WO2004051946A1

WO2004051946A1 - 送信元アドレス偽装パケット検出装置、送信元アドレス偽装パケット検出方法、送信元アドレス偽装パケット検出プログラム

Info

Publication number: WO2004051946A1
Application number: PCT/JP2002/012583
Authority: WO
Inventors: Kuniaki Shimada; Tetsuya Okano; Ken Yokoyama
Original assignee: Fujitsu Limited
Priority date: 2002-12-02
Filing date: 2002-12-02
Publication date: 2004-06-17
Also published as: AU2002349678A1; JPWO2004051946A1; JP4014599B2

Description

送信元ァドレス偽装バケツト検出装置、送信元ァドレス偽装バケツト検出方法、送信元ァドレス偽装バケツト検出プログラム技術分野

本発明は、ネットワーク上の F明W (Fire Wall) 、フィルタ機能を持ったルータ、 I DS (Intruder Detection System) 等において、送信元アドレスの偽装による不正侵入や攻撃を検出する送信元田アドレス偽装バケツト検出装置、送信元ァドレス偽装バケツト検出方法、送信元ァドレス偽装バケツト検出プログラムに関するものである。背景技術

現在、 WWW (World Wide Web) や E— Ma i 1、携帯電話におけるバケツト通信サービスの普及により、インターネットが社会インフラとして定着してきている。それに伴い、セキュリティの高機能化の要求が高まっている。この要求に対し、不正侵入や攻撃に対する防御を行う F W、 I D S等多くの製品が市場に浸透している。これらの不正侵入や攻撃のうち、パケットの送信元アドレスを偽装する、送信元アドレス偽装が問題となっている。

こて'、、 Ίし P (Transmission Control Protocol) / I P (Internet Protoc ol) ネットワーク境界における FWの動作について説明する。第 16図は、 FW の動作の一例を示す図である。第 16図において、ホスト 102とホスト 103 が存在する LAN (Local Area Network) 内部と、ホスト 101が存在する LA N外部は、 FW100を介して接続されている。以下、説明のため、ホスト 10 1の I Pアドレスは A、ホスト 102の I Pアドレスは B、ホスト 103の I P ァドレスは Cとする。ホスト 102とホスト 103は信頼関係にあり、互いに送信元 I Pアドレスのみの認証を用いているとする。例えば、 UN I X系 OSの r s h (リモート 'シェル）は、〜ん rhosts ファイルに特定のホスト名、あるいは送信元 I Pァドレスを書いておくことにより信頼関係を結び、そのホストカ、らノスヮードなしでアクセスできる。

ここでホスト 1 0 1力送信するバケツトの I Pヘッダにおける送信元 I Pァドレスを、ホスト 1 0 2の I Pアドレス Bに偽装すると、ホスト 1 0 1から送信されたバケツトはホスト 1 0 2から送信されたバケツトとみなされ、 FW 1 0 0 を通過してホスト 1 0 3にアクセスすることができ、ホスト 1 0 3を不正に使用することができる。

この送信元ァドレス偽装バケツトの不正侵入を防ぐ手段として、 FWによるフィルタリングが挙げられる。具体的には、 L ANの外部から内部へ向かうバケツ卜の送信元 I Pァドレスが、 L AN内部に存在するホストの I Pァドレス力どうかを F Wが判断し、 L AN内部に存在するホストの I Pァドレスである場合にはそのパケットを廃棄する。しかし、このような FWによるフィルタリングは、 L AN内部に存在するホストの I Pァドレスに偽装したバケツトを検出することができるが、 L AN外部に存在するホストの送信元 I Pアドレスに偽装したバケツトは検出することができない。

これに対して、フィルタリング通過リストを所持する FWがある。フィルタリング通過リストとは、 L ANの外部から内部へ通過しても良い送信元 I Pァドレスが記載されたリストのことである。第 1 7図は、フィルタリング通過リストを所持する FWの動作の一例を示す図である。第 1 7図に示す例では、ホスト 1 0 3と信頼関係にあるホスト 1 0 2は L AN外部に存在し、ホスト 1 0 3が存在する L A N内部と、ホスト 1 0 1とホスト 1 0 2が存在する L A N外部は、 FW 1 1 0を介して接続されている。また、フィルタリング通過リストには、 .通過させるバケツ卜の送信元 I Pァドレスとして Bが設定されている。第 1 7図に示すように、 FW 1 1 0はフィルタリング通過リストに従って、ホスト 1 0 2からの送信元 I Pアドレス Bを持つバケツトは通過させるが、ホスト 1 0 1からの送信元 I Pァドレス Aを持つバケツトは廃棄する。

し力しながら第 1 7図の構成において、ホスト 1 0 1力送信するバケツトの I Pヘッダにおける送信元 I Pァドレスをホスト 1 0 2の I Pァドレス Bに偽装した場合には、 FW 1 1 0は、ホスト 1 0 1からの送信元 I Pアドレス Bを持つバケツトを廃棄せず、通過させてしまうという問題が生じる。本発明は、このような問題を解決するためになされたものであり、 L AN外部のホストの送信元 I Pァドレスに偽装したバケツトを検出することにより、送信元 I Pァドレスの偽装による不正侵入や攻撃から L AN内部を守ることができる送信元 I Pァドレス偽装バケツト検出装置、送信元 I Pァドレス偽装バケツト検出方法、送信元 I Pアドレス偽装バケツト検出プログラムを提供することを目的とする。発明の開示

本発明は、送信元ァドレスの偽装が施されたバケツトを検出する送信元ァドレス偽装パケット検出装置であって、パケットの入出力を制御するとともに、入力バケツ卜の送信元ァドレスと前記入力パケ y 卜の生存時間を取得するバケツト制御部と、正常な生存時間の範囲を表す基準生存時間と送信元ァドレスとを対応づけて記憶する基準生存時間記憶部と、前記入力バケツトの生存時間と前記入力パケッ卜の送信元アドレスに対応する基準生存時間との比較を行い、該比較の結果に基づいて、前記入力バケツトにおける送信元アドレスの偽装の有無を判定するアドレス偽装判定部とを備えてなるものである。

このような構成によれば、予め記憶された送信元ァドレス毎の基準生存時間と入力パケットの生存時間とを比較することにより、送信元ァドレスが偽装されたパケットを検出することができる。

また、本発明に係る送信元アドレス偽装パケット検出装置において、前記入力バケツトの送信元ァドレスと生存時間とを対応づけて記憶する生存時間記憶部と、該生存時間記憶部により送信元ァドレス毎に記憶された生存時間に基づいて、送信元ァドレス毎の基準生存時間を算出する基準生存時間算出部とをさらに備えることを特徴とするものである。

このような構成によれば、送信元ァドレス毎に収集した生存時間を用いることにより、送信元ァドレス毎の基準生存時間を算出することができる。

また、本発明に係る送信元アドレス偽装パケット検出装置において、前記アドレス偽装判定部が送信元ァドレスの偽装無しと判定した場合に前記バケツト制御部は前記入力バケツトを通過させ、前記ァドレス偽装判定部が送信元ァドレスの偽装有りと判定した場合に前記バケツト制御部は前記入力バケツトを廃棄することを特徴とするものである。

このような構成によれば、送信元ァドレス偽装バケツトを検出した場合にそのバケツトを廃棄することにより、リアルタイムで送信元ァドレスの偽装による不正侵入や攻撃から L AN内部を守ることができる。

また、本発明に係る送信元アドレス偽装パケット検出装置において、前記アドレス偽装判定部が送信元アドレスの偽装有りと判定した場合に、前記入力バケツトにおける送信元ァドレスと宛先ァドレスの間のコネクションを切断するコネクシヨン切断部を、さらに備えることを特徴とするものである。

このような構成によれば、送信元アドレス偽装バケツトを検出した場合にそのバケツトを廃棄し、さらに送信元アドレスと宛先アドレスのコネクションを切断することにより、リアルタイムで送信元ァドレスの偽装による不正侵入や攻撃から L A N内部を守ることができ、さらに不正侵入や攻撃の継続を防ぐことができる。

また、本発明に係る送信元ァドレス偽装バケツト検出装置において、前記ァドレス偽装判定部が送信元アドレスの偽装有りと判定した場合に、予め指定されたァドレスへアラート情報を送信するァラート情報通知部を、さらに備えることを特徴とするものである。

このような構成によれば、送信元アドレス偽装パケットを検出した場合に、そのバケツトに関するァラート情報を管理者へ通知することにより、管理者が送信元ァドレスの偽装による不正侵入や攻撃を把握し、対処することができる。また、本発明に係る送信元アドレス偽装パケット検出装置において、前記アドレス偽装判定部が送信元ァドレスの偽装有りと判定した場合に、アラート情報を口グとして記憶する口グ記憶部を、さらに備えることを特徴とするものである。このような構成によれば、送信元アドレス偽装パケットを検出した場合に、そのバケツトに関するァラート情報をログとして記憶することにより、送信元アドレスの偽装による不正侵入や攻撃の記録を残し、口グを不正侵入や攻撃の証拠とすることができる。

また、本発明に係る送信元アドレス偽装パケット検出装置において、前記送信元ァドレスは送信元 I Pアドレスであり、前記生存時間は T T L値であり、前記基準生存時間は正常な TT L値の範囲を表す基準 TT L値であり、前記基準生存時間記憶部は基準 TT L値記憶部であることを特徴とするものである。

このような構成によれば、予め記憶された送信元 I Pァドレス毎の基準 TTL 値と入力バケツトの TTL値とを比較することにより、送信元 I Pァドレスが偽装されたバケツトを検出することができる。

また、本発明に係る送信元アドレス偽装パケット検出装置において、前記入力パケットの送信元 I Pアドレスと T T L値とを対応づけて記憶する T T L値記憶部と、該 T T L値記憶部により送信元 I Pアドレス毎に記憶された T T L値に基づいて、送信元 I Pアドレス毎の基準 TTL値を算出する基準 TTL値算出部とをさらに備えることを特徴とするものである。また、本発明に係る送信元アドレス偽装パケット検出装置において、前記基準 TTL値算出部は、前記 TTL値記憶部により送信元 I Pアドレス毎に記憶された TTL値から中央値を算出し、該中央値を含む所定の範囲を送信元 I Pァドレスに対応する基準 TTL値とすることを特とするものである。また、本発明に係る送信元アドレス偽装パケット検出装置において、前記基準 TT L値算出部は、前記 T T L値記憶部により送信元 I Pァドレス毎に記憶された TTL値から平均値を算出し、該平均値を含む所定の範囲を送信元 I Pアドレスに対応する基準 TTL値とすることを特徴とするものである。

このような構成によれば、送信元 I Pアドレス毎に収集した TTL値を用いることにより、送信元 I Pアドレス毎の基準 TTL値を算出することができる。また、本発明に係る送信元アドレス偽装パケット検出装置において、前記アドレス偽装判定部が送信元 I Pアドレスの偽装無しと判定した場合に前記バケツト制御部は前記入力バケツトを通過させ、前記ァドレス偽装判定部が送信元 I Pァドレスの偽装有りと判定した場合に前記バケツト制御部は前記入力バケツトを廃棄することを特徴とするものである。

このような構成によれば、送信元 I Pアドレス偽装バケツトを検出した場合にそのバケツトを廃棄することにより、リアルタイムで送信元 I Pアドレスの偽装による不正侵入や攻撃から LAN内部を守ることができる。また、本発明に係る送信元アドレス偽装パケット検出装置において、前記アドレス偽装判定部が送信元 I Pァドレスの偽装有りと判定した場合に、前記入力パケットにおける送信元 I Pアドレスと宛先 I Pアドレスの間のコネクションを切断するコネクション切断部を、さらに備えることを特徴とするものである。また、本発明に係る送信元アドレス偽装パケット検出装置において、前記コネクション切断部は、送信元 I Pアドレスと宛先 I Pァドレスへリセットバケツトを送信することにより前記コネクションを切断することを特徴とするものである。このような構成によれば、送信元 I Pアドレス偽装バケツトを検出した場合にそのバケツトを廃棄し、さらに送信元 I Pァドレスと宛先 I Pァドレスのコネクシヨンを切断することにより、リアルタイムで送信元 I Pアドレスの偽装による不正侵入や攻撃から L A N内部を守ることができ、さらに不正侵入や攻撃の継続を防ぐことができる。

また、本発明に係る送信元アドレス偽装パケット検出装置において、前記アドレス偽装判定部が送信元 I Pァドレスの偽装有りと判定した場合に、予め指定されたァドレスへアラート情報を送信するァラ一ト情報通知部を、さらに備えることを特徴とするものである。また、本発明に係る送信元アドレス偽装パケット検出装置において、前記アラート情報は、前記入力パケットの送信元 I Pアドレスと宛先 I Pアドレスと T T L値と基準 T T L値とを含むことを特徴とするものである。

このような構成によれば、送信元 I Pアドレス偽装パケットを検出した場合に、そのパケットに関するァラート情報を管理者へ通知することにより、管理者が送信元 I Pアドレスの偽装による不正侵入や攻撃を把握し、対処することができる。なお、ァラート情報に更に日付や時刻を含めることができる。

また、本発明に係る送信元アドレス偽装パケット検出装置において、前記アドレス偽装判定部が送信元 I Pァドレスの偽装有りと判定した場合に、アラート情報をログとして記憶するログ記憶部を、さらに備えることを特徴とするものである。また、本発明に係る送信元アドレス偽装パケット検出装置において、前記ァラート情報は、前記入力バケツトの送信元 I Pアドレスと宛先 I Pアドレスと T T L値と基準 T T L値とを含むことを特徴とするものである。このような構成によれば、送信元 I Pアドレス偽装パケットを検出した場合に

、そのパケットに関するアラート情報をログとして記憶することにより、送信元

I Pアドレスの偽装による不正侵入や攻撃の記録を残し、口グを不正侵入や攻撃の証拠とすることができる。

また、本発明は、送信元 I Pアドレスの偽装が施されたパケットを検出する送信元ァドレス偽装バケツト検出方法であって、バケツ卜の入出力を制御するとともに、入力バケツトの送信元 I Pァドレスと前記入力バケツトの T T L値を取得するステップと、前記入力パケットの送信元 I Pアドレスと T T L値とを対応づけて記憶するステップと、送信元 I Pアドレス毎に記憶された T T L値に基づいて、送信元 I Pァドレス毎の正常な T T L値の範囲を表す基準 T T L値を算出するステップと、基準 T T L値と送信元 I Pアドレスとを対応づけて記憶するステップと、前記入力バケツトの T T L値と前記入力バケツ卜の送信元 I Pァドレスに対応する基準 T T L値との比較を行い、該比較の結果に基づいて、前記入力パケットにおける前記送信元 I Pァドレスが偽装力、否かを判定するステップとを備えてなるものである。

このような構成によれば、送信元 I Pアドレス毎に収集した T T L値を用いて算出した送信元ァドレス毎の基準 T T L値と入力バケツトの T T L値とを比較することにより、送信元 I Pァドレスが偽装されたバケツトを検出することができる。

また、本発明に係る送信元アドレス偽装パケット検出方法において、送信元 I Pアドレスの偽装無しと判定した場合に前記入力パケットを通過させ、送信元 I Pァドレスの偽装有りと判定した場合に前記入力バケツトを廃棄するステップを、さらに備えることを特徴とするものである。

このような構成によれば、送信元 I Pアドレス偽装パケットを検出した場合にそのバケツトを廃棄することにより、リアルタイムで送信元 I Pァドレスの偽装による不正侵入や攻撃から L AN内部を守ることができる。

また、本発明に係る送信元アドレス偽装パケット検出方法において、送信元 I Pァドレスの偽装有りと判定した場合に、前記入力バケツトにおける送信元 I P ァドレスと宛先 I Pァドレスの間のコネクションを切断するステップを、さらに備えることを特徴とするものである。

このような構成によれば、送信元 I Pアドレス偽装バケツトを検出した場合にそのバケツトを廃棄し、さらに送信元 I Pァドレスと宛先 I Pァドレスのコネクシヨンを切断することにより、リアルタイムで送信元 I Pァドレスの偽装による不正侵入や攻撃から L AN内部を守ることができ、さらに不正侵入や攻撃の継続を防ぐことができる。

また、本発明に係る送信元アドレス偽装パケット検出方法において、送信元 I Pァドレスの偽装有りと判定した場合に、予め指定されたァドレスへアラート情報を送信するステップを、さらに備えることを特徴とするものである。

このような構成によれば、送信元 I Pアドレス偽装バケツトを検出した場合に、そのパケットに関するァラート情報を管理者へ通知することにより、管理者が送信元 I Pァドレスの偽装による不正侵入や攻撃を把握し、対処することができる。

また、本発明に係る送信元アドレス偽装パケット検出方法において、送信元 I pァドレスの偽装有りと判定した場合に、アラート情報をログとして記憶するステツプを、さらに備えることを特 ¾とするものである。

このような構成によれば、送信元 I pアドレス偽装バケツトを検出した場合に、そのパケットに関するァラート情報をログとして記憶することにより、送信元

I Pアドレスの偽装による不正侵入や攻撃の記録を残し、ログを不正侵入や攻撃の証拠とすることができる。

また、本発明は、送信元 I Pァドレスの偽装が施されたバケツトの検出をコンピュータに実行させるために、コンピュータにより読取可能な媒体に記憶された送信元ァドレス偽装バケツト検出プログラムであって、バケツトの入出力を制御するとともに、入力バケツトの送信元 I Pァドレスと前記入力バケツトの T T L 値を取得するステップと、前記入力パケットの送信元 I Pアドレスと T T L値とを対応づけて記憶するステップと、送信元 I Pアドレス毎に記憶された T T L値に基づいて、送信元 I Pアドレス毎の正常な T T L値の範囲を表す基準 T T L値を算出するステップと、基準 T T L値と送信元 I Pァドレスとを対応づけて記憶するステップと、前記入力バケツトの T T L値と前記入力バケツトの送信元 I P アドレスに対応する基準 T T L値との比較を行い、該比較の結果に基づいて、前記入力バケツトにおける前記送信元 I Pアドレスが偽装力否かを判定するステツプとを備えてなるものである。

このような構成によれば、送信元 I Pアドレス毎に収集した T T L値を用いて算出した送信元ァドレス毎の基準 T T L値と入力バケツ卜の T T L値とを比較することにより、送信元 I Pァドレスが偽装されたバケツトを検出することができる。

また、本発明に係る送信元アドレス偽装パケット検出プログラムにおいて、送信元 I Pァドレスの偽装無しと判定した場合に前記入力バケツトを通過させ、送信元 I Pァドレスの偽装有りと判定した場合に前記入力バケツトを廃棄するステップを、さらに備えることを特徴とするものである。

このような構成によれば、送信元 I Pアドレス偽装パケットを検出した場合にそのパケットを廃棄することにより、リアルタイムで送信元 I Pアドレスの偽装による不正侵入や攻撃から L AN内部を守ることができる。

また、本発明に係る送信元アドレス偽装パケット検出プログラムにおいて、送信元 I Pァドレスの偽装有りと判定した場合に、前記入力バケツトにおける送信元 I Pアドレスと宛先 I Pァドレスの間のコネクションを切断するステップを、さらに備えることを特徴とするものである。

このような構成によれば、送信元 I Pアドレス偽装バケツトを検出した場合にそのバケツトを廃棄し、さらに送信元 I Pァドレスと宛先 I Pアドレスのコネクシヨンを切断することにより、リアルタイムで送信元 I Pアドレスの偽装による不正侵入や攻撃から L A N内部を守ることができ、さらに不正侵入や攻撃の継続を防ぐことができる。

また、本発明に係る送信元アドレス偽装パケット検出プログラムにおいて、送信元 I Pァドレスの偽装有りと判定した場合に、予め指定されたァドレスへァラ ―ト情報を送信するステップを、さらに備えることを特^とするものである。このような構成によれば、送信元 I Pアドレス偽装バケツトを検出した場合に、そのパケットに関するァラート情報を管理者へ通知することにより、管理者が送信元 I Pァドレスの偽装による不正侵入や攻撃を把握し、対処することができる。

また、本発明に係る送信元アドレス偽装パケット検出プログラムにおいて、送信元 I Pァドレスの偽装有りと判定した場合に、アラート情報をログとして記憶するステップを、さらに備えることを特^ [とするものである。

このような構成によれば、送信元 I Pアドレス偽装パケットを検出した場合に

、そのパケットに関するァラート情報をログとして記憶することにより、送信元

I Pアドレスの偽装による不正侵入や攻撃の記録を残し、ログを不正侵入や攻撃の証拠とすることができる。図面の簡単な説明

第 1図は、パケットの構成を示す図である。

第 2図は、 I Pヘッダの構成を示す図である。

第 3図は、実施の形態 1に係る送信元 I Pァドレス偽装バケツト検出装置の機能の一例を示すブロック図である。

第 4図は、実施の形態 1に係る送信元 I Pァドレス偽装バケツト検出装置の処理の一例を示すフローチヤ一トである。

第 5図は、基準 T T L値テーブルの一例を示す図である。

第 6図は、 T T L値テーブルの一例を示す図である。

第 7図は、実施の形態 1に係る送信元アドレス偽装バケツト検出装置を備えた FWの動作の一例を表すブロック図である。

第 8図は、実施の形態 2に係る送信元 I Pァドレス偽装バケツト検出装置の機能の一例を示すブロック図である。

第 9図は、 T C Pヘッダの構成を示す図である。

第 1 0図は、実施の形態 2に係る送信元 I Pァドレス偽装バケツト検出装置の処理の一例を示すフロ一チヤ一トである。

第 1 1図は、実施の形態 3に係る送信元 I Pアドレス偽装パケット検出装置の機能の一例を示すプロック図である。

第 1 2図は、実施の形態 3に係る送信元 I Pァドレス偽装バケツト検出装置の処理の一例を示すフローチヤ一トである。第 1 3図は、ログの一例を示す図である。

第 14図は、実施の形態 4に係る送信元 I Pァドレス偽装バケツト検出装置の機能の一例を示すブロック図である。

第 1 5図は、実施の形態 4に係る送信元 I Pアドレス偽装バケツト検出装置の処理の一例を示すフローチヤ一トである。

第 16図は、 FWの動作の一例を示す図である。

第 1 7図は、フィルタリング通過リストを所持する FWの動作の一例を示す図である。発明を実施するための最良の形態

以下、本発明の実施の形態について図面を参照して詳細に説明する。本実施の形態では、 TCPZI Pネットワークにおける送信元ァドレス偽装バケツト検出装置について説明する。

実施の形態 1.

まず、本発明の送信元ァドレス偽装バケツト検出装置が用いる TTL値について説明する。第 1図に示すように、パケットは、イーサネットヘッダ、 I Pへッダ、 TCPZUDP (User Datagram Protocol) ヘッダ、データから構成されている。また、第 2図に示すように、 I Pヘッダは、 Ve r. (Version) 、 HL e n (Header Length) 、 TOS (Type of Service) 、全データ長、識別子、フラグ、フラグメントオフセット、 TTL (Time To Live) 値、プロトコル、チェックサム、送信元 I Pアドレス、宛先 I Pアドレスから構成されている。

I Pヘッダにおける TTL値は、 I Pヘッダにおける生存時間フィールドであり、パケットが経由できるルータ数の限界値が記されている。 TTL値はまず初期値を与えられ、ルータを経由するごとに値を 1ずつ減らされる。丁丁し値が0 になるとそのパケットは破棄され、 I CMPタイプ 1 1エラー（時間超過）パケットが返送される。

このような動作により、送信元 I Pァドレスを偽装したバケツトの TTL値と、正常なパケットの TTL値は異なる場合が多い。その理由は、ホストごとに T TL値の初期値が異なる場合が多いという点と、送信元のホストから FWまでのホップ数が異なる場合が多いという点である。本発明はこの性質を利用し、通過するバケツトの TTL値と基準 TTL値を比較することにより、送信元 I Pアドレス偽装パケットを検出する。ここで、基準 TTL値は、ある送信元 I Pァドレスに対応する T T L値の履歴に基づいて求められ、正常な T T L値の範囲を表すものである。

以下、本実施の形態に係る送信元 I Pアドレス偽装バケツト検出装置について詳細に説明する。本実施の形態に係る送信元 I Pァドレス偽装バケツト検出装置は、送信元 I Pアドレス偽装パケットを検出した場合に、そのパケットを廃棄するものである。第 3図は、実施の形態 1に係る送信元 I Pァドレス偽装バケツト検出装置の機能の一例を示すブロック図である。第 3図に示すように、この送信元 I Pァドレス偽装バケツト検出装置の機能は、バケツト制御部 1と、ァドレス偽装判定部 2と、 TTL値記憶部 3と、基準 TTL値算出部 4と、基準 TTL値記憶部 5から構成される。

第 4図は、実施の形態 1に係る送信元 I Pァドレス偽装バケツト検出装置の処理の一例を示すフローチャートである。まず、パケット制御部 1は、ネットヮークから入力バケツトを受信し、入力バケツトの I Pヘッダから送信元 I Pァドレスと TTL値を取得してアドレス偽装判定部 2へ出力する（S 1) 。

ァドレス偽装判定部 2は、入力パケッの送信元 I Pアドレスに対応する基準 TTL値が、基準 TTL値テーブルに設定されている力否かの判断を行う（S 2 ) 。ここで、基準 TTL値テーブルについて説明する。基準 TTL値テーブルは基準 TTL値記憶部 5に記憶されている。第 5図は、基準 TTL値テーブルの一例を示す図である。第 5図に示すように基準 TTL値テーブルは、送信元 I Pァドレス毎の正常な TTL値の範囲を表す基準 TTL^Iを、送信元 I Pアドレスに対応づけて記憶する。

基準 TTL値テーブルに、入力バケツトの送信元 I Pァドレスに対応する基準 TTL値が設定されていない場合 (S 2, N) 、処理は S 4へ移行する。一方、基準 TTL値テーブルに、入力バケツトの送信元 I Pァドレスに対応する基準 T TL値が設定されている場合 (S 2, Y) 、アドレス偽装判定部 2は基準 TTL 値テーブルから送信元 I Pアドレスに対応する基準 TTL値を取得し、入力パケットの TTL値が基準 TTL値の範囲内であるか否かを判断する（S 3) 。入力パケットの TTL値が基準 TTL値の範囲内でない場合（S 3, N) 、ァドレス偽装判定部 2は、入力パケットが送信元 I Pアドレス偽装パケットであることをパケット制御部 1へ通知する。入力パケットが送信元 I Pアドレス偽装パケットであるとの通知を受けたバケツト制御部 1は、入力バケツトの廃棄を行い (S 7) 、このフローを終了する。

一方、入力パケットの TTL値が基準 TTL値の範囲内である場合（S 3, Y ) 、アドレス偽装判定部 2は、入力パケットの送信元 I Pアドレスが正常であることをバケツト制御部 1へ通知するとともに、入力バケツトの TTL値を TTL 値テーブルに保存する（S4) 。

ここで、 TTL値テーブルについて説明する。丁丁し値テーブルは丁丁値記憶部 3に記憶されている。第 6図は、 TTL値テーブルの一例を示す図である。第 6図に示すように、 TTL値テーブルは、送信元 I Pアドレス毎に収集された T T L値を、送信元 I Pアドレスに対応づけて記憶する。

基準 TT L値算出部 4は、 TT L値テーブルに新たに記憶された TT L値を含めて基準 TTL値を算出し、その結果を基準 TTL値テーブルへ保存する（S 5 ) 。基準 TTL値は、例えば TTL値テーブルにおける送信元 I Pアドレス毎の TTL値の中央値、または平均値として算出される。また、基準 TTL値は範囲を持っても良く、例えば中央値 ± 1、平均値 ± 1としても良レ、。また、基準 T T L値を予め基準 T T L値テーブルへ記憶させ、 T T L値記憶部 3と基準 T T L 値算出部 4を省いても良い。

送信元 I Pアドレスが正常であるとの通知を受けたバケツト制御部 1は、入力パケットをネットワークへ送信し（S 6) 、このフローを終了する。

ここで、本実施の形態に係る送信元アドレス偽装バケツト検出装置を備えた F Wの動作の一例について第 7図を用いて説明する。第 7図は、実施の形態 1に係る送信元ァドレス偽装バケツト検出装置を備えた FWの動作の一例を表すプロック図である。第 7図に示す例では、ホスト 103と信頼関係にあるホスト 102 は LAN外部に存在し、ホスト 103が存在する LAN内部と、ホスト 101とホスト 102が存在する LAN外部は、 FW120を介して接続されている。ここで、ホスト 101の I Pアドレスは A、ホスト 102の I Pアドレスは B、ホスト 103の I Pアドレスは Cとする。 FW120は、フィルタリング通過リストを保持するとともに、本実施の形態に係る送信元アドレス偽装バケツト検出装置 1 30を備える。フィルタリング通過リストには、通過させるパケットの送信元 I Pアドレスとして Bが設定されている。

ここでは簡単のため、送信元 I Pアドレス Bを持つバケツトの判定についてのみ説明する。送信元アドレス偽装バケツト検出装置 130は、入力バケツトの T TL値と入力バケツトの送信元 I Pァドレスに対応する基準 TTL値 251土

1とを比較し、 TTL値が基準 TTL値の範囲内である場合はバケツトを通過させ、 TTL値が基準 TTL値の範囲内でない場合はパケットの廃棄を行う。第 7 図に示す例においては、ホスト 102から送信されたバケツトは、送信元 I Pァドレスが Bであり、さらに TTL値 251が基準 TTL値 251 ± 1の範囲内であるため、ホスト 102から送信されたバケツトを正常なパケットとみなし、通過させる。一方、ホスト 101から送信されたバケツトは、送信元 I Pァドレスは Bであるが、 TTL値 123が基準 TTL値 251 ± 1の範囲内でないため、ホスト 101から送信されたバケツトを送信元 I Pアドレス偽装バケツトとみなし、廃棄する。

以上、本実施の形態では、送信元 I Pアドレス偽装パケットを検出した場合にそのバケツトを廃棄することにより、リアルタイムで送信元 I Pアドレスの偽装による不正侵入や攻撃から LAN内部を守ることができる。実施の形態 2.

本実施の形態に係る送信元 I Pアドレス偽装バケツト検出装置は、送信元 I P ァドレス偽装バケツトを検出した場合に、そのバケツトに関する情報を管理者へ通知するものである。第 8図は、実施の形態 2に係る送信元 I Pアドレス偽装パケット検出装置の機能の一例を示すブロック図である。第 8図において、第 3図と同一符号は第 3図に示された対象と同一又は相当物を示しており、ここでの説明を省略する。第 8図に示すように、本実施の形態に係る送信元 I Pァドレス偽装パケット検出装置の機能は、第 3図に示した構成に加え、さらにァラート情報通知部 21を備える。また、第 3図に示した構成におけるパケット制御部 1の代わりにパケット制御部 1 Aを備え、アドレス偽装判定部 2の代わりにァドレス偽装判定部 2 Aを備える。

まず、パケット制御部 1 Aの動作について説明する。パケット制御部 1 Aは、ネットワークから入力バケツトを受信し、入力バケツトの送信元 I Pアドレスと TTL値を取得してアドレス偽装判定部 2 Aへ出力し、入力バケツトのコネクシヨン情報を取得してァラート情報通知部 21へ出力し、入力バケツトをネットヮークへ送信する。ここで、コネクション情報は、 I Pヘッダから得られる送信元 I Pァドレスと宛先 I Pァドレスと、 TCPヘッダから得られる送信元ポート番号と宛先ポート番号からなる。第 9図に示すように、 TCPヘッダは、送信元ポート番号、宛先ポート番号、シーケンス番号、 ACK (Acknowledge) 番号、ォフセット、予約、フラグ、ウィンドウサイズ、チェックサム、緊急ポインタから構成されている。

次に、ァドレス偽装判定部 2 Aとアラート情報通知部 21の動作について説明する。第 10図は、実施の形態 2に係る送信元 I Pアドレス偽装パケット検出装置の処理の一例を示すフローチャートである。第 10図において、第 4図と同一符号は第 4図に示された処理と同様であり、ここでの説明を省略する。本実施の形態では、入力パケットの TTL値が基準 TTL値の範囲内でない場合（S 3, N) 、アドレス偽装判定部 2 Aは、入力パケットが送信元 I Pアドレス偽装パケットであることをァラート情報通知部 21へ通知する。このときアドレス偽装判定部 2 Aは、ァラート情報通知部 21へ入力バケツトの TTL値と基準 TTL値を渡す。

入力バケツトが送信元 I Pァドレス偽装バケツトであるとの通知を受けたァラート情報通知部 21は、まず、ァラート情報の作成を行う（S 21) 。ァラート情報は、例えば、日付と時刻と入力パケットのコネクション情報と TTL値と基準 TTL値からなる。次に、ァラート情報通知部 21は予め指定された管理者のメールアドレスへ、ァラート情報をメールとして送信し（S 22) 、このフローを終了する。

以上、本実施の形態では、送信元 I Pアドレス偽装パケットを検出した場合に、そのパケットに関するァラート情報を作成し、管理者へ通知することにより、管理者が送信元 I Pアドレスの偽装による不正侵入や攻撃を把握し、対処することができる。実施の形態 3 .

本実施の形態に係る送信元 I Pアドレス偽装バケツト検出装置は、送信元 I P アドレス偽装バケツトを検出した場合に、そのバケツトに関する情報をログとして記録するものである。第 1 1図は、実施の形態 3に係る送信元 I Pアドレス偽装パケット検出装置の機能の一例を示すブロック図である。第 1 1図において、第 8図と同一符号は第 8図に示された対象と同一又は相当物を示しており、ここでの説明を省略する。第 1 1図に示すように、本実施の形態に係る送信元 I Pァドレス偽装バケツト検出装置の機能は、第 8図に示したァラート情報通知部 2 1 の代わりに口グ記憶部 3 1を備える。

以下、ログ記憶部 3 1の動作について説明する。第 1 2図は、実施の形態 3に係る送信元 I Pァドレス偽装バケツト検出装置の処理の一例を示すフローチヤ一トである。第 1 2図において、第 4図と同一符号は第 4図に示された処理と同様であり、ここでの説明を省略する。本実施の形態では、入力パケットの T T L値が基準 T T L値の範囲内でない場合（S 3 , N) 、アドレス偽装判定部 2 Aは、入力パケットが送信元 I Pアドレス偽装パケットであることを口グ記憶部 3 1へ通知する。このときアドレス偽装判定部 2 Aは、口グ記憶部 3 1へ入力パケットの T T L値と基準 T T L値を渡す。

入力バケツトが送信元 I Pァドレス偽装バケツ卜であるとの通知を受けたログ記憶部 3 1は、まず、ァラート情報の作成を行う（S 3 1 ) 。次に、ログ記憶部 3 1は、ァラート情報をログとして記録し（S 3 2 ) 、このフローを終了する。第 1 3図は、ログの一例を示す図である。第 1 3図に示すように、ログには、送信元 I Pアドレス偽装パケットが通過した日付と時刻、送信元 I Pアドレス偽装バケツトの基準 T T L値と T T L値とコネクション情報が記録されている。以上、本実施の形態では、送信元 I Pアドレス偽装パケットを検出した場合に、そのパケットに関するァラート情報を作成し、ログとして記憶することにより、送信元 I Pアドレスの偽装による不正侵入や攻撃の記録を残し、ログを不正侵入や攻撃の証拠とすることができる。実施の形態 4 .

本実施の形態に係る送信元 I Pァドレス偽装バケツト検出装置は、送信元 I P ァドレス偽装パケットを検出した場合に、そのパケットの送信元 I Pアドレスと宛先 I Pアドレスの間のコネクションを切断するものである。第 1 4図は、実施の形態 4に係る送信元 I Pァドレス偽装バケツト検出装置の機能の一例を示すブロック図である。第 1 4図において、第 3図と同一符号は第 3図に示された対象と同一又は相当物を示しており、ここでの説明を省略する。第 1 4図に示すように、本実施の形態に係る送信元 I Pアドレス偽装パケット検出装置の機能は、第 3図に示した構成に加え、さらにコネクション切断部 4 1を備える。また、第 3 図に示した構成におけるパケット制御部 1の代わりにパケット制御部 1 Bを備え、ァドレス偽装判定部 2の代わりにァドレス偽装判定部 2 Bを備える。

まず、バケツト制御部 1 Bの動作について説明する。バケツト制御部 1 Bは、ネットワークから入力バケツトを受信し、入力バケツトの送信元 I Pアドレスと T T L値を取得してアドレス偽装判定部 2 Bへ出力し、入力バケツトをコネクション切断部 4 1 へ出力する。また、バケツト制御部 1 Bは、入力バケツトが送信元 I Pアドレス偽装パケットであるとの通知を受けた場合、入力パケットを廃棄する。

次に、ァドレス偽装判定部 2 Bとコネクション切断部 4 1の動作について説明する。第 1 5図は、実施の形態 4に係る送信元 I Pアドレス偽装バケツト検出装置の処理の一例を示すフローチャートである。第 1 5図において、第 4図と同一符号は第 4図に示された処理と同様であり、ここでの説明を省略する。本実施の形態では、入力パケットの T T L値が基準 T T L値の範囲内でない場合（S 3 , N) 、ァドレス偽装判定部 2 Bは、入力バケツトが送信元 I Pァドレス偽装パケットであることをコネクション切断部 4 1とバケツト制御部 1 Bへ通知する。入力バケツ卜が送信元 I Pアドレス偽装バケツトであるとの通知を受けたコネクション切断部 4 1は、まず入力パケットを参照して送信元 I Pアドレスと宛先 I Pアドレスに対するリセットパケットの作成を行う（S41) 。リセットパケットとは、 TCPにおけるコネクションを強制終了するためのバケツトであり、具体的には、 T C Pヘッダのフラグのうち R S Tフラグビットを立てたパケットのことである。次にコネクション切断部 41は、リセットパケットを送信元 I P アドレスと宛先 I Pアドレスへ送信し（S42) 、このフローを終了する。以上、本実施の形態では、送信元 I Pァドレス偽装バケツトを検出した場合にそのパケットを廃棄し、さらにリセットパケットを生成し送信元 I Pアドレスと宛先 I Pァドレスへ送信することで TCPにおけるコネクションを切断することにより、リアルタイムで送信元 I Pアドレスの偽装による不正侵入や攻撃から L AN内部を守ることができ、さらに不正侵入や攻撃の継続を防ぐことができる。なお、実施の形態 1から実施の形態 4で説明した送信元 I Pアドレス偽装パケット検出装置の機能をプログラムとすることにより、 FWやルータ、 I DSの機能の一部として実装し他の機能と協調し、攻撃や不正侵入の検出率を上げることができる。産業上の利用の可能性

以上説明したように本発明によれば、バケツトを中継またはモニタする装置において、通過するバケツトの送信元 I Pアドレス毎に TTL値を収集して基準 T TL値を生成し、通過するバケツトの TTL値と基準 TTL値を比較することにより、送信元 I Pアドレスの偽装を検出し、検出した場合にァラートを上げる、またはそのパケットの廃棄を行うことにより、送信元 I Pアドレスの偽装による不正侵入や攻撃から L AN内部を守ることができる。

Claims

1 . 送信元ァドレスの偽装が施されたバケツトを検出する送信元ァドレス偽装パケット検出装置であって、

パケットの入出力を制御するとともに、入力パケットの送信元ァドレスと前記入力バケツトの生存時間を取得するバケツト制御部と、

請

正常な生存時間の範囲を表す基準生存時間と送信元ァドレスとを対応づけて記憶する基準生存時間記憶部と、

前記入力バケツトの生存時間と前記入力バケツトの送信元ァドレスに対応する基準生存時間との比較を行レ、、該比較の結果に基づレ、て、前記入力パケットにおける送信元ァドレスの偽装の有無を判定するァド囲レス偽装判定部と、

を備えてなる送信元ァドレス偽装バケツト検出装置。

2 . 請求の範囲第 1項に記載の送信元アドレス偽装バケツト検出装置において、前記ァドレス偽装判定部が送信元ァドレスの偽装無しと判定した場合に前記パケット制御部は前記入力バケツトを通過させ、前記ァドレス偽装判定部が送信元ァドレスの偽装有りと判定した場合に前記バケツト制御部は前記入力バケツトを廃棄することを特徴とする送信元ァドレス偽装バケツト検出装置。

3 . 請求の範囲第 2項に記載の送信元ァドレス偽装バケツト検出装置において、前記ァドレス偽装判定部が送信元ァドレスの偽装有りと判定した場合に、前記入力バケツトにおける送信元アドレスと宛先ァドレスの間のコネクションを切断するコネクション切断部を、さらに備えることを特徴とする送信元ァドレス偽装バケツト検出装置。

4 . 請求の範囲第 1項に記載の送信元ァドレス偽装バケツト検出装置において、前記ァドレス偽装判定部が送信元ァドレスの偽装有りと判定した場合に、予め指定されたァドレスへァラ一ト情報を送信するアラート情報通知部を、さらに備えることを特徴とする送信元ァドレス偽装バケツト検出装置。

5 . 請求の範囲第 1項に記載の送信元ァドレス偽装バケツト検出装置において、前記ァドレス偽装判定部が送信元ァドレスの偽装有りと判定した場合に、ァラート情報をログとして記憶する口グ記憶部を、さらに備えることを特徴とする送信元ァドレス偽装バケツト検出装置。

6 . 請求の範囲第 1項に記載の送信元ァドレス偽装バケツト検出装置において、前記入力パケットの送信元ァドレスと生存時間とを対応づけて記憶する生存時間記憶部と、

該生存時間記憶部により送信元ァドレス毎に記憶された生存時間に基づいて、送信元ァドレス毎の基準生存時間を算出する基準生存時間算出部と、

をさらに備えることを特徴とする送信元ァドレス偽装バケツト検出装置。

7 . 請求の範囲第 6項に記載の送信元ァドレス偽装バケツト検出装置において、前記ァドレス偽装判定部が送信元ァドレスの偽装無しと判定した場合に、前記バケツト制御部は前記入力バケツトを通過させ、前記ァドレス偽装判定部が送信元ァドレスの偽装有りと判定した場合に、前記パケット制御部は前記入力パケットを廃棄することを特徴とする送信元ァドレス偽装バケツト検出装置。

8 . 請求の範囲第 7項に記載の送信元ァドレス偽装バケツト検出装置において、前記ァドレス偽装判定部が送信元ァドレスの偽装有りと判定した場合に、前記入力バケツトにおける送信元ァドレスと宛先ァドレスの間のコネクションを切断するコネクション切断部を、さらに備えることを特徴とする送信元ァドレス偽装バケツト検出装置。

9 . 請求の範囲第 6項に記載の送信元ァドレス偽装バケツト検出装置において、前記ァドレス偽装判定部が送信元ァドレスの偽装有りと判定した場合に、予め指定されたァドレスへアラート情報を送信するアラート情報通知部を、さらに備えることを特徴とする送信元ァドレス偽装バケツト検出装置。

1 0 . 請求の範囲第 6項に記載の送信元ァドレス偽装バケツト検出装置において前記ァドレス偽装判定部が送信元ァドレスの偽装有りと判定した場合に、ァラ一ト情報をログとして記憶する口グ記憶部を、さらに備えることを特徴とする送信元ァドレス偽装バケツト検出装置。

1 1 . 請求の範囲第 1項に記載の送信元アドレス偽装パケット検出装置において前記送信元ァドレスは送信元 I Pアドレスであり、前記生存時間は T T L値であり、前記基準生存時間は正常な T T L値の範囲を表す基準 T T L値であり、前記基準生存時間記憶部は基準 T T L値記憶部であることを特徴とする送信元ァドレス偽装バケツト検出装置。

1 2 . 請求の範囲第 1 1項に記載の送信元ァドレス偽装バケツト検出装置において、

前記ァドレス偽装判定部が送信元 I Pァドレスの偽装無しと判定した場合に前記バケツト制御部は前記入力バケツトを通過させ、前記ァドレス偽装判定部が送信元 I Pァドレスの偽装有りと判定した場合に前記バケツト制御部は前記入力パケットを廃棄することを特徴とする送信元ァドレス偽装バケツト検出装置。

1 3 . 請求の範囲第 1 2項に記載の送信元ァドレス偽装バケツト検出装置において、

前記ァドレス偽装判定部が送信元 I Pアドレスの偽装有りと判定した場合に、前記入力バケツトにおける送信元 I Pアドレスと宛先 I Pアドレスの間のコネクシヨンを切断するコネクション切断部を、さらに備えることを特徴とする送信元ァドレス偽装バケツト検出装置。

1 4 . 請求の範囲第 1 3項に記載の送信元ァドレス偽装バケツト検出装置において、

前記コネクション切断部は、送信元 I Pァドレスと宛先 I Pァドレスへリセットバケツトを送信することにより前記コネクションを切断することを特徴とする送信元ァドレス偽装バケツト検出装置。

1 5 . 請求の範囲第 1 1項に記載の送信元ァドレス偽装バケツト検出装置において、

前記ァドレス偽装判定部が送信元 I Pァドレスの偽装有りと判定した場合に、予め指定されたァドレスヘアラート情報を送信するァラート情報通知部を、さらに備えることを特徴とする送信元アドレス偽装バケツト検出装置。

1 6 . 請求の範囲第 1 5項に記載の送信元ァドレス偽装バケツト検出装置において、

前記アラート情報は、前記入力バケツトの送信元 I Pアドレスと宛先 I Pアドレスと T T L値と基準 T T L値とを含むことを特徴とする送信元ァドレス偽装パケット検出装置。

1 7 . 請求の範囲第 1 1項に記載の送信元アドレス偽装バケツト検出装置において、

前記ァドレス偽装判定部が送信元 I Pァドレスの偽装有りと判定した場合に、アラート情報をログとして記憶するログ記憶部を、さらに備えることを特徴とする送信元ァドレス偽装バケツト検出装置。

1 8 . 請求の範囲第 1 7項に記載の送信元ァドレス偽装バケツト検出装置において、

前記アラート情報は、前記入力バケツトの送信元 I Pァドレスと宛先 I Pァドレスと T T L値と基準 T T L値とを含むことを特徴とする送信元ァドレス偽装パケット検出装置。

19. 請求の範囲第 1 1項に記載の送信元ァドレス偽装バケツト検出装置において、

前記入力パケットの送信元 I Pアドレスと T T L値とを対応づけて記憶する T TL値記憶部と、

該 TTL値記憶部により送信元 I Pァドレス毎に記憶された TTL値に基づいて、送信元 I Pアドレス毎の基準 TTL値を算出する基準 TTLィ直算出部と、をさらに備えることを特徴とする送信元ァドレス偽装バケツト検出装置。

20. 請求の範囲第 19項に記載の送信元ァドレス偽装バケツト検出装置において、

前記基準 TTL値算出部は、前記 TTL値記憶部により送信元 I Pァドレス毎に記憶された TTL値から中央値を算出し、該中央値を含む所定の範囲を送信元 I Pァドレスに対応する基準 TTL値とすることを特徴とする送信元ァドレス偽装バケツト検出装置。

21. 請求の範囲第 19項に記載の送信元ァドレス偽装バケツト検出装置において、

前記基準 TTL値算出部は、前記 TTL値記憶部により送信元 I Pァドレス毎に記憶された TTL値から平均値を算出し、該平均値を含む所定の範囲を送信元

1 Pァドレスに対応する基準 TTL値とすることを特徴とする送信元ァドレス偽装バケツト検出装置。

22. 請求の範囲第 19項に記載の送信元ァドレス偽装バケツト検出装置において、

2 3 . 請求の範囲第 2 2項に記載の送信元ァドレス偽装バケツト検出装置において、

前記ァドレス偽装判定部が送信元 I Pァドレスの偽装有りと判定した場合に、前記入力バケツトにおける送信元 I Pァドレスと宛先 I Pアドレスの間のコネクシヨンを切断するコネクション切断部を、さらに備えることを特@ [とする送信元ァドレス偽装バケツト検出装置。

2 4 . 請求の範囲第 2 3項に記載の送信元ァドレス偽装バケツト検出装置において、

前記コネクション切断部は、送信元 I Pァドレスと宛先 I Pァドレスへリセットパケットを送信することにより前記コネクションを切断することを特徴とする送信元ァドレス偽装バケツト検出装置。

2 5 . 請求の範囲第 1 9項に記載の送信元ァドレス偽装バケツト検出装置において、

前記ァドレス偽装判定部が送信元 I Pァドレスの偽装有りと判定した場合に、予め指定されたァドレスへアラート情報を送信するアラート情報通知部を、さらに備えることを特徴とする送信元アドレス偽装バケツト検出装置。

2 6 . 請求の範囲第 2 5項に記載の送信元ァドレス偽装バケツト検出装置において、

前記アラート情報は、前記入力バケツトの送信元 I Pアドレスと宛先 I Pァドレスと T T L値と基準 T T L値とを含むことを特徴とする送信元ァドレス偽装バケツト検出装置。

2 7 . 請求の範囲第 1 9項に記載の送信元ァドレス偽装バケツト検出装置において、

前記ァドレス偽装判定部が送信元 I Pァドレスの偽装有りと判定した場合に、ァラート情報をログとして記憶する口グ記憶部を、さらに備えることを特徴とする送信元ァドレス偽装バケツト検出装置,

28. 請求の範囲第 27項に記載の送信元ァドレス偽装バケツト検出装置において、

前記アラート情報は、前記入力バケツトの送信元 I Pアドレスと宛先 I Pアドレスと T T L値と基準 TT L値とを含むことを特徴とする送信元ァドレス偽装パケット検出装置。

29. 送信元 I Pァドレスの偽装が施されたバケツトを検出する送信元ァドレス偽装バケツト検出方法であって、

パケットの入出力を制御するとともに、入力パケットの送信元 I Pアドレスと前記入力バケツ卜の TTL値を取得するステップと、

前記入力バケツトの送信元 I Pアドレスと TT L値とを対応づけて記憶するステツプと、

送信元 I Pァドレス毎に記憶された TTL値に基づいて、送信元 I Pアドレス毎の正常な TTL値の範囲を表す基準 TTL値を算出するステップと、

基準 TTL値と送信元 I Pァドレスとを対応づけて記憶するステップと、前記入力バケツトの TTL値と前記入力バケツ卜の送信元 I Pァドレスに対応する基準 TTL値との比較を行い、該比較の結果に基づいて、前記入力パケットにおける前記送信元 I Pァドレスが偽装力否かを判定するステップと、

を備えてなる送信元ァドレス偽装バケツト検出方法。

30. 請求の範囲第 29項に記載の送信元ァドレス偽装パケット検出方法において、

送信元 I Pアドレスの偽装無しと判定した場合に前記入力バケツトを通過させ、送信元 I Pァドレスの偽装有りと判定した場合に前記入力バケツトを廃棄するステップを、さらに備えることを特徴とする送信元ァドレス偽装バケツト検出方法。

3 1 . 請求の範囲第 3 0項に記載の送信元ァドレス偽装バケツト検出方法において、

送信元 I Pァドレスの偽装有りと判定した場合に、前記入力バケツトにおける送信元 I Pァドレスと宛先 I Pァドレスの間のコネクションを切断するステップを、さらに備えることを特徴とする送信元アドレス偽装バケツト検出方法。

3 2 . 請求の範囲第 2 9項に記載の送信元ァドレス偽装バケツト検出方法において、

送信元 I Pァドレスの偽装有りと判定した場合に、予め指定されたァドレスへアラート情報を送信するステップを、さらに備えることを特徴とする送信元ァドレス偽装バケツト検出方法。

3 3 . 請求の範囲第 2 9項に記載の送信元ァドレス偽装バケツト検出方法において、

送信元 I Pアドレスの偽装有りと判定した場合に、ァラート情報を口グとして記憶するステップを、さらに備えることを特徴とする送信元ァドレス偽装バケツト検出方法。

3 4 . 送信元 I Pアドレスの偽装が施されたバケツトの検出をコンピュータに実行させるために、コンピュータにより読取可能な媒体に記憶された送信元ァドレス偽装バケツト検出プログラムであって、

バケツトの入出力を制御するとともに、入力バケツトの送信元 I Pアドレスと前記入力バケツトの T T L値を取得するステップと、

前記入力バケツトの送信元 I Pァドレスと T T L値とを対応づけて記憶するステップと、

送信元 I Pァドレス毎に記憶された T T L値に基づいて、送信元 I Pアドレス毎の正常な T T L値の範囲を表す基準 T T L値を算出するステップと、

基準 T T L値と送信元 I Pァドレスとを対応づけて記憶するステップと、前記入力バケツトの T T L値と前記入力バケツトの送信元 I Pァドレスに対応する基準 T T L値との比較を行い、該比較の結果に基づいて、前記入力パケットにおける前記送信元 I Pァドレスが偽装か否かを判定するステップと、

を備えてなる送信元ァドレス偽装バケツト検出プログラム。

3 5 . 請求の範囲第 3 4項に記載の送信元ァドレス偽装バケツト検出プログラムにおいて、

送信元 I Pアドレスの偽装無しと判定した場合に前記入力パケットを通過させ、送信元 I Pァドレスの偽装有りと判定した場合に前記入力バケツトを廃棄するステップを、さらに備えることを特徴とする送信元ァドレス偽装バケツト検出プログラム。

3 6 . 請求の範囲第 3 5項に記載の送信元ァドレス偽装バケツト検出プログラムにおいて、

送信元 I Pァドレスの偽装有りと判定した場合に、前記入力バケツトにおける送信元 I Pァドレスと宛先 I Pァドレスの間のコネクションを切断するステップを、さらに備えることを特¾¾とする送信元アドレス偽装バケツト検出プログラム

3 7 . 請求の範囲第 3 4項に記載の送信元ァドレス偽装バケツト検出プログラムにおいて、

送信元 I Pァドレスの偽装有りと判定した場合に、予め指定されたァドレスへアラート情報を送信するステップを、さらに備えることを特徴とする送信元ァドレス偽装バケツト検出プログラム。

3 8 . 請求の範囲第 3 4項に記載の送信元ァドレス偽装バケツト検出プログラムにおいて、

送信元 I Pアドレスの偽装有りと判定した場合に、ァラート情報をログとして記憶するステップを、さらに備えることを特徴とする送信元ァドレス偽装バケツト検出プログラム。