JP2011124774A - ネットワーク監視装置、ネットワーク監視方法 - Google Patents
ネットワーク監視装置、ネットワーク監視方法 Download PDFInfo
- Publication number
- JP2011124774A JP2011124774A JP2009280612A JP2009280612A JP2011124774A JP 2011124774 A JP2011124774 A JP 2011124774A JP 2009280612 A JP2009280612 A JP 2009280612A JP 2009280612 A JP2009280612 A JP 2009280612A JP 2011124774 A JP2011124774 A JP 2011124774A
- Authority
- JP
- Japan
- Prior art keywords
- node
- address
- unregistered
- computer
- resolution protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
【課題】未登録ノードから登録ノードへの通信を妨害すると共に、未登録ノードが設定されたノードと通信を行うこと。
【解決手段】監視ユニット101の未登録PC検出モジュール204は、登録済みリストおよび検出リストを参照して、未登録ノードから送信されたARP要求パケットを検出する。未登録ノードからのAPR要求パケットを検出した場合、ARP要求パケットの宛先が接続許可リストに含まれているかを判定する。未登録PC検出モジュール204は、接続許可リストに含まれていると判定した場合、未登録ノードと宛先ノードとの通信を許可する。
【選択図】図3
【解決手段】監視ユニット101の未登録PC検出モジュール204は、登録済みリストおよび検出リストを参照して、未登録ノードから送信されたARP要求パケットを検出する。未登録ノードからのAPR要求パケットを検出した場合、ARP要求パケットの宛先が接続許可リストに含まれているかを判定する。未登録PC検出モジュール204は、接続許可リストに含まれていると判定した場合、未登録ノードと宛先ノードとの通信を許可する。
【選択図】図3
Description
本発明は、ネットワーク上のアクセスを監視するネットワーク監視装置およびネットワーク監視方法に関する。
近年、ネットワーク上の不正アクセスに対処するための様々な手法が提案されている。このような手法の一つとして、アドレス解決プロトコル(Address Resolution Protocol:ARP)を利用した方法が挙げられる。
アドレス解決プロトコル(ARP)は、ネットワーク上でIPアドレスが既知であるノードのMACアドレスを決定するためのプロトコルである。
ネットワーク上の各ノードは、アドレス解決プロトコル要求(ARP要求)を送信し、他のノードから送信されるアドレス解決プロトコル応答(ARP応答)に基づいて、IPアドレス(ネットワークアドレス)とMACアドレス(物理アドレス)との対応をARPテーブルへ記述する。このため、偽装されたARP応答を送信することで、ノードのARPテーブルに他のノードの偽のMACアドレスを記述することもできる。ARPテーブルに偽のMACアドレスを記述されたノードは、正常な通信を行うことができない。換言すると、ノードが不正なノードである場合には、不正なノードによる通信を妨害することができる。
特許文献1には、未認証端末から送信されたARP要求を受信し、該未認証端末へ偽装ARP応答を送信し、該未認証端末のアクセス先である認証済み端末へ偽装ARP要求を送信するネットワーク検疫装置が開示されている。ネットワーク検疫装置は、上述の偽装ARP応答および偽装ARP要求により、未認証端末と認証済み端末との間の通信を妨害することができる。
特許文献1のネットワーク検疫装置では、未登録ノードはネットワーク上のノードに全くアクセスすることができなかった。
本発明の目的は、未登録ノードから登録ノードへの通信を妨害すると共に、未登録ノードが設定されたノードと通信を行うことが可能になるネットワーク監視装置およびネットワーク監視方法を提供することである。
本発明の一例に係わる、複数のノードが接続されたネットワークを監視するネットワーク監視装置であって、アドレス解決プロトコル要求パケットを受信したことに応答して、前記受信したアドレス解決プロトコル要求パケットに含まれる送信元物理アドレスに基づいて、前記受信したアドレス解決プロトコル要求パケットの送信元ノードが未登録ノードであるかどうかを判定する未登録ノード判定手段と、前記未登録ノード判定手段によって前記送信元ノードが未登録ノードであると判定された場合、前記受信したアドレス解決プロトコル要求パケットに含まれる宛先ネットワークアドレスに基づいて、前記受信したアドレス解決プロトコル要求パケットの宛先ノードが接続許可ノードであるかを判定する接続許可ノード判定手段と、前記接続許可ノード判定手段によって前記宛先ノードが接続許可ノードであると判定された場合、前記送信元ノードと前記宛先ノードとの通信を許可する手段と、前記接続許可ノード判定手段によって前記宛先ノードが接続許可ノードではないと判定された場合、前記受信したアドレス解決プロトコル要求パケットに含まれる宛先ネットワークアドレスに対応するノードである宛先ノードへ、偽装アドレス解決プロトコル要求パケットを送信する偽装アドレス解決プロトコル要求送信手段と、前記宛先ノードから送信された、前記偽装アドレス解決プロトコル要求パケットに対するアドレス解決プロトコル応答パケットを受信したことに応答して、前記未登録ノードへ、偽装アドレス解決プロトコル応答パケットを送信する偽装アドレス解決プロトコル応答送信手段とを具備することを特徴とする。
本発明によれば、未登録ノードから登録ノードへの通信を妨害すると共に、未登録ノードが設定されたノードと通信を行うことが可能になるになる。
本発明の実施の形態を以下に図面を参照して説明する。
以下、図面を参照して本発明の実施形態を説明する。
(第1の実施形態)
まず、図1を参照して、本発明の第1の実施形態に係るネットワーク監視装置が接続されるネットワークの例について説明する。このネットワーク監視装置は、例えば、パーソナルコンピュータとして実現される。
まず、図1を参照して、本発明の第1の実施形態に係るネットワーク監視装置が接続されるネットワークの例について説明する。このネットワーク監視装置は、例えば、パーソナルコンピュータとして実現される。
このネットワーク上には、セキュリティサーバ(安全保障装置)100、監視ユニット101,121、ルータ110、登録済みコンピュータ102,123、および未登録コンピュータ103,122が接続される。セキュリティサーバ100、監視ユニット101、登録済みコンピュータ102、および未登録コンピュータ103が接続されるセグメントと、監視ユニット121、未登録コンピュータ122、および登録済みコンピュータ123が接続されるセグメントとは、ルータ110を介して相互に接続される。
このネットワーク上では、セキュリティサーバ100、監視ユニット101,121、および登録済みコンピュータ102,123による通信のみを許可する。一方、未登録コンピュータ103,122は、セキュリティサーバ100のみへの通信を許可する。
セキュリティサーバ100は、ネットワーク上の登録済みコンピュータの情報を記述した登録済みリストを保持する。登録済みリストには、例えば、登録済みコンピュータ102,123のMACアドレス(物理アドレス)、IPアドレス(ネットワークアドレス)、ホスト名等が記述される。登録済みリストは、セキュリティサーバ100上で作成および更新される。セキュリティサーバ100は、この登録済みリストを監視ユニット101,121へ配布する。
また、セキュリティサーバ100は、監視ユニット101,121により新たに検出された未登録コンピュータ103、122に関する情報が記述された検出リストを、監視ユニット101,121それぞれから受信する。セキュリティサーバ100は、受信した検出リストに基づき、登録済みリストを更新する。なお、登録済みリストは、セキュリティサーバ100上で、手動で変更してもよい。
監視ユニット101,121は、ネットワーク上のパケットを監視し、未登録コンピュータ103,122による登録済みコンピュータ102,123へのアクセスを検出して、登録済みコンピュータへのアクセスを排除する。具体的には、監視ユニット101,121は、未登録コンピュータ103,122から送信されるアドレス解決プロトコル要求パケット(ARP要求パケット)、又は未登録コンピュータ103,122へ送信されるアドレス解決プロトコル要求パケット(ARP要求パケット)を検出した場合、未登録コンピュータ103,122による登録済みコンピュータ102,123へのアクセスを妨害するための処理を実行する。
アドレス解決プロトコル(ARP)は、ネットワーク上でIPアドレスが既知であるノードのMACアドレスを決定するためのプロトコルである。二つのノード間で通信を行う場合、第一のノードは、通信に先立ち、通信相手である第二のノードのMACアドレスを調査するため、第二のノードのIPアドレスを指定したアドレス解決プロトコル要求パケット(ARP要求パケット)をネットワーク上へブロードキャストする。このARP要求パケットを受信した第二のノードは、この第二のノードのMACアドレスを含むアドレス解決プロトコル応答パケット(ARP応答パケット)を第一のノードへ送信(ユニキャスト)する。第一のノードは、このARP応答パケットに含まれる第二のノードのMACアドレスを取得し、第二のノードのIPアドレスとMACアドレスとを第一のノード内に保持するARPテーブルへ記述する。以降、二つのノード間で通信を行う場合、第一のノードは、このARPテーブルを参照し、ARPテーブルに記述された第二のノードのMACアドレスへパケットを送信する。
なお、ARP要求パケットを送信したノードは、このARP要求パケットに応答するARP応答パケットを複数受信した場合、これらARP応答パケットを受信した順に処理する。つまり、一つのARP要求パケットを送信したノードは、複数のARP応答パケットを受信し得る。また、ARP要求パケットを送信していないノードも、複数のARP応答パケットを受信し得、これらARP応答パケットを受信した順に処理する。
上述のように、第一のノードは、ARP応答に基づいてARPテーブルを記述するため、偽装されたARP応答を第一のノードへ送信することで、第一のノードのARPテーブルに第二のノードのMACアドレスとは異なる偽のMACアドレスを記述することができる。ARPテーブルに偽のMACアドレスを記述された第一のノードは、正常な通信を行うことができない。したがって、第一のノードが未登録ノードである場合には、第一のノードによる通信を妨害することができる。
以上のようなARPの性質を利用して、未登録コンピュータ103,122からネットワーク上の他のノードへのアクセス、およびネットワーク上の他のノードから未登録コンピュータ103,122へのアクセスを排除することができる。
また、監視ユニット101,121は、新たに検出した未登録コンピュータ103,122に関する情報を検出リストに記述し、所定の期間毎、又はセキュリティサーバ100による指示に応じて、検出リストをセキュリティサーバ100へ送信する。検出リストには、未登録コンピュータ103,122に関する情報として、例えば、未登録コンピュータ103,122のMACアドレス(物理アドレス)、IPアドレス(ネットワークアドレス)、ホスト名等が記述される。
監視ユニット101,121は、未登録コンピュータ103,122を検出した場合に、未登録コンピュータ103,122に関する情報を検出リストに記述する収集モードと、未登録コンピュータ103,122を検出した場合に、未登録コンピュータ103,122に関する情報を検出リストに記述し、未登録コンピュータ103,122による登録済みコンピュータへのアクセスを排除するブロックモードのいずれかの動作モードに設定される。
なお、監視ユニット101,121は、各セグメントに一台以上設けられる。また、セキュリティサーバ100と同一セグメントにある監視ユニット101は、セキュリティサーバ100の機能を兼ねてもよい。
図2は、上述のネットワーク上におけるデータの流れを示す図である。
セキュリティサーバ100は、監視ユニット101,121へ登録済みリスト、接続許可リストおよび動作モードを示す情報を送信する。登録済みリストには、登録済みコンピュータ102と登録済みコンピュータ123とに関する情報が記述されている。また、接続許可リストには、セキュリティサーバ100に関する情報が記述されている。
監視ユニット101,121は、受信した動作モードを示す情報に基づき、収集モードとブロックモードのいずれかのモードで動作する。
監視ユニット101,121はそれぞれ属するセグメント内のARP要求パケットを監視する。この監視により、監視ユニット101は、登録済みコンピュータ102と未登録コンピュータ103とを検出する。また、監視ユニット121は、未登録コンピュータ122と登録済みコンピュータ123とを検出する。
収集モードで動作している場合、監視ユニット101は、未登録コンピュータ103に関する情報を監視ユニット101が保持する検出リストに記述し、監視ユニット121は、未登録コンピュータ122に関する情報を監視ユニット121が保持する検出リストに記述する。監視ユニット101,121は、それぞれ保持する検出リストをセキュリティサーバ100へ送信する。
ブロックモードで動作している場合、監視ユニット101は、未登録コンピュータ103に関する情報を監視ユニット101が保持する検出リストに記述し、さらに未登録コンピュータ103による登録済みコンピュータ102,123へのアクセスを排除する。また、監視ユニット121は、未登録コンピュータ122に関する情報を監視ユニット121が保持する検出リストに記述し、さらに未登録コンピュータ122による登録済みコンピュータ102,123へのアクセスを排除する。なお、監視ユニット101は、未登録コンピュータ103,122からセキュリティサーバ100へのアクセスは許可する。
監視ユニット101、121はそれぞれ、以下の三つの対策により、未登録コンピュータ103から登録済みコンピュータ102へのアクセス、および未登録コンピュータ122から登録済みコンピュータ123へのアクセスをブロックする。
第一に、監視ユニット101は、未登録コンピュータ103の通信相手のコンピュータ102のARPテーブルに、未登録コンピュータ103のIPアドレスと監視ユニット101のMACアドレスとのペアを登録する。したがって、監視ユニット101は、監視ユニット101のMACアドレスを送信元MACアドレスとして含み、且つ未登録コンピュータ103のIPアドレスを送信元IPアドレスとして含む偽装ARPリクエストを通信相手のコンピュータ102へ送信する。
第二に、監視ユニット101は、未登録コンピュータ103のARPテーブルに、通信相手のコンピュータ102のIPアドレスと未登録コンピュータのMACアドレスとのペアを登録する。したがって、監視ユニット101は、未登録コンピュータ103のMACアドレスを送信元MACアドレスとして含み、且つ通信相手のコンピュータ102のIPアドレスを送信元IPアドレスとして含む偽装ARPリプライを未登録コンピュータ103へ送信する。
第三に、監視ユニット101は、監視ユニット101のARPテーブルに、未登録コンピュータ103のIPアドレスと監視ユニット101のMACアドレスとのペアを登録し、ARPテーブルを偽装する。
以上の三つの対策により、監視ユニット101、121はそれぞれ、未登録コンピュータ103から通信相手の登録済みコンピュータ102へのアクセス、および未登録コンピュータ122から通信相手の登録済みコンピュータ123へのアクセスをブロックする。
さらに、監視ユニット101,121は、それぞれ保持する検出リストをセキュリティサーバ100へ送信する。
検出リストを受信したセキュリティサーバ100は、この検出リストに基づき、記述された未登録コンピュータ103,122のうち、新たに登録されたコンピュータに関する情報を登録済みリストに記述する。
セキュリティサーバ100は、未登録コンピュータからの要求に応じてエージェントソフトウェアをインストールする機能を有する。エージェントソフトウェアは、インストールされているコンピュータの情報(マシン名、IPアドレス等)をセキュリティサーバに送信する機能を有する。
以下では、主に、一台の監視ユニット101に注目して、本実施形態のネットワーク監視装置について説明する。ただし、監視ユニット121等のネットワーク上の他の監視ユニットも、監視ユニット101と同様の動作をするものとする。また、以下では、監視ユニット101が、未登録コンピュータ103から登録済みコンピュータ102へのアクセスを排除することを想定する。
図3は、監視ユニット101の機能構成を示すブロック図である。
監視ユニット101は、ネットワークインタフェースモジュール201、受信モジュール202、通信プロトコル判定モジュール203、未登録PC検出モジュール204、宛先判定モジュール205、ARPテーブル偽装モジュール206、偽装ARPリクエスト送信モジュール207、偽装ARPリプライ送信モジュール208、名前解決パケット送受信モジュール209、ARPテーブル記憶モジュール210、登録済みリスト記憶モジュール211、検出リスト記憶モジュール212、送信リスト記憶モジュール213、および接続許可リスト記憶モジュール214等から構成される。
監視ユニット101は、ネットワークインタフェースモジュール201、受信モジュール202、通信プロトコル判定モジュール203、未登録PC検出モジュール204、宛先判定モジュール205、ARPテーブル偽装モジュール206、偽装ARPリクエスト送信モジュール207、偽装ARPリプライ送信モジュール208、名前解決パケット送受信モジュール209、ARPテーブル記憶モジュール210、登録済みリスト記憶モジュール211、検出リスト記憶モジュール212、送信リスト記憶モジュール213、および接続許可リスト記憶モジュール214等から構成される。
ネットワークインタフェースモジュール201は、監視ユニット101をネットワークへ接続するためのインタフェースである。ネットワークインタフェースモジュール201は、例えば、監視ユニット101から他のノードへ送信するパケット、および監視ユニット101が他のノードから受信するパケットの送受信等を制御する。ネットワークインタフェースモジュール201は、受信モジュール202、偽装ARPリクエスト送信モジュール207、偽装ARPリプライ送信モジュール208、および名前解決パケット送受信モジュール209等のパケットの送受信を行う各部に接続される。
受信モジュール202は、ネットワークインタフェースモジュール201を介して、他のノードから送信されるパケットを受信する。受信されるパケットは、ブロードキャストパケットと監視ユニット101のMACアドレス宛のパケットである。受信モジュール202は、受信したパケットのデータを通信プロトコル判定モジュール203へ出力する。
通信プロトコル判定モジュール203は、受信したパケットのプロトコルを判定する。通信プロトコル判定モジュール203は、受信したパケットのプロトコルがARPである場合に、受信したパケットのデータ、すなわちARPパケットのデータを未登録PC検出モジュール204へ出力する。
未登録PC検出モジュール204は、登録済みリスト記憶モジュール211に格納された登録済みリスト、および検出リスト記憶モジュール212に格納された検出リストを参照し、受信したARPパケットの送信元のコンピュータが未登録のコンピュータであるかどうかを判定する。
また、受信したARPパケットの送信元のコンピュータが未登録のコンピュータの場合、未登録PC検出モジュール204は、接続許可リスト記憶モジュール214に格納された接続許可リストを参照し、受信したARPパケットの送信先が接続許可リストに登録されているかを判定する。
図4から図7を参照して、上述の登録済みリスト、検出リスト、送信リスト、および接続許可リストをそれぞれ説明する。
登録済みリストは、登録済みコンピュータの情報を記述するリストである。登録済みリストに格納される各エントリは、一台の登録済みコンピュータのMACアドレス、IPアドレス、ホスト名等の情報を含む。図5は、各エントリの記述の例である。MACアドレスのフィールドには、機器固有のMACアドレス(物理アドレス)の値が記述される。IPアドレスのフィールドには、ネットワーク上で割り当てられたIPアドレス(ネットワークアドレス)の値が記述される。ホスト名のフィールドには、IPアドレスに基づく名前解決等によって取得された名称が記述される。登録済みリストは、セキュリティサーバ100で作成され、セキュリティサーバ100から監視ユニット101へ配布される。図2に示すネットワークでは、セキュリティサーバ100は、登録済みコンピュータ102と登録済みコンピュータ123との情報を登録済みリストに記載する。
検出リストは、監視ユニット101と同一セグメント上に存在するコンピュータで、登録済みリストに記載されていないコンピュータの情報を記述するリスト、すなわち未登録コンピュータの情報を記述するリストである。検出リストに格納される各エントリは、一台の未登録コンピュータのMACアドレス、IPアドレス、ホスト名等の情報を含む。登録済みリストと同様に、各エントリは図5のように記述される。MACアドレスのフィールドには、機器固有のMACアドレス(物理アドレス)の値が記述される。IPアドレスのフィールドには、ネットワーク上で割り当てられたIPアドレス(ネットワークアドレス)の値が記述される。ホスト名のフィールドには、IPアドレスに基づく名前解決等によって取得された名称が記述される。なお、ホスト名のフィールドは空欄であってもよい。
接続許可リストは、ネットワーク上に存在するコンピュータで、未登録コンピュータとの通信を許可するコンピュータの情報を記述するリストである。接続許可リストに格納される各エントリは、一台の接続許可コンピュータのIPアドレス、ホスト名等の情報を含む。接続許可リストの各エントリは図6に示すように記述される。IPアドレスのフィールドには、ネットワーク上で割り当てられたIPアドレス(ネットワークアドレス)の値が記述される。ホスト名のフィールドには、IPアドレスに基づく名前解決等によって取得された名称が記述される。なお、ホスト名のフィールドは空欄であってもよい。
監視ユニット101の未登録PC検出モジュール204は、受信したARP要求パケット内の送信元MACアドレスが、登録済みリストに登録されていないMACアドレスである場合、ARP要求パケットの送信元コンピュータを未登録コンピュータと判定し、この送信元コンピュータに関する情報を記述したエントリを検出リストへ追加する。ただし、未登録PC検出モジュール204は、該送信元コンピュータの情報が、既に検出リストに登録されている場合には、新たなエントリを追加しない。
図7に、ARPパケット部を含むイーサネット(登録商標)フレームのフォーマットを示す。
イーサネットフレームは、先頭から順に、6バイトの宛先ハードウェアアドレス(Destination HW Address)、6バイトの送信元ハードウェアアドレス(Source HW Address)、2バイトのプロトコルタイプ(Type)、最大1500バイトのデータ部(Data)、18バイトのトレーラ(Trailer)の各フィールドから構成される。
宛先ハードウェアアドレスは、イーサネットフレームの宛先である機器(ノード)のMACアドレス(物理アドレス)を示す。送信元ハードウェアアドレスは、イーサネットフレームの送信元である機器(ノード)のMACアドレス(物理アドレス)を示す。プロトコルタイプは、通信に用いる、イーサネットの上位に位置するプロトコルの種類を示す。ARPにより通信を行う場合、プロトコルタイプのフィールドには“0806h”が設定される。
データ部は、プロトコルタイプに指定したプロトコル毎に設定されるフィールドそれぞれの値を含む。プロトコルタイプにARPが指定された場合、データ部はARPパケットとして必要なフィールドにより構成される。したがって、データ部(ARPパケット部)は、2バイトのハードウェアタイプ(Hardware Type)、2バイトのプロトコルタイプ(Protocol Type)、1バイトのMACアドレス長(Hardware Length)、1バイトのIPアドレス長(Protocol Length)、2バイトの動作(Operation)、6バイトの送信元MACアドレス(Sender MAC)、4バイトの送信元IPアドレス(Sender IP)、6バイトの宛先MACアドレス(Target MAC)、および4バイトの宛先IPアドレス(Target IP)の各フィールドから構成される。
ハードウェアタイプは、ネットワークの物理的な媒体の種類を示す。イーサネットの場合、ハードウェアタイプのフィールドには、“0001h”が設定される。
プロトコルタイプは、ARPプロトコルで取り扱うプロトコルの種類を示す。IPの場合、プロトコルタイプのフィールドには、“0800h”が設定される。
MACアドレス長は、MACアドレスの長さを示す。イーサネットの場合、MACアドレスの長さは6バイトであり、MACアドレス長のフィールドには、“06h”が設定される。
IPアドレス長は、IPアドレスの長さを示す。Version4のIP(IPv4)の場合、IPアドレスの長さは4バイトであり、IPアドレス長のフィールドには、“04h”が設定される。
動作は、ARPの動作の種類を示す。ARPによる通信では、最初に一台のコンピュータがARP要求を送信し、このARP要求に該当するコンピュータがARP応答を返す。このため、動作のフィールドには要求と応答とを判別するための値が設定される。具体的には、ARPパケットがARP要求のパケットである場合、動作のフィールドには、“0001h”が設定される。一方、ARPパケットがARP応答のパケットである場合、動作のフィールドには、“0002h”が設定される。
送信元MACアドレスは、送信元の機器(ノード)固有のMACアドレス(物理アドレス)を示す。したがって、イーサネットフレームの送信元ハードウェアアドレスのフィールドと、ARPパケット部の送信元MACアドレスのフィールドとは、同じ値が設定される。
送信元IPアドレスは、送信元の機器(ノード)に割り当てられたIPアドレス(ネットワークアドレス)を示す。
宛先MACアドレスは、宛先の機器(ノード)固有のMACアドレス(物理アドレス)を示す。したがって、イーサネットフレームの宛先ハードウェアアドレスのフィールドと、ARPパケット部の宛先MACアドレスのフィールドとは、同じ値が設定される。ARPパケットがARP要求パケットである場合(動作のフィールドにARP要求に対応する値が設定されている場合)、宛先MACアドレスは不明であるため、宛先MACアドレスのフィールドには、“0”が設定される。
宛先IPアドレスは、宛先の機器(ノード)に割り当てられたIPアドレス(ネットワークアドレス)を示す。
また、トレーラは、イーサネットフレームの末尾に付加されるデータ列である。トレーラは、誤り訂正符号等に用いられる。
上述のフォーマットに基づくARP要求パケットを受信した場合、未登録PC検出モジュール204は、まず、受信したARP要求パケットから送信元MACアドレスを抽出する。そして、未登録PC検出モジュール204は、送信元MACアドレスが登録済みリストに記載されている場合、送信元コンピュータを登録済みコンピュータであると判定する。
また、未登録PC検出モジュール204は、送信元MACアドレスが登録済みリストに記載されていない場合、送信元コンピュータを未登録コンピュータであると判定する。送信元コンピュータが未登録コンピュータであると判定された場合、未登録PC検出モジュール204は、受信したARP要求パケットに含まれる送信元MACアドレスと送信元IPアドレスとが記述されたエントリを検出リストへ追加し、ARP要求パケットに含まれる情報を受信時刻と共に、送信リスト記憶モジュール213に格納される送信リストへ記述する。なお、受信したARP要求パケットに含まれる送信元MACアドレスと送信元IPアドレスとが記述されたエントリが、既に検出リストに登録されている場合には、未登録PC検出モジュール204は、検出リストにこのエントリを追加しない。
上述のように、受信したARP要求パケットに含まれる送信元MACアドレスのみに基づいて、送信元コンピュータが未登録コンピュータであるかどうかを判定することで、DHCP環境でIPアドレスとMACアドレスとの対応が動的に変化する場合や、未登録コンピュータがIPアドレスを偽装しているような場合でも、ARP要求パケットの送信元コンピュータが未登録コンピュータであるかどうかを判定することができる。
送信リストは、図4に示すように、ネットワーク上から未登録コンピュータを排除するための妨害パケットを生成し、送信するための情報を記述するリストである。妨害パケットとは、送信元MACアドレスと送信元IPアドレスとの対応関係を偽装したARP要求パケット(偽装ARP要求パケット)およびARP応答パケット(偽装ARP応答パケット)である。未登録PC検出モジュール204は、登録済みリストに登録されていない送信元MACアドレスを含むARP要求パケットを受信した場合、すなわち、未登録コンピュータからブロードキャストされたARP要求を受信した場合、該ARP要求パケットの情報を含むエントリを送信リストへ追加する。
図8は、送信リストの各エントリを構成するフィールドの例を示す。
送信リストのエントリは、送信元MACアドレス、送信元IPアドレス、宛先MACアドレス、宛先IPアドレス、受信時刻、リクエスト送信フラグ等から構成される。
送信元MACアドレス(Sender MAC)は、未登録コンピュータのMACアドレスを示す。したがって、送信元MACアドレスのフィールドには、未登録コンピュータから送信されたARP要求に含まれる送信元MACアドレスの値が設定される。
送信元IPアドレス(Sender IP)は、未登録コンピュータのIPアドレスを示す。したがって、送信元IPアドレスのフィールドには、未登録コンピュータから送信されたARP要求に含まれる送信元IPアドレスの値が設定される。
宛先MACアドレス(Target MAC)は、0を示す。これは、宛先MACアドレスのフィールドに、未登録コンピュータから送信されるARP要求に含まれる宛先MACアドレスの値である0が設定されるためである。
宛先IPアドレス(Target IP)は、未登録コンピュータのアクセス先のコンピュータのIPアドレスを示す。したがって、宛先IPアドレスのフィールドには、未登録コンピュータから送信されたARP要求に含まれる宛先IPアドレスの値が設定される。
受信時刻は、監視ユニット101が未登録コンピュータから送信されたARP要求を受信した時刻を示す。
リクエスト送信フラグは、未登録コンピュータのアクセス先のコンピュータへ偽装ARPリクエストパケットを送信したどうかを示す。したがって、リクエスト送信フラグのフィールドには、偽装ARPリクエストパケットが未登録コンピュータのアクセス先のコンピュータへ送信済みである場合に“True”が設定され、未送信である場合に“False”が設定される。
上述のフィールドに基づくエントリが、送信リストへ追加され、監視ユニット101は、送信リストを参照して未登録コンピュータを排除する処理を実行する。
監視ユニット101の宛先判定モジュール205は、送信リストから読み出したエントリに記述された宛先IPアドレスが、監視ユニット101のIPアドレスと一致するかどうかを判定する。宛先判定モジュール205は、この判定結果を偽装ARPリクエスト送信モジュール207へ出力する。
ARPテーブル偽装モジュール206は、ARPテーブル記憶モジュール210に格納されたARPテーブルを偽装する処理を実行する。ARPテーブルは、上述したように、IPアドレスとMACアドレスとが対応づけて記述されたテーブルである。各ノードは、それぞれARPテーブルを保持し、受信したARP要求パケットに含まれる送信元IPアドレスと送信元MACアドレス、および受信したARP応答パケットに含まれる送信元IPアドレスと送信元MACアドレスを対応づけてARPテーブルに登録する。登録しようとするIPアドレスが既にARPテーブルに登録されている場合に、ARPテーブルにおいて、該IPアドレスに対応づけられたMACアドレスは、受信したARP要求パケット又はARP応答パケットに含まれる送信元MACアドレスで上書きされる。
ARPテーブル偽装モジュール206は、未登録コンピュータ103のIPアドレスに、監視ユニット101のMACアドレスを対応づけて、ARPテーブルを上書きする。未登録コンピュータ103のIPアドレスに偽のMACアドレスを対応づけることで、ICMPリダイレクトが有効になっている場合に、登録済みコンピュータ102から未登録コンピュータ103への通信が、監視ユニット101から未登録コンピュータ103へのリダイレクトによって成立してしまうことを防止することができる。
宛先判定モジュール205により、送信リストから読み出したエントリに記述された宛先IPアドレスが、監視ユニット101のIPアドレスと一致しないと判定された場合に、偽装ARPリクエスト送信モジュール207は、未登録コンピュータのアクセス先のコンピュータへ偽装ARP要求パケットを送信する。偽装ARPリクエスト送信モジュール207は、送信リストから読み出したエントリに記述された情報に基づいて、偽装ARP要求パケットを生成する。
偽装ARP要求パケットを構成する各フィールドには、以下のように値が設定される。
送信元IPアドレスのフィールドには、送信リストのエントリに記述された送信元IPアドレスが設定される。送信元MACアドレスのフィールドには、監視ユニット101のMACアドレスが設定される。宛先IPアドレスのフィールドには、送信リストのエントリに記述された宛先IPアドレスが記述される。宛先MACアドレスのフィールドには、“0”が設定される。
したがって、例えば、送信元IPアドレスのフィールドには、未登録コンピュータ103のIPアドレスが設定される。送信元MACアドレスのフィールドには、監視ユニット101のMACアドレスが設定される。宛先IPアドレスのフィールドには、登録済みコンピュータ102のIPアドレスが記述される。宛先MACアドレスのフィールドには、“0”が設定される。
偽装ARPリプライ送信モジュール208は、未登録コンピュータへ偽装ARP応答パケットを送信する。偽装ARPリプライ送信モジュール208は、送信リストから読み出したエントリに記述された情報に基づいて、偽装ARP応答パケットを生成する。
偽装ARP応答パケットを構成する各フィールドには、以下のように値が設定される。
送信元IPアドレスのフィールドには、送信リストのエントリに記述された宛先IPアドレスが設定される。送信元MACアドレスのフィールドには、送信リストのエントリに記述された送信元MACアドレスが設定される。宛先IPアドレスのフィールドには、送信リストのエントリに記述された送信元IPアドレスが記述される。宛先MACアドレスのフィールドには、送信リストのエントリに記述された送信元MACアドレスが記述される。
したがって、例えば、送信元IPアドレスのフィールドには、登録済みコンピュータ102のIPアドレスが設定される。送信元MACアドレスのフィールドには、未登録コンピュータ103のMACアドレスが設定される。宛先IPアドレスのフィールドには、未登録コンピュータ103のIPアドレスが記述される。宛先MACアドレスのフィールドには、未登録コンピュータ103のMACアドレスが設定される。
名前解決パケット送受信モジュール209は、検出リストに登録されたMACアドレスとIPアドレスとからなるエントリを読み出し、該IPアドレスに対応するホスト名を取得し、ホスト名を追加したエントリにより検出リストを更新する。名前解決パケット送受信モジュール209は、IPアドレスに基づき、例えば、DNS又はNetBIOS等により名前解決を行う。検出リストの各エントリにホスト名を追加することで、ホスト名に基づくノードへのアクセスが可能になる。
図9は、本実施形態のネットワーク監視装置である監視ユニット101が、未登録コンピュータから登録済みコンピュータへのアクセスを排除する例を示すシーケンス図である。ここでは、未登録コンピュータ103から登録済みコンピュータ102へのアクセスを監視ユニット101が排除することを想定する。なお、監視ユニット101のMACアドレスをMAC0、IPアドレスをIP0、登録済みコンピュータ102のMACアドレスをMAC1、IPアドレスをIP1、未登録コンピュータ103のMACアドレスをMAC2、IPアドレスIP2とする。
まず、未登録コンピュータ103は、アクセス先(攻撃先)である登録済みコンピュータ102のMACアドレスを問い合わせるARP要求パケットをブロードキャストする(S11A,S11B)。ブロードキャストによる送信であるため、監視ユニット101および登録済みコンピュータ102は共に、ARP要求パケットを受信する。このARP要求パケットは、未登録コンピュータ103のMACアドレス(MAC2)を示す送信元MACアドレス、未登録コンピュータ103のIPアドレス(IP2)を示す送信元IPアドレス、登録済みコンピュータ102のMACアドレスを問い合わせるため“0”を示す宛先MACアドレス、および登録済みコンピュータ102のIPアドレス(IP1)を示す宛先IPアドレスを含む。監視ユニット101および登録済みコンピュータ102は、それぞれのARPテーブルに、未登録コンピュータ103のIPアドレス(IP2)とMACアドレス(MAC2)とを対応づけて登録する。
ブロードキャストされたARP要求パケットの宛先である登録済みコンピュータ102は、ARP要求パケットの受信に応答して、ARP応答パケットを未登録コンピュータ103へユニキャストする(S12)。このARP応答パケットは、登録済みコンピュータ102のMACアドレス(MAC1)を示す送信元MACアドレス、登録済みコンピュータ102のIPアドレス(IP1)を示す送信元IPアドレス、未登録コンピュータ103のMACアドレス(MAC2)を示す宛先MACアドレス、および未登録コンピュータ103のIPアドレス(IP2)を示す宛先IPアドレスを含む。ユニキャストによる送信であるため、未登録コンピュータ103のみがARP応答パケットを受信し、監視ユニット101はARP応答パケットを受信できない。未登録コンピュータ103は、ARPテーブルに、登録済みコンピュータ102のIPアドレス(IP1)とMACアドレス(MAC1)とを対応づけて登録する。これにより、未登録コンピュータ103と登録済みコンピュータ102との間で、パケットの送受信が可能となる。
また、監視ユニット101は、自身のARPテーブルに対応づけて登録された、未登録コンピュータ103のIPアドレス(IP2)とMACアドレス(MAC2)とを書き換えて偽装する。監視ユニット101は、未登録コンピュータ103のIPアドレス(IP2)に対して、監視ユニット101のMACアドレス(MAC0)を対応づけて登録する。これにより、登録済みコンピュータ102から未登録コンピュータ103への通信が、監視ユニット101のリダイレクト機能により成立してしまうことを防止する。
そして、監視ユニット101は、登録済みコンピュータ102のARPテーブルに登録された、未登録コンピュータ103のIPアドレス(IP2)とMACアドレス(MAC2)とを書き換えるために、未登録コンピュータ103のMACアドレスを監視ユニット101のMACアドレス(MAC0)に偽装した偽装ARP要求パケットをブロードキャストする(S13A,S13B)。したがって、偽装ARP要求パケットは、監視ユニット101のMACアドレス(MAC0)を示す送信元MACアドレス、未登録コンピュータ103のIPアドレス(IP2)を示す送信元IPアドレス、登録済みコンピュータ102のMACアドレスを問い合わせるため“0”を示す宛先MACアドレス、および登録済みコンピュータ102のIPアドレス(IP1)を示す宛先IPアドレスを含む。また、ブロードキャストによる送信であるため、未登録コンピュータ103および登録済みコンピュータ102は共に偽装ARP要求パケットを受信するが、未登録コンピュータ103は自身が宛先ではないため、偽装ARP要求パケットを無視する。登録済みコンピュータ102は、ARPテーブルに、未登録コンピュータ103のIPアドレス(IP2)と監視ユニット101のMACアドレス(MAC0)とを対応づけて登録する。これにより、登録済みコンピュータ102から未登録コンピュータ103へのパケットの送信を妨害することができる。
登録済みコンピュータ102は、偽装ARP要求パケットの受信に応答して、ARP応答パケットを監視ユニット101へユニキャストする(S14)。このARP応答パケットは、登録済みコンピュータ102のMACアドレス(MAC1)を示す送信元MACアドレス、登録済みコンピュータ102のIPアドレス(IP1)を示す送信元IPアドレス、監視ユニット101のMACアドレス(MAC0)を示す宛先MACアドレス、および未登録コンピュータ103のIPアドレス(IP2)を示す宛先IPアドレスを含む。監視ユニット101は、ARPテーブルに、登録済みコンピュータ102のIPアドレス(IP1)とMACアドレス(MAC1)とを対応づけて登録する。
登録済みコンピュータ102からのARP応答パケットを受信した監視ユニット101は、登録済みコンピュータ102から未登録コンピュータ103へ通常のARP応答パケットが送信(S12)されたものと判断する。そして、監視ユニット101は、未登録コンピュータ103へ、登録済みコンピュータ102のMACアドレスがMAC2(未登録コンピュータ103のMACアドレス)であると偽装する偽装ARP応答パケットをユニキャストする(S15)。したがって、この偽装ARP応答パケットは、未登録コンピュータ103のMACアドレス(MAC2)を示す送信元MACアドレス、登録済みコンピュータ102のIPアドレス(IP1)を示す送信元IPアドレス、未登録コンピュータ103のMACアドレス(MAC2)を示す宛先MACアドレス、および未登録コンピュータ103のIPアドレス(IP2)を示す宛先IPアドレスを含む。未登録コンピュータ103は、ARPテーブルに、登録済みコンピュータ102のIPアドレス(IP1)と未登録コンピュータ103のMACアドレス(MAC2)とを対応づけて登録する。これにより、未登録コンピュータ103から登録済みコンピュータ102へのパケットの送信を妨害することができる。
以上の処理の結果、各ノードのARPテーブルは図10のように記述される。
未登録コンピュータ103のARPテーブルには、登録済みコンピュータ102のIPアドレス(IP1)に、未登録コンピュータ103のMACアドレス(MAC2)が対応づけて登録される。監視ユニット101のARPテーブルには、登録済みコンピュータ102のIPアドレス(IP1)とMACアドレス(MAC1)、および未登録コンピュータ103のIPアドレス(IP2)と監視ユニット101のMACアドレス(MAC0)が、それぞれ対応づけて登録される。登録済みコンピュータ102のARPテーブルには、未登録コンピュータ103のIPアドレス(IP2)に、監視ユニット101のMACアドレス(MAC0)が対応づけて登録される。
各ノードのARPテーブルが上述のように記載されることにより、未登録コンピュータ103から登録済みコンピュータ102へのパケットの送信、登録済みコンピュータ102から未登録コンピュータ103へのパケットの送信、および監視ユニット101のリダイレクト機能を用いた登録済みコンピュータ102から未登録コンピュータ103へのパケットの送信を妨害することができる。
なお、上述したように、未登録コンピュータ103が登録済みコンピュータ102へARP要求パケットを送信(S11A)し、登録済みコンピュータ102からのARP応答パケットを受信(S12)してから、監視ユニット101からの偽装ARP応答パケットを受信(S15)するまで、未登録コンピュータ103は登録済みコンピュータ102へパケットを送信することができる。このため、監視ユニット101は、未登録コンピュータ103からのブロードキャストによるARP要求パケットを受信(S11B)した後、速やかに、登録済みコンピュータ102へ偽装ARP要求パケットを送信し、登録済みコンピュータ102から未登録コンピュータ103へのパケットの送信(返信)を妨害する。
また、監視ユニット101から送信される偽装ARP応答パケット(S15)は、登録済みコンピュータ102から送信される通常のARP応答パケット(S12)よりも後に、未登録コンピュータ103に受信される必要がある。これは、未登録コンピュータ103のARPテーブルに、通常のARP応答パケットに基づいて、登録済みコンピュータ102のIPアドレス(IP1)とMACアドレス(MAC1)とを対応づけて登録した後、偽装ARP応答パケットに基づいて、登録済みコンピュータ102のIPアドレス(IP1)に対応づけられるMACアドレスを未登録コンピュータ103のMACアドレス(MAC2)に更新して登録するためである。
偽装ARP要求パケット(S13A)は、未登録コンピュータ103により送信されたARP要求パケット(S11A)よりも後に、登録済みコンピュータ102に到達するため、ARP要求パケット(S11A)に応答するARP応答パケット(S12)が送信された後に、偽装ARP要求パケット(S13A)に応答するARP応答パケット(S14)が登録済みコンピュータ102から送信される。したがって、監視ユニット101は、登録済みコンピュータ102から送信される偽装ARP要求パケット(S13A)に対するARP応答パケット(S14)を待って、受信後に、未登録コンピュータ103へ偽装ARP応答パケットを送信(S15)することで、偽装ARP応答パケット(S15)を登録済みコンピュータ102から送信される通常のARP応答パケット(S12)よりも後に、未登録コンピュータ103に受信させることができる。
なお、偽装ARP応答パケット(S15)は、偽装ARP要求パケットであってもよい。この偽装ARP要求パケットは、未登録コンピュータ103のMACアドレス(MAC2)を示す送信元MACアドレス、登録済みコンピュータ102のIPアドレス(IP1)を示す送信元IPアドレス、未登録コンピュータ103のMACアドレスを問い合わせるため“0”を示す宛先MACアドレス、および未登録コンピュータ103のIPアドレス(IP2)を示す宛先IPアドレスを含む。但し、この偽装ARP要求パケットを未登録コンピュータ103へ送信した場合、未登録コンピュータ103は、この偽装ARP要求パケットに応答するARP応答パケットを送信するため、ネットワーク上に不要なパケットが送出される可能性がある。
監視ユニット101は、以下のような手順でも未登録コンピュータ103と登録済みコンピュータとの間の通信を妨害することができる。すなわち、監視ユニット101は、未登録コンピュータ103からのARP要求パケットを受信し、所定の時間だけ待った後に、未登録コンピュータ103へ偽装ARP応答パケットを送信する。そして、監視ユニット101は、通信相手である登録済みコンピュータ102へ偽装ARP要求パケットを送信する。
しかし、この場合、未登録コンピュータ103が登録済みコンピュータ102からのARP応答パケットを受信した後に、未登録コンピュータ103に偽装ARP応答パケットを受信させるために、監視ユニット101は、上述のように、未登録コンピュータ103からのARP要求パケットを受信した後、所定の時間だけ待つ必要がある。しかし、所定の時間だけ待つ間、監視ユニット101は、未登録コンピュータ103から登録済みコンピュータ102へのアクセス、および登録済みコンピュータ102から未登録コンピュータ103へのアクセス(応答)を排除することができない。また、この所定の時間として十分な時間を確保しなければ、未登録コンピュータ103へ偽装ARP応答パケットを再送しなければならなくなる可能性がある。
本実施形態のネットワーク監視装置である監視ユニット101は、先に、未登録コンピュータ103の通信相手である登録済みコンピュータ102へ偽装ARP要求パケットを送信する。これにより、登録済みコンピュータ102から未登録コンピュータ103への通信が可能となる時間を短縮することができる。そして、登録済みコンピュータ102からの偽装ARP要求パケットに対するARP応答パケットを受信したことをトリガとして、監視ユニット101は、未登録コンピュータ103へ偽装ARP応答パケットを送信する。このため、監視ユニット101は、待ち時間なく、登録済みコンピュータ102から未登録コンピュータ103へのアクセス(応答)を排除することができる。また、偽装ARP要求パケットに対するARP応答パケットを、登録済みコンピュータ102から受信したことに応答して、偽装ARP応答パケットを未登録コンピュータ103へ送信することで、登録済みコンピュータ102から未登録コンピュータ103へのARP応答パケットよりも後に、偽装ARP応答パケットを未登録コンピュータ103に受信させることができる。したがって、上述の方法において発生する可能性がある、待ち時間が短いことによる偽装ARP応答パケットの再送(リトライ)が、本実施形態では発生しない。また、偽装ARP要求パケットに対するARP応答パケットをトリガとするため、本実施形態では、余分な待ち時間を確保する必要がなく、未登録コンピュータ103と登録済みコンピュータ102との間で通信が可能となる時間を短縮することができる。
さらに、偽装ARP応答パケットは、未登録コンピュータ103のMACアドレス(MAC2)を送信元MACアドレスとして含む。つまり、未登録コンピュータ103のARPテーブルには、未登録コンピュータ103のMACアドレス(MAC2)と登録済みコンピュータ102のIPアドレス(IP1)とのペアが登録される。未登録コンピュータ103自身のMACアドレスをARPテーブルに登録することで、ネットワーク上に、不正なパケットが送出されず、不正なパケットによるトラフィックの増加を抑制することができる。なお、偽装ARP応答パケットに含まれる送信元MACアドレスは、監視ユニット101のMACアドレス(MAC0)であってもよい。この場合、監視ユニット101により、未登録コンピュータ103から送信される不正なパケットを監視することができる。
また、監視ユニット101は、未登録コンピュータ103から送信されるGratuitous ARPパケット受信した場合、このパケットを無視する。
Gratuitous ARPとは、宛先IPアドレスのフィールドに自身のIPアドレスを設定したARP要求パケットである。Gratuitous ARPは、通常、IPアドレスの重複を確認するために用いられる。宛先IPアドレスのフィールドに自身のIPアドレスを設定したARP要求パケットをブロードキャストした場合、重複したIPアドレスを持つ他のノードがなければ、このARP要求パケットに対する応答はない。しかし、重複したIPアドレスを持つ他のノードがある場合には、そのノードからARP応答パケットが返信される。したがって、ARP応答パケットが返信されるかどうかによって、IPアドレスの重複を確認することができる。
監視ユニット101がGratuitous ARPパケットを無視するのは、未登録コンピュータ103のオペレーティングシステム(OS)が、例えば、Windows Vista(登録商標)やWindows(登録商標) Server 2008であって、“DHCPからIPアドレスを取得する”設定になっている場合に、DHCPサーバでリース可能なIPアドレスが無くなるという問題が生じる可能性があるためである。監視ユニット101が、未登録コンピュータ103からGratuitous ARPパケットを受信し、未登録コンピュータ103へ偽装ARP要求パケットを送信(S13B)すると、未登録コンピュータ103は、現在使用中のIPアドレスが無効であると判定し、DHCPサーバに対して再度IPアドレスを要求する。したがって、上述の処理が繰り返されると、DHCPサーバでリース可能なIPアドレスが枯渇してしまう。このため、監視ユニット101は、未登録コンピュータ103から送信されるGratuitous ARPパケット受信した場合、このパケットを無視する。
なお、上述した、未登録PCをネットワークに接続した場合に、監視・排除ユニットに通信を妨害され、どこにも接続することができない。未登録PCでも接続許可リストに記載されたコンピュータには接続することが可能である。
図11は、本実施形態のネットワーク監視装置である監視ユニット101が、未登録PCが接続許可リストに登録されているコンピュータとの通信を許可する例を示すシーケンス図である。ここでは、未登録コンピュータ103からセキュリティサーバ100へのアクセスを監視ユニット101が許可することを想定する。なお、監視ユニット101のMACアドレスをMAC0、IPアドレスをIP0、セキュリティサーバ100のMACアドレスをMAC3、IPアドレスをIP3、未登録コンピュータ103のMACアドレスをMAC2、IPアドレスIP2とする。
まず、未登録コンピュータ103は、アクセス先であるセキュリティサーバ100のMACアドレスを問い合わせるARP要求パケットをブロードキャストする(S11A,S11B)。ブロードキャストによる送信であるため、監視ユニット101およびセキュリティサーバ100は共に、ARP要求パケットを受信する。このARP要求パケットは、未登録コンピュータ103のMACアドレス(MAC2)を示す送信元MACアドレス、未登録コンピュータ103のIPアドレス(IP2)を示す送信元IPアドレス、セキュリティサーバ100のMACアドレスを問い合わせるため“0”を示す宛先MACアドレス、およびセキュリティサーバ100のIPアドレス(IP3)を示す宛先IPアドレスを含む。監視ユニット101およびセキュリティサーバ100は、それぞれのARPテーブルに、未登録コンピュータ103のIPアドレス(IP2)とMACアドレス(MAC2)とを対応づけて登録する。
ブロードキャストされたARP要求パケットの宛先であるセキュリティサーバ100は、ARP要求パケットの受信に応答して、ARP応答パケットを未登録コンピュータ103へユニキャストする(S12)。このARP応答パケットは、セキュリティサーバ100のMACアドレス(MAC3)を示す送信元MACアドレス、セキュリティサーバ100のIPアドレス(IP3)を示す送信元IPアドレス、未登録コンピュータ103のMACアドレス(MAC2)を示す宛先MACアドレス、および未登録コンピュータ103のIPアドレス(IP2)を示す宛先IPアドレスを含む。ユニキャストによる送信であるため、未登録コンピュータ103のみがARP応答パケットを受信し、監視ユニット101はARP応答パケットを受信できない。未登録コンピュータ103は、ARPテーブルに、セキュリティサーバ100のIPアドレス(IP3)とMACアドレス(MAC3)とを対応づけて登録する。これにより、未登録コンピュータ103とセキュリティサーバ100との間で、パケットの送受信が可能となる。
そして、監視ユニット101は、セキュリティサーバ100のARPテーブルに登録された、未登録コンピュータ103のIPアドレス(IP2)とMACアドレス(MAC2)とを書き換えるために、未登録コンピュータ103のMACアドレスを監視ユニット101のMACアドレス(MAC0)に偽装した偽装ARP要求パケットをブロードキャストする(S13A,S13B)。したがって、偽装ARP要求パケットは、監視ユニット101のMACアドレス(MAC0)を示す送信元MACアドレス、未登録コンピュータ103のIPアドレス(IP2)を示す送信元IPアドレス、セキュリティサーバ100のMACアドレスを問い合わせるため“0”を示す宛先MACアドレス、およびセキュリティサーバ100のIPアドレス(IP1)を示す宛先IPアドレスを含む。また、ブロードキャストによる送信であるため、未登録コンピュータ103およびセキュリティサーバ100は共に偽装ARP要求パケットを受信するが、未登録コンピュータ103は自身が宛先ではないため、偽装ARP要求パケットを無視する。セキュリティサーバ100は、ARPテーブルに、未登録コンピュータ103のIPアドレス(IP2)と監視ユニット101のMACアドレス(MAC0)とを対応づけて登録する。これにより、セキュリティサーバ100から未登録コンピュータ103へのパケットの送信を妨害することができる。
セキュリティサーバ100は、偽装ARP要求パケットの受信に応答して、ARP応答パケットを監視ユニット101へユニキャストする(S14)。このARP応答パケットは、セキュリティサーバ100のMACアドレス(MAC1)を示す送信元MACアドレス、セキュリティサーバ100のIPアドレス(IP1)を示す送信元IPアドレス、監視ユニット101のMACアドレス(MAC0)を示す宛先MACアドレス、および未登録コンピュータ103のIPアドレス(IP2)を示す宛先IPアドレスを含む。監視ユニット101は、ARPテーブルに、セキュリティサーバ100のIPアドレス(IP1)とMACアドレス(MAC1)とを対応づけて登録する。
セキュリティサーバ100からのARP応答パケットを受信した監視ユニット101は、セキュリティサーバ100から未登録コンピュータ103へ通常のARP応答パケットが送信(S12)されたものと判断する。そして、監視ユニット101は、未登録コンピュータ103へ、セキュリティサーバ100のMACアドレスがMAC2(未登録コンピュータ103のMACアドレス)であると偽装する偽装ARP応答パケットをユニキャストする(S15)。したがって、この偽装ARP応答パケットは、未登録コンピュータ103のMACアドレス(MAC2)を示す送信元MACアドレス、セキュリティサーバ100のIPアドレス(IP1)を示す送信元IPアドレス、未登録コンピュータ103のMACアドレス(MAC2)を示す宛先MACアドレス、および未登録コンピュータ103のIPアドレス(IP2)を示す宛先IPアドレスを含む。未登録コンピュータ103は、ARPテーブルに、セキュリティサーバ100のIPアドレス(IP1)と未登録コンピュータ103のMACアドレス(MAC2)とを対応づけて登録する。これにより、未登録コンピュータ103からセキュリティサーバ100へのパケットの送信を妨害することができる。
図11は、監視ユニット101による未登録コンピュータ排除処理の手順を示すフローチャートである。
まず、監視ユニット101は、他のノードから送信されたパケットを受信する(ステップS101)。次に、監視ユニット101は、受信したパケットがARP要求パケットであるかどうかを判定する(ステップS102)。受信したパケットがARP要求パケットであるかどうかは、上述したように、パケットに含まれるプロトコルタイプのフィールド設定された値等に基づいて判定することができる。
受信したパケットがARP要求パケットである場合(ステップS102のYES)、監視ユニット101は、受信したパケットがGratuitous ARPパケットであるかどうかを判定する(ステップS103)。なお、受信したパケットに含まれる送信元IPアドレスのフィールドに“0”の値が設定されているか、送信元IPアドレスと宛先IPアドレスとが等しい場合に、受信したパケットはGratuitous ARPパケットであると判定される。
受信したパケットがGratuitous ARPパケットでない場合(ステップS103のNO)、監視ユニット101は、受信したパケットに含まれる送信元MACアドレスが登録済みリストに記載されているかどうかを判定する(ステップS104)。
受信したパケットに含まれる送信元MACアドレスが登録済みリストに記載されていない場合(ステップS104のNO)、監視ユニット101は、受信したパケットの送信元のコンピュータを未登録コンピュータであると判定し、受信したパケットに含まれる宛先IPアドレスが接続許可リストに記載されているか否かを判定する(ステップS105)。
受信したパケットに含まれる宛先IPアドレスが接続許可リストに記載されていない場合(ステップS105のNO)、監視ユニット101は、該未登録コンピュータのアクセス先のコンピュータへ偽装ARP要求パケットを送信する(ステップS106)。監視ユニット101は、自身のARPテーブルを偽装する(ステップS107)。
次いで、監視ユニット101は、未登録コンピュータのアクセス先のコンピュータからARP応答パケットを受信する(ステップS108)。そして、監視ユニット101は、未登録コンピュータへ偽装ARP応答パケットを送信する(ステップS109)。
以上の処理により、監視ユニット101は、未登録コンピュータと接続が許可されたコンピュータとのアクセスを許可すると共に、未登録コンピュータと接続が許可されていないコンピュータとのアクセスを排除することができる。
未登録コンピュータは、接続許可リストに記載されたコンピュータへの接続が可能になるので、接続許可リストにセキュリティサーバを記述しておくことで、未登録コンピュータはセキュリティサーバに接続しエージェントソフトのインストールが可能になる。インストール後はそのソフトが動作することで、定期的にステータスをセキュリティサーバに送信するようになる。セキュリティサーバは、そのステータスを受信すると、登録済みリストに追加し、監視・排除ユニットに送信する。監視・排除ユニットが登録済みリストを更新すると、ブロックされることなく、社内ネットワークで使用可能になる。
エージェントソフトのインストールは、例えば以下のように行われる。セキュリティサーバをウェブサーバとして構成し、ウェブページにエージェントソフトウェアのインストーラのリンク先を貼り付けておく。コンピュータは未登録でもセキュリティサーバにはアクセス可能なので、そのリンク先をクリックすることで、インストーラが転送される。インストラーは、転送先のコンピュータで実行されることによってエージェントソフトウェアがインストールされる。
エージェントソフトウェアは、例えば以下のような機能を有する。セキュリティサーバ100上に共有フォルダを作成する。共有フォルダの名前は、セキュリティサーバ100が区別できるように、自機のMACアドレス(例えば、yy-yy-yy-yy-yy-yy)とする。なお、区別できるのであれば、別の名前であっても良い。
そして、エージェントソフトウェアは、ファイル名が“Config”である、テキストファイルを作成する。エージェントソフトウェアは、コンピュータからシステム情報を取得して、テキストファイル内にコンピュータ名、IPアドレスを記述する。
例えば、以下のように記入する。
コンピュータ名=computer1
IPアドレス=xxx.xxx.xxx.xxx
また、エージェントソフトウェアは、定期的にステータスをセキュリティサーバに送信する。セキュリティサーバは、ステータスを受信すると、登録済みリストに追加し、監視ユニットに送信する。監視ユニットが登録済みリストを更新すると、ブロックされることなく、社内ネットワークで使用可能になる。
IPアドレス=xxx.xxx.xxx.xxx
また、エージェントソフトウェアは、定期的にステータスをセキュリティサーバに送信する。セキュリティサーバは、ステータスを受信すると、登録済みリストに追加し、監視ユニットに送信する。監視ユニットが登録済みリストを更新すると、ブロックされることなく、社内ネットワークで使用可能になる。
次に、図12を参照して、登録済みリストにコンピュータの情報が追加される手順を説明する。
コンピュータの電源がオンされると(ステップS201)、エージェントソフトウェアは、電源がオフされるまで(ステップS203)、ステータスを定期的に送信する(ステップS202)。
コンピュータの電源がオンされると(ステップS201)、エージェントソフトウェアは、電源がオフされるまで(ステップS203)、ステータスを定期的に送信する(ステップS202)。
セキュリティサーバは、エージェントソフトウェアから送信されるステータスを定期的に受信する(ステップS204)。セキュリティサーバは、ステータスを受信したか判定する(ステップS205)。ステータスを受信したと判定された場合(ステップS205のYES)、セキュリティサーバは、コンピュータの情報が登録済みリストに存在するかを判定する(ステップS206)。登録済みリストに存在しないと判定された場合(ステップS206のNO)、セキュリティサーバは、登録済みリストにコンピュータの情報を追加する(ステップS207)。そして、セキュリティサーバは、登録済みリストを監視ユニットに送信する(ステップS208)。
監視ユニットは、自機が有する登録済みリストをセキュリティサーバから送信された登録済みリストに置き換えることによって、登録済みリストを更新する(ステップS209)。
以上説明したように、本実施形態によれば、未登録コンピュータから予めアクセス許可されたセキュリティサーバ等へのノードにアクセスすることが可能になる。また、未登録コンピュータから登録済みリストを配信するセキュリティサーバにアクセスが可能になることで、未登録コンピュータを簡単に登録コンピュータにすることができる。また、未登録コンピュータだけを社内ネットワークから隔離したネットワークに接続することもできるようになる。
また、本実施形態によれば、未登録ノードと未登録ノードのアクセス先のノードとの間で通信が可能な期間を短縮できる。本実施形態のネットワーク監視装置である監視ユニット101は、未登録ノードから送信されるARP要求パケットを検出した場合、監視ユニット101のARPテーブルを偽装し、未登録ノードのアクセス先のノードへ偽装ARP要求パケットを送信し、未登録ノードへ偽装ARP応答パケットを送信することにより、未登録ノードと未登録ノードのアクセス先のノードとの間の通信を妨害する。監視ユニット101は、未登録ノードのアクセス先のノードへ偽装ARP要求パケットを送信し、未登録ノードのアクセス先のノードから偽装ARP要求パケットに対するARP応答パケットを受信した後、未登録ノードへ偽装ARP応答パケットを送信することで、未登録ノードと未登録ノードのアクセス先のノードとの間で通信が可能な期間を短縮することができる。また、上述のように偽装ARP要求パケットおよび偽装ARP応答パケットを送信することで、無駄な待ち時間なく、また、偽装ARP応答パケットの再送(リトライ)をすることなく、各ノードのARPテーブルを偽装することができる。
(第2の実施形態)
なお、セキュリティサーバ100は、コンピュータに検疫エージェントソフトウェアを転送することもできる。検疫エージェントソフトウェアは、電源オン時またはネットワークに接続時に、インストールされているコンピュータの検疫を実行し、検疫結果をセキュリティサーバに送信する。検疫エージェントソフトウェアによって実行される検疫は、アンチウイルスソフトウェアのパターンファイルの最新版が導入されているかを判定したり、オペレーティングシステムに対して最新のパッチファイルが当てられているかを判定したりする処理で有る。
なお、セキュリティサーバ100は、コンピュータに検疫エージェントソフトウェアを転送することもできる。検疫エージェントソフトウェアは、電源オン時またはネットワークに接続時に、インストールされているコンピュータの検疫を実行し、検疫結果をセキュリティサーバに送信する。検疫エージェントソフトウェアによって実行される検疫は、アンチウイルスソフトウェアのパターンファイルの最新版が導入されているかを判定したり、オペレーティングシステムに対して最新のパッチファイルが当てられているかを判定したりする処理で有る。
検疫エージェントソフトウェアは、第1の実施形態で説明した“Config”ファイルが格納されるセキュリティサーバ上の共有フォルダ内に、検疫結果をファイル名が“Status”であるテキストファイルを格納する。
“Status”ファイルに記述される検疫結果は、合格、不合格の何れかである。また、“Status”ファイルは以下に示すように、検疫実施日時および検疫結果が記述される。
2009/09/08 14:28:00 合格
2009/09/08 15:20:00 不合格
なお、コンピュータの電源オン時には、登録済みリストにコンピュータの情報は記述されていない。検疫結果が“合格”の場合に、セキュリティサーバが登録済みリストにコンピュータの情報を記述し、新たな登録済みリストを監視ユニットに送信する。
2009/09/08 15:20:00 不合格
なお、コンピュータの電源オン時には、登録済みリストにコンピュータの情報は記述されていない。検疫結果が“合格”の場合に、セキュリティサーバが登録済みリストにコンピュータの情報を記述し、新たな登録済みリストを監視ユニットに送信する。
登録済みリストに追加された後は、監視ユニットにブロックされなくなるので、社内ネットワークが使用可能になる。追加されるまでは、接続許可リストに存在するコンピュータのみとの接続が可能である。
コンピュータがWSUS(Windows Server Update Services)やパターンファイルを配信するサーバ等の対策サーバを接続許可リストに加えておくことで、検疫結果が不合格であっても、コンピュータは対策サーバに接続することができる。検疫に不合格した場合、コンピュータは、対策サーバと接続して対策を試みた後、再度検疫を行い、合格すれば、登録済みリストに追加される。
また、検疫エージェントソフトウェアは、稼動中にセキュリティサーバ内の“Status”ファイルに書込み日時を定期的に書き込む(例えば、1分間隔)。セキュリティサーバは“Status”ファイルが更新されなくなったら(例えば、3分以上)、コンピュータが電源オフされたか、ネットワークから切断されたと見なす。そして、セキュリティサーバは、登録済みリストからコンピュータの情報を削除し、新たな登録済みリストを監視ユニットに送信する。
検疫エージェントソフトウェアからのステータスの送信は、第1の実施形態と同様に行われる。セキュリティサーバは、共有フォルダ内のMACアドレス名のフォルダを検索して、エージェントがインストールされたか確認する。1分ごとにエージェントが“Status”ファイルに記述し、セキュリティサーバが3分ごとに“Status”ファイルをポーリングすることで動作中であるか判断する。
次に、図13を参照して、登録済みリストの更新を行うセキュリティサーバの構成を説明する。
セキュリティサーバは、Statusファイル管理モジュール301、検疫結果判定モジュール302、登録済みリスト管理モジュール303、ステータス判定モジュール304、および登録済みリスト送信モジュール305等を有する。
セキュリティサーバは、Statusファイル管理モジュール301、検疫結果判定モジュール302、登録済みリスト管理モジュール303、ステータス判定モジュール304、および登録済みリスト送信モジュール305等を有する。
Statusファイル管理モジュール301は、検疫エージェントソフトウェア310から送信された“Status”ファイルを受信し、検疫エージェントソフトウェア310から送られるコマンドに応じて“Status”ファイルを送信したコンピュータに対応するフォルダに書き込む。
検疫結果判定モジュール302は、“Status”ファイルを参照することによって、検疫結果が合格および不合格の何れのあるかを判定する。検疫結果判定モジュール302は判定結果を登録済みリスト管理モジュール303に通知する。検疫結果判定モジュール302は、検疫結果が合格の場合に、サーバ100が有する登録済みリスト307にコンピュータの情報を記述する。
ステータス判定モジュール304は、“Status”ファイルを定期的にポーリングすることで、コンピュータが動作中であるかを判定する。ステータス判定モジュール304は、判定結果を登録済みリスト管理モジュール303に通知する。登録済みリスト管理モジュール303は、コンピュータが動作していないと判定された場合に、登録済みリスト307からコンピュータの情報を削除する。
登録済みリスト送信モジュール305は、登録済みリスト307が変更された場合、登録済みリスト307を監視ユニット(101,121)に送信する。
次に、図14を参照して、コンピュータが電源オンされてから、電源オフされるまでの検疫エージェントソフトウェア、セキュリティサーバ、および監視ユニットによって行われる処理を説明する。
先ず、コンピュータが電源オンされると(ステップS301)、検疫エージェントソフトウェア310は、検疫を実施する(ステップS302)。そして、検疫エージェントソフトウェア310は、検疫結果をセキュリティサーバ100に送信する(ステップS303)。そして、検疫エージェントソフトウェア310は、検疫結果が合格ではなかった場合(ステップS304のNO)に対策サーバに接続して、対策を実施する(ステップS320)。
検疫結果判定モジュール302は、コンピュータから送信された検疫結果を含む“Status”ファイルを受信したら、コンピュータが検疫に合格したかを判定する(ステップS305)。検疫に合格しなかったと判定された場合(ステップS305のNO)、再度コンピュータから検疫結果が送られてくるのを待ち、検疫結果を受信したら再度ステップS305の処理を実行する。
検疫に合格したと判定された場合(ステップS305のYES)、セキュリティサーバ100の登録済みリスト管理モジュール303は、登録済みリストにコンピュータの情報を追記する(ステップS306)。そして、登録済みリスト送信モジュール305は、登録済みリストを監視ユニット(101,121)に送信する(ステップS307)。監視ユニット(101,121)は、自機が有する登録済みリストをセキュリティサーバ100から送信された登録済みリストに置き換えることによって、登録済みリストを更新する(ステップS308)。
検疫に合格した場合(ステップS304のYES)、検疫エージェントソフトウェア310は、“Status”ファイルに定期的に書込みを行う(ステップS309)。セキュリティサーバ100は、“Status”ファイルを定期的にポーリングする(ステップS310)。コンピュータの電源がオフにされると(ステップS312)、セキュリティサーバ100は、“Status”ファイルへの書込みがされなくなる。“Status”ファイルへの書込みがない場合(ステップS311のNO)、セキュリティサーバ100は、自機が有する登録済みリストからコンピュータの情報を削除する(ステップS313)。そして、セキュリティサーバ100は、登録済みリストを監視ユニット(101,121)に送信する(ステップS314)。監視ユニット(101,121)は、自機が有する登録済みリストをセキュリティサーバ100から送信された登録済みリストに置き換えることによって、登録済みリストを更新する(ステップS315)。
本実施形態によれば、認証VLAN(Virtual Local Area Network)、PFW(Personal firewall)、ゲートウェイ、DHCP(Dynamic Host Configuration Protocol)等を使うことなく、検疫ネットワークを構成することができる。
なお、本発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組み合せてもよい。
100…セキュリティサーバ(安全保障装置)、101,121…監視ユニット(ネットワーク監視装置)、201…ネットワークインタフェース部、202…受信部、203…通信プロトコル判定部、204…未登録PC検出部、205…宛先判定部、206…ARPテーブル偽装部、207…偽装ARPリクエスト送信部、208…偽装ARPリプライ送信部、209…名前解決パケット送信部、210…ARPテーブル記憶部、211…登録済みリスト記憶部、212…検出リスト記憶部、213…送信リスト記憶部、214…接続許可リスト記憶モジュール。
Claims (9)
- 複数のノードが接続されたネットワークを監視するネットワーク監視装置であって、
アドレス解決プロトコル要求パケットを受信したことに応答して、前記受信したアドレス解決プロトコル要求パケットに含まれる送信元物理アドレスに基づいて、前記受信したアドレス解決プロトコル要求パケットの送信元ノードが未登録ノードであるかどうかを判定する未登録ノード判定手段と、
前記未登録ノード判定手段によって前記送信元ノードが未登録ノードであると判定された場合、前記受信したアドレス解決プロトコル要求パケットに含まれる宛先ネットワークアドレスに基づいて、前記受信したアドレス解決プロトコル要求パケットの宛先ノードが接続許可ノードであるかを判定する接続許可ノード判定手段と、
前記接続許可ノード判定手段によって前記宛先ノードが接続許可ノードであると判定された場合、前記送信元ノードと前記宛先ノードとの通信を許可する手段と、
前記接続許可ノード判定手段によって前記宛先ノードが接続許可ノードではないと判定された場合、前記受信したアドレス解決プロトコル要求パケットに含まれる宛先ネットワークアドレスに対応するノードである宛先ノードへ、偽装アドレス解決プロトコル要求パケットを送信する偽装アドレス解決プロトコル要求送信手段と、
前記宛先ノードから送信された、前記偽装アドレス解決プロトコル要求パケットに対するアドレス解決プロトコル応答パケットを受信したことに応答して、前記未登録ノードへ、偽装アドレス解決プロトコル応答パケットを送信する偽装アドレス解決プロトコル応答送信手段と、
を具備することを特徴とするネットワーク監視装置。 - 前記偽装アドレス解決プロトコル要求パケットは、前記ネットワーク監視装置の物理アドレスを送信元物理アドレスとして含み、且つ前記未登録ノードのネットワークアドレスを送信元ネットワークアドレスとして含み、
前記偽装アドレス解決プロトコル応答パケットは、前記宛先ノードの物理アドレス以外の所定の物理アドレスを送信元物理アドレスとして含み、且つ前記宛先ノードのネットワークアドレスを送信元ネットワークアドレスとして含むことを特徴とする請求項1に記載のネットワーク監視装置。 - 前記偽装アドレス解決プロトコル応答送信手段は、前記宛先ノードから送信された、前記偽装アドレス解決プロトコル要求パケットに対するアドレス解決プロトコル応答パケットを受信したことに応答して、前記未登録ノードへ、前記未登録ノードの物理アドレスを送信元物理アドレスとして含み、且つ前記宛先ノードのネットワークアドレスを送信元ネットワークアドレスとして含む偽装アドレス解決プロトコル応答パケットを送信することを特徴とする請求項2記載のネットワーク監視装置。
- 前記ネットワーク監視装置が保持する、ネットワークアドレスと物理アドレスとの対応を記述したARPテーブルに、前記未登録ノードのネットワークアドレスと前記ネットワーク監視装置の物理アドレスとを対応づけて記述するARPテーブル偽装手段をさらに具備することを特徴とする請求項2記載のネットワーク監視装置。
- 前記未登録ノード判定手段は、前記受信したアドレス解決プロトコル要求パケットの送信元ノードが未登録ノードであり、且つ前記受信したアドレス解決プロトコル要求パケットがグラチュータスアドレス解決プロトコル要求パケットである場合、前記アドレス解決プロトコル要求パケットを無視することを特徴とする請求項2記載のネットワーク監視装置。
- ノードから検疫結果を受信する受信手段と、
前記ノードから送信された検疫結果が合格を示す場合に、前記検疫結果を送信したノードを示す情報を登録済みリストに記載する手段と、
前記登録済みリストを、当該登録済みリストに記載されているノード間の通信を許可するネットワーク監視装置に送信する手段と、
前記検疫結果が合格を示すノードから定期的に送信されるステータスを受信する手段と、
前記ステータスを受信することができなくなった場合に、前記登録済みリストから前記検疫結果を送信したノードを示す情報を削除することによって新たな登録済みリストを生成する手段と、
前記新たな登録済みリストを前記ネットワーク監視装置に送信する手段と、
を具備することを特徴とする安全保障装置。 - 前記登録済みリストに情報が記載されていないノードに対して、当該ノードの前記検疫を実行する検疫エージェントソフトウェアをインストールするためのインストーラを送信する手段を更に具備することを特徴とする請求項6に記載の安全保障装置。
- 複数のノードが接続されたネットワークを該ネットワーク上に接続されたネットワーク監視装置によって監視するネットワーク監視方法であって、
アドレス解決プロトコル要求パケットを受信したことに応答して、前記受信したアドレス解決プロトコル要求パケットに含まれる送信元物理アドレスに基づいて、前記受信したアドレス解決プロトコル要求パケットの送信元ノードが未登録ノードであるかどうかを判定し、
前記送信元ノードが未登録ノードである場合、前記受信したアドレス解決プロトコル要求パケットに含まれる宛先ネットワークアドレスに基づいて、前記受信したアドレス解決プロトコル要求パケットの宛先ノードが接続許可ノードであるかを判定し、
前記宛先ノードが接続許可ノードであると判定された場合、前記送信元ノードと前記宛先ノードとの通信を許可し、
前記宛先ノードが接続許可ノードではないと判定された場合、前記受信したアドレス解決プロトコル要求パケットに含まれる宛先ネットワークアドレスに対応するノードである宛先ノードへ偽装アドレス解決プロトコル要求パケットを送信し、
前記宛先ノードから送信された、前記偽装アドレス解決プロトコル要求パケットに対するアドレス解決プロトコル応答パケットを受信したことに応答して、前記未登録ノードへ、偽装アドレス解決プロトコル応答パケットを送信することを特徴とするネットワーク監視方法。 - 前記偽装アドレス解決プロトコル要求パケットは、前記ネットワーク監視装置の物理アドレスを送信元物理アドレスとして含み、且つ前記未登録ノードのネットワークアドレスを送信元ネットワークアドレスとして含み、
前記偽装アドレス解決プロトコル応答パケットは、前記宛先ノードの物理アドレス以外の所定の物理アドレスを送信元物理アドレスとして含み、且つ前記宛先ノードのネットワークアドレスを送信元ネットワークアドレスとして含むことを特徴とする請求項8に記載のネットワーク監視方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009280612A JP2011124774A (ja) | 2009-12-10 | 2009-12-10 | ネットワーク監視装置、ネットワーク監視方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009280612A JP2011124774A (ja) | 2009-12-10 | 2009-12-10 | ネットワーク監視装置、ネットワーク監視方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2011124774A true JP2011124774A (ja) | 2011-06-23 |
Family
ID=44288240
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009280612A Pending JP2011124774A (ja) | 2009-12-10 | 2009-12-10 | ネットワーク監視装置、ネットワーク監視方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2011124774A (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20180015032A (ko) * | 2016-08-02 | 2018-02-12 | 주식회사 다산네트웍스 | 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치 및 이의 미인가 단말 차단 방법 |
JP2022525205A (ja) * | 2019-03-20 | 2022-05-11 | 新華三技術有限公司 | 異常ホストのモニタニング |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004185498A (ja) * | 2002-12-05 | 2004-07-02 | Matsushita Electric Ind Co Ltd | アクセス制御装置 |
JP2006262019A (ja) * | 2005-03-16 | 2006-09-28 | Fujitsu Ltd | ネットワーク検疫プログラム、該プログラムを記録した記録媒体、ネットワーク検疫方法、およびネットワーク検疫装置 |
JP2008278193A (ja) * | 2007-04-27 | 2008-11-13 | Sumitomo Electric System Solutions Co Ltd | 検疫制御装置、検疫制御コンピュータプログラム、検疫方法、検疫対象端末装置、エージェントコンピュータプログラム、検査方法、コンピュータプログラムセット、及びパケットデータ構造 |
-
2009
- 2009-12-10 JP JP2009280612A patent/JP2011124774A/ja active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004185498A (ja) * | 2002-12-05 | 2004-07-02 | Matsushita Electric Ind Co Ltd | アクセス制御装置 |
JP2006262019A (ja) * | 2005-03-16 | 2006-09-28 | Fujitsu Ltd | ネットワーク検疫プログラム、該プログラムを記録した記録媒体、ネットワーク検疫方法、およびネットワーク検疫装置 |
JP2008278193A (ja) * | 2007-04-27 | 2008-11-13 | Sumitomo Electric System Solutions Co Ltd | 検疫制御装置、検疫制御コンピュータプログラム、検疫方法、検疫対象端末装置、エージェントコンピュータプログラム、検査方法、コンピュータプログラムセット、及びパケットデータ構造 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20180015032A (ko) * | 2016-08-02 | 2018-02-12 | 주식회사 다산네트웍스 | 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치 및 이의 미인가 단말 차단 방법 |
KR101871146B1 (ko) | 2016-08-02 | 2018-06-26 | 주식회사 다산네트웍스 | 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치 및 이의 미인가 단말 차단 방법 |
JP2022525205A (ja) * | 2019-03-20 | 2022-05-11 | 新華三技術有限公司 | 異常ホストのモニタニング |
JP7228712B2 (ja) | 2019-03-20 | 2023-02-24 | 新華三技術有限公司 | 異常ホストのモニタニング |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4672780B2 (ja) | ネットワーク監視装置及びネットワーク監視方法 | |
JP4174392B2 (ja) | ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置 | |
US7529810B2 (en) | DDNS server, a DDNS client terminal and a DDNS system, and a web server terminal, its network system and an access control method | |
US8369346B2 (en) | Method and system for restricting a node from communicating with other nodes in a broadcast domain of an IP (internet protocol) network | |
JP5662133B2 (ja) | Ipsecとipv6近隣要請の競合解消方法及びそのシステム | |
US10491561B2 (en) | Equipment for offering domain-name resolution services | |
US8107396B1 (en) | Host tracking in a layer 2 IP ethernet network | |
KR100949355B1 (ko) | 통신방법, 이동 에이전트 장치, 및 홈 에이전트 장치 | |
US20100057895A1 (en) | Methods of Providing Reputation Information with an Address and Related Devices and Computer Program Products | |
US7567573B2 (en) | Method for automatic traffic interception | |
JP4179300B2 (ja) | ネットワーク管理方法および装置並びに管理プログラム | |
US20170237769A1 (en) | Packet transfer method and packet transfer apparatus | |
CN101459653B (zh) | 基于Snooping技术的防止DHCP报文攻击的方法 | |
US7916733B2 (en) | Data communication apparatus, data communication method, program, and storage medium | |
JP2005142702A (ja) | ネットワークアクセスゲートウェイ及びネットワークアクセスゲートウェイの制御方法並びにプログラム | |
JP2006352719A (ja) | ネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法 | |
JP4895793B2 (ja) | ネットワーク監視装置及びネットワーク監視方法 | |
JP3590394B2 (ja) | パケット転送装置、パケット転送方法およびプログラム | |
JP2011124774A (ja) | ネットワーク監視装置、ネットワーク監視方法 | |
JP4750750B2 (ja) | パケット転送システムおよびパケット転送方法 | |
JP4921864B2 (ja) | 通信制御装置、認証システムおよび通信制御プログラム | |
JP2004072633A (ja) | IPv6ノード収容方法およびIPv6ノード収容システム | |
CN102571816B (zh) | 一种防止邻居学习攻击的方法和*** | |
JP2006165877A (ja) | 通信システム、通信方法および通信プログラム | |
Brzozowski et al. | DHCPv6 Leasequery |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120802 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130716 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130723 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20131119 |