KR20040039521A - 네트워크 패킷 감시를 통한 스푸핑 공격 시스템 검출 방법 - Google Patents

네트워크 패킷 감시를 통한 스푸핑 공격 시스템 검출 방법 Download PDF

Info

Publication number
KR20040039521A
KR20040039521A KR1020020067570A KR20020067570A KR20040039521A KR 20040039521 A KR20040039521 A KR 20040039521A KR 1020020067570 A KR1020020067570 A KR 1020020067570A KR 20020067570 A KR20020067570 A KR 20020067570A KR 20040039521 A KR20040039521 A KR 20040039521A
Authority
KR
South Korea
Prior art keywords
packet
address
network
spoofing attack
hardware address
Prior art date
Application number
KR1020020067570A
Other languages
English (en)
Other versions
KR100447677B1 (ko
Inventor
이준우
이길행
김대웅
Original Assignee
한국전자통신연구원
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원, 주식회사 케이티 filed Critical 한국전자통신연구원
Priority to KR10-2002-0067570A priority Critical patent/KR100447677B1/ko
Publication of KR20040039521A publication Critical patent/KR20040039521A/ko
Application granted granted Critical
Publication of KR100447677B1 publication Critical patent/KR100447677B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Abstract

1. 청구범위에 기재된 발명이 속한 기술분야
본 발명은 네트워크 패킷 감시를 통한 스푸핑 공격 시스템 검출 방법에 관한 것임.
2. 발명이 해결하려고 하는 기술적 과제
본 발명은, 방화벽 시스템이나 라우터의 패킷 필터 기능이 적용되지 않는 로컬 네트워크 내부에서 유동되는 스푸핑 패킷을 검출하고, 스푸핑 패킷을 송신하는 시스템의 하드웨어 주소를 파악함으로써, 로컬 네트워크 내에서 시도되는 스푸핑 공격을 검출하기 위한 네트워크 패킷 감시를 통한 스푸핑 공격 시스템 검출 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하고자 함.
3. 발명의 해결방법의 요지
본 발명은, 스푸핑 공격 검출 시스템에 적용되는 네트워크 패킷 감시를 통한 스푸핑 공격 시스템 검출 방법에 있어서, 네트워크 상에서 유동되는 패킷을 조사하여 패킷에 기록되어 있는 네트워크 디바이스의 하드웨어 주소와 송신 IP(Internet Protocol) 주소를 분석하는 제 1 단계; 상기 패킷의 송신 IP 주소 분석을 통해 패킷 주소 변조여부와 상관없이 논리적인 패킷의 발생지점을 확인하는 제 2 단계; 상기 제 2 단계의 확인 결과에 따라, 상기 논리적인 패킷의 발생지점이 외부 네트워크로 판명되었을 시, 패킷의 하드웨어 주소를 분석하여 상기 송신 IP 주소의 변조여부를 판단하는 제 3 단계; 및 상기 제 3 단계의 판단 결과에 따라, 상기 송신 IP 주소가 변조된 패킷이 검출되었을 시, 스푸핑 공격 검출 시스템이 스푸핑 공격 경보를 통보하고 송신 IP 주소가 변조된 패킷을 발생시키는 동일한 서브 네트워크 상의 네트워크 공격 시스템에 대한 하드웨어 주소를 표시하는 제 4 단계를 포함함.
4. 발명의 중요한 용도
본 발명은 스푸핑 공격 검출 시스템 등에 이용됨.

Description

네트워크 패킷 감시를 통한 스푸핑 공격 시스템 검출 방법{Method of spoofing attack system detection through network packet monitoring}
본 발명은 네트워크 패킷 감시를 통한 스푸핑 공격 시스템 검출 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것으로, 특히 로컬 네트워크 상에서 시도되는 스푸핑 공격을 검출하고, 스푸핑 패킷을 송신하는 하드웨어 주소를 검출하기 위한 스푸핑 공격 시스템 검출 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것이다.
이더넷 구조의 로컬 네트워크는 브로드캐스팅 기반의 네트워크이다. 로컬 네트워크에서 동작하는 하나의 시스템이 다른 시스템에 전송한 패킷은 동일한 로컬 네트워크에 존재하는 모든 시스템에 전달된다. 그러나, 패킷의 수신 IP 주소와 동일한 시스템만이 패킷을 수신하고 다른 시스템은 전달된 패킷을 무시하는 방식으로 동작한다. 네트워크 패킷 감시 도구는 이러한 이더넷 구조의 특징을 이용하는 것으로 주로 특정한 패턴을 가지는 패킷을 감시하는 목적으로 사용된다. 패킷이 검출되면 네트워크 패킷 감시 도구는 패킷에 기록된 IP 주소를 이용하여 송신 시스템과 수신 시스템에 대한 정보를 제공한다.
스푸핑 공격 검출 방안은 네트워크 패킷 감시 도구와 같이 이더넷 구조의 로컬 네트워크상에서 유동되는 패킷을 추출하여 패킷의 주소 변조 여부를 판단한다. 종래의 기술은 특정한 패턴을 가지는 패킷을 검출하는 것이며 스푸핑 공격 검출 방안은 패킷의 주소 변조 여부를 판단하는 차이점을 가지고 있다.
패킷에 대한 필터 기능을 가진 방화벽 시스템이나 라우터는 주소가 변조된 패킷을 차단하는 기능을 가지고 있다. 방화벽 시스템이나 라우터는 로컬 네트워크와 외부 네트워크의 경계에 설치되는 시스템으로 로컬 네트워크에서 외부 네트워크로 전달되는 패킷이나 외부 네트워크로부터 로컬 네트워크에 전달되는 패킷은 모두 방화벽 시스템이나 라우터를 통과하게 된다. 로컬 네트워크에서 외부 네트워크로 전달되는 패킷의 송신 IP 주소는 반드시 로컬 네트워크 주소 범위에 속해야 하고, 외부 네트워크에서 로컬 네트워크로 전달되는 패킷의 송신 IP 주소는 절대로 로컬 네트워크 주소 범위에 속할 수 없다. 스푸핑 패킷을 차단하는 필터 기능은 IP 주소의 이러한 특성을 이용하는 것으로 패킷의 유효성을 판단하여 필터 기능을 수행한다.
그러나, 로컬 네트워크 내부 시스템간의 패킷은 방화벽 시스템 또는 라우터를 통과하지 않으므로 패킷의 유효성 판단에 따른 필터 기능이 적용되지 않는 문제점이 있다.
본 발명은, 상기한 바와 같은 문제점을 해결하기 위하여 제안된 것으로, 방화벽 시스템이나 라우터의 패킷 필터 기능이 적용되지 않는 로컬 네트워크 내부에서 유동되는 스푸핑 패킷을 검출하고, 스푸핑 패킷을 송신하는 시스템의 하드웨어 주소를 파악함으로써, 로컬 네트워크 내에서 시도되는 스푸핑 공격을 검출하기 위한 네트워크 패킷 감시를 통한 스푸핑 공격 시스템 검출 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는데 그 목적이 있다.
도 1 은 일반적인 IP 패킷의 흐름과 스푸핑된 IP 패킷의 흐름을 표현하는 구조도.
도 2 는 본 발명에 따른 스푸핑 공격 검출 시스템이 로컬 네트워크의 패킷을 감시하는 구조도.
도 3a 및 도 3b 는 본 발명에 따른 스푸핑 공격 검출 시스템이 패킷을 감시하는 구조와 대상을 검색하는 구조도.
도 4 는 본 발명에 따른 스푸핑 공격 검출 시스템에서 수집된 패킷의 내용을 분석하는 구조도.
도 5 는 본 발명에 따른 네트워크 패킷 감시를 통한 스푸핑 공격 시스템 검출 방법에 대한 일실시예 흐름도.
상기 목적을 달성하기 위한 본 발명은, 스푸핑 공격 검출 시스템에 적용되는 네트워크 패킷 감시를 통한 스푸핑 공격 시스템 검출 방법에 있어서, 네트워크 상에서 유동되는 패킷을 조사하여 패킷에 기록되어 있는 네트워크 디바이스의 하드웨어 주소와 송신 IP(Internet Protocol) 주소를 분석하는 제 1 단계; 상기 패킷의 송신 IP 주소 분석을 통해 패킷 주소 변조여부와 상관없이 논리적인 패킷의 발생지점을 확인하는 제 2 단계; 상기 제 2 단계의 확인 결과에 따라, 상기 논리적인 패킷의 발생지점이 외부 네트워크로 판명되었을 시, 패킷의 하드웨어 주소를 분석하여 상기 송신 IP 주소의 변조 여부를 판단하는 제 3 단계; 및 상기 제 3 단계의 판단 결과에 따라, 상기 송신 IP 주소가 변조된 패킷이 검출되었을 시, 스푸핑 공격 검출 시스템이 스푸핑 공격 경보를 통보하고 송신 IP 주소가 변조된 패킷을 발생시키는 동일한 서브 네트워크 상의 네트워크 공격 시스템에 대한 하드웨어 주소를 표시하는 제 4 단계를 포함하여 이루어진 것을 특징으로 한다.
또한, 본 발명은, 프로세서를 구비한 스푸핑 공격 검출 시스템에, 네트워크 상에서 유동되는 패킷을 조사하여 패킷에 기록되어 있는 네트워크 디바이스의 하드웨어 주소와 송신 IP(Internet Protocol) 주소를 분석하는 제 1 기능; 상기 패킷의 송신 IP 주소 분석을 통해 패킷 주소 변조여부와 상관없이 논리적인 패킷의 발생지점을 확인하는 제 2 기능; 상기 제 2 기능의 확인 결과에 따라, 상기 논리적인 패킷의 발생지점이 외부 네트워크로 판명되었을 시, 패킷의 하드웨어 주소를 분석하여 상기 송신 IP 주소의 변조 여부를 판단하는 제 3 기능; 및 상기 제 3 기능의 판단 결과에 따라, 상기 송신 IP 주소가 변조된 패킷이 검출되었을 시, 스푸핑 공격 검출 시스템이 스푸핑 공격 경보를 통보하고 송신 IP 주소가 변조된 패킷을 발생시키는 동일한 서브 네트워크 상의 네트워크 공격 시스템에 대한 하드웨어 주소를 표시하는 제 4 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.
TCP/IP(Transmission Control Protocol/Internet Protocol) 네트워크에서 통신하는 시스템은 논리적인 식별자인 IP 주소를 이용하여 통신한다. 네트워크 상에서 전송되는 모든 패킷에는 패킷을 송신한 시스템의 IP 주소와 패킷이 수신되는 시스템의 IP 주소 정보를 가지고 있다. 그러나, IP 주소는 논리적인 식별 정보로 임의로 변조되어 패킷을 생성할 수 있다. 인터넷 상에서는 TCP/IP의 이러한 문제점을 이용하여 대상 시스템의 정상적인 네트워크 서비스를 방해하는 네트워크 공격이 성행한다. IP 주소가 변조된 스푸핑 패킷에 의한 네트워크 공격은 TCP/IP의 구조적인 문제점을 이용한 것으로 인터넷 상에서 이러한 유형의 네트워크 공격에 대한 원천적인 차단은 불가능하다.
따라서, 본 발명은 동일한 네트워크 주소 공간을 사용하는 로컬 네트워크에서 패킷의 송신 IP 주소를 변조하여 대상 호스트의 정상적인 네트워크 서비스를 방해하는 스푸핑 공격 패킷을 검출하고, 스푸핑 패킷을 송신하는 시스템의 하드웨어 주소를 검출하고자 한다.
여기서, 스푸핑 패킷은 서로 다른 네트워크 주소 공간을 이용하는 네트워크에서 발생하여 전달될 수 있으며, 동일한 네트워크 주소 공간을 이용하는 로컬 네트워크에서 발생하여 전달될 수 있다. 전자의 경우에는, 패킷이 경유해야 하는 라우터에서 차단할 수 있다. 그러나, 동일한 네트워크 주소 공간을 이용하는 로컬 네트워크에서 스푸핑 패킷이 발생하는 경우에는 라우터의 차단 기능이 적용되지 않는다.
이와 같이, 본 발명은 로컬 네트워크 상에서 시도되는 스푸핑 공격을 검출하고, 스푸핑 패킷을 송신하는 하드웨어 주소를 검출하는데 있다. 하드웨어 주소는 네트워크 상에서 시스템을 유일하게 식별할 수 있는 정보이다. 네트워크 관리자는 스푸핑 패킷 송신 시스템의 하드웨어 주소를 이용하여 네트워크 상에서 스푸핑 공격 시스템을 정확하게 제거할 수 있다.
본 발명의 스푸핑 공격 검출 시스템은 패킷의 유효성을 판단하여 필터 기능을 수행할 수 있는 라우터 또는 방화벽 시스템과 함께 스푸핑 패킷에 의한 네트워크 공격으로부터 로컬 네트워크를 안전하게 운용하는데 활용될 수 있다.
본 발명은 종래 기술의 문제점과 한계점을 해결하기 위해 이루어진 것으로써, 방화벽 시스템이나 라우터의 패킷 필터 기능이 적용되지 않는 로컬 네트워크 내부에서 유동되는 스푸핑 패킷을 검출하는 기능의 구조 및 구성 방법을 제시하고 있다. 또한 스푸핑 패킷 송신 시스템의 하드웨어 주소를 파악하는 기능에 대한 구조 및 구성 방법을 제시하고 있다. 본 발명에서 제시하는 방법을 통해 로컬 네트워크 내에서 시도되는 스푸핑 공격을 검출할 수 있다.
또한, 본 발명에서 제시하는 스푸핑 패킷 검출 방안과 스푸핑 패킷 송신 시스템 검출 방안은 기존 로컬 네트워크의 구조와 네트워크 프로토콜에 변형을 가하지 않고 적용할 수 있다.
상술한 목적, 특징들 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실시예를 상세히 설명한다.
도 1 은 일반적인 IP 패킷의 흐름과 스푸핑된 IP 패킷의 흐름을 표현하는 구조도이다.
도 1 에 도시된 바와 같이, 로컬 네트워크(101)에서 클라이언트(103)가 전송한 패킷(103a)에 대한 서버(102)의 응답 패킷(102a)는 패킷(103a)에 기록되어 있는 송신 IP 주소를 이용하여 응답한다. 네트워크 서비스를 제공하는 서버(102)는 수신되는 패킷에 대해 송신 IP 주소를 이용하여 응답한다. 공격 시스템(104)에서 송신 IP 주소가 변조된 패킷(104a)을 서버로 송신하는 경우에 서버(102)의 응답은 수신된 패킷(104a)에 기록된 송신 IP 주소에 의존한다. 공격 시스템(104)에서 송신 IP 주소를 외부 네트워크의 임의의 주소로 설정하였다면, 서버(102)는 수신 패킷(104a)이 외부로부터 송신된 것으로 간주하여 변조된 송신 IP 주소를 수신 IP 주소로 설정하여 응답하며, 게이트웨이(105)는 서버(102)로부터의 응답 패킷(102b)을 수신하여 외부로 전달(105a)하게 된다. 서버(102)로부터의 응답은 존재하지 않는 클라이언트로의 응답이거나 서비스를 요구하지 않은 클라이언트로의 응답이기 때문에 무의미한 패킷 발생이 유발된다. 공격 시스템(104)에서 이와 같이 스푸핑된 패킷(104a)을 단시간에 대량으로 유발시키면 네트워크에는 무의미한 대량의 트래픽이 유발되며, 서버(102)는 정상적인 서비스를 제공할 수 없는 상태가 된다.서버(102)가 정상적인 서비스를 제공할 수 없는 상태가 되면 외부 네트워크로부터의 정상적인 서비스나 로컬 네트워크의 정상적인 클라이언트(103)로부터의 서비스 요구를 처리할 수 없게 된다.
도 2 는 본 발명에 따른 스푸핑 공격 검출 시스템이 로컬 네트워크의 패킷을 감시하는 구조도이다.
도 2에 도시된 바와 같이, 본 발명에 따른 스푸핑 공격 검출 시스템(205)은, 이더넷(202)의 특성을 이용하여 이더넷에 유동하는 모든 패킷을 감시하는 기능을 가진다. 외부 네트워크에 존재하는 클라이언트(204)가 로컬 네트워크의 서버(203)에 패킷을 전송하는 경우에, 패킷(204a)은 로컬 네트워크의 게이트웨이(201)를 통해 로컬 네트워크로 전달된다.
그러면, 로컬 네트워크의 게이트웨이(201)는 클라이언트(204)로부터 수신한 패킷(204a)을 로컬 네트워크에 재전송한다.
한편, 스푸핑 공격 검출 시스템(205)은 로컬 네트워크의 모든 패킷을 감시하는 기능을 가지므로, 패킷(204a)의 내용을 확인할 수 있다. 로컬 네트워크의 공격 시스템(206)이 로컬 네트워크의 서버(203)에 전송하는 패킷(206a)도 동일한 구조로 스푸핑 공격 검출 시스템(205)에 의해 감시될 수 있다. 스푸핑 공격 검출 시스템(205)의 패킷 감시 기능은 이더넷(202) 네트워크의 브로드캐스팅 특성을 이용하는 것으로 패킷 감시 기능을 활용하여 로컬 네트워크의 모든 패킷을 감시할 수 있는 기능을 가진다.
도 3a 및 도 3b 는 본 발명에 따른 스푸핑 공격 검출 시스템이 패킷을 감시하는 구조와 대상을 검색하는 구조도로서, 본 발명명에 따른 스푸핑 공격 검출 시스템의 이더왓치(ETHERWATCH)(301)의 패킷 감시 구조와 로컬 네트워크에 연결된 각 시스템에 대한 정보를 추출하는 구조를 나타낸 것이다.
도 3a에 도시된 바와 같이, 이더왓치(ETHERWATCH)(301)는 로컬 네트워크의 모든 패킷을 감시하는 기능을 가지므로 로컬 네트워크에서 유동하는 정상적인 패킷과 비 정상적인 패킷을 감시할 수 있다.
패킷 303a는 클라이언트(303)가 외부로 전송하는 패킷이며, 패킷 304b는 서버(304)가 클라이언트(303)에 전송하는 패킷이다. 패킷 305a는 공격 시스템(305)에서 서버(304)로 전송하는 패킷이며, 패킷 304a는 공격 시스템(305)으로부터의 패킷(304a)에 따라 서버(304)가 외부로 응답하는 패킷이다.
이더왓치(301)는 로컬 네트워크에서 유동되는 패킷 303a, 304a, 304b, 305a를 모두 수집(301a)하여 내용을 확인할 수 있다. 또한, 이더왓치(301)는 로컬 네트워크의 패킷만을 감시할 수 있으며, 게이트웨이(302)가 외부 네트워크로 전송하거나 수신하는 패킷(302a)은 감시할 수 없다.
도 3b에 도시된 바와 같이, 이더왓치(301)는 로컬 네트워크에 존재하는 각 시스템의 하드웨어 주소를 조사하는 기능을 갖는다. 하드웨어 주소는 네트워크에 참여한 각 시스템에 설치된 네트워크 디바이스에 설정된 주소 정보로 각 시스템마다 유일하게 설정되는 주소 정보이다. 이더왓치(301)는 게이트웨이(302)에 대한 하드웨어 주소 조사 기능과 네트워크의 모든 시스템에 대한 하드웨어 주소 조사 기능을 갖는다. 하드웨어 주소 조사는 핑 패킷의 전송과 ARP(Address ResolutionProtocol) 테이블 조사를 통해 이루어진다. 게이트웨이(302)에 대한 하드웨어 주소 조사는 이더왓치(301)를 실행할 때와 라우팅 테이블이 변경되었을 때 이루어진다.
이더왓치(301)는 실행할 때 라우팅 테이블을 참조하여 외부 네트워크에 대해 게이트웨이로 설정된 시스템의 IP 주소를 추출하여 게이트웨이(302)에 대해 핑(301c)을 요구한다. 이더왓치(301)는 핑 응답 여부를 확인하여 응답(302b)이 수신되었을 때, 시스템의 ARP 테이블을 통해 게이트웨이에 대한 하드웨어 주소를 추출한다. 로컬 네트워크의 모든 시스템에 대한 하드웨어 주소 조사는 일정한 주기와 스푸핑 패킷을 검출하였을 때 시도된다. 이더왓치(301)는 시스템의 네트워크 주소와 서브넷마스크 정보를 이용하여 브로드캐스트 주소로 핑(301d)을 요구하고, 일정한 대기 시간 이후에 ARP 테이블로부터 로컬 네트워크 시스템의 IP 주소와 하드웨어 주소 정보를 추출한다. 스푸핑 패킷이 검출되었을 경우에는 RARP(Reverse Address Resolution Protocol)를 이용하여 스푸핑 패킷의 송신 시스템에 대한 IP 주소를 조사한다.
도 4 는 본 발명에 따른 스푸핑 공격 검출 시스템에서 수집된 패킷의 내용을 분석하는 구조도로서, 본 발명에 따른 스푸핑 공격 검출 시스템의 이더왓치(401)의 패킷 분석 구조를 나타낸 것이다.
도 4에 도시된 바와 같이, 이더왓치(401)는 수집된 패킷(403)을 이더넷 프레임 영역과 IP 패킷(404) 영역으로 나누어 분석한다. IP 패킷의 송신 IP 주소(407)와 수신 IP 주소(408)를 추출한다. 송신 IP 주소(407)를 로컬 네트워크의 서브넷마스크(SUBNETMASK)(409)와 연산을 수행하여 로컬 네트워크의 네트워크 주소(410)와비교한다. 로컬 네트워크에서 송신한 패킷은 모두 동일한 네트워크 주소(410)를 가져야 하므로 연산 결과가 네트워크 주소(410)와 다른 경우는 외부 네트워크로부터 전달된 패킷이거나 송신 IP 주소가 변조된 패킷이다. 다른 네트워크 주소를 갖는 패킷에 대해서는 하드웨어 주소 조회를 통해서 송신 IP 주소 변조 여부를 판단한다. 외부 네트워크로부터 전달된 패킷은 게이트웨이를 통해서 로컬 네트워크로 전달되기 때문에 송신지 하드웨어 주소는 반드시 게이트웨이의 하드웨어 주소를 갖는다. 그러나, 송신 IP 주소가 변조된 경우에는 게이트웨이로부터 전달되지 않기 때문에 송신 시스템의 하드웨어 주소를 갖게 된다.
이더왓치(401)는 송신 IP 주소가 다른 네트워크 영역인 패킷에 대해 송신 하드웨어 주소(406)를 게이트웨이의 하드웨어 주소(411)와 비교한다. 게이트웨이의 하드웨어 주소(411)를 갖는 패킷은 정상적으로 게이트웨이를 통해 전달된 것이며, 게이트웨이의 하드웨어 주소(411)를 갖지 않는 패킷은 송신 IP 주소가 변조된 패킷이다. 변조된 패킷에 대해서는 로컬 네트워크 하드웨어 주소 목록(412)을 통해 스푸핑 패킷 송신 시스템의 하드웨어 주소와 IP 주소를 검출한다.
도 5 는 본 발명에 따른 네트워크 패킷 감시를 통한 스푸핑 공격 시스템 검출 방법에 대한 일실시예 흐름도이다.
도 5에 도시된 바와 같이, 스푸핑 공격 검출 시스템은 이더왓치가 설치된 네트워크를 분석한다(501). 즉, 네트워크 주소 영역을 조사하고, 서브넷 주소를 추출하며, 라우팅 테이블을 분석하여 게이트웨이 목록을 생성한다.
이어서, 게이트웨이 조사를 위해 게이트웨이 목록의 게이트웨이에 핑을 요구하고 응답을 수신한다(502). 응답이 수신된 게이트웨이의 하드웨어 주소에 대한 목록을 생성한다.
그리고 나서, 로컬 네트워크의 브로드캐스팅 주소에 대해 핑을 요구하고(503), 브로드캐스트 핑에 대해 수신된 응답 결과에 따라 로컬 네트워크 시스템의 하드웨어 주소 목록을 생성하고 주기적으로 갱신한다(504).
이어서, 패킷 감시 기능을 통해 이더넷에 유동되는 패킷을 수집한 후(505), 수집된 패킷의 송신 IP 주소를 이용하여 패킷의 논리적인 발생 지점이 로컬 네트워크인지 외부 네트워크인지 판단한다(506).
판단결과(506), 로컬 네트워크이면 패킷을 수집하는 과정(505)으로 진행하고, 외부 네트워크이면 변조 여부를 판단한다(507). 즉, 논리적인 패킷 발생 지점이 외부 네트워크인 패킷에 대해 패킷의 송신 하드웨어 주소와 게이트웨이의 하드웨어 주소를 비교하여 변조 여부를 판단한다.
판단결과(507), 변조되지 않았으면 패킷을 수집하는 과정(505)으로 진행하고, 변조되었으면 패킷 정보를 추출한다(508). 즉, 변조된 패킷의 내용을 분석하여 패킷에 포함된 정보를 추출한다.
이어서, 패킷의 송신 하드웨어 주소와 로컬 네트워크 하드웨어 주소 목록을 보유하고 있는지를 확인한다(509).
확인결과(509), 주소목록을 보유하고 있지 않으면 패킷의 송신 하드웨어 주소를 이용하여 패킷의 송신 시스템 정보를 파악하기 위한 RARP를 요구하고(510), RARP의 응답을 수신하여 패킷의 송신 시스템에 대한 정보를 생성 후(511), 공격시스템을 검출한다(512). 이후, 패킷 수집 과정(505)부터 반복 수행한다.
확인결과(509), 주소목록을 보유하고 있으면 바로 공격 시스템을 검출하는 과정(512)으로 진행한 후, 패킷 수집 과정(505)부터 반복 수행한다.
상기한 바와 같이, 본 발명은, 로컬 네트워크 내부에서 발생되는 패킷 주소가 변조된 스푸핑 패킷을 검출하고, 스푸핑 패킷 송신 시스템에 대한 하드웨어 주소를 검출하는 기능을 갖는다. 기존 로컬 네트워크 구조와 네트워크 프로토콜 및 네트워크 서비스를 제공하는 시스템에 변형 없이 적용될 수 있다. 또한 수동적으로 로컬 네트워크에 유동되는 패킷을 감시하므로 로컬 네트워크 성능에 영향을 미치지 않는다. 스푸핑 공격 검출 시스템이 라우터 및 게이트웨이에 대한 하드웨어 주소를 파악하는 기능과 스푸핑 패킷 송신 시스템의 하드웨어 주소를 파악은 기존 프로토콜을 활용하므로 운영되는 로컬 네트워크와 호환성을 유지하며 적용될 수 있다.
상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 기록매체(씨디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다.
이상에서 설명한 본 발명은 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하다는 것이 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 명백할 것이다.
상기한 바와 같은 본 발명은, 패킷의 유효성 판단을 이용하여 패킷 필터 기능을 수행하는 방화벽 시스템 또는 라우터와 로컬 네트워크 보안을 위한 스푸핑 공격 검출 시스템을 통해 스푸핑 공격으로부터 로컬 네트워크를 안전하게 관리할 수 있도록 하는 효과가 있다.
또한, 본 발명은, 네트워크 서비스를 제공하는 다수의 시스템이 운용되는 로컬 네트워크 보안 관리 기능에 효과적으로 활용될 수 있는 효과가 있다.

Claims (5)

  1. 스푸핑 공격 검출 시스템에 적용되는 네트워크 패킷 감시를 통한 스푸핑 공격 시스템 검출 방법에 있어서,
    네트워크 상에서 유동되는 패킷을 조사하여 패킷에 기록되어 있는 네트워크 디바이스의 하드웨어 주소와 송신 IP(Internet Protocol) 주소를 분석하는 제 1 단계;
    상기 패킷의 송신 IP 주소 분석을 통해 패킷 주소 변조여부와 상관없이 논리적인 패킷의 발생지점을 확인하는 제 2 단계;
    상기 제 2 단계의 확인 결과에 따라, 상기 논리적인 패킷의 발생지점이 외부 네트워크로 판명되었을 시, 패킷의 하드웨어 주소를 분석하여 상기 송신 IP 주소의 변조 여부를 판단하는 제 3 단계; 및
    상기 제 3 단계의 판단 결과에 따라, 상기 송신 IP 주소가 변조된 패킷이 검출되었을 시, 스푸핑 공격 검출 시스템이 스푸핑 공격 경보를 통보하고 송신 IP 주소가 변조된 패킷을 발생시키는 동일한 서브 네트워크 상의 네트워크 공격 시스템에 대한 하드웨어 주소를 표시하는 제 4 단계
    를 포함하는 네트워크 패킷 감시를 통한 스푸핑 공격 시스템 검출 방법.
  2. 제 1 항에 있어서,
    상기 스푸핑 공격 검출 시스템은,
    패킷의 송신 하드웨어 주소와 게이트웨이의 하드웨어 주소를 이용하여 패킷의 송신 IP 주소 변조 여부를 판단하는 것을 특징으로 하는 네트워크 패킷 감시를 통한 스푸핑 공격 시스템 검출 방법.
  3. 제 1 항 또는 제 2 항에 있어서,
    상기 스푸핑 공격 검출 시스템은,
    상기 로컬 네트워크의 패킷을 수집하여 패킷의 송신 IP 주소 변조를 판단하는 것을 특징으로 하는 네트워크 패킷 감시를 통한 스푸핑 공격 시스템 검출 방법.
  4. 제 3 항에 있어서,
    상기 스푸핑 공격 검출 시스템은,
    상기 로컬 네트워크의 게이트웨이를 추출하고 게이트웨이에 대한 하드웨어 주소를 추출하는 것을 특징으로 하는 네트워크 패킷 감시를 통한 스푸핑 공격 시스템 검출 방법.
  5. 프로세서를 구비한 스푸핑 공격 검출 시스템에,
    네트워크 상에서 유동되는 패킷을 조사하여 패킷에 기록되어 있는 네트워크 디바이스의 하드웨어 주소와 송신 IP(Internet Protocol) 주소를 분석하는 제 1 기능;
    상기 패킷의 송신 IP 주소 분석을 통해 패킷 주소 변조여부와 상관없이 논리적인 패킷의 발생지점을 확인하는 제 2 기능;
    상기 제 2 기능의 확인 결과에 따라, 상기 논리적인 패킷의 발생지점이 외부 네트워크로 판명되었을 시, 패킷의 하드웨어 주소를 분석하여 상기 송신 IP 주소의 변조 여부를 판단하는 제 3 기능; 및
    상기 제 3 기능의 판단 결과에 따라, 상기 송신 IP 주소가 변조된 패킷이 검출되었을 시, 스푸핑 공격 검출 시스템이 스푸핑 공격 경보를 통보하고 송신 IP 주소가 변조된 패킷을 발생시키는 동일한 서브 네트워크 상의 네트워크 공격 시스템에 대한 하드웨어 주소를 표시하는 제 4 기능
    을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
KR10-2002-0067570A 2002-11-01 2002-11-01 네트워크 패킷 감시를 통한 스푸핑 공격 시스템 검출 방법 KR100447677B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2002-0067570A KR100447677B1 (ko) 2002-11-01 2002-11-01 네트워크 패킷 감시를 통한 스푸핑 공격 시스템 검출 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0067570A KR100447677B1 (ko) 2002-11-01 2002-11-01 네트워크 패킷 감시를 통한 스푸핑 공격 시스템 검출 방법

Publications (2)

Publication Number Publication Date
KR20040039521A true KR20040039521A (ko) 2004-05-12
KR100447677B1 KR100447677B1 (ko) 2004-09-08

Family

ID=37337084

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0067570A KR100447677B1 (ko) 2002-11-01 2002-11-01 네트워크 패킷 감시를 통한 스푸핑 공격 시스템 검출 방법

Country Status (1)

Country Link
KR (1) KR100447677B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100733830B1 (ko) * 2005-06-09 2007-07-02 충남대학교산학협력단 광대역 네트워크에서의 분산 서비스 거부 공격 탐지 및대응 방법
KR100807933B1 (ko) * 2006-11-28 2008-03-03 엘지노텔 주식회사 에이알피 스푸핑 감지 시스템 및 감지 방법과 그 방법이저장된 컴퓨터 판독가능 저장매체
KR100863313B1 (ko) * 2007-02-09 2008-10-15 주식회사 코어세스 에이알피 스푸핑 자동 차단 장치 및 방법
CN114422248A (zh) * 2022-01-20 2022-04-29 深信服科技股份有限公司 一种攻击处理方法、系统、网络安全设备及存储介质

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6738814B1 (en) * 1998-03-18 2004-05-18 Cisco Technology, Inc. Method for blocking denial of service and address spoofing attacks on a private network
IL144100A (en) * 2000-07-06 2006-08-01 Samsung Electronics Co Ltd A method based on MAC address in communication restriction
US7444404B2 (en) * 2001-02-05 2008-10-28 Arbor Networks, Inc. Network traffic regulation including consistency based detection and filtering of packets with spoof source addresses
KR100424457B1 (ko) * 2001-08-29 2004-03-26 삼성전자주식회사 디지털 가입자 회선 가입자측 단말장치의 인터넷 프로토콜패킷 필터링방법
KR100439170B1 (ko) * 2001-11-14 2004-07-05 한국전자통신연구원 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역추적 방법

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100733830B1 (ko) * 2005-06-09 2007-07-02 충남대학교산학협력단 광대역 네트워크에서의 분산 서비스 거부 공격 탐지 및대응 방법
KR100807933B1 (ko) * 2006-11-28 2008-03-03 엘지노텔 주식회사 에이알피 스푸핑 감지 시스템 및 감지 방법과 그 방법이저장된 컴퓨터 판독가능 저장매체
KR100863313B1 (ko) * 2007-02-09 2008-10-15 주식회사 코어세스 에이알피 스푸핑 자동 차단 장치 및 방법
CN114422248A (zh) * 2022-01-20 2022-04-29 深信服科技股份有限公司 一种攻击处理方法、系统、网络安全设备及存储介质

Also Published As

Publication number Publication date
KR100447677B1 (ko) 2004-09-08

Similar Documents

Publication Publication Date Title
US7757285B2 (en) Intrusion detection and prevention system
US7200866B2 (en) System and method for defending against distributed denial-of-service attack on active network
AU2003229456B2 (en) Network bandwidth anomaly detector apparatus and method for detecting network attacks using correlation function
US20060256729A1 (en) Method and apparatus for identifying and disabling worms in communication networks
US8627477B2 (en) Method, apparatus, and system for detecting a zombie host
US20070064617A1 (en) Traffic anomaly analysis for the detection of aberrant network code
KR20140093060A (ko) 지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법
US20050207447A1 (en) IP address duplication monitoring device, IP address duplication monitoring method and IP address duplication monitoring program
Saad et al. ICMPv6 flood attack detection using DENFIS algorithms
US20040250158A1 (en) System and method for protecting an IP transmission network against the denial of service attacks
JP2002026907A (ja) 通信ネットワークセキュリティ方法および通信ネットワークのネットワークセキュリティを分析するための方法および通信システムおよびセキュリティホストコンピュータおよび機械で読み出し可能な媒体。
KR100447677B1 (ko) 네트워크 패킷 감시를 통한 스푸핑 공격 시스템 검출 방법
WO2009064114A2 (en) Protection method and system for distributed denial of service attack
KR101772292B1 (ko) 소프트웨어 정의 네트워크 기반 네트워크 플러딩 공격 탐지/방어 방법 및 시스템
KR100571994B1 (ko) 근원지 아이피 주소 변조 패킷의 탐지 및 패킷 근원지지적 방법
EP1866725B1 (en) Network attack detection
KR100506889B1 (ko) 이중버퍼 구조를 가지는 네트웍 침입탐지 시스템과 그동작방법
Trabelsi et al. On investigating ARP spoofing security solutions
Deri et al. Practical network security: experiences with ntop
Deri et al. Improving Network Security Using Ntop
Bi et al. Application presence fingerprinting for NAT-aware router
Nam et al. Designing of a Abnormal Traffic Distinction and Host Control System in the IPv6 Environment
Lee et al. PGNIDS (Pattern-Graph based network intrusion detection system) design
Keshvari Ghalati Suojautuminen Distributed Denial of Service Attackia vastaan tunnelointiin perustetun uudelleen lähettämisen ympäristössä
KR20060090412A (ko) 내부 정보자원 보호를 의한 정보유출 탐지 및 차단 기법 개발

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120807

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20130805

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20140804

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20150804

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20160809

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20170803

Year of fee payment: 14

FPAY Annual fee payment

Payment date: 20180801

Year of fee payment: 15

FPAY Annual fee payment

Payment date: 20190731

Year of fee payment: 16