KR101492442B1 - 패킷 분석 장치 및 방법과 vpn 서버 - Google Patents

패킷 분석 장치 및 방법과 vpn 서버 Download PDF

Info

Publication number
KR101492442B1
KR101492442B1 KR20140002912A KR20140002912A KR101492442B1 KR 101492442 B1 KR101492442 B1 KR 101492442B1 KR 20140002912 A KR20140002912 A KR 20140002912A KR 20140002912 A KR20140002912 A KR 20140002912A KR 101492442 B1 KR101492442 B1 KR 101492442B1
Authority
KR
South Korea
Prior art keywords
packet
datagram
vpn
unit
length
Prior art date
Application number
KR20140002912A
Other languages
English (en)
Inventor
한유정
문정환
남동수
오형근
손기욱
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR20140002912A priority Critical patent/KR101492442B1/ko
Priority to US14/470,604 priority patent/US9350712B2/en
Application granted granted Critical
Publication of KR101492442B1 publication Critical patent/KR101492442B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

해커가 자신의 접속 위치를 위장하고 행위 은닉을 위한 목적으로 VPN(Virtual Private Network) 서버를 경유지로 이용하여 공격하고자 정상 패킷으로 위장한 것에 대한 증거 확보를 수행하는 패킷 분석 장치 및 방법과 VPN 서버가 개시된다. 본 발명에 따른 패킷 분석 장치는 MPPE 기반 PPTP VPN(Virtual Private Network) 서버에 수집된 패킷을 분석하는 장치에 있어서, 호스트로부터 제공되어 수집된 패킷을 대상으로 암호화된 VPN(Virtual Private Network) 패킷 및 평문 패킷으로 분류하는 패킷 분류부, 상기 암호화된 VPN 패킷을 복호화함으로써 상기 암호화된 VPN 패킷에 은닉된 은닉 IP 데이터그램과, 상기 평문 패킷에 포함된 상기 호스트가 상기 암호화된 VPN 패킷을 전달하고자 하는 목표 대상 간의 평문 IP 데이터그램의 내용을 비교하는 제 1 비교 분석부 및 상기 은닉 IP 데이터그램과 상기 평문 IP 데이터그램의 길이를 비교하는 제 2 비교 분석부를 포함한다.

Description

패킷 분석 장치 및 방법과 VPN 서버{APPARATUS AND METHOD FOR PACKET ANALYSIS, VPN SERVER}
본 발명은, 패킷 분석 장치 및 방법과 VPN 서버에 관한 것이다. 더욱 상세하게는 본 발명은, 해커가 자신의 접속 위치를 위장하고 행위 은닉을 위한 목적으로 VPN(Virtual Private Network) 서버를 경유지로 이용하여 공격하고자 정상 패킷으로 위장한 것에 대한 증거 확보를 수행하는 패킷 분석 장치 및 방법과 VPN 서버에 관한 것이다.
최근 위치 및 행위 은닉을 위하여 터널링 및 암호화를 지원하는 VPN(Virtual Private Network) 서버를 경유지로 하여 정상 패킷처럼 위장하는 방법이 많이 활용되면서 이에 대한 분석이 필요한데 암호화되어 있기 때문에 효과적으로 분석하는 것이 쉽지 않다.
구체적으로, 해커가 효과적인 사이버 공격을 위하여 자신의 접속 위치를 위장하고 행위를 은닉하기 위한 목적으로 MPPE(Microsoft Point to Point Encryption) 기반 PPTP(Point to Point tunneling protocol) VPN 서버를 경유지로 이용하여 정상 패킷처럼 위장하는 것을 증명하기 위해서는 해커와 VPN 서버간 암호화된 VPN 패킷내 은닉된 IP 데이터그램과, VPN 서버와 목표대상 간의 평문 IP 데이터그램이 동일한지 증명해야 한다.
암호화되어 은닉된 IP 데이터그램과 평문 IP 데이터그램이 동일한지 검증하는 가장 직관적인 방법은 암호화된 IP 데이터그램을 복호화하여 평문 IP 데이터그램과의 비교를 통해 동일성을 검증하는 방법이다.
그러나, MPPE 패킷의 복호화를 위해서는 암호화에 사용되었던 세션키를 알아야하는데, 이러한 세션키를 알아내기 위해서는 VPN 로그인시 패스워드가 필요하다.
패스워드는 감청 데이터 상에서는 해쉬 값으로 존재하여 알 수 없으며 패스워드 크래킹을 통해 알아내야 하기 때문에 복호화가 항상 성공할 확률은 없다.
따라서 복호화가 실패하더라도 VPN 패킷과 평문 패킷의 동일성을 검증할 방법이 필요하다. 한편, MPPE 암호화 기법은 암호화 전후 데이터 길이의 변화가 없으므로 복호화가 불가능할 경우 패킷 길이 비교를 통해 동일성을 증명할 수 있다.
따라서, 복호화가 실패하더라도 동일성을 검증할 수 있도록 패킷 내용을 비교하는 구성과, 패킷 길이를 비교하는 구성 모두가 적용되는 패킷 분석 장치 및 방법과 VPN 서버가 필요한 실정이다. 관련 기술로는 한국공개특허 제2012-0044002호가 존재한다.
본 발명의 목적은, 상기 문제점을 해결하기 위한 것으로, VPN 서버를 중심으로 VPN 패킷과 일반 패킷의 내용을 비교하는 동시에, 길이를 비교함으로써 VPN 패킷과 일반 패킷의 동일성을 증명하는 것을 가능케 하는 것이다.
또한, 본 발명의 목적은, VPN 패킷이 암호화되어 복호화할 수 없는 경우에 해당하더라도, 패킷의 길이 비교를 수행하여 VPN 패킷와 일반 패킷을 비교함으로써 사이버 수사를 위한 증거 확보에 기여하는 것을 가능케 하는 것이다.
또한, 본 발명의 목적은, VPN 패킷과 일반 패킷의 내용을 비교함에 있어서, 복호화를 위한 자동화된 세션키 복원 방법을 활용함에 따라, 대용량 감청 데이터(VPN 패킷)를 빠른 시간 내에 복호화하는 것을 가능케 하는 것이다.
상기한 목적을 달성하기 위한 본 발명에 따른 패킷 분석 장치는, MPPE 기반 PPTP VPN(Virtual Private Network) 서버에 수집된 패킷을 분석하는 장치에 있어서, 호스트로부터 제공되어 수집된 패킷을 대상으로 암호화된 VPN(Virtual Private Network) 패킷 및 평문 패킷으로 분류하는 패킷 분류부, 상기 암호화된 VPN 패킷을 복호화함으로써 상기 암호화된 VPN 패킷에 은닉된 은닉 IP 데이터그램과, 상기 호스트가 상기 암호화된 VPN 패킷을 전달하고자 하는 목표 대상 간의 평문 IP 데이터그램의 내용을 비교하는 제 1 비교 분석부 및 상기 은닉 IP 데이터 그램과 상기 평문 IP 데이터그램의 길이를 비교하는 제 2 비교 분석부를 포함한다.
이 때, 상기 패킷 분류부는, 송신지와 수신지를 쌍으로 하여 PPTP 연결 시작부터 연결 종료까지의 연결 세션 단위로 상기 암호화된 VPN 패킷을 분류하는 PPTP 패킷 분류부를 포함할 수 있다.
이 때, 상기 패킷 분류부는, 송신지 IP, 수신지 IP, 송신지 포트 및 수신지 포트를 쌍으로 하여 상기 평문 패킷을 분류함으로써 세션별 평문 패킷 리스트를 생성하는 평문 패킷 분류부를 포함할 수 있다.
이 때, 상기 제 2 비교 분석부는, 상기 제 1 비교 분석부에서 상기 암호화된 VPN 패킷을 복호화하지 못하는 경우에 동작하도록 설정될 수 있다.
이 때, 상기 제 1 비교 분석부는, 상기 암호화된 VPN 패킷과 관련된 PPTP 패킷 리스트의 인증 패킷에서, Username, PPP CHAP Challenge, PPP CHAP Response 값을 추출하여 Rainbow list를 기반으로 패스워드를 크래킹하는 패스워드 크래킹부를 포함할 수 있다.
이 때, 상기 제 1 비교 분석부는, 상기 패스워드 크래킹부에 의하여 크래킹된 패스워드와, PPP CHAP Response 값을 기반으로 하여 마스터키 및 초기 송수신 세션키를 복원하는 키 복원부를 포함할 수 있다.
이 때, 상기 제 1 비교 분석부는, 비교 분석할 대상이 되는 암호화된 VPN 패킷 내의 MPPE 헤더의 카운트 필드 값에 대응하여 상기 키 복원부에 의하여 복원된 초기 송수신 세션키를 RC4 알고리즘에 의해 암호화함으로써 해당 세션에 대한 세션키를 복원한 후 상기 암호화된 VPN 패킷에 은닉되어 있는 IP 데이터그램을 복호화하는 복호화부를 포함할 수 있다.
이 때, 상기 제 1 비교 분석부는, 상기 복호화부에 의하여 상기 암호화된 VPN 패킷이 복호화됨에 따라, 복호화된 IP 헤더에서 세션 정보를 추출하여 송신지 IP와 매칭되는 세션 리스트를, 상기 세션별 평문 패킷 리스트에서 추출하는 세션 리스트 추출부를 포함할 수 있다.
이 때, 상기 세션 리스트 추출부에 의하여 추출된 세션 리스트에 대응하여, 상기 평문 패킷 리스트의 IP 데이터 그램과, 상기 복호화된 IP 데이터 그램을 비교하여 일치하는 IP 데이터그램이 존재하는지를 판단하는 일치여부 판단부를 포함할 수 있다.
이 때, 상기 제 2 비교 분석부는, 상기 암호화된 VPN 패킷 내의 암호화된 PPP 페이로드에 은닉되어 있는 은닉 IP 데이터그램의 길이를 산출하는 제 1 산출부를 포함하되, 상기 제 1 산출부는, IP 데이터그램의 전체 길이에서, IP 헤더 길이, GRE 헤더 길이, PPP Protocol Field 길이, MPPE 헤더 길이 및 Protocol Field 길이를 뺀 값을 상기 은닉 IP 데이터그램의 길이로 산출할 수 있다.
이 때, 상기 제 2 비교 분석부는, 상기 평문 IP 데이터그램의 길이를 산출하는 제 2 산출부를 포함하되, 상기 제 2 산출부는, 상기 평문 IP 데이터그램의 길이를, 상기 평문 IP 데이터그램 내의 IP 헤더의 Total Length 필드 값으로 산출할 수 있다.
이 때, 상기 제 1 비교 분석부에 의하여, 상기 은닉 IP 데이터그램과, 상기 평문 IP 데이터그램의 내용이 일치하는 것으로 판단되는 경우, 상기 은닉 IP 데이터그램과 대응되는 VPN 패킷과, 상기 평문 IP 데이터그램과 대응되는 평문 패킷을 출력하는 출력부를 더 포함할 수 있다.
이 때, 상기 출력부는, 상기 제 2 비교 분석부에 의하여, 상기 은닉 IP 데이터그램과, 상기 평문 IP 데이터그램의 길이가 일치하는 것으로 판단되는 경우, 상기 은닉 IP 데이터그램과 대응되는 VPN 패킷과, 상기 평문 IP 데이터그램과 대응되는 평문 패킷을 출력할 수 있다.
또한, 상기한 목적을 달성하기 위한 본 발명에 따른 패킷 분석 방법은, MPPE 기반 PPTP VPN(Virtual Private Network) 서버에 수집된 패킷을 분석하는 방법에 있어서, 패킷 분류부에 의하여, 호스트로부터 제공되어 수집된 패킷을 대상으로 암호화된 VPN(Virtual Private Network) 패킷 및 평문 패킷으로 분류하는 패킷 분류 단계, 제 1 비교 분석부에 의하여, 상기 암호화된 VPN 패킷을 복호화함으로써 상기 암호화된 VPN 패킷에 은닉된 은닉 IP 데이터그램과, 상기 호스트가 상기 암호화된 VPN 패킷을 전달하고자 하는 목표 대상 간의 평문 IP 데이터그램의 내용을 비교하는 제 1 비교 분석 단계 및 제 2 비교 분석부에 의하여, 상기 은닉 IP 데이터 그램과 상기 평문 IP 데이터그램의 길이를 비교하는 제 2 비교 분석 단계를 포함한다.
이 때, 상기 패킷 분류 단계는, PPTP 패킷 분류부에 의하여, 송신지와 수신지를 쌍으로 하여 PPTP 연결 시작부터 연결 종료까지의 연결 세션 단위로 상기 암호화된 VPN 패킷을 분류하는 PPTP 패킷 분류 단계 및 평문 패킷 분류부에 의하여, 송신지 IP, 수신지 IP, 송신지 포트 및 수신지 포트를 쌍으로 하여 상기 평문 패킷을 분류함으로써 세션별 평문 패킷 리스트를 생성하는 평문 패킷 분류 단계를 포함할 수 있다.
이 때, 상기 제 1 비교 분석 단계는, 패스워드 크래킹부에 의하여, 상기 암호화된 VPN 패킷과 관련된 PPTP 패킷 리스트의 인증 패킷에서, Username, PPP CHAP Challenge, PPP CHAP Response 값을 추출하여 Rainbow list를 기반으로 패스워드를 크래킹하는 패스워드 크래킹 단계, 키 복원부에 의하여, 상기 패스워드 크래킹 단계에서 크래킹된 패스워드와, PPP CHAP Response 값을 기반으로 하여 마스터키 및 초기 송수신 세션키를 복원하는 키 복원 단계, 복호화부에 의하여, 비교 분석할 대상이 되는 암호화된 VPN 패킷 내의 MPPE 헤더의 카운트 필드 값에 대응하여 상기 키 복원부에 의하여 복원된 초기 송수신 세션키를 RC4 알고리즘에 의해 암호화함으로써 해당 세션에 대한 세션키를 복원한 후 상기 암호화된 VPN 패킷에 은닉되어 있는 IP 데이터그램을 복호화하는 복호화 단계, 세션 리스트 추출부에 의하여, 상기 복호화 단계에서 상기 암호화된 VPN 패킷이 복호화됨에 따라, 복호화된 IP 헤더에서 세션 정보를 추출하여 송신지 IP와 매칭되는 세션 리스트를, 상기 세션별 평문 패킷 리스트에서 추출하는 세션 리스트 추출 단계 및 일치여부 판단부에 의하여, 상기 세션 리스트 추출 단계에서 추출된 세션 리스트에 대응하여, 상기 평문 패킷 리스트의 IP 데이터 그램과, 상기 복호화된 IP 데이터 그램을 비교하여 일치하는 IP 데이터그램이 존재하는지를 판단하는 일치여부 판단 단계를 포함할 수 있다.
이 때, 상기 제 2 비교 분석 단계는, 제 1 산출부에 의하여, 상기 암호화된 VPN 패킷 내의 암호화된 PPP 페이로드에 은닉되어 있는 은닉 IP 데이터그램의 길이를 산출하는 제 1 산출 단계를 포함하되, 상기 제 1 산출 단계는, IP 데이터그램의 전체 길이에서, IP 헤더 길이, GRE 헤더 길이, PPP Protocol Field 길이, MPPE 헤더 길이 및 Protocol Field 길이를 뺀 값을 상기 은닉 IP 데이터그램의 길이로 산출할 수 있다.
이 때, 상기 제 2 비교 분석 단계는, 제 2 산출부에 의하여, 상기 평문 IP 데이터그램의 길이를 산출하는 제 2 산출 단계를 포함하되, 상기 제 2 산출 단계는, 상기 평문 IP 데이터그램의 길이를, 상기 평문 IP 데이터그램 내의 IP 헤더의 Total Length 필드 값으로 산출할 수 있다.
이 때, 상기 제 1 비교 분석 단계에서, 상기 은닉 IP 데이터그램과, 상기 평문 IP 데이터그램의 내용이 일치하는 것으로 판단되는 경우, 출력부에 의하여, 상기 은닉 IP 데이터그램과 대응되는 VPN 패킷과, 상기 평문 IP 데이터그램과 대응되는 평문 패킷을 출력하는 출력 단계를 더 포함하되, 상기 출력 단계는, 상기 제 2 비교 분석 단계에서, 상기 은닉 IP 데이터그램과, 상기 평문 IP 데이터그램의 길이가 일치하는 것으로 판단되는 경우, 상기 은닉 IP 데이터그램과 대응되는 VPN 패킷과, 상기 평문 IP 데이터그램과 대응되는 평문 패킷을 출력할 수 있다.
또한, 상기한 목적을 달성하기 위한 본 발명에 따른 VPN 서버는, 호스트로부터 제공되어 수집된 패킷을 대상으로 암호화된 VPN(Virtual Private Network) 패킷 및 평문 패킷으로 분류하는 패킷 분류부, 상기 암호화된 VPN 패킷을 복호화함으로써 상기 암호화된 VPN 패킷에 은닉된 은닉 IP 데이터그램과, 상기 호스트가 상기 암호화된 VPN 패킷을 전달하고자 하는 목표 대상 간의 평문 IP 데이터그램의 내용을 비교하는 제 1 비교 분석부 및 상기 은닉 IP 데이터 그램과 상기 평문 IP 데이터그램의 길이를 비교하는 제 2 비교 분석부를 포함한다.
본 발명에 의하면, VPN 서버를 중심으로 VPN 패킷과 일반 패킷의 내용을 비교하는 동시에, 길이를 비교함으로써 VPN 패킷과 일반 패킷의 동일성을 증명할 수 있는 효과가 있다.
또한, 본 발명에 의하면, VPN 패킷이 암호화되어 복호화할 수 없는 경우에 해당하더라도, 패킷의 길이 비교를 수행하여 VPN 패킷와 일반 패킷을 비교함으로써 사이버 수사를 위한 증거 확보에 기여할 수 있는 효과가 있다.
또한, 본 발명에 의하면, VPN 패킷과 일반 패킷의 내용을 비교함에 있어서, 복호화를 위한 자동화된 세션키 복원 방법을 활용함에 따라, 대용량 감청 데이터(VPN 패킷)를 빠른 시간 내에 복호화할 수 있는 효과가 있다.
도 1은 본 발명에 따른 패킷 분석 장치의 시스템 구성도이다.
도 2는 본 발명에 따른 패킷 분석 장치의 블록도이다.
도 3은 본 발명에 따른 패킷 분석 장치의 패킷 분류부의 실시예를 설명하기 위한 도면이다,
도 4는 본 발명에 따른 패킷 분석 장치의 제 1 비교 분석부의 실시예를 설명하기 위한 도면이다.
도 5는 본 발명에 따른 패킷 분석 장치의 제 2 비교 분석부의 실시예를 설명하기 위한 도면이다.
도 6은 MPPE 기반 암호화된 PPTP VPN 패킷의 구조를 설명하기 위한 도면이다.
도 7은 평문 IP 데이터그램 구조를 설명하기 위한 도면이다.
도 8은 본 발명에 따른 패킷 분석 방법의 흐름도이다.
도 9 내지 도 10 본 발명에 따른 패킷 분석 방법의 실시예를 설명하기 위한 도면이다.
도 11은 본 발명에 따른 VPN 서버의 블록도이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다.
본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
또한, 본 발명의 구성 요소를 설명하는 데 있어서, 제 1, 제 2, A, B, (a), (b) 등의 용어를 사용할 수 있다. 이러한 용어는 그 구성 요소를 다른 구성 요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성 요소의 본질이나 차례 또는 순서 등이 한정되지 않는다.
이하, 상기한 목적을 달성하기 위한 본 발명에 따른 패킷 분석 장치의 시스템 구성에 대하여 도면을 참조하여 설명하도록 한다.
도 1은 본 발명에 따른 패킷 분석 장치의 시스템 구성도이다. 도 5는 MPPE 기반 암호화된 PPTP VPN 패킷의 구조를 설명하기 위한 도면이다. 도 6은 평문 IP 데이터그램 구조를 설명하기 위한 도면이다.
최근 해커 자신의 위치와 행위를 은닉하기 위하여 VPN(Virtual Private Network) 서버를 경유지로 활용하는 보안 사고가 늘고 있다.
도 1을 참조하여 설명하면, 해커(호스트)(2000)는 바로 목표 대상(Target)(3000)에 접속하여 악성 코드를 업로드 또는 다운로드 등 악성행위를 수행하는 것이 아니라, 자신의 위치를 은닉하기 위하여 중간의 VPN 서버(1000)를 경유하여 패킷을 위장 시킨 후 원하는 목표 대상(3000)에 전달한다.
먼저, 원래 목표 대상(3000)을 목적지로 하는 해커(2000)의 패킷을 은닉 시킨 후, 협상된 VPN 터널링 프로토콜에 의해 암호화하여 VPN 서버(1000)에 전송한다.
보다 구체적으로, 상기 해커(호스트)(2000)와 상기 VPN 서버(1000) 간에는 PPTP VPN Communication을 통하여, 암호화된 데이터가 사용되며, 상기 VPN 서버(1000)와, 상기 목표 대상(Target)(3000) 간에는 TCP/IP Communication을 통하여 Plain 데이터가 사용된다.
도 6을 참조하면, 해커가 목표 대상에게 전송하려고 하는 원래의 IP 데이터그램은 암호화되어 VPN 패킷(10) 내에 존재하는 은닉(Capsulized) IP 데이터그램(16)으로서 은닉되어 전송된다.
이 때, VPN 패킷(10)의 IP 헤더(11)의 목적지가 VPN 서버의 IP로 설정되어 있기 때문에, 상기 VPN 패킷(10)이 궁극적으로 목표 대상으로 전송되는 패킷이라는 것을 알 수 없다.
VPN 서버는 암호화된 패킷을 수신받아 패킷을 복호화하여 은닉된 IP 데이터그램(16)을 복원하여 목표 대상에게 자신이 보내는 것처럼 도 7의 IP 헤더(21)와 같이, 송신지 주소는 VPN 서버로, 목적지는 목표 대상으로 하는 IP 헤더(21)를 수정한 평문 IP 데이터그램(20)을 목표 대상에게 전송하게 된다.
결과적으로, 해커와 VPN 서버 간 암호화된 VPN 패킷(10) 내 은닉된 IP 데이터그램(16)과, VPN 서버와 목표 대상 간의 평문 IP 데이터그램(20)은 해커가 목표 대상에게 보내는 동일한 데이터를 가지고 있는 패킷이지만, 터널링과 암호화로 인하여 상세한 연관 분석 없이는 두 패킷 간의 동일성 여부를 검증하기 어렵다. 따라서, 본 발명에서는 해커의 은닉 및 위장을 증명하기 위한 두 패킷 간의 동일성 검증 방법을 제시하게 된다.
이하, 도면을 참조하여, 본 발명에 따른 패킷 분석 장치에 대하여 설명하도록 한다.
도 2는 본 발명에 따른 패킷 분석 장치의 블록도이다. 도 3은 본 발명에 따른 패킷 분석 장치의 패킷 분류부의 실시예를 설명하기 위한 도면이다, 도 4는 본 발명에 따른 패킷 분석 장치의 제 1 비교 분석부의 실시예를 설명하기 위한 도면이다. 도 5는 본 발명에 따른 패킷 분석 장치의 제 2 비교 분석부의 실시예를 설명하기 위한 도면이다. 도 6은 MPPE 기반 암호화된 PPTP VPN 패킷의 구조를 설명하기 위한 도면이다. 도 7은 평문 IP 데이터그램 구조를 설명하기 위한 도면이다.
도 2를 참조하여 설명하면, 본 발명에 따른 패킷 분석 장치(100)는, 패킷 분류부(110), 제 1 비교 분석부(120), 제 2 비교 분석부(130) 및 출력부(140)를 포함하여 구성된다.
보다 구체적으로, 본 발명에 따른 패킷 분석 장치(100)는, MPPE 기반 PPTP VPN(Virtual Private Network) 서버에 수집된 패킷을 분석하는 장치에 있어서, 호스트로부터 제공되어 수집된 패킷을 대상으로 암호화된 VPN(Virtual Private Network) 패킷 및 평문 패킷으로 분류하는 패킷 분류부(110), 상기 암호화된 VPN 패킷을 복호화함으로써 상기 암호화된 VPN 패킷에 은닉된 은닉 IP 데이터그램과, 상기 평문 패킷에 포함된 상기 호스트가 상기 암호화된 VPN 패킷을 전달하고자 하는 목표 대상 간의 평문 IP 데이터그램의 내용을 비교하는 제 1 비교 분석부(120) 및 상기 은닉 IP 데이터 그램과 상기 평문 IP 데이터그램의 길이를 비교하는 제 2 비교 분석부(130)를 포함한다.
이 때, 상기 제 1 비교 분석부(120)에 의하여, 상기 은닉 IP 데이터그램과, 상기 평문 IP 데이터그램의 내용이 일치하는 것으로 판단되는 경우, 상기 은닉 IP 데이터그램과 대응되는 VPN 패킷과, 상기 평문 IP 데이터그램과 대응되는 평문 패킷을 출력하는 출력부(140)를 더 포함할 수 있으며, 상기 출력부(140)는, 상기 제 2 비교 분석부(130)에 의하여, 상기 은닉 IP 데이터그램과, 상기 평문 IP 데이터그램의 길이가 일치하는 것으로 판단되는 경우, 상기 은닉 IP 데이터그램과 대응되는 VPN 패킷과, 상기 평문 IP 데이터그램과 대응되는 평문 패킷을 출력할 수 있다.
도 3을 참조하여 설명하면, 상기 패킷 분류부(110)는, PPTP 패킷 분류부(111) 및 평문 패킷 분류부(112)를 포함할 수 있다.
보다 구체적으로, 상기 PPTP 패킷 분류부(111)는, 송신지와 수신지를 쌍으로 하여 PPTP 연결 시작부터 연결 종료까지의 연결 세션 단위로 상기 암호화된 VPN 패킷을 분류하는 기능을 수행한다.
또한, 상기 평문 패킷 분류부(112)는, 송신지 IP, 수신지 IP, 송신지 포트 및 수신지 포트를 쌍으로 하여 상기 평문 패킷을 분류함으로써 세션별 평문 패킷 리스트(112a)를 생성하는 기능을 수행한다.
즉, 본 발명에 따른 패킷 분석 장치(100)는, VPN 서버를 대상으로 감청한 패킷 데이터를 입력 받아 PPTP 패킷 분류부(111)와, 평문 패킷 분류부(112)에게 전달하게 되는 것이다.
이 때, 상기 PPTP 패킷 분류부(111)는 송신지-수신지 쌍으로 PPTP 연결 시작부터 연결 종료까지 연결 세션 단위로 패킷을 분리하여 증거 확보 대상 IP에 대한 PPTP 패킷을 저장한다.
또한, 상기 평문 패킷 분류부(112)는 송신지 IP, 수신지 IP, 송신지 포트, 수신지 포트 쌍으로 패킷들을 분류하여 분리 저장한다.
도 4를 참조하여 설명하면, 상기 제 1 비교 분석부(120)는, 패스워드 크래킹부(121), 키 복원부(122), 복호화부(123), 세션 리스트 추출부(124) 및 일치 여부 판단부(125)를 포함하여 구성될 수 있다.
보다 구체적으로, 상기 패스워드 크래킹부(121)는, 상기 암호화된 VPN 패킷과 관련된 PPTP 패킷 리스트의 인증 패킷에서, Username, PPP CHAP Challenge, PPP CHAP Response 값을 추출하여 Rainbow list를 기반으로 패스워드를 크래킹하는 기능을 수행한다.
또한, 상기 키 복원부(122)는, 상기 패스워드 크래킹부(121)에 의하여 크래킹된 패스워드와, PPP CHAP Response 값을 기반으로 하여 마스터키 및 초기 송수신 세션키를 복원하는 기능을 수행한다.
또한, 상기 복호화부(123)는, 비교 분석할 대상이 되는 암호화된 VPN 패킷 내의 MPPE 헤더의 카운트 필드 값에 대응하여 상기 키 복원부(122)에 의하여 복원된 초기 송수신 세션키를 RC4 알고리즘에 의해 암호화함으로써 해당 세션에 대한 세션키를 복원한 후 상기 암호화된 VPN 패킷에 은닉되어 있는 IP 데이터그램을 복호화하는 기능을 수행한다.
또한, 상기 세션 리스트 추출부(124)는, 상기 복호화부(123)에 의하여 상기 암호화된 VPN 패킷이 복호화됨에 따라, 복호화된 IP 헤더에서 세션 정보를 추출하여 송신지 IP와 매칭되는 세션 리스트를, 상기 세션별 평문 패킷 리스트에서 추출하는 기능을 수행한다.
또한, 상기 일치 여부 판단부(125)는, 상기 세션 리스트 추출부(124)에 의하여 추출된 세션 리스트에 대응하여, 상기 평문 패킷 리스트의 IP 데이터 그램과, 상기 복호화된 IP 데이터 그램을 비교하여 일치하는 IP 데이터그램이 존재하는지를 판단하는 기능을 수행한다.
상기 제 2 비교 분석부(130)에서는, 상기 은닉 IP 데이터그램과 상기 평문 IP 데이터그램의 길이를 비교하는 기능을 수행하는데, 상기 살펴본 바와 같이, 상기 제 1 비교 분석부(120)에서 동일성 검증을 수행함에 있어서, 상기 암호화된 VPN 패킷을 복호화하지 못하는 경우에 상기 제 2 비교 분석부가 동작되도록 설정될 수 있다.
즉, 상기 제 1 비교 분석부(120)를 통하여, 내용 비교를 수행하지 못하더라도, 상기 제 2 비교 분석부(130)를 통하여 길이 비교를 수행할 수 있다는 점에서 장점이 있게 된다.
도 5를 참조하여 설명하면, 상기 제 2 비교 분석부(130)는, 제 1 산출부(131) 및 제 2 산출부(132)를 포함하여 구성될 수 있다.
보다 구체적으로, 상기 제 1 산출부(131)는, 상기 암호화된 VPN 패킷 내의 암호화된 PPP 페이로드에 은닉되어 있는 은닉 IP 데이터그램의 길이를 산출하는 기능을 수행한다.
이 때, 상기 제 1 산출부(131)는, 도 6을 참조할 때, IP 데이터그램의 전체 길이(10)에서, IP 헤더(11) 길이, GRE 헤더(12) 길이, PPP Protocol Field(13) 길이, MPPE 헤더(14) 길이 및 Protocol Field(15) 길이를 뺀 값을 상기 은닉 IP 데이터그램(16)의 길이로 산출할 수 있다.
도 6을 참조하여, MPPE 기반 암호화된 PPTP VPN 패킷의 구조에 대하여 보다 구체적으로 설명하면, VPN 패킷(10)은 IP 헤더(11), GRE 헤더(12), PPP Protocol Field(13), MPPE 헤더(14), Protocol Field(15) 및 은닉 IP 데이터그램(16)으로 구성된다.
이 때, 상기 IP 헤더(11)는 20 바이트 이상 할당되며, 상기 GRE 헤더(12)는 8 바이트 이상 할당되며, 상기 PPP Protocol Field(13)는, 1 바이트 또는 2 바이트로 할당되며, 상기 MPPE 헤더(14)는 2 바이트로 할당되며, 상기 Protocol Field(15)는 2 바이트로 할당되며, 상기 은닉 IP 데이터 그램(16)은 Variable Length를 갖는다.
또한, 상기 Protocol Field(15)와 상기 은닉 IP 데이터 그램(16)은 암호화된 PPP Payload이며, 상기 PPP Protocol(13) 내지 상기 은닉 IP 데이터그램(16)은 PPP Frame이다.
또한, 상기 제 2 비교 분석부(130)는, 상기 평문 IP 데이터그램의 길이를 산출하는 제 2 산출부(132)를 포함할 수 있으며, 이 때, 상기 제 2 산출부(132)는, 도 7을 참조할 때, 상기 평문 IP 데이터그램(20)의 길이를, 상기 평문 IP 데이터그램(20) 내의 IP 헤더(21)의 Total Length 필드 값으로 산출할 수 있다.
이하, 본 발명에 따른 패킷 분석 방법에 대하여 설명하도록 한다. 상기 살펴본 바와 같이, 본 발명에 따른 패킷 분석 장치(100)와 중복되는 기술 내용에 대한 설명은 생략하도록 한다.
도 8은 본 발명에 따른 패킷 분석 방법의 흐름도이다. 도 9 내지 도 10은 본 발명에 따른 패킷 분석 방법의 실시예를 설명하기 위한 도면이다.
도 8을 참조하여 설명하면, 본 발명에 따른 패킷 분석 방법은, MPPE 기반 PPTP VPN(Virtual Private Network) 서버에 수집된 패킷을 분석하는 방법에 있어서, 패킷 분류부에 의하여, 호스트로부터 제공되어 수집된 패킷을 대상으로 암호화된 VPN(Virtual Private Network) 패킷 및 평문 패킷으로 분류하는 패킷 분류 단계(S100), 제 1 비교 분석부에 의하여, 상기 암호화된 VPN 패킷을 복호화함으로써 상기 암호화된 VPN 패킷에 은닉된 은닉 IP 데이터그램과, 상기 평문 패킷에 포함된 상기 호스트가 상기 암호화된 VPN 패킷을 전달하고자 하는 목표 대상 간의 평문 IP 데이터그램의 내용을 비교하는 제 1 비교 분석 단계(S110) 및 제 2 비교 분석부에 의하여, 상기 은닉 IP 데이터 그램과 상기 평문 IP 데이터그램의 길이를 비교하는 제 2 비교 분석 단계(S120)를 포함한다.
또한, 상기 S120 단계 이후에, 상기 제 1 비교 분석 단계(S110)에서, 상기 은닉 IP 데이터그램과, 상기 평문 IP 데이터그램의 내용이 일치하는 것으로 판단되는 경우, 출력부에 의하여, 상기 은닉 IP 데이터그램과 대응되는 VPN 패킷과, 상기 평문 IP 데이터그램과 대응되는 평문 패킷을 출력하는 출력 단계(S130)를 더 포함하되, 상기 출력 단계(S130)는, 상기 제 2 비교 분석 단계(S120)에서, 상기 은닉 IP 데이터그램과, 상기 평문 IP 데이터그램의 길이가 일치하는 것으로 판단되는 경우, 상기 은닉 IP 데이터그램과 대응되는 VPN 패킷과, 상기 평문 IP 데이터그램과 대응되는 평문 패킷을 출력할 수 있다.
도 9를 참조하여, 본 발명에 따른 패킷 분석 방법의 상기 S110 단계의 실시예를 설명하면, 상기 S100 단계 이후에, 패스워드 크래킹부에 의하여, 상기 암호화된 VPN 패킷과 관련된 PPTP 패킷 리스트의 인증 패킷에서, Username, PPP CHAP Challenge, PPP CHAP Response 값을 추출하여 Rainbow list를 기반으로 패스워드를 크래킹하는 패스워드 크래킹 단계(S111)가 진행된다.
또한, 상기 S111 단계 이후에는, 키 복원부에 의하여, 상기 패스워드 크래킹 단계에서 크래킹된 패스워드와, PPP CHAP Response 값을 기반으로 하여 마스터키 및 초기 송수신 세션키를 복원하는 키 복원 단계(S112)가 진행되며, 이 후, 복호화부에 의하여, 비교 분석할 대상이 되는 암호화된 VPN 패킷 내의 MPPE 헤더의 카운트 필드 값에 대응하여 상기 키 복원부에 의하여 복원된 초기 송수신 세션키를 RC4 알고리즘에 의해 암호화함으로써 해당 세션에 대한 세션키를 복원한 후 상기 암호화된 VPN 패킷에 은닉되어 있는 IP 데이터그램을 복호화하는 복호화 단계(S113)가 진행될 수 있다.
상기 S113 단계 이후에는, 세션 리스트 추출부에 의하여, 상기 복호화 단계에서 상기 암호화된 VPN 패킷이 복호화됨에 따라, 복호화된 IP 헤더에서 세션 정보를 추출하여 송신지 IP와 매칭되는 세션 리스트를, 상기 세션별 평문 패킷 리스트에서 추출하는 세션 리스트 추출 단계(S114)가 진행되며, 상기 S114 단계 이후에는, 일치여부 판단부에 의하여, 상기 세션 리스트 추출 단계에서 추출된 세션 리스트에 대응하여, 상기 평문 패킷 리스트의 IP 데이터 그램과, 상기 복호화된 IP 데이터 그램을 비교하여 일치하는 IP 데이터그램이 존재하는지를 판단하는 일치여부 판단 단계(S115)가 진행된다.
도 10을 참조하여, 본 발명에 따른 패킷 분석 방법의 다른 실시예를 살펴보면, S112 단계 이후에, 암호화되니 VPN 패킷을 복호화할 수 있는지를 판단하게 된다(S113).
상기 설명한 바와 같이, MPPE 패킷의 복호화를 위해서는 암호화에 사용되었던 세션키를 알아야 하는데, 이러한 세션키를 알아내기 위해서는 VPN 로그인시 패스워드가 필요하다. 패스워드는 VPN 서버의 감청 데이터 상에서는 해쉬 으로 존재하여 알 수 없으며, 패스워드 크랙을 통해 알아내야 하기 때문에 복호화가 항상 성공하는 것은 아니다. 따라서, 상기 S113 단계에서 복호화가 이루어 지지 않는 것으로 판단되면, S120 단계가 진행되어 패킷 길이 비교를 진행하게 되는 것이며, 상기 S113 단계에서 복호화할 수 있는 것으로 판단되는 경우에는 도 9의 S114 단계 및 S115 단계가 진행되도록 설계할 수도 있다.
이하, 본 발명에 따른 VPN 서버에 대하여 설명하도록 한다. 상기 살펴본 바와 같이, 본 발명에 따른 패킷 분석 장치와 중복되는 기술 내용에 대한 설명은 생략하도록 한다.
즉, 본 발명에 따른 VPN 서버는, 상기 살펴본 바와 같은 패킷 분석 장치를 별도로 구비하지 않은 상태에서, 상기 패킷 분석 장치의 구성 요소를 포함한 서버를 의미한다.
도 11은 본 발명에 따른 VPN 서버의 블록도이다.
도 11을 참조하여 설명하면, 본 발명에 따른 VPN 서버(1000)는, 패킷 분류부(1100), 제 1 비교 분석부(1200), 제 2 비교 분석부(1300) 및 출력부(1400)를 포함하여 구성 될 수 있다.
보다 구체적으로, 상기 패킷 분류부(1100)는, 호스트로부터 제공되어 수집된 패킷을 대상으로 암호화된 VPN(Virtual Private Network) 패킷 및 평문 패킷으로 분류하는 기능을 수행하며, 상기 제 1 비교 분석부(1200)는, 상기 암호화된 VPN 패킷을 복호화함으로써 상기 암호화된 VPN 패킷에 은닉된 은닉 IP 데이터그램과, 상기 평문 패킷에 포함된 상기 호스트가 상기 암호화된 VPN 패킷을 전달하고자 하는 목표 대상 간의 평문 IP 데이터그램의 내용을 비교하는 기능을 수행하며, 상기 제 2 비교 분석부(1300)는, 상기 은닉 IP 데이터 그램과 상기 평문 IP 데이터그램의 길이를 비교하는 기능을 수행한다.
또한, 본 발명에 따른 VPN 서버(1000)는 상기 출력부(1400)를 더 포함할 수 있는데, 상기 출력부(1400)에 대한 구체적인 기술 내용은, 상기 설명한 본 발명에 따른 패킷 분석 장치(100)의 출력부(140)와 동일하므로 생략하도록 한다.
상기 살펴본 바와 같이, 본 발명에 따른 패킷 분석 장치 및 방법, VPN 서버에 의하면, VPN 서버를 중심으로 VPN 패킷과 일반 패킷의 내용을 비교하는 동시에, 길이를 비교함으로써 VPN 패킷과 일반 패킷의 동일성을 증명할 수 있는 장점이 있다.
이상에서와 같이 본 발명에 따른 패킷 분석 장치 및 방법, VPN 서버는 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
100: 패킷 분석 장치
1000: VPN 서버 2000: 해커(호스트)
3000: 목표 대상(Target)
110: 패킷 분류부 120: 제 1 비교 분석부
130: 제 2 비교 분석부 140: 출력부
111: PPTP 패킷 분류부 112: 평문 패킷 분류부
112a: 세션별 평문 패킷 리스트
121: 패스워드 크래킹부 122: 키 복원부
123: 복호화부 124: 세션 리스트 추출부
125: 일치 여부 판단부 131: 제 1 산출부
132: 제 2 산출부

Claims (20)

  1. MPPE 기반 PPTP(Point to Point tunneling protocol) VPN(Virtual Private Network) 서버에 수집된 패킷을 분석하는 장치에 있어서,
    호스트로부터 제공되어 수집된 패킷을 대상으로 암호화된 VPN 패킷 및 평문 패킷으로 분류하는 패킷 분류부;
    상기 암호화된 VPN 패킷을 복호화함으로써 상기 암호화된 VPN 패킷에 은닉된 은닉 IP 데이터그램과, 상기 평문 패킷에 포함된 상기 호스트가 상기 암호화된 VPN 패킷을 전달하고자 하는 목표 대상 간의 평문 IP 데이터그램의 내용을 비교하는 제 1 비교 분석부; 및
    상기 은닉 IP 데이터그램과 상기 평문 IP 데이터그램의 길이를 비교하는 제 2 비교 분석부를 포함하는 것을 특징으로 하는 패킷 분석 장치.
  2. 청구항 1에 있어서,
    상기 패킷 분류부는,
    송신지와 수신지를 쌍으로 하여 PPTP 연결 시작부터 연결 종료까지의 연결 세션 단위로 상기 암호화된 VPN 패킷을 분류하는 PPTP 패킷 분류부를 포함하는 것을 특징으로 하는 패킷 분석 장치.
  3. 청구항 2에 있어서,
    상기 패킷 분류부는,
    송신지 IP, 수신지 IP, 송신지 포트 및 수신지 포트를 쌍으로 하여 상기 평문 패킷을 분류함으로써 세션별 평문 패킷 리스트를 생성하는 평문 패킷 분류부를 포함하는 것을 특징으로 하는 패킷 분석 장치.
  4. 청구항 1에 있어서,
    상기 제 2 비교 분석부는,
    상기 제 1 비교 분석부에서 상기 암호화된 VPN 패킷을 복호화하지 못하는 경우에 동작하도록 설정되는 것을 특징으로 하는 패킷 분석 장치.
  5. 청구항 3에 있어서,
    상기 제 1 비교 분석부는,
    상기 암호화된 VPN 패킷과 관련된 PPTP 패킷 리스트의 인증 패킷에서, Username, PPP CHAP Challenge, PPP CHAP Response 값을 추출하여 Rainbow list를 기반으로 패스워드를 크래킹하는 패스워드 크래킹부를 포함하는 것을 특징으로 하는 패킷 분석 장치.
  6. 청구항 5에 있어서,
    상기 제 1 비교 분석부는,
    상기 패스워드 크래킹부에 의하여 크래킹된 패스워드와, PPP CHAP Response 값을 기반으로 하여 마스터키 및 초기 송수신 세션키를 복원하는 키 복원부를 포함하는 것을 특징으로 하는 패킷 분석 장치.
  7. 청구항 6에 있어서,
    상기 제 1 비교 분석부는,
    비교 분석할 대상이 되는 암호화된 VPN 패킷 내의 MPPE 헤더의 카운트 필드 값에 대응하여 상기 키 복원부에 의하여 복원된 초기 송수신 세션키를 RC4 알고리즘에 의해 암호화함으로써 해당 세션에 대한 세션키를 복원한 후 상기 암호화된 VPN 패킷에 은닉되어 있는 IP 데이터그램을 복호화하는 복호화부를 포함하는 것을 특징으로 하는 패킷 분석 장치.
  8. 청구항 7에 있어서,
    상기 제 1 비교 분석부는,
    상기 복호화부에 의하여 상기 암호화된 VPN 패킷이 복호화됨에 따라, 복호화된 IP 헤더에서 세션 정보를 추출하여 송신지 IP와 매칭되는 세션 리스트를, 상기 세션별 평문 패킷 리스트에서 추출하는 세션 리스트 추출부를 포함하는 것을 특징으로 하는 패킷 분석 장치.
  9. 청구항 8에 있어서,
    상기 세션 리스트 추출부에 의하여 추출된 세션 리스트에 대응하여, 상기 평문 패킷 리스트의 IP 데이터 그램과, 상기 복호화된 IP 데이터 그램을 비교하여 일치하는 IP 데이터그램이 존재하는지를 판단하는 일치여부 판단부를 포함하는 것을 특징으로 하는 패킷 분석 장치.
  10. 청구항 1에 있어서,
    상기 제 2 비교 분석부는,
    상기 암호화된 VPN 패킷 내의 암호화된 PPP 페이로드에 은닉되어 있는 은닉 IP 데이터그램의 길이를 산출하는 제 1 산출부를 포함하되,
    상기 제 1 산출부는,
    IP 데이터그램의 전체 길이에서,
    IP 헤더 길이, GRE 헤더 길이, PPP Protocol Field 길이, MPPE 헤더 길이 및 Protocol Field 길이를 뺀 값을 상기 은닉 IP 데이터그램의 길이로 산출하는 것을 특징으로 하는 패킷 분석 장치.
  11. 청구항 10에 있어서,
    상기 제 2 비교 분석부는,
    상기 평문 IP 데이터그램의 길이를 산출하는 제 2 산출부를 포함하되,
    상기 제 2 산출부는,
    상기 평문 IP 데이터그램의 길이를, 상기 평문 IP 데이터그램 내의 IP 헤더의 Total Length 필드 값으로 산출하는 것을 특징으로 하는 패킷 분석 장치.
  12. 청구항 1에 있어서,
    상기 제 1 비교 분석부에 의하여,
    상기 은닉 IP 데이터그램과, 상기 평문 IP 데이터그램의 내용이 일치하는 것으로 판단되는 경우, 상기 은닉 IP 데이터그램과 대응되는 VPN 패킷과, 상기 평문 IP 데이터그램과 대응되는 평문 패킷을 출력하는 출력부를 더 포함하는 것을 특징으로 하는 패킷 분석 장치.
  13. 청구항 12에 있어서,
    상기 출력부는,
    상기 제 2 비교 분석부에 의하여,
    상기 은닉 IP 데이터그램과, 상기 평문 IP 데이터그램의 길이가 일치하는 것으로 판단되는 경우, 상기 은닉 IP 데이터그램과 대응되는 VPN 패킷과, 상기 평문 IP 데이터그램과 대응되는 평문 패킷을 출력하는 것을 특징으로 하는 패킷 분석 장치.
  14. MPPE 기반 PPTP VPN(Virtual Private Network) 서버에 수집된 패킷을 분석하는 방법에 있어서,
    패킷 분류부에 의하여, 호스트로부터 제공되어 수집된 패킷을 대상으로 암호화된 VPN(Virtual Private Network) 패킷 및 평문 패킷으로 분류하는 패킷 분류 단계;
    제 1 비교 분석부에 의하여, 상기 암호화된 VPN 패킷을 복호화함으로써 상기 암호화된 VPN 패킷에 은닉된 은닉 IP 데이터그램과, 상기 평문 패킷에 포함된 상기 호스트가 상기 암호화된 VPN 패킷을 전달하고자 하는 목표 대상 간의 평문 IP 데이터그램의 내용을 비교하는 제 1 비교 분석 단계; 및
    제 2 비교 분석부에 의하여, 상기 은닉 IP 데이터 그램과 상기 평문 IP 데이터그램의 길이를 비교하는 제 2 비교 분석 단계를 포함하는 것을 특징으로 하는 패킷 분석 방법.
  15. 청구항 14에 있어서,
    상기 패킷 분류 단계는,
    PPTP 패킷 분류부에 의하여, 송신지와 수신지를 쌍으로 하여 PPTP 연결 시작부터 연결 종료까지의 연결 세션 단위로 상기 암호화된 VPN 패킷을 분류하는 PPTP 패킷 분류 단계; 및
    평문 패킷 분류부에 의하여, 송신지 IP, 수신지 IP, 송신지 포트 및 수신지 포트를 쌍으로 하여 상기 평문 패킷을 분류함으로써 세션별 평문 패킷 리스트를 생성하는 평문 패킷 분류 단계를 포함하는 것을 특징으로 하는 패킷 분석 방법.
  16. 청구항 15에 있어서,
    상기 제 1 비교 분석 단계는,
    패스워드 크래킹부에 의하여, 상기 암호화된 VPN 패킷과 관련된 PPTP 패킷 리스트의 인증 패킷에서, Username, PPP CHAP Challenge, PPP CHAP Response 값을 추출하여 Rainbow list를 기반으로 패스워드를 크래킹하는 패스워드 크래킹 단계;
    키 복원부에 의하여, 상기 패스워드 크래킹 단계에서 크래킹된 패스워드와, PPP CHAP Response 값을 기반으로 하여 마스터키 및 초기 송수신 세션키를 복원하는 키 복원 단계;
    복호화부에 의하여, 비교 분석할 대상이 되는 암호화된 VPN 패킷 내의 MPPE 헤더의 카운트 필드 값에 대응하여 상기 키 복원부에 의하여 복원된 초기 송수신 세션키를 RC4 알고리즘에 의해 암호화함으로써 해당 세션에 대한 세션키를 복원한 후 상기 암호화된 VPN 패킷에 은닉되어 있는 IP 데이터그램을 복호화하는 복호화 단계;
    세션 리스트 추출부에 의하여, 상기 복호화 단계에서 상기 암호화된 VPN 패킷이 복호화됨에 따라, 복호화된 IP 헤더에서 세션 정보를 추출하여 송신지 IP와 매칭되는 세션 리스트를, 상기 세션별 평문 패킷 리스트에서 추출하는 세션 리스트 추출 단계; 및
    일치여부 판단부에 의하여, 상기 세션 리스트 추출 단계에서 추출된 세션 리스트에 대응하여, 상기 평문 패킷 리스트의 IP 데이터 그램과, 상기 복호화된 IP 데이터 그램을 비교하여 일치하는 IP 데이터그램이 존재하는지를 판단하는 일치여부 판단 단계를 포함하는 것을 특징으로 하는 패킷 분석 방법.
  17. 청구항 14에 있어서,
    상기 제 2 비교 분석 단계는,
    제 1 산출부에 의하여, 상기 암호화된 VPN 패킷 내의 암호화된 PPP 페이로드에 은닉되어 있는 은닉 IP 데이터그램의 길이를 산출하는 제 1 산출 단계를 포함하되,
    상기 제 1 산출 단계는,
    IP 데이터그램의 전체 길이에서,
    IP 헤더 길이, GRE 헤더 길이, PPP Protocol Field 길이, MPPE 헤더 길이 및 Protocol Field 길이를 뺀 값을 상기 은닉 IP 데이터그램의 길이로 산출하는 것을 특징으로 하는 패킷 분석 방법.
  18. 청구항 17에 있어서,
    상기 제 2 비교 분석 단계는,
    제 2 산출부에 의하여, 상기 평문 IP 데이터그램의 길이를 산출하는 제 2 산출 단계를 포함하되,
    상기 제 2 산출 단계는,
    상기 평문 IP 데이터그램의 길이를, 상기 평문 IP 데이터그램 내의 IP 헤더의 Total Length 필드 값으로 산출하는 것을 특징으로 하는 패킷 분석 방법.
  19. 청구항 14에 있어서,
    상기 제 1 비교 분석 단계에서,
    상기 은닉 IP 데이터그램과, 상기 평문 IP 데이터그램의 내용이 일치하는 것으로 판단되는 경우,
    출력부에 의하여, 상기 은닉 IP 데이터그램과 대응되는 VPN 패킷과, 상기 평문 IP 데이터그램과 대응되는 평문 패킷을 출력하는 출력 단계를 더 포함하되,
    상기 출력 단계는,
    상기 제 2 비교 분석 단계에서,
    상기 은닉 IP 데이터그램과, 상기 평문 IP 데이터그램의 길이가 일치하는 것으로 판단되는 경우,
    상기 은닉 IP 데이터그램과 대응되는 VPN 패킷과, 상기 평문 IP 데이터그램과 대응되는 평문 패킷을 출력하는 것을 특징으로 하는 패킷 분석 방법.
  20. 호스트로부터 제공되어 수집된 패킷을 대상으로 암호화된 VPN(Virtual Private Network) 패킷 및 평문 패킷으로 분류하는 패킷 분류부;
    상기 암호화된 VPN 패킷을 복호화함으로써 상기 암호화된 VPN 패킷에 은닉된 은닉 IP 데이터그램과, 상기 평문 패킷에 포함된 상기 호스트가 상기 암호화된 VPN 패킷을 전달하고자 하는 목표 대상 간의 평문 IP 데이터그램의 내용을 비교하는 제 1 비교 분석부; 및
    상기 은닉 IP 데이터 그램과 상기 평문 IP 데이터그램의 길이를 비교하는 제 2 비교 분석부를 포함하는 것을 특징으로 하는 VPN 서버.
KR20140002912A 2014-01-09 2014-01-09 패킷 분석 장치 및 방법과 vpn 서버 KR101492442B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR20140002912A KR101492442B1 (ko) 2014-01-09 2014-01-09 패킷 분석 장치 및 방법과 vpn 서버
US14/470,604 US9350712B2 (en) 2014-01-09 2014-08-27 Packet analysis apparatus and method and virtual private network server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20140002912A KR101492442B1 (ko) 2014-01-09 2014-01-09 패킷 분석 장치 및 방법과 vpn 서버

Publications (1)

Publication Number Publication Date
KR101492442B1 true KR101492442B1 (ko) 2015-02-24

Family

ID=52593600

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20140002912A KR101492442B1 (ko) 2014-01-09 2014-01-09 패킷 분석 장치 및 방법과 vpn 서버

Country Status (2)

Country Link
US (1) US9350712B2 (ko)
KR (1) KR101492442B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023128181A1 (ko) * 2021-12-27 2023-07-06 삼성전자주식회사 스플릿 터널링 방법 및 장치

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105656747A (zh) * 2015-11-11 2016-06-08 乐卡汽车智能科技(北京)有限公司 一种多链路数据传输的方法及设备
CN107566123B (zh) * 2017-08-07 2021-04-27 厦门市美亚柏科信息股份有限公司 Pptp vpn口令校验方法及计算机可读存储介质
CN111182016B (zh) * 2018-11-12 2022-12-27 中移(杭州)信息技术有限公司 一种PPPoE拨号报文传输方法及装置
CN110113347A (zh) * 2019-05-14 2019-08-09 北京天地和兴科技有限公司 一种检测工控网络应用层协议报文长度异常的方法
CN111464778B (zh) * 2020-02-25 2022-03-04 小卖科技有限公司 带私有协议的数据处理取证的方法及装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040055286A (ko) * 2002-12-20 2004-06-26 한국전자통신연구원 네트워크 프로세서를 이용한 패킷 포워딩 엔진부에서의엠피엘에스 브이피엔 패킷 분류 장치 및 그 방법
KR100748698B1 (ko) 2006-03-17 2007-08-13 삼성전자주식회사 보안 통신 시스템의 패킷 처리 방법 및 그 장치

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4107213B2 (ja) * 2003-10-06 2008-06-25 松下電工株式会社 パケット判定装置
US8370937B2 (en) * 2007-12-03 2013-02-05 Cisco Technology, Inc. Handling of DDoS attacks from NAT or proxy devices
US20100088766A1 (en) * 2008-10-08 2010-04-08 Aladdin Knoweldge Systems Ltd. Method and system for detecting, blocking and circumventing man-in-the-middle attacks executed via proxy servers
US20100169479A1 (en) * 2008-12-26 2010-07-01 Electronics And Telecommunications Research Institute Apparatus and method for extracting user information using client-based script
KR101407060B1 (ko) 2010-10-27 2014-06-13 한국전자통신연구원 인터넷을 통해 수집한 데이터의 분석과 증거화 방법 및 이를 이용한 데이터 분석과 증거화 시스템

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040055286A (ko) * 2002-12-20 2004-06-26 한국전자통신연구원 네트워크 프로세서를 이용한 패킷 포워딩 엔진부에서의엠피엘에스 브이피엔 패킷 분류 장치 및 그 방법
KR100748698B1 (ko) 2006-03-17 2007-08-13 삼성전자주식회사 보안 통신 시스템의 패킷 처리 방법 및 그 장치

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023128181A1 (ko) * 2021-12-27 2023-07-06 삼성전자주식회사 스플릿 터널링 방법 및 장치

Also Published As

Publication number Publication date
US20150195251A1 (en) 2015-07-09
US9350712B2 (en) 2016-05-24

Similar Documents

Publication Publication Date Title
KR101492442B1 (ko) 패킷 분석 장치 및 방법과 vpn 서버
US9294506B2 (en) Method and apparatus for security encapsulating IP datagrams
US10819525B2 (en) Network traffic with credential signatures
US9531692B2 (en) Method of securing mobile applications using distributed keys
US20090019528A1 (en) Method for realizing network access authentication
US20170223054A1 (en) Methods and Apparatus for Verifying Transport Layer Security Server by Proxy
CN109428867B (zh) 一种报文加解密方法、网路设备及系统
CN106357690B (zh) 一种数据传输方法、数据发送装置及数据接收装置
JP4107213B2 (ja) パケット判定装置
CN110198297B (zh) 流量数据监控方法、装置、电子设备及计算机可读介质
CN101163044A (zh) 信息安全设备的远程升级方法及系统
CN105491073B (zh) 一种数据下载方法、装置及系统
CN105959648B (zh) 一种加密方法、装置及视频监控系统
CN106254355B (zh) 一种网络协议数据包的安全处理方法和系统
CN113204760B (zh) 用于软件密码模块的安全通道建立方法及系统
Huang et al. A secure communication over wireless environments by using a data connection core
CN108712388B (zh) 一种基于http的数据安全传输方法与装置
CN107276996A (zh) 一种日志文件的传输方法及系统
CN104079578A (zh) 取证数据隐蔽传输的方法及系统
US10015208B2 (en) Single proxies in secure communication using service function chaining
US9825942B2 (en) System and method of authenticating a live video stream
Mahbooba et al. Digital certificate-based port knocking for connected embedded systems
KR101457455B1 (ko) 클라우드 네트워크 환경에서의 데이터 보안 장치 및 방법
CN105871788B (zh) 一种登录服务器的密码生成方法及装置
JP2013042331A (ja) 一方向通信システム、方法及びプログラム

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180102

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20181226

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20200129

Year of fee payment: 6