情報処理装置、アドレス重複対処方法およびアドレス重複対処用プログラム
【課題】ネットワークにおいて上位層アドレスの重複が発生した場合に生じうる問題を防止することを課題とする。
【解決手段】センサー装置20に、ネットワークセグメント2に接続された端末を検知する端末検知部21と、前記端末検知部21によって検知された被検知端末10Xが用いるIPアドレスと、所定のIPアドレスとを比較することで、IPアドレスの重複を検出する重複検出部22と、重複検出部22によってIPアドレスの重複が検出された場合に、被検知端末10Xによって被検知端末10XのMACアドレスが通知された可能性のある通知対象端末10Bに対して、被検知端末10X以外の端末のMACアドレスを通知する通知部23と、を備えた。
【解決手段】センサー装置20に、ネットワークセグメント2に接続された端末を検知する端末検知部21と、前記端末検知部21によって検知された被検知端末10Xが用いるIPアドレスと、所定のIPアドレスとを比較することで、IPアドレスの重複を検出する重複検出部22と、重複検出部22によってIPアドレスの重複が検出された場合に、被検知端末10Xによって被検知端末10XのMACアドレスが通知された可能性のある通知対象端末10Bに対して、被検知端末10X以外の端末のMACアドレスを通知する通知部23と、を備えた。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークを介して接続された端末による通信を監視する情報処理装置に関する。
【背景技術】
【0002】
従来、入力された検査対象IPアドレスに対応するMACアドレスを得るためのARPリクエストを送出し、ARPリプライの受信個数を判定することで、IPアドレスの重複を検出するIPアドレス重複検出方法がある(特許文献1を参照)。
【0003】
また、検出されたARPパケットの送信者アドレスが保護IPに設定されており、且つ送信MACアドレスが指定MACアドレスと異なる場合に、送信IPアドレスが既に使用されているもので操作されたARPパケットを送信者アドレスに伝送し、送信IPアドレスの実際使用MACアドレスが指定MACアドレスになるように補償する補償パケットをネットワーク上の全ての装置に伝送する、IP管理方法がある(特許文献2を参照)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特許第3534305号公報
【特許文献2】特表2008−520159号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
従来、IPネットワーク等の、所望の端末と通信を行う際に、宛先端末の上位層(上位レイヤ)アドレスから、下位層の宛先とすべき下位層(下位レイヤ)アドレスを求めて、求められた下位層アドレスを下位層における宛先とすることで所望の端末と通信を行う(例えば、パケットやフレームの送信)ネットワークが用いられている。このようなネットワークでは、ネットワークにおいて上位層アドレスの重複が発生した場合、ネットワーク内で誤った下位層アドレスを用いて通信が行われ、通信障害が生じる可能性や、本来取得すべきでない上位層アドレスを有する端末と他の端末との間で通信が行われてしまう可能性がある。
【0006】
本発明は、上記した問題に鑑み、ネットワークにおいて上位層アドレスの重複が発生した場合に生じうる問題を防止することを課題とする。
【課題を解決するための手段】
【0007】
本発明は、以下の構成を備えることで、上記した課題を解決することとした。即ち、本発明は、ネットワークに接続された端末を検知する端末検知手段と、前記端末検知手段によって検知された被検知端末が用いる上位層アドレスと、所定の上位層アドレスとを比較することで、上位層アドレスの重複を検出する重複検出手段と、前記重複検出手段によって上位層アドレスの重複が検出された場合に、前記被検知端末によって該被検知端末の下位層アドレスが通知された可能性のある通知対象端末に対して、前記被検知端末以外の端末の下位層アドレスを通知する通知手段と、を備える情報処理装置である。
【0008】
ここで、所定の上位層アドレスとは、本発明に係る情報処理装置の上位層アドレス、既知の端末の上位層アドレス、または予約された上位層アドレス等、ネットワークにおいて重複を許可したくない上位層アドレスである。即ち、本発明によれば、所定の上位層アド
レスと重複する上位層アドレスを用いる端末が検知された場合に、検知された端末の下位層アドレスが通知された可能性のあるその他の端末に対して、下位層アドレスを是正するための通知を行い、ネットワークにおいて上位層アドレスの重複が発生した場合に生じうる問題を防止することが可能となる。
【0009】
なお、所定の上位層アドレスは、ネットワークにおいて重複を許可したくないアドレスであればよく、所定の上位層アドレスとして、例示した、本発明に係る情報処理装置の上位層アドレス、既知の端末の上位層アドレス、および予約された上位層アドレス以外のアドレスが用いられてもよい。
【0010】
また、本発明は、所望の端末と通信を行う際に、宛先端末の上位層(上位レイヤ)アドレスから、下位層の宛先とすべき下位層(下位レイヤ)アドレスを求めて、求められた下位層アドレスを下位層における宛先とすることで所望の端末と通信を行う(例えば、パケットやフレームの送信)ネットワークに適用可能である。上位層の例としてはIP、下位層の例としてはIEEE 802.3が挙げられるが、本発明はOSI参照モデルのような複数の層(レイヤ)をもって通信が階層化された通信プロトコルにおいて相対的に上位層および下位層の関係にある通信システムであれば適用可能であり、本発明の適用範囲は、本明細書等に例示されたものに限定されない。
【0011】
また、本発明において、前記重複検出手段は、前記被検知端末が用いる上位層アドレスと、該情報処理装置の上位層アドレスとの重複を検出し、前記通知手段は、前記重複検出手段によって、前記被検知端末が用いる上位層アドレスと、該情報処理装置の上位層アドレスとの重複が検出された場合に、前記通知対象端末に対して、該情報処理装置の下位層アドレスを通知してもよい。
【0012】
即ち、検知された端末が、本発明に係る情報処理装置自身の上位層アドレスと重複するアドレスを用いていた場合に、検知された端末の下位層アドレスが通知された可能性のあるその他の端末に対して、重複に係る上位層アドレスに対応する下位層アドレスとして、情報処理装置の下位層アドレスが通知される。これによって、情報処理装置を相手方とする通信において問題が発生することを防止することが出来る。
【0013】
また、本発明において、前記重複検出手段は、前記被検知端末が用いる上位層アドレスと、前記ネットワークに接続された既知端末の上位層アドレスとの重複を検出し、前記通知手段は、前記重複検出手段によって、前記被検知端末が用いる上位層アドレスと、前記既知端末の上位層アドレスとの重複が検出された場合に、前記通知対象端末に対して、該既知端末の下位層アドレスを通知してもよい。
【0014】
即ち、検知された端末が、既に本発明に係る情報処理装置によって知られている端末の上位層アドレスと重複するアドレスを用いていた場合に、検知された端末の下位層アドレスが通知された可能性のあるその他の端末に対して、重複に係る上位層アドレスに対応する下位層アドレスとして、既知端末の下位層アドレスが通知される。これによって、既知端末を相手方とする通信において問題が発生することを防止することが出来る。
【0015】
また、本発明において、前記重複検出手段は、前記被検知端末が用いる上位層アドレスと、予約された上位層アドレスとの重複を検出してもよい。
【0016】
即ち、重複が許可されない上位層アドレスは、現在用いられている上位層アドレスに限定されない。例えば、端末に固定で割り当てられる上位層アドレス等を予約された上位層アドレスとして重複検出に用いることで、予約に係る端末がネットワークから離れている間に予約された上位層アドレスが用いられてしまうことを防止し、予約に係る端末がネッ
トワークに復帰した際に、即座に予約されたアドレスを使用させることが出来る。
【0017】
また、本発明において、前記通知手段は、前記重複検出手段によって、前記被検知端末が用いる上位層アドレスと、前記予約された上位層アドレスとの重複が検出された場合に、前記通知対象端末に対して、該情報処理装置の下位層アドレスを通知してもよい。
【0018】
また、本発明において、前記通知手段は、前記重複検出手段によって、前記被検知端末が用いる上位層アドレスと、前記予約された上位層アドレスとの重複が検出された場合に、前記通知対象端末に対して、前記ネットワークに接続された所定の端末の下位層アドレスを通知してもよい。
【0019】
このようにすることで、予約に係る端末がネットワークから離れている間、予約された上位層アドレス宛の通信を、本発明に係る情報処理装置自身または他の所定の端末に誘導し、破棄する、ログを蓄積する等、適切な処理を行うことが出来る。即ち、本発明によれば、予約に係る端末がネットワークから離れている間に予約された上位層アドレスが用いられてしまうことを防止することが出来る。
【0020】
また、本発明において、前記通知手段は、前記重複検出手段によって、前記被検知端末が用いる上位層アドレスと、前記予約された上位層アドレスとの重複が検出された場合に、前記通知対象端末に対して、前記ネットワークにおいて用いられていない下位層アドレスを通知してもよい。
【0021】
この場合、予約に係る端末がネットワークから離れている間は、予約された上位層アドレス宛の通信は、宛先不明となり、ネットワークの全ての装置において破棄されることとなる。即ち、ネットワークにおいて用いられていない下位層アドレスを通知することによっても、予約に係る端末がネットワークから離れている間に予約された上位層アドレスが用いられてしまうことを防止することが出来る。
【0022】
また、本発明に係る情報処理装置は、前記重複検出手段によってアドレスの重複が検出された場合に、前記被検知端末に対して、前記ネットワーク上の端末の下位層アドレスとして、該情報処理装置の下位層アドレス、前記ネットワークに接続された所定の端末の下位層アドレスまたは前記ネットワークにおいて用いられていない下位層アドレスを通知することで、前記被検知端末からの通信を誘導する、通信誘導手段を更に備えてもよい。
【0023】
本発明によれば、重複する上位層アドレスを用いる被検知端末からの通信を、本発明に係る情報処理装置や、所定の端末、ネットワークに存在しない端末、等に誘導することが出来る。誘導された通信は、破棄される、ログとして蓄積される等の方法で処理することが出来、ネットワークのセキュリティを確保することが出来る。
【0024】
更に、本発明は、コンピュータが実行する方法、又はコンピュータに実行させるプログラムとしても把握することが可能である。また、本発明は、そのようなプログラムをコンピュータその他の装置、機械等が読み取り可能な記録媒体に記録したものでもよい。ここで、コンピュータ等が読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータ等から読み取ることができる記録媒体をいう。
【発明の効果】
【0025】
本発明によれば、ネットワークにおいて上位層アドレスの重複が発生した場合に生じうる問題を防止することが可能となる。
【図面の簡単な説明】
【0026】
【図1】実施形態に係る通信システムの構成を示す概略図である。
【図2】実施形態に係るセンサー装置のハードウェア構成を示す図である。
【図3】実施形態に係るセンサー装置の機能構成の概略を示す図である。
【図4】実施形態に係る端末リストの構成を例示する図である。
【図5】実施形態に係る予約リストの構成を例示する図である。
【図6】実施形態における予約リストの作成、配信方法を示す概略図である。
【図7】実施形態に係るアドレス重複対処処理の流れを示すフローチャートである。
【図8A】図7に示したフローチャートにおけるステップS102に示された処理が実行される場合の、通信の詳細な流れを示すシーケンス図である。
【図8B】図7に示したフローチャートにおけるステップS102に示された処理が実行される場合の、通信の詳細な流れを示すシーケンス図である。
【図9A】図7に示したフローチャートにおけるステップS104に示された処理が実行される場合の、通信の詳細な流れを示すシーケンス図である。
【図9B】図7に示したフローチャートにおけるステップS104に示された処理が実行される場合の、通信の詳細な流れを示すシーケンス図である。
【図10A】図7に示したフローチャートにおけるステップS106に示された処理が実行される場合の、通信の詳細な流れを示すシーケンス図である。
【図10B】図7に示したフローチャートにおけるステップS106に示された処理が実行される場合の、通信の詳細な流れを示すシーケンス図である。
【図10C】図7に示したフローチャートにおけるステップS106に示された処理が実行される場合の、通信の詳細な流れを示すシーケンス図である。
【図11】ネットワークにおいてIPアドレスの重複が発生する様子を示す概略図である。
【発明を実施するための形態】
【0027】
以下、本発明に係る情報処理装置を含む通信システム1の実施の形態について、図面に基づいて説明する。本実施形態に係る通信システム1は、ネットワークに接続された端末等に対して所謂検疫が行われる通信システムである。但し、本発明に係る情報処理装置は、検疫を行わないシステムにおいても、通信の監視または制限を行うために用いることが出来る。
【0028】
<システムの構成>
図1は、本実施形態に係る通信システム1の構成の例を示す概略図である。本実施形態に係る通信システム1は、端末10A、10B、10Xが接続されるネットワークセグメント2と、ルータを介してネットワークセグメント2と通信可能に接続されているマネージャ装置(マネージャサーバ)40および検疫サーバ30と、を備える。そして、ネットワークセグメント2には、検疫が完了していない端末による通信を遮断するためのセンサー装置20が接続されている。なお、本実施形態において、端末10A、10B、10Xは、何れもユーザによって用いられるパーソナルコンピュータや携帯情報端末等の端末であるが、後述するアドレス重複対処処理では、検知された端末を被検知端末10X、センサー装置20によって既に端末リストに登録されている端末を既知端末10A、被検知端末10Xによって被検知端末10XのMACアドレスが通知された可能性のある端末を通知対象端末10Bとして説明する。
【0029】
検疫サーバ30は、ネットワークセグメント2に接続された端末に対して検疫サービスを提供する。なお、本実施形態に係る通信システム1では、ネットワークセグメント2内の各端末またはセンサー装置20から接続されるマネージャ装置40や検疫サーバ30等は、インターネットや広域ネットワークを介して遠隔地において接続されたものであり、例えばASP(Application Service Provider)によって
提供されるが、マネージャ装置40や検疫サーバ30等は、必ずしも遠隔地に接続されたものである必要はない。例えば、マネージャ装置40や検疫サーバ30等は、各端末やセンサー装置20が存在するローカルネットワーク上に接続されていてもよい。
【0030】
従来、本実施形態に係る通信システム1のような構成を持つネットワークにおいて、他の端末(例えば、端末10A)と同じIPアドレスを持つ端末10Xが、端末10Aから端末10Bに対して通信している途中で、端末10Bに対して通信を行った場合、端末10B内に存在する端末10Aに関するARPテーブルの情報が、端末10XのMACアドレスをもって上書きされ、端末10Aと端末10Bとの間の通信が出来なくなってしまう(図11を参照。図11は、IPアドレスの重複によって問題が発生する様子を示す概略図であり、図中の処理内容を示すブロックに付された数字は、処理順序である。)。
【0031】
このため、本実施形態に係る通信システム1では、ネットワークセグメント2上に、本発明の情報処理装置に相当するセンサー装置20を設置し、ネットワークセグメント2上の機器を全て検出した上で、夫々の機器においてIPアドレスが重複していないかどうか常に監視を行い、IPアドレスの重複を検出した場合、適切でない情報が保持されてしまったARPテーブルを補正することで、IPアドレスの重複に起因する問題の発生を抑制することとしている。
【0032】
図2は、本実施形態に係るセンサー装置20のハードウェア構成の例を示す図である。センサー装置20は、CPU(Central Processing Unit)11、RAM(Random Access Memory)13、ROM(Read Only Memory)12、EEPROM(Electrically Erasable and Programmable Read Only Memory)やHDD(Hard Disk Drive)等の記憶装置14、NIC(Network Interface Card)15等の通信ユニット、等を備えるコンピュータである。なお、図2においては、センサー装置20以外の構成(ルータ、マネージャ装置40、検疫サーバ30、端末10A、端末10B、端末10X等)については、図示を省略しているが、図示を省略されたセンサー装置20以外の端末(装置)も、何れもCPU、RAM、ROM、記憶装置、通信ユニット等のセンサー装置20と同様の構成を備えるコンピュータである。
【0033】
図3は、本実施形態に係るセンサー装置20の機能構成の概略を示す図である。センサー装置20は、記憶装置14に記録されているプログラムが、RAM13に読み出され、CPU11によって実行されることで、端末検知部21と、重複検出部22と、通知部23と、通信誘導部24と、を備える情報処理装置として機能する。なお、本実施形態では、情報処理装置の備える各機能は、汎用プロセッサであるCPU11によって実行されるが、これらの機能の一部または全部は、1または複数の専用プロセッサによって実行されてもよい。
【0034】
端末検知部21は、端末から送信されたARPリクエスト等のパケットを受信すると、パケットの送信元MACアドレスを用いて端末リストを検索し、端末リストに登録済みの端末であるか否かを判定することで、ネットワークセグメント2に接続された端末を検知する。即ち、端末検知部は、パケットの送信元MACアドレスが端末リストに登録済みである場合、既知の端末(既知端末10A)であると判定し、一方、パケットの送信元MACアドレスが端末リストに登録されていなかった場合、新たな端末であると判定し、この新たな端末を、被検知端末10Xとして検知する。
【0035】
なお、被検知端末10Xの接続検知は、ARP以外のパケット通信を検出することで行われてもよい。例えば、被検知端末10Xから送信されたその他のブロードキャストパケ
ットを受信することで被検知端末10Xの接続を検知してもよいし、NIC15をプロミスキャスモードで動作させることで、ブロードキャストパケットでもセンサー装置20宛のパケットでもないパケットについても取得し、被検知端末10Xの接続を検知することとしてもよい。
【0036】
重複検出部22は、端末検知部21によって検知された被検知端末10Xが用いるIPアドレスと、所定のIPアドレスとを比較することで、IPアドレスの重複を検出する。例えば、重複検出部22は、センサー装置20のIPアドレス、既知端末10AのIPアドレス、および予約IPアドレスを、被検知端末10Xが用いるIPアドレスと比較し、IPアドレスの重複を検出する。
【0037】
通知部23は、重複検出部22によってIPアドレスの重複が検出された場合に、被検知端末10Xによって被検知端末10XのMACアドレスが通知された可能性のある通知対象端末10Bに対して、被検知端末10X以外の端末のMACアドレスを通知する。例えば、通知部23は、重複検出部22によって、被検知端末10Xが用いるIPアドレスと、センサー装置20のIPアドレスとの重複が検出された場合には、通知対象端末10Bに対して、センサー装置20のMACアドレスを通知する。また、通知部23は、重複検出部22によって、被検知端末10Xが用いるIPアドレスと、既知端末10AのIPアドレスとの重複が検出された場合には、通知対象端末10Bに対して、既知端末10AのMACアドレスを通知する。
【0038】
一方、通知部23は、重複検出部22によって、被検知端末10Xが用いるIPアドレスと、予約IPアドレスとの重複が検出された場合には、通知対象端末10Bに対して、センサー装置20のMACアドレスを通知する。これは、通知対象端末10Bからの被検知端末10X宛の通信を誘導するためである。このようにすることで、予約に係る端末がネットワークセグメント2から離れている間、予約IPアドレス宛の通信をセンサー装置20自身に誘導し、破棄する、ログを蓄積する等、適切な処理を行うことが出来る。
【0039】
但し、通知部23は、重複検出部22によって、被検知端末10Xが用いるIPアドレスと、予約IPアドレスとの重複が検出された場合に、通知対象端末10Bに対して、ネットワークセグメント2に接続された所定の端末のMACアドレスを通知してもよい。このようにすることで、予約に係る端末がネットワークセグメント2から離れている間、予約IPアドレス宛の通信を所定の端末に誘導し、破棄する、ログを蓄積する等、適切な処理を行うことが出来る。
【0040】
また、通知部23は、重複検出部22によって、被検知端末10Xが用いるIPアドレスと、予約IPアドレスとの重複が検出された場合に、通知対象端末10Bに対して、ネットワークセグメント2において用いられていないMACアドレスを通知してもよい。この場合、予約に係る端末がネットワークセグメント2から離れている間は、予約IPアドレス宛の通信は、宛先不明となり、ネットワークセグメント2の全ての装置において破棄されることとなる。即ち、ネットワークセグメント2において用いられていないMACアドレスを通知することによっても、予約IPアドレスが用いられてしまうことを防止することが出来る。
【0041】
通信誘導部24は、重複検出部22によってアドレスの重複が検出された場合に、被検知端末10Xに対して、ネットワークセグメント2上の端末のMACアドレスとして、センサー装置20のMACアドレス、ネットワークセグメント2に接続された所定の端末のMACアドレスまたはネットワークセグメント2において用いられていないMACアドレスを通知することで、被検知端末10Xからの通信を誘導する。
【0042】
また、本実施形態に係るセンサー装置20は、記憶装置14に、端末リストおよび予約リストを保持する。図4は、本実施形態に係る端末リストの構成を例示する図である。端末リストは、センサー装置20によって検知された、ネットワークセグメント2に接続された各端末の、IPアドレスおよびMACアドレスを含む情報が保持されるためのリストである。但し、端末リストは、センサー装置20内に保持されている必要はない。例えば、端末リストは、マネージャ装置40に保持され、必要に応じてネットワークを介してセンサー装置20によって参照されることとしてもよい。また、センサー装置20は、通常ネットワークセグメント2上の他の端末との間での通信において用いられるARPテーブルを有しているが、端末リストは、このようなARPテーブルとは別に用意されていてもよいし、センサー装置20のARPテーブルが、端末リストとして用いられてもよい。
【0043】
図5は、本実施形態に係る予約リストの構成を例示する図である。予約リストは、予約IPアドレスおよび予約MACアドレスを含む予約情報が保持されるためのリストである。ここで、予約IPアドレスとは、所望の端末のために予約され、ネットワークセグメント2上の他の端末によって使用されることを禁止されたIPアドレスである。なお、予約IPアドレスは、予約IPアドレスが割り当てられた端末が現在ネットワークセグメント2に接続されて通信可能な状態となっているか否かを問わず、ネットワークセグメント2上の他の端末によって使用されることを禁止される。また、予約MACアドレスとは、予約IPアドレスに係る端末のMACアドレスである。
【0044】
図6は、本実施形態における予約リストの作成、配信方法を示す概略図である。なお、図中の処理内容を示すブロックに付された数字は、処理順序である。本実施形態では、予約IPアドレスは、システム管理者によって指定される。センサー装置20は、検出した端末の情報(即ち、端末リストの内容)を全てマネージャ装置40に対してアップロードする。システム管理者は、センサー装置20からマネージャ装置40にアップロードされた端末リストを閲覧し、システム構成図などと照合した上で、所望の端末によって使用されるIPアドレスを予約IPアドレスとしてマネージャ装置40に指示する。マネージャ装置40は、その指示によって指定された予約IPアドレスと該予約IPアドレスを利用する端末の情報とを含む予約リストを、センサー装置20に配信する。
【0045】
<処理の流れ>
次に、本実施形態に係るセンサー装置20によって実行される処理の流れを、フローチャートを用いて説明する。
【0046】
図7は、本実施形態に係るアドレス重複対処処理の流れを示すフローチャートである。本実施形態に係るアドレス重複対処処理は、上記説明した通信システム1において、センサー装置20によってARPのアドレス解決要求(以下、「ARPリクエスト」と称する)が受信され、端末検知部21によって新たな端末が検知されたことを契機として開始される。なお、本フローチャートに示された処理の具体的な内容および処理順序は、本発明を実施するための一例である。具体的な処理内容および処理順序は、本発明の実施の形態に応じて適宜選択されてよい。例えば、後述するステップS102、ステップS104またはステップS106と、ステップS107との処理順序は入れ替わってもよい。
【0047】
ステップS101では、検知された被検知端末10XのIPアドレスが、センサー装置20のIPアドレスと重複しているか否かが判定される。重複検出部22は、受信されたARPリクエストのSenderIPを参照することで、検出された被検知端末10XのIPアドレスを取得し、取得された被検知端末10XのIPアドレスとセンサー装置20のIPアドレスとを比較することで、IPアドレスの重複を検出する。比較の結果、被検知端末10XのIPアドレスと、センサー装置20のIPアドレスとの重複が検出されなかった場合、処理はステップS103へ進む。これに対して、比較の結果、被検知端末1
0XのIPアドレスと、センサー装置20のIPアドレスとの重複が検出された場合、処理はステップS102へ進む。
【0048】
ステップS102では、通知対象端末10Bに対して、センサー装置20のMACアドレスが通知される。ステップS101における比較の結果、被検知端末10XのIPアドレスと、センサー装置20のIPアドレスとの重複が検出された場合、通知部23は、通知対象端末10Bに対して、センサー装置20のIPアドレスとMACアドレスとの組み合わせがSenderIP/MACに設定されたARPリクエストを送信することで、通知対象端末10Bに対して、センサー装置20のIPアドレスに対応する正しいMACアドレスを通知する。なお、ステップS102に示された処理が実行される場合の通信の詳細な流れは、図8Aおよび図8Bを用いて後述する。その後、処理はステップS107へ進む。
【0049】
ステップS103では、被検知端末10XのIPアドレスが、ネットワークセグメント2に接続された既知端末10Aが使用しているIPアドレスと重複しているか否かが判定される。重複検出部22は、受信されたARPリクエストのSenderIPを参照することで検出された被検知端末10XのIPアドレスを取得し、被検知端末10XのIPアドレスおよびMACアドレスと、センサー装置20が保持している端末リストに登録されているIPアドレスおよびMACアドレスと、を比較し、IPアドレスが同一でありMACアドレスが異なる端末の有無を判定することで、IPアドレスの重複を検出する。ここで、重複検出部22は、検出された被検知端末10XのIPアドレスおよびMACアドレスを端末リストに登録し、登録後に端末リスト内においてIPアドレスおよびMACアドレスを比較することで、IPアドレスの重複を検出してもよい。比較の結果、被検知端末10XのIPアドレスと既知端末10AのIPアドレスとの重複が検出されなかった場合、処理はステップS105へ進む。これに対して、比較の結果、被検知端末10XのIPアドレスと既知端末10AのIPアドレスとの重複が検出された場合、処理はステップS104へ進む。
【0050】
ステップS104では、通知対象端末10Bに対して、既知端末10AのMACアドレスが通知される。ステップS103における比較の結果、被検知端末10XのIPアドレスと既知端末10AのIPアドレスとの重複が検出された場合、通知部23は、通知対象端末10Bに対して、既知端末10AのIPアドレスとMACアドレスとの組み合わせがSenderIP/MACに設定されたARPリクエストを送信することで、通知対象端末10Bに対して、既知端末10AのIPアドレスに対応する正しいMACアドレスを通知する。なお、ステップS104に示された処理が実行される場合の通信の詳細な流れは、図9Aおよび図9Bを用いて後述する。その後、処理はステップS107へ進む。
【0051】
ステップS105では、被検知端末10XのIPアドレスが、予約IPアドレスと重複しているか否かが判定される。センサー装置20は、マネージャ装置40から配信された、予約IPアドレスおよび予約MACアドレスを含む予約リストに基づいて、IPアドレスの重複の有無を判定する。より具体的には、重複検出部22は、受信されたARPリクエストのSenderIPを参照することで検出された被検知端末10XのIPアドレスを取得し、被検知端末10XのIPアドレスが予約IPアドレスと同一で、且つ被検知端末10XのMACアドレスが予約MACアドレスと異なるか否かを判定することで、IPアドレスの重複を検出する。即ち、重複検出部22は、予約MACアドレスが異なる(予約に係る端末とは異なる端末である)にも関わらず、予約IPアドレスを用いる端末を、IPアドレスを重複させる端末として検出する。比較の結果、被検知端末10XのIPアドレスと、予約IPアドレスとの重複が検出されなかった場合、処理はステップS108へ進む。これに対して、比較の結果、被検知端末10XのIPアドレスと、予約IPアドレスとの重複が検出された場合、処理はステップS106へ進む。
【0052】
ステップS106では、通知対象端末10Bに対して、センサー装置20のMACアドレスが通知される。ステップS105における比較の結果、被検知端末10XのIPアドレスと、予約IPアドレスとの重複が検出された場合、通知部23は、通知対象端末10Bに対して、予約IPアドレスとセンサー装置20のMACアドレスとの組み合わせがSenderIP/MACに設定されたARPリクエストを送信する。このようにして、通知部23は、通知対象端末10Bに対して、予約IPアドレスに対応するMACアドレスとして、センサー装置20のMACアドレスを通知する。
【0053】
ステップS106においてセンサー装置20から送信されたARPリクエストを受信した通知対象端末10Bは、通常、ARPテーブルに、通知された内容、即ち予約IPアドレスに対応するMACアドレスとしてセンサー装置20のMACアドレスを登録し、保持する。このため、この状態で、通知対象端末10Bが予約IPアドレスと同一のIPアドレスを用いている被検知端末10X宛の通信を行おうとした場合(例えば、被検知端末10Xからの通信に対して返信を行おうとした場合)、通知対象端末10Bは、センサー装置20のMACアドレスを宛先MACアドレスに設定してパケットを送信することとなる。このため、通知対象端末10Bからの被検知端末10Xが用いているIPアドレス(予約IPアドレスと重複)宛のパケットは、センサー装置20によって受信される。そして、センサー装置20は、受信したパケットを転送せずに破棄する。換言すると、上記したような方法によって、センサー装置20の通知部23は、通知対象端末10Bからの被検知端末10Xに対する通信を遮断する。なお、ステップS106に示された処理が実行される場合の通信の詳細な流れは、図10A、図10Bおよび図10Cを用いて後述する。その後、処理はステップS107へ進む。
【0054】
なお、ステップS106では、通知対象端末10Bに対して、ネットワークセグメント2に接続された所定の端末のMACアドレスが通知されてもよい。このようにすることで、予約に係る端末がネットワークセグメント2から離れている間、予約IPアドレス宛の通信を所定の端末に誘導し、破棄する、ログを蓄積する等、適切な処理を行うことが出来る。
【0055】
また、ステップS106では、通知対象端末10Bに対して、ネットワークセグメント2において用いられていないMACアドレスが通知されてもよい。この場合、予約に係る端末がネットワークセグメント2から離れている間は、予約IPアドレス宛の通信は、宛先不明となり、ネットワークセグメント2の全ての装置において破棄されることとなる。即ち、ネットワークセグメント2において用いられていないMACアドレスを通知することによっても、予約IPアドレスが用いられてしまうことを防止することが出来る。
【0056】
ステップS107では、被検知端末10Xからの通信を遮断するための、通信誘導が行われる。センサー装置20の通信誘導部24は、ステップS102、ステップS104およびステップS106に係るIPアドレスの重複是正に伴って、被検知端末10Xに対して、通知対象端末10BのIPアドレスに対応するMACアドレスとしてセンサー装置20のMACアドレスを通知するARPリクエストを送信する。即ち、ここでARPリクエストとして被検知端末10Xへ通知されるMACアドレスは、通知対象端末10BのMACアドレスを、センサー装置20のMACアドレスで偽装するものである。換言すれば、ステップS107において送信されるARPリクエストは、被検知端末10Xからの通知対象端末10Bに対する以降の通信をセンサー装置20に誘導するための、通信誘導用のARPリクエストである。なお、本実施形態では、被検知端末10Xに対してARPリクエストを送信することで、通信誘導を行うこととしているが、このような方法に代えて、被検知端末10Xから受信したARPリクエストに対するARPリプライを送信することで、通信誘導を行うこととしてもよい。その後、本フローチャートに示された処理は終了
する。
【0057】
ステップS107に示された処理の結果、センサー装置20から送信された通信誘導用のARPリクエストを受信した被検知端末10Xは、通常、通知された内容、即ち通知対象端末10B(通知対象端末10Bがルータである場合には、外部ネットワーク)との通信に用いるMACアドレスとしてセンサー装置20のMACアドレスをARPテーブルに登録し、保持する。このため、以降、被検知端末10Xは、通知対象端末10Bに対する通信(通知対象端末10Bがルータである場合には、外部ネットワーク宛の通信)を試みる場合に、偽装されたセンサー装置20のMACアドレス宛にパケットを送信することとなる。そして、センサー装置20は、検疫、認証等のための通信等の一部の通信を除いて、被検知端末10Xから送信されたパケットを転送せずに破棄する。換言すると、上記したような方法によって、センサー装置20の通信誘導部24は、未検疫の被検知端末10Xによる通信を遮断する。
【0058】
ステップS108では、被検知端末10Xに対する検疫が実施される。センサー装置20は、被検知端末10Xによる通信を検疫サーバ30に転送する、または被検知端末10XによるHTTP(HyperText Transfer Protocol)接続を検疫サーバ30にリダイレクトする、等の方法で被検知端末10Xによる通信を検疫サーバ30に誘導し、被検知端末10Xに、検疫サーバ30による検疫を受けさせる。検疫のための具体的な処理としては、従来知られている検疫のための様々な処理が採用されてよく、本実施形態では、説明を省略する。その後、本フローチャートに示された処理は終了する。
【0059】
なお、被検知端末10Xは、後述するセンサー装置20による通信誘導(ステップS107を参照)が有効に働いていない場合、ネットワーク上の他の端末に対して、正しいIPアドレスおよび正しいMACアドレスを指定して、通信を行う。ここで、正しいMACアドレスとは、通信先がネットワークセグメント2上の端末である場合、通信先端末のMACアドレスであり、通信先が外部ネットワークの端末である場合、デフォルトゲートウェイであるルータのMACアドレスである。但し、本実施形態によれば、上述したステップS106が実行されることによって、通知対象端末10B(ルータやネットワークセグメント2上の端末等)に対する通信誘導がおこなわれている。
【0060】
このため、通信先がネットワークセグメント2上の端末である場合、送信パケットは通信先に到着するが、通信先からの返信パケットは、通信先(例えば、ネットワークセグメント2上の端末等)によって送信される際に、宛先MACアドレスにセンサー装置20のMACアドレスを付されてネットワークセグメント2へ送出される。また、通信がルータを経由して行われる場合、送信パケットは通信先(例えば、ネットワーク外の図示しない業務サーバ等)に到着するが、通信先からの返信パケットは、ルータによって仲介される際に、宛先MACアドレスにセンサー装置20のMACアドレスを付されてネットワークセグメント2へ送出される。センサー装置20は、ルータやネットワークセグメント2上の端末等から送信されたパケット(即ち、送信元MACアドレスがルータやネットワークセグメント2上の端末等のMACアドレスであるパケット)を受信し、破棄する。
【0061】
即ち、本実施形態に係るセンサー装置20によれば、被検知端末10Xに対する通信誘導が失敗している場合であっても、被検知端末10Xと通知対象端末10Bとの間の通信のうち、通知対象端末10Bから被検知端末10Xに対して送信されたIPパケットを、センサー装置20に誘導して破棄することで、被検知端末10Xに対する他の端末からの通信を遮断することが出来る。
【0062】
<シーケンス>
次に、図8Aから図10Cに示すシーケンス図を用いて、図7を用いて説明したアドレス重複対処処理によって実現される、IPアドレスの重複が発生した場合に生じうる問題の防止に係る通信の詳細な流れを説明する。なお、図中では、IPアドレスは、10進数で示した場合の下位2桁(本実施形態では、「192.168.0.##」の##部分)で示され、MACアドレスは、16進数で示した場合の下位2桁で示されている。但し、被検知端末10XのMACアドレスのみ、「xx」と示す。
【0063】
図8Aおよび図8Bは、図7に示したフローチャートにおけるステップS102に示された処理が実行される場合の、通信の詳細な流れを示すシーケンス図であり、図8A、図8Bの順にシーケンスが流れる。ネットワークセグメント2には、通知対象端末10Bおよびセンサー装置20が接続されている。そして、ネットワークセグメント2に新たに接続された被検知端末10Xは、固有のMACアドレスを有しているが、センサー装置20と同一のIPアドレス(図に示した例では、192.168.0.33)を用いる。この状態で、被検知端末10Xは、ネットワーク上の何れかの端末(本実施形態では、通知対象端末10B)に対してパケットを送信しようとしている。なお、被検知端末10Xが送信しようとするパケットは、図に示した例では、ICMP(Internet Control Message Protocol)のエコー要求(所謂PING)であるが、被検知端末10Xから通知対象端末10BへのIP通信であればよく、パケットの種類はPINGに限定されない。
【0064】
この時点で、被検知端末10Xは、通知対象端末10BのIPアドレスを知っているが、通知対象端末10BのMACアドレスを知らない。このため、被検知端末10Xは、通知対象端末10Bに対してパケットを送信するために、アドレス解決を行う。被検知端末10Xは、通知対象端末10BのIPアドレス(図では192.168.0.22)のアドレス解決を行うためのARPリクエストを、ネットワークセグメント2にブロードキャストする。なお、図8Aから図10Cに示すシーケンス図において、パケットの送信先MACアドレス(DstMac)が「ff」となっているパケットは、ブロードキャストパケットである。
【0065】
被検知端末10XによってブロードキャストされたARPリクエストを受信した通知対象端末10Bは、自装置(通知対象端末10B)が用いているIPアドレスのアドレス解決を要求するARPリクエストであるため、このARPリクエストに対する応答として、自装置(通知対象端末10B)のMACアドレスを通知するARPリプライを、被検知端末10X宛に送信する。
【0066】
また、この際、通知対象端末10Bは、被検知端末10Xから受信されたARPリクエストの内容に応じて、自装置が保持するARPテーブルを更新する。図に示した例では、通知対象端末10Bは、センサー装置20によって用いられているIPアドレス192.168.0.33に対応するMACアドレスとして、被検知端末10XのMACアドレスを記録する。なお、通知対象端末10Bが予めセンサー装置20のIPアドレスとMACアドレスとの組み合わせをARPテーブルに保持していた場合にも、この情報は被検知端末10Xから通知された内容で更新される。
【0067】
即ち、被検知端末10Xによって送信されたARPリクエストによって、通知対象端末10BのARPテーブルは、センサー装置20が用いるIPアドレス192.168.0.33に関連付けられたMACアドレスとして、被検知端末10XのMACアドレスを保持する。このため、この状態を放置すると、通知対象端末10Bとセンサー装置20との間の通信に障害が生じ、また、悪意をもってネットワークセグメント2に参加した可能性のある被検知端末10Xに対して、通知対象端末10Bが通信を行ってしまうこととなる。
【0068】
しかし、本実施形態に係るネットワークセグメント2には、センサー装置20が接続されており、センサー装置20は、ネットワークセグメント2を流れるパケットを受信し、端末検知部21によって新たな端末を検知している。このため、被検知端末10XからブロードキャストされたARPリクエストがセンサー装置20によって受信されると(シーケンス図では、被検知端末10Xから送信されたARPリクエストをセンサー装置20が受信する流れを破線矢印で示した)、センサー装置20は、ネットワークセグメント2に参加した新たな被検知端末10Xを検知し、図7に示したアドレス重複対処処理を実行する。
【0069】
なお、センサー装置20は、検出された被検知端末10Xの情報を、マネージャ装置40にアップロードする。このようにしてマネージャ装置40にアップロードされた、検出された端末の情報は、システム管理者等によって閲覧され、先述した予約IPアドレスの設定等に用いられる。
【0070】
センサー装置20は、被検知端末10Xの検出を受けて、アドレス重複対処処理を実行する。本シーケンス図に示した例では、被検知端末10Xが検出されると、センサー装置20の重複検出部22は、被検知端末10XのIPアドレスが、センサー装置20のIPアドレスと重複しているか否かを判定する(図7のステップS101を参照)。ここでは、被検知端末10XのIPアドレスは、センサー装置20のIPアドレスと重複しているため、センサー装置20の通知部23は、通知対象端末10Bに対して、センサー装置20のIPアドレスとMACアドレスとの組み合わせがSenderIP/MACに設定されたARPリクエストを送信することで、センサー装置20のMACアドレスを通知する(図7のステップS102を参照)。
【0071】
このようにしてアドレス重複対処処理が実行されることで、センサー装置20が用いるIPアドレスに対応するMACアドレスとして一旦誤ったMACアドレス(被検知端末10XのMACアドレス)を保持した通知対象端末10BのARPテーブルが再び更新され、センサー装置20が用いるIPアドレスに対応するMACアドレスとして、正しいMACアドレス(センサー装置20のMACアドレス)が通知対象端末10BのARPテーブルに保持される。
【0072】
なお、センサー装置20が通知対象端末10Bに対して送信するARPリクエストは、センサー装置20が通知対象端末10BのMACアドレスを端末リスト上に有していない場合にはブロードキャストで送信されるが、センサー装置20が通知対象端末10BのMACアドレスを端末リスト上に既に有している場合には通知対象端末10B宛のユニキャストで送信される(シーケンス図の破線枠内の処理を参照)。このようにすることで、ネットワークセグメント2に接続された各端末の処理負荷を減らすことが出来る。但し、センサー装置20が通知対象端末10BのMACアドレスを既に端末リスト上に有しているか否かに拘らず、センサー装置20が通知対象端末10Bに対して送信するARPリクエストはブロードキャストで送信されてよい。また、センサー装置20は、通知対象端末10BのMACアドレスを端末リスト上に有していない場合、検出された通知対象端末10Bの情報を、マネージャ装置40にアップロードする。
【0073】
次に、図8Bを用いて、センサー装置20による被検知端末10Xの通信の遮断について説明する。センサー装置20の通信誘導部24は、被検知端末10Xからの通知対象端末10Bに対する以降の通信をセンサー装置20に誘導するために、被検知端末10Xに対して、通知対象端末10BのIPアドレスとセンサー装置20のMACアドレスがSenderIPに設定された通信誘導用のARPリクエストを送信する(図7のステップS107を参照)。このようなARPリクエストを受信した被検知端末10Xは、Send
erIPに設定された内容、即ち通知対象端末10BのIPアドレスに対応するMACアドレスとしてセンサー装置20のMACアドレスをARPテーブルに登録し、センサー装置20に対してARPリプライを送信する。
【0074】
被検知端末10Xに対して通信誘導用のARPリクエストを送信したセンサー装置20は、ステップS107において送信されたARPリクエストに対するARPリプライを受信する。このARPリプライは、被検知端末10Xから送信され、被検知端末10XのMACアドレスをセンサー装置20に通知するものであるが、ARPリクエストに対する応答として送信されていることで、ステップS107において行われた通信誘導が被検知端末10Xにおいて破棄や遮断等されなかったことの判断の目安となる。なお、被検知端末10XからのARPリプライが所定の条件に従って受信されない場合(例えば、応答率が閾値以下である場合や、応答がタイムアウト等した場合)、センサー装置20は、通信誘導が失敗したと判断してもよい。
【0075】
センサー装置20によって、このような通信誘導が行われ、被検知端末10Xは、通知対象端末10BのIPアドレスに対応するMACアドレスとしてセンサー装置20のMACアドレスをARPテーブルに保持する。このため、被検知端末10Xが通知対象端末10Bに対して送信しようとするPINGは、偽装されたセンサー装置20のMACアドレス宛に送信されることとなる。センサー装置20は、被検知端末10Xから受信したパケットを破棄することで、被検知端末10Xによる通信を遮断する。
【0076】
上記説明した通信の流れにおいて、本実施形態に係るアドレス重複対処処理が実行されることによって、被検知端末10Xが、センサー装置20自身のIPアドレスと重複するアドレスを用いていた場合に、被検知端末10XのMACアドレスが通知された可能性のある通知対象端末10Bに対して、重複に係るIPアドレスに対応するMACアドレスとして、センサー装置20のMACアドレスが通知される。これによって、IPアドレスの重複が発生した場合にも、センサー装置20を相手方とする通信において問題が発生することを防止することが出来る。
【0077】
図9Aおよび図9Bは、図7に示したフローチャートにおけるステップS104に示された処理が実行される場合の、通信の詳細な流れを示すシーケンス図であり、図9A、図9Bの順にシーケンスが流れる。ネットワークセグメント2には、既知端末10A、通知対象端末10Bおよびセンサー装置20が接続されている。また、ネットワークセグメント2内の各端末は、端末間の通信によって、夫々の端末のARPテーブル(センサー装置20にあっては、端末リスト)に、他の端末のIPアドレスとMACアドレスとの対応関係を保持している。例えば、既知端末10AのARPテーブルには、通知対象端末10BのIPアドレスとMACアドレスとの組み合わせが、通知対象端末10BのARPテーブルには、既知端末10Aおよびセンサー装置20のIPアドレスとMACアドレスとの組み合わせが、センサー装置20には、既知端末10Aおよび通知対象端末10BのIPアドレスとMACアドレスとの組み合わせが、保持されている。これらの端末が互いにIP通信に伴うARPパケットの送受信を行い、ARPテーブルを更新する処理の流れは、従来と同様であるため、説明を省略する。
【0078】
そして、ネットワークセグメント2に新たに接続された被検知端末10Xは、固有のMACアドレスを有しているが、既知端末10Aと同一のIPアドレス(図に示した例では、192.168.0.11)を用いる。この状態で、被検知端末10Xは、ネットワーク上の何れかの端末(本実施形態では、通知対象端末10B)に対してパケットを送信しようとしている。なお、被検知端末10Xが送信しようとするパケットは、図に示した例では所謂PINGであるが、被検知端末10Xから通知対象端末10BへのIP通信であればよく、パケットの種類はPINGに限定されない。
【0079】
この時点で、被検知端末10Xは、通知対象端末10BのIPアドレスを知っているが、通知対象端末10BのMACアドレスを知らない。このため、被検知端末10Xは、通知対象端末10Bに対してパケットを送信するために、アドレス解決を行う。被検知端末10Xは、通知対象端末10BのIPアドレス(図では192.168.0.22)のアドレス解決を行うためのARPリクエストを、ネットワークセグメント2にブロードキャストする。
【0080】
被検知端末10XによってブロードキャストされたARPリクエストを受信した通知対象端末10Bは、自装置(通知対象端末10B)が用いているIPアドレスのアドレス解決を要求するARPリクエストであるため、このARPリクエストに対する応答として、自装置(通知対象端末10B)のMACアドレスを通知するARPリプライを、被検知端末10X宛に送信する。
【0081】
また、この際、通知対象端末10Bは、被検知端末10Xから受信されたARPリクエストの内容に応じて、自装置が保持するARPテーブルを更新する。図に示した例では、通知対象端末10Bは、既知端末10Aによって用いられているIPアドレス192.168.0.11に対応するMACアドレスとして、被検知端末10XのMACアドレスを記録する。なお、通知対象端末10Bが予め既知端末10AのIPアドレスとMACアドレスとの組み合わせをARPテーブルに保持していた場合にも、この情報は被検知端末10Xから通知された内容で更新される。
【0082】
即ち、被検知端末10Xによって送信されたARPリクエストによって、通知対象端末10BのARPテーブルは、既知端末10Aが用いるIPアドレス192.168.0.11に関連付けられたMACアドレスとして、被検知端末10XのMACアドレスを保持する。このため、この状態を放置すると、通知対象端末10Bと既知端末10Aとの間の通信に障害が生じ、また、悪意をもってネットワークセグメント2に参加した可能性のある被検知端末10Xに対して、通知対象端末10Bが通信を行ってしまうこととなる。
【0083】
しかし、本実施形態に係るネットワークセグメント2には、センサー装置20が接続されており、センサー装置20は、ネットワークセグメント2を流れるパケットを受信し、端末検知部21によって新たな端末を検知している。このため、被検知端末10XからブロードキャストされたARPリクエストがセンサー装置20によって受信されると(シーケンス図では、被検知端末10Xから送信されたARPリクエストをセンサー装置20が受信する流れを破線矢印で示した)、センサー装置20は、ネットワークセグメント2に参加した新たな被検知端末10Xを検知し、図7に示したアドレス重複対処処理を実行する。
【0084】
なお、センサー装置20は、検出された被検知端末10Xの情報を、マネージャ装置40にアップロードする。このようにしてマネージャ装置40にアップロードされた、検出された端末の情報は、システム管理者等によって閲覧され、先述した予約IPアドレスの設定等に用いられる。
【0085】
センサー装置20は、被検知端末10Xの検出を受けて、アドレス重複対処処理を実行する。本シーケンス図に示した例では、被検知端末10Xが検出されると、センサー装置20の重複検出部22は、被検知端末10XのIPアドレスが、既知端末10AのIPアドレスと重複しているか否かを判定する(図7のステップS103を参照)。ここでは、被検知端末10XのIPアドレスは、既知端末10AのIPアドレスと重複しているため、センサー装置20の通知部23は、通知対象端末10Bに対して、既知端末10AのIPアドレスとMACアドレスとの組み合わせがSenderIP/MACに設定されたA
RPリクエストを送信することで、既知端末10AのMACアドレスを通知する(図7のステップS104を参照)。
【0086】
このようにしてアドレス重複対処処理が実行されることで、既知端末10Aが用いるIPアドレスに対応するMACアドレスとして一旦誤ったMACアドレス(被検知端末10XのMACアドレス)を保持した通知対象端末10BのARPテーブルが再び更新され、既知端末10Aが用いるIPアドレスに対応するMACアドレスとして、正しいMACアドレス(既知端末10AのMACアドレス)が通知対象端末10BのARPテーブルに保持される。
【0087】
なお、本シーケンス図で示した例では、センサー装置20が通知対象端末10Bに対して送信するARPリクエストは、センサー装置20が通知対象端末10BのMACアドレスを端末リスト上に既に有しているため、通知対象端末10B宛のユニキャストで送信される(シーケンス図の破線枠内の処理を参照)。このようにすることで、ネットワークセグメント2に接続された各端末の処理負荷を減らすことが出来る。但し、センサー装置20が通知対象端末10Bに対して送信するARPリクエストはブロードキャストで送信されてよい。また、センサー装置20は、通知対象端末10BのMACアドレスを端末リスト上に有していない場合、検出された通知対象端末10Bの情報を、マネージャ装置40にアップロードする(図示は省略する)。
【0088】
その後、図9Bに示された、センサー装置20による被検知端末10Xの通信の遮断が行われるが、処理の詳細は、送受信されるパケットにおいて用いられる被検知端末10XのIPアドレスが異なること以外、図8Bに示したシーケンス図の流れと概略同様であるため、説明を省略する。
【0089】
上記説明した通信の流れにおいて、本実施形態に係るアドレス重複対処処理が実行されることによって、被検知端末10Xが、既知端末10AのIPアドレスと重複するアドレスを用いていた場合に、被検知端末10XのMACアドレスが通知された可能性のある通知対象端末10Bに対して、重複に係るIPアドレスに対応するMACアドレスとして、既知端末10AのMACアドレスが通知される。これによって、IPアドレスの重複が発生した場合にも、既知端末10Aを相手方とする通信において問題が発生することを防止することが出来る。
【0090】
図10A、図10Bおよび図10Cは、図7に示したフローチャートにおけるステップS106に示された処理が実行される場合の、通信の詳細な流れを示すシーケンス図であり、図10A、図10B、図10Cの順にシーケンスが流れる。ネットワークセグメント2には、既知端末10A、通知対象端末10Bおよびセンサー装置20が接続されている。また、ネットワークセグメント2内の各端末は、端末間の通信によって、夫々の端末のARPテーブル(センサー装置20にあっては、端末リスト)に、他の端末のIPアドレスとMACアドレスとの対応関係を保持している。例えば、既知端末10AのARPテーブルには、通知対象端末10BのIPアドレスとMACアドレスとの組み合わせが、通知対象端末10BのARPテーブルには、既知端末10Aおよびセンサー装置20のIPアドレスとMACアドレスとの組み合わせが、センサー装置20の端末リストには、既知端末10Aおよび通知対象端末10BのIPアドレスとMACアドレスとの組み合わせが、保持されている。これらの端末が互いにIP通信に伴うARPパケットの送受信を行い、ARPテーブルを更新する処理の流れは、従来と同様であるため、説明を省略する。
【0091】
また、センサー装置20は、検出された既知端末10Aおよび通知対象端末10BのIPアドレスとMACアドレスとの組み合わせを含む端末リストを、マネージャ装置40にアップロードする。このため、マネージャ装置40には、ネットワークセグメント2内の
端末情報が蓄積されており、システム管理者は、管理用の端末からマネージャ装置40に接続して、端末リストを閲覧することが出来る。
【0092】
本シーケンス図に示された例では、システム管理者は、IPアドレス192.168.0.11を利用する端末を、既知端末10Aに指定する。換言すれば、システム管理者は、IPアドレス192.168.0.11を、既知端末10Aのために予約する。システム管理者によって予約の指示が行われると、マネージャ装置40は、予約IPアドレス192.168.0.11および既知端末10AのMACアドレスとの組み合わせを含む予約リストを、センサー装置20に通知することで、IPアドレス192.168.0.11を既知端末10Aのために予約する。
【0093】
このため、既知端末10Aの電源が落とされる等の原因で既知端末10Aがネットワークセグメント2において通信を行わなくなった場合(図10Aの「端末10Aが電源OFF」を参照)にも、既知端末10Aが使用していたIPアドレス192.168.0.11は既知端末10Aのために予約され、他の端末による使用が禁止される。
【0094】
そして、ネットワークセグメント2に新たに接続された被検知端末10Xは、固有のMACアドレスを有しているが、既知端末10Aのために予約された予約IPアドレスと同一のIPアドレス(図に示した例では、192.168.0.11)を用いる。この状態で、被検知端末10Xは、ネットワーク上の何れかの端末(本実施形態では、通知対象端末10B)に対してパケットを送信しようとしている。なお、被検知端末10Xが送信しようとするパケットは、図に示した例では所謂PINGであるが、被検知端末10Xから通知対象端末10BへのIP通信であればよく、パケットの種類はPINGに限定されない。
【0095】
この時点で、被検知端末10Xは、通知対象端末10BのIPアドレスを知っているが、通知対象端末10BのMACアドレスを知らない。このため、被検知端末10Xは、通知対象端末10Bに対してパケットを送信するために、アドレス解決を行う。被検知端末10Xは、通知対象端末10BのIPアドレス(図では192.168.0.22)のアドレス解決を行うためのARPリクエストを、ネットワークセグメント2にブロードキャストする。
【0096】
被検知端末10XによってブロードキャストされたARPリクエストを受信した通知対象端末10Bは、自装置(通知対象端末10B)が用いているIPアドレスのアドレス解決を要求するARPリクエストであるため、このARPリクエストに対する応答として、自装置(通知対象端末10B)のMACアドレスを通知するARPリプライを、被検知端末10X宛に送信する。
【0097】
また、この際、通知対象端末10Bは、被検知端末10Xから受信されたARPリクエストの内容に応じて、自装置が保持するARPテーブルを更新する。図に示した例では、通知対象端末10Bは、端末10Aのための予約IPアドレス192.168.0.11に対応するMACアドレスとして、被検知端末10XのMACアドレスを記録する。なお、通知対象端末10Bが予め既知端末10AのIPアドレスとMACアドレスとの組み合わせをARPテーブルに保持していた場合にも、この情報は被検知端末10Xから通知された内容で更新される。
【0098】
即ち、被検知端末10Xによって送信されたARPリクエストによって、通知対象端末10BのARPテーブルは、端末10Aのための予約IPアドレス192.168.0.11に関連付けられたMACアドレスとして、被検知端末10XのMACアドレスを保持する。このため、この状態を放置すると、この時点では既知端末10Aの電源はOFFと
なっているが、電源がONとなった場合に、通知対象端末10Bと既知端末10Aとの間の通信障害が生じうる。また、悪意をもってネットワークセグメント2に参加した可能性のある被検知端末10Xに対して、通知対象端末10Bが通信を行ってしまうこととなる。
【0099】
しかし、本実施形態に係るネットワークセグメント2には、センサー装置20が接続されており、センサー装置20は、ネットワークセグメント2を流れるパケットを受信し、端末検知部21によって新たな端末を検知している。このため、被検知端末10XからブロードキャストされたARPリクエストがセンサー装置20によって受信されると(シーケンス図では、被検知端末10Xから送信されたARPリクエストをセンサー装置20が受信する流れを破線矢印で示した)、センサー装置20は、ネットワークセグメント2に参加した新たな被検知端末10Xを検知し、図7に示したアドレス重複対処処理を実行する。
【0100】
なお、センサー装置20は、検出された被検知端末10Xの情報を、マネージャ装置40にアップロードする。このようにしてマネージャ装置40にアップロードされた、検出された端末の情報は、システム管理者等によって閲覧され、先述した予約IPアドレスの設定等に用いられる。
【0101】
センサー装置20は、被検知端末10Xの検出を受けて、アドレス重複対処処理を実行する。本シーケンス図に示した例では、被検知端末10Xが検出されると、センサー装置20の重複検出部22は、被検知端末10XのIPアドレスが、端末10Aのための予約IPアドレスと重複しているか否かを判定する(図7のステップS105を参照)。ここでは、被検知端末10XのIPアドレスは、予約IPアドレスと重複しているため、センサー装置20の通知部23は、通知対象端末10Bに対して、予約IPアドレスとセンサー装置20のMACアドレスとの組み合わせがSenderIP/MACに設定されたARPリクエストを送信することで、予約IPアドレスに対応するMACアドレスとして、センサー装置20のMACアドレスを通知する(図7のステップS106を参照)。
【0102】
このようにしてアドレス重複対処処理が実行されることで、既知端末10Aが用いるIPアドレスに対応するMACアドレスとして被検知端末10XのMACアドレスを保持した通知対象端末10BのARPテーブルが再び更新され、既知端末10Aが用いるIPアドレスに対応するMACアドレスとして、センサー装置20のMACアドレス(端末10Aは電源OFFであるため)が通知対象端末10BのARPテーブルに保持される。
【0103】
なお、本シーケンス図で示した例では、センサー装置20が通知対象端末10Bに対して送信するARPリクエストは、センサー装置20が通知対象端末10BのMACアドレスを端末リスト上に既に有しているため、通知対象端末10B宛のユニキャストで送信される(シーケンス図の破線枠内の処理を参照)。このようにすることで、ネットワークセグメント2に接続された各端末の処理負荷を減らすことが出来る。但し、センサー装置20が通知対象端末10Bに対して送信するARPリクエストはブロードキャストで送信されてよい。また、センサー装置20は、通知対象端末10BのMACアドレスを端末リスト上に有していない場合、検出された通知対象端末10Bの情報を、マネージャ装置40にアップロードする(図示は省略する)。
【0104】
その後、図10Bに示された、センサー装置20による被検知端末10Xの通信の遮断が行われるが、処理の詳細は、図9Bに示したシーケンス図の流れと概略同様であるため、説明を省略する。
【0105】
次に、図10Cを用いて、既知端末10Aの電源が入る等の原因で既知端末10Aのネ
ットワークセグメント2における通信が再開された場合(図10Cの「端末10Aが電源ON」を参照)の通信の流れを説明する。本シーケンス図に示された処理において、電源が投入されて起動した既知端末10Aは、通知対象端末10Bに対してパケットを送信しようとしている。なお、既知端末10Aが送信しようとするパケットは、図に示した例ではPINGであるが、既知端末10Aから通知対象端末10BへのIP通信であればよく、パケットの種類はPINGに限定されない。
【0106】
この時点で、既知端末10Aは、通知対象端末10BのIPアドレスを知っているが、通知対象端末10BのMACアドレスを知らない。このため、既知端末10Aは、通知対象端末10Bに対してパケットを送信するために、アドレス解決を行う。既知端末10Aは、通知対象端末10BのIPアドレス(図では192.168.0.22)のアドレス解決を行うためのARPリクエストをブロードキャストする。
【0107】
既知端末10AによってブロードキャストされたARPリクエストを受信した通知対象端末10Bは、自装置(通知対象端末10B)が用いているIPアドレスのアドレス解決を要求するARPリクエストであるため、このARPリクエストに対する応答として、自装置(通知対象端末10B)のMACアドレスを通知するARPリプライを、既知端末10A宛に送信する。
【0108】
また、この際、通知対象端末10Bは、既知端末10Aから受信されたARPリクエストの内容に応じて、自装置が保持するARPテーブルを更新する。図に示した例では、通知対象端末10Bは、既知端末10Aによって用いられているIPアドレス192.168.0.11に対応するMACアドレスとして、既知端末10AのMACアドレスを記録する。
【0109】
このような既知端末10Aと通知対象端末10Bとの間での通信と並行して、センサー装置20は、ネットワークセグメント2を流れるパケットを受信し、端末検知部21によって新たな端末を検知している。このため、既知端末10AからブロードキャストされたARPリクエストがセンサー装置20によって受信されると(シーケンス図では、既知端末10Aから送信されたARPリクエストをセンサー装置20が受信する流れを破線矢印で示した)、センサー装置20は、ネットワークセグメント2に参加した新たな既知端末10Aを検知し、図7に示したアドレス重複対処処理を実行する。
【0110】
なお、センサー装置20は、検出された既知端末10Aの情報を、マネージャ装置40にアップロードする。このようにしてマネージャ装置40にアップロードされた、検出された端末の情報は、システム管理者等によって閲覧され、先述した予約IPアドレスの設定等に用いられる。
【0111】
既知端末10Aが検出されると、センサー装置20の重複検出部22は、検知された既知端末10AのIPアドレスが、センサー装置20のIPアドレス、既知端末10AのIPアドレスおよび端末10Aのための予約IPアドレスの何れかと重複しているか否かを判定する(図7のステップS101、ステップS103およびステップS105を参照)。ここでは、既知端末10AのIPアドレスは、センサー装置20のIPアドレス、既知端末10AのIPアドレスおよび予約IPアドレスの何れとも重複していないため、センサー装置20は、既知端末10Aに対して検疫を行うための処理を実行する(図7のステップS108を参照)。
【0112】
一方、既知端末10Aによって送信されたARPリクエストによるアドレス解決は成功しており、既知端末10Aは通知対象端末10Bの正しいMACアドレスを取得できているため、既知端末10Aから通知対象端末10BへのPINGは成功する。即ち、この状
態で、既知端末10Aは、端末10Aのための予約IPアドレスを用いようとした被検知端末10Xの存在にも拘らず、予約IPアドレスを正常に使用して、ネットワークセグメント2における他の端末と通信を行うことが出来る。
【0113】
上記説明した通信の流れにおいて、本実施形態に係るアドレス重複対処処理が実行されることによって、予約に係る既知端末10Aがネットワークセグメント2から離れている間、予約IPアドレス宛の通信を、センサー装置20に誘導し、破棄する、ログを蓄積する等、適切な処理を行うことが出来る。これによって、予約に係る既知端末10Aがネットワークセグメント2から離れている間に、既知端末10A以外の端末によって予約IPアドレスが用いられてしまうことを防止し、予約に係る端末がネットワークセグメント2に復帰した際に、即座に予約されたアドレスを使用させることが出来る。
【0114】
なお、本実施形態において、通信誘導および通信誘導解除のためのMACアドレスの通知は、ARPリクエストやARPリプライ等を用いて行われたが、MACアドレスの通知に用いられる方法は、フローチャートを用いて説明した上記実施の形態に限定されない。例えば、ARPリクエストを用いてMACアドレスを通知していたステップにおいて、ARPリプライやGARPを用いてMACアドレスを通知することも可能である。また、MACアドレスの通知にその他のプロトコルが用いられてもよい。
【符号の説明】
【0115】
1 通信システム
10A、10B、10X 端末
20 センサー装置(情報処理装置)
21 端末検知部
22 重複検出部
23 通知部
24 通信誘導部
40 マネージャ装置(マネージャサーバ)
【技術分野】
【0001】
本発明は、ネットワークを介して接続された端末による通信を監視する情報処理装置に関する。
【背景技術】
【0002】
従来、入力された検査対象IPアドレスに対応するMACアドレスを得るためのARPリクエストを送出し、ARPリプライの受信個数を判定することで、IPアドレスの重複を検出するIPアドレス重複検出方法がある(特許文献1を参照)。
【0003】
また、検出されたARPパケットの送信者アドレスが保護IPに設定されており、且つ送信MACアドレスが指定MACアドレスと異なる場合に、送信IPアドレスが既に使用されているもので操作されたARPパケットを送信者アドレスに伝送し、送信IPアドレスの実際使用MACアドレスが指定MACアドレスになるように補償する補償パケットをネットワーク上の全ての装置に伝送する、IP管理方法がある(特許文献2を参照)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特許第3534305号公報
【特許文献2】特表2008−520159号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
従来、IPネットワーク等の、所望の端末と通信を行う際に、宛先端末の上位層(上位レイヤ)アドレスから、下位層の宛先とすべき下位層(下位レイヤ)アドレスを求めて、求められた下位層アドレスを下位層における宛先とすることで所望の端末と通信を行う(例えば、パケットやフレームの送信)ネットワークが用いられている。このようなネットワークでは、ネットワークにおいて上位層アドレスの重複が発生した場合、ネットワーク内で誤った下位層アドレスを用いて通信が行われ、通信障害が生じる可能性や、本来取得すべきでない上位層アドレスを有する端末と他の端末との間で通信が行われてしまう可能性がある。
【0006】
本発明は、上記した問題に鑑み、ネットワークにおいて上位層アドレスの重複が発生した場合に生じうる問題を防止することを課題とする。
【課題を解決するための手段】
【0007】
本発明は、以下の構成を備えることで、上記した課題を解決することとした。即ち、本発明は、ネットワークに接続された端末を検知する端末検知手段と、前記端末検知手段によって検知された被検知端末が用いる上位層アドレスと、所定の上位層アドレスとを比較することで、上位層アドレスの重複を検出する重複検出手段と、前記重複検出手段によって上位層アドレスの重複が検出された場合に、前記被検知端末によって該被検知端末の下位層アドレスが通知された可能性のある通知対象端末に対して、前記被検知端末以外の端末の下位層アドレスを通知する通知手段と、を備える情報処理装置である。
【0008】
ここで、所定の上位層アドレスとは、本発明に係る情報処理装置の上位層アドレス、既知の端末の上位層アドレス、または予約された上位層アドレス等、ネットワークにおいて重複を許可したくない上位層アドレスである。即ち、本発明によれば、所定の上位層アド
レスと重複する上位層アドレスを用いる端末が検知された場合に、検知された端末の下位層アドレスが通知された可能性のあるその他の端末に対して、下位層アドレスを是正するための通知を行い、ネットワークにおいて上位層アドレスの重複が発生した場合に生じうる問題を防止することが可能となる。
【0009】
なお、所定の上位層アドレスは、ネットワークにおいて重複を許可したくないアドレスであればよく、所定の上位層アドレスとして、例示した、本発明に係る情報処理装置の上位層アドレス、既知の端末の上位層アドレス、および予約された上位層アドレス以外のアドレスが用いられてもよい。
【0010】
また、本発明は、所望の端末と通信を行う際に、宛先端末の上位層(上位レイヤ)アドレスから、下位層の宛先とすべき下位層(下位レイヤ)アドレスを求めて、求められた下位層アドレスを下位層における宛先とすることで所望の端末と通信を行う(例えば、パケットやフレームの送信)ネットワークに適用可能である。上位層の例としてはIP、下位層の例としてはIEEE 802.3が挙げられるが、本発明はOSI参照モデルのような複数の層(レイヤ)をもって通信が階層化された通信プロトコルにおいて相対的に上位層および下位層の関係にある通信システムであれば適用可能であり、本発明の適用範囲は、本明細書等に例示されたものに限定されない。
【0011】
また、本発明において、前記重複検出手段は、前記被検知端末が用いる上位層アドレスと、該情報処理装置の上位層アドレスとの重複を検出し、前記通知手段は、前記重複検出手段によって、前記被検知端末が用いる上位層アドレスと、該情報処理装置の上位層アドレスとの重複が検出された場合に、前記通知対象端末に対して、該情報処理装置の下位層アドレスを通知してもよい。
【0012】
即ち、検知された端末が、本発明に係る情報処理装置自身の上位層アドレスと重複するアドレスを用いていた場合に、検知された端末の下位層アドレスが通知された可能性のあるその他の端末に対して、重複に係る上位層アドレスに対応する下位層アドレスとして、情報処理装置の下位層アドレスが通知される。これによって、情報処理装置を相手方とする通信において問題が発生することを防止することが出来る。
【0013】
また、本発明において、前記重複検出手段は、前記被検知端末が用いる上位層アドレスと、前記ネットワークに接続された既知端末の上位層アドレスとの重複を検出し、前記通知手段は、前記重複検出手段によって、前記被検知端末が用いる上位層アドレスと、前記既知端末の上位層アドレスとの重複が検出された場合に、前記通知対象端末に対して、該既知端末の下位層アドレスを通知してもよい。
【0014】
即ち、検知された端末が、既に本発明に係る情報処理装置によって知られている端末の上位層アドレスと重複するアドレスを用いていた場合に、検知された端末の下位層アドレスが通知された可能性のあるその他の端末に対して、重複に係る上位層アドレスに対応する下位層アドレスとして、既知端末の下位層アドレスが通知される。これによって、既知端末を相手方とする通信において問題が発生することを防止することが出来る。
【0015】
また、本発明において、前記重複検出手段は、前記被検知端末が用いる上位層アドレスと、予約された上位層アドレスとの重複を検出してもよい。
【0016】
即ち、重複が許可されない上位層アドレスは、現在用いられている上位層アドレスに限定されない。例えば、端末に固定で割り当てられる上位層アドレス等を予約された上位層アドレスとして重複検出に用いることで、予約に係る端末がネットワークから離れている間に予約された上位層アドレスが用いられてしまうことを防止し、予約に係る端末がネッ
トワークに復帰した際に、即座に予約されたアドレスを使用させることが出来る。
【0017】
また、本発明において、前記通知手段は、前記重複検出手段によって、前記被検知端末が用いる上位層アドレスと、前記予約された上位層アドレスとの重複が検出された場合に、前記通知対象端末に対して、該情報処理装置の下位層アドレスを通知してもよい。
【0018】
また、本発明において、前記通知手段は、前記重複検出手段によって、前記被検知端末が用いる上位層アドレスと、前記予約された上位層アドレスとの重複が検出された場合に、前記通知対象端末に対して、前記ネットワークに接続された所定の端末の下位層アドレスを通知してもよい。
【0019】
このようにすることで、予約に係る端末がネットワークから離れている間、予約された上位層アドレス宛の通信を、本発明に係る情報処理装置自身または他の所定の端末に誘導し、破棄する、ログを蓄積する等、適切な処理を行うことが出来る。即ち、本発明によれば、予約に係る端末がネットワークから離れている間に予約された上位層アドレスが用いられてしまうことを防止することが出来る。
【0020】
また、本発明において、前記通知手段は、前記重複検出手段によって、前記被検知端末が用いる上位層アドレスと、前記予約された上位層アドレスとの重複が検出された場合に、前記通知対象端末に対して、前記ネットワークにおいて用いられていない下位層アドレスを通知してもよい。
【0021】
この場合、予約に係る端末がネットワークから離れている間は、予約された上位層アドレス宛の通信は、宛先不明となり、ネットワークの全ての装置において破棄されることとなる。即ち、ネットワークにおいて用いられていない下位層アドレスを通知することによっても、予約に係る端末がネットワークから離れている間に予約された上位層アドレスが用いられてしまうことを防止することが出来る。
【0022】
また、本発明に係る情報処理装置は、前記重複検出手段によってアドレスの重複が検出された場合に、前記被検知端末に対して、前記ネットワーク上の端末の下位層アドレスとして、該情報処理装置の下位層アドレス、前記ネットワークに接続された所定の端末の下位層アドレスまたは前記ネットワークにおいて用いられていない下位層アドレスを通知することで、前記被検知端末からの通信を誘導する、通信誘導手段を更に備えてもよい。
【0023】
本発明によれば、重複する上位層アドレスを用いる被検知端末からの通信を、本発明に係る情報処理装置や、所定の端末、ネットワークに存在しない端末、等に誘導することが出来る。誘導された通信は、破棄される、ログとして蓄積される等の方法で処理することが出来、ネットワークのセキュリティを確保することが出来る。
【0024】
更に、本発明は、コンピュータが実行する方法、又はコンピュータに実行させるプログラムとしても把握することが可能である。また、本発明は、そのようなプログラムをコンピュータその他の装置、機械等が読み取り可能な記録媒体に記録したものでもよい。ここで、コンピュータ等が読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータ等から読み取ることができる記録媒体をいう。
【発明の効果】
【0025】
本発明によれば、ネットワークにおいて上位層アドレスの重複が発生した場合に生じうる問題を防止することが可能となる。
【図面の簡単な説明】
【0026】
【図1】実施形態に係る通信システムの構成を示す概略図である。
【図2】実施形態に係るセンサー装置のハードウェア構成を示す図である。
【図3】実施形態に係るセンサー装置の機能構成の概略を示す図である。
【図4】実施形態に係る端末リストの構成を例示する図である。
【図5】実施形態に係る予約リストの構成を例示する図である。
【図6】実施形態における予約リストの作成、配信方法を示す概略図である。
【図7】実施形態に係るアドレス重複対処処理の流れを示すフローチャートである。
【図8A】図7に示したフローチャートにおけるステップS102に示された処理が実行される場合の、通信の詳細な流れを示すシーケンス図である。
【図8B】図7に示したフローチャートにおけるステップS102に示された処理が実行される場合の、通信の詳細な流れを示すシーケンス図である。
【図9A】図7に示したフローチャートにおけるステップS104に示された処理が実行される場合の、通信の詳細な流れを示すシーケンス図である。
【図9B】図7に示したフローチャートにおけるステップS104に示された処理が実行される場合の、通信の詳細な流れを示すシーケンス図である。
【図10A】図7に示したフローチャートにおけるステップS106に示された処理が実行される場合の、通信の詳細な流れを示すシーケンス図である。
【図10B】図7に示したフローチャートにおけるステップS106に示された処理が実行される場合の、通信の詳細な流れを示すシーケンス図である。
【図10C】図7に示したフローチャートにおけるステップS106に示された処理が実行される場合の、通信の詳細な流れを示すシーケンス図である。
【図11】ネットワークにおいてIPアドレスの重複が発生する様子を示す概略図である。
【発明を実施するための形態】
【0027】
以下、本発明に係る情報処理装置を含む通信システム1の実施の形態について、図面に基づいて説明する。本実施形態に係る通信システム1は、ネットワークに接続された端末等に対して所謂検疫が行われる通信システムである。但し、本発明に係る情報処理装置は、検疫を行わないシステムにおいても、通信の監視または制限を行うために用いることが出来る。
【0028】
<システムの構成>
図1は、本実施形態に係る通信システム1の構成の例を示す概略図である。本実施形態に係る通信システム1は、端末10A、10B、10Xが接続されるネットワークセグメント2と、ルータを介してネットワークセグメント2と通信可能に接続されているマネージャ装置(マネージャサーバ)40および検疫サーバ30と、を備える。そして、ネットワークセグメント2には、検疫が完了していない端末による通信を遮断するためのセンサー装置20が接続されている。なお、本実施形態において、端末10A、10B、10Xは、何れもユーザによって用いられるパーソナルコンピュータや携帯情報端末等の端末であるが、後述するアドレス重複対処処理では、検知された端末を被検知端末10X、センサー装置20によって既に端末リストに登録されている端末を既知端末10A、被検知端末10Xによって被検知端末10XのMACアドレスが通知された可能性のある端末を通知対象端末10Bとして説明する。
【0029】
検疫サーバ30は、ネットワークセグメント2に接続された端末に対して検疫サービスを提供する。なお、本実施形態に係る通信システム1では、ネットワークセグメント2内の各端末またはセンサー装置20から接続されるマネージャ装置40や検疫サーバ30等は、インターネットや広域ネットワークを介して遠隔地において接続されたものであり、例えばASP(Application Service Provider)によって
提供されるが、マネージャ装置40や検疫サーバ30等は、必ずしも遠隔地に接続されたものである必要はない。例えば、マネージャ装置40や検疫サーバ30等は、各端末やセンサー装置20が存在するローカルネットワーク上に接続されていてもよい。
【0030】
従来、本実施形態に係る通信システム1のような構成を持つネットワークにおいて、他の端末(例えば、端末10A)と同じIPアドレスを持つ端末10Xが、端末10Aから端末10Bに対して通信している途中で、端末10Bに対して通信を行った場合、端末10B内に存在する端末10Aに関するARPテーブルの情報が、端末10XのMACアドレスをもって上書きされ、端末10Aと端末10Bとの間の通信が出来なくなってしまう(図11を参照。図11は、IPアドレスの重複によって問題が発生する様子を示す概略図であり、図中の処理内容を示すブロックに付された数字は、処理順序である。)。
【0031】
このため、本実施形態に係る通信システム1では、ネットワークセグメント2上に、本発明の情報処理装置に相当するセンサー装置20を設置し、ネットワークセグメント2上の機器を全て検出した上で、夫々の機器においてIPアドレスが重複していないかどうか常に監視を行い、IPアドレスの重複を検出した場合、適切でない情報が保持されてしまったARPテーブルを補正することで、IPアドレスの重複に起因する問題の発生を抑制することとしている。
【0032】
図2は、本実施形態に係るセンサー装置20のハードウェア構成の例を示す図である。センサー装置20は、CPU(Central Processing Unit)11、RAM(Random Access Memory)13、ROM(Read Only Memory)12、EEPROM(Electrically Erasable and Programmable Read Only Memory)やHDD(Hard Disk Drive)等の記憶装置14、NIC(Network Interface Card)15等の通信ユニット、等を備えるコンピュータである。なお、図2においては、センサー装置20以外の構成(ルータ、マネージャ装置40、検疫サーバ30、端末10A、端末10B、端末10X等)については、図示を省略しているが、図示を省略されたセンサー装置20以外の端末(装置)も、何れもCPU、RAM、ROM、記憶装置、通信ユニット等のセンサー装置20と同様の構成を備えるコンピュータである。
【0033】
図3は、本実施形態に係るセンサー装置20の機能構成の概略を示す図である。センサー装置20は、記憶装置14に記録されているプログラムが、RAM13に読み出され、CPU11によって実行されることで、端末検知部21と、重複検出部22と、通知部23と、通信誘導部24と、を備える情報処理装置として機能する。なお、本実施形態では、情報処理装置の備える各機能は、汎用プロセッサであるCPU11によって実行されるが、これらの機能の一部または全部は、1または複数の専用プロセッサによって実行されてもよい。
【0034】
端末検知部21は、端末から送信されたARPリクエスト等のパケットを受信すると、パケットの送信元MACアドレスを用いて端末リストを検索し、端末リストに登録済みの端末であるか否かを判定することで、ネットワークセグメント2に接続された端末を検知する。即ち、端末検知部は、パケットの送信元MACアドレスが端末リストに登録済みである場合、既知の端末(既知端末10A)であると判定し、一方、パケットの送信元MACアドレスが端末リストに登録されていなかった場合、新たな端末であると判定し、この新たな端末を、被検知端末10Xとして検知する。
【0035】
なお、被検知端末10Xの接続検知は、ARP以外のパケット通信を検出することで行われてもよい。例えば、被検知端末10Xから送信されたその他のブロードキャストパケ
ットを受信することで被検知端末10Xの接続を検知してもよいし、NIC15をプロミスキャスモードで動作させることで、ブロードキャストパケットでもセンサー装置20宛のパケットでもないパケットについても取得し、被検知端末10Xの接続を検知することとしてもよい。
【0036】
重複検出部22は、端末検知部21によって検知された被検知端末10Xが用いるIPアドレスと、所定のIPアドレスとを比較することで、IPアドレスの重複を検出する。例えば、重複検出部22は、センサー装置20のIPアドレス、既知端末10AのIPアドレス、および予約IPアドレスを、被検知端末10Xが用いるIPアドレスと比較し、IPアドレスの重複を検出する。
【0037】
通知部23は、重複検出部22によってIPアドレスの重複が検出された場合に、被検知端末10Xによって被検知端末10XのMACアドレスが通知された可能性のある通知対象端末10Bに対して、被検知端末10X以外の端末のMACアドレスを通知する。例えば、通知部23は、重複検出部22によって、被検知端末10Xが用いるIPアドレスと、センサー装置20のIPアドレスとの重複が検出された場合には、通知対象端末10Bに対して、センサー装置20のMACアドレスを通知する。また、通知部23は、重複検出部22によって、被検知端末10Xが用いるIPアドレスと、既知端末10AのIPアドレスとの重複が検出された場合には、通知対象端末10Bに対して、既知端末10AのMACアドレスを通知する。
【0038】
一方、通知部23は、重複検出部22によって、被検知端末10Xが用いるIPアドレスと、予約IPアドレスとの重複が検出された場合には、通知対象端末10Bに対して、センサー装置20のMACアドレスを通知する。これは、通知対象端末10Bからの被検知端末10X宛の通信を誘導するためである。このようにすることで、予約に係る端末がネットワークセグメント2から離れている間、予約IPアドレス宛の通信をセンサー装置20自身に誘導し、破棄する、ログを蓄積する等、適切な処理を行うことが出来る。
【0039】
但し、通知部23は、重複検出部22によって、被検知端末10Xが用いるIPアドレスと、予約IPアドレスとの重複が検出された場合に、通知対象端末10Bに対して、ネットワークセグメント2に接続された所定の端末のMACアドレスを通知してもよい。このようにすることで、予約に係る端末がネットワークセグメント2から離れている間、予約IPアドレス宛の通信を所定の端末に誘導し、破棄する、ログを蓄積する等、適切な処理を行うことが出来る。
【0040】
また、通知部23は、重複検出部22によって、被検知端末10Xが用いるIPアドレスと、予約IPアドレスとの重複が検出された場合に、通知対象端末10Bに対して、ネットワークセグメント2において用いられていないMACアドレスを通知してもよい。この場合、予約に係る端末がネットワークセグメント2から離れている間は、予約IPアドレス宛の通信は、宛先不明となり、ネットワークセグメント2の全ての装置において破棄されることとなる。即ち、ネットワークセグメント2において用いられていないMACアドレスを通知することによっても、予約IPアドレスが用いられてしまうことを防止することが出来る。
【0041】
通信誘導部24は、重複検出部22によってアドレスの重複が検出された場合に、被検知端末10Xに対して、ネットワークセグメント2上の端末のMACアドレスとして、センサー装置20のMACアドレス、ネットワークセグメント2に接続された所定の端末のMACアドレスまたはネットワークセグメント2において用いられていないMACアドレスを通知することで、被検知端末10Xからの通信を誘導する。
【0042】
また、本実施形態に係るセンサー装置20は、記憶装置14に、端末リストおよび予約リストを保持する。図4は、本実施形態に係る端末リストの構成を例示する図である。端末リストは、センサー装置20によって検知された、ネットワークセグメント2に接続された各端末の、IPアドレスおよびMACアドレスを含む情報が保持されるためのリストである。但し、端末リストは、センサー装置20内に保持されている必要はない。例えば、端末リストは、マネージャ装置40に保持され、必要に応じてネットワークを介してセンサー装置20によって参照されることとしてもよい。また、センサー装置20は、通常ネットワークセグメント2上の他の端末との間での通信において用いられるARPテーブルを有しているが、端末リストは、このようなARPテーブルとは別に用意されていてもよいし、センサー装置20のARPテーブルが、端末リストとして用いられてもよい。
【0043】
図5は、本実施形態に係る予約リストの構成を例示する図である。予約リストは、予約IPアドレスおよび予約MACアドレスを含む予約情報が保持されるためのリストである。ここで、予約IPアドレスとは、所望の端末のために予約され、ネットワークセグメント2上の他の端末によって使用されることを禁止されたIPアドレスである。なお、予約IPアドレスは、予約IPアドレスが割り当てられた端末が現在ネットワークセグメント2に接続されて通信可能な状態となっているか否かを問わず、ネットワークセグメント2上の他の端末によって使用されることを禁止される。また、予約MACアドレスとは、予約IPアドレスに係る端末のMACアドレスである。
【0044】
図6は、本実施形態における予約リストの作成、配信方法を示す概略図である。なお、図中の処理内容を示すブロックに付された数字は、処理順序である。本実施形態では、予約IPアドレスは、システム管理者によって指定される。センサー装置20は、検出した端末の情報(即ち、端末リストの内容)を全てマネージャ装置40に対してアップロードする。システム管理者は、センサー装置20からマネージャ装置40にアップロードされた端末リストを閲覧し、システム構成図などと照合した上で、所望の端末によって使用されるIPアドレスを予約IPアドレスとしてマネージャ装置40に指示する。マネージャ装置40は、その指示によって指定された予約IPアドレスと該予約IPアドレスを利用する端末の情報とを含む予約リストを、センサー装置20に配信する。
【0045】
<処理の流れ>
次に、本実施形態に係るセンサー装置20によって実行される処理の流れを、フローチャートを用いて説明する。
【0046】
図7は、本実施形態に係るアドレス重複対処処理の流れを示すフローチャートである。本実施形態に係るアドレス重複対処処理は、上記説明した通信システム1において、センサー装置20によってARPのアドレス解決要求(以下、「ARPリクエスト」と称する)が受信され、端末検知部21によって新たな端末が検知されたことを契機として開始される。なお、本フローチャートに示された処理の具体的な内容および処理順序は、本発明を実施するための一例である。具体的な処理内容および処理順序は、本発明の実施の形態に応じて適宜選択されてよい。例えば、後述するステップS102、ステップS104またはステップS106と、ステップS107との処理順序は入れ替わってもよい。
【0047】
ステップS101では、検知された被検知端末10XのIPアドレスが、センサー装置20のIPアドレスと重複しているか否かが判定される。重複検出部22は、受信されたARPリクエストのSenderIPを参照することで、検出された被検知端末10XのIPアドレスを取得し、取得された被検知端末10XのIPアドレスとセンサー装置20のIPアドレスとを比較することで、IPアドレスの重複を検出する。比較の結果、被検知端末10XのIPアドレスと、センサー装置20のIPアドレスとの重複が検出されなかった場合、処理はステップS103へ進む。これに対して、比較の結果、被検知端末1
0XのIPアドレスと、センサー装置20のIPアドレスとの重複が検出された場合、処理はステップS102へ進む。
【0048】
ステップS102では、通知対象端末10Bに対して、センサー装置20のMACアドレスが通知される。ステップS101における比較の結果、被検知端末10XのIPアドレスと、センサー装置20のIPアドレスとの重複が検出された場合、通知部23は、通知対象端末10Bに対して、センサー装置20のIPアドレスとMACアドレスとの組み合わせがSenderIP/MACに設定されたARPリクエストを送信することで、通知対象端末10Bに対して、センサー装置20のIPアドレスに対応する正しいMACアドレスを通知する。なお、ステップS102に示された処理が実行される場合の通信の詳細な流れは、図8Aおよび図8Bを用いて後述する。その後、処理はステップS107へ進む。
【0049】
ステップS103では、被検知端末10XのIPアドレスが、ネットワークセグメント2に接続された既知端末10Aが使用しているIPアドレスと重複しているか否かが判定される。重複検出部22は、受信されたARPリクエストのSenderIPを参照することで検出された被検知端末10XのIPアドレスを取得し、被検知端末10XのIPアドレスおよびMACアドレスと、センサー装置20が保持している端末リストに登録されているIPアドレスおよびMACアドレスと、を比較し、IPアドレスが同一でありMACアドレスが異なる端末の有無を判定することで、IPアドレスの重複を検出する。ここで、重複検出部22は、検出された被検知端末10XのIPアドレスおよびMACアドレスを端末リストに登録し、登録後に端末リスト内においてIPアドレスおよびMACアドレスを比較することで、IPアドレスの重複を検出してもよい。比較の結果、被検知端末10XのIPアドレスと既知端末10AのIPアドレスとの重複が検出されなかった場合、処理はステップS105へ進む。これに対して、比較の結果、被検知端末10XのIPアドレスと既知端末10AのIPアドレスとの重複が検出された場合、処理はステップS104へ進む。
【0050】
ステップS104では、通知対象端末10Bに対して、既知端末10AのMACアドレスが通知される。ステップS103における比較の結果、被検知端末10XのIPアドレスと既知端末10AのIPアドレスとの重複が検出された場合、通知部23は、通知対象端末10Bに対して、既知端末10AのIPアドレスとMACアドレスとの組み合わせがSenderIP/MACに設定されたARPリクエストを送信することで、通知対象端末10Bに対して、既知端末10AのIPアドレスに対応する正しいMACアドレスを通知する。なお、ステップS104に示された処理が実行される場合の通信の詳細な流れは、図9Aおよび図9Bを用いて後述する。その後、処理はステップS107へ進む。
【0051】
ステップS105では、被検知端末10XのIPアドレスが、予約IPアドレスと重複しているか否かが判定される。センサー装置20は、マネージャ装置40から配信された、予約IPアドレスおよび予約MACアドレスを含む予約リストに基づいて、IPアドレスの重複の有無を判定する。より具体的には、重複検出部22は、受信されたARPリクエストのSenderIPを参照することで検出された被検知端末10XのIPアドレスを取得し、被検知端末10XのIPアドレスが予約IPアドレスと同一で、且つ被検知端末10XのMACアドレスが予約MACアドレスと異なるか否かを判定することで、IPアドレスの重複を検出する。即ち、重複検出部22は、予約MACアドレスが異なる(予約に係る端末とは異なる端末である)にも関わらず、予約IPアドレスを用いる端末を、IPアドレスを重複させる端末として検出する。比較の結果、被検知端末10XのIPアドレスと、予約IPアドレスとの重複が検出されなかった場合、処理はステップS108へ進む。これに対して、比較の結果、被検知端末10XのIPアドレスと、予約IPアドレスとの重複が検出された場合、処理はステップS106へ進む。
【0052】
ステップS106では、通知対象端末10Bに対して、センサー装置20のMACアドレスが通知される。ステップS105における比較の結果、被検知端末10XのIPアドレスと、予約IPアドレスとの重複が検出された場合、通知部23は、通知対象端末10Bに対して、予約IPアドレスとセンサー装置20のMACアドレスとの組み合わせがSenderIP/MACに設定されたARPリクエストを送信する。このようにして、通知部23は、通知対象端末10Bに対して、予約IPアドレスに対応するMACアドレスとして、センサー装置20のMACアドレスを通知する。
【0053】
ステップS106においてセンサー装置20から送信されたARPリクエストを受信した通知対象端末10Bは、通常、ARPテーブルに、通知された内容、即ち予約IPアドレスに対応するMACアドレスとしてセンサー装置20のMACアドレスを登録し、保持する。このため、この状態で、通知対象端末10Bが予約IPアドレスと同一のIPアドレスを用いている被検知端末10X宛の通信を行おうとした場合(例えば、被検知端末10Xからの通信に対して返信を行おうとした場合)、通知対象端末10Bは、センサー装置20のMACアドレスを宛先MACアドレスに設定してパケットを送信することとなる。このため、通知対象端末10Bからの被検知端末10Xが用いているIPアドレス(予約IPアドレスと重複)宛のパケットは、センサー装置20によって受信される。そして、センサー装置20は、受信したパケットを転送せずに破棄する。換言すると、上記したような方法によって、センサー装置20の通知部23は、通知対象端末10Bからの被検知端末10Xに対する通信を遮断する。なお、ステップS106に示された処理が実行される場合の通信の詳細な流れは、図10A、図10Bおよび図10Cを用いて後述する。その後、処理はステップS107へ進む。
【0054】
なお、ステップS106では、通知対象端末10Bに対して、ネットワークセグメント2に接続された所定の端末のMACアドレスが通知されてもよい。このようにすることで、予約に係る端末がネットワークセグメント2から離れている間、予約IPアドレス宛の通信を所定の端末に誘導し、破棄する、ログを蓄積する等、適切な処理を行うことが出来る。
【0055】
また、ステップS106では、通知対象端末10Bに対して、ネットワークセグメント2において用いられていないMACアドレスが通知されてもよい。この場合、予約に係る端末がネットワークセグメント2から離れている間は、予約IPアドレス宛の通信は、宛先不明となり、ネットワークセグメント2の全ての装置において破棄されることとなる。即ち、ネットワークセグメント2において用いられていないMACアドレスを通知することによっても、予約IPアドレスが用いられてしまうことを防止することが出来る。
【0056】
ステップS107では、被検知端末10Xからの通信を遮断するための、通信誘導が行われる。センサー装置20の通信誘導部24は、ステップS102、ステップS104およびステップS106に係るIPアドレスの重複是正に伴って、被検知端末10Xに対して、通知対象端末10BのIPアドレスに対応するMACアドレスとしてセンサー装置20のMACアドレスを通知するARPリクエストを送信する。即ち、ここでARPリクエストとして被検知端末10Xへ通知されるMACアドレスは、通知対象端末10BのMACアドレスを、センサー装置20のMACアドレスで偽装するものである。換言すれば、ステップS107において送信されるARPリクエストは、被検知端末10Xからの通知対象端末10Bに対する以降の通信をセンサー装置20に誘導するための、通信誘導用のARPリクエストである。なお、本実施形態では、被検知端末10Xに対してARPリクエストを送信することで、通信誘導を行うこととしているが、このような方法に代えて、被検知端末10Xから受信したARPリクエストに対するARPリプライを送信することで、通信誘導を行うこととしてもよい。その後、本フローチャートに示された処理は終了
する。
【0057】
ステップS107に示された処理の結果、センサー装置20から送信された通信誘導用のARPリクエストを受信した被検知端末10Xは、通常、通知された内容、即ち通知対象端末10B(通知対象端末10Bがルータである場合には、外部ネットワーク)との通信に用いるMACアドレスとしてセンサー装置20のMACアドレスをARPテーブルに登録し、保持する。このため、以降、被検知端末10Xは、通知対象端末10Bに対する通信(通知対象端末10Bがルータである場合には、外部ネットワーク宛の通信)を試みる場合に、偽装されたセンサー装置20のMACアドレス宛にパケットを送信することとなる。そして、センサー装置20は、検疫、認証等のための通信等の一部の通信を除いて、被検知端末10Xから送信されたパケットを転送せずに破棄する。換言すると、上記したような方法によって、センサー装置20の通信誘導部24は、未検疫の被検知端末10Xによる通信を遮断する。
【0058】
ステップS108では、被検知端末10Xに対する検疫が実施される。センサー装置20は、被検知端末10Xによる通信を検疫サーバ30に転送する、または被検知端末10XによるHTTP(HyperText Transfer Protocol)接続を検疫サーバ30にリダイレクトする、等の方法で被検知端末10Xによる通信を検疫サーバ30に誘導し、被検知端末10Xに、検疫サーバ30による検疫を受けさせる。検疫のための具体的な処理としては、従来知られている検疫のための様々な処理が採用されてよく、本実施形態では、説明を省略する。その後、本フローチャートに示された処理は終了する。
【0059】
なお、被検知端末10Xは、後述するセンサー装置20による通信誘導(ステップS107を参照)が有効に働いていない場合、ネットワーク上の他の端末に対して、正しいIPアドレスおよび正しいMACアドレスを指定して、通信を行う。ここで、正しいMACアドレスとは、通信先がネットワークセグメント2上の端末である場合、通信先端末のMACアドレスであり、通信先が外部ネットワークの端末である場合、デフォルトゲートウェイであるルータのMACアドレスである。但し、本実施形態によれば、上述したステップS106が実行されることによって、通知対象端末10B(ルータやネットワークセグメント2上の端末等)に対する通信誘導がおこなわれている。
【0060】
このため、通信先がネットワークセグメント2上の端末である場合、送信パケットは通信先に到着するが、通信先からの返信パケットは、通信先(例えば、ネットワークセグメント2上の端末等)によって送信される際に、宛先MACアドレスにセンサー装置20のMACアドレスを付されてネットワークセグメント2へ送出される。また、通信がルータを経由して行われる場合、送信パケットは通信先(例えば、ネットワーク外の図示しない業務サーバ等)に到着するが、通信先からの返信パケットは、ルータによって仲介される際に、宛先MACアドレスにセンサー装置20のMACアドレスを付されてネットワークセグメント2へ送出される。センサー装置20は、ルータやネットワークセグメント2上の端末等から送信されたパケット(即ち、送信元MACアドレスがルータやネットワークセグメント2上の端末等のMACアドレスであるパケット)を受信し、破棄する。
【0061】
即ち、本実施形態に係るセンサー装置20によれば、被検知端末10Xに対する通信誘導が失敗している場合であっても、被検知端末10Xと通知対象端末10Bとの間の通信のうち、通知対象端末10Bから被検知端末10Xに対して送信されたIPパケットを、センサー装置20に誘導して破棄することで、被検知端末10Xに対する他の端末からの通信を遮断することが出来る。
【0062】
<シーケンス>
次に、図8Aから図10Cに示すシーケンス図を用いて、図7を用いて説明したアドレス重複対処処理によって実現される、IPアドレスの重複が発生した場合に生じうる問題の防止に係る通信の詳細な流れを説明する。なお、図中では、IPアドレスは、10進数で示した場合の下位2桁(本実施形態では、「192.168.0.##」の##部分)で示され、MACアドレスは、16進数で示した場合の下位2桁で示されている。但し、被検知端末10XのMACアドレスのみ、「xx」と示す。
【0063】
図8Aおよび図8Bは、図7に示したフローチャートにおけるステップS102に示された処理が実行される場合の、通信の詳細な流れを示すシーケンス図であり、図8A、図8Bの順にシーケンスが流れる。ネットワークセグメント2には、通知対象端末10Bおよびセンサー装置20が接続されている。そして、ネットワークセグメント2に新たに接続された被検知端末10Xは、固有のMACアドレスを有しているが、センサー装置20と同一のIPアドレス(図に示した例では、192.168.0.33)を用いる。この状態で、被検知端末10Xは、ネットワーク上の何れかの端末(本実施形態では、通知対象端末10B)に対してパケットを送信しようとしている。なお、被検知端末10Xが送信しようとするパケットは、図に示した例では、ICMP(Internet Control Message Protocol)のエコー要求(所謂PING)であるが、被検知端末10Xから通知対象端末10BへのIP通信であればよく、パケットの種類はPINGに限定されない。
【0064】
この時点で、被検知端末10Xは、通知対象端末10BのIPアドレスを知っているが、通知対象端末10BのMACアドレスを知らない。このため、被検知端末10Xは、通知対象端末10Bに対してパケットを送信するために、アドレス解決を行う。被検知端末10Xは、通知対象端末10BのIPアドレス(図では192.168.0.22)のアドレス解決を行うためのARPリクエストを、ネットワークセグメント2にブロードキャストする。なお、図8Aから図10Cに示すシーケンス図において、パケットの送信先MACアドレス(DstMac)が「ff」となっているパケットは、ブロードキャストパケットである。
【0065】
被検知端末10XによってブロードキャストされたARPリクエストを受信した通知対象端末10Bは、自装置(通知対象端末10B)が用いているIPアドレスのアドレス解決を要求するARPリクエストであるため、このARPリクエストに対する応答として、自装置(通知対象端末10B)のMACアドレスを通知するARPリプライを、被検知端末10X宛に送信する。
【0066】
また、この際、通知対象端末10Bは、被検知端末10Xから受信されたARPリクエストの内容に応じて、自装置が保持するARPテーブルを更新する。図に示した例では、通知対象端末10Bは、センサー装置20によって用いられているIPアドレス192.168.0.33に対応するMACアドレスとして、被検知端末10XのMACアドレスを記録する。なお、通知対象端末10Bが予めセンサー装置20のIPアドレスとMACアドレスとの組み合わせをARPテーブルに保持していた場合にも、この情報は被検知端末10Xから通知された内容で更新される。
【0067】
即ち、被検知端末10Xによって送信されたARPリクエストによって、通知対象端末10BのARPテーブルは、センサー装置20が用いるIPアドレス192.168.0.33に関連付けられたMACアドレスとして、被検知端末10XのMACアドレスを保持する。このため、この状態を放置すると、通知対象端末10Bとセンサー装置20との間の通信に障害が生じ、また、悪意をもってネットワークセグメント2に参加した可能性のある被検知端末10Xに対して、通知対象端末10Bが通信を行ってしまうこととなる。
【0068】
しかし、本実施形態に係るネットワークセグメント2には、センサー装置20が接続されており、センサー装置20は、ネットワークセグメント2を流れるパケットを受信し、端末検知部21によって新たな端末を検知している。このため、被検知端末10XからブロードキャストされたARPリクエストがセンサー装置20によって受信されると(シーケンス図では、被検知端末10Xから送信されたARPリクエストをセンサー装置20が受信する流れを破線矢印で示した)、センサー装置20は、ネットワークセグメント2に参加した新たな被検知端末10Xを検知し、図7に示したアドレス重複対処処理を実行する。
【0069】
なお、センサー装置20は、検出された被検知端末10Xの情報を、マネージャ装置40にアップロードする。このようにしてマネージャ装置40にアップロードされた、検出された端末の情報は、システム管理者等によって閲覧され、先述した予約IPアドレスの設定等に用いられる。
【0070】
センサー装置20は、被検知端末10Xの検出を受けて、アドレス重複対処処理を実行する。本シーケンス図に示した例では、被検知端末10Xが検出されると、センサー装置20の重複検出部22は、被検知端末10XのIPアドレスが、センサー装置20のIPアドレスと重複しているか否かを判定する(図7のステップS101を参照)。ここでは、被検知端末10XのIPアドレスは、センサー装置20のIPアドレスと重複しているため、センサー装置20の通知部23は、通知対象端末10Bに対して、センサー装置20のIPアドレスとMACアドレスとの組み合わせがSenderIP/MACに設定されたARPリクエストを送信することで、センサー装置20のMACアドレスを通知する(図7のステップS102を参照)。
【0071】
このようにしてアドレス重複対処処理が実行されることで、センサー装置20が用いるIPアドレスに対応するMACアドレスとして一旦誤ったMACアドレス(被検知端末10XのMACアドレス)を保持した通知対象端末10BのARPテーブルが再び更新され、センサー装置20が用いるIPアドレスに対応するMACアドレスとして、正しいMACアドレス(センサー装置20のMACアドレス)が通知対象端末10BのARPテーブルに保持される。
【0072】
なお、センサー装置20が通知対象端末10Bに対して送信するARPリクエストは、センサー装置20が通知対象端末10BのMACアドレスを端末リスト上に有していない場合にはブロードキャストで送信されるが、センサー装置20が通知対象端末10BのMACアドレスを端末リスト上に既に有している場合には通知対象端末10B宛のユニキャストで送信される(シーケンス図の破線枠内の処理を参照)。このようにすることで、ネットワークセグメント2に接続された各端末の処理負荷を減らすことが出来る。但し、センサー装置20が通知対象端末10BのMACアドレスを既に端末リスト上に有しているか否かに拘らず、センサー装置20が通知対象端末10Bに対して送信するARPリクエストはブロードキャストで送信されてよい。また、センサー装置20は、通知対象端末10BのMACアドレスを端末リスト上に有していない場合、検出された通知対象端末10Bの情報を、マネージャ装置40にアップロードする。
【0073】
次に、図8Bを用いて、センサー装置20による被検知端末10Xの通信の遮断について説明する。センサー装置20の通信誘導部24は、被検知端末10Xからの通知対象端末10Bに対する以降の通信をセンサー装置20に誘導するために、被検知端末10Xに対して、通知対象端末10BのIPアドレスとセンサー装置20のMACアドレスがSenderIPに設定された通信誘導用のARPリクエストを送信する(図7のステップS107を参照)。このようなARPリクエストを受信した被検知端末10Xは、Send
erIPに設定された内容、即ち通知対象端末10BのIPアドレスに対応するMACアドレスとしてセンサー装置20のMACアドレスをARPテーブルに登録し、センサー装置20に対してARPリプライを送信する。
【0074】
被検知端末10Xに対して通信誘導用のARPリクエストを送信したセンサー装置20は、ステップS107において送信されたARPリクエストに対するARPリプライを受信する。このARPリプライは、被検知端末10Xから送信され、被検知端末10XのMACアドレスをセンサー装置20に通知するものであるが、ARPリクエストに対する応答として送信されていることで、ステップS107において行われた通信誘導が被検知端末10Xにおいて破棄や遮断等されなかったことの判断の目安となる。なお、被検知端末10XからのARPリプライが所定の条件に従って受信されない場合(例えば、応答率が閾値以下である場合や、応答がタイムアウト等した場合)、センサー装置20は、通信誘導が失敗したと判断してもよい。
【0075】
センサー装置20によって、このような通信誘導が行われ、被検知端末10Xは、通知対象端末10BのIPアドレスに対応するMACアドレスとしてセンサー装置20のMACアドレスをARPテーブルに保持する。このため、被検知端末10Xが通知対象端末10Bに対して送信しようとするPINGは、偽装されたセンサー装置20のMACアドレス宛に送信されることとなる。センサー装置20は、被検知端末10Xから受信したパケットを破棄することで、被検知端末10Xによる通信を遮断する。
【0076】
上記説明した通信の流れにおいて、本実施形態に係るアドレス重複対処処理が実行されることによって、被検知端末10Xが、センサー装置20自身のIPアドレスと重複するアドレスを用いていた場合に、被検知端末10XのMACアドレスが通知された可能性のある通知対象端末10Bに対して、重複に係るIPアドレスに対応するMACアドレスとして、センサー装置20のMACアドレスが通知される。これによって、IPアドレスの重複が発生した場合にも、センサー装置20を相手方とする通信において問題が発生することを防止することが出来る。
【0077】
図9Aおよび図9Bは、図7に示したフローチャートにおけるステップS104に示された処理が実行される場合の、通信の詳細な流れを示すシーケンス図であり、図9A、図9Bの順にシーケンスが流れる。ネットワークセグメント2には、既知端末10A、通知対象端末10Bおよびセンサー装置20が接続されている。また、ネットワークセグメント2内の各端末は、端末間の通信によって、夫々の端末のARPテーブル(センサー装置20にあっては、端末リスト)に、他の端末のIPアドレスとMACアドレスとの対応関係を保持している。例えば、既知端末10AのARPテーブルには、通知対象端末10BのIPアドレスとMACアドレスとの組み合わせが、通知対象端末10BのARPテーブルには、既知端末10Aおよびセンサー装置20のIPアドレスとMACアドレスとの組み合わせが、センサー装置20には、既知端末10Aおよび通知対象端末10BのIPアドレスとMACアドレスとの組み合わせが、保持されている。これらの端末が互いにIP通信に伴うARPパケットの送受信を行い、ARPテーブルを更新する処理の流れは、従来と同様であるため、説明を省略する。
【0078】
そして、ネットワークセグメント2に新たに接続された被検知端末10Xは、固有のMACアドレスを有しているが、既知端末10Aと同一のIPアドレス(図に示した例では、192.168.0.11)を用いる。この状態で、被検知端末10Xは、ネットワーク上の何れかの端末(本実施形態では、通知対象端末10B)に対してパケットを送信しようとしている。なお、被検知端末10Xが送信しようとするパケットは、図に示した例では所謂PINGであるが、被検知端末10Xから通知対象端末10BへのIP通信であればよく、パケットの種類はPINGに限定されない。
【0079】
この時点で、被検知端末10Xは、通知対象端末10BのIPアドレスを知っているが、通知対象端末10BのMACアドレスを知らない。このため、被検知端末10Xは、通知対象端末10Bに対してパケットを送信するために、アドレス解決を行う。被検知端末10Xは、通知対象端末10BのIPアドレス(図では192.168.0.22)のアドレス解決を行うためのARPリクエストを、ネットワークセグメント2にブロードキャストする。
【0080】
被検知端末10XによってブロードキャストされたARPリクエストを受信した通知対象端末10Bは、自装置(通知対象端末10B)が用いているIPアドレスのアドレス解決を要求するARPリクエストであるため、このARPリクエストに対する応答として、自装置(通知対象端末10B)のMACアドレスを通知するARPリプライを、被検知端末10X宛に送信する。
【0081】
また、この際、通知対象端末10Bは、被検知端末10Xから受信されたARPリクエストの内容に応じて、自装置が保持するARPテーブルを更新する。図に示した例では、通知対象端末10Bは、既知端末10Aによって用いられているIPアドレス192.168.0.11に対応するMACアドレスとして、被検知端末10XのMACアドレスを記録する。なお、通知対象端末10Bが予め既知端末10AのIPアドレスとMACアドレスとの組み合わせをARPテーブルに保持していた場合にも、この情報は被検知端末10Xから通知された内容で更新される。
【0082】
即ち、被検知端末10Xによって送信されたARPリクエストによって、通知対象端末10BのARPテーブルは、既知端末10Aが用いるIPアドレス192.168.0.11に関連付けられたMACアドレスとして、被検知端末10XのMACアドレスを保持する。このため、この状態を放置すると、通知対象端末10Bと既知端末10Aとの間の通信に障害が生じ、また、悪意をもってネットワークセグメント2に参加した可能性のある被検知端末10Xに対して、通知対象端末10Bが通信を行ってしまうこととなる。
【0083】
しかし、本実施形態に係るネットワークセグメント2には、センサー装置20が接続されており、センサー装置20は、ネットワークセグメント2を流れるパケットを受信し、端末検知部21によって新たな端末を検知している。このため、被検知端末10XからブロードキャストされたARPリクエストがセンサー装置20によって受信されると(シーケンス図では、被検知端末10Xから送信されたARPリクエストをセンサー装置20が受信する流れを破線矢印で示した)、センサー装置20は、ネットワークセグメント2に参加した新たな被検知端末10Xを検知し、図7に示したアドレス重複対処処理を実行する。
【0084】
なお、センサー装置20は、検出された被検知端末10Xの情報を、マネージャ装置40にアップロードする。このようにしてマネージャ装置40にアップロードされた、検出された端末の情報は、システム管理者等によって閲覧され、先述した予約IPアドレスの設定等に用いられる。
【0085】
センサー装置20は、被検知端末10Xの検出を受けて、アドレス重複対処処理を実行する。本シーケンス図に示した例では、被検知端末10Xが検出されると、センサー装置20の重複検出部22は、被検知端末10XのIPアドレスが、既知端末10AのIPアドレスと重複しているか否かを判定する(図7のステップS103を参照)。ここでは、被検知端末10XのIPアドレスは、既知端末10AのIPアドレスと重複しているため、センサー装置20の通知部23は、通知対象端末10Bに対して、既知端末10AのIPアドレスとMACアドレスとの組み合わせがSenderIP/MACに設定されたA
RPリクエストを送信することで、既知端末10AのMACアドレスを通知する(図7のステップS104を参照)。
【0086】
このようにしてアドレス重複対処処理が実行されることで、既知端末10Aが用いるIPアドレスに対応するMACアドレスとして一旦誤ったMACアドレス(被検知端末10XのMACアドレス)を保持した通知対象端末10BのARPテーブルが再び更新され、既知端末10Aが用いるIPアドレスに対応するMACアドレスとして、正しいMACアドレス(既知端末10AのMACアドレス)が通知対象端末10BのARPテーブルに保持される。
【0087】
なお、本シーケンス図で示した例では、センサー装置20が通知対象端末10Bに対して送信するARPリクエストは、センサー装置20が通知対象端末10BのMACアドレスを端末リスト上に既に有しているため、通知対象端末10B宛のユニキャストで送信される(シーケンス図の破線枠内の処理を参照)。このようにすることで、ネットワークセグメント2に接続された各端末の処理負荷を減らすことが出来る。但し、センサー装置20が通知対象端末10Bに対して送信するARPリクエストはブロードキャストで送信されてよい。また、センサー装置20は、通知対象端末10BのMACアドレスを端末リスト上に有していない場合、検出された通知対象端末10Bの情報を、マネージャ装置40にアップロードする(図示は省略する)。
【0088】
その後、図9Bに示された、センサー装置20による被検知端末10Xの通信の遮断が行われるが、処理の詳細は、送受信されるパケットにおいて用いられる被検知端末10XのIPアドレスが異なること以外、図8Bに示したシーケンス図の流れと概略同様であるため、説明を省略する。
【0089】
上記説明した通信の流れにおいて、本実施形態に係るアドレス重複対処処理が実行されることによって、被検知端末10Xが、既知端末10AのIPアドレスと重複するアドレスを用いていた場合に、被検知端末10XのMACアドレスが通知された可能性のある通知対象端末10Bに対して、重複に係るIPアドレスに対応するMACアドレスとして、既知端末10AのMACアドレスが通知される。これによって、IPアドレスの重複が発生した場合にも、既知端末10Aを相手方とする通信において問題が発生することを防止することが出来る。
【0090】
図10A、図10Bおよび図10Cは、図7に示したフローチャートにおけるステップS106に示された処理が実行される場合の、通信の詳細な流れを示すシーケンス図であり、図10A、図10B、図10Cの順にシーケンスが流れる。ネットワークセグメント2には、既知端末10A、通知対象端末10Bおよびセンサー装置20が接続されている。また、ネットワークセグメント2内の各端末は、端末間の通信によって、夫々の端末のARPテーブル(センサー装置20にあっては、端末リスト)に、他の端末のIPアドレスとMACアドレスとの対応関係を保持している。例えば、既知端末10AのARPテーブルには、通知対象端末10BのIPアドレスとMACアドレスとの組み合わせが、通知対象端末10BのARPテーブルには、既知端末10Aおよびセンサー装置20のIPアドレスとMACアドレスとの組み合わせが、センサー装置20の端末リストには、既知端末10Aおよび通知対象端末10BのIPアドレスとMACアドレスとの組み合わせが、保持されている。これらの端末が互いにIP通信に伴うARPパケットの送受信を行い、ARPテーブルを更新する処理の流れは、従来と同様であるため、説明を省略する。
【0091】
また、センサー装置20は、検出された既知端末10Aおよび通知対象端末10BのIPアドレスとMACアドレスとの組み合わせを含む端末リストを、マネージャ装置40にアップロードする。このため、マネージャ装置40には、ネットワークセグメント2内の
端末情報が蓄積されており、システム管理者は、管理用の端末からマネージャ装置40に接続して、端末リストを閲覧することが出来る。
【0092】
本シーケンス図に示された例では、システム管理者は、IPアドレス192.168.0.11を利用する端末を、既知端末10Aに指定する。換言すれば、システム管理者は、IPアドレス192.168.0.11を、既知端末10Aのために予約する。システム管理者によって予約の指示が行われると、マネージャ装置40は、予約IPアドレス192.168.0.11および既知端末10AのMACアドレスとの組み合わせを含む予約リストを、センサー装置20に通知することで、IPアドレス192.168.0.11を既知端末10Aのために予約する。
【0093】
このため、既知端末10Aの電源が落とされる等の原因で既知端末10Aがネットワークセグメント2において通信を行わなくなった場合(図10Aの「端末10Aが電源OFF」を参照)にも、既知端末10Aが使用していたIPアドレス192.168.0.11は既知端末10Aのために予約され、他の端末による使用が禁止される。
【0094】
そして、ネットワークセグメント2に新たに接続された被検知端末10Xは、固有のMACアドレスを有しているが、既知端末10Aのために予約された予約IPアドレスと同一のIPアドレス(図に示した例では、192.168.0.11)を用いる。この状態で、被検知端末10Xは、ネットワーク上の何れかの端末(本実施形態では、通知対象端末10B)に対してパケットを送信しようとしている。なお、被検知端末10Xが送信しようとするパケットは、図に示した例では所謂PINGであるが、被検知端末10Xから通知対象端末10BへのIP通信であればよく、パケットの種類はPINGに限定されない。
【0095】
この時点で、被検知端末10Xは、通知対象端末10BのIPアドレスを知っているが、通知対象端末10BのMACアドレスを知らない。このため、被検知端末10Xは、通知対象端末10Bに対してパケットを送信するために、アドレス解決を行う。被検知端末10Xは、通知対象端末10BのIPアドレス(図では192.168.0.22)のアドレス解決を行うためのARPリクエストを、ネットワークセグメント2にブロードキャストする。
【0096】
被検知端末10XによってブロードキャストされたARPリクエストを受信した通知対象端末10Bは、自装置(通知対象端末10B)が用いているIPアドレスのアドレス解決を要求するARPリクエストであるため、このARPリクエストに対する応答として、自装置(通知対象端末10B)のMACアドレスを通知するARPリプライを、被検知端末10X宛に送信する。
【0097】
また、この際、通知対象端末10Bは、被検知端末10Xから受信されたARPリクエストの内容に応じて、自装置が保持するARPテーブルを更新する。図に示した例では、通知対象端末10Bは、端末10Aのための予約IPアドレス192.168.0.11に対応するMACアドレスとして、被検知端末10XのMACアドレスを記録する。なお、通知対象端末10Bが予め既知端末10AのIPアドレスとMACアドレスとの組み合わせをARPテーブルに保持していた場合にも、この情報は被検知端末10Xから通知された内容で更新される。
【0098】
即ち、被検知端末10Xによって送信されたARPリクエストによって、通知対象端末10BのARPテーブルは、端末10Aのための予約IPアドレス192.168.0.11に関連付けられたMACアドレスとして、被検知端末10XのMACアドレスを保持する。このため、この状態を放置すると、この時点では既知端末10Aの電源はOFFと
なっているが、電源がONとなった場合に、通知対象端末10Bと既知端末10Aとの間の通信障害が生じうる。また、悪意をもってネットワークセグメント2に参加した可能性のある被検知端末10Xに対して、通知対象端末10Bが通信を行ってしまうこととなる。
【0099】
しかし、本実施形態に係るネットワークセグメント2には、センサー装置20が接続されており、センサー装置20は、ネットワークセグメント2を流れるパケットを受信し、端末検知部21によって新たな端末を検知している。このため、被検知端末10XからブロードキャストされたARPリクエストがセンサー装置20によって受信されると(シーケンス図では、被検知端末10Xから送信されたARPリクエストをセンサー装置20が受信する流れを破線矢印で示した)、センサー装置20は、ネットワークセグメント2に参加した新たな被検知端末10Xを検知し、図7に示したアドレス重複対処処理を実行する。
【0100】
なお、センサー装置20は、検出された被検知端末10Xの情報を、マネージャ装置40にアップロードする。このようにしてマネージャ装置40にアップロードされた、検出された端末の情報は、システム管理者等によって閲覧され、先述した予約IPアドレスの設定等に用いられる。
【0101】
センサー装置20は、被検知端末10Xの検出を受けて、アドレス重複対処処理を実行する。本シーケンス図に示した例では、被検知端末10Xが検出されると、センサー装置20の重複検出部22は、被検知端末10XのIPアドレスが、端末10Aのための予約IPアドレスと重複しているか否かを判定する(図7のステップS105を参照)。ここでは、被検知端末10XのIPアドレスは、予約IPアドレスと重複しているため、センサー装置20の通知部23は、通知対象端末10Bに対して、予約IPアドレスとセンサー装置20のMACアドレスとの組み合わせがSenderIP/MACに設定されたARPリクエストを送信することで、予約IPアドレスに対応するMACアドレスとして、センサー装置20のMACアドレスを通知する(図7のステップS106を参照)。
【0102】
このようにしてアドレス重複対処処理が実行されることで、既知端末10Aが用いるIPアドレスに対応するMACアドレスとして被検知端末10XのMACアドレスを保持した通知対象端末10BのARPテーブルが再び更新され、既知端末10Aが用いるIPアドレスに対応するMACアドレスとして、センサー装置20のMACアドレス(端末10Aは電源OFFであるため)が通知対象端末10BのARPテーブルに保持される。
【0103】
なお、本シーケンス図で示した例では、センサー装置20が通知対象端末10Bに対して送信するARPリクエストは、センサー装置20が通知対象端末10BのMACアドレスを端末リスト上に既に有しているため、通知対象端末10B宛のユニキャストで送信される(シーケンス図の破線枠内の処理を参照)。このようにすることで、ネットワークセグメント2に接続された各端末の処理負荷を減らすことが出来る。但し、センサー装置20が通知対象端末10Bに対して送信するARPリクエストはブロードキャストで送信されてよい。また、センサー装置20は、通知対象端末10BのMACアドレスを端末リスト上に有していない場合、検出された通知対象端末10Bの情報を、マネージャ装置40にアップロードする(図示は省略する)。
【0104】
その後、図10Bに示された、センサー装置20による被検知端末10Xの通信の遮断が行われるが、処理の詳細は、図9Bに示したシーケンス図の流れと概略同様であるため、説明を省略する。
【0105】
次に、図10Cを用いて、既知端末10Aの電源が入る等の原因で既知端末10Aのネ
ットワークセグメント2における通信が再開された場合(図10Cの「端末10Aが電源ON」を参照)の通信の流れを説明する。本シーケンス図に示された処理において、電源が投入されて起動した既知端末10Aは、通知対象端末10Bに対してパケットを送信しようとしている。なお、既知端末10Aが送信しようとするパケットは、図に示した例ではPINGであるが、既知端末10Aから通知対象端末10BへのIP通信であればよく、パケットの種類はPINGに限定されない。
【0106】
この時点で、既知端末10Aは、通知対象端末10BのIPアドレスを知っているが、通知対象端末10BのMACアドレスを知らない。このため、既知端末10Aは、通知対象端末10Bに対してパケットを送信するために、アドレス解決を行う。既知端末10Aは、通知対象端末10BのIPアドレス(図では192.168.0.22)のアドレス解決を行うためのARPリクエストをブロードキャストする。
【0107】
既知端末10AによってブロードキャストされたARPリクエストを受信した通知対象端末10Bは、自装置(通知対象端末10B)が用いているIPアドレスのアドレス解決を要求するARPリクエストであるため、このARPリクエストに対する応答として、自装置(通知対象端末10B)のMACアドレスを通知するARPリプライを、既知端末10A宛に送信する。
【0108】
また、この際、通知対象端末10Bは、既知端末10Aから受信されたARPリクエストの内容に応じて、自装置が保持するARPテーブルを更新する。図に示した例では、通知対象端末10Bは、既知端末10Aによって用いられているIPアドレス192.168.0.11に対応するMACアドレスとして、既知端末10AのMACアドレスを記録する。
【0109】
このような既知端末10Aと通知対象端末10Bとの間での通信と並行して、センサー装置20は、ネットワークセグメント2を流れるパケットを受信し、端末検知部21によって新たな端末を検知している。このため、既知端末10AからブロードキャストされたARPリクエストがセンサー装置20によって受信されると(シーケンス図では、既知端末10Aから送信されたARPリクエストをセンサー装置20が受信する流れを破線矢印で示した)、センサー装置20は、ネットワークセグメント2に参加した新たな既知端末10Aを検知し、図7に示したアドレス重複対処処理を実行する。
【0110】
なお、センサー装置20は、検出された既知端末10Aの情報を、マネージャ装置40にアップロードする。このようにしてマネージャ装置40にアップロードされた、検出された端末の情報は、システム管理者等によって閲覧され、先述した予約IPアドレスの設定等に用いられる。
【0111】
既知端末10Aが検出されると、センサー装置20の重複検出部22は、検知された既知端末10AのIPアドレスが、センサー装置20のIPアドレス、既知端末10AのIPアドレスおよび端末10Aのための予約IPアドレスの何れかと重複しているか否かを判定する(図7のステップS101、ステップS103およびステップS105を参照)。ここでは、既知端末10AのIPアドレスは、センサー装置20のIPアドレス、既知端末10AのIPアドレスおよび予約IPアドレスの何れとも重複していないため、センサー装置20は、既知端末10Aに対して検疫を行うための処理を実行する(図7のステップS108を参照)。
【0112】
一方、既知端末10Aによって送信されたARPリクエストによるアドレス解決は成功しており、既知端末10Aは通知対象端末10Bの正しいMACアドレスを取得できているため、既知端末10Aから通知対象端末10BへのPINGは成功する。即ち、この状
態で、既知端末10Aは、端末10Aのための予約IPアドレスを用いようとした被検知端末10Xの存在にも拘らず、予約IPアドレスを正常に使用して、ネットワークセグメント2における他の端末と通信を行うことが出来る。
【0113】
上記説明した通信の流れにおいて、本実施形態に係るアドレス重複対処処理が実行されることによって、予約に係る既知端末10Aがネットワークセグメント2から離れている間、予約IPアドレス宛の通信を、センサー装置20に誘導し、破棄する、ログを蓄積する等、適切な処理を行うことが出来る。これによって、予約に係る既知端末10Aがネットワークセグメント2から離れている間に、既知端末10A以外の端末によって予約IPアドレスが用いられてしまうことを防止し、予約に係る端末がネットワークセグメント2に復帰した際に、即座に予約されたアドレスを使用させることが出来る。
【0114】
なお、本実施形態において、通信誘導および通信誘導解除のためのMACアドレスの通知は、ARPリクエストやARPリプライ等を用いて行われたが、MACアドレスの通知に用いられる方法は、フローチャートを用いて説明した上記実施の形態に限定されない。例えば、ARPリクエストを用いてMACアドレスを通知していたステップにおいて、ARPリプライやGARPを用いてMACアドレスを通知することも可能である。また、MACアドレスの通知にその他のプロトコルが用いられてもよい。
【符号の説明】
【0115】
1 通信システム
10A、10B、10X 端末
20 センサー装置(情報処理装置)
21 端末検知部
22 重複検出部
23 通知部
24 通信誘導部
40 マネージャ装置(マネージャサーバ)
【特許請求の範囲】
【請求項1】
ネットワークに接続された端末を検知する端末検知手段と、
前記端末検知手段によって検知された被検知端末が用いる上位層アドレスと、所定の上位層アドレスとを比較することで、上位層アドレスの重複を検出する重複検出手段と、
前記重複検出手段によって上位層アドレスの重複が検出された場合に、前記被検知端末によって該被検知端末の下位層アドレスが通知された可能性のある通知対象端末に対して、前記被検知端末以外の端末の下位層アドレスを通知する通知手段と、
を備える情報処理装置。
【請求項2】
前記重複検出手段は、前記被検知端末が用いる上位層アドレスと、該情報処理装置の上位層アドレスとの重複を検出し、
前記通知手段は、前記重複検出手段によって、前記被検知端末が用いる上位層アドレスと、該情報処理装置の上位層アドレスとの重複が検出された場合に、前記通知対象端末に対して、該情報処理装置の下位層アドレスを通知する、
請求項1に記載の情報処理装置。
【請求項3】
前記重複検出手段は、前記被検知端末が用いる上位層アドレスと、前記ネットワークに接続された既知端末の上位層アドレスとの重複を検出し、
前記通知手段は、前記重複検出手段によって、前記被検知端末が用いる上位層アドレスと、前記既知端末の上位層アドレスとの重複が検出された場合に、前記通知対象端末に対して、該既知端末の下位層アドレスを通知する、
請求項1に記載の情報処理装置。
【請求項4】
前記重複検出手段は、前記被検知端末が用いる上位層アドレスと、予約された上位層アドレスとの重複を検出する、
請求項1に記載の情報処理装置。
【請求項5】
前記通知手段は、前記重複検出手段によって、前記被検知端末が用いる上位層アドレスと、前記予約された上位層アドレスとの重複が検出された場合に、前記通知対象端末に対して、該情報処理装置の下位層アドレスを通知する、
請求項4に記載の情報処理装置。
【請求項6】
前記通知手段は、前記重複検出手段によって、前記被検知端末が用いる上位層アドレスと、前記予約された上位層アドレスとの重複が検出された場合に、前記通知対象端末に対して、前記ネットワークに接続された所定の端末の下位層アドレスを通知する、
請求項4に記載の情報処理装置。
【請求項7】
前記通知手段は、前記重複検出手段によって、前記被検知端末が用いる上位層アドレスと、前記予約された上位層アドレスとの重複が検出された場合に、前記通知対象端末に対して、前記ネットワークにおいて用いられていない下位層アドレスを通知する、
請求項4に記載の情報処理装置。
【請求項8】
前記重複検出手段によってアドレスの重複が検出された場合に、前記被検知端末に対して、前記ネットワーク上の端末の下位層アドレスとして、該情報処理装置の下位層アドレス、前記ネットワークに接続された所定の端末の下位層アドレスまたは前記ネットワークにおいて用いられていない下位層アドレスを通知することで、該被検知端末からの通信を誘導する、通信誘導手段を更に備える、
請求項1から7の何れか一項に記載の情報処理装置。
【請求項9】
コンピュータが、
ネットワークに接続された端末を検知する端末検知ステップと、
前記端末検知ステップにおいて検知された被検知端末が用いる上位層アドレスと、所定の上位層アドレスとを比較することで、上位層アドレスの重複を検出する重複検出ステップと、
前記重複検出ステップにおいて上位層アドレスの重複が検出された場合に、前記被検知端末によって該被検知端末の下位層アドレスが通知された可能性のある通知対象端末に対して、前記被検知端末以外の端末の下位層アドレスを通知する通知ステップと、
を実行するアドレス重複対処方法。
【請求項10】
コンピュータに、
ネットワークに接続された端末を検知する端末検知ステップと、
前記端末検知ステップにおいて検知された被検知端末が用いる上位層アドレスと、所定の上位層アドレスとを比較することで、上位層アドレスの重複を検出する重複検出ステップと、
前記重複検出ステップにおいて上位層アドレスの重複が検出された場合に、前記被検知端末によって該被検知端末の下位層アドレスが通知された可能性のある通知対象端末に対して、前記被検知端末以外の端末の下位層アドレスを通知する通知ステップと、
を実行させるためのアドレス重複対処用プログラム。
【請求項1】
ネットワークに接続された端末を検知する端末検知手段と、
前記端末検知手段によって検知された被検知端末が用いる上位層アドレスと、所定の上位層アドレスとを比較することで、上位層アドレスの重複を検出する重複検出手段と、
前記重複検出手段によって上位層アドレスの重複が検出された場合に、前記被検知端末によって該被検知端末の下位層アドレスが通知された可能性のある通知対象端末に対して、前記被検知端末以外の端末の下位層アドレスを通知する通知手段と、
を備える情報処理装置。
【請求項2】
前記重複検出手段は、前記被検知端末が用いる上位層アドレスと、該情報処理装置の上位層アドレスとの重複を検出し、
前記通知手段は、前記重複検出手段によって、前記被検知端末が用いる上位層アドレスと、該情報処理装置の上位層アドレスとの重複が検出された場合に、前記通知対象端末に対して、該情報処理装置の下位層アドレスを通知する、
請求項1に記載の情報処理装置。
【請求項3】
前記重複検出手段は、前記被検知端末が用いる上位層アドレスと、前記ネットワークに接続された既知端末の上位層アドレスとの重複を検出し、
前記通知手段は、前記重複検出手段によって、前記被検知端末が用いる上位層アドレスと、前記既知端末の上位層アドレスとの重複が検出された場合に、前記通知対象端末に対して、該既知端末の下位層アドレスを通知する、
請求項1に記載の情報処理装置。
【請求項4】
前記重複検出手段は、前記被検知端末が用いる上位層アドレスと、予約された上位層アドレスとの重複を検出する、
請求項1に記載の情報処理装置。
【請求項5】
前記通知手段は、前記重複検出手段によって、前記被検知端末が用いる上位層アドレスと、前記予約された上位層アドレスとの重複が検出された場合に、前記通知対象端末に対して、該情報処理装置の下位層アドレスを通知する、
請求項4に記載の情報処理装置。
【請求項6】
前記通知手段は、前記重複検出手段によって、前記被検知端末が用いる上位層アドレスと、前記予約された上位層アドレスとの重複が検出された場合に、前記通知対象端末に対して、前記ネットワークに接続された所定の端末の下位層アドレスを通知する、
請求項4に記載の情報処理装置。
【請求項7】
前記通知手段は、前記重複検出手段によって、前記被検知端末が用いる上位層アドレスと、前記予約された上位層アドレスとの重複が検出された場合に、前記通知対象端末に対して、前記ネットワークにおいて用いられていない下位層アドレスを通知する、
請求項4に記載の情報処理装置。
【請求項8】
前記重複検出手段によってアドレスの重複が検出された場合に、前記被検知端末に対して、前記ネットワーク上の端末の下位層アドレスとして、該情報処理装置の下位層アドレス、前記ネットワークに接続された所定の端末の下位層アドレスまたは前記ネットワークにおいて用いられていない下位層アドレスを通知することで、該被検知端末からの通信を誘導する、通信誘導手段を更に備える、
請求項1から7の何れか一項に記載の情報処理装置。
【請求項9】
コンピュータが、
ネットワークに接続された端末を検知する端末検知ステップと、
前記端末検知ステップにおいて検知された被検知端末が用いる上位層アドレスと、所定の上位層アドレスとを比較することで、上位層アドレスの重複を検出する重複検出ステップと、
前記重複検出ステップにおいて上位層アドレスの重複が検出された場合に、前記被検知端末によって該被検知端末の下位層アドレスが通知された可能性のある通知対象端末に対して、前記被検知端末以外の端末の下位層アドレスを通知する通知ステップと、
を実行するアドレス重複対処方法。
【請求項10】
コンピュータに、
ネットワークに接続された端末を検知する端末検知ステップと、
前記端末検知ステップにおいて検知された被検知端末が用いる上位層アドレスと、所定の上位層アドレスとを比較することで、上位層アドレスの重複を検出する重複検出ステップと、
前記重複検出ステップにおいて上位層アドレスの重複が検出された場合に、前記被検知端末によって該被検知端末の下位層アドレスが通知された可能性のある通知対象端末に対して、前記被検知端末以外の端末の下位層アドレスを通知する通知ステップと、
を実行させるためのアドレス重複対処用プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8A】
【図8B】
【図9A】
【図9B】
【図10A】
【図10B】
【図10C】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8A】
【図8B】
【図9A】
【図9B】
【図10A】
【図10B】
【図10C】
【図11】
【公開番号】特開2012−138727(P2012−138727A)
【公開日】平成24年7月19日(2012.7.19)
【国際特許分類】
【出願番号】特願2010−289164(P2010−289164)
【出願日】平成22年12月27日(2010.12.27)
【出願人】(000136136)株式会社PFU (354)
【Fターム(参考)】
【公開日】平成24年7月19日(2012.7.19)
【国際特許分類】
【出願日】平成22年12月27日(2010.12.27)
【出願人】(000136136)株式会社PFU (354)
【Fターム(参考)】
[ Back to top ]