JP6476530B2 - 情報処理装置、方法およびプログラム - Google Patents

情報処理装置、方法およびプログラム Download PDF

Info

Publication number
JP6476530B2
JP6476530B2 JP2017513865A JP2017513865A JP6476530B2 JP 6476530 B2 JP6476530 B2 JP 6476530B2 JP 2017513865 A JP2017513865 A JP 2017513865A JP 2017513865 A JP2017513865 A JP 2017513865A JP 6476530 B2 JP6476530 B2 JP 6476530B2
Authority
JP
Japan
Prior art keywords
terminal
communication data
physical address
communication
destination
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017513865A
Other languages
English (en)
Other versions
JPWO2016170598A1 (ja
Inventor
成吾 寺田
成吾 寺田
峻 小林
峻 小林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
PFU Ltd
Original Assignee
PFU Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by PFU Ltd filed Critical PFU Ltd
Publication of JPWO2016170598A1 publication Critical patent/JPWO2016170598A1/ja
Application granted granted Critical
Publication of JP6476530B2 publication Critical patent/JP6476530B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0882Utilisation of link capacity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3485Performance evaluation by tracing or monitoring for I/O devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/16Multipoint routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1076Screening of IP real time communications, e.g. spam over Internet telephony [SPIT]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1034Reaction to server failures by a load balancer
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0654Management of faults, events, alarms or notifications using network fault recovery
    • H04L41/0668Management of faults, events, alarms or notifications using network fault recovery by dynamic selection of recovery network elements, e.g. replacement by the most appropriate element after failure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/065Generation of reports related to network devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Computing Systems (AREA)
  • Business, Economics & Management (AREA)
  • Multimedia (AREA)
  • General Business, Economics & Management (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本開示は、ネットワークにおいて通信を制御する技術に関する。
従来、未登録端末から送信された重複アドレス検出の近隣要請メッセージを受信すると、アドレスが重複している旨を返信し、また、違反端末から送信され、目標がパッチサーバとポリシーマネージャのどちらでもない近隣要請メッセージを受信すると、受信した近隣要請メッセージの送信元に、目標に対するリンク層アドレスを偽りのものに変更する旨を返信することによって、不正端末がネットワーク内で通信を行うことをブロックしつつ、パッチサーバ及びポリシーマネージャが違反端末と通信することを許可する不正接続防止装置が提案されている(特許文献1を参照)。
特開2011−217016号公報
従来、IPv4(Internet Protocol version 4)環境で使用されているARP(Address Resolution Protocol)/GARP(Gratuitous ARP)を利用して、ネットワークに接続された端末が保持するARPテーブルを書き換えることで、端末間の通信を制御する技術が存在する。しかし、IPv6(Internet Protocol version 6)環境では、ARP/GARPを使用することが出来ないため、従来の方法でIPv6通信を制御することは出来ない。また、IPv4およびIPv6が共存するデュアルスタック環境においても、ARP/GARPを利用した通信制御方式では、IPv4通信を制御することのみ可能であり、IPv6通信を制御することは出来ない。
本開示は、上記した問題に鑑み、IPv6環境において通信を制御することを課題とする。
本開示の一例は、ネットワーク上の通信データを取得する通信データ取得手段と、取得された通信データの送信元または宛先に含まれている端末が、所定の条件に合致する対象端末であるか否かを判定する対象端末判定手段と、前記対象端末に対して、該対象端末以外の端末の物理アドレスとして所定の端末の物理アドレスを通知することで、該対象端末から送信される通信データを、該所定の端末に誘導する、通信誘導手段と、を備える、情報処理装置である。
本開示は、情報処理装置、システム、コンピュータによって実行される方法またはコンピュータに実行させるプログラムとして把握することが可能である。また、本開示は、そのようなプログラムをコンピュータその他の装置、機械等が読み取り可能な記録媒体に記録したものとしても把握出来る。ここで、コンピュータ等が読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的または化学的作用によって蓄積し、コンピュータ等から読み取ることが出来る記録媒体をいう。
本開示によれば、IPv6環境において通信を制御することが可能となる。
実施形態に係るシステムの構成を示す概略図である。 実施形態に係るネットワーク監視装置のハードウェア構成を示す図である。 実施形態に係るネットワーク監視装置の機能構成の概略を示す図である。 実施形態に係る端末管理処理の流れを示すフローチャートである。 実施形態に係る通信解析処理の流れを示すフローチャートである。 実施形態に係る通信誘導処理の流れを示すフローチャートである。 実施形態に係る転送パケット生成処理の流れを示すフローチャートである。 実施形態に係る復元パケット生成処理の流れを示すフローチャートである。 システムの構成のバリエーションを示す概略図である。
以下、本開示に係る情報処理装置を含むシステム1の実施の形態について、図面に基づいて説明する。なお、本実施形態では、管理サーバを用いて管理されるシステムにおいて通信の誘導を行う例について説明しているが、本開示に係る技術は、本実施形態に例示したシステムとは異なる構成が採用されたシステムにおいても、通信の誘導、監視または制限を行うために用いることが出来る。
<システムの構成>
図1は、本実施形態に係るシステム1の構成を示す概略図である。本実施形態に係るシステム1は、管理対象となる1または複数のユーザ端末90が接続されるネットワークセグメント2と、ルータ10を介してネットワークセグメント2上のユーザ端末90と通信可能に接続されている業務サーバ50および管理サーバ30と、ルータ10のモニタリングポートに接続されたネットワーク監視装置20と、を備える。
ここで、業務サーバ50は、ユーザ端末90に対して業務のためのサービスを提供する。また、管理サーバ30は、ネットワーク利用申請Webサーバやパッチ配布サーバ、検疫サーバ等としての役割を備えている。例えば、管理サーバ30は、ネットワークセグメント2に接続されたユーザ端末90について、利用申請に対する管理者承認の有無や検疫結果に基づいて、当該ユーザ端末90が「正常」な端末か「異常」な端末かを決定することで、ユーザ端末90のネットワークセグメント2における通信の許可/不許可を管理する。
なお、本実施形態に係るシステム1では、ユーザ端末90から接続される各種サーバは、インターネットや広域ネットワークを介して遠隔地において接続されるが、これらのサーバは、必ずしも遠隔地に接続されたものである必要はない。例えば、これらのサーバは、ユーザ端末90やネットワーク監視装置20が存在するローカルネットワーク上に接続されていてもよい。
図2は、本実施形態に係るネットワーク監視装置20のハードウェア構成を示す図である。ネットワーク監視装置20は、CPU(Central Processing Unit)11、RAM(Random Access Memory)13、ROM(Read Only Memory)12、EEPROM(Electrically Erasable and Programmable Read Only Memory)やHDD(Hard Disk Drive)等のストレージ14、通信ユニット(Network Interface Card)15、等を備えるコンピュータである。但し、ネットワーク監視装置20の具体的なハードウェア構成に関しては、実施の態様に応じて適宜省略や置換、追加が可能である。また、ネットワーク監視装置20は、単一の装置に限定されない。ネットワーク監視装置20は、所謂クラウドや分散コンピューティングの技術等を用いた、複数の装置によって実現されてよい。
なお、図2においては、ネットワーク監視装置20以外の構成(ルータ10、管理サーバ30、業務サーバ50およびユーザ端末90等)については、図示を省略しているが、ルータ10、管理サーバ30、ユーザ端末90、および業務サーバ50等は、何れも、ネットワーク監視装置20と同様のハードウェア構成を有するコンピュータである。
図3は、本実施形態に係るネットワーク監視装置20の機能構成の概略を示す図である。ネットワーク監視装置20は、ストレージ14に記録されているプログラムが、RAM13に読み出され、CPU11によって実行されることで、通信データ取得部21、管理部22、対象端末判定部23、種別判定部24、通信誘導部25、通信遮断部26、通信転送部27および誘導解除部28を備える情報処理装置として機能する。なお、本実施形態では、情報処理装置の備える各機能は、汎用プロセッサであるCPU11によって実行されるが、これらの機能の一部または全部は、1または複数の専用プロセッサによって実行されてもよい。
通信データ取得部21は、ネットワーク上の通信データを取得する。上述の通り、ネットワーク監視装置20は、ルータ10のモニタリングポートに接続されており、このモニタリングポートに出力されるパケットを取得することで、ユーザ端末90によって送受信されるパケット(通信データ)を取得する。
管理部22は、ユーザ端末90やルータ10、業務サーバ50、管理サーバ30等の、ネットワーク上の端末の端末情報を管理する。具体的には、管理部22は、ネットワークの管理者によって入力された情報や、通信データ取得部21によって取得された通信データを解析することによって得られた情報に基づいて、ネットワークに接続された端末のMACアドレス(物理アドレス)およびこれに対応するIPv6アドレス(論理アドレス)を、ストレージ14上の端末情報テーブルに蓄積・管理する。更に、管理部22は、端末情報テーブルに、端末ステータス、誘導情報および転送パケット情報等を蓄積・管理する。
ここで、端末ステータスは、管理サーバ30によって決定された各端末のステータス(正常/異常)を示す情報であり、各端末の端末情報に関連付けられて保存される。上述の通り、本実施形態において、管理サーバ30は、ネットワーク利用申請Webサーバやパッチ配布サーバ、検疫サーバ等としての役割を備えている。このため、例えば、管理サーバ30は、管理者未承認の端末や、検疫未合格の端末、マルウェアによると推測される通信が検知された端末等について、端末ステータス「異常」を設定するよう、ネットワーク監視装置20に通知する。また、管理サーバ30は、管理者承認済みの端末や、検疫に合格した端末について、端末ステータス「正常」を設定するよう、ネットワーク監視装置20に通知する。管理サーバ30による通知を受けたネットワーク監視装置20の管理部22は、通知された端末ステータスを、該当する端末の端末情報に関連付けて、端末情報テーブルに保存する。
また、誘導情報は、送信された誘導パケットの種類および正しいアドレス情報が、誘導パケットが通知された各端末の端末情報に紐付けて記録された情報である。ここで、誘導パケットとは、偽のアドレス情報を通知したパケットであり、正しいアドレス情報とは、IPv6アドレスと、当該IPv6アドレスに対応する正しいMACアドレスとの組み合わせである。誘導パケットの種類については、処理の流れの説明において後述する。
また、転送パケット情報は、取得パケットが転送の対象となるための条件、および転送の対象となったパケットの転送先アドレスが含まれる情報である。本実施形態では、例えば、転送条件として、「取得パケットがHTTP(Hypertext Transfer Protocol)パケットであること」が設定される。そして、HTTPパケットの転送先には、例えば、管理サーバ30のIPv6アドレスが設定されている。
対象端末判定部23は、取得された通信データの送信元または宛先と、管理部22によって通信誘導の対象として管理されている端末情報とを比較することで、通信データの送信元または宛先に含まれている端末が、所定の条件に合致する対象端末であるか否かを判定する。ここで、「通信誘導の対象として管理されている端末情報」は、本実施形態では、端末情報テーブルにおいて、端末ステータス「異常」が設定されている端末の情報である。
種別判定部24は、通信データの種別を判定する。種別判定部24は、通信データ(パケット)のヘッダーやボディを解析することで、通信データのプロトコル種別や、メッセージ種別、マルチキャスト/ユニキャストの種別、等を判定する。
通信誘導部25は、対象端末に対して、当該対象端末以外の端末のMACアドレスとして所定の端末のMACアドレスを通知することで、対象端末の近隣キャッシュを操作し、当該対象端末から送信される通信データを、当該所定の端末に誘導し、また、対象端末以外の端末に対して、当該対象端末のMACアドレスとして所定の端末のMACアドレスを通知することで、通知を受けた各端末の近隣キャッシュを操作し、当該対象端末を宛先として送信される通信データを、当該所定の端末に誘導する。
なお、本実施形態において、通信誘導部25は、所定の端末のMACアドレスとして、ネットワーク監視装置20のMACアドレスを通知することで、通信データをネットワーク監視装置20に誘導する。但し、所定の端末のMACアドレスとして通知されるMACアドレスは、本実施形態における例に限定されない。通信誘導部25は、所定の端末のMACアドレスとして、誘導された通信データを取得させたい端末のMACアドレスを通知することが出来る。
本実施形態では、誘導の対象となる通信はIPv6通信であり、誘導にはICMPv6(Internet Control Message Protocol for IPv6)のNDP(Neighbor Discovery Protocol:近隣者発見プロトコル)が用いられる。具体的には、本実施形態において通信の誘導に用いられるパケットの種類は、ICMPv6のNDPで用いられる「近隣広告(NA)メッセージ」または「ルータ広告(RA)メッセージ」である。
なお、通信誘導部25は、誘導対象の端末のアクセスリストに正しい通信相手から通知されたMACアドレスが保持されることを防止するため、誘導用のMACアドレスを、時間をおいて複数回通知してもよい。複数回通知する場合の回数および時間間隔は、実施の形態に応じて適宜設定されることが好ましい。
通信遮断部26は、通信誘導部25による誘導の結果ネットワーク監視装置20に取得された通信データのうち、少なくとも一部を本来の宛先に転送しないことで、対象端末に係る通信の少なくとも一部を遮断する。
通信転送部27は、通信誘導部25による誘導の結果ネットワーク監視装置20に取得された、対象端末から送信された通信データが、種別判定部24によって、所定の宛先に転送してよい種別の通信データであると判定された場合に、当該通信データを所定の宛先(例えば、管理サーバ30)に転送する。
誘導解除部28は、対象端末判定部23によって一旦対象端末であると判定された端末が、所定の条件に合致しなくなった場合に、偽のMACアドレスが通知されることによって通信誘導されていた各端末に対して、正しいMACアドレスを通知することで、通信誘導部25による通信の誘導を解除する。具体的には、誘導解除部28は、対象端末以外の端末に対して、対象端末の正しいMACアドレスを通知し、対象端末に対して、対象端末以外の端末のMACアドレスを通知することで、通信誘導部25による通信の誘導を解除する。
<処理の流れ>
次に、本実施形態に係るネットワーク監視装置20によって実行される処理の流れを、フローチャートを用いて説明する。なお、以下に説明する処理の具体的な内容および順序は、本開示に係る技術を実施するための一例である。具体的な処理内容および処理順序は、本開示に係る技術の実施の形態に応じて適宜選択されてよい。
図4は、本実施形態に係る端末管理処理の流れを示すフローチャートである。本実施形態に係る端末管理処理は、管理サーバ30によって送信された、端末ステータスを変更する通知が受信されたことを契機として開始される。端末ステータス変更の通知は、変更の対象となる端末を特定可能な情報(例えば、MACアドレスまたはIPv6アドレス)と、変更の内容と、を含む。
ステップS101からステップS104では、受信された通知に含まれる変更の内容が判定され、端末ステータスが変更される。変更の内容が、端末ステータスを「正常」から「異常」へ変更するものである場合(ステップS101のYES)、管理部22は、受信された通知に指定された端末を特定可能な情報(例えば、MACアドレスまたはIPv6アドレス)に基づいて、端末情報テーブルから、変更対象の端末情報を索出し、当該端末情報に紐付けられた端末ステータスを「異常」に設定する(ステップS102)。その後、処理はステップS105へ進む。
一方、変更の内容が、端末ステータスを「異常」から「正常」へ変更するものである場合、(ステップS103のYES)、管理部22は、受信された通知に指定された端末を特定可能な情報に基づいて、端末情報テーブルから、変更対象の端末情報を索出し、当該端末の端末ステータスを「正常」に設定する(ステップS104)。その後、処理はステップS107へ進む。
ステップS105およびステップS106では、通信誘導パケットが生成および送信される。端末のステータスが「正常」から「異常」へ変更された場合、通信誘導部25は、該当端末に対してデフォルトルータに関する誘導用の近隣広告(NA)メッセージまたは誘導用のルータ広告(RA)メッセージを生成し、送信する。
具体的には、通信誘導部25は、端末ステータス変更の対象となった端末(誘導対象端末)に対して、ネットワーク監視装置20自身のMACアドレス、ルータフラグ(Rフラグ)、到達可能フラグ(Sフラグ)、上書きフラグ(Oフラグ)を設定した近隣広告(NA)メッセージを生成し(ステップS105)、通信ユニット15から送信する(ステップS106)。または、通信誘導部25は、誘導対象端末に対して、リンクローカル内のルータのIPv6アドレスに対応するMACアドレスとしてネットワーク監視装置20自身のMACアドレスを広告するルータ広告(RA)メッセージを生成し(ステップS105)、通信ユニット15から送信する(ステップS106)。このような誘導用のメッセージが送信されることで、誘導対象端末の近隣キャッシュが制御され、誘導対象端末のIPv6通信がネットワーク監視装置20へ誘導される。その後、本フローチャートに示された処理は終了する。
ステップS107では、復元パケット生成処理が実行される。端末のステータスが「異常」から「正常」へ変更された場合、誘導解除部28は、関連する端末の近隣キャッシュに正しいMACアドレスを通知(近隣キャッシュを復元)して通信の誘導を終了させるために、復元パケット生成処理を実行する。復元パケット生成処理の具体的な処理内容については、図8のフローチャートを参照して後述する。その後、本フローチャートに示された処理は終了する。
図5は、本実施形態に係る通信解析処理の流れを示すフローチャートである。本実施形態に係る通信解析処理は、ネットワーク監視装置20によって、パケットが取得されたことを契機として開始される。
ステップS201では、取得されたパケットがIPv6パケットであるか否かが判定される。通信データ取得部21は、ネットワーク監視装置20によって取得されたパケットのヘッダー等を参照することで、当該パケットが、IPv6パケットであるか否かを判定する。本実施形態に係る通信制御は、IPv6通信を対象とした通信制御であるため、取得されたパケットがIPv6パケットではないと判定された場合、処理はステップS209へ進み、当該パケットは破棄される。但し、取得されたパケットがIPv6パケットではない場合(例えば、IPv4パケットであった場合)でも、該当するプロトコルのための処理(説明は省略する)に進み、通信解析および通信誘導等の処理が行われてもよい。一方、取得されたパケットがIPv6パケットであると判定された場合、処理はステップS202へ進む。
ステップS202からステップS204では、取得パケットから情報が抽出され、抽出された情報に基づいて、通信に係る端末が、通信誘導処理の対象端末であるか否かが判定される。対象端末判定部23は、取得されたパケットから送信元端末情報として送信元MACアドレス、送信元IPv6アドレスを取得し、宛先端末情報として宛先MACアドレス、宛先IPv6アドレスを取得する(ステップS202)。そして、対象端末判定部23は、ステップS202で抽出された情報に基づいて、取得パケットの送信元または宛先に含まれている端末が、所定の条件に合致する対象端末であるか否かを判定する(ステップS203およびステップS204)。
送信元端末がルータ10であり、且つ宛先がマルチキャストで指定されている場合(ステップS203のYES)、処理はステップS206の誘導パケット生成処理へ進む。これは、マルチキャストの宛先の中に、誘導対象端末が含まれている可能性があるためである。
また、ステップS203における判定結果がNOであった場合(即ち、ユニキャストパケットであるか、送信元がルータでないマルチキャストパケットである場合)、対象端末判定部23は、ステップS202で抽出された送信元アドレスおよび宛先アドレスと、端末情報テーブルに予め蓄積されている端末情報とを比較することで、パケットの送信元または宛先に係る端末が、通信誘導処理の対象端末(端末ステータスに「異常」が設定されている端末)であるか否かを判定する(ステップS204)。端末ステータスを確認した結果、送信元端末および宛先端末が何れも誘導対象で無い場合には、処理はステップS209へ進み、取得パケットは破棄される。一方、端末ステータスを確認した結果、パケットの送信元および宛先に係る端末の少なくとも何れかの端末ステータスが「異常」であり、通信誘導処理の対象端末であると判定された場合、処理はステップS205へ進む。
ステップS205では、宛先MACアドレスがネットワーク監視装置20のMACアドレスであるか否かが判定される。取得パケットが既に通信誘導されているパケットであるか否かを判定するために、ネットワーク監視装置20は、取得パケットに設定されている宛先MACアドレスがネットワーク監視装置20のMACアドレスであるか否かを判定する。宛先MACアドレスがネットワーク監視装置20のMACアドレスであると判定された場合、既に当該パケットは通信誘導が成功したパケットであるため、処理はステップS207へ進む。一方、宛先MACアドレスがネットワーク監視装置20のMACアドレスでないと判定された場合、当該パケットは通信誘導が行われていないパケットであるため、処理はステップS206の誘導パケット生成処理へ進む。
ステップS206では、誘導パケット生成処理が行われる。誘導パケット生成処理の具体的な処理内容については、図6のフローチャートを参照して後述する。
ステップS207およびステップS208では、取得されたパケットが転送対象のパケットである場合に、転送パケット生成処理が実行される。種別判定部24は、予め端末情報テーブルに設定された転送パケット情報に基づいて、ステップS205において通信誘導に成功していると判定された取得パケットのヘッダーやボディを解析することで、取得パケットが転送の対象であるか否かを判定し、転送先を決定する(ステップS207)。取得されたパケットが転送対象のパケットであると判定された場合、転送パケット生成処理が実行される(ステップS208)。一方、取得されたパケットが転送対象のパケットでないと判定された場合、処理はステップS209へ進む。
先述の通り、本実施形態では、例えば、転送条件として、「取得パケットがHTTPパケットであること」が設定され、転送先として、例えば、管理サーバ30のMACアドレスおよびIPv6アドレスが設定される。このため、ステップS207では、例えば、取得パケットがHTTPパケットである場合に、取得パケットが転送対象であると判定され、取得パケットの転送先として管理サーバ30のMACアドレスおよびIPv6アドレスが決定される。
このようにすることで、管理者より承認されていないために端末ステータス「異常」が設定されている端末からのHTTPアクセスを管理サーバ30にリダイレクトすることが出来る。リダイレクトされたHTTPアクセスを受けた管理サーバ30は、例えば、ネットワーク利用申請のためのWebページ等を、当該取得パケットの送信元端末(未承認の端末)に対して送信する。未承認の端末は、当該Webページを介して管理サーバ30にネットワーク利用申請を送信する。その後、ネットワーク利用申請が管理者によって承認されると、管理サーバ30は、端末ステータスを「正常」に変更するための通知をネットワーク監視装置20に対して送信する。通知を受けたネットワーク監視装置20による処理については、図4を用いて既に説明した通りである。また、リダイレクトされたパケットを受信した管理サーバ30は、端末ステータス「異常」が設定されている端末に対して、パッチの配布や、検疫を行ってもよい。
即ち、本実施形態に係る技術によれば、許可されていない端末による不要な通信を遮断しつつ、誘導した該当端末のIPv6パケットをネットワーク利用申請Webサーバやパッチ配布サーバ、検疫サーバ等の役割を備える管理サーバ30へ転送して、ネットワーク運用・管理の負荷軽減を行うことが出来る。転送パケット生成処理の具体的な処理内容については、図7のフローチャートを参照して後述する。
ステップS209では、取得パケットが破棄される。通信遮断部26は、取得パケットを本来の宛先に転送せず、パケットを破棄する。則ち、本実施形態に係るシステムでは、対象端末に係るパケットをネットワーク監視装置20へ誘導し、誘導したパケットを転送しない(破棄する)ことで、誘導対象端末に係るネットワーク内での通信を遮断することとしている。その後、本フローチャートに示された処理は終了する。
図6は、本実施形態に係る通信誘導処理の流れを示すフローチャートである。本フローチャートは、図5のステップS206の通信誘導処理をより詳細に説明するものである。
ステップS301からステップS304では、取得パケットが、ICMPv6のNDPで用いられる所定のメッセージに該当するかが判定される。種別判定部24は、取得パケットのヘッダーを参照することで、取得パケットが、NDPで用いられる、ルータ要請(RS: Router Solicitation)メッセージ、ルータ広告(RA: Router Advertisement)メッセージ、近隣要請(NS: Neighbor Solicitation)メッセージおよび近隣広告(NA: Neighbor Advertisement)メッセージの何れに該当するかを判定する。
ここで、ルータ要請(RS)メッセージは、ネットワーク上のルータのMACアドレスを含むルータ情報を問い合わせる種別の通信データであり、ルータ広告(RA)メッセージは、ルータのMACアドレスを含むルータ情報をユニキャスト/マルチキャストによって通知する種別の通信データであり、近隣要請(NS)メッセージは、ネットワーク上の端末のIPv6アドレスに対応するMACアドレスを問い合わせる種別の通信データであり、近隣広告(NA)メッセージは、ネットワーク上の端末のIPv6アドレスに対応するMACアドレスを通知する種別の通信データである。
取得パケットが、ルータ広告(RA)メッセージを含むパケットであると判定された場合、処理はステップS306へ進む。取得パケットが、ルータ要請(RS)メッセージを含むパケットであると判定された場合、処理はステップS309へ進む。取得パケットが、近隣要請(NS)メッセージを含むパケットであると判定された場合、処理はステップS310へ進む。取得パケットが、近隣広告(NA)メッセージを含むパケットであると判定された場合、処理はステップS312へ進む。取得パケットが、上記の何れの種別のパケットでもないと判定された場合、処理はステップS305へ進む。
ステップS305では、取得パケットが、ユニキャストパケットであるか否かが判定される。種別判定部24は、上記したステップS301からステップS304において、NDPのルータ要請(RS)メッセージ、ルータ広告(RA)メッセージ、近隣要請(NS)メッセージおよび近隣広告(NA)メッセージの何れでもないと判定された取得パケットが、その他の種別の通信(例えば、TCP/UDP通信やICMPv6のPing)に係るユニキャストパケットであるか否かを判定する。判定は、ヘッダーに設定されたプロトコル番号および宛先IPv6アドレス等を参照することで行われる。取得パケットがユニキャストパケットであると判定された場合、処理はステップS312へ進む。一方、取得パケットがマルチキャストパケットであると判定された場合、処理はステップS313へ進む。
ステップS306からステップS308では、取得パケットがルータ広告(RA)メッセージであると判定された場合の誘導パケット生成処理が実行される。取得パケットがルータ広告(RA)メッセージである場合、種別判定部24は、宛先IPv6アドレスがユニキャストアドレスであるか否かを判定する(ステップS306)。
宛先アドレスがユニキャストアドレスである場合(ステップS306のYES)、通信誘導部25は、ルータ10に対して、宛先端末のMACアドレスとしてネットワーク監視装置20のMACアドレスを通知するための誘導用近隣広告(NA)メッセージを生成し、当該パケットの宛先端末に対して、ルータ10のMACアドレスとしてネットワーク監視装置20のMACアドレスを通知するための、誘導用ルータ広告(RA)メッセージを生成する(ステップS307)。その後、処理はステップS314へ進む。
宛先アドレスがマルチキャストアドレスである場合(ステップS306のNO)、通信誘導部25は、取得パケットのルータ広告(RA)メッセージからルータ情報を取得し、ルータ10のMACアドレスとしてネットワーク監視装置20のMACアドレスを通知するための、ユニキャストの誘導用ルータ広告(RA)メッセージを、当該マルチキャストの宛先に含まれる1または複数の端末の夫々に対して生成する(ステップS308)。その後、処理はステップS314へ進む。
ステップS309では、取得パケットがルータ要請(RS)メッセージであると判定された場合の誘導パケット生成処理が実行される。種別判定部24によって、パケットがルータ要請であると判定された場合、通信誘導部25は、当該パケットの送信元端末に対して、ルータ10のMACアドレスとしてネットワーク監視装置20のMACアドレスを通知するための誘導用ルータ広告(RA)メッセージを生成し、当該パケットの宛先ルータに対して、送信元端末のMACアドレスとしてネットワーク監視装置20のMACアドレスを通知するための誘導用近隣広告(NA)メッセージを生成する。その後、処理はステップS314へ進む。
ステップS310から311では、取得パケットが近隣要請(NS)メッセージによる重複アドレス検知であると判定された場合の誘導パケット生成処理が実行される。近隣要請(NS)メッセージに設定された宛先IPv6アドレスと送信元IPv6アドレスとが同一である場合(ステップS310のNO、つまり、重複アドレス検知である場合)、通信誘導部25は、取得パケットを受信する端末の夫々に対して、送信元IPv6アドレスに対応するMACアドレスとしてネットワーク監視装置20のMACアドレスを通知するための誘導用近隣広告(NA)メッセージを生成する(ステップS311)。ここで、重複アドレス検知とは、自端末(即ち、この場合は送信元のユーザ端末90)のIPv6アドレスを有する端末のMACアドレスを問合せる近隣要請(NS)メッセージであり、ユーザ端末90は、近隣要請(NS)メッセージに対する他の端末からの応答に基づいて、ネットワークセグメント2内におけるIPv6アドレスが重複する他の端末の有無を判断する。また、取得パケットが、近隣要請(NS)メッセージである場合、通信誘導部25は、取得パケットの送信元端末に対して、取得パケットのアドレス解決対象のIPv6アドレスに対応するMACアドレスをネットワーク監視装置20のものとした誘導用近隣広告(NA)メッセージを生成する(ステップS311またはステップS312)。その後、処理はステップS314へ進む。
ステップS312では、取得パケットが、重複アドレス検知以外の近隣要請(NS)メッセージ、近隣広告(NA)メッセージ、またはNDPメッセージではないユニキャストパケットであると判定された場合の、誘導パケット生成処理が実行される。取得パケットが、重複アドレス検知以外の近隣要請(NS)メッセージ、近隣広告(NA)メッセージ、またはNDPメッセージではないユニキャストパケットであると判定された場合、通信誘導部25は、当該パケットの送信元端末に対して、宛先端末のMACアドレスとしてネットワーク監視装置20のMACアドレスを通知するための誘導用近隣広告(NA)メッセージを生成し、当該パケットの宛先端末に対して、送信元端末のMACアドレスとしてネットワーク監視装置20のMACアドレスを通知するための誘導用近隣広告(NA)メッセージを生成する。具体的には、通信誘導部25は、ネットワーク監視装置20自身のMACアドレス、ルータフラグ(Rフラグ)、到達可能フラグ(Sフラグ)、上書きフラグ(Oフラグ)を設定した近隣広告(NA)メッセージを生成する。その後、処理はステップS314へ進む。
ステップS313では、取得パケットが、所定のNDPメッセージ以外のマルチキャストパケットであると判定された場合の、誘導パケット生成処理が実行される。取得パケットが、NDPのルータ要請(RS)、ルータ広告(RA)、近隣要請(NS)および近隣広告(NA)の何れでもなく、且つ宛先アドレスがマルチキャストアドレスで指定されている場合、通信誘導部25は、取得パケットを受信する端末の夫々に対して、送信元IPv6アドレスに対応するMACアドレスとしてネットワーク監視装置20のMACアドレスを通知するための、誘導用近隣広告(NA)メッセージを生成する。また、通信誘導部25は、当該パケットの送信元端末に対して、宛先マルチキャストアドレスに含まれる端末のMACアドレスとしてネットワーク監視装置20のMACアドレスを通知するための誘導用近隣広告(NA)メッセージを生成する。その後、処理はステップS314へ進む。
ステップS314およびステップS315では、誘導情報が記録され、誘導パケットが送信される。誘導パケットが生成されると、管理部22は、送信された誘導パケットの種類(近隣広告(NA)メッセージ/ルータ広告(RA)メッセージ)、および通信誘導のために通知される偽のMACアドレスではない正しいMACアドレスを、通知された各端末の端末情報に紐付けて、誘導情報として端末情報テーブルに記録する(ステップS314)。そして、通信誘導部25は、通信ユニット15を介して、生成されたパケットを送信する。その後、本フローチャートに示された処理は終了する。
図7は、本実施形態に係る転送パケット生成処理の流れを示すフローチャートである。本フローチャートは、図5のステップS208の転送パケット生成処理をより詳細に説明するものである。
はじめに、通信転送部27は、取得パケットの送信元MACアドレス、送信元IPv6アドレスをネットワーク監視装置20自身のものへと変更することが必要であるか否かを判断する(ステップS401)。例えば、当該取得パケットが、ルータ10を超えて異なるネットワークセグメント間で通信を行うものである場合には、送信元MACアドレスの変更が必要であると判定される。また、例えば、当該取得パケットが、ネットワークアドレス変換されるものである場合、送信元IPv6アドレスの変更が必要であると判定される。送信元アドレスの変更が必要であると判定された場合、通信転送部27は、取得パケットの送信元MACアドレス、送信元IPv6アドレスをネットワーク監視装置20自身のものへと変更する(ステップS402)。一方、送信元アドレスの変更が不要であると判定された場合、ステップS402の処理はスキップされる。
そして、通信転送部27は、宛先IPv6アドレスに対応する端末の正しいMACアドレスを端末情報テーブルより読み出し、転送パケットの宛先MACアドレスに設定することで、転送パケットを生成する(ステップS403)。転送パケットが生成されると、通信転送部27は、生成された転送パケットを、通信ユニット15を介して、ネットワークに送出する(ステップS404)。その後、本フローチャートに示された処理は終了する。
図8は、本実施形態に係る復元パケット生成処理の流れを示すフローチャートである。本フローチャートは、図4のステップS107の復元パケット生成処理をより詳細に説明するものである。
はじめに、誘導解除部28は、誘導解除の対象となる1または複数の端末に係る誘導情報を、端末情報テーブルから読み出す(ステップS501)。ここで、誘導情報は、上述の通り、送信された誘導パケットの種類(近隣広告(NA)メッセージ/ルータ広告(RA)メッセージ)、および正しいMACアドレスが、通知された各端末の端末情報に紐付けて記録された情報である。関連する誘導情報が読み出されると、誘導解除部28は、誘導解除の対象となる1または複数の端末の夫々に対する復元パケットを生成する(ステップS502からステップS504)。
具体的には、誘導解除部28は、ステップS501で取得された誘導情報を参照することで、復元パケットの宛先となる端末が近隣広告(NA)メッセージおよびルータ広告(RA)メッセージの何れのメッセージによって通信誘導されたかを判定する(ステップS502)。
復元パケットの宛先となる端末(以下、「誘導解除対象端末」と称する)が、近隣広告(NA)メッセージによって通信誘導されたと判定された場合(ステップS502のYES)、誘導解除部28は、ステップS104で端末ステータスが「正常」となった端末に関連して通知されていた偽のMACアドレスに対応する正しいIPv6アドレスと正しいMACアドレスの組み合わせを誘導情報から読み出して、これを誘導解除対象端末に通知するためのユニキャストの近隣広告(NA)メッセージを生成する(ステップS503)。
一方、誘導解除対象端末が、ルータ広告(RA)メッセージによって通信誘導されたと判定された場合(ステップS502のNO)、誘導解除部28は、ステップS104で端末ステータスが「正常」となった端末に関連して通知されていた偽のMACアドレスに対応する正しいIPv6アドレスと正しいMACアドレスの組み合わせを誘導情報から読み出して、これを誘導解除対象端末に通知するためのユニキャストのルータ広告(RA)メッセージを生成する(ステップS504)。
ステップS502からステップS504の処理は、誘導解除の対象となる全ての端末についての復元パケットが生成されるまで、繰り返し実行される(ステップS505)。誘導解除の対象となる全ての端末についての復元パケットが生成されると、誘導解除部28は、生成された復元パケットを、通信ユニット15を介して、ネットワークに送出する(ステップS506)。その後、本フローチャートに示された処理は終了する。
<バリエーション>
上記実施形態では、ネットワーク監視装置20が、スイッチ、ルータまたはゲートウェイ(図1に示した例では、ルータ10)のモニタリングポートから、ユーザ端末90によって送受信されるパケットやフレーム等を取得し、取得したパケットを転送しないパッシブモードで動作する例について説明した(図1を参照)。但し、上記実施形態に示したネットワーク構成は、本開示に係る技術を実施するための一例であり、実施にあたってはその他のネットワーク構成が採用されてもよい。
図9は、本開示に係るシステムの構成のバリエーションを示す概略図である。図9に例示した構成が採用される場合、ネットワーク監視装置20は、ネットワーク上の各ユーザ端末90と、スイッチ、プロキシ、ゲートウェイまたはルータと、の間に接続されることで、ユーザ端末90によって送受信されるパケットやフレーム等を取得する。この場合、ネットワーク監視装置20は、遮断しなくてもよいパケットについては転送するインラインモードで動作する。
また、例えば、ネットワーク監視装置20は、モニタリングポートに接続されず、単にネットワークセグメント2に接続されている場合であっても(図示は省略する)、ネットワークセグメント2を流れるフレームを、自身のMACアドレス宛でないものも含めて全て取得することで、ユーザ端末90によって送受信されるパケットやフレーム等を取得することが出来る。この場合も、ネットワーク監視装置20は、パッシブモードで動作する。また、例えば、ネットワーク監視装置20は、ルータまたはスイッチに内包されてもよい。
<効果>
本実施形態によれば、ICMPv6のNDPを利用して、通信に利用するデータリンク層の情報を制御することで、IPv6環境のネットワーク内端末が行う通信データを任意の端末へ誘導することが出来る。また、本実施形態によれば、誘導された通信データの転送中止による通信の遮断、および任意の宛先への通信データの転送を実現することも可能である。
更に、本実施形態によれば、IPv6環境またはデュアルスタック環境における全てのIPv6通信を監視し、不正接続端末やマルウェアに感染した端末等を検知した場合等に、近隣広告(NA)メッセージ、ルータ広告(RA)メッセージを利用して、該当端末の通信をネットワーク監視装置20へ誘導することが出来るため、ネットワークの構成等を変更することなく、セキュリティレベルを高めることが可能である。
20 ネットワーク監視装置
30 管理サーバ
90 ユーザ端末

Claims (16)

  1. ネットワーク上の通信データを取得する通信データ取得手段と、
    取得された通信データの送信元または宛先に含まれている端末が、所定の条件に合致する対象端末であるか否かを判定する対象端末判定手段と、
    前記対象端末に対して、該対象端末以外の端末の物理アドレスとして所定の端末の物理アドレスを通知することで、該対象端末から送信される通信データを、該所定の端末に誘導する、通信誘導手段と、
    前記通信データの種別を判定する種別判定手段と、を備え、
    前記種別判定手段によって、前記通信データが、該通信データの送信元端末の物理アドレスをルータの物理アドレスとしてマルチキャスト広告する種別の通信データであると判定された場合、前記通信誘導手段は、該通信データの送信元が前記対象端末であるか否かにかかわらず、該通信データの宛先に含まれる1または複数の端末に対して、該送信元端末の物理アドレスとして前記所定の端末の物理アドレスを通知する、
    情報処理装置。
  2. 前記通信誘導手段は、更に、前記対象端末以外の端末に対して、該対象端末の物理アドレスとして前記所定の端末の物理アドレスを通知することで、該対象端末を宛先として送信される通信データを、該所定の端末に誘導する、
    請求項1に記載の情報処理装置。
  3. 前記種別判定手段によって、前記通信データが、該通信データの送信元端末の物理アドレスをマルチキャストする種別の通信データであると判定された場合、前記通信誘導手段は、該通信データの宛先に含まれる1または複数の端末に対して、該送信元端末の物理アドレスとして前記所定の端末の物理アドレスを通知する、
    請求項2に記載の情報処理装置。
  4. 前記種別判定手段によって、前記通信データが、該通信データの送信元端末の物理アドレスをルータの物理アドレスとしてマルチキャスト広告する種別の通信データであると判定された場合、前記通信誘導手段は、該マルチキャストの宛先に含まれる1または複数の端末に対して、該ルータの物理アドレスとして前記所定の端末の物理アドレスを通知する、
    請求項3に記載の情報処理装置。
  5. 前記種別判定手段によって、前記通信データが、該通信データの送信元端末の物理アドレスをユニキャストする種別の通信データであると判定された場合、前記通信誘導手段は、該通信データの送信元端末に対して、宛先端末の物理アドレスとして前記所定の端末の物理アドレスを通知し、該通信データの宛先端末に対して、前記送信元端末の物理アドレスとして前記所定の端末の物理アドレスを通知する、
    請求項2に記載の情報処理装置。
  6. 前記種別判定手段によって、前記通信データが、該通信データの送信元端末の物理アドレスをルータの物理アドレスとしてユニキャスト広告する種別の通信データであると判定された場合、前記通信誘導手段は、該ルータに対して、宛先端末の物理アドレスとして前記所定の端末の物理アドレスを通知し、該通信データの宛先端末に対して、該ルータの物理アドレスとして前記所定の端末の物理アドレスを通知する、
    請求項5に記載の情報処理装置。
  7. 前記種別判定手段によって、前記通信データが、前記ネットワーク上の端末の物理アドレスを問い合わせる種別の通信データであり、且つ該通信データに設定された宛先論理アドレスと送信元論理アドレスとが同一であると判定された場合、前記通信誘導手段は、該通信データを受信する1または複数の端末の夫々に対して、該送信元端末の物理アドレスとして前記所定の端末の物理アドレスを通知する、
    請求項2に記載の情報処理装置。
  8. 前記種別判定手段によって、前記通信データが、前記ネットワーク上の端末の物理アドレスを問い合わせる種別の通信データであると判定された場合、前記通信誘導手段は、該通信データの送信元端末に対して、宛先端末の物理アドレスとして前記所定の端末の物理アドレスを通知し、該通信データの1または複数の宛先端末の夫々に対して、前記送信元端末の物理アドレスとして前記所定の端末の物理アドレスを通知する、
    請求項2に記載の情報処理装置。
  9. 前記種別判定手段によって、前記通信データが、前記ネットワーク上の端末の物理アドレスを通知する種別の通信データであると判定された場合、前記通信誘導手段は、該通信データの送信元端末に対して、宛先端末の物理アドレスとして前記所定の端末の物理アドレスを通知し、該通信データの1または複数の宛先端末の夫々に対して、前記送信元端末の物理アドレスとして前記所定の端末の物理アドレスを通知する、
    請求項2に記載の情報処理装置。
  10. 前記通信誘導手段は、前記所定の端末の物理アドレスとして、該情報処理装置の物理アドレスを通知することで、通信データを該情報処理装置に誘導する、
    請求項1から9の何れか一項に記載の情報処理装置。
  11. 前記通信誘導手段による誘導の結果該情報処理装置に取得された通信データのうち、少なくとも一部を本来の宛先に転送しないことで、前記対象端末に係る通信の少なくとも一部を遮断する通信遮断手段を更に備える、
    請求項10に記載の情報処理装置。
  12. 前記通信誘導手段による誘導の結果該情報処理装置に取得された、前記対象端末から送信された通信データが、前記種別判定手段によって、所定の宛先に転送してよい種別の通信データであると判定された場合に、該通信データを所定の宛先に転送する通信転送手段を更に備える、
    請求項10または11に記載の情報処理装置。
  13. 前記対象端末判定手段によって一旦前記対象端末であると判定された端末が、前記所定の条件に合致しなくなった場合に、前記対象端末以外の端末に対して前記対象端末の物理アドレスを通知し、該対象端末に対して該対象端末以外の端末の物理アドレスを通知することで、前記通信誘導手段による通信の誘導を解除する誘導解除手段を更に備える、
    請求項1から12の何れか一項に記載の情報処理装置。
  14. 前記ネットワーク上の端末の端末情報を管理する管理手段を更に備え、
    前記対象端末判定手段は、前記通信データの送信元または宛先と、前記管理手段によって通信誘導の対象として管理されている端末情報とを比較することで、通信データの送信元または宛先に含まれている端末が、所定の条件に合致する対象端末であるか否かを判定する、
    請求項1から13の何れか一項に記載の情報処理装置。
  15. コンピュータが、
    ネットワーク上の通信データを取得する通信データ取得ステップと、
    取得された通信データの送信元または宛先に含まれている端末が、所定の条件に合致する対象端末であるか否かを判定する対象端末判定ステップと、
    前記対象端末に対して、該対象端末以外の端末の物理アドレスとして所定の端末の物理アドレスを通知することで、該対象端末から送信される通信データを、該所定の端末に誘導する、通信誘導ステップと、
    前記通信データの種別を判定する種別判定ステップと、を実行し、
    前記種別判定ステップにおいて、前記通信データが、該通信データの送信元端末の物理アドレスをルータの物理アドレスとしてマルチキャスト広告する種別の通信データであると判定された場合、前記通信誘導ステップでは、該通信データの送信元が前記対象端末であるか否かにかかわらず、該通信データの宛先に含まれる1または複数の端末に対して、該送信元端末の物理アドレスとして前記所定の端末の物理アドレスが通知される、
    方法。
  16. コンピュータを、
    ネットワーク上の通信データを取得する通信データ取得手段と、
    取得された通信データの送信元または宛先に含まれている端末が、所定の条件に合致する対象端末であるか否かを判定する対象端末判定手段と、
    前記対象端末に対して、該対象端末以外の端末の物理アドレスとして所定の端末の物理アドレスを通知することで、該対象端末から送信される通信データを、該所定の端末に誘導する、通信誘導手段と、
    前記通信データの種別を判定する種別判定手段として機能させ、
    前記種別判定手段によって、前記通信データが、該通信データの送信元端末の物理アドレスをルータの物理アドレスとしてマルチキャスト広告する種別の通信データであると判定された場合、前記通信誘導手段は、該通信データの送信元が前記対象端末であるか否かにかかわらず、該通信データの宛先に含まれる1または複数の端末に対して、該送信元端末の物理アドレスとして前記所定の端末の物理アドレスを通知する、
    プログラム。
JP2017513865A 2015-04-21 2015-04-21 情報処理装置、方法およびプログラム Active JP6476530B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2015/062105 WO2016170598A1 (ja) 2015-04-21 2015-04-21 情報処理装置、方法およびプログラム

Publications (2)

Publication Number Publication Date
JPWO2016170598A1 JPWO2016170598A1 (ja) 2017-08-17
JP6476530B2 true JP6476530B2 (ja) 2019-03-06

Family

ID=57143174

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017513865A Active JP6476530B2 (ja) 2015-04-21 2015-04-21 情報処理装置、方法およびプログラム

Country Status (3)

Country Link
US (1) US20170322862A1 (ja)
JP (1) JP6476530B2 (ja)
WO (1) WO2016170598A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6258562B2 (ja) * 2015-06-02 2018-01-10 三菱電機ビルテクノサービス株式会社 中継装置、ネットワーク監視システム及びプログラム
CN113709273B (zh) * 2021-08-31 2023-10-24 迈普通信技术股份有限公司 地址迁移方法、通信设备及双活系统

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004185498A (ja) * 2002-12-05 2004-07-02 Matsushita Electric Ind Co Ltd アクセス制御装置
JP4179300B2 (ja) * 2005-03-31 2008-11-12 日本電気株式会社 ネットワーク管理方法および装置並びに管理プログラム
JP2007104396A (ja) * 2005-10-05 2007-04-19 Nippon Telegraph & Telephone East Corp 不正接続防止システムおよび方法、プログラム
JP4195480B2 (ja) * 2006-10-04 2008-12-10 インターナショナル・ビジネス・マシーンズ・コーポレーション コンピュータ端末がネットワークに接続して通信することを管理・制御するための装置および方法。
KR100908320B1 (ko) * 2009-03-20 2009-07-17 (주)넷맨 IPv6 네트워크 내 호스트 차단 및 탐색방법
JP5509999B2 (ja) * 2010-03-31 2014-06-04 日本電気株式会社 不正接続防止装置及びプログラム
JP2013046214A (ja) * 2011-08-24 2013-03-04 Mitsubishi Electric Corp 検疫システム、ゲートウェイ装置、設備機器および設備系lan構築方法

Also Published As

Publication number Publication date
WO2016170598A1 (ja) 2016-10-27
US20170322862A1 (en) 2017-11-09
JPWO2016170598A1 (ja) 2017-08-17

Similar Documents

Publication Publication Date Title
EP2612488B1 (en) Detecting botnets
CN107276878B (zh) 在网络环境下使用本地策略应用进行云电子邮件消息扫描
US20180191525A1 (en) Network device using ip address and method thereof
US20180270189A1 (en) Equipment for offering domain-name resolution services
US10397225B2 (en) System and method for network access control
US20100281159A1 (en) Manipulation of dhcp packets to enforce network health policies
JP2008177714A (ja) ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置
WO2016191232A1 (en) Mitigation of computer network attacks
JP2006319982A (ja) 通信ネットワーク内ワーム特定及び不活化方法及び装置
JP6737610B2 (ja) 通信装置
Aziz Al Kabir et al. Securing IOT devices against emerging security threats: Challenges and mitigation techniques
Song et al. DS‐ARP: A New Detection Scheme for ARP Spoofing Attacks Based on Routing Trace for Ubiquitous Environments
US20210112093A1 (en) Measuring address resolution protocol spoofing success
Lu et al. An SDN‐based authentication mechanism for securing neighbor discovery protocol in IPv6
JP6476530B2 (ja) 情報処理装置、方法およびプログラム
JP2007266931A (ja) 通信遮断装置、通信遮断プログラム
JP2012138727A (ja) 情報処理装置、アドレス重複対処方法およびアドレス重複対処用プログラム
KR20110124833A (ko) 네트워크 스위치 및 그 네트워크 스위치의 보안공지방법
JP4677501B2 (ja) 中継装置および中継方法
JP2007264990A (ja) 不正通信の自動通知装置、不正通信の自動通知プログラム
JP5420465B2 (ja) 通信監視装置、方法およびプログラム
US8660143B2 (en) Data packet interception system
JP2007208575A (ja) 不正トラフィック管理装置およびシステム
US20130318605A1 (en) System for detecting rogue network protocol service providers
JP2004342041A (ja) トラフィック削減装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170511

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180206

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180409

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181002

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181203

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190108

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190118

R150 Certificate of patent or registration of utility model

Ref document number: 6476530

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150