JP5163984B2 - Quarantine control device, quarantine control computer program, communication interruption method, terminal device, agent computer program, computer program, and erroneous learning processing method - Google Patents
Quarantine control device, quarantine control computer program, communication interruption method, terminal device, agent computer program, computer program, and erroneous learning processing method Download PDFInfo
- Publication number
- JP5163984B2 JP5163984B2 JP2008288835A JP2008288835A JP5163984B2 JP 5163984 B2 JP5163984 B2 JP 5163984B2 JP 2008288835 A JP2008288835 A JP 2008288835A JP 2008288835 A JP2008288835 A JP 2008288835A JP 5163984 B2 JP5163984 B2 JP 5163984B2
- Authority
- JP
- Japan
- Prior art keywords
- terminal device
- agent
- mac address
- quarantine
- arp response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、ネットワーク検疫に用いられる検疫制御装置等に関するものである。 The present invention relates to a quarantine control device and the like used for network quarantine.
ネットワーク検疫は、許可のない不正なPC等の端末装置によるネットワークアクセスを排除するものである。このようなネットワーク検疫を行うものとしては、非特許文献1に記載のものがある。
ここで、本出願人は、先の出願(特願2007−119127号)において、検疫制御装置が、通信の妨害が必要とされる妨害対象端末装置について、通信の妨害処理を行うことを開示している。
前記先の出願における妨害処理は、送信元IPアドレスが妨害対象端末装置のIPアドレスであり、送信元MACアドレスが偽MACアドレスである疑似ARP応答を、検疫制御装置がブロードキャスト送信することによって行われる。
Here, in the previous application (Japanese Patent Application No. 2007-119127), the present applicant discloses that the quarantine control device performs a communication blocking process on a target terminal device that is required to block communication. ing.
The jamming process in the previous application is performed by the quarantine controller broadcasting a pseudo ARP response in which the source IP address is the IP address of the jamming target terminal device and the source MAC address is a fake MAC address. .
疑似ARP応答がブロードキャスト送信されることで、ネットワーク内の他の端末装置は、妨害対象端末装置のMACアドレスを誤って学習する。この結果、妨害対象端末装置への通信が妨害される。 By transmitting the pseudo-ARP response by broadcast, the other terminal devices in the network learn the MAC address of the terminal device to be disturbed by mistake. As a result, communication to the target terminal device for interference is interrupted.
さて、本発明者らの更なる検討の結果、疑似ARP応答のブロードキャスト送信では、妨害対象端末装置のMACアドレスを誤学習させることができない誤学習不能端末装置があり、意図した通信妨害を行えないことがあることを見出した。ただし、誤学習不能端末装置であっても、疑似ARP応答をユニキャストで送信すれば、妨害対象端末装置のMACアドレスを誤学習させることができた。 As a result of further studies by the present inventors, there is a terminal device that cannot mislearn the MAC address of the terminal device to be disturbed in broadcast transmission of a pseudo ARP response, and the intended communication interference cannot be performed. I found out that there was something. However, even if the terminal device cannot be erroneously learned, if the pseudo-ARP response is transmitted by unicast, the MAC address of the interference target terminal device can be erroneously learned.
疑似ARP応答のブロードキャスト送信では誤学習をしない現象は、端末装置に搭載されているOSが、WindowsVista及びWindowsServer2008(以下、「Vista系OS」という)である場合に生じた(Windows、WindowsVista、及びVistaは登録商標、以下同様)。
Vista系OSにて実際に送受信されるパケットから推測すると、Vista系OSでは、ブロードキャストされたARP応答を受け取った場合、そのARP応答に含まれるMACアドレスを直ちに学習せず、そのARP応答の送信元IPアドレスを手がかりに、ARP応答の送信元に対してMACアドレスを確認する処理を行うためではないかと推察される。
なお、WindowsXP(登録商標)など、Vista系OSよりも前のバージョンのOSやVista系以外のその他のOSでは、ブロードキャスト疑似ARPにより誤学習をさせることができた。
The phenomenon of no false learning in the broadcast transmission of the pseudo ARP response occurs when the OS installed in the terminal device is Windows Vista and Windows Server 2008 (hereinafter referred to as “Vista-based OS”) (Windows, Windows Vista, and Vista). Is a registered trademark, and so on).
Assuming from the packets actually transmitted / received by the Vista-based OS, when receiving a broadcast ARP response, the Vista-based OS does not immediately learn the MAC address included in the ARP response, but the source of the ARP response It is presumed that the IP address is used as a clue to perform processing for confirming the MAC address with respect to the transmission source of the ARP response.
In addition, in a version earlier than the Vista-based OS, such as Windows XP (registered trademark), and other OSs other than the Vista-based OS, erroneous learning can be performed by the broadcast pseudo-ARP.
Vista系OSのように疑似ARP応答のブロードキャスト送信では、妨害対象端末装置のMACアドレスを誤学習させることができないOSを持つ端末装置が、ネットワーク内に存在することを前提とすると、疑似ARP応答は、ユニキャストで送信する必要がある。
しかし、各端末装置へユニキャストで疑似ARP応答を送信すると、パケットの通信量や検疫制御装置の処理量が増加するという問題が発生する。つまり、妨害対象端末装置が1台存在するごとに、ネットワーク内の全端末装置にユニキャスト疑似ARP応答を送信することになり、ネットワーク内の端末装置数と妨害対象端末装置の積に比例して負荷が増加する。
Assuming that a terminal device having an OS that cannot mislearn the MAC address of the target device to be disturbed in broadcast transmission of a pseudo ARP response like a Vista-based OS, the pseudo ARP response is , Need to send by unicast.
However, when a pseudo ARP response is transmitted to each terminal device by unicast, there arises a problem that the communication amount of packets and the processing amount of the quarantine control device increase. That is, every time there is one obstruction target terminal device, a unicast pseudo-ARP response is transmitted to all the terminal devices in the network, and is proportional to the product of the number of terminal devices in the network and the obstruction target terminal device. The load increases.
そこで、本発明は、端末装置への疑似ARP応答送信をユニキャストで行いつつも、パケットの通信量や検疫制御装置の処理量の増加を抑えることを目的とする。 Therefore, an object of the present invention is to suppress an increase in the amount of packet communication and the amount of processing performed by a quarantine control device while performing pseudo-ARP response transmission to a terminal device by unicast.
[検疫制御装置]
(1)本発明は、ネットワークに接続された端末装置のうち通信の妨害が必要とされる妨害対象端末装置について、通信の妨害処理を行う通信妨害部を備えた検疫制御装置であって、前記通信妨害部は、送信元IPアドレスが前記妨害対象端末装置のIPアドレスであり、送信元MACアドレスが前記妨害対象端末装置のMACアドレス以外の偽MACアドレスである疑似ARP応答を、ブロードキャスト送信する第1疑似ARP応答送信部と、送信元IPアドレスが前記妨害対象端末装置のIPアドレスであり、送信元MACアドレスが前記妨害対象端末装置のMACアドレス以外の偽MACアドレスである疑似ARP応答を、ユニキャスト送信する第2疑似ARP応答送信部と、前記第1疑似ARP応答送信部によってブロードキャスト送信された前記疑似ARP応答では、前記妨害対象端末装置のMACアドレスを誤学習させることができない誤学習不能端末装置を識別する識別部と、を備え、前記第2疑似ARP応答送信部は、前記識別部によって誤学習不能端末装置であると識別された端末装置に対して、前記疑似ARP応答をユニキャスト送信することを特徴とする検疫制御装置である。
[Quarantine control device]
(1) The present invention is a quarantine control device including a communication disturbing unit that performs a communication disturbing process on a target terminal device that is required to interfere with communication among terminal devices connected to a network, The communication disturbing unit broadcasts and transmits a pseudo ARP response in which a transmission source IP address is an IP address of the interference target terminal device and a transmission source MAC address is a fake MAC address other than the MAC address of the interference target terminal device. 1 pseudo ARP response transmitter, a pseudo ARP response in which the source IP address is the IP address of the target terminal device to be disturbed and the source MAC address is a pseudo MAC address other than the MAC address of the target terminal device to be disturbed. Broadcast by the second pseudo ARP response transmitter for transmitting the cast and the first pseudo ARP response transmitter In the received pseudo ARP response, an identification unit that identifies a mis-learning-incapable terminal device that cannot mislearn the MAC address of the interference target terminal device, and the second pseudo ARP response transmission unit includes: The quarantine control device is characterized in that the pseudo-ARP response is unicast transmitted to a terminal device identified as a terminal device that cannot be mislearned by an identification unit.
上記本発明によれば、疑似ARP応答のブロードキャスト送信とユニキャスト送信が併用され、疑似ARP応答のブロードキャスト送信では、誤学習させることができない誤学習不能端末装置に対して、ユニキャストを送信すれば足りるため、端末装置への疑似ARP応答送信をユニキャストで行っても、通信量や処理量の増加を抑えることができる。 According to the present invention, the pseudo-ARP response broadcast transmission and the unicast transmission are used together, and the pseudo-ARP response broadcast transmission transmits unicast to a terminal device that cannot be mislearned. Therefore, even if the pseudo ARP response transmission to the terminal device is performed by unicast, an increase in the communication amount and the processing amount can be suppressed.
(2)前記識別部は、前記誤学習不能端末装置のうち所定の端末装置を、前記疑似ARP応答をユニキャスト送信する対象から除外する除外手段を備えるのが好ましい。この場合、ユニキャスト疑似ARP応答の必要のない端末装置を、ユニキャスト送信の対象から除外でき、通信量や処理量の増加を抑えることができる。 (2) It is preferable that the said identification part is provided with the exclusion means which excludes the predetermined | prescribed terminal device from the object which unicast-transmits the said pseudo | simulated ARP response among the said mislearning impossible terminal devices. In this case, a terminal device that does not require a unicast pseudo-ARP response can be excluded from the target of unicast transmission, and an increase in communication amount and processing amount can be suppressed.
(3)前記除外手段が除外する端末装置は、エージェントが搭載された誤学習不能端末装置であり、前記エージェントは、当該エージェントが搭載された誤学習不能端末装置に対して妨害対象端末装置のMACアドレスを誤学習させる誤学習処理を行うものであるのが好ましい。この場合、エージェントが、端末装置に対する誤学習処理を行えるため、エージェントが搭載されている端末装置は、ユニキャスト送信の対象から除外でき、通信量や処理量の増加を抑えることができる。なお、エージェントは、ネットワーク配下の各端末装置に常駐する専用プログラムである。 (3) The terminal device excluded by the exclusion means is a terminal device that cannot be mis-learned with an agent installed therein, and the agent is the MAC of the terminal device to be disturbed with respect to the terminal device that cannot be mis-learned with the agent installed. It is preferable to perform a mislearning process that mislearns the address. In this case, since the agent can perform an erroneous learning process on the terminal device, the terminal device on which the agent is mounted can be excluded from the target of unicast transmission, and an increase in communication amount and processing amount can be suppressed. The agent is a dedicated program that resides in each terminal device under the network.
(4)前記疑似ARP応答をユニキャスト送信する対象から除外する除外端末装置を示す除外端末装置リストを備え、前記除外手段が除外する端末装置は、前記除外端末装置リストに示される除外端末装置であるのが好ましい。この場合、ユニキャスト疑似ARP応答の送信が不要な端末装置を、除外端末装置リストに登録しておけば、誤学習不能端末装置であっても、ユニキャスト送信の対象から除外でき、通信量や処理量の増加を抑えることができる。 (4) An excluded terminal device list indicating an excluded terminal device excluded from a target for unicast transmission of the pseudo ARP response is provided, and the terminal device excluded by the excluding unit is an excluded terminal device indicated in the excluded terminal device list. Preferably there is. In this case, if a terminal device that does not need to transmit a unicast pseudo-ARP response is registered in the excluded terminal device list, even a terminal device that cannot be erroneously learned can be excluded from the target of unicast transmission. An increase in processing amount can be suppressed.
(5)前記除外手段が除外する端末装置は、前記妨害対象端末装置の通信相手以外の端末装置であるのが好ましい。妨害対象端末装置の通信相手以外の端末装置は、疑似ARP応答をユニキャスト送信しなくても、直ちに問題が生じるわけではない。そこで、前記妨害対象端末装置の通信相手以外の端末装置を、ユニキャスト送信の対象から除外することで、通信量や処理量の増加を抑えることができる。 (5) It is preferable that the terminal device excluded by the exclusion means is a terminal device other than the communication counterpart of the interference target terminal device. Even if the terminal device other than the communication partner of the interference target terminal device does not unicast the pseudo ARP response, a problem does not occur immediately. Thus, by excluding terminal devices other than the communication partner of the interference target terminal device from the targets of unicast transmission, it is possible to suppress an increase in communication amount and processing amount.
(6)前記除外手段は、妨害対象端末装置が、妨害が必要ではない非妨害対象端末装置から妨害が必要な妨害対象端末装置に状態遷移した後の最初の妨害処理の際には、前記妨害対象端末装置の通信相手以外の端末装置を、前記疑似ARP応答をユニキャスト送信する対象から除外せず、前記状態遷移した後の2回目以降の妨害処理の際には、前記妨害対象端末装置の通信相手以外の端末装置を、前記疑似ARP応答をユニキャスト送信する対象から除外するものであるのが好ましい。
妨害が必要ではない非妨害対象端末装置から妨害が必要な妨害対象端末装置に状態遷移した後の最初の妨害処理の際には、ネットワーク上の各端末装置が、妨害対象端末装置のMACアドレスを既に認識しているおそれがある。このため、状態遷移した後の最初の妨害処理の際には、妨害対象端末装置の通信相手以外の端末装置を、疑似ARP応答をユニキャスト送信する対象から除外せず、2回目以降において除外することで、確実な妨害が行える。
(6) The exclusion means may be configured to perform the jamming in the first jamming process after the jamming target terminal device changes state from a non-jamming target terminal device that does not need jamming to a jamming target terminal device that requires jamming. The terminal device other than the communication partner of the target terminal device is not excluded from the target for unicast transmission of the pseudo ARP response, and during the second and subsequent disturbance processing after the state transition, It is preferable that a terminal device other than the communication partner is excluded from a target for unicasting the pseudo ARP response.
In the first disturbance process after a state transition from a non-disturbed target terminal device that does not require interference to a disturbed terminal device that requires disturbance, each terminal device on the network sets the MAC address of the disturbed terminal device. There is a possibility that it has already been recognized. For this reason, in the first disturbance processing after the state transition, the terminal device other than the communication partner of the interference target terminal device is not excluded from the target for unicast transmission of the pseudo ARP response, and is excluded after the second time. Therefore, reliable interference can be performed.
(7)妨害対象端末装置と、その通信相手とを記憶するための通信相手テーブルを備え、前記除外手段は、前記通信相手テーブルを参照することで、前記妨害対象端末装置の通信相手を認識するのが好ましい。この場合、容易に通信相手を把握できる。 (7) A communication partner table for storing the interference target terminal device and its communication partner is provided, and the exclusion means recognizes the communication partner of the interference target terminal device by referring to the communication partner table. Is preferred. In this case, the communication partner can be easily grasped.
(8)前記第2疑似ARP応答送信部は、前記妨害対象端末装置のMACアドレスを誤学習している端末装置が妨害対象端末装置のMACアドレスを確認するARP要求を行ったときに、当該ARP要求を送信した前記端末装置に対して、前記疑似ARP応答を送信するのが好ましい。この場合、検疫制御装置は、上記確認に対して、疑似ARP応答で応答することができ、誤学習状態を維持することができる。 (8) The second pseudo ARP response transmitter, when a terminal device that has erroneously learned the MAC address of the interference target terminal device makes an ARP request to confirm the MAC address of the interference target terminal device, The pseudo ARP response is preferably transmitted to the terminal device that has transmitted the request. In this case, the quarantine control apparatus can respond to the confirmation with a pseudo ARP response, and can maintain the erroneous learning state.
(9)前記通信妨害部は、妨害処理を、前記妨害対象端末装置の通信検出時に実行するとともに、定期的に実行するよう構成され、前記妨害対象端末装置の通信検出時における妨害処理では、前記疑似ARP応答のブロードキャスト送信とともに、前記疑似ARP応答のユニキャスト送信を行い、定期的に実行する妨害処理では、前記疑似ARP応答のユニキャスト送信は行わずに、前記疑似ARP応答のブロードキャスト送信を行うのが好ましい。この場合、定期的な妨害処理ではユニキャスト送信がされないため、通信量や処理量を抑えることができる。 (9) The communication jamming unit is configured to perform a jamming process at the time of communication detection of the jamming target terminal device and to periodically execute the jamming process at the time of the communication detection of the jamming target terminal device. The pseudo-ARP response unicast transmission is performed together with the pseudo-ARP response broadcast transmission, and the pseudo-ARP response broadcast transmission is performed without performing the pseudo-ARP response unicast transmission in the periodic interference processing. Is preferred. In this case, since the unicast transmission is not performed in the periodic interference process, the communication amount and the processing amount can be suppressed.
(10)前記端末装置が前記誤学習不能端末装置であるか否かを識別するための識別情報を、前記端末装置から取得する取得手段を備え、前記識別部は、前記取得手段によって取得した識別情報に基づいて、誤学習不能端末装置を識別するのが好ましい。この場合、検疫制御装置は、誤学習不能端末装置を容易に識別することができる。 (10) The information processing apparatus includes an acquisition unit that acquires, from the terminal device, identification information for identifying whether the terminal device is the mis-learnable terminal device, and the identification unit acquires the identification information acquired by the acquisition unit. It is preferable to identify a terminal device that cannot be erroneously learned based on the information. In this case, the quarantine control device can easily identify the terminal device that cannot be erroneously learned.
(11)前記識別部は、前記端末装置が有するOSの種別によって、誤学習不能端末装置を識別するのが好ましい。 (11) It is preferable that the identification unit identifies a terminal device that cannot be erroneously learned according to the type of OS that the terminal device has.
(12)妨害対象端末装置を示す情報を、端末装置に搭載された前記エージェントに対して送信する送信手段を備えているのが好ましい。この場合、エージェントは、妨害対象端末装置を示す情報に基づいて、誤学習処理を行うことができる。 (12) It is preferable that a transmission unit that transmits information indicating the terminal device to be interfered to the agent mounted on the terminal device is provided. In this case, the agent can perform an erroneous learning process based on information indicating the disturbance target terminal device.
(13)前記送信手段は、端末装置が、妨害が必要ではない非妨害対象端末装置から妨害が必要な妨害対象端末装置へ状態遷移したとき、又は、妨害が必要な妨害対象端末装置から妨害が必要ではない非妨害対象端末装置へ状態遷移したときに、妨害対象端末装置を示す情報を送信するのが好ましい。この場合、エージェントは、状態遷移が生じたときに、妨害対象端末装置を示す情報を取得でき、適切なタイミングで誤学習処理を行える。 (13) The transmission means may be configured to cause the terminal device to perform a state transition from a non-disturbing target terminal device that does not need to be disturbed to a disturbing target terminal device that needs to be disturbed or from a disturbing target terminal device that needs to be disturbed. When a state transition is made to a non-disturbing target terminal device that is not necessary, it is preferable to transmit information indicating the disturbing target terminal device. In this case, when the state transition occurs, the agent can acquire information indicating the disturbance target terminal device, and can perform an erroneous learning process at an appropriate timing.
[検疫制御コンピュータプログラム]
(14)他の観点からみた本発明は、コンピュータを、前記(1)〜(13)のいずれか1項に記載の検疫制御装置として機能させるための検疫制御コンピュータプログラムである。
[Quarantine control computer program]
(14) The present invention viewed from another viewpoint is a quarantine control computer program for causing a computer to function as the quarantine control device according to any one of (1) to (13).
[通信妨害方法]
(15)他の観点からみた本発明は、ネットワークに接続された端末装置のうち通信の妨害が必要とされる妨害対象端末装置について、通信の妨害処理を行う通信妨害方法であって、前記妨害処理では、送信元IPアドレスが前記妨害対象端末装置のIPアドレスであり、送信元MACアドレスが前記妨害対象端末装置のMACアドレス以外の偽MACアドレスである疑似ARP応答を、ブロードキャスト送信するとともに、前記第1疑似ARP応答送信部によってブロードキャスト送信された前記疑似ARP応答では、前記妨害対象端末装置のMACアドレスを誤学習させることができない誤学習不能端末装置に対して、送信元IPアドレスが前記妨害対象端末装置のIPアドレスであり、送信元MACアドレスが妨害対象端末装置のMACアドレス以外の偽MACアドレスである疑似ARP応答を、ユニキャスト送信することを特徴とする通信妨害方法である。なお、ブロードキャスト送信とユニキャスト送信の送信順序は特に限定されない。
[Communication blocking method]
(15) From another viewpoint, the present invention is a communication interference method for performing communication interference processing on a target terminal device that is required to interfere with communication among terminal devices connected to a network. In the process, the pseudo-ARP response in which the transmission source IP address is the IP address of the disturbance target terminal device and the transmission source MAC address is a fake MAC address other than the MAC address of the disturbance target terminal device is broadcast and transmitted. In the pseudo ARP response broadcast-transmitted by the first pseudo ARP response transmission unit, the source IP address is the target to be disturbed with respect to a terminal device that cannot be mis-learned, which cannot mislearn the MAC address of the terminal device to be disturbed. The IP address of the terminal device, and the source MAC address is the MA of the target terminal device to be disturbed Pseudo ARP reply is false MAC address other than the address, is a communication disturbing method, characterized by unicast transmission. Note that the transmission order of broadcast transmission and unicast transmission is not particularly limited.
(16)前記妨害処理では、前記端末装置が誤学習不能端末装置であるか否かを示す情報を、当該端末装置から取得することで、前記誤学習不能端末装置を識別するのが好ましい。 (16) In the disturbance processing, it is preferable that the terminal device is identified by acquiring information indicating whether or not the terminal device is a terminal device that cannot be erroneously learned from the terminal device.
[端末装置]
(17)他の観点からみた本発明は、エージェントが搭載された端末装置であって、前記エージェントは、通信の妨害が必要とされる妨害対象端末装置のMACアドレス以外の偽MACアドレスが、前記妨害対象端末装置のMACアドレスであるとする誤学習を、当該エージェントが搭載された端末装置に対して行わせる誤学習処理部を備えていることを特徴とする端末装置である。この場合、エージェントが端末装置に対して、妨害対象端末装置のMACアドレスを誤学習させることができる。したがって、エージェントが搭載された端末装置に対しては、疑似ARP応答のユニキャスト送信をする必要がなく、通信量や処理量の増加を抑えることができる。
[Terminal device]
(17) Another aspect of the present invention is a terminal device in which an agent is installed, and the agent has a fake MAC address other than the MAC address of a target terminal device to be disturbed, The terminal device is characterized in that it includes a mislearning processing unit that causes the terminal device on which the agent is installed to perform mislearning that the interference target terminal device is the MAC address. In this case, the agent can cause the terminal device to mislearn the MAC address of the terminal device to be disturbed. Therefore, it is not necessary to perform unicast transmission of the pseudo ARP response to the terminal device on which the agent is mounted, and an increase in communication amount and processing amount can be suppressed.
(18)前記エージェントは、妨害対象端末装置を示す情報を、ネットワークを通じて端末装置外部から取得する手段を備えているのが好ましい。この場合、エージェントは、妨害対象端末装置を示す情報を容易に取得できる。 (18) It is preferable that the agent includes means for acquiring information indicating the terminal device to be disturbed from the outside of the terminal device through a network. In this case, the agent can easily obtain information indicating the terminal device to be disturbed.
(19)前記エージェントは、前記(12)又は(13)に記載の検疫制御装置から、妨害対象端末装置を示す情報を取得するのが好ましい。この場合、エージェントは、妨害対象端末装置を示す情報を容易に取得できる。 (19) It is preferable that the agent acquires information indicating a terminal device to be disturbed from the quarantine control device according to (12) or (13). In this case, the agent can easily obtain information indicating the terminal device to be disturbed.
(20)他の観点からみた本発明は、エージェントが搭載された端末装置であって、前記(1)〜(13)のいずれか1項に記載の検疫制御装置に対し、当該エージェントが搭載された端末装置が、前記誤学習不能端末装置であるか否かを示す情報を送信する送信手段を備えていることを特徴とする端末装置である。この場合、検疫制御装置は、誤学習不能端末装置であるか否かを示す情報を、端末装置から取得することができる。 (20) From another viewpoint, the present invention is a terminal device on which an agent is mounted, and the agent is mounted on the quarantine control device according to any one of (1) to (13). The terminal device is characterized by comprising a transmission means for transmitting information indicating whether or not the terminal device is an erroneous learning impossible terminal device. In this case, the quarantine control device can acquire information indicating whether or not the terminal device is a mis-learning terminal device from the terminal device.
(21)前記送信手段は、当該エージェントが搭載された端末装置が前記誤学習不能端末装置であるか否かを示す情報として、当該エージェントが搭載された端末装置が有するOSの種別を送信するのが好ましい。 (21) The transmission unit transmits the OS type of the terminal device on which the agent is installed as information indicating whether or not the terminal device on which the agent is installed is the mis-learning impossible terminal device. Is preferred.
[エージェントコンピュータプログラム]
(22)他の観点からみた本発明は、コンピュータを、前記(17)〜(21)のいずれか1項に記載のエージェントとして機能させるためのエージェントコンピュータプログラムである。
[Agent computer program]
(22) The present invention viewed from another viewpoint is an agent computer program for causing a computer to function as the agent described in any one of (17) to (21).
[コンピュータプログラム]
(23)他の観点からみた本発明は、コンピュータを、前記(1)〜(13)のいずれか1項に記載の検疫制御装置として機能させるための検疫制御コンピュータプログラムと、コンピュータを、前記(17)〜(21)のいずれか1項に記載のエージェントとして機能させるためのエージェントコンピュータプログラムと、を含むコンピュータプログラムである。
[Computer program]
(23) From another viewpoint, the present invention provides a quarantine control computer program for causing a computer to function as the quarantine control device according to any one of (1) to (13), and the computer ( 17) to the agent computer program for functioning as an agent according to any one of (21), a computer program comprising.
[誤学習処理方法]
(24)他の観点からみた本発明は、エージェントが搭載された端末装置における誤学習処理方法であって、前記エージェントは、通信の妨害が必要とされる妨害対象端末装置のMACアドレス以外の偽MACアドレスが、前記妨害対象端末装置のMACアドレスであるとする誤学習を、当該エージェントが搭載された端末装置対して行わせることを特徴とする誤学習処理方法である。
[Incorrect learning method]
(24) The present invention viewed from another viewpoint is a false learning processing method in a terminal device on which an agent is mounted, and the agent is a false address other than the MAC address of the target terminal device that is required to interfere with communication. A mislearning processing method characterized in that mislearning that the MAC address is the MAC address of the interference target terminal device is performed for the terminal device on which the agent is mounted.
[通信妨害方法]
(25)他の観点からみた本発明は、検疫制御装置と端末装置とがネットワークを介して接続された検疫システムにおいて、前記端末装置のうち通信の妨害が必要とされる妨害対象端末装置について、通信の妨害を行う方法であって、送信元IPアドレスが前記妨害対象端末装置のIPアドレスであり、送信元MACアドレスが前記妨害対象端末装置のMACアドレス以外の偽MACアドレスである疑似ARP応答を、前記検疫制御装置がユニキャスト送信するユニキャスト送信ステップと、前記端末装置に搭載されたエージェントが、当該エージェントが搭載された端末装置に対して前記妨害対象端末装置のMACアドレスを誤学習させる誤学習処理を行う誤学習処理ステップと、を含み、前記ユニキャスト送信ステップでは、前記妨害対象端末装置以外の端末装置であって、かつエージェントが搭載されていない端末装置へ、前記疑似ARP応答をユニキャスト送信することを特徴とする通信妨害方法である。
上記発明によれば、エージェントが搭載された端末装置へは、ユニキャスト疑似ARP応答の送信が行われず、エージェントによって端末装置における誤学習が行われる。したがって、疑似ARP応答をユニキャスト送信が必要な端末装置の数を少なくできる。よって、端末装置への疑似ARP応答送信をユニキャストで行っても、通信量や処理量の増加を抑えることができる。
[Communication blocking method]
(25) The present invention viewed from another point of view relates to a terminal device to be obstructed that requires communication interruption among the terminal devices in a quarantine system in which a quarantine control device and a terminal device are connected via a network. A method for performing communication interruption, wherein a pseudo ARP response is obtained in which a transmission source IP address is an IP address of the interference target terminal apparatus and a transmission source MAC address is a fake MAC address other than the MAC address of the interference target terminal apparatus. A unicast transmission step in which the quarantine control device performs unicast transmission, and an error that causes the agent installed in the terminal device to mislearn the MAC address of the terminal device to be disturbed to the terminal device in which the agent is installed. A mislearning process step of performing a learning process, wherein the unicast transmission step includes: A terminal device other than the terminal device, and the agent to the terminal device which is not mounted, a communication jamming method and transmits the pseudo ARP unicast response cast.
According to the above invention, a unicast pseudo-ARP response is not transmitted to the terminal device on which the agent is mounted, and erroneous learning is performed in the terminal device by the agent. Therefore, the number of terminal devices that require unicast transmission of the pseudo ARP response can be reduced. Therefore, even if the pseudo ARP response transmission to the terminal device is performed by unicast, an increase in the communication amount and the processing amount can be suppressed.
[検疫制御装置]
(26)他の観点からみた本発明は、ネットワークに接続された端末装置のうち通信の妨害が必要とされる妨害対象端末装置について、通信の妨害処理を行う通信妨害部を備えた検疫制御装置であって、前記通信妨害部は、送信元IPアドレスが前記妨害対象端末装置のIPアドレスであり、送信元MACアドレスが妨害対象端末装置のMACアドレス以外の偽MACアドレスである疑似ARP応答を、ユニキャスト送信する疑似ARP応答送信部を備え、前記疑似ARP応答送信部は、妨害対象端末装置以外の端末装置であって、かつエージェントが搭載されていない端末装置へ、前記疑似ARP応答を送信するものであり、前記エージェントは、当該エージェントが搭載された端末装置に対して妨害対象端末装置のMACアドレスを誤学習させる誤学習処理を行うものであることを特徴とする検疫制御装置である。上記本発明によれば、エージェントが搭載された端末装置へは、ユニキャスト疑似ARP応答の送信が行われず、エージェントによって端末装置における誤学習が行われる。したがって、疑似ARP応答をユニキャスト送信が必要な端末装置の数を少なくできる。よって、端末装置への疑似ARP応答送信をユニキャストで行っても、通信量や処理量の増加を抑えることができる。
[Quarantine control device]
(26) From another viewpoint, the present invention relates to a quarantine control apparatus including a communication disturbing unit that performs a communication disturbing process on a target terminal apparatus that is required to interfere with communication among terminal apparatuses connected to a network. The communication jamming unit sends a pseudo ARP response in which the source IP address is the IP address of the jamming target terminal device, and the source MAC address is a fake MAC address other than the MAC address of the jamming target terminal device, A pseudo ARP response transmission unit that performs unicast transmission, and the pseudo ARP response transmission unit transmits the pseudo ARP response to a terminal device other than the target terminal device to be interfered with and not equipped with an agent. And the agent misidentifies the MAC address of the terminal device to be disturbed with respect to the terminal device on which the agent is mounted. A quarantine control device which is characterized in that performs erroneous learning process for. According to the present invention, a unicast pseudo ARP response is not transmitted to a terminal device on which an agent is mounted, and erroneous learning is performed in the terminal device by the agent. Therefore, the number of terminal devices that require unicast transmission of the pseudo ARP response can be reduced. Therefore, even if the pseudo ARP response transmission to the terminal device is performed by unicast, an increase in the communication amount and the processing amount can be suppressed.
本発明によれば、端末装置への疑似ARP応答送信をユニキャストで行っても、通信量や処理量の増加を抑えることができる。 According to the present invention, even if the pseudo ARP response transmission to the terminal device is performed by unicast, it is possible to suppress an increase in communication amount and processing amount.
以下、本発明の実施形態を図面に基づいて説明する。
[1.検疫システムの全体構成]
図1は、検疫システム1の全体を示している。この検疫システム1は、LAN等のネットワーク(TCP/IPネットワーク)に、ネットワーク検疫制御を行う検疫制御装置2、ネットワーク検疫の対象となるPC等の検疫対象となる端末装置3a,3b、及び検疫管理サーバ4を接続して構成されている。なお、複数の検疫対象端末装置3a,3bを特に区別しない場合には、「検疫対象端末装置3」と総称する。
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
[1. Overall configuration of the quarantine system]
FIG. 1 shows the
また、検疫制御装置2による検疫対象となる同一ネットワークセグメントN内には、前記検疫対象端末装置3a,3bとしては機能しないが検疫の対象にできるプリンタ7等の什器や、同じく検疫対象端末装置3a,3bとしては機能しないが検疫の対象にできるPC等の端末装置8が存在していてもよい。また、検疫対象端末装置3、プリンタ7等の什器、及び端末装置8は、ネットワークにおける「端末装置」という点では共通しているため、必要に応じて、これらを総称して、「端末装置」ということもある。
また、図1には、社内サーバ5、ルータ6を示しているが、これらは検疫システム1には直接関係のない構成要素である。
Further, in the same network segment N to be quarantined by the
FIG. 1 shows the in-
[2.検疫システムコンピュータプログラムセット]
検疫制御装置2、検疫対象端末装置3、及び検疫管理サーバ4は、コンピュータプログラムを実行可能なコンピュータによって構成されており、それぞれ、コンピュータプログラムが記憶されるハードディスクやメモリ等の記憶部(図示省略)と、コンピュータプログラムを実行するためのCPU等の演算部(図示省略)とを有している。
[2. Quarantine system computer program set]
The
図1に示すように、検疫制御装置2には検疫制御コンピュータプログラムP1がインストールされている。検疫対象端末装置3にはエージェントコンピュータプログラムP2がインストールされている。エージェントコンピュータプログラムPが端末装置3にインストールされることで、端末装置3がエージェントとして機能する。
また、検疫管理サーバ4には検疫管理コンピュータプログラムP3がインストールされている。
これらのコンピュータプログラムP1,P2、及び必要であればP3、を総称して、検疫システムコンピュータプログラムセットという。
なお、ネットワークセグメントN内の装置のうち、プリンタ7等の什器や端末装置8には、エージェントコンピュータプログラムP2がインストールされていない。
As shown in FIG. 1, a quarantine control computer program P1 is installed in the
The
These computer programs P1, P2 and, if necessary, P3 are collectively referred to as a quarantine system computer program set.
Of the devices in the network segment N, the agent computer program P2 is not installed in the fixture such as the
図2に示すように、検疫システムコンピュータプログラムセットは、1又は複数のコンピュータ読み取り可能な記録媒体(CD−ROM等)C1,C2,C3に記録されて、検疫システムのユーザに提供される。なお、検疫システムコンピュータプログラムセット又は個々のコンピュータプログラムP1,P2,P3のユーザへの提供は、インターネット上の図示しないプログラム提供サーバから、装置2,3,4がコンピュータプログラムP1,P2,P3をダウンロードすることによって行っても良い。
また、検疫制御コンピュータプログラムP1は、CD−ROM等の可搬型記録媒体C2ではなく、検疫制御装置2にプリインストールされた状態で、ユーザに提供することも可能である。
As shown in FIG. 2, the quarantine system computer program set is recorded on one or a plurality of computer-readable recording media (CD-ROM or the like) C1, C2, C3 and provided to the user of the quarantine system. The quarantine system computer program set or individual computer programs P1, P2, and P3 are provided to the user by the
Further, the quarantine control computer program P1 can be provided to the user in a state preinstalled in the
[3.検疫制御装置2]
検疫制御装置2は、TCP/IPによるネットワーク通信をサポートするOS(例えばWindows(登録商標),Linux(登録商標))がインストールされたコンピュータに、検疫制御コンピュータプログラムP1をインストールして構成されている。なお、検疫制御装置2のOSとしてWindows(登録商標)を採用した場合、そのバージョンは特に限定されない。
[3. Quarantine control device 2]
The
図3は、検疫制御コンピュータプログラムP1がコンピュータによって実行されることで、当該コンピュータが発揮する検疫制御装置2としての様々な機能を示している。
図3に示すように、検疫制御装置2は、検査部210、判定部220、端末情報テーブル230、テーブル更新部240、通信監視部(ARP要求監視部)250、通信妨害部260、通信正常化部270、例外通信部280、未登録端末装置処理部290、及び第1端末情報テーブル送信部295を備えている。
FIG. 3 shows various functions as the
As shown in FIG. 3, the
[3.1 端末情報テーブル230]
図3の端末情報テーブル230の詳細を図4に示す。端末情報テーブル230は、ネットワーク上の端末装置の通信の妨害処理の要否を判定するために用いられるものであり、第1端末情報テーブル230a及び第2端末情報テーブル230bを有している。
なお、第2端末情報テーブル230bは、許可端末情報テーブル233、禁止端末情報テーブル234、及び例外情報テーブル235を有して構成されている。
[3.1 Terminal information table 230]
Details of the terminal information table 230 of FIG. 3 are shown in FIG. The terminal information table 230 is used for determining whether or not the communication processing of the terminal device on the network is necessary, and includes a first terminal information table 230a and a second terminal information table 230b.
Note that the second terminal information table 230b includes a permitted terminal information table 233, a prohibited terminal information table 234, and an exception information table 235.
[3.1.1 第1端末情報テーブル230a]
第1端末情報テーブル230aは、後述するエージェントpingによって、端末装置から取得した情報を保持する領域である。
この第1端末情報テーブル230aには、端末装置のIPアドレスを記憶する領域230a−1、端末装置のMACアドレスを記憶する領域230a−2、端末装置に搭載されているエージェントのIDを記憶する領域230a−3、端末装置が合格端末であるか隔離端末であるかを示す情報(端末情報)を記憶する領域230a−4、端末装置が有するOSの種別を示す情報(OS情報)を記憶する領域230a−5、及びエージェントping応答の有無を示す情報を記憶する領域230a−6を有している。
[3.1.1 First terminal information table 230a]
The first terminal information table 230a is an area for holding information acquired from a terminal device by an agent ping described later.
In this first terminal information table 230a, an
前記領域230a−4の端末情報は、検疫対象端末装置3がその内部状態を所定の検査ポリシーに従って検査した検査結果が「合格」であるか、「隔離」(=「不合格」)であるかを示す情報である。以下、前記領域230a−4の端末情報として、「合格」が記録されている端末装置は、「合格端末」というものとする。また、以下、前記領域230a−4の端末情報として、「隔離」が記録されている端末装置は、「隔離端末」というものとする。
なお、端末装置の検査結果(検査ポリシーチェック結果)は、後述する「エージェントping」機能により、検疫対象端末装置(エージェントコンピュータプログラムP2)3から取得する。
また、前記領域230a−4の端末情報が「隔離」となるのは、端末装置の検査結果が「隔離」であった場合のほか、エージェントコンピュータプログラムP2がインストールされていない場合や、その他隔離して通信を妨害すべき場合である。
The terminal information in the
The terminal device inspection result (inspection policy check result) is acquired from the quarantine target terminal device (agent computer program P2) 3 by an “agent ping” function described later.
In addition, the terminal information in the
前記領域230a−5のOS情報は、「エージェントping」機能により、検疫対象端末装置(エージェントコンピュータプログラムP2)3から取得する。このOS情報は、端末装置が、誤学習不能端末装置であるか否かの識別に用いられる(詳細は後述)。
The OS information of the
前記領域230a−6は、エージェントping機能による端末装置の確認時に、端末装置のエージェント機能(エージェントコンピュータプログラムP2による機能)からの応答があったか否かを記録するためのものである。この領域230a−6を設けることで、隔離端末が、検査結果に基づいて隔離されたものか、エージェントコンピュータプログラムP2がインストールされていないためにエージェントping応答ができないことから、隔離されたものかを区別することができる。
The
[3.1.2 第2端末情報テーブル]
[3.1.2.1 許可端末情報テーブル233]
許可端末情報テーブル233は、常に、通常のネットワーク通信を許可する端末装置の一覧情報(MACアドレス又はIPアドレスの一覧)を保持する領域である。ここで、許可端末情報テーブル233に登録されている端末装置は、「許可端末」というものとする。
[3.1.2 Second terminal information table]
[3.1.2.1 Permitted terminal information table 233]
The permitted terminal information table 233 is an area that always holds list information (a list of MAC addresses or IP addresses) of terminal devices that allow normal network communication. Here, the terminal device registered in the permitted terminal information table 233 is referred to as “permitted terminal”.
許可端末には、プリンタ7等の什器や、エージェントコンピュータプログラムP2をサポートしないOSを搭載する端末装置8などがなり得る。また、許可端末には、検疫対象端末装置3を含めても良い。許可端末とされている端末装置については、検査結果の如何又は検査結果の有無にかかわらず、通信が許可される。
なお、許可端末情報は、後述する「管理用通信機能」により、検疫管理サーバ4から取得する。
The permitted terminal may be a fixture such as the
The authorized terminal information is acquired from the
[3.1.2.2 禁止端末情報テーブル234]
禁止端末情報テーブル234には、無条件に通常の通信を禁止する(妨害する)端末装置の一覧情報(MACアドレス又はIPアドレスの一覧)を保持する領域である。ここで、禁止端末情報テーブル234に登録されている端末装置は、「禁止端末」というものとする。禁止端末とされている端末装置については、当該端末装置から受信した検査結果にかかわらず、妨害処理が必要であると判定される。
なお、禁止端末情報は、後述する「管理用通信機能」により、検疫管理サーバ4から取得する。
[3.1.2.2 Prohibited terminal information table 234]
The prohibited terminal information table 234 is an area for holding list information (a list of MAC addresses or IP addresses) of terminal devices that unconditionally prohibit (disturb) normal communication. Here, the terminal device registered in the prohibited terminal information table 234 is referred to as a “prohibited terminal”. For terminal devices that are prohibited terminals, it is determined that interference processing is necessary regardless of the inspection result received from the terminal device.
The prohibited terminal information is acquired from the
[3.1.2.3 例外情報テーブル235]
例外情報テーブル235は、検疫対象端末装置の検査結果が「隔離」(=「不合格」)であった検疫対象端末装置3からでも通信できる、例外的な通信相手の一覧情報(IPアドレスの一覧)を保持する領域である。
なお、例外情報テーブルは、後述する「管理用通信機能」により、検疫管理サーバ4から取得する。
[3.1.2.3 Exception information table 235]
The exception information table 235 is a list of exceptional communication partners (IP address list) that can be communicated from the quarantine
The exception information table is acquired from the
[3.1.3 端末情報テーブルについての補捉説明]
第1端末情報テーブル230aは、エージェントping応答に基づいて、テーブルの内容が更新されるものである。
これに対し、第2端末情報テーブル230bを構成する、許可端末情報テーブル233、禁止端末情報テーブル234、及び例外情報テーブル235は、検疫管理サーバ4から取得されるものである。
[3.1.3 Description of terminal information table]
The first terminal information table 230a is a table whose contents are updated based on the agent ping response.
On the other hand, the permitted terminal information table 233, the prohibited terminal information table 234, and the exception information table 235 constituting the second terminal information table 230b are obtained from the
[3.2検疫制御装置の主要な機能]
検疫制御装置2の主要な機能は、エージェントping機能、検疫管理サーバ4との間で行う管理用通信機能、及びネットワーク内の通信妨害処理等を行うネットワーク通信制御機能であり、これらの機能は、図3に示す各部によって実現される。
[3.2 Main functions of quarantine controller]
The main functions of the
[3.2.1 検疫制御装置のエージェントping機能(検査結果送信要求機能)]
検疫制御装置2は、独自のネットワークプロトコルとして、「エージェントping」を有している。エージェントpingは、検疫対象端末装置3に対し、検査結果の送信を要求するものである。
エージェントpingに関する処理は、図3に示す検査部(エージェントping機能部)210によって行われる。
[3.2.1 Agent ping function (inspection result transmission request function) of quarantine controller]
The
Processing related to the agent ping is performed by the inspection unit (agent ping function unit) 210 illustrated in FIG.
検査部210は、エージェントping(検査結果送信要求)を送信するエージェントping送信部(検査結果送信要求部)211を備えている。このエージェントping送信部211は、検査結果が必要な端末装置に対してエージェントpingを送信する。
The
エージェントping送信のタイミング等は、エージェントping送信管理部212によって管理される。エージェントping送信は、例えば、第1端末情報テーブル230aに登録されている端末装置に対して定期的に行われる他、検疫制御装置2にとって未知の端末装置(いずれの端末情報テーブルにも登録されていない端末装置)による通信データがネットワーク上に流れていることを通信監視部250が補捉したときにも行われる。これらの、エージェントping送信のタイミングの詳細については後述する。
The agent ping transmission timing and the like are managed by the agent ping
検疫対象端末装置3(のエージェントコンピュータプログラムP2)は、エージェントpingによる要求を受け付けると、検査結果を「エージェントping応答」として送信する。この応答は、検査部210のエージェントping応答受信部(検査結果受信部)213によって受信される。エージェントping応答は、第1端末情報テーブル230aに登録すべき情報である、端末装置のIPアドレス、MACアドレス、エージェントID、端末情報(検査結果)、OS情報を含むものである。
なお、エージェントping応答受信部213は、端末装置のOS情報も受信するため、OS情報(学習不能端末であるか否かを識別するための識別情報)を取得する取得手段でもある。
When the quarantine target terminal device 3 (the agent computer program P2) receives the request from the agent ping, the inspection result is transmitted as an “agent ping response”. This response is received by the agent ping response reception unit (inspection result reception unit) 213 of the
The agent ping
検疫制御装置2は、エージェントping応答を解析して、受信した端末情報(検査結果)に基づいて、端末装置の状態(合格/隔離)を判定する。また、検疫制御装置2は、エージェントping応答に含まれるIPアドレス、MACアドレス、エージェントID、端末情報(検査結果)、OS情報、及びエージェントping応答有の情報を、第1端末情報テーブル230aに登録する。また、エージェントpingを送信しても、エージェントping応答のない端末装置8については、その端末装置8を、隔離端末とするとともに、エージェントping応答無の情報を含めて、第1端末情報テーブル230aに登録される。
なお、端末装置の判定は検疫制御装置2の判定部220によって行われ、第1端末情報テーブル230aへの登録は、テーブル更新部240によって行われる(図3参照)。
The
The determination of the terminal device is performed by the
また、検査部210は、検疫対象端末装置3からエージェントpingの送信開始の要求を受信するエージェントping開始要求受信部(開始要求受信部)214を有している。検疫制御装置2がエージェントping開始要求を受信すると、当該開始要求を送信した検疫対象端末装置3に対し、エージェントpingを送信する。
Further, the
[3.2.2 検疫制御装置2の管理用通信機能]
検疫制御装置2は、検疫管理サーバ4との間で、端末情報テーブル230のうち、第2端末情報テーブル230b(許可端末情報テーブル233,禁止端末情報テーブル234,例外情報テーブル235)及び後述の静的リストテーブル263の各内容のやりとりを行うことができる。第2端末情報テーブル230b及び静的リストテーブル263のやりとりは、検疫制御装置2の第2端末情報テーブル&静的リストテーブル更新部(管理用通信部)242によって行われる(図3参照)。
第2端末情報テーブル&静的リストテーブル更新部242は、検疫管理サーバ4から取得した第2端末情報テーブル230bの内容を検疫制御装置2の第2端末情報テーブル230bの各テーブル領域233,234,235に保存するとともに、検疫管理サーバ4から取得した静的リストテーブル263の内容を検疫制御装置2の静的リストテーブル263に保存する。
[3.2.2 Communication function for management of quarantine controller 2]
The
The second terminal information table & static list table updating unit 242 uses the contents of the second terminal information table 230b acquired from the
第2端末情報テーブル230b及び静的リストテーブル263の内容は、後述のように検疫管理サーバ4上で、管理者によってメンテナンスされ、管理者からの要求によって検疫管理サーバ4から、検疫制御装置2に送信される。また、検疫制御装置2(の第2端末情報テーブル&静的リストテーブル更新部242)が必要に応じて、検疫管理サーバ4から第2端末情報テーブル230bを取得してもよい。
The contents of the second terminal information table 230b and the static list table 263 are maintained by the administrator on the
[3.2.3 検疫制御装置2の通信妨害機能]
検疫制御装置2は、通信の妨害処理が必要な端末装置に対して、通信妨害を行う通信妨害部260を備えている(図3参照)。通信妨害処理は、MACアドレス又はIPアドレスが許可端末情報テーブル233に登録されている端末装置(許可端末)、又は検査結果が合格である端末装置(合格端末)に対しては、行わない。
逆に、禁止端末情報テーブル234に登録されている端末装置(禁止端末)、検査結果が隔離(=不合格)である端末装置(隔離端末)、又はエージェントpingに応答せず検査結果を特定できない端末装置(隔離端末)には、通信妨害処理を行う。
[3.2.3 Communication jamming function of quarantine controller 2]
The
Conversely, the terminal device (prohibited terminal) registered in the prohibited terminal information table 234, the terminal device (isolated terminal) whose inspection result is quarantine (= failed), or the inspection result cannot be specified without responding to the agent ping. The terminal device (isolation terminal) performs communication interference processing.
ただし、禁止端末又は隔離端末の通信相手が、例外情報テーブル235に登録されている装置である場合には、その通信に限り、通信妨害処理は行わない。このような例外的な通信許可のため検疫制御装置2は、例外通信部280を備えている(図3参照)。
However, when the communication partner of the prohibited terminal or the quarantine terminal is a device registered in the exception information table 235, the communication disturbance process is not performed only for the communication. For such exceptional communication permission, the
また、検疫制御装置2は、一旦、通信妨害処理を行った端末装置について妨害処理の必要がなくなった場合には、通信を正常化することができる。このような通信正常化のため、検疫制御装置2は、通信正常化部270を備えている(図3参照)。
In addition, the
さらに、検疫制御装置2は、端末装置に搭載されたエージェントによっても通信妨害処理を行わせるため、第1端末情報テーブル230aの内容を、各エージェントへ送信するための第1端末情報テーブル送信部295を備えている。エージェントによる通信妨害処理については後述する。
Furthermore, since the
[4.検疫対象端末装置3]
検疫対象端末装置3は、TCP/IPによるネットワーク通信をサポートするOSがインストールされたコンピュータに、当該コンピュータの内部状態を所定の検査ポリシーに従って検査するためのエージェントコンピュータプログラムP2をインストールして構成されている。
本システムのネットワーク内の検疫対象端末装置3及びその他の端末装置7,8には、WindowsVistaやWindowsServer2008等のVista系OSを有する端末装置と、WindowsXPなどの非Visita系OSを有する端末装置とか混在している。ただし、端末装置のOSは、上記したものに限定されるわけではない。なお、Windows、WindowsVista、及びVistaは登録商標であり、以下同様である。
[4. Quarantine target terminal device 3]
The quarantine
The quarantine
図5は、エージェントコンピュータプログラムP2がコンピュータによって実行されることで、当該コンピュータが発揮する検疫対象端末装置3としての様々な機能(エージェントとしての機能)を示している。
図5に示すように、検疫対象端末装置3は、検査制御部310、検査ポリシー受信部320、検査部330、及び誤学習処理部340を備えている。
FIG. 5 shows various functions (functions as an agent) as the quarantine
As illustrated in FIG. 5, the quarantine
検査制御部310は、検疫対象端末装置3が、所定の検査ポリシーに従って検査するタイミング等の検査処理に関する制御を行う。検査は、例えば、定期的又は必要に応じて随時行われる。
検査ポリシー受信部320は、予め検疫管理サーバ4から検査ポリシーを取得する。なお、検査ポリシー受信部320は、検査を行うときに、検査ポリシーを取得してもよい。また、検査時に検疫対象端末装置3と検疫管理サーバ4が直接通信を行う必要はない。
The
The inspection
検査部330は、所定の検査ポリシー(検疫ポリシー)に従って、エージェントコンピュータプログラムP2がインストールされたコンピュータ(検疫対象端末装置3)の内部状態の検査を行う。
The
検査ポリシーとしては、例えば、エージェントコンピュータプログラムP2が最新かどうか、エージェントから検疫管理サーバ4へインベントリ送信が行われているかどうか、OSの自動ログオン設定が無効になっているかどうか、OSのスクリーンセーバ設定及びパスワードロックが有効になっているかどうか、管理者により指定されたソフトウェアが検疫対象端末装置3にインストールされているかどうか、管理者により使用禁止に指定されているソフトウェアが検疫対象端末装置3にインストールされていないかどうか、ウィルス対策ソフトウェアのリアルタイムスキャン機能が有効になっているかどうか、ウィルス対策ソフトウェア・当該ソフトウェアのエンジン及び当該ソフトウェアのパターンファイルがそれぞれ最新かどうか、OSのUpdateが実施されているかどうか、最新のOS月例パッチが適用されているかどうか、検疫対象端末装置3上の指定のファイルが存在するかどうか(或いは存在しないかどうか)、検疫対象端末装置3の指定のOSレジストリ・キーが存在するかどうか(或いは存在しないかどうか)、が挙げられる。
The inspection policy includes, for example, whether or not the agent computer program P2 is the latest, whether or not inventory transmission from the agent to the
検疫対象端末装置3における検査部330の検査実行部331は、前記検査ポリシーに従って、検疫対象端末装置3の内部状態の検査を行う。この検査は、定期的又は必要に応じて随時行われる。
The
前記検査部330は、検疫制御装置2からエージェントpingをネットワーク経由で受信するエージェントping受信部(検査結果送信要求受信部)332と、検査結果からエージェントping応答を生成するエージェントping応答生成部333と、エージェントpingを受信するとエージェントping応答を前記検疫制御装置2へ送信するエージェントping応答送信部(検査結果送信部)334を備えている。
エージェントping応答送信部334は、エージェントping応答として、前記検査結果(端末情報)の他、端末IPアドレス、MACアドレス、エージェントID、及びOS情報を送信する。つまり、エージェントping応答送信部は、エージェントが搭載されている端末装置が有するOSの種別を送信する手段でもある。
The
The agent ping
検疫対象端末装置3の検査部330は、検疫制御装置2に対し、エージェントpingの送信開始を積極的に要求するエージェントping開始要求送信部(開始要求送信部)335を有している。検疫対象端末装置3は、一度、エージェントpingを受信すると、当該エージェントpingから検疫制御装置2のMACアドレス及びIPアドレスを取得することができるので、それ以降は、検疫対象端末装置3から、エージェントping送信開始の要求を、検疫制御装置2に対して行うことができる。
The
エージェントping送信開始の要求は、例えば、検疫対象端末装置3が自らを検査したときに、その結果が前回の検査結果と異なる度に行うことができる。検疫対象端末装置3が、積極的に、エージェントping送信開始の要求を行うことで、検査結果が変化した場合、直ちに、検疫制御装置2に結果変化を把握させることができる。
For example, when the quarantine
誤学習処理部340は、検疫制御装置2から第1端末情報テーブル230aの内容を受信するための端末情報受信部341と、ARPテーブルを操作して端末装置(に搭載されたOS)に妨害対象端末装置のMACアドレスを誤学習させるためのARPテーブル操作部342とを備えている。エージェントによる誤学習処理については後述する。
The
[5.検疫管理サーバ4]
検疫管理サーバ(検疫管理コンピュータ)4は、TCP/IPによるネットワーク通信をサポートするOSがインストールされたコンピュータに、検疫管理コンピュータプログラムP3をインストールして構成されている。
[5. Quarantine management server 4]
The quarantine management server (quarantine management computer) 4 is configured by installing a quarantine management computer program P3 on a computer in which an OS supporting network communication by TCP / IP is installed.
図6は、検疫管理コンピュータプログラムP3がコンピュータによって実行されることで、当該コンピュータが発揮する検疫管理サーバ4としての様々な機能を示している。
図6に示すように、検疫管理サーバ4は、テーブル生成部410、テーブル送信部420、検査ポリシー生成部430、及び検査ポリシー送信部440を備えている。
FIG. 6 shows various functions as the
As illustrated in FIG. 6, the
テーブル生成部410は、管理者が、第2端末情報テーブル230b(許可端末情報テーブル233、禁止端末情報テーブル234、例外情報テーブル235)及び静的リストテーブル263の生成及び/又は管理を行うためのものである。
テーブル送信部420は、生成された第2端末情報テーブル230b及び静的リストテーブル263を検疫制御装置2へ送信するためのものである。
The
The
検査ポリシー生成部430は、管理者が、検査ポリシーの生成及び/又は管理を行うためのものである。
検査ポリシー送信部440は、生成された検査ポリシーを検疫対象端末装置2へ送信するためのものである。
The inspection
The inspection
[6.検疫システムにおける各種処理]
[6.1 ARP:Address Resolution Protocol]
検疫制御装置2及び検疫対象端末装置3に搭載されたOSがサポートするTCP/IPにおけるプロトコルの一つとしてARP(Address Resolution Protocol;アドレス解決プロトコル)がある。このARPは、ある端末装置のIPアドレスから、当該端末装置のMACアドレスを取得するためのプロトコルである。ARPは、OSがサポートする機能であるが、検疫システム1において用いられるため、以下で説明する。
[6. Various processes in the quarantine system]
[6.1 ARP: Address Resolution Protocol]
One of the TCP / IP protocols supported by the OS installed in the
図7は、ARPの概要シーケンスを示している。ここでは、図7に示すIPアドレス及びMACアドレスを有する端末A及び端末Bを想定する。図7は、端末Aが、端末BのIPアドレスから端末BのMACアドレスを取得する過程を示している。なお、端末Aは、端末BのIPアドレスをDNSなどから予め取得しているものとする。 FIG. 7 shows an outline sequence of ARP. Here, terminal A and terminal B having the IP address and the MAC address shown in FIG. 7 are assumed. FIG. 7 shows a process in which the terminal A acquires the MAC address of the terminal B from the IP address of the terminal B. It is assumed that terminal A has previously acquired the IP address of terminal B from DNS or the like.
まず、端末Aは、自分のARPテーブルに端末Bに関するエントリがあるかどうかを確認する。エントリがなければ、端末BのMACアドレスを取得するため、ARP要求パケットを載せたイーサフレームをネットワークにブロードキャストする(ステップS1−1)。 First, terminal A checks whether there is an entry for terminal B in its ARP table. If there is no entry, in order to acquire the MAC address of the terminal B, an Ethernet frame carrying an ARP request packet is broadcast to the network (step S1-1).
端末Bを含む同一ネットワークセグメント内の全端末は、(端末Aからの)ARP要求パケットを受信した時点で、自身のARPテーブルに送信元(=端末A)のIPアドレス及びMACアドレスをエントリする。このエントリは、端末Aとの間の通信が一定時間なければ削除される。なお、すでに端末Aがエントリされていた場合は、MACアドレスを最新の情報に上書きする(ステップS1−2)。 All terminals in the same network segment including terminal B enter the IP address and MAC address of the transmission source (= terminal A) in their ARP table when receiving the ARP request packet (from terminal A). This entry is deleted if there is no communication with terminal A for a certain time. If terminal A has already been entered, the MAC address is overwritten with the latest information (step S1-2).
ARPを要求されている端末(=端末B)は、送信元情報に自身のIPアドレス及びMACアドレスを設定したARP応答パケットを作成し、当該ARP応答パケットを元々の送信元(=端末A)に対して送信する(ステップS1−3)。 The terminal that is requested for ARP (= terminal B) creates an ARP response packet in which its own IP address and MAC address are set in the transmission source information, and sends the ARP response packet to the original transmission source (= terminal A). It transmits to (step S1-3).
端末Aは、(端末Bからの)ARP応答パケットを受信した時点で、自身のARPテーブルに送信元(=端末B)のIPアドレス及びMACアドレスをエントリする(ステップS1−4)。
以上によって、ある端末Aが、ネットワーク上の他の端末BのMACアドレスを取得することができる。
When the terminal A receives the ARP response packet (from the terminal B), the terminal A enters the IP address and MAC address of the transmission source (= terminal B) in its ARP table (step S1-4).
As described above, a certain terminal A can acquire the MAC address of another terminal B on the network.
[6.2 ARP要求パケット監視処理]
図8及び図9は、検疫制御装置2の通信監視部250がネットワーク上を流れるARPパケットを監視・補捉し、通信妨害部260による通信の妨害の要否を、判定部220が判定する処理の流れを示している。
[6.2 ARP request packet monitoring processing]
8 and 9 show a process in which the
検疫制御装置2の通信監視部(ARP要求監視部)250は、ネットワーク上を流れるブロードキャストARP要求パケットを補捉するARP要求補捉部251を備えている(図3参照)。このARP要求補捉部251が、ブロードキャストARP要求パケットを受信すると(ステップS2−1)、通信監視部250のARP要求解析部252が受信したARP要求パケットから、そのパケットの送信元IPアドレス及びMACアドレス、そして送信先IPアドレスをそれぞれ取得する(ステップS2−2)。なお、ARP要求パケットから、送信先MACアドレスを知ることはできない。
The communication monitoring unit (ARP request monitoring unit) 250 of the
ARP要求解析部252が、送信元情報及び送信先情報を取得すると、送信元確認処理(ステップS2−3)、及び送信先確認処理(ステップS2−4,S2−5)が、検疫制御装置2の判定部220等によって行われ、ARP要求パケットの送信元及び送信先のそれぞれについて通信の妨害が必要か否か判定され、必要であれば妨害処理が行われる。
When the ARP
また、判定部220は、端末情報テーブル230を用いた判定を行う第1判定部220aと、エージェントpingを用いた判定を行う第2判定部220bを備えており、送信元確認処理と送信先確認処理では、それぞれの判定部220a,220bによる判定が行われる。
なお、送信先確認処理としては、送信先IPアドレス確認処理(ステップS2−4)と、送信先MACアドレス確認処理(ステップS2−5)が行われる。
The
As the destination confirmation process, a destination IP address confirmation process (step S2-4) and a destination MAC address confirmation process (step S2-5) are performed.
[6.2.1 送信元確認処理(ステップS2−3)]
送信元確認処理では、まず、第1判定部220aが、ARP要求パケットの送信元IPアドレス又はMACアドレスが、禁止端末情報テーブル234に登録されているかどうかを確認する(ステップS2−3−1)。すなわち、送信元が禁止端末であるか否かを判定する。
登録されていれば、ステップS2−3−7に進み、登録されていなければステップS2−3−2に進む。
[6.2.1 Source Confirmation Process (Step S2-3)]
In the transmission source confirmation process, first, the
If registered, the process proceeds to step S2-3-7, and if not registered, the process proceeds to step S2-3-2.
ステップS2−3−2では、ARP要求パケットの送信元IPアドレス又はMACアドレスに基づいて、その送信元が、第1端末情報テーブル230aにおいて隔離端末として登録されているかどうかを第1判定部220aが確認する。
隔離端末として登録されていれば、ステップS2−3−7に進み、登録されていなければ、ステップS2−3−3に進む。
In step S2-3-2, the
If it is registered as a quarantine terminal, the process proceeds to step S2-3-7. If it is not registered, the process proceeds to step S2-3-3.
ステップS2−3−3では、ARP要求パケットの送信元IPアドレス又はMACアドレスが、許可端末情報テーブル233に登録されているかどうかを第1判定部220aが確認する。すなわち、送信元が許可端末であるか否かを判定する。
登録されていれば、ステップS2−4−1(送信先IPアドレス確認処理)に進み、送信元に対する妨害処理は行わない。登録されていなければ、ステップS2−3−4へ進む。
In step S2-3-3, the
If registered, the process proceeds to step S2-4-1 (destination IP address confirmation processing), and no interference processing is performed on the transmission source. If not registered, the process proceeds to step S2-3-4.
ステップS2−3−4では、ARP要求パケットの送信元IPアドレス又はMACアドレスに基づいて、その送信元が、第1端末情報テーブル230aにおいて合格端末として登録されているかどうかを第1判定部220aが確認する。
合格端末として登録されていれば、ステップS2−4−1(送信先IPアドレス確認処理)に進み、送信元に対する妨害処理は行わない。登録されていなければ、ステップS2−3−5へ進む。
In step S2-3-4, based on the transmission source IP address or MAC address of the ARP request packet, the
If it is registered as a passing terminal, the process proceeds to step S2-4-1 (transmission destination IP address confirmation processing), and the interference processing for the transmission source is not performed. If not registered, the process proceeds to step S2-3-5.
処理がステップS2−3−5に来た場合、送信元は、端末情報テーブル230に登録されていない、検疫制御装置2にとって未知の端末装置であったと判定されたことになる。
そこで、ステップS2−3−5では、未知の送信元に対して、エージェントpingを行って、通信妨害すべきか否かを判定するのに必要な送信元(端末装置)の検査結果の取得を試みる。なお、ステップS2−3−5の処理の詳細については後述する。
When the process comes to step S2-3-5, it is determined that the transmission source is a terminal device that is not registered in the terminal information table 230 and is unknown to the
Therefore, in step S2-3-5, an agent ping is performed on an unknown transmission source, and an attempt is made to acquire the inspection result of the transmission source (terminal device) necessary to determine whether communication should be interrupted. . Details of the processing in step S2-3-5 will be described later.
ARP要求パケットの送信元に対してエージェントpingを行った結果は、第2判定部220bによって判定される。判定結果が、隔離判定であればステップS2−3−7へ進み、合格判定であればステップS2−4−1(送信先IPドレス確認処理)に進み、送信元に対する妨害処理は行わない。
The result of performing the agent ping on the transmission source of the ARP request packet is determined by the
ステップS2−3−7では、検疫制御装置2の通信妨害部260によって疑似ARP応答パケットを送信する処理が行われる。この処理を行うため、通信妨害部260は、疑似ARP応答送信部261と、疑似ARP応答送信管理部262を備えている。
In step S2-3-7, a process of transmitting a pseudo ARP response packet is performed by the
図28に示すように、疑似ARP応答送信部261は、疑似ARP応答パケットをブロードキャスト送信する第1疑似ARP応答送信部261aと、疑似ARP応答パケットをユニキャスト送信する第2疑似ARP応答送信部261cと、疑似ARP応答パケットをユニキャスト送信する対象となる端末装置(誤学習不能端末装置)を識別する識別部261bと、を備えている。
As illustrated in FIG. 28, the pseudo ARP
疑似ARP応答送信部261において生成される疑似ARP応答パケットは、アドレス部分が図10(a)(b)に示すように設定されたARP応答パケットとして生成される。
図10(a)(b)に示される疑似ARP応答パケットは、いずれも、「送信元IPアドレス」としてARP要求パケットの送信元端末(妨害対象端末装置)のIPアドレスが設定され、「送信元MACアドレス」として検疫制御装置2のMACアドレス(偽MACアドレス)が設定される。
ここで、第1疑似ARP応答送信部261aにおいて生成される疑似ARP応答パケットは、図10(a)に示すように、ブロードキャスト送信用であり、疑似ARP応答パケットの「送信先IPアドレス」及び「送信先MACアドレス」としては、それぞれブロードキャストアドレスが設定される。したがって、疑似ARP応答パケットは、ネットワークに対してブロードキャスト送信される。
一方、第2疑似ARP応答送信部261cにおいて生成される疑似ARP応答パケットは、図10(b)に示すように、第1疑似ARP応答送信部261aによってブロードキャスト送信された疑似ARP応答パケットでは、妨害対象端末装置のMACアドレスを誤学習させることができない誤学習不能端末装置(Vista系OSを有する端末装置)に対してユニキャスト送信されるものである。したがって、図10(b)では、疑似ARP応答パケットの「送信先IPアドレス」及び「送信先MACアドレス」としては、それぞれ誤学習不能端末装置であるVista系OS端末装置のIPアドレス及びMACアドレスが設定される。
The pseudo ARP response packet generated by the pseudo ARP
In each of the pseudo ARP response packets shown in FIGS. 10A and 10B, the IP address of the transmission source terminal (disturbance target terminal device) of the ARP request packet is set as the “transmission source IP address”. The MAC address (fake MAC address) of the
Here, the pseudo ARP response packet generated by the first pseudo ARP
On the other hand, as shown in FIG. 10B, the pseudo ARP response packet generated by the second pseudo ARP
通信妨害の際には、第1疑似ARP応答送信部261aが、図10(a)の疑似ARP応答パケットをブロードキャスト送信するとともに、第2疑似ARP応答送信部261cが、図10(b)の疑似ARP応答パケットを、Vista系OSを有する端末装置に送信する。
これにより、ARP要求パケットの送信元端末(妨害対象端末装置)が通信する可能性のある通信相手の端末装置に対して、送信元端末のMACアドレスを誤って学習させる結果となる。つまり、非Vista系OSを有する端末装置であれば、図10(a)のブロードキャスト疑似ARP応答パケットによって妨害対象端末装置のMACアドレスを誤学習し、Vista系OSを有する端末装置であれば、図10(b)のユニキャスト疑似ARP応答パケットによって妨害対象端末装置のMACアドレスを誤学習する。
When communication is interrupted, the first pseudo ARP
As a result, the MAC address of the transmission source terminal is erroneously learned by the communication partner terminal device with which the transmission source terminal (disturbance target terminal device) of the ARP request packet may communicate. In other words, if the terminal device has a non-Vista-based OS, the MAC address of the terminal device to be disturbed is erroneously learned by the broadcast pseudo ARP response packet of FIG. 10A, and if the terminal device has a Vista-based OS, The MAC address of the terminal device to be disturbed is erroneously learned by the 10 (b) unicast pseudo ARP response packet.
そのため、前記通信相手の端末装置から送信された送信元端末向けのパケットはすべて送信先として検疫制御装置2のMACアドレスが誤って設定されることになる。ARP要求パケットの送信元端末では、MACアドレスが誤っているのでパケットを受信できなくなる。 一方、ARP要求パケットの送信元端末向けのパケットは、MACアドレスが検疫制御装置2のものであるから、すべて検疫制御装置2で受信可能である。検疫制御装置2は、このような自己のMACアドレスが送信先に設定されたパケットを収集、破棄する。よって、ARP要求パケットの送信元端末(妨害対象端末装置)とその相手先の通信を妨害することができる。
しかも、検疫制御装置2は、妨害処理として、疑似ARP「応答」パケットを送るので、他の端末装置3からのARP応答パケットを受ける必要がなく、通信負荷の増加を避けることができる。
なお、この妨害処理の更なる詳細については、後述する。
Therefore, the MAC address of the
In addition, since the
Further details of the interference process will be described later.
ステップS2−3−7の疑似ARP応答送信が終了すると、送信元確認処理(ステップS2−3)は終了し、送信先IPアドレス確認処理S2−4に移行する。 When the pseudo ARP response transmission in step S2-3-7 ends, the transmission source confirmation process (step S2-3) ends, and the process proceeds to the transmission destination IP address confirmation process S2-4.
[6.2.2 送信先IPアドレス確認処理(ステップS2−4)]
送信先IPアドレス確認処理では、まず、第1判定部220aが、ARP要求パケットの送信先IPアドレスが、禁止端末情報テーブル234に登録されているかどうかを確認する(ステップS2−4−1)。すなわち、送信先が禁止端末であるか否かを判定する。
登録されていれば、ステップS2−6に進み、登録されていなければステップS2−4−2に進む。
[6.2.2 Destination IP Address Confirmation Process (Step S2-4)]
In the transmission destination IP address confirmation process, first, the
If registered, the process proceeds to step S2-6, and if not registered, the process proceeds to step S2-4-2.
ステップS2−4−2では、ARP要求パケットの送信先IPアドレスに基づいて、送信先が、第1端末情報テーブル230aにおいて、隔離端末として登録されているかどうかを第1判定部220aが確認する。
登録されていれば、ステップS2−6に進み、登録されていなければ、ステップS2−4−3に進む。
In step S2-4-2, based on the transmission destination IP address of the ARP request packet, the
If registered, the process proceeds to step S2-6, and if not registered, the process proceeds to step S2-4-3.
ステップS2−4−3では、ARP要求パケットの送信先IPアドレスが、許可端末情報テーブル233に登録されているかどうかを第1判定部220aが確認する。すなわち、送信先が許可端末であるか否かを判定する。
登録されていれば、送信先に対する妨害処理が不要であるのでARP要求パケット監視処理を終了する。登録されていなければ、ステップS2−4−4へ進む。
In step S2-4-3, the
If it is registered, the ARP request packet monitoring process is terminated because the disturbance process for the transmission destination is unnecessary. If not registered, the process proceeds to step S2-4-4.
ステップS2−4−4では、ARP要求パケットの送信先IPアドレスに基づいて、送信先が、第1端末情報テーブル230aにおいて、合格端末として登録されているかどうかを第1判定部220aが確認する。
登録されていれば、送信先に対する妨害処理が不要であるのでARP要求パケット監視処理を終了する。登録されていなければ、ステップS2−4−5へ進む。
In step S2-4-4, based on the transmission destination IP address of the ARP request packet, the
If it is registered, the ARP request packet monitoring process is terminated because the disturbance process for the transmission destination is unnecessary. If not registered, the process proceeds to step S2-4-5.
処理がステップS2−4−5に来た場合、送信先は、端末情報テーブル230に登録されていない、検疫制御装置2にとって未知の端末装置であったと判定されたことになる。
そこで、ステップS2−4−5では、未知の送信先に対して、図11に示すARP要求パケットを送信する。ステップS2−4−5の処理は、検疫制御装置2の未登録端末装置処理部290(図3参照)が行う。未登録端末装置処理部290は、ARP要求送信部291を備えており、このARP要求送信部291は、未知の送信先のMACアドレスを得るため、図11に示すようにアドレス設定したARP要求パケットをブロードキャスト送信する。
When the process comes to step S2-4-5, it is determined that the transmission destination is a terminal device that is not registered in the terminal information table 230 and is unknown to the
Therefore, in step S2-4-5, the ARP request packet shown in FIG. 11 is transmitted to the unknown transmission destination. The process of step S2-4-5 is performed by the unregistered terminal apparatus processing unit 290 (see FIG. 3) of the
検疫制御装置2は、図11の前記ARP要求パケットを送信した後、ARP要求パケットに対するARP応答パケットを一定期間待つ(ステップS2−4−6)。検疫制御装置2が、一定期間待っても、ARP応答パケットを受信しなかった場合は、ARP要求パケット監視処理を終了し、一定期間内にARP応答パケットを受信すれば、ステップS2−4−8に進む。
After transmitting the ARP request packet of FIG. 11, the
ステップS2−4−6において、ARP応答パケットを受信した場合、検疫制御装置2は、当該ARP応答パケットから、未知の送信先のMACアドレスを取得し(ステップS2−4−8)、送信先MACアドレス確認処理S2−5へ移行する。
In step S2-4-6, when the ARP response packet is received, the
[6.2.3 送信先MACアドレス確認処理(ステップS2−5)]
送信先MACアドレス確認処理では、まず、第1判定部220aが、ARP要求パケットの送信先MACアドレスが、禁止端末情報テーブル234に登録されているかどうかを確認する(ステップS2−5−1)。すなわち、送信先が禁止端末であるか否かを判定する。
登録されていれば、ステップS2−6に進み、登録されていなければステップS2−5−2に進む。
[6.2.3 Destination MAC Address Confirmation Process (Step S2-5)]
In the transmission destination MAC address confirmation process, first, the
If registered, the process proceeds to step S2-6, and if not registered, the process proceeds to step S2-5-2.
ステップS2−5−2では、ARP要求パケットの送信先MACアドレスに基づいて、送信先が、第1端末情報テーブル230aにおいて、隔離端末として登録されているかどうかを第1判定部220aが確認する。
登録されていれば、ステップS2−6に進み、登録されていなければ、ステップS2−5−3に進む。
In step S2-5-2, based on the transmission destination MAC address of the ARP request packet, the
If registered, the process proceeds to step S2-6, and if not registered, the process proceeds to step S2-5-3.
ステップS2−5−3では、ARP要求パケットの送信先MACアドレスが、許可端末情報テーブル233に登録されているかどうかを第1判定部220aが確認する。すなわち、送信先が許可端末であるか否かを判定する。
登録されていれば、送信先に対する妨害処理を行う必要がないので、ARP要求パケット監視処理を終了する。登録されていなければ、ステップS2−5−4へ進む。
In step S2-5-3, the
If it is registered, it is not necessary to perform the disturbing process for the transmission destination, so the ARP request packet monitoring process is terminated. If not registered, the process proceeds to step S2-5-4.
ステップS2−5−4では、ARP要求パケットの送信先MACアドレスに基づいて、送信先が、第1端末情報テーブル230aにおいて、合格端末として登録されているかどうかを第1判定部220aが確認する。
登録されていれば、送信先に対する妨害処理を行う必要がないので、ARP要求パケット監視処理を終了する。登録されていなければ、ステップS2−5−5へ進む。
In step S2-5-4, based on the transmission destination MAC address of the ARP request packet, the
If it is registered, it is not necessary to perform the disturbing process for the transmission destination, so the ARP request packet monitoring process is terminated. If not registered, the process proceeds to step S2-5-5.
処理がステップS2−5−5に来た場合、送信先は、端末情報テーブル230にIPアドレスもMACアドレスも登録されていない、検疫制御装置2にとって未知の端末装置であったと判定されたことになる。
そこで、ステップS2−5−5では、未知の送信先に対して、エージェントpingを行って、通信妨害すべきか否かを判定するのに必要な送信先(端末装置)の検査結果の取得を試みる。なお、ステップS2−5−5の処理の詳細については後述する。
When the processing has come to step S2-5-5, it is determined that the transmission destination is a terminal device that is not registered in the terminal information table 230 and is unknown to the
Therefore, in step S2-5-5, an agent ping is performed on an unknown destination, and an attempt is made to acquire the inspection result of the destination (terminal device) necessary to determine whether or not communication should be interrupted. . Details of the processing in step S2-5-5 will be described later.
ARP要求パケットの送信先に対してエージェントpingを行った結果は、第2判定部220bによって判定される。判定結果が、隔離判定であればステップS2−6へ進み、合格判定であれば、送信先に対する妨害処理を行う必要がないので、ARP要求パケット監視処理を終了する。
The result of performing the agent ping on the transmission destination of the ARP request packet is determined by the
ステップS2−6では、通信妨害部260の疑似ARP応答送信部261によって疑似ARP応答パケットを送信する処理が行われる。
In step S2-6, the pseudo ARP
ここで送信される疑似ARP応答パケットは、アドレス部分が図12(a)(b)に示すように設定されたARP応答パケットとして生成される。図12(a)が第1疑似ARP応答送信部261aによって生成されるブロードキャスト疑似ARP応答パケットであり、図12(b)が第2疑似ARP応答送信部261cによって生成されるユニキャスト疑似ARP応答パケットである。
これらの疑似ARP応答パケットでは、「送信元IPアドレス」としてARP要求パケットの送信先端末(妨害対象端末装置)のIPアドレスが設定され、疑似ARP応答パケットの「送信元MACアドレス」として検疫制御装置2のMACアドレス(偽MACアドレス)が設定される。
図12(a)の疑似ARP応答パケットの場合、「送信先IPアドレス」及び「送信先MACアドレス」としては、それぞれブロードキャストアドレスが設定される。したがって、疑似ARP応答パケットは、ネットワークに対してブロードキャスト送信される。
一方、第2疑似ARP応答送信部261cにおいて生成される疑似ARP応答パケットは、図12(b)に示すように、誤学習不能端末装置(Vista系OSを有する端末装置)に対してユニキャスト送信されるものである。したがって、図12(b)では、疑似ARP応答パケットの「送信先IPアドレス」及び「送信先MACアドレス」としては、それぞれ誤学習不能端末装置であるVista系OS端末装置のIPアドレス及びMACアドレスが設定される。
The pseudo ARP response packet transmitted here is generated as an ARP response packet whose address portion is set as shown in FIGS. FIG. 12A shows a broadcast pseudo ARP response packet generated by the first pseudo ARP
In these pseudo ARP response packets, the IP address of the transmission destination terminal (disturbance target terminal device) of the ARP request packet is set as the “source IP address”, and the quarantine control device is set as the “source MAC address” of the pseudo ARP response packet. 2 MAC address (false MAC address) is set.
In the case of the pseudo ARP response packet in FIG. 12A, broadcast addresses are set as the “destination IP address” and “destination MAC address”, respectively. Therefore, the pseudo ARP response packet is broadcasted to the network.
On the other hand, the pseudo ARP response packet generated by the second pseudo ARP
通信妨害の際には、第1疑似ARP応答送信部261aが、図12(a)の疑似ARP応答パケットをブロードキャスト送信するとともに、第2疑似ARP応答送信部261cが、図12(b)の疑似ARP応答パケットを、Vista系OSを有する端末装置に送信する。
これにより、ARP要求パケットの送信先端末(妨害対象端末装置)が通信する可能性のある通信相手の端末装置に対して、送信先端末のMACアドレスを誤って学習させる結果となる。
When communication is interrupted, the first pseudo ARP
As a result, the MAC address of the transmission destination terminal is erroneously learned by the communication partner terminal apparatus with which the transmission destination terminal (disturbance target terminal apparatus) of the ARP request packet may communicate.
そのため、前記通信相手の端末装置から送信された送信先端末向けのパケットはすべて送信先として検疫制御装置2のMACアドレスが誤って設定されることになる。ARP要求パケットの送信先端末では、MACアドレスが誤っているのでパケットを受信できなくなる。
一方、ARP要求パケットの送信先端末向けのパケットは、MACアドレスが検疫制御装置2のものであるから、すべて検疫制御装置2で受信可能である。検疫制御装置2は、このような自己のMACアドレスが送信先に設定されたパケットを収集、破棄する。よって、ARP要求パケットの送信先端末(妨害対象端末装置)とその相手先の通信を妨害することができる。
しかも、検疫制御装置2は、妨害処理として、疑似ARP「応答」を送るので、他の端末装置3からのARP応答パケットを受ける必要がなく、通信負荷の増加を避けることができる。
なお、この妨害処理の更なる詳細については、後述する。
Therefore, the MAC address of the
On the other hand, since the MAC address of the ARP request packet destined for the destination terminal is that of the
In addition, since the
Further details of the interference process will be described later.
ステップS2−6の疑似ARP応答送信が終了すると、ARP要求パケット監視処理は終了する。 When the pseudo ARP response transmission in step S2-6 ends, the ARP request packet monitoring process ends.
[6.2.4 エージェントping実行処理(ステップS2−3−5,S2−5−5等)]
図13は、エージェントping実行処理を示している。エージェントping実行処理では、まず、エージェントping送信部211が、隔離すべきかどうかの判断の対象である端末装置(のエージェントコンピュータプログラムP2)に向けて、エージェントpingを送信する(ステップS3−1)。
[6.2.4 Agent ping execution process (steps S2-3-5, S2-5-5, etc.)]
FIG. 13 shows an agent ping execution process. In the agent ping execution process, first, the agent
エージェントping応答受信部213は、端末装置のエージェントコンピュータプログラムP2からの応答(エージェントping応答)を一定期間待つ(ステップS3−2)。一定期間内に応答があればステップS3−3に進み、一定期間待っても応答が無い場合にはステップS3−7に進む。
The agent ping
ステップS3−2で受信したエージェントping応答パケットが正常であれば、ステップS3−4に進む。エージェントping応答が不正であれば、ステップS3−7へ進む。 If the agent ping response packet received in step S3-2 is normal, the process proceeds to step S3-4. If the agent ping response is invalid, the process proceeds to step S3-7.
エージェントping応答受信部213が受信した、エージェントping応答は、判定部220の第2判定部220b(図3参照)によって、隔離すべきか否か判定される。第2判定部220bは、エージェントping応答に含まれる「検査結果」を確認することで、隔離すべきか否かを判定する(ステップS3−4)。
受信した検査結果が、「合格」を示している場合には、ステップS3−5へ進み、「隔離」(=「不合格」)を示している場合には、ステップS3−7へ進む。
The agent ping response received by the agent ping
If the received inspection result indicates “pass”, the process proceeds to step S3-5, and if it indicates “isolation” (= “fail”), the process proceeds to step S3-7.
ステップS3−5では、第1テーブル更新部241が、エージェントping応答を送信してきた検疫対象端末装置3を、合格端末として、第1端末情報テーブル230aに登録し、ステップS3−6へ進む。なお、ステップS3−5において、第1端末情報テーブル230aに登録しようとする端末装置が、既に第1端末情報テーブル230aに合格端末として登録されている場合には、最新の情報で第1端末情報テーブル230aを上書きする。
In step S3-5, the first
処理がステップS3−6に来ると、第2判定部220bは、エージェントping応答を送信してきた検疫対象端末装置3は、「合格」であると判定し、エージェントping実行処理を終了する。
When the process comes to step S3-6, the
ステップS3−7では、第1テーブル更新部241が、エージェントping応答を送信してきた検疫対象端末装置3を、隔離端末として、第1端末情報テーブル230aに登録し、ステップS3−8へ進む。なお、ステップS3−7において、第1端末情報テーブル230aに登録しようとする端末装置が、既に第1端末情報テーブル230aに隔離端末として登録されている場合には、最新の情報で第1端末情報テーブル230aを上書きする。
In step S3-7, the first
処理がステップS3−8に来ると、第2判定部220bは、エージェントping応答を送信してきた検疫対象端末装置3は、「隔離」であると判定し、エージェントping実行処理を終了する。
When the process comes to step S3-8, the
[6.2.4.1 エージェントpingプロトコル]
図14は、エージェントpingプロトコルのシーケンスと、エージェントpingのデータ構造を示している。
なお、ここでは、検疫制御装置2が送出するエージェントpingを、「エージェントping要求」というものとする。
[6.2.4.1 Agent ping protocol]
FIG. 14 shows the sequence of the agent ping protocol and the data structure of the agent ping.
Here, the agent ping sent by the
エージェントpingパケットの実体は、通常のIPパケットのデータ部に、後述のタイプや検査結果(チェック結果)等の必要な情報を格納したものである。 The entity of the agent ping packet is obtained by storing necessary information such as the type and inspection result (check result) described later in the data part of a normal IP packet.
エージェントpingパケットには、エージェントping要求パケット(ステップS4−2)、エージェントping応答パケット(ステップS4−3)、及びエージェントping開始要求パケット(ステップS4−1)の計3種類がある。
これら3つのパケットを区別するため、エージェントpingは、そのデータ構造として「タイプ」というフラグ値領域を有している。図15に示すように、タイプには、「要求」「応答」「開始要求」の3種類を示す情報があり、いずれかの情報がエージェントpingパケットの「タイプ」領域に格納される。
There are three types of agent ping packets: an agent ping request packet (step S4-2), an agent ping response packet (step S4-3), and an agent ping start request packet (step S4-1).
In order to distinguish these three packets, the agent ping has a flag value area of “type” as its data structure. As shown in FIG. 15, the type includes information indicating three types of “request”, “response”, and “start request”, and any of the information is stored in the “type” area of the agent ping packet.
なお、図14に示すエージェントpingデータ構造のうち、プロトコルバージョンは、エージェントpingプロトコルのバージョン情報を示す。
また、エージェントping応答には、プロトコルバージョン及びタイプ以外に、検査結果に関する情報、及び、エージェントが搭載された端末装置が有するOSの種別を示す情報(OS情報)が含まれる。
In the agent ping data structure shown in FIG. 14, the protocol version indicates version information of the agent ping protocol.
In addition to the protocol version and type, the agent ping response includes information on the inspection result and information (OS information) indicating the type of OS included in the terminal device on which the agent is installed.
図14に示すように、検査結果に関する情報には、エージェントID、チェック結果(検査結果)、ポリシーファイル更新日時が含まれる。エージェントIDは、エージェントコンピュータプログラムP2の識別子であり、任意長のASCII文字列によって構成されている。チェック結果は、検疫対象端末装置3による検査結果を示すフラグ値であり、図16に示すように「合格」と「隔離」を示す情報があり、いずれかの情報が「チェック結果」領域に格納される。ポリシーファイル更新日時は、検査に用いた検査ポリシーの更新日時を示したものである。
なお、エージェントpingには、通常のパケットと同様に、送信元及び送信先のIPアドレス及びMACアドレスが格納されている。
As illustrated in FIG. 14, the information regarding the inspection result includes an agent ID, a check result (inspection result), and a policy file update date and time. The agent ID is an identifier of the agent computer program P2 and is composed of an arbitrary length ASCII character string. The check result is a flag value indicating an inspection result by the quarantine
Note that the agent ping stores the IP address and MAC address of the transmission source and the transmission destination in the same way as a normal packet.
[6.2.4.2 エージェントping開始要求]
エージェントpingは、検疫制御装置2が定期的に実施するものである。しかしそれだけでは、検疫対象端末装置3が定期的に又は必要時に行う検査の結果が、前回値と異なった場合(隔離すべき状態から合格の状態に遷移した場合、又は合格の状態から隔離すべき状態に遷移した場合)、検疫制御装置2は、それに応じた検疫制御の変更を瞬時に行うことができない。
[6.2.4.2 Agent ping start request]
The agent ping is regularly executed by the
そのため、検疫対象端末装置3は、このような検査結果の変化が起きた場合、またはその他必要な場合に、検疫制御装置2に対して、エージェントpingの送信開始を要求することができる。
特に、検疫対象端末装置3において、エージェントコンピュータプログラムP2が起動した時、及び、検疫対象端末装置3の利用者が、エージェントコンピュータプログラムP2に対して、検査の実施を要求し、その検査が終了した時には、必ず、エージェントping開始要求送信部335は、エージェントping開始要求を行う。図17は、このエージェントping開始要求のシーケンスを示している。
Therefore, the quarantine
In particular, in the quarantine
[6.3 合格端末に対する定期的なエージェントping実行処理]
図18に示すように、検疫制御装置2のエージェントping送信管理部212(図3参照)は、合格端末情報テーブル231に登録されている端末装置に対して定期的にエージェントpingを行うことで、妨害処理の要否を判断すると共に、端末情報テーブル230をメンテナンスする。
[6.3 Periodic Agent Ping Execution Processing for Passed Terminals]
As shown in FIG. 18, the agent ping transmission management unit 212 (see FIG. 3) of the
定期的エージェントping実行処理では、まず、エージェントping送信管理部212が、第1端末情報テーブル230aにおける複数の端末情報のうち、端末情報領域230a−4に、合格端末であることを示す情報が登録されているもの(合格端末情報)を参照する(ステップS5−1)。
合格端末のうち、内部状態を確認すべき合格端末がある場合には、ステップS5−3に進み、第1端末情報テーブル230a上のすべての合格端末の状態を確認した場合は、定期的エージェントping実行処理を終了する(ステップS5−2)。
In the periodic agent ping execution process, first, the agent ping
If there is a successful terminal whose internal state should be confirmed among the successful terminals, the process proceeds to step S5-3. If the statuses of all the successful terminals on the first terminal information table 230a are confirmed, the periodic agent ping The execution process is terminated (step S5-2).
ステップS5−3では、エージェントping送信部211が、状態確認が必要な端末装置(状態確認対象端末装置)に対して、エージェントping要求を送信する(ステップS5−3)。
In step S5-3, the agent
エージェントping応答受信部213は、状態確認が必要な端末装置(状態確認対象端末装置)からのエージェントping応答を一定期間待つ(ステップS5−4)。一定期間待っても応答が無ければ、ステップ5−5に進み、一定期間内に応答があればステップS5−7へ進む。
The agent ping
ステップS5−5では、応答がない状態確認対象端末装置に対して、エージェントping要求を再送するかどうか判断する。当該シーケンスにおける再送回数が、検疫制御装置2の外部から指定された最大送出回数未満であれば、ステップS5−3に戻る。一方、当該シーケンスにおける再送回数が、前記最大送出回数に達していれば、ステップS5−6へ進む。
In step S5-5, it is determined whether or not to resend the agent ping request to the state confirmation target terminal device that does not respond. If the number of retransmissions in the sequence is less than the maximum number of transmissions designated from the outside of the
処理がステップS5−6に来た場合、合格端末であった状態確認対象端末装置からエージェントping応答がなかったことになるので、当該端末装置の端末情報を、第1端末情報テーブル230aから削除し、ステップS5−2に戻る。 When the processing has come to step S5-6, it means that the agent ping response has not been received from the state confirmation target terminal device that has been the accepted terminal, so the terminal information of the terminal device is deleted from the first terminal information table 230a. Return to step S5-2.
ステップS5−7では、受信したエージェントping応答が正常であるかどうかを判断する。正常であれば、ステップS5−8へ進み、不正であれば、ステップS5−9へ進む。 In step S5-7, it is determined whether the received agent ping response is normal. If normal, the process proceeds to step S5-8, and if invalid, the process proceeds to step S5-9.
ステップS5−8では、第2判定部220bが、エージェントping応答に含まれる「ポリシーチェック結果」を確認する。「ポリシーチェック結果」が「合格」を意味している場合は、ステップS5−2に戻り、「隔離」を意味している場合は、ステップS5−9へ進む。
In step S5-8, the
ステップS5−9では、状態確認対象端末装置の端末情報(合格端末情報)を第1端末情報テーブル230aから削除し、ステップS5−10へ進む。
ステップS5−10では、状態確認対象端末装置を、隔離端末として、第1端末情報テーブル230aに登録する。このとき、エージェントping応答に基づき、当該隔離端末に関するその他の情報も登録される。
In step S5-9, the terminal information (passed terminal information) of the state confirmation target terminal device is deleted from the first terminal information table 230a, and the process proceeds to step S5-10.
In step S5-10, the state check target terminal device is registered in the first terminal information table 230a as an isolated terminal. At this time, other information related to the isolated terminal is also registered based on the agent ping response.
ステップS5−11では、隔離と判定された状態確認対象端末装置の通信を妨害するため、疑似ARP応答パケットを送信し、ステップS5−2に戻る。
ここで送信される疑似ARP応答パケットは、アドレス部分が図19(a)(b)に示すように設定されたARP応答パケットとして生成される。図19(a)が第1疑似ARP応答送信部261aによって生成されるブロードキャスト疑似ARP応答パケットであり、図19(b)が第2疑似ARP応答送信部261cによって生成されるユニキャスト疑似ARP応答パケットである。
これらの疑似ARP応答パケットでは、「送信元IPアドレス」として状態確認対象端末装置(妨害対象端末装置)のIPアドレスが設定され、疑似ARP応答パケットの「送信元MACアドレス」として検疫制御装置2のMACアドレス(偽MACアドレス)が設定される。
図19(a)の疑似ARP応答パケットの場合、「送信先IPアドレス」及び「送信先MACアドレス」としては、それぞれブロードキャストアドレスが設定される。したがって、疑似ARP応答パケットは、ネットワークに対してブロードキャスト送信される。
一方、第2疑似ARP応答送信部261cにおいて生成される疑似ARP応答パケットは、図19(b)に示すように、誤学習不能端末装置(Vista系OSを有する端末装置)に対してユニキャスト送信されるものである。したがって、図19(b)では、疑似ARP応答パケットの「送信先IPアドレス」及び「送信先MACアドレス」としては、それぞれ誤学習不能端末装置であるVista系OS端末装置のIPアドレス及びMACアドレスが設定される。
これにより、状態確認対象端末装置(妨害対象端末装置)が通信する可能性のある通信相手の端末装置が、送信先端末のMACアドレスを誤って認識・学習することになる。
In step S5-11, a pseudo ARP response packet is transmitted in order to disturb the communication of the state check target terminal device determined to be isolated, and the process returns to step S5-2.
The pseudo ARP response packet transmitted here is generated as an ARP response packet whose address portion is set as shown in FIGS. FIG. 19A is a broadcast pseudo ARP response packet generated by the first pseudo ARP
In these pseudo ARP response packets, the IP address of the state confirmation target terminal device (disturbance target terminal device) is set as the “source IP address”, and the
In the case of the pseudo ARP response packet in FIG. 19A, broadcast addresses are set as the “destination IP address” and “destination MAC address”, respectively. Therefore, the pseudo ARP response packet is broadcasted to the network.
On the other hand, the pseudo ARP response packet generated in the second pseudo ARP
As a result, the terminal device of the communication partner with whom the state check target terminal device (interference target terminal device) may communicate erroneously recognizes and learns the MAC address of the destination terminal.
[6.5 隔離端末に対する定期的なエージェントping実行処理]
図20に示すように、検疫制御装置2のエージェントping送信管理部212(図3参照)は、第1端末情報テーブル230aに隔離端末として登録されている端末装置に対して定期的にエージェントpingを行うことで、妨害処理の要否を判断すると共に、端末情報テーブル230をメンテナンスする。
[6.5 Regular Agent Ping Execution Process for Isolated Terminal]
As shown in FIG. 20, the agent ping transmission management unit 212 (see FIG. 3) of the
まず、エージェントping送信管理部212は、第1端末情報テーブル230aにおいて、端末情報230a−4が隔離端末を示す情報となっているもの(隔離端末情報)を参照し、ステップS6−2に進む(ステップS6−1)。
第1端末情報テーブル230aにおいて、内部状態を確認すべき隔離端末がある場合は、ステップS6−3に進み、第1端末情報テーブル230aにおけるすべての隔離端末の状態を確認した場合は、定期的エージェントping実行処理を終了する(ステップS6−2)。
First, the agent ping
If there is a quarantine terminal whose internal state should be confirmed in the first terminal information table 230a, the process proceeds to step S6-3. If the states of all quarantine terminals in the first terminal information table 230a are confirmed, the periodic agent The ping execution process is terminated (step S6-2).
ステップS6−3では、エージェントping送信部211が、状態を確認する必要がある端末(状態確認対象端末装置)に対して、エージェントping要求を送信し、ステップS6−4に進む。
In step S6-3, the agent
ステップS6−4では、状態確認対象端末装置からのエージェントping応答を一定期間待つ。一定期間待っても応答がなければ、ステップS6−5へ進み、一定期間内に応答があれば、ステップS6−8へ進む。 In step S6-4, an agent ping response from the state confirmation target terminal device is waited for a certain period. If there is no response after waiting for a certain period, the process proceeds to step S6-5, and if there is a response within the certain period, the process proceeds to step S6-8.
ステップS6−5では、状態確認対象端末装置に対して、エージェントping要求を再送するかどうか判断する。当該シーケンスにおける再送回数が、検疫制御装置2の外部から指定する最大送出回数未満ならば、ステップS6−3に戻る。当該シーケンスにおける再送回数が、前記最大送出回数に達していれば、ステップS6−6に進む。
In step S6-5, it is determined whether to resend the agent ping request to the state check target terminal device. If the number of retransmissions in the sequence is less than the maximum number of transmissions designated from outside the
ステップS6−6では、状態確認対象端末装置が、前回のポーリングで応答無しだった場合(つまり、第1端末情報テーブル230aの「エージェントping応答の有無」欄230a−6の値が、「応答無し」を示している場合)、ステップS6−2に戻る。なお、ここで、「前回のポーリング」とは、前回行った「隔離端末に対する定期的なエージェントping実行処理」をいい、以下同様である。
状態確認対象端末装置が、前回のポーリングで応答有りだった場合(つまり、第1端末情報テーブル230aの「エージェントping応答の有無」欄230a−6の値が、「応答有り」を示している場合)、ステップS6−7に進む。
In step S6-6, if the status confirmation target terminal device has not responded in the previous polling (that is, the value in the “presence / absence of agent ping response”
When the status check target terminal device has responded in the previous polling (that is, when the value in the “presence / absence of agent ping response”
処理がステップS6−7に来た場合、第1端末情報テーブル230aから、状態確認対象端末装置の端末情報を削除し、ステップS6−2に戻る。前回のポーリングで「応答有り」であった端末装置については、夜間マシン停止など、正常オペレーションの範囲で応答できなかった可能性が高い。したがって、前回のポーリングで「応答有り」であった端末装置については、第1端末情報テーブル230aから削除することで、当該端末装置を隔離端末として記憶し続けるのを避けることができる。 When the processing has come to step S6-7, the terminal information of the state confirmation target terminal device is deleted from the first terminal information table 230a, and the process returns to step S6-2. There is a high possibility that the terminal device that was “response” in the previous polling could not respond within the range of normal operation such as machine stop at night. Therefore, by deleting the terminal device that was “response present” in the previous polling from the first terminal information table 230a, it is possible to avoid storing the terminal device as an isolated terminal.
ステップS6−8では、受信したエージェントping応答が正常であるかどうかを判断する。正常であれば、ステップS6−9へ進み、不正であれば、ステップS6−2に戻る。 In step S6-8, it is determined whether the received agent ping response is normal. If normal, the process proceeds to step S6-9. If invalid, the process returns to step S6-2.
ステップS6−9では、第2判定部220bが、エージェントping応答に含まれる「ポリシーチェック結果」を確認する。「ポリシーチェック結果」が「隔離」を意味している場合は、ステップS6−10に進み、「合格」を意味している場合は、ステップS6−11へ進む。
In step S6-9, the
ステップS6−10では、隔離端末情報テーブル232にある状態確認端末装置について、「エージェントping応答の有無の欄」の値を、「応答有り」を示す値に更新し、ステップS6−2に戻る。 In step S6-10, for the status confirmation terminal device in the quarantine terminal information table 232, the value of the “agent ping response presence / absence column” is updated to a value indicating “response present”, and the process returns to step S6-2.
ステップS6−11では、状態確認対象端末装置の端末情報(隔離端末情報)を第1端末情報テーブル230aから削除し、ステップS6−12へ進む。
ステップS6−12では、状態確認対象端末装置を、合格端末として、第1端末情報テーブル230aに登録し、ステップS6−13へ進む。このとき、エージェントping応答に基づき、当該隔離端末に関するその他の情報も登録される。
In step S6-11, the terminal information (quarantine terminal information) of the state confirmation target terminal device is deleted from the first terminal information table 230a, and the process proceeds to step S6-12.
In step S6-12, the state confirmation target terminal device is registered in the first terminal information table 230a as a passing terminal, and the process proceeds to step S6-13. At this time, other information related to the isolated terminal is also registered based on the agent ping response.
以上によって、隔離端末と判定されていた状態確認対象端末装置が合格端末に状態遷移したことから、ステップS6−13では、状態確認対象端末に対する妨害処理を解除するため、通信正常化部270の正常ARP応答送信部271(図3参照)によって、正常ARP応答パケットを送信し、ステップS6−2にもどる。
As described above, since the state confirmation target terminal device that has been determined to be an isolated terminal has made a state transition to a passing terminal, in step S6-13, the normalization of the
ここで送信される正常ARP応答パケットは、図21(a)(b)に示すように、「送信元IPアドレス」に状態確認対象端末装置のIPアドレス、「送信元MACアドレス」に状態確認対象端末装置のMACアドレスを設定したものである。
正常ARP応答送信部271は、図29に示すように、疑似ARP応答送信部261と同様な構成を持つ。つまり、正常ARP応答送信部271は、正常ARP応答パケットをブロードキャスト送信する第1正常ARP応答送信部271aと、正常ARP応答パケットをユニキャスト送信する第2正常ARP応答送信部271cとを備え、さらに、正常ARP応答パケットをユニキャスト送信する対象を識別する端末装置を識別する識別部271bを備えている。
As shown in FIGS. 21A and 21B, the normal ARP response packet transmitted here has the IP address of the state confirmation target terminal device in “source IP address” and the status confirmation target in “source MAC address”. The MAC address of the terminal device is set.
The normal
図21(a)が第1正常ARP応答送信部271aによって生成されるブロードキャスト正常ARP応答パケットであり、図21(b)が第2正常ARP応答送信部271cによって生成されるユニキャスト正常ARP応答パケットである。
これらの正常ARP応答パケットでは、「送信元IPアドレス」及び「送信元MACアドレス」として状態確認対象端末装置(妨害対象でなくなった端末装置)のIPアドレス及びMACアドレスが正しく設定される。
図21(a)の正常ARP応答パケットの場合、「送信先IPアドレス」及び「送信先MACアドレス」としては、それぞれブロードキャストアドレスが設定される。したがって、正常ARP応答パケットは、ネットワークに対してブロードキャスト送信される。
一方、第2正常ARP応答送信部271cにおいて生成される正常ARP応答パケットは、図21(b)に示すように、Vista系OSを有する端末装置に対してユニキャスト送信されるものである。したがって、図21(b)では、正常ARP応答パケットの「送信先IPアドレス」及び「送信先MACアドレス」としては、それぞれVista系OS端末装置のIPアドレス及びMACアドレスが設定される。
正常ARP応答パケットの送信により、ネットワーク内の端末装置は、状態確認対象端末装置のMACアドレスを正しく学習できるため、状態確認対象端末装置との間の通信が正常に行える。
FIG. 21A is a broadcast normal ARP response packet generated by the first normal
In these normal ARP response packets, the IP address and MAC address of the state confirmation target terminal device (terminal device that is no longer subject to obstruction) are correctly set as “source IP address” and “source MAC address”.
In the case of the normal ARP response packet in FIG. 21A, broadcast addresses are set as the “destination IP address” and “destination MAC address”, respectively. Therefore, the normal ARP response packet is broadcasted to the network.
On the other hand, the normal ARP response packet generated in the second normal ARP
By transmitting the normal ARP response packet, the terminal device in the network can correctly learn the MAC address of the state check target terminal device, so that communication with the state check target terminal device can be performed normally.
なお、正常ARP応答パケットがユニキャスト送信される対象は、識別部271bによって識別される。この識別部271bは、妨害対象でなくなった端末装置が、妨害対象であったときに、通信の妨害のためにユニキャスト疑似ARP応答パケットを送信した端末装置のリストを記憶している。識別部271bは、妨害対象端末装置が妨害対象でなくなった場合には、このリストが示す端末装置を、正常ARP応答パケットの送信対象とする。
The target to which the normal ARP response packet is unicast transmitted is identified by the identifying
[6.6 検疫対象端末装置における内部状態の検査]
図22は、検疫対象端末装置3の検査制御部310による、検査ポリシーに従った検査の処理手順を示している。
[6.6 Inspection of internal status of quarantined terminal device]
FIG. 22 shows an inspection processing procedure according to the inspection policy by the
所定の検査トリガが発生すると(ステップS7−1)、検査実行部331が、検査ポリシーに従って、検疫対象端末装置3の内部状態の検査(ポリシーチェック)を実行する(ステップS7−2)。
When a predetermined inspection trigger occurs (step S7-1), the
検査トリガとしては、例えば、エージェントコンピュータプログラムP2の起動時、検疫対象端末装置3の利用者による手動実行、エージェントコンピュータプログラムP2の検査制御部310による定期的実行、などがある。
The inspection trigger includes, for example, when the agent computer program P2 is started, manual execution by a user of the quarantine
検査(ポリシーチェック)結果が、前回検査時と異なっていた場合(ステップS7−3)、エージェントping開始要求送信部335は、エージェントping開始要求を、検疫制御装置2に送信する(ステップS7−5)。ただし、検疫制御装置2のIPアドレス及びMACアドレスは、検疫制御装置2からのエージェントpingによって取得するため、それまでにエージェントpingを受信していなければ、エージェントping開始要求を送信できない(ステップS7−4)。
その後、検疫制御装置2からエージェントping要求を受信したら、エージェントping応答として、検査結果を検疫制御装置2に送信する。
When the inspection (policy check) result is different from the previous inspection (step S7-3), the agent ping start
Thereafter, when an agent ping request is received from the
[6.7 第2端末情報テーブルの登録処理]
図23に示すように、検疫管理サーバ4のテーブル生成部410(図6参照)では、管理者が、第2端末情報テーブル230b及び静的リストテーブル263のテーブル情報を入力装置から入力することができる(ステップS8−1)。
入力された第2端末情報テーブル230b及び静的リストテーブル263のテーブル情報は、テーブル送信部420(図6参照)によって、検疫制御装置2に送信される(ステップS8−2)。
[6.7 Second Terminal Information Table Registration Process]
As shown in FIG. 23, in the table generation unit 410 (see FIG. 6) of the
The input table information of the second terminal information table 230b and the static list table 263 is transmitted to the
図24に示すように、検疫制御装置2では、第2端末情報テーブル&静的リストテーブル更新部232(図3参照)が、第2端末情報テーブル230b及び静的リストテーブル263を受信し(ステップS9−1)、第2端末情報テーブル領域230b及び静的リストテーブル263の内容を更新する(ステップS9−2)。
As shown in FIG. 24, in the
[6.8 通信妨害処理]
[6.8.1 妨害の実現方法]
図25(a)(b)は、ステップS2−3−7,S2−6,S5−11において送信される既述の疑似ARP応答パケットのデータ構造を示している。図25(a)は、ブロードキャスト疑似ARP応答パケットを示す、図25(b)は、ユニキャスト疑似ARP応答パケットを示す。
[6.8 Communication jamming processing]
[6.8.1 Interfering method]
FIGS. 25A and 25B show the data structure of the above-described pseudo ARP response packet transmitted in steps S2-3-7, S2-6, and S5-11. FIG. 25A shows a broadcast pseudo ARP response packet, and FIG. 25B shows a unicast pseudo ARP response packet.
図25(a)のブロードキャスト疑似ARP応答パケットは、送信元IPアドレスを格納する第1領域D1に妨害対象端末装置のIPアドレスが格納され、送信元MACアドレスを格納する第2領域D2に検疫制御装置2のMACアドレスが格納され、送信先IPアドレスを格納する第3領域D3及び送信先MACアドレスを格納する第4領域D4に、それぞれ、ブロードキャストアドレスが格納されている。
検疫制御装置2が、この疑似ARP応答パケットをブロードキャストすることで、妨害対象端末装置の通信妨害がおこなわれる。なお、送信元MACアドレスが格納される第2領域D2には、検疫制御装置2のMACアドレスに代えて、パケット収集・破棄用の別の装置のMACアドレスであってもよい。すなわち、第2領域には、妨害対象端末装置の正しいMACアドレス以外の偽MACアドレスが格納されていればよい。
In the broadcast pseudo ARP response packet of FIG. 25A, the IP address of the terminal device to be disturbed is stored in the first area D1 storing the source IP address, and the quarantine control is performed in the second area D2 storing the source MAC address. The MAC address of the
The
疑似ARP応答パケットのブロードキャスト送信によって、検疫制御装置2の周囲にある端末装置は、疑似ARP応答パケットを受信して、妨害対象端末装置のMACアドレスとして、検疫制御装置2のMACアドレス(又は別の装置のMACアドレス)を誤って認識・学習する。
これにより、周囲の端末装置から妨害対象端末装置へ向けて送信されたデータパケットはすべて検疫制御装置2(又は別の装置)に届くようになる。検疫制御装置は、そのデータパケットを破棄することにより、データパケットが妨害対象端末装置に届かなくなる。その結果、妨害対象端末装置とその通信相手との間での双方向通信(TCP)或いは通信相手から妨害対象端末装置への片方向通信(UDP)が成立せず、妨害となる。
By broadcast transmission of the pseudo ARP response packet, the terminal devices around the
As a result, all data packets transmitted from the surrounding terminal devices to the interference target terminal device reach the quarantine control device 2 (or another device). The quarantine control apparatus discards the data packet, so that the data packet does not reach the disturbance target terminal apparatus. As a result, two-way communication (TCP) or one-way communication (UDP) from the communication partner to the disturbance target terminal device is not established between the disturbance target terminal device and the communication partner, resulting in interference.
ただし、上記は、ブロードキャスト疑似ARP応答パケットを受信する端末装置が有するOSが、非Vista系である場合であり、当該端末装置が有するOSがVista系である場合には、当該端末装置がブロードキャスト疑似ARP応答パケットを受信しても、妨害対象端末装置のMACアドレスとして、検疫制御装置のMACアドレス(又は別の装置のMACアドレス)を誤って認識・学習せず、妨害対象端末装置のMACアドレスを正しく認識したままとなる。 However, the above is a case where the OS of the terminal device that receives the broadcast pseudo ARP response packet is a non-Vista system, and when the OS of the terminal device is a Vista system, the terminal device Even when the ARP response packet is received, the MAC address of the quarantine control device (or the MAC address of another device) is not erroneously recognized / learned as the MAC address of the target device to be disturbed, and the MAC address of the target device to be disturbed is not detected. It will remain recognized correctly.
なお、端末装置が、誤学習をしない原因は、実際に送受信されるパケットから推測すると、Vista系OSでは、ブロードキャストされたARP応答パケットを受け取った場合、そのARP応答パケットに含まれるMACアドレスを直ちに学習せず、そのARP応答パケットの送信元IPアドレスを手がかりに、ARP応答パケットの送信元に対してMACアドレスを確認する処理を行うためではないかと推察される。なお、ここでの「誤学習しない」とは、Vista系OSが、MACアドレスを誤学習しても、正しいMACアドレスを確認して誤学習が阻害される場合のように、結果的に誤学習しない場合をすべて含む意である。 Note that the reason why the terminal device does not mislearn is that the Vista-based OS receives the broadcast ARP response packet and immediately determines the MAC address included in the ARP response packet. It is presumed that the learning is not performed and the process of confirming the MAC address with respect to the transmission source of the ARP response packet is performed using the transmission source IP address of the ARP response packet as a key. Note that “not mislearning” here means that even if the Vista-based OS mislearns the MAC address, it results in mislearning as if the mislearning is hindered by checking the correct MAC address. It is meant to include all cases where no.
ただし、Vista系OSを有する端末装置であっても、疑似ARP応答パケットをユニキャスト送信すれば、誤学習させることができる。
つまり、図25(b)のユニキャスト疑似ARP応答パケットは、Vista系OSを有する端末装置(OSの種別が不明なものを含む)に対して送信されるものであり、送信先IPアドレスを格納する第3領域D3及び送信先MACアドレスを格納する第4領域D4に、それぞれ、Vista系OSのIPアドレス及びMACアドレスが格納されている。
疑似ARP応答パケットのブロードキャスト送信とユニキャスト送信を併用することで、ネットワーク内の端末装置のOS種別にかかわらず、ネットワーク内の端末装置に妨害対象端末装置のMACアドレスを誤学習させることができる。
また、ネットワーク内の全端末装置に、疑似ARP応答パケットをユニキャスト送信せず、Vista系OSを有する端末装置に限定して、ユニキャスト送信することで、通信負荷・処理負荷を低減することができる。
However, even a terminal device having a Vista OS can be mislearned if a pseudo-ARP response packet is unicast transmitted.
That is, the unicast pseudo ARP response packet in FIG. 25B is transmitted to a terminal device having a Vista OS (including an OS whose type is unknown), and stores a destination IP address. The IP address and MAC address of the Vista-based OS are stored in the third area D3 and the fourth area D4 in which the destination MAC address is stored, respectively.
By using both broadcast transmission and unicast transmission of the pseudo ARP response packet, it is possible to cause the terminal device in the network to mislearn the MAC address of the target terminal device in the network regardless of the OS type of the terminal device in the network.
Moreover, the communication load and the processing load can be reduced by not unicasting the pseudo ARP response packet to all terminal devices in the network, but by unicasting only to the terminal device having the Vista OS. it can.
図26は、妨害すべき端末(妨害対象端末装置)Aから、ARP要求パケットが送出されてから、妨害対象端末装置Aへの妨害が成立するまでのARPの流れを示している。なお、妨害対象端末装置Aから送信されたARP要求パケットの監視は、図8及び図9に示す方法によって行われる。
まず、端末Aから端末BのMACアドレスを取得するためのARP要求パケットが送出される(ステップS10−1)。これにより、端末Bは、一旦は、端末AのMACアドレスを正しく学習する。
なお、このARP要求パケットは、検疫制御装置2によって補捉される(ステップS10−2)。
FIG. 26 shows an ARP flow from when an ARP request packet is transmitted from a terminal A to be disturbed (disturbance target terminal apparatus) A to when a disturbance to the disturbance target terminal apparatus A is established. The monitoring of the ARP request packet transmitted from the interference target terminal device A is performed by the method shown in FIGS.
First, an ARP request packet for acquiring the MAC address of terminal B is transmitted from terminal A (step S10-1). Thereby, the terminal B once correctly learns the MAC address of the terminal A.
The ARP request packet is captured by the quarantine control device 2 (step S10-2).
端末Bは、通常のARP応答パケットを、端末Aに送信する(ステップS10−3)。これにより、端末Aは、端末BのMACアドレスを学習する。 Terminal B transmits a normal ARP response packet to terminal A (step S10-3). Thereby, the terminal A learns the MAC address of the terminal B.
検疫制御装置2は、補捉したARP要求パケットに基づき、必要であればエージェントpingを行って、端末Aは妨害が必要な妨害対象端末装置であると判定する(ステップS10―4)。
すると、検疫制御装置2は、図26に示すように、送信元MACアドレスを、自己のMACアドレスとし、送信元IPアドレスを端末AのIPアドレスとした、疑似ARP応答パケットをブロードキャスト送信及びユニキャスト送信する(ステップS10−5)。これにより、端末Bを含むネットワーク上の端末(端末Aを除く)は、端末が有するOSの種別にかかわらず、端末AのMACアドレスを誤って学習し、妨害が成立する。
Based on the captured ARP request packet, the
Then, as shown in FIG. 26, the
なお、疑似ARP応答パケットは、妨害対象端末装置へもブロードキャストされるものの、妨害対象端末装置のIPアドレスが送信元IPアドレスに設定されるため、妨害対象端末装置は受信できない。 Although the pseudo ARP response packet is also broadcast to the interference target terminal device, the IP address of the interference target terminal device is set as the transmission source IP address, and therefore cannot be received by the interference target terminal device.
図27は、図26とは逆に、通信相手(非妨害対象端末装置)B側が、妨害対象端末装置Aと通信するために、当該通信相手BがARP要求パケットを送出してから、妨害が成立するまでのARPの流れを示している。なお、通信相手Bから送信されたARP要求パケットの監視は、図8及び図9に示す方法によって行われる。 In FIG. 27, contrary to FIG. 26, since the communication partner (non-disturbance target terminal device) B communicates with the interference target terminal device A, the communication partner B transmits an ARP request packet, and thus the interference occurs. The flow of ARP until it is established is shown. The ARP request packet transmitted from the communication partner B is monitored by the method shown in FIGS.
まず、通信相手である端末Bから端末AのMACアドレスを取得するためのARP要求パケットが送出される(ステップS11−1)。このARP要求パケットは、検疫制御装置2によって補捉される。
First, an ARP request packet for acquiring the MAC address of terminal A is transmitted from terminal B, which is a communication partner (step S11-1). This ARP request packet is captured by the
端末Aは、通常のARP応答パケットを、端末Bに送信する(ステップS11−2)。これにより、端末Bは、一旦は、端末AのMACアドレスを正しく学習する。 Terminal A transmits a normal ARP response packet to terminal B (step S11-2). Thereby, the terminal B once correctly learns the MAC address of the terminal A.
検疫制御装置2は、端末AのMACアドレスが不明であるので、未登録端末装置処理部290のARP要求送信部291(図3参照)により、ARP要求パケットを端末Aに送信する(ステップS11−3)。
すると、端末Aは、ARP応答パケットを検疫制御装置2に送信してくる(ステップS11−4)ので、これをARP応答受信部292により受信する。これにより、検疫制御装置2は、端末AのMACアドレスを取得できる。
Since the MAC address of the terminal A is unknown, the
Then, since the terminal A transmits an ARP response packet to the quarantine control device 2 (step S11-4), the terminal A receives this by the ARP response receiving unit 292. Thereby, the
そして、検疫制御装置2は、必要であればエージェントpingを行って、端末Aは妨害が必要な妨害対象端末装置であると判定する(ステップS11―5)。
すると、検疫制御装置2は、図27に示すように、送信元MACアドレスを、自己のMACアドレスとし、送信元IPアドレスを端末AのIPアドレスとした、疑似ARP応答パケットをブロードキャスト送信及びユニキャスト送信する(ステップS11−6)。これにより、端末Bを含むネットワーク上の端末(端末Aを除く)は、端末が有するOSの種別にかかわらず、端末AのMACアドレスを誤って学習し、妨害が成立する。
Then, the
Then, as shown in FIG. 27, the
なお、疑似ARP応答パケットは、妨害対象端末装置へもブロードキャストされるものの、妨害対象端末装置のIPアドレスが送信元IPアドレスに設定されるため、妨害対象端末装置は受信できない。 Although the pseudo ARP response packet is also broadcast to the interference target terminal device, the IP address of the interference target terminal device is set as the transmission source IP address, and therefore cannot be received by the interference target terminal device.
上記のような妨害処理を行うことで、妨害対象端末装置のARPテーブルが静的に設定されており、妨害対象端末装置がARP要求パケットを送出しないようにされている場合であっても、通信相手に誤学習させることで、通信を妨害できる。 By performing the interference processing as described above, even if the ARP table of the interference target terminal device is statically set and the interference target terminal device is configured not to transmit the ARP request packet, the communication is performed. Communication can be interrupted by having the other party mislearn.
図30は、妨害処理のさらに詳細な処理内容を示している。図30は、検疫制御装置2によるユニキャスト疑似ARPの送信回数を削減するため、疑似ARP応答パケットの送信対象を制限するための処理を示している。
妨害処理の際には、疑似ARP応答送信部261は、まず、疑似ARP応答パケットのブロードキャスト送信を行う(ステップS12−1)。続いて、疑似ARP応答送信部261は、ユニキャスト送信処理(ステップS12−2〜S12−7)を行う。
ユニキャスト送信処理には、ユニキャスト送信の対象(誤学習不能端末装置)を識別する処理(ステップS12−2)、ユニキャスト送信の対象から所定の端末装置を除外する除外処理(ステップS12−3〜S12−6)、ユニキャスト疑似ARP応答パケットを送信する処理(ステップS12−7)が含まれる。
FIG. 30 shows more detailed processing contents of the interference processing. FIG. 30 shows a process for limiting the transmission target of the pseudo ARP response packet in order to reduce the number of transmissions of the unicast pseudo ARP by the
In the disturbance process, the pseudo ARP
The unicast transmission process includes a process for identifying a unicast transmission target (a terminal device that cannot be erroneously learned) (step S12-2), and an exclusion process for excluding a predetermined terminal device from the unicast transmission target (step S12-3). To S12-6), a process of transmitting a unicast pseudo-ARP response packet (step S12-7) is included.
このユニキャスト送信処理は、第1端末情報テーブル230aに登録されている端末装置など、検疫制御装置2が、ネットワーク内における存在を把握している全端末に対して、それぞれ行われる。
ステップS12−2のユニキャスト送信の対象(誤学習不能端末装置)を識別する処理では、端末装置が有するOSがVista系であるか否かの判定を行う。この判定は、識別部216bが、第1端末情報テーブル230aのOS情報230a−5を参照することで行う。端末装置のOSが非Vista系である場合には、その端末装置へはユニキャスト送信せずに終了する。
端末装置のOSがVista系である場合は、ステップS12−3へ進む。なお、ステップS12−2において、OS情報が不明な場合(第1端末情報テーブル230aにOS情報230a−5が無い場合)は、Vista系OSとみなし、ステップS12−3へ進む。OSが不明な場合はVista系OSとみなすことで、端末装置の誤学習を確実に行わせることができる。
This unicast transmission process is performed on all terminals that the
In the process of identifying the unicast transmission target (terminal device that cannot be mislearned) in step S12-2, it is determined whether or not the OS of the terminal device is a Vista system. This determination is performed by the identification unit 216b referring to the
If the OS of the terminal device is Vista, the process proceeds to step S12-3. In step S12-2, when the OS information is unknown (when there is no
ステップS12−2において、端末装置のOSがVista系であると判定された場合、識別部261bは、Vista系OS端末装置のうち、所定の端末装置を、ユニキャスト送信の対象から除外する除外処理(ステップS12−3〜S12−6)を行う。除外処理では、まず、端末装置にエージェントが搭載されているか否かを判定する(ステップS12−3)。この判定では、第1端末情報テーブル230aを参照することで行え、第1端末情報テーブル230aにエージェントID230a−3が記憶されている端末装置は、エージェントが搭載されていると判断できる。
If it is determined in step S12-2 that the OS of the terminal device is the Vista system, the identifying
ステップS12−3において、端末装置にエージェントが搭載されていると判断された場合、端末装置の誤学習処理は、端末装置に搭載されたエージェントに委ね(ステップS12−4)、Vista系OS端末装置であっても、疑似ARP応答パケットをユニキャスト送信せず、終了する。
エージェントが搭載されている端末装置を、疑似ARP応答パケットのユニキャスト送信の対象から除外することで、通信量・処理量を低減することができる。なお、エージェントによる誤学習処理については後述する。
If it is determined in step S12-3 that the agent is installed in the terminal device, the erroneous learning process of the terminal device is left to the agent installed in the terminal device (step S12-4), and the Vista-based OS terminal device Even so, the pseudo-ARP response packet is not unicasted and the process ends.
By excluding the terminal device on which the agent is mounted from the unicast transmission target of the pseudo ARP response packet, it is possible to reduce the communication amount and the processing amount. The mislearning process by the agent will be described later.
ステップS12−3において、端末装置にエージェントが搭載されていないと判断された場合、識別部261bは、除外処理として、端末装置が静的リストテーブル(除外端末装置リスト)263に登録されているか否かを判定する(ステップS12−5)。静的リストテーブル263は、ユニキャスト疑似ARP応答パケットを送信しない端末装置のリストである。ここで、OSの種別が不明な端末装置は、ステップS12−2において、Vista系OSとみなされ、基本的には、ユニキャスト疑似ARP応答パケットの送信対象となる。ところが、プリンタのように、エージェントが搭載できないため、OSが不明となっているが、本来はユニキャスト疑似ARP応答パケットの不要な端末装置も存在する。図31(a)に示すように、検疫制御装置2には、このような端末装置のIPアドレス及びMACアドレスが、静的リストテーブル263に登録されている。
ステップS12−5において、端末装置が静的リストテーブル263に登録されていると判定された場合、Vista系OSであっても、疑似ARP応答パケットをユニキャスト送信せず、終了する。
このように、本来的にユニキャスト疑似ARP応答パケットの送信が不要な端末装置を、ユニキャスト送信の対象から除外することで、通信量・処理量を低減することができる。
If it is determined in step S12-3 that the agent is not installed in the terminal device, the identifying
If it is determined in step S12-5 that the terminal device is registered in the static list table 263, the pseudo-ARP response packet is not unicasted even if it is a Vista OS, and the process ends.
Thus, by excluding terminal devices that do not originally need to transmit unicast pseudo-ARP response packets from the targets of unicast transmission, it is possible to reduce the amount of communication and the amount of processing.
ステップS12−5において、端末装置が静的リストに登録されていないと判断された場合、識別部261bは、端末装置が、「隔離対象端末が新規隔離でない」かつ「隔離対象端末の通信相手以外の合格端末である」であるか否かを判定する(ステップS12−6)。
ここで、隔離対象端末が「新規隔離」であるときは、隔離端末(妨害対象端末装置)が、妨害が必要ではない合格端末(非妨害対象端末装置)から、妨害が必要な隔離端末(妨害対象端末装置)に状態遷移した後の最初の妨害処理のときをいう。また、「新規隔離でない」のは、隔離端末(妨害対象端末装置)が、妨害が必要ではない合格端末(非妨害対象端末装置)から、妨害が必要な隔離端末(妨害対象端末装置)に状態遷移した後の2回目以降の妨害処理のときをいう。
If it is determined in step S12-5 that the terminal device is not registered in the static list, the
Here, when the quarantine target terminal is “new quarantine”, the quarantine terminal (disturbance target terminal device) must be isolated from an acceptable terminal (non-disturbance target terminal device) that does not require interference. This is the time of the first disturbance processing after the state transition to the target terminal device. In addition, “not new quarantine” means that the quarantine terminal (disturbance target terminal device) is changed from an acceptable terminal (non-disturbance target terminal device) that does not require interference to a quarantine terminal (disturbance target terminal device) that requires interference. This refers to the second and subsequent disturbance processing after transition.
ステップS12−6における除外処理の基本的な考え方は、ユニキャスト疑似ARP応答パケットの送信対象として、隔離端末(妨害対象端末装置)の通信相手ではない端末装置(合格端末)を除外することである。通信相手ではない端末装置には、MACアドレスを誤学習させなくても直ちには問題が生じないからである。このように、隔離端末の通信相手ではない端末装置を、ユニキャスト送信の対象から除外することで、通信量・処理量を低減できる。 The basic idea of the exclusion process in step S12-6 is to exclude a terminal device (passing terminal) that is not a communication partner of the isolated terminal (interference target terminal device) as a transmission target of the unicast pseudo ARP response packet. . This is because a problem does not occur immediately in the terminal device that is not the communication partner even if the MAC address is not erroneously learned. Thus, by excluding a terminal device that is not a communication partner of the isolated terminal from the target of unicast transmission, it is possible to reduce the communication amount / processing amount.
ただし、隔離端末(妨害対象端末装置)の通信相手ではない端末装置(合格端末)をユニキャスト送信の対象から一律に除外すると、確実に妨害処理が行えなくなる。
つまり、端末装置が隔離端末となる前に、当該端末装置が、他の端末装置と通信しており、当該端末装置又は当該他の端末装置のARPテーブルに、互いのMACアドレスが残っている場合、当該端末装置が隔離端末となっても、当該端末装置と当該他の端末装置との間でARP要求パケットが送信されず、検疫制御装置2は、隔離端末が関与する通信を検出することができない。したがって、検疫制御装置2は、新規隔離端末の通信を妨害するためのユニキャスト疑似ARP応答パケットを送信せず、通信相手がVista系OSの場合には妨害が行えない。
そのため、端末装置が合格端末から隔離端末に状態遷移した場合には、状態遷移後最初の妨害処理の際に、全Vista系OS端末に対して、ユニキャスト疑似ARP応答パケットを送信し、妨害漏れを防ぐ。
一方、端末装置が合格端末から隔離端末に状態遷移した後の2回目以降の妨害処理の際には、上記のように、隔離端末の通信相手ではない合格端末を、ユニキャスト疑似ARP応答送信の対象から除外するため、通信量・処理量を低減することができる。
However, if the terminal device (passing terminal) that is not the communication partner of the isolated terminal (interference target terminal device) is uniformly excluded from the targets of unicast transmission, the interference processing cannot be performed reliably.
That is, before the terminal device becomes an isolated terminal, the terminal device communicates with another terminal device, and the mutual MAC address remains in the ARP table of the terminal device or the other terminal device. Even if the terminal device becomes a quarantine terminal, the ARP request packet is not transmitted between the terminal device and the other terminal device, and the
Therefore, when the terminal device makes a state transition from a passing terminal to an isolated terminal, a unicast pseudo ARP response packet is transmitted to all Vista-based OS terminals during the first disturbance processing after the state transition, and interference leakage prevent.
On the other hand, in the second and subsequent disturbance processing after the terminal device transitions from the successful terminal to the isolated terminal, as described above, the accepted terminal that is not the communication partner of the isolated terminal is transmitted as a unicast pseudo-ARP response transmission. Since it is excluded from the target, the amount of communication and the amount of processing can be reduced.
このように、ステップS12−6において、「隔離対象端末が新規隔離でない」かつ「隔離対象端末の通信相手以外の合格端末である」であると判定された場合、端末装置は、ユニキャスト疑似ARP応答送信対象から除外される。
一方、「隔離対象端末が新規隔離である」場合や、「隔離対象端末が新規隔離でない」場合(2回目以降の妨害処理の場合)であっても、隔離対象端末の通信相手である場合には除外せず、ユニキャスト疑似ARP応答パケットを送信する(ステップS12−7)。
As described above, when it is determined in step S12-6 that “the isolation target terminal is not a new isolation” and “a terminal other than the communication partner of the isolation target terminal”, the terminal device performs the unicast pseudo-ARP. Excluded from response sending.
On the other hand, even if “the quarantine target terminal is a new quarantine” or “the quarantine target terminal is not a new quarantine” (in the case of the second and subsequent interference processing), Are not excluded, and a unicast pseudo-ARP response packet is transmitted (step S12-7).
なお、識別部261aは、隔離対象端末の通信相手を、ユニキャスト疑似ARP情報テーブル(通信相手テーブル)264を参照することによって識別する。このユニキャスト疑似ARP情報テーブル264は、通信監視部250のARP要求捕捉部251が捕捉したARP要求パケットやその後のエージェントpingの結果に基づき生成される。このユニキャスト疑似ARP情報テーブル264は、図31(b)に示すように、隔離端末のIPアドレス及びMACアドレス、並びに、隔離端末の通信相手のMACアドレスから構成されている。
The
[6.8.2 疑似ARP応答パケットの定期的な送信]
妨害処理は、図26及び図27のように、妨害対象端末装置の通信検出時に実行するだけでなく、図26及び図27のステップS10−6及びステップS11−7に示したように、検疫制御装置2は、定期的に疑似ARP応答パケットのブロードキャスト送信を行う。各端末装置が学習したARPテーブルの内容は、その通信相手との通信が一定期間以上無いと自動的に削除されてしまう。そのため、検疫制御装置2の疑似ARP応答送信管理部262は、禁止端末情報テーブル234又は隔離端末情報テーブル232に登録されている端末装置の通信を妨害するための疑似ARP応答パケットを定期的にブロードキャスト送信する。
[6.8.2 Periodic transmission of pseudo ARP response packet]
As shown in FIGS. 26 and 27, the jamming process is not only executed when communication of the jamming target terminal device is detected, but also as shown in steps S10-6 and S11-7 in FIGS. The
この疑似ARP応答パケットの定期的な送信においては、疑似ARP応答パケットのブロードキャスト送信だけを行い、ユニキャスト送信は行わない。これにより、通信量・処理量を低減することができる。
ここで、Vista系OSには、自身のARPテーブルを定期的に確認する機能がある。すなわち、妨害対象端末装置のMACアドレスを誤学習している端末装置は、そのARPテーブルに、「隔離端末のIPアドレス,検疫制御装置2のMACアドレス」が記録されている。この端末装置は、図32に示すARP要求パケットを定期的にユニキャスト送信する。このARP要求パケットは、送信先IPアドレスが、妨害対象端末装置のIPアドレスとなっているが、送信先MACアドレスが検疫制御装置のMACアドレスとなっているため、妨害対象端末装置は、ARP応答パケットを返さない。
その代わり、検疫制御装置2の第2疑似ARP応答送信部271cは、図32のARP要求パケットへの応答として、図25(b)に示す疑似ARP応答パケットを、前記端末装置へ送信する。これにより、妨害対象端末装置のMACアドレスを誤学習している端末装置における、誤学習状態が維持される。
In the periodic transmission of the pseudo ARP response packet, only the broadcast transmission of the pseudo ARP response packet is performed, and the unicast transmission is not performed. Thereby, the amount of communication and the amount of processing can be reduced.
Here, the Vista-based OS has a function of periodically checking its own ARP table. That is, a terminal device that has erroneously learned the MAC address of the target terminal device to be disturbed has “IP address of quarantine terminal, MAC address of
Instead, the second pseudo ARP
このように、Vista系OSでは、ARPテーブルの内容を定期的に他の端末装置に問い合わせて確認する機能があるが、検疫制御装置2では、その確認(ARP要求パケット)に対して、疑似ARP応答パケットでもって答えることができる。したがって、検疫制御装置2が定期的に行う疑似ARP応答パケットの送信においては、疑似ARP応答パケットのブロードキャスト送信だけを行えば足り、積極的にユニキャスト送信を行う必要がない。
As described above, the Vista-based OS has a function of periodically inquiring and confirming the contents of the ARP table to other terminal devices. However, the
[6.8.2 エージェントによる誤学習処理]
前述のように、端末装置にエージェントが搭載されていると判断された場合、端末装置の誤学習処理は、端末装置に搭載されたエージェントに委ねられ(ステップS12−4)、Vista系OS端末であっても、疑似ARP応答パケットはユニキャスト送信されない。
エージェントに誤学習処理を行わせるため、図3に示すように、検疫制御装置2は、第1端末情報テーブル送信部295を備えている。この第1端末情報テーブル送信部295は、各端末装置それぞれのエージェントに対して、妨害対象端末装置である隔離端末を示す情報(第1端末情報テーブル230a)を送信する送信手段である。
[6.8.2 Mislearning process by agent]
As described above, when it is determined that the agent is installed in the terminal device, the erroneous learning process of the terminal device is left to the agent installed in the terminal device (step S12-4), and the Vista OS terminal Even if it exists, the pseudo ARP response packet is not unicasted.
In order to cause the agent to perform a false learning process, the
この送信部295は、端末装置が、妨害が必要ではない非妨害対象端末装置から妨害が必要な妨害対象端末装置へ状態遷移したときと、妨害が必要な妨害対象端末装置から妨害が必要ではない非妨害対象端末装置へ状態遷移したときに、第1端末情報テーブル230aの内容を送信する。
つまり、この送信部295は、図13のエージェントping実行処理によって、第1端末情報テーブル230aの内容が更新されたときに、その第1端末情報テーブル230aの内容を、エージェントへ送信する。これにより、エージェントは、新たに端末が隔離された場合や、端末が合格となった場合には、その最新情報を直ちに入手することができる。
The
That is, when the content of the first terminal information table 230a is updated by the agent ping execution process of FIG. 13, the
そして、端末装置に搭載されたエージェントの誤学習処理部340(図5参照)の端末情報受信部340は、検疫制御装置2から送信された第1端末情報テーブル230aの内容を受信し、妨害対象端末装置(隔離端末)を把握する。さらに、誤学習処理部340のARPテーブル操作部342は、OSが有するARPテーブルを操作して、妨害対象端末装置に対する妨害を行う。
つまり、妨害対象端末装置に搭載されたエージェントのARPテーブル操作部342は、自端末のARPテーブルにおけるMACアドレスを、全端末について、検疫制御装置2のMACアドレス(偽MACアドレス)に書き換える。
また、非妨害対象端末装置に搭載されたエージェントのARPテーブル操作部342は、自端末のARPテーブルの内容のうち、全ての妨害対象端末装置のMACアドレスを、検疫制御装置のMACアドレス(偽MACアドレス)に書き換える処理を行う。これらの処理により、隔離端末からの通信、隔離端末への通信が、ともに検疫制御装置2へ流れるようになる。
Then, the terminal
That is, the ARP
In addition, the ARP
以上のように、端末装置に搭載されたエージェントが誤学習処理を行うことで、端末装置は、ユニキャスト疑似ARP応答パケットを受信しなくても、誤学習を行うことができる。
なお、妨害対象端末装置を示す情報は、検疫制御装置2から送信された第1端末情報テーブル230aの内容である必要はない。例えば、検疫制御装置2から送信されたブロードキャスト疑似ARP応答パケットを端末装置が受信すると、そのブロードキャスト疑似ARP応答パケットをエージェントが取得し、そのブロードキャスト疑似ARP応答パケットの送信元IPアドレスに基づいて、エージェントが妨害対象端末装置を把握してもよい。
As described above, the agent installed in the terminal device performs the erroneous learning process, so that the terminal device can perform the erroneous learning without receiving the unicast pseudo ARP response packet.
The information indicating the interference target terminal device does not need to be the content of the first terminal information table 230a transmitted from the
[6.8.3 中継機能]
妨害対象端末装置宛として検疫制御装置2(又は他の収集・破棄用装置)に送られてくるデータパケットのうち、送信元(=検疫制御装置の周囲の端末装置)のIPアドレスが、例外情報テーブル235に登録されている場合、検疫制御装置2(又は他の収集・破棄用装置)の通信中継部281は、そのデータパケットを破棄せずに、妨害対象端末装置に転送する。つまり、妨害対象端末装置であっても、例外に指定された端末装置との間だけは通信を成立させる(妨害しない)。
[6.8.3 Relay function]
Among the data packets sent to the quarantine control device 2 (or other collection / discard device) addressed to the interference target terminal device, the IP address of the transmission source (= terminal devices around the quarantine control device) is the exception information. When registered in the table 235, the
例外通信を許可することで、隔離端末と判断された検疫対象端末装置3の内部状態を改善するためのリソース(OSの月例パッチ(Hotfix))やウィルス対策ソフトウェアのパターンファイルなど)が、特定の社内サーバやインターネット上のサーバにある場合に、隔離端末が当該リソース又はファイル等を取得することができる。
つまり、当該リソース又はファイル等があるサーバを例外情報テーブルに登録しておくことで、当該リソース又はファイル等を当該サーバからネットワーク経由で取得することができ、隔離端末の内部状態改善を容易に行える。
By allowing exception communication, resources (such as OS monthly patch (hotfix)) and anti-virus software pattern files for improving the internal state of the quarantine
In other words, by registering a server with the resource or file in the exception information table, the resource or file can be acquired from the server via the network, and the internal state of the isolated terminal can be easily improved. .
仮に、例外通信を許可しない場合、内部状態を改善するためのリソース等は、CD−ROMなどオフラインで入手するほか無く、内部状態改善のための手間が著しく増加するが、例外通信を許可することで、こうした手間が低減される。 If exception communication is not permitted, resources for improving the internal state must be obtained offline, such as a CD-ROM, and the effort for improving the internal state will increase significantly, but allow exception communication. Thus, such trouble is reduced.
なお、本発明は上記実施形態に限定されるものではなく、様々な変形が可能である。例えば、通信監視部250は、ネットワークを流れるARP要求パケットではなく、他種類のIPパケットを監視してもよい。この場合、他の種類のIPパケットの送信元及び/又は送信先に対して、妨害の要否を判定すればよい。
また、誤学習不能端末装置のOSは、WindowsXPやWindowsServer2008に限定されるものではなく、ブロードキャスト送信された疑似ARP応答パケットでは妨害対象端末装置のMACアドレスを誤学習させることができないすべてのOSが含まれる。
In addition, this invention is not limited to the said embodiment, A various deformation | transformation is possible. For example, the
In addition, the OS of the terminal device that cannot be mis-learned is not limited to Windows XP or Windows Server 2008, and includes all OSs that cannot mislearn the MAC address of the target device to be disturbed in the pseudo-ARP response packet that is broadcast. It is.
1:検疫システム,2:検疫制御装置,210:検査部(エージェントping機能部),211:エージェントping要求送信部(検査結果送信要求部),212:エージエントping要求送信管理部,213:エージェントping応答受信部(検査結果受信部),
214:エージェントping開始要求受信部(開始要求受信部),220:判定部,220a:第1判定部,220b:第2判定部(エージェントping利用の判定部),230:端末情報テーブル,230a:第1端末情報テーブル,231:合格端末情報テーブ(非妨害対象情報),232:隔離端末情報テーブル(妨害対象情報),230b:第2端末情報テーブル,233:許可端末情報テーブル(非妨害対象情報),234:禁止端末情報テーブル(妨害対象情報),235:例外情報テーブル(例外的通信許可情報),240:テーブル更新部,241:第1テーブル更新部,242:第2端末情報テーブル&静的リストテーブル更新部(管理用通信部),250:通信監視部(ARP要求監視部),251:ARP要求補捉部,252:ARP要求解析部(送信元及び送信先のアドレス取得部),260:通信妨害部,261:疑似ARP応答送信部,261a:第1疑似ARP応答送信部,261b:識別部,261c:第2疑似ARP応答送信部,262:疑似ARP応答送信管理部,263:静的リストテーブル,264:ユニキャスト疑似ARP情報テーブル,270:通信正常化部,271:正常ARP応答送信部,271a:第1正常ARP応答送信部,271b:識別部271b,第2正常ARP応答送信部272c,280:例外通信部,281:通信中継部,290:未登録端末装置処理部,291:ARP応答送信部,292:ARP応答受信部,295:第1端末情報テーブル送信部,3:検疫対象端末装置,310:検査制御部,320:検査ポリシー受信部,330:検査部,331:検査実行部,332:エージェントping要求受信部(検査結果送信要求受信部),333:エージェントping応答生成部,334:エージェントping応答送信部(検査結果送信部),335:エージェントping開始要求送信部(送信開始要求),340:誤学習処理部,341:端末情報受信部341,342:ARPテーブル操作部342,4:検疫管理サーバ(検疫管理コンピュータ),410:テーブル生成部,420:テーブル送信部,430:検査ポリシー生成部,440:検査ポリシー送信部,5:社内サーバ,6:ルータ,7:プリンタ,8:エージェントコンピュータプログラム未搭載の端末装置,P1:検疫制御コンピュータプログラム,P2:エージェントコンピュータプログラム,P3:検疫管理コンピュータプログラム,D1:第1領域,D2:第2領域,D3:第3領域,D4:第4領域
1: Quarantine system, 2: Quarantine control device, 210: Inspection unit (agent ping function unit), 211: Agent ping request transmission unit (inspection result transmission request unit), 212: Agent ping request transmission management unit, 213: Agent ping Response receiver (inspection result receiver),
214: Agent ping start request receiving unit (start request receiving unit), 220: determination unit, 220a: first determination unit, 220b: second determination unit (determination unit for using agent ping), 230: terminal information table, 230a: First terminal information table, 231: Passed terminal information table (non-disturbance target information), 232: Quarantine terminal information table (disturbance target information), 230b: Second terminal information table, 233: Permitted terminal information table (non-disturbance target information) ), 234: Prohibited terminal information table (interference target information), 235: Exception information table (exceptional communication permission information), 240: Table update unit, 241: First table update unit, 242: Second terminal information table & static List table update unit (management communication unit), 250: communication monitoring unit (ARP request monitoring unit), 251: ARP request capture 252: ARP request analysis unit (source and destination address acquisition unit), 260: communication jamming unit, 261: pseudo ARP response transmission unit, 261a: first pseudo ARP response transmission unit, 261b: identification unit, 261c : Second pseudo ARP response transmission unit, 262: pseudo ARP response transmission management unit, 263: static list table, 264: unicast pseudo ARP information table, 270: communication normalization unit, 271: normal ARP response transmission unit, 271a : First normal ARP response transmission unit, 271b: identification unit 271b, second normal ARP response transmission unit 272c, 280: exception communication unit, 281: communication relay unit, 290: unregistered terminal device processing unit, 291: ARP response transmission 292: ARP response receiver, 295: first terminal information table transmitter, 3: quarantine target terminal device, 310: inspection controller, 320 Inspection policy reception unit, 330: inspection unit, 331: inspection execution unit, 332: agent ping request reception unit (inspection result transmission request reception unit), 333: agent ping response generation unit, 334: agent ping response transmission unit (inspection result) 335: Agent ping start request transmission unit (transmission start request), 340: False learning processing unit, 341: Terminal information reception unit 341, 342: ARP table operation unit 342, 4: Quarantine management server (quarantine management computer) ), 410: table generation unit, 420: table transmission unit, 430: inspection policy generation unit, 440: inspection policy transmission unit, 5: in-house server, 6: router, 7: printer, 8: terminal without agent computer program Device, P1: Quarantine control computer program, P2: Age Cement computer program, P3: quarantine management computer program, D1: first region, D2: second region, D3: third region, D4: fourth region
Claims (26)
前記通信妨害部は、
送信元IPアドレスが前記妨害対象端末装置のIPアドレスであり、送信元MACアドレスが前記妨害対象端末装置のMACアドレス以外の偽MACアドレスである疑似ARP応答を、ブロードキャスト送信する第1疑似ARP応答送信部と、
送信元IPアドレスが前記妨害対象端末装置のIPアドレスであり、送信元MACアドレスが前記妨害対象端末装置のMACアドレス以外の偽MACアドレスである疑似ARP応答を、ユニキャスト送信する第2疑似ARP応答送信部と、
前記第1疑似ARP応答送信部によってブロードキャスト送信された前記疑似ARP応答では、前記妨害対象端末装置のMACアドレスを誤学習させることができない誤学習不能端末装置を識別する識別部と、
を備え、
前記第2疑似ARP応答送信部は、前記識別部によって誤学習不能端末装置であると識別された端末装置に対して、前記疑似ARP応答をユニキャスト送信する
ことを特徴とする検疫制御装置。 A quarantine control device including a communication disturbing unit that performs a communication disturbing process for a target terminal device that is required to interfere with communication among terminal devices connected to a network,
The communication disturbing unit is
First pseudo ARP response transmission that broadcasts a pseudo ARP response in which a transmission source IP address is the IP address of the interference target terminal device and a transmission source MAC address is a fake MAC address other than the MAC address of the interference target terminal device And
A second pseudo ARP response for unicasting a pseudo ARP response in which the source IP address is the IP address of the interference target terminal device and the source MAC address is a fake MAC address other than the MAC address of the interference target terminal device A transmission unit;
In the pseudo ARP response broadcasted by the first pseudo ARP response transmission unit, an identification unit for identifying a mis-learning impossible terminal device that cannot mislearn the MAC address of the interference target terminal device;
With
The second pseudo ARP response transmission unit unicasts the pseudo ARP response to a terminal device identified by the identification unit as a terminal device that cannot be mis-learned.
前記エージェントは、当該エージェントが搭載された誤学習不能端末装置に対して妨害対象端末装置のMACアドレスを誤学習させる誤学習処理を行うものである請求項2記載の検疫制御装置。 The terminal device excluded by the exclusion means is a terminal device that cannot be mis-learned with an agent mounted thereon,
The quarantine control apparatus according to claim 2, wherein the agent performs an erroneous learning process of causing the terminal device on which the agent is installed to mislearn the MAC address of the terminal device to be disturbed.
前記除外手段が除外する端末装置は、前記除外端末装置リストに示される除外端末装置である請求項2又は3に記載の検疫制御装置。 An excluded terminal device list indicating excluded terminal devices to be excluded from the unicast transmission target of the pseudo ARP response,
The quarantine control apparatus according to claim 2 or 3, wherein the terminal device excluded by the exclusion unit is an excluded terminal device indicated in the excluded terminal device list.
妨害対象端末装置が、妨害が必要ではない非妨害対象端末装置から妨害が必要な妨害対象端末装置に状態遷移した後の最初の妨害処理の際には、前記妨害対象端末装置の通信相手以外の端末装置を、前記疑似ARP応答をユニキャスト送信する対象から除外せず、
前記状態遷移した後の2回目以降の妨害処理の際には、前記妨害対象端末装置の通信相手以外の端末装置を、前記疑似ARP応答をユニキャスト送信する対象から除外するものである
請求項5記載の検疫制御装置。 The exclusion means includes
In the first disturbance process after the state-of-interrupt terminal device transitions from a non-disturbance target terminal device that does not require interference to a target terminal device that needs to be disturbed, Without excluding the terminal device from the unicast transmission target of the pseudo-ARP response,
6. In the second and subsequent disturbance processing after the state transition, a terminal device other than the communication partner of the interference target terminal device is excluded from a target for unicast transmission of the pseudo ARP response. The quarantine control device described.
前記除外手段は、前記通信相手テーブルを参照することで、前記妨害対象端末装置の通信相手を認識する請求項5又は6記載の検疫制御装置。 A communication partner table for storing the interference target terminal device and its communication partner,
The quarantine control apparatus according to claim 5 or 6, wherein the exclusion unit recognizes a communication partner of the interference target terminal device by referring to the communication partner table.
前記妨害対象端末装置の通信検出時における妨害処理では、前記疑似ARP応答のブロードキャスト送信とともに、前記疑似ARP応答のユニキャスト送信を行い、
定期的に実行する妨害処理では、前記疑似ARP応答のユニキャスト送信は行わずに、前記疑似ARP応答のブロードキャスト送信を行う請求項1〜8のいずれか1項に記載の検疫制御装置。 The communication jamming unit is configured to perform jamming processing at the time of communication detection of the jamming target terminal device, and to periodically execute the processing.
In the jamming process at the time of communication detection of the jamming target terminal device, unicast transmission of the pseudo ARP response is performed together with broadcast transmission of the pseudo ARP response,
The quarantine control apparatus according to any one of claims 1 to 8, wherein, in the disturbance processing that is periodically executed, the pseudo ARP response is broadcasted without performing the unicast transmission of the pseudo ARP response.
前記識別部は、前記取得手段によって取得した識別情報に基づいて、誤学習不能端末装置を識別する請求項1〜9のいずれか1項に記載の検疫制御装置。 An obtaining unit for obtaining identification information for identifying whether or not the terminal device is the mis-learnable terminal device from the terminal device;
The quarantine control device according to any one of claims 1 to 9, wherein the identification unit identifies a terminal device that cannot be erroneously learned based on identification information acquired by the acquisition unit.
前記妨害処理では、
送信元IPアドレスが前記妨害対象端末装置のIPアドレスであり、送信元MACアドレスが前記妨害対象端末装置のMACアドレス以外の偽MACアドレスである疑似ARP応答を、ブロードキャスト送信するとともに、
前記第1疑似ARP応答送信部によってブロードキャスト送信された前記疑似ARP応答では、前記妨害対象端末装置のMACアドレスを誤学習させることができない誤学習不能端末装置に対して、送信元IPアドレスが前記妨害対象端末装置のIPアドレスであり、送信元MACアドレスが妨害対象端末装置のMACアドレス以外の偽MACアドレスである疑似ARP応答を、ユニキャスト送信する
ことを特徴とする通信妨害方法。 A communication jamming method for performing a jamming process for a jamming target terminal device that needs to be jammed among terminal devices connected to a network,
In the jamming process,
A pseudo ARP response in which a transmission source IP address is an IP address of the interference target terminal device and a transmission source MAC address is a fake MAC address other than the MAC address of the interference target terminal device is broadcast and transmitted.
In the pseudo ARP response broadcasted by the first pseudo ARP response transmission unit, the source IP address is set to the jamming-impossible terminal device that cannot mislearn the MAC address of the jamming target terminal device. A communication jamming method characterized by unicasting a pseudo-ARP response that is an IP address of a target terminal device and whose source MAC address is a fake MAC address other than the MAC address of the jamming target terminal device.
前記エージェントは、通信の妨害が必要とされる妨害対象端末装置のMACアドレス以外の偽MACアドレスが、前記妨害対象端末装置のMACアドレスであるとする誤学習を、当該エージェントが搭載された端末装置に対して行わせる誤学習処理部を備えていることを特徴とする端末装置。 A terminal device with an agent,
The agent performs a false learning that a false MAC address other than the MAC address of the target terminal device to be disturbed, which is required to interfere with communication, is the MAC address of the target terminal device to be disturbed. The terminal device characterized by including the mislearning processing part to be performed with respect to.
請求項1〜13のいずれか1項に記載の検疫制御装置に対し、当該エージェントが搭載された端末装置が、前記誤学習不能端末装置であるか否かを示す情報を送信する送信手段を備えていることを特徴とする端末装置。 A terminal device with an agent,
14. A transmission means for transmitting to the quarantine control device according to any one of claims 1 to 13 information indicating whether or not a terminal device on which the agent is mounted is the erroneous learning impossible terminal device. A terminal device.
コンピュータを、請求項17〜21のいずれか1項に記載のエージェントとして機能させるためのエージェントコンピュータプログラムと、
を含むコンピュータプログラム。 A quarantine control computer program for causing a computer to function as the quarantine control device according to any one of claims 1 to 13,
An agent computer program for causing a computer to function as the agent according to any one of claims 17 to 21;
Computer programs, including.
前記エージェントは、通信の妨害が必要とされる妨害対象端末装置のMACアドレス以外の偽MACアドレスが、前記妨害対象端末装置のMACアドレスであるとする誤学習を、当該エージェントが搭載された端末装置対して行わせることを特徴とする誤学習処理方法。 A false learning processing method in a terminal device on which an agent is mounted,
The agent performs a false learning that a false MAC address other than the MAC address of the target terminal device to be disturbed, which is required to interfere with communication, is the MAC address of the target terminal device to be disturbed. An erroneous learning processing method characterized by being performed on a computer.
送信元IPアドレスが前記妨害対象端末装置のIPアドレスであり、送信元MACアドレスが前記妨害対象端末装置のMACアドレス以外の偽MACアドレスである疑似ARP応答を、前記検疫制御装置がユニキャスト送信するユニキャスト送信ステップと、
前記端末装置に搭載されたエージェントが、当該エージェントが搭載された端末装置に対して前記妨害対象端末装置のMACアドレスを誤学習させる誤学習処理を行う誤学習処理ステップと、を含み、
前記ユニキャスト送信ステップでは、前記妨害対象端末装置以外の端末装置であって、かつエージェントが搭載されていない端末装置へ、前記疑似ARP応答をユニキャスト送信する
ことを特徴とする通信妨害方法。 In a quarantine system in which a quarantine control device and a terminal device are connected via a network, a method of performing communication obstruction for an obstruction target terminal device that is required to obstruct communication among the terminal devices,
The quarantine control apparatus unicasts a pseudo ARP response in which the transmission source IP address is the IP address of the disturbance target terminal apparatus and the transmission source MAC address is a fake MAC address other than the MAC address of the disturbance target terminal apparatus. A unicast transmission step;
An agent installed in the terminal device includes an erroneous learning process step of performing an erroneous learning process of causing the terminal device equipped with the agent to erroneously learn the MAC address of the terminal device to be disturbed,
In the unicast transmission step, the pseudo-ARP response is unicast-transmitted to a terminal device other than the interference target terminal device and having no agent mounted thereon.
前記通信妨害部は、送信元IPアドレスが前記妨害対象端末装置のIPアドレスであり、送信元MACアドレスが妨害対象端末装置のMACアドレス以外の偽MACアドレスである疑似ARP応答を、ユニキャスト送信する疑似ARP応答送信部を備え、
前記疑似ARP応答送信部は、妨害対象端末装置以外の端末装置であって、かつエージェントが搭載されていない端末装置へ、前記疑似ARP応答を送信するものであり、
前記エージェントは、当該エージェントが搭載された端末装置に対して妨害対象端末装置のMACアドレスを誤学習させる誤学習処理を行うものである
ことを特徴とする検疫制御装置。 A quarantine control device including a communication disturbing unit that performs a communication disturbing process for a target terminal device that is required to interfere with communication among terminal devices connected to a network,
The communication jamming unit unicasts a pseudo ARP response in which a transmission source IP address is an IP address of the jamming target terminal device and a transmission source MAC address is a fake MAC address other than the MAC address of the jamming target terminal device. A pseudo ARP response transmitter,
The pseudo ARP response transmitter is a terminal device other than the interference target terminal device and transmits the pseudo ARP response to a terminal device on which an agent is not mounted.
The quarantine control device, wherein the agent performs a false learning process for causing the terminal device on which the agent is installed to mislearn the MAC address of the terminal device to be disturbed.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008288835A JP5163984B2 (en) | 2008-11-11 | 2008-11-11 | Quarantine control device, quarantine control computer program, communication interruption method, terminal device, agent computer program, computer program, and erroneous learning processing method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008288835A JP5163984B2 (en) | 2008-11-11 | 2008-11-11 | Quarantine control device, quarantine control computer program, communication interruption method, terminal device, agent computer program, computer program, and erroneous learning processing method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010118745A JP2010118745A (en) | 2010-05-27 |
JP5163984B2 true JP5163984B2 (en) | 2013-03-13 |
Family
ID=42306136
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008288835A Expired - Fee Related JP5163984B2 (en) | 2008-11-11 | 2008-11-11 | Quarantine control device, quarantine control computer program, communication interruption method, terminal device, agent computer program, computer program, and erroneous learning processing method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5163984B2 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5551061B2 (en) * | 2010-12-27 | 2014-07-16 | 株式会社Pfu | Information processing apparatus, address duplication coping method, and address duplication coping program |
EP2715991A4 (en) | 2011-05-23 | 2014-11-26 | Nec Corp | Communication system, control device, communication method, and program |
CN104883410B (en) * | 2015-05-21 | 2018-03-02 | 上海沪景信息科技有限公司 | A kind of network transfer method and network transmission device |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004185498A (en) * | 2002-12-05 | 2004-07-02 | Matsushita Electric Ind Co Ltd | Access control unit |
JP4174392B2 (en) * | 2003-08-28 | 2008-10-29 | 日本電気株式会社 | Network unauthorized connection prevention system and network unauthorized connection prevention device |
JP2006157293A (en) * | 2004-11-26 | 2006-06-15 | Nippon Telegraph & Telephone East Corp | Server, and communication terminal and system |
JP2008054204A (en) * | 2006-08-28 | 2008-03-06 | Mitsubishi Electric Corp | Connection device, terminal device, and data confirmation program |
JP4745922B2 (en) * | 2006-08-30 | 2011-08-10 | 三菱電機株式会社 | Network monitoring apparatus, quarantine system, secure gateway, network monitoring program, and network monitoring method |
JP2008077558A (en) * | 2006-09-25 | 2008-04-03 | Mitsubishi Electric Corp | Quarantine network system |
JP4195480B2 (en) * | 2006-10-04 | 2008-12-10 | インターナショナル・ビジネス・マシーンズ・コーポレーション | An apparatus and method for managing and controlling the communication of a computer terminal connected to a network. |
JP2008278193A (en) * | 2007-04-27 | 2008-11-13 | Sumitomo Electric System Solutions Co Ltd | Quarantine control device, quarantine control computer program, quarantine method, terminal device to be quarantined, agent computer program, inspection method, computer program set, and packet data structure |
-
2008
- 2008-11-11 JP JP2008288835A patent/JP5163984B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2010118745A (en) | 2010-05-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8910248B2 (en) | Terminal connection status management with network authentication | |
JP4946564B2 (en) | Authentication processing method and system | |
US8369346B2 (en) | Method and system for restricting a node from communicating with other nodes in a broadcast domain of an IP (internet protocol) network | |
JP4297792B2 (en) | Web server embedded business equipment | |
JP2008278193A (en) | Quarantine control device, quarantine control computer program, quarantine method, terminal device to be quarantined, agent computer program, inspection method, computer program set, and packet data structure | |
KR20080004502A (en) | Process for managing resource address requests and associated gateway device | |
WO2007045155A1 (en) | A method for realizing mobile station secure update and correlative reacting system | |
EP1838067A2 (en) | Voice-quality evaluating system, communication system, test management apparatus, and test communication apparatus | |
JP5163984B2 (en) | Quarantine control device, quarantine control computer program, communication interruption method, terminal device, agent computer program, computer program, and erroneous learning processing method | |
JP2006011888A (en) | Remote management system | |
US8484345B2 (en) | Communication control apparatus, communication control system, and communication control method | |
JP5822161B2 (en) | Quarantine control device, quarantine control computer program, and quarantine method | |
JP5769301B2 (en) | Quarantine control device, quarantine control computer program, and quarantine method | |
JP2007266931A (en) | Communication interruption apparatus, and communication interruption program | |
JP5267893B2 (en) | Network monitoring system, network monitoring method, and network monitoring program | |
JP4921864B2 (en) | Communication control device, authentication system, and communication control program | |
JP2016015676A (en) | Monitoring device, monitoring system, and monitoring method | |
JP6476530B2 (en) | Information processing apparatus, method, and program | |
JP2015019320A (en) | Management system, management device, and computer program | |
JP5420465B2 (en) | Communication monitoring apparatus, method and program | |
JP3880530B2 (en) | Client safety screening system using dynamic address assignment server | |
JP4290526B2 (en) | Network system | |
US8660143B2 (en) | Data packet interception system | |
JP2019103118A (en) | Communication relay device, communication relay program, and communication relay method | |
JP5600133B2 (en) | Monitoring device, monitoring method and monitoring program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A625 | Written request for application examination (by other person) |
Free format text: JAPANESE INTERMEDIATE CODE: A625 Effective date: 20110826 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120704 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120814 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120924 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121120 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121206 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151228 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5163984 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |