JP2019041176A - 不正接続遮断装置及び不正接続遮断方法 - Google Patents

不正接続遮断装置及び不正接続遮断方法 Download PDF

Info

Publication number
JP2019041176A
JP2019041176A JP2017160290A JP2017160290A JP2019041176A JP 2019041176 A JP2019041176 A JP 2019041176A JP 2017160290 A JP2017160290 A JP 2017160290A JP 2017160290 A JP2017160290 A JP 2017160290A JP 2019041176 A JP2019041176 A JP 2019041176A
Authority
JP
Japan
Prior art keywords
address
valid
unauthorized connection
unauthorized
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2017160290A
Other languages
English (en)
Inventor
浩邦 沼田
Hirokuni Numata
浩邦 沼田
健史 松谷
Takeshi Matsutani
健史 松谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Softcreate Corp
Original Assignee
Softcreate Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Softcreate Corp filed Critical Softcreate Corp
Priority to JP2017160290A priority Critical patent/JP2019041176A/ja
Publication of JP2019041176A publication Critical patent/JP2019041176A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

【課題】ネットワーク構成を変更することなく、ネットワークでの不正接続を遮断することができる不正接続遮断装置及び不正接続遮断方法を提供する。【解決手段】不正接続遮断装置は、ネットワークでの不正接続を遮断する不正接続遮断装置であって、第1アドレスを有する第1装置が第2装置に対して第2アドレスを要求する要求パケットを取得する取得部と、取得した要求パケットに含まれる第1アドレスが正当であるか否かを判定する判定部と、第1アドレスが正当でないと判定した場合、第2装置が第2アドレスを第1装置へ送信する前に、所定のアドレスを第1装置へ送信する送信部とを備える。【選択図】図2

Description

本発明は、不正接続遮断装置及び不正接続遮断方法に関する。
様々な情報処理装置がネットワークに接続され、ネットワークを介して企業の情報の授受が行われている。このため、企業の情報を不正なアクセスから保護することが重要な課題になりつつあり、ネットワークにおける安全性の高いセキュリティ対策に対するニーズが高まっている。
ネットワークのセキュリティ対策には種々のものがある。例えば、特許文献1には、パケットを監視し、不正端末によるネットワークへの不正接続を検出した場合、セキュリティ強度が異なる複数の仮想ネットワークから一の仮想ネットワークを選択すべくネットワーク構成を変更して、不正アクセスが発生したネットワークを選択的に保護するネットワーク構成変更方法が開示されている。
特開2015−50717号公報
しかし、特許文献1のように、ネットワーク構成を変更する場合、ルータやスイッチなどの設定変更なども必要となり、適用箇所が多いときは、ネットワークの運用労力が多大となる。
本発明は、斯かる事情に鑑みてなされたものであり、ネットワーク構成を変更することなく、ネットワークでの不正接続を遮断することができる不正接続遮断装置及び不正接続遮断方法を提供することを目的とする。
本発明の実施の形態に係る不正接続遮断装置は、ネットワークでの不正接続を遮断する不正接続遮断装置であって、第1アドレスを有する第1装置が第2装置に対して第2アドレスを要求する要求パケットを取得する取得部と、該取得部で取得した要求パケットに含まれる第1アドレスが正当であるか否かを判定する判定部と、該判定部で前記第1アドレスが正当でないと判定した場合、前記第2装置が前記第2アドレスを前記第1装置へ送信する前に、所定のアドレスを前記第1装置へ送信する送信部とを備える。
本発明の実施の形態に係る不正接続遮断方法は、ネットワークでの不正接続を遮断する不正接続遮断方法であって、第1アドレスを有する第1装置が第2装置に対して第2アドレスを要求する要求パケットを取得部が取得し、取得された要求パケットに含まれる第1アドレスが正当であるか否かを判定部が判定し、前記第1アドレスが正当でないと判定された場合、前記第2装置が前記第2アドレスを前記第1装置へ送信する前に、所定のアドレスを前記第1装置へ送信部が送信する。
本発明によれば、ネットワーク構成を変更することなく、ネットワークでの不正接続を遮断することができる。
本実施の形態の不正接続遮断装置が不正接続を検知・遮断するネットワークの構成の一例を示す模式図である。 本実施の形態の不正接続遮断装置の構成の一例を示すブロック図である。 本実施の形態のメモリのアドレスとアドレスに格納されるデータとの関係の一例を示す模式図である。 パイプライン処理部の処理を停止した場合の処理の一例を示す模式図である。 パイプライン処理部の処理を実行した場合の処理の一例を示す模式図である。 本実施の形態の不正接続遮断装置によるARPパケットの場合の不正接続遮断動作の一例を示す説明図である。 DHCPパケットのイーサネットフレームの構成を示す模式図である。 本実施の形態の不正接続遮断装置によるDHCPパケットの場合の不正接続遮断動作の一例を示す説明図である。 本実施の形態の不正接続遮断装置による不正接続遮断処理の手順の一例を示すフローチャートである。
以下、本発明の実施の形態を図面に基づいて説明する。図1は本実施の形態の不正接続遮断装置50が不正接続を検知・遮断するネットワークの構成の一例を示す模式図である。図1に示すように、ネットワーク通信線1には、情報処理装置20、DHCP(Dynamic Host Configuration Protocol)サーバ30、不正接続遮断装置50、スイッチ10などが接続されている。不正接続遮断装置50は、通信回線などを経由して管理サーバ100に接続されている。なお、情報処理装置20、スイッチ10の数は図1の例に限定されない。
本明細書では、不正接続を行う情報処理装置を、正当な情報処理装置20と区別するため、便宜上、不正装置200として説明する。不正装置200は、ネットワークに不正接続しようとしている。不正装置200は、例えば、情報処理装置20内の情報又は情報処理装置20同士で送受される情報を不正に取得し、あるいは改ざんする行為を行う。また、不正装置200は、情報処理装置20内にマルウェアを侵入させる。不正装置200は、例えば、パーソナルコンピュータ、タブレット、スマートフォンなどの装置を含む。
情報処理装置20は、ネットワークへの接続が許可された正当な装置であり、例えば、パーソナルコンピュータ、タブレット、スマートフォンなどの装置を含む。
スイッチ10は、L2スイッチであり、MACアドレス(Media Access Control address)とポートとを関連付ける。スイッチ10は、通信したい相手がどのポートに繋がっているかを記憶しており、パケットを転送することができる。より具体的には、スイッチ10は、どのポートにどの情報処理装置20が繋がっているかをMACアドレスによって管理する。
DHCPサーバ30は、サーバ又はルータ等で構成することができ、情報処理装置20(DHCPクライアントとも称する)が使用するIPアドレスを複数用意しておき、情報処理装置20からの要求に応じて、一つのIPアドレスを割り当てる。
図2は本実施の形態の不正接続遮断装置50の構成の一例を示すブロック図である。不正接続遮断装置50は、不正装置200がネットワークに不正に接続すること、及びネットワーク内の情報処理装置20と通信を行うこと(両者を纏めて不正接続と称する)を検知し、不正接続を遮断する。
図2に示すように、不正接続遮断装置50は、ネットワークインタフェース部51、受信部52、送信部53、判定部54、演算部55、パイプライン処理部56、記憶部としてのメモリ57、決定部58、CPU59、登録処理部60などを備える。
メモリ57は、複数の正当なMACアドレスのリストであるホワイトリスト571を記憶する。正当なMACアドレスは、例えば、ネットワーク上で情報処理装置20との間の通信が許可された情報処理装置20のMACアドレス、あるいはネットワークへの接続が許可された情報処理装置20のMACアドレスとすることができる。
ネットワークインタフェース部51は、OSI(Open Systems Interconnection)参照モデルにおけるレイヤ1の物理層(Physical Layer)の処理を行う。ネットワークインタフェース部51は、イーサネットPHYとも称される。
受信部52は、受信バッファ(不図示)を備え、ネットワークインタフェース部51を経由してパケットを受信する。パケットは、情報処理装置間の通信に使用されるデータを送る単位であり、PDU(プロトコル・データ・ユニット)と称する。パケットは、OSI参照モデルにおけるカイヤ3のネットワーク層の通信で使われる。
受信部52は、取得部としての機能を有し、第1アドレスを有する第1装置(例えば、不正装置200)が第2装置(例えば、情報処理装置20又はDHCPサーバ30)に対して第2アドレスを要求する要求パケットを取得する。
第1アドレスは、ネットワークに接続される装置の識別に使用するアドレスであり、例えば、MACアドレス(Media Access Control address)とすることができる。
要求パケットは、例えば、不正装置200が情報処理装置20と通信を行うためのARP(Address Resolution Protocol)のパケット(ARPパケットとも称する)、あるいは、不正装置200がネットワークに接続するのに必要なIP(Internet Protocol)アドレスを要求するDHCPのパケット(DHCPパケットとも称する)などを含む。
要求パケットがARPパケットである場合、第2アドレスはMACアドレスである。また、要求パケットがDHCPパケットである場合、第2アドレスはIPアドレスである。
判定部54は、受信部52で取得した要求パケットに含まれる第1アドレスが正当であるか否かを判定する。より具体的には、判定部54は、第1装置の第1アドレスが、ホワイトリスト571に記録された正当な第1アドレスのいずれかと一致するか否かを判定し、一致する場合には、第1装置による接続は正当であると判定し、一致しない場合には、第1装置による接続は正当でないと判定する。これにより、不正接続を検知することができる。
図1の例では、不正装置200は、ネットワークへの接続が許可されていない装置であり、ホワイトリスト571には、不正装置200のMACアドレス(第1アドレス)が記録されていない。従って、判定部54は、不正装置200が接続を行うと、当該接続は正当でないと判定することができる。
送信部53は、送信バッファ(不図示)を備え、ネットワークインタフェース部51を経由してパケットを受信する。
送信部53は、判定部54で要求パケットに含まれる第1アドレスが正当でないと判定した場合、第2装置が第2アドレスを第1装置へ送信する前に、所定のアドレスを含む所定のパケットを第1装置へ送信する。
要求パケットがARPパケットである場合、第2装置は、第1装置が通信しようとする相手となる情報処理装置20である。また、要求パケットがDHCPパケットである場合、第2装置は、DHCPサーバ30である。所定のアドレスは、例えば、ネットワーク上に存在しない偽のアドレスである。
情報処理装置20又はDHCPサーバ30が、不正装置200の要求パケットに対して応答する場合、例えば、数百μsから数ms程度の応答時間を要する。送信部53は、情報処理装置20(又はDHCPサーバ30)がMACアドレス(又はIPアドレス)を不正装置200へ送信する前(例えば、数μs程度の応答時間内)に所定のアドレスを不正装置200へ送信する。要求パケットに対して最初に取得する応答を正しいものとして受け取ることに着目すると、不正装置200が最初に取得する応答には、偽のアドレスが含まれている。このため、許可された情報処理装置20以外の不正装置200は、情報処理装置20と通信することができず、あるいはネットワークに接続することができず、不正装置200による不正接続を検知し遮断することができる。
送信部53は、判定部54で要求パケットに含まれる第1アドレスが正当であると判定した場合、第1装置は、正当な情報処理装置20であるとして、所定のアドレスを送信しない。これにより、情報処理装置20は、他の情報処理装置20(又はDHCPサーバ30))からMACアドレス(又はIPアドレス)を取得することができるので、正当な情報処理装置20と他の情報処理装置20との間の通信、あるいは正当な情報処理装置20のネットワークへの接続を行わせることができる。
次に、判定部54による判定処理の詳細について説明する。
演算部55は、受信部52で受信した要求パケットに含まれるMACアドレスに対して所要のハッシュ関数によるハッシュ演算を行ってハッシュ値を算出する。所要のハッシュ関数は、適宜のハッシュ関数を用いることができる。ハッシュ関数としては、現在利用できるハッシュ関数を用いることができ、例えば、FNV、hsieh、murmur、jenkins、Buzhash、PJW hash、MD4、MD5、RIPEMD、RIPEMD−128、RIPEMD―160、SHA−1、SHA−224、SHA−256、SWIFFT、Whirlpoolなどを用いることができるが、ハッシュ関数はこれらに限定されない。
図3は本実施の形態のメモリ57のアドレスとアドレスに格納されるデータとの関係の一例を示す模式図である。図3に示すように、メモリ57は、アドレス(番地)と当該アドレスに格納されるデータとによって構成されている。演算部55がMACアドレスに対してハッシュ演算を行うことによって得られたハッシュ値を、例えば、ハッシュ値1、ハッシュ値2…とする。本実施の形態では、メモリ57の他に不図示のキャッシュ(キャッシュメモリ)を備え、メモリ57とキャッシュとの間のマッピング方式は、ダイレクトマップ方式でもよく、セットアソシアティブ方式でもよい。以下では、一例としてセットアソシアティブ方式とし、way数をnで表す。なお、図3の例では、way数nを4としている。1エントリー当たりのバイト数をsとする。バイト数sは、MACアドレスを格納するバイト数(6バイト)及び関連情報を格納するバイト数の合計となる。以下では、便宜上、関連情報を格納するバイト数を0とする。従って、バイト数sは、MACアドレスの長さの6バイトとなる。
図3に示すように、ハッシュ値1に基づくアドレスは、エントリー毎に、ハッシュ値1×s×n+1s、ハッシュ値1×s×n+2s、ハッシュ値1×s×n+3s、ハッシュ値1×s×n+4sとなり、それぞれのエントリーに、MACアドレス11、MACアドレス12、MACアドレス13、MACアドレス14が格納されている。同様に、ハッシュ値2に基づくアドレスは、エントリー毎に、ハッシュ値2×s×n+1s、ハッシュ値2×s×n+2s、ハッシュ値2×s×n+3s、ハッシュ値2×s×n+4sとなり、それぞれのエントリーに、MACアドレス21、MACアドレス22、MACアドレス23、MACアドレス24が格納されている。以下、他のハッシュ値に基づくアドレスについても同様である。
なお、図3の例では、way数nが4であるが、way数nは4に限定されるものではなく、2、8、16等であってもよい。
すなわち、メモリ57は、複数の正当なMACアドレスに対してハッシュ演算を行って得られたハッシュ値に基づくアドレスに複数のMACアドレスを対応付けて記憶する。具体的には、アドレスは、ハッシュ値×s×nで表すことができる。ここで、sは1エントリー当たりのバイト数であり、nはway数である。
ハッシュ演算によってMACアドレスのビット数よりも少ないビット数のハッシュ値を得ることができる。メモリ57は、例えば、DRAM(Dynamic Random Access Memory)とすることができ、ハッシュ値に基づく値をアドレスに対応させ、当該アドレスにハッシュ値に対応するMACアドレス(ハッシュ演算によって当該ハッシュ値を得ることができたMACアドレス)を記憶する。これにより、メモリ57のメモリ空間のどのアドレスを参照するかがハッシュ値によって決定される。
判定部54は、演算部55で演算して得られたハッシュ値に基づくメモリ57のアドレスを参照し、参照したアドレスにMACアドレスが記憶されていない場合、要求パケットに含まれるMACアドレスが正当ではないと判定する。
メモリ57のアドレスがハッシュ値に基づく値に対応し、当該アドレスに記憶したデータがMACアドレスに対応するので、演算部55で演算して得られたハッシュ値に基づくアドレスにMACアドレスが記憶されていない場合、要求パケットに含まれるMACアドレスが正当ではないと判定することができる。
これにより、演算部55で演算して得られたハッシュ値に基づくアドレスを1回アクセス(例えば、READコマンド)するだけで、要求パケットに含まれるMACアドレスが正当であるか否かを判定することができ、判定処理に要する時間を短縮することができ、受信部52で要求パケットを取得した時点から送信部53で偽のアドレスを含む所定のパケットを送信する時点までの時間を数μs程度に短縮することができる。
また、(n−way)方式を用いることによって、1つのハッシュ値に対応して複数(n個)のMACアドレスが同時に得られるので、メモリ57のアクセススピードが遅い場合でも、遅いアクセススピードを補完することができる。また、同一のハッシュ値に対してway数(例えば、4など)に相当する数のMACアドレスを格納することができるので、ハッシュ値に対応するMACアドレスのコンフリクトをway数の分だけ容認することができる。
パイプライン処理部56は、受信部52で要求パケットを取得する都度、メモリ57に記憶したMACアドレスをパイプライン処理で読み出す。例えば、READコマンドによってMACアドレスを読み出す場合、パイプライン処理部56は、READコマンドによってMACアドレスが読み出される前に当該READコマンドの次のREADコマンドを出力することができる。
判定部54は、パイプライン処理部56で読み出した結果に基づいて、要求パケットに含まれるMACアドレスが正当であるか否かを判定する。例えば、メモリ57からMACアドレスが読み出された場合、要求パケットに含まれるMACアドレスは正当であると判定することができる。また、メモリ57からMACアドレスを読み出すことができない場合、要求パケットに含まれるMACアドレスは正当でないと判定することができる。パイプライン処理部56を備えることにより、要求パケットの取得頻度が高くなった場合でも、判定部54による判定処理に要する時間を短縮することができる。
決定部58は、受信部52で取得したパケットが要求パケットであるか否かに応じてパイプライン処理部56の処理の実行・停止を決定する。例えば、取得したパケットが要求パケットである場合、パイプライン処理部56の処理を実行する。また、取得したパケットが要求パケット以外の任意のパケットである場合、パイプライン処理部56の処理を停止することができる。これにより、要求パケットを取得したときだけ、パイプライン処理部56の処理を実行して、判定部54による判定処理に要する時間を短縮することができる。
図4はパイプライン処理部56の処理を停止した場合の処理の一例を示す模式図である。図4の例では、パケットを取得したときにメモリ57のデータを読み出す処理が行われるとする。図4に示すように、要求パケット以外の他のパケットA1を取得すると、メモリ57のデータを読み出すべくREADコマンドa1が出力されるとする。また、パケットA1に後にパケットA2を取得したとし、メモリ57のデータを読み出すべくREADコマンドa2が出力されるとする。パイプライン処理部56の処理を停止した場合、READコマンドa2は、READコマンドa1によりデータa1が読み出された後に出力される。すなわち、複数回のREADコマンドでデータをメモリ57から読み出す時間は比較的長くなる。
図5はパイプライン処理部56の処理を実行した場合の処理の一例を示す模式図である。図5に示すように、短い時間の間に要求パケットB1、B2、B3を取得したとする。要求パケットB1を取得すると、メモリ57のMACアドレスを読み出すべくREADコマンドb1が出力されるとする。要求パケットB2、B3についても同様に、READコマンドb2、b3が出力されるとする。
パイプライン処理部56の処理を実行した場合、READコマンドb2は、READコマンドb1によりデータb1が読み出されるのを待つことなく出力される。また、READコマンドb3は、READコマンドb2によりデータb2が読み出されるのを待つことなく出力される。すなわち、複数回のREADコマンドでMACアドレスをメモリ57から読み出す時間は短くなる。
本実施の形態では、判定部54又は演算部55での処理は、ハードウェアで行うことができる。例えば、判定部54又は演算部55をFPGA(Field-Programmable Gate Array)又はASIC(Application Specific Integrated Circuit)等の半導体チップで構成することができる。
これにより、判定部54又は演算部55での処理をソフトウェアで実行する場合に比べて処理時間を大幅に短縮することができ、受信部52で要求パケットを取得した時点から送信部53で偽のアドレスを含む所定のパケットを送信する時点までの時間を数μs程度に短縮することができる。
次に、本実施の形態の不正接続遮断装置50の動作について説明する。以下では、要求パケットをARPパケット、DHCPパケットとして説明する。
図6は本実施の形態の不正接続遮断装置50によるARPパケットの場合の不正接続遮断動作の一例を示す説明図である。ARPは、IPアドレスからイーサネット(登録商標)のMACアドレスの情報が得られるプロトコロルであり、通信相手のIPアドレスから実際のMACアドレスを調べるために利用される。TCP/IPを利用したLAN通信では、IPアドレスとMACアドレスの二つのアドレスが分かることで通信を行うことができる。
図6に示すように、不正装置200のIPアドレスを、192.168.0.1とし、MACアドレスを、0000.0000.1111とする。情報処理装置20のIPアドレスを、192.168.0.5とし、MACアドレスを0000.0000.5555とする。
不正装置200は、情報処理装置20と通信を行いたいとする。不正装置200は、ARPリクエストをブロードキャストする(符号P1)。ブロードキャストは、ARPリクエストがネットワーク上の全ての装置に送信される。ARPリクエストは、情報処理装置20(IPアドレスが192.168.0.5のMACアドレスを要求する。
仮に、不正接続遮断装置50がネットワークに接続されていないとすると、情報処理装置20は、ARPリクエストを取得し、ARPリクエストにより探索しているIPアドレスが自分のIPアドレスと同一であると分かると、自身のMACアドレス:0000.0000.5555を不正装置200へ伝えるため、ARPリプライをユニキャストで送信する(符号P3)。ユニキャストは、特定の相手だけに送信される。情報処理装置20が、ARPリクエストを取得してからAPRリプライを送信するまでの時間は、数百μsから数ms程度の時間である。
しかし、本実施の形態では、不正接続遮断装置50がネットワークに接続されているので、不正接続遮断装置50は、情報処理装置20がARPリプライを送信する時点よりも相当前の時点でARPリプライをユニキャストで不正装置200へ送信する(符号P2)。不正接続遮断装置50が送信するARPリプライには、MACアドレス:xxxx.yyyy.zzzz(存在しないMACアドレス)が含まれる。不正接続遮断装置50が、ARPリクエストを取得してからAPRリプライを送信するまでの時間は、数μs程度の時間である。
不正装置200は、最初に取得するARPリプライが正しいパケットであると認識する。このため、不正装置200は、存在しないMACアドレス:xxxx.yyyy.zzzzを用いても情報処理装置20と通信を行うことができないので、不正接続を遮断することができる。
次に、要求パケットがDHCPパケットである場合について説明する。
図7はDHCPパケットのイーサネットフレームの構成を示す模式図である。図7に示すように、DHCPパケットのイーサネットフレームは、イーサネットヘッダ、IPヘッダ、UDPヘッダ及びDHCPメッセージの各要素で構成される。イーサネットヘッダには、宛先MACアドレス及び送信元MACアドレスなどが格納され、IPヘッダには、送信元IPアドレス及び宛先IPアドレスなどが格納され、UDP(User Datagram Protocol)ヘッダには、送信元ポート及び宛先ポートなどが格納される。DHCPメッセージには、DHCPDiscover(DHCPディスカバー)、DHCPOffer(DHCPオファー)、DHCPRequest(DHCPリクエスト)、DHCPAck(DHCPアック)のいずれかが格納される。
図8は本実施の形態の不正接続遮断装置50によるDHCPパケットの場合の不正接続遮断動作の一例を示す説明図である。DHCPは、ネットワーク接続するのに必要なIPアドレスを自動的に割り当てるプロトコルであり、自身のIPアドレスを取得するために利用される。例えば、コンピュータ起動時、Wifi接続時などに自動的に利用される。
図8に示すように、不正装置200のIPアドレスを、0.0.0.0とし、MACアドレスを、0000.0000.1111とする。DHCPサーバ30のIPアドレスを、192.168.0.10とし、MACアドレスを0000.0000.8888とする。
不正装置200がネットワーク接続する場合、不正装置200は、自身のIPアドレス(暫定的に0.0.0.0と表す)、及びDHCPサーバ30のIPアドレスを知らない。そこで、不正装置200は、DHCPディスカバーをブロードキャストする(符号P11)。DHCPディスカバーは、IPアドレスを要求するパケットである。
仮に、不正接続遮断装置50がネットワークに接続されていないとすると、DHCPサーバ30は、DHCPディスカバーを取得し、不正装置200に割り当てるIPアドレスを含むDHCPオファーをブロードキャストで不正装置200へ送信する(符号P13)。DHCPサーバ30が、DHCPディスカバーを取得してからDHCPオファーを送信するまでの時間は、数百μsから数ms程度の時間である。
しかし、本実施の形態では、不正接続遮断装置50がネットワークに接続されているので、不正接続遮断装置50は、DHCPサーバ30がDHCPオファーを送信する時点よりも相当前の時点でDHCPオファーをブロードキャストで不正装置200へ送信する(符号P12)。不正接続遮断装置50が送信するDHCPオファーには、隔離されたIPアドレスが含まれる。隔離されたIPアドレスとは、例えば、ネットワークに全くアクセスすることができないIPアドレス、あるいは所定の認証処理が要求されるIPアドレスである。不正接続遮断装置50が、DHCPディスカバーを取得してからDHCPオファーを送信するまでの時間は、数μs程度の時間である。
同様に、不正接続遮断装置50は、不正装置200が送信したDHCPリクエスト(IPアドレスを使用する旨を通知するパケット)に対して(符号P14)、DHCPサーバ30がDHCPアックを送信する時点(符号P16)よりも相当前の時点(符号P15)で、DHCPアックを送信する。
不正装置200は、最初に取得するDHCPオファー、DHCPアックが正しいパケットであると認識する。このため、不正装置200は、隔離されたIPアドレスを用いてネットワーク接続を試みてもネットワークに接続することができず、不正接続を遮断することができる。
上述では、要求パケットとしてARPパケット及びDHCPパケットについて説明したが、要求パケットは、ARPパケット及びDHCPパケットに限定されるものではない。例えば、IPv6のIPアドレス設定方法の一つとしてステートレス自動設定の場合にも本実施の形態を適用することができる。
ステートレス自動設定の場合、不正装置200は、IPアドレスを取得するため、RS(Router Solicitation)メッセージをネットワーク上のルータ宛に送信する。なお、要求パケットは、RSメッセージを含むものとする。
仮に、不正接続遮断装置50がネットワークに接続されていないとすると、ルータは、IPアドレスの設定に必要な情報が含まれたRA(Router Advertisement)メッセージを不正装置200へ送信する。
しかし、本実施の形態では、不正接続遮断装置50がネットワークに接続されているので、不正接続遮断装置50は、ルータがRAメッセージを送信する時点よりも相当前の時点でRAメッセージを不正装置200へ送信する。不正接続遮断装置50が送信するRAメッセージには、隔離されたIPアドレスが含まれる。
不正装置200は、最初に取得するRAメッセージが正しいメッセージであると認識する。このため、不正装置200は、隔離されたIPアドレスを用いてネットワーク接続を試みてもネットワークに接続することができず、不正接続を遮断することができる。
次に、ホワイトリスト571(正当なMACアドレスのリスト)のメモリ57への登録方法について説明する。
管理サーバ100は、ホワイトリスト571の追加、削除、更新などの管理を行うサーバである。最新のホワイトリスト571は、管理サーバ100から不正接続遮断装置50へ送信される。
登録処理部60は、正当アドレス取得部としての機能を有し、管理サーバ100が送信したホワイトリスト571を取得し、取得したホワイトリスト571をメモリ57に登録(記憶)する。登録処理部60は、ホワイトリスト571を登録する場合、メモリ57のアドレスをMACアドレスのハッシュ値とし、当該アドレスに格納されるデータをMACアドレスとする。
図9は本実施の形態の不正接続遮断装置50による不正接続遮断処理の手順の一例を示すフローチャートである。不正接続遮断装置50は、パケットを受信(取得)したか否かを判定し(S11)、パケットを受信していない場合(S11でNO)、ステップS11の処理を続ける。
パケットを受信した場合(S11でYES)、不正接続遮断装置50は、受信したパケットがARPリクエスト又はDHCPディスカバーであるか否かを判定する(S12)。受信したパケットがARPリクエスト又はDHCPディスカバーである場合(S12でYES)、不正接続遮断装置50は、受信したパケットに含まれる送信元のMACアドレスを取得する(S13)。
不正接続遮断装置50は、取得したMACアドレスに対してハッシュ演算を行い(S14)、パイプライン処理をオン(実行する)とし(S15)、ハッシュ演算によって得られたハッシュ値に基づくアドレスに格納されたMACアドレスを読み出すことによって、メモリ57のホワイトリスト571からMACアドレスを読み出す(S16)。
不正接続遮断装置50は、MACアドレスを読み出すことができたか否かに応じて、送信元のMACアドレスが正当であるか否かを判定する(S17)。送信元のMACアドレスが正当ではない場合(S17でNO)、不正接続遮断装置50は、偽のMACアドレスを付加してARPリプライを送信、あるいは偽のIPアドレスを付加してDHCPオファー送信する(S18)。
不正接続遮断装置50は、DHCPリクエストを受信したか否かを判定し(S19)、DHCPリクエストを受信した場合(S19でYES)、DHCPアックを送信し(S20)、処理を終了する。
受信したパケットがARPリクエスト又はDHCPディスカバーでない場合(S12でNO)、送信元のMACアドレスが正当ではない場合(S17でNO)、あるいは、DHCPリクエストを受信していない場合(S19でNO)、不正接続遮断装置50は、処理を終了する。
上述のとおり、本実施の形態によれば、ネットワーク構成を変更することなく、ネットワークでの不正接続を検知・遮断することができる。
不正装置を遮断する方法として、以下のような手法も考えられる。すなわち、端末装置からのパケットを検出し、検出したパケットに含まれるMACアドレスがホワイトリストに存在しない場合、当該端末装置を不正装置として検知する。次に、偽のMACアドレスを含むARPリプライ(GARP:Gratuitous ARP)を当該不正装置に対して送信することにより、当該不正装置のARPキャッシュを更新する。これにより、当該不正装置はネットワーク上の情報処理装置と通信することができなくなる。このような手法は、ARP Poisoningとも称されている。しかし、このような手法への対策が行われ始めており、また攻撃者が盗聴などを行うため用いる攻撃手法でもある。かかる手法は、ARPのみ対応可能であるが、本実施の形態によれば、ARPだけでなくDHCPにも対応することができ、不正接続の検知・遮断を広範囲に適用することができる。
本実施の形態に係る不正接続遮断装置は、ネットワークでの不正接続を遮断する不正接続遮断装置であって、第1アドレスを有する第1装置が第2装置に対して第2アドレスを要求する要求パケットを取得する取得部と、該取得部で取得した要求パケットに含まれる第1アドレスが正当であるか否かを判定する判定部と、該判定部で前記第1アドレスが正当でないと判定した場合、前記第2装置が前記第2アドレスを前記第1装置へ送信する前に、所定のアドレスを前記第1装置へ送信する送信部とを備える。
本実施の形態に係る不正接続遮断方法は、ネットワークでの不正接続を遮断する不正接続遮断方法であって、第1アドレスを有する第1装置が第2装置に対して第2アドレスを要求する要求パケットを取得部が取得し、取得された要求パケットに含まれる第1アドレスが正当であるか否かを判定部が判定し、前記第1アドレスが正当でないと判定された場合、前記第2装置が前記第2アドレスを前記第1装置へ送信する前に、所定のアドレスを前記第1装置へ送信部が送信する。
取得部は、第1アドレスを有する第1装置が第2装置に対して第2アドレスを要求する要求パケットを取得する。第1アドレスは、ネットワークに接続される装置の識別に使用するアドレスであり、例えば、MACアドレス(Media Access Control address)とすることができる。要求パケットは、例えば、第1装置が第2装置と通信を行うためのARP(Address Resolution Protocol)パケット、あるいは、第1装置がネットワークに接続するのに必要なIP(Internet Protocol)アドレスを要求するDHCP(Dynamic Host Configuration Protocol)パケットなどを含む。要求パケットがARPパケットである場合、第2アドレスはMACアドレスである。また、要求パケットがDHCPパケットである場合、第2アドレスはIPアドレスである。
判定部は、取得部で取得した要求パケットに含まれる第1アドレスが正当であるか否かを判定する。予め、ネットワークへの接続が許可された複数の装置の第1アドレスのリスト(ホワイトリストとも称する)を記憶しておく。判定部は、第1装置の第1アドレスが、リストに記録された正当な第1アドレスのいずれかと一致するか否かを判定し、一致する場合には、第1装置による接続は正当であると判定し、一致しない場合には、第1装置による接続は正当でないと判定する。
送信部は、判定部で第1アドレスが正当でないと判定した場合、第2装置が第2アドレスを第1装置へ送信する前に、所定のアドレスを第1装置へ送信する。要求パケットがARPパケットである場合、第2装置は、第1装置が通信しようとする相手である。また、要求パケットがDHCPパケットである場合、第2装置は、DHCPサーバである。所定のアドレスは、例えば、ネットワーク上に存在しない偽のアドレスである。
第2装置が、第1装置の要求パケットに対して応答する場合、例えば、数百μsから数ms程度の応答時間を要する。送信部は、第2装置が第2アドレスを第1装置へ送信する前、例えば、数μs程度の応答時間内に所定のアドレスを第1装置へ送信する。第1装置は、要求パケットに対して最初に取得する応答を正しいものとして受け取る。しかし、最初に取得する応答には、偽のアドレスが含まれているため、第1装置は、第2装置と通信することができず、あるいはネットワークに接続することができず、不正な第1装置による不正接続を遮断することができる。
本実施の形態に係る不正接続遮断装置において、前記送信部は、前記判定部で前記第1アドレスが正当であると判定した場合、前記所定のアドレスを前記第1装置へ送信しない。
送信部は、判定部で第1アドレスが正当であると判定した場合、所定のアドレスを第1装置へ送信しない。これにより、第1装置は、第2装置から第2アドレスを取得することができるので、正当な第1装置と第2装置との間の通信、あるいは正当な第1装置のネットワークへの接続を行わせることができる。
本実施の形態に係る不正接続遮断装置は、複数の正当な第1アドレスを記憶した記憶部を備え、前記判定部は、取得した要求パケットに含まれる第1アドレスが前記記憶部に記憶した第1アドレスに一致するか否かに応じて、前記要求パケットに含まれる第1アドレスが正当であるか否かを判定する。
記憶部は、複数の正当な第1アドレスを記憶する。正当な第1アドレスは、例えば、ネットワーク上で他の装置との間の通信が許可された装置の第1アドレス、あるいはネットワークへの接続が許可された装置の第1アドレスとすることができる。
判定部は、取得した要求パケットに含まれる第1アドレスが記憶部に記憶した第1アドレスに一致するか否かに応じて、要求パケットに含まれる第1アドレスが正当であるか否かを判定する。これにより、許可された装置以外の装置が不正に接続しようとしても、不正接続を遮断することができる。
本実施の形態に係る不正接続遮断装置は、複数の正当な第1アドレスに対してハッシュ演算を行って得られたハッシュ値に基づくアドレスに複数の正当な第1アドレスを対応付けて記憶する記憶部と、取得した要求パケットに含まれる第1アドレスに対して前記ハッシュ演算を行う演算部とを備え、前記判定部は、前記演算部で演算して得られたハッシュ値に基づく前記記憶部のアドレスに正当な第1アドレスが記憶されていない場合、前記要求パケットに含まれる第1アドレスが正当ではないと判定する。
記憶部は、複数の正当な第1アドレスに対してハッシュ演算を行って得られたハッシュ値に基づくアドレスに複数の正当な第1アドレスを対応付けて記憶する。ハッシュ演算によって第1アドレスのビット数よりも少ないビット数のハッシュ値を得ることができる。記憶部は、例えば、DRAM(Dynamic Random Access Memory)とすることができ、ハッシュ値に基づく値をアドレスに対応させ、当該アドレスにハッシュ値に対応する第1アドレス(ハッシュ演算によって当該ハッシュ値を得ることができた第1アドレス)を記憶する。これにより、メモリ空間のどのアドレスを参照するかがハッシュ値によって決定される。
演算部は、取得した要求パケットに含まれる第1アドレスに対して当該ハッシュ演算を行う。これにより、第1アドレスに対応するハッシュ値を得ることができる。
判定部は、演算部で演算して得られたハッシュ値に基づく記憶部のアドレスに正当な第1アドレスが記憶されていない場合、要求パケットに含まれる第1アドレスが正当ではないと判定する。記憶部のアドレスがハッシュ値に基づく値に対応し、当該アドレスに記憶したデータが第1アドレスに対応するので、演算部で演算して得られたハッシュ値に基づくアドレスに第1アドレスが記憶されていない場合、要求パケットに含まれる第1アドレスが正当ではないと判定することができる。これにより、演算部で演算して得られたハッシュ値に基づくアドレスを1回アクセス(例えば、READコマンド)するだけで、要求パケットに含まれる第1アドレスが正当であるか否かを判定することができ、判定処理に要する時間を短縮することができる。
本実施の形態に係る不正接続遮断装置は、前記取得部で要求パケットを取得する都度、前記記憶部に記憶した正当な第1アドレスをパイプライン処理で読み出すパイプライン処理部を備え、前記判定部は、前記パイプライン処理部で読み出した結果に基づいて、取得した要求パケットに含まれる第1アドレスが正当であるか否かを判定する。
パイプライン処理部は、取得部で要求パケットを取得する都度、記憶部に記憶した正当な第1アドレスをパイプライン処理で読み出す。例えば、READコマンドによって第1アドレスを読み出す場合、パイプライン処理部は、READコマンドによって第1アドレスが読み出される前に当該READコマンドの次のREADコマンドを出力することができる。
判定部は、パイプライン処理部で読み出した結果に基づいて、取得した要求パケットに含まれる第1アドレスが正当であるか否かを判定する。例えば、第1アドレスが読み出された場合、要求パケットに含まれる第1アドレスが正当であると判定することができる。また、第1アドレスが読み出されない場合、要求パケットに含まれる第1アドレスが正当でないと判定することができる。パイプライン処理部を備えることにより、要求パケットの取得頻度が高くなった場合でも、判定部による判定処理に要する時間を短縮することができる。
本実施の形態に係る不正接続遮断装置において、前記取得部は、前記要求パケットを含む任意のパケットを取得し、前記取得部で取得したパケットが要求パケットであるか否かに応じて前記パイプライン処理部の処理の実行・停止を決定する決定部を備える。
取得部は、要求パケットを含む任意のパケットを取得する。すなわち、取得部は、要求パケットだけでなく、他の任意のパケットも取得する。
決定部は、取得部で取得したパケットが要求パケットであるか否かに応じてパイプライン処理部の処理の実行・停止を決定する。例えば、取得したパケットが要求パケットである場合、パイプライン処理部の処理を実行し、取得したパケットが要求パケットでない場合、パイプライン処理部の処理を停止することができる。これにより、要求パケットを取得したときだけ、パイプライン処理部の処理を実行して、判定部による判定処理に要する時間を短縮することができる。
本実施の形態に係る不正接続遮断装置において、前記判定部又は演算部での処理は、ハードウェアで行う。
判定部又は演算部での処理は、ハードウェアで行う。例えば、判定部又は演算部をFPGA(field-programmable gate array)又はASIC(application specific integrated circuit)等の半導体チップで構成することができる。これにより、判定部又は演算部での処理をソフトウェアで実行する場合に比べて処理時間を大幅に短縮することができる。
本実施の形態に係る不正接続遮断装置において、前記第1アドレスは、MACアドレスである。
第1アドレスは、MACアドレスである。これにより、ネットワークに接続しようとしている不正な装置を特定することができる。
本実施の形態に係る不正接続遮断装置において、前記第2アドレスは、MACアドレス又はIPアドレスである。
第2アドレスは、MACアドレス又はIPアドレスである。これにより、ネットワークへの接続のためにMACアドレス又はIPアドレスを要求する不正な装置による不正接続を遮断することができる。
本実施の形態に係る不正接続遮断装置において、前記所定のアドレスは、偽のMACアドレス又はIPアドレスである。
所定のアドレスは、偽のMACアドレス又はIPアドレスである。偽のMACアドレスは、例えば、ネットワーク上に存在しないMACアドレスである。また、偽のIPアドレスは、隔離されたIPアドレスであり、例えば、ネットワークに全くアクセスすることができないIPアドレス、あるいは所定の認証処理が要求されるIPアドレスである。これにより、不正な第1装置は、ネットワーク上の他の装置との通信を行うことができない、あるいは、ネットワークに接続することができないので、不正接続を遮断することができる。
1 ネットワーク通信線
10 スイッチ
20 情報処理装置
30 DHCPサーバ
50 不正接続遮断装置
51 ネットワークインタフェース部
52 受信部
53 送信部
54 判定部
55 演算部
56 パイプライン処理部
57 メモリ
571 ホワイトリスト
58 決定部
59 CPU
60 登録処理部
100 管理サーバ
200 不正装置

Claims (11)

  1. ネットワークでの不正接続を遮断する不正接続遮断装置であって、
    第1アドレスを有する第1装置が第2装置に対して第2アドレスを要求する要求パケットを取得する取得部と、
    該取得部で取得した要求パケットに含まれる第1アドレスが正当であるか否かを判定する判定部と、
    該判定部で前記第1アドレスが正当でないと判定した場合、前記第2装置が前記第2アドレスを前記第1装置へ送信する前に、所定のアドレスを前記第1装置へ送信する送信部と
    を備える不正接続遮断装置。
  2. 前記送信部は、
    前記判定部で前記第1アドレスが正当であると判定した場合、前記所定のアドレスを前記第1装置へ送信しない請求項1に記載の不正接続遮断装置。
  3. 複数の正当な第1アドレスを記憶した記憶部を備え、
    前記判定部は、
    取得した要求パケットに含まれる第1アドレスが前記記憶部に記憶した第1アドレスに一致するか否かに応じて、前記要求パケットに含まれる第1アドレスが正当であるか否かを判定する請求項1又は請求項2に記載の不正接続遮断装置。
  4. 複数の正当な第1アドレスに対してハッシュ演算を行って得られたハッシュ値に基づくアドレスに複数の正当な第1アドレスを対応付けて記憶する記憶部と、
    取得した要求パケットに含まれる第1アドレスに対して前記ハッシュ演算を行う演算部と
    を備え、
    前記判定部は、
    前記演算部で演算して得られたハッシュ値に基づく前記記憶部のアドレスに正当な第1アドレスが記憶されていない場合、前記要求パケットに含まれる第1アドレスが正当ではないと判定する請求項1又は請求項2に記載の不正接続遮断装置。
  5. 前記取得部で要求パケットを取得する都度、前記記憶部に記憶した正当な第1アドレスをパイプライン処理で読み出すパイプライン処理部を備え、
    前記判定部は、
    前記パイプライン処理部で読み出した結果に基づいて、取得した要求パケットに含まれる第1アドレスが正当であるか否かを判定する請求項3又は請求項4に記載の不正接続遮断装置。
  6. 前記取得部は、
    前記要求パケットを含む任意のパケットを取得し、
    前記取得部で取得したパケットが要求パケットであるか否かに応じて前記パイプライン処理部の処理の実行・停止を決定する決定部を備える請求項5に記載の不正接続遮断装置。
  7. 前記判定部又は演算部での処理は、ハードウェアで行う請求項1から請求項6のいずれか一項に記載の不正接続遮断装置。
  8. 前記第1アドレスは、MACアドレスである請求項1から請求項7のいずれか一項に記載の不正接続遮断装置。
  9. 前記第2アドレスは、MACアドレス又はIPアドレスである請求項1から請求項8のいずれか一項に記載の不正接続遮断装置。
  10. 前記所定のアドレスは、偽のMACアドレス又はIPアドレスである請求項1から請求項9のいずれか一項に記載の不正接続遮断装置。
  11. ネットワークでの不正接続を遮断する不正接続遮断方法であって、
    第1アドレスを有する第1装置が第2装置に対して第2アドレスを要求する要求パケットを取得部が取得し、
    取得された要求パケットに含まれる第1アドレスが正当であるか否かを判定部が判定し、
    前記第1アドレスが正当でないと判定された場合、前記第2装置が前記第2アドレスを前記第1装置へ送信する前に、所定のアドレスを前記第1装置へ送信部が送信する不正接続遮断方法。
JP2017160290A 2017-08-23 2017-08-23 不正接続遮断装置及び不正接続遮断方法 Pending JP2019041176A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017160290A JP2019041176A (ja) 2017-08-23 2017-08-23 不正接続遮断装置及び不正接続遮断方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017160290A JP2019041176A (ja) 2017-08-23 2017-08-23 不正接続遮断装置及び不正接続遮断方法

Publications (1)

Publication Number Publication Date
JP2019041176A true JP2019041176A (ja) 2019-03-14

Family

ID=65725891

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017160290A Pending JP2019041176A (ja) 2017-08-23 2017-08-23 不正接続遮断装置及び不正接続遮断方法

Country Status (1)

Country Link
JP (1) JP2019041176A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114666300A (zh) * 2022-05-20 2022-06-24 杭州海康威视数字技术股份有限公司 基于多任务的双向连接阻断方法、装置及电子设备
US20220231987A1 (en) * 2017-12-07 2022-07-21 Ridgeback Network Defense, Inc. Network anti-tampering system

Citations (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08241293A (ja) * 1995-03-06 1996-09-17 Gijutsu Kenkyu Kumiai Shinjoho Shiyori Kaihatsu Kiko 遠隔メモリアクセス制御装置
JP2002334114A (ja) * 2001-05-10 2002-11-22 Allied Tereshisu Kk テーブル管理方法及び装置
JP2005045442A (ja) * 2003-07-25 2005-02-17 Hitachi Cable Ltd 宛先判定回路
JP2006262019A (ja) * 2005-03-16 2006-09-28 Fujitsu Ltd ネットワーク検疫プログラム、該プログラムを記録した記録媒体、ネットワーク検疫方法、およびネットワーク検疫装置
JP2007266931A (ja) * 2006-03-28 2007-10-11 Matsushita Electric Works Ltd 通信遮断装置、通信遮断プログラム
JP2008054204A (ja) * 2006-08-28 2008-03-06 Mitsubishi Electric Corp 接続装置及び端末装置及びデータ確認プログラム
JP2008227600A (ja) * 2007-03-08 2008-09-25 Toshiba Corp 通信妨害装置及び通信妨害プログラム
JP2008244765A (ja) * 2007-03-27 2008-10-09 Toshiba Corp 動的ホスト構成プロトコルサーバ及びipアドレス割り当て方法
JP4174392B2 (ja) * 2003-08-28 2008-10-29 日本電気株式会社 ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置
JP2008271242A (ja) * 2007-04-20 2008-11-06 Nippon Telegraph & Telephone East Corp ネットワーク監視装置、ネットワーク監視用プログラム、およびネットワーク監視システム
JP2009225045A (ja) * 2008-03-14 2009-10-01 Toshiba Corp 通信妨害装置及び通信妨害プログラム
JP2010220066A (ja) * 2009-03-18 2010-09-30 Toshiba Corp ネットワーク監視装置及びネットワーク監視方法
JP2012010182A (ja) * 2010-06-25 2012-01-12 Sony Corp 情報処理装置と情報処理方法
WO2012014509A1 (ja) * 2010-07-30 2012-02-02 株式会社サイバー・ソリューションズ 不正アクセス遮断制御方法
JP2015130585A (ja) * 2014-01-07 2015-07-16 株式会社リコー 通信端末、通信端末のプログラム、通信パラメータの設定方法及び通信システム
JP2016072801A (ja) * 2014-09-30 2016-05-09 パナソニックIpマネジメント株式会社 通信監視装置及び通信監視システム

Patent Citations (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08241293A (ja) * 1995-03-06 1996-09-17 Gijutsu Kenkyu Kumiai Shinjoho Shiyori Kaihatsu Kiko 遠隔メモリアクセス制御装置
JP2002334114A (ja) * 2001-05-10 2002-11-22 Allied Tereshisu Kk テーブル管理方法及び装置
JP2005045442A (ja) * 2003-07-25 2005-02-17 Hitachi Cable Ltd 宛先判定回路
JP4174392B2 (ja) * 2003-08-28 2008-10-29 日本電気株式会社 ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置
JP2006262019A (ja) * 2005-03-16 2006-09-28 Fujitsu Ltd ネットワーク検疫プログラム、該プログラムを記録した記録媒体、ネットワーク検疫方法、およびネットワーク検疫装置
JP2007266931A (ja) * 2006-03-28 2007-10-11 Matsushita Electric Works Ltd 通信遮断装置、通信遮断プログラム
JP2008054204A (ja) * 2006-08-28 2008-03-06 Mitsubishi Electric Corp 接続装置及び端末装置及びデータ確認プログラム
JP2008227600A (ja) * 2007-03-08 2008-09-25 Toshiba Corp 通信妨害装置及び通信妨害プログラム
JP2008244765A (ja) * 2007-03-27 2008-10-09 Toshiba Corp 動的ホスト構成プロトコルサーバ及びipアドレス割り当て方法
JP2008271242A (ja) * 2007-04-20 2008-11-06 Nippon Telegraph & Telephone East Corp ネットワーク監視装置、ネットワーク監視用プログラム、およびネットワーク監視システム
JP2009225045A (ja) * 2008-03-14 2009-10-01 Toshiba Corp 通信妨害装置及び通信妨害プログラム
JP2010220066A (ja) * 2009-03-18 2010-09-30 Toshiba Corp ネットワーク監視装置及びネットワーク監視方法
JP2012010182A (ja) * 2010-06-25 2012-01-12 Sony Corp 情報処理装置と情報処理方法
WO2012014509A1 (ja) * 2010-07-30 2012-02-02 株式会社サイバー・ソリューションズ 不正アクセス遮断制御方法
JP2015130585A (ja) * 2014-01-07 2015-07-16 株式会社リコー 通信端末、通信端末のプログラム、通信パラメータの設定方法及び通信システム
JP2016072801A (ja) * 2014-09-30 2016-05-09 パナソニックIpマネジメント株式会社 通信監視装置及び通信監視システム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
岡嶋 裕史 YUUSHI OKAJIMA, 平成28年度[春期][秋期] 情報セキュリティスペシャリスト合格教本 第8版 INFORMATION SECURITY S, vol. 第8版, JPN6019035066, 25 January 2016 (2016-01-25), pages 117 - 120, ISSN: 0004233063 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220231987A1 (en) * 2017-12-07 2022-07-21 Ridgeback Network Defense, Inc. Network anti-tampering system
CN114666300A (zh) * 2022-05-20 2022-06-24 杭州海康威视数字技术股份有限公司 基于多任务的双向连接阻断方法、装置及电子设备
CN114666300B (zh) * 2022-05-20 2022-09-02 杭州海康威视数字技术股份有限公司 基于多任务的双向连接阻断方法、装置及电子设备

Similar Documents

Publication Publication Date Title
US9712559B2 (en) Identifying frames
US10708780B2 (en) Registration of an internet of things (IoT) device using a physically uncloneable function
JP4672780B2 (ja) ネットワーク監視装置及びネットワーク監視方法
US20190058731A1 (en) User-side detection and containment of arp spoofing attacks
EP2154858A1 (en) Method and device of preventing arp address from being cheated and attacked
US20190068592A1 (en) Uncloneable Registration of an Internet of Things (IoT) Device in a Network
CN102025734B (zh) 一种防止mac地址欺骗的方法、系统及交换机
US8107396B1 (en) Host tracking in a layer 2 IP ethernet network
CN101621525B (zh) 合法表项的处理方法和设备
JP2016213836A (ja) ネットワークのクライアントにInternet Protocolアドレスを割り当てるための方法および対応する機器
TWI506472B (zh) 網路設備及其防止位址解析協定報文攻擊的方法
US20120144483A1 (en) Method and apparatus for preventing network attack
US9930049B2 (en) Method and apparatus for verifying source addresses in a communication network
US20170237769A1 (en) Packet transfer method and packet transfer apparatus
US8209529B2 (en) Authentication system, network line concentrator, authentication method and authentication program
CN105634660A (zh) 数据包检测方法及系统
CN111654485B (zh) 一种客户端的认证方法以及设备
CN106302384A (zh) Dns报文处理方法及装置
CN102801716B (zh) 一种dhcp防攻击方法及装置
CN102546429A (zh) 基于dhcp监听的isatap隧道的认证方法和系统
US7916733B2 (en) Data communication apparatus, data communication method, program, and storage medium
JP2019041176A (ja) 不正接続遮断装置及び不正接続遮断方法
JP3590394B2 (ja) パケット転送装置、パケット転送方法およびプログラム
US9124625B1 (en) Interdicting undesired service
CN113014682B (zh) 实现网络动态性的方法、系统、终端设备及存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190820

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20190820

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20190903

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190910

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20200317