KR20040003977A - 아이피 충돌 검출/차단 시스템 및 그 방법 - Google Patents

아이피 충돌 검출/차단 시스템 및 그 방법 Download PDF

Info

Publication number
KR20040003977A
KR20040003977A KR1020020039010A KR20020039010A KR20040003977A KR 20040003977 A KR20040003977 A KR 20040003977A KR 1020020039010 A KR1020020039010 A KR 1020020039010A KR 20020039010 A KR20020039010 A KR 20020039010A KR 20040003977 A KR20040003977 A KR 20040003977A
Authority
KR
South Korea
Prior art keywords
packet
arp
module
collision
network
Prior art date
Application number
KR1020020039010A
Other languages
English (en)
Other versions
KR100478910B1 (ko
Inventor
서재순
Original Assignee
스콥정보통신 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 스콥정보통신 주식회사 filed Critical 스콥정보통신 주식회사
Priority to KR10-2002-0039010A priority Critical patent/KR100478910B1/ko
Publication of KR20040003977A publication Critical patent/KR20040003977A/ko
Application granted granted Critical
Publication of KR100478910B1 publication Critical patent/KR100478910B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 네트워크를 통해 IP 통신이 이루어지기 시작할 때 발생하는 각각의 ARP 패킷을 인터럽트하여 분석한 후, 각 IP 충돌 주소를 리스팅하고 로그로 남겨 관리자에게 통보함으로써 IP 관리를 용이하게 할 수 있도록 하는 ARP(AddressResolutionProtocol)를 이용한 IP 충돌 검출과 접근 차단 시스템 및 방법에 관한 것이다.
본 발명은 네트워크 트래픽 패킷을 감시하고, 네트워크 상에서 ARP 패킷이 수집될 때 마다 각각의 패킷의 충돌을 감시하고 그 상태를 관리자에게 알리며, 접근이 허용된 것인지 아닌지를 판단하여 호스트의 네트워크 접근을 ARP를 이용한 MAC 중심으로 차단을 수행한다.

Description

아이피 충돌 검출/차단 시스템 및 그 방법{IP collision detection/ Interseption method thereof}
본 발명은 네트워크를 통해 IP 통신이 이루어지기 시작할 때 발생하는 각각의 ARP 패킷을 인터럽트하여 분석한 후, 각 IP 충돌 주소를 리스팅하고 로그로 남겨 관리자에게 통보함으로써 IP 관리를 용이하게 할 수 있도록 하는 것으로, 상세하게는 네트워크 트래픽 패킷을 감시하고, 네트워크 상에서 ARP 패킷이 수집될 때 마다 각각의 패킷의 충돌을 감시하고 그 상태를 관리자에게 알리며, 접근이 허용된 것인지 아닌지를 판단하여 호스트의 네트워크 접근을 ARP를 이용한 MAC 중심으로 차단을 수행하도록 하는 ARP(AddressResolutionProtocol)를 이용한 IP 충돌 검출과 접근 차단 시스템 및 방법에 관한 것이다.
일반적으로 ARP를 사용하는 경우는 다음과 같다.
1. 송신자는 호스트이고 같은 네트워크 상에 있는 다른 호스트에게로 패킷을 전송하고자 한다. 이러한 경우 물리 주소로 변환되어야 하는 논리 주소는 데이터그램 헤더 내에 있는 목적지 IP주소이다.
2. 송신자는 호스트이고 다른 네트워크 상에 있는 다른 호스트에게로 패킷을 전송하고자 한다. 이 경우 호스트는 라우팅 테이블을 참조하여 목적지를 위한 다음 홉(라우터)의 IP주소를 찾는다. 만약 라우팅 테이블이 없다면 디폴트 라우터의 IP를 찾는다. 라우터의 IP주소가 물리 주소로 변환되어야 할 논리 주소가 된다.
3. 송신자는 다른 네트워크 상에 있는 호스트로 가는 데이터그램을 수신한라우터이다. 이 라우터는 라우팅 테이블을 참조하여 다음 홉 라우터의 IP주소를 찾는다. 다음 라우터의 IP주소가 물리 주소로 변환될 논리 주소이다.
4. 송신자는 같은 네트워크 상에 있는 호스트로 가는 데이터그램을 수신한 라우터이다. 데이터그램의 목적지 IP가 물리 주소로 변환되어야 할 논리 주소가 된다.
ARP의 동작과정을 보면, 송신자는 타켓 IP주소를 알고 있는데, 송신신자가 어떻게 이 주소를 획득하는지는 다음과 같은 절차에 따른다.
1. IP가 ARP 요청 메시지를 생성하도록 요청한다. 이 요청 메시지에서 송신자의 물리 주소와 IP주소 그리고 타켓 IP주소는 채워지지만 타켓의 물리 주소(MAC 주소) 필드는 0으로 채워진다.
2. 이 메시지는 데이터 링크 계층에 전달되고 여기서 송신자의 물리 주소를 발신지 주소로 그리고 물리 브로드캐스트 주소를 목적지 주소로 하는 프레임에 의해 캡슐화된다.
3. 모든 호스트나 라우터는 이 프레임을 수신하게 되고, 프레임은 브로드캐스트 목적지 주소를 가지고 있으므로 모든 국은 이 메시지를 자신의 ARP에게 전달한다.
4. 타켓 시스템은 자신의 물리 주소를 포함하는 ARP 메시지를 응답으로 보내게 되고, 이 메시지는 유니캐스트 된다.
5. 송신자는 응답 메시지를 받고 타켓의 물리 주소를 알게 된다.
6. 타켓에게 보내질 데이터를 포함하고 있는 IP 데이터그램은 프레임으로 캡슐화되어 목적지에 유니캐스트 된다.
네트워크 상에 관리자가 알 수 없는 새로운 호스트(예 새로운 PC/노트북/외부사용자/네트워크 장비의 추가)들이 언제든지 접속되어 사용되고 있는 것이 현실이다. 따라서 관리자 입장에서 이러한 네트워크 장비의 추가 사실과 허가없이 사용되고 있는 IP주소를 파악하고 또는 접근을 통제할 수 있어야 한다. 이렇게 할 수 있다면 관리자는 아마도 네트워크 자원 관리를 손쉽게 수행할 수 있을 것이다.
따라서, IP 네트워크 관리자측에서 네트워크의 사용자(호스트) 별로 IP주소 자원의 효율적인 관리가 필요하지만, 그러나 종래에는 현재 사용되고 있는 IP주소가 어느 호스트에 할당되어 사용되고 있는가를 파악하고, 이때 관리자가 할당한 IP와 호스트가 실제 사용하고 있는 것과 동일한지를 관리할 수 있어야 하는데, 실제 환경에서는 사용자 임의로 IP주소를 변경할 수 있기 때문에 관리에 실효성이 없는 것이 현재의 실정이다.
이들 IP를 관리하고 통제하는 방안으로 여러 방법들이 제시된 바 있지만 아직까지 구체적인 방안이 제시되어 실용화되지 못하고 있다.
종래의 IP 충돌을 찾아내는 방법은 사용자가 IP를 사용하는 중에 누군가에 의해서 충돌이 발생하면 당사자들은 그 즉시 호스트 시스템에서 발생시키는 충돌 메시지를 보고 알 수 있다. 그러나 그 사실을 네트워크 관리자가 확인할 수 있는 방법이 없으며 또한 이런 상황에서 사용자는 어떤 IP를 사용해야 충돌 없이 사용할 수 있는 것인지 알 수 있는 방법이 없다. 충돌을 일으킨 당사자가 관리자에게 이야기를 하기 전에는 관리자가 알 수 있는 방법이 없다.
네트워크에 접근하여 네트워크의 정보를 도청하고자 하는 불순 사용자가 언제 어떻게 네트워크에 접속할 것인지 예상할 수 없습니다. 이러한 상황을 파악하기 위해서 특별한 방법이 없다.
따라서 이러한 어려움을 관리자로 하여금 관리의 부재를 야기시키며 IP 관리에 도움이 절대적으로 되지 않고 있다. IP 관리를 사용자별로 수행하기 위한 자료 수집 또한 절대적으로 필요하지만, 이것 역시 이루어지지 못하고 있다.
본 발명의 목적은 이러한 문제들을 해결하기 위하여 ARP 패킷을 분석함으로써 IP 사용자를 실시간으로 감시하고 충돌을 감시하며 접근통제를 수행하여 네트워크 관리자로 하여금 IP 관리를 용이하게 할 수 있도록 하는 시스템 및 방법에 관한 것으로, 상세하게는 네트워크를 통해 ARP 패킷이 전송될 경우 각각의 ARP 패킷을 인터럽트하여 분석한 후 각 IP주소를 리스팅하고 IP 충돌을 감시하고 관리자에게 통보함으로써 IP 관리를 용이하게 할 수 있도록 하며 또한 불법 호스트의 네트워크 접속을 감시하고 이를 차단하기 위한 IP 충돌 검출 및 차단 시스템과 그 방법을 제공하는데 있다.
상기 목적을 달성하기 위한 본 발명의 IP 충돌 검출 및 차단 시스템은 충돌 IP 검출 시스템이 다른 호스트와 정보를 공유할 수 있도록 통신 인터페이스를 제공하며 통신을 제어하는 커널을 제공하는 통신 인터페이스 모듈 및 통신 커널 모듈;
네트워크 인터페이스인 물리적 장비와 상위의 통신 모듈과 연동하여 네트워크상으로 패킷을 전송하며, 네트워크 상에서 수신되는 패킷을 상위의 통신 모듈로 전달하는 네트워크 인터페이스 드라이버 모듈;
네트워크 상의 연결 장치에 연결되는 네트워크 인터페이스 모듈;
네트워크 상에서 전달되는 모든 패킷을 수집하는 패킷 캡쳐 드라이버 모듈;
상기 패킷 캡쳐 드라이버 모듈에서 수집된 패킷 중에서 ARP 패킷만을 여과하는 ARP 패킷 여과모듈;
수집된 패킷이 충돌 IP 패킷인지 아닌지를 판단하고, 만약에 충돌 IP로 판단될 경우 그 결과를 리스팅하는 모듈로 전달하는 충돌 IP 판단모듈;
접근차단 정책 리스트에 ARP 요청 패킷이 포함되어 있을 경우 접근 사실을 알리는 접근차단 판단모듈;
상기 접근차단 판단모듈의 판단에 따라 접근 차단으로 판단된 패킷에 대해서 ARP 응답 패킷을 전송하여 네트워크 접근을 차단하는 접근 차단모듈;
충돌 IP 검출 시스템을 운영하기 위한 설정 정보, 검출된 충돌 IP 리스트, 새로 발견된 호스트의 IP주소 및 MAC 주소 리스트 정보를 저장하는 정보 저장모듈;
기 검출된 충돌 IP 정보를 내부적으로 리스팅하고 그 내용을 주기적으로 저장 매체에 저장하는 검색리스트 로깅 및 저장모듈; 및
검출된 충돌 IP 정보를 다른 시스템으로 전달하고, 그 사실을 관리자에게 알리기 위한 검출결과 알림모듈;을 포함하며,
네트워크 상에서 ARP 패킷이 수집될 경우 각각의 ARP 패킷을 확인하여 요청패킷과 응답패킷으로 구분한 후 새로운 요청패킷일 경우 리스트에 추가하고, 응답패킷이면서 입력 요청 ARP 패킷 리스트에 존재할 경우 충돌 사실을 확인함과 동시에 ARP 패킷의 접근을 차단하는 것을 특징으로 한다.
상기한 구성에 의하면, 본 발명은 단일 시스템으로 구성되어 있어서 IP 네트워크 단의 길목에서 상기의 기능을 수행할 수 있다. 그 결과 관리자의 운영 편의성을 제공할 수 있고, 값싼 가격으로 제공할 수 있을 뿐만 아니라 설치에 대한 부담을 최소로 줄일 수 있다.
도 1은 본 발명의 IP 충돌 검출 및 접근 차단 시스템 구성도,
도 2는 본 발명의 IP 충돌 검출 및 차단 블록도,
도 3은 본 발명의 IP 충돌 검출방법을 보인 흐름도,
도 4는 본 발명의 접근 차단방법을 보인 흐름도.
*도면의 주요부분에 대한 부호의 설명*
41;프로세서 모듈42;정보저장 모듈
43;검출결과 알림모듈44;접근차단 판단모듈
45;접근차단 모듈46;검색 리스트 로깅 및 저장모듈
47;IP 충돌 판단모듈48;ARP 패킷 여과 모듈
49;패킷 캡쳐 드라이버 모듈 50;통신 인터페이스 및 통신 커널모듈
51;네트워크 인터페이스 드라이버 모듈
52;네트워크 인터페이스 모듈
이하, 본 발명의 바람직한 실시 예를 첨부된 도면을 참조하여 설명한다. 도 1은 본 발명에 따른 충돌 IP 검출 및 차단 시스템을 보인 블록 구성도이다.
도면을 참조하면, 본 발명은 프로세서 모듈(41), 정보 저장모듈(42), 검출결과 알림모듈(43), 접근차단 판단모듈(44), 접근차단 모듈(45), 검색 리스트 로깅 및 저장모듈(46), IP충돌 판단모듈(47), ARP패킷 여과모듈(48), 패킷 캡쳐 드라이버 모듈(49), 통신 인터페이스 모듈 및 통신 커널모듈(50), 네트워크 인터페이스 드라이버 모듈(51) 및 네트워크 인터페이스 모듈(52)을 포함한다.
상기 프로세서 모듈(41)은 IP 충돌 검출 시스템의 내부 프로세서 모듈로서 시스템을 운영하기 위한 사용자 인터페이스를 제공하는 모듈을 의미한다.
상기 정보 저장모듈(42)은 IP 충돌 검출 시스템을 운영하기 위한 설정 정보 그리고 검출된 IP 충돌의 IP주소 및 MAC 주소를 저장하는 곳으로 기본적으로 메모리로 운영되며 프로그램이 종료할 때는 비 휘발성 저장 공간에 저장하여 다음에 재사용할 수 있도록 한다.
검출결과 알림모듈(43)은 검출된 IP 충돌 정보를 다른 시스템으로 전달하거나, 소리, 또는 깜빡임, 간단한 메시지 전송과 같은 방법으로 관리자에게 알리는 일을 수행하는 모듈을 의미한다.
접근차단 판단모듈(44)은 검색된 호스트들과 새로이 등장할 호스트들에 대해서 네트워크에 접근할 수 있는지 없는지를 결정하여 접근 통제를 수행할 수 있도록 하는 것으로, 이 모듈이 사용하게 될 정보는 정보 저장모듈(42)에서 수집된 정보와 차단을 적용하기 위하여 만들어진 정책 정보를 바탕으로 판단을 하게 된다.
접근차단 모듈(45)은 상기 접근차단 판단모듈(44)에서의 판단에 따라 해당 호스트로 유니케스트 또는 브로드케스트 ARP 응답패킷을 전송하여 충돌을 일으키거나 제2의 MAC를 사용하여 전송하는 것에 의해 ARP 테이블 MAC 주소를 변경시킨다. 그 결과 접속을 시도하는 호스트는 접속이 이루어지지 않게 함으로써 차단을 수행할 수 있게 되는 것이다.
검색 리스트 로깅 및 저장모듈(46)은 기 검출된 IP 충돌 정보를 내부적으로 나열하고 그 내용을 주기적으로 다른 저장 매체에 저장하는 일을 수행한다.
IP 충돌 판단모듈(47)은 수집된 ARP 패킷들이 IP 충돌 패킷인지 아닌지를 판단하게 되며, 판단결과 수집된 ARP 패킷이 IP 충돌 패킷으로 판단되면 그 결과를 검색 리스트 로깅 및 저장모듈(46)로 전달하여 저장되게 한다.
ARP 패킷 여과모듈(48)은 수집된 모든 패킷을 처리하는 것은 아니며 ARP 패킷만을 사용한다. 따라서 이들 패킷이 아닌 것들은 모두 버린다. 그리고 모든 ARP패킷에 대해서는 정보 저장모듈(42)로 전달한다.
패킷 캡쳐 드라이버 모듈(49)은 네트워크 상에서 전달되는 모든 패킷을 수집하여 ARP 패킷 여과모듈(48)로 전달하게 되며, 이 여과모듈(48)에서는 수집된 패킷 중 ARP 패킷만을 여과하여 정보 저장모듈(42)로 전달하게 된다.
통신 인터페이스 모듈 및 통신 커널모듈(50)은 IP 충돌 검출 및 차단 시스템이 다른 호스트와 정보는 주고 받을 수 있도록 하기 위한 통신 인터페이스를 제공하면 통신을 제어하는 커널을 제공하는 일을 수행한다.
네트워크 인터페이스 드라이버 모듈(51)은 네트워크 인터페이스인 물리적 장비와 상위의 통신모듈과 연동하여 네트워크상으로 패킷을 전송하며, 네트워크 상에서 수신되는 패킷을 상위의 통신모듈로 전달하는 역할을 수행한다.
네트워크 인터페이스 모듈(52)은 네트워크 상의 연결 장치에 연결되는 연결자이다.
이와 같이 구성된 본 발명은 IP 충돌 검출 시스템의 내부 프로세서 모듈(41)을 통해 사용자로부터 운영정보가 입력되면, 그 운영정보 즉, 설정정보 및 충돌 IP 리스트를 정보저장 모듈(42)로 판단 설정정보를 전달함과 동시에 검출결과 알림 모듈(43)에 검출결과를 다른 시스템으로 알릴 것인지에 대한 제어정보를 전달한다.
상기 정보저장 모듈(42)은 검색 리스트 로깅 및 저장 모듈(46)로부터 IP 충돌로 판단된 정보를 리스팅하기 위한 정보를 전달받아 저장하고, 동시에 프로세서 모듈(41)에서 전송된 운영정보를 검출결과 알림모듈(43)에서 그 저장된 정보를 요청할 경우 요청된 정보를 전송한다.
상기 IP 충돌 판단모듈(45)은 ARP 패킷 여과 모듈(48)로부터 여과된 ARP 패킷을 입력으로 하여 IP 충돌을 판단하게 된다. 그리고 접근 차단 판단 모듈(44)은 정보저장 모듈(42)이 가지고 있는 IP별 MAC 주소 리스트에 대한 접근 차단정책을 근거로 현재 들어온 ARP 패킷을 차단할 것인지, 아닌지를 판단하여 접근 차단모듈(45)로 그 정보를 전달하는 것에 의해 ARP 패킷을 차단시키게 된다.
또한 패킷 캡쳐 드라이버 모듈(49)은 네트워크 인터페이스 드라이버 모듈(51)에서 네트워크로 수신된 모든 패킷을 ARP 패킷 여과모듈(48)로 전달하게 되며, 상기 네트워크 인터페이스 드라이버 모듈(51)은 통신 인터페이스 모듈 및 통신 커널 모듈(50)을 통해 내려오는 상위 패킷과 네트워크 인터페이스 모듈(51)에서 올라오는 하위 패킷을 송수신하게 된다.
도 2는 IP 충돌을 검출하고 접근 차단을 수행하기 위하여 ARP 패킷의 흐름을 보인 개념도로서, 일반적인 IP 네트워크 환경에서 ARP 패킷을 어떻게 수집하고 IP 충돌을 어떻게 검출하고 또는 접근을 차단하는 방법을 설명하고 있다.
도면을 참조하면, 본 발명의 충돌 IP 검출 및 차단방법은 스텝 S61에서와 같이 패킷 캡쳐 드라이버 모듈(49)에서 IP 네트워크 환경에서 모든 패킷을 캡쳐하여 분석할 수 있도록 네트워크 상에서 전달되는 모든 패킷을 수집하여 ARP 패킷 여과모듈(48)로 전달하게 되며, 이 여과모듈(48)에서는 수집된 패킷 중 ARP 패킷만을 여과하여 정보 저장모듈(42)로 전달하게 된다.
스텝 S62는 S61 스텝에서 수집된 모든 패킷 중에서 ARP 패킷 여과모듈(48)을 통해 ARP 패킷만을 여과하는 일을 수행하는 것에 의해 ARP 패킷을 이용한 IP 네트워크 상에 존재하는 호스트를 검색하는 것에 의해 IP 충돌을 검출하고 차단을 수행하기 위한 기본적인 정보를 구한다. 이렇게 여과된 패킷은 다음 스텝으로 넘겨지게 된다.
즉, 스텝 S62에서는 사용자의 패킷 중에서 내부 세그먼트에서 호스트의 통신을 시작할 때 목적지 호스트의 물리적 주소(MAC)을 알아내기 위해서 ARP 프로토콜에 따라서 목적 물리적 주소를 검색하는 패킷을 발생시키고, 이때 ARP 패킷만을 여과함으로써 내부 사용자 호스트의 IP 충돌 판단 정보로 사용하게 된다.
스텝 S63은 스텝 S62에서 수집된 즉, ARP 패킷 여과모듈(48)에 의해 ARP 패킷 중에서 요청 패킷을 추출하여 그 패킷에서 요청하는 호스트의 IP주소와 MAC 주소를 알아내어 리스팅하고 이를 저장하는 역할을 수행한다. 이 리스트는 IP 충돌을 검출하고 접근 통제를 위한 기초 데이터베이스 역할을 수행한다.
스텝 S64는 ARP 패킷 여과모듈(48)을 통해 여과된 ARP 패킷 리스트를 중심으로 IP 충돌 판단모듈(47)에서 충돌 IP를 검출하는 과정을 수행한다. 본 발명의 실시예에서는 리스트에 추가된 다음 ARP 응답 메시지가 주어진 시간(타임아웃 1초 내지 2초) 내에 3회 이상 발생하게 되면 동일한 IP를 갖는 호스트가 동일한 네트워크 상에 존재하는 것으로 판단한다.
스텝 S65는 스텝 S63에서 만들어진 리스트를 중심으로 접근 차단모듈(45)을 통해 접근 차단을 수행하는 것으로, 수집된 네트워크 상의 각 호스트에 대하여 접근 통제에 대한 정책을 수립하여 각 호스트에 대한 통제를 수행할 수 있다. 만약에 접근 통제에 대한 정책은 그룹의 범위로 만들어 질 수도 있고, 각 개별 단위로 만들어 질 수도 있다.
즉, 접근차단 모듈(45)에서는 상기 접근차단 판단모듈(44)에서의 판단에 따라 해당 호스트로 유니케스트 또는 브로드케스트 ARP 응답패킷을 전송하여 충돌을 일으키거나 제2의 MAC를 사용하여 전송하는 것에 의해 ARP 테이블 MAC 주소를 변경시킨다. 그 결과 접속을 시도하는 호스트는 접속이 이루어지지 않게 함으로써 차단을 수행할 수 있게 되는 것이다.
도 3은 본 발명에 따른 IP 충돌을 검출하기 위한 방법을 설명하기 위한 흐름도이다.
도면을 참조하면, 본 발명은 IP 충돌 검출 시스템(40)을 통과하는 모든 패킷을 패킷 캡쳐 드라이브 모듈(49)을 통해 수집(S71)하게 되며, 여기서 수집된 패킷들 중에서 ARP 패킷만을 ARP 패킷 여과모듈(48)에서 여과(S72)하는 작업을 수행하고, 접근차단 판단모듈(44)에서 ARP 패킷인지를 판단한다(S73).
스텝 S73에서는 수집된 ARP 패킷인지를 확인하게 되는데 이때 ARP 패킷이 아닌 것은 패킷은 모두 버리고 다음 패킷을 읽는다. 만약에 ARP 패킷이 확인되면 여과된 ARP 패킷이 ARP 요청 패킷인지 ARP 응답 패킷인지를 확인한다(S74). 만약에 요청 ARP 패킷이면 IP별로 새로 발견되는 ARP 요청 패킷에서 MAC 주소를 찾아서 시간과 함께 호스트 리스트에 추가 저장한다. 그리고 이미 있는 IP인 경우에는 MAC과 시간을 갱신하여 저장한다. 그리고 다음 패킷을 읽는다.(S75)
반대로 여과된 패킷이 ARP 패킷이 응답패킷일 경우에는 스텝 S76의 단계를 수행한다. 스텝 S76은 ARP 응답 메시지를 처리하는 단계로서 어떤 하나의 호스트가ARP 요청을 위해 브로드캐스트 패킷을 발생하면 이 해당하는 호스트는 응답 ARP 패킷을 발생시킨다. 이것의 의미는 이미 네트워크 상에 IP를 사용하고 있는 호스트가 있다라는 것을 확인시키기 위한 것임을 말한다.
본 발명의 검출 시스템에서는 이러한 사실을 바탕으로 응답 ARP 패킷이 3회 이상 주어진 시간 내에 발생하는지를 검사하도록 설계되어 있다. 그러므로 이 단계에서는 ARP 응답 패킷이 발생하면 각 IP 마다 응답 ARP 패킷 발생 카운터를 가지고 있고 이 패킷이 발생할 때 마다 1씩 증가시킨다.
스텝 S77은 충돌 판단모듈(47)에서 IP 충돌을 판단하는 단계로서 각 IP별로 주어진 시간(예를 들면, 타임아웃 1초 내지 2초) 내에 응답 ARP 패킷이 3회 이상 발생했는지를 확인한다. 즉, 응답 ARP 카운터를 확인하여 3회 이상이면 이 IP가 충돌한 것으로 판단하고 충돌로 판단된 IP와 그것의 부가적인 정보를 충돌 리스트에 추가 저장(S78)하게 되며, 그렇지 않을 경우 IP별 응답 ARP 카운터를 0으로 설정한 후 다음 패킷을 읽는다.(S79)
도 4는 본 발명에 따른 접근 차단방법을 설명하기 위한 흐름도이다.
도면을 참조하면, 본 발명은 IP 충돌 검출 시스템(40)을 통과하는 모든 패킷을 수집(S81)하게 되며, 여기서 수집된 패킷들 중에서 ARP 패킷만을 여과(S82)하는 작업을 수행한 후 ARP 패킷인지를 판단한다(S83).
즉, 스텝 S83에서는 수집된 ARP 패킷인지를 확인하게 되는데, 이때 ARP 패킷이 아닌 것은 모두 버리고 다음 패킷을 읽는다. 만약에 ARP 패킷으로 확인되면 그 ARP 패킷이 요청 ARP 패킷인지 응답 ARP 패킷인지를 확인한다(S84).
스텝 84에서 판단 결과 수집된 ARP 패킷이 요청 ARP 패킷이면 ARP 요청 패킷으로 IP 또는 MAC주소 차단 정책 리스트를 검색(S85)하여 차단이 적용되는 아닌지를 판단한다.(S86)
스텝 S86에서 판단 결과 ARP 패킷이 정책 차단 리스트에 존재하지 않을 경우에는 다음 패킷을 수집하고, 반대로 ARP 패킷이 정책 차단 리스트에 존재할 경우에는 IP 호스트로 ARP 응답 패킷을 유니캐스팅( Unicasting )한 후 응답 ARP 패킷을 브로드캐스팅( Broadcasting)하는 것에 의해 패킷을 차단시킨다.(S87-S88)
이상에서 설명한 바와 같이 본 발명은 IP 네트워크 환경에서 망 관리자에게 중앙 집중적 IP주소 관리를 가능하게 할 뿐만 아니라 강력한 네트워크 접속 제어를 할 수 있다. 신속한 IP충돌 장애 발견과 해결을 할 수 있고 이 결과 관리자는 사용자에게 보다 좋은 서비스 품질을 제공할 수 있다.

Claims (3)

  1. 충돌 IP 검출 시스템이 다른 호스트와 정보를 공유할 수 있도록 통신 인터페이스를 제공하며 통신을 제어하는 커널을 제공하는 통신 인터페이스 모듈 및 통신 커널 모듈;
    네트워크 인터페이스인 물리적 장비와 상위의 통신 모듈과 연동하여 네트워크상으로 패킷을 전송하며, 네트워크 상에서 수신되는 패킷을 상위의 통신 모듈로 전달하는 네트워크 인터페이스 드라이버 모듈;
    네트워크 상의 연결 장치에 연결되는 네트워크 인터페이스 모듈;
    네트워크 상에서 전달되는 모든 패킷을 수집하는 패킷 캡쳐 드라이버 모듈;
    상기 패킷 캡쳐 드라이버 모듈에서 수집된 패킷 중에서 ARP 패킷만을 여과하는 ARP 패킷 여과모듈;
    수집된 패킷이 충돌 IP 패킷인지 아닌지를 판단하고, 만약에 충돌 IP로 판단될 경우 그 결과를 리스팅하는 모듈로 전달하는 충돌 IP 판단모듈;
    접근차단 정책 리스트에 ARP 요청 패킷이 포함되어 있을 경우 접근 사실을 알리는 접근차단 판단모듈;
    상기 접근차단 판단모듈의 판단에 따라 접근 차단으로 판단된 패킷에 대해서 ARP 응답 패킷을 전송하여 네트워크 접근을 차단하는 접근 차단모듈;
    충돌 IP 검출 시스템을 운영하기 위한 설정 정보, 검출된 충돌 IP 리스트, 새로 발견된 호스트의 IP주소 및 MAC 주소 리스트 정보를 저장하는 정보 저장모듈;
    기 검출된 충돌 IP 정보를 내부적으로 리스팅하고 그 내용을 주기적으로 저장 매체에 저장하는 검색리스트 로깅 및 저장모듈; 및
    검출된 충돌 IP 정보를 다른 시스템으로 전달하고, 그 사실을 관리자에게 알리기 위한 검출결과 알림모듈;을 포함하며,
    네트워크 상에서 ARP 패킷이 수집될 경우 각각의 ARP 패킷을 확인하여 요청패킷과 응답패킷으로 구분한 후 새로운 요청패킷일 경우 리스트에 추가하고, 응답패킷이면서 입력 요청 ARP 패킷 리스트에 존재할 경우 충돌 사실을 확인함과 동시에 ARP 패킷의 접근을 차단하는 IP 충돌 검출/차단 시스템.
  2. 클라이언트와 서버사이에 개재되어 IP 충돌 검출시스템을 통해 IP 충돌을 검출하는 방법에 있어서,
    네트워크를 통해 접근하는 모든 패킷들을 수집하는 단계;
    상기 수집된 패킷들 중 ARP 패킷만을 여과하는 단계;
    수집된 상기 ARP 패킷이 ARP 요청 패킷인지 ARP 응답 패킷인지를 판별하는 단계;
    수집된 패킷이 ARP 요청 패킷일 경우 IP주소별로 MAC 주소를 리스트에 추가하는 단계;
    ARP 패킷이 ARP 응답 패킷일 경우 카운트를 1씩 증가시키는 단계;
    상기 ARP 응답 패킷을 IP별로 타임아웃 시간내에 설정된 횟수 이상인가를 판단하고 설정된 횟수 이상일 경우 IP 충돌로 판단하여 리스트에 추가하는 단계; 및
    상기 타임아웃 시간내에 상기 ARP 응답 패킷이 설정된 회수 이하일 경우 IP별 카운터를 리셋하는 단계;를 포함하는 충돌 IP검출방법.
  3. 클라이언트와 서버사이에 개재되어 충돌 IP차단시스템을 통해 충돌 IP를 차단하는 방법에 있어서,
    네트워크상으로 전달하는 모든 패킷들을 수집하는 단계;
    상기 수집된 패킷중 ARP 패킷만을 여과하는 단계;
    수집된 상기 ARP 패킷이 ARP 요청 패킷인지 ARP 응답 패킷인지를 판별하는 단계;
    상기 ARP 패킷이 ARP 요청 패킷일 경우 IP주소와 IP 또는 MAC이 차단 정책 리스트에 포함되어 있는지 확인하는 단계;
    상기 ARP 요청 패킷이 정책 리스트에 포함되어 있을 경우 해당 호스트로 접근차단을 위해 ARP 응답 패킷을 유니캐스팅(unicasting)하는 단계; 및
    상기 ARP 응답 패킷을 유니캐스팅 한 후 접근차단 ARP 응답 패킷을 브로드캐스팅(broadcasting)하는 단계;를 포함하는 것에 의해 네트워크 접근을 차단하는 충돌 IP차단방법.
KR10-2002-0039010A 2002-07-05 2002-07-05 아이피 충돌 검출 및 차단 시스템과 그 방법 KR100478910B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2002-0039010A KR100478910B1 (ko) 2002-07-05 2002-07-05 아이피 충돌 검출 및 차단 시스템과 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0039010A KR100478910B1 (ko) 2002-07-05 2002-07-05 아이피 충돌 검출 및 차단 시스템과 그 방법

Publications (2)

Publication Number Publication Date
KR20040003977A true KR20040003977A (ko) 2004-01-13
KR100478910B1 KR100478910B1 (ko) 2005-03-28

Family

ID=37314934

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0039010A KR100478910B1 (ko) 2002-07-05 2002-07-05 아이피 충돌 검출 및 차단 시스템과 그 방법

Country Status (1)

Country Link
KR (1) KR100478910B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100448202C (zh) * 2004-12-24 2008-12-31 联想(北京)有限公司 一种网络计算机的ip地址冲突检测方法及装置
KR101039092B1 (ko) * 2011-01-21 2011-06-07 (주)넷맨 IPv6 네트워크 내 호스트 보호 및 격리방법
US8543669B2 (en) 2007-04-06 2013-09-24 Samsung Electronics Co., Ltd. Network switch and method of preventing IP address collision
CN114422481A (zh) * 2021-12-13 2022-04-29 科华数据股份有限公司 一种网络设备管理方法及相关装置

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101099083B1 (ko) 2006-03-13 2011-12-26 (주)닥터소프트 네트워크 자원 관리 시스템 및 그 관리 방법
KR102445916B1 (ko) * 2021-09-09 2022-09-21 스콥정보통신 주식회사 네트워크에서의 단말 관리 장치 및 그 방법

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1041776A1 (en) * 1999-03-30 2000-10-04 International Business Machines Corporation Multiple ARP functionality for an IP data transmission system

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100448202C (zh) * 2004-12-24 2008-12-31 联想(北京)有限公司 一种网络计算机的ip地址冲突检测方法及装置
US8543669B2 (en) 2007-04-06 2013-09-24 Samsung Electronics Co., Ltd. Network switch and method of preventing IP address collision
KR101039092B1 (ko) * 2011-01-21 2011-06-07 (주)넷맨 IPv6 네트워크 내 호스트 보호 및 격리방법
CN114422481A (zh) * 2021-12-13 2022-04-29 科华数据股份有限公司 一种网络设备管理方法及相关装置
CN114422481B (zh) * 2021-12-13 2024-03-15 科华数据股份有限公司 一种网络设备管理方法及相关装置

Also Published As

Publication number Publication date
KR100478910B1 (ko) 2005-03-28

Similar Documents

Publication Publication Date Title
KR100992968B1 (ko) 네트워크 스위치 및 그 스위치의 주소충돌방지방법
US5546540A (en) Automatic topology monitor for multi-segment local area network
US8918875B2 (en) System and method for ARP anti-spoofing security
EP1396960B1 (en) SNMP Firewall
US20010055274A1 (en) System and method for flow mirroring in a network switch
US20040103314A1 (en) System and method for network intrusion prevention
CN103314557A (zh) 网络系统、控制器、交换机和业务监控方法
US20050198242A1 (en) System and method for detection/interception of IP collision
JP2018511282A (ja) Wipsセンサー及びこれを用いた端末遮断方法
KR100478910B1 (ko) 아이피 충돌 검출 및 차단 시스템과 그 방법
KR100504389B1 (ko) 아이피 공유기 검출 시스템 및 그 방법
JP4020835B2 (ja) ネットワーク監視装置
KR20110067871A (ko) Ip 망에서 oam 패킷을 이용한 트래픽 감시 및 제어를 위한 네트워크 액세스 장치 및 방법
US20050273606A1 (en) Communication system, communication apparatus, operation control method, and program
EP4167524A1 (en) Local network device connection control
CN115174528A (zh) 一种设备地址管控方法、装置及系统
KR102318686B1 (ko) 개선된 네트워크 보안 방법
JP2016015676A (ja) 監視装置、監視システム、および、監視方法
CN113055217B (zh) 一种设备离线修复方法及装置
US20060185009A1 (en) Communication apparatus and communication method
KR20030093428A (ko) Dhcp 동적 ip 주소 할당 장치 및 그 방법
CN114697136B (zh) 一种基于交换网络的网络攻击检测方法与系统
JP7444600B2 (ja) 検出装置および検出方法
JP2009130572A (ja) ネットワークスイッチのポート別ネットワーク資源情報の獲得方法
KR101466806B1 (ko) 호스트 종료를 탐색하는 네트워크 관리방법 및 이를 적용한 시스템

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
J201 Request for trial against refusal decision
AMND Amendment
B701 Decision to grant
GRNT Written decision to grant
O035 Opposition [patent]: request for opposition
O132 Decision on opposition [patent]
O074 Maintenance of registration after opposition [patent]: final registration of opposition
FPAY Annual fee payment

Payment date: 20130228

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20140207

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20150206

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20151229

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20170106

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20171228

Year of fee payment: 14

FPAY Annual fee payment

Payment date: 20200103

Year of fee payment: 16