KR100996288B1 - 가상 mac 주소를 이용하여 arp 스푸핑 공격에 대응하는 방법 - Google Patents

가상 mac 주소를 이용하여 arp 스푸핑 공격에 대응하는 방법 Download PDF

Info

Publication number
KR100996288B1
KR100996288B1 KR1020080114440A KR20080114440A KR100996288B1 KR 100996288 B1 KR100996288 B1 KR 100996288B1 KR 1020080114440 A KR1020080114440 A KR 1020080114440A KR 20080114440 A KR20080114440 A KR 20080114440A KR 100996288 B1 KR100996288 B1 KR 100996288B1
Authority
KR
South Korea
Prior art keywords
mac address
arp
arp spoofing
spoofing attack
network
Prior art date
Application number
KR1020080114440A
Other languages
English (en)
Other versions
KR20100040792A (ko
Inventor
박형배
이윤석
최규민
공경필
유필상
김성구
Original Assignee
플러스기술주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 플러스기술주식회사 filed Critical 플러스기술주식회사
Priority to PCT/KR2008/006793 priority Critical patent/WO2010041788A1/en
Priority to US13/121,809 priority patent/US8578488B2/en
Publication of KR20100040792A publication Critical patent/KR20100040792A/ko
Application granted granted Critical
Publication of KR100996288B1 publication Critical patent/KR100996288B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은 로컬 네트워크에서 발생하는 악의적인 ARP 스푸핑 공격에 대응하는 방법에 관한 것으로서, 본 발명에 따르면, ARP 스푸핑의 공격을 위해 발생되는 ARP 요청 패킷으로 ARP 스푸핑 공격을 감지하고, 다수의 가상 MAC 주소를 생성하여 ARP 스푸핑 공격이 발생할 시마다 보호하고자 하는 네트워크 장비나 서버들의 MAC 주소를 동적으로 변경함으로써 ARP 스푸핑 공격에 적절히 대응할 수 있는 가상 MAC 주소를 이용하여 ARP 스푸핑 공격에 대응하는 방법이 제공된다.

Description

가상 MAC 주소를 이용하여 ARP 스푸핑 공격에 대응하는 방법{A method for neutralizing the ARP spoofing attack by using counterfeit MAC addresses}
본 발명은 ARP 스푸핑 공격에 대한 감지 및 대응방법에 관한 것으로서, 더 상세하게는, 해커 등이 ARP 스푸핑 공격을 위해 공격하고자 하는 대상의 MAC 주소를 똑같이 위조하여 스위치나 기타 네트워크 장비의 ARP 캐시(Cache) 테이블 상의 정보를 위조할 때 MAC 주소의 위조를 위해 전송되는 ARP 요청 패킷을 수집하여 ARP 스푸핑 공격을 감지하고, 이와 같이 ARP 스푸핑 공격을 감지하면 공격당한 공격대상의 MAC 주소를 가상의 MAC 주소로 변경함으로써 ARP 스푸핑 공격을 무력화시키는 가상 MAC 주소를 이용하여 ARP 스푸핑 공격에 대응하는 방법에 관한 것이다.
최근 들어 인터넷 기술의 급격한 발전과 보급으로 인해 현재 인터넷은 누구나가 쉽게 사용할 수 있는 환경이 되었다.
이에 따라 인터넷 사용인구도 폭발적으로 증가하였으나, 인터넷을 사용하는 사람들이 모두 다 컴퓨터나 네트워크에 대하여 잘 알고 있는 것은 아니다.
즉, 인터넷 사용인구의 확대로 인해 인터넷을 사용하는 사람들은 많아졌어도 이들이 모두 컴퓨터나 인터넷에 대하여 전문적인 지식을 가지고 있는 것이 아니기 때문에, 이러한 취약점을 노리고 네트워크를 통하여 각종 범죄 등을 저지르는 경우도 증가하고 있다.
예를 들면, 최근 들어 더욱 문제시되고 있는 개인정보 유출사건들과 같은 경우들을 보더라도, 이전까지는 인터넷을 이용하는 대부분의 사람들이 개인정보의 중요성이나 보안에 대한 의식이 취약하여 별생각 없이 그냥 넘어가는 경우가 많았지만, 이를 이용한 사기 등 각종 범죄사건이 증가하면서 최근에는 점차 네트워크 보안에 대한 의식이 높아지고 있으며, 그에 따라 상기한 바와 같은 불법적인 해킹 등을 방지하기 위한 방법에 대한 관심이 높아지고 있다.
또한, 상기한 바와 같이 불법적으로 개인정보를 취득하기 위한 방법에는 여러 가지 해킹 수법이 있으나, 그 일례로서 ARP 스푸핑(spoofing) 공격에 의한 해킹을 들 수 있다.
ARP 스푸핑 공격이란, 공격을 하고자 하는 대상의 MAC 주소를 똑같이 위조하여 스위치나 기타 네트워크 장비의 ARP 캐시(cache) 테이블 상의 정보를 위조함으로써, 공격대상이 되는 컴퓨터와 서버 사이의 트래픽을 공격자의 컴퓨터로 우회시켜 우회된 트래픽으로부터 원하는 정보를 취득하는 방법을 말한다.
이와 같이 ARP 스푸핑 공격으로 인해 해커가 스위치나 기타 네트워크 장비의 ARP 캐시 테이블 상의 정보를 위조하게 되면, 해커는 공격대상 컴퓨터와 서버 사이의 트래픽을 자신의 컴퓨터로 우회시킬 수 있고, 따라서 그렇게 우회된 트래픽으로부터 해커는 패스워드 정보 등의 유용한 개인정보를 마음껏 획득할 수 있게 되는 것이다.
따라서 이와 같은 ARP 스푸핑 공격은, 최근 인터넷의 이용인구가 증가함에 따라 기업뿐만 아니라 개인이나 일반 가정에서까지도 네트워크를 구축하기 위한 여러 가지 장비를 많이 사용하고 있는 현실을 감안하면 매우 심각한 문제가 아닐 수 없다.
이러한 악의적인 ARP 스푸핑 공격에 대처하기 위한 종래의 감지방법으로는, 동일한 로컬(Local) 네트워크 장비의 ARP 테이블(ARP Table)을 스캔하여 동일한 MAC 주소를 가진 여러 개의 IP가 지속적으로 발견되면 일단 ARP 스푸핑 공격이 행해진 것으로 의심하고, 이렇게 의심이 되는 장비에 ARP 스푸핑 공격을 위한 악성코드를 포함한 실행파일이 존재하거나 실행 중인지를 일일이 확인하여 ARP 스푸핑 공격이 있었는지를 감지하고, 감지한 후에는 해당 실행파일의 삭제 및 프로세스의 실행중지를 통해 ARP 스푸핑 공격을 차단하는 방법이 있었다.
이와 같이, 의심이 되는 장비에 ARP 스푸핑 공격을 위한 악성코드를 포함한 실행파일이 존재하거나 실행 중인지를 일일이 확인하여 ARP 스푸핑 공격을 감지하고 해당 실행파일의 삭제 및 프로세스의 실행을 중지시킴으로써 ARP 스푸핑 공격을 일단 중단시킬 수는 있으나, 이러한 종래의 방법은 일시적인 방편에 불과할 뿐이었다.
즉, 악성코드나 해당 실행파일명 등은 계속하여 변경 및 진화하므로, 상기한 바와 같은 종래의 대응방법으로는 ARP 스푸핑 공격으로부터 원천적으로 자유로울 수 없으며, 더욱이 상기한 바와 같은 종래의 방법은 ARP 스푸핑이 의심되는 장비를 모두 하나하나 일일이 점검해야 한다는 비효율성을 함께 가지고 있는 것이었다.
또한, 이러한 문제는 의심되는 장비가 많을수록, 즉, 네트워크의 규모가 커지면 커질수록 더욱 심각해진다.
따라서 네트워크의 규모가 급속히 방대해져 가고 그에 따라 수많은 네트워크 장비가 사용되고 있는 현재와 같은 상황하에서, 상기한 바와 같은 종래의 방법으로는 ARP 스푸핑이 의심되는 장비를 하나하나 일일이 점검하는데 시간이 너무 오래 걸리게 되고, 또, 시간을 단축하기 위해 점검 인력을 늘리면 그만큼 인건비 등의 비용이 증가하므로, 스푸핑으로 인한 피해 이외에도 시간적으로나 비용적으로 많은 문제가 발생하게 된다.
따라서 상기한 바와 같은 종래기술의 문제점을 해결하여 ARP 스푸핑 공격에 신속하고 효율적으로 대처할 수 있는 대응방법을 제공하는 것이 바람직하나, 아직까지 그러한 요구를 모두 만족시키는 방법은 제시되지 못하고 있는 실정이다.
따라서 본 발명은, 상기한 바와 같이 계속하여 변경 및 진화하는 ARP 스푸핑 공격에 효과적으로 대처할 수 없는 종래기술의 문제점을 해결하여, ARP 스푸핑 공격이 시도되는 것을 실시간으로 감지하며 감지된 후 ARP 스푸핑 공격의 대상이 되는 장비의 MAC 주소를 가상의 MAC 주소로 변경하여 ARP 스푸핑 공격을 원천적으로 무력화시킴으로써, 계속하여 변경 및 진화하는 ARP 스푸핑 공격에도 근본적으로 대처할 수 있는 가상 MAC 주소를 이용하여 ARP 스푸핑 공격에 대응하는 방법을 제공하는 것을 그 목적으로 하는 것이다.
또한, 본 발명의 다른 목적은, 상기한 바와 같이 ARP 스푸핑이 의심되는 장비를 하나하나 일일이 점검해야 하는 종래기술의 비효율성을 개선하여, ARP 스푸핑 공격이 시도되는 것을 실시간으로 감지하며 감지된 후 ARP 스푸핑 공격의 대상이 되는 장비의 MAC 주소를 가상의 MAC 주소로 변경하여 ARP 스푸핑 공격을 원천적으로 무력화시킴으로써, 의심되는 장비를 일일이 점검할 필요없이 시간적으로나 비용적으로나 보다 효율적인 가상 MAC 주소를 이용하여 ARP 스푸핑 공격에 대응하는 방법을 제공하고자 하는 것이다.
상기한 바와 같은 목적을 달성하기 위해, 본 발명에 따르면, ARP 스푸핑 공격에 대응하기 위한 시스템에 있어서, 가입자 PC와 같은 일반적인 네트워크 장치 및 단말장비들과 스위치로 구성된 로컬 네트워크와, 라우터와 같은 네트워크 장치 및 단말장비, 서버, 스위치를 포함하여 구성되는 ARP 스푸핑 공격에 대응하기 위한 ARP 스푸핑 공격대응 네트워크와, 상기 로컬 네트워크의 스위치와 상기 ARP 스푸핑 공격대응 네트워크의 스위치 사이에 연결되어, 상기 각 네트워크들 사이에서 통신시 모든 트래픽을 바이패스(bypass) 하도록 구성된 ARP 스푸핑 공격 대응수단을 포함하여 구성된 것을 특징으로 하는 ARP 스푸핑 공격에 대응하기 위한 시스템이 제공된다.
여기서, 상기 ARP 스푸핑 공격 대응수단은, 상기 로컬 네트워크의 가입자에 의해 발생되거나 수신되는 모든 패킷이 경유할 수 있도록 상기 로컬 네트워크와 상기 ARP 스푸핑 공격대응 네트워크 사이에 연결되어 상기 네트워크 장치 또는 상기 서버에 대한 ARP 스푸핑 공격을 감지하는 ARP 공격 감지부와, ARP 스푸핑 공격으로부터 보호하고자 하는 네트워크 장치 또는 서버의 MAC 주소를 가상의 MAC 주소로 변경하기 위해 실제 장비의 MAC 주소와 그에 대응하는 복수의 가상의 MAC 주소를 가지는 MAC 주소 변환 테이블과, 상기 가상의 MAC 주소로 모든 송, 수신 패킷을 상기 로컬 네트워크에 전송하는 전송부를 포함하여 구성된 것을 특징으로 한다.
또한, 상기 ARP 공격 감지부는, 상기 로컬 네트워크에 연결된 네트워크 인터페이스를 통하여 수집되는 모든 ARP 요청 패킷 중, 전송자의 MAC 주소가 상기 네트워크 장치 또는 상기 서버의 MAC 주소와 동일한 ARP 요청 패킷을 수집하면, ARP 공격이 발생한 것으로 인지하고 상기 MAC 주소 변환 테이블에 근거하여 현재 사용중인 MAC 주소를 미사용의 가상의 MAC 주소로 변경하도록 구성된 것을 특징으로 한다.
또한, 본 발명에 따르면, ARP 스푸핑 공격에 대응하기 위한 시스템에 있어서, 가입자 PC와 같은 일반적인 네트워크 장치 및 단말장비들과 스위치로 구성된 로컬 네트워크와, 상기 로컬 네트워크에 연결되어, 상기 로컬 네트워크와의 사이에서 송, 수신되는 모든 트래픽을 바이패스 하는 ARP 스푸핑 공격대응 S/W가 설치된 ARP 스푸핑 공격대응 단말장치를 포함하여 구성된 것을 특징으로 하는 ARP 스푸핑 공격에 대응하기 위한 시스템이 제공된다.
여기서, 상기 ARP 스푸핑 공격대응 S/W는, 상기 로컬 네트워크의 가입자 및 상기 ARP 스푸핑 공격대응 단말장치 사이에서 발생되거나 수신되는 모든 패킷이 경유할 수 있도록 상기 로컬 네트워크와 연결되어 상기 로컬 네트워크의 각각의 가입자 PC 등에서 상기 ARP 스푸핑 공격대응 단말장치에 대하여 시도되는 ARP 스푸핑 공격을 감지하는 ARP 스푸핑 공격 감지단계와, 상기 감지단계에서 ARP 공격이 발생한 것으로 인식되면, ARP 스푸핑 공격으로부터 보호하고자 하는 상기 ARP 스푸핑 공격대응 단말장치의 MAC 주소를 가상의 MAC 주소로 변경하기 위해 실제 장비의 MAC 주소와 그에 대응하는 복수의 가상의 MAC 주소를 가지는 MAC 주소 변환 테이블을 참조하여 현재 사용중인 상기 ARP 스푸핑 공격대응 단말장치의 MAC 주소를 미사용의 가상의 MAC 주소로 변경하는 단계와, 변경된 상기 가상의 MAC 주소로 모든 송, 수신 패킷을 상기 로컬 네트워크에 전송하는 단계를 수행하도록 구성된 것을 특징으로 한다.
또한, 상기 ARP 공격 감지단계는, 상기 로컬 네트워크에 연결된 네트워크 인터페이스를 통하여 수집되는 모든 ARP 요청 패킷 중, 전송자의 MAC 주소가 상기 ARP 스푸핑 공격대응 단말장치의 MAC 주소와 동일한 ARP 요청 패킷을 수집하면, ARP 공격이 발생한 것으로 인지하도록 구성된 것을 특징으로 한다.
또한, 본 발명에 따르면, ARP 스푸핑 공격에 대응하는 방법에 있어서, ARP 스푸핑 공격으로부터 대응하고자 하는 네트워크 장비 또는 단말장치에 가상 MAC 주소를 할당하는 단계와, ARP 요청 패킷 감시를 통해 ARP 스푸핑 공격이 행해지는지를 감시하는 단계와, 상기 감시하는 단계에서 공격이 감지되면, 감지된 공격대상의 상기 가상 MAC 주소를 변경하는 단계와, 변경된 상기 가상 MAC 주소를 모든 로컬 네트워크상의 네트워크 장비 및 단말장치에 알리는 단계와, 이후 변경된 상기 가상 MAC 주소로 모든 송, 수신 패킷의 MAC 주소를 변경하여 통신하는 단계를 포함하여 구성된 것을 특징으로 하는 ARP 스푸핑 공격에 대응하는 방법이 제공된다.
여기서, 상기 ARP 요청 패킷 감시를 통해 ARP 스푸핑 공격이 행해지는지를 감시하는 단계는, 상기 로컬 네트워크로부터 인입되는 패킷 중 OP Code의 값이 1인 ARP 요청 패킷만을 여과하여 수집하는 단계와, 상기 가상 MAC 주소 중에서 상기 ARP 요청 패킷의 헤더 정보 중 Sender MAC 주소와 동일한 MAC 주소가 존재하는지를 판단하고, 만일 존재한다면, 이를 실제 네트워크 장비 또는 서버에서 발생된 ARP 요청 패킷이 아니라 스위치나 기타 네트워크 장치의 ARP 캐시 테이블의 위조를 위한 네트워크의 특정 단말장치로부터의 ARP 요청 패킷인 것으로 간주하여 해당 가상 MAC 주소에 대한 ARP 스푸핑 공격 시도인 것으로 판단하는 단계를 포함하여 구성된 것을 특징으로 한다.
또한, 상기 가상 MAC 주소를 변경하는 단계는, 공격이 감지되면, 공격이 감 지된 상기 가상 MAC 주소를 현재 사용하지 않는 다른 가상의 MAC 주소로 변환하기 위해, 실제 장비의 MAC 주소와 그에 대응하는 복수의 가상의 MAC 주소를 가지는 MAC 주소 변환 테이블에 근거하여, 현재 사용 중이 아닌 미사용의 가상의 MAC 주소를 선택하도록 구성된 것을 특징으로 한다.
또, 상기 알리는 단계는, 공격당한 상기 가상 MAC 주소가 변경됨을 알리는 ARP 패킷 요청 패킷을 생성하여 상기 로컬 네트워크의 모든 네트워크 장비 및 단말장치에 브로드 캐스팅 방식으로 전송하도록 구성된 것을 특징으로 한다.
또한, 상기 통신하는 단계는, 변경된 상기 가상 MAC 주소로 상기 네트워크 장비 또는 서버가 통신할 수 있도록, 상기 네트워크 장비 또는 서버로 전송되는 패킷의 수신자 MAC을 상기 MAC 주소 변환 테이블을 참조하여 수신받을 상기 네트워크 장비 또는 서버의 실제 MAC 주소로 변환하는 단계와, 상기 MAC 주소 변환 테이블을 참조하여, 상기 네트워크 장비 또는 서버에서 전송되는 패킷의 송신자 MAC을 송신하는 네트워크 장비 또는 서버의 가상 MAC 주소로 변환하는 단계를 포함하여 구성된 것을 특징으로 한다.
상기한 바와 같이, 본 발명에 따르면, 일단 의심이 되는 장비에 ARP 스푸핑 공격을 위한 악성코드를 포함한 실행파일이 존재하거나 실행 중인지를 일일이 확인해야 하므로 계속하여 변경 및 진화하는 ARP 스푸핑 공격에 효과적으로 대처할 수 없는 종래기술의 문제점을 해결하여, ARP 스푸핑 공격이 시도되는 것을 실시간으로 감지하고 감지된 후 ARP 스푸핑 공격의 대상이 되는 장비의 MAC 주소를 가상의 MAC 주소로 변경하여 ARP 스푸핑 공격을 원천적으로 무력화시킴으로써, 계속하여 변경 및 진화하는 ARP 스푸핑 공격에도 효과적으로 대응할 수 있는 가상 MAC 주소를 이용하여 ARP 스푸핑 공격에 대응하는 방법을 제공할 수 있다.
또한, 본 발명에 따르면, ARP 스푸핑이 의심되는 장비를 하나하나 점검하는데 시간이 너무 오래 걸리게 되고, 시간을 단축하기 위해 점검 인력을 늘리면 그만큼 비용이 증가하여 시간적, 비용적으로 많은 문제가 발생하게 되는 종래기술의 문제점을 해결하여, ARP 스푸핑 공격이 시도되는 것을 실시간으로 감지하며 감지된 후 ARP 스푸핑 공격의 대상이 되는 장비의 MAC 주소를 가상의 MAC 주소로 변경하여 ARP 스푸핑 공격을 원천적으로 무력화시킴으로써 의심되는 장비를 일일이 점검할 필요없이 시간적으로나 비용적으로나 보다 효율적인 가상 MAC 주소를 이용하여 ARP 스푸핑 공격에 대응하는 방법을 제공할 수 있다.
따라서 본 발명에 따르면, ARP 스푸핑 공격에 대응하고자 하는 장비의 MAC 주소를 가상의 MAC 주소로 할당 및 변환함에 따라, ARP 스푸핑 공격자에게 특별한 조치 없이(예를 들면, 백신으로 ARP 스푸핑 악성코드 제거, 공격 시스템 전원 OFF 등) 원천적으로 ARP 스푸핑 공격으로부터 해당 장비를 보호할 수 있는 효과가 있다.
또한, 본 발명에 따른 시스템의 가상 MAC 방식으로 로컬 네트워크상에서 통신을 처리하는 방식은, 로컬 네트워크상에서 다양한 보안 기술로써 개조 및 변형되어 사용될 수 있다.
이하, 도면을 참조하여, 상기한 바와 같은 본 발명에 따른 가상 MAC 주소를 이용하여 ARP 스푸핑 공격에 대응하는 방법의 상세한 내용에 대하여 설명한다.
여기서, 이하에 설명하는 내용들은 본 발명을 실시하기 위한 실시예들일 뿐이며, 본 발명은 이하에 설명하는 실시예의 경우로만 한정되는 것은 아니다.
먼저, 도 1을 참조하면, 도 1은 본 발명의 제 1 실시예로서, 본 발명에 따른 가상 MAC 주소를 이용하여 ARP 스푸핑 공격에 대응하는 방법을 실행하는 ARP 스푸핑 공격대응 시스템이 네트워크에 적용된 상태를 나타내는 네트워크 시스템의 구성도이다.
도 1에 나타낸 바와 같이, 본 발명에 따른 ARP 스푸핑 공격에 대응하기 위한 네트워크 시스템(10)은, ARP 스푸핑 공격에 대응하고자 하는 ARP 스푸핑 공격대응 네트워크(11)와 일반적인 네트워크 장치 및 단말장비들로 구성된 로컬 네트워크(12) 사이에서 통신 시에 모든 트래픽을 바이패스(bypass) 할 수 있도록 로컬 네트워크의 스위치(13)와 ARP 스푸핑 공격대응 네트워크의 스위치(14) 사이에 ARP 스푸핑 공격대응 시스템(15)을 구성하여 이루어진다.
또는, 본 발명에 따른 ARP 스푸핑 공격에 대응하기 위한 네트워크 시스템(10)은, 도 7에 나타낸 바와 같이, ARP 스푸핑 공격에 대응하기 위한 ARP 스푸핑 공격대응 단말장치(16)와, ARP 스푸핑 공격대응 단말장치(16)의 내부에 설치되어 로컬 네트워크(12)와의 사이에서 송, 수신되는 모든 트래픽을 바이패스 할 수 있도록 하는 ARP 스푸핑 공격대응 S/W(17)를 포함하여 구성된다.
여기서, 상기한 도 7에 나타낸 구성의 상세한 내용에 대하여는 후술한다.
따라서 상기한 바와 같은 네트워크 시스템의 ARP 스푸핑 공격대응 시스템(15) 또는 ARP 스푸핑 공격대응 S/W(17)를 통하여, ARP 스푸핑 공격의 감지 및 ARP 스푸핑 공격의 무력화를 위한 가상 MAC 주소의 할당 및 MAC 변환 작업이 수행된다.
도 2는 상기한 바와 같은 ARP 스푸핑 공격의 감지 및 ARP 스푸핑 공격의 무력화을 위한 가상 MAC 주소의 할당 및 MAC 변환 작업의 전체적인 흐름을 나타내는 플로차트이다.
도 2에 나타낸 바와 같이, 본 발명에 따른 가상 MAC 주소를 이용하여 ARP 스푸핑 공격에 대응하는 방법은, 먼저, ARP 스푸핑 공격으로부터 대응하고자 하는 장비 또는 단말장치에 가상 MAC 주소를 할당한다(단계 S21).
이어서, 후술하는 바와 같이, ARP 요청 패킷 감시를 통해 ARP 스푸핑 공격이 행해지는지를 감시하고(단계 S22), 공격이 감지되면 감지된 공격대상의 가상 MAC 주소를 변경한다(단계 S23).
계속해서, 변경된 가상 MAC 주소를 모든 로컬 네트워크상의 장비에 알리고(단계 S24), 이후 변경된 가상 MAC 주소로 송, 수신 패킷의 MAC 주소를 변경한다(단계 S25).
따라서 상기한 바와 같은 과정을 통하여, ARP 스푸핑 공격이 행해지는지를 감시하고 공격이 감지되면 공격대상의 가상 MAC 주소를 변경함으로써, ARP 스푸핑 공격을 무력화시킬 수 있다.
다음으로, 상기한 바와 같이 ARP 요청 패킷 감시를 통해 ARP 스푸핑 공격이 행해지는지를 감시하는 방법의 상세한 내용에 대하여 설명한다.
본 발명에 따른 ARP 스푸핑 공격 감지방법은, 먼저, 로컬 네트워크(12)로부터 ARP 스푸핑 공격대응 시스템(15)의 인터페이스(18)로 인입되는 패킷 중 OP Code의 값이 1인 ARP 요청 패킷만을 여과하여 수집한다.
이어서, ARP 스푸핑 공격대응 네트워크(11)의 가상 MAC 주소 중에서 ARP 요청 패킷의 헤더 정보 중 Sender MAC 주소와 동일한 MAC 주소가 존재하는지를 판단하고, 만일 존재한다면, 이는 실제 네트워크 장비(19) 또는 서버(20)에서 발생된 ARP 요청 패킷이 아니라, 스위치나 기타 네트워크 장치의 ARP 캐시 테이블을 위조를 위한 네트워크의 특정 단말 장치로부터의 ARP 요청 패킷이므로, 따라서 해당 가상 MAC 주소에 대하여는 ARP 스푸핑 공격을 위한 시도라고 판단한다.
이와 같이 로컬 네트워크(12)로부터 ARP 스푸핑 공격이 감지되면, 공격당하는 가상 MAC 주소를 현재 사용하지 않는 다른 가상의 MAC 주소로 변환하기 위해, 로컬 네트워크(12)의 모든 네트워크 장비 및 단말에 공격당한 가상 MAC 주소가 변경됨을 알리는 ARP 패킷 요청 패킷을 생성하여 로컬 네트워크(12)에 브로드 캐스팅 방식으로 전송한다.
도 3은 상기한 바와 같이 가상 MAC 주소가 변경됨을 알리는 ARP 패킷 요청 패킷의 구성을 나타내는 도면이며, 도 3을 참조하면, ARP 패킷 요청 패킷은 이더넷 헤더(31)와 ARP 헤더(32)로 구성된 패킷으로서, 그 중에서 이더넷 헤더(31)의 필드정보 생성부분의 각 필드정보는 다음과 같다.
;Destination MAC Address(401)는 브로드 캐스팅 주소인 0xFFFFFFFFFFFF를 입력,
; Source MAC Address(402)는 신규로 변경될 가상 MAC 주소를 입력,
;Ether type(403)는 ARP 타입인 0x0806을 입력한다.
또한, ARP 헤더의 필드정보 생성부분의 각 필드정보는 다음과 같다.
;H/W Type(404)은 이더넷 타입인 0x0001을 입력,
;Protocol Type(405)은 IP 프로토콜인 0x0800를 입력,
;H/W Size (406)는 이더넷 주소 크기인 6을 입력,
;Protocol Size (407)는 IPv4 주소 크기인 4을 입력,
;OPcode(408)는 ARP 요청 타입인 0x0001을 입력,
;Sender MAC Address(409)는 변경될 가상 MAC를 입력,
;Sender IP Address(410) 변경될 가상 MAC의 장비 IP를 입력,
;Target MAC Address(411)는 0x000000000000 값을 입력,
;Target IP Address(412)는 Sender IP Address와 동일한 IP정보를 입력하여 ARP 패킷 요청 패킷을 생성 후 로컬 네트워크로 해당 패킷을 전송한다.
계속해서, 도 4를 참조하여 ARP 스푸핑 공격에 대응하기 위한 네트워크상에서 실제 MAC 주소를 가상 MAC 주소로 통신하는 방법의 상세한 내용에 대하여 설명한다.
도 4는 ARP 스푸핑 공격대응 시스템(15)과 ARP 스푸핑 공격대응 네트워크(11)의 서버(20) 또는 네트워크 장치 및 단말장치(19) 사이에서 실제 MAC 주소를 가상 MAC 주소로 변경하여 통신하는 모습을 개략적으로 나타내는 블록도이다.
도 4에 나타낸 바와 같이, ARP 스푸핑 공격대응 시스템(15)은, 로컬 네트워크(12)로부터 입력(In) 포트(41)로 인입되는 트래픽 중 이더넷 헤더(31)로 구성된 패킷의 Destination MAC Address(401)를 가상 MAC 주소에서 실제 장비의 MAC 주소로 변환하기 위해, MAC 주소 변환 테이블(42)의 가상 MAC 주소정보와 매칭되는 실제 장비의 MAC 주소로 Destination MAC Address(401)를 변경한 후, ARP 스푸핑 공격대응 네트워크(11)와 연결된 출력(Out) 포트(43)로 전송하며, 또한, ARP 스푸핑 공격대응 네트워크(11) 및 단말장치에서 입력(In) 포트(44)로 인입되는 트래픽 중 이더넷 헤더(31)로 구성된 패킷의 Source MAC Address(402)를 실제 MAC 주소에서 가상 MAC 주소로 변환하기 위해, MAC 주소 변환 테이블의 실제 MAC 주소와 매칭되며 현재 사용중인 가상 MAC 주소로 Source MAC Address(402)를 변경한 후에 로컬 네트워크(12)로 연결된 출력(Out) 포트(45)로 전송한다.
따라서 상기한 바와 같은 ARP 스푸핑 공격대응 시스템(15)의 처리에 의해, 로컬 네트워크(12)의 장비 및 단말들은 MAC 주소 변환 테이블(42)의 가상 MAC 주소를 기준으로 통신하게 된다.
도 5는 상기한 바와 같이 가상 MAC 주소를 할당 및 변환하기 위해 참조되는 MAC 주소 할당 테이블(42)의 예를 나타내는 도면이다.
도 5에 나타낸 바와 같이, 가상 MAC 주소 할당을 위한 MAC 주소 테이블은 1개의 실제 장비 MAC 주소마다 3개의 가상 MAC 주소를 중복 없이 랜덤으로 3개를 생성하여 두고, 실제 장비 MAC 주소마다 가장 먼저 생성된 가상 MAC 주소를 사용할 수 있는 가상 MAC 주소 중 현재 사용중인 가상 MAC 주소로서 선택하여 MAC 주소 할 당 테이블을 구성한다.
이와 같이 구성된 MAC 주소 변환 테이블에 있어서, 현재 사용중인 가상 MAC 주소에 ARP 스푸핑 공격이 감지되면 라운드 로빈(Round Robin) 방식으로 3개의 가상 MAC 주소를 환형 구조로 배열하여, ARP 스푸핑 공격이 감지된 MAC 주소가 1번 가상 MAC 주소일 경우 2번 가상MAC 주소를 현재 사용 가상MAC으로 변경한다.
또한, ARP 스푸핑 공격이 감지된 MAC 주소가 2번 가상 MAC 주소일 경우 3번 가상 MAC 주소를 현재 사용 가상 MAC으로 변경하며, ARP 스푸핑 공격이 감지된 MAC 주소가 3번 가상 MAC 주소일 경우는 1번 가상MAC 주소를 현재 사용 가상 MAC 주소로 변경함으로써 ARP 스푸핑 공격을 무력화시킨다.
계속해서, 상기한 바와 같은 본 발명에 따른 가상 MAC 주소를 이용하여 ARP 스푸핑 공격에 대응하는 방법의 전체적인 흐름을 이하의 도 6의 플로차트로 나타내었다.
도 6에 나타낸 바와 같이, 본 발명에 따른 가상 MAC 주소를 이용하여 ARP 스푸핑 공격에 대응하는 방법은, 먼저, 네트워크상에서 전송되는 패킷을 모니터링하여(단계 S61) 모니터링한 패킷 중에서 ARP 패킷만을 여과하고(단계 S62), 여과된 패킷이 ARP 요청 패킷인지를 판별한다(단계 S63).
판별 결과가 긍정인 경우, 즉, ARP 요청 패킷인 경우는, 가상 MAC 주소 변환 테이블에서 가상 MAC 주소를 추출한다(단계 S64).
이어서, Sender MAC이 추출된 가상 MAC과 동일한 MAC 주소가 존재하는지를 판별한다(단계 S65).
판별 결과가 긍정인 경우, 즉, 동일한 MAC 주소가 존재하면, ARP 스푸핑 공격시도가 있었던 것으로 감지하고(단계 S66), Sender MAC이 현재 사용중인지를 판별한다(단계 S67).
판별 결과가 긍정인 경우, 즉, Sender MAC이 현재 사용중이면, 가상 MAC 주소 테이블의 사용중인 가상 MAC 주소를 현재 미사용인 가상 MAC 주소로 변경한다(단계 S68).
계속해서, 가상 MAC 주소 테이블의 사용중인 가상 MAC 주소를 기준으로 송, 수신 MAC을 변경한다(단계 S69).
또한, 상기 단계들(S63, S65, S67)에서 판별 결과가 부정인 경우는, ARP 스푸핑 공격이 아닌 것으로 판단하여 처리를 종료한다.
따라서 상기한 바와 같은 과정을 통하여, ARP 스푸핑 공격을 실시간으로 감지하고, 공격이 감지되면 사용중인 가상 MAC 주소를 다른 주소로 변경함으로써 악의적인 ARP 스푸핑 공격을 효과적으로 무력화시킬 수 있다.
다음으로, 도 7을 참조하여 본 발명에 따른 가상 MAC 주소를 이용하여 ARP 스푸핑 공격에 대응하는 방법의 제 2 실시예에 대하여 설명한다.
여기서, 설명을 간략히 하기 위해, 상기한 제 1 실시예와 동일한 부분은 동일한 부호로서 나타내고 그 상세한 설명은 생략한다.
도 7에 나타낸 바와 같이, 본 발명에 따른 가상 MAC 주소를 이용하여 ARP 스푸핑 공격에 대응하는 방법의 제 2 실시예는, 로컬 네트워크(12)가 인터넷에 직접 연결되어 있고, 제 1 실시예의 ARP 스푸핑 공격대응 시스템(15) 대신에 ARP 스푸핑 공격대응 단말장치(16)에 설치된 ARP 스푸핑 공격대응 S/W(17)를 통하여 상기한 바와 같은 ARP 스푸핑 공격의 감지 및 ARP 스푸핑 공격의 무력화를 위한 가상 MAC 주소의 할당 및 MAC 주소를 변환하는 일련의 동작이 수행된다는 점이 다르다.
즉, 제 2 실시예의 ARP 스푸핑 공격대응 단말장치(16)는, 상기한 제 1 실시예의 ARP 스푸핑 공격대응 시스템(15)과 달리, 로컬 네트워크(12)와 연결되어 ARP 스푸핑 공격대응 단말장치(16)와 로컬 네트워크(12)에 존재하는 가입자 PC(21)와 같은 각 단말장치 사이에서 발생 및 전송되는 모든 트래픽을 감시하고, 각각의 가입자 PC(21)로부터 ARP 스푸핑 공격대응 단말장치(16)에 대한 ARP 스푸핑 공격이 감지되면, 상기한 바와 같이 MAC 주소변환 테이블을 참조하여 사용중인 MAC 주소를 미사용의 가상의 MAC 주소로 변경하고, 변경된 주소로 통신하도록 구성된 것이다.
또한, 이러한 처리는 ARP 스푸핑 공격대응 단말장치(16)에 설치되어 있는 ARP 스푸핑 공격대응 S/W(17)에 의해 수행되며, 그 상세한 내용은 상기한 제 1 실시예에서 수행되는 일련의 처리와 동일하다.
즉, ARP 스푸핑 공격대응 S/W(17)는, 먼저, 로컬 네트워크(12)의 가입자 및 ARP 스푸핑 공격대응 단말장치(16) 사이에서 발생되거나 수신되는 모든 패킷을 감시하여 로컬 네트워크(12)의 각각의 가입자 PC(21) 등에서 ARP 스푸핑 공격대응 단말장치(16)에 대하여 시도되는 ARP 스푸핑 공격을 감지한다.
여기서, ARP 스푸핑 공격을 감지할 때에는, 로컬 네트워크(12)에 연결된 네트워크 인터페이스를 통하여 수집되는 모든 ARP 요청 패킷 중, 전송자의 MAC 주소가 ARP 스푸핑 공격대응 단말장치(16)의 MAC 주소와 동일한 ARP 요청 패킷을 수집 하면 ARP 공격이 발생한 것으로 인지한다.
이어서, ARP 공격이 발생한 것으로 인식되면, ARP 스푸핑 공격으로부터 보호하고자 하는 ARP 스푸핑 공격대응 단말장치(16)의 MAC 주소를 가상의 MAC 주소로 변경하기 위해, 실제 장비의 MAC 주소와 그에 대응하는 복수의 가상의 MAC 주소를 가지는 MAC 주소 변환 테이블을 참조하여, 현재 사용중인 ARP 스푸핑 공격대응 단말장치(16)의 MAC 주소를 미사용의 가상의 MAC 주소로 변경한다.
이후, 변경된 가상의 MAC 주소로 모든 송, 수신 패킷을 로컬 네트워크(12)에 전송한다.
따라서 본 발명의 제 2 실시예에 따르면, 본 발명에 따른 가상 MAC 주소를 이용하여 ARP 스푸핑 공격에 대응하는 방법을 소프트웨어적으로 구현할 수도 있다.
또한, 상기한 제 2 실시예에서는, ARP 스푸핑 공격대응 S/W(17)가 설치된 ARP 스푸핑 공격대응 단말장치(16)가 별도의 외장형 기기인 것으로 나타내었으나, ARP 스푸핑 공격대응 S/W(17)는, 예를 들면, 가입자 PC(21)에 설치되는 클라이언트 프로그램 형태로 구성될 수도 있다.
이상, 상기한 바와 같이 본 발명의 실시예를 통하여 본 발명에 따른 가상 MAC 주소를 이용하여 ARP 스푸핑 공격에 대응하는 방법의 상세한 내용에 대하여 설명하였으나, 본 발명은, 상기한 실시예 및 발명의 상세한 설명에 기재된 내용으로만 한정되는 것은 아니다.
즉, 상기한 제 1 실시예에서는, ARP 스푸핑 공격에 대응하기 위한 ARP 스푸핑 공격대응 시스템(15)이 설치되는 것으로 설명하였으나, 본 발명은, 상기한 바와 같은 일련의 처리를 수행할 수 있는 것이면, 상기한 제 1 실시예와 같이 하드웨어적으로 독립된 시스템으로서 구성될 수도 있고, 또는, 상기한 제 2 실시예와 같이 별도의 외부 단말장치, 또는, 예를 들면, 서버나 클라이언트 측에 설치되어 동작하는 응용프로그램과 같은 소프트웨어 형태로 제공될 수도 있는 것이다.
여기서, 상기한 바와 같이 소프트웨어의 형태로 제공되는 경우, 본 발명은 상기한 바와 같은 일련의 처리를 실행하는 프로그램이 기록된 기록매체의 형태로 제공되거나, 또는, 인터넷을 통하여 다운로드 하여 설치할 수 있도록 다운로드 프로그램 형태로 제공될 수도 있는 등, 필요에 따라 여러 가지 형태로 제공될 수 있는 것이다.
따라서 본 발명은, 상기한 바와 같은 발명의 상세한 설명에 기재된 내용으로만 한정되는 것이 아니며, 그 설계상의 필요 및 기타 다양한 요인에 따라, 본 발명의 취지 및 본질을 벗어나지 않는 범위 내에서 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 다양한 수정 및 변경 등이 가능한 것임은 당연한 일이라 하겠다.
도 1은 본 발명의 제 1 실시예에 따른 가상 MAC 주소를 이용하여 ARP 스푸핑 공격에 대응하는 방법을 실행하는 ARP 스푸핑 공격대응 시스템이 네트워크에 적용된 상태를 나타내는 네트워크 시스템의 구성도이다.
도 2는 ARP 스푸핑 공격의 감지 및 ARP 스푸핑 공격의 무력화을 위한 가상 MAC 주소의 할당 및 MAC 변환 작업의 전체적인 흐름을 나타내는 플로차트이다.
도 3은 가상 MAC 주소가 변경됨을 알리는 ARP 패킷 요청 패킷의 구성을 나타내는 도면이다.
도 4는 ARP 스푸핑 공격에 대응하고자 하는 네트워크 장비, 서버 또는 단말 장치 사이에서 실제 MAC 주소를 가상 MAC 주소로 변경하여 통신하는 모습을 개략적으로 나타내는 블록도이다.
도 5는 가상 MAC 주소를 할당 및 변환하기 위해 참조되는 MAC 주소 할당 테이블의 예를 나타내는 도면이다.
도 6은 본 발명에 따른 가상 MAC 주소를 이용하여 ARP 스푸핑 공격에 대응하는 방법의 전체적인 흐름을 나타내는 플로차트이다.
도 7은 본 발명에 따른 가상 MAC 주소를 이용하여 ARP 스푸핑 공격에 대응하는 방법을 실행하는 ARP 스푸핑 공격대응 네트워크 시스템의 제 2 실시예의 구성을 개략적으로 나타내는 구성도이다.
[부호의 설명]
10. ARP 스푸핑 공격대응 네트워크 시스템
11. ARP 스푸핑 공격대응 네트워크 12. 로컬 네트워크
13, 14. 스위치 15. ARP 스푸핑 공격대응 시스템
16. ARP 스푸핑 공격대응 단말장치 17. ARP 스푸핑 공격대응 S/W
18. 인터페이스 19. 네트워크 장치 및 단말장치
20. 서버 21. 가입자 PC
31. 이더넷 헤더 32. ARP 헤더
41, 44. In 포트 42. MAC 주소 변환 테이블
43, 45. Out 포트

Claims (11)

  1. 삭제
  2. ARP 스푸핑 공격에 대응하기 위한 시스템에 있어서,
    가입자 PC와 같은 일반적인 네트워크 장치 및 단말장비들과 스위치를 포함하여 구성되는 로컬 네트워크와,
    라우터와 같은 네트워크 장치 및 단말장비, 서버, 스위치를 포함하여 구성되는 ARP 스푸핑 공격에 대응하기 위한 ARP 스푸핑 공격대응 네트워크와,
    상기 로컬 네트워크의 스위치와 상기 ARP 스푸핑 공격대응 네트워크의 스위치 사이에 연결되어, 상기 각 네트워크들 사이에서 통신시 모든 트래픽을 바이패스(bypass) 하도록 구성된 상기 ARP 스푸핑 공격 대응수단을 포함하여 구성되며,
    상기 ARP 스푸핑 공격 대응수단은,
    상기 로컬 네트워크의 가입자에 의해 발생되거나 수신되는 모든 패킷이 경유할 수 있도록 상기 로컬 네트워크와 상기 ARP 스푸핑 공격대응 네트워크 사이에 연결되어 상기 네트워크 장치 또는 상기 서버에 대한 ARP 스푸핑 공격을 감지하는 ARP 공격 감지부와,
    ARP 스푸핑 공격으로부터 보호하고자 하는 네트워크 장치 또는 서버의 MAC 주소를 가상의 MAC 주소로 변경하기 위해 실제 장비의 MAC 주소와 그에 대응하는 복수의 가상의 MAC 주소를 가지는 MAC 주소 변환 테이블과,
    상기 가상의 MAC 주소로 모든 송, 수신 패킷을 상기 로컬 네트워크에 전송하는 전송부를 포함하여 구성된 것을 특징으로 하는 ARP 스푸핑 공격에 대응하기 위한 시스템.
  3. 제 2항에 있어서,
    상기 ARP 공격 감지부는, 상기 로컬 네트워크에 연결된 네트워크 인터페이스를 통하여 수집되는 모든 ARP 요청 패킷 중, 전송자의 MAC 주소가 상기 네트워크 장치 또는 상기 서버의 MAC 주소와 동일한 ARP 요청 패킷을 수집하면 ARP 공격이 발생한 것으로 인지하고, 상기 MAC 주소 변환 테이블에 근거하여 현재 사용중인 MAC 주소를 미사용의 가상의 MAC 주소로 변경하도록 구성된 것을 특징으로 하는 ARP 스푸핑 공격에 대응하기 위한 시스템.
  4. 삭제
  5. ARP 스푸핑 공격에 대응하기 위한 시스템에 있어서,
    가입자 PC와 같은 일반적인 네트워크 장치 및 단말장비들과 스위치를 포함하여 구성되는 로컬 네트워크와,
    상기 로컬 네트워크에 연결되어, 상기 로컬 네트워크와의 사이에서 송, 수신되는 모든 트래픽을 바이패스 하는 ARP 스푸핑 공격대응 S/W가 설치된 ARP 스푸핑 공격대응 단말장치를 포함하여 구성된 것을 특징으로 하며,
    상기 ARP 스푸핑 공격대응 S/W는,
    상기 로컬 네트워크의 가입자 및 상기 ARP 스푸핑 공격대응 단말장치 사이에서 발생되거나 수신되는 모든 패킷이 경유할 수 있도록 상기 로컬 네트워크와 연결되어 상기 로컬 네트워크의 각각의 가입자 PC 등에서 상기 ARP 스푸핑 공격대응 단말장치에 대하여 시도되는 ARP 스푸핑 공격을 감지하는 ARP 스푸핑 공격 감지단계와,
    상기 감지단계에서 ARP 공격이 발생한 것으로 인식되면, ARP 스푸핑 공격으로부터 보호하고자 하는 상기 ARP 스푸핑 공격대응 단말장치의 MAC 주소를 가상의 MAC 주소로 변경하기 위해 실제 장비의 MAC 주소와 그에 대응하는 복수의 가상의 MAC 주소를 가지는 MAC 주소 변환 테이블을 참조하여 현재 사용중인 상기 ARP 스푸핑 공격대응 단말장치의 MAC 주소를 미사용의 가상의 MAC 주소로 변경하는 단계와,
    변경된 상기 가상의 MAC 주소로 모든 송, 수신 패킷을 상기 로컬 네트워크에 전송하는 단계를 수행하도록 구성된 것을 특징으로 하는 ARP 스푸핑 공격에 대응하기 위한 시스템.
  6. 제 5항에 있어서,
    상기 ARP 공격 감지단계는, 상기 로컬 네트워크에 연결된 네트워크 인터페이스를 통하여 수집되는 모든 ARP 요청 패킷 중, 전송자의 MAC 주소가 상기 ARP 스푸 핑 공격대응 단말장치의 MAC 주소와 동일한 ARP 요청 패킷을 수집하면, ARP 공격이 발생한 것으로 인지하도록 구성된 것을 특징으로 하는 ARP 스푸핑 공격에 대응하기 위한 시스템.
  7. ARP 스푸핑 공격에 대응하는 방법에 있어서,
    ARP 스푸핑 공격으로부터 대응하고자 하는 네트워크 장비 또는 단말장치에 가상 MAC 주소를 할당하는 단계와,
    ARP 요청 패킷 감시를 통해 ARP 스푸핑 공격이 행해지는지를 감시하는 단계와,
    상기 감시하는 단계에서 공격이 감지되면, 감지된 공격대상의 상기 가상 MAC 주소를 변경하는 단계와,
    변경된 상기 가상 MAC 주소를 모든 로컬 네트워크상의 네트워크 장비 및 단말장치에 알리는 단계와,
    이후 변경된 상기 가상 MAC 주소로 모든 송, 수신 패킷의 MAC 주소를 변경하여 통신하는 단계를 포함하여 구성된 것을 특징으로 하는 ARP 스푸핑 공격에 대응하는 방법.
  8. 제 7항에 있어서,
    상기 ARP 요청 패킷 감시를 통해 ARP 스푸핑 공격이 행해지는지를 감시하는 단계는,
    상기 로컬 네트워크로부터 인입되는 패킷 중 OP Code의 값이 1인 ARP 요청 패킷만을 여과하여 수집하는 단계와,
    상기 가상 MAC 주소 중에서 상기 ARP 요청 패킷의 헤더 정보 중 Sender MAC 주소와 동일한 MAC 주소가 존재하는지를 판단하고, 만일 존재한다면, 이를 실제 네트워크 장비 또는 서버에서 발생된 ARP 요청 패킷이 아니라 스위치나 기타 네트워크 장치의 ARP 캐시 테이블의 위조를 위한 네트워크의 특정 단말장치로부터의 ARP 요청 패킷인 것으로 간주하여 해당 가상 MAC 주소에 대한 ARP 스푸핑 공격 시도인 것으로 판단하는 단계를 포함하여 구성된 것을 특징으로 하는 ARP 스푸핑 공격에 대응하는 방법.
  9. 제7항에 있어서,
    상기 가상 MAC 주소를 변경하는 단계는,
    공격이 감지되면, 공격이 감지된 상기 가상 MAC 주소를 현재 사용하지 않는 다른 가상의 MAC 주소로 변환하기 위해, 실제 장비의 MAC 주소와 그에 대응하는 복수의 가상의 MAC 주소를 가지는 MAC 주소 변환 테이블에 근거하여, 현재 사용 중이 아닌 미사용의 가상의 MAC 주소를 선택하도록 구성된 것을 특징으로 하는 ARP 스푸핑 공격에 대응하는 방법.
  10. 제 7항에 있어서,
    상기 알리는 단계는,
    공격당한 상기 가상 MAC 주소가 변경됨을 알리는 ARP 패킷 요청 패킷을 생성하여 상기 로컬 네트워크의 모든 네트워크 장비 및 단말장치에 브로드 캐스팅 방식으로 전송하도록 구성된 것을 특징으로 하는 ARP 스푸핑 공격에 대응하는 방법.
  11. 제 7항에 있어서,
    상기 통신하는 단계는,
    변경된 상기 가상 MAC 주소로 상기 네트워크 장비 또는 서버가 통신할 수 있도록, 상기 네트워크 장비 또는 서버로 전송되는 패킷의 수신자 MAC을 상기 MAC 주소 변환 테이블을 참조하여 수신받을 상기 네트워크 장비 또는 서버의 실제 MAC 주소로 변환하는 단계와,
    상기 MAC 주소 변환 테이블을 참조하여, 상기 네트워크 장비 또는 서버에서 전송되는 패킷의 송신자 MAC을 송신하는 네트워크 장비 또는 서버의 가상 MAC 주소로 변환하는 단계를 포함하여 구성된 것을 특징으로 하는 ARP 스푸핑 공격에 대응하는 방법.
KR1020080114440A 2008-10-10 2008-11-18 가상 mac 주소를 이용하여 arp 스푸핑 공격에 대응하는 방법 KR100996288B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
PCT/KR2008/006793 WO2010041788A1 (en) 2008-10-10 2008-11-18 A method for neutralizing the arp spoofing attack by using counterfeit mac addresses
US13/121,809 US8578488B2 (en) 2008-10-10 2008-11-18 Method for neutralizing the ARP spoofing attack by using counterfeit MAC addresses

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020080099850 2008-10-10
KR20080099850 2008-10-10

Publications (2)

Publication Number Publication Date
KR20100040792A KR20100040792A (ko) 2010-04-21
KR100996288B1 true KR100996288B1 (ko) 2010-11-23

Family

ID=42216771

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080114440A KR100996288B1 (ko) 2008-10-10 2008-11-18 가상 mac 주소를 이용하여 arp 스푸핑 공격에 대응하는 방법

Country Status (2)

Country Link
US (1) US8578488B2 (ko)
KR (1) KR100996288B1 (ko)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9220007B2 (en) * 2011-02-17 2015-12-22 Cisco Technology, Inc. Wireless access point MAC address privacy
US20150235052A1 (en) * 2014-02-17 2015-08-20 Samsung Electronics Co., Ltd. Electronic device and method for protecting users privacy
TWI506472B (zh) * 2014-03-12 2015-11-01 Hon Hai Prec Ind Co Ltd 網路設備及其防止位址解析協定報文攻擊的方法
US10609071B2 (en) 2014-09-30 2020-03-31 Hewlett-Packard Development Company, L.P. Preventing MAC spoofing
CN109314707A (zh) * 2017-04-06 2019-02-05 诺防网络科技有限公司 在物联网(IoT)网络上的ARP欺骗防止系统
KR102640946B1 (ko) * 2017-09-26 2024-02-27 (주)노르마 Arp 스푸핑 탐지 시스템 및 방법
CN112688900B (zh) * 2019-10-18 2022-10-11 张长河 一种防御arp欺骗和网络扫描的局域网安全防护系统及方法
CN111866005A (zh) * 2020-07-28 2020-10-30 中国银行股份有限公司 基于区块链的arp欺骗攻击防御方法、系统及装置
CN113507476B (zh) * 2021-07-15 2023-07-07 北京融汇画方科技有限公司 针对arp欺骗攻击的防御方法、系统、设备及存储介质
CN114598675A (zh) * 2022-01-20 2022-06-07 北京北信源软件股份有限公司 基于arp实现主机阻断的控制方法、装置、设备及介质

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7360245B1 (en) * 2001-07-18 2008-04-15 Novell, Inc. Method and system for filtering spoofed packets in a network
US7346057B2 (en) 2002-07-31 2008-03-18 Cisco Technology, Inc. Method and apparatus for inter-layer binding inspection to prevent spoofing
US7234163B1 (en) 2002-09-16 2007-06-19 Cisco Technology, Inc. Method and apparatus for preventing spoofing of network addresses
JP4174392B2 (ja) * 2003-08-28 2008-10-29 日本電気株式会社 ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置
JP4732257B2 (ja) * 2006-07-07 2011-07-27 富士通株式会社 中継装置、経路制御方法、及び経路制御プログラム

Also Published As

Publication number Publication date
US8578488B2 (en) 2013-11-05
KR20100040792A (ko) 2010-04-21
US20110179486A1 (en) 2011-07-21

Similar Documents

Publication Publication Date Title
KR100996288B1 (ko) 가상 mac 주소를 이용하여 arp 스푸핑 공격에 대응하는 방법
CN110445770B (zh) 网络攻击源定位及防护方法、电子设备及计算机存储介质
CN103607399B (zh) 基于暗网的专用ip网络安全监测系统及方法
US8874723B2 (en) Source detection device for detecting a source of sending a virus and/or a DNS attack linked to an application, method thereof, and program thereof
KR101236822B1 (ko) Arp록킹 기능을 이용한 arp스푸핑 공격 탐지 방법과 그 방법을 실행하기 위한 프로그램이 기록된 기록매체
Ganesh Kumar et al. Improved network traffic by attacking denial of service to protect resource using Z-test based 4-tier geomark traceback (Z4TGT)
CN102035793B (zh) 僵尸网络检测方法、装置以及网络安全防护设备
CN101621428B (zh) 一种僵尸网络检测方法及系统以及相关设备
CN101803305A (zh) 网络监视装置、网络监视方法及网络监视程序
EP1542406B1 (en) Mechanism for detection of attacks based on impersonation in a wireless network
WO2010041788A1 (en) A method for neutralizing the arp spoofing attack by using counterfeit mac addresses
Kugisaki et al. Bot detection based on traffic analysis
KR101593897B1 (ko) 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법
Salim et al. Preventing ARP spoofing attacks through gratuitous decision packet
Mohammad et al. DDoS attack mitigation using entropy in SDN-IoT environment
KR100977827B1 (ko) 악성 웹 서버 시스템의 접속탐지 장치 및 방법
JP4753264B2 (ja) ネットワーク攻撃を検出するための方法、装置、およびコンピュータ・プログラム(ネットワーク攻撃の検出)
Trabelsi et al. On investigating ARP spoofing security solutions
KR101188308B1 (ko) 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템 및 그 방법
Rodriguez et al. FLF4DoS. Dynamic DDoS Mitigation based on TTL field using fuzzy logic.
Mantoo et al. A machine learning model for detection of man in the middle attack over unsecured devices
John et al. Efficient defense system for IP spoofing in networks
Salim et al. A client/server based mechanism to prevent ARP spoofing attacks
KR101812732B1 (ko) 보안 장치 및 이의 동작 방법
KR102685997B1 (ko) 유해 ip 판단 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20131018

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20140926

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20150922

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20160829

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20170928

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20181024

Year of fee payment: 9