KR20130046895A - Arp 스푸핑 공격 탐지 시스템 및 방법 - Google Patents

Arp 스푸핑 공격 탐지 시스템 및 방법 Download PDF

Info

Publication number
KR20130046895A
KR20130046895A KR1020110111562A KR20110111562A KR20130046895A KR 20130046895 A KR20130046895 A KR 20130046895A KR 1020110111562 A KR1020110111562 A KR 1020110111562A KR 20110111562 A KR20110111562 A KR 20110111562A KR 20130046895 A KR20130046895 A KR 20130046895A
Authority
KR
South Korea
Prior art keywords
arp
packet
received
unsolicited
input port
Prior art date
Application number
KR1020110111562A
Other languages
English (en)
Other versions
KR101270041B1 (ko
Inventor
조성면
Original Assignee
삼성에스디에스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성에스디에스 주식회사 filed Critical 삼성에스디에스 주식회사
Priority to KR1020110111562A priority Critical patent/KR101270041B1/ko
Priority to US13/660,485 priority patent/US8782789B2/en
Priority to CN201210417103.9A priority patent/CN103095675B/zh
Publication of KR20130046895A publication Critical patent/KR20130046895A/ko
Application granted granted Critical
Publication of KR101270041B1 publication Critical patent/KR101270041B1/ko
Priority to US14/291,744 priority patent/US9083716B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

ARP 스푸핑 공격 탐지 시스템 및 방법이 개시된다. 본 발명의 일 실시예에 따른 ARP 스푸핑 공격 탐지 시스템은, ARP 패킷을 수신하고, 수신된 상기 ARP 패킷이 비요청(unsolicited or gratuitous) ARP 패킷인지의 여부를 판단하는 수신 모듈; 상기 수신 모듈에서 수신된 상기 ARP 패킷이 비요청 ARP 패킷인 경우, 수신된 상기 비요청 ARP 패킷에 대응되는 ARP 요청 패킷을 생성하고, 생성된 상기 ARP 요청 패킷을 브로드캐스트하는 송신 모듈; 및 상기 송신 모듈에서 브로드캐스트된 상기 ARP 요청 패킷에 대응되는 ARP 응답 패킷이 수신되는 경우, 수신된 상기 ARP 응답 패킷의 입력 포트와 상기 비요청 ARP 패킷의 입력 포트의 일치 여부를 판단하여 일치하지 않은 경우 ARP 스푸핑 공격이 발생한 것으로 판단하는 탐지 모듈을 포함한다.

Description

ARP 스푸핑 공격 탐지 시스템 및 방법{SYSTEM AND METHOD FOR DETECTING ARP SPOOFING}
본 발명은 ARP(Address Resolution Protocol) 프로토콜의 허점을 이용한 외부의 공격(ARP 스푸핑 공격)을 탐지하기 위한 기술과 관련된다.
최근 들어, 특히 해외로부터 국내의 웹사이트를 해킹 후 악성코드를 삽입하는 등의 사건들이 다수 발생하고 있다. 이러한 사건들은 대부분 해당 웹 서버가 직접 해킹을 당한 후 악성코드가 삽입되는 것이 일반적이다. 그러나 최근 들어 웹 서버는 전혀 해킹을 당하지 않았음에도 웹 서버로부터 악성코드 등이 다운로드되는 경우가 발생하고 있다. 이는 공격자가 웹 서버와 동일한 IP 세그먼트 내의 다른 서버를 해킹한 후 ARP 스푸핑(ARP spoofing)을 이용하여 웹 서버와 관련된 웹 트래픽을 가로채어 악성코드를 삽입한 것이다.
ARP 스푸핑 공격은 로컬 네트워크(LAN)에서 사용하는 ARP 프로토콜의 허점을 이용하여 자신의 MAC 주소를 다른 컴퓨터의 MAC인 것처럼 속이는 공격이다. ARP 스푸핑 공격은 ARP 캐쉬 정보를 임의로 변경한다고 하여 ARP 캐쉬 포이즈닝(ARP Cache Poisoning) 공격이라고도 한다.
이러한 ARP 스푸핑 공격을 통하여 공격자는 자신의 MAC 주소를 라우터 또는 스니핑(sniffing)하고자 하는 대상 서버의 MAC 주소로 위장(ARP Spoofing)하여 손쉽게 패킷을 훔쳐볼 수 있다. 그러나 최근에는 단순히 패킷을 가로채어 훔쳐보는 스니핑 수준이 아니라, 가로챈 패킷을 변조하여 재 전송하는 공격에도 사용되고 있어 그 심각성이 더해지고 있으며, 이에 따라 스위치 등에서 ARP 스푸핑 공격을 용이하게 탐지하여 차단할 수 있는 기술이 필요하게 되었다.
본 발명은 ARP 스푸핑 공격을 용이하게 탐지하고, 필요한 경우 이를 사전에 차단할 수 있는 수단을 제공하는 데 그 목적이 있다.
상기 과제를 해결하기 위한 본 발명의 일 실시예에 따른 ARP 스푸핑 공격 탐지 시스템은, ARP 패킷을 수신하고, 수신된 상기 ARP 패킷이 비요청(unsolicited or gratuitous) ARP 패킷인지의 여부를 판단하는 수신 모듈; 상기 수신 모듈에서 수신된 상기 ARP 패킷이 비요청 ARP 패킷인 경우, 수신된 상기 비요청 ARP 패킷에 대응되는 ARP 요청 패킷을 생성하고, 생성된 상기 ARP 요청 패킷을 브로드캐스트하는 송신 모듈; 및 상기 송신 모듈에서 브로드캐스트된 상기 ARP 요청 패킷에 대응되는 ARP 응답 패킷이 수신되는 경우, 수신된 상기 ARP 응답 패킷의 입력 포트와 상기 비요청 ARP 패킷의 입력 포트의 일치 여부를 판단하여 일치하지 않은 경우 ARP 스푸핑 공격이 발생한 것으로 판단하는 탐지 모듈을 포함한다.
한편, 상기 과제를 해결하기 위한 본 발명의 일 실시예에 따른 ARP 스푸핑 공격 탐지 시스템에서 ARP 스푸핑 공격을 탐지하기 위한 방법은, 상기 탐지 시스템에서, ARP 패킷을 수신하고 수신된 상기 ARP 패킷이 비요청(unsolicited or gratuitous) ARP 패킷인지의 여부를 판단하는 제1단계; 상기 탐지 시스템에서, 수신된 상기 ARP 패킷이 비요청 ARP 패킷인 경우, 수신된 상기 비요청 ARP 패킷에 대응되는 ARP 요청 패킷을 생성하고, 생성된 상기 ARP 요청 패킷을 브로드캐스트하는 제2단계; 상기 탐지 시스템에서, 브로드캐스트된 상기 ARP 요청 패킷에 대응되는 ARP 응답 패킷을 수신하는 제3단계; 및 상기 탐지 시스템에서, 수신된 상기 ARP 응답 패킷의 입력 포트와 상기 비요청 ARP 패킷의 입력 포트의 일치 여부를 판단하여 일치하지 않은 경우 ARP 스푸핑 공격이 발생한 것으로 판단하는 제4단계를 포함한다.
본 발명에 따를 경우, ARP 프로토콜의 허점을 이용한 ARP 스푸핑 공격을 스위치 단에서 용이하게 탐지할 수 있으며, 필요한 경우 이를 사전에 차단할 수 있는 장점이 있다.
도 1 및 도 2는 ARP 스푸핑 공격을 설명하기 위한 도면이다.
도 3은 본 발명의 일 실시예에 따른 ARP 스푸핑 공격 탐지 시스템(300)의 블록도이다.
도 4는 본 발명의 일 실시예에 따른 ARP 스푸핑 공격 탐지 방법(400)을 도시한 순서도이다.
이하, 도면을 참조하여 본 발명의 구체적인 실시형태를 설명하기로 한다. 그러나 이는 예시에 불과하며 본 발명은 이에 제한되지 않는다.
본 발명을 설명함에 있어서, 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
본 발명의 기술적 사상은 청구범위에 의해 결정되며, 이하의 실시예는 본 발명의 기술적 사상을 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 효율적으로 설명하기 위한 일 수단일 뿐이다.
도 1 및 도 2는 일반적인 ARP 스푸핑 공격의 양상을 설명하기 위한 도면으로서, 도 1은 정상 상태, 도 2는 ARP 스푸핑 공격이 발생한 이후의 상태를 나타낸다.
도 1에 도시된 바와 같이, 호스트-A(IP 주소: 192.168.1.1, MAC 주소: 000102030405) 및 호스트-B(IP 주소: 192.168.1.2, MAC 주소: 000102030406)이 L2 스위치에 의하여 연결되어 서로 패킷을 송수신한다고 가정한다. 이때 호스트-A의 ARP 캐쉬 테이블(ARP Cache Table)에는 동일 네트워크 내의 다른 호스트인 호스트 B의 IP 주소 및 이에 대응되는 MAC 주소가 저장되고, 호스트-B의 ARP 캐쉬 테이블(ARP Cache Table)에는 호스트 A의 IP 주소 및 이에 대응되는 MAC 주소가 저장된다. 또한 L2 스위치의 라우트 테이블에는 호스트-A 및 호스트-B로의 패킷 라우팅을 위하여 호스트-A 및 호스트-B의 MAC 주소가 저장된다.
이와 같은 상황에서, 공격자(Sniffer, IP 주소: 192.168.1.10, MAC 주소: 000112233445)는 ARP 스푸핑을 위하여 호스트-A 및 호스트-B로 자신의 MAC 주소를 포함하는 ARP 메시지를 보낸다. 상기 ARP 메시지는 ARP 응답 메시지로서, 예를 들어 공격자는 ARP 응답 메시지의 송신 IP에 호스트-B의 IP를 부가하고, 송신 MAC 주소에는 자신(공격자)의 MAC 주소를 부가하여 호스트-A로 전송한다. 마찬가지로, 공격자는 ARP 응답 메시지의 송신 IP에 호스트-A의 IP를 부가하고, 송신 MAC 주소에는 자신(공격자)의 MAC 주소를 부가하여 호스트-B로 전송한다.
ARP 프로토콜의 특성 상, 네트워크 내 각 호스트들은 자신이 ARP 요청 메시지를 송신하지 않았는데 ARP 응답 메시지만이 수신되는 경우에도 자신의 ARP 캐쉬 테이블을 업데이트하도록 구성된다. 이에 따라, 호스트-A 및 호스트-B는 수신되는 ARP 응답 메시지에 대응하여 자신의 ARP 캐쉬 테이블을 도 2에 도시된 것과 같이 공격자의 MAC 주소로 업데이트하게 된다. 즉, 호스트-A 및 호스트-B는 각각 상대방의 MAC 주소를 공격자의 MAC 주소로 치환하여 ARP 캐쉬 테이블에 저장하며, 이후 호스트-A 및 호스트-B 간의 모든 트래픽은 L2 스위치에 의하여 공격자 측으로 라우팅된다. 다시 말해, 공격자는 ARP 프로토콜의 허점을 이용하여, 호스트-A 및 호스트-B 간의 패킷을 훔쳐보거나 변조할 수 있게 된다.
도 3은 상기와 같은 ARP 스푸핑 공격을 탐지하기 위한, 본 발명의 일 실시예에 따른 ARP 스푸핑 공격 탐지 시스템(300)의 블록도이다. 도시된 바와 같이, 본 발명의 일 실시예에 따른 ARP 스푸핑 공격 탐지 시스템(300)은 수신 모듈(302), 패킷 정보 저장 모듈(304), 송신 모듈(306) 및 탐지 모듈(308)을 포함한다. 이와 같은 ARP 스푸핑 공격 탐지 시스템(300)은 L2 스위치를 구성하는 하나의 구성요소로서 포함되거나 또는 L2 스위치와 연결되어 데이터를 주고받는 별개의 시스템으로 형성될 수 있다. 즉, 본 발명의 ARP 스푸핑 공격 탐지 시스템(300)은 네트워크 내의 각 호스트들간의 패킷을 중계하기 위한 L2 스위치 단에 위치함으로써 각 호스트들간에 송수신되는 ARP 패킷들을 감시하고, 이 중 ARP 스푸핑 공격 패킷으로 판단되는 패킷이 존재할 경우 이를 실시간으로 감지하여 차단하도록 구성된다.
수신 모듈(302)은 네트워크상의 다른 구성요소(호스트)로부터 ARP 패킷을 수신하고, 수신된 ARP 패킷이 비요청 ARP 패킷인지의 여부를 판단한다. 본 발명에서 비요청 ARP 패킷(unsolicited or gratuitous ARP packet)이란 이전에 ARP 요청 패킷이 없었는데도 불구하고 전송되는 ARP 응답 패킷을 의미하는 것으로서, 일반적으로 ARP 캐쉬의 갱신 또는 IP 주소의 중복 여부를 알아보기 위하여 네트워크상에 전송되는 패킷을 의미한다. 이러한 비요청 ARP 패킷은 전술한 바와 같이 ARP 캐쉬의 갱신 또는 IP 주소의 중복 방지를 위하여 사용됨이 일반적이나, 도 1 및 도 2에서 설명한 바와 같이 ARP 스푸핑 공격에도 악용될 수 있으므로, 수신 모듈(302)은 ARP 스푸핑 공격을 탐지하기 위하여, 먼저 수신되는 패킷이 비요청 ARP 패킷인지의 여부를 먼저 감지하게 된다.
수신 모듈(302)에서의 비요청 ARP 패킷의 감지는 다음과 같은 과정을 거쳐 이루어진다. 먼저, ARP 패킷이 수신되면 수신 모듈(302)은 먼저 수신된 ARP 패킷의 종류, 즉 해당 패킷이 ARP 요청 패킷인지, 또는 ARP 응답 패킷인지의 여부를 판단한다. 이러한 패킷 종류의 판별은 ARP 패킷 헤더의 동작(Operation) 필드를 보면 알 수 있는데, 구체적으로 이 필드 값이 1 이면 요청 패킷이 되고 2 이면 응답 패킷이 된다.
만약 수신된 ARP 패킷이 ARP 응답 패킷인 경우, 수신 모듈(302)은 다음으로 ARP 트랜잭션 테이블(ARP Transaction Table)을 검색하여 해당 ARP 응답 패킷에 대응되는 ARP 대기 엔트리(ARP Pending Entry)가 존재하는지의 여부를 판단하고, ARP 대기 엔트리가 존재하지 않는 경우 수신된 ARP 패킷을 비요청 ARP 패킷으로 판단한다.
본 발명에서 ARP 트랜잭션 테이블은 ARP 트랜잭션을 추적하기 위하여 사용되는 데이터 저장소이다. 만약 네트워크 내 특정 호스트에서 ARP 요청 패킷을 송신하면, 후술할 패킷 정보 저장 모듈(304)은 상기 ARP 요청 패킷에 대응되는 ARP 대기 엔트리를 상기 ARP 트랜잭션 테이블에 생성하고, 상기 ARP 요청 패킷을 수신한 네트워크 내 다른 호스트로부터 ARP 응답 패킷이 수신되면 생성된 상기 ARP 대기 엔트리를 삭제한다. 즉, ARP 트랜잭션 테이블은 ARP 요청이 있을 경우 생성되고, 그에 대응되는 ARP 응답이 수신될 경우 삭제되는 것으로서, 이를 이용할 경우 현재 어떠한 ARP 요청이 응답 대기 중인지를 알 수 있게 된다. 또한, 상기 ARP 트랜잭션 테이블에 대응되는 엔트리가 없는 ARP 응답 패킷이 수신될 경우에는 이전에 해당 ARP 응답을 요청한 호스트가 없다는 의미이므로, 이 경우에는 해당 ARP 응답 패킷이 비요청 ARP 패킷에 해당함을 알 수 있다.
패킷 정보 저장 모듈(304)은 상기와 같은 ARP 트랜잭션 테이블을 관리하기 위한 모듈이다. 먼저, 수신 모듈(302)에서 수신된 ARP 패킷이 ARP 요청 패킷으로 판단된 경우, 패킷 정보 저장 모듈(304)은 수신된 ARP 패킷에 대응되는 ARP 대기 엔트리를 상기 ARP 트랜잭션 테이블 내에 생성한다. 상기 ARP 대기 엔트리에는 상기 ARP 요청 패킷의 송신 IP/MAC 주소 및 MAC 주소를 요청하는 수신측의 IP 주소 정보가 포함될 수 있다.
또한, 수신 모듈(302)에서 수신된 ARP 패킷이 비요청 ARP 패킷인 경우 패킷 정보 저장 모듈(304)은 ARP 트랜잭션 테이블(ARP transaction table)에 비요청 ARP 패킷에 대응하는 ARP 대기 엔트리(ARP pending entry)를 생성한다. 또한, 이 경우에는 생성된 ARP 대기 엔트리에 상기 비요청 ARP 패킷의 입력 포트 정보(즉, 어떤 호스트로부터 상기 비요청 패킷이 전송되었는지에 대한 정보)를 포함하는 비요청 ARP 패킷 정보를 부가하여 저장한다. 상기 정보는 후술할 탐지 모듈(308)에서 수신된 비요청 ARP 패킷이 ARP 스푸핑 공격 패킷인지의 여부를 탐지하기 위하여 사용된다.
송신 모듈(306)은 수신 모듈(302)에서 수신된 ARP 패킷이 비요청 ARP 패킷인 경우, 수신된 비요청 ARP 패킷의 송신 IP 주소의 맥(MAC) 주소를 요청하는 ARP 요청 패킷을 생성하고, 생성된 ARP 요청 패킷을 브로드캐스트한다. 상기 ARP 요청 패킷은 기 수신된 비요청 ARP 요청 패킷이 ARP 스푸핑 공격 패킷인지 또는 정상적인 패킷인지의 여부를 판단하기 위한 것이다. 이에 따라, 상기 브로드캐스트되는 ARP 요청 패킷의 수신 IP 주소(이는 상기 비요청 ARP 패킷의 송신 IP 주소와 동일하다)에 해당하는 호스트는 상기 ARP 요청 패킷에 따라 ARP 응답 패킷을 생성하여 송신하며, 송신된 상기 ARP 응답 패킷은 다시 ARP 스푸핑 공격 탐지 시스템(300)으로 수신된다.
탐지 모듈(308)은 송신 모듈(306)에서 브로드캐스트된 ARP 요청 패킷에 대응되는 새로운 ARP 응답 패킷이 수신되는 경우, 수신된 ARP 응답 패킷의 입력 포트와 ARP 대기 엔트리에 저장된 비요청 ARP 패킷의 입력 포트의 일치 여부를 판단하여 일치하지 않은 경우 ARP 스푸핑 공격이 발생한 것으로 판단한다. 만약 애초에 수신된 비요청 ARP 패킷이 정상적인 패킷(즉, 실제 해당 IP를 가진 호스트로부터 송신된 패킷)일 경우에는 비요청 ARP 패킷의 수신 포트와 이후 수신된 ARP 응답 패킷의 수신 포트가 동일하게 된다. 그러나 상기 비요청 ARP 패킷이 정상적인 호스트에서 송신된 것이 아닌 공격자로부터 송신된 것일 경우에는 두 패킷의 수신 포트가 상이할 것이므로(비요청 ARP 패킷은 공격자로부터 유입된 것이고 이후의 ARP 응답 패킷은 정상적인 호스트로부터 유입된 것이므로 두 패킷의 유입 경로는 서로 상이하게 된다), 탐지 모듈(308)은 양 패킷의 수신 포트의 동일성 유무를 판단함으로써 ARP 스푸핑 공격을 탐지할 수 있게 된다.
탐지 모듈(308)에서의 상기와 같은 비교는 수신되는 ARP 응답 패킷에 대응되는 ARP 트랜잭션 테이블 내의 ARP 대기 엔트리에 비요청 ARP 패킷의 정보가 부가되어 있는 경우에만 수행된다. 만약, 수신되는 ARP 응답 패킷에 대응되는 ARP 트랜잭션 테이블 내에 ARP 대기 엔트리가 존재하나, 해당 엔트리에 비요청 ARP 패킷의 정보가 부가되지 않은 경우, 해당 엔트리는 정상적인 ARP 요청 패킷에 의하여 생성된 것이므로, 이 경우 탐지 모듈(308)은 수신된 ARP 응답 패킷에 대응되는 ARP 대기 엔트리를 ARP 트랜잭션 테이블에서 삭제하고, 수신된 ARP 패킷을 목적지로 전송하게 된다.
도 4는 본 발명의 일 실시예에 따른 ARP 스푸핑 공격 탐지 시스템(300)에서의 ARP 스푸핑 공격 탐지 방법(400)을 도시한 순서도이다.
먼저, ARP 패킷이 수신되면(402), 먼저 수신된 ARP 패킷이 비요청(unsolicited or gratuitous) ARP 패킷인지의 여부를 판단한다. 구체적으로, 먼저 수신된 ARP 패킷의 종류를 판단하여(404) 수신된 ARP 패킷이 ARP 요청 메시지인 경우에는 ARP 트랜잭션 테이블에 수신된 ARP 패킷에 대응되는 ARP 대기 엔트리를 생성하고(406), 수신된 ARP 패킷을 목적지로 전송한다(408).
만약, 상기 404 단계의 판단 결과 수신된 ARP 패킷이 ARP 응답 메시지인 경우에는, 다음으로 이에 대응되는 ARP 대기 엔트리가 존재하는지의 여부를 판단한다(410). 이때 만약 대응되는 ARP 대기 엔트리가 존재하지 않는 경우 수신된 상기 ARP 패킷은 비요청 ARP 패킷에 해당하는 것이므로, 패킷 정보 저장 모듈(304)은 ARP 트랜잭션 테이블(ARP transaction table)에 비요청 ARP 패킷에 대응하는 ARP 대기 엔트리(ARP pending entry)를 생성하고(412), 생성된 ARP 대기 엔트리에 비요청 ARP 패킷의 입력 포트 정보를 포함하는 비요청 ARP 패킷 정보를 부가한다(414). 그리고 송신 모듈(306)은 수신된 비요청 ARP 패킷의 송신 IP 주소의 맥(MAC) 주소를 요청하는 ARP 요청 패킷을 생성하고(416), 생성된 상기 ARP 요청 패킷을 브로드캐스트한다(418).
한편, 상기 410 단계의 판단 결과 대응되는 ARP 대기 엔트리가 존재하는 경우에는, 해당 ARP 대기 엔트리에 부가된 비요청 ARP 패킷의 정보가 존재하는지의 여부를 판단한다(420). 만약 부가된 ARP 응답 메시지가 존재하는 경우, 수신된 ARP 메시지는 상기 418 단계에서 브로드캐스트된 ARP 요청 패킷에 대한 응답으로서 수신된 것이므로, 이 경우 탐지 모듈(308)은 수신된 ARP 응답 패킷의 입력 포트와 ARP 대기 엔트리에 저장된 비요청 ARP 패킷의 입력 포트의 일치 여부를 판단하고(422), 일치하지 않는 경우 비정상 ARP 패킷이 유입된 것으로 판단하여(즉, ARP 스푸핑 공격이 발생한 것으로 판단하여) 해당 패킷을 차단(drop)하거나 또는 관리자에게 경고 메시지를 전송하게 된다(424).
한편, 만약 상기 420 단계의 판단 결과 해당 대기 엔트리에 비요청 ARP 패킷의 정보가 존재하지 않는 경우에는 해당 ARP 대기 엔트리를 ARP 트랜잭션 테이블에서 삭제하고(426), 402 단계에서 수신된 ARP 패킷을 목적지로 전송한다(428).
한편, 본 발명의 실시예는 본 명세서에서 기술한 방법들을 컴퓨터상에서 수행하기 위한 프로그램을 포함하는 컴퓨터 판독 가능 기록매체를 포함할 수 있다. 상기 컴퓨터 판독 가능 기록매체는 프로그램 명령, 로컬 데이터 파일, 로컬 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 분야에서 통상의 지식을 가진 자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광 기록 매체, 플로피 디스크와 같은 자기-광 매체, 및 롬, 램, 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함할 수 있다.
이상에서 대표적인 실시예를 통하여 본 발명에 대하여 상세하게 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 상술한 실시예에 대하여 본 발명의 범주에서 벗어나지 않는 한도 내에서 다양한 변형이 가능함을 이해할 것이다.
그러므로 본 발명의 권리범위는 설명된 실시예에 국한되어 정해져서는 안 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
300: ARP 스푸핑 공격 탐지 시스템
302: 수신 모듈
304: 패킷 정보 저장 모듈
306: 송신 모듈
308: 탐지 모듈

Claims (14)

  1. ARP 패킷을 수신하고, 수신된 상기 ARP 패킷이 비요청(unsolicited or gratuitous) ARP 패킷인지의 여부를 판단하는 수신 모듈;
    수신된 상기 ARP 패킷이 비요청 ARP 패킷인 경우, 수신된 상기 비요청 ARP 패킷에 대응되는 ARP 요청 패킷을 생성하고, 생성된 상기 ARP 요청 패킷을 브로드캐스트하는 송신 모듈; 및
    브로드캐스트된 상기 ARP 요청 패킷에 대응되는 ARP 응답 패킷이 수신되는 경우, 수신된 상기 ARP 응답 패킷의 입력 포트와 상기 비요청 ARP 패킷의 입력 포트의 일치 여부를 판단하여 일치하지 않은 경우 ARP 스푸핑 공격이 발생한 것으로 판단하는 탐지 모듈을 포함하는 ARP 스푸핑 공격 탐지 시스템.
  2. 청구항 1에 있어서,
    상기 ARP 요청 패킷은, 수신된 상기 비요청 ARP 패킷의 송신 IP 주소의 맥(MAC) 주소를 요청하기 위한 패킷인, ARP 스푸핑 공격 탐지 시스템.
  3. 청구항 1에 있어서,
    상기 수신 모듈에서 수신된 상기 ARP 패킷이 비요청 ARP 패킷인 경우, ARP 트랜잭션 테이블(ARP transaction table)에 상기 비요청 ARP 패킷에 대응하는 ARP 대기 엔트리(ARP pending entry)를 생성하고, 생성된 상기 ARP 대기 엔트리에 상기 비요청 ARP 패킷의 입력 포트 정보를 포함하는 상기 비요청 ARP 패킷 정보를 부가하는 패킷 정보 저장 모듈을 더 포함하는, ARP 스푸핑 공격 탐지 시스템.
  4. 청구항 3에 있어서,
    상기 수신 모듈은, 수신된 상기 ARP 패킷이 ARP 응답 메시지이고, 상기 ARP 응답 메시지에 대응되는 ARP 대기 엔트리가 상기 ARP 트랜잭션 테이블에 존재하지 않는 경우 상기 ARP 패킷을 비요청 ARP 패킷으로 판단하는, ARP 스푸핑 공격 탐지 시스템.
  5. 청구항 3에 있어서,
    상기 탐지 모듈은, 수신된 상기 ARP 응답 패킷에 대응되는 ARP 트랜잭션 테이블 내의 ARP 대기 엔트리에 비요청 ARP 패킷의 정보가 포함되어 있는지의 여부를 판단하여, 포함되어 있는 경우 수신된 상기 ARP 응답 패킷의 입력 포트와 상기 ARP 대기 엔트리에 포함된 상기 비요청 ARP 패킷의 입력 포트의 일치 여부를 판단하는, ARP 스푸핑 공격 탐지 시스템.
  6. 청구항 3에 있어서,
    상기 탐지 모듈은, 수신된 상기 ARP 응답 패킷에 대응되는 ARP 트랜잭션 테이블 내의 ARP 대기 엔트리에 상기 비요청 ARP 패킷의 입력 포트 정보가 존재하지 않는 경우, 수신된 상기 ARP 응답 패킷에 대응되는 ARP 대기 엔트리를 상기 ARP 트랜잭션 테이블에서 삭제하고, 상기 수신 모듈에서 수신된 상기 ARP 패킷을 목적지로 전송하는, ARP 스푸핑 공격 탐지 시스템.
  7. ARP 스푸핑 공격 탐지 시스템에서 ARP 스푸핑 공격을 탐지하기 위한 방법으로서,
    상기 탐지 시스템에서, ARP 패킷을 수신하고 수신된 상기 ARP 패킷이 비요청(unsolicited or gratuitous) ARP 패킷인지의 여부를 판단하는 제1단계;
    상기 탐지 시스템에서, 수신된 상기 ARP 패킷이 비요청 ARP 패킷인 경우, 수신된 상기 비요청 ARP 패킷에 대응되는 ARP 요청 패킷을 생성하고, 생성된 상기 ARP 요청 패킷을 브로드캐스트하는 제2단계;
    상기 탐지 시스템에서, 브로드캐스트된 상기 ARP 요청 패킷에 대응되는 ARP 응답 패킷을 수신하는 제3단계; 및
    상기 탐지 시스템에서, 수신된 상기 ARP 응답 패킷의 입력 포트와 상기 비요청 ARP 패킷의 입력 포트의 일치 여부를 판단하여 일치하지 않은 경우 ARP 스푸핑 공격이 발생한 것으로 판단하는 제4단계를 포함하는 ARP 스푸핑 공격 탐지 방법.
  8. 청구항 7에 있어서,
    상기 제2단계에서 생성되는 상기 ARP 요청 패킷은, 상기 제1단계에서 수신된 상기 비요청 ARP 패킷의 송신 IP 주소의 맥(MAC) 주소를 요청하기 위한 패킷인, ARP 스푸핑 공격 탐지 방법.
  9. 청구항 7에 있어서,
    상기 제1단계의 수행 후 및 상기 제2단계의 수행 전,
    상기 탐지 시스템에서, 수신된 상기 ARP 패킷이 비요청 ARP 패킷인 경우 ARP 트랜잭션 테이블(ARP transaction table)에 상기 비요청 ARP 패킷에 대응하는 ARP 대기 엔트리(ARP pending entry)를 생성하고, 생성된 상기 ARP 대기 엔트리에 상기 비요청 ARP 패킷의 입력 포트 정보를 포함하는 상기 비요청 ARP 패킷 정보를 부가하는 단계를 더 포함하는, ARP 스푸핑 공격 탐지 방법.
  10. 청구항 9에 있어서,
    상기 제1단계는, 상기 탐지 시스템에서 ARP 패킷을 수신하고, 수신된 ARP 패킷의 종류를 판단하는 단계; 및
    상기 종류 판단 결과 수신된 상기 ARP 패킷이 ARP 응답 메시지인 경우, 상기 ARP 응답 메시지에 대응되는 ARP 대기 엔트리가 상기 ARP 트랜잭션 테이블에 존재하는지 여부를 판단하는 단계를 더 포함하며,
    상기 ARP 응답 메시지에 대응되는 ARP 대기 엔트리가 상기 ARP 트랜잭션 테이블에 존재하지 않는 경우 상기 ARP 패킷을 비요청 ARP 패킷으로 판단하는, ARP 스푸핑 공격 탐지 방법.
  11. 청구항 10에 있어서,
    상기 탐지 시스템은, 상기 ARP 패킷의 종류 판단 결과 수신된 상기 ARP 패킷이 ARP 요청 메시지인 경우, 수신된 상기 ARP 요청 메시지에 대응하는 ARP 대기 엔트리를 상기 ARP 트랜잭션 테이블에 생성하는, ARP 스푸핑 공격 탐지 방법.
  12. 청구항 9에 있어서,
    상기 제4단계는, 상기 ARP 트랜잭션 테이블에서 수신된 상기 ARP 응답 패킷에 대응되는 ARP 대기 엔트리를 검색하는 단계;
    검색된 ARP 대기 엔트리에 비요청 ARP 패킷 정보가 존재하는지의 여부를 판단하는 단계; 및
    상기 존재 여부의 판단 결과 상기 비요청 ARP 패킷의 입력 포트 정보가 검색된 상기 ARP 대기 엔트리에 존재하는 경우, 수신된 상기 ARP 응답 패킷의 입력 포트와 상기 비요청 ARP 패킷의 입력 포트의 일치 여부를 판단하는 단계를 더 포함하는 ARP 스푸핑 공격 탐지 방법.
  13. 청구항 12에 있어서,
    상기 탐지 시스템은, 상기 존재 여부의 판단 결과 상기 비요청 ARP 패킷의 입력 포트 정보가 존재하지 않는 경우, 검색된 상기 ARP 대기 엔트리를 상기 ARP 트랜잭션 테이블에서 삭제하고, 상기 제1단계에서 수신된 상기 ARP 패킷을 목적지로 전송하는, ARP 스푸핑 공격 탐지 방법.
  14. 청구항 7 내지 청구항 13 중 어느 한 항에 기재된 방법을 컴퓨터상에서 수행하기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
KR1020110111562A 2011-10-28 2011-10-28 Arp 스푸핑 공격 탐지 시스템 및 방법 KR101270041B1 (ko)

Priority Applications (4)

Application Number Priority Date Filing Date Title
KR1020110111562A KR101270041B1 (ko) 2011-10-28 2011-10-28 Arp 스푸핑 공격 탐지 시스템 및 방법
US13/660,485 US8782789B2 (en) 2011-10-28 2012-10-25 System and method for detecting address resolution protocol (ARP) spoofing
CN201210417103.9A CN103095675B (zh) 2011-10-28 2012-10-26 Arp欺骗攻击检测系统及方法
US14/291,744 US9083716B1 (en) 2011-10-28 2014-05-30 System and method for detecting address resolution protocol (ARP) spoofing

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110111562A KR101270041B1 (ko) 2011-10-28 2011-10-28 Arp 스푸핑 공격 탐지 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20130046895A true KR20130046895A (ko) 2013-05-08
KR101270041B1 KR101270041B1 (ko) 2013-05-31

Family

ID=48173894

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110111562A KR101270041B1 (ko) 2011-10-28 2011-10-28 Arp 스푸핑 공격 탐지 시스템 및 방법

Country Status (3)

Country Link
US (2) US8782789B2 (ko)
KR (1) KR101270041B1 (ko)
CN (1) CN103095675B (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101517328B1 (ko) * 2014-02-18 2015-05-04 한양대학교 에리카산학협력단 Arp 스푸핑 탐지 장치 및 탐지 방법
WO2018186511A1 (ko) * 2017-04-06 2018-10-11 (주)노르마 사물 인터넷 네트워크에서의 에이알피 스푸핑 방지 시스템
CN111541721A (zh) * 2020-05-21 2020-08-14 四川英得赛克科技有限公司 应用于工业控制环境的攻击监测方法、系统

Families Citing this family (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10469556B2 (en) 2007-05-31 2019-11-05 Ooma, Inc. System and method for providing audio cues in operation of a VoIP service
US9118716B2 (en) * 2010-12-09 2015-08-25 Nec Corporation Computer system, controller and network monitoring method
KR101231975B1 (ko) * 2011-05-12 2013-02-08 (주)이스트소프트 차단서버를 이용한 스푸핑 공격 방어방법
US9386148B2 (en) 2013-09-23 2016-07-05 Ooma, Inc. Identifying and filtering incoming telephone calls to enhance privacy
PL3059926T3 (pl) * 2013-12-30 2018-01-31 Deutsche Telekom Ag Sposób rozpoznawania ataku Denial of Service w sieci komunikacyjnej
US9282115B1 (en) * 2014-01-03 2016-03-08 Juniper Networks, Inc. Systems and methods for detecting cache-poisoning attacks in networks using service discovery protocols
TWI506472B (zh) * 2014-03-12 2015-11-01 Hon Hai Prec Ind Co Ltd 網路設備及其防止位址解析協定報文攻擊的方法
US10769931B2 (en) 2014-05-20 2020-09-08 Ooma, Inc. Network jamming detection and remediation
US10553098B2 (en) 2014-05-20 2020-02-04 Ooma, Inc. Appliance device integration with alarm systems
US9633547B2 (en) 2014-05-20 2017-04-25 Ooma, Inc. Security monitoring and control
US11330100B2 (en) 2014-07-09 2022-05-10 Ooma, Inc. Server based intelligent personal assistant services
JP2016158011A (ja) * 2015-02-23 2016-09-01 ルネサスエレクトロニクス株式会社 配信制御装置、データ配信システム、配信制御方法及びプログラム
CN104735080B (zh) * 2015-04-03 2017-12-08 山东华软金盾软件股份有限公司 一种服务器ip保护方法和系统
US10771396B2 (en) 2015-05-08 2020-09-08 Ooma, Inc. Communications network failure detection and remediation
US11171875B2 (en) 2015-05-08 2021-11-09 Ooma, Inc. Systems and methods of communications network failure detection and remediation utilizing link probes
US10911368B2 (en) * 2015-05-08 2021-02-02 Ooma, Inc. Gateway address spoofing for alternate network utilization
US10009286B2 (en) 2015-05-08 2018-06-26 Ooma, Inc. Communications hub
CN105142150A (zh) * 2015-08-28 2015-12-09 广东电网有限责任公司信息中心 一种基于bs模式的无线设备漏洞扫描方法及系统
CN106130985B (zh) * 2016-06-24 2019-09-06 新华三技术有限公司 一种报文处理方法及装置
US10320838B2 (en) 2016-07-20 2019-06-11 Cisco Technology, Inc. Technologies for preventing man-in-the-middle attacks in software defined networks
CN107786499A (zh) * 2016-08-25 2018-03-09 大连楼兰科技股份有限公司 针对arp网关欺骗攻击的预警方法及装置
CN106790010B (zh) * 2016-12-13 2019-08-27 北京金山安全软件有限公司 基于Android系统的ARP攻击检测方法、装置及系统
US10326794B2 (en) * 2016-12-21 2019-06-18 Verisign, Inc. Anycast-based spoofed traffic detection and mitigation
JP6888437B2 (ja) * 2017-06-23 2021-06-16 住友電気工業株式会社 車載通信装置、通信制御方法および通信制御プログラム
CN108430063B (zh) * 2018-04-13 2021-11-19 上海尚往网络科技有限公司 一种用于监测无线局域网中arp欺骗的方法与设备
JP6923809B2 (ja) * 2018-08-23 2021-08-25 日本電信電話株式会社 通信制御システム、ネットワークコントローラ及びコンピュータプログラム
CN111526108B (zh) * 2019-02-01 2021-08-20 华为技术有限公司 防止网络攻击的方法与装置
CN109951459A (zh) * 2019-03-06 2019-06-28 山东信天辰信息安全技术有限公司 一种基于局域网的arp欺骗攻击检测方法
CN110022303B (zh) * 2019-03-07 2021-11-16 北京华安普特网络科技有限公司 Arp双向防御系统及方法
US11277442B2 (en) * 2019-04-05 2022-03-15 Cisco Technology, Inc. Verifying the trust-worthiness of ARP senders and receivers using attestation-based methods
CN113014530B (zh) * 2019-12-19 2023-06-13 中国航发上海商用航空发动机制造有限责任公司 Arp欺骗攻击防范方法及系统
CN112165483B (zh) * 2020-09-24 2022-09-09 Oppo(重庆)智能科技有限公司 一种arp攻击防御方法、装置、设备及存储介质
CN114338593B (zh) * 2021-12-23 2023-07-04 上海观安信息技术股份有限公司 利用地址解析协议进行网络扫描的行为检测方法及装置
CN115208606A (zh) * 2022-03-28 2022-10-18 深圳铸泰科技有限公司 一种网络安全防范的实现方法、系统及存储介质
CN116723059B (zh) * 2023-08-10 2023-10-20 湖南润科通信科技有限公司 一种针对网络信息的安全分析系统

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7234163B1 (en) * 2002-09-16 2007-06-19 Cisco Technology, Inc. Method and apparatus for preventing spoofing of network addresses
US7490351B1 (en) * 2003-03-12 2009-02-10 Occam Networks Controlling ARP traffic to enhance network security and scalability in TCP/IP networks
KR101099083B1 (ko) 2006-03-13 2011-12-26 (주)닥터소프트 네트워크 자원 관리 시스템 및 그 관리 방법
KR100807933B1 (ko) * 2006-11-28 2008-03-03 엘지노텔 주식회사 에이알피 스푸핑 감지 시스템 및 감지 방법과 그 방법이저장된 컴퓨터 판독가능 저장매체
CN101202742B (zh) * 2006-12-13 2011-10-26 中兴通讯股份有限公司 一种防止拒绝服务攻击的方法和系统
CN101094236B (zh) * 2007-07-20 2011-08-10 华为技术有限公司 地址解析协议报文处理方法及通讯系统及转发平面处理器

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101517328B1 (ko) * 2014-02-18 2015-05-04 한양대학교 에리카산학협력단 Arp 스푸핑 탐지 장치 및 탐지 방법
WO2018186511A1 (ko) * 2017-04-06 2018-10-11 (주)노르마 사물 인터넷 네트워크에서의 에이알피 스푸핑 방지 시스템
CN111541721A (zh) * 2020-05-21 2020-08-14 四川英得赛克科技有限公司 应用于工业控制环境的攻击监测方法、系统

Also Published As

Publication number Publication date
US20130111589A1 (en) 2013-05-02
CN103095675A (zh) 2013-05-08
US20150188942A1 (en) 2015-07-02
CN103095675B (zh) 2016-05-25
US8782789B2 (en) 2014-07-15
US9083716B1 (en) 2015-07-14
KR101270041B1 (ko) 2013-05-31

Similar Documents

Publication Publication Date Title
KR101270041B1 (ko) Arp 스푸핑 공격 탐지 시스템 및 방법
US8661544B2 (en) Detecting botnets
US7818786B2 (en) Apparatus and method for managing session state
US20060143709A1 (en) Network intrusion prevention
JP6138714B2 (ja) 通信装置および通信装置における通信制御方法
KR20120136506A (ko) 네임 기반의 네트워크 시스템에서 펜딩 테이블의 오버플로우를 방지하는 노드 장치 및 방법
Lu et al. An SDN-based authentication mechanism for securing neighbor discovery protocol in IPv6
WO2016031103A1 (ja) セキュリティシステム、セキュリティ方法、及びコンピュータ可読媒体
CN108574690B (zh) 一种缓解命名数据网络中内容毒害攻击的方法
US11368484B1 (en) Endpoint security mechanism to detect IP theft on a virtual machine mobility in switch fabric
CN102546587B (zh) 防止网关系统会话资源被恶意耗尽的方法及装置
CN111031077B (zh) 一种流量清洗方法、流量清洗系统和设备
EP2048813B1 (en) A method and device for realizing unicast reverse path check
KR101065800B1 (ko) 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체
JP2004248185A (ja) ネットワークベース分散型サービス拒否攻撃防御システムおよび通信装置
JP5509999B2 (ja) 不正接続防止装置及びプログラム
KR101188308B1 (ko) 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템 및 그 방법
KR100613904B1 (ko) 비정상 아이피 주소를 사용하는 네트워크 공격을 차단하는장치 및 그 방법
Trabelsi et al. On investigating ARP spoofing security solutions
KR101088868B1 (ko) 네트워크 스위치의 에이알피 패킷 처리 방법
KR102628441B1 (ko) 네트워크 보호 장치 및 그 방법
KR101750372B1 (ko) 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템 및 그 구동 방법
CN109729043A (zh) 阻止攻击消息的方法、装置和系统
JP5922622B2 (ja) 制御装置、通信システム、および、通信制御方法
Bae et al. An efficient detection of TCP Syn flood attacks with spoofed IP addresses

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160330

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170309

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180403

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190401

Year of fee payment: 7