知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】特開2019-106583(P2019-106583A)
(43)【公開日】2019年6月27日
(54)【発明の名称】ネットワーク監視装置および方法
(51)【国際特許分類】
H04L 12/70 20130101AFI20190607BHJP
H04L 12/28 20060101ALI20190607BHJP
【FI】
H04L12/70 100Z
H04L12/28 200Z
H04L12/70 B
H04L12/28 200A
【審査請求】未請求
【請求項の数】4
【出願形態】OL
【全頁数】11
(21)【出願番号】特願2017-236711(P2017-236711)
(22)【出願日】2017年12月11日
(71)【出願人】
【識別番号】304020498
【氏名又は名称】サクサ株式会社
(74)【代理人】
【識別番号】100098394
【弁理士】
【氏名又は名称】山川 茂樹
(74)【代理人】
【識別番号】100064621
【弁理士】
【氏名又は名称】山川 政樹
(72)【発明者】
【氏名】澤田 隆行
(72)【発明者】
【氏名】廣瀬 徹也
(72)【発明者】
【氏名】墨 豊
【テーマコード(参考)】
5K030
5K033
【Fターム(参考)】
5K030GA15
5K030JA10
5K030KA07
5K030MA04
5K030MC08
5K033AA08
5K033DB12
5K033DB20
5K033EA02
5K033EA06
5K033EC03
(57)【要約】
【課題】不正端末による通信を確実に妨害する。【解決手段】ネットワーク監視装置10において、通信監視部13が、通信ネットワークLに接続された端末による通信を監視し、任意の端末から重複確認パケットが送信された場合、当該重複確認パケットに含まれる確認IPアドレスを抽出して記憶部12のアドレスリスト12Aと照合することにより、重複確認パケットの送信元端末が不正端末21であるか否かを判定し、送信元端末が不正端末21であると判定された場合、重複応答返信部14が、確認IPアドレスが重複していることを示す重複応答パケットを、送信元端末すなわち不正端末21へ返送する。
【選択図】 図1
【特許請求の範囲】
【請求項1】
通信ネットワークを介して任意の端末と通信を行う通信I/F部と、
前記通信ネットワークを介した通信が許可されている正規端末のアドレスが予め登録されているアドレスリストを記憶する記憶部と、
前記通信ネットワークに接続された端末による通信を監視し、任意の端末から重複確認パケットが送信された場合、当該重複確認パケットに含まれる確認IPアドレスを抽出して前記アドレスリストと照合することにより、前記重複確認パケットの送信元端末が不正端末であるか否かを判定する通信監視部と、
前記送信元端末が不正端末であると判定された場合、前記確認IPアドレスが重複していることを示す重複応答パケットを、前記送信元端末へ返送する重複応答返信部と
を備えることを特徴とするネットワーク監視装置。
前記通信ネットワークを介した通信が許可されている正規端末のアドレスが予め登録されているアドレスリストを記憶する記憶部と、
前記通信ネットワークに接続された端末による通信を監視し、任意の端末から重複確認パケットが送信された場合、当該重複確認パケットに含まれる確認IPアドレスを抽出して前記アドレスリストと照合することにより、前記重複確認パケットの送信元端末が不正端末であるか否かを判定する通信監視部と、
前記送信元端末が不正端末であると判定された場合、前記確認IPアドレスが重複していることを示す重複応答パケットを、前記送信元端末へ返送する重複応答返信部と
を備えることを特徴とするネットワーク監視装置。
【請求項2】
請求項1に記載のネットワーク監視装置において、
前記送信元端末が不正端末であると判定された場合、前記確認IPアドレスを新たな自IPアドレスとして前記通信I/F部に追加設定する通信I/F設定部を、さらに備えることを特徴とするネットワーク監視装置。
前記送信元端末が不正端末であると判定された場合、前記確認IPアドレスを新たな自IPアドレスとして前記通信I/F部に追加設定する通信I/F設定部を、さらに備えることを特徴とするネットワーク監視装置。
【請求項3】
請求項1または請求項2に記載のネットワーク監視装置において、
前記通信監視部は、前記重複確認パケットとして重複確認用のARPプローブパケットが送信された場合、当該ARPプローブパケットに含まれる前記確認IPアドレスを抽出して前記アドレスリストと照合することにより、前記送信元端末が不正端末であるか否かを判定し、
前記重複応答返信部は、前記送信元端末が不正端末であると判定された場合、前記ARPプローブパケットに含まれる前記確認IPアドレスを送信元アドレスとし、自装置MACアドレスを送信元MACアドレスとした重複応答用のARPリプライパケットを、前記送信元端末へ返送する
ことを特徴とするネットワーク監視装置。
前記通信監視部は、前記重複確認パケットとして重複確認用のARPプローブパケットが送信された場合、当該ARPプローブパケットに含まれる前記確認IPアドレスを抽出して前記アドレスリストと照合することにより、前記送信元端末が不正端末であるか否かを判定し、
前記重複応答返信部は、前記送信元端末が不正端末であると判定された場合、前記ARPプローブパケットに含まれる前記確認IPアドレスを送信元アドレスとし、自装置MACアドレスを送信元MACアドレスとした重複応答用のARPリプライパケットを、前記送信元端末へ返送する
ことを特徴とするネットワーク監視装置。
【請求項4】
通信ネットワークに接続されるネットワーク機器で用いられるネットワーク監視方法であって、
記憶部が、前記通信ネットワークを介した通信が許可されている正規端末のアドレスが予め登録されているアドレスリストを記憶する記憶ステップと、
通信監視部が、前記通信ネットワークに接続された端末による通信を監視し、任意の端末から重複確認パケットが送信された場合、当該重複確認パケットに含まれる確認IPアドレスを抽出して前記アドレスリストと照合することにより、前記重複確認パケットの送信元端末が不正端末であるか否かを判定する通信監視ステップと、
重複応答返信部が、前記送信元端末が不正端末であると判定された場合、前記確認IPアドレスが重複していることを示す重複応答パケットを、前記送信元端末へ返送する重複応答返信ステップと
を備えることを特徴とするネットワーク監視方法。
記憶部が、前記通信ネットワークを介した通信が許可されている正規端末のアドレスが予め登録されているアドレスリストを記憶する記憶ステップと、
通信監視部が、前記通信ネットワークに接続された端末による通信を監視し、任意の端末から重複確認パケットが送信された場合、当該重複確認パケットに含まれる確認IPアドレスを抽出して前記アドレスリストと照合することにより、前記重複確認パケットの送信元端末が不正端末であるか否かを判定する通信監視ステップと、
重複応答返信部が、前記送信元端末が不正端末であると判定された場合、前記確認IPアドレスが重複していることを示す重複応答パケットを、前記送信元端末へ返送する重複応答返信ステップと
を備えることを特徴とするネットワーク監視方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信ネットワークに接続された端末による通信を監視し、許可されていない不正端末による不正な通信を妨害するためのネットワーク監視技術に関する。
【背景技術】
【0002】
従来、通信ネットワークに接続された端末による通信を監視し、許可されていない不正端末による通信を妨害するネットワーク監視技術として、通信開始時に端末から送信されるARPリクエストを監視する技術が提案されている(例えば、特許文献1など参照)。例えばLANからなる通信ネットワークを介して、任意の相手端末と通信を行う際、レイヤ3(ネットワーク層)でIPによりパケットを送受信するには、相手端末のIPアドレスが必要となる。
【0003】
これに加えて、レイヤ2(データリンク層)で、Ethernet(登録商標)でパケットを格納したフレームを送受信するには、相手端末のMACアドレスが必要となる。このため、レイヤ2では、ARPリクエストとARPリプライという制御用パケットを送受信することにより、指定したIPアドレスの相手端末のMACアドレスを取得するプロトコル、すなわちARP(Address Resolution Protocol)が規定されている。
【0004】
このARPでは、まず、送信元端末が、相手端末のIPアドレスを確認IPアドレスとして指定したARPリクエストパケットを通信ネットワークへブロードキャスト送信する。次に、通信ネットワークに接続されている各端末は、当該ARPリクエストパケットの確認IPアドレスが自端末のIPアドレスと一致するか確認する。この後、IPアドレスが一致した端末が、自端末のMACアドレスを含むARPリプライパケットを送信元端末へ通知する。
【0005】
前述した従来技術は、このようなARPリクエストパケットが不正端末からも必ず送信されることに着目し、不正端末からのARPリクエストパケットに対して、指定された確認IPアドレスと対応する実際のMACアドレスとは異なるMACアドレスを用いた偽のARPリプライパケットを、ネットワーク監視装置から不正端末へ通知するようにしたものである。これにより、不正端末には、偽のARPリプライパケットで本来とは異なるMACアドレスが通知されるため、不正端末が混乱して通信ができなくなり、結果として、不正端末の通信が妨害されることになる。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2008−227600号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、このような従来技術では、ARPリクエストパケットの宛先として指定されていないネットワーク監視装置から、偽のARPリプライパケットが送信されるため、この偽のARPリプライパケットが、不正端末や同じ通信ネットワークに接続されている他の端末装置で検査され、不正なARPリプライパケットであると判定される場合がある。したがって、このような場合には、ARPリクエストパケットで指定された確認IPアドレスの端末からのARPリプライパケットにより、不正端末が通信を開始する可能性があり、結果として不正端末の通信を妨害できないという問題点があった。
【0008】
本発明はこのような課題を解決するためのものであり、不正端末による通信を確実に妨害することができるネットワーク監視技術を提供することを目的としている。
【課題を解決するための手段】
【0009】
このような目的を達成するために、本発明にかかるネットワーク監視装置は、通信ネットワークを介して任意の端末と通信を行う通信I/F部と、前記通信ネットワークを介した通信が許可されている正規端末のアドレスが予め登録されているアドレスリストを記憶する記憶部と、前記通信ネットワークに接続された端末による通信を監視し、任意の端末から重複確認パケットが送信された場合、当該重複確認パケットに含まれる確認IPアドレスを抽出して前記アドレスリストと照合することにより、前記重複確認パケットの送信元端末が不正端末であるか否かを判定する通信監視部と、前記送信元端末が不正端末であると判定された場合、前記確認IPアドレスが重複していることを示す重複応答パケットを、前記送信元端末へ返送する重複応答返信部とを備えている。
【0010】
また、本発明にかかる上記ネットワーク監視装置の一構成例は、前記送信元端末が不正端末であると判定された場合、前記確認IPアドレスを新たな自IPアドレスとして前記通信I/F部に追加設定する通信I/F設定部を、さらに備えている。
【0011】
また、本発明にかかる上記ネットワーク監視装置の一構成例は、前記通信監視部が、前記重複確認パケットとして重複確認用のARPプローブパケットが送信された場合、当該ARPプローブパケットに含まれる前記確認IPアドレスを抽出して前記アドレスリストと照合することにより、前記送信元端末が不正端末であるか否かを判定し、前記重複応答返信部は、前記送信元端末が不正端末であると判定された場合、前記ARPプローブパケットに含まれる前記確認IPアドレスを送信元アドレスとし、自装置MACアドレスを送信元MACアドレスとした重複応答用のARPリプライパケットを、前記送信元端末へ返送するようにしたものである。
【0012】
また、本発明にかかるネットワーク監視方法は、通信ネットワークに接続されるネットワーク機器で用いられるネットワーク監視方法であって、記憶部が、前記通信ネットワークを介した通信が許可されている正規端末のアドレスが予め登録されているアドレスリストを記憶する記憶ステップと、通信監視部が、前記通信ネットワークに接続された端末による通信を監視し、任意の端末から重複確認パケットが送信された場合、当該重複確認パケットに含まれる確認IPアドレスを抽出して前記アドレスリストと照合することにより、前記重複確認パケットの送信元端末が不正端末であるか否かを判定する通信監視ステップと、重複応答返信部が、前記送信元端末が不正端末であると判定された場合、前記確認IPアドレスが重複していることを示す重複応答パケットを、前記送信元端末へ返送する重複応答返信ステップとを備えている。
【発明の効果】
【0013】
本発明によれば、不正端末からの重複確認パケットに対して、重複応答用のARPリプライパケットが不正端末へ返送されるため、不正端末による通信を確実に妨害することが可能となる。また、本発明によれば、不正端末が通信ネットワークLで用いる自己のIPアドレスの設定自体を阻止することができるため、不正端末が自己のIPアドレスを使用可能状態となった以降に通信妨害を行う従来技術と比較して、より高いセキュリティ性を得ることができる。
【図面の簡単な説明】
【0014】
【図1】ネットワーク監視装置の構成を示すブロック図である。
【図2】アドレスリストの構成例である。
【図3】ARPパケットの構成例である。
【図4】ARPプローブパケットの送信例である。
【図5】ネットワーク監視動作を示すシーケンス図である。
【発明を実施するための形態】
【0015】
次に、本発明の一実施の形態について図面を参照して説明する。[ネットワーク監視装置]
まず、図1を参照して、本実施の形態にかかるネットワーク監視装置10について説明する。図1は、ネットワーク監視装置の構成を示すブロック図である。
【0016】
このネットワーク監視装置10は、全体としてUTM(Unified Threat Management)、ゲートウェイ、ルータ、スイッチ、ハブなどのネットワーク機器からなり、LAN(Local Area Network)などの通信ネットワークLに接続されて、通信ネットワークLに接続された端末による通信を監視し、許可されていない不正端末21による、許可されている正規端末20との不正な通信を妨害する機能を有している。
【0017】
図1に示すように、ネットワーク監視装置10は、主な機能部として、通信I/F部11、記憶部12、通信監視部13、重複応答返信部14、および通信I/F設定部15を備えている。
【0018】
通信I/F部11は、通信ネットワークLに接続された正規端末20や不正端末21との間でパケットを送受信することにより通信を行う機能を有している。記憶部12は、半導体メモリやハードディスクなどの記憶装置からなり、ネットワーク監視装置10の動作に用いる各種の処理データやプログラムを記憶する機能を有している。記憶部12で記憶する主な処理データとして、ネットワーク監視装置10の自IPアドレスおよび自MACアドレスのほか、正規端末20のアドレスリスト12Aがある。
【0019】
図2は、アドレスリストの構成例である。ここでは、正規端末20ごとに、当該正規端末20で用いている正規端末アドレスとして、MACアドレスおよびIPアドレスが予め登録されている。不正端末21を判定する際、不正端末21のMACアドレスおよびIPアドレスが、これら正規端末20のMACアドレスおよびIPアドレスと照合される。なお、照合する際、MACアドレスおよびIPアドレスの一方だけでも照合可能であるため、正規端末アドレスとして、MACアドレスまたはIPアドレスのいずれか一方のみをアドレスリスト12Aに登録してもよい。
【0020】
通信監視部13は、通信ネットワークLに接続された正規端末20や不正端末21による通信を監視し、任意の端末から重複確認パケットが送信された場合、当該重複確認パケットに含まれる確認IPアドレスを抽出してアドレスリストと照合することにより、重複確認パケットの送信元端末が不正端末21であるか否かを判定する機能を有している。
【0021】
重複応答返信部14は、通信監視部13により、重複確認パケットの送信元端末が不正端末21であると判定された場合、当該重複確認パケットに含まれる確認IPアドレスが重複していることを示す重複応答パケットを、送信元端末すなわち不正端末21へ返送する機能を有している。
【0022】
通信I/F設定部15は、通信監視部13により、重複確認パケットの送信元端末が不正端末21であると判定された場合、当該重複確認パケットに含まれる確認IPアドレスを新たな自IPアドレスとして通信I/F部11に追加設定する機能を有している。
【0023】
本実施の形態では、重複確認パケットの具体例として重複確認用のARPプローブパケットを用いる場合を例として説明する。図3は、ARPパケットの構成例である。ここでは、Ethernetフレーム30のデータ部31にARPパケット40を格納した例が示されている。
ARPパケット40は、主な制御データとして、オペレーションコード41、送信元MACアドレス42、送信元IPアドレス43、宛先MACアドレス44、および宛先IPアドレス45を有している。
【0024】
オペレーションコード41は、ARPパケット40のARPの種別を示す識別情報である。パケットをARPリクエストパケットとして用いる場合、オペレーションコード41は0x0001に設定され、パケットをARPリプライパケットとして用いる場合、オペレーションコード41は0x0002に設定される。送信元MACアドレス42および送信元IPアドレス43は、ARPパケットを送信する送信元のMACアドレスおよびIPアドレスである。
宛先MACアドレス44および宛先IPアドレス45は、ARPパケットの送信先のMACアドレスおよびIPアドレスである。
【0025】
図4は、ARPプローブパケットの送信例である。ここでは、不正端末21のMACアドレスおよび確認したい確認IPアドレスと、ネットワーク監視装置10のMACアドレスおよびIPアドレスが、以下であるものとする。・不正端末21
MACアドレス :「xx:xx:xx:xx:xx:01」
確認IPアドレス:「x.x.x.1」
・ネットワーク監視装置10
MACアドレス :「yy:yy:yy:yy:yy:02」
IPアドレス :「y.y.y.2」
【0026】
不正端末21から重複確認用のARPプローブパケットを送信する場合、送信元MACアドレス42には不正端末21のMACアドレスが設定されるが、確認IPアドレスがまだ使用できないため、送信元IPアドレス43には未使用を表す未使用IPアドレスが設定される。また、ARPプローブパケットがすべての端末で受信されるように、宛先MACアドレス44にはブロードキャストアドレスが設定され、宛先IPアドレス45には、確認IPアドレス、すなわち不正端末21が使用したいIPアドレスが設定される。
【0027】
・ARPプローブパケット(重複確認用)送信元MACアドレス:「xx:xx:xx:xx:xx:01」(不正端末のMACアドレス)
送信元IPアドレス :「0.0.0.0」(未使用IPアドレス)
宛先MACアドレス :「FF:FF:FF:FF:FF:FF」(ブロードキャストアドレス)
宛先IPアドレス :「x.x.x.1」(確認IPアドレス)
【0028】
これに対して、ネットワーク監視装置10は、不正端末21が使用したい確認IPアドレスが重複アドレスであることを強制的に通知して、確認IPアドレスの使用を妨害する。このため、不正端末21からのARPプローブパケットに対して、重複応答用のARPリプライパケットを送信する場合、送信元MACアドレス42には、自装置のMACアドレスが設定され、送信元IPアドレスには確認IPアドレスが設定される。また、宛先MACアドレスおよび宛先IPアドレスには、ARPプローブパケットの送信元MACアドレスおよび送信元IPアドレスがそのまま設定される。
【0029】
・ARPリプライパケット(重複応答用)送信元MACアドレス:「yy:yy:yy:yy:yy:02」(監視装置のMACアドレス)
送信元IPアドレス :「x.x.x.1」(確認IPアドレス)
宛先MACアドレス :「xx:xx:xx:xx:xx:01」(ARPプローブ送信元MACアドレス)
宛先IPアドレス :「0.0.0.0」(ARPプローブ送信元IPアドレス)
【0030】
これにより、不正端末21は、受信したARPリプライパケットにおいて、送信元IPアドレス、すなわち不正端末21が指定した確認IPアドレスに対して、送信元MACアドレスが明示されているため、すでに確認IPアドレスを用いる端末が存在し、確認IPアドレスが重複アドレスであると判定することになる。このため、不正端末21は、確認IPアドレスを使用した通信が行えなくなる。
【0031】
[本実施の形態の動作]次に、図5を参照して、本実施の形態にかかるネットワーク監視装置10の動作について説明する。図5は、ネットワーク監視動作を示すシーケンス図である。
ここでは、ネットワーク監視装置10の記憶部12に、正規端末20のMACアドレスおよびIPアドレスがすでに設定されているものとする。
【0032】
不正端末21が、通信ネットワークLにリンクアップされた場合(ステップ100)、自己が使用するIPアドレスが他の端末と重複していなことを確認するため、図4に示したような、使用したい確認IPアドレスを宛先IPアドレスとして指定した重複確認用のARPプローブパケットを、ブロードキャストで通信ネットワークLに接続されているすべての端末へ送信する(ステップ101)。
【0033】
このARPプローブパケットは、各正規端末20で受信されるが、指定された宛先IPアドレスすなわち確認IPアドレスが自端末のIPアドレスと異なるため、ARPプローブパケットに対するAPRリプライパケットの返信は行わない。
【0034】
一方、ネットワーク監視装置10は、通信I/F部11を介して通信ネットワークLに接続された正規端末20や不正端末21による通信を常時監視しており、不正端末21から送信されたARPプローブパケットの検出に応じて(ステップ102)、次のような一連の通信妨害処理(ステップ103)を実行する。
【0035】
まず、通信監視部13は、検出したARPプローブパケットから送信元MACアドレスを抽出し(ステップ110)、記憶部12のアドレスリスト12Aと照合することにより(ステップ111)、重複確認パケットの送信元端末が不正端末21であるか否かを判定する(ステップ112)。ここで、送信元MACアドレスがアドレスリスト12Aに登録されている正規端末20のものと一致し、照合が成功した場合(ステップ112:NO)、通信監視部13は、一連の通信妨害処理を中止し、通信監視に戻る。
【0036】
一方、送信元MACアドレスがアドレスリスト12Aに登録されている正規端末20のものと一致せず、照合が失敗した場合(ステップ112:YES)、通信監視部13は、ARPプローブパケットの送信元端末が不正端末21であると判定する(ステップ113)。通信I/F設定部15は、通信監視部13により、ARPプローブパケットの送信元端末が不正端末21であると判定された場合、当該ARPプローブパケットに含まれる確認IPアドレスを新たな自IPアドレスとして通信I/F部11に追加設定する(ステップ114)。これにより、正規端末20および不正端末21からは、ネットワーク監視装置10で、確認IPアドレスが使用されていると認識されることになる。
【0037】
また、重複応答返信部14は、通信監視部13により、ARPリプライパケットの送信元端末が不正端末21であると判定された場合、当該ARPプローブパケットに含まれる確認IPアドレスが重複していることを示す重複応答パケットとして、図4に示したようなARPリプライパケットを生成し(ステップ115)、通信I/F部11から通信ネットワークLへ送信し(ステップ116)、一連の通信妨害処理を終了する。
【0038】
これにより、ネットワーク監視装置10から送信されたARPプローブパケットは、通信ネットワークLを介して不正端末21で受信され(ステップ104)、不正端末21は、受信したARPプローブパケットの送信元MACアドレスと送信元IPアドレスに、アドレス値が設定されていることから、確認IPアドレスが重複していることを確認する(ステップ105)。これにより、確認IPアドレスを用いた通信ネットワークLでの通信を断念することになる。
【0039】
この後、異なる新たなIPアドレスを用いて不正端末21が通信を試みる場合にも、新たなIPアドレスの重複確認を行う必要がある。このため、不正端末21は、使用したい新たな確認IPアドレスを宛先IPアドレスとして指定した重複確認用のARPプローブパケットを送信することになるが、ネットワーク監視装置10で前述した通信妨害処理が実行されるため、新たなIPアドレスを用いた通信ネットワークLでの通信が妨害されることになる。
【0040】
[本実施の形態の効果]このように、本実施の形態は、ネットワーク監視装置10において、通信監視部13が、通信ネットワークLに接続された端末による通信を監視し、任意の端末から重複確認パケットが送信された場合、当該重複確認パケットに含まれる確認IPアドレスを抽出して記憶部12のアドレスリスト12Aと照合することにより、重複確認パケットの送信元端末が不正端末21であるか否かを判定し、送信元端末が不正端末21であると判定された場合、重複応答返信部14が、確認IPアドレスが重複していることを示す重複応答パケットを、送信元端末すなわち不正端末21へ返送するようにしたものである。
【0041】
より具体的には、通信監視部13が、重複確認パケットとして重複確認用のARPプローブパケットが送信された場合、当該ARPプローブパケットに含まれる確認IPアドレスを抽出してアドレスリスト12Aと照合することにより、送信元端末が不正端末21であるか否かを判定し、重複応答返信部14が、送信元端末が不正端末21であると判定された場合、ARPプローブパケットに含まれる確認IPアドレスを送信元アドレスとし、自装置MACアドレスを送信元MACアドレスとした重複応答用のARPリプライパケットを、送信元端末へ返送するようにしたものである。
【0042】
前述したように、APRリクエストパケットは、本来、指定したIPアドレスと対応するMACアドレスを要求するためのものであるが、宛先IPアドレスとして自己で使用したい確認IPアドレスを設定することにより、IPアドレスの重複確認を行うためのARPプローブパケットとして使用されている。本発明は、このような重複確認用のARPプローブパケットに対する、重複応答用のARPリプライパケットは、確認IPアドレスと一致するIPアドレスの端末からしか返送されず、ネットワーク監視装置10から重複応答用のARPリプライパケットを送信しても、不正なARPリプライパケットとは見なされない点に着目したものである。
【0043】
これにより、MACアドレス要求用のAPRリクエストパケットに対する偽のARPリプライパケットを返送する従来技術と比較して、重複応答用のARPリプライパケットが不正なARPリプライパケットと見なされる可能性はない。また、ARPプローブパケットで指定された確認IPアドレスの端末から重複応答用のARPリプライパケットが不正端末21へ返送されたとしても、これにより不正端末21が通信可能となることはない。
【0044】
したがって、本発明によれば、不正端末21からの重複確認パケットに対して、重複応答用のARPリプライパケットが不正端末21へ返送されるため、不正端末21による通信を確実に妨害することが可能となる。また、本発明によれば、不正端末21が通信ネットワークLで用いる自己のIPアドレスの設定自体を阻止することができるため、不正端末21が自己のIPアドレスを使用可能状態となった以降に通信妨害を行う従来技術と比較して、より高いセキュリティ性を得ることができる。
【0045】
また、本実施の形態において、通信I/F設定部15が、通信監視部13において、重複確認用のARPプローブパケットの送信元端末が不正端末21であると判定された場合、確認IPアドレスを新たな自IPアドレスとして通信I/F部11に追加設定するようにしてもよい。これにより、確認IPアドレスを自IPアドレスとし、元々のネットワーク監視装置10のMACアドレスを自MACアドレスとする新たな通信I/Fが、通信ネットワークLに接続されたことになる。
【0046】
このため、通信ネットワークLに接続されている正規端末20や不正端末21から、新たな通信I/Fが、通信可能な状態で通信ネットワークLに実在するものとして認識されることになる。したがって、確認IPアドレス宛のパケットが誤って送信された場合でも、ネットワーク監視装置10で正しく受信することができる。
【0047】
[実施の形態の拡張]以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。また、各実施形態については、矛盾しない範囲で任意に組み合わせて実施することができる。
【0048】
以上で説明した実施の形態では、ネットワーク監視装置10の通信I/F設定部15が、重複確認パケットに含まれる確認IPアドレスを新たな自IPアドレスとして通信I/F部11に追加設定する場合について説明した、この場合、確認IPアドレスを持つ新たな通信I/FのMACアドレスとして、ネットワーク監視装置10の元々のMACアドレスが割り当てられることになるが、新たな通信I/FのMACアドレスとして、元々のMACアドレスとは異なるMACアドレスを割り当ててもよい。
【0049】
この際、基本的には、通信ネットワークLに接続されている各端末のMACアドレスと重複していなければ、いずれのMACアドレスを新たな通信I/Fに割り当ててもよい。このため、重複する可能性が低い予備MACアドレスを予め記憶部12に設定しておき、新たな通信I/Fを追加した時点で、記憶部12から読み出した予備MACアドレスを新たな通信I/Fに割り当ててもよい。
【0050】
また、通信I/F部11において、現用の通信I/Fの通信モジュールとは別個に、異なるMACアドレスを有する予備の通信モジュールを予め備えておき、新たな通信I/Fを追加する際、重複確認パケットに含まれる確認IPアドレスを、予備の通信モジュールからなる新たな通信I/Fに割り当てるようにしてもよい。
【0051】
また、重複確認パケットに含まれる確認IPアドレスを割り当てた新たな通信I/Fについては、通信監視部13が、任意の端末による確認IPアドレスの使用を監視しておき、一定の監視期間にわたり確認IPアドレスの使用が確認されなくなった時点で、例えば新たな通信I/Fの動作を停止するようにしてもよい。これにより、新たな通信I/Fでの消費電力を削減できるとともに、確認IPアドレスの管理のための不要な処理を停止することが可能となる。
【符号の説明】
【0052】
10…ネットワーク監視装置、11…通信I/F部、12…記憶部、12A…アドレスリスト、13…通信監視部、14…重複応答返信部、15…通信I/F設定部、20…正規端末、21…不正端末、30…Ethernetフレーム、31…データ部、40…ARPパケット、41…オペレーションコード、42…送信元MACアドレス、43…送信元IPアドレス、44…宛先MACアドレス、45…宛先IPアドレス、L…通信ネットワーク。