KR100478910B1 - IP collision detection/ Interseption method thereof - Google Patents

IP collision detection/ Interseption method thereof Download PDF

Info

Publication number
KR100478910B1
KR100478910B1 KR10-2002-0039010A KR20020039010A KR100478910B1 KR 100478910 B1 KR100478910 B1 KR 100478910B1 KR 20020039010 A KR20020039010 A KR 20020039010A KR 100478910 B1 KR100478910 B1 KR 100478910B1
Authority
KR
South Korea
Prior art keywords
packet
arp
module
collision
network
Prior art date
Application number
KR10-2002-0039010A
Other languages
Korean (ko)
Other versions
KR20040003977A (en
Inventor
서재순
Original Assignee
스콥정보통신 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 스콥정보통신 주식회사 filed Critical 스콥정보통신 주식회사
Priority to KR10-2002-0039010A priority Critical patent/KR100478910B1/en
Publication of KR20040003977A publication Critical patent/KR20040003977A/en
Application granted granted Critical
Publication of KR100478910B1 publication Critical patent/KR100478910B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses

Abstract

본 발명은 네트워크를 통해 IP 통신이 이루어지기 시작할 때 발생하는 각각의 ARP 패킷을 인터럽트하여 분석한 후, 각 IP 충돌 주소를 리스팅하고 로그로 남겨 관리자에게 통보함으로써 IP 관리를 용이하게 할 수 있도록 하는 ARP(Address Resolution Protocol)를 이용한 아이피(IP) 충돌 검출 및 차단 시스템과 그 방법에 관한 것이다.The present invention interrupts and analyzes each ARP packet that occurs when IP communication is started through the network, and then lists and logs each IP collision address to notify the administrator to facilitate IP management. (a ddress R esolution P rotocol) using the IP (IP) conflict detection and prevention system and relates to its method.

본 발명은, 네트워크 트래픽 패킷을 감시하고, 네트워크 상에서 ARP 패킷이 수집될 때 마다 각각의 패킷의 충돌을 감시하고 그 상태를 관리자에게 알리며, 접근이 허용된 것인지 아닌지를 판단하여 호스트의 네트워크 접근을 ARP를 이용한 MAC 중심으로 차단을 수행한다.The present invention monitors network traffic packets, monitors the collision of each packet each time an ARP packet is collected on the network, informs the administrator of the status, and determines whether access is permitted by determining whether access is allowed. Blocks using MAC.

Description

아이피 충돌 검출 및 차단 시스템과 그 방법{IP collision detection/ Interseption method thereof}IP collision detection / interseption method

본 발명은 네트워크를 통해 아이피(IP) 통신이 이루어지기 시작할 때 발생하는 각각의 ARP 패킷을 인터럽트하여 분석한 후, 각 아이피(IP) 충돌 주소를 리스팅하고 로그로 남겨 관리자에게 통보함으로써 아이피(IP) 관리를 용이하게 할 수 있도록 하는 것으로, 좀더 상세하게는 네트워크 트래픽 패킷을 감시하고, 네트워크 상에서 ARP 패킷이 수집될 때 마다 각각의 패킷의 충돌을 감시하고 그 상태를 관리자에게 알리며, 접근이 허용된 것인지 아닌지를 판단하여 호스트의 네트워크 접근을 ARP를 이용한 MAC 중심으로 차단을 수행하도록 하는 ARP(Address Resolution Protocol)를 이용한, 아이피(IP) 충돌 검출 및 차단 시스템과 그 방법에 관한 것이다.The present invention interrupts and analyzes each ARP packet generated when IP communication begins to occur through a network, and then lists and logs each IP conflict address and notifies an administrator to the IP. In order to facilitate management, more specifically, it monitors network traffic packets, monitors the collision of each packet whenever an ARP packet is collected on the network, informs the administrator of the status, and checks whether access is allowed. judged by using ARP (a ddress R esolution P rotocol) which to perform block the network access of the host to the MAC center using ARP, IP (IP) relates to a collision detection and prevention system and method.

일반적으로 ARP를 사용하는 경우는 다음과 같다.In general, ARP is used as follows.

1. 송신자는 호스트이고 같은 네트워크 상에 있는 다른 호스트에게로 패킷을 전송하고자 한다. 이러한 경우 물리 주소로 변환되어야 하는 논리 주소는 데이터그램 헤더 내에 있는 목적지 아이피(IP) 주소이다.1. The sender is a host and wants to send a packet to another host on the same network. In this case, the logical address that must be translated into the physical address is the destination IP address in the datagram header.

2. 송신자는 호스트이고 다른 네트워크 상에 있는 다른 호스트에게로 패킷을 전송하고자 한다. 이 경우 호스트는 라우팅 테이블을 참조하여 목적지를 위한 다음 홉(라우터)의 아이피(IP) 주소를 찾는다. 만약 라우팅 테이블이 없다면 디폴트 라우터의 IP를 찾는다. 라우터의 아이피(IP) 주소가 물리 주소로 변환되어야 할 논리 주소가 된다.2. The sender is a host and wants to send a packet to another host on another network. In this case, the host looks up the routing table to find the IP address of the next hop (router) for the destination. If there is no routing table, find the IP of the default router. The router's IP address becomes the logical address that needs to be translated into a physical address.

3. 송신자는 다른 네트워크 상에 있는 호스트로 가는 데이터그램을 수신한 라우터이다. 이 라우터는 라우팅 테이블을 참조하여 다음 홉 라우터의 아이피(IP) 주소를 찾는다. 다음 라우터의 아이피(IP) 주소가 물리 주소로 변환될 논리 주소이다.3. The sender is a router that receives datagrams destined for a host on another network. This router looks up the routing table to find the IP address of the next hop router. The IP address of the next router is a logical address that will be translated into a physical address.

4. 송신자는 같은 네트워크 상에 있는 호스트로 가는 데이터그램을 수신한 라우터이다. 데이터그램의 목적지 아이피(IP)가 물리 주소로 변환되어야 할 논리 주소가 된다.4. The sender is a router that receives a datagram destined for a host on the same network. The destination IP of the datagram becomes the logical address that needs to be translated into a physical address.

ARP의 동작과정을 보면, 송신자는 타켓 아이피(IP) 주소를 알고 있는데, 송신자가 어떻게 이 주소를 획득하는지는 다음과 같은 절차에 따른다.Looking at the operation of ARP, the sender knows the target IP address. How the sender obtains this address is as follows.

1. 아이피(IP)가 ARP 요청 메시지를 생성하도록 요청한다. 이 요청 메시지에서 송신자의 물리 주소와 아이피(IP) 주소 그리고 타켓 아이피(IP) 주소는 채워지지만 타켓의 물리 주소(MAC 주소) 필드는 0으로 채워진다.1. Request IP to generate ARP request message. In this request message, the sender's physical address, IP address, and target IP address are filled in, but the target's physical address (MAC address) field is filled with zeros.

2. 이 메시지는 데이터 링크 계층에 전달되고, 여기서 송신자의 물리 주소를 발신지 주소로 그리고 물리 브로드캐스트 주소를 목적지 주소로 하는 프레임에 의해 캡슐화된다.2. This message is delivered to the data link layer, where it is encapsulated by a frame with the sender's physical address as the source address and the physical broadcast address as the destination address.

3. 모든 호스트나 라우터는 이 프레임을 수신하게 되고, 프레임은 브로드캐스트 목적지 주소를 가지고 있으므로 모든 국은 이 메시지를 자신의 ARP에게 전달한다.3. Every host or router receives this frame, and the frame has a broadcast destination address, so every station forwards this message to its ARP.

4. 타켓 시스템은 자신의 물리 주소를 포함하는 ARP 메시지를 응답으로 보내게 되고, 이 메시지는 유니캐스트된다.4. The target system sends back an ARP message containing its physical address, which is unicast.

5. 송신자는 응답 메시지를 받고 타켓의 물리 주소를 알게 된다.5. The sender receives the response message and knows the physical address of the target.

6. 타켓에게 보내질 데이터를 포함하고 있는 아이피(IP) 데이터그램은 프레임으로 캡슐화되어 목적지에 유니캐스트된다.6. The IP datagram containing the data to be sent to the target is encapsulated in a frame and unicast to the destination.

네트워크 상에 관리자가 알 수 없는 새로운 호스트(예 새로운 PC/노트북/외부사용자/네트워크 장비의 추가)들이 언제든지 접속되어 사용되고 있는 것이 현실이다. 따라서 관리자 입장에서 이러한 네트워크 장비의 추가 사실과 허가없이 사용되고 있는 아이피(IP) 주소를 파악하고 또는 접근을 통제할 수 있어야 한다. 이렇게 할 수 있다면 관리자는 아마도 네트워크 자원 관리를 손쉽게 수행할 수 있을 것이다.The reality is that new hosts (such as the addition of new PCs / laptops / external users / network equipment) that are unknown to the administrator are always connected and used on the network. Therefore, the administrator should be able to identify the additional facts of these network devices and the IP addresses being used without permission or to control access. If you can do this, administrators will probably be able to easily manage network resources.

따라서, 아이피(IP) 네트워크 관리자측에서 네트워크의 사용자(호스트) 별로 아이피(IP) 주소 자원의 효율적인 관리가 필요하지만, 그러나 종래에는 현재 사용되고 있는 아이피(IP) 주소가 어느 호스트에 할당되어 사용되고 있는가를 파악하고, 이때 관리자가 할당한 아이피(IP)와 호스트가 실제 사용하고 있는 것과 동일한지를 관리할 수 있어야 하는데, 실제 환경에서는 사용자 임의로 아이피(IP) 주소를 변경할 수 있기 때문에 관리에 실효성이 없는 것이 현재의 실정이다.Therefore, the IP network manager needs to efficiently manage IP address resources for each user (host) of the network, but conventionally, it is known to which host an IP address currently being used is assigned and used. At this time, it is necessary to manage whether the IP assigned by the administrator and the host are the same as the one actually used. However, since the IP address can be changed arbitrarily in a real environment, the current management is ineffective. It is true.

이들 아이피(IP)를 관리하고 통제하는 방안으로 여러 방법들이 제시된 바 있지만 아직까지 구체적인 방안이 제시되어 실용화되지 못하고 있다. Various methods have been proposed to manage and control these IPs, but specific methods have not been put into practical use.

종래의 아이피(IP) 충돌을 찾아내는 방법은, 사용자가 아이피(IP)를 사용하는 중에 누군가에 의해서 충돌이 발생하면 당사자들은 그 즉시 호스트 시스템에서 발생시키는 충돌 메시지를 보고 알 수 있다. 그러나 그 사실을 네트워크 관리자가 확인할 수 있는 방법이 없으며 또한 이런 상황에서 사용자는 어떤 아이피(IP)를 사용해야 충돌 없이 사용할 수 있는 것인지 알 수 있는 방법이 없다. 충돌을 일으킨 당사자가 관리자에게 이야기를 하기 전에는 관리자가 알 수 있는 방법이 없다.The conventional method of detecting IP conflicts is that if a user encounters a conflict while someone is using the IP, the parties can immediately see the conflict message generated by the host system. However, there is no way for the network administrator to verify that, and in this situation, there is no way for the user to know which IP should be used without conflict. There is no way for the manager to know until the conflicting party talks to the manager.

네트워크에 접근하여 네트워크의 정보를 도청하고자 하는 불순 사용자가 언제 어떻게 네트워크에 접속할 것인지 예상할 수 없으며, 이러한 상황을 파악하기 위해서 특별한 방법이 없다.Impure users who want to access the network and eavesdrop on network information cannot predict when and how to access the network, and there is no special way to identify this situation.

이러한 어려움은 관리자로 하여금 관리의 부재를 야기시키며, 아이피(IP) 관리에 도움이 절대적으로 되지 않는 문제점이 있다. 그리고, 아이피(IP) 관리를 사용자별로 수행하기 위한 자료 수집 또한 절대적으로 필요하지만, 이것 역시 이루어지지 못하고 있는 문제점이 있다.This difficulty causes the manager to lack management, and there is a problem in that IP management is not absolutely helped. And, it is absolutely necessary to collect data for performing IP management for each user, but this also has a problem that has not been achieved.

본 발명의 목적은 이러한 종래의 문제점들을 해결하기 위하여, ARP 패킷을 분석함으로써 아이피(IP) 사용자를 실시간으로 감시하고 충돌을 감시하며 접근통제를 수행하여 네트워크 관리자로 하여금 IP 관리를 용이하게 할 수 있도록 하는 시스템 및 방법에 관한 것으로, 네트워크를 통해 ARP 패킷이 전송될 경우 각각의 ARP 패킷을 인터럽트하여 분석한 후 각 IP주소를 리스팅하고 아이피(IP) 충돌을 감시하고 관리자에게 통보함으로써 아이피(IP) 관리를 용이하게 할 수 있도록 하며 또한 불법 호스트의 네트워크 접속을 감시하고 이를 차단하기 위한, 아이피(IP) 충돌 검출 및 차단 시스템과 그 방법을 제공하는데 있다. In order to solve these problems, the present invention analyzes ARP packets to monitor IP users in real time, monitor collisions, and perform access control so that network administrators can easily manage IP. The present invention relates to a system and method for managing an IP packet by interrupting and analyzing each ARP packet when an ARP packet is transmitted through a network, listing each IP address, monitoring an IP collision, and notifying an administrator. The present invention provides an IP collision detection and blocking system and method for monitoring and blocking illegal host access to the network.

상기 목적을 달성하기 위한 수단으로서 본 발명의 IP 충돌 검출 및 차단 시스템은, 충돌 IP 검출 시스템이 다른 호스트와 정보를 공유할 수 있도록 통신 인터페이스를 제공하며 통신을 제어하는 커널을 제공하는 통신 인터페이스 모듈 및 통신 커널 모듈; As a means for achieving the above object, the IP collision detection and blocking system of the present invention includes a communication interface module that provides a communication interface and provides a kernel to control communication so that the collision IP detection system can share information with other hosts; Communication kernel modules;

네트워크 인터페이스인 물리적 장비와 상위의 통신 모듈과 연동하여 네트워크상으로 패킷을 전송하며, 네트워크 상에서 수신되는 패킷을 상위의 통신 모듈로 전달하는 네트워크 인터페이스 드라이버 모듈; A network interface driver module which transmits a packet over a network in association with a physical device which is a network interface and a higher communication module, and transmits a packet received on the network to a higher communication module;

네트워크 상의 연결 장치에 연결되는 네트워크 인터페이스 모듈;A network interface module connected to a connection device on a network;

네트워크 상에서 전달되는 모든 패킷을 수집하는 패킷 캡쳐 드라이버 모듈; A packet capture driver module that collects all packets delivered on the network;

상기 패킷 캡쳐 드라이버 모듈에서 수집된 패킷 중에서 ARP 패킷만을 여과하는 ARP 패킷 여과모듈;An ARP packet filtering module for filtering only ARP packets among packets collected by the packet capture driver module;

수집된 패킷이 충돌 IP 패킷인지 아닌지를 판단하고, 만약에 충돌 IP로 판단될 경우 그 결과를 리스팅하는 모듈로 전달하는 충돌 IP 판단모듈; A collision IP determination module that determines whether the collected packet is a collision IP packet and delivers the result to a module listing the result if it is determined that the packet is a collision IP;

접근차단 정책 리스트에 ARP 요청 패킷이 포함되어 있을 경우 접근 사실을 알리는 접근차단 판단모듈; An access blocking determination module for notifying access when the ARP request packet is included in the access blocking policy list;

상기 접근차단 판단모듈의 판단에 따라 접근 차단으로 판단된 패킷에 대해서 ARP 응답 패킷을 전송하여 네트워크 접근을 차단하는 접근 차단모듈;An access blocking module that blocks network access by transmitting an ARP response packet to a packet determined to be blocked by the access blocking determination module;

충돌 IP 검출 시스템을 운영하기 위한 설정 정보, 검출된 충돌 IP 리스트, 새로 발견된 호스트의 IP주소 및 MAC 주소 리스트 정보를 저장하는 정보 저장모듈; An information storage module for storing configuration information for operating the collision IP detection system, a detected collision IP list, a newly discovered host IP address and MAC address list information;

기 검출된 충돌 IP 정보를 내부적으로 리스팅하고 그 내용을 주기적으로 저장 매체에 저장하는 검색리스트 로깅 및 저장모듈; 및A search list logging and storage module for internally listing the detected collision IP information and periodically storing the contents of the detected collision IP information in a storage medium; And

검출된 충돌 IP 정보를 다른 시스템으로 전달하고, 그 사실을 관리자에게 알리기 위한 검출결과 알림모듈을 포함하며,A detection result notification module for transmitting the detected collision IP information to another system and informing the administrator of the fact;

네트워크 상에서 ARP 패킷이 수집될 경우 각각의 ARP 패킷을 확인하여 요청패킷과 응답패킷으로 구분한 후 새로운 요청패킷일 경우 리스트에 추가하고, 응답패킷이면서 입력 요청 ARP 패킷 리스트에 존재할 경우 충돌 사실을 확인함과 동시에 ARP 패킷의 접근을 차단하는 것을 특징으로 한다.When ARP packets are collected on the network, each ARP packet is checked and divided into request packet and response packet. Then, if a new request packet is added to the list, and if it is a response packet and exists in the input request ARP packet list, the collision is confirmed. At the same time it is characterized by blocking the access of the ARP packet.

상기한 구성에 의하면, 본 발명은 단일 시스템으로 구성되어 있어서 IP 네트워크 단의 길목에서 상기의 기능을 수행할 수 있으며, 그 결과 관리자의 운영 편의성을 제공할 수 있고, 값싼 가격으로 제공할 수 있을 뿐만 아니라 설치에 대한 부담을 최소로 줄일 수 있다.According to the above configuration, the present invention is configured as a single system can perform the above functions in the way of the IP network stage, as a result can provide the operational convenience of the administrator, can be provided at a low price However, the burden on installation can be reduced to a minimum.

이하, 본 발명의 바람직한 실시예를 첨부된 도면을 참조로 하여 상세히 설명한다. Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일실시예에 따른 충돌 IP 검출 및 차단 시스템을 보인 블록 구성도이다. 도 1에 도시되어 있는 바와 같이 본 발명의 일실시예에 따른 충돌 IP 검출 및 차단 시스템은, 프로세서 모듈(41), 정보 저장모듈(42), 검출결과 알림모듈(43), 접근차단 판단모듈(44), 접근차단 모듈(45), 검색 리스트 로깅 및 저장모듈(46), IP충돌 판단모듈(47), ARP패킷 여과모듈(48), 패킷 캡쳐 드라이버 모듈(49), 통신 인터페이스 모듈 및 통신 커널모듈(50), 네트워크 인터페이스 드라이버 모듈(51) 및 네트워크 인터페이스 모듈(52)을 포함한다. 1 is a block diagram showing a collision IP detection and blocking system according to an embodiment of the present invention. As shown in FIG. 1, the collision IP detection and blocking system according to an exemplary embodiment of the present invention includes a processor module 41, an information storage module 42, a detection result notification module 43, and an access blocking determination module ( 44), access blocking module 45, search list logging and storage module 46, IP collision determination module 47, ARP packet filtering module 48, packet capture driver module 49, communication interface module and communication kernel Module 50, network interface driver module 51, and network interface module 52.

상기 프로세서 모듈(41)은 IP 충돌 검출 시스템의 내부 프로세서 모듈로서 시스템을 운영하기 위한 사용자 인터페이스를 제공하는 모듈을 의미한다. The processor module 41 refers to a module that provides a user interface for operating the system as an internal processor module of the IP collision detection system.

상기 정보 저장모듈(42)은 IP 충돌 검출 시스템을 운영하기 위한 설정 정보 그리고 검출된 아이피(IP) 충돌의 아이피(IP) 주소 및 MAC 주소를 저장하는 곳으로 기본적으로 메모리로 운영되며, 프로그램이 종료할 때는 비 휘발성 저장 공간에 저장하여 다음에 재 사용할 수 있도록 한다. The information storage module 42 stores configuration information for operating the IP collision detection system, IP address and MAC address of the detected IP collision, and is basically operated as a memory, and the program is terminated. In a non-volatile storage space for later reuse.

상기 검출결과 알림모듈(43)은 검출된 IP 충돌 정보를 다른 시스템으로 전달하거나, 소리, 또는 깜빡임, 간단한 메시지 전송과 같은 방법으로 관리자에게 알리는 일을 수행하는 모듈을 의미한다. The detection result notification module 43 refers to a module that transmits the detected IP collision information to another system, or informs the administrator by a method such as sound, flickering, or simple message transmission.

상기 접근차단 판단모듈(44)은 검색된 호스트들과 새로이 등장할 호스트들에 대해서 네트워크에 접근할 수 있는지 없는지를 결정하여 접근 통제를 수행할 수 있도록 하는 것으로, 이 모듈이 사용하게 될 정보는 정보 저장모듈(42)에서 수집된 정보와 차단을 적용하기 위하여 만들어진 정책 정보를 바탕으로 판단을 하게 된다.The access blocking determination module 44 determines whether the network can be accessed or not for the searched hosts and the newly emerging hosts, and performs access control. The information to be used by the module is information storage. Decisions are made based on the information gathered in module 42 and the policy information created to apply the block.

상기 접근차단 모듈(45)은 상기 접근차단 판단모듈(44)에서의 판단에 따라 해당 호스트로 유니케스트 또는 브로드케스트 ARP 응답패킷을 전송하여 충돌을 일으키거나 제2의 MAC를 사용하여 전송하는 것에 의해 ARP 테이블 MAC 주소를 변경시킨다. 그 결과 접속을 시도하는 호스트는 접속이 이루어지지 않게 함으로써 차단을 수행할 수 있게 되는 것이다.The access blocking module 45 transmits a unicast or broadcast ARP response packet to the corresponding host according to the determination of the access blocking determining module 44 to cause a collision or to transmit using a second MAC. Change the ARP table MAC address. As a result, the host attempting to connect can perform blocking by preventing the connection.

상기 검색 리스트 로깅 및 저장모듈(46)은 기 검출된 아이피(IP) 충돌 정보를 내부적으로 나열하고 그 내용을 주기적으로 다른 저장 매체에 저장하는 일을 수행한다. The search list logging and storage module 46 internally lists the detected IP collision information and periodically stores the contents in another storage medium.

상기 IP 충돌 판단모듈(47)은 수집된 ARP 패킷들이 아이피(IP) 충돌 패킷인지 아닌지를 판단하게 되며, 판단결과 수집된 ARP 패킷이 아이피(IP) 충돌 패킷으로 판단되면 그 결과를 검색 리스트 로깅 및 저장모듈(46)로 전달하여 저장되게 한다. The IP collision determination module 47 determines whether the collected ARP packets are IP collision packets. If the collected ARP packets are determined to be IP collision packets, the IP collision determination module 47 determines whether the collected ARP packets are IP collision packets. Transfer to storage module 46 to be stored.

상기 ARP 패킷 여과모듈(48)은 수집된 모든 패킷을 처리하는 것은 아니며 ARP 패킷만을 사용한다. 따라서 이들 패킷이 아닌 것들은 모두 버린다. 그리고 모든 ARP 패킷에 대해서는 정보 저장모듈(42)로 전달한다. The ARP packet filtering module 48 does not process all collected packets, but uses only ARP packets. Therefore, all non-packets are discarded. Then, all ARP packets are transmitted to the information storage module 42.

상기 패킷 캡쳐 드라이버 모듈(49)은 네트워크 상에서 전달되는 모든 패킷을 수집하여 ARP 패킷 여과모듈(48)로 전달하게 되며, 이 여과모듈(48)에서는 수집된 패킷 중 ARP 패킷만을 여과하여 정보 저장모듈(42)로 전달하게 된다. The packet capture driver module 49 collects all packets transmitted on the network and delivers them to the ARP packet filtering module 48. The filtering module 48 filters only the ARP packets among the collected packets and stores the information storage module ( 42).

상기 통신 인터페이스 모듈 및 통신 커널모듈(50)은 아이피(IP) 충돌 검출 및 차단 시스템이 다른 호스트와 정보는 주고 받을 수 있도록 하기 위한 통신 인터페이스를 제공하면 통신을 제어하는 커널을 제공하는 일을 수행한다. The communication interface module and the communication kernel module 50 provide a kernel for controlling communication when the IP collision detection and blocking system provides a communication interface for exchanging information with another host. .

상기 네트워크 인터페이스 드라이버 모듈(51)은 네트워크 인터페이스인 물리적 장비와 상위의 통신모듈과 연동하여 네트워크상으로 패킷을 전송하며, 네트워크 상에서 수신되는 패킷을 상위의 통신모듈로 전달하는 역할을 수행한다. The network interface driver module 51 transmits a packet over a network in association with a physical device which is a network interface and a higher communication module, and delivers a packet received on the network to a higher communication module.

상기 네트워크 인터페이스 모듈(52)은 네트워크 상의 연결 장치에 연결되는 연결자이다.The network interface module 52 is a connector connected to a connection device on a network.

이와 같이 구성된 본 발명은, 아이피(IP) 충돌 검출 시스템의 내부 프로세서 모듈(41)을 통해 사용자로부터 운영정보가 입력되면, 그 운영정보 즉, 설정정보 및 충돌 IP 리스트를 정보저장 모듈(42)로 판단 설정정보를 전달함과 동시에 검출결과 알림 모듈(43)에 검출결과를 다른 시스템으로 알릴 것인지에 대한 제어정보를 전달한다. The present invention configured as described above, when operation information is input from the user through the internal processor module 41 of the IP (IP) collision detection system, the operation information, that is, the setting information and the conflict IP list to the information storage module 42 At the same time as the determination setting information is transmitted to the detection result notification module 43, the control information on whether to notify the detection system to other systems.

상기 정보저장 모듈(42)은 검색 리스트 로깅 및 저장 모듈(46)로부터 IP 충돌로 판단된 정보를 리스팅하기 위한 정보를 전달받아 저장하고, 동시에 프로세서 모듈(41)에서 전송된 운영정보를 검출결과 알림모듈(43)에서 그 저장된 정보를 요청할 경우 요청된 정보를 전송한다. The information storage module 42 receives and stores the information for listing the information determined as the IP collision from the search list logging and storage module 46 and simultaneously notifies the detection result of the operation information transmitted from the processor module 41. When the module 43 requests the stored information, it sends the requested information.

상기 IP 충돌 판단모듈(45)은 ARP 패킷 여과 모듈(48)로부터 여과된 ARP 패킷을 입력으로 하여 아이피(IP) 충돌을 판단하게 된다. 그리고 접근 차단 판단 모듈(44)은 정보저장 모듈(42)이 가지고 있는 아이피(IP)별 MAC 주소 리스트에 대한 접근 차단정책을 근거로 현재 들어온 ARP 패킷을 차단할 것인지, 아닌지를 판단하여 접근 차단모듈(45)로 그 정보를 전달하는 것에 의해 ARP 패킷을 차단시키게 된다.The IP collision determination module 45 determines an IP collision by inputting the ARP packet filtered from the ARP packet filtering module 48. In addition, the access blocking determination module 44 determines whether or not to block the current incoming ARP packet based on the access blocking policy for the MAC address list for each IP that the information storage module 42 has. The ARP packet is then blocked by passing the information on.

또한 패킷 캡쳐 드라이버 모듈(49)은 네트워크 인터페이스 드라이버 모듈(51)에서 네트워크로 수신된 모든 패킷을 ARP 패킷 여과모듈(48)로 전달하게 되며, 상기 네트워크 인터페이스 드라이버 모듈(51)은 통신 인터페이스 모듈 및 통신 커널 모듈(50)을 통해 내려오는 상위 패킷과 네트워크 인터페이스 모듈(51)에서 올라오는 하위 패킷을 송수신하게 된다.In addition, the packet capture driver module 49 transfers all packets received from the network interface driver module 51 to the network to the ARP packet filtering module 48, and the network interface driver module 51 communicates with the communication interface module and the communication module. The upper packet down through the kernel module 50 and the lower packet up through the network interface module 51 are transmitted and received.

도 2는 IP 충돌을 검출하고 접근 차단을 수행하기 위하여 ARP 패킷의 흐름을 보인 개념도로서, 일반적인 IP 네트워크 환경에서 ARP 패킷을 어떻게 수집하고, 아이피(IP) 충돌을 어떻게 검출하고, 또는 접근을 차단하는지에 대한 방법을 설명하고 있다.2 is a conceptual diagram showing the flow of ARP packets to detect IP collisions and perform access blocking. FIG. 2 illustrates how to collect ARP packets in a general IP network environment, how to detect IP collisions, and block access. It explains how.

도 2를 참조하면, 본 발명의 일실시예에 따른 아이피(IP) 충돌 검출 및 차단방법은, 스텝 S61에서와 같이 패킷 캡쳐 드라이버 모듈(49)에서 IP 네트워크 환경에서 모든 패킷을 캡쳐하여 분석할 수 있도록 네트워크 상에서 전달되는 모든 패킷을 수집하여 ARP 패킷 여과모듈(48)로 전달하게 되며, 이 여과모듈(48)에서는 수집된 패킷 중 ARP 패킷만을 여과하여 정보 저장모듈(42)로 전달하게 된다. Referring to FIG. 2, the IP collision detection and blocking method according to an embodiment of the present invention may capture and analyze all packets in an IP network environment in the packet capture driver module 49 as in step S61. All packets transmitted on the network are collected and transmitted to the ARP packet filtration module 48 so that only the ARP packets are collected from the collected packets and the information is transmitted to the information storage module 42.

스텝 S62에서는, S61 스텝에서 수집된 모든 패킷 중에서 ARP 패킷 여과모듈(48)을 통해 ARP 패킷만을 여과하는 일을 수행하는 것에 의해 ARP 패킷을 이용한 IP 네트워크 상에 존재하는 호스트를 검색하는 것에 의해 IP 충돌을 검출하고 차단을 수행하기 위한 기본적인 정보를 구한다. 이렇게 여과된 패킷은 다음 스텝으로 넘겨지게 된다.In step S62, the IP collision is performed by searching for a host existing on the IP network using the ARP packet by performing filtering the ARP packet only through the ARP packet filtering module 48 among all the packets collected in step S61. Detect basic information and obtain basic information to perform blocking. The filtered packet is passed to the next step.

즉, 스텝 S62에서는 사용자의 패킷 중에서 내부 세그먼트에서 호스트의 통신을 시작할 때 목적지 호스트의 물리적 주소(MAC)을 알아내기 위해서 ARP 프로토콜에 따라서 목적 물리적 주소를 검색하는 패킷을 발생시키고, 이때 ARP 패킷만을 여과함으로써 내부 사용자 호스트의 아이피(IP) 충돌 판단 정보로 사용하게 된다.That is, in step S62, a packet for searching for a target physical address according to the ARP protocol is generated in order to determine the physical address (MAC) of the destination host when starting communication of the host in the internal segment among the user's packets, and filtering only the ARP packet at this time. As a result, IP collision determination information of the internal user host is used.

스텝 S63에서는 스텝 S62에서 수집된 즉, ARP 패킷 여과모듈(48)에 의해 ARP 패킷 중에서 요청 패킷을 추출하여 그 패킷에서 요청하는 호스트의 IP주소와 MAC 주소를 알아내어 리스팅하고 이를 저장하는 역할을 수행한다. 이 리스트는 아이피(IP) 충돌을 검출하고 접근 통제를 위한 기초 데이터베이스 역할을 수행한다.In step S63, a request packet is extracted from the ARP packets collected in step S62, that is, the ARP packet filtering module 48, and the IP address and MAC address of the requesting host are found, listed, and stored. do. This list detects IP conflicts and acts as the underlying database for access control.

스텝 S64에서는 ARP 패킷 여과모듈(48)을 통해 여과된 ARP 패킷 리스트를 중심으로 IP 충돌 판단모듈(47)에서 충돌 IP를 검출하는 과정을 수행한다. 본 발명의 실시예에서는 리스트에 추가된 다음 ARP 응답 메시지가 주어진 시간(타임아웃 1초 내지 2초) 내에 3회 이상 발생하게 되면 동일한 아이피(IP)를 갖는 호스트가 동일한 네트워크 상에 존재하는 것으로 판단한다.In step S64, the IP collision determination module 47 detects the collision IP based on the ARP packet list filtered through the ARP packet filtering module 48. In the embodiment of the present invention, if the next ARP response message added to the list occurs more than three times within a given time (1 second to 2 seconds timeout), it is determined that a host having the same IP exists on the same network. do.

스텝 S65에서는 스텝 S63에서 만들어진 리스트를 중심으로 접근 차단모듈(45)을 통해 접근 차단을 수행하는 것으로, 수집된 네트워크 상의 각 호스트에 대하여 접근 통제에 대한 정책을 수립하여 각 호스트에 대한 통제를 수행할 수 있다. 만약에 접근 통제에 대한 정책은 그룹의 범위로 만들어 질 수도 있고, 각 개별 단위로 만들어 질 수도 있다.In step S65, access is blocked by the access blocking module 45 centering on the list made in step S63. A policy on access control is established for each host on the collected network to perform control on each host. Can be. If the policy for access control is to be made in a range of groups, it can be made in individual units.

즉, 접근차단 모듈(45)에서는 상기 접근차단 판단모듈(44)에서의 판단에 따라 해당 호스트로 유니케스트 또는 브로드케스트 ARP 응답패킷을 전송하여 충돌을 일으키거나 제2의 MAC를 사용하여 전송하는 것에 의해 ARP 테이블 MAC 주소를 변경시킨다. 그 결과 접속을 시도하는 호스트는 접속이 이루어지지 않게 함으로써 차단을 수행할 수 있게 되는 것이다.That is, the access blocking module 45 transmits a unicast or broadcast ARP response packet to the corresponding host according to the determination of the access blocking determining module 44 to cause a collision or to transmit using a second MAC. Change the ARP table MAC address. As a result, the host attempting to connect can perform blocking by preventing the connection.

도 3은 본 발명의 일실시예에 따른 아이피(IP) 충돌을 검출하기 위한 방법을 설명하기 위한 흐름도이다. 3 is a flowchart illustrating a method for detecting an IP collision according to an embodiment of the present invention.

도 3을 참조하면, 본 발명은 IP 충돌 검출 시스템(40)을 통과하는 모든 패킷을 패킷 캡쳐 드라이브 모듈(49)을 통해 수집하게 되며(S71), 여기서 수집된 패킷들 중에서 ARP 패킷만을 ARP 패킷 여과모듈(48)에서 여과하는 작업을 수행하고(S72), 접근차단 판단모듈(44)에서 ARP 패킷인지를 판단한다(S73). Referring to FIG. 3, the present invention collects all packets passing through the IP collision detection system 40 through the packet capture drive module 49 (S71), where only ARP packets are filtered out of the collected packets. The operation of filtering in the module 48 is performed (S72), and the access blocking determination module 44 determines whether it is an ARP packet (S73).

스텝 S73에서는 수집된 ARP 패킷인지를 확인하게 되는데 이때 ARP 패킷이 아닌 것은 패킷은 모두 버리고 다음 패킷을 읽는다. 만약에 ARP 패킷이 확인되면 여과된 ARP 패킷이 ARP 요청 패킷인지 ARP 응답 패킷인지를 확인한다(S74). 만약에 요청 ARP 패킷이면 아이피(IP)별로 새로 발견되는 ARP 요청 패킷에서 MAC 주소를 찾아서 시간과 함께 호스트 리스트에 추가 저장한다. 그리고 이미 있는 IP인 경우에는 MAC과 시간을 갱신하여 저장한다. 그리고 다음 패킷을 읽는다(S75).In step S73, it is checked whether or not the collected ARP packet is discarded. At this time, all packets other than the ARP packet are discarded and the next packet is read. If the ARP packet is confirmed, it is checked whether the filtered ARP packet is an ARP request packet or an ARP response packet (S74). If the request is an ARP packet, the MAC address is found in the newly discovered ARP request packet for each IP and stored in the host list with time. If the IP already exists, the MAC and time are updated and stored. Then, the next packet is read (S75).

반대로 여과된 패킷이 ARP 패킷이 응답패킷일 경우에는 스텝 S76의 단계를 수행한다. 스텝 S76은 ARP 응답 메시지를 처리하는 단계로서 어떤 하나의 호스트가 ARP 요청을 위해 브로드캐스트 패킷을 발생하면 이 해당하는 호스트는 응답 ARP 패킷을 발생시킨다. 이것의 의미는 이미 네트워크상에 아이피(IP)를 사용하고 있는 호스트가 있다라는 것을 확인시키기 위한 것임을 말한다. In contrast, if the filtered packet is an ARP packet and a response packet, the step S76 is performed. Step S76 is a step of processing an ARP response message. If a host generates a broadcast packet for an ARP request, the corresponding host generates a response ARP packet. This means that there is already a host using IP on the network.

본 발명의 검출 시스템에서는 이러한 사실을 바탕으로 응답 ARP 패킷이 3회 이상 주어진 시간 내에 발생하는지를 검사하도록 설계되어 있다. 그러므로 이 단계에서는 ARP 응답 패킷이 발생하면 각 아이피(IP) 마다 응답 ARP 패킷 발생 카운터를 가지고 있고 이 패킷이 발생할 때 마다 1씩 증가시킨다.The detection system of the present invention is designed to check whether the response ARP packet occurs more than three times within a given time based on this fact. Therefore, in this step, when an ARP response packet is generated, each IP has a response ARP packet generation counter and is incremented by one each time this packet is generated.

스텝 S77은 충돌 판단모듈(47)에서 IP 충돌을 판단하는 단계로서, 각 아이피(IP)별로 주어진 시간(예를 들면, 타임아웃 1초 내지 2초) 내에 응답 ARP 패킷이 3회 이상 발생했는지를 확인한다. 즉, 응답 ARP 카운터를 확인하여 3회 이상이면 이 아이피(IP)가 충돌한 것으로 판단하고, 충돌로 판단된 아이피(IP)와 그것의 부가적인 정보를 충돌 리스트에 추가 저장하게 되며(S78), 그렇지 않을 경우 아이피(IP)별 응답 ARP 카운터를 0으로 설정한 후, 다음 패킷을 읽는다(S79).Step S77 is a step of judging an IP collision in the collision determination module 47, and it is determined whether the response ARP packet has occurred more than three times within a given time (for example, a timeout of 1 second to 2 seconds) for each IP. Check it. That is, if the response ARP counter is checked more than three times, it is determined that the IP has collided, and the IP determined as the collision and its additional information are additionally stored in the collision list (S78). If not, the response ARP counter for each IP (IP) is set to 0, and the next packet is read (S79).

도 4는 본 발명의 일실시예에 따른 접근 차단방법을 설명하기 위한 흐름도이다. 4 is a flowchart illustrating a method for blocking access according to an embodiment of the present invention.

도 4를 참조하면, 본 발명은 IP 충돌 검출 시스템(40)을 통과하는 모든 패킷을 수집하게 되며(S81), 여기서 수집된 패킷들 중에서 ARP 패킷만을 여과하는 작업을 수행한 후(S82), ARP 패킷인지를 판단한다(S83). Referring to FIG. 4, the present invention collects all packets passing through the IP collision detection system 40 (S81), and performs filtering of only ARP packets among the collected packets (S82). It is determined whether the packet (S83).

즉, 스텝 S83에서는 수집된 ARP 패킷인지를 확인하게 되는데, 이때 ARP 패킷이 아닌 것은 모두 버리고 다음 패킷을 읽는다. 만약에 ARP 패킷으로 확인되면 그 ARP 패킷이 요청 ARP 패킷인지 응답 ARP 패킷인지를 확인한다(S84). That is, in step S83, it is checked whether or not the collected ARP packet is found. At this time, all the non-ARP packets are discarded and the next packet is read. If it is confirmed as an ARP packet, it is checked whether the ARP packet is a request ARP packet or a response ARP packet (S84).

스텝 84에서 판단한 결과, 수집된 ARP 패킷이 요청 ARP 패킷이면 ARP 요청 패킷으로 IP 또는 MAC주소 차단 정책 리스트를 검색하여(S85), 차단이 적용되는 것인지 아닌지를 판단한다(S86).As a result of the determination in step 84, if the collected ARP packet is the requested ARP packet, the IP or MAC address blocking policy list is searched with the ARP request packet (S85), and it is determined whether or not blocking is applied (S86).

스텝 S86에서 판단한 결과, ARP 패킷이 정책 차단 리스트에 존재하지 않을 경우에는 다음 패킷을 수집하고, 반대로 ARP 패킷이 정책 차단 리스트에 존재할 경우에는 IP 호스트로 ARP 응답 패킷을 유니캐스팅(Unicasting)한 후(S87), 응답 ARP 패킷을 브로드캐스팅(Broadcasting)하는 것에 의해 패킷을 차단시킨다(S88).As a result of the determination in step S86, if the ARP packet does not exist in the policy block list, the next packet is collected; conversely, if the ARP packet exists in the policy block list, after unicasting the ARP response packet to the IP host ( S87) Block the packet by broadcasting the response ARP packet (S88).

이상에서 설명한 바와 같이 본 발명은 아이피(IP) 네트워크 환경에서 망 관리자에게 중앙 집중적 아이피(IP) 주소 관리를 가능하게 할 뿐만 아니라 강력한 네트워크 접속 제어를 할 수 있고, 신속한 아이피(IP) 충돌 장애 발견과 해결을 할 수 있고, 이 결과 관리자는 사용자에게 보다 좋은 서비스 품질을 제공할 수 있다. As described above, the present invention not only enables centralized IP address management for network administrators in IP network environment, but also enables powerful network access control, and enables rapid IP collision failure detection and Solution, and as a result, administrators can provide users with better quality of service.

도 1은 본 발명의 일실시예에 따른 IP 충돌 검출 및 접근 차단 시스템 구성도이다. 1 is a block diagram of an IP collision detection and access blocking system according to an embodiment of the present invention.

도 2는 본 발명의 일실시예에 따른 아이피(IP) 충돌 검출 및 차단 방법의 개념을 보인 흐름도이다. 2 is a flowchart illustrating a concept of an IP collision detection and blocking method according to an embodiment of the present invention.

도 3은 본 발명의 일실시예에 따른 아이피(IP) 충돌 검출방법을 보인 동작 흐름도이다. 3 is a flowchart illustrating an IP collision detection method according to an embodiment of the present invention.

도 4는 본 발명의 일실시예에 따른 접근 차단방법을 보인 동작 흐름도이다. 4 is a flowchart illustrating an access blocking method according to an embodiment of the present invention.

*도면의 주요부분에 대한 부호의 설명** Description of the symbols for the main parts of the drawings *

41;프로세서 모듈 42;정보저장 모듈 41; processor module 42; information storage module

43;검출결과 알림모듈 44;접근차단 판단모듈43; detection result notification module 44; access blocking determination module

45;접근차단 모듈 46;검색 리스트 로깅 및 저장모듈45; access blocking module 46; search list logging and storage module

47;IP 충돌 판단모듈 48;ARP 패킷 여과 모듈47; IP collision determination module 48; ARP packet filtering module

49;패킷 캡쳐 드라이버 모듈 50;통신 인터페이스 및 통신 커널모듈 49; packet capture driver module 50; communication interface and communication kernel module

51;네트워크 인터페이스 드라이버 모듈 51; network interface driver module

52;네트워크 인터페이스 모듈 52; network interface module

Claims (3)

(정정) 충돌 IP 검출 시스템이 다른 호스트와 정보를 공유할 수 있도록 통신 인터페이스를 제공하며 통신을 제어하는 커널을 제공하는 통신 인터페이스 모듈 및 통신 커널 모듈; (Correction) a communication interface module and a communication kernel module providing a kernel for controlling communication and providing a communication interface so that the collision IP detection system can share information with other hosts; 네트워크 인터페이스인 물리적 장비와 상위의 통신 모듈과 연동하여 네트워크상으로 패킷을 전송하며, 네트워크 상에서 수신되는 패킷을 상위의 통신 모듈로 전달하는 네트워크 인터페이스 드라이버 모듈; A network interface driver module which transmits a packet over a network in association with a physical device which is a network interface and a higher communication module, and transmits a packet received on the network to a higher communication module; 네트워크 상의 연결 장치에 연결되는 네트워크 인터페이스 모듈;A network interface module connected to a connection device on a network; 네트워크 상에서 전달되는 모든 패킷을 수집하는 패킷 캡쳐 드라이버 모듈; A packet capture driver module that collects all packets delivered on the network; 상기 패킷 캡쳐 드라이버 모듈에서 수집된 패킷 중에서 ARP 패킷만을 여과하는 ARP 패킷 여과모듈;An ARP packet filtering module for filtering only ARP packets among packets collected by the packet capture driver module; 수집된 패킷이 충돌 IP 패킷인지 아닌지를 판단하고, 만약에 충돌 IP로 판단될 경우 그 결과를 리스팅하는 모듈로 전달하는 충돌 IP 판단모듈; A collision IP determination module that determines whether the collected packet is a collision IP packet and delivers the result to a module listing the result if it is determined that the packet is a collision IP; 접근차단 정책 리스트에 ARP 요청 패킷이 포함되어 있을 경우 접근 사실을 알리는 접근차단 판단모듈; An access blocking determination module for notifying access when the ARP request packet is included in the access blocking policy list; 상기 접근차단 판단모듈의 판단에 따라 접근 차단으로 판단된 패킷에 대해서 ARP 응답 패킷을 전송하여 네트워크 접근을 차단하는 접근 차단모듈;An access blocking module that blocks network access by transmitting an ARP response packet to a packet determined to be blocked by the access blocking determination module; 충돌 IP 검출 시스템을 운영하기 위한 설정 정보, 검출된 충돌 IP 리스트, 새로 발견된 호스트의 IP주소 및 MAC 주소 리스트 정보를 저장하는 정보 저장모듈; An information storage module for storing configuration information for operating the collision IP detection system, a detected collision IP list, a newly discovered host IP address and MAC address list information; 기 검출된 충돌 아이피(IP) 정보를 내부적으로 리스팅하고 그 내용을 주기적으로 저장 매체에 저장하는 검색리스트 로깅 및 저장모듈; 및A search list logging and storage module which internally lists the detected collision IP information and periodically stores the contents in the storage medium; And 검출된 충돌 아이피(IP) 정보를 다른 시스템으로 전달하고, 그 사실을 관리자에게 알리기 위한 검출결과 알림모듈을 포함하여 이루어지며,Including the detection result notification module for transmitting the detected collision IP (IP) information to another system, and informs the administrator of the fact, 네트워크 상에서 ARP 패킷이 수집될 경우 각각의 ARP 패킷을 확인하여 요청패킷과 응답패킷으로 구분한 후 새로운 요청패킷일 경우 리스트에 추가하고, 응답패킷이면서 입력 요청 ARP 패킷 리스트에 존재할 경우 충돌 사실을 확인함과 동시에 ARP 패킷의 접근을 차단하는 것을 특징으로 하는, IP 충돌 검출 및 차단 시스템.When ARP packets are collected on the network, each ARP packet is checked and divided into request packet and response packet. Then, if a new request packet is added to the list, and if it is a response packet and exists in the input request ARP packet list, the collision is confirmed. And at the same time blocking access to the ARP packet. (정정) 클라이언트와 서버사이에 개재되어 아이피(IP) 충돌 검출 및 차단 시스템을 통해 IP 충돌을 검출함에 있어서,(Correction) In detecting an IP collision through an IP collision detection and blocking system interposed between a client and a server, 네트워크를 통해 접근하는 모든 패킷들을 수집하는 단계;Collecting all packets that access through the network; 상기 수집된 패킷들 중 ARP 패킷만을 여과하는 단계;Filtering only ARP packets among the collected packets; 수집된 상기 ARP 패킷이 ARP 요청 패킷인지 ARP 응답 패킷인지를 판별하는 단계;Determining whether the collected ARP packet is an ARP request packet or an ARP response packet; 수집된 패킷이 ARP 요청 패킷일 경우 IP주소별로 MAC 주소를 리스트에 추가하는 단계;Adding the MAC address to the list for each IP address if the collected packet is an ARP request packet; ARP 패킷이 ARP 응답 패킷일 경우 카운트를 1씩 증가시키는 단계;Incrementing the count by one if the ARP packet is an ARP response packet; 상기 ARP 응답 패킷을 IP별로 타임아웃 시간내에 설정된 횟수 이상인가를 판단하고 설정된 횟수 이상일 경우 IP 충돌로 판단하여 리스트에 추가하는 단계; 및Determining whether the ARP response packet is equal to or greater than the set number of times within the timeout period for each IP, and determining that the ARP response packet is equal to or greater than the set number of times by the IP collision; And 상기 타임아웃 시간내에 상기 ARP 응답 패킷이 설정된 회수 이하일 경우 IP별 카운터를 리셋하는 단계를 포함하여 이루어지는 것을 특징으로 하는 아이피(IP) 충돌 검출 및 차단 방법.And resetting a counter for each IP when the ARP response packet is less than or equal to a predetermined number of times within the timeout period. 삭제delete
KR10-2002-0039010A 2002-07-05 2002-07-05 IP collision detection/ Interseption method thereof KR100478910B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2002-0039010A KR100478910B1 (en) 2002-07-05 2002-07-05 IP collision detection/ Interseption method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0039010A KR100478910B1 (en) 2002-07-05 2002-07-05 IP collision detection/ Interseption method thereof

Publications (2)

Publication Number Publication Date
KR20040003977A KR20040003977A (en) 2004-01-13
KR100478910B1 true KR100478910B1 (en) 2005-03-28

Family

ID=37314934

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0039010A KR100478910B1 (en) 2002-07-05 2002-07-05 IP collision detection/ Interseption method thereof

Country Status (1)

Country Link
KR (1) KR100478910B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101099083B1 (en) 2006-03-13 2011-12-26 (주)닥터소프트 Network resource management system and method
KR102445916B1 (en) * 2021-09-09 2022-09-21 스콥정보통신 주식회사 Apparatus and method for managing terminal in network

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100448202C (en) * 2004-12-24 2008-12-31 联想(北京)有限公司 Method and device for detecting conflict of IP addresses in networked computers
KR100992968B1 (en) 2007-04-06 2010-11-08 삼성전자주식회사 Network switch and method for protecting ip address conflict thereof
KR101039092B1 (en) * 2011-01-21 2011-06-07 (주)넷맨 Method for protecting and isolating host in internet protocol version 6 network
CN114422481B (en) * 2021-12-13 2024-03-15 科华数据股份有限公司 Network equipment management method and related device

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000076845A (en) * 1999-03-30 2000-12-26 포만 제프리 엘 Multiple arp functionality for an ip data transmission system

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000076845A (en) * 1999-03-30 2000-12-26 포만 제프리 엘 Multiple arp functionality for an ip data transmission system

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101099083B1 (en) 2006-03-13 2011-12-26 (주)닥터소프트 Network resource management system and method
KR102445916B1 (en) * 2021-09-09 2022-09-21 스콥정보통신 주식회사 Apparatus and method for managing terminal in network
WO2023038224A1 (en) * 2021-09-09 2023-03-16 스콥정보통신 주식회사 Apparatus and method for managing terminal in network

Also Published As

Publication number Publication date
KR20040003977A (en) 2004-01-13

Similar Documents

Publication Publication Date Title
KR100992968B1 (en) Network switch and method for protecting ip address conflict thereof
US7725939B2 (en) System and method for identifying an efficient communication path in a network
EP1313290B1 (en) A personal firewall with location dependent functionality
US7340768B2 (en) System and method for wireless local area network monitoring and intrusion detection
US7474655B2 (en) Restricting communication service
US20070022211A1 (en) Packet transfer system, communication network, and packet transfer method
US20090168645A1 (en) Automated Network Congestion and Trouble Locator and Corrector
US20040103314A1 (en) System and method for network intrusion prevention
US20010014912A1 (en) Distributed security system for a communication network
JP2004364306A (en) System for controlling client-server connection request
US7596808B1 (en) Zero hop algorithm for network threat identification and mitigation
US20050198242A1 (en) System and method for detection/interception of IP collision
JP2011151514A (en) Traffic volume monitoring system
KR100478910B1 (en) IP collision detection/ Interseption method thereof
CN102045379A (en) Method and system for IP storage and storage equipment
JP2018511282A (en) WIPS sensor and terminal blocking method using the same
KR100504389B1 (en) IP Public ownership flag detection system and the method
KR101881061B1 (en) 2-way communication apparatus capable of changing communication mode and method thereof
US20050273606A1 (en) Communication system, communication apparatus, operation control method, and program
US20060185009A1 (en) Communication apparatus and communication method
WO2019107794A1 (en) Communication management apparatus and method
JP4029898B2 (en) Network equipment
JP2007208575A (en) Unauthorized traffic managing device and system
KR102555773B1 (en) Network tunneling-based communication control system
KR102394674B1 (en) Address management apparatus and address management method

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
J201 Request for trial against refusal decision
AMND Amendment
B701 Decision to grant
GRNT Written decision to grant
O035 Opposition [patent]: request for opposition
O132 Decision on opposition [patent]
O074 Maintenance of registration after opposition [patent]: final registration of opposition
FPAY Annual fee payment

Payment date: 20130228

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20140207

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20150206

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20151229

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20170106

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20171228

Year of fee payment: 14

FPAY Annual fee payment

Payment date: 20200103

Year of fee payment: 16