JP5402304B2 - 診断プログラム、診断装置、診断方法 - Google Patents

診断プログラム、診断装置、診断方法 Download PDF

Info

Publication number
JP5402304B2
JP5402304B2 JP2009150787A JP2009150787A JP5402304B2 JP 5402304 B2 JP5402304 B2 JP 5402304B2 JP 2009150787 A JP2009150787 A JP 2009150787A JP 2009150787 A JP2009150787 A JP 2009150787A JP 5402304 B2 JP5402304 B2 JP 5402304B2
Authority
JP
Japan
Prior art keywords
packet
diagnostic
identifier
data path
response
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009150787A
Other languages
English (en)
Other versions
JP2011009994A (ja
Inventor
芳樹 東角
正彦 武仲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2009150787A priority Critical patent/JP5402304B2/ja
Publication of JP2011009994A publication Critical patent/JP2011009994A/ja
Application granted granted Critical
Publication of JP5402304B2 publication Critical patent/JP5402304B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)

Description

本発明は、ネットワーク機器のテストを自動化する技術に関する。
近年、ネットワーク通信を行う組み込み機器の増加に伴い、TCP/IPにより通信を行うネットワーク機器が増加している。これにより、プロトコルスタック、上位のライブラリ、アプリケーションのような、組み込み機器におけるネットワーク機器のプログラムの診断を行う機会が増加し、診断を自動化する必要が生じている。組み込み機器におけるネットワーク機器のプログラムは、新たに作成される場合が多く、そのため既知の脆弱性を含んでいる可能性が高い。このようなネットワーク機器のプログラムの脆弱性を診断する診断装置が従来知られている。この診断装置は、診断対象であるターゲット装置の脆弱性を診断するためのテストを自動的に実行する。また、診断装置を用いたテストにおいて、その結果の確認は、人がターゲット装置にログインし、異常の有無を判断することでなされていた。さらなる診断の効率化には、診断装置がテスト結果の判定を行うことが必要である。また、TCP/IPの様な下位ネットワークのプロトコルに関するテストを行う場合、テストパケットの送信、その応答パケットの確認を行ない、テストの実行とその結果確認までのプロセスを自動化することが望ましい。
また、本発明に関連する技術として、送信側及び受信側の一方あるいは双方を、ネットワークの物理チップに論理プログラマブルデバイスを直接接続した構成とし、送受信側のコンピュータをそれに接続するリアルタイムでの試験検査を行なうネットワーク機器試験装置が知られている(例えば、特許文献1参照)。
特開2007−82159号公報
しかしながら、テストパケットに対するターゲット装置による応答パケットに異常がある場合、診断装置がテスト結果の確認をすることができないという問題がある。まず、この問題の前提として、テスト結果の確認を行う診断装置について説明する。図10は、テスト結果の確認を行う診断装置の概要を示す。
図10に示すように、従来の診断装置は、NIC(Network Interface Card)によりターゲット装置とテストに係る通信を行う。また、従来の診断装置はテストプログラム、ソケット、プロトコルスタックを機能として備える。テストプログラムは、テストを実行する。また、ソケットは、TCP/IPをテストプログラムにより利用可能にする。また、プロトコルスタックは、ネットワークプロトコルを実現する。図10においては、物理層、データリンク層のLAN(LOCAL Area Network)、ネットワーク層のIP、トランスポート層のTCP/UDPが実装されている。
次に、テスト結果の確認を行う診断装置の動作について説明する。図11は、テスト結果の確認を行う診断装置の動作を示す。
図11に示すように、まず、テストプログラムはテストを実行するためのパケットであるテストパケットを生成し(S701)、ソケット及びプロトコルスタックを介してターゲット装置にテストパケットを送出する(S702)。テストパケットの送出後、テストプログラムは、所定時間が経過したかどうかを判断する(S703)。
所定時間が経過していない場合(S703,NO)、テストプログラムは、テストパケットに対するターゲット装置からの応答があるかどうかを判断する(S704)。
ターゲット装置からの応答がある場合(S704,YES)、テストプログラムは、テストパケットとその応答に基づいて脆弱性を診断し(S705)、その診断結果を記録する(S706)。
一方、ターゲット装置からの応答がない場合(S704,NO)、テストプログラムは、再度、所定時間が経過したかどうかを判断する(S703)。
また、ステップS703において、所定時間が経過した場合(S703,YES)、テストプログラムはタイムアウトし(S707)、その診断結果(タイムアウトによる異常)を記録する(S706)。
このような診断装置において、例えば、応答パケットのTCPヘッダに異常がある場合、図10に示すように、応答パケットはプロトコルスタックのTCP/UDPにおいて破棄されてしまう。そのため、トランスポート層よりも上位の層(セッション層、アプリケーション層)にあるソケットやテストプログラムは応答パケットを受け取ることができない。この場合、テストプログラムは、ターゲット装置に対する診断結果をタイムアウトと判定することしかできない。
また、テストに係る全てのパケットを観測するモニタ装置を用いて診断を行う場合、他の通信があるとテストパケットとその応答パケットとを対応付けることができないという問題がある。まず、この問題の前提として、テスト装置とモニタ装置を有する診断装置について説明する。図12は、テスト装置とモニタ装置を有する診断装置の概要を示す。
図12に示すテスト装置は、その構成は図10に示した診断装置と同様であり、テストプログラムの動作が異なる。また、モニタ装置は、テスト装置とターゲット装置間に流れるパケットを取得する。
テスト装置及びモニタ装置の動作について説明する。図13は、テスト装置の動作を示すフローチャートである。また、図14はモニタ装置の動作を示すフローチャートである。
図13に示すように、テストプログラムは、テストパケットを生成し(S801)、ターゲット装置にテストパケットを送出する(S802)。
また、図14に示すように、モニタ装置は、テスト装置により送出されたテストパケットを取得し(S901)、所定時間が経過したかどうかを判断する(S902)。
所定時間が経過していない場合(S902,NO)、モニタ装置は、テスト装置とターゲット装置間を流れるパケットがあるかどうかを判断する(S903)。
テスト装置とターゲット装置間を流れるパケットがある場合(S903,YES)、モニタ装置は、パケットを応答パケットとして受信する(S904)。次に、モニタ装置は、テストパケットと応答パケットに基づいてターゲット装置の脆弱性を診断し(S905)、診断結果を記録する(S906)。
一方、テスト装置とターゲット装置間を流れるパケットがない場合(S903,NO)、モニタ装置は、再度、所定時間を経過したかどうかを判断する(S902)。
また、ステップS902において、所定時間が経過した場合(S902,YES)、モニタ装置は、タイムアウトし(S907)、その診断結果(タイムアウトによる異常)を記録する(S906)。
このような診断装置において、テスト装置、モニタ装置の動作はそれぞれ独立しているため、モニタ装置は、受信したパケットがテスト装置によるテストパケットに対する応答パケットであるかどうか判断することができない。そのため、テストパケットと応答パケットの対応付けは手動で行う必要があるという問題がある。
上述したように、従来の診断装置によるネットワーク機器に対する脆弱性の診断は、結果確認までの自動化がなされておらず、効率が悪いという問題がある。
本発明は上述した問題点を解決するためになされたものであり、ネットワーク機器に対する脆弱性の診断の効率を向上させることができる診断プログラム、診断装置、診断方法を提供することを目的とする。
上述した課題を解決するため、診断プログラムは、ネットワーク機器の脆弱性を診断する診断装置において実行されるプログラムであって、識別子を含むパケットを生成する生成ステップと、前記生成ステップにより生成されたパケットを、第1データ経路により送出パケットとして前記ネットワーク機器へ送出する送出ステップと、前記第1データ経路を流れるパケットをモニタ可能な第2データ経路であって、データリンク層以下のプロトコルによる第2データ経路によりパケットを受信パケットとして受信する受信ステップと、前記受信パケットに含まれる識別子と、前記送出パケットに含まれる識別子とに基づいて、前記受信パケットが前記送出パケットに対する応答であるかどうかを判断する判断ステップと、前記判断ステップにより、前記受信パケットが前記送出パケットに対する応答であると判断された場合、前記送出パケットと前記受信パケットとに基づいて、前記ネットワーク機器の脆弱性を診断する診断ステップとをコンピュータに実行させる。
また、診断装置は、ネットワーク機器の脆弱性を診断する診断装置であって、識別子を含むパケットを生成する生成部と、前記生成部により生成されたパケットを、第1データ経路により送出パケットとして前記ネットワーク機器へ送出する送出部と、前記第1データ経路を流れるパケットをモニタ可能な第2データ経路であって、データリンク層以下のプロトコルによる第2データ経路によりパケットを受信パケットとして受信する受信部と、前記受信パケットに含まれる識別子と、前記送出パケットに含まれる識別子とに基づいて、前記受信パケットが前記送出パケットに対する応答であるかどうかを判断する判断部と、前記判断部により、前記受信パケットが前記送出パケットに対する応答であると判断された場合、前記送出パケットと前記受信パケットとに基づいて、前記ネットワーク機器の脆弱性を診断する診断部とを備える。
また、診断方法は、ネットワーク機器の脆弱性を診断する診断装置において実行される方法であって、識別子を含むパケットを生成する生成ステップと、前記生成ステップにより生成されたパケットを、第1データ経路により送出パケットとして前記ネットワーク機器へ送出する送出ステップと、前記第1データ経路を流れるパケットをモニタ可能な第2データ経路であって、データリンク層以下のプロトコルによる第2データ経路によりパケットを受信パケットとして受信する受信ステップと、前記受信パケットに含まれる識別子と、前記送出パケットに含まれる識別子とに基づいて、前記受信パケットが前記送出パケットに対する応答であるかどうかを判断する判断ステップと、前記判断ステップにより、前記受信パケットが前記送出パケットに対する応答であると判断された場合、前記送出パケットと前記受信パケットとに基づいて、前記ネットワーク機器の脆弱性を診断する診断ステップとをコンピュータに実行させる。
ネットワーク機器に対する脆弱性の診断の効率を向上させることができる。
実施の形態1に係る診断装置のハードウェア構成を示す。 実施の形態1に係る診断装置の機能構成を示す。 実施の形態1に係る診断装置の動作を示す。 シーケンス番号に基づくパケットの判断を示す。 パケットに基づく脆弱性の診断の一例を示す。 送信元アドレス及び送信先アドレスに基づくパケットの判断を示す。 データ部に付加された識別子に基づくパケットの判断を示す。 ルータに対する脆弱性の診断の一例を示す。 本発明が適用されるコンピュータシステムの一例を示す図である。 テスト結果の確認を行う診断装置の概要を示す。 テスト結果の確認を行う診断装置の動作を示す。 テスト装置とモニタ装置を有する診断装置の概要を示す。 テスト装置の動作を示す。 モニタ装置の動作を示す。
以下、発明の実施の形態について図を用いて説明する。
(実施の形態1)
まず、本実施の形態に係る診断装置のハードウェア構成及び機能構成について説明する。図1は、本実施の形態に係る診断装置のハードウェア構成を示す。また、図2は、本実施の形態に係る診断装置の機能構成を示す。
図1に示すように、本実施の形態に係る診断装置1は、ハードウェアとして、CPU(Central Processing Unit)90、メモリ91、NIC(Network Interface Card)92、NIC93を備え、診断対象のネットワーク機器であるターゲット装置2と接続される。NIC92は、ターゲット装置2へのテストパケットの送出、ターゲット装置2によるテストパケットへの応答がなされる際に用いられるデータ経路(第1データ経路)を確立する。また、NIC93は、NIC92と同様のMACアドレスが設定され、NIC92により確立されたデータ経路をモニタ可能なデータ経路(第2データ経路)を確立する。
また、図2に示すように、診断装置1は、機能として、生成部10、送出部11、ソケット12、プロトコルスタック13、プロトコルスタック14、受信部15、判断部16、診断部17、記録部18を備える。生成部10は、ターゲット装置の診断に係るデータのパケットをテストパケットとして生成する。送出部11は、生成部10により生成されたテストパケットを、ソケット12及びプロトコルスタック13を介して、ターゲット装置2へ送出する。また、ソケット12は、TCP/IPを送出部11により利用可能にする。また、プロトコルスタック13は、物理層、データリンク層のLAN、ネットワーク層のIP、トランスポート層のTCP/UDPを実装する。LANとしては、例えばイーサネット(登録商標)が用いられる。また、プロトコルスタック14は、物理層、データリンク層のLANのみを実装する。また、受信部15は、プロトコルスタック14を介して、パケットを受信する。また、判断部16は、受信部15により受信されたパケットが、送出部11により送出されたテストパケットに対する応答(応答パケット)かどうかを判断する。また、診断部17は、テストパケットと、その応答パケットとに基づいて、ターゲット装置2の脆弱性を診断する。また、記録部18は、診断部17による診断結果をメモリ91に記録する。なお、これらの機能はCPU90により実現される。また、プロトコルスタック14がデータリンク層以下のプロトコルのみを実装することにより、異常があるパケットであっても、受信部15はプロトコルスタック14を介して受信することができる。
次に、本実施の形態に係る診断装置の動作について説明する。図3は、本実施の形態に係る診断装置の動作を示す。また、図4は、シーケンス番号に基づくパケットの判断を示す。また、図5は、パケットに基づく脆弱性の診断の一例を示す。
図3に示すように、まず、生成部10は、etherヘッダ、IPヘッダ、TCPヘッダを含むテストパケットを生成し(S101、生成ステップ)、送出部11は、ソケット12及びプロトコルスタック13を介して、ターゲット装置2にテストパケットを送出する(S102、送出ステップ)。次に、受信部15は、テストパケットの送出から所定時間が経過したかどうかを判断する(S103)。
テストパケットの送出から所定時間が経過していない場合(S103,NO)、受信部15は、NIC93によるデータ経路上にパケットが流れているかどうかを判断する(S104)。
データ経路上にパケットが流れている場合(S104,YES)、受信部15は、パケットを受信し(S105、受信ステップ)、判断部16は、受信部15により受信されたパケット(受信パケット)が、テストパケットに対する応答パケットかどうかを判断する(S106、判断ステップ)。なお、判断部16は、通信プロトコルがTCPである場合、受信されたパケットが応答パケットかどうかを、そのコネクション情報(Src Dst IP及びポート番号)、テストパケットのシーケンス番号(SEQ)、受信されたパケットの確認応答番号(ACK)に基づいて判断する。この判断は、具体的には、受信されたパケットにおける確認応答番号と、テストパケットのシーケンス番号にそのデータのバイト数を加算した値との一致によりなされる。例えば、図4に示すように、テストパケットのデータ量が100バイトであり、そのシーケンス番号が300である場合、確認応答番号が400であるパケットが応答パケットと判断される。
パケットがテストパケットに対する応答パケットである場合(S106,YES)、診断部17は、テストパケットとその応答パケットに基づいて、ターゲット装置2の脆弱性を診断する(S107、診断ステップ)。
ここで脆弱性とは、ネットワーク外部に要因のあるクラッシュ、サービス不能、セキュリティ低下、パフォーマンス低下、不正な動作などが起こり得る状態を示す。例えば、図5に示すように、診断装置1が、ISN(Initial Sequence Number)が10000のテストパケットを複数回送信し、ISNが20000のパケットデータと20100のパケットデータがターゲット装置2により返されたとする。この場合、ターゲット装置2には脆弱性があると判断される。これは、同期パケットとして送信される複数回の送信パケットに対して、複数回の応答パケットのISNに+100ずつ増加する規則性があると攻撃者に判断される場合、シーケンス番号攻撃が可能となることに起因する。つまり、ここで脆弱性の診断とは、ターゲット装置2に対して、システムの欠陥や、悪用され得る仕様を検出することを示す。
次に、記録部18は、診断結果をメモリ91に記録する(S108)。
また、ステップS106において、パケットがテストパケットに対する応答パケットではない場合(S106,NO)、受信部15は、再度、所定時間を経過したかどうかを判断する(S103)。
また、ステップS104において、データ経路上にパケットが流れていない場合(S104,NO)、受信部15は、再度、所定時間を経過したかどうかを判断する(S103)。
また、ステップS103において、テストパケットの送出から所定時間が経過した場合(S103,YES)、受信部15はタイムアウトし、診断部17が診断結果(タイムアウトによる異常)をメモリ91に記録する(S108)。
上述したように、脆弱性の診断に必要なヘッダをテストパケットに付加可能なプロトコルスタックを介するデータ経路と、このデータ経路に流れるパケットの受信に最低限必要なプロトコルスタックを介するデータ経路とによって、応答としての異常パケットを受信することができる。また、これらのデータ経路により送受されたパケットを、シーケンス番号を識別子として対応付けることによって、データ経路が異なるテストパケットと応答パケットとに基づいて、脆弱性を診断することができる。なお、本実施の形態において、2つのデータ経路は物理的に異なるNICにより確立されるものとして説明したが、診断装置1内部における論理的に異なるデータ経路であっても良い。例えば、1つのNICによるデータ経路を、診断装置1内部において論理的に2つのデータ経路に分岐させ、それぞれに実装されるプロトコルが異なるプロトコルスタックを経由させても良い。
(実施の形態2)
本実施の形態は、受信部15により受信されたパケットが、テストパケットに対する応答パケットかどうかを判断するための識別子として、シーケンス番号の代わりに、送信元アドレス及び宛先アドレスを用いる点が、実施の形態1とは異なる。なお、本実施の形態に係る診断装置は、実施の形態1に係る診断装置とその構成は同様であり、受信パケットがテストパケットに対する応答パケットかどうかの判断(ステップS106)が実施の形態1とは異なる。以下、実施の形態1とは異なる動作について説明する。図6は、送信元アドレス及び送信先アドレスに基づくパケットの判断を示す。
本実施の形態において、判断部16は、図6に示すテストパケット及び受信パケットの送信元アドレス(Src IP)及び宛先アドレス(Dst IP)に基づいて、受信パケットがテストパケットに対する応答パケットであるかどうかを判断する。具体的には、テストパケットの送信元アドレスと受信パケットの宛先アドレスとの一致と、受信パケットの送信元アドレスとテストパケットの宛先アドレスとの一致とを以って、受信パケットをテストパケットに対する応答パケットであると判断する。なお、判断部16は、送信元アドレス及び宛先アドレスに加えて、送信元ポート(Src Port)及び宛先ポート(Dst Port)を用いて、受信パケットに対する判断を行っても良い。
(実施の形態3)
本実施の形態は、受信部15により受信されたパケットが、テストパケットに対する応答パケットかどうかを判断するための識別子として、データ部に付加された一意な識別子が、実施の形態1及び2とは異なる。なお、本実施の形態に係る診断装置は、実施の形態1及び2に係る診断装置とその構成は同様であり、テストパケットの生成(ステップS101)、受信パケットがテストパケットに対する応答パケットかどうかの判断(ステップS106)が実施の形態1及び2とは異なる。以下、実施の形態1及び2とは異なる動作について説明する。図7は、データ部に付加された識別子に基づくパケットの判断を示す。
本実施の形態において、生成部10は、テストパケットの生成において、テストパケットのデータ部に、文字列あるいは数値等による一意な識別子を付加する。また、判断部16は、図7に示すテストパケット及び受信パケットに含まれる識別子の一致を以って、受信パケットがテストパケットに対する応答パケットであると判断する。このように、データ部に付加された識別子に基づく判断によって、例えばヘッダに異常がある場合であっても、受信パケットが応答パケットかどうかを判断することができる。
以上説明した実施の形態によれば、例えば、ルータのように複数のセグメントに跨る装置がターゲット装置であっても、効率よく脆弱性の診断を行うことができる。図8は、ルータに対する脆弱性の診断の一例を示す。
図8において、ターゲット装置2はセグメントA、セグメントBに跨るルータであり、テストパケットの送信先はターゲット装置ではないホスト装置である。このような状況において、テストパケットに対する応答ではないパケットが受信パケットとして受信される可能性が高い。しかし、このような場合であっても、診断装置1は、識別子により受信パケットが応答パケットかどうかを判断するため、テストの実行、診断、その結果確認までのプロセスを自動化することができる。
また、上述した各実施の形態は、それぞれ組みあせて用いることができる。例えば、シーケンス番号と、識別シーケンス番号とを識別子として用いることによって、ヘッダ、データ部のいずれかに異常がある場合でも、受信パケットが応答パケットかどうかを判断することができる。
本発明は以下に示すようなコンピュータシステムにおいて適用可能である。図9は、本発明が適用されるコンピュータシステムの一例を示す図である。図9に示すコンピュータシステム900は、CPUやディスクドライブ等を内蔵した本体部901、本体部901からの指示により画像を表示するディスプレイ902、コンピュータシステム900に種々の情報を入力するためのキーボード903、ディスプレイ902の表示画面902a上の任意の位置を指定するマウス904及び外部のデータベース等にアクセスして他のコンピュータシステムに記憶されているプログラム等をダウンロードする通信装置905を有する。通信装置905は、ネットワーク通信カード、モデムなどが考えられる。
上述したような、診断装置を構成するコンピュータシステムにおいて上述した各ステップを実行させるプログラムを、診断プログラムとして提供することができる。このプログラムは、コンピュータシステムにより読取り可能な記録媒体に記憶させることによって、診断装置を構成するコンピュータシステムに実行させることが可能となる。上述した各ステップを実行するプログラムは、ディスク910等の可搬型記録媒体に格納されるか、通信装置905により他のコンピュータシステムの記録媒体906からダウンロードされる。また、コンピュータシステム900に少なくとも診断機能を持たせる診断プログラム(診断ソフトウェア)は、コンピュータシステム900に入力されてコンパイルされる。このプログラムは、コンピュータシステム900を診断機能を有する診断装置として動作させる。また、このプログラムは、例えばディスク910等のコンピュータ読み取り可能な記録媒体に格納されていても良い。ここで、コンピュータシステム900により読取り可能な記録媒体としては、ROMやRAM等のコンピュータに内部実装される内部記憶装置、ディスク910やフレキシブルディスク、DVDディスク、光磁気ディスク、ICカード等の可搬型記憶媒体や、コンピュータプログラムを保持するデータベース、或いは、他のコンピュータシステム並びにそのデータベースや、通信装置905のような通信手段を介して接続されるコンピュータシステムでアクセス可能な各種記録媒体を含む。
以上、本実施の形態によれば、以下の付記で示す技術的思想が開示されている。
(付記1) ネットワーク機器の脆弱性を診断する診断装置において実行される診断プログラムであって、
識別子を含むパケットを生成する生成ステップと、
前記生成ステップにより生成されたパケットを、第1データ経路により送出パケットとして前記ネットワーク機器へ送出する送出ステップと、
前記第1データ経路を流れるパケットをモニタ可能な第2データ経路であって、データリンク層以下のプロトコルによる第2データ経路によりパケットを受信パケットとして受信する受信ステップと、
前記受信パケットに含まれる識別子と、前記送出パケットに含まれる識別子とに基づいて、前記受信パケットが前記送出パケットに対する応答であるかどうかを判断する判断ステップと、
前記判断ステップにより、前記受信パケットが前記送出パケットに対する応答であると判断された場合、前記送出パケットと前記受信パケットとに基づいて、前記ネットワーク機器の脆弱性を診断する診断ステップと
をコンピュータに実行させる診断プログラム。
(付記2) 付記1に記載の診断プログラムにおいて、
前記識別子は、パケットのシーケンス番号であることを特徴とする診断プログラム。
(付記3) 付記1に記載の診断プログラムにおいて、
前記識別子は、パケットの送信元アドレス及び宛先アドレスであることを特徴とする診断プログラム。
(付記4) 付記1に記載の診断プログラムにおいて、
前記生成ステップは、前記ネットワーク機器の脆弱性の診断に係るパケットの生成において、該パケットのデータ部に一意な識別子を付加し、
前記判断ステップは、前記受信パケットのデータ部に識別子が付加されている場合、前記受信パケットのデータ部に付加された識別子と、前記送出パケットのデータ部に付加された識別子とに基づいて、前記受信パケットが前記送出パケットに対する応答であるかどうかを判断することを特徴とする診断プログラム。
(付記5) ネットワーク機器の脆弱性を診断する診断装置であって、
識別子を含むパケットを生成する生成部と、
前記生成部により生成されたパケットを、第1データ経路により送出パケットとして前記ネットワーク機器へ送出する送出部と、
前記第1データ経路を流れるパケットをモニタ可能な第2データ経路であって、データリンク層以下のプロトコルによる第2データ経路によりパケットを受信パケットとして受信する受信部と、
前記受信パケットに含まれる識別子と、前記送出パケットに含まれる識別子とに基づいて、前記受信パケットが前記送出パケットに対する応答であるかどうかを判断する判断部と、
前記判断部により、前記受信パケットが前記送出パケットに対する応答であると判断された場合、前記送出パケットと前記受信パケットとに基づいて、前記ネットワーク機器の脆弱性を診断する診断部と
を備える診断装置。
(付記6) 付記5に記載の診断装置において、
前記識別子は、パケットのシーケンス番号であることを特徴とする診断装置。
(付記7) 付記5に記載の診断装置において、
前記識別子は、パケットの送信元アドレス及び宛先アドレスであることを特徴とする診断装置。
(付記8) 付記5に記載の診断装置において、
前記生成部は、前記ネットワーク機器の脆弱性の診断に係るパケットの生成において、該パケットのデータ部に一意な識別子を付加し、
前記判断部は、前記受信パケットのデータ部に識別子が付加されている場合、前記受信パケットのデータ部に付加された識別子と、前記送出パケットのデータ部に付加された識別子とに基づいて、前記受信パケットが前記送出パケットに対する応答であるかどうかを判断することを特徴とする診断装置。
(付記9) ネットワーク機器の脆弱性を診断する診断装置において実行される診断方法であって、
識別子を含むパケットを生成する生成ステップと、
前記生成ステップにより生成されたパケットを、第1データ経路により送出パケットとして前記ネットワーク機器へ送出する送出ステップと、
前記第1データ経路を流れるパケットをモニタ可能な第2データ経路であって、データリンク層以下のプロトコルによる第2データ経路によりパケットを受信パケットとして受信する受信ステップと、
前記受信パケットに含まれる識別子と、前記送出パケットに含まれる識別子とに基づいて、前記受信パケットが前記送出パケットに対する応答であるかどうかを判断する判断ステップと、
前記判断ステップにより、前記受信パケットが前記送出パケットに対する応答であると判断された場合、前記送出パケットと前記受信パケットとに基づいて、前記ネットワーク機器の脆弱性を診断する診断ステップと
をコンピュータに実行させる診断方法。
(付記10) 付記9に記載の診断方法において、
前記識別子は、パケットのシーケンス番号であることを特徴とする診断方法。
(付記11) 付記9に記載の診断方法において、
前記識別子は、パケットの送信元アドレス及び宛先アドレスであることを特徴とする診断方法。
(付記12) 付記9に記載の診断方法において、
前記生成ステップは、前記ネットワーク機器の脆弱性の診断に係るパケットの生成において、該パケットのデータ部に一意な識別子を付加し、
前記判断ステップは、前記受信パケットのデータ部に識別子が付加されている場合、前記受信パケットのデータ部に付加された識別子と、前記送出パケットのデータ部に付加された識別子とに基づいて、前記受信パケットが前記送出パケットに対する応答であるかどうかを判断することを特徴とする診断方法。
1 診断装置、2 ターゲット装置、10 生成部、11 送出部、12 ソケット、13 プロトコルスタック、14 プロトコルスタック、15 受信部、16 判断部、17 診断部、18 記録部、90 CPU、91 メモリ、92 NIC、93 NIC、131 LAN、132 IP、133 TCP/UDP、141 LAN。

Claims (7)

  1. ネットワーク機器の脆弱性を診断する診断装置において実行される診断プログラムであって、
    識別子を含むパケットを生成する生成ステップと、
    前記生成ステップにより生成されたパケットを、第1データ経路により送出パケットとして前記ネットワーク機器へ送出する送出ステップと、
    前記第1データ経路を流れるパケットをモニタ可能な第2データ経路であって、前記第1データ経路とは実装されるプロトコルスタックの階層数が異なり、且つデータリンク層以下であるプロトコルによる第2データ経路によりパケットを受信パケットとして受信する受信ステップと、
    前記受信パケットに含まれる識別子と、前記送出パケットに含まれる識別子とに基づいて、前記受信パケットが前記送出パケットに対する応答であるかどうかを判断する判断ステップと、
    前記判断ステップにより、前記受信パケットが前記送出パケットに対する応答であると判断された場合、前記送出パケットと前記受信パケットとに基づいて、前記ネットワーク機器の脆弱性を診断する診断ステップと
    をコンピュータに実行させる診断プログラム。
  2. 請求項1に記載の診断プログラムにおいて、
    前記識別子は、パケットのシーケンス番号であることを特徴とする診断プログラム。
  3. 請求項1に記載の診断プログラムにおいて、
    前記識別子は、パケットの送信元アドレス及び宛先アドレスであることを特徴とする診断プログラム。
  4. 請求項1に記載の診断プログラムにおいて、
    前記生成ステップは、前記ネットワーク機器の脆弱性の診断に係るパケットの生成において、該パケットのデータ部に一意な識別子を付加し、
    前記判断ステップは、前記受信パケットのデータ部に識別子が付加されている場合、前記受信パケットのデータ部に付加された識別子と、前記送出パケットのデータ部に付加された識別子とに基づいて、前記受信パケットが前記送出パケットに対する応答であるかどうかを判断することを特徴とする診断プログラム。
  5. ネットワーク機器の脆弱性を診断する診断装置であって、
    識別子を含むパケットを生成する生成部と、
    前記生成部により生成されたパケットを、第1データ経路により送出パケットとして前記ネットワーク機器へ送出する送出部と、
    前記第1データ経路を流れるパケットをモニタ可能な第2データ経路であって、前記第1データ経路とは実装されるプロトコルスタック数が異なり、且つデータリンク層以下であるプロトコルによる第2データ経路によりパケットを受信パケットとして受信する受信部と、
    前記受信パケットに含まれる識別子と、前記送出パケットに含まれる識別子とに基づいて、前記受信パケットが前記送出パケットに対する応答であるかどうかを判断する判断部と、
    前記判断部により、前記受信パケットが前記送出パケットに対する応答であると判断された場合、前記送出パケットと前記受信パケットとに基づいて、前記ネットワーク機器の脆弱性を診断する診断部と
    を備える診断装置。
  6. 請求項5に記載の診断装置において、
    前記識別子は、パケットのシーケンス番号であることを特徴とする診断装置。
  7. ネットワーク機器の脆弱性を診断する診断装置において実行される診断方法であって、
    識別子を含むパケットを生成する生成ステップと、
    前記生成ステップにより生成されたパケットを、第1データ経路により送出パケットとして前記ネットワーク機器へ送出する送出ステップと、
    前記第1データ経路を流れるパケットをモニタ可能な第2データ経路であって、前記第1データ経路とは実装されるプロトコルスタック数が異なり、且つデータリンク層以下であるプロトコルによる第2データ経路によりパケットを受信パケットとして受信する受信ステップと、
    前記受信パケットに含まれる識別子と、前記送出パケットに含まれる識別子とに基づいて、前記受信パケットが前記送出パケットに対する応答であるかどうかを判断する判断ステップと、
    前記判断ステップにより、前記受信パケットが前記送出パケットに対する応答であると判断された場合、前記送出パケットと前記受信パケットとに基づいて、前記ネットワーク機器の脆弱性を診断する診断ステップと
    をコンピュータに実行させる診断方法。
JP2009150787A 2009-06-25 2009-06-25 診断プログラム、診断装置、診断方法 Expired - Fee Related JP5402304B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009150787A JP5402304B2 (ja) 2009-06-25 2009-06-25 診断プログラム、診断装置、診断方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009150787A JP5402304B2 (ja) 2009-06-25 2009-06-25 診断プログラム、診断装置、診断方法

Publications (2)

Publication Number Publication Date
JP2011009994A JP2011009994A (ja) 2011-01-13
JP5402304B2 true JP5402304B2 (ja) 2014-01-29

Family

ID=43566149

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009150787A Expired - Fee Related JP5402304B2 (ja) 2009-06-25 2009-06-25 診断プログラム、診断装置、診断方法

Country Status (1)

Country Link
JP (1) JP5402304B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI20115585A0 (fi) * 2011-06-14 2011-06-14 Headlong Oy Interaktiivisen sovelluspalvelun kokonaissuorituskyvyn evaluointi
JP6013711B2 (ja) 2011-09-01 2016-10-25 ラピスセミコンダクタ株式会社 半導体集積回路及び半導体集積回路のデバッグ方法
JP6765374B2 (ja) * 2015-09-03 2020-10-07 三菱電機株式会社 情報処理装置及び情報処理方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007124215A (ja) * 2005-10-27 2007-05-17 Fuji Xerox Engineering Co Ltd ネットワーク解析システム、印刷装置利用状況解析システム、ネットワーク解析プログラム、印刷装置利用状況解析プログラム、ネットワーク解析方法および印刷装置利用状況解析方法
JP2007272396A (ja) * 2006-03-30 2007-10-18 Nec Personal Products Co Ltd セキュリティ管理システム、中継装置、プログラム

Also Published As

Publication number Publication date
JP2011009994A (ja) 2011-01-13

Similar Documents

Publication Publication Date Title
CN103401726B (zh) 网络路径探测方法及装置、系统
JP4509955B2 (ja) Vpn通信検出方法及び装置
CN104796298B (zh) 一种sdn网络故障分析的方法及装置
US10623278B2 (en) Reactive mechanism for in-situ operation, administration, and maintenance traffic
CN109937563A (zh) 用于通信网络的方法、和电子监测单元
US9270642B2 (en) Process installation network intrusion detection and prevention
US11818141B2 (en) Path validation checks for proof of security
CN104506370A (zh) 无网管系统管理方法及装置
JP5402304B2 (ja) 診断プログラム、診断装置、診断方法
JP2006211173A (ja) ネットワーク監視プログラム及びネットワークシステム
CN103297400A (zh) 基于双向转发检测协议的安全联盟管理方法及系统
US8086908B2 (en) Apparatus and a method for reporting the error of each level of the tunnel data packet in a communication network
CN108833282A (zh) 数据转发方法、系统、装置及sdn交换机
CN105791458B (zh) 地址配置方法和装置
JP2009005122A (ja) 不正アクセス検知装置、セキュリティ管理装置およびこれを用いた不正アクセス検知システム
CN111221764B (zh) 一种跨链路数据传输方法及系统
CN108259294A (zh) 报文处理方法及装置
CN108292343B (zh) 薄弱环节的避免
JP5879223B2 (ja) ゲートウェイ装置、ゲートウェイシステムおよび計算機システム
JP6247239B2 (ja) ネットワーク検証システム、ネットワーク検証方法、フロー検査装置、及びプログラム
JP3919488B2 (ja) データ中継装置、データ中継方法、データ中継処理プログラム及びデータ中継処理プログラムを記録したコンピュータ読み取り可能な記録媒体
JP3996105B2 (ja) 顧客宅内装置の不正動作監視方法
JPWO2004062216A1 (ja) ファイアウォールのポリシをチェックする装置
WO2014057610A1 (ja) 通信装置
KR101906437B1 (ko) 네트워크 보안 정책을 테스트하는 방법, 장치 및 컴퓨터 프로그램

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120309

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130130

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130416

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130617

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130709

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130906

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20131001

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131014

LAPS Cancellation because of no payment of annual fees