JP2007104396A - Unjust connection preventing system, method, and program - Google Patents

Unjust connection preventing system, method, and program Download PDF

Info

Publication number
JP2007104396A
JP2007104396A JP2005292385A JP2005292385A JP2007104396A JP 2007104396 A JP2007104396 A JP 2007104396A JP 2005292385 A JP2005292385 A JP 2005292385A JP 2005292385 A JP2005292385 A JP 2005292385A JP 2007104396 A JP2007104396 A JP 2007104396A
Authority
JP
Japan
Prior art keywords
address
terminal
ipv6
unauthorized
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005292385A
Other languages
Japanese (ja)
Inventor
Toshiyuki Sakurai
俊之 櫻井
Naoki Ito
直己 伊藤
Taisuke Kobayashi
泰典 小林
Junichi Tamura
淳一 田村
Noriyoshi Uchida
典佳 内田
Naoto Sai
直人 斎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Nippon Telegraph and Telephone East Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Nippon Telegraph and Telephone East Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, Nippon Telegraph and Telephone East Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2005292385A priority Critical patent/JP2007104396A/en
Publication of JP2007104396A publication Critical patent/JP2007104396A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To prevent a connection between a regular terminal and an irregular terminal, and between irregular terminals in an environment of IPv6. <P>SOLUTION: A terminal management server 6 is arranged in a communication network 5, and the combinations of the IPv6 addresses and MAC addresses of regular terminals 12 and 13 that are permitted to be connected are formed as "a permitted-terminal list" which is stored in the terminal management server 6. The combination of the IPv6 address and the MAC address is checked on the basis of the permitted-terminal list to judge that the connection terminals are just or unjust. In the same as above, in a network 8 of a dynamic IPv6 environment, the MAC address is checked on the basis of the permitted-terminal list, and it is judged that the connection terminal is just or unjust. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、正規端末から不正端末へのネットワークを介した接続を防止するための技術に関する。   The present invention relates to a technique for preventing connection from a regular terminal to an unauthorized terminal via a network.

従来、固定IP方式とDHCP(Dynamic Host Configuration Protocol)方式の2つの環境によりネットワーク環境が構築されている場合において、このネットワーク環境における端末間の通信を監視することが行われている。この通信監視の方式としては従来よりARP(Address Resolution Protocol)監視方式が採用されている。このARP監視方式では、ARP Requestパケット内の値を用いて、正規端末であるか否かを判定している。   Conventionally, when a network environment is constructed by two environments of a fixed IP system and a DHCP (Dynamic Host Configuration Protocol) system, communication between terminals in this network environment is monitored. As this communication monitoring method, an ARP (Address Resolution Protocol) monitoring method has been conventionally employed. In this ARP monitoring method, it is determined whether or not the terminal is a legitimate terminal using the value in the ARP Request packet.

この判定に用いる値は、固定IP環境の場合における送信元MAC(Media Access Control)アドレスと送信元IPアドレスの組合わせを値として用いる場合と、DHCP環境における送信元MACアドレスのみを値として用いる場合がある(特許文献1参照、非特許文献1、2参照)。
特開2004−185498号公報 URL「http://www.atmarkit.co.jp/fsecurity/rensai/securitytips/034ipsen.html」 URL「http://japan.zdnet.com/news/sec/story/0,2000052528,20083026,00.htm」 The values used for this determination are a case where a combination of a source MAC (Media Access Control) address and a source IP address in a fixed IP environment is used as a value, and a case where only a source MAC address in a DHCP environment is used as a value. (See Patent Document 1 and Non-Patent Documents 1 and 2).
JP 2004-185498 A URL "http://www.atmarkit.co.jp/fsecurity/rensai/securitytips/034ipsen.html" URL "http://japan.zdnet.com/news/sec/story/0,2000052528,20083026,00.htm"

しかしながら、従来のネットワーク環境において行われている端末間の通信の監視は、前提となるネットワーク環境がIPv4環境における不正な接続を防止する不正接続防止方式は存在していたものの、IPv6環境における不正な端末の接続を防止する不正接続防止方式は存在していなかった。   However, the monitoring of communication between terminals performed in the conventional network environment is illegal in the IPv6 environment, although there is an unauthorized connection prevention method for preventing an unauthorized connection in the IPv4 environment. There has been no unauthorized connection prevention method for preventing terminal connection.

本発明は、上記の課題に鑑みてなされたもので、その目的は、IPv6環境における正規端末と不正端末との接続および不正端末同士の接続を防止することにある。   The present invention has been made in view of the above problems, and an object thereof is to prevent connection between a regular terminal and an unauthorized terminal and connection between unauthorized terminals in an IPv6 environment.

請求項1に記載の本発明は、固定IPv6環境におけるIPv6による通信ネットワークにおいて許可されていない接続を防止するための不正接続防止システムであって、ICMPv6におけるNSパケットを発見するための監視を行うNSパケット監視手段と、発見した前記NSパケットから、送信元MACアドレスと、送信元IPv6アドレスと、送信先IPv6アドレスと、を取得するアドレス取得手段と、アドレス取得手段で取得した前記送信先IPv6アドレス宛にNSパケットを出すことにより送信先端末のMACアドレスを取得するMACアドレス取得手段と、送信元と送信先のIPv6アドレスおよびMACアドレスを基に送信先端末の正規/不正規を判定する判定手段と、判定手段が不正端末と判定した場合に偽のNAパケットをマルチキャストで通信ネットワークに配信して不正端末の接続を妨害する不正接続妨害手段と、を備える。   The present invention according to claim 1 is an unauthorized connection prevention system for preventing unauthorized connection in an IPv6 communication network in a fixed IPv6 environment, and performs monitoring for detecting NS packets in ICMPv6. A packet monitoring unit, an address acquisition unit that acquires a source MAC address, a source IPv6 address, and a destination IPv6 address from the found NS packet, and a destination IPv6 address acquired by the address acquisition unit MAC address acquisition means for acquiring the MAC address of the destination terminal by issuing an NS packet, and determination means for determining whether the destination terminal is normal or irregular based on the IPv6 address and MAC address of the source and destination If the determination means determines that the terminal is illegal, Comprising the unauthorized connection countermeasures for the Tsu bets are delivered to the communications network a multicast interfering with connection of unauthorized terminal.

また、請求項2に記載の本発明は、動的IP環境におけるIPv6による通信ネットワークにおいて許可されていない接続を防止するための不正接続防止システムであって、ICMPv6におけるNSパケットを発見するための監視を行うNSパケット監視手段と、発見した前記NSパケットから送信元MACアドレス、送信元IPv6アドレス、送信先IPv6アドレスを取得するアドレス取得手段と、アドレス取得手段で取得した前記送信先IPv6アドレス宛にNSパケットを出すことにより送信先端末のMACアドレスを取得するMACアドレス取得手段と、送信元と送信先のIPv6アドレスおよびMACアドレスを基に送信先端末の正規/不正規を判定する判定手段と、判定手段が不正端末と判定した場合に偽のNAパケットをマルチキャストで通信ネットワークに配信して不正端末の接続を妨害する不正接続妨害手段と、を備える。   The present invention described in claim 2 is an unauthorized connection prevention system for preventing unauthorized connection in a communication network based on IPv6 in a dynamic IP environment, and monitoring for detecting NS packets in ICMPv6 NS packet monitoring means for performing transmission, an address acquisition means for acquiring a transmission source MAC address, a transmission source IPv6 address, and a transmission destination IPv6 address from the discovered NS packet, and NS addressed to the transmission destination IPv6 address acquired by the address acquisition means A MAC address acquisition unit that acquires a MAC address of a destination terminal by issuing a packet; a determination unit that determines whether the transmission destination terminal is normal or irregular based on an IPv6 address and a MAC address of the transmission source and the transmission destination; If the means determines that it is an unauthorized terminal, Comprising the unauthorized connection countermeasures for preventing connection unauthorized terminal to deliver the communication network multicast, the.

また、請求項3に記載の本発明は、固定IPv6環境におけるIPv6による通信ネットワークにおいて許可されていない接続を防止するための不正接続防止方法であって、NSパケット監視手段によって、ICMPv6におけるNSパケットを発見するための監視を行うステップと、アドレス取得手段によって、発見した前記NSパケットから、送信元MACアドレスと、送信元IPv6アドレスと、送信先IPv6アドレスと、を取得するステップと、MACアドレス取得手段によって、アドレス取得手段で取得した前記送信先IPv6アドレス宛にNSパケットを出すことにより送信先端末のMACアドレスを取得するステップと、判定手段によって、送信元と送信先のIPv6アドレスおよびMACアドレスを基に送信先端末の正規/不正規を判定するステップと、不正接続妨害手段によって、判定手段が不正端末と判定した場合に偽のNAパケットをマルチキャストで通信ネットワークに配信して不正端末の接続を妨害するステップと、を有する。   According to a third aspect of the present invention, there is provided an unauthorized connection prevention method for preventing unauthorized connection in a communication network based on IPv6 in a fixed IPv6 environment, wherein an NS packet in ICMPv6 is transmitted by an NS packet monitoring means. A monitoring step for discovery; a step of obtaining a source MAC address, a source IPv6 address, and a destination IPv6 address from the discovered NS packet by an address acquisition unit; and a MAC address acquisition unit To obtain the MAC address of the destination terminal by issuing an NS packet to the destination IPv6 address obtained by the address obtaining unit, and based on the IPv6 address and MAC address of the source and destination by the judging unit. The destination device Has a determining irregular, the unauthorized connection countermeasures, the steps of the fake NA packets distributed to the communication network by multicast to preventing connection unauthorized terminal when the determination means determines an unauthorized terminal.

また、請求項4に記載の本発明は、動的IP環境におけるIPv6による通信ネットワークにおいて許可されていない接続を防止するための不正接続防止方法であって、NSパケット監視手段によって、ICMPv6におけるNSパケットを発見するための監視を行うステップと、アドレス取得手段によって、発見した前記NSパケットから送信元MACアドレス、送信元IPv6アドレス、送信先IPv6アドレスを取得するステップと、アドレス取得手段で取得した前記送信先IPv6アドレス宛にNSパケットを出すことにより送信先端末のMACアドレスを取得するMACアドレス取得手段と、送信元と送信先のIPv6アドレスおよびMACアドレスを基に送信先端末の正規/不正規を判定する判定手段と、判定手段が不正端末と判定した場合に偽のNAパケットをマルチキャストで通信ネットワークに配信して不正端末の接続を妨害する不正接続妨害手段と、を備える。   According to a fourth aspect of the present invention, there is provided an unauthorized connection prevention method for preventing unauthorized connection in a communication network based on IPv6 in a dynamic IP environment, wherein an NS packet in ICMPv6 is detected by an NS packet monitoring means. Monitoring for discovering, a step of obtaining a source MAC address, a source IPv6 address and a destination IPv6 address from the found NS packet by the address obtaining unit, and the transmission obtained by the address obtaining unit MAC address obtaining means for obtaining the MAC address of the destination terminal by issuing an NS packet addressed to the destination IPv6 address, and determining whether the destination terminal is normal or irregular based on the IPv6 address and MAC address of the source and destination Determining means for determining that the determining means is an unauthorized terminal Comprising the unauthorized connection interference means to deliver the communication network false NA packets in multicast to interfere with the connection of the unauthorized terminal in the case was boss, a.

また、請求項5に記載の本発明は、固定IPv6環境におけるIPv6による通信ネットワークにおいて許可されていない接続を防止するためのコンピュータが読み取り可能な不正接続防止プログラムであって、NSパケット監視手段によって、ICMPv6におけるNSパケットを発見するための監視を行うステップと、アドレス取得手段によって、発見した前記NSパケットから、送信元MACアドレスと、送信元IPv6アドレスと、送信先IPv6アドレスと、を取得するステップと、MACアドレス取得手段によって、アドレス取得手段で取得した前記送信先IPv6アドレス宛にNSパケットを出すことにより送信先端末のMACアドレスを取得するステップと、判定手段によって、送信元と送信先のIPv6アドレスおよびMACアドレスを基に送信先端末の正規/不正規を判定するステップと、不正接続妨害手段によって、判定手段が不正端末と判定した場合に偽のNAパケットをマルチキャストで通信ネットワークに配信して不正端末の接続を妨害するステップと、して前記コンピュータを機能させる。   The present invention according to claim 5 is a computer-readable unauthorized connection prevention program for preventing unauthorized connection in a communication network based on IPv6 in a fixed IPv6 environment. Monitoring for discovering an NS packet in ICMPv6; obtaining a source MAC address, a source IPv6 address, and a destination IPv6 address from the found NS packet by an address acquisition unit; The MAC address acquisition means acquires the MAC address of the destination terminal by issuing an NS packet addressed to the destination IPv6 address acquired by the address acquisition means, and the determination means sets the IPv6 address of the transmission source and destination And M A step of determining whether the destination terminal is normal / invalid based on the C address, and when the determination unit determines that it is an illegal terminal by the unauthorized connection blocking unit, a false NA packet is distributed to the communication network by multicast, and the illegal terminal Preventing the connection of the computer and causing the computer to function.

また、請求項6に記載の本発明は、動的IP環境におけるIPv6による通信ネットワークにおいて許可されていない接続を防止するためのコンピュータが読み取り可能な不正接続防止プログラムであって、NSパケット監視手段によって、ICMPv6におけるNSパケットを発見するための監視を行うステップと、アドレス取得手段によって、発見した前記NSパケットから送信元MACアドレス、送信元IPv6アドレス、送信先IPv6アドレスを取得するステップと、アドレス取得手段で取得した前記送信先IPv6アドレス宛にNSパケットを出すことにより送信先端末のMACアドレスを取得するMACアドレス取得手段と、送信元と送信先のMACアドレスを基に送信先端末の正規/不正規を判定する判定手段と、判定手段が不正端末と判定した場合に偽のNAパケットをマルチキャストで通信ネットワークに配信して不正端末の接続を妨害する不正接続妨害手段と、して前記コンピュータを機能させる。   According to a sixth aspect of the present invention, there is provided a computer-readable unauthorized connection prevention program for preventing unauthorized connections in a communication network based on IPv6 in a dynamic IP environment, comprising NS packet monitoring means. Monitoring for discovering an NS packet in ICMPv6, obtaining a source MAC address, a source IPv6 address, and a destination IPv6 address from the found NS packet by an address obtaining unit, and an address obtaining unit MAC address acquisition means for acquiring the MAC address of the destination terminal by issuing an NS packet addressed to the destination IPv6 address acquired in step 5, and the normal / incorrect of the destination terminal based on the MAC address of the source and destination Determining means for determining And unauthorized connection countermeasures for preventing connection unauthorized terminal to deliver false NA packet to the communication network at the multicast if it is determined that the unauthorized terminal, to cause the computer to function.

本発明によれば、IPv6環境における正規端末と不正端末との接続および不正端末同士の接続を防止することができる。   According to the present invention, connection between a regular terminal and an unauthorized terminal and connection between unauthorized terminals in an IPv6 environment can be prevented.

図1に示すのは不正接続防止システムの実施の形態による全体構成図である。この図1においては、既知の正規端末1と、NW監視装置2と、正規端末1以外の未知の不正端末3と、通信ネットワークを構築するLAN4と、が示されている。   FIG. 1 is an overall configuration diagram according to an embodiment of an unauthorized connection prevention system. In FIG. 1, a known regular terminal 1, an NW monitoring device 2, an unknown unauthorized terminal 3 other than the regular terminal 1, and a LAN 4 for constructing a communication network are shown.

正規端末1はLAN4を介して他の端末への接続が可能に構成されている。他の端末としては、正規端末1以外の他の既知の正規端末であり、さらにLAN4を介して接続可能な未知の不正端末3も含まれている。また、通信ネットワークとしてはLAN4に限定されるものではなく、他の情報通信ネットワークも含まれる。   The regular terminal 1 is configured to be connectable to other terminals via the LAN 4. Other terminals include other known legitimate terminals other than the legitimate terminal 1, and an unknown unauthorized terminal 3 that can be connected via the LAN 4. Further, the communication network is not limited to the LAN 4 and includes other information communication networks.

次に、図2に実施の形態に係る通信ネットワークの構成について説明するための説明図を示す。   Next, FIG. 2 is an explanatory diagram for explaining the configuration of the communication network according to the embodiment.

通信ネットワーク5には端末管理サーバ6が配置されている。通信ネットワーク5とネットワーク接続装置16を介して接続されたネットワークとしては、固定IPv6環境ネットワーク7と動的IPv6環境ネットワーク8が存在する。端末管理サーバ6はこれらのネットワークに接続されているそれぞれの端末について、あらかじめ接続を許可をしている。   A terminal management server 6 is arranged in the communication network 5. As networks connected to the communication network 5 via the network connection device 16, there are a fixed IPv6 environment network 7 and a dynamic IPv6 environment network 8. The terminal management server 6 permits connection in advance for each terminal connected to these networks.

これらの接続許可された端末について、固定IPv6環境ネットワーク7における正規端末12、13のそれぞれのIPv6アドレスとMAC(Media Access Control)アドレスの組合わせが「許可端末リスト」として構成されて端末管理サーバ6に記憶されている。同様に、動的IPv6環境ネットワーク8における正規端末14、15のそれぞれのMACアドレスが「許可端末リスト」として構成されて端末管理サーバ6に記憶されている。   For these connection-permitted terminals, the combination of the IPv6 address and MAC (Media Access Control) address of each of the regular terminals 12 and 13 in the fixed IPv6 environment network 7 is configured as a “permitted terminal list”, and the terminal management server 6 Is remembered. Similarly, the MAC addresses of the regular terminals 14 and 15 in the dynamic IPv6 environment network 8 are configured as a “permitted terminal list” and stored in the terminal management server 6.

固定IPv6環境ネットワーク7においては、この許可端末リストに基づいてIPv6アドレスとMACアドレスの組み合わせを確認し、確認した端末が既知の正規端末12、13であるのか、あるいは未知の不正端末であるのかを判断し、この判断をもって接続端末の正/不正を判断する。   In the fixed IPv6 environment network 7, the combination of the IPv6 address and the MAC address is confirmed based on the permitted terminal list, and it is determined whether the confirmed terminal is a known regular terminal 12, 13 or an unknown unauthorized terminal. Judgment is made and the right / wrong of the connected terminal is judged based on this judgment.

同様に動的IPv6環境ネットワーク8においては、許可端末リストに基づいてMACアドレスを確認し、確認した端末が既知の正規端末14、15であるのか、あるいは未知の不正端末であるのかを判断し、この判断をもって接続端末の正/不正を判断する。   Similarly, in the dynamic IPv6 environment network 8, the MAC address is confirmed based on the permitted terminal list, and it is determined whether the confirmed terminal is a known regular terminal 14, 15 or an unknown illegal terminal, Based on this determination, whether the connected terminal is right or wrong is determined.

次の図3〜5には、図1、2に示した実施の形態における正規端末と不正端末の接続を防止する処理を説明するためのシーケンス図を示している。なお、この図3〜5に示すシーケンス図は、図2に示した固定IPv6環境ネットワーク7における端末の正/不正の判断処理を説明している。   Next, FIGS. 3 to 5 are sequence diagrams for explaining processing for preventing connection between a regular terminal and an unauthorized terminal in the embodiment shown in FIGS. Note that the sequence diagrams shown in FIGS. 3 to 5 explain the correct / incorrect determination process of the terminal in the fixed IPv6 environment network 7 shown in FIG.

まず、正規端末1にIPv6アドレスがたとえば「A」、MACアドレスがたとえば「X」と割付けられており、図2に示した端末管理サーバ6の許可端末リストに登録されている。同様に不正端末3にはIPv6アドレスがたとえば「B」、MACアドレスがたとえば「Y」と割付けられている。同様にNW監視装置2にはIPv6アドレスがたとえば「C」、MACアドレスがたとえば「Z」と割付けられている。   First, an IPv6 address, for example, “A” and a MAC address, for example, “X” are assigned to the regular terminal 1 and are registered in the permitted terminal list of the terminal management server 6 shown in FIG. Similarly, the unauthorized terminal 3 is assigned an IPv6 address such as “B” and a MAC address such as “Y”. Similarly, the NW monitoring device 2 is assigned an IPv6 address such as “C” and a MAC address such as “Z”.

まず、正規端末1が不正端末3と通信するためにNS(Neighbour Solicitation)パケットを送信する(S1)。ここで送信される内容は「Src MAC:X、Dst MAC:W、Src IPv6:A、Dst IPv6:B、Target IPv6:B、Src Link Layer Address:X」である。このうち、「Dst MAC:W」は、NSパケット送信時において、あらかじめ決められたノードや端末に対して同時(マルチキャスト)に送信するためのマルチキャストMACアドレスである。不正端末3では正規端末1の情報を取得し、「IPv6:Aの端末はMAC:X」として認識する。   First, in order for the authorized terminal 1 to communicate with the unauthorized terminal 3, an NS (Neighbour Solicitation) packet is transmitted (S1). The contents transmitted here are “Src MAC: X, Dst MAC: W, Src IPv6: A, Dst IPv6: B, Target IPv6: B, Src Link Layer Address: X”. Among these, “Dst MAC: W” is a multicast MAC address for simultaneous (multicast) transmission to a predetermined node or terminal during NS packet transmission. The unauthorized terminal 3 obtains information on the authorized terminal 1 and recognizes it as “IPv6: A terminal is MAC: X”.

次に、NW監視装置2が正規端末1の情報を取得する(S2)。ここで取得する情報は、正規端末1の情報として「IPv6:Aの端末はMAC:X」として認識し、同時に不正端末3の情報の一部も取得する。ここで取得する不正端末3の情報は「IPv6:Bの端末が存在する」という内容である。   Next, the NW monitoring device 2 acquires information on the authorized terminal 1 (S2). The information acquired here is recognized as “IPv6: A terminal is MAC: X” as the information of the authorized terminal 1, and at the same time, a part of the information of the unauthorized terminal 3 is also acquired. The information of the unauthorized terminal 3 acquired here is the content that “IPv6: B terminal exists”.

次に、不正端末3はNA(Neighbour Advertisement)パケットを正規端末1へ送信する(S3)。ここで送信される内容は、「Src MAC:Y、Dst MAC:X、Src IPv6:B、Dst IPv6:A、Target IPv6:B、Target Link Layer Address:Y」である。正規端末1は不正端末3の情報を取得し、「IPv6:Bの端末はMAC:Y」として認識する。   Next, the unauthorized terminal 3 transmits an NA (Neighbour Advertisement) packet to the regular terminal 1 (S3). The contents transmitted here are “Src MAC: Y, Dst MAC: X, Src IPv6: B, Dst IPv6: A, Target IPv6: B, Target Link Layer Address: Y”. The legitimate terminal 1 acquires information on the unauthorized terminal 3 and recognizes “IPv6: B terminal is MAC: Y”.

なお、ここまでのS2の処理ステップでは、図3中の通信状態(イ)に示される「不正端末3から正規端末1への通信可能」な状態である。   Note that the processing step of S2 so far is a state in which “communication from the unauthorized terminal 3 to the regular terminal 1 is possible” shown in the communication state (A) in FIG.

次に、NW監視装置2から不正端末3へNSパケットを送信する(S4)。ここで送信される内容は「Src MAC:Z、Dst MAC:W、Src IPv6:C、Dst IPv6:B、Target IPv6:B、Target Link Layer Address:Z」である。このNSパケット送信により不正端末3はNW監視装置2の情報を取得し、「IPv6:Cの端末はMAC:Z」として認識する。   Next, an NS packet is transmitted from the NW monitoring device 2 to the unauthorized terminal 3 (S4). The contents transmitted here are “Src MAC: Z, Dst MAC: W, Src IPv6: C, Dst IPv6: B, Target IPv6: B, Target Link Layer Address: Z”. By this NS packet transmission, the unauthorized terminal 3 acquires the information of the NW monitoring device 2 and recognizes “IPv6: C terminal is MAC: Z”.

次に、NW監視装置2からはS4におけるNSパケット送信と同時に正規端末1へもNSパケット送信が実行される(S5)。ここで送信される内容も同じく「Src MAC:Z、Dst MAC:W、Src IPv6:C、Dst IPv6:B、Target IPv6:B、Target Link Layer Address:Z」である。このNSパケット送信により正規端末1はNW監視装置2の情報を取得し、「IPv6:Cの端末はMAC:Z」として認識する。   Next, NS packet transmission is executed from the NW monitoring device 2 to the regular terminal 1 simultaneously with NS packet transmission in S4 (S5). The contents transmitted here are also “Src MAC: Z, Dst MAC: W, Src IPv6: C, Dst IPv6: B, Target IPv6: B, Target Link Layer Address: Z”. By this NS packet transmission, the legitimate terminal 1 acquires the information of the NW monitoring device 2 and recognizes it as “IPv6: C terminal is MAC: Z”.

次に図4に示すように、不正端末3からNAパケット送信が実行される(S6)。ここで送信される内容は「Src MAC:Y、Dst MAC:Z、Src IPv6:B、Dst IPv6:C、Target IPv6:B、Target Link Layer Address:Y」である。このNAパケット送信によりNW監視装置2は不正端末3の情報を取得し、「IPv6:Bの端末はMAC:Y」として認識し、IPv6アドレスとMACアドレスの組合せかは許可端末リストに無い組合わせであるので、不正端末との通信と認定する。   Next, as shown in FIG. 4, NA packet transmission is executed from the unauthorized terminal 3 (S6). The contents transmitted here are “Src MAC: Y, Dst MAC: Z, Src IPv6: B, Dst IPv6: C, Target IPv6: B, Target Link Layer Address: Y”. By this NA packet transmission, the NW monitoring device 2 acquires information on the unauthorized terminal 3, recognizes that “IPv6: B terminal is MAC: Y”, and the combination of the IPv6 address and MAC address is not in the permitted terminal list. Therefore, it is recognized as communication with an unauthorized terminal.

次に、不正端末3の通信を認識したNW監視装置2からは不正端末3に成りすますための偽のNAパケット送信(1)が正規端末1へ送信される(S7)。ここで送信される内容は「Src MAC:YまたはV、Dst MAC:X、Src IPv6:B、Dst IPv6:A、Target IPv6:B、Target Link Layer Address:V」である。なお、VはNW内に存在しないでたらめなMACアドレスである。NW監視装置2から送信された偽のNAパケット送信(1)を受けて、正規端末1は不正端末3からのNAパケット通信と誤認し、不正端末3の情報として「IPv6:Bの端末はMAC:V」と認識し、正規端末1内の不正端末情報が偽のMACアドレスで上書きされる。   Next, a false NA packet transmission (1) for impersonating the unauthorized terminal 3 is transmitted from the NW monitoring device 2 that has recognized the communication of the unauthorized terminal 3 to the authorized terminal 1 (S7). The contents transmitted here are “Src MAC: Y or V, Dst MAC: X, Src IPv6: B, Dst IPv6: A, Target IPv6: B, Target Link Layer Address: V”. V is a random MAC address that does not exist in the NW. In response to the fake NA packet transmission (1) transmitted from the NW monitoring device 2, the legitimate terminal 1 misidentifies the NA packet communication from the unauthorized terminal 3, and the information of the unauthorized terminal 3 is “IPv6: B terminal is MAC : V ”and the unauthorized terminal information in the authorized terminal 1 is overwritten with a fake MAC address.

なお、ここまでのS3〜6の処理ステップの間は、図3、4中の通信状態(ロ)に示される「正規端末1と不正端末3が相互に通信可能」な状態である。また、S7の処理ステップでは、図4中の通信状態(イ)に示される「不正端末3から正規端末1への通信可能」な状態である。   It should be noted that during the processing steps of S3 to S6 so far, a state where “the authorized terminal 1 and the unauthorized terminal 3 can communicate with each other” shown in the communication state (b) in FIGS. Further, the processing step of S7 is a state in which “communication from the unauthorized terminal 3 to the authorized terminal 1 is possible” shown in the communication state (A) in FIG.

また同時に、ここまでのS5、6の処理ステップの間は、図3、4中の通信状態(ハ)に示される「不正端末3からNW監視装置2への通信可能」な状態である。   At the same time, during the processing steps of S5 and S6 so far, the communication state (c) in FIGS. 3 and 4 is “a communication from the unauthorized terminal 3 to the NW monitoring device 2”.

次に、NW監視装置2は偽のNAパケット送信(2)を不正端末3へ送信する(S8)。ここで送信される内容は「Src MAC:YまたはV、Dst MAC:Y、Src IPv6:A、Dst IPv6:B、Target IPv6:A、Target Link Layer Address:V」である。NW監視装置2から送信された偽のNAパケット送信(2)を受けて、不正端末3は正規端末1からのNAパケット通信と誤認し、正規端末1の情報として「IPv6:Aの端末はMAC:V」と認識し、不正端末3内の正規端末情報が偽のMACアドレスで上書きされる。   Next, the NW monitoring device 2 transmits a fake NA packet transmission (2) to the unauthorized terminal 3 (S8). The contents transmitted here are “Src MAC: Y or V, Dst MAC: Y, Src IPv6: A, Dst IPv6: B, Target IPv6: A, Target Link Layer Address: V”. Upon receiving the fake NA packet transmission (2) transmitted from the NW monitoring device 2, the unauthorized terminal 3 misidentifies the NA packet communication from the authorized terminal 1, and the information of the authorized terminal 1 is “IPv6: A terminal is MAC : V ”and the legitimate terminal information in the unauthorized terminal 3 is overwritten with a fake MAC address.

次に、図5に示すように、NW監視装置2から不正端末3へ偽のパケット送信(3)が行われる(S9)。ここで送信される内容は「Src MAC:ZまたはV、Dst MAC:Y、Src IPv6:C、Dst IPv6:B、Target IPv6:C、Target Link Layer Address:V」である。NW監視装置2から送信された偽のNAパケット送信(3)を受けて、不正端末3はNW監視装置2の情報として「IPv6:Cの端末はMAC:V」と認識し、不正端末3内のNW監視装置2の情報が偽のMACアドレスで上書きされる。   Next, as shown in FIG. 5, a false packet transmission (3) is performed from the NW monitoring device 2 to the unauthorized terminal 3 (S9). The contents transmitted here are “Src MAC: Z or V, Dst MAC: Y, Src IPv6: C, Dst IPv6: B, Target IPv6: C, Target Link Layer Address: V”. Upon receiving the fake NA packet transmission (3) transmitted from the NW monitoring device 2, the unauthorized terminal 3 recognizes “IPv6: C terminal is MAC: V” as information of the NW monitoring device 2, and the unauthorized terminal 3 The information of the NW monitoring device 2 is overwritten with a fake MAC address.

なお、ここまでのS7〜9の処理ステップの間は、図4、5中の通信状態(ニ)に示される「NW監視装置2と不正端末3が相互に通信可能」な状態である。   In addition, between the processing steps of S7-9 so far, it is a state "NW monitoring device 2 and unauthorized terminal 3 can mutually communicate" shown by the communication state (d) in FIG.

また、S9の処理ステップでは、図5中の通信状態(ホ)に示される「NW監視装置2から不正端末3への通信可能」な状態である。   Further, the processing step of S9 is a state in which “communication from the NW monitoring device 2 to the unauthorized terminal 3 is possible” shown in the communication state (e) in FIG.

以上説明した実施の形態によれば、IPv6環境における正規端末と不正端末との接続および不正端末同士の接続を防止することができる。   According to the embodiment described above, it is possible to prevent connection between a regular terminal and an unauthorized terminal and connection between unauthorized terminals in an IPv6 environment.

実施の形態におけるネットワークの構成の概要を示す。1 shows an outline of a network configuration in an embodiment. 実施の形態におけるネットワークの構成の概要を示す。1 shows an outline of a network configuration in an embodiment. 実施の形態における正規端末と不正端末の接続を防止する処理を説明するためのシーケンス図を示す。The sequence diagram for demonstrating the process which prevents the connection of the regular terminal and unauthorized terminal in embodiment is shown. 実施の形態における正規端末と不正端末の接続を防止する処理を説明するためのシーケンス図を示す。The sequence diagram for demonstrating the process which prevents the connection of the regular terminal and unauthorized terminal in embodiment is shown. 実施の形態における正規端末と不正端末の接続を防止する処理を説明するためのシーケンス図を示す。The sequence diagram for demonstrating the process which prevents the connection of the regular terminal and unauthorized terminal in embodiment is shown.

符号の説明Explanation of symbols

1 正規端末
2 NW監視装置
3 不正端末 1 Regular terminal 2 NW monitoring device 3 Unauthorized terminal

Claims (6)

固定IPv6環境におけるIPv6による通信ネットワークにおいて許可されていない接続を防止するための不正接続防止システムであって、
ICMPv6におけるNSパケットを発見するための監視を行うNSパケット監視手段と、
発見した前記NSパケットから、送信元MACアドレスと、送信元IPv6アドレスと、送信先IPv6アドレスと、を取得するアドレス取得手段と、
アドレス取得手段で取得した前記送信先IPv6アドレス宛にNSパケットを出すことにより送信先端末のMACアドレスを取得するMACアドレス取得手段と、
送信元と送信先のIPv6アドレスおよびMACアドレスを基に送信先端末の正規/不正規を判定する判定手段と、
判定手段が不正端末と判定した場合に偽のNAパケットをマルチキャストで通信ネットワークに配信して不正端末の接続を妨害する不正接続妨害手段と、
を備えることを特徴とする不正接続防止システム。 An unauthorized connection prevention system for preventing unauthorized connection in an IPv6 communication network in a fixed IPv6 environment,
NS packet monitoring means for performing monitoring for discovering NS packets in ICMPv6;
Address acquisition means for acquiring a source MAC address, a source IPv6 address, and a destination IPv6 address from the found NS packet;
MAC address acquisition means for acquiring the MAC address of the destination terminal by issuing an NS packet addressed to the destination IPv6 address acquired by the address acquisition means;
Determining means for determining whether the transmission destination terminal is normal or irregular based on the IPv6 address and MAC address of the transmission source and the transmission destination;
An unauthorized connection blocking means for distributing a false NA packet to a communication network by multicast when the determination means determines an unauthorized terminal, and blocking connection of the unauthorized terminal;
An unauthorized connection prevention system comprising: 動的IP環境におけるIPv6による通信ネットワークにおいて許可されていない接続を防止するための不正接続防止システムであって、
ICMPv6におけるNSパケットを発見するための監視を行うNSパケット監視手段と、
発見した前記NSパケットから送信元MACアドレス、送信元IPv6アドレス、送信先IPv6アドレスを取得するアドレス取得手段と、
アドレス取得手段で取得した前記送信先IPv6アドレス宛にNSパケットを出すことにより送信先端末のMACアドレスを取得するMACアドレス取得手段と、
送信元と送信先のIPv6アドレスおよびMACアドレスを基に送信先端末の正規/不正規を判定する判定手段と、
判定手段が不正端末と判定した場合に偽のNAパケットをマルチキャストで通信ネットワークに配信して不正端末の接続を妨害する不正接続妨害手段と、
を備えることを特徴とする不正接続防止システム。 An unauthorized connection prevention system for preventing unauthorized connection in an IPv6 communication network in a dynamic IP environment,
NS packet monitoring means for performing monitoring for discovering NS packets in ICMPv6;
Address acquisition means for acquiring a source MAC address, a source IPv6 address, and a destination IPv6 address from the found NS packet;
MAC address acquisition means for acquiring the MAC address of the destination terminal by issuing an NS packet addressed to the destination IPv6 address acquired by the address acquisition means;
Determining means for determining whether the transmission destination terminal is normal or irregular based on the IPv6 address and MAC address of the transmission source and the transmission destination;
An unauthorized connection blocking means for distributing a false NA packet to a communication network by multicast when the determination means determines an unauthorized terminal, and blocking connection of the unauthorized terminal;
An unauthorized connection prevention system comprising: 固定IPv6環境におけるIPv6による通信ネットワークにおいて許可されていない接続を防止するための不正接続防止方法であって、
NSパケット監視手段によって、ICMPv6におけるNSパケットを発見するための監視を行うステップと、
アドレス取得手段によって、発見した前記NSパケットから、送信元MACアドレスと、送信元IPv6アドレスと、送信先IPv6アドレスと、を取得するステップと、
MACアドレス取得手段によって、アドレス取得手段で取得した前記送信先IPv6アドレス宛にNSパケットを出すことにより送信先端末のMACアドレスを取得するステップと、
判定手段によって、送信元と送信先のIPv6アドレスおよびMACアドレスを基に送信先端末の正規/不正規を判定するステップと、
不正接続妨害手段によって、判定手段が不正端末と判定した場合に偽のNAパケットをマルチキャストで通信ネットワークに配信して不正端末の接続を妨害するステップと、
を有することを特徴とする不正接続防止方法。 An unauthorized connection prevention method for preventing unauthorized connection in an IPv6 communication network in a fixed IPv6 environment,
A step of performing monitoring for discovering NS packets in ICMPv6 by NS packet monitoring means;
Obtaining a source MAC address, a source IPv6 address, and a destination IPv6 address from the discovered NS packet by an address acquisition means;
Obtaining a MAC address of a destination terminal by issuing an NS packet to the destination IPv6 address obtained by the address obtaining unit by a MAC address obtaining unit;
A step of determining whether the transmission destination terminal is normal or irregular based on the IPv6 address and the MAC address of the transmission source and the transmission destination by the determination unit;
A step of distributing a fake NA packet to a communication network by multicast when the determination means determines an unauthorized terminal by the unauthorized connection obstructing means;
A method of preventing unauthorized connection, comprising: 動的IP環境におけるIPv6による通信ネットワークにおいて許可されていない接続を防止するための不正接続防止方法であって、
NSパケット監視手段によって、ICMPv6におけるNSパケットを発見するための監視を行うステップと、
アドレス取得手段によって、発見した前記NSパケットから送信元MACアドレス、送信元IPv6アドレス、送信先IPv6アドレスを取得するステップと、
アドレス取得手段で取得した送信先IPv6アドレス宛にNSパケットを出すことにより送信先端末のMACアドレスを取得するMACアドレス取得手段と、
送信元と送信先のIPv6アドレスおよびMACアドレスを基に送信先端末の正規/不正規を判定する判定手段と、
判定手段が不正端末と判定した場合に偽のNAパケットをマルチキャストで通信ネットワークに配信して不正端末の接続を妨害する不正接続妨害手段と、
を備えることを特徴とする不正接続防止方法。 An unauthorized connection prevention method for preventing unauthorized connections in an IPv6 communication network in a dynamic IP environment,
A step of performing monitoring for discovering NS packets in ICMPv6 by NS packet monitoring means;
Obtaining a source MAC address, a source IPv6 address, and a destination IPv6 address from the found NS packet by an address acquisition means;
MAC address acquisition means for acquiring the MAC address of the destination terminal by issuing an NS packet addressed to the destination IPv6 address acquired by the address acquisition means;
Determining means for determining whether the transmission destination terminal is normal or irregular based on the IPv6 address and MAC address of the transmission source and the transmission destination;
An unauthorized connection blocking means for distributing a false NA packet to a communication network by multicast when the determination means determines an unauthorized terminal, and blocking connection of the unauthorized terminal;
A method for preventing unauthorized connection, comprising: 固定IPv6環境におけるIPv6による通信ネットワークにおいて許可されていない接続を防止するためのコンピュータが読み取り可能な不正接続防止プログラムであって、
NSパケット監視手段によって、ICMPv6におけるNSパケットを発見するための監視を行うステップと、
アドレス取得手段によって、発見した前記NSパケットから、送信元MACアドレスと、送信元IPv6アドレスと、送信先IPv6アドレスと、を取得するステップと、
MACアドレス取得手段によって、アドレス取得手段で取得した前記送信先IPv6アドレス宛にNSパケットを出すことにより送信先端末のMACアドレスを取得するステップと、
判定手段によって、送信元と送信先のIPv6アドレスおよびMACアドレスを基に送信先端末の正規/不正規を判定するステップと、
不正接続妨害手段によって、判定手段が不正端末と判定した場合に偽のNAパケットをマルチキャストで通信ネットワークに配信して不正端末の接続を妨害するステップと、
して前記コンピュータを機能させることを特徴とする不正接続防止プログラム。 A computer-readable unauthorized connection prevention program for preventing unauthorized connections in a communication network based on IPv6 in a fixed IPv6 environment,
A step of performing monitoring for discovering NS packets in ICMPv6 by NS packet monitoring means;
Obtaining a source MAC address, a source IPv6 address, and a destination IPv6 address from the discovered NS packet by an address acquisition means;
Obtaining a MAC address of a destination terminal by issuing an NS packet to the destination IPv6 address obtained by the address obtaining unit by a MAC address obtaining unit;
A step of determining whether the transmission destination terminal is normal or irregular based on the IPv6 address and the MAC address of the transmission source and the transmission destination by the determination unit;
A step of distributing a fake NA packet to a communication network by multicast when the determination means determines an unauthorized terminal by the unauthorized connection obstructing means;
An unauthorized connection prevention program that causes the computer to function. 動的IP環境におけるIPv6による通信ネットワークにおいて許可されていない接続を防止するためのコンピュータが読み取り可能な不正接続防止プログラムであって、
NSパケット監視手段によって、ICMPv6におけるNSパケットを発見するための監視を行うステップと、
アドレス取得手段によって、発見した前記NSパケットから送信元MACアドレス、送信元IPv6アドレス、送信先IPv6アドレスを取得するステップと、
アドレス取得手段で取得した前記送信先IPv6アドレス宛にNSパケットを出すことにより送信先端末のMACアドレスを取得するMACアドレス取得手段と、
送信元と送信先のMACアドレスを基に送信先端末の正規/不正規を判定する判定手段と、
判定手段が不正端末と判定した場合に偽のNAパケットをマルチキャストで通信ネットワークに配信して不正端末の接続を妨害する不正接続妨害手段と、
して前記コンピュータを機能させることを特徴とする不正接続防止プログラム。 A computer-readable unauthorized connection prevention program for preventing unauthorized connections in an IPv6 communication network in a dynamic IP environment,
A step of performing monitoring for discovering NS packets in ICMPv6 by NS packet monitoring means;
Obtaining a source MAC address, a source IPv6 address, and a destination IPv6 address from the found NS packet by an address acquisition means;
MAC address acquisition means for acquiring the MAC address of the destination terminal by issuing an NS packet addressed to the destination IPv6 address acquired by the address acquisition means;
A determination means for determining whether the transmission destination terminal is normal or irregular based on the MAC addresses of the transmission source and the transmission destination;
An unauthorized connection blocking means for distributing a false NA packet to a communication network by multicast when the determination means determines an unauthorized terminal, and blocking connection of the unauthorized terminal;
An unauthorized connection prevention program that causes the computer to function.
JP2005292385A 2005-10-05 2005-10-05 Unjust connection preventing system, method, and program Pending JP2007104396A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005292385A JP2007104396A (en) 2005-10-05 2005-10-05 Unjust connection preventing system, method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005292385A JP2007104396A (en) 2005-10-05 2005-10-05 Unjust connection preventing system, method, and program

Publications (1)

Publication Number Publication Date
JP2007104396A true JP2007104396A (en) 2007-04-19

Family

ID=38030878

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005292385A Pending JP2007104396A (en) 2005-10-05 2005-10-05 Unjust connection preventing system, method, and program

Country Status (1)

Country Link
JP (1) JP2007104396A (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102014459A (en) * 2010-11-25 2011-04-13 中国联合网络通信集团有限公司 Wireless access control method and device
JP2012502544A (en) * 2009-03-20 2012-01-26 ネットマン カンパニー リミテッド IPv6 network host blocking and searching method
WO2016170598A1 (en) * 2015-04-21 2016-10-27 株式会社Pfu Information processing apparatus, method, and program
CN111917703A (en) * 2019-05-10 2020-11-10 阿自倍尔株式会社 Monitoring device and monitoring method
CN112291378A (en) * 2019-07-25 2021-01-29 阿自倍尔株式会社 Address management device and address management method
CN113037704A (en) * 2019-12-25 2021-06-25 阿自倍尔株式会社 Detection device and detection method

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012502544A (en) * 2009-03-20 2012-01-26 ネットマン カンパニー リミテッド IPv6 network host blocking and searching method
CN102014459A (en) * 2010-11-25 2011-04-13 中国联合网络通信集团有限公司 Wireless access control method and device
CN102014459B (en) * 2010-11-25 2013-11-06 中国联合网络通信集团有限公司 Wireless access control method and device
WO2016170598A1 (en) * 2015-04-21 2016-10-27 株式会社Pfu Information processing apparatus, method, and program
JPWO2016170598A1 (en) * 2015-04-21 2017-08-17 株式会社Pfu Information processing apparatus, method, and program
JP7232121B2 (en) 2019-05-10 2023-03-02 アズビル株式会社 Monitoring device and monitoring method
KR20200130180A (en) 2019-05-10 2020-11-18 아즈빌주식회사 Monitoring apparatus and monitoring method
JP2020188303A (en) * 2019-05-10 2020-11-19 アズビル株式会社 Monitoring device and monitoring method
KR102387010B1 (en) * 2019-05-10 2022-04-18 아즈빌주식회사 Monitoring apparatus and monitoring method
CN111917703A (en) * 2019-05-10 2020-11-10 阿自倍尔株式会社 Monitoring device and monitoring method
CN111917703B (en) * 2019-05-10 2023-05-09 阿自倍尔株式会社 Monitoring device and monitoring method
CN112291378A (en) * 2019-07-25 2021-01-29 阿自倍尔株式会社 Address management device and address management method
KR20210012947A (en) 2019-07-25 2021-02-03 아즈빌주식회사 Address management apparatus and address management method
CN112291378B (en) * 2019-07-25 2023-05-19 阿自倍尔株式会社 Address management device and address management method
CN113037704A (en) * 2019-12-25 2021-06-25 阿自倍尔株式会社 Detection device and detection method
CN113037704B (en) * 2019-12-25 2023-10-31 阿自倍尔株式会社 Detection device and detection method

Similar Documents

Publication Publication Date Title
JP5390798B2 (en) Method and apparatus for early warning of network equipment
US8364847B2 (en) Address management in a connectivity platform
CN107547510B (en) Neighbor discovery protocol security table item processing method and device
JP2007036374A (en) Packet transfer apparatus, communication network, and packet transfer method
WO2005036831A1 (en) Frame relay device
EP1758340B1 (en) Access device for preventing transmission of copyrighted content to external network and method for the same
JP6888437B2 (en) In-vehicle communication device, communication control method and communication control program
JP2007104396A (en) Unjust connection preventing system, method, and program
Song et al. Novel duplicate address detection with hash function
JP5385872B2 (en) COMMUNICATION CONTROL DEVICE, COMMUNICATION SYSTEM, AND PROGRAM
US7530100B2 (en) Apparatus for limiting use of particular network address
JP4941117B2 (en) Server apparatus, network system, and network connection method used therefor
JP4895793B2 (en) Network monitoring apparatus and network monitoring method
JP4750750B2 (en) Packet transfer system and packet transfer method
JP7376289B2 (en) Address monitoring device and address monitoring method
JP6476530B2 (en) Information processing apparatus, method, and program
JP2019041176A (en) Unauthorized connection blocking device and unauthorized connection blocking method
WO2014132774A1 (en) Node information detection device, node information detection method, and program
JP2005210451A (en) Unauthorized access preventing apparatus and program
JP2006229410A (en) Communication method, communication system, communication device and communication program
KR102425707B1 (en) Fraud detection device and fraud detection method
JP2014150504A (en) Network monitoring device, network monitoring method, and computer program
JP7232121B2 (en) Monitoring device and monitoring method
JP2019009637A (en) Network monitoring device
JP7444600B2 (en) Detection device and detection method