KR101088868B1 - 네트워크 스위치의 에이알피 패킷 처리 방법 - Google Patents

네트워크 스위치의 에이알피 패킷 처리 방법 Download PDF

Info

Publication number
KR101088868B1
KR101088868B1 KR1020100065158A KR20100065158A KR101088868B1 KR 101088868 B1 KR101088868 B1 KR 101088868B1 KR 1020100065158 A KR1020100065158 A KR 1020100065158A KR 20100065158 A KR20100065158 A KR 20100065158A KR 101088868 B1 KR101088868 B1 KR 101088868B1
Authority
KR
South Korea
Prior art keywords
arp
packet
address
mac address
received
Prior art date
Application number
KR1020100065158A
Other languages
English (en)
Inventor
박익동
Original Assignee
(주)한드림넷
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)한드림넷 filed Critical (주)한드림넷
Priority to KR1020100065158A priority Critical patent/KR101088868B1/ko
Application granted granted Critical
Publication of KR101088868B1 publication Critical patent/KR101088868B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

네트워크 스위치의 ARP 패킷처리방법이 개시된다. 본 발명의 실시예에 따른 네트워크 스위치의 ARP 패킷처리방법은, 적어도 하나의 단말로부터 수신된 패킷이 탐지 차단 정책에 의해 차단된 ARP 패킷인 경우 수신된 ARP 패킷의 송신 MAC 주소가 ARP 테이블에의 등록여부를 확인하여 등록 안된 경우 상기 수신된 ARP 패킷 내 송신 MAC 주소를 탐지차단 테이블에 등록하고, 탐지 차단 정책에 의해 차단된 ARP 패킷이 아니고 자신의 MAC 주소를 목적으로 하는 ARP 응답 패킷인 경우 ARP 응답 패킷의 송신 MAC 주소 및 송신 IP 주소가 ARP 요청 테이블에의 등록여부를 확인하고 등록된 경우 ARP 응답 패킷의 송신 MAC 주소 및 송신 IP 주소를 ARP 응답 테이블에 기록하며, 자신의 MAC 주소를 목적으로 하는 ARP 응답 패킷이 아닌 경우 수신된 패킷의 송신 IP 주소가 ARP 테이블에의 존재여부를 확인하고 존재하지 않는 경우 수신된 패킷의 송신 MAC 주소 및 송신 IP 주소를 ARP 요청 테이블에 등록하고, 존재하는 경우 수신된 패킷의 송신 MAC 주소가 ARP 테이블에의 포함 여부를 확인하고, 포함된 경우 수신된 패킷의 송신 MAC 주소 및 송신 IP 주소를 이용하여 ARP 테이블을 갱신하며, 포함되지 않은 경우 수신된 패킷의 송신 MAC 주소를 탐지차단 테이블에 등록한다.

Description

네트워크 스위치의 에이알피 패킷 처리 방법{METHOD OF PROCESSING ARP PACKET IN NETWORK SWITCH}
본 발명은 네트워크 스위치의 ARP 패킷처리방법에 관한 것으로, 더욱 자세하게는 ARP 패킷을 이용하여 ARP 테이블을 생성 및/또는 갱신하고 ARP 테이블을 기반으로 ARP 스푸핑(Spoofing) 공격을 실시간 탐지하여 차단하고 ARP 스푸핑 공격을 받은 단말에 ARP 요청 패킷을 전송하여 ARP 캐시 테이블을 복구하는 기술에 관한 것이다.
ARP 스푸핑 공격은 로컬 네트워크(LAN)에서 사용하는 ARP 프로토콜의 허점을 이용하여 자신의 MAC(Media Access Control) 주소를 다른 컴퓨터의 MAC 주소인 것처럼 속이는 공격이다. ARP 스푸핑 공격은 ARP 캐시 정보를 임의로 바꾼다고 하여 ARP 캐시 포이스닝(Cache Poisoning) 공격이라고도 한다.
네트워크 스위치 환경에서는 해당 MAC을 가진 컴퓨터에게 패킷이 전달되므로 더미 환경에 비해 쉽게 스니핑(Sniffing)이 되지 않는다. 하지만 공격자들은 자신의 MAC 주소를 라우터 또는 스니핑 하고자 하는 대상 서버의 MAC 주소로 위장(ARP 스푸핑)하여 네트워크 스위치 환경에서도 패킷을 스니핑할 수 있게 되었다.
나아가 ARP 스푸핑 공격을 통하여 단순히 패킷을 가로채어 훔쳐보는 스니핑 수준이 아니라 가로챈 패킷을 변조한 후에 재전송하는 공격에도 사용되고 있다.
ARP 스푸핑 공격을 탐지하여 차단하고 ARP 스푸핑 공격을 받은 단말이 ARP 캐시 테이블을 복구하도록 한 네트워크 스위치의 ARP 패킷처리방법이 제안된다.
본 발명의 일 양상에 따른 네트워크 스위치의 ARP 패킷처리방법은, 탐지차단 테이블에 기초하여, 적어도 하나의 단말로부터 수신된 패킷이 탐지 차단 정책에 의해 차단된 ARP 패킷인가를 확인하는 단계; 상기 탐지 차단 정책에 의해 차단된 ARP 패킷인 경우 상기 수신된 ARP 패킷의 송신 MAC 주소가 ARP 테이블에의 등록 여부를 확인하여 등록 안된 경우 상기 수신된 ARP 패킷 내 송신 MAC 주소를 탐지차단 테이블에 등록하고, 상기 탐지 차단 정책에 의해 차단된 ARP 패킷이 아닌 경우 상기 수신된 패킷이 자신의 MAC 주소를 목적으로 하는 ARP 응답 패킷인가를 확인하는 단계; 상기 수신된 패킷이 자신의 MAC 주소를 목적으로 하는 ARP 응답 패킷인 경우 상기 ARP 응답 패킷의 송신 MAC 주소 및 송신 IP 주소가 ARP 요청 테이블에의 등록여부를 확인하여 등록된 경우 상기 ARP 응답 패킷의 송신 MAC 주소 및 송신 IP 주소를 ARP 응답 테이블에 기록하며, 상기 수신된 패킷이 자신의 MAC 주소를 목적으로 하는 ARP 응답 패킷이 아닌 경우 상기 수신된 패킷의 송신 IP 주소가 ARP 테이블에의 존재 여부를 확인하는 단계; 상기 수신된 패킷이 자신의 MAC 주소를 목적으로 하는 ARP 응답 패킷이 아닌 경우 상기 수신된 패킷의 송신 IP 주소가 ARP 테이블에의 존재 여부를 확인한 결과, 존재하지 않는 경우 상기 수신된 패킷의 송신 MAC 주소 및 송신 IP 주소를 ARP 요청 테이블에 등록하고, 존재하는 경우 상기 수신된 패킷의 송신 MAC 주소가 ARP 테이블에의 포함 여부를 확인하는 단계; 및 상기 수신된 패킷의 송신 IP 주소가 ARP 테이블에 존재하여 상기 수신된 패킷의 송신 MAC 주소의 ARP 테이블에의 포함 여부를 확인한 결과, 포함된 경우 상기 수신된 패킷의 송신 MAC 주소 및 송신 IP 주소를 이용하여 ARP 테이블을 갱신하며, 포함되지 않은 경우 상기 수신된 패킷의 송신 MAC 주소를 탐지차단 테이블에 등록하는 단계를 포함한다.
상기 탐지차단 테이블은, 다수의 차단 ARP 패킷정보를 포함하되, 각각의 차단 ARP 패킷 정보는 송신 MAC 주소, 송신 IP 주소, 수신 IP 주소, 패브릭등록정보, ARP복구요청정보, 마지막 갱신 시간 중 적어도 하나를 포함할 수 있다.
상기 탐지 차단 정책은, 차단 ARP 패킷 정보 내 송신 MAC 주소를 갖는 ARP 패킷을 차단하여 해당 ARP 패킷이 전송되지 않도록 하는 것일 수 있다.
상기 탐지 차단 정책에 의해 차단된 ARP 패킷인 경우 상기 수신된 ARP 패킷의 송신 MAC 주소가 ARP 테이블에의 등록여부를 확인하여 등록 안된 경우 상기 수신된 ARP 패킷 내 송신 MAC 주소를 탐지차단 테이블에 등록하고, 상기 탐지 차단 정책에 의해 차단된 ARP 패킷이 아닌 경우 상기 수신된 패킷이 자신의 MAC 주소를 목적으로 하는 ARP 응답 패킷인가를 확인하는 단계는, 상기 탐지 차단 정책에 의해 차단된 ARP 패킷인 경우 상기 수신된 ARP 패킷의 송신 MAC 주소가 ARP 테이블에의 등록여부를 확인하여 등록된 경우, 상기 수신된 ARP 패킷의 내용을 변경하지 않고 포워딩하는 단계를 포함할 수 있다.
본 발명의 다른 양상에 따른 탐지차단 테이블 관리방법은, 탐지차단 테이블에 등록된 차단 ARP 패킷정보가 ARP 패킷에 포함되어 있는가를 확인하는 단계; 상기 확인결과 포함된 경우, 상기 차단 ARP 패킷정보를 포함한 ARP 패킷을 수신한 단말에게 ARP 복구 요청하였는가를 확인하는 단계; 및 상기 차단 ARP 패킷정보를 포함한 ARP 패킷을 수신한 단말에게 ARP 복구 요청하지 않은 경우 차단 ARP 패킷정보 내 송신 IP 주소와 수신 IP 주소를 이용하여 ARP 복구를 수행하고, ARP 복구 요청한 경우 탐지차단 최종 갱신 시간이 관리자가 설정한 시간을 초과하였는가를 확인하여 초과한 경우 해당 차단 ARP 패킷정보를 탐지차단 테이블에서 삭제하는 단계를 포함한다.
상기 차단 ARP 패킷정보를 포함한 ARP 패킷을 수신한 단말에게 ARP 복구 요청하지 않은 경우 차단 ARP 패킷정보 내 송신 IP 주소와 수신 IP 주소를 이용하여 ARP 복구를 수행하고, ARP 복구 요청한 경우 탐지차단 최종 갱신 시간이 관리자가 설정한 시간을 초과하였는가를 확인하여 초과한 경우 해당 차단 ARP 패킷정보를 탐지차단 테이블에서 삭제하는 단계는, ARP 테이블에서 상기 차단 ARP 패킷정보의 송신 IP 주소에 해당되는 송신 MAC 주소를 검색하는 단계; 와 상기 차단 ARP 패킷정보 내 송신 IP 주소, 수신 IP 주소 및 상기 검색된 송신 MAC 주소를 포함한 ARP 패킷을 생성하여 브로드캐스팅 하는 단계를 포함한다.
본 발명의 다른 양상에 따른 네트워크 스위치의 ARP 요청 및 응답 관리방법은, 탐지차단정책에 의해 차단되는 ARP 패킷을 수신한 단말에게, ARP 요청 패킷을 전송하였는가를 확인하는 단계; 상기 ARP 요청 패킷을 전송하지 않은 경우 상기 탐지차단정책에 의해 차단되는 ARP 패킷을 수신한 단말의 송신 IP 주소를 수신 IP 주소로, 자신의 MAC 주소 및 IP 주소를 송신 MAC 주소 및 IP 주소로 하여 ARP 요청 패킷을 생성해서 브로드캐스팅하며, ARP 요청 패킷을 전송한 경우 상기 탐지차단정책에 의해 차단되는 ARP 패킷의 송신 IP 주소가 ARP 응답 테이블에 저장되어 있는가를 확인하는 단계; 상기 탐지차단정책에 의해 차단되는 ARP 패킷의 송신 IP 주소가 ARP 응답 테이블에 저장되어 있지 않은 경우, 상기 탐지차단정책에 의해 차단되는 ARP 패킷의 송신 MAC 주소를 탐지 차단 테이블에 등록하며, 상기 탐지차단정책에 의해 차단되는 ARP 패킷의 송신 IP 주소가 ARP 응답 테이블에 저장되어 있는 경우 ARP 응답패킷이 1건인가를 확인하는 단계; 상기 ARP 응답패킷이 1건이 아닌 경우 설정된 우선순위에 따라 ARP 응답패킷을 처리하고, 상기 ARP 응답 패킷이 1건인 경우 ARP 응답 패킷 내 송신 IP 주소 및 송신 MAC 주소를 ARP 테이블에 신규등록하거나 갱신하는 단계를 포함한다.
본 발명의 네트워크 스위치의 ARP 패킷처리방법에 따르면, ARP 패킷을 이용하여 ARP 테이블을 생성 및/또는 갱신하고 ARP 테이블을 기반으로 ARP 스푸핑(Spoofing) 공격을 실시간 탐지하여 차단하고 ARP 스푸핑 공격을 받은 단말에 ARP 요청 패킷을 전송하여 ARP 캐시 테이블을 복구할 수 있도록 할 수 있다.
도 1은 본 발명의 실시예에 따른 네트워크 스위치의 ARP 패킷처리방법에 대한 플로차트이다.
도 2는 본 발명의 실시예에 따른 네트워크 스위치의 탐지차단 테이블 관리방법에 대한 플로차트이다.
도 3은 본 발명의 실시예에 따른 네트워크 스위치의 ARP 요청 및 응답 관리방법에 대한 플로차트이다.
도 4는 본 발명의 실시예에 따른 네트워크 스위치의 ARP 복구방법에 대한 플로차트이다.
이하에서는 첨부한 도면을 참조하여 본 발명의 실시예를 상세히 설명한다. 본 발명의 실시예를 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 또한, 후술 되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1은 본 발명의 실시예에 따른 네트워크 스위치의 ARP 패킷처리방법에 대한 플로차트이다.
도시된 바와 같이, 네트워크 스위치는 탐지차단 테이블에 기초하여, 적어도 하나의 단말로부터 수신된 패킷이 탐지 차단 정책에 의해 차단된 ARP 패킷인가를 확인한다(S1). 이때, 탐지차단 테이블은 다수의 차단 ARP 패킷정보를 포함하며, 각각의 차단 ARP 패킷 정보는 송신 MAC 주소, 송신 IP 주소, 수신 IP 주소, 패브릭등록정보, ARP복구요청정보, 마지막 갱신 시간 등을 포함하며, 탐지 차단 정책은 차단 ARP 패킷 정보 내 송신 MAC 주소를 갖는 ARP 패킷을 차단하여 스위칭(전송)이 일어나지 않도록 하는 것을 나타내며, 이렇게 차단된 ARP 패킷을 탐지차단 정책에 의해 차단된 ARP 패킷이라 한다. 이러한 탐지차단 테이블, 차단 ARP 패킷 정보, 탐지 차단 정책 및 탐지차단 정책에 의해 차단된 ARP 패킷의 정의는 본 발명의 상세한 설명 전체에서 동일한 의미로 사용된다.
확인결과 탐지차단 정책에 의해 차단된 ARP 패킷인 경우 네트워크 스위치는 수신된 ARP 패킷의 송신 MAC 주소가 ARP 테이블에 등록된 주소인가를 확인한다(S2). 이를 수행하는 이유는 ARP 패킷 내의 송신 MAC 주소가 ARP 테이블에 존재하는지를 검사하여 정상적인 ARP 패킷인가를 확인하기 위해서이다.
네트워크 스위치는 ARP 패킷의 송신 MAC 주소가 ARP 테이블에 등록된 경우 수신된 ARP 패킷의 내용을 변경하지 않고 포워딩한다(S3). 이는 정상적인 ARP 패킷이기 때문이다.
반면 ARP 패킷의 송신 MAC 주소가 ARP 테이블에 등록되지 않은 경우 네트워크 스위치는 ARP 패킷 내 송신 MAC 주소를 탐지차단 테이블에 등록한다(S4). 이는 송신 MAC 주소와 송신 IP 주소를 위조하여 상대방에게 보내는 ARP 스푸핑 공격에 해당될 수 있기 때문이다. 또한 탐지차단 테이블에 등록함으로써 운용자가 차단된 ARP 패킷의 차단 로그를 열람할 수 있게 된다.
S2 단계의 확인결과 수신된 ARP 패킷이 탐지차단 정책에 의해서 차단된 ARP 패킷이 아닌 경우, 네트워크 스위치는 수신된 패킷이 자신의 MAC 주소를 목적으로 하는 ARP 응답 패킷인가를 확인한다(S5). 이때, ARP 응답 패킷인가 여부는 수신된 ARP 패킷의 프로토콜의 구조에서 패킷 타입정보를 통하여 확인할 수 있다.
S5 단계의 확인결과 수신된 패킷이 자신의 MAC 주소를 목적으로 하는 ARP 응답 패킷인 경우 네트워크 스위치는 ARP 응답 패킷의 송신 MAC 주소 및 송신 IP 주소가 ARP 요청 테이블에 등록되어 있는가를 확인한다(S6). 등록되어 있는 경우 네트워크 스위치는 ARP 응답 패킷의 송신 MAC 주소 및 송신 IP 주소를 ARP 응답 테이블에 기록한다(S7).
S5 단계의 확인결과 수신된 패킷이 자신의 MAC 주소를 목적으로 하는 ARP 응답 패킷이 아닌 경우, 네트워크 스위치는 수신된 패킷의 송신 IP 주소가 ARP 테이블에 존재하는가를 확인한다(S8). 확인결과 수신된 패킷의 송신 IP 주소가 ARP 테이블에 존재하지 않는 경우, 네트워크 스위치는 ARP 요청 테이블에 수신된 패킷의 송신 MAC 주소 및 송신 IP 주소를 등록한다(S9). 이는 새로운 ARP 패킷이 네트워크 스위치에 수신되는 경우에 해당 되며, ARP 요청 테이블에 등록하는 이유는 새로운 ARP 패킷이 정상적인지 확인하기 위해서 해당 IP로 ARP 요청 패킷을 보내, 정상적으로 응답하는지를 확인하기 위해서이다. 반면 확인결과 수신된 패킷의 송신 IP 주소가 ARP 테이블에 존재하는 경우 네트워크 스위치는 수신된 패킷의 송신 MAC 주소가 ARP 테이블에 포함되어 있는가를 확인한다(S10). 확인결과 수신된 패킷의 송신 MAC 주소가 ARP 테이블에 포함된 경우, 네트워크 스위치는 수신된 패킷의 송신 MAC 주소 및 송신 IP 주소를 이용하여 ARP 테이블을 갱신한다(S11). 반면 수신된 패킷의 송신 MAC 주소가 ARP 테이블 내에 포함되어 있지 않은 경우, 네트워크 스위치는 수신된 패킷의 송신 MAC 주소를 탐지차단 테이블에 등록한다(S12).
도 2는 본 발명의 실시예에 따른 탐지차단 테이블 관리방법에 대한 플로차트이다. 이때, 탐지차단 테이블 관리방법은 탐지차단정책에 따라 탐지차단 테이블 내에 차단 ARP 패킷정보가 있는 경우에 설정 주기마다 수행될 수 있다.
도시된 바와 같이, 네트워크 스위치는 탐지차단 테이블에 등록된 차단 ARP 패킷정보가 ARP 패킷 내에 포함되어 있는가를 확인한다(S20).
네트워크 스위치는 탐지차단 테이블 내에 등록된 차단 ARP 패킷정보가 포함되어 있는 경우, 차단 ARP 패킷정보를 포함한 ARP 패킷을 수신한 단말 즉 ARP 스푸핑 공격을 받은 단말에게 ARP 복구 요청하였는가를 확인한다(S21). 확인결과 차단 ARP 패킷정보를 포함한 ARP 패킷을 수신한 단말에게 ARP 복구 요청하지 않은 경우, 네트워크 스위치는 차단 ARP 패킷정보 내 송신 IP 주소와 수신 IP 주소를 이용하여 ARP 복구를 수행한다(S22). 이때, 차단 ARP 패킷정보 내 송신 IP 주소와 수신 IP 주소를 이용하여 ARP 복구를 수행은 도 4에 도시된 ARP 복구 방법에서 후술하기로 한다.
S22 단계의 확인결과 차단 ARP 패킷정보를 포함한 ARP 패킷을 수신한 단말에게 ARP 복구 요청한 경우 네트워크 스위치는 탐지차단 최종 갱신 시간이 관리자가 설정한 시간을 초과하였는가를 확인한다(S23). 확인결과 초과한 경우 네트워크 스위치는 해당 차단 ARP 패킷정보를 탐지차단 테이블에서 삭제한다(S23).
도 3은 본 발명의 실시예에 따른 네트워크의 ARP 요청 및 응답 관리방법에 대한 플로차트이다.
도시된 바와 같이 네트워크 스위치는 탐지차단정책에 의해 차단되는 ARP 패킷을 수신한 단말에게, ARP 요청 패킷을 전송하였는가를 확인한다(S30). 확인결과 ARP 요청 패킷을 전송하지 않은 경우, 네트워크 스위치는 탐지차단정책에 의해 차단되는 ARP 패킷을 수신한 단말의 송신 IP 주소를 수신 IP 주소로, 자신(네트워크 스위치)의 MAC 주소 및 IP 주소를 송신 MAC 주소 및 IP 주소로 하여 ARP 요청 패킷을 생성하고 생성된 ARP 요청 패킷을 브로드캐스팅 한다(S31).
S30 단계의 확인결과 ARP 요청 패킷을 전송한 경우 네트워크 스위치는 탐지차단정책에 의해 차단되는 ARP 패킷 내 송신 IP 주소가 ARP 응답 테이블에 저장되어 있는가를 확인한다(S32). 확인결과 탐지차단정책에 의해 차단되는 ARP 패킷 내 송신 IP 주소가 ARP 응답 테이블에 저장되어 있지 않은 경우, 네트워크 스위치는 탐지차단정책에 의해 차단되는 ARP 패킷 내 송신 MAC 주소를 탐지 차단 테이블에 등록한다(S33). 반면 탐지차단정책에 의해 차단되는 ARP 패킷 내 송신 IP 주소가 ARP 응답 테이블에 저장되어 있는 경우, 네트워크 스위치는 응답패킷이 1건인가를 확인한다(S34). 이때 응답패킷이 1건인가는 ARP 패킷 내 ARP 타입 값을 통해서 확인가능하며, 이 응답패킷이 1건인가의 확인은 하나의 송신 IP주소에 대해서 여러 개의 ARP 응답 패킷이 수신된 경우 ARP 스푸핑 공격이 발생되고 있다는 증거일 수 있기 때문에 중요하다. 확인결과 응답패킷이 1건이 아닌 경우 네트워크 스위치는 설정된 우선순위에 따라 ARP 응답패킷을 처리한다(S35). 이때 설정된 우선순위는 관리자가 정의한 업링크 포트를 통해 수신된 ARP 응답패킷이 다른 포트를 통해 수신된 ARP 응답패킷 보다 우선할 수 있다.
S34 단계의 확인결과 응답패킷이 1건인 경우 네트워크 스위치는 ARP 응답 패킷 내 송신 IP 주소 및 송신 MAC 주소를 ARP 테이블에 신규등록하거나 갱신한다(S36).
도 4는 본 발명의 실시예에 따른 네트워크 스위치의 ARP 복구방법에 대한 플로차트이다.
ARP 스푸핑 공격은 내부 네트워크 구간에서 사용자와 사용자 사이의 정보를 도청하도록 설계되어 있기 때문에, 이에 대한 복구도 양자 간에 ARP 패킷을 송수신하여 복구하도록 전송하는 방식을 사용할 수 있다. 즉, 네트워크 스위치는 ARP 스푸핑 공격을 받은 송수신 단말들에게 ARP 패킷을 송신하고 해당 단말들로부터 수신되는 ARP 응답 패킷으로부터 복구 여부를 확인할 수 있게 된다.
나아가 도 4에 도시된 네트워크 스위치의 ARP 복구방법은 도 2에 도시된 탐지차단 테이블의 관리방법 중 ARP 복구를 수행하는 단계인 S22 단계를 구체한 방법이다. 이때, 네트워크 스위치는 차단 ARP 패킷정보 내 송신 IP 주소와 수신 IP 주소를 이용하여 ARP 복구를 수행할 수 있다.
네트워크 스위치는 ARP 테이블에서 송신 IP 주소에 해당되는 송신 MAC 주소를 검색한다(S50). 네트워크 스위치는 차단 ARP 패킷정보 내 송신 IP 주소, 수신 IP 주소 및 검색된 송신 MAC 주소를 포함한 ARP 패킷을 생성하여(S51), 브로드캐스팅 한다(S52). 이때, 브로드캐스팅 되는 ARP 패킷은 네트워크 스위치의 MAC 주소를 송신 주소로 하고 수신주소를 브로드캐스트 주소로 하는 이더넷 헤더를 가진 ARP 패킷이며, ARP 스푸핑 공격으로 복구되어야 할 송신 IP 주소, 송신 MAC 주소, 수신 IP 주소 및 수신 MAC 주소를 포함한다. 수신 MAC 주소(Target Hardware Addr)는 수신 단말이 기록할 수 있도록 "00:00:00:00:00:00"으로 기록되어 있을 수 있다.
이제까지 본 발명에 대하여 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 따라서 본 발명의 범위는 전술한 실시예에 한정되지 않고 특허청구범위에 기재된 내용 및 그와 동등한 범위 내에 있는 다양한 실시 형태가 포함되도록 해석되어야 할 것이다.

Claims (7)

  1. 탐지차단 테이블에 기초하여, 적어도 하나의 단말로부터 수신된 패킷이 탐지 차단 정책에 의해 차단된 ARP 패킷인가를 확인하는 단계;
    상기 탐지 차단 정책에 의해 차단된 ARP 패킷인 경우 상기 수신된 ARP 패킷의 송신 MAC 주소가 ARP 테이블에의 등록여부를 확인하여 등록 안된 경우 상기 수신된 ARP 패킷 내 송신 MAC 주소를 탐지차단 테이블에 등록하고, 상기 탐지 차단 정책에 의해 차단된 ARP 패킷이 아닌 경우 상기 수신된 패킷이 자신의 MAC 주소를 목적으로 하는 ARP 응답 패킷인가를 확인하는 단계;
    상기 수신된 패킷이 자신의 MAC 주소를 목적으로 하는 ARP 응답 패킷인 경우 상기 ARP 응답 패킷의 송신 MAC 주소 및 송신 IP 주소가 ARP 요청 테이블에의 등록여부를 확인하여 등록된 경우 상기 ARP 응답 패킷의 송신 MAC 주소 및 송신 IP 주소를 ARP 응답 테이블에 기록하며, 상기 수신된 패킷이 자신의 MAC 주소를 목적으로 하는 ARP 응답 패킷이 아닌 경우 상기 수신된 패킷의 송신 IP 주소가 ARP 테이블에의 존재여부를 확인하는 단계;
    상기 수신된 패킷이 자신의 MAC 주소를 목적으로 하는 ARP 응답 패킷이 아닌 경우 상기 수신된 패킷의 송신 IP 주소가 ARP 테이블에의 존재여부를 확인한 결과, 존재하지 않는 경우 상기 수신된 패킷의 송신 MAC 주소 및 송신 IP 주소를 ARP 요청 테이블에 등록하고, 존재하는 경우 상기 수신된 패킷의 송신 MAC 주소가 ARP 테이블에의 포함 여부를 확인하는 단계; 및
    상기 수신된 패킷의 송신 IP 주소가 ARP 테이블에 존재하여 상기 수신된 패킷의 송신 MAC 주소의 ARP 테이블에의 포함여부를 확인한 결과, 포함된 경우 상기 수신된 패킷의 송신 MAC 주소 및 송신 IP 주소를 이용하여 ARP 테이블을 갱신하며, 포함되지 않은 경우 상기 수신된 패킷의 송신 MAC 주소를 탐지차단 테이블에 등록하는 단계를 포함하되,
    상기 탐지 차단 정책에 의해 차단된 ARP 패킷인 경우 상기 수신된 ARP 패킷의 송신 MAC 주소가 ARP 테이블에의 등록여부를 확인하여 등록 안된 경우 상기 수신된 ARP 패킷 내 송신 MAC 주소를 탐지차단 테이블에 등록하고, 상기 탐지 차단 정책에 의해 차단된 ARP 패킷이 아닌 경우 상기 수신된 패킷이 자신의 MAC 주소를 목적으로 하는 ARP 응답 패킷인가를 확인하는 단계는,
    상기 탐지 차단 정책에 의해 차단된 ARP 패킷인 경우 상기 수신된 ARP 패킷의 송신 MAC 주소가 ARP 테이블에의 등록여부를 확인하여 등록된 경우, 상기 수신된 ARP 패킷의 내용을 변경하지 않고 포워딩하는 단계를 포함하는, 네트워크 스위치의 ARP 패킷처리방법.
  2. 제 1 항에 있어서,
    상기 탐지차단 테이블은,
    다수의 차단 ARP 패킷정보를 포함하되, 각각의 차단 ARP 패킷 정보는 송신 MAC 주소, 송신 IP 주소, 수신 IP 주소, 패브릭등록정보, ARP복구요청정보, 마지막 갱신 시간 중 적어도 하나를 포함하는, ARP 패킷처리방법.
  3. 제 2 항에 있어서,
    상기 탐지 차단 정책은,
    차단 ARP 패킷 정보 내 송신 MAC 주소를 갖는 ARP 패킷을 차단하여 해당 ARP 패킷이 전송되지 않도록 하는 것인, ARP 패킷처리방법.
  4. 삭제
  5. 탐지차단 테이블에 등록된 차단 ARP 패킷정보가 ARP 패킷에 포함되어 있는가를 확인하는 단계;
    상기 확인결과 포함된 경우, 상기 차단 ARP 패킷정보를 포함한 ARP 패킷을 수신한 단말에게 ARP 복구 요청하였는가를 확인하는 단계; 및
    상기 차단 ARP 패킷정보를 포함한 ARP 패킷을 수신한 단말에게 ARP 복구 요청하지 않은 경우 차단 ARP 패킷정보 내 송신 IP 주소와 수신 IP 주소를 이용하여 ARP 복구를 수행하고, ARP 복구 요청한 경우 탐지차단 최종 갱신 시간이 관리자가 설정한 시간을 초과하였는가를 확인하여 초과한 경우 해당 차단 ARP 패킷정보를 탐지차단 테이블에서 삭제하는 단계를 포함하는, 네트워크 스위치의 탐지차단 테이블 관리방법.
  6. 제 5 항에 있어서,
    상기 차단 ARP 패킷정보를 포함한 ARP 패킷을 수신한 단말에게 ARP 복구 요청하지 않은 경우 차단 ARP 패킷정보 내 송신 IP 주소와 수신 IP 주소를 이용하여 ARP 복구를 수행하고, ARP 복구 요청한 경우 탐지차단 최종 갱신 시간이 관리자가 설정한 시간을 초과하였는가를 확인하여 초과한 경우 해당 차단 ARP 패킷정보를 탐지차단 테이블에서 삭제하는 단계는,
    ARP 테이블에서 상기 차단 ARP 패킷정보의 송신 IP 주소에 해당되는 송신 MAC 주소를 검색하는 단계; 와
    상기 차단 ARP 패킷정보 내 송신 IP 주소, 수신 IP 주소 및 상기 검색된 송신 MAC 주소를 포함한 ARP 패킷을 생성하여 브로드캐스팅 하는 단계를 포함하는, 네트워크 스위치의 탐지차단 테이블 관리방법.
  7. 탐지차단정책에 의해 차단되는 ARP 패킷을 수신한 단말에게, ARP 요청 패킷을 전송하였는가를 확인하는 단계;
    상기 ARP 요청 패킷을 전송하지 않은 경우 상기 탐지차단정책에 의해 차단되는 ARP 패킷을 수신한 단말의 송신 IP 주소를 수신 IP 주소로, 자신의 MAC 주소 및 IP 주소를 송신 MAC 주소 및 IP 주소로 하여 ARP 요청 패킷을 생성해서 브로드캐스팅하며, ARP 요청 패킷을 전송한 경우 상기 탐지차단정책에 의해 차단되는 ARP 패킷의 송신 IP 주소가 ARP 응답 테이블에 저장되어 있는가를 확인하는 단계;
    상기 탐지차단정책에 의해 차단되는 ARP 패킷의 송신 IP 주소가 ARP 응답 테이블에 저장되어 있지 않은 경우, 상기 탐지차단정책에 의해 차단되는 ARP 패킷의 송신 MAC 주소를 탐지 차단 테이블에 등록하며, 상기 탐지차단정책에 의해 차단되는 ARP 패킷의 송신 IP 주소가 ARP 응답 테이블에 저장되어 있는 경우 ARP 응답패킷이 1건인가를 확인하는 단계;
    상기 ARP 응답패킷이 1건이 아닌 경우 설정된 우선순위에 따라 ARP 응답패킷을 처리하고, 상기 ARP 응답 패킷이 1건인 경우 ARP 응답 패킷 내 송신 IP 주소 및 송신 MAC 주소를 ARP 테이블에 신규등록하거나 갱신하는 단계를 포함하는, 네트워크 스위치의 ARP 요청 및 응답 관리방법.
KR1020100065158A 2010-07-07 2010-07-07 네트워크 스위치의 에이알피 패킷 처리 방법 KR101088868B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100065158A KR101088868B1 (ko) 2010-07-07 2010-07-07 네트워크 스위치의 에이알피 패킷 처리 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100065158A KR101088868B1 (ko) 2010-07-07 2010-07-07 네트워크 스위치의 에이알피 패킷 처리 방법

Publications (1)

Publication Number Publication Date
KR101088868B1 true KR101088868B1 (ko) 2011-12-06

Family

ID=45505485

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100065158A KR101088868B1 (ko) 2010-07-07 2010-07-07 네트워크 스위치의 에이알피 패킷 처리 방법

Country Status (1)

Country Link
KR (1) KR101088868B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113630322A (zh) * 2021-08-02 2021-11-09 迈普通信技术股份有限公司 网络割接方法、装置、网络设备及计算机可读存储介质
WO2022103155A1 (ko) * 2020-11-13 2022-05-19 현대자동차주식회사 다중 링크를 지원하는 통신 시스템에서 arp 동작을 위한 방법 및 장치

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100807933B1 (ko) * 2006-11-28 2008-03-03 엘지노텔 주식회사 에이알피 스푸핑 감지 시스템 및 감지 방법과 그 방법이저장된 컴퓨터 판독가능 저장매체

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100807933B1 (ko) * 2006-11-28 2008-03-03 엘지노텔 주식회사 에이알피 스푸핑 감지 시스템 및 감지 방법과 그 방법이저장된 컴퓨터 판독가능 저장매체

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022103155A1 (ko) * 2020-11-13 2022-05-19 현대자동차주식회사 다중 링크를 지원하는 통신 시스템에서 arp 동작을 위한 방법 및 장치
CN113630322A (zh) * 2021-08-02 2021-11-09 迈普通信技术股份有限公司 网络割接方法、装置、网络设备及计算机可读存储介质
CN113630322B (zh) * 2021-08-02 2023-06-13 迈普通信技术股份有限公司 网络割接方法、装置、网络设备及计算机可读存储介质

Similar Documents

Publication Publication Date Title
KR101270041B1 (ko) Arp 스푸핑 공격 탐지 시스템 및 방법
Handley et al. Internet denial-of-service considerations
US9060019B2 (en) Out-of band IP traceback using IP packets
US8499146B2 (en) Method and device for preventing network attacks
EP3355514B1 (en) Method and device for transmitting network attack defense policy and method and device for defending against network attack
EP2724508B1 (en) Preventing neighbor-discovery based denial of service attacks
CN105991655B (zh) 用于缓解基于邻居发现的拒绝服务攻击的方法和装置
Nordmark et al. FCFS SAVI: First-Come, first-served source address validation improvement for locally assigned IPv6 addresses
CN101589595A (zh) 用于潜在被污染端系统的牵制机制
WO2011140795A1 (zh) 一种防止介质访问控制地址欺骗攻击的方法和交换设备
WO2010022574A1 (zh) 单一地址反向传输路径转发的实现方法及装置
WO2008131658A1 (fr) Procédé et dispositif pour fureter le dhcp
WO2015174100A1 (ja) パケット転送装置、パケット転送システム及びパケット転送方法
WO2012075850A1 (zh) 一种防止mac地址欺骗的方法、系统及交换机
CN105207778A (zh) 一种在接入网关设备上实现包身份标识及数字签名的方法
Data The defense against arp spoofing attack using semi-static arp cache table
US8893271B1 (en) End node discovery and tracking in layer-2 of an internet protocol version 6 network
Feng et al. {Off-Path} Network Traffic Manipulation via Revitalized {ICMP} Redirect Attacks
CN102546587B (zh) 防止网关系统会话资源被恶意耗尽的方法及装置
WO2019096104A1 (zh) 攻击防范
KR101088868B1 (ko) 네트워크 스위치의 에이알피 패킷 처리 방법
US9124625B1 (en) Interdicting undesired service
Aura et al. Effects of mobility and multihoming on transport-protocol security
TW201132055A (en) Routing device and related packet processing circuit
WO2016014178A1 (en) Identifying malware-infected network devices through traffic monitoring

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20141125

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20151117

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20161125

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20171121

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20181126

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20191125

Year of fee payment: 9