KR20090059745A - 패킷 감시 시스템 및 그 방법 - Google Patents

패킷 감시 시스템 및 그 방법 Download PDF

Info

Publication number
KR20090059745A
KR20090059745A KR1020070126764A KR20070126764A KR20090059745A KR 20090059745 A KR20090059745 A KR 20090059745A KR 1020070126764 A KR1020070126764 A KR 1020070126764A KR 20070126764 A KR20070126764 A KR 20070126764A KR 20090059745 A KR20090059745 A KR 20090059745A
Authority
KR
South Korea
Prior art keywords
packet
arp
attack
individual system
arp packet
Prior art date
Application number
KR1020070126764A
Other languages
English (en)
Other versions
KR100954348B1 (ko
Inventor
김지훈
김주생
Original Assignee
주식회사 안철수연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안철수연구소 filed Critical 주식회사 안철수연구소
Priority to KR1020070126764A priority Critical patent/KR100954348B1/ko
Publication of KR20090059745A publication Critical patent/KR20090059745A/ko
Application granted granted Critical
Publication of KR100954348B1 publication Critical patent/KR100954348B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은 개별 시스템상에서 발생하는 ARP(Address Resolution Protocol) 위조 공격을 검출 및 차단하기 위한 패킷 감시 시스템을 개시한다. 즉, 상기 개별 시스템의 ARP 패킷 전송 횟수 및 상기 개별 시스템에 탑재된 NIC(Network Interface Card)의 패킷 수신 모드를 감시하여 상기 개별 시스템에 대한 사전 공격을 감지하는 사전 공격 탐지 모듈; 및 상기 개별 시스템에 대한 사전 공격이 감지될 경우, 상기 개별 시스템으로부터 아웃바운드(Outbound)되는 ARP 패킷을 공격 대상으로 지정하여 상기 지정된 ARP 패킷을 전송하는 프로세스 정보(Process ID, Process Name) 및 주소 정보를 파악하며, 상기 파악된 주소 정보를 토대로 상기 ARP 패킷의 위조 여부를 판단하여 상기 판단 결과에 따라 위조된 ARP 패킷 또는 특정 프로세스를 차단시키는 공격 차단 모듈을 포함함으로써, 공격이 진행되고 있는 감염 시스템상에서 ARP 스캐닝(Scanning) 또는 NIC(Network Interface Card)의 'Promiscuous' 모드 사용 감지 후 나타나는 아웃바운드(Outbound) ARP 위조 공격을 차단할 수 있다.
ARP(Address Resolution Protocol), 아웃바운드(Outbound), ARP 위조

Description

패킷 감시 시스템 및 그 방법{PACKET MONITORING SYSTEM AND METHOD THEREOF}
본 발명은 개별 시스템상의 패킷 감시 방안에 관한 것으로, 더욱 상세하게는 개별 시스템상에서 악성코드의 공격 패턴인 ARP(Address Resolution Protocol) 스캐닝(Scanning), NIC(Network Interface Card)의 'Promiscuous' 모드 사용 감지 및 ARP 위조 공격을 검출 및 차단하는 패킷 감시 시스템 및 그 방법에 관한 것이다.
ARP(Address Resolution Protocol; 어드레스 해결 프로토콜)는 IP 네트워크 상에서의 이더넷(Ethernet) 주소와 IP주소를 서로 연결시켜주는 DNS 역할을 하는 프로토콜을 지칭한다. 예컨대, 로컬 랜(LAN)상의 시스템 A가 시스템 B와 통신을 하고자 할 때, 시스템 A는 시스템 B의 이더넷 주소를 얻어내기 위해 시스템 B의 IP주소를 이용하여 ARP 요청 패킷을 로컬 랜(LAN) 상에 브로드캐스트(Broadcast) 하게 된다. 이때, 시스템 A의 ARP 요청을 수신한 시스템 B는 자신의 IP와 일치함을 확인하고, 시스템 A에게 자신의 이더넷 주소를 포함한 ARP 응답 패킷을 전송함으로 써 상호 통신이 이루어지게 된다.
그러나, ARP는 본래 이더넷 네트워크상에서 특정 IP 주소를 갖는 상대 사용자의 MAC 주소를 찾는데 사용되는 프로토콜로서, 일반적으로 패킷을 발생시키는 사용자에 대한 인증 방안이 마련되어 있지 않다. 즉, APR 프로토콜의 취약점은 ARP 패킷의 출발지에 대한 인증과정이 없기 때문에 쉽게 스푸핑(Spoofing) 공격이 가능하다.
이와 관련하여, 최근에는 ARP 스푸핑을 이용한 MITM(Man-In-the-Middle) 공격 기술이 악성코드 유포를 위한 IFRAME 삽입 기술에 활용되면서 사용자의 심각한 수준에 도달한 것으로 보고되고 있다. 즉, 악의적인 공격자는 ARP 스푸핑 공격을 통해 로컬 랜 상의 시스템 및 네트워크 장비들의 ARP 캐쉬(Cache) 테이블을 변경할 수 있고, 이러한 변경으로 인하여 로컬 랜 상의 시스템 및 네트워크 장비로의 패킷이 악의적인 공격자에게 유입되어, 유입된 패킷에 대한 각종 해킹이 시도되고 있는 실정이다.
본 발명은 상기한 바와 같이 선행 기술에 내재되었던 문제점을 해결하기 위해 창작된 것으로, 본 발명의 목적은 공격이 진행되고 있는 감염 시스템상에서 ARP(Address Resolution Protocol) 스캐닝(Scanning), NIC(Network Interface Card)의 'Promiscuous' 모드 사용 감지 및 ARP 위조 공격을 검출 및 차단하기 위한 패킷 감시 시스템 및 그 방법을 제공함에 있다.
상술한 목적을 달성하기 위한 본 발명의 일면에 따라, 개별 시스템상에서 발생하는 ARP(Address Resolution Protocol) 위조 공격을 검출 및 차단하기 위한 패킷 감시 시스템이 제공되며: 상기 개별 시스템의 ARP 패킷 전송 횟수 및 상기 개별 시스템에 탑재된 NIC(Network Interface Card)의 패킷 수신 모드를 감시하여 상기 개별 시스템에 대한 사전 공격을 감지하는 사전 공격 탐지 모듈; 및 상기 개별 시스템에 대한 사전 공격이 감지될 경우, 상기 개별 시스템으로부터 아웃바운드(Outbound)되는 ARP 패킷을 공격 대상으로 지정하여 상기 지정된 ARP 패킷을 전송하는 프로세스 정보(Process ID, Process Name) 및 주소 정보를 파악하며, 상기 파악된 주소 정보를 토대로 상기 ARP 패킷의 위조 여부를 판단하여 상기 판단 결과에 따라 위조된 ARP 패킷 또는 특정 프로세스를 차단시키는 공격 차단 모듈을 포함하는 것을 특징으로 한다.
바람직하게는, 상기 사전 공격 탐지 모듈은, 소정 시간 동안 상기 개별 시스템에서 아웃바운드(Outbound)되는 'ARP REQUEST'의 전송 횟수가 소정의 설정치 이상일 경우, 상기 개별 시스템에 대한 특정 프로세스의 사전 공격으로 인식하는 것을 특징으로 한다.
바람직하게는, 상기 사전 공격 탐지 모듈은, 상기 개별 시스템에 탑재된 NIC의 패킷 수신 모드가 'Promiscuous mode'로 사용되는 것이 감지될 경우, 상기 개별 시스템에 대한 특정 프로세스의 사전 공격으로 인식하는 것을 특징으로 한다.
바람직하게는, 상기 공격 차단 모듈은, 소정 시간 동안 상기 공격 대상으로 지정된 ARP 패킷의 주소 정보를 판독하여 ARP 위조가 확인될 경우, 해당 ARP 패킷을 차단시키는 것을 특징으로 한다.
바람직하게는, 상기 공격 차단 모듈은, 상기 파악된 프로세스 정보를 토대로, 차단된 ARP 패킷의 전송 주체인 특정 프로세스를 종료시키는 것을 특징으로 한다.
바람직하게는, 상기 공격 차단 모듈은, 소정의 시간 동안 상기 공격 대상으로 지정된 ARP 패킷의 주소 정보를 판독하여, ARP 위조가 확인되지 않을 경우 해당 ARP 패킷에 대한 공격 대상 지정 상태를 해제시키는 것을 특징으로 한다.
바람직하게는, 상기 공격 차단 모듈은, 상기 개별 시스템의 ARP 캐쉬(Cache)에 임시 저장된 IP/MAC 주소와 아웃바운드되는 ARP 패킷에 포함된 IP/MAC 주소를 비교하여 동일한 MAC 주소에 대해 출발지 주소가 상이할 경우, 해당 ARP 패킷을 차단시키는 것을 특징으로 한다.
바람직하게는, 상기 공격 차단 모듈은, 상기 개별 시스템에 탑재된 NIC의 IP/MAC 주소와 상기 아웃바운드되는 ARP 패킷에 포함된 IP/MAC 주소를 비교하여 동일한 MAC 주소에 대해 출발지 주소가 상이할 경우, 해당 ARP 패킷을 차단시키는 것을 특징으로 한다.
개별 시스템상에서 발생하는 ARP(Address Resolution Protocol) 위조 공격을 검출 및 차단하기 위한 패킷 감시 방법이 제공되며: a) 상기 개별 시스템의 ARP 패킷 전송 횟수를 토대로 상기 개별 시스템에 대한 사전 공격 여부를 판단하는 단계; b) 상기 a) 단계와 동시에 상기 개별 시스템에 탑재된 NIC(Network Interface Card)의 패킷 수신 모드를 감시하여 개별 시스템에 대한 사전 공격 여부를 판단하는 단계; c) 상기 a) 단계 또는 b) 단계를 통해 사전 공격이 감지될 경우 상기 개별 시스템으로부터 아웃바운드(Outbound)되는 ARP 패킷을 공격 대상으로 지정하는 단계; d) 상기 공격 대상으로 지정된 ARP 패킷에 포함된 주소 정보를 파악하는 단계; e) 상기 파악된 주소 정보를 토대로 상기 공격 대상으로 지정된 ARP 패킷의 위조 여부를 판단하는 단계; 및 f) 상기 e) 단계 판단 결과, 상기 공격 대상으로 지정된 패킷에 대한 위조가 확인될 경우, 해당 ARP 패킷을 차단시키는 단계를 포함하는 것을 특징으로 한다.
바람직하게는, 상기 방법은, g) 상기 차단된 ARP 패킷을 전송하는 프로세스 정보(Process ID, Process Name)를 파악하고, 상기 파악된 프로세스 정보를 토대로 차단된 ARP 패킷의 전송 주체인 특정 프로세스를 종료시키는 단계를 더 포함하는 것을 특징으로 한다.
바람직하게는, 상기 a) 단계는, 소정 시간 동안 상기 개별 시스템에서 아웃바운드(Outbound)되는 'ARP REQUEST'의 전송 횟수가 소정의 설정치 이상일 경우, 상기 개별 시스템에 대한 특정 프로세스의 사전 공격으로 인식하는 것을 특징으로 한다.
바람직하게는, 상기 b) 단계는, 상기 개별 시스템에 탑재된 NIC의 패킷 수신 모드가 'Promiscuous mode'로 사용되는 것이 감지될 경우, 상기 개별 시스템에 대한 특정 프로세스의 사전 공격으로 인식하는 것을 특징으로 한다.
바람직하게는, 상기 e) 단계는, 소정 시간 동안 상기 개별 시스템의 ARP 캐쉬(Cache)에 임시 저장된 IP/MAC 주소와 상기 공격 대상으로 지정된 ARP 패킷에 포함된 IP/MAC 주소를 비교하여 동일한 MAC 주소에 대해 출발지 주소가 상이할 경우, 해당 ARP 패킷이 위조된 것으로 판단하는 것을 특징으로 한다.
바람직하게는, 상기 e) 단계는, 소정 시간 동안 상기 개별 시스템에 탑재된 NIC의 IP/MAC 주소와 상기 공격 대상으로 지정된 ARP 패킷에 포함된 IP/MAC 주소를 비교하여 동일한 MAC 주소에 대해 출발지 주소가 상이할 경우, 해당 ARP 패킷이 위조된 것으로 판단하는 것을 특징으로 한다.
바람직하게는, 상기 f) 단계는, 상기 공격 대상으로 지정된 ARP 패킷에 대해 ARP 위조가 확인되지 않을 경우 해당 ARP 패킷에 대한 공격 대상 지정 상태를 해제시키는 것을 특징으로 한다.
바람직하게는, 상기 f) 단계는, 상기 e) 단계 판단 결과, 상기 공격 대상으로 지정된 패킷에 대한 위조가 확인될 경우, 상기 공격 대상으로 지정된 ARP 패킷 을 전송하는 프로세스 정보(Process ID, Process Name)를 파악하고, 상기 파악된 프로세스 정보를 토대로 상기 공격 대상으로 지정된 ARP 패킷의 전송 주체인 특정 프로세스를 종료시키는 단계를 더 포함하는 것을 특징으로 한다.
본 발명에 따른 패킷 감시 시스템 및 그 방법은, 공격이 진행되고 있는 감염 시스템상에서 ARP 스캐닝(Scanning) 후 나타나는 아웃바운드(Outbound) ARP 위조 공격을 차단함에 따라, ARP 위조 패킷에 대한 오탐 가능성을 감소시킬 수 있다. 또한, ARP 스푸핑(Spoofing) 공격 그리고 데이터 스니핑(Sniffing) 및 악성코드 유포를 위한 MITM(Man-In-the-Middle)를 탐지 및 차단할 수 있으며, 더 나아가 네트워크 서비스를 제공하는 다수의 시스템이 운용되는 로컬 네트워크 보안 관리 기능에 효과적으로 활용할 수 있다.
이하에서는 첨부한 도면을 참조하여 본 발명의 바람직한 실시예를 상술하기로 한다.
도 1에는 본 발명의 실시예에 따른 개별 시스템상에서 발생하는 ARP(Address Resolution Protocol) 위조 공격을 검출 및 차단하기 위한 패킷 감시 시스템의 개략적인 구성도를 도시한다.
도 1에 도시한 바와 같이, 본 발명의 실시예에 따른 패킷 감시 시스템은 상 기 개별 시스템에서 다수의 시스템 간에 주소 정보 확인을 위해 유동되는 ARP 패킷에 대한 감시를 통해 상기 개별 시스템에 대한 공격자 프로세스의 사전 공역을 감지하는 사전 공격 탐지 모듈(100); 및 상기 개별 시스템의 아웃바운드(Outbound) ARP 패킷에 대한 위조 여부를 판단하여 해당 ARP 패킷 및 위조된 ARP 패킷의 전송 주체인 공격자 프로세스를 차단시키는 공격 차단 모듈(200)을 포함하는 구성을 갖는다.
상기 사전 공격 탐지 모듈(100)은 게이트웨이 및 개별 호스트 등을 포함하는 모든 노드들에 대해 주소를 확인을 위한 개별 시스템의 ARP 스캐닝(Scanning) 횟수를 확인하여 개별 시스템에 대한 사전 공격 여부를 확인한다. 즉, 사전 공격 탐지 모듈(100)은 소정의 기준 시간 동안 다수의 시스템에 대한 주소 확인을 위해 상기 개별 시스템에서 아웃바운드되는 'ARP REQUEST'의 전송 횟수가 소정의 설정치 이상일 경우에만 공격자 프로세스의 사전 공격으로 인식한다. 예컨대, 1초 동안 상기 'ARP REQUEST'를 30회 이상 송신할 경우, 개별 시스템에 대한 공격자 프로세스의 사전 공격으로 인식한다.
또한, 사전 공격 탐지 모듈(100)은 상기 ARP 스캐닝(Scanning) 횟수를 토대로 한 공격자 프로세스의 사전 공격 감시와 동시에 개별 시스템에 탑재된 NIC(Network Interface Card)의 패킷 수신 모드를 감시함으로써, 공격자 프로세스의 사전 공격을 감지한다. 보다 구체적으로, 상기 개별 시스템에 탑재된 NIC의 패킷 수신 모드를 'Promiscuous mode'로 사용중인 것이 감지될 경우, 개별 시스템에 대한 공격자 프로세스의 사전 공격으로 인식한다. 즉, 공격자 프로세스는 네트워 크상에 존재하는 다양한 패킷을 수신하기 위해 개별 시스템에 탑재된 NIC의 패킷 수신 모드를 'Promiscuous mode'로 변경한다. 이에 따라, 사전 공격 탐지 모듈(100)은 각각의 개별 시스템에 탑재된 NIC가 패킷 수신 모드를 'Promiscuous mode'로 사용중인 프로세스를 감지함으로써 공격자 프로세스의 사전 공격을 인식할 수 있다.
상기 공격 차단 모듈(200)은 사전 공격 탐지 모듈(100)을 통해 공격자 프로세스의 사전 공격이 감지될 경우, 개별 시스템으로부터 아웃바운드(Outbound)되는 ARP 패킷을 공격 대상으로 지정하고, 상기 공격 대상으로 지정된 ARP 패킷에 대한 주소 정보 판독을 통해 상기 패킷의 ARP 위조 여부를 판단한다. 즉, 공격 차단 모듈(200)은 개별 시스템의 ARP 캐쉬(Cache)에 임시 저장된 IP/MAC 주소와 아웃바운드되는 ARP 패킷에 포함된 IP/MAC 주소를 비교하여 동일한 MAC 주소에 대해 출발지 주소가 상이할 경우, 해당 ARP 패킷이 위조된 것으로 간주하여 해당 ARP 패킷을 차단시킨다. 여기서, 상기 ARP 캐쉬(Cache)는 송신자가 수신자에게 데이터를 보내기 전에 먼저 캐쉬 내용을 참조하게 하여 효율적인 통신을 위해 사용되는 것으로, 공격자 프로세스의 상술한 ARP 스캐닝 동작에 의해 파악된 로컬 랜 상의 시스템 및 게이트웨이의 ARP 주소 정보(IP/MAC)를 저장한다. 다시 말해, ARP 패킷에 대한 위조가 이루어졌을 경우, 개별 시스템에서 아웃바운드되는 ARP 패킷은 상기 ARP 캐쉬(Cache)와 동일한 목적지 주소를 갖는데 반해, 출발지 주소는 ARP 캐쉬의 저장 내용과는 상이한 시스템의 주소가 포함되게 된다. 이에 따라, 공격 차단 모듈(200)은 공격 차단 모듈(200)은 개별 시스템의 ARP 캐쉬(Cache)에 임시 저장된 IP/MAC 주소와 아웃바운드되는 ARP 패킷에 포함된 IP/MAC 주소를 비교하여 동일한 MAC 주소에 대해 출발지 주소가 상이할 경우, 해당 ARP 패킷을 차단시키게 된다.
또한, 공격 차단 모듈(200)은 상기 개별 시스템에 탑재된 NIC의 IP/MAC 주소와 상기 아웃바운드되는 ARP 패킷에 포함된 IP/MAC 주소를 비교하여 동일한 MAC 주소에 대해 출발지 주소가 상이할 경우, 해당 ARP 패킷이 위조된 것으로 간주하여 위조된 ARP 패킷을 차단시킨다.
한편, 공격 차단 모듈(200)은 개별 시스템에 대한 사전 공격 감지에 따라 공격 대상으로 지정된 ARP 패킷을 전송하는 프로세스 정보(Process ID, Process Name)를 파악함으로써, 해당 ARP 패킷의 전송 주체를 확인하다. 다시 말해, 공격 차단 모듈(200)은 상기 공격 대상으로 지정된 ARP 패킷 전송과 관련하여 현재 쓰레드(Thread)가 속한 'Process ID'를 확인하고, 확인된 'Process ID'를 이용하여 'Process Name'을 파악한다. 참고로, 상기 'Process ID'는 프로세스 탐지 및 차단시에 이용되며, 'Process Name'의 경우 차단 로그 등을 디스플레이하거나 남기고자 할 때 사용된다.
이와 관련하여, 공격 차단 모듈(200)은 공격 대상으로 지정된 ARP 패킷에 대한 위조가 확인되어 해당 ARP 패킷을 차단시킬 경우, 상기 파악된 프로세스 정보를 토대로 차단된 ARP 패킷을 전송한 공격자 프로세스를 종료시킨다. 이때, 공격 차단 모듈(200)은 상기 공격자 프로세스에 감지 상황을 상기 개별 시스템 사용자에 통보하여 사용자 선택에 따라 공격 프로세스의 종료 여부를 결정하고, 공격자 프로세스에 대한 로그 정보{시간, Process Name, ARP 정보(Sender IP/Sender MAC/Target IP/Target MAC), 프로세스 종료 여부}를 저장함이 바람직하다.
보다 구체적으로, 상술한 동작 특성을 갖는 공격 차단 모듈(200)은 상기 공격 대상으로 지정된 아웃바운드 ARP 패킷에 대해 소정의 시간 동안 주소 정보를 판독하여 ARP 위조가 확인될 경우, 해당 ARP 패킷을 차단시킨다. 예컨대, 아웃바운드 ARP 패킷에 대한 공격 대상 지정 상태를 20초 동안 유지시키고, 20초 이내에 상술한 바와 같이 ARP 패킷에 대한 위조를 확인하여 위조가 확인될 경우 해당 ARP 패킷을 차단시킨다.
반면, 공격 차단 모듈(200)은 상기 공격 대상으로 지정된 아웃바운드 ARP 패킷에 대해 소정의 시간 동안 주소 정보를 판독하여 ARP 위조가 확인되지 않을 경우, 해당 ARP 패킷에 대한 공격 대상 지정 상태를 해제시킨다. 예컨대, 아웃바운드 ARP 패킷에 대한 공격 대상 지정 상태를 20초 동안 유지시키고, 20초 이내에 상술한 바와 같이 ARP 패킷에 대한 위조를 확인하여 위조가 확인되지 않을 경우, 해당 ARP 패킷에 대한 공격 대상 지정 상태를 해제시킴으로써 정상적인 패킷 송수신을 가능하게 한다.
이하, 도 2를 참조하여 개별 시스템상에서 발생하는 ARP(Address Resolution Protocol) 위조 공격을 검출 및 차단하기 위한 패킷 감시 방법을 설명하기로 한다. 여기서, 도 2는 본 발명의 실시예에 따른 패킷 감시 방법을 설명하기 위한 개략적인 순서도이다.
먼저, 개별 시스템의 ARP 패킷 전송 횟수를 토대로 상기 개별 시스템에 대한 사전 공격 여부를 판단한다(S110). 바람직하게는, 사전 공격 탐지 모듈(100)이 게이트웨이 및 개별 호스트 등을 포함하는 모든 노드들에 대해 주소 확인을 위한 개별 시스템의 ARP 스캐닝(Scanning) 횟수를 확인하여 개별 시스템에 대한 사전 공격 여부를 확인한다. 즉, 사전 공격 탐지 모듈(100)은 소정의 기준 시간 동안 다수의 시스템에 대한 주소 확인을 위해 상기 개별 시스템에서 아웃바운드되는 'ARP REQUEST'의 전송 횟수가 소정의 설정치 이상일 경우에만 공격 프로세스의 사전 공격으로 인식한다. 예컨대, 1초 동안 상기 'ARP REQUEST'를 30회 이상 송신할 경우, 개별 시스템에 대한 공격자 프로세스의 사전 공격으로 인식한다.
이와 동시에, 개별 시스템에 탑재된 NIC(Network Interface Card)의 패킷 수신 모드를 감시하여 개별 시스템에 대한 사전 공격 여부를 판단한다(S120). 바람직하게는, 사전 공격 탐지 모듈(100)이 상기 ARP 스캐닝(Scanning) 횟수를 토대로 한 공격자 프로세스의 사전 공격 감시와 동시에 개별 시스템에 탑재된 NIC(Network Interface Card)의 패킷 수신 모드를 감시함으로써, 공격자 프로세스의 사전 공격을 감지한다. 보다 구체적으로, 상기 개별 시스템에 탑재된 NIC의 패킷 수신 모드를 'Promiscuous mode'로 사용중인 것이 감지될 경우, 개별 시스템에 대한 공격자 프로세스의 사전 공격으로 인식한다. 즉, 공격자 프로세스는 네트워크상에 존재하는 다양한 패킷을 수신하기 위해 개별 시스템에 탑재된 NIC의 패킷 수신 모드를 'Promiscuous mode'로 변경한다. 이에 따라, 사전 공격 탐지 모듈(100)은 각각의 시스템에 탑재된 NIC가 패킷 수신 모드를 'Promiscuous mode'로 사용중인 프로세스를 감지함으로써 공격자 프로세스의 사전 공격을 인식할 수 있다.
이후, 개별 시스템으로부터 아웃바운드(Outbound)되는 ARP 패킷을 공격 대상으로 지정한다(S130). 바람직하게는, 공격 차단 모듈(200)이 개별 시스템으로부터 아웃바운드되는 ARP 패킷을 소정의 조건을 만족할 때까지 공격 대상 지정 상태를 유지시킨다.
그런 다음, 상기 공격 대상으로 지정된 아웃바운드(Outbound) ARP 패킷에 대한 주소 정보 판독을 통해 상기 패킷의 ARP 위조 여부를 판단한다(S140-S150). 바람직하게는, 공격 차단 모듈(200)이 개별 시스템의 ARP 캐쉬(Cache)에 임시 저장된 IP/MAC 주소와 아웃바운드되는 ARP 패킷에 포함된 IP/MAC 주소를 비교하여 동일한 MAC 주소에 대해 출발지 주소가 상이할 경우, 해당 ARP 패킷이 위조된 것으로 간주하여 해당 ARP 패킷을 차단시킨다. 여기서, 상기 ARP 캐쉬(Cache)는 송신자가 수신자에게 데이터를 보내기 전에 먼저 캐쉬 내용을 참조하게 하여 효율적인 통신을 위해 사용되는 것으로, 공격자 프로세스의 상술한 ARP 스캐닝 동작에 의해 파악된 로컬 랜 상의 시스템 및 게이트웨이의 ARP 주소 정보(IP/MAC)를 저장한다. 다시 말해, ARP 패킷에 대한 위조가 이루어졌을 경우, 개별 시스템에서 아웃바운드되는 ARP 패킷은 상기 ARP 캐쉬(Cache)와 동일한 목적지 주소를 갖는데 반해, 출발지 주소는 ARP 캐쉬의 저장 내용과는 상이한 시스템의 주소가 포함되게 된다. 이에 따라, 공격 차단 모듈(200)은 공격 차단 모듈(200)은 개별 시스템의 ARP 캐쉬(Cache)에 임시 저장된 IP/MAC 주소와 아웃바운드되는 ARP 패킷에 포함된 IP/MAC 주소를 비교하여 동일한 MAC 주소에 대해 출발지 주소가 상이할 경우, 해당 ARP 패킷을 차단시키게 된다. 또한, 공격 차단 모듈(200)은 상기 개별 시스템에 탑재된 NIC의 IP/MAC 주소와 상기 아웃바운드되는 ARP 패킷에 포함된 IP/MAC 주소를 비교하여 동일한 MAC 주소에 대해 출발지 주소가 상이할 경우, 해당 ARP 패킷이 위조된 것으로 간주하여 위조된 ARP 패킷을 차단시킨다.
그리고 나서, 상기 단계 'S140-S150'의 판단 결과에 따라, 상기 공격자 시스템에 대한 차단 여부를 결정한다(S160-S170). 바람직하게는, 공격 차단 모듈(200)은 상기 공격 대상으로 지정된 아웃바운드 ARP 패킷에 대해 소정의 시간 동안 주소 정보를 판독하여 ARP 위조가 확인될 경우, 해당 ARP 패킷을 차단시킨다. 예컨대, 아웃바운드 ARP 패킷에 대한 공격 대상 지정 상태를 20초 동안 유지시키고, 20초 이내에 상술한 바와 같이 ARP 패킷에 대한 위조가 확인될 경우 해당 ARP 패킷을 차단시킨다. 반면, 공격 차단 모듈(200)은 상기 공격 대상으로 지정된 아웃바운드 ARP 패킷에 대해 소정의 시간 동안 주소 정보를 판독하여 ARP 위조가 확인되지 않을 경우, 해당 ARP 패킷에 대한 공격 대상 지정 상태를 해제시킨다. 예컨대, 아웃바운드 ARP 패킷에 대한 공격 대상 지정 상태를 20초 동안 유지시키고, 20초 이내에 상술한 바와 같이 ARP 패킷에 대한 위조를 확인하여 위조가 확인되지 않을 경우, 해당 ARP 패킷에 대한 공격 대상 지정 상태를 해제시킴으로써 정상적인 패킷 송수신을 가능하게 한다.
이후, 차단된 ARP 패킷의 전송 주체인 특정 프로세스를 종료시킨다(S180-S190). 바람직하게는, 공격 대상으로 지정된 ARP 패킷에 대한 위조가 확인되어 해당 ARP 패킷을 차단시킬 경우, 공격 차단 모듈(200)이 개별 시스템에 대한 사전 공격 감지에 따라 공격 대상으로 지정된 ARP 패킷을 전송하는 프로세스 정보(Process ID, Process Name)를 파악함으로써, 해당 ARP 패킷의 전송 주체를 확인하다. 그리고 나서, 상기 파악된 프로세스 정보를 토대로 차단된 ARP 패킷을 전송한 공격자 프로세스를 종료시킨다. 이때, 공격 차단 모듈(200)은 상기 공격자 프로세스에 감지 상황을 상기 개별 시스템 사용자에 통보하여 사용자 선택에 따라 공격 프로세스의 종료 여부를 결정하고, 공격자 프로세스에 대한 로그 정보{시간, Process Name, ARP 정보(Sender IP/Sender MAC/Target IP/Target MAC), 프로세스 종료 여부}를 저장함이 바람직하다.
지금까지 본 발명을 바람직한 실시예를 참조하여 상세히 설명하였지만, 본 발명이 상기한 실시예에 한정되는 것은 아니며, 이하의 특허청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 또는 수정이 가능한 범위까지 본 발명의 기술적 사상이 미친다 할 것이다.
본 발명에 따른 패킷 감시 시스템 및 그 방법은 공격이 진행되고 있는 감염 시스템상에서 ARP(Address Resolution Protocol) 스캐닝(Scanning), NIC(Network Interface Card)의 'Promiscuous' 모드 사용 감지 및 ARP 위조 공격을 검출 및 차단한다는 점에서 기존의 기술의 한계를 뛰어 넘음에 따라 관련 기술에 대한 이용만이 아닌 적용되는 장치의 시판 또는 영업의 가능성이 충분할 뿐만 아니라 현실적으 로 명백하게 실시할 수 있는 정도이므로 산업상 이용가능성이 있는 발명이다.
본 명세서에서 첨부되는 다음의 도면들은 본 발명의 바람직한 실시예를 예시하는 것이며, 후술하는 발명의 상세한 설명과 함께 본 발명의 기술사상을 더욱 이해시키는 역할을 하는 것이므로, 본 발명은 그러한 도면에 기재된 사항에만 한정되어 해석되어서는 아니된다.
도 1에는 본 발명의 실시예에 따른 패킷 감시 시스템의 개략적인 구성도.
도 2는 본 발명의 실시예에 따른 패킷 감시 방법을 설명하기 위한 개략적인 순서도.
*도면의 주요 부분에 대한 부호의 설명*
100: 사전 공격 탐지 모듈
200: 공격 차단 모듈

Claims (16)

  1. 개별 시스템상에서 발생하는 ARP(Address Resolution Protocol) 위조 공격을 검출 및 차단하기 위한 패킷 감시 시스템에 있어서,
    상기 개별 시스템의 ARP 패킷 전송 횟수 및 상기 개별 시스템에 탑재된 NIC(Network Interface Card)의 패킷 수신 모드를 감시하여 상기 개별 시스템에 대한 사전 공격을 감지하는 사전 공격 탐지 모듈; 및
    상기 개별 시스템에 대한 사전 공격이 감지될 경우, 상기 개별 시스템으로부터 아웃바운드(Outbound)되는 ARP 패킷을 공격 대상으로 지정하여 상기 지정된 ARP 패킷을 전송하는 프로세스 정보(Process ID, Process Name) 및 주소 정보를 파악하며, 상기 파악된 주소 정보를 토대로 상기 ARP 패킷의 위조 여부를 판단하여 상기 판단 결과에 따라 위조된 ARP 패킷 또는 특정 프로세스를 차단시키는 공격 차단 모듈을 포함하는 것을 특징으로 하는 패킷 감시 시스템.
  2. 제 1 항에 있어서, 상기 사전 공격 탐지 모듈은,
    소정 시간 동안 상기 개별 시스템에서 아웃바운드(Outbound)되는 'ARP REQUEST'의 전송 횟수가 소정의 설정치 이상일 경우, 상기 개별 시스템에 대한 특정 프로세스의 사전 공격으로 인식하는 것을 특징으로 하는 패킷 감시 시스템.
  3. 제 1 항에 있어서, 상기 사전 공격 탐지 모듈은,
    상기 개별 시스템에 탑재된 NIC의 패킷 수신 모드가 'Promiscuous mode'로 사용되는 것이 감지될 경우, 상기 개별 시스템에 대한 특정 프로세스의 사전 공격으로 인식하는 것을 특징으로 하는 패킷 감시 시스템.
  4. 제 1 항에 있어서, 상기 공격 차단 모듈은,
    소정 시간 동안 상기 공격 대상으로 지정된 ARP 패킷의 주소 정보를 판독하여 ARP 위조가 확인될 경우, 해당 ARP 패킷을 차단시키는 것을 특징으로 하는 패킷 감시 시스템.
  5. 제 4 항에 있어서, 상기 공격 차단 모듈은,
    상기 파악된 프로세스 정보를 토대로, 차단된 ARP 패킷의 전송 주체인 특정 프로세스를 종료시키는 것을 특징으로 하는 패킷 감시 시스템.
  6. 제 1 항에 있어서, 상기 공격 차단 모듈은,
    소정의 시간 공격 대상으로 지정된 ARP 패킷의 주소 정보를 판독하여, ARP 위조가 확인되지 않을 경우 해당 ARP 패킷에 대한 공격 대상 지정 상태를 해제시키는 것을 특징으로 하는 패킷 감시 시스템.
  7. 제 4 항 또는 제 6 항에 있어서, 상기 공격 차단 모듈은,
    상기 개별 시스템의 ARP 캐쉬(Cache)에 임시 저장된 IP/MAC 주소와 아웃바운 드되는 ARP 패킷에 포함된 IP/MAC 주소를 비교하여 동일한 MAC 주소에 대해 출발지 주소가 상이할 경우, 해당 ARP 패킷을 차단시키는 것을 특징으로 하는 패킷 감시 시스템.
  8. 제 4 항 또는 제 6 항에 있어서, 상기 공격 차단 모듈은,
    상기 개별 시스템에 탑재된 NIC의 IP/MAC 주소와 상기 아웃바운드되는 ARP 패킷에 포함된 IP/MAC 주소를 비교하여 동일한 MAC 주소에 대해 출발지 주소가 상이할 경우, 해당 ARP 패킷을 차단시키는 것을 특징으로 하는 패킷 감시 시스템.
  9. 개별 시스템상에서 발생하는 ARP(Address Resolution Protocol) 위조 공격을 검출 및 차단하기 위한 패킷 감시 방법에 있어서,
    a) 상기 개별 시스템의 ARP 패킷 전송 횟수를 토대로 상기 개별 시스템에 대한 사전 공격 여부를 판단하는 단계;
    b) 상기 a) 단계와 동시에 상기 개별 시스템에 탑재된 NIC(Network Interface Card)의 패킷 수신 모드를 감시하여 개별 시스템에 대한 사전 공격 여부를 판단하는 단계;
    c) 상기 a) 단계 또는 b) 단계를 통해 사전 공격이 감지될 경우 상기 개별 시스템으로부터 아웃바운드(Outbound)되는 ARP 패킷을 공격 대상으로 지정하는 단계;
    d) 상기 공격 대상으로 지정된 ARP 패킷에 포함된 주소 정보를 파악하는 단 계;
    e) 상기 파악된 주소 정보를 토대로 상기 공격 대상으로 지정된 ARP 패킷의 위조 여부를 판단하는 단계; 및
    f) 상기 e) 단계 판단 결과, 상기 공격 대상으로 지정된 패킷에 대한 위조가 확인될 경우, 해당 ARP 패킷을 차단시키는 단계를 포함하는 것을 특징으로 하는 패킷 감시 방법.
  10. 제 9 항에 있어서, 상기 방법은,
    g) 상기 차단된 ARP 패킷을 전송하는 프로세스 정보(Process ID, Process Name)를 파악하고, 상기 파악된 프로세스 정보를 토대로 차단된 ARP 패킷의 전송 주체인 특정 프로세스를 종료시키는 단계를 더 포함하는 것을 특징으로 하는 패킷 감시 방법.
  11. 제 9 항에 있어서, 상기 a) 단계는,
    소정 시간 동안 상기 개별 시스템에서 아웃바운드(Outbound)되는 'ARP REQUEST'의 전송 횟수가 소정의 설정치 이상일 경우, 상기 개별 시스템에 대한 특정 프로세스의 사전 공격으로 인식하는 것을 특징으로 하는 패킷 감시 방법.
  12. 제 9 항에 있어서, 상기 b) 단계는,
    상기 개별 시스템에 탑재된 NIC의 패킷 수신 모드가 'Promiscuous mode'로 사용되는 것이 감지될 경우, 상기 개별 시스템에 대한 특정 프로세스의 사전 공격으로 인식하는 것을 특징으로 하는 패킷 감시 방법.
  13. 제 9 항에 있어서, 상기 e) 단계는,
    소정 시간 동안 상기 개별 시스템의 ARP 캐쉬(Cache)에 임시 저장된 IP/MAC 주소와 상기 공격 대상으로 지정된 ARP 패킷에 포함된 IP/MAC 주소를 비교하여 동일한 MAC 주소에 대해 출발지 주소가 상이할 경우, 해당 ARP 패킷이 위조된 것으로 판단하는 것을 특징으로 하는 패킷 감시 방법.
  14. 제 9 항에 있어서, 상기 e) 단계는,
    소정 시간 동안 상기 개별 시스템에 탑재된 NIC의 IP/MAC 주소와 상기 공격 대상으로 지정된 ARP 패킷에 포함된 IP/MAC 주소를 비교하여 동일한 MAC 주소에 대해 출발지 주소가 상이할 경우, 해당 ARP 패킷이 위조된 것으로 판단하는 것을 특징으로 하는 패킷 감시 방법.
  15. 제 9 항에 있어서, 상기 f) 단계는,
    상기 공격 대상으로 지정된 ARP 패킷에 대해 ARP 위조가 확인되지 않을 경우 해당 ARP 패킷에 대한 공격 대상 지정 상태를 해제시키는 것을 특징으로 하는 패킷 감시 방법.
  16. 제 9 항에 있어서, 상기 f) 단계는,
    상기 e) 단계 판단 결과, 상기 공격 대상으로 지정된 패킷에 대한 위조가 확인될 경우, 상기 공격 대상으로 지정된 ARP 패킷을 전송하는 프로세스 정보(Process ID, Process Name)를 파악하고, 상기 파악된 프로세스 정보를 토대로 상기 공격 대상으로 지정된 ARP 패킷의 전송 주체인 특정 프로세스를 종료시키는 단계를 더 포함하는 것을 특징으로 하는 패킷 감시 방법.
KR1020070126764A 2007-12-07 2007-12-07 패킷 감시 시스템 및 그 방법 KR100954348B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070126764A KR100954348B1 (ko) 2007-12-07 2007-12-07 패킷 감시 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070126764A KR100954348B1 (ko) 2007-12-07 2007-12-07 패킷 감시 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20090059745A true KR20090059745A (ko) 2009-06-11
KR100954348B1 KR100954348B1 (ko) 2010-04-21

Family

ID=40989811

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070126764A KR100954348B1 (ko) 2007-12-07 2007-12-07 패킷 감시 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR100954348B1 (ko)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100533785B1 (ko) * 2003-06-19 2005-12-06 주식회사 인티게이트 Dhcp 패킷을 이용한 동적 ip 주소할당 환경에서의arp/ip 스푸핑 자동 방지 방법
KR100863313B1 (ko) * 2007-02-09 2008-10-15 주식회사 코어세스 에이알피 스푸핑 자동 차단 장치 및 방법

Also Published As

Publication number Publication date
KR100954348B1 (ko) 2010-04-21

Similar Documents

Publication Publication Date Title
JP4174392B2 (ja) ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置
CN101136922B (zh) 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统
CN101415012B (zh) 一种防御地址解析协议报文攻击的方法和系统
JP4545647B2 (ja) 攻撃検知・防御システム
US7167922B2 (en) Method and apparatus for providing automatic ingress filtering
US8139521B2 (en) Wireless nodes with active authentication and associated methods
US8966608B2 (en) Preventing spoofing
KR101217647B1 (ko) 특정 소스/목적지 ip 어드레스 쌍들에 기초한 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치
US20060256729A1 (en) Method and apparatus for identifying and disabling worms in communication networks
Pandey Prevention of ARP spoofing: A probe packet based technique
US20070294759A1 (en) Wireless network control and protection system
KR20120126674A (ko) 차단서버를 이용한 스푸핑 공격 방어방법
JP2010508760A (ja) 1つまたは複数のパケット・ネットワーク内で悪意のある攻撃中に制御メッセージを送達する方法および装置
KR101001900B1 (ko) Arp 공격 감지 방법 및 이를 이용한 시스템
WO2015174100A1 (ja) パケット転送装置、パケット転送システム及びパケット転送方法
CN101459653B (zh) 基于Snooping技术的防止DHCP报文攻击的方法
CN102438028A (zh) 一种防止dhcp服务器欺骗的方法、装置及系统
KR101064382B1 (ko) 통신 네트워크에서의 arp 공격 차단 시스템 및 방법
CN106878326A (zh) 基于反向检测的IPv6邻居缓存保护方法及其装置
CN102137073A (zh) 一种防止仿冒ip地址进行攻击的方法和接入设备
KR100856918B1 (ko) IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및IPv6 기반 네트워크 시스템
KR102366574B1 (ko) 무선 침입 방지 방법
US20060225141A1 (en) Unauthorized access searching method and device
KR100954348B1 (ko) 패킷 감시 시스템 및 그 방법
JP4768547B2 (ja) 通信装置の認証システム

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130415

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20140415

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20170417

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20180416

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20190415

Year of fee payment: 10