JP7417395B2 - 不正検出装置および不正検出方法 - Google Patents
不正検出装置および不正検出方法 Download PDFInfo
- Publication number
- JP7417395B2 JP7417395B2 JP2019181217A JP2019181217A JP7417395B2 JP 7417395 B2 JP7417395 B2 JP 7417395B2 JP 2019181217 A JP2019181217 A JP 2019181217A JP 2019181217 A JP2019181217 A JP 2019181217A JP 7417395 B2 JP7417395 B2 JP 7417395B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- address
- terminal device
- fraud detection
- detection device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims description 75
- 230000004044 response Effects 0.000 claims description 29
- 230000005540 biological transmission Effects 0.000 claims description 6
- 238000012544 monitoring process Methods 0.000 claims description 3
- 238000004891 communication Methods 0.000 description 8
- 238000000034 method Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 230000002250 progressing effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/06—Selective distribution of broadcast services, e.g. multimedia broadcast multicast service [MBMS]; Services to user groups; One-way selective calling services
- H04W4/08—User group management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/005—Discovery of network devices, e.g. terminals
Description
本発明は、不正検出装置および不正検出方法に関し、特にIPv6環境における不正を検知する技術に関する。
近年、IoTの普及により様々な機器がインターネットにつながるようになっている。これにともなって、インターネットにつながる機器の数も爆発的に増え、従来インターネットプロトコルとして用いられてきたIPv4から、新たに128ビットのアドレス長を持つプロトコルとしてIPv6への移行が進んでいる。また、ネットワーク監視装置などの多くのネットワークセキュリティ製品においても、IPv6に対応したものが急速に求められている。
IPv6環境における、盗聴や通信妨害のハッキングのひとつとして、近隣探索(Neighbor Discovery:ND)スプーフィングが知られている。これはIPv4のarpスプーフィングに相当する手法である。IPv6環境では、ICMPv6による近隣探索により、目的のIPv6アドレスのMACアドレスを探し出し、探し出したMACアドレスを近隣キャッシュに登録する。例えば、不正アクセスなどによりマルウェアに感染した端末装置が同一リンク内にあった場合、この不正な端末装置が任意の端末装置からの近隣要請(Neighbor Solicitation:NS)に対して、使われていないMACアドレスを格納した近隣広告(Neighbor Advertisement:NA)を返信したようになりすますことでDoS攻撃などが可能となる(非特許文献1参照)。
このような近隣探索スプーフィングを検知する上での対策として、例えば、非特許文献1は、ND関連のパケットを監視して、L2(Data link layer)とL3(Network layer)のアドレスマッピングを学習し、すでに学習済みのL3に関する不正端末からのNAをフィルタによりブロックする手法を開示している。
上記の近隣探索スプーフィングを検知する従来技術によると、例えば、スイッチングHUB等で予めIPアドレスとMACアドレスとの正常なペアを登録または学習しておき、スイッチングHUB内に流れるNAパケットで、正常とされるペアから外れたNAパケットが流れた場合に不正であると判断する。
IPv6 技術検証協議会「セキュリティ評価・対策検証部会最終報告書 2.1.1.2.対策案」2012年8月
しかし、非特許文献1に記載の技術では、例えば、IPアドレスが変更されるIPv6環境も存在するなかで、登録済みのIPアドレスが変更されることや、端末装置が新たに追加される度にIPアドレスとMACアドレスとのペアを新たに登録しなければならず、誤検知や登録作業が増えるなどの欠点があった。
本発明は、上述した課題を解決するためになされたものであり、予めIPアドレスとMACアドレスとのペアの登録や学習を必要とせず、より簡易な構成により近隣探索スプーフィングを検知することを目的とする。
上述した課題を解決するために、本発明に係る不正検出装置は、ネットワーク上を流れるパケットを監視して、近隣探索プロトコルに基づく近隣広告パケットを検知するように構成された検知部と、検知された前記近隣広告パケットの送信元のMACアドレスを送信先のMACアドレスとして設定し、マルチキャストグループへの参加状況を問い合わせる問い合わせパケットを前記ネットワークを介してオールノードマルチキャスト送信するように構成された送信部と、前記問い合わせパケットに対する応答パケットを前記送信先のMACアドレスを有する端末装置から受信するように構成された受信部と、前記応答パケットに含まれる、前記応答パケットの送信元である前記端末装置が参加するマルチキャストグループを識別するマルチキャストアドレスが示す第1のIPアドレスと、前記近隣広告パケットにより近隣探索の対象となっている第2のIPアドレスとが異なる場合に、前記応答パケットの送信元の前記端末装置は不正であると判断するように構成された判断部とを備える。
また、本発明に係る不正検出装置において、前記判断部は、前記受信部が前記応答パケットを受信しなかった場合に、前記問い合わせパケットの前記送信先のMACアドレスを有する前記端末装置は不正であると判断してもよい。
また、本発明に係る不正検出装置において、前記判断部は、前記検知部が検知した前記近隣広告パケットから、前記第2のIPアドレスを取得してもよい。
また、本発明に係る不正検出装置において、前記マルチキャストアドレスは、要請ノードマルチキャストアドレスであってもよい。
また、本発明に係る不正検出装置において、前記判断部による判断結果を表示画面に表示するように構成された表示装置をさらに備えていてもよい。
上述した課題を解決するために、本発明に係る不正検出方法は、ネットワーク上を流れるパケットを監視して、近隣探索プロトコルに基づく近隣広告パケットを検知する第1ステップと、前記第1ステップで検知された前記近隣広告パケットの送信元のMACアドレスを送信先のMACアドレスとして設定し、マルチキャストグループへの参加状況を問い合わせる問い合わせパケットを前記ネットワークを介してオールノードマルチキャスト送信する第2ステップと、前記問い合わせパケットに対する応答パケットを前記送信先のMACアドレスを有する端末装置から受信する第3ステップと、前記応答パケットに含まれる、前記応答パケットの送信元である前記端末装置が参加するマルチキャストグループを識別するマルチキャストアドレスが示す第1のIPアドレスと、前記近隣広告パケットにより近隣探索の対象となっている第2のIPアドレスとが異なる場合に、前記応答パケットの送信元の前記端末装置は不正であると判断する第4ステップとを備える。
本発明によれば、近隣探索プロトコルに基づく所定のパケットを検知し、その所定のパケットの送信元のMACアドレスを送信先のMACアドレスとしてオールノードマルチキャスト送信した問い合わせパケットに対する応答パケットに含まれる、送信元の端末装置が参加するマルチキャストアドレスが示す第1のIPアドレスと、近隣探索の対象となっている第2のIPアドレスとが異なる場合に、応答パケットの送信元の端末装置は不正であると判断する。そのため、予めIPアドレスとMACアドレスとのペアの登録や学習を必要とせず、より簡易な構成により近隣探索スプーフィングを検知することができる。
以下、本発明の好適な実施の形態について、図1から図6を参照して詳細に説明する。
[ネットワークシステムの構成]
まず、本発明の実施の形態に係る不正検出装置1を備えるネットワークシステムの概要について説明する。図1に示すように、ネットワークシステムは不正検出装置1と、LANなどのネットワークNWを介して接続されている複数の端末装置2、3、4とを備える。ネットワークシステムは、例えば、BA(Building Automation)システムなどに設けられる。
まず、本発明の実施の形態に係る不正検出装置1を備えるネットワークシステムの概要について説明する。図1に示すように、ネットワークシステムは不正検出装置1と、LANなどのネットワークNWを介して接続されている複数の端末装置2、3、4とを備える。ネットワークシステムは、例えば、BA(Building Automation)システムなどに設けられる。
本発明の実施の形態に係る不正検出装置1は、ネットワークNWを監視して、近隣探索スプーフィングを行う不正端末を検出する。
端末装置2、3、4は、IPv6が動作するPCなどの端末である。本実施の形態において、図1に示す端末装置2、3は正規端末である。一方、端末装置4は、例えば、マルウェアなどに感染した不正端末である。図1に示すように、端末装置2、3、4には、それぞれIPv6アドレスが設定されている。
不正検出装置1は、ネットワークNWを流れるパケットを監視して、近隣探索プロトコル(NDP)に基づくNAパケットおよびNSパケット(所定のパケット)を検知する。不正検出装置1は、検知したNAパケットに含まれるターゲットリンク層アドレス(Target Link-layer Address)、または、NSパケットに含まれるソースリンク層アドレス(Source Link-layer Address)が示すMACアドレスを取得する。
近隣探索スプーフィングを行う不正端末は、ネットワークNWの通信傍受やデータの改ざんなどの不正アクセスを行う目的で、ネットワークNW上の他の正規の端末装置になりすましてNAパケットあるいはNSパケットを送信する。このような不正端末は、不正なNAパケットやNSパケットにおけるオプションフォーマットのフィールド「Target Link-layer Address」または「Source Link-layer Address」に自装置のMACアドレスを格納する。
本実施の形態に係る不正検出装置1は、検知したNAパケットに含まれるTarget Link-layer Address、またはNSパケットに含まれるSource Link-layer Addressが示すMACアドレスを送信先MACアドレスとして設定し、検査のためのGeneral QueryのMulticast Listener Query(MLQ)をオールノードマルチキャスト送信する。
MLQパケットは、ルータがリスナーに対して受信を希望するマルチキャストグループが存在するかどうかを問い合わせることに用いられるメッセージである。また、General Queryは、リンクローカルスコープ内に存在するすべてのリスナーに対して、どのマルチキャストグループに参加しているのかを調べるクエリである。
不正検出装置1は、MLQパケットに対する応答パケットとしてMLQパケットを受信した端末装置が参加しているマルチキャストグループを識別するマルチキャストアドレスを報告するためのMulticast Listener Report(MLR)を受信する。MLRパケットには、要請ノードマルチキャストアドレスが含まれる。要請ノードマルチキャストアドレスは、インターフェースに割り当てられたユニキャストアドレスやエニーキャストアドレスであるIPv6アドレスから計算される。
また、要請ノードマルチキャストアドレスは、ユニキャストアドレスやエニーキャストアドレスの下位24bitから構成される。要請ノードマルチキャストアドレスのアドレス範囲は、[FF02::1FF00:0000]から[FF02::1FFFF:FFFF]であることから、IPv6アドレスが容易に判別可能である。
本実施の形態に係る不正検出装置1は、検査のために送信したMLQパケットに対する応答として受信したMLRパケットに含まれる要請ノードマルチキャストアドレスが示すMLRパケットの送信元のIPv6アドレス(第1のIPアドレス)と、NSパケットやNAパケットの送信により近隣探索の対象となっているIPv6アドレス(第2のIPアドレス)とを比較する。これらのIPv6アドレスが一致しない場合には、不正検出装置1は、MLRパケットの送信元は、近隣探索スプーフィングを行う不正端末であると判断する。
[不正検出装置の機能ブロック]
不正検出装置1は、図2に示すように、検知部10、送信部11、受信部12、判断部13、および記憶部14を備える。
不正検出装置1は、図2に示すように、検知部10、送信部11、受信部12、判断部13、および記憶部14を備える。
検知部10は、ネットワークNWを流れるパケットを監視して、近隣探索プロトコルに基づくNSパケットおよびNAパケットを検知する。検知部10は、例えば、ポートミラーリングにより、ネットワークNW上のパケットを監視することができる。
送信部11は、検知部10により検知されたNSパケットまたはNAパケットの送信元MACアドレスを送信先MACアドレスとして設定し、General QueryのMLQパケットをオールノードマルチキャスト送信する。より詳細には、送信部11は、NSパケットまたはNAパケットに含まれる、Source/Target Link-layer Addressに格納された、パケットの送信元MACアドレスを、MLQパケットの送信先MACアドレスとして設定する。例えば、端末装置4がNSパケットまたはNAパケットを送信した場合、Source/Target Link-layer Addressに格納されたMACアドレス「H」を、MLQパケットの送信先MACアドレスとして設定する。
受信部12は、送信部11により送信されたMLQパケットに対する応答パケットであるMLRパケットを受信する。受信部12によって受信されるMLRパケットは、MLQパケットの送信先MACアドレス、例えば「H」を有する端末装置4によって返信されたMLRパケットである。なお、MLQパケットの送信先MACアドレス「H」を有する図1の端末装置4が、IPv6プロトコルスタックを無効にしたステルス端末の場合には、端末装置4はMLRパケットを返さない。この場合、受信部12は、MLQパケットの送信先である端末装置4からMLRパケットを受信しないことになる。この場合の不正検出処理については後述する。
判断部13は、受信部12が受信したMLRパケットに含まれる要請ノードマルチキャストアドレスが示すIPv6アドレスと、検知部10によって検知されたNSパケットまたはNAパケットにより近隣探索の対象となっているIPv6アドレスとが異なる場合には、MLRパケットの送信元の端末装置(例えば、端末装置4)は、不正であると判断する。
より詳細には、判断部13は、受信部12が受信したMLRパケットに含まれる、MLRパケットの送信元の端末装置4が参加するマルチキャストグループを識別する要請ノードマルチキャストアドレスが示すIPv6アドレス(図1の「K」)を取得する。前述したように、要請ノードマルチキャストアドレスは、リンクローカルのプレフィックスにIPv6アドレスの下位24bit(下位3バイト)を加えることで生成される。これに基づき、判断部13は、MLRパケットに含まれる要請ノードマルチキャストアドレスから、IPv6アドレス(図1の「K」)を判別することができる。
また、判断部13は、検知部10が検知したNSパケットまたはNAパケットから近隣探索の対象となっているIPv6アドレスを判別して取得することができる。例えば、近隣探索の対象となっているIPv6アドレスが、端末装置3のIPv6アドレス「G」であり、MLRパケットの要請ノードマルチキャストアドレスが示すIPv6アドレスが「K」である場合を考える。この場合、IPv6アドレスは一致しないので、判断部13は、MLRパケットの送信元の端末装置4(IPv6アドレス「K」、MACアドレス「H」)は不正であると判断する。
また、判断部13は、受信部12がMLRパケットをMLQパケットの送信先MACアドレス、例えば「H」の端末装置4から受信しなかった場合には、その送信先MACアドレス「H」の端末装置4は不正であると判断する。例えば、判断部13は、送信部11がMLQパケットを送信してから一定の時間が経過した場合に、MLRパケットを受信しなかった場合に、MLRパケットの受信はなかったとすることができる。
記憶部14は、検知部10が検知したNSパケットまたはNAパケットにより近隣探索の対象となっているIPv6アドレスに関する情報を記憶する。
[不正検出装置のハードウェア構成]
次に上述した機能を有する不正検出装置1のハードウェア構成の一例について、図3を用いて説明する。
次に上述した機能を有する不正検出装置1のハードウェア構成の一例について、図3を用いて説明する。
図3に示すように、不正検出装置1は、例えば、バス101を介して接続されるプロセッサ102、主記憶装置103、通信インターフェース104、補助記憶装置105、入出力I/O106を備えるコンピュータと、これらのハードウェア資源を制御するプログラムによって実現することができる。
主記憶装置103には、プロセッサ102が各種制御や演算を行うためのプログラムが予め格納されている。プロセッサ102と主記憶装置103とによって、図2に示した検知部10、送信部11、受信部12、判断部13など、不正検出装置1の各機能が実現される。
通信インターフェース104は、不正検出装置1と端末装置2、3、4や各種外部電子機器との間をネットワーク接続するためのインターフェース回路である。通信インターフェース104により、図2で説明した送信部11によって送信処理されたパケットが送信される。また、通信インターフェース104より受信されたパケットが受信部12によって受信処理される。
補助記憶装置105は、読み書き可能な記憶媒体と、その記憶媒体に対してプログラムやデータなどの各種情報を読み書きするための駆動装置とで構成されている。補助記憶装置105には、記憶媒体としてハードディスクやフラッシュメモリなどの半導体メモリを使用することができる。
補助記憶装置105は、不正検出装置1が、ネットワークNW上で近隣探索スプーフィングを行う不正端末を検出するためのプログラムを格納するプログラム格納領域を有する。補助記憶装置105によって、図2で説明した記憶部14が実現される。さらには、例えば、上述したデータやプログラムやなどをバックアップするためのバックアップ領域などを有していてもよい。
入出力I/O106は、外部機器からの信号を入力したり、外部機器へ信号を出力したりするI/O端子により構成される。
入力装置107は、キーボードやタッチパネルなどで構成され、操作入力を受け付けて対応する信号を生成する。
表示装置108は、液晶ディスプレイなどによって構成される。表示装置108は、判断部13による判断結果を表示画面に表示することができる。
[不正検出方法]
次に上述した構成を有する不正検出装置1の動作について、図4のフローチャートを用いて説明する。
次に上述した構成を有する不正検出装置1の動作について、図4のフローチャートを用いて説明する。
まず、検知部10は、ネットワークNWを流れるパケットを監視する(ステップS1)。その後、検知部10によってNSパケットまたはNAパケットが検知されると(ステップS2:YES)、送信部11は、NSパケットまたはNAパケットの送信元MACアドレスを、送信先MACアドレスとして設定して、General QueryのMLQパケットをオールノードマルチキャスト送信する(ステップS3)。例えば、NAパケットに含まれるTarget Link-layer AddressのMACアドレスを、MLQパケットの送信先MACアドレスとして設定する。
次に、受信部12は、MLQパケットに対する応答であるMLRパケットを、MLQパケットの送信先MACアドレスを有する端末装置から受信しなかった場合には(ステップS4:NO)、判断部13は、MLQパケットの送信先MACアドレスを有する端末装置は不正であると判断する(ステップS7)。
一方、受信部12は、MLQパケットに対するMLRパケットを、MLQパケットの送信先MACアドレスを有する端末装置から受信した場合(ステップS4:YES)、判断部13は、以下の処理を実行する。すなわち、判断部13は、MLRパケットに含まれる要請ノードマルチキャストアドレスが示すIPv6アドレスと、検知部10が検知したNSパケットまたはNAパケットにより近隣探索の対象となっているIPv6アドレスとを比較する(ステップS5)。
判断部13は、MLRパケットに含まれる要請ノードマルチキャストアドレスが示すIPv6アドレスと、検知部10が検知したNSパケットまたはNAパケットにより近隣探索の対象となっているIPv6アドレスとが一致しない場合には(ステップS6:NO)、MLRパケットの送信元の端末装置は不正であると判断する(ステップS7)。
その後、表示装置108は、判断結果を表示画面に表示して出力する(ステップS8)。なお、判断部13による判断結果は、ネットワークNW上の特定のサーバなどに通信インターフェース104から送出される構成とすることもできる。
[ネットワークシステムの動作シーケンス]
次に、本実施の形態に係る不正検出装置1を備えるネットワークシステムの動作を図5および図6のシーケンス図を参照して説明する。以下において、端末装置2、3は正規端末であり、端末装置4は不正端末であるものとする。また、端末装置2は、IPv6アドレス「A」、MACアドレス「S」を有し、端末装置3は、IPv6アドレス「G」、MACアドレス「M」を有する。また、端末装置4は、IPv6アドレス「K」、MACアドレス「H」を有する。
次に、本実施の形態に係る不正検出装置1を備えるネットワークシステムの動作を図5および図6のシーケンス図を参照して説明する。以下において、端末装置2、3は正規端末であり、端末装置4は不正端末であるものとする。また、端末装置2は、IPv6アドレス「A」、MACアドレス「S」を有し、端末装置3は、IPv6アドレス「G」、MACアドレス「M」を有する。また、端末装置4は、IPv6アドレス「K」、MACアドレス「H」を有する。
[不正なNAパケットが検知される場合]
図5は、端末装置4が不正なNAパケットを送信する場合のネットワークシステムの動作シーケンスである。
図5は、端末装置4が不正なNAパケットを送信する場合のネットワークシステムの動作シーケンスである。
不正検出装置1は、ネットワークNWを監視している(ステップS100)。その後、正規端末である端末装置2は、NSパケットをオールノードマルチキャスト送信する(ステップS101)。より詳細には、端末装置2は、正規端末である端末装置3のMACアドレスを解決するために、端末装置3のIPv6アドレス「G」(図5の「Target IPv6:G」)を指定する。なお、図5に示すように、NSパケットの送信元には、端末装置2が示されている(図5の「Src:端末装置2」)。
次に、不正検出装置1は、端末装置2がステップS101で送信したNSパケットを検知する(ステップS102)。このとき、不正検出装置1は、近隣探索の対象となっているIPv6アドレス「G」をNSパケットから取得する。なお、端末装置4においても、端末装置2によりオールノードマルチキャスト送信されたNSパケットは受信されている。
次に、端末装置4は、端末装置3になりすまして、NSパケットに対する応答としてNAパケットを送信する(ステップS103)。より詳細には、端末装置4は、NAパケットのTarget Link-layer Addressに自装置のMACアドレス「H」を格納し、NSパケットの送信元である端末装置2に対して、不正なNAパケットを返信する。また、この不正なNAパケットの送信元は端末装置4がなりすましている端末装置3を示している(図5の「Src:端末装置3」)。
ネットワークNW上を流れるパケットを監視する不正検出装置1は、端末装置4が送信した不正なNAパケットを検知する(ステップS104)。次に、不正検出装置1は、NAパケットのTarget Link-layer Address「H」を、
送信先MACアドレス「H」としたGeneral QueryのMLQパケットを、オールノードマルチキャスト送信する(ステップS105)。
送信先MACアドレス「H」としたGeneral QueryのMLQパケットを、オールノードマルチキャスト送信する(ステップS105)。
次に、MACアドレス「H」の端末装置4は、MLQパケットを受信し、MLQパケットに対する応答パケットとしてMLRパケットを不正検出装置1に返信する(ステップS106)。具体的には、MLQパケットを受信した端末装置4は、自装置が所属しているマルチキャストアドレスをMLRパケットとして返信する。このMLRパケットには、端末装置4のIPv6アドレス「K」に基づいた要請ノードマルチキャストアドレスが含まれる。
その後、不正検出装置1は、端末装置4からのMLRパケットを受信し、MLRパケットに含まれる要請ノードマルチキャストアドレスが示すIPv6アドレス「K」と、近隣探索の対象となっているIPv6アドレス「G」とは一致しないため(ステップS107:NO)、MLRパケットの送信元である端末装置4は不正であると判断する(ステップS108)。なお、ステップS101で送信されたNSパケットに対して、正規の端末装置3がNAパケットを送信する場合には、ステップS107において、近隣探索の対象となっているIPv6アドレスと、要請ノードマルチキャストアドレスが示すIPv6アドレスとは一致することになる。
その後、不正検出装置1は、端末装置4が不正であると判断した結果を出力する(ステップS109)。
[不正なNSパケットが検知される場合]
図6は、端末装置4が不正なNSパケットを送信する場合のネットワークシステムの動作シーケンスを示している。
図6は、端末装置4が不正なNSパケットを送信する場合のネットワークシステムの動作シーケンスを示している。
まず、不正検出装置1は、ネットワークNW上を流れるパケットを監視する(ステップS200)。その後、端末装置4は、自装置のMACアドレス「H」を「Source Link-layer Address」に格納し、正規の端末装置2になりすましてNSパケットを送信する(ステップS201)。この不正なNSパケットは、端末装置4が端末装置2になりすまして(図6の「Src:端末装置2」)、端末装置3のIPv6アドレス「G」のMACアドレスを問い合わせるものである(図6の「Target IPv6:G」)。図6に示すように、正規の端末装置2は、実際にはNSパケットを送信していない。
次に、不正検出装置1は、端末装置4が送信した不正なNSパケットを検知する(ステップS202)。次に、不正検出装置1は、検知したNSパケットのSource Link-layer Addressが示すMACアドレス「H」を送信先MACアドレスとしたGeneral QueryのMLQパケットをオールノードマルチキャスト送信する(ステップS203)。
MLQパケットを受信した端末装置4は、自装置のIPv6アドレス「K」に基づいた要請ノードマルチキャストアドレスを含むMLRパケットを返信する(ステップS204)。次に、不正検出装置1は、MLRパケットを受信し、MLRパケットに含まれる要請ノードマルチキャストアドレスが示すIPv6アドレス「K」と、近隣探索の対象となっているIPv6アドレス「G」とは一致しないため(ステップS205:NO)、MLRパケットの送信元の端末装置4は不正であると判断する(ステップS206)。
その後、表示装置108は、判断結果を表示画面に表示する(ステップS207)。
以上説明したように、本実施の形態によれば、ネットワークNW上を流れるNSパケットおよびNAパケットを検知して、これらのパケットに含まれるSource/Target Link-layer Addressに格納されたMACアドレスを送信先MACアドレスとしてGeneral QueryのMLQパケットをオールノードマルチキャスト送信する。また、MLQパケットに対する応答であるMLRパケットに含まれる要請ノードマルチキャストアドレスが示すIPv6アドレスと近隣探索の対象となっているIPv6アドレスとを比較して不正端末を検出する。そのため、予めIPアドレスとMACアドレスとのペアの登録や学習を必要とせず、より簡易な構成により近隣探索スプーフィングを検知することができる。
また、本実施の形態によれば、送信先MACアドレスを指定したMLQパケットに対する応答であるMLRパケットが受信されなかった場合には、MLQパケットの送信先の端末装置は不正であると判断する。そのため、不正端末がステルス端末の場合であっても、近隣探索スプーフィングを検知することができる。
なお、説明した実施の形態に係る不正検出装置1では、判断部13によるIPv6アドレスの比較による判断結果を出力し、例えば、表示装置108の表示画面に判断結果を表示する場合を例示した。これに加えて、不正検出装置1は、正規の端末装置2、3が送信した1つのNSパケットに対して、2つ以上のNAパケットを検知した場合においても、その旨を表示装置108に表示させることができる。例えば、判断部13が、近隣探索の対象となっているIPv6アドレスとMLRパケットに含まれる要請ノードマルチキャストアドレスが示すIPv6アドレスが同じであると判断した場合であっても、2つ以上のNAパケットが検知された場合には、ユーザに対して不正の可能性を通知することができる。
以上、本発明の不正検出装置および不正検出方法における実施の形態について説明したが、本発明は説明した実施の形態に限定されるものではなく、請求項に記載した発明の範囲において当業者が想定し得る各種の変形を行うことが可能である。
1…不正検出装置、2、3、4…端末装置、10…検知部、11…送信部、12…受信部、13…判断部、14…記憶部、101…バス、102…プロセッサ、103…主記憶装置、104…通信インターフェース、105…補助記憶装置、106…入出力I/O、107…入力装置、108…表示装置、NW…ネットワーク。
Claims (6)
- ネットワーク上を流れるパケットを監視して、近隣探索プロトコルに基づく近隣広告パケットを検知するように構成された検知部と、
検知された前記近隣広告パケットの送信元のMACアドレスを送信先のMACアドレスとして設定し、マルチキャストグループへの参加状況を問い合わせる問い合わせパケットを前記ネットワークを介してオールノードマルチキャスト送信するように構成された送信部と、
前記問い合わせパケットに対する応答パケットを前記送信先のMACアドレスを有する端末装置から受信するように構成された受信部と、
前記応答パケットに含まれる、前記応答パケットの送信元である前記端末装置が参加するマルチキャストグループを識別するマルチキャストアドレスが示す第1のIPアドレスと、前記近隣広告パケットにより近隣探索の対象となっている第2のIPアドレスとが異なる場合に、前記応答パケットの送信元の前記端末装置は不正であると判断するように構成された判断部と
を備える不正検出装置。 - 請求項1に記載の不正検出装置において、
前記判断部は、前記受信部が前記応答パケットを受信しなかった場合に、前記問い合わせパケットの前記送信先のMACアドレスを有する前記端末装置は不正であると判断する
ことを特徴とする不正検出装置。 - 請求項1または請求項2に記載の不正検出装置において、
前記判断部は、前記検知部が検知した前記近隣広告パケットから、前記第2のIPアドレスを取得する
ことを特徴とする不正検出装置。 - 請求項1から3のいずれか1項に記載の不正検出装置において、
前記マルチキャストアドレスは、要請ノードマルチキャストアドレスである
ことを特徴とする不正検出装置。 - 請求項1から4のいずれか1項に記載の不正検出装置において、
前記判断部による判断結果を表示画面に表示するように構成された表示装置をさらに備える
ことを特徴とする不正検出装置。 - ネットワーク上を流れるパケットを監視して、近隣探索プロトコルに基づく近隣広告パケットを検知する第1ステップと、
前記第1ステップで検知された前記近隣広告パケットの送信元のMACアドレスを送信先のMACアドレスとして設定し、マルチキャストグループへの参加状況を問い合わせる問い合わせパケットを前記ネットワークを介してオールノードマルチキャスト送信する第2ステップと、
前記問い合わせパケットに対する応答パケットを前記送信先のMACアドレスを有する端末装置から受信する第3ステップと、
前記応答パケットに含まれる、前記応答パケットの送信元である前記端末装置が参加するマルチキャストグループを識別するマルチキャストアドレスが示す第1のIPアドレスと、前記近隣広告パケットにより近隣探索の対象となっている第2のIPアドレスとが異なる場合に、前記応答パケットの送信元の前記端末装置は不正であると判断する第4ステップと
を備える不正検出方法。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019181217A JP7417395B2 (ja) | 2019-10-01 | 2019-10-01 | 不正検出装置および不正検出方法 |
| CN202010947787.8A CN112601229B (zh) | 2019-10-01 | 2020-09-10 | 检测非法的装置和检测非法的方法 |
| KR1020200124916A KR102425707B1 (ko) | 2019-10-01 | 2020-09-25 | 부정 검출 장치 및 부정 검출 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019181217A JP7417395B2 (ja) | 2019-10-01 | 2019-10-01 | 不正検出装置および不正検出方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2021057838A JP2021057838A (ja) | 2021-04-08 |
| JP7417395B2 true JP7417395B2 (ja) | 2024-01-18 |
Family
ID=75180254
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019181217A Active JP7417395B2 (ja) | 2019-10-01 | 2019-10-01 | 不正検出装置および不正検出方法 |
Country Status (3)
| Country | Link |
|---|---|
| JP (1) | JP7417395B2 (ja) |
| KR (1) | KR102425707B1 (ja) |
| CN (1) | CN112601229B (ja) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006287299A (ja) | 2005-03-31 | 2006-10-19 | Nec Corp | ネットワーク管理方法および装置並びに管理プログラム |
| US20120144483A1 (en) | 2009-08-21 | 2012-06-07 | Huawei Technologies Co., Ltd. | Method and apparatus for preventing network attack |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100499669C (zh) * | 2005-09-09 | 2009-06-10 | 上海贝尔阿尔卡特股份有限公司 | IPv6接入网络中网络地址重构方法 |
| KR100856918B1 (ko) * | 2006-11-02 | 2008-09-05 | 한국전자통신연구원 | IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및IPv6 기반 네트워크 시스템 |
| CN101764734B (zh) * | 2008-12-25 | 2012-12-19 | 中兴通讯股份有限公司 | IPv6环境下提高邻居发现安全性的方法及宽带接入设备 |
| CN102025734B (zh) * | 2010-12-07 | 2015-06-03 | 中兴通讯股份有限公司 | 一种防止mac地址欺骗的方法、系统及交换机 |
| CN102970306B (zh) * | 2012-12-18 | 2015-07-15 | 中国科学院计算机网络信息中心 | 一种IPv6网络环境下的入侵检测系统 |
-
2019
- 2019-10-01 JP JP2019181217A patent/JP7417395B2/ja active Active
-
2020
- 2020-09-10 CN CN202010947787.8A patent/CN112601229B/zh active Active
- 2020-09-25 KR KR1020200124916A patent/KR102425707B1/ko active IP Right Grant
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006287299A (ja) | 2005-03-31 | 2006-10-19 | Nec Corp | ネットワーク管理方法および装置並びに管理プログラム |
| US20120144483A1 (en) | 2009-08-21 | 2012-06-07 | Huawei Technologies Co., Ltd. | Method and apparatus for preventing network attack |
Non-Patent Citations (3)
| Title |
|---|
| Ferdous A Barbhuiya et al.,Detection of Neighbor Solicitation and Advertisement Spoofing in IPv6 Neighbor Discovery Protocol,SIN '11: Proceedings of the 4th international conference on Security of information and networks,2011年11月30日,P.111-118,<URL> https://dl.acm.org/doi/10.1145/2070425.2070444 |
| Gunjan Bansal et al.,Detection of NDP Based Attacks using MLD,SIN '12: Proceedings of the Fifth International Conference on Security of Information and Networks,2012年12月31日,P.163-167,<URL> https://dl.acm.org/doi/abs/10.1145/2388576.2388600 |
| 志田 智 SATOSHI SHIDA,マスタリングTCP/IP IPv6編 第2版 ,第2版,株式会社オーム社 竹生 修己,P.122,第3章 近隣探索とアドレス自動生成、SENDによる近隣探索のセキュリティ向上 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112601229B (zh) | 2023-12-05 |
| KR20210039299A (ko) | 2021-04-09 |
| JP2021057838A (ja) | 2021-04-08 |
| CN112601229A (zh) | 2021-04-02 |
| KR102425707B1 (ko) | 2022-07-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8543669B2 (en) | Network switch and method of preventing IP address collision | |
| JP6138714B2 (ja) | 通信装置および通信装置における通信制御方法 | |
| JP2004166002A (ja) | 通信装置、境界ルータ装置、サーバ装置、通信システム、通信方法、ルーティング方法、通信プログラム及びルーティングプログラム | |
| Rohatgi et al. | A detailed survey for detection and mitigation techniques against ARP spoofing | |
| Song et al. | Novel duplicate address detection with hash function | |
| US8898737B2 (en) | Authentication method for stateless address allocation in IPv6 networks | |
| US7530100B2 (en) | Apparatus for limiting use of particular network address | |
| Kumar et al. | Host based IDS for NDP related attacks: NS and NA Spoofing | |
| JP2007104396A (ja) | 不正接続防止システムおよび方法、プログラム | |
| Bi et al. | Source address validation improvement (SAVI) solution for DHCP | |
| JP7417395B2 (ja) | 不正検出装置および不正検出方法 | |
| Praptodiyono et al. | Improvement of address resolution security in IPv6 local network using trust-ND | |
| Shah et al. | Towards a secure IPv6 autoconfiguration | |
| JP7120030B2 (ja) | 検知装置、検知方法、および、検知プログラム | |
| JP7376289B2 (ja) | アドレス監視装置およびアドレス監視方法 | |
| JP7444600B2 (ja) | 検出装置および検出方法 | |
| Machana et al. | Optimization of ipv6 neighbor discovery protocol | |
| Hu et al. | Improving IP address autoconfiguration security in MANETs using trust modelling | |
| JP7359586B2 (ja) | アドレス管理装置およびアドレス管理方法 | |
| JP2014150504A (ja) | ネットワーク監視装置、ネットワーク監視方法、および、コンピュータ・プログラム | |
| CN102594816B (zh) | 一种预防恶意邻居学习攻击的方法及装置 | |
| KR101125612B1 (ko) | 불법 dhcp 서버 감지 및 차단 방법 | |
| CN108173980B (zh) | 一种sdn环境中的重复地址检测方法 | |
| Pragya et al. | Optimized Duplicate Address Detection for the Prevention of Denial-of-Service Attacks in IPv6 Network | |
| KR20120071864A (ko) | 주소 번역 프로토콜 스푸핑 방지 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220922 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230627 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230718 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230914 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231212 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240105 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7417395 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |