KR100470422B1 - 사설 dhcp 서버 제어 방법 - Google Patents

사설 dhcp 서버 제어 방법 Download PDF

Info

Publication number
KR100470422B1
KR100470422B1 KR10-2002-0011561A KR20020011561A KR100470422B1 KR 100470422 B1 KR100470422 B1 KR 100470422B1 KR 20020011561 A KR20020011561 A KR 20020011561A KR 100470422 B1 KR100470422 B1 KR 100470422B1
Authority
KR
South Korea
Prior art keywords
address
dhcp
dhcp server
private
packet
Prior art date
Application number
KR10-2002-0011561A
Other languages
English (en)
Other versions
KR20030072032A (ko
Inventor
정영선
조현덕
정승훈
Original Assignee
주식회사 프리컴시스템
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 프리컴시스템 filed Critical 주식회사 프리컴시스템
Priority to KR10-2002-0011561A priority Critical patent/KR100470422B1/ko
Publication of KR20030072032A publication Critical patent/KR20030072032A/ko
Application granted granted Critical
Publication of KR100470422B1 publication Critical patent/KR100470422B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5061Pools of addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Abstract

본 발명은 네트워크 상에서 운용되는 사설 DHCP 서버를 검출하고 제어하는 사설 DHCP 제어 방법에 관한 것으로서, DHCP환경상에서 인증되지 않은 사설 DHCP를 운용였을 때 발생할 수 있는 많은 문제점들을 해결하고자, 사설 DHCP서버의 운용을 감시하고 이를 차단함으로써 사설 DHCP 서버에 의한 문제를 원천적으로 방지할 수 있다.

Description

사설 DHCP 서버 제어 방법 {ILLEGAL DHCP SERVER CONTROL METHOD}
본 발명은 네트워크상에서 운용되는 사설 DHCP(Dynamic Host Configuration Protocol) 서버를 검출하고 제어하는 방법에 관한 것으로서, DHCP환경상에서 인증되지 않은 사설 DHCP를 운용였을 때 발생할 수 있는 많은 문제점들을 해결하고자, 사설 DHCP서버의 운용을 감시하고 이를 차단할 수 있는 DHCP 제어 방법에 관한 것이다.
최근들어 사이게이트(Sygate)(하나의 IP 어드레스를 여러 대의 컴퓨터에서 사용할 수 있도록 DHCP 서버를 생성하여 IP 공유를 가능케하는 소프트웨어의 일종) 및 네트워크 서버의 DHCP 기능으로 인하여 일반 사용자의 인터넷 접속 불가 문제가 종종 야기되고 있으며, 원인을 인지하지 못하는 사용자들의 불만으로 서비스 및 품질에 대한 불신이 증폭되고 있어 인터넷 사업자들의 가장 큰 관리상의 문제점으로 대두되고 있는 실정이다. 다시 말해서, 한 회선을 여러 명이 나누어 쓰게 되기 때문에 타사용자 접속불가 뿐만 아니라 전반적인 속도 저하로 인한 서비스 품질 저하를 가져오며, 그로 인해 다른 사용자가 선의의 피해를 입는다는 문제점이 있었다.
종래에는 이러한 문제점들을 해결하기 위하여, 실시간으로 게이트웨이의 상태를 모니터링 하여 게이트웨이의 동작여부나 패킷량을 실시간으로 측정하는 방법을 취하고 있었다. 그러나, 이러한 방법은 IP 공유문제를 원천적으로 해결하지 못하고 있으며, 더욱이 상당한 시간과 전문인력을 요하기 때문에 그에 따른 비용이 과중하다는 문제점이 있었다.
본 발명은 상기한 문제점들을 해결하기 위하여 안출된 것으로, 본 발명의 목적은 사설 DHCP 서버를 자동으로 검색하여 그 기능을 사용하지 못함으로써 다른 가입자들이 양질의 서비스를 제공받도록 하는 것이다.
도 1은 본 발명에 따른 사설 DHCP 제어방법에 사용되는 사설 DHCP 제어 시스템의 설치예를 도시하는 도면.
도 2는 본 발명에 따른 사설 DHCP 제어 시스템의 구성도.
도 3은 본 발명의 일실시예에 따른 사설 DHCP 서버 제어방법을 설명하는 순서도.
도 4는 본 발명에 따른 사설 DHCP 서버 제어를 수행하기 위한 프로그램의 실행화면의 일례를 도시하는 도면.
도 5는 본 발명에 따라 사설 DHCP 서버가 제거된 결과를 도시하는 도면.
※ 도면의 주요부분에 대한 부호의 설명 ※
100 : DHCP 감시부 200: DHCP 공격부
300 : ARP 서버
본 발명은 네트워크 상에서 사설 DHCP 서버를 검출하고 제어하는 사설 DHCP 제어방법에 관한 것으로서, 네트워크망내의 공인 DHCP 서버의 IP 어드레스를 입력하는 단계; 미리 설정된 IP 어드레스 범위내에서 MAC 어드레스 획득을 위한 ARP 요청 패킷을 브로드캐스팅하는 단계; 획득된 MAC 어드레스를 해당 IP 어드레스와 함께 테이블 매핑하는 단계; DHCP 서버의 검출을 위한 DHCP DISCOVER 패킷을 브로드캐스팅하는 단계; 검출된 DHCP 서버로부터의 DHCP OFFER 패킷에서 IP 어드레스를 추출하여 상기 미리 입력된 DHCP 서버의 IP 어드레스와 비교하는 단계; 상기 비교결과, IP 어드레스가 서로 일치하지않는다면 사설 DHCP 서버로 판단하여 상기 사설 DHCP 서버로 허위 ARP 응답 패킷을 유니케스팅하는 단계; 및 상기 허위 ARP 응답 패킷의 전송과 동시에 공격용 ARP 프레임을 이용하여 상기 사설 DHCP 서버의 기능을 상실케 하는 단계를 포함하는 것을 특징으로 한다.
먼저, 본 발명에서 사용되는 용어들을 정리하면 다음과 같다.
1) DHCP 서버
DHCP 서버는 DHCP 기능 제공을 통해 연결하고자 하는 PC의 IP 어드레스를 입력하지 않아도 동적으로 각 PC들에게 IP를 할당토록 하여 사용자의 편이성을 증대시켜 누구라도 쉽게 설치를 가능토록 하는 것이다. 참고로, DHCP는 RFC 1533, 1534, 1541, 1542 등에 규정되어 있다.
DHCP 서버는 IP를 임대해주는 역할을 하게 되는데, DHCP서버와 클라이언트의 통신은 브로드캐스트로 진행된다.
a. Discover 패킷(DHCP DISCOVER) : DHCP클라이언트가 DHCP서버를 발견한다. 이 패킷의 내용은 다음과 같다.
발신지 IP 어드레스 : 아직 어드레스가 없으므로 0.0.0.0
수신지 IP 어드레스 : 브로드케스트이므로 255.255.255.255
하드웨어 어드레스 : 자신의 MAC 어드레스
b. Offer 패킷(DHCP OFFER) : DHCP 서버들은 클라이언트로부터 이런 요청을 받으면, 요청을 수신한 모든 DHCP 서버는 클라이언트에게 DHCPOFFER 패킷을 보낸다. 이 패킷의 내용은 다음과 같은 내용으로 구성되어 있다.
발신지 IP 어드레스 : DHCP 서버 IP 어드레스
수신지 IP 어드레스 : 아직 IP 어드레스가 할당된 것이 아니므로,
브로드케스트 255.255.255.255
Offered IP 어드레스 : 클라이언트에게 대여해 줄 수 있는 IP 어드레스
클라이언트 하드웨어 어드레스 : 클라이언트가 알려온 MAC 어드레스
서브넷 마스크 : 대여할 수 있는 IP의 서브넷 마스크
대여 기간 : 대여 IP의 대여 기간
서버 구별자 : 서버의 IP어드레스
만일, 이때 모든 DHCP 서버가 반응이 없다면, 9, 13, 16초 간격에 0∼1000밀리 초의 임의적인 시간을 더해서 세 차례 재시도를 한다. 총 4번의 이 시도에 응답이 없으면, 일단 포기한 다음 5분마다 다시 DHCP 서버를 부르게 된다.
c. Acknowlegment 패킷(DHCP ACK) : 클라이언트는 제안된 IP중 1개를 선택한다. 선택한 IP 어드레스는 한 서버에서 대여하겠다고 응답한 것이므로, 다른 서버에도 그 사실을 알릴 필요가 있다. 클라이언트가 선택한 IP를 대여하겠다고 한 DHCP 서버는 'DHCP ACK'을 클라이언트에게 보냄으로써 IP 대여가 완료된다. 'DHCPACK' 패킷에는 다음의 내용이 포함되어 있다.
발신지 IP 어드레스 : 서버의 IP어드레스
수신지 IP 어드레스 : 255.255.255.255 클라이언트가 'DHCPACK'을
받기 전에는 IP는 유효하다고 할 수 없다.
Offered IP 어드레스 : 대여하는 IP 어드레스
클라이언트 하드웨어 어드레스 : 클라이언트 MAC 어드레스
서브넷 마스크 : 대여하는 IP의 서브넷 마스크
대여 기간 : 기본 3시간(설정에 따라 달라짐)
서버 구별자 : 서버의 IP 어드레스
DHCP 추가 옵션 : DHCP 관리자에서 추가한 추가적인 옵션들
2) MAC 어드레스
동일 전송로를 공유하는 여러 개의 랜 단말기가 전송로를 효율성 있게 이용하기 위한 제어방식으로, 외부적으로는 IP 어드레스로 통신을 하지만 내부적으로는 IP 어드레스를 MAC 어드레스로 변환하여 통신연결을 하게된다.
3) ARP
ARP는 Address Resolution Protocol의 약자로 어드레스 결정 프로토콜이다. 이 프로토콜은 IP만 알고 있을 때 그 IP에 해당하는 MAC 어드레스를 결정하는 프로토콜로 정의할 수 있다. ARP는 ARP 응답과 요청에 의해 IP 어드레스로부터 하드웨어 어드레스를 알 수 있다. ARP 요청 패킷이란 IP 어드레스에서 MAC 어드레스를 알기 위해 보내는 패킷이며, ARP 응답 패킷은 이 ARP 요청의 대상 IP 어드레스에 해당하는 노드가 자신의 MAC 어드레스를 알려주기 위해 반송하는 패킷을 말한다.
이하, 첨부된 도면을 참조로 본 발명의 바람직한 실시예를 자세히 설명하면 다음과 같다.
도 1은 본 발명에 따른 사설 DHCP 제어방법에 사용되는 사설 DHCP 제어 시스템이 아파트, 건물 등의 구내에 설치된 LAN 장비를 통해 초고속인터넷을 이용하는 서비스망에 적용되는 예를 보여주는 도면이다. 상기 사설 DHCP 제어 시스템은 랜선을 이용하여 라우터단에 연결되며, 네트워크상의 사설 DHCP 서버 사용자를 파악하고 사설 DHCP 서버 사용자가 발견되는 경우에 그 사용자의 MAC(Media Access Control) 어드레스 등을 제공함으로써 사업자가 적절한 조치를 할 수 있도록 한다.
<사설 DHCP 제어 시스템의 사양>
H/W CPU Pentium II
Memory 128 MB
HDD 20 GB
FDD 1.44 MB
Interface 10/100-BaseT EthernetOne RGB Port
S/W OS Windows 2000 Professional
Development Tool VC++CVI Library : 제어계측용 라이브리WinPcap Library : Free Packet Capture Architecture
도 2는 상기 사설 DHCP 제어 시스템의 구성도이다. 도 2를 참조하면, 상기 사설 DHCP 제어 시스템은 DHCP DISCOVER 패킷을 전송하여 네트워크 상에 사설 DHCP 서버가 존재하는지 감시하는 DHCP 감시부(100)와, 인증되지 않은 사설 DHCP 서버가발견되면 특정의 공격을 가하는 사설 DHCP 공격부(200)와, DHCP 서버의 MAC 어드레스를 획득하여 해당 IP에 대한 IP : MAC 테이블 매핑을 수행하는 ARP 서버(300)를 포함한다.
도 3은 본 발명의 일실시예에 따른 사설 DHCP 제어 방법을 설명하는 순서도이다.
일반적으로, 사이게이트 DHCP 서버와 같은 사설 DHCP 서버는 초기 구동시 프로그램 환경설정에 설정되어있는 게이트웨이 어드레스를 다른 시스템에서 사용하고 있는지 체크하기 위하여 ARP 브로드캐스팅을 수행하게 되는데, 이때 본 발명에 따른 사설 DHCP 제어 시스템에서는 이에 대응하는 허위 응답을 하여 사이게이트 DHCP 서버가 동작하지 못하도록 한다.
먼저, 네트워크망내의 공인 DHCP 서버의 IP 어드레스를 입력한다(S100). 상기 공인 DHCP 서버는 라우터 또는 게이트웨이를 들 수 있으며, 여러개 있는 경우에는 계속 추가 작업을 수행하면 된다.
다음에, 미리 설정된 IP 어드레스 범위내에서 MAC 어드레스 획득을 위한 ARP 요청 패킷을 브로드캐스팅한다(S110). 상기 IP 어드레스 범위의 설정은 기본적으로 시작 어드레스와 종료 어드레스를 입력하게 된다.
다음에, 상기 획득된 MAC 어드레스를 해당 IP 어드레스와 함께 테이블 매핑한다(S120).
다음에, DHCP 서버의 검출을 위한 DHCP DISCOVER 패킷을 브로드캐스팅한다(S130).
다음에, 검출된 DHCP 서버로부터의 DHCP OFFER 패킷에서 IP 어드레스를 추출하여 상기 미리 입력된 DHCP 서버의 IP 어드레스와 비교함으로써 사설 DHCP 서버인지의 여부를 결정한다(S140).
상기 비교결과, 검출된 DHCP 서버의 IP 어드레스가 상기 미리 입력된 DHCP 서버의 IP 어드레스와 일치하지않는다면 상기 검출된 DHCP 서버는 사설 DHCP 서버로 판단되며, 상기 사설 DHCP 서버로 허위 ARP 응답 패킷을 유니케스팅한다(S150).
다음에, 상기 허위 ARP 응답 패킷의 전송과 동시에 공격용 ARP 프레임을 이용하여 상기 사설 DHCP 서버의 기능을 상실케 한다(S160). 상기 공격용 ARP 프레임은 어떤 정해진 포맷이 없는 것으로, 공격유형 또는 공격정도에 따라 다양하게 작성될 수 있으므로, 이에 대한 설명은 생략하기로 한다.
결국, 사설 DHCP 서버는 가동조차 못하게 되며, 따라서 사설 DHCP 서버에 의한 문제를 원천적으로 방지할 수 있다.
상기 ARP 요청 패킷의 브로드캐스팅 및 DHCP DISCOVER 패킷의 브로드캐스팅은 타이머에 의해 제어되는데, 예를 들면 9, 13, 16초 간격에 0∼1000밀리 초의 임의적인 시간을 더해서 시도된다.
도 4는 본 발명에 따른 사설 DHCP 서버 제어를 수행하기 위한 프로그램의 실행화면의 일례를 보여준다. 앞서 설명한 바와 같은 IP 어드레스 범위 설정창과, 공인 DHCP 등록창과, IP 어드레스 현황창이 보여지고 있다. 또한, 도 5는 본 발명에 따라 사설 DHCP 서버가 제거된 결과를 도시하고 있다.
본 발명에 따르면, 변칙적인 IP 공유 소프트웨어의 사용을 원천에 차단함으로써 다른 사용자의 피해를 감소시킬 수 있을 뿐만 아니라 전송망의 총괄적인 관리와 망품질의 최적화를 꾀함으로써 관리비용을 절감할 수 있다.

Claims (2)

  1. 네트워크망내의 공인 DHCP 서버의 IP 어드레스를 입력하는 단계;
    미리 설정된 IP 어드레스 범위내에서 MAC 어드레스 획득을 위한 ARP 요청 패킷을 브로드캐스팅하는 단계;
    획득된 MAC 어드레스를 해당 IP 어드레스와 함께 테이블 매핑하는 단계;
    DHCP 서버의 검출을 위한 DHCP DISCOVER 패킷을 브로드캐스팅하는 단계;
    검출된 DHCP 서버로부터의 DHCP OFFER 패킷에서 IP 어드레스를 추출하여 상기 미리 입력된 DHCP 서버의 IP 어드레스와 비교하는 단계;
    상기 비교결과, IP 어드레스가 서로 일치하지않는다면 사설 DHCP 서버로 판단하여 상기 사설 DHCP 서버로 허위 ARP 응답 패킷을 유니케스팅하는 단계; 및
    상기 허위 ARP 응답 패킷의 전송과 동시에 공격용 ARP 프레임을 이용하여 상기 사설 DHCP 서버의 기능을 상실케 하는 단계를 포함하는 것을 특징으로 하는 사설 DHCP 서버 제어방법.
  2. 청구항 1에 있어서, 상기 ARP 요청 패킷의 브로드캐스팅 및 DHCP DISCOVER 패킷의 브로드캐스팅은 타이머에 의해 제어되는 것을 특징으로 하는 사설 DHCP 서버 제어방법.
KR10-2002-0011561A 2002-03-05 2002-03-05 사설 dhcp 서버 제어 방법 KR100470422B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2002-0011561A KR100470422B1 (ko) 2002-03-05 2002-03-05 사설 dhcp 서버 제어 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0011561A KR100470422B1 (ko) 2002-03-05 2002-03-05 사설 dhcp 서버 제어 방법

Publications (2)

Publication Number Publication Date
KR20030072032A KR20030072032A (ko) 2003-09-13
KR100470422B1 true KR100470422B1 (ko) 2005-02-05

Family

ID=32223430

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0011561A KR100470422B1 (ko) 2002-03-05 2002-03-05 사설 dhcp 서버 제어 방법

Country Status (1)

Country Link
KR (1) KR100470422B1 (ko)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100900149B1 (ko) * 2002-06-27 2009-05-28 주식회사 케이티 사설 dhcp 서버로부터의 ip할당을 차단하기 위한브로드캐스트 프레임 처리 방법
KR100779072B1 (ko) * 2004-12-08 2007-11-27 한국전자통신연구원 Arp 공격 탐지 장치 및 방법
KR101352852B1 (ko) 2008-09-30 2014-01-20 삼성전자주식회사 Dhcp를 이용한 화상형성장치의 ip 주소 할당 방법, 그 화상형성장치, 및 dhcp를 이용한 ip주소 할당 시스템
CN101741702B (zh) * 2008-11-25 2012-02-29 中兴通讯股份有限公司 实现arp请求广播限制的方法和装置
KR101408033B1 (ko) * 2011-08-24 2014-06-17 주식회사 케이티 다수의 호스트들의 형상을 자동 구축하기 위한 형상관리서버 및 그 방법

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001211180A (ja) * 2000-01-26 2001-08-03 Nec Commun Syst Ltd クライアント認証機能付きdhcpサーバ、及びその認証方法
KR20010088983A (ko) * 2001-08-30 2001-09-29 허기행 유동 아이피 주소를 사용하는 네트워크 그룹에 대한 침입차단 및 선별적인 네트워크 정책 적용 방법
KR20020036973A (ko) * 2002-02-18 2002-05-17 (주)테라정보시스템 사설디에치씨피 서버를 감시 및 차단하는 시스템 및 그 방법
KR20030022534A (ko) * 2001-09-11 2003-03-17 플러스기술주식회사 Dhcp를 이용한 인증받지 않은 사용자의 인터넷 및네트워크 접속 방지 시스템과 그의 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001211180A (ja) * 2000-01-26 2001-08-03 Nec Commun Syst Ltd クライアント認証機能付きdhcpサーバ、及びその認証方法
KR20010088983A (ko) * 2001-08-30 2001-09-29 허기행 유동 아이피 주소를 사용하는 네트워크 그룹에 대한 침입차단 및 선별적인 네트워크 정책 적용 방법
KR20030022534A (ko) * 2001-09-11 2003-03-17 플러스기술주식회사 Dhcp를 이용한 인증받지 않은 사용자의 인터넷 및네트워크 접속 방지 시스템과 그의 방법
KR20020036973A (ko) * 2002-02-18 2002-05-17 (주)테라정보시스템 사설디에치씨피 서버를 감시 및 차단하는 시스템 및 그 방법

Also Published As

Publication number Publication date
KR20030072032A (ko) 2003-09-13

Similar Documents

Publication Publication Date Title
US7124197B2 (en) Security apparatus and method for local area networks
US7448076B2 (en) Peer connected device for protecting access to local area networks
US7325248B2 (en) Personal firewall with location dependent functionality
US7975048B2 (en) Network including snooping
US8108496B2 (en) Method and apparatus for selecting forwarding modes
US7490351B1 (en) Controlling ARP traffic to enhance network security and scalability in TCP/IP networks
US7474655B2 (en) Restricting communication service
EP1089524A2 (en) System for supporting multiple Internet service providers on a single network
US20110141944A1 (en) Topology discovery of a private network
US8725843B2 (en) Method and apparatus for adaptively configuring a router
US20050044273A1 (en) Dynamic change of MAC address
US7991856B2 (en) Network system
US7895360B2 (en) Method and apparatus for adaptively configuring a router
EP1304851B1 (en) System and method of providing computer networking
KR101064382B1 (ko) 통신 네트워크에서의 arp 공격 차단 시스템 및 방법
JP2008271242A (ja) ネットワーク監視装置、ネットワーク監視用プログラム、およびネットワーク監視システム
CN110445889B (zh) 一种以太网环境下交换机ip地址管理方法及系统
KR100470422B1 (ko) 사설 dhcp 서버 제어 방법
KR100437726B1 (ko) 사설디에치씨피 서버를 감시 및 차단하는 시스템 및 그 방법
WO2001075626A9 (en) Bridge configuration over ip/web
JP2002237816A (ja) アドレス自動割り当て方法
KR100816502B1 (ko) 아이피 공유기와 그의 접속 제한 방법 및 장애 처리 방법
KR100513296B1 (ko) 네트워크 접근제어를 위한 네트워크 관리장치와관리시스템 및 이를 이용한 네트워크 접근제어 방법
WO2006075823A1 (en) Internet protocol address management system co-operated with authentication server
KR20050029800A (ko) 네트워크 접속 제어 방법

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee