KR100779072B1 - ARP poisoning detection apparatus and method - Google Patents
ARP poisoning detection apparatus and method Download PDFInfo
- Publication number
- KR100779072B1 KR100779072B1 KR1020050022931A KR20050022931A KR100779072B1 KR 100779072 B1 KR100779072 B1 KR 100779072B1 KR 1020050022931 A KR1020050022931 A KR 1020050022931A KR 20050022931 A KR20050022931 A KR 20050022931A KR 100779072 B1 KR100779072 B1 KR 100779072B1
- Authority
- KR
- South Korea
- Prior art keywords
- arp
- message
- address
- mapping information
- attack
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Abstract
본 발명은 무선랜 환경에서 이루어지는 주소결정 프로토콜(Address Resolution Protocol;ARP) 공격을 DHCP(Dynamic Host Configuration Protocol)메시지와 ARP 메시지의 분석을 통해 ARP 공격을 탐지할 수 있는 ARP 공격 탐지 장치 및 방법에 대한 것이다. The present invention relates to an ARP attack detection apparatus and method for detecting an ARP attack by analyzing an Address Resolution Protocol (ARP) attack performed in a WLAN environment by analyzing a Dynamic Host Configuration Protocol (DHCP) message and an ARP message. will be.
본 발명은 DHCP 메시지를 분석하여 단말의 IP 주소 및 하드웨어 주소를 포함하는 맵핑 정보를 추출하는 DHCP 메시지 처리부; ARP 메시지를 분석하여 단말의 IP 주소 및 하드웨어 주소를 포함하는 맵핑 정보를 추출하는 ARP 메시지 처리부; DHCP 메시지의 맵핑 정보 및 ARP 메시지의 맵핑 정보를 저장하는 ARP 맵핑 테이블 저장부; 및 신규하게 수신되는 ARP 메시지에서 추출된 맵핑 정보와 ARP 맵핑 테이블 저장부에서 검색되는 맵핑 정보가 불일치하는 경우 공격으로 탐지하는 ARP 공격 탐지부를 포함한다.The present invention is a DHCP message processing unit for extracting the mapping information including the IP address and hardware address of the terminal by analyzing the DHCP message; An ARP message processing unit for analyzing the ARP message and extracting mapping information including an IP address and a hardware address of the terminal; An ARP mapping table storage unit which stores mapping information of the DHCP message and mapping information of the ARP message; And an ARP attack detection unit for detecting an attack when the mapping information extracted from the newly received ARP message and the mapping information retrieved from the ARP mapping table storage unit do not match.
본 발명에 따른 ARP 공격 탐지 장치는, DHCP 서버가 이용되는 환경에서 기존의 DHCP 서버에 대한 수정을 가하지 않으면서 정확한 ARP 공격 탐지를 수행할 수 있다.The ARP attack detection apparatus according to the present invention can perform accurate ARP attack detection without modifying an existing DHCP server in an environment where a DHCP server is used.
ARP 공격, DHCP, 액세스포인트, 무선랜 단말 ARP attack, DHCP, access point, WLAN terminal
Description
도 1은 본 발명의 일 실시예에 따른 따른 ARP 공격 탐지 장치가 적용되는 네트워크의 개략적인 구성도.1 is a schematic configuration diagram of a network to which an ARP attack detection apparatus according to an embodiment of the present invention is applied.
도 2는 본 발명의 일 실시예에 따른 ARP 공격 탐지 장치의 블럭구성도.2 is a block diagram of an ARP attack detection apparatus according to an embodiment of the present invention.
도 3은 본 발명의 일 실시예에 따른 ARP 맵핑 테이블 저장부의 구조를 보여주는 테이블 구조도.Figure 3 is a table structure diagram showing the structure of the ARP mapping table storage unit according to an embodiment of the present invention.
도 4는 본 발명의 일 실시예에 따른 ARP 탐지 방법의 흐름도4 is a flowchart of an ARP detection method according to an embodiment of the present invention.
<도면의 주요 부분에 대한 부호의 설명><Explanation of symbols for the main parts of the drawings>
201: ARP 메시지 처리부201: ARP message processing unit
202: DHCP 메시지 처리부202: DHCP message processing unit
203: ARP 공격 탐지부203: ARP attack detector
204: ARP 맵핑 테이블 저장부204: ARP mapping table storage unit
본 발명은 무선랜 액세스포인트에서의 주소결정 프로토콜(Address Resolution Protocol;ARP) 공격 탐지 장치 및 방법에 관한 것으로서, 더 상세하게는 DHCP(Dynamic Host Configuration Protocol)서버가 이용되는 환경에서 DHCP 서버 메시지를 이용하여 보다 정확한 ARP 공격을 탐지할 수 있는 ARP 공격 탐지 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for detecting an Address Resolution Protocol (ARP) attack in a WLAN access point, and more particularly, using a DHCP server message in an environment in which a Dynamic Host Configuration Protocol (DHCP) server is used. The present invention relates to an ARP attack detection apparatus and method capable of detecting a more accurate ARP attack.
당업자에게 잘 알려진 바와 같이, ARP 공격은 ARP 캐쉬 오염(Cache Poisoning) 공격이라고도 하며 대상 단말에 잘못된 IP주소-하드웨어 주소(데이터 링크의 계층의 MAC(Media Access Control)계층에서는 MAC 주소)의 맵핑 정보를 ARP 메시지에 담아서 보냄으로써 ARP 캐쉬에 삽입하여 오염시키는 방법이다. 이 공격은 유선 환경에서 오래되고 널리 알려진 공격이기 때문에 어느 정도 해결책이 강구되어 있지만 무선랜이 도입되면서 인가되지 않은 무선랜 단말의 접근이 용이해지고 이와 같은 단말의 ARP 공격이 용이해짐에 따라 새로운 보안 이슈로 부각되고 있다.As is well known to those skilled in the art, an ARP attack, also known as an ARP Cache Poisoning attack, provides mapping information of an invalid IP address-hardware address (MAC address in the Media Access Control (MAC) layer of the data link layer) to the target terminal. It is inserted into ARP cache and polluted by sending it in ARP message. Although this attack is an old and widely known attack in the wired environment, some solutions have been devised. However, as wireless LANs are introduced, unauthorized wireless LAN terminals become easier to access and ARP attacks of such terminals facilitate new security issues. It is highlighted.
이와 관련한 기술로서, 2002년 7월 5일에 출원된 특허출원 제2002-0039010호에 개시된 아이피 충돌 검출/차단 시스템 및 그 방법은, ARP 패킷을 분석함으로써 IP 사용자를 실시간으로 감시하고 충돌을 감시하며 접근통제를 수행하여 네트워크 관리자로 하여금 IP 관리를 용이하게 할 수 있도록 한다. 그러나, 이러한 기술은 DHCP 서버를 사용하는 무선랜 환경에서 효율적으로 ARP 공격을 탐지하고 무선랜 보안을 향상시키는 방안을 제시하지 않고 있다.As a related technology, the IP collision detection / blocking system and method disclosed in Patent Application No. 2002-0039010, filed on July 5, 2002, analyzes ARP packets to monitor IP users in real time and to monitor collisions. Access control is performed to allow network administrators to easily manage IP. However, these technologies do not propose a method for efficiently detecting ARP attacks and improving WLAN security in a WLAN environment using a DHCP server.
또한, 무선랜 단말의 공격을 탐지하기 위해서는 단말의 ARP 메시지가 액세스포인트의 브릿지(bridge)기능으로 인하여 유선망으로 전달되지 않는 경우도 있으므로 액세스포인트를 벗어나지 않는 범위에서의 ARP 공격 탐지 장치가 필요하게 된 다.In addition, in order to detect an attack of the WLAN terminal, the ARP message of the terminal may not be delivered to the wired network due to the bridge function of the access point, and thus, an ARP attack detection apparatus is required in a range that does not leave the access point. All.
본 발명의 목적은 무선랜 환경에서 무선랜 단말을 네트워크에 연결시켜주는 브릿지 역할을 하는 무선랜 액세스포인트 장비에 포함되어 동작하며, 액세스포인트에 연결된 무선단말에 대한 ARP 공격이나, 연결된 무선단말에 의한 유선망 호스트에 대한 ARP 공격 등을 탐지할 수 있는 ARP 공격 탐지 장치 및 방법을 제공하는 것이다. An object of the present invention is included in the WLAN access point equipment that acts as a bridge that connects the wireless LAN terminal to the network in a wireless LAN environment, the ARP attack on the wireless terminal connected to the access point, or by the connected wireless terminal An ARP attack detection apparatus and method for detecting an ARP attack on a wired network host are provided.
본 발명의 다른 목적은, DHCP 서버를 사용하는 환경에서는 서버에 의한 동적인 IP주소 할당으로 장치의 IP주소-하드웨어 주소의 맵핑 정보가 변할 수 있으므로 이를 고려한 ARP 공격 탐지 장치 및 방법을 제공하는 것이다. Another object of the present invention is to provide an ARP attack detection apparatus and method considering the IP address-hardware address mapping information of a device may be changed by dynamic IP address allocation by a server in an environment using a DHCP server.
본 발명의 또 다른 목적은 상기와 같은 ARP 공격이 일어났을 경우에 관리자에게 알람을 보고하여 공격여부를 알리거나 또는 미리 설정된 대응 조치 예를 들어, 무선랜 단말의 연결을 해지하는 등의 조치를 취할 수 있는 ARP 공격 탐지 장치 및 방법을 제공하는 것이다.Still another object of the present invention is to report an alarm to the administrator when the ARP attack as described above, or inform the attack or take a countermeasure, for example, to terminate the connection of the WLAN terminal. It is to provide an apparatus and method for detecting an ARP attack.
상기 목적을 달성하기 위한 본 발명에 따른 ARP 공격 탐지 장치는, DHCP 메시지를 분석하여 단말의 IP 주소 및 하드웨어 주소를 포함하는 맵핑 정보를 추출하는 DHCP 메시지 처리부; ARP 메시지를 분석하여 단말의 IP 주소 및 하드웨어 주소를 포함하는 맵핑 정보를 추출하는 ARP 메시지 처리부; 상기 DHCP 메시지의 맵핑 정보 및 상기 ARP 메시지의 맵핑 정보를 저장하는 ARP 맵핑 테이블 저장부; 및 신 규하게 수신되는 ARP 메시지에서 추출된 맵핑 정보와 상기 ARP 맵핑 테이블 저장부에서 검색되는 맵핑 정보가 불일치하는 경우 공격으로 탐지하는 ARP 공격 탐지부를 포함한다.ARP attack detection apparatus according to the present invention for achieving the above object, DHCP message processing unit for analyzing the DHCP message to extract the mapping information including the IP address and hardware address of the terminal; An ARP message processing unit for analyzing the ARP message and extracting mapping information including an IP address and a hardware address of the terminal; An ARP mapping table storage unit which stores mapping information of the DHCP message and mapping information of the ARP message; And an ARP attack detection unit that detects an attack when mapping information extracted from a newly received ARP message and mapping information retrieved from the ARP mapping table storage unit are inconsistent.
상기 목적을 달성하기 위한 본 발명에 따른 ARP 공격 탐지 방법은, DHCP 메시지를 분석하여 단말의 IP 주소 및 하드웨어 주소를 포함하는 맵핑 정보를 추출하는 DHCP 메시지 처리 단계; ARP 메시지를 분석하여 단말의 IP 주소 및 하드웨어 주소를 포함하는 맵핑 정보를 추출하는 ARP 메시지 처리 단계; 상기 DHCP 메시지의 맵핑 정보 및 상기 ARP 메시지의 맵핑 정보를 ARP 맵핑 테이블 저장부에 저장하는 저장 단계; 신규하게 수신되는 ARP 메시지에서 추출된 맵핑 정보와 상기 ARP 맵핑 테이블 저장부에서 검색되는 맵핑 정보가 불일치하는 경우 공격을 탐지하는 공격 탐지 단계를 포함한다.ARP attack detection method according to the present invention for achieving the above object, DHCP message processing step of extracting the mapping information including the IP address and hardware address of the terminal by analyzing the DHCP message; ARP message processing step of extracting the mapping information including the IP address and hardware address of the terminal by analyzing the ARP message; A storage step of storing mapping information of the DHCP message and mapping information of the ARP message in an ARP mapping table storage unit; And detecting an attack when mapping information extracted from a newly received ARP message and mapping information retrieved from the ARP mapping table storage unit are inconsistent.
상술한 목적 및 기타의 목적과 본 발명의 특징 및 이점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해질 것이다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 DHCP 메시지를 이용한 무선랜 액세스포인트 ARP 공격 탐지 장치 및 방법에 대해 상세하게 설명한다.The above and other objects and features and advantages of the present invention will become more apparent from the following detailed description taken in conjunction with the accompanying drawings. Hereinafter, a WLAN access point ARP attack detection apparatus and method using a DHCP message according to the present invention will be described in detail with reference to the accompanying drawings.
도 1은 본 발명에 따른 ARP 공격 탐지 장치가 적용되는 네트워크의 개략적인 구성도를 나타낸 것이다.1 shows a schematic configuration diagram of a network to which an ARP attack detection apparatus according to the present invention is applied.
도 1을 참조하면, 네트워크는 크게 액세스포인트(104)를 중심으로한 무선랜 단말(101, 102)이 연결되어 있는 무선랜 네트워크와 유선 인터넷망(107)으로 연결되어있는 유선 네트워크로 구성되어 있다. Referring to FIG. 1, the network is largely composed of a wireless LAN network connected to the
DHCP 서버(105)는 액세스포인트(104) 내부에 탑재될 수도 있으나 여기에서는 일반적인 상황을 고려해서 유선 인터넷망(107)에 연결되어 있는 것으로 가정했다. 본 발명은 유선 네트워크 환경보다 보안이 취약한 무선랜 네트워크 환경에서의 보안을 강화하기 위한 장치이므로 ARP 공격자(103)는 무선랜 환경의 무선 네트워크 단말인 것으로 가정한다. The DHCP
본 발명의 ARP 공격 탐지 장치는 액세스포인트(104) 내에서 동작하며 라우터를 경유하지 않는 범위내에서 브로드캐스팅 트래픽을 공유하는 도메인안에서의 ARP 메시지와 DHCP 메시지를 수집하여 ARP 공격여부를 탐지한다.The ARP attack detection device of the present invention operates within the
도 2는 본 발명의 일 실시예에 따른 ARP 공격을 탐지하기 위한 액세스포인트 내부에 위치한 ARP 공격 탐지 장치(200)의 블럭구성도이다. 2 is a block diagram of an ARP
도 2를 참조하면, ARP 공격 탐지 장치(200)는 IP주소에 대응되는 하드웨어 주소를 매핑시켜주는 ARP 메시지를 처리하는 ARP 메시지 처리부(201), 사용자 단말의 IP주소 할당여부를 알 수 있는 DHCP 메시지를 처리하는 DHCP 메시지 처리부(202), ARP 공격 탐지와 처리를 담당하는 ARP 공격 탐지부(203) 및 DHCP 메시지 처리부(202)와 ARP 메시지 처리부(201)에 의한 IP주소-하드웨어 주소의 맵핑 정보를 저장하는 ARP 맵핑 테이블 저장부(204) 를 포함한다. Referring to FIG. 2, the ARP
먼저, 본 발명에 의한 ARP 메시지 처리부(201)의 동작을 설명한다.First, the operation of the ARP
ARP 메시지 처리부(201)에서는 액세스포인트(104; 도 1)를 경유하여 지나가는 모든 ARP 메시지 즉, ARP 요청 메시지와 ARP 응답 메시지를 수집하고 이를 분석하여 IP주소와 하드웨어 주소의 맵핑정보를 ARP 맵핑 테이블 저장부(204)에 저장한 다. 또한, 기존에 ARP 맵핑 테이블 저장부(204)에 저장된 엔트리가 있을 때에는 이와 비교한다. ARP 메시지가 ARP 요청 메시지인 경우 ARP 맵핑 테이블 저장부(204)로부터 검색된 엔트리에 해당 IP주소에 대한 요청이 있었음을 플래그를 이용하여 저장한다. The ARP
다음으로, DHCP 메시지 처리부(202)동작을 설명한다.Next, the operation of the DHCP
DHCP 메시지 처리부(202)의 역할은, DHCP 서버(105: 도 1)가 동작하는 환경과 같이 단말 컴퓨터의 IP주소가 동적으로 변화하는 경우 잘못된 ARP 공격 탐지의 가능성을 방지하는 것이다.The role of the DHCP
이를 위해서, DHCP 메시지 처리부(202)는 DHCP ACK 브로드캐스팅 메시지를 수집한다. DHCP ACK 브로드캐스팅 메시지는, 액세스포인트(104)가 연결되어 있는 네트워크상의 브로드캐스팅 도메인안에 있는 단말의 주소 변경이 있는지를 검사하기 위하여 DHCP 서버(105)가 최종 IP승인을 인가할 때 보내는 메시지이다. 또한, DHCP 메시지 처리부(202)는 수집된 DHCP 메시지의 IP주소와 단말의 하드웨어 주소의 맵핑 정보를 ARP 맵핑 테이블 저장부(204)에 저장한다. ARP 맵핑 테이블 저장부(204)에 하드웨어 주소를 기준으로 기존의 주소의 맵핑 정보가 있는 경우에는, ARP 맵핑 테이블 저장부(204)에 새로 수집된 주소가 추가될 수 있다. 따라서, ARP 맵핑 테이블 저장부(204)에는 2개의 주소 즉, DHCP ACK 메시지가 수집되기 전의 주소 및 수집되어 추가된 주소가 들어갈 수 있다. To this end, the DHCP
이러한 DHCP 메시지 처리부(202)의 동작에 의하여, 이하에서 설명할 ARP 공격 탐지부(203)는, ARP 메시지의 IP 주소와 하드웨어 주소의 맵핑 정보와, ARP 맵 핑 테이블 저장부(204) 내에 저장되어 있는 2개의 주소 모두와 일치하지 않는 경우에 공격으로 판단할 수 있다. 따라서, DHCP 서버의 유동적인 IP 주소 할당으로 인해 ARP 공격을 잘못 탐지할 가능성을 배제시킬 수 있다.By the operation of the DHCP
다음으로, ARP 공격 탐지부(203)의 동작을 설명한다.Next, the operation of the ARP
ARP 공격 탐지부(203)는 ARP 메시지내의 근원지 IP주소 정보에 기초하여, ARP 맵핑 테이블 저장부(204)의 엔트리의 플래그를 검색하여, ARP 요청 메시지가 있었는지 여부를 판단한다. ARP 요청 메시지가 없으며, ARP 메시지의 IP주소와 하드웨어 주소의 맵핑 정보가 ARP 맵핑 테이블 저장부(204)안의 IP주소와 하드웨어 주소의 맵핑 정보와 일치하지 않는 경우 이것을 공격으로 판단하고 공격 알람 메시지를 관리자에게 발송할 수 있다. The ARP
상기에는, ARP 메시지와 DHCP ACK 메시지를 분석하여 추출된 맵핑 정보가 각각 ARP 메시지 처리부(201)와 DHCP 메시지 처리부(201)에 의해서 ARP 맵핑 테이블 저장부(204)에 저장되는 것으로 설명하였지만, ARP 맵핑 테이블 저장부(204)가 저장 동작을 수행할 수 있도록 구성할 수도 있다.In the above, the mapping information extracted by analyzing the ARP message and the DHCP ACK message is described as being stored in the ARP mapping
또한, 본 발명의 일 실시예에 따른 ARP 공격 탐지 장치(200)는, 네트워크 상의 패킷 형태의 메시지를 무선랜 드라이버(20) 및 패킷 수신부(25)를 이용하여 수신한 다음, 수신된 메시지를 ARP 메시지 처리부(201) 또는 DHCP 메시지 처리부(202)로 전달하도록 구성될 수도 있다. 무선랜 드라이버(20)는 네트워크상의 메시지를 수신하고 본 발명의 ARP 공격 탐지 장치(200)의 구성요소를 제어하는 소프트웨어로 구성될 수 있다.In addition, the ARP
도 3은 본 발명의 일 실시예에 따른, ARP 맵핑 테이블 저장부(204)의 구조를 도시한 도면이다. 3 is a diagram illustrating a structure of the ARP mapping
본 발명의 실시예에서, ARP 맵핑 테이블 저장부(204)는 기본적으로 해당 주소를 인덱스로 한 빠른 검색을 지원하기 위해 해쉬 테이블의 형태로 구성되며, 하드웨어 주소를 해쉬한 해쉬 테이블 인덱스(301)로 테이블을 인덱싱한다. 해쉬한 결과가 똑같은 값을 가지는 경우에는 해당 엔트리안의 포인터(305)를 사용하여, 다음 엔트리를 링크드 리스트(linked list)구조를 이용함으로써, 충돌을 회피하고 효율적인 주소관리를 위한 자료구조를 유지한다. In the embodiment of the present invention, the ARP mapping
어떤 ARP 응답 메시지에 대해 ARP 요청 메시지가 있었는지를 검사하기 위해서는 별도의 테이블이 필요하다. 이 경우 ARP 요청 메시지가 수집되면 목적지 IP주소를 기준으로 해당 IP주소에 대한 하드웨어 주소를 찾는 ARP 요청이 있었는지를 저장해야 하기 때문에 IP주소를 인덱스로 한 테이블이 필요하다. A separate table is needed to check which ARP response message was the ARP request message. In this case, when the ARP request message is collected, it is necessary to store whether there was an ARP request to find the hardware address for the IP address based on the destination IP address, so a table with the IP address is needed.
또한, ARP 맵핑 테이블 저장부(204)에서는 ARP 메시지의 근원지 IP주소(303)와 근원지 하드웨어 주소(302)의 맵핑 정보를 저장해야 하기 때문에 하드웨어 주소를 인덱스로 한 테이블이 사용된다. ARP 메시지의 목적지 IP 주소와 하드웨어 주소의 맵핑 정보가 기존에 저장되어 있는 경우에는, 기존의 IP 주소와 하드웨어 주소가 비교된다. In addition, since the ARP mapping
또한, DHCP ACK 메시지 안의 클라이언트 IP주소와 클라이언트 하드웨어 주소도 하드웨어 주소를 인덱스로 한 테이블에 저장된다. DHCP ACK메시지가 수집되는 때, 기존의 주소의 맵핑 정보가 있는 경우 DHCP 메시지 안의 IP주소는 두 번째 IP 주소(304)에 저장된다.In addition, the client IP address and client hardware address in the DHCP ACK message are also stored in a table indexed by the hardware address. When a DHCP ACK message is collected, if there is mapping information of an existing address, the IP address in the DHCP message is stored in the
도 4는 본 발명의 일 실시예에 따른, ARP 메시지와 DHCP ACK 메시지가 액세스포인트에서 수집될 때의 각각의 처리과정에 대한 흐름도이다. 4 is a flow chart for each process when an ARP message and a DHCP ACK message are collected at an access point, according to an embodiment of the invention.
먼저, 본 발명에 따른 ARP 공격 탐지 장치는 네트워크상의 메시지(패킷)를 수집한다(S401). 그 다음 수집된 네트워크상의 메시지가 ARP 메시지인지를 확인한다.(S402). 수집된 메시지가 ARP 메시지인 경우에는, 메시지안의 하드웨어 주소와 IP 주소를 추출한다(S403). ARP 메시지가 ARP 요청 메시지인지 ARP 응답 메시지인지 판별한다(S404). First, the ARP attack detection apparatus according to the present invention collects a message (packet) on the network (S401). Then, it is checked whether the collected message on the network is an ARP message (S402). If the collected message is an ARP message, the hardware address and IP address in the message are extracted (S403). It is determined whether the ARP message is an ARP request message or an ARP response message (S404).
ARP 응답 메시지의 경우, ARP 맵핑 테이블 저장부(204;도 2)에서 근원지 하드웨어 주소를 기준으로 검색되는 엔트리가 있는지 검색한다(S405). ARP 응답 메시지의 경우 검색된 엔트리가 있는 경우 엔트리의 내용과 근원지 IP주소와 근원지 하드웨어 주소의 맵핑 정보를 비교한다(S406). ARP 메시지에서 추출된 맵핑 정보와 ARP 맵핑 테이블 저장부(204)의 엔트리를 비교한 결과 불일치가 발생하는 경우에는 ARP 맵핑 테이블 저장부(204)를 검색하여 추출된 IP주소에 대한 하드웨어 주소를 요청하는 ARP 요청 메시지가 있었는지를 나타내는 플래그를 이용하여 확인한다(S407). ARP 요청 메시지가 없으면, ARP 공격으로 판단하고 이를 네트워크 관리자에게 공격 알람 메시지를 발송한다(S408). 공격 알람 이후에는 ARP 메시지의 IP주소-하드웨어 주소의 맵핑 정보로 테이블 엔트리 내용을 갱신한다(S409). In the case of the ARP response message, the ARP mapping table storage unit 204 (FIG. 2) searches for an entry searched based on the source hardware address (S405). In the case of the ARP response message, if there is a searched entry, the content of the entry and mapping information of the source IP address and the source hardware address are compared (S406). If a mismatch occurs as a result of comparing the mapping information extracted from the ARP message with the entry of the ARP mapping
ARP 메시지가 ARP 요청 메시지인 경우에는, ARP 맵핑 테이블 저장부 (204) 로부터 검색된 엔트리에 대해 IP 주소에 대한 요청이 있었음을 플래그를 이용하여 저장한다(S410).When the ARP message is an ARP request message, the ARP message is stored using a flag indicating that there is a request for an IP address for the entry retrieved from the ARP mapping table storage unit 204 (S410).
네트워크 관리자는 공격에 대한 보고가 있는 경우, 자동적으로 공격 단말에 대한 연결을 차단하도록 구성될 수 있다. 다른 방법으로는, 네트워크 관리자가 공격 여부를 판단한 다음, 조치를 취할 수도 있다. The network administrator may be configured to automatically block the connection to the attacking terminal when there is a report of the attack. Alternatively, the network administrator may determine whether an attack has occurred and then take action.
수집한 메시지가 DHCP 메시지인 경우(S421), 이 메시지가 DHCP ACK 메시지인지 확인한다(S422). DHCP ACK 메시지인 경우, 메시지 내의 클라이언트 할당 IP 주소와 클라이언트 하드웨어 주소의 맵핑 정보를 추출한다(S423). 그 후, 메시지 내의 클라이언트 할당 IP주소와 클라이언트 하드웨어 주소의 맵핑 정보는 상술한 바와 같이, ARP 맵핑 테이블 저장부(204)에 새로운 엔트리로 추가되거나 IP주소 부분만 추가되어 저장된다(S409). 추가된 ARP 맵핑 테이블 저장부(204)의 엔트리는 추후의 ARP 메시지의 공격여부를 정확하게 판단하기 위한 기준으로 사용된다. 따라서, DHCP 서버가 이용되어 동적 IP 가 할당되는 네트워크 환경에서, 주소의 맵핑 정보를 탐지 장치가 유지하고 이를 공격여부의 판단에 활용함으로써 잘못된 ARP 공격 탐지를 방지할 수 있다.If the collected message is a DHCP message (S421), it is checked whether the message is a DHCP ACK message (S422). In the case of the DHCP ACK message, mapping information of the client-allocated IP address and the client hardware address in the message is extracted (S423). Thereafter, the mapping information of the client-allocated IP address and the client hardware address in the message is added to the ARP mapping
본 발명의 실시예는 인트라넷과 인터넷에서 널리 쓰이고 있는 무선랜 액세스포인트 내부에 설치되는 것으로 설명하였으나, 본 발명에 따른 ARP 공격 탐지 장치는 가정 또는 회사에서의 무선 IP 공유기 등의 장비에도 용이하게 적용될 수 있다.Although the embodiment of the present invention has been described as being installed inside a WLAN access point widely used in an intranet and the Internet, the ARP attack detection device according to the present invention can be easily applied to equipment such as a wireless IP router in a home or a company. have.
이상에서 설명한 바와 같이, 본 발명에 따른 ARP 공격 탐지 장치를 액세스포인트 내부에 설치함으로써, 무선랜 환경의 도입으로 인해 발생하는 ARP 공격을 관 리자에게 보고할 수 있다. 그 결과, 관리자가 미리 설정된 조치 예를 들면, 자동적으로 공격 단말에 대한 연결을 차단하는 등의 조치를 취함으로써 무선랜 환경에서의 보안 취약점을 개선할 수 있다. As described above, by installing the ARP attack detection apparatus according to the present invention inside the access point, it is possible to report to the administrator ARP attack caused by the introduction of the WLAN environment. As a result, the administrator can improve security vulnerabilities in the WLAN environment by taking a predetermined action, for example, automatically blocking the connection to the attack terminal.
또한, 본 발명에 따른 ARP 공격 탐지 장치는, DHCP 서버의 사용으로 인하여 잘못된 탐지를 할 수 있는 가능성이 있는 환경에서 기존의 DHCP 서버에 대한 수정을 가하지 않으면서, 수집된 DHCP 메시지를 분석하고 DHCP에 의한 주소 할당을 모니터링함으로써 정확한 ARP 공격 탐지를 수행할 수 있다. In addition, the ARP attack detection apparatus according to the present invention analyzes the collected DHCP messages and does not modify the existing DHCP server in an environment where there is a possibility of false detection due to the use of a DHCP server, Accurate ARP attack detection can be performed by monitoring address assignment.
Claims (13)
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020040102963 | 2004-12-08 | ||
KR20040102963 | 2004-12-08 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20060064450A KR20060064450A (en) | 2006-06-13 |
KR100779072B1 true KR100779072B1 (en) | 2007-11-27 |
Family
ID=37160006
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020050022931A KR100779072B1 (en) | 2004-12-08 | 2005-03-19 | ARP poisoning detection apparatus and method |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100779072B1 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101166352B1 (en) | 2011-12-27 | 2012-07-23 | 주식회사 하우리 | Internet protocol spoofing detection method |
KR102445916B1 (en) * | 2021-09-09 | 2022-09-21 | 스콥정보통신 주식회사 | Apparatus and method for managing terminal in network |
KR20230045815A (en) * | 2021-09-29 | 2023-04-05 | 숭실대학교산학협력단 | Network attack detection system |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100807933B1 (en) * | 2006-11-28 | 2008-03-03 | 엘지노텔 주식회사 | System and method for detecting arp spoofing and computer readable storage medium storing program for detecting arp spoofing |
KR101064382B1 (en) * | 2007-06-07 | 2011-09-14 | 주식회사 케이티 | Arp attack blocking system in communication network and method thereof |
KR100920528B1 (en) * | 2008-11-27 | 2009-10-09 | (주)넷맨 | Method and system of detecting and defensing arp spoofing |
KR101236822B1 (en) * | 2011-02-08 | 2013-02-25 | 주식회사 안랩 | Method for detecting arp spoofing attack by using arp locking function and recordable medium which program for executing method is recorded |
KR101231975B1 (en) | 2011-05-12 | 2013-02-08 | (주)이스트소프트 | Method of defending a spoofing attack using a blocking server |
KR101360591B1 (en) * | 2011-09-29 | 2014-02-11 | 한국전력공사 | Apparatus and method for monitoring network using whitelist |
CN106488458B (en) * | 2016-12-21 | 2020-04-24 | 锐捷网络股份有限公司 | Method and device for detecting gateway ARP spoofing |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001211180A (en) | 2000-01-26 | 2001-08-03 | Nec Commun Syst Ltd | Dhcp server with client authenticating function and authenticating method thereof |
KR20020036973A (en) * | 2002-02-18 | 2002-05-17 | (주)테라정보시스템 | The System for Monitering and Breaking a Private DHCP Server and The same Method |
KR20030022534A (en) * | 2001-09-11 | 2003-03-17 | 플러스기술주식회사 | System and method for preventing non-certified users from connecting to the internet and network, by using DHCP |
KR20030072032A (en) * | 2002-03-05 | 2003-09-13 | 주식회사 프리컴시스템 | Illegal dhcp server control method |
KR20040109985A (en) * | 2003-06-19 | 2004-12-29 | 주식회사 인티게이트 | Method for preventing arp/ip spoofing automatically on the dynamic ip address allocating environment using dhcp packet |
-
2005
- 2005-03-19 KR KR1020050022931A patent/KR100779072B1/en not_active IP Right Cessation
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001211180A (en) | 2000-01-26 | 2001-08-03 | Nec Commun Syst Ltd | Dhcp server with client authenticating function and authenticating method thereof |
KR20030022534A (en) * | 2001-09-11 | 2003-03-17 | 플러스기술주식회사 | System and method for preventing non-certified users from connecting to the internet and network, by using DHCP |
KR20020036973A (en) * | 2002-02-18 | 2002-05-17 | (주)테라정보시스템 | The System for Monitering and Breaking a Private DHCP Server and The same Method |
KR20030072032A (en) * | 2002-03-05 | 2003-09-13 | 주식회사 프리컴시스템 | Illegal dhcp server control method |
KR20040109985A (en) * | 2003-06-19 | 2004-12-29 | 주식회사 인티게이트 | Method for preventing arp/ip spoofing automatically on the dynamic ip address allocating environment using dhcp packet |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101166352B1 (en) | 2011-12-27 | 2012-07-23 | 주식회사 하우리 | Internet protocol spoofing detection method |
KR102445916B1 (en) * | 2021-09-09 | 2022-09-21 | 스콥정보통신 주식회사 | Apparatus and method for managing terminal in network |
WO2023038224A1 (en) * | 2021-09-09 | 2023-03-16 | 스콥정보통신 주식회사 | Apparatus and method for managing terminal in network |
KR20230045815A (en) * | 2021-09-29 | 2023-04-05 | 숭실대학교산학협력단 | Network attack detection system |
KR102584537B1 (en) | 2021-09-29 | 2023-10-12 | 숭실대학교산학협력단 | Network attack detection system |
Also Published As
Publication number | Publication date |
---|---|
KR20060064450A (en) | 2006-06-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100779072B1 (en) | ARP poisoning detection apparatus and method | |
CN108206814B (en) | Method, device and system for defending DNS attack | |
US8972571B2 (en) | System and method for correlating network identities and addresses | |
KR101270041B1 (en) | System and method for detecting arp spoofing | |
US7886357B2 (en) | Method and system for reducing the false alarm rate of network intrusion detection systems | |
JP4179300B2 (en) | Network management method and apparatus, and management program | |
JP2006352669A (en) | Attack detection/defense system | |
KR100807933B1 (en) | System and method for detecting arp spoofing and computer readable storage medium storing program for detecting arp spoofing | |
US8804729B1 (en) | IPv4, IPv6, and ARP spoofing protection method | |
JPWO2005036831A1 (en) | Frame relay device | |
CN111683162B (en) | IP address management method based on flow identification | |
CN113347155A (en) | Method, system and device for defending ARP spoofing | |
CN113132385A (en) | Method and device for preventing gateway ARP spoofing | |
US10097418B2 (en) | Discovering network nodes | |
CN112383559A (en) | Protection method and device for address resolution protocol attack | |
US10015179B2 (en) | Interrogating malware | |
CN106488458B (en) | Method and device for detecting gateway ARP spoofing | |
CN111683068A (en) | Method for positioning lost host, protection device, network security equipment and medium | |
KR101188308B1 (en) | Pseudo packet monitoring system for address resolution protocol spoofing monitoring of malicious code and pseudo packet monitoring method therefor | |
US10951650B2 (en) | Detection of network sniffing activity | |
JP4081042B2 (en) | Unauthorized communication monitoring device and unauthorized communication monitoring program | |
KR101466729B1 (en) | SYSTEM AND METHOD FOR INTEGRATED MANAGEMENT OF TERMINAL INFORMATION IN IPv6 ENVIRONMENT | |
CN110768983B (en) | Message processing method and device | |
CN116015876B (en) | Access control method, device, electronic equipment and storage medium | |
KR101453728B1 (en) | Method and apparatus for providing network security policy based nat ip process |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
AMND | Amendment | ||
E601 | Decision to refuse application | ||
AMND | Amendment | ||
J201 | Request for trial against refusal decision | ||
E902 | Notification of reason for refusal | ||
B701 | Decision to grant | ||
GRNT | Written decision to grant | ||
G170 | Re-publication after modification of scope of protection [patent] | ||
FPAY | Annual fee payment |
Payment date: 20101101 Year of fee payment: 4 |
|
LAPS | Lapse due to unpaid annual fee |