KR20080107599A - 통신 네트워크에서의 arp 공격 차단 시스템 및 방법 - Google Patents

통신 네트워크에서의 arp 공격 차단 시스템 및 방법 Download PDF

Info

Publication number
KR20080107599A
KR20080107599A KR1020070055551A KR20070055551A KR20080107599A KR 20080107599 A KR20080107599 A KR 20080107599A KR 1020070055551 A KR1020070055551 A KR 1020070055551A KR 20070055551 A KR20070055551 A KR 20070055551A KR 20080107599 A KR20080107599 A KR 20080107599A
Authority
KR
South Korea
Prior art keywords
arp
packet
acl
dhcp
address
Prior art date
Application number
KR1020070055551A
Other languages
English (en)
Other versions
KR101064382B1 (ko
Inventor
오석환
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020070055551A priority Critical patent/KR101064382B1/ko
Publication of KR20080107599A publication Critical patent/KR20080107599A/ko
Application granted granted Critical
Publication of KR101064382B1 publication Critical patent/KR101064382B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 L2 스위치에서 DHCP 패킷을 스니핑하여 ACL(ACcess List)를 자동생성하고 상기 ACL에 게이트웨이에 해당하는 L3 스위치의 정보(IP 주소, MAC 정보)를 등록하여 상향 ARP 패킷과 하향 ARP 패킷의 ARP 공격을 차단할 수 있는 기술에 관한 것이다.
이를 위해, 본 발명은 (a) 스니핑된 DHCP 패킷을 이용하여 ACL(ACcess List)을 생성하는 과정, (b) 상기 ACL 리스트에 게이트웨이에 해당하는 L3 스위치의 IP 주소와 MAC 정보를 등록하는 과정, (c) 단말로부터 전송된 상기 L3 스위치의 MAC 정보 변경을 위한 ARP 패킷을 추출하여 상기 ARP 패킷으로부터 IP 주소와 MAC 정보를 추출하는 과정, (d) 상기 IP 주소와 MAC 정보가 상기 ACL에 존재하는가를 판단하는 과정, (e) 상기 IP 주소와 MAC 정보가 상기 ACL에 존재하지 않으면 상기 ARP 패킷을 폐기시키는 과정을 구비하는 것을 특징으로 한다.

Description

통신 네트워크에서의 ARP 공격 차단 시스템 및 방법{ARP ATTACK BLOCKING SYSTEM IN COMMUNICATION NETWORK AND METHOD THEREOF}
도 1은 종래 ARP 스푸핑 차단 시스템의 개략적 구성도.
도 2는 종래 ARP 스푸핑 차단 시스템에서 DHCP relay 기능을 설명하기 위한 네트워크 구성도.
도 3은 본 발명이 적용되는 통신 네트워크의 개략적 구성도.
도 4는 도 3에 도시된 L2 스위치의 세부 구성도.
도 5는 본 발명에 적용되는 L2 이더넷 프레임 구조도.
도 6은 본 발명에 적용되는 ARP 패킷의 구조도.
도 7와 도 8은 본 발명의 실시예에 따른 통신 네트워크에서의 ARP 공격 차단 방법을 설명하기 위한 플로우차트.
도 9는 본 발명의 실시예에 따른 통신 네트워크에서의 ARP 공격 차단 방법을 설명하기 위한 네트워크 구성 예시도.
< 도면의 주요 부분에 대한 부호의 설명 >
1, 2, 10: 단말 200: L2 스위치
300: L3 스위치 40: DHCP 서버
본 발명은 통신 네트워크에서의 ARP 공격 차단 시스템 및 방법에 관한 것으로, 보다 상세하게는 L2 스위치에서 DHCP 패킷을 스니핑하여 ACL(ACcess List)를 자동생성하고 상기 ACL에 게이트웨이에 해당하는 L3 스위치의 정보(IP 주소, MAC 정보)를 등록하여 상향 ARP 패킷과 하향 ARP 패킷의 ARP 공격을 차단할 수 있는 기술에 관한 것이다.
인터넷의 사용이 날로 증가함에 따라 해킹의 기술 또한 증가하고 있으며, 현재에 이르러서는 해킹 프로그램 등이 네트워크 상에 산재하는 상황에 까지 이르게 됨으로써, 이제 전문가가 아닌 일반인도 해커가 될 수 있는 상황에 이르렀다. 한편, DoS, DDoS, Sniffing 또는 Hijacking 과 같은 해킹을 위해 사용되는 근본적인 수단이 ARP 스푸핑(Spoofing) 또는 IP 스푸핑이다.
이중 ARP(Address Resolution Protocol) 스푸핑은 센서(Sender) 하드웨어(MAC) 주소와 센서 IP 주소를 조작하는 것으로서, 로컬 네트워크에서 다른 시스템의 IP 주소에 대해서 공격 시스템의 MAC 주소를 ARP Reply 패킷의 소스 정보를 사용하여 로컬 네트워크 내의 다른 라우터나 스위치, 호스트들의 ARP 테이블을 변경함으로써 공격 시스템의 IP 주소가 아닌 패킷을 공격 시스템의 MAC 주소를 달고 공격 시스템으로 전달되게 만드는 공격 기법이다. ARP 스푸핑을 통하여 동일한 내부 네트워크에 연결된 다른 호스트에서 행하여지는 여러가지 패킷들을 훔쳐 봄으로써 개인 정보가 유출될 수 있고, 심지어 금융정보까지도 노출되는 위험이 있으며 특정 서버의 관리자 레벨의 ID와 패스워드를 훔쳐 봄으로써 서버 정보를 마음대로 조작하는 것이 가능한 게 현실이다.
종래 ARP 스푸핑에 대해서는 스위치나 호스트에서 정적으로 ARP 테이블을 구성하여 스푸핑된 ARP 패킷에 의해서 ARP 패킷이 변경되지 않도록 하는 방법이 사용되었다. 그러나, 상기 방법은 네트워크의 규모가 큰 곳이나 인터페이스 카드를 빈번히 교체하는 곳에서는 운용자가 직접 ARP 테이블의 엔트리를 매번 수정해야 하므로 현실적으로 사용이 곤란한 문제점이 있었다.
상술한 문제점을 해결하기 위하여 DHCP 스푸핑 기능을 이용하여 ARP 스푸핑을 차단하는 기술이 제안되었다.
도 1은 종래 ARP 스푸핑 차단 시스템의 개략적 구성도이다.
단말(10)이 접속된 L2 스위치(20)로부터 DHCP discover 메시지가 전송되면(①), DHCP 서버(40)는 단말(10)에 대해 IP 주소를 할당한 후 할당된 IP 주소 정보가 포함된 DHCP ack 메시지를 L2 스위치(20)를 통해 단말(10)로 전송한다(②).
DHCP 서버(40)에 구축되는 DHCP DB의 [표 1]과 같이 구성될 수 있다.
DHCP DB의 구성예
MAC IP Port Vlan Homdtime(s)
AA 10.1.1.10 Fa1/0 1 1800
BB 10.1.1.20 Fa0/2 1 1800
L2 스위치(20)는 DHCP Snoop 기능을 이용하여 MAC 정보와 IP 주소 정보를 포함하는 [표 2]와 같은 DHCP Snoop 테이블을 구축한다.
DHCP Snoop 테이블 구성예
MAC IP
AA 10.1.1.10
BB 10.1.1.20
또, L2 스위치(20)는 ARP 패킷의 payload에서 Source MAC, Source IP를 추출하여 [표 3]과 같은 ARP 테이블을 구축한다.
ARP 테이블 구성예
MAC IP
CC 10.1.1.10
BB 10.1.1.20
이후, L2 스위치(20)는 DHCP Snoop 테이블과 ARP 테이블을 비교하여 MAC 정보과 IP 주소가 서로 일치하면 ARP 패킷을 내부 네트워크로 통과시키고, 다르면 drop 시키는 ACL(Access List) 정책의 적용 과정으로 나눌 수 있다.
DHCP 서버에 등록된 정보는 가입자가 인터넷에 접속하기 전 시점에 IP 할당과정에서 얻어진 정보이기 때문에 어떤 정보보다도 정확하고, 신뢰도가 높은 정보라 할 수 있다.
상술되어진 바와 같이 DHCP Snoop 기능의 적용시 하기와 같은 문제점이 있다.
스위치에 별도의 DHCP에 관한 relay 기능을 함으로써 부하 증가가 있을 수 있으며, Broadcast 되는 DHCP 패킷이 타 스위치로 전파되지 않게 하기 위해 복잡한 Ingress 필터링 또는 egress filter 기법을 적용하여야 한다는 단점이 있다.
또한, 상술되어진 DHCP snoop 기능은 L3 스위치에서 가입자 단말로 전송되는 하향 트래픽에 대해 ARP 차단 방법만을 제공할 뿐, 공격자 단말이 L3 스위치의 MAC 주소를 자신의 MAC 주소로 변경하여 원래의 L3 스위치로 전송되어야 하는 패킷이 공격자 단말로 전송되도록 하는 공격에 대해서는 대응을 할 수 없다는 문제가 있다.
본 발명은 상기한 사정을 감안하여 창출되어진 것으로서, 본 발명은 스니핑(Sniffing) 기법에 의해 DHCP 패킷을 획득하여 허가 ACL 리스트를 생성하여 상기 ACL 리스트를 근거로 DHCP 패킷의 필터링함으로써 ARP 공격을 차단하는 것을 주 목적으로 한다.
또한, 본 발명은 각 L2 스위치에서 허가된 L3 스위치 정보를 관리하여 공격용 단말이 ARP 패킷을 통해 L3 스위치의 MAC 주소를 변경하는 ARP 공격을 차단하는 것을 다른 목적으로 한다.
상기한 목적을 달성하기 위해 본 발명에 따른 통신 네트워크에서의 ARP 공격 차단 시스템은, 스니핑된 DHCP 패킷을 이용하여 허가 ACL(ACcess List)를 생성하는 ACL 생성수단, 게이트웨이에 해당하는 L3 스위치의 정보와 수락 허가 대상 에 해당하는 단말들의 정보가 저장되는 ACL, 상기 ACL을 근거로 임의 단말의 상기 L3 스위치에 대한 MAC 정보 변경 시도를 감지하여 이를 차단하는 ARP 공격 판단 수단을 구비하는 것을 특징으로 한다.
바람직하게, 본 발명에서 상기 ACL 생성 수단은 상기 L3 스위치로부터 전송되는 DHCP 패킷을 스니핑하는 DHCP 패킷 스니핑 부, 상기 DHCP 패킷으로부터 특정 단말의 IP 주소와 MAC 정보를 추출하는 DHCP 패킷 분석부, 상기 IP 주소와 MAC 주소를 이용하여 DHCP 스니핑 테이블을 생성하는 DHCP 스니핑 테이블 생성부, 및 상기 DHCP 스니핑 테이블을 이용하여 ACL을 생성하여 저장하는 ACL 생성부를 구비하는 것을 특징으로 한다.
바람직하게, 본 발명에서 상기 ARP 공격 판단 수단은 IP 패킷으로부터 ARP 패킷을 추출하는 ARP 패킷 추출부, 상기 추출된 ARP 패킷으로부터 IP 주소와 MAC 정보를 추출하는 ARP 패킷 분석부, 및 상기 IP 주소와 상기 MAC 정보가 상기 ACL에 존재하지 않으면, 상기 ARP 패킷을 ARP 공격 패킷으로 판단하여 폐기하는 ARP 공격 판단부를 구비하는 것을 특징으로 한다.
상기한 목적을 달성하기 위해 본 발명에 따른 통신 네트워크에서의 ARP 공격 차단 방법은, (a) 스니핑된 DHCP 패킷을 이용하여 ACL(ACcess List)을 생성하는 과정, (b) 상기 ACL 리스트에 게이트웨이에 해당하는 L3 스위치의 IP 주소와 MAC 정보를 등록하는 과정, (c) 단말로부터 전송된 상기 L3 스위치의 MAC 정보 변경을 위한 ARP 패킷을 추출하여 상기 ARP 패킷으로부터 IP 주소와 MAC 정보를 추출하는 과정, (d) 상기 IP 주소와 MAC 정보가 상기 ACL에 존재하는가를 판단하는 과 정, (e) 상기 IP 주소와 MAC 정보가 상기 ACL에 존재하지 않으면 상기 ARP 패킷을 폐기시키는 과정을 구비하는 것을 특징으로 한다.
바람직하게, 본 발명에서 상기 (a)과정은 (a1) 상기 스니핑된 DHCP 패킷으로부터 IP 주소와 MAC 정보를 추출하여 DHCP 스니핑 테이블을 생생하는 과정, 및 (a2) 상기 DHCP 스니핑 테이블을 이용하여 상기 ACL 을 생성하는 과정을 구비한다.
바람직하게, 본 발명에서 상기 (c)과정에서 상기 L3 스위치의 MAC 정보 변경을 위한 ARP 패킷은 레이어 2 이더넷 프레임 구조의 Type 필드를 통해 구분되어진다.
이하, 첨부되어진 도면을 참조하여 본 발명의 실시예를 구체적으로 설명한다.
도 3은 본 발명이 적용되는 통신 네트워크의 개략적 구성도이다.
도 3에 도시된 구성요소 중에서 도 1에 도시된 구성요소와 동일한 기능을 수행하는 구성요소에 대해서는 도 1에서와 동일한 참조번호를 부여하고 그에 대한 상세한 설명은 생략한다.
도 3에서는 L2 스위치(200)는 DHCP 패킷을 스니핑하여 자동적으로 ACL(ACcess List)를 생성하고, 그 생성된 ACL를 근거로 상향 ARP 패킷과 하향 ARP 패킷의 공격성을 판단하여 ARP 패킷의 수락 여부를 결정하는 기능을 수행한다.
L2 스위치(200)는 수락 결정된 상향 ARP 패킷을 다른 가입자 단말로 전송하여 상기 단말이 상기 ARP 패킷을 반영하여 ARP 테이블을 변경할 수 있도록 하고, 수락 결정된 하향 ARP 패킷은 해당 단말로 전송한다.
도 4는 L2 스위치(200)의 세부 구성도이고, L2 스위치(200)는 도 4에 도시된 바와 같이 DHCP 패킷 스니핑 부(201), DHCP 패킷분석부(202), DHCP 스니핑 테이블 생서부(203), DHCP 스니핑 테이블(204), ACL 생성부(205), ACL 저장부(206), ARP 패킷 추출부(207), ARP 패킷 분석부(208), ARP 공격 판단부(209), 및 패킷 전송 제어부(210)를 구비한다.
DHCP 패킷 스니핑 부(201)는 L3 스위치(30)가 단말(10)로 전송하는 IP 패킷 중에서 DHCP 패킷만을 스니핑(sniffing)하여 DHCP 패킷 분석부(202)로 전송하는 기능을 수행하고, DHCP 패킷분석부(202)는 상기 HDCP 패킷으로부터 단말(10)의 MAC 정보와 IP 주소를 추출하여 DHCP 스니핑 테이블 생성부(203)로 전송하는 기능을 수행한다. DHCP 패킷 스니핑 부(201)는 DHCP 패킷의 하향 패킷 중에서 DHCP ACK 패킷을 스니핑 한다.
DHCP 스니핑 테이블 생성부(203)는 DHCP 패킷분석부(202)로부터 전송되는 단말(10)의 MAC 정보와 IP 주소를 DHCP 스니핑 테이블(204)에 저장하여 DHCP 스니핑 테이블을 생성하는 기능을 수행한다.
ACL 생성부(205)는 DHCP 스니핑 테이블(204)을 이용하여 ACL(ACcess List)를 생성하여 ACL 저장부(206)에 저장하는 기능을 수행한다.
ACL 저장부(206)에 저장되는 ACL에는 허락(permit) 대상이 되는 단말들의 정보(MAC 정보, IP 주소)와 게이트웨이(G/W)에 해당하는 L3 스위치들의 정보(MAC 정보, IP 주소)가 등록된다. 여기서, 단말들의 정보는 각 단말의 MAC 정보와 IP 주소이고, L3 스위치들의 정보는 각 L3 스위치들의 MAC 정보와 IP 주소에 해당한다.
ARP 패킷 추출부(207)은 DHCP 패킷 스니핑 부(201)를 통과한 레이어 2 이더넷 프레임을 근거로 ARP 패킷을 추출하는 기능을 수행하고, ARP 패킷 분석부(208)는 추출된 ARP 패킷이 상향 트래픽인 경우에는 상기 ARP 패킷으로부터 L3 스위치의 MAC 정보와 IP 주소를 추출하여 ARP 공격 판독부(209)로 전송하고 상기 추출된 ARP 패킷이 하향 트래픽인 경우에는 상기 ARP 패킷으로부터 클라이언트에 해당하는 단말의 MAC 주소와 IP 주소를 추출하여 ARP 공격 판독부(209)로 전송한다.
여기서, ARP 패킷 추출부(207)는 도 5에 도시된 레이어 2 이더넷 프레임 구조의 Type 필드를 통해 구분하는데, Type이 0x0800 이면 상위 계층이 IP 프로토콜임을 의미하고, Type이 0x0806 이면 상위 계층이 ARP 프로토콜임을 의미한다.
또한, ARP 패킷 분석부(208)는 도 6과 같은 ARP 패킷 구조에서 Operation 타입을 근거로 상기 ARP 패킷이 상향 트래픽인지 하향 트래픽인지를 판단한다. 즉, 상기 Operation 필드값이 "1"이면 request를 의미하기 때문에 상향 트래픽이고, 상기 Operation 필드값이 "0"이면 Response를 의미하기 때문에 하향 트래픽을 의미한다.
ARP 공격 판단부(209)는 ACL 저장부(206)에 저장된 ACL에 ARP 패킷 분석부(208)로부터 전송되는 MAC 정보와 IP 주소가 등록되었는가를 확인하여 ARP 공격 여부를 판단하는 기능을 수행하고, 패킷 전송 제어부(210)는 수신한 DHCP 패킷 또는 ARP 패킷을 일시 저장하고 있다가 공격 판단부(209)로부터 전송되는 ARP 공격 결과를 근거로 DHCP 패킷 또는 ARP 패킷을 목적지로 전송하는 기능을 수행한다.
이어, 도 7와 도 8에 도시된 플로우차트를 참조하여 본 발명의 실시예에 따 른 통신 네트워크에서의 ARP 공격 차단 방법을 상세하게 설명한다.
먼저, 도 7를 참조하여 ACL 생성 과정을 설명한다.
DHCP 패킷 스니핑 부(201)를 통해 DHCP 패킷이 스니핑되면(S2), DHCP 패킷 분석부(202)는 DHCP 패킷을 분석하여 상기 DHCP 패킷으로부터 단말의 IP 주소와 MAC 정보를 추출하여 DHCP 스니핑 테이블 생성부(203)로 전송한다(S4).
DHCP 스니핑 생성부(203)는 상기 IP 주소와 MAC 정보를 DHCP 스니핑 테이블(204)에 저장하고, ACL 생성부(205)는 DHCP 스니핑 테이블(204)을 이용하여 ACL(ACcess List)를 생성하여 ACL 저장부(206)에 저장한다(S8).
이로써, 스니핑된 DHCP 패킷을 근거로 ACL 리스트의 생성이 완료된다.
이후, ARP 공격 판단부(209)는 상기 ACL 리스트를 이용하여 ARP 상향 트래픽과 ARP 하향 트래픽에 대한 ARP 공격여부를 판단한다.
상술되어진 바와 같이 스니핑된 DHCP 패킷을 근거로 ACL 리스트를 직접 생성하는 방식은, L2 스위치(200)에 Relay 기능을 부여하여 DHCP 테이블을 생성하고, 상기 DHCP 테이블과 ARP 테이블을 비교한 후 그 비교결과를 고려하여 ACL을 생성하는 종래 방식에 비해 상기 DHCP 테이블과 상기 ARP 테이블을 비교하는 과정을 생략할 수 있기 때문에 L2 스위치(200)의 기능을 간소화할 수 있는 장점이 있다.
또한, DHCP 패킷에 대해 서버 및 가입자로의 relay 기능을 제공하지 않아도 됨으로써 L2 스위치(200)의 개발이 용이해 진다는 효과가 있다.
이어, 도 8에 도시된 플로우차트를 참조하여 ARP 공격 차단 과정을 설명한다.
DHCP 패킷 스니핑 부(201)로부터 출력된 ARP 패킷이 ARP 패킷 추출부(207)로 수신되면(S10), ARP 패킷 추출부(207)는 수신된 ARP 패킷이 상향 트래픽인지 하향 트래픽인지의 여부에 따라 상기 ARP 패킷이 상향 트래픽인 경우에는 상기 ARP 패킷에 포함된 L3 스위치의 IP 주소와 MAC 정보를 추출하여 ARP 공격 판단부(209)로 전송한다.
ARP 공격 판단부(209)는 ACL 저장부(206)의 ACL에 상기 IP 주소와 MAC 정보가 등록되어 있는가를 조회하여 그 결과를 근거로 상기 ARP 패킷이 ARP 공격인가를 판단한다(S16).
이어, 도 9에 도시된 네트워크 구성도를 참조하여 본 발명의 실시예에 따른 통신 네트워크에서의 ARP 공격 차단 방법을 보다 구체적으로 설명한다.
도 9에 도시된 각 단말(1, 2)과 L3 스위치(30)의 IP 주소와 MAC 정보는 하기와 같다.
단말(1) - IP: 10.1.1.3 / MAC: CC
단말(2) - IP: 10.1.1.2 / MAC: BB
L3 스위치(30) - IP: 10.1.1.1 / MAC: AA
이때, 단말(1)이 L3 스위치(30)의 MAC 정보(AA)를 자신의 MAC 정보(CC)로 변환하여 서브 네트워크 내에서 L3 스위치(30)로 전송되어할 IP 패킷이 자신에게 전송되도록 하기 위해 MAC 정보 변경을 위한 ARP 패킷(상향 트래픽)을 전송하면, L2 스위치(200)는 상기 IP 주소와 MAC 정보를 ACL 에서 조회하여 일치성을 판단한다.
상기 판단결과, 상기 ACL 에서 상기 IP 주소/ MAC 정보와 일치하는 IP 주소와 MAC 정보가 존재하지 않으면, L2 스위치(200)는 상기 ARP 패킷을 폐기함으로써 상기 ARP 패킷이 단말(2)로 전송되어 단말(2)측에 설치되는 ARP 테이블이 변경되는 것을 차단할 수 있게 된다.
이로써, 단말(2)로부터 전송되는 IP 패킷이 단말(1)의 악의적 MAC 정보 변경으로 인해 단말(1)로 전송되는 것을 차단할 수 있게 된다.
이상 설명한 바와 같이 본 발명의 실시예에 따른 통신 네트워크에서의 ARP 공격 차단 시스템 및 방법에 의하면, 스니핑(Sniffing) 기법에 의해 DHCP 패킷을 획득하여 허가 ACL 리스트를 바로 생성하여 상기 ACL 리스트를 근거로 DHCP 패킷의 필터링함으로써 L2 스위치의 기능을 간소화시킬 수 있다는 효과가 있고, 각 L2 스위치에서 허가된 L3 스위치 정보를 관리하여 공격용 단말이 ARP 패킷을 통해 L3 스위치의 MAC 주소를 자신의 MAC 주소로 변경시키는 것을 차단함으로써 ARP 공격을 효율적으로 차단할 수 있다는 효과가 있다.
한편, 본 발명은 상술한 실시예로만 한정되는 것이 아니라 본 발명의 요지를 벗어나지 않는 범위내에서 수정 및 변형하여 실시할 수 있고, 이러한 수정 및 변경 등은 이하의 특허 청구의 범위에 속하는 것으로 보아야 할 것이다.

Claims (6)

  1. 스니핑된 DHCP 패킷을 이용하여 허가 ACL(ACcess List)를 생성하는 ACL 생성수단;
    게이트웨이에 해당하는 L3 스위치의 정보와 수락 허가 대상에 해당하는 단말들의 정보가 저장되는 ACL;
    상기 ACL을 근거로 임의 단말의 상기 L3 스위치에 대한 MAC 정보 변경 시도를 감지하여 이를 차단하는 ARP 공격 판단 수단을 구비하는 것을 특징으로 하는
    통신 네트워크에서의 ARP 공격 차단 시스템.
  2. 제 1 항에 있어서, 상기 ACL 생성 수단은
    상기 L3 스위치로부터 전송되는 DHCP 패킷을 스니핑하는 DHCP 패킷 스니핑 부;
    상기 DHCP 패킷으로부터 특정 단말의 IP 주소와 MAC 정보를 추출하는 DHCP 패킷 분석부;
    상기 IP 주소와 MAC 정보를 이용하여 DHCP 스니핑 테이블을 생성하는 DHCP 스니핑 테이블 생성부; 및
    상기 DHCP 스니핑 테이블을 이용하여 ACL을 생성하여 저장하는 ACL 생성부를 구비하는 것을 특징으로 하는
    통신 네트워크에서의 ARP 공격 차단 시스템.
  3. 제 1 항에 있어서, ARP 공격 판단 수단은
    L2 이더넷 프레임을 근거로 ARP 패킷을 추출하는 ARP 패킷 추출부;
    상기 추출된 ARP 패킷으로부터 IP 주소와 MAC 정보를 추출하는 ARP 패킷 분석부; 및
    상기 IP 주소와 상기 MAC 정보가 상기 ACL에 존재하지 않으면, 상기 ARP 패킷을 ARP 공격 패킷으로 판단하여 폐기하는 ARP 공격 판단부를 구비하는 것을 특징으로 하는
    통신 네트워크에서의 ARP 공격 차단 시스템.
  4. (a) 스니핑된 DHCP 패킷을 이용하여 ACL(ACcess List)을 생성하는 과정;
    (b) 상기 ACL 리스트에 게이트웨이에 해당하는 L3 스위치의 IP 주소와 MAC 정보를 등록하는 과정;
    (c) 단말로부터 전송된 상기 L3 스위치의 MAC 정보 변경을 위한 ARP 패킷을 추출하여 상기 ARP 패킷으로부터 IP 주소와 MAC 정보를 추출하는 과정;
    (d) 상기 IP 주소와 MAC 정보가 상기 ACL에 존재하는가를 판단하는 과정;
    (e) 상기 IP 주소와 MAC 정보가 상기 ACL에 존재하지 않으면 상기 ARP 패킷을 폐기시키는 과정을 구비하는 것을 특징으로 하는
    통신 네트워크에서의 ARP 공격 차단 방법.
  5. 제 4 항에 있어서, 상기 (a)과정
    (a1) 상기 스니핑된 DHCP 패킷으로부터 IP 주소와 MAC 정보를 추출하여 DHCP 스니핑 테이블을 생생하는 과정; 및
    (a2) 상기 DHCP 스니핑 테이블을 이용하여 상기 ACL 을 생성하는 과정을 구비하는 것을 특징으로 하는
    통신 네트워크에서의 ARP 공격 차단 방법.
  6. 제 4 항에 있어서, 상기 (c)과정에서
    상기 L3 스위치의 MAC 정보 변경을 위한 ARP 패킷은 L2 이더넷 프레임의 Type 필드를 통해 구분되는 것을 특징으로 하는
    통신 네트워크에서의 ARP 공격 차단 방법.
KR1020070055551A 2007-06-07 2007-06-07 통신 네트워크에서의 arp 공격 차단 시스템 및 방법 KR101064382B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070055551A KR101064382B1 (ko) 2007-06-07 2007-06-07 통신 네트워크에서의 arp 공격 차단 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070055551A KR101064382B1 (ko) 2007-06-07 2007-06-07 통신 네트워크에서의 arp 공격 차단 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20080107599A true KR20080107599A (ko) 2008-12-11
KR101064382B1 KR101064382B1 (ko) 2011-09-14

Family

ID=40367781

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070055551A KR101064382B1 (ko) 2007-06-07 2007-06-07 통신 네트워크에서의 arp 공격 차단 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR101064382B1 (ko)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101820396A (zh) * 2010-05-24 2010-09-01 杭州华三通信技术有限公司 一种报文安全性验证的方法和设备
WO2012153913A1 (ko) * 2011-05-12 2012-11-15 주식회사 이스트소프트 차단서버를 이용한 스푸핑 공격 방어방법
KR101236822B1 (ko) * 2011-02-08 2013-02-25 주식회사 안랩 Arp록킹 기능을 이용한 arp스푸핑 공격 탐지 방법과 그 방법을 실행하기 위한 프로그램이 기록된 기록매체
CN106302538A (zh) * 2016-10-12 2017-01-04 华东师范大学 一种网络视频监控摄像机节点及服务器间隔离设备
KR101687811B1 (ko) 2015-09-07 2017-02-01 박준영 ARP_Probe 패킷을 이용한 Agent 방식의 ARP 스푸핑 탐지 방법
KR20180015032A (ko) * 2016-08-02 2018-02-12 주식회사 다산네트웍스 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치 및 이의 미인가 단말 차단 방법
WO2023008760A1 (ko) * 2021-07-28 2023-02-02 에스케이텔레콤 주식회사 엣지 플랫폼 관리장치 및 엣지 플랫폼 관리장치의 동작 방법, 그리고 엣지 게이트웨이 장치

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103414730A (zh) * 2013-08-29 2013-11-27 迈普通信技术股份有限公司 一种arp报文的处理方法及装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2469700A (en) * 1999-01-25 2000-08-07 Telefonaktiebolaget Lm Ericsson (Publ) Secure and efficient address resolution for client stations connected over wide area network links to ip networks such as the internet
KR100533785B1 (ko) * 2003-06-19 2005-12-06 주식회사 인티게이트 Dhcp 패킷을 이용한 동적 ip 주소할당 환경에서의arp/ip 스푸핑 자동 방지 방법
KR20050009452A (ko) * 2003-07-16 2005-01-25 에스티지 시큐리티(주) 비 등록 디에치씨피 유닛 운용상태 감시/차단 툴 및 방법
KR100779072B1 (ko) * 2004-12-08 2007-11-27 한국전자통신연구원 Arp 공격 탐지 장치 및 방법

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101820396A (zh) * 2010-05-24 2010-09-01 杭州华三通信技术有限公司 一种报文安全性验证的方法和设备
CN101820396B (zh) * 2010-05-24 2012-04-18 杭州华三通信技术有限公司 一种报文安全性验证的方法和设备
KR101236822B1 (ko) * 2011-02-08 2013-02-25 주식회사 안랩 Arp록킹 기능을 이용한 arp스푸핑 공격 탐지 방법과 그 방법을 실행하기 위한 프로그램이 기록된 기록매체
WO2012153913A1 (ko) * 2011-05-12 2012-11-15 주식회사 이스트소프트 차단서버를 이용한 스푸핑 공격 방어방법
KR101231975B1 (ko) * 2011-05-12 2013-02-08 (주)이스트소프트 차단서버를 이용한 스푸핑 공격 방어방법
US9038182B2 (en) 2011-05-12 2015-05-19 Estsoft Corp. Method of defending against a spoofing attack by using a blocking server
KR101687811B1 (ko) 2015-09-07 2017-02-01 박준영 ARP_Probe 패킷을 이용한 Agent 방식의 ARP 스푸핑 탐지 방법
KR20180015032A (ko) * 2016-08-02 2018-02-12 주식회사 다산네트웍스 미인가 단말 차단 기능을 구비한 네트워크 스위치 장치 및 이의 미인가 단말 차단 방법
CN106302538A (zh) * 2016-10-12 2017-01-04 华东师范大学 一种网络视频监控摄像机节点及服务器间隔离设备
WO2023008760A1 (ko) * 2021-07-28 2023-02-02 에스케이텔레콤 주식회사 엣지 플랫폼 관리장치 및 엣지 플랫폼 관리장치의 동작 방법, 그리고 엣지 게이트웨이 장치

Also Published As

Publication number Publication date
KR101064382B1 (ko) 2011-09-14

Similar Documents

Publication Publication Date Title
US10630725B2 (en) Identity-based internet protocol networking
KR101064382B1 (ko) 통신 네트워크에서의 arp 공격 차단 시스템 및 방법
US7360245B1 (en) Method and system for filtering spoofed packets in a network
US8209529B2 (en) Authentication system, network line concentrator, authentication method and authentication program
US8015402B2 (en) Address-authentification-information issuing apparatus, address-authentification-information adding apparatus, false-address checking apparatus, and network system
US20100095351A1 (en) Method, device for identifying service flows and method, system for protecting against deny of service attack
RU2006143768A (ru) Ароматическое ограничение сетевого нарушителя
US20170237769A1 (en) Packet transfer method and packet transfer apparatus
WO2015174100A1 (ja) パケット転送装置、パケット転送システム及びパケット転送方法
KR101001900B1 (ko) Arp 공격 감지 방법 및 이를 이용한 시스템
Meghana et al. A survey on ARP cache poisoning and techniques for detection and mitigation
AbdelSalam et al. An automated approach for preventing ARP spoofing attack using static ARP entries
KR100533785B1 (ko) Dhcp 패킷을 이용한 동적 ip 주소할당 환경에서의arp/ip 스푸핑 자동 방지 방법
CN110445889B (zh) 一种以太网环境下交换机ip地址管理方法及系统
CN112383559B (zh) 地址解析协议攻击的防护方法及装置
Yaibuates et al. ICMP based malicious attack identification method for DHCP
KR100856918B1 (ko) IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및IPv6 기반 네트워크 시스템
US20090213752A1 (en) Detecting Double Attachment Between a Wired Network and At Least One Wireless Network
WO2005026872A2 (en) Internal lan perimeter security appliance composed of a pci card and complementary software
US11558351B2 (en) Dual-modes switching method for blocking network connection
KR101074563B1 (ko) Arp 스푸핑 공격 차단 시스템에서의 dhcp 메시지중복 발생 방지 방법 및 기록매체
KR102114484B1 (ko) 소프트웨어 정의 네트워크에서 네트워크 접근을 제어하는 방법, 장치 및 컴퓨터 프로그램
Arslan A solution for ARP spoofing: Layer-2 MAC and protocol filtering and arpserver
EP3270569A1 (en) Network protection entity and method for protecting a communication network against malformed data packets
Behboodian et al. Arp poisoning attack detection and protection in wlan via client web browser

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140630

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160901

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180903

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20190807

Year of fee payment: 9