KR101232256B1 - Server and method and system for detecting packet relay - Google Patents

Server and method and system for detecting packet relay Download PDF

Info

Publication number
KR101232256B1
KR101232256B1 KR1020110024444A KR20110024444A KR101232256B1 KR 101232256 B1 KR101232256 B1 KR 101232256B1 KR 1020110024444 A KR1020110024444 A KR 1020110024444A KR 20110024444 A KR20110024444 A KR 20110024444A KR 101232256 B1 KR101232256 B1 KR 101232256B1
Authority
KR
South Korea
Prior art keywords
packet
address
packet relay
packets
user terminal
Prior art date
Application number
KR1020110024444A
Other languages
Korean (ko)
Other versions
KR20120106373A (en
Inventor
주문돈
Original Assignee
주식회사 퓨쳐시스템
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 퓨쳐시스템 filed Critical 주식회사 퓨쳐시스템
Priority to KR1020110024444A priority Critical patent/KR101232256B1/en
Publication of KR20120106373A publication Critical patent/KR20120106373A/en
Application granted granted Critical
Publication of KR101232256B1 publication Critical patent/KR101232256B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Abstract

패킷 릴레이 검출 서버 및 방법 그리고 그 시스템이 개시된다. 통신 가능 범위 이내에서 전송되는 패킷의 헤더 정보를 수집하는 수집부, 및 상기 수집된 헤더 정보를 이용하여 패킷 릴레이를 판단하는 판단부를 포함하는 패킷 릴레이 검출 서버가 제공된다. 이에 의해, 패킷 릴레이 발생을 보다 효율적으로 검출할 수 있다.A packet relay detection server and method and system are disclosed. A packet relay detection server is provided that includes a collecting unit collecting header information of a packet transmitted within a communication range, and a determining unit determining a packet relay using the collected header information. As a result, packet relay generation can be detected more efficiently.

Description

패킷 릴레이 검출 서버 및 방법 그리고 그 시스템{Server and method and system for detecting packet relay}Server and method and system for detecting packet relay

본 발명은 패킷 릴레이 검출 서버 및 방법 그리고 그 시스템에 관한 것으로, 보다 상세하게는 패킷 릴레이 현상 자체를 인식하는 패킷 릴레이 검출 서버 및 방법 그리고 그 시스템에 관한 것이다.The present invention relates to a packet relay detection server and method, and a system thereof, and more particularly, to a packet relay detection server and method for recognizing a packet relay phenomenon itself, and a system thereof.

네트워크에서 공격 서명을 찾아내어 모종의 조치를 취함으로써 비정상적인 트래픽을 중단시키는 보안 솔루션을 침입방지시스템(Intrusion Prevention System : IPS)이라 한다. 이러한 침입방지시스템을 무선 네트워크에 적용한 것을 무선침입방지시스템(Wireless Intrusion Prevention System : WIPS)이라 한다.Intrusion Prevention System (IPS) is a security solution that detects attack signatures on the network and takes some action to stop abnormal traffic. The application of such an intrusion prevention system to a wireless network is called a wireless intrusion prevention system (WIPS).

사용자가 무선 네트워크에 접속하고자 하는 경우, 사용자 단말장치는 접속 가능한 무선 네트워크로의 접속을 위한 AP(Access Point)의 리스트를 제공한다. 이 리스트를 통해 사용자는 접속하고자 하는 무선 네트워크에 해당하는 하나의 AP를 선택하여 접속을 요청한다. 이때, AP의 리스트 상에 페이크(Fake) AP가 존재할 수 있다. 사용자가 페이크 AP를 선택하여 접속을 요청하게 되면, 패킷 릴레이 현상이 발생하여 사용자의 정보가 유출될 수 있다.When a user wants to access a wireless network, the user terminal device provides a list of access points (APs) for accessing an accessible wireless network. The user selects one AP corresponding to the wireless network to which the user wants to connect to request a connection. In this case, a fake AP may exist on the list of APs. When the user selects the fake AP to request access, a packet relay phenomenon may occur and the user's information may be leaked.

이러한 패킷 릴레이 현상에 의해 중요 정보가 유출되는 것을 방지하기 위하여 무선침입방지시스템을 적용할 수 있다. 종래의 무선침입방지시스템은 SSID(Service Set Identifier)는 서로 동일하지만 맥 어드레스(MAC Address)는 서로 상이한 복수 개의 AP가 존재함이 검출되는 경우를 패킷 릴레이 현상이 발생한 것으로 판단한다. 이때, 서로 동일한 SSID를 가진 복수 개의 AP 중 정상 AP를 제외한 나머지 AP는 페이크 AP이다.In order to prevent the leakage of important information by such a packet relay phenomenon, a wireless intrusion prevention system can be applied. In the conventional wireless intrusion prevention system, it is determined that a packet relay phenomenon occurs when it is detected that a plurality of APs having the same Service Set Identifier (SSID) but different MAC addresses are present. In this case, among the plurality of APs having the same SSID, the remaining APs except the normal AP are fake APs.

하지만, 패킷 릴레이 현상이 발생하는 경우는 복수 개의 AP가 SSID는 서로 동일하지만 맥 어드레스는 서로 상이한 경우 이외에 다른 경우에도 발생할 수 있다. 예를 들면, 복수 개의 AP가 SSID는 서로 상이하지만 맥 어드레스는 서로 동일한 경우에도 패킷 릴레이 현상이 발생할 수 있다. 이때, 동일한 맥 어드레스를 가진 복수 개의 AP 중 정상 AP를 제외한 나머지 AP는 페이크 AP이다.However, when a packet relay phenomenon occurs, a plurality of APs may have different SSIDs in the same SSID but different MAC addresses. For example, even if the plurality of APs have different SSIDs but identical MAC addresses, packet relay may occur. In this case, among the plurality of APs having the same MAC address, the remaining APs are fake APs.

이와 같이, 패킷 릴레이 현상은 여러 형태로 발생할 수 있음에 반해, 종래의 무선침입방지시스템은 극히 제한적인 조건에 의해서만 패킷 릴레이 현상이 발생하였음을 검출하므로, 완전한 보안 시스템을 제공할 수 없는 문제점이 있다.As such, the packet relay phenomenon may occur in various forms, whereas the conventional wireless intrusion prevention system detects that the packet relay phenomenon occurs only under extremely limited conditions, and thus, there is a problem in that a complete security system cannot be provided. .

본 발명은 무선 통신에서 여러 가지 상황에 의해 패킷이 정상적이지 않은 경로로 전송되는 패킷 릴레이 현상을 감지하여 이에 대처할 수 있도록 하는 패킷 릴레이 검출 서버 및 방법 그리고 그 시스템을 제공함을 목적으로 한다.An object of the present invention is to provide a packet relay detection server, a method, and a system for detecting and coping with a packet relay phenomenon in which a packet is transmitted in an abnormal path due to various situations in wireless communication.

본 발명의 일 실시 예에 따르면, 통신 가능 범위 이내에서 전송되는 패킷의 헤더 정보를 수집하는 수집부, 및 상기 수집된 헤더 정보를 이용하여 패킷 릴레이를 판단하는 판단부를 포함하는 패킷 릴레이 검출 서버가 제공된다.According to an embodiment of the present invention, a packet relay detection server includes a collector configured to collect header information of a packet transmitted within a communication range, and a determiner configured to determine a packet relay using the collected header information. do.

상기 수집된 헤더 정보를 기설정된 형태의 패킷 테이블에 저장하는 저장부를 더 포함하며, 상기 판단부는 상기 저장된 패킷 테이블을 이용하여 상기 패킷 릴레이를 판단할 수 있다.The apparatus may further include a storage configured to store the collected header information in a packet table having a predetermined form, and the determiner may determine the packet relay using the stored packet table.

상기 수집부는, 상기 패킷별 헤더로부터 소스 어드레스, AP(Access Point) 어드레스, 및 목적지 어드레스를 포함하는 헤더 정보를 수집할 수 있다.The collection unit may collect header information including a source address, an access point (AP) address, and a destination address from the packet header.

상기 소스 어드레스는 소스 맥 어드레스(Mac address)이고, 상기 AP 어드레스는 AP 맥 어드레스이며, 상기 목적지 어드레스는 목적지 IP 어드레스일 수 있다.The source address may be a source Mac address, the AP address may be an AP Mac address, and the destination address may be a destination IP address.

상기 판단부는, 상기 패킷 테이블에 저장된 복수의 패킷에 대한 헤더 정보 중 적어도 둘 이상의 패킷에 대한 상기 목적지 어드레스가 동일한 패킷이 존재하는 경우, 상기 목적지 어드레스가 동일한 적어도 둘 이상의 패킷에 대하여 상기 소스 어드레스, 및 상기 AP 어드레스를 비교하여 상기 패킷 릴레이를 판단할 수 있다.The determination unit, when there is a packet having the same destination address for at least two or more packets among header information for the plurality of packets stored in the packet table, the source address for at least two or more packets having the same destination address, and The packet relay may be determined by comparing the AP address.

상기 판단부는, 상기 목적지 어드레스가 동일한 적어도 둘 이상의 패킷 중 어느 하나의 패킷에 대한 소스 어드레스와 나머지 패킷에 대한 AP 어드레스가 서로 동일한 경우 상기 패킷 릴레이가 발생한 것으로 판단할 수 있다.The determination unit may determine that the packet relay occurs when the source address of any one of the at least two packets having the same destination address and the AP address of the remaining packet are the same.

상기 판단부에 의해 상기 패킷 릴레이가 판단되면, 상기 통신 가능 범위 이내에 존재하는 사용자 단말장치로 패킷 릴레이 발생을 알리는 경고신호를 전송하는 통신부를 포함할 수 있다.When the packet relay is determined by the determination unit, the packet relay may include a communication unit configured to transmit a warning signal for notifying occurrence of packet relay to a user terminal device within the communication range.

한편, 본 발명의 일 실시예에 따르면, 통신 가능 범위 이내에서 전송되는 패킷의 헤더정보를 수집하는 단계, 및 상기 수집된 헤더 정보를 이용하여 패킷 릴레이를 판단하는 단계를 포함하는 릴레이 검출 방법이 제공된다.Meanwhile, according to an embodiment of the present invention, there is provided a relay detecting method comprising collecting header information of a packet transmitted within a communication range, and determining a packet relay using the collected header information. do.

상기 수집된 헤더 정보를 기설정된 형태의 패킷 테이블에 저장하는 단계를 더 포함하며, 상기 판단하는 단계는 상기 저장된 패킷 테이블을 이용하여 상기 패킷 릴레이를 판단할 수 있다.The method may further include storing the collected header information in a packet table having a predetermined form, wherein the determining may determine the packet relay using the stored packet table.

상기 수집하는 단계는, 상기 패킷의 헤더로부터 소스 어드레스, AP 어드레스, 및 목적지 어드레스를 포함하는 헤더 정보를 수집할 수 있다.The collecting may include collecting header information including a source address, an AP address, and a destination address from the header of the packet.

상기 판단하는 단계는, 상기 패킷 테이블에 저장된 복수의 패킷에 대한 헤더 정보 중 적어도 둘 이상의 패킷에 대한 상기 목적지 어드레스가 동일한 패킷의 존재 여부를 판단하는 제1 판단 단계 및 상기 판단 결과 상기 목적지 어드레스가 동일한 패킷이 존재하는 경우, 상기 목적지 어드레스가 동일한 적어도 둘 이상의 패킷에 대하여 상기 소스 어드레스, 및 상기 AP 어드레스를 비교하여 상기 패킷 릴레이를 판단하는 제2 판단 단계를 포함할 수 있다.The determining may include: a first determination step of determining whether a packet having the same destination address for at least two or more packets among header information regarding a plurality of packets stored in the packet table exists; and as a result of the determination, the destination address is the same If there is a packet, a second determination step of determining the packet relay by comparing the source address and the AP address with respect to at least two or more packets having the same destination address may be included.

상기 제2 판단 단계는, 상기 목적지 어드레스가 동일한 적어도 둘 이상의 패킷 중 어느 하나의 패킷에 대한 소스 어드레스와 나머지 패킷에 대한 AP 어드레스가 서로 동일한 경우 상기 패킷 릴레이가 발생한 것으로 판단할 수 있다.The second determination step may determine that the packet relay has occurred when the source address of any one of the at least two packets having the same destination address and the AP address of the remaining packets are the same.

상기 패킷 릴레이 발생이 판단되면, 상기 통신 가능 범위 이내에 존재하는 사용자 단말장치로 패킷 릴레이 발생을 알리는 경고신호를 전송하는 단계를 포함할 수 있다.If it is determined that the packet relay is generated, the method may include transmitting a warning signal notifying the occurrence of the packet relay to a user terminal device within the communication range.

한편, 본 발명의 일 실시예에 따르면, 적어도 하나의 사용자 단말장치, 상기 적어도 하나의 사용자 단말장치와 상호 간에 통신을 수행하는 포털서버, 상기 사용자 단말장치와 상기 포털서버 간의 통신을 중재하는 적어도 하나의 AP, 및 상기 사용자 단말장치와 상기 포털서버 간에 송수신 되는 패킷을 이용하여 패킷 릴레이를 판단하는 패킷 릴레이 검출 서버를 포함한다.Meanwhile, according to an embodiment of the present invention, at least one user terminal device, a portal server for communicating with the at least one user terminal device, and at least one mediating communication between the user terminal device and the portal server An AP, and a packet relay detection server for determining a packet relay using packets transmitted and received between the user terminal device and the portal server.

상기 사용자 단말장치는, 상기 포털서버로 데이터를 전송할 때, 상기 적어도 하나의 AP 중 선택된 하나의 어드레스, 및 상기 포털서버의 어드레스를 패킷의 헤더에 포함하여 전송할 수 있다.When transmitting data to the portal server, the user terminal device may transmit the selected one of the at least one AP and the address of the portal server in the header of the packet.

상기 패킷 릴레이 검출 서버는, 상기 사용자 단말장치와 상기 포털서버 간에 송수신되는 패킷의 헤더로부터 패킷별 소스 어드레스, AP 어드레스, 및 목적지 어드레스를 추출하여 기설정된 형태의 패킷 테이블에 저장할 수 있다.The packet relay detection server may extract a source address, an AP address, and a destination address of each packet from a header of a packet transmitted and received between the user terminal device and the portal server, and store the packet address in a packet table having a predetermined form.

상기 패킷 릴레이 검출 서버는, 상기 패킷 테이블을 이용하여 기저장된 복수의 패킷에 대한 헤더 정보 중 적어도 둘 이상의 패킷에 대한 목적지 어드레스가 동일한 패킷이 존재하는 경우, 상기 목적지 어드레스가 동일한 적어도 둘 이상의 패킷 중 어느 하나의 패킷에 대한 소스 어드레스와 나머지 패킷에 대한 AP 어드레스가 서로 동일하면, 상기 패킷 릴레이가 발생한 것으로 검출할 수 있다.The packet relay detection server, when there is a packet having the same destination address for at least two or more packets among the header information for the plurality of packets previously stored using the packet table, any one of at least two or more packets having the same destination address If the source address for one packet and the AP address for the remaining packets are the same, it may be detected that the packet relay has occurred.

상기 패킷 릴레이 검출 서버는, 상기 패킷 릴레이 발생이 검출되면, 상기 적어도 하나의 사용자 단말장치로 패킷 릴레이 발생을 알리는 경고신호를 전송할 수 있다.When the packet relay occurrence is detected, the packet relay detection server may transmit a warning signal indicating the packet relay occurrence to the at least one user terminal device.

본 발명의 실시 예에 따르면, 본 패킷 릴레이 검출 서버는 지속적으로 통신 가능 범위 이내에서 전송되는 모든 패킷을 감시하여 패킷 내의 헤더 정보를 이용하여 패킷 릴레이를 검출하는 것이므로, 페이크 AP의 생성 방법이 다양하게 변형되더라도 이에 영향을 받지 않고 패킷 릴레이를 검출할 수 있는 효과가 있다.According to an embodiment of the present invention, since the packet relay detection server continuously monitors all packets transmitted within a communication range and detects the packet relay using header information in the packet, there are various methods of generating a fake AP. Even if it is modified, the packet relay can be detected without being affected.

또한, 본 발명의 실시 예에 따르면, 본 패킷 릴레이 검출 시스템은 패킷 릴레이 검출 서버에서 패킷 릴레이가 발생하였음이 판단된 경우 이를 사용자 단말장치들에게 통보함으로써, 정보 유출을 막기 위하여 신속히 대처할 수 있도록 도와주는 효과가 있다.In addition, according to an embodiment of the present invention, the packet relay detection system notifies the user terminal devices when it is determined that the packet relay has occurred in the packet relay detection server, thereby helping to respond quickly to prevent information leakage. It works.

도 1은 본 발명의 일 실시예에 따른 패킷 릴레이 검출 시스템의 네트워크 구성도,
도 2는 본 발명의 일 실시예에 따른 패킷 릴레이 검출 서버의 블럭도,
도 3은 본 발명의 일 실시예에 따른 패킷 테이블을 예시한 도면,
도 4는 본 발명의 일 실시예에 따른 패킷 릴레이 검출 서버의 동작을 설명하기 위한 흐름도, 그리고,
도 5는 본 발명의 일 실시예에 따른 패킷 릴레이 검출 방법을 설명하기 위한 흐름도이다.1 is a network diagram of a packet relay detection system according to an embodiment of the present invention;
2 is a block diagram of a packet relay detection server according to an embodiment of the present invention;
3 is a diagram illustrating a packet table according to an embodiment of the present invention;
4 is a flowchart for explaining an operation of a packet relay detection server according to an embodiment of the present invention;
5 is a flowchart illustrating a packet relay detection method according to an embodiment of the present invention.

이상의 본 발명의 목적들, 다른 목적들, 특징들 및 이점들은 첨부된 도면과 관련된 이하의 바람직한 실시 예들을 통해서 쉽게 이해될 것이다. 그러나 본 발명은 여기서 설명되는 실시 예들에 한정되지 않고 다른 형태로 구체화될 수도 있다. 오히려, 여기서 소개되는 실시 예들은 개시된 내용이 철저하고 완전해질 수 있도록 그리고 당업자에게 본 발명의 사상이 충분히 전달될 수 있도록 하기 위해 제공되는 것이다. 본 명세서에서, 어떤 구성요소가 다른 구성요소 상에 있다고 언급되는 경우에 그것은 다른 구성요소 상에 직접 형성될 수 있거나 또는 그들 사이에 제 3의 구성요소가 개재될 수도 있다는 것을 의미한다.BRIEF DESCRIPTION OF THE DRAWINGS The above and other objects, features, and advantages of the present invention will become more readily apparent from the following description of preferred embodiments with reference to the accompanying drawings. However, the present invention is not limited to the embodiments described herein but may be embodied in other forms. Rather, the embodiments disclosed herein are provided so that the disclosure can be thorough and complete, and will fully convey the scope of the invention to those skilled in the art. In this specification, when an element is referred to as being on another element, it may be directly formed on another element, or a third element may be interposed therebetween.

본 명세서에서 사용된 용어는 실시 예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 '포함한다(comprises)' 및/또는 '포함하는(comprising)'은 언급된 구성요소는 하나 이상의 다른 구성요소의 존재 또는 추가를 배제하지 않는다.The terminology used herein is for the purpose of illustrating embodiments and is not intended to be limiting of the present invention. In the present specification, the singular form includes plural forms unless otherwise specified in the specification. The terms "comprises" and / or "comprising" used in the specification do not exclude the presence or addition of one or more other elements.

이하, 도면을 참조하여 본 발명을 상세히 설명하도록 한다. 아래의 특정 실시 예들을 기술하는데 있어서, 여러 가지의 특정적인 내용들은 발명을 더 구체적으로 설명하고 이해를 돕기 위해 작성되었다. 하지만 본 발명을 이해할 수 있을 정도로 이 분야의 지식을 갖고 있는 독자는 이러한 여러 가지의 특정적인 내용들이 없어도 사용될 수 있다는 것을 인지할 수 있다. 어떤 경우에는, 발명을 기술하는 데 있어서 흔히 알려졌으면서 발명과 크게 관련 없는 부분들은 본 발명을 설명하는 데 있어 별 이유 없이 혼돈이 오는 것을 막기 위해 기술하지 않음을 미리 언급해 둔다. Hereinafter, the present invention will be described in detail with reference to the drawings. In describing the following specific embodiments, various specific details are set forth in order to explain and understand the invention in more detail. However, those skilled in the art can understand that the present invention can be used without these various specific details. In some cases, it is mentioned in advance that parts of the invention which are commonly known in the description of the invention and which are not highly related to the invention are not described in order to prevent confusion in explaining the invention without cause.

도 1은 본 발명의 일 실시예에 따른 패킷 릴레이 검출 시스템의 네트워크 구성도이다.1 is a network diagram of a packet relay detection system according to an embodiment of the present invention.

도 1을 참조하여, 본 발명의 일 실시예에 따른 패킷 릴레이 검출 시스템은 포털서버(100), 사용자 단말장치(200), 패킷 릴레이 검출 서버(300), 복수의 AP(Access Point)(400), 및 페이크(Fake) AP(500)를 포함할 수 있다.Referring to FIG. 1, a packet relay detection system according to an embodiment of the present invention includes a portal server 100, a user terminal device 200, a packet relay detection server 300, and a plurality of access points 400. , And fake AP 500.

포털서버(100)는 사용자 단말장치(200)의 요청에 의해 정보 혹은 데이터를 제공하는 서버로, 통상의 포털 사이트를 의미한다. 즉, 포털서버(100)는 네이버, 야후, 구글과 같은 검색 사이트들일 수 있다.The portal server 100 is a server that provides information or data at the request of the user terminal device 200, and refers to a general portal site. That is, the portal server 100 may be search sites such as Naver, Yahoo, and Google.

사용자 단말장치(200)는 무선 네트워크를 지원하는 사용자측 단말장치로, 접속 가능한 여러 AP 중 하나를 선택하여 선택된 AP를 통해 포털서버(100)에 접속하여 정보 혹은 데이터를 요청하고, 포털서버(100)로부터 기요청된 정보 혹은 데이터를 수신할 수 있다. 사용자 단말장치(200)는 무선 네트워크를 지원할 수 있는 개인용 PC 뿐만 아니라, 노트북, 및 휴대용 단말기와 같은 무선 기기를 통칭한다. 사용자 단말장치(200)는 변동 가능한 IP 어드레스, 및 변동되지 않는 고유의 맥(Mac) 어드레스를 가진다.The user terminal device 200 is a user terminal device supporting a wireless network. The user terminal device 200 selects one of several accessible APs and accesses the portal server 100 through the selected AP to request information or data, and the portal server 100. Requested information or data can be received from. The user terminal device 200 collectively refers to wireless devices such as laptops and portable terminals, as well as personal PCs capable of supporting a wireless network. The user terminal 200 has a variable IP address and a unique Mac address that does not change.

본 실시예에서는 설명의 편의상 하나의 사용자 단말장치(200)를 도시하였으나, 통신 가능 범위 이내에는 여러 가지 형태의 복수 개의 사용자 단말장치(200)가 존재할 수 있다.In the present embodiment, one user terminal device 200 is illustrated for convenience of description, but there may be a plurality of user terminal devices 200 having various forms within a communication range.

패킷 릴레이 검출 서버(300)는 통신 가능 범위 이내에서 전송되는 모든 패킷으로부터 패킷의 헤더 정보를 수집한다. 통상적으로, 무선 네트워크 시스템은 기정해진 범위 이내에서 통신이 가능하다. 여기서, 도 1에 도시한 사용자 단말장치(200)와 복수의 AP(400)는 통신 가능 범위 이내에 속해 있는 기기임을 전제로 한다. 그러므로, 패킷 릴레이 검출 서버(300)는 사용자 단말장치(200)와 복수의 AP(400) 간에 송수신 되는 모든 패킷으로부터 헤더 정보를 수집할 수 있다.The packet relay detection server 300 collects header information of a packet from all packets transmitted within a communication range. Typically, a wireless network system can communicate within a predetermined range. Here, it is assumed that the user terminal device 200 and the plurality of APs 400 shown in FIG. 1 are devices within a communication range. Therefore, the packet relay detection server 300 may collect header information from all packets transmitted and received between the user terminal device 200 and the plurality of APs 400.

또한, 패킷 릴레이 검출 서버(300)는 통신 가능 범위 이내에서 전송되는 헤더 정보를 수집한 후, 이를 이용하여 패킷 릴레이를 판단한다. 패킷 릴레이 검출 서버(300)는 패킷 릴레이가 발생한 것으로 판단되면, 사용자 단말장치(200)로 패킷 릴레이가 발생하였음을 알릴 수 있다.In addition, the packet relay detection server 300 collects the header information transmitted within the communication range, and then determines the packet relay using the header information. When it is determined that the packet relay has occurred, the packet relay detection server 300 may notify the user terminal device 200 that the packet relay has occurred.

복수의 AP(400)는 사용자 단말장치(200)와 포털서버(100) 간의 통신이 가능하도록 하는 기기로, 무선 네트워크 서비스를 제공하는 업체별로 각각 제공될 수 있다. 복수의 AP(400)는 각 AP 별로 고유의 이름인 SSID(Service Set Identifier)와 맥 어드레스를 가진다. 즉, AP 1, AP 2, AP 3는 각각의 SSID와 각각의 맥 어드레스를 가지는 것이 정상적이다. 사용자 단말장치(200)가 무선 네트워크를 이용하기 위해 요청하는 경우, 통신 가능 범위 이내에 존재하는 복수의 AP(400)는 자신의 SSID를 제공함으로써, 사용자가 원하는 AP를 선택할 수 있도록 한다.The plurality of APs 400 may be a device that enables communication between the user terminal device 200 and the portal server 100 and may be provided for each company that provides a wireless network service. The plurality of APs 400 has a SSID (Service Set Identifier) and a MAC address which are unique names for each AP. That is, it is normal for AP 1, AP 2, and AP 3 to have respective SSIDs and respective MAC addresses. When the user terminal device 200 requests to use the wireless network, the plurality of APs 400 within the communication range allow the user to select a desired AP by providing its SSID.

페이크 AP(500)는 통상의 해커에 의해 만들어진 가상 AP에 해당한다. 페이크 AP(500)는 사용자 단말장치(200)가 복수의 AP(400) 중 적어도 하나로 전송하는 패킷을 가로채어 자신이 수신하여 정보를 빼낼 수 있다. 이후, 페이크 AP(500)는 사용자 단말장치(200)가 선택했던 복수의 AP(400) 중 하나로 패킷을 다시 전송함으로써, 사용자가 해킹 사실을 인식할 수 없도록 한다. 이와 같이, 페이크 AP(500)에 의해 패킷이 정상 경로가 아닌 페이크 AP(500)를 거쳐 원래 경로로 전송되는 현상을 패킷 릴레이 현상이라 한다. 이러한 패킷 릴레이 현상은 무선 네트워크 자원에도 영향을 줄 뿐만 아니라, 사용자의 개인 정보가 유출될 수 있는 심각한 문제를 일으킬 수 있다.The fake AP 500 corresponds to a virtual AP created by a typical hacker. The fake AP 500 may intercept a packet transmitted by the user terminal 200 to at least one of the plurality of APs 400, and receive the information by itself. Thereafter, the fake AP 500 transmits the packet back to one of the plurality of APs 400 selected by the user terminal 200, thereby preventing the user from recognizing the hacking fact. As such, the phenomenon in which the packet is transmitted by the fake AP 500 via the fake AP 500 instead of the normal path to the original path is called a packet relay phenomenon. This packet relay phenomenon not only affects wireless network resources, but can also cause serious problems in which user's personal information can be leaked.

본 실시예에서는 패킷 릴레이 현상을 설명하기 위한 것이므로, 시스템의 네트워크 구성에 페이크 AP(500)가 포함되어 있으나, 헤커가 침입하지 않은 정상적인 경우에는 시스템의 네트워크 구성에 페이크 AP(500)가 포함되지 않을 것이다.In the present embodiment, since the packet relay phenomenon is described, the fake AP 500 is included in the network configuration of the system. However, the fake AP 500 may not be included in the network configuration of the system in the normal case where the hacker does not intrude. will be.

도 2는 본 발명의 일 실시예에 따른 패킷 릴레이 검출 서버의 블럭도이다.2 is a block diagram of a packet relay detection server according to an embodiment of the present invention.

도 2를 참조하여, 본 발명의 일 실시예에 따른 패킷 릴레이 검출 서버(300)는 통신부(310), 수집부(320), 저장부(330), 판단부(340), 및 제어부(350)를 포함할 수 있다.Referring to FIG. 2, the packet relay detection server 300 according to an exemplary embodiment of the present invention may include a communication unit 310, a collection unit 320, a storage unit 330, a determination unit 340, and a control unit 350. It may include.

통신부(310)는 통신 가능 범위 이내에서 사용자 단말장치(200)와 복수의 AP(400)간에 송수신되는 패킷을 감지한다. 또한, 통신부(310)는 패킷 릴레이가 발생한 것으로 판단되었을 경우에, 후술하는 제어부(350)의 제어에 의해 사용자 단말장치(200)로 패킷 릴레이가 발생하였음을 알리는 경고신호를 전송할 수 있다.The communication unit 310 detects a packet transmitted and received between the user terminal device 200 and the plurality of APs 400 within a communication range. In addition, when it is determined that the packet relay has occurred, the communication unit 310 may transmit a warning signal indicating that the packet relay has occurred to the user terminal device 200 under the control of the controller 350 to be described later.

수집부(320)는 통신부(310)가 사용자 단말장치(200)와 복수의 AP(400)간에 송수신 되는 패킷을 감지하였을 경우, 이 감지된 패킷으로부터 헤더 정보를 수집한다. 수집부(320)에 의해 수집되는 패킷의 헤더 정보는 소스 어드레스, AP 어드레스, 및 목적지 어드레스를 포함할 수 있다. 여기서, 소스 어드레스는 소스 맥 어드레스일 수 있고, AP 어드레스는 AP 맥 어드레스일 수 있으며, 목적지 어드레스는 목적지 IP 어드레스일 수 있다.When the communication unit 310 detects a packet transmitted / received between the user terminal device 200 and the plurality of APs 400, the collection unit 320 collects header information from the detected packet. Header information of the packet collected by the collector 320 may include a source address, an AP address, and a destination address. Here, the source address may be a source MAC address, the AP address may be an AP MAC address, and the destination address may be a destination IP address.

저장부(330)는 제어부(350)의 제어에 의해, 패킷의 헤더 정보 즉, 패킷별 소스 맥 어드레스, AP 맥 어드레스, 및 목적지 IP 어드레스를 기설정된 형태의 패킷 테이블에 저장한다. 패킷 테이블에 관하여는 후술하는 도 3에서 보다 상세히 설명한다.The storage unit 330 stores the header information of the packet, that is, the source MAC address, the AP MAC address, and the destination IP address of each packet, in the packet table having a predetermined form, under the control of the controller 350. The packet table will be described in more detail later with reference to FIG. 3.

판단부(340)는 패킷 테이블에 저장된 패킷별 헤더 정보를 이용하여 패킷 릴레이 발생을 판단한다. 보다 구체적으로, 판단부(340)는 패킷 테이블에 저장된 복수의 패킷에 대한 헤더 정보를 지속적으로 비교하여 적어도 둘 이상의 패킷에 대한 목적지 어드레스가 동일한 것이 존재하는지를 판단한다.The determination unit 340 determines the occurrence of the packet relay by using the header information for each packet stored in the packet table. More specifically, the determination unit 340 continuously compares header information about a plurality of packets stored in the packet table to determine whether there is a same destination address for at least two packets.

목적지 어드레스가 동일한 적어도 둘 이상의 패킷이 존재하는 것으로 판단되면, 판단부(340)는 이들을 다시 비교하여 하나의 소스 맥 어드레스와 다른 하나의 AP 맥 어드레스가 동일한 것이 있는지를 판단한다. 여기서, 둘 이상의 패킷이 하나의 소스 맥 어드레스와 다른 하나의 AP 맥 어드레스가 동일한 경우 패킷 릴레이가 발생한 것으로 판단한다.If it is determined that at least two or more packets having the same destination address exist, the determination unit 340 compares them again and determines whether one source MAC address and the other AP MAC address are the same. Here, when two or more packets are the same as one source MAC address and the other AP MAC address, it is determined that the packet relay has occurred.

제어부(350)는 본 패킷 릴레이 검출 서버(300)의 전반적인 기능을 제어한다. 즉, 제어부(350)는 통신부(310), 수집부(320), 저장부(330), 및 판단부(340) 간의 신호 입출력을 제어한다.The controller 350 controls the overall functions of the packet relay detection server 300. That is, the controller 350 controls signal input and output between the communication unit 310, the collection unit 320, the storage unit 330, and the determination unit 340.

제어부(350)는 수집부(320)가 패킷의 헤더 정보를 수집하면, 수집된 헤더 정보를 저장부(330)에 저장하도록 제어한다. 또한, 제어부(350)는 저장부(330)의 패킷 테이블에 헤더 정보를 저장하도록 한 후, 판단부(340)가 패킷 릴레이 발생을 판단하도록 제어한다.If the collection unit 320 collects the header information of the packet, the control unit 350 controls to store the collected header information in the storage unit 330. In addition, the control unit 350 stores the header information in the packet table of the storage unit 330, and then controls the determination unit 340 to determine the occurrence of the packet relay.

또한, 제어부(350)는 판단부(340)에 의해 패킷 릴레이 발생이 판단되면, 패킷 릴레이 발생을 알리는 경고신호를 생성할 수 있으며, 이 경고신호를 사용자 단말장치(200)로 전송하도록 통신부(310)를 제어할 수 있다.In addition, if it is determined that the packet relay is generated by the determination unit 340, the controller 350 may generate a warning signal for notifying the packet relay occurrence, and transmits the warning signal to the user terminal device 200. ) Can be controlled.

도 3은 본 발명의 일 실시예에 따른 패킷 테이블을 예시한 도면이다.3 is a diagram illustrating a packet table according to an embodiment of the present invention.

도 3은 패킷 테이블을 예시한 것으로, 수집부(320)에 의해 수집된 헤더 정보를 저장부(330)의 기할당된 메모리 영역 내의 기설정된 형태로 저장된 상태를 예시한 것이다.3 illustrates an example of a packet table, and illustrates a state in which header information collected by the collection unit 320 is stored in a predetermined form in a pre-allocated memory area of the storage unit 330.

도시한 바와 같이, 패킷 테이블은 수집부(320)에서 헤더 정보를 수집하는 순서에 따라 순차적으로 각 패킷의 소스 맥 어드레스, AP 맥 어드레스, 및 목적지 IP 어드레스가 각 셀에 저장되는 형태일 수 있다. 판단부(340)는 도 3에 도시한 바와 같은 패킷 테이블을 이용하여 패킷 릴레이가 발생하는지를 판단할 수 있다.As shown, the packet table may be in a form in which the source MAC address, the AP MAC address, and the destination IP address of each packet are sequentially stored in each cell in the order of collecting the header information in the collector 320. The determination unit 340 may determine whether a packet relay occurs using the packet table shown in FIG. 3.

소스 맥 어드레스, AP 맥 어드레스, 및 목적지 IP 어드레스는 각각 기설정된 비트수의 숫자로 이루어지는 것이나, 본 실시예에서는 설명의 편의를 위해서 알파벳으로 대체하였다.The source MAC address, the AP MAC address, and the destination IP address each consist of a predetermined number of bits, but in this embodiment, they are replaced with alphabets for convenience of explanation.

본 실시예에 도시한 패킷 테이블 내에서, 두번째 패킷의 헤더 정보를 살펴보면, 소스 맥 어드레스는 "C"이고, AP 맥 어드레스는 "B"이며, 목적지 IP 어드레스는 "W"이다. 이는 "C"라는 맥 어드레스를 가진 장치가 "B"라는 맥 어드레스를 가진 AP를 통해 "W"라는 IP 어드레스를 가진 포털서버에 신호를 전송함을 의미한다.In the packet table shown in this embodiment, looking at the header information of the second packet, the source MAC address is "C", the AP MAC address is "B", and the destination IP address is "W". This means that a device with a MAC address of "C" sends a signal to a portal server with an IP address of "W" through an AP with a MAC address of "B".

또한, 세번째 패킷의 헤더 정보를 살펴보면, 소스 맥 어드레스는 "B"이고, AP 맥 어드레스는 "D"이며, 목적지 IP 어드레스는 "W"이다. 이는 "B"라는 맥 어드레스를 가진 장치가 "D"라는 맥 어드레스를 가진 AP를 통해 "W"라는 IP 어드레스를 가진 포털서버에 신호를 전송함을 의미한다.Also, looking at the header information of the third packet, the source MAC address is "B", the AP MAC address is "D", and the destination IP address is "W". This means that a device with a MAC address of "B" sends a signal to a portal server with an IP address of "W" through an AP with a MAC address of "D".

위에서 설명한 두번째 패킷과 세번째 패킷을 살펴보면, 두 패킷의 목적지 IP 어드레스가 동일하다. 그러므로, 두번째 패킷과 세번째 패킷은 판단부(340)의 패킷 릴레이 판단을 위한 첫번째 조건에 부합하는 패킷에 해당한다.Looking at the second packet and the third packet described above, the destination IP addresses of the two packets are the same. Therefore, the second packet and the third packet correspond to packets that meet the first condition for packet relay determination of the determination unit 340.

판단부(340)는 목적지 IP 어드레스가 동일한 2개의 패킷을 발견하였으므로, 이 두 패킷들의 소스 맥 어드레스와 AP 맥 어드레스를 서로 비교한다. 두번째 패킷의 AP 맥 어드레스와 세번째 패킷의 소스 맥 어드레스가 모두 "B"이므로, 판단부(340)는 패킷 릴레이가 발생한 것으로 판단한다.Since the determination unit 340 finds two packets having the same destination IP address, the source MAC address and the AP MAC address of the two packets are compared with each other. Since both the AP MAC address of the second packet and the source MAC address of the third packet are "B", the determination unit 340 determines that a packet relay has occurred.

그 이유는, AP는 사용자 단말장치(200)가 전송한 패킷을 목적지인 포털서버(100)로 전송하기 위한 것이므로, AP 자체가 신호를 전송하는 소스 장치가 될 수 없다. 그러므로, "B"라는 맥 어드레스를 가진 AP는 "C"라는 맥 어드레스를 가진 사용자 단말장치(200)가 "D"라는 맥 어드레스를 가진 AP를 통해 "W"라는 IP 어드레스를 가진 포털서버(100)로 전송하고자 하는 패킷을 가로챈 것으로 판단할 수 있다. "B"라는 맥 어드레스를 가진 AP는 자신이 페이크 AP임을 사용자가 인식하지 못하도록 하기 위하여, 가로챈 패킷을 다시 정상 경로인 "D"라는 맥 어드레스를 가진 AP를 통해 "W"라는 IP 어드레스를 가진 포털서버(100)로 전송되도록 한 것으로 판단할 수 있다.The reason is that the AP is for transmitting the packet transmitted by the user terminal device 200 to the portal server 100 as a destination, and thus the AP itself cannot be a source device for transmitting a signal. Therefore, the AP having the MAC address of "B" is the portal server 100 having the IP address of "W" through the AP having the MAC address of "D". It can be determined that the packet to be transmitted is intercepted by). To prevent the user from recognizing that he is a fake AP, an AP with a MAC address of "B" has an IP address of "W" through an AP with a MAC address of "D" which is a normal path again. It may be determined that the transmission to the portal server 100.

본 실시예에서 설명한 것은 무선 네트워크 통신 상에서 패킷 릴레이 자체를 판단하는 것이므로, 해커가 AP의 SSID를 임의로 변경하여 페이크 AP를 생성하는 경우, 및 정상 AP와 동일한 SSID를 사용하여 페이크 AP를 생성하는 경우 등 다양한 형태의 페이크 AP 생성 방법에 구애받지 않고 패킷 릴레이를 검출할 수 있는 효과가 있다.As described in the present embodiment, since the packet relay itself is determined in wireless network communication, a hacker generates a fake AP by arbitrarily changing the SSID of the AP, and generates a fake AP using the same SSID as the normal AP. The packet relay can be detected regardless of various types of fake AP generation methods.

도 4는 본 발명의 일 실시예에 따른 패킷 릴레이 검출 서버의 동작을 설명하기 위한 흐름도이다.4 is a flowchart illustrating an operation of a packet relay detection server according to an embodiment of the present invention.

본 실시예에서는 도 2에 도시한 패킷 릴레이 검출 서버(300)의 블럭도를 이용하여 패킷 릴레이 검출 서버(300)의 동작을 설명한다.In this embodiment, the operation of the packet relay detection server 300 will be described using the block diagram of the packet relay detection server 300 shown in FIG.

통신부(310)는 통신 가능 범위 이내에서 전송되는 패킷이 있는지를 지속적으로 감시한다. 통신부(310)에 의해 패킷이 전송되는 것이 감지되면(S600), 수집부(320)는 패킷으로부터 헤더 정보를 수집한다(S610). 여기서, 수집부(320)가 수집하는 패킷의 헤더 정보는 소스 맥 어드레스, AP 맥 어드레스, 및 목적지 IP 어드레스를 포함한다.The communication unit 310 continuously monitors whether there is a packet transmitted within a communication range. If it is detected that the packet is transmitted by the communication unit 310 (S600), the collection unit 320 collects the header information from the packet (S610). Here, the header information of the packet collected by the collection unit 320 includes a source MAC address, an AP MAC address, and a destination IP address.

수집부(320)에 의해 헤더 정보가 수집되면, 저장부(330)는 수집된 헤더 정보를 도 3에 예시한 형태의 패킷 테이블의 각 셀에 해당 헤더 정보 즉, 소스 맥 어드레스, AP 맥 어드레스, 및 목적지 IP 어드레스를 저장한다(S620).When the header information is collected by the collection unit 320, the storage unit 330 stores the collected header information in the corresponding header information of each cell of the packet table of FIG. 3, that is, the source MAC address, the AP MAC address, And a destination IP address (S620).

패킷 테이블에 패킷의 헤더 정보가 어느 정도 누적되면, 판단부(340)는 복수의 패킷에 대한 헤더 정보 중 목적지 IP 어드레스가 동일한 패킷이 존재하는지를 판단한다(S630).When the header information of the packet is accumulated to some extent in the packet table, the determination unit 340 determines whether a packet having the same destination IP address among header information of the plurality of packets exists (S630).

S630 단계에서, 복수의 패킷 중 적어도 둘 이상에 목적지 IP 어드레스가 동일한 패킷이 존재하는 경우(S630-Y), 판단부(340)는 목적지 IP 어드레스가 동일한 패킷들 중 어느 하나의 소스 맥 어드레스와 나머지의 AP 맥 어드레스가 동일한 것이 존재하는지를 판단한다(S640).In step S630, when a packet having the same destination IP address is present in at least two or more of the plurality of packets (S630 -Y), the determination unit 340 determines whether the source MAC address of the packet having the same destination IP address is the same as the remaining one. It is determined whether the AP MAC address is the same (S640).

S640 단계에서, 목적지 IP 어드레스가 동일한 둘 이상의 패킷 각각이 어느 하나의 소스 맥 어드레스와 다른 하나의 AP 맥 어드레스가 동일한 것으로 판단되는 경우(S640-Y), 판단부(340)는 패킷 릴레이 발생을 판단한다.In operation S640, when it is determined that each of two or more packets having the same destination IP address is the same as one source MAC address and the other AP MAC address (S640 -Y), the determination unit 340 determines that the packet relay is generated. do.

이에, 제어부(350)는 패킷 릴레이 발생을 알리는 경고신호를 생성하여 사용자 단말장치(200)로 전송함으로써, 패킷 릴레이가 발생하였음을 통보한다(S650).Accordingly, the control unit 350 generates a warning signal indicating the packet relay generation and transmits the generated warning signal to the user terminal device 200, thereby notifying that the packet relay has occurred (S650).

S630 단계에서 목적지 IP 어드레스가 동일한 패킷이 존재하지 않고(S630-N), S640 단계에서 소스 맥 어드레스와 AP 맥 어드레스가 동일한 패킷이 존재하지 않으면(S640-N), S600 단계로 되돌아가 통신 가능 범위 이내의 패킷을 감지하는 단계가 반복될 수 있다.If there is no packet having the same destination IP address in step S630 (S630-N), and if there is no packet having the same source MAC address and the AP MAC address in step S640 (S640-N), the process returns to step S600 and the communication range Detecting the within packet can be repeated.

본 실시예에서는 패킷 릴레이가 발생하였을 경우에 패킷 릴레이 검출 서버(300)에서 사용자 단말장치(200)로 경고신호를 전송하는 것만을 예시하였지만, 더 나아가 IP 추척 및 차단 시스템을 이용하여 페이크 AP로 유추되는 AP로 신호가 전송되지 않도록 하는 것도 가능할 수 있다.In the present embodiment, the packet relay detection server 300 in the case that the packet relay occurs, but only illustrates the transmission of the warning signal to the user terminal 200, but further inferred to the fake AP using the IP tracking and blocking system It may also be possible to prevent a signal from being transmitted to the AP.

도 5는 본 발명의 일 실시예에 따른 패킷 릴레이 검출 방법을 설명하기 위한 흐름도이다.5 is a flowchart illustrating a packet relay detection method according to an embodiment of the present invention.

본 실시예에서는 신호의 흐름을 보다 쉽게 설명하기 위하여 2개의 사용자 단말장치 즉, 사용자 단말장치 #1(200a), 및 사용자 단말장치 #2(200b)가 통신 가능 범위 이내에 존재하는 상태를 예시하였다. 또한, 통신 가능 범위 이내에는 정상 AP인 AP 1, AP 2, AP 3 이외에도 페이크 AP(500)인 APF가 존재함을 전제로 한다.In this embodiment, two user terminal devices, that is, user terminal device # 1 (200a), and the user terminal device # 2 (200b) in the communication range is illustrated to illustrate the flow of the signal more easily. In addition, within the communication range, it is assumed that there is an AP F which is the fake AP 500 in addition to the normal APs AP 1, AP 2, and AP 3.

사용자 단말장치 #1(200a)이 무선 네트워크에 접속하고자 하는 경우, 사용자는 사용자 단말장치 #1(200a)을 통해 통신 가능 범위 이내에 존재하는 AP들의 SSID 리스트를 제공받는다. 이때, 통신 가능 범위 이내에 존재하는 AP들의 SSID 리스트에는 APF의 SSID도 포함될 것이다. 이때, 사용자 단말장치 #1(200a)의 사용자는 AP 1을 선택하였다고 하면, 사용자 단말장치 #1(200a)로부터 전송되는 데이터는 AP 1을 통해 포털서버(100)로 전송된다(S701).When the user terminal # 1 200a wants to access the wireless network, the user is provided with the SSID list of APs within the communication range through the user terminal # 1 200a. In this case, the SSID list of APs within the communication range may also include the SSID of the AP F. At this time, if the user of the user terminal device # 1 (200a) has selected the AP 1, the data transmitted from the user terminal device # 1 (200a) is transmitted to the portal server 100 through the AP 1 (S701).

또한, 사용자 단말장치 #2(200b)가 무선 네트워크에 접속하고자 하는 경우, 사용자는 사용자 단말장치 #2(200b)를 통해 통신 가능 범위 이내에 존재하는 AP들의 SSID 리스트를 제공받는다. 이때, 통신 가능 범위 이내에 존재하는 AP들의 SSID 리스트에는 APF의 SSID도 포함될 것이다. 이때, 사용자 단말장치 #2(200b)의 사용자가 APF를 선택하였다고 하면, 사용자 단말장치 #2(200b)로부터 전송되는 데이터는 APF를 통해 포털서버(100)로 전송된다(S703). 여기서, APF는 페이크 AP(500)이므로, 사용자의 정보가 유출될 수 있다. 여기서는 설명의 편의상, 사용자 단말장치 #2(200b)가 전송한 데이터가 APF를 거쳐 바로 포털서버(100)로 전송되는 것처럼 도시하였지만, 실제로 APF는 직접 포털서버(100)로 데이터를 전송하지는 못하고, 정상 AP인 복수의 AP(400) 중 하나를 통해 포털서버(100)로 데이터를 전송한다.In addition, when the user terminal device # 2 200b wants to access the wireless network, the user is provided with the SSID list of APs within the communication range through the user terminal device # 2 200b. In this case, the SSID list of APs within the communication range may also include the SSID of the AP F. At this time, if the user of the user terminal device # 2 (200b) has selected the AP F , the data transmitted from the user terminal device # 2 (200b) is transmitted to the portal server 100 through the AP F (S703). Here, since AP F is the fake AP 500, user information may be leaked. Here, for convenience of description, the data transmitted by the user terminal device # 2 (200b) is shown as being directly transmitted to the portal server 100 via the AP F , but in fact AP F does not directly transmit data to the portal server 100 It does not, and transmits data to the portal server 100 through one of the plurality of AP (400) that is a normal AP.

사용자 단말장치 #1(200a)로부터 데이터를 수신한 포털서버(100)는 그에 대응하는 데이터를 다시 AP 1을 통해 사용자 단말장치 #1(200a)로 전송한다(S705). 이는 해커가 개입되지 않은 정상적인 경로에 해당한다.The portal server 100 receiving the data from the user terminal device # 1 (200a) transmits the data corresponding to the user terminal device # 1 (200a) through the AP 1 (S705). This is the normal path without hackers involved.

사용자 단말장치 #2(200b)로부터 데이터를 수신한 포털서버(100)는 그에 대항하는 데이터를 다시 APF를 통해 사용자 단말장치 #2(200b)로 전송한다(S707). 이는 해커가 개입된 비정상적인 경로에 해당하는 것으로, 이 또한 앞에서 설명한 바와 같이 설명의 편의상 포털서버(100)로부터의 데이터가 APF를 거쳐 직접 사용자 단말장치 #2(200b)로 전송되는 것처럼 도시하였지만 실제로는 S703 단계에서 APF가 사용한 복수의 AP(400) 중 하나를 통해 사용자 단말장치 #2(200b)로 전송된다.The portal server 100 receiving the data from the user terminal device # 2 (200b) transmits the data corresponding to the user terminal device # 2 (200b) through the AP F (S707). This corresponds to an abnormal path in which a hacker intervened. Also, as described above, for convenience of description, the data from the portal server 100 is directly transmitted to the user terminal device # 2 (200b) via the AP F. Is transmitted to the user terminal device # 2 200b through one of the plurality of APs 400 used by the AP F in step S703.

S701 내지 S707 단계와 같이 데이터를 포함한 패킷이 전송되면, 패킷 릴레이 검출 서버(300)는 통신부(310)를 통해 이를 감지하고, 수집부(320)에 의해 각 패킷으로부터 헤더 정보를 수집한다(S709, S711).When a packet including data is transmitted as in steps S701 to S707, the packet relay detection server 300 detects this through the communication unit 310 and collects header information from each packet by the collection unit 320 (S709, S711).

패킷 릴레이 검출 서버(300)의 수집부(320)에 의해 수집된 헤더 정보 즉, 소스 맥 어드레스, AP 맥 어드레스, 및 목적지 IP 어드레스는 기설정된 형태의 패킷 테이블에 저장된다(S713).The header information collected by the collection unit 320 of the packet relay detection server 300, that is, the source MAC address, the AP MAC address, and the destination IP address are stored in a packet table of a predetermined type (S713).

이후, 패킷 릴레이 검출 서버(300)의 판단부(340)는 복수의 패킷들에 목적지 IP 어드레스가 동일한 패킷이 존재하는지를 판단하고(S715), 목적지 IP 어드레스가 동일한 패킷이 존재하는 경우에 해당 패킷들 중 소스 맥 어드레스와 AP 맥 어드레스가 동일한 패킷이 존재하는지를 다시 판단한다(S717).Thereafter, the determination unit 340 of the packet relay detection server 300 determines whether a packet having the same destination IP address exists in the plurality of packets (S715), and when the packet having the same destination IP address exists, the corresponding packets It is determined again whether a packet having the same source MAC address and the AP MAC address exists among them (S717).

S715 및 S717 단계의 판단 결과를 모두 만족하는 경우에 판단부(340)는 패킷 릴레이가 발생한 것으로 판단한다. 이에, 제어부(350)는 패킷 릴레이 발생을 알리는 경고신호를 통신부(310)를 통해 사용자 단말장치 #1(200a) 및 사용자 단말장치 #2(200b)로 전송한다(S719, S721).When all of the determination results of steps S715 and S717 are satisfied, the determination unit 340 determines that the packet relay has occurred. Thus, the control unit 350 transmits a warning signal indicating the packet relay generation to the user terminal device # 1 (200a) and the user terminal device # 2 (200b) through the communication unit 310 (S719, S721).

패킷 릴레이 검출 서버(300)로부터 패킷 릴레이 발생하였음을 통보받은 사용자 단말장치 #1(200a) 및 사용자 단말장치 #2(200b)는 자신의 중요 정보가 유출되지는 않았는지 확인하거나 혹은 관리자에게 이를 통보하는 등의 후속 조취를 취할 수 있다.The user terminal device # 1 (200a) and the user terminal device # 2 (200b) notified that the packet relay has occurred from the packet relay detection server 300 checks whether important information of his or her has not leaked or notifies the administrator. Follow-up actions such as

상기와 같은 절차에 의해, 본 패킷 릴레이 검출 서버(300)는 페이크 AP(500)의 SSID 및 맥 어드레스를 이용하여 페이크 AP(500)의 존재 여부 혹은 패킷 릴레이 발생을 판단하는 것이 아니라, 실제로 패킷 릴레이가 발생하는지의 여부를 검출하는 것이므로, 다양한 형태로 나타나는 패킷 릴레이를 효율적으로 검출할 수 있는 효과가 있다.By the above-described procedure, the packet relay detection server 300 does not determine whether the fake AP 500 exists or the packet relay is generated using the SSID and MAC address of the fake AP 500, but actually the packet relay. Since it is detected whether or not is generated, there is an effect that it is possible to efficiently detect the packet relay appearing in various forms.

S709 내지 S717 단계의 패킷 릴레이 검출 서버(300)의 동작 절차는 설명의 편의상 S701 내지 S707 단계 이후에 오도록 도시하였지만, 패킷 릴레이 검출 서버(300)는 지속적으로 패킷의 존재를 감시하는 것이므로, S701 단계 이전에 수행될 수도 있다.Although the operation procedure of the packet relay detection server 300 in steps S709 to S717 is shown to be after the steps S701 to S707 for convenience of description, the packet relay detection server 300 continuously monitors the existence of a packet, and thus, before step S701. May be performed.

상기와 같이 본 발명은 비록 한정된 실시 예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시 예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. 그러므로, 본 발명의 범위는 설명된 실시 예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.As described above, although the present invention has been described with reference to the limited embodiments and the drawings, the present invention is not limited to the above embodiments, and those skilled in the art to which the present invention pertains various modifications and variations from these descriptions. This is possible. Therefore, the scope of the present invention should not be limited to the described embodiments, but should be determined by the equivalents of the claims, as well as the claims.

100 : 포털서버 200 : 사용자 단말장치
300 : 패킷 릴레이 검출 서버 400 : 복수의 AP
500 : 페이크 AP100: portal server 200: user terminal device
300: packet relay detection server 400: multiple AP
500: fake AP

Claims (18)

통신 가능 범위 이내에서 전송되는 패킷의 헤더 정보를 수집하는 수집부;
상기 수집된 헤더 정보를 이용하여 패킷 릴레이를 판단하는 판단부; 및
상기 판단부에 의해 상기 패킷 릴레이가 판단되면, 상기 통신 가능 범위 이내에 존재하는 사용자 단말장치로 패킷 릴레이 발생을 알리는 경고신호를 전송하는 통신부;를 포함하는 것을 특징으로 하는 패킷 릴레이 검출 서버.Collecting unit for collecting the header information of the packet transmitted within the communication range;
A determination unit which determines a packet relay using the collected header information; And
And a communication unit which transmits a warning signal for notifying occurrence of packet relay to a user terminal device within the communication range, when the packet relay is determined by the determination unit. 제1항에 있어서,
상기 수집된 헤더 정보를 기설정된 형태의 패킷 테이블에 저장하는 저장부;를 더 포함하며,
상기 판단부는, 상기 저장된 패킷 테이블을 이용하여 상기 패킷 릴레이를 판단하는 것을 특징으로 하는 패킷 릴레이 검출 서버.The method of claim 1,
And a storage unit which stores the collected header information in a packet table of a predetermined type.
The determination unit, the packet relay detection server, characterized in that for determining the packet relay using the stored packet table. 제2항에 있어서,
상기 수집부는, 상기 패킷별 헤더로부터 소스 어드레스, AP(Access Point) 어드레스, 및 목적지 어드레스를 포함하는 헤더 정보를 수집하는 것을 특징으로 하는 패킷 릴레이 검출 서버.The method of claim 2,
And the collecting unit collects header information including a source address, an access point (AP) address, and a destination address from the header for each packet. 제3항에 있어서,
상기 소스 어드레스는 소스 맥 어드레스(Mac address)이고, 상기 AP 어드레스는 AP 맥 어드레스이며, 상기 목적지 어드레스는 목적지 IP 어드레스인 것을 특징으로 하는 패킷 릴레이 검출 서버.The method of claim 3,
Wherein the source address is a source Mac address, the AP address is an AP Mac address, and the destination address is a destination IP address. 제3항에 있어서,
상기 판단부는, 상기 패킷 테이블에 저장된 복수의 패킷에 대한 헤더 정보 중 적어도 둘 이상의 패킷에 대한 상기 목적지 어드레스가 동일한 패킷이 존재하는 경우, 상기 목적지 어드레스가 동일한 적어도 둘 이상의 패킷에 대하여 상기 소스 어드레스, 및 상기 AP 어드레스를 비교하여 상기 패킷 릴레이를 판단하는 것을 특징으로 하는 패킷 릴레이 검출 서버.The method of claim 3,
The determination unit, when there is a packet having the same destination address for at least two or more packets among header information for the plurality of packets stored in the packet table, the source address for at least two or more packets having the same destination address, and And determining the packet relay by comparing the AP address. 제5항에 있어서,
상기 판단부는, 상기 목적지 어드레스가 동일한 적어도 둘 이상의 패킷 중 어느 하나의 패킷에 대한 소스 어드레스와 나머지 패킷에 대한 AP 어드레스가 서로 동일한 경우 상기 패킷 릴레이가 발생한 것으로 판단하는 것을 특징으로 하는 패킷 릴레이 검출 서버.The method of claim 5,
The determination unit, if the source address for any one of the at least two packets having the same destination address and the AP address for the remaining packets are the same, the packet relay detection server, characterized in that the occurrence of the packet relay. 삭제delete 통신 가능 범위 이내에서 전송되는 패킷의 헤더정보를 수집하는 단계;
상기 수집된 헤더 정보를 이용하여 패킷 릴레이를 판단하는 단계; 및
상기 패킷 릴레이 발생이 판단되면, 상기 통신 가능 범위 이내에 존재하는 사용자 단말장치로 패킷 릴레이 발생을 알리는 경고신호를 전송하는 단계;를 포함하는 것을 특징으로 하는 패킷 릴레이 검출 방법.Collecting header information of a packet transmitted within a communication range;
Determining a packet relay using the collected header information; And
And when the packet relay generation is determined, transmitting a warning signal notifying the occurrence of the packet relay to the user terminal device within the communication range. 제8항에 있어서,
상기 수집된 헤더 정보를 기설정된 형태의 패킷 테이블에 저장하는 단계;를 더 포함하며,
상기 판단하는 단계는, 상기 저장된 패킷 테이블을 이용하여 상기 패킷 릴레이를 판단하는 것을 특징으로 하는 패킷 릴레이 검출 방법.9. The method of claim 8,
And storing the collected header information in a packet table of a predetermined type.
The determining may include determining the packet relay using the stored packet table. 제9항에 있어서,
상기 수집하는 단계는, 상기 패킷의 헤더로부터 소스 어드레스, AP 어드레스, 및 목적지 어드레스를 포함하는 헤더 정보를 수집하는 것을 특징으로 하는 패킷 릴레이 검출 방법.10. The method of claim 9,
The collecting may include collecting header information including a source address, an AP address, and a destination address from a header of the packet. 제10항에 있어서,
상기 판단하는 단계는,
상기 패킷 테이블에 저장된 복수의 패킷에 대한 헤더 정보 중 적어도 둘 이상의 패킷에 대한 상기 목적지 어드레스가 동일한 패킷의 존재 여부를 판단하는 제1 판단 단계; 및
상기 판단 결과 상기 목적지 어드레스가 동일한 패킷이 존재하는 경우, 상기 목적지 어드레스가 동일한 적어도 둘 이상의 패킷에 대하여 상기 소스 어드레스, 및 상기 AP 어드레스를 비교하여 상기 패킷 릴레이를 판단하는 제2 판단 단계;를 포함하는 것을 특징으로 하는 패킷 릴레이 검출 방법.The method of claim 10,
The determining step,
A first determining step of determining whether a packet having the same destination address for at least two or more packets among header information for a plurality of packets stored in the packet table exists; And
And a second determination step of determining the packet relay by comparing the source address and the AP address with respect to at least two or more packets having the same destination address as a result of the determination. Packet relay detection method, characterized in that. 제11항에 있어서,
상기 제2 판단 단계는, 상기 목적지 어드레스가 동일한 적어도 둘 이상의 패킷 중 어느 하나의 패킷에 대한 소스 어드레스와 나머지 패킷에 대한 AP 어드레스가 서로 동일한 경우 상기 패킷 릴레이가 발생한 것으로 판단하는 것을 특징으로 하는 패킷 릴레이 검출 방법.The method of claim 11,
The second determination step may include: determining that the packet relay has occurred when the source address of any one of the at least two packets having the same destination address and the AP address of the remaining packets are the same. Detection method. 삭제delete 적어도 하나의 사용자 단말장치;
상기 적어도 하나의 사용자 단말장치와 상호 간에 통신을 수행하는 포털서버;
상기 사용자 단말장치와 상기 포털서버 간의 통신을 중재하는 적어도 하나의 AP; 및
상기 사용자 단말장치와 상기 포털서버 간에 송수신 되는 패킷을 이용하여 패킷 릴레이를 판단하는 패킷 릴레이 검출 서버;를 포함하며,
상기 패킷 릴레이 검출 서버는, 상기 패킷 릴레이 발생이 검출되면, 상기 적어도 하나의 사용자 단말장치로 패킷 릴레이 발생을 알리는 경고신호를 전송하는 것을 특징으로 하는 것을 특징으로 하는 패킷 릴레이 검출 시스템.At least one user terminal device;
A portal server for communicating with the at least one user terminal device;
At least one AP for mediating communication between the user terminal device and the portal server; And
And a packet relay detection server configured to determine a packet relay by using packets transmitted and received between the user terminal device and the portal server.
The packet relay detection server, when the packet relay generation is detected, characterized in that for transmitting the warning signal for notifying the packet relay generation to the at least one user terminal device, characterized in that the packet relay detection system. 제14항에 있어서,
상기 사용자 단말장치는, 상기 포털서버로 데이터를 전송할 때, 상기 적어도 하나의 AP 중 선택된 하나의 어드레스, 및 상기 포털서버의 어드레스를 패킷의 헤더에 포함하여 전송하는 것을 특징으로 하는 패킷 릴레이 검출 시스템.15. The method of claim 14,
The user terminal device, when transmitting data to the portal server, the packet relay detection system, characterized in that for transmitting the address of the selected one of the at least one AP, and the address of the portal server in the header of the packet. 제14항에 있어서,
상기 패킷 릴레이 검출 서버는, 상기 사용자 단말장치와 상기 포털서버 간에 송수신되는 패킷의 헤더로부터 패킷별 소스 어드레스, AP 어드레스, 및 목적지 어드레스를 추출하여 기설정된 형태의 패킷 테이블에 저장하는 것을 특징으로 하는 패킷 릴레이 검출 시스템.15. The method of claim 14,
The packet relay detecting server extracts a source address, an AP address, and a destination address of each packet from a header of packets transmitted and received between the user terminal device and the portal server, and stores the packet address in a packet table having a predetermined form. Relay detection system. 제16항에 있어서,
상기 패킷 릴레이 검출 서버는, 상기 패킷 테이블을 이용하여 기저장된 복수의 패킷에 대한 헤더 정보 중 적어도 둘 이상의 패킷에 대한 목적지 어드레스가 동일한 패킷이 존재하는 경우, 상기 목적지 어드레스가 동일한 적어도 둘 이상의 패킷 중 어느 하나의 패킷에 대한 소스 어드레스와 나머지 패킷에 대한 AP 어드레스가 서로 동일하면, 상기 패킷 릴레이가 발생한 것으로 검출하는 것을 특징으로 하는 패킷 릴레이 검출 시스템.17. The method of claim 16,
The packet relay detection server, when there is a packet having the same destination address for at least two or more packets among the header information for the plurality of packets previously stored using the packet table, any one of at least two or more packets having the same destination address And detecting that the packet relay has occurred when the source address of one packet and the AP address of the remaining packet are the same. 삭제delete
KR1020110024444A 2011-03-18 2011-03-18 Server and method and system for detecting packet relay KR101232256B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110024444A KR101232256B1 (en) 2011-03-18 2011-03-18 Server and method and system for detecting packet relay

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110024444A KR101232256B1 (en) 2011-03-18 2011-03-18 Server and method and system for detecting packet relay

Publications (2)

Publication Number Publication Date
KR20120106373A KR20120106373A (en) 2012-09-26
KR101232256B1 true KR101232256B1 (en) 2013-03-05

Family

ID=47113093

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110024444A KR101232256B1 (en) 2011-03-18 2011-03-18 Server and method and system for detecting packet relay

Country Status (1)

Country Link
KR (1) KR101232256B1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060088000A (en) * 2004-09-24 2006-08-03 마이크로소프트 코포레이션 Collaboratively locating disconnected clients and rogue access points in a wireless network
US7251685B1 (en) * 2001-12-21 2007-07-31 Mcafee, Inc. Method and apparatus for detailed protocol analysis of frames captured in an IEEE 802.11(b) wireless LAN
US7346338B1 (en) * 2003-04-04 2008-03-18 Airespace, Inc. Wireless network system including integrated rogue access point detection

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7251685B1 (en) * 2001-12-21 2007-07-31 Mcafee, Inc. Method and apparatus for detailed protocol analysis of frames captured in an IEEE 802.11(b) wireless LAN
US7346338B1 (en) * 2003-04-04 2008-03-18 Airespace, Inc. Wireless network system including integrated rogue access point detection
KR20060088000A (en) * 2004-09-24 2006-08-03 마이크로소프트 코포레이션 Collaboratively locating disconnected clients and rogue access points in a wireless network

Also Published As

Publication number Publication date
KR20120106373A (en) 2012-09-26

Similar Documents

Publication Publication Date Title
US9882912B2 (en) System and method for providing authentication service for internet of things security
US10063546B2 (en) Network access control method and apparatus
KR101369727B1 (en) Apparatus and method for controlling traffic based on captcha
KR101429177B1 (en) System for detecting unauthorized AP and method for detecting thereof
CN110351385B (en) Home gateway system and data forwarding method
KR20130079277A (en) Mobile infringement protection system based on smart apparatus for securing cloud environments and method thereof
US20190387408A1 (en) Wireless access node detecting method, wireless network detecting system and server
US20230016491A1 (en) Terminal device and method for identifying malicious ap by using same
US20150143526A1 (en) Access point controller and control method thereof
KR20180130202A (en) Apparatus and method for detecting malicious devices based on a swarm intelligence
KR20130079274A (en) Terminal and method for selecting access point with reliablility
US20200213856A1 (en) Method and a device for security monitoring of a wifi network
US9742769B2 (en) Method and system for determining trusted wireless access points
CN115643039A (en) Security protection method and device for internet of things terminal and computer readable storage medium
Ono et al. A proposal of port scan detection method based on Packet‐In Messages in OpenFlow networks and its evaluation
US11184280B2 (en) Methods and apparatus for verification of non-steered traffic flows having unspecified paths based on traversed network node or service function identities
KR20120132086A (en) System for detecting unauthorized AP and method for detecting thereof
KR101232256B1 (en) Server and method and system for detecting packet relay
KR101369980B1 (en) Apparatus and method for simultaneously transmitting data in heterogeneous network
KR101231966B1 (en) Server obstacle protecting system and method
KR101737893B1 (en) WIPS Sensor and Terminal block Method Using The Same
JP2014155095A (en) Communication control device, program and communication control method
JP2002164899A (en) Network monitoring method and its equipment
KR20210111210A (en) Apparatus and Method for Detecting Failure of Network
Puska et al. Confidentiality-aware decision on handoffs under uncertainty on heterogeneous wireless networks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160202

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee