检测非法的装置和检测非法的方法与流程

本发明涉及检测非法的装置和检测非法的方法，特别涉及ipv6环境下检测非法的技术。

背景技术：

近年来，由于iot的普及，各种各样的设备连接至互联网。伴随于此，连接到互联网的设备的数量也爆炸式增加，从作为现有互联网协议使用的ipv4正在向作为新的具有128位的地址长度的协议的ipv6转移。此外，在网络监视装置等众多的网络安全产品中，也急需与ipv6对应的产品。

作为ipv6环境下窃听或干扰通信的入侵手段之一，已知有近邻搜索(neighbordiscovery：nd)欺骗。这是与ipv4环境下的arp欺骗相对应的方法。在ipv6环境下，通过基于icmpv6的近邻搜索，找到目标的ipv6地址的mac地址，并将找到的mac地址登记在邻近缓存中。例如，当由于非法访问等而被植入恶意软件的终端装置处于同一链路中时，该非法的终端装置对于来自任意终端装置的邻居请求(neighborsolicitation：ns)，通过伪装成返回保存有未使用的mac地址的邻居通告(neighboradvertisement：na)，从而能够进行dos攻击等(参照非专利文献1)。

作为检测这种近邻搜索欺骗的对策，例如，非专利文献1公开了一种技术，其中，监视与nd相关的数据包，学习l2(datalinklayer：数据链路层)和l3(networklayer：网络层)的地址映射，通过过滤器，对来自与学习完的l3所涉及的非法终端的na进行拦截。

根据上述的检测近邻搜索欺骗(neighbordiscoveryspoofing)的现有技术，例如，通过交换式集线器等预先登记或学习了ip地址与mac地址的正常配对，在交换式集线器内传送的na数据包中，在传送不符合正常配对的na数据包的情况下，判断该行为为非法。

现有技术文献

非专利文献

非专利文献1：ipv6技术检证协议会“安全评价·对策检证部会最终报告书2.1.1.2对策案”2012年8月。

但是，非专利文献1中记载的技术中例如存在以下缺点：也有ip地址被变更的ipv6环境的情况中已登录的ip地址被变更，每当追加新的终端装置时必须登记新的ip地址和mac地址的配对，以及误检测或登录操作增加等。

技术实现要素：

本发明是为了解决上述课题而完成的，其目的在于不需要预先登记或学习ip地址和mac地址的配对，通过更简单的结构来检测近邻搜索欺骗。

用于解决课题的方案

为了解决上述课题，本发明涉及的检测非法的装置具有：检测部，其构成为监视网络上传送的数据包，检测基于近邻搜索协议的规定的数据包，发送部，其构成为将检测到的所述规定的数据包的发送源的mac地址设定为发送目的地的mac地址，通过所述网络全节点组播发送询问数据包，所述询问数据包询问参加组播组的情况，接收部，其构成为从具有所述发送目的地的mac地址的终端装置接收对所述询问数据包的响应数据包，以及判断部，其构成为在所述响应数据包中包含的组播地址表示的第一ip地址和根据所述规定的数据包成为近邻搜索的对象的第二ip地址不同的情况下，判断所述响应数据包的发送源的所述终端装置为非法，所述组播地址对作为所述响应数据包的发送源的所述终端装置参加的组播组进行识别。

另外，在本发明涉及的检测非法的装置中，在所述接收部没有接收到所述响应数据包的情况下，所述判断部判断具有所述询问数据包的所述发送目的地的mac地址的所述终端装置为非法。

另外，在本发明涉及的检测非法的装置中，所述判断部从所述检测部检测到的所述规定的数据包获得所述第二ip地址。

另外，在本发明涉及的检测非法的装置中，所述规定的数据包为邻居请求数据包和邻居通告数据包中的至少任一种。

另外，在本发明涉及的检测非法的装置中，所述组播地址为请求节点组播地址。

另外，在本发明涉及的检测非法的装置中，也可以具有显示装置，其构成为将所述判断部的判断结果显示在显示画面。

为了解决上述课题，与本发明相关的检测非法的方法具有：第一步骤，监视网络上传送的数据包，检测基于近邻搜索协议的规定的数据包，第二步骤，将所述第一步骤中检测到的所述规定的数据包的发送源的mac地址设定为发送目的地的mac地址，通过所述网络全节点组播发送询问数据包，所述询问数据包询问参加组播组的情况，第三步骤，从具有所述发送目的地的mac地址的终端装置接收对所述询问数据包的响应数据包，以及第四步骤，在所述响应数据包中包含的组播地址表示的第一ip地址和根据所述规定的数据包成为近邻搜索的对象的第二ip地址不同的情况下，判断所述响应数据包的发送源的所述终端装置为非法，所述组播地址对作为所述响应数据包的发送源的所述终端装置参加的组播组进行识别。

发明效果

根据本发明，检测基于近邻搜索协议的规定的数据包，将该规定的数据包的发送源的mac地址设为发送目的地的mac地址并全节点组播发送询问数据包，在对询问数据包的响应数据包中包含的、发送源的终端装置所参加的组播地址表示的第一ip地址和成为近邻搜索的对象的第二ip地址不同的情况下，判断响应数据包的发送源的终端装置为非法。因此，能够不需要预先登记或学习ip地址和mac地址的配对，通过更简单的结构来检测近邻搜索欺骗。

附图说明

图1是表示包含本发明实施方式涉及的检测非法的装置的网络系统的结构的框图。

图2是表示实施方式涉及的检测非法的装置的结构的框图。

图3是表示实施方式涉及的检测非法的装置的硬件结构的框图。

图4是用于说明实施方式涉及的检测非法的方法的流程图。

图5是表示实施方式涉及的网络系统的工作的时序图。

图6是表示实施方式涉及的网络系统的工作的时序图。

具体实施方式

以下，参照图1至图6对本发明的优选实施方式进行详细地说明。

[网络系统的结构]

首先，对具有本发明的实施方式涉及的检测非法的装置1的网络系统的概要进行说明。如图1所示，网络系统具有检测非法的装置1和通过lan等网络nw连接的多个终端装置2、3、4。网络系统可以设置在例如ba(buildingautomation：楼宇自动化)等系统。

本发明的实施方式涉及的检测非法的装置1监视网络nw，检测进行近邻搜索欺骗的非法终端。

终端装置2、3、4是工作在ipv6工环境下的pc等终端。本实施方式中，图1所示的终端装置2、3为合法终端。另一方面，终端装置4为例如被植入恶意软件等的非法终端。如图1所示，在终端装置2、3、4分别设定了ipv6地址。

检测非法的装置1监视在网络nw传送的数据包，检测基于近邻搜索协议(ndp)na数据包和ns数据包(规定的数据包)。检测非法的装置1获得检测的na数据包中包含的目标链路层地址(targetlink-layeraddress)，或者ns数据包中包含的源链路层地址(sourcelink-layeraddress)所示的mac地址。

进行近邻搜索欺骗的非法终端为了实现网络nw的通信监听或数据篡改等非法访问的目的，伪装成网络nw上其他的合法的终端装置进行na数据包或ns数据包的发送。这种非法终端在非法na数据包或ns数据包的选项格式字段的“目标链路层地址(targetlink-layeraddress)”或者“源链路层地址(sourcelink-layeraddress)”保存有自身装置的mac地址。

本实施方式涉及的检测非法的装置1将检测到的na数据包中包含的目标链路层地址(targetlink-layeraddress)或者ns数据包中包含的源链路层地址(sourcelink-layeraddress)所示的mac地址设定为发送目的地mac地址，全节点组播发送用于检查的通用查询(generalquery)的组播侦听查询(multicastlistenerquery-mlq)。

mlq数据包是用于路由器询问侦听器是否存在希望进行接收的组播组的消息。另外，通用查询(generalquery)是对链路本地范围内存在的全部侦听器调查正在参加哪个组播组的查询。

检测非法的装置1接收作为对mlq数据包的响应数据包的组播侦听报告(multicastlistenerreport(mlr))，所述组播侦听报告(multicastlistenerreport)用于报告对接收mlq数据包的终端装置正在参加的组播组进行识别的组播地址。mlr数据包中包含请求节点组播地址。根据分配到接口的作为单播地址或任播地址的ipv6地址计算得到请求节点组播地址。

另外，请求节点组播地址由单播地址或任播地址的低位24bit构成。请求节点组播地址的地址范围为从[ff02::1ff00:0000]到[ff02::1ffff:ffff]，所以可以容易地分辨ipv6地址。

本实施方式涉及的检测非法的装置1将请求节点组播地址表示的mlr数据包的发送源的ipv6地址(第一ip地址)和通过ns数据包或na数据包的发送而成为近邻搜索的对象的ipv6地址(第二ip地址)进行比较，上述请求节点组播地址被包含在作为对为了检查发送的mlq数据包的响应的、接收的mlr数据包中。在这些ipv6地址不一致的情况下，检测非法的装置1判断mlr数据包的发送源为进行近邻搜索欺骗的非法终端。

[检测非法的装置的功能模块]

检测非法的装置1如图2所示，具有：检测部10、发送部11、接收部12、判断部13和存储部14。

检测部10监视在网络nw传送的数据包，检测基于近邻搜索协议的na数据包和ns数据包。检测部10例如能够通过端口镜像的方式监视网络nw上的数据包。

发送部11将通过检测部10检测到的ns数据包或者na数据包的发送源mac地址设定为发送目的地mac地址，全节点组播发送通用查询(generalquery)的mlq数据包。更详细地说，发送部11将ns数据包或na数据包所包含的源/目标链路层地址(source/targetlink-layeraddress)中保存的数据包的发送源mac地址设定为mlq数据包的发送目的地mac地址。例如，在终端装置4发送ns数据包或na数据包的情况下，将源/目标链路层地址(source/targetlink-layeraddress)中保存的mac地址“h”设定为mlq数据包的发送目的地mac地址。

接收部12接收作为对发送部11发送来的mlq数据包的响应数据包的mlr数据包。接收部12接收的mlr数据包是由具有mlq数据包的发送目的地mac地址、例如“h”的终端装置4返回的mlr数据包。另外，在具有mlq数据包的发送目的地mac地址“h”的图1中的终端装置4为使ipv6协议栈无效的隐藏终端的情况下，终端装置4不返回mlr数据包。这种情况下，接收部12不从作为mlq数据包的发送目的地的终端装置4接收mlr数据包。对于这种情况下的非法检测处理在之后描述。

在接收部12接收的mlr数据包中包含的请求节点组播地址表示的ipv6地址和通过由检测部10检测到的ns数据包或na数据包而成为近邻搜索的对象的ipv6地址不同的情况下，判断部13判断mlr数据包的发送源的终端装置(例如终端装置4)为非法。

更详细地说，判断部13获得请求节点组播地址表示的ipv6地址(图1的“k”)，其中所述请求节点组播地址被包含在接收部12接收到的mlr数据包中，对mlr数据包的发送源的终端装置4参加的组播组进行识别。如前所述，请求节点组播地址是通过向链路本地的前缀添加ipv6地址的低位24bit(低位3字节)来生成的。基于这点，判断部13能够根据mlr数据包所包含的请求节点组播地址判别ipv6地址(图1的“k”)

另外，判断部13能够根据检测部10检测到的ns数据包或na数据包，判别并获得成为近邻搜索的对象的ipv6地址。例如，设想成为近邻搜索的对象的ipv6地址为终端装置3的ipv6地址“g”，mlr数据包的请求节点组播地址表示的ipv6地址为“k”的情况。在这种情况下，因为ipv6地址不一致，所以判断部13判断mlr数据包的发送源的终端装置4(ipv6地址“k”，mac地址“h”)为非法。

另外，在接收部12没有从mlq数据包的发送目的地mac地址、例如“h”的终端装置4接收到mlr数据包的情况下，判断部13判断该发送目的地mac地址“h”的终端装置4为非法。例如，判断部13在发送部11发送了mlq数据包后经过了一定时间后未收到mlr数据包的情况下，能够判断未接收到mlr数据包。

存储部14存储与基于检测部10检测到的ns数据包或者na数据包而成为近邻搜索的对象的ipv6地址相关的信息。

[检测非法的装置的硬件结构]

接下来使用图3说明具有上述功能的检测非法的装置1的硬件结构的一例。

如图3所示，检测非法的装置1例如能够通过具有由总线101连接的处理器102、主存储装置103、通信接口104、辅助存储装置105和输入输出i/o106的计算机和控制这些硬件资源的程序来实现。

主存储装置103中预先存储了用于处理器102进行各种控制或运算所需的程序。通过处理器102和主存储装置103可以实现如图2所示的检测部10、发送部11、接收部12、判断部13等检测非法的装置1的各种功能。

通信接口104是用于使检测非法的装置1和终端装置2、3、4等各种外部电子设备之间进行网络连接的接口电路。通过通信接口104发送图2说明的通过发送部11进行发送处理的数据包。另外，通过通信接口104接收到的数据包被接收部12进行接收处理。

辅助存储装置105由可读写的存储介质和用于对该存储介质读写程序或数据等各种信息的驱动装置构成。辅助存储装置105中，能够使用硬盘(harddisk)或闪存(flash)存储器等半导体存储器作为存储介质。

辅助存储装置105具有存储程序的程序存储区域，其中所述程序是用于检测非法的装置1检测在网络nw上进行近邻搜索欺骗的非法终端的程序。通过辅助存储装置105实现通过图2说明的存储部14。进而，例如也可以具有用于备份上述的数据或程序等的备份区域。

输入输出i/o106由输入来自外部设备的信号或向外部设备输出信号的i/o端子构成。

输入装置107由键盘或触摸面板等构成，接收输入操作并生成对应的信号。

显示装置108由液晶显示器等构成。显示装置108能够在显示画面显示由判断部13判断的结果。

[检测非法的方法]

接下来使用图4的流程图说明具有上述结构的检测非法的装置1的工作。

首先，检测部10监视在网络nw传送的数据包(步骤s1)。然后，当通过检测部10检测到ns数据包或na数据包(步骤s2：是)时，发送部11将ns数据包或na数据包的发送源mac地址设定为发送目的地mac地址，并全节点组播发送通用查询(generalquery)的mlq数据包。例如，将na数据包中包含的目标链路层地址(targetlink-layeraddress)的mac地址设定为mlq数据包的发送目的地mac地址。

接下来，在接收部12未从具有mlq数据包的发送目的地mac地址的终端装置接收到作为对mlq数据包的响应的mlr数据包的情况下(步骤s4：否)，判断部13判断具有mlq数据包的发送目的地mac地址的终端装置为非法(步骤s7)。

另一方面，在接收部12从具有mlq数据包的发送目的地mac地址的终端装置接收到作对mlq数据包的响应的mlr数据包的情况下(步骤s4：是)，判断部13实行以下处理。也就是说，判断部13将mlr数据包中包含的请求节点组播地址表示的ipv6地址和根据检测部10检测到的ns数据包或者na数据包而成为近邻搜索的对象的ipv6地址进行比较(步骤s5)。

判断部13在mlr数据包中包含的请求节点组播地址表示的ipv6地址和根据检测部10检测到的ns数据包或者na数据包而成为近邻搜索的对象的ipv6地址不一致的情况下(步骤s6：否)，判断mlr数据包的发送源的终端装置为非法(步骤s7)。

然后，显示装置108将判断结果在显示画面显示并输出。另外，也可以采用将判断部13得到的判断结果从通信接口104向网络nw上特定的服务器等发出的结构。

[网络系统的工作时序]

接下来，参照图5和图6的时序图对具有本实施方式涉及的检测非法的装置1的网络系统的工作进行说明。在以下，设终端装置2、3为合法终端，终端装置4为非法终端。另外，终端装置2具有ipv6地址“a”、mac地址“s”，终端装置3具有ipv6地址“g”、mac地址“m”。另外，终端装置4具有ipv6地址“k”、mac地址“h”。

[检测到非法na数据包的情况]

图5为在终端装置4发送非法na数据包的情况下的网络系统的工作时序。

检测非法的装置1监视网络nw(步骤s100)。然后，作为合法终端的终端装置2全节点组播发送ns数据包(步骤s101)。更详细地说，终端装置2为了解析作为合法终端的终端装置3的mac地址，指定了终端装置3的ipv6地址“g”(图5的“目标ipv6：g”)。另外，如图5所示，ns数据包的发送源示出终端装置2(图5的“src：终端装置2”)。

接下来，检测非法的装置1检测终端装置2在步骤s101发送的ns数据包(步骤s102)。此时，检测非法的装置1从ns数据包获得成为近邻搜索的对象的ipv6地址“g”。另外，在终端装置4也接收到了通过终端装置2全节点组播发送的ns数据包。

接着，终端装置4伪装成终端装置3并发送作为对ns数据包的响应的na数据包(步骤s103)。更详细地说，终端装置4在na数据包的目标链路层地址(targetlink-layeraddress)保存了自身装置的mac地址“h”，并对作为ns数据包的发送源的终端装置2返回非法的na数据包。另外，该非法的na数据包的发送源示出为终端装置4所伪装的终端装置3(图5的“src：终端装置3”)。

监视在网络nw上传送的数据包的检测非法的装置1检测到终端装置4发送的非法的na数据包(步骤s104)。接着，检测非法的装置1将na数据包的目标链路层地址(targetlink-layeraddress)“h”设为发送目的地mac地址“h”的通用查询(generalquery)的mlq数据包进行全节点组播发送(步骤s105)。

接着，mac地址“h”的终端装置4接收mlq数据包，向检测非法的装置1返回作为对mlq数据包的响应数据包的mlr数据包(步骤s106)。具体来讲，接收到mlq数据包的终端装置4将自身装置所属的组播地址作为mlr数据包返回。该mlr数据包中包含了基于终端装置4的ipv6地址“k”的请求节点组播地址。

然后，检测非法的装置1接收来自终端装置4的mlr数据包，因为mlr数据包所包含的请求节点组播地址表示的ipv6地址“k”和作为近邻搜索的对象的ipv6地址“g”不一致(步骤s107：否)，所以判断作为mlr数据包的发送源的终端装置4为非法(步骤s108)。另外，在合法的终端装置3对于在步骤s101发送的ns数据包发送na数据包的情况下，在步骤s107中，作为近邻搜索的对象的ipv6地址和请求节点组播地址表示的ipv6地址一致。

然后，检测非法的装置1输出判断终端装置4为非法的结果(步骤s109)。

[检测到非法的ns数据包的情况]

图6是表示在终端装置4发送非法的ns数据包的情况下的网络系统的工作时序。

首先，检测非法的装置1监视在网络nw上传送的数据包(步骤s200)。然后，终端装置4将自身装置的mac地址“h”保存在源链路层地址(sourcelink-layeraddress)，伪装成合法的终端装置2发送ns数据包(步骤s201)。该非法的ns数据包是终端装置4伪装成终端装置2(图6的“src：终端装置2”)来询问终端装置3的ipv6地址“g”的mac地址的数据包(图6的“目标ipv6：g”)。如图6所示，合法的终端装置2实际上并没有发送ns数据包。

接着，检测非法的装置1检测到终端装置4发送的非法的ns数据包(步骤s202)。接着，检测非法的装置1对将检测到的ns数据包的源链路层地址(sourcelink-layeraddress)表示的mac地址“h”作为发送目的地mac地址的通用查询(generalquery)的mlq数据包进行全节点组播发送(步骤s203)。

接收到mlq数据包的终端装置4返回包含基于自身装置的ipv6地址“k”的请求节点组播地址的mlr数据包(步骤s204)。接着，检测非法的装置1接收mlr数据包，因为mlr数据包包含的请求节点组播地址表示的ipv6地址“k”和作为近邻搜索的对象的ipv6地址“g”不一致(步骤s205：否)，所以判断mlr数据包的发送源的终端装置4为非法(步骤s206)。

然后，显示装置108将判断结果在显示画面显示(步骤s207)。

如以上说明的那样，根据本实施方式，检测在网络nw上传送的ns数据包和na数据包，将保存在这些数据包所包含的源/目标链路层地址(source/targetlink-layeraddress)的mac地址作为发送目的地mac地址，并全节点组播发送通用查询(generalquery)的mlq数据包。另外，比较作为对mlq数据包的响应的mlr数据包包含的请求节点组播地址表示的ipv6地址和作为近邻搜索的对象的ipv6地址，从而检测非法终端。因此，能够不需要预先登记或学习ip地址和mac地址的配对，通过更简单的结构来检测近邻搜索欺骗。

另外，根据本实施方式，在未接收到作为对指定了发送目的地mac地址的mlq数据包的响应的mlr数据包的情况下，判断mlq数据包的发送源的终端装置为非法。因此，即使在非法终端为隐藏终端的情况下也能够检测近邻搜索欺骗。

另外，在说明的实施方式涉及的检测非法的装置1中，输出判断部13的基于ipv6地址的比较的判断结果，例如，示出了在显示装置108的显示画面显示判断结果的情况。在此之外，检测非法的装置1在对于合法的终端装置2、3发送的一个ns数据包，检测到2个以上的na数据包的情况下，也能够在显示装置108显示出表示上述情况的信息。例如，判断部13即使在将作为近邻搜索的对象的ipv6地址和mlr数据包所包含的请求节点组播地址表示的ipv6地址判断为相同的情况下，也能够在检测到了2个以上的na数据包时，对用户通知非法的可能性。

以上，对本发明的检测非法的装置和检测非法的方法的实施方式进行了说明，但是不限于本发明说明的实施方式，在说明书所记载的发明的范围内，本领域技术人员能够进行设想到的各种变形。

附图标记说明

1：检测非法的装置

2、3、4：终端装置

10：检测部

11：发送部

12：接收部

13：判断部

14：存储部

101：总线

102：处理器

103：主存储装置

104：通信接口

105：辅助存储装置

106：输入输出i/o

107：输入装置

108：显示装置

nw：网络