KR20130022507A - 네트워크 공격차단 장치 및 그 방법 - Google Patents

네트워크 공격차단 장치 및 그 방법 Download PDF

Info

Publication number
KR20130022507A
KR20130022507A KR1020110084839A KR20110084839A KR20130022507A KR 20130022507 A KR20130022507 A KR 20130022507A KR 1020110084839 A KR1020110084839 A KR 1020110084839A KR 20110084839 A KR20110084839 A KR 20110084839A KR 20130022507 A KR20130022507 A KR 20130022507A
Authority
KR
South Korea
Prior art keywords
connection
host
mac address
information
attacker
Prior art date
Application number
KR1020110084839A
Other languages
English (en)
Inventor
박준효
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020110084839A priority Critical patent/KR20130022507A/ko
Publication of KR20130022507A publication Critical patent/KR20130022507A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

ARP 스푸핑을 통한 네트워크 공격을 차단하는 장치 및 그 방법이 개시된다. 네트워크 공격 차단장치는 네트워크 스위치로부터 호스트의 MAC주소 및 접속포트 정보를 제공받아 제공받은 정보를 기초로 각 호스트의 접속이력을 기록하고, 공격자호스트가 ARP스푸핑을 시도하면 접속이력을 모니터링하여 네트워크 공격을 감지한후, 접속이력을 기초로 공격자호스트를 판별하여 공격자호스트의 네트워크 접속을 차단한다.

Description

네트워크 공격차단 장치 및 그 방법{Apparatus and Method of blocking network attack}
본 발명은 네트워크 공격 차단 장치 및 방법에 관한 것으로서, 보다 상세하게는 ARP 스푸핑으로 네트워크를 공격하는 공격자 호스트를 탐지하고 차단하기 위한 장치 및 그 방법에 관한 것이다.
ARP(Address Resolution Protocol)란 네트워크에 접속된 호스트를 식별하기 위해 호스트의 IP주소를 호스트 고유의 물리적 주소인 MAC 주소에 대응시키는 주소 결정 프로토콜이다.
ARP를 사용하는 네트워크에서 전송 측 호스트가 수신 측 호스트의 IP주소로 패킷을 전송하는 과정을 요약하면 다음과 같다. 송신 측 호스트의 로컬 ARP 테이블에 수신 측 호스트의 IP주소에 대응하는 MAC주소가 존재하는지 검사한다. 송신측 호스트의 로컬 ARP 테이블에 수신측 호스트의 MAC 주소가 없다면, ARP 요청을 브로드캐스팅하고, 수신측 호스트는 자신의 MAC주소를 포함한 ARP 응답을 송신측 호스트에 전송한다. 송신측 호스트는 수신측 호스트의 ARP 응답을 기초로 로컬 ARP 테이블을 갱신하고, 수신측 호스트의 MAC주소로 패킷을 전송한다.
하지만, ARP 프로토콜 방식에서는 ARP응답에 포함된 MAC 주소의 거짓 여부를 검증하지 않으므로, 공격자가 MAC 주소를 속이고 ARP 응답을 하면, ARP 테이블을 변조하는 ARP 스푸핑이 가능한 문제점이 있다.
본 발명이 이루고자 하는 기술적 과제는, ARP 프로토콜을 사용하는 네트워크에서 공격자 호스트가 다른 호스트의 MAC주소를 위조하여 ARP 스푸핑 공격을 시도하는 경우 공격자 호스트로부터 다른 호스트를 보호하고, MAC주소를 위조한 공격을 무력화시킴으로서 ARP프로토콜에서 취약한 MAC주소의 신뢰성을 보완할 수 있는 네트워크 공격 차단 장치 및 그 방법을 제공하는데 있다.
상기의 기술적 과제를 이루기 위한, 본 발명에 따른 네트워크 공격 차단 장치의 일 실시예는 적어도 하나 이상의 접속포트를 구비하는 네트워크 스위치로부터 접속포트 정보 및 접속포트 정보에 연계된 호스트의 MAC주소를 수신하는 연결정보수신부; 결정보수신부에서 수신한 정보를 기초로 접속포트별 각 호스트의 MAC주소를 포함한 접속이력을 기록하는 접속이력기록부; 접속이력을 기초로 동일한 MAC주소를 가진 호스트들이 서로 상이한 접속포트에 존재하는지 파악하는 공격감지부;를 포함한다.
상기의 기술적 과제를 이루기 위한, 본 발명에 따른 네트워크 공격 차단 방법의 일 실시예는 적어도 하나 이상의 접속포트를 구비하는 네트워크 스위치로부터 접속포트 정보 및 접속포트 정보에 연계된 호스트의 MAC주소를 수신하는 연결정보수신단계; 연결정보수신부에서 수신한 정보를 기초로 접속포트별 각 호스트의 MAC주소를 포함한 접속이력을 기록하는 접속이력기록단계; 접속이력을 기초로 동일한 MAC주소를 가진 호스트들이 서로 상이한 접속포트에 존재하는지 파악하는 공격감지단계;를 포함한다.
본 발명에 따르면, 공격자호스트가 ARP 스푸핑을 시도하는 경우 네트워크 공격시도를 신속하게 파악하고, MAC주소를 위조한 공격자 호스트와 피해자 호스트를 식별하여 공격자 호스트에 대한 차단 조치를 취해 피해자 호스트를 보호할 수 있으며, ARP응답에 포함된 MAC주소의 위조여부를 판단할 수 있으므로 ARP 프로토콜만으로는 취약한 MAC주소의 신뢰성을 보완하는 효과가 있다.
도 1은 ARP 스푸핑을 통한 네트워크 공격의 일 실시예를 도시한 도면이다.
도 2는 ARP 스푸핑을 통한 네트워크 공격의 다른 일 실시예를 도시한 도면이다.
도 3은 본 발명의 일 실시예에 따른 네트워크 공격 차단장치가 적용되는 네트워크의 간략한 구성을 도시한 도면이다.
도 4는 본 발명의 일 실시예에 따른 네트워크 공격 차단장치의 구성을 도시한 도면이다.
도 5는 본 발명에 따른 네트워크콩격차단장치가 호스트의 접속이력을 기록하는 과정의 일 실시예를 도시한 도면이다.
도 6는 본 발명의 일 실시예에 따른 네트워크 공격 차단방법의 흐름을 도시한 도면이다.
이하의 내용은 단지 본 발명의 원리를 예시한다. 그러므로 당업자는 비록 본 명세서에 명확히 설명되거나 도시되지 않았지만 본 발명의 원리를 구현하고 본 발명의 개념과 범위에 포함된 다양한 장치를 발명할 수 있는 것이다. 또한, 본 명세서에 열거된 모든 조건부 용어 및 실시예들은 원칙적으로, 본 발명의 개념이 이해되도록 하기 위한 목적으로만 명백히 의도되고, 이와 같이 특별히 열거된 실시예들 및 상태들에 제한적이지 않는 것으로 이해되어야 한다. 또한, 본 발명의 원리, 관점 및 실시예들 뿐만 아니라 특정 실시예를 열거하는 모든 상세한 설명은 이러한 사항의 구조적 및 기능적 균등물을 포함하도록 의도되는 것으로 이해되어야 한다. 또한, 이러한 균등물들은 현재 공지된 균등물뿐만 아니라 장래에 개발될 균등물 즉 구조와 무관하게 동일한 기능을 수행하도록 발명된 모든 소자를 포함하는 것으로 이해되어야 한다.
상술한 목적, 특징 및 장점들은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 더욱 분명해 질 것이다. 본 발명을 설명함에 있어서, 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략하거나 간략하게 설명하는 것으로 한다.
한편 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라, 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
이하, 첨부된 도면을 참조하여 바람직한 실시예에 따른 본 발명을 상세히 설명하기로 한다.
도 1은 ARP 스푸핑을 통한 네트워크 공격의 일 실시예를 도시한 도면이다.
도 1을 참조하면, 네트워크는 네트워크스위치(110), 호스트1(120), 호스트2(130) 및 호스트3(140)으로 구성된다. 네트워크스위치(110)는 호스트(120,130,140)의 IP주소 및 MAC주소를 ARP 테이블(111)에 기록한다. 호스트(120,130,140)가 다른 호스트에 패킷을 송신하는 경우, 송신측 호스트는 수신측 호스트의 IP주소 및 MAC주소를 로컬 ARP 테이블(121,131,141)에 기록한다.
먼저, 공격자 호스트3(140)이 호스트1(120)의 MAC주소 "AA"를 복제하고 ARP 응답을 하여 호스트2(130)의 로컬 ARP 테이블(131) 및 네트워크스위치의 ARP 테이블(111)을 위조한다. 호스트2(130) 및 네트워크스위치(110)는 위조된 각 ARP테이블(132,112)에 따라 호스트3(140)의 MAC주소를 "AA"로 인식한다. 따라서, 호스트2(130)가 호스트1(120)로 전송한 패킷은 위조된 MAC주소 "AA"를 가진 공격자 호스트3(140)으로 전송되고 공격자 호스트3(140)이 패킷을 스니핑 할 수 있다. 나아가 공격자 호스트3(140)은 가로챈 패킷을 악성코드 또는 바이러스로 변조하여 호스트1(120)로 전송함으로서 네트워크를 교란 시킬 수 있다.
도 2는 ARP 스푸핑을 통한 네트워크 공격의 다른 일 실시예를 도시한 도면이다.
도 2을 참조하면, 네트워크는 네트워크스위치(210), 호스트1(220), 호스트2(230), 호스트3(240) 및 게이트웨이(250)으로 구성된다. 네트워크스위치(210)는 호스트(220,230,240) 및 게이트웨이(250)의 IP주소 및 MAC주소를 ARP 테이블(211)에 기록한다.
먼저, 공격자 호스트3(240)이 게이트웨이(250)의 MAC주소 "GW"를 복제하고 ARP응답을 하여, ARP테이블(211,212,231)을 위조한다. 호스트가(220,230) 외부 네트워크로 전송한 패킷은 위조된 MAC주소 "GW" 을 가진 공격자 호스트3(240)으로전송된다. 따라서, 호스트(220,230)와 외부 네트워크가 송수신하는 모든 패킷을 공격자 호스트3(140)이 가로챌 수 있다. 공격자 호스트3(240)은 가로챈 패킷을 악성코드 또는 바이러스로 변조하여 호스트1,2(220,230)으로 전송함으로서 전체 네트워크를 무력화시킬 수 있다.
도 3은 본 발명의 일 실시예에 따른 네트워크 공격 차단장치가 적용되는 네트워크의 간략한 구성을 도시한 도면이다.
도 3을 참조하면, 네트워크 스위치(320)는 네트워크 공격차단장치(310), 다수의 호스트들(330,340,350) 및 게이트웨이(360)와 소정의 접속포트(321,322,323,324,325)를 통해 연결되어 있다. 네트워크스위치(320)와 연결된 호스트들(330,340,350) 및 게이트웨이(360)는 고유의 물리적 주소인 MAC(Media Access Control) 주소를 보유하고 있으며, 호스트1(330)의 MAC 주소는 "A", 호스트2(340)의 MAC주소는 "B", 호스트3(350)의 MAC주소는 "C", 게이트웨이(360)의 MAC주소는 "GW"인 것으로 가정한다.
네트워크 스위치(320)는 게이트웨이(360) 및 호스트들(330,340,350)의 MAC 주소와 접속포트(321,322,323,324,325) 정보가 대응되는 MAC 테이블(326)을 가지고 있다. 네트워크 스위치(320)는 인바운드 또는 아웃바운드의 패킷전송이 있을 때마다 해당 패킷을 송수신한 호스트(330,340,350)에 대한 MAC 테이블(326)을 갱신한다. 네트워크 스위치(320)는 생성한 MAC 테이블 정보(326)를 네트워크 공격 차단장치(310)에 제공하며, 네트워크 공격 차단장치(310)는 제공받은 MAC 테이블 정보(326)를 기초로 네트워크 스위치(320)의 각 접속포트별로(321,322,323,324,325) 접속된 호스트(330,340,350)의 MAC주소를 모니터링 한다.
예를들어, 호스트3(350)이 ARP 스푸핑을 통해 호스트1(330)의 MAC주소 "A"로 거짓 ARP응답 패킷을 전송하여 MAC주소를 위조하면, 네트워크 스위치(320)는 위조된 MAC주소로 MAC 테이블(327)을 갱신하여 이를 네트워크 공격 차단장치(310)에 제공한다. 이 경우 네트워크 공격 차단장치(310)는 정상적인 MAC주소 "A"를 사용하는 호스트1에 대응되는 PORT1(321)의 정보와 위조된 MAC주소 "A"를 사용하는 호스트3(350)에 대응되는 PORT3(323)의 접속이력을 가지게 된다. 즉, MAC "A"에 대응되는 두 개의 접속포트 정보(PORT1,PORT3)를 가진다. 네트워크 공격 차단장치(310)는 접속포트별로(321,322,323) 접속된 호스트들(330,340,350)의 MAC주소를 모니터링 하여 상이한 접속포트(321,323)에 동일한 MAC주소 "A"가 있는지를 기초로 ARP스푸핑을 통한 네트워크의 공격을 감지하고 차단한다.
도 4는 본 발명의 일 실시예에 따른 네트워크 공격 차단장치의 구성을 도시한 도면이다.
도 4를 참조하면, 네트워크 공격 차단장치(410)는 연결정보수신부(411), 접속이력기록부(412), 공격감지부(413), 공격자판별부(414), 접속차단부(415)를 포함한다.
연결정보수신부(411)는 네트워크 스위치로(420)부터 호스트들(330,340,350)의 MAC주소 정보와 네트워크 스위치의 접속포트 정보가 상호 연계된 정보를 수신한다. 예컨대, 연결정보수신부(411)는 네트워크 스위치(420)가 생성하는 MAC 테이블 정보(421)를 수신할 수 있다. 네트워크스위치(420)가 구비한 다수의 접속포트(321,322,323,324,325)중 일부에만 호스트가 접속한 경우, 연결정보수신부(411)는 네트워크스위치로부터 호스트가 접속한 접속포트에 한정하여 접속포트 정보 및 MAC주소를 수신하거나 또는 호스트가 접속하지 않은 접속포트에 대해서는 MAC주소정보를 생략하고 접속포트 정보만을 수신할 수 있다.
연결정보수신부(411)는 시간의 경과에 따라 신규접속, 접속종료 또는 MAC주소 위조에 따라 변동되는 호스트(330,340,350)의 접속상태가 반영된 정보를 네트워크스위치로부터 신속하게 제공받는 것이 바람직하다. 따라서, 연결정보수신부(411)는 PING 시험 또는 ARP요청을 하는 패킷을 네트워크 스위치(420)를 통해 브로드캐스팅하여, 네트워크스위치(420)가 MAC 테이블(421)을 갱신하도록 하여, 갱신된 정보를 제공받을 수 있다. 연결정보수신부(411)가 PING 시험 또는 ARP요청을 하는 패킷을 지속적으로 브로드캐스팅하면, 호스트(330,340,350)가 인/아웃바운드 패킷을 송수신하지 않아도, 네트워크스위치(420)가 MAC 테이블(421)을 갱신한다. 이 경우 네트워크 공격 차단장치(410)는 갱신된 정보를 기초로 공격자 호스트가 다른 호스트들의 인/아웃바운드 패킷을 스니핑하기 전이라도 MAC주소의 위조를 검출하여 신속히 ARP 스푸핑을 공격에 대응할 수 있다.
접속이력기록부(412)는 연결정보수신부(411)가 수신한 정보를 기초로 접속포트별(321,322,323) 각 호스트들(330,340,350)의 접속이력을 기록한다.
각 호스트(330,340,350)의 접속여부는 각 호스트(330,340,350)가 보유한 MAC주소가 연결정보수신부(411)에서 수신한 정보에 포함되어 있는지 여부로서 판단한다. 즉, 기존의 접속이력에 기록되지 않은 MAC주소가 연결정보수신부(411)에서 수신한 정보에 존재한다면 신규 접속한 호스트가 있는 것으로 파악하고, 기존 접속이력에 존재하는 MAC주소가 연결정보수신부(411)에서 수신한 정보에 존재하지 않는다면 접속이 종료된 호스트로 판단한다.
한편, 네트워크스위치(420)가 MAC 테이블 정보(421)를 지속적으로 갱신하고, 연결정보수신부(411)가 갱신한 정보를 연이어 수신하는 경우를 가정할때, 접속이력기록부(412)가 연이어 수신한 정보들을 분석하여 동일 접속포트에서 거듭되는 MAC주소를 검출하면, 거듭되는 MAC주소를 가진 호스트는 네트워크스위치(420)가 MAC 테이블 정보(421)를 갱신하는 동안에 접속을 지속하고 있는 것으로 판단할 수 있다. 즉, 연결정보수신부(411)는 동일한 MAC주소를 연속하여 수신한 회수를 각 접속포트별로 카운트하여 접속지속치를 계산할 수 있다.
ARP 스푸핑을 이용한 네트워크 공격은 피해자 호스트가 접속한 이후에 비로소 공격자 호스트가 자신의 MAC주소를 피해자 호스트의 MAC주소로 속이는 방식이므로, 피해자 호스트의 접속지속치는 ARP 스푸핑 공격 이전으로부터 카운트되고 공격자 호스트의 접속지속치는 MAC주소를 위조한 이후부터 카운트되므로 피해자 호스트의 접속지속치는 공격자 호스트의 접속지속치보다 더 큰 값을 갖게 된다. 접속이력기록부(412)의 접속이력 기록 및 접속지속치 집계 과정에 대한 구체적 설명은 도 5를 참조한다.
공격감지부(413)는 ARP스푸핑 공격을 통한 네트워크 공격을 감지한다. ARP스푸핑을 통한 공격이 있다고 가정하면 서로 상이한 접속포트에 동일한 MAC주소가 접속이력기록부(412)의 접속이력에 존재하고, MAC주소를 위조한 ARP스푸핑 공격이 있다고 판단할 수 있다.
공격자판별부(414)는 상이한 접속포트에서 대한 동일한 MAC주소가 존재하여 공격감지부(413)가 공격을 감지한 경우 동일한 MAC주소를 가진 호스트들 중에서 어떠한 호스트가 공격자 호스트인지를 판단한다. 공격자 호스트인지 여부는 동일한 MAC주소를 가진 호스트들의 접속지속치 크기를 비교하여, 접속지속치가 작은 MAC주소를 가진 호스트를 공격자 호스트로 파악한다.
접속차단부(415)는 공격감지부(420)가 동일한 MAC주소를 가진 호스트가 서로 상이한 접속포트에 존재한다고 파악하면, 위 접속포트중에서 적어도 하나의 접속포트를 선택하여 차단한다. 동일한 MAC주소가 존재하는 모든 접속포트를 차단 할 수 있으나 이 경우 공격자호스트뿐 아니라 피해자호스트의 접속도 차단되는 단점이 있다. 따라서 공격자판별부(414)는 공격자호스트가 접속한 접속포트만을 선택하여 차단하는 것이 바람직하다. 동일한 MAC주소를 가진 호스트들 중에서 공격자호스트가 접속한 접속포트를 접속이력에서 확인하고, 확인된 공격자호스트의 접속포트를 네트워크스위치(420)가 다운시키도록 하는 과정을 통해서 피해자 호스트의 접속을 유지하는 한편 공격자 호스트의 네트워크 공격을 차단 할 수 있다.
도 5는 본 발명에 따른 네트워크 공격 차단장치가 호스트의 접속이력을 기록하는 과정의 일 실시예를 도시한 도면이다.
도 5를 참조하면, 네트워크 공격 차단장치(410)는 네트워크스위치(420)로부터 수신한 MAC테이블(510)을 기초로 접속이력(520)을 기록한다. 보다 구체적으로 설명하면, 접속이력기록부(412)는 신규 MAC 테이블(511)을 최초로 수신한 이후, 2회에 걸쳐 갱신된 MAC 테이블(512,513)을 추가로 수신한다. 네트워크 공격 차단장치(410)는 신규 MAC 테이블(511)을 기초로 신규 접속이력(521)을 기록하고 2회에 걸쳐 갱신된 MAC 테이블(512,513)을 반영하여 갱신된 접속이력(522,523)을 기록한다.
신규 MAC 테이블(511)을 기초로 기록된 신규 접속이력(521)은 기존의 접속이력이 없으므로 MAC주소 "A,B,C,D"를 가진 호스트를 모두 신규 접속한 호스트로 파악하고 접속지속치를 모두 "0"으로 계산한다. "PORT4" 에는 MAC주소가 기재되지 않았으므로 호스트가 접속하지 않은 것으로 파악한다.
1회차 갱신된 MAC 테이블(512)을 반영한 1회차 갱신된 접속이력(522)에는 신규 접속이력(521)과 MAC 테이블(512)을 비교하여 PORT 정보 및 MAC 주소가 모두 일치하는 "PORT1" 및 "PORT2"에 위치한 호스트의 MAC 주소 "A" 및 "B"는 접속지속치를 "+1" 한다. MAC 테이블(512)의 "PORT4"에 접속한 호스트는 접속이력(521)의 "PORT5"에 접속한 호스트와 MAC주소가 "D"로 일치하나 PORT가 불일치하므로 신규 접속한 호스트로 파악하여 접속지속치를 "0"으로 계산한다. MAC 테이블(512)의 "PORT5"에 접속한 호스트는 접속이력(521)에 존재하지 않는 MAC주소 "E"를 가진 호스트로서 신규접속한 호스트로 파악하고 접속지속치를 "0"으로 계산한다. MAC 테이블(512)의 "PORT3"에는 MAC주소가 기재되지 않았으므로 "C" MAC주소를 가진 호스트가 접속을 종료한 것으로 파악하여 접속이력(522)의 "PORT3"에 MAC주소를 삭제한다. 네트워크 공격 차단장치(410)는 상술한 사항을 반영하여 1회차 갱신된 접속이력(522)을 기록한다.
2회차 갱신된 MAC 테이블(513)을 반영한 2회차 갱신된 접속이력(523)에는 1회차 갱신된 접속이력(522)과 MAC 테이블(513)을 비교하여 PORT 정보 및 MAC 주소가 모두 일치하는 "PORT1", "PORT4" 및 "PORT5"에 위치한 호스트의 MAC 주소 "A","D" 및 "E"는 접속지속치를 "+1" 한다. MAC 테이블(513)의 "PORT2"에 접속한 호스트는 접속이력(522)의 "PORT1"에 접속한 호스트와 MAC주소가 "A"로 일치하나 PORT가 불일치하므로 신규 접속한 호스트로 파악하여 접속지속치를 "0"으로 계산한다. 네트워크 공격 차단장치(410)는 상술한 사항을 반영하여 2회차 갱신된 접속이력(523)을 기록한다.
2회차 갱신된 접속이력(523)의 상이한 접속포트 "PORT1"과 "PORT2"에는 동일한 MAC주소 "A"가 존재한다. 이는 "PORT1"과 "PORT2" 에 접속중인 호스트 중에는 ARP스푸핑으로 MAC주소를 위조한 공격자 호스트가 있다는 것을 의미하며, 피해자 호스트의 접속지속치는 공격자호스트의 접속지속치보다 더 큰 값을 갖게 되므로 결과적으로 "PORT1"에 접속한 호스트를 피해자 호스트, "PORT2"에 접속한 호스트를 공격자 호스트로 판별 할 수 있다.
본 실시예에서는 접속지속치를 계산하기 위해서 신규 접속한 호스트를 "0"으로 초기화하고 접속지속치를 "+1" 증가하는 경우를 설명하였으나, 이러한 계산방법은 설명의 편의를 위함이며, 신규 접속한 호스트의 접속지속치를 임의의 숫자로 초기화하고 접속지속치를 소정의 값에 따라 증가 또는 감소시킬 수 있음은 물론이다.
도 6는 본 발명의 일 실시예에 따른 네트워크 공격 차단방법의 흐름을 도시한 도면이다.
도 6을 참조하면, 네트워크 공격 차단장치(410)는 네트워크스위치(420)의 접속포트 정보 및 호스트의 MAC주소 정보의 갱신을 위해 PING 시험 또는 ARP 요청하는 패킷을 브로드캐스팅한다.(S601)
네트워크 공격 차단장치(410)는 정보를 갱신한 네트워크스위치(420)로부터 각 호스트(330,340,350)의 접속포트정보 및 접속포트정보에 연계된 호스트(330,340,350)의 MAC주소를 수신받는다.(S602) 네트워크스위치(420)가 생성하는 MAC 테이블 정보(326)는 수신하는 정보의 예시라고 할 수 있다.
네트워크 공격 차단장치(410)는 접속포트별 각 호스트의 MAC주소를 포함하는 접속이력을 기록한다(S603). 접속이력에는 각 호스트들의 MAC주소정보, 접속포트정보 및 접속지속치를 포함한다. 접속지속치를 계산하는 구체적 과정은 도 5의 설명을 참조한다.
네트워크 공격 차단장치(410)는 동일한 MAC주소를 가진 호스트가 서로 상이한 접속포트에 존재하지 않는 경우에는 네트워크 공격이 없는 것으로 파악한다.(S604)
네트워크 공격 차단장치(410)는 동일한 MAC주소를 가진 호스트가 서로 상이한 접속포트에 존재하는 경우에는 네트워크 공격이 있는 것으로 파악한다.(S605)
네트워크 공격 차단장치는 공격감지부(413)가 네트워크 공격을 감지하면, 동일한 MAC주소를 가진 호스트들중에서 공격자 호스트를 판별한다.(S606) 공격자호스트 판별을 위해 접속이력에 기록된 접속지속치를 활용하는 방법은 도 4 및 도 5에 기재된 설명을 참조한다.
네트워크 공격 차단장치(410)는 공격자호스트의 접속포트를 접속이력에서 확인하고, 확인한 접속포트를 네트워크스위치에서 다운시킨다.(S607)
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.

Claims (12)

  1. 적어도 하나 이상의 접속포트를 구비하는 네트워크 스위치로부터 접속포트 정보 및 상기 접속포트 정보에 연계된 호스트의 MAC주소를 수신하는 연결정보수신부;
    상기 연결정보수신부에서 수신한 정보를 기초로 접속포트별 각 호스트의 MAC주소를 포함한 접속이력을 기록하는 접속이력기록부;
    상기 접속이력을 기초로 동일한 MAC주소를 가진 호스트들이 서로 상이한 접속포트에 존재하는지 파악하는 공격감지부;를 포함하는 네트워크 공격 차단장치.
  2. 제 1항에 있어서,
    상기 공격감지부가 동일한 MAC주소를 가진 호스트들이 서로 상이한 접속포트에 존재한다고 파악하면, 상기 접속이력을 기초로 공격자 호스트의 접속포트를 파악하여 차단하는 접속차단부;를 더 포함하는 네트워크 공격 차단장치.
  3. 제 1항에 있어서, 상기 연결정보수신부는,
    상기 네트워크스위치의 접속포트 정보 및 호스트의 MAC주소 정보의 갱신을 위해 PING 시험 또는 ARP 요청하는 패킷을 브로드캐스팅하는 것을 특징으로 하는 네트워크 공격 차단장치.
  4. 제 1항에 있어서, 상기 접속이력기록부는,
    상기 연결정보수신부가 동일한 MAC주소를 연속하여 수신한 회수를 각 접속포트별로 집계한 접속지속치를 각 호스트의 접속이력에 더 포함하여 기록하는 것을 특징으로 하는 네트워크 공격 차단장치.
  5. 제 4항에 있어서,
    상기 공격감지부가 동일한 MAC주소를 가진 호스트들이 서로 상이한 접속포트에 존재한다고 파악하면, 상기 접속이력에 기초하여 상기 동일한 MAC주소를 가진 호스트들의 접속지속치 크기를 비교하고, 접속지속치가 더 작은 호스트를 공격자호스트로 판단하는 공격자판별부;를 더 포함하는 네트워크 공격 차단장치.
  6. 제 5항에 있어서,
    상기 접속이력을 기초로 상기 공격자판별부가 판단한 공격자호스트의 접속포트를 확인하고, 확인한 상기 접속포트를 네트워크스위치에서 다운시키는 접속차단부;를 더 포함하는 네트워크 공격 차단장치.
  7. 적어도 하나 이상의 접속포트를 구비하는 네트워크 스위치로부터 접속포트 정보 및 상기 접속포트 정보에 연계된 호스트의 MAC주소를 수신하는 연결정보수신단계;
    상기 연결정보수신부에서 수신한 정보를 기초로 접속포트별 각 호스트의 MAC주소를 포함한 접속이력을 기록하는 접속이력기록단계;
    상기 접속이력을 기초로 동일한 MAC주소를 가진 호스트들이 서로 상이한 접속포트에 존재하는지 파악하는 공격감지단계;를 포함하는 네트워크 공격 차단방법.
  8. 제 7항에 있어서,
    상기 공격감지단계에서 동일한 MAC주소를 가진 호스트들이 서로 상이한 접속포트에 존재한다고 파악되면, 상기 접속이력을 기초로 공격자 호스트의 접속포트를 파악하여 차단하는 접속차단단계;를 더 포함하는 네트워크 공격 차단방법.
  9. 제 7항에 있어서, 상기 연결정보수신단계는,
    상기 네트워크스위치의 접속포트 정보 및 호스트의 MAC주소 정보의 갱신을 위해 PING 시험 또는 ARP 요청하는 패킷을 브로드캐스팅하는 것을 특징으로 하는 네트워크 공격 차단방법.
  10. 제 7항에 있어서, 상기 접속이력기록단계는,
    상기 연결정보수신단계에서 동일한 MAC주소를 연속하여 수신한 회수를 각 접속포트별로 집계한 접속지속치를 각 호스트의 접속이력에 더 포함하여 기록하는 것을 특징으로 하는 네트워크 공격 차단방법.
  11. 제 10항에 있어서,
    상기 공격감지단계에서 동일한 MAC주소를 가진 호스트들이 서로 상이한 접속포트에 존재한다고 파악되면, 상기 접속이력에 기초하여 상기 동일한 MAC주소를 가진 호스트들의 접속지속치 크기를 비교하고, 접속지속치가 더 작은 호스트를 공격자호스트로 판단하는 공격자판별단계;를 더 포함하는 네트워크 공격 차단방법.
  12. 제 11항에 있어서,
    상기 접속이력을 기초로 상기 공격자판별단계에서 판단된 공격자호스트의 접속포트를 확인하고, 확인한 상기 접속포트를 네트워크스위치에서 다운시키는 접속차단단계;를 더 포함하는 네트워크 공격 차단방법.
KR1020110084839A 2011-08-24 2011-08-24 네트워크 공격차단 장치 및 그 방법 KR20130022507A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110084839A KR20130022507A (ko) 2011-08-24 2011-08-24 네트워크 공격차단 장치 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110084839A KR20130022507A (ko) 2011-08-24 2011-08-24 네트워크 공격차단 장치 및 그 방법

Publications (1)

Publication Number Publication Date
KR20130022507A true KR20130022507A (ko) 2013-03-07

Family

ID=48175137

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110084839A KR20130022507A (ko) 2011-08-24 2011-08-24 네트워크 공격차단 장치 및 그 방법

Country Status (1)

Country Link
KR (1) KR20130022507A (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170006034A (ko) * 2015-07-07 2017-01-17 주식회사 넥슨코리아 단말의 접속을 관리하는 장치 및 방법
KR101962408B1 (ko) * 2017-11-29 2019-03-26 한전케이디엔주식회사 망 혼용 단말 자동 탐지 시스템 및 방법
JP2020141359A (ja) * 2019-03-01 2020-09-03 日本電気株式会社 通信遮断方法、通信システム、装置とプログラム

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170006034A (ko) * 2015-07-07 2017-01-17 주식회사 넥슨코리아 단말의 접속을 관리하는 장치 및 방법
KR101962408B1 (ko) * 2017-11-29 2019-03-26 한전케이디엔주식회사 망 혼용 단말 자동 탐지 시스템 및 방법
JP2020141359A (ja) * 2019-03-01 2020-09-03 日本電気株式会社 通信遮断方法、通信システム、装置とプログラム

Similar Documents

Publication Publication Date Title
CN110445770B (zh) 网络攻击源定位及防护方法、电子设备及计算机存储介质
US9083716B1 (en) System and method for detecting address resolution protocol (ARP) spoofing
CN109660539B (zh) 失陷设备识别方法、装置、电子设备及存储介质
KR101369727B1 (ko) 캡차를 기반으로 하는 트래픽 제어 장치 및 그 방법
US9413616B2 (en) Detection of network address spoofing and false positive avoidance
US7562390B1 (en) System and method for ARP anti-spoofing security
US8966627B2 (en) Method and apparatus for defending distributed denial-of-service (DDoS) attack through abnormally terminated session
EP2533495B1 (en) Apparatus and method preventing overflow of pending interest table in name based network system
WO2021139643A1 (zh) 加密攻击网络流量检测方法,其装置及电子设备
KR101236822B1 (ko) Arp록킹 기능을 이용한 arp스푸핑 공격 탐지 방법과 그 방법을 실행하기 위한 프로그램이 기록된 기록매체
US20060143709A1 (en) Network intrusion prevention
CN100563149C (zh) 一种dhcp监听方法及其装置
US10834125B2 (en) Method for defending against attack, defense device, and computer readable storage medium
US9350754B2 (en) Mitigating a cyber-security attack by changing a network address of a system under attack
CN112738095A (zh) 一种检测非法外联的方法、装置、系统、存储介质及设备
CN107360182A (zh) 一种用于嵌入式的主动网络防御系统及其防御方法
KR101775325B1 (ko) Nat 장치를 탐지하기 위한 방법 및 장치
KR20130022507A (ko) 네트워크 공격차단 장치 및 그 방법
KR101593897B1 (ko) 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법
KR100687736B1 (ko) 네트워크 상에서 이상 유해 트래픽 감지 장치 및 그 방법
CN112491911B (zh) Dns分布式拒绝服务防御方法、装置、设备及存储介质
KR102582837B1 (ko) 파밍 dns 분석 방법 및 컴퓨팅 디바이스
KR100613904B1 (ko) 비정상 아이피 주소를 사용하는 네트워크 공격을 차단하는장치 및 그 방법
KR101400127B1 (ko) 비정상 데이터 패킷 검출 방법 및 장치
KR100862321B1 (ko) 시그니처를 사용하지 않는 네트워크 공격 탐지 및 차단방법 및 장치

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination