JP5390798B2 - ネットワーク機器についての早期警告のための方法と装置 - Google Patents
ネットワーク機器についての早期警告のための方法と装置 Download PDFInfo
- Publication number
- JP5390798B2 JP5390798B2 JP2008176773A JP2008176773A JP5390798B2 JP 5390798 B2 JP5390798 B2 JP 5390798B2 JP 2008176773 A JP2008176773 A JP 2008176773A JP 2008176773 A JP2008176773 A JP 2008176773A JP 5390798 B2 JP5390798 B2 JP 5390798B2
- Authority
- JP
- Japan
- Prior art keywords
- arp
- address
- packet
- data packet
- network device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Small-Scale Networks (AREA)
Description
本発明はコンピュータネットワークセキュリティに関し、特にネットワーク機器についての早期警告のための方法と装置に関する。
イーサネット(登録商標)においては、ネットワーク層はデータパケットに含まれるIP(インターネットプロトコル)アドレスによりネットワーク内の各デバイスを識別する。データリンク層はMAC(メディアアクセス制御)アドレスによりネットワーク内の各デバイスを識別する。ネットワーク機器は少なくとも1つのIPアドレスとMACアドレスの間の対応関係(mapping relationship)を含んだARP(アドレス解決プロトコル)テーブルを有することがあり、そのネットワーク機器はARPテーブルの対応関係をチェックしてデータパケット中のIPアドレスに対応したMACアドレスを得ることができ、データパケットはMACアドレスに対応するデバイスに送られる。
もしネットワーク機器がARPテーブルの位置づけ関係をチェックすることでデータパケット中のIPアドレスに対応したMACアドレスを取得することができない場合、ネットワーク機器のブロードキャストドメインの範囲でブロードキャストする方法でARP要求パケットが送信され、ARP要求パケット中のIPアドレスと一致するIPアドレスを有するネットワーク機器が応答し、該ネットワーク機器がARP要求パケットを送信したネットワーク機器に対するフィードバックとして応答パケット中でそのMACアドレスを送信する。将来の使用のために前記IPアドレスと前記MACアドレスの間の対応関係はARPテーブルに格納される。データパケットはネットワーク機器によりMACアドレスに送られる。
悪意の使用者は、ネットワーク機器により前記ARPテーブルに書き込まれる違反な対応関係を取得するようにネットワークアドレスを捏造することでARP攻撃をすることが可能である。例えば、ARPデータパケットはその使用者のネットワーク機器のMACアドレスとARPテーブルに既に格納されたIPアドレスとを含んでおり、ARP攻撃をする使用者はARP攻撃をしようとするネットワーク機器に前記ARPデータパケットを送ることができる。ネットワーク機器が前記ARPデータパケットを受信するとき、ARPテーブル中のIPアドレスに応じてテーブルを更新し、その結果として、悪意の使用者は他の使用者に送られるべきデータパケットを受信することができる。以後、そのネットワーク機器は捏造されたIPアドレスの代わりに悪意の使用者の機器に全てのデータパケットを誤って送ってしまうことになる。
更に、悪意の使用者は標準のゲートウエイを攻撃するのに同じ技術を用いることができる。悪意の使用者は上述の方法を用いてイーサネット(登録商標)内のゲートウエイのIPアドレスを捏造することができ、それによって前記ゲートウエイに接続された全ての端末機器を正しいゲートウエイを介した通信ができないようにして、ネットワークのセキュリティとプライバシーを危うくさせる。
悪意の使用者からの上述の攻撃は一般的にARPテーブルのIPアドレスとMACアドレスの間の対応関係の不正さによって引き起こされ、現状、IPアドレスとMACアドレスの間の対応関係を正しく構築したり、攻撃源らしきものを察知して使用者に早期警告を与えることで、攻撃源を除くことが行われており、現在の1つの方策としては、DHCP(Dynamic Host Configuration Protocol)サーバーからIPアドレスとMACアドレスの間の正しい対応関係をインポートするものがあり、それ以外としてDHCPや静的なIPアドレスの割り当てがないネットワークにおいては、静的なARP構成によって正しいIPアドレスとMACアドレスの間の対応関係が一般的に作成される。
ところが、適正な使用者から正しいMACアドレス情報を得ることは容易ではなく、使用者数が多いネットワークの構成を手動で作成することは重労働であって、作動させることも非常に複雑である。
本発明は、使用者に自動的に警告できるネットワーク機器についての早期警告のための方法と装置に関し、よって使用者が遅れずに異常な機器を突きとめることができるものである。
まず、本発明は、ネットワーク機器についての早期警告のための方法を提供し、ネットワーク機器についての早期警告のための方法であって、先ず、ARP要求パケットは少なくとも一度検知範囲内のネットワーク機器に送信され、そのARP応答パケットは予め設定された時間内に受信され、第1の判断条件は前記ARP応答パケットの数量が前記ARP要求パケットの数量と同じであることを少なくとも有するものとされ、前記第1の判断条件を満たすMACアドレスとIPアドレスの間の対応関係は格納され、ARPデータパケットを送受信し、前記ARPデータパケットはARP要求パケットとARP応答パケットを有してなり、第2の判断条件は少なくとも前記ARPデータパケット中の送信元IPアドレスと送信元MACアドレスが前記格納された対応関係と整合しないものとされ、前記第2の判断条件を満たすとき早期警告がなされることを特徴とする。
一方、本発明は、ネットワーク機器についての早期警告装置を提供し、少なくとも一度検知範囲内のネットワーク機器にARP要求パケットを送信しARP応答パケットを予め設定された時間内に受信する送受信部と、第1の判断条件は少なくとも前記ARP応答パケットの数量が前記ARP要求パケットの数量と同じであることであって、前記第1の判断条件を満たすARP応答パケットのIPアドレスとMACアドレスの間の対応関係を格納し、ARPデータパケットがモニターされ、前記ARPデータパケットはARP要求パケットとARP応答パケットを有してなり、第2の判断条件が少なくとも前記ARPデータパケット中の送信元IPアドレスと送信元MACアドレスが前記格納された対応関係と整合しないものであって、前記送受信部によって受信されたARPデータパケットが前記第2の判断条件を満たすとき早期警告を行なう解析部と、前記送受信部と前記解析部の間の通信を可能とする通信部とを有することを特徴とする。
本発明の実施形態に従えば、上述の技術的な構成において、検知範囲内のネットワーク機器のネットワークアドレス情報は自動的に識別され、ARP要求パケットを送信することで能動的に格納され、さらには格納中においてARP応答パケットの正しさについての幾つかの試験が実施され、高度な正しさをもった対応関係テーブルが自動的に構築され得ることになる。
さらに、高度な正しさをもった対応関係テーブルが構築されることから、前記対応関係テーブルのネットワークアドレス情報と検知範囲内で受信したARPデータパケット内のネットワークアドレス情報を比較することで、異常なネットワークアドレスを有する機器は遅れることなく検知でき、よって早期警告を行って使用者にとって便利に遅れることなく異常な機器を突きとめられる。
本発明は、1つには、より高い正しさを以って対応関係テーブルを自動的に構築できるネットワーク機器についての早期警告方法を提供するものであり、対応関係テーブル(mapping relationship table)を用いて異常なネットワークアドレスを持つネットワーク機器について早期警告をするものである。
図1に示すように、早期警告を行うときには、本発明の一実施形態に従えば、先ず、より高い正しさを以って対応関係テーブルを構築する方法が提供される。その方法は次のように詳述される。本発明の一実施形態においては、ネットワーク機器のネットワークアドレス情報(IPアドレスとMACアドレスを有する。)を取得するため、先ず、要求パケットが検知範囲内のネットワーク機器に送信される(S101)。次いで、或る時間の後、ARP応答パケットが各ネットワーク機器から受信される(S102)。より高い正しさを以って対応関係テーブルを構築するため、実施形態では、返信されたARP応答パケットのネットワークアドレス情報が正しいか否かを判断するために第1の判断条件が設定される。第1の判断条件が満たされているとき、ARP応答パケットのIPアドレスとMACアドレスの間の対応関係が格納される(S103)。ネットワークアドレス情報が正しいか否かを判断するための第1の判断条件は複数の条件の組み合わせで設定でき、本発明の実施形態に従う第1の判断条件は、少なくとも受信したARP応答パケットの数量が送信したARP要求パケットの数量と同じであることを有するものとされる。
前記対応関係テーブルを用いてネットワーク機器についての早期警告を行うときには、ARPデータパケットが監視される。ここでARPデータパケットは、ネットワーク機器から送信されたARP要求パケットとすることもでき、あるいはネットワーク機器から送信されたARP応答パケットであっても良い。受信したARPデータパケットのネットワークアドレス情報が正しいか否かを判断するため、本発明の実施形態においては、第2の判断条件が設定される。もし第2の判断条件が満たされるならば、それはARPデータパケット中のネットワークアドレス情報が異常であると推定されることを示し、次いで早期警告の知らせが送信される(S104)。本発明の実施形態に従う第2の判断条件は、1つの条件若しくは複数の条件の組み合わせで設定できる。前記第2の判断条件は少なくとも前記ARPデータパケット中の送信元IPアドレスと送信元MACアドレスが格納された対応関係と整合しないことを有するものとされる。
上述の技術的な構成においては、正常なネットワーク機器がARP要求パケットを受信したとき、そのARP要求パケット中のIPアドレスと、同一のIPアドレスを有するネットワーク機器が返答を行い、これによって受信したARP応答パケットの数量が送信したARP要求パケットの数量と同じであることを正しいとする。しかしながら、ネットワークを攻撃するためには、ネットワーク機器がどのARP要求パケットも受信していない状況で悪意の使用者は能動的にARP応答パケットを送ることができる。このため受信したARP応答パケットの数量がARP要求パケットのそれと同じであるか否かを判断することは前記ARP応答パケットに対応したネットワーク機器のネットワークアドレスが異常か否かを決定するための条件の1つされ、それ故に対応関係テーブルのネットワークアドレスはより高い正しさを有することになる。
本発明の背景で説明したように、悪意の使用者は通常IPアドレスかMACアドレスを捏造することでネットワーク機器を攻撃し、ARPデータパケット(要求パケット若しくは応答パケット)を使用してIPアドレスとMACアドレスの間の正しい対応関係を変えてくる。従って、上述の方法によって正しい対応関係テーブルを構築した後、検知範囲内でのARPデータパケットを監視して異常なネットワーク機器に対する自動的な早期警告を使用者に対して行い、それは使用者にとって悪意の使用者を識別させ、遅れることなく攻撃源を除くことに便宜となる。
手順S101の最適化として、本発明の一実施形態においては、対応関係テーブルを構築する際にARP要求パケットが複数回送信され、ARP要求パケットの各送信ごとに対応して予め設定した時間内でそれぞれARP応答パケットが受信される。もし受信したARP応答パケットの数量が送信したARP要求パケットの数量と同じでないときでは、これは第1の判断条件が満たされないことを示す。本発明の一実施形態においては、ARP要求パケットは同じ周期若しくは異なる周期で送信され、更にはARP応答パケットは同じ周期若しくは異なる周期で受信される。
ARP要求パケットが送信されたとき、特にARP要求パケットが一度だけ送信されるとき、もし異常なネットワークアドレスを有するARP応答パケットが受信され、若しくは複数のネットワーク機器から受信した応答パケットの数量がARP要求パケットの数量に対応するならば、異常なネットワークアドレスを持った可能性のある機器を除くことができ、上述の方法で正しいネットワークアドレスを格納することができる。実施形態においては、所望の送信周期に設定でき、悪意の使用者が正確な送信周期を知ることも困難である。捏造したネットワークアドレスを持ったネットワーク機器からのARP要求パケットの能動的な送信周期は一般的に固定であり、よって異常なネットワークアドレスを持ったネットワーク機器をさらには除くことができる。加えて、IP競合(即ち、IPアドレスが複数のネットワーク機器に割り当てられている。)であるネットワーク機器は遅れることなく上述の方法によって識別される。
第1の判断条件が満たされているか否かについての手順S103は次のようである。受信したARP応答パケットの数量が送信したARP要求パケットの数量と同じであるか否かを決める多くの方法があり、本発明の一実施形態では次の手順のものを提供する。検知範囲内のネットワーク機器にARP要求パケットを送信したときに、予め設定された時間期限までARP応答パケットを待つ。もしARP応答パケット中のIPアドレスとMACアドレスの間の対応関係が未だ格納されていない場合は、その対応関係が格納される。もし対応関係が既に格納されている場合は、ARP要求パケットに対応した或るネットワーク機器から同じARP要求パケットが複数回送信されていることを示し、それによってARP応答パケットの数量がARP要求パケットの数量と同じではないことが決定される。上述の格納プロセスは、一時的な格納テーブルを構築したり、或いは対応関係テーブルに直接格納することで実施することができる。
応答パケットの正しさは受信された際に毎回チェックされ、格納されたネットワークアドレス情報の中にIPアドレスとMACアドレスの間の正しい対応関係が取得される。本発明の背景で説明したように、悪意の使用者は、通常IPアドレスかMACアドレスのネットワークアドレスを捏造することでネットワーク機器を攻撃し、悪意の攻撃をするためにARPテーブルのIPアドレスとMACアドレスの間の正しい対応関係を変えてくる。上述の方法は、ARP要求パケットが一度きり送信された後にARP応答パケットが複数回受信されるか否かをチェックするものであり、したがって、上述の方法は前記ARP応答パケットの数量が前記ARP要求パケットの数量と同じであるか否かを判断するのに使用することができる。
さらに、受信したARP応答パケットの数量が送信したARP要求パケットの数量と同じであるか否かを判断する手順S103については、図2に示すように、本発明の一実施形態では次の手順のものを更に提供する。一度ARP要求パケットが検知範囲内のネットワーク機器に送信され(S201)、予め設定された時間期限までARP応答パケットを待つ(S202)。前述の実施形態と異なるところは、本実施形態ではカウンターが配設される。もしARP応答パケット中のIPアドレスとMACアドレスの間の対応関係が未だ格納されていない場合は、その対応関係が格納される(S203、S204)。もし対応関係が既に格納されている場合は、カウンターの値に1を加える(S205)。ARP要求パケットを送信する回数が予め設定された値に達したとき(S206)、もしカウンターの値が要求パケットを送信する回数と同じであれば、受信したARP応答パケットの数量が送信したARP要求パケットの数量と同じであることを示すことになる(S207)。上述の手順は一時格納テーブルに格納しても良く、永続的な格納テーブルに格納しても良い。
上述の手順S103については、対応関係テーブルを更新する方法が本発明の一実施形態として詳述され、本発明の技術的な構成をさらに最適化するものである。
本発明の一実施形態では、手順S103に説明されたところのARP応答パケット中のIPアドレスとMACアドレスの間の対応関係の格納を更に最適化するために、ARP要求パケットが送信されるときに検知するネットワーク内に停止状態か新規のIPアドレスが割り当てられたネットワーク機器があることも考えて、停止状態か新規のIPアドレスが割り当てられたネットワーク機器のための対応するARP通知機構部が存在するものとされ、送信元IPアドレスとして同じ宛先IPアドレスを持つARPデータパケットを送信することで、対応するネットワーク機器に現在のIPアドレスを通知するものである。それ故、本実施形態においては、ネットワーク機器の状態はネットワーク機器の始動やネットワークアドレス情報の変化などを有しているものとされており、ネットワーク機器の状態変化が識別されるとき、もしARP通知機構部を満足するARPデータパケットが監視され、且つARPデータパケットのネットワークアドレスと、対応関係テーブルに格納されているIPアドレスとMACアドレスの間の対応関係との間に競合がない場合には、格納されている対応関係が更新される。その更新のプロセスは、次の状況を有しているものとされる。IPアドレスが検知範囲内であり、対応関係テーブルにはIPアドレスとMACアドレスの間の対応関係が未だ格納されていないときには、対応関係テーブルにIPアドレスとMACアドレスの間の対応関係が格納される。もしARPデータパケットのIPアドレスが未だ格納されておらず、MACアドレスが既に格納されているときには、前記ARP応答パケット中のIPアドレスとMACアドレスの間の対応関係が格納され、既に格納されたIPアドレスとMACアドレスの間の対応関係は維持され或いは削除される。もし、既に格納されたIPアドレスとMACアドレスの間の対応関係を維持する場合は、複数のIPアドレスを有する或るネットワーク機器が対応関係テーブルによって支持できることが示される。
手順S104のような対応関係テーブルの使用によるネットワーク機器の早期警告方法については、早期警告通知が送られたか否かの第2の判断条件が1つの条件若しくは複数の条件の組み合わせで設定でき、第2の判断条件の組み合わせのいくつかの例及び早期警告を送信を可能とする対応するプロセスは次のように説明される。
図3に示すように、早期警告を送るプロセスは次のように説明される。ARPデータパケットが検知されたとき(S301)、そのARPデータパケット中のIPアドレスとMACアドレスの間の対応関係が対応関係テーブルに格納されたIPアドレスとMACアドレスの間の対応関係と比較される(S302)。前記第2の判断条件は、ARPデータパケット中のネットワークアドレスの組み合わせが対応関係テーブルに格納された対応関係に整合しないことを有していても良く、その第2の判断条件が満たされる場合には早期警告通知が行われることになり、更には、前記第2の判断条件は、ARPデータパケットのMACアドレスが既に格納され、すなわち、早期警告通知が行われる前に前記対応関係テーブルにMACアドレスが既に格納されたか否かの更なる検出を行うことができ(S303)、もし既に格納されているならば、対応関係テーブルにIPアドレスとMACアドレスの間の正しい対応関係が格納されていることから、ARPデータパケット中のMACアドレスは真正なMACアドレスであることを示すことになる。それ故にARPデータパケットを送信するところのネットワーク機器は多分捏造したネットワークアドレスを持つネットワーク機器であり、使用者に遅滞なく通知するように早期警告通知が行われる(S305)。加えて、本発明の一実施形態にかかる第2の判断条件は、前記ARPデータパケット中のMACアドレスが未だ格納されておらず、且つARPデータパケットの送信周期と要求範囲が予め設定された値を越えることを有していても良い。すなわち、もしARPデータパケットのMACアドレスが前記対応関係テーブルに存在しない場合、MACアドレスはそこからARPデータパケットが送信されるところのネットワーク機器のなりすまし(spoofing)MACアドレスであり、ネットワーク機器が異常なネットワーク機器か否かをより正確に判断するために、本発明の実施形態では次の手順を提供する。ネットワーク機器からのARPデータパケットの送信周期と要求範囲が検知され(S304)、それらの送信周期と要求範囲が予め設定された値を越えるときには通知がなされるものとする(S305)。
上記の説明は、ARPデータパケット中のネットワークアドレスの組み合わせが対応関係テーブルに格納された対応関係と整合しない状況のものである。ARPデータパケット中のネットワークアドレスの組み合わせが対応関係テーブルに格納された対応関係と整合するときでは、ネットワーク機器が異常なネットワーク機器か否かについての判断の正しさを改善するために、本発明の実施形態にかかる第2の判断条件は、送信元IPアドレスと送信元MACアドレスが格納されたIPアドレスとMACアドレスの間の対応関係と整合していることと、前記ARPデータパケットの送信周期と要求範囲が予め設定された値を越えることを有していても良い。すなわち、ARPデータパケットのネットワークアドレスの組み合わせが対応関係テーブルに格納された対応関係と整合するときでは、ARPデータパケットの送信周期と要求範囲についての更なる検知が必要とされ(S304)、送信周期と要求範囲が予め設定された値を越えるときには通知がなされるものとされる(S305)。
本発明の一実施形態では、手順S304について、ネットワーク機器からのARPデータパケットの送信周期と要求範囲についての検知のための現実的なプロセスは次のようである。ネットワーク機器から送信されたARPデータパケットが受信されたとき、ネットワーク機器からのARPデータパケットの送信範囲は、ARPデータパケット中の送信元ネットワークアドレス情報(IPアドレスとMACアドレスを有する。)と宛先ネットワークアドレスに従って得られるものとなっている。さらには、ARPデータパケットを受信する回数は、ネットワーク機器からのARPデータパケットの送信周期を計算するように格納することができる。送信周期が予め設定された値を越えるときには通知がなされ、使用者は異常なネットワークアドレスを持ったネットワーク機器を遅れることなく突き止めることができる。また、そこからARPデータパケットが送信されるところのネットワーク機器の要求範囲は送信周期と受信回数に従って補充(refresh)できる。
上記の実施形態では、ARPデータパケットの受信したIPアドレスとMACアドレスが異常なネットワークアドレスであるときには、捏造されたネットワークアドレスを持つネットワーク機器は対応関係テーブルを用いても識別することができない状況を示している。しかしながら、悪意の使用者は通常ARPテーブル内のIPアドレスとMACアドレスの間の対応関係を変えるようにARPデータパケットを送信してネットワークを攻撃することから、ネットワークには多数のARPデータパケットがあるものとされ、ネットワーク中のネットワーク機器からのARPデータパケットの送信範囲及び周期をチェックすることで捏造されたネットワークアドレスを持つネットワーク機器の更なる検知を図ることができる。
対応関係テーブルの構築についてのS101からS103までの手順に続く手順S104では、異常なネットワークアドレスを持ったネットワーク機器が識別されたときに早期警告を行うこともでき、行わないようにすることもできる。すなわち、第2の判断条件は、
対応関係テーブルを構築するプロセスにおいて、受信したARP応答パケットの数量が送信されたARP要求パケットの数量と同じでないことをさらに有する。ARPデータパケットの数量がARP要求パケットの数量と同じでないと識別されたとき、早期警告通知がなされることになる。
対応関係テーブルを構築するプロセスにおいて、受信したARP応答パケットの数量が送信されたARP要求パケットの数量と同じでないことをさらに有する。ARPデータパケットの数量がARP要求パケットの数量と同じでないと識別されたとき、早期警告通知がなされることになる。
さらに、もし対応関係テーブルを更新する途中で異常なネットワークアドレスのネットワーク機器が識別された場合には早期警告がなされ、それ故、第2の判断条件は、ネットワーク機器の状態が変化したときには、受信したARPデータパケットのネットワークアドレス情報と、対応関係テーブルに格納されたIPアドレスとMACアドレスの間の対応関係の間に競合があるものとすること、すなわち、受信したARPデータパケット中にIPアドレスは既に格納されているが、IPアドレスとMACアドレスの間の対応関係が未だ格納されていないことを有していても良い。この競合状況においては、1つの状況はIPアドレスの競合であり、他の状況は捏造されたネットワークアドレスを持ったネットワーク機器の存在である。上記2つの状況の共通した特徴は受信されたARPデータパケット中のIPアドレスが既に格納されているが、IPアドレスとMACアドレスの間の対応関係が未だ格納されていない。それ故に、競合するIPアドレスを有するネットワーク機器と捏造されたネットワークアドレスを有するネットワーク機器が通知を送信する手段によって知らされるようにすることができる。
本発明の一実施形態に従えば、プロミスキャスモードのネットワークカードを持ったネットワーク機器が識別されたとき、早期警告をなすものとされる。すなわち、第2の判断条件は、さらにはプロミスキャスモードのネットワークカードを有している。この検出プロセスは次のようにされる。先ず、ARPデータパケットが生成され、その宛先MACアドレスがFF:FF:FF:FF:FF:FFであり、ARP要求パケットがネットワーク内の全てのホストコンピュータに送信される。もしプロミスキャスモードのネットワークカードがない場合、それら自身のMACアドレスは異なることからデータパケットは受信されない。しかしプロミスキャスモードのネットワークカードはータパケットを受信して、どのホストコンピュータがプロミスキャスモードのネットワークカードを有するかが決定できることになる。
プロミスキャスモードのネットワークカードはネットワーク内の全てのデータパケットを受信することから、パスワードや重要なファイル情報などの情報の漏れのおそれがあるが、上述の実施形態によって遅れることなくプロミスキャスモードのネットワークカードを識別することができる。
さらに、プロミスキャスモードのネットワーク機器の検出についての上述の実施形態は、受信したARPデータパケットの受信したIPアドレスとMACアドレスが捏造されたネットワークアドレスであるときに、多数のARPデータパケットが存在するか否かを検出する方法として使用することができる。
捏造されたネットワークアドレスを持ったネットワーク機器についての早期警告方法の上述の実施形態について、本発明の他の実施形態では、ネットワーク機器についての早期警告のための対応する装置を提供する。その装置は異常なネットワークアドレスを有する機器についての早期警告を可能とする。図4に示すように、前記装置は送受信部401と、解析部402と、通信部403を有する。
対応関係テーブルを構築する必要があるときでは、ARP要求パケットが少なくとも一度送受信部401によって検知範囲内のネットワーク機器に送信され、予め設定された時間内にARP応答パケットが受信される。対応関係テーブルを使用して早期警告がなされるとき、検知範囲内ではARPデータパケットは監視されるべきである。解析部402によって対応関係テーブルが構築されたときでは、第1の判断条件を満たす前記ARP応答パケット中のMACアドレスとIPアドレスの間の対応関係が格納される。対応関係テーブルを使用して早期警告がなされるとき、送受信部401から受信したARPデータパケットは解析されて、第2の判断条件を満たすか否かが判断される。第2の判断条件が満たされるときは早期警告がなされることになる。通信部403は前記送受信部401と前記解析部402の間の通信を可能とするものであり、通信部403は送受信部401からARPデータパケットを受け取り、次いでそれを解析部402に送信し、解析部402によってIPアドレスとMACアドレスの間の対応関係は遅れることなく格納され、早期警告も遅れることなく行われる。さらには、図4で破線で示すように送受信部401からのARPデータパケットを得るために解析部402に知らせるように通信部403は解析部402にお知らせメッセージを送ることだけ可能である。
さらに、解析部402が検知範囲内のネットワーク機器の状態変化を検知したとき、もしネットワーク機器からのARPデータパケット中のIPアドレスが未だ格納されておらず、しかしMACアドレスは格納されている場合、前記ARP応答パケット中のIPアドレスとMACアドレスの間の対応関係は格納される。
命令がプロセッサーを具備するネットワーク機器内で設定される場合において、異常なネットワークアドレスを持ったネットワーク機器についての早期警告方法の手順に関し上述の実施形態は、1つの命令若しくは複数の命令によって実現でき、プロセッサーは従って実行を行う。さらには、全ての命令は記憶媒体に格納することができる。前記ネットワーク機器はコンピュータであっても良く、他のネットワーク機器でも良い。
上記説明や図は、本発明の範囲を限定するようには解釈されるものではなく、添付の請求項によって定義されるものである。当分野の技術者によってなされる種々の変形例や代替的な構成や均等物も、本発明の真の思想や範囲から乖離することなく、用いられることもあり得る。
401 送受信部
402 解析部
403 通信部
402 解析部
403 通信部
Claims (12)
- ネットワーク機器についての早期警告のための方法であって、
ARP(アドレス解決プロトコル)要求パケットは少なくとも一度検知範囲内のネットワーク機器に送信され、そのARP応答パケットは予め設定された時間内に受信され、
IPアドレスとMACアドレスの間の正しい対応関係を構築するための第1の判断条件は前記ARP応答パケットの数量が前記ARP要求パケットの数量と同じであることを少なくとも有するものとされ、前記第1の判断条件を満たす前記ARP要求パケット中のMAC(メディアアクセス制御)アドレスとIP(インターネットプロトコル)アドレスの間の対応関係は格納され、
ARPデータパケットを送受信し、前記ARPデータパケットはARP要求パケットとARP応答パケットを有してなり、前記ARPデータパケット中のネットワークアドレス情報(IPアドレスとMACアドレス)が異常であると推定するための第2の判断条件を満たすときに早期警告がなされ、
前記検知範囲内のネットワーク機器の状態が変化したとき、ネットワーク機器からのARPデータパケット内のIPアドレスが未だ格納されていないが、MACアドレスが既に格納されている場合、前記ARP応答パケットのIPアドレスとMACアドレス間の対応関係が格納され、
前記ARP要求パケット及びARP応答パケットの送信周期は所定の送信周期に設定することができることを特徴とするネットワーク機器についての早期警告のための方法。 - 前記第2の判断条件は、少なくとも前記ARPデータパケット中の送信元IPアドレスと送信元MACアドレスが前記格納された対応関係と整合しないものとされることを特徴とする請求項1記載の方法。
- 前記第2の判断条件は、ARPデータパケットのMACアドレスが既に格納されていることであることを特徴とする請求項1記載の方法。
- 前記第2の判断条件は、前記ARPデータパケットのMACアドレスが未だ格納されておらず、前記ARPデータパケットの送信周期と要求範囲が予め設定された値を越えるものであることを特徴とする請求項1記載の方法。
- 前記第2の判断条件は、前記データパケット中の送信元IPアドレスと送信元MACアドレスが、格納されたIPアドレスとMACアドレスの間の対応関係と整合しているときに、前記ARPデータパケットの送信周期と要求範囲が予め設定された値を越えるものであることを特徴とする請求項1記載の方法。
- 前記第2の判断条件は、プロミスキャスモードのネットワーク機器が存在することを特徴とする請求項1記載の方法。
- 前記第2の判断条件は、前記ARP応答パケットの数量が前記ARP要求パケットの数量と同じではないことを特徴とする請求項1記載の方法。
- 前記第2の判断条件は、検知範囲のネットワーク機器の状態が変化したとき、そのネットワーク機器からのARPデータパケット中のIPアドレスが格納されることを特徴とする請求項1記載の方法。
- 請求項1乃至8のいずれか1つによる方法を実行するためのネットワーク機器についての早期警告装置であって、
少なくとも一度検知範囲内のネットワーク機器にARP要求パケットを送信し既に送信された前記ARP要求パケットに対応するARP応答パケットを予め設定された時間内に受信し、ARPデータパケットはARP要求パケット及びARP応答パケットを含むとされ、前記ARPデータパケットを送受信する送受信部と、
IPアドレスとMACアドレスの間の正しい対応関係を構築するための第1の判断条件は少なくとも前記ARP応答パケットの数量が前記ARP要求パケットの数量と同じであるとされ、前記第1の判断条件を満たす前記ARP応答パケットのIPアドレスとMACアドレスの間の対応関係を格納し、前記ARPデータパケット中のネットワークアドレス情報(IPアドレスとMACアドレス)が異常であると推定するための第2の判断条件は少なくとも前記ARPデータパケット中の送信元IPアドレスと送信元MACアドレスが、格納された対応関係と整合しないとされ、前記送受信部によって受信されたARPデータパケットが前記第2の判断条件を満たすとき早期警告を行なう解析部と、
前記送受信部と前記解析部の間の通信を可能とする通信部とを有することを特徴とするネットワーク機器についての早期警告装置。 - 検知範囲のネットワーク機器の状態が変化したとき、もしそのネットワーク機器からのARPデータパケット中のIPアドレスが未だ格納されていないが、MACアドレスは既に格納された場合、前記ARP応答パケットのIPアドレスとMACアドレスの間の対応関係が格納されることを特徴とする請求項9記載の早期警告装置。
- プロセッサーと、そのプロセッサーにより実行される少なくとも1つの命令と有し、
少なくとも一度検知範囲内のネットワーク機器にARP要求パケットを送信して、そのARP応答パケットを予め設定された時間内に受信し、
IPアドレスとMACアドレスの間の正しい対応関係を構築するための第1の判断条件を満たす前記ARP応答パケットのIPアドレスとMACアドレスの間の対応関係を格納し、ここで前記第1の判断条件は少なくとも前記ARP応答パケットの数量が前記ARP要求パケットの数量と同じであることとされ、
ARPデータパケットを送受信し、前記ARPデータパケットはARP要求パケットとARP応答パケットを有してなり、前記ARPデータパケット中のネットワークアドレス情報(IPアドレスとMACアドレス)が異常であると推定するための第2の判断条件を満たすとき早期警告がなされ、ここで前記第2の判断条件は少なくとも前記ARPデータパケット中の送信元IPアドレスと送信元MACアドレスが前記格納された対応関係と整合しないとされ、
前記検知範囲内のネットワーク機器の状態が変化したとき、ネットワーク機器からのARPデータパケット内のIPアドレスが未だ格納されていないが、MACアドレスが既に格納されている場合、前記ARP応答パケットのIPアドレスとMACアドレス間の対応関係が格納され、
前記ARP要求パケット及びARP応答パケットの送信周期は所定の送信周期に設定することができること
の各手順を実施するように、前記プロセッサーは前記命令を実行することを特徴とするネットワーク機器。 - ネットワーク機器についての早期警告のための少なくとも1つの命令を格納する記憶媒体であって、
少なくとも一度検知範囲内のネットワーク機器にARP要求パケットを送信して、そのARP応答パケットを予め設定された時間内に受信し、
IPアドレスとMACアドレスの間の正しい対応関係を構築するための第1の判断条件を満たす前記ARP応答パケットのIPアドレスとMACアドレスの間の対応関係を格納し、ここで前記第1の判断条件は少なくとも前記ARP応答パケットの数量が前記ARP要求パケットの数量と同じであることとされ、
ARPデータパケットを送受信し、前記ARPデータパケットはARP要求パケットとARP応答パケットを有してなり、前記ARPデータパケット中のネットワークアドレス情報(IPアドレスとMACアドレス)が異常であると推定するための第2の判断条件を満たすとき早期警告がなされ、ここで前記第2の判断条件は少なくとも前記ARPデータパケット中の送信元IPアドレスと送信元MACアドレスが前記格納された対応関係と整合しないとされ、
前記検知範囲内のネットワーク機器の状態が変化したとき、ネットワーク機器からのARPデータパケット内のIPアドレスが未だ格納されていないが、MACアドレスが既に格納されている場合、前記ARP応答パケットのIPアドレスとMACアドレス間の対応関係が格納され、
前記ARP要求パケット及びARP応答パケットの送信周期は所定の送信周期に設定することができること
の各手順を実施するように前記命令が実行されることを特徴とする記憶媒体。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710029085.6 | 2007-07-09 | ||
| CN2007100290856A CN101345643B (zh) | 2007-07-09 | 2007-07-09 | 对网络设备进行预警的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009017562A JP2009017562A (ja) | 2009-01-22 |
| JP5390798B2 true JP5390798B2 (ja) | 2014-01-15 |
Family
ID=40247539
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008176773A Active JP5390798B2 (ja) | 2007-07-09 | 2008-07-07 | ネットワーク機器についての早期警告のための方法と装置 |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP5390798B2 (ja) |
| CN (1) | CN101345643B (ja) |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102196054B (zh) * | 2010-03-11 | 2013-08-28 | 正文科技股份有限公司 | 路由装置及相关的控制电路 |
| CN102694771A (zh) * | 2011-03-22 | 2012-09-26 | 上海艾泰科技有限公司 | 在网关dhcp服务端绑定ip-mac的方法及网关dhcp服务端 |
| CN102427460B (zh) * | 2011-12-29 | 2015-03-11 | 深信服网络科技(深圳)有限公司 | 针对arp欺骗的多级检测和防御方法 |
| CN102546658A (zh) * | 2012-02-20 | 2012-07-04 | 神州数码网络(北京)有限公司 | 一种防止网关arp欺骗的方法和系统 |
| CN103259732B (zh) * | 2013-04-03 | 2016-09-28 | 北京邮电大学 | 一种基于arp事件触发代理的sdn广播处理方法 |
| TWI506472B (zh) | 2014-03-12 | 2015-11-01 | Hon Hai Prec Ind Co Ltd | 網路設備及其防止位址解析協定報文攻擊的方法 |
| CN105790902B (zh) * | 2014-12-22 | 2020-06-09 | 研祥智能科技股份有限公司 | 冗余网卡切换的实现方法和系统 |
| CN104869553A (zh) * | 2015-05-22 | 2015-08-26 | 上海斐讯数据通信技术有限公司 | 一种电子设备发现方法、装置、及一种路由器 |
| CN105939402A (zh) * | 2016-03-03 | 2016-09-14 | 杭州迪普科技有限公司 | Mac表项的获取方法及装置 |
| CN105897464B (zh) * | 2016-03-30 | 2019-08-23 | 国网福建省电力有限公司 | 基于mac地址控制的电力内网远程应用程序监测方法 |
| US10708300B2 (en) * | 2016-10-28 | 2020-07-07 | Microsoft Technology Licensing, Llc | Detection of fraudulent account usage in distributed computing systems |
| CN106888217A (zh) * | 2017-03-27 | 2017-06-23 | 上海斐讯数据通信技术有限公司 | 一种针对arp攻击的管控方法及系统 |
| CN107257393A (zh) * | 2017-06-29 | 2017-10-17 | 捷开通讯(深圳)有限公司 | 网络协议地址的获取方法、装置及计算机可读存储介质 |
| CN107579881A (zh) * | 2017-10-23 | 2018-01-12 | 上海斐讯数据通信技术有限公司 | 一种路由器地址解析协议的测试方法和系统 |
| CN109067751B (zh) * | 2018-08-14 | 2021-01-01 | 腾讯科技(深圳)有限公司 | 一种非Root环境下ARP欺骗检测方法、装置及终端 |
| CN110661799B (zh) * | 2019-09-24 | 2020-11-20 | 北京安信天行科技有限公司 | 一种arp欺骗行为的检测方法及系统 |
| CN111917894A (zh) * | 2020-03-19 | 2020-11-10 | 北京融汇画方科技有限公司 | 网卡混杂模式探测技术 |
| CN111726429B (zh) * | 2020-06-12 | 2023-04-25 | 海信视像科技股份有限公司 | 一种通信方法、装置、设备及介质 |
| CN115242669B (zh) * | 2022-06-30 | 2023-10-03 | 北京华顺信安科技有限公司 | 一种网络质量监测方法 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000312211A (ja) * | 1999-04-27 | 2000-11-07 | Soriton Syst:Kk | 通信装置 |
| JP2002084306A (ja) * | 2000-06-29 | 2002-03-22 | Hitachi Ltd | パケット通信装置及びネットワークシステム |
| US6513122B1 (en) * | 2001-06-29 | 2003-01-28 | Networks Associates Technology, Inc. | Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities |
| JP4084317B2 (ja) * | 2004-02-16 | 2008-04-30 | 日本電信電話株式会社 | ワーム検出方法 |
| JP2005244273A (ja) * | 2004-02-24 | 2005-09-08 | Matsushita Electric Ind Co Ltd | データ通信制御装置 |
| CN100563245C (zh) * | 2005-04-27 | 2009-11-25 | 华为技术有限公司 | 一种针对arp泛滥攻击的防范方法 |
| JP2007067515A (ja) * | 2005-08-29 | 2007-03-15 | Nec Corp | Lanスイッチ及びmacアドレス学習方法並びにプログラム |
| JP4510751B2 (ja) * | 2005-12-02 | 2010-07-28 | 富士通株式会社 | ネットワーク障害検出装置 |
-
2007
- 2007-07-09 CN CN2007100290856A patent/CN101345643B/zh active Active
-
2008
- 2008-07-07 JP JP2008176773A patent/JP5390798B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN101345643B (zh) | 2011-09-21 |
| JP2009017562A (ja) | 2009-01-22 |
| CN101345643A (zh) | 2009-01-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5390798B2 (ja) | ネットワーク機器についての早期警告のための方法と装置 | |
| US8479048B2 (en) | Root cause analysis method, apparatus, and program for IT apparatuses from which event information is not obtained | |
| US9135293B1 (en) | Determining model information of devices based on network device identifiers | |
| CN108900351B (zh) | 内网设备类型识别方法及装置 | |
| KR102052035B1 (ko) | 디바이스의 정보 획득 장치 및 방법 | |
| KR100779072B1 (ko) | Arp 공격 탐지 장치 및 방법 | |
| JP4179300B2 (ja) | ネットワーク管理方法および装置並びに管理プログラム | |
| CN111683162B (zh) | 一种基于流量识别的ip地址管理方法 | |
| US20160119181A1 (en) | Network state monitoring system | |
| CN107465621B (zh) | 一种路由器发现方法、sdn控制器、路由器和网络系统 | |
| US10097418B2 (en) | Discovering network nodes | |
| JP2007104396A (ja) | 不正接続防止システムおよび方法、プログラム | |
| JP2002325077A (ja) | ネットワーク管理方法及びネットワーク管理装置 | |
| US8239930B2 (en) | Method for controlling access to a network in a communication system | |
| US10015179B2 (en) | Interrogating malware | |
| JP5509999B2 (ja) | 不正接続防止装置及びプログラム | |
| JP5126258B2 (ja) | アクセス制御システム、アクセス制御装置及びそれらに用いるアクセス制御方法並びにそのプログラム | |
| CN108965277B (zh) | 一种基于dns的感染主机分布监测方法与系统 | |
| CN111683068A (zh) | 失陷主机的定位方法、防护装置、网络安全设备及介质 | |
| US20150237059A1 (en) | Information processing apparatus, information processing method, and non-transitory computer readable medium | |
| WO2014132774A1 (ja) | ノード情報検出装置、ノード情報検出方法、及びプログラム | |
| KR101070522B1 (ko) | 스푸핑 공격 탐지 및 차단 시스템 및 방법 | |
| JP2016005092A (ja) | 通信アドレス管理システム、ビル管理システム及び通信アドレス管理プログラム | |
| KR101359372B1 (ko) | DHCPv6 패킷을 이용한 네트워크 내 호스트 동작 상태 확인 및 탐색 방법 | |
| JP5958902B2 (ja) | ネットワークシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110414 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20121030 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20121113 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20130206 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20130212 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20130311 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20130314 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130405 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130514 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130806 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20130806 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20130807 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130917 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131011 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5390798 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20131105 |
|
| A072 | Dismissal of procedure [no reply to invitation to correct request for examination] |
Free format text: JAPANESE INTERMEDIATE CODE: A072 Effective date: 20140225 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |