Nothing Special   »   [go: up one dir, main page]

JP4672780B2 - ネットワーク監視装置及びネットワーク監視方法 - Google Patents

ネットワーク監視装置及びネットワーク監視方法 Download PDF

Info

Publication number
JP4672780B2
JP4672780B2 JP2009066649A JP2009066649A JP4672780B2 JP 4672780 B2 JP4672780 B2 JP 4672780B2 JP 2009066649 A JP2009066649 A JP 2009066649A JP 2009066649 A JP2009066649 A JP 2009066649A JP 4672780 B2 JP4672780 B2 JP 4672780B2
Authority
JP
Japan
Prior art keywords
address
node
computer
network
request packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009066649A
Other languages
English (en)
Other versions
JP2010220066A (ja
Inventor
勇治 藤原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2009066649A priority Critical patent/JP4672780B2/ja
Priority to US12/711,981 priority patent/US20100241744A1/en
Publication of JP2010220066A publication Critical patent/JP2010220066A/ja
Application granted granted Critical
Publication of JP4672780B2 publication Critical patent/JP4672780B2/ja
Priority to US13/571,224 priority patent/US20120304294A1/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、ネットワーク上の不正アクセスを監視するネットワーク監視装置及びネットワーク監視方法に関する。
近年、ネットワーク上の不正アクセスに対処するための様々な手法が提案されている。このような手法の一つとして、アドレス解決プロトコル(Address Resolution Protocol:ARP)を利用した方法が挙げられる。
アドレス解決プロトコル(ARP)は、ネットワーク上でIPアドレスが既知であるノードのMACアドレスを決定するためのプロトコルである。
ネットワーク上の各ノードは、アドレス解決プロトコル要求(ARP要求)を送信し、他のノードから送信されるアドレス解決プロトコル応答(ARP応答)に基づいて、IPアドレス(ネットワークアドレス)とMACアドレス(物理アドレス)との対応をARPテーブルへ記述する。このため、偽装されたARP応答を送信することで、ノードのARPテーブルに他のノードの偽のMACアドレスを記述することもできる。ARPテーブルに偽のMACアドレスを記述されたノードは、正常な通信を行うことができない。換言すると、ノードが不正なノードである場合には、不正なノードによる通信を妨害することができる。
特許文献1には、未認証端末から送信されたARP要求を受信し、該未認証端末へ偽装ARP応答を送信し、該未認証端末のアクセス先である認証済み端末へ偽装ARP要求を送信するネットワーク検疫装置が開示されている。ネットワーク検疫装置は、上述の偽装ARP応答及び偽装ARP要求により、未認証端末と認証済み端末との間の通信を妨害することができる。
特開2006−262019号公報
特許文献1のネットワーク検疫装置では、未認証端末がネットワーク検疫装置から偽装ARP応答を受信するまでの期間と、認証済み端末がネットワーク検疫装置から偽装ARP要求を受信するまでの期間とにおいて、未認証端末と認証済み端末との間で通信が実行される可能性がある。このため、未認証端末と認証済み端末との間で通信が実行され得る期間を短縮するための新たな機能の実現が必要である。
本発明は上述の事情を考慮してなされたものであり、不正ノードと不正ノードのアクセス先のノードとの間で通信が可能な期間を短縮できるネットワーク監視装置を提供することを目的とする。
上述の課題を解決するため、本発明は、複数のノードが接続されたネットワークを監視するネットワーク監視装置であって、アドレス解決プロトコル要求パケットを受信したことに応答して、前記受信したアドレス解決プロトコル要求パケット送信元物理アドレスに基づいて、前記受信したアドレス解決プロトコル要求パケットの送信元ノードが不正ノードであるかどうかを判定する不正ノード判定手段と、前記送信元ノードが不正ノードである場合、前記受信したアドレス解決プロトコル要求パケット宛先ネットワークアドレスに対応する宛先ノードへ、宛先ネットワークアドレスが前記宛先ノードのネットワークアドレスであり送信元物理アドレスが前記ネットワーク監視装置の物理アドレスであり、且つ送信元ネットワークアドレスが前記不正ノードのネットワークアドレスである偽装アドレス解決プロトコル要求パケットを送信する偽装アドレス解決プロトコル要求送信手段と、前記宛先ノードから前記ネットワーク監視装置にユニキャストされた、前記偽装アドレス解決プロトコル要求パケットに対するアドレス解決プロトコル応答パケットを受信したことに応答して、前記不正ノードへ、送信元物理アドレスが前記宛先ノードの物理アドレス以外の所定の物理アドレスであり、且つ送信元ネットワークアドレスが前記宛先ノードのネットワークアドレスである偽装アドレス解決プロトコル応答パケットを送信する偽装アドレス解決プロトコル応答送信手段とを具備することを特徴とする。
本発明によれば、不正ノードと不正ノードのアクセス先のノードとの間で通信が可能な期間を短縮できる。
本発明の一実施形態に係るネットワーク監視装置が接続されるネットワークの例を示す図。 図1のネットワーク上におけるデータの流れを説明する図。 同実施形態のネットワーク監視装置の機能構成を示すブロック図。 同実施形態のネットワーク監視装置が保持するリストを説明する図。 図4の登録済みリスト及び検出リストのエントリの記述例を説明する図。 同実施形態のネットワーク監視装置が送受信するARPパケットを説明する図。 図4の送信リストのエントリの記述例を説明する図。 同実施形態のネットワーク監視装置が監視するパケットのシーケンス図。 図8のシーケンス完了後における各ノードのARPテーブルを示す図。 同実施形態のネットワーク監視装置による不正PC排除処理の手順を示すフローチャート。 同実施形態のネットワーク監視装置が監視するパケットの別のシーケンス図。 図11のシーケンス完了後における各ノードのARPテーブルを示す図。 同実施形態のネットワーク監視装置による不正PC排除処理の別の手順を示すフローチャート。 同実施形態のネットワーク監視装置が監視するパケットの他のシーケンス図。 図14のシーケンス完了後における各ノードのARPテーブルを示す図。 図14のシーケンス完了後における各ノードのARPテーブルを示す別の図。 同実施形態のネットワーク監視装置が監視するパケットのさらに別のシーケンス図。 図17のシーケンス完了後における各ノードのARPテーブルを示す図。 同実施形態のネットワーク監視装置が監視するパケットのさらに他のシーケンス図。 図19のシーケンス完了後における各ノードのARPテーブルを示す図。 同実施形態のネットワーク監視装置をマルチスレッドにより実現する例を示すブロック図。 図21の受信スレッドによる受信処理の手順を示すフローチャート。 図21の名前解決スレッドによる名前解決処理の手順を示すフローチャート。 図21の送信スレッドによる送信処理の手順を示すフローチャート。 図21の受信スレッドによる受信処理の別の手順を示すフローチャート。 図21の送信スレッドによる送信処理の別の手順を示すフローチャート。
以下、図面を参照して本発明の実施形態を説明する。
まず、図1を参照して、本発明の一実施形態に係るネットワーク監視装置が接続されるネットワークの例について説明する。このネットワーク監視装置は、例えば、パーソナルコンピュータとして実現される。
このネットワーク上には、セキュリティサーバ100、監視ユニット101,121、ルータ110、登録済みコンピュータ102,123、及び未登録コンピュータ103,122が接続される。セキュリティサーバ100、監視ユニット101、登録済みコンピュータ102、及び未登録コンピュータ103が接続されるセグメントと、監視ユニット121、未登録コンピュータ122、及び登録済みコンピュータ123が接続されるセグメントとは、ルータ110を介して相互に接続される。
このネットワーク上では、セキュリティサーバ100、監視ユニット101,121、及び登録済みコンピュータ102,123による通信のみを許可する。一方、未登録コンピュータ103,122は、不正コンピュータであるとされ、未登録コンピュータ103,122による通信を妨害することで、ネットワーク上の不正アクセスが排除される。
セキュリティサーバ100は、ネットワーク上の登録済みコンピュータの情報を記述した登録済みリストを保持する。登録済みリストには、例えば、登録済みコンピュータ102,123のMACアドレス(物理アドレス)、IPアドレス(ネットワークアドレス)、ホスト名等が記述される。登録済みリストは、セキュリティサーバ100上で作成及び更新される。セキュリティサーバ100は、この登録済みリストを監視ユニット101,121へ配布する。
また、セキュリティサーバ100は、監視ユニット101,121により新たに検出された未登録コンピュータ103、122に関する情報が記述された検出リストを、監視ユニット101,121それぞれから受信する。セキュリティサーバ100は、受信した検出リストに基づき、登録済みリストを更新する。なお、登録済みリストは、セキュリティサーバ100上で、手動で変更してもよい。
監視ユニット101,121は、ネットワーク上のパケットを監視し、未登録コンピュータ103,122によるアクセス(不正アクセス)を検出して、不正アクセスを排除する。具体的には、監視ユニット101,121は、未登録コンピュータ103,122から送信されるアドレス解決プロトコル要求パケット(ARP要求パケット)、又は未登録コンピュータ103,122へ送信されるアドレス解決プロトコル要求パケット(ARP要求パケット)を検出した場合、未登録コンピュータ103,122によるアクセスを妨害するための処理を実行する。
アドレス解決プロトコル(ARP)は、ネットワーク上でIPアドレスが既知であるノードのMACアドレスを決定するためのプロトコルである。二つのノード間で通信を行う場合、第一のノードは、通信に先立ち、通信相手である第二のノードのMACアドレスを調査するため、第二のノードのIPアドレスを指定したアドレス解決プロトコル要求パケット(ARP要求パケット)をネットワーク上へブロードキャストする。このARP要求パケットを受信した第二のノードは、この第二のノードのMACアドレスを含むアドレス解決プロトコル応答パケット(ARP応答パケット)を第一のノードへ送信(ユニキャスト)する。第一のノードは、このARP応答パケットに含まれる第二のノードのMACアドレスを取得し、第二のノードのIPアドレスとMACアドレスとを第一のノード内に保持するARPテーブルへ記述する。以降、二つのノード間で通信を行う場合、第一のノードは、このARPテーブルを参照し、ARPテーブルに記述された第二のノードのMACアドレスへパケットを送信する。
なお、ARP要求パケットを送信したノードは、このARP要求パケットに応答するARP応答パケットを複数受信した場合、これらARP応答パケットを受信した順に処理する。つまり、一つのARP要求パケットを送信したノードは、複数のARP応答パケットを受信し得る。また、ARP要求パケットを送信していないノードも、複数のARP応答パケットを受信し得、これらARP応答パケットを受信した順に処理する。
上述のように、第一のノードは、ARP応答に基づいてARPテーブルを記述するため、偽装されたARP応答を第一のノードへ送信することで、第一のノードのARPテーブルに第二のノードのMACアドレスとは異なる偽のMACアドレスを記述することができる。ARPテーブルに偽のMACアドレスを記述された第一のノードは、正常な通信を行うことができない。したがって、第一のノードが不正なノードである場合には、第一のノードによる通信を妨害することができる。
以上のようなARPの性質を利用して、未登録コンピュータ103,122からネットワーク上の他のノードへのアクセス、及びネットワーク上の他のノードから未登録コンピュータ103,122へのアクセスを排除することができる。
また、監視ユニット101,121は、新たに検出した未登録コンピュータ103,122に関する情報を検出リストに記述し、所定の期間毎、又はセキュリティサーバ100による指示に応じて、検出リストをセキュリティサーバ100へ送信する。検出リストには、未登録コンピュータ103,122に関する情報として、例えば、未登録コンピュータ103,122のMACアドレス(物理アドレス)、IPアドレス(ネットワークアドレス)、ホスト名等が記述される。
監視ユニット101,121は、未登録コンピュータ103,122を検出した場合に、未登録コンピュータ103,122に関する情報を検出リストに記述する収集モードと、未登録コンピュータ103,122を検出した場合に、未登録コンピュータ103,122に関する情報を検出リストに記述し、未登録コンピュータ103,122による不正アクセスを排除するブロックモードのいずれかの動作モードに設定される。
なお、監視ユニット101,121は、各セグメントに一台以上設けられる。また、セキュリティサーバ100と同一セグメントにある監視ユニット101は、セキュリティサーバ100の機能を兼ねてもよい。
図2は、上述のネットワーク上におけるデータの流れを示す図である。
セキュリティサーバ100は、監視ユニット101,121へ登録済みリスト及び動作モードを示す情報を送信する。登録済みリストには、登録済みコンピュータ102と登録済みコンピュータ123とに関する情報が記述されている。
監視ユニット101,121は、受信した動作モードを示す情報に基づき、収集モードとブロックモードのいずれかのモードで動作する。
監視ユニット101,121はそれぞれ属するセグメント内のARP要求パケットを監視する。この監視により、監視ユニット101は、登録済みコンピュータ102と未登録コンピュータ103とを検出する。また、監視ユニット121は、未登録コンピュータ122と登録済みコンピュータ123とを検出する。
収集モードで動作している場合、監視ユニット101は、未登録コンピュータ103に関する情報を監視ユニット101が保持する検出リストに記述し、監視ユニット121は、未登録コンピュータ122に関する情報を監視ユニット121が保持する検出リストに記述する。監視ユニット101,121は、それぞれ保持する検出リストをセキュリティサーバ100へ送信する。
ブロックモードで動作している場合、監視ユニット101は、未登録コンピュータ103に関する情報を監視ユニット101が保持する検出リストに記述し、さらに未登録コンピュータ103による不正アクセスを排除する。また、監視ユニット121は、未登録コンピュータ122に関する情報を監視ユニット121が保持する検出リストに記述し、さらに未登録コンピュータ122による不正アクセスを排除する。
監視ユニット101、121はそれぞれ、以下の三つの対策により、未登録コンピュータ103から登録済みコンピュータ102への不正アクセス、及び未登録コンピュータ122から登録済みコンピュータ123への不正アクセスをブロックする。
第一に、監視ユニット101は、未登録コンピュータ103の通信相手のコンピュータ102のARPテーブルに、未登録コンピュータ103のIPアドレスと監視ユニット101のMACアドレスとのペアを登録する。したがって、監視ユニット101は、監視ユニット101のMACアドレスを送信元MACアドレスとして含み、且つ未登録コンピュータ103のIPアドレスを送信元IPアドレスとして含む偽装ARPリクエストを通信相手のコンピュータ102へ送信する。
第二に、監視ユニット101は、未登録コンピュータ103のARPテーブルに、通信相手のコンピュータ102のIPアドレスと未登録コンピュータのMACアドレスとのペアを登録する。したがって、監視ユニット101は、未登録コンピュータ103のMACアドレスを送信元MACアドレスとして含み、且つ通信相手のコンピュータ102のIPアドレスを送信元IPアドレスとして含む偽装ARPリプライを未登録コンピュータ103へ送信する。
第三に、監視ユニット101は、監視ユニット101のARPテーブルに、未登録コンピュータ103のIPアドレスと監視ユニット101のMACアドレスとのペアを登録し、ARPテーブルを偽装する。
以上の三つの対策により、監視ユニット101、121はそれぞれ、未登録コンピュータ103から通信相手の登録済みコンピュータ102への不正アクセス、及び未登録コンピュータ122から通信相手の登録済みコンピュータ123への不正アクセスをブロックする。
さらに、監視ユニット101,121は、それぞれ保持する検出リストをセキュリティサーバ100へ送信する。
検出リストを受信したセキュリティサーバ100は、この検出リストに基づき、記述された未登録コンピュータ103,122のうち、新たに登録されたコンピュータに関する情報を登録済みリストに記述する。
以下では、主に、一台の監視ユニット101に注目して、本実施形態のネットワーク監視装置について説明する。ただし、監視ユニット121等のネットワーク上の他の監視ユニットも、監視ユニット101と同様の動作をするものとする。また、以下では、監視ユニット101が、未登録コンピュータ103から登録済みコンピュータ102への不正アクセスを排除することを想定する。
図3は、監視ユニット101の機能構成を示すブロック図である。
監視ユニット101は、ネットワークインタフェース部201、受信部202、通信プロトコル判定部203、不正PC検出部204、宛先判定部205,ARPテーブル偽装部206、偽装ARPリクエスト送信部207、偽装ARPリプライ送信部208、名前解決パケット送受信部209、ARPテーブル記憶部210、登録済みリスト記憶部211、検出リスト記憶部212、送信リスト記憶部213等から構成される。
ネットワークインタフェース部201は、監視ユニット101をネットワークへ接続するためのインタフェースである。ネットワークインタフェース部201は、例えば、監視ユニット101から他のノードへ送信するパケット、及び監視ユニット101が他のノードから受信するパケットの送受信等を制御する。ネットワークインタフェース部201は、受信部202、偽装ARPリクエスト送信部207、偽装ARPリプライ送信部208、名前解決パケット送受信部209等のパケットの送受信を行う各部に接続される。
受信部202は、ネットワークインタフェース部201を介して、他のノードから送信されるパケットを受信する。受信されるパケットは、ブロードキャストパケットと監視ユニット101のMACアドレス宛のパケットである。受信部202は、受信したパケットのデータを通信プロトコル判定部203へ出力する。
通信プロトコル判定部203は、受信したパケットのプロトコルを判定する。通信プロトコル判定部203は、受信したパケットのプロトコルがARPである場合に、受信したパケットのデータ、すなわちARPパケットのデータを不正PC検出部204へ出力する。
不正PC検出部204は、登録済みリスト記憶部211に格納された登録済みリスト、及び検出リスト記憶部212に格納された検出リストを参照し、受信したARPパケットの送信元のコンピュータが未登録のコンピュータである不正コンピュータであるかどうかを判定する。
監視ユニット101には、不正コンピュータ検出のため、登録済みリスト記憶部211に登録済みリストが格納され、検出リスト記憶部212に検出リストが格納される。また、監視ユニット101には、不正コンピュータ排除のため、送信リスト記憶部213に送信リストが格納される。
図4から図7を参照して、上述の登録済みリスト、検出リスト、及び送信リストをそれぞれ説明する。
登録済みリストは、登録済みコンピュータの情報を記述するリストである。登録済みリストに格納される各エントリは、一台の登録済みコンピュータのMACアドレス、IPアドレス、ホスト名等の情報を含む。図5は、各エントリの記述の例である。MACアドレスのフィールドには、機器固有のMACアドレス(物理アドレス)の値が記述される。IPアドレスのフィールドには、ネットワーク上で割り当てられたIPアドレス(ネットワークアドレス)の値が記述される。ホスト名のフィールドには、IPアドレスに基づく名前解決等によって取得された名称が記述される。登録済みリストは、セキュリティサーバ100で作成され、セキュリティサーバ100から監視ユニット101へ配布される。図2に示すネットワークでは、セキュリティサーバ100は、登録済みコンピュータ102と登録済みコンピュータ123との情報を登録済みリストに記載する。
検出リストは、監視ユニット101と同一セグメント上に存在するコンピュータで、登録済みリストに記載されていないコンピュータの情報を記述するリスト、すなわち不正コンピュータの情報を記述するリストである。検出リストに格納される各エントリは、一台の不正コンピュータのMACアドレス、IPアドレス、ホスト名等の情報を含む。登録済みリストと同様に、各エントリは図5のように記述される。MACアドレスのフィールドには、機器固有のMACアドレス(物理アドレス)の値が記述される。IPアドレスのフィールドには、ネットワーク上で割り当てられたIPアドレス(ネットワークアドレス)の値が記述される。ホスト名のフィールドには、IPアドレスに基づく名前解決等によって取得された名称が記述される。なお、ホスト名のフィールドは空欄であってもよい。
監視ユニット101の不正PC検出部204は、受信したARP要求パケット内の送信元MACアドレスが、登録済みリストに登録されていないMACアドレスである場合、ARP要求パケットの送信元コンピュータを不正コンピュータと判定し、この送信元コンピュータに関する情報を記述したエントリを検出リストへ追加する。ただし、不正PC検出部204は、該送信元コンピュータの情報が、既に検出リストに登録されている場合には、新たなエントリを追加しない。
図6に、ARPパケット部を含むイーサネット(登録商標)フレームのフォーマットを示す。
イーサネットフレームは、先頭から順に、6バイトの宛先ハードウェアアドレス(Destination HW Address)、6バイトの送信元ハードウェアアドレス(Source HW Address)、2バイトのプロトコルタイプ(Type)、最大1500バイトのデータ部(Data)、18バイトのトレーラ(Trailer)の各フィールドから構成される。
宛先ハードウェアアドレスは、イーサネットフレームの宛先である機器(ノード)のMACアドレス(物理アドレス)を示す。送信元ハードウェアアドレスは、イーサネットフレームの送信元である機器(ノード)のMACアドレス(物理アドレス)を示す。プロトコルタイプは、通信に用いる、イーサネットの上位に位置するプロトコルの種類を示す。ARPにより通信を行う場合、プロトコルタイプのフィールドには“0806h”が設定される。
データ部は、プロトコルタイプに指定したプロトコル毎に設定されるフィールドそれぞれの値を含む。プロトコルタイプにARPが指定された場合、データ部はARPパケットとして必要なフィールドにより構成される。したがって、データ部(ARPパケット部)は、2バイトのハードウェアタイプ(Hardware Type)、2バイトのプロトコルタイプ(Protocol Type)、1バイトのMACアドレス長(Hardware Length)、1バイトのIPアドレス長(Protocol Length)、2バイトの動作(Operation)、6バイトの送信元MACアドレス(Sender MAC)、4バイトの送信元IPアドレス(Sender IP)、6バイトの宛先MACアドレス(Target MAC)、及び4バイトの宛先IPアドレス(Target IP)の各フィールドから構成される。
ハードウェアタイプは、ネットワークの物理的な媒体の種類を示す。イーサネットの場合、ハードウェアタイプのフィールドには、“0001h”が設定される。
プロトコルタイプは、ARPプロトコルで取り扱うプロトコルの種類を示す。IPの場合、プロトコルタイプのフィールドには、“0800h”が設定される。
MACアドレス長は、MACアドレスの長さを示す。イーサネットの場合、MACアドレスの長さは6バイトであり、MACアドレス長のフィールドには、“06h”が設定される。
IPアドレス長は、IPアドレスの長さを示す。Version4のIP(IPv4)の場合、IPアドレスの長さは4バイトであり、IPアドレス長のフィールドには、“04h”が設定される。
動作は、ARPの動作の種類を示す。ARPによる通信では、最初に一台のコンピュータがARP要求を送信し、このARP要求に該当するコンピュータがARP応答を返す。このため、動作のフィールドには要求と応答とを判別するための値が設定される。具体的には、ARPパケットがARP要求のパケットである場合、動作のフィールドには、“0001h”が設定される。一方、ARPパケットがARP応答のパケットである場合、動作のフィールドには、“0002h”が設定される。
送信元MACアドレスは、送信元の機器(ノード)固有のMACアドレス(物理アドレス)を示す。したがって、イーサネットフレームの送信元ハードウェアアドレスのフィールドと、ARPパケット部の送信元MACアドレスのフィールドとは、同じ値が設定される。
送信元IPアドレスは、送信元の機器(ノード)に割り当てられたIPアドレス(ネットワークアドレス)を示す。
宛先MACアドレスは、宛先の機器(ノード)固有のMACアドレス(物理アドレス)を示す。したがって、イーサネットフレームの宛先ハードウェアアドレスのフィールドと、ARPパケット部の宛先MACアドレスのフィールドとは、同じ値が設定される。ARPパケットがARP要求パケットである場合(動作のフィールドにARP要求に対応する値が設定されている場合)、宛先MACアドレスは不明であるため、宛先MACアドレスのフィールドには、“0”が設定される。
宛先IPアドレスは、宛先の機器(ノード)に割り当てられたIPアドレス(ネットワークアドレス)を示す。
また、トレーラは、イーサネットフレームの末尾に付加されるデータ列である。トレーラは、誤り訂正符号等に用いられる。
上述のフォーマットに基づくARP要求パケットを受信した場合、不正PC検出部204は、まず、受信したARP要求パケットから送信元MACアドレスを抽出する。そして、不正PC検出部204は、送信元MACアドレスが登録済みリストに記載されている場合、送信元コンピュータを登録済みコンピュータであると判定する。
また、不正PC検出部204は、送信元MACアドレスが登録済みリストに記載されていない場合、送信元コンピュータを不正コンピュータであると判定する。送信元コンピュータが不正コンピュータであると判定された場合、不正PC検出部204は、受信したARP要求パケットに含まれる送信元MACアドレスと送信元IPアドレスとが記述されたエントリを検出リストへ追加し、ARP要求パケットに含まれる情報を受信時刻と共に、送信リスト記憶部213に格納される送信リストへ記述する。なお、受信したARP要求パケットに含まれる送信元MACアドレスと送信元IPアドレスとが記述されたエントリが、既に検出リストに登録されている場合には、不正PC検出部204は、検出リストにこのエントリを追加しない。
上述のように、受信したARP要求パケットに含まれる送信元MACアドレスのみに基づいて、送信元コンピュータが不正コンピュータであるかどうかを判定することで、DHCP環境でIPアドレスとMACアドレスとの対応が動的に変化する場合や、不正コンピュータがIPアドレスを偽装しているような場合でも、ARP要求パケットの送信元コンピュータが不正コンピュータであるかどうかを判定することができる。
送信リストは、図4に示すように、ネットワーク上から不正コンピュータを排除するための妨害パケットを生成し、送信するための情報を記述するリストである。妨害パケットとは、送信元MACアドレスと送信元IPアドレスとの対応関係を偽装したARP要求パケット(偽装ARP要求パケット)及びARP応答パケット(偽装ARP応答パケット)である。不正PC検出部204は、登録済みリストに登録されていない送信元MACアドレスを含むARP要求パケットを受信した場合、すなわち、不正コンピュータからブロードキャストされたARP要求を受信した場合、該ARP要求パケットの情報を含むエントリを送信リストへ追加する。
図7は、送信リストの各エントリを構成するフィールドの例を示す。
送信リストのエントリは、送信元MACアドレス、送信元IPアドレス、宛先MACアドレス、宛先IPアドレス、受信時刻、リクエスト送信フラグ等から構成される。
送信元MACアドレス(Sender MAC)は、不正コンピュータのMACアドレスを示す。したがって、送信元MACアドレスのフィールドには、不正コンピュータから送信されたARP要求に含まれる送信元MACアドレスの値が設定される。
送信元IPアドレス(Sender IP)は、不正コンピュータのIPアドレスを示す。したがって、送信元IPアドレスのフィールドには、不正コンピュータから送信されたARP要求に含まれる送信元IPアドレスの値が設定される。
宛先MACアドレス(Target MAC)は、0を示す。これは、宛先MACアドレスのフィールドに、不正コンピュータから送信されるARP要求に含まれる宛先MACアドレスの値である0が設定されるためである。
宛先IPアドレス(Target IP)は、不正コンピュータのアクセス先のコンピュータのIPアドレスを示す。したがって、宛先IPアドレスのフィールドには、不正コンピュータから送信されたARP要求に含まれる宛先IPアドレスの値が設定される。
受信時刻は、監視ユニット101が不正コンピュータから送信されたARP要求を受信した時刻を示す。
リクエスト送信フラグは、不正コンピュータのアクセス先のコンピュータへ偽装ARPリクエストパケットを送信したどうかを示す。したがって、リクエスト送信フラグのフィールドには、偽装ARPリクエストパケットが不正コンピュータのアクセス先のコンピュータへ送信済みである場合に“True”が設定され、未送信である場合に“False”が設定される。
上述のフィールドに基づくエントリが、送信リストへ追加され、監視ユニット101は、送信リストを参照して不正コンピュータを排除する処理を実行する。
監視ユニット101の宛先判定部205は、送信リストから読み出したエントリに記述された宛先IPアドレスが、監視ユニット101のIPアドレスと一致するかどうかを判定する。宛先判定部205は、この判定結果を偽装ARPリクエスト送信部207へ出力する。
ARPテーブル偽装部206は、ARPテーブル記憶部210に格納されたARPテーブルを偽装する処理を実行する。ARPテーブルは、上述したように、IPアドレスとMACアドレスとが対応づけて記述されたテーブルである。各ノードは、それぞれARPテーブルを保持し、受信したARP要求パケットに含まれる送信元IPアドレスと送信元MACアドレス、及び受信したARP応答パケットに含まれる送信元IPアドレスと送信元MACアドレスを対応づけてARPテーブルに登録する。登録しようとするIPアドレスが既にARPテーブルに登録されている場合に、ARPテーブルにおいて、該IPアドレスに対応づけられたMACアドレスは、受信したARP要求パケット又はARP応答パケットに含まれる送信元MACアドレスで上書きされる。
ARPテーブル偽装部206は、未登録コンピュータ103のIPアドレスに、監視ユニット101のMACアドレスを対応づけて、ARPテーブルを上書きする。未登録コンピュータ103のIPアドレスに偽のMACアドレスを対応づけることで、ICMPリダイレクトが有効になっている場合に、登録済みコンピュータ102から未登録コンピュータ103への通信が、監視ユニット101から未登録コンピュータ103へのリダイレクトによって成立してしまうことを防止することができる。
宛先判定部205により、送信リストから読み出したエントリに記述された宛先IPアドレスが、監視ユニット101のIPアドレスと一致しないと判定された場合に、偽装ARPリクエスト送信部207は、不正コンピュータのアクセス先のコンピュータへ偽装ARP要求パケットを送信する。偽装ARPリクエスト送信部207は、送信リストから読み出したエントリに記述された情報に基づいて、偽装ARP要求パケットを生成する。
偽装ARP要求パケットを構成する各フィールドには、以下のように値が設定される。
送信元IPアドレスのフィールドには、送信リストのエントリに記述された送信元IPアドレスが設定される。送信元MACアドレスのフィールドには、監視ユニット101のMACアドレスが設定される。宛先IPアドレスのフィールドには、送信リストのエントリに記述された宛先IPアドレスが記述される。宛先MACアドレスのフィールドには、“0”が設定される。
したがって、例えば、送信元IPアドレスのフィールドには、未登録コンピュータ103のIPアドレスが設定される。送信元MACアドレスのフィールドには、監視ユニット101のMACアドレスが設定される。宛先IPアドレスのフィールドには、登録済みコンピュータ102のIPアドレスが記述される。宛先MACアドレスのフィールドには、“0”が設定される。
偽装ARPリプライ送信部208は、不正コンピュータへ偽装ARP応答パケットを送信する。偽装ARPリプライ送信部208は、送信リストから読み出したエントリに記述された情報に基づいて、偽装ARP応答パケットを生成する。
偽装ARP応答パケットを構成する各フィールドには、以下のように値が設定される。
送信元IPアドレスのフィールドには、送信リストのエントリに記述された宛先IPアドレスが設定される。送信元MACアドレスのフィールドには、送信リストのエントリに記述された送信元MACアドレスが設定される。宛先IPアドレスのフィールドには、送信リストのエントリに記述された送信元IPアドレスが記述される。宛先MACアドレスのフィールドには、送信リストのエントリに記述された送信元MACアドレスが記述される。
したがって、例えば、送信元IPアドレスのフィールドには、登録済みコンピュータ102のIPアドレスが設定される。送信元MACアドレスのフィールドには、未登録コンピュータ103のMACアドレスが設定される。宛先IPアドレスのフィールドには、未登録コンピュータ103のIPアドレスが記述される。宛先MACアドレスのフィールドには、未登録コンピュータ103のMACアドレスが設定される。
名前解決パケット送受信部209は、検出リストに登録されたMACアドレスとIPアドレスとからなるエントリを読み出し、該IPアドレスに対応するホスト名を取得し、ホスト名を追加したエントリにより検出リストを更新する。名前解決パケット送受信部209は、IPアドレスに基づき、例えば、DNS又はNetBIOS等により名前解決を行う。検出リストの各エントリにホスト名を追加することで、ホスト名に基づくノードへのアクセスが可能になる。
図8は、本実施形態のネットワーク監視装置である監視ユニット101が、不正アクセスを排除する例を示すシーケンス図である。ここでは、不正コンピュータである未登録コンピュータ103から登録済みコンピュータ102への不正アクセスを監視ユニット101が排除することを想定する。なお、監視ユニット101のMACアドレスをMAC0、IPアドレスをIP0、登録済みコンピュータ102のMACアドレスをMAC1、IPアドレスをIP1、未登録コンピュータ103のMACアドレスをMAC2、IPアドレスIP2とする。
まず、未登録コンピュータ103は、アクセス先(攻撃先)である登録済みコンピュータ102のMACアドレスを問い合わせるARP要求パケットをブロードキャストする(S11A,S11B)。ブロードキャストによる送信であるため、監視ユニット101及び登録済みコンピュータ102は共に、ARP要求パケットを受信する。このARP要求パケットは、未登録コンピュータ103のMACアドレス(MAC2)を示す送信元MACアドレス、未登録コンピュータ103のIPアドレス(IP2)を示す送信元IPアドレス、登録済みコンピュータ102のMACアドレスを問い合わせるため“0”を示す宛先MACアドレス、及び登録済みコンピュータ102のIPアドレス(IP1)を示す宛先IPアドレスを含む。監視ユニット101及び登録済みコンピュータ102は、それぞれのARPテーブルに、未登録コンピュータ103のIPアドレス(IP2)とMACアドレス(MAC2)とを対応づけて登録する。
ブロードキャストされたARP要求パケットの宛先である登録済みコンピュータ102は、ARP要求パケットの受信に応答して、ARP応答パケットを未登録コンピュータ103へユニキャストする(S12)。このARP応答パケットは、登録済みコンピュータ102のMACアドレス(MAC1)を示す送信元MACアドレス、登録済みコンピュータ102のIPアドレス(IP1)を示す送信元IPアドレス、未登録コンピュータ103のMACアドレス(MAC2)を示す宛先MACアドレス、及び未登録コンピュータ103のIPアドレス(IP2)を示す宛先IPアドレスを含む。ユニキャストによる送信であるため、未登録コンピュータ103のみがARP応答パケットを受信し、監視ユニット101はARP応答パケットを受信できない。未登録コンピュータ103は、ARPテーブルに、登録済みコンピュータ102のIPアドレス(IP1)とMACアドレス(MAC1)とを対応づけて登録する。これにより、未登録コンピュータ103と登録済みコンピュータ102との間で、パケットの送受信が可能となる。
また、監視ユニット101は、自身のARPテーブルに対応づけて登録された、未登録コンピュータ103のIPアドレス(IP2)とMACアドレス(MAC2)とを書き換えて偽装する。監視ユニット101は、未登録コンピュータ103のIPアドレス(IP2)に対して、監視ユニット101のMACアドレス(MAC0)を対応づけて登録する。これにより、登録済みコンピュータ102から未登録コンピュータ103への通信が、監視ユニット101のリダイレクト機能により成立してしまうことを防止する。
そして、監視ユニット101は、登録済みコンピュータ102のARPテーブルに登録された、未登録コンピュータ103のIPアドレス(IP2)とMACアドレス(MAC2)とを書き換えるために、未登録コンピュータ103のMACアドレスを監視ユニット101のMACアドレス(MAC0)に偽装した偽装ARP要求パケットをブロードキャストする(S13A,S13B)。したがって、偽装ARP要求パケットは、監視ユニット101のMACアドレス(MAC0)を示す送信元MACアドレス、未登録コンピュータ103のIPアドレス(IP2)を示す送信元IPアドレス、登録済みコンピュータ102のMACアドレスを問い合わせるため“0”を示す宛先MACアドレス、及び登録済みコンピュータ102のIPアドレス(IP1)を示す宛先IPアドレスを含む。また、ブロードキャストによる送信であるため、未登録コンピュータ103及び登録済みコンピュータ102は共に偽装ARP要求パケットを受信するが、未登録コンピュータ103は自身が宛先ではないため、偽装ARP要求パケットを無視する。登録済みコンピュータ102は、ARPテーブルに、未登録コンピュータ103のIPアドレス(IP2)と監視ユニット101のMACアドレス(MAC0)とを対応づけて登録する。これにより、登録済みコンピュータ102から未登録コンピュータ103へのパケットの送信を妨害することができる。
登録済みコンピュータ102は、偽装ARP要求パケットの受信に応答して、ARP応答パケットを監視ユニット101へユニキャストする(S14)。このARP応答パケットは、登録済みコンピュータ102のMACアドレス(MAC1)を示す送信元MACアドレス、登録済みコンピュータ102のIPアドレス(IP1)を示す送信元IPアドレス、監視ユニット101のMACアドレス(MAC0)を示す宛先MACアドレス、及び未登録コンピュータ103のIPアドレス(IP2)を示す宛先IPアドレスを含む。監視ユニット101は、ARPテーブルに、登録済みコンピュータ102のIPアドレス(IP1)とMACアドレス(MAC1)とを対応づけて登録する。
登録済みコンピュータ102からのARP応答パケットを受信した監視ユニット101は、登録済みコンピュータ102から未登録コンピュータ103へ通常のARP応答パケットが送信(S12)されたものと判断する。そして、監視ユニット101は、未登録コンピュータ103へ、登録済みコンピュータ102のMACアドレスがMAC2(未登録コンピュータ103のMACアドレス)であると偽装する偽装ARP応答パケットをユニキャストする(S15)。したがって、この偽装ARP応答パケットは、未登録コンピュータ103のMACアドレス(MAC2)を示す送信元MACアドレス、登録済みコンピュータ102のIPアドレス(IP1)を示す送信元IPアドレス、未登録コンピュータ103のMACアドレス(MAC2)を示す宛先MACアドレス、及び未登録コンピュータ103のIPアドレス(IP2)を示す宛先IPアドレスを含む。未登録コンピュータ103は、ARPテーブルに、登録済みコンピュータ102のIPアドレス(IP1)と未登録コンピュータ103のMACアドレス(MAC2)とを対応づけて登録する。これにより、未登録コンピュータ103から登録済みコンピュータ102へのパケットの送信を妨害することができる。
以上の処理の結果、各ノードのARPテーブルは図9のように記述される。
未登録コンピュータ103のARPテーブルには、登録済みコンピュータ102のIPアドレス(IP1)に、未登録コンピュータ103のMACアドレス(MAC2)が対応づけて登録される。監視ユニット101のARPテーブルには、登録済みコンピュータ102のIPアドレス(IP1)とMACアドレス(MAC1)、及び未登録コンピュータ103のIPアドレス(IP2)と監視ユニット101のMACアドレス(MAC0)が、それぞれ対応づけて登録される。登録済みコンピュータ102のARPテーブルには、未登録コンピュータ103のIPアドレス(IP2)に、監視ユニット101のMACアドレス(MAC0)が対応づけて登録される。
各ノードのARPテーブルが上述のように記載されることにより、未登録コンピュータ103から登録済みコンピュータ102へのパケットの送信、登録済みコンピュータ102から未登録コンピュータ103へのパケットの送信、及び監視ユニット101のリダイレクト機能を用いた登録済みコンピュータ102から未登録コンピュータ103へのパケットの送信を妨害することができる。
なお、上述したように、未登録コンピュータ103が登録済みコンピュータ102へARP要求パケットを送信(S11A)し、登録済みコンピュータ102からのARP応答パケットを受信(S12)してから、監視ユニット101からの偽装ARP応答パケットを受信(S15)するまで、未登録コンピュータ103は登録済みコンピュータ102へパケットを送信することができる。このため、監視ユニット101は、未登録コンピュータ103からのブロードキャストによるARP要求パケットを受信(S11B)した後、速やかに、登録済みコンピュータ102へ偽装ARP要求パケットを送信し、登録済みコンピュータ102から未登録コンピュータ103へのパケットの送信(返信)を妨害する。
また、監視ユニット101から送信される偽装ARP応答パケット(S15)は、登録済みコンピュータ102から送信される通常のARP応答パケット(S12)よりも後に、未登録コンピュータ103に受信される必要がある。これは、未登録コンピュータ103のARPテーブルに、通常のARP応答パケットに基づいて、登録済みコンピュータ102のIPアドレス(IP1)とMACアドレス(MAC1)とを対応づけて登録した後、偽装ARP応答パケットに基づいて、登録済みコンピュータ102のIPアドレス(IP1)に対応づけられるMACアドレスを未登録コンピュータ103のMACアドレス(MAC2)に更新して登録するためである。
偽装ARP要求パケット(S13A)は、未登録コンピュータ103により送信されたARP要求パケット(S11A)よりも後に、登録済みコンピュータ102に到達するため、ARP要求パケット(S11A)に応答するARP応答パケット(S12)が送信された後に、偽装ARP要求パケット(S13A)に応答するARP応答パケット(S14)が登録済みコンピュータ102から送信される。したがって、監視ユニット101は、登録済みコンピュータ102から送信される偽装ARP要求パケット(S13A)に対するARP応答パケット(S14)を待って、受信後に、未登録コンピュータ103へ偽装ARP応答パケットを送信(S15)することで、偽装ARP応答パケット(S15)を登録済みコンピュータ102から送信される通常のARP応答パケット(S12)よりも後に、未登録コンピュータ103に受信させることができる。
なお、偽装ARP応答パケット(S15)は、偽装ARP要求パケットであってもよい。この偽装ARP要求パケットは、未登録コンピュータ103のMACアドレス(MAC2)を示す送信元MACアドレス、登録済みコンピュータ102のIPアドレス(IP1)を示す送信元IPアドレス、未登録コンピュータ103のMACアドレスを問い合わせるため“0”を示す宛先MACアドレス、及び未登録コンピュータ103のIPアドレス(IP2)を示す宛先IPアドレスを含む。但し、この偽装ARP要求パケットを未登録コンピュータ103へ送信した場合、未登録コンピュータ103は、この偽装ARP要求パケットに応答するARP応答パケットを送信するため、ネットワーク上に不要なパケットが送出される可能性がある。
監視ユニット101は、以下のような手順でも未登録コンピュータ103と登録済みコンピュータとの間の通信を妨害することができる。すなわち、監視ユニット101は、未登録コンピュータ103(不正コンピュータ)からのARP要求パケットを受信し、所定の時間だけ待った後に、未登録コンピュータ103へ偽装ARP応答パケットを送信する。そして、監視ユニット101は、通信相手である登録済みコンピュータ102へ偽装ARP要求パケットを送信する。
しかし、この場合、未登録コンピュータ103が登録済みコンピュータ102からのARP応答パケットを受信した後に、未登録コンピュータ103に偽装ARP応答パケットを受信させるために、監視ユニット101は、上述のように、未登録コンピュータ103からのARP要求パケットを受信した後、所定の時間だけ待つ必要がある。しかし、所定の時間だけ待つ間、監視ユニット101は、未登録コンピュータ103から登録済みコンピュータ102への不正アクセス、及び登録済みコンピュータ102から未登録コンピュータ103へのアクセス(応答)を排除することができない。また、この所定の時間として十分な時間を確保しなければ、未登録コンピュータ103へ偽装ARP応答パケットを再送しなければならなくなる可能性がある。
本実施形態のネットワーク監視装置である監視ユニット101は、先に、未登録コンピュータ103の通信相手である登録済みコンピュータ102へ偽装ARP要求パケットを送信する。これにより、登録済みコンピュータ102から未登録コンピュータ103への通信が可能となる時間を短縮することができる。そして、登録済みコンピュータ102からの偽装ARP要求パケットに対するARP応答パケットを受信したことをトリガとして、監視ユニット101は、未登録コンピュータ103へ偽装ARP応答パケットを送信する。このため、監視ユニット101は、待ち時間なく、登録済みコンピュータ102から未登録コンピュータ103へのアクセス(応答)を排除することができる。また、偽装ARP要求パケットに対するARP応答パケットを、登録済みコンピュータ102から受信したことに応答して、偽装ARP応答パケットを未登録コンピュータ103へ送信することで、登録済みコンピュータ102から未登録コンピュータ103へのARP応答パケットよりも後に、偽装ARP応答パケットを未登録コンピュータ103に受信させることができる。したがって、上述の方法において発生する可能性がある、待ち時間が短いことによる偽装ARP応答パケットの再送(リトライ)が、本実施形態では発生しない。また、偽装ARP要求パケットに対するARP応答パケットをトリガとするため、本実施形態では、余分な待ち時間を確保する必要がなく、未登録コンピュータ103(不正コンピュータ)と登録済みコンピュータ102との間で通信が可能となる時間を短縮することができる。
さらに、偽装ARP応答パケットは、未登録コンピュータ103のMACアドレス(MAC2)を送信元MACアドレスとして含む。つまり、未登録コンピュータ103のARPテーブルには、未登録コンピュータ103のMACアドレス(MAC2)と登録済みコンピュータ102のIPアドレス(IP1)とのペアが登録される。未登録コンピュータ103自身のMACアドレスをARPテーブルに登録することで、ネットワーク上に、不正なパケットが送出されず、不正なパケットによるトラフィックの増加を抑制することができる。なお、偽装ARP応答パケットに含まれる送信元MACアドレスは、監視ユニット101のMACアドレス(MAC0)であってもよい。この場合、監視ユニット101により、未登録コンピュータ103から送信される不正なパケットを監視することができる。
また、監視ユニット101は、未登録コンピュータ103から送信されるGratuitous ARPパケット受信した場合、このパケットを無視する。
Gratuitous ARPとは、宛先IPアドレスのフィールドに自身のIPアドレスを設定したARP要求パケットである。Gratuitous ARPは、通常、IPアドレスの重複を確認するために用いられる。宛先IPアドレスのフィールドに自身のIPアドレスを設定したARP要求パケットをブロードキャストした場合、重複したIPアドレスを持つ他のノードがなければ、このARP要求パケットに対する応答はない。しかし、重複したIPアドレスを持つ他のノードがある場合には、そのノードからARP応答パケットが返信される。したがって、ARP応答パケットが返信されるかどうかによって、IPアドレスの重複を確認することができる。
監視ユニット101がGratuitous ARPパケットを無視するのは、未登録コンピュータ103のオペレーティングシステム(OS)が、例えば、Windows Vista(登録商標)やWindows(登録商標) Server 2008であって、“DHCPからIPアドレスを取得する”設定になっている場合に、DHCPサーバでリース可能なIPアドレスが無くなるという問題が生じる可能性があるためである。監視ユニット101が、未登録コンピュータ103からGratuitous ARPパケットを受信し、未登録コンピュータ103へ偽装ARP要求パケットを送信(S13B)すると、未登録コンピュータ103は、現在使用中のIPアドレスが無効であると判定し、DHCPサーバに対して再度IPアドレスを要求する。したがって、上述の処理が繰り返されると、DHCPサーバでリース可能なIPアドレスが枯渇してしまう。このため、監視ユニット101は、未登録コンピュータ103から送信されるGratuitous ARPパケット受信した場合、このパケットを無視する。
図10は、監視ユニット101による不正コンピュータ排除処理の手順を示すフローチャートである。
まず、監視ユニット101は、他のノードから送信されたパケットを受信する(ステップS101)。次に、監視ユニット101は、受信したパケットがARP要求パケットであるかどうかを判定する(ステップS102)。受信したパケットがARP要求パケットであるかどうかは、上述したように、パケットに含まれるプロトコルタイプのフィールド設定された値等に基づいて判定することができる。
受信したパケットがARP要求パケットである場合(ステップS102のYES)、監視ユニット101は、受信したパケットがGratuitous ARPパケットであるかどうかを判定する(ステップS103)。なお、受信したパケットに含まれる送信元IPアドレスのフィールドに“0”の値が設定されているか、送信元IPアドレスと宛先IPアドレスとが等しい場合に、受信したパケットはGratuitous ARPパケットであると判定される。
受信したパケットがGratuitous ARPパケットでない場合(ステップS103のNO)、監視ユニット101は、受信したパケットに含まれる送信元MACアドレスが登録済みリストに記載されているかどうかを判定する(ステップS104)。
受信したパケットに含まれる送信元MACアドレスが登録済みリストに記載されていない場合(ステップS104のNO)、監視ユニット101は、受信したパケットの送信元のコンピュータを不正コンピュータであると判定し、該不正コンピュータのアクセス先のコンピュータへ偽装ARP要求パケットを送信する(ステップS105)。監視ユニット101は、自身のARPテーブルを偽装する(ステップS106)。
次いで、監視ユニット101は、不正コンピュータのアクセス先のコンピュータからARP応答パケットを受信する(ステップS107)。そして、監視ユニット101は、不正コンピュータへ偽装ARP応答パケットを送信する(ステップS108)。
以上の処理により、監視ユニット101は、不正コンピュータによる他のコンピュータへのアクセス、及び他のコンピュータから不正コンピュータへのアクセスを排除することができる。
図11は、本実施形態のネットワーク監視装置である監視ユニット101が、不正アクセスを排除する別の例を示すシーケンス図である。図8に示したシーケンス図と同様に、不正コンピュータである未登録コンピュータ103から登録済みコンピュータ102への不正アクセスを監視ユニット101が排除することを想定する。なお、監視ユニット101のMACアドレスをMAC0、IPアドレスをIP0、登録済みコンピュータ102のMACアドレスをMAC1、IPアドレスをIP1、未登録コンピュータ103のMACアドレスをMAC2、IPアドレスIP2とする。また、MAC3をいずれのノードにも割り当てられていない架空のMACアドレスとする。
まず、未登録コンピュータ103は、アクセス先(攻撃先)である登録済みコンピュータ102のMACアドレスを問い合わせるARP要求パケットをブロードキャストする(S21A,S21B)。ブロードキャストによる送信であるため、監視ユニット101及び登録済みコンピュータ102は共に、ARP要求パケットを受信する。このARP要求パケットは、未登録コンピュータ103のMACアドレス(MAC2)を示す送信元MACアドレス、未登録コンピュータ103のIPアドレス(IP2)を示す送信元IPアドレス、登録済みコンピュータ102のMACアドレスを問い合わせるため“0”を示す宛先MACアドレス、及び登録済みコンピュータ102のIPアドレス(IP1)を示す宛先IPアドレスを含む。監視ユニット101及び登録済みコンピュータ102は、それぞれのARPテーブルに、未登録コンピュータ103のIPアドレス(IP2)とMACアドレス(MAC2)とを対応づけて登録する。
ブロードキャストされたARP要求パケットの宛先である登録済みコンピュータ102は、ARP要求パケットの受信に応答して、ARP応答パケットを未登録コンピュータ103へユニキャストする(S22)。このARP応答パケットは、登録済みコンピュータ102のMACアドレス(MAC1)を示す送信元MACアドレス、登録済みコンピュータ102のIPアドレス(IP1)を示す送信元IPアドレス、未登録コンピュータ103のMACアドレス(MAC2)を示す宛先MACアドレス、及び未登録コンピュータ103のIPアドレス(IP2)を示す宛先IPアドレスを含む。ユニキャストによる送信であるため、未登録コンピュータ103のみがARP応答パケットを受信し、監視ユニット101はARP応答パケットを受信できない。未登録コンピュータ103は、ARPテーブルに、登録済みコンピュータ102のIPアドレス(IP1)とMACアドレス(MAC1)とを対応づけて登録する。これにより、未登録コンピュータ103と登録済みコンピュータ102との間で、パケットの送受信が可能となる。
そして、監視ユニット101は、登録済みコンピュータ102のARPテーブルに登録された、未登録コンピュータ103のIPアドレス(IP2)とMACアドレス(MAC2)とを書き換えるために、未登録コンピュータ103のMACアドレスを架空のMACアドレスに偽装した偽装ARP要求パケットをブロードキャストする(S23A,S23B)。したがって、偽装ARP要求パケットは、架空のMACアドレス(MAC3)を示す送信元MACアドレス、未登録コンピュータ103のIPアドレス(IP2)を示す送信元IPアドレス、登録済みコンピュータ102のMACアドレスを問い合わせるため“0”を示す宛先MACアドレス、及び登録済みコンピュータ102のIPアドレス(IP1)を示す宛先IPアドレスを含む。また、ブロードキャストによる送信であるため、未登録コンピュータ103及び登録済みコンピュータ102は共に偽装ARP要求パケットを受信するが、未登録コンピュータ103は自身が宛先ではないため、偽装ARP要求パケットを無視する。登録済みコンピュータ102は、ARPテーブルに、未登録コンピュータ103のIPアドレス(IP2)と架空のMACアドレス(MAC3)とを対応づけて登録する。これにより、登録済みコンピュータ102から未登録コンピュータ103へのパケットの送信を妨害することができる。
登録済みコンピュータ102は、偽装ARP要求パケットの受信に応答して、ARP応答パケットを架空のコンピュータへユニキャストする(S24)。このARP応答パケットは、登録済みコンピュータ102のMACアドレス(MAC1)を示す送信元MACアドレス、登録済みコンピュータ102のIPアドレス(IP1)を示す送信元IPアドレス、架空のMACアドレス(MAC3)を示す宛先MACアドレス、及び未登録コンピュータ103のIPアドレス(IP2)を示す宛先IPアドレスを含む。このARP応答パケットは、宛先MACアドレスが架空のMACアドレス(MAC3)に偽装されているため、架空のコンピュータへ送信され、未登録コンピュータ103によって受信されることはない。
そして、監視ユニット101は、未登録コンピュータ103からARP要求パケットを受信(S21B)してから所定の期間(例えば5秒)が経過した後、未登録コンピュータ103へ、登録済みコンピュータ102のMACアドレスがMAC3(架空のMACアドレス)であると偽装する偽装ARP応答パケットをユニキャストする(S25)。したがって、この偽装ARP応答パケットは、架空のMACアドレス(MAC3)を示す送信元MACアドレス、登録済みコンピュータ102のIPアドレス(IP1)を示す送信元IPアドレス、未登録コンピュータ103のMACアドレス(MAC2)を示す宛先MACアドレス、及び未登録コンピュータ103のIPアドレス(IP2)を示す宛先IPアドレスを含む。未登録コンピュータ103は、ARPテーブルに、登録済みコンピュータ102のIPアドレス(IP1)と架空のMACアドレス(MAC3)とを対応づけて登録する。これにより、未登録コンピュータ103から登録済みコンピュータ102へのパケットの送信を妨害することができる。
以上の処理の結果、各ノードのARPテーブルは図12のように記述される。
未登録コンピュータ103のARPテーブルには、登録済みコンピュータ102のIPアドレス(IP1)に、架空のMACアドレス(MAC3)が対応づけて登録される。監視ユニット101のARPテーブルには、未登録コンピュータ103のIPアドレス(IP2)に、未登録コンピュータ103のMACアドレス(MAC2)が対応づけて登録される。登録済みコンピュータ102のARPテーブルには、未登録コンピュータ103のIPアドレス(IP2)に、架空のMACアドレス(MAC3)が対応づけて登録される。
各ノードのARPテーブルが上述のように記載されることにより、未登録コンピュータ103から登録済みコンピュータ102へのパケットの送信、及び登録済みコンピュータ102から未登録コンピュータ103へのパケットの送信を妨害することができる。
また、架空のMACアドレスを用いて、不正アクセスを排除する処理を実行することで、処理を簡素化することができる。
なお、偽装ARP応答パケット(S25)は、偽装ARP要求パケットであってもよい。この偽装ARP要求パケットは、架空のMACアドレス(MAC3)を示す送信元MACアドレス、登録済みコンピュータ102のIPアドレス(IP1)を示す送信元IPアドレス、未登録コンピュータ103のMACアドレスを問い合わせるため“0”を示す宛先MACアドレス、及び未登録コンピュータ103のIPアドレス(IP2)を示す宛先IPアドレスを含む。但し、この偽装ARP要求パケットを未登録コンピュータ103へ送信した場合、未登録コンピュータ103は、この偽装ARP要求パケットに応答するARP応答パケットを送信するため、ネットワーク上に不要なパケットが送出される可能性がある。
図13は、監視ユニット101による不正コンピュータ排除処理の別の手順を示すフローチャートである。
まず、監視ユニット101は、他のノードから送信されたパケットを受信する(ステップS201)。次に、監視ユニット101は、受信したパケットがARP要求パケットであるかどうかを判定する(ステップS202)。受信したパケットがARP要求パケットであるかどうかは、上述したように、パケットに含まれるプロトコルタイプのフィールド設定された値等に基づいて判定することができる。
受信したパケットがARP要求パケットである場合(ステップS202のYES)、監視ユニット101は、受信したパケットがGratuitous ARPパケットであるかどうかを判定する(ステップS203)。なお、受信したパケットに含まれる送信元IPアドレスのフィールドに“0”の値が設定されているか、送信元IPアドレスと宛先IPアドレスとが等しい場合に、受信したパケットはGratuitous ARPパケットであると判定される。
受信したパケットがGratuitous ARPパケットでない場合(ステップS203のNO)、監視ユニット101は、受信したパケットに含まれる送信元MACアドレスが登録済みリストに記載されているかどうかを判定する(ステップS204)。
受信したパケットに含まれる送信元MACアドレスが登録済みリストに記載されていない場合(ステップS204のNO)、監視ユニット101は、受信したパケットの送信元のコンピュータを不正コンピュータであると判定し、該不正コンピュータのアクセス先のコンピュータへ偽装ARP要求パケットを送信する(ステップS205)。
次いで、監視ユニット101は、不正コンピュータからARP要求パケットを受信してから所定の期間が経過するまで、処理の実行を待つ(ステップS206)。不正コンピュータからARP要求パケットを受信してから所定の期間が経過すると、監視ユニット101は、不正コンピュータへ偽装ARP応答パケットを送信する(ステップS207)。
以上の処理により、監視ユニット101は、不正コンピュータによる他のコンピュータへのアクセス、及び他のコンピュータから不正コンピュータへのアクセスを排除することができる。
図14は、本実施形態のネットワーク監視装置である監視ユニット101が、不正アクセスを排除する他の例を示すシーケンス図である。ここでは、登録済みコンピュータ102から不正コンピュータである未登録コンピュータ103への不正アクセスを監視ユニット101が排除することを想定する。なお、監視ユニット101のMACアドレスをMAC0、IPアドレスをIP0、登録済みコンピュータ102のMACアドレスをMAC1、IPアドレスをIP1、未登録コンピュータ103のMACアドレスをMAC2、IPアドレスIP2とする。
まず、登録済みコンピュータ102は、アクセス先である未登録コンピュータ103のMACアドレスを問い合わせるARP要求パケットをブロードキャストする(S31A,S31B)。ブロードキャストによる送信であるため、監視ユニット101及び未登録コンピュータ103は共に、ARP要求パケットを受信する。このARP要求パケットは、登録済みコンピュータ102のMACアドレス(MAC1)を示す送信元MACアドレス、登録済みコンピュータ102のIPアドレス(IP1)を示す送信元IPアドレス、未登録コンピュータ103のMACアドレスを問い合わせるため“0”を示す宛先MACアドレス、及び未登録コンピュータ103のIPアドレス(IP2)を示す宛先IPアドレスを含む。監視ユニット101及び未登録コンピュータ103は、それぞれのARPテーブルに、登録済みコンピュータ102のIPアドレス(IP1)とMACアドレス(MAC1)とを対応づけて登録する。
ブロードキャストされたARP要求パケットの宛先である未登録コンピュータ103は、ARP要求パケットの受信に応答して、ARP応答パケットを登録済みコンピュータ102へユニキャストする(S32)。このARP応答パケットは、未登録コンピュータ103のMACアドレス(MAC2)を示す送信元MACアドレス、未登録コンピュータ103のIPアドレス(IP2)を示す送信元IPアドレス、登録済みコンピュータ102のMACアドレス(MAC1)を示す宛先MACアドレス、及び登録済みコンピュータ102のIPアドレス(IP1)を示す宛先IPアドレスを含む。ユニキャストによる送信であるため、登録済みコンピュータ102のみがARP応答パケットを受信し、監視ユニット101はARP応答パケットを受信できない。登録済みコンピュータ102は、ARPテーブルに、未登録コンピュータ103のIPアドレス(IP2)とMACアドレス(MAC2)とを対応づけて登録する。これにより、未登録コンピュータ103と登録済みコンピュータ102との間で、パケットの送受信が可能となる。
監視ユニット101は、登録済みコンピュータ102からブロードキャストされたARP要求パケットを受信(S31B)し、ARP要求パケットの宛先のコンピュータである未登録コンピュータ103が不正コンピュータであるかどうかを判定する。具体的には、監視ユニット101は、ARP要求パケットに含まれる宛先IPアドレス(IP2)が検出リストに記載されているかどうかを判定する。ARP要求パケットに含まれる宛先IPアドレス(IP2)が検出リストに記載されている場合、監視ユニット101は、検出リストにおいて宛先IPアドレス(IP2)に対応づけられたMACアドレス(MAC2)を取得する。そして、検出リストに記載されている場合、監視ユニット101は、未登録コンピュータ103による不正アクセスを排除するための以下の処理を実行する。
監視ユニット101は、登録済みコンピュータ102のARPテーブルに登録された、未登録コンピュータ103のIPアドレス(IP2)とMACアドレス(MAC2)とを書き換えるために、未登録コンピュータ103のMACアドレスを監視ユニット101のMACアドレスに偽装した偽装ARP要求パケットをブロードキャストする(S33A,S33B)。したがって、偽装ARP要求パケットは、監視ユニット101のMACアドレス(MAC0)を示す送信元MACアドレス、未登録コンピュータ103のIPアドレス(IP2)を示す送信元IPアドレス、登録済みコンピュータ102のMACアドレスを問い合わせるため“0”を示す宛先MACアドレス、及び登録済みコンピュータ102のIPアドレス(IP1)を示す宛先IPアドレスを含む。また、ブロードキャストによる送信であるため、未登録コンピュータ103及び登録済みコンピュータ102は共に偽装ARP要求パケットを受信するが、未登録コンピュータ103は自身が宛先ではないため、偽装ARP要求パケットを無視する。登録済みコンピュータ102は、ARPテーブルに、未登録コンピュータ103のIPアドレス(IP2)と監視ユニット101のMACアドレス(MAC0)とを対応づけて登録する。これにより、登録済みコンピュータ102から未登録コンピュータ103へのパケットの送信を妨害することができる。
登録済みコンピュータ102は、偽装ARP要求パケットの受信に応答して、ARP応答パケットを監視ユニット101へユニキャストする(S34)。このARP応答パケットは、登録済みコンピュータ102のMACアドレス(MAC1)を示す送信元MACアドレス、登録済みコンピュータ102のIPアドレス(IP1)を示す送信元IPアドレス、監視ユニット101のMACアドレス(MAC0)を示す宛先MACアドレス、及び未登録コンピュータ103のIPアドレス(IP2)を示す宛先IPアドレスを含む。監視ユニット101は、ARPテーブルに、登録済みコンピュータ102のIPアドレス(IP1)とMACアドレス(MAC1)とを対応づけて登録する。
登録済みコンピュータ102からのARP応答パケットを受信した監視ユニット101は、未登録コンピュータ103から登録済みコンピュータ102へ通常のARP応答パケットが送信(S32)されたものと判断する。そして、監視ユニット101は、未登録コンピュータ103へ、登録済みコンピュータ102のMACアドレスがMAC2(未登録コンピュータ103のMACアドレス)であると偽装する偽装ARP応答パケットをユニキャストする(S35)。したがって、この偽装ARP応答パケットは、未登録コンピュータ103のMACアドレス(MAC2)を示す送信元MACアドレス、登録済みコンピュータ102のIPアドレス(IP1)を示す送信元IPアドレス、未登録コンピュータ103のMACアドレス(MAC2)を示す宛先MACアドレス、及び未登録コンピュータ103のIPアドレス(IP2)を示す宛先IPアドレスを含む。未登録コンピュータ103は、ARPテーブルに、登録済みコンピュータ102のIPアドレス(IP1)と未登録コンピュータ103のMACアドレス(MAC2)とを対応づけて登録する。これにより、未登録コンピュータ103から登録済みコンピュータ102へのパケットの送信を妨害することができる。
以上の処理の結果、各ノードのARPテーブルは図15のように記述される。
未登録コンピュータ103のARPテーブルには、登録済みコンピュータ102のIPアドレス(IP1)に、未登録コンピュータ103のMACアドレス(MAC2)が対応づけて登録される。監視ユニット101のARPテーブルには、登録済みコンピュータ102のIPアドレス(IP1)に、登録済みコンピュータ102のMACアドレス(MAC1)が対応づけて登録される。登録済みコンピュータ102のARPテーブルには、未登録コンピュータ103のIPアドレス(IP2)に、監視ユニット101のMACアドレス(MAC0)が対応づけて登録される。
各ノードのARPテーブルが上述のように記載されることにより、未登録コンピュータ103から登録済みコンピュータ102へのパケットの送信、登録済みコンピュータ102から未登録コンピュータ103へのパケットの送信を妨害することができる。
なお、登録済みコンピュータ102から未登録コンピュータ103への不正アクセスを排除する処理に、図11に示したシーケンス図の場合と同様に、いずれのノードにも割り当てられていない架空のMACアドレス(MAC3)を用いることもできる。
また、偽装ARP応答パケット(S35)は、偽装ARP要求パケットであってもよい。この偽装ARP要求パケットは、未登録コンピュータ103のMACアドレス(MAC2)を示す送信元MACアドレス、登録済みコンピュータ102のIPアドレス(IP1)を示す送信元IPアドレス、未登録コンピュータ103のMACアドレスを問い合わせるため“0”を示す宛先MACアドレス、及び未登録コンピュータ103のIPアドレス(IP2)を示す宛先IPアドレスを含む。但し、この偽装ARP要求パケットを未登録コンピュータ103へ送信した場合、未登録コンピュータ103は、この偽装ARP要求パケットに応答するARP応答パケットを送信するため、ネットワーク上に不要なパケットが送出される可能性がある。
登録済みコンピュータ102から未登録コンピュータ103への不正アクセスを排除する処理に、架空のMACアドレスを用いた場合、各ノードのARPテーブルは図16のように記述される。
未登録コンピュータ103のARPテーブルには、登録済みコンピュータ102のIPアドレス(IP1)に、架空のMACアドレス(MAC3)が対応づけて登録される。監視ユニット101のARPテーブルには、登録済みコンピュータ102のIPアドレス(IP1)に、登録済みコンピュータ102のMACアドレス(MAC1)が対応づけて登録される。登録済みコンピュータ102のARPテーブルには、未登録コンピュータ103のIPアドレス(IP2)に、架空のMACアドレス(MAC3)が対応づけて登録される。
各ノードのARPテーブルが上述のように記載されることにより、未登録コンピュータ103から登録済みコンピュータ102へのパケットの送信、登録済みコンピュータ102から未登録コンピュータ103へのパケットの送信を妨害することができる。
図17は、本実施形態のネットワーク監視装置である監視ユニット101が、不正アクセスを排除するさらに別の例を示すシーケンス図である。ここでは、不正コンピュータである未登録コンピュータ103から監視ユニット101への不正アクセスを監視ユニット101が排除することを想定する。なお、監視ユニット101のMACアドレスをMAC0、IPアドレスをIP0、未登録コンピュータ103のMACアドレスをMAC2、IPアドレスIP2とする。
まず、未登録コンピュータ103は、アクセス先(攻撃先)である監視ユニット101のMACアドレスを問い合わせるARP要求パケットをブロードキャストする(S41)。このARP要求パケットは、未登録コンピュータ103のMACアドレス(MAC2)を示す送信元MACアドレス、未登録コンピュータ103のIPアドレス(IP2)を示す送信元IPアドレス、監視ユニット101のMACアドレスを問い合わせるため“0”を示す宛先MACアドレス、及び監視ユニット101のIPアドレス(IP0)を示す宛先IPアドレスを含む。監視ユニット101は、ARPテーブルに、未登録コンピュータ103のIPアドレス(IP2)とMACアドレス(MAC2)とを対応づけて登録する。
ブロードキャストされたARP要求パケットの宛先である監視ユニット101は、ARP要求パケットの受信に応答して、ARP応答パケットを未登録コンピュータ103へユニキャストする(S42)。このARP応答パケットは、監視ユニット101のMACアドレス(MAC0)を示す送信元MACアドレス、監視ユニット101のIPアドレス(IP0)を示す送信元IPアドレス、未登録コンピュータ103のMACアドレス(MAC2)を示す宛先MACアドレス、及び未登録コンピュータ103のIPアドレス(IP2)を示す宛先IPアドレスを含む。未登録コンピュータ103は、ARPテーブルに、監視ユニット101のIPアドレス(IP0)とMACアドレス(MAC0)とを対応づけて登録する。これにより、未登録コンピュータ103と監視ユニット101との間で、パケットの送受信が可能となる。
また、監視ユニット101は、自身のARPテーブルに対応づけて登録された、未登録コンピュータ103のIPアドレス(IP2)とMACアドレス(MAC2)とを書き換えて偽装する。監視ユニット101は、未登録コンピュータ103のIPアドレス(IP2)に対して、監視ユニット101のMACアドレス(MAC0)を対応づけて登録する。
そして、監視ユニット101は、未登録コンピュータ103へ、監視ユニット101のMACアドレスがMAC2(未登録コンピュータ103のMACアドレス)であると偽装する偽装ARP応答パケットをユニキャストする(S43)。したがって、この偽装ARP応答パケットは、未登録コンピュータ103のMACアドレス(MAC2)を示す送信元MACアドレス、監視ユニット101のIPアドレス(IP0)を示す送信元IPアドレス、未登録コンピュータ103のMACアドレス(MAC2)を示す宛先MACアドレス、及び未登録コンピュータ103のIPアドレス(IP2)を示す宛先IPアドレスを含む。未登録コンピュータ103は、ARPテーブルに、監視ユニット101のIPアドレス(IP0)と未登録コンピュータ103のMACアドレス(MAC2)とを対応づけて登録する。これにより、未登録コンピュータ103から監視ユニット101へのパケットの送信を妨害することができる。
以上の処理の結果、各ノードのARPテーブルは図18のように記述される。
未登録コンピュータ103のARPテーブルには、監視ユニット101のIPアドレス(IP0)に、未登録コンピュータ103のMACアドレス(MAC2)が対応づけて登録される。監視ユニット101のARPテーブルには、未登録コンピュータ103のIPアドレス(IP2)に、監視ユニット101のMACアドレス(MAC0)が対応づけて登録される。
各ノードのARPテーブルが上述のように記載されることにより、未登録コンピュータ103から監視ユニット101へのパケットの送信、及び監視ユニット101から未登録コンピュータ103へのパケットの送信を妨害することができる。
なお、監視ユニット101から未登録コンピュータ103への偽装ARP応答パケットの送信(S43)は、監視ユニット101から未登録コンピュータ103へのARP応答パケットの送信(S42)の直後に行う。これにより、監視ユニット101と未登録コンピュータ103との間で通信が可能となる時間をごく短時間に抑えることができる。
また、上述の未登録コンピュータ103による不正アクセスを排除する処理に、図11に示すシーケンス図と同様に、いずれのノードにも割り当てられていない架空のMACアドレスを用いてもよい。
なお、偽装ARP応答パケット(S43)は、偽装ARP要求パケットであってもよい。この偽装ARP要求パケットは、未登録コンピュータ103のMACアドレス(MAC2)を示す送信元MACアドレス、監視ユニット101のIPアドレス(IP0)を示す送信元IPアドレス、未登録コンピュータ103のMACアドレスを問い合わせるため“0”を示す宛先MACアドレス、及び未登録コンピュータ103のIPアドレス(IP2)を示す宛先IPアドレスを含む。但し、この偽装ARP要求パケットを未登録コンピュータ103へ送信した場合、未登録コンピュータ103は、この偽装ARP要求パケットに応答するARP応答パケットを送信するため、ネットワーク上に不要なパケットが送出される可能性がある。
図19は、本実施形態のネットワーク監視装置である監視ユニット101が、不正アクセスを排除するさらに他の例を示すシーケンス図である。ここでは、監視ユニット101から不正コンピュータである未登録コンピュータ103への不正アクセスを監視ユニット101が排除することを想定する。これは例えば、監視ユニット101上のOSやアプリケーションプログラムによって、未登録コンピュータ103への不正アクセスが実行された場合に、本実施形態の不正コンピュータ排除機能を備える監視ユニット101内のモジュールによって実行される処理である。なお、監視ユニット101のMACアドレスをMAC0、IPアドレスをIP0、未登録コンピュータ103のMACアドレスをMAC2、IPアドレスIP2とする。
まず、監視ユニット101は、アクセス先である未登録コンピュータ103のMACアドレスを問い合わせるARP要求パケットをブロードキャストする(S51)。このARP要求パケットは、監視ユニット101のMACアドレス(MAC0)を示す送信元MACアドレス、監視ユニット101のIPアドレス(IP0)を示す送信元IPアドレス、未登録コンピュータ103のMACアドレスを問い合わせるため“0”を示す宛先MACアドレス、及び未登録コンピュータ103のIPアドレス(IP2)を示す宛先IPアドレスを含む。未登録コンピュータ103は、ARPテーブルに、監視ユニット101のIPアドレス(IP0)とMACアドレス(MAC0)とを対応づけて登録する。
ブロードキャストされたARP要求パケットの宛先である未登録コンピュータ103は、ARP要求パケットの受信に応答して、ARP応答パケットを監視ユニット101へユニキャストする(S52)。このARP応答パケットは、未登録コンピュータ103のMACアドレス(MAC2)を示す送信元MACアドレス、未登録コンピュータ103のIPアドレス(IP2)を示す送信元IPアドレス、監視ユニット101のMACアドレス(MAC0)を示す宛先MACアドレス、及び監視ユニット101のIPアドレス(IP0)を示す宛先IPアドレスを含む。監視ユニット101は、ARPテーブルに、未登録コンピュータ103のIPアドレス(IP2)とMACアドレス(MAC2)とを対応づけて登録する。これにより、未登録コンピュータ103と監視ユニット101との間で、パケットの送受信が可能となる。
監視ユニット101は、ブロードキャストしたARP要求パケットの宛先のコンピュータである未登録コンピュータ103が不正コンピュータであるかどうかを判定する。具体的には、監視ユニット101は、ARP要求パケットに含まれる宛先IPアドレス(IP2)が検出リストに記載されているかどうかを判定する。ARP要求パケットに含まれる宛先IPアドレス(IP2)が検出リストに記載されている場合、監視ユニット101は、検出リストにおいて宛先IPアドレス(IP2)に対応づけられたMACアドレス(MAC2)を取得する。そして、検出リストに記載されている場合、監視ユニット101は、未登録コンピュータ103による不正アクセスを排除するための以下の処理を実行する。
監視ユニット101は、自身のARPテーブルに対応づけて登録された、未登録コンピュータ103のIPアドレス(IP2)とMACアドレス(MAC2)とを書き換えて偽装する。監視ユニット101は、未登録コンピュータ103のIPアドレス(IP2)に対して、監視ユニット101のMACアドレス(MAC0)を対応づけて登録する。
そして、監視ユニット101は、未登録コンピュータ103へ、監視ユニット101のMACアドレスがMAC2(未登録コンピュータ103のMACアドレス)であると偽装する偽装ARP応答パケットをユニキャストする(S53)。したがって、この偽装ARP応答パケットは、未登録コンピュータ103のMACアドレス(MAC2)を示す送信元MACアドレス、監視ユニット101のIPアドレス(IP0)を示す送信元IPアドレス、未登録コンピュータ103のMACアドレス(MAC2)を示す宛先MACアドレス、及び未登録コンピュータ103のIPアドレス(IP2)を示す宛先IPアドレスを含む。未登録コンピュータ103は、ARPテーブルに、監視ユニット101のIPアドレス(IP0)と未登録コンピュータ103のMACアドレス(MAC2)とを対応づけて登録する。これにより、未登録コンピュータ103から監視ユニット101へのパケットの送信を妨害することができる。
以上の処理の結果、各ノードのARPテーブルは図18のように記述される。
未登録コンピュータ103のARPテーブルには、監視ユニット101のIPアドレス(IP0)に、未登録コンピュータ103のMACアドレス(MAC2)が対応づけて登録される。監視ユニット101のARPテーブルには、未登録コンピュータ103のIPアドレス(IP2)に、監視ユニット101のMACアドレス(MAC0)が対応づけて登録される。
各ノードのARPテーブルが上述のように記載されることにより、未登録コンピュータ103から監視ユニット101へのパケットの送信、及び監視ユニット101から未登録コンピュータ103へのパケットの送信を妨害することができる。
なお、監視ユニット101から未登録コンピュータ103への偽装ARP応答パケットの送信(S53)は、未登録コンピュータ103から監視ユニット101へのARP応答パケットの送信(S52)の直後に行う。これにより、監視ユニット101と未登録コンピュータ103との間で通信が可能となる時間をごく短時間に抑えることができる。
また、上述の未登録コンピュータ103による不正アクセスを排除する処理に、図11に示すシーケンス図と同様に、いずれのノードにも割り当てられていない架空のMACアドレスを用いてもよい。
なお、偽装ARP応答パケット(S53)は、偽装ARP要求パケットであってもよい。この偽装ARP要求パケットは、未登録コンピュータ103のMACアドレス(MAC2)を示す送信元MACアドレス、監視ユニット101のIPアドレス(IP0)を示す送信元IPアドレス、未登録コンピュータ103のMACアドレスを問い合わせるため“0”を示す宛先MACアドレス、及び未登録コンピュータ103のIPアドレス(IP2)を示す宛先IPアドレスを含む。但し、この偽装ARP要求パケットを未登録コンピュータ103へ送信した場合、未登録コンピュータ103は、この偽装ARP要求パケットに応答するARP応答パケットを送信するため、ネットワーク上に不要なパケットが送出される可能性がある。
図21は、上述した監視ユニット101の機能を、マルチスレッドにより実現する例を示すブロック図である。監視ユニット101は、ARPテーブル記憶部210に格納されたARPテーブル、登録済みリスト記憶部211に格納された登録済みリスト、検出リスト記憶部212に格納された検出リスト、及び送信リスト記憶部213に格納された送信リストを保持し、受信スレッド301、名前解決スレッド302、及び送信スレッド303により、不正ノードによるアクセスを監視及び排除する処理を行う。
受信スレッド301は、他のノードから送信されるARP要求パケットを受信し、登録済みリストを参照して、このARP要求パケットを送信したノードが不正ノードであるかどうかを判定する。また、受信スレッド301は、検出リスト及び登録済みリストを参照して、このARP要求パケットの宛先が不正ノードであるかどうかを判定する。
受信スレッド301は、ARP要求パケットを送信したノードが不正ノードである場合、又はARP要求パケットの宛先が不正ノードである場合、妨害パケット(偽装ARP要求パケット及び偽装ARP応答パケット)を送信するために必要な情報を記述したエントリを送信リストの先頭へ追加する。送信リストに追加されるエントリは、図7を参照して説明したように、受信したARP要求パケットに含まれる送信元MACアドレス、送信元IPアドレス、宛先MACアドレス、及び宛先IPアドレス、並びに受信時刻、及びリクエスト送信フラグを含む。また、送信リストに含まれるエントリは、送信リストの先頭から順に処理される。したがって、エントリを送信リストの先頭に追加することで、このエントリの内容に基づく妨害パケットが他のパケットよりも優先的に送信される。これにより、不正コンピュータが大量に存在する場合にも、不正コンピュータによるアクセスを排除することができる。
また、受信スレッド301は、受信したARP要求パケットに含まれる送信元MACアドレスが、登録済みリスト及び検出リストに記載されていない場合、受信したARP要求パケットに含まれるIPアドレスとMACアドレスとを対応づけて検出リストへ登録する。該IPアドレスが検出リストに既に記載されている場合、検出リストにおいて対応づけられたMACアドレスを、受信したARP要求パケットに含まれるMACアドレスで上書きする。
名前解決スレッド302は、検出リストを検索し、ホスト名が記述されていないエントリに対して、名前解決によりホスト名を設定する。具体的には、名前解決スレッド302は、検出リストを検索し、ホスト名が記載されていないエントリを読み出す。そして、名前解決スレッド302は、読み出したエントリに記述されたIPアドレスに基づき、DNS又はNetBIOS等による名前解決のための名前解決パケットを送受信する。名前解決が成功した場合、名前解決スレッド302は、読み出したエントリのホスト名のフィールドに取得した名前を記述する。
送信スレッド303は、送信リストに登録されたエントリを先頭から読み出し、読み出したエントリに記述された内容に応じて、偽装ARP要求パケット及び偽装ARP応答パケットを生成し、送信する。偽装ARP要求パケットは、監視ユニット101のMACアドレス又は架空のMACアドレスを示す送信元MACアドレス、読み出したエントリに記述された送信元IPアドレスを示す送信元IPアドレス、読み出したエントリに記述された宛先MACアドレスを示す宛先MACアドレス、及び読み出したエントリに記述された宛先IPアドレスを示す宛先IPアドレスを含む。偽装ARP応答パケットは、読み出したエントリに記述された送信元MACアドレス又は架空のMACアドレスを示す送信元MACアドレス、読み出したエントリに記述された宛先IPアドレスを示す送信元IPアドレス、読み出したエントリに記述された送信元MACアドレスを示す宛先MACアドレス、及び読み出したエントリに記述された送信元IPアドレスを示す宛先IPアドレスを含む。
また、送信スレッド303は、監視ユニット101に保持するARPテーブルを偽装する。具体的には、ARPテーブルに、送信リストから読み出したエントリに記述された送信元IPアドレスと送信元MACアドレスとが対応づけられて記載されている場合に、送信スレッド303は、当該MACアドレスを監視ユニット101のMACアドレス又は架空のMACアドレスに書き換える。
図22に、受信スレッド301による受信処理の手順を示すフローチャートを示す。
まず、受信スレッド301は、他のノードから送信されたARP要求パケットを受信する(ステップS301)。次に、受信スレッド301は、受信したARP要求パケットに含まれる送信元MACアドレスが登録済みリストに記載されているかどうかを判定する(ステップS302)。
受信したARP要求パケットに含まれる送信元MACアドレスが登録済みリストに記載されていない場合(ステップS302のNO)、受信スレッド301は、受信したARP要求パケットに含まれる送信元MACアドレスが検出リストに記載されているかどうかを判定する(ステップS303)。
受信したARP要求パケットに含まれる送信元MACアドレスが検出リストに記載されていない場合(ステップS303のNO)、受信スレッド301は、検出リストに、ARP要求パケットに含まれる送信元IPアドレスと送信元MACアドレスとを対応づけて登録する(ステップS304)。そして、受信スレッド301は、受信したARP要求パケットに含まれる情報を受信時刻と共に記述したエントリを送信リストの先頭へ追加する(ステップS305)。
次いで、受信スレッド301は、受信スレッド301がスレッドの終了条件を満たしているかどうかを判定する(ステップS306)。受信スレッド301がスレッドの終了条件を満たしている場合(ステップS306のYES)、受信スレッド301は、受信処理を終了する。受信スレッド301がスレッドの終了条件を満たしていない場合(ステップS306のNO)、受信スレッド301は再度、ステップS301から処理を実行する。
以上の処理により、受信スレッド301は、不正ノードからのARP要求パケットを検出し、不正ノードによるアクセス及び不正ノードへのアクセスを排除するために必要な情報を送信リストへ登録することができる。
図23は、名前解決スレッド302による名前解決処理の手順を示すフローチャートである。
まず、名前解決スレッド302は、検出リストからホスト名が記述されていないエントリを読み出す(ステップS401)。名前解決スレッド302は、読み出したエントリに記述されたIPアドレスに基づき、名前解決を要求する名前解決パケットをDNSサーバ等へ送信する(ステップS402)。名前解決スレッド302は、この名前解決パケットに対する応答パケットを受信し、名前解決が成功したかどうかを判定する(ステップS403)。
名前解決が成功した場合(ステップS403のYES)、名前解決スレッド302は、読み出したエントリのホスト名のフィールドに、名前解決により取得した名前を設定する(ステップS404)。ホスト名が設定されたエントリにより、検出リストは更新される。
次いで、名前解決スレッド302は、名前解決スレッド302がスレッドの終了条件を満たしているかどうかを判定する(ステップS405)。名前解決スレッド302がスレッドの終了条件を満たしている場合(ステップS405のYES)、名前解決スレッド302は、名前解決処理を終了する。名前解決スレッド302がスレッドの終了条件を満たしていない場合(ステップS405のNO)、名前解決スレッド302は再度、ステップS401から処理を実行する。
以上の処理により、名前解決スレッド302は、検出リストのエントリにホスト名を記述することができる。
図24は、送信スレッド303による送信処理の手順を示すフローチャートである。
まず、送信スレッド303は、送信リストの先頭のエントリを読み出す(ステップS501)。次に、送信スレッド303は、読み出したエントリに基づく偽装ARP要求パケットが既に送信されたかどうかを判定する(ステップS502)。すなわち、読み出したエントリに含まれるリクエスト送信フラグが“True”である場合、送信スレッド303は、偽装ARP要求パケットが送信済みであると判定する。一方、読み出したエントリに含まれるリクエスト送信フラグが“False”である場合、送信スレッド303は、偽装ARP要求パケットが未送信であると判定する。
偽装ARP要求パケットが送信されていない場合(ステップS502のNO)、送信スレッド303は、不正ノードのアクセス先のノードへ、偽装ARP要求パケットを送信する(ステップS503)。そして、送信スレッド303は、自身のARPテーブルを偽装する(ステップS504)。また、送信スレッド303は、送信リストから読み出したエントリのリクエスト送信フラグのフィールドに、“True”を設定する(ステップS505)。
ステップS505の処理を行った後、又は偽装ARP要求パケットが既に送信されている場合(ステップS502のYES)、送信スレッド303は、偽装ARP要求パケットに対する応答であるARP応答パケットを、不正ノードのアクセス先のノードから受信したかどうかを判定する(ステップS506)。
不正ノードのアクセス先のノードからARP応答パケットを受信した場合(ステップS506のYES)、送信スレッド303は、不正ノードへ偽装ARP応答パケットを送信する(ステップS507)。
不正ノードのアクセス先のノードからARP応答パケットを受信していない場合(ステップS506のNO)、送信スレッド303は、読み出したエントリを送信リストの最後の位置に戻す(ステップS508)。
次いで、送信スレッド303は、送信スレッド303がスレッドの終了条件を満たしているかどうかを判定する(ステップS509)。送信スレッド303がスレッドの終了条件を満たしている場合(ステップS509のYES)、送信スレッド303は、送信処理を終了する。送信スレッド303がスレッドの終了条件を満たしていない場合(ステップS509のNO)、送信スレッド303は再度、ステップS501から処理を実行する。
以上の処理により、送信スレッド303は、送信リストから読み出したエントリに基づき、不正ノードによるアクセス及び不正ノードへのアクセスを排除するための処理を実行することができる。
なお、不正ノードの排除に架空のMACアドレスを用いる場合、上述のステップS506の処理において、監視ユニット101は、送信リストから読み出したエントリに含まれる受信時刻から所定の時間が経過したかどうかを判定する。
図25は、受信スレッド301による受信処理の別の手順を示すフローチャートである。図25のフローチャートは、不正ノード宛のARP要求パケットを受信した場合の受信処理を示す。
まず、受信スレッド301は、他のノードから送信されたARP要求パケットを受信する(ステップS601)。次に、受信スレッド301は、受信したARP要求パケットに含まれる宛先IPアドレスが検出リストに記載されているかどうかを判定する(ステップS602)。宛先IPアドレスが検出リストに記載されている場合には、ARP要求パケットが不正ノード宛のパケットである可能性があると判定される。
受信したARP要求パケットに含まれる宛先IPアドレスが検出リストに記載されている場合(ステップS602のYES)、受信スレッド301は、検出リストから宛先IPアドレスに対応するMACアドレスを抽出し、抽出したMACアドレスを受信したARP要求パケットの宛先MACアドレスのフィールドに設定する(ステップS603)。そして、受信スレッド301は、受信したARP要求パケットに含まれる宛先IPアドレスと送信元IPアドレスの値を入れ替えて設定し、また、宛先MACアドレスと送信元MACアドレスの値を入れ替えて設定する(ステップS604)。
ステップS604の処理を行った後、又は受信したARP要求パケットに含まれる宛先IPアドレスが検出リストに記載されていない場合(ステップS602のNO)、以降のステップS605からステップS609の処理を実行する。なお、ステップS605からステップS609の処理は、図22に示すフローチャートのステップS302からステップS306の処理と同様の処理である。
図26は、送信スレッド303による送信処理の別の手順を示すフローチャートである。図26のフローチャートは、不正ノードから監視ユニット101宛のARP要求パケットが送信された場合の送信処理を示す。
まず、送信スレッド303は、送信リストの先頭のエントリを読み出す(ステップS701)。次に、送信スレッド303は、読み出したエントリに基づく偽装ARP要求パケットが既に送信されたかどうかを判定する(ステップS702)。すなわち、読み出したエントリに含まれるリクエスト送信フラグが“True”である場合、送信スレッド303は、偽装ARP要求パケットが送信済みであると判定する。一方、読み出したエントリに含まれるリクエスト送信フラグが“False”である場合、送信スレッド303は、偽装ARP要求パケットが未送信であると判定する。
偽装ARP要求パケットが送信されていない場合(ステップS702のNO)、送信スレッド303は、読み出したエントリが生成された際のARP要求パケットが監視ユニット101宛のパケットであるかどうかを判定する(ステップS703)。つまり、送信スレッド303は、読み出したエントリに含まれる宛先IPアドレスが、監視ユニット101のIPアドレスと同じかどうかを判定する。
読み出したエントリが生成された際のARP要求パケットが監視ユニット101宛のパケットでない場合(ステップS703のNO)、送信スレッド303は、不正ノードのアクセス先のノードへ、偽装ARP要求パケットを送信する(ステップS704)。
ステップS704の処理を行った後、又は読み出したエントリが生成された際のARP要求パケットが監視ユニット101宛のパケットである場合(ステップS703のYES)、以降のステップS705からステップS710の処理を実行する。なお、ステップS705からステップS710の処理は、図24に示すフローチャートのステップS504からステップS509の処理と同様の処理である。
以上説明したように、本実施形態によれば、不正ノードと不正ノードのアクセス先のノードとの間で通信が可能な期間を短縮できる。本実施形態のネットワーク監視装置である監視ユニット101は、不正ノードから送信されるARP要求パケットを検出した場合、監視ユニット101のARPテーブルを偽装し、不正ノードのアクセス先のノードへ偽装ARP要求パケットを送信し、不正ノードへ偽装ARP応答パケットを送信することにより、不正ノードと不正ノードのアクセス先のノードとの間の通信を妨害する。監視ユニット101は、不正ノードのアクセス先のノードへ偽装ARP要求パケットを送信し、不正ノードのアクセス先のノードから偽装ARP要求パケットに対するARP応答パケットを受信した後、不正ノードへ偽装ARP応答パケットを送信することで、不正ノードと不正ノードのアクセス先のノードとの間で通信が可能な期間を短縮することができる。また、上述のように偽装ARP要求パケット及び偽装ARP応答パケットを送信することで、無駄な待ち時間なく、また、偽装ARP応答パケットの再送(リトライ)をすることなく、各ノードのARPテーブルを偽装することができる。
また本発明は上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素からいくつかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。
201…ネットワークインタフェース部、202…受信部、203…通信プロトコル判定部、204…不正PC検出部、205…宛先判定部、206…ARPテーブル偽装部、207…偽装ARPリクエスト送信部、208…偽装ARPリプライ送信部、209…名前解決パケット送信部、210…ARPテーブル記憶部、211…登録済みリスト記憶部、212…検出リスト記憶部、213…送信リスト記憶部。

Claims (8)

  1. 複数のノードが接続されたネットワークを監視するネットワーク監視装置であって、
    アドレス解決プロトコル要求パケットを受信したことに応答して、前記受信したアドレス解決プロトコル要求パケット送信元物理アドレスに基づいて、前記受信したアドレス解決プロトコル要求パケットの送信元ノードが不正ノードであるかどうかを判定する不正ノード判定手段と、
    前記送信元ノードが不正ノードである場合、前記受信したアドレス解決プロトコル要求パケット宛先ネットワークアドレスに対応する宛先ノードへ、宛先ネットワークアドレスが前記宛先ノードのネットワークアドレスであり送信元物理アドレスが前記ネットワーク監視装置の物理アドレスであり、且つ送信元ネットワークアドレスが前記不正ノードのネットワークアドレスである偽装アドレス解決プロトコル要求パケットを送信する偽装アドレス解決プロトコル要求送信手段と、
    前記宛先ノードから前記ネットワーク監視装置にユニキャストされた、前記偽装アドレス解決プロトコル要求パケットに対するアドレス解決プロトコル応答パケットを受信したことに応答して、前記不正ノードへ、送信元物理アドレスが前記宛先ノードの物理アドレス以外の所定の物理アドレスであり、且つ送信元ネットワークアドレスが前記宛先ノードのネットワークアドレスである偽装アドレス解決プロトコル応答パケットを送信する偽装アドレス解決プロトコル応答送信手段とを具備することを特徴とするネットワーク監視装置。
  2. 前記偽装アドレス解決プロトコル応答送信手段は、前記宛先ノードから送信された、前記偽装アドレス解決プロトコル要求パケットに対するアドレス解決プロトコル応答パケットを受信したことに応答して、前記不正ノードへ、送信元物理アドレスが前記不正ノードの物理アドレスであり、且つ送信元ネットワークアドレスが前記宛先ノードのネットワークアドレスである偽装アドレス解決プロトコル応答パケットを送信することを特徴とする請求項1記載のネットワーク監視装置。
  3. 前記ネットワーク監視装置が保持する、ネットワークアドレスと物理アドレスとの対応を記述したARPテーブルに、前記不正ノードのネットワークアドレスと前記ネットワーク監視装置の物理アドレスとを対応づけて記述するARPテーブル偽装手段をさらに具備することを特徴とする請求項1記載のネットワーク監視装置。
  4. 前記不正ノード判定手段は、アドレス解決プロトコル要求パケットを受信したことに応答して、前記受信したアドレス解決プロトコル要求パケット宛先ネットワークアドレスに基づいて、前記受信したアドレス解決プロトコル要求パケットの宛先ノードが不正ノードであるかどうかを判定し、
    前記偽装アドレス解決プロトコル要求送信手段は、前記宛先ノードが不正ノードである場合、前記受信したアドレス解決プロトコル要求パケットの送信元ノードへ、送信元物理アドレスが前記ネットワーク監視装置の物理アドレスであり、且つ送信元ネットワークアドレスが前記不正ノードのネットワークアドレスである偽装アドレス解決プロトコル要求パケットを送信することを特徴とする請求項1記載のネットワーク監視装置。
  5. 前記不正ノード判定手段は、アドレス解決プロトコル要求パケットを受信したことに応答して、前記受信したアドレス解決プロトコル要求パケット宛先ネットワークアドレスに基づいて、前記ネットワーク監視装置が前記アドレス解決プロトコル要求パケットの宛先ノードであるかどうかを判定し、
    前記偽装アドレス解決プロトコル応答送信手段は、前記ネットワーク監視装置が前記宛先ノードである場合、前記不正ノードへ、送信元物理アドレスが前記不正ノードの物理アドレスであり、且つ送信元ネットワークアドレスが前記宛先ノードのネットワークアドレスである偽装アドレス解決プロトコル応答パケットを送信することを特徴とする請求項1記載のネットワーク監視装置。
  6. 前記不正ノード判定手段は、前記ネットワーク監視装置がアドレス解決プロトコル要求パケットを送信したことに応答して、前記送信したアドレス解決プロトコル要求パケット宛先ネットワークアドレスに基づいて、前記アドレス解決プロトコル要求パケットの宛先ノードが不正ノードであるかどうかを判定し、
    前記偽装アドレス解決プロトコル応答送信手段は、前記宛先ノードが不正ノードである場合、前記宛先ノードへ、送信元物理アドレスが前記宛先ノードの物理アドレスであり、且つ送信元ネットワークアドレスが前記ネットワーク監視装置のネットワークアドレスである偽装アドレス解決プロトコル応答パケットを送信することを特徴とする請求項1記載のネットワーク監視装置。
  7. 前記不正ノード判定手段は、前記受信したアドレス解決プロトコル要求パケットの送信元ノードが不正ノードであり、且つ前記受信したアドレス解決プロトコル要求パケットがグラチュータスアドレス解決プロトコル要求パケットである場合、前記アドレス解決プロトコル要求パケットを無視することを特徴とする請求項1記載のネットワーク監視装置。
  8. 複数のノードが接続されたネットワークを該ネットワーク上に接続されたネットワーク監視装置によって監視するネットワーク監視方法であって、
    アドレス解決プロトコル要求パケットを受信したことに応答して、前記受信したアドレス解決プロトコル要求パケット送信元物理アドレスに基づいて、前記受信したアドレス解決プロトコル要求パケットの送信元ノードが不正ノードであるかどうかを判定し、
    前記送信元ノードが不正ノードである場合、前記受信したアドレス解決プロトコル要求パケット宛先ネットワークアドレスに対応する宛先ノードへ、宛先ネットワークアドレスが前記宛先ノードのネットワークアドレスであり送信元物理アドレスが前記ネットワーク監視装置の物理アドレスであり、且つ送信元ネットワークアドレスが前記不正ノードのネットワークアドレスである偽装アドレス解決プロトコル要求パケットを送信し、
    前記宛先ノードから前記ネットワーク監視装置にユニキャストされた、前記偽装アドレス解決プロトコル要求パケットに対するアドレス解決プロトコル応答パケットを受信したことに応答して、前記不正ノードへ、送信元物理アドレスが前記不正ノードの物理アドレスであり、且つ送信元ネットワークアドレスが前記宛先ノードのネットワークアドレスである偽装アドレス解決プロトコル応答パケットを送信することを特徴とするネットワーク監視方法。
JP2009066649A 2009-03-18 2009-03-18 ネットワーク監視装置及びネットワーク監視方法 Expired - Fee Related JP4672780B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2009066649A JP4672780B2 (ja) 2009-03-18 2009-03-18 ネットワーク監視装置及びネットワーク監視方法
US12/711,981 US20100241744A1 (en) 2009-03-18 2010-02-24 Network Monitoring Apparatus and Network Monitoring Method
US13/571,224 US20120304294A1 (en) 2009-03-18 2012-08-09 Network Monitoring Apparatus and Network Monitoring Method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009066649A JP4672780B2 (ja) 2009-03-18 2009-03-18 ネットワーク監視装置及びネットワーク監視方法

Publications (2)

Publication Number Publication Date
JP2010220066A JP2010220066A (ja) 2010-09-30
JP4672780B2 true JP4672780B2 (ja) 2011-04-20

Family

ID=42738582

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009066649A Expired - Fee Related JP4672780B2 (ja) 2009-03-18 2009-03-18 ネットワーク監視装置及びネットワーク監視方法

Country Status (2)

Country Link
US (2) US20100241744A1 (ja)
JP (1) JP4672780B2 (ja)

Families Citing this family (184)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5581141B2 (ja) * 2010-07-29 2014-08-27 株式会社Pfu 管理サーバ、通信遮断装置、情報処理システム、方法およびプログラム
JP5551061B2 (ja) * 2010-12-27 2014-07-16 株式会社Pfu 情報処理装置、アドレス重複対処方法およびアドレス重複対処用プログラム
ES2616468T3 (es) * 2011-07-12 2017-06-13 Furukawa Electric Co., Ltd. Dispositivo de comunicación y sistema de comunicación
US9965133B1 (en) 2011-07-22 2018-05-08 Ntrepid Corporation Application for assisting in conducting covert cyber operations
US9548959B2 (en) * 2012-03-23 2017-01-17 Cisco Technology, Inc. Address resolution suppression for data center interconnect
US9237082B2 (en) * 2012-03-26 2016-01-12 Hewlett Packard Enterprise Development Lp Packet descriptor trace indicators
JP6137178B2 (ja) * 2012-06-11 2017-05-31 日本電気株式会社 通信情報検出装置及び通信情報検出方法
JP5987627B2 (ja) * 2012-10-22 2016-09-07 富士通株式会社 不正アクセス検出方法、ネットワーク監視装置及びプログラム
US10009065B2 (en) 2012-12-05 2018-06-26 At&T Intellectual Property I, L.P. Backhaul link for distributed antenna system
US9113347B2 (en) 2012-12-05 2015-08-18 At&T Intellectual Property I, Lp Backhaul link for distributed antenna system
US9621581B2 (en) * 2013-03-15 2017-04-11 Cisco Technology, Inc. IPV6/IPV4 resolution-less forwarding up to a destination
US9999038B2 (en) 2013-05-31 2018-06-12 At&T Intellectual Property I, L.P. Remote distributed antenna system
US9525524B2 (en) 2013-05-31 2016-12-20 At&T Intellectual Property I, L.P. Remote distributed antenna system
US8897697B1 (en) 2013-11-06 2014-11-25 At&T Intellectual Property I, Lp Millimeter-wave surface-wave communications
US9209902B2 (en) 2013-12-10 2015-12-08 At&T Intellectual Property I, L.P. Quasi-optical coupler
JP6138714B2 (ja) 2014-03-03 2017-05-31 アラクサラネットワークス株式会社 通信装置および通信装置における通信制御方法
US9293029B2 (en) * 2014-05-22 2016-03-22 West Corporation System and method for monitoring, detecting and reporting emergency conditions using sensors belonging to multiple organizations
US9692101B2 (en) 2014-08-26 2017-06-27 At&T Intellectual Property I, L.P. Guided wave couplers for coupling electromagnetic waves between a waveguide surface and a surface of a wire
US9768833B2 (en) 2014-09-15 2017-09-19 At&T Intellectual Property I, L.P. Method and apparatus for sensing a condition in a transmission medium of electromagnetic waves
US10063280B2 (en) 2014-09-17 2018-08-28 At&T Intellectual Property I, L.P. Monitoring and mitigating conditions in a communication network
US9628854B2 (en) 2014-09-29 2017-04-18 At&T Intellectual Property I, L.P. Method and apparatus for distributing content in a communication network
US9615269B2 (en) 2014-10-02 2017-04-04 At&T Intellectual Property I, L.P. Method and apparatus that provides fault tolerance in a communication network
US9685992B2 (en) 2014-10-03 2017-06-20 At&T Intellectual Property I, L.P. Circuit panel network and methods thereof
US9503189B2 (en) 2014-10-10 2016-11-22 At&T Intellectual Property I, L.P. Method and apparatus for arranging communication sessions in a communication system
US9973299B2 (en) 2014-10-14 2018-05-15 At&T Intellectual Property I, L.P. Method and apparatus for adjusting a mode of communication in a communication network
US9762289B2 (en) 2014-10-14 2017-09-12 At&T Intellectual Property I, L.P. Method and apparatus for transmitting or receiving signals in a transportation system
US9520945B2 (en) 2014-10-21 2016-12-13 At&T Intellectual Property I, L.P. Apparatus for providing communication services and methods thereof
US9564947B2 (en) 2014-10-21 2017-02-07 At&T Intellectual Property I, L.P. Guided-wave transmission device with diversity and methods for use therewith
US9653770B2 (en) 2014-10-21 2017-05-16 At&T Intellectual Property I, L.P. Guided wave coupler, coupling module and methods for use therewith
US9780834B2 (en) 2014-10-21 2017-10-03 At&T Intellectual Property I, L.P. Method and apparatus for transmitting electromagnetic waves
US9627768B2 (en) 2014-10-21 2017-04-18 At&T Intellectual Property I, L.P. Guided-wave transmission device with non-fundamental mode propagation and methods for use therewith
US9577306B2 (en) 2014-10-21 2017-02-21 At&T Intellectual Property I, L.P. Guided-wave transmission device and methods for use therewith
US9769020B2 (en) 2014-10-21 2017-09-19 At&T Intellectual Property I, L.P. Method and apparatus for responding to events affecting communications in a communication network
US9312919B1 (en) 2014-10-21 2016-04-12 At&T Intellectual Property I, Lp Transmission device with impairment compensation and methods for use therewith
US10009067B2 (en) 2014-12-04 2018-06-26 At&T Intellectual Property I, L.P. Method and apparatus for configuring a communication interface
US10243784B2 (en) 2014-11-20 2019-03-26 At&T Intellectual Property I, L.P. System for generating topology information and methods thereof
US10340573B2 (en) 2016-10-26 2019-07-02 At&T Intellectual Property I, L.P. Launcher with cylindrical coupling device and methods for use therewith
US9800327B2 (en) 2014-11-20 2017-10-24 At&T Intellectual Property I, L.P. Apparatus for controlling operations of a communication device and methods thereof
US9954287B2 (en) 2014-11-20 2018-04-24 At&T Intellectual Property I, L.P. Apparatus for converting wireless signals and electromagnetic waves and methods thereof
US9544006B2 (en) 2014-11-20 2017-01-10 At&T Intellectual Property I, L.P. Transmission device with mode division multiplexing and methods for use therewith
US9680670B2 (en) 2014-11-20 2017-06-13 At&T Intellectual Property I, L.P. Transmission device with channel equalization and control and methods for use therewith
US9654173B2 (en) 2014-11-20 2017-05-16 At&T Intellectual Property I, L.P. Apparatus for powering a communication device and methods thereof
US9461706B1 (en) 2015-07-31 2016-10-04 At&T Intellectual Property I, Lp Method and apparatus for exchanging communication signals
US9742462B2 (en) 2014-12-04 2017-08-22 At&T Intellectual Property I, L.P. Transmission medium and communication interfaces and methods for use therewith
US9997819B2 (en) 2015-06-09 2018-06-12 At&T Intellectual Property I, L.P. Transmission medium and method for facilitating propagation of electromagnetic waves via a core
US10144036B2 (en) 2015-01-30 2018-12-04 At&T Intellectual Property I, L.P. Method and apparatus for mitigating interference affecting a propagation of electromagnetic waves guided by a transmission medium
US9876570B2 (en) 2015-02-20 2018-01-23 At&T Intellectual Property I, Lp Guided-wave transmission device with non-fundamental mode propagation and methods for use therewith
US9749013B2 (en) 2015-03-17 2017-08-29 At&T Intellectual Property I, L.P. Method and apparatus for reducing attenuation of electromagnetic waves guided by a transmission medium
US9705561B2 (en) 2015-04-24 2017-07-11 At&T Intellectual Property I, L.P. Directional coupling device and methods for use therewith
US10224981B2 (en) 2015-04-24 2019-03-05 At&T Intellectual Property I, Lp Passive electrical coupling device and methods for use therewith
US9948354B2 (en) 2015-04-28 2018-04-17 At&T Intellectual Property I, L.P. Magnetic coupling device with reflective plate and methods for use therewith
US9793954B2 (en) 2015-04-28 2017-10-17 At&T Intellectual Property I, L.P. Magnetic coupling device and methods for use therewith
US9490869B1 (en) 2015-05-14 2016-11-08 At&T Intellectual Property I, L.P. Transmission medium having multiple cores and methods for use therewith
US9748626B2 (en) 2015-05-14 2017-08-29 At&T Intellectual Property I, L.P. Plurality of cables having different cross-sectional shapes which are bundled together to form a transmission medium
US9871282B2 (en) 2015-05-14 2018-01-16 At&T Intellectual Property I, L.P. At least one transmission medium having a dielectric surface that is covered at least in part by a second dielectric
US10679767B2 (en) 2015-05-15 2020-06-09 At&T Intellectual Property I, L.P. Transmission medium having a conductive material and methods for use therewith
US10650940B2 (en) 2015-05-15 2020-05-12 At&T Intellectual Property I, L.P. Transmission medium having a conductive material and methods for use therewith
US9917341B2 (en) 2015-05-27 2018-03-13 At&T Intellectual Property I, L.P. Apparatus and method for launching electromagnetic waves and for modifying radial dimensions of the propagating electromagnetic waves
US10103801B2 (en) 2015-06-03 2018-10-16 At&T Intellectual Property I, L.P. Host node device and methods for use therewith
US10812174B2 (en) 2015-06-03 2020-10-20 At&T Intellectual Property I, L.P. Client node device and methods for use therewith
US10154493B2 (en) 2015-06-03 2018-12-11 At&T Intellectual Property I, L.P. Network termination and methods for use therewith
US10348391B2 (en) 2015-06-03 2019-07-09 At&T Intellectual Property I, L.P. Client node device with frequency conversion and methods for use therewith
US9912381B2 (en) 2015-06-03 2018-03-06 At&T Intellectual Property I, Lp Network termination and methods for use therewith
US9866309B2 (en) 2015-06-03 2018-01-09 At&T Intellectual Property I, Lp Host node device and methods for use therewith
US9913139B2 (en) 2015-06-09 2018-03-06 At&T Intellectual Property I, L.P. Signal fingerprinting for authentication of communicating devices
US10142086B2 (en) 2015-06-11 2018-11-27 At&T Intellectual Property I, L.P. Repeater and methods for use therewith
US9608692B2 (en) 2015-06-11 2017-03-28 At&T Intellectual Property I, L.P. Repeater and methods for use therewith
US9820146B2 (en) 2015-06-12 2017-11-14 At&T Intellectual Property I, L.P. Method and apparatus for authentication and identity management of communicating devices
US9667317B2 (en) 2015-06-15 2017-05-30 At&T Intellectual Property I, L.P. Method and apparatus for providing security using network traffic adjustments
US9509415B1 (en) 2015-06-25 2016-11-29 At&T Intellectual Property I, L.P. Methods and apparatus for inducing a fundamental wave mode on a transmission medium
US9640850B2 (en) 2015-06-25 2017-05-02 At&T Intellectual Property I, L.P. Methods and apparatus for inducing a non-fundamental wave mode on a transmission medium
US9865911B2 (en) 2015-06-25 2018-01-09 At&T Intellectual Property I, L.P. Waveguide system for slot radiating first electromagnetic waves that are combined into a non-fundamental wave mode second electromagnetic wave on a transmission medium
US10033108B2 (en) 2015-07-14 2018-07-24 At&T Intellectual Property I, L.P. Apparatus and methods for generating an electromagnetic wave having a wave mode that mitigates interference
US10148016B2 (en) 2015-07-14 2018-12-04 At&T Intellectual Property I, L.P. Apparatus and methods for communicating utilizing an antenna array
US10320586B2 (en) 2015-07-14 2019-06-11 At&T Intellectual Property I, L.P. Apparatus and methods for generating non-interfering electromagnetic waves on an insulated transmission medium
US10044409B2 (en) 2015-07-14 2018-08-07 At&T Intellectual Property I, L.P. Transmission medium and methods for use therewith
US10205655B2 (en) 2015-07-14 2019-02-12 At&T Intellectual Property I, L.P. Apparatus and methods for communicating utilizing an antenna array and multiple communication paths
US10170840B2 (en) 2015-07-14 2019-01-01 At&T Intellectual Property I, L.P. Apparatus and methods for sending or receiving electromagnetic signals
US9882257B2 (en) 2015-07-14 2018-01-30 At&T Intellectual Property I, L.P. Method and apparatus for launching a wave mode that mitigates interference
US9853342B2 (en) 2015-07-14 2017-12-26 At&T Intellectual Property I, L.P. Dielectric transmission medium connector and methods for use therewith
US9722318B2 (en) 2015-07-14 2017-08-01 At&T Intellectual Property I, L.P. Method and apparatus for coupling an antenna to a device
US10033107B2 (en) 2015-07-14 2018-07-24 At&T Intellectual Property I, L.P. Method and apparatus for coupling an antenna to a device
US9847566B2 (en) 2015-07-14 2017-12-19 At&T Intellectual Property I, L.P. Method and apparatus for adjusting a field of a signal to mitigate interference
US10341142B2 (en) 2015-07-14 2019-07-02 At&T Intellectual Property I, L.P. Apparatus and methods for generating non-interfering electromagnetic waves on an uninsulated conductor
US9836957B2 (en) 2015-07-14 2017-12-05 At&T Intellectual Property I, L.P. Method and apparatus for communicating with premises equipment
US9628116B2 (en) 2015-07-14 2017-04-18 At&T Intellectual Property I, L.P. Apparatus and methods for transmitting wireless signals
US9793951B2 (en) 2015-07-15 2017-10-17 At&T Intellectual Property I, L.P. Method and apparatus for launching a wave mode that mitigates interference
US10090606B2 (en) 2015-07-15 2018-10-02 At&T Intellectual Property I, L.P. Antenna system with dielectric array and methods for use therewith
US9608740B2 (en) 2015-07-15 2017-03-28 At&T Intellectual Property I, L.P. Method and apparatus for launching a wave mode that mitigates interference
US10784670B2 (en) 2015-07-23 2020-09-22 At&T Intellectual Property I, L.P. Antenna support for aligning an antenna
US9871283B2 (en) 2015-07-23 2018-01-16 At&T Intellectual Property I, Lp Transmission medium having a dielectric core comprised of plural members connected by a ball and socket configuration
US9948333B2 (en) 2015-07-23 2018-04-17 At&T Intellectual Property I, L.P. Method and apparatus for wireless communications to mitigate interference
US9749053B2 (en) 2015-07-23 2017-08-29 At&T Intellectual Property I, L.P. Node device, repeater and methods for use therewith
US9912027B2 (en) 2015-07-23 2018-03-06 At&T Intellectual Property I, L.P. Method and apparatus for exchanging communication signals
US9735833B2 (en) 2015-07-31 2017-08-15 At&T Intellectual Property I, L.P. Method and apparatus for communications management in a neighborhood network
US10020587B2 (en) 2015-07-31 2018-07-10 At&T Intellectual Property I, L.P. Radial antenna and methods for use therewith
US9967173B2 (en) 2015-07-31 2018-05-08 At&T Intellectual Property I, L.P. Method and apparatus for authentication and identity management of communicating devices
US9904535B2 (en) 2015-09-14 2018-02-27 At&T Intellectual Property I, L.P. Method and apparatus for distributing software
US10009063B2 (en) 2015-09-16 2018-06-26 At&T Intellectual Property I, L.P. Method and apparatus for use with a radio distributed antenna system having an out-of-band reference signal
US10136434B2 (en) 2015-09-16 2018-11-20 At&T Intellectual Property I, L.P. Method and apparatus for use with a radio distributed antenna system having an ultra-wideband control channel
US10051629B2 (en) 2015-09-16 2018-08-14 At&T Intellectual Property I, L.P. Method and apparatus for use with a radio distributed antenna system having an in-band reference signal
US10079661B2 (en) 2015-09-16 2018-09-18 At&T Intellectual Property I, L.P. Method and apparatus for use with a radio distributed antenna system having a clock reference
US10009901B2 (en) 2015-09-16 2018-06-26 At&T Intellectual Property I, L.P. Method, apparatus, and computer-readable storage medium for managing utilization of wireless resources between base stations
US9705571B2 (en) 2015-09-16 2017-07-11 At&T Intellectual Property I, L.P. Method and apparatus for use with a radio distributed antenna system
US9769128B2 (en) 2015-09-28 2017-09-19 At&T Intellectual Property I, L.P. Method and apparatus for encryption of communications over a network
US9729197B2 (en) 2015-10-01 2017-08-08 At&T Intellectual Property I, L.P. Method and apparatus for communicating network management traffic over a network
US10074890B2 (en) 2015-10-02 2018-09-11 At&T Intellectual Property I, L.P. Communication device and antenna with integrated light assembly
US9882277B2 (en) 2015-10-02 2018-01-30 At&T Intellectual Property I, Lp Communication device and antenna assembly with actuated gimbal mount
US9876264B2 (en) 2015-10-02 2018-01-23 At&T Intellectual Property I, Lp Communication system, guided wave switch and methods for use therewith
US10355367B2 (en) 2015-10-16 2019-07-16 At&T Intellectual Property I, L.P. Antenna structure for exchanging wireless signals
US10051483B2 (en) 2015-10-16 2018-08-14 At&T Intellectual Property I, L.P. Method and apparatus for directing wireless signals
US10665942B2 (en) 2015-10-16 2020-05-26 At&T Intellectual Property I, L.P. Method and apparatus for adjusting wireless communications
US9912419B1 (en) 2016-08-24 2018-03-06 At&T Intellectual Property I, L.P. Method and apparatus for managing a fault in a distributed antenna system
US9860075B1 (en) 2016-08-26 2018-01-02 At&T Intellectual Property I, L.P. Method and communication node for broadband distribution
US10291311B2 (en) 2016-09-09 2019-05-14 At&T Intellectual Property I, L.P. Method and apparatus for mitigating a fault in a distributed antenna system
US11032819B2 (en) 2016-09-15 2021-06-08 At&T Intellectual Property I, L.P. Method and apparatus for use with a radio distributed antenna system having a control channel reference signal
US10340600B2 (en) 2016-10-18 2019-07-02 At&T Intellectual Property I, L.P. Apparatus and methods for launching guided waves via plural waveguide systems
US10135146B2 (en) 2016-10-18 2018-11-20 At&T Intellectual Property I, L.P. Apparatus and methods for launching guided waves via circuits
US10135147B2 (en) 2016-10-18 2018-11-20 At&T Intellectual Property I, L.P. Apparatus and methods for launching guided waves via an antenna
US10811767B2 (en) 2016-10-21 2020-10-20 At&T Intellectual Property I, L.P. System and dielectric antenna with convex dielectric radome
US9876605B1 (en) 2016-10-21 2018-01-23 At&T Intellectual Property I, L.P. Launcher and coupling system to support desired guided wave mode
US10374316B2 (en) 2016-10-21 2019-08-06 At&T Intellectual Property I, L.P. System and dielectric antenna with non-uniform dielectric
US9991580B2 (en) 2016-10-21 2018-06-05 At&T Intellectual Property I, L.P. Launcher and coupling system for guided wave mode cancellation
US10312567B2 (en) 2016-10-26 2019-06-04 At&T Intellectual Property I, L.P. Launcher with planar strip antenna and methods for use therewith
US11496435B2 (en) * 2016-10-28 2022-11-08 The Nielsen Company (Us), Llc Systems, methods, and apparatus to facilitate mapping a device name to a hardware address
US10498044B2 (en) 2016-11-03 2019-12-03 At&T Intellectual Property I, L.P. Apparatus for configuring a surface of an antenna
US10224634B2 (en) 2016-11-03 2019-03-05 At&T Intellectual Property I, L.P. Methods and apparatus for adjusting an operational characteristic of an antenna
US10291334B2 (en) 2016-11-03 2019-05-14 At&T Intellectual Property I, L.P. System for detecting a fault in a communication system
US10225025B2 (en) 2016-11-03 2019-03-05 At&T Intellectual Property I, L.P. Method and apparatus for detecting a fault in a communication system
US10535928B2 (en) 2016-11-23 2020-01-14 At&T Intellectual Property I, L.P. Antenna system and methods for use therewith
US10090594B2 (en) 2016-11-23 2018-10-02 At&T Intellectual Property I, L.P. Antenna system having structural configurations for assembly
US10178445B2 (en) 2016-11-23 2019-01-08 At&T Intellectual Property I, L.P. Methods, devices, and systems for load balancing between a plurality of waveguides
US10340603B2 (en) 2016-11-23 2019-07-02 At&T Intellectual Property I, L.P. Antenna system having shielded structural configurations for assembly
US10340601B2 (en) 2016-11-23 2019-07-02 At&T Intellectual Property I, L.P. Multi-antenna system and methods for use therewith
US10361489B2 (en) 2016-12-01 2019-07-23 At&T Intellectual Property I, L.P. Dielectric dish antenna system and methods for use therewith
US10305190B2 (en) 2016-12-01 2019-05-28 At&T Intellectual Property I, L.P. Reflecting dielectric antenna system and methods for use therewith
US10727599B2 (en) 2016-12-06 2020-07-28 At&T Intellectual Property I, L.P. Launcher with slot antenna and methods for use therewith
US10819035B2 (en) 2016-12-06 2020-10-27 At&T Intellectual Property I, L.P. Launcher with helical antenna and methods for use therewith
US10326494B2 (en) 2016-12-06 2019-06-18 At&T Intellectual Property I, L.P. Apparatus for measurement de-embedding and methods for use therewith
US10020844B2 (en) 2016-12-06 2018-07-10 T&T Intellectual Property I, L.P. Method and apparatus for broadcast communication via guided waves
US10135145B2 (en) 2016-12-06 2018-11-20 At&T Intellectual Property I, L.P. Apparatus and methods for generating an electromagnetic wave along a transmission medium
US10755542B2 (en) 2016-12-06 2020-08-25 At&T Intellectual Property I, L.P. Method and apparatus for surveillance via guided wave communication
US10382976B2 (en) 2016-12-06 2019-08-13 At&T Intellectual Property I, L.P. Method and apparatus for managing wireless communications based on communication paths and network device positions
US10439675B2 (en) 2016-12-06 2019-10-08 At&T Intellectual Property I, L.P. Method and apparatus for repeating guided wave communication signals
US10637149B2 (en) 2016-12-06 2020-04-28 At&T Intellectual Property I, L.P. Injection molded dielectric antenna and methods for use therewith
US9927517B1 (en) 2016-12-06 2018-03-27 At&T Intellectual Property I, L.P. Apparatus and methods for sensing rainfall
US10694379B2 (en) 2016-12-06 2020-06-23 At&T Intellectual Property I, L.P. Waveguide system with device-based authentication and methods for use therewith
US10168695B2 (en) 2016-12-07 2019-01-01 At&T Intellectual Property I, L.P. Method and apparatus for controlling an unmanned aircraft
US10446936B2 (en) 2016-12-07 2019-10-15 At&T Intellectual Property I, L.P. Multi-feed dielectric antenna system and methods for use therewith
US10139820B2 (en) 2016-12-07 2018-11-27 At&T Intellectual Property I, L.P. Method and apparatus for deploying equipment of a communication system
US10389029B2 (en) 2016-12-07 2019-08-20 At&T Intellectual Property I, L.P. Multi-feed dielectric antenna system with core selection and methods for use therewith
US10359749B2 (en) 2016-12-07 2019-07-23 At&T Intellectual Property I, L.P. Method and apparatus for utilities management via guided wave communication
US9893795B1 (en) 2016-12-07 2018-02-13 At&T Intellectual Property I, Lp Method and repeater for broadband distribution
US10243270B2 (en) 2016-12-07 2019-03-26 At&T Intellectual Property I, L.P. Beam adaptive multi-feed dielectric antenna system and methods for use therewith
US10547348B2 (en) 2016-12-07 2020-01-28 At&T Intellectual Property I, L.P. Method and apparatus for switching transmission mediums in a communication system
US10027397B2 (en) 2016-12-07 2018-07-17 At&T Intellectual Property I, L.P. Distributed antenna system and methods for use therewith
US10326689B2 (en) 2016-12-08 2019-06-18 At&T Intellectual Property I, L.P. Method and system for providing alternative communication paths
US10530505B2 (en) 2016-12-08 2020-01-07 At&T Intellectual Property I, L.P. Apparatus and methods for launching electromagnetic waves along a transmission medium
US10601494B2 (en) 2016-12-08 2020-03-24 At&T Intellectual Property I, L.P. Dual-band communication device and method for use therewith
US10103422B2 (en) 2016-12-08 2018-10-16 At&T Intellectual Property I, L.P. Method and apparatus for mounting network devices
US9998870B1 (en) 2016-12-08 2018-06-12 At&T Intellectual Property I, L.P. Method and apparatus for proximity sensing
US10777873B2 (en) 2016-12-08 2020-09-15 At&T Intellectual Property I, L.P. Method and apparatus for mounting network devices
US10916969B2 (en) 2016-12-08 2021-02-09 At&T Intellectual Property I, L.P. Method and apparatus for providing power using an inductive coupling
US10411356B2 (en) 2016-12-08 2019-09-10 At&T Intellectual Property I, L.P. Apparatus and methods for selectively targeting communication devices with an antenna array
US10069535B2 (en) 2016-12-08 2018-09-04 At&T Intellectual Property I, L.P. Apparatus and methods for launching electromagnetic waves having a certain electric field structure
US10389037B2 (en) 2016-12-08 2019-08-20 At&T Intellectual Property I, L.P. Apparatus and methods for selecting sections of an antenna array and use therewith
US9911020B1 (en) 2016-12-08 2018-03-06 At&T Intellectual Property I, L.P. Method and apparatus for tracking via a radio frequency identification device
US10938108B2 (en) 2016-12-08 2021-03-02 At&T Intellectual Property I, L.P. Frequency selective multi-feed dielectric antenna system and methods for use therewith
US10264586B2 (en) 2016-12-09 2019-04-16 At&T Mobility Ii Llc Cloud-based packet controller and methods for use therewith
US10340983B2 (en) 2016-12-09 2019-07-02 At&T Intellectual Property I, L.P. Method and apparatus for surveying remote sites via guided wave communications
US9838896B1 (en) 2016-12-09 2017-12-05 At&T Intellectual Property I, L.P. Method and apparatus for assessing network coverage
US9973940B1 (en) 2017-02-27 2018-05-15 At&T Intellectual Property I, L.P. Apparatus and methods for dynamic impedance matching of a guided wave launcher
US10298293B2 (en) 2017-03-13 2019-05-21 At&T Intellectual Property I, L.P. Apparatus of communication utilizing wireless network devices
US10516645B1 (en) 2017-04-27 2019-12-24 Pure Storage, Inc. Address resolution broadcasting in a networked device
JP2019041176A (ja) * 2017-08-23 2019-03-14 株式会社ソフトクリエイト 不正接続遮断装置及び不正接続遮断方法
KR20190076313A (ko) * 2017-12-22 2019-07-02 (주)노르마 Arp 스푸핑 탐지 시스템 및 방법
WO2019167384A1 (ja) * 2018-02-28 2019-09-06 株式会社オートネットワーク技術研究所 車載通信システム、スイッチ装置、検証方法および検証プログラム
US11626010B2 (en) * 2019-02-28 2023-04-11 Nortek Security & Control Llc Dynamic partition of a security system
US20200279473A1 (en) * 2019-02-28 2020-09-03 Nortek Security & Control Llc Virtual partition of a security system
CN110061977A (zh) * 2019-03-29 2019-07-26 国网山东省电力公司邹城市供电公司 一种有效监控并防范arp病毒的系统
US11277442B2 (en) * 2019-04-05 2022-03-15 Cisco Technology, Inc. Verifying the trust-worthiness of ARP senders and receivers using attestation-based methods
TWI728901B (zh) * 2020-08-20 2021-05-21 台眾電腦股份有限公司 雙模式切換之阻斷網路連線的方法
CN112491888A (zh) * 2020-11-27 2021-03-12 深圳万物安全科技有限公司 防止设备冒用的方法及系统
US20220231990A1 (en) * 2021-01-20 2022-07-21 AVAST Software s.r.o. Intra-lan network device isolation

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005079706A (ja) * 2003-08-28 2005-03-24 Nec Corp ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置
JP2008520159A (ja) * 2005-04-06 2008-06-12 スコープ インコーポレイテッド ネットワーク上における特定ipアドレス、または特定装置を保護/遮断するためのip管理方法及び装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7536723B1 (en) * 2004-02-11 2009-05-19 Airtight Networks, Inc. Automated method and system for monitoring local area computer networks for unauthorized wireless access

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005079706A (ja) * 2003-08-28 2005-03-24 Nec Corp ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置
JP2008520159A (ja) * 2005-04-06 2008-06-12 スコープ インコーポレイテッド ネットワーク上における特定ipアドレス、または特定装置を保護/遮断するためのip管理方法及び装置

Also Published As

Publication number Publication date
JP2010220066A (ja) 2010-09-30
US20120304294A1 (en) 2012-11-29
US20100241744A1 (en) 2010-09-23

Similar Documents

Publication Publication Date Title
JP4672780B2 (ja) ネットワーク監視装置及びネットワーク監視方法
US8107396B1 (en) Host tracking in a layer 2 IP ethernet network
US8646033B2 (en) Packet relay apparatus
US8369346B2 (en) Method and system for restricting a node from communicating with other nodes in a broadcast domain of an IP (internet protocol) network
US20080301303A1 (en) Virtual network connection apparatus, system, method for controlling connection of a virtual network and computer-readable storage medium
KR100949355B1 (ko) 통신방법, 이동 에이전트 장치, 및 홈 에이전트 장치
US20100057895A1 (en) Methods of Providing Reputation Information with an Address and Related Devices and Computer Program Products
US20190058731A1 (en) User-side detection and containment of arp spoofing attacks
US20180270189A1 (en) Equipment for offering domain-name resolution services
JP2003046533A (ja) ネットワークシステム、その認証方法及びそのプログラム
US20170237769A1 (en) Packet transfer method and packet transfer apparatus
EP1486050A2 (en) A ddns server, a ddns client terminal and a ddns system, and a web server terminal, its network system and an access control method
JP2011205614A (ja) Ipsecとipv6近隣要請の競合解消方法及びそのシステム
JP2004166002A (ja) 通信装置、境界ルータ装置、サーバ装置、通信システム、通信方法、ルーティング方法、通信プログラム及びルーティングプログラム
US7916733B2 (en) Data communication apparatus, data communication method, program, and storage medium
Stapp DHCPv6 Bulk Leasequery
JP3590394B2 (ja) パケット転送装置、パケット転送方法およびプログラム
JP4895793B2 (ja) ネットワーク監視装置及びネットワーク監視方法
JP2019522416A (ja) Dnsリクエストの抑制のためのシステム及び方法
JP2011124774A (ja) ネットワーク監視装置、ネットワーク監視方法
JP2004078280A (ja) リモートアクセス仲介システム及び方法
JP2019041176A (ja) 不正接続遮断装置及び不正接続遮断方法
WO2009110327A1 (ja) ネットワーク監視システム、ネットワーク監視方法、及びネットワーク監視プログラム
JP2006352719A (ja) ネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法
JP5842128B2 (ja) 通信システム、機器通信サーバ、クライアント機器

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100730

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100914

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101110

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101221

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110119

R151 Written notification of patent or utility model registration

Ref document number: 4672780

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140128

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees