KR101541244B1 - System and method for pharming attack prevention through dns modulation such as the pc and access point - Google Patents

System and method for pharming attack prevention through dns modulation such as the pc and access point Download PDF

Info

Publication number
KR101541244B1
KR101541244B1 KR1020140080643A KR20140080643A KR101541244B1 KR 101541244 B1 KR101541244 B1 KR 101541244B1 KR 1020140080643 A KR1020140080643 A KR 1020140080643A KR 20140080643 A KR20140080643 A KR 20140080643A KR 101541244 B1 KR101541244 B1 KR 101541244B1
Authority
KR
South Korea
Prior art keywords
dns server
dns
server address
address
client terminal
Prior art date
Application number
KR1020140080643A
Other languages
Korean (ko)
Inventor
박형배
Original Assignee
플러스기술주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 플러스기술주식회사 filed Critical 플러스기술주식회사
Priority to KR1020140080643A priority Critical patent/KR101541244B1/en
Application granted granted Critical
Publication of KR101541244B1 publication Critical patent/KR101541244B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

A method for preventing a pharming attack in accordance with an embodiment of the present invention comprises the steps of: monitoring a DNS query packet through network equipment to which a client terminal is connected; extracting a DNS server address of the DNS query packet by analyzing the DNS query packet; and determining that DNS server setting associated with the client terminal is modulated due to a pharming attack when the extracted DNS server address is not a verified DNS server address.

Description

PC 및 공유기 등의 DNS 변조를 통한 파밍 공격 방지 방법 및 시스템{SYSTEM AND METHOD FOR PHARMING ATTACK PREVENTION THROUGH DNS MODULATION SUCH AS THE PC AND ACCESS POINT}TECHNICAL FIELD [0001] The present invention relates to a method and system for preventing pharming attacks through DNS modulation of PCs and routers,

아래의 설명은 파밍 공격을 방지하기 위한 기술에 관한 것으로, 변조된DNS 서버 주소를 변경하여 파밍 공격을 방지하는 방법 및 시스템에 관한 것이다.
The following description relates to a technique for preventing a pharming attack, and relates to a method and a system for preventing a pharming attack by changing a DNS server address that is altered.

파밍 공격이란 PC에서 DNS 쿼리를 수행할 때 호스트파일을 참조하는 것을 이용하여 호스트파일을 불법 변조하여 사용자가 가고자하는 사이트 명을 정확히 입력하더라도 사용자를 속여 공격자가 지정한 IP 주소로 가도록 하여 PC 사용자가 중요정보를 입력하도록 속이는 기법이다. 다시 말하면, 파밍 공격은 합법적으로 소유하고 있던 사용자의 도메인을 탈취하거나 DNS 이름을 속여서 사람들이 진짜 사이트로 오해하도록 유도하는 인터넷 사기 기법을 의미하는 것으로, 아예 해당 사이트가 공식적으로 운영하고 있던 도메인 자체를 중간에서 탈취하고 사용자들은 늘 이용하는 사이트로 알고 의심하지 않고 개인 아이디, 비밀번호, 계좌번호 등을 노출시키게 된다. A pharming attack is a PC attacking a host file by referring to a host file when performing a DNS query, thereby illegally modifying a host file so that a user is tricked into the IP address designated by the attacker, It is a technique to cheat to input information. In other words, a pharming attack is an Internet fraud technique that seeks to steal a legitimate user's domain or trick DNS names into misleading people into a real site. In other words, the domain itself In the middle, users are exposed to personal identity, password, account number, etc. without any doubt, knowing that they are always using the site.

한국등록특허 제10-0985049호는 단말기내에 있는 hosts 파일을 변경하여 예상치 못한 웹사이트로 이동하도록 하는 파밍행위를 예방하는 시스템 및 제어방법에 관한 것으로, hosts 파일의 변경을 감지하여 변경된 경우에 올바른 변경인지 판단하여 올바르게 hosts 파일을 변경한 경우에는 변경된 내용을 복원시키지 않고 잘못된 변경인 경우에는 복원시키는 방법을 제안하고 있다. 하지만 상기 발명은 hosts 파일의 조작을 판단하기 위하여 모든 PC마다 파밍감지모듈이 설치되어 있어야 한다는 문제점이 있다.Korean Patent Registration No. 10-0985049 relates to a system and a control method for preventing a pharming action for changing a hosts file in a terminal to move to an unexpected web site, and more particularly, to a system and a control method for detecting a change in a hosts file, And if the hosts file is changed correctly, the changed contents are not restored, and in the case of a wrong change, the method is restored. However, the above invention has a problem that a pharming detection module must be installed in every PC in order to determine the operation of the hosts file.

한국공개특허 제2009-0096922호는 파밍 공격 탐지 및 대응 시스템 및 그 방법에 관한 것으로, 클라이언트측 사용자 PC로부터 수신된 HTTP 요청 안에 포함된 호스트 정보에 대응하는 IP 주소 리스트를 DNS 서버로부터 수신하고, 수신된 IP 주소 리스트에 HTTP 패킷에서 추출된 목적지 IP 주소가 포함되어 있는지를 판별하는 비교 방식으로 파밍 공격을 탐지하는 방법을 제안하고 있다. 하지만 상기 발명은 모든 HTTP 요청 패킷의 목적지 IP 주소/호스트 정보를 분석해야 한다는 문제점이 있다.Korean Patent Laid-Open No. 2009-0096922 relates to a pharming attack detection and response system and a method thereof, which receives a list of IP addresses corresponding to host information contained in an HTTP request received from a client-side user PC from a DNS server, A method of detecting a pharming attack is proposed as a comparison method for determining whether a destination IP address extracted from an HTTP packet is contained in an IP address list. However, the present invention has a problem that the destination IP address / host information of all HTTP request packets must be analyzed.

이에 따라 모든 PC에 파밍감지모듈을 설치하지 않고, 모든 http 요청 패킷의 정보를 분석하지 않으면서 효율적으로 파밍 공격을 방어하는 기술이 필요하다. 또한, 감시 서버를 이용하여 DNS 서버 주소가 변조된 것을 감지하고, DNS 서버 주소가 변조된 경우 가짜 DNS 응답 패킷을 전송하여 단말 사용자에게 경고 페이지를 표시하고 공인 DNS 서버 주소로 변경하도록 요청함으로써 파밍 공격을 방어하는 기술이 제안될 필요가 있다.
Therefore, there is a need for a technique to efficiently protect the pharming attack without analyzing the information of all the http request packets without installing the pharming detection module in every PC. In addition, if the DNS server address is tampered with using the monitoring server, it is detected that the DNS server address has been tampered with, and a fake DNS response packet is transmitted to request the terminal user to display a warning page and change to a public DNS server address, It is necessary to propose a technique for defending the system.

일 실시예에 따른 파밍 공격 방지 시스템은 DNS 쿼리 패킷으로부터 DNS 서버 주소를 추출하고, DNS 서버 주소가 검증된 DNS 서버 주소인지 판단하고, DNS 서버 주소가 검증되지 않은 DNS 서버 주소인 경우, 검증된 DNS 서버 주소로 변경함으로써 파밍 공격을 방지하는 방법을 제공할 수 있다.
The pharming attack prevention system according to an exemplary embodiment extracts a DNS server address from a DNS query packet and determines whether the DNS server address is a verified DNS server address. If the DNS server address is an unvalidated DNS server address, By changing to the server address, you can provide a way to prevent pharming attacks.

일 실시예에 따른 파밍 공격 방지 방법은, 클라이언트 단말이 연결된 네트워크 장비를 통하는 DNS 쿼리 패킷(DNS query packet)을 감시하는 단계; 상기 DNS 쿼리 패킷을 분석하여 상기 DNS 쿼리 패킷의 DNS 서버 주소를 추출하는 단계; 및 상기 추출된 DNS 서버 주소가 검증된 DNS 서버 주소가 아닌 경우 상기 클라이언트 단말과 연관된 DNS 서버 설정이 파밍 공격으로 변조된 것으로 판단하는 단계를 포함할 수 있다.A pharming attack prevention method according to an exemplary embodiment of the present invention includes: monitoring a DNS query packet through a network device to which a client terminal is connected; Analyzing the DNS query packet and extracting a DNS server address of the DNS query packet; And determining that the DNS server configuration associated with the client terminal is tampered with a pharming attack if the extracted DNS server address is not a verified DNS server address.

일 측에 따르면, 파밍 공격 방지 방법은, 적어도 하나의 검증된 DNS 서버 주소를 검증 DNS 서버 주소 DB에 유지하는 단계를 더 포함하고, 상기 클라이언트 단말과 연관된 DNS 서버 설정이 파밍 공격으로 변조된 것으로 판단하는 단계는, 상기 추출된 DNS 서버 주소를 상기 검증 DNS 서버 주소 DB에 저장된 상기 적어도 하나의 검증된 DNS 서버 주소와 비교하는 단계; 및 상기 추출된 DNS 서버 주소가 상기 검증 DNS 서버 주소 DB에 저장된 상기 적어도 하나의 검증된 DNS 서버 주소에 포함되지 않는 경우, 상기 추출된 DNS 서버 주소가 검증된 DNS 서버 주소가 아니라고 판단하는 단계를 포함할 수 있다.According to one aspect, the pharming attack prevention method further comprises maintaining at least one verified DNS server address in the verification DNS server address DB, and determining that the DNS server configuration associated with the client terminal is tampered with a pharming attack Comparing the extracted DNS server address with the at least one verified DNS server address stored in the verification DNS server address DB; And if the extracted DNS server address is not included in the at least one verified DNS server address stored in the verification DNS server address DB, determining that the extracted DNS server address is not a verified DNS server address can do.

또 다른 일측에 따르면 파밍 공격 방지 방법은, 상기 클라이언트 단말과 연관된 DNS 서버 설정이 파밍 공격으로 변조된 것으로 판단된 경우, 파밍 공격 방지용 DNS 응답 패킷을 생성하는 단계; 및 상기 파밍 공격 방지용 DNS 응답 패킷을 상기 클라이언트 단말에게 송신하는 단계를 더 포함할 수 있다. According to another aspect of the present invention, there is provided a pharming attack prevention method, comprising: generating a DNS response packet for preventing a pharming attack when it is determined that a DNS server setting associated with the client terminal is tampered with a pharming attack; And transmitting the DNS response packet for preventing pharming attack to the client terminal.

또 다른 일측에 따르면, 상기 파밍 공격 방지용 DNS 응답 패킷은, 미리 정해진 웹 서버의 IP 주소를 상기 클라이언트 단말로부터의 상기 DNS 쿼리 패킷에 포함된 DNS 쿼리 도메인 주소에 대응하는 응답 IP 주소로 포함할 수 있다.According to another aspect of the present invention, the pharming attack prevention DNS response packet may include an IP address of a predetermined web server as a response IP address corresponding to a DNS query domain address included in the DNS query packet from the client terminal .

또 다른 일측에 따르면, 파밍 공격 방지 방법은, 상기 파밍 공격 방지용 DNS 응답 패킷을 이용한 상기 클라이언트 단말로부터의 요청에 응답하여, 상기 미리 정해진 웹 서버에서 상기 클라이언트 단말과 연관된 DNS 서버 설정이 파밍 공격으로 변조된 것이라는 경고 페이지를 상기 검증 DNS 서버 주소 DB에 저장된 상기 적어도 하나의 검증된 DNS 서버 주소 중 적어도 하나와 함께 상기 클라이언트 단말로 제공하는 단계를 더 포함할 수 있다.According to another aspect of the present invention, a pharming attack prevention method includes: in response to a request from the client terminal using the DNS response packet for preventing pharming attack, the DNS server setting associated with the client terminal in the predetermined web server is modified by a pharming attack To the client terminal with at least one of the at least one verified DNS server address stored in the verification DNS server address DB.

또 다른 일측에 따르면, 파밍 공격 방지 방법은, 상기 미리 정해진 웹 서버에서, 상기 클라이언트 단말과 연관된 상기 DNS 서버 설정을 계속 사용할 지 여부에 관한 질의를 사용자에게 송신하는 단계; 상기 사용자로부터 상기 클라이언트 단말과 연관된 상기 DNS 서버 설정을 계속 사용한다는 회신을 수신한 경우, 상기 클라이언트 단말의 IP 주소 및 상기 DNS 쿼리 패킷의 DNS 서버 주소를 저장하는 단계; 및 상기 클라이언트 단말로부터의 후속 DNS 쿼리 패킷의 DNS 서버 주소가 상기 저장된 DNS 서버 주소인 경우, 상기 DNS 서버 주소가 검증된 DNS 서버 주소가 아니더라도 상기 클라이언트 단말과 연관된 DNS 서버 설정이 파밍 공격으로 변조되지 않은 것으로 판단하는 단계를 더 포함할 수 있다.According to another aspect, a pharming attack prevention method includes the steps of: transmitting, at the predetermined web server, a query to the user as to whether to continue using the DNS server setting associated with the client terminal; Storing an IP address of the client terminal and a DNS server address of the DNS query packet when receiving a reply from the user to continue using the DNS server configuration associated with the client terminal; And if the DNS server address of the subsequent DNS query packet from the client terminal is the stored DNS server address, even if the DNS server address is not the verified DNS server address, the DNS server setting associated with the client terminal is not tampered with the pharming attack As shown in FIG.

또 다른 일측에 따르면, 상기 클라이언트 단말과 연관된 DNS 서버 설정이 파밍 공격으로 변조된 것으로 판단된 경우, 상기 검증 DNS 서버 주소 DB에 저장된 상기 적어도 하나의 검증된 DNS 서버 주소를 DNS 서버 주소로 포함하고, 상기 클라이언트 단말로부터의 상기 DNS 쿼리 패킷에 포함된 DNS 쿼리 도메인 주소를 DNS 쿼리 도메인 주소로 포함하는 제2 DNS 쿼리 패킷을 생성하는 단계; 상기 제2 DNS 쿼리 패킷을 상기 검증 DNS 서버 주소 DB에 저장된 상기 적어도 하나의 검증된 DNS 서버 주소로 송신하는 단계; 상기 적어도 하나의 검증된 DNS 서버 주소로부터 상기 제2 DNS 쿼리 패킷에 대한 제2 DNS 응답 패킷을 수신하는 단계; 상기 제2 DNS 응답 패킷으로부터 상기 DNS 쿼리 도메인 주소에 대응하는 제2 응답 IP 주소를 추출하는 단계; 상기 제2 응답 IP 주소를 응답 IP 주소로 포함하는 파밍 공격 방지용 DNS 응답 패킷을 생성하는 단계; 및 상기 파밍 공격 방지용 DNS 응답 패킷을 상기 클라이언트 단말로 송신하는 단계를 더 포함할 수 있다.According to another aspect of the present invention, when it is determined that the DNS server setting associated with the client terminal is tampered with a pharming attack, the at least one verified DNS server address stored in the verification DNS server address DB is included as a DNS server address, Generating a second DNS query packet including a DNS query domain address included in the DNS query packet from the client terminal as a DNS query domain address; Sending the second DNS query packet to the at least one verified DNS server address stored in the verification DNS server address DB; Receiving a second DNS response packet for the second DNS query packet from the at least one verified DNS server address; Extracting a second response IP address corresponding to the DNS query domain address from the second DNS response packet; Generating a DNS response packet for preventing pharming attack including the second response IP address as a response IP address; And transmitting the DNS response packet for preventing pharming attack to the client terminal.

또 다른 일측에 따르면, 상기 클라이언트 단말과 연관된 DNS 서버 설정은, 상기 클라이언트 단말의 DNS 서버 설정이거나 또는 상기 클라이언트 단말이 네트워크 접속을 위해 이용하는 액세스 포인트(access point)의 DNS 서버 설정일 수 있다.According to another aspect, the DNS server setting associated with the client terminal may be a DNS server setting of the client terminal or a DNS server setting of an access point used by the client terminal for network connection.

일 실시예에 따른 클라이언트 단말에 설치된 프로그램을 이용하여 파밍 공격 방지 방법은, 클라이언트 단말에 설정된 DNS 서버 주소를 판독하는 제1 단계; 상기 판독된 DNS 서버 주소가 검증된 DNS 서버 주소가 아닌 경우 상기 클라이언트 단말에 설정된 DNS 서버 주소가 파밍 공격 용 DNS 서버 주소인 것으로 판단하는 제2 단계를 포함할 수 있다.A pharming attack prevention method using a program installed in a client terminal according to an exemplary embodiment includes: a first step of reading a DNS server address set in a client terminal; And if the read DNS server address is not a verified DNS server address, determining that the DNS server address set in the client terminal is a DNS server address for a pharming attack.

일측에 따르면, 파밍 공격 방지 방법은, 상기 클라이언트 단말의 DNS 서버 설정이 변경되는지 모니터링 하는 단계; 및 상기 클라이언트 단말의 DNS 서버 설정이 변경된 경우, 상기 제1 단계 및 상기 제2 단계를 반복하는 단계를 더 포함할 수 있다.According to one aspect, a pharming attack prevention method includes monitoring whether a DNS server setting of the client terminal is changed; And repeating the first step and the second step when the DNS server setting of the client terminal is changed.

또 다른 일측에 따르면, 상기 클라이언트 단말의 DNS 서버 설정이 변경되는지 모니터링 하는 단계는, 상기 클라이언트 단말이 이용하는 와이파이 망이 변경되는지 모니터링 하는 단계; 및 상기 클라이언트 단말이 이용하는 와이파이 망이 변경된 경우, 상기 클라이언트 단말의 DNS 서버 설정이 변경된 것으로 판단하는 단계를 포함할 수 있다.According to another aspect, the step of monitoring whether the DNS server setting of the client terminal is changed includes monitoring whether the Wi-Fi network used by the client terminal is changed; And determining that the DNS server setting of the client terminal is changed when the Wi-Fi network used by the client terminal is changed.

또 다른 일측에 따르면, 상기 제2 단계는, 상기 판독된 DNS 서버 주소를 감시 서버로 송신하는 단계; 및 상기 감시 서버로부터 상기 판독된 DNS 서버 주소가 검증된 DNS 서버 주소인지에 대한 분석 결과를 수신하는 단계를 포함할 수 있다.According to another aspect of the present invention, the second step includes: transmitting the read DNS server address to a monitoring server; And receiving an analysis result indicating whether the read DNS server address is a verified DNS server address from the monitoring server.

또 다른 일측에 따르면, 파밍 공격 방지 방법은, 상기 제2 단계에서 상기 클라이언트 단말에 설정된 DNS 서버 주소가 파밍 공격 용 DNS 서버 주소인 것으로 판단된 경우, 상기 클라이언트 단말에 설정된 DNS 서버 주소가 파밍 공격으로 변조된 것이라는 경고 페이지를 상기 클라이언트 단말에 표시하는 단계를 더 포함할 수 있다.According to another aspect of the present invention, in the second step, when it is determined that the DNS server address set in the client terminal is a DNS server address for a pharming attack, the DNS server address set in the client terminal is a pharming attack And displaying a warning page to the client terminal that the message has been tampered with.

또 다른 일측에 따르면, 파밍 공격 방지 방법은, 상기 경고 페이지에 적어도 하나의 검증된 DNS 서버 주소 중 적어도 하나를 표시하여 상기 클라이언트 단말의 사용자로부터 선택을 받는 단계; 및 상기 클라이언트 단말에서 파밍 공격으로 변조된 DNS 서버 주소를 상기 선택된 검증된 DNS 서버 주소로 변경하는 단계를 더 포함할 수 있다.
According to another aspect, a pharming attack prevention method includes: receiving at least one of a verified DNS server address on the warning page to receive a selection from a user of the client terminal; And changing the DNS server address modified by the pharming attack in the client terminal to the selected verified DNS server address.

일 실시예에 따른 파밍 공격 방지 시스템은 DNS 서버 주소가 검증되지 않은 DNS 서버 주소인 경우 파밍 공격 방지용 DNS 응답 패킷을 생성하고, 클라이언트 단말에 경고 페이지를 표시함으로써 파밍 공격을 방지할 수 있다. 또한, 사용자가 올바른 검증된 DNS 서버 주소를 통하여 웹 사이트로 접속할 수 있도록 제공할 수 있다.
The pharming attack prevention system according to an exemplary embodiment may generate a DNS response packet for preventing pharming attack when the DNS server address is an unvalidated DNS server address, and may prevent a pharming attack by displaying a warning page on the client terminal. It can also provide users with access to a website through a validated DNS server address.

도 1은 일 실시예에 따른 파밍 공격 방지 시스템의 동작을 나타낸 도면이다.
도 2는 일 실시예에 따른 파밍 공격 방지 시스템의 동작을 나타낸 도면이다.
도 3은 일 실시예에 따른 검증 DNS 서버 주소 DB를 나타낸 도면이다.
도 4는 일 실시예에 따른 파밍 공격 방지 시스템의 파밍 공격 방지 방법을 나타낸 흐름도이다.
도 5는 일 실시예에 따른 일 실시예에 따른 파밍 공격 방지 시스템의 파밍 공격 방지 방법을 나타낸 흐름도이다.
도 6은 일 실시예에 따른 파밍 공격 방지 시스템에서 앱을 이용한 파밍 공격을 방지하는 방법을 나타낸 흐름도이다.1 is a diagram illustrating an operation of a pharming attack prevention system according to an exemplary embodiment of the present invention.
2 is a diagram illustrating an operation of the pharming attack prevention system according to an exemplary embodiment of the present invention.
FIG. 3 is a diagram illustrating a verification DNS server address DB according to an embodiment.
4 is a flowchart illustrating a pharming attack prevention method of a pharming attack prevention system according to an embodiment.
5 is a flowchart illustrating a pharming attack prevention method of a pharming attack prevention system according to an embodiment of the present invention.
FIG. 6 is a flowchart illustrating a method for preventing a pharming attack using an app in a pharming attack prevention system according to an exemplary embodiment.

이하, 실시예를 첨부한 도면을 참조하여 상세히 설명한다.Hereinafter, embodiments will be described in detail with reference to the accompanying drawings.

도 1은 일 실시예에 따른 파밍 공격 방지 시스템의 동작을 나타낸 도면이다.1 is a diagram illustrating an operation of a pharming attack prevention system according to an exemplary embodiment of the present invention.

클라이언트 단말(160, 161, 162, 163)(예를 들면, PC와 같은 통신 기기)은 공유기(150)를 비롯한 기타 통신 장치에 접속하여 데이터를 송신 또는 수신할 수 있는 장치를 의미할 수 있다. 클라이언트 단말(160, 161, 162, 163)(예를 들면, PC와 같은 통신 기기)은 모뎀에 연결되어 인터넷(130)에 접속할 수 있고, 공유기(예를 들면, Wi-Fi)(150)를 통하여 모뎀에 연결되어 인터넷(130)과 같은 네트워크 환경에 접속될 수 있다. The client terminal 160, 161, 162, 163 (e.g., a communication device such as a PC) may refer to a device that can connect to and communicate with other communication devices, including the router 150, to transmit or receive data. The client terminals 160, 161, 162 and 163 (e.g., communication devices such as PCs) may be connected to a modem to access the Internet 130 and may be connected to a router (e.g., Wi-Fi) 150 And can be connected to a network environment such as the Internet 130 via a modem.

공유기(150)는 흔히 AP(Access Point)라고 불리는 무선 중계기로서 데이터의 송수신을 중계할 수 있다. 공유기(150)는 DNS 서버 주소를 할당함으로써 복수의 클라이언트 단말(160, 161, 162, 163)이 인터넷(130)에 접근이 가능하도록 중계할 수 있다. The router 150 can relay data transmission and reception as a wireless repeater, often called an access point (AP). The router 150 can relay the plurality of client terminals 160, 161, 162, and 163 to access the Internet 130 by assigning a DNS server address.

인터넷(130)에 접속된 클라이언트 단말(160, 161, 162, 163)은 웹 사이트에 접속하기 위하여 웹 서버(도시되지 않음)에 페이지 접속을 요청할 수 있다. 클라이언트 단말(160, 161, 162, 163)은 웹 사이트에 접속하기 위하여 접속하고자 하는 도메인 주소를 입력할 수 있다. 예를 들면, 클라이언트 단말(160, 161, 162, 163)이 www.aaa.com에 접속하고자 한다고 가정하자. 감시 서버(140)는 클라이언트 단말(160, 161, 162, 163)이 연결된 네트워크 장비를 통하는 DNS 쿼리 패킷을 감시할 수 있다. 감시 서버(140)는 DNS 쿼리 패킷을 미러링 또는 인터셉트하여 DNS 쿼리 패킷을 분석할 수 있다. 감시 서버(140)는 DNS 쿼리 패킷을 분석하여 DNS 쿼리 패킷의 DNS 서버 주소를 추출할 수 있다. 추출된 DNS 서버 주소가 검증된 DNS 서버 주소가 아닌 경우, 클라이언트 단말(160, 161, 162, 163)과 연관된 DNS 서버 설정이 파밍 공격으로 변조된 것으로 판단할 수 있다. 이때, 클라이언트 단말과 연관된 DNS 서버 설정은 클라이언트 단말의 DNS 서버 설정이거나 또는 클라이언트 단말이 네트워크 접속을 위해 이용하는 액세스 포인트(Access Point)의 DNS 서버 설정일 수 있다.The client terminal 160, 161, 162, 163 connected to the Internet 130 can request a page access to a web server (not shown) to access the web site. The client terminals 160, 161, 162, and 163 may input a domain address to access the web site. For example, suppose the client terminal 160, 161, 162, 163 wants to connect to www.aaa.com. The monitoring server 140 can monitor DNS query packets through the network devices to which the client terminals 160, 161, 162, and 163 are connected. The monitoring server 140 may analyze DNS query packets by mirroring or intercepting DNS query packets. The monitoring server 140 can analyze the DNS query packet and extract the DNS server address of the DNS query packet. If the extracted DNS server address is not the verified DNS server address, it can be determined that the DNS server setting associated with the client terminal 160, 161, 162, 163 is modulated by the pharming attack. At this time, the DNS server setting associated with the client terminal may be the DNS server setting of the client terminal or the DNS server setting of the access point used by the client terminal for network connection.

감시 서버(140)는 추출된 DNS 서버 주소를 검증 DNS 서버 주소 DB에 저장된 적어도 하나의 검증된 DNS 서버 주소와 비교할 수 있다. 검증된 DNS 서버 주소는 검증 DNS 서버 DB에 저장되어 있기 때문에 DNS서버 설정이 파밍 공격으로 변조된 것인지 여부를 판단할 수 있다. The monitoring server 140 may compare the extracted DNS server address with at least one verified DNS server address stored in the verification DNS server address DB. Since the verified DNS server address is stored in the verification DNS server DB, it can be determined whether or not the DNS server setting is tampered with the pharming attack.

추출된 DNS 서버 주소가 검증 DNS 서버 주소 DB에 저장된 적어도 하나의 검증된 DNS 서버 주소에 포함되는 경우, DNS 응답 패킷을 생성하여 클라이언트 단말(160, 161, 162, 163)에 송신할 수 있다. 예를 들면, DNS 응답 패킷은 검증된 DNS 서버 주소(예를 들면, 111.111.111.111), www.abc.com에 대한 IP주소(예를 들면, 111.111.100.100)를 클라이언트 단말에 송신할 수 있고, 클라이언트 단말은 www.abc.com에 접속할 수 있게 된다.If the extracted DNS server address is included in at least one of the verified DNS server addresses stored in the verification DNS server address DB, a DNS response packet can be generated and transmitted to the client terminals 160, 161, 162, and 163. For example, the DNS response packet may send a verified DNS server address (e.g., 111.111.111.111), an IP address (e.g., 111.111.100.100) to www.abc.com to the client terminal, The client terminal will be able to connect to www.abc.com.

추출된 DNS 서버 주소가 검증 DNS 서버 주소 DB에 저장된 적어도 하나의 검증된 DNS 서버 주소에 포함되지 않는 경우, 추출된 DNS 서버 주소가 검증된 DNS 서버 주소가 아니라고 판단할 수 있다. 클라이언트 단말과 연관된 DNS 서버 설정이 파밍 공격으로 변조된 것으로 판단된 경우, 파밍 공격 방지용 DNS 응답 패킷을 생성할 수 있다. 이때, 파밍 공격 방지용 DNS 응답 패킷은 미리 정해진 웹 서버의 IP 주소를 클라이언트 단말(160, 161, 162, 163)로부터 DNS 쿼리 패킷에 포함된 DNS 쿼리 도메인 주소에 대응하는 응답 IP 주소를 포함할 수 있다. 파밍 공격 방지용 DNS 응답 패킷을 클라이언트 단말(160, 161, 162, 163)에게 송신할 수 있다. 예를 들면, 감시 서버(140) 또는 미리 정해진 웹 서버의 IP 주소로 응답 패킷을 생성할 수 있다.If the extracted DNS server address is not included in at least one verified DNS server address stored in the verification DNS server address DB, it may determine that the extracted DNS server address is not a verified DNS server address. If it is determined that the DNS server setting associated with the client terminal is tampered with the pharming attack, a DNS response packet for preventing pharming attack can be generated. At this time, the pharming attack prevention DNS response packet may include a response IP address corresponding to the DNS query domain address included in the DNS query packet from the client terminal 160, 161, 162, 163, the IP address of the predetermined web server . It is possible to transmit a DNS response packet for preventing pharming attack to the client terminals 160, 161, 162, and 163. For example, the response packet may be generated by the monitoring server 140 or an IP address of a predetermined web server.

파밍 공격 방지용 DNS 응답 패킷을 이용한 클라이언트 단말(160, 161, 162, 163)로부터의 요청에 응답하여 미리 정해진 웹 서버에서 클라이언트 단말(160, 161, 162, 163)과 연관된 DNS 서버 설정이 파밍 공격으로 변조된 것이라는 경고 페이지(141)를 검증 DNS 서버 주소 DB에 저장된 적어도 하나의 검증된 DNS 서버 주소 중 적어도 하나와 함께 클라이언트 단말(160, 161, 162, 163)로 제공할 수 있다. 예를 들면, 경고 페이지(141)는 "귀하는 네트워크 관리자가 지정한 검증 DNS 서버가 아닌 비검증 DNS 서버 주소를 사용하고 있습니다. 해커에 의한 파밍 공격이 의심되니 단말이나 사용하시는 공유기의 DNS 서버 주소를 검증 DNS 서버 주소로 변경해 주십시오. 만약에 비검증 DNS 서버 주소를 계속 사용하시려면 아래에 [계속 사용]이라는 버튼을 눌러주세요."와 같은 경고 메시지가 출력될 수 있고, 검증된 DNS 서버 주소인 168.168.168.168, 111.111.111.111과 같은 검증 DNS 서버 주소 DB에 저장된 적어도 하나의 검증된 DNS 서버 주소를 표시할 수 있다. In response to a request from the client terminal 160, 161, 162, 163 using the DNS response packet for pharming attack prevention, the DNS server setting associated with the client terminal 160, 161, 162, 163 in the predetermined web server 162, 163 along with at least one of the verified DNS server addresses stored in the verification DNS server address DB. For example, the warning page 141 states that "You are using an unverified DNS server address that is not a validation DNS server specified by your network administrator. Because you suspect a pharming attack by a hacker, If you want to continue to use the unqualified DNS server address, please press the button "continue to use" below, and you will get a warning message such as 168.168, which is the verified DNS server address. 168.168, and 111.111.111.111, as well as at least one validated DNS server address stored in the validated DNS server address database.

경고 페이지(141)에 검증된 DNS서버 주소를 통하여 사용자가 원하는 사이트에 접속할 수 있다. 또한, 파밍 공격이 의심되는 비검증 DNS 서버 주소라 하더라도 검증 DNS 서버 주소 DB에 저장되어 있지 않기 때문에 비검증 DNS 서버 주소로 판별될 수 있으므로, 파밍 공격이 의심되지 않는 비검증 DNS 서버 주소라면 상기 비검증 DNS 서버 주소를 이용하여 웹 사이트에 접속할 수 있다. 예를 들면, 사용자로부터 비검증 DNS 서버 주소를 이용한다는 회신을 수신한 경우, 감시 서버(140)에 클라이언트 단말의 IP 주소 및 DNS 쿼리 패킷의 DNS 서버 주소를 저장할 수 있다. 클라이언트 단말로부터 후속 DNS 쿼리 패킷의 DNS 서버 주소가 저장된 DNS 서버 주소인 경우, DNS 서버 주소가 검증된 DNS 서버 주소가 아니더라도 클라이언트 단말과 연관된 DNS 서버 설정이 파밍 공격으로 변조되지 않은 것으로 판단할 수 있다. The user can access the desired site through the verified DNS server address in the warning page 141. [ In addition, even if the address of a non-validated DNS server is suspected to be a pharming attack, it can be determined as a non-validated DNS server address because it is not stored in the validated DNS server address DB. Verification You can access the website using the DNS server address. For example, when receiving a reply from the user using the unverified DNS server address, the monitoring server 140 may store the IP address of the client terminal and the DNS server address of the DNS query packet. If the DNS server address of the subsequent DNS query packet is stored from the client terminal, it can be determined that the DNS server configuration associated with the client terminal is not tampered with by the pharming attack even if the DNS server address is not the verified DNS server address.

파밍 공격 방지 시스템은 파밍 공격 방지용 DNS 응답 패킷을 이용하여 검증된 DNS 서버 주소(예를 들면, 111.111.111.111), www.abc.com에 대한 IP주소(예를 들면, 111.111.100.100)를 클라이언트 단말(160, 161, 162, 163)에 송신할 수 있고, 클라이언트 단말(160, 161, 162, 163)은 www.abc.com에 접속할 수 있다.The pharming attack prevention system transmits a DNS server address (for example, 111.111.111.111) verified using the DNS response packet for preventing pharming attack, an IP address (for example, 111.111.100.100) for www.abc.com to the client terminal 161, 162, 163 and the client terminal 160, 161, 162, 163 can access www.abc.com.

도 2는 일 실시예에 따른 파밍 공격 방지 시스템의 동작을 나타낸 도면이다.2 is a diagram illustrating an operation of the pharming attack prevention system according to an exemplary embodiment of the present invention.

파밍 공격 방지 시스템은 클라이언트 단말(260, 261, 262, 263)에 파밍 공격으로 인하여 DNS 서버 주소가 변조된 것을 감지하였을 경우, 경고 페이지로 연결시키지 않고 검증 DNS 서버(220)로 DNS 쿼리 패킷을 전달함으로써 변조된 DNS 서버 주소를 검증된 DNS 서버 주소로 변경하고, 파밍 공격 방지용 DNS 응답 패킷을 클라이언트 단말(260, 261, 262, 263)로 송신할 수 있다.When the pharming attack prevention system detects that the DNS server address is modulated due to the pharming attack on the client terminals 260, 261, 262, and 263, the pharming attack prevention system transmits a DNS query packet to the verification DNS server 220 without linking to the warning page 261, 262, 263 to the DNS server address for tampering, and to transmit the DNS response packet for preventing pharming attack to the client terminals 260, 261, 262, 263.

클라이언트 단말(260, 261, 262, 263)(예를 들면, PC와 같은 통신 기기)은 공유기(250)를 비롯한 기타 통신 장치에 접속하여 데이터를 송신 또는 수신할 수 있는 장치를 의미할 수 있다. 클라이언트 단말(260, 261, 262, 263)(예를 들면, PC와 같은 통신 기기)은 모뎀에 연결되어 인터넷(230)에 접속할 수 있고, 공유기(예를 들면, Wi-Fi)(250)를 통하여 모뎀에 연결되어 인터넷(230)과 같은 네트워크 환경에 접속될 수 있다. The client terminal 260, 261, 262, 263 (e.g., a communication device such as a PC) may refer to a device capable of connecting to and receiving data from another communication device, including the router 250. [ The client terminals 260, 261, 262 and 263 (e.g., communication devices such as PCs) may be connected to a modem and connected to the Internet 230 and may be connected to a router (e. G., Wi-Fi) And can be connected to a network environment such as the Internet.

공유기(250)는 흔히 AP(Access Point)라고 불리는 무선 중계기로서 데이터의 송수신을 중계할 수 있다. 공유기(250)는 DNS 서버 주소를 할당함으로써 복수의 클라이언트 단말(260, 261, 262, 263)이 인터넷(230)에 접근이 가능하도록 중계할 수 있다. The router 250 can relay data transmission and reception as a wireless repeater, often called an access point (AP). The router 250 can relay the plurality of client terminals 260, 261, 262, and 263 to access the Internet 230 by assigning a DNS server address.

인터넷(230)에 접속된 클라이언트 단말(260, 261, 262, 263)은 웹 사이트에 접속하기 위하여 웹 서버(도시되지 않음)에 페이지 접속을 요청할 수 있다. 클라이언트 단말(260, 261, 262, 263)은 웹 사이트에 접속하기 위하여 접속하고자 하는 도메인 주소를 입력할 수 있다.The client terminals 260, 261, 262, and 263 connected to the Internet 230 can request a page connection to a web server (not shown) to access the web site. The client terminals 260, 261, 262, and 263 may input a domain address to access the web site.

감시 서버(240)는 클라이언트 단말과 연관된 DNS 서버 설정이 파밍 공격으로 변조된 것으로 판단된 경우, 검증 DNS 서버 주소 DB에 저장된 적어도 하나의 검증된 DNS 서버 주소를 DNS 서버 주소로 포함하고, 클라이언트 단말로부터의 DNS 쿼리 패킷에 포함된 DNS 쿼리 도메인 주소를 DNS 쿼리 도메인 주소로 포함하는 제2 DNS 쿼리 패킷을 생성할 수 있다.If it is determined that the DNS server setting associated with the client terminal is tampered with the pharming attack, the monitoring server 240 includes at least one verified DNS server address stored in the verification DNS server address DB as a DNS server address, The second DNS query packet including the DNS query domain address included in the DNS query packet of the second DNS query domain can be generated.

감시 서버(240)는 제2 DNS 쿼리 패킷을 검증 DNS 서버 주소 DB에 저장된 적어도 하나의 검증된 DNS 서버 주소로 송신할 수 있다. 감시 서버(240)는 적어도 하나의 검증된 DNS 서버 주소로부터 제2 DNS 쿼리 패킷에 대한 제2 DNS 응답 패킷을 수신할 수 있다. 감시 서버(240)는 제2 DNS 응답 패킷으로부터 DNS 쿼리 도메인 주소에 대응하는 제2 응답 IP 주소를 추출할 수 있다. 제2 응답 IP 주소를 응답 IP 주소로 포함하는 파밍 공격용 DNS 응답 패킷을 생성할 수 있다. 파밍 공격 방지 시스템은 파밍 공격 방지용 DNS 응답 패킷을 클라이언트 단말(260, 261, 262, 263)로 송신할 수 있다. The monitoring server 240 may send the second DNS query packet to at least one verified DNS server address stored in the verification DNS server address DB. The monitoring server 240 may receive a second DNS response packet for the second DNS query packet from the at least one verified DNS server address. The monitoring server 240 may extract a second response IP address corresponding to the DNS query domain address from the second DNS response packet. And generate a DNS response packet for a pharming attack including the second response IP address as the response IP address. The pharming attack prevention system may transmit a DNS response packet for preventing pharming attack to the client terminals 260, 261, 262, and 263. [

일 실시예에 따른 파밍 공격 방지 시스템은 DNS 서버 주소가 검증된 DNS 서버 주소가 아닌 경우, 클라이언트 단말에 경고 페이지로 연결시키지 않고 파밍 공격 방지용 DNS 응답 패킷을 송신함으로써 파밍 공격에 자동으로 대응할 수 있다. 이때, 사용자는 사용자가 접근한 웹 사이트가 파밍 공격을 받았는지 여부를 알 수 없도록 할 수 있다. The pharming attack prevention system according to an embodiment can automatically respond to a pharming attack by transmitting a DNS response packet for preventing pharming attack without connecting to a warning page to a client terminal when the DNS server address is not a verified DNS server address. At this time, the user can not know whether or not the web site accessed by the user has been subjected to the pharming attack.

도 3은 일 실시예에 따른 검증 DNS 서버 주소 DB를 나타낸 도면이다.FIG. 3 is a diagram illustrating a verification DNS server address DB according to an embodiment.

검증 DNS 서버 주소는 DB(300)는 검증된 DNS 서버 주소를 포함할 수 있다. 예를 들면, 검증 DNS 서버 주소 DB(300)에 저장되어 있는 검증된 DNS 서버 주소는 168.168.168.168, 111.111.111.111, 8.8.8.1, 210.220.163.21일 수 있다. 이때, 검증 DNS 서버 주소 DB(300)는 리스트 형태로 감시 서버에 저장될 수 있으며, 검증된 DNS 서버 주소는 일정 주기로 업데이트될 수 있다. 예를 들면, 검증 DNS 서버 주소 DB(300)는 5분마다 검증된 DNS 서버 주소가 업데이트될 수 있다. The verification DNS server address may include the verified DNS server address. For example, the verified DNS server addresses stored in the verification DNS server address DB 300 may be 168.168.168.168, 111.111.111.111, 8.8.8.1, 210.220.163.21. At this time, the verification DNS server address DB 300 can be stored in the monitoring server in the form of a list, and the verified DNS server address can be updated at regular intervals. For example, the verified DNS server address DB 300 may be updated every five minutes with the verified DNS server address.

검증 DNS 서버 주소 DB(300)에 저장되어 있지 않은 검증된 DNS 서버 주소더라도 사용자에 의하여 검증된 DNS 서버 주소 DB(300)에 입력되어 저장될 수 있다. 또한, 외부 감시 서버로부터 검증 DNS 서버 주소 리스트를 전달받을 수 있으며, 주기적으로 외부 감시 서버로부터 검증된 DNS 서버 주소를 수신하여 업데이트될 수 있다.The verified DNS server address that is not stored in the verification DNS server address DB 300 can be input and stored in the DNS server address DB 300 verified by the user. Also, the verification DNS server address list can be received from the external monitoring server, and can be updated by periodically receiving the DNS server address verified from the external monitoring server.

도 4는 일 실시예에 따른 파밍 공격 방지 시스템의 파밍 공격 방지 방법을 나타낸 흐름도이다.4 is a flowchart illustrating a pharming attack prevention method of a pharming attack prevention system according to an embodiment.

파밍 공격 방지 시스템은 클라이언트 단말이 연결된 네트워크 장비를 통하는 DNS 쿼리 패킷(DNS query packet)을 감시할 수 있다(410). 파밍 공격 방지 시스템은 DNS 쿼리 패킷을 분석하여 DNS 쿼리 패킷의 DNS 서버 주소를 추출할 수 있다(420). 예를 들면, 파밍 공격 방지 시스템은 클라이언트 단말로부터 네트워크 장비를 통하는 DNS 쿼리 패킷을 미러링 또는 인터셉트하여 DNS 쿼리 패킷을 분석할 수 있다. The pharming attack prevention system may monitor a DNS query packet through a network device to which the client terminal is connected (410). The pharming attack prevention system may analyze the DNS query packet to extract the DNS server address of the DNS query packet (420). For example, the pharming attack prevention system can analyze a DNS query packet by mirroring or intercepting a DNS query packet through a network device from a client terminal.

DNS 쿼리 패킷으로부터 추출된 DNS 서버 주소가 검증된 DNS 서버 주소인지 검증되지 않은 DNS 서버 주소인지 판단할 수 있다(430). 예를 들면, 추출된 DNS 서버 주소를 검증 DNS 서버 주소 DB에 저장된 적어도 하나의 검증된 DNS 서버 주소와 비교할 수 있다. 추출된 DNS 서버 주소가 검증 DNS 서버 주소 DB에 저장된 적어도 하나의 검증된 DNS 서버 주소에 포함되는 경우, 추출된 DNS 서버 주소가 검증된 DNS 서버 주소라고 판단할 수 있고, 추출된 DNS 서버 주소가 검증 DNS 서버 주소 DB에 저장된 적어도 하나의 검증된 DNS 서버 주소에 포함되지 않는 경우, 추출된 DNS 서버 주소가 검증된 DNS 서버 주소가 아니라고 판단할 수 있다. (430) whether the DNS server address extracted from the DNS query packet is the verified DNS server address or the verified DNS server address. For example, the extracted DNS server address can be compared to at least one verified DNS server address stored in the verification DNS server address DB. If the extracted DNS server address is included in at least one verified DNS server address stored in the verification DNS server address DB, it can be judged that the extracted DNS server address is a verified DNS server address, and if the extracted DNS server address is verified If the extracted DNS server address is not included in at least one verified DNS server address stored in the DNS server address DB, it can be determined that the extracted DNS server address is not the verified DNS server address.

DNS 서버 주소가 검증된 DNS 서버 주소인 경우, DNS 응답 패킷을 생성하고, 생성된 DNS 응답 패킷을 클라이언트 단말에게 송신할 수 있다(440). 클라이언트 단말은 생성된 DNS 응답 패킷을 통하여 DNS 쿼리 도메인 주소에 대응하는 IP 주소로 접속할 수 있다. 클라이언트 단말은 접속하고자 하는 웹 사이트에 접속할 수 있다(441). If the DNS server address is a verified DNS server address, a DNS response packet may be generated and the generated DNS response packet may be transmitted to the client terminal (440). The client terminal can access the IP address corresponding to the DNS query domain address through the generated DNS response packet. The client terminal can access the web site to which it wants to connect (441).

DNS 서버 주소가 검증된 DNS 서버 주소가 아닌 경우, 클라이언트 단말과 연관된 DNS 서버 설정이 파밍 공격으로 변조된 것으로 판단할 수 있다. 그러면, 파밍 공격 방지 시스템은 파밍 공격 방지용 DNS 응답 패킷을 생성하고, 파밍 공격 방지용 DNS 응답 패킷을 클라이언트 단말에게 송신할 수 있다(450). 이때, 파밍 공격 방지용 DNS 응답 패킷은 미리 정해진 웹 서버의 IP 주소를 클라이언트 단말로부터 DNS 쿼리 패킷에 포함된 DNS 쿼리 도메인 주소에 대응하는 응답 IP주소를 포함할 수 있다. If the DNS server address is not the verified DNS server address, it can be determined that the DNS server setting associated with the client terminal is tampered with the pharming attack. Then, the pharming attack prevention system generates a DNS response packet for preventing pharming attack and transmits a DNS response packet for preventing pharming attack to the client terminal (450). At this time, the pharming attack prevention DNS response packet may include a predetermined IP address of the web server, and a response IP address corresponding to the DNS query domain address included in the DNS query packet from the client terminal.

파밍 공격 방지용 DNS 응답 패킷을 이용한 클라이언트 단말로부터의 요청에 응답하여 클라이언트 단말과 연관된 DNS 서버 설정이 파밍 공격으로 변조된 것이라는 경고 페이지와 함께 DNS 서버 설정을 계속 사용할 지 여부에 관한 질의를 사용자에게 송신할 수 있다(451). 이때, 경고 페이지와 함께 검증 DNS 서버 주소 DB에 저장된 적어도 하나의 검증된 DNS 서버 주소 중 적어도 하나를 클라이언트 단말로 제공할 수 있다. In response to a request from the client terminal using the DNS response packet for preventing pharming attack, a query is sent to the user as to whether or not to continue using the DNS server setting together with the warning page that the DNS server setting associated with the client terminal is tampered with the pharming attack (451). At this time, at least one of the verified DNS server addresses stored in the verification DNS server address DB together with the warning page can be provided to the client terminal.

사용자로부터 클라이언트 단말과 연관된 DNS 서버 설정을 계속 사용한다는 회신을 수신한 경우, 클라이언트 단말의 IP 주소 및 DNS 쿼리 패킷의 DNS 서버 주소를 저장할 수 있다. 클라이언트 단말로부터의 후속 DNS 쿼리 패킷의 DNS 서버 주소가 저장된 DNS 서버 주소인 경우, DNS 서버 주소가 검증된 DNS 서버 주소가 아니더라도 클라이언트 단말과 연관된 DNS 서버 설정이 파밍 공격으로 변조되지 않은 것으로 판단할 수 있다. The IP address of the client terminal and the DNS server address of the DNS query packet can be stored when receiving a reply from the user to continue to use the DNS server configuration associated with the client terminal. If the DNS server address of the subsequent DNS query packet from the client terminal is stored in the DNS server address, it can be determined that the DNS server configuration associated with the client terminal is not tampered with by the pharming attack even if the DNS server address is not the verified DNS server address .

파밍 공격으로 변조된 DNS 서버 주소를 변경하고자 한다면, 웹 페이지에 표시된 검증된 DNS 서버 주소 중 적어도 하나를 선택하여 검증된 DNS 서버 주소를 통하여 DNS 서버 설정을 변경할 수 있다. 클라이언트 단말은 검증된 DNS 서버를 통하여 DNS 쿼리 도메인 주소에 대응하는 IP 주소로 접속함으로써 원하는 웹 사이트에 접속할 수 있다(452).If you want to change the DNS server address that has been tampered with by a pharming attack, you can change the DNS server settings through the verified DNS server address by selecting at least one of the validated DNS server addresses displayed on the web page. The client terminal may access the desired web site by accessing the IP address corresponding to the DNS query domain address through the verified DNS server (452).

도 5는 일 실시예에 따른 파밍 공격 방지 시스템의 파밍 공격 방지 방법을 나타낸 흐름도이다.5 is a flowchart illustrating a pharming attack prevention method of a pharming attack prevention system according to an embodiment.

도 5에서 파밍 공격 방지 시스템은 클라이언트 단말에 파밍 공격으로 인하여 DNS 서버 주소가 변조된 것을 감지하였을 경우, 경고 페이지로 연결시키지 않고 검증된 DNS 서버로 DNS 쿼리 패킷을 전달하는 예를 설명하기 위한 도면이다.5, when the pharming attack prevention system detects that the DNS server address is modulated due to a pharming attack on the client terminal, the DNS query packet is forwarded to the verified DNS server without linking to the warning page .

단계(510)에서 파밍 공격 방지 시스템은 클라이언트 단말과 연관된 DNS 서버 설정이 파밍 공격으로 변조된 것으로 판단된 경우, 검증 DNS 서버 주소 DB에 저장된 적어도 하나의 검증된 DNS 서버 주소를 DNS 서버 주소로 포함하고, 클라이언트 단말로부터의 DNS 쿼리 패킷에 포함된 DNS 쿼리 도메인 주소를 DNS 쿼리 도메인 주소로 포함하는 제2 DNS 쿼리 패킷을 생성할 수 있다.In step 510, if the pharming attack prevention system determines that the DNS server setting associated with the client terminal has been tampered with the pharming attack, the at least one verified DNS server address stored in the verification DNS server address DB is included as the DNS server address , And generate a second DNS query packet including the DNS query domain address included in the DNS query packet from the client terminal as the DNS query domain address.

단계(520)에서 파밍 공격 방지 시스템은 제2 DNS 쿼리 패킷을 검증 DNS 서버 주소 DB에 저장된 적어도 하나의 검증된 DNS 서버 주소로 송신할 수 있다. In step 520, the pharming attack prevention system may send the second DNS query packet to at least one verified DNS server address stored in the verification DNS server address DB.

단계(530)에서 파밍 공격 방지 시스템은 적어도 하나의 검증된 DNS 서버 주소로부터 제2 DNS 쿼리 패킷에 대한 제2 DNS 응답 패킷을 수신할 수 있다.In step 530, the pharming attack prevention system may receive a second DNS response packet for the second DNS query packet from the at least one validated DNS server address.

단계(540)에서 파밍 공격 방지 시스템은 제2 DNS 응답 패킷으로부터 DNS 쿼리 도메인 주소에 대응하는 제2 응답 IP 주소를 추출할 수 있다.In step 540, the pharming attack prevention system may extract a second response IP address corresponding to the DNS query domain address from the second DNS response packet.

단계(550)에서 파밍 공격 방지 시스템은 제2 응답 IP 주소를 응답 IP 주소로 포함하는 파밍 공격용 DNS 응답 패킷을 생성할 수 있다.In step 550, the pharming attack prevention system may generate a DNS response packet for the pharming attack including the second response IP address as the response IP address.

단계(560)에서 파밍 공격 방지 시스템은 파밍 공격 방지용 DNS 응답 패킷을 클라이언트 단말로 송신할 수 있다.In step 560, the pharming attack prevention system may transmit a DNS response packet for preventing pharming attack to the client terminal.

도 6은 일 실시예에 따른 파밍 공격 방지 시스템에서 앱을 이용한 파밍 공격을 방지하는 방법을 나타낸 흐름도이다.FIG. 6 is a flowchart illustrating a method for preventing a pharming attack using an app in a pharming attack prevention system according to an exemplary embodiment.

도 6은 클라이언트 단말에 본 발명의 파밍 공격 방지 시스템이 적용된 앱을 설치하고, 설치된 앱을 통하여 파밍 공격을 방지하는 방법을 설명하기 위한 도면이다.FIG. 6 is a diagram for explaining a method of installing an application to which a pharming attack prevention system of the present invention is applied to a client terminal and preventing a pharming attack through an installed application.

단계(610)에서 파밍 공격 방지 시스템은 클라이언트 단말의 DNS 서버 설정이 변경되는지 모니터링할 수 있다. 파밍 공격 방지 시스템의 모니터링을 통하여 클라이언트 단말의 DNS 서버 설정이 변경된 것을 감지한 경우, 단계(610)에서 단계(630)까지의 단계를 반복할 수 있다. 예를 들면, 클라이언트 단말이 이용하는 와이파이 망이 변경되는지 모니터링할 수 있고, 클라이언트 단말이 이용하는 와이파이 망이 변경된 경우, 클라이언트 단말의 DNS 서버 설정이 변경된 것으로 판단할 수 있다. 또한, 파밍 공격 방지 시스템이 DNS 서버 주소를 저장해두고, 일정한 시간을 간격(예를 들면, 5분마다)으로 주기적으로 클라이언트 단말의 DNS 서버 주소를 다시 읽음으로써 저장된 DNS 서버 주소와 비교하여 변경되었는지 판단할 수 있다.In step 610, the pharming attack prevention system may monitor whether the DNS server setting of the client terminal is changed. If it is detected through the monitoring of the pharming attack prevention system that the DNS server setting of the client terminal has been changed, steps 610 to 630 may be repeated. For example, it is possible to monitor whether the Wi-Fi network used by the client terminal is changed or not. If the Wi-Fi network used by the client terminal is changed, it can be determined that the DNS server setting of the client terminal is changed. In addition, the pharming attack prevention system stores the DNS server address and periodically reads the DNS server address of the client terminal at regular intervals (for example, every 5 minutes) to compare with the stored DNS server address can do.

단계(620)에서 파밍 공격 방지 시스템은 클라이언트 단말에 설정된 DNS 서버 주소를 판독할 수 있다. 파밍 공격 방지 시스템은 클라이언트 단말에 설정된 DNS 서버 주소가 검증된 DNS 서버 주소인지 검증되지 않은 DNS 서버 주소인지 판독할 수 있다. In step 620, the pharming attack prevention system may read the DNS server address set in the client terminal. The pharming attack prevention system can read whether the DNS server address set in the client terminal is the verified DNS server address or the verified DNS server address.

단계(630)에서 파밍 공격 방지 시스템은 판독된 DNS 서버 주소가 검증된 DNS 서버 주소가 아닌 경우, 클라이언트 단말에 설정된 DNS 서버 주소가 파밍 공격용 DNS 서버 주소인 것으로 판단할 수 있다. 판독된 DNS 서버 주소를 감시 서버로 송신할 수 있고, 감시 서버로부터 판독된 DNS 서버 주소가 검증된 DNS 서버 주소인지에 대한 분석 결과를 수신할 수 있다. 또한, 앱 프로그램이 검증된 DNS 서버 주소들의 리스트를 클라이언트 단말에 저장하고, 검증된 DNS 서버 주소들의 리스트를 이용하여 비교함으로써 검증된 DNS 서버 주소인지 판단할 수 있다. 이때, 주기적으로 앱 프로그램은 감시 서버로부터 검증된 DNS 서버 주소를 수신하여 업데이트할 수 있다.In step 630, the pharming attack prevention system may determine that the DNS server address set in the client terminal is the DNS server address for the pharming attack if the read DNS server address is not the verified DNS server address. It is possible to transmit the read DNS server address to the monitoring server and receive the analysis result of whether the DNS server address read from the monitoring server is the verified DNS server address. In addition, the application program can store the list of verified DNS server addresses in the client terminal and determine whether the address is a verified DNS server address by comparing the verified DNS server addresses with a list of verified DNS server addresses. At this time, the app program can periodically receive and update the DNS server address verified by the monitoring server.

단계(640)에서 파밍 공격 방지 시스템은 클라이언트 단말에 설정된 DNS 서버 주소가 파밍 공격용 DNS 서버 주소인 것으로 판단된 경우, 클라이언트 단말에 설정된 DNS 서버 주소가 파밍 공격으로 변조된 것이라는 경고 페이지를 클라이언트 단말에 표시할 수 있다. 이때, 경고 페이지에 적어도 하나의 검증된 DNS 서버 주소 중 적어도 하나를 표시하여 클라이언트 단말의 사용자로부터 선택을 받을 수 있고, 클라이언트 단말에서 파밍 공격으로 변조된 DNS 서버 주소를 선택된 검증된 DNS 서버 주소로 변경할 수 있다. 예를 들면, 변조된 DNS 서버 주소가 100.100.100.100이고, 검증 DNS 서버 주소 DB에 저장된 검증된 DNS 서버 주소가 168.168.168.168, 111.111.111.111, 8.8.8.1, 210.220.163.21이라면, 검증된 DNS 서버 주소 중 적어도 하나의 검증된 DNS 서버 주소를 경고 페이지에 표시할 수 있다. 이때, 클라이언트 단말의 사용자는 경고 페이지에 표시된 검증된 DNS 서버 주소 중 168.168.168.168을 선택함으로써 검증된 DNS 서버 주소로 변경할 수 있다. If it is determined in step 640 that the DNS server address set in the client terminal is the DNS server address for pharming attack, the pharming attack prevention system displays a warning page indicating that the DNS server address set in the client terminal is tampered with the pharming attack to the client terminal can do. At this time, at least one of the verified DNS server addresses may be displayed on the warning page to select from the user of the client terminal, and the DNS server address modified by the pharming attack at the client terminal may be changed to the selected verified DNS server address . For example, if the moderated DNS server address is 100.100.100.100 and the verified DNS server addresses stored in the verified DNS server address database are 168.168.168.168, 111.111.111.111, 8.8.8.1, and 210.220.163.21, then the verified DNS server address At least one validated DNS server address can be displayed in the warning page. At this time, the user of the client terminal can change the verified DNS server address by selecting 168.168.168.168 among the verified DNS server addresses displayed on the warning page.

단계(650)에서 파밍 공격 방지 시스템은 경고 페이지에 적어도 하나의 검증된 DNS 서버 주소 중 적어도 하나를 표시하여 클라이언트 단말의 사용자로부터 선택을 받을 수 있고, 클라이언트 단말에서 파밍 공격으로 변조된 DNS 서버 주소를 선택된 검증된 DNS 서버 주소로 변경할 수 있다. In step 650, the pharming attack prevention system displays at least one of the at least one validated DNS server address on the warning page to receive a selection from the user of the client terminal, and the DNS server address modified by the pharming attack You can change this to a validated DNS server address.

일 실시예에 따른 파밍 공격 방지 시스템은 변조된 DNS 서버 주소를 검증된 DNS 서버 주소로 변경함으로써 변경된 DNS 서버 주소를 통하여 파밍 공격을 방지할 수 있고, 원하는 웹 사이트에 안전하게 접속할 수 있다. The pharming attack prevention system according to an embodiment can prevent a pharming attack through the changed DNS server address by changing the address of the DNS server that has been modified to the verified DNS server address and securely connect to a desired web site.

이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPA(field programmable array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.The apparatus described above may be implemented as a hardware component, a software component, and / or a combination of hardware components and software components. For example, the apparatus and components described in the embodiments may be implemented within a computer system, such as, for example, a processor, a controller, an arithmetic logic unit (ALU), a digital signal processor, a microcomputer, a field programmable array (FPA) A programmable logic unit (PLU), a microprocessor, or any other device capable of executing and responding to instructions. The processing device may execute an operating system (OS) and one or more software applications running on the operating system. The processing device may also access, store, manipulate, process, and generate data in response to execution of the software. For ease of understanding, the processing apparatus may be described as being used singly, but those skilled in the art will recognize that the processing apparatus may have a plurality of processing elements and / As shown in FIG. For example, the processing unit may comprise a plurality of processors or one processor and one controller. Other processing configurations are also possible, such as a parallel processor.

소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.The software may include a computer program, code, instructions, or a combination of one or more of the foregoing, and may be configured to configure the processing device to operate as desired or to process it collectively or collectively Device can be commanded. The software and / or data may be in the form of any type of machine, component, physical device, virtual equipment, computer storage media, or device , Or may be permanently or temporarily embodied in a transmitted signal wave. The software may be distributed over a networked computer system and stored or executed in a distributed manner. The software and data may be stored on one or more computer readable recording media.

실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The method according to an embodiment may be implemented in the form of a program command that can be executed through various computer means and recorded in a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions to be recorded on the medium may be those specially designed and configured for the embodiments or may be available to those skilled in the art of computer software. Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tape; optical media such as CD-ROMs and DVDs; magnetic media such as floppy disks; Magneto-optical media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the embodiments, and vice versa.

이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments. For example, it is to be understood that the techniques described may be performed in a different order than the described methods, and / or that components of the described systems, structures, devices, circuits, Lt; / RTI > or equivalents, even if it is replaced or replaced.

그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.
Therefore, other implementations, other embodiments, and equivalents to the claims are also within the scope of the following claims.

110: 비검증 DNS 서버
120: 검증 DNS 서버
130: 인터넷
140: 감시 서버
141: 경고 페이지
150: 공유기
160, 161, 162, 163: 클라이언트 단말110: Unqualified DNS server
120: Verification DNS server
130: Internet
140: Surveillance Server
141: Warning Page
150: Router
160, 161, 162, 163:

Claims (15)

파밍 공격 방지 방법에 있어서,
클라이언트 단말이 연결된 네트워크 장비를 통하는 DNS 쿼리 패킷(DNS query packet)을 미러링 하여 감시하는 단계;
상기 DNS 쿼리 패킷을 분석하여 상기 DNS 쿼리 패킷의 DNS 서버 주소를 추출하는 단계;
상기 추출된 DNS 서버 주소가 검증된 DNS 서버 주소가 아닌 경우 상기 클라이언트 단말과 연관된 DNS 서버 설정이 파밍 공격으로 변조된 것으로 판단하는 단계;
상기 클라이언트 단말과 연관된 DNS 서버 설정이 파밍 공격으로 변조된 것으로 판단된 경우, 상기 검증 DNS 서버 주소 DB에 저장된 적어도 하나의 검증된 DNS 서버 주소를 DNS 서버 주소로 포함하고, 상기 클라이언트 단말로부터의 상기 DNS 쿼리 패킷에 포함된 DNS 쿼리 도메인 주소를 DNS 쿼리 도메인 주소로 포함하는 제2 DNS 쿼리 패킷을 생성하는 단계;
상기 제2 DNS 쿼리 패킷을 상기 검증 DNS 서버 주소 DB에 저장된 상기 적어도 하나의 검증된 DNS 서버 주소로 송신하는 단계;
상기 적어도 하나의 검증된 DNS 서버 주소로부터 상기 제2 DNS 쿼리 패킷에 대한 제2 DNS 응답 패킷을 수신하는 단계;
상기 제2 DNS 응답 패킷으로부터 상기 DNS 쿼리 도메인 주소에 대응하는 제2 응답 IP 주소를 추출하는 단계;
상기 제2 응답 IP 주소를 응답 IP 주소로 포함하는 파밍 공격 방지용 DNS 응답 패킷을 생성하는 단계; 및
상기 파밍 공격 방지용 DNS 응답 패킷을 상기 클라이언트 단말로 송신하는 단계
를 포함하는 파밍 공격 방지 방법.In a pharming attack prevention method,
Mirroring and monitoring a DNS query packet through a network device to which the client terminal is connected;
Analyzing the DNS query packet and extracting a DNS server address of the DNS query packet;
Determining that the DNS server configuration associated with the client terminal is tampered with a pharming attack if the extracted DNS server address is not a verified DNS server address;
Wherein the verification server includes at least one verified DNS server address stored in the verification DNS server address database as a DNS server address when it is determined that the DNS server configuration associated with the client terminal is modified by a pharming attack, Generating a second DNS query packet including a DNS query domain address included in the query packet as a DNS query domain address;
Sending the second DNS query packet to the at least one verified DNS server address stored in the verification DNS server address DB;
Receiving a second DNS response packet for the second DNS query packet from the at least one verified DNS server address;
Extracting a second response IP address corresponding to the DNS query domain address from the second DNS response packet;
Generating a DNS response packet for preventing pharming attack including the second response IP address as a response IP address; And
Transmitting the DNS response packet for preventing pharming attack to the client terminal
Wherein the pharming attack prevention method comprises: 제1항에 있어서,
적어도 하나의 검증된 DNS 서버 주소를 검증 DNS 서버 주소 DB에 유지하는 단계
를 더 포함하고,
상기 클라이언트 단말과 연관된 DNS 서버 설정이 파밍 공격으로 변조된 것으로 판단하는 단계는,
상기 추출된 DNS 서버 주소를 상기 검증 DNS 서버 주소 DB에 저장된 상기 적어도 하나의 검증된 DNS 서버 주소와 비교하는 단계; 및
상기 추출된 DNS 서버 주소가 상기 검증 DNS 서버 주소 DB에 저장된 상기 적어도 하나의 검증된 DNS 서버 주소에 포함되지 않는 경우, 상기 추출된 DNS 서버 주소가 검증된 DNS 서버 주소가 아니라고 판단하는 단계
를 포함하는 파밍 공격 방지 방법.The method according to claim 1,
Maintaining at least one verified DNS server address in the verifying DNS server address DB
Further comprising:
Wherein determining that the DNS server configuration associated with the client terminal is modulated by a pharming attack comprises:
Comparing the extracted DNS server address with the at least one verified DNS server address stored in the verification DNS server address DB; And
If the extracted DNS server address is not included in the at least one verified DNS server address stored in the verification DNS server address DB, determining that the extracted DNS server address is not a verified DNS server address
Wherein the pharming attack prevention method comprises: 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 제1항에 있어서,
상기 클라이언트 단말과 연관된 DNS 서버 설정은,
상기 클라이언트 단말의 DNS 서버 설정이거나 또는 상기 클라이언트 단말이 네트워크 접속을 위해 이용하는 액세스 포인트(access point)의 DNS 서버 설정인 파밍 공격 방지 방법.The method according to claim 1,
Wherein the DNS server configuration associated with the client terminal comprises:
Wherein a DNS server setting of the client terminal or a DNS server setting of an access point used by the client terminal for network connection is established. 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 제1항, 제 2항, 또는 제8항 중 어느 한 항의 방법을 실행하기 위한 프로그램이 기록되어 있는 것을 특징으로 하는 컴퓨터에서 판독 가능한 기록 매체.A computer-readable recording medium having recorded thereon a program for executing the method of any one of claims 1, 2, and 8.
KR1020140080643A 2014-06-30 2014-06-30 System and method for pharming attack prevention through dns modulation such as the pc and access point KR101541244B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140080643A KR101541244B1 (en) 2014-06-30 2014-06-30 System and method for pharming attack prevention through dns modulation such as the pc and access point

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140080643A KR101541244B1 (en) 2014-06-30 2014-06-30 System and method for pharming attack prevention through dns modulation such as the pc and access point

Publications (1)

Publication Number Publication Date
KR101541244B1 true KR101541244B1 (en) 2015-08-06

Family

ID=53885503

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140080643A KR101541244B1 (en) 2014-06-30 2014-06-30 System and method for pharming attack prevention through dns modulation such as the pc and access point

Country Status (1)

Country Link
KR (1) KR101541244B1 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101702102B1 (en) * 2015-08-13 2017-02-13 주식회사 케이티 Internet connect apparatus, central management server and internet connect method
KR101713191B1 (en) * 2015-10-27 2017-03-08 한국정보보호시스템(주) Access point for preventing malignant action using prior testing of malignant data and method of the same
KR20170111275A (en) * 2016-03-25 2017-10-12 주식회사 수산아이앤티 Method and apparatus for providing secure internet connection
KR101833619B1 (en) * 2016-06-07 2018-02-28 주식회사 케이티 System and method for intelligently preventing pharming
KR102367545B1 (en) * 2021-05-07 2022-02-25 (주) 코아맥스테크놀로지 Method and system for preventing network pharming

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101702102B1 (en) * 2015-08-13 2017-02-13 주식회사 케이티 Internet connect apparatus, central management server and internet connect method
WO2017026840A1 (en) * 2015-08-13 2017-02-16 주식회사 케이티 Internet connection device, central management server, and internet connection method
KR101713191B1 (en) * 2015-10-27 2017-03-08 한국정보보호시스템(주) Access point for preventing malignant action using prior testing of malignant data and method of the same
KR20170111275A (en) * 2016-03-25 2017-10-12 주식회사 수산아이앤티 Method and apparatus for providing secure internet connection
KR101891300B1 (en) * 2016-03-25 2018-08-23 주식회사 수산아이앤티 Method and apparatus for providing secure internet connection
KR101833619B1 (en) * 2016-06-07 2018-02-28 주식회사 케이티 System and method for intelligently preventing pharming
KR102367545B1 (en) * 2021-05-07 2022-02-25 (주) 코아맥스테크놀로지 Method and system for preventing network pharming

Similar Documents

Publication Publication Date Title
KR102137773B1 (en) System for transmitting secure data via security application and method thereof
JP6680840B2 (en) Automatic detection of fraudulent digital certificates
CN110121876B (en) System and method for detecting malicious devices by using behavioral analysis
ES2898869T3 (en) System and methods for automatic device detection
Alaca et al. Device fingerprinting for augmenting web authentication: classification and analysis of methods
US9832213B2 (en) System and method for network intrusion detection of covert channels based on off-line network traffic
US7752662B2 (en) Method and apparatus for high-speed detection and blocking of zero day worm attacks
US9443075B2 (en) Interception and policy application for malicious communications
JP5329859B2 (en) Method of detecting an illegal SSL certificate / DNS redirect used in a farming / phishing attack
JP2019506797A (en) Automatic honeypot provisioning system
US9681304B2 (en) Network and data security testing with mobile devices
KR101541244B1 (en) System and method for pharming attack prevention through dns modulation such as the pc and access point
US10142343B2 (en) Unauthorized access detecting system and unauthorized access detecting method
US10033761B2 (en) System and method for monitoring falsification of content after detection of unauthorized access
US11328056B2 (en) Suspicious event analysis device and related computer program product for generating suspicious event sequence diagram
US20110283174A1 (en) Optimizing Security Seals on Web Pages
US11258812B2 (en) Automatic characterization of malicious data flows
CN111786966A (en) Method and device for browsing webpage
JP2015225500A (en) Authentication information theft detection method, authentication information theft detection device, and program
Sochor et al. Attractiveness study of honeypots and honeynets in internet threat detection
CN111343188A (en) Vulnerability searching method, device, equipment and storage medium
US11526564B2 (en) Triggered scanning based on network available data change
KR101874815B1 (en) Method for examining change of dns address and terminal apparatus for the same
CN108965277B (en) DNS (Domain name System) -based infected host distribution monitoring method and system
KR101535381B1 (en) Method for blocking internet access using uniform resource locator and ip address

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180703

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190703

Year of fee payment: 5