本發(fā)明提供一種檢測非法的裝置，其目的在于不需要預(yù)先登記或?qū)W習(xí)IP地址和MAC地址的配對，通過更簡單的結(jié)構(gòu)來檢測近鄰搜索欺騙。檢測非法的裝置(1)具有：檢測部(10)，其監(jiān)視網(wǎng)絡(luò)(NW)上傳送的數(shù)據(jù)包，檢測基于近鄰搜索協(xié)議的NS或NA數(shù)據(jù)包；發(fā)送部(11)，其對MLQ數(shù)據(jù)包進(jìn)行全節(jié)點(diǎn)組播發(fā)送，所述MLQ數(shù)據(jù)包將檢測到的NS或NA數(shù)據(jù)包的發(fā)送源MAC地址設(shè)為發(fā)送目的地MAC地址；接收部(12)，其從具有MLQ數(shù)據(jù)包的發(fā)送目的地MAC地址的終端裝置(4)接收對MLQ數(shù)據(jù)包的MLR數(shù)據(jù)包；判斷部(13)，其當(dāng)MLR數(shù)據(jù)包中包含的請求節(jié)點(diǎn)組播地址表示的IPv6地址和作為近鄰搜索的對象的IPv6地址不同的情況下，判斷MLR數(shù)據(jù)包的發(fā)送源的終端裝置(4)為非法。

技術(shù)領(lǐng)域

本發(fā)明涉及檢測非法的裝置和檢測非法的方法，特別涉及IPv6環(huán)境下檢測非法的技術(shù)。

背景技術(shù)

近年來，由于IoT的普及，各種各樣的設(shè)備連接至互聯(lián)網(wǎng)。伴隨于此，連接到互聯(lián)網(wǎng)的設(shè)備的數(shù)量也爆炸式增加，從作為現(xiàn)有互聯(lián)網(wǎng)協(xié)議使用的IPv4正在向作為新的具有128位的地址長度的協(xié)議的IPv6轉(zhuǎn)移。此外，在網(wǎng)絡(luò)監(jiān)視裝置等眾多的網(wǎng)絡(luò)安全產(chǎn)品中，也急需與IPv6對應(yīng)的產(chǎn)品。

作為IPv6環(huán)境下竊聽或干擾通信的入侵手段之一，已知有近鄰搜索(NeighborDiscovery：ND)欺騙。這是與IPv4環(huán)境下的arp欺騙相對應(yīng)的方法。在IPv6環(huán)境下，通過基于ICMPv6的近鄰搜索，找到目標(biāo)的IPv6地址的MAC地址，并將找到的MAC地址登記在鄰近緩存中。例如，當(dāng)由于非法訪問等而被植入惡意軟件的終端裝置處于同一鏈路中時(shí)，該非法的終端裝置對于來自任意終端裝置的鄰居請求(Neighbor Solicitation：NS)，通過偽裝成返回保存有未使用的MAC地址的鄰居通告(Neighbor Advertisement：NA)，從而能夠進(jìn)行DoS攻擊等(參照非專利文獻(xiàn)1)。

作為檢測這種近鄰搜索欺騙的對策，例如，非專利文獻(xiàn)1公開了一種技術(shù)，其中，監(jiān)視與ND相關(guān)的數(shù)據(jù)包，學(xué)習(xí)L2(Data link layer：數(shù)據(jù)鏈路層)和L3(Network layer：網(wǎng)絡(luò)層)的地址映射，通過過濾器，對來自與學(xué)習(xí)完的L3所涉及的非法終端的NA進(jìn)行攔截。

根據(jù)上述的檢測近鄰搜索欺騙(Neighbor Discovery Spoofing)的現(xiàn)有技術(shù)，例如，通過交換式集線器等預(yù)先登記或?qū)W習(xí)了IP地址與MAC地址的正常配對，在交換式集線器內(nèi)傳送的NA數(shù)據(jù)包中，在傳送不符合正常配對的NA數(shù)據(jù)包的情況下，判斷該行為為非法。

現(xiàn)有技術(shù)文獻(xiàn)

非專利文獻(xiàn)

非專利文獻(xiàn)1：IPv6技術(shù)檢證協(xié)議會(huì)“安全評價(jià)·對策檢證部會(huì)最終報(bào)告書2.1.1.2對策案”2012年8月。

但是，非專利文獻(xiàn)1中記載的技術(shù)中例如存在以下缺點(diǎn)：也有IP地址被變更的IPv6環(huán)境的情況中已登錄的IP地址被變更，每當(dāng)追加新的終端裝置時(shí)必須登記新的IP地址和MAC地址的配對，以及誤檢測或登錄操作增加等。

發(fā)明內(nèi)容

本發(fā)明是為了解決上述課題而完成的，其目的在于不需要預(yù)先登記或?qū)W習(xí)IP地址和MAC地址的配對，通過更簡單的結(jié)構(gòu)來檢測近鄰搜索欺騙。

用于解決課題的方案