KR20120073022A - Pseudo packet monitoring system for address resolution protocol spoofing monitoring of malicious code and pseudo packet monitoring method therefor - Google Patents

Pseudo packet monitoring system for address resolution protocol spoofing monitoring of malicious code and pseudo packet monitoring method therefor Download PDF

Info

Publication number
KR20120073022A
KR20120073022A KR1020100134997A KR20100134997A KR20120073022A KR 20120073022 A KR20120073022 A KR 20120073022A KR 1020100134997 A KR1020100134997 A KR 1020100134997A KR 20100134997 A KR20100134997 A KR 20100134997A KR 20120073022 A KR20120073022 A KR 20120073022A
Authority
KR
South Korea
Prior art keywords
arp
information
spoofing
network
host
Prior art date
Application number
KR1020100134997A
Other languages
Korean (ko)
Other versions
KR101188308B1 (en
Inventor
정현철
임채태
지승구
오주형
강동완
김기홍
정가람
Original Assignee
한국인터넷진흥원
(주) 세인트 시큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원, (주) 세인트 시큐리티 filed Critical 한국인터넷진흥원
Priority to KR1020100134997A priority Critical patent/KR101188308B1/en
Publication of KR20120073022A publication Critical patent/KR20120073022A/en
Application granted granted Critical
Publication of KR101188308B1 publication Critical patent/KR101188308B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/26Power supply means, e.g. regulation thereof
    • G06F1/32Means for saving power
    • G06F1/3203Power management, i.e. event-based initiation of a power-saving mode
    • G06F1/3206Monitoring of events, devices or parameters that trigger a change in power modality
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

PURPOSE: A virtual packet monitoring system and method thereof are provided to easily determine the occurrence of an ARP(Address Resolution Protocol) spoofing by comparing ARP information within the SNMP(Simple Network Management Protocol) information of apparatuses. CONSTITUTION: A first ARP information extraction module(100) extracts first ARP information for apparatuses connected to a network of a host PC(Personal Computer). A second ARP information extraction module(200) constructs a virtual network in the host PC. The second ARP information extraction module extracts second ARP information within the SNMP information of the apparatus connected to the virtual network. An ARP information comparison module(300) determines the occurrence of an ARP spoofing attack by comparing the first ARP information with the second ARP information.

Description

악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템 및 그 방법{PSEUDO PACKET MONITORING SYSTEM FOR ADDRESS RESOLUTION PROTOCOL SPOOFING MONITORING OF MALICIOUS CODE AND PSEUDO PACKET MONITORING METHOD THEREFOR}Virtual packet monitoring system and method for monitoring address resolution protocol spoofing of malicious code {PSEUDO PACKET MONITORING SYSTEM

본 발명은 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템 및 그 방법에 대한 것으로서, 두 가지 경로를 통해 수집된 ARP 정보를 비교하여 ARP 스푸핑 공격을 판단할 수 있는 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템 및 그 방법에 관한 것이다.The present invention relates to a virtual packet monitoring system and method for monitoring address determination protocol spoofing of malicious codes, and to addressing ARP spoofing attacks by comparing ARP information collected through two paths. A virtual packet monitoring system and method thereof for spoofing monitoring.

주소 결정 프로토콜 스푸핑(Address Resolution Protocol Spoofing, ARP Spoofing; 이하, ARP 스푸핑 이라 함)은, 로컬 영역 네트워크(Local Area Network, LAN, 이하, LAN 이라 함) 하에서 주소 결정 프로토콜 메시지를 이용하여 상대방의 데이터 패킷을 중간에서 가로채는 맨 인 더 미들 공격 기법이다. 이 공격은 LAN에서 사용하는 ARP 프로토콜의 허점을 이용하여 자신의 매체 접근 제어(Media Access Control, MAC; 이하, MAC 이라 함) 주소를 다른 컴퓨터의 MAC인 것처럼 속인다. ARP 스푸핑 공격은 ARP 캐쉬(Cache) 정보를 임의로 바꾼다고 하여'ARP Cache Poisoning 공격'이라고도 한다. 과거의 더미 허브 환경에서는 쉽게 스니핑(Sniffing)이 가능하였지만, 최근의 스위치 환경에서는 해당 MAC을 가진 컴퓨터에게만 패킷이 전달되어 더미 환경에 비해 스니핑이 쉽지 않게 되었다. 하지만 공격자들은 ARP 스푸핑을 사용하여 자신의 MAC 주소를 라우터 또는 스니핑하고자 하는 대상 서버의 MAC 주소로 위장(ARP 스푸핑)하여 스위치 환경에서도 패킷을 스니핑 할 수 있다. 또한 이 공격은 패킷을 가로채어 훔쳐보는 스니핑 수준이 아니라, 가로챈 패킷을 변조한 후 재전송하는 공격에도 사용되고 있다. 한 서버가 아무리 안전하게 구축되어 해킹당할 염려가 없다고 하더라도 해당 서버가 포함된 네트워크 내에 안전하지 못한 서버가 있을 경우 ARP 스푸핑 공격으로 쉽게 데이터가 유출되거나 변조될 수 있음을 알 수 있다. ARP 스푸핑 기법은 금융기관 등을 사칭하는 피싱/파밍 공격에도 사용될 수 있다. 사용자가 금융사이트 접속을 위해 DNS 요청을 할 경우, 공격자는 ARP 스푸핑 기법을 이용하여 위장 사이트의 IP 주소값을 사용자에게 보냄으로써 위장 사이트로 접속을 유도할 수도 있다.Address Resolution Protocol Spoofing (ARP Spoofing) (hereinafter referred to as ARP Spoofing) is a data packet of a counterpart using an address resolution protocol message under a Local Area Network (LAN). Is a man-in-the-middle attack that intercepts an attacker. The attack exploits the loopholes in the ARP protocol used by LANs to fool its Media Access Control (MAC) addresses as if they were MACs of other computers. The ARP spoofing attack is also known as an 'ARP Cache Poisoning attack' because it randomly changes ARP cache information. In the past, it was easy to sniff in a dummy hub environment. However, in a recent switch environment, a packet is delivered only to a computer having a corresponding MAC, which makes sniffing easier than in a dummy environment. However, attackers can use ARP spoofing to sniff packets even in a switched environment by spoofing their MAC address to the MAC address of the router or target server they want to sniff. This attack is also used for attacks that attempt to tamper with and retransmit packets, rather than sniffing and stealing packets. No matter how secure a server is, it is easy to find that if there is an insecure server in the network that contains it, an ARP spoofing attack can easily leak or tamper with data. ARP spoofing can also be used for phishing / pharming attacks that impersonate financial institutions. When a user makes a DNS request to access a financial site, an attacker can use the ARP spoofing technique to send the user to the fake site by sending the IP address of the fake site to the user.

본 발명의 목적은 ARP 스푸핑 공격 발생을 효과적으로 판단할 수 있는 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템 및 그 방법을 제공하는 것이다.It is an object of the present invention to provide a virtual packet monitoring system and method for monitoring address resolution protocol spoofing of malicious code that can effectively determine the occurrence of an ARP spoofing attack.

상술한 목적을 달성하기 위해 본 발명은 호스트 PC의 네트워크에 연결된 장비들에 대한 제 1 ARP 정보를 추출하는 제 1 ARP 정보 추출 모듈과, 상기 호스트 PC에 가상 네트워크를 구성하고, 상기 가상 네트워크에 접속된 상기 장비의 SNMP 정보에 포함된 제 2 ARP 정보를 추출하는 제 2 ARP 정보 추출 모듈과, 상기 제 1 ARP 정보와 상기 제 2 ARP 정보를 비교하여 ARP 스푸핑 공격 발생을 판단하는 ARP 정보 비교 모듈을 포함하는 것을 특징으로 하는 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템을 제공한다.In order to achieve the above object, the present invention provides a first ARP information extraction module for extracting first ARP information for devices connected to a network of a host PC, and configures a virtual network in the host PC, and accesses the virtual network. A second ARP information extraction module for extracting second ARP information included in the SNMP information of the device; and an ARP information comparison module for determining an ARP spoofing attack by comparing the first ARP information and the second ARP information; It provides a virtual packet monitoring system for spoofing the address determination protocol of malicious code comprising a.

상기 호스트 PC의 네트워크에 연결된 장비의 MAC 주소와 ARP 정보를 비교하여 ARP 스푸핑 공격 발생을 판단하는 ARP 스푸핑 판단 모듈을 더 포함할 수 있다. 상기 ARP 스푸핑 판단 모듈은 상기 호스트 PC의 네트워크에 연결된 장비들 사이에 송수신되는 ARP 요청 메시지와 ARP 응답 메시지 및 이더넷 프레임을 수신하고, 상기 수신된 이더넷 프레임에 등록된 목적지 MAC 주소와 ARP 정보의 목적지 하드웨어 주소를 비교하여 ARP 스푸핑 공격 발생을 판단하는 목적지 비교 모듈을 포함할 수 있다. 또한, 상기 ARP 스푸핑 판단 모듈은 상기 호스트 PC의 네트워크에 연결된 장비들 사이에 송수신되는 ARP 요청 메시지와 ARP 응답 메시지 및 이더넷 프레임을 수신하고, 상기 수신된 이더넷 프레임에 등록된 소스 MAC 주소와 ARP 정보의 소스 하드웨어 주소를 비교하여 ARP 스푸핑 공격 발생을 판단하는 소스 비교 모듈을 포함할 수 있다. 상기 ARP 스푸핑 판단 모듈은 상기 호스트 PC의 네트워크에 연결된 장비들 사이에 송수신되는 ARP 요청 메시지와 ARP 응답 메시지 및 이더넷 프레임을 수신하고, 하나의 ARP 요청 메시지에 대해 두 가지의 ARP 응답 메시지가 수신될 경우 ARP 스푸핑 공격 발생으로 판단하는 응답 메시지 판단 모듈을 포함할 수 있다.The ARP spoofing determination module may further include determining an ARP spoofing attack by comparing the MAC address of the device connected to the host PC's network with ARP information. The ARP spoofing determination module receives an ARP request message, an ARP response message, and an Ethernet frame transmitted and received between devices connected to the network of the host PC, and destination hardware of destination MAC address and ARP information registered in the received Ethernet frame. It may include a destination comparison module for comparing the address to determine the occurrence of the ARP spoofing attack. In addition, the ARP spoofing determination module receives an ARP request message, an ARP response message and an Ethernet frame transmitted and received between devices connected to the network of the host PC, and the source MAC address and ARP information registered in the received Ethernet frame. It may include a source comparison module for comparing the source hardware address to determine the occurrence of the ARP spoofing attack. The ARP spoofing determination module receives an ARP request message, an ARP response message, and an Ethernet frame transmitted and received between devices connected to the network of the host PC, and when two ARP response messages are received for one ARP request message. It may include a response message determination module for determining that the ARP spoofing attack occurs.

또한, 본 발명은 호스트 PC의 네트워크에 연결된 장비들에 ARP 정보 요청 메시지를 전송하여 ARP 응답 메시지를 회신 받고, 해당 ARP 응답 메시지에 포함된 제 1 ARP 정보를 추출하는 단계와, 상기 호스트 PC에 가상 네트워크를 구성하고, 가상 네트워크에 접속된 각 장비의 SNMP 정보를 수집하여 해당 SNMP 정보에 포함된 제 2 ARP 정보를 추출하는 단계, 및 상기 제 1 ARP 정보와 상기 제 2 ARP 정보를 비교하여 ARP 스푸핑 공격 발생을 판단하는 단계를 포함하는 것을 특징으로 하는 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 방법을 제공할 수 있다.In addition, the present invention transmits an ARP information request message to the devices connected to the network of the host PC to receive an ARP response message, extracting the first ARP information included in the ARP response message, and virtual to the host PC Configuring a network, collecting SNMP information of each device connected to the virtual network, extracting second ARP information included in the corresponding SNMP information, and comparing the first ARP information with the second ARP information to spoof ARP. A virtual packet monitoring method for address determination protocol spoofing monitoring of malicious code may include providing an attack.

상기 호스트 PC의 네트워크에 연결된 장비들 사이에 송수신되는 ARP 요청 메시지와 ARP 응답 메시지 및 이더넷 프레임을 수신하고, 수신된 이더넷 프레임에 등록된 목적지 MAC 주소와 ARP 정보의 목적지 하드웨어 주소를 비교하여 ARP 스푸핑 공격 발생을 판단하는 단계를 더 포함할 수 있다. 또한, 상기 호스트 PC의 네트워크에 연결된 장비들 사이에 송수신되는 ARP 요청 메시지와 ARP 응답 메시지 및 이더넷 프레임을 수신하고, 수신된 이더넷 프레임에 등록된 소스 MAC 주소와 ARP 정보의 소스 하드웨어 주소를 비교하여 ARP 스푸핑 공격 발생을 판단하는 단계를 더 포함할 수 있다. 상기 호스트 PC의 네트워크에 연결된 장비들 사이에 송수신되는 ARP 요청 메시지와 ARP 응답 메시지 및 이더넷 프레임을 수신하고, 하나의 ARP 요청 메시지에 대해 두 가지의 ARP 응답 메시지가 수신될 경우 ARP 스푸핑 공격 발생으로 판단하는 단계를 더 포함할 수 있다.An ARP spoofing attack by receiving an ARP request message, an ARP response message, and an Ethernet frame transmitted and received between devices connected to the network of the host PC, and comparing the destination MAC address registered in the received Ethernet frame with the destination hardware address of the ARP information. The method may further include determining occurrence. In addition, the ARP request message and the ARP response message and the Ethernet frame received between the devices connected to the network of the host PC is received, and the ARP by comparing the source hardware address of the ARP information and the source MAC address registered in the received Ethernet frame The method may further include determining a spoofing attack. Receives an ARP request message, an ARP response message, and an Ethernet frame transmitted and received between devices connected to the network of the host PC, and determines that an ARP spoofing attack occurs when two ARP response messages are received for one ARP request message. It may further comprise the step.

본 발명은 네트워크에 연결된 장비들로부터 직접 수집된 ARP 정보(제 1 ARP 정보)와, 네트워크에 연결된 장비들의 SNMP 정보에 포함되어 있는 ARP 정보(제 2 ARP 정보)를 비교하여 ARP 스푸핑의 발생 여부를 쉽게 판단할 수 있는 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템 및 그 방법을 제공할 수 있다.The present invention compares ARP information (first ARP information) collected directly from devices connected to a network with ARP information (second ARP information) included in SNMP information of devices connected to a network to determine whether ARP spoofing has occurred. It is possible to provide a virtual packet monitoring system and method for monitoring address determination protocol spoofing of malicious code that can be easily determined.

또한, 본 발명은 ARP 스푸핑 공격을 사전에 탐지하여 개인정보, 기술정보 등 호스트 PC에 저장될 수 있는 각종 기밀 정보들의 유출을 방지할 수 있는 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템 및 그 방법을 제공할 수 있다.In addition, the present invention is a virtual packet monitoring system for spoofing the address determination protocol of malicious code that can detect the ARP spoofing attack in advance to prevent the leakage of various confidential information that can be stored in the host PC, such as personal information, technical information And a method thereof.

도 1은 본 발명에 따른 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템의 개념도.
도 2는 본 발명에 따른 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 방법의 순서도.1 is a conceptual diagram of a virtual packet monitoring system for monitoring address determination protocol spoofing of malicious code according to the present invention;
2 is a flow chart of a virtual packet monitoring method for address resolution protocol spoofing monitoring of malicious code in accordance with the present invention.

이하, 도면을 참조하여 본 발명의 실시예를 상세히 설명하기로 한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

그러나 본 발명은 이하에서 개시되는 실시예에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이다. 도면상의 동일 부호는 동일한 요소를 지칭한다.It will be apparent to those skilled in the art that the present invention may be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. Rather, these embodiments are provided so that this disclosure will be thorough and complete, It is provided to let you know. Like reference numerals in the drawings refer to like elements.

도 1은 본 발명에 따른 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템의 개념도이다.1 is a conceptual diagram of a virtual packet monitoring system for monitoring address determination protocol spoofing of malicious code according to the present invention.

본 발명에 따른 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템은 도 1에 도시된 바와 같이, 호스트 PC의 네트워크에 연결된 장비들에 대한 ARP 정보를 추출하는 제 1 ARP 정보 추출 모듈(100)과, 호스트 PC에 가상 네트워크를 구성하여 각 장치의 SNMP 정보에 포함된 ARP 정보를 추출하는 제 2 ARP 정보 추출 모듈(200)과, 제 1 ARP 정보 추출 모듈과 제 2 ARP 정보 추출 모듈에서 각각 추출된 ARP 정보를 비교하는 ARP 정보 비교 모듈(300)과, MAC 주소와 ARP 정보를 기초로 ARP 스푸핑 발생을 판단하는 ARP 스푸핑 판단 모듈(400)을 포함한다.As shown in FIG. 1, the virtual packet monitoring system for monitoring address determination protocol spoofing of malicious code according to the present invention includes a first ARP information extraction module 100 for extracting ARP information about devices connected to a network of a host PC. And a second ARP information extraction module 200 for extracting ARP information included in SNMP information of each device by configuring a virtual network in the host PC, and each of the first ARP information extraction module and the second ARP information extraction module. ARP information comparison module 300 for comparing the extracted ARP information, and ARP spoofing determination module 400 for determining the occurrence of ARP spoofing based on the MAC address and ARP information.

제 1 ARP 정보 추출 모듈(100)은 네트워크에 연결된 장비들에 ARP 정보 요청 메시지를 전송하여 ARP 응답 메시지를 회신 받고, 해당 ARP 응답 메시지에 포함된 ARP 정보를 추출하여 제 1 테이블에 저장한다. 여기서, 제 1 테이블에 저장된 ARP 정보를 제 1 ARP 정보로 정의한다.The first ARP information extraction module 100 transmits an ARP information request message to devices connected to a network, receives an ARP response message, and extracts and stores ARP information included in the corresponding ARP response message in a first table. Here, ARP information stored in the first table is defined as first ARP information.

제 2 ARP 정보 추출 모듈(200)은 시스템에 가상 네트워크 환경을 구성하고 가상 네트워크에 존재하는 모든 네트워크 장치의 SNMP 정보를 수집하여 해당 SNMP 정보에 포함된 ARP 정보를 추출하여 제 2 테이블에 저장한다. 즉, 제 2 ARP 정보 추출 모듈(200)은 시스템에 가상 네트워크 환경을 구성하고 미리 정해진 MAC 주소를 가진 게이트웨이를 설정하고, 가상 네트워크 상에서 존재하는 모든 네트워크 장치에 SNMP 메시지를 보낸 후, 실제 MAC 주소를 미리 제 2 테이블에 저장한다. 여기서, 제 2 테이블에 저장된 ARP 정보를 제 2 ARP 정보로 정의한다.The second ARP information extraction module 200 configures a virtual network environment in the system, collects SNMP information of all network devices existing in the virtual network, extracts ARP information included in the corresponding SNMP information, and stores the ARP information in the second table. That is, the second ARP information extraction module 200 configures a virtual network environment in the system, sets up a gateway having a predetermined MAC address, sends an SNMP message to all network devices existing on the virtual network, and then sends the actual MAC address. Store in the second table in advance. Here, the ARP information stored in the second table is defined as the second ARP information.

ARP 정보 비교 모듈(300)은 제 1 테이블에 저장된 제 1 ARP 정보와 제 2 테이블에 저장된 제 2 ARP 정보를 비교하여 ARP 스푸핑의 발생여부를 판단한다. 즉, ARP 정보 비교 모듈(300)은 네트워크의 ARP 응답 메시지에 포함된 제 1 ARP 정보와 가상 네트워크를 구성하여 각 장치의 SNMP 정보에 포함된 제 2 ARP 정보를 비교한다. 이때, 제 1 ARP 정보와 제 2 ARP 정보가 상이할 경우, ARP 정보 비교 모듈(300)은 ARP 스푸핑이 발생한 것으로 판단한다. 물론, 이를 위해서는 가상 네트워크에 연결된 장치는 SNMP 서비스가 활성화되어 있어야 한다.The ARP information comparison module 300 compares the first ARP information stored in the first table with the second ARP information stored in the second table to determine whether ARP spoofing has occurred. That is, the ARP information comparison module 300 configures a virtual network with the first ARP information included in the ARP response message of the network and compares the second ARP information included in the SNMP information of each device. In this case, when the first ARP information and the second ARP information are different, the ARP information comparison module 300 determines that ARP spoofing has occurred. Of course, to do this, devices connected to the virtual network must have the SNMP service enabled.

ARP 스푸핑 판단 모듈(400)은 MAC 주소와 ARP 정보를 기초로 ARP 스푸핑 발생을 판단한다. 이를 위해 ARP 스푸핑 판단 모듈은 목적지 비교 모듈(410)과, 소스 비교 모듈(420), 및 응답 메시지 판단 모듈(430)을 포함한다.The ARP spoofing determination module 400 determines the occurrence of ARP spoofing based on the MAC address and the ARP information. To this end, the ARP spoofing determination module includes a destination comparison module 410, a source comparison module 420, and a response message determination module 430.

목적지 비교 모듈(410)은 네트워크에 연결된 장비들 사이에 송수신되는 ARP 요청 메시지와 ARP 응답 메시지 및 이더넷 프레임을 수신하고, 이더넷 프레임이 수신되면 수신된 이더넷 프레임에 등록된 목적지 MAC 주소와 ARP 정보의 목적지 하드웨어 주소가 불일치하는지 여부에 따라 ARP 스푸핑의 발생 여부를 판단한다. 물론, 이더넷 프레임에 등록된 목적지 MAC 주소와 ARP 정보의 목적지 하드웨어 주소가 불일치할 경우, 목적지 비교 모듈은 ARP 스푸핑이 발생한 것으로 판단한다.The destination comparison module 410 receives an ARP request message and an ARP response message and an Ethernet frame transmitted and received between devices connected to a network, and when an Ethernet frame is received, a destination MAC address and a destination of the ARP information registered in the received Ethernet frame. It is determined whether ARP spoofing has occurred depending on whether hardware addresses are inconsistent. Of course, if there is a mismatch between the destination MAC address registered in the Ethernet frame and the destination hardware address of the ARP information, the destination comparison module determines that ARP spoofing has occurred.

소스 비교 모듈(420)은 수신된 이더넷 프레임에 등록된 소스 MAC 주소와 ARP 정보의 소스 하드웨어 주소가 불일치하는 여부에 따라 ARP 스푸핑 발생을 판단한다. 이 경우 역시, 수신된 이더넷 프레임에 등록된 소스 MAC 주소와 ARP 정보의 소스 하드웨어 주소가 불일치할 경우, 소스 비교 모듈은 ARP 스푸핑이 발생한 것으로 판단한다.The source comparison module 420 determines the occurrence of the ARP spoofing according to whether or not the source MAC address registered in the received Ethernet frame and the source hardware address of the ARP information are inconsistent. In this case, too, when the source MAC address registered in the received Ethernet frame and the source hardware address of the ARP information do not match, the source comparison module determines that ARP spoofing has occurred.

응답 메시지 판단 모듈(430)은 하나의 ARP 요청 메시지에 대해 두 가지의 ARP 응답 메시지가 수신되는지 여부에 따라 ARP 스푸핑 발생 여부를 판단한다. 이때, 하나의 ARP 요청 메시지에 대해 두 가지의 ARP 응답 메시지가 수신될 경우, 응답 메시지 판단 모듈은 ARP 스푸핑이 발생한 것으로 판단한다.The response message determination module 430 determines whether ARP spoofing has occurred according to whether two ARP response messages are received for one ARP request message. In this case, when two ARP response messages are received for one ARP request message, the response message determination module determines that ARP spoofing has occurred.

상술한 바와 같이, 본 발명은 네트워크에 연결된 장비들로부터 직접 수집된 ARP 정보(제 1 ARP 정보)와, 네트워크에 연결된 장비들의 SNMP 정보에 포함되어 있는 ARP 정보(제 2 ARP 정보)를 비교하여 ARP 스푸핑의 발생 여부를 쉽게 판단할 수 있는 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템을 제공할 수 있다. 또한, 본 발명은 ARP 스푸핑 공격을 사전에 탐지하여 개인정보, 기술정보 등 호스트 PC에 저장될 수 있는 각종 기밀 정보들의 유출을 방지할 수 있는 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템을 제공할 수 있다.
As described above, the present invention compares ARP information (first ARP information) directly collected from devices connected to a network with ARP information (second ARP information) included in SNMP information of devices connected to a network. It is possible to provide a virtual packet monitoring system for spoofing an address determination protocol for malicious code that can easily determine whether spoofing has occurred. In addition, the present invention is a virtual packet monitoring system for spoofing the address determination protocol of malicious code that can detect the ARP spoofing attack in advance to prevent the leakage of various confidential information that can be stored in the host PC, such as personal information, technical information Can be provided.

다음은 본 발명에 따른 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 방법에 대해 도면을 참조하여 설명하고자 한다. 후술할 내용 중 전술된 본 발명에 따른 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템의 설명과 중복되는 내용은 생략하거나 간략히 설명하기로 한다.Next, a virtual packet monitoring method for monitoring address determination protocol spoofing of malicious code according to the present invention will be described with reference to the accompanying drawings. In the following description, duplicate descriptions of the virtual packet monitoring system for monitoring the address determination protocol spoofing of the malicious code according to the present invention will be omitted or briefly described.

도 2는 본 발명에 따른 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 방법의 순서도이다.2 is a flowchart illustrating a virtual packet monitoring method for monitoring address determination protocol spoofing of malicious code according to the present invention.

본 발명에 따른 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 방법은 도 2에 도시된 바와 같이, 제 1 ARP 정보를 추출하는 단계(S1)와, 제 2 ARP 정보를 추출하는 단계(S2)와, ARP 정보를 비교하는 단계(S3)와, ARP 스푸핑 공격 발생을 판단하는 단계(S4)를 포함한다.In the virtual packet monitoring method for address determination protocol spoofing monitoring of malicious code according to the present invention, as shown in FIG. 2, the first ARP information is extracted (S1) and the second ARP information is extracted (S2). ), Comparing the ARP information (S3), and determining the occurrence of the ARP spoofing attack (S4).

제 1 ARP 정보를 추출하는 단계(S1)는 네트워크에 연결된 장비들에 ARP 정보 요청 메시지를 전송하여 ARP 응답 메시지를 회신 받고, 해당 ARP 응답 메시지에 포함된 ARP 정보, 즉, 제 1 ARP 정보를 추출하여 제 1 테이블에 저장한다.In the extracting of the first ARP information (S1), an ARP response message is transmitted by sending an ARP information request message to devices connected to the network, and the ARP information included in the corresponding ARP response message is extracted, that is, the first ARP information is extracted. Store in the first table.

제 2 ARP 정보를 추출하는 단계(S2)는 가상 네트워크를 구성하고, 가상 네트워크에 접속된 각 장비의 SNMP 정보를 수집하여 해당 SNMP 정보에 포함된 ARP 정보, 즉, 제 2 ARP 정보를 추출하여 제 2 테이블에 저장한다.Extracting the second ARP information (S2) comprises configuring a virtual network, collecting SNMP information of each device connected to the virtual network, and extracting ARP information included in the corresponding SNMP information, that is, the second ARP information. 2 Save to table.

ARP 정보를 비교하는 단계는 제 1 테이블에 저장된 제 1 ARP 정보와 제 2 테이블에 저장된 제 2 ARP 정보를 비교하여 ARP 스푸핑 공격 발생 여부를 판단한다. 이때, 제 1 테이블에 저장된 제 1 ARP 정보와 제 2 테이블에 저장된 제 2 ARP 정보가 상이할 경우, ARP 스푸핑 공격이 발생한 것으로 판단한다.The step of comparing the ARP information compares the first ARP information stored in the first table with the second ARP information stored in the second table to determine whether an ARP spoofing attack has occurred. At this time, when the first ARP information stored in the first table and the second ARP information stored in the second table are different, it is determined that an ARP spoofing attack has occurred.

ARP 스푸핑 공격 발생을 판단하는 단계(S4)는 MAC 주소와 ARP 정보를 기초로 ARP 스푸핑 발생을 판단한다. 이를 위해 ARP 스푸핑 공격 발생을 판단하는 단계(S4)는 목적지 주소를 비교하는 단계(S4-1)와, 소스 주소를 비교하는 단계(S4-2), 및 응답 메시지를 판단하는 단계(S4-3)를 포함한다.In step S4, the occurrence of the ARP spoofing attack is determined based on the MAC address and the ARP information. To this end, the step of determining the occurrence of the ARP spoofing attack (S4) includes comparing the destination address (S4-1), comparing the source address (S4-2), and determining the response message (S4-3). ).

목적지 주소를 비교하는 단계(S4-1)는 호스트 PC의 네트워크에 연결된 장비들 사이에 송수신되는 ARP 요청 메시지와 ARP 응답 메시지 및 이더넷 프레임을 수신하고, 수신된 이더넷 프레임에 등록된 목적지 MAC 주소와 ARP 정보의 목적지 하드웨어 주소를 비교하여 ARP 스푸핑 공격 발생을 판단한다. 이때, 수신된 이더넷 프레임에 등록된 목적지 MAC 주소와 ARP 정보의 목적지 하드웨어 주소가 상이할 경우, ARP 스푸핑 공격이 발생된 것으로 판단한다.Comparing the destination address (S4-1), an ARP request message, an ARP response message, and an Ethernet frame are transmitted and received between the devices connected to the network of the host PC, and the destination MAC address and ARP registered in the received Ethernet frame are received. The destination hardware address of the information is compared to determine the occurrence of the ARP spoofing attack. At this time, if the destination MAC address registered in the received Ethernet frame and the destination hardware address of the ARP information is different, it is determined that an ARP spoofing attack has occurred.

소스 주소를 비교하는 단계(S4-2)는 호스트 PC의 네트워크에 연결된 장비들 사이에 송수신되는 ARP 요청 메시지와 ARP 응답 메시지 및 이더넷 프레임을 수신하고, 수신된 이더넷 프레임에 등록된 소스 MAC 주소와 ARP 정보의 소스 하드웨어 주소를 비교하여 ARP 스푸핑 공격 발생을 판단한다. 물론, 소스 주소를 비교하는 단계(S4-2) 역시, 수신된 이더넷 프레임에 등록된 소스 MAC 주소와 ARP 정보의 소스 하드웨어 주소가 상이할 경우, ARP 스푸핑 공격이 발생된 것으로 판단한다.Comparing the source address (S4-2) receives an ARP request message and an ARP response message and Ethernet frames transmitted and received between the devices connected to the network of the host PC, the source MAC address and ARP registered in the received Ethernet frame The source hardware address of the information is compared to determine the occurrence of an ARP spoofing attack. Of course, comparing the source address (S4-2) also, if the source MAC address registered in the received Ethernet frame and the source hardware address of the ARP information is different, it is determined that an ARP spoofing attack has occurred.

응답 메시지를 판단하는 단계(S4-3)는 호스트 PC의 네트워크에 연결된 장비들 사이에 송수신되는 ARP 요청 메시지와 ARP 응답 메시지 및 이더넷 프레임을 수신하고, 하나의 ARP 요청 메시지에 대해 두 가지의 ARP 응답 메시지가 수신될 경우 ARP 스푸핑 공격 발생으로 판단한다.Determining the response message (S4-3) receives an ARP request message, an ARP response message and an Ethernet frame transmitted and received between the devices connected to the network of the host PC, two ARP responses to one ARP request message If a message is received, it is determined that an ARP spoofing attack has occurred.

상술한 바와 같이, 본 발명은 네트워크에 연결된 장비들로부터 직접 수집된 ARP 정보(제 1 ARP 정보)와, 네트워크에 연결된 장비들의 SNMP 정보에 포함되어 있는 ARP 정보(제 2 ARP 정보)를 비교하여 ARP 스푸핑의 발생 여부를 쉽게 판단할 수 있는 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 방법을 제공할 수 있다. 또한, 본 발명은 ARP 스푸핑 공격을 사전에 탐지하여 개인정보, 기술정보 등 호스트 PC에 저장될 수 있는 각종 기밀 정보들의 유출을 방지할 수 있는 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 방법을 제공할 수 있다.As described above, the present invention compares ARP information (first ARP information) directly collected from devices connected to a network with ARP information (second ARP information) included in SNMP information of devices connected to a network. A virtual packet monitoring method can be provided for spoofing an address determination protocol of malicious code that can easily determine whether spoofing has occurred. In addition, the present invention is a virtual packet monitoring method for monitoring the address resolution protocol spoofing of malicious code that can detect the ARP spoofing attack in advance to prevent the leakage of various confidential information that can be stored in the host PC, such as personal information, technical information Can be provided.

이상에서는 도면 및 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허청구범위에 기재된 본 발명의 기술적 사상으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.Although described above with reference to the drawings and embodiments, those skilled in the art can be variously modified and changed within the scope of the invention without departing from the spirit of the invention described in the claims below. I can understand.

100: 제 1 ARP 정보 추출 모듈 200: 제 2 ARP 정보 추출 모듈
300: ARP 정보 비교 모듈 400: ARP 스푸핑 판단 모듈
410: 목적지 비교 모듈 420: 소스 비교 모듈
430: 응답 메시지 판단 모듈100: first ARP information extraction module 200: second ARP information extraction module
300: ARP information comparison module 400: ARP spoofing determination module
410: destination comparison module 420: source comparison module
430: response message determination module

Claims (9)

호스트 PC의 네트워크에 연결된 장비들에 대한 제 1 ARP 정보를 추출하는 제 1 ARP 정보 추출 모듈과,
상기 호스트 PC에 가상 네트워크를 구성하고, 상기 가상 네트워크에 접속된 상기 장비의 SNMP 정보에 포함된 제 2 ARP 정보를 추출하는 제 2 ARP 정보 추출 모듈과,
상기 제 1 ARP 정보와 상기 제 2 ARP 정보를 비교하여 ARP 스푸핑 공격 발생을 판단하는 ARP 정보 비교 모듈을 포함하는 것을 특징으로 하는 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템.A first ARP information extraction module for extracting first ARP information about devices connected to a network of a host PC;
A second ARP information extraction module for configuring a virtual network in the host PC and extracting second ARP information included in SNMP information of the device connected to the virtual network;
And an ARP information comparison module for comparing the first ARP information and the second ARP information to determine the occurrence of an ARP spoofing attack. 청구항 1에 있어서,
상기 호스트 PC의 네트워크에 연결된 장비의 MAC 주소와 ARP 정보를 비교하여 ARP 스푸핑 공격 발생을 판단하는 ARP 스푸핑 판단 모듈을 더 포함하는 것을 특징으로 하는 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템.The method according to claim 1,
Virtual packet monitoring system for monitoring the address determination protocol spoofing of malicious code, characterized in that it further comprises an ARP spoofing determination module to determine the occurrence of the ARP spoofing attack by comparing the MAC address and ARP information of the device connected to the network of the host PC . 청구항 2에 있어서,
상기 ARP 스푸핑 판단 모듈은 상기 호스트 PC의 네트워크에 연결된 장비들 사이에 송수신되는 ARP 요청 메시지와 ARP 응답 메시지 및 이더넷 프레임을 수신하고, 상기 수신된 이더넷 프레임에 등록된 목적지 MAC 주소와 ARP 정보의 목적지 하드웨어 주소를 비교하여 ARP 스푸핑 공격 발생을 판단하는 목적지 비교 모듈을 포함하는 것을 특징으로 하는 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템.The method according to claim 2,
The ARP spoofing determination module receives an ARP request message, an ARP response message, and an Ethernet frame transmitted and received between devices connected to the network of the host PC, and destination hardware of destination MAC address and ARP information registered in the received Ethernet frame. A virtual packet monitoring system for monitoring address determination protocol spoofing of malicious code, comprising: a destination comparison module for determining an ARP spoofing attack by comparing addresses. 청구항 2에 있어서,
상기 ARP 스푸핑 판단 모듈은 상기 호스트 PC의 네트워크에 연결된 장비들 사이에 송수신되는 ARP 요청 메시지와 ARP 응답 메시지 및 이더넷 프레임을 수신하고, 상기 수신된 이더넷 프레임에 등록된 소스 MAC 주소와 ARP 정보의 소스 하드웨어 주소를 비교하여 ARP 스푸핑 공격 발생을 판단하는 소스 비교 모듈을 포함하는 것을 특징으로 하는 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템.The method according to claim 2,
The ARP spoofing determination module receives an ARP request message and an ARP response message and an Ethernet frame transmitted and received between devices connected to the network of the host PC, and source hardware of the source MAC address and ARP information registered in the received Ethernet frame. A virtual packet monitoring system for monitoring address determination protocol spoofing of malicious code, comprising: a source comparison module for determining an ARP spoofing attack by comparing addresses. 청구항 2에 있어서,
상기 ARP 스푸핑 판단 모듈은 상기 호스트 PC의 네트워크에 연결된 장비들 사이에 송수신되는 ARP 요청 메시지와 ARP 응답 메시지 및 이더넷 프레임을 수신하고, 하나의 ARP 요청 메시지에 대해 두 가지의 ARP 응답 메시지가 수신될 경우 ARP 스푸핑 공격 발생으로 판단하는 응답 메시지 판단 모듈을 포함하는 것을 특징으로 하는 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템.The method according to claim 2,
The ARP spoofing determination module receives an ARP request message, an ARP response message, and an Ethernet frame transmitted and received between devices connected to the network of the host PC, and when two ARP response messages are received for one ARP request message. A virtual packet monitoring system for monitoring address determination protocol spoofing of malicious code, comprising a response message determination module for determining that an ARP spoofing attack has occurred. 호스트 PC의 네트워크에 연결된 장비들에 ARP 정보 요청 메시지를 전송하여 ARP 응답 메시지를 회신 받고, 해당 ARP 응답 메시지에 포함된 제 1 ARP 정보를 추출하는 단계와,
상기 호스트 PC에 가상 네트워크를 구성하고, 가상 네트워크에 접속된 각 장비의 SNMP 정보를 수집하여 해당 SNMP 정보에 포함된 제 2 ARP 정보를 추출하는 단계, 및
상기 제 1 ARP 정보와 상기 제 2 ARP 정보를 비교하여 ARP 스푸핑 공격 발생을 판단하는 단계를 포함하는 것을 특징으로 하는 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 방법.Receiving an ARP response message by transmitting an ARP information request message to devices connected to a network of the host PC, extracting first ARP information included in the corresponding ARP response message;
Configuring a virtual network in the host PC, collecting SNMP information of each device connected to the virtual network, and extracting second ARP information included in the corresponding SNMP information; and
And comparing the first ARP information with the second ARP information to determine the occurrence of an ARP spoofing attack. 청구항 6에 있어서,
상기 호스트 PC의 네트워크에 연결된 장비들 사이에 송수신되는 ARP 요청 메시지와 ARP 응답 메시지 및 이더넷 프레임을 수신하고, 수신된 이더넷 프레임에 등록된 목적지 MAC 주소와 ARP 정보의 목적지 하드웨어 주소를 비교하여 ARP 스푸핑 공격 발생을 판단하는 단계를 더 포함하는 것을 특징으로 하는 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 방법.The method of claim 6,
An ARP spoofing attack by receiving an ARP request message, an ARP response message, and an Ethernet frame transmitted and received between devices connected to the network of the host PC, and comparing the destination MAC address registered in the received Ethernet frame with the destination hardware address of the ARP information. Virtual packet monitoring method for monitoring address determination protocol spoofing of malicious code, characterized in that it further comprises the step of determining the occurrence. 청구항 6에 있어서,
상기 호스트 PC의 네트워크에 연결된 장비들 사이에 송수신되는 ARP 요청 메시지와 ARP 응답 메시지 및 이더넷 프레임을 수신하고, 수신된 이더넷 프레임에 등록된 소스 MAC 주소와 ARP 정보의 소스 하드웨어 주소를 비교하여 ARP 스푸핑 공격 발생을 판단하는 단계를 더 포함하는 것을 특징으로 하는 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 방법.The method of claim 6,
An ARP spoofing attack by receiving an ARP request message, an ARP response message, and an Ethernet frame transmitted and received between devices connected to the network of the host PC, and comparing the source MAC address registered in the received Ethernet frame with the source hardware address of the ARP information. Virtual packet monitoring method for monitoring address determination protocol spoofing of malicious code, characterized in that it further comprises the step of determining the occurrence. 청구항 6에 있어서,
상기 호스트 PC의 네트워크에 연결된 장비들 사이에 송수신되는 ARP 요청 메시지와 ARP 응답 메시지 및 이더넷 프레임을 수신하고, 하나의 ARP 요청 메시지에 대해 두 가지의 ARP 응답 메시지가 수신될 경우 ARP 스푸핑 공격 발생으로 판단하는 단계를 더 포함하는 것을 특징으로 하는 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 방법.The method of claim 6,
Receives an ARP request message, an ARP response message, and an Ethernet frame transmitted and received between devices connected to the network of the host PC, and determines that an ARP spoofing attack occurs when two ARP response messages are received for one ARP request message. The virtual packet monitoring method for monitoring the address determination protocol spoofing of malicious code further comprising the step of.
KR1020100134997A 2010-12-24 2010-12-24 Pseudo packet monitoring system for address resolution protocol spoofing monitoring of malicious code and pseudo packet monitoring method therefor KR101188308B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100134997A KR101188308B1 (en) 2010-12-24 2010-12-24 Pseudo packet monitoring system for address resolution protocol spoofing monitoring of malicious code and pseudo packet monitoring method therefor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100134997A KR101188308B1 (en) 2010-12-24 2010-12-24 Pseudo packet monitoring system for address resolution protocol spoofing monitoring of malicious code and pseudo packet monitoring method therefor

Publications (2)

Publication Number Publication Date
KR20120073022A true KR20120073022A (en) 2012-07-04
KR101188308B1 KR101188308B1 (en) 2012-10-09

Family

ID=46707596

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100134997A KR101188308B1 (en) 2010-12-24 2010-12-24 Pseudo packet monitoring system for address resolution protocol spoofing monitoring of malicious code and pseudo packet monitoring method therefor

Country Status (1)

Country Link
KR (1) KR101188308B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101517328B1 (en) * 2014-02-18 2015-05-04 한양대학교 에리카산학협력단 Arp spoofing detecting apparatus and detecting method of the same
KR101525547B1 (en) * 2013-12-23 2015-06-03 한국인터넷진흥원 System for detecting infected terminal based on url connection and method thereof

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100920528B1 (en) * 2008-11-27 2009-10-09 (주)넷맨 Method and system of detecting and defensing arp spoofing

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101525547B1 (en) * 2013-12-23 2015-06-03 한국인터넷진흥원 System for detecting infected terminal based on url connection and method thereof
KR101517328B1 (en) * 2014-02-18 2015-05-04 한양대학교 에리카산학협력단 Arp spoofing detecting apparatus and detecting method of the same

Also Published As

Publication number Publication date
KR101188308B1 (en) 2012-10-09

Similar Documents

Publication Publication Date Title
WO2021008028A1 (en) Network attack source tracing and protection method, electronic device and computer storage medium
KR101270041B1 (en) System and method for detecting arp spoofing
Abad et al. An analysis on the schemes for detecting and preventing ARP cache poisoning attacks
US8972571B2 (en) System and method for correlating network identities and addresses
US9712559B2 (en) Identifying frames
Alt et al. Uncovering network tarpits with degreaser
JP2011210273A (en) Network security element using endpoint resource
US20190058731A1 (en) User-side detection and containment of arp spoofing attacks
Pandey Prevention of ARP spoofing: A probe packet based technique
Supriyanto et al. Survey of internet protocol version 6 link local communication security vulnerability and mitigation methods
CN102438028A (en) Method, device and system for preventing fraud of dynamic host configuration protocol (DHCP) server
Čeleda et al. Flow-based security issue detection in building automation and control networks
Rohatgi et al. A detailed survey for detection and mitigation techniques against ARP spoofing
Nehra et al. FICUR: Employing SDN programmability to secure ARP
CN102137073A (en) Method and access equipment for preventing imitating internet protocol (IP) address to attack
US9124625B1 (en) Interdicting undesired service
Salim et al. Preventing ARP spoofing attacks through gratuitous decision packet
KR101188308B1 (en) Pseudo packet monitoring system for address resolution protocol spoofing monitoring of malicious code and pseudo packet monitoring method therefor
Li et al. SDN-Ti: a general solution based on SDN to attacker traceback and identification in IPv6 networks
Belenguer et al. A low-cost embedded IDS to monitor and prevent Man-in-the-Middle attacks on wired LAN environments
Al-Hemairy et al. Towards more sophisticated ARP Spoofing detection/prevention systems in LAN networks
Groat et al. Using dynamic addressing for a moving target defense
Khurana A security approach to prevent ARP poisoning and defensive tools
Trabelsi et al. On investigating ARP spoofing security solutions
Ovadia et al. {Cross-Router} Covert Channels

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150915

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160908

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20170626

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20181015

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20190716

Year of fee payment: 8