JP5874470B2 - Source address spoofing judgment system - Google Patents

Source address spoofing judgment system Download PDF

Info

Publication number
JP5874470B2
JP5874470B2 JP2012062625A JP2012062625A JP5874470B2 JP 5874470 B2 JP5874470 B2 JP 5874470B2 JP 2012062625 A JP2012062625 A JP 2012062625A JP 2012062625 A JP2012062625 A JP 2012062625A JP 5874470 B2 JP5874470 B2 JP 5874470B2
Authority
JP
Japan
Prior art keywords
information
communication information
communication
detection
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2012062625A
Other languages
Japanese (ja)
Other versions
JP2013197864A (en
Inventor
知樹 福田
知樹 福田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2012062625A priority Critical patent/JP5874470B2/en
Publication of JP2013197864A publication Critical patent/JP2013197864A/en
Application granted granted Critical
Publication of JP5874470B2 publication Critical patent/JP5874470B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本明細書は、送信元アドレスを詐称しているパケットの検出技術に関する。   The present specification relates to a technique for detecting a packet spoofing a source address.

踏み台ホストを踏み台とし、送信元アドレスを詐称してなされる攻撃元ホストによる攻撃先ホストに対する反射攻撃を、攻撃先ホストが備えられたネットワークに接続されたゲートウェイを通過するパケットを利用して検出する技術として、例えば、次の技術がある。攻撃検出装置は、応答カウンタと要求カウンタを含む。応答カウンタは、踏み台ホストが攻撃先ホストに出力する応答パケットの数をカウントする。要求カウンタは、攻撃先ホストが出力する要求パケットの数をカウントする。攻撃検出装置は、応答カウンタでカウントされた応答パケットの数が要求カウンタでカウントされた要求パケットの数より大きいときに反射攻撃が行われたものと判断する。   Detects a replay attack on an attacking host by an attacking source host by spoofing the source address by using a packet passing through a gateway connected to the network equipped with the attacking host, using the stepping host as a stepping stone. For example, there are the following techniques. The attack detection device includes a response counter and a request counter. The response counter counts the number of response packets output from the platform host to the attack destination host. The request counter counts the number of request packets output from the attack destination host. The attack detection device determines that a replay attack has been performed when the number of response packets counted by the response counter is greater than the number of request packets counted by the request counter.

特開2007−288246号公報JP 2007-288246 A

上記技術では、送信元のIPアドレスを詐称しているパケット(IPSA詐称パケット)の検出において、ゲートウェイを通過する要求パケット数と応答パケット数の比較しか行っていない。そのため、攻撃元ホスト、踏み台ホスト、攻撃先ホスト、及びゲートウェイとの位置関係によってはIPSA詐称パケットを検出できない場合がある。   In the above technique, only the comparison between the number of request packets and the number of response packets passing through the gateway is performed in detecting a packet spoofing the IP address of the transmission source (IPSA spoofed packet). Therefore, the IPSA spoof packet may not be detected depending on the positional relationship with the attack source host, the platform host, the attack destination host, and the gateway.

そこで、本実施形態の一側面では、ネットワークの接続態様に関わらずに、IPSA詐称パケットを検出する技術を提供する。   Therefore, in one aspect of the present embodiment, a technique for detecting an IPSA spoofed packet is provided regardless of the network connection mode.

本実施形態に係る送信元アドレス詐称判定システムは、通信情報検出装置、送信元アドレス詐称判定装置を含む。通信情報検出装置は、検出部、通信情報判定部、送信部を含む。検出部は、中継装置間を接続する通信線によって伝送される通信情報を順次検出する。通信情報判定部は、検出された通信情報が、通信情報に用いられる通信プロトコルに基づいて正常にコネクションを確立させた通信情報であるかを判定する。送信部は、判定の結果、検出された通信情報が正常にコネクションを確立させた通信情報でない場合、検出された通信情報に関する検出情報を送信する。送信元アドレス詐称判定システムは、収集部、検証部、経路情報取得部、詐称判定部を含む。収集部は、通信情報検出装置から送信された検出情報を収集する。検証部は、収集された検出情報を集約し、集約した検出情報に含まれる通信情報が通信プロトコルに基づいて正常にコネクションを確立させた通信情報であるかを検証する。経路情報取得部は、判定の結果、集約した検出情報に含まれる通信情報が通信プロトコルに基づいて正常にコネクションを確立させた通信情報でない場合、次の処理を行う。すなわち、経路情報取得部は、検出された通信情報のうち第1情報処理装置から第2情報処理装置へ送信される通信情報について、第2情報処理装置が属するネットワークに属するいずれかの情報処理装置に、経路情報を取得するように要求する。ここで、経路情報は、通信情報の送信元アドレスまでの経路情報である。経路情報取得部は、いずれかの情報処理装置から経路情報を取得する。詐称判定部は、経路情報の結果が正常でない場合、または該経路情報により示される経路と第1情報処理装置から第2情報処理装置への送信経路とが異なる場合、通信情報の送信元アドレスが詐称であると判定する。通信線が、複数の物理線の集合から形成された論理的に1つの通信線である。通信情報検出装置は、物理線のそれぞれに配置される。同一の通信線を形成する物理線に配置された通信情報検出装置のうちの第1の通信情報検出装置以外の第2の通信情報検出装置の送信部は、検出された通信情報に関する検出情報を、第1の通信情報検出装置へ送信する。第1の通信情報検出装置の通信情報判定部は、第2の通信情報検出装置から送信された検出情報の示す通信情報及び第1の通信情報検出装置の検出部により検出された通信情報が、通信情報に用いられる通信プロトコルに基づいて正常にコネクションを確立させた通信情報であるかを判定する。第1の通信情報検出装置の送信部は、判定の結果、通信情報が正常にコネクションを確立させた通信情報でない場合、通信情報に関する検出情報を送信する。
The transmission source address spoofing determination system according to the present embodiment includes a communication information detection device and a transmission source address spoofing determination device. The communication information detection device includes a detection unit, a communication information determination unit, and a transmission unit. The detection unit sequentially detects communication information transmitted through a communication line connecting the relay devices. The communication information determination unit determines whether the detected communication information is communication information in which a connection is normally established based on a communication protocol used for the communication information. A transmission part transmits the detection information regarding the detected communication information, when the detected communication information is not the communication information which established the connection normally as a result of determination. The transmission source address spoofing determination system includes a collection unit, a verification unit, a route information acquisition unit, and a spoofing determination unit. The collection unit collects detection information transmitted from the communication information detection device. The verification unit aggregates the collected detection information, and verifies whether the communication information included in the collected detection information is communication information that has normally established a connection based on the communication protocol. As a result of the determination, the route information acquisition unit performs the following process when the communication information included in the collected detection information is not communication information that has normally established a connection based on the communication protocol. That is, the path information acquisition unit is one of the information processing apparatuses belonging to the network to which the second information processing apparatus belongs for the communication information transmitted from the first information processing apparatus to the second information processing apparatus among the detected communication information. To request route information. Here, the route information is route information up to the transmission source address of the communication information. The route information acquisition unit acquires route information from one of the information processing apparatuses. When the result of the route information is not normal or when the route indicated by the route information is different from the transmission route from the first information processing device to the second information processing device, the fraud determination unit determines that the transmission source address of the communication information is Judged to be misrepresentation. The communication line is logically one communication line formed from a set of a plurality of physical lines. The communication information detection device is disposed on each physical line. The transmission unit of the second communication information detection device other than the first communication information detection device among the communication information detection devices arranged on the physical line forming the same communication line transmits the detection information related to the detected communication information. To the first communication information detecting device. The communication information determination unit of the first communication information detection device includes the communication information indicated by the detection information transmitted from the second communication information detection device and the communication information detected by the detection unit of the first communication information detection device. It is determined whether or not the communication information has successfully established a connection based on the communication protocol used for the communication information. If the result of determination is that the communication information is not communication information that has normally established a connection, the transmission unit of the first communication information detection device transmits detection information related to the communication information.

本実施形態の一側面によれば、ネットワークの接続態様に関わらずに、IPSA詐称パケットを検出すことができる。   According to one aspect of this embodiment, an IPSA spoofed packet can be detected regardless of the network connection mode.

本実施形態における送信元アドレス詐称判定システムの一例を示す。An example of the transmission source address misrecognition determination system in this embodiment is shown. 本実施形態におけるIPSA詐称パケット検出のためのネットワーク構成の一例を示す。An example of the network structure for the IPSA misrepresentation packet detection in this embodiment is shown. パケットの構成を示す。The structure of a packet is shown. 3ウェイハンドシェークによるTCPのコネクション確立について説明するための図である。It is a figure for demonstrating the TCP connection establishment by 3 way handshake. 本実施形態の全体の流れを示す。The overall flow of this embodiment is shown. 本実施形態におけるIPSA詐称パケット(IPSAに本来存在しないIPアドレスが設定されている場合)の検出のためにTCPの異常接続シーケンスの監視について説明するための図である。It is a figure for demonstrating the monitoring of the abnormal connection sequence of TCP for the detection of the IPSA spoofing packet (when the IP address which does not originally exist in IPSA is set) in this embodiment. 図5の場合における、パケット検出装置(#3)による、IPSA詐称パケット(IPSAに本来存在しないIPアドレスが設定されている場合)に基づく異常シーケンスの検出処理について説明する図である。It is a figure explaining the detection process of the abnormal sequence based on the IPSA misrepresentation packet (when the IP address which does not originally exist in IPSA is set) by the packet detection apparatus (# 3) in the case of FIG. 図5の場合における、パケット検出装置(PD#2,PD#5)による、IPSA詐称パケット(IPSAに本来存在しないIPアドレスが設定されている場合)に基づく異常シーケンスの検出処理について説明する図である。FIG. 6 is a diagram for explaining an abnormal sequence detection process based on an IPSA spoof packet (when an IP address that does not originally exist in the IPSA is set) by the packet detection device (PD # 2, PD # 5) in the case of FIG. 5; is there. 本実施形態におけるIPSA詐称パケット(実在するIPアドレスが設定されている場合)の検出のためにTCPの異常接続シーケンスの監視について説明するための図である。It is a figure for demonstrating the monitoring of the abnormal connection sequence of TCP for the detection of the IPSA spoofing packet (when the existing IP address is set) in this embodiment. パケット検出装置(PD#2,PD#5)による、IPSA詐称パケット(実在するIPアドレスが設定されている場合)に基づく異常シーケンスの検出処理について説明する図である。It is a figure explaining the detection process of the abnormal sequence based on the IPSA spoofing packet (when the existing IP address is set) by the packet detection device (PD # 2, PD # 5). パケット検出装置(PD#3)による、IPSA詐称パケット(実在するIPアドレスが設定されている場合)に基づく異常シーケンスの検出処理について説明する図である。It is a figure explaining the detection process of the abnormal sequence based on an IPSA spoofing packet (when the existing IP address is set) by a packet detection apparatus (PD # 3). パケット検出装置(PD#1,PD#6)による、IPSA詐称パケット(実在するIPアドレスが設定されている場合)に基づく異常シーケンスの検出処理について説明する図である。It is a figure explaining the detection process of the abnormal sequence based on the IPSA spoofing packet (when the existing IP address is set) by the packet detection apparatus (PD # 1, PD # 6). 本実施形態におけるパケット検出装置による検出イベントを管理サーバへ通知する処理を説明するための図である。It is a figure for demonstrating the process which notifies the detection event by the packet detection apparatus in this embodiment to a management server. 本実施形態における、パケット検出装置の処理フローの一例を示す。An example of the processing flow of the packet detection apparatus in this embodiment is shown. 本実施形態における、異常接続シーケンスを判定するために、受信したパケットが、3ウェイハンドシェークによる正常接続シーケンスが成立する場合に受信すべきパケットであるかを判定する処理を説明するための図である。It is a figure for demonstrating the process which determines whether the received packet is a packet which should be received when the normal connection sequence by 3-way handshake is materialized in order to determine the abnormal connection sequence in this embodiment. . 本実施形態における、SYNパケットを受信した場合の3ウェイハンドシェーク検証処理1(S14)の詳細フローの一例を示す。An example of the detailed flow of the 3-way handshake verification process 1 (S14) when a SYN packet is received in the present embodiment is shown. 本実施形態における、SYN-ACKパケットを受信した場合の3ウェイハンドシェーク検証処理2(S15)の詳細フローの一例を示す。An example of the detailed flow of the 3-way handshake verification process 2 (S15) when a SYN-ACK packet is received in the present embodiment is shown. 本実施形態における、ACKパケットを受信した場合の3ウェイハンドシェーク検証処理3(S16)の詳細フローの一例を示す。An example of a detailed flow of the 3-way handshake verification process 3 (S16) when an ACK packet is received in the present embodiment is shown. 本実施形態における、一時蓄積バッファ管理処理(S17)の詳細フローの一例を示す。An example of a detailed flow of temporary storage buffer management processing (S17) in the present embodiment will be shown. 本実施形態における異常接続シーケンスの検証処理を説明するための図である。It is a figure for demonstrating the verification process of the abnormal connection sequence in this embodiment. 本実施形態における、イコールコストマルチパス条件下での異常接続シーケンスの検証処理による正常シーケンス判定例を示す。The normal sequence judgment example by the verification process of the abnormal connection sequence under an equal cost multipath condition in this embodiment is shown. 本実施形態におけるイーサチャネル区間配置時のパケット検出装置の動作を説明するための図である。It is a figure for demonstrating operation | movement of the packet detection apparatus at the time of the ether channel area arrangement | positioning in this embodiment. 本実施形態における検証テーブルの一例を示す。An example of the verification table in this embodiment is shown. 本実施形態における管理サーバによる異常接続シーケンスの検証処理フローの一例を示す。An example of the verification process flow of the abnormal connection sequence by the management server in this embodiment is shown. 本実施形態における異常接続シーケンスと判定されたパケットがIPSA詐称パケット(IPSAに本来存在しないIPアドレスが設定されている場合)であるか否かの判定について説明するための図である。It is a figure for demonstrating determination whether the packet determined to be the abnormal connection sequence in this embodiment is an IPSA misrepresentation packet (when the IP address which does not originally exist in IPSA is set). 本実施形態における異常接続シーケンスと判定されたパケットがIPSA詐称パケット(実在するIPアドレスが設定されている場合)であるか否かの判定について説明するための図である。It is a figure for demonstrating determination whether the packet determined to be the abnormal connection sequence in this embodiment is an IPSA spoofing packet (when the existing IP address is set). S43の判定における条件2について説明するための図である。It is a figure for demonstrating the conditions 2 in determination of S43. 本実施形態における異常接続シーケンスと判定されたパケットがIPSA詐称パケットであるか否かの判定を行う処理フローの一例を示す。An example of the processing flow which determines whether the packet determined to be the abnormal connection sequence in this embodiment is an IPSA misrepresentation packet is shown. 本実施形態における、クライアントPCにIPSA詐称パケット検出画面を表示させるためのネットワーク構成の一例を示す。4 shows an example of a network configuration for displaying an IPSA spoofed packet detection screen on a client PC in the present embodiment. 本実施形態におけるIPSA詐称パケット検出画面の一例を示す。An example of the IPSA misrepresentation packet detection screen in this embodiment is shown. 本実施形態におけるノードアイコン定義画面の一例を示す。An example of the node icon definition screen in this embodiment is shown. 本実施形態におけるリンク線定義画面の一例(その1)を示す。An example (the 1) of a link line definition screen in this embodiment is shown. 本実施形態におけるリンク線定義画面の一例(その2)を示す。An example (the 2) of a link line definition screen in this embodiment is shown. 本実施形態におけるリンク線定義画面の一例(その3)を示す。An example (the 3) of a link line definition screen in this embodiment is shown. 本実施形態におけるTND定義画面の一例を示す。An example of the TND definition screen in this embodiment is shown. 本実施形態におけるIPSA詐称パケット検出時(IPSAに、実在しないIPアドレスが設定されている場合)の画面の表示例を示す。An example of a screen displayed when an IPSA spoofed packet is detected in this embodiment (when an IP address that does not exist in IPSA is set) is shown. 実施形態におけるIPSA詐称パケット検出時(IPSAに、実在するIPアドレスが設定されている場合)の画面の表示例を示す。The example of a display of the screen at the time of IPSA spoofed packet detection in the embodiment (when the IP address which exists actually is set to IPSA) is shown. 本実施形態におけるIPSA詐称パケット送信端末を特定するための指示画面の一例を示す。An example of the instruction | indication screen for specifying the IPSA spoofing packet transmission terminal in this embodiment is shown. 本実施形態におけるIPSA詐称パケットを送信した端末を特定した場合に表示される画面例である。It is an example of a screen displayed when the terminal which transmitted the IPSA spoofing packet in this embodiment is specified. 本実施形態におけるIPSA詐称パケットを送信した端末を特定することができなかった場合に表示される画面例を示す。The example of a screen displayed when the terminal which transmitted the IPSA spoofing packet in this embodiment could not be specified is shown. 本実施形態におけるベースマップ画像の生成処理フローを示す。The base map image generation processing flow in this embodiment is shown. 本実施形態におけるIPSA詐称端末検出の検出結果の表示処理フローを示す。The display processing flow of the detection result of the IPSA misrepresentation terminal detection in this embodiment is shown. 本実施形態を適用したコンピュータのハードウェア環境の構成ブロック図である。It is a block diagram of a hardware environment of a computer to which this embodiment is applied.

IPv4(Internet Protocol Version 4)アドレスの枯渇に伴い、今後はIPv6(Internet Protocol Version 6)への移行が進むと予測される。IPv4のセキュティモデルとしては、インターネットとイントラネットのように明確に分離されたネットワークの境界線上にファイアウォールを配置して集中的にトラフィックのチェックを行なう方式を用いることが多かった。なお、インターネットでは、グローバルアドレスが使用されている。イントラネットでは、プライベートアドレスが使用されている。   With the depletion of IPv4 (Internet Protocol Version 4) addresses, the transition to IPv6 (Internet Protocol Version 6) is expected to progress in the future. As a security model for IPv4, a method of intensively checking traffic by placing a firewall on the boundary line of a clearly separated network such as the Internet and an intranet is often used. Note that a global address is used on the Internet. Private addresses are used on the intranet.

IPv4のセキュリティモデルにおいて、送信元のIPアドレスを詐称しているパケット(IPSA詐称パケット)を検出する方法としては、次の方法が考えられる。インターネットとイントラネットの境界線上に配置されたファイアウォールに、そのファイアウォールが接続されているサブネット情報の登録を物理ポート毎に予め行う。例えば、ファイアウォールに登録するサブネット情報として、ポート1側にグローバルアドレス、ポート2側にクラスAのプライベートアドレス、ポート3側にクラスB,Cのプライベートアドレスを設定する。ファイアウォールは、各物理ポートからの入力されたパケットの送信元アドレスが、予め登録されたサブネット情報と一致しないパケットをIPSA詐称パケットとして検出することができる。   In the IPv4 security model, the following method is conceivable as a method for detecting a packet spoofing an IP address of a transmission source (IPSA spoofing packet). The subnet information to which the firewall is connected is registered in advance for each physical port in the firewall arranged on the boundary line between the Internet and the intranet. For example, as subnet information to be registered in the firewall, a global address is set on the port 1 side, a class A private address is set on the port 2 side, and class B and C private addresses are set on the port 3 side. The firewall can detect a packet whose source address of an input packet from each physical port does not match the previously registered subnet information as an IPSA spoofed packet.

しかしながら、例えば各ポートの先のネットワークが、X.X.X.X/8〜X.X.X.X/30の間で細かく細分化されているとする。さらに、細分化されたアドレス空間がファイアウォールの各ポートの先に分散して存在したとする(うまくアドレス集約が行えないケース)。この場合、登録するサブネット数が増大して実運用に耐えられなくなる可能性がある。   However, for example, it is assumed that the network ahead of each port is subdivided between X.X.X.X / 8 and X.X.X.X / 30. Furthermore, it is assumed that the fragmented address space is distributed over each port of the firewall (a case where address aggregation cannot be performed well). In this case, there is a possibility that the number of subnets to be registered increases and the actual operation cannot be endured.

またIPv6移行により、今後は内部イントラネットにおいてもグローバルアドレスが使用されることから、従来のグローバルアドレスとプライベートアドレスの区分けによる最も単純な設定が使えなくなる。さらに、IPv6アドレスの記述自体が『2001:db1:xxxx::/48』や『2001:db1:xxxx:abcd::/64』 のようにIPv4のアドレス表記よりも煩雑となる。結果として、ファイアウォールにサブネット情報を逐一手動で登録する手法ではIPv6移行後のネットワークに対してはますます適用が難しくなると思われる。   In addition, with the transition to IPv6, global addresses will be used in the internal intranet in the future, making it impossible to use the simplest setting by distinguishing between conventional global addresses and private addresses. Furthermore, the IPv6 address description itself is more complicated than the IPv4 address notation such as “2001: db1: xxxx :: / 48” and “2001: db1: xxxx: abcd :: / 64”. As a result, the method of manually registering subnet information in the firewall one by one seems to be increasingly difficult to apply to networks after IPv6 transition.

また、上述のように、攻撃元ホスト、踏み台ホスト、攻撃先ホスト、及びゲートウェイとの位置関係によってはIPSA詐称パケットを検出できない場合がある。
そこで、本実施形態の一側面では、ネットワークの接続態様に関わらずに、さらに、予め検出のためのサブネット情報の登録も行なわずに、容易にIPSA詐称パケットを検出する送信元アドレス詐称判定システムについて説明する。
In addition, as described above, the IPSA spoofed packet may not be detected depending on the positional relationship with the attack source host, the platform host, the attack destination host, and the gateway.
Therefore, in one aspect of the present embodiment, a transmission source address spoofing determination system that easily detects an IPSA spoofed packet, without registering subnet information for detection in advance, regardless of the network connection mode. explain.

またIPSA詐称パケット検出時の確認方法に関しても、従来方式ではファイアウォールの管理画面にテキストベースのログ出力を行う場合が多い。しかし、この場合には、ログ情報の他に、別途ネットワークの論理構成図や物理構成図などの情報を用いながら攻撃経路やどの装置が攻撃されているのか等の解析を行う必要があるため、攻撃の全体像を迅速に把握することが難しい。   As for the confirmation method when detecting an IPSA spoofed packet, the conventional method often outputs a text-based log to the firewall management screen. However, in this case, in addition to log information, it is necessary to analyze the attack route and which device is being attacked while using information such as the logical configuration diagram and physical configuration diagram of the network separately. It is difficult to get a quick overview of the attack.

そこで、本実施形態では、さらに、攻撃経路やどの装置が攻撃されているのか等の情報を視覚的に表示することができる送信元アドレス詐称判定システムについて説明する。   Therefore, in this embodiment, a source address spoofing determination system that can visually display information such as an attack route and which device is being attacked will be described.

図1は、本実施形態における送信元アドレス詐称判定システムの一例を示す。送信元アドレス詐称判定システム200は、通信情報検出装置1、送信元アドレス詐称判定装置2を含む。通信情報検出装置1は、検出部1a、通信情報判定部1b、送信部1cを含む。通信情報検出装置1の一例として、パケット検出装置12が挙げられる。送信元アドレス詐称判定装置2の一例として、管理サーバ14が挙げられる。   FIG. 1 shows an example of a transmission source address spoofing determination system in the present embodiment. The transmission source address spoofing determination system 200 includes a communication information detection device 1 and a transmission source address spoofing determination device 2. The communication information detection apparatus 1 includes a detection unit 1a, a communication information determination unit 1b, and a transmission unit 1c. An example of the communication information detection device 1 is a packet detection device 12. The management server 14 is mentioned as an example of the transmission source address misrecognition determination device 2.

検出部1aは、中継装置9間を接続する通信線7によって伝送される通信情報を順次検出する。検出部1aの行う処理の一例としては、S11の処理が挙げられる。中継装置9の一例として、ルータ15が挙げられる。なお、中継装置9の他方は、ネットワーク8と接続されている。また、ネットワーク8には、同様に、通信情報検出装置1が配置されている。   The detection unit 1a sequentially detects communication information transmitted through the communication line 7 connecting the relay devices 9. An example of the process performed by the detection unit 1a is the process of S11. An example of the relay device 9 is a router 15. The other relay device 9 is connected to the network 8. Similarly, the communication information detection apparatus 1 is arranged in the network 8.

通信情報判定部1bは、検出された通信情報が、通信情報に用いられる通信プロトコルに基づいて正常にコネクションを確立させた通信情報であるかを判定する。通信情報判定部1bの行う処理の一例としては、S17−4の処理が挙げられる。   The communication information determination unit 1b determines whether the detected communication information is communication information that has normally established a connection based on a communication protocol used for the communication information. An example of the process performed by the communication information determination unit 1b is the process of S17-4.

送信部1cは、判定の結果、検出された通信情報が正常にコネクションを確立させた通信情報でない場合、検出された通信情報に関する検出情報を送信する。送信部1cの行う処理の一例として、S17−5の処理が挙げられる。   If the result of determination is that the detected communication information is not communication information that has successfully established a connection, the transmission unit 1c transmits detection information relating to the detected communication information. An example of the process performed by the transmission unit 1c is the process of S17-5.

送信元アドレス詐称判定装置2は、収集部2a、検証部2b、経路情報取得部2c、詐称判定部2dを含む。
収集部2aは、通信情報検出装置1から送信された検出情報を収集する。収集部2aの行う処理の一例として、S21の処理が挙げられる。
The source address spoofing determination device 2 includes a collection unit 2a, a verification unit 2b, a route information acquisition unit 2c, and a spoof determination unit 2d.
The collection unit 2a collects the detection information transmitted from the communication information detection device 1. An example of the process performed by the collection unit 2a is the process of S21.

検証部2bは、収集された検出情報を集約し、集約した検出情報に含まれる通信情報が通信プロトコルに基づいて正常にコネクションを確立させた通信情報であるかを検証する。検証部2bの行う処理の一例として、S24の処理が挙げられる。   The verification unit 2b aggregates the collected detection information and verifies whether the communication information included in the collected detection information is communication information that has normally established a connection based on the communication protocol. An example of the process performed by the verification unit 2b is the process of S24.

経路情報取得部2cは、判定の結果、集約した検出情報に含まれる通信情報が通信プロトコルに基づいて正常にコネクションを確立させた通信情報でない場合、次の処理を行う。すなわち、経路情報取得部2cは、検出された通信情報のうち第1情報処理装置3から第2情報処理装置4へ送信される通信情報について、第2情報処理装置4が属するネットワーク10に属するいずれかの情報処理装置6に、経路情報を取得するように要求する。ここで、経路情報は、いずれかの情報処理装置6から通信情報の送信元アドレスまでの経路情報である。経路情報取得部2cは、いずれかの情報処理装置6から経路情報を取得する。経路情報取得部2cの行う処理の一例として、S53,S54の処理が挙げられる。情報処理装置6の一例として、末端ネットワーク装置13が挙げられる。   As a result of the determination, the path information acquisition unit 2c performs the following process when the communication information included in the collected detection information is not communication information that has normally established a connection based on the communication protocol. In other words, the path information acquisition unit 2c, for the communication information transmitted from the first information processing device 3 to the second information processing device 4 among the detected communication information, The information processing device 6 is requested to acquire route information. Here, the route information is route information from any one of the information processing apparatuses 6 to the transmission source address of the communication information. The route information acquisition unit 2 c acquires route information from any of the information processing devices 6. Examples of the process performed by the route information acquisition unit 2c include the processes of S53 and S54. An example of the information processing device 6 is a terminal network device 13.

詐称判定部2dは、経路情報の結果が正常でない場合、または経路情報により示される経路と第1情報処理装置3から第2情報処理装置4への送信経路とが異なる場合、通信情報の送信元アドレスが詐称であると判定する。詐称判定部2dの行う処理の一例として、S55〜S58の処理が挙げられる。
このように構成することにより、パケットのIPSAの詐称を判定することができる。
The misrepresentation determination unit 2d determines the source of the communication information when the result of the route information is not normal or when the route indicated by the route information is different from the transmission route from the first information processing device 3 to the second information processing device 4. It is determined that the address is a misrepresentation. As an example of the process performed by the misrepresentation determination unit 2d, the processes of S55 to S58 are given.
With this configuration, it is possible to determine the IPSA misrepresentation of a packet.

通信情報は、トランスミッション・コントロール・プロトコル(TCP)ヘッダが付加された情報である。通信情報判定部1bは、検出された通信情報について、3ウェイハンドシェークに従って、次の処理を行う。すなわち、通信情報判定部1bは、TCPヘッダに含まれるTCPフラグがSYNである通信情報を検出後に、閾値時間内に、TCPフラグがSYN-ACKである通信情報及びTCPフラグがACKである通信情報を順に検出したかを判定する。   The communication information is information to which a transmission control protocol (TCP) header is added. The communication information determination unit 1b performs the following processing on the detected communication information according to the three-way handshake. That is, the communication information determination unit 1b detects communication information whose TCP flag is SYN and communication information whose TCP flag is ACK within a threshold time after detecting communication information whose TCP flag is SYN included in the TCP header. Are sequentially detected.

このように構成することにより、そのパケットが、3ウェイハンドシェークに従って、正常な接続シーケンスを完了したパケットかを判定することができる。   With this configuration, it is possible to determine whether the packet has completed a normal connection sequence according to the 3-way handshake.

検証部2bは、送信元アドレス、送信先アドレス、TCPフラグに基づいて、収集された検出情報を集約する。検証部2bは、集約した検出情報に含まれる通信情報について、3ウェイハンドシェークに従って、次の処理を行う。すなわち、検証部2bは、TCPヘッダに含まれるTCPフラグがSYNである通信情報を検出後に、閾値時間内に、TCPフラグがSYN-ACKである通信情報及びTCPフラグがACKである通信情報を順に検出したかを判定する。   The verification unit 2b collects the collected detection information based on the transmission source address, the transmission destination address, and the TCP flag. The verification unit 2b performs the following processing on the communication information included in the collected detection information according to the three-way handshake. That is, after detecting communication information whose TCP flag is SYN included in the TCP header, the verification unit 2b sequentially transmits communication information whose TCP flag is SYN-ACK and communication information whose TCP flag is ACK within a threshold time. Determine if it was detected.

このように構成することにより、ネットワークのトポロジーのために、その通信情報検出装置1では異常接続シーケンスと判定されたものであっても、送信元−送信先間で正常接続シーケンスが成立している接続シーケンスをIPSA詐称判定の対象から除外できる。すなわち、イコールコストマルチパス構成のネットワークで端末間のTCP疎通経路が分散してしまうことの影響を排除することができる。   By configuring in this way, a normal connection sequence is established between the transmission source and the transmission destination even if the communication information detection device 1 determines that the connection sequence is abnormal due to the network topology. Connection sequences can be excluded from IPSA misrepresentation. That is, it is possible to eliminate the influence of TCP communication paths between terminals distributed in an equal cost multipath network.

詐称判定部2dは、経路情報の結果が正常でない場合、通信情報の送信元アドレスが詐称であると判定する。または詐称判定部2dは、経路情報に含まれる中継装置のアドレスのうちのいずれかが第1情報処理装置から第2情報処理装置へ送信される通信情報を検出した通信情報検出装置のアドレス空間に含まれない場合、通信情報の送信元アドレスが詐称であると判定する。   The misrepresentation determination unit 2d determines that the transmission source address of the communication information is misrepresentation when the result of the route information is not normal. Alternatively, the misrepresentation determination unit 2d may enter the address space of the communication information detection device that has detected communication information transmitted from the first information processing device to the second information processing device, in any of the addresses of the relay device included in the route information. If not included, it is determined that the transmission source address of the communication information is misrepresentation.

このように構成することにより、IPSAの詐称を判定することができる。
通信線7が、複数の物理線の集合から形成された論理的に1つの通信線である。通信情報検出装置1は、物理線のそれぞれに配置される。同一の通信線を形成する物理線に配置された通信情報検出装置のうちの第1の通信情報検出装置以外の通信情報検出装置を第2の通信情報検出装置という。第2の通信情報検出装置の送信部1cは、検出された通信情報に関する検出情報を、第1の通信情報検出装置へ送信する。第1の通信情報検出装置の通信情報判定部1bは、通信情報が、通信情報に用いられる通信プロトコルに基づいて正常にコネクションを確立させた通信情報であるかを判定する。ここで、通信情報は、第2の通信情報検出装置から送信された検出情報の示す通信情報及び第1の通信情報検出装置の検出部1aにより検出された通信情報である。第1の通信情報検出装置の送信部1cは、判定の結果、通信情報が正常にコネクションを確立させた通信情報でない場合、通信情報に関する検出情報を送信する。
By configuring in this way, it is possible to determine IPSA misrepresentation.
The communication line 7 is logically one communication line formed from a set of a plurality of physical lines. The communication information detection apparatus 1 is disposed on each physical line. Communication information detection devices other than the first communication information detection device among the communication information detection devices arranged on the physical lines forming the same communication line are referred to as second communication information detection devices. The transmission unit 1c of the second communication information detection device transmits detection information related to the detected communication information to the first communication information detection device. The communication information determination unit 1b of the first communication information detection apparatus determines whether the communication information is communication information that has normally established a connection based on the communication protocol used for the communication information. Here, the communication information is the communication information indicated by the detection information transmitted from the second communication information detection device and the communication information detected by the detection unit 1a of the first communication information detection device. If the result of determination is that the communication information is not communication information that has normally established a connection, the transmission unit 1c of the first communication information detection device transmits detection information related to the communication information.

このように構成することにより、イーサチャネル区間に関して、第2の通信情報検出装置が代表となる第1の通信情報検出装置へ通信情報を集約させることにより、端末間のTCP通信がイーサチャネル区間を分散して疎通することの影響を回避することができる。   By configuring in this way, with respect to the Ether channel period, the communication information is aggregated to the first communication information detecting apparatus represented by the second communication information detecting apparatus. The effect of distributed communication can be avoided.

送信元詐称判定装置2は、さらに、登録部2e、画像生成部2f、付加部2g、表示制御部2hを含む。
登録部2eは、中継装置9、通信線7、及び経路情報を取得する情報処理装置6について、ネットワーク上のアドレスに関する情報を登録する。登録部2eの行う処理の一例としては、S61の処理が挙げられる。
The transmission source misrepresentation determination device 2 further includes a registration unit 2e, an image generation unit 2f, an addition unit 2g, and a display control unit 2h.
The registration unit 2e registers information related to addresses on the network for the relay device 9, the communication line 7, and the information processing device 6 that acquires route information. An example of the process performed by the registration unit 2e is the process of S61.

画像生成部2fは、登録した情報に基づいて、中継装置9、通信線7、及び経路情報を取得する情報処理装置6の接続関係を生成する。画像生成部2fは、中継装置9、通信線7、及び経路情報を取得する情報処理装置6に対応するシンボルを接続関係に基づいて配置したネットワーク構成画像(ベースマップ)を生成する。画像生成部2fの行う処理の一例としては、S62の処理が挙げられる。ネットワーク構成画像の一例として、IPSA詐称パケット検出画面80が挙げられる。   The image generation unit 2f generates a connection relationship between the relay device 9, the communication line 7, and the information processing device 6 that acquires route information based on the registered information. The image generation unit 2f generates a network configuration image (base map) in which symbols corresponding to the relay device 9, the communication line 7, and the information processing device 6 that acquires route information are arranged based on the connection relationship. An example of the process performed by the image generation unit 2f is the process of S62. An example of the network configuration image is an IPSA spoofed packet detection screen 80.

表示制御部2hは、図29に示すようなクライアント−サーバ形態において、クライアントPCからの要求に従う。すなわち、表示制御部2hは、最新または過去の履歴の送信元IPアドレス詐称パケット検知情報の中から、任意の検知結果を、画像生成部2fにより生成されるベースマップ上にマッピングして、図36または図37に示すような検知画面の提供を行なう。付加部2gは、表示制御部2hが受信したクライアントPCからの画面要求に基づいて、要求と一致するIPSA詐称パケットの検知結果を画像生成部2fにより生成されるベースマップ上にマッピングする。表示制御部2hが行う処理の一例としては、S63、S65の処理が挙げられる。付加部2gが行う処理の一例としては、S62の処理が挙げられる。   The display control unit 2h follows a request from the client PC in the client-server form as shown in FIG. That is, the display control unit 2h maps an arbitrary detection result from the latest or past history transmission source IP address spoofed packet detection information onto the base map generated by the image generation unit 2f, and FIG. Alternatively, a detection screen as shown in FIG. 37 is provided. Based on the screen request from the client PC received by the display control unit 2h, the addition unit 2g maps the detection result of the IPSA spoofing packet that matches the request on the base map generated by the image generation unit 2f. Examples of the process performed by the display control unit 2h include the processes of S63 and S65. An example of the process performed by the adding unit 2g includes the process of S62.

このように構成することにより、IPSA詐称パケット検出画面80に、送信元アドレス詐称情報を表示させることができる。したがって、攻撃経路やどの装置が攻撃されているか等の情報を視覚的に表示することができる。   With this configuration, the source address spoofing information can be displayed on the IPSA spoofed packet detection screen 80. Therefore, it is possible to visually display information such as the attack path and which device is being attacked.

図2は、本実施形態におけるIPSA詐称パケット検出のためのネットワーク構成の一例を示す。監視対象のネットワーク11は、パケット検出装置(PD)12、末端ネットワーク装置(TND)13、管理サーバ14、ルータ15を含む。監視対象のネットワーク11内に、パケット検出装置12及び末端ネットワーク装置13が分散して配置されている。ルータ15間は、例えば通信ケーブル等の物理線で接続されている。ルータ15とルータ15、及びルータ15と末端ネットワーク装置13とは、論理ネットワークで接続されている。   FIG. 2 shows an example of a network configuration for detecting an IPSA spoofing packet in the present embodiment. The network 11 to be monitored includes a packet detection device (PD) 12, a terminal network device (TND) 13, a management server 14, and a router 15. In the network 11 to be monitored, packet detection devices 12 and end network devices 13 are distributed. The routers 15 are connected by physical lines such as communication cables. The router 15 and the router 15, and the router 15 and the terminal network device 13 are connected by a logical network.

ルータ15は、OSI(International Organization for Standardization)参照モデルにおけるネットワーク層(レイヤ3)のデータの転送処理を行う装置である。   The router 15 is a device that performs data transfer processing of the network layer (layer 3) in an OSI (International Organization for Standardization) reference model.

パケット検出装置12は、ルータ15間のネットワークごとに1台ずつ配置される。また、イーサチャネルにより1つの論理ネットワークが複数の物理線で構成されている場合には、パケット検出装置12は、物理線ごとに配置される。パケット検出装置12は、パケット検出装置12自身が配置されている物理線を通過するパケット(SYN,SYN-ACK,ACK)を検出する。パケット検出装置12は、3ウェイハンドシェークに基づいて、検出したパケットが正常な接続シーケンスであるかを判定する。接続シーケンスが正常でない場合、パケット検出装置12は、その検出結果を管理サーバ14へ通知する。なお、パケット検出装置12の当該機能は、ファイアーウォールに設けられてもよい。   One packet detection device 12 is arranged for each network between the routers 15. In addition, when one logical network is configured by a plurality of physical lines by the Ethernet channel, the packet detection device 12 is arranged for each physical line. The packet detection device 12 detects a packet (SYN, SYN-ACK, ACK) passing through a physical line on which the packet detection device 12 itself is arranged. The packet detection device 12 determines whether the detected packet is a normal connection sequence based on the 3-way handshake. If the connection sequence is not normal, the packet detection device 12 notifies the management server 14 of the detection result. The function of the packet detection device 12 may be provided in a firewall.

管理サーバ14は、パケット検出装置12による検出情報を収集し、収集した検出結果に基づいて、パケット検出装置12により異常と判定された接続シーケンスの検証を行う。3ウェイハンドシェークによる一連のパケット(SYN,SYN-ACK,ACK)のいずれかが他のパケットとは異なるルートを通ったためにパケット検出装置12では検出されず、異常な接続シーケンスと判定される場合もある。しかしながら、そのように局所的に異常な接続シーケンスであっても、ネットワーク11全体を見れば、送信元−送信先間では正常な接続シーケンスが成立している場合もある。そこで、管理サーバ14は送信元−送信先間では正常な接続シーケンスが成立しているかを検証する。管理サーバ14は、送信元−送信先間でも異常な接続シーケンスであると判定した場合、末端ネットワーク装置13に、異常な接続シーケンスのうちSYNパケットに設定されている送信元アドレスに対してトレースルートを発行するように依頼する。管理サーバ14は、その依頼の結果に基づいて、SYNパケットに設定されている送信元アドレスが詐称アドレスか否かを判定する。また、管理サーバ14は、検出結果を管理者のコンピュータに送信し、IPSA詐称パケットの送信元を特定するための支援機能も有している。   The management server 14 collects information detected by the packet detection device 12, and verifies the connection sequence determined to be abnormal by the packet detection device 12 based on the collected detection results. There is a case in which any of a series of packets (SYN, SYN-ACK, ACK) by the three-way handshake is not detected by the packet detection device 12 because it passes through a route different from other packets, and is determined to be an abnormal connection sequence. is there. However, even in such a locally abnormal connection sequence, a normal connection sequence may be established between the transmission source and the transmission destination when the entire network 11 is viewed. Therefore, the management server 14 verifies whether a normal connection sequence is established between the transmission source and the transmission destination. If the management server 14 determines that the connection sequence is abnormal even between the transmission source and the transmission destination, the trace route is sent to the terminal network device 13 for the transmission source address set in the SYN packet in the abnormal connection sequence. Ask to be issued. Based on the result of the request, the management server 14 determines whether or not the transmission source address set in the SYN packet is a spoofed address. The management server 14 also has a support function for transmitting the detection result to the administrator's computer and identifying the source of the IPSA spoofing packet.

なお、本実施形態ではTCPの接続シーケンス判定であるため、3ウェイハンドシェークを用いたが、これに限定されず、通信プロトコルに応じた接続シーケンス判定方法を用いることができる。   In this embodiment, since the TCP connection sequence determination is performed, the 3-way handshake is used. However, the present invention is not limited to this, and a connection sequence determination method according to the communication protocol can be used.

末端ネットワーク装置13は、ネットワーク11の末端ネットワーク部分のセグメント毎に、1台ずつ配置される。末端ネットワーク装置13は、管理サーバ14からの依頼に応じて、異常な接続シーケンスのうちSYNパケットに設定されている送信元アドレスに対してトレースルートの発行を行う。なお、末端ネットワーク装置13は、末端ネットワーク装置13の当該機能を有するプログラムをインストールしたコンピュータでもよい。また、末端ネットワーク装置13の機能を有するプログラムは、攻撃を受けているコンピュータにインストールされていてもよい。   One terminal network device 13 is arranged for each segment of the terminal network portion of the network 11. In response to a request from the management server 14, the terminal network device 13 issues a trace route to the transmission source address set in the SYN packet in the abnormal connection sequence. The terminal network device 13 may be a computer in which a program having the function of the terminal network device 13 is installed. Further, the program having the function of the terminal network device 13 may be installed in a computer under attack.

図3は、パケットの構成を示す。図3(A)は、パケットのデータ構造を示す。パケットは、IPヘッダ、TPC(Transmission Control Protocol)ヘッダ、データ部を含む。   FIG. 3 shows the structure of a packet. FIG. 3A shows the data structure of the packet. The packet includes an IP header, a TPC (Transmission Control Protocol) header, and a data part.

図3(B)は、IPヘッダの構造を示す。IPヘッダは、バージョン、ヘッダ長、サービスタイプ、パケット長、識別子、フラグ、フラグメントオフセット、生存時間、プロトコル、ヘッダチェックサム、送信元IPアドレス、送信先IPアドレス、オプション、パディングの項目を有する。「送信元IPアドレス」(IPSA)には、送信元のIPアドレスがセットされる。「送信先IPアドレス」(IPDA)には、送信先のIPアドレスがセットされる。これ以外の項目については、本実施形態で言及しないので、省略する。   FIG. 3B shows the structure of the IP header. The IP header has items of version, header length, service type, packet length, identifier, flag, fragment offset, lifetime, protocol, header checksum, source IP address, destination IP address, option, and padding. The “source IP address” (IPSA) is set to the source IP address. The “destination IP address” (IPDA) is set to the destination IP address. Since other items are not mentioned in this embodiment, they are omitted.

図3(C)は、TPCヘッダの構造を示す。TPCヘッダは、送信元ポート番号、送信先ポート番号、シーケンス番号、確認応答番号、ヘッダ長、予約ビット、TCPフラグ、ウィンドウサイズ、チェックサム、緊急ポインタ、オプション、パディングの項目を有する。「TCPフラグ」には、SYNフラグ、SYN-ACKフラグ、ACKフラグ等のフラグ値がセットされる。これ以外の項目については、本実施形態で言及しないので、省略する。   FIG. 3C shows the structure of the TPC header. The TPC header has items of source port number, destination port number, sequence number, acknowledgment number, header length, reserved bits, TCP flag, window size, checksum, emergency pointer, option, and padding. In the “TCP flag”, flag values such as a SYN flag, a SYN-ACK flag, and an ACK flag are set. Since other items are not mentioned in this embodiment, they are omitted.

図4は、3ウェイハンドシェークによるTCPのコネクション確立について説明するための図である。図4(A)は、3ウェイハンドシェークによるコネクション確立の接続シーケンスを示す。図4(B)は、パケット検出装置による正常な接続シーケンスの検出処理について説明する図である。図4(A)及び図4(B)では、送信側から受信側へ送信されるパケットのIPSAには、送信側の正しいIPアドレス(「10.0.20.1/24」)が設定されているとする。   FIG. 4 is a diagram for explaining TCP connection establishment by the 3-way handshake. FIG. 4A shows a connection sequence for establishing a connection by a three-way handshake. FIG. 4B is a diagram illustrating a normal connection sequence detection process performed by the packet detection device. In FIGS. 4A and 4B, it is assumed that the IP address (“10.0.20.1/24”) of the transmission side is set in the IPSA of the packet transmitted from the transmission side to the reception side. .

送信側がTCPフラグに「SYN」が設定されたSYNパケットを送信すると、SYNパケットは、パケット検出装置12を介して、受信側へ送信される。受信側がTCPフラグに「SYN-ACK」が設定されたSYN-ACKパケットを返信すると、SYN-ACKパケットは、パケット検出装置12を介して、送信側へ返信される。送信側は、TCPフラグに「SYN-ACK」が設定されたSYN-ACKパケットを送信すると、ACKパケットは、パケット検出装置12を介して、受信側へ送信される。   When the transmission side transmits a SYN packet in which “SYN” is set in the TCP flag, the SYN packet is transmitted to the reception side via the packet detection device 12. When the receiving side returns a SYN-ACK packet in which “SYN-ACK” is set in the TCP flag, the SYN-ACK packet is returned to the transmitting side via the packet detection device 12. When the transmission side transmits a SYN-ACK packet in which “SYN-ACK” is set in the TCP flag, the ACK packet is transmitted to the reception side via the packet detection device 12.

パケット検出装置12は、受信したパケットのSYNフラグを検出後、全てのシーケンスパケット(SYNパケット、SYN-ACKパケット、ACKパケット)が閾値時間内に検出されたことを条件に、正常な接続シーケンスと判定する。したがって、パケット検出装置12は、その条件を満たさない場合には、受信したパケットに基づくシーケンスは異常な接続シーケンスと判定する。   After detecting the SYN flag of the received packet, the packet detector 12 detects that all sequence packets (SYN packet, SYN-ACK packet, ACK packet) have been detected within the threshold time, judge. Therefore, when the condition is not satisfied, the packet detection device 12 determines that the sequence based on the received packet is an abnormal connection sequence.

図5は、本実施形態の全体の流れを示す。ネットワーク11内のパケット検出装置12は、TCPの異常な接続シーケンスを監視する(S1)。異常な接続シーケンスを検出した場合、パケット検出装置12は、検出結果を管理サーバ14へ送信する(S2)。管理サーバ14はパケット検出装置12からのTCPの異常な接続シーケンスの検出結果を受信後、その検出結果をマージする。管理サーバ14は、そのマージした検出結果を用いて、そのパケット検出装置12では、正常な接続シーケンスが成立していない接続シーケンスであっても、送信元−送信先間では正常なTCP接続シーケンスが成立しているかを検証する(S3)。管理サーバ14は、検証の結果、異常と判定されたTCP接続シーケンスに対し、末端ネットワーク装置によるトレースルート発行の結果を用いて、TCP接続異常の原因がIPSA詐称によるものかどうかの判定を行う(S4)。   FIG. 5 shows the overall flow of this embodiment. The packet detection device 12 in the network 11 monitors an abnormal TCP connection sequence (S1). When an abnormal connection sequence is detected, the packet detection device 12 transmits a detection result to the management server 14 (S2). After receiving the detection result of the abnormal TCP connection sequence from the packet detection device 12, the management server 14 merges the detection results. Using the merged detection result, the management server 14 uses the packet detection device 12 to establish a normal TCP connection sequence between the transmission source and the transmission destination even when the normal connection sequence is not established. It is verified whether it is established (S3). The management server 14 determines whether the cause of the TCP connection abnormality is due to IPSA misrepresentation by using the result of the trace route issuance by the terminal network device for the TCP connection sequence determined to be abnormal as a result of the verification ( S4).

以下では、本実施形態をさらに詳述する。IPSA詐称パケットには、IPSAに、本来存在しないIPアドレスが設定されている場合と、IPSAに、実在するIPアドレスが設定されている場合とがある。まずは、図6を用いて、IPSAに、本来存在しないIPアドレスが設定されているIPSA詐称パケットのTCPシーケンスについて説明する。   Hereinafter, this embodiment will be described in more detail. In the IPSA spoofed packet, there are cases where an IP address that does not originally exist is set in the IPSA, and cases where an actual IP address is set in the IPSA. First, a TCP sequence of an IPSA spoofed packet in which an IP address that does not originally exist in IPSA is set will be described with reference to FIG.

図6は、本実施形態におけるIPSA詐称パケット(IPSAに本来存在しないIPアドレスが設定されている場合)の検出のためにTCPの異常接続シーケンスの監視について説明するための図である。図6の各装置及びルータの各ポートに付されている数値は、IPアドレス/サブネットマスクを示す。   FIG. 6 is a diagram for explaining monitoring of an abnormal TCP connection sequence for detection of an IPSA spoofed packet (when an IP address that does not originally exist in the IPSA) is set in the present embodiment. The numerical values given to each device and each port of the router in FIG. 6 indicate an IP address / subnet mask.

図6のネットワークは、ルータ15としてレイヤー3スイッチ(L3SW)を用いる。また、末端のネットワークでは、レイヤー2スイッチ(L2SW)16を用いて、ネットワークが構成されている。   The network in FIG. 6 uses a layer 3 switch (L3SW) as the router 15. In the terminal network, a layer 2 switch (L2SW) 16 is used to configure the network.

図6の上側にある末端のネットワークには、攻撃者の使用する端末(攻撃者端末)17と末端ネットワーク装置13がL2SW(16)と接続されている。図6の左側にある末端のネットワークには、末端ネットワーク装置13、サーバ18がL2SW(16)と接続されている。図6の右側にある末端のネットワークには、管理サーバ14、サーバ19、末端ネットワーク装置13がL2SW(16)と接続されている。サーバ19は、攻撃者の標的となるサーバである。   The terminal network (attacker terminal) 17 used by the attacker and the terminal network device 13 are connected to the L2SW (16) in the terminal network on the upper side of FIG. A terminal network device 13 and a server 18 are connected to the L2SW (16) in the terminal network on the left side of FIG. A management server 14, a server 19, and a terminal network device 13 are connected to the L2SW (16) in the terminal network on the right side of FIG. The server 19 is a server targeted by an attacker.

攻撃者端末17は、標的サーバ19に対してIPSA詐称パケットを送信する。パケットは、「IPSA」、「IPDA」、「TCPフラグ」、「データ」を含む。「IPSA」には、「送信元のIPアドレス(IPSA)」が設定される。「IPDA」には、「送信先のIPアドレス(IPDA)」が設定される。「TCPフラグ」には、「SYN(接続要求)」、「ACK(応答確認)」等のフラグが設定される。   The attacker terminal 17 transmits an IPSA spoof packet to the target server 19. The packet includes “IPSA”, “IPDA”, “TCP flag”, and “data”. In “IPSA”, “IP address of transmission source (IPSA)” is set. In “IPDA”, “destination IP address (IPDA)” is set. In the “TCP flag”, flags such as “SYN (connection request)” and “ACK (response confirmation)” are set.

攻撃者端末17のIPアドレスは、本来は、「10.0.20.1/24」である。しかしながら、図6においてIPSA詐称パケット21では、攻撃者端末のIPアドレスには、本来存在しない「10.0.99.99」が設定されている。また、IPSA詐称パケット21の「送信先のIPアドレス(IPDA)」には、標的サーバ19のIPアドレスが設定されている。   The IP address of the attacker terminal 17 is originally “10.0.20.1/24”. However, in FIG. 6, in the IPSA spoofing packet 21, “10.0.99.99” that does not originally exist is set as the IP address of the attacker terminal. In addition, the IP address of the target server 19 is set in the “IP address of transmission destination (IPDA)” of the IPSA spoofing packet 21.

攻撃者端末17が標的サーバ19に対して、IPSA詐称パケット21(TCPフラグ値=「SYN」、SYNパケット)を送信する。すると、IPSA詐称パケット21は、パケット検出装置12(PD#2、PD#5、PD#3)を介して、標的サーバ19に送信される。標的サーバ19は、そのSYNパケットを受信すると、応答パケット(TCPフラグ値=「SYN- ACK」、SYN-ACKパケット)を送信する。   The attacker terminal 17 transmits an IPSA spoofing packet 21 (TCP flag value = “SYN”, SYN packet) to the target server 19. Then, the IPSA spoofing packet 21 is transmitted to the target server 19 via the packet detection device 12 (PD # 2, PD # 5, PD # 3). Upon receiving the SYN packet, the target server 19 transmits a response packet (TCP flag value = “SYN-ACK”, SYN-ACK packet).

そのSYN-ACKパケットは、パケット検出装置12(PD#3)を介して、デフォルトゲートウェイL3SW(15)に送信される。デフォルトゲートウェイL3SW(15)は、SYN-ACKパケットに設定されたIPDAが存在しないので、そのSYN-ACKパケットを破棄する。そのため、パケット検出装置12(PD#2、PD#5)は、そのSYN-ACKパケットを受信することができない。また、SYN-ACKパケットを受信しなければ、送信元からそのSYN-ACKパケットに対応するACKパケットも送信されることがないので、パケット検出装置12(PD#3)は、そのACKパケットを受信することができない。したがって、パケット検出装置12(PD#2、PD#3、PD#5)では、不完全な接続シーケンスが検出されることになる。   The SYN-ACK packet is transmitted to the default gateway L3SW (15) via the packet detection device 12 (PD # 3). Since there is no IPDA set in the SYN-ACK packet, the default gateway L3SW (15) discards the SYN-ACK packet. Therefore, the packet detection device 12 (PD # 2, PD # 5) cannot receive the SYN-ACK packet. If the SYN-ACK packet is not received, the ACK packet corresponding to the SYN-ACK packet is not transmitted from the transmission source, so the packet detection device 12 (PD # 3) receives the ACK packet. Can not do it. Therefore, the packet detection device 12 (PD # 2, PD # 3, PD # 5) detects an incomplete connection sequence.

以下では、図7〜図8を用いて、図5の場合におけるパケット検出装置12(PD#2、PD#3、PD#5)による接続シーケンスの判定について説明する。なお、図7、図8では、送信側(攻撃者端末17)から受信側(標的サーバ19)へ送信されるパケットのIPSAには、詐称IPアドレス(「10.0.99.99」)が設定されているとする。   Hereinafter, the determination of the connection sequence by the packet detection device 12 (PD # 2, PD # 3, PD # 5) in the case of FIG. 5 will be described with reference to FIGS. 7 and 8, a spoofed IP address (“10.0.99.99”) is set in the IPSA of a packet transmitted from the transmission side (attacker terminal 17) to the reception side (target server 19). And

図7は、図5の場合における、パケット検出装置(#3)による、IPSA詐称パケット(IPSAに本来存在しないIPアドレスが設定されている場合)に基づく異常シーケンスの検出処理について説明する図である。   FIG. 7 is a diagram illustrating an abnormal sequence detection process based on an IPSA spoofed packet (when an IP address that does not originally exist in the IPSA is set) by the packet detection device (# 3) in the case of FIG. .

図7(A)に示すように、送信側(攻撃している側)がSYNパケットを送信すると、SYNパケットは、パケット検出装置12(PD#3)を介して、受信側(攻撃されている側)へ送信される。受信側(攻撃されている側)がSYN-ACKパケットを返信すると、SYN-ACKパケットは、パケット検出装置12(PD#3)を介して、送信側(攻撃している側)へ返信される。ところが、上述したように、SYN-ACKパケットのIPDAが存在しないので、デフォルトゲートウェイL3SW(15)は、そのSYN-ACKパケットを破棄する。したがって、SYN-ACKパケットに対応するACKパケットは発生しないので、パケット検出装置12(PD#3)は、そのACKパケットを受信できない。   As shown in FIG. 7A, when the transmission side (attacking side) transmits a SYN packet, the SYN packet is received via the packet detection device 12 (PD # 3) (attacked). Side). When the receiving side (attacked side) returns a SYN-ACK packet, the SYN-ACK packet is sent back to the transmitting side (attacking side) via the packet detection device 12 (PD # 3). . However, as described above, since there is no IPDA of the SYN-ACK packet, the default gateway L3SW (15) discards the SYN-ACK packet. Accordingly, since no ACK packet corresponding to the SYN-ACK packet is generated, the packet detection device 12 (PD # 3) cannot receive the ACK packet.

パケット検出装置12(PD#3)において、SYN-ACKパケットの検出後、一定時間経過後もACKパケットが検出されない場合、図7(B)に示すように、タイムアウトになる。この場合、パケット検出装置12(PD#3)は、異常接続シーケンスを検出したと判定する。なお、受信側(攻撃されている側)は、タイムアウト時間まで資源が占有され、待ち状態(TCPハーフオープン状態)となっている。   In the packet detection device 12 (PD # 3), if no ACK packet is detected after a certain period of time has elapsed after detecting a SYN-ACK packet, a timeout occurs as shown in FIG. In this case, the packet detection device 12 (PD # 3) determines that an abnormal connection sequence has been detected. Note that the receiving side (the attacked side) occupies resources until the timeout time and is in a waiting state (TCP half-open state).

図8は、図5の場合における、パケット検出装置(PD#2,PD#5)による、IPSA詐称パケット(IPSAに本来存在しないIPアドレスが設定されている場合)に基づく異常シーケンスの検出処理について説明する図である。   FIG. 8 shows an abnormal sequence detection process based on an IPSA spoofed packet (when an IP address that does not originally exist in the IPSA is set) by the packet detection device (PD # 2, PD # 5) in the case of FIG. It is a figure explaining.

図8(A)に示すように、送信側(攻撃している側)がSYNパケットを送信すると、SYNパケットは、パケット検出装置12(PD#2,PD#5)を介して、受信側(攻撃されている側)へ送信される。受信側(攻撃されている側)がSYN-ACKパケットを返信すると、受信側(攻撃されている側)はSYN-ACKパケットを送信する。   As shown in FIG. 8A, when the transmission side (attacking side) transmits a SYN packet, the SYN packet is transmitted to the reception side (PD # 2, PD # 5) via the packet detection device 12 (PD # 2, PD # 5). Sent to the attacked side). When the receiving side (the attacked side) returns a SYN-ACK packet, the receiving side (the attacked side) transmits a SYN-ACK packet.

しかしながら、SYN-ACKパケットは、上述の通り、デフォルトゲートウェイL3SW(15)により破棄されるので、パケット検出装置12(PD#2,PD#5)へ送信されない。したがって、パケット検出装置12(PD#2,PD#5)では、SYNパケットの検出後、一定時間経過後もSYN-ACKパケットが検出されない場合、図8(B)に示すように、タイムアウト状態になる。この場合、パケット検出装置12(PD#2,PD#5)は、異常接続シーケンスを検出したと判定する。   However, since the SYN-ACK packet is discarded by the default gateway L3SW (15) as described above, it is not transmitted to the packet detection device 12 (PD # 2, PD # 5). Therefore, in the packet detection device 12 (PD # 2, PD # 5), if a SYN-ACK packet is not detected after a predetermined time has elapsed after the detection of the SYN packet, as shown in FIG. Become. In this case, the packet detection device 12 (PD # 2, PD # 5) determines that an abnormal connection sequence has been detected.

次に、図9を用いて、IPSAに、実在するIPアドレスが設定されているIPSA詐称パケットのTCPシーケンスについて説明する。
図9は、本実施形態におけるIPSA詐称パケット(実在するIPアドレスが設定されている場合)の検出のためにTCPの異常接続シーケンスの監視について説明するための図である。ネットワーク11の構成は、図6と同様である。
Next, a TCP sequence of an IPSA spoof packet in which an actual IP address is set in IPSA will be described with reference to FIG.
FIG. 9 is a diagram for explaining monitoring of a TCP abnormal connection sequence for detection of an IPSA spoofed packet (when an actual IP address is set) in the present embodiment. The configuration of the network 11 is the same as that in FIG.

攻撃者端末17のIPアドレスは、本来は、「10.0.20.1/24」である。しかしながら、図9においてIPSA詐称パケット21では、攻撃者端末のIPアドレスには、実在する他の装置(図9の例では、サーバ18)のIPアドレス「10.0.10.1」が設定されている。   The IP address of the attacker terminal 17 is originally “10.0.20.1/24”. However, in FIG. 9, in the IPSA spoof packet 21, the IP address “10.0.10.1” of another existing device (the server 18 in the example of FIG. 9) is set as the IP address of the attacker terminal.

攻撃者端末17が標的サーバ19に対して、IPSA詐称パケット21(SYNパケット)を送信する。すると、IPSA詐称パケット21は、パケット検出装置12(PD#2、PD#5、PD#3)を介して、標的サーバ19に送信される。標的サーバ19は、そのSYNパケットを受信すると、IPSA詐称パケット21に設定されているIPSAを送信先(すなわち、サーバ18)として、SYN-ACKパケットを送信する。L3SW(15a)は、SYN-ACKパケットを、パケット検出装置12(#6)側へ送信する。SYN-ACKパケットは、パケット検出装置12(PD#3、PD#6、PD#1)を介して、サーバ18に送信される。   The attacker terminal 17 transmits an IPSA spoof packet 21 (SYN packet) to the target server 19. Then, the IPSA spoofing packet 21 is transmitted to the target server 19 via the packet detection device 12 (PD # 2, PD # 5, PD # 3). When the target server 19 receives the SYN packet, the target server 19 transmits a SYN-ACK packet with the IPSA set in the IPSA spoofing packet 21 as the transmission destination (that is, the server 18). The L3SW (15a) transmits the SYN-ACK packet to the packet detection device 12 (# 6) side. The SYN-ACK packet is transmitted to the server 18 via the packet detection device 12 (PD # 3, PD # 6, PD # 1).

サーバ18は、SYNパケットを送信していないので、その受信したSYN-ACKパケットを破棄する。したがって、パケット検出装置12(PD#1、PD#2、PD#3、PD#5、PD#6)では、不完全な接続シーケンスが検出されることになる。   Since the server 18 has not transmitted the SYN packet, the server 18 discards the received SYN-ACK packet. Therefore, the packet detection device 12 (PD # 1, PD # 2, PD # 3, PD # 5, PD # 6) detects an incomplete connection sequence.

以下では、図10〜図12を用いて、3ウェイハンドシェークによるコネクション確立のシーケンス及びパケット検出装置12(PD#1、PD#2、PD#3、PD#5、PD#6)による異常状態のシーケンスの判定について説明する。   In the following, using FIG. 10 to FIG. 12, the sequence of connection establishment by the 3-way handshake and the abnormal state by the packet detection device 12 (PD # 1, PD # 2, PD # 3, PD # 5, PD # 6) The sequence determination will be described.

図10は、パケット検出装置(PD#2,PD#5)による、IPSA詐称パケット(実在するIPアドレスが設定されている場合)に基づく異常シーケンスの検出処理について説明する図である。   FIG. 10 is a diagram illustrating an abnormal sequence detection process based on an IPSA spoofed packet (when an actual IP address is set) by the packet detection device (PD # 2, PD # 5).

図10(A)に示すように、送信側(攻撃している側)がSYNパケットを送信すると、SYNパケットは、パケット検出装置12(PD#2,PD#5)を介して、受信側(攻撃されている側)へ送信される。受信側(攻撃されている側)がSYN-ACKパケットを返信すると、図9で説明したように、L3SW(15a)により、SYN-ACKパケットは、パケット検出装置12(PD#6)側へ送信され、パケット検出装置12(PD#5)側へ送信されない。したがって、パケット検出装置12(PD#2,PD#5)は、SYN-ACKパケットを受信できない。   As shown in FIG. 10A, when the transmission side (attacking side) transmits a SYN packet, the SYN packet is transmitted to the reception side (PD # 2, PD # 5) via the packet detection device 12 (PD # 2, PD # 5). Sent to the attacked side). When the receiving side (the attacked side) returns a SYN-ACK packet, the SYN-ACK packet is transmitted to the packet detection device 12 (PD # 6) side by L3SW (15a) as described in FIG. Is not transmitted to the packet detection device 12 (PD # 5) side. Therefore, the packet detector 12 (PD # 2, PD # 5) cannot receive the SYN-ACK packet.

よって、パケット検出装置12(PD#2,PD#5)では、SYNパケットの検出後、一定時間経過後もSYN-ACKパケットが検出されないので、図10(B)に示すように、タイムアウトになる。この場合、パケット検出装置12(PD#2,PD#5)は、異常接続シーケンスを検出したと判定する。   Therefore, in the packet detection device 12 (PD # 2, PD # 5), since a SYN-ACK packet is not detected even after a lapse of a certain time after the detection of the SYN packet, a timeout occurs as shown in FIG. . In this case, the packet detection device 12 (PD # 2, PD # 5) determines that an abnormal connection sequence has been detected.

図11は、パケット検出装置(PD#3)による、IPSA詐称パケット(実在するIPアドレスが設定されている場合)に基づく異常シーケンスの検出処理について説明する図である。   FIG. 11 is a diagram illustrating an abnormal sequence detection process based on an IPSA spoofed packet (when an actual IP address is set) by the packet detection device (PD # 3).

図11(A)に示すように、送信側(攻撃している側)がSYNパケットを送信すると、SYNパケットは、パケット検出装置12(PD#3)を介して、受信側(攻撃されている側)へ送信される。受信側(攻撃されている側)がSYN-ACKパケットを返信すると、SYN-ACKパケットは、パケット検出装置12(PD#3)を介して、送信側(攻撃している側)へ返信される。ところが、上述したように、L3SW(15a)は、SYN-ACKパケットをサーバ18へ送信する。サーバ18は、そのSYN-ACKパケットを破棄するので、そのSYN-ACKパケットに対応するACKパケットが送信されることはない。したがって、パケット検出装置12(PD#3)は、そのACKパケットを受信できない。   As shown in FIG. 11A, when the transmission side (attacking side) transmits a SYN packet, the SYN packet is transmitted to the reception side (attacked) via the packet detection device 12 (PD # 3). Side). When the receiving side (attacked side) returns a SYN-ACK packet, the SYN-ACK packet is sent back to the transmitting side (attacking side) via the packet detection device 12 (PD # 3). . However, as described above, the L3SW (15a) transmits a SYN-ACK packet to the server 18. Since the server 18 discards the SYN-ACK packet, the ACK packet corresponding to the SYN-ACK packet is never transmitted. Therefore, the packet detection device 12 (PD # 3) cannot receive the ACK packet.

パケット検出装置12(PD#3)において、SYN-ACKパケットの検出後、一定時間経過後もSYN-ACKパケットが検出されない場合、図11(B)に示すように、タイムアウトになる。この場合、パケット検出装置12(PD#3)は、異常シーケンスを検出したと判定する。なお、受信側(攻撃されている側)は、タイムアウト時間まで資源が占有され、待ち状態(TCPハーフオープン状態)となっている。   In the packet detector 12 (PD # 3), if a SYN-ACK packet is not detected after a certain time has elapsed after the detection of the SYN-ACK packet, a timeout occurs as shown in FIG. In this case, the packet detection device 12 (PD # 3) determines that an abnormal sequence has been detected. Note that the receiving side (the attacked side) occupies resources until the timeout time and is in a waiting state (TCP half-open state).

図12は、パケット検出装置(PD#1,PD#6)による、IPSA詐称パケット(実在するIPアドレスが設定されている場合)に基づく異常シーケンスの検出処理について説明する図である。   FIG. 12 is a diagram illustrating an abnormal sequence detection process based on an IPSA spoofed packet (when an actual IP address is set) by the packet detection device (PD # 1, PD # 6).

図12(A)及び図12(B)に示すように、パケット検出装置(PD#1,PD#6)では、SYNパケットが未検出の状態でSYN-ACKパケットを検出する。この場合、パケット検出装置12(PD#1,PD#6)は、異常シーケンスを検出したと判定する。   As shown in FIGS. 12A and 12B, the packet detection devices (PD # 1, PD # 6) detect the SYN-ACK packet in a state where no SYN packet is detected. In this case, the packet detection device 12 (PD # 1, PD # 6) determines that an abnormal sequence has been detected.

図13は、本実施形態におけるパケット検出装置による検出イベントを管理サーバへ通知する処理を説明するための図である。例えば、図13において、パケット検出装置12(PD#2、PD#3、PD#5)は、異常接続シーケンスを検出すると、SNMP(Simple Network Management Protocol)トラップ機能により、管理サーバ14へ検出したイベントを通報する。   FIG. 13 is a diagram for explaining processing for notifying a management server of a detection event by the packet detection device according to the present embodiment. For example, in FIG. 13, when the packet detection device 12 (PD # 2, PD # 3, PD # 5) detects an abnormal connection sequence, an event detected by the management server 14 by an SNMP (Simple Network Management Protocol) trap function. To report.

図13は、図6(IPSAに本来存在しないIPアドレスが設定されている場合)に対応する処理であるが、図9(実在する他のIPアドレスが設定されている場合)も、同様である。すなわち、図9には、パケット検出装置12(PD#1、PD#2、PD#3、PD#5、PD#6)は、異常接続シーケンスを検出すると、SNMPトラップ機能により、管理サーバ14へ検出したイベントを通報する。   FIG. 13 shows processing corresponding to FIG. 6 (when an IP address that does not originally exist in IPSA is set), but FIG. 9 (when another IP address that exists actually is set) is the same. . In other words, in FIG. 9, when the packet detection device 12 (PD # 1, PD # 2, PD # 3, PD # 5, PD # 6) detects an abnormal connection sequence, it sends to the management server 14 by the SNMP trap function. Report the detected event.

なお、SNMPトラップの取りこぼし時のリカバリ対策として、管理サーバ14から各パケット検出装置12に対し、一定時間間隔ごとのポーリング処理を実施し、各ネットワークから検出イベントを収集するようにしてもよい。   As a recovery measure when an SNMP trap is missed, the management server 14 may perform polling processing for each packet detection device 12 at regular time intervals to collect detection events from each network.

次に、図14−図19を用いて、図6−図13で説明したパケット検出装置による異常接続シーケンス検出及び管理サーバへの検出結果の通知フローについて説明する。
図14は、本実施形態における、パケット検出装置の処理フローの一例を示す。パケット検出装置12は、図14−図19で説明するように、異常接続シーケンス検出及び管理サーバへの検出結果の通知を行う。
Next, an abnormal connection sequence detection by the packet detection device described with reference to FIGS. 6 to 13 and a notification result notification to the management server will be described with reference to FIGS.
FIG. 14 shows an example of the processing flow of the packet detection apparatus in this embodiment. As will be described with reference to FIGS. 14 to 19, the packet detection device 12 detects an abnormal connection sequence and notifies the management server of the detection result.

パケット検出装置12は、パケットを受信すると(S11)、受信したパケットのヘッダに基づいて、受信したパケットがTCPパケットであるか否かの判定を行う(S12)。受信したパケットがTCPパケットでない場合(S12で「No」)、処理がS11へ戻る。   When receiving the packet (S11), the packet detection device 12 determines whether or not the received packet is a TCP packet based on the header of the received packet (S12). If the received packet is not a TCP packet (“No” in S12), the process returns to S11.

受信したパケットがTCPパケットである場合(S12で「Yes」)、パケット検出装置12は、その受信パケットに含まれるTCPフラグをチェックする(S13)。TCPフラグが「SYN」である場合、パケット検出装置12は、3ウェイハンドシェーク検証処理1を行う(S14)。S14の処理の詳細は、図16を用いて説明する。TCPフラグが「SYN-ACK」である場合、パケット検出装置12は、3ウェイハンドシェーク検証処理2を行う(S15)。S15の処理の詳細は、図17を用いて説明する。TCPフラグが「ACK」である場合、パケット検出装置12は、3ウェイハンドシェーク検証処理3を行う(S16)。S16の処理の詳細は、図18を用いて説明する。TCPフラグが「SYN」、「SYN-ACK」、または「ACK」でない場合、処理がS11へ戻る。   If the received packet is a TCP packet (“Yes” in S12), the packet detection device 12 checks the TCP flag included in the received packet (S13). When the TCP flag is “SYN”, the packet detection device 12 performs the 3-way handshake verification process 1 (S14). Details of the processing of S14 will be described with reference to FIG. When the TCP flag is “SYN-ACK”, the packet detection device 12 performs the 3-way handshake verification process 2 (S15). Details of the processing of S15 will be described with reference to FIG. When the TCP flag is “ACK”, the packet detection apparatus 12 performs the 3-way handshake verification process 3 (S16). Details of the processing of S16 will be described with reference to FIG. If the TCP flag is not “SYN”, “SYN-ACK”, or “ACK”, the process returns to S11.

S14〜S16(図16、図17、図18)では、パケット検出装置12は、異常接続シーケンスを判定するために、受信したパケットが、3ウェイハンドシェークによる正常接続シーケンスが成立する場合に受信すべきパケットであるかを判定する。この判定処理について図15を用いて説明する。   In S14 to S16 (FIGS. 16, 17, and 18), the packet detection apparatus 12 should receive a received packet when a normal connection sequence based on a 3-way handshake is established in order to determine an abnormal connection sequence. Determine if it is a packet. This determination process will be described with reference to FIG.

図15は、本実施形態における、異常接続シーケンスを判定するために、受信したパケットが、3ウェイハンドシェークによる正常接続シーケンスが成立する場合に受信すべきパケットであるかを判定する処理を説明するための図である。パケット検出装置12は、メモリ、ハードディスクドライブ(HDD)等の記憶装置を有する。   FIG. 15 is a diagram for explaining processing for determining whether or not a received packet is a packet to be received when a normal connection sequence based on a three-way handshake is established in order to determine an abnormal connection sequence in the present embodiment. FIG. The packet detection device 12 includes a storage device such as a memory and a hard disk drive (HDD).

パケット検出装置12は、その記憶装置内に、受信したパケットを保持するためのバッファ領域として一時蓄積バッファ21(一時蓄積バッファ#1,#2,・・・#n)を確保する。一時蓄積バッファ#nは、3ウェイハンドシェークの接続シーケンス単位で作成される。一時蓄積バッファ#nには、例えば、「検出時間」、「IPSA」、「IPDA」、「TCPフラグ」のデータ項目が保持される。「検出時間」は、パケット検出装置12が、その受信パケットを検出した日時を示す。「IPSA」は、受信パケットの送信元のIPアドレス(IPSA)を示す。「IPDA」は、受信したパケットの送信先のIPアドレス(IPDA)を示す。「TCPフラグ値」は、受信したパケットのTCPフラグの値を示す。   The packet detector 12 reserves temporary storage buffers 21 (temporary storage buffers # 1, # 2,... #N) as buffer areas for holding received packets in the storage device. The temporary storage buffer #n is created for each connection sequence of the 3-way handshake. For example, data items of “detection time”, “IPSA”, “IPDA”, and “TCP flag” are held in the temporary storage buffer #n. “Detection time” indicates the date and time when the packet detection device 12 detected the received packet. “IPSA” indicates the IP address (IPSA) of the transmission source of the received packet. “IPDA” indicates the IP address (IPDA) of the transmission destination of the received packet. “TCP flag value” indicates the value of the TCP flag of the received packet.

また、パケット検出装置12は、記憶装置内に、検索エリア22を有する。検索エリア22は、情報を一時的に保持するメモリ上の作業領域である。
パケット検出装置12は、一時蓄積バッファ21に保持したパケットを用いて、3ウェイハンドシェークを完成させるための不足パケットを検索エリア22に登録する。すなわち、パケット検出装置12は、一時蓄積バッファ21に蓄積したパケットから、正常接続シーケンス成立のために、次に受信すべきパケットの「IPSA」「IPDA」「TCPフラグ値」を生成し、検索エリア22に登録する。
In addition, the packet detection device 12 has a search area 22 in the storage device. The search area 22 is a work area on a memory that temporarily holds information.
The packet detection device 12 registers a shortage packet for completing the 3-way handshake in the search area 22 using the packet held in the temporary storage buffer 21. That is, the packet detection device 12 generates “IPSA”, “IPDA”, and “TCP flag value” of the next packet to be received in order to establish a normal connection sequence from the packet stored in the temporary storage buffer 21, and searches the search area. 22 is registered.

例えば、一時蓄積バッファ#1に、検出時間=「20xx.11.24-23:38:24.xxx」、IPSA=「10.0.30.1」、IPDA=「10.0.99.99」、TCPフラグ=「SYN-ACK」までのパケットが蓄積されている。この場合、3ウェイハンドシェークに基づいて正常接続シーケンスが成立するためには、次の受信パケットのIPSA、IPDA、TCPフラグ値は、IPSA=「10.0.99.99」、IPDA=「10.0.30.1」、TCPフラグ=「ACK」である。したがって、パケット検出装置12は、検索エリア22に、IPSA=「10.0.99.99」、IPDA=「10.0.30.1」、TCPフラグ値=「ACK」、該当バッファ=「#1」を登録する。   For example, in the temporary storage buffer # 1, detection time = “20xx.11.24-23: 38: 24.xxx”, IPSA = “10.0.30.1”, IPDA = “10.0.99.99”, TCP flag = “SYN-ACK” Packets up to are accumulated. In this case, in order to establish a normal connection sequence based on the three-way handshake, the IPSA, IPDA, and TCP flag values of the next received packet are IPSA = “10.0.99.99”, IPDA = “10.0.30.1”, TCP Flag = “ACK”. Therefore, the packet detection apparatus 12 registers IPSA = “10.0.99.99”, IPDA = “10.0.30.1”, TCP flag value = “ACK”, and corresponding buffer = “# 1” in the search area 22.

一時蓄積バッファ#2についても同様に、パケット検出装置12は、検索エリア22に、IPSA=「10.0.10.1」、IPDA=「10.0.30.1」、TCPフラグ=「ACK」、該当バッファ=「#2」を登録する。   Similarly, for the temporary storage buffer # 2, the packet detection device 12 puts IPSA = “10.0.10.1”, IPDA = “10.0.30.1”, TCP flag = “ACK”, corresponding buffer = “# 2” in the search area 22. ".

そして、パケット検出装置12は、新たにパケットを受信すると、検索エリア22から、その受信したパケットの「IPSA」、「IPDA」、「TCPフラグ値」と一致するエントリを検索する。図15において、新たに受信したパケットが、IPSA=「10.0.10.1」、IPDA=「10.0.30.1」、TCPフラグ値=「ACK」の場合、検索エリア22に、その受信したパケットの「IPSA」、「IPDA」、「TCPフラグ値」と一致するエントリがある。この場合、そのエントリの有する項目「該当バッファ」には、一時蓄積バッファ「#2」が設定されている。したがって、パケット検出装置12は、その受信したパケットを一時蓄積バッファ#2へ蓄積する。   When receiving a new packet, the packet detection device 12 searches the search area 22 for an entry that matches the “IPSA”, “IPDA”, and “TCP flag value” of the received packet. In FIG. 15, when the newly received packet is IPSA = “10.0.10.1”, IPDA = “10.0.30.1”, and TCP flag value = “ACK”, “IPSA” of the received packet is displayed in the search area 22. , “IPDA”, and “TCP flag value”. In this case, the temporary storage buffer “# 2” is set in the item “corresponding buffer” of the entry. Therefore, the packet detection device 12 stores the received packet in the temporary storage buffer # 2.

図16は、本実施形態における、SYNパケットを受信した場合の3ウェイハンドシェーク検証処理1(S14)の詳細フローの一例を示す。パケット検出装置12は、検索エリア22に、受信したパケットの「IPSA」「IPDA」「TCPフラグ値=SYN」と一致するエントリが登録されているかを検索する(S14−1)。   FIG. 16 shows an example of a detailed flow of the 3-way handshake verification process 1 (S14) when a SYN packet is received in this embodiment. The packet detection device 12 searches the search area 22 for an entry that matches “IPSA”, “IPDA”, and “TCP flag value = SYN” of the received packet (S14-1).

検索エリア22に、一致するエントリがない場合(S14−2で「No」)、パケット検出装置12は、3ウェイハンドシェーク異常判定のために、新規に、記憶装置に一時蓄積バッファ#nを確保する(S14−6)。   If there is no matching entry in the search area 22 (“No” in S14-2), the packet detection device 12 newly secures a temporary storage buffer #n in the storage device for the 3-way handshake abnormality determination. (S14-6).

パケット検出装置12は、新規に確保した一時蓄積バッファ#nに、その受信したSYNパケットを一時保存する(S14−7)。パケット検出装置12は、一時蓄積バッファ管理処理を行う(S17)。S17については、図19で説明する。   The packet detection apparatus 12 temporarily stores the received SYN packet in the newly secured temporary storage buffer #n (S14-7). The packet detection device 12 performs temporary storage buffer management processing (S17). S17 will be described with reference to FIG.

検索エリア22に、一致するエントリがある場合(S14−2で「Yes」)、パケット検出装置12は、そのエントリに含まれるデータ項目「該当バッファ」に設定された一時蓄積バッファに、その受信したSYNパケットを一時保存する(S14−3)。パケット検出装置12は、検索エリア22から、一致したエントリを削除する(S14−4)。   When there is a matching entry in the search area 22 (“Yes” in S14-2), the packet detection apparatus 12 receives the received data in the temporary storage buffer set in the data item “corresponding buffer” included in the entry. The SYN packet is temporarily stored (S14-3). The packet detection device 12 deletes the matched entry from the search area 22 (S14-4).

パケット検出装置12は、正常接続シーケンスが成立するならば、次に受信すべきパケットの「IPSA」「IPDA」「TCPフラグ値=SYN-ACK」を含むエントリを検索エリア22に登録する(S14−5)。その後、処理がS11へ戻る。   If the normal connection sequence is established, the packet detection apparatus 12 registers an entry including “IPSA”, “IPDA”, and “TCP flag value = SYN-ACK” of the next packet to be received in the search area 22 (S14-). 5). Thereafter, the process returns to S11.

図17は、本実施形態における、SYN-ACKパケットを受信した場合の3ウェイハンドシェーク検証処理2(S15)の詳細フローの一例を示す。パケット検出装置12は、検索エリア22に、受信したパケットの「IPSA」「IPDA」「TCPフラグ値=SYN-ACK」と一致するエントリが登録されているかを検索する(S15−1)。   FIG. 17 shows an example of a detailed flow of the 3-way handshake verification process 2 (S15) when a SYN-ACK packet is received in this embodiment. The packet detection apparatus 12 searches the search area 22 for an entry that matches the “IPSA”, “IPDA”, and “TCP flag value = SYN-ACK” of the received packet (S15-1).

検索エリア22に、一致するエントリがない場合(S15−2で「No」)、パケット検出装置12は、3ウェイハンドシェーク異常判定のために、新規に、記憶装置に一時蓄積バッファ#nを確保する(S15−6)。   If there is no matching entry in the search area 22 (“No” in S15-2), the packet detection device 12 newly secures a temporary storage buffer #n in the storage device for the 3-way handshake abnormality determination. (S15-6).

パケット検出装置12は、新規に確保した一時蓄積バッファ#nに、その受信したSYN-ACKパケットを一時保存する(S15−7)。パケット検出装置12は、一時蓄積バッファ管理処理を行う(S17)。S17については、図19で説明する。   The packet detector 12 temporarily stores the received SYN-ACK packet in the newly secured temporary storage buffer #n (S15-7). The packet detection device 12 performs temporary storage buffer management processing (S17). S17 will be described with reference to FIG.

検索エリア22に、一致するエントリがある場合(S15−2で「Yes」)、パケット検出装置12は、そのエントリに含まれるデータ項目「該当バッファ」に設定された一時蓄積バッファに、その受信したSYN-ACKパケットを一時保存する(S15−3)。パケット検出装置12は、検索エリア22から、一致したエントリを削除する(S15−4)。   When there is a matching entry in the search area 22 (“Yes” in S15-2), the packet detection apparatus 12 receives the received data in the temporary storage buffer set in the data item “corresponding buffer” included in the entry. The SYN-ACK packet is temporarily stored (S15-3). The packet detection device 12 deletes the matched entry from the search area 22 (S15-4).

パケット検出装置12は、正常接続シーケンスが成立するならば、次に受信すべきパケットの「IPSA」「IPDA」「TCPフラグ値=ACK」を含むエントリを検索エリア22に登録する(S15−5)。その後、処理がS11へ戻る。   If the normal connection sequence is established, the packet detection device 12 registers an entry including “IPSA”, “IPDA”, and “TCP flag value = ACK” of the next packet to be received in the search area 22 (S15-5). . Thereafter, the process returns to S11.

図18は、本実施形態における、ACKパケットを受信した場合の3ウェイハンドシェーク検証処理3(S16)の詳細フローの一例を示す。パケット検出装置12は、検索エリア22に、受信したパケットの「IPSA」「IPDA」「TCPフラグ値=ACK」と一致するエントリが登録されているかを検索する(S16−1)。   FIG. 18 shows an example of a detailed flow of the 3-way handshake verification process 3 (S16) when an ACK packet is received in this embodiment. The packet detection device 12 searches the search area 22 for an entry that matches the “IPSA”, “IPDA”, and “TCP flag value = ACK” of the received packet (S16-1).

検索エリア22に、一致するエントリがない場合(S16−2で「No」)、パケット検出装置12は、3ウェイハンドシェーク異常判定のために、新規に、記憶装置に一時蓄積バッファ#nを確保する(S16−5)。   If there is no matching entry in the search area 22 (“No” in S16-2), the packet detection device 12 newly secures a temporary storage buffer #n in the storage device for the 3-way handshake abnormality determination. (S16-5).

パケット検出装置12は、新規に確保した一時蓄積バッファ#nに、その受信したACKパケットを一時保存する(S16−6)。パケット検出装置12は、一時蓄積バッファ管理処理を行う(S17)。S17については、図19で説明する。   The packet detection apparatus 12 temporarily stores the received ACK packet in the newly secured temporary storage buffer #n (S16-6). The packet detection device 12 performs temporary storage buffer management processing (S17). S17 will be described with reference to FIG.

検索エリア22に、一致するエントリがある場合(S16−2で「Yes」)、パケット検出装置12は、そのエントリに含まれるデータ項目「該当バッファ」に設定された一時蓄積バッファに、その受信したACKパケットを一時保存する(S16−3)。パケット検出装置12は、検索エリア22から、一致したエントリを削除する(S16−4)。その後、処理がS11へ戻る。   When there is a matching entry in the search area 22 (“Yes” in S16-2), the packet detection apparatus 12 receives the received data in the temporary storage buffer set in the data item “corresponding buffer” included in the entry. The ACK packet is temporarily stored (S16-3). The packet detection device 12 deletes the matched entry from the search area 22 (S16-4). Thereafter, the process returns to S11.

図19は、本実施形態における、一時蓄積バッファ管理処理(S17)の詳細フローの一例を示す。パケット検出装置12は、一時蓄積バッファ内にパケット情報を書き込み後、閾値時間を計測するための閾値タイマを起動する(S17−1)。   FIG. 19 shows an example of a detailed flow of the temporary storage buffer management process (S17) in the present embodiment. The packet detection device 12 starts the threshold timer for measuring the threshold time after writing the packet information in the temporary storage buffer (S17-1).

パケット検出装置12は、閾値時間内に、その一時蓄積バッファに、新たにパケット情報の書き込みがあるか否かを判定する(S17−2)。閾値時間内に、その一時蓄積バッファに、新たにパケット情報の書き込みがある場合(S17−2で「Yes」)、パケット検出装置12は、3ウェイハンドシェークによる接続シーケンスが完了したか否かを判定する(S17−3)。一時蓄積バッファ21(#n)に、一組の接続シーケンスパケット(SYNパケット、SYN-ACKパケット、ACKパケット)が保存されている場合、パケット検出装置12は、3ウェイハンドシェークによる接続シーケンスが完了したと判定する。3ウェイハンドシェークによる接続シーケンスが完了したと判定した場合(S17−3で「Yes」)、パケット検出装置12は、記憶装置上に確保した一時蓄積バッファ#nの領域を解放する(S17−7)。その後、処理はS11へ戻る。   The packet detection device 12 determines whether or not new packet information is written in the temporary storage buffer within the threshold time (S17-2). If packet information is newly written in the temporary storage buffer within the threshold time (“Yes” in S17-2), the packet detection device 12 determines whether or not the connection sequence by the 3-way handshake is completed. (S17-3). When a set of connection sequence packets (SYN packet, SYN-ACK packet, ACK packet) is stored in the temporary storage buffer 21 (#n), the packet detection device 12 has completed the connection sequence by the 3-way handshake. Is determined. When it is determined that the connection sequence by the 3-way handshake is completed (“Yes” in S17-3), the packet detection device 12 releases the temporary storage buffer #n area secured on the storage device (S17-7). . Thereafter, the process returns to S11.

3ウェイハンドシェークによる接続シーケンスが完了していないと判定した場合(S17−3で「No」)、パケット検出装置12は、閾値タイマを再起動する(S17−4)。それから、処理はS17−2へ戻る。   When it is determined that the connection sequence by the 3-way handshake is not completed (“No” in S17-3), the packet detection device 12 restarts the threshold timer (S17-4). Then, the process returns to S17-2.

S17−2において、閾値時間内に、その一時蓄積バッファに、新たにパケット情報の書き込みがある場合(S17−2で「No」)、パケット検出装置12は、異常接続シーケンスである旨を管理サーバ14へ通知する(S17−5)。この場合、パケット検出装置12は、一時蓄積バッファ21内の情報を含めて異常接続シーケンスである旨を管理サーバ14へ通知する。   In S17-2, when packet information is newly written in the temporary storage buffer within the threshold time ("No" in S17-2), the packet detection device 12 indicates that the abnormal connection sequence is in the management server. 14 (S17-5). In this case, the packet detection device 12 notifies the management server 14 that it is an abnormal connection sequence including information in the temporary storage buffer 21.

管理サーバ14は、パケット検出装置12から異常接続シーケンス判定の検出結果を受信すると、その検出結果をマージして検出結果の検証を行なう。この検証は、ネットワークトポロジーの関係により、局所的にTCP 3ウェイハンドシェークが成立していない場合でも、他のルートを考慮すれば、TCP3 ウェイハンドシェークが成立している接続シーケンスを検証するために行う。   When the management server 14 receives the detection result of the abnormal connection sequence determination from the packet detection device 12, the management server 14 merges the detection results and verifies the detection results. This verification is performed in order to verify a connection sequence in which the TCP 3-way handshake is established if other routes are taken into consideration even when the TCP 3-way handshake is not established locally due to the network topology.

パケット検出装置12は、再送用に一時蓄積バッファ#nの情報を一定時間保持する(S17−6)。このとき、パケット検出装置12は、閾値タイマまたは蓄積バッファの件数などで保持時間を調整する。パケット検出装置12は、記憶装置上に確保した一時蓄積バッファ#nの領域を解放する(S17−7)。その後、処理はS11へ戻る。   The packet detector 12 holds the information in the temporary storage buffer #n for retransmission for a certain time (S17-6). At this time, the packet detection device 12 adjusts the holding time based on the threshold timer or the number of storage buffers. The packet detection device 12 releases the temporary storage buffer #n area secured on the storage device (S17-7). Thereafter, the process returns to S11.

管理サーバ14は、パケット検出装置12から異常接続シーケンス判定の検出結果を受信すると、その検出結果をマージして検出結果の検証を行なう。この検証は、ネットワークトポロジーの関係により、局所的にTCP 3ウェイハンドシェークが成立していない場合でも、他のルートを考慮すれば、TCP 3ウェイハンドシェークが成立している接続シーケンスを検証するために行う。   When the management server 14 receives the detection result of the abnormal connection sequence determination from the packet detection device 12, the management server 14 merges the detection results and verifies the detection results. This verification is performed in order to verify the connection sequence in which the TCP 3-way handshake is established if other routes are taken into consideration even if the TCP 3-way handshake is not established locally due to the network topology. .

S17−5において述べたように、管理サーバ14は、パケット検出装置12から異常接続シーケンス判定の検出結果を受信すると、その検出結果をマージして検出結果の検証を行なう。これにより、図21で説明するように、イコールコストマルチパス構成のネットワークで端末間のTCP疎通経路が分散してしまうことの影響を排除することができる。またイーサチャネル区間に関しては、図22で説明するように、代表となるパケット検出装置12を設定することで端末間のTCP通信がイーサチャネル区間を分散して疎通することの影響を回避することができる。以下では、パケット検出装置12から収集した検出結果の検証について説明する。   As described in S17-5, when receiving the detection result of the abnormal connection sequence determination from the packet detection device 12, the management server 14 merges the detection results and verifies the detection results. As a result, as described with reference to FIG. 21, it is possible to eliminate the influence of TCP communication paths between terminals distributed in a network having an equal cost multipath configuration. As for the Ether channel section, as will be described with reference to FIG. 22, by setting a representative packet detection device 12, it is possible to avoid the influence of TCP communication between terminals being distributed and communicating over the Ether channel section. it can. Hereinafter, verification of detection results collected from the packet detection device 12 will be described.

図20は、本実施形態における異常接続シーケンスの検証処理を説明するための図である。管理サーバ14は、各パケット検出装置12の異常接続シーケンス検出結果を、IPSA、IPDA、検出日時等に基づいて、マージする。   FIG. 20 is a diagram for explaining an abnormal connection sequence verification process in the present embodiment. The management server 14 merges the abnormal connection sequence detection results of the packet detection devices 12 based on IPSA, IPDA, detection date and time, and the like.

図20において、検出結果31は、パケット検出装置12(PD#2,PD#5)から送信されたものである。検出結果31は、SYNパケットが検出されたので、パケット検出装置12(PD#2,PD#5)は、そのSYNパケットに対応するSYN-ACKパケットを待っていたが、タイムアウトになったことを示す。   In FIG. 20, a detection result 31 is transmitted from the packet detection device 12 (PD # 2, PD # 5). Since the detection result 31 indicates that a SYN packet has been detected, the packet detection device 12 (PD # 2, PD # 5) has been waiting for a SYN-ACK packet corresponding to the SYN packet, but has timed out. Show.

検出結果32は、パケット検出装置12(PD#3)から送信されたものである。検出結果32は、SYNパケット及びSYN−ACKパケットが検出されたので、パケット検出装置12(PD#3)は、そのSYN−ACKパケットに対応するACKパケットを待っていたが、タイムアウトになったことを示す。   The detection result 32 is transmitted from the packet detection device 12 (PD # 3). In the detection result 32, since a SYN packet and a SYN-ACK packet are detected, the packet detection device 12 (PD # 3) waits for an ACK packet corresponding to the SYN-ACK packet, but has timed out. Indicates.

管理サーバ14は、図20に示すように、IPSA、IPDA、TCPフラグ値等に基づいて、2つ以上の検出結果をマージし、冗長な受信パケット情報を排除する。管理サーバ14は、このマージ結果に含まれる接続シーケンス毎に、3ウェイハンドシェークによる接続シーケンスが成立するかを判定する。管理サーバ14は、3ウェイハンドシェークによる接続シーケンスが成立しない不完全な接続シーケンスを、異常接続シーケンスとして再判定する。   As shown in FIG. 20, the management server 14 merges two or more detection results based on IPSA, IPDA, TCP flag values, etc., and eliminates redundant received packet information. The management server 14 determines whether a connection sequence based on a 3-way handshake is established for each connection sequence included in the merge result. The management server 14 re-determines an incomplete connection sequence in which the connection sequence by the three-way handshake is not established as an abnormal connection sequence.

さらに、図21、図22を用いて、異常接続シーケンスの検証処理について詳述する。
図21は、本実施形態における、イコールコストマルチパス条件下での異常接続シーケンスの検証処理による正常シーケンス判定例を示す。L3SW#1とL3SW#2の間は、イコールコストマルチパス設定がされ、たとえば、2つの物理線で接続されている。各物理線には、パケット検出装置12(PD#X1、PD#X2)が設定されている。L3SW#1は、送信側端末41と接続されている。L3SW#2は、サーバ42と接続されている。
Further, the verification process of the abnormal connection sequence will be described in detail with reference to FIGS.
FIG. 21 shows a normal sequence determination example by the abnormal connection sequence verification process under the equal cost multipath condition in the present embodiment. An equal cost multipath is set between L3SW # 1 and L3SW # 2, and is connected by, for example, two physical lines. A packet detector 12 (PD # X1, PD # X2) is set for each physical line. L3SW # 1 is connected to the transmission-side terminal 41. L3SW # 2 is connected to the server 42.

パケット検出装置12(#X1)の検出結果43は、SYNパケットが検出された後、タイムアウト閾値内で、SYN-ACKパケットが受信されていないので、タイムアウトになっている。このことから、検出結果43の接続シーケンスは、異常と判定される。また、検出結果43では、タイムアウト閾値×3の時間内に、ACKパケットが検出されているとする。接続シーケンスが異常と判定されたことから、パケット検出装置12(PD#X1)は、検出結果43を異常接続シーケンスとして管理サーバ14へ送信する。   The detection result 43 of the packet detection device 12 (# X1) is timed out since the SYN-ACK packet is not received within the time-out threshold after the SYN packet is detected. From this, the connection sequence of the detection result 43 is determined to be abnormal. In the detection result 43, it is assumed that an ACK packet is detected within the time-out threshold value × 3. Since the connection sequence is determined to be abnormal, the packet detection device 12 (PD # X1) transmits the detection result 43 to the management server 14 as an abnormal connection sequence.

パケット検出装置12(#X2)の検出結果44では、SYNパケットが未検出のままで、SYN-ACKパケットが受信されているので、検出結果43の接続シーケンスは、異常と判定される。また、検出結果43において、SYN-ACKパケットを検出後、タイムアウト閾値内で、ACKパケットが受信されていないので、タイムアウトになっている。接続シーケンスが異常と判定されたことから、パケット検出装置12(PD#X2)は、検出結果44を異常接続シーケンスとして管理サーバ14へ送信する。   In the detection result 44 of the packet detector 12 (# X2), since the SYN packet is not detected and the SYN-ACK packet is received, the connection sequence of the detection result 43 is determined to be abnormal. Further, in the detection result 43, after detecting a SYN-ACK packet, the ACK packet has not been received within the timeout threshold value, so the timeout has occurred. Since the connection sequence is determined to be abnormal, the packet detection device 12 (PD # X2) transmits the detection result 44 to the management server 14 as an abnormal connection sequence.

管理サーバ14は、パケット検出装置12から収集した異常接続シーケンス検出結果をマージする。具体的には、管理サーバ14は、収集した異常接続シーケンス検出結果を、IPSA,IPDAの組み合わせ、及びTCPフラグ値(SYN、SYN-ACK、ACK)の組み合わせ等に基づいて、マージする。管理サーバ14は、そのマージした検出結果に含まれる接続シーケンス毎に、3ウェイハンドシェークによる接続シーケンスが完成する接続シーケンスがあるかを判定する。3ウェイハンドシェークによる接続シーケンスが完成する接続シーケンスであれば、管理サーバ14は、そのシーケンスを正常接続シーケンスとして再判定する。   The management server 14 merges the abnormal connection sequence detection results collected from the packet detection device 12. Specifically, the management server 14 merges the collected abnormal connection sequence detection results based on a combination of IPSA and IPDA, a combination of TCP flag values (SYN, SYN-ACK, ACK), and the like. The management server 14 determines, for each connection sequence included in the merged detection result, whether there is a connection sequence that completes the connection sequence by the three-way handshake. If the connection sequence by the three-way handshake is a connection sequence that is completed, the management server 14 re-determines that sequence as a normal connection sequence.

図22は、本実施形態におけるイーサチャネル区間配置時のパケット検出装置の動作を説明するための図である。L3SW#1とL3SW#2の間は、イーサチャネルで構成されている。イーサチャネルとは、複数の物理線を、1本の論理的なリンクとして使用する技術を示す。L3SW#1とL3SW#2の間は、複数の物理線で接続されている。各物理線には、パケット検出装置12(PD#X1、PD#X2、PD#X3)が設定されている。L3SW#1は、送信側端末41と接続されている。L3SW#2は、サーバ42と接続されている。   FIG. 22 is a diagram for explaining the operation of the packet detection apparatus when the Ether channel section is arranged in the present embodiment. Between L3SW # 1 and L3SW # 2, an Ether channel is configured. Ether channel refers to a technology that uses a plurality of physical lines as one logical link. A plurality of physical lines are connected between L3SW # 1 and L3SW # 2. A packet detector 12 (PD # X1, PD # X2, PD # X3) is set for each physical line. L3SW # 1 is connected to the transmission-side terminal 41. L3SW # 2 is connected to the server 42.

図22では、同一イーサチャネル区間に配置されたパケット検出装置12がグループ化され、その中の1台のパケット検出装置が代表パケット検出装置(代表PD)として設定されている。   In FIG. 22, packet detection devices 12 arranged in the same Ether channel section are grouped, and one of the packet detection devices is set as a representative packet detection device (representative PD).

代表パケット検出装置(代表PD)以外のパケット検出装置(配下PD)は、受信したパケット情報を代表PDへ送信する。
代表PDは、配下PDにより収集したパケット情報と、自身で受信したパケット情報を合わせて、異常接続シーケンスの検出処理を実施する。また、代表PDは、SNMPのトラップ機能を用いた検出イベント通知、管理サーバからのポーリングに対する応答などの、管理サーバ14との通信を行う。
Packet detection devices (subordinate PDs) other than the representative packet detection device (representative PD) transmit the received packet information to the representative PD.
The representative PD performs the abnormal connection sequence detection process by combining the packet information collected by the subordinate PD and the packet information received by itself. The representative PD communicates with the management server 14 such as detection event notification using an SNMP trap function and a response to polling from the management server.

図23は、本実施形態における検証テーブルの一例を示す。検証テーブル50は、管理サーバ14が、パケット検出装置12から収集した検出結果から異常接続シーケンスを検証するために用いるテーブルである。サーバ14はパケット検出装置12から送られてくる情報(S17−5で通知)を元に、検証テーブル50の構築を行う。図23(A)は、マージ処理前の検証テーブル50aを示す。図23(B)は、マージ処理後の検証テーブル50bを示す。   FIG. 23 shows an example of a verification table in the present embodiment. The verification table 50 is a table used by the management server 14 to verify the abnormal connection sequence from the detection results collected from the packet detection device 12. The server 14 constructs the verification table 50 based on the information sent from the packet detection device 12 (notified in S17-5). FIG. 23A shows the verification table 50a before the merge process. FIG. 23B shows the verification table 50b after the merge process.

検証テーブル50は、「検出PD」51、「検出日時」52、「IPSA」53、「IPDA」54、「TCPフラグ」55のデータ項目を含む。「検出PD」51は、検出結果の収集元のパケット検出装置12を識別する情報が格納される。「PD検出日時」52は、パケット検出装置12により検出された日時を示す。「IPSA」53は、送信元のIPアドレスが格納される。「IPDA」54は、送信先のIPアドレスが格納される。「TCPフラグ」には、TCPフラグの値が格納される。   The verification table 50 includes data items of “detection PD” 51, “detection date / time” 52, “IPSA” 53, “IPDA” 54, and “TCP flag” 55. The “detection PD” 51 stores information for identifying the packet detection device 12 from which the detection results are collected. The “PD detection date / time” 52 indicates the date / time detected by the packet detection device 12. “IPSA” 53 stores the IP address of the transmission source. “IPDA” 54 stores a destination IP address. The value of the TCP flag is stored in “TCP flag”.

図24は、本実施形態における管理サーバによる異常接続シーケンスの検証処理フローの一例を示す。管理サーバ14は、パケット検出装置12より、一時蓄積バッファの内容を含めた異常接続シーケンス検出結果を受信する(S21)。管理サーバ14は、受信した異常接続シーケンス検出結果を、パケット検出装置12側の検出日時を用いて、図23(A)に示すように、検証テーブル50aに時系列に展開する(S22)。   FIG. 24 shows an example of an abnormal connection sequence verification processing flow by the management server in the present embodiment. The management server 14 receives the abnormal connection sequence detection result including the contents of the temporary storage buffer from the packet detection device 12 (S21). The management server 14 develops the received abnormal connection sequence detection result in time series in the verification table 50a as shown in FIG. 23A using the detection date and time on the packet detection device 12 side (S22).

管理サーバ14は、以下の条件をすべて満たしたパケット情報同士を、図23(B)に示すように、マージし、冗長なパケット情報を排除する(S23)。
(条件1)異なるパケット検出装置12が検出したパケット情報であること(同じパケット検出装置により検出されたパケット情報はマージしない)。
(条件2)IPSA、IPDA、TCPフラグ値が一致するパケット情報であること。
(条件3)マージ対象のパケット情報のうち、検出日時が最も早いパケット情報を起点として閾値時間内 (例えば10ms以下など)に収まるパケット情報であること。
S23の処理により、複数のパケット検出装置12で重複して検出されたパケット情報を1つにまとめることができる。
The management server 14 merges packet information satisfying all the following conditions as shown in FIG. 23B, and eliminates redundant packet information (S23).
(Condition 1) Packet information detected by different packet detection devices 12 (packet information detected by the same packet detection device is not merged).
(Condition 2) Packet information with matching IPSA, IPDA, and TCP flag values.
(Condition 3) Among packet information to be merged, packet information that falls within a threshold time (for example, 10 ms or less) starting from packet information with the earliest detection date and time.
By the process of S23, the packet information detected redundantly by the plurality of packet detection devices 12 can be combined into one.

管理サーバ14は、マージした検証テーブル50bを用いて、3ウェイハンドシェークフローのルールに基づいて、接続シーケンスが正常であるか否かの再判定処理を行う(S24)。すなわち、管理サーバ14は、マージした検証テーブル50を用いてIPSAとIPDAの組み合わせが適切で、かつSYNパケット検出後に、閾値時間内ですべての接続シーケンスパケット(SYN、SYN-ACK、ACK)が検出された接続シーケンスであるかを判定する。管理サーバ14は、検証テーブル50bにより、閾値時間内で、「IPSA:A、IPDA:B、TCPフラグ値=SYN」、「IPSA:B、IPDA:A、TCPフラグ値=SYN-ACK」、「IPSA:A、IPDA:B、TCPフラグ値=ACK」のパケットが検出されたかを判定する。   Using the merged verification table 50b, the management server 14 performs re-determination processing to determine whether or not the connection sequence is normal based on the three-way handshake flow rules (S24). That is, the management server 14 detects that all connection sequence packets (SYN, SYN-ACK, ACK) are detected within the threshold time after the combination of IPSA and IPDA is appropriate using the merged verification table 50 and the SYN packet is detected. It is determined whether the connection sequence is completed. Based on the verification table 50b, the management server 14 determines that “IPSA: A, IPDA: B, TCP flag value = SYN”, “IPSA: B, IPDA: A, TCP flag value = SYN-ACK”, “ It is determined whether a packet of “IPSA: A, IPDA: B, TCP flag value = ACK” is detected.

IPSAとIPDAの組み合わせが適切で、かつSYNパケット検出後に、閾値時間内ですべての接続シーケンスパケットが検出された接続シーケンスである場合、管理サーバ14は、その接続シーケンスは正常であると判定する(S26)。一方、管理サーバ14は、S24で正常と判定されない接続シーケンスを異常接続シーケンスと判定する(S25)。
S25またはS26の処理後、管理サーバ14は、検証テーブル50の内容を消去する(S27)。
When the combination of IPSA and IPDA is appropriate and the connection sequence is a connection sequence in which all connection sequence packets are detected within the threshold time after the SYN packet is detected, the management server 14 determines that the connection sequence is normal ( S26). On the other hand, the management server 14 determines a connection sequence that is not determined to be normal in S24 as an abnormal connection sequence (S25).
After the processing of S25 or S26, the management server 14 deletes the contents of the verification table 50 (S27).

次に、上記の接続シーケンス検証処理で異常接続シーケンスと判定されたパケットについて、TCP接続異常の原因がIPSA詐称によるものかどうかのIPSA詐称判定を行う。なお、その検証処理で異常接続シーケンスと判定された接続シーケンスに対し、攻撃者が詐称したIPアドレスがネットワーク11上に存在するか否かで、そのIPSA詐称判定処理が異なる。詐称したIPアドレスがネットワーク11上に存在しない場合のIPSA詐称判定について、図25を用いて説明する。詐称したIPアドレスがネットワーク11上に存在する場合のIPSA詐称判定について、図26、図27を用いて説明する。   Next, an IPSA spoof determination is performed as to whether or not the cause of the TCP connection abnormality is due to IPSA spoofing for the packet determined to be an abnormal connection sequence in the above connection sequence verification process. Note that the IPSA spoof determination process differs depending on whether or not the IP address spoofed by the attacker exists on the network 11 with respect to the connection sequence determined to be an abnormal connection sequence in the verification process. IPSA misrepresentation determination when the misrepresented IP address does not exist on the network 11 will be described with reference to FIG. IPSA misrepresentation determination when a misrepresented IP address exists on the network 11 will be described with reference to FIGS. 26 and 27. FIG.

図25は、本実施形態における異常接続シーケンスと判定されたパケットがIPSA詐称パケット(IPSAに本来存在しないIPアドレスが設定されている場合)であるか否かの判定について説明するための図である。   FIG. 25 is a diagram for describing determination of whether or not a packet determined to be an abnormal connection sequence in this embodiment is an IPSA spoofed packet (when an IP address that does not originally exist in the IPSA is set). .

管理サーバ14は、パケット検出装置12から収集した検出結果の中からSYN-ACK未応答のSYNパケットを抽出する。管理サーバ14は、抽出したSYNパケットよりIPSAとIPDAを抽出する(S31)。管理サーバ14は、抽出したIPDAとIPSAを使用して以下の処理を行なう。   The management server 14 extracts a SYN packet not responding to SYN-ACK from the detection results collected from the packet detection device 12. The management server 14 extracts IPSA and IPDA from the extracted SYN packet (S31). The management server 14 performs the following processing using the extracted IPDA and IPSA.

管理サーバ14は、IPDAと同一セグメントに配置された末端ネットワーク装置(TND)13に対し、IPSA宛のトレースルート発行を依頼する。末端ネットワーク装置13は、その依頼に基づいて、IPSA宛のトレースルートを発行し、そのトレースルート発行結果を取得する。管理サーバ14は、末端ネットワーク装置13から、そのトレースルート発行結果を取得する(S32)。   The management server 14 requests the terminal network device (TND) 13 arranged in the same segment as the IPDA to issue a trace route addressed to the IPSA. Based on the request, the terminal network device 13 issues a trace route addressed to IPSA, and acquires the trace route issue result. The management server 14 acquires the trace route issue result from the terminal network device 13 (S32).

管理サーバ14は、そのトレースルート発行結果及びパケット検出装置12の検出結果を用いて、以下の条件を満たした場合、S31で抽出したSYNパケットをIPSA詐称パケットと判定する(S33)。
条件1:トレースルート発行結果が異常であること。
条件2:抽出したSYNパケットの単位時間当たりの検出回数が閾値を超えること。
The management server 14 determines that the SYN packet extracted in S31 is an IPSA spoof packet when the following conditions are satisfied using the trace route issue result and the detection result of the packet detection device 12 (S33).
Condition 1: The trace route issuance result is abnormal.
Condition 2: The number of detections per unit time of the extracted SYN packet exceeds the threshold.

図26は、本実施形態における異常接続シーケンスと判定されたパケットがIPSA詐称パケット(実在するIPアドレスが設定されている場合)であるか否かの判定について説明するための図である。   FIG. 26 is a diagram for describing determination of whether or not a packet determined to be an abnormal connection sequence in this embodiment is an IPSA spoof packet (when an actual IP address is set).

管理サーバ14は、パケット検出装置12から収集した検出結果の中からSYN-ACK未応答のSYNパケットを抽出する。管理サーバ14は、抽出したSYNパケットよりIPSAとIPDAを抽出する(S41)。管理サーバ14は、抽出したIPDAとIPSAを使用して以下の処理を行なう。   The management server 14 extracts a SYN packet not responding to SYN-ACK from the detection results collected from the packet detection device 12. The management server 14 extracts IPSA and IPDA from the extracted SYN packet (S41). The management server 14 performs the following processing using the extracted IPDA and IPSA.

管理サーバ14は、IPDAのサーバと同一セグメントに配置された末端ネットワーク装置(TND)13に対し、IPSA宛のトレースルート発行を依頼する。末端ネットワーク装置13は、その依頼に基づいて、IPSA宛のトレースルートを発行し、そのトレースルート発行結果を取得する。管理サーバ14は、末端ネットワーク装置13から、そのトレースルート発行結果を取得する(S42)。   The management server 14 requests the terminal network device (TND) 13 arranged in the same segment as the IPDA server to issue a trace route addressed to the IPSA. Based on the request, the terminal network device 13 issues a trace route addressed to IPSA, and acquires the trace route issue result. The management server 14 acquires the trace route issue result from the terminal network device 13 (S42).

管理サーバ14は、そのトレースルート発行結果及びパケット検出装置12の検出結果を用いて、以下の条件を満たした場合、S41で抽出したSYNパケットをIPSA詐称パケットと判定する(S43)。
条件1:トレースルート発行結果が正常であること。
条件2:トレースルート結果がS41で抽出したSYNパケットを検出したパケット検出装置12の配置ルートと不一致であること(図27参照)。
The management server 14 determines that the SYN packet extracted in S41 is an IPSA spoof packet when the following conditions are satisfied using the trace route issue result and the detection result of the packet detection device 12 (S43).
Condition 1: The trace route issuance result is normal.
Condition 2: The trace route result does not match the arrangement route of the packet detection device 12 that detected the SYN packet extracted in S41 (see FIG. 27).

図27は、S43の判定における条件2について説明するための図である。PD検出ルートテーブル61は、S41で抽出されたパケットを検出した各パケット検出装置12が配置されたアドレス空間を示す。   FIG. 27 is a diagram for explaining condition 2 in the determination of S43. The PD detection route table 61 indicates an address space in which each packet detection device 12 that detects the packet extracted in S41 is arranged.

管理サーバ14は、パケット検出装置12から収集した検出結果の中から、例えば、IPSA=10.0.10.1 and IPDA=10.0.30.1 and Protocol No=6(TCP) and Tcp flags=2 (SYN)の条件でパケット検出情報を抽出する。管理サーバ14は、該当パケットを検知したパケット検出装置と、該当のパケット検出装置が配置されたアドレス空間の情報をPD検出ルートテーブル61に格納する。なお、そのパケット検出装置12のアドレス空間についての情報は、管理サーバ14の記憶装置に予め格納されていてもよい。   The management server 14 uses the detection results collected from the packet detection device 12 under the conditions of IPSA = 10.0.10.1 and IPDA = 10.0.30.1 and Protocol No = 6 (TCP) and Tcp flags = 2 (SYN), for example. Extract packet detection information. The management server 14 stores, in the PD detection route table 61, the packet detection device that has detected the corresponding packet and information on the address space in which the corresponding packet detection device is arranged. Information about the address space of the packet detection device 12 may be stored in advance in the storage device of the management server 14.

トレースルート結果62は、末端ネットワーク装置13からIPアドレス「10.0.10.1」宛てのトレースルート結果である。
管理サーバ14は、トレースルート結果62とPD検出ルートテーブル61とを比較する。トレースルート結果62のうち「10.0.50.10」は、PD#3のアドレス空間「10.0.50.8/30」に含まれる。しかしながら、トレースルート結果62の、「10.0.30.254」、「10.0.40.9」、「10.0.40.2」、「10.0.10.1」は、いずれのパケット検出装置12のアドレス空間に含まれない。この場合、トレースルート結果62は、S41で抽出したSYNパケットを検出したパケット検出装置12の配置ルートと不一致である。
The trace route result 62 is a trace route result addressed to the IP address “10.0.10.1” from the terminal network device 13.
The management server 14 compares the trace route result 62 with the PD detection route table 61. Of the trace route result 62, “10.0.50.10” is included in the address space “10.0.50.8/30” of PD # 3. However, “10.0.30.254”, “10.0.40.9”, “10.0.40.2”, and “10.0.10.1” of the trace route result 62 are not included in the address space of any packet detection device 12. In this case, the trace route result 62 is inconsistent with the arrangement route of the packet detection device 12 that detected the SYN packet extracted in S41.

図28は、本実施形態における異常接続シーケンスと判定されたパケットがIPSA詐称パケットであるか否かの判定を行う処理フローの一例を示す。管理サーバ14は、パケット検出装置12から収集した検出結果の中からSYN-ACK未応答のSYNパケットを抽出する(S51)。管理サーバ14は、抽出したSYNパケットよりIPSAとIPDAを抽出する(S52)。管理サーバ14は、以下の処理に関しては、その抽出したIPDAとIPSAを使用する。   FIG. 28 shows an example of a processing flow for determining whether or not a packet determined to be an abnormal connection sequence in this embodiment is an IPSA spoofed packet. The management server 14 extracts a SYN packet not responding to SYN-ACK from the detection results collected from the packet detection device 12 (S51). The management server 14 extracts IPSA and IPDA from the extracted SYN packet (S52). The management server 14 uses the extracted IPDA and IPSA for the following processing.

管理サーバ14は、IPDAのサーバと同一セグメントに配置された末端ネットワーク装置(TND)13に対し、IPSA宛のトレースルート発行を依頼する(S53)。末端ネットワーク装置13は、その依頼に基づいて、IPSA宛のトレースルートを発行し、そのトレースルート発行結果を取得する。末端ネットワーク装置13は、そのトレースルート発行結果を管理サーバ14へ送信する。管理サーバ14は、末端ネットワーク装置13から、そのトレースルート発行結果を取得する(S54)。   The management server 14 requests the terminal network device (TND) 13 arranged in the same segment as the IPDA server to issue a trace route addressed to the IPSA (S53). Based on the request, the terminal network device 13 issues a trace route addressed to IPSA, and acquires the trace route issue result. The terminal network device 13 transmits the trace route issue result to the management server 14. The management server 14 acquires the trace route issue result from the terminal network device 13 (S54).

管理サーバ14は、取得したトレースルート発行結果が正常か否かを判定する(S55)。取得したトレースルート発行結果が異常(またはエラー)である場合、管理サーバ14は、S51で抽出したSYNパケットの単位時間当たりの検出回数が閾値を超えたか否かを判定する(S57)。SYNパケットの単位時間当たりの検出回数が閾値を超えた場合、管理サーバ14は、そのSYNパケットのIPSAが詐称であると判定する(S58)。   The management server 14 determines whether or not the acquired trace route issue result is normal (S55). When the acquired trace route issuance result is abnormal (or error), the management server 14 determines whether or not the number of detections per unit time of the SYN packet extracted in S51 exceeds a threshold value (S57). When the number of detections per unit time of the SYN packet exceeds the threshold value, the management server 14 determines that the IPSA of the SYN packet is a misrepresentation (S58).

S55において、取得したトレースルート発行結果が正常である場合(S55で「Yes」)、S51で抽出されたSYNパケットの送信ルートとトレースルート発行結果とが一致するかを判定する(S56)。S56では、図27で説明したように、トレースルート発行結果に含まれる全てのIPアドレスが、S51で抽出されたSYNパケットを検出したパケット検出装置12の配置されたアドレス空間に含まれる場合、管理サーバ14はルートが一致すると判定する。   If the acquired trace route issuance result is normal in S55 (“Yes” in S55), it is determined whether the transmission route of the SYN packet extracted in S51 matches the trace route issuance result (S56). In S56, as described with reference to FIG. 27, if all IP addresses included in the trace route issuance result are included in the address space in which the packet detection device 12 that has detected the SYN packet extracted in S51 is included, management is performed. The server 14 determines that the routes match.

S56の判定の結果、S51で抽出されたSYNパケットの送信ルートとトレースルート発行結果とが一致しない場合(S56で「No」)、管理サーバ14は、そのSYNパケットのIPSAが詐称であると判定する(S58)。
このようにして、送信されたパケットのIPSAが詐称しているか否かを判定することができる。
As a result of the determination in S56, if the transmission route of the SYN packet extracted in S51 does not match the trace route issuance result (“No” in S56), the management server 14 determines that the IPSA of the SYN packet is false. (S58).
In this way, it can be determined whether or not the IPSA of the transmitted packet is spoofed.

次に、IPSA詐称パケット検出の視覚化について説明する。
図29は、本実施形態における、クライアントPCにIPSA詐称パケット検出画面を表示させるためのネットワーク構成の一例を示す。パーソナルコンピュータ(クライアントPC)71は、管理サーバ14とネットワーク72(例えば、インターネット、LAN(Local Area Network))で接続されている。
Next, visualization of IPSA spoofed packet detection will be described.
FIG. 29 shows an example of a network configuration for displaying an IPSA spoofed packet detection screen on the client PC in this embodiment. A personal computer (client PC) 71 is connected to the management server 14 via a network 72 (for example, the Internet or a LAN (Local Area Network)).

画面データ要求がクライアントPC71から管理サーバ14へ送信される(矢印73)。すると、管理サーバ14は、クライアントPC71側のWEBブラウザまたは専用アプリケーションソフトウェアに対して、図30〜図40で示すような画面データを提供する(矢印74)。   A screen data request is transmitted from the client PC 71 to the management server 14 (arrow 73). Then, the management server 14 provides screen data as shown in FIGS. 30 to 40 to the WEB browser or the dedicated application software on the client PC 71 side (arrow 74).

図30は、本実施形態におけるIPSA詐称パケット検出画面の一例を示す。IPSA詐称パケット検出画面80は、例えば、「ノードアイコン」81、「TNDアイコン」82、「ノードアイコン間を接続するリンク線」83、と「共通インフォメーションエリア」84、「インフォメーションエリア」85の要素を含む。   FIG. 30 shows an example of the IPSA spoofed packet detection screen in the present embodiment. The IPSA spoofed packet detection screen 80 includes, for example, elements of “node icon” 81, “TND icon” 82, “link line connecting node icons” 83, “common information area” 84, and “information area” 85. Including.

「ノードアイコン」81には、「IPアドレス」および「サブネット情報」の登録が可能である。「ノードアイコン間を接続するリンク線」83のうち、パケット検出装置12が配置されているリンクについては、太い実線で示す。「ノードアイコン間を接続するリンク線」83のうち、パケット検出装置12が未配置のリンクについては、太い破線で示す。「インフォメーションエリア」85は、図31で説明するように、ノードアイコンの設定画面においてサブネット情報が登録されると、「インフォメーションエリア」85が自動作成される。「インフォメーションエリア」85は、通常未表示である。   In the “node icon” 81, “IP address” and “subnet information” can be registered. Of the “link line connecting the node icons” 83, the link where the packet detection device 12 is arranged is indicated by a thick solid line. Of the “link lines connecting the node icons” 83, the links where the packet detection device 12 is not arranged are indicated by thick broken lines. As described in FIG. 31, the “information area” 85 is automatically created when subnet information is registered on the node icon setting screen. The “information area” 85 is normally not displayed.

IPSA詐称パケット検出画面80に含まれる各要素を定義する画面を図31〜図35を用いて説明する。   A screen for defining each element included in the IPSA spoofed packet detection screen 80 will be described with reference to FIGS.

図31は、本実施形態におけるノードアイコン定義画面の一例を示す。ノードアイコン定義画面90は、L2SW、L3SW等のネットワークを構成する各ノードの定義を設定するための画面である。ノードアイコン定義画面90は、機器名入力欄91、アイコン選択欄92、登録アドレス一覧93、追加ボタン94、削除ボタン95、サブネットアドレス一覧96、追加ボタン97、削除ボタン98を含む。   FIG. 31 shows an example of a node icon definition screen in the present embodiment. The node icon definition screen 90 is a screen for setting the definition of each node constituting the network such as L2SW and L3SW. The node icon definition screen 90 includes a device name input field 91, an icon selection field 92, a registered address list 93, an add button 94, a delete button 95, a subnet address list 96, an add button 97, and a delete button 98.

機器名入力欄91には、ノードアイコンに定義する機器名が入力される。アイコン選択欄92には、ノードアイコンの選択可能な絵柄が表示される。   In the device name input field 91, the device name defined in the node icon is input. In the icon selection column 92, selectable patterns of node icons are displayed.

登録アドレス一覧93には、ノードアイコンに定義する機器が有する「IPアドレス」及び「備考」が表示される。追加ボタン94を押下すると、登録アドレス一覧93にノードアイコンに定義する機器が有する「IPアドレス」及び「備考」を登録することができる。削除ボタン95を押すと、登録アドレス一覧93において選択された行を削除することができる。   In the registered address list 93, “IP address” and “remarks” of the device defined in the node icon are displayed. When the add button 94 is pressed, the “IP address” and “remarks” of the device defined in the node icon can be registered in the registered address list 93. When the delete button 95 is pressed, the line selected in the registered address list 93 can be deleted.

サブネットアドレス一覧99には、ノードアイコンに定義する機器が収容するサブネットアドレスの「IPアドレス」及び「備考」が表示される。追加ボタン97を押下すると、サブネットアドレス一覧96にそのサブネットアドレスの「IPアドレス」及び「備考」を登録することができる。削除ボタン98を押すと、登録アドレス一覧93において選択された行を削除することができる。サブネットアドレス一覧96に登録すると、インフォメーションエリア85が自動的に生成される。   In the subnet address list 99, “IP address” and “remarks” of the subnet address accommodated by the device defined in the node icon are displayed. When the add button 97 is pressed, “IP address” and “remarks” of the subnet address can be registered in the subnet address list 96. When the delete button 98 is pressed, the line selected in the registered address list 93 can be deleted. When registered in the subnet address list 96, an information area 85 is automatically generated.

図32、図33、及び図34は、本実施形態におけるリンク線定義画面の一例を示す。リンク線定義画面100は、リンク線83毎に、リンク線の定義を設定するための画面である。リンク線定義画面100は、接続元入力欄101、接続元IPアドレス設定欄102、接続先入力欄103、接続先IPアドレス設定欄104を含む。さらに、リンク線定義画面100は、登録サブネット一覧105、追加ボタン106、削除ボタン107、イーサチャネル設定一覧108、追加ボタン109、削除ボタン110を含む。   32, 33, and 34 show an example of the link line definition screen in the present embodiment. The link line definition screen 100 is a screen for setting a link line definition for each link line 83. The link line definition screen 100 includes a connection source input field 101, a connection source IP address setting field 102, a connection destination input field 103, and a connection destination IP address setting field 104. Furthermore, the link line definition screen 100 includes a registered subnet list 105, an add button 106, a delete button 107, an Ethernet channel setting list 108, an add button 109, and a delete button 110.

接続元入力欄101には、接続元の機器名が入力される。接続元IPアドレス設定欄102には、接続元の機器のIPアドレスが設定される。接続先入力欄103には、接続先の機器名が入力される。接続先IPアドレス設定欄104には、接続先の機器のIPアドレスが設定される。   In the connection source input field 101, the device name of the connection source is input. In the connection source IP address setting field 102, the IP address of the connection source device is set. In the connection destination input field 103, the device name of the connection destination is input. In the connection destination IP address setting field 104, the IP address of the connection destination device is set.

登録サブネット一覧105には、リンク線が属する「サブネットアドレス」及び「備考」が表示される。追加ボタン106を押下すると、登録サブネット一覧105に「サブネットアドレス」及び「備考」を登録することができる。削除ボタン107を押すと、登録サブネット一覧105において選択された行を削除することができる。   The registered subnet list 105 displays “subnet address” and “remarks” to which the link line belongs. When the add button 106 is pressed, “subnet address” and “remarks” can be registered in the registered subnet list 105. When the delete button 107 is pressed, the row selected in the registered subnet list 105 can be deleted.

イーサチャネル設定一覧108には、リンク線に配置された「PD名」(パケット検出装置)、パケット検出装置の「IPアドレス」及び「ポート1方向」が表示される。「ポート1方向」とは、パケット検出装置の有する2つのポートのうちのポート1が、接続元入力欄101に設定された機器または接続先入力欄103に設定された機器のいずれかと接続されているかを示す。追加ボタン109を押下すると、イーサチャネル設定一覧108に「PD名」、「IPアドレス」及び「ポート1方向」を登録することができる。削除ボタン110を押すと、イーサチャネル設定一覧108において選択された行を削除することができる。   The Ether channel setting list 108 displays “PD name” (packet detection device) arranged on the link line, “IP address” and “port 1 direction” of the packet detection device. “Port 1 direction” means that the port 1 of the two ports of the packet detection device is connected to either the device set in the connection source input field 101 or the device set in the connection destination input field 103. Indicates whether or not When the add button 109 is pressed, “PD name”, “IP address”, and “port 1 direction” can be registered in the Ether channel setting list 108. When the delete button 110 is pressed, the line selected in the Ethernet channel setting list 108 can be deleted.

イーサチャネル設定一覧108へのパケット検出装置12の登録がない場合には、図32に示すように、リンク線83は点線表示される。イーサチャネル設定一覧108へ1つのパケット検出装置12を登録すると、図33に示すように、リンク線が実線表示される。イーサチャネル設定一覧108へパケット検出装置12を複数登録すると、図34に示すように、イーサチャネルマーク111が自動表示される。   When the packet detection device 12 is not registered in the Ether channel setting list 108, the link line 83 is displayed as a dotted line as shown in FIG. When one packet detection device 12 is registered in the Ether channel setting list 108, the link line is displayed as a solid line as shown in FIG. When a plurality of packet detection devices 12 are registered in the Ether channel setting list 108, the Ether channel mark 111 is automatically displayed as shown in FIG.

図35は、本実施形態におけるTND定義画面の一例を示す。TND定義画面120は、各末端ネットワーク装置(TND)82の定義を設定するための画面である。TND定義画面90は、機器名入力欄121、アイコン選択欄122、登録アドレス一覧123、追加ボタン124、削除ボタン125を含む。   FIG. 35 shows an example of a TND definition screen in the present embodiment. The TND definition screen 120 is a screen for setting the definition of each terminal network device (TND) 82. The TND definition screen 90 includes a device name input field 121, an icon selection field 122, a registered address list 123, an add button 124, and a delete button 125.

機器名入力欄121には、機器名に定義する機器名が入力される。アイコン選択欄122には、末端ネットワーク装置13の選択可能なアイコンの絵柄が表示される。   In the device name input field 121, a device name defined as the device name is input. In the icon selection field 122, the icons of selectable icons of the terminal network device 13 are displayed.

登録アドレス一覧93には、登録した「IPアドレス」及び「備考」が表示される。追加ボタン124を押下すると、登録アドレス一覧123に「IPアドレス」及び「備考」を登録することができる。削除ボタン125を押すと、登録アドレス一覧123において選択された行を削除することができる。   The registered address list 93 displays the registered “IP address” and “remarks”. When the add button 124 is pressed, “IP address” and “remarks” can be registered in the registered address list 123. When the delete button 125 is pressed, the line selected in the registered address list 123 can be deleted.

パケット検出装置12及び末端ネットワーク装置13による検出結果等は、ノードアイコン81、リンク線83、TNDアイコン82に予め定義された情報に基づいて、それぞれのアイコンやリンク線にマッピングして表示される。ただし画面上にマッピング可能な定義情報が存在しない場合には、共通インフォメーションエリア84へ、その検出結果等の表示が行われる。   The detection results and the like by the packet detection device 12 and the terminal network device 13 are displayed by mapping to the respective icons and link lines based on information predefined in the node icon 81, the link line 83, and the TND icon 82. However, if there is no definition information that can be mapped on the screen, the detection result and the like are displayed in the common information area 84.

管理サーバ14による異常接続シーケンス判定結果等は、ノードアイコン81、リンク線83、TNDアイコン82に予め定義された情報に基づいて、アイコンやリンク線にマッピングして表示される。ただし画面上にマッピング可能な定義情報が存在しない場合には、共通インフォメーションエリア84へ、その異常接続シーケンス判定結果等の表示が行われる。   The abnormal connection sequence determination result or the like by the management server 14 is displayed by being mapped to an icon or a link line based on information predefined in the node icon 81, the link line 83, and the TND icon 82. However, if there is no definition information that can be mapped on the screen, the abnormal connection sequence determination result or the like is displayed in the common information area 84.

図36は、本実施形態におけるIPSA詐称パケット検出時(IPSAに、実在しないIPアドレスが設定されている場合)の画面の表示例を示す。図37は、本実施形態におけるIPSA詐称パケット検出時(IPSAに、実在するIPアドレスが設定されている場合)の画面の表示例を示す。図36及び図37では、管理サーバ14は、以下のようなルールで画面上へのマッピング表示を行っている。   FIG. 36 shows a display example of a screen when an IPSA spoofed packet is detected in this embodiment (when an IP address that does not exist is set in IPSA). FIG. 37 shows a display example of a screen when an IPSA spoofed packet is detected in this embodiment (when an actual IP address is set in IPSA). In FIG. 36 and FIG. 37, the management server 14 performs mapping display on the screen according to the following rules.

管理サーバ14は、パケット検出装置12によるIPSA詐称パケットの検出ルートを、パケット検出装置12が登録されたリンク線83上に矢印83aとしてマッピング表示する。管理サーバ14は、矢印83aの方向を、リンク線83に定義されたポート1方向の情報から計算する。すなわち、管理サーバ14は、リンク線83に定義されたポート1方向の情報に基づいて、パケット検出装置12の検出結果から、そのパケット検出装置12のいずれのポートからパケットが入力または出力されたかを検出する。これにより、管理サーバ14は、パケット検出装置12が配置されたルートを通過したパケットの通過方向を検出することができる。その結果、管理サーバ14は、IPSA詐称パケットを検出したパケット検出装置12の配置ルートを、例えば、強調表示させたり、色を替えて表示させることができる。よって、管理サーバ14は、矢印83aの向きにより、IPSA詐称パケットの疎通方向も表示させることができる。   The management server 14 displays the IPSA spoofed packet detection route by the packet detection device 12 as an arrow 83a on the link line 83 where the packet detection device 12 is registered. The management server 14 calculates the direction of the arrow 83 a from the information of the port 1 direction defined in the link line 83. That is, the management server 14 determines, based on the information of the port 1 direction defined on the link line 83, from the detection result of the packet detection device 12, from which port of the packet detection device 12 the packet is input or output. To detect. Thereby, the management server 14 can detect the passing direction of the packet that has passed through the route where the packet detection device 12 is arranged. As a result, the management server 14 can display the arrangement route of the packet detection device 12 that has detected the IPSA spoof packet, for example, by highlighting or changing the color. Therefore, the management server 14 can also display the communication direction of the IPSA spoofed packet by the direction of the arrow 83a.

管理サーバ14は、末端ネットワーク装置13による疎通確認結果を、「ノードアイコン間を接続するリンク線」83に定義されたIPアドレスに基づいて、リンク線上に強調させた矢印としてマッピング表示する。管理サーバ14は、強調させた矢印の方向を、リンク線に定義されたIPアドレスから計算する。すなわち、管理サーバ14は、リンク線に定義されたIPアドレスと、末端ネットワーク装置から得られたトレースルート結果に含まれるIPアドレスとが一致するリンク線をマッピングする。   The management server 14 displays the result of the communication confirmation by the terminal network device 13 as an arrow highlighted on the link line based on the IP address defined in the “link line connecting the node icons” 83. The management server 14 calculates the direction of the highlighted arrow from the IP address defined in the link line. That is, the management server 14 maps a link line in which the IP address defined in the link line matches the IP address included in the trace route result obtained from the terminal network device.

管理サーバ14は、IPSA詐称パケットのあて先アドレス(IPDA)、すなわち標的サーバのIPアドレスを、インフォメーションエリア85aにマッピング表示する。管理サーバ14は、標的サーバのIPアドレスからその標的サーバのサブネットアドレスを計算する。それから、管理サーバ14は、ノードアイコン定義画面において登録したサブネットアドレスを用いて、その計算したサブネットアドレスと一致するサブネットアドレスが登録されたインフォーメーションエリアに標的サーバのIPアドレスを表示する。   The management server 14 maps and displays the destination address (IPDA) of the IPSA spoof packet, that is, the IP address of the target server in the information area 85a. The management server 14 calculates the subnet address of the target server from the IP address of the target server. Then, using the subnet address registered on the node icon definition screen, the management server 14 displays the IP address of the target server in the information area where the subnet address that matches the calculated subnet address is registered.

管理サーバ14は、IPSA詐称パケットの送信元アドレス(IPSA)を、インフォメーションエリアに表示する。管理サーバ14は、IPSA詐称パケットの送信元アドレスから送信元アドレスのサブネットアドレスを計算する。管理サーバ14は、ノードアイコン定義画面90において登録したサブネットアドレスを用いて、その計算したサブネットアドレスと一致するサブネットアドレスが登録されたインフォーメーションエリア85にIPSA詐称パケットの送信元のIPアドレスを表示する。その計算したサブネットアドレスと一致するサブネットアドレスが登録されたインフォーメーションエリア85がない場合には、管理サーバ14は、共通インフォメーションエリア84にIPSAを表示する。図36の場合、詐称IPアドレスは、存在しないため、IPSA詐称パケット検出画面80上に一致する定義情報がない。したがって、この場合、詐称しているIPSAは、共通インフォーメーションエリア85に表示される。   The management server 14 displays the IPSA spoof packet source address (IPSA) in the information area. The management server 14 calculates the subnet address of the transmission source address from the transmission source address of the IPSA spoofing packet. Using the subnet address registered on the node icon definition screen 90, the management server 14 displays the IP address of the IPSA spoofed packet transmission source in the information area 85 where the subnet address that matches the calculated subnet address is registered. . If there is no information area 85 where the subnet address that matches the calculated subnet address is registered, the management server 14 displays IPSA in the common information area 84. In the case of FIG. 36, since there is no spoofed IP address, there is no matching definition information on the IPSA spoofed packet detection screen 80. Therefore, in this case, the spoofed IPSA is displayed in the common information area 85.

また、図36、図37に示すように、ユーザがリンク線83(実線のリンク線)をクリックすると、管理サーバ14は、そのクリックしたリンク線に登録したパケット検出装置12に対応するIPSA詐称パケットの検出結果を表示するウィンドウ131を表示させる。ウィンドウ131に表示される検出内容には、例えば、「検出日時」、「IPSA」,「IPDA」,「TCPフラグ値」、「攻撃回数」が含まれる。これにより、より具体的な攻撃の規模や攻撃による影響などを把握することができる。   Further, as shown in FIGS. 36 and 37, when the user clicks on the link line 83 (solid link line), the management server 14 sends the IPSA spoof packet corresponding to the packet detection device 12 registered in the clicked link line. A window 131 for displaying the detection result is displayed. The detection contents displayed in the window 131 include, for example, “detection date / time”, “IPSA”, “IPDA”, “TCP flag value”, and “number of attacks”. As a result, it is possible to grasp the more specific scale of the attack and the impact of the attack.

次に、攻撃元端末を特定するための支援機能について説明する。図37の例では、IPSA詐称パケット検出画面80より、ユーザは、IPSA詐称パケットの存在が疑われる被疑セグメントを絞り込む(手動オペレーション)。したがって、ユーザは、IPSA詐称パケット検出画面80上で詐称パケットが検出されたルート(強調された矢印の表示)の開始点を探すことにより、被疑セグメントを絞り込むことができる。   Next, a support function for specifying the attack source terminal will be described. In the example of FIG. 37, from the IPSA spoofed packet detection screen 80, the user narrows down the suspected segment suspected of having an IPSA spoofed packet (manual operation). Therefore, the user can narrow down the suspected segment by searching for the starting point of the route (display of the highlighted arrow) where the spoofed packet is detected on the IPSA spoofed packet detection screen 80.

その後、ユーザが、被疑セグメントに配置された末端ネットワーク装置13のアイコン82をクリックすると、図38に示すように、IPSA詐称パケット送信端末を特定するための指示画面が表示される。   Thereafter, when the user clicks the icon 82 of the end network device 13 arranged in the suspected segment, an instruction screen for specifying the IPSA spoofed packet transmission terminal is displayed as shown in FIG.

図38は、本実施形態におけるIPSA詐称パケット送信端末を特定するための指示画面の一例を示す。指示画面140は、「開始」ボタン141、「取消し」ボタン142を含む。「取消し」ボタン142を押下すると、指示画面140を閉じてIPSA詐称パケット検出画面80へ戻る。   FIG. 38 shows an example of an instruction screen for specifying an IPSA spoofed packet transmission terminal in the present embodiment. The instruction screen 140 includes a “start” button 141 and a “cancel” button 142. When the “Cancel” button 142 is pressed, the instruction screen 140 is closed and the IPSA spoofed packet detection screen 80 is returned.

「開始」ボタン141を押下すると、IPSA詐称パケット送信端末を特定するための処理が開始される。具体的には、管理サーバ14は、クリックされた末端ネットワーク装置13に対して、詐称していると判定したIPアドレス宛の通信(ICMP(Internet Control Message Protocol)エコーリクエストの送信など)を指示する。   When the “start” button 141 is pressed, processing for specifying an IPSA spoofed packet transmission terminal is started. Specifically, the management server 14 instructs the clicked end network device 13 to communicate with an IP address determined to be spoofed (such as transmission of an ICMP (Internet Control Message Protocol) echo request). .

末端ネットワーク装置13は、管理サーバ14からの指示に基づいて、詐称していると判定したIPアドレス宛の通信を実行する。通信の実行に伴い、末端ネットワーク装置13ではARP(Address Resolution Protocol)パケットによるアドレス解決の処理が行われる。詐称していると判定したIPアドレス宛への通信を試行後、当該末端ネットワーク装置13は、自装置内のARPテーブルをチェックする。末端ネットワーク装置13は、自装置内のARPテーブルに詐称IPアドレスに対応したMACアドレスを確認した場合、確認したMACアドレスを管理サーバ14に通知する。当該通知により、管理サーバ14は、IPSA詐称パケットを送信した端末を特定することができる。また、末端ネットワーク装置13は、詐称IPアドレスに対応したMACアドレスを確認出来なかった場合、該当する装置が存在ないことを管理サーバ14に通知する。この場合、管理サーバ14は、IPSA詐称パケットを送信した端末を特定することはできない。管理サーバ14は、末端ネットワーク装置13からの応答結果に基づいて、図39または図40に示すように、画面表示を実施する。   The terminal network device 13 executes communication addressed to the IP address determined to be spoofed based on an instruction from the management server 14. As the communication is executed, the terminal network device 13 performs address resolution processing using an ARP (Address Resolution Protocol) packet. After attempting communication to the IP address determined to be spoofed, the terminal network device 13 checks the ARP table in the device itself. When the terminal network device 13 confirms the MAC address corresponding to the spoofed IP address in the ARP table in its own device, it notifies the management server 14 of the confirmed MAC address. With this notification, the management server 14 can identify the terminal that transmitted the IPSA spoofing packet. Further, when the end network device 13 cannot confirm the MAC address corresponding to the spoofed IP address, it notifies the management server 14 that the corresponding device does not exist. In this case, the management server 14 cannot identify the terminal that transmitted the IPSA spoofing packet. Based on the response result from the terminal network device 13, the management server 14 performs screen display as shown in FIG. 39 or FIG.

図39は、本実施形態におけるIPSA詐称パケットを送信した端末を特定した場合に表示される画面例である。上述したように、末端ネットワーク装置13から詐称IPアドレスに対応したMACアドレスが通知された場合、すなわちIPSA詐称パケットを送信した端末を特定した場合、図39(A)に示すように、画面150が表示される。「了解」ボタン151を押下すると、画面150は閉じて、図39(B)または図39(C)に示すように、IPSA詐称パケット検出画面80に、IPSA詐称パケットを送信した端末として特定された端末に関する情報が表示される。   FIG. 39 is an example of a screen displayed when a terminal that has transmitted an IPSA spoofing packet in this embodiment is specified. As described above, when the MAC address corresponding to the spoofed IP address is notified from the end network device 13, that is, when the terminal that transmitted the IPSA spoofed packet is specified, the screen 150 is displayed as shown in FIG. Is displayed. When the “OK” button 151 is pressed, the screen 150 is closed and, as shown in FIG. 39 (B) or 39 (C), the IPSA spoofed packet detection screen 80 is identified as the terminal that transmitted the IPSA spoofed packet. Information about the terminal is displayed.

図39(B)は、IPSA詐称パケット(IPSAに、実在しないIPアドレスが設定されている場合)を送信した端末として特定された端末についての表示例を示す。図39(C)は、IPSA詐称パケット(IPSAに、実在するIPアドレスが設定されている場合)を送信した端末として特定された端末についての表示例を示す。この場合、その特定された端末が接続されているL2SW等のノードアイコンのインフォメーションエリアに、詐称IPSA及びその端末の物理アドレス(MACアドレス)が表示される。   FIG. 39B shows a display example of a terminal specified as a terminal that has transmitted an IPSA spoofing packet (when an IP address that does not exist is set in IPSA). FIG. 39C shows a display example of a terminal specified as a terminal that has transmitted an IPSA spoofing packet (when an actual IP address is set in IPSA). In this case, the spoofed IPSA and the physical address (MAC address) of the terminal are displayed in the information area of the node icon such as L2SW to which the specified terminal is connected.

図40は、本実施形態におけるIPSA詐称パケットを送信した端末を特定することができなかった場合に表示される画面例を示す。IPSA詐称パケットを送信した端末を特定できなかった場合、図40に示すように、画面160が表示される。「了解」ボタン161を押下すると、画面150は閉じて、IPSA詐称パケット検出画面80に戻る。   FIG. 40 shows an example of a screen displayed when the terminal that has transmitted the IPSA spoofing packet in this embodiment cannot be specified. If the terminal that transmitted the IPSA spoof packet cannot be identified, a screen 160 is displayed as shown in FIG. When the “OK” button 161 is pressed, the screen 150 is closed and the IPSA spoofed packet detection screen 80 is restored.

次に、図41A及び図42を用いて、本実施形態における、IPSA詐称パケット検出画面を用いて、IPSA詐称端末検出の検出結果の表示処理について説明する。
図41は、本実施形態におけるベースマップ画像の生成処理フローを示す。ユーザは、クライアントPC71を用いて、図31〜図35の定義画面を用いて、監視対象となるネットワーク11の構成要素に対して、情報を設定する(S61)。すると、管理サーバ14は、画像生成部2fとして機能して、図31〜図35の定義画面に設定された情報に基づいて、ネットワークを構成する画像(ベースマップ画像)を生成する(S62)。
管理サーバ14は、最新または過去の履歴の送信元IPアドレス詐称パケット検知情報の中から、任意の検知結果を、生成されるベースマップ上にマッピングして、図36又は図37に示すようなIPSA詐称パケット検出画面80を生成する。管理サーバ14は、その生成したIPSA詐称パケット検出画面80の提供をクライアントPC71に対して行う。
Next, using FIG. 41A and FIG. 42, the display processing of the detection result of the IPSA spoofed terminal detection using the IPSA spoofed packet detection screen in this embodiment will be described.
FIG. 41 shows a processing flow for generating a base map image in the present embodiment. The user uses the client PC 71 to set information for the components of the network 11 to be monitored using the definition screens of FIGS. 31 to 35 (S61). Then, the management server 14 functions as the image generation unit 2f and generates an image (base map image) configuring the network based on the information set on the definition screens of FIGS. 31 to 35 (S62).
The management server 14 maps an arbitrary detection result from the latest or past history transmission source IP address spoofed packet detection information onto the generated base map, and the IPSA as shown in FIG. 36 or FIG. A spoofed packet detection screen 80 is generated. The management server 14 provides the generated IPSA spoofed packet detection screen 80 to the client PC 71.

図42は、本実施形態におけるIPSA詐称端末検出の検出結果の表示処理フローを示す。図36及び図37で説明したように、IPSA詐称パケット検出画面80上には、詐称パケットが検出されたルートが矢印で表示される。表示装置に表示されたIPSA詐称パケット検出画面80上で詐称パケットが検出されたルート(強調された矢印の表示)の開始点を探すことにより、被疑セグメントを絞り込む。ユーザは、その絞り込んだ被疑セグメントにある末端ネットワーク装置のアイコンをクリックすると、指示画面140が表示される。ユーザが、指示画面140を用いて、IPSA詐称パケット送信端末を特定するための処理開始を指示する。すると、管理サーバ14は、表示制御部2hとして機能して、クライアントPC71からその指示情報を受信する(S63)。   FIG. 42 shows a display processing flow of the detection result of IPSA misrepresentation terminal detection in this embodiment. As described with reference to FIGS. 36 and 37, on the IPSA spoofed packet detection screen 80, a route in which a spoofed packet is detected is displayed with an arrow. On the IPSA spoofed packet detection screen 80 displayed on the display device, the suspected segment is narrowed down by searching for the start point of the route (display of the highlighted arrow) where the spoofed packet is detected. When the user clicks the terminal network device icon in the narrowed suspicious segment, the instruction screen 140 is displayed. The user uses the instruction screen 140 to instruct the start of processing for specifying an IPSA spoofed packet transmission terminal. Then, the management server 14 functions as the display control unit 2h and receives the instruction information from the client PC 71 (S63).

その指示情報に基づいて、管理サーバ14は、IPSA詐称端末の検出処理を行う。すなわち、管理サーバ14は、付加部2gとして機能して、クライアントPC71からのIPSA詐称端末の検出要求に基づいて、ベースマップ画像にIPアドレス詐称アドレスの検知結果をマッピングする(S64)。この処理では、管理サーバ14は、S58において詐称していると判定したIPSAの属するネットワークに属する末端ネットワーク装置13に対して、詐称していると判定したIPアドレス宛の通信(ICMP)エコーリクエストの送信など)を指示する。   Based on the instruction information, the management server 14 performs an IPSA misrepresentation terminal detection process. That is, the management server 14 functions as the adding unit 2g and maps the IP address spoofed address detection result to the base map image based on the IPSA spoofed terminal detection request from the client PC 71 (S64). In this process, the management server 14 sends a communication (ICMP) echo request addressed to the IP address determined to be spoofed to the terminal network device 13 belonging to the network to which the IPSA belongs determined to be spoofed in S58. Send).

末端ネットワーク装置13は、管理サーバから指示情報を受信する。すると、末端ネットワーク装置13は、管理サーバ14からの指示に基づいて、詐称していると判定したIPアドレス宛の通信を実行する。通信の実行に伴い、末端ネットワーク装置13ではARP(Address Resolution Protocol)パケットによるアドレス解決の処理が行われる。詐称していると判定したIPアドレス宛への通信を試行後、当該末端ネットワーク装置13は、自装置内のARPテーブルをチェックする。末端ネットワーク装置13は、自装置内のARPテーブルに詐称IPアドレスに対応したMACアドレスを確認した場合、確認したMACアドレスを管理サーバ14に通知する。当該通知により、管理サーバ14は、IPSA詐称パケットを送信した端末を特定することができる。また、末端ネットワーク装置13は、詐称IPアドレスに対応したMACアドレスを確認出来なかった場合、該当する装置が存在ないことを管理サーバ14に通知する。この場合、管理サーバ14は、IPSA詐称パケットを送信した端末を特定することはできない。   The terminal network device 13 receives the instruction information from the management server. Then, the terminal network device 13 executes communication addressed to the IP address determined to be spoofed based on an instruction from the management server 14. As the communication is executed, the terminal network device 13 performs address resolution processing using an ARP (Address Resolution Protocol) packet. After attempting communication to the IP address determined to be spoofed, the terminal network device 13 checks the ARP table in the device itself. When the terminal network device 13 confirms the MAC address corresponding to the spoofed IP address in the ARP table in its own device, it notifies the management server 14 of the confirmed MAC address. With this notification, the management server 14 can identify the terminal that transmitted the IPSA spoofing packet. Further, when the end network device 13 cannot confirm the MAC address corresponding to the spoofed IP address, it notifies the management server 14 that the corresponding device does not exist. In this case, the management server 14 cannot identify the terminal that transmitted the IPSA spoofing packet.

管理サーバ14は、表示制御部2hとして機能して、その要求されたIPSA詐称パケット検出画面80の画面データをクライアントPC71に送信する(S65)。すなわち、管理サーバ14は、末端ネットワーク装置13からの応答結果に基づいて、図39または図40に示すように、画面表示を実施する。   The management server 14 functions as the display control unit 2h and transmits the requested screen data of the IPSA spoofed packet detection screen 80 to the client PC 71 (S65). That is, the management server 14 performs screen display as shown in FIG. 39 or 40 based on the response result from the terminal network device 13.

以上の動作により攻撃している端末のハードウェアアドレスを特定することにより、実際に攻撃している端末の特定がさらに容易となる。また、ルータやファイアウォールなどに対し、予め検出用のサブネット情報の登録を行なわなくてもIPSA詐称パケットの検出が行なえる。また、本実施形態によれば、マップ表示を利用した攻撃経路の把握及び攻撃している端末のハードウェアアドレス(MACアドレス)の特定支援機能を利用することができる。これにより、テキストベースのログイメージで詐称IPSAの検出結果確認を行う方式と比較して、攻撃している端末の特定が格段に行いやすくなる。   By specifying the hardware address of the attacking terminal by the above operation, it becomes easier to identify the terminal that is actually attacking. It is also possible to detect IPSA spoofed packets without registering subnet information for detection in advance in a router or firewall. Further, according to the present embodiment, it is possible to use the function of identifying the attack path using the map display and the function for identifying the hardware address (MAC address) of the attacking terminal. This makes it much easier to identify the attacking terminal compared to the method of confirming the detection result of spoofed IPSA with a text-based log image.

図43は、本実施形態を適用したコンピュータのハードウェア環境の構成ブロック図である。コンピュータ170は、本実施形態の処理を行うプログラムを読み込むことにより、パケット検出装置12、末端ネットワーク装置13、または管理サーバ14として機能する。   FIG. 43 is a block diagram showing the configuration of the hardware environment of a computer to which this embodiment is applied. The computer 170 functions as the packet detection device 12, the terminal network device 13, or the management server 14 by reading a program for performing the processing of this embodiment.

コンピュータ170は、出力I/F171、CPU172、ROM173、通信I/F174、入力I/F175、RAM176、記憶装置177、読み取り装置178、バス179を含む。コンピュータ170は、出力機器181、及び入力機器182と接続可能である。   The computer 170 includes an output I / F 171, a CPU 172, a ROM 173, a communication I / F 174, an input I / F 175, a RAM 176, a storage device 177, a reading device 178, and a bus 179. The computer 170 can be connected to the output device 181 and the input device 182.

ここで、CPUは、中央演算装置を示す。ROMは、リードオンリメモリを示す。RAMは、ランダムアクセスメモリを示す。I/Fは、インターフェースを示す。バス179には、出力I/F171、CPU172、ROM173、通信I/F174、入力I/F175、RAM176、記憶装置177、読み取り装置178が接続されている。読み取り装置178は、可搬型記録媒体を読み出す装置である。出力機器181は、出力I/F171に接続されている。入力機器182は、入力I/F175に接続されている。   Here, CPU indicates a central processing unit. ROM indicates a read-only memory. RAM indicates random access memory. I / F indicates an interface. An output I / F 171, a CPU 172, a ROM 173, a communication I / F 174, an input I / F 175, a RAM 176, a storage device 177, and a reading device 178 are connected to the bus 179. The reading device 178 is a device that reads a portable recording medium. The output device 181 is connected to the output I / F 171. The input device 182 is connected to the input I / F 175.

記憶装置177としては、ハードディスクドライブ、フラッシュメモリ装置、磁気ディスク装置など様々な形式の記憶装置を使用することができる。   As the storage device 177, various types of storage devices such as a hard disk drive, a flash memory device, and a magnetic disk device can be used.

記憶装置177またはROM173には、例えば、本実施形態で説明した処理を実現するプログラム等が格納されている。コンピュータ170がパケット検出装置12である場合、RAM176は、たとえば、一時蓄積バッファ領域を確保したり、作業領域として使用したりすることができる。コンピュータ170が管理サーバ14である場合、記憶装置177には、パケット検出装置12から収集した検出結果、PD検出ルートテーブル61、及び図31〜図35の定義画面にて設定した情報等が格納される。   The storage device 177 or the ROM 173 stores, for example, a program that realizes the processing described in this embodiment. When the computer 170 is the packet detection device 12, the RAM 176 can secure, for example, a temporary storage buffer area or can be used as a work area. When the computer 170 is the management server 14, the storage device 177 stores the detection results collected from the packet detection device 12, the PD detection route table 61, information set on the definition screens of FIGS. The

CPU172は、記憶装置177等に格納した本実施形態で説明した処理を実現するプログラムを読み出し、当該プログラムを実行する。   The CPU 172 reads a program that realizes the processing described in the present embodiment stored in the storage device 177 and executes the program.

本実施形態で説明した処理を実現するプログラムは、プログラム提供者側から通信ネットワーク180、および通信I/F174を介して、例えば記憶装置177に格納してもよい。また、本実施形態で説明した処理を実現するプログラムは、市販され、流通している可搬型記憶媒体に格納されていてもよい。この場合、この可搬型記憶媒体は読み取り装置178にセットされて、CPU172によってそのプログラムが読み出されて、実行されてもよい。可搬型記憶媒体としてはCD−ROM、フレキシブルディスク、光ディスク、光磁気ディスク、IC(integrated circuit)カード、USB(Universal Serial Bus)メモリ装置など様々な形式の記憶媒体を使用することができる。このような記憶媒体に格納されたプログラムが読み取り装置178によって読み取られる。   A program for realizing the processing described in the present embodiment may be stored in the storage device 177, for example, via the communication network 180 and the communication I / F 174 from the program provider side. Moreover, the program which implement | achieves the process demonstrated by this embodiment may be stored in the portable storage medium marketed and distribute | circulated. In this case, the portable storage medium may be set in the reading device 178 and the program read by the CPU 172 and executed. As the portable storage medium, various types of storage media such as a CD-ROM, a flexible disk, an optical disk, a magneto-optical disk, an IC (integrated circuit) card, and a USB (Universal Serial Bus) memory device can be used. A program stored in such a storage medium is read by the reading device 178.

また、入力機器182には、キーボード、マウス、電子カメラ、ウェブカメラ、マイク、スキャナ、センサ、タブレット、タッチパネルなどを用いることが可能である。また、出力機器181には、ディスプレイ、プリンタ、スピーカなどを用いることが可能である。また、ネットワーク180は、インターネット、LAN(Local Area Network)、WAN(Wide Area Network)、専用線、有線、無線等の通信網であってよい。   The input device 182 can be a keyboard, a mouse, an electronic camera, a web camera, a microphone, a scanner, a sensor, a tablet, a touch panel, or the like. The output device 181 can be a display, a printer, a speaker, or the like. The network 180 may be a communication network such as the Internet, a local area network (LAN), a wide area network (WAN), a dedicated line, a wired line, and a wireless line.

なお、本実施形態は、以上に述べた実施の形態に限定されるものではなく、本実施形態の要旨を逸脱しない範囲内で種々の構成または実施形態を取ることができる。   In addition, this embodiment is not limited to embodiment described above, A various structure or embodiment can be taken in the range which does not deviate from the summary of this embodiment.

上記実施形態に関し、更に以下の付記を開示する。
(付記1)
中継装置間を接続する通信線によって伝送される通信情報を順次検出する検出部と、
検出された前記通信情報が、該通信情報に用いられる通信プロトコルに基づいて正常にコネクションを確立させた通信情報であるかを判定する通信情報判定部と、
前記判定の結果、前記検出された通信情報が前記正常にコネクションを確立させた通信情報でない場合、該検出された通信情報に関する検出情報を送信する送信部と、
を備える、通信情報検出装置と、
前記通信情報検出装置から前記送信された検出情報を収集する収集部と、
収集された前記検出情報を集約し、集約した該検出情報に含まれる前記通信情報が前記通信プロトコルに基づいて正常にコネクションを確立させた通信情報であるかを検証する検証部と、
前記判定の結果、前記集約した検出情報に含まれる前記通信情報が前記通信プロトコルに基づいて正常にコネクションを確立させた通信情報でない場合、該検出された通信情報のうち第1情報処理装置から第2情報処理装置へ送信される通信情報について、該第2情報処理装置が属するネットワークに属するいずれかの情報処理装置に、前記通信情報の送信元アドレスまでの経路情報を取得するように要求し、該いずれかの情報処理装置から該経路情報を取得する経路情報取得部と、
前記経路情報の結果が正常でない場合、または該経路情報により示される経路と前記第1情報処理装置から第2情報処理装置への送信経路とが異なる場合、前記通信情報の送信元アドレスが詐称であると判定する詐称判定部と、
を備える送信元アドレス詐称判定装置と、
を備えることを特徴とする送信元アドレス詐称判定システム。
(付記2)
前記通信情報は、トランスミッション・コントロール・プロトコル(TCP)ヘッダが付加された情報であり、
前記通信情報判定部は、前記検出された通信情報について、3ウェイハンドシェークに従って、前記TCPヘッダに含まれるTCPフラグがSYNである通信情報を検出後に、閾値時間内に、前記TCPフラグがSYN-ACKである前記通信情報及び前記TCPフラグがACKである前記通信情報を順に検出したかを判定する
ことを特徴とする付記1に記載の送信元アドレス詐称判定システム。
(付記3)
前記検証部は、送信元アドレス、送信先アドレス、前記TCPフラグに基づいて、前記収集された検出情報を集約し、該集約した検出情報に含まれる通信情報について、3ウェイハンドシェークに従って、前記TCPヘッダに含まれるTCPフラグがSYNである通信情報を検出後に、閾値時間内に、前記TCPフラグがSYN-ACKである前記通信情報及び前記TCPフラグがACKである前記通信情報を順に検出したかを判定する
ことを特徴とする付記2に記載の送信元アドレス詐称判定システム。
(付記4)
前記詐称判定部は、前記経路情報の結果が正常でない場合、または該経路情報に含まれる前記中継装置のアドレスのうちのいずれかが前記第1情報処理装置から第2情報処理装置へ送信される通信情報を検出した前記通信情報検出装置のアドレス空間に含まれない場合、前記通信情報の送信元アドレスが詐称であると判定する
ことを特徴とする付記1に記載の送信元アドレス詐称判定システム。
(付記5)
前記通信線が、複数の物理線の集合から形成された論理的に1つの通信線であり、
前記通信情報検出装置は、前記物理線のそれぞれに配置され、
同一の前記通信線を形成する前記物理線に配置された前記通信情報検出装置のうちの第1の通信情報検出装置以外の前記第2の通信情報検出装置の前記送信部は、前記検出された通信情報に関する検出情報を、前記第1の通信情報検出装置へ送信し、
前記第1の通信情報検出装置の前記通信情報判定部は、前記第2の通信情報検出装置から送信された検出情報の示す通信情報及び前記第1の通信情報検出装置の検出部により検出された該通信情報が、該通信情報に用いられる通信プロトコルに基づいて正常にコネクションを確立させた通信情報であるかを判定し、
前記第1の通信情報検出装置の前記送信部は、前記判定の結果、前記通信情報が前記正常にコネクションを確立させた通信情報でない場合、該通信情報に関する検出情報を送信する
ことを特徴とする付記1に記載の送信元アドレス詐称判定システム。
(付記6)
前記送信元詐称判定装置は、さらに、
前記中継装置、前記通信線、及び前記経路情報を取得する情報処理装置について、ネットワーク上のアドレスに関する情報を登録する登録部と、
前記登録した情報に基づいて、前記中継装置、前記通信線、及び前記経路情報を取得する情報処理装置の接続関係を生成し、前記中継装置、前記通信線、及び前記経路情報を取得する情報処理装置に対応するシンボルを該接続関係に基づいて配置したネットワーク構成画像を生成する画像生成部と、
前記詐称していると判定された前記送信元アドレスに基づいて、前記ネットワーク構成画像に、前記通信情報の送信元アドレスが詐称である旨を表す送信元アドレス詐称情報を付加する付加部と、
前記送信元アドレス詐称情報を付加したネットワーク構成画像を表示させる表示制御部と、
を備えることを特徴とする付記1に記載の送信元アドレス詐称判定システム。
(付記7)
中継装置間を接続する通信線によって伝送される通信情報を順次検出する検出部と、
検出された前記通信情報が、該通信情報に用いられる通信プロトコルに基づいて正常にコネクションを確立させた通信情報であるかを判定する通信情報判定部と、
前記判定の結果、前記検出された通信情報が前記正常にコネクションを確立させた通信情報でない場合、該検出された通信情報に関する検出情報を送信する送信部と、
を備えることを特徴とする通信情報検出装置。
(付記8)
前記通信情報は、トランスミッション・コントロール・プロトコル(TCP)ヘッダが付加された情報であり、
前記通信情報判定部は、前記検出された通信情報について、3ウェイハンドシェークに従って、前記TCPヘッダに含まれるTCPフラグがSYNである通信情報を検出後に、閾値時間内に、前記TCPフラグがSYN-ACKである前記通信情報及び前記TCPフラグがACKである前記通信情報を順に検出したかを判定する
ことを特徴とする付記7に記載の通信情報検出装置。
(付記9)
中継装置間を接続する通信線によって伝送される通信情報が順次検出され、検出された該通信情報が、該通信情報に用いられる通信プロトコルに基づいて正常にコネクションを確立させた通信情報でない場合に、該検出された通信情報に関する検出情報を収集する収集部と、
収集された前記検出情報を集約し、集約した該検出情報に含まれる前記通信情報が前記通信プロトコルに基づいて正常にコネクションを確立させた通信情報であるかを検証する検証部と、
前記判定の結果、前記集約した検出情報に含まれる前記通信情報が前記通信プロトコルに基づいて正常にコネクションを確立させた通信情報でない場合、該検出された通信情報のうち第1情報処理装置から第2情報処理装置へ送信される通信情報について、該第2情報処理装置が属するネットワークに属するいずれかの情報処理装置に、前記通信情報の送信元アドレスまでの経路情報を取得するように要求し、該いずれかの情報処理装置から該経路情報を取得する経路情報取得部と、
前記経路情報の結果が正常でない場合、または該経路情報により示される経路と前記第1情報処理装置から第2情報処理装置への送信経路とが異なる場合、前記通信情報の送信元アドレスが詐称であると判定する詐称判定部と、
を備える送信元アドレス詐称判定装置。
(付記10)
前記検証部は、送信元アドレス、送信先アドレス、前記TCPフラグに基づいて、前記収集された検出情報を集約し、該集約した検出情報に含まれる通信情報について、3ウェイハンドシェークに従って、前記TCPヘッダに含まれるTCPフラグがSYNである通信情報を検出後に、閾値時間内に、前記TCPフラグがSYN-ACKである前記通信情報及び前記TCPフラグがACKである前記通信情報を順に検出したかを判定する
ことを特徴とする付記9に記載の送信元アドレス詐称判定装置。
(付記11)
前記詐称判定部は、前記経路情報の結果が正常でない場合、または該経路情報に含まれる前記中継装置のアドレスのうちのいずれかが前記第1情報処理装置から第2情報処理装置へ送信される通信情報を検出した前記通信情報検出装置のアドレス空間に含まれない場合、前記通信情報の送信元アドレスが詐称であると判定する
ことを特徴とする付記9に記載の送信元アドレス詐称判定装置。
(付記12)
前記通信線が、複数の物理線の集合から形成された論理的に1つの通信線であり、
前記通信情報検出装置は、前記物理線のそれぞれに配置され、
同一の前記通信線を形成する前記物理線に配置された前記通信情報検出装置のうちの第1の通信情報検出装置以外の前記第2の通信情報検出装置の前記送信部は、前記検出された通信情報に関する検出情報を、前記第1の通信情報検出装置へ送信し、
前記第1の通信情報検出装置の前記通信情報判定部は、前記第2の通信情報検出装置から送信された検出情報の示す通信情報及び前記第1の通信情報検出装置の検出部により検出された該通信情報が、該通信情報に用いられる通信プロトコルに基づいて正常にコネクションを確立させた通信情報であるかを判定し、
前記第1の通信情報検出装置の前記送信部は、前記判定の結果、前記通信情報が前記正常にコネクションを確立させた通信情報でない場合、該通信情報に関する検出情報を送信する
ことを特徴とする付記9に記載の送信元アドレス詐称判定装置。
(付記13)
前記送信元詐称判定装置は、さらに、
前記中継装置、前記通信線、及び前記経路情報を取得する情報処理装置について、ネットワーク上のアドレスに関する情報を登録する登録部と、
前記登録した情報に基づいて、前記中継装置、前記通信線、及び前記経路情報を取得する情報処理装置の接続関係を生成し、前記中継装置、前記通信線、及び前記経路情報を取得する情報処理装置に対応するシンボルを該接続関係に基づいて配置したネットワーク構成画像を生成する画像生成部と、
前記詐称していると判定された前記送信元アドレスに基づいて、前記ネットワーク構成画像に、前記通信情報の送信元アドレスが詐称である旨を表す送信元アドレス詐称情報を付加する付加部と、
前記送信元アドレス詐称情報を付加したネットワーク構成画像を表示させる表示制御部と、
を備えることを特徴とする付記9に記載の送信元アドレス詐称判定装置。
(付記14)
コンピュータに、
中継装置間を接続する通信線によって伝送される通信情報を順次検出し、
検出された前記通信情報が、該通信情報に用いられる通信プロトコルに基づいて正常にコネクションを確立させた通信情報であるかを判定し、
前記判定の結果、前記検出された通信情報が前記正常にコネクションを確立させた通信情報でない場合、該検出された通信情報に関する検出情報を送信する、
処理を実行させることを特徴とする通信情報検出プログラム。
(付記15)
コンピュータに、
中継装置間を接続する通信線によって伝送される通信情報が順次検出され、検出された該通信情報が、該通信情報に用いられる通信プロトコルに基づいて正常にコネクションを確立させた通信情報でない場合に、該検出された通信情報に関する検出情報を収集し、
収集された前記検出情報を集約し、集約した該検出情報に含まれる前記通信情報が前記通信プロトコルに基づいて正常にコネクションを確立させた通信情報であるかを検証し、
前記判定の結果、前記集約した検出情報に含まれる前記通信情報が前記通信プロトコルに基づいて正常にコネクションを確立させた通信情報でない場合、該検出された通信情報のうち第1情報処理装置から第2情報処理装置へ送信される通信情報について、該第2情報処理装置が属するネットワークに属するいずれかの情報処理装置に、前記通信情報の送信元アドレスまでの経路情報を取得するように要求し、該いずれかの情報処理装置から該経路情報を取得し、
前記経路情報の結果が正常でない場合、または該経路情報により示される経路と前記第1情報処理装置から第2情報処理装置への送信経路とが異なる場合、前記通信情報の送信元アドレスが詐称であると判定する、
処理を実行させることを特徴とする送信元アドレス詐称判定プログラム。
(付記16)
通信情報検出装置は、
中継装置間を接続する通信線によって伝送される通信情報を順次検出し、
検出された前記通信情報が、該通信情報に用いられる通信プロトコルに基づいて正常にコネクションを確立させた通信情報であるかを判定し、
前記判定の結果、前記検出された通信情報が前記正常にコネクションを確立させた通信情報でない場合、該検出された通信情報に関する検出情報を送信し、
送信元アドレス詐称判定装置は、
前記通信情報検出装置から前記送信された検出情報を収集し、
収集された前記検出情報を集約し、集約した該検出情報に含まれる前記通信情報が前記通信プロトコルに基づいて正常にコネクションを確立させた通信情報であるかを検証し、
前記判定の結果、前記集約した検出情報に含まれる前記通信情報が前記通信プロトコルに基づいて正常にコネクションを確立させた通信情報でない場合、該検出された通信情報のうち第1情報処理装置から第2情報処理装置へ送信される通信情報について、該第2情報処理装置が属するネットワークに属するいずれかの情報処理装置に、前記通信情報の送信元アドレスまでの経路情報を取得するように要求し、該いずれかの情報処理装置から該経路情報を取得し、
前記経路情報の結果が正常でない場合、または該経路情報により示される経路と前記第1情報処理装置から第2情報処理装置への送信経路とが異なる場合、前記通信情報の送信元アドレスが詐称であると判定する
ことを特徴とする送信元アドレス詐称判定方法。
Regarding the above embodiment, the following additional notes are disclosed.
(Appendix 1)
A detection unit that sequentially detects communication information transmitted by a communication line connecting between relay devices;
A communication information determination unit that determines whether the detected communication information is communication information that has normally established a connection based on a communication protocol used for the communication information;
As a result of the determination, if the detected communication information is not communication information that has normally established a connection, a transmission unit that transmits detection information related to the detected communication information;
A communication information detection device comprising:
A collection unit for collecting the transmitted detection information from the communication information detection device;
A verification unit that aggregates the collected detection information and verifies whether the communication information included in the aggregated detection information is communication information that has normally established a connection based on the communication protocol;
As a result of the determination, if the communication information included in the aggregated detection information is not communication information that has normally established a connection based on the communication protocol, the first information processing apparatus determines the first communication information from the first information processing apparatus. 2 For communication information transmitted to the information processing device, request any one of the information processing devices belonging to the network to which the second information processing device belongs to obtain route information to the transmission source address of the communication information, A route information acquisition unit that acquires the route information from any one of the information processing devices;
When the result of the route information is not normal, or when the route indicated by the route information is different from the transmission route from the first information processing device to the second information processing device, the transmission source address of the communication information is false. A misrepresentation determination unit that determines that there is,
A source address spoofing determination device comprising:
A sender address spoofing determination system characterized by comprising:
(Appendix 2)
The communication information is information to which a transmission control protocol (TCP) header is added,
The communication information determination unit detects the communication information in which the TCP flag included in the TCP header is SYN in accordance with a 3-way handshake, and the TCP flag is set to SYN-ACK within a threshold time for the detected communication information. The transmission source address spoofing determination system according to claim 1, wherein the communication information and the communication information whose TCP flag is ACK are sequentially detected.
(Appendix 3)
The verification unit aggregates the collected detection information based on a transmission source address, a transmission destination address, and the TCP flag, and the communication information included in the aggregated detection information according to a 3-way handshake After detecting the communication information whose TCP flag is SYN included in, it is determined whether the communication information whose TCP flag is SYN-ACK and the communication information whose TCP flag is ACK are detected in order within a threshold time The sender address spoofing determination system according to appendix 2, characterized in that:
(Appendix 4)
The spoof determination unit transmits, when the result of the route information is not normal, or one of the addresses of the relay device included in the route information from the first information processing device to the second information processing device. The transmission source address spoofing determination system according to appendix 1, wherein when the communication information is not included in the address space of the communication information detection device, the transmission source address of the communication information is determined to be spoofing.
(Appendix 5)
The communication line is a logically one communication line formed from a set of a plurality of physical lines;
The communication information detection device is disposed on each of the physical lines,
The transmission unit of the second communication information detection device other than the first communication information detection device among the communication information detection devices arranged on the physical line forming the same communication line is detected. Transmitting detection information relating to communication information to the first communication information detecting device;
The communication information determination unit of the first communication information detection device is detected by the communication information indicated by the detection information transmitted from the second communication information detection device and the detection unit of the first communication information detection device. Determining whether the communication information is communication information that has successfully established a connection based on a communication protocol used for the communication information;
The transmission unit of the first communication information detection device transmits detection information related to the communication information when the communication information is not communication information that has normally established a connection as a result of the determination. The sender address spoofing determination system according to attachment 1.
(Appendix 6)
The sender spoof determination device further includes:
A registration unit for registering information about addresses on the network for the relay device, the communication line, and the information processing device that acquires the route information;
Based on the registered information, a connection relationship between the relay device, the communication line, and the information processing device that acquires the route information is generated, and information processing that acquires the relay device, the communication line, and the route information is performed. An image generation unit that generates a network configuration image in which symbols corresponding to devices are arranged based on the connection relationship;
Based on the source address determined to be spoofing, an addition unit that adds source address spoofing information indicating that the source address of the communication information is spoofing to the network configuration image;
A display control unit for displaying a network configuration image to which the source address spoofing information is added;
The transmission source address spoofing determination system according to appendix 1, characterized by comprising:
(Appendix 7)
A detection unit that sequentially detects communication information transmitted by a communication line connecting between relay devices;
A communication information determination unit that determines whether the detected communication information is communication information that has normally established a connection based on a communication protocol used for the communication information;
As a result of the determination, if the detected communication information is not communication information that has normally established a connection, a transmission unit that transmits detection information related to the detected communication information;
A communication information detection apparatus comprising:
(Appendix 8)
The communication information is information to which a transmission control protocol (TCP) header is added,
The communication information determination unit detects the communication information in which the TCP flag included in the TCP header is SYN in accordance with a 3-way handshake, and the TCP flag is set to SYN-ACK within a threshold time for the detected communication information. The communication information detection apparatus according to appendix 7, wherein the communication information and the communication information whose TCP flag is ACK are sequentially detected.
(Appendix 9)
When communication information transmitted through a communication line connecting between relay devices is sequentially detected, and the detected communication information is not communication information that has normally established a connection based on a communication protocol used for the communication information. A collection unit for collecting detection information related to the detected communication information;
A verification unit that aggregates the collected detection information and verifies whether the communication information included in the aggregated detection information is communication information that has normally established a connection based on the communication protocol;
As a result of the determination, if the communication information included in the aggregated detection information is not communication information that has normally established a connection based on the communication protocol, the first information processing apparatus determines the first communication information from the first information processing apparatus. 2 For communication information transmitted to the information processing device, request any one of the information processing devices belonging to the network to which the second information processing device belongs to obtain route information to the transmission source address of the communication information, A route information acquisition unit that acquires the route information from any one of the information processing devices;
When the result of the route information is not normal, or when the route indicated by the route information is different from the transmission route from the first information processing device to the second information processing device, the transmission source address of the communication information is false. A misrepresentation determination unit that determines that there is,
A source address spoofing determination device comprising:
(Appendix 10)
The verification unit aggregates the collected detection information based on a transmission source address, a transmission destination address, and the TCP flag, and the communication information included in the aggregated detection information according to a 3-way handshake After detecting the communication information whose TCP flag is SYN included in, it is determined whether the communication information whose TCP flag is SYN-ACK and the communication information whose TCP flag is ACK are detected in order within a threshold time The transmission source address misrecognition determining device according to appendix 9, wherein:
(Appendix 11)
The spoof determination unit transmits, when the result of the route information is not normal, or one of the addresses of the relay device included in the route information from the first information processing device to the second information processing device. The transmission source address spoofing determination device according to appendix 9, characterized in that if the communication information is not included in the address space of the communication information detection device, the transmission source address of the communication information is determined to be spoofing.
(Appendix 12)
The communication line is a logically one communication line formed from a set of a plurality of physical lines;
The communication information detection device is disposed on each of the physical lines,
The transmission unit of the second communication information detection device other than the first communication information detection device among the communication information detection devices arranged on the physical line forming the same communication line is detected. Transmitting detection information relating to communication information to the first communication information detecting device;
The communication information determination unit of the first communication information detection device is detected by the communication information indicated by the detection information transmitted from the second communication information detection device and the detection unit of the first communication information detection device. Determining whether the communication information is communication information that has successfully established a connection based on a communication protocol used for the communication information;
The transmission unit of the first communication information detection device transmits detection information related to the communication information when the communication information is not communication information that has normally established a connection as a result of the determination. The transmission source address spoofing determination device according to attachment 9.
(Appendix 13)
The sender spoof determination device further includes:
A registration unit for registering information about addresses on the network for the relay device, the communication line, and the information processing device that acquires the route information;
Based on the registered information, a connection relationship between the relay device, the communication line, and the information processing device that acquires the route information is generated, and information processing that acquires the relay device, the communication line, and the route information is performed. An image generation unit that generates a network configuration image in which symbols corresponding to devices are arranged based on the connection relationship;
Based on the source address determined to be spoofing, an addition unit that adds source address spoofing information indicating that the source address of the communication information is spoofing to the network configuration image;
A display control unit for displaying a network configuration image to which the source address spoofing information is added;
The transmission source address misrecognition judging device according to appendix 9, characterized by comprising:
(Appendix 14)
On the computer,
Sequentially detects communication information transmitted by communication lines connecting between relay devices,
Determining whether the detected communication information is communication information that has successfully established a connection based on a communication protocol used for the communication information;
As a result of the determination, if the detected communication information is not the communication information that has normally established a connection, the detection information related to the detected communication information is transmitted.
A communication information detection program for executing a process.
(Appendix 15)
On the computer,
When communication information transmitted through a communication line connecting between relay devices is sequentially detected, and the detected communication information is not communication information that has normally established a connection based on a communication protocol used for the communication information. Collecting detection information about the detected communication information;
Aggregating the collected detection information, verifying that the communication information included in the aggregated detection information is communication information that has successfully established a connection based on the communication protocol,
As a result of the determination, if the communication information included in the aggregated detection information is not communication information that has normally established a connection based on the communication protocol, the first information processing apparatus determines the first communication information from the first information processing apparatus. 2 For communication information transmitted to the information processing device, request any one of the information processing devices belonging to the network to which the second information processing device belongs to obtain route information to the transmission source address of the communication information, Obtaining the route information from one of the information processing devices,
When the result of the route information is not normal, or when the route indicated by the route information is different from the transmission route from the first information processing device to the second information processing device, the transmission source address of the communication information is false. Judge that there is,
A source address spoofing determination program characterized by causing a process to be executed.
(Appendix 16)
The communication information detection device
Sequentially detects communication information transmitted by communication lines connecting between relay devices,
Determining whether the detected communication information is communication information that has successfully established a connection based on a communication protocol used for the communication information;
As a result of the determination, if the detected communication information is not communication information that has normally established a connection, detection information related to the detected communication information is transmitted,
The source address spoofing judgment device
Collecting the transmitted detection information from the communication information detection device;
Aggregating the collected detection information, verifying that the communication information included in the aggregated detection information is communication information that has successfully established a connection based on the communication protocol,
As a result of the determination, if the communication information included in the aggregated detection information is not communication information that has normally established a connection based on the communication protocol, the first information processing apparatus determines the first communication information from the first information processing apparatus. 2 For communication information transmitted to the information processing device, request any one of the information processing devices belonging to the network to which the second information processing device belongs to obtain route information to the transmission source address of the communication information, Obtaining the route information from one of the information processing devices,
When the result of the route information is not normal, or when the route indicated by the route information is different from the transmission route from the first information processing device to the second information processing device, the transmission source address of the communication information is false. A source address spoofing determination method characterized by determining that there is a source address.

200 送信元アドレス詐称判定システム
1 通信情報検出装置
1a 検出部
1b 通信情報判定部
1c 送信部
2 送信元アドレス詐称判定装置
2a 収集部
2b 検証部
2c 経路情報取得部
2d 詐称判定部
2e 登録部
2f 画像生成部
2g 付加部
2h 表示制御部
3 第1情報処理装置
4 第2情報処理装置
6 情報処理装置
7 通信線
8 ネットワーク
9 中継装置
11 ネットワーク
12 パケット検出装置(PD)
13 末端ネットワーク装置(TND)
14 管理サーバ
15 ルータ(L3SW)
16 L2SW
17 攻撃者端末
200 transmission source address spoofing determination system 1 communication information detection device 1a detection unit 1b communication information determination unit 1c transmission unit 2 transmission source address spoofing determination device 2a collection unit 2b verification unit 2c path information acquisition unit 2d fraud determination unit 2e registration unit 2f image Generation unit 2g Addition unit 2h Display control unit 3 First information processing device 4 Second information processing device 6 Information processing device 7 Communication line 8 Network 9 Relay device 11 Network 12 Packet detection device (PD)
13 Terminal network equipment (TND)
14 Management server 15 Router (L3SW)
16 L2SW
17 Attacker terminal

Claims (8)

中継装置間を接続する通信線によって伝送される通信情報を順次検出する検出部と、
検出された前記通信情報が、該通信情報に用いられる通信プロトコルに基づいて正常にコネクションを確立させた通信情報であるかを判定する通信情報判定部と、
前記判定の結果、前記検出された通信情報が前記正常にコネクションを確立させた通信情報でない場合、該検出された通信情報に関する検出情報を送信する送信部と、
を備える、通信情報検出装置と、
前記通信情報検出装置から前記送信された検出情報を収集する収集部と、
収集された前記検出情報を集約し、集約した該検出情報に含まれる前記通信情報が前記通信プロトコルに基づいて正常にコネクションを確立させた通信情報であるかを検証する検証部と、
前記判定の結果、前記集約した検出情報に含まれる前記通信情報が前記通信プロトコルに基づいて正常にコネクションを確立させた通信情報でない場合、該検出された通信情報のうち第1情報処理装置から第2情報処理装置へ送信される通信情報について、該第2情報処理装置が属するネットワークに属するいずれかの情報処理装置に、前記通信情報の送信元アドレスまでの経路情報を取得するように要求し、該いずれかの情報処理装置から該経路情報を取得する経路情報取得部と、
前記経路情報の結果が正常でない場合、または該経路情報により示される経路と前記第1情報処理装置から第2情報処理装置への送信経路とが異なる場合、前記通信情報の送信元アドレスが詐称であると判定する詐称判定部と、
を備える送信元アドレス詐称判定装置と、
を備え
前記通信線が、複数の物理線の集合から形成された論理的に1つの通信線であり、
前記通信情報検出装置は、前記物理線のそれぞれに配置され、
同一の前記通信線を形成する前記物理線に配置された前記通信情報検出装置のうちの第1の通信情報検出装置以外の前記第2の通信情報検出装置の前記送信部は、前記検出された通信情報に関する検出情報を、前記第1の通信情報検出装置へ送信し、
前記第1の通信情報検出装置の前記通信情報判定部は、前記第2の通信情報検出装置から送信された検出情報の示す通信情報及び前記第1の通信情報検出装置の検出部により検出された該通信情報が、該通信情報に用いられる通信プロトコルに基づいて正常にコネクションを確立させた通信情報であるかを判定し、
前記第1の通信情報検出装置の前記送信部は、前記判定の結果、前記通信情報が前記正常にコネクションを確立させた通信情報でない場合、該通信情報に関する検出情報を送信する
ことを特徴とする送信元アドレス詐称判定システム。
A detection unit that sequentially detects communication information transmitted by a communication line connecting between relay devices;
A communication information determination unit that determines whether the detected communication information is communication information that has normally established a connection based on a communication protocol used for the communication information;
As a result of the determination, if the detected communication information is not communication information that has normally established a connection, a transmission unit that transmits detection information related to the detected communication information;
A communication information detection device comprising:
A collection unit for collecting the transmitted detection information from the communication information detection device;
A verification unit that aggregates the collected detection information and verifies whether the communication information included in the aggregated detection information is communication information that has normally established a connection based on the communication protocol;
As a result of the determination, if the communication information included in the aggregated detection information is not communication information that has normally established a connection based on the communication protocol, the first information processing apparatus determines the first communication information from the first information processing apparatus. 2 For communication information transmitted to the information processing device, request any one of the information processing devices belonging to the network to which the second information processing device belongs to obtain route information to the transmission source address of the communication information, A route information acquisition unit that acquires the route information from any one of the information processing devices;
When the result of the route information is not normal, or when the route indicated by the route information is different from the transmission route from the first information processing device to the second information processing device, the transmission source address of the communication information is false. A misrepresentation determination unit that determines that there is,
A source address spoofing determination device comprising:
Equipped with a,
The communication line is a logically one communication line formed from a set of a plurality of physical lines;
The communication information detection device is disposed on each of the physical lines,
The transmission unit of the second communication information detection device other than the first communication information detection device among the communication information detection devices arranged on the physical line forming the same communication line is detected. Transmitting detection information relating to communication information to the first communication information detecting device;
The communication information determination unit of the first communication information detection device is detected by the communication information indicated by the detection information transmitted from the second communication information detection device and the detection unit of the first communication information detection device. Determining whether the communication information is communication information that has successfully established a connection based on a communication protocol used for the communication information;
The transmission unit of the first communication information detection device transmits detection information related to the communication information when the communication information is not the communication information that has normally established the connection as a result of the determination.
A source address spoofing determination system characterized by the above.
前記通信情報は、トランスミッション・コントロール・プロトコル(TCP)ヘッダが付加された情報であり、
前記通信情報判定部は、前記検出された通信情報について、3ウェイハンドシェークに従って、前記TCPヘッダに含まれるTCPフラグがSYNである通信情報を検出後に、閾値時間内に、前記TCPフラグがSYN-ACKである前記通信情報及び前記TCPフラグがACKである前記通信情報を順に検出したかを判定する
ことを特徴とする請求項1に記載の送信元アドレス詐称判定システム。
The communication information is information to which a transmission control protocol (TCP) header is added,
The communication information determination unit detects the communication information in which the TCP flag included in the TCP header is SYN in accordance with a 3-way handshake, and the TCP flag is set to SYN-ACK within a threshold time for the detected communication information. 2. The transmission source address spoofing determination system according to claim 1, wherein the communication information and the communication information whose TCP flag is ACK are sequentially detected.
前記検証部は、送信元アドレス、送信先アドレス、前記TCPフラグに基づいて、前記収集された検出情報を集約し、該集約した検出情報に含まれる通信情報について、3ウェイハンドシェークに従って、前記TCPヘッダに含まれるTCPフラグがSYNである通信情報を検出後に、閾値時間内に、前記TCPフラグがSYN-ACKである前記通信情報及び前記TCPフラグがACKである前記通信情報を順に検出したかを判定する
ことを特徴とする請求項2に記載の送信元アドレス詐称判定システム。
The verification unit aggregates the collected detection information based on a transmission source address, a transmission destination address, and the TCP flag, and the communication information included in the aggregated detection information according to a 3-way handshake After detecting the communication information whose TCP flag is SYN included in, it is determined whether the communication information whose TCP flag is SYN-ACK and the communication information whose TCP flag is ACK are detected in order within a threshold time The transmission source address spoofing determination system according to claim 2, wherein:
前記詐称判定部は、前記経路情報の結果が正常でない場合、または該経路情報に含まれる前記中継装置のアドレスのうちのいずれかが前記第1情報処理装置から第2情報処理装置へ送信される通信情報を検出した前記通信情報検出装置のアドレス空間に含まれない場合、前記通信情報の送信元アドレスが詐称であると判定する
ことを特徴とする請求項1に記載の送信元アドレス詐称判定システム。
The spoof determination unit transmits, when the result of the route information is not normal, or one of the addresses of the relay device included in the route information from the first information processing device to the second information processing device. The transmission source address spoofing determination system according to claim 1 , wherein when the communication information is not included in an address space of the communication information detection device, the transmission source address of the communication information is determined to be spoofing. .
前記送信元詐称判定装置は、さらに、
前記中継装置、前記通信線、及び前記経路情報を取得する情報処理装置について、ネットワーク上のアドレスに関する情報を登録する登録部と、
前記登録した情報に基づいて、前記中継装置、前記通信線、及び前記経路情報を取得する情報処理装置の接続関係を生成し、前記中継装置、前記通信線、及び前記経路情報を取得する情報処理装置に対応するシンボルを該接続関係に基づいて配置したネットワーク構成画像を生成する画像生成部と、
前記詐称していると判定された前記送信元アドレスに基づいて、前記ネットワーク構成画像に、前記通信情報の送信元アドレスが詐称である旨を表す送信元アドレス詐称情報を付加する付加部と、
前記送信元アドレス詐称情報を付加したネットワーク構成画像を表示させる表示制御部と、
を備えることを特徴とする請求項1に記載の送信元アドレス詐称判定システム。
The sender spoof determination device further includes:
The relay device, the communication lines, and about the information processing equipment to obtain the route information, a registration unit for registering information about the address on the network,
Based on the registered information, a connection relationship between the relay device, the communication line, and the information processing device that acquires the route information is generated, and information processing that acquires the relay device, the communication line, and the route information is performed. An image generation unit that generates a network configuration image in which symbols corresponding to devices are arranged based on the connection relationship;
Based on the source address determined to be spoofing, an addition unit that adds source address spoofing information indicating that the source address of the communication information is spoofing to the network configuration image;
A display control unit for displaying a network configuration image to which the source address spoofing information is added;
The source address spoofing determination system according to claim 1, comprising:
中継装置間を接続する通信線によって伝送される通信情報を順次検出する検出部と、
検出された前記通信情報が、該通信情報に用いられる通信プロトコルに基づいて正常にコネクションを確立させた通信情報であるかを判定する通信情報判定部と、
前記判定の結果、前記検出された通信情報が前記正常にコネクションを確立させた通信情報でない場合、該検出された通信情報に関する検出情報を送信する送信部と、
を備える通信情報検出装置であって、
前記通信線が、複数の物理線の集合から形成された論理的に1つの通信線であり、
前記通信情報検出装置は、前記物理線のそれぞれに配置され、
同一の前記通信線を形成する前記物理線に配置された前記通信情報検出装置のうちの第1の通信情報検出装置以外の第2の通信情報検出装置の前記送信部は、前記検出された通信情報に関する検出情報を、前記第1の通信情報検出装置へ送信し、
前記第1の通信情報検出装置の前記通信情報判定部は、前記第2の通信情報検出装置から送信された検出情報の示す通信情報及び前記第1の通信情報検出装置の検出部により検出された該通信情報が、該通信情報に用いられる通信プロトコルに基づいて正常にコネクションを確立させた通信情報であるかを判定し、
前記第1の通信情報検出装置の前記送信部は、前記判定の結果、前記通信情報が前記正常にコネクションを確立させた通信情報でない場合、該通信情報に関する検出情報を送信する
ことを特徴とする通信情報検出装置
A detection unit that sequentially detects communication information transmitted by a communication line connecting between relay devices;
A communication information determination unit that determines whether the detected communication information is communication information that has normally established a connection based on a communication protocol used for the communication information;
As a result of the determination, if the detected communication information is not communication information that has normally established a connection, a transmission unit that transmits detection information related to the detected communication information;
A communication information detection apparatus Ru provided with,
The communication line is a logically one communication line formed from a set of a plurality of physical lines;
The communication information detection device is disposed on each of the physical lines,
The transmission unit of the second communication information detection device other than the first communication information detection device among the communication information detection devices arranged on the physical line forming the same communication line is configured to detect the detected communication. Sending detection information about the information to the first communication information detection device,
The communication information determination unit of the first communication information detection device is detected by the communication information indicated by the detection information transmitted from the second communication information detection device and the detection unit of the first communication information detection device. Determining whether the communication information is communication information that has successfully established a connection based on a communication protocol used for the communication information;
The transmission unit of the first communication information detection device transmits detection information related to the communication information when the communication information is not the communication information that has normally established the connection as a result of the determination.
A communication information detecting apparatus characterized by the above .
コンピュータに、
中継装置間を接続する通信線によって伝送される通信情報を順次検出し、
検出された前記通信情報が、該通信情報に用いられる通信プロトコルに基づいて正常にコネクションを確立させた通信情報であるかを判定し、
前記判定の結果、前記検出された通信情報が前記正常にコネクションを確立させた通信情報でない場合、該検出された通信情報に関する検出情報を送信する、
処理を実行させる通信情報検出プログラムであって、
前記通信線が、複数の物理線の集合から形成された論理的に1つの通信線であり、
前記コンピュータは、前記物理線のそれぞれに配置され、
同一の前記通信線を形成する前記物理線に配置された前記コンピュータのうちの第1のコンピュータ以外の第2のコンピュータは、前記検出された通信情報に関する検出情報を、前記第1のコンピュータへ送信し、
前記第1のコンピュータは、前記第2のコンピュータから送信された検出情報の示す通信情報及び前記第1のコンピュータにより検出された該通信情報が、該通信情報に用いられる通信プロトコルに基づいて正常にコネクションを確立させた通信情報であるかを判定し、
前記第1のコンピュータは、前記判定の結果、前記通信情報が前記正常にコネクションを確立させた通信情報でない場合、該通信情報に関する検出情報を送信する
ことを特徴とする信情報検出プログラム。
On the computer,
Sequentially detects communication information transmitted by communication lines connecting between relay devices,
Determining whether the detected communication information is communication information that has successfully established a connection based on a communication protocol used for the communication information;
As a result of the determination, if the detected communication information is not the communication information that has normally established a connection, the detection information related to the detected communication information is transmitted.
A communication information detection program Ru to execute the process,
The communication line is a logically one communication line formed from a set of a plurality of physical lines;
The computer is disposed on each of the physical lines,
A second computer other than the first computer among the computers arranged on the physical line forming the same communication line transmits detection information related to the detected communication information to the first computer. And
The first computer is configured so that the communication information indicated by the detection information transmitted from the second computer and the communication information detected by the first computer are correctly based on a communication protocol used for the communication information. Determine whether it is communication information that established the connection,
The first computer, the result of judgment, the case where the communication information is not the communication information normally to establish a connection, communication information detection program and transmits the detected information relating to the communication information.
通信情報検出装置は、
中継装置間を接続する通信線によって伝送される通信情報を順次検出し、
検出された前記通信情報が、該通信情報に用いられる通信プロトコルに基づいて正常にコネクションを確立させた通信情報であるかを判定し、
前記判定の結果、前記検出された通信情報が前記正常にコネクションを確立させた通信情報でない場合、該検出された通信情報に関する検出情報を送信し、
送信元アドレス詐称判定装置は、
前記通信情報検出装置から前記送信された検出情報を収集し、
収集された前記検出情報を集約し、集約した該検出情報に含まれる前記通信情報が前記通信プロトコルに基づいて正常にコネクションを確立させた通信情報であるかを検証し、
前記判定の結果、前記集約した検出情報に含まれる前記通信情報が前記通信プロトコルに基づいて正常にコネクションを確立させた通信情報でない場合、該検出された通信情報のうち第1情報処理装置から第2情報処理装置へ送信される通信情報について、該第2情報処理装置が属するネットワークに属するいずれかの情報処理装置に、前記通信情報の送信元アドレスまでの経路情報を取得するように要求し、該いずれかの情報処理装置から該経路情報を取得し、
前記経路情報の結果が正常でない場合、または該経路情報により示される経路と前記第1情報処理装置から第2情報処理装置への送信経路とが異なる場合、前記通信情報の送信元アドレスが詐称であると判定する
信元アドレス詐称判定方法であって、
前記通信線が、複数の物理線の集合から形成された論理的に1つの通信線であり、
前記通信情報検出装置は、前記物理線のそれぞれに配置され、
同一の前記通信線を形成する前記物理線に配置された前記通信情報検出装置のうちの第1の通信情報検出装置以外の第2の通信情報検出装置は、前記検出された通信情報に関する検出情報を、前記第1の通信情報検出装置へ送信し、
前記第1の通信情報検出装置は、前記第2の通信情報検出装置から送信された検出情報の示す通信情報及び前記第1の通信情報検出装置により検出された該通信情報が、該通信情報に用いられる通信プロトコルに基づいて正常にコネクションを確立させた通信情報であるかを判定し、
前記第1の通信情報検出装置は、前記判定の結果、前記通信情報が前記正常にコネクションを確立させた通信情報でない場合、該通信情報に関する検出情報を送信する
ことを特徴とする送信元アドレス詐称判定方法
The communication information detection device
Sequentially detects communication information transmitted by communication lines connecting between relay devices,
Determining whether the detected communication information is communication information that has successfully established a connection based on a communication protocol used for the communication information;
As a result of the determination, if the detected communication information is not communication information that has normally established a connection, detection information related to the detected communication information is transmitted,
The source address spoofing judgment device
Collecting the transmitted detection information from the communication information detection device;
Aggregating the collected detection information, verifying that the communication information included in the aggregated detection information is communication information that has successfully established a connection based on the communication protocol,
As a result of the determination, if the communication information included in the aggregated detection information is not communication information that has normally established a connection based on the communication protocol, the first information processing apparatus determines the first communication information from the first information processing apparatus. 2 For communication information transmitted to the information processing device, request any one of the information processing devices belonging to the network to which the second information processing device belongs to obtain route information to the transmission source address of the communication information, Obtaining the route information from one of the information processing devices,
When the result of the route information is not normal, or when the route indicated by the route information is different from the transmission route from the first information processing device to the second information processing device, the transmission source address of the communication information is false. Judge that there is
A source address spoofing determination method,
The communication line is a logically one communication line formed from a set of a plurality of physical lines;
The communication information detection device is disposed on each of the physical lines,
The second communication information detection device other than the first communication information detection device among the communication information detection devices arranged on the physical line forming the same communication line is detection information related to the detected communication information. Is transmitted to the first communication information detecting device,
The first communication information detection device includes the communication information indicated by the detection information transmitted from the second communication information detection device and the communication information detected by the first communication information detection device in the communication information. Determine whether the communication information has successfully established a connection based on the communication protocol used,
The first communication information detection device transmits detection information related to the communication information when the communication information is not the communication information that has normally established the connection as a result of the determination.
A sender address spoofing determination method characterized by the above .
JP2012062625A 2012-03-19 2012-03-19 Source address spoofing judgment system Expired - Fee Related JP5874470B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012062625A JP5874470B2 (en) 2012-03-19 2012-03-19 Source address spoofing judgment system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012062625A JP5874470B2 (en) 2012-03-19 2012-03-19 Source address spoofing judgment system

Publications (2)

Publication Number Publication Date
JP2013197864A JP2013197864A (en) 2013-09-30
JP5874470B2 true JP5874470B2 (en) 2016-03-02

Family

ID=49396297

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012062625A Expired - Fee Related JP5874470B2 (en) 2012-03-19 2012-03-19 Source address spoofing judgment system

Country Status (1)

Country Link
JP (1) JP5874470B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7164016B2 (en) * 2019-03-28 2022-11-01 日本電気株式会社 Analysis system, method and program

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004134855A (en) * 2002-10-08 2004-04-30 Nippon Telegraph & Telephone East Corp Sender authentication method in packet communication network
JP2004164107A (en) * 2002-11-11 2004-06-10 Kddi Corp Unauthorized access monitoring system
JP4856111B2 (en) * 2008-03-03 2012-01-18 株式会社Kddi研究所 COMMUNICATION DEVICE, PROGRAM, AND RECORDING MEDIUM

Also Published As

Publication number Publication date
JP2013197864A (en) 2013-09-30

Similar Documents

Publication Publication Date Title
KR102183897B1 (en) An apparatus for anomaly detecting of network based on artificial intelligent and method thereof, and system
US7936743B2 (en) Method and system for determining a path between two points of an IP network over which datagrams are transmitted
JP4769609B2 (en) Switch device
Ballani et al. A study of prefix hijacking and interception in the Internet
EP2201738B1 (en) Router detection
US7440406B2 (en) Apparatus for displaying network status
JP4148526B2 (en) Apparatus and method for detecting a network address translation device.
US9571366B2 (en) Method and apparatus for detecting and localizing an anomaly for a network
CN110166480A (en) A kind of analysis method and device of data packet
CN103840976B (en) Communication means, light device and the network equipment
TW522683B (en) Method for measuring internet router traffic
US9961163B2 (en) Method and system for notifying subscriber devices in ISP networks
JP5874470B2 (en) Source address spoofing judgment system
US9083586B2 (en) Verifying availability and reachability through a network device
JP4484190B2 (en) Router search system, router search method, and router search program
Wong et al. An efficient distributed algorithm to identify and traceback ddos traffic
JP2010183214A (en) Apparatus, method and program for analysis of packet
JP3725146B2 (en) Communication network management apparatus and communication network communication confirmation test method
JP4167866B2 (en) Data transmission method, data transmission system, and data transmission apparatus
JP2002318735A (en) Method for monitoring abnormality in communication terminal of specified class on network, network managing system and network managing program
CN111669376B (en) Method and device for identifying safety risk of intranet
WO2024116666A1 (en) Detection system, detection method, and program
JP5613193B2 (en) Polling test apparatus and polling test method
JP7376288B2 (en) Specific device and method
JP5135292B2 (en) IP telephone exchange and IP telephone system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20141204

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150918

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150929

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151127

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20151222

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160104

R150 Certificate of patent or registration of utility model

Ref document number: 5874470

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees