KR102298736B1 - Apparatus and method for concealing network, computer-readable storage medium and computer program for controlling the holder device - Google Patents

Apparatus and method for concealing network, computer-readable storage medium and computer program for controlling the holder device Download PDF

Info

Publication number
KR102298736B1
KR102298736B1 KR1020190178448A KR20190178448A KR102298736B1 KR 102298736 B1 KR102298736 B1 KR 102298736B1 KR 1020190178448 A KR1020190178448 A KR 1020190178448A KR 20190178448 A KR20190178448 A KR 20190178448A KR 102298736 B1 KR102298736 B1 KR 102298736B1
Authority
KR
South Korea
Prior art keywords
arp packet
network
address
arp
virtual
Prior art date
Application number
KR1020190178448A
Other languages
Korean (ko)
Other versions
KR20210085425A (en
Inventor
김주생
Original Assignee
주식회사 안랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안랩 filed Critical 주식회사 안랩
Priority to KR1020190178448A priority Critical patent/KR102298736B1/en
Publication of KR20210085425A publication Critical patent/KR20210085425A/en
Application granted granted Critical
Publication of KR102298736B1 publication Critical patent/KR102298736B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

실시예의 네트워크 은닉 장치는 임의의 네트워크 장비로부터 제1 ARP 패킷을 수신하는 ARP 패킷 수신부와, 자신의 IP 주소 및 MAC 정보와 상이한 가상의 IP 주소와 상기 MAC 정보를 이용하여 가상의 제2 ARP 패킷을 생성하는 가상의 ARP 패킷 생성부와, 상기 가상의 제2 ARP 패킷을 상기 임의의 네트워크 장비로 전송하는 가상의 ARP 패킷 전송부와, 상기 임의의 네트워크 장비로부터 제3 ARP 패킷의 수신 여부에 따라 실제 IP 주소와 MAC 정보를 포함하는 제4 ARP 패킷의 전송 여부를 판단하는 판단부와, 상기 판단부의 판단 결과를 기초로 상기 제4 ARP 패킷을 전송하는 ARP 전송부를 포함할 수 있다.The network hiding device of the embodiment includes an ARP packet receiving unit that receives a first ARP packet from any network equipment, and a virtual second ARP packet using a virtual IP address different from its own IP address and MAC information and the MAC information. A virtual ARP packet generation unit generating the virtual ARP packet, a virtual ARP packet transmission unit transmitting the second virtual ARP packet to the arbitrary network device, and a third ARP packet It may include a determination unit for determining whether to transmit the fourth ARP packet including the IP address and MAC information, and an ARP transmission unit for transmitting the fourth ARP packet based on the determination result of the determination unit.

Description

네트워크 은닉 장치 및 방법, 컴퓨터 판독 가능한 기록 매체 및 컴퓨터 프로그램{APPARATUS AND METHOD FOR CONCEALING NETWORK, COMPUTER-READABLE STORAGE MEDIUM AND COMPUTER PROGRAM FOR CONTROLLING THE HOLDER DEVICE}Network hiding device and method, computer readable recording medium and computer program

실시예는 네트워크 정보를 은닉시키기 위한 네트워크 은닉 장치 및 방법에 관한 것이다.The embodiment relates to a network hiding apparatus and method for hiding network information.

최근 네트워크 기술의 발달과 함께, 개인정보 유출 및 대규모 시스템 장애 등 해킹 피해 사례가 급증하고 있다.Recently, with the development of network technology, cases of hacking damage such as personal information leakage and large-scale system failure are rapidly increasing.

종래의 통신 네트워크 모델은 클라이언트가 서버의 주소를 인식하여 접근하면 서버가 클라이언트의 요청을 응답하는 방식으로 제공된다. 예를 들어, IP(Internet Protocol, 이하 IP) 네트워크에서의 웹 서버 및 웹 클라이언트 간의 통신 모델의 경우, 웹 클라이언트가 웹 서버의 IP 주소를 획득한 후 획득한 주소로 HTTP(HyperText Transfer Protocol) 요청 메시지를 보내면, 사용자가 웹 서버의 IP 주소를 웹 클라이언트의 UI를 통해 직접 입력하거나 도메인 네임을 통해 IP로 변환하는 과정을 거쳐 클라이언트는 IP 주소를 획득한 후 서버에 접근하는 방식으로 제공된다.In the conventional communication network model, when the client recognizes the address of the server and accesses it, the server responds to the client's request is provided. For example, in the case of a communication model between a web server and a web client in an IP (Internet Protocol, hereafter referred to as IP) network, the web client obtains the IP address of the web server and sends an HTTP (HyperText Transfer Protocol) request message to the obtained address. is sent, the user directly enters the IP address of the web server through the UI of the web client or goes through the process of converting it into IP through the domain name, and the client accesses the server after obtaining the IP address.

공동 주택에서 가장 큰 위협은 같은 네트워크 망에 붙어 있는 옆세대이다. 세대 간 통신을 해야 하는 상태가 아니면 굳이 다른 세대에서 내 네트워크 정보를 노출시킬 필요가 없다. 즉, 꼭 접속을 해야하는 IP에게만 응답을 하고, 그렇지 않은 IP들에게는 응답을 하지 않음으로써 해킹과 같은 네트워크 공격에 대한 위험성을 예방할 수 있게 된다.The biggest threat in a multi-unit dwelling is the next-generation households that are connected to the same network. There is no need to expose my network information to other generations unless communication between generations is required. In other words, it is possible to prevent the risk of network attacks such as hacking by responding only to IPs that must be accessed and not responding to IPs that do not.

상술한 문제점을 해결하기 위해, 실시예는 공동 주택의 네트워트 망 내에서의 네트워크 정보를 은닉시키기 위한 네트워크 은닉 장치 및 방법을 제공하는 것을 그 목적으로 한다.In order to solve the above-described problem, the embodiment has an object to provide a network hiding apparatus and method for hiding network information in a network network of an apartment house.

실시예의 네트워크 은닉 장치는 임의의 네트워크 장비로부터 제1 ARP 패킷을 수신하는 ARP 패킷 수신부와, 자신의 IP 주소 및 MAC 정보와 상이한 가상의 IP 주소와 상기 MAC 정보를 이용하여 가상의 제2 ARP 패킷을 생성하는 가상의 ARP 패킷 생성부와, 상기 가상의 제2 ARP 패킷을 상기 임의의 네트워크 장비로 전송하는 가상의 ARP 패킷 전송부와, 상기 임의의 네트워크 장비로부터 제3 ARP 패킷의 수신 여부에 따라 실제 IP 주소와 MAC 정보를 포함하는 제4 ARP 패킷의 전송 여부를 판단하는 판단부와, 상기 판단부의 판단 결과를 기초로 상기 제4 ARP 패킷을 전송하는 ARP 전송부를 포함할 수 있다.The network hiding device of the embodiment includes an ARP packet receiving unit that receives a first ARP packet from any network equipment, and a virtual second ARP packet using a virtual IP address different from its own IP address and MAC information and the MAC information. A virtual ARP packet generation unit generating the virtual ARP packet, a virtual ARP packet transmission unit transmitting the second virtual ARP packet to the arbitrary network device, and a third ARP packet It may include a determination unit for determining whether to transmit the fourth ARP packet including the IP address and MAC information, and an ARP transmission unit for transmitting the fourth ARP packet based on the determination result of the determination unit.

상기 판단부는 상기 제3 ARP 패킷의 개수가 1개이면 상기 실제 IP 주소와 MAC 정보를 포함하는 제4 ARP 패킷을 전송하도록 결정할 수 있다.If the number of the third ARP packet is one, the determination unit may determine to transmit the fourth ARP packet including the actual IP address and MAC information.

상기 판단부는 상기 제3 ARP 패킷의 개수가 1이면 상기 제3 ARP 패킷으로부터 추출된 IP 주소와 MAC 정보를 이용하여 서버에 접속되는지 확인하고, 상기 서버에 접속되면 실제 IP 주소와 MAC 정보를 포함하는 제4 ARP 패킷을 전송하도록 결정할 수 있다.If the number of the third ARP packet is 1, the determination unit checks whether the server is connected using the IP address and MAC information extracted from the third ARP packet, and when connected to the server, includes the actual IP address and MAC information It may be decided to transmit the fourth ARP packet.

상기 네트워크 은닉 장치는 상기 IP 주소와 MAC 정보의 신뢰도를 확인하는 맥인증서버를 더 포함하고, 상기 MAC 정보가 변경된 경우, 상기 맥인증서버에 접속하여 상기 MAC 정보를 확인할 수 있다.The network hiding device may further include a MAC authentication server that checks the reliability of the IP address and MAC information, and when the MAC information is changed, accesses the MAC authentication server to check the MAC information.

상기 판단부는 상기 제3 ARP 패킷의 개수가 0 인 경우, 통신을 종료할 수 있다.When the number of the third ARP packet is 0, the determination unit may terminate the communication.

상기 판단부는 상기 제3 ARP 패킷의 개수가 2 이상인 경우, 상기 가상의 제2 ARP 패킷을 재전송할 수 있다.When the number of the third ARP packets is 2 or more, the determination unit may retransmit the virtual second ARP packet.

실시예의 네트워크 은닉 방법은 임의의 네트워크 장비로부터 제1 ARP 패킷을 수신하는 단계와, 자신의 IP 주소 및 MAC 정보와 상이한 가상의 IP 주소와 MAC 정보를 이용하여 가상의 제2 ARP 패킷을 생성하는 단계와, 상기 가상의 제2 ARP 패킷을 상기 임의의 네트워크 장비에 전송하는 단계와, 상기 임의의 네트워크 장비로부터 제3 ARP 패킷의 수신 여부에 따라 실제 IP 주소와 MAC 정보를 포함하는 제4 ARP 패킷의 전송 여부를 판단하는 단계와, 상기 실제 IP 주소와 MAC 정보를 포함하는 제4 ARP 패킷을 전송하는 단계를 포함할 수 있다.The network hiding method of the embodiment includes the steps of receiving a first ARP packet from an arbitrary network device, and generating a second virtual ARP packet by using a virtual IP address and MAC information different from its own IP address and MAC information and transmitting the second virtual ARP packet to the arbitrary network device, and a fourth ARP packet including an actual IP address and MAC information according to whether a third ARP packet is received from the arbitrary network device. It may include determining whether to transmit and transmitting a fourth ARP packet including the actual IP address and MAC information.

상기 제4 ARP 패킷의 전송 여부를 판단하는 단계는 상기 제3 ARP 패킷의 개수가 1이면 실제 IP 주소와 MAC 정보를 포함하는 제4 ARP 패킷을 전송하도록 결정할 수 있다.In the step of determining whether to transmit the fourth ARP packet, if the number of the third ARP packet is 1, it may be determined to transmit the fourth ARP packet including the actual IP address and MAC information.

상기 제4 ARP 패킷의 전송 여부를 판단하는 단계는 상기 제3 ARP 패킷의 개수가 1이면 상기 제3 ARP 패킷으로부터 추출된 IP 주소와 MAC 정보를 이용하여 서버에 접속되는지 확인하고, 상기 서버에 접속되면 실제 IP 주소와 MAC 정보를 포함하는 상기 제4 ARP 패킷을 전송하도록 결정할 수 있다.In the step of determining whether to transmit the fourth ARP packet, if the number of the third ARP packet is 1, the third ARP packet determines whether access to the server is made using the extracted IP address and MAC information, and accesses the server If it is, it can be determined to transmit the fourth ARP packet including the actual IP address and MAC information.

상기 제4 ARP 패킷의 전송 여부를 판단하는 단계는 상기 MAC 정보가 변경된 경우, 맥인증서버에 접속하여 IP 주소와 MAC 정보를 확인할 수 있다.In the step of determining whether to transmit the fourth ARP packet, when the MAC information is changed, the IP address and MAC information may be checked by accessing the MAC authentication server.

상기 제4 ARP 패킷의 전송 여부를 판단하는 단계는 상기 제3 ARP 패킷의 개수가 0 인 경우, 통신을 종료할 수 있다.In the step of determining whether to transmit the fourth ARP packet, when the number of the third ARP packet is 0, communication may be terminated.

상기 제4 ARP 패킷의 전송 여부를 판단하는 단계는 상기 제3 ARP 패킷의 개수가 2 이상인 경우, 상기 가상의 제2 ARP 패킷을 재전송할 수 있다.In the step of determining whether to transmit the fourth ARP packet, when the number of the third ARP packets is 2 or more, the virtual second ARP packet may be retransmitted.

실시예는 공통 주택의 네트워크 망에 연결된 네트워크 장비들 간의 네트워크 정보를 은닉시켜줌으로써, 공격자로부터 은폐가 가능하여 해킹과 같은 네트워크 공격에 대한 위험성을 예방할 수 있는 효과가 있다.In the embodiment, by hiding network information between network devices connected to the network of a common house, it is possible to conceal from an attacker, thereby preventing the risk of a network attack such as hacking.

도 1은 실시예에 따른 네트워크 은닉 장치가 구비된 공동주택의 네트워크 망을 나타낸 블록도이다.
도 2는 실시예에 따른 네트워크 은닉 장치를 나타낸 블록도이다.
도 3은 실시예에 따른 네트워크 은닉 방법을 나타낸 순서도이다.
도 4 내지 도 7은 실시예에 따른 ARP 패킷의 전송하는 단계를 나타낸 순서도이다.1 is a block diagram illustrating a network network of an apartment house provided with a network hiding device according to an embodiment.
2 is a block diagram illustrating a network hiding device according to an embodiment.
3 is a flowchart illustrating a network hiding method according to an embodiment.
4 to 7 are flowcharts illustrating the steps of transmitting an ARP packet according to an embodiment.

이하, 도면을 참조하여 실시예를 상세히 설명하기로 한다.Hereinafter, the embodiment will be described in detail with reference to the drawings.

도 1은 실시예에 따른 네트워크 은닉 장치가 구비된 공동주택의 네트워크 망을 나타낸 블록도이고, 도 2는 실시예에 따른 네트워크 은닉 장치를 나타낸 블록도이다.1 is a block diagram showing a network network of an apartment house provided with a network hiding device according to an embodiment, and FIG. 2 is a block diagram showing a network hiding device according to an embodiment.

도 1을 참조하면, 실시예에 따른 공동주택의 네트워크 망(1000)은 복수의 네트워크 장비(10, 20)와, 스위치(30)와, 게이트 웨이(40)와, 서버(50)를 포함할 수 있다.Referring to FIG. 1 , a network network 1000 of an apartment house according to an embodiment may include a plurality of network devices 10 and 20 , a switch 30 , a gateway 40 , and a server 50 . can

게이트 웨이(40)는 서버(50)와 네트워크 장비(10,20) 사이에 통신이 수행될 때, 통신 속도의 제어, 트래픽 제어, 네트워크 사이에서의 컴퓨터 어드레스의 변환 등의 처리를 수행할 수 있다. 스위치(30)는 복수의 네트워크 장비(10, 20) 중 적어도 어느 하나와 게이트 웨이(40)가 연결되도록 스위칭하는 역할을 수행할 수 있다.When communication is performed between the server 50 and the network devices 10 and 20, the gateway 40 may perform processing such as control of communication speed, control of traffic, and conversion of computer addresses between networks. . The switch 30 may serve to switch so that at least one of the plurality of network devices 10 and 20 and the gateway 40 are connected.

복수의 네트워크 장비(10, 20)는 공동 주택의 각 세대에 각각 설치될 수 있다. 복수의 네트워크 장비(10, 20) 중 하나는 공격자의 임의의 네트워크 장비(20)일 수 있다.The plurality of network devices 10 and 20 may be respectively installed in each household of the apartment house. One of the plurality of network devices 10 and 20 may be any network device 20 of an attacker.

네트워크 장비(10)에는 실시예에 따른 네트워크 은닉 장치(100)가 배치될 수 있다. 네트워크 은닉 장치(100)는 동일한 네트워크 망 내에서 임의의 네트워크 장비(공격자, 20)가 네트워크 정보를 요구할 경우, 가상의 네트워크 정보를 생성 및 전송하여 공격자의 공격을 대비할 수 있다. 한편, 네트워크 은닉 장치(100)는 네트워크 정보를 요구하는 주체가 공격자인지 모를 경우, 이를 확인하는 절차를 수행한 후 실제 네트워크 정보를 송신할 지 결정하게 된다.A network hiding device 100 according to an embodiment may be disposed in the network device 10 . The network hiding device 100 may prepare for an attacker's attack by generating and transmitting virtual network information when an arbitrary network device (the attacker 20) requests network information within the same network. Meanwhile, when the network hiding device 100 does not know whether the subject requesting the network information is an attacker, the network hiding device 100 determines whether to transmit the actual network information after performing a checking procedure.

실시예에 따른 네트워크 은닉 장치(100)는 화이트리스트(IP)가 아닌 곳에서 임의의 네트워크 장비가 ARP 요청을 한 경우는 응답을 하지 않게 된다. 즉, 네트워크 은닉 장치(100)는 상기 ARP 패킷을 요청한 상기 임의의 네트워크가 화이트리스트 내에 존재하지 않는 경우, 상기 ARP 패킷 요청에 대해 응답하지 않을 수 있다.The network hiding device 100 according to the embodiment does not respond when an arbitrary network device makes an ARP request in a place other than the white list (IP). That is, the network hiding device 100 may not respond to the ARP packet request when the arbitrary network requesting the ARP packet does not exist in the white list.

반면, 화이트리스트(IP)에 있는 임의의 네트워크 장비에서 ARP 패킷을 요청한 경우에는 해당 정보를 신뢰할 수 있는지 여부를 판단해야 한다. 즉, 네트워크 은닉 장치(100)는 ARP 패킷을 요청한 임의의 네트워크가 화이트리스트 내에 존재하는 경우, 상기 ARP 패킷 요청에 대해 응답할 수 있다. On the other hand, when an ARP packet is requested from any network device in the white list (IP), it is necessary to determine whether the information is reliable. That is, the network hiding device 100 may respond to the ARP packet request when any network that has requested the ARP packet exists in the white list.

여기서, 화이트리스트(IP)는 이미 알려진 IP 주소를 기반으로 만들어진 리스트이다. 화이트리스트(IP)는 관리자로부터 작성될 수 있다.Here, the white list (IP) is a list created based on an already known IP address. A whitelist (IP) may be created by an administrator.

따라서, 실시예에 따른 네트워크 은닉 장치(100)는 가상의 ARP 정보를 전송하여 자신의 네트워크 정보는 노출시키지 않으면서 ARP 패킷을 요청한 장비의 신뢰성을 확인할 수 있다.Therefore, the network hiding device 100 according to the embodiment transmits virtual ARP information to confirm the reliability of the equipment requesting the ARP packet without exposing its own network information.

실시예에 따른 네트워크 은닉 장치(100)는 ARP 패킷을 요청한 네트워크의 신뢰성이 낮다고 판단하면 ARP 패킷 요청에 대한 응답을 하지 않게 된다.이하에서는 ARP 패킷을 요청한 네트워크의 신뢰성을 확인하기 위한 방법을 수행하는 네트워크 은닉 장치(100)의 구조에 대해 보다 상세히 설명한다.The network hiding device 100 according to the embodiment does not respond to the ARP packet request when determining that the reliability of the network requesting the ARP packet is low. Hereinafter, a method for confirming the reliability of the network requesting the ARP packet The structure of the network hiding device 100 will be described in more detail.

도 2에 도시된 바와 같이, 실시예에 따른 네트워크 은닉 장치(100)는 ARP 패킷 수신부(110)와, 가상의 ARP 패킷 생성부(120)와, 가상의 ARP 패킷 전송부(130)와, 판단부(140)와, ARP 패킷 전송부(150)를 포함할 수 있다.As shown in FIG. 2 , the network hiding device 100 according to the embodiment includes an ARP packet receiving unit 110 , a virtual ARP packet generating unit 120 , a virtual ARP packet transmitting unit 130 , and determining It may include a unit 140 and an ARP packet transmission unit 150 .

ARP(Address Resolution Protocol, 주소 결정 프로토콜)는 네트워크 상에서 IP 주소를 물리적 네트워크 주소로 대응시키기 위해 사용되는 프로토콜이다. 예를 들어, IP 호스트 A가 IP 호스트 B에게 IP 패킷을 전송하려고 할 때 IP 호스트 B의 물리적 네트워크 주소를 모른다면, IP 호스트 A는 ARP를 이용하여 IP 호스트 B의 IP 주소와 브로드캐스팅 물리적 네트워크 주소 FF:FF:FF:FF:FF:FF를 가지는 ARP 패킷을 네트워크 상에 전송한다. IP 호스트 B는 자신의 IP 주소를 목적지로 하는 ARP 패킷을 수신하면 자신의 물리적 네트워크 주소를 IP 호스트 A에게 응답한다. 이와 같은 방식으로 수집된 IP 주소와 이에 해당하는 물리적 네트워크 주소 정보는 각 IP 호스트의 ARP 캐시라 불리는 메모리에 테이블 형태로 저장된 다음, 패킷을 전송할 때에 다시 사용된다.ARP (Address Resolution Protocol) is a protocol used to map an IP address to a physical network address on a network. For example, if IP host A wants to send an IP packet to IP host B and does not know IP host B's physical network address, IP host A uses ARP to provide IP host B's IP address and broadcasting physical network address. ARP packet with FF:FF:FF:FF:FF:FF is transmitted on the network. When IP host B receives an ARP packet destined for its IP address, it responds with its physical network address to IP host A. The IP address and the corresponding physical network address information collected in this way are stored in the form of a table in the memory called ARP cache of each IP host, and then used again when transmitting the packet.

ARP 패킷 수신부(120)는 임의의 네트워크 장비(20)로부터 전송된 제1 ARP 요청 패킷을 수신할 수 있다. 임의의 네트워크 장비(20)는 공격자 이거나 일반 세대원 일 수 있다. 제1 ARP 패킷은 게이트 웨이(40)를 통해 다른 세대원의 네트워트 장비(10)로 전송될 수 있다. 여기서, 임의의 네트워크 장비(20)가 공격자일 경우, 제1 ARP 패킷은 공격자의 정보가 아닌 실제 사용하지 않는 임의의 IP 주소 및 MAC 정보를 이용하여 제1 ARP 패킷을 생성한 후 전송할 수 있다. ARP packet receiving unit 120 may receive the first ARP request packet transmitted from any network equipment (20). Any network device 20 may be an attacker or a member of the general household. The first ARP packet may be transmitted to the network equipment 10 of another generation member through the gateway (40). Here, when the arbitrary network equipment 20 is an attacker, the first ARP packet may be transmitted after generating the first ARP packet using arbitrary IP address and MAC information that are not actually used rather than the attacker's information.

가상의 ARP 패킷 생성부(120)는 임의의 네트워크 장비(20)의 제1 ARP 패킷 요청에 대응하여 가상의 제2 ARP 패킷을 생성할 수 있다. 가상의 제2 ARP 패킷은 가상의 IP 주소와 가상의 MAC 정보를 포함할 수 있다. 가상의 ARP 패킷 생성부(130)는 실제 자신의 IP 주소와 MAC 정보와 상이한 IP 주소 및 MAC 정보를 이용하여 가상의 제2 ARP 패킷을 생성할 수 있다.The virtual ARP packet generation unit 120 may generate a second virtual ARP packet in response to the first ARP packet request of any network device 20 . The second virtual ARP packet may include a virtual IP address and virtual MAC information. The virtual ARP packet generation unit 130 may generate a second virtual ARP packet using an IP address and MAC information different from their actual IP address and MAC information.

가상의 ARP 패킷 전송부(130)는 가상의 제2 ARP 패킷을 임의의 네트워크 장비(20)로 전송할 수 있다. 즉, 실시예의 네트워크 은닉 장치(100)는 제1 ARP 패킷이 신뢰할 수 있는지 확인하기 위해 가상의 제2 ARP 패킷을 우선 전송할 수 있다. 제2 ARP 패킷은 ARP를 요청한 임의의 네트워크 장비(20)로 전송될 수 있다. 또한, 제2 ARP 패킷은 다른 네트워크 장비(10)로 전송될 수도 있다.The virtual ARP packet transmission unit 130 may transmit a second virtual ARP packet to any network device 20 . That is, the network hiding device 100 of the embodiment may first transmit a virtual second ARP packet in order to check whether the first ARP packet is reliable. The second ARP packet may be transmitted to any network equipment 20 requesting ARP. In addition, the second ARP packet may be transmitted to other network equipment (10).

판단부(140)는 임의의 네트워크 장비(20)로부터 수신된 제3 ARP 패킷 수신 여부에 따라 실제 IP 주소 및 MAC 정보가 포함된 제4 ARP 패킷을 전송할지 판단하게 된다.The determination unit 140 determines whether to transmit the fourth ARP packet including the actual IP address and MAC information according to whether the third ARP packet received from the arbitrary network device 20 is received.

판단부(140)는 제3 ARP 패킷의 수신되는 개수를 이용하여 ARP 패킷의 신뢰성을 판단할 수 있다. 예컨대, 제3 ARP 패킷의 응답이 1개일 경우, 임의의 네트워크(20)로부터 수신된 제3 ARP 패킷은 신뢰성이 있는 것으로 판단할 수 있다. 반면, 제3 ARP 패킷의 응답이 없거나 2개 이상인 경우, 제3 ARP 패킷은 신뢰성이 없는 것으로 판단할 수 있다. The determination unit 140 may determine the reliability of the ARP packet by using the received number of the third ARP packet. For example, when the response of the third ARP packet is one, it can be determined that the third ARP packet received from the arbitrary network 20 is reliable. On the other hand, if there is no response of the third ARP packet or there are two or more, it may be determined that the third ARP packet is unreliable.

임의의 네트워크 장비(20)가 실제로 다른 세대원이 보유하고 있는 장비이면, 제3 패킷은 실제 네트워크 장비의 주인만이 응답하게 되어 제3 ARP 패킷의 개수는 1이 된다. 이 경우, 제3 ARP 패킷은 제1 ARP 패킷과 동일한 정보를 가지고 있게 된다.If any network device 20 is actually a device owned by another household member, only the owner of the actual network device responds to the third packet, and the number of third ARP packets becomes 1. In this case, the third ARP packet has the same information as the first ARP packet.

반면, 임의의 네트워크 장비(20)가 공격자가 보유한 장비이면, 공격자는 다른 세대원의 IP 주소 및 MAC 정보를 이용하여 제3 ARP 패킷을 생성하게 된다. 이로 인해 제3 ARP 패킷은 실제 네트워크 장비(10)의 주인과 공격자를 포함하여 2개가 생성될 수 있다. 또한, 공격자가 새로운 IP 주소 및 MAC 정보를 이용하여 제3 ARP 패킷을 생성하게 되면 제3 ARP 패킷은 0개가 되어 응답이 없게 된다.On the other hand, if the arbitrary network device 20 is a device possessed by the attacker, the attacker generates a third ARP packet using the IP address and MAC information of another generation member. Due to this, the third ARP packet may be generated in two including the owner and the attacker of the actual network equipment (10). In addition, if the attacker creates the third ARP packet using the new IP address and MAC information, the third ARP packet becomes 0 and there is no response.

따라서, 판단부(140)는 제3 ARP 패킷의 개수에 따라 자신의 실제 IP 주소 및 MAC 정보가 포함된 제4 ARP 패킷을 전송 여부를 판단하게 된다.Accordingly, the determination unit 140 determines whether to transmit the fourth ARP packet including its real IP address and MAC information according to the number of the third ARP packets.

ARP 패킷 전송부(150)는 판단부(140)의 판단 결과를 기초로 제4 ARP 패킷을 전송할 수 있다. 즉, 판단부(140)로부터 제3 ARP 패킷의 개수가 1이라고 판단되면, ARP 패킷 전송부(150)는 제4 ARP 패킷을 임의의 네트워크 장비(20)로 전송할 수 있다. 반면, 판단부(140)로부터 제3 패킷의 개수가 0 또는 2라고 판단되면, 통신을 종료하거나 가상의 제2 ARP 패킷을 재전송할 수 있다.The ARP packet transmission unit 150 may transmit the fourth ARP packet based on the determination result of the determination unit 140 . That is, if the determination unit 140 determines that the number of third ARP packets is 1, the ARP packet transmission unit 150 may transmit the fourth ARP packet to any network equipment 20 . On the other hand, if the determination unit 140 determines that the number of the third packet is 0 or 2, the communication may be terminated or the virtual second ARP packet may be retransmitted.

한편, 판단부(140)는 제3 ARP 패킷의 개수가 1이면 제3 ARP 패킷으로부터 추출된 IP 주소와 MAC 정보를 이용하여 서버(50)에 접속되는지 확인할 수 있으며, IP 주소와 MAC 정보를 이용하여 서버(50)에 접속되면 제4 ARP 패킷을 전송하도록 판단할 수 있다.On the other hand, if the number of the third ARP packet is 1, the determination unit 140 may check whether the server 50 is connected using the IP address and MAC information extracted from the third ARP packet, and use the IP address and MAC information. When connected to the server 50, it can be determined to transmit the fourth ARP packet.

실시예에 따른 네트워크 은닉 장치(1000)는 맥인증서버(200)를 더 포함할 수 있다. 맥인증서버(200)는 게이트 웨이(40) 장비가 변경되어 MAC 정보가 바뀔 경우, 맥인증서버(200)에 MAC 정보가 신뢰할 정보인지 확인 요청을 하고, 맥인증서버(200)는 MAC 정보에 대한 신뢰성에 대한 응답을 수행할 수 있다. 이러한 동작은 네트워크 은닉 장치(100)에 별도의 ARP reply 처리부(미도시)를 두어 수행할 수 있다.The network hiding apparatus 1000 according to the embodiment may further include a MAC authentication server 200 . When the MAC information is changed due to a change in the device of the gateway 40, the MAC authentication server 200 requests the MAC authentication server 200 to check whether the MAC information is reliable information, and the MAC authentication server 200 responds to the MAC information. It is possible to perform a response for reliability. This operation may be performed by placing a separate ARP reply processing unit (not shown) in the network hiding device 100 .

또한, 실시예에 따른 네트워크 은닉 장치(1000)는 네트워크가 은폐 모드일 경우, 모든 네트워크 장비에 브로드캐스팅할 경우가 발생된다. 이때, 모든 네트워크 장비에 자신의 실제 네트워크 정보를 전송하지 않고, 가상의 IP 주소 및 MAC 정보가 포함된 가상의 ARP 패킷을 전송할 수 있다. 이로부터 네트워크 정보에 대한 보안성을 보다 향상시킬 수 있게 된다. 이러한 동작은 네트워크 은닉 장치(1000)에 별도의 브로드캐스트(Broadcast) 처리부를 두어 수행할 수 있다.Also, when the network is in the concealment mode, the network hiding device 1000 according to the embodiment broadcasts to all network devices. In this case, a virtual ARP packet including virtual IP address and MAC information may be transmitted without transmitting its actual network information to all network devices. From this, it is possible to further improve the security of network information. Such an operation may be performed by placing a separate broadcast processing unit in the network hiding device 1000 .

실시예는 공통 주택의 네트워크 망에 연결된 네트워크 장비들 간의 네트워크 정보를 은닉시켜줌으로써, 공격자로부터 은폐가 가능하여 해킹과 같은 네트워크 공격에 대한 위험성을 예방할 수 있게 된다.The embodiment hides network information between network devices connected to the network of a common house, so that it is possible to conceal from an attacker, thereby preventing the risk of a network attack such as hacking.

이하에서는 실시예에 따른 네트워크 은닉 방법에 대해 살펴보기로 한다. 네트워크 은닉 방법은 앞서 설명한 네트워크 은닉 장치에서 수행될 수 있다.Hereinafter, a network hiding method according to an embodiment will be described. The network hiding method may be performed in the network hiding device described above.

도 3은 실시예에 따른 네트워크 은닉 방법을 나타낸 순서도이고, 도 4 내지 도 7은 실시예에 따른 ARP 패킷의 전송하는 단계를 나타낸 순서도이다.3 is a flowchart illustrating a network hiding method according to an embodiment, and FIGS. 4 to 7 are flowcharts illustrating a step of transmitting an ARP packet according to an embodiment.

도 3을 참조하면, 실시예에 따른 네트워크 은닉 방법은 임의의 네트워크 장비로부터 제1 ARP 패킷을 수신하는 단계(S100)와, 자신의 IP 주소 및 MAC 정보와 상이한 가상의 IP 주소와 MAC 정보를 이용하여 가상의 제2 ARP 패킷을 생성하는 단계(S200)와, 상기 가상의 제2 ARP 패킷을 상기 임의의 네트워크 장비에 전송하는 단계(S300)와, 상기 임의의 네트워크 장비로부터 제3 ARP 패킷의 수신 여부에 따라 실제 IP 주소와 MAC 정보를 포함하는 제4 ARP 패킷의 전송 여부를 판단하는 단계(S400)와, 상기 실제 IP 주소와 MAC 정보를 포함하는 제4 ARP 패킷을 전송하는 단계(S500)를 포함할 수 있다.Referring to FIG. 3 , the network hiding method according to the embodiment includes the steps of receiving the first ARP packet from any network device ( S100 ), and using a virtual IP address and MAC information different from its own IP address and MAC information. generating a virtual second ARP packet (S200), transmitting the virtual second ARP packet to the arbitrary network device (S300), and receiving a third ARP packet from the optional network device Determining whether to transmit a fourth ARP packet including an actual IP address and MAC information according to whether or not (S400) and transmitting a fourth ARP packet including the actual IP address and MAC information (S500) may include

제1 ARP 패킷을 수신하는 단계(S100)는 ARP 패킷 수신부에서 수행될 수 있다. 임의의 네트워크 장비는 공격자 이거나 일반 세대원 또는 게이트 웨이일 수 있다. 제1 ARP 패킷은 게이트 웨이를 통해 다른 세대원의 네트워트 장비로 전송될 수 있다. 여기서, 임의의 네트워크 장비가 공격자일 경우, 제1 ARP 패킷은 공격자의 정보가 아닌 임의의 IP 주소 및 MAC 정보를 이용하여 제1 ARP 패킷을 생성한 후 전송할 수 있다. Receiving the first ARP packet (S100) may be performed in the ARP packet receiving unit. Any network device can be an attacker, a general household member, or a gateway. The first ARP packet may be transmitted to the network equipment of another generation member through the gateway. Here, when an arbitrary network device is an attacker, the first ARP packet may be transmitted after generating the first ARP packet using arbitrary IP address and MAC information rather than the attacker's information.

가상의 제2 ARP 패킷을 생성하는 단계(S200)는 가상의 ARP 패킷 생성부에서 수행될 수 있다. 가상의 제2 ARP 패킷은 가상의 IP 주소와 가상의 MAC 정보를 포함할 수 있다. 가상의 제2 ARP 패킷은 실제 자신의 IP 주소와 MAC 정보와 상이한 IP 주소 및 MAC 정보를 이용하여 생성될 수 있다.Generating the second virtual ARP packet (S200) may be performed in the virtual ARP packet generation unit. The second virtual ARP packet may include a virtual IP address and virtual MAC information. The virtual second ARP packet may be generated using IP address and MAC information different from the actual IP address and MAC information.

가상의 제2 ARP 패킷을 전송하는 단계(S300)는 가상의 ARP 패킷 전송부에서 수행될 수 있다. 가상의 제2 ARP 패킷을 전송하는 단계는 제1 ARP 패킷이 신뢰할 수 있는지 확인하기 위해 가상의 제2 ARP 패킷을 우선 전송할 수 있다.Transmitting the second virtual ARP packet (S300) may be performed in the virtual ARP packet transmission unit. The step of transmitting the second virtual ARP packet may include first transmitting the second virtual ARP packet to check whether the first ARP packet is reliable.

제4 ARP 패킷의 전송 여부를 판단하는 단계(S400)는 판단부에서 수행될 수 있다. 제4 ARP 패킷의 전송 여부를 판단하는 단계는 임의의 네트워크 장비로부터 수신된 제3 ARP 패킷 수신 여부에 따라 실제 IP 주소 및 MAC 정보가 포함된 제4 ARP 패킷을 전송할지 판단하게 된다.The step of determining whether to transmit the fourth ARP packet (S400) may be performed by the determination unit. The step of determining whether to transmit the fourth ARP packet determines whether to transmit the fourth ARP packet including the actual IP address and MAC information according to whether the third ARP packet received from any network device is received.

제4 ARP 패킷의 전송 여부를 판단하는 단계(S400)는 제3 ARP 패킷의 수신되는 개수를 이용하여 ARP 패킷의 신뢰성을 판단할 수 있다. In the step of determining whether to transmit the fourth ARP packet (S400), the reliability of the ARP packet may be determined using the received number of the third ARP packet.

도 4에 도시된 바와 같이, 제4 ARP 패킷의 전송 여부를 판단하는 단계(S400)에서, 제3 ARP 패킷이 수신되고(S410) 제3 ARP 패킷의 개수가 1이라고 판단되면(S411), 제4 ARP 패킷을 전송하게 된다(S412).As shown in FIG. 4 , in the step of determining whether to transmit the fourth ARP packet (S400), the third ARP packet is received (S410) and when it is determined that the number of the third ARP packet is 1 (S411), the second 4 ARP packet is transmitted (S412).

도 5에 도시된 바와 같이, 제4 ARP 패킷의 전송 여부를 판단하는 단계(S400)에서, 제3 ARP 패킷이 수신되고(S420) 제3 ARP 패킷의 개수가 1이라고 판단되면(S421), IP 주소와 MAC 정보가 서버에 접속되는지 확인하는 단계(S422)를 수행한다. IP 주소와 MAC 정보가 서버에 접속되면, 제4 ARP 패킷을 전송하게 된다(S423).As shown in FIG. 5 , in the step of determining whether to transmit the fourth ARP packet (S400), the third ARP packet is received (S420) and when it is determined that the number of the third ARP packets is 1 (S421), the IP A step (S422) of checking whether the address and MAC information is connected to the server is performed. When the IP address and MAC information are connected to the server, the fourth ARP packet is transmitted (S423).

도 6에 도시된 바와 같이, 제4 ARP 패킷의 전송 여부를 판단하는 단계(S400)에서, 제3 ARP 패킷이 수신되고(S430) 제3 ARP 패킷의 개수가 2라고 판단되면(S431), 가상의 제2 ARP 패킷을 전송하게 된다(S432).As shown in Figure 6, in the step (S400) of determining whether to transmit the fourth ARP packet, when the third ARP packet is received (S430) and it is determined that the number of the third ARP packet is 2 (S431), the virtual to transmit the second ARP packet of (S432).

도 7에 도시된 바와 같이, 제4 ARP 패킷의 전송 여부를 판단하는 단계(S400)에서, 제3 ARP 패킷이 수신되고(S440) 제3 ARP 패킷의 개수가 0이라고 판단되면(S441), 통신을 종료하게 된다(S442). 즉, 신뢰할 수 있는 IP/MAC이 아닌 곳에서 ARP 패킷을 요청한 경우는 응답을 하지 않게 된다.도 3으로 돌아가서, 제4 ARP 패킷을 전송하는 단계(S500)는 ARP 패킷 전송부에서 수행될 수 있다. 제4 ARP 패킷을 전송하는 단계(S400)는 제4 ARP 패킷의 전송 여부를 판단하는 단계의 판단 결과를 기초로 제4 ARP 패킷을 전송할 수 있다. As shown in FIG. 7 , in the step of determining whether to transmit the fourth ARP packet (S400), the third ARP packet is received (S440) and when it is determined that the number of the third ARP packet is 0 (S441), communication to end (S442). That is, if an ARP packet is requested from a non-reliable IP/MAC, no response is made. Returning to FIG. 3 , the step of transmitting the fourth ARP packet ( S500 ) may be performed by the ARP packet transmission unit. . The step of transmitting the fourth ARP packet ( S400 ) may transmit the fourth ARP packet based on the determination result of the step of determining whether to transmit the fourth ARP packet.

본 문서의 다양한 실시예들은 기기(machine)(예: 컴퓨터)로 읽을 수 있는 저장 매체(machine-readable storage media)(예: 메모리(내장 메모리 또는 외장 메모리))에 저장된 명령어를 포함하는 소프트웨어(예: 프로그램)로 구현될 수 있다. 기기는, 저장 매체로부터 저장된 명령어를 호출하고, 호출된 명령어에 따라 동작이 가능한 장치로서, 개시된 실시예들에 따른 전자 장치를 포함할 수 있다. 상기 명령이 제어부에 의해 실행될 경우, 제어부가 직접, 또는 상기 제어부의 제어하에 다른 구성요소들을 이용하여 상기 명령에 해당하는 기능을 수행할 수 있다. 명령은 컴파일러 또는 인터프리터에 의해 생성 또는 실행되는 코드를 포함할 수 있다. 기기로 읽을 수 있는 저장매체는, 비일시적(non-transitory) 저장매체의 형태로 제공될 수 있다. 여기서, 비일시적은 저장매체가 신호(signal)를 포함하지 않으며 실재(tangible)한다는 것을 의미할 뿐 데이터가 저장매체에 반영구적 또는 임시적으로 저장됨을 구분하지 않는다.Various embodiments of the present document include software (eg, a machine-readable storage media) (eg, a memory (internal memory or external memory)) that includes instructions stored in a readable storage medium (eg, a computer). : program) can be implemented. The device is a device capable of calling a stored command from a storage medium and operating according to the called command, and may include the electronic device according to the disclosed embodiments. When the command is executed by the control unit, the control unit may perform a function corresponding to the command directly or using other components under the control of the control unit. Instructions may include code generated or executed by a compiler or interpreter. The device-readable storage medium may be provided in the form of a non-transitory storage medium. Here, non-transitory means that the storage medium does not include a signal and is tangible, and does not distinguish that data is semi-permanently or temporarily stored in the storage medium.

실시예에 따르면, 본 문서에 개시된 다양한 실시예들에 따른 방법은 컴퓨터 프로그램 제품(computer program product)에 포함되어 제공될 수 있다.According to an embodiment, the method according to various embodiments disclosed in the present document may be included and provided in a computer program product.

일 실시예에 따르면, 컴퓨터 프로그램을 저장하고 있는 컴퓨터 판독 가능 기록매체로서, 임의의 네트워크 장비로부터 제1 ARP 패킷을 수신하는 동작과, 자신의 IP 주소 및 MAC 정보와 상이한 가상의 IP 주소와 MAC 정보를 이용하여 가상의 제2 ARP 패킷을 생성하는 동작과, 상기 가상의 제2 ARP 패킷을 상기 임의의 네트워크 장비에 전송하는 동작과, 상기 임의의 네트워크 장비로부터 제3 ARP 패킷의 수신 여부에 따라 실제 IP 주소와 MAC 정보를 포함하는 제4 ARP 패킷의 전송 여부를 판단하는 동작과, 상기 실제 IP 주소와 MAC 정보를 포함하는 제4 ARP 패킷을 전송하는 동작을 포함하는 방법을 프로세서가 수행하도록 하기 위한 명령어를 포함할 수 있다.According to an embodiment, as a computer-readable recording medium storing a computer program, the operation of receiving the first ARP packet from any network device, and virtual IP address and MAC information different from its own IP address and MAC information The operation of generating a second virtual ARP packet using for the processor to perform a method including determining whether to transmit a fourth ARP packet including the IP address and MAC information, and transmitting the fourth ARP packet including the actual IP address and MAC information It may contain instructions.

일 실시예에 따르면, 컴퓨터 판독 가능한 기록매체에 저장되어 있는 컴퓨터 프로그램으로서, 임의의 네트워크 장비로부터 제1 ARP 패킷을 수신하는 동작과, 자신의 IP 주소 및 MAC 정보와 상이한 가상의 IP 주소와 MAC 정보를 이용하여 가상의 제2 ARP 패킷을 생성하는 동작과, 상기 가상의 제2 ARP 패킷을 상기 임의의 네트워크 장비에 전송하는 동작과, 상기 임의의 네트워크 장비로부터 제3 ARP 패킷의 수신 여부에 따라 실제 IP 주소와 MAC 정보를 포함하는 제4 ARP 패킷의 전송 여부를 판단하는 동작과, 상기 실제 IP 주소와 MAC 정보를 포함하는 제4 ARP 패킷을 전송하는 동작을 포함하는 방법을 프로세서가 수행하도록 하기 위한 명령어를 포함할 수 있다.According to an embodiment, as a computer program stored in a computer-readable recording medium, the operation of receiving the first ARP packet from any network device, and virtual IP address and MAC information different from its own IP address and MAC information The operation of generating a second virtual ARP packet using For the processor to perform a method including determining whether to transmit a fourth ARP packet including the IP address and MAC information, and transmitting the fourth ARP packet including the actual IP address and MAC information It may contain instructions.

상기에서는 도면 및 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허청구범위에 기재된 실시예의 기술적 사상으로부터 벗어나지 않는 범위 내에서 실시예는 다양하게 수정 및 변경시킬 수 있음은 이해할 수 있을 것이다.Although the above has been described with reference to the drawings and embodiments, it will be understood by those skilled in the art that various modifications and changes can be made to the embodiments without departing from the spirit of the embodiments described in the claims below. will be able

100: 네트워크 은닉 장치
110: ARP 패킷 수신부
120: 가상의 ARP 패킷 생성부
130: 가상의 ARP 패킷 전송부
140: 판단부
150: ARP 패킷 전송부100: network hiding device
110: ARP packet receiver
120: virtual ARP packet generation unit
130: virtual ARP packet transmission unit
140: judgment unit
150: ARP packet transmission unit

Claims (14)

동일한 네트워크 망 내에서 게이트웨이를 통해 서로 연결되는 공동 주택의 각 세대에 설치된 복수의 네트워크 장비 중 임의의 네트워크 장비가 어느 하나의 네트워크 장비에게 ARP 패킷을 요청하여 네트워크 정보를 요구하는 경우, 상기 어느 하나의 네트워크 장비에 설치되어 상기 ARP 패킷 요청에 대해 응답하는 네트워크 은닉 장치에 있어서,
상기 임의의 네트워크 장비로부터 제1 ARP 패킷을 수신하는 ARP 패킷 수신부;
상기 제1 ARP 패킷에 응답하여, 자신의 네트워크 정보를 노출시키기 않기 위해 상기 자신의 네트워크 장비의 IP 주소 및 MAC 정보와 상이한 가상의 IP 주소와 MAC 정보를 이용하여 가상의 제2 ARP 패킷을 생성하는 가상의 ARP 패킷 생성부;
상기 가상의 제2 ARP 패킷을 상기 임의의 네트워크 장비로 전송하는 가상의 ARP 패킷 전송부;
상기 임의의 네트워크 장비로부터 제3 ARP 패킷의 수신 여부에 따라 실제 IP 주소와 MAC 정보를 포함하는 제4 ARP 패킷의 전송 여부를 판단하는 판단부; 및
상기 판단부의 판단 결과를 기초로 상기 제4 ARP 패킷을 전송하는 ARP 전송부
를 포함하는 네트워크 은닉 장치.When any one of a plurality of network equipment installed in each household of a multi-family house connected to each other through a gateway within the same network requests an ARP packet from any one network equipment to request network information, any one of the above In the network hiding device installed in the network equipment to respond to the ARP packet request,
ARP packet receiving unit for receiving the first ARP packet from the arbitrary network equipment;
In response to the first ARP packet, in order not to expose its own network information, a virtual second ARP packet is generated using a virtual IP address and MAC information different from the IP address and MAC information of the own network equipment. Virtual ARP packet generation unit;
a virtual ARP packet transmission unit for transmitting the second virtual ARP packet to the arbitrary network device;
a determination unit for determining whether to transmit a fourth ARP packet including an actual IP address and MAC information according to whether the third ARP packet is received from the arbitrary network device; and
ARP transmission unit for transmitting the fourth ARP packet based on the determination result of the determination unit
A network concealment device comprising a. 제1항에 있어서,
상기 판단부는 상기 제3 ARP 패킷의 개수가 1개이면 상기 실제 IP 주소와 MAC 정보를 포함하는 제4 ARP 패킷을 전송하도록 결정하는 네트워크 은닉 장치.According to claim 1,
If the number of the third ARP packet is one, the determination unit determines to transmit a fourth ARP packet including the actual IP address and MAC information. 제2항에 있어서,
상기 판단부는 상기 제3 ARP 패킷의 개수가 1이면 상기 제3 ARP 패킷으로부터 추출된 IP 주소와 MAC 정보를 이용하여 서버에 접속되는지 확인하고, 상기 서버에 접속되면 실제 IP 주소와 MAC 정보를 포함하는 제4 ARP 패킷을 전송하도록 결정하는 네트워크 은닉 장치.3. The method of claim 2,
If the number of the third ARP packet is 1, the determination unit checks whether the server is connected using the IP address and MAC information extracted from the third ARP packet, and when connected to the server, includes the actual IP address and MAC information A network concealment device that decides to send a fourth ARP packet. 제3항에 있어서,
상기 네트워크 은닉 장치는 상기 IP 주소와 MAC 정보의 신뢰도를 확인하는 맥인증서버를 더 포함하고, 상기 MAC 정보가 변경된 경우, 상기 맥인증서버에 접속하여 상기 MAC 정보를 확인하는 네트워크 은닉 장치.4. The method of claim 3,
The network hiding device further includes a MAC authentication server that checks the reliability of the IP address and MAC information, and when the MAC information is changed, accesses the MAC authentication server to check the MAC information. 제1항에 있어서,
상기 판단부는 상기 제3 ARP 패킷의 개수가 0 인 경우, 통신을 종료하고,
상기 제3 ARP 패킷의 개수가 2 이상인 경우, 상기 가상의 제2 ARP 패킷을 재전송하는 네트워크 은닉 장치.According to claim 1,
When the number of the third ARP packet is 0, the determination unit terminates communication,
When the number of the third ARP packet is 2 or more, the network hiding device for retransmitting the second virtual ARP packet. 제1항에 있어서,
상기 네트워크 은닉 장치는 상기 ARP 패킷을 요청한 상기 임의의 네트워크가 화이트리스트 내에 존재하지 않는 경우, 상기 ARP 패킷 요청에 대해 응답하지 않는 네트워크 은닉 장치.According to claim 1,
The network hiding device does not respond to the ARP packet request when the arbitrary network that has requested the ARP packet does not exist in the whitelist. 동일한 네트워크 망 내에서 게이트웨이를 통해 서로 연결되는 공동 주택의 각 세대에 설치된 복수의 네트워크 장비 중 임의의 네트워크 장비가 어느 하나의 네트워크 장비에게 ARP 패킷을 요청하여 네트워크 정보를 요구하는 경우, 상기 어느 하나의 네트워크 장비에 설치되어 상기 ARP 패킷 요청에 대해 응답하는 네트워크 은닉 장치가 수행하는 네트워크 은닉 방법에 있어서,
상기 임의의 네트워크 장비로부터 제1 ARP 패킷을 수신하는 단계;
상기 제1 ARP 패킷에 응답하여, 자신의 네트워크 정보를 노출시키기 않기 위해 상기 자신의 네트워크 장비의 IP 주소 및 MAC 정보와 상이한 가상의 IP 주소와 MAC 정보를 이용하여 가상의 제2 ARP 패킷을 생성하는 단계;
상기 가상의 제2 ARP 패킷을 상기 임의의 네트워크 장비에 전송하는 단계;
상기 임의의 네트워크 장비로부터 제3 ARP 패킷의 수신 여부에 따라 실제 IP 주소와 MAC 정보를 포함하는 제4 ARP 패킷의 전송 여부를 판단하는 단계; 및
상기 실제 IP 주소와 MAC 정보를 포함하는 제4 ARP 패킷을 전송하는 단계
를 포함하는 네트워크 은닉 방법.When any one of a plurality of network equipment installed in each household of a multi-family house connected to each other through a gateway within the same network requests an ARP packet from any one network equipment to request network information, any one of the above A network hiding method installed in a network device and performed by a network hiding device that responds to the ARP packet request,
Receiving a first ARP packet from the arbitrary network equipment;
In response to the first ARP packet, in order not to expose its own network information, a virtual second ARP packet is generated using a virtual IP address and MAC information different from the IP address and MAC information of the own network equipment. step;
transmitting the second virtual ARP packet to the arbitrary network device;
determining whether to transmit a fourth ARP packet including an actual IP address and MAC information according to whether the third ARP packet is received from the arbitrary network device; and
Transmitting a fourth ARP packet including the real IP address and MAC information
A network hiding method comprising: 제7항에 있어서,
상기 제4 ARP 패킷의 전송 여부를 판단하는 단계는,
상기 제3 ARP 패킷의 개수가 1이면 실제 IP 주소와 MAC 정보를 포함하는 제4 ARP 패킷을 전송하도록 결정하는 네트워크 은닉 방법.8. The method of claim 7,
The step of determining whether to transmit the fourth ARP packet includes:
If the number of the third ARP packet is 1, a network hiding method for determining to transmit a fourth ARP packet including an actual IP address and MAC information. 제8항에 있어서,
상기 제4 ARP 패킷의 전송 여부를 판단하는 단계는,
상기 제3 ARP 패킷의 개수가 1이면 상기 제3 ARP 패킷으로부터 추출된 IP 주소와 MAC 정보를 이용하여 서버에 접속되는지 확인하고, 상기 서버에 접속되면 실제 IP 주소와 MAC 정보를 포함하는 상기 제4 ARP 패킷을 전송하도록 결정하는 네트워크 은닉 방법.9. The method of claim 8,
The step of determining whether to transmit the fourth ARP packet includes:
If the number of the third ARP packet is 1, it is checked whether the server is connected using the IP address and MAC information extracted from the third ARP packet, and when the server is accessed, the fourth including the actual IP address and MAC information A network stealth method that decides to send an ARP packet. 제9항에 있어서,
상기 제4 ARP 패킷의 전송 여부를 판단하는 단계는,
상기 MAC 정보가 변경된 경우, 맥인증서버에 접속하여 IP 주소와 MAC 정보를 확인하는 네트워크 은닉 방법.10. The method of claim 9,
The step of determining whether to transmit the fourth ARP packet includes:
A network hiding method of accessing a MAC authentication server to check the IP address and MAC information when the MAC information is changed. 제7항에 있어서,
상기 제4 ARP 패킷의 전송 여부를 판단하는 단계는,
상기 제3 ARP 패킷의 개수가 0 인 경우, 상기 제3 ARP 패킷은 공격자로부터 수신된 패킷이라고 판단하여 통신을 종료하는 네트워크 은닉 방법.8. The method of claim 7,
The step of determining whether to transmit the fourth ARP packet includes:
When the number of the third ARP packet is 0, the third ARP packet is determined to be a packet received from an attacker and the communication is terminated. 제7항에 있어서,
상기 제4 ARP 패킷의 전송 여부를 판단하는 단계는,
상기 제3 ARP 패킷의 개수가 2 이상인 경우, 상기 제3 ARP 패킷은 공격자로부터 수신된 패킷을 포함하고 있다고 판단하여 상기 가상의 제2 ARP 패킷을 재전송하는 네트워크 은닉 방법.8. The method of claim 7,
The step of determining whether to transmit the fourth ARP packet includes:
When the number of the third ARP packets is two or more, it is determined that the third ARP packet includes a packet received from an attacker, and the second virtual ARP packet is retransmitted. 컴퓨터 프로그램을 저장하고 있는 컴퓨터 판독 가능 기록매체로서,
상기 컴퓨터 프로그램은,
청구항 7 내지 청구항 12 중 어느 하나의 방법을 프로세서가 수행하도록 하기 위한 명령어를 포함하는 컴퓨터 판독 가능한 기록매체.As a computer-readable recording medium storing a computer program,
The computer program is
13. A computer-readable recording medium comprising instructions for causing a processor to perform the method of any one of claims 7 to 12. 컴퓨터 판독 가능한 기록매체에 저장되어 있는 컴퓨터 프로그램으로서,
상기 컴퓨터 프로그램은,
청구항 7 내지 청구항 12 중 어느 하나의 방법을 프로세서가 수행하도록 하기 위한 명령어를 포함하는 컴퓨터 프로그램.As a computer program stored in a computer-readable recording medium,
The computer program is
A computer program comprising instructions for causing a processor to perform the method of any one of claims 7 to 12.
KR1020190178448A 2019-12-30 2019-12-30 Apparatus and method for concealing network, computer-readable storage medium and computer program for controlling the holder device KR102298736B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190178448A KR102298736B1 (en) 2019-12-30 2019-12-30 Apparatus and method for concealing network, computer-readable storage medium and computer program for controlling the holder device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190178448A KR102298736B1 (en) 2019-12-30 2019-12-30 Apparatus and method for concealing network, computer-readable storage medium and computer program for controlling the holder device

Publications (2)

Publication Number Publication Date
KR20210085425A KR20210085425A (en) 2021-07-08
KR102298736B1 true KR102298736B1 (en) 2021-09-07

Family

ID=76893648

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190178448A KR102298736B1 (en) 2019-12-30 2019-12-30 Apparatus and method for concealing network, computer-readable storage medium and computer program for controlling the holder device

Country Status (1)

Country Link
KR (1) KR102298736B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116418863B (en) * 2023-06-09 2023-09-15 安徽华云安科技有限公司 Communication method and device based on socks5 transparent proxy

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008017278A (en) * 2006-07-07 2008-01-24 Fujitsu Ltd Repeater system, route control method, and route control program
KR100823135B1 (en) * 2007-03-13 2008-04-21 삼성전자주식회사 Routing control device for efficient arp request and method thereof
JP2010136014A (en) * 2008-12-03 2010-06-17 Hitachi Information & Communication Engineering Ltd Mac address automatic authentication system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008017278A (en) * 2006-07-07 2008-01-24 Fujitsu Ltd Repeater system, route control method, and route control program
KR100823135B1 (en) * 2007-03-13 2008-04-21 삼성전자주식회사 Routing control device for efficient arp request and method thereof
JP2010136014A (en) * 2008-12-03 2010-06-17 Hitachi Information & Communication Engineering Ltd Mac address automatic authentication system

Also Published As

Publication number Publication date
KR20210085425A (en) 2021-07-08

Similar Documents

Publication Publication Date Title
CN101110821B (en) Method and apparatus for preventing ARP address cheating attack
KR100600733B1 (en) Media streaming home network system and the method of the same
US20110252469A1 (en) System for preventing normal user being blocked in network address translation (nat) based web service and method for controlling the same
JP2005525750A (en) Peer-to-peer network communication by network address translation (NAT)
CN107682470B (en) Method and device for detecting public network IP availability in NAT address pool
US10348687B2 (en) Method and apparatus for using software defined networking and network function virtualization to secure residential networks
CN110351233A (en) A kind of two-way transparent transmission technology based on safety isolation network gate
WO2015014215A1 (en) Domain name resolution method, system and device
JP5122587B2 (en) Connection control method, connection control server device, connection control client device, connection control system, and program
CN104662871A (en) Method and device for securely accessing a web service
KR102298736B1 (en) Apparatus and method for concealing network, computer-readable storage medium and computer program for controlling the holder device
CN106878320A (en) A kind of method and apparatus for preventing IP address spoofing
CN105939346A (en) Method and device for preventing DNS (Domain Name System) cache attack
JP3590394B2 (en) Packet transfer device, packet transfer method, and program
CN104038494A (en) Method for recording attack source and exchanger
CN106453308A (en) Method for preventing ARP cheating
Pansa et al. Architecture and protocols for secure LAN by using a software-level certificate and cancellation of ARP protocol
JP2019041176A (en) Unauthorized connection blocking device and unauthorized connection blocking method
JP2008028899A (en) Communication system, terminal device, vpn server, program, and communication method
JP2007336401A (en) Communication control device, authentication system, and communication control program
KR101074063B1 (en) Home gateway and dynamic channel generation method thereof
JP2005309974A (en) Network system, authentication method using network system, authentication program, and recording medium
CN104378454A (en) System, method and device for acquiring terminal name
KR101188308B1 (en) Pseudo packet monitoring system for address resolution protocol spoofing monitoring of malicious code and pseudo packet monitoring method therefor
CN105812422A (en) File transmission method based on Internet of Things and file transmission device

Legal Events

Date Code Title Description
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant