KR20120073022A - Pseudo packet monitoring system for address resolution protocol spoofing monitoring of malicious code and pseudo packet monitoring method therefor - Google Patents
Pseudo packet monitoring system for address resolution protocol spoofing monitoring of malicious code and pseudo packet monitoring method therefor Download PDFInfo
- Publication number
- KR20120073022A KR20120073022A KR1020100134997A KR20100134997A KR20120073022A KR 20120073022 A KR20120073022 A KR 20120073022A KR 1020100134997 A KR1020100134997 A KR 1020100134997A KR 20100134997 A KR20100134997 A KR 20100134997A KR 20120073022 A KR20120073022 A KR 20120073022A
- Authority
- KR
- South Korea
- Prior art keywords
- arp
- information
- spoofing
- network
- host
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F1/00—Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
- G06F1/26—Power supply means, e.g. regulation thereof
- G06F1/32—Means for saving power
- G06F1/3203—Power management, i.e. event-based initiation of a power-saving mode
- G06F1/3206—Monitoring of events, devices or parameters that trigger a change in power modality
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
Description
본 발명은 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템 및 그 방법에 대한 것으로서, 두 가지 경로를 통해 수집된 ARP 정보를 비교하여 ARP 스푸핑 공격을 판단할 수 있는 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템 및 그 방법에 관한 것이다.The present invention relates to a virtual packet monitoring system and method for monitoring address determination protocol spoofing of malicious codes, and to addressing ARP spoofing attacks by comparing ARP information collected through two paths. A virtual packet monitoring system and method thereof for spoofing monitoring.
주소 결정 프로토콜 스푸핑(Address Resolution Protocol Spoofing, ARP Spoofing; 이하, ARP 스푸핑 이라 함)은, 로컬 영역 네트워크(Local Area Network, LAN, 이하, LAN 이라 함) 하에서 주소 결정 프로토콜 메시지를 이용하여 상대방의 데이터 패킷을 중간에서 가로채는 맨 인 더 미들 공격 기법이다. 이 공격은 LAN에서 사용하는 ARP 프로토콜의 허점을 이용하여 자신의 매체 접근 제어(Media Access Control, MAC; 이하, MAC 이라 함) 주소를 다른 컴퓨터의 MAC인 것처럼 속인다. ARP 스푸핑 공격은 ARP 캐쉬(Cache) 정보를 임의로 바꾼다고 하여'ARP Cache Poisoning 공격'이라고도 한다. 과거의 더미 허브 환경에서는 쉽게 스니핑(Sniffing)이 가능하였지만, 최근의 스위치 환경에서는 해당 MAC을 가진 컴퓨터에게만 패킷이 전달되어 더미 환경에 비해 스니핑이 쉽지 않게 되었다. 하지만 공격자들은 ARP 스푸핑을 사용하여 자신의 MAC 주소를 라우터 또는 스니핑하고자 하는 대상 서버의 MAC 주소로 위장(ARP 스푸핑)하여 스위치 환경에서도 패킷을 스니핑 할 수 있다. 또한 이 공격은 패킷을 가로채어 훔쳐보는 스니핑 수준이 아니라, 가로챈 패킷을 변조한 후 재전송하는 공격에도 사용되고 있다. 한 서버가 아무리 안전하게 구축되어 해킹당할 염려가 없다고 하더라도 해당 서버가 포함된 네트워크 내에 안전하지 못한 서버가 있을 경우 ARP 스푸핑 공격으로 쉽게 데이터가 유출되거나 변조될 수 있음을 알 수 있다. ARP 스푸핑 기법은 금융기관 등을 사칭하는 피싱/파밍 공격에도 사용될 수 있다. 사용자가 금융사이트 접속을 위해 DNS 요청을 할 경우, 공격자는 ARP 스푸핑 기법을 이용하여 위장 사이트의 IP 주소값을 사용자에게 보냄으로써 위장 사이트로 접속을 유도할 수도 있다.Address Resolution Protocol Spoofing (ARP Spoofing) (hereinafter referred to as ARP Spoofing) is a data packet of a counterpart using an address resolution protocol message under a Local Area Network (LAN). Is a man-in-the-middle attack that intercepts an attacker. The attack exploits the loopholes in the ARP protocol used by LANs to fool its Media Access Control (MAC) addresses as if they were MACs of other computers. The ARP spoofing attack is also known as an 'ARP Cache Poisoning attack' because it randomly changes ARP cache information. In the past, it was easy to sniff in a dummy hub environment. However, in a recent switch environment, a packet is delivered only to a computer having a corresponding MAC, which makes sniffing easier than in a dummy environment. However, attackers can use ARP spoofing to sniff packets even in a switched environment by spoofing their MAC address to the MAC address of the router or target server they want to sniff. This attack is also used for attacks that attempt to tamper with and retransmit packets, rather than sniffing and stealing packets. No matter how secure a server is, it is easy to find that if there is an insecure server in the network that contains it, an ARP spoofing attack can easily leak or tamper with data. ARP spoofing can also be used for phishing / pharming attacks that impersonate financial institutions. When a user makes a DNS request to access a financial site, an attacker can use the ARP spoofing technique to send the user to the fake site by sending the IP address of the fake site to the user.
본 발명의 목적은 ARP 스푸핑 공격 발생을 효과적으로 판단할 수 있는 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템 및 그 방법을 제공하는 것이다.It is an object of the present invention to provide a virtual packet monitoring system and method for monitoring address resolution protocol spoofing of malicious code that can effectively determine the occurrence of an ARP spoofing attack.
상술한 목적을 달성하기 위해 본 발명은 호스트 PC의 네트워크에 연결된 장비들에 대한 제 1 ARP 정보를 추출하는 제 1 ARP 정보 추출 모듈과, 상기 호스트 PC에 가상 네트워크를 구성하고, 상기 가상 네트워크에 접속된 상기 장비의 SNMP 정보에 포함된 제 2 ARP 정보를 추출하는 제 2 ARP 정보 추출 모듈과, 상기 제 1 ARP 정보와 상기 제 2 ARP 정보를 비교하여 ARP 스푸핑 공격 발생을 판단하는 ARP 정보 비교 모듈을 포함하는 것을 특징으로 하는 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템을 제공한다.In order to achieve the above object, the present invention provides a first ARP information extraction module for extracting first ARP information for devices connected to a network of a host PC, and configures a virtual network in the host PC, and accesses the virtual network. A second ARP information extraction module for extracting second ARP information included in the SNMP information of the device; and an ARP information comparison module for determining an ARP spoofing attack by comparing the first ARP information and the second ARP information; It provides a virtual packet monitoring system for spoofing the address determination protocol of malicious code comprising a.
상기 호스트 PC의 네트워크에 연결된 장비의 MAC 주소와 ARP 정보를 비교하여 ARP 스푸핑 공격 발생을 판단하는 ARP 스푸핑 판단 모듈을 더 포함할 수 있다. 상기 ARP 스푸핑 판단 모듈은 상기 호스트 PC의 네트워크에 연결된 장비들 사이에 송수신되는 ARP 요청 메시지와 ARP 응답 메시지 및 이더넷 프레임을 수신하고, 상기 수신된 이더넷 프레임에 등록된 목적지 MAC 주소와 ARP 정보의 목적지 하드웨어 주소를 비교하여 ARP 스푸핑 공격 발생을 판단하는 목적지 비교 모듈을 포함할 수 있다. 또한, 상기 ARP 스푸핑 판단 모듈은 상기 호스트 PC의 네트워크에 연결된 장비들 사이에 송수신되는 ARP 요청 메시지와 ARP 응답 메시지 및 이더넷 프레임을 수신하고, 상기 수신된 이더넷 프레임에 등록된 소스 MAC 주소와 ARP 정보의 소스 하드웨어 주소를 비교하여 ARP 스푸핑 공격 발생을 판단하는 소스 비교 모듈을 포함할 수 있다. 상기 ARP 스푸핑 판단 모듈은 상기 호스트 PC의 네트워크에 연결된 장비들 사이에 송수신되는 ARP 요청 메시지와 ARP 응답 메시지 및 이더넷 프레임을 수신하고, 하나의 ARP 요청 메시지에 대해 두 가지의 ARP 응답 메시지가 수신될 경우 ARP 스푸핑 공격 발생으로 판단하는 응답 메시지 판단 모듈을 포함할 수 있다.The ARP spoofing determination module may further include determining an ARP spoofing attack by comparing the MAC address of the device connected to the host PC's network with ARP information. The ARP spoofing determination module receives an ARP request message, an ARP response message, and an Ethernet frame transmitted and received between devices connected to the network of the host PC, and destination hardware of destination MAC address and ARP information registered in the received Ethernet frame. It may include a destination comparison module for comparing the address to determine the occurrence of the ARP spoofing attack. In addition, the ARP spoofing determination module receives an ARP request message, an ARP response message and an Ethernet frame transmitted and received between devices connected to the network of the host PC, and the source MAC address and ARP information registered in the received Ethernet frame. It may include a source comparison module for comparing the source hardware address to determine the occurrence of the ARP spoofing attack. The ARP spoofing determination module receives an ARP request message, an ARP response message, and an Ethernet frame transmitted and received between devices connected to the network of the host PC, and when two ARP response messages are received for one ARP request message. It may include a response message determination module for determining that the ARP spoofing attack occurs.
또한, 본 발명은 호스트 PC의 네트워크에 연결된 장비들에 ARP 정보 요청 메시지를 전송하여 ARP 응답 메시지를 회신 받고, 해당 ARP 응답 메시지에 포함된 제 1 ARP 정보를 추출하는 단계와, 상기 호스트 PC에 가상 네트워크를 구성하고, 가상 네트워크에 접속된 각 장비의 SNMP 정보를 수집하여 해당 SNMP 정보에 포함된 제 2 ARP 정보를 추출하는 단계, 및 상기 제 1 ARP 정보와 상기 제 2 ARP 정보를 비교하여 ARP 스푸핑 공격 발생을 판단하는 단계를 포함하는 것을 특징으로 하는 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 방법을 제공할 수 있다.In addition, the present invention transmits an ARP information request message to the devices connected to the network of the host PC to receive an ARP response message, extracting the first ARP information included in the ARP response message, and virtual to the host PC Configuring a network, collecting SNMP information of each device connected to the virtual network, extracting second ARP information included in the corresponding SNMP information, and comparing the first ARP information with the second ARP information to spoof ARP. A virtual packet monitoring method for address determination protocol spoofing monitoring of malicious code may include providing an attack.
상기 호스트 PC의 네트워크에 연결된 장비들 사이에 송수신되는 ARP 요청 메시지와 ARP 응답 메시지 및 이더넷 프레임을 수신하고, 수신된 이더넷 프레임에 등록된 목적지 MAC 주소와 ARP 정보의 목적지 하드웨어 주소를 비교하여 ARP 스푸핑 공격 발생을 판단하는 단계를 더 포함할 수 있다. 또한, 상기 호스트 PC의 네트워크에 연결된 장비들 사이에 송수신되는 ARP 요청 메시지와 ARP 응답 메시지 및 이더넷 프레임을 수신하고, 수신된 이더넷 프레임에 등록된 소스 MAC 주소와 ARP 정보의 소스 하드웨어 주소를 비교하여 ARP 스푸핑 공격 발생을 판단하는 단계를 더 포함할 수 있다. 상기 호스트 PC의 네트워크에 연결된 장비들 사이에 송수신되는 ARP 요청 메시지와 ARP 응답 메시지 및 이더넷 프레임을 수신하고, 하나의 ARP 요청 메시지에 대해 두 가지의 ARP 응답 메시지가 수신될 경우 ARP 스푸핑 공격 발생으로 판단하는 단계를 더 포함할 수 있다.An ARP spoofing attack by receiving an ARP request message, an ARP response message, and an Ethernet frame transmitted and received between devices connected to the network of the host PC, and comparing the destination MAC address registered in the received Ethernet frame with the destination hardware address of the ARP information. The method may further include determining occurrence. In addition, the ARP request message and the ARP response message and the Ethernet frame received between the devices connected to the network of the host PC is received, and the ARP by comparing the source hardware address of the ARP information and the source MAC address registered in the received Ethernet frame The method may further include determining a spoofing attack. Receives an ARP request message, an ARP response message, and an Ethernet frame transmitted and received between devices connected to the network of the host PC, and determines that an ARP spoofing attack occurs when two ARP response messages are received for one ARP request message. It may further comprise the step.
본 발명은 네트워크에 연결된 장비들로부터 직접 수집된 ARP 정보(제 1 ARP 정보)와, 네트워크에 연결된 장비들의 SNMP 정보에 포함되어 있는 ARP 정보(제 2 ARP 정보)를 비교하여 ARP 스푸핑의 발생 여부를 쉽게 판단할 수 있는 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템 및 그 방법을 제공할 수 있다.The present invention compares ARP information (first ARP information) collected directly from devices connected to a network with ARP information (second ARP information) included in SNMP information of devices connected to a network to determine whether ARP spoofing has occurred. It is possible to provide a virtual packet monitoring system and method for monitoring address determination protocol spoofing of malicious code that can be easily determined.
또한, 본 발명은 ARP 스푸핑 공격을 사전에 탐지하여 개인정보, 기술정보 등 호스트 PC에 저장될 수 있는 각종 기밀 정보들의 유출을 방지할 수 있는 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템 및 그 방법을 제공할 수 있다.In addition, the present invention is a virtual packet monitoring system for spoofing the address determination protocol of malicious code that can detect the ARP spoofing attack in advance to prevent the leakage of various confidential information that can be stored in the host PC, such as personal information, technical information And a method thereof.
도 1은 본 발명에 따른 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템의 개념도.
도 2는 본 발명에 따른 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 방법의 순서도.1 is a conceptual diagram of a virtual packet monitoring system for monitoring address determination protocol spoofing of malicious code according to the present invention;
2 is a flow chart of a virtual packet monitoring method for address resolution protocol spoofing monitoring of malicious code in accordance with the present invention.
이하, 도면을 참조하여 본 발명의 실시예를 상세히 설명하기로 한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.
그러나 본 발명은 이하에서 개시되는 실시예에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이다. 도면상의 동일 부호는 동일한 요소를 지칭한다.It will be apparent to those skilled in the art that the present invention may be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. Rather, these embodiments are provided so that this disclosure will be thorough and complete, It is provided to let you know. Like reference numerals in the drawings refer to like elements.
도 1은 본 발명에 따른 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템의 개념도이다.1 is a conceptual diagram of a virtual packet monitoring system for monitoring address determination protocol spoofing of malicious code according to the present invention.
본 발명에 따른 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템은 도 1에 도시된 바와 같이, 호스트 PC의 네트워크에 연결된 장비들에 대한 ARP 정보를 추출하는 제 1 ARP 정보 추출 모듈(100)과, 호스트 PC에 가상 네트워크를 구성하여 각 장치의 SNMP 정보에 포함된 ARP 정보를 추출하는 제 2 ARP 정보 추출 모듈(200)과, 제 1 ARP 정보 추출 모듈과 제 2 ARP 정보 추출 모듈에서 각각 추출된 ARP 정보를 비교하는 ARP 정보 비교 모듈(300)과, MAC 주소와 ARP 정보를 기초로 ARP 스푸핑 발생을 판단하는 ARP 스푸핑 판단 모듈(400)을 포함한다.As shown in FIG. 1, the virtual packet monitoring system for monitoring address determination protocol spoofing of malicious code according to the present invention includes a first ARP
제 1 ARP 정보 추출 모듈(100)은 네트워크에 연결된 장비들에 ARP 정보 요청 메시지를 전송하여 ARP 응답 메시지를 회신 받고, 해당 ARP 응답 메시지에 포함된 ARP 정보를 추출하여 제 1 테이블에 저장한다. 여기서, 제 1 테이블에 저장된 ARP 정보를 제 1 ARP 정보로 정의한다.The first ARP
제 2 ARP 정보 추출 모듈(200)은 시스템에 가상 네트워크 환경을 구성하고 가상 네트워크에 존재하는 모든 네트워크 장치의 SNMP 정보를 수집하여 해당 SNMP 정보에 포함된 ARP 정보를 추출하여 제 2 테이블에 저장한다. 즉, 제 2 ARP 정보 추출 모듈(200)은 시스템에 가상 네트워크 환경을 구성하고 미리 정해진 MAC 주소를 가진 게이트웨이를 설정하고, 가상 네트워크 상에서 존재하는 모든 네트워크 장치에 SNMP 메시지를 보낸 후, 실제 MAC 주소를 미리 제 2 테이블에 저장한다. 여기서, 제 2 테이블에 저장된 ARP 정보를 제 2 ARP 정보로 정의한다.The second ARP
ARP 정보 비교 모듈(300)은 제 1 테이블에 저장된 제 1 ARP 정보와 제 2 테이블에 저장된 제 2 ARP 정보를 비교하여 ARP 스푸핑의 발생여부를 판단한다. 즉, ARP 정보 비교 모듈(300)은 네트워크의 ARP 응답 메시지에 포함된 제 1 ARP 정보와 가상 네트워크를 구성하여 각 장치의 SNMP 정보에 포함된 제 2 ARP 정보를 비교한다. 이때, 제 1 ARP 정보와 제 2 ARP 정보가 상이할 경우, ARP 정보 비교 모듈(300)은 ARP 스푸핑이 발생한 것으로 판단한다. 물론, 이를 위해서는 가상 네트워크에 연결된 장치는 SNMP 서비스가 활성화되어 있어야 한다.The ARP
ARP 스푸핑 판단 모듈(400)은 MAC 주소와 ARP 정보를 기초로 ARP 스푸핑 발생을 판단한다. 이를 위해 ARP 스푸핑 판단 모듈은 목적지 비교 모듈(410)과, 소스 비교 모듈(420), 및 응답 메시지 판단 모듈(430)을 포함한다.The ARP
목적지 비교 모듈(410)은 네트워크에 연결된 장비들 사이에 송수신되는 ARP 요청 메시지와 ARP 응답 메시지 및 이더넷 프레임을 수신하고, 이더넷 프레임이 수신되면 수신된 이더넷 프레임에 등록된 목적지 MAC 주소와 ARP 정보의 목적지 하드웨어 주소가 불일치하는지 여부에 따라 ARP 스푸핑의 발생 여부를 판단한다. 물론, 이더넷 프레임에 등록된 목적지 MAC 주소와 ARP 정보의 목적지 하드웨어 주소가 불일치할 경우, 목적지 비교 모듈은 ARP 스푸핑이 발생한 것으로 판단한다.The
소스 비교 모듈(420)은 수신된 이더넷 프레임에 등록된 소스 MAC 주소와 ARP 정보의 소스 하드웨어 주소가 불일치하는 여부에 따라 ARP 스푸핑 발생을 판단한다. 이 경우 역시, 수신된 이더넷 프레임에 등록된 소스 MAC 주소와 ARP 정보의 소스 하드웨어 주소가 불일치할 경우, 소스 비교 모듈은 ARP 스푸핑이 발생한 것으로 판단한다.The
응답 메시지 판단 모듈(430)은 하나의 ARP 요청 메시지에 대해 두 가지의 ARP 응답 메시지가 수신되는지 여부에 따라 ARP 스푸핑 발생 여부를 판단한다. 이때, 하나의 ARP 요청 메시지에 대해 두 가지의 ARP 응답 메시지가 수신될 경우, 응답 메시지 판단 모듈은 ARP 스푸핑이 발생한 것으로 판단한다.The response
상술한 바와 같이, 본 발명은 네트워크에 연결된 장비들로부터 직접 수집된 ARP 정보(제 1 ARP 정보)와, 네트워크에 연결된 장비들의 SNMP 정보에 포함되어 있는 ARP 정보(제 2 ARP 정보)를 비교하여 ARP 스푸핑의 발생 여부를 쉽게 판단할 수 있는 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템을 제공할 수 있다. 또한, 본 발명은 ARP 스푸핑 공격을 사전에 탐지하여 개인정보, 기술정보 등 호스트 PC에 저장될 수 있는 각종 기밀 정보들의 유출을 방지할 수 있는 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템을 제공할 수 있다.
As described above, the present invention compares ARP information (first ARP information) directly collected from devices connected to a network with ARP information (second ARP information) included in SNMP information of devices connected to a network. It is possible to provide a virtual packet monitoring system for spoofing an address determination protocol for malicious code that can easily determine whether spoofing has occurred. In addition, the present invention is a virtual packet monitoring system for spoofing the address determination protocol of malicious code that can detect the ARP spoofing attack in advance to prevent the leakage of various confidential information that can be stored in the host PC, such as personal information, technical information Can be provided.
다음은 본 발명에 따른 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 방법에 대해 도면을 참조하여 설명하고자 한다. 후술할 내용 중 전술된 본 발명에 따른 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템의 설명과 중복되는 내용은 생략하거나 간략히 설명하기로 한다.Next, a virtual packet monitoring method for monitoring address determination protocol spoofing of malicious code according to the present invention will be described with reference to the accompanying drawings. In the following description, duplicate descriptions of the virtual packet monitoring system for monitoring the address determination protocol spoofing of the malicious code according to the present invention will be omitted or briefly described.
도 2는 본 발명에 따른 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 방법의 순서도이다.2 is a flowchart illustrating a virtual packet monitoring method for monitoring address determination protocol spoofing of malicious code according to the present invention.
본 발명에 따른 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 방법은 도 2에 도시된 바와 같이, 제 1 ARP 정보를 추출하는 단계(S1)와, 제 2 ARP 정보를 추출하는 단계(S2)와, ARP 정보를 비교하는 단계(S3)와, ARP 스푸핑 공격 발생을 판단하는 단계(S4)를 포함한다.In the virtual packet monitoring method for address determination protocol spoofing monitoring of malicious code according to the present invention, as shown in FIG. 2, the first ARP information is extracted (S1) and the second ARP information is extracted (S2). ), Comparing the ARP information (S3), and determining the occurrence of the ARP spoofing attack (S4).
제 1 ARP 정보를 추출하는 단계(S1)는 네트워크에 연결된 장비들에 ARP 정보 요청 메시지를 전송하여 ARP 응답 메시지를 회신 받고, 해당 ARP 응답 메시지에 포함된 ARP 정보, 즉, 제 1 ARP 정보를 추출하여 제 1 테이블에 저장한다.In the extracting of the first ARP information (S1), an ARP response message is transmitted by sending an ARP information request message to devices connected to the network, and the ARP information included in the corresponding ARP response message is extracted, that is, the first ARP information is extracted. Store in the first table.
제 2 ARP 정보를 추출하는 단계(S2)는 가상 네트워크를 구성하고, 가상 네트워크에 접속된 각 장비의 SNMP 정보를 수집하여 해당 SNMP 정보에 포함된 ARP 정보, 즉, 제 2 ARP 정보를 추출하여 제 2 테이블에 저장한다.Extracting the second ARP information (S2) comprises configuring a virtual network, collecting SNMP information of each device connected to the virtual network, and extracting ARP information included in the corresponding SNMP information, that is, the second ARP information. 2 Save to table.
ARP 정보를 비교하는 단계는 제 1 테이블에 저장된 제 1 ARP 정보와 제 2 테이블에 저장된 제 2 ARP 정보를 비교하여 ARP 스푸핑 공격 발생 여부를 판단한다. 이때, 제 1 테이블에 저장된 제 1 ARP 정보와 제 2 테이블에 저장된 제 2 ARP 정보가 상이할 경우, ARP 스푸핑 공격이 발생한 것으로 판단한다.The step of comparing the ARP information compares the first ARP information stored in the first table with the second ARP information stored in the second table to determine whether an ARP spoofing attack has occurred. At this time, when the first ARP information stored in the first table and the second ARP information stored in the second table are different, it is determined that an ARP spoofing attack has occurred.
ARP 스푸핑 공격 발생을 판단하는 단계(S4)는 MAC 주소와 ARP 정보를 기초로 ARP 스푸핑 발생을 판단한다. 이를 위해 ARP 스푸핑 공격 발생을 판단하는 단계(S4)는 목적지 주소를 비교하는 단계(S4-1)와, 소스 주소를 비교하는 단계(S4-2), 및 응답 메시지를 판단하는 단계(S4-3)를 포함한다.In step S4, the occurrence of the ARP spoofing attack is determined based on the MAC address and the ARP information. To this end, the step of determining the occurrence of the ARP spoofing attack (S4) includes comparing the destination address (S4-1), comparing the source address (S4-2), and determining the response message (S4-3). ).
목적지 주소를 비교하는 단계(S4-1)는 호스트 PC의 네트워크에 연결된 장비들 사이에 송수신되는 ARP 요청 메시지와 ARP 응답 메시지 및 이더넷 프레임을 수신하고, 수신된 이더넷 프레임에 등록된 목적지 MAC 주소와 ARP 정보의 목적지 하드웨어 주소를 비교하여 ARP 스푸핑 공격 발생을 판단한다. 이때, 수신된 이더넷 프레임에 등록된 목적지 MAC 주소와 ARP 정보의 목적지 하드웨어 주소가 상이할 경우, ARP 스푸핑 공격이 발생된 것으로 판단한다.Comparing the destination address (S4-1), an ARP request message, an ARP response message, and an Ethernet frame are transmitted and received between the devices connected to the network of the host PC, and the destination MAC address and ARP registered in the received Ethernet frame are received. The destination hardware address of the information is compared to determine the occurrence of the ARP spoofing attack. At this time, if the destination MAC address registered in the received Ethernet frame and the destination hardware address of the ARP information is different, it is determined that an ARP spoofing attack has occurred.
소스 주소를 비교하는 단계(S4-2)는 호스트 PC의 네트워크에 연결된 장비들 사이에 송수신되는 ARP 요청 메시지와 ARP 응답 메시지 및 이더넷 프레임을 수신하고, 수신된 이더넷 프레임에 등록된 소스 MAC 주소와 ARP 정보의 소스 하드웨어 주소를 비교하여 ARP 스푸핑 공격 발생을 판단한다. 물론, 소스 주소를 비교하는 단계(S4-2) 역시, 수신된 이더넷 프레임에 등록된 소스 MAC 주소와 ARP 정보의 소스 하드웨어 주소가 상이할 경우, ARP 스푸핑 공격이 발생된 것으로 판단한다.Comparing the source address (S4-2) receives an ARP request message and an ARP response message and Ethernet frames transmitted and received between the devices connected to the network of the host PC, the source MAC address and ARP registered in the received Ethernet frame The source hardware address of the information is compared to determine the occurrence of an ARP spoofing attack. Of course, comparing the source address (S4-2) also, if the source MAC address registered in the received Ethernet frame and the source hardware address of the ARP information is different, it is determined that an ARP spoofing attack has occurred.
응답 메시지를 판단하는 단계(S4-3)는 호스트 PC의 네트워크에 연결된 장비들 사이에 송수신되는 ARP 요청 메시지와 ARP 응답 메시지 및 이더넷 프레임을 수신하고, 하나의 ARP 요청 메시지에 대해 두 가지의 ARP 응답 메시지가 수신될 경우 ARP 스푸핑 공격 발생으로 판단한다.Determining the response message (S4-3) receives an ARP request message, an ARP response message and an Ethernet frame transmitted and received between the devices connected to the network of the host PC, two ARP responses to one ARP request message If a message is received, it is determined that an ARP spoofing attack has occurred.
상술한 바와 같이, 본 발명은 네트워크에 연결된 장비들로부터 직접 수집된 ARP 정보(제 1 ARP 정보)와, 네트워크에 연결된 장비들의 SNMP 정보에 포함되어 있는 ARP 정보(제 2 ARP 정보)를 비교하여 ARP 스푸핑의 발생 여부를 쉽게 판단할 수 있는 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 방법을 제공할 수 있다. 또한, 본 발명은 ARP 스푸핑 공격을 사전에 탐지하여 개인정보, 기술정보 등 호스트 PC에 저장될 수 있는 각종 기밀 정보들의 유출을 방지할 수 있는 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 방법을 제공할 수 있다.As described above, the present invention compares ARP information (first ARP information) directly collected from devices connected to a network with ARP information (second ARP information) included in SNMP information of devices connected to a network. A virtual packet monitoring method can be provided for spoofing an address determination protocol of malicious code that can easily determine whether spoofing has occurred. In addition, the present invention is a virtual packet monitoring method for monitoring the address resolution protocol spoofing of malicious code that can detect the ARP spoofing attack in advance to prevent the leakage of various confidential information that can be stored in the host PC, such as personal information, technical information Can be provided.
이상에서는 도면 및 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허청구범위에 기재된 본 발명의 기술적 사상으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.Although described above with reference to the drawings and embodiments, those skilled in the art can be variously modified and changed within the scope of the invention without departing from the spirit of the invention described in the claims below. I can understand.
100: 제 1 ARP 정보 추출 모듈 200: 제 2 ARP 정보 추출 모듈
300: ARP 정보 비교 모듈 400: ARP 스푸핑 판단 모듈
410: 목적지 비교 모듈 420: 소스 비교 모듈
430: 응답 메시지 판단 모듈100: first ARP information extraction module 200: second ARP information extraction module
300: ARP information comparison module 400: ARP spoofing determination module
410: destination comparison module 420: source comparison module
430: response message determination module
Claims (9)
상기 호스트 PC에 가상 네트워크를 구성하고, 상기 가상 네트워크에 접속된 상기 장비의 SNMP 정보에 포함된 제 2 ARP 정보를 추출하는 제 2 ARP 정보 추출 모듈과,
상기 제 1 ARP 정보와 상기 제 2 ARP 정보를 비교하여 ARP 스푸핑 공격 발생을 판단하는 ARP 정보 비교 모듈을 포함하는 것을 특징으로 하는 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템.A first ARP information extraction module for extracting first ARP information about devices connected to a network of a host PC;
A second ARP information extraction module for configuring a virtual network in the host PC and extracting second ARP information included in SNMP information of the device connected to the virtual network;
And an ARP information comparison module for comparing the first ARP information and the second ARP information to determine the occurrence of an ARP spoofing attack.
상기 호스트 PC의 네트워크에 연결된 장비의 MAC 주소와 ARP 정보를 비교하여 ARP 스푸핑 공격 발생을 판단하는 ARP 스푸핑 판단 모듈을 더 포함하는 것을 특징으로 하는 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템.The method according to claim 1,
Virtual packet monitoring system for monitoring the address determination protocol spoofing of malicious code, characterized in that it further comprises an ARP spoofing determination module to determine the occurrence of the ARP spoofing attack by comparing the MAC address and ARP information of the device connected to the network of the host PC .
상기 ARP 스푸핑 판단 모듈은 상기 호스트 PC의 네트워크에 연결된 장비들 사이에 송수신되는 ARP 요청 메시지와 ARP 응답 메시지 및 이더넷 프레임을 수신하고, 상기 수신된 이더넷 프레임에 등록된 목적지 MAC 주소와 ARP 정보의 목적지 하드웨어 주소를 비교하여 ARP 스푸핑 공격 발생을 판단하는 목적지 비교 모듈을 포함하는 것을 특징으로 하는 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템.The method according to claim 2,
The ARP spoofing determination module receives an ARP request message, an ARP response message, and an Ethernet frame transmitted and received between devices connected to the network of the host PC, and destination hardware of destination MAC address and ARP information registered in the received Ethernet frame. A virtual packet monitoring system for monitoring address determination protocol spoofing of malicious code, comprising: a destination comparison module for determining an ARP spoofing attack by comparing addresses.
상기 ARP 스푸핑 판단 모듈은 상기 호스트 PC의 네트워크에 연결된 장비들 사이에 송수신되는 ARP 요청 메시지와 ARP 응답 메시지 및 이더넷 프레임을 수신하고, 상기 수신된 이더넷 프레임에 등록된 소스 MAC 주소와 ARP 정보의 소스 하드웨어 주소를 비교하여 ARP 스푸핑 공격 발생을 판단하는 소스 비교 모듈을 포함하는 것을 특징으로 하는 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템.The method according to claim 2,
The ARP spoofing determination module receives an ARP request message and an ARP response message and an Ethernet frame transmitted and received between devices connected to the network of the host PC, and source hardware of the source MAC address and ARP information registered in the received Ethernet frame. A virtual packet monitoring system for monitoring address determination protocol spoofing of malicious code, comprising: a source comparison module for determining an ARP spoofing attack by comparing addresses.
상기 ARP 스푸핑 판단 모듈은 상기 호스트 PC의 네트워크에 연결된 장비들 사이에 송수신되는 ARP 요청 메시지와 ARP 응답 메시지 및 이더넷 프레임을 수신하고, 하나의 ARP 요청 메시지에 대해 두 가지의 ARP 응답 메시지가 수신될 경우 ARP 스푸핑 공격 발생으로 판단하는 응답 메시지 판단 모듈을 포함하는 것을 특징으로 하는 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템.The method according to claim 2,
The ARP spoofing determination module receives an ARP request message, an ARP response message, and an Ethernet frame transmitted and received between devices connected to the network of the host PC, and when two ARP response messages are received for one ARP request message. A virtual packet monitoring system for monitoring address determination protocol spoofing of malicious code, comprising a response message determination module for determining that an ARP spoofing attack has occurred.
상기 호스트 PC에 가상 네트워크를 구성하고, 가상 네트워크에 접속된 각 장비의 SNMP 정보를 수집하여 해당 SNMP 정보에 포함된 제 2 ARP 정보를 추출하는 단계, 및
상기 제 1 ARP 정보와 상기 제 2 ARP 정보를 비교하여 ARP 스푸핑 공격 발생을 판단하는 단계를 포함하는 것을 특징으로 하는 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 방법.Receiving an ARP response message by transmitting an ARP information request message to devices connected to a network of the host PC, extracting first ARP information included in the corresponding ARP response message;
Configuring a virtual network in the host PC, collecting SNMP information of each device connected to the virtual network, and extracting second ARP information included in the corresponding SNMP information; and
And comparing the first ARP information with the second ARP information to determine the occurrence of an ARP spoofing attack.
상기 호스트 PC의 네트워크에 연결된 장비들 사이에 송수신되는 ARP 요청 메시지와 ARP 응답 메시지 및 이더넷 프레임을 수신하고, 수신된 이더넷 프레임에 등록된 목적지 MAC 주소와 ARP 정보의 목적지 하드웨어 주소를 비교하여 ARP 스푸핑 공격 발생을 판단하는 단계를 더 포함하는 것을 특징으로 하는 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 방법.The method of claim 6,
An ARP spoofing attack by receiving an ARP request message, an ARP response message, and an Ethernet frame transmitted and received between devices connected to the network of the host PC, and comparing the destination MAC address registered in the received Ethernet frame with the destination hardware address of the ARP information. Virtual packet monitoring method for monitoring address determination protocol spoofing of malicious code, characterized in that it further comprises the step of determining the occurrence.
상기 호스트 PC의 네트워크에 연결된 장비들 사이에 송수신되는 ARP 요청 메시지와 ARP 응답 메시지 및 이더넷 프레임을 수신하고, 수신된 이더넷 프레임에 등록된 소스 MAC 주소와 ARP 정보의 소스 하드웨어 주소를 비교하여 ARP 스푸핑 공격 발생을 판단하는 단계를 더 포함하는 것을 특징으로 하는 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 방법.The method of claim 6,
An ARP spoofing attack by receiving an ARP request message, an ARP response message, and an Ethernet frame transmitted and received between devices connected to the network of the host PC, and comparing the source MAC address registered in the received Ethernet frame with the source hardware address of the ARP information. Virtual packet monitoring method for monitoring address determination protocol spoofing of malicious code, characterized in that it further comprises the step of determining the occurrence.
상기 호스트 PC의 네트워크에 연결된 장비들 사이에 송수신되는 ARP 요청 메시지와 ARP 응답 메시지 및 이더넷 프레임을 수신하고, 하나의 ARP 요청 메시지에 대해 두 가지의 ARP 응답 메시지가 수신될 경우 ARP 스푸핑 공격 발생으로 판단하는 단계를 더 포함하는 것을 특징으로 하는 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 방법.The method of claim 6,
Receives an ARP request message, an ARP response message, and an Ethernet frame transmitted and received between devices connected to the network of the host PC, and determines that an ARP spoofing attack occurs when two ARP response messages are received for one ARP request message. The virtual packet monitoring method for monitoring the address determination protocol spoofing of malicious code further comprising the step of.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020100134997A KR101188308B1 (en) | 2010-12-24 | 2010-12-24 | Pseudo packet monitoring system for address resolution protocol spoofing monitoring of malicious code and pseudo packet monitoring method therefor |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020100134997A KR101188308B1 (en) | 2010-12-24 | 2010-12-24 | Pseudo packet monitoring system for address resolution protocol spoofing monitoring of malicious code and pseudo packet monitoring method therefor |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20120073022A true KR20120073022A (en) | 2012-07-04 |
KR101188308B1 KR101188308B1 (en) | 2012-10-09 |
Family
ID=46707596
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020100134997A KR101188308B1 (en) | 2010-12-24 | 2010-12-24 | Pseudo packet monitoring system for address resolution protocol spoofing monitoring of malicious code and pseudo packet monitoring method therefor |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101188308B1 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101517328B1 (en) * | 2014-02-18 | 2015-05-04 | 한양대학교 에리카산학협력단 | Arp spoofing detecting apparatus and detecting method of the same |
KR101525547B1 (en) * | 2013-12-23 | 2015-06-03 | 한국인터넷진흥원 | System for detecting infected terminal based on url connection and method thereof |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100920528B1 (en) * | 2008-11-27 | 2009-10-09 | (주)넷맨 | Method and system of detecting and defensing arp spoofing |
-
2010
- 2010-12-24 KR KR1020100134997A patent/KR101188308B1/en active IP Right Grant
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101525547B1 (en) * | 2013-12-23 | 2015-06-03 | 한국인터넷진흥원 | System for detecting infected terminal based on url connection and method thereof |
KR101517328B1 (en) * | 2014-02-18 | 2015-05-04 | 한양대학교 에리카산학협력단 | Arp spoofing detecting apparatus and detecting method of the same |
Also Published As
Publication number | Publication date |
---|---|
KR101188308B1 (en) | 2012-10-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2021008028A1 (en) | Network attack source tracing and protection method, electronic device and computer storage medium | |
KR101270041B1 (en) | System and method for detecting arp spoofing | |
Abad et al. | An analysis on the schemes for detecting and preventing ARP cache poisoning attacks | |
US8972571B2 (en) | System and method for correlating network identities and addresses | |
US9712559B2 (en) | Identifying frames | |
Alt et al. | Uncovering network tarpits with degreaser | |
JP2011210273A (en) | Network security element using endpoint resource | |
US20190058731A1 (en) | User-side detection and containment of arp spoofing attacks | |
Pandey | Prevention of ARP spoofing: A probe packet based technique | |
Supriyanto et al. | Survey of internet protocol version 6 link local communication security vulnerability and mitigation methods | |
CN102438028A (en) | Method, device and system for preventing fraud of dynamic host configuration protocol (DHCP) server | |
Čeleda et al. | Flow-based security issue detection in building automation and control networks | |
Rohatgi et al. | A detailed survey for detection and mitigation techniques against ARP spoofing | |
Nehra et al. | FICUR: Employing SDN programmability to secure ARP | |
CN102137073A (en) | Method and access equipment for preventing imitating internet protocol (IP) address to attack | |
US9124625B1 (en) | Interdicting undesired service | |
Salim et al. | Preventing ARP spoofing attacks through gratuitous decision packet | |
KR101188308B1 (en) | Pseudo packet monitoring system for address resolution protocol spoofing monitoring of malicious code and pseudo packet monitoring method therefor | |
Li et al. | SDN-Ti: a general solution based on SDN to attacker traceback and identification in IPv6 networks | |
Belenguer et al. | A low-cost embedded IDS to monitor and prevent Man-in-the-Middle attacks on wired LAN environments | |
Al-Hemairy et al. | Towards more sophisticated ARP Spoofing detection/prevention systems in LAN networks | |
Groat et al. | Using dynamic addressing for a moving target defense | |
Khurana | A security approach to prevent ARP poisoning and defensive tools | |
Trabelsi et al. | On investigating ARP spoofing security solutions | |
Ovadia et al. | {Cross-Router} Covert Channels |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20150915 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20160908 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20170626 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20181015 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20190716 Year of fee payment: 8 |