラネットのアドレススペースに登録されている全部のネットワーク機器、すなわち該イントラネットへ現在、接続中の全部のネットワーク機器を検査対象ネットワーク接続機器としてもよく、それにより、検査時間が特に長くなり過ぎということはない。
【0008】
ネットワーク接続機器は、自己宛てで受信したIPパケット(以下、該IPパケットを適宜「検査用IPパケット」と言う。)に対し、所定の返答をIPパケット(以下、該IPパケットを適宜「返答用IPパケット」と言う。)で行う。返答用IPパケットの送信先IPアドレス及び送信元IPアドレスは検査用IPパケットの送信元IPアドレス及び送信先IPアドレスとなっている。検査対象ネットワーク接続機器が作動中ルーターであれば、返答用IPパケットは、該作動中ルーターから第2のネットワークへ送出され、受信側ルーター探索装置に到達する。受信側ルーター探索装置の判断手段は、受信手段の受信したIPパケットに探索用パケット情報が含まれているか否かを判断し、含まれていれば、検査対象ネットワーク接続機器は作動中ルーターと判断できる。なお、検査対象ネットワーク接続機器が作動中ルーターでなければ、返答用IPパケットは、第2のネットワーク側へ送出されることなく、一般には、第1のネットワーク内で消滅する。
【0009】
第2の発明のルーター探索システムによれば、第1の発明のルーター探索システムにおいて、探索用パケット情報は、IPパケットの積載するOSI参照基準のトランスポート層のパケットのヘッダに書き込まれている。
【0010】
OSI参照基準パケットには、例えばTCPパケットやUDPパケットが含まれる。ルーターの生成する返答用IPパケットのトランスポート層のヘッダの所定部位のデータは、検査用IPパケットのトランスポート層のヘッダの所定部位のデータがそのまま保存されているか、その関連値(例:TCPパケットのシーケンス番号の場合では、返答のTCPパケットのシーケンス番号は検査のTCPパケットのシーケンス番号に1だけ加算される。)で保存されている。したがって、送信側ルーター探索装置からの探索用パケット情報は作動中ルーターを介して受信側ルーター探索装置へ到達し、受信側ルーター探索装置は、IPパケットの探索用パケット情報からそれが検査用IPパケットに由来するものであるか否かを検出することができる。
【0011】
第3の発明のルーター探索システムによれば、第1又は第2の発明のルーター探索システムにおいて、送信側ルーター探索装置は、検査用IPパケット送信手段から検査用IPパケットの送信する前に、受信側ルーター探索装置に今回の探索用パケット情報を知得させ又は知得可能にする知得手段を有している。
【0012】
知得手段には、例えば、今回の探索用パケット情報をHTTPやFTP等により受信側ルーター探索装置へ通知する通知手段の他に、例えば今回の探索用パケット情報を所定のウェブページに提示する情報提示手段が含まれる。知得手段が情報提示手段である場合には、受信側ルーター探索装置はプッシュ型で探索用パケット情報を入手する。
【0013】
第4の発明のルーター探索システムによれば、第1〜第3のいずれかの発明のルーター探索システムにおいて、第1のネットワーク及び第2のネットワークはそれぞれイントラネット及びインターネットである。
【0014】
検査対象ネットワーク接続機器が作動中ルーターであるか否かを検査する場合、検査対象ネットワーク接続機器のIPアドレスの入手が必要になる。また、典型的には、ネットワークに接続されているネットワーク接続機器の全部を検査対象ネットワーク接続機器として検査を実行するのではなく、作動中ルーターでありそうなネットワーク接続機器を適当に絞って、それ又はそれらのネットワーク接続機器について検査が実行される。送信側ルーター探索装置及び検査対象ネットワーク接続機器がイントラネットに接続されている場合、作動中ルーターとして作動していそうな検査対象ネットワーク接続機器を円滑に絞ることができ、また、該検査対象ネットワーク接続機器のIPアドレスを比較的円滑に検出することができるので、ルーター検出を効率的に行うことができる。
【0015】
第5の発明のルーター探索システムによれば、第4の発明のルーター探索システムにおいて、送信側ルーター探索装置は複数個のイントラネットにそれぞれ配備され、受信側ルーター探索装置は、複数個の送信側ルーター探索装置に対して共通に配備され、各イントラネットの送信側ルーター探索装置の生成手段の生成する検査用IPパケットにおける探索用パケット情報は、各イントラネットごとに相互に識別自在なものとされている。
【0016】
検査対象ネットワーク接続機器の含まれる複数個のイントラネットに対して受信側ルーター探索装置が共通化され、ルーター探索システム全体の構成が簡単化する。
【0017】
第6の発明のルーター探索システムによれば、第2の発明のルーター探索システムにおいて、トランスポート層パケットとはTCPパケットであり、探索用パケット情報は、TCPパケットの送信元ポート番号、送信先ポート番号、及び/又はシーケンス番号に書き込まれる。
【0018】
第7の発明のルーター探索システムによれば、第2の発明のルーター探索システムにおいて、トランスポート層パケットとはUDPパケットであり、探索用パケット情報は、UDPパケットの送信元ポート番号、及び/又は送信先ポート番号に書き込まれる。
【0019】
本発明のルーター探索方法によれば、第1のネットワークへ接続されているネットワーク接続機器の中に、第1のネットワークの外部の第2のネットワークへ接続しているものがないかを探索する。ルーター探索方法は、第1のネットワーク及び第2のネットワークにおいて実行される送信側ルーター探索方法及び受信側ルーター探索方法を有している。送信側ルーター探索方法は、送信先IPアドレス及び送信元IPアドレスをそれぞれ検査対象ネットワーク接続機器及び受信側ルーター探索方法のIPアドレスとされてかつルーター探索のためのパケットであることを示す情報(以下、「探索用パケット情報」と言う。)を含むIPパケット(以下、「検査用IPパケット」と言う。)を生成する生成ステップ、及び該検査用IPパケットを送信する検査用IPパケット送信ステップを有している。受信側ルーター探索方法は、自己宛てのIPパケットを受信する受信ステップ、及び受信ステップにおいて受信したIPパケットが検査用IPパケットに対する検査対象ネットワーク接続機器の返答のIPパケット(以下、「返答用IPパケット」と言う。)であるか否かを判定しその判定結果に基づいて検査対象ネットワーク接続機器が作動中ルーターであるか否かを判断する判断する判断ステップを有している、
【0020】
例えば、探索用パケット情報は、IPパケットの積載するOSI参照基準のトランスポート層のパケットのヘッダに書き込まれている。好ましくは、送信側ルーター探索方法は、検査用IPパケット送信ステップから検査用IPパケットの送信する前に、受信側ルーター探索方法に今回の探索用パケット情報を知得させ又は知得可能にする知得ステップを有している。例えば、第1のネットワーク及び第2のネットワークはそれぞれイントラネット及びインターネットである。例えば、送信側ルーター探索方法は複数個のイントラネットにそれぞれ実行され、受信側ルーター探索方法は、複数個の送信側ルーター探索方法に対して共通に実行され、各イントラネットの送信側ルーター探索方法の生成ステップにおいて生成する検査用IPパケットにおける探索用パケット情報は、各イントラネットごとに相互に識別自在なものとされている。
【0021】
本発明のルーター探索方法の一形態では、トランスポート層パケットとはTCPパケットであり、探索用パケット情報は、TCPパケットの送信元ポート番号、送信先ポート番号、及び/又はシーケンス番号に書き込まれる。別の形態では、トランスポート層パケットとはUDPパケットであり、探索用パケット情報は、UDPパケットの送信元ポート番号、及び/又は送信先ポート番号に書き込まれる。
【0022】
本発明の送信側ルーター探索プログラムによれば、本発明のルーター探索方法における送信側ルーター探索方法の各々に係るステップをコンピュータに実行させる。
【0023】
本発明の受信側ルーター探索プログラムによれば、本発明のルーター探索方法における受信側ルーター探索方法の各々に係るステップをコンピュータに実行させる。
【0024】
【発明の実施の形態】
以下、発明の実施の形態について図面を参照して説明する。
図1はイントラネット10及びインターネット19におけるルーター探索システムの各機器の配備場所を示している。イントラネット10は、会社全体、支社、及び地域事業所等を単位に構築され、所定数のサーバ11、及び多数のクライアント12が共通のイントラネット10に接続されている。認可済みルーター13は、イントラネット10をインターネット19へ接続するルーターとして認可されたものであり、専用回線15及びISP14を介してインターネット19へ接続されているか、又はそれら専用回線15及びISP14を介さずに直接、インターネット19へ接続されている。無認可ルーター22は、イントラネット10において認可されていないルーターであり、クライアント12の中には、そのユーザには悪意がないにもかかわらず、無認可ルーター22となることがある。例えば、イントラネット10に係る会社の社員が、ノート型パソコンをクライアント12へ接続しつつ、私事についてのメールを、個人的に契約したプロバイダへモデム内蔵携帯電話を介して接続して、送受信することがある。このような場合、該端末は、無認可ルーター22となって、ISP23を介してインターネット19への接続状態になっている。特に、パソコンのOSがルーター機能を装備している場合には、パソコンが無認可ルーター22となることがあり得る。そのような無認可ルーター22は、認可済みルーター13に比してファイアウォールが著しく低く、イントラネット10への侵入を図ろうとするハッカーの攻撃対象になり易い。したがって、このようなイントラネット10のアドミニストレータ又は運用管理受託業者は、無認可ルーター22を速やかに検出し、ルーター機能を直ちに停止する通知を無認可ルーター22のユーザへ出す等の対処が必要になる。
【0025】
図2はIPパケットの概略構造図である。IPパケットの構造は周知であり、OSI参照基準のネットワーク層のパケットとしてのIPパケットはヘッダとそれに続くデータ部とを備え、ヘッダには、それぞれ32ビットの送信元IPアドレス及び送信先IPアドレスの記述部が含まれている。
【0026】
図3はTCPパケットの概略構造図である。OSI参照基準のトランスポート層パケットとしてのTCPパケットの構造は周知であり、TCPパケットはヘッダとそれに続くデータ部とを備え、ヘッダには、先頭から順番に送信元ポート番号(16ビット)、送信先ポート番号(16ビット)、シーケンス番号(32ビット)、・・・の記述部が含まれている。
【0027】
図4はUDPパケットの概略構造図である。OSI参照基準のトランスポート層パケットとしてのUDPパケットの構造は周知であり、UDPパケットはヘッダとそれに続くデータ部とを備え、ヘッダには、先頭から順番に送信元ポート番号(16ビット)、送信先ポート番号(16ビット)、・・・の記述部が含まれている。
【0028】
本技術思想の一例では、無登録でルーターとして作動していると思われるネットワーク接続機器(以下、適宜「検査対象ネットワーク接続機器」と言う。)へ送信側ルーター探索器26から、検査対象ネットワーク接続機器及び受信側ルーター探索器28をそれぞれIPアドレスの送信先及び送信元とするIPパケット(以下、適宜、「検査用IPパケット」と言う。)を送信し、次に、その返答のIPパケット(以下、適宜、「返答用IPパケット」と言う。)を受信側ルーター探索器28が受信するか否かにより、該ネットワーク接続機器が作動中ルーターであるか否かを判断する。このような技術思想が現実に成り立つかを実験した結果を説明する。
【0029】
実験では、検査対象ネットワーク接続機器は、ルーター及びLinuxに実装したIPマスカレードルーターとした。どちらのルーターでも同様の結果が得られた。実験はeth0(ethはイーサーネット の略として使用している。)に9.116.*.*(セキュリティからアドレスを隠した。)のインターフェースとeth1に192.168.3.1のインターフェースを持つルーターで行った。すなわちeth0,eth1はルーターのそれぞれイントラネット側及びインターネット側のインターフェースである。次のパケットログA,Bは、9.116.*.*を送信先IPアドレスにして、送信元IPアドレスは192.168.3.11と偽造したTCPのSYNパケットに対する2個の返答を示している。これらパケットログは、実験したルーターにおいてeth0からeth1へ実際に出力されたものである。偽造したパケットはeth0で受信されたためeth1用のパケットログには出力されない。注目する点は次の(a)〜(d)のとおりである。
(a)返答のパケットの送信元IPアドレスは検査対象ネットワーク接続機器のイントラネット側のアドレスである(eth0であり、インターネット側のアドレスeth1ではない)こと。
(b)ルーターは閉じているポート(telnet)への送信パケットに対してもリセット用のパケットを返答として送信していること。つまり探索のために開いているポートを推測する必要はないことを意味する。
(c)送信パケットからシーケンス番号(12345)を設定して送ると、返答のパケットに(12345+1)の値が帰っている。つまり探索用の情報を受信装置へと送るためにTCPのシーケンス番号が利用可能である。
(d)ポート番号(送信元及び送信先のポート番号)を受信側ルーター探索器28へと送るための領域として利用可能であること。
【0030】
[パケットログA]
tcpdump: listening on eth1
11:37:16.496399 > arp who-has 192.168.3.11 tell sx.trl.ibm.com (0:10:5a:5e:f4:7b)
11:37:16.496774 < arp reply 192.168.3.11 is-at 0:4:ac:25:83:9b (0:10:5a:5e:f4:7b)
11:37:56.789002 > 9.116.*.*.telnet > 192.168.3.11.0: R 0:0(0) ack 12346 1 win 0
【0031】
[パケットログB]
11:38:01.784129 > arp who-has 192.168.3.11 tell 192.168.3.1 (0:10:5a:5e:f4:7b)
11:38:01.784473 < arp reply 192.168.3.11 is-at 0:4:ac:25:83:9b (0:10:5a:5e:f4:7b)
11:39:44.991943 > 9.116.*.*.ssh > 192.168.3.11.0: S 3171646145:3171646145(0) ack 12346 win
32696 <mss 536> (CF)
【0032】
パケットログAについて解説すると、”tcpdump”はグローバルなツール名である。”192.168.3.11.0: R 0:0(0)”は該telnetがリセット(=拒絶)されたことを意味する。”192.168.3.11.0: R 0:0(0)”は該telnetがリセット(=拒絶)されたことを意味する。”ack 12346”は、該TCPパケットがack(返答)であり、シーケンス番号が12346であることを意味する。
【0033】
パケットログBについて解説すると、”9.116.*.*.telnet”とは、実験対象ルーターにtelnetが受信したことを意味する。”9.116.*.*.ssh”とは、実験対象ルーターにssh(暗号化されたtelnet)が受信したことを意味する。”192.168.3.11.0: S 3171646145:3171646145(0)”は該sshがセット(=受容)されたことを意味する。”ack 12346”は、該TCPパケットがack(返答)であり、シーケンス番号が12346であることを意味する。
【0034】
TCPパケットのかわりにUCPパケットを送信した場合を示す。次のパケットログCに示すように、閉じられたポート(ssh)の返答としてICMPパケットが送出される。これはエラーを示すものだが、この場合でも送信パケットの送信先ポート番号の値は通信用として利用可能であることが分かった。また、TCPの実験と同様にルーターのイントラネット側のアドレスを知ることができる。
【0035】
[パケットログC]
11:55:39.535896 > 9.116.*.* > 192.168.3.11: icmp: 9.116.*.* udp port ssh unreachable [tos 0xc0]
【0036】
ICMPはTCPやUDPと同じくトランスポート層のプロトコルであり、UDPパケットでルーターにサービスを要求したときに、ルーターに該サービスが無いと、ICMPパケットで返答がなされる。”ssh unreachable”は、sshが無いことを意味している。
【0037】
ここで、SIDは、送信側ルーター探索器26(図1)が今回の検査のために使用するIPパケットを他のIPパケットと識別するためのID(識別子)と定義する。受信側ルーター探索器28(図1)は、自己宛てに受信したIPパケットがSIDを含むか否かにより、受信IPパケットが検査用IPパケットかそうでないかを区別することができる。また、図1では、イントラネット10が1個しか図示されていないが、インターネット19には多数のイントラネット10が接続されており、共通のイントラネット運用管理業者が、自分の請け負っている複数個のイントラネット10について共通の受信側ルーター探索器28により各イントラネット10の無認可ルーター22の検出を行おうとすることがある。そのような場合のSIDは、検査用IPパケットが、検査用IPパケットではないIPパケットと識別できるものに設定されているとともに、各イントラネット10ごとにSIDを相互に識別できるように設定される。このようなSIDは、例えば、各イントラネット10に対応してイントラネット運用管理業者の決めた顧客番号n1と、送信側ルーター探索器26からの検査用IPパケットの送信日又は送信日時に対応する数値n2とを前後に文字連結した数値nt(例:n1,n2がそれぞれ2進表示で0101,1000であるならば、nt=01011000である。)とする。
【0038】
図5は送信側ルーター探索器26の装備する機能についてのブロック図である。SID設定手段36は、今回の検査のために受信側ルーター探索器28が送信する検査用IPパケットに含ませる探索用パケット情報としてのSIDを設定する。SID通知手段37は、SID設定手段36の設定したSIDを受信側ルーター探索器28へHTPPやFTP等で通知する。この通知は認可済みルーター13を介してイントラネット10からインターネット19へ送られる。リスト作成手段41はイントラネット10においてイントラネット10における今回の全部の検査対象ネットワーク接続機器のIPアドレスのリストを作成する。TCPパケット生成手段42は、SID設定手段36の設定したSIDに基づくヘッダを備えるTCPパケットを生成する。具体的には、SIDは、図3における送信元ポート番号、送信先ポート番号、及び/又はシーケンス番号に記入される。したがって、最大64ビットのSIDをTCPパケットのヘッダに記入することができる。IPパケット生成手段43は所定のIPパケットを生成する。IPパケット生成手段43の生成するIPパケットでは、TCPパケット生成手段42の生成したTCPパケットがデータ部に積載され、さらに、その送信元IPアドレスは受信側ルーター探索器28のIPアドレスとされ、送信先IPアドレスはリスト作成手段41の作成したリストから所定の順番で選択した1個の検査対象ネットワーク接続機器のIPアドレスとされる。IPパケット生成手段43は、リスト作成手段41の作成したリストに掲載されている全部の検査対象ネットワーク接続機器について、各検査対象ネットワーク接続機器のIPアドレスを送信先IPアドレスとするIPパケットを生成する。注意すべきは、IPパケット生成手段43の生成するIPパケットの送信元IPアドレスは、実際の送信側ルーター探索器26のIPアドレスではなく、受信側ルーター探索器28のIPアドレスとされていることである。IPパケット送信手段44は、IPパケット生成手段43の生成したIPパケットを次々にイントラネット10へ出力する。
【0039】
送信側ルーター探索器26がIPパケット送信手段44よりイントラネット10へ送り出したIPパケット(検査用IPパケット)は、それらの送信先IPアドレスと一致するイントラネット10内の検査対象ネットワーク接続機器へ送られる。検査対象ネットワーク接続機器は、受信した検査用IPパケットに対する返答のIPパケット(返答用IPパケット)を生成する。該返答用IPパケットでは、その送信元IPアドレス及び送信先IPアドレスがそれぞれ検査用IPパケットの送信先IPアドレス及び送信元IPアドレス、すなわち検査対象ネットワーク接続機器のIPアドレス及び受信側ルーター探索器28のIPアドレスとなっている。検査対象ネットワーク接続機器がルーターである場合には、返答用IPパケットは、該ルーターよりインターネット19へ送信され、受信側ルーター探索器28に到達する。検査対象ネットワーク接続機器がルーターでなかったときは、返答用IPパケットはイントラネット10へ送信され、認可済みルーター13はイントラネット10からインターネット19への返答用IPパケットの通過を禁止し、返答用IPパケットはイントラネット10において消滅する。したがって、受信側ルーター探索器28が返答用IPパケットを受信したときは、該検査対象ネットワーク接続機器は作動中ルーターであると判断できる。
【0040】
図6は受信側ルーター探索器28の装備する機能についてのブロック図である。SID受信手段49は、イントラネット10への送信側ルーター探索器26のIPパケット送信手段44からの検査用IPパケットの送出に先立って、送信側ルーター探索器26のSID通知手段37から伝送されて来るSID情報を受信する。SID登録手段50は、SID受信手段49の受信したSID情報を所定のメモリに登録する。イントラネット10内に無認可ルーター22が存在するか否かの検査は、複数のイントラネット10において時間重複して行うことがあり、通常、受信側ルーター探索器28は、検査を行おうとしている複数のイントラネット10に対して共通に1個だけ用意される。したがって、各イントラネット10に対して共通にインターネット19に配備される受信側ルーター探索器28の受信する返答用IPパケットに含まれるSIDは、イントラネット10ごとに識別できるように、各送信側ルーター探索器26のSID設定手段36において設定されている。IPパケット受信手段53は、自己宛てのIPパケットをインターネット19より受信する。SID抽出手段54は、IPパケット受信手段53が受信したIPパケットから、そのデータ部に積載されているTCPパケットを抜き出し、さらに、抜き出したTCPパケットのヘッダからSIDを抽出する。SID照合手段55は、SID抽出手段54の抽出したSIDについて、SID登録手段50において登録されている照合用のSIDと対比する。ルーター判別手段56は、SID照合手段55における照合の結果、抽出SIDが照合用SIDのいずれかと一致していれば、該照合用SIDに対応のイントラネット10の無認可ルーター22からの返答用IPパケットを受信側ルーター探索器28が受信したものとし、該検査用IPパケットの送信元IPアドレスに係るネットワーク接続機器は作動中ルーターと判断する。
【0041】
図7はルーター検査のために送信側ルーター探索器26において実行されるプログラムのフローチャートである。S61では、送信側ルーター探索器26がネットワーク接続機器として接続されているイントラネット10についての今回の探索用のSIDを設定する。S62では、S61で設定したSIDを受信側ルーター探索器28へHTTPやFTP等で通知する。S63では、ルーターであるか否かを今回検査しようとする、イントラネット10内の全部の検査対象ネットワーク接続機器についてのIPアドレスのリストを作成する。S64では、S63で作成したリストに載っている各検査対象ネットワーク接続機器について、所定のIPアドレスを生成し、イントラネット10を介して送信する。S64におけるIPパケットの具体的な生成の仕方は図5のIPパケット生成手段43に関連して前述したのと同一である。
【0042】
図8はルーター検査のために受信側ルーター探索器28において実行されるプログラムのフローチャートである。該プログラムは、複数個のイントラネット10における無認可ルーター22の探索に適用されるとともに、各イントラネット10における複数個の無認可ルーター22の探索に適用される。S69では、前述のS62において送信側ルーター探索器26から送信されたSIDをHTTPやFTP等によりインターネット19から受信する。S70では、S69で受信したSIDを今回の探索用のSIDとして登録する。受信側ルーター探索器28が、複数個のイントラネット10からSIDを受信することになっている場合は、各イントラネット10のSIDは相互に識別自在になっているとともに、各イントラネット10に対応付けて各SIDが登録される。S71では、受信側ルーター探索器28宛てのIPパケットを受信したか否かを判定し、該判定がYESであれば、S72へ進み、NOであれば、S75へ進む。受信側ルーター探索器28宛てのIPパケットを受信したときは、S72において、該IPパケットからSIDを抽出する。抽出するSIDは、該IPパケットのデータ部に書き込まれているTCPパケットのヘッダ部の送信元ポート番号、送信先ポート番号、及び/又はシーケンス番号の部位に書き込まれている。S73では、S70で登録したSIDの中に、S72で抽出したSIDと同一のものが存在するか否かを判定し、該判定がYESであれば、S74へ進み、NOであれば、S75へ進む。S74では、S71において、今回受信したIPパケットは返答用IPパケットと判断し、該返答用IPパケットの送信元IPアドレスをもつ検査対象ネットワーク接続機器はルーターとなっていると判断する。S75では、検査開始から所定時間が経過したか否かを判定し、該判定がYESであれば、該プログラムを終了し、NOであれば、S71へ戻る。
【図面の簡単な説明】
【図1】イントラネット及びインターネットにおけるルーター探索システムの各機器の配備場所を示す図である。
【図2】IPパケットの概略構造図である。
【図3】TCPパケットの概略構造図である。
【図4】UDPパケットの概略構造図である。
【図5】送信側ルーター探索器の装備する機能についてのブロック図である。
【図6】受信側ルーター探索器の装備する機能についてのブロック図である。
【図7】ルーター検査のために送信側ルーター探索器において実行されるプログラムのフローチャートである。
【図8】ルーター検査のために受信側ルーター探索器において実行されるプログラムのフローチャートである。
【符号の説明】
10 イントラネット
19 インターネット
22 無認可ルーター
26 送信側ルーター探索器
28 受信側ルーター探索器
36 SID設定手段
37 SID通知手段
41 リスト作成手段
42 TCPパケット生成手段
43 IPパケット生成手段
44 IPパケット送信手段
49 SID受信手段
50 SID登録手段
53 IPパケット受信手段
54 SID抽出手段
55 SID照合手段
56 ルーター判別手段

Claims (15)

  1. 第1のネットワークへ接続されているネットワーク接続機器の中に、前記第1のネットワークの外部の第2のネットワークへ接続しているものがないかを探索するルーター探索システムにおいて、
    それぞれ第1のネットワーク及び第2のネットワークへ接続されている送信側ルーター探索装置及び受信側ルーター探索装置を有し、
    前記送信側ルーター探索装置は、
    送信先IPアドレス及び送信元IPアドレスをそれぞれ検査対象ネットワーク接続機器及び前記受信側ルーター探索装置のIPアドレスとされてかつルーター探索のためのパケットであることを示す情報(以下、「探索用パケット情報」と言う。)を含むIPパケット(以下、「検査用IPパケット」と言う。)を生成する生成手段、及び
    該検査用IPパケットを送信する検査用IPパケット送信手段、
    を有し、
    前記受信側ルーター探索装置は、
    自己宛てのIPパケットを受信する受信手段、及び
    前記受信手段の受信したIPパケットが検査用IPパケットに対する前記検査対象ネットワーク接続機器の返答のIPパケット(以下、「返答用IPパケット」と言う。)であるか否かを判定しその判定結果に基づいて前記検査対象ネットワーク接続機器が作動中ルーターであるか否かを判断する判断する判断手段、
    を有している、
    ことを特徴とするルーター探索システム。
  2. 探索用パケット情報は、IPパケットの積載するOSI参照基準のトランスポート層のパケットのヘッダに書き込まれていることを特徴とする請求項1記載のルーター探索システム。
  3. 前記送信側ルーター探索装置は、前記検査用IPパケット送信手段から検査用IPパケットの送信する前に、前記受信側ルーター探索装置に今回の探索用パケット情報を知得させ又は知得可能にする知得手段、
    を有していることを特徴とする請求項1又は2記載のルーター探索システム。
  4. 前記第1のネットワーク及び前記第2のネットワークはそれぞれイントラネット及びインターネットであることを特徴とする請求項1〜3のいずれかに記載のルーター探索システム。
  5. 前記送信側ルーター探索装置は複数個のイントラネットにそれぞれ配備され、
    前記受信側ルーター探索装置は、複数個の送信側ルーター探索装置に対して共通に配備され、
    各イントラネットの送信側ルーター探索装置の生成手段の生成する検査用IPパケットにおける探索用パケット情報は、各イントラネットごとに相互に識別自在なものとされていることを特徴とする請求項4記載のルーター探索システム。
  6. 前記トランスポート層パケットとはTCPパケットであり、
    前記探索用パケット情報は、TCPパケットの送信元ポート番号、送信先ポート番号、及び/又はシーケンス番号に書き込まれることを特徴とする請求項2又は3記載のルーター探索システム。
  7. 前記トランスポート層パケットとはUDPパケットであり、
    前記探索用パケット情報は、UDPパケットの送信元ポート番号、及び/又は送信先ポート番号に書き込まれることを特徴とする請求項2又は3記載のルーター探索システム。
  8. 第1のネットワークへ接続されているネットワーク接続機器の中に、前記第1のネットワークの外部の第2のネットワークへ接続しているものがないかを探索するルーター探索システムに装備され、前記第1のネットワークへ接続されている送信側ルーター探索装置において、
    送信先IPアドレス及び送信元IPアドレスをそれぞれ検査対象ネットワーク接続機器及び前記受信側ルーター探索装置のIPアドレスとされてかつルーター探索のためのパケットであることを示す情報(以下、「探索用パケット情報」と言う。)を含むIPパケット(以下、「検査用IPパケット」と言う。)を生成する生成手段、及び
    該検査用IPパケットを送信する検査用IPパケット送信手段、
    を有していることを特徴とする送信側ルーター探索装置。
  9. 探索用パケット情報は、IPパケットの積載するOSI参照基準のトランスポート層のパケットのヘッダに書き込まれていることを特徴とする請求項8記載の送信側ルーター探索装置。
  10. 前記検査用IPパケット送信手段から検査用IPパケットの送信する前に、前記受信側ルーター探索装置に今回の探索用パケット情報を知得させ又は知得可能にする知得手段、
    を有していることを特徴とする請求項8又は9記載の送信側ルーター探索装置。
  11. 第1のネットワークへ接続されているネットワーク接続機器の中に、前記第1のネットワークの外部の第2のネットワークへ接続しているものがないかを探索するルーター探索方法において、
    第1のネットワーク及び第2のネットワークにおいて実行される送信側ルーター探索方法及び受信側ルーター探索方法を有し、
    前記送信側ルーター探索方法は、
    送信先IPアドレス及び送信元IPアドレスをそれぞれ検査対象ネットワーク接続機器及び前記受信側ルーター探索方法のIPアドレスとされてかつルーター探索のためのパケットであることを示す情報(以下、「探索用パケット情報」と言う。)を含むIPパケット(以下、「検査用IPパケット」と言う。)を生成する生成ステップ、及び
    該検査用IPパケットを送信する検査用IPパケット送信ステップ、
    を有し、
    前記受信側ルーター探索方法は、
    自己宛てのIPパケットを受信する受信ステップ、及び
    前記受信ステップにおいて受信したIPパケットが検査用IPパケットに対する前記検査対象ネットワーク接続機器の返答のIPパケット(以下、「返答用IPパケット」と言う。)であるか否かを判定しその判定結果に基づいて前記検査対象ネットワーク接続機器が作動中ルーターであるか否かを判断する判断する判断ステップ、
    を有している、
    ことを特徴とするルーター探索方法。
  12. 探索用パケット情報は、IPパケットの積載するOSI参照基準のトランスポート層のパケットのヘッダに書き込まれていることを特徴とする請求項11記載のルーター探索方法。
  13. 前記送信側ルーター探索方法は、前記検査用IPパケット送信ステップから検査用IPパケットの送信する前に、前記受信側ルーター探索方法に今回の探索用パケット情報を知得させ又は知得可能にする知得ステップ、
    を有していることを特徴とする請求項11又は12記載のルーター探索方法。
  14. 前記第1のネットワーク及び前記第2のネットワークはそれぞれイントラネット及びインターネットであることを特徴とする請求項1113のいずれかに記載のルーター探索方法。
  15. 前記送信側ルーター探索方法は複数個のイントラネットにそれぞれ実行され、
    前記受信側ルーター探索方法は、複数個の送信側ルーター探索方法に対して共通に実行され、
    各イントラネットの送信側ルーター探索方法の生成ステップにおいて生成する検査用IPパケットにおける探索用パケット情報は、各イントラネットごとに相互に識別自在なものとされていることを特徴とする請求項14記載のルーター探索方法。
JP2001121695A 2001-04-19 2001-04-19 ルーター探索システム、ルーター探索方法、及びルーター探索プログラム Expired - Fee Related JP4484190B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2001121695A JP4484190B2 (ja) 2001-04-19 2001-04-19 ルーター探索システム、ルーター探索方法、及びルーター探索プログラム
US10/127,135 US7159033B2 (en) 2001-04-19 2002-04-12 Router search system, router search method and router search program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001121695A JP4484190B2 (ja) 2001-04-19 2001-04-19 ルーター探索システム、ルーター探索方法、及びルーター探索プログラム

Publications (3)

Publication Number Publication Date
JP2002344481A JP2002344481A (ja) 2002-11-29
JP2002344481A5 JP2002344481A5 (ja) 2008-05-08
JP4484190B2 true JP4484190B2 (ja) 2010-06-16

Family

ID=18971513

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001121695A Expired - Fee Related JP4484190B2 (ja) 2001-04-19 2001-04-19 ルーター探索システム、ルーター探索方法、及びルーター探索プログラム

Country Status (2)

Country Link
US (1) US7159033B2 (ja)
JP (1) JP4484190B2 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7965842B2 (en) * 2002-06-28 2011-06-21 Wavelink Corporation System and method for detecting unauthorized wireless access points
US7155407B2 (en) * 2002-11-14 2006-12-26 Rolloversystems, Inc. Account management systems and methods
US7840698B2 (en) * 2003-09-12 2010-11-23 Avaya Inc. Detection of hidden wireless routers
JP3821813B2 (ja) * 2003-12-17 2006-09-13 Necインフロンティア株式会社 通信転送装置及び通信転送方法
US7991877B2 (en) * 2007-10-05 2011-08-02 International Business Machines Corporation Rogue router hunter
KR101610715B1 (ko) * 2014-06-11 2016-04-08 한국전자통신연구원 단방향 데이터 송수신 시스템 및 방법

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5668800A (en) * 1994-05-02 1997-09-16 International Business Machines Corporation Path testing in communications networks
US5835720A (en) * 1996-05-17 1998-11-10 Sun Microsystems, Inc. IP discovery apparatus and method
US5798706A (en) * 1996-06-18 1998-08-25 Raptor Systems, Inc. Detecting unauthorized network communication
US5968126A (en) * 1997-04-02 1999-10-19 Switchsoft Systems, Inc. User-based binding of network stations to broadcast domains
US6047330A (en) * 1998-01-20 2000-04-04 Netscape Communications Corporation Virtual router discovery system
US6515967B1 (en) * 1998-06-30 2003-02-04 Cisco Technology, Inc. Method and apparatus for detecting a fault in a multicast routing infrastructure
US6192051B1 (en) * 1999-02-26 2001-02-20 Redstone Communications, Inc. Network router search engine using compressed tree forwarding table
US6680942B2 (en) * 1999-07-02 2004-01-20 Cisco Technology, Inc. Directory services caching for network peer to peer service locator
US6560644B1 (en) * 1999-09-15 2003-05-06 Cisco Technology, Inc. Directory services network management locator
US6779035B1 (en) * 2000-03-06 2004-08-17 Microsoft Corporation Application programming interface and generalized network address translator for translation of transport-layer sessions
JP4099930B2 (ja) * 2000-06-02 2008-06-11 株式会社日立製作所 ルータ装置及びvpn識別情報の設定方法
JP2002152317A (ja) * 2000-11-10 2002-05-24 Fujitsu Ltd 試験装置
US7263552B2 (en) * 2001-03-30 2007-08-28 Intel Corporation Method and apparatus for discovering network topology

Also Published As

Publication number Publication date
JP2002344481A (ja) 2002-11-29
US20020161920A1 (en) 2002-10-31
US7159033B2 (en) 2007-01-02

Similar Documents

Publication Publication Date Title
Deri et al. Effective traffic measurement using ntop
US8972571B2 (en) System and method for correlating network identities and addresses
Jin et al. Hop-count filtering: an effective defense against spoofed DDoS traffic
US7124173B2 (en) Method and apparatus for intercepting performance metric packets for improved security and intrusion detection
CN112398782A (zh) 网络资产的识别方法、装置、介质及设备
JP2010541441A (ja) 分散ネットワーク内の無許可ルータを検出するためのコンピュータによって実行される方法、データ処理システム、およびコンピュータ・プログラム(ルータ検出)
US7912048B2 (en) Apparatus and method for detecting network address translation device
CN110557358A (zh) 蜜罐服务器通信方法、SSLStrip中间人攻击感知方法及相关装置
JP4484190B2 (ja) ルーター探索システム、ルーター探索方法、及びルーター探索プログラム
De Montigny-Leboeuf et al. Passive network discovery for real time situation awareness
Syed et al. Analysis of Dynamic Host Control Protocol Implementation to Assess DoS Attacks
US10015179B2 (en) Interrogating malware
CN110995738B (zh) 暴力破解行为识别方法、装置、电子设备及可读存储介质
JP2005210451A (ja) 不正アクセス防止装置及びプログラム
Arkin A remote active OS fingerprinting tool using ICMP
KR102387010B1 (ko) 감시 장치 및 감시 방법
Trabelsi et al. Detection of sniffers in an Ethernet network
Do Hoang et al. Empirical Study on Reconnaissance Attacks in SDN-aware Network for Evaluating Cyber Deception
Deri et al. Improving Network Security Using Ntop
JP2004289260A (ja) 動的アドレス付与サーバを利用したクライアントの安全性検診システム
CN111669376B (zh) 一种内网安全风险识别的方法和装置
Melcher et al. Tunneling through DNS over TLS providers
Nerakis IPv6 host fingerprint
Phase Scanning and Enumeration Phase
Feng et al. An Internet-wide Penetration Study on NAT Boxes via TCP/IP Side Channel

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080326

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080326

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100317

RD14 Notification of resignation of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7434

Effective date: 20100317

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100319

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130402

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees