KR101228089B1 - Ip 스푸핑 탐지 장치 - Google Patents

Ip 스푸핑 탐지 장치 Download PDF

Info

Publication number
KR101228089B1
KR101228089B1 KR1020120099900A KR20120099900A KR101228089B1 KR 101228089 B1 KR101228089 B1 KR 101228089B1 KR 1020120099900 A KR1020120099900 A KR 1020120099900A KR 20120099900 A KR20120099900 A KR 20120099900A KR 101228089 B1 KR101228089 B1 KR 101228089B1
Authority
KR
South Korea
Prior art keywords
packet
gtp
teid
address
spoofing
Prior art date
Application number
KR1020120099900A
Other languages
English (en)
Inventor
임채태
오주형
강동완
김세권
김성호
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020120099900A priority Critical patent/KR101228089B1/ko
Priority to US13/676,300 priority patent/US20140075538A1/en
Application granted granted Critical
Publication of KR101228089B1 publication Critical patent/KR101228089B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

IP 스푸핑 탐지 장치가 제공된다. 상기 IP 스푸핑 탐지 장치는 GTP 패킷의 헤더로부터 TEID를 추출하고, 페이로드로부터 송신지 IP 주소를 추출하는 패킷 정보 추출부, 미리 저장된 터널 정보로부터 상기 TEID에 대응되는 사용자 단말 IP 주소를 조회하고, 상기 송신지 IP 주소와 상기 사용자 단말 IP 주소가 서로 다르면, 상기 GTP 패킷을 IP 스푸핑 패킷으로 탐지하는 비정상 패킷 탐지부, 및 상기 GTP 패킷이 IP 스푸핑 패킷으로 탐지되면, 상기 GTP 패킷을 드롭시키는 패킷 처리부를 포함한다.

Description

IP 스푸핑 탐지 장치{IP spoofing detection apparatus}
본 발명은 IP 스푸핑 탐지 장치에 관한 것이다.
스마트폰 사용자의 급증, 다양한 모바일 서비스 증가에 따라 WCDMA(Wideband Code Division Multiple Access), LTE(Long Term Evolution) 등의 모바일 네트워크가 폐쇄적 서비스 구조에서 개방형 서비스 구조로 변경되고 있다.
GTP(GPRS Tunneling Protocol)는 모바일 네트워크의 내부에서 사용되는 프로토콜로서, 시그널링을 위한 GTP-C 패킷 및 데이터 전송을 위한 GTP-U 패킷으로 구성된다. GTP는 사용자 단말의 데이터 서비스를 위한 시그널링 및 데이터 전달을 위해 고안되었으며, UDP를 전송 계층 프로토콜로 사용하도록 고안되었다.
따라서, 사용자 단말에서 GTP 패킷을 부정하게 또는 악의적으로 전송할 경우, 모바일 네트워크 내부에서는 비정상적인 패킷이 생성될 수 있으나, GTP는 이와 같은 비정상 패킷의 탐지를 고려하지 않고 고안되었다.
본 발명이 해결하려는 과제는, GTP 패킷 중 IP 스푸핑 패킷을 탐지하는 IP 스푸핑 탐지 장치를 제공하는 것이다.
본 발명이 해결하려는 다른 과제는, 상기 IP 스푸핑 패킷으로 탐지된 상기 GTP 패킷의 전송을 차단하는 IP 스푸핑 탐지 장치를 제공하는 것이다.
본 발명이 해결하려는 다른 과제는, 상기 IP 스푸핑 패킷으로 탐지된 상기 GTP 패킷을 전송한 사용자 단말의 식별 정보를 기록하는 IP 스푸핑 탐지 장치를 제공하는 것이다.
본 발명이 해결하려는 과제들은 이상에서 언급한 과제들로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상기 과제를 해결하기 위한 본 발명의 IP 스푸핑 탐지 장치의 일 태양은 제1 GTP 패킷의 페이로드로부터 제1 TEID와 사용자 단말 IP 주소를 추출하는 터널 정보 추출부, 및 제2 GTP 패킷의 헤더로부터 제2 TEID를 추출하고, 페이로드로부터 송신지 IP 주소를 추출하는 비정상 패킷 탐지부를 포함하되, 상기 비정상 패킷 탐지부는 상기 제1 TEID와 상기 제2 TEID가 서로 동일하고, 상기 사용자 단말 IP 주소와 상기 송신지 IP가 서로 다르면, 상기 제2 GTP 패킷을 IP 스푸핑 패킷으로 탐지한다.
상기 과제를 해결하기 위한 본 발명의 IP 스푸핑 탐지 장치의 다른 태양은 제1 GTP 패킷의 페이로드에 삽입되는 제1 TEID와 사용자 단말 IP 주소가 기록되는 호관리 정보 저장부, 및 제2 GTP 패킷의 헤더로부터 제2 TEID를 추출하고, 페이로드로부터 송신지 IP 주소를 추출하는 비정상 패킷 탐지부를 포함하되, 상기 비정상 패킷 탐지부는 상기 제1 TEID와 상기 제2 TEID가 서로 동일하고, 상기 사용자 단말 IP 주소와 상기 송신지 IP 주소가 서로 다르면, 상기 제2 GTP 패킷을 IP 스푸핑 패킷으로 탐지한다.
상기 과제를 해결하기 위한 본 발명의 IP 스푸핑 탐지 장치의 다른 태양은 제1 GTP 패킷의 페이로드로부터 추출된 제1 TEID와 사용자 단말 IP 주소를 전송받는 터널 정보 수신부, 및 제2 GTP 패킷의 헤더로부터 제2 TEID를 추출하고, 페이로드로부터 송신지 IP 주소를 추출하는 비정상 패킷 탐지부를 포함하되, 상기 비정상 패킷 탐지부는 상기 제1 TEID와 상기 제2 TEID가 서로 동일하고, 상기 사용자 단말 IP 주소와 상기 송신지 IP 주소가 서로 다르면, 상기 제2 GTP 패킷을 IP 스푸핑 패킷으로 탐지한다.
상기 과제를 해결하기 위한 본 발명의 IP 스푸핑 탐지 장치의 다른 태양은 GTP 패킷의 헤더로부터 TEID를 추출하고, 페이로드로부터 송신지 IP 주소를 추출하는 패킷 정보 추출부, 미리 저장된 터널 정보로부터 상기 TEID에 대응되는 사용자 단말 IP 주소를 조회하고, 상기 송신지 IP 주소와 상기 사용자 단말 IP 주소가 서로 다르면, 상기 GTP 패킷을 IP 스푸핑 패킷으로 탐지하는 비정상 패킷 탐지부, 및 상기 GTP 패킷이 IP 스푸핑 패킷으로 탐지되면, 상기 GTP 패킷을 드롭시키는 패킷 처리부를 포함한다.
본 발명의 기타 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.
도 1은 WCDMA 네트워크의 구성을 도시하는 개략적인 도면이다.
도 2는 LTE 네트워크의 구성을 도시하는 개략적인 도면이다.
도 3은 GTP-C 패킷에서 삽입되고, 추출되는 정보를 도시하는 개략적인 도면이다.
도 4는 GTP-U 패킷에 삽입되고, 추출되는 정보를 도시하는 개략적인 도면이다.
도 5는 본 발명의 일 실시예에 따른 IP 스푸핑 탐지 장치의 구성을 도시하는 개략적인 블록도이다.
도 6은 터널 정보 저장부에 저장되는 터널 정보 테이블을 설명하기 위한 개략적인 테이블이다.
도 7은 도 5의 비정상 패킷 탐지부가 IP 스푸핑 패킷을 탐지하는 방법을 설명하기 위한 개략적인 흐름도이다.
도 8은 본 발명의 다른 일 실시예에 따른 IP 스푸핑 탐지 장치의 구성을 도시하는 개략적인 블록도이다.
도 9는 WCDMA 네트워크에서의 데이터 호 설정 및 데이터 전송 과정을 설명하기 위한 개략적인 도면이다.
도 10은 도 9의 데이터 호 설정 및 데이터 전송 과정에서 GTP 패킷에 삽입되는 정보를 설명하기 위한 개략적인 도면이다.
도 11은 LTE 네트워크에서의 데이터 호 설정 및 데이터 전송 과정을 설명하기 위한 개략적인 도면이다.
도 12는 도 11의 데이터 호 설정 및 데이터 전송 과정에서 GTP 패킷에 삽입되는 정보를 설명하기 위한 개략적인 도면이다.
도 13은 본 발명의 다른 일 실시예에 따른 IP 스푸핑 탐지 장치의 구성을 도시하는 개략적인 블록도이다.
도 14는 본 발명의 다른 일 실시예에 따른 IP 스푸핑 탐지 장치의 구성을 도시하는 개략적인 블록도이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
각 블록은 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또한, 몇 가지 대체 실행 예들에서는 블록들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대 잇달아 도시되어 있는 두 개의 블록들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
비록 제1, 제2 등이 다양한 구성요소들을 서술하기 위해서 사용되나, 이들 구성요소들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 구성요소를 다른 구성요소와 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 구성요소는 본 발명의 기술적 사상 내에서 제2 구성요소일 수도 있음은 물론이다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
이하에서는 첨부된 도면을 참조하여 본 발명의 실시예를 설명하기로 한다. 후술하는 GTP 패킷은 GTP-C 패킷과 GTP-U 패킷으로 분류될 수 있다. GTP-C 패킷은, WCDMA 네트워크에서는 GTP 버전 1이 사용되며, LTE 네트워크에서는 GTP 버전 2가 사용된다. GTP-U 패킷은, WCDMA 네트워크와 LTE 네트워크에서 동일하게 사용된다. GTP-C 패킷의 버전에 따른 차이는 본 발명의 요지에 영향이 없으므로, 이하에서는 GTP 버전 1에 따른 GTP-C 패킷과 GTP 버전 2에 따른 GTP-C 패킷을 GTP-C 패킷으로 통칭하여 사용하기로 한다.
도 1은 WCDMA 네트워크의 구성을 도시하는 개략적인 도면이다. 본 발명의 실시예에서는 3세대 모바일 네트워크의 일 예로 WCDMA(Wideband Code Division Multiple Access) 네트워크를 설명한다.
도 1을 참조하면, WCDMA 네트워크는 RNC(Radio Network Control; 10), SGSN(Serving GPRS Support Node; 20), GGSN(Gatway GPRS Support Node; 30) 등을 포함한다.
WCDMA 네트워크에서 GTP 패킷은, SGSN(20)와 GGSN(30) 사이 Gn 인터페이스에서 GTP-C 패킷과 GTP-U 패킷으로 송수신된다.
WCDMA 네트워크의 각 구성에 대한 상세한 설명은 본 발명의 요지를 불필요하게 흐릴 수 있으므로, 이하 상세한 설명은 생략하기로 한다.
도 2는 LTE 네트워크의 구성을 도시하는 개략적인 도면이다. 본 발명의 실시예에서는 4세대 모바일 네트워크의 일 예로 LTE(Long Term Evolution) 네트워크를 설명한다.
도 2를 참조하면, LTE 네트워크는 eNB(eNodeB; 40), MME(Mobility Management Entity; 50), S-GW(Serving Gateway; 60), P-GW(Packet data network Gateway; 70) 등을 포함한다. 여기서, S-GW(60)와 P-GW(70)는 필요에 따라 분리되거나 일체로 구성될 수 있다.
LTE 네트워크에서 GTP 패킷은, MME(50)와 S-GW(60) 사이 S11 인터페이스에서 GTP-C 패킷으로 송수신 되고, eNB(40)와 S-GW(60) 사이 S1-U 인터페이스에서 GTP-U 패킷으로 송수신 된다. 또한, S-GW(60)와 P-GW(70) 사이 S5 인터페이스에서도 GTP-C 패킷과 GTP-U 패킷으로 송수신될 수 있다.
LTE 네트워크의 각 구성에 대한 상세한 설명은 본 발명의 요지를 불필요하게 흐릴 수 있으므로, 이하 상세한 설명은 생략하기로 한다.
GTP-C 패킷은 WCDMA, LTE 등 모바일 네트워크의 내부 구성 사이(SGSN(20)과 GGSN(30), MME(50)와 S-GW(60), S-GW(60)와 P-GW(70) 등)에서 데이터 호 생성, 데이터 호 삭제, 데이터 호 갱신 등을 위해 사용된다. 여기서, 데이터 호 설정은 사용자 단말(스마트폰 등)의 데이터 서비스 요청이 있을 경우 해당하는 구성 사이에서 이루어진다.
GTP-U 패킷은 WCDMA, LTE 등 모바일 네트워크의 내부 구성 사이(SGSN(20)과 GGSN(30), eNB(40)와 S-GW(60), S-GW(60)와 P-GW(70) 등)에서 사용자 데이터의 송수신을 위해 사용된다. GTP-U 패킷에는 사용자 단말 또는 외부 네트워크로부터 전송되는 IP 패킷이 포함된다.
이하에서는 GTP 패킷에 삽입되고, 후술하는 패킷 정보 추출부(112) 등에서 추출되는 정보를 설명하기로 한다.
도 3은 GTP-C 패킷에 삽입되고, 추출되는 정보를 도시하는 개략적인 도면이다.
도 3을 참조하면, GTP-C 패킷의 헤더(Header)에는 메시지 타입(Msg Type)과 TEID(Tunnel Endpoint Identifier)가 삽입되고, 페이로드(Payload)에는 이후 전송되는 GTP 패킷에 할당되는 TEID, 사용자 단말의 식별 정보로서 MSISDN(Mobile Station International ISDN) 및 IMSI(International Mobile Subscriber Identity), 사용자 단말에 할당되는 사용자 단말 IP 주소(UE IP; User Equipment IP) 등의 정보 요소(IE; Information Element)가 삽입될 수 있다.
GTP-C 패킷의 헤더에 삽입되는 메시지 타입은, GTP 버전 1의 경우 Create PDP Request(CP Req), Create PDP Response(CP Resp), Update PDP Request(UP Req), Update PDP Response(UP Resp), Delete PDP Request(DP Req), Delete PDP Response(DP Resp)를 포함하고, GTP 버전 2의 경우 Create Session Request(CS Req), Create Session Response(CS Resp), Modify Bearer Request(MB Req), Modify Bearer Response(MB Resp), Create Bearer Request(CB Req), Create Bearer Response(CB Resp), Delete Session Request(DS Req), Delete Session Response(DS Resp)를 포함할 수 있다.
GTP-C 패킷의 페이로드에 삽입되는 TEID(TEID 1, TEID 2)는, GTP 버전 1의 경우 TEID Ddata I, TEID Control Plane을 포함하고, GTP 버전 2의 경우 F-TEID(Fully qualified TEID) 등을 포함할 수 있다.
도 4는 GTP-U 패킷에 삽입되고, 추출되는 정보를 도시하는 개략적인 도면이다.
도 4를 참조하면, GTP-U 패킷의 헤더에는 메시지 타입(Msg Type)과 TEID가 삽입되고, 페이로드에는 IP 패킷의 목적지 IP 주소(Dst IP), 목적지 포트(Dst Port), 송신지 IP 주소(Src IP), 송신지 포트(Src Port), 패킷의 길이(Length) 등의 정보 요소가 삽입될 수 있다.
GTP-U 패킷의 헤더에 삽입되는 메시지 타입은, 사용자 단말로부터 전송되는 GTP-U 패킷을 나타내는 Uplink Data(UL-Data), 외부 네트워크로부터 전송되는 GTP-U 패킷을 나타내는 Downlink Data(DL-Data)를 포함한다.
이하에서는 본 발명의 실시예에 따른 IP 스푸핑 탐지 장치의 구성 및 IP 스푸핑 패킷을 탐지하는 방법을 설명하기로 한다.
도 5는 본 발명의 일 실시예에 따른 IP 스푸핑 탐지 장치의 구성을 도시하는 개략적인 블록도이다.
도 5를 참조하면, 본 발명의 일 실시예에 따른 IP 스푸핑 탐지 장치(1)는 패킷 정보 추출부(112), 비정상 패킷 탐지부(122), 터널 정보 저장부(140), 탐지 로그 저장부(150), 패킷 처리부(113), NIC(131, 132)를 포함한다.
패킷 정보 추출부(112)는 GTP-U 패킷으로부터 각종 패킷 정보를 추출한다. 패킷 정보 추출부(112)는 GTP-U 패킷의 헤더로부터 메시지 타입(Msg Type), TEID를 추출하고, 페이로드로부터 IP 패킷의 목적지 IP 주소(Dst IP), 목적지 포트(Dst Port), 송신지 IP 주소(Src IP), 송신지 포트(Src Port), 패킷의 길이(Length)를 추출한다.
비정상 패킷 탐지부(122)는 패킷 정보 추출부(112)에 의해 추출된 GTP-U 패킷의 패킷 정보를 기초로 GTP-U 패킷이 IP 스푸핑 패킷인지 탐지한다. IP 스푸핑(IP Spoofing)은 송신자가 자신에게 할당된 IP 주소가 아닌 다른 IP 주소로 송신지를 변조하고, 변조된 IP 패킷을 전송하는 행위를 나타낸다. 모바일 네트워크에서 IP 스푸핑은, 사용자 단말에서 전송되는 패킷의 송신지 IP 주소가, 해당 사용자 단말에 할당된 IP 주소가 아닌 다른 IP 주소로 변조되어 전송되는 것을 나타낸다. 비정상 패킷 탐지부(122)가 IP 스푸핑 패킷을 탐지하는 방법에 관하여는 도 6에서 후술하기로 한다.
패킷 처리부(113)는 비정상 패킷 탐지부(122)의 IP 스푸핑 패킷의 탐지 결과에 따라 GTP-U 패킷을 포워딩(forwarding)하거나 드롭(drop)시킨다. 여기서, 포워딩한다는 것은 GTP-U 패킷을 모바일 네트워크의 목적지를 향해 전송하는 것을 나타내고, 드롭시킨다는 것은 GTP-U 패킷을 모바일 네트워크의 목적지로 전송하지 않고 차단시키는 것을 나타낸다.
터널 정보 저장부(140)는 각 GTP 터널의 고유 정보가 기록된 터널 정보 테이블을 저장한다.
도 6을 참조하면, 터널 정보 테이블(Tunnel Info Table)에는 각 GTP 터널마다 UL-TEID, 사용자 단말 IP 주소(UE IP), MSISDN이 저장된다. 여기서, UL-TEID는 사용자 단말로부터 전송되는 GTP-U 패킷의 헤더에 삽입되는 Uplink TEID를 나타낸다. 예를 들어 소정의 GTP 터널을 통해 전송되는 GTP-U 패킷의 UL-TEID가 “0x02c091a6”인 경우, 상기 UL-TEID에 대응되는 사용자 단말 IP 주소(UE IP)는 “192.168.5.5”이고, MSISDN은 “010-1234-5678”로 저장된다.
모바일 네트워크에서 사용자 단말마다 하나의 GTP 터널이 생성되는 경우, 사용자 단말로부터 각 GTP 터널을 통해 전송되는 GTP-U 패킷은 각 UL-TEID를 갖게 된다. 또한, 각 사용자 단말마다 각 사용자 단말 IP 주소(UE IP)가 할당되고, 각 사용자 단말은 고유의 MSISDN을 가지고 있다.
터널 정보 테이블(Tunnel Info Table)에는 사용자 단말의 식별 정보로서 MSISDN 외에 IMSI가 저장될 수도 있다. 본 발명의 실시예에서는 설명의 편의를 위해 사용자 단말마다 하나의 GTP 터널이 생성되는 것으로 설명하지만, 본 발명의 실시예가 이에 한정되는 것은 아니다.
다시 도 5를 참조하면, 탐지 로그 저장부(150)는 비정상 패킷 탐지부(122)의 IP 스푸핑 패킷의 탐지 결과에 따라 탐지 로그를 저장한다. 탐지 로그는 사용자 단말의 식별 정보로서 MSISDN 또는 IMSI 중 적어도 하나를 포함한다. 탐지 로그는 사용자 단말의 식별 정보 외에, 탐지 시간, 차단 유무, UL-TEID, 목적지 IP 주소, 목적지 포트, 송신지 IP 주소, 송신지 포트, 패킷의 길이 등을 더 포함할 수 있다.
NIC(131, 132)는 GTP-U 패킷을 수신하여 패킷 정보 추출부(112)에 전송하고, 패킷 처리부(113)의 제어 신호에 따라 상기 GTP-U 패킷이 전송되도록 한다. NIC(131, 132)는 일반적인 네트워크 인터페이스 카드이거나 하드웨어 가속 네트워크 인터페이스 카드일 수 있다.
도 5의 IP 스푸핑 탐지 장치(1)에서, 패킷 정보 추출부(112), 비정상 패킷 탐지부(122), 패킷 처리부(113), 터널 정보 저장부(140), 탐지 로그 저장부(150)를 별도의 구성 요소로 설명하였으나, 패킷 정보 추출부(112), 비정상 패킷 탐지부(122), 패킷 처리부(113)가 일체로 구성되거나, 터널 정보 저장부(140), 탐지 로그 저장부(150)가 일체로 구성될 수 있음은 본 발명이 속하는 기술 분야의 통상의 기술자에게 자명하다.
도 7은 도 5의 비정상 패킷 탐지부가 IP 스푸핑 패킷을 탐지하는 방법을 설명하기 위한 개략적인 흐름도이다.
도 7을 참조하면, 패킷 정보 추출부(112)가 GTP-U 패킷으로부터 각종 패킷 정보를 추출한다(S210). 각종 패킷 정보는 상술한 바와 같이, 상기 GTP-U 패킷의 헤더로부터 추출된 메시지 타입(Msg Type), TEID, 페이로드로부터 추출된 IP 패킷의 목적지 IP 주소(Dst IP), 목적지 포트(Dst Port), 송신지 IP 주소(Src IP), 송신지 포트(Src Port), 패킷의 길이(Length)를 포함한다.
이어서, 비정상 패킷 탐지부(122)가 GTP-U 패킷의 패킷 정보에서 UL-TEID 및 송신지 IP 주소를 추출한다(S220). 여기서, UL-TEID는 상술한 바와 같이, 사용자 단말로부터 전송되는 GTP-U 패킷의 헤더에 삽입되는 Uplink TEID를 나타낸다
이어서, 비정상 패킷 탐지부(122)는 터널 정보 테이블(Tunnel Info Table)에서 상기 UL-TEID 및 사용자 단말 IP 주소(UE IP)를 조회한다(S230). 보다 상세하게, 비정상 패킷 탐지부(122)는 터널 정보 테이블에서 상기 UL-TEID에 대응되는 사용자 단말 IP 주소(UE IP)를 조회한다.
이어서, 비정상 패킷 탐지부(122)는 GTP-U 패킷의 패킷 정보에서 추출한 송신지 IP 주소(Src IP)와 터널 정보 테이블에서 조회된 사용자 단말 IP 주소(UE IP)가 동일한지 판단한다(S240).
이어서, 비정상 패킷 탐지부(122)는 UL-TEID는 서로 동일하지만, 송신지 IP 주소와 사용자 단말 IP 주소가 서로 다른 경우, 상기 GTP-U 패킷을 IP 스푸핑 패킷으로 탐지하게 된다(S250).
이어서, 패킷 처리부(113)는 IP 스푸핑 패킷으로 탐지된 상기 GTP-U 패킷을 드롭시킨다(S260).
이어서, 비정상 패킷 탐지부(122)는 IP 스푸핑 패킷의 탐지 결과에 따라 탐지 로그를 기록한다(S270). 탐지 로그는 상술한 바와 같이, 사용자 단말의 식별 정보로서 MSISDN 또는 IMSI 중 적어도 하나를 포함한다.
한편, 패킷 처리부(113)는 UL-TEID가 서로 동일하고, 송신지 IP 주소와 사용자 단말 IP 주소도 서로 동일한 경우, 상기 GTP-U 패킷을 포워딩한다(S280).
정상적인 GTP-U 패킷의 경우, 사용자 단말로부터 각 GTP 터널을 통해 전송되는 GTP-U 패킷은 동일한 송신지 IP 주소를 갖는다. 즉, GTP-U 패킷의 송신지 IP 주소는 사용자 단말에 할당된 사용자 단말 IP 주소와 동일해야 한다. 따라서, GTP-U 패킷으로부터 추출된 송신지 IP 주소와 미리 저장된 터널 정보 테이블로부터 조회된 사용자 단말 IP 주소가 동일하지 않은 경우에는, IP 스푸핑이 발생한 것으로 탐지할 수 있다.
도 7의 비정상 패킷 탐지부(122)가 IP 스푸핑 패킷을 탐지하는 방법에서, 각 단계가 순차적으로 수행되는 것으로 설명하였으나, 본 발명의 실시예가 이에 한정되는 것은 아니다. 예를 들어, 도 7의 S220 단계와 S230 단계는 순서가 바뀌어 수행되거나 동시에 수행되더라도 무방하다는 것은, 본 발명이 속하는 기술 분야의 통상의 기술자에게 자명하다.
도 8은 본 발명의 다른 일 실시예에 따른 IP 스푸핑 탐지 장치의 구성을 도시하는 개략적인 블록도이다. 설명의 편의를 위해, 도 5의 IP 스푸핑 탐지 장치(1)와 차이점을 중점으로 설명하기로 한다.
도 8을 참조하면, 본 발명의 다른 일 실시예에 따른 IP 스푸핑 탐지 장치(2)는 패킷 관리 모듈(110), 패킷 분석 모듈(120), 터널 정보 저장부(140), 탐지 로그 저장부(150), NIC(131, 132)를 포함한다.
패킷 관리 모듈(110)은 패킷 분류부(111), 패킷 정보 추출부(112a), 패킷 처리부(113)를 포함한다.
패킷 분류부(111)는 GTP 패킷을 분류한다. 패킷 분류부(111)는 GTP 패킷을 GTP-C 패킷과 GTP-U 패킷으로 분류할 수 있다. 패킷 분류부(111)는 GTP-C 패킷을 버전에 따라 GTP 버전 1과 GTP 버전 2로 분류하거나, 메시지 타입에 따라 분류할 수도 있다. 패킷 분류부(111)는 GTP-U 패킷을 사용자 단말로부터 전송되는 Uplink Data 패킷과 외부 네트워크로부터 전송되는 Downlink Data 패킷으로 분류할 수 있다.
패킷 정보 추출부(112a)는 패킷 분류부(111)의 분류 결과에 따라 GTP 패킷으로부터 각종 패킷 정보를 추출한다.
패킷 정보 추출부(112a)는 GTP-C 패킷의 경우, GTP-C 패킷의 헤더로부터 메시지 타입(Msg Type), TEID를 추출하고, 페이로드로부터 이후 전송되는 GTP 패킷에 할당되는 TEID, MSISDN, IMSI, 사용자 단말 IP 주소(UE IP)를 추출한다.
패킷 정보 추출부(112a)는 GTP-U 패킷의 경우, GTP-U 패킷의 헤더로부터 메시지 타입(Msg Type), TEID를 추출하고, 페이로드로부터 IP 패킷의 목적지 IP 주소(Dst IP), 목적지 포트(Dst Port), 송신지 IP 주소(Src IP), 송신지 포트(Src Port), 패킷의 길이(Length)를 추출한다.
패킷 분석 모듈(120)은 터널 정보 추출부(121a), 비정상 패킷 탐지부(122)를 포함한다.
터널 정보 추출부(121a)는 패킷 정보 추출부(112a)에 의해 추출된 GTP-C 패킷의 패킷 정보를 기초로 터널 정보를 추출한다. 터널 정보는 각 GTP 터널의 UL-TEID, 사용자 단말 IP 주소(UE IP), MSISDN을 포함한다. 터널 정보는 사용자 단말의 식별 정보로서 MSISDN 외에 IMSI를 포함할 수도 있다. 터널 정보 추출부(121a)는 추출된 터널 정보를 터널 정보 저장부(140)에 저장한다.
터널 정보 저장부(140)는 각 GTP 터널의 고유 정보가 기록된 터널 정보 테이블을 저장한다. 터널 정보 테이블에는 터널 정보 추출부(121a)가 추출한 각 GTP 터널의 터널 정보가 저장된다.
도 8의 IP 스푸핑 탐지 장치(2)에서, 패킷 관리 모듈(110), 패킷 분석 모듈(120)을 별도의 구성 요소로 설명하였으나, 패킷 관리 모듈(110), 패킷 분석 모듈(120)이 일체로 구성될 수 있음은 본 발명이 속하는 기술 분야의 통상의 기술자에게 자명하다.
도 8의 IP 스푸핑 탐지 장치(2)는 WCDA 네트워크에서 GTP 패킷이 송수신되는 SGSN(20)과 GGSN(30) 사이 Gn 인터페이스에 배치되어 사용될 수 있다. 또한, 도 8의 IP 스푸핑 탐지 장치(2)는 LTE 네트워크에서 GTP 패킷이 송수신되는 S-GW(60)와 P-GW(70) 사이 S5 인터페이스에 배치되어 사용될 수 있다.
도 9는 WCDMA 네트워크에서의 데이터 호 설정 및 데이터 전송 과정을 설명하기 위한 개략적인 도면이고, 도 10은 도 9의 데이터 호 설정 및 데이터 전송 과정에서 GTP 패킷에 삽입되는 정보를 설명하기 위한 개략적인 도면이다.
도 9를 참조하면, WCDMA 네트워크에서 SGSN(20)과 GGSN(30) 사이에서 GTP 터널을 생성하기 위해 CP Req 메시지, CP Resp 메시지가 전송된다.
도 10을 참조하면, CP Req 메시지의 페이로드에는, 사용자 단말의 식별 정보로서 MSISDN, 예를 들어 “010-1234-5678”이 삽입되고, 패킷 정보 추출부(112a)는 CP Req 메시지의 페이로드로부터 상기 MSISDN를 추출할 수 있다. CP Req 메시지의 페이로드에 IMSI가 삽입되는 경우, 패킷 정보 추출부(112a)는 동일하게 CP Req 메시지의 페이로드로부터 상기 IMSI를 추출할 수 있다.
CP Resp 메시지의 페이로드에는, 이후 사용자 단말로부터 전송되는 GTP 패킷에 할당되는 UL-TEID, 예를 들어 “0xab000003”이 삽입되고, 패킷 정보 추출부(112a)는 CP Resp 메시지의 페이로드로부터 상기 UL-TEID를 추출할 수 있다. 또한, CP Resp 메시지의 페이로드에는, 사용자 단말에 할당되는 사용자 단말 IP 주소, 예를 들어 “192.168.5.5”가 삽입되고, 패킷 정보 추출부(112a)는 CP Resp 메시지의 페이로드로부터 상기 사용자 단말 IP 주소를 추출할 수 있다.
터널 정보 저장부(140)는 패킷 정보 추출부(112a)에 의해 추출된 상기 터널 정보를 기초로, 각 GTP 터널마다 UL-TEID, 사용자 단말 IP 주소, MSISDN를 저장한다.
다시 도 9를 참조하면, GTP 터널이 생성되어 SGSN(20)과 GGSN(30) 사이에서 GTP-U 패킷이 전송된다.
도 10을 참조하면, UL-Data의 GTP-U 패킷의 헤더에는 UL-TEID, 예를 들어 “0xab000003”이 삽입되고, 패킷 정보 추출부(112a)는 UL-Data의 GTP-U 패킷의 헤더로부터 상기 UL-TEID를 추출할 수 있다. 또한, UL-Data의 GTP-U 패킷의 페이로드에는 IP 패킷의 송신지 IP 주소, 예를 들어 “192.168.5.5”가 삽입되고, 패킷 정보 추출부(112a)는 UL-Data의 GTP-U 패킷의 페이로드로부터 상기 송신지 IP 주소를 추출할 수 있다.
비정상 패킷 탐지부(122)는 터널 정보 테이블에서 상기 추출된 UL-TEID, 예를 들어 “0xab000003”에 대응되는 사용자 단말 IP 주소를 조회하고, 상기 송신지 IP 주소와 상기 사용자 단말 IP 주소를 비교하여 IP 스푸핑 패킷을 탐지한다.
다시 도 9를 참조하면, SGSN(20)과 GGSN(30) 사이에서 GTP 터널을 갱신하기 위해 UP Req 메시지, UP Resp 메시지가 전송된다.
도 10을 참조하면, GTP 터널이 갱신됨에 따라, UP Resp 메시지의 페이로드에는, 이후 사용자 단말로부터 전송되는 GTP 패킷에 할당되는 갱신된 UL-TEID, 예를 들어 “0xab000006”이 삽입되고, 패킷 정보 추출부(112a)는 UP Resp 메시지의 페이로드로부터 상기 갱신된 UL-TEID를 추출할 수 있다. 여기서, UP Resp 메시지의 헤더에 삽입되는 TEID는 CP Req 메시지의 페이로드에 삽입되는 TEID Control Plane, 예를 들어 “0xab000002”로 동일하다.
다시 도 9를 참조하면, GTP 터널이 갱신되어 SGSN(20)과 GGSN(30) 사이에서 GTP-U 패킷이 전송된다
도 10을 참조하면, UL-Data의 GTP-U 패킷의 헤더에는 UL-TEID, 예를 들어 “0xab000006”이 삽입되고, 패킷 정보 추출부(112a)는 UL-Data의 GTP-U 패킷의 헤더로부터 상기 UL-TEID를 추출할 수 있다. 또한, UL-Data의 GTP-U 패킷의 페이로드에는 IP 패킷의 송신지 IP 주소, 예를 들어 “192.168.5.5”가 삽입되고, 패킷 정보 추출부(112a)는 UL-Data의 GTP-U 패킷의 페이로드로부터 상기 송신지 IP 주소를 추출할 수 있다.
비정상 패킷 탐지부(122)는 터널 정보 테이블에서 상기 추출된 UL-TEID, 예를 들어 “0xab000006”에 대응되는 사용자 단말 IP 주소를 조회하고, 상기 송신지 IP 주소와 상기 사용자 단말 IP 주소를 비교하여 IP 스푸핑 패킷을 탐지한다.
WCDMA 네트워크에서의 데이터 호 설정 및 데이터 전송 과정에 대한 상세한 설명은 본 발명의 요지를 불필요하게 흐릴 수 있으므로, 이하 상세한 설명은 생략하기로 한다.
도 11은 LTE 네트워크에서의 데이터 호 설정 및 데이터 전송 과정을 설명하기 위한 개략적인 도면이고, 도 12는 도 11의 데이터 호 설정 및 데이터 전송 과정에서 GTP 패킷에 삽입되는 정보를 설명하기 위한 개략적인 도면이다.
도 11을 참조하면, LTE 네트워크에서 S-GW(60)과 P-GW(70) 사이에서 GTP 터널을 생성하기 위해 CS Req 메시지, CS Resp 메시지, MB Req 메시지, MB Resp 메시지, CB Req 메시지, CB Resp 메시지가 전송된다.
도 12를 참조하면, CS Req 메시지의 페이로드에는, 사용자 단말의 식별 정보로서 MSISDN, 예를 들어 “010-1234-5678”이 삽입되고, 패킷 정보 추출부(112a)는 CS Req 메시지의 페이로드로부터 상기 MSISDN를 추출할 수 있다. CS Req 메시지의 페이로드에 IMSI가 삽입되는 경우, 패킷 정보 추출부(112a)는 동일하게 CS Req 메시지의 페이로드로부터 상기 IMSI를 추출할 수 있다.
CS Resp 메시지의 페이로드에는, 사용자 단말에 할당되는 사용자 단말 IP 주소, 예를 들어 “192.168.5.5”가 삽입되고, 패킷 정보 추출부(112a)는 CS Resp 메시지의 페이로드로부터 상기 사용자 단말 IP 주소를 추출할 수 있다.
MB Resp 메시지의 페이로드에는, 이후 사용자 단말로부터 전송되는 GTP 패킷에 할당되는 UL-TEID, 예를 들어 “0xab000003”이 삽입되고, 패킷 정보 추출부(112a)는 MB Resp 메시지의 페이로드로부터 상기 UL-TEID를 추출할 수 있다.
터널 정보 저장부(140)는 패킷 정보 추출부(112a)에 의해 추출된 상기 터널 정보를 기초로, 각 GTP 터널마다 UL-TEID, 사용자 단말 IP 주소, MSISDN를 저장한다.
다시 도 11을 참조하면, GTP 터널이 생성되어 S-GW(60)과 P-GW(70) 사이에서 GTP-U 패킷이 전송된다.
도 12를 참조하면, UL-Data의 GTP-U 패킷의 헤더에는 UL-TEID, 예를 들어 “0xcd000004”이 삽입되고, 패킷 정보 추출부(112a)는 UL-Data의 GTP-U 패킷의 헤더로부터 상기 UL-TEID를 추출할 수 있다. 또한, UL-Data의 GTP-U 패킷의 페이로드에는 IP 패킷의 송신지 IP 주소, 예를 들어 “192.168.5.5”가 삽입되고, 패킷 정보 추출부(112a)는 UL-Data의 GTP-U 패킷의 페이로드로부터 상기 송신지 IP 주소를 추출할 수 있다.
비정상 패킷 탐지부(122)는 터널 정보 테이블에서 상기 추출된 UL-TEID, 예를 들어 “0xcd000004”에 대응되는 사용자 단말 IP 주소를 조회하고, 상기 송신지 IP 주소와 상기 사용자 단말 IP 주소를 비교하여 IP 스푸핑 패킷을 탐지한다.
다시 도 11을 참조하면, S-GW(60)과 P-GW(70) 사이에서 GTP 터널을 갱신하기 위해 MB Req 메시지, MB Resp 메시지가 전송된다.
도 12를 참조하면, GTP 터널이 갱신됨에 따라, MB Resp 메시지의 페이로드에는, 이후 사용자 단말로부터 전송되는 GTP 패킷에 할당되는 갱신된 UL-TEID, 예를 들어 “0xcd000005”이 삽입되고, 패킷 정보 추출부(112a)는 MB Resp 메시지의 페이로드로부터 상기 갱신된 UL-TEID를 추출할 수 있다. 여기서, MB Resp 메시지의 헤더에 삽입되는 TEID는 CS Req 메시지의 페이로드에 삽입되는 F-TEID, 예를 들어 “0xcd000001”로 동일하다.
다시 도 11을 참조하면, GTP 터널이 갱신되어 S-GW(60)과 P-GW(70) 사이에서 GTP-U 패킷이 전송된다.
도 12를 참조하면, UL-Data의 GTP-U 패킷의 헤더에는 UL-TEID, 예를 들어 “0xcd000005”이 삽입되고, 패킷 정보 추출부(112a)는 UL-Data의 GTP-U 패킷의 헤더로부터 상기 UL-TEID를 추출할 수 있다. 또한, UL-Data의 GTP-U 패킷의 페이로드에는 IP 패킷의 송신지 IP 주소, 예를 들어 “192.168.5.5”가 삽입되고, 패킷 정보 추출부(112a)는 UL-Data의 GTP-U 패킷의 페이로드로부터 상기 송신지 IP 주소를 추출할 수 있다.
비정상 패킷 탐지부(122)는 터널 정보 테이블에서 상기 추출된 UL-TEID, 예를 들어 “0xcd000005”에 대응되는 사용자 단말 IP 주소를 조회하고, 상기 송신지 IP 주소와 상기 사용자 단말 IP 주소를 비교하여 IP 스푸핑 패킷을 탐지한다.
한편, LTE 네트워크에서, GTP-C 패킷은 MME(50)와 S-GW(60) 사이에서 전송되고, GTP-U 패킷은 eNB(40)와 S-GW(60) 사이에서 전송될 수 있다. 패킷 정보 추출부(112a)는 상기 네트워크의 구성 사이에서 송수신되는 GTP 패킷에 대하여도, 도 11 내지 도 12에서 상술한 바와 실질적으로 동일하게 패킷 정보 또는 터널 정보를 추출할 수 있다.
LTE 네트워크에서의 데이터 호 설정 및 데이터 전송 과정에 대한 상세한 설명은 본 발명의 요지를 불필요하게 흐릴 수 있으므로, 이하 상세한 설명은 생략하기로 한다.
도 13은 본 발명의 다른 일 실시예에 따른 IP 스푸핑 탐지 장치의 구성을 도시하는 개략적인 블록도이다. 설명의 편의를 위해, 도 8의 IP 스푸핑 탐지 장치(2)와 차이점을 중점으로 설명하기로 한다.
도 13을 참조하면, 본 발명의 다른 일 실시예에 따른 IP 스푸핑 탐지 장치(3)는 패킷 관리 모듈(110), 패킷 분석 모듈(120), 터널 정보 저장부(140), 탐지 로그 저장부(150), 호 관리 정보 저장부(160), NIC(131, 132)를 포함한다.
패킷 관리 모듈(110)은 패킷 분류부(111), 패킷 정보 추출부(112b), 패킷 처리부(113)를 포함한다.
패킷 정보 추출부(112b)는 패킷 분류부(111)의 분류 결과에 따라 GTP 패킷으로부터 각종 패킷 정보를 추출한다.
패킷 정보 추출부(112b)는 GTP-C 패킷의 경우, GTP-C 패킷의 헤더로부터 메시지 타입(Msg Type), TEID를 추출하고, 페이로드로부터 이후 전송되는 GTP 패킷에 할당되는 TEID, MSISDN, IMSI를 추출한다.
패킷 분석 모듈(120)은 터널 정보 추출부(121b), 비정상 패킷 탐지부(122)를 포함한다.
터널 정보 추출부(121b)는 패킷 정보 추출부(112b)에 의해 추출된 GTP-C 패킷의 패킷 정보를 기초로 터널 정보를 추출한다. 터널 정보는 각 GTP 터널의 MSISDN을 포함한다. 터널 정보는 사용자 단말의 식별 정보로서 MSISDN 외에 IMSI를 포함할 수도 있다. 터널 정보 추출부(121b)는 추출된 터널 정보를 터널 정보 저장부(140)에 저장한다.
호 관리 정보 저장부(160)에는 모바일 네트워크의 GTP 터널 생성시 GTP-C 패킷에 삽입되어 전송되는 UL-TEID, 사용자 단말 IP 주소(UE IP)가 기록된다. 호 관리 정보 저장부(160)에는 GTP 터널 갱신시 GTP-C 패킷에 삽입되어 전송되는 갱신된 UL-TEID가 기록될 수도 있다. 호 관리 정보 저장부(160)에 기록된 UL-TEID, 사용자 단말 IP 주소(UE IP)는 터널 정보 저장부(140)에 전송된다.
터널 정보 저장부(140)는 각 GTP 터널의 고유 정보가 기록된 터널 정보 테이블을 저장한다. 터널 정보 테이블(Tunnel Info Table)에는 각 GTP 터널마다 UL-TEID, 사용자 단말 IP 주소, MSISDN이 저장된다.
도 13의 IP 스푸핑 탐지 장치(3)에서, 호 관리 정보 저장부(160), 터널 정보 저장부(140), 탐지 로그 저장부(150)를 별도의 구성 요소로 설명하였으나, 호 관리 정보 저장부(160), 터널 정보 저장부(140), 탐지 로그 저장부(150)가 일체로 구성될 수 있음은 본 발명이 속하는 기술 분야의 통상의 기술자에게 자명하다.
도 13의 IP 스푸핑 탐지 장치(3)는 WCDMA 네트워크에서 GTP 패킷을 송수신하는 GGSN(30)의 내부 어셈블리로 배치되어 사용될 수 있다. 또한, 도 13의 IP 스푸핑 탐지 장치(3)는 LTE 네트워크에서 GTP 패킷을 송수신하는 S-GW(60), P-GW(70)의 내부 어셈블리로 배치되어 사용될 수도 있다. 또한, 도 13의 IP 스푸핑 탐지 장치(3)는 모바일 네트워크의 각 구성과 접속되어 사용될 수도 있다.
도 14는 본 발명의 다른 일 실시예에 따른 IP 스푸핑 탐지 장치의 구성을 도시하는 개략적인 블록도이다. 설명의 편의를 위해, 도 5의 IP 스푸핑 탐지 장치(1)와 차이점을 중점으로 설명하기로 한다.
도 14를 참조하면, 본 발명의 다른 일 실시예에 따른 IP 스푸핑 탐지 장치(4)는 패킷 관리 모듈(110), 비정상 패킷 탐지부(122), 터널 정보 저장부(140), 탐지 로그 저장부(150), 터널 정보 수신부(170), NIC(131, 132)를 포함한다.
패킷 관리 모듈(110)은 패킷 정보 추출부(112), 패킷 처리부(113)를 포함한다.
터널 정보 수신부(170)는 외부 장치로부터 각 GTP 터널의 터널 정보(Tunnel Info)를 전송 받는다. 터널 정보(Tunnel Info)는 GTP-C 패킷의 헤더로부터 추출된 메시지 타입(Msg Type), TEID를 포함하고, 페이로드로부터 추출된 이후 전송되는 GTP 패킷에 할당되는 TEID, MSISDN, IMSI, 사용자 단말 IP 주소를 포함한다.
터널 정보 저장부(140)는 각 GTP 터널의 고유 정보가 기록된 터널 정보 테이블을 저장한다. 터널 정보 테이블에는 터널 정보 수신부(170)에서 전송한 각 GTP 터널의 터널 정보가 저장된다.
도 14의 IP 스푸핑 탐지 장치(4)는 LTE 네트워크에서 GTP-U 패킷을 송수신하는 eNB(40)와 S-GW(60) 사이 S1-U 인터페이스에 배치되어 사용될 수 있다. 이 경우 터널 정보 수신부(170)에 각 GTP 터널의 터널 정보(Tunnel Info)를 전송하는 외부 장치는 MME(50)와 S-GW(60) 사이 S11 인터페이스에 배치될 수 있다. 외부 장치는 본 발명의 몇몇 실시예에 따른 IP 스푸핑 탐지 장치의 패킷 분류부(111), 패킷 정보 추출부(112a, 112b), 터널 정보 추출부(121a, 121b) 등을 포함할 수 있을 것이다.
이상에서 설명한 본 발명의 몇몇 실시예에 따른 IP 스푸핑 탐지 장치는 WCDMA 네트워크 또는 LTE 네트워크에 사용될 수 있으나 이에 한정되는 것은 아니다. 본 발명의 몇몇 실시예에 따른 IP 스푸핑 탐지 장치는 GTP 패킷이 사용되는 다양한 네트워크에 대해서도 실질적으로 동일한 방식으로 사용될 수 있음은 본 발명이 속하는 기술분야의 통상의 기술자에게 자명하다.
본 발명의 실시예들과 관련하여 설명된 방법 또는 알고리즘의 단계는 프로세서에 의해 실행되는 하드웨어, 소프트웨어 모듈, 또는 그 2 개의 결합으로 직접 구현될 수 있다. 소프트웨어 모듈은 RAM 메모리, 플래시 메모리, ROM 메모리, EPROM 메모리, EEPROM 메모리, 레지스터, 하드 디스크, 착탈형 디스크, CD-ROM, 또는 당업계에 알려진 임의의 다른 형태의 저장 매체에 상주할 수도 있다. 예시적인 저장 매체는 프로세서에 커플링되며, 그 프로세서는 저장 매체로부터 정보를 판독할 수 있고 저장 매체에 정보를 기입할 수 있다. 다른 방법으로, 저장 매체는 프로세서와 일체형일 수도 있다. 프로세서 및 저장 매체는 주문형 집적회로(ASIC) 내에 상주할 수도 있다. ASIC는 사용자 단말기 내에 상주할 수도 있다. 다른 방법으로, 프로세서 및 저장 매체는 사용자 단말기 내에 개별 컴포넌트로서 상주할 수도 있다.
이상 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
112: 패킷 정보 추출부 113: 패킷 처리부
122: 비정상 패킷 탐지부 140: 터널 정보 저장부
150: 탐지 로그 저장부

Claims (20)

  1. 제1 GTP 패킷의 페이로드로부터 제1 TEID와 사용자 단말 IP 주소를 추출하는 터널 정보 추출부; 및
    제2 GTP 패킷의 헤더로부터 제2 TEID를 추출하고, 페이로드로부터 송신지 IP 주소를 추출하는 비정상 패킷 탐지부를 포함하되,
    상기 비정상 패킷 탐지부는 상기 제1 TEID와 상기 제2 TEID가 서로 동일하고, 상기 사용자 단말 IP 주소와 상기 송신지 IP 주소가 서로 다르면, 상기 제2 GTP 패킷을 IP 스푸핑 패킷으로 탐지하는 IP 스푸핑 탐지 장치.
  2. 제1항에 있어서,
    상기 터널 정보 추출부는 제3 GTP 패킷의 페이로드로부터 제3 TEID를 추출하고,
    상기 비정상 패킷 탐지부는 상기 제3 TEID와 상기 제2 TEID가 서로 동일하고, 상기 사용자 단말 IP 주소와 상기 송신지 IP 주소가 서로 다르면, 상기 제2 GTP 패킷을 IP 스푸핑 패킷으로 탐지하는 IP 스푸핑 탐지 장치.
  3. 제1항 또는 제2항에 있어서,
    상기 제2 GTP 패킷이 IP 스푸핑 패킷으로 탐지되면, 상기 제2 GTP 패킷을 드롭시키는 패킷 처리부를 더 포함하는 IP 스푸핑 탐지 장치.
  4. 제1항 또는 제2항에 있어서,
    상기 터널 정보 추출부는 제4 GTP 패킷의 페이로드로부터 MSISDN 또는 IMSI 중 적어도 하나를 추출하되, 상기 제4 GTP 패킷의 페이로드에 삽입되는 제4 TEID는 상기 제1 GTP 패킷의 헤더에 삽입되는 제5 TEID와 동일한 IP 스푸핑 탐지 장치.
  5. 제4항에 있어서,
    상기 제2 GTP 패킷이 IP 스푸핑 패킷으로 탐지되면, 상기 MSISDN 또는 IMSI 중 적어도 하나를 기록하는 탐지 로그 저장부를 더 포함하는 IP 스푸핑 탐지 장치.
  6. 제5항에 있어서,
    상기 탐지 로그 저장부는 상기 제2 GTP 패킷이 IP 스푸핑 패킷으로 탐지되면, 탐지 시간, 차단 유무, 상기 제2 TEID, 목적지 IP 주소, 목적지 포트, 송신지 IP 주소, 송신지 포트, 패킷의 길이 중 적어도 하나를 기록하는 IP 스푸핑 탐지 장치.
  7. 제1 GTP 패킷의 페이로드에 삽입되는 제1 TEID와 사용자 단말 IP 주소가 기록되는 호 관리 정보 저장부; 및
    제2 GTP 패킷의 헤더로부터 제2 TEID를 추출하고, 페이로드로부터 송신지 IP 주소를 추출하는 비정상 패킷 탐지부를 포함하되,
    상기 비정상 패킷 탐지부는 상기 제1 TEID와 상기 제2 TEID가 서로 동일하고, 상기 사용자 단말 IP 주소와 상기 송신지 IP 주소가 서로 다르면, 상기 제2 GTP 패킷을 IP 스푸핑 패킷으로 탐지하는 IP 스푸핑 탐지 장치.
  8. 제7항에 있어서,
    상기 호 관리 정보 저장부는 제3 GTP 패킷의 페이로드에 삽입되는 제3 TEID가 기록되고,
    상기 비정상 패킷 탐지부는 상기 제3 TEID와 상기 제2 TEID가 서로 동일하고, 상기 사용자 단말 IP 주소와 상기 송신지 IP 주소가 서로 다르면, 상기 제2 GTP 패킷을 IP 스푸핑 패킷으로 탐지하는 IP 스푸핑 탐지 장치.
  9. 제7항 또는 제8항에 있어서,
    상기 제2 GTP 패킷이 IP 스푸핑 패킷으로 탐지되면, 상기 제2 GTP 패킷을 드롭시키는 패킷 처리부를 더 포함하는 IP 스푸핑 탐지 장치.
  10. 제7항 또는 제8항에 있어서,
    제4 GTP 패킷의 페이로드로부터 MSISDN 또는 IMSI 중 적어도 하나를 추출하는 터널 정보 추출부를 더 포함하되, 상기 제4 GTP 패킷의 페이로드에 삽입되는 제4 TEID는 상기 제1 GTP 패킷의 헤더에 삽입되는 제5 TEID와 동일한 IP 스푸핑 탐지 장치.
  11. 제10항에 있어서,
    상기 제2 GTP 패킷이 IP 스푸핑 패킷으로 탐지되면, 상기 MSISDN 또는 IMSI 중 적어도 하나를 기록하는 탐지 로그 저장부를 더 포함하는 IP 스푸핑 탐지 장치.
  12. 제11항에 있어서,
    상기 탐지 로그 저장부는 상기 제2 GTP 패킷이 IP 스푸핑 패킷으로 탐지되면, 탐지 시간, 차단 유무, 상기 제2 TEID, 목적지 IP 주소, 목적지 포트, 송신지 IP 주소, 송신지 포트, 패킷의 길이 중 적어도 하나를 기록하는 IP 스푸핑 탐지 장치.
  13. 제1 GTP 패킷의 페이로드로부터 추출된 제1 TEID와 사용자 단말 IP 주소를 전송받는 터널 정보 수신부; 및
    제2 GTP 패킷의 헤더로부터 제2 TEID를 추출하고, 페이로드로부터 송신지 IP 주소를 추출하는 비정상 패킷 탐지부를 포함하되,
    상기 비정상 패킷 탐지부는 상기 제1 TEID와 상기 제2 TEID가 서로 동일하고, 상기 사용자 단말 IP 주소와 상기 송신지 IP 주소가 서로 다르면, 상기 제2 GTP 패킷을 IP 스푸핑 패킷으로 탐지하는 IP 스푸핑 탐지 장치.
  14. 제13항에 있어서,
    상기 터널 정보 수신부는 제3 GTP 패킷의 페이로드로부터 추출된 제3 TEID를 전송받고,
    상기 비정상 패킷 탐지부는 상기 제3 TEID와 상기 제2 TEID가 서로 동일하고, 상기 사용자 단말 IP 주소와 상기 송신지 IP 주소가 서로 다르면, 상기 제2 GTP 패킷을 IP 스푸핑 패킷으로 탐지하는 IP 스푸핑 탐지 장치.
  15. 제13항 또는 제14항에 있어서,
    상기 제2 GTP 패킷이 IP 스푸핑 패킷으로 탐지되면, 상기 제2 GTP 패킷을 드롭시키는 패킷 처리부를 더 포함하는 IP 스푸핑 탐지 장치.
  16. 제13항 또는 제14항에 있어서
    상기 터널 정보 수신부는 제4 GTP 패킷의 페이로드로부터 추출된 MSISDN 또는 IMSI 중 적어도 하나를 전송받되, 상기 제4 GTP 패킷의 페이로드에 삽입되는 제4 TEID는 상기 제1 GTP 패킷의 헤더에 삽입되는 제5 TEID와 동일한 IP 스푸핑 탐지 장치.
  17. 제16항에 있어서,
    상기 제2 GTP 패킷이 IP 스푸핑 패킷으로 탐지되면, 상기 MSISDN 또는 IMSI 중 적어도 하나를 기록하는 탐지 로그 저장부를 더 포함하는 IP 스푸핑 탐지 장치.
  18. 제17항에 있어서,
    상기 탐지 로그 저장부는 상기 제2 GTP 패킷이 IP 스푸핑 패킷으로 탐지되면, 탐지 시간, 차단 유무, 상기 제2 TEID, 목적지 IP 주소, 목적지 포트, 송신지 IP 주소, 송신지 포트, 패킷의 길이 중 적어도 하나를 기록하는 IP 스푸핑 탐지 장치.
  19. GTP 패킷의 헤더로부터 TEID를 추출하고, 페이로드로부터 송신지 IP 주소를 추출하는 패킷 정보 추출부;
    미리 저장된 터널 정보로부터 상기 TEID에 대응되는 사용자 단말 IP 주소를 조회하고, 상기 송신지 IP 주소와 상기 사용자 단말 IP 주소가 서로 다르면, 상기 GTP 패킷을 IP 스푸핑 패킷으로 탐지하는 비정상 패킷 탐지부;
    상기 GTP 패킷이 IP 스푸핑 패킷으로 탐지되면, 상기 GTP 패킷을 드롭시키는 패킷 처리부; 및
    상기 GTP 패킷이 IP 스푸핑 패킷으로 탐지되면, 상기 GTP 패킷을 전송한 사용자 단말의 MSISDN 또는 IMSI 중 적어도 하나를 기록하는 탐지 로그 저장부를 포함하는 IP 스푸핑 탐지 장치.
  20. 삭제
KR1020120099900A 2012-09-10 2012-09-10 Ip 스푸핑 탐지 장치 KR101228089B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020120099900A KR101228089B1 (ko) 2012-09-10 2012-09-10 Ip 스푸핑 탐지 장치
US13/676,300 US20140075538A1 (en) 2012-09-10 2012-11-14 Ip spoofing detection apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120099900A KR101228089B1 (ko) 2012-09-10 2012-09-10 Ip 스푸핑 탐지 장치

Publications (1)

Publication Number Publication Date
KR101228089B1 true KR101228089B1 (ko) 2013-02-01

Family

ID=47898666

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120099900A KR101228089B1 (ko) 2012-09-10 2012-09-10 Ip 스푸핑 탐지 장치

Country Status (2)

Country Link
US (1) US20140075538A1 (ko)
KR (1) KR101228089B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101501670B1 (ko) * 2013-12-03 2015-03-12 한국인터넷진흥원 이동통신망 공격/비정상 트래픽 유발 사용자 식별방법
WO2016098990A1 (en) * 2014-12-17 2016-06-23 Korea Internet & Security Agency Apparatus, system and method for detecting abnormal message for obtaining location information based on volte service in 4g mobile networks
KR20210089592A (ko) * 2020-01-08 2021-07-16 건국대학교 산학협력단 DRDoS 공격 탐지 방법 및 이를 수행하는 장치들

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8982842B2 (en) * 2012-11-16 2015-03-17 Tektronix, Inc. Monitoring 3G/4G handovers in telecommunication networks
CN105635067B (zh) * 2014-11-04 2019-11-15 华为技术有限公司 报文发送方法及装置
US10148614B2 (en) * 2016-07-27 2018-12-04 Oracle International Corporation Methods, systems, and computer readable media for applying a subscriber based policy to a network service data flow
JP6663868B2 (ja) * 2017-01-26 2020-03-13 株式会社日立製作所 ネットワークシステム、ネットワーク管理方法及び装置
WO2024134248A1 (en) * 2022-12-19 2024-06-27 Telefonaktiebolaget Lm Ericsson (Publ) Method for ue location determination based on cellular connection

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101162284B1 (ko) * 2011-12-12 2012-07-13 한국인터넷진흥원 비정상 gtp 패킷 침입 방지 시스템 및 방법
KR20120090574A (ko) * 2011-02-08 2012-08-17 주식회사 안랩 Arp록킹 기능을 이용한 arp스푸핑 공격 탐지 방법과 그 방법을 실행하기 위한 프로그램이 기록된 기록매체

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI110975B (fi) * 1999-12-22 2003-04-30 Nokia Corp Huijaamisen estäminen tietoliikennejärjestelmissä
US6957348B1 (en) * 2000-01-10 2005-10-18 Ncircle Network Security, Inc. Interoperability of vulnerability and intrusion detection systems
US7380272B2 (en) * 2000-05-17 2008-05-27 Deep Nines Incorporated System and method for detecting and eliminating IP spoofing in a data transmission network
US20030081607A1 (en) * 2001-10-30 2003-05-01 Alan Kavanagh General packet radio service tunneling protocol (GTP) packet filter
US7234163B1 (en) * 2002-09-16 2007-06-19 Cisco Technology, Inc. Method and apparatus for preventing spoofing of network addresses
KR100886551B1 (ko) * 2003-02-21 2009-03-02 삼성전자주식회사 이동통신시스템에서 인터넷 프로토콜 버전에 따른 트래픽플로우 탬플릿 패킷 필터링 장치 및 방법
US20040213172A1 (en) * 2003-04-24 2004-10-28 Myers Robert L. Anti-spoofing system and method
US7464183B1 (en) * 2003-12-11 2008-12-09 Nvidia Corporation Apparatus, system, and method to prevent address resolution cache spoofing
FI20075578A0 (fi) * 2007-08-17 2007-08-17 Nokia Siemens Networks Oy Paketin välittäminen tietoliikenneverkossa
CN101110821B (zh) * 2007-09-06 2010-07-07 华为技术有限公司 防止arp地址欺骗攻击的方法及装置
JP5760736B2 (ja) * 2011-06-22 2015-08-12 富士通株式会社 通信装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120090574A (ko) * 2011-02-08 2012-08-17 주식회사 안랩 Arp록킹 기능을 이용한 arp스푸핑 공격 탐지 방법과 그 방법을 실행하기 위한 프로그램이 기록된 기록매체
KR101162284B1 (ko) * 2011-12-12 2012-07-13 한국인터넷진흥원 비정상 gtp 패킷 침입 방지 시스템 및 방법

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101501670B1 (ko) * 2013-12-03 2015-03-12 한국인터넷진흥원 이동통신망 공격/비정상 트래픽 유발 사용자 식별방법
WO2016098990A1 (en) * 2014-12-17 2016-06-23 Korea Internet & Security Agency Apparatus, system and method for detecting abnormal message for obtaining location information based on volte service in 4g mobile networks
KR20210089592A (ko) * 2020-01-08 2021-07-16 건국대학교 산학협력단 DRDoS 공격 탐지 방법 및 이를 수행하는 장치들
KR102512622B1 (ko) * 2020-01-08 2023-03-23 건국대학교 산학협력단 DRDoS 공격 탐지 방법 및 이를 수행하는 장치들

Also Published As

Publication number Publication date
US20140075538A1 (en) 2014-03-13

Similar Documents

Publication Publication Date Title
KR101228089B1 (ko) Ip 스푸핑 탐지 장치
US11297061B2 (en) Methods and nodes for handling overload
US9313668B2 (en) Dynamic provisioning of TWAMP
US11696358B2 (en) Methods and nodes for handling bearers
US10484906B2 (en) Method and apparatus for applying different priorities to packets
KR101414231B1 (ko) 비정상 호 탐지 장치 및 방법
EP2978277B1 (en) Data transmission methods and gateways
JPWO2009025282A1 (ja) 送信方法及び移動局
WO2018103613A1 (zh) 一种业务数据处理的方法和装置
KR101541348B1 (ko) Gtp 네트워크 기반 세션 관리 방법 및 장치
WO2017157314A1 (zh) 基于本地卸载的监听方法及装置
KR101538309B1 (ko) 4G 모바일 네트워크에서의 비정상 VoLTE 등록 메시지 탐지 장치, 시스템 및 방법
JP2019521605A (ja) S8hrにおけるモビリティについての合法的傍受のためのims関連情報の転送
KR101536178B1 (ko) 4g 모바일 네트워크에서의 비정상 sdp 메시지 탐지 장치 및 방법
US20190098522A1 (en) Correlating tapped general packet radio service (gprs) tunneling protocol (gtp) and non-gtp packets for a subscriber's session for load balancing and filtering monitored traffic in a mobile network
KR101499022B1 (ko) 4g 모바일 네트워크에서의 비정상 mms 메시지 탐지 장치 및 방법
EP3314974B1 (en) Setting up a dedicated bearer in a radio communication network
US10485033B2 (en) Method and device for detecting small data from mobile communication system
KR101711074B1 (ko) 4g 모바일 네트워크에서의 sip 터널링 패킷 탐지 장치, 시스템 및 방법
KR101516234B1 (ko) 4g 모바일 네트워크에서의 비정상 sip subscribe 메시지 탐지 장치 및 방법
KR101541119B1 (ko) 4G 모바일 네트워크에서의 비정상 VoLTE 등록해제 메시지 탐지 장치, 시스템 및 방법
KR101785680B1 (ko) 4g 모바일 네트워크에서의 rtp 터널링 패킷 탐지 장치, 시스템 및 방법
KR101538310B1 (ko) 4G 모바일 네트워크에서의 VoLTE 서비스 기반 비정상 위치정보 획득 메시지 탐지 장치, 시스템 및 방법
US10575343B2 (en) Communication method and apparatus
KR101516233B1 (ko) 4g 모바일 네트워크에서의 비정상 sip refer 메시지 탐지 장치 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee