KR100859712B1 - 위조된 멀티캐스트 패킷을 막는 장치 및 그 방법 - Google Patents

위조된 멀티캐스트 패킷을 막는 장치 및 그 방법 Download PDF

Info

Publication number
KR100859712B1
KR100859712B1 KR1020060125113A KR20060125113A KR100859712B1 KR 100859712 B1 KR100859712 B1 KR 100859712B1 KR 1020060125113 A KR1020060125113 A KR 1020060125113A KR 20060125113 A KR20060125113 A KR 20060125113A KR 100859712 B1 KR100859712 B1 KR 100859712B1
Authority
KR
South Korea
Prior art keywords
port
multicast
address
information
frame
Prior art date
Application number
KR1020060125113A
Other languages
English (en)
Other versions
KR20080053119A (ko
Inventor
박혁
송종태
전경규
이순석
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020060125113A priority Critical patent/KR100859712B1/ko
Priority to PCT/KR2007/005462 priority patent/WO2008069455A1/en
Priority to US12/516,229 priority patent/US8270406B2/en
Publication of KR20080053119A publication Critical patent/KR20080053119A/ko
Application granted granted Critical
Publication of KR100859712B1 publication Critical patent/KR100859712B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/12Transmitting and receiving encryption devices synchronised or initially set up in a particular manner

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 위조된 멀티캐스트 패킷을 막는 장치 및 그 방법을 제시한다.
본 발명에 의하면, 사용자 단말이 연결되는 입력포트 및 출력포트, 입력된 프레임을 목적지 주소의 단말이 연결되어 있는 포트로 전달하는 포워딩 처리부, 입력포트를 통해 받은 프레임의 소스 주소로부터 그 입력포트에 연결되어 있는 단말의 주소를 파악하는 주소파악부, 주소파악부로부터 받은 정보를 바탕으로 프레임의 목적지 주소를 가지는 단말이 연결되어 있는 출력포트에 대한 정보를 저장하고 있는 필터링DB, 단방향 멀티캐스트 서비스를 하는 프레임의 멀티캐스트 MAC 주소에 대한 정보를 포함하며, 사용자 단말이 연결되는 포트에 IGMP 쿼리어의 연결 여부에 따라 상기 멀티캐스트 주소를 목적지 주소로 가지는 모든 프레임을 차단 혹은 통과시키는 멀티캐스트 게이트 정보부 및 스위치에 연결된 IGMP 쿼리어의 MAC 주소를 확인하고 이 주소를 목적지 주소로 하는 포트에 대한 정보를 필터링DB로부터 얻어 상기 멀티캐스트 게이트 정보부에 전달하는 포트정보전달부를 포함하여, 위조된 트래픽이 멀티캐스트되는 것을 막으며, 결과적으로 네트워크의 한정된 자원이 소진되는 것을 억제할 수 있게 되어, 네트워크 사용의 효율을 높일 수 있다.

Description

위조된 멀티캐스트 패킷을 막는 장치 및 그 방법 {Apparatus for blocking forged multicast source packets and method thereof}
도 1은 사용자 110 및 120이 연결되어 있는 종래의 L2 스위치의 기능 구조를 도시한 것이다. 종래의 L2 스위치(200)은 다음과 같이 구성되어 있다,
도 2에 IGMP 스누핑 만을 사용하였을 때인 종래의 위조된 패킷에 의한 공격 상황을 표시하였다.
도 3은 본 발명에 따른 L2 스위치에 사용자 단말 110 과 120이 연결되어 있는 구조를 나타내고 있다.
도 4는 본 발명에 따른 장치를 사용하는 경우의 효과를 설명하기 위한 것이다.
본 발명은 네트워크에 대한 것으로서, 멀티캐스트 서비스 특히 그 중에서도 IPTV 서비스의 실시간 방송서비스에서 잘 알려진 소스를 흉내내어 위조된 멀티캐스트 프레임을 사용한 공격을 막을 수 있는 방법 및 그 장치에 관한 것이다.
도 1은 사용자 110 및 120이 연결되어 있는 종래의 L2 스위치의 기능 구조를 도시한 것이다. 종래의 L2 스위치(200)은 다음과 같이 구성되어 있다,
입력 포트(210), 출력포트(220), 입력된 프레임을 목적지 주소의 단말이 연결되어 있는 포트로 전달해 주는 포워딩 처리부(forwarding process)(250), 입력 포트(210)에서 받은 프레임의 소스 주소로부터 포트에 연결되어 있는 단말의 주소를 파악하는 주소파악부(Learning process)(260), 주소파악부(260)로부터 받은 정보를 바탕으로 프레임의 목적지 주소를 가지는 단말이 연결되어 있는 출력 포트에 대한 정보를 저장하고 있는 필터링DB(filtering database)(270)를 포함하며, 그리고 멀티캐스트 그룹 관리를 위한 IGMP 프록시(IGMP proxy)인 그룹관리부(280)가 포함될 수도 있다.
포트(210)가 단말(110)로부터 프레임을 수신하면 포트(210)는 이를 주소파악부(260) 에 알려 주고 포워딩처리부(250)로 전달한다. 프레임을 받은 포워딩처리부(250)는 필터링DB(270)를 참조하여 목적지 주소를 가지는 단말이 연결되어 있는 포트로 전달한다.
주소파악부(260)는 프레임의 발신 주소를 읽어 이 주소에 해당하는 단말이 포트(210)에 연결되어 있음을 필터링DB(270)에 알려준다. 이를 통해 필터링DB(270)는 각 포트에 연결되어 있는 단말에 대한 정보를 습득하게 된다.
유니캐스트 프레임의 경우는 수신자 주소로 고유 주소를 사용하고 송신자도 송신 시에 발신 주소로 이 주소를 사용하므로 항상 프레임의 수신자를 확인할 수 있다. 그러나 멀티캐스트 프레임은 수신자의 고유 주소가 아닌 멀티캐스트 그룹 주소를 수신 주소로 가지므로 이 주소는 소스 MAC 습득(Source MAC learning) 과정 을 통하여 알아낼 수 없다. 필터링DB에 등록되지 않은 멀티캐스트 주소를 목적지 주소로 가지는 프레임은 L2 스위치에서 모든 포트로 포워딩(forwarding) 되므로 수신을 원하는 사용자 단말이 연결되어 있지 않은 경로에도 멀티캐스트 스트림이 흘러들어가게 되어 대역폭의 낭비를 가져오고 심한 경우 서비스가 마비될 수도 있다.
이를 막기 위하여 L2 스위치에서 IGMP 스누핑(snooping)이 많이 사용된다. IGMP는 IP 계층에서 멀티캐스트 그룹을 관리하는 프로토콜로 L2 스위치의 고유 기능으로는 이를 읽어볼 수 없다. 따라서 L2 스위치에 이를 읽어볼 수 있는 기능인 IGMP proxy인 그룹관리부(280)를 설치하여 특정 멀티캐스트 주소에 대하여 수신하고자 하는 단말이 있는 포트를 파악하는 방법이 IGMP 스누핑 이다.
도 2에 IGMP 스누핑 만을 사용하였을 때인 종래의 위조된 패킷에 의한 공격 상황을 표시하였다. 도 2에서 참조번호 12, 14, 16의 화살표는 정상 멀티캐스트 트래픽을, 참조번호 22, 24, 26의 화살표는 비정상 멀티캐스트 트래픽을 나타낸다.
수신을 인가받은 정상적인 사용자 단말(120, 130) 이 특정 멀티캐스트 주소 (예를 들어 MA1)에 대하여 IGMP control 패킷을 포함한 프레임 (이하 IGMP 프레임) 을 사용하여 수신 요청을 하면 L2 스위치(200)는 이 요청을 받은 포트(220, 230)을 이 주소에 대한 수신 포트로 정하여 필터링DB를 갱신한다. L2 스위치(200)는 이 내용을 IGMP 쿼리어(도면에 표시되어 있지 않음)에 알린다.
IGMP(Internet Group Management Protocol)는 멀티캐스트 통신을 위해 주로 라우터에 멀티캐스트에 참여하는 호스트들이 자신을 등록하기 위해 사용한다. 이때에 호스트 등록을 관리하는 라우터를 IGMP 쿼리어(IGMP Querier)라고 한다.
L3 스위치(300)는 IGMP 쿼리어일 수도 있으며 혹은 해당 서브넷에서 IGMP 쿼리어로 가는 경로상에 있는 L3 스위치일 수도 있다.
IGMP 쿼리어는 상위 멀티캐스트 라우팅 프로토콜에 이 내용을 반영하여 상기 멀티캐스트 주소 (MA1) 를 가지는 패킷에 대하여 라우팅을 수행하고 수신된 멀티캐스트 패킷들을 L2 스위치(200)에 전달한다. L2 스위치(200)는 이 패킷을 수신자가 있는 것으로 확인된 포트(220, 230)으로 발송하게 된다. 이 상황에서 다른 사용자 단말(110)이 MA1의 주소를 가지는 패킷을 위조하여 포트 210으로 보내면 L2 스위치(200)는 필터링DB 의 내용에 따라 이 패킷을 참조번호 220 및 230의 포트로 보내게 된다. 따라서 220 및 230의 포트를 통해서는 정상적인 패킷 트래픽(14, 16)과 위조된 패킷 트래픽(24, 26)이 함께 흐르게 된다. 참조번호 14 및 16 의 위조된 패킷이 사용자 단말(110, 120)에 각각 유입되면 적절하게 대처되지 않는 경우 정상적인 멀티캐스트 트래픽에 포함된 데이터를 사용하여 표시되는 화면의 질을 떨어뜨릴 수 있다.
이에 대한 대처가 단말 차원에서 잘 이루어져 있다고 하더라도 참조번호 130의 사용자단말 과 같은 공격 의도를 가지는 사용자의 수가 많을 경우 비정상적인 트래픽이 단말과 L2 스위치 사이의 대역폭을 채우게 되어 통신을 마비시킬 수 있다. 이러한 공격은 바이러스 등에 의해 발생할 수 있다.
수신자 그룹이 있는 포트 이외의 포트에서 입력되는 멀티캐스트 패킷은 VLAN 을 설정하여 막을 수 있다. 예를 들어 도 2에서 멀티캐스트 패킷이 입력되는 참조번호 240 포트와 출력포트인 210 포트 및 220 포트를 묶어서 하나의 VLAN으로 설정 할 수 있다.
그러나 다수의 멀티캐스트 주소에 대하여 이를 관리하는 것은 쉽지 않으며 확장성에 있어서도 문제가 될 수 있다. IPTV 서비스 제공자는 수백 개의 채널을 서비스할 수 있으며, 향후 사회가 다양화되면서 채널의 수가 더 늘어나게 될 것이다. 그러나 실제로 VLAN 주소로 사용할 수 있는 주소의 수가 제한되어 있으며, 다른 용도로 사용될 수도 있으므로 VLAN 을 이 용도로 사용하는 것은 어렵다. 또한 VLAN을 설정하더라도 VLAN에 가입하지 않은 단말이 송신하는 것은 막을 수 있지만 VLAN에 가입되어 있는 단말이 그 주소로 멀티캐스트 패킷을 발송하는 것은 막을 수 없다. 따라서 VLAN을 사용하더라도 송신 포트이외의 포트에서 입력되는 IPTV TV 소스 주소를 가지는 패킷의 유입을 막을 방법이 필요하다.
요약하면, IPTV 서비스의 실시간 TV 서비스와 같이 단방향의 멀티캐스트 통신을 함에 있어서 송신 출처(source)에 대한 정보가 잘 알려져 있는 경우에 악의적인 가입자나 혹은 문제가 발생한 가입자에 의하여 임의로 만들어진 프레임이 망에 유입될 수 있다. 적절히 대처되지 않으면 이 프레임은 최소한 다음의 두 가지 방향에서 문제를 발생시킬 수 있다. 이 프레임이 가입자의 단말에 유입되면 단말에서 이를 방지하는 장치가 없을 경우 이 단말에서 화질을 떨어뜨릴 수 있다. 또한 바이러스 등에 의하여 다수의 사용자가 동시에 위조된 프레임을 발송하게 되면 이 프레임은 망의 자원을 잠식하여 망의 성능을 떨어뜨릴 수 있다. 특히 액세스 망에서 많이 사용되는 L2 스위치에 있어서는 이러한 위험에 대한 대비가 거의 없어 동기화된 공격이 있을 때 망이 마비될 수 있다는 문제점이 있는 것이다.
본 발명이 이루고자 하는 기술적인 과제는, 상기의 문제점들을 해결하기 위해, IPTV 실시간 TV 서비스와 같은 단방향 멀티캐스트 서비스에 있어서 위조된 멀티캐스트 패킷의 유입을 네트워크에서 막을 수 있는, 위조된 멀티캐스트 패킷을 막는 장치 및 그 방법을 제공하는데 있다.
상기 기술적 과제를 해결하기 위한 본 발명에 의한, 위조된 멀티캐스트 패킷을 막는 스위치 장치는, 사용자 단말이 연결되는 입력포트 및 출력포트; 입력된 프레임을 목적지 주소의 단말이 연결되어 있는 포트로 전달하는 포워딩 처리부; 상기 입력포트를 통해 받은 프레임의 소스 주소로부터 그 입력포트에 연결되어 있는 단말의 주소를 파악하는 주소파악부; 상기 주소파악부로부터 받은 정보를 바탕으로 프레임의 목적지 주소를 가지는 단말이 연결되어 있는 출력 포트에 대한 정보를 저장하고 있는 필터링DB; 단방향 멀티캐스트 서비스를 하는 프레임의 멀티캐스트 MAC 주소에 대한 정보를 포함하며, 상기 사용자 단말이 연결되는 포트에 IGMP 쿼리어(Internet Group Management Protocol querier)의 연결 여부에 따라 상기 멀티캐스트 주소를 목적지 주소로 가지는 모든 프레임을 차단 혹은 통과시키는 멀티캐스트 게이트 정보부; 및 상기 스위치에 연결된 IGMP 쿼리어의 MAC 주소를 확인하고 이 주소를 목적지 주소로 하는 포트에 대한 정보를 상기 필터링DB로부터 얻어 상기 멀티캐스트 게이트 정보부에 전달하는 포트정보전달부;를 포함하는 것을 특징으로 한다.
그리고 멀티캐스트 그룹 관리를 위한 IGMP 프록시인 그룹관리부를 더 포함한다.
상기 다른 기술적 과제를 해결하기 위한 본 발명에 의한, 위조된 멀티캐스트 패킷을 막는 방법은, L2 스위치에서 위조된 멀티캐스트 프레임을 막는 방법에 있어서, (a) IGMP 쿼리어가 연결된 상기 L2 스위치의 입출력 포트를 확인하는 단계; 및 (b) 상기 IGMP 쿼리어가 연결된 것으로 확인된 포트에서 입력되는 상기 멀티캐스트 주소를 가지는 프레임은 포워딩시키고, 그 외의 다른 포트에서 입력되는 상기 멀티캐스트 주소를 목적지 주소로 가지는 모든 프레임을 차단하는 단계;를 포함하는 것을 특징으로 한다.
상기 (a) 단계에서 IGMP 쿼리어가 연결되어 있는 포트를 확인하는 것은, 수신된 IGMP JOIN 메시지로부터 IGMP 쿼리어의 해당 MAC 주소를 확인하고, 이 MAC 주소에 대응하는 출력포트로부터 상기 IGMP 쿼리어가 연결되어 있는 포트를 확인하거나, 상기 IGMP 쿼리어가 액세스 네트워크에 연결되어 있는 인터페이스의 MAC 주소를 전달하여 그 MAC 주소에 대응하는 출력포트로부터 IGMP 쿼리어가 연결되어 있는 포트를 확인하는 것을 특징으로 한다.
이하에서 첨부된 도면을 참조하여 본 발명의 바람직한 일 실시예를 상세히 설명한다.
라우터는 하위의 서브넷에 연결되어 있는 수신자를 파악하기 위하여 IGMP와 같은 그룹 멤버쉽(Group membership) 관리 프로토콜을 사용한다. IGMP를 통하여 하 위 서브넷에 특정 멀티캐스트 그룹 (예를 들어 MA2) 가입자가 있음을 파악하면 L3 스위치는 해당 서브넷에 연결된 포트로 목적지 주소가 MA2 인 멀티캐스트 패킷을 보낸다. IPTV의 실시간 TV 서비스와 같은 멀티캐스트 트래픽은 멀티캐스트 패킷의 소스가 망의 특정 영역에만 존재하므로 특정 단말과 소스 사이의 경로는 단말의 위치에 따라 정해진다. 또한 IPTV의 실시간 TV서비스에서는 트래픽의 흐름이 항상 소스에서 단말 방향으로 흐르므로 소스가 있는 위치 이외의 곳에서 망으로 들어오는 IPTV의 TV 서비스에 해당하는 주소의 멀티캐스트 패킷은 위조된 것으로 판단할 수 있다.
본 발명에서는 L2 스위치에서 정상적인 IPTV의 실시간 TV 서비스 트래픽이 흘러 들어오는 포트를 파악하고 이 외의 포트에서는 유입을 막는 방법을 제공한다. 본 발명에서는 정상적인 유입 포트를 파악하는 방법으로 L2 계층에서 IGMP 프레임의 목적지 주소의 출력 포트를 확인하여 사용하는 방법을 이용하며, 본 발명에 따른 동작을 이하에서 상세하게 설명한다.
도 3은 본 발명에 따른 L2 스위치에 사용자 단말 110 과 120이 연결되어 있는 구조를 나타내고 있다. L2 스위치(400)는 종래의 L2 스위치에서 가지는 기능으로 입력포트(410), 출력포트(420), 포워딩처리부(450), 주소파악부(460), 필터링DB(470), 그룹 관리부 즉 IGMP Proxy(480)을 포함한다. 또한 L2 스위치(400)는 본 발명의 특징적인 기능을 포함하는 멀티캐스트 소스 필터링 기능(Multicast source filtering function)을 가진 멀티캐스트 게이트 정보부(510)와 멀티캐스트 게이트 정보(Multicast Gate Information)를 포함하는 기능의 포트정보 전달부(520)를 포 함한다.
포트정보전달부(520)는 IGMP 쿼리어의 MAC 주소를 확인하고 이 주소를 목적지 주소로 하는 포트에 대한 정보를 필터링DB(470)으로부터 인출하여 멀티캐스트 게이트 정보부(510)에 전달한다.
멀티캐스트 게이트 정보부(510)는 IPTV의 TV서비스와 같이 단방향 멀티캐스트 서비스를 하는 프레임의 멀티캐스트 MAC 주소에 대한 정보를 가지고 있어야 한다. 포트정보전달부(520)로부터 해당 포트인 참조번호 410의 입력포트가 IGMP 쿼리어가 연결되어 있는 포트가 아니라는 정보를 받으면 멀티캐스트 게이트 정보부(510)는 해당 멀티캐스트 주소를 목적지 주소로 가지는 모든 프레임을 차단한다. 만약 IGMP 쿼리어가 연결되어 있는 포트인 경우에는 해당 멀티캐스트 주소를 목적지 주소로 가지는 모든 프레임의 포워딩(forwarding)을 허용한다.
멀티캐스트 게이트 정보부(510)가 모든 포트에 기본적으로 필터링할 수 있게 하고, IGMP 쿼리어가 연결되어 있는 포트에만 멀티캐스트 프레임을 포워딩 하도록 할 수 있다.
만약 IGMP 쿼리어와 멀티캐스트 스트림을 라우팅하는 에지 라우터가 다른 경우에는 에지 라우터에서 해당 액세스 네트워크로 연결되어 있는 interface 의 MAC 주소를 사용한다.
멀티캐스트 게이트 정보부(510)가 IGMP 쿼리어의 MAC 주소에 대한 정보를 얻는 방법은 다양할 수 있다.
에지 라우터와 IGMP 쿼리어가 같은 경우 이 정보는 도 3에 포함된 IGMP 프록 시인 그룹관리부(480)로부터 얻을 수 있다. 그룹관리부(480)는 IGMP 프록시의 기능으로 IGMP 프레임을 가로채서 들여다보는 기능을 가지고 있다. 따라서 어떤 프레임이 IGMP 제어(Control) 패킷을 포함하고 있으면 이 프레임의 목적지 주소가 해당 서브넷이 최초로 만나는 L3스위치의 MAC 주소가 된다. 이 L3 스위치는 IGMP 쿼리어일 수도 있으며 혹은 해당 서브넷에서 IGMP 쿼리어로 가는 경로상에 있는 L3 스위치일 수도 있다. 두 경우 모두에 있어서 IGMP 제어 패킷을 포함하는 프레임의 출력 포트가 멀티캐스트 스트림의 분배 경로 상에 있다는 사실은 변함이 없으므로 이 주소를 사용할 수 있다.
또 다른 방법은 제어계를 통하여 멀티캐스트 게이트 정보부(510)에 해당 서브넷이 최초로 만나게 되는 L3 스위치의 MAC 주소를 알려 주는 것이다. 특정 L2 스위치가 L3 스위치의 어떤 포트에 연결되어 있는지에 대한 정보가 없을 경우 해당 L3 스위치의 모든 인터페이스의 MAC 주소를 알려 주어도 IGMP 제어 패킷의 목적지 주소는 하나의 서브넷 당 하나 뿐이므로 본 발명에 따른 장치는 정상적으로 동작할 수 있다.
도 4는 본 발명에 따른 장치를 사용하는 경우의 효과를 설명하기 위한 것이다. 도 4에서 참조번호 32,34, 36의 화살표는 정상 경로를 통한 멀티캐스트 스트림을 의미하며, 참조번호 42, 44의 화살표는 비정상 경로를 통한 위조된 멀티캐스트 스트림을 의미한다.
도 4에서, 참조번호 310은 L3 스위치로 IGMP 쿼리어이거나 혹은 이 서브넷에서 IGMP 쿼리어로 전달되는 경로상에 있는 L3 스위치이다. 참조번호 610 및 620은 본 발명에 따른 기능을 포함하는 L2 스위치이다. 참조번호 150, 160은 사용자 단말로 특히 참조번호 160의 단말은 IPTV 멀티캐스트 서비스의 수신자이다.
참조번호 160의 사용자 단말은 수신을 위하여 IGMP JOIN 메시지를 IGMP 쿼리어(310)로 송신한다. 이 프레임의 수신 주소는 에지 라우터일 수도 있는 IGMP 쿼리(310)의 인터페이스 포트 312의 MAC 주소이다. 본 발명에 따른 L2 스위치(610, 620)의 멀티캐스트 게이트 정보부(도 4에는 표시되어 있지 않으며, 도 3의 참조번호 510)는 IGMP JOIN 메시지의 수신 주소 혹은 제어계를 통하여 참조번호 312인 인터페이스 혹은 포트의 MAC 주소를 알고 있다. 제어계는 또한 참조번호 610 및 620의 각 L2 스위치의 멀티캐스트 게이트 정보부(도 4에는 표시되어 있지 않으며, 도 3의 510)에 송신을 제한해야 할 멀티캐스트 주소를 알려준다.
참조번호 610 및 620의 본 발명에 따른 L2 스위치들에 포함된 각 필터링DB(도 4에는 표시되어 있지 않으며, 도 3의 470)는 Source MAC Learning을 통하여 각각 참조번호 612 및 622의 입출력 포트가 IGMP 제어 패킷을 포함하는 프레임의 출력포트인 것을 알고 있다.
IGMP 제어 프레임 출력포트인 참조번호 612 및 622의 포트를 제외한 다른 포트에서는 IPTV 멀티캐스트 트래픽이 진입하는 것이 허용되지 않는다. 두 사용자 단말(150, 160)이 방송서비스에 해당하는 주소를 가지는 위조된 멀티캐스트 트래픽인 참조번호 42 및 44의 트래픽을 생성하여 보내더라도, 이 트래픽은 네트워크로 유입되지 않는다. 따라서 도 2의 종래의 경우에서 보는 바와 같이 이와 같은 위조된 트래픽이 멀티캐스트되어 네트워크의 자원을 소진하는 것이 억제되는 것을 알 수 있 다.
본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 본 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 상기의 설명에 포함된 예들은 본 발명에 대한 이해를 위해 도입된 것이며, 이 예들은 본 발명의 사상과 범위를 한정하지 않는다. 상기의 예들 외에도 본 발명에 따른 다양한 실시 태양이 가능하다는 것은, 본 발명이 속한 기술 분야에 통상의 지식을 가진 사람에게는 자명할 것이다. 본 발명의 범위는 전술한 설명이 아니라 청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
또한 본 발명에 따른 상기의 각 단계는 일반적인 프로그래밍 기법을 이용하여 소프트웨어적으로 또는 하드웨어적으로 다양하게 구현할 수 있다는 것은 이 분야에 통상의 기술을 가진 자라면 용이하게 알 수 있는 것이다.
그리고 본 발명의 일부 단계들은, 또한, 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, CD-RW, 자기 테이프, 플로피디스크, HDD, 광 디스크, 광자기 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드로 저장되고 실행될 수 있다.
본 발명에 의하면, 사용자 단말이 연결되는 입력포트 및 출력포트, 입력된 프레임을 목적지 주소의 단말이 연결되어 있는 포트로 전달하는 포워딩 처리부, 입력포트를 통해 받은 프레임의 소스 주소로부터 그 입력포트에 연결되어 있는 단말의 주소를 파악하는 주소파악부, 주소파악부로부터 받은 정보를 바탕으로 프레임의 목적지 주소를 가지는 단말이 연결되어 있는 출력포트에 대한 정보를 저장하고 있는 필터링DB, 단방향 멀티캐스트 서비스를 하는 프레임의 멀티캐스트 MAC 주소에 대한 정보를 포함하며, 사용자 단말이 연결되는 포트에 IGMP 쿼리어의 연결 여부에 따라 상기 멀티캐스트 주소를 목적지 주소로 가지는 모든 프레임을 차단 혹은 통과시키는 멀티캐스트 게이트 정보부 및 스위치에 연결된 IGMP 쿼리어의 MAC 주소를 확인하고 이 주소를 목적지 주소로 하는 포트에 대한 정보를 필터링DB로부터 얻어 상기 멀티캐스트 게이트 정보부에 전달하는 포트정보전달부를 포함하여, 위조된 트래픽이 멀티캐스트되는 것을 막으며, 결과적으로 네트워크의 한정된 자원이 소진되는 것을 억제할 수 있게 되어, 네트워크 사용의 효율을 높일 수 있다.

Claims (11)

  1. 위조된 멀티캐스트 패킷을 막는 장치에 있어서,
    사용자 단말이 연결되는 입력포트 및 출력포트;
    입력된 프레임을 목적지 주소의 단말이 연결되어 있는 포트로 전달하는 포워딩 처리부;
    상기 입력포트를 통해 받은 프레임의 소스 주소로부터 그 입력포트에 연결되어 있는 단말의 주소를 파악하는 주소파악부;
    상기 주소파악부로부터 받은 정보를 바탕으로 프레임의 목적지 주소를 가지는 단말이 연결되어 있는 출력 포트에 대한 정보를 저장하고 있는 필터링DB;
    단방향 멀티캐스트 서비스를 하는 프레임의 멀티캐스트 MAC 주소에 대한 정보를 포함하며, 상기 사용자 단말이 연결되는 포트에 IGMP 쿼리어(Internet Group Management Protocol querier)의 연결 여부에 따라 상기 멀티캐스트 MAC 주소를 목적지 주소로 가지는 모든 프레임을 차단 혹은 통과시키는 멀티캐스트 게이트 정보부; 및
    상기 스위치에 연결된 IGMP 쿼리어의 MAC 주소를 확인하고 이 주소를 목적지 주소로 하는 포트에 대한 정보를 상기 필터링DB로부터 얻어 상기 멀티캐스트 게이트 정보부에 전달하는 포트정보전달부;를 포함하는 것을 특징으로 하는 위조된 멀티캐스트 패킷을 막는 장치.
  2. 제1항에 있어서,
    상기 멀티캐스트 게이트 정보부는 상기 포트정보전달부으로부터 상기 사용자 단말이 연결되는 입력 포트가 IGMP 쿼리어가 연결되어 있는 포트가 아니라는 정보를 받으면 해당 멀티캐스트 주소를 목적지 주소로 가지는 모든 프레임을 차단하며, 그 입력포트가 IGMP 쿼리어와 연결되어 있는 포트인 정보를 받으면 해당 멀티캐스트 주소를 목적지 주소로 가지는 모든 프레임의 포워딩(forwarding)을 허용하는 것을 특징으로 하는 위조된 멀티캐스트 패킷을 막는 장치.
  3. 제1항 또는 제2항에 있어서,
    상기 멀티캐스트 게이트 정보부는 모든 포트에 대해 IGMP 쿼리어가 연결되어 있는 포트를 찾아서 그 포트에 대해서만 상기 멀티캐스트 MAC 주소를 가지는 프레임의 입력 및 포워딩을 허용하도록 하는 것을 특징으로 하는 위조된 멀티캐스트 패킷을 막는 장치.
  4. 제1항에 있어서,
    IGMP 쿼리어 와 멀티캐스트 스트림을 라우팅하는 에지 라우터가 서로 다른 경우에는 상기 멀티캐스트 게이트 정보부가 포함하는 MAC 정보는 상기 에지 라우터에서 그 에지 라우터에 대응하는 액세스 네트워크로 연결되는 인터페이스의 MAC 주소인 것을 특징으로 하는 위조된 멀티캐스트 패킷을 막는 장치.
  5. 제1항에 있어서,
    멀티캐스트 그룹 관리를 위한 IGMP 프록시인 그룹관리부를 더 포함하는 것을 특징으로 하는 위조된 멀티캐스트 패킷을 막는 장치.
  6. 제1항, 2항, 4항 또는 제5항 중의 한 항에 있어서,
    상기 입력포트가 사용자 단말로부터 프레임을 수신하면 상기 입력포트는 이를 주소파악부에 통보하고, 그 프레임을 상기 포워딩처리부로 전달하며,
    상기 포워딩처리부는 상기 필터링DB를 참조하여 목적지 주소를 가지는 단말이 연결되어 있는 포트로 상기 전달받은 프레임을 전달하는 것을 특징으로 하는 위조된 멀티캐스트 패킷을 막는 장치.
  7. 제6항에 있어서,
    상기 주소파악부는 프레임의 발신 주소를 읽어 이 주소에 대응하는 단말이 상기 입력포트에 있음을 상기 필터링DB에 전달하여 저장하게 하는 것을 특징으로 하는 위조된 멀티캐스트 패킷을 막는 장치.
  8. 제1항에 있어서,
    상기 IGMP 쿼리어가 연결되어 있는 포트 혹은 그 포트에 연결여부를 확인하는 것은,
    수신된 IGMP JOIN 메시지로부터 IGMP 쿼리어의 해당 MAC 주소를 확인하고, 이 MAC 주소에 대응하는 출력포트로부터 상기 IGMP 쿼리어가 연결되어 있는 포트를 확인하는 것을 특징으로 하는 위조된 멀티캐스트 패킷을 막는 장치.
  9. 제5항에 있어서,
    상기 IGMP 쿼리어가 연결되어 있는 포트 혹은 연결여부를 확인하는 것은, 상기 IGMP 쿼리어가 액세스 네트워크에 연결되어 있는 인터페이스의 MAC 주소를 전달하여 그 MAC 주소에 대응하는 출력포트로부터 IGMP 쿼리어가 연결되어 있는 포트를 확인하는 것을 특징으로 하는 위조된 멀티캐스트 패킷을 막는 장치.
  10. 위조된 멀티캐스트 패킷을 막는 방법에 있어서,
    (a) IGMP 쿼리어가 연결된 L2 스위치의 입출력 포트를 확인하는 단계; 및
    (b) 상기 IGMP 쿼리어가 연결된 것으로 확인된 포트에서 입력되는 멀티캐스트 주소를 가지는 프레임은 포워딩시키고, 그 외의 다른 포트에서 입력되는 멀티캐스트 주소를 목적지 주소로 가지는 모든 프레임을 차단하는 단계;를 포함하는 것을 특징으로 하는 위조된 멀티캐스트 패킷을 막는 방법.
  11. 제10항에 있어서,
    상기 (a) 단계에서 IGMP 쿼리어가 연결되어 있는 포트를 확인하는 것은,
    수신된 IGMP JOIN 메시지로부터 IGMP 쿼리어의 해당 MAC 주소를 확인하고, 이 MAC 주소에 대응하는 출력포트로부터 상기 IGMP 쿼리어가 연결되어 있는 포트를 확인하거나, 상기 IGMP 쿼리어가 액세스 네트워크에 연결되어 있는 인터페이스의 MAC 주소를 전달하여 그 MAC 주소에 대응하는 출력포트로부터 IGMP 쿼리어가 연결되어 있는 포트를 확인하는 것을 특징으로 하는 위조된 멀티캐스트 패킷을 막는 방법.
KR1020060125113A 2006-12-08 2006-12-08 위조된 멀티캐스트 패킷을 막는 장치 및 그 방법 KR100859712B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020060125113A KR100859712B1 (ko) 2006-12-08 2006-12-08 위조된 멀티캐스트 패킷을 막는 장치 및 그 방법
PCT/KR2007/005462 WO2008069455A1 (en) 2006-12-08 2007-10-31 Method and apparatus for blocking forged multicast packets
US12/516,229 US8270406B2 (en) 2006-12-08 2007-10-31 Method and apparatus for blocking forged multicast packets

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060125113A KR100859712B1 (ko) 2006-12-08 2006-12-08 위조된 멀티캐스트 패킷을 막는 장치 및 그 방법

Publications (2)

Publication Number Publication Date
KR20080053119A KR20080053119A (ko) 2008-06-12
KR100859712B1 true KR100859712B1 (ko) 2008-09-23

Family

ID=39492285

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060125113A KR100859712B1 (ko) 2006-12-08 2006-12-08 위조된 멀티캐스트 패킷을 막는 장치 및 그 방법

Country Status (3)

Country Link
US (1) US8270406B2 (ko)
KR (1) KR100859712B1 (ko)
WO (1) WO2008069455A1 (ko)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8305951B1 (en) * 2010-01-14 2012-11-06 Sprint Communications Company L.P. Conditional media access control address filtering
US8891863B2 (en) 2011-06-13 2014-11-18 Dolby Laboratories Licensing Corporation High dynamic range, backwards-compatible, digital cinema
CN102427460B (zh) * 2011-12-29 2015-03-11 深信服网络科技(深圳)有限公司 针对arp欺骗的多级检测和防御方法
US8873552B2 (en) 2012-03-19 2014-10-28 International Business Machines Corporation Unregistered multicast (MC) packet forwarding to multicast router ports
US9548960B2 (en) * 2013-10-06 2017-01-17 Mellanox Technologies Ltd. Simplified packet routing
KR102000159B1 (ko) 2013-12-18 2019-07-16 한국전자통신연구원 불법 위장 단말 식별 장치 및 방법
CN105491460B (zh) 2014-09-19 2020-04-24 中兴通讯股份有限公司 基于dns的组播安全控制方法及装置
US10057290B2 (en) * 2015-01-23 2018-08-21 International Business Machines Corporation Shared MAC blocking
US10819621B2 (en) 2016-02-23 2020-10-27 Mellanox Technologies Tlv Ltd. Unicast forwarding of adaptive-routing notifications
US10944582B2 (en) * 2017-05-12 2021-03-09 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for enhancing multicast group membership protocol(s)
CN109842574B (zh) * 2017-11-28 2020-07-17 中国科学院声学研究所 一种基于可编程网络技术的多宿主网络路由转发方法
US10644995B2 (en) 2018-02-14 2020-05-05 Mellanox Technologies Tlv Ltd. Adaptive routing in a box
US11005724B1 (en) 2019-01-06 2021-05-11 Mellanox Technologies, Ltd. Network topology having minimal number of long connections among groups of network elements
US11038902B2 (en) * 2019-02-25 2021-06-15 Verizon Digital Media Services Inc. Systems and methods for providing shifting network security via multi-access edge computing
US11575594B2 (en) 2020-09-10 2023-02-07 Mellanox Technologies, Ltd. Deadlock-free rerouting for resolving local link failures using detour paths
US11411911B2 (en) 2020-10-26 2022-08-09 Mellanox Technologies, Ltd. Routing across multiple subnetworks using address mapping
US11870682B2 (en) 2021-06-22 2024-01-09 Mellanox Technologies, Ltd. Deadlock-free local rerouting for handling multiple local link failures in hierarchical network topologies
US11765103B2 (en) 2021-12-01 2023-09-19 Mellanox Technologies, Ltd. Large-scale network with high port utilization

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002064558A (ja) 2000-08-22 2002-02-28 Nec Corp Ipマルチキャスト経路制御方法およびルータ
KR20050060862A (ko) * 2003-12-17 2005-06-22 한국전자통신연구원 이더넷 기반 수동형 광가입자망에서의 멀티캐스트 서비스지원 방법
KR20060069614A (ko) * 2004-12-17 2006-06-21 한국전자통신연구원 Ftth 기반 홈 게이트웨이 장치에서의 멀티캐스트 패킷처리 장치

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US1774866A (en) 1928-01-28 1930-09-02 Cellacote Company Inc Preservative material and method of making and applying the same
US5818838A (en) * 1995-10-12 1998-10-06 3Com Corporation Method and apparatus for transparent intermediate system based filtering on a LAN of multicast packets
AU762267B2 (en) 2000-10-04 2003-06-19 E-Tenna Corporation Multi-resonant, high-impedance surfaces containing loaded-loop frequency selective surfaces
US6970461B2 (en) * 2000-11-29 2005-11-29 Nortel Networks Limited Access control enhancements for delivery of video and other services
WO2002103846A1 (en) 2001-06-15 2002-12-27 E-Tenna Corporation Aperture antenna having a high-impedance backing
US6977891B1 (en) 2001-06-30 2005-12-20 Extreme Networks, Inc. Method and system for multicast traffic reduction
US6917343B2 (en) 2001-09-19 2005-07-12 Titan Aerospace Electronics Division Broadband antennas over electronically reconfigurable artificial magnetic conductor surfaces
WO2003050914A1 (en) 2001-12-05 2003-06-19 E-Tenna Corporation Capacitively-loaded bent-wire monopole on an artificial magnetic conductor
US6774866B2 (en) 2002-06-14 2004-08-10 Etenna Corporation Multiband artificial magnetic conductor
US7936752B2 (en) * 2002-07-31 2011-05-03 Cisco Technology, Inc. Source specific multicast group to source mapping
KR100475191B1 (ko) 2003-04-01 2005-03-10 삼성전자주식회사 인터넷 망을 이용해 전달되는 데이터에서 디지털방송신호를 분리하는 장치 및 그 방법
US7042419B2 (en) 2003-08-01 2006-05-09 The Penn State Reserach Foundation High-selectivity electromagnetic bandgap device and antenna system
US20050080901A1 (en) 2003-10-14 2005-04-14 Reader Scot A. Method and apparatus for controlling access to multicast data streams
US7940765B2 (en) * 2004-11-14 2011-05-10 Cisco Technology, Inc. Limiting unauthorized sources in a multicast distribution tree
US7877796B2 (en) * 2004-11-16 2011-01-25 Cisco Technology, Inc. Method and apparatus for best effort propagation of security group information
US7522598B2 (en) 2004-11-23 2009-04-21 Tellabs Petaluma, Inc. System and method of protecting an IGMP proxy
US7835276B2 (en) 2004-12-30 2010-11-16 Cisco Technology, Inc. Admission control mechanism for multicast receivers
US20080060026A1 (en) * 2006-08-29 2008-03-06 Cisco Technology, Inc. IPTV subscriber and security management

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002064558A (ja) 2000-08-22 2002-02-28 Nec Corp Ipマルチキャスト経路制御方法およびルータ
KR20050060862A (ko) * 2003-12-17 2005-06-22 한국전자통신연구원 이더넷 기반 수동형 광가입자망에서의 멀티캐스트 서비스지원 방법
KR20060069614A (ko) * 2004-12-17 2006-06-21 한국전자통신연구원 Ftth 기반 홈 게이트웨이 장치에서의 멀티캐스트 패킷처리 장치

Also Published As

Publication number Publication date
US8270406B2 (en) 2012-09-18
WO2008069455A1 (en) 2008-06-12
US20100020796A1 (en) 2010-01-28
KR20080053119A (ko) 2008-06-12

Similar Documents

Publication Publication Date Title
KR100859712B1 (ko) 위조된 멀티캐스트 패킷을 막는 장치 및 그 방법
US7835276B2 (en) Admission control mechanism for multicast receivers
US8582572B2 (en) Methods and apparatus for managing multicast traffic
US8203943B2 (en) Colored access control lists for multicast forwarding using layer 2 control protocol
US8539088B2 (en) Session monitoring method, apparatus, and system based on multicast technologies
EP1564930B1 (en) Method of transporting a multipoint stream in a local area network and device for connection implementing the method
CN100435515C (zh) 在通信网络中不同的多点传送协议之间转换请求的系统和方法
US8503445B2 (en) Source specific multicast layer 2 networking device and method
EP1715628B1 (en) A method for realizing the multicast service
US7751394B2 (en) Multicast packet relay device adapted for virtual router
US7769008B2 (en) Multicast packet routing arrangements for group-membership handling
CN1938982B (zh) 通过认证因特网控制消息协议分组来防止网络攻击的方法和装置
EP1480405A1 (en) System and implementation method of controlled multicast
US20030218980A1 (en) Device and system for multicast communication
US7327730B2 (en) Data packet transmission method and network switch applying same thereto
Cain et al. RFC3376: internet group management protocol, version 3
US20050185663A1 (en) Method, system and source for implementing multicasting
JP2007521763A (ja) サービス中継サブネット間マルチキャスト−ネットワーク基盤に依らないサブネット横断マルチキャスト解決策
EP2260612B1 (en) Bandwidth signalling
RU2534950C2 (ru) Процедура реализации членства в нескольких группах многоадресной передачи различных провайдеров
JP3500087B2 (ja) パケット通信方法
KR100918581B1 (ko) 인터넷 그룹 관리 프로토콜 가입 보고 패킷을 처리하는방법 및 장치
Hilt et al. Using IGMPv3 to manage multicast access
US20080288959A1 (en) Message sending method, message sending device and message transmission system
WO2015071914A2 (en) Multicast data management

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
J201 Request for trial against refusal decision
B701 Decision to grant
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee