KR101517328B1 - Arp 스푸핑 탐지 장치 및 탐지 방법 - Google Patents

Arp 스푸핑 탐지 장치 및 탐지 방법 Download PDF

Info

Publication number
KR101517328B1
KR101517328B1 KR1020140018242A KR20140018242A KR101517328B1 KR 101517328 B1 KR101517328 B1 KR 101517328B1 KR 1020140018242 A KR1020140018242 A KR 1020140018242A KR 20140018242 A KR20140018242 A KR 20140018242A KR 101517328 B1 KR101517328 B1 KR 101517328B1
Authority
KR
South Korea
Prior art keywords
arp
spoofing
address
gateway
terminals
Prior art date
Application number
KR1020140018242A
Other languages
English (en)
Inventor
강병수
Original Assignee
한양대학교 에리카산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한양대학교 에리카산학협력단 filed Critical 한양대학교 에리카산학협력단
Priority to KR1020140018242A priority Critical patent/KR101517328B1/ko
Application granted granted Critical
Publication of KR101517328B1 publication Critical patent/KR101517328B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0213Standardised network management protocols, e.g. simple network management protocol [SNMP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Abstract

본 발명의 일 실시예에 따른 ARP 스푸핑 탐지 장치는 게이트웨이를 통해 네트워크에 연결되는 단말들의 ARP 스푸핑을 탐지하는 ARP 스푸핑 탐지 장치에 있어서, 상기 단말들 중 악성코드 감염 단말로부터 ARP 응답 패킷들을 수집하는 패킷 수집부, SNMP를 통해 수집되는 ARP 정보를 이용하여 제 1 테이블을 생성하는 테이블 생성부, 및 상기 ARP 응답 패킷들의 트래픽 패턴 분석 결과 및 상기 제 1 테이블과 정상 ARP 정보를 포함하는 제 2 테이블의 비교 결과를 기초로 ARP 스푸핑을 탐지하는 탐지부를 포함한다.

Description

ARP 스푸핑 탐지 장치 및 탐지 방법{ARP SPOOFING DETECTING APPARATUS AND DETECTING METHOD OF THE SAME}
본 발명은 ARP 스푸핑 탐지 장치 및 탐지 방법에 관한 것이다.
최근에 해외로부터 국내의 웹사이트를 해킹한 후 악성코드를 삽입하는 사건들이 다수 발생하고 있다. 이러한 사건들은 해당 웹 서버가 직접 해킹을 당한 후 서버에 접속한 PC들을 감염시키기 위해 악성코드를 삽입하는 것이 일반적이다.
해킹된 웹 서버로부터 악성코드를 내려 받아 감염된 PC는 주변의 PC들을 추가적으로 감염시키기 위해 APR 스푸핑 공격을 이용해 악성코드를 전파한다. 이는 해커나 악성코드가 감염 PC와 동일한 IP 세그먼트 내의 다른 PC(정상 PC)들을 ARP 스푸핑(ARP spoofing) 기법으로 정상 PC의 웹 트래픽을 가로채어 악성코드를 삽입해 다시 전달하여 결국 정상 PC는 악성코드에 감염되게 만든다.
ARP 스푸핑 공격은 로컬 네트워크(LAN)에서 사용하는 ARP 프로토콜의 허점을 이용하여 자신의 MAC 주소를 다른 컴퓨터의 MAC인 것처럼 속이는 공격이다. ARP 스푸핑 공격은 ARP 캐쉬 정보를 임의로 변경한다고 하여 ARP 패쉬 포이즈닝(ARP Cache Poisoning) 공격이라고도 한다.
이러한 ARP 스푸핑 공격을 통하여 공격자는 자신의 MAC 주소를 라우터 또는 스니핑(sniffing)하고자 하는 대상 서버나 PC의 MAC 주소로 위장(ARP Spoofing)하여 손쉽게 패킷을 훔쳐볼 수 있다.
본 발명의 목적은 ARP 스푸핑을 정밀하게 탐지할 수 있는 ARP 스푸핑 탐지 장치 및 탐지 방법을 제공하는 데 있다.
또한, 본 발명의 목적은 ARP 스푸핑이 탐지되는 경우 정상화 처리가 가능한 ARP 스푸핑 탐지 장치 및 탐지 방법을 제공하는 데 있다.
본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재들로부터 당업자에게 명확하게 이해될 수 있을 것이다.
본 발명의 일 실시예에 따른 ARP 스푸핑 탐지 장치는 게이트웨이를 통해 네트워크에 연결되는 단말들의 ARP 스푸핑을 탐지하는 ARP 스푸핑 탐지 장치에 있어서, 상기 단말들 중 악성코드 감염 단말로부터 ARP 응답 패킷들을 수집하는 패킷 수집부, SNMP를 통해 수집되는 ARP 정보를 이용하여 제 1 테이블을 생성하는 테이블 생성부, 및 상기 ARP 응답 패킷들의 트래픽 패턴 분석 결과 및 상기 제 1 테이블과 정상 ARP 정보를 포함하는 제 2 테이블의 비교 결과를 기초로 ARP 스푸핑을 탐지하는 탐지부를 포함한다.
일 실시예에서, 상기 탐지부는 상기 ARP 응답 패킷들의 트래픽 패턴이 공격 패턴에 해당하고, 상기 제 1 테이블과 상기 제 2 테이블이 불일치하는 경우 ARP 스푸핑이 발생한 것으로 판단할 수 있다.
일 실시예에서, 상기 공격 패턴은 상기 게이트웨이를 현혹시키기 위한 제 1 공격 패턴 및 상기 네트워크에 연결된 다른 단말들을 현혹시키기 위한 제 2 공격 패턴을 포함할 수 있다.
일 실시예에서, 상기 제 1 공격 패턴은 상기 ARP 응답 패킷의 소스 주소가 상기 감염 단말의 MAC 주소로, 상기 ARP 응답 패킷의 목적지 주소가 상기 게이트웨이의 MAC 주소로, 상기 ARP 응답 패킷의 소스 IP 주소가 상기 다른 단말들의 IP 주소로 설정되는 경우로 정의될 수 있다.
일 실시예에서, 상기 제 2 공격 패턴은 상기 ARP 응답 패킷의 소스 주소가 상기 감염 단말의 MAC 주소로, 상기 ARP 응답 패킷의 목적지 주소가 상기 다른 단말들의 MAC 주소로, 상기 ARP 응답 패킷의 소스 IP 주소가 상기 게이트웨이의 IP 주소로 설정된 경우로 정의될 수 있다.
일 실시예에서, ARP 스푸핑이 탐지되는 경우 상기 게이트웨이 및 다른 단말들로 방어 명령 및 정상화 명령을 전송하는 정상화 처리부를 더 포함할 수 있다.
본 발명의 일 실시예에 따른 ARP 스푸핑 탐지 방법은 게이트웨이를 통해 네트워크에 연결되는 단말들 간의 ARP 스푸핑을 탐지하는 ARP 스푸핑 탐지 방법에 있어서, 상기 단말들 중 악성코드 감염 단말로부터 ARP 응답 패킷들을 수집하는 단계, SNMP를 통해 수집되는 ARP정보를 이용하여 제 1 테이블을 생성하는 단계, 및 상기 ARP 응답 패킷들의 트래픽 패턴 분석 결과 및 상기 제 1 테이블과 정상 ARP 정보를 포함하는 제 2 테이블의 비교 결과를 기초로 ARP 스푸핑을 탐지하는 단계를 포함한다.
일 실시예에서, 상기 ARP 응답 패킷들의 트래픽 패턴 분석 결과 및 상기 제 1 테이블과 정상 ARP 정보를 포함하는 제 2 테이블의 비교 결과를 기초로 ARP 스푸핑을 탐지하는 단계는 상기 ARP 응답 패킷들의 트래픽 패턴이 공격 패턴에 해당하고, 상기 제 1 테이블과 상기 제 2 테이블이 불일치하는 경우 ARP 스푸핑이 발생한 것으로 판단할 수 있다.
일 실시예에서, 상기 공격 패턴은 상기 게이트웨이를 현혹시키기 위한 제 1 공격 패턴 및 상기 네트워크에 연결된 다른 단말들을 현혹시키기 위한 제 2 공격 패턴을 포함할 수 있다.
일 실시예에서, 상기 제 1 공격 패턴은 상기 ARP 응답 패킷의 소스 주소가 상기 감염 단말의 MAC 주소로, 상기 ARP 응답 패킷의 목적지 주소가 상기 게이트웨이의 MAC 주소로, 상기 ARP 응답 패킷의 소스 IP 주소가 상기 다른 단말들의 IP 주소로 설정되는 경우로 정의될 수 있다.
일 실시예에서, 상기 제 2 공격 패턴은 상기 ARP 응답 패킷의 소스 주소가 상기 감염 단말의 MAC 주소로, 상기 ARP 응답 패킷의 목적지 주소가 상기 다른 단말들의 MAC 주소로, 상기 ARP 응답 패킷의 소스 IP 주소가 상기 게이트웨이의 IP 주소로 설정된 경우로 정의될 수 있다.
일 실시예에서, ARP 스푸핑이 탐지되는 경우 상기 게이트웨이 및 다른 단말들로 방어 명령 및 정상화 명령을 전송하는 정상화 처리단계를 더 포함할 수 있다.
본 발명의 일 실시예에 따른 ARP 스푸핑 탐지 장치 및 탐지 방법은 ARP 스푸핑을 정밀하게 탐지할 수 있다. 또한, 본 발명의 일 실시예에 따른 ARP 스푸핑 탐지 장치 및 탐지 방법은 ARP 스푸핑이 탐지되는 경우 효과적인 정상화 처리가 가능하다.
도 1은 본 발명의 일 실시예에 따른 ARP 스푸핑 탐지 시스템을 보여준다.
도 2는 본 발명의 일 실시예에 따른 ARP 스푸핑 탐지 장치를 보여주는 블록도이다.
도 3은 본 발명의 일 실시예에 따른 ARP 응답 패킷들의 트래픽 패턴을 보여준다.
도 4는 본 발명의 일 실시예에 따른 ARP 스푸핑 탐지 방법을 보여주는 흐름도이다.
도 5는 본 발명의 일 실시예에 따른 ARP 스푸핑 탐지 방법을 실행하기 위한 컴퓨팅 시스템을 보여주는 블록도이다.
이하, 본 발명의 일부 실시예들을 예시적인 도면을 통해 상세하게 설명한다. 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명의 실시예를 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 실시예에 대한 이해를 방해한다고 판단되는 경우에는 그 상세한 설명은 생략한다.
본 발명의 실시예의 구성 요소를 설명하는 데 있어서, 제 1, 제 2, A, B, (a), (b) 등의 용어를 사용할 수 있다. 이러한 용어는 그 구성 요소를 다른 구성 요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성 요소의 본질이나 차례 또는 순서 등이 한정되지 않는다. 또한, 다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
도 1은 본 발명의 일 실시예에 따른 ARP 스푸핑 탐지 시스템을 보여준다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 ARP 스푸핑 탐지 시스템(1000)은 적어도 하나의 주변단말(100), 감염단말(200), 게이트웨이(300), 및 ARP 스푸핑 탐지 장치(400)를 포함할 수 있다.
적어도 하나의 주변단말(100)은 네트워크를 통해 감염단말(200) 및 게이트웨이(300)와 연결될 수 있다. 적어도 하나의 주변단말(100)은 예를 들어, PC(Personal Computer), 태블릿 PC, 노트북 PC 중 어느 하나일 수 있으나, 이에 한정되는 것은 아니다. 적어도 하나의 주변단말(100)은 네트워크를 통해 ARP 요청 패킷을 감염단말(200) 및/또는 게이트웨이(300)에 전송하거나 ARP 요청 패킷에 대응하는 ARP 응답 패킷을 감염단말(200) 및/또는 게이트웨이(300)에 전송할 수 있다.
감염단말(200)은 악성코드에 감염된 단말을 의미할 수 있다. 감염단말(200)은 주변단말(100)과 달리 ARP 응답 패킷을 네트워크를 통해 주변단말(100) 및/또는 게이트웨이(300)로 전달할 수 있다. 예를 들어, 감염단말(200)은 ARP 응답 패킷만을 지속적으로 주변단말(100) 및/또는 게이트웨이(300)로 전달할 수 있다.
적어도 하나의 주변단말(100) 및 감염단말(200)은 게이트웨이(300)를 통해 인터넷망에 연결될 수 있다. 즉, 게이트웨이(300)는 적어도 하나의 주변단말(100) 및 감염단말(200)을 인터넷망과 연결하는 스위칭 허브일 수 있다.
ARP 스푸핑 탐지 장치(400)는 네트워크를 통해 감염단말(200)로부터 ARP 응답 패킷을 수집할 수 있다. 또한, ARP 스푸핑 탐지 장치(400)는 SNMP(Simple Network Management Protocol)를 통해 수집되는 ARP 정보를 이용하여 제 1 테이블을 생성할 수 있다. ARP 스푸핑 탐지 장치(400)는 수집된 ARP 응답 패킷의 트래픽 패턴을 분석한 분석 결과 및 제 1 테이블을 정상 ARP 정보를 포함하는 제 2 테이블과 비교한 비교 결과를 이용하여 ARP 스푸핑 발생을 탐지할 수 있다.
이하에서는, 상술한 ARP 스푸핑 탐지 장치(400)가 도 2 및 도 3을 참조하여 더욱 구체적으로 설명될 것이다.
도 2는 본 발명의 일 실시예에 따른 ARP 스푸핑 탐지 장치를 보여주는 블록도이다. 도 3은 본 발명의 일 실시예에 따른 ARP 응답 패킷들의 트래픽 패턴을 보여준다.
먼저, 도 2를 참조하면, 본 발명의 일 실시예에 따른 ARP 스푸핑 탐지 장치(400)는 패킷 수집부(410), 테이블 생성부(420), 탐지부(430), 및 정상화 처리부(440)를 포함할 수 있다.
패킷 수집부(410)는 네트워크를 통해 주변단말(100)로부터 ARP 응답 패킷을 수집할 수 있다.
테이블 생성부(420)는 SNMP를 통해 수집되는 ARP 정보를 이용하여 제 1 테이블을 생성할 수 있다.
탐지부(430)는 수집된 ARP 응답 패킷의 트래픽 패턴을 분석한 분석 결과 및 제 1 테이블을 정상 ARP 정보를 포함하는 제 2 테이블과 비교한 비교 결과를 이용하여 ARP 스푸핑 발생을 탐지할 수 있다. 이를 위해, ARP 스푸핑 탐지 장치(400)는 제 2 테이블을 저장하는 저장부(미도시)를 더 포함할 수 있다. 예를 들어, 제 2 테이블에 저장되는 ARP 정보는 ARP Static 정보일 수 있다.
탐지부(430)는 ARP 응답 패킷들의 트래픽 패턴이 공격 패턴에 해당하고, 제 1 테이블과 제 2 테이블이 불일치하는 경우 ARP 스푸핑이 발생한 것으로 판단할 수 있다. 여기서, 공격 패턴은 게이트웨이(300, 도 1 참조)를 현혹시키기 위한 제 1 공격 패턴 및 네트워크에 연결된 다른 단말들(즉, 주변단말들)을 현혹시키기 위한 제 2 공격 패턴을 포함할 수 있다.
예를 들어, 게이트웨이를 현혹시키는 것은 감염단말(200)이 게이트웨이(300)로 하여금 자신(즉, 감염단말)을 주변단말들(100)로 인식하도록하는 ARP 응답 패킷을 네트워크로 전송하는 것을 의미할 수 있다. 또한, 주변단말들을 현혹시키는 것은 감염단말(200)이 주변단말들(100)로 하여금 자신(즉, 감염단말)을 게이트웨이(300)로 인식하도록하는 ARP 응답 패킷을 네트워크로 전송하는 것을 의미할 수 있다.
도 3을 참조하면, 제 1 공격 패턴(A1 및 A2) 및 제 2 공격 패턴(B1 및 B2)이 도시된다. 구체적으로, 제 1 공격 패턴(A1 및 A2)은 ARP 응답 패킷의 소스 주소가 감염단말(200)의 MAC 주소로, 목적지 주소가 게이트웨이(300)의 MAC 주소로, 소스 IP 주소가 주변단말들(100)의 IP 주소로 설정되는 경우로 정의될 수 있다.
즉 도3에서 패킷들 (201 내지 215)의 소스 주소는 감염단말(200)의 MAC 주소인 00:1F:C6:4E:71:7D 이고, 목적지 주소는 게이트웨이(300)의 MAC 주소인 00:1B:63:08:5B:21 이고, 소스 IP 주소는 주변단말들(100)의 주소인 192.168.0.4, 192.168.0.102, 192.168.0.119, 192.168.0.120로 분석될 수 있다. 따라서, 도 3에 도시된 패킷들(201 내지 215)은 제 1 공격 패턴에 해당하는 ARP 응답 패킷들로 분석될 수 있다.
또한, 제 2 공격 패턴(B1 및 B2)은 ARP 응답 패킷의 소스 주소가 감염단말(200)의 MAC 주소로, 목적지 주소가 주변단말들(100)의 MAC 주소로, 소스 IP 주소가 게이트웨이(300)의 IP 주소로 설정되는 경우로 정의될 수 있다.
즉, 도 3에서 패킷들(216 내지 233)의 소스 주소는 감염단말(200)의 MAC 주소인 00:1F:C6:4E:71:7D 이고, 목적지 주소는 주변단말들(100)의 MAC 주소인 00:E3:70:01:74:AB, 00:50:56:C0:00:08, 00:17:F2:DF:DA:BC, 00:08:9F:E1:28:1E, 90:E6:BA:88:70:07, 00:1F:C6:4E:71:7D 이고, 소스 IP 주소가 게이트웨이(300)의 IP 주소인 192.168.0.1로 분석될 수 있다. 따라서, 고 3에 도시된 패킷들(216 내지 233)은 제 2 공격 패턴에 해당하는 ARP 응답 패킷들로 분석될 수 있다.
정상화 처리부(440)는 ARP 스푸핑이 탐지되는 경우 게이트웨이(300) 및 주변단말들(100)로 방어 명령 및 정상화 명령을 전송할 수 있다. 예를 들어, 정상화 처리부(440)는 ARP 스푸핑이 탐지되는 경우 주변단말들(100)에 바이러스 백신의 업데이트 및 검사를 명령할 수 있다. 또한, 정상화 처리부(440)는 게이트웨이(300)의 ARP 정보를 ARP Static 정보로 설정할 수 있으며, 게이트웨이(300)는 ACL(Access Control List)을 통해 ARP 스푸핑을 시도하는 감염단말(200)을 네트워크 연결을 차단시킬 수 있다. 나아가, 정상화 처리부(440)는 게이트웨이(300)의 메모리 사용률, 대역폭, 악성코드 치료 여부 등을 확인하여 게이트웨이(300) 및 주변단말들(100)에 정상 ARP 패킷을 발송할 수 있다.
상술한 바와 같이, 본 발명의 일 실시예에 따른 ARP 스푸핑 탐지 장치(400)는 ARP 응답 패킷들의 트래픽 패턴이 공격 패턴에 해당하고, 제 1 테이블과 제 2 테이블이 불일치하는 경우 ARP 스푸핑이 발생한 것으로 판단할 수 있다. 따라서, ARP 스푸핑 발생에 대한 정확한 탐지가 가능하다. 또한, ARP 응답 패킷만을 수집하여 ARP 스푸핑을 탐지하기 때문에 부하에 따른 성능 저하를 최소화할 수 있다. 나아가, ARP 스푸핑 탐지 후 정상화 과정에서 트래픽 상황을 점검한 후 정상 ARP 패킷을 전송하므로, 과도한 네트워크 부하 발생을 줄일 수 있다.
도 4는 본 발명의 일 실시예에 따른 ARP 스푸핑 탐지 방법을 보여주는 흐름도이다.
도 4를 참조하면, 본 발명의 일 실시예에 따른 ARP 스푸핑 탐지 방법은 악성코드 감염단말로부터 ARP 응답 패킷을 수집하는 단계(S110), SNMP를 통해 수집되는 ARP 정보를 이용하여 제 1 테이블을 생성하는 단계(S120), ARP 응답 패킷들의 트래픽 패턴 분석 결과 및 제 1 테이블과 정상 ARP 정보를 포함하는 제 2 테이블의 비교 결과를 기초로 ARP 스푸핑을 탐지하는 단계(S130), 및 ARP 스푸핑이 탐지되는 경우 게이트웨이 및 다른 단말들로 방어 명령 및 정상화 처리 명령을 전송하는 단계(S140)를 포함할 수 있다.
이하에서, 상술한 S110 단계 내지 S140 단계가 도 1 내지 도 3을 참조하여 더욱 구체적으로 설명될 것이다.
S110 단계에서, 패킷 수집부(410)는 네트워크를 통해 악성코드 감염단말(200)로부터 ARP 응답 패킷을 수집할 수 있다.
S120 단계에서, 테이블 생성부(420)는 SNMP를 통해 수집되는 ARP 정보를 이용하여 제 1 테이블을 생성할 수 있다.
S130 단계에서, 탐지부(430)는 수집된 ARP 응답 패킷의 트래픽 패턴을 분석한 분석 결과 및 제 1 테이블을 정상 ARP 정보를 포함하는 제 2 테이블과 비교한 비교 결과를 이용하여 ARP 스푸핑 발생을 탐지할 수 있다. 탐지부(430)는 ARP 응답 패킷들의 트래픽 패턴이 공격 패턴에 해당하고, 제 1 테이블과 제 2 테이블이 불일치하는 경우 ARP 스푸핑이 발생한 것으로 판단할 수 있다. 여기서, 공격 패턴은 게이트웨이(300, 도 1 참조)를 현혹시키기 위한 제 1 공격 패턴 및 네트워크에 연결된 다른 단말들(즉, 주변단말들)을 현혹시키기 위한 제 2 공격 패턴을 포함할 수 있다. 예를 들어, 게이트웨이(300)를 현혹시키는 것과 주변단말들(100)을 현혹시키는 것은 도 2를 참조하여 설명한 바와 동일할 수 있다.
또한, 제 1 공격 패턴은 ARP 응답 패킷의 소스 주소가 감염단말(200)의 MAC 주소로, 목적지 주소가 게이트웨이(300)의 MAC 주소로, 소스 IP 주소가 주변단말들(100)의 IP 주소로 설정되는 경우로 정의될 수 있다. 제 2 공격 패턴은 ARP 응답 패킷의 소스 주소가 감염단말(200)의 MAC 주소로, 목적지 주소가 주변단말들(100)의 MAC 주소로, 소스 IP 주소가 게이트웨이(300)의 IP 주소로 설정되는 경우로 정의될 수 있다.
도 5는 본 발명의 일 실시예에 따른 ARP 스푸핑 탐지 방법을 실행하기 위한 컴퓨팅 시스템을 보여주는 블록도이다.
도 6을 참조하면, 컴퓨팅 시스템(2000)은 버스(2200)를 통해 연결되는 적어도 하나의 프로세서(2100), 메모리(2300), 사용자 인터페이스 입력 장치(2400), 사용자 인터페이스 출력 장치(2500), 스토리지(2600), 및 네트워크 인터페이스(2700)를 포함할 수 있다.
프로세서(2100)는 중앙 처리 장치(CPU) 또는 메모리(2300) 및/또는 스토리지(2600)에 저장된 명령어들에 대한 처리를 실행하는 반도체 장치일 수 있다. 메모리(2300) 및 스토리지(2600)는 다양한 종류의 휘발성 또는 불휘발성 저장 매체를 포함할 수 있다. 예를 들어, 메모리(2300)는 ROM(Read Only Memory) 및 RAM(Random Access Memory)을 포함할 수 있다.
따라서, 본 명세서에 개시된 실시예들과 관련하여 설명된 방법 또는 알고리즘의 단계는 프로세서(2100)에 의해 실행되는 하드웨어, 소프트웨어 모듈, 또는 그 2 개의 결합으로 직접 구현될 수 있다. 소프트웨어 모듈은 RAM 메모리, 플래시 메모리, ROM 메모리, EPROM 메모리, EEPROM 메모리, 레지스터, 하드 디스크, 착탈형 디스크, CD-ROM과 같은 저장 매체(즉, 메모리(2300) 및/또는 스토리지(2600))에 상주할 수도 있다. 예시적인 저장 매체는 프로세서(2100)에 커플링되며, 그 프로세서(2100)는 저장 매체로부터 정보를 판독할 수 있고 저장 매체에 정보를 기입할 수 있다. 다른 방법으로, 저장 매체는 프로세서(2100)와 일체형일 수도 있다. 프로세서 및 저장 매체는 주문형 집적회로(ASIC) 내에 상주할 수도 있다. ASIC는 사용자 단말기 내에 상주할 수도 있다. 다른 방법으로, 프로세서 및 저장 매체는 사용자 단말기 내에 개별 컴포넌트로서 상주할 수도 있다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
1000: ARP 스푸핑 탐지 시스템
100: 주변단말
200: 감염단말
300: 게이트웨이
400: ARP 스푸핑 탐지 장치
410: 패킷 수집부
420: 테이블 생성부
430: 탐지부
440: 정상화 처리부

Claims (12)

  1. 게이트웨이를 통해 네트워크에 연결되는 단말들의 ARP 스푸핑을 탐지하는 ARP 스푸핑 탐지 장치에 있어서,
    상기 단말들 중 악성코드 감염 단말로부터 ARP 응답 패킷들을 수집하는 패킷 수집부;
    SNMP를 통해 수집되는 ARP 정보를 이용하여 제 1 테이블을 생성하는 테이블 생성부; 및
    상기 ARP 응답 패킷들의 트래픽 패턴 분석 결과 및 상기 제 1 테이블과 정상 ARP 정보를 포함하는 제 2 테이블의 비교 결과를 기초로 ARP 스푸핑을 탐지하는 탐지부를 포함하고,
    상기 탐지부는 상기 ARP 응답패킷들의 트래픽패턴이 공격패턴에 해당하고, 상기 제 1 테이블과 상기 제 2 테이블이 불일치하는 경우 ARP 스푸핑이 발생한것으로 판단하며, 상기 공격패턴은 상기 게이트웨이를 현혹시키기 위한 제 1 공격패턴 및 상기 네트워크에 연결된 다른 단말들을 현혹시키기 위한 제 2 공격패턴을 포함하는 것을 특징으로하는 ARP 스푸핑탐지장치.
  2. 삭제
  3. 삭제
  4. 제 1 항에 있어서,
    상기 제 1 공격 패턴은 상기 ARP 응답 패킷의 소스 주소가 상기 감염 단말의 MAC 주소로, 상기 ARP 응답 패킷의 목적지 주소가 상기 게이트웨이의 MAC 주소로, 상기 ARP 응답 패킷의 소스 IP 주소가 상기 다른 단말들의 IP 주소로 설정되는 경우로 정의되는 것을 특징으로 하는 ARP 스푸핑 탐지 장치.
  5. 제 1 항에 있어서,
    상기 제 2 공격 패턴은 상기 ARP 응답 패킷의 소스 주소가 상기 감염 단말의 MAC 주소로, 상기 ARP 응답 패킷의 목적지 주소가 상기 다른 단말들의 MAC 주소로, 상기 ARP 응답 패킷의 소스 IP 주소가 상기 게이트웨이의 IP 주소로 설정된 경우로 정의되는 것을 특징으로 하는 ARP 스푸핑 탐지 장치.
  6. 제 1 항에 있어서,
    ARP 스푸핑이 탐지되는 경우 상기 게이트웨이 및 다른 단말들로 방어 명령 및 정상화 명령을 전송하는 정상화 처리부를 더 포함하는 ARP 스푸핑 탐지 장치.
  7. 게이트웨이를 통해 네트워크에 연결되는 단말들의 ARP 스푸핑을 탐지하는 ARP 스푸핑 탐지 방법에 있어서,
    상기 단말들 중 악성코드 감염 단말로부터 ARP 응답 패킷들을 수집하는 단계;
    SNMP를 통해 수집되는 ARP정보를 이용하여 제 1 테이블을 생성하는 단계; 및
    상기 ARP 응답 패킷들의 트래픽 패턴 분석 결과 및 상기 제 1 테이블과 정상 ARP 정보를 포함하는 제 2 테이블의 비교 결과를 기초로 ARP 스푸핑을 탐지하는 단계를 포함하며,
    상기 ARP 응답패킷들의 트래픽 패턴 분석 결과 및 상기 제 1 테이블과 정상 ARP 정보를 포함하는 제 2 테이블의 비교결과를 기초로 ARP 스푸핑을 탐지하는단계는 상기 ARP 응답패킷들의 트래픽 패턴이 공격패턴에 해당하고, 상기 제 1 테이블과 상기 제 2 테이블이 불일치하는 경우 ARP 스푸핑이 발생한것으로 판단하고,
    상기 공격패턴은 상기 게이트웨이를 현혹시키기 위한 제 1 공격패턴 및 상기네트워크에 연결된 다른 단말들을 현혹시키기 위한 제 2 공격패턴을 포함하는 것을특징으로하는 ARP 스푸핑탐지방법.
  8. 삭제
  9. 삭제
  10. 제 7 항에 있어서,
    상기 제 1 공격 패턴은 상기 ARP 응답 패킷의 소스 주소가 상기 감염 단말의 MAC 주소로, 상기 ARP 응답 패킷의 목적지 주소가 상기 게이트웨이의 MAC 주소로, 상기 ARP 응답 패킷의 소스 IP 주소가 상기 다른 단말들의 IP 주소로 설정되는 경우로 정의되는 것을 특징으로 하는 ARP 스푸핑 탐지 방법.
  11. 제 7 항에 있어서,
    상기 제 2 공격 패턴은 상기 ARP 응답 패킷의 소스 주소가 상기 감염 단말의 MAC 주소로, 상기 ARP 응답 패킷의 목적지 주소가 상기 다른 단말들의 MAC 주소로, 상기 ARP 응답 패킷의 소스 IP 주소가 상기 게이트웨이의 IP 주소로 설정된 경우로 정의되는 것을 특징으로 하는 ARP 스푸핑 탐지 방법.
  12. 제 7 항에 있어서,
    ARP 스푸핑이 탐지되는 경우 상기 게이트웨이 및 다른 단말들로 방어 명령 및 정상화 명령을 전송하는 정상화 처리단계를 더 포함하는 ARP 스푸핑 탐지 방법.
KR1020140018242A 2014-02-18 2014-02-18 Arp 스푸핑 탐지 장치 및 탐지 방법 KR101517328B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140018242A KR101517328B1 (ko) 2014-02-18 2014-02-18 Arp 스푸핑 탐지 장치 및 탐지 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140018242A KR101517328B1 (ko) 2014-02-18 2014-02-18 Arp 스푸핑 탐지 장치 및 탐지 방법

Publications (1)

Publication Number Publication Date
KR101517328B1 true KR101517328B1 (ko) 2015-05-04

Family

ID=53393775

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140018242A KR101517328B1 (ko) 2014-02-18 2014-02-18 Arp 스푸핑 탐지 장치 및 탐지 방법

Country Status (1)

Country Link
KR (1) KR101517328B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101687811B1 (ko) 2015-09-07 2017-02-01 박준영 ARP_Probe 패킷을 이용한 Agent 방식의 ARP 스푸핑 탐지 방법

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120073022A (ko) * 2010-12-24 2012-07-04 한국인터넷진흥원 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템 및 그 방법
KR20130046895A (ko) * 2011-10-28 2013-05-08 삼성에스디에스 주식회사 Arp 스푸핑 공격 탐지 시스템 및 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120073022A (ko) * 2010-12-24 2012-07-04 한국인터넷진흥원 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템 및 그 방법
KR20130046895A (ko) * 2011-10-28 2013-05-08 삼성에스디에스 주식회사 Arp 스푸핑 공격 탐지 시스템 및 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101687811B1 (ko) 2015-09-07 2017-02-01 박준영 ARP_Probe 패킷을 이용한 Agent 방식의 ARP 스푸핑 탐지 방법

Similar Documents

Publication Publication Date Title
US11102233B2 (en) Detection of vulnerable devices in wireless networks
US10440049B2 (en) Network traffic analysis for malware detection and performance reporting
KR101010465B1 (ko) 엔드포인트 리소스를 사용하는 네트워크 보안 요소
Deng et al. DoS vulnerabilities and mitigation strategies in software-defined networks
US9198118B2 (en) Rogue wireless access point detection
US20160036856A1 (en) Data flow forwarding method and device
WO2016086763A1 (zh) 无线访问节点检测方法、无线网络检测系统和服务器
US7506372B2 (en) Method and apparatus for controlling connection rate of network hosts
Shuaib et al. Resiliency of smart power meters to common security attacks
US11277442B2 (en) Verifying the trust-worthiness of ARP senders and receivers using attestation-based methods
US11924043B2 (en) Establishing trust relationships of IPv6 neighbors using attestation-based methods in IPv6 neighbor discovery
Choi et al. Detection of mobile botnet using VPN
KR101593897B1 (ko) 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법
US9686311B2 (en) Interdicting undesired service
KR101517328B1 (ko) Arp 스푸핑 탐지 장치 및 탐지 방법
Satrya et al. The detection of DDOS flooding attack using hybrid analysis in IPv6 networks
CN112152972A (zh) 检测iot设备漏洞的方法和装置、路由器
CN113783892B (zh) 反射攻击检测方法、系统、设备及计算机可读存储介质
KR20100048105A (ko) 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체
Jingna An analysis on DoS attack and defense technology
KR20100057723A (ko) 네트워크 관리 장치 및 그 방법과 이를 위한 컨텐츠 제공 서버
Bhumika et al. Use of honeypots to increase awareness regarding network security
KR100870871B1 (ko) 액세스레벨에서의 유해트래픽 차단장치 및 보안시스템
KR20120012229A (ko) 불필요한 패킷 송수신 차단 장치 및 그 방법
KR102640946B1 (ko) Arp 스푸핑 탐지 시스템 및 방법

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180108

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190408

Year of fee payment: 5