JP5015945B2 - スヌープ・エコー応答エクストラクタ - Google Patents
スヌープ・エコー応答エクストラクタ Download PDFInfo
- Publication number
- JP5015945B2 JP5015945B2 JP2008541673A JP2008541673A JP5015945B2 JP 5015945 B2 JP5015945 B2 JP 5015945B2 JP 2008541673 A JP2008541673 A JP 2008541673A JP 2008541673 A JP2008541673 A JP 2008541673A JP 5015945 B2 JP5015945 B2 JP 5015945B2
- Authority
- JP
- Japan
- Prior art keywords
- address
- packet
- network
- echo
- request packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1475—Passive attacks, e.g. eavesdropping or listening without modification of the traffic monitored
Description
本発明は、ネットワーク・セキュリティに係り、さらに詳細に説明すれば、ネットワーク・データ処理システム内のスヌーピング装置からエコー応答を抽出するためのプログラムに係る。
多くの努力が、セキュリティ上の脅威を検出し且つこれに応答するネットワーク・セキュリティ製品の開発に向けられている。ハッカーによって使用される2つの最も一般的な技術は、ポート・スキャン及びネットワーク・スヌーピングである。ネットワーク・スヌーピングが特に危険である理由は、スヌーピング装置がネットワーク上で全てのトラフィックを受動的に傍受して、ユーザID及びパスワードに関する情報を収集するからである。
ネットワーク上で誰かがスヌーピングを行っていることを検出する問題を理解するには、目隠しされた1群の人々が正餐用のテーブルを囲んで座っている状況を考慮すればよい。すなわち、それぞれの人は、直接の会話を通して他の人に話しかけることができる。全ての人は、その人に向けられていない如何なる会話も盗み聞きしないことに合意する。しかし、悪者の参加者は、テーブルの近くに座り、全ての会話を盗聴することができる。さらに、この悪者は、テーブルでまともな態度で話すことができる。これらの人々は、悪者の存在を知ることができない。悪者の存在のことを知っていたとしても、悪者が誰であるかを知らないであろう。
同様に、ハッカーは、ネットワーク・トラフィックを盗聴するようにコンピュータ装置を修正することができる。例えば、臨時従業員は、ユーザID及びパスワードを記録するように、コンピュータをスヌープ・モードに設定することができる。有効なユーザID及びパスワードが得られると、ハッカーは、例えば、機密情報にアクセスすることができるであろう。ハッカーは、無線ルータの範囲にある階段の吹き抜けに、ラップトップ・コンピュータを持って隠れていて、機密情報を盗むことがある。
本発明は、従来技術の欠陥を認識し、コンピュータ・ネットワーク内のスヌーピング装置から応答を抽出するための技術を提供する。コンピュータ・ネットワークに接続されたパケット送信元装置は、偽造した(bogus)ハードウェア・アドレス及び有効なネットワーク・プロトコル・アドレスを有するエコー要求パケットを生成する。パケット送信元装置は、このエコー要求パケットをコンピュータ・ネットワーク上に送信する。コンピュータ・ネットワーク上のエコー応答パケットを受信することに応答して、パケット送信元装置は、スヌーピング装置の存在を識別する。
図1及び図2は、本発明の実施形態を実装することができる、データ処理環境を例示する図面として提示される。図1及び図2は、単に例示的なものであるに過ぎず、本発明の実施形態を実装することできる環境に関する如何なる制限も主張又は意図するものではない。本発明の精神及び範囲から逸脱することなく、図示された環境に対し多くの修正を施すことができる。
図1は、本発明の実施形態を実装することができる、データ処理システムのネットワークの概観を示す。ネットワーク・データ処理システム100は、本発明の実施形態を実装することができるコンピュータのネットワークである。ネットワーク・データ処理システム100が含むネットワーク102は、ネットワーク・データ処理システム100内の相互に接続された種々の装置及びコンピュータの間の通信リンクを提供するために使用される媒体である。ネットワーク102は、ワイヤ、無線通信リンク又は光ファイバ・ケーブルのような接続を含むことができる。
図示の例では、サーバ104及びストレージ106は、ネットワーク102に接続する。さらに、クライアント112、114、116及び118は、ネットワーク102に接続する。これらのクライアント112、114、116及び118は、例えば、パーソナル・コンピュータ又はネットワーク・コンピュータとすることができる。具体的には、クライアント112は、無線通信を通してネットワーク102に接続されたラップトップ・コンピュータとすることができる。クライアント114及び116は、例えば、デスクトップ・コンピュータとすることができる。クライアント118は、例えば、パーソナル・デジタル・アシスタント(PDA)、タブレット・コンピュータ又は電話機とすることができる。図示の例において、サーバ104は、ブート・ファイル、オペレーティング・システムのイメージ、並びにクライアント112、114、116及び118に対するアプリケーションのようなデータを提供する。この例では、クライアント112、114、116及び118は、サーバ104に対するクライアントである。ネットワーク・データ処理システム100は、図示されていない追加のサーバ、クライアント及び他の装置を含むことができる。
図示の例では、ネットワーク・データ処理システム100は、ネットワーク102を備えたインターネットであって、互いに通信するために伝送制御プロトコル/インターネット・プロトコル(TCP/IP)スイートを使用するネットワーク及びゲートウェイの世界的な集合体を表す。インターネットの中心は、データ及びメッセージを発送する、何千もの商用、政府用、教育用及び他のコンピュータ・システムから成る、主要ノード又はホスト・コンピュータ間の高速データ通信線のバックボーンである。もちろん、ネットワーク・データ処理システム100は、イントラネット、ローカル・エリア・ネットワーク(LAN)、広域ネットワーク(WAN)等の、多くの異なるタイプのネットワークとしても実装することができる。図1は、1例として図示されたものであって、本発明の諸実施形態のアーキテクチャ上の制限を示すことを意図するものではない。
図2は、本発明の実施形態を実装することができる、データ処理システムのブロック図を示す。データ処理システム200は、図1のサーバ104又はクライアント112のようなコンピュータの1例であり、その内部には本発明の実施形態用のプロセスを実装するコンピュータ使用可能コードすなわち命令が存在する。
図示の例では、データ処理システム200は、ノース・ブリッジ兼メモリ・コントローラ・ハブ(NB/MCH)208及びサウスブリッジ兼入出力コントローラ・ハブ(SB/MCH)210を含む、ハブ・アーキテクチャを使用する。処理ユニット206、主メモリ204及びグラフィックス・プロセッサ218は、NB/MCH 208に接続される。 グラフィックス・プロセッサ218は、アクセラレィテッド・グラフィックス・ポート(AGP)を介して、NB/MCH 208に接続することができる。
ネットワーク・アダプタ212は、SB/ICH 210に接続する。オーディオ・アダプタ216、キーボード及びマウス・アダプタ220、モデム222、読み取り専用メモリ(ROM)224、ハード・ディスク・ドライブ(HDD)226、CD−ROMドライブ230、ユニバーサル・シリアル・バス(USB)ポート及び他の通信ポート232、PCI/PCIe装置234は、バス238及びバス240を通して、SB/ICH 210に接続する。PCI/PCIe装置は、例えば、イーサネット(登録商標)・アダプタ、アドイン・カード、ノート型コンピュータ用のPCカードを含むことができる。PCIはカード・バス・コントローラを使用するが、PCIeはこれを使用しない。ROM 224は、例えば、フラッシュ型の基本入出力システム(BIOS)とすることができる。
HDD 226及びCD−ROMドライブ230は、バス240を通して、SB/ICH 210に接続する。HDD 226及びCD−ROMドライブ230は、例えば、統合ドライブ・エレクトロニクス(IDE)又はシリアル・アドバンスト・テクノロジー・アタッチメント(SATA)インタフェースを使用することができる。SIO(Super I/O)装置236は、SB/ICH 210に接続することができる。
オペレーティング・システムは、処理ユニット206上で稼働し、データ処理システム200内の種々のコンポーネントを統制及び制御する。クライアントとして、オペレーティング・システムは、Microsoft Windows XP(「Microsoft」及び「Windows」は、マイクロソフト社の登録商標)のような市販のオペレーティング・システムとすることができる。Javaプログラミング・システムのようなオブジェクト指向のプログラミング・システムは、オペレーティング・システムと共に稼働することができ、データ処理システム200上で実行中のJavaプログラム又はアプリケーションからオペレーティング・システムへの呼び出しを提供する(「Java」は、サン・マイクロシステムズ社の登録商標)。
サーバとして、データ処理システム200は、例えば、AIX(Advanced Interactive Executive)オペレーティング・システム又はLINUXオペレーティング・システムを搭載した、IBM eServer pSeriesコンピュータ・システムとすることができる(「eServer」、「pSeries」及び「AIX」は、IBM社の商標であり、「LINUX」は、リーナス・トーバルズの商標)。データ処理システム200は、処理ユニット206内に複数のプロセッサを含む、対称マルチプロセッサ(SMP)システムとすることができる。代替的に、単一プロセッサ・システムを使用することもできる。
オペレーティング・システム、オブジェクト指向のプログラミング・システム及びアプリケーション又はプログラム用の命令は、HDD 226のようなストレージ装置に置かれ、処理ユニット206による実行のために主メモリ204にロードすることができる。本発明の実施形態用のプロセスは、例えば、主メモリ204、ROM 124のようなメモリ内、又は1つ以上の周辺装置226及び230内に置かれたコンピュータ使用可能なプログラム・コードを使用する、処理ユニット206によって実行することができる。
当業者には明らかなように、図1及び図2のハードウェアは、実装に応じて変わることがある。図1及び図2に示すハードウェアに加えて、又はそのハードウェアに代えて、フラッシュ・メモリ、それと同等の不揮発性メモリ、光ディスク・ドライブ等の、他の内部ハードウェア又は周辺装置を使用することができる。また、本発明のプロセスは、多重プロセッサ・データ処理システムにも適用することができる。
幾つかの例では、データ処理システム200は、オペレーティング・システムのファイル又はユーザ生成データを格納するための不揮発性メモリ又はフラッシュ・メモリで構成される、パーソナル・デジタル・アシスタント(PDA)とすることができる。
バス・システムは、図2のバス238又はバス240のような、1つ以上のバスから構成することができる。もちろん、このバス・システムは、異なるコンポーネント又は装置の間でデータを転送する、任意のタイプの通信ファブリック又はアーキテクチャを使用して実装することができる。通信ユニットは、図2のモデム222又はネットワーク・アダプタ212のような、データを送信及び受信するために使用される1つ以上の装置を含むことができる。メモリは、例えば、主メモリ204、ROM 224又はNB/MCH 208内にあるキャッシュとすることができる。図1及び図2に図示した例及び前述の例は、アーキテクチャ上の制限を意味するものではない。例えば、データ処理システム200は、PDAの形式を取ることに加えて、タブレット・コンピュータ、ラップトップ・コンピュータ、電話機の形式を取ることができる。
図1に戻って説明すると、悪者のクライアント120も、ネットワーク102に接続されている。悪者のクライアント120は、ネットワーク102上のネットワーク・トラフィックを受信し且つこれを記録するようにスヌープ・モードで動作する、無許可の計算装置とすることができる。例えば、臨時従業員は、ユーザID及びパスワードを記録するように、コンピュータをスヌープ・モードに設定することができる。有効なユーザID及びパスワードが得られると、ハッカーは、例えば、機密情報にアクセスすることができるであろう。ハッカーは、ネットワーク102内の無線ルータの範囲にある階段の吹き抜けに、図示の例における悪質なクライアント120のようなラップトップ・コンピュータを持って隠れていて、機密情報を盗むことがある。
1つの解決策は、架空のユーザID及びパスワードを使用して架空のサーバにログインする際の会話をシミュレートすることであろう。その場合、悪者は同じ会話を試みるであろう。
本発明の実施形態に従って、ネットワーク上の或る装置は、他の如何なる装置も応答すべきでない、エコー応答パケットを生成する。諸パケットがハードウェア層及びネットワーク・アドレス層内で互いに異なって扱われる方法を使用すると、応答を送信するように悪者を騙すことができる。このようにして、悪者が識別されるであろう。
図3及び図4は、本発明の実施形態に従ったスヌープ・エコー応答エクストラクタの動作を例示する。図3を参照すると、パケット送信元装置(以下「送信元装置」と略記)304は、ネットワーク302を介して、パケットをパケット送信先装置(以下「送信先装置」と略記)306に送信する。このパケットは、ルーティング情報を含む。このルーティング情報は、送信先のメディア・アクセス制御(MAC)アドレス及び送信先のインターネット・プロトコル(IP)アドレスを含む。MACアドレスは、或るネットワーク・インタフェースカード・カード(NIC)を他の全てのものから識別するために、イーサネット(登録商標)及びトークン・リング・アダプタに焼き付けられる、一意的な通し番号である。MACアドレスは、ハードウェア・アドレスである。これに対し、IPアドレスは、インターネット・プロトコル又はネットワークのソフトウェア・アドレスである。パケット・ルーティングのさらなる詳細は、国際標準化機構(ISO)の7階層ネットワーク・モデルに関連する規格書において見いだすことができる。送信元装置304は、送信すべきパケットを構築する前に、先ず送信先装置306のMACアドレスを識別しなければならない。送信元装置304のオペレーティング・システムは、送信先装置306のMACアドレスを得るために、アドレス解決プロトコル(ARP)コールを送信する。送信先装置306がローカルでなければ、送信元装置304のオペレーティング・システムは、当該パケットをルータに送信し、これに応じて、当該ルータは、ネットワーク上でARPの呼び出しを行う。このルータがARPの応答を得れば、当該ルータは、当該パケットをMACアドレスに直接的に送信する。このルータが応答を得なければ、当該ルータは、当該パケットを他のルータに送信する。
スヌーピング装置320は、他の装置に向けたパケットを受信するように、スヌープ・モードで動作する計算装置である。すなわち、スヌーピング装置320は、それ自体の構成済みMACアドレスと一致する送信先MACアドレスを有するパケットのみを受信するような通常の計算装置とは異なり、MACアドレスに拘わらずパケットを受信する。このことは、ネットワーク・インタフェース・カード(NIC)をプロミスキャス・モードで動作させることとも称される。図3の例では、スヌーピング装置320は、送信先装置306に向けたパケットを受信する。
図4を参照すると、送信元装置304は、エコー要求パケットを生成する。エコー要求は、「ピング」(ping:packet Internetgroperの略語)として知られている。ピングは、パケットを送信し且つ応答を待機することにより、特定のIPアドレスに到達可能であるか否かをオンラインで決定するために使用される、インターネット・ユーティリィティである。また、ピングは、ネットワークをテスト及びデバッグしたり、ユーザ又はサーバがオンラインであるか否かを確認するためにも使用することができる。
本発明の実施形態に従って、送出元装置304は、偽造した送信先MACアドレス及び有効なIPアドレス又はイーサネット(登録商標)・ブロードキャスト・アドレスを有するエコー要求を送信する。従って、当該IPアドレスが検査される唯一の方法は、或る装置が、当該MACアドレスを無視して、当該パケットを読み取ることである。換言すれば、スヌーピング装置だけが、当該MACアドレスを有する他の送信先へ向けたエコー要求に応答するであろう。
図示の例では、「偽造」すなわち「変更」したMACアドレスが使用される。幾つかの装置を検出するためには、「ブロードキャスト」又は「マルチキャスト」MACアドレスが必要である。そうすると、スヌーピング装置は、当該装置に依存する一意的な態様で、当該ピングに応答する。例えば、装置は、スヌープする場合は2回応答し、スヌープしない場合は1回だけ応答する。ブロードキャスト・アドレスは、一般に、アドレス解決用の要求を送信するために使用されるか、又はネットワーク上の全てのノード若しくはネットワークの一部に対するサービスを宣伝するために使用される。これに対し、マルチキャスト・アドレスは、一般に、或るメッセージを複数の送信先に対し同時に送信するために使用される。マルチキャストは、1対多の送信であるという点でブロードキャストに類似するが、不特定多数の送信先にメッセージを送信するブロードキャストとは異なり、特定グループの送信先にしかメッセージを送信しない。
図示の例では、スヌーピング装置320は、ハードウェア層において当該送信先MACアドレスを無視し、当該パケットをインターネット・プロトコル層へ転送する。この場合、当該IPアドレスは、スヌーピング装置320について有効なIPアドレスである。これを達成するには、サブネット内の全てのアドレスを循環させるか、又は(後述のように)ブロードキャストIPアドレスを使用すればよい。当該IPアドレスがスヌーピング装置320について有効であるので、スヌーピング装置320は、当該パケットを処理し、エコー・パケットを戻す。
図5は、本発明の実施形態に従ったスヌーピング装置を例示する。図5のスヌーピング装置400は、プロミスキャス・モードで動作中の装置である。かかるスヌーピング装置は、既知の態様で動作する。しかし、本発明のスヌープ・エコー応答抽出技術に起因して、スヌーピング装置400は、エコー要求に応答するように「騙され」、その結果、それ自体をプロミスキャス・モードで動作中の装置として識別する。
スヌーピング装置400は、ハードウェア層410及びインターネット・プロトコル層420を含む。ハードウェア層410は、例えば、ネットワーク・インタフェース・カード(NIC)とすることができる。スヌーピング装置400は、ハードウェア層410においてエコー要求パケットを受信する。ハードウェア層410は、当該パケットの送信先MACアドレスを無視し、当該パケットをIP層420へ転送する(ステップ412)。
IP層420は、パケット情報を記録し(ステップ422)、当該送信先IPアドレスが当該システムの構成済みIPアドレスと一致するか否かを決定する(ステップ424)。IPアドレスが一致しなければ、IP層420は、当該パケットを無視する(ステップ426)。さもなければ、IP層420は、当該パケットを処理する(ステップ428)。すなわち、エコー要求の場合は、当該パケットを処理する結果として、IP層420は、エコー応答を生成し、これをハードウェア層410を介してネットワーク上に戻す。
従って、本発明の目標は、スヌーピング装置400によって処理されるであろうIPアドレスを有するエコー要求を生成することである。この目標を達成する1つの方法は、サブネット内の全てのIPアドレスを循環させ、各IPアドレスごとにエコー要求を送信することである。しかし、IPアドレスのうちの幾つかは正当な装置によって使用されるであろう。従って、本発明の実施形態に従った送出元装置は、偽造したMACアドレスを使用する。 プロミスキャス装置だけが、偽造した送信先MACアドレスを有するパケットを受信するであろう。送信されるエコー要求内の送信先IPアドレスがスヌーピング装置400の構成済みIPアドレスと一致する場合、スヌーピング装置400は、当該パケットを処理して、エコー応答を戻すであろう。
本発明の他の実施形態に従った、他のエコー応答抽出方法は、偽造したMACアドレス及びブロードキャストIPアドレスを有するエコー要求パケットを生成することである。ネットワーク上の各装置は、当該装置がかかるパケットを受信すべきものであれば、当該パケットを処理するであろう。しかし、正当な装置のハードウェア層は、偽造した送信先MACアドレスに起因して、かかるパケットを無視するであろう。それにも拘わらず、スヌーピング装置400は、偽造した送信先MACアドレスを無視し、当該パケットを処理のためにIP層へ転送するであろう。ブロードキャストIPアドレスがスヌーピング装置400について有効であるので、スヌーピング装置400は、当該パケットを処理して、エコー応答を戻すであろう。
図6〜図8は、本発明の実施形態に従ったエコー要求パケットを例示する。具体的には、図6は、代表的なエコー要求パケットを示す。図6のパケットは、送信元MACアドレス及び送信先MACアドレスを含む。
図7では、送信先MACアドレスが、偽造したMACアドレスに設定されている。従って、図7のエコー要求パケットに応答する任意の装置は、スヌープ・モードで動作していなければならない。図7のパケットが有効な送信先IPアドレスを有することに留意されたい。当該パケットを処理するためには、受信装置は、当該装置の構成済みIPアドレスと一致するIPアドレスを確認しなければならない。本発明の1つの実施形態に従って、送信元装置は、サブネット内のIPアドレスを循環させつつ、エコー要求パケットを反復的に生成し且つ送信する。
図8では、エコー要求パケットが、ブロードキャストIPアドレスを使用して生成される。再び、送信先MACアドレスは、偽造したMACアドレスである。従って、ネットワークに接続された装置がスヌープ・モードで動作していなければ、応答は受信されないであろう。図8の例では、送信先IPアドレスは、ブロードキャストIPアドレスに設定されている。この例では、ブロードキャストIPアドレスは、「255.255.255.0」である。しかし、ブロードキャストIPアドレスは、ネットワーク構成に依存して変わることがある。
図9は、本発明の実施形態に従った、循環されたIPアドレスを使用するスヌープ・エコー応答エクストラクタの動作を示すフローチャートである。図10は、本発明の実施形態に従った、ブロードキャストIPアドレスを使用するスヌープ・エコー応答エクストラクタの動作を示すフローチャートである。これらのフローチャートの各ブロック及びブロックの組み合わせは、コンピュータ・プログラム命令によって実装することができる。
これらのコンピュータ・プログラム命令を、プロセッサ又は他のプログラム可能なデータ処理装置に提供すると、当該プロセッサ又は他のプログラム可能なデータ処理装置上で実行される命令が、各フローチャートのブロックで指定された機能を実装するための手段を作成することを目的として、マシンを生産することができる。また、これらのコンピュータ・プログラム命令を、コンピュータ可読メモリ、ストレージ又は伝送媒体内に具体化すると、当該コンピュータ可読メモリ又はストレージ内に格納された命令が、各フローチャートのブロックで指定された機能を実装する命令手段を含む製品を生産することを目的として、プロセッサ又は他のプログラム可能なデータ処理装置に対し特定の態様で機能するように指示することができる。
従って、これらのフローチャートの諸ブロックは、指定された機能を実行するための手段の組み合わせ、指定された機能を実行するためのステップの組み合わせ及び指定された機能を実行するためのコンピュータ使用可能なプログラム・コードを支持する。また、これらのフローチャートの各ブロック及びブロックの組み合わせは、指定された機能又はステップを実行する専用のハードウェア・ベースのコンピュータ・システム、又は専用ハードウェア及びコンピュータ命令の組み合わせによって実装することができる。
図9は、スヌープ・エコー応答エクストラクタの動作を示す。動作が開始すると、スヌープ・エコー応答エクストラクタは、サブネット内の次の有効なアドレスを選択し(ブロック602)、偽造したMACアドレスを有するエコー要求パケットを生成し(ブロック604)、当該エコー要求パケットを選択されたアドレスへ送信し(ブロック606)、その後、エコー応答が受信されるか否かを決定する(ブロック608)。
エコー応答が受信されなければ、スヌープ・エコー応答エクストラクタは、当該サブネット内の最終アドレスが考慮されたか否かを決定する(ブロック610)。最終アドレスが考慮されていれば、動作は終了する。さもなければ、ブロック602に戻って、当該サブネット内の次のアドレスを選択する。このプロセスは、当該サブネット内の全てのアドレスが考慮されるまで繰り返される。
エコー応答が受信されるならば(ブロック608)、スヌープ・エコー応答エクストラクタは、プロミスキャス装置を識別し(ブロック612)、次のブロック610で、前述のように、当該サブネット内の最終アドレスが考慮されたか否かを決定する。ブロック612でプロミスキャス装置を識別するには、例えば、送信元IPアドレスについてエコー応答パケットを検査すればよい。プロミスキャス装置を識別した後、是正措置を取ることができる。ネットワークに接続された計算装置は、単に誤動作しているだけかもしれない。スヌーピング装置が識別されるならば、調査を行うことにより、プロミスキャス装置を突き止めるか又は当該装置からの全てのトラフィックを阻止することができ、その結果、当該装置がネットワークに接続された資源にアクセスするのを防止することができる。
図10は、ブロードキャストIPアドレスを使用するスヌープ・エコー応答エクストラクタの動作を示す。動作が開始すると、スヌープ・エコー応答エクストラクタは、偽造したMACアドレス及びブロードキャストIPアドレスを有するエコー要求パケットを生成し(ブロック702)、ブロードキャストIPアドレスに当該エコー要求パケットを送信し(ブロック704)、その後、エコー応答が受信されるか否かを決定する(ブロック706)。
エコー応答が受信されなければ、動作は終了する。さもなければ、スヌープ・エコー応答エクストラクタは、プロミスキャス装置を識別し(ブロック708)、そして動作が終了する。ブロック708でプロミスキャス装置を識別するには、例えば、送信元IPアドレスについてエコー応答パケットを検査すればよい。プロミスキャス装置を識別した後、是正措置を取ることができる。ネットワークに接続された計算装置は、単に誤動作しているだけかもしれない。スヌーピング装置が識別されるならば、調査を行うことにより、プロミスキャス装置を突き止めるか又は当該装置からの全てのトラフィックを阻止することができ、その結果、当該装置がネットワークに接続された資源にアクセスするのを防止することができる。
従って、本発明は、ネットワーク環境内のスヌーピング装置を識別するための機構を提供することにより、従来技術の欠陥を解決する。スヌープ・エコー応答エクストラクタは、スヌーピング装置だけによって受信されるであろう偽造したMACアドレスを有するエコー要求パケットを生成する。また、スヌープ・エコー応答エクストラクタは、スヌーピング装置を当該エコー要求に応答させるようなIPアドレスを使用する。
本発明は、完全にハードウェアの実施形態、完全にソフトウェアの実施形態、又はソフトウェア及びハードウェア要素の両方を含む実施形態の形式を取ることができる。推奨実施形態では、本発明は、ファームウェア、常駐ソフトウェア、マイクロコード等を含む、ソフトウェアで実装される。
また、本発明は、コンピュータ又は任意の命令実行システムに関連して又はこれらによって使用するためのプログラム・コードを提供する、コンピュータ使用可能媒体又はコンピュータ可読媒体からアクセス可能なコンピュータ・プログラム製品の形式を取ることができる。この記載の目的上、コンピュータ使用可能媒体又はコンピュータ可読媒体は、前記命令実行システム又は装置に関連して又はこれらによって使用するためのプログラムを保持し、格納し、通信し、伝送し、移送することができる、任意の有形的装置とすることができる。
媒体は、電子、磁気、光学、電磁気、赤外線又は半導体式のシステム(若しくは装置)又は伝送媒体とすることができる。コンピュータ可読媒体の例には、半導体又は固体メモリ、磁気テープ、取り外し可能なフレキシブル・ディスク、ランダム・アクセス・メモリ(RAM)、読み取り専用メモリ(ROM)、剛体磁気ディスク及び光ディスク等がある。光ディスクの例には、読み取り専用のCD−ROM、読み書き可能なCD−R/W及びDVDがある。
プログラム・コードを格納及び/又は実行するのに適したデータ処理システムは、システム・バスを通してメモリ要素に直接的又は間接的に接続された少なくとも1つのプロセッサを含む。これらのメモリ要素は、プログラム・コードの実行中に使用されるローカル・メモリ、バルク・ストレージ、プログラム・コードの実行中にバルク・ストレージからの検索回数を減少させるために少なくとも或るプログラム・コードの一時的記憶領域を提供するキャッシュ・メモリを含むことができる。
I/O装置(キーボード、ディスプレイ、ポインティング装置等を含む)は、システムに対し直接的に又は介在するI/Oコントローラを通して結合することができる。
また、ネットワーク・アダプタをデータ処理システムに対し結合することもできる。そのようにすると、当該データ処理システムは、介在する専用又は公衆ネットワークを通して、他のデータ処理システム、遠隔プリンタ又は記憶装置に結合されるようになる。ネットワーク・アダプタの例には、モデム、ケーブル・モデム及びイーサネット(登録商標)・カード等がある。
本発明に関する記述は、例示及び説明を目的として与えられたものであって、網羅的であること及び開示された形態に本発明を限定することを意図するものではない。当業者にとって、多くの修正及び変形が明らかであろう。実施形態は、本発明の原理及び実際的な応用を最もよく説明し、考えられる特定の用途に適するような種々の修正を伴う種々の実施形態に関して当業者が本発明を理解することを可能にするために、選択され説明されたものである。
302 ネットワーク
304 パケット送信元装置
306 パケット送信先装置
320 スヌーピング装置
304 パケット送信元装置
306 パケット送信先装置
320 スヌーピング装置
Claims (11)
- コンピュータ・ネットワーク内のスヌーピング装置からエコー応答を引き出すための方法であって、パケット送信元装置が、
スヌーピング装置からエコー応答を引き出すために、前記パケット送信元装置の送信元ハードウェア・アドレス及び送信元ネットワーク・プロトコル・アドレスと、偽造した宛先メディア・アクセス制御(MAC)アドレスと、有効な宛先ネットワーク・プロトコル・アドレスとを有するエコー要求パケットを生成するステップと、
前記エコー要求パケットを前記コンピュータ・ネットワーク上の1以上のデバイスに送信するステップであって、前記スヌーピング・デバイスは、前記エコー要求パケットをハードウェア層において受信し、当該ハードウェア層において前記受信したエコー要求パケット中の前記偽造した宛先メディア・アクセス制御(MAC)アドレスを無視し、前記受信したエコー要求パケットをインターネットプロトコル層へ転送し、当該インターネットプロトコル層において前記転送されたエコー要求パケットを処理してエコー応答パケットを前記パケット送信元装置へ送信し、前記スヌーピング装置以外の前記コンピュータ・ネットワーク上の装置は、前記偽造した宛先メディア・アクセス制御(MAC)アドレスに起因して、ハードウェア層において前記エコー要求パケットを無視する、前記送信するステップと、
前記コンピュータ・ネットワーク上のエコー応答パケットを受信することに応答して、前記1以上のデバイス中にあるスヌーピング装置の存在を識別するステップと
を実行することを含む、前記方法。 - 前記エコー要求パケットを生成するステップが、前記有効な宛先ネットワーク・プロトコル・アドレスをサブネットから選択することを含み、
前記パケット送信元装置が、
前記サブネット内のネットワーク・プロトコル・アドレスを循環させるステップと、
前記サブネット内の複数のネットワーク・プロトコル・アドレスの各々ごとに一つのエコー要求パケットを生成するステップと
を実行することをさらに含む、請求項1に記載の方法。 - 前記有効な宛先ネットワーク・プロトコル・アドレスが、IPアドレス又はブロードキャスト・アドレスである、請求項1又は2に記載の方法。
- 前記パケット送信元装置が、
前記スヌーピング装置の送信元ネットワーク・プロトコル・アドレスを識別するために前記エコー応答パケットを検査するステップを実行することをさらに含む、請求項1〜3のいずれか一項に記載の方法。 - 前記パケット送信元装置が、
前記スヌーピング装置の前記送信元ネットワーク・プロトコル・アドレスから発信される全てのネットワーク・トラフィックを阻止するステップを実行することをさらに含む、請求項4に記載の方法。 - コンピュータ・ネットワーク内のスヌーピング装置からエコー応答を引き出すための装置であって、
プロセッサと、
前記プロセッサに動作可能に接続されたネットワーク・アダプタと、
前記プロセッサに動作可能に接続され且つコンピュータ命令を格納するメモリとを備え、
前記プロセッサが、前記コンピュータ命令の制御下で、
スヌーピング装置からエコー応答を引き出すために、前記パケット送信元装置の送信元ハードウェア・アドレス及び送信元ネットワーク・プロトコル・アドレスと、偽造した宛先メディア・アクセス制御(MAC)アドレスと、有効な宛先ネットワーク・プロトコル・アドレスとを有するエコー要求パケットを生成し、
前記ネットワーク・アダプタを使用して、前記エコー要求パケットを前記コンピュータ・ネットワーク上の1以上のデバイスに送信し、ここで、前記スヌーピング・デバイスは、前記エコー要求パケットをハードウェア層において受信し、当該ハードウェア層において前記受信したエコー要求パケット中の前記偽造した宛先メディア・アクセス制御(MAC)を無視し、前記受信したエコー要求パケットをインターネットプロトコル層へ転送し、当該インターネットプロトコル層において前記転送されたエコー要求パケットを処理してエコー応答パケットを前記パケット送信元装置へ送信し、前記スヌーピング装置以外の前記コンピュータ・ネットワーク上の装置は、前記偽造した宛先メディア・アクセス制御(MAC)アドレスに起因して、ハードウェア層において前記エコー要求パケットを無視し、
前記コンピュータ・ネットワーク上のエコー応答パケットを受信することに応答して、前記1以上のデバイス中にあるスヌーピング装置の存在を識別する、前記装置。 - 前記エコー要求パケットを生成することが、前記有効な宛先ネットワーク・プロトコル・アドレスをサブネットから選択することを含み、
前記プロセッサが、前記コンピュータ命令の制御下で、
前記サブネット内のネットワーク・プロトコル・アドレスを循環させ、
前記サブネット内の複数のネットワーク・プロトコル・アドレスの各々ごとに一つのエコー要求パケットを生成する、請求項6に記載の装置。 - 前記有効な宛先ネットワーク・プロトコル・アドレスが、IPアドレス又はブロードキャスト・アドレスである、請求項6又は7に記載の装置。
- 前記プロセッサが、前記コンピュータ命令の制御下で、
前記スヌーピング装置の送信元ネットワーク・プロトコル・アドレスを識別するために前記エコー応答パケットを検査する、請求項6〜8のいずれか一項に記載の装置。 - 前記プロセッサが、前記コンピュータ命令の制御下で、
前記スヌーピング装置の前記送信元ネットワーク・プロトコル・アドレスから発信される全てのネットワーク・トラフィックを阻止する、請求項9に記載の装置。 - コンピュータ・ネットワーク内のスヌーピング装置から応答を抽出するためのコンピュータ・プログラムであって、コンピュータに請求項1〜5のいずれか一項に記載の方法の各ステップを実行させる前記コンピュータ・プログラム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/284,682 US8082586B2 (en) | 2005-11-22 | 2005-11-22 | Snoop echo response extractor |
| US11/284,682 | 2005-11-22 | ||
| PCT/EP2006/067191 WO2007060056A1 (en) | 2005-11-22 | 2006-10-09 | Snoop echo response extractor |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2009516969A JP2009516969A (ja) | 2009-04-23 |
| JP2009516969A5 JP2009516969A5 (ja) | 2010-09-02 |
| JP5015945B2 true JP5015945B2 (ja) | 2012-09-05 |
Family
ID=37311960
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008541673A Expired - Fee Related JP5015945B2 (ja) | 2005-11-22 | 2006-10-09 | スヌープ・エコー応答エクストラクタ |
Country Status (6)
| Country | Link |
|---|---|
| US (2) | US8082586B2 (ja) |
| EP (1) | EP1955512A1 (ja) |
| JP (1) | JP5015945B2 (ja) |
| CN (1) | CN101300811B (ja) |
| CA (1) | CA2630664C (ja) |
| WO (1) | WO2007060056A1 (ja) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8082586B2 (en) | 2005-11-22 | 2011-12-20 | International Business Machines Corporation | Snoop echo response extractor |
| JP4900474B2 (ja) * | 2007-03-15 | 2012-03-21 | 富士通株式会社 | 情報処理装置、ノード位置取得方法及びプログラム並びに通信システム |
| KR20090121579A (ko) * | 2008-05-22 | 2009-11-26 | 주식회사 이베이지마켓 | 서버의 취약점을 점검하기 위한 시스템 및 그 방법 |
| US9088609B2 (en) * | 2009-12-24 | 2015-07-21 | International Business Machines Corporation | Logical partition media access control impostor detector |
| US8789179B2 (en) | 2011-10-28 | 2014-07-22 | Novell, Inc. | Cloud protection techniques |
| US9923799B2 (en) | 2014-04-25 | 2018-03-20 | Metaswitch Networks Ltd. | Data processing |
| US9871717B2 (en) | 2014-04-25 | 2018-01-16 | Metaswitch Networks Ltd | Data processing |
| US10063456B2 (en) | 2014-04-25 | 2018-08-28 | Metaswitch Networks Ltd | Data processing |
| US9846775B2 (en) * | 2015-03-05 | 2017-12-19 | Minerva Labs Ltd. | Systems and methods for malware evasion management |
| US10230743B1 (en) * | 2016-05-12 | 2019-03-12 | Wells Fargo Bank, N.A. | Rogue endpoint detection |
| US10824367B2 (en) | 2017-10-19 | 2020-11-03 | Seagate Technology Llc | Adaptive intrusion detection based on monitored data transfer commands |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6775657B1 (en) * | 1999-12-22 | 2004-08-10 | Cisco Technology, Inc. | Multilayered intrusion detection system and method |
| US6952428B1 (en) * | 2001-01-26 | 2005-10-04 | 3Com Corporation | System and method for a specialized dynamic host configuration protocol proxy in a data-over-cable network |
| JP3689007B2 (ja) | 2001-02-06 | 2005-08-31 | 三菱電機株式会社 | ネットワークシステムおよびネットワーク接続装置 |
| US7089589B2 (en) * | 2001-04-10 | 2006-08-08 | Lenovo (Singapore) Pte. Ltd. | Method and apparatus for the detection, notification, and elimination of certain computer viruses on a network using a promiscuous system as bait |
| US7320070B2 (en) | 2002-01-08 | 2008-01-15 | Verizon Services Corp. | Methods and apparatus for protecting against IP address assignments based on a false MAC address |
| US7174566B2 (en) * | 2002-02-01 | 2007-02-06 | Intel Corporation | Integrated network intrusion detection |
| EP1370027A1 (en) | 2002-06-05 | 2003-12-10 | T.I.P. Holdings GmbH | Computer network leakage detection, location and identification |
| US7346922B2 (en) | 2003-07-25 | 2008-03-18 | Netclarity, Inc. | Proactive network security system to protect against hackers |
| US7237267B2 (en) * | 2003-10-16 | 2007-06-26 | Cisco Technology, Inc. | Policy-based network security management |
| US8082586B2 (en) | 2005-11-22 | 2011-12-20 | International Business Machines Corporation | Snoop echo response extractor |
| US8667581B2 (en) * | 2006-06-08 | 2014-03-04 | Microsoft Corporation | Resource indicator trap doors for detecting and stopping malware propagation |
-
2005
- 2005-11-22 US US11/284,682 patent/US8082586B2/en not_active Expired - Fee Related
-
2006
- 2006-10-09 CN CN2006800409290A patent/CN101300811B/zh not_active Expired - Fee Related
- 2006-10-09 EP EP06793998A patent/EP1955512A1/en not_active Withdrawn
- 2006-10-09 CA CA2630664A patent/CA2630664C/en active Active
- 2006-10-09 WO PCT/EP2006/067191 patent/WO2007060056A1/en active Application Filing
- 2006-10-09 JP JP2008541673A patent/JP5015945B2/ja not_active Expired - Fee Related
-
2011
- 2011-11-29 US US13/306,794 patent/US8955125B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| EP1955512A1 (en) | 2008-08-13 |
| WO2007060056A1 (en) | 2007-05-31 |
| CN101300811B (zh) | 2013-02-20 |
| US8955125B2 (en) | 2015-02-10 |
| CN101300811A (zh) | 2008-11-05 |
| CA2630664A1 (en) | 2007-05-31 |
| US20120079595A1 (en) | 2012-03-29 |
| US8082586B2 (en) | 2011-12-20 |
| US20070118908A1 (en) | 2007-05-24 |
| CA2630664C (en) | 2014-03-18 |
| JP2009516969A (ja) | 2009-04-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5015945B2 (ja) | スヌープ・エコー応答エクストラクタ | |
| US20220046060A1 (en) | System and method for providing network and computer firewall protection with dynamic address isolation to a device | |
| US10621344B2 (en) | System and method for providing network security to mobile devices | |
| CN111756712B (zh) | 一种基于虚拟网络设备伪造ip地址防攻击的方法 | |
| JP4517042B1 (ja) | 偽のソース・アドレスを用いたポート・スキャンを検出するための方法、装置、およびプログラム | |
| US20180145994A1 (en) | System and method for providing data and device security between external and host devices | |
| KR101770498B1 (ko) | 링크의 건전성을 점검하는 방법 및 장치 | |
| WO2019119860A1 (zh) | 暴力破解攻击的检测方法和相关装置 | |
| JP5009244B2 (ja) | マルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラム | |
| JP2009510647A (ja) | ステートレス双方向プロキシ | |
| JP2003218873A (ja) | 通信監視装置及び監視方法 | |
| Rahman et al. | Holistic approach to arp poisoning and countermeasures by using practical examples and paradigm | |
| CN116668078A (zh) | 一种互联网入侵安全防御系统 | |
| CN106506410B (zh) | 一种安全表项建立方法及装置 | |
| KADHIM et al. | Design A Client Side Code Generator for Generating an OTP to Preventing Password Phishing and Sniffing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090219 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090729 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100716 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20100716 |
|
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20100803 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100810 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20100906 Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100906 |
|
| RD12 | Notification of acceptance of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7432 Effective date: 20100906 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20100907 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20101119 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20110202 Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110202 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20110221 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20120313 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120420 Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20120420 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20120518 |
|
| RD14 | Notification of resignation of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7434 Effective date: 20120518 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120607 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150615 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |