KR20060064450A - Arp 공격 탐지 장치 및 방법 - Google Patents

Arp 공격 탐지 장치 및 방법 Download PDF

Info

Publication number
KR20060064450A
KR20060064450A KR1020050022931A KR20050022931A KR20060064450A KR 20060064450 A KR20060064450 A KR 20060064450A KR 1020050022931 A KR1020050022931 A KR 1020050022931A KR 20050022931 A KR20050022931 A KR 20050022931A KR 20060064450 A KR20060064450 A KR 20060064450A
Authority
KR
South Korea
Prior art keywords
arp
message
address
mapping information
attack
Prior art date
Application number
KR1020050022931A
Other languages
English (en)
Other versions
KR100779072B1 (ko
Inventor
함영환
정병호
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Publication of KR20060064450A publication Critical patent/KR20060064450A/ko
Application granted granted Critical
Publication of KR100779072B1 publication Critical patent/KR100779072B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Abstract

본 발명은 무선랜 환경에서 이루어지는 주소결정 프로토콜(Address Resolution Protocol;ARP) 공격을 DHCP(Dynamic Host Configuration Protocol)메시지와 ARP 메시지의 분석을 통해 ARP 공격을 탐지할 수 있는 ARP 공격 탐지 장치 및 방법에 대한 것이다.
본 발명은 DHCP 메시지를 분석하여 단말의 IP 주소 및 하드웨어 주소를 포함하는 맵핑 정보를 추출하는 DHCP 메시지 처리부; ARP 메시지를 분석하여 단말의 IP 주소 및 하드웨어 주소를 포함하는 맵핑 정보를 추출하는 ARP 메시지 처리부; DHCP 메시지의 맵핑 정보 및 ARP 메시지의 맵핑 정보를 저장하는 ARP 맵핑 테이블 저장부; 및 신규하게 수신되는 ARP 메시지에서 추출된 맵핑 정보와 ARP 맵핑 테이블 저장부에서 검색되는 맵핑 정보가 불일치하는 경우 공격으로 탐지하는 ARP 공격 탐지부를 포함한다.
본 발명에 따른 ARP 공격 탐지 장치는, DHCP 서버가 이용되는 환경에서 기존의 DHCP 서버에 대한 수정을 가하지 않으면서 정확한 ARP 공격 탐지를 수행할 수 있다.
ARP 공격, DHCP, 액세스포인트, 무선랜 단말

Description

ARP 공격 탐지 장치 및 방법{ARP poisoning detection apparatus and method}
도 1은 본 발명의 일 실시예에 따른 따른 ARP 공격 탐지 장치가 적용되는 네트워크의 개략적인 구성도.
도 2는 본 발명의 일 실시예에 따른 ARP 공격 탐지 장치의 블럭구성도.
도 3은 본 발명의 일 실시예에 따른 ARP 맵핑 테이블 저장부의 구조를 보여주는 테이블 구조도.
도 4는 본 발명의 일 실시예에 따른 ARP 탐지 방법의 흐름도
<도면의 주요 부분에 대한 부호의 설명>
201: ARP 메시지 처리부
202: DHCP 메시지 처리부
203: ARP 공격 탐지부
204: ARP 맵핑 테이블 저장부
본 발명은 무선랜 액세스포인트에서의 주소결정 프로토콜(Address Resolution Protocol;ARP) 공격 탐지 장치 및 방법에 관한 것으로서, 더 상세하게는 DHCP(Dynamic Host Configuration Protocol)서버가 이용되는 환경에서 DHCP 서버 메시지를 이용하여 보다 정확한 ARP 공격을 탐지할 수 있는 ARP 공격 탐지 장치 및 방법에 관한 것이다.
당업자에게 잘 알려진 바와 같이, ARP 공격은 ARP 캐쉬 오염(Cache Poisoning) 공격이라고도 하며 대상 단말에 잘못된 IP주소-하드웨어 주소(데이터 링크의 계층의 MAC(Media Access Control)계층에서는 MAC 주소)의 맵핑 정보를 ARP 메시지에 담아서 보냄으로써 ARP 캐쉬에 삽입하여 오염시키는 방법이다. 이 공격은 유선 환경에서 오래되고 널리 알려진 공격이기 때문에 어느 정도 해결책이 강구되어 있지만 무선랜이 도입되면서 인가되지 않은 무선랜 단말의 접근이 용이해지고 이와 같은 단말의 ARP 공격이 용이해짐에 따라 새로운 보안 이슈로 부각되고 있다.
이와 관련한 기술로서, 2002년 7월 5일에 출원된 특허출원 제2002-0039010호에 개시된 아이피 충돌 검출/차단 시스템 및 그 방법은, ARP 패킷을 분석함으로써 IP 사용자를 실시간으로 감시하고 충돌을 감시하며 접근통제를 수행하여 네트워크 관리자로 하여금 IP 관리를 용이하게 할 수 있도록 한다. 그러나, 이러한 기술은 DHCP 서버를 사용하는 무선랜 환경에서 효율적으로 ARP 공격을 탐지하고 무선랜 보안을 향상시키는 방안을 제시하지 않고 있다.
또한, 무선랜 단말의 공격을 탐지하기 위해서는 단말의 ARP 메시지가 액세스포인트의 브릿지(bridge)기능으로 인하여 유선망으로 전달되지 않는 경우도 있으므로 액세스포인트를 벗어나지 않는 범위에서의 ARP 공격 탐지 장치가 필요하게 된 다.
본 발명의 목적은 무선랜 환경에서 무선랜 단말을 네트워크에 연결시켜주는 브릿지 역할을 하는 무선랜 액세스포인트 장비에 포함되어 동작하며, 액세스포인트에 연결된 무선단말에 대한 ARP 공격이나, 연결된 무선단말에 의한 유선망 호스트에 대한 ARP 공격 등을 탐지할 수 있는 ARP 공격 탐지 장치 및 방법을 제공하는 것이다.
본 발명의 다른 목적은, DHCP 서버를 사용하는 환경에서는 서버에 의한 동적인 IP주소 할당으로 장치의 IP주소-하드웨어 주소의 맵핑 정보가 변할 수 있으므로 이를 고려한 ARP 공격 탐지 장치 및 방법을 제공하는 것이다.
본 발명의 또 다른 목적은 상기와 같은 ARP 공격이 일어났을 경우에 관리자에게 알람을 보고하여 공격여부를 알리거나 또는 미리 설정된 대응 조치 예를 들어, 무선랜 단말의 연결을 해지하는 등의 조치를 취할 수 있는 ARP 공격 탐지 장치 및 방법을 제공하는 것이다.
상기 목적을 달성하기 위한 본 발명에 따른 ARP 공격 탐지 장치는, DHCP 메시지를 분석하여 단말의 IP 주소 및 하드웨어 주소를 포함하는 맵핑 정보를 추출하는 DHCP 메시지 처리부; ARP 메시지를 분석하여 단말의 IP 주소 및 하드웨어 주소를 포함하는 맵핑 정보를 추출하는 ARP 메시지 처리부; 상기 DHCP 메시지의 맵핑 정보 및 상기 ARP 메시지의 맵핑 정보를 저장하는 ARP 맵핑 테이블 저장부; 및 신 규하게 수신되는 ARP 메시지에서 추출된 맵핑 정보와 상기 ARP 맵핑 테이블 저장부에서 검색되는 맵핑 정보가 불일치하는 경우 공격으로 탐지하는 ARP 공격 탐지부를 포함한다.
상기 목적을 달성하기 위한 본 발명에 따른 ARP 공격 탐지 방법은, DHCP 메시지를 분석하여 단말의 IP 주소 및 하드웨어 주소를 포함하는 맵핑 정보를 추출하는 DHCP 메시지 처리 단계; ARP 메시지를 분석하여 단말의 IP 주소 및 하드웨어 주소를 포함하는 맵핑 정보를 추출하는 ARP 메시지 처리 단계; 상기 DHCP 메시지의 맵핑 정보 및 상기 ARP 메시지의 맵핑 정보를 ARP 맵핑 테이블 저장부에 저장하는 저장 단계; 신규하게 수신되는 ARP 메시지에서 추출된 맵핑 정보와 상기 ARP 맵핑 테이블 저장부에서 검색되는 맵핑 정보가 불일치하는 경우 공격을 탐지하는 공격 탐지 단계를 포함한다.
상술한 목적 및 기타의 목적과 본 발명의 특징 및 이점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해질 것이다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 DHCP 메시지를 이용한 무선랜 액세스포인트 ARP 공격 탐지 장치 및 방법에 대해 상세하게 설명한다.
도 1은 본 발명에 따른 ARP 공격 탐지 장치가 적용되는 네트워크의 개략적인 구성도를 나타낸 것이다.
도 1을 참조하면, 네트워크는 크게 액세스포인트(104)를 중심으로한 무선랜 단말(101, 102)이 연결되어 있는 무선랜 네트워크와 유선 인터넷망(107)으로 연결되어있는 유선 네트워크로 구성되어 있다.
DHCP 서버(105)는 액세스포인트(104) 내부에 탑재될 수도 있으나 여기에서는 일반적인 상황을 고려해서 유선 인터넷망(107)에 연결되어 있는 것으로 가정했다. 본 발명은 유선 네트워크 환경보다 보안이 취약한 무선랜 네트워크 환경에서의 보안을 강화하기 위한 장치이므로 ARP 공격자(103)는 무선랜 환경의 무선 네트워크 단말인 것으로 가정한다.
본 발명의 ARP 공격 탐지 장치는 액세스포인트(104) 내에서 동작하며 라우터를 경유하지 않는 범위내에서 브로드캐스팅 트래픽을 공유하는 도메인안에서의 ARP 메시지와 DHCP 메시지를 수집하여 ARP 공격여부를 탐지한다.
도 2는 본 발명의 일 실시예에 따른 ARP 공격을 탐지하기 위한 액세스포인트 내부에 위치한 ARP 공격 탐지 장치(200)의 블럭구성도이다.
도 2를 참조하면, ARP 공격 탐지 장치(200)는 IP주소에 대응되는 하드웨어 주소를 매핑시켜주는 ARP 메시지를 처리하는 ARP 메시지 처리부(201), 사용자 단말의 IP주소 할당여부를 알 수 있는 DHCP 메시지를 처리하는 DHCP 메시지 처리부(202), ARP 공격 탐지와 처리를 담당하는 ARP 공격 탐지부(203) 및 DHCP 메시지 처리부(202)와 ARP 메시지 처리부(201)에 의한 IP주소-하드웨어 주소의 맵핑 정보를 저장하는 ARP 맵핑 테이블 저장부(204) 를 포함한다.
먼저, 본 발명에 의한 ARP 메시지 처리부(201)의 동작을 설명한다.
ARP 메시지 처리부(201)에서는 액세스포인트(104; 도 1)를 경유하여 지나가는 모든 ARP 메시지 즉, ARP 요청 메시지와 ARP 응답 메시지를 수집하고 이를 분석하여 IP주소와 하드웨어 주소의 맵핑정보를 ARP 맵핑 테이블 저장부(204)에 저장한 다. 또한, 기존에 ARP 맵핑 테이블 저장부(204)에 저장된 엔트리가 있을 때에는 이와 비교한다. ARP 메시지가 ARP 요청 메시지인 경우 ARP 맵핑 테이블 저장부(204)로부터 검색된 엔트리에 해당 IP주소에 대한 요청이 있었음을 플래그를 이용하여 저장한다.
다음으로, DHCP 메시지 처리부(202)동작을 설명한다.
DHCP 메시지 처리부(202)의 역할은, DHCP 서버(105: 도 1)가 동작하는 환경과 같이 단말 컴퓨터의 IP주소가 동적으로 변화하는 경우 잘못된 ARP 공격 탐지의 가능성을 방지하는 것이다.
이를 위해서, DHCP 메시지 처리부(202)는 DHCP ACK 브로드캐스팅 메시지를 수집한다. DHCP ACK 브로드캐스팅 메시지는, 액세스포인트(104)가 연결되어 있는 네트워크상의 브로드캐스팅 도메인안에 있는 단말의 주소 변경이 있는지를 검사하기 위하여 DHCP 서버(105)가 최종 IP승인을 인가할 때 보내는 메시지이다. 또한, DHCP 메시지 처리부(202)는 수집된 DHCP 메시지의 IP주소와 단말의 하드웨어 주소의 맵핑 정보를 ARP 맵핑 테이블 저장부(204)에 저장한다. ARP 맵핑 테이블 저장부(204)에 하드웨어 주소를 기준으로 기존의 주소의 맵핑 정보가 있는 경우에는, ARP 맵핑 테이블 저장부(204)에 새로 수집된 주소가 추가될 수 있다. 따라서, ARP 맵핑 테이블 저장부(204)에는 2개의 주소 즉, DHCP ACK 메시지가 수집되기 전의 주소 및 수집되어 추가된 주소가 들어갈 수 있다.
이러한 DHCP 메시지 처리부(202)의 동작에 의하여, 이하에서 설명할 ARP 공격 탐지부(203)는, ARP 메시지의 IP 주소와 하드웨어 주소의 맵핑 정보와, ARP 맵 핑 테이블 저장부(204) 내에 저장되어 있는 2개의 주소 모두와 일치하지 않는 경우에 공격으로 판단할 수 있다. 따라서, DHCP 서버의 유동적인 IP 주소 할당으로 인해 ARP 공격을 잘못 탐지할 가능성을 배제시킬 수 있다.
다음으로, ARP 공격 탐지부(203)의 동작을 설명한다.
ARP 공격 탐지부(203)는 ARP 메시지내의 근원지 IP주소 정보에 기초하여, ARP 맵핑 테이블 저장부(204)의 엔트리의 플래그를 검색하여, ARP 요청 메시지가 있었는지 여부를 판단한다. ARP 요청 메시지가 없으며, ARP 메시지의 IP주소와 하드웨어 주소의 맵핑 정보가 ARP 맵핑 테이블 저장부(204)안의 IP주소와 하드웨어 주소의 맵핑 정보와 일치하지 않는 경우 이것을 공격으로 판단하고 공격 알람 메시지를 관리자에게 발송할 수 있다.
상기에는, ARP 메시지와 DHCP ACK 메시지를 분석하여 추출된 맵핑 정보가 각각 ARP 메시지 처리부(201)와 DHCP 메시지 처리부(201)에 의해서 ARP 맵핑 테이블 저장부(204)에 저장되는 것으로 설명하였지만, ARP 맵핑 테이블 저장부(204)가 저장 동작을 수행할 수 있도록 구성할 수도 있다.
또한, 본 발명의 일 실시예에 따른 ARP 공격 탐지 장치(200)는, 네트워크 상의 패킷 형태의 메시지를 무선랜 드라이버(20) 및 패킷 수신부(25)를 이용하여 수신한 다음, 수신된 메시지를 ARP 메시지 처리부(201) 또는 DHCP 메시지 처리부(202)로 전달하도록 구성될 수도 있다. 무선랜 드라이버(20)는 네트워크상의 메시지를 수신하고 본 발명의 ARP 공격 탐지 장치(200)의 구성요소를 제어하는 소프트웨어로 구성될 수 있다.
도 3은 본 발명의 일 실시예에 따른, ARP 맵핑 테이블 저장부(204)의 구조를 도시한 도면이다.
본 발명의 실시예에서, ARP 맵핑 테이블 저장부(204)는 기본적으로 해당 주소를 인덱스로 한 빠른 검색을 지원하기 위해 해쉬 테이블의 형태로 구성되며, 하드웨어 주소를 해쉬한 해쉬 테이블 인덱스(301)로 테이블을 인덱싱한다. 해쉬한 결과가 똑같은 값을 가지는 경우에는 해당 엔트리안의 포인터(305)를 사용하여, 다음 엔트리를 링크드 리스트(linked list)구조를 이용함으로써, 충돌을 회피하고 효율적인 주소관리를 위한 자료구조를 유지한다.
어떤 ARP 응답 메시지에 대해 ARP 요청 메시지가 있었는지를 검사하기 위해서는 별도의 테이블이 필요하다. 이 경우 ARP 요청 메시지가 수집되면 목적지 IP주소를 기준으로 해당 IP주소에 대한 하드웨어 주소를 찾는 ARP 요청이 있었는지를 저장해야 하기 때문에 IP주소를 인덱스로 한 테이블이 필요하다.
또한, ARP 맵핑 테이블 저장부(204)에서는 ARP 메시지의 근원지 IP주소(303)와 근원지 하드웨어 주소(302)의 맵핑 정보를 저장해야 하기 때문에 하드웨어 주소를 인덱스로 한 테이블이 사용된다. ARP 메시지의 목적지 IP 주소와 하드웨어 주소의 맵핑 정보가 기존에 저장되어 있는 경우에는, 기존의 IP 주소와 하드웨어 주소가 비교된다.
또한, DHCP ACK 메시지 안의 클라이언트 IP주소와 클라이언트 하드웨어 주소도 하드웨어 주소를 인덱스로 한 테이블에 저장된다. DHCP ACK메시지가 수집되는 때, 기존의 주소의 맵핑 정보가 있는 경우 DHCP 메시지 안의 IP주소는 두 번째 IP 주소(304)에 저장된다.
도 4는 본 발명의 일 실시예에 따른, ARP 메시지와 DHCP ACK 메시지가 액세스포인트에서 수집될 때의 각각의 처리과정에 대한 흐름도이다.
먼저, 본 발명에 따른 ARP 공격 탐지 장치는 네트워크상의 메시지(패킷)를 수집한다(S401). 그 다음 수집된 네트워크상의 메시지가 ARP 메시지인지를 확인한다.(S402). 수집된 메시지가 ARP 메시지인 경우에는, 메시지안의 하드웨어 주소와 IP 주소를 추출한다(S403). ARP 메시지가 ARP 요청 메시지인지 ARP 응답 메시지인지 판별한다(S404).
ARP 응답 메시지의 경우, ARP 맵핑 테이블 저장부(204;도 2)에서 근원지 하드웨어 주소를 기준으로 검색되는 엔트리가 있는지 검색한다(S405). ARP 응답 메시지의 경우 검색된 엔트리가 있는 경우 엔트리의 내용과 근원지 IP주소와 근원지 하드웨어 주소의 맵핑 정보를 비교한다(S406). ARP 메시지에서 추출된 맵핑 정보와 ARP 맵핑 테이블 저장부(204)의 엔트리를 비교한 결과 불일치가 발생하는 경우에는 ARP 맵핑 테이블 저장부(204)를 검색하여 추출된 IP주소에 대한 하드웨어 주소를 요청하는 ARP 요청 메시지가 있었는지를 나타내는 플래그를 이용하여 확인한다(S407). ARP 요청 메시지가 없으면, ARP 공격으로 판단하고 이를 네트워크 관리자에게 공격 알람 메시지를 발송한다(S408). 공격 알람 이후에는 ARP 메시지의 IP주소-하드웨어 주소의 맵핑 정보로 테이블 엔트리 내용을 갱신한다(S409).
ARP 메시지가 ARP 요청 메시지인 경우에는, ARP 맵핑 테이블 저장부 (204) 로부터 검색된 엔트리에 대해 IP 주소에 대한 요청이 있었음을 플래그를 이용하여 저장한다(S410).
네트워크 관리자는 공격에 대한 보고가 있는 경우, 자동적으로 공격 단말에 대한 연결을 차단하도록 구성될 수 있다. 다른 방법으로는, 네트워크 관리자가 공격 여부를 판단한 다음, 조치를 취할 수도 있다.
수집한 메시지가 DHCP 메시지인 경우(S421), 이 메시지가 DHCP ACK 메시지인지 확인한다(S422). DHCP ACK 메시지인 경우, 메시지 내의 클라이언트 할당 IP 주소와 클라이언트 하드웨어 주소의 맵핑 정보를 추출한다(S423). 그 후, 메시지 내의 클라이언트 할당 IP주소와 클라이언트 하드웨어 주소의 맵핑 정보는 상술한 바와 같이, ARP 맵핑 테이블 저장부(204)에 새로운 엔트리로 추가되거나 IP주소 부분만 추가되어 저장된다(S409). 추가된 ARP 맵핑 테이블 저장부(204)의 엔트리는 추후의 ARP 메시지의 공격여부를 정확하게 판단하기 위한 기준으로 사용된다. 따라서, DHCP 서버가 이용되어 동적 IP 가 할당되는 네트워크 환경에서, 주소의 맵핑 정보를 탐지 장치가 유지하고 이를 공격여부의 판단에 활용함으로써 잘못된 ARP 공격 탐지를 방지할 수 있다.
본 발명의 실시예는 인트라넷과 인터넷에서 널리 쓰이고 있는 무선랜 액세스포인트 내부에 설치되는 것으로 설명하였으나, 본 발명에 따른 ARP 공격 탐지 장치는 가정 또는 회사에서의 무선 IP 공유기 등의 장비에도 용이하게 적용될 수 있다.
이상에서 설명한 바와 같이, 본 발명에 따른 ARP 공격 탐지 장치를 액세스포인트 내부에 설치함으로써, 무선랜 환경의 도입으로 인해 발생하는 ARP 공격을 관 리자에게 보고할 수 있다. 그 결과, 관리자가 미리 설정된 조치 예를 들면, 자동적으로 공격 단말에 대한 연결을 차단하는 등의 조치를 취함으로써 무선랜 환경에서의 보안 취약점을 개선할 수 있다.
또한, 본 발명에 따른 ARP 공격 탐지 장치는, DHCP 서버의 사용으로 인하여 잘못된 탐지를 할 수 있는 가능성이 있는 환경에서 기존의 DHCP 서버에 대한 수정을 가하지 않으면서, 수집된 DHCP 메시지를 분석하고 DHCP에 의한 주소 할당을 모니터링함으로써 정확한 ARP 공격 탐지를 수행할 수 있다.

Claims (13)

  1. 무선랜 액세스포인트 내부에 위치하는 ARP(Address Resolution Protocol) 공격을 탐지하는 장치로서,
    DHCP(Dynamic Host Configuration Protocol) 메시지를 분석하여 단말의 IP(Internet Protocol) 주소 및 하드웨어 주소를 포함하는 맵핑 정보를 추출하는 DHCP 메시지 처리부;
    ARP 메시지를 분석하여 단말의 IP 주소 및 하드웨어 주소를 포함하는 맵핑 정보를 추출하는 ARP 메시지 처리부;
    상기 DHCP 메시지의 맵핑 정보 및 상기 ARP 메시지의 맵핑 정보를 저장하는 ARP 맵핑 테이블 저장부; 및
    신규하게 수신되는 ARP 메시지에서 추출된 맵핑 정보와 상기 ARP 맵핑 테이블 저장부에서 검색되는 맵핑 정보가 불일치하는 경우 ARP 공격으로 탐지하는 ARP 공격 탐지부를 포함하는 것을 특징으로 하는 ARP 공격 탐지 장치.
  2. 제1항에 있어서,
    상기 ARP 메시지 처리부는, 상기 ARP 메시지를 ARP 요청 메시지와 상기 ARP 응답 메시지로 판별하고, 상기 판별된 ARP 요청 메시지에 대해서는 상기 ARP 맵핑 테이블 저장부에 상기 단말의 IP 주소에 대한 요청이 있었음을 나타내는 플래그를 이용하여 저장하는 것을 포함하는 것을 특징으로 하는 ARP 공격 탐지 장치.
  3. 제1항에 있어서,
    상기 ARP 공격 탐지부는, 상기 ARP 응답 메시지의 맵핑 정보와 상기 ARP 맵핑 테이블 저장부에서 검색된 엔트리 내용을 비교하고,
    비교한 결과 불일치하고, 상기 플래그가 상기 ARP 요청 메시지가 없음을 나타내는 경우를 ARP 공격으로 판단하여 알람 메시지를 발송하는 것을 포함하는 것을 특징으로 하는 ARP 공격 탐지 장치.
  4. 제1항에 있어서,
    상기 DHCP 메시지 처리부는, 상기 DHCP 메시지가 수집되기 이전에 상기 하드웨어 주소를 기준으로 한 IP 주소가 상기 ARP 맵핑 테이블 저장부에 저장되어 있는 경우, 상기 DHCP 메시지내의 IP 주소를 추가하여 저장하는 것을 특징으로 하는 ARP 공격 탐지 장치.
  5. 제1항에 있어서,
    상기 ARP 공격 탐지부는, 상기 ARP 맵핑 테이블 저장부에서 검색된 엔트리에 DHCP 메시지 수집전의 맵핑 정보 및 DHCP 메시지 수집후의 맵핑 정보가 있는 경우, 상기 ARP 메시지에서 추출된 맵핑 정보와 상기 ARP 맵핑 테이블 저장부의 2 개의 맵핑 정보가 모두 일치하지 않는 경우를 ARP 공격으로 판단하는 것을 특징으로 하는 ARP 공격 탐지 장치.
  6. 제1항에 있어서,
    상기 ARP 공격 탐지부는, ARP 공격으로 판단된 경우 공격 단말에 대한 연결을 자동적으로 차단하는 것을 특징으로 하는 ARP 공격 탐지 장치.
  7. 제1항에 있어서,
    상기 ARP 맵핑 테이블 저장부는 상기 단말의 하드웨어 주소를 해싱한 결과로 인덱싱되는 해쉬 테이블로 구성되는 것을 특징으로 하는 ARP 공격 탐지 장치.
  8. 무선랜 액세스포인트 내부에 위치하는 ARP(Address Resolution Protocol) 공격 탐지 장치에서 ARP 공격을 탐지하는 방법으로서,
    DHCP(Dynamic Host Configuration Protocol) 메시지를 분석하여 단말의 IP(Internet Protocol) 주소 및 하드웨어 주소를 포함하는 맵핑 정보를 추출하는 DHCP 메시지 처리 단계;
    ARP 메시지를 분석하여 단말의 IP 주소 및 하드웨어 주소를 포함하는 맵핑 정보를 추출하는 ARP 메시지 처리 단계;
    상기 DHCP 메시지의 맵핑 정보 및 상기 ARP 메시지의 맵핑 정보를 ARP 맵핑 테이블 저장부에 저장하는 저장 단계; 및
    신규하게 수신되는 ARP 메시지에서 추출된 맵핑 정보와 상기 ARP 맵핑 테이블 저장부에서 검색되는 맵핑 정보가 불일치하는 경우 ARP 공격을 탐지하는 공격 탐지 단계를 포함하는 것을 특징으로 하는 ARP 공격 탐지 방법.
  9. 제8항에 있어서,
    상기 ARP 메시지 처리 단계는, 상기 ARP 메시지를 ARP 요청 메시지와 상기 ARP 응답 메시지로 판별하고, 상기 판별된 ARP 요청 메시지에 대해서는 상기 ARP 맵핑 테이블 저장부에 상기 단말의 IP 주소에 대한 요청이 있었음을 나타내는 플래그를 이용하여 저장하는 단계를 포함하는 것을 특징으로 하는 ARP 공격 탐지 방법.
  10. 제8항에 있어서,
    상기 공격 탐지 단계는, 상기 ARP 응답 메시지의 맵핑 정보와 상기 ARP 맵핑 테이블 저장부에서 검색된 엔트리 내용을 비교하는 단계; 및
    비교한 결과 불일치하고, 상기 플래그가 상기 ARP 요청 메시지가 없음을 나타내는 경우를 ARP 공격으로 판단하여 알람 메시지를 발송하는 단계를 포함하는 것을 특징으로 하는 ARP 공격 탐지 방법.
  11. 제8항에 있어서,
    상기 DHCP 메시지 처리 단계는, 상기 DHCP 메시지가 수집되기 이전에 상기 하드웨어 주소를 기준으로 한 IP 주소가 저장되어 있는 경우, 상기 DHCP 메시지내의 IP 주소를 추가하여 저장하는 단계를 포함하는 것을 특징으로 하는 ARP 공격 탐지 방법.
  12. 제8항에 있어서,
    상기 공격 탐지 단계는, 상기 ARP 맵핑 테이블 저장부에서 검색된 엔트리에 DHCP 메시지 수집전의 맵핑 정보 및 DHCP 메시지 수집후의 맵핑 정보가 있는 경우, 상기 ARP 메시지에서 추출된 맵핑 정보와 상기 ARP 맵핑 테이블 저장부의 2 개의 맵핑 정보가 모두 일치하지 않는 경우를 ARP 공격으로 판단하는 것을 포함하는 것을 특징으로 하는 ARP 공격 탐지 방법.
  13. 제8항에 있어서,
    상기 공격 탐지 단계는, ARP 공격으로 판단된 경우, 공격 단말에 대한 연결을 자동적으로 차단하는 단계를 더 포함하는 것을 특징으로 하는 ARP 공격 탐지 방법.
KR1020050022931A 2004-12-08 2005-03-19 Arp 공격 탐지 장치 및 방법 KR100779072B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020040102963 2004-12-08
KR20040102963 2004-12-08

Publications (2)

Publication Number Publication Date
KR20060064450A true KR20060064450A (ko) 2006-06-13
KR100779072B1 KR100779072B1 (ko) 2007-11-27

Family

ID=37160006

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050022931A KR100779072B1 (ko) 2004-12-08 2005-03-19 Arp 공격 탐지 장치 및 방법

Country Status (1)

Country Link
KR (1) KR100779072B1 (ko)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100807933B1 (ko) * 2006-11-28 2008-03-03 엘지노텔 주식회사 에이알피 스푸핑 감지 시스템 및 감지 방법과 그 방법이저장된 컴퓨터 판독가능 저장매체
KR100920528B1 (ko) * 2008-11-27 2009-10-09 (주)넷맨 Arp 스푸핑 탐지 및 방어 방법 및 그에 따른 시스템
KR101064382B1 (ko) * 2007-06-07 2011-09-14 주식회사 케이티 통신 네트워크에서의 arp 공격 차단 시스템 및 방법
WO2012153913A1 (ko) * 2011-05-12 2012-11-15 주식회사 이스트소프트 차단서버를 이용한 스푸핑 공격 방어방법
KR101236822B1 (ko) * 2011-02-08 2013-02-25 주식회사 안랩 Arp록킹 기능을 이용한 arp스푸핑 공격 탐지 방법과 그 방법을 실행하기 위한 프로그램이 기록된 기록매체
KR101360591B1 (ko) * 2011-09-29 2014-02-11 한국전력공사 화이트리스트를 이용한 네트워크 감시 장치 및 방법
CN106488458A (zh) * 2016-12-21 2017-03-08 锐捷网络股份有限公司 检测网关arp欺骗的方法及装置

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101166352B1 (ko) 2011-12-27 2012-07-23 주식회사 하우리 Ip 스푸핑 탐지 및 차단 방법
KR102445916B1 (ko) * 2021-09-09 2022-09-21 스콥정보통신 주식회사 네트워크에서의 단말 관리 장치 및 그 방법
KR102584537B1 (ko) * 2021-09-29 2023-10-12 숭실대학교산학협력단 네트워크 공격탐지시스템

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001211180A (ja) 2000-01-26 2001-08-03 Nec Commun Syst Ltd クライアント認証機能付きdhcpサーバ、及びその認証方法
KR100478535B1 (ko) * 2001-09-11 2005-03-28 플러스기술주식회사 Dhcp를 이용한 인증받지 않은 사용자의 인터넷 및네트워크 접속 방지 시스템과 그의 방법
KR100437726B1 (ko) * 2002-02-18 2004-06-30 (주)테라정보시스템 사설디에치씨피 서버를 감시 및 차단하는 시스템 및 그 방법
KR100470422B1 (ko) * 2002-03-05 2005-02-05 주식회사 프리컴시스템 사설 dhcp 서버 제어 방법
KR100533785B1 (ko) * 2003-06-19 2005-12-06 주식회사 인티게이트 Dhcp 패킷을 이용한 동적 ip 주소할당 환경에서의arp/ip 스푸핑 자동 방지 방법

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100807933B1 (ko) * 2006-11-28 2008-03-03 엘지노텔 주식회사 에이알피 스푸핑 감지 시스템 및 감지 방법과 그 방법이저장된 컴퓨터 판독가능 저장매체
KR101064382B1 (ko) * 2007-06-07 2011-09-14 주식회사 케이티 통신 네트워크에서의 arp 공격 차단 시스템 및 방법
KR100920528B1 (ko) * 2008-11-27 2009-10-09 (주)넷맨 Arp 스푸핑 탐지 및 방어 방법 및 그에 따른 시스템
KR101236822B1 (ko) * 2011-02-08 2013-02-25 주식회사 안랩 Arp록킹 기능을 이용한 arp스푸핑 공격 탐지 방법과 그 방법을 실행하기 위한 프로그램이 기록된 기록매체
WO2012153913A1 (ko) * 2011-05-12 2012-11-15 주식회사 이스트소프트 차단서버를 이용한 스푸핑 공격 방어방법
KR101231975B1 (ko) * 2011-05-12 2013-02-08 (주)이스트소프트 차단서버를 이용한 스푸핑 공격 방어방법
US9038182B2 (en) 2011-05-12 2015-05-19 Estsoft Corp. Method of defending against a spoofing attack by using a blocking server
KR101360591B1 (ko) * 2011-09-29 2014-02-11 한국전력공사 화이트리스트를 이용한 네트워크 감시 장치 및 방법
CN106488458A (zh) * 2016-12-21 2017-03-08 锐捷网络股份有限公司 检测网关arp欺骗的方法及装置

Also Published As

Publication number Publication date
KR100779072B1 (ko) 2007-11-27

Similar Documents

Publication Publication Date Title
KR100779072B1 (ko) Arp 공격 탐지 장치 및 방법
CN108206814B (zh) 一种防御dns攻击的方法、装置及系统
US8972571B2 (en) System and method for correlating network identities and addresses
KR101270041B1 (ko) Arp 스푸핑 공격 탐지 시스템 및 방법
US7886357B2 (en) Method and system for reducing the false alarm rate of network intrusion detection systems
JP4179300B2 (ja) ネットワーク管理方法および装置並びに管理プログラム
JP2006352669A (ja) 攻撃検知・防御システム
US8804729B1 (en) IPv4, IPv6, and ARP spoofing protection method
KR100807933B1 (ko) 에이알피 스푸핑 감지 시스템 및 감지 방법과 그 방법이저장된 컴퓨터 판독가능 저장매체
CN101674306B (zh) 地址解析协议报文处理方法及交换机
CN111683162B (zh) 一种基于流量识别的ip地址管理方法
CN113347155A (zh) 一种arp欺骗的防御方法、系统及装置
CN113132385A (zh) 一种防止网关arp欺骗的方法及装置
US10097418B2 (en) Discovering network nodes
CN112383559A (zh) 地址解析协议攻击的防护方法及装置
US10015179B2 (en) Interrogating malware
CN106488458B (zh) 检测网关arp欺骗的方法及装置
CN110995738B (zh) 暴力破解行为识别方法、装置、电子设备及可读存储介质
JP4484190B2 (ja) ルーター探索システム、ルーター探索方法、及びルーター探索プログラム
CN111683068A (zh) 失陷主机的定位方法、防护装置、网络安全设备及介质
KR101188308B1 (ko) 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템 및 그 방법
US10951650B2 (en) Detection of network sniffing activity
KR101466729B1 (ko) IPv6 환경에서의 단말 정보 통합 관리 장치 및 방법
JP4081042B2 (ja) 不正通信監視装置、及び不正通信監視プログラム
KR101453728B1 (ko) Nat ip 처리 기반 네트워크 보안 정책 제공 방법 및 장치

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
J201 Request for trial against refusal decision
E902 Notification of reason for refusal
B701 Decision to grant
GRNT Written decision to grant
G170 Re-publication after modification of scope of protection [patent]
FPAY Annual fee payment

Payment date: 20101101

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee