JP6213292B2 - 情報処理装置及び情報処理プログラム - Google Patents
情報処理装置及び情報処理プログラム Download PDFInfo
- Publication number
- JP6213292B2 JP6213292B2 JP2014027543A JP2014027543A JP6213292B2 JP 6213292 B2 JP6213292 B2 JP 6213292B2 JP 2014027543 A JP2014027543 A JP 2014027543A JP 2014027543 A JP2014027543 A JP 2014027543A JP 6213292 B2 JP6213292 B2 JP 6213292B2
- Authority
- JP
- Japan
- Prior art keywords
- address
- attacked
- information processing
- processing apparatus
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000010365 information processing Effects 0.000 title claims description 42
- 238000004891 communication Methods 0.000 claims description 77
- 238000001514 detection method Methods 0.000 claims description 32
- 230000005540 biological transmission Effects 0.000 claims description 24
- 238000012508 change request Methods 0.000 claims description 5
- 230000002093 peripheral effect Effects 0.000 claims description 5
- 230000000873 masking effect Effects 0.000 claims 2
- 230000008859 change Effects 0.000 description 38
- 238000000034 method Methods 0.000 description 22
- 230000008569 process Effects 0.000 description 15
- 238000010586 diagram Methods 0.000 description 11
- 238000004590 computer program Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000001502 supplementing effect Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、情報処理装置及び情報処理プログラムに関する。
特許文献1には、攻撃対象IPアドレスのリース更新通信を行い、IPアドレスがDHCPサーバへ返却されるのを防ぎつつ、別のIPアドレスを通信に用いることにより、ネットワーク攻撃を他の通信端末に引き継いでしまうという問題を回避することができ、ホームネットワーク全体として攻撃を防御することができる通信端末を提供することを課題とし、通信端末は、検出手段がDoS攻撃を検出すると、MACアドレス変更手段は自装置に割り当てられたMACアドレスを変更し、IPアドレス取得手段は変更されたMACアドレスに対応した新たなIPアドレスをDHCPサーバから取得し、新たなIPアドレスを基に外部ネットワークを介して通信すると共に、IPアドレス更新手段が攻撃対象IPアドレスの定期的な更新処理を継続することで、DHCPサーバにIPアドレスが返却されないようにし、ホームネットワーク内の他の端末に攻撃先が切り替ることを防ぐことが開示されている。
特許文献2には、DoS攻撃やバッファオーバーフロー攻撃などの攻撃は、IPアドレス、ポート番号を公開しているサーバに対して、特に顕著であり、また、フィルタで不正アクセスを止める手段は、セキュリティ対策として有効な手段の1つではあるが、フィルタのみの対策ではなく幾重にもセキュリティ対策を施しておくことが、不正アクセスに対して重要であることを課題とし、IPアドレス、ポート番号を公開しているサーバで不審なパケットを検知した場合、サーバのIPアドレスを変更するとともに、不審なパケットを送信したユーザの送信元IPアドレスをDDNSサーバへ通知し、DDNSサーバは、該IPアドレスを攻撃者のIPアドレスとして登録し、DDNSサーバでは、1つのドメイン名に対し真のIPアドレスと偽のIPアドレスを保持しており、攻撃者から問い合わせがあった場合には偽のIPアドレスを教えることが開示されている。
本発明は、通信回線を介して行われる攻撃であってアドレスを指定した継続的な攻撃を防ぐようにした情報処理装置及び情報処理プログラムを提供することを目的としている。
かかる目的を達成するための本発明の要旨とするところは、次の各項の発明に存する。
請求項1の発明は、通信回線を介しての攻撃を検知する検知手段と、前記検知手段によって攻撃が検知された場合は、自情報処理装置のアドレスを現在の被攻撃アドレスとは異なるアドレスに変更する変更手段と、前記被攻撃アドレスを記憶手段に記憶させるように制御する記憶制御手段と、同じ通信回線に接続されている第2の情報処理装置からアドレス変更の要求を受け取った場合、該要求しているアドレスが自情報処理装置のアドレス又は前記記憶手段に記憶されている被攻撃アドレスと合致するか否かを判断する判断手段と、前記判断手段によって合致すると判断された場合は、近隣広告を前記第2の情報処理装置に送信する送信手段を具備し、前記記憶制御手段は、前記被攻撃アドレスの周辺アドレスを含めるようにマスクをかけて前記記憶手段に記憶させ、前記判断手段は、前記要求しているアドレスに前記マスクをかけて、前記記憶手段に記憶されているアドレスと合致するか否かを判断する、ことを特徴とする情報処理装置である。
請求項1の発明は、通信回線を介しての攻撃を検知する検知手段と、前記検知手段によって攻撃が検知された場合は、自情報処理装置のアドレスを現在の被攻撃アドレスとは異なるアドレスに変更する変更手段と、前記被攻撃アドレスを記憶手段に記憶させるように制御する記憶制御手段と、同じ通信回線に接続されている第2の情報処理装置からアドレス変更の要求を受け取った場合、該要求しているアドレスが自情報処理装置のアドレス又は前記記憶手段に記憶されている被攻撃アドレスと合致するか否かを判断する判断手段と、前記判断手段によって合致すると判断された場合は、近隣広告を前記第2の情報処理装置に送信する送信手段を具備し、前記記憶制御手段は、前記被攻撃アドレスの周辺アドレスを含めるようにマスクをかけて前記記憶手段に記憶させ、前記判断手段は、前記要求しているアドレスに前記マスクをかけて、前記記憶手段に記憶されているアドレスと合致するか否かを判断する、ことを特徴とする情報処理装置である。
請求項2の発明は、前記送信手段は、前記近隣広告に前記被攻撃アドレスの範囲を付加して、前記第2の情報処理装置に送信することを特徴とする請求項1に記載の情報処理装置である。
請求項3の発明は、前記被攻撃アドレスを、同じ通信回線に接続されている第2の情報処理装置に送信する第2の送信手段を具備することを特徴とする請求項1又は2に記載の情報処理装置である。
請求項4の発明は、コンピュータを、通信回線を介しての攻撃を検知する検知手段と、前記検知手段によって攻撃が検知された場合は、自情報処理装置のアドレスを現在の被攻撃アドレスとは異なるアドレスに変更する変更手段と、前記被攻撃アドレスを記憶手段に記憶させるように制御する記憶制御手段と、同じ通信回線に接続されている第2の情報処理装置からアドレス変更の要求を受け取った場合、該要求しているアドレスが自情報処理装置のアドレス又は前記記憶手段に記憶されている被攻撃アドレスと合致するか否かを判断する判断手段と、前記判断手段によって合致すると判断された場合は、近隣広告を前記第2の情報処理装置に送信する送信手段として機能させ、前記記憶制御手段は、前記被攻撃アドレスの周辺アドレスを含めるようにマスクをかけて前記記憶手段に記憶させ、前記判断手段は、前記要求しているアドレスに前記マスクをかけて、前記記憶手段に記憶されているアドレスと合致するか否かを判断する、ことを特徴とする情報処理プログラムである。
請求項1の情報処理装置によれば、通信回線を介して行われる攻撃であってアドレスを指定した継続的な攻撃を防ぐことができる。また、被攻撃アドレスが他の情報処理装置で使用されてしまうことを防ぐことができる。そして、被攻撃アドレスの近傍のアドレスに対する攻撃を防ぐことができる。
請求項2の情報処理装置によれば、被攻撃アドレスの近傍のアドレスが要求されてしまうことを防ぐことができる。
請求項3の情報処理装置によれば、被攻撃アドレスをアドレスの要求に含めさせないようにすることができる。
請求項4の情報処理プログラムによれば、通信回線を介して行われる攻撃であってアドレスを指定した継続的な攻撃を防ぐことができる。また、被攻撃アドレスが他の情報処理装置で使用されてしまうことを防ぐことができる。そして、被攻撃アドレスの近傍のアドレスに対する攻撃を防ぐことができる。
以下、図面に基づき本発明を実現するにあたっての好適な各種の実施の形態の例を説明する。
<第1の実施の形態>
図1は、第1の実施の形態の構成例についての概念的なモジュール構成図を示している。
なお、モジュールとは、一般的に論理的に分離可能なソフトウェア(コンピュータ・プログラム)、ハードウェア等の部品を指す。したがって、本実施の形態におけるモジュールはコンピュータ・プログラムにおけるモジュールのことだけでなく、ハードウェア構成におけるモジュールも指す。それゆえ、本実施の形態は、それらのモジュールとして機能させるためのコンピュータ・プログラム(コンピュータにそれぞれの手順を実行させるためのプログラム、コンピュータをそれぞれの手段として機能させるためのプログラム、コンピュータにそれぞれの機能を実現させるためのプログラム)、システム及び方法の説明をも兼ねている。ただし、説明の都合上、「記憶する」、「記憶させる」、これらと同等の文言を用いるが、これらの文言は、実施の形態がコンピュータ・プログラムの場合は、記憶装置に記憶させる、又は記憶装置に記憶させるように制御するの意である。また、モジュールは機能に一対一に対応していてもよいが、実装においては、1モジュールを1プログラムで構成してもよいし、複数モジュールを1プログラムで構成してもよく、逆に1モジュールを複数プログラムで構成してもよい。また、複数モジュールは1コンピュータによって実行されてもよいし、分散又は並列環境におけるコンピュータによって1モジュールが複数コンピュータで実行されてもよい。なお、1つのモジュールに他のモジュールが含まれていてもよい。また、以下、「接続」とは物理的な接続の他、論理的な接続(データの授受、指示、データ間の参照関係等)の場合にも用いる。「予め定められた」とは、対象としている処理の前に定まっていることをいい、本実施の形態による処理が始まる前はもちろんのこと、本実施の形態による処理が始まった後であっても、対象としている処理の前であれば、そのときの状況・状態に応じて、又はそれまでの状況・状態に応じて定まることの意を含めて用いる。「予め定められた値」が複数ある場合は、それぞれ異なった値であってもよいし、2以上の値(もちろんのことながら、全ての値も含む)が同じであってもよい。また、「Aである場合、Bをする」という意味を有する記載は、「Aであるか否かを判断し、Aであると判断した場合はBをする」の意味で用いる。ただし、Aであるか否かの判断が不要である場合を除く。
また、システム又は装置とは、複数のコンピュータ、ハードウェア、装置等がネットワーク(一対一対応の通信接続を含む)等の通信手段で接続されて構成されるほか、1つのコンピュータ、ハードウェア、装置等によって実現される場合も含まれる。「装置」と「システム」とは、互いに同義の用語として用いる。もちろんのことながら、「システム」には、人為的な取り決めである社会的な「仕組み」(社会システム)にすぎないものは含まない。
また、各モジュールによる処理毎に又はモジュール内で複数の処理を行う場合はその処理毎に、対象となる情報を記憶装置から読み込み、その処理を行った後に、処理結果を記憶装置に書き出すものである。したがって、処理前の記憶装置からの読み込み、処理後の記憶装置への書き出しについては、説明を省略する場合がある。なお、ここでの記憶装置としては、ハードディスク、RAM(Random Access Memory)、外部記憶媒体、通信回線を介した記憶装置、CPU(Central Processing Unit)内のレジスタ等を含んでいてもよい。
<第1の実施の形態>
図1は、第1の実施の形態の構成例についての概念的なモジュール構成図を示している。
なお、モジュールとは、一般的に論理的に分離可能なソフトウェア(コンピュータ・プログラム)、ハードウェア等の部品を指す。したがって、本実施の形態におけるモジュールはコンピュータ・プログラムにおけるモジュールのことだけでなく、ハードウェア構成におけるモジュールも指す。それゆえ、本実施の形態は、それらのモジュールとして機能させるためのコンピュータ・プログラム(コンピュータにそれぞれの手順を実行させるためのプログラム、コンピュータをそれぞれの手段として機能させるためのプログラム、コンピュータにそれぞれの機能を実現させるためのプログラム)、システム及び方法の説明をも兼ねている。ただし、説明の都合上、「記憶する」、「記憶させる」、これらと同等の文言を用いるが、これらの文言は、実施の形態がコンピュータ・プログラムの場合は、記憶装置に記憶させる、又は記憶装置に記憶させるように制御するの意である。また、モジュールは機能に一対一に対応していてもよいが、実装においては、1モジュールを1プログラムで構成してもよいし、複数モジュールを1プログラムで構成してもよく、逆に1モジュールを複数プログラムで構成してもよい。また、複数モジュールは1コンピュータによって実行されてもよいし、分散又は並列環境におけるコンピュータによって1モジュールが複数コンピュータで実行されてもよい。なお、1つのモジュールに他のモジュールが含まれていてもよい。また、以下、「接続」とは物理的な接続の他、論理的な接続(データの授受、指示、データ間の参照関係等)の場合にも用いる。「予め定められた」とは、対象としている処理の前に定まっていることをいい、本実施の形態による処理が始まる前はもちろんのこと、本実施の形態による処理が始まった後であっても、対象としている処理の前であれば、そのときの状況・状態に応じて、又はそれまでの状況・状態に応じて定まることの意を含めて用いる。「予め定められた値」が複数ある場合は、それぞれ異なった値であってもよいし、2以上の値(もちろんのことながら、全ての値も含む)が同じであってもよい。また、「Aである場合、Bをする」という意味を有する記載は、「Aであるか否かを判断し、Aであると判断した場合はBをする」の意味で用いる。ただし、Aであるか否かの判断が不要である場合を除く。
また、システム又は装置とは、複数のコンピュータ、ハードウェア、装置等がネットワーク(一対一対応の通信接続を含む)等の通信手段で接続されて構成されるほか、1つのコンピュータ、ハードウェア、装置等によって実現される場合も含まれる。「装置」と「システム」とは、互いに同義の用語として用いる。もちろんのことながら、「システム」には、人為的な取り決めである社会的な「仕組み」(社会システム)にすぎないものは含まない。
また、各モジュールによる処理毎に又はモジュール内で複数の処理を行う場合はその処理毎に、対象となる情報を記憶装置から読み込み、その処理を行った後に、処理結果を記憶装置に書き出すものである。したがって、処理前の記憶装置からの読み込み、処理後の記憶装置への書き出しについては、説明を省略する場合がある。なお、ここでの記憶装置としては、ハードディスク、RAM(Random Access Memory)、外部記憶媒体、通信回線を介した記憶装置、CPU(Central Processing Unit)内のレジスタ等を含んでいてもよい。
第1の実施の形態である端末100(情報処理装置)は、通信回線を介して通信を行うものであって、図1の例に示すように、通信モジュール110、セキュリティモジュール120、アドレス変更モジュール130、重複検出モジュール140、アドレスブラックリスト150を有している。本実施の形態は、通信回線のインフラとしてインターネット、プロトコルとして主にIPv6(Internet Protocol Version 6)を利用した例で説明する。また、アドレスとは、通信において、送信元、送信先である情報処理装置を特定するものであり、以下、IPアドレスを例示して説明する。パケットと表記する場合、正規パケット(攻撃パケット以外のパケット)と攻撃パケットの両方を含む。これらを区別する際にはそれぞれ明記するものとする。被攻撃端末とは、攻撃を受けた端末のことである。被攻撃アドレスとは、攻撃を受けたIPv6一時アドレスのことである。被攻撃時刻とは、攻撃を受けた時刻のことである。一時アドレス(匿名アドレス)とは、例えば、インターネットに関する技術の標準RFC3041のことである。一時アドレスについては、「Privacy Extensions for Stateless Address Autoconfiguration in IPv6(http://www5d.biglobe.ne.jp/%257estssk/rfc/rfc3041j.html)」、「IPv6で始めるネットワーク(6)IPv6の匿名アドレス(http://news.mynavi.jp/series/ipv6/006/index.html)」等に説明されている。
なお、通信回線に接続される全端末に端末100の各モジュールが搭載される必要はなく、被攻撃端末に端末100の各モジュールが搭載されていれば、他の端末に対してセキュリティ向上を供与することができる。全端末に端末100の各モジュールが搭載されていれば、通信回線に接続されている全体のセキュリティがより向上する。
本実施の形態の概要について説明する。なお、この説明は、本実施の形態の理解を容易にすることを目的とするものである。
本実施の形態は、アンチウイルスやIPSのようなセキュリティ機能を具備した情報処理装置(端末、通信装置)において、インターネットからの攻撃を検出すると、IPv6一時アドレス(被攻撃アドレス)を破棄して、新規の一時アドレスを取得する。他の端末が先の被攻撃アドレスを取得しようとすると、ICMPv6近隣広告を送信することで、他の端末に被攻撃アドレスが再利用されることを防ぐものである。
より具体的には、第三者から攻撃を受けると端末のIPアドレスを変更することで当該被攻撃端末への継続的な攻撃を防ぐ。継続的な攻撃とは、同じIPアドレスに対して、種々の攻撃を仕掛けてくることである。
当該被攻撃端末(攻撃を仕掛けられた端末)は変更前の被攻撃アドレスを保持し、同一ネットワーク内の他の端末が前記被攻撃アドレスを設定しようとすると、当該被攻撃端末がDAD(Duplication Address Detection)を発行することで被攻撃アドレスが他の端末で使い回されることを防ぐ。DADは、一般的に、IPアドレスとして使用していることを通知するものであり、DADの発行により、指定したIPアドレスを他の端末は使用することができなくなる。これによって、MACアドレスの学習の必要がなくなる。そして、他の端末における被攻撃アドレスの使い回しを防止することになる。
さらに具体的には、本実施の形態では、IPv6の一時アドレス(匿名アドレス)を使って通信を行う。攻撃を検知すると被攻撃アドレスを破棄して、一時アドレスの再取得をする。そして、被攻撃アドレスをアドレスブラックリスト150に登録する。
また、同一ネットワーク内の他の端末がIPアドレスを設定する前に送信する近隣要請(Neighbor Solicitation)を補足すると、近隣要請パケットに含まれるターゲットアドレスと、現在設定されているIPアドレス又はアドレスブラックリスト150に含まれる被攻撃アドレスとが一致するかを確認する。
一致するアドレスがあれば近隣広告(Neighbor Advertisement)を他の端末に送信する。なお、IPv6の仕様として他の端末は近隣広告を受信すると、そのアドレスを設定することはない。
本実施の形態は、アンチウイルスやIPSのようなセキュリティ機能を具備した情報処理装置(端末、通信装置)において、インターネットからの攻撃を検出すると、IPv6一時アドレス(被攻撃アドレス)を破棄して、新規の一時アドレスを取得する。他の端末が先の被攻撃アドレスを取得しようとすると、ICMPv6近隣広告を送信することで、他の端末に被攻撃アドレスが再利用されることを防ぐものである。
より具体的には、第三者から攻撃を受けると端末のIPアドレスを変更することで当該被攻撃端末への継続的な攻撃を防ぐ。継続的な攻撃とは、同じIPアドレスに対して、種々の攻撃を仕掛けてくることである。
当該被攻撃端末(攻撃を仕掛けられた端末)は変更前の被攻撃アドレスを保持し、同一ネットワーク内の他の端末が前記被攻撃アドレスを設定しようとすると、当該被攻撃端末がDAD(Duplication Address Detection)を発行することで被攻撃アドレスが他の端末で使い回されることを防ぐ。DADは、一般的に、IPアドレスとして使用していることを通知するものであり、DADの発行により、指定したIPアドレスを他の端末は使用することができなくなる。これによって、MACアドレスの学習の必要がなくなる。そして、他の端末における被攻撃アドレスの使い回しを防止することになる。
さらに具体的には、本実施の形態では、IPv6の一時アドレス(匿名アドレス)を使って通信を行う。攻撃を検知すると被攻撃アドレスを破棄して、一時アドレスの再取得をする。そして、被攻撃アドレスをアドレスブラックリスト150に登録する。
また、同一ネットワーク内の他の端末がIPアドレスを設定する前に送信する近隣要請(Neighbor Solicitation)を補足すると、近隣要請パケットに含まれるターゲットアドレスと、現在設定されているIPアドレス又はアドレスブラックリスト150に含まれる被攻撃アドレスとが一致するかを確認する。
一致するアドレスがあれば近隣広告(Neighbor Advertisement)を他の端末に送信する。なお、IPv6の仕様として他の端末は近隣広告を受信すると、そのアドレスを設定することはない。
通信モジュール110は、セキュリティモジュール120、アドレス変更モジュール130、重複検出モジュール140と接続されている。通信モジュール110は、ネットワークインターフェイスを持ち、パケットの受信、送信を行う。
セキュリティモジュール120は、通信モジュール110、アドレス変更モジュール130と接続されている。セキュリティモジュール120は、通信回線を介しての攻撃を検知する。具体的には、アンチウイルス、FW(ファイアウォール、FireWall)、IPS(Intrusion Prevention System)等を用いて攻撃を検出する。つまり、通信モジュール110からパケットを取得して、当該パケットが攻撃パケットであるか否かを判断する。ここでの判断は、既存の手法を用いればよい。攻撃パケットであると判断した場合、アドレス変更モジュール130に一時アドレス変更の要求をする。
セキュリティモジュール120は、通信モジュール110、アドレス変更モジュール130と接続されている。セキュリティモジュール120は、通信回線を介しての攻撃を検知する。具体的には、アンチウイルス、FW(ファイアウォール、FireWall)、IPS(Intrusion Prevention System)等を用いて攻撃を検出する。つまり、通信モジュール110からパケットを取得して、当該パケットが攻撃パケットであるか否かを判断する。ここでの判断は、既存の手法を用いればよい。攻撃パケットであると判断した場合、アドレス変更モジュール130に一時アドレス変更の要求をする。
アドレス変更モジュール130は、通信モジュール110、セキュリティモジュール120、アドレスブラックリスト150と接続されている。アドレス変更モジュール130は、セキュリティモジュール120によって攻撃が検知された場合は、自端末100のアドレスを現在の被攻撃アドレスとは異なるアドレスに変更する。具体的には、セキュリティモジュール120からアドレス変更の要求を受けると、一時アドレスの仕組み(例えば、インターネットに関する技術の標準RFC30411)に則ってアドレスを変更する。また、被攻撃アドレスをアドレスブラックリスト150に記憶させるように制御する。さらに、その被攻撃アドレスと対応させて被攻撃時刻をアドレスブラックリスト150に記憶させるように制御するようにしてもよい。なお、この被攻撃時刻を記憶させた場合は、アドレスブラックリスト150に記憶させておく期間(予め定められた期限)を設けておき、被攻撃時刻からその期間が過ぎた場合は、その被攻撃アドレスをアドレスブラックリスト150から削除するようにしてもよい。
アドレスブラックリスト150は、アドレス変更モジュール130、重複検出モジュール140と接続されている。アドレスブラックリスト150は、攻撃アドレスを記憶する。アドレスブラックリスト150は、例えば、被攻撃アドレスと被攻撃時刻の一覧を保持する管理表である。図7は、管理表であるアドレスブラックリスト700のデータ構造例を示す説明図である。アドレスブラックリスト700は、被攻撃アドレス欄710、被攻撃時刻欄720を有している。被攻撃アドレス欄710は、被攻撃アドレスを記憶している。被攻撃時刻欄720は、その被攻撃アドレスの端末100が攻撃を受けた日時(年、月、日、時、分、秒、秒以下、又はこれらの組み合わせであってもよい)である被攻撃時刻を記憶している。
アドレス変更モジュール130は、被攻撃アドレスにマスクをかけてアドレスブラックリスト150に記憶させるようにしてもよい。その場合、重複検出モジュール140は、要求しているアドレスに、そのマスクをかけて、アドレスブラックリスト150に記憶されているアドレスと合致するか否かを判断する。これは、被攻撃アドレスの周辺のアドレスに対してもDADを行うものである。
具体的には、被攻撃アドレスをアドレスブラックリスト150に登録する際、被攻撃アドレスにネットマスクをかけて保持するようにする。例えば、被攻撃アドレスが“2001:1::100:1”であり、ネットマスク長(任意の値)が112ビットだとすると、アドレスブラックリスト150には“2001:1::100:0/112”と登録する。これは、下位16ビット分のアドレスを被攻撃アドレスの周辺アドレスとして登録したものである。図8の例に示すアドレスブラックリスト(ネットマスク)800のように登録する。図8は、アドレスブラックリスト(ネットマスク)800のデータ構造例を示す説明図である。アドレスブラックリスト(ネットマスク)800は、被攻撃アドレス欄810、被攻撃時刻欄820を有しており、図7の例に示すアドレスブラックリスト700と同等の構成を有している。ただし、被攻撃アドレス欄810には、マスクがかけられたIPアドレスを記憶している。
重複検出モジュール140は次のような処理を行う。他の端末100からアドレスブラックリスト150に登録された範囲にあるIPアドレスの近隣要請を受け取ると、近隣要請パケットのターゲットアドレスにネットマスクをかけて、算出したアドレスがアドレスブラックリスト150に含まれているかを走査する。算出したアドレスがアドレスブラックリスト150に含まれていれば、近隣広告を送信する。
例えば、攻撃者端末250からの攻撃が攻撃先アドレスを1つずつずらしながら攻撃していく手法を取った場合、次に攻撃をするアドレスは被攻撃アドレスの周辺になる可能性が高い。つまり、効率的に他の端末が攻撃対象になりうるアドレスを使ってしまう可能性を低減することとなる。
具体的には、被攻撃アドレスをアドレスブラックリスト150に登録する際、被攻撃アドレスにネットマスクをかけて保持するようにする。例えば、被攻撃アドレスが“2001:1::100:1”であり、ネットマスク長(任意の値)が112ビットだとすると、アドレスブラックリスト150には“2001:1::100:0/112”と登録する。これは、下位16ビット分のアドレスを被攻撃アドレスの周辺アドレスとして登録したものである。図8の例に示すアドレスブラックリスト(ネットマスク)800のように登録する。図8は、アドレスブラックリスト(ネットマスク)800のデータ構造例を示す説明図である。アドレスブラックリスト(ネットマスク)800は、被攻撃アドレス欄810、被攻撃時刻欄820を有しており、図7の例に示すアドレスブラックリスト700と同等の構成を有している。ただし、被攻撃アドレス欄810には、マスクがかけられたIPアドレスを記憶している。
重複検出モジュール140は次のような処理を行う。他の端末100からアドレスブラックリスト150に登録された範囲にあるIPアドレスの近隣要請を受け取ると、近隣要請パケットのターゲットアドレスにネットマスクをかけて、算出したアドレスがアドレスブラックリスト150に含まれているかを走査する。算出したアドレスがアドレスブラックリスト150に含まれていれば、近隣広告を送信する。
例えば、攻撃者端末250からの攻撃が攻撃先アドレスを1つずつずらしながら攻撃していく手法を取った場合、次に攻撃をするアドレスは被攻撃アドレスの周辺になる可能性が高い。つまり、効率的に他の端末が攻撃対象になりうるアドレスを使ってしまう可能性を低減することとなる。
また、重複検出モジュール140は、近隣広告に被攻撃アドレスの範囲を付加して、通信モジュール110を介して他の端末100に送信するようにしてもよい。これは、近隣広告に無効なアドレス範囲(ネットマスク長)を含めるものである。
具体的には、被攻撃端末は他の端末からの近隣要請を受信し、その近隣要請のターゲットアドレスが被攻撃アドレスであるときに送信する近隣広告のオプション領域に無効なアドレス範囲(ネットマスク長)を付加する。
例えば、近隣広告(DAD)の内容を示す被攻撃アドレス広告パケット(ICMPv6独自拡張)900を用いる。図9は、被攻撃アドレス広告パケット(ICMPv6独自拡張)900のデータ構造例を示す説明図である。被攻撃アドレス広告パケット(ICMPv6独自拡張)900は、type912、code914、checksum916、R922、S924、O926、reserved928、target address932、opt_type942、opt_len944、prefix length946を有している。opt_type942、opt_len944、prefix length946が、本実施の形態でIPv6に拡張した部分である。type912は、近隣広告のメッセージのタイプ(136)である。code914は、メッセージタイプを細かく分類できる値である。target address932は、近隣広告の対象となるIPv6アドレスである。opt_type942は、近隣探索の追加情報を指定するオプションのタイプ番号(例えば、新規追加オプション:6)である。prefix length946は、被攻撃アドレスの周辺のアドレスを割り当てないようにするためのプレフィックス長である。
これを受け取った他の端末(近隣広告に被攻撃アドレスの範囲が付加されていた場合)は、次のアドレス要求の際(再び一時アドレスを再計算する際)に、その被攻撃アドレスの範囲を除いたアドレスを要求する。
例えば、攻撃者が攻撃先アドレスを1つずつずらしながら攻撃していく手法を取った場合、次に攻撃をするアドレスは被攻撃アドレスの周辺になる可能性が高い。つまり、他の端末がアドレスを決定するために近隣要請を送信する必要がなく、アドレスの決定を迅速に行うこととなる。
具体的には、被攻撃端末は他の端末からの近隣要請を受信し、その近隣要請のターゲットアドレスが被攻撃アドレスであるときに送信する近隣広告のオプション領域に無効なアドレス範囲(ネットマスク長)を付加する。
例えば、近隣広告(DAD)の内容を示す被攻撃アドレス広告パケット(ICMPv6独自拡張)900を用いる。図9は、被攻撃アドレス広告パケット(ICMPv6独自拡張)900のデータ構造例を示す説明図である。被攻撃アドレス広告パケット(ICMPv6独自拡張)900は、type912、code914、checksum916、R922、S924、O926、reserved928、target address932、opt_type942、opt_len944、prefix length946を有している。opt_type942、opt_len944、prefix length946が、本実施の形態でIPv6に拡張した部分である。type912は、近隣広告のメッセージのタイプ(136)である。code914は、メッセージタイプを細かく分類できる値である。target address932は、近隣広告の対象となるIPv6アドレスである。opt_type942は、近隣探索の追加情報を指定するオプションのタイプ番号(例えば、新規追加オプション:6)である。prefix length946は、被攻撃アドレスの周辺のアドレスを割り当てないようにするためのプレフィックス長である。
これを受け取った他の端末(近隣広告に被攻撃アドレスの範囲が付加されていた場合)は、次のアドレス要求の際(再び一時アドレスを再計算する際)に、その被攻撃アドレスの範囲を除いたアドレスを要求する。
例えば、攻撃者が攻撃先アドレスを1つずつずらしながら攻撃していく手法を取った場合、次に攻撃をするアドレスは被攻撃アドレスの周辺になる可能性が高い。つまり、他の端末がアドレスを決定するために近隣要請を送信する必要がなく、アドレスの決定を迅速に行うこととなる。
重複検出モジュール140は、通信モジュール110、アドレスブラックリスト150と接続されている。重複検出モジュール140は、同じ通信回線に接続されている他の端末100からアドレス変更の要求を受け取った場合、その要求しているアドレスが自端末100のアドレス又はアドレスブラックリスト150に記憶されている被攻撃アドレスと合致するか否かを判断する。そして、合致すると判断した場合は、近隣広告を通信モジュール110を介して、他の端末100に送信する。具体的には、他の端末100の近隣要請に含まれるターゲットアドレスが、アドレスブラックリスト150に登録されているか否かの判断と、現在設定されているIPアドレスであるか否かの判断をする。重複していると判断した場合、通信モジュール110を通じて近隣広告を送信する。近隣広告とは、指定したアドレス(自端末100のアドレスとアドレスブラックリスト150内のアドレス)を他の端末100で使用させないように通知する処理である。
なお、アドレス変更モジュール130は、同じ通信回線に接続されている他の端末100に対して、アドレス(被攻撃アドレスとは異なるアドレス)を要求する。このアドレスが、他の端末100で使用されている場合、又は他の端末100に対して攻撃があった際の被攻撃アドレス(他の端末100内の重複検出モジュール140に記憶されているアドレス)である場合は、その他の端末100から近隣広告が送信され、自端末100はそのアドレスに変更することができない。
なお、アドレス変更モジュール130は、同じ通信回線に接続されている他の端末100に対して、アドレス(被攻撃アドレスとは異なるアドレス)を要求する。このアドレスが、他の端末100で使用されている場合、又は他の端末100に対して攻撃があった際の被攻撃アドレス(他の端末100内の重複検出モジュール140に記憶されているアドレス)である場合は、その他の端末100から近隣広告が送信され、自端末100はそのアドレスに変更することができない。
図2は、本実施の形態が利用されるシステム構成例を示す説明図である。
端末100Aは、ルーター210と接続されている。端末100Bは、ルーター210と接続されている。ルーター210は、端末100A、端末100Bと接続されており、また通信回線290を介して攻撃者端末250と接続されている。攻撃者端末250は、通信回線290を介してルーター210と接続されている。
ルーター210は、端末100(端末100A、端末100B等)を収容するネットワークとインターネットである通信回線290とを相互に接続する通信装置である。
端末100Aは、インターネットを介して通信を行い、図1の例に示した端末100と同等の端末である。本説明では端末100Aが被攻撃端末である。
攻撃者端末250は、端末100AのIPアドレスに対してDoSや不正アクセスなどの攻撃を行う悪意のある第三者の端末である。
端末100Aが攻撃を受けた後に、端末100Bが、IPアドレスを取得する場合、現在の端末100AのIPアドレスはもちろんのこと、被攻撃アドレス(攻撃を受けた際の端末100AのIPアドレスであり、端末100Aのアドレスブラックリスト150に記憶されているIPアドレス)を取得することはない。
端末100Aは、ルーター210と接続されている。端末100Bは、ルーター210と接続されている。ルーター210は、端末100A、端末100Bと接続されており、また通信回線290を介して攻撃者端末250と接続されている。攻撃者端末250は、通信回線290を介してルーター210と接続されている。
ルーター210は、端末100(端末100A、端末100B等)を収容するネットワークとインターネットである通信回線290とを相互に接続する通信装置である。
端末100Aは、インターネットを介して通信を行い、図1の例に示した端末100と同等の端末である。本説明では端末100Aが被攻撃端末である。
攻撃者端末250は、端末100AのIPアドレスに対してDoSや不正アクセスなどの攻撃を行う悪意のある第三者の端末である。
端末100Aが攻撃を受けた後に、端末100Bが、IPアドレスを取得する場合、現在の端末100AのIPアドレスはもちろんのこと、被攻撃アドレス(攻撃を受けた際の端末100AのIPアドレスであり、端末100Aのアドレスブラックリスト150に記憶されているIPアドレス)を取得することはない。
図3は、第1の実施の形態による処理例を示すフローチャート(シーケンス図)である。攻撃者端末250からの攻撃を検知してアドレスを変更するシーケンスである。端末100Aと攻撃者端末250との間で行われる処理である。
ステップS301では、攻撃者端末250が端末100Aに対して攻撃パケットを送信する。
ステップS302では、通信モジュール110はパケットを受信すると、セキュリティモジュール120に対して当該パケットがセキュリティ上安全であるかのチェックを要求する。
ステップS303では、セキュリティモジュール120はセキュリティチェックの要求を受けると、パケットを解析して安全性の判断を行う。
ステップS301では、攻撃者端末250が端末100Aに対して攻撃パケットを送信する。
ステップS302では、通信モジュール110はパケットを受信すると、セキュリティモジュール120に対して当該パケットがセキュリティ上安全であるかのチェックを要求する。
ステップS303では、セキュリティモジュール120はセキュリティチェックの要求を受けると、パケットを解析して安全性の判断を行う。
ステップS304では、セキュリティモジュール120は、ステップS303にて攻撃パケットであると判断すると、アドレス変更モジュール130に一時アドレス変更を要求する。
ステップS305、S306では、アドレス変更モジュール130は、変更前の一時アドレス(被攻撃アドレス)と被攻撃時刻をアドレスブラックリスト150に登録する。
ステップS307では、アドレス変更モジュール130は、一時アドレス変更の要求を受けると、新たな一時アドレスを算出する。
ステップS305、S306では、アドレス変更モジュール130は、変更前の一時アドレス(被攻撃アドレス)と被攻撃時刻をアドレスブラックリスト150に登録する。
ステップS307では、アドレス変更モジュール130は、一時アドレス変更の要求を受けると、新たな一時アドレスを算出する。
ステップS308では、アドレス変更モジュール130は、新たに算出した一時アドレスが既にアドレスブラックリスト150に含まれているか否かを確認する。ステップS309では、アドレス変更モジュール130は、登録されていなければ新たな一時アドレスとして仮決定する。既に登録されていれば、ステップS307から再度行う。
ステップS310では、アドレス変更モジュール130は、通常のIPv6アドレス確定手順に則り、ステップS311で、通信モジュール110は、仮決定した新たな一時アドレスをターゲットアドレスとして近隣要請を、端末100B等に送信する。
ステップS312では、アドレス変更モジュール130は、近隣要請への応答である近隣広告を受信しなければ、当該一時アドレスを正規のアドレスとして決定する。近隣広告を受信した場合はステップS307から再度行う。
ステップS310では、アドレス変更モジュール130は、通常のIPv6アドレス確定手順に則り、ステップS311で、通信モジュール110は、仮決定した新たな一時アドレスをターゲットアドレスとして近隣要請を、端末100B等に送信する。
ステップS312では、アドレス変更モジュール130は、近隣要請への応答である近隣広告を受信しなければ、当該一時アドレスを正規のアドレスとして決定する。近隣広告を受信した場合はステップS307から再度行う。
図4は、第1の実施の形態による処理例を示すフローチャートである。他の端末(端末100B)から近隣要請を補足し、重複検出をするシーケンスである。端末100Aと端末100Bの間で行われる処理である。
ステップS401では、端末100Bが設定したいIPアドレスの重複確認のために近隣要請をネットワークにマルチキャストする。端末100Aの通信モジュール110が、それを受信する。
ステップS402では、通信モジュール110は、近隣要請を補足すると、重複検出モジュール140に対して当該近隣要請パケットに含まれるターゲットアドレスが重複しているか否かを確認する要求をする。
ステップS403、S404では、重複検出モジュール140は、アドレスブラックリスト150から被攻撃アドレスの一覧を取得する。ここで、アドレスブラックリスト150に登録されている被攻撃時刻が任意の期間(例えば1日)以上前のものであれば被攻撃アドレスを削除してもよい。
ステップS401では、端末100Bが設定したいIPアドレスの重複確認のために近隣要請をネットワークにマルチキャストする。端末100Aの通信モジュール110が、それを受信する。
ステップS402では、通信モジュール110は、近隣要請を補足すると、重複検出モジュール140に対して当該近隣要請パケットに含まれるターゲットアドレスが重複しているか否かを確認する要求をする。
ステップS403、S404では、重複検出モジュール140は、アドレスブラックリスト150から被攻撃アドレスの一覧を取得する。ここで、アドレスブラックリスト150に登録されている被攻撃時刻が任意の期間(例えば1日)以上前のものであれば被攻撃アドレスを削除してもよい。
ステップS405では、重複検出モジュール140は、取得したアドレスブラックリスト150内の被攻撃アドレス一覧又は現在設定されている一時アドレスがステップS402で得たターゲットアドレスと重複しているか否かを判断する。
ステップS406では、重複検出モジュール140は、ターゲットアドレスが重複していると判断した場合、通信モジュール110に対して近隣広告(DAD)を送信するように指示する。
ステップS407では、通信モジュール110は、ステップS406で近隣広告の指示を受けると、端末100Bに対して近隣広告をユニキャストする。
ステップS406では、重複検出モジュール140は、ターゲットアドレスが重複していると判断した場合、通信モジュール110に対して近隣広告(DAD)を送信するように指示する。
ステップS407では、通信モジュール110は、ステップS406で近隣広告の指示を受けると、端末100Bに対して近隣広告をユニキャストする。
<第2の実施の形態>
図5は、第2の実施の形態の構成例についての概念的なモジュール構成図である。端末500は、アドレス変更時に被攻撃アドレスを通知するものであり、通信モジュール510、セキュリティモジュール520、アドレス変更モジュール530、重複検出モジュール540、アドレスブラックリスト550、被攻撃アドレス送受信モジュール560を有している。図1の例に示した端末100に被攻撃アドレス送受信モジュール560を付加したものであり、通信モジュール510は端末100内の通信モジュール110に、セキュリティモジュール520はセキュリティモジュール120に、アドレス変更モジュール530はアドレス変更モジュール130に、重複検出モジュール540は重複検出モジュール140に、アドレスブラックリスト550はアドレスブラックリスト150にそれぞれ該当する。
通信モジュール510は、セキュリティモジュール520、アドレス変更モジュール530、重複検出モジュール540、被攻撃アドレス送受信モジュール560と接続されている。セキュリティモジュール520は、通信モジュール510、アドレス変更モジュール530と接続されている。アドレス変更モジュール530は、通信モジュール510、セキュリティモジュール520、アドレスブラックリスト550、被攻撃アドレス送受信モジュール560と接続されている。重複検出モジュール540は、通信モジュール510、アドレスブラックリスト550と接続されている。アドレスブラックリスト550は、アドレス変更モジュール530、重複検出モジュール540、被攻撃アドレス送受信モジュール560と接続されている。被攻撃アドレス送受信モジュール560は、通信モジュール510、アドレス変更モジュール530、アドレスブラックリスト550と接続されている。
図5は、第2の実施の形態の構成例についての概念的なモジュール構成図である。端末500は、アドレス変更時に被攻撃アドレスを通知するものであり、通信モジュール510、セキュリティモジュール520、アドレス変更モジュール530、重複検出モジュール540、アドレスブラックリスト550、被攻撃アドレス送受信モジュール560を有している。図1の例に示した端末100に被攻撃アドレス送受信モジュール560を付加したものであり、通信モジュール510は端末100内の通信モジュール110に、セキュリティモジュール520はセキュリティモジュール120に、アドレス変更モジュール530はアドレス変更モジュール130に、重複検出モジュール540は重複検出モジュール140に、アドレスブラックリスト550はアドレスブラックリスト150にそれぞれ該当する。
通信モジュール510は、セキュリティモジュール520、アドレス変更モジュール530、重複検出モジュール540、被攻撃アドレス送受信モジュール560と接続されている。セキュリティモジュール520は、通信モジュール510、アドレス変更モジュール530と接続されている。アドレス変更モジュール530は、通信モジュール510、セキュリティモジュール520、アドレスブラックリスト550、被攻撃アドレス送受信モジュール560と接続されている。重複検出モジュール540は、通信モジュール510、アドレスブラックリスト550と接続されている。アドレスブラックリスト550は、アドレス変更モジュール530、重複検出モジュール540、被攻撃アドレス送受信モジュール560と接続されている。被攻撃アドレス送受信モジュール560は、通信モジュール510、アドレス変更モジュール530、アドレスブラックリスト550と接続されている。
被攻撃アドレス送受信モジュール560は、被攻撃アドレスを、同じ通信回線に接続されている他の端末500に、通信モジュール510を介して送信する。これは、アドレス変更時に被攻撃アドレスを通知するものである。つまり、攻撃を検出して一時アドレスを変更した後に、被攻撃アドレスと被攻撃時刻を同一リンクローカルネットワークにマルチキャストする(被攻撃アドレス広告)。他の端末500は、被攻撃アドレス広告を受信すると、当該被攻撃アドレス広告パケットに含まれる被広告アドレスと被攻撃アドレスの被攻撃時刻をアドレスブラックリスト550に登録する。
具体的には、被攻撃アドレス送受信モジュール560は、ICMPv6の近隣探索プロトコルとして定義した被攻撃アドレス広告を送信又は受信する。被攻撃アドレスを変更する際に、被攻撃アドレスを被攻撃アドレス広告プロトコルに則ってマルチキャストする。被攻撃アドレス広告を受信すると、各端末500の被攻撃アドレス送受信モジュール560は、アドレスブラックリスト550に被攻撃アドレスを登録する。
他の端末500が一時アドレスを変更する際、被攻撃アドレスが既にアドレスブラックリスト550に登録されているため、新しい一時アドレスがアドレスブラックリスト550に含まれているか否かを事前に確認することとなる。これにより、近隣要請を送信する必要がなく、アドレスの変更を迅速に行うこととなる。
なお、被攻撃アドレスと被攻撃時刻に加え、ネットマスク長も含めて被攻撃アドレス広告としてもよい。
具体的には、被攻撃アドレス送受信モジュール560は、ICMPv6の近隣探索プロトコルとして定義した被攻撃アドレス広告を送信又は受信する。被攻撃アドレスを変更する際に、被攻撃アドレスを被攻撃アドレス広告プロトコルに則ってマルチキャストする。被攻撃アドレス広告を受信すると、各端末500の被攻撃アドレス送受信モジュール560は、アドレスブラックリスト550に被攻撃アドレスを登録する。
他の端末500が一時アドレスを変更する際、被攻撃アドレスが既にアドレスブラックリスト550に登録されているため、新しい一時アドレスがアドレスブラックリスト550に含まれているか否かを事前に確認することとなる。これにより、近隣要請を送信する必要がなく、アドレスの変更を迅速に行うこととなる。
なお、被攻撃アドレスと被攻撃時刻に加え、ネットマスク長も含めて被攻撃アドレス広告としてもよい。
被攻撃アドレス広告は被攻撃アドレス広告パケット(ICMPv6独自拡張)1000のようになる。図10は、被攻撃アドレス広告パケット(ICMPv6独自拡張)1000のデータ構造例を示す説明図である。被攻撃アドレス広告パケット(ICMPv6独自拡張)1000は、type1012、code1014、checksum1016、reserved1022、target address1032、opt_type1042、opt_len1044、reserved1046、attacked time1052、opt_type1062、opt_len1064、prefix length1066を有している。opt_type1042、opt_len1044、reserved1046、attacked time1052、opt_type1062、opt_len1064、prefix length1066が、本実施の形態でIPv6に拡張した部分である。type1012は、ICMPv6の情報メッセージのタイプ(独自拡張の番号150を用いる)である。code1014は、メッセージタイプを細かく分類できる値である。target address1032は、被攻撃アドレスである。opt_type1042は、当該メッセージで利用できるオプションのタイプ番号である。attacked time1052は、被攻撃時刻である。prefix length1066は、被攻撃アドレスの周辺のアドレスを割り当てないようにするためのプレフィックス長(前述のprefix length946と同等)である。
つまり、本実施の形態の被攻撃アドレス広告パケット(ICMPv6独自拡張)1000では、ICMPv6に新たなタイプ番号:150(0×96)を仮定してICMPv6の拡張として定義する。
つまり、本実施の形態の被攻撃アドレス広告パケット(ICMPv6独自拡張)1000では、ICMPv6に新たなタイプ番号:150(0×96)を仮定してICMPv6の拡張として定義する。
なお、被攻撃アドレス送受信モジュール560は、被攻撃アドレス広告を定期的に送信してもよいし、被攻撃アドレス要請を定義して、当該被攻撃アドレス要請をもって被攻撃アドレス広告を送信してもよい。
図6は、第2の実施の形態による処理例を示すフローチャートである。なお、このフローチャートでは通信モジュール510を省略した。端末500Aと端末500B(被攻撃アドレス送受信モジュール560Bを有している端末100Bに相当)の間で行われる処理であり、図3の例に示したフローチャートの続きの処理である。
ステップS601では、アドレス変更モジュール530Aは、一時アドレス変更後に、被攻撃アドレス及び被攻撃時刻を被攻撃アドレス送受信モジュール560Aに通知し、被攻撃アドレス広告を送信するように指示する。
ステップS602では、被攻撃アドレス送受信モジュール560Aは、被攻撃アドレス広告を同一ネットワークにマルチキャストする。
ステップS603、S604では、被攻撃アドレス広告を受信した端末500Bの被攻撃アドレス送受信モジュール560Bは、被攻撃アドレス広告パケットに含まれる被攻撃アドレス及び被攻撃時刻をアドレスブラックリスト550Bに登録する。
ステップS601では、アドレス変更モジュール530Aは、一時アドレス変更後に、被攻撃アドレス及び被攻撃時刻を被攻撃アドレス送受信モジュール560Aに通知し、被攻撃アドレス広告を送信するように指示する。
ステップS602では、被攻撃アドレス送受信モジュール560Aは、被攻撃アドレス広告を同一ネットワークにマルチキャストする。
ステップS603、S604では、被攻撃アドレス広告を受信した端末500Bの被攻撃アドレス送受信モジュール560Bは、被攻撃アドレス広告パケットに含まれる被攻撃アドレス及び被攻撃時刻をアドレスブラックリスト550Bに登録する。
なお、本実施の形態としてのプログラムが実行されるコンピュータ(端末100、端末500)のハードウェア構成は、図11に例示するように、一般的なコンピュータであり、具体的にはパーソナルコンピュータ、サーバとなり得るコンピュータ等である。つまり、具体例として、処理部(演算部)としてCPU1101を用い、記憶装置としてRAM1102、ROM1103、HD1104を用いている。HD1104として、例えばハードディスクを用いてもよい。通信モジュール110、セキュリティモジュール120、アドレス変更モジュール130、重複検出モジュール140、通信モジュール510、セキュリティモジュール520、アドレス変更モジュール530、重複検出モジュール540、被攻撃アドレス送受信モジュール560等のプログラムを実行するCPU1101と、そのプログラムやデータを記憶するRAM1102と、本コンピュータを起動するためのプログラム等が格納されているROM1103と、補助記憶装置(フラッシュメモリ等であってもよい)であるHD1104と、キーボード、マウス、タッチパネル等に対する利用者の操作に基づいてデータを受け付ける受付装置1106と、CRT、液晶ディスプレイ等の出力装置1105と、ネットワークインターフェイスカード等の通信ネットワークと接続するための通信回線インターフェイス1107、そして、それらをつないでデータのやりとりをするためのバス1108により構成されている。これらのコンピュータが複数台互いにネットワークによって接続されていてもよい。
前述の実施の形態のうち、コンピュータ・プログラムによるものについては、本ハードウェア構成のシステムにソフトウェアであるコンピュータ・プログラムを読み込ませ、ソフトウェアとハードウェア資源とが協働して、前述の実施の形態が実現される。
なお、図11に示すハードウェア構成は、1つの構成例を示すものであり、本実施の形態は、図11に示す構成に限らず、本実施の形態において説明したモジュールを実行可能な構成であればよい。例えば、一部のモジュールを専用のハードウェア(例えばASIC等)で構成してもよく、一部のモジュールは外部のシステム内にあり通信回線で接続しているような形態でもよく、さらに図11に示すシステムが複数互いに通信回線によって接続されていて互いに協調動作するようにしてもよい。また、特に、パーソナルコンピュータの他、情報家電、複写機、ファックス、スキャナ、プリンタ、複合機(スキャナ、プリンタ、複写機、ファックス等のいずれか2つ以上の機能を有している画像処理装置)などに組み込まれていてもよい。
なお、図11に示すハードウェア構成は、1つの構成例を示すものであり、本実施の形態は、図11に示す構成に限らず、本実施の形態において説明したモジュールを実行可能な構成であればよい。例えば、一部のモジュールを専用のハードウェア(例えばASIC等)で構成してもよく、一部のモジュールは外部のシステム内にあり通信回線で接続しているような形態でもよく、さらに図11に示すシステムが複数互いに通信回線によって接続されていて互いに協調動作するようにしてもよい。また、特に、パーソナルコンピュータの他、情報家電、複写機、ファックス、スキャナ、プリンタ、複合機(スキャナ、プリンタ、複写機、ファックス等のいずれか2つ以上の機能を有している画像処理装置)などに組み込まれていてもよい。
なお、説明したプログラムについては、記録媒体に格納して提供してもよく、また、そのプログラムを通信手段によって提供してもよい。その場合、例えば、前記説明したプログラムについて、「プログラムを記録したコンピュータ読み取り可能な記録媒体」の発明として捉えてもよい。
「プログラムを記録したコンピュータ読み取り可能な記録媒体」とは、プログラムのインストール、実行、プログラムの流通などのために用いられる、プログラムが記録されたコンピュータで読み取り可能な記録媒体をいう。
なお、記録媒体としては、例えば、デジタル・バーサタイル・ディスク(DVD)であって、DVDフォーラムで策定された規格である「DVD−R、DVD−RW、DVD−RAM等」、DVD+RWで策定された規格である「DVD+R、DVD+RW等」、コンパクトディスク(CD)であって、読出し専用メモリ(CD−ROM)、CDレコーダブル(CD−R)、CDリライタブル(CD−RW)等、ブルーレイ・ディスク(Blu−ray(登録商標) Disc)、光磁気ディスク(MO)、フレキシブルディスク(FD)、磁気テープ、ハードディスク、読出し専用メモリ(ROM)、電気的消去及び書換可能な読出し専用メモリ(EEPROM(登録商標))、フラッシュ・メモリ、ランダム・アクセス・メモリ(RAM)、SD(Secure Digital)メモリーカード等が含まれる。
そして、前記のプログラム又はその一部は、前記記録媒体に記録して保存や流通等させてもよい。また、通信によって、例えば、ローカル・エリア・ネットワーク(LAN)、メトロポリタン・エリア・ネットワーク(MAN)、ワイド・エリア・ネットワーク(WAN)、インターネット、イントラネット、エクストラネット等に用いられる有線ネットワーク、あるいは無線通信ネットワーク、さらにこれらの組み合わせ等の伝送媒体を用いて伝送させてもよく、また、搬送波に乗せて搬送させてもよい。
さらに、前記のプログラムは、他のプログラムの一部分であってもよく、あるいは別個のプログラムと共に記録媒体に記録されていてもよい。また、複数の記録媒体に分割して
記録されていてもよい。また、圧縮や暗号化など、復元可能であればどのような態様で記録されていてもよい。
「プログラムを記録したコンピュータ読み取り可能な記録媒体」とは、プログラムのインストール、実行、プログラムの流通などのために用いられる、プログラムが記録されたコンピュータで読み取り可能な記録媒体をいう。
なお、記録媒体としては、例えば、デジタル・バーサタイル・ディスク(DVD)であって、DVDフォーラムで策定された規格である「DVD−R、DVD−RW、DVD−RAM等」、DVD+RWで策定された規格である「DVD+R、DVD+RW等」、コンパクトディスク(CD)であって、読出し専用メモリ(CD−ROM)、CDレコーダブル(CD−R)、CDリライタブル(CD−RW)等、ブルーレイ・ディスク(Blu−ray(登録商標) Disc)、光磁気ディスク(MO)、フレキシブルディスク(FD)、磁気テープ、ハードディスク、読出し専用メモリ(ROM)、電気的消去及び書換可能な読出し専用メモリ(EEPROM(登録商標))、フラッシュ・メモリ、ランダム・アクセス・メモリ(RAM)、SD(Secure Digital)メモリーカード等が含まれる。
そして、前記のプログラム又はその一部は、前記記録媒体に記録して保存や流通等させてもよい。また、通信によって、例えば、ローカル・エリア・ネットワーク(LAN)、メトロポリタン・エリア・ネットワーク(MAN)、ワイド・エリア・ネットワーク(WAN)、インターネット、イントラネット、エクストラネット等に用いられる有線ネットワーク、あるいは無線通信ネットワーク、さらにこれらの組み合わせ等の伝送媒体を用いて伝送させてもよく、また、搬送波に乗せて搬送させてもよい。
さらに、前記のプログラムは、他のプログラムの一部分であってもよく、あるいは別個のプログラムと共に記録媒体に記録されていてもよい。また、複数の記録媒体に分割して
記録されていてもよい。また、圧縮や暗号化など、復元可能であればどのような態様で記録されていてもよい。
100…端末
110…通信モジュール
120…セキュリティモジュール
130…アドレス変更モジュール
140…重複検出モジュール
150…アドレスブラックリスト
210…ルーター
250…攻撃者端末
290…通信回線
500…端末
510…通信モジュール
520…セキュリティモジュール
530…アドレス変更モジュール
540…重複検出モジュール
550…アドレスブラックリスト
560…被攻撃アドレス送受信モジュール
110…通信モジュール
120…セキュリティモジュール
130…アドレス変更モジュール
140…重複検出モジュール
150…アドレスブラックリスト
210…ルーター
250…攻撃者端末
290…通信回線
500…端末
510…通信モジュール
520…セキュリティモジュール
530…アドレス変更モジュール
540…重複検出モジュール
550…アドレスブラックリスト
560…被攻撃アドレス送受信モジュール
Claims (4)
- 通信回線を介しての攻撃を検知する検知手段と、
前記検知手段によって攻撃が検知された場合は、自情報処理装置のアドレスを現在の被攻撃アドレスとは異なるアドレスに変更する変更手段と、
前記被攻撃アドレスを記憶手段に記憶させるように制御する記憶制御手段と、
同じ通信回線に接続されている第2の情報処理装置からアドレス変更の要求を受け取った場合、該要求しているアドレスが自情報処理装置のアドレス又は前記記憶手段に記憶されている被攻撃アドレスと合致するか否かを判断する判断手段と、
前記判断手段によって合致すると判断された場合は、近隣広告を前記第2の情報処理装置に送信する送信手段
を具備し、
前記記憶制御手段は、前記被攻撃アドレスの周辺アドレスを含めるようにマスクをかけて前記記憶手段に記憶させ、
前記判断手段は、前記要求しているアドレスに前記マスクをかけて、前記記憶手段に記憶されているアドレスと合致するか否かを判断する、
ことを特徴とする情報処理装置。 - 前記送信手段は、前記近隣広告に前記被攻撃アドレスの範囲を付加して、前記第2の情報処理装置に送信する
ことを特徴とする請求項1に記載の情報処理装置。 - 前記被攻撃アドレスを、同じ通信回線に接続されている第2の情報処理装置に送信する第2の送信手段
を具備することを特徴とする請求項1又は2に記載の情報処理装置。 - コンピュータを、
通信回線を介しての攻撃を検知する検知手段と、
前記検知手段によって攻撃が検知された場合は、自情報処理装置のアドレスを現在の被攻撃アドレスとは異なるアドレスに変更する変更手段と、
前記被攻撃アドレスを記憶手段に記憶させるように制御する記憶制御手段と、
同じ通信回線に接続されている第2の情報処理装置からアドレス変更の要求を受け取った場合、該要求しているアドレスが自情報処理装置のアドレス又は前記記憶手段に記憶されている被攻撃アドレスと合致するか否かを判断する判断手段と、
前記判断手段によって合致すると判断された場合は、近隣広告を前記第2の情報処理装置に送信する送信手段
として機能させ、
前記記憶制御手段は、前記被攻撃アドレスの周辺アドレスを含めるようにマスクをかけて前記記憶手段に記憶させ、
前記判断手段は、前記要求しているアドレスに前記マスクをかけて、前記記憶手段に記憶されているアドレスと合致するか否かを判断する、
ことを特徴とする情報処理プログラム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014027543A JP6213292B2 (ja) | 2014-02-17 | 2014-02-17 | 情報処理装置及び情報処理プログラム |
| US14/467,776 US20150237059A1 (en) | 2014-02-17 | 2014-08-25 | Information processing apparatus, information processing method, and non-transitory computer readable medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014027543A JP6213292B2 (ja) | 2014-02-17 | 2014-02-17 | 情報処理装置及び情報処理プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015154326A JP2015154326A (ja) | 2015-08-24 |
| JP6213292B2 true JP6213292B2 (ja) | 2017-10-18 |
Family
ID=53799172
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014027543A Active JP6213292B2 (ja) | 2014-02-17 | 2014-02-17 | 情報処理装置及び情報処理プログラム |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20150237059A1 (ja) |
| JP (1) | JP6213292B2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107623663B (zh) | 2016-07-15 | 2020-12-15 | 阿里巴巴集团控股有限公司 | 处理网络流量的方法及装置 |
| US10778578B2 (en) * | 2017-08-31 | 2020-09-15 | Konica Minolta Laboratory U.S.A., Inc. | Method and system having an application for IPv6 extension headers and destination options |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006025389A (ja) * | 2004-06-09 | 2006-01-26 | Ricoh Co Ltd | 通信機器、ipアドレス設定方法 |
| JP2006054637A (ja) * | 2004-08-11 | 2006-02-23 | Ricoh Co Ltd | 通信装置 |
| JP2006228140A (ja) * | 2005-02-21 | 2006-08-31 | Fuji Xerox Co Ltd | 情報処理装置 |
| US20070016637A1 (en) * | 2005-07-18 | 2007-01-18 | Brawn John M | Bitmap network masks |
| US8161549B2 (en) * | 2005-11-17 | 2012-04-17 | Patrik Lahti | Method for defending against denial-of-service attack on the IPV6 neighbor cache |
| JP2008177714A (ja) * | 2007-01-17 | 2008-07-31 | Alaxala Networks Corp | ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置 |
| US8312270B1 (en) * | 2007-12-17 | 2012-11-13 | Trend Micro, Inc. | DHCP-based security policy enforcement system |
| US8387145B2 (en) * | 2009-06-08 | 2013-02-26 | Microsoft Corporation | Blocking malicious activity using blacklist |
| JP2011129968A (ja) * | 2009-12-15 | 2011-06-30 | Panasonic Corp | 通信端末装置 |
| US8561187B1 (en) * | 2010-09-30 | 2013-10-15 | Webroot Inc. | System and method for prosecuting dangerous IP addresses on the internet |
| US20130268351A1 (en) * | 2012-04-05 | 2013-10-10 | Comscore, Inc. | Verified online impressions |
| CN102984288B (zh) * | 2012-11-19 | 2017-11-17 | 中兴通讯股份有限公司 | 一种自动管理IPv6地址冲突的方法及系统 |
-
2014
- 2014-02-17 JP JP2014027543A patent/JP6213292B2/ja active Active
- 2014-08-25 US US14/467,776 patent/US20150237059A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| JP2015154326A (ja) | 2015-08-24 |
| US20150237059A1 (en) | 2015-08-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7471684B2 (en) | Preventing asynchronous ARP cache poisoning of multiple hosts | |
| US9344429B2 (en) | Network apparatus based on content name and method for protecting content | |
| EP2469787B1 (en) | Method and device for preventing network attacks | |
| US20090016343A1 (en) | Communication system, router, method of communication, method of routing, and computer program product | |
| US20140020067A1 (en) | Apparatus and method for controlling traffic based on captcha | |
| US9392019B2 (en) | Managing cyber attacks through change of network address | |
| CN101827138B (zh) | 一种优化的ipv6过滤规则处理方法和设备 | |
| JP2013090089A (ja) | 情報処理装置、情報処理方法、及びプログラム | |
| JP6213292B2 (ja) | 情報処理装置及び情報処理プログラム | |
| US7916733B2 (en) | Data communication apparatus, data communication method, program, and storage medium | |
| JP2006352719A (ja) | ネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法 | |
| JP6418232B2 (ja) | ネットワーク管理装置、ネットワークシステム、ネットワーク管理方法およびプログラム | |
| CN101552724B (zh) | 一种邻居表项的生成方法和装置 | |
| JP2007104396A (ja) | 不正接続防止システムおよび方法、プログラム | |
| US20050243730A1 (en) | Network administration | |
| JP2018074395A (ja) | データ通信システム、キャッシュdns装置及び通信攻撃防止方法 | |
| JP7376289B2 (ja) | アドレス監視装置およびアドレス監視方法 | |
| JP7120030B2 (ja) | 検知装置、検知方法、および、検知プログラム | |
| US20170289099A1 (en) | Method and Device for Managing Internet Protocol Version 6 Address, and Terminal | |
| CN111866005A (zh) | 基于区块链的arp欺骗攻击防御方法、系统及装置 | |
| JP2007258986A (ja) | 通信装置、通信方法および通信プログラム | |
| JP5413940B2 (ja) | シンクライアントネットワーク、シンクライアント、不正接続防止装置、これらの動作方法、及び記録媒体 | |
| CN111447213B (zh) | 用于发现服务的验证码确定方法、装置及设备发现系统 | |
| Bi et al. | Source Address Validation Improvement (SAVI) for Mixed Address Assignment Methods Scenario | |
| CN108429823B (zh) | Dhcp网络中防止mac地址漂移的方法及交换设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160722 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170512 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170516 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170711 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170822 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170904 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6213292 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |