KR100920528B1 - Arp 스푸핑 탐지 및 방어 방법 및 그에 따른 시스템 - Google Patents

Arp 스푸핑 탐지 및 방어 방법 및 그에 따른 시스템 Download PDF

Info

Publication number
KR100920528B1
KR100920528B1 KR1020080118712A KR20080118712A KR100920528B1 KR 100920528 B1 KR100920528 B1 KR 100920528B1 KR 1020080118712 A KR1020080118712 A KR 1020080118712A KR 20080118712 A KR20080118712 A KR 20080118712A KR 100920528 B1 KR100920528 B1 KR 100920528B1
Authority
KR
South Korea
Prior art keywords
arp
information
spoofing
received
response message
Prior art date
Application number
KR1020080118712A
Other languages
English (en)
Inventor
서승호
문해은
Original Assignee
(주)넷맨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)넷맨 filed Critical (주)넷맨
Priority to KR1020080118712A priority Critical patent/KR100920528B1/ko
Application granted granted Critical
Publication of KR100920528B1 publication Critical patent/KR100920528B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 ARP 스푸핑 탐지 및 방어 방법에 관한 것으로, 네트워크에 연결된 장비들에 ARP 정보 요청 메시지를 전송하여 ARP 응답 메시지를 회신받고, 그 ARP 응답 메시지에 포함된 ARP 정보를 추출하여 제1테이블에 저장하는 단계; SNMP 정보를 수집하여 그 SNMP 정보에 포함된 ARP 정보를 추출하여 제2테이블에 저장하는 단계; 상기 제1 및 제2테이블에 저장된 ARP 정보들을 비교하여 ARP 스푸핑을 탐지하는 단계로 구성됨을 특징으로 한다.
ARP 스푸핑, SNMP

Description

ARP 스푸핑 탐지 및 방어 방법 및 그에 따른 시스템{METHOD AND SYSTEM OF DETECTING AND DEFENSING ARP SPOOFING}
본 발명은 ARP 스푸핑 탐지 기술에 관한 것으로, 더욱 상세하게는 ARP 정보 및 SNMP 정보로부터 추출한 ARP 캐시정보를 이용하여 ARP 스푸핑을 탐지하는 ARP 스푸핑 탐지 및 방어 방법 및 그에 따른 시스템에 관한 것이다.
ARP 스푸핑(Spoofing) 공격은 로컬 네트워크(LAN)에서 사용하는 ARP 프로토콜의 허점을 이용하는 것으로, ARP 캐시의 정보를 임의로 변경하여 자신의 MAC 주소를 다른 컴퓨터의 MAC 주소인 것처럼 속이는 것이다.
상기한 ARP 스푸핑 공격은 스니핑(sniffing)을 위해 주로 호스트를 대상으로 하였으나, 근래에는 웹 서버를 공격하여 그 웹 서버에 접속하는 클라이언트에게 악성코드를 내려받게 하는 공격으로 발전하고 있다.
상기한 ARP 스푸핑을 탐지하거나 방어하는 종래 방법으로는 ARP 와치(watch)가 있다. 상기 ARP 와치는 ARP 트래픽을 모니터링하여 MAC/IP 매칭을 감시하는 프로그램으로 APR 트래픽에 포함된 이더넷 및 IP 주소(Ethernet/IP Addr)와 초기 설정된 ARP 엔트리 정보가 변경되는 것을 탐지하여 관리자에게 통보하는 것이다. 그 러나 이러한 방식은 장비의 IP 주소가 변경될 때마다 ARP 엔트리 설정 정보를 일일이 수정하여야 하는 번거로움이 있고, 상기 ARP 스푸핑에 대한 탐지는 가능하나 방어는 할 수 없는 문제가 있었다.
또한 ARP 캐시의 정보를 정적으로 설정하여 잘못된 ARP 응답(Reply)이 오더라도 ARP 테이블이 반영되지 못하게 하는 방법도 있다. 이러한 방법은 확실한 방어방법이 될 수 있으나, IP 정보의 변경에 대해 지속적으로 수동으로 수정해 주어야 하며, 서버 이중화 구성에 적용하기는 곤란한 문제가 있었다.
본 발명은 ARP 스푸핑이 ARP 캐시 변조에 의해 일어나는 것을 감안하여 ARP 요청 메시지를 통해 기존에 수집된 ARP 정보와 SNMP를 통한 ARP 캐시 정보를 주기적으로 비교하여 ARP 스푸핑을 조기에 발견하는 ARP 스푸핑 탐지 및 방어 방법 및 그에 따른 시스템을 제공하는 것을 그 목적으로 한다.
또한 본 발명의 다른 목적은 상기 ARP 스푸핑이 발견되면 SNMP를 통해 ARP 캐시 정보를 제공한 시스템으로 ARP 응답 또는 요청 메시지를 제공하여 상기 시스템의 ARP 캐시 정보가 갱신되게 하는 ARP 스푸핑 탐지 및 방어 방법 및 그에 따른 시스템을 제공하는 것이다.
상기한 목적을 달성하기 위한 본 발명에 따르는 ARP 스푸핑 탐지 방법은, 네트워크에 연결된 장비들에 ARP 정보 요청 메시지를 전송하여 ARP 응답 메시지를 회신받고, 그 ARP 응답 메시지에 포함된 ARP 정보를 추출하여 제1테이블에 저장하는 단계; SNMP 정보를 수집하여 그 SNMP 정보에 포함된 ARP 정보를 추출하여 제2테이블에 저장하는 단계; 상기 제1 및 제2테이블에 저장된 ARP 정보들을 비교하여 ARP 스푸핑을 탐지하는 단계로 구성됨을 특징으로 한다.
본 발명은 ARP 스푸핑이 ARP 캐시 변조에 의해 일어나는 것을 감안하여 ARP 요청 메시지를 통해 기존에 수집된 ARP 정보와 SNMP를 통한 ARP 캐시정보를 주기적 으로 비교하여 ARP 스푸핑을 검출하여, ARP 스푸핑을 조기에 발견하여 방어할 수 있게 하는 효과가 있다.
본 발명의 바람직한 실시예에 따른 ARP 스푸핑 탐지 및 방어 시스템의 구성을 도 1을 참조하여 설명한다.
상기 ARP 스푸핑 탐지 및 방어 시스템(100)은 ARP 정보 수집장치(102), 제1저장매체(104), 원격장비 ARP 캐시 수집장치(106), 제2저장매체(108), ARP 스푸핑 판단 및 방어장치(110)로 구성된다.
상기 ARP 정보 수집장치(102)는 로컬 네트워크에 설치되어 상기 로컬 네트워크 상의 ARP 요청 및 응답 메시지, 이더넷 프레임을 수집하여 분석하고, 상기 ARP 요청 및 응답 메시지, 이더넷 프레임에 포함된 ARP 정보 및 분석결과정보를 제1저장매체(104)의 네트워크 ARP 정보 테이블에 등록한다.
좀 더 설명하면, 그리고 ARP 정보 수집장치(102)는 로컬 네트워크에 존재하는 다수의 디바이스(1121~1122) 중 어느 하나가 송신한 ARP 요청 및 응답 메시지, 이더넷 프레임을 수신하거나, 미리 정해둔 주기마다 주기적으로 로컬 네트워크 전체 혹은 특정 IP 범위에 대해서 ARP 요청 메시지를 송신하여 해당 디바이스로부터 ARP 응답 메시지를 수신받아 로컬 네트워크의 ARP 응답 메시지를 수집한다.
상기 ARP 요청 또는 응답 메시지, 이더넷 프레임이 수집되면, 상기 ARP 정보 수집장치(102)는 상기 수신된 ARP 응답 메시지가 ARP 요청 메시지에 따른 응답이 아닌 경우, 즉 ARP 요청 메시지를 보내지 않았는데 ARP 응답 메시지가 수신된 것인 지, 상기 수신된 ARP 요청 메시지가 유니캐스트(Unicast)를 위한 것인지, 하나의 ARP 요청 메시지에 서로 다른 두 가지의 ARP 응답 메시지가 수신되는지, 상기 이더넷(Ethernet) 프레임의 소스와 목적지 MAC 주소를 검출하는 등의 분석을 이행하고, 그 분석결과정보를 생성한다.
이후 상기 ARP 정보 수집장치(102)는 상기 ARP 요청 또는 응답 메시지, 이더넷 프레임으로부터 ARP 정보를 추출하고, 상기 ARP 정보와 상기 분석결과정보를 대응시켜 네트워크 ARP 정보 테이블에 저장한다.
여기서, 상기 ARP 정보는 IP 주소/MAC 주소 쌍으로 구성되며, 이는 도 2에 도시한 바와 같이 네트워크 주소(netaddress)에 대응되는 물리적인 주소(physaddress)가 맵핑되는 테이블로 구성될 수 있다.
상기 제1저장매체(104)는 상기 ARP 정보 수집장치(102)가 제공하는 ARP 정보 및 분석결과정보를 서로 대응되게 네트워크 ARP 정보 테이블에 등록한다.
상기 원격장비 ARP 캐시 수집장치(106)는 SNMP 매니저로서, SNMP를 이행하는 원격장비(114)로부터의 원격 장비 ARP 캐시 정보를 SNMP를 이용해서 수집하고, 그 수집된 원격장비 ARP 캐시 정보를 제2저장매체(108)의 원격장비 ARP 캐시 테이블에 등록한다. 특히 상기 원격장비 ARP 캐시 수집장치(106)는 원격장비 ARP 캐시 정보 각각에 대해 상기 원격장비 ARP 캐시 정보를 송신한 송신 시스템에 대한 정보를 기록하여, 상기 ARP 스푸핑의 발견시에 방어를 이행할 수 있게 한다. 여기서, 상기 원격장비(114)는 서버, 네트워크 장비인 라우터, PC 등이 될 수 있다.
상기 제2저장매체(108)는 상기 원격장비 ARP 캐시 수집장치(106)가 제공하는 원격장비 ARP 캐시정보를 원격장비 ARP 캐시 테이블에 등록한다.
여기서, 상기 원격장비 ARP 캐시 수집장치(106)가 수집하는 SNMP 정보를 도 3의 (A) 및 (B)를 참조하여 좀 더 설명한다.
SNMP 정보 중 RFC1213의 atTABLE은 어드레스 번역 테이블로서, 네트워크 어드레스를 물리적인 어드레스로 변환하는 정보를 포함한다. 이 atTABLE는 상기 도 3의 (A)에 나타낸 바와 같이, 연결된 인터페이스 인덱스를 나타내는 atIfindex와, 자원의 물리주소를 나타내는 atPhyAddress와, 물리주소에 연관된 네트워크 주소를 나타내는 atNetAddress를 포함한다.
그리고 SNMP 정보 중 RFC1213의 ip/ipNetToMediaTable은 IP 어드레스 번역 테이블로서, IP 주소를 물리주소로 맵핑시키는 데 사용된다. 이 ip/ipNetToMediaTable는 상기 도 3의 (B)에 나타낸 바와 같이, 인터페이스 인덱스로서 해당 IP/MAC 주소지가 연결된 인터페이스 인덱스를 나타내는 ipNetToMediaIfIndex, 물리 주소를 나타내는 ipNetToMediaPhysAddress, 물리 주소에 연결된 IP 주소를 나타내는 ipNetToMediaNetAddress, 타입을 나타내는 ipNetToMediaTYPE를 포함한다.
상기 원격장비 ARP 캐시 수집장치(106)는 상기한 SNMP 정보를 이용하여 IP 주소 및 MAC 주소 쌍으로 구성되는 원격장비 ARP 캐시 정보를 추출하여, 상기 원격장비 ARP 캐시 테이블에 저장한다. 즉, atTable경우 atNetAddress가 NetAddress에 저장되며, atPhysAddress가 PhysAddress에 저장된다. 그리고 ipNetToMediaTable의 경우에는 ipNetToMediaNetAddress가 NetAddress에 저장되며, ipNetToMediaPhysAddress는 PhysAddress에 저장된다.
도 3의 (C)는 원격장비 ARP 캐시 수집장치(106)에 의해 구성된 원격장비 ARP 캐시 테이블을 예시한 것이다. 이와 같이 원격장비 ARP 수집장치(106)는 여러 개의 원격장비에 대한 ARP 캐시 정보를 수집할 수 있도록 원격 장비 ARP 캐시 테이블을 리스트 형태로 관리한다.
상기 ARP 스푸핑 판단 및 방어장치(110)는 상기 네트워크 ARP 정보 테이블의 ARP 정보 및 분석결과, 그리고 상기 원격장비 ARP 캐시 테이블의 원격장비 ARP 캐시 정보를 토대로, ARP 스푸핑을 판단하고, 그 결과에 따라 SNMP를 통해 원격장비 ARP 캐시정보를 제공한 시스템으로 ARP 정보 갱신을 요청하며, 그 요청은 ARP 요청 또는 응답 메시지를 송신하는 것으로서 이행된다. 여기서, 상기 원격장비 ARP 캐시정보를 제공한 시스템은 상기 ARP 요청 또는 응답 메시지에 따라 자신의 원격장비 ARP 캐시정보를 갱신하며, 이로서 ARP 스푸핑에 대한 방어가 이행된다.
상기한 ARP 스푸핑 탐지 시스템(100) 중 ARP 정보 수집장치(102) 및 ARP 스푸핑 판단 및 방어장치(110)의 처리 과정을 흐름도를 참조하여 상세히 설명한다.
먼저 ARP 정보 수집장치(102)의 처리 과정을 도 4를 참조하여 설명한다.
상기 ARP 정보 수집장치(102)는 미리 정해둔 주기가 도래하는지를 체크한다(200단계).
상기 미리 정해둔 주기가 도래하지 않으면, 상기 ARP 정보 수집장치(102)는 네트워크의 디바이스들이 송수신하는 ARP 요청 또는 응답 메시지, 이더넷 프레임을 수신하고, 상기 ARP 요청 또는 응답 메시지, 이더넷 프레임을 분석하며, 이 분석에 따른 분석결과정보를 생성함과 아울러 ARP 요청 또는 응답 메시지, 이더넷 프레임으로부터의 ARP 정보를 추출하여, 상기 ARP 정보와 상기 분석결과정보를 대응시켜 네트워크 ARP 정보 테이블에 저장한다(208,210단계).
상기한 바와 달리 미리 정해둔 주기가 도래하면, 상기 ARP 정보 수집장치(102)는 네트워크를 통해 연결된 디바이스들로 ARP 요청 메시지를 송신하고, 상기 디바이스들로부터 ARP 응답 메시지가 수신되면, 이 ARP 응답 메시지를 분석하고, 이 분석에 따른 분석결과정보를 생성함과 아울러 ARP 응답 메시지로부터의 ARP 정보를 추출하여, 상기 ARP 정보와 상기 분석결과정보를 대응시켜 네트워크 ARP 정보 테이블에 저장한다(202,204,206단계).
이제 상기 ARP 스푸핑 판단 및 방어 장치(110)의 동작을 도 5를 참조하여 설명한다.
상기 ARP 스푸핑 판단 및 방어장치(110)는 미리 정해둔 주기가 도래되었는지를 체크한다(300단계). 상기 미리 정해둔 주기가 도래되었으면, 상기 ARP 스푸핑 판단 및 방어장치(110)는 네트워크 ARP 정보 테이블의 ARP 정보 및 분석결과정보를 리드하고, 원격장비 ARP 캐시 테이블의 원격장비 ARP 캐시정보를 리드한다(304,306단계).
이후 상기 ARP 스푸핑 판단 및 방어장치(110)는 네트워크 ARP 정보와 그에 대응되는 분석결과정보, 원격장비 ARP 캐시정보를 토대로, ARP 스푸핑을 탐지한다(308단계).
즉, 상기 ARP 스푸핑 판단 및 방어장치(110)는 네트워크 ARP 정보에 대응되 는 분석결과정보를 이용하여 1차적인 ARP 스푸핑 판단을 이행한다. 즉, ARP 정보에 대응되는 분석결과정보가, ARP 응답 메시지가 ARP 요청 메시지에 따른 응답이 아니거나, ARP 요청 메시지가 유니캐스트(Unicast)를 위한 것이거나, 하나의 ARP 요청 메시지에 서로 다른 두 가지의 ARP 응답 메시지가 수신된 것이거나, 상기 이더넷(Ethernet) 프레임에 등록된 목적지 MAC 주소와 ARP 정보의 목적지 하드웨어 주소가 불일치하거나, 상기 이더넷 프레임에 등록된 소스 MAC 주소와 ARP 정보의 소스 하드웨어 주소가 불일치하는 것을 나타내면, ARP 스푸핑이 발생한 것으로 판단한다.
상기한 1차적인 ARP 스푸핑 판단이 완료되면, 상기 ARP 스푸핑 판단 및 방어장치(110)는 2차적인 ARP 스푸핑 판단을 이행한다. 즉 상기 ARP 스푸핑 판단 및 방어 장치(110)는 네트워크 ARP 정보 테이블의 ARP 정보와 원격장비 ARP 캐시 테이블의 원격장비 ARP 캐시정보를 비교하여 두 정보가 일치하는지를 체크하고, 두 정보가 불일치하면 ARP 스푸핑이 발생한 것으로 판단한다.
상기 ARP 스푸핑 판단 및 방어장치(110)는 상기 ARP 스푸핑 탐지 결과에 따라 SNMP를 통해 원격장비 ARP 캐시정보를 제공한 시스템으로 ARP 정보 갱신을 요청하며, 그 요청은 ARP 요청 또는 응답 메시지를 송신하는 것으로서 이행된다(310단계). 여기서, 상기 원격장비 ARP 캐시정보를 제공한 시스템은 상기 ARP 요청 또는 응답 메시지에 따라 자신의 원격장비 ARP 캐시정보를 갱신하며, 이로서 ARP 스푸핑에 대한 방어가 이행된다.
도 1은 본 발명의 바람직한 실시예에 따른 ARP 스푸핑 탐지 시스템의 구성도.
도 2 및 도 3은 본 발명이 바람직한 실시예에 따른 테이블 구성예를 도시한 도면.
도 4는 본 발명의 바람직한 실시예에 따른 ARP 정보 수집장치의 처리 흐름도.
도 5는 본 발명의 바람직한 실시예에 따른 ARP 스푸핑 판단 및 방어장치의 처리 흐름도.

Claims (8)

  1. ARP 스푸핑 탐지 및 방어 방법에 있어서,
    네트워크에 연결된 장비들에 ARP 정보 요청 메시지를 전송하여 ARP 응답 메시지를 회신받고, 그 ARP 응답 메시지에 포함된 ARP 정보를 추출하여 제1테이블에 저장하는 제1단계;
    SNMP 정보를 수집하여 그 SNMP 정보에 포함된 ARP 정보를 추출하여 제2테이블에 저장하는 제2단계;
    상기 제1 및 제2테이블에 저장된 ARP 정보를 비교하여 ARP 스푸핑의 발생여부를 판단하는 제3단계;
    상기 네트워크에 연결된 장비들 사이에 송수신되는 ARP 요청 메시지 및 ARP 응답 메시지 및 이더넷 프레임을 수신하고, 이더넷 프레임이 수신되면, 그 수신된 이더넷 프레임에 등록된 목적지 MAC 주소와 ARP 정보의 목적지 하드웨어 주소가 불일치하는지 여부에 따라 ARP 스푸핑의 발생여부를 판단하고, 상기 수신된 이더넷 프레임에 등록된 소스 MAC 주소와 ARP 정보의 소스 하드웨어 주소가 불일치하는 여부에 따라 ARP 스푸핑의 발생여부를 판단하고, 상기 하나의 ARP 요청 메시지에 대해 두 가지의 ARP 응답 메시지가 수신되는지 여부에 따라 ARP 스푸핑의 발생여부를 판단하는 제4단계;
    상기 ARP 스푸핑이 발생된 것으로 판단되면, 상기 스푸핑이 발생된 것으로 판단되는 ARP 정보에 대응되는 SNMP 정보를 송신한 송신측 장비로 상기 ARP 정보를 포함하는 ARP 응답 또는 요청 메시지를 송신하여, 상기 송신측 장비의 ARP 정보를 갱신시키는 제5단계;
    를 포함하는 것을 특징으로 하는 ARP 스푸핑 탐지 및 방어 방법.
  2. 제1항에 있어서,
    상기 제1테이블에 저장되는 ARP 정보는 IP 주소와 MAC 주소 쌍이고,
    상기 제2테이블에 저장되는 ARP 정보는 SNMP 정보로부터 추출한 IP 주소와 MAC 주소 쌍임을 특징으로 하는 ARP 스푸핑 탐지 및 방어 방법.
  3. 제1항에 있어서,
    상기 제4단계가,
    상기 ARP 응답 메시지가 수신되면, 상기 수신된 ARP 응답 메시지가 ARP 요청 메시지에 따른 응답인지 여부에 따라 ARP 발생여부를 판단하며, 상기 수신된 ARP 응답 메시지가 유니캐스트(unicast)를 위한 것인지 여부에 따라 ARP 발생여부를 판단하는 것을 더 포함함을 특징으로 하는 ARP 스푸핑 탐지 및 방어 방법.
  4. 삭제
  5. ARP 스푸핑 탐지 및 방어 시스템에 있어서,
    제1 및 제2테이블을 저장하는 저장매체;
    네트워크에 연결된 장비들에 ARP 정보 요청 메시지를 전송하여 ARP 응답 메시지를 회신받고, 그 ARP 응답 메시지에 포함된 ARP 정보를 추출하여 상기 제1테이블에 저장하며, 상기 네트워크에 연결된 장비들 사이에 송수신되는 ARP 요청 메시지 및 ARP 응답 메시지 및 이더넷 프레임을 수신하며, 이더넷 프레임이 수신되면 그 수신된 이더넷 프레임에 등록된 목적지 MAC 주소와 ARP 정보의 목적지 하드웨어 주소가 불일치하는지 여부를 분석하고, 상기 수신된 이더넷 프레임에 등록된 소스 MAC 주소와 ARP 정보의 소스 하드웨어 주소가 불일치하는지 여부를 분석하고, 하나의 ARP 요청 메시지에 대해 두 가지의 ARP 응답 메시지가 수신되는지 여부를 분석하는 ARP 정보 수집장치;
    SNMP 정보를 수집하여 그 SNMP 정보에 포함된 ARP 정보를 추출하여 상기 제2테이블에 저장하며,
    네트워크의 디바이스들로 송수신되는 ARP 요청 메시지 및 ARP 응답 메시지 및 이더넷 프레임을 수신하며,
    상기 수신된 ARP 요청 메시지 및 상기 ARP 응답 메시지 및 상기 이더넷 프레임 각각을 분석하는 원격장비 ARP 캐시 수집장치;
    상기 제1 및 제2테이블에 저장된 ARP 정보들을 비교하여 ARP 스푸핑의 발생여부를 판단하고, 상기 ARP 정보 수집장치가 상기 수신된 이더넷 프레임에 등록된 목적지 MAC 주소와 ARP 정보의 목적지 하드웨어 주소가 불일치하는지 여부에 대한 분석결과를 제공받아 ARP 스푸핑의 발생여부를 판단하고, 상기 수신된 이더넷 프레임에 등록된 소스 MAC 주소와 ARP 정보의 소스 하드웨어 주소가 불일치하는 여부에 대한 분석결과를 제공받아 ARP 스푸핑의 발생여부를 판단하고, 하나의 ARP 요청 메시지에 대해 두 가지의 ARP 응답 메시지가 수신되는지 여부에 대한 분석결과에 따라 ARP 스푸핑의 발생여부를 판단하고, 상기 스푸핑이 발생된 것으로 판단되면, 상기 스푸핑이 발생된 것으로 판단되는 ARP 정보에 대응되는 SNMP 정보를 송신한 송신측 시스템으로, 상기 ARP 정보를 포함하는 ARP 응답 또는 요청 메시지를 송신하여, 상기 송신측 시스템의 ARP 정보를 갱신하게 하는 ARP 스푸핑 판단 및 방어장치;
    를 포함하는 것을 특징으로 하는 ARP 스푸핑 탐지 및 방어 시스템.
  6. 제5항에 있어서,
    상기 제1테이블에 저장되는 ARP 정보는 IP 주소와 MAC 주소 쌍이고,
    상기 제2테이블에 저장되는 ARP 정보는 SNMP 정보로부터 추출한 IP 주소와 MAC 주소 쌍임을 특징으로 하는 ARP 스푸핑 탐지 및 방어 시스템.
  7. 제5항에 있어서,
    상기 ARP 정보 수집장치가,
    상기 ARP 응답 메시지가 수신되면, 상기 수신된 ARP 응답 메시지가 ARP 요청 메시지에 따른 응답인지 여부를 분석하고, 상기 수신된 ARP 응답 메시지가 유니캐스트(unicast)를 위한 것인지 여부를 분석하며,
    상기 ARP 스푸핑 판단 및 방어장치가,
    상기 수신된 ARP 응답 메시지가 ARP 요청 메시지에 따른 응답인지 여부에 대한 분석결과에 따라 ARP 발생여부를 판단하며, 상기 수신된 ARP 응답 메시지가 유니캐스트(unicast)를 위한 것인지 여부에 대한 분석결과에 따라 ARP 발생여부를 판단함을 특징으로 하는 ARP 스푸핑 탐지 및 방어 시스템.
  8. 삭제
KR1020080118712A 2008-11-27 2008-11-27 Arp 스푸핑 탐지 및 방어 방법 및 그에 따른 시스템 KR100920528B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080118712A KR100920528B1 (ko) 2008-11-27 2008-11-27 Arp 스푸핑 탐지 및 방어 방법 및 그에 따른 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080118712A KR100920528B1 (ko) 2008-11-27 2008-11-27 Arp 스푸핑 탐지 및 방어 방법 및 그에 따른 시스템

Publications (1)

Publication Number Publication Date
KR100920528B1 true KR100920528B1 (ko) 2009-10-09

Family

ID=41572082

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080118712A KR100920528B1 (ko) 2008-11-27 2008-11-27 Arp 스푸핑 탐지 및 방어 방법 및 그에 따른 시스템

Country Status (1)

Country Link
KR (1) KR100920528B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011087285A2 (ko) * 2010-01-14 2011-07-21 주식회사 안철수연구소 스푸핑 방지 방법 및 장치
KR101070522B1 (ko) 2009-11-30 2011-10-05 삼성전자주식회사 스푸핑 공격 탐지 및 차단 시스템 및 방법
KR101188308B1 (ko) * 2010-12-24 2012-10-09 (주) 세인트 시큐리티 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템 및 그 방법
CN112491888A (zh) * 2020-11-27 2021-03-12 深圳万物安全科技有限公司 防止设备冒用的方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR970060774A (ko) * 1996-01-20 1997-08-12 김광호 Snmp를 사용한 망내 노드의 자동 발견 및 자동망 구성 방법
KR20060064450A (ko) * 2004-12-08 2006-06-13 한국전자통신연구원 Arp 공격 탐지 장치 및 방법
KR100807933B1 (ko) 2006-11-28 2008-03-03 엘지노텔 주식회사 에이알피 스푸핑 감지 시스템 및 감지 방법과 그 방법이저장된 컴퓨터 판독가능 저장매체

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR970060774A (ko) * 1996-01-20 1997-08-12 김광호 Snmp를 사용한 망내 노드의 자동 발견 및 자동망 구성 방법
KR20060064450A (ko) * 2004-12-08 2006-06-13 한국전자통신연구원 Arp 공격 탐지 장치 및 방법
KR100807933B1 (ko) 2006-11-28 2008-03-03 엘지노텔 주식회사 에이알피 스푸핑 감지 시스템 및 감지 방법과 그 방법이저장된 컴퓨터 판독가능 저장매체

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101070522B1 (ko) 2009-11-30 2011-10-05 삼성전자주식회사 스푸핑 공격 탐지 및 차단 시스템 및 방법
WO2011087285A2 (ko) * 2010-01-14 2011-07-21 주식회사 안철수연구소 스푸핑 방지 방법 및 장치
WO2011087285A3 (ko) * 2010-01-14 2011-12-01 주식회사 안철수연구소 스푸핑 방지 방법 및 장치
KR101188308B1 (ko) * 2010-12-24 2012-10-09 (주) 세인트 시큐리티 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템 및 그 방법
CN112491888A (zh) * 2020-11-27 2021-03-12 深圳万物安全科技有限公司 防止设备冒用的方法及系统

Similar Documents

Publication Publication Date Title
US10356106B2 (en) Detecting anomaly action within a computer network
CN109474575B (zh) 一种dns隧道的检测方法及装置
CN106878262B (zh) 报文检测方法及装置、建立本地威胁情报库的方法及装置
US10284516B2 (en) System and method of determining geographic locations using DNS services
KR100942456B1 (ko) 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버
US9860278B2 (en) Log analyzing device, information processing method, and program
US8180892B2 (en) Apparatus and method for multi-user NAT session identification and tracking
US20090182864A1 (en) Method and apparatus for fingerprinting systems and operating systems in a network
CN110602100A (zh) Dns隧道流量的检测方法
KR20140025316A (ko) 통신 네트워크 내의 노드 상에서 작동되는 운영 시스템을 핑커프린팅하는 방법 및 시스템
WO2016140037A1 (ja) 通信先対応関係収集装置、通信先対応関係収集方法及び通信先対応関係収集プログラム
US10652211B2 (en) Control device, border router, control method, and control program
US11652845B2 (en) Attack countermeasure determination apparatus, attack countermeasure determination method, and attack countermeasure determination program
CN110138770B (zh) 一种基于物联网威胁情报生成和共享系统及方法
Vaarandi et al. Using security logs for collecting and reporting technical security metrics
CN111225002A (zh) 一种网络攻击溯源方法、装置、电子设备和存储介质
KR100920528B1 (ko) Arp 스푸핑 탐지 및 방어 방법 및 그에 따른 시스템
Guo et al. Detecting iot devices in the internet (extended)
CN106878240B (zh) 僵尸主机识别方法及装置
CN106790073B (zh) 一种Web服务器恶意攻击的阻断方法、装置及防火墙
US11159548B2 (en) Analysis method, analysis device, and analysis program
US11979374B2 (en) Local network device connection control
KR20110067871A (ko) Ip 망에서 oam 패킷을 이용한 트래픽 감시 및 제어를 위한 네트워크 액세스 장치 및 방법
JP5568344B2 (ja) 攻撃検出装置、攻撃検出方法、及びプログラム
KR100772177B1 (ko) 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
J201 Request for trial against refusal decision
AMND Amendment
B701 Decision to grant
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120822

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20130723

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20140722

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20150616

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20160706

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20170821

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20180724

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20190828

Year of fee payment: 11