KR101174304B1 - Arp 스푸핑 차단 및 방어 방법 - Google Patents

Arp 스푸핑 차단 및 방어 방법 Download PDF

Info

Publication number
KR101174304B1
KR101174304B1 KR1020110136425A KR20110136425A KR101174304B1 KR 101174304 B1 KR101174304 B1 KR 101174304B1 KR 1020110136425 A KR1020110136425 A KR 1020110136425A KR 20110136425 A KR20110136425 A KR 20110136425A KR 101174304 B1 KR101174304 B1 KR 101174304B1
Authority
KR
South Korea
Prior art keywords
arp
packet
address
mac address
spoofing
Prior art date
Application number
KR1020110136425A
Other languages
English (en)
Inventor
서승호
문해은
최은설
Original Assignee
(주)넷맨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)넷맨 filed Critical (주)넷맨
Priority to KR1020110136425A priority Critical patent/KR101174304B1/ko
Application granted granted Critical
Publication of KR101174304B1 publication Critical patent/KR101174304B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/02Addressing or allocation; Relocation
    • G06F12/08Addressing or allocation; Relocation in hierarchically structured memory systems, e.g. virtual memory systems
    • G06F12/0802Addressing of a memory level in which the access to the desired data or data block requires associative addressing means, e.g. caches
    • G06F12/0806Multiuser, multiprocessor or multiprocessing cache systems
    • G06F12/0813Multiuser, multiprocessor or multiprocessing cache systems with a network or matrix configuration
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/903Querying
    • G06F16/90335Query processing
    • G06F16/90344Query processing by using string matching techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Databases & Information Systems (AREA)
  • Signal Processing (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Mathematical Physics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 네트워크에 존재하는 적어도 하나의 단말 장치가 ARP 패킷을 송신할 때에 ARP 정보 수집 장치를 통해 아웃바운드 ARP 패킷을 수집하는 아웃바운드 ARP 패킷 수집 단계와; 적어도 하나의 단말 장치 내의 ARP 스푸핑 판단/차단 장치를 통해 ARP 정보 수집 장치로부터 수집된 아웃바운드 ARP 패킷이 ARP 정상 패킷인지 ARP 스푸핑 패킷인지를 판단하는 아웃바운드 ARP 패킷 판단 단계; 및 ARP 스푸핑 판단/차단 장치를 통해 판단된 아웃바운드 ARP 패킷이 ARP 스푸핑 패킷일 경우에 네트워크 어댑터로 전송되는 것을 차단하는 아웃바운드 ARP 패킷 차단 단계를 포함하는 ARP 스푸핑 차단 방법을 제공한다.
또한, 본 발명은 네트워크에 연결된 저장 매체를 통해 ARP 패킷에 해당하는 획득된 IP 주소와 MAC 주소에 대한 매핑 정보를 저장하는 기준 IP 주소/MAC 주소 저장 단계와; 적어도 하나의 단말 장치 내의 ARP 스푸핑 판단/방어 장치를 통해 적어도 하나의 단말 장치가 ARP 스푸핑 공격을 받아 IP 주소중 특정 IP 주소에 대한 MAC 주소가 변조되었는지를 저장 매체로부터 저장된 매핑 정보와 비교하여 판단하는 MAC 주소 변조 판단 단계; 및 ARP 스푸핑 판단/방어 장치를 통해 특정 IP 주소에 대한 MAC 주소가 변조되었다고 판단할 경우에, 변조된 MAC 주소를 적어도 하나의 단말 장치에 이미 저장된 정상 MAC 주소로 복구시켜, ARP 스푸핑 공격을 받은 네트워크를 정상적으로 사용할 수 있도록 방어하는 정상 MAC 주소 복구 단계를 포함하는 ARP 스푸핑 방어 방법을 제공한다.
또한, 본 발명은 적어도 하나의 단말 장치가 ARP 스푸핑 공격을 받았는지 판단하기 위해 사용되는 기준 IP 주소 및 기준 MAC 주소를 저장하는 기준 IP 주소/MAC 주소 저장 단계와; 적어도 하나의 단말 장치 내의 ARP 스푸핑 판단/방어 장치를 통해 ARP 스푸핑 공격을 받아 ARP 테이블 엔트리 중 특정 IP 주소에 대한 MAC 주소가 변조되었는지를 저장된 기준 IP 주소 및 기준 MAC 주소와 비교하여 판단하는 MAC 주소 변조 판단 단계; 및 ARP 스푸핑 판단/방어 장치를 통해 ARP 테이블 엔트리 중 특정 IP 주소에 대한 MAC 주소가 변조되었다고 판단할 경우에, 변조된 MAC 주소를 기준 MAC 주소로 복구시켜, ARP 스푸핑 공격을 받은 네트워크를 정상적으로 사용할 수 있도록 방어하는 정상 MAC 주소 복구 단계를 포함하는 ARP 스푸핑 방어 방법을 제공한다.

Description

ARP 스푸핑 차단 및 방어 방법{Method for block and defense ARP spoofing}
본 발명은 ARP 스푸핑 차단 및 방어 방법에 관한 것이다.
일반적으로, ARP 스푸핑 공격 방법은 네트워크 하에서 주소 결정 프로토콜(ARP) 메시지를 이용하여 상대방의 데이터 패킷을 중간에서 가로채는 맨 인 더 미들 공격 방법이다.
즉, 로컬 영역 네트워크에서 각 단말장치의 IP 주소와 MAC 주소간의 대응은 ARP 프로토콜을 통해 이루어진다.
여기서, 공격자가 의도적으로 특정 IP 주소와 자신의 MAC 주소로 대응하는 ARP 메시지를 발송하면, 그 메시지를 받은 단말장치는 IP 주소를 공격자 MAC 주소로 인식하게 되고, 해당 IP 주소로 보낼 패킷을 공격자로 전송하게 된다.
이때, 공격자는 그 패킷을 원하는 대로 변조한 다음 원래 목적지 MAC 주소로 발송하는 공격을 할 수도 있다.
일예로, 흔히 사용되는 하나의 공격 방식은 게이트웨이 IP를 스푸핑하는 것으로, 이 경우 외부로 전송되는 모든 패킷이 공격자에 의해 가로채거나 변조될 수가 있다.
또한, 다른 하나의 공격 방식은 두 노드에 각각 ARP 스푸핑을 하여 두 단말장치의 통신을 중간에서 조작하는 기법도 자주 사용된다.
따라서, 최근에는 ARP 스푸핑 공격에 방어하여 MAC 주소를 정상적으로 복구시켜 네트워크를 정상적으로 사용하도록 제공함으로써, 네트워크의 안정화를 유지시킬 수가 있는 개선된 ARP 스푸핑 차단 및 방어 방법의 연구가 지속적으로 행해져 오고 있다.
본 발명의 목적은, 적어도 하나의 단말 장치에서 네트워크로 ARP 스푸핑 공격 패킷이 전송되지 않도록 하고, ARP 스푸핑 공격을 받더라도 스위칭 장비의 도움없이 자체적으로 MAC 주소가 정상적으로 복구되는 시점에 네트워크를 정상적으로 사용할 수가 있으므로, 네트워크의 안정화를 유지시킬 수가 있는 ARP 스푸핑 차단 및 방어 방법을 제공하는 데에 있다.
이러한 목적을 달성하기 위하여 본 발명은 네트워크에 존재하는 적어도 하나의 단말 장치가 ARP 패킷을 송신할 때에 ARP 정보 수집 장치를 통해 아웃바운드 ARP 패킷을 수집하는 아웃바운드 ARP 패킷 수집 단계와 적어도 하나의 단말 장치 내의 ARP 스푸핑 판단/차단 장치를 통해 ARP 정보 수집 장치로부터 수집된 아웃바운드 ARP 패킷이 ARP 정상 패킷인지 ARP 스푸핑 패킷인지를 판단하는 아웃바운드 ARP 패킷 판단 단계 및 ARP 스푸핑 판단/차단 장치를 통해 판단된 아웃바운드 ARP 패킷이 ARP 스푸핑 패킷일 경우에 네트워크 어댑터로 전송되는 것을 차단하는 아웃바운드 ARP 패킷 차단 단계를 포함하며, 아웃바운드 ARP 패킷 판단 단계는, 아웃바운드 ARP 패킷의 이더넷 근원지 MAC은 단말 장치의 네트워크 어댑터 인터페이스의 MAC 주소와 동일하고, ARP 근원지 MAC과 ARP 근원지 IP는 단말 장치의 네트워크 어댑터 인터페이스의 MAC/IP 주소와 동일한 경우에 ARP 정상 패킷으로 판단하거나, ARP 패킷의 이더넷 근원지 MAC과 ARP 근원지 MAC이 다르거나 ARP 근원지 IP가 단말 장치의 네트워크 어댑터 인터페이스의 IP주소와 다르거나 ARP 패킷의 이더넷 근원지 MAC 또는 ARP 근원지 MAC이 네트워크 어댑터 인터페이스의 MAC 주소와 다를 경우에 ARP 스푸핑 패킷으로 판단하는 단계이다.
본 발명의 또 다른 특징에 따르면, 네트워크에 연결된 저장 매체를 통해 ARP 패킷에 해당하는 획득된 IP 주소와 MAC 주소에 대한 매핑 정보를 저장하는 기준 IP 주소/MAC 주소 저장 단계와 적어도 하나의 단말 장치 내의 ARP 스푸핑 판단/방어 장치를 통해 적어도 하나의 단말 장치가 ARP 스푸핑 공격을 받아 IP 주소중 특정 IP 주소에 대한 MAC 주소가 변조되었는지를 저장 매체로부터 저장된 매핑 정보와 비교하여 판단하는 MAC 주소 변조 판단 단계 및 ARP 스푸핑 판단/방어 장치를 통해 특정 IP 주소에 대한 MAC 주소가 변조되었다고 판단할 경우에, 변조된 MAC 주소를 적어도 하나의 단말 장치에 이미 저장된 정상 MAC 주소로 복구시켜, ARP 스푸핑 공격을 받은 네트워크를 정상적으로 사용할 수 있도록 방어하는 정상 MAC 주소 복구 단계를 포함하며, 기준 IP 주소/MAC 주소 저장 단계는, 저장 매체를 ARP 테이블과 ARP 테이블 엔트리로 구성하고, ARP 테이블을 이용하여 ARP 패킷에 해당하는 획득된 IP 주소와 MAC 주소에 대한 매핑 정보를 저장시키며, ARP 테이블 엔트리를 이용하여 ARP 테이블에 저장된 IP 주소에 MAC 주소를 한 쌍의 정보로 대응시키도록 제공하는 단계이고, MAC 주소 변조 판단 단계는, ARP 테이블 엔트리중 정상 ARP 테이블 엔트리와 현재의 ARP 테이블 엔트리를 비교하여 현재의 ARP 테이블 엔트리의 IP 주소에 대한 MAC 주소값이 정상 ARP 테이블 엔트리의 IP 주소에 대한 MAC 주소값과 다를 경우에, 현재의 ARP 테이블 엔트리가 ARP 스푸핑 공격에 의해 변조되었다고 판단하는 단계이다.
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
삭제
상기한 바와 같이 이루어진 본 발명의 ARP 스푸핑 차단 및 방어 방법에 따르면, 다음과 같은 효과를 얻을 수 있다.
적어도 하나의 단말 장치에서 네트워크로 ARP 스푸핑 공격 패킷이 전송되지 않도록 하고, ARP 스푸핑 공격을 받더라도 스위칭 장비의 도움없이 자체적으로 MAC 주소가 정상적으로 복구되는 시점에 네트워크를 정상적으로 사용할 수가 있으므로, 네트워크의 안정화를 유지시킬 수 있는 효과가 있다.
도 1은 본 발명의 일 실시예에 따른 ARP 스푸핑 차단 및 방어 방법을 구현하기 위한 ARP 스푸핑 차단 및 방어 시스템을 나타낸 구성도.
도 2는 도 1에 도시한 ARP 스푸핑 차단 및 방어 시스템을 이용하여 ARP 스푸핑을 차단하는 ARP 스푸핑 차단 방법을 나타낸 순서도.
도 3은 도 1에 도시한 ARP 스푸핑 차단 및 방어 시스템을 이용하여 ARP 스푸핑을 방어하는 ARP 스푸핑 방어 방법을 나타낸 순서도.
이하에서는 첨부된 도면을 참고로 하여 본 발명의 바람직한 실시예를 보다 상세히 설명하기로 한다.
도 1은 본 발명의 일 실시예에 따른 ARP 스푸핑 차단 및 방어 방법을 구현하기 위한 ARP 스푸핑 차단 및 방어 시스템을 나타낸 구성도이다.
먼저, 도 1을 참조하면 본 발명의 일 실시예에 따른 ARP 스푸핑 차단 및 방어 방법을 구현하기 위한 ARP 스푸핑 차단 및 방어 시스템(100)은 ARP 정보 수집 장치(102), ARP 스푸핑 판단/차단 장치(104), 저장 매체(106), ARP 스푸핑 판단/방어 장치(108)를 포함한다.
ARP 정보 수집 장치(102)는 네트워크에 존재하는 적어도 하나의 단말 장치(P1, P2)가 ARP 패킷을 송신할 때에 아웃바운드 ARP 패킷을 수집하도록 제공된다.
ARP 스푸핑 판단/차단 장치(104)는 ARP 정보 수집 장치(102)로부터 수집된 아웃바운드 ARP 패킷이 ARP 정상 패킷인지 ARP 스푸핑 패킷인지를 판단하도록 제공되고, 판단된 아웃바운드 ARP 패킷이 ARP 스푸핑 패킷일 경우에 네트워크 어댑터로 전송되는 것을 차단하도록 제공된다.
저장 매체(106)는 ARP 패킷에 해당하는 획득된 IP 주소와 MAC 주소에 대한 매핑 정보를 저장하도록 제공된다.
이때, 저장 매체(106)는 ARP 테이블과 ARP 테이블 엔트리로 구성할 수가 있다.
여기서, 저장 매체(106)는 ARP 테이블을 이용하여 ARP 패킷에 해당하는 획득된 IP 주소와 MAC 주소에 대한 매핑 정보를 저장하도록 제공되고, ARP 테이블 엔트리를 이용하여 ARP 테이블에 저장된 IP 주소에 MAC 주소를 한 쌍의 정보로 대응시키도록 제공된다.
이때, 저장 매체(106)의 ARP 테이블은 ARP 패킷에 해당하는 획득된 IP주소와 MAC주소에 대한 매핑 정보를 저장하여 ARP 프로토콜 요청 및 응답 절차의 반복을 줄이기 위해 사용하는 정보이다.
또한, 저장 매체(106)의 ARP 테이블 엔트리는 ARP 테이블에 저장된 IP 주소에 대응하는 MAC 주소 한쌍의 정보이다.
이때, IP 주소중 특정 IP 주소에 대한 MAC 주소가 ARP 테이블에 존재하지 않을 경우, 사용하는 ARP 패킷에 해당하는 ARP 프로토콜은 다음과 같다.
ARP 패킷에 해당하는 ARP 프로토콜은 이더넷 프레임의 이더넷 데이터에 실려서 전송된다.
Figure 112011100315770-pat00001

호스트 1.1.1.1 (MAC 주소 : AA-AA-AA-AA-AA-AA) 이 호스트 2.2.2.2의 MAC 주소를 획득하기 위해 송수신하는 ARP 요청 패킷과 ARP 응답 패킷의 정보는 다음과 같다.
<ARP 요청 패킷>
이더넷 목적지 MAC : FF-FF-FF-FF-FF-FF (브로드캐스트)
이더넷 근원지 MAC : AA-AA-AA-AA-AA-AA
이더넷 타입 : 08-06 (이더넷 데이터는 ARP 임)
ARP OPCode : 1 (ARP 요청)
ARP 근원지 MAC : AA-AA-AA-AA-AA-AA
ARP 근원지 IP : 1.1.1.1
ARP 목적지 MAC : 0
ARP 목적지 IP : 2.2.2.2
<ARP 응답 패킷>
이더넷 목적지 MAC : AA-AA-AA-AA-AA-AA
이더넷 근원지 MAC : BB-BB-BB-BB-BB-BB
이더넷 타입 : 08-06 (이더넷 데이터는 ARP 임)
ARP OPCode : 2 (ARP 응답)
ARP 근원지 MAC : BB-BB-BB-BB-BB-BB
ARP 근원지 IP : 2.2.2.2
ARP 목적지 MAC : AA-AA-AA-AA-AA-AA
ARP 목적지 IP : 1.1.1.1
이러한, 저장 매체(106)는 ARP 응답 패킷을 수신하면 ARP 근원지 IP-MAC로 ARP 테이블 엔트리에 저장된다.
ARP 스푸핑 판단/방어 장치(108)는 특정 IP 주소에 대한 MAC 주소가 변조되었다고 판단할 경우에, 변조된 MAC 주소를 적어도 하나의 단말 장치(P1, P2)에 이미 저장된 정상 MAC 주소로 복구시켜 ARP 스푸핑 공격을 받은 네트워크를 정상적으로 사용할 수 있도록 제공된다.
이러한, 본 발명의 일 실시예에 따른 ARP 스푸핑 차단 및 방어 시스템(100)을 이용한 ARP 스푸핑 차단 및 방어 방법(200)을 더욱 자세하게 살펴보면 다음 도 2 내지 도 4와 같다.
도 2는 도 1에 도시한 ARP 스푸핑 차단 및 방어 시스템을 이용하여 ARP 스푸핑을 차단하는 ARP 스푸핑 차단 방법을 나타낸 순서도이고, 도 3은 도 1에 도시한 ARP 스푸핑 차단 및 방어 시스템을 이용하여 ARP 스푸핑을 방어하는 ARP 스푸핑 방어 방법을 나타낸 순서도이다.
도 2에 도시된 바와 같이, ARP 스푸핑 차단 방법(S202)은 네트워크에 존재하는 적어도 하나의 단말 장치(P1, P2)가 ARP 패킷을 송신할 때에, 네트워크에 연결된 ARP 정보 수집 장치(102)를 통해 아웃바운드 ARP 패킷을 수집하는 단계를 수행한다.
또한, ARP 스푸핑 차단 방법(S202)은 적어도 하나의 단말 장치(P1, P2) 내의 ARP 스푸핑 판단/차단 장치(104)를 통해 ARP 정보 수집 장치(102)로부터 수집된 아웃바운드 ARP 패킷이 ARP 정상 패킷인지 ARP 스푸핑 패킷인지를 판단하는 단계를 수행한다.
또한, ARP 스푸핑 차단 방법(S202)은 ARP 스푸핑 판단/차단 장치(104)를 통해 판단된 아웃바운드 ARP 패킷이 ARP 스푸핑 패킷일 경우에 네트워크 어댑터로 전송되는 것을 차단하는 단계를 수행한다.
더욱 자세하게 말하면, ARP 스푸핑 차단 방법(S202)은 아웃바운드 ARP 패킷 수집 단계(S202a), 아웃바운드 ARP 패킷 판단 단계(S202b), 아웃바운드 ARP 패킷 차단 단계(S202c)를 포함하여 수행할 수가 있다.
아웃바운드 ARP 패킷 수집 단계(S202a)는 적어도 하나의 단말 장치(P1, P2)가 ARP 패킷을 송신할 때에 ARP 정보 수집 장치(102)를 통해 아웃바운드 ARP 패킷을 수집하는 단계를 수행할 수가 있다.
아웃바운드 ARP 패킷 판단 단계(S202b)는 적어도 하나의 단말 장치(P1, P2) 내의 ARP 스푸핑 판단/차단 장치(104)를 통해 ARP 정보 수집 장치(102)로부터 수집된 아웃바운드 ARP 패킷이 ARP 정상 패킷인지 ARP 스푸핑 패킷인지를 판단하는 단계를 수행할 수가 있다.
이때, 아웃바운드 ARP 패킷 판단 단계(S202b)는 아웃바운드 ARP 패킷의 이더넷 근원지 MAC 주소가 적어도 하나의 단말 장치(P1, P2)의 네트워크 어댑터 인터페이스의 MAC 주소와 동일할 경우에 ARP 정상 패킷으로 판단하는 단계를 수행할 수가 있다.
반면에, 아웃바운드 ARP 패킷 판단 단계(S202b)는 아웃바운드 ARP 패킷의 이더넷 근원지 MAC 주소가 적어도 하나의 단말 장치(P1, P2)의 네트워크 어댑터 인터페이스의 MAC 주소와 다를 경우에 ARP 스푸핑 패킷으로 판단하는 단계를 수행할 수가 있다.
또한, 아웃바운드 ARP 패킷 판단 단계(S202b)는 아웃바운드 ARP 패킷의 근원지 MAC 주소가 이더넷 근원지 MAC 주소와 동일할 경우에 ARP 정상 패킷으로 판단하는 단계를 수행할 수가 있다.
반면에, 아웃바운드 ARP 패킷 판단 단계(S202b)는 아웃바운드 ARP 패킷의 근원지 MAC 주소가 이더넷 근원지 MAC 주소와 다를 경우에 ARP 스푸핑 패킷으로 판단하는 단계를 수행할 수가 있다.
또한, 아웃바운드 ARP 패킷 판단 단계(S202b)는 아웃바운드 ARP 패킷의 근원지 IP 주소가 적어도 하나의 단말 장치(P1, P2)의 네트워크 어댑터에 설정된 IP 주소와 동일할 경우에 ARP 정상 패킷으로 판단하는 단계를 수행할 수가 있다.
반면에, 아웃바운드 ARP 패킷 판단 단계(S202b)는 아웃바운드 ARP 패킷의 근원지 IP 주소가 적어도 하나의 단말 장치(P1, P2)의 네트워크 어댑터에 설정된 IP 주소와 다를 경우에 ARP 스푸핑 패킷으로 판단하는 단계를 수행할 수가 있다.
또한, 아웃바운드 ARP 패킷 판단 단계(S202b)는 아웃바운드 ARP 패킷의 이더넷 근원지 MAC 주소가 적어도 하나의 단말 장치(P1, P2)의 네트워크 어댑터 인터페이스의 MAC 주소와 동일하고, 아웃바운드 ARP 패킷의 근원지 MAC 주소가 이더넷 근원지 MAC 주소와 동일할 경우에 ARP 정상 패킷으로 판단하는 단계를 수행할 수가 있다.
반면에, 아웃바운드 ARP 패킷 판단 단계(S202b)는 아웃바운드 ARP 패킷의 이더넷 근원지 MAC 주소가 적어도 하나의 단말 장치(P1, P2)의 네트워크 어댑터 인터페이스의 MAC 주소와 다르고, 아웃바운드 ARP 패킷의 근원지 MAC 주소가 이더넷 근원지 MAC 주소와 다를 경우에 ARP 스푸핑 패킷으로 판단하는 단계를 수행할 수가 있다.
또한, 아웃바운드 ARP 패킷 판단 단계(S202b)는 아웃바운드 ARP 패킷의 이더넷 근원지 MAC 주소가 적어도 하나의 단말 장치(P1, P2)의 네트워크 어댑터 인터페이스의 MAC 주소와 동일하고, 아웃바운드 ARP 패킷의 근원지 IP 주소가 적어도 하나의 단말 장치(P1, P2)의 네트워크 어댑터에 설정된 IP 주소와 동일할 경우에 ARP 정상 패킷으로 판단하는 단계를 수행할 수가 있다.
반면에, 아웃바운드 ARP 패킷 판단 단계(S202b)는 아웃바운드 ARP 패킷의 이더넷 근원지 MAC 주소가 적어도 하나의 단말 장치(P1, P2)의 네트워크 어댑터 인터페이스의 MAC 주소와 다르고, 아웃바운드 ARP 패킷의 근원지 IP 주소가 적어도 하나의 단말 장치(P1, P2)의 네트워크 어댑터에 설정된 IP 주소와 다를 경우에 ARP 스푸핑 패킷으로 판단하는 단계를 수행할 수가 있다.
또한, 아웃바운드 ARP 패킷 판단 단계(S202b)는 아웃바운드 ARP 패킷의 근원지 MAC 주소가 이더넷 근원지 MAC 주소와 동일하고, 아웃바운드 ARP 패킷의 근원지 IP 주소가 적어도 하나의 단말 장치(P1, P2)의 네트워크 어댑터에 설정된 IP 주소와 동일할 경우에 ARP 정상 패킷으로 판단하는 단계를 수행할 수가 있다.
반면에, 아웃바운드 ARP 패킷 판단 단계(S202b)는 아웃바운드 ARP 패킷의 근원지 MAC 주소가 이더넷 근원지 MAC 주소와 다르고, 아웃바운드 ARP 패킷의 근원지 IP 주소가 적어도 하나의 단말 장치(P1, P2)의 네트워크 어댑터에 설정된 IP 주소와 다를 경우에 ARP 스푸핑 패킷으로 판단하는 단계를 수행할 수가 있다.
또한, 아웃바운드 ARP 패킷 판단 단계(S202b)는 아웃바운드 ARP 패킷의 이더넷 근원지 MAC 주소가 적어도 하나의 단말 장치(P1, P2)의 네트워크 어댑터 인터페이스의 MAC 주소와 동일하고, 아웃바운드 ARP 패킷의 근원지 MAC 주소가 이더넷 근원지 MAC 주소와 동일하며, 아웃바운드 ARP 패킷의 근원지 IP 주소가 적어도 하나의 단말 장치(P1, P2)의 네트워크 어댑터에 설정된 IP 주소와 동일할 경우에 ARP 정상 패킷으로 판단하는 단계를 수행할 수가 있다.
반면에, 아웃바운드 ARP 패킷 판단 단계(S202b)는 아웃바운드 ARP 패킷의 이더넷 근원지 MAC 주소가 적어도 하나의 단말 장치(P1, P2)의 네트워크 어댑터 인터페이스의 MAC 주소와 다르고, 아웃바운드 ARP 패킷의 근원지 MAC 주소가 이더넷 근원지 MAC 주소와 다르며, 아웃바운드 ARP 패킷의 근원지 IP 주소가 적어도 하나의 단말 장치(P1, P2)의 네트워크 어댑터에 설정된 IP 주소와 다를 경우에 ARP 스푸핑 패킷으로 판단하는 단계를 수행할 수가 있다.
아웃바운드 ARP 패킷 차단 단계(S202c)는 ARP 스푸핑 판단/차단 장치(104)를 통해 판단된 아웃바운드 ARP 패킷이 ARP 스푸핑 패킷일 경우에 네트워크 어댑터로 전송되는 것을 차단하는 단계를 수행할 수가 있다.
도 3에 도시된 바와 같이, ARP 스푸핑 방어 방법(S204)은 네트워크에 연결된 저장 매체(106)를 통해 ARP 패킷에 해당하는 획득된 IP 주소와 MAC 주소에 대한 매핑 정보를 저장하는 단계를 수행한다.
또한, ARP 스푸핑 방어 방법(S204)은 적어도 하나의 단말 장치(P1, P2) 내의 ARP 스푸핑 판단/방어 장치(108)를 통해 적어도 하나의 단말 장치(P1, P2)가 ARP 스푸핑 공격을 받아 IP 주소중 특정 IP 주소에 대한 MAC 주소가 변조되었는지를 저장 매체(106)로부터 저장된 매핑 정보와 비교하여 판단하는 단계를 수행한다.
또한, ARP 스푸핑 방어 방법(S204)은 ARP 스푸핑 판단/방어 장치(108)를 통해 특정 IP 주소에 대한 MAC 주소가 변조되었다고 판단할 경우에, 변조된 MAC 주소를 적어도 하나의 단말 장치(P1, P2)에 이미 저장된 정상 MAC 주소로 복구시켜 ARP 스푸핑 공격을 받은 네트워크를 정상적으로 사용할 수 있도록 방어하는 단계를 수행한다.
더욱 자세하게 말하면, ARP 스푸핑 방어 방법(S204)은 기준 IP 주소/MAC 주소 저장 단계(S204a), MAC 주소 변조 판단 단계(S204b), 정상 MAC 주소 복구 단계(S204c)를 포함하여 수행할 수가 있다.
기준 IP 주소/MAC 주소 저장 단계(S204a)는 저장 매체(106)를 통해 ARP 패킷에 해당하는 획득된 IP 주소와 MAC 주소에 대한 매핑 정보를 저장하는 단계를 수행할 수가 있다.
이때, 기준 IP 주소/MAC 주소 저장 단계(S204a)는 저장 매체(106)를 ARP 테이블과 ARP 테이블 엔트리로 구성하는 단계일 수가 있다.
여기서, 기준 IP 주소/MAC 주소 저장 단계(S204a)는 ARP 테이블을 이용하여 ARP 패킷에 해당하는 획득된 IP 주소와 MAC 주소에 대한 매핑 정보를 저장시키는 단계를 수행할 수가 있다.
이때, 기준 IP 주소/MAC 주소 저장 단계(S204a)는 ARP 테이블 엔트리를 이용하여 ARP 테이블에 저장된 IP 주소에 MAC 주소를 한 쌍의 정보로 대응시키도록 제공하는 단계를 수행할 수가 있다.
MAC 주소 변조 판단 단계(S204b)는 적어도 하나의 단말 장치(P1, P2) 내의 ARP 스푸핑 판단/방어 장치(108)를 통해 적어도 하나의 단말 장치(P1, P2)가 ARP 스푸핑 공격을 받아 IP 주소중 특정 IP 주소에 대한 MAC 주소가 변조되었는지를 저장 매체(106)로부터 저장된 매핑 정보와 비교하여 판단하는 단계를 수행할 수가 있다.
이때, MAC 주소 변조 판단 단계(S204b)는 ARP 테이블 엔트리중 정상 ARP 테이블 엔트리와 현재의 ARP 테이블 엔트리를 비교하여 현재의 ARP 테이블 엔트리의 IP 주소에 대한 MAC 주소값이 정상 ARP 테이블 엔트리의 IP 주소에 대한 MAC 주소값과 다를 경우에, 현재의 ARP 테이블 엔트리가 ARP 스푸핑 공격에 의해 변조되었다고 판단하는 단계를 수행할 수가 있다.
정상 MAC 주소 복구 단계(S204c)는 ARP 스푸핑 판단/방어 장치(108)를 통해 특정 IP 주소에 대한 MAC 주소가 변조되었다고 판단할 경우에, 변조된 MAC 주소를 적어도 하나의 단말 장치(P1, P2)에 이미 저장된 정상 MAC 주소로 복구시켜, ARP 스푸핑 공격을 받은 네트워크를 정상적으로 사용할 수 있도록 방어하는 단계를 수행할 수가 있다.
한편, 도 3에 도시된 바와 같이 ARP 스푸핑 방어 방법(S204)은 적어도 하나의 단말 장치(P1, P2)가 ARP 스푸핑 공격을 받았는지 판단하기 위해 사용되는 기준 IP 주소 및 기준 MAC 주소를 저장하는 단계를 수행한다.
또한, ARP 스푸핑 방어 방법(S204)은 적어도 하나의 단말 장치(P1, P2) 내의 ARP 스푸핑 판단/방어 장치(108)를 통해 ARP 스푸핑 공격을 받아 ARP 테이블 엔트리 중 특정 IP 주소에 대한 MAC 주소가 변조되었는지를 저장된 기준 IP 주소 및 기준 MAC 주소와 비교하여 판단하는 단계를 수행한다.
또한, ARP 스푸핑 방어 방법(S204)은 ARP 스푸핑 판단/방어 장치(108)를 통해 ARP 테이블 엔트리 중 특정 IP 주소에 대한 MAC 주소가 변조되었다고 판단할 경우에, 변조된 MAC 주소를 기준 MAC 주소로 복구시켜, ARP 스푸핑 공격을 받은 네트워크를 정상적으로 사용할 수 있도록 방어하는 단계를 수행한다.
더욱 자세하게 말하면, ARP 스푸핑 방어 방법(S204)은 기준 IP 주소/MAC 주소 저장 단계(S204a), MAC 주소 변조 판단 단계(S204b), 정상 MAC 주소 복구 단계(S204c)를 포함하여 수행할 수가 있다.
기준 IP 주소/MAC 주소 저장 단계(S204a)는 적어도 하나의 단말 장치(P1, P2)가 ARP 스푸핑 공격을 받았는지 판단하기 위해 사용되는 기준 IP 주소 및 기준 MAC 주소를 저장하는 단계를 수행할 수가 있다.
MAC 주소 변조 판단 단계(S204b)는 적어도 하나의 단말 장치(P1, P2) 내의 ARP 스푸핑 판단/방어 장치(108)를 통해 ARP 스푸핑 공격을 받아 ARP 테이블 엔트리 중 특정 IP 주소에 대한 MAC 주소가 변조되었는지를 저장된 기준 IP 주소 및 기준 MAC 주소와 비교하여 판단하는 단계를 수행할 수가 있다.
이때, MAC 주소 변조 판단 단계(S204b)는 ARP 테이블 엔트리를 이용하되 현재의 ARP 테이블 엔트리 중 기준 IP 주소에 해당하는 MAC 주소와 비교하여 현재의 ARP 테이블 엔트리의 IP 주소에 대한 MAC 주소값이 기준 IP 주소에 해당하는 기준 MAC 주소값과 다를 경우에, 현재의 ARP 테이블 엔트리가 ARP 스푸핑 공격에 의해 변조되었다고 판단하는 단계를 수행할 수가 있다.
정상 MAC 주소 복구 단계(S204c)는 ARP 스푸핑 판단/방어 장치(108)를 통해 ARP 테이블 엔트리 중 특정 IP 주소에 대한 MAC 주소가 변조되었다고 판단할 경우에, 변조된 MAC 주소를 기준 MAC 주소로 복구시켜, ARP 스푸핑 공격을 받은 네트워크를 정상적으로 사용할 수 있도록 방어하는 단계를 수행할 수가 있다.
이와 같은, 본 발명의 일 실시예에 따른 ARP 스푸핑 차단 및 방어 방법(S202, S204)은 적어도 하나의 단말 장치(P1, P2)에서 네트워크로 ARP 스푸핑 공격 패킷이 전송되지 않도록 하고, ARP 스푸핑 공격을 받더라도 스위칭 장비의 도움없이 자체적으로 MAC 주소가 정상적으로 복구되는 시점에 네트워크를 정상적으로 사용할 수가 있으므로, 네트워크의 안정화를 유지시킬 수가 있게 된다.
본 발명이 속하는 기술분야의 당업자는 본 발명이 그 기술적 사상이나 필수적 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예는 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로서 이해되어야 하고, 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 등가개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.

Claims (13)

  1. 네트워크에 존재하는 적어도 하나의 단말 장치가 ARP 패킷을 송신할 때에 ARP 정보 수집 장치를 통해 아웃바운드 ARP 패킷을 수집하는 아웃바운드 ARP 패킷 수집 단계와;
    상기 적어도 하나의 단말 장치 내의 ARP 스푸핑 판단/차단 장치를 통해 상기 ARP 정보 수집 장치로부터 수집된 아웃바운드 ARP 패킷이 ARP 정상 패킷인지 ARP 스푸핑 패킷인지를 판단하는 아웃바운드 ARP 패킷 판단 단계; 및
    상기 ARP 스푸핑 판단/차단 장치를 통해 판단된 상기 아웃바운드 ARP 패킷이 상기 ARP 스푸핑 패킷일 경우에 네트워크 어댑터로 전송되는 것을 차단하는 아웃바운드 ARP 패킷 차단 단계를 포함하며,
    상기 아웃바운드 ARP 패킷 판단 단계는,
    상기 아웃바운드 ARP 패킷의 이더넷 근원지 MAC은 단말 장치의 네트워크 어댑터 인터페이스의 MAC 주소와 동일하고, 상기 ARP 근원지 MAC과 상기 ARP 근원지 IP는 상기 단말 장치의 네트워크 어댑터 인터페이스의 MAC/IP 주소와 동일한 경우에 상기 ARP 정상 패킷으로 판단하거나, 상기 ARP 패킷의 이더넷 근원지 MAC과 상기 ARP 근원지 MAC이 다르거나 상기 ARP 근원지 IP가 상기 단말 장치의 네트워크 어댑터 인터페이스의 IP주소와 다르거나 상기 ARP 패킷의 이더넷 근원지 MAC 또는 상기 ARP 근원지 MAC이 네트워크 어댑터 인터페이스의 MAC 주소와 다를 경우에 상기 ARP 스푸핑 패킷으로 판단하는 단계인 것을 특징으로 하는 ARP 스푸핑 차단 방법.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 삭제
  6. 삭제
  7. 삭제
  8. 삭제
  9. 네트워크에 연결된 저장 매체를 통해 ARP 패킷에 해당하는 획득된 IP 주소와 MAC 주소에 대한 매핑 정보를 저장하는 기준 IP 주소/MAC 주소 저장 단계와;
    적어도 하나의 단말 장치 내의 ARP 스푸핑 판단/방어 장치를 통해 상기 적어도 하나의 단말 장치가 ARP 스푸핑 공격을 받아 IP 주소중 특정 IP 주소에 대한 MAC 주소가 변조되었는지를 상기 저장 매체로부터 저장된 상기 매핑 정보와 비교하여 판단하는 MAC 주소 변조 판단 단계; 및
    상기 ARP 스푸핑 판단/방어 장치를 통해 상기 특정 IP 주소에 대한 상기 MAC 주소가 변조되었다고 판단할 경우에, 변조된 MAC 주소를 상기 적어도 하나의 단말 장치에 이미 저장된 정상 MAC 주소로 복구시켜, 상기 ARP 스푸핑 공격을 받은 네트워크를 정상적으로 사용할 수 있도록 방어하는 정상 MAC 주소 복구 단계를 포함하며,상기 기준 IP 주소/MAC 주소 저장 단계는,
    상기 저장 매체를 ARP 테이블과 ARP 테이블 엔트리로 구성하고, 상기 ARP 테이블을 이용하여 상기 ARP 패킷에 해당하는 획득된 IP 주소와 MAC 주소에 대한 매핑 정보를 저장시키며, 상기 ARP 테이블 엔트리를 이용하여 상기 ARP 테이블에 저장된 상기 IP 주소에 상기 MAC 주소를 한 쌍의 정보로 대응시키도록 제공하는 단계이고,
    상기 MAC 주소 변조 판단 단계는,
    상기 ARP 테이블 엔트리중 정상 ARP 테이블 엔트리와 현재의 ARP 테이블 엔트리를 비교하여 상기 현재의 ARP 테이블 엔트리의 IP 주소에 대한 MAC 주소값이 상기 정상 ARP 테이블 엔트리의 IP 주소에 대한 MAC 주소값과 다를 경우에, 상기 현재의 ARP 테이블 엔트리가 상기 ARP 스푸핑 공격에 의해 변조되었다고 판단하는 단계인 것을 특징으로 하는 ARP 스푸핑 방어 방법.
  10. 삭제
  11. 삭제
  12. 삭제
  13. 삭제
KR1020110136425A 2011-12-16 2011-12-16 Arp 스푸핑 차단 및 방어 방법 KR101174304B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110136425A KR101174304B1 (ko) 2011-12-16 2011-12-16 Arp 스푸핑 차단 및 방어 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110136425A KR101174304B1 (ko) 2011-12-16 2011-12-16 Arp 스푸핑 차단 및 방어 방법

Publications (1)

Publication Number Publication Date
KR101174304B1 true KR101174304B1 (ko) 2012-08-16

Family

ID=46887287

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110136425A KR101174304B1 (ko) 2011-12-16 2011-12-16 Arp 스푸핑 차단 및 방어 방법

Country Status (1)

Country Link
KR (1) KR101174304B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101312074B1 (ko) 2012-12-06 2013-09-25 (주)넷맨 Mac주소 정보를 감시하면서 복구하는 방법
KR101489178B1 (ko) * 2013-09-12 2015-02-03 숭실대학교산학협력단 Arp스푸핑 감지단말 및 감지방법
KR101687811B1 (ko) * 2015-09-07 2017-02-01 박준영 ARP_Probe 패킷을 이용한 Agent 방식의 ARP 스푸핑 탐지 방법
KR102476672B1 (ko) * 2022-06-16 2022-12-12 (주)대영에스텍 5G Massive망에서 비인식 NIC 기능을 갖는 이더넷 드라이버에서 수행되는 주소 변이 방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100807933B1 (ko) * 2006-11-28 2008-03-03 엘지노텔 주식회사 에이알피 스푸핑 감지 시스템 및 감지 방법과 그 방법이저장된 컴퓨터 판독가능 저장매체

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100807933B1 (ko) * 2006-11-28 2008-03-03 엘지노텔 주식회사 에이알피 스푸핑 감지 시스템 및 감지 방법과 그 방법이저장된 컴퓨터 판독가능 저장매체

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101312074B1 (ko) 2012-12-06 2013-09-25 (주)넷맨 Mac주소 정보를 감시하면서 복구하는 방법
KR101489178B1 (ko) * 2013-09-12 2015-02-03 숭실대학교산학협력단 Arp스푸핑 감지단말 및 감지방법
KR101687811B1 (ko) * 2015-09-07 2017-02-01 박준영 ARP_Probe 패킷을 이용한 Agent 방식의 ARP 스푸핑 탐지 방법
KR102476672B1 (ko) * 2022-06-16 2022-12-12 (주)대영에스텍 5G Massive망에서 비인식 NIC 기능을 갖는 이더넷 드라이버에서 수행되는 주소 변이 방법

Similar Documents

Publication Publication Date Title
JP4634320B2 (ja) 対異常通信防御を行うための装置とネットワークシステム
EP1580942A2 (en) GPRS tunneling protocol path integrity
CN101115063B (zh) 宽带接入设备中防止mac地址/ip地址欺骗的方法
CN108270600B (zh) 一种对恶意攻击流量的处理方法及相关服务器
CN106899500B (zh) 一种跨虚拟可扩展局域网的报文处理方法及装置
KR101174304B1 (ko) Arp 스푸핑 차단 및 방어 방법
CN101662423A (zh) 单一地址反向传输路径转发的实现方法及装置
WO2016070633A1 (zh) 上网日志生成方法和装置
Lu et al. A novel path‐based approach for single‐packet IP traceback
CN106878161A (zh) 用于解析域名系统请求的方法和系统
CN103916489B (zh) 一种单域名多ip的域名解析方法及系统
CN109936515A (zh) 接入配置方法、信息提供方法及装置
CN102752266B (zh) 访问控制方法及其设备
CN104579939B (zh) 网关的保护方法和装置
CN105592490A (zh) 一种路由切换方法及设备
Belenguer et al. A low-cost embedded IDS to monitor and prevent Man-in-the-Middle attacks on wired LAN environments
CN102075588A (zh) 一种实现网络地址转换nat穿越的方法、系统和设备
JP2006135776A (ja) セッション中継装置およびセッション中継方法
CN108769055A (zh) 一种虚假源ip检测方法及装置
KR101188308B1 (ko) 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템 및 그 방법
CN102487386B (zh) 身份位置分离网络的阻断方法和系统
CN102377829B (zh) 基于hip的通信方法、系统及设备
CN101567886A (zh) 表项安全管理方法及设备
CN106789302B (zh) 一种路由通告的方法及装置
CN105025028A (zh) 基于流量分析的ip黑洞发现方法

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160616

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180724

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20190715

Year of fee payment: 8