KR101080734B1 - Method and apparatus for preventing spoofing - Google Patents

Method and apparatus for preventing spoofing Download PDF

Info

Publication number
KR101080734B1
KR101080734B1 KR1020100003462A KR20100003462A KR101080734B1 KR 101080734 B1 KR101080734 B1 KR 101080734B1 KR 1020100003462 A KR1020100003462 A KR 1020100003462A KR 20100003462 A KR20100003462 A KR 20100003462A KR 101080734 B1 KR101080734 B1 KR 101080734B1
Authority
KR
South Korea
Prior art keywords
mac
packet
address
information
spoofing
Prior art date
Application number
KR1020100003462A
Other languages
Korean (ko)
Other versions
KR20110083300A (en
Inventor
이광우
Original Assignee
주식회사 안철수연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안철수연구소 filed Critical 주식회사 안철수연구소
Priority to KR1020100003462A priority Critical patent/KR101080734B1/en
Priority to PCT/KR2011/000231 priority patent/WO2011087285A2/en
Publication of KR20110083300A publication Critical patent/KR20110083300A/en
Application granted granted Critical
Publication of KR101080734B1 publication Critical patent/KR101080734B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은, 하나 이상의 호스트에 설치된 하나 이상의 에이전트가 호스트의 IP 주소 및 MAC 주소가 포함된 정보 패킷을 제어기로 송신하고, 제어기는 IP 주소 및 MAC 주소를 포함하는 IP-MAC 데이터베이스를 구축하여 아웃바운드(Out-Bound) 패킷의 IP 정보 또는 MAC 정보가 IP-MAC 데이터베이스와 일치하지 않는 경우 아웃바운드 패킷을 필터링하고, IP-MAC 데이터베이스에서 아웃바운드 패킷의 MAC 정보에 해당하는 IP 주소를 조회하여 스푸퍼의 실제 IP 주소를 추적하는 방법 및 장치에 관한 것이다. 본 발명의 일 측면은, 하나 이상의 호스트의 IP 주소 및 MAC 주소가 포함된 하나 이상의 정보 패킷을 수신하는 단계, 호스트로부터 전송되는 아웃바운드 패킷에 포함된 IP 정보 및 MAC 정보를 하나 이상의 정보 패킷에 포함된 하나 이상의 호스트의 IP 주소 및 MAC 주소를 포함하는 IP-MAC 데이터베이스와 비교하는 단계, 아웃바운드 패킷의 IP 정보 및 MAC 정보가 IP-MAC 데이터베이스와 일치하지 않는 경우 아웃바운드 패킷을 스푸핑 패킷으로 판단하는 단계, 및 스푸핑 패킷을 필터링하는 단계를 포함하는 스푸핑 방지 방법을 제공한다. According to the present invention, one or more agents installed in one or more hosts transmit an information packet including the IP address and MAC address of the host to the controller, and the controller constructs an IP-MAC database including the IP address and MAC address and outbound. (Out-Bound) If the IP information or MAC information of the packet does not match the IP-MAC database, filter outbound packets, and look up the IP address corresponding to the MAC information of the outbound packet in the IP-MAC database. Relates to a method and device for tracking the actual IP address. One aspect of the invention, the step of receiving one or more information packets including the IP address and MAC address of one or more hosts, including the IP information and MAC information contained in the outbound packet transmitted from the host in one or more information packets Comparing the IP-MAC database with the IP address and MAC address of at least one host that has been identified, and if the IP information and MAC information of the outbound packet do not match the IP-MAC database, determining the outbound packet as a spoofed packet. And filtering the spoofed packet.

Figure R1020100003462
Figure R1020100003462

Description

스푸핑 방지 방법 및 장치{METHOD AND APPARATUS FOR PREVENTING SPOOFING}Spoofing prevention method and apparatus {METHOD AND APPARATUS FOR PREVENTING SPOOFING}

본 발명은 스푸핑 방지 방법 및 장치에 관한 것이다. 구체적으로 본 발명은, 하나 이상의 호스트에 설치된 하나 이상의 에이전트가 호스트의 IP 주소 및 MAC 주소가 포함된 정보 패킷을 제어기로 송신하고, 제어기는 IP 주소 및 MAC 주소를 포함하는 IP-MAC 데이터베이스를 구축하여 아웃바운드 패킷의 IP 정보 또는 MAC 정보가 IP-MAC 데이터베이스와 일치하지 않는 경우 아웃바운드 패킷을 필터링하고, IP-MAC 데이터베이스에서 아웃바운드 패킷의 MAC 정보에 해당하는 IP 주소를 조회하여 스푸퍼의 실제 IP 주소를 추적하는 방법 및 장치에 관한 것이다.
The present invention relates to a method and apparatus for preventing spoofing. Specifically, the present invention, one or more agents installed in one or more hosts transmits an information packet including the IP address and MAC address of the host to the controller, the controller builds an IP-MAC database including the IP address and MAC address If the IP or MAC information of the outbound packet does not match the IP-MAC database, filter the outbound packet and look up the IP address corresponding to the MAC information of the outbound packet in the IP-MAC database to view the actual IP of the spoof. A method and apparatus for tracking an address.

인터넷의 사용이 날로 증가함에 따라 해킹의 기술 또한 증가하고 있다. 이와 같이, DoS, DDoS, 스니핑(Sniffing) 또는 하이젝킹(Hijacking)과 같은 해킹을 위해 사용되는 근본적인 수단이 ARP(Address Resolution Protocol) 또는 IP 스푸핑(Spoofing)이다. 이 중 ARP 스푸핑은 센더(Sender) 하드웨어 주소와 센더 IP 주소를 조작하는 것으로서, 로컬 네트워크 내의 다른 라우터나 스위치, 호스트들의 ARP 테이블을 변경함으로써, 공격 시스템의 IP 주소가 아닌 패킷을 공격 시스템의 MAC 주소를 달고 공격 시스템으로 전달되게 만드는 공격 기법이다. 또한, IP 스푸핑은 자신의 소스 IP를 변경하여 다른 시스템에게 자신이 누군지 모르게 또는 다른 시스템으로 오인하도록 만드는 공격을 위한 수단으로 사용된다. As the use of the Internet increases, so too does the technology of hacking. As such, the underlying means used for hacking such as DoS, DDoS, Sniffing or Hijacking is ARP (Address Resolution Protocol) or IP Spoofing. Among them, ARP spoofing manipulates the sender hardware address and sender IP address. By changing the ARP table of other routers, switches, and hosts in the local network, the ARP spoofing is used to change the MAC address of the attacker's MAC address. It is an attack technique that attaches and delivers to the attack system. In addition, IP spoofing is used as a means of attack that alters its source IP, causing other systems to know who they are or to misunderstand them.

ARP나 IP 스푸핑 공격으로 인하여, 인터넷에서 돌아다니는 스푸핑 툴을 이용하여 특정 호스트를 공격하거나 망 내에서 돌아다니는 정보를 훔쳐 봄으로써 보안이 유지되어야 할 개인 정보들이 쉽게 도용되는 일이 빈번한 실정이다. 예를 들면, ARP 스푸핑을 통하여 동일한 내부 네트워크에 연결된 다른 호스트에서 행하여지는 여러 가지 IP 패킷들을 훔쳐 봄으로써 개인 정보가 유출될 수 있고 특정 서버의 관리자 레벨의 ID와 패스워드를 훔쳐 봄으로써 서버 정보를 마음대로 조작하는 것이 가능하게 되었다. 또한, IP 스푸핑을 통하여 외부 네트워크 상에서 행해지는 온라인 작업을 훔쳐 볼 경우 더 많은 시스템이 공격에 쉽게 노출되게 된다.Due to ARP or IP spoofing attacks, personal information that needs to be secured is frequently stolen by using spoofing tools that roam the Internet to steal specific hosts or steal information roaming within the network. For example, ARP spoofing can steal personal information by stealing various IP packets from other hosts connected to the same internal network, and steal server information by stealing administrator-level IDs and passwords of specific servers. It became possible to operate. In addition, IP spoofing makes it easier to expose more systems to attacks if you steal your online work on external networks.

도 1 은 예시적인 ARP 스푸핑 공격 기법을 도시한 것이다. ARP 스푸핑 공격을 받기 전에 클라이언트(110)는 게이트웨이(130)를 통하여 서버(140)와 데이터를 주고 받는다. 즉, 정상적인 트래픽 흐름(150)은 클라이언트(110), 게이트웨이(130) 및 서버(140)을 통과한다. 그러나, ARP 스푸핑 공격자(120)가 ARP 스푸핑 피해자(클라이언트)(110)와 게이트웨이(130) 사이의 세션을 가로채기 위하여 ARP 스푸핑 피해자(110)에게는 게이트웨이(130)의 MAC 대신 ARP 스푸핑 공격자(120)의 MAC으로 ARP Reply 패킷을 전송하고, 게이트웨이(130)에게도 ARP 스푸핑 피해자(110)의 MAC 대신 ARP 스푸핑 공격자(120)의 MAC 으로 ARP Reply 패킷을 전송하게 된다. 즉, ARP 스푸핑 공격자(120)는 ARP 스푸핑 공격(160)을 행하게 되고, ARP 스푸핑 피해자(110)와 게이트웨이(130) 사이의 모든 패킷을 ARP 스푸핑 공격자(120)가 가로채게 된다. 이러한 ARP 스푸핑 공격 기법은 사전 공격으로 이용되며 이후 IP 스푸핑을 통하여 패킷을 릴레이함으로써 중간자 공격을 시도하게 된다. 1 illustrates an example ARP spoofing attack technique. Before the ARP spoofing attack, the client 110 exchanges data with the server 140 through the gateway 130. That is, the normal traffic flow 150 passes through the client 110, the gateway 130, and the server 140. However, in order for the ARP spoofing attacker 120 to intercept a session between the ARP spoofing victim (client) 110 and the gateway 130, the ARP spoofing attacker 120 instead of the MAC of the gateway 130 for the ARP spoofing victim 110. The ARP Reply packet is transmitted to the MAC, and the Gateway 130 transmits the ARP Reply packet to the MAC of the ARP spoofing attacker 120 instead of the MAC of the ARP spoofing victim 110. That is, the ARP spoofing attacker 120 performs an ARP spoofing attack 160, and the ARP spoofing attacker 120 intercepts all packets between the ARP spoofing victim 110 and the gateway 130. This ARP spoofing attack technique is used as a dictionary attack and then attempts to man-in-the-middle attack by relaying packets through IP spoofing.

도 2 는 예시적인 IP 스푸핑 공격 기법을 도시한 것이다. SYN 플러딩 공격 기법은 도 2 에 도시된 것과 같이, 타겟(230)의 TCP(Transmission Contol Protocol) 서비스의 서비스 거부 공격을 유발하기 위해 IP 스푸핑 공격자(200)가 자신의 IP를 임의의 IP로 속여 SYN 패킷을 대량으로 전송하여 타겟(230)의 서비스 가능 세션을 고갈시키는 공격을 시도하게 된다. 2 illustrates an example IP spoofing attack technique. In the SYN flooding attack scheme, as shown in FIG. 2, the IP spoofing attacker 200 cheats its IP to an arbitrary IP in order to cause a denial of service attack of the Transmission Control Protocol (TCP) service of the target 230. An attempt is made to transmit a large amount of packets to deplete a serviceable session of the target 230.

일반적으로 중요 정보를 탈취하거나 악성 코드를 유포하기 위해서 ARP 스푸핑을 통한 IP 스푸핑 공격이 사용되고 있으며, DoS, DRDoS, 또는 DDoS 공격에 이용되는 좀비 PC들은 대부분 IP 스푸핑 공격을 근간으로 하고 있다.In general, IP spoofing attacks using ARP spoofing are used to steal sensitive information or distribute malicious code, and most zombie PCs used for DoS, DRDoS, or DDoS attacks are based on IP spoofing attacks.

일반적으로 알려진 대부분의 ARP 스푸핑 탐지 방법이 보안장비에 적용되기는 하지만, 이러한 종래의 ARP 스푸핑 탐지 기법은 ARP Reply 패킷 수집을 기반으로 하기 때문에 최근처럼 더미 허브는 사라지고 L2 스위치가 사용되는 내부 네트워크 환경을 고려할 때 스푸핑 탐지가 거의 불가능한 것으로 보여진다. 뿐만 아니라, DDoS 좀비들이 많이 사용하는 IP 스푸핑에 의한 플러딩 공격을 보안장비에서 탐지하고 해당 패킷을 차단하더라도 종래의 보안 방법은 스푸퍼에서 보안장비가 위치한 내부 네트워크 구간의 대역폭이 좀비 PC의 공격 패킷으로 대역폭이 낭비되는 것을 막을 수 없으며 또한 스푸퍼의 실제 IP 추적에 많은 어려움이 있었다.
Although most commonly known ARP spoofing detection methods are applied to security devices, these conventional ARP spoofing detection techniques are based on ARP Reply packet collection, so the dummy hub disappears and the internal network environment where L2 switch is used is considered. When spoof detection is seen almost impossible. In addition, even if the security equipment detects flooding attacks by IP spoofing that DDoS zombies use a lot and blocks the packets, the conventional security method is that the bandwidth of the internal network section where the security equipment is located in the spoof is the attack packet of the zombie PC. Bandwidth wasn't prevented and there was a lot of trouble with Spurper's actual IP tracking.

상기 문제점을 해결하기 위하여 본 발명의 일 측면은, 호스트에서 전송한 패킷의 MAC이 변경되지 않는 라우터 하단의 내부 네트워크에 설치된 제어기가 하나 이상의 호스트에 설치된 하나 이상의 에이전트로부터 호스트의 IP 주소 및 MAC 주소를 수신 받고, IP 주소 및 MAC 주소를 포함하는 IP-MAC 데이터베이스를 구축하여 아웃바운드 패킷의 IP 주소 또는 MAC 주소가 IP-MAC 데이터베이스와 일치하지 않는 경우 아웃바운드 패킷을 필터링하고, IP-MAC 데이터베이스에서 아웃바운드 패킷의 MAC 주소에 해당하는 IP 주소를 조회하여 스푸퍼의 실제 IP 주소를 추적하는 방법 및 장치를 제공하는 것을 목적으로 한다.
In order to solve the above problem, an aspect of the present invention is that a controller installed in an internal network at the bottom of a router in which a MAC of a packet transmitted from a host is not changed is obtained from one or more agents installed in one or more hosts. Inbound and outgoing, builds an IP-MAC database containing the IP address and MAC address to filter outbound packets if the IP address or MAC address of the outbound packet does not match the IP-MAC database, and out of the IP-MAC database. An object of the present invention is to provide a method and apparatus for tracking an actual IP address of a spoof by querying an IP address corresponding to a MAC address of a bound packet.

상기 목적을 달성하기 위하여 본 발명의 일 측면은, 하나 이상의 호스트의 IP 주소 및 MAC 주소가 포함된 하나 이상의 정보 패킷을 수신하는 단계, 호스트로부터 전송되는 아웃바운드 패킷에 포함된 IP 정보 및 MAC 정보를 구축되어 있는 IP-MAC 데이터베이스와 비교하는 단계, 아웃바운드 패킷의 IP 정보 및 MAC 정보가 IP-MAC 데이터베이스와 일치하지 않는 경우 아웃바운드 패킷을 스푸핑 패킷으로 판단하는 단계, 및 스푸핑 패킷을 필터링하는 단계를 포함하고 IP-MAC 데이터베이스는 하나 이상의 정보 패킷에 포함된 하나 이상의 호스트의 IP 주소 및 MAC 주소를 포함하는 스푸핑 방지 방법을 제공한다. In order to achieve the above object, an aspect of the present invention, receiving one or more information packets including the IP address and MAC address of one or more hosts, IP information and MAC information contained in the outbound packet transmitted from the host Comparing the established IP-MAC database, determining the outbound packet as a spoofed packet if the IP information and the MAC information of the outbound packet do not match the IP-MAC database, and filtering the spoofed packet. And the IP-MAC database provides a spoofing prevention method that includes the IP address and MAC address of one or more hosts included in one or more information packets.

또한, IP-MAC 데이터베이스에서 스푸핑 패킷의 MAC 정보에 해당하는 IP 주소를 조회하여, 스푸퍼의 실제 IP 주소를 추적하는 단계를 더 포함하는 스푸핑 방지 방법을 제공한다. In addition, the IP address corresponding to the MAC information of the spoof packet in the IP-MAC database to provide a spoofing prevention method further comprising the step of tracking the actual IP address of the spoof.

또한, 상기 스푸핑 패킷을 필터링하는 단계는, 스푸핑 패킷의 MAC 정보가 화이트리스트에 존재하는 경우 스푸핑 패킷을 허용하는 단계, 및 스푸핑 패킷의 MAC 정보가 화이트리스트에 존재하지 않는 경우 스푸핑 패킷을 차단하는 단계를 포함하는 스푸핑 방지 방법을 제공한다. The filtering of the spoofed packet may include: allowing the spoofed packet if the MAC information of the spoofed packet is present in the whitelist, and blocking the spoofed packet if the MAC information of the spoofed packet does not exist in the whitelist. It provides a spoofing prevention method comprising a.

또한, 상기 수신하는 단계는, 하나 이상의 정보 패킷을 하나 이상의 호스트에 설치된 하나 이상의 에이전트로부터 수신하는 단계를 포함하는 스푸핑 방지 방법을 제공한다. In addition, the receiving step provides a method for preventing spoofing, including receiving one or more information packets from one or more agents installed in one or more hosts.

또한, 상기 수신하는 단계는, 하나 이상의 호스트 각각의 IP 주소 또는 MAC 주소가 변경되는지 여부가 하나 이상의 에이전트에 의해 주기적으로 검사되는 단계, 및 IP 주소 또는 MAC 주소가 변경된 경우 변경된 IP 주소 또는 변경된 MAC 주소가 포함된 하나 이상의 정보 패킷을 하나 이상의 에이전트로부터 수신하는 단계를 포함하는 스푸핑 방지 방법을 제공한다. The receiving may include periodically checking whether one or more hosts have an IP address or MAC address changed, and when the IP address or MAC address is changed, the changed IP address or changed MAC address. It provides a method for preventing spoofing comprising the step of receiving one or more information packets containing from one or more agents.

또한, 상기 목적을 달성하기 위하여 본 발명의 일 측면은 하나 이상의 호스트에 설치된 하나 이상의 에이전트 및 제어기를 포함하는 스푸핑 방지 장치로서, 하나 이상의 에이전트는, 하나 이상의 호스트의 IP 주소 및 MAC 주소가 포함된 하나 이상의 정보 패킷을 제어기로 송신하고, 제어기는, 하나 이상의 정보 패킷을 분석하여 하나 이상의 호스트의 IP 주소 및 MAC 주소를 포함하는 IP-MAC 데이터베이스를 구축하는 구축부, 호스트로부터 전송되는 아웃바운드 패킷에 포함된 IP 정보 및 MAC 정보를 IP-MAC 데이터베이스와 비교하는 비교부, 아웃바운드 패킷의 IP 정보 및 MAC 정보가 IP-MAC 데이터베이스와 일치하지 않는 경우 아웃바운드 패킷을 스푸핑 패킷으로 판단하는 판단부, 및 스푸핑 패킷을 필터링하는 필터링부를 포함하는 스푸핑 방지 장치를 제공한다. In addition, an aspect of the present invention to achieve the above object is an anti-spoofing device comprising one or more agents and controllers installed on one or more hosts, one or more agents, one or more including the IP address and MAC address of one or more hosts The above information packet is transmitted to the controller, and the controller analyzes one or more information packets and constructs an IP-MAC database including IP addresses and MAC addresses of one or more hosts, and includes them in an outbound packet transmitted from the host. A comparison unit for comparing the obtained IP information and MAC information with the IP-MAC database, a judging unit for judging the outbound packet as a spoofing packet when the IP information and the MAC information of the outbound packet do not match the IP-MAC database, and spoofing Provided is a spoofing prevention device including a filtering unit for filtering a packet.

또한, 상기 제어기는, IP-MAC 데이터베이스에서 스푸핑 패킷의 MAC 정보에 해당하는 IP 주소를 조회하여, 스푸퍼의 실제 IP 주소를 추적하는 추적부를 더 포함하는 스푸핑 방지 장치를 제공한다. In addition, the controller provides a spoofing prevention device further comprises a tracking unit for tracking the IP address corresponding to the MAC information of the spoofing packet in the IP-MAC database to track the actual IP address of the spoof.

또한, 상기 필터링부는, 스푸핑 패킷의 MAC 정보가 화이트리스트에 존재하는 경우 스푸핑 패킷을 허용하는 허용부, 및 스푸핑 패킷의 MAC 정보가 화이트리스트에 존재하지 않는 경우 스푸핑 패킷을 차단하는 차단부를 포함하는 스푸핑 방지 장치를 제공한다. The filtering unit may further include a spoofing unit that allows a spoofing packet when the MAC information of the spoofing packet is present in the white list, and a blocking unit that blocks the spoofing packet when the MAC information of the spoofing packet does not exist in the white list. Provide prevention device.

또한, 상기 하나 이상의 에이전트 각각은, 하나 이상의 호스트 각각의 IP 주소 또는 MAC 주소가 변경되는지 여부를 주기적으로 검사하는 검사부를 포함하고, 하나 이상의 에이전트는 IP 주소 또는 MAC 주소가 변경된 경우 변경된 IP 주소 또는 변경된 MAC 주소가 포함된 하나 이상의 정보 패킷을 상기 제어기로 송신하는 스푸핑 방지 장치를 제공한다.Further, each of the one or more agents includes a checker that periodically checks whether the IP address or MAC address of each of the one or more hosts is changed, and the one or more agents change the changed IP address or changed when the IP address or MAC address is changed. Provided is a spoofing prevention device for transmitting one or more information packets including a MAC address to the controller.

또한, 상기 목적을 달성하기 위하여 본 발명의 일 측면은 하나 이상의 호스트에 설치된 하나 이상의 스푸핑 방지 에이전트로서, 하나 이상의 스푸핑 방지 에이전트는, 하나 이상의 호스트의 IP 주소 및 MAC 주소가 포함된 하나 이상의 정보 패킷을 제어기로 송신하고, 제어기는 하나 이상의 정보 패킷을 분석하여 하나 이상의 호스트의 IP 주소 및 MAC 주소를 포함하는 IP-MAC 데이터베이스를 구축하고, 호스트로부터 전송되는 아웃바운드 패킷에 포함된 IP 정보 및 MAC 정보를 IP-MAC 데이터베이스와 비교하고, 아웃바운드 패킷의 IP 정보 및 MAC 정보가 IP-MAC 데이터베이스와 일치하지 않는 경우 아웃바운드 패킷을 스푸핑 패킷으로 판단하고, 스푸핑 패킷을 필터링하는 스푸핑 방지 에이전트를 제공한다.In addition, an aspect of the present invention to achieve the above object is at least one anti-spoofing agent installed on at least one host, at least one anti-spoofing agent, at least one information packet containing the IP address and MAC address of the at least one host Send to the controller, the controller analyzes one or more information packets to build an IP-MAC database containing IP addresses and MAC addresses of one or more hosts, and sends the IP and MAC information contained in the outbound packets sent from the host. Compared to the IP-MAC database, if the IP information and MAC information of the outbound packet does not match the IP-MAC database, the outbound packet is determined as a spoof packet, and provides a spoofing prevention agent for filtering the spoof packet.

또한, 상기 목적을 달성하기 위하여 본 발명의 일 측면은 하나 이상의 호스트에 설치된 하나 이상의 에이전트로부터 하나 이상의 호스트의 IP 주소 및 MAC 주소가 포함된 하나 이상의 정보 패킷을 수신하는 수신부, 하나 이상의 정보 패킷을 분석하여 하나 이상의 호스트의 IP 주소 및 MAC 주소를 포함하는 IP-MAC 데이터베이스를 구축하는 구축부, 호스트로부터 전송되는 아웃바운드 패킷에 포함된 IP 정보 및 MAC 정보를 IP-MAC 데이터베이스와 비교하는 비교부, 아웃바운드 패킷의 IP 정보 및 MAC 정보가 IP-MAC 데이터베이스와 일치하지 않는 경우 아웃바운드 패킷을 스푸핑 패킷으로 판단하는 판단부, 및 스푸핑 패킷을 필터링하는 필터링부를 포함하는 스푸핑 방지 제어기를 제공한다.
In addition, to achieve the above object, an aspect of the present invention is a receiver for receiving one or more information packets including the IP address and MAC address of one or more hosts from one or more agents installed in one or more hosts, analyzing one or more information packets A construction unit for constructing an IP-MAC database including IP addresses and MAC addresses of one or more hosts; a comparison unit for comparing IP information and MAC information included in outbound packets transmitted from the host with the IP-MAC database; When the IP information and MAC information of the bound packet does not match the IP-MAC database, it provides a spoofing prevention controller including a determination unit for determining the outbound packet as a spoofing packet, and a filtering unit for filtering the spoofed packet.

본 발명에 따르면, 호스트 각각에 에이전트가 설치되어 IP 주소 또는 MAC 주소가 변경되었는지 여부를 주기적으로 검사하고 변경된 IP 주소 또는 MAC 주소를 제어기에 제공함으로써 IP-MAC 데이터베이스를 업데이트할 수 있다. According to the present invention, an agent is installed in each host to periodically check whether the IP address or MAC address is changed, and update the IP-MAC database by providing the controller with the changed IP address or MAC address.

또한, 스푸핑 패킷이라도 스푸핑 패킷의 MAC 정보가 화이트리스트에 포함되는 경우에는 스푸핑 패킷을 차단하지 않고 허용함으로써 예외 처리를 수행할 수 있다. In addition, even if a spoof packet is included in the whitelist of the MAC information of the spoof packet, exception processing can be performed by allowing the spoof packet without blocking the spoof packet.

또한, IP-MAC 데이터베이스에서 스푸핑 패킷의 MAC 정보에 해당하는 IP 주소를 조회하여 스푸퍼의 실제 IP 주소를 추적할 수 있으며, ARP 스푸핑의 하이젝킹 공격을 차단하고 DDoS에 이용되는 내부 네트워크의 좀비 호스트를 탐지 및 제거할 수 있고, IP 스푸핑에 의한 플러딩 공격의 경우 내부 네트워크의 대역폭 고갈을 막아 네트워크의 가용성을 보장할 수 있는 효과가 있다.
It can also track the spoof's actual IP address by querying the IP address corresponding to the MAC information of the spoofing packet in the IP-MAC database, block the hijacking attack of ARP spoofing, and enable the zombie host of the internal network used for DDoS. It is possible to detect and eliminate the problem, and in case of flooding attack by IP spoofing, it is possible to prevent the exhaustion of the bandwidth of the internal network to ensure the availability of the network.

도 1 은 예시적인 ARP 스푸핑 공격 기법을 도시한 것이다.
도 2 는 예시적인 IP 스푸핑 공격 기법을 도시한 것이다.
도 3 은 본 발명의 실시 예에 따른 에이전트 및 제어기를 포함하는 네트워크 구성도를 나타낸 것이다.
도 4 는 본 발명의 실시 예에 따른 스푸핑 방지 방법의 흐름도를 나타낸 것이다.
도 5 는 본 발명의 실시 예에 따른 스푸핑 패킷 예외 처리의 흐름도를 나타낸 것이다.
도 6 은 본 발명의 실시 예에 따른 정보 패킷의 데이터 구조를 나타낸 것이다.
도 7 은 본 발명의 실시 예에 따른 IP 스푸핑을 차단하는 신호 처리 흐름을 나타낸 것이다.
도 8 은 본 발명의 일 실시예에 따른 스푸핑 방지 장치의 블록도를 도시한 것이다.1 illustrates an example ARP spoofing attack technique.
2 illustrates an example IP spoofing attack technique.
3 illustrates a network configuration including an agent and a controller according to an embodiment of the present invention.
4 is a flowchart illustrating a spoofing prevention method according to an embodiment of the present invention.
5 is a flowchart illustrating a spoof packet exception processing according to an embodiment of the present invention.
6 illustrates a data structure of an information packet according to an embodiment of the present invention.
7 illustrates a signal processing flow for blocking IP spoofing according to an embodiment of the present invention.
8 is a block diagram of an anti-spoofing device according to an embodiment of the present invention.

이하 첨부된 도면을 참조하여 본 발명의 실시 예를 상세히 설명한다. 하기에서 본 발명을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. In the following description of the present invention, if it is determined that a detailed description of a known function or configuration may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted. The following terms are defined in consideration of the functions of the present invention, and may be changed according to the intentions or customs of the user, the operator, and the like. Therefore, the definition should be based on the contents throughout this specification.

도 3 은 본 발명의 실시 예에 따른 에이전트 및 제어기를 포함하는 네트워크 구성도를 나타낸 것이다. 호스트(300, 310 및 320) 각각에는 에이전트가 설치되어 있으며, 호스트(300, 310 및 320) 및 L2 스위치(330)를 포함하는 내부 네트워크와 게이트웨이(350) 및 인터넷(360)을 포함하는 외부 네트워크 사이의 트래픽을 중계하는 제어기(340)가 설치되어 있다. 제어기(340)와 호스트 각각 사이에는 L3 라우팅이 없어 호스트 각각으로부터 전송되는 패킷의 MAC 정보가 호스트의 실제 네트워크 인터페이스의 MAC 정보와 동일하다. 도 3 에서는 예시적으로 3 개의 호스트가 도시되었으나, 호스트의 개수는 3 개 이하가 될 수도 있으며 3 개 이상이 될 수도 있다.3 illustrates a network configuration including an agent and a controller according to an embodiment of the present invention. Agents are installed in each of the hosts 300, 310, and 320, and an internal network including the hosts 300, 310, and 320 and the L2 switch 330, and an external network including the gateway 350 and the Internet 360. A controller 340 is provided for relaying traffic therebetween. Since there is no L3 routing between the controller 340 and each of the hosts, the MAC information of packets transmitted from each host is the same as the MAC information of the actual network interface of the host. Although three hosts are illustrated in FIG. 3, the number of hosts may be three or less, or three or more.

호스트(300, 310 및 320)에 설치된 에이전트는 호스트의 로컬 IP 주소 및 MAC 주소를 수집하고 수집된 IP 주소 및 MAC 주소가 포함된 정보 패킷을 생성하여, 생성된 정보 패킷을 제어기(340)로 송신한다. 이 경우 에이전트는 주기적으로 호스트(300, 310 및 320)의 IP 주소 및 MAC 주소가 변경되는지 여부를 검사하고, IP 주소 또는 MAC 주소가 변경되는 경우에는 변경된 IP 주소 또는 변경된 MAC 주소를 포함한 정보 패킷을 제어기(340)로 송신한다. 이 경우 정보 패킷에는 호스트(300, 310 및 320)에 설정된 물리적 또는 논리적인 네트워크 인터페이스(NIF)의 총 개수와 그에 할당된 로컬 IP 주소 및 MAC 주소가 함께 포함된다.Agents installed on the hosts 300, 310 and 320 collect the host's local IP address and MAC address, generate an information packet including the collected IP address and MAC address, and send the generated information packet to the controller 340. do. In this case, the agent periodically checks whether the IP addresses and MAC addresses of the hosts 300, 310, and 320 are changed, and, if the IP address or MAC address is changed, an information packet including the changed IP address or the changed MAC address. Transmit to controller 340. In this case, the information packet includes the total number of physical or logical network interfaces (NIFs) set in the hosts 300, 310, and 320, together with local IP addresses and MAC addresses allocated thereto.

제어기(340)는 에이전트로부터 호스트(300, 310 및 320)의 로컬 IP 주소 및 MAC 주소가 포함되어 있는 정보 패킷을 수집하여 IP-MAC 데이터베이스(370)를 구축한다. 도 3 을 참조하면, IP-MAC 데이터베이스(370)에는 호스트(300)의 IP(210.1.1.1) 및 MAC(00:0E:A6:81:50:F3), 호스트(310)의 IP(210.1.1.2) 및 MAC(00:0E:A6:81:50:F4), 호스트(320)의 IP(210.1.1.3) 및 MAC(00:0E:A6:81:50:F5)가 저장되어 있다. 도 3 에서는 예시적으로 3 개의 IP-MAC 정보를 가지는 IP-MAC 데이터베이스를 도시되었으나, IP-MAC 데이터베이스는 3개 이하 또는 3 개 이상의 IP-MAC 정보를 포함할 수 있다.The controller 340 collects an information packet including local IP addresses and MAC addresses of the hosts 300, 310, and 320 from the agent to build the IP-MAC database 370. Referring to FIG. 3, the IP-MAC database 370 includes IP 210.1.1.1 and MAC (00: 0E: A6: 81: 50: F3) of the host 300, and IP (210.1. 1.2) and MAC (00: 0E: A6: 81: 50: F4), IP (210.1.1.3) and MAC (00: 0E: A6: 81: 50: F5) of the host 320 are stored. In FIG. 3, an IP-MAC database having three IP-MAC information is illustrated.

IP-MAC 데이터베이스(370)는 호스트(300, 310 및 320) 각각의 실제 IP 주소 및 IP 주소에 대응되는 MAC 주소를 기록한 데이터베이스로서, 이후에 아웃바운드(Out-Bound) 패킷이 제어기(340)를 통과하는 경우 IP 스푸핑되었는지 여부의 판단에 이용된다. 아웃바운드 패킷이 IP 스푸핑된 경우, IP-MAC 데이터베이스(370)에서 검색된 아웃바운드 패킷에 포함된 MAC 정보에 대응하는 IP 주소는 아웃바운드 패킷에 포함된 IP 정보와 상이하게 된다.The IP-MAC database 370 is a database that records actual IP addresses and MAC addresses corresponding to the IP addresses of the hosts 300, 310, and 320, and then out-bound packets are sent to the controller 340. If it passes, it is used to determine whether IP spoofed. If the outbound packet is IP spoofed, the IP address corresponding to the MAC information included in the outbound packet retrieved from the IP-MAC database 370 is different from the IP information included in the outbound packet.

내부 네트워크에서 외부 네트워크로 나가는 아웃바운드 패킷에 대해서 샘플링을 하여 패킷의 IP 정보 및 MAC 정보를 IP-MAC 데이터베이스와 비교하여 같은 경우에는 패킷을 허용하고, 다른 경우에는 해당 패킷을 차단한다. 아웃바운드 IP 패킷의 IP 정보 및 MAC 정보가 IP-MAC 데이터베이스와 상이한 경우 IP-MAC 데이터베이스에서 아웃바운드 IP 패킷의 MAC 정보에 대응되는IP 주소를 조회함으로써, 스푸퍼의 실제 IP 주소를 추적할 수도 있다. Outbound packets from the internal network to the external network are sampled, and the packet information is allowed in the same case, and the packet is blocked in other cases by comparing the IP and MAC information of the packet with the IP-MAC database. If the IP information and the MAC information of the outbound IP packet are different from the IP-MAC database, the actual IP address of the spoof may be tracked by inquiring the IP address corresponding to the MAC information of the outbound IP packet in the IP-MAC database. .

이 경우 예외 처리를 위해서 IP-MAC 데이터베이스에 저장되지 않은 MAC 주소를 갖고 있는 아웃바운드 IP 패킷은 차단되지 않고 외부 네트워크로 전송될 수 있으며, 화이트리스트 목록에 있는 MAC 주소를 갖고 있는 아웃바운드 IP 패킷 또한 차단되지 않고 외부 네트워크로 전송될 수 있다.In this case, outbound IP packets with MAC addresses that are not stored in the IP-MAC database for exception handling can be sent to the external network without blocking, and outbound IP packets with MAC addresses on the whitelist are also blocked. It can be sent to an external network without blocking.

도 4 는 본 발명의 실시 예에 따른 스푸핑 방지 방법의 흐름도를 나타낸 것이다. 단계 S410에서 제어기(340)는 호스트(300, 310 및 320) 각각에 설치된 에이전트로부터 정보 패킷을 수신한다. 단계 S420에서 제어기(340)는 IP-MAC 데이터베이스(370)를 구축한다. 단계 S430에서는 아웃바운드 패킷으로부터 IP 정보와 MAC 정보를 추출한다. 단계 S440에서는 추출된 IP 정보와 MAC 정보가 IP-MAC 데이터베이스와 일치하는지 여부를 판단한다. 추출된 IP 정보와 MAC 정보가 IP-MAC 데이터베이스와 일치하는 경우에는 단계 S450에서 제어기(340)는 아웃바운드 패킷이 외부 네트워크로 전송되는 것을 허용한다. 한편, 추출된 IP 정보와 MAC 정보가 IP-MAC 데이터베이스와 일치하지 않는 경우 단계 S460에서 아웃바운드 패킷이 스푸핑 패킷임을 탐지한다. 단계 S470에서는 아웃바운드 패킷의 MAC 주소에 대응되는 IP 주소를 IP-MAC 데이터베이스에서 조회하여 스푸퍼의 실제 IP 주소를 추적한다. 단계 S480에서는 스푸핑 패킷을 차단한다. 4 is a flowchart illustrating a spoofing prevention method according to an embodiment of the present invention. In operation S410, the controller 340 receives an information packet from an agent installed in each of the hosts 300, 310, and 320. In step S420, the controller 340 builds the IP-MAC database 370. In step S430, IP information and MAC information are extracted from the outbound packet. In step S440, it is determined whether the extracted IP information and MAC information match the IP-MAC database. If the extracted IP information and MAC information match the IP-MAC database, in step S450, the controller 340 allows the outbound packet to be transmitted to the external network. On the other hand, if the extracted IP information and MAC information does not match the IP-MAC database, in step S460 it is detected that the outbound packet is a spoofed packet. In step S470, the IP address corresponding to the MAC address of the outbound packet is retrieved from the IP-MAC database to track the actual IP address of the spoof. In step S480, the spoofing packet is blocked.

그러나, 예외적으로 아웃바운드 패킷이 스푸핑 패킷으로 탐지된 경우에도 스푸핑 패킷이 차단되지 않는 경우가 있을 수 있다. 예를 들어, IP-MAC 데이터베이스에 저장되지 않은 MAC 주소를 갖고 있는 아웃바운드 패킷은 차단되지 않고 외부 네트워크로 전송될 수 있으며, 화이트리스트 목록에 있는 MAC 주소를 갖고 있는 아웃바운드 패킷 또한 차단되지 않고 외부 네트워크로 전송될 수 있다. 이하에서는 화이트리스트 목록에 있는 MAC 주소를 갖고 있는 아웃바운드 패킷의 처리 과정에 대해서 설명하도록 한다. However, there may be an exception in which spoof packets are not blocked even when outbound packets are detected as spoof packets. For example, outbound packets with MAC addresses that are not stored in the IP-MAC database can be sent to the external network without blocking. Outbound packets with MAC addresses on the whitelist list are also not blocked. Can be sent over the network. Hereinafter, a process of processing an outbound packet having a MAC address in a whitelist will be described.

도 5 는 본 발명의 실시 예에 따른 스푸핑 패킷 예외 처리의 흐름도를 나타낸 것이다. 단계 S510에서는 스푸핑 패킷의 MAC 주소가 화이트리스트에 존재하는가 여부를 판단한다. 스푸핑 패킷의 MAC 주소가 화이트리스트에 존재하는 경우 단계 S520에서는 예외적으로 해당 패킷이 외부 네트워크로 전송되는 것을 허용한다. 한편, 스푸핑 패킷의 MAC 주소가 화이트리스트에 존재하지 않는 경우 단계 S530에서는 해당 패킷이 외부 네트워크로 전송되는 것을 차단하게 된다.5 is a flowchart illustrating a spoof packet exception processing according to an embodiment of the present invention. In step S510, it is determined whether the MAC address of the spoof packet exists in the white list. If the MAC address of the spoofed packet is present in the whitelist, step S520 exceptionally allows the packet to be transmitted to the external network. On the other hand, if the MAC address of the spoof packet does not exist in the white list, in step S530 it is blocked from transmitting the packet to the external network.

도 6 은 본 발명의 실시 예에 따른 정보 패킷의 데이터 구조를 나타낸 것이다. 에이전트로부터 제어기로 송신되는 정보 패킷은 호스트에 설정된 IP 주소 및 MAC 주소를 포함한다. 정보 패킷은 정보 패킷의 버전 정보(610), 물리적 또는 논리적 네트워크 인터페이스(NIF)의 개수 정보(620) 및 각 인터페이스에 설정된 IP 주소 및 MAC 주소(630, 640 및 650)를 포함한다. IP 주소 및 MAC 주소는 네트워크 인터페이스(NIF)의 개수만큼 저장되게 된다. 이러한 정보 패킷을 수신한 제어기는 정보 패킷으로부터 추출한 IP 주소 및 MAC 주소 정보에 따라 IP-MAC 데이터베이스를 구축하게 된다.6 illustrates a data structure of an information packet according to an embodiment of the present invention. The information packet sent from the agent to the controller includes the IP address and MAC address set in the host. The information packet includes the version information 610 of the information packet, the number information 620 of the physical or logical network interface (NIF), and the IP address and MAC address 630, 640, and 650 set in each interface. The IP address and the MAC address are stored as many as the network interface (NIF). The controller receiving the information packet establishes the IP-MAC database according to the IP address and MAC address information extracted from the information packet.

도 7 은 본 발명의 실시 예에 따른 IP 스푸핑을 차단하는 신호 처리 흐름을 나타낸 것이다. 네트워크에는 2개의 호스트(700a 및 700c)가 존재하며 호스트(700a)는 IP 스푸퍼로 동작하고, 호스트(700c)는 정상적인 호스트로 동작한다. IP 스푸퍼(700a) 및 정상 호스트(700c)에는 각각 에이전트(700b) 및 에이전트(700c)가 설치되어 있다. 한편, 네트워크는 내부 네트워크와 외부 네트워크의 트래픽을 중계하는 제어기(700e) 및 게이트웨이(700f)를 포함한다. 7 illustrates a signal processing flow for blocking IP spoofing according to an embodiment of the present invention. There are two hosts 700a and 700c in the network, the host 700a acts as an IP spoof, and the host 700c acts as a normal host. The agent 700b and the agent 700c are installed in the IP spoof 700a and the normal host 700c, respectively. On the other hand, the network includes a controller 700e and a gateway 700f for relaying traffic between the internal network and the external network.

에이전트(700b)는 IP 스푸퍼(700a)의 IP(210.1.1.1) 및 MAC(00:0E:A6:81:50:F3) 을 포함하는 정보 패킷(720a)를 제어기(700e)로 전송한다. 또한, 에이전트(700d)는 정상 호스트(700c)의 IP(210.1.1.2) 및 MAC(00:0E:A6:81:50:F4)을 포함하는 정보 패킷(730a)를 제어기(700e)로 전송한다. 에이전트(700b 및 700d)는 주기적으로 IP스푸퍼(700a) 및 정상 호스트(700c)의 IP 주소 및 MAC 주소를 조사하여, IP 주소 또는 MAC 주소에 변경이 있는 경우 변경된 정보를 반영한 정보 패킷을 제어기(700e)에 송신할 수 있다.Agent 700b sends an information packet 720a that includes IP 210.1.1.1 of MAC spoof 700a and MAC (00: 0E: A6: 81: 50: F3) to controller 700e. In addition, the agent 700d transmits an information packet 730a including the IP 210.1.1.2 of the normal host 700c and the MAC (00: 0E: A6: 81: 50: F4) to the controller 700e. . The agents 700b and 700d periodically examine the IP addresses and MAC addresses of the IP spoof 700a and the normal host 700c, and, if there is a change in the IP address or MAC address, the controller transmits an information packet reflecting the changed information. 700e).

제어기(700e)는 정보 패킷(720a) 및 정보 패킷(730a)에 기초하여 IP-MAC 데이터베이스(710)를 구축한다. IP-MAC 데이터베이스(710)는 아웃바운드 패킷이 스푸핑된 패킷인지 여부를 판단하는데 사용된다.The controller 700e builds an IP-MAC database 710 based on the information packet 720a and the information packet 730a. The IP-MAC database 710 is used to determine whether the outbound packet is a spoofed packet.

정상 호스트(700c)로부터 전송되는 패킷(730b)에 포함되어 있는 IP 정보는 210.1.1.2이며, MAC 정보는 00:0E:A6:81:50:F4 이다. 210.1.1.2의 IP 정보 및 00:0E:A6:81:50:F4의 MAC 정보는 IP-MAC 데이터베이스(710)에 일치하므로 패킷(730b)은 제어기(700e)를 통과하여 게이트웨이(700f)로 전송되게 된다. 마찬가지로 정상호스트(700c)로부터 전송되는 패킷(730c)은 제어기(700e)를 통과하여 게이트웨이(700f)로 전송되게 된다. The IP information included in the packet 730b transmitted from the normal host 700c is 210.1.1.2, and the MAC information is 00: 0E: A6: 81: 50: F4. Since the IP information of 210.1.1.2 and the MAC information of 00: 0E: A6: 81: 50: F4 match the IP-MAC database 710, the packet 730b passes through the controller 700e to the gateway 700f. Will be. Similarly, the packet 730c transmitted from the normal host 700c is transmitted to the gateway 700f through the controller 700e.

한편, IP 스푸퍼(700a)로부터 전송되는 패킷(720b)은 IP 스푸핑된 패킷으로서 218.1.1.1의 IP 정보 및 00:0E:A6:81:50:F3의 MAC 정보를 포함한다. 제어기(700e)에서는 패킷(720b)의 IP 정보 및 MAC 정보를 추출하여 IP-MAC 데이터베이스(710)와 비교한다. 이 경우 패킷(720b)의 IP 정보 및 MAC 정보에 일치하는 IP 주소 및 MAC 주소가 IP-MAC 데이터베이스(710)에 존재하지 않으므로 패킷(720b)는 외부 네트워크로 전달되지 않고 차단된다. Meanwhile, the packet 720b transmitted from the IP spoof 700a is an IP spoofed packet and includes IP information of 218.1.1.1 and MAC information of 00: 0E: A6: 81: 50: F3. The controller 700e extracts the IP information and the MAC information of the packet 720b and compares it with the IP-MAC database 710. In this case, since the IP address and MAC address corresponding to the IP information and the MAC information of the packet 720b do not exist in the IP-MAC database 710, the packet 720b is blocked without being delivered to the external network.

마찬가지로, 패킷(720c)는 ARP 스푸핑된 패킷으로서 210.1.1.2 의 IP 정보 및 00:0E:A6:81:50:F3의 MAC 정보를 포함한다. IP 스푸퍼의 실제 IP 는 210.1.1.1 로서, 210.1.1.2는 정상 호스트(700c)의 IP 주소이다. 즉, ARP 스푸핑된 패킷인 패킷(720c)의 IP 정보 및 MAC 정보에 일치하는 IP 주소 및 MAC 주소가 IP-MAC 데이터베이스(710)에 존재하지 않으므로 패킷(720c)는 외부 네트워크로 전달되지 않고 차단된다. 이 경우 차단된 패킷(720b 및 720c) 에 포함된 MAC 주소는 00:0E:A6:81:50:F3 이므로 IP-MAC 데이터베이스(710)에서 00:0E:A6:81:50:F3의 MAC 주소에 해당되는 IP 주소를 조회하면 210.1.1.1 이 조회된다. 즉, 차단된 패킷에 포함된 MAC 주소로부터 스푸퍼(700a)의 실제 IP인 210.1.1.1을 추적할 수 있다.Similarly, packet 720c is an ARP spoofed packet and includes IP information of 210.1.1.2 and MAC information of 00: 0E: A6: 81: 50: F3. The actual IP spoof's actual IP is 210.1.1.1, where 210.1.1.2 is the IP address of the normal host 700c. That is, since the IP address and MAC address corresponding to the IP information and MAC information of the packet 720c, which are ARP spoofed packets, do not exist in the IP-MAC database 710, the packet 720c is blocked without being delivered to the external network. . In this case, the MAC address contained in the blocked packets 720b and 720c is 00: 0E: A6: 81: 50: F3, so the MAC address of 00: 0E: A6: 81: 50: F3 in the IP-MAC database 710. If you look up the IP address corresponding to, 210.1.1.1 will be searched. That is, the actual IP of the spoof 700a can be tracked from the MAC address included in the blocked packet.

도 8 은 본 발명의 일 실시예에 따른 스푸핑 방지 장치의 블록도를 도시한 것이다. 에이전트(800a, 800b, 800c 및 800d)는 각각 호스트에 설치되어 호스트의 IP 주소 및 MAC 주소가 포함된 정보 패킷(810a, 810b, 810c 및 810d)을 제어기(820)로 송신하는 역할을 수행한다. 에이전트(800d)는 에이전트(800d)가 설치된 호스트의 IP 주소 또는 MAC 주소가 변경되는지 여부를 주기적으로 검사하는 검사부(800e)를 더 포함할 수 있으며, IP 주소 또는 MAC 주소가 변경된 경우에는 변경된 IP 주소 또는 MAC 주소가 포함된 정보 패킷을 제어기(820)로 송신하게 된다.8 is a block diagram of an anti-spoofing device according to an embodiment of the present invention. Agents 800a, 800b, 800c, and 800d are respectively installed in the host to transmit information packets 810a, 810b, 810c, and 810d including the IP address and MAC address of the host to the controller 820. The agent 800d may further include a checker 800e that periodically checks whether the IP address or the MAC address of the host where the agent 800d is installed is changed. If the IP address or MAC address is changed, the changed IP address is changed. Or, the information packet including the MAC address is transmitted to the controller 820.

제어기(820)는 내부 네트워크와 외부 네트워크의 트래픽을 중계하고, 제어기(340)와 호스트 각각 사이에는 L3 라우팅이 없어 호스트 각각으로부터 전송되는 패킷의 MAC 정보는 호스트의 실제 네트워크 인터페이스의 MAC 정보와 동일하다. The controller 820 relays the traffic of the internal network and the external network, and since there is no L3 routing between the controller 340 and each of the hosts, the MAC information of the packet transmitted from each host is the same as the MAC information of the actual network interface of the host. .

제어기(820)는 하나 이상의 정보패킷(810a, 810b, 810c 및 810d)을 분석하여 하나 이상의 호스트의 IP 주소 및 MAC 주소를 포함하는 IP-MAC 데이터베이스를 구축하는 구축부(820a)를 포함한다. 또한, 제어기(820)는 호스트로부터 전송되는 아웃바운드 패킷에 포함되어 있는 IP 주소 및 MAC 주소를 IP-MAC 데이터베이스와 비교하는 비교부(820b)를 포함한다. The controller 820 includes a construction unit 820a that analyzes one or more information packets 810a, 810b, 810c, and 810d to build an IP-MAC database including IP addresses and MAC addresses of one or more hosts. In addition, the controller 820 includes a comparison unit 820b for comparing the IP address and the MAC address included in the outbound packet transmitted from the host with the IP-MAC database.

제어기(820)는 아웃바운드 패킷의 IP 주소 및 MAC 주소가 IP-MAC 데이터베이스와 일치하지 않는 경우 데이터 패킷을 스푸핑 패킷으로 판단하는 판단부(820c)를 포함한다. 또한, 제어기(820)는 스푸핑 패킷을 필터링하는 필터링부(820d)를 포함한다. 필터링부(820d)는 스푸핑 패킷의 MAC 주소가 화이트리스트에 존재하는 경우 스푸핑 패킷이 외부 네트워크로 전송되는 것을 허용하는 허용부(820e) 및 스푸핑 패킷의 MAC 주소가 화이트리스트에 존재하지 않는 경우 스푸핑 패킷이 외부 네트워크로 전송되는 것을 차단하는 차단부(820f)를 포함한다. 또한, 제어기(820)는 IP-데이터 베이스에서 스푸핑 패킷의 MAC 주소에 해당하는 IP 주소를 조회하여 스푸퍼의 실제 IP 주소를 추적하는 추적부(820g) 를 더 포함할 수 있다.The controller 820 includes a determination unit 820c that determines the data packet as a spoofing packet when the IP address and the MAC address of the outbound packet do not match the IP-MAC database. In addition, the controller 820 includes a filtering unit 820d for filtering the spoof packet. The filtering unit 820d may allow the spoofing packet to be transmitted to the external network if the MAC address of the spoof packet exists in the whitelist, and the spoofing packet if the MAC address of the spoofing packet does not exist in the whitelist. And a blocking unit 820f that blocks transmission to the external network. In addition, the controller 820 may further include a tracking unit 820g for searching the IP address corresponding to the MAC address of the spoof packet in the IP-database to track the actual IP address of the spoof.

본 실시형태의 모듈, 기능 블록들 또는 수단들은 전자 회로, 집적 회로, ASIC (Application Specific Integrated Circuit) 등 공지된 다양한 소자들로 구현될 수 있으며, 각각 별개로 구현되거나 2 이상이 하나로 통합되어 구현될 수 있다.Modules, functional blocks or means of the present embodiment may be implemented in a variety of known elements, such as electronic circuits, integrated circuits, ASICs (Application Specific Integrated Circuit), each may be implemented separately, or two or more may be integrated into one Can be.

이상과 같이 본 발명의 이해를 위하여 그 실시 예를 기술하였으나, 당업자라면 알 수 있듯이, 본 발명은 본 명세서에서 기술된 특정 실시 예에 한정되는 것이 아니라, 본 발명의 범주를 벗어나지 않는 범위 내에서 다양하게 변형, 변경 및 대체될 수 있다. 예를 들어, 문자 대신 기타 LCD 등 디스플레이에 의해 표시될 수 있는 그림, 영상 등에도 본 발명의 기술이 적용될 수 있다. 따라서, 본 발명의 진정한 사상 및 범주에 속하는 모든 변형 및 변경을 특허청구범위에 의하여 모두 포괄하고자 한다.
As described above, the embodiments have been described for the understanding of the present invention, but as will be appreciated by those skilled in the art, the present invention is not limited to the specific embodiments described herein, but variously without departing from the scope of the present invention. May be modified, changed and replaced. For example, the technique of the present invention may be applied to a picture, an image, etc., which may be displayed by a display such as an LCD instead of a character. Therefore, it is intended that the present invention cover all modifications and variations that fall within the true spirit and scope of the present invention.

300 : 호스트 310 : 호스트
320 : 호스트 330 : L2 스위치
340 : 제어기 350 : 게이트웨이
360 : 인터넷 370 : IP-MAC 데이터베이스300: host 310: host
320: host 330: L2 switch
340 controller 350 gateway
360: Internet 370: IP-MAC Database

Claims (11)

하나 이상의 호스트의 IP 주소 및 MAC 주소가 포함된 하나 이상의 정보 패킷을 수신하는 단계;
호스트로부터 전송되는 아웃바운드(Out-Bound) 패킷에 포함된 IP 정보 및 MAC 정보를 구축되어 있는 IP-MAC 데이터베이스와 비교하는 단계;
상기 아웃바운드 패킷의 IP 정보 및 MAC 정보가 상기 IP-MAC 데이터베이스와 일치하지 않는 경우 상기 아웃바운드 패킷을 스푸핑 패킷으로 판단하는 단계; 및
상기 스푸핑 패킷을 필터링하는 단계를 포함하고,
상기 IP-MAC 데이터베이스는 상기 하나 이상의 정보 패킷에 포함된 상기 하나 이상의 호스트의 IP 주소 및 MAC 주소를 포함하며,
상기 스푸핑 패킷을 필터링하는 단계는,
상기 스푸핑 패킷의 MAC 정보가 화이트리스트에 존재하는 경우 상기 스푸핑 패킷을 허용하는 단계; 및
상기 스푸핑 패킷의 MAC 정보가 화이트리스트에 존재하지 않는 경우 상기 스푸핑 패킷을 차단하는 단계를 포함하는
스푸핑 방지 방법.
Receiving one or more information packets including IP addresses and MAC addresses of one or more hosts;
Comparing the IP information and the MAC information included in the out-bound packet transmitted from the host with the constructed IP-MAC database;
Determining the outbound packet as a spoofing packet when the IP information and the MAC information of the outbound packet do not match the IP-MAC database; And
Filtering the spoofed packet;
The IP-MAC database includes the IP address and MAC address of the one or more hosts included in the one or more information packets,
Filtering the spoofed packet,
Allowing the spoofing packet if the MAC information of the spoofing packet is present in the whitelist; And
Blocking the spoofing packet if the MAC information of the spoofing packet is not present in the whitelist.
How to prevent spoofing.
제 1 항에 있어서,
상기 IP-MAC 데이터베이스에서 상기 스푸핑 패킷의 MAC 정보에 해당하는 IP 주소를 조회하여, 스푸퍼의 실제 IP 주소를 추적하는 단계를 더 포함하는
스푸핑 방지 방법.
The method of claim 1,
Querying the IP address corresponding to the MAC information of the spoofing packet in the IP-MAC database, and tracking the actual IP address of the spoof.
How to prevent spoofing.
삭제delete 제 1 항에 있어서,
상기 수신하는 단계는,
상기 하나 이상의 정보 패킷을 상기 하나 이상의 호스트에 설치된 하나 이상의 에이전트로부터 수신하는 단계를 포함하는
스푸핑 방지 방법.
The method of claim 1,
Wherein the receiving comprises:
Receiving the one or more information packets from one or more agents installed on the one or more hosts.
How to prevent spoofing.
제 4 항에 있어서,
상기 수신하는 단계는,
상기 하나 이상의 호스트 각각의 IP 주소 또는 MAC 주소가 변경되는지 여부가 상기 하나 이상의 에이전트에 의해 주기적으로 검사되는 단계; 및
IP 주소 또는 MAC 주소가 변경된 경우 변경된 IP 주소 또는 변경된 MAC 주소가 포함된 하나 이상의 정보 패킷을 상기 하나 이상의 에이전트로부터 수신하는 단계를 포함하는
스푸핑 방지 방법.
The method of claim 4, wherein
Wherein the receiving comprises:
Periodically checking by the one or more agents whether the IP address or MAC address of each of the one or more hosts is changed; And
Receiving from the at least one agent one or more information packets containing a changed IP address or a changed MAC address if the IP address or MAC address has changed.
How to prevent spoofing.
하나 이상의 호스트에 설치된 하나 이상의 에이전트 및 제어기를 포함하는 스푸핑 방지 장치로서,
상기 하나 이상의 에이전트는, 상기 하나 이상의 호스트의 IP 주소 및 MAC 주소가 포함된 하나 이상의 정보 패킷을 상기 제어기로 송신하고,
상기 제어기는,
상기 하나 이상의 정보 패킷을 분석하여 상기 하나 이상의 호스트의 IP 주소 및 MAC 주소를 포함하는 IP-MAC 데이터베이스를 구축하는 구축부;
호스트로부터 전송되는 아웃바운드 패킷에 포함된 IP 정보 및 MAC 정보를 상기 IP-MAC 데이터베이스와 비교하는 비교부;
상기 아웃바운드 패킷의 IP 정보 및 MAC 정보가 상기 IP-MAC 데이터베이스와 일치하지 않는 경우 상기 아웃바운드 패킷을 스푸핑 패킷으로 판단하는 판단부; 및
상기 스푸핑 패킷을 필터링하는 필터링부를 포함하되,
상기 필터링부는,
상기 스푸핑 패킷의 MAC 정보가 화이트리스트에 존재하는 경우 상기 스푸핑 패킷을 허용하는 허용부; 및
상기 스푸핑 패킷의 MAC 정보가 화이트리스트에 존재하지 않는 경우 상기 스푸핑 패킷을 차단하는 차단부를 포함하는
스푸핑 방지 장치.
An anti-spoofing device comprising one or more agents and controllers installed on one or more hosts,
The one or more agents send one or more information packets including the IP address and MAC address of the one or more hosts to the controller,
The controller,
A construction unit for analyzing the one or more information packets and constructing an IP-MAC database including IP addresses and MAC addresses of the one or more hosts;
A comparison unit comparing the IP information and the MAC information included in the outbound packet transmitted from the host with the IP-MAC database;
A determination unit that determines the outbound packet as a spoofing packet when the IP information and the MAC information of the outbound packet do not match the IP-MAC database; And
Including a filtering unit for filtering the spoofed packet,
The filtering unit,
An allowance unit allowing the spoofing packet when the MAC information of the spoofing packet is present in the white list; And
And a blocking unit to block the spoofing packet when the MAC information of the spoofing packet does not exist in the white list.
Anti-spoofing device.
제 6 항에 있어서,
상기 제어기는,
상기 IP-MAC 데이터베이스에서 상기 스푸핑 패킷의 MAC 정보에 해당하는 IP 주소를 조회하여, 스푸퍼의 실제 IP 주소를 추적하는 추적부를 더 포함하는
스푸핑 방지 장치.
The method according to claim 6,
The controller,
The IP-MAC database further includes a tracking unit for searching the IP address corresponding to the MAC information of the spoof packet to track the actual IP address of the spoof.
Anti-spoofing device.
삭제delete 제 6 항에 있어서,
상기 하나 이상의 에이전트 각각은,
상기 하나 이상의 호스트 각각의 IP 주소 또는 MAC 주소가 변경되는지 여부를 주기적으로 검사하는 검사부를 포함하고,
상기 하나 이상의 에이전트는 IP 주소 또는 MAC 주소가 변경된 경우 변경된 IP 주소 또는 변경된 MAC 주소가 포함된 하나 이상의 정보 패킷을 상기 제어기로 송신하는
스푸핑 방지 장치.
The method according to claim 6,
Each of the one or more agents,
A checker periodically checking whether an IP address or a MAC address of each of the one or more hosts is changed,
The at least one agent transmits one or more information packets including the changed IP address or the changed MAC address to the controller when the IP address or MAC address is changed.
Anti-spoofing device.
삭제delete 삭제delete
KR1020100003462A 2010-01-14 2010-01-14 Method and apparatus for preventing spoofing KR101080734B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020100003462A KR101080734B1 (en) 2010-01-14 2010-01-14 Method and apparatus for preventing spoofing
PCT/KR2011/000231 WO2011087285A2 (en) 2010-01-14 2011-01-13 Spoofing prevention method and apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100003462A KR101080734B1 (en) 2010-01-14 2010-01-14 Method and apparatus for preventing spoofing

Publications (2)

Publication Number Publication Date
KR20110083300A KR20110083300A (en) 2011-07-20
KR101080734B1 true KR101080734B1 (en) 2011-11-07

Family

ID=44304814

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100003462A KR101080734B1 (en) 2010-01-14 2010-01-14 Method and apparatus for preventing spoofing

Country Status (2)

Country Link
KR (1) KR101080734B1 (en)
WO (1) WO2011087285A2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2600648A1 (en) * 2011-11-30 2013-06-05 British Telecommunications public limited company Rogue access point detection

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080072289A1 (en) 2004-07-09 2008-03-20 Osamu Aoki Unauthorized Connection Detection System and Unauthorized Connection Detection Method

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080281716A1 (en) * 2005-02-18 2008-11-13 Duaxes Corporation Communication Control Device
KR100807933B1 (en) * 2006-11-28 2008-03-03 엘지노텔 주식회사 System and method for detecting arp spoofing and computer readable storage medium storing program for detecting arp spoofing
KR100863313B1 (en) * 2007-02-09 2008-10-15 주식회사 코어세스 Apparatus and Method for automatically blocking spoofing by address resolution protocol
KR100920528B1 (en) * 2008-11-27 2009-10-09 (주)넷맨 Method and system of detecting and defensing arp spoofing

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080072289A1 (en) 2004-07-09 2008-03-20 Osamu Aoki Unauthorized Connection Detection System and Unauthorized Connection Detection Method

Also Published As

Publication number Publication date
KR20110083300A (en) 2011-07-20
WO2011087285A2 (en) 2011-07-21
WO2011087285A3 (en) 2011-12-01

Similar Documents

Publication Publication Date Title
US8295188B2 (en) VoIP security
KR100663546B1 (en) A malignant bot confrontation method and its system
KR101231975B1 (en) Method of defending a spoofing attack using a blocking server
KR101424490B1 (en) Reverse access detecting system and method based on latency
CN1968272B (en) Method used for remitting denial of service attack in communication network and system
KR101217647B1 (en) Method and apparatus for defending against denial of service attacks in IP networks based on specified source/destination IP address pairs
US20070157306A1 (en) Network threat detection and mitigation
EP1722535A2 (en) Method and apparatus for identifying and disabling worms in communication networks
JP4768020B2 (en) Method of defending against DoS attack by target victim self-identification and control in IP network
RU2480937C2 (en) System and method of reducing false responses when detecting network attack
JP2011234331A (en) Method and apparatus for detecting spoofed network information
Wang et al. Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks
Al‐Hammouri et al. ReCAP: a distributed CAPTCHA service at the edge of the network to handle server overload
US9985985B2 (en) Method of distributed denial of service (DDos) and hacking protection for internet-based servers using a private network of internet servers by executing computer-executable instructions stored on a non-transitory computer-readable medium
Salim et al. Preventing ARP spoofing attacks through gratuitous decision packet
WO2005026872A2 (en) Internal lan perimeter security appliance composed of a pci card and complementary software
Waichal et al. Router attacks-detection and defense mechanisms
KR101065800B1 (en) Network management apparatus and method thereof, user terminal for managing network and recoding medium thereof
JP4014599B2 (en) Source address spoofed packet detection device, source address spoofed packet detection method, source address spoofed packet detection program
KR101080734B1 (en) Method and apparatus for preventing spoofing
JP2010507871A (en) Method and apparatus for overriding unwanted traffic accusations in one or more packet networks
JP2004248185A (en) System for protecting network-based distributed denial of service attack and communication device
KR20170109949A (en) Method and apparatus for enhancing network security in dynamic network environment
JP2004164107A (en) Unauthorized access monitoring system
KR101090815B1 (en) Network attack detection

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20141103

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20151102

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20161101

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20171101

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20181101

Year of fee payment: 8