知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023004706
(43)【公開日】2023-01-17
(54)【発明の名称】攻撃回避装置および攻撃回避方法
(51)【国際特許分類】
H04L 12/22 20060101AFI20230110BHJP
H04L 45/74 20220101ALI20230110BHJP
【FI】
H04L12/66 B
H04L12/741
【審査請求】未請求
【請求項の数】10
【出願形態】OL
(21)【出願番号】P 2021106576
(22)【出願日】2021-06-28
(71)【出願人】
【識別番号】000006666
【氏名又は名称】アズビル株式会社
(74)【代理人】
【識別番号】100098394
【弁理士】
【氏名又は名称】山川 茂樹
(72)【発明者】
【氏名】太田 貴彦
(72)【発明者】
【氏名】神宮 武志
【テーマコード(参考)】
5K030
【Fターム(参考)】
5K030GA15
5K030HA08
5K030HD03
5K030JA10
5K030JA11
5K030KA05
5K030LC13
5K030MC08
(57)【要約】
【課題】攻撃者からの攻撃を回避しながら、攻撃パケットの収集や解析を行うことを可能とする攻撃回避技術を提供する。
【解決手段】攻撃回避装置(10)は、被攻撃端末(20)宛に送信されたパケットのミラーパケットを受信し、ミラーパケットの受信状況に基づいて、被攻撃端末(20)に対する攻撃が行われていることを検知し、被攻撃端末(20)に対する攻撃を検知した場合に、被攻撃端末(20)に対する攻撃を行っている攻撃端末(30)から送信されたパケットが、攻撃回避装置(10)に送信されるように、攻撃回避装置(10)と被攻撃端末(20)が接続されたスイッチまたは攻撃端末(30)のアドレス設定を変更する。
【選択図】 図2A
【解決手段】攻撃回避装置(10)は、被攻撃端末(20)宛に送信されたパケットのミラーパケットを受信し、ミラーパケットの受信状況に基づいて、被攻撃端末(20)に対する攻撃が行われていることを検知し、被攻撃端末(20)に対する攻撃を検知した場合に、被攻撃端末(20)に対する攻撃を行っている攻撃端末(30)から送信されたパケットが、攻撃回避装置(10)に送信されるように、攻撃回避装置(10)と被攻撃端末(20)が接続されたスイッチまたは攻撃端末(30)のアドレス設定を変更する。
【選択図】 図2A
【特許請求の範囲】
【請求項1】
第1の通信端末に送信されたパケットのミラーパケットを受信する受信部と、
前記ミラーパケットの受信状況に基づいて、前記第1の通信端末に対する攻撃が行われていることを検知する攻撃検知部と、
前記第1の通信端末に対する攻撃を検知した場合に、前記第1の通信端末に対する攻撃を行っている第2の通信端末から送信されたパケットが、前記第1の通信端末でない通信機器に送信されるように、ネットワーク機器または通信端末の設定を変更する攻撃回避部を
備える攻撃回避装置。
前記ミラーパケットの受信状況に基づいて、前記第1の通信端末に対する攻撃が行われていることを検知する攻撃検知部と、
前記第1の通信端末に対する攻撃を検知した場合に、前記第1の通信端末に対する攻撃を行っている第2の通信端末から送信されたパケットが、前記第1の通信端末でない通信機器に送信されるように、ネットワーク機器または通信端末の設定を変更する攻撃回避部を
備える攻撃回避装置。
【請求項2】
前記攻撃回避部は、
前記第1の通信端末のMACアドレス宛に送信されたパケットが、前記第1の通信端末以外の特定の通信機器において受信されるように、前記特定の通信機器および前記第1の通信端末が接続されているスイッチのMACアドレステーブルの設定を変更する
請求項1に記載の攻撃回避装置。
前記第1の通信端末のMACアドレス宛に送信されたパケットが、前記第1の通信端末以外の特定の通信機器において受信されるように、前記特定の通信機器および前記第1の通信端末が接続されているスイッチのMACアドレステーブルの設定を変更する
請求項1に記載の攻撃回避装置。
【請求項3】
前記攻撃回避部は、
前記攻撃回避装置が接続されている前記スイッチのポートに対して、前記第1の通信端末のMACアドレスを送信元アドレスとするパケットを送信することにより、
前記第1の通信端末のMACアドレス宛に送信されたパケットが、前記攻撃回避装置において受信されるように、前記攻撃回避装置および前記第1の通信端末が接続されているスイッチのMACアドレステーブルの設定を変更する
請求項2に記載の攻撃回避装置。
前記攻撃回避装置が接続されている前記スイッチのポートに対して、前記第1の通信端末のMACアドレスを送信元アドレスとするパケットを送信することにより、
前記第1の通信端末のMACアドレス宛に送信されたパケットが、前記攻撃回避装置において受信されるように、前記攻撃回避装置および前記第1の通信端末が接続されているスイッチのMACアドレステーブルの設定を変更する
請求項2に記載の攻撃回避装置。
【請求項4】
前記攻撃回避部は、
前記第2の通信端末から前記第1の通信端末のIPアドレス宛に送信されたパケットが、前記第1の通信端末以外の特定の通信機器において受信されるように、前記第2の通信端末のARPテーブルを変更する
請求項1に記載の攻撃回避装置。
前記第2の通信端末から前記第1の通信端末のIPアドレス宛に送信されたパケットが、前記第1の通信端末以外の特定の通信機器において受信されるように、前記第2の通信端末のARPテーブルを変更する
請求項1に記載の攻撃回避装置。
【請求項5】
前記攻撃回避部は、
前記第2の通信端末に対して、前記第1の通信端末のIPアドレスに対応する前記攻撃回避装置のMACアドレスの情報を含むARPパケットを送信することにより、
前記第2の通信端末から前記第1の通信端末のIPアドレス宛に送信されたパケットが、前記攻撃回避装置において受信されるように、前記第2の通信端末のARPテーブルを変更する
請求項4に記載の攻撃回避装置。
前記第2の通信端末に対して、前記第1の通信端末のIPアドレスに対応する前記攻撃回避装置のMACアドレスの情報を含むARPパケットを送信することにより、
前記第2の通信端末から前記第1の通信端末のIPアドレス宛に送信されたパケットが、前記攻撃回避装置において受信されるように、前記第2の通信端末のARPテーブルを変更する
請求項4に記載の攻撃回避装置。
【請求項6】
第1の通信端末に対する攻撃が行われていることを検知する攻撃検知部と、前記第1の通信端末に対する攻撃を回避する攻撃回避部を備えた攻撃回避装置における攻撃回避方法であって、
第1の通信端末に送信されたパケットのミラーパケットを受信するステップと、
前記ミラーパケットの受信状況に基づいて、前記第1の通信端末に対する攻撃が行われていることを検知するステップと、
前記第1の通信端末に対する攻撃を検知した場合に、前記第1の通信端末に対する攻撃を行っている第2の通信端末から送信されたパケットが、前記第1の通信端末でない通信機器に送信されるように、ネットワーク機器または通信端末の設定を変更するステップを
備える攻撃回避方法。
第1の通信端末に送信されたパケットのミラーパケットを受信するステップと、
前記ミラーパケットの受信状況に基づいて、前記第1の通信端末に対する攻撃が行われていることを検知するステップと、
前記第1の通信端末に対する攻撃を検知した場合に、前記第1の通信端末に対する攻撃を行っている第2の通信端末から送信されたパケットが、前記第1の通信端末でない通信機器に送信されるように、ネットワーク機器または通信端末の設定を変更するステップを
備える攻撃回避方法。
【請求項7】
前記ネットワーク機器または通信端末の設定を変更するステップは、
前記第1の通信端末のMACアドレス宛に送信されたパケットが、前記第1の通信端末以外の特定の通信機器において受信されるように、前記特定の通信機器および前記第1の通信端末が接続されているスイッチのMACアドレステーブルの設定を変更するステップを含む
請求項6に記載の攻撃回避方法。
前記第1の通信端末のMACアドレス宛に送信されたパケットが、前記第1の通信端末以外の特定の通信機器において受信されるように、前記特定の通信機器および前記第1の通信端末が接続されているスイッチのMACアドレステーブルの設定を変更するステップを含む
請求項6に記載の攻撃回避方法。
【請求項8】
前記MACアドレステーブルの設定を変更するステップは、
前記攻撃回避装置が接続されている前記スイッチのポートに対して、前記第1の通信端末のMACアドレスを送信元アドレスとするパケットを送信するステップを含み、
前記第1の通信端末のMACアドレス宛に送信されたパケットが、前記攻撃回避装置において受信されるように、前記攻撃回避装置および前記第1の通信端末が接続されているスイッチのMACアドレステーブルの設定を変更する
請求項7に記載の攻撃回避方法。
前記攻撃回避装置が接続されている前記スイッチのポートに対して、前記第1の通信端末のMACアドレスを送信元アドレスとするパケットを送信するステップを含み、
前記第1の通信端末のMACアドレス宛に送信されたパケットが、前記攻撃回避装置において受信されるように、前記攻撃回避装置および前記第1の通信端末が接続されているスイッチのMACアドレステーブルの設定を変更する
請求項7に記載の攻撃回避方法。
【請求項9】
ネットワーク機器または通信端末の設定を変更するステップは、
前記第2の通信端末から前記第1の通信端末のIPアドレス宛に送信されたパケットが、前記第1の通信端末以外の特定の通信機器において受信されるように、前記第2の通信端末のARPテーブルを変更するステップを含む
請求項6に記載の攻撃回避方法。
前記第2の通信端末から前記第1の通信端末のIPアドレス宛に送信されたパケットが、前記第1の通信端末以外の特定の通信機器において受信されるように、前記第2の通信端末のARPテーブルを変更するステップを含む
請求項6に記載の攻撃回避方法。
【請求項10】
前記第2の通信端末に対して、前記第1の通信端末のIPアドレスに対応する前記攻撃回避装置のMACアドレスの情報を含むARPパケットを送信するステップを含み、
前記第2の通信端末から前記第1の通信端末のIPアドレス宛に送信されたパケットが、前記攻撃回避装置において受信されるように、前記第2の通信端末のARPテーブルを変更する
請求項9に記載の攻撃回避方法。
前記第2の通信端末から前記第1の通信端末のIPアドレス宛に送信されたパケットが、前記攻撃回避装置において受信されるように、前記第2の通信端末のARPテーブルを変更する
請求項9に記載の攻撃回避方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークにおけるサイバー攻撃を回避する攻撃回避技術に関する。
【背景技術】
【0002】
近年、IOTやクラウドサービスの普及に伴い、ネットワークに接続する機器が増え、ネットワークの大規模化・複雑化が進む中、サーバやIOTデバイスを狙ったサイバー攻撃が増加しており、サイバー攻撃に対処するための技術が提案されている。例えば、特許文献1では、パケットや通信の振る舞いを監視し、攻撃を検知した際にその攻撃の送信元からの通信を遮断する技術が提案されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2019-213182号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
特許文献1では、対象機器を攻撃から守ることができるが、攻撃者に通信を遮断したことを検知され、攻撃者が別の手段によって攻撃する等の対策を取られてしまう可能性があった。また、通信を遮断してしまうので、攻撃パケットの収集や解析を行うことができず、攻撃に対する根本的な対策を取ることが出来ないという問題があった。
【0005】
本発明は、このような課題を解決するためになされたものであり、攻撃者からの攻撃を回避しながら、攻撃パケットの収集や解析を行うことを可能とする攻撃回避技術を提供することを目的とする。
【課題を解決するための手段】
【0006】
このような目的を達成するために、本発明の攻撃回避装置は、第1の通信端末に送信されたパケットのミラーパケットを受信する受信部と、前記ミラーパケットの受信状況に基づいて、前記第1の通信端末に対する攻撃が行われていることを検知する攻撃検知部と、前記第1の通信端末に対する攻撃を検知した場合に、前記第1の通信端末に対する攻撃を行っている第2の通信端末から送信されたパケットが、前記第1の通信端末でない通信機器に送信されるように、ネットワーク機器または通信端末の設定を変更する攻撃回避部を備える。
【0007】
また、本発明の上記攻撃回避装置の前記攻撃回避部は、前記第1の通信端末のMACアドレス宛に送信されたパケットが、前記第1の通信端末以外の特定の通信機器において受信されるように、前記特定の通信機器および前記第1の通信端末が接続されているスイッチのMACアドレステーブルの設定を変更してもよい。
【0008】
また、本発明の上記攻撃回避装置の前記攻撃回避部は、前記攻撃回避装置が接続されている前記スイッチのポートに対して、前記第1の通信端末のMACアドレスを送信元アドレスとするパケットを送信することにより、前記第1の通信端末のMACアドレス宛に送信されたパケットが、前記攻撃回避装置において受信されるように、前記攻撃回避装置および前記第1の通信端末が接続されているスイッチのMACアドレステーブルの設定を変更してもよい。
【0009】
また、本発明の上記攻撃回避装置の前記攻撃回避部は、前記攻撃回避部は、前記第2の通信端末から前記第1の通信端末のIPアドレス宛に送信されたパケットが、前記第1の通信端末以外の特定の通信機器において受信されるように、前記第2の通信端末のARPテーブルを変更してもよい。
【0010】
また、本発明の上記攻撃回避装置の前記攻撃回避部は、前記第2の通信端末に対して、前記第1の通信端末のIPアドレスに対応する前記攻撃回避装置のMACアドレスの情報を含むARPパケットを送信することにより、前記第2の通信端末から前記第1の通信端末のIPアドレス宛に送信されたパケットが、前記攻撃回避装置において受信されるように、前記第2の通信端末のARPテーブルを変更してもよい。
【0011】
このような目的を達成するために、本発明の攻撃回避方法は、第1の通信端末に対する攻撃が行われていることを検知する攻撃検知部と、前記第1の通信端末に対する攻撃を回避する攻撃回避部を備えた攻撃回避装置における攻撃回避方法であって、第1の通信端末に送信されたパケットのミラーパケットを受信するステップと、前記ミラーパケットの受信状況に基づいて、前記第1の通信端末に対する攻撃が行われていることを検知するステップと、前記第1の通信端末に対する攻撃を検知した場合に、前記第1の通信端末に対する攻撃を行っている第2の通信端末から送信されたパケットが、前記第1の通信端末でない通信機器に送信されるように、ネットワーク機器または通信端末の設定を変更するステップを備える。
【0012】
また、本発明の上記攻撃回避方法の前記ネットワーク機器または通信端末の設定を変更するステップは、前記第1の通信端末のMACアドレス宛に送信されたパケットが、前記第1の通信端末以外の特定の通信機器において受信されるように、前記特定の通信機器および前記第1の通信端末が接続されているスイッチのMACアドレステーブルの設定を変更するステップを含んでもよい。
【0013】
また、本発明の上記攻撃回避方法の前記MACアドレステーブルの設定を変更するステップは、前記攻撃回避装置が接続されている前記スイッチのポートに対して、前記第1の通信端末のMACアドレスを送信元アドレスとするパケットを送信するステップを含み、前記第1の通信端末のMACアドレス宛に送信されたパケットが、前記攻撃回避装置において受信されるように、前記攻撃回避装置および前記第1の通信端末が接続されているスイッチのMACアドレステーブルの設定を変更してもよい。
【0014】
また、本発明の上記攻撃回避方法のネットワーク機器または通信端末の設定を変更するステップは、前記第2の通信端末から前記第1の通信端末のIPアドレス宛に送信されたパケットが、前記第1の通信端末以外の特定の通信機器において受信されるように、前記第2の通信端末のARPテーブルを変更するステップを含んでもよい。
【0015】
また、本発明の上記攻撃回避方法の前記第2の通信端末に対して、前記第1の通信端末のIPアドレスに対応する前記攻撃回避装置のMACアドレスの情報を含むARPパケットを送信するステップを含み、前記第2の通信端末から前記第1の通信端末のIPアドレス宛に送信されたパケットが、前記攻撃回避装置において受信されるように、前記第2の通信端末のARPテーブルを変更してもよい。
【発明の効果】
【0016】
本発明によれば、攻撃者からの攻撃を回避しながら、攻撃パケットの収集や解析を行うことを可能とする攻撃回避技術を提供し、攻撃に対する根本的な対策を取ることが可能となる。
【図面の簡単な説明】
【0017】
【発明を実施するための形態】
【0018】
次に、本発明の実施の形態について図面を参照して説明する。本発明は、以下に説明する実施の形態に限定されるものではない。
【0019】
<攻撃回避装置を用いたネットワークの構成>
図1は、本発明の実施形態に係る攻撃回避装置を用いたネットワークの構成例である。図1の構成例は、攻撃回避装置10、被攻撃端末20(第1の通信端末)、攻撃端末30(第2の通信端末)、スイッチ40、ルータ50から構成されており、ルータ50を介して外部のIP通信網NWと接続されている。
図1は、本発明の実施形態に係る攻撃回避装置を用いたネットワークの構成例である。図1の構成例は、攻撃回避装置10、被攻撃端末20(第1の通信端末)、攻撃端末30(第2の通信端末)、スイッチ40、ルータ50から構成されており、ルータ50を介して外部のIP通信網NWと接続されている。
【0020】
攻撃回避装置10は、被攻撃端末20に対する攻撃端末(30、60)からの攻撃が行われているかを検知し、攻撃が検知された場合に、被攻撃端末20に対する攻撃を回避する処理を行う装置である。
【0021】
図1の構成例では、攻撃回避装置10は、同じスイッチ40に接続された被攻撃端末20に対する攻撃を監視している。被攻撃端末20としては、同じスイッチ40に接続された攻撃端末30とIP通信網NWを介して接続された外部のネットワークの攻撃端末60から攻撃を受ける場合を想定している。
【0022】
被攻撃端末20に対する攻撃の種類としては、例えば、Dos(Denial of Service)攻撃、DDos(Distributed Denial of Service)攻撃、マルウェアによる攻撃を想定している。
【0023】
攻撃回避装置10と被攻撃端末20が接続されたスイッチ40には、ミラーリング設定がされている。被攻撃端末20が受信するパケットはスイッチ40で複製されて、複製されたミラーパケットは、攻撃回避装置10が接続されたポートに送信される。これにより、攻撃回避装置10は、被攻撃端末20に対するパケットを受信し、攻撃を検知することができる。
【0024】
攻撃回避装置10は、複製されたミラーパケットを受信し、ミラーパケットの受信状況に応じて、被攻撃端末20が攻撃されているかを検知する。攻撃を受けているかは、例えば、攻撃回避装置10におけるパケット受信処理の負荷や処理できないパケットの数を測定し、処理負荷やパケット数が所定の閾値を超えたか否かにより、攻撃されているかを判定すればよい。
【0025】
攻撃回避装置10と被攻撃端末20が接続されたスイッチ40は、レイヤー2スイッチであり、受信したパケットをMACアドレスに応じて、対応するポートに振り分けるスイッチングを行うように構成されている。MACアドレスとポートの対応関係は、スイッチ40内のMACアドレステーブルに保存されている。MACアドレステーブルの内容は、ポートに接続された通信端末から送信されるパケットのMACアドレスに応じて更新され、一定のエージングタイムの間保存される。
【0026】
また、図1のネットワークに接続された攻撃回避装置10、被攻撃端末20、攻撃端末30、ルータ50等のネットワーク機器や通信端末は、他の通信端末と通信を行うためのIPアドレスとMACアドレスの対応関係を示すARP(Address Resolution Protocol)テーブルを備えている。各通信機器は、他の通信機器と通信を行うために、ARP要求やARP応答等のARPパケットを用いて、ARPテーブルの更新を行うことができる。攻撃端末30から被攻撃端末20への攻撃もARPテーブルに基づいて行われる。
【0027】
<攻撃回避装置の構成>
図1に示すように、攻撃回避装置10は、主な回路部として、I/F部11、制御部12、記憶部13を備えている。
図1に示すように、攻撃回避装置10は、主な回路部として、I/F部11、制御部12、記憶部13を備えている。
【0028】
<I/F部>
I/F部11は、ネットワーク内の各通信機器と接続するための回路である。攻撃回避装置10は、I/F部11を介して、被攻撃端末20が受信するパケットのミラーパケットの受信や、ネットワーク機器または通信端末の設定を変更するためのパケットの送信等を行うことができる。
I/F部11は、ネットワーク内の各通信機器と接続するための回路である。攻撃回避装置10は、I/F部11を介して、被攻撃端末20が受信するパケットのミラーパケットの受信や、ネットワーク機器または通信端末の設定を変更するためのパケットの送信等を行うことができる。
【0029】
<記憶部>
記憶部13は、ハードディスクや半導体メモリなどの記憶装置からなる。記憶部13には、制御部12での攻撃監視や攻撃回避に用いる各種の処理データやプログラムが記憶されている。
記憶部13は、ハードディスクや半導体メモリなどの記憶装置からなる。記憶部13には、制御部12での攻撃監視や攻撃回避に用いる各種の処理データやプログラムが記憶されている。
【0030】
記憶部13で記憶する主な処理データとして、監視データ13A、攻撃端末情報13B、被攻撃端末情報13Cがある。
【0031】
<監視データ>
監視データ13Aは、被攻撃端末20宛に送信されたミラーパケットの受信状況を表すデータである。監視データ13Aは、被攻撃端末20毎に用意されており、被攻撃端末20毎に、攻撃が行われているかを検知するために用いられる。
監視データ13Aは、被攻撃端末20宛に送信されたミラーパケットの受信状況を表すデータである。監視データ13Aは、被攻撃端末20毎に用意されており、被攻撃端末20毎に、攻撃が行われているかを検知するために用いられる。
【0032】
攻撃を受けているかは、例えば、監視データ13Aに、被攻撃端末20毎に、パケット受信処理の負荷や処理できないパケットの数を測定し、処理負荷やパケット数が所定の閾値を超えたか否かにより、攻撃されているかを判定すればよい。
【0033】
<攻撃端末情報>
攻撃端末情報13Bは、被攻撃端末20が攻撃されていることを検知した場合に、その攻撃元である攻撃端末(30、60)を特定するためのデータである。攻撃端末を特定するためのデータとしては、攻撃端末のMACアドレスやIPアドレスを記録すればよい。攻撃回避装置10は、この攻撃端末情報13Bを用いて、ネットワーク機器または通信端末の設定を変更するためのパケットを送信する等の、被攻撃端末20に対する攻撃を回避するための処理を行うことができる。
攻撃端末情報13Bは、被攻撃端末20が攻撃されていることを検知した場合に、その攻撃元である攻撃端末(30、60)を特定するためのデータである。攻撃端末を特定するためのデータとしては、攻撃端末のMACアドレスやIPアドレスを記録すればよい。攻撃回避装置10は、この攻撃端末情報13Bを用いて、ネットワーク機器または通信端末の設定を変更するためのパケットを送信する等の、被攻撃端末20に対する攻撃を回避するための処理を行うことができる。
【0034】
<被攻撃端末情報>
被攻撃端末情報13Cは、被攻撃端末20を特定するためのデータである。攻撃回避装置10は、被攻撃端末20が攻撃されていることを検知した場合に、被攻撃端末情報13Cに、被攻撃端末20を特定するためのデータを記録する。被攻撃端末20を特定するためのデータとしては、被攻撃端末のMACアドレスやIPアドレスを記録すればよい。
被攻撃端末情報13Cは、被攻撃端末20を特定するためのデータである。攻撃回避装置10は、被攻撃端末20が攻撃されていることを検知した場合に、被攻撃端末情報13Cに、被攻撃端末20を特定するためのデータを記録する。被攻撃端末20を特定するためのデータとしては、被攻撃端末のMACアドレスやIPアドレスを記録すればよい。
【0035】
<プログラム>
プログラム13Pは、制御部12のCPUと協働することにより、制御部12での攻撃検知処理や攻撃回避処理に用いる各種の処理部を実現するためのプログラムである。このプログラム13Pは、I/F部11を介して接続された外部装置や記録媒体(ともに図示せず)から、予め記憶部13へ格納される。
プログラム13Pは、制御部12のCPUと協働することにより、制御部12での攻撃検知処理や攻撃回避処理に用いる各種の処理部を実現するためのプログラムである。このプログラム13Pは、I/F部11を介して接続された外部装置や記録媒体(ともに図示せず)から、予め記憶部13へ格納される。
【0036】
<制御部>
制御部12は、CPUとその周辺回路を有し、記憶部13のプログラム13Pを読み出してCPUと協働させることにより、攻撃検知処理や攻撃回避処理を実行するための処理部を実現するように構成されている。制御部12で実現される主な処理部として、攻撃検知部12A、攻撃回避部12Bがある。
制御部12は、CPUとその周辺回路を有し、記憶部13のプログラム13Pを読み出してCPUと協働させることにより、攻撃検知処理や攻撃回避処理を実行するための処理部を実現するように構成されている。制御部12で実現される主な処理部として、攻撃検知部12A、攻撃回避部12Bがある。
【0037】
<攻撃検知部>
攻撃検知部12Aは、I/F部11を介して、被攻撃端末20が受信するパケットのミラーパケットを受信して、被攻撃端末20が攻撃を受けているかを検知するように構成されている。攻撃を受けているかは、被攻撃端末20毎に、パケット受信処理の負荷や処理できないパケットの数を測定し、処理負荷やパケット数が所定の閾値を超えたか否かにより、攻撃されているかを判定すればよい。
攻撃検知部12Aは、I/F部11を介して、被攻撃端末20が受信するパケットのミラーパケットを受信して、被攻撃端末20が攻撃を受けているかを検知するように構成されている。攻撃を受けているかは、被攻撃端末20毎に、パケット受信処理の負荷や処理できないパケットの数を測定し、処理負荷やパケット数が所定の閾値を超えたか否かにより、攻撃されているかを判定すればよい。
【0038】
<攻撃回避部>
攻撃回避部12Bは、被攻撃端末20に対する攻撃を検知した場合に、被攻撃端末20に対する攻撃を回避するための処理を行うように構成されている。具体的には、被攻撃端末20に対して攻撃を行っている攻撃端末30から送信されたパケットが、被攻撃端末20でない通信機器に送信されるように、ネットワーク機器または端末の設定を変更するように構成されている。
攻撃回避部12Bは、被攻撃端末20に対する攻撃を検知した場合に、被攻撃端末20に対する攻撃を回避するための処理を行うように構成されている。具体的には、被攻撃端末20に対して攻撃を行っている攻撃端末30から送信されたパケットが、被攻撃端末20でない通信機器に送信されるように、ネットワーク機器または端末の設定を変更するように構成されている。
【0039】
<第1の実施の形態>
本実施の形態にかかる攻撃回避装置の攻撃回避方法の動作について説明する。第1の実施の形態では、被攻撃端末20のMACアドレス宛に送信されたパケットが、被攻撃端末20以外の特定の通信機器において受信されるように、特定の通信機器および被攻撃端末が接続されているスイッチのMACアドレステーブルの設定を変更するように構成されている。
本実施の形態にかかる攻撃回避装置の攻撃回避方法の動作について説明する。第1の実施の形態では、被攻撃端末20のMACアドレス宛に送信されたパケットが、被攻撃端末20以外の特定の通信機器において受信されるように、特定の通信機器および被攻撃端末が接続されているスイッチのMACアドレステーブルの設定を変更するように構成されている。
【0040】
具体的には、攻撃回避装置10が接続されているスイッチ40のポートに対して、被攻撃端末20のMACアドレスを送信元アドレスとするパケットを送信することにより、被攻撃端末20のMACアドレス宛に送信されたパケットが、攻撃回避装置10において受信されるように、攻撃回避装置10および被攻撃端末20が接続されているスイッチ40のMACアドレステーブルの設定を変更する。
【0041】
被攻撃端末20のMACアドレス宛に送信されたパケットを受信する特定の通信機器としては、スイッチ40に接続された攻撃回避装置10以外の他の通信機器を設定してもよい。その場合には、攻撃回避装置10から他の通信機器に対して、被攻撃端末20のMACアドレスを送信元アドレスとするパケットの送信を指示すればよい。
【0042】
図2Aは、第1の実施の形態に係る攻撃回避方法の適用前の状態を説明するための図である。図2Aでは、スイッチ40に、攻撃回避装置10であるPC#Z[IP:192.168.1.2/MAC:XX:XX:XX:XX:XX:02]、被攻撃端末20であるPC#A[IP:192.168.1.1/MAC:XX:XX:XX:XX:XX:01]、攻撃端末30であるPC#B[IP:192.168.1.3/MAC:XX:XX:XX:XX:XX:03]が接続されている。
【0043】
攻撃回避装置10、被攻撃端末20、攻撃端末30は、それぞれスイッチ40のポートP1、ポートP3、ポートP5に接続されている。図2Bは、第1の実施の形態に係る攻撃回避方法の適用前のMACアドレステーブルの構成例である。MACアドレステーブルには、各端末のMACアドレスとポート番号が対応づけられて保存されている。
【0044】
攻撃回避装置10は、被攻撃端末20に送信されたパケットのミラーパケットを受信することにより、攻撃端末30が被攻撃端末20に攻撃を行っていることを検知する。攻撃を検知すると、被攻撃端末20に対して攻撃端末30から送信されたパケットが攻撃回避装置10に送信されるように、スイッチ40のMACアドレステーブルの設定を変更するためのパケット、すなわち被攻撃端末20のMACアドレスを送信元アドレスとするパケットを送信する。
【0045】
被攻撃端末20に対して攻撃端末30から送信されたパケットを、攻撃回避装置10以外の他の通信機器に受信させる場合には、攻撃回避装置10は、他の通信機器に対して、被攻撃端末20のMACアドレスを送信元アドレスとするパケットの送信を指示すればよい。
【0046】
図3Aは、第1の実施の形態に係る攻撃回避方法の適用後の状態を説明するための図である。攻撃回避装置10から被攻撃端末20のMACアドレスを送信元アドレスとするパケットを受信したスイッチ40は、ポートP1から受信したパケットのMACアドレスに基づいてMACアドレステーブルの設定を変更する。
【0047】
図3Bは、第1の実施の形態に係る攻撃回避方法の適用後のMACアドレステーブルの構成例である。図3BのMACアドレステーブルでは、被攻撃端末20のMACアドレス(XX:XX:XX:XX:XX:01)に対応するポート番号として[1]が登録されている。これにより、攻撃端末30からの攻撃パケットを含む、宛先MACアドレスを(XX:XX:XX:XX:XX:01)とするパケットは、全てポート番号[1]のポートに送信され、ポート番号[1]のポートに接続された攻撃回避装置10において、攻撃パケットの収集と解析を行うことができる。
【0048】
このように、第1の実施の形態では、被攻撃端末のMACアドレス宛に送信されたパケットが攻撃回避装置において受信されるように、攻撃回避装置および被攻撃端末が接続されたスイッチのMACアドレステーブルの設定を変更するように構成されている。これにより、被攻撃端末に対する攻撃を回避しながら、攻撃回避装置において攻撃パケットの収集や解析を行うことができるので、攻撃に対する根本的な対策を取ることが可能となる。
【0049】
尚、上記では、同一ネットワーク内の攻撃端末30から攻撃を受けた場合を例として説明したが、外部ネットワークの攻撃端末60から攻撃を受けた場合でも、被攻撃端末20宛のパケットを、攻撃回避装置10が受信するように、スイッチのMACアドレステーブルを設定することで、被攻撃端末20への攻撃を回避しながら、攻撃回避装置10において攻撃パケットの収集や解析を行うことができる。
【0050】
<攻撃回避方法の動作シーケンス>
図4は、第1の実施の形態に係る攻撃回避方法の動作シーケンスである。被攻撃端末20が受信するパケットが複製されて攻撃回避装置10に送信されるように、スイッチ40には、ミラーリング設定がされている(ステップ100)。
図4は、第1の実施の形態に係る攻撃回避方法の動作シーケンスである。被攻撃端末20が受信するパケットが複製されて攻撃回避装置10に送信されるように、スイッチ40には、ミラーリング設定がされている(ステップ100)。
【0051】
攻撃端末30から被攻撃端末20宛に送信された攻撃パケットは、スイッチ40で複製されて、攻撃回避装置10に送信される(ステップ101、102、103)。
【0052】
攻撃回避装置10は、ミラーパケットの受信状況に応じて、被攻撃端末20に攻撃が行われていることを検知し、攻撃を検知した場合には、被攻撃端末20および攻撃端末30を特定する(ステップ200~202)。
【0053】
被攻撃端末20は、被攻撃端末20に対して攻撃端末30から送信されたパケットが攻撃回避装置10に送信されるように、被攻撃端末20のMACアドレスを送信元アドレスとするパケットを送信する(ステップ300)。
【0054】
スイッチ40は、被攻撃端末20のMACアドレスを送信元アドレスとするパケットを受信すると、受信したパケットのMACアドレスに基づいてMACアドレステーブルの設定を変更する(ステップ301)。
【0055】
MACアドレステーブルの設定が変更されると、攻撃端末30から被攻撃端末20宛に送信された攻撃パケットは、被攻撃端末20に送信されずに、攻撃回避装置10に送信される(ステップ400、401)。
【0056】
<第2の実施の形態>
第2の実施の形態は、攻撃端末30から被攻撃端末20のIPアドレス宛に送信されたパケットが、被攻撃端末20以外の特定の通信機器において受信されるように、攻撃端末30のARPテーブルを変更するように構成されている。
第2の実施の形態は、攻撃端末30から被攻撃端末20のIPアドレス宛に送信されたパケットが、被攻撃端末20以外の特定の通信機器において受信されるように、攻撃端末30のARPテーブルを変更するように構成されている。
【0057】
具体的には、攻撃端末30に対して、被攻撃端末20のIPアドレスに対応する攻撃回避装置10のMACアドレスの情報を含むARPパケットを送信することにより、攻撃端末30から被攻撃端末20のIPアドレス宛に送信されたパケットが、攻撃回避装置10において受信されるように、攻撃端末30のARPテーブルを変更する。
【0058】
被攻撃端末20のIPアドレス宛に送信されたパケットを受信する特定の通信機器としては、攻撃回避装置10以外の他の通信機器を設定してもよい。その場合には、攻撃回避装置10から他の通信機器に対して、被攻撃端末20のIPアドレスに対応する攻撃回避装置10のMACアドレスの情報を含むARPパケットを送信するように指示すればよい。
【0059】
図5は、第1の実施の形態に係る攻撃回避方法の適用前の状態を説明するための図である。図2Aと同様に、攻撃回避装置10であるPC#Zには、[IP:192.168.1.2/MAC:XX:XX:XX:XX:XX:02)]が割当てられ、被攻撃端末20であるPC#Aには、[IP:192.168.1.1/MAC:XX:XX:XX:XX:XX:01]が、攻撃端末30であるPC#Bには、[IP:192.168.1.3/MAC:XX:XX:XX:XX:XX:03]が割当てられている。図5においては、スイッチ40の記載を省略しているが、第1の実施の形態と同様にして、攻撃回避装置10において被攻撃端末20宛に送信されたパケットのミラーパケットを受信するように、ミラーリング設定されている。
【0060】
攻撃端末30のARPテーブルには、被攻撃端末20であるPC#AのIPアドレスとMACアドレス[IP:192.168.1.1/MAC:XX:XX:XX:XX:XX:01]が対応づけられて保存されている。攻撃端末30は、このARPテーブルを用いて、被攻撃端末20に対して攻撃を行っている。
【0061】
攻撃回避装置10は、被攻撃端末20に送信されたパケットのミラーパケットを受信することにより、攻撃端末30が被攻撃端末20に攻撃を行っていることを検知する。攻撃を検知すると、攻撃端末30から被攻撃端末20のIPアドレス宛に送信されたパケットが、攻撃回避装置10において受信されるように、攻撃端末30に対して、被攻撃端末20のIPアドレスに対応する攻撃回避装置10のMACアドレスの情報を含むARPパケットを送信する。
【0062】
攻撃端末30から被攻撃端末20のIPアドレス宛に送信されたパケットを、攻撃回避装置10以外の他の通信機器に受信させる場合には、他の通信機器に対して、被攻撃端末20のIPアドレスに対応する他の通信機器のMACアドレスの情報を含むARPパケットを送信するように指示すればよい。
【0063】
図6は、第2の実施の形態に係る攻撃回避方法の適用後の状態を説明するための図である。攻撃回避装置10から被攻撃端末20のIPアドレスに対応する攻撃回避装置のMACアドレスの情報を含むARPパケットを受信した攻撃端末30は、受信したARPパケットの内容に基づいてARPテーブルの内容を変更する。
【0064】
図6において、攻撃端末30のARPテーブルには、被攻撃端末20のIPアドレス[192.168.1.1]に対応するMACアドレスとして、攻撃回避装置10のMACアドレス[XX:XX:XX:XX:XX:02]が保存されている。これにより、攻撃端末30から被攻撃端末20のIPアドレス[192.168.1.1]宛のパケットは、宛先MACアドレスを[XX:XX:XX:XX:XX:02]とするパケットとして、攻撃回避装置10に送信され、攻撃回避装置10において、攻撃パケットの収集と解析を行うことができる。
【0065】
このように、第2の実施の形態では、攻撃端末から被攻撃端末のIPアドレス宛に送信されたパケットが攻撃回避装置において受信されるように、攻撃端末のARPテーブルを変更するように構成されている。これにより、被攻撃端末に対する攻撃を回避しながら、攻撃回避装置において攻撃パケットの収集や解析を行うことができるので、攻撃に対する根本的な対策を取ることが可能となる。
【0066】
尚、上記では、同一ネットワーク内の攻撃端末30から攻撃を受けた場合を例として説明したが、外部ネットワークの攻撃端末60から攻撃を受けた場合でも、被攻撃端末20のIPアドレス宛のパケットを、攻撃回避装置10が受信するように、ルータ50のARPテーブルを設定することで、被攻撃端末20への攻撃を回避しながら、攻撃回避装置10において攻撃パケットの収集や解析を行うことができる。
【0067】
【0068】
被攻撃端末20は、攻撃を検知した場合には、攻撃端末30から被攻撃端末20のIPアドレス宛に送信されたパケットが、攻撃回避装置10において受信されるように、攻撃端末30に対して、被攻撃端末20のIPアドレスに対応する攻撃回避装置10のMACアドレスの情報を含むARPパケットを送信する(ステップ500、501)。
【0069】
攻撃端末30は、被攻撃端末20のIPアドレスに対応する攻撃回避装置のMACアドレスの情報を含むARPパケットを受信すると、受信したARPパケットの内容に基づいてARPテーブルの内容を変更する(ステップ502)。
【0070】
ARPアドレステーブルの設定が変更されると、攻撃端末30から送信された被攻撃端末20のIPアドレス宛のパケットは、被攻撃端末20に送信されずに、攻撃回避装置10に送信される(ステップ600、601)。
【0071】
<本実施の形態の効果>
このように、本実施の形態は、被攻撃に対する攻撃を検知した場合に、被攻撃端末に対する攻撃を行っている攻撃端末から送信されたパケットが、被攻撃端末でない攻撃回避装置に送信されるように、ネットワーク機器または通信端末の設定を変更するように構成したものである。
このように、本実施の形態は、被攻撃に対する攻撃を検知した場合に、被攻撃端末に対する攻撃を行っている攻撃端末から送信されたパケットが、被攻撃端末でない攻撃回避装置に送信されるように、ネットワーク機器または通信端末の設定を変更するように構成したものである。
【0072】
より具体的には、被攻撃端末のMACアドレス宛に送信されたパケットが、被攻撃端末以外の通信機器である攻撃回避装置において受信されるように、攻撃回避装置および被攻撃端末が接続されているスイッチのMACアドレステーブルの設定を変更するように構成し、あるいは、攻撃端末から被攻撃端末のIPアドレス宛に送信されたパケットが、被攻撃端末以外の通信機器である攻撃回避装置において受信されるように、攻撃端末のARPテーブルを変更するように構成したものである。
【0073】
このような構成により、被攻撃端末に対する攻撃を回避しながら、攻撃回避装置において攻撃パケットの収集や解析を行うことができるので、攻撃回避装置で収集したデータを用いて、攻撃に対する根本的な対策を検討することが可能となる。
【0074】
上述したスイッチのMACアドレステーブルを書き換える方法は、攻撃端末が不特定多数存在する場合でも、1台のスイッチのMACアドレステーブルを書き換えることで攻撃を回避することが可能である。被攻撃端末は、攻撃端末以外の他の通信端末と通信することができなくなるが、攻撃端末が多数存在する場合に、迅速に被攻撃端末の保護ができるというメリットを有する。
【0075】
一方、攻撃端末のARPテーブルを書き換える方法は、攻撃端末が多数存在する場合には、攻撃端末の台数分の処理が必要になるが、被攻撃端末は、攻撃端末以外の他の端末と通信を継続することができるというメリットを有する。
<実施の形態の拡張>
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。
<実施の形態の拡張>
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。
【符号の説明】
【0076】
10…攻撃回避装置、11…I/F部、12…制御部、13…記憶部、13A…監視データ、13B…攻撃端末情報、13C…被攻撃端末情報、13P…プログラム、20…被攻撃端末20…攻撃端末、40…スイッチ、50…ルータ、60…攻撃端末(外部ネットワーク)、NW…IP通信網。
【図1】
【図2A】
【図2B】
【図3A】
【図3B】
【図4】
【図5】
【図6】
【図7】