KR102425707B1 - 부정 검출 장치 및 부정 검출 방법 - Google Patents

부정 검출 장치 및 부정 검출 방법 Download PDF

Info

Publication number
KR102425707B1
KR102425707B1 KR1020200124916A KR20200124916A KR102425707B1 KR 102425707 B1 KR102425707 B1 KR 102425707B1 KR 1020200124916 A KR1020200124916 A KR 1020200124916A KR 20200124916 A KR20200124916 A KR 20200124916A KR 102425707 B1 KR102425707 B1 KR 102425707B1
Authority
KR
South Korea
Prior art keywords
packet
address
terminal device
mac address
multicast
Prior art date
Application number
KR1020200124916A
Other languages
English (en)
Other versions
KR20210039299A (ko
Inventor
다카히코 오타
Original Assignee
아즈빌주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 아즈빌주식회사 filed Critical 아즈빌주식회사
Publication of KR20210039299A publication Critical patent/KR20210039299A/ko
Application granted granted Critical
Publication of KR102425707B1 publication Critical patent/KR102425707B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/06Selective distribution of broadcast services, e.g. multimedia broadcast multicast service [MBMS]; Services to user groups; One-way selective calling services
    • H04W4/08User group management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/005Discovery of network devices, e.g. terminals

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Databases & Information Systems (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Burglar Alarm Systems (AREA)
  • Pinball Game Machines (AREA)

Abstract

[과제] 미리 IP 어드레스와 MAC 어드레스의 페어의 등록이나 학습을 필요로 하지 않고, 보다 간이한 구성에 의해 근린 탐색 스푸핑을 검지하는 것을 목적으로 한다.
[해결수단] 부정 검출 장치(1)는, 네트워크(NW) 상을 흐르는 패킷을 감시하여, 근린 탐색 프로토콜에 기초한 NS 또는 NA 패킷을 검지하는 검지부(10)와, 검지된 NS 또는 NA 패킷의 송신원 MAC 어드레스를 송신처 MAC 어드레스로 한 MLQ 패킷을 올 노드 멀티캐스트 송신하는 송신부(11)와, MLQ 패킷에 대한 MLR 패킷을 MLQ 패킷의 송신처 MAC 어드레스를 갖는 단말 장치(4)로부터 수신하는 수신부(12)와, MLR 패킷에 포함되는 요청 노드 멀티캐스트 어드레스가 나타내는 IPv6 어드레스와, 근린 탐색의 대상의 IPv6 어드레스가 다른 경우에, MLR 패킷의 송신원의 단말 장치(4)는 부정하다고 판단하는 판단부(13)를 구비한다.

Description

부정 검출 장치 및 부정 검출 방법{FRAUD DETECTION DEVICE AND FRAUD DETECTION METHOD}
본 발명은 부정 검출 장치 및 부정 검출 방법에 관한 것으로, 특히 IPv6 환경에 있어서의 부정을 검지하는 기술에 관한 것이다.
최근, IoT의 보급에 의해 여러 가지 기기가 인터넷에 연결되게 되었다. 이에 따라, 인터넷에 연결되는 기기의 수도 폭발적으로 증가하여, 종래 인터넷 프로토콜로서 이용되어 온 IPv4로부터, 새롭게 128 비트의 어드레스 길이를 갖는 프로토콜로서 IPv6로의 이행이 진행되고 있다. 또한, 네트워크 감시 장치 등의 많은 네트워크 보안 제품에 있어서도, IPv6에 대응한 것이 급속하게 요구되고 있다.
IPv6 환경에 있어서의, 도청이나 통신 방해의 해킹의 하나로서, 근린 탐색(Neighbor Discovery: ND) 스푸핑이 알려져 있다. 이것은 IPv4의 arp 스푸핑에 상당하는 방법이다. IPv6 환경에서는, ICMPv6에 의한 근린 탐색에 의해, 목적의 IPv6 어드레스의 MAC 어드레스를 찾아내고, 찾아낸 MAC 어드레스를 근린 캐쉬에 등록한다. 예컨대, 부정 액세스 등에 의해 멀웨어에 감염된 단말 장치가 동일 링크 내에 있었던 경우, 이 부정한 단말 장치가 임의의 단말 장치로부터의 근린 요청(Neighbor Solicitation: NS)에 대하여, 사용되고 있지 않은 MAC 어드레스를 저장한 근린 광고(Neighbor Advertisement: NA)를 회신한 체함으로써 DoS 공격 등이 가능해진다(비특허문헌 1 참조).
이러한 근린 탐색 스푸핑을 검지하는 데 있어서의 대책으로서, 예컨대, 비특허문헌 1은, ND 관련의 패킷을 감시하여, L2(Data link layer)와 L3(Network layer)의 어드레스 맵핑을 학습하고, 이미 학습 완료된 L3에 관한 부정 단말로부터의 NA를 필터에 의해 블록하는 방법을 개시하고 있다.
상기 근린 탐색 스푸핑을 검지하는 종래 기술에 따르면, 예컨대, 스위칭 HUB 등으로 미리 IP 어드레스와 MAC 어드레스의 정상인 페어를 등록 또는 학습해 두고, 스위칭 HUB 내에 흐르는 NA 패킷으로, 정상이라고 하는 페어로부터 벗어난 NA 패킷이 흐른 경우에 부정하다고 판단한다.
비특허문헌 1: IPv6 기술 검증 협의회 「시큐리티 평가·대책 검증부회 최종 보고서 2.1.1.2. 대책안」 2012년 8월
그러나, 비특허문헌 1에 기재된 기술에서는, 예컨대, IP 어드레스가 변경되는 IPv6 환경도 존재하는 중에, 등록 완료된 IP 어드레스가 변경되는 것이나, 단말 장치가 새롭게 추가될 때마다 IP 어드레스와 MAC 어드레스의 페어를 새롭게 등록하지 않으면 안 되어, 오검지나 등록 작업이 증가하는 등의 결점이 있었다.
본 발명은 전술한 과제를 해결하기 위해 이루어진 것이며, 미리 IP 어드레스와 MAC 어드레스의 페어의 등록이나 학습을 필요로 하지 않고, 보다 간이한 구성에 의해 근린 탐색 스푸핑을 검지하는 것을 목적으로 한다.
전술한 과제를 해결하기 위해, 본 발명에 따른 부정 검출 장치는, 네트워크 상을 흐르는 패킷을 감시하여, 근린 탐색 프로토콜에 기초한 미리 정해진 패킷을 검지하도록 구성된 검지부와, 검지된 상기 미리 정해진 패킷의 송신원의 MAC 어드레스를 송신처의 MAC 어드레스로서 설정하고, 멀티캐스트 그룹에의 참가 상황을 조회하는 조회 패킷을 상기 네트워크를 통해 올 노드 멀티캐스트 송신하도록 구성된 송신부와, 상기 조회 패킷에 대한 응답 패킷을 상기 송신처의 MAC 어드레스를 갖는 단말 장치로부터 수신하도록 구성된 수신부와, 상기 응답 패킷에 포함되는, 상기 응답 패킷의 송신원인 상기 단말 장치가 참가하는 멀티캐스트 그룹을 식별하는 멀티캐스트 어드레스가 나타내는 제1 IP 어드레스와, 상기 미리 정해진 패킷에 의해 근린 탐색의 대상으로 되어 있는 제2 IP 어드레스가 다른 경우에, 상기 응답 패킷의 송신원의 상기 단말 장치는 부정하다고 판단하도록 구성된 판단부를 구비한다.
또한, 본 발명에 따른 부정 검출 장치에 있어서, 상기 판단부는, 상기 수신부가 상기 응답 패킷을 수신하지 않은 경우에, 상기 조회 패킷의 상기 송신처의 MAC 어드레스를 갖는 상기 단말 장치는 부정하다고 판단하여도 좋다.
또한, 본 발명에 따른 부정 검출 장치에 있어서, 상기 판단부는, 상기 검지부가 검지한 상기 미리 정해진 패킷으로부터, 상기 제2 IP 어드레스를 취득하여도 좋다.
또한, 본 발명에 따른 부정 검출 장치에 있어서, 상기 미리 정해진 패킷은, 근린 요청 패킷 및 근린 광고 패킷 중 적어도 어느 하나여도 좋다.
또한, 본 발명에 따른 부정 검출 장치에 있어서, 상기 멀티캐스트 어드레스는, 요청 노드 멀티캐스트 어드레스여도 좋다.
또한, 본 발명에 따른 부정 검출 장치에 있어서, 상기 판단부에 의한 판단 결과를 표시 화면에 표시하도록 구성된 표시 장치를 더 구비하고 있어도 좋다.
전술한 과제를 해결하기 위해, 본 발명에 따른 부정 검출 방법은, 네트워크 상을 흐르는 패킷을 감시하여, 근린 탐색 프로토콜에 기초한 미리 정해진 패킷을 검지하는 제1 단계와, 상기 제1 단계에서 검지된 상기 미리 정해진 패킷의 송신원의 MAC 어드레스를 송신처의 MAC 어드레스로서 설정하고, 멀티캐스트 그룹에의 참가 상황을 조회하는 조회 패킷을 상기 네트워크를 통해 올 노드 멀티캐스트 송신하는 제2 단계와, 상기 조회 패킷에 대한 응답 패킷을 상기 송신처의 MAC 어드레스를 갖는 단말 장치로부터 수신하는 제3 단계와, 상기 응답 패킷에 포함되는, 상기 응답 패킷의 송신원인 상기 단말 장치가 참가하는 멀티캐스트 그룹을 식별하는 멀티캐스트 어드레스가 나타내는 제1 IP 어드레스와, 상기 미리 정해진 패킷에 의해 근린 탐색의 대상으로 되어 있는 제2 IP 어드레스가 다른 경우에, 상기 응답 패킷의 송신원의 상기 단말 장치는 부정하다고 판단하는 제4 단계를 구비한다.
본 발명에 따르면, 근린 탐색 프로토콜에 기초한 미리 정해진 패킷을 검지하고, 그 미리 정해진 패킷의 송신원의 MAC 어드레스를 송신처의 MAC 어드레스로서 올 노드 멀티캐스트 송신한 조회 패킷에 대한 응답 패킷에 포함되는, 송신원의 단말 장치가 참가하는 멀티캐스트 어드레스가 나타내는 제1 IP 어드레스와, 근린 탐색의 대상으로 되어 있는 제2 IP 어드레스가 다른 경우에, 응답 패킷의 송신원의 단말 장치는 부정하다고 판단한다. 그 때문에, 미리 IP 어드레스와 MAC 어드레스의 페어의 등록이나 학습을 필요로 하지 않고, 보다 간이한 구성에 의해 근린 탐색 스푸핑을 검지할 수 있다.
도 1은 본 발명의 실시형태에 따른 부정 검출 장치를 포함하는 네트워크 시스템의 구성을 나타내는 블록도이다.
도 2는 실시형태에 따른 부정 검출 장치의 구성을 나타내는 블록도이다.
도 3은 실시형태에 따른 부정 검출 장치의 하드웨어 구성을 나타내는 블록도이다.
도 4는 실시형태에 따른 부정 검출 방법을 설명하기 위한 흐름도이다.
도 5는 실시형태에 따른 네트워크 시스템의 동작을 나타내는 시퀀스도이다.
도 6은 실시형태에 따른 네트워크 시스템의 동작을 나타내는 시퀀스도이다.
이하, 본 발명의 적합한 실시형태에 대해서, 도 1 내지 도 6을 참조하여 상세하게 설명한다.
[네트워크 시스템의 구성]
먼저, 본 발명의 실시형태에 따른 부정 검출 장치(1)를 구비하는 네트워크 시스템의 개요에 대해서 설명한다. 도 1에 나타내는 바와 같이, 네트워크 시스템은 부정 검출 장치(1)와, LAN 등의 네트워크(NW)를 통해 접속되어 있는 복수의 단말 장치(2, 3, 4)를 구비한다. 네트워크 시스템은, 예컨대, BA(Building Automation) 시스템 등에 마련된다.
본 발명의 실시형태에 따른 부정 검출 장치(1)는, 네트워크(NW)를 감시하여, 근린 탐색 스푸핑을 행하는 부정 단말을 검출한다.
단말 장치(2, 3, 4)는, IPv6가 동작하는 PC 등의 단말이다. 본 실시형태에 있어서, 도 1에 나타내는 단말 장치(2, 3)는 정규 단말이다. 한편, 단말 장치(4)는, 예컨대, 멀웨어 등에 감염된 부정 단말이다. 도 1에 나타내는 바와 같이, 단말 장치(2, 3, 4)에는, 각각 IPv6 어드레스가 설정되어 있다.
부정 검출 장치(1)는, 네트워크(NW)를 흐르는 패킷을 감시하여, 근린 탐색 프로토콜(NDP)에 기초한 NA 패킷 및 NS 패킷(미리 정해진 패킷)을 검지한다. 부정 검출 장치(1)는, 검지한 NA 패킷에 포함되는 타겟 링크층 어드레스(Target Link-layer Address), 또는, NS 패킷에 포함되는 소스 링크층 어드레스(Source Link-layer Address)가 나타내는 MAC 어드레스를 취득한다.
근린 탐색 스푸핑을 행하는 부정 단말은, 네트워크(NW)의 통신 방수나 데이터의 개찬(위조) 등의 부정 액세스를 행할 목적으로, 네트워크(NW) 상의 다른 정규의 단말 장치인 체하여 NA 패킷 또는 NS 패킷을 송신한다. 이러한 부정 단말은, 부정한 NA 패킷이나 NS 패킷에 있어서의 옵션 포맷의 필드 「Target Link-layer Address」 또는 「Source Link-layer Address」에 자장치(自裝置)의 MAC 어드레스를 저장한다.
본 실시형태에 따른 부정 검출 장치(1)는, 검지한 NA 패킷에 포함되는 Target Link-layer Address, 또는 NS 패킷에 포함되는 Source Link-layer Address가 나타내는 MAC 어드레스를 송신처 MAC 어드레스로서 설정하고, 검사를 위한 General Query의 Multicast Listener Query(MLQ)를 올 노드 멀티캐스트 송신한다.
MLQ 패킷은, 라우터가 리스너에 대하여 수신을 희망하는 멀티캐스트 그룹이 존재하는지의 여부를 조회하는 데 이용되는 메시지이다. 또한, General Query는, 링크 로컬 스코프 내에 존재하는 모든 리스너에 대하여, 어떤 멀티캐스트 그룹에 참가하고 있는지를 조사하는 쿼리이다.
부정 검출 장치(1)는, MLQ 패킷에 대한 응답 패킷으로서 MLQ 패킷을 수신한 단말 장치가 참가하고 있는 멀티캐스트 그룹을 식별하는 멀티캐스트 어드레스를 보고하기 위한 Multicast Listener Report(MLR)를 수신한다. MLR 패킷에는, 요청 노드 멀티캐스트 어드레스가 포함된다. 요청 노드 멀티캐스트 어드레스는, 인터페이스에 할당된 유니캐스트 어드레스나 애니캐스트 어드레스인 IPv6 어드레스로부터 계산된다.
또한, 요청 노드 멀티캐스트 어드레스는, 유니캐스트 어드레스나 애니캐스트 어드레스의 하위 24 bit로 구성된다. 요청 노드 멀티캐스트 어드레스의 어드레스 범위는, [FF02::1FF00:0000] 내지 [FF02::1FFFF:FFFF]이기 때문에, IPv6 어드레스를 용이하게 판별 가능하다.
본 실시형태에 따른 부정 검출 장치(1)는, 검사를 위해 송신한 MLQ 패킷에 대한 응답으로서 수신한 MLR 패킷에 포함되는 요청 노드 멀티캐스트 어드레스가 나타내는 MLR 패킷의 송신원의 IPv6 어드레스(제1 IP 어드레스)와, NS 패킷이나 NA 패킷의 송신에 의해 근린 탐색의 대상으로 되어 있는 IPv6 어드레스(제2 IP 어드레스)를 비교한다. 이들 IPv6 어드레스가 일치하지 않는 경우에는, 부정 검출 장치(1)는, MLR 패킷의 송신원은, 근린 탐색 스푸핑을 행하는 부정 단말이라고 판단한다.
[부정 검출 장치의 기능 블록]
부정 검출 장치(1)는, 도 2에 나타내는 바와 같이, 검지부(10), 송신부(11), 수신부(12), 판단부(13) 및 기억부(14)를 구비한다.
검지부(10)는, 네트워크(NW)를 흐르는 패킷을 감시하여, 근린 탐색 프로토콜에 기초한 NS 패킷 및 NA 패킷을 검지한다. 검지부(10)는, 예컨대, 포트 미러링에 의해, 네트워크(NW) 상의 패킷을 감시할 수 있다.
송신부(11)는, 검지부(10)에 의해 검지된 NS 패킷 또는 NA 패킷의 송신원 MAC 어드레스를 송신처 MAC 어드레스로서 설정하고, General Query의 MLQ 패킷을 올 노드 멀티캐스트 송신한다. 보다 상세하게는, 송신부(11)는, NS 패킷 또는 NA 패킷에 포함되는, Source/Target Link-layer Address에 저장된, 패킷의 송신원 MAC 어드레스를, MLQ 패킷의 송신처 MAC 어드레스로서 설정한다. 예컨대, 단말 장치(4)가 NS 패킷 또는 NA 패킷을 송신한 경우, Source/Target Link-layer Address에 저장된 MAC 어드레스 「H」를, MLQ 패킷의 송신처 MAC 어드레스로서 설정한다.
수신부(12)는, 송신부(11)에 의해 송신된 MLQ 패킷에 대한 응답 패킷인 MLR 패킷을 수신한다. 수신부(12)에 의해 수신되는 MLR 패킷은, MLQ 패킷의 송신처 MAC어드레스, 예컨대 「H」를 갖는 단말 장치(4)에 의해 회신된 MLR 패킷이다. 또한, MLQ 패킷의 송신처 MAC 어드레스 「H」를 갖는 도 1의 단말 장치(4)가, IPv6 프로토콜 스택을 무효로 한 스텔스 단말인 경우에는, 단말 장치(4)는 MLR 패킷을 돌려주지 않는다. 이 경우, 수신부(12)는, MLQ 패킷의 송신처인 단말 장치(4)로부터 MLR 패킷을 수신하지 않게 된다. 이 경우의 부정 검출 처리에 대해서는 후술한다.
판단부(13)는, 수신부(12)가 수신한 MLR 패킷에 포함되는 요청 노드 멀티캐스트 어드레스가 나타내는 IPv6 어드레스와, 검지부(10)에 의해 검지된 NS 패킷 또는 NA 패킷에 의해 근린 탐색의 대상으로 되어 있는 IPv6 어드레스가 다른 경우에는, MLR 패킷의 송신원의 단말 장치[예컨대, 단말 장치(4)]는, 부정하다고 판단한다.
보다 상세하게는, 판단부(13)는, 수신부(12)가 수신한 MLR 패킷에 포함되는, MLR 패킷의 송신원의 단말 장치(4)가 참가하는 멀티캐스트 그룹을 식별하는 요청 노드 멀티캐스트 어드레스가 나타내는 IPv6 어드레스(도 1의 「K」)를 취득한다. 전술한 바와 같이, 요청 노드 멀티캐스트 어드레스는, 링크 로컬의 프리픽스에 IPv6 어드레스의 하위 24 bit(하위 3 바이트)를 더함으로써 생성된다. 이에 기초하여, 판단부(13)는, MLR 패킷에 포함되는 요청 노드 멀티캐스트 어드레스로부터, IPv6 어드레스(도 1의 「K」)를 판별할 수 있다.
또한, 판단부(13)는, 검지부(10)가 검지한 NS 패킷 또는 NA 패킷으로부터 근린 탐색의 대상으로 되어 있는 IPv6 어드레스를 판별하여 취득할 수 있다. 예컨대, 근린 탐색의 대상으로 되어 있는 IPv6 어드레스가, 단말 장치(3)의 IPv6 어드레스 「G」이고, MLR 패킷의 요청 노드 멀티캐스트 어드레스가 나타내는 IPv6 어드레스가 「K」인 경우를 생각한다. 이 경우, IPv6 어드레스는 일치하지 않기 때문에, 판단부(13)는, MLR 패킷의 송신원의 단말 장치(4)(IPv6 어드레스 「K」, MAC 어드레스 「H」)는 부정하다고 판단한다.
또한, 판단부(13)는, 수신부(12)가 MLR 패킷을 MLQ 패킷의 송신처 MAC 어드레스, 예컨대 「H」의 단말 장치(4)로부터 수신하지 않은 경우에는, 그 송신처 MAC 어드레스 「H」의 단말 장치(4)는 부정하다고 판단한다. 예컨대, 판단부(13)는, 송신부(11)가 MLQ 패킷을 송신하고 나서 일정한 시간이 경과한 경우에, MLR 패킷을 수신하지 않은 경우에, MLR 패킷의 수신은 없었다고 할 수 있다.
기억부(14)는, 검지부(10)가 검지한 NS 패킷 또는 NA 패킷에 의해 근린 탐색의 대상으로 되어 있는 IPv6 어드레스에 관한 정보를 기억한다.
[부정 검출 장치의 하드웨어 구성]
다음에 전술한 기능을 갖는 부정 검출 장치(1)의 하드웨어 구성의 일례에 대해서, 도 3을 이용하여 설명한다.
도 3에 나타내는 바와 같이, 부정 검출 장치(1)는, 예컨대, 버스(101)를 통해 접속되는 프로세서(102), 주기억 장치(103), 통신 인터페이스(104), 보조 기억 장치(105), 입출력 I/O(106)를 구비하는 컴퓨터와, 이들의 하드웨어 자원을 제어하는 프로그램에 의해 실현할 수 있다.
주기억 장치(103)에는, 프로세서(102)가 각종 제어나 연산을 행하기 위한 프로그램이 미리 저장되어 있다. 프로세서(102)와 주기억 장치(103)에 의해, 도 2에 나타낸 검지부(10), 송신부(11), 수신부(12), 판단부(13) 등, 부정 검출 장치(1)의 각 기능이 실현된다.
통신 인터페이스(104)는, 부정 검출 장치(1)와 단말 장치(2, 3, 4)나 각종 외부 전자 기기 간을 네트워크 접속하기 위한 인터페이스 회로이다. 통신 인터페이스(104)에 의해, 도 2에서 설명한 송신부(11)에 의해 송신 처리된 패킷이 송신된다. 또한, 통신 인터페이스(104)로부터 수신된 패킷이 수신부(12)에 의해 수신 처리된다.
보조 기억 장치(105)는, 기록 및 판독 가능한 기억 매체와, 그 기억 매체에 대하여 프로그램이나 데이터 등의 각종 정보를 기록 및 판독하기 위한 구동 장치로 구성되어 있다. 보조 기억 장치(105)에는, 기억 매체로서 하드디스크나 플래시 메모리 등의 반도체 메모리를 사용할 수 있다.
보조 기억 장치(105)는, 부정 검출 장치(1)가, 네트워크(NW) 상에서 근린 탐색 스푸핑을 행하는 부정 단말을 검출하기 위한 프로그램을 저장하는 프로그램 저장 영역을 갖는다. 보조 기억 장치(105)에 의해, 도 2에서 설명한 기억부(14)가 실현된다. 더욱, 예컨대, 전술한 데이터나 프로그램 등을 백업하기 위한 백업 영역 등을 가지고 있어도 좋다.
입출력 I/O(106)는, 외부 기기로부터의 신호를 입력하거나, 외부 기기에 신호를 출력하거나 하는 I/O 단자에 의해 구성된다.
입력 장치(107)는, 키보드나 터치 패널 등으로 구성되며, 조작 입력을 접수하여 대응하는 신호를 생성한다.
표시 장치(108)는, 액정 디스플레이 등에 의해 구성된다. 표시 장치(108)는, 판단부(13)에 의한 판단 결과를 표시 화면에 표시할 수 있다.
[부정 검출 방법]
다음에 전술한 구성을 갖는 부정 검출 장치(1)의 동작에 대해서, 도 4의 흐름도를 이용하여 설명한다.
먼저, 검지부(10)는, 네트워크(NW)를 흐르는 패킷을 감시한다(단계 S1). 그 후, 검지부(10)에 의해 NS 패킷 또는 NA 패킷이 검지되면(단계 S2: YES), 송신부(11)는, NS 패킷 또는 NA 패킷의 송신원 MAC 어드레스를, 송신처 MAC 어드레스로서 설정하여, General Query의 MLQ 패킷을 올 노드 멀티캐스트 송신한다(단계 S3). 예컨대, NA 패킷에 포함되는 Target Link-layer Address의 MAC 어드레스를, MLQ 패킷의 송신처 MAC 어드레스로서 설정한다.
다음에, 수신부(12)는, MLQ 패킷에 대한 응답인 MLR 패킷을, MLQ 패킷의 송신처 MAC 어드레스를 갖는 단말 장치로부터 수신하지 않은 경우에는(단계 S4: NO), 판단부(13)는, MLQ 패킷의 송신처 MAC 어드레스를 갖는 단말 장치는 부정하다고 판단한다(단계 S7).
한편, 수신부(12)는, MLQ 패킷에 대한 MLR 패킷을, MLQ 패킷의 송신처 MAC 어드레스를 갖는 단말 장치로부터 수신한 경우(단계 S4: YES), 판단부(13)는, 이하의 처리를 실행한다. 즉, 판단부(13)는, MLR 패킷에 포함되는 요청 노드 멀티캐스트 어드레스가 나타내는 IPv6 어드레스와, 검지부(10)가 검지한 NS 패킷 또는 NA 패킷에 의해 근린 탐색의 대상으로 되어 있는 IPv6 어드레스를 비교한다(단계 S5).
판단부(13)는, MLR 패킷에 포함되는 요청 노드 멀티캐스트 어드레스가 나타내는 IPv6 어드레스와, 검지부(10)가 검지한 NS 패킷 또는 NA 패킷에 의해 근린 탐색의 대상으로 되어 있는 IPv6 어드레스가 일치하지 않는 경우에는(단계 S6: NO), MLR 패킷의 송신원의 단말 장치는 부정하다고 판단한다(단계 S7).
그 후, 표시 장치(108)는, 판단 결과를 표시 화면에 표시하여 출력한다(단계 S8). 또한, 판단부(13)에 의한 판단 결과는, 네트워크(NW) 상의 특정 서버 등에 통신 인터페이스(104)로부터 송출되는 구성으로 할 수도 있다.
[네트워크 시스템의 동작 시퀀스]
다음에, 본 실시형태에 따른 부정 검출 장치(1)를 구비하는 네트워크 시스템의 동작을 도 5 및 도 6의 시퀀스도를 참조하여 설명한다. 이하에 있어서, 단말 장치(2, 3)는 정규 단말이고, 단말 장치(4)는 부정 단말인 것으로 한다. 또한, 단말 장치(2)는, IPv6 어드레스 「A」, MAC 어드레스 「S」를 가지고, 단말 장치(3)는, IPv6 어드레스 「G」, MAC 어드레스 「M」을 갖는다. 또한, 단말 장치(4)는, IPv6 어드레스 「K」, MAC 어드레스 「H」를 갖는다.
[부정한 NA 패킷이 검지되는 경우]
도 5는 단말 장치(4)가 부정한 NA 패킷을 송신하는 경우의 네트워크 시스템의 동작 시퀀스이다.
부정 검출 장치(1)는, 네트워크(NW)를 감시하고 있다(단계 S100). 그 후, 정규 단말인 단말 장치(2)는, NS 패킷을 올 노드 멀티캐스트 송신한다(단계 S101). 보다 상세하게는, 단말 장치(2)는, 정규 단말인 단말 장치(3)의 MAC 어드레스를 해결하기 위해, 단말 장치(3)의 IPv6 어드레스 「G」(도 5의 「Target IPv6: G」)를 지정한다. 또한, 도 5에 나타내는 바와 같이, NS 패킷의 송신원에는, 단말 장치(2)를 나타내고 있다(도 5의 「Src: 단말 장치(2)」).
다음에, 부정 검출 장치(1)는, 단말 장치(2)가 단계 S101에서 송신한 NS 패킷을 검지한다(단계 S102). 이때, 부정 검출 장치(1)는, 근린 탐색의 대상으로 되어 있는 IPv6 어드레스 「G」를 NS 패킷으로부터 취득한다. 또한, 단말 장치(4)에 있어서도, 단말 장치(2)에 의해 올 노드 멀티캐스트 송신된 NS 패킷은 수신되어 있다.
다음에, 단말 장치(4)는, 단말 장치(3)인 체하며, NS 패킷에 대한 응답으로서 NA 패킷을 송신한다(단계 S103). 보다 상세하게는, 단말 장치(4)는, NA 패킷의 Target Link-layer Address에 자장치의 MAC 어드레스 「H」를 저장하고, NS 패킷의 송신원인 단말 장치(2)에 대하여, 부정한 NA 패킷을 회신한다. 또한, 이 부정한 NA 패킷의 송신원은 단말 장치(4)가 행세하는 단말 장치(3)를 나타내고 있다(도 5의 「Src: 단말 장치(3)」).
네트워크(NW) 상을 흐르는 패킷을 감시하는 부정 검출 장치(1)는, 단말 장치(4)가 송신한 부정한 NA 패킷을 검지한다(단계 S104). 다음에, 부정 검출 장치(1)는, NA 패킷의 Target Link-layer Address 「H」를, 송신처 MAC 어드레스 「H」로 한 General Query의 MLQ 패킷을, 올 노드 멀티캐스트 송신한다(단계 S105).
다음에, MAC 어드레스 「H」의 단말 장치(4)는, MLQ 패킷을 수신하고, MLQ 패킷에 대한 응답 패킷으로서 MLR 패킷을 부정 검출 장치(1)에 회신한다(단계 S106). 구체적으로는, MLQ 패킷을 수신한 단말 장치(4)는, 자장치가 소속되어 있는 멀티캐스트 어드레스를 MLR 패킷으로서 회신한다. 이 MLR 패킷에는, 단말 장치(4)의 IPv6 어드레스 「K」에 기초한 요청 노드 멀티캐스트 어드레스가 포함된다.
그 후, 부정 검출 장치(1)는, 단말 장치(4)로부터의 MLR 패킷을 수신하고, MLR 패킷에 포함되는 요청 노드 멀티캐스트 어드레스가 나타내는 IPv6 어드레스 「K」와, 근린 탐색의 대상으로 되어 있는 IPv6 어드레스 「G」는 일치하지 않기 때문에(단계 S107: NO), MLR 패킷의 송신원인 단말 장치(4)는 부정하다고 판단한다(단계 S108). 또한, 단계 S101에서 송신된 NS 패킷에 대하여, 정규의 단말 장치(3)가 NA 패킷을 송신하는 경우에는, 단계 S107에 있어서, 근린 탐색의 대상으로 되어 있는 IPv6 어드레스와, 요청 노드 멀티캐스트 어드레스가 나타내는 IPv6 어드레스는 일치하게 된다.
그 후, 부정 검출 장치(1)는, 단말 장치(4)가 부정하다고 판단한 결과를 출력한다(단계 S109).
[부정한 NS 패킷이 검지되는 경우]
도 6은 단말 장치(4)가 부정한 NS 패킷을 송신하는 경우의 네트워크 시스템의 동작 시퀀스를 나타내고 있다.
먼저, 부정 검출 장치(1)는, 네트워크(NW) 상을 흐르는 패킷을 감시한다(단계 S200). 그 후, 단말 장치(4)는, 자장치의 MAC 어드레스 「H」를 「Source Link-layer Address」에 저장하고, 정규의 단말 장치(2)인 체하여 NS 패킷을 송신한다(단계 S201). 이 부정한 NS 패킷은, 단말 장치(4)가 단말 장치(2)인 체하여(도 6의 「Src: 단말 장치(2)」), 단말 장치(3)의 IPv6 어드레스 「G」의 MAC 어드레스를 조회하는 것이다(도 6의 「Target IPv6: G」). 도 6에 나타내는 바와 같이, 정규의 단말 장치(2)는, 실제로는 NS 패킷을 송신하고 있지 않다.
다음에, 부정 검출 장치(1)는, 단말 장치(4)가 송신한 부정한 NS 패킷을 검지한다(단계 S202). 다음에, 부정 검출 장치(1)는, 검지한 NS 패킷의 Source Link-layer Address가 나타내는 MAC 어드레스 「H」를 송신처 MAC 어드레스로 한 General Query의 MLQ 패킷을 올 노드 멀티캐스트 송신한다(단계 S203).
MLQ 패킷을 수신한 단말 장치(4)는, 자장치의 IPv6 어드레스 「K」에 기초한 요청 노드 멀티캐스트 어드레스를 포함하는 MLR 패킷을 회신한다(단계 S204). 다음에, 부정 검출 장치(1)는, MLR 패킷을 수신하고, MLR 패킷에 포함되는 요청 노드 멀티캐스트 어드레스가 나타내는 IPv6 어드레스 「K」와, 근린 탐색의 대상으로 되어 있는 IPv6 어드레스 「G」는 일치하지 않기 때문에(단계 S205: NO), MLR 패킷의 송신원의 단말 장치(4)는 부정하다고 판단한다(단계 S206).
그 후, 표시 장치(108)는, 판단 결과를 표시 화면에 표시한다(단계 S207).
이상 설명한 바와 같이, 본 실시형태에 따르면, 네트워크(NW) 상을 흐르는 NS 패킷 및 NA 패킷을 검지하고, 이들 패킷에 포함되는 Source/Target Link-layer Address에 저장된 MAC 어드레스를 송신처 MAC 어드레스로서 General Query의 MLQ 패킷을 올 노드 멀티캐스트 송신한다. 또한, MLQ 패킷에 대하는 응답인 MLR 패킷에 포함되는 요청 노드 멀티캐스트 어드레스가 나타내는 IPv6 어드레스와 근린 탐색의 대상으로 되어 있는 IPv6 어드레스를 비교하여 부정 단말을 검출한다. 그 때문에, 미리 IP 어드레스와 MAC 어드레스의 페어의 등록이나 학습을 필요로 하지 않고, 보다 간이한 구성에 의해 근린 탐색 스푸핑을 검지할 수 있다.
또한, 본 실시형태에 따르면, 송신처 MAC 어드레스를 지정한 MLQ 패킷에 대한 응답인 MLR 패킷이 수신되지 않은 경우에는, MLQ 패킷의 송신처의 단말 장치는 부정하다고 판단한다. 그 때문에, 부정 단말이 스텔스 단말의 경우라도, 근린 탐색 스푸핑을 검지할 수 있다.
또한, 설명한 실시형태에 따른 부정 검출 장치(1)에서는, 판단부(13)에 의한 IPv6 어드레스의 비교에 따른 판단 결과를 출력하고, 예컨대, 표시 장치(108)의 표시 화면에 판단 결과를 표시하는 경우를 예시하였다. 이에 더하여, 부정 검출 장치(1)는, 정규의 단말 장치(2, 3)가 송신한 하나의 NS 패킷에 대하여, 2개 이상의 NA 패킷을 검지한 경우에 있어서도, 그 취지를 표시 장치(108)에 표시시킬 수 있다. 예컨대, 판단부(13)가, 근린 탐색의 대상으로 되어 있는 IPv6 어드레스와 MLR 패킷에 포함되는 요청 노드 멀티캐스트 어드레스가 나타내는 IPv6 어드레스가 동일하다고 판단한 경우라도, 2개 이상의 NA 패킷이 검지된 경우에는, 사용자에 대하여 부정의 가능성을 통지할 수 있다.
이상, 본 발명의 부정 검출 장치 및 부정 검출 방법에 있어서의 실시형태에 대해서 설명하였지만, 본 발명은 설명한 실시형태에 한정되는 것이 아니며, 청구항에 기재한 발명의 범위에 있어서 당업자가 상정할 수 있는 각종 변형을 행하는 것이 가능하다.
1…부정 검출 장치, 2, 3, 4…단말 장치, 10…검지부, 11…송신부, 12…수신부, 13…판단부, 14…기억부, 101…버스, 102…프로세서, 103…주기억 장치, 104…통신 인터페이스, 105…보조 기억 장치, 106…입출력 I/O, 107…입력 장치, 108…표시 장치, NW…네트워크.

Claims (7)

  1. 네트워크 상을 흐르는 패킷을 감시하여, 근린 탐색(Neighbor Discovery) 프로토콜에 기초한 미리 정해진 패킷을 검지하도록 구성된 검지부와,
    검지된 상기 미리 정해진 패킷의 송신원의 MAC 어드레스를 송신처의 MAC 어드레스로서 설정하고, 멀티캐스트 그룹에의 참가 상황을 조회하는 조회 패킷을 상기 네트워크를 통해 올 노드 멀티캐스트 송신하도록 구성된 송신부와,
    상기 조회 패킷에 대한 응답 패킷을 상기 송신처의 MAC 어드레스를 갖는 단말 장치로부터 수신하도록 구성된 수신부와,
    상기 응답 패킷에 포함된, 상기 응답 패킷의 송신원인 상기 단말 장치가 참가하는 멀티캐스트 그룹을 식별하는 멀티캐스트 어드레스가 나타내는 제1 IP 어드레스와, 상기 미리 정해진 패킷에 의해 근린 탐색의 대상으로 되어 있는 제2 IP 어드레스가 다른 경우에, 상기 응답 패킷의 송신원의 상기 단말 장치는 부정하다고 판단하도록 구성된 판단부를 구비하는 부정 검출 장치.
  2. 제1항에 있어서,
    상기 판단부는, 상기 수신부가 상기 응답 패킷을 수신하지 않은 경우에, 상기 조회 패킷의 상기 송신처의 MAC 어드레스를 갖는 상기 단말 장치는 부정하다고 판단하는 것을 특징으로 하는 부정 검출 장치.
  3. 제1항 또는 제2항에 있어서,
    상기 판단부는, 상기 검지부가 검지한 상기 미리 정해진 패킷으로부터, 상기 제2 IP 어드레스를 취득하는 것을 특징으로 하는 부정 검출 장치.
  4. 제1항 또는 제2항에 있어서,
    상기 미리 정해진 패킷은, 근린 요청 패킷 및 근린 광고 패킷 중 적어도 어느 하나인 것을 특징으로 하는 부정 검출 장치.
  5. 제1항 또는 제2항에 있어서,
    상기 멀티캐스트 어드레스는, 요청 노드 멀티캐스트 어드레스인 것을 특징으로 하는 부정 검출 장치.
  6. 제1항 또는 제2항에 있어서,
    상기 판단부에 의한 판단 결과를 표시 화면에 표시하도록 구성된 표시 장치를 더 구비하는 것을 특징으로 하는 부정 검출 장치.
  7. 네트워크 상을 흐르는 패킷을 감시하여, 근린 탐색 프로토콜에 기초한 미리 정해진 패킷을 검지하는 제1 단계와,
    상기 제1 단계에서 검지된 상기 미리 정해진 패킷의 송신원의 MAC 어드레스를 송신처의 MAC 어드레스로서 설정하고, 멀티캐스트 그룹에의 참가 상황을 조회하는 조회 패킷을 상기 네트워크를 통해 올 노드 멀티캐스트 송신하는 제2 단계와,
    상기 조회 패킷에 대한 응답 패킷을 상기 송신처의 MAC 어드레스를 갖는 단말 장치로부터 수신하는 제3 단계와,
    상기 응답 패킷에 포함되는, 상기 응답 패킷의 송신원인 상기 단말 장치가 참가하는 멀티캐스트 그룹을 식별하는 멀티캐스트 어드레스가 나타내는 제1 IP 어드레스와, 상기 미리 정해진 패킷에 의해 근린 탐색의 대상으로 되어 있는 제2 IP 어드레스가 다른 경우에, 상기 응답 패킷의 송신원의 상기 단말 장치는 부정하다고 판단하는 제4 단계를 포함하는 부정 검출 방법.
KR1020200124916A 2019-10-01 2020-09-25 부정 검출 장치 및 부정 검출 방법 KR102425707B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2019181217A JP7417395B2 (ja) 2019-10-01 2019-10-01 不正検出装置および不正検出方法
JPJP-P-2019-181217 2019-10-01

Publications (2)

Publication Number Publication Date
KR20210039299A KR20210039299A (ko) 2021-04-09
KR102425707B1 true KR102425707B1 (ko) 2022-07-28

Family

ID=75180254

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200124916A KR102425707B1 (ko) 2019-10-01 2020-09-25 부정 검출 장치 및 부정 검출 방법

Country Status (3)

Country Link
JP (1) JP7417395B2 (ko)
KR (1) KR102425707B1 (ko)
CN (1) CN112601229B (ko)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006287299A (ja) 2005-03-31 2006-10-19 Nec Corp ネットワーク管理方法および装置並びに管理プログラム

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100499669C (zh) * 2005-09-09 2009-06-10 上海贝尔阿尔卡特股份有限公司 IPv6接入网络中网络地址重构方法
KR100856918B1 (ko) * 2006-11-02 2008-09-05 한국전자통신연구원 IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및IPv6 기반 네트워크 시스템
CN101764734B (zh) * 2008-12-25 2012-12-19 中兴通讯股份有限公司 IPv6环境下提高邻居发现安全性的方法及宽带接入设备
CN101997768B (zh) * 2009-08-21 2012-10-17 华为技术有限公司 一种上送地址解析协议报文的方法和装置
CN102025734B (zh) * 2010-12-07 2015-06-03 中兴通讯股份有限公司 一种防止mac地址欺骗的方法、系统及交换机
CN102970306B (zh) * 2012-12-18 2015-07-15 中国科学院计算机网络信息中心 一种IPv6网络环境下的入侵检测系统

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006287299A (ja) 2005-03-31 2006-10-19 Nec Corp ネットワーク管理方法および装置並びに管理プログラム

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Ferdous A Barbhuiya 외 2인, "Detection of Neighbor Solicitation and Advertisement Spoofing in IPv6 Neighbor Discovery Protocol", SIN (2011.11.14.)*
Gunjan Bansal 외 3인, "Detection of NDP Based Attacks using MLD" SIN International Conference (2012.10.27.)*

Also Published As

Publication number Publication date
CN112601229B (zh) 2023-12-05
JP7417395B2 (ja) 2024-01-18
KR20210039299A (ko) 2021-04-09
CN112601229A (zh) 2021-04-02
JP2021057838A (ja) 2021-04-08

Similar Documents

Publication Publication Date Title
US7912048B2 (en) Apparatus and method for detecting network address translation device
Carpenter et al. Significance of IPv6 interface identifiers
JP6138714B2 (ja) 通信装置および通信装置における通信制御方法
CN101674306B (zh) 地址解析协议报文处理方法及交换机
JP2006287299A (ja) ネットワーク管理方法および装置並びに管理プログラム
Song et al. Novel duplicate address detection with hash function
WO2013186969A1 (ja) 通信情報検出装置及び通信情報検出方法
US7530100B2 (en) Apparatus for limiting use of particular network address
JP2007104396A (ja) 不正接続防止システムおよび方法、プログラム
KR102425707B1 (ko) 부정 검출 장치 및 부정 검출 방법
US20110216770A1 (en) Method and apparatus for routing network packets and related packet processing circuit
JP7376289B2 (ja) アドレス監視装置およびアドレス監視方法
JP7120030B2 (ja) 検知装置、検知方法、および、検知プログラム
JP7444600B2 (ja) 検出装置および検出方法
US9912557B2 (en) Node information detection apparatus, node information detection method, and program
KR102394674B1 (ko) 어드레스 관리 장치 및 어드레스 관리 방법
US10298481B1 (en) Method and apparatus for testing VLAN
JP2014150504A (ja) ネットワーク監視装置、ネットワーク監視方法、および、コンピュータ・プログラム
JP7232121B2 (ja) 監視装置および監視方法
CN102594816B (zh) 一种预防恶意邻居学习攻击的方法及装置
KR101125612B1 (ko) 불법 dhcp 서버 감지 및 차단 방법
KR20120071864A (ko) 주소 번역 프로토콜 스푸핑 방지 시스템
JP2021044655A (ja) 特定装置および特定方法

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right