[发明专利]检测非法的装置和检测非法的方法

说明书

本发明提供一种检测非法的装置，其目的在于不需要预先登记或学习IP地址和MAC地址的配对，通过更简单的结构来检测近邻搜索欺骗。检测非法的装置(1)具有：检测部(10)，其监视网络(NW)上传送的数据包，检测基于近邻搜索协议的NS或NA数据包；发送部(11)，其对MLQ数据包进行全节点组播发送，所述MLQ数据包将检测到的NS或NA数据包的发送源MAC地址设为发送目的地MAC地址；接收部(12)，其从具有MLQ数据包的发送目的地MAC地址的终端装置(4)接收对MLQ数据包的MLR数据包；判断部(13)，其当MLR数据包中包含的请求节点组播地址表示的IPv6地址和作为近邻搜索的对象的IPv6地址不同的情况下，判断MLR数据包的发送源的终端装置(4)为非法。

技术领域

本发明涉及检测非法的装置和检测非法的方法，特别涉及IPv6环境下检测非法的技术。

背景技术

近年来，由于IoT的普及，各种各样的设备连接至互联网。伴随于此，连接到互联网的设备的数量也爆炸式增加，从作为现有互联网协议使用的IPv4正在向作为新的具有128位的地址长度的协议的IPv6转移。此外，在网络监视装置等众多的网络安全产品中，也急需与IPv6对应的产品。

作为IPv6环境下窃听或干扰通信的入侵手段之一，已知有近邻搜索(NeighborDiscovery：ND)欺骗。这是与IPv4环境下的arp欺骗相对应的方法。在IPv6环境下，通过基于ICMPv6的近邻搜索，找到目标的IPv6地址的MAC地址，并将找到的MAC地址登记在邻近缓存中。例如，当由于非法访问等而被植入恶意软件的终端装置处于同一链路中时，该非法的终端装置对于来自任意终端装置的邻居请求(Neighbor Solicitation：NS)，通过伪装成返回保存有未使用的MAC地址的邻居通告(Neighbor Advertisement：NA)，从而能够进行DoS攻击等(参照非专利文献1)。

作为检测这种近邻搜索欺骗的对策，例如，非专利文献1公开了一种技术，其中，监视与ND相关的数据包，学习L2(Data link layer：数据链路层)和L3(Network layer：网络层)的地址映射，通过过滤器，对来自与学习完的L3所涉及的非法终端的NA进行拦截。

根据上述的检测近邻搜索欺骗(Neighbor Discovery Spoofing)的现有技术，例如，通过交换式集线器等预先登记或学习了IP地址与MAC地址的正常配对，在交换式集线器内传送的NA数据包中，在传送不符合正常配对的NA数据包的情况下，判断该行为为非法。

现有技术文献

非专利文献

非专利文献1：IPv6技术检证协议会“安全评价·对策检证部会最终报告书2.1.1.2对策案”2012年8月。

但是，非专利文献1中记载的技术中例如存在以下缺点：也有IP地址被变更的IPv6环境的情况中已登录的IP地址被变更，每当追加新的终端装置时必须登记新的IP地址和MAC地址的配对，以及误检测或登录操作增加等。

发明内容

本发明是为了解决上述课题而完成的，其目的在于不需要预先登记或学习IP地址和MAC地址的配对，通过更简单的结构来检测近邻搜索欺骗。

用于解决课题的方案