JP7376288B2 - 特定装置および特定方法 - Google Patents

特定装置および特定方法 Download PDF

Info

Publication number
JP7376288B2
JP7376288B2 JP2019164339A JP2019164339A JP7376288B2 JP 7376288 B2 JP7376288 B2 JP 7376288B2 JP 2019164339 A JP2019164339 A JP 2019164339A JP 2019164339 A JP2019164339 A JP 2019164339A JP 7376288 B2 JP7376288 B2 JP 7376288B2
Authority
JP
Japan
Prior art keywords
default gateway
address
packet
terminal device
specific device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019164339A
Other languages
English (en)
Other versions
JP2021044655A (ja
Inventor
貴彦 太田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Azbil Corp
Original Assignee
Azbil Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Azbil Corp filed Critical Azbil Corp
Priority to JP2019164339A priority Critical patent/JP7376288B2/ja
Priority to CN202010940123.9A priority patent/CN112565092B/zh
Publication of JP2021044655A publication Critical patent/JP2021044655A/ja
Application granted granted Critical
Publication of JP7376288B2 publication Critical patent/JP7376288B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/659Internet protocol version 6 [IPv6] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、特定装置および特定方法に関し、特にIPv6環境におけるネットワークの監視技術に関する。
近年、IoTの普及により様々な機器がインターネットにつながるようになっている。これにともなって、インターネットにつながる機器の数も爆発的に増え、従来インターネットプロトコルとして用いられてきたIPv4から、新たに128ビットのアドレス長を持つプロトコルとしてIPv6への移行が進んでいる。また、ネットワーク監視装置などの多くのネットワークセキュリティ製品においても、IPv6に対応したものが急速に求められている。
IPv6環境において、IPv6アドレスの自動設定を行う際に、RA(Router Advertisement)パケットが送受信される。RAパケットを受信した端末装置は、RAパケットの送信元アドレスを、デフォルトゲートウェイとして設定する。
例えば、悪意のあるものから不正なRAパケットが送信された場合、そのRAパケットを受信した端末装置において、不正なRAパケットの送信元アドレスが、正規のデフォルトゲートウェイよりも優先度が高い設定のデフォルトゲートウェイとして追加されてしまうことがある。また、悪意のあるものによって、正規のデフォルトゲートウェイとは異なるデフォルトゲートウェイが正規の端末装置に設定され、ネットワークへの不正アクセスが行われるということも可能となる。
例えば、特許文献1は、IPv6環境におけるネットワークへの不正接続を防止する技術を開示している。特許文献1に記載の技術では、ネットワークに監視装置を設置し、ネットワーク内を流れるNS(Neighbor Solicitation)パケットを監視して、NSパケットの送信元アドレスやMACアドレスをもとに、ネットワークへの接続が許可されている端末装置かどうかを判断する。
特開2007-104396号公報
しかし、特許文献1に記載の技術によるネットワーク内を流れるNSパケットの監視では、不正の検出のために、ネットワークに接続されている端末装置に設定されている優先度が最も高い設定のデフォルトゲートウェイを把握することが困難であった。
本発明は、上述した課題を解決するためになされたものであり、IPv6環境において、ネットワークに接続されている端末装置に設定されている優先度が最も高い設定のデフォルトゲートウェイの情報を把握する新たな不正の検出技術を提供することを目的とする。
上述した課題を解決するために、本発明に係る特定装置は、TCP通信での接続の終了を示す第1制御ビットをヘッダに含む送信パケットを生成するように構成された生成部と、前記生成部により生成された前記送信パケットの送信元アドレスとして、自装置に設定されているIPv6アドレスとは異なる送信元アドレスを設定するように構成された設定部と、前記設定部によって前記送信元アドレスが設定された前記送信パケットを予め設定された端末装置に送信するように構成された送信部と、前記送信パケットに対する応答を示す第2制御ビットがヘッダに含まれた応答パケットをキャプチャするように構成された取得部と、前記取得部によってキャプチャされた前記応答パケットに含まれる前記応答パケットの送信先を示す情報を抽出するように構成された抽出部と、前記抽出部によって抽出された前記送信先を示す情報に基づいて、前記端末装置に設定されているデフォルトゲートウェイを特定するように構成された特定部とを備える。
また、本発明に係る特定装置において、監視対象のネットワークにおける正規デフォルトゲートウェイに関する情報を記憶するように構成された記憶部と、前記特定部によって特定された前記端末装置に設定されているデフォルトゲートウェイが、前記記憶部に記憶されている前記正規デフォルトゲートウェイと一致するか否かを判断するように構成された判断部とをさらに備えていてもよい。
また、本発明に係る特定装置において、前記判断部は、前記正規デフォルトゲートウェイと一致しないと判断した場合に、前記特定部によって特定された前記端末装置に設定されている前記デフォルトゲートウェイは不正なデフォルトゲートウェイであると判断してもよい。
また、本発明に係る特定装置において、前記設定部は、前記送信元アドレスとして、リンクローカル内のグローバル識別子もしくはサブネット識別子が異なるユニークローカルIPv6ユニキャストアドレスを設定してもよい。
また、本発明に係る特定装置において、前記第1制御ビットは、FINフラグを含み、
前記第2制御ビットは、RSTフラグおよびACKフラグを含んでいてもよい。
また、本発明に係る特定装置において、前記送信部は、前記端末装置が開いていないポートに前記送信パケットを送信してもよい。
上述した課題を解決するために、本発明に係る特定方法は、TCP通信での接続の終了を示す第1制御ビットがヘッダに含まれた送信パケットを生成する第1ステップと、前記第1ステップで生成された前記送信パケットの送信元アドレスとして、自装置に設定されているIPv6アドレスとは異なる送信元アドレスを設定する第2ステップと、前記第2ステップで前記送信元アドレスが設定された前記送信パケットを予め設定された端末装置に送信する第3ステップと、前記送信パケットに対する応答を示す第2制御ビットがヘッダに含まれた応答パケットをキャプチャする第4ステップと、前記第4ステップでキャプチャされた前記応答パケットに含まれる前記応答パケットの送信先を示す情報を抽出する第5ステップと、前記第5ステップで抽出された前記送信先を示す情報に基づいて、前記端末装置に設定されているデフォルトゲートウェイを特定する第6ステップとを備える。
本発明によれば、自装置に設定されているIPv6アドレスとは異なる送信元アドレスが設定された第1制御ビットをヘッダに含む送信パケットを端末装置に送信し、送信パケットに対する応答を示す第2制御ビットが含まれる応答パケットをキャプチャして、応答パケットの送信先を示す情報を抽出する。そのため、IPv6環境において、端末装置に設定されている優先度が最も高い設定のデフォルトゲートウェイの情報を把握する新たな不正の検出技術を実現することができる。
図1は、本発明の実施の形態に係る特定装置を含むネットワークシステムの構成を示すブロック図である。 図2は、実施の形態に係る特定装置の構成を示すブロック図である。 図3は、実施の形態に係る特定装置のハードウェア構成を示すブロック図である。 図4は、実施の形態に係る特定方法を説明するためのフローチャートである。 図5は、実施の形態に係るネットワークシステムの動作を示すシーケンス図である。
以下、本発明の好適な実施の形態について、図1から図5を参照して詳細に説明する。
[ネットワークシステムの構成]
まず、本発明の実施の形態に係る特定装置1を備えるネットワークシステムの概要について説明する。
本発明の実施の形態に係る特定装置1は、LANなどのネットワークNWに接続されている端末装置3a、3bに設定されている最も優先度が高い設定のデフォルトゲートウェイの情報を特定する。特定装置1は、例えば、図1に示すようなネットワークシステムに設けられる。また、ネットワークシステムは、例えば、BA(Building Automation)システムなどに設けられる。
ネットワークシステムは、図1に示すように、ネットワークNWを介して互いに通信可能に接続されている特定装置1と、ルータ2a、2bと、端末装置3a、3bとを備える。
ルータ2a、2bは、IPv6に対応したルータであり、ゲートウェイとして機能する。本実施の形態では、ルータ2aのMACアドレスは、「S」であり、ルータ2bのMACアドレスは、「R」であるものとする。また、本実施の形態では、ネットワークNWにおける正規のルータは、ルータ2aであり、ルータ2bは、不正なルータであるものとする。
端末装置3a、3bは、IPv6が動作するPCなどの端末である。図1に示す複数の端末装置3a、3bのうち、端末装置3aには、正規のルータ2aがデフォルトゲートウェイとして設定されている。一方、端末装置3bには、正規のデフォルトゲートウェイとは異なるデフォルトゲートウェイが優先度が最も高いデフォルトゲートウェイとして設定されている。
端末装置3aは、事前に送信されたルータ2aからのICMPv6の正規のルータ広告(Router Advertisement:RA)パケットを受信し、RAパケットの送信元のルータ2aをデフォルトゲートウェイとして設定している。端末装置3aについては、正規デフォルトゲートウェイが設定されている。
一方、ルータ2bは、事前に端末装置3bに対して不正なRAパケットを送信している。不正なRAパケットを受信した端末装置3bでは、RAパケットの送信元であるルータ2bが、優先度が最も高いデフォルトゲートウェイとして追加されている。したがって、本実施の形態では、端末装置3bには不正なデフォルトゲートウェイが設定されている。
また、本実施の形態において、特定装置1は、TCPプロトコルを用いて、デフォルトゲートウェイを特定したい端末装置3a、3bの閉じているポートに対して、FINフラグ(第1制御ビット)をセットしたTCPパケットを送信パケットとして送信する。また、特定装置1は、送信パケットを特定対象の端末装置3a、3bに送信する際に、送信元アドレスを特定装置1に設定されているIPv6アドレス「G」とは異なる送信元アドレスを設定する。送信元アドレスとして、リンクローカル内に存在する何れのリンクローカルアドレスとも異なるユニークローカルIPv6ユニキャストアドレス、例えば「H」が設定される。
TCPプロトコルにおいて、FINパケットはコネクションの終了を示す。そのため、FINフラグがセットされた送信パケットを受信すると、端末装置3a、3bは、対象のポートが閉じているため、接続リセットを示すRSTフラグとACKフラグ(第2制御ビット)がセットされたTCPパケットを応答パケットとして返送する。しかし、送信パケットの送信元アドレス「H」はリンクローカルとは違うグローバル識別子もしくはサブネット識別子のアドレスであるため、端末装置3a、3bに設定されている最も優先度が高い設定のデフォルトゲートウェイを送信先として、端末装置3a、3bは応答パケットを送信する。
このとき、特定装置1は、ネットワークNWを流れるRSTパケットとACKパケットとを含む応答パケットをキャプチャする。さらに、特定装置1は、キャプチャした応答パケットに含まれるそれぞれの応答パケットの送信先を示す情報から、端末装置3a、3bに設定されているデフォルトゲートウェイを特定する。
[特定装置の機能ブロック]
次に、本実施の形態に係る特定装置1の構成について、図2のブロック図を用いて説明する。
図2に示すように、特定装置1は、生成部10、設定部11、送信部12、取得部13、抽出部14、特定部15、記憶部16、および判断部17を備える。
生成部10は、TCP通信におけるコネクションの終了を示すFINフラグが設定された送信パケットを生成する。より詳細には、生成部10は、送信パケットのヘッダにおいてFINフラグを立てる。
設定部11は、生成部10によって生成された送信パケットの送信元アドレスとして、特定装置1に設定されているIPv6アドレス「G」とは異なる送信元アドレスを設定する。具体的には、設定部11は、送信元アドレスとして、リンクローカル内に存在しない、グローバル識別子もしくはサブネット識別子が異なるユニークローカルIPv6ユニキャストアドレス「H」を設定する。
送信部12は、送信元アドレス「H」が設定され、FINフラグが設定された送信パケットを、端末装置3a、3bに送信する。送信部12は、デフォルトゲートウェイ情報を取得したいスキャン対象の端末装置3a、3bに送信パケットを送信する。
取得部13は、ネットワークNWを流れるFINフラグが設定されたヘッダを有する送信パケットに対する応答を示す、RSTフラグおよびACKフラグがヘッダに含まれた応答パケットをキャプチャする。
抽出部14は、キャプチャされた応答パケットに含まれる、その応答パケットの送信先を示す情報を抽出する。具体的には、抽出部14は応答パケットに含まれる送信先のMACアドレスを抽出する。本実施の形態では、端末装置3aによる応答パケットに含まれる送信先のMACアドレスは、ルータ2aを示すMACアドレス「S」である。一方、端末装置3bの応答パケットに含まれる送信先のMACアドレスは、ルータ2bを示すMACアドレス「R」となっている。
特定部15は、抽出部14によって抽出された応答パケットの送信先を示す情報に基づいて、端末装置3a、3bに設定されているデフォルトゲートウェイを特定する。端末装置3a、3bによって送信される応答パケットの送信先アドレスを示すMACアドレスは、それぞれの端末装置3a、3bに設定されているデフォルトゲートウェイである。そのため、特定部15は、MACアドレス「S」を有するルータ2bが、端末装置3aにおいて最も優先度が高い設定のデフォルトゲートウェイとして設定されていることを特定する。また、特定部15は、端末装置3bの応答パケットの送信先MACアドレス「R」で示されるルータ2bが、端末装置3bにおいて最も優先度が高い設定のデフォルトゲートウェイとして設定されていることを特定する。
記憶部16は、監視対象のネットワークNWにおける正規デフォルトゲートウェイに関する情報を記憶している。本実施の形態では、ルータ2aが正規のルータであり、MACアドレス「S」で示されるルータ2aが正規のデフォルトゲートウェイとして予め登録されている。
判断部17は、特定部15によって特定された端末装置3a、3bに設定されている最も優先度が高い設定のデフォルトゲートウェイが、記憶部16に記憶されている正規デフォルトゲートウェイと一致するか否かを判断する。本実施の形態では、判断部17は、端末装置3aに設定されているデフォルトゲートウェイ(MACアドレス「S」)は、正規デフォルトゲートウェイであると判断する。一方、判断部17は、端末装置3bに設定されているデフォルトゲートウェイ(MACアドレス「R」)は、正規デフォルトゲートウェイではなく、不正なデフォルトゲートウェイであると判断する。
[特定装置のハードウェア構成]
次に上述した機能を有する特定装置1のハードウェア構成の一例について、図3を用いて説明する。
図3に示すように、特定装置1は、例えば、バス101を介して接続されるプロセッサ102、主記憶装置103、通信インターフェース104、補助記憶装置105、入出力I/O106を備えるコンピュータと、これらのハードウェア資源を制御するプログラムによって実現することができる。
主記憶装置103には、プロセッサ102が各種制御や演算を行うためのプログラムが予め格納されている。プロセッサ102と主記憶装置103とによって、図2に示した生成部10、設定部11、取得部13、抽出部14、特定部15、判断部17など、特定装置1の各機能が実現される。
通信インターフェース104は、特定装置1とルータ2a、2b、端末装置3a、3bや各種外部電子機器との間をネットワーク接続するためのインターフェース回路である。通信インターフェース104によって図2で説明した送信部12、および取得部13が実現される。
補助記憶装置105は、読み書き可能な記憶媒体と、その記憶媒体に対してプログラムやデータなどの各種情報を読み書きするための駆動装置とで構成されている。補助記憶装置105には、記憶媒体としてハードディスクやフラッシュメモリなどの半導体メモリを使用することができる。
補助記憶装置105は、特定装置1が、端末装置3a、3bに設定されている最も優先度が高い設定のデフォルトゲートウェイを特定するためのプログラムを格納するプログラム格納領域を有する。補助記憶装置105によって、図2で説明した記憶部16が実現される。さらには、例えば、上述したデータやプログラムやなどをバックアップするためのバックアップ領域などを有していてもよい。
入出力I/O106は、外部機器からの信号を入力したり、外部機器へ信号を出力したりするI/O端子により構成される。
表示装置107は、液晶ディスプレイなどによって構成される。表示装置107は、特定部15によって特定されたデフォルトゲートウェイや、判断部17による判断結果を表示画面に表示することができる。
[特定方法]
次に上述した構成を有する特定装置1の動作について、図4のフローチャートを用いて説明する。なお、以下において、記憶部16には、予め正規デフォルトゲートウェイに関する情報が格納されているものとする。
まず、生成部10は、FINフラグが設定されたTCPパケットを送信パケットとして生成する(ステップS1)。次に、設定部11は、送信パケットの送信元アドレスとして、リンクローカルとは違うグローバル識別子もしくはサブネット識別子のユニークローカルIPv6ユニキャストアドレスを設定する(ステップS2)。
次に、送信部12は、FINフラグを立てた送信パケットを、スキャン対象の端末装置3a、3bに送信する(ステップS3)。このとき送信部12は、端末装置3a、3bが開いていないポートに対して送信パケットを送信する。その後、取得部13は、端末装置3a、3bが送信パケットに対する応答としてRSTフラグとACKフラグとがヘッダに含まれた応答パケットをキャプチャする(ステップS4)。
次に、抽出部14は、ステップS4でキャプチャされた応答パケットに含まれる、その応答パケットの送信先を示す情報を抽出する(ステップS5)。より詳細には、抽出部14は、端末装置3a、3bが送信した応答パケットの送信先MACアドレスを抽出する。その後、特定部15は、抽出された送信先を示す情報に基づいて、端末装置3a、3bに設定されている最も優先度が高い設定のデフォルトゲートウェイを特定する(ステップS6)。
次に、判断部17は、ステップS6で特定されたデフォルトゲートウェイに基づいて、それぞれの端末装置3a、3bに設定されている最も優先度が高い設定のデフォルトゲートウェイが正規デフォルトゲートウェイと一致するか否かを判断する(ステップS7)。その後、表示装置107において判断部17による判断結果を表示する(ステップS8)。あるいは、判断結果は、通信インターフェース104からネットワークNW上の図示されない特定の端末装置に送出することができる。
[ネットワークシステムの動作シーケンス]
次に、上述した特定装置1を備えるネットワークシステムの動作について、図5のシーケンス図を参照して説明する。なお、以下において、端末装置3aには、デフォルトゲートウェイとして正規のルータ2aが予め設定されており、端末装置3bには、デフォルトゲートウェイとして不正なルータ2bが予め設定されているものとする。
まず、特定装置1は、FINフラグが設定された送信パケットを生成する(ステップS100)。その後、特定装置1は、自装置のIPv6アドレス「G」とは異なる、すなわち、リンクローカルのグローバル識別子もしくはサブネット識別子が違うユニークローカルIPv6ユニキャストアドレス「H」を送信元アドレスとして、生成した送信パケットをスキャン対象の端末装置3a、3bに送信する(ステップS101、S102)。より詳細には、特定装置1は、端末装置3a、3bが開いていないポートにFINフラグを立てた送信パケットを送信する。
次に、FINフラグが設定された送信パケットを受信した端末装置3aは、応答パケットを生成して送信する(ステップS103)。より詳細には、端末装置3aは、端末装置3aにおいて設定されているデフォルトゲートウェイ「S」を送信先としてRSTフラグおよびACKフラグが設定された応答パケットをルータ2a(MACアドレス「S」)に送信する。
一方、FINフラグが設定された送信パケットを受信した端末装置3bは、端末装置3bにおいて設定されているデフォルトゲートウェイ「R」を送信先として、RSTフラグおよびACKフラグが設定された応答パケットをルータ2b(MACアドレス「R」)に送信する(ステップS104)。
次に、特定装置1は、ネットワークNWを流れるRSTフラグおよびACKフラグが設定された応答パケットをキャプチャする(ステップS105)。次に、特定装置1は、キャプチャされた応答パケットのそれぞれに含まれる、応答パケットの送信先を示すMACアドレス「S」、「R」を抽出し、MACアドレス「S」、「R」から端末装置3a、3bに設定されている最も優先度が高い設定のデフォルトゲートウェイを特定する(ステップS106)。
特定装置1は、端末装置3aに設定されている優先度が最も高い設定のデフォルトゲートウェイはMACアドレス「S」を有するルータ2aであると特定する。一方、端末装置3bに設定されている優先度が最も高い設定のデフォルトゲートウェイはMACアドレス「R」を有するルータ2bであると特定する。
その後、特定装置1は、記憶部16に格納されている正規デフォルトゲートウェイを参照し、端末装置3a、3bに設定されている最も優先度が高い設定のデフォルトゲートウェイが正規デフォルトゲートウェイと一致するか否かを判断する(ステップS107)。本実施の形態では、端末装置3aに設定されている優先度が最も高い設定のデフォルトゲートウェイは、正規デフォルトゲートウェイであると判断する。一方、端末装置3bに設定されている優先度が最も高い設定のデフォルトゲートウェイは、正規デフォルトゲートウェイではなく、不正なデフォルトゲートウェイであると判断する。
特定装置1は、さらに、不正なデフォルトゲートウェイであるルータ2bは、不正なルータであると判断し、これらの判断結果を表示装置107に表示させることができる。あるいは、特定装置1は、判断結果をネットワークNW上の図示されない特定の端末装置に送信することができる。
以上説明したように、本実施の形態に係る特定装置1によれば、リンクローカルのグローバル識別子もしくはサブネット識別子が違うユニークローカルIPv6ユニキャストアドレスを送信元アドレスとして設定し、FINフラグが設定された送信パケットを、特定対象の端末装置3a、3bが開いていないポートに対して送信する。さらに、特定装置1は、端末装置3a、3bによるRSTフラグとACKフラグとが設定された応答パケットをキャプチャして、応答パケットに含まれる送信先MACアドレスを抽出する。そのため、端末装置3a、3bに設定されている最も優先度が高い設定のデフォルトゲートウェイを特定することができる。
また、特定装置1によれば、TCPプロトコルを利用してスキャン対象とする端末装置3a、3bのデフォルトゲートウェイを特定するので、端末装置3a、3bなどに新たなソフトウェアをインストールする必要がなく、より簡易な構成で端末装置3a、3bに設定されている優先度が最も高いデフォルトゲートウェイを特定することができる。
また、特定装置1によれば、不正なデフォルトゲートウェイを特定することができるので、ネットワークNWにおける不正端末を検出することが可能となる。
なお、説明した実施の形態では、特定対象の端末装置3a、3bが2つである場合を例示したが、端末装置3a、3bの数は2つ以外であってもよい。
以上、本発明の特定装置および特定方法における実施の形態について説明したが、本発明は説明した実施の形態に限定されるものではなく、請求項に記載した発明の範囲において当業者が想定し得る各種の変形を行うことが可能である。
1…特定装置、2a、2b…ルータ、3a、3b…端末装置、10…生成部、11…設定部、12…送信部、13…取得部、14…抽出部、15…特定部、16…記憶部、17…判断部、101…バス、102…プロセッサ、103…主記憶装置、104…通信インターフェース、105…補助記憶装置、106…入出力I/O、107…表示装置、NW…ネットワーク。

Claims (6)

  1. TCP通信での接続の終了を示す第1制御ビットをヘッダに含む送信パケットを生成するように構成された生成部と、
    前記生成部により生成された前記送信パケットの送信元アドレスとして、自装置に設定されているIPv6アドレスとは異なり、かつ、リンクローカル内に存在する何れのリンクローカルアドレスとも異なるユニークローカルIPv6ユニキャストアドレスを設定するように構成された設定部と、
    前記設定部によって前記送信元アドレスが設定された前記送信パケットを予め設定された端末装置の開いていないポートに送信するように構成された送信部と、
    前記送信パケットに対する応答を示すRSTフラグおよびACKフラグを含む第2制御ビットがヘッダに含まれた応答パケットをキャプチャするように構成された取得部と、
    前記取得部によってキャプチャされた前記応答パケットに含まれる前記応答パケットの送信先を示す情報を抽出するように構成された抽出部と、
    前記抽出部によって抽出された前記送信先を示す情報に基づいて、前記端末装置に設定されているデフォルトゲートウェイを特定するように構成された特定部と
    を備える特定装置。
  2. 請求項1に記載の特定装置において、
    監視対象のネットワークにおける正規デフォルトゲートウェイに関する情報を記憶するように構成された記憶部と、
    前記特定部によって特定された前記端末装置に設定されているデフォルトゲートウェイが、前記記憶部に記憶されている前記正規デフォルトゲートウェイと一致するか否かを判断するように構成された判断部と
    をさらに備える
    ことを特徴とする特定装置。
  3. 請求項2に記載の特定装置において、
    前記判断部は、前記正規デフォルトゲートウェイと一致しないと判断した場合に、前記特定部によって特定された前記端末装置に設定されている前記デフォルトゲートウェイは不正なデフォルトゲートウェイであると判断する
    ことを特徴とする特定装置。
  4. 請求項1から3のいずれか1項に記載の特定装置において、
    前記設定部は、前記送信元アドレスとして、リンクローカル内のグローバル識別子もしくはサブネット識別子が異なるユニークローカルIPv6ユニキャストアドレスを設定する
    ことを特徴とする特定装置。
  5. 請求項1から4のいずれか1項に記載の特定装置において、
    前記第1制御ビットは、FINフラグを含
    ことを特徴とする特定装置。
  6. TCP通信での接続の終了を示す第1制御ビットがヘッダに含まれた送信パケットを生成する第1ステップと、
    前記第1ステップで生成された前記送信パケットの送信元アドレスとして、自装置に設
    定されているIPv6アドレスとは異なり、かつ、リンクローカル内に存在する何れのリンクローカルアドレスとも異なるユニークローカルIPv6ユニキャストアドレスを設定する第2ステップと、
    前記第2ステップで前記送信元アドレスが設定された前記送信パケットを予め設定された端末装置の開いていないポートに送信する第3ステップと、
    前記送信パケットに対する応答を示すRSTフラグおよびACKフラグを含む第2制御ビットがヘッダに含まれた応答パケットをキャプチャする第4ステップと、
    前記第4ステップでキャプチャされた前記応答パケットに含まれる前記応答パケットの送信先を示す情報を抽出する第5ステップと、
    前記第5ステップで抽出された前記送信先を示す情報に基づいて、前記端末装置に設定されているデフォルトゲートウェイを特定する第6ステップと
    を備える特定方法。
JP2019164339A 2019-09-10 2019-09-10 特定装置および特定方法 Active JP7376288B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2019164339A JP7376288B2 (ja) 2019-09-10 2019-09-10 特定装置および特定方法
CN202010940123.9A CN112565092B (zh) 2019-09-10 2020-09-09 确定装置和确定方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019164339A JP7376288B2 (ja) 2019-09-10 2019-09-10 特定装置および特定方法

Publications (2)

Publication Number Publication Date
JP2021044655A JP2021044655A (ja) 2021-03-18
JP7376288B2 true JP7376288B2 (ja) 2023-11-08

Family

ID=74864322

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019164339A Active JP7376288B2 (ja) 2019-09-10 2019-09-10 特定装置および特定方法

Country Status (2)

Country Link
JP (1) JP7376288B2 (ja)
CN (1) CN112565092B (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030115367A1 (en) 2001-12-18 2003-06-19 Brother Kogyo Kabushiki Kaisha Address deducing system for deducing network settings
JP2006148530A (ja) 2004-11-19 2006-06-08 Fuji Electric Systems Co Ltd 回線診断方法
JP2010147744A (ja) 2008-12-18 2010-07-01 Alaxala Networks Corp ネットワーク中継装置、中継方法、および、そのためのコンピュータプログラム
CN104115463A (zh) 2011-11-07 2014-10-22 网络流逻辑公司 用于处理网络元数据的流式传输方法和***

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6070187A (en) * 1998-03-26 2000-05-30 Hewlett-Packard Company Method and apparatus for configuring a network node to be its own gateway
CN100589434C (zh) * 2006-06-30 2010-02-10 中兴通讯股份有限公司 在接入模式下实现业务服务器地址防欺骗的方法
CN101257388B (zh) * 2008-04-08 2010-07-28 成都市华为赛门铁克科技有限公司 非法外联检测方法、装置及***
CN102546661B (zh) * 2012-02-21 2015-08-26 神州数码网络(北京)有限公司 一种防止IPv6网关邻居欺骗攻击的方法及***
CN103916490B (zh) * 2014-04-03 2017-05-24 深信服网络科技(深圳)有限公司 一种域名***dns防篡改方法及装置
JP2019009637A (ja) * 2017-06-26 2019-01-17 アズビル株式会社 ネットワーク監視装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030115367A1 (en) 2001-12-18 2003-06-19 Brother Kogyo Kabushiki Kaisha Address deducing system for deducing network settings
JP2003188900A (ja) 2001-12-18 2003-07-04 Brother Ind Ltd アドレス推定システム、ネットワークデバイス、アドレス推定方法およびアドレス推定プログラム
JP2006148530A (ja) 2004-11-19 2006-06-08 Fuji Electric Systems Co Ltd 回線診断方法
JP2010147744A (ja) 2008-12-18 2010-07-01 Alaxala Networks Corp ネットワーク中継装置、中継方法、および、そのためのコンピュータプログラム
CN104115463A (zh) 2011-11-07 2014-10-22 网络流逻辑公司 用于处理网络元数据的流式传输方法和***
JP2015502060A (ja) 2011-11-07 2015-01-19 ネットフロー ロジック コーポレーション ネットワークメタデータを処理するストリーミング方法およびシステム

Also Published As

Publication number Publication date
CN112565092A (zh) 2021-03-26
JP2021044655A (ja) 2021-03-18
CN112565092B (zh) 2023-02-28

Similar Documents

Publication Publication Date Title
EP2140656B1 (en) Method and apparatus for detecting port scans with fake source address
KR101010465B1 (ko) 엔드포인트 리소스를 사용하는 네트워크 보안 요소
WO2021139643A1 (zh) 加密攻击网络流量检测方法,其装置及电子设备
US7376745B2 (en) Network address generating system, network address generating apparatus and method, program and storage medium
US20040049695A1 (en) System for providing a real-time attacking connection traceback using a packet watermark insertion technique and method therefor
US20050027854A1 (en) Method, program and system for automatically detecting malicious computer network reconnaissance
TWI506472B (zh) 網路設備及其防止位址解析協定報文攻擊的方法
US20170237769A1 (en) Packet transfer method and packet transfer apparatus
US10397225B2 (en) System and method for network access control
JP2020017809A (ja) 通信装置及び通信システム
US20070274274A1 (en) Open wireless access point detection and identification
EP2690832B1 (en) Communication device, communication system, and communication method
JP7376288B2 (ja) 特定装置および特定方法
CN100353711C (zh) 通信***、通信装置、操作控制方法
CN112565174B (zh) 地址监视装置和地址监视方法
JP4484190B2 (ja) ルーター探索システム、ルーター探索方法、及びルーター探索プログラム
KR102387010B1 (ko) 감시 장치 및 감시 방법
JP2011109186A (ja) ネットワーク通信方法及びアクセス管理方法とパケット中継装置
JP7444600B2 (ja) 検出装置および検出方法
CN106657030A (zh) 一种基于dhcp服务器非法报文安全防护的方法及***
JP3856368B2 (ja) Ipネットワークにおけるプロミスキャスノードを発見する方法及び装置、並びにプロミスキャスノード発見プログラム
Slehat et al. Securing teredo client from NAT holes vulnerability
TWI284809B (en) Method preventing illegal intrusion via bus
TW202123650A (zh) 探知隱匿網路位址的方法及管控伺服器
Sekhar et al. A Novel Approach for Spoofing Media Access Control Address

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220621

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230313

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230418

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230619

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231003

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20231026

R150 Certificate of patent or registration of utility model

Ref document number: 7376288

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150