KR100706757B1 - 분산 네트워크 환경에서 2mac 인증 패킷을 이용한공격자 추적 방법 - Google Patents

분산 네트워크 환경에서 2mac 인증 패킷을 이용한공격자 추적 방법 Download PDF

Info

Publication number
KR100706757B1
KR100706757B1 KR1020050028192A KR20050028192A KR100706757B1 KR 100706757 B1 KR100706757 B1 KR 100706757B1 KR 1020050028192 A KR1020050028192 A KR 1020050028192A KR 20050028192 A KR20050028192 A KR 20050028192A KR 100706757 B1 KR100706757 B1 KR 100706757B1
Authority
KR
South Korea
Prior art keywords
attacker
2mac
information
packet
router
Prior art date
Application number
KR1020050028192A
Other languages
English (en)
Other versions
KR20060106015A (ko
Inventor
이임영
서대희
유형준
Original Assignee
이임영
프롬투정보통신(주)
서대희
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 이임영, 프롬투정보통신(주), 서대희 filed Critical 이임영
Priority to KR1020050028192A priority Critical patent/KR100706757B1/ko
Publication of KR20060106015A publication Critical patent/KR20060106015A/ko
Application granted granted Critical
Publication of KR100706757B1 publication Critical patent/KR100706757B1/ko

Links

Images

Classifications

    • AHUMAN NECESSITIES
    • A63SPORTS; GAMES; AMUSEMENTS
    • A63BAPPARATUS FOR PHYSICAL TRAINING, GYMNASTICS, SWIMMING, CLIMBING, OR FENCING; BALL GAMES; TRAINING EQUIPMENT
    • A63B5/00Apparatus for jumping
    • A63B5/20Skipping-ropes or similar devices rotating in a vertical plane
    • AHUMAN NECESSITIES
    • A63SPORTS; GAMES; AMUSEMENTS
    • A63BAPPARATUS FOR PHYSICAL TRAINING, GYMNASTICS, SWIMMING, CLIMBING, OR FENCING; BALL GAMES; TRAINING EQUIPMENT
    • A63B2225/00Miscellaneous features of sport apparatus, devices or equipment
    • A63B2225/09Adjustable dimensions

Abstract

본 발명은 분산 네트워크 환경에서 2MAC 인증 패킷을 이용한 공격자 추적 방법에 관한 것이다. 본 발명은, 기존의 네트워크에서 비효율적이면서 제한적 추적기법을 대신하여 안전성을 기반으로한 2MAC 패킷을 이용해 공격자를 추적함으로서, 공격자가 피공격자를 공격하고자 할 경우 라우터 접속을 위한 네트워크 접속 정보인 NIC(Network Interface Card)의 MAC(Media Access Control)과 암호학적 해쉬함수 값인 MAC(Message Authentication Code)을 생성하고 최초 접속 라우터로부터 최종 라우터까지의 접속이 이루어져 피공격자를 공격할 경우 2개의 MAC 정보를 기반으로 공격자가 최초 접속했던 라우터로부터의 공격 차단을 통해 공격자의 네트워크 연결 자체를 차단함으로써 향후 예측되는 다양한 우회 공격 방법으로부터 내부 네트워크의 안전성을 지속적으로 유지 할 수 있다.
공격자 추적, MAC(Media Access Control), MAC(Message Authentication Code)

Description

분산 네트워크 환경에서 2MAC 인증 패킷을 이용한 공격자 추적 방법 {A Method of Attacker trace techniques applying 2MAC authentication packet in Distribution Network}
도 1은 본 발명의 실시예에 따른 네트웍 공격자의 역추적 방식을 개략적으로 도시한 도면이다.
도 2는 본 발명의 실시예에 따른 2MAC 인증 패킷을 이용한 공격자 역추적 방법을 간략하게 도시한 흐름도이다.
본 발명은 2MAC 인증 패킷을 이용한 공격자 추적 방법에 관한 것으로서, 보다 상세하게는 분산 네트워크 환경에서 안전한 내부 네트워크 사용 및 관리를 위해 모든 패킷 또는 인증 패킷에 NIC의 하드웨어적 주소와 암호학적 해쉬 함수값을 생성 및 적용함으로써 발생 가능한 공격자에 의한 피공격자의 정보 침해 행위를 방지하는 동시에 공격자와 관련된 정보를 추출하여 확인함으로서 추적성 및 안전성을 획득할 수 있는 공격자 역추적 방식에 관한 것이다.
네트워크 공격은 그 절차 및 기법이 이미 잘 알려져 있어 잠재적인 취약점을 방어하기 위한 수단이 많이 강구되어 왔다. 네트워크 공격의 순서는 공격대상에 대한 "정보수집 단계", 수집한 정보를 바탕으로 "시스템 침입 단계", 그리고 지속적인 침입 및 다른 시스템의 공격을 위한 "공격 전이 단계"를 거치게 된다.
정보수집은 네트워크 공격의 첫 번째 단계로 공격대상 네트워크에 대한 정보를 파악하는 것이다. 주로 네트워크 토폴러지, 시스템 OS(Operating System), 네트워크 장치의 종류, 그리고 WWW(World Wide Web), FTP(File Transfer Protocol) 등 공격대상 네트워크가 제공하는 서비스와 버전 정보를 수집한다. 정보수집 방법은 스캔 공격도구를 이용하는 것에서부터, 다양한 네트워크 서버가 제공하는 정보를 수집하는 방법에 이르기까지 상당히 다양하며, 파이어월을 우회할 수 있는 방법도 존재한다. "정보수집단계"는 공격대상 네트워크에 어떠한 호스트가 있으며, 이 호스트가 어떠한 서비스를 제공하는가, 그리고 네트워크가 어떻게 구성되어 있는가를 파악하여 최종 공격 대상을 찾아내는 단계이다.
정보수집 단계에서 시스템 및 서비스 탐지를 수행하기 위해서는 공격 대상 네트워크에 시스템이 있는지를 파악하기 위하여 일반적으로 "Ping"을 이용한 공격도구를 사용한다. 또한, DNS(Domain Name Server) 서버를 조회하여 어떠한 시스템이 있는지를 파악할 수도 있다. 시스템의 존재여부에 대한 정보수집이 끝나면, 각 시스템이 어떠한 서비스를 제공하고 있는지를 점검하기 위해 열려진 포트를 점검한다. 특히, 버그가 있는 서비스를 집중적으로 조사하게 되며, 이러한 과정은 Sscan, Mscan, vanilla scanner 등 "취약점 스캐너" 또는 "포트 스캐너"라는 자동화된 공격도구를 이용한다. 일반적으로 시스템의 존재여부와 서비스에 대한 스캔은 동시에 이루어진다.
공격자는 좀더 세밀한 공격을 위하여 해당 시스템의 OS 버전에 대한 정보수집을 한다. OS 버전을 탐지하는 기술은 "IP stack fingerprinting" 이라는 특성을 이용한다. 시스템에 따라 IP stack의 구현이 다른 점을 이용하여, 특정 패킷을 만들어 보내어 그 응답에 따라 시스템을 구별해내는 방법이다. 대표적인 도구로는 queso, nmap을 들 수 있다.
네트워크 포폴러지는 호스간의 거리를 나타내는 "hop count"를 이용하여 알아낼 수 있으며, "traceroute" 프로그램을 응용한 공격도구를 이용한다. 또한 파이어월에 의해 보호되는 시스템에 대한 정보 및 파이어월 자체의 필터링 규칙 정보를 수집하는 방법도 존재한다. 이러한 공격은 대부분의 파이어월이 필터링하지 않는 특정 ICMP(Internet Control Message Protocol) type 패킷이나 UDP(User Datagram Protocol)를 이용한 traceroute 패킷을 이용하며, 대표적인 공격도구로는 Firewalk, hping, nmap 등이 있다.
DNS, SNMP(Simple Network Management Protocol), Sednmail, NetBIOS 등 일반 네트워크 서버가 제공하는 정보를 수집하여 공격에 유용하게 사용할 수 있다. DNS의 경우 "zone transfer" 또는 일반적인 Query를 이용하여 등록된 호스트의 정보를 알 수 있으며, 잘못 설정된 SNMP는 네트워크의 토폴러지 및 각 종 네트워크 정보를 알려준다. 또한 라우터를 통하여 중요한 정보를 알아낼 수 있는 방법도 존재한다.
시스템 침입단계는 실제 개별 시스템에 침입하는 단계로 정보수집단계에서 수집한 정보를 바탕으로 가장 취약한 부분을 공격하게 된다. 일반적으로 버그가 있는 네트워크 서버를 공격하게 되는데 sadmind, amd, amountd, statd, POP, Imap 등 각종 서버의 원격 버퍼오버플로우(Buffer Overflow) 취약점을 공격한다. 그밖에 서버의 설정 오류를 이용하는 방법도 있으며, 패스워드 파일을 획득한 경우에는 "Crack"이라는 과정을 거쳐 패스워드를 해독하여 침입할 수도 있다.
시스템 침입단계에 사용되는 방법은 이미 잘 알려져 있고 많은 공격도구들이 공개되어 있으며 체계화되어 있다. 따라서 시스템/네트워크에 대해 깊은 지식이 없는 소위 "Script kiddies"라 불리는 해킹 관심자들도 누구나 손쉽게 시스템에 침입할 수 있다. "공격전이 단계"는 1차적인 시스템 침입 이후에 일어나는 침입을 말하는데, 1차적인 침입으로부터 얻은 정보 및 추가 작업을 통하여 시스템 침입을 확대하고 다른 시스템에 침입하는 단계이다.
일단 시스템 침입이 성공하고 나면 공격자는 시스템 침입흔적을 제거하게 된다. 또한 정보수집단계로 인하여 남은 흔적도 제거하게 된다. 또한 일반 계정으로 침입한 경우에는 충분한 권한(유닉스의 경우 root 권한)을 갖기 위하여 로컬 시스템의 취약점을 공격하게 되는데, 대부분의 시스템에서 이러한 취약점을 갖고 있다. 그리고 재 침입을 위하여 비인가된 접근을 제공해주는 "백도어"를 설치하게 되는데 이러한 백도어는 데몬 서비스 형태, 또는 서비스의 비정상적인 설정 등을 이용하여 특정 포트를 열어놓게 된다. 이러한 작업을 손쉽게 해주는 툴킷이 존재하는데 흔히 "rootkit"이라 부르며 시스템 종류별로 다양한 도구가 존재한다.
공격자는 시스템 침입에 성공한 시스템을 이용하여 보다 심도 있는 공격을 수행하게 된다. 가장 전통적인 방법은 "Password Sniffer"로 자신이 침입한 시스템에 설치하여 공격대상 네트워크상의 Telnet. POP(Post Office Protocol), FTP 등에 대한 트래픽을 감시하며, 사용자 이름과 패스워드를 수집한다. 또한 침입한 시스템과 "신뢰관계"에 있는 시스템의 정보를 알아내어 별도의 공격을 하지 않고도 인가된 사용자로서 다른 시스템을 공격할 수도 있다. 가장 대표적인 예가 "r" 계열의 명령을 사용하는 경우이며, 이외에도 데이터베이스에 접근할 수 있는 경우도 있다.
공격전이의 또 다른 경우는 침입에 성공한 시스템을 다른 네트워크를 공격하기 위한 경유지로 사용하는 것이다. 이 경우 다시 정보수집단계부터 새로이 시작하게 된다. 경유지를 이용하는 이유는 공격자의 흔적을 추적하기 어렵게 하기 위함이며, 많은 경우에 있어 최소 2 - 5개 사이트 이상을 경유지로 사용한다. 시스템 침입의 많은 경우가 이러한 경유지로 사용하기 위함이다. 공격자 추적 방법중 가장 대표적인 방법은 Reactive 방법으로 구체적인 기법은 오버레이(Overlay)네트워크 방식. 해쉬기반 역추적 기술 및 IPSec 기반의 역추적 기법 등으로 나눌 수 있다.
오버레이 네트워크 기반 역추적은 역추적 라우터(Tracking Router) 모듈을 네트워크에 별도로 설치하고 해킹 공격이 발생하였을 경우, 네트워크 위상에서의 종단 시스템과 연결된 라우터에서 전달된 정보를 TR로 전송한다. 즉, 기존의 ingress 필터링 기법과 유사하게 종단 라우터에서 보내진 트래픽 정보는 터널링 방식으로 TR 라우터에 전달된다. 각 패킷에 대해 20바이트 정보의 패킷 서명(Packet Signature) 정보를 생성하여 TR(Tandem Route)로 전달하게 된다. TR에서 수집된 패킷 관련 정보등을 재구성하여 실제로 패킷이 전달된 경로를 분석하는 기법이지만, 네트워크 구성상 단일 TR로 전체 네트워크를 관리할 수 없기 때문에 소단위 네트워크에 적합한 기법이다. 또한 단일 ISP(Internet Service Provider) 네트워크 환경에는 적용할 수 없다. 또한 해킹 공격은 짧은 기간 동안에 수행될 수도 있기 때문에 전체 경로를 역 추적하는데 어려움이 발생할 수도 있기 때문에, 공격자에 의해서 터널링 된 패킷이 위조될 수도 있기 때문에 보안상의 문제가 발생하게 된다.
해쉬 기반 역추적은 SPIE(Source Path Isolation Engine)기반 역추적 서버를 구성하고 전체 네트워크를 서브 그룹으로 나누어 각 그룹별로 에이전트를 두어 망을 관리한다. 그리고 각 라우터에는 DGA(Data Generation Agent)기능을 탑재하여 운영한다. DGA에서는 해당 라우터에 전달된 패킷에 대해 패킷의 메시지 해쉬값에 해당하는 IP 헤더 정보와 8바이트 정보의 payload 정보를 수집 관리하고 이를 bloom filter 구조로 저장하게 된다. 만일 목적지 시스템에 있는 IDS(Intrusion Detecting System) 시스템에 의해 해킹을 발견하였을 경우 SPIE 시스템에서는 네트워크 그룹을 관리하는 SCAR 에이전트를 통해 그룹내 DGA 라우터에 저장된 정보와 해킹 패킷 정보를 비교 분석하여 이를 다시 SPIE 시스템에 전달하게 되면 해킹 관련 패킷의 전송 경로를 재구성하게 된다.
본 기법을 적용하기 위해서는 SPIE, SCAR 및 DGA기능을 구축하여야 하며 추 가적인 모듈로 제공되기 때문에 이기종 환경의 ISP간 적용도 가능하다. 실험결과 0.5% 정도의 추가적인 해쉬 정보가 생성되어 전달되며, SCAR에서는 주기적으로 패킷에 대한 해쉬값을 관리하기 위한 메모리가 필요하다.
IPSec 기반 역추적은 오버레이 네트워크 기반 역추적 기법에서 발생하는 터널링 과정에서의 보안상 취약점을 보완하기 위해 제시된 기법이다. 전체 네트워크에 대한 위상을 각 라우터가 알고 있다는 가정 하에 해킹 공격이 발생하게 되면 네트워크상의 라우터와 피해 시스템간에 IPSec 연결이 구성되어 공격자에 의한 공격 패킷이 해당 라우터를 통해 전송될 경우 IPSec 터널을 통해 경로 정보를 피해 시스템에 전달하게 된다. 다시 네트워크 위상에서의 주변 라우터를 선정하여 IPSec 터널을 구성하고 패킷에 대한 전송 여부를 판별하여 이를 피해 시스템에 전달하는 과정을 반복한다. 이와 같은 과정을 통해 해킹 공격 발생 시 실제적으로 패킷이 전송된 경로상의 라우터를 판별할 수 있게 된다.
따라서, 본 발명의 목적은 분산 네트워크 환경에서 안전하고 효율적인 공격자 추적을 통해 내부 네트워크 사용자의 안전성을 확보하기 위한 2MAC 패킷 생성 및 프로토콜을 제공하는데 있다.
또한, 본 발명의 또 다른 목적은 분산 네트워크상에서 이루어질 수 있는 다양한 공격 형태에 대해 전송 정보에 대한 기밀성과 무결성 및 유효성을 제공함으로써 실시간적인 공격자 추적 뿐만 아니라 네트워크 전송 정보에 대한 안전성까지 확 보함으로써 비인가된 공격자로부터의 안전성과 사용자 프라이버시 보호를 제공하는데 있다.
본 발명에 따른 2MAC 공격자 추적 기법의 세부적 특징으로는 네트워크 패킷 정보와 암호학적 해쉬 함수값을 이용하여 각각의 라우터를 거쳐 접속 연결이 수행될 경우 2개의 MAC을 이용하여 인증과 추적정보를 동시에 이용하는데 있다.
상술한 목적을 달성하기 위해, 본 발명은 패킷 데이터를 송수신하는 호스트를 구비하는 적어도 하나 이상의 로컬 네트워크와, 상기에서 각각의 네트워크를 연결해주는 적어도 하나 이상의 라우터를 포함하여 구성된 네트워크에 있어서, 공격자가 최초 접속 라우터와의 연결을 위해 물리적 하드웨어 주소와, 사용자 개인정보를 포함하는 데이터 패킷을 생성하는 제 1과정과, 상기 제 1과정을 통해 생성된 데이터 패킷 정보를 이용해 2MAC 인증 패킷 정보를 생성하는 제 2과정과, 상기 제 1과정 및 제 2과정을 통해 생성된 데이터 패킷과 2MAC 인증 패킷 정보를 최초 접속 라우터에 전송하는 제 3과정과, 최초 접속 라우터는 상기 제 3과정을 통해 수신된 데이터 패킷과 2MAC 인증 패킷 정보를 대응되는 IP의 로그 메시지로 저장하는 제 4과정과, 공격자가 다른 네트워크 경로로 새로운 연결을 시도한 경우 최초 접속 라우터는 2MAC 패킷에 고유한 순서번호를 부여하고 이에 대한 2MAC 인증 패킷 정보를 경유지 접속 라우터에 전송하는 제 5과정과, 경유지 접속 라우터는 상기 제 5과정과 동일한 방법으로 공격자의 새로운 연결 시도에 따른 2MAC 패킷에 고유한 순서번호를 부여하고 이에 대한 2MAC 인증 패킷 정보를 최종 접속 라우터에 전송하는 제 6과정과, 상기 제 6과정을 통해 2MAC 인증 패킷 정보를 수신 받은 최종 접속 라우터는 공격자에 의한 침해가 발생할 경우 이에 대한 내부 대응 프로그램 수행과 더불어 2MAC 전송 정보를 주위 라우터에 브로드캐스팅하는 제 7과정과, 경유지 접속 라우터는 최종 접속 라우터로부터 브로드캐스팅된 정보를 수신하여 각 라우터별 보안 정책을 갱신하고 공격메세지를 다시 주위 라우터에 브로드캐스팅하는 제 8과정과, 공격자의 최초 접속 라우터는 경유지 접속 라우터로부터 수신한 브로드캐스팅 정보와 공격 대응 메시지로부터 2MAC 인증 패킷 정보에 대한 고유번호를 확인한 후 자동화된 공격자 역추적 프로그램을 활성화하여 해당 MAC 주소에 해당되는 모든 IP에 대한 패킷을 차단하는 제 9과정을 포함하여 이루어지는 것을 특징으로 한다.
바람직하게, 상기의 2MAC 인증 패킷 정보는 NIC의 48비트로 구성된 물리적 하드웨어 주소와, 암호학적 메시지 인증 코드로 구성된 것을 특징으로 한다.
바람직하게, 상기의 제 1과정 내지 제 9과정중 어느 한 과정에 있어서, 수식이 정당하지 않은 경우 2MAC 패킷 송신자에게 해당 정보를 재전송 요청하는 과정이 부가되는 것을 특징으로 한다.
이하, 첨부된 도면을 참조하면서 본 발명에 대해 상세하게 설명한다.
먼저 본 발명에 의해 구현될 수 있는 공격자 추적 방식의 요구사항을 살펴보기로 한다.
첫째, 네트워크 정보 송·수신 시 요구사항
① 기밀성: 무선 이동 통신을 통해 송신자가 메시지를 송신할 경우 제 3자의 도청으로부터 안전하고 정확한 방법으로 정당한 수신자에게 전송되어야 한다.
② 인증성: 메시지 송·수신시 출처가 누구이며, 전송 도중 불법적인 제 3자로부터 위조 및 변경되지 않았음을 보증하는 것으로서 암호학적 메시지 인증 코드가 적용된다.
③ 무결성: 전송 메시지에 대한 수정 및 변경에 대하여 이를 방지할 수 있어야 하며 이를 위해 안전한 해쉬 함수를 사용한다.
둘째, 공격자 추적에 대한 요구사항
① 실시간성: 공격자에 의해 공격이 수행될 경우에만 공격자의 추적이 가능하다는 한계성을 탈피하여 공격이 이루어진 후에도 공격자에 대한 추적이 가능해야 한다.
② 우회 공격의 안전성: 공격자에 의한 침해가 다른 네트워크를 우회하여 수행될 경우 우회 공격에 대한 문제점을 해결하고 이를 차단하고 추적할 수 있어야 한다.
본 발명은 하나 이상의 로컬 네트워크를 포함하는 네트워크에 있어서 각각의 네트워크를 연결해 주는 라우터에 2MAC 인증 패킷을 이용한 공격자 추적 프로그램이 내장되어 있다고 가정한다. 상기에서 각각의 네트워크를 연결하는 라우터는 최소 한 개 이상이 될 수 있으며, 네트웍상의 공격자가 접속하는 순서에 따라 최초 접속 라우터(210)와, 경유지 접속 라우터(220)와, 최종 접속 라우터(230)로 구분된 다.
도 1은 본 발명의 실시예에 따른 네트웍 공격자의 역추적 방식을 개략적으로 도시한 도면이다.
상기에서 각각의 라우터(210, 220, 230)에 내장된 공격자 추적 프로그램은 네트워크 카드의 48비트 주소와 패킷 생성자의 암호학적 메시지 인증 정보를 이용하여 2MAC을 생성하고 각 라우터에 대한 접속 요청이 있을 경우 고유한 생성번호를 부여하여 접속이 이루어진다. 또한, 이 값들은 공격이 수행될 경우 라우터상의 지속적인 브로드캐스팅을 통해 이를 통보하게 된다. 이렇게 함으로써 최종적인 공격자의 위치와 정보를 획득하고 공격자 역추적이 완료된다.
도 2는 본 발명의 실시예에 따른 2MAC 인증 패킷을 이용한 공격자 역추적 방법을 간략하게 도시한 흐름도이다.
도 2에 도시한 바와 같이, 본 발명은 크게 공격자(100)가 피공격자(300)의 프라이버시 침해를 위해 2MAC 패킷을 생성하고 최초 접속 라우터(210)에 접속하는 과정(S211~S215)과, 공격자(100)가 경유지 접속 라우터(220)를 거쳐 피공격자(300)가 접속되어 있는 최종 접속 라우터(230)까지 접속하는 과정(S221)과, 공격자(100)가 피공격자(300)가 접속되어 있는 최종 접속 라우터(230)에 접속하여 공격을 수행시 공격자(100) 차단을 위한 역추적 과정이 수행되는 과정(S231~S233)으로 이루어진다.
본 발명에서 표기되는 기호들은 다음과 같이 정의한다.
M : 공격자의 초기 접속 요청 메시지
g, n : 공개된 계수
r : 각각의 개체가 생성한 랜덤수
H() : 안전한 해쉬 함수
di : 신뢰된 기관에 등록되어 있는 해쉬된 개인 정보 값
Sq : 2MAC 인증 패킷의 고유한 순서번호
TS : 타임스탬프
RID : 공격자가 초기 접속된 라우터 ID
UID : 초기 공격자 ID
삭제
A : 추적인자 (A)
상기에서 2MAC 패킷을 생성하고 최초 접속 라우터(210)에 접속하는 과정(S211~S215)은 다음과 같다.
공격자(100)는 NIC(Network Interface Card)의 물리적 하드웨어 주소인 MAC(Media Access Control)과 암호학적 MAC(Message Authentication Code)을 기반으로 2MAC 인증 패킷을 생성한다.
먼저, 공격자(100)는 최초 접속 라우터(210)와의 연결을 위해 물리적 하드웨 어 주소와, 사용자 개인정보를 포함하는 데이터 패킷을 생성한다.
MAC 1 = NIC의 48비트 하드웨어 주소
MAC 2 = H(사용자 개인정보) ……………………(S211)
상기에서와 같이 MAC 1과 MAC 2에 각각 물리적 하드웨어 주소와 사용자 개인정보를 할당한 후 이를 이용하여 초기 생성자는 2MAC 패킷의 생성과 함께 서명 생성을 위한 위임 서명 정보(Si)를 생성한다.
“자동화 프로그램” MAC 주소 메시지 인증 코드 (MAC) MAC 대응 IP M, A, d 초기 RID, UID TS
……………………(S212)
공격자는 최초 접속 라우터(210)의 연결을 위해 데이터 패킷과 함께 2MAC 인증 패킷을 전송하기 위해 랜덤 비밀값 d0를 이용하여 S1을 계산한 뒤 최초 접속 라우터(210)에 2MAC 인증 패킷과 S1을 전송한다.
Figure 112005017775905-pat00001
……………………(S213)
라우터(210)는 사용자가 생성하여 전송한 2MAC 인증 패킷 정보에서 RID와 접속 로그 ID를 통해 최초 접속 라우터의 ID를 확인하고 해당 인증 메세지 코드와 하드웨어의 물리적 주소 값인 2MAC을 대응되는 IP로 설정하고 이에 해당되는 로그 메세지를 생성한 뒤 다음을 계산한다.
Figure 112005017775905-pat00002
Figure 112005017775905-pat00003
……………………(S214)
공격자가 새로운 연결을 시도한 경우 최초 접속 라우터(210)는 2MAC 패킷의 랜덤한 고유번호(
Figure 112005017775905-pat00004
)을 부여하고 새로운 연결 시도에 따른 패킷을 경유지 접속 라우터(220)에게
Figure 112005017775905-pat00005
을 전송한다. …………………(S215)
상기에서 공격자(100)가 경유지 접속 라우터(220)를 거쳐 피공격자(300)가 접속되어 있는 최종 접속 라우터(230)까지 접속하는 과정에 있어서, 상기 경유지 접속 라우터(220)는 최초 접속 라우터(210)와 동일한 방법으로 전송 패킷에 대한 고유한 랜덤번호를 부여하고 새로운 연결 시도에 따른 피킷을 최종 접속 라우터(230)에
Figure 112005017775905-pat00006
를 전송한다.
Figure 112005017775905-pat00007
Figure 112005017775905-pat00008
……………………(S221)
상기에서 공격자(100)가 피공격자(300)가 접속되어 있는 최종 접속 라우터(230)에 접속하여 공격을 수행시 공격자(100) 차단을 위한 역추적 과정이 수행되는 과정(S231~S233)은 다음과 같다.
공격자(100)가 피공격자(300)를 공격하기 위해 최종 접속 라우터(230)에 접속을 수행한 후 프라이버시 침해에 해당되는 공격을 수행할 경우 해당 최종 접속 라우터(230)는 내부 보안 설정에 의한 침입 시도를 인지하고 이에 대한 경보메시지와 자체 보안 설정에 따른 침입자 대응 프로그램을 수행하고 최종 접속 라우터(230)는 피공격자의 접속시 전송된 정보
Figure 112005017775905-pat00009
를 브로드캐스팅 한다. ……………………(S231)
경유지 접속 라우터(220)는 최종 접속 라우터(230)로부터 공격자 대응 메시지와
Figure 112005017775905-pat00010
를 수신한 후 이에 대응되는
Figure 112005017775905-pat00011
과 해당 공격에 대한 자체 보안 시스템의 대응 메시지를 주변 라우터에 브로드캐스팅 한다. ……………………(S232)
공격자(100)의 최초 접속 라우터(210)는 수신한
Figure 112005017775905-pat00012
과 경유지 접속 라우터(220)의 공격 대응 메시지에서 2MAC 인증 패킷에 대한 고유한 랜덤 번호를 확인 후 자동화된 공격 역추적 프로그램을 활성화하여 해당 MAC 주소에 해당되는 모든 IP에 대한 패킷을 차단한다. ……………………(S233)
이상에서 본 발명에 대한 기술 사상을 첨부 도면과 함께 서술하였지만 이는 본 발명의 가장 양호한 실시 예를 예시적으로 설명한 것이지 본 발명을 한정하는 것은 아니다. 또한, 이 기술 분야의 통상의 지식을 가진 자이면 누구나 본 발명의 기술 사상의 범주를 이탈하지 않는 범위 내에서 다양한 변형 및 모방이 가능함은 명백한 사실이다.
상술한 바와 같이 본 발명은 종래의 공격자 역추적 기술과 비교해볼때 IP 변형에 따른 추적의 한계성 측면에서 네트워크 인터페이스 카드의 48비트 하드웨어 주소와 암호학적 MAC 주소를 기반으로 이를 해결하고 있으며, 전송 되는 정보에 대한 기밀성을 위해 지수승 연산의 어려움에 기반한 해결책을 제시하고 있다.
또한, 역추적된 공격자의 정보를 신뢰된 기관에 위탁하여 이를 주기적으로 감시 및 제어할 수 있으며, 기존의 역추적 시스템에서 한계성으로 지적되고 있는 실시간성과 우회 공격의 안전성을 만족시킬 수 있는 요소들을 충분히 포괄하고 있다. 따라서, 컴퓨터 네트워크 및 이동 통신의 발전으로 향후 정보화 사회는 전자 상거래 서비스들을 비롯하여 더욱 다양한 응용 서비스들을 제공하게 될 것이다. 이러한 분산 네트워크 환경 상에서 불법적 공격자에 대한 역추적 기술 방식의 제안은 다양화되고 발달하는 네트워크 환경에 대한 안전성을 보장함으로써 네트워크 및 응용 서비스 발전에 기여하는데 큰 효과가 있을 것으로 판단된다.

Claims (3)

  1. 패킷 데이터를 송수신하는 호스트를 구비하는 적어도 하나 이상의 로컬 네트워크와, 상기에서 각각의 네트워크를 연결해주는 적어도 하나 이상의 라우터를 포함하여 구성된 네트워크에 있어서,
    공격자(100)가 최초 접속 라우터(210)와의 연결을 위해 물리적 하드웨어 주소와, 사용자 개인정보를 포함하는 데이터 패킷을 생성하는 제 1과정과(S211),
    상기 제 1과정을 통해 생성된 데이터 패킷 정보를 이용해 2MAC 인증 패킷 정보를 생성하는 제 2과정과(S212),
    상기 제 1과정 및 제 2과정을 통해 생성된 데이터 패킷과 2MAC 인증 패킷 정보를 최초 접속 라우터(210)에 전송하는 제 3과정과(S213),
    최초 접속 라우터(210)는 상기 제 3과정을 통해 수신된 데이터 패킷과 2MAC 인증 패킷 정보를 대응되는 IP의 로그 메시지로 저장하는 제 4과정과(S214),
    공격자(100)가 다른 네트워크 경로로 새로운 연결을 시도한 경우 최초 접속 라우터(210)는 2MAC 패킷에 고유한 순서번호를 부여하고 이에 대한 2MAC 인증 패킷 정보를 경유지 접속 라우터(220)에 전송하는 제 5과정과(S215),
    경유지 접속 라우터(220)는 상기 제 5과정과 동일한 방법으로 공격자(100)의 새로운 연결 시도에 따른 2MAC 패킷에 고유한 순서번호를 부여하고 이에 대한 2MAC 인증 패킷 정보를 최종 접속 라우터(230)에 전송하는 제 6과정과(S221),
    상기 제 6과정을 통해 2MAC 인증 패킷 정보를 수신 받은 최종 접속 라우터 (230)는 공격자(100)에 의한 침해가 발생할 경우 이에 대한 내부 대응 프로그램 수행과 더불어 2MAC 전송 정보를 주위 라우터에 브로드캐스팅하는 제 7과정과(S231),
    경유지 접속 라우터(220)는 최종 접속 라우터(230)로부터 브로드캐스팅된 정보를 수신하여 각 라우터별 보안 정책을 갱신하고 공격메세지를 다시 주위 라우터에 브로드캐스팅하는 제 8과정과(S232),
    공격자(100)의 최초 접속 라우터(210)는 경유지 접속 라우터(220)로부터 수신한 브로드캐스팅 정보와 공격 대응 메시지로부터 2MAC 인증 패킷 정보에 대한 고유번호를 확인한 후 자동화된 공격자 역추적 프로그램을 활성화하여 해당 MAC 주소에 해당되는 모든 IP에 대한 패킷을 차단하는 제 9과정(S233)을 포함하여 이루어지는 것을 특징으로 하는 분산 네트워크 환경에서 2MAC 인증 패킷을 이용한 공격자 추적 방법.
  2. 제 1항에 있어서,
    상기의 2MAC 인증 패킷 정보는 NIC의 48비트로 구성된 물리적 하드웨어 주소와, 암호학적 메시지 인증 코드로 구성된 것을 특징으로 하는 분산 네트워크 환경에서 2MAC 인증 패킷을 이용한 공격자 추적 방법.
  3. 제 1항에 있어서,
    상기의 제 1과정 내지 제 9과정중 어느 한 과정에 있어서, 수식이 정당하지 않은 경우 2MAC 패킷 송신자에게 해당 정보를 재전송 요청하는 과정이 부가되는 것을 특징으로 하는 분산 네트워크 환경에서 2MAC 인증 패킷을 이용한 공격자 추적 방법.
KR1020050028192A 2005-04-04 2005-04-04 분산 네트워크 환경에서 2mac 인증 패킷을 이용한공격자 추적 방법 KR100706757B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050028192A KR100706757B1 (ko) 2005-04-04 2005-04-04 분산 네트워크 환경에서 2mac 인증 패킷을 이용한공격자 추적 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050028192A KR100706757B1 (ko) 2005-04-04 2005-04-04 분산 네트워크 환경에서 2mac 인증 패킷을 이용한공격자 추적 방법

Publications (2)

Publication Number Publication Date
KR20060106015A KR20060106015A (ko) 2006-10-12
KR100706757B1 true KR100706757B1 (ko) 2007-04-13

Family

ID=37626790

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050028192A KR100706757B1 (ko) 2005-04-04 2005-04-04 분산 네트워크 환경에서 2mac 인증 패킷을 이용한공격자 추적 방법

Country Status (1)

Country Link
KR (1) KR100706757B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7792018B2 (en) * 2007-05-18 2010-09-07 Nvidia Corporation Intelligent load balancing and failover of network traffic

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000054538A (ko) * 2000-06-10 2000-09-05 김주영 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체
KR20030039732A (ko) * 2001-11-14 2003-05-22 한국전자통신연구원 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역추적 방법
KR20040027705A (ko) * 2004-02-25 2004-04-01 이형우 에스브이엠 기반 패킷 마킹 기법을 적용한 근원지 역추적방법 및 라우터
KR20040039552A (ko) * 2002-11-02 2004-05-12 한국전자통신연구원 보안 네트워크에서의 공격자 역추적 및 공격 차단 시스템및 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000054538A (ko) * 2000-06-10 2000-09-05 김주영 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체
KR20030039732A (ko) * 2001-11-14 2003-05-22 한국전자통신연구원 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역추적 방법
KR20040039552A (ko) * 2002-11-02 2004-05-12 한국전자통신연구원 보안 네트워크에서의 공격자 역추적 및 공격 차단 시스템및 방법
KR20040027705A (ko) * 2004-02-25 2004-04-01 이형우 에스브이엠 기반 패킷 마킹 기법을 적용한 근원지 역추적방법 및 라우터

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
1020000054538
1020030039732
1020040027705
1020040039552

Also Published As

Publication number Publication date
KR20060106015A (ko) 2006-10-12

Similar Documents

Publication Publication Date Title
EP1779589B1 (en) Arrangement for tracking ip address usage based on authenticated link identifier
Aljifri IP traceback: a new denial-of-service deterrent?
US7716331B2 (en) Method of gaining secure access to intranet resources
US7370354B2 (en) Method of remotely managing a firewall
US7647623B2 (en) Application layer ingress filtering
Bellovin A look back at" security problems in the tcp/ip protocol suite
Baitha et al. Session hijacking and prevention technique
CN111641639B (zh) 一种IPv6网络安全防护系统
Janbeglou et al. Redirecting network traffic toward a fake DNS server on a LAN
KR100706757B1 (ko) 분산 네트워크 환경에서 2mac 인증 패킷을 이용한공격자 추적 방법
Achi et al. Network security approach for digital forensics analysis
Mitropoulos et al. Network forensics: towards a classification of traceback mechanisms
Kleberger et al. Securing vehicle diagnostics in repair shops
CRISTESCU et al. Volumetric Distributed Denial-of-Service and Session Replay Attacks-Resistant AAA-RADIUS Solution Based on EAP and LDAP
Bharti et al. Prevention of Session Hijacking and IP Spoofing With Sensor Nodes and Cryptographic Approach
Leu et al. IFTS: Intrusion forecast and traceback based on union defense environment
Nasser et al. An Effective Approach to Detect and Prevent ARP Spoofing Attacks on WLAN
Kamal et al. Analysis of network communication attacks
Goyal et al. Computer Network Security and Protection Strategy.
Bhaturkar et al. Prevention of Session Hijacking and IP Spoofing With Sensor Nodes and Cryptographic Approach
Chauhan Security in the Wake of IPv6
Singh et al. Detection of Spoofing attacks in Wireless network and their Remedies
KR101143368B1 (ko) 분산형 DDos 방어 시스템 및 이를 이용한 방어 방법
PRICE et al. Network security mechanisms utilizing dynamic network address translation ldrd project
Leu Intrusion Detection, Forecast and Traceback Against DDoS Attacks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130225

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20140409

Year of fee payment: 8

LAPS Lapse due to unpaid annual fee