JP7376289B2 - Address monitoring device and address monitoring method - Google Patents
Address monitoring device and address monitoring method Download PDFInfo
- Publication number
- JP7376289B2 JP7376289B2 JP2019164342A JP2019164342A JP7376289B2 JP 7376289 B2 JP7376289 B2 JP 7376289B2 JP 2019164342 A JP2019164342 A JP 2019164342A JP 2019164342 A JP2019164342 A JP 2019164342A JP 7376289 B2 JP7376289 B2 JP 7376289B2
- Authority
- JP
- Japan
- Prior art keywords
- address
- packet
- prefix value
- monitoring device
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012806 monitoring device Methods 0.000 title claims description 51
- 238000000034 method Methods 0.000 title description 10
- 238000012544 monitoring process Methods 0.000 title description 7
- 230000004044 response Effects 0.000 claims description 51
- 230000005540 biological transmission Effects 0.000 claims description 6
- 238000004891 communication Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002250 progressing effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5046—Resolving address allocation conflicts; Testing of addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/167—Adaptation for transition between two IP versions, e.g. between IPv4 and IPv6
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、アドレス監視装置およびアドレス監視方法に関し、特にIPv6環境におけるアドレス設定の監視技術に関する。 The present invention relates to an address monitoring device and an address monitoring method, and particularly to a technique for monitoring address settings in an IPv6 environment.
近年、IoTの普及により様々な機器がインターネットにつながるようになっている。これにともなって、インターネットにつながる機器の数も爆発的に増え、従来インターネットプロトコルとして用いられてきたIPv4から、新たに128ビットのアドレス長を持つプロトコルとしてIPv6への移行が進んでいる。また、ネットワーク監視装置などの多くのネットワークセキュリティ製品においても、IPv6に対応したものが急速に求められている。 In recent years, with the spread of IoT, various devices have become connected to the Internet. Along with this, the number of devices connected to the Internet has increased explosively, and the transition from IPv4, which has traditionally been used as an Internet protocol, to IPv6, which is a new protocol with an address length of 128 bits, is progressing. Furthermore, many network security products such as network monitoring devices are also rapidly required to be compatible with IPv6.
IPv6環境において、端末装置にIPv6アドレスを割り当てる方法のひとつとして、ステートレス自動設定が知られている。ステートレス自動設定によりIPv6アドレスを設定する際には、ICMPv6のType134によるルータ広告(Router Advertisement:RA)パケットが用いられる。ルータなどの装置が送信したRAパケットを受信した端末装置は、RAパケットに含まれるプレフィックスの情報に基づいて、自己のIPv6アドレスを決定する。 In an IPv6 environment, stateless automatic configuration is known as one method of assigning an IPv6 address to a terminal device. When setting an IPv6 address using stateless automatic configuration, an ICMPv6 Type 134 router advertisement (RA) packet is used. A terminal device that receives an RA packet transmitted by a device such as a router determines its own IPv6 address based on the prefix information included in the RA packet.
しかし、IPv6環境において、悪意のあるものからの不正なRAパケットの送信により、そのRAパケットを受信した端末装置は、不正なRAパケットに基づいて新たなIPv6アドレスが設定されてしまう場合がある。また、RAパケットに基づいて生成されるIPv6アドレスが、例えば、EUI-64形式で生成されたIPv6アドレスなど、一時IPv6アドレスの設定が無効となっている場合、端末装置のMACアドレスが特定可能であるため、セキュリティ上の問題が生ずる。 However, in an IPv6 environment, when an unauthorized RA packet is sent by a malicious party, a terminal device that receives the RA packet may have a new IPv6 address set based on the unauthorized RA packet. Additionally, if the IPv6 address generated based on the RA packet is an IPv6 address generated in EUI-64 format, and the temporary IPv6 address setting is disabled, the MAC address of the terminal device cannot be identified. Therefore, security problems arise.
例えば、特許文献1は、IPv6環境におけるネットワークへの不正接続を防止する技術を開示している。特許文献1に記載の技術では、ネットワークに監視装置を設置し、ネットワーク内を流れるNS(Neighbor Solicitation)パケットを監視して、NSパケットの送出元アドレスやMACアドレスをもとに、ネットワークへの接続が許可されている端末装置かどうかを判断する。
For example,
しかし、特許文献1に記載の技術では、ネットワークへの不正アクセスを防止するために、ネットワーク上の端末装置におけるIPv6アドレスのステートレス自動設定が無効あるいは有効となっているかどうかを検知することはできない。
However, the technique described in
本発明は、上述した課題を解決するためになされたものであり、IPv6アドレスのステートレス自動設定が有効であるか否かを検知することを目的とする。 The present invention has been made to solve the above-mentioned problems, and an object of the present invention is to detect whether stateless automatic configuration of IPv6 addresses is effective.
上述した課題を解決するために、本発明に係るアドレス監視装置は、監視対象のネットワークを識別するプレフィックス値とは異なる第1プレフィックス値を含むルータ広告パケットを生成するように構成された生成部と、生成された前記ルータ広告パケットを前記ネットワークを介してオールノードマルチキャスト送信するように構成された送信部と、前記ルータ広告パケットに対する応答として、前記ネットワーク内における仮のIPv6アドレスの重複アドレス検出を行うための応答パケットを受信するように構成された受信部と、前記応答パケットに含まれている前記仮のIPv6アドレスに含まれた第2プレフィックス値が、前記第1プレフィックス値と一致する場合には、前記応答パケットの送出元の端末装置においてIPv6アドレスのステートレス自動設定が有効となっていると判断するように構成された第1判断部とを備える。 In order to solve the above problems, an address monitoring device according to the present invention includes a generation unit configured to generate a router advertisement packet including a first prefix value different from a prefix value that identifies a network to be monitored; , a transmitting unit configured to transmit the generated router advertisement packet via all-node multicast through the network, and detecting a duplicate temporary IPv6 address in the network as a response to the router advertisement packet. and a second prefix value included in the temporary IPv6 address included in the response packet matches the first prefix value; and a first determination unit configured to determine that stateless automatic configuration of IPv6 addresses is enabled in the terminal device that is the source of the response packet.
また、本発明に係るアドレス監視装置において、前記第1判断部は、前記応答パケットの送出元の前記端末装置においてIPv6アドレスのステートレス自動設定が有効となっていると判断した場合において、前記応答パケットに含まれる前記仮のIPv6アドレスのインターフェース識別子が、前記端末装置に固有の物理アドレスに基づく値である場合に、前記端末装置において、ランダムな値を含む一時IPv6アドレスの設定が無効となっていると判断してもよい。 Further, in the address monitoring device according to the present invention, when the first determination unit determines that stateless automatic configuration of IPv6 address is enabled in the terminal device that is the source of the response packet, the first determination unit If the interface identifier of the temporary IPv6 address included in the temporary IPv6 address is a value based on a physical address unique to the terminal device, the setting of a temporary IPv6 address containing a random value is disabled in the terminal device. You may judge that.
また、本発明に係るアドレス監視装置において、前記受信部が、監視対象の端末装置からの前記応答パケットを受信しなかった場合に、前記監視対象の端末装置においてIPv6アドレスのステートレス自動設定が無効となっていると判断するように構成された第2判断部をさらに備えていてもよい。 Further, in the address monitoring device according to the present invention, when the receiving unit does not receive the response packet from the terminal device to be monitored, the stateless automatic configuration of the IPv6 address is disabled in the terminal device to be monitored. It may further include a second determination unit configured to determine that the condition is true.
また、本発明に係るアドレス監視装置において、前記生成部は、入力装置が外部から受け付けた操作入力に応じた前記第1プレフィックス値を用いて、前記ルータ広告パケットを生成してもよい。 Further, in the address monitoring device according to the present invention, the generation unit may generate the router advertisement packet using the first prefix value according to an operation input received from the outside by an input device.
また、本発明に係るアドレス監視装置において、前記第1判断部による判断結果を表示画面に表示させる表示装置をさらに備えていてもよい。 Furthermore, the address monitoring device according to the present invention may further include a display device that displays the determination result by the first determination section on a display screen.
上述した課題を解決するために、本発明に係るアドレス監視方法は、監視対象のネットワークを識別するプレフィックス値とは異なる第1プレフィックス値を含むルータ広告パケットを生成する第1ステップと、前記第1ステップで生成された前記ルータ広告パケットを前記ネットワークを介してオールノードマルチキャスト送信する第2ステップと、前記ルータ広告パケットに対する応答として、前記ネットワーク内における仮のIPv6アドレスの重複アドレス検出を行うための応答パケットを受信する第3ステップと、前記応答パケットに含まれている前記仮のIPv6アドレスに含まれた第2プレフィックス値が、前記第1プレフィックス値と一致する場合には、前記応答パケットの送出元の端末装置においてIPv6アドレスのステートレス自動設定が有効となっていると判断する第4ステップとを備える。 In order to solve the above problems, an address monitoring method according to the present invention includes a first step of generating a router advertisement packet including a first prefix value different from a prefix value for identifying a network to be monitored; a second step of transmitting the router advertisement packet generated in step by all-node multicast via the network; and a response for detecting duplicate addresses of temporary IPv6 addresses in the network as a response to the router advertisement packet. a third step of receiving a packet, and if the second prefix value included in the temporary IPv6 address included in the response packet matches the first prefix value, the sender of the response packet; and a fourth step of determining that stateless automatic configuration of IPv6 addresses is enabled in the terminal device.
本発明によれば、オールノードマルチキャスト送信したルータ広告パケットに含まれる監視対象のネットワークを識別するプレフィックス値とは異なる第1プレフィックス値と、受信した応答パケットに含まれる仮のIPv6アドレスの第2プレフィックス値とが一致する場合には、応答パケットの送出元の端末装置においてIPv6アドレスのステートレス自動設定が有効となっていると判断する。そのため、IPv6アドレスのステートレス自動設定が有効であるか否かを検知することができる。 According to the present invention, a first prefix value different from a prefix value identifying a network to be monitored included in a router advertisement packet transmitted by all-node multicast, and a second prefix of a temporary IPv6 address included in a received response packet. If the values match, it is determined that stateless automatic configuration of IPv6 addresses is enabled in the terminal device that sent the response packet. Therefore, it is possible to detect whether stateless automatic configuration of IPv6 addresses is effective.
以下、本発明の好適な実施の形態について、図1から図5を参照して詳細に説明する。
[ネットワークシステムの構成]
まず、本発明の実施の形態に係るアドレス監視装置1を備えるネットワークシステムの概要について説明する。
本発明の実施の形態に係るアドレス監視装置1は、LANなどのネットワークNWを介して接続されている端末装置2、3のそれぞれのIPv6アドレスのステートレス自動設定が有効となっているか否かを検知する。アドレス監視装置1は、例えば、図1に示すようなネットワークシステムに設けられる。また、ネットワークシステムは、例えば、BA(Building Automation)システムなどに設けられる。
Hereinafter, preferred embodiments of the present invention will be described in detail with reference to FIGS. 1 to 5.
[Network system configuration]
First, an overview of a network system including an
The
ネットワークシステムは、図1に示すように、ネットワークNWを介して互いに通信可能に接続されているアドレス監視装置1と、端末装置2、3とを備える。本実施の形態では、アドレス監視装置1は、ネットワークNW上の端末装置2、3を監視対象とする。端末装置2、3は、IPv6が動作するPCなどの端末である。また、本実施の形態では、図1に示すように、端末装置2においては、IPv6アドレスのステートレス自動設定が有効となっており、端末装置3では、IPv6アドレスのステートレス自動設定が無効となっているものとする。
As shown in FIG. 1, the network system includes an
IPv6アドレスのステートレス自動設定は、ICMPv6のルータ広告(RA)および重複アドレス検出(DAD)の機能で構成される。具体的には、IPv6ルータが送信したRAパケットを受信したIPv6端末のステートレス自動設定が有効である場合には、IPv6端末においてRAパケットに含まれるプレフィックス値を用いて自装置の仮のIPv6アドレスを生成する。さらに、IPv6端末は、生成した仮のIPv6アドレスがリンクローカル内において一意であることを検証するDADを実行する。DADの実行には、NSパケットとNAパケットとが利用される。RAパケットの受信に応じて仮のIPv6アドレスを生成した、ステートレス自動設定が有効なIPv6端末は、NSフォーマットの「ターゲットアドレス(Target Address)」のフィールドに仮のIPv6アドレスが格納されたNSパケットを送信する。 Stateless automatic configuration of IPv6 addresses is comprised of ICMPv6 router advertisement (RA) and duplicate address detection (DAD) functions. Specifically, when stateless automatic configuration of an IPv6 terminal that receives an RA packet sent by an IPv6 router is enabled, the IPv6 terminal uses the prefix value included in the RA packet to determine the temporary IPv6 address of its own device. generate. Furthermore, the IPv6 terminal executes DAD to verify that the generated temporary IPv6 address is unique within the link local. NS packets and NA packets are used to execute DAD. An IPv6 terminal with stateless autoconfiguration enabled that has generated a temporary IPv6 address in response to receiving an RA packet will receive an NS packet with the temporary IPv6 address stored in the "Target Address" field of the NS format. Send.
一方、IPv6アドレスのステートレス自動設定が無効となっているIPv6端末においては、IPv6ルータからRAパケットを受信しても、DADを実行しない。 On the other hand, an IPv6 terminal in which stateless automatic configuration of IPv6 addresses is disabled does not perform DAD even if it receives an RA packet from an IPv6 router.
本実施の形態に係るアドレス監視装置1は、これらの仕組みを利用して、監視対象のネットワークNWを識別するプレフィックス値とは異なる第1プレフィックス値を含む検査用のRAパケットを生成して、オールノードマルチキャスト送信する。また、アドレス監視装置1は、RAパケットに対する応答として受信した、DADの実行による応答パケットに含まれる仮のIPv6アドレスの第2プレフィックス値が、第1プレフィックス値と一致する場合、応答パケットの送出元の端末装置2、3のステートレス自動設定が有効となっていると判断する。一方、アドレス監視装置1は、RAパケットに対する応答パケットを受信しなかった場合には、その監視対象の端末装置2、3のステートレス自動設定が無効となっていると判断する。
The
[アドレス監視装置の機能ブロック]
以下、本実施の形態に係るアドレス監視装置1の構成の一例について、図2のブロック図を参照して説明する。
アドレス監視装置1は、生成部10、送信部11、受信部12、第1判断部13、第2判断部14、および記憶部15を備える。
[Functional block of address monitoring device]
An example of the configuration of the
The
生成部10は、監視対象のネットワークNWを識別するプレフィックス値とは異なる第1プレフィックス値を含むRAパケットを生成する。本実施の形態では、RAパケットは、検査のために送信される。通常のIPv6アドレスの自動設定のために送信されるRAパケットとは区別されることが必要であるため、生成部10は、予め設定された第1プレフィックス値をRAパケットに用いる。
The
なお、生成部10は、後述の入力装置107が外部から受け付けた操作入力に応じた第1プレフィックス値を用いることができる。あるいは、生成部10は、ネットワークNW上を流れるRAパケットをキャプチャして、ネットワークNWを識別するプレフィックス値とは異なる第1プレフィックス値を設定することもできる。第1プレフィックス値は記憶部15に記憶される。
Note that the
送信部11は、生成部10によって生成されたRAパケットをネットワークNWを介してオールノードマルチキャスト送信する。本実施の形態では、端末装置2、3にRAパケットが送信される。
The
受信部12は、送信部11が送信したRAパケットに対する応答として、リンクローカル内におけるIPv6アドレスの重複アドレス検出を行うための応答パケットを受信する。本実施の形態では、RAパケットを受信した端末装置2によるDADの実行にともなうNSパケットを応答パケットとして受信する。
The receiving
第1判断部13は、受信部12によって受信された応答パケットに含まれている仮のIPv6アドレスの第2プレフィックス値が、第1プレフィックス値と一致する場合には、応答パケットの送出元の端末装置2について、IPv6アドレスのステートレス自動設定が有効となっていると判断する。応答パケットには、前述したように、RAパケットを受信した端末装置2がRAパケットのプレフィックス情報を用いて生成した仮のIPv6アドレスが含まれている。そのため、ステートレス自動設定が有効となっている端末装置2については、生成部10により生成されたRAパケットに含まれる第1プレフィックス値と同じプレフィックス情報が含まれることになる。
If the second prefix value of the temporary IPv6 address included in the response packet received by the
第1判断部13は、ステートレス自動設定が有効となっていると判断した場合において、応答パケットに含まれる、端末装置2が生成した仮のIPv6アドレスのインターフェースIDが、端末装置2に固有の物理アドレス(MACアドレス)に基づく値である場合に、ランダムな値を含む一時IPv6アドレスの設定が無効となっていると判断する。
When the
一時IPv6アドレスは、MACアドレスの代わりにランダムな値を用いて生成されたインターフェースIDを有する一時アドレスである。一時IPv6アドレスは、例えば、時間の経過に応じてランダムに変化するビット列により生成されたインターフェースIDを有し、一定の有効期限で新たな一時アドレスに置き換えられる。一時IPv6アドレスの設定が有効なIPv6端末では、例えば、ステートレス自動設定でIPv6端末においてユニークなIPv6アドレスが生成されると、一時IPv6アドレスも生成される。実際の通信では、この一時IPv6アドレスが使用される。 A temporary IPv6 address is a temporary address that has an interface ID generated using a random value instead of a MAC address. The temporary IPv6 address has, for example, an interface ID generated by a bit string that changes randomly over time, and is replaced with a new temporary address after a certain expiration date. For an IPv6 terminal for which temporary IPv6 address setting is valid, for example, when a unique IPv6 address is generated in the IPv6 terminal by stateless automatic configuration, a temporary IPv6 address is also generated. In actual communication, this temporary IPv6 address is used.
ステートレス自動設定において生成されるIPv6アドレスは、RAパケットにて広告されたプレフィックス値と、インターフェースIDとで構成される。インターフェースIDは、RAパケットを受信した端末装置2のMACアドレスを使用して生成する拡張固有識別子(EUI-64)形式で生成される場合がある。EUI-64形式で生成されたインターフェースIDは、グローバルに固有なMACアドレスが識別可能である。例えば、ネットワークNWのプレフィックスが時間の経過とともに変わったとしてもMACアドレスは固定のままである。インターフェースIDから端末装置2が特定可能となることから、本実施の形態では、EUI-64形式で生成されたIPv6アドレスを検知して、セキュリティ上の問題を特定する。
An IPv6 address generated in stateless automatic configuration is composed of a prefix value advertised in an RA packet and an interface ID. The interface ID may be generated in an extended unique identifier (EUI-64) format using the MAC address of the
具体的には、第1判断部13は、応答パケットに含まれている端末装置2が生成した仮のIPv6アドレスのインターフェースIDが、端末装置2のMACアドレスを含む場合には、一時IPv6アドレスを生成する設定が無効となっていると判断する。
Specifically, if the interface ID of the temporary IPv6 address generated by the
第2判断部14は、オールノードマルチキャスト送信されたRAパケットに対する応答パケットを受信部12において受信しなかった場合に、監視対象の端末装置3は、IPv6アドレスのステートレス自動設定が無効となっていると判断する。例えば、第2判断部14は、送信部11がRAパケットを送信した時刻から一定の期間が経過するまでに、監視対象の端末装置3からNSパケット(応答パケット)を受信しなかった場合には、その端末装置3においてステートレス自動設定が無効となっていると判断することができる。なお、端末装置3を識別する情報は、記憶部15に予め記憶されている。
If the receiving
記憶部15は、生成部10によって生成された第1プレフィックス値を記憶する。また、記憶部15は、監視対象のネットワークNW上の端末装置2、3を識別する情報を記憶することができる。
The
[アドレス監視装置のハードウェア構成]
次に上述した機能を有するアドレス監視装置1のハードウェア構成の一例について、図3を用いて説明する。
[Hardware configuration of address monitoring device]
Next, an example of the hardware configuration of the
図3に示すように、アドレス監視装置1は、例えば、バス101を介して接続されるプロセッサ102、主記憶装置103、通信インターフェース104、補助記憶装置105、入出力I/O106、入力装置107、表示装置108を備えるコンピュータと、これらのハードウェア資源を制御するプログラムによって実現することができる。
As shown in FIG. 3, the
主記憶装置103には、プロセッサ102が各種制御や演算を行うためのプログラムが予め格納されている。プロセッサ102と主記憶装置103とによって、図2に示した生成部10、第1判断部13、第2判断部14など、アドレス監視装置1の各機能が実現される。
The
通信インターフェース104は、アドレス監視装置1と端末装置2、3や各種外部電子機器との間をネットワーク接続するためのインターフェース回路である。通信インターフェース104によって、図2で説明した送信部11および受信部12が実現される。また、通信インターフェース104から、第1判断部13および第2判断部14による判断結果をネットワークNW上の特定の端末装置に送信することができる。
The
補助記憶装置105は、読み書き可能な記憶媒体と、その記憶媒体に対してプログラムやデータなどの各種情報を読み書きするための駆動装置とで構成されている。補助記憶装置105には、記憶媒体としてハードディスクやフラッシュメモリなどの半導体メモリを使用することができる。
The
補助記憶装置105は、アドレス監視装置1が、端末装置2、3においてIPv6アドレスのステートレス自動設定が有効か否かを判断するためのプログラムを格納するプログラム格納領域を有する。補助記憶装置105によって、図2で説明した記憶部15が実現される。さらには、例えば、上述したデータやプログラムやなどをバックアップするためのバックアップ領域などを有していてもよい。
The
入出力I/O106は、外部機器からの信号を入力したり、外部機器へ信号を出力したりするI/O端子により構成される。
The input/output I/
入力装置107は、タッチパネルやキーボードなどで構成され、ユーザによるタッチ操作やキー入力を受け付けて、操作入力に応じた信号を生成する。
The
表示装置108は、液晶ディスプレイなどによって構成される。表示装置108は、第1判断部13および第2判断部による判断結果を表示画面に表示することができる。
The
[アドレス監視方法]
次に、上述した構成を有するアドレス監視装置1の動作について、図4のフローチャートを参照して説明する。
[Address monitoring method]
Next, the operation of the
まず、生成部10は、リンクローカル内のプレフィックス値とは異なる第1プレフィックス値を含むRAパケットを生成する(ステップS1)。次に、送信部11は、ステップS1で生成された第1プレフィックス値を含むRAパケットを、ネットワークNWを介してオールノードマルチキャスト送信する(ステップS2)。
First, the
次に、受信部12が、ネットワークNW上の端末装置2、3からRAパケットに対する応答パケットを受信しなかった場合には(ステップS4:NO)、第2判断部14は、ステートレス自動設定は無効となっていると判断する(ステップS4)。例えば、第2判断部14は、予め設定された期間内に、監視対象の端末装置2、3からNSパケットを応答パケットとして受信したか否かにより、ステートレス自動設定の無効を判断することができる。
Next, if the receiving
一方、受信部12が、ネットワークNW上の端末装置2、3から応答パケットを受信した場合(ステップS3:YES)、応答パケットに含まれる仮のIPv6アドレスの第2プレフィックス値が、送信したRAパケットの第1プレフィックス値と一致する場合(ステップS5:YES)、応答パケットの送出元の端末装置2、3のステートレス自動設定は有効となっていると判断する(ステップS6)。
On the other hand, when the receiving
次に、ステップS6でステートレス自動設定が有効となっていると判断された場合において、応答パケットに含まれる仮のIPv6アドレスのインターフェースIDが、EUI-64形式である場合には(ステップS7:YES)、第1判断部13は、応答パケットの送出元の端末装置2、3において、一時IPv6アドレスの設定が無効となっていると判断する(ステップS8)。
Next, if it is determined in step S6 that stateless automatic configuration is enabled, and the interface ID of the temporary IPv6 address included in the response packet is in EUI-64 format (step S7: YES) ), the
その後、例えば、表示装置108は、監視対象のネットワークNW上の端末装置2、3におけるIPv6アドレスのステートレス自動設定の状態、および一時IPv6アドレスの設定について表示することができる(ステップS9)。あるいは、通信インターフェース104から、判断結果をネットワークNW上の図示されない特定の端末装置に送信することができる。
Thereafter, for example, the
[ネットワークシステムの動作シーケンス]
次に、上述した構成を有するネットワークシステムの動作について、図5のシーケンス図を用いて説明する。以下の説明では、図5に示すように、監視対象のネットワークNWを識別するプレフィックス値は「B」であるものとする。
[Network system operation sequence]
Next, the operation of the network system having the above-described configuration will be explained using the sequence diagram of FIG. 5. In the following explanation, as shown in FIG. 5, it is assumed that the prefix value for identifying the network NW to be monitored is "B".
まず、アドレス監視装置1は、ネットワークNWを識別するプレフィックス値「B」とは異なるプレフィックス値「A」(第1プレフィックス値)を有するRAパケットを生成し、オールノードマルチキャスト送信(「FF02::1」宛)する(ステップS100)。なお、アドレス監視装置1が送信するRAパケットは、検査のためのRAパケットであることから、RAパケットの有効期間(Valid-lifetime)は、可能な限り短い期間に設定する。
First, the
次に、端末装置2は、RAパケットを受信すると、RAパケットに含まれるプレフィックス値「A」(第2プレフィックス値)を用いて、IPv6アドレスを生成する(ステップS101)。なお、本実施の形態では、端末装置2は、EUI-64形式によるインターフェースIDを生成するものとする。
Next, upon receiving the RA packet, the
次に、端末装置2は、DADを実行するためのNSパケットを応答パケットとして送信する(ステップS102)。この応答パケットのフィールド「Target Address」には、端末装置2が生成した仮のIPv6アドレスが格納されてる。
Next, the
その後、アドレス監視装置1は、端末装置2による応答パケットに含まれるIPv6アドレスのプレフィックス値「A」は、事前に送信したRAパケットのプレフィックス値「A」と一致するため(ステップS103:YES)、端末装置2のステートレス自動設定は有効であると判断する(ステップS104)。
Thereafter, the
次に、アドレス監視装置1は、端末装置2による応答パケットに含まれるIPv6アドレスのインターフェースIDがEUI-64形式であるため(ステップS105:YES)、端末装置2において一時IPv6アドレスの設定が無効となっていると判断する(ステップS106)。したがって、本例において、アドレス監視装置1は、端末装置2のIPv6アドレスのステートレス自動設定は有効であり、かつ、一時IPv6アドレスの設定が無効となっていると判断する。
Next, the
一方、インターフェースIDがEUI-64形式でない場合には(ステップS105:NO)、アドレス監視装置1は、端末装置2のステートレス自動設定が有効であるとの判断結果(ステップS104)を出力する。
On the other hand, if the interface ID is not in the EUI-64 format (step S105: NO), the
一方において、端末装置3について、アドレス監視装置1はステップS100でプレフィックス値「A」としたRAパケットをオールノードマルチキャスト送信してから一定期間内に端末装置3からの応答パケットを受信しないため(ステップS107:YES)、ステートレス自動設定が無効となっていると判断する。
On the other hand, regarding the
以上説明したように、本実施の形態に係るアドレス監視装置1によれば、監視対象のネットワークを識別するプレフィックス値とは異なる第1プレフィックス値を有するRAパケットをオールノードマルチキャスト送信し、監視対象の端末装置2、3によるDADの実行による応答パケットの受信の有無に基づいて、端末装置2、3のIPv6アドレスのステートレス自動設定が有効か否かを判断する。そのため、アドレス監視装置1は、より簡易な構成で、監視対象の端末装置2、3のステートレス自動設定が有効か否かを判断することができる。
As explained above, according to the
その結果として、IPv6環境において、悪意のあるものからの不正のRAパケットの送信により、端末装置2、3に不正にIPv6アドレスが追加されることが防止可能となる。
As a result, in an IPv6 environment, it is possible to prevent IPv6 addresses from being added to the
また、アドレス監視装置1は、応答パケットに含まれるIPv6アドレスのインターフェースIDが、EUI-64形式により生成されたアドレスである場合に、対象の端末装置2において、一時IPv6アドレスの設定が無効となっていると判断する、そのため、セキュリティ上問題のある端末装置をより簡易な構成で検知することができる。
Additionally, if the interface ID of the IPv6 address included in the response packet is an address generated in the EUI-64 format, the
以上、本発明のアドレス監視装置およびアドレス監視方法における実施の形態について説明したが、本発明は説明した実施の形態に限定されるものではなく、請求項に記載した発明の範囲において当業者が想定し得る各種の変形を行うことが可能である。 Although the embodiments of the address monitoring device and the address monitoring method of the present invention have been described above, the present invention is not limited to the described embodiments, and those skilled in the art can imagine it within the scope of the invention described in the claims. Various possible modifications can be made.
1…アドレス監視装置、2、3…端末装置、10…生成部、11…送信部、12…受信部、13…第1判断部、14…第2判断部、15…記憶部、101…バス、102…プロセッサ、103…主記憶装置、104…通信インターフェース、105…補助記憶装置、106…入出力I/O、107…入力装置、108…表示装置、NW…ネットワーク。
DESCRIPTION OF
Claims (6)
生成された前記ルータ広告パケットを前記ネットワークを介してオールノードマルチキャスト送信するように構成された送信部と、
前記ルータ広告パケットに対する応答として、前記ネットワーク内における仮のIPv6アドレスの重複アドレス検出を行うための応答パケットを受信するように構成された受信部と、
前記応答パケットに含まれている前記仮のIPv6アドレスに含まれた第2プレフィックス値が、前記第1プレフィックス値と一致するかを判断し、両者が一致すると判断した場合には、前記応答パケットの送出元の端末装置においてIPv6アドレスのステートレス自動設定が有効となっていると判断するように構成された第1判断部と
を備えるアドレス監視装置。 a generator configured to generate a router advertisement packet including a first prefix value different from a prefix value identifying a network to be monitored;
a transmitter configured to transmit the generated router advertisement packet via all-node multicast over the network;
a receiving unit configured to receive a response packet for detecting duplicate temporary IPv6 addresses in the network as a response to the router advertisement packet;
It is determined whether the second prefix value included in the temporary IPv6 address included in the response packet matches the first prefix value, and if it is determined that both match, the second prefix value included in the temporary IPv6 address included in the response packet is An address monitoring device comprising: a first determination unit configured to determine that stateless automatic configuration of an IPv6 address is enabled in a transmission source terminal device.
前記第1判断部は、前記応答パケットの送出元の前記端末装置においてIPv6アドレスのステートレス自動設定が有効となっていると判断した場合において、前記応答パケットに含まれる前記仮のIPv6アドレスのインターフェース識別子が、前記端末装置に固有の物理アドレスに基づく値である場合に、前記端末装置において、ランダムな値を含む一時IPv6アドレスの設定が無効となっていると判断する
ことを特徴とするアドレス監視装置。 The address monitoring device according to claim 1,
When the first determination unit determines that stateless automatic configuration of IPv6 addresses is enabled in the terminal device that is the source of the response packet, the first determination unit determines that the interface identifier of the temporary IPv6 address included in the response packet is is a value based on a physical address unique to the terminal device, the address monitoring device determines that the setting of a temporary IPv6 address including a random value is invalid in the terminal device. .
前記受信部が、監視対象の端末装置からの前記応答パケットを受信しなかった場合に、前記監視対象の端末装置においてIPv6アドレスのステートレス自動設定が無効となっていると判断するように構成された第2判断部をさらに備える
ことを特徴とするアドレス監視装置。 The address monitoring device according to claim 1 or 2,
The receiving unit is configured to determine that stateless automatic configuration of an IPv6 address is disabled in the monitored terminal device when the response packet is not received from the monitored terminal device. An address monitoring device further comprising a second determination section.
前記生成部は、入力装置が外部から受け付けた操作入力に応じた前記第1プレフィックス値を用いて、前記ルータ広告パケットを生成する
ことを特徴とするアドレス監視装置。 The address monitoring device according to any one of claims 1 to 3,
The address monitoring device is characterized in that the generation unit generates the router advertisement packet using the first prefix value according to an operation input received from the outside by an input device.
前記第1判断部による判断結果を表示画面に表示させる表示装置をさらに備える
ことを特徴とするアドレス監視装置。 The address monitoring device according to any one of claims 1 to 4,
An address monitoring device further comprising a display device that displays a determination result by the first determination section on a display screen.
前記第1ステップで生成された前記ルータ広告パケットを前記ネットワークを介してオールノードマルチキャスト送信する第2ステップと、
前記ルータ広告パケットに対する応答として、前記ネットワーク内における仮のIPv6アドレスの重複アドレス検出を行うための応答パケットを受信する第3ステップと、
前記応答パケットに含まれている前記仮のIPv6アドレスに含まれた第2プレフィックス値が、前記第1プレフィックス値と一致するかを判断し、両者が一致すると判断した場合には、前記応答パケットの送出元の端末装置においてIPv6アドレスのステートレス自動設定が有効となっていると判断する第4ステップと
を備えるアドレス監視方法。 a first step of generating a router advertisement packet including a first prefix value different from a prefix value identifying a network to be monitored;
a second step of transmitting the router advertisement packet generated in the first step by all-node multicasting via the network;
a third step of receiving a response packet for detecting duplicate temporary IPv6 addresses in the network as a response to the router advertisement packet;
It is determined whether the second prefix value included in the temporary IPv6 address included in the response packet matches the first prefix value, and if it is determined that both match, the second prefix value included in the temporary IPv6 address included in the response packet is A fourth step of determining that stateless automatic configuration of IPv6 addresses is enabled in a sending terminal device.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019164342A JP7376289B2 (en) | 2019-09-10 | 2019-09-10 | Address monitoring device and address monitoring method |
CN202010933929.5A CN112565174B (en) | 2019-09-10 | 2020-09-08 | Address monitoring device and address monitoring method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019164342A JP7376289B2 (en) | 2019-09-10 | 2019-09-10 | Address monitoring device and address monitoring method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2021044657A JP2021044657A (en) | 2021-03-18 |
JP7376289B2 true JP7376289B2 (en) | 2023-11-08 |
Family
ID=74863167
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019164342A Active JP7376289B2 (en) | 2019-09-10 | 2019-09-10 | Address monitoring device and address monitoring method |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP7376289B2 (en) |
CN (1) | CN112565174B (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115460168B (en) * | 2022-08-22 | 2024-05-14 | 浪潮通信信息系统有限公司 | IPv6 capacity analysis method and system based on resource management |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007251267A (en) | 2006-03-13 | 2007-09-27 | Ricoh Co Ltd | Network apparatus |
JP2012034353A (en) | 2010-06-28 | 2012-02-16 | Panasonic Corp | Network communication apparatus, communication method, and integrated circuit |
WO2014132774A1 (en) | 2013-03-01 | 2014-09-04 | 日本電気株式会社 | Node information detection device, node information detection method, and program |
JP2014171017A (en) | 2013-03-01 | 2014-09-18 | Nec Corp | Communication information detecting device, method, and program |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101577675B (en) * | 2009-06-02 | 2011-11-09 | 杭州华三通信技术有限公司 | Method and device for protecting neighbor table in IPv6 network |
CN101931627B (en) * | 2010-08-26 | 2013-09-18 | 福建星网锐捷网络有限公司 | Security detection method, security detection device and network equipment |
US8898737B2 (en) * | 2012-11-26 | 2014-11-25 | King Fahd University Of Petroleum And Minerals | Authentication method for stateless address allocation in IPv6 networks |
CN106789662B (en) * | 2016-01-04 | 2020-08-14 | 新华三技术有限公司 | Route announcement method and device |
US10630700B2 (en) * | 2016-10-28 | 2020-04-21 | Hewlett Packard Enterprise Development Lp | Probe counter state for neighbor discovery |
CN108769290B (en) * | 2018-06-06 | 2021-03-02 | 浙江农林大学暨阳学院 | IPv6 multi-address generation and duplicate address detection method |
CN110022383B (en) * | 2019-04-10 | 2022-03-25 | 广州热点软件科技股份有限公司 | Address management method and system |
-
2019
- 2019-09-10 JP JP2019164342A patent/JP7376289B2/en active Active
-
2020
- 2020-09-08 CN CN202010933929.5A patent/CN112565174B/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007251267A (en) | 2006-03-13 | 2007-09-27 | Ricoh Co Ltd | Network apparatus |
JP2012034353A (en) | 2010-06-28 | 2012-02-16 | Panasonic Corp | Network communication apparatus, communication method, and integrated circuit |
WO2014132774A1 (en) | 2013-03-01 | 2014-09-04 | 日本電気株式会社 | Node information detection device, node information detection method, and program |
JP2014171017A (en) | 2013-03-01 | 2014-09-18 | Nec Corp | Communication information detecting device, method, and program |
Also Published As
Publication number | Publication date |
---|---|
CN112565174B (en) | 2023-04-18 |
CN112565174A (en) | 2021-03-26 |
JP2021044657A (en) | 2021-03-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100728040B1 (en) | Method and apparatus for generating ipv6 unique local address | |
EP1486050A2 (en) | A ddns server, a ddns client terminal and a ddns system, and a web server terminal, its network system and an access control method | |
JP2004040804A (en) | Apparatus and method for automatically assigning virtual address to duplicate address node | |
US7530100B2 (en) | Apparatus for limiting use of particular network address | |
US7916733B2 (en) | Data communication apparatus, data communication method, program, and storage medium | |
JP7376289B2 (en) | Address monitoring device and address monitoring method | |
JP6497010B2 (en) | Network equipment | |
JP2007104396A (en) | Unjust connection preventing system, method, and program | |
KR102425707B1 (en) | Fraud detection device and fraud detection method | |
JP7120030B2 (en) | DETECTION DEVICE, DETECTION METHOD, AND DETECTION PROGRAM | |
JP7232121B2 (en) | Monitoring device and monitoring method | |
JP7359586B2 (en) | Address management device and address management method | |
US20150237059A1 (en) | Information processing apparatus, information processing method, and non-transitory computer readable medium | |
JP7444600B2 (en) | Detection device and detection method | |
JP2010098640A (en) | Address setting apparatus, network terminal, and address setting method | |
JP7376288B2 (en) | Specific device and method | |
JP3617499B2 (en) | Electronic equipment, program | |
JP2004056477A (en) | Communication controller and communication control method | |
JP3856368B2 (en) | Method and apparatus for discovering promiscuous nodes in an IP network, and promiscuous node discovery program | |
KR20120071864A (en) | Arp spoofing protecting system | |
JP2007252007A (en) | Information processing apparatus, data communication method, program, and storage medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220621 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230313 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230418 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230619 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231003 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231026 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7376289 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |