KR20160002269A - Sdn 기반의 arp 스푸핑 탐지장치 및 그 방법 - Google Patents

Sdn 기반의 arp 스푸핑 탐지장치 및 그 방법 Download PDF

Info

Publication number
KR20160002269A
KR20160002269A KR1020140081379A KR20140081379A KR20160002269A KR 20160002269 A KR20160002269 A KR 20160002269A KR 1020140081379 A KR1020140081379 A KR 1020140081379A KR 20140081379 A KR20140081379 A KR 20140081379A KR 20160002269 A KR20160002269 A KR 20160002269A
Authority
KR
South Korea
Prior art keywords
arp
spoofing
packet
packet processing
response
Prior art date
Application number
KR1020140081379A
Other languages
English (en)
Inventor
신용윤
강세훈
곽지영
이병윤
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020140081379A priority Critical patent/KR20160002269A/ko
Publication of KR20160002269A publication Critical patent/KR20160002269A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/32Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 네트워크를 활용하는 단말에 대한 정보를 수집하고 수집된 정보를 바탕으로 ARP 스푸핑(Spoofing) 공격을 탐지하고 이에 알맞은 패킷 규칙으로 변경하는 장치 및 그 방법에 관한 것으로, ARP 스푸핑 탐지장치는 패킷처리규칙 생성부, 스푸핑 판단부, 스푸핑 대응부를 포함할 수 있으며, 이를 통해 네트워크를 구성하는 장치들에 대한 정보를 수집하고 이 정보와 네트워크에서 수집된 패킷에 대한 정보를 대응시켜 ARP 스푸핑 공격의 여부를 탐지하고, ARP 스푸핑 공격이 존재하는 경우 패킷처리규칙을 변경하여 원활한 네트워크 환경을 유지하는데 목적이 있다.

Description

SDN 기반의 ARP 스푸핑 탐지장치 및 그 방법{SDN-based ARP Spoofing Detection apparatus and method therefor}
본 발명은 SDN(Software Defined Networking) 기반의 ARP Spoofing 탐지장치 및 그 방법에 관한 것으로, 보다 구체적으로는 OPEN FLOW 네트워크를 활용하는 단말에 대한 정보를 수집하고 수집된 정보를 바탕으로 ARP 스푸핑(Spoofing) 공격을 탐지하여 이에 알맞은 패킷 규칙으로 변경하는 장치 및 그 방법에 관한 것이다.
ARP 스푸핑은 네트워크를 공격하기 위하여 ARP 응답(Reply) 패킷을 지속적으로 목적지로 보내어 사용자의 단말에 있는 ARP 캐쉬 테이블(Cache Table) 및 스위치의 라우팅 테이블(Routing Table)을 공격자의 의도대로 구성하는 것으로 ARP 프로토콜이 인증을 요구하지 않는 것을 활용하여 네트워크를 공격할 수 있다.
이러한 ARP 스푸핑을 방지하기 위한 종래의 기술들은 ARP에 대한 인증 또는 모니터링 분석을 활용하여 일반 사용자의 단말에서 주기적으로 ARP 스푸핑을 검사하거나 ARP 캐쉬 테이블을 정적으로 구성하는 방식을 사용하였다.
그러나 이러한 장치 및 방법으로 ARP 스푸핑 탐지를 위해서는 고가의 소프트웨어 및 하드웨어를 추가적으로 구매하여 기존 네트워크에 적용하여야 하는 방식으로 네트워크 유지, 보수, 관리 비용이 비약적으로 증가하게 된다.
본 발명은 OPEN FLOW 네트워크를 구성하는 장치들에 대한 정보를 수집하고 이 정보와 네트워크에서 수집된 패킷에 대한 정보를 대응시켜 ARP 스푸핑 공격의 여부를 탐지하고, ARP 스푸핑 공격이 존재하는 경우 패킷처리규칙을 변경하여 원활한 네트워크 환경을 유지하는데 목적이 있다.
본 발명의 SDN 기반의 ARP 스푸핑 탐지장치는 네트워크에 포함된 통신 장비들에 대한 장비 정보를 수집하고, ARP 패킷을 수집하여 패킷처리규칙을 생성하는 패킷처리규칙 생성부; 상기 생성한 패킷처리규칙에 대응하는 통신 장비에 대한 정보와 상기 패킷처리규칙의 정보를 이용하여 상기 통신장비 중 스푸핑을 유발할 우려가 있는 통신장비를 탐색하고, 상기 탐색된 통신장비의 ARP 요청과 ARP 응답을 대응함으로써 ARP 스푸핑 공격의 존재여부를 판단하는 스푸핑 판단부; 및 상기 스푸핑 판단부에서 ARP 스푸핑 공격이 존재한다고 판단되고 미리 설정한 시간 동안 연속적으로 통신장비가 ARP 응답 신호를 보내고 있는 경우 상기 ARP 스푸핑을 유발할 우려가 있는 탐색된 통신장비를 ARP 스푸핑 장비로 판단하여 패킷처리규칙을 변경하는 스푸핑 대응부를 포함할 수 있다.
본 발명의 일 실시 예에 따르면 상기 패킷처리규칙 생성부는, 네트워크에 포함되는 ARP 패킷을 송신 또는 수신 하는 통신장비의 정보를 수집하는 장비정보 수집부; 및 상기 통신장비로부터 전달된 ARP 규칙에 대한 정보를 포함한 ARP 패킷을 수신하여 ARP 패킷을 플루딩 하거나 드롭하는 패킷처리규칙을 생성하는 패킷 수집부를 더 포함할 수 있다.
본 발명의 일 실시 예에 따르면 상기 패킷 수집부는 상기 생성하는 패킷처리규칙은 ARP 패킷을 드롭하는 방법을 사용해 모든 ARP 패킷을 차단하여 ARP 스푸핑이 발생하지 못하게 하는 규칙, 모르는 ARP 패킷을 모두 플루딩하게 하는 규칙, 모든 ARP 패킷을 플루딩하게 하는 규칙 중 적어도 하나를 포함할 수 있다.
본 발명의 일 실시 예에 따르면 상기 스푸핑 판단부는, 만약 상기 패킷 수집부에서 생성된 패킷처리규칙에 ARP 패킷이 플루딩하는 내용이 포함되어 있다면, 상기 생성된 패킷처리규칙 및 상기 수집한 통신장비의 정보를 이용하여 상기 통신장비 중에서 ARP 스푸핑을 유발할 우려가 있는 통신장비를 탐색하는 장비 탐색부; 및
상기 장비 탐색부에서 탐색된 ARP 스푸핑을 유발할 우려가 있는 통신장비가 요청하는 ARP 요청 및 이에 대한 ARP 응답을 대응하여 ARP 스푸핑의 발생여부를 판단하는 스푸핑 탐지부를 더 포함할 수 있다.
본 발명의 일 실시 예에 따르면 상기 장비 탐색부는, 상기 스푸핑을 유발할 우려가 있는 통신장비의 탐색은 상기 생성된 패킷 규칙에 포함된 MAC 주소, IP 주소 및 수집한 통신장비에 포함된 MAC 주소, IP 주소 정보를 대응시켜 중복되는 주소가 존재하는 통신장비를 ARP 스푸핑을 유발할 우려가 있는 장치로 판단하여 탐색하거나, 상기 통신장비에서 요청하는 ARP 요청 및 그에 대한 ARP 응답을 대응하여 ARP 요청이 없이 ARP 응답만이 존재하는 통신장비 또는 ARP 응답의 목적지 주소가 일정치 않고 계속 바뀌는 통신장비를 ARP 스푸핑을 유발할 우려가 있는 통신장비로 판단하여 탐색할 수 있다.
본 발명의 일 실시 예에 따르면 상기 스푸핑 탐지부는, 상기 ARP 스푸핑의 발생여부를 상기 ARP 스푸핑을 유발할 우려가 있는 통신장비가 요청한 ARP 요청과 이에 대해 수신한 ARP 응답을 대응하는 방법을 사용하여, 만약 대응되는 경우에는 정상으로 판단하고, 상기 ARP 요청과 응답이 대응되지 않는 경우에는 비정상으로 판단하여 상기 비정상상태의 ARP 응답이 수신될 때 마다 그 횟수를 카운트하고 상기 횟수가 미리 설정된 횟수를 초과하게 되면 ARP 스푸핑이 발생한 것으로 판단할 수 있다.
본 발명의 일 실시 예에 따르면 상기 스푸핑 탐지부는, 상기 ARP 요청과 응답이 대응되지 않는 경우는 ARP 요청도 없이 ARP 응답이 수신되는 경우, ARP 응답이 유니캐스트가 아닌 브로드캐스트인 경우, ARP 요청이 브로드캐스트가 아닌 유니캐스트인 경우를 포함할 수 있다.
본 발명의 일 실시 예에 따르면 상기 스푸핑 대응부는, 상기 스푸핑 판단부에서 스푸핑이 발생하는 것으로 판단되는 경우 사용자 또는 관리자에게 상기 ARP 스푸핑을 유발할 우려가 있는 통신장비로 인해 스푸핑이 발생하였다는 경고 메시지를 생성하여 전송하는 경고 생성부; 및 상기 스푸핑 판단부에서 스푸핑이 발생하는 것으로 판단되는 경우 상기 ARP 스푸핑을 유발할 우려가 있는 통신장비를 APR 스푸핑 장치로 판단하고, 상기 APR 스푸핑 장치와 송수신하는 패킷들의 흐름을 통제하기 위하여 패킷처리규칙을 변경하는 규칙 변경부를 더 포함할 수 있다.
본 발명의 일 실시 예에 따르면 상기 규칙 변경부는, 상기 변경되는 패킷처리규칙은 규칙은 상기 APR 스푸핑 장치로 판단된 통신장비로부터 ARP 패킷을 송수신하지 않는 것을 특징으로 할 수 있다.
본 발명의 실시 예에 따르면 SDN 기반의 ARP 스푸핑 탐지방법는 네트워크에 포함된 통신 장비들에 대한 장비 정보의 수집하고, ARP 패킷을 수집하여 패킷처리규칙을 생성하는 단계; 상기 생성한 패킷처리규칙에 대응하는 통신 장비에 대한 정보와 상기 패킷처리규칙의 정보를 이용하여 상기 통신장비 중 스푸핑을 유발할 우려가 있는 통신장비를 탐색하고, 상기 탐색된 통신장비의 ARP 요청과 ARP 응답을 대응함으로써 ARP 스푸핑 공격의 존재여부를 판단하는 단계; 및 상기 ARP 스푸핑 공격이 존재한다고 판단되고 지속적으로 통신장비가 ARP 응답 신호를 보내고 있는 경우 상기 ARP 스푸핑을 유발할 우려가 있는 통신장비를 ARP 스푸핑 장비로 판단하여 패킷처리규칙을 변경하는 단계를 포함할 수 있다.
본 발명의 일 실시 예에 따르면 상기 패킷처리규칙을 생성하는 단계는, 네트워크에 포함되는 ARP 패킷을 송신 또는 수신 하는 통신장비의 정보를 수집하는 단계; 및 상기 통신장비로부터 전달된 ARP 규칙에 대한 정보를 포함한 ARP 패킷을 수신하여 ARP 패킷을 플루딩하거나 드롭하는 패킷처리규칙을 생성하는 단계를 더 포함할 수 있다.
본 발명의 일 실시 예에 따르면 상기 패킷처리규칙을 생성하는 단계는, 상기 생성하는 패킷처리규칙은 ARP 패킷을 드롭하는 방법을 사용해 모든 ARP 패킷을 차단하여 ARP 스푸핑이 발생하지 못하게 하는 규칙, 모르는 ARP 패킷을 모두 플루딩하게 하는 규칙, 모든 ARP 패킷을 플루딩하게 하는 규칙을 중 적어도 하나를 포함할 수 있다.
본 발명의 일 실시 예에 따르면 상기 ARP 스푸핑 공격의 존재여부를 판단하는 단계는, 만약 상기 생성된 패킷처리규칙에 ARP 패킷이 플루딩하는 내용이 포함되어 있다면, 상기 패킷처리규칙 및 상기 통신장비의 정보를 이용하여 상기 통신장비 중에서 ARP 스푸핑을 유발할 우려가 있는 통신장비를 탐색하는 단계; 및 상기 탐색된 통신장비가 요청하는 ARP 요청 및 이에 대한 ARP 응답을 대응하여 ARP 스푸핑의 발생여부를 판단하는 단계를 더 포함할 수 있다.
본 발명의 일 실시 예에 따르면 상기 통신장비를 탐색하는 단계는, 상기 스푸핑을 유발할 우려가 있는 통신장비의 탐색은 상기 생성된 패킷처리규칙에 포함된 MAC 주소, IP 주소 및 수집한 통신장비에 포함된 MAC 주소, IP 주소 정보를 대응시켜 중복되는 주소가 존재하는 통신장비를 ARP 스푸핑을 유발할 우려가 있는 장치로 판단하여 탐색하거나, 상기 통신장비에서 요청하는 ARP 요청 및 그에 대한 ARP 응답을 대응하여 ARP 요청이 없는 ARP 응답이 존재하는 통신장비 또는 ARP 응답의 목적지 주소가 일정치 않고 계속 바뀌는 통신장비를 ARP 스푸핑을 유발할 우려가 있는 통신장비로 판단하여 탐색할 수 있다.
본 발명의 일 실시 예에 따르면 상기 ARP 스푸핑의 발생여부를 판단하는 단계는, 상기 ARP 스푸핑의 발생여부를 상기 ARP 스푸핑을 유발할 우려가 있는 통신장비가 요청한 ARP 요청과 이에 대해 수신한 ARP 응답을 대응하는 방법을 사용하여 만약 대응되는 경우에는 정상으로 판단하고, 상기 ARP 요청과 응답이 대응되지 않는 경우에는 비정상으로 판단하며 상기 비정상상태의 ARP 응답이 수신될 때 마다 그 횟수를 카운트하여 미리 설정된 횟수를 초과하게 되면 ARP 스푸핑이 발생한 것으로 판단할 수 있다.
본 발명의 일 실시 예에 따르면 상기 ARP 스푸핑의 발생여부를 판단하는 단계는, 상기 ARP 요청과 응답이 대응되지 않는 경우는 ARP 요청도 없이 ARP 응답이 수신되는 경우, ARP 응답이 유니캐스트가 아닌 브로드캐스트인 경우, ARP 요청이 브로드캐스트가 아닌 유니캐스트인 경우를 포함할 수 있다.
본 발명의 일 실시 예에 따르면 상기 패킷처리규칙을 변경하는 단계는, 상기 스푸핑이 발생하는 것으로 판단되는 경우 사용자 또는 관리자에게 상기 ARP 스푸핑을 유발할 우려가 있는 통신장비로 인해 스푸핑이 발생하였다는 경고 메시지를 생성하여 전송하는 단계; 및 상기 스푸핑이 발생하는 것으로 판단되는 경우 상기 ARP 스푸핑을 유발할 우려가 있는 통신장비를 APR 스푸핑 장치로 판단하고, 상기 APR 스푸핑 장치와 송수신하는 패킷들의 흐름을 통제하기 위하여 패킷처리규칙을 변경하는 단계를 더 포함할 수 있다.
본 발명의 일 실시 예에 따르면 상기 패킷처리규칙을 변경하는 단계는, 상기 변경되는 패킷처리규칙은 규칙은 상기 APR 스푸핑 장치로 판단된 통신장비로부터 ARP 패킷을 송수신하지 않는 것을 특징으로 할 수 있다.
도 1은 본 발명의 실시 예에 따른 SDN 환경과 ARP 스푸핑 탐지장치의 관계를 나타낸 도면이다.
도 2는 본 발명의 실시 예에 따른 SDN 기반의 ARP 스푸핑 탐지장치의 구성도이다.
도 3은 도 2에 도시된 패킷 규칙 판단부의 세부 구성도이다.
도 4는 도 2에 도시된 스푸핑 판단부의 세부 구성도이다.
도 5는 도 2에 도시된 스푸핑 대응부의 세부 구성도이다.
도 6은 본 발명의 실시 예에 SDN 기반의 ARP 스푸핑 탐지방법을 나타낸 흐름도이다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
이하, 도면을 참조하여 본 발명의 실시 예에 따른 SDN 기반의 ARP 스푸핑 탐지장치 및 그 방법에 대하여 설명한다.
도 1은 본 발명의 실시 예에 따른 SDN 환경과 ARP 스푸핑 탐지장치(1000)의 관계를 나타낸 도면이다.
도 1을 참조하면 SDN 환경에 포함되는 SDN 컨트롤러(2000) 및 OPEN FLOW 스위치(3000)와 ARP 스푸핑 탐지장치(1000)의 관계를 알 수 있다.
OPEN FLOW 네트워크는 전송 평면(transport plane 또는 data plane)과 제어 평면(control plane)을 분리하고, 전송 평면은 패킷 전송에 필요한 모든 결정을 제어 평면에 질의하도록 구성될 수 있다.
이때 전송 평면에 설치하는 소프트웨어를 통해 네트워크 구성과 패킷 흐름을 중앙 집중식으로 제어할 수 있도록 제어 평면은 통상 SDN 컨트롤러(2000)를 통해, 전송 평면은 OPEN FLOW 스위치(3000)를 통해 그 역할을 수행하게 할 수 있다.
ARP 스푸핑 탐지장치(1000)는 본 발명의 실시 예에 따르면 SDN 컨트롤러(2000)에 포함 될 수 있으나 이제 한정되지 아니하고 가상장치화 되어 SDN 컨트롤러(2000)의 외부에 존재할 수도 있다.
ARP 스푸핑 탐지장치(1000)는 OPEN FLOW 스위치(3000)를 거쳐 SDN 컨트롤러(2000)로 향하는 사용자(USER)의 패킷을 수집하여 ARP 스푸핑 공격의 존재 여부를 탐지하고 이에 대해 대응할 수 있다.
ARP 스푸핑 공격의 존재 여부를 탐지방법에 대해서는 도 2를 참조하여 더 자세히 설명하도록 한다.
여기서 ARP 스푸핑(Address Resolution Protocol Spoofing)이란 주소 결정 프로토콜(ARP) 캐쉬 메모리를 변조시켜 공격 대상의 MAC 주소를 자신의 컴퓨터의 MAC 주소로 변경하면 모든 데이터가 자신의 컴퓨터로 모니터링이 가능한 공격 기법을 의미한다.
ARP 스푸핑은 네트워크의 서브넷 내에 침투해 ARP 위장 패킷으로 해당 서브넷 내의 PC들을 감염시키는 기법으로 어떤 시스템에 ARP 위장 기능을 가진 악성 코드가 설치되면 약간의 조작으로 동일 구역 내의 다른 시스템에 쉽게 악성 코드가 설치될 수 있다는 특징이 있다.
상술한 바와 같이 ARP 스푸핑은 ARP 프로토콜이 인증을 요구하지 않은 관계로 이를 악용하여 사용자의 ARP 캐쉬 및 OPEN FLOW 스위치(3000) 또는 SDN 컨트롤러를 공격자의 MAC 주소 및 IP로 변화시키는 것이므로 본 발명의 ARP 스푸핑 탐지장치(1000)는 전송 평면, 제어 평면을 소프트웨어를 통하여 제어로 ARP 스푸핑에 대한 탐지 및 대응을 목적으로 할 수 있다.
본 발명의 실시 예에 따르면 SDN 환경에 포함되는 패킷은 요청(Request) 또는 응답(Reply) 형식으로 구성되며 요청은 모든 스위치에 브로드캐스트(Broadcast)되며 이를 수신 받은 스위치는 자신과 연결된 모든 장치(호스트)에 ARP 요청을 전송할 수 있다.
여기서 브로트캐스트는 네트워크 내의 모든 주소에 동일 메시지를 보내는 통신형태를 의미한다.
이에 대한 응답은 응답 패킷의 수신으로 확인할 수 있는데 스위치로부터 전달받은 ARP 요청의 내용이 자기 자신인 경우 해당 장치(호스트)는 유니캐스트(unicast)를 하며 자기 자신이 아닌 경우 패킷을 버린다.
여기서 유니캐스트는 메시지의 수신 주소를 1개만 지정하는 1:1 통신 형태를 의미한다.
SDN 컨트롤러(2000)는 내부적으로 전송 평면 및 제어 평면에 대한 정보를 수집 및 가공할 수 있으므로 OPEN FLOW 스위치(3000)로부터 SDN 컨트롤러(2000)로 향하는 ARP에 대한 패킷을 수신하는 방법으로 ARP 스푸핑 공격을 탐지할 수 있다.
본 발명의 실시 예에 따르면 SDN 환경은 다음과 조건을 충족하여야 한다.
SDN 컨트롤러(2000)가 OPEN FLOW 스위치(3000)를 통하여 네트워크를 중앙 집중 관리하여야 한다.
또한 SDN 컨트롤러(2000)와 연결되는 단말에 대한 정보는 MAC 주소 및 IP 주소 등을 포함 하여야 한다.
상기 정보는 도 2를 참조하며 설명할 ARP 스푸핑 탐지장치(1000)에서 ARP 스푸핑 공격의 탐지를 위해 활용할 수 있다.
본 발명의 실시 예에 따르면 SDN 환경은 통신을 위하여 최초에 ARP 테이블을 구성할 수 있다.
또한 SDN 컨트롤러(2000)에서는 전송 및 제어 평면의 정보를 처리할 수 있기 때문에 ARP 스푸핑 탐지장치(1000)에서 ARP 스푸핑을 탐지하였다면 ARP 패킷 테이블을 수정하여 패킷처리규칙의 변경을 OPEN FLOW 스위치(3000)에 적용할 수 있다.
도 2는 본 발명의 실시 예에 SDN 기반의 ARP 스푸핑 탐지장치(1000)의 구성도이다.
도 2를 참조하면 SDN 기반의 ARP 스푸핑 탐지장치(1000)는 패킷처리규칙 생성부(100), 스푸핑 판단부(200), 스푸핑 대응부(300)을 포함할 수 있다.
패킷처리규칙 생성부(100)는 네트워크에 포함된 통신 장비들에 대한 장비 정보의 수집하고, ARP 패킷을 수집하여 패킷처리규칙을 생성할 수 있다.
스푸핑 판단부(200)는 패킷처리규칙 생성부(100)에서 생성한 패킷처리규칙에 대응하는 통신 장비에 대한 정보를 수집하고 상기 패킷처리규칙 및 상기 수집한 통신장비의 정보를 이용하여 상기ARP 통신장비 중 스푸핑을 유발할 우려가 있는 통신장비를 판단하여 탐색하고, 상기 탐색된 통신장비의 ARP 요청과 ARP 응답을 대응함으로써 ARP 스푸핑 공격의 존재여부를 판단할 수 있다.
ARP 스푸핑 유발할 우려가 있는 장비에 대한 탐색 및 ARP 스푸핑 공격의 존재여부를 판단방법에 대해서는 도 4를 참조하여 더 자세히 설명하도록 한다.
스푸핑 대응부(300)는 스푸핑 판단부(200)에서 ARP 스푸핑 공격이 존재한다고 판단되고 지속적으로 통신장비가 ARP 응답 신호를 보내고 있는 경우 상기 ARP 스푸핑을 유발할 우려가 있는 통신장비를 ARP 스푸핑 장비로 판단하여 패킷처리규칙을 변경할 수 있다.
여기서 패킷처리규칙의 변경에 대해서는 도 5를 참조하여 더 자세히 설명하도록 한다.
도 3은 도 2에 도시된 패킷처리규칙 생성부(100)의 세부 구성도이다.
도 3을 참조하면 패킷처리규칙 생성부(100)는 장비정보 수집부(110), 패킷 수집부(120)을 포함할 수 있다.
장비정보 수집부(110)는 네트워크에 포함되는 ARP 패킷을 송신 또는 수신 하는 통신장비의 정보를 수집할 수 있다.
본 발명의 실시 예에 따르면 ARP 스푸핑 탐지장치(1000)는 SDN 환경 내의 SDN 컨트롤러(2000)에 포함되므로 장비정보를 SDN 컨트롤러(2000)에서 수집할 수 있으나 이제 한정되지 아니하고, ARP 스푸핑 탐지장치(1000)가 SDN 컨트롤러(2000)의 외부에 따로 존재하는 경우에는 ARP 스푸핑 탐지장치(1000)가 독립적으로 장비정보를 수집할 수 있다.
네트워크 연결을 위해 ARP 패킷이 전송되면 ARP 스푸핑 탐지장치(1000)는 ARP 패킷을 전송하는 디바이스의 정보를 수집할 수 있고, 본 발명의 실시 예에 따르면 수집하는 통신장비에 대한 정보 중에 디바이스의 MAC 주소 및 IP 주소가 포함될 수 있다.
패킷 수집부(120)는 통신장비로부터 전달된 ARP 규칙에 대한 정보를 포함한 ARP 패킷을 수신하여 ARP 패킷을 플루딩 하거나 드롭하는 패킷처리규칙을 생성할 수 있다.
일 실시 예에 따르면 각 통신장비로부터 전달된 ARP 패킷은 네트워크 관리자 또는 사용자가 설정한 ARP 패킷의 규칙에 대한 정보를 가지고 전달되므로 이를 통해 ARP 패킷이 플루딩(Flooding), 즉 모든 통신장비에 흐르게 하여 ARP를 전송(broadcast)하는 규칙 또는 드롭(DROP), 즉 모든 ARP 패킷을 버려 모든 통신장비에 흐르지 못하게 하는 규칙 등을 생성할 수 있다.
본 발명의 SDN 기반의 오픈플로우 환경에서의 실시 예에 따르면 ARP 패킷에 대한 패킷처리규칙은 소프트웨어로 제어할 수 있으므로 상기 생성하는 패킷처리규칙은 ARP 패킷을 드롭하는 방법을 사용해 모든 ARP 패킷을 차단하여 ARP 스푸핑이 발생하지 못하게 하는 규칙, 모르는 ARP 패킷을 모두 플루딩(flooding)하게 하는 규칙, 모든 ARP 패킷을 플루딩하게 하는 규칙으로 크게 3가지 유형으로 생성 할 수 있다.
또한 상기 규칙 중 적어도 하나를 패킷처리규칙으로 적용할 수 있다.
본 발명의 실시 예에 따르면 패킷 수집부(120)는 ARP 패킷을 수집하여 상술한 세가지 패킷처리규칙 중 하나를 생성하여 그에 따라 패킷을 플루딩 할 수 있으나 이에 한정되지 아니하며 ARP 패킷의 흐름에 따른 규칙이라면 제한 없이 사용될 수 있다.
도 4는 도 2에 도시된 스푸핑 판단부(200)의 세부 구성도이다.
도 4를 참조하면 스푸핑 판단부(200)는 장비 탐색부(210), 스푸핑 탐지부(220)를 포함할 수 있다.
장비 탐색부(210)는 패킷 수집부(120)에서 만약 생성된 패킷처리규칙에 ARP 패킷이 플루딩하는 내용이 포함되어 있다면, MAC 주소, IP 주소가 중복되거나 ARP요청없는 ARP 응답 또는 ARP 응답의 목적지 주소가 계속 변경되는 ARP 스푸핑을 유발할 우려가 있는 통신장비를 탐색할 수 있다.
여기서 ARP 스푸핑을 유발할 우려가 있는 통신장비는 일 실시 예에 따르면 생성된 패킷 규칙에 포함된 MAC 주소, IP 주소 및 SDN 컨트롤러가 수집한 통신장비에 포함된 MAC 주소, IP 주소 정보를 대응시켜 중복되는 주소가 존재하는 통신장비를 ARP 스푸핑을 유발할 우려가 있는 통신장비로 판단 할 수 있다
여기서 통신장비는 OPEN FLOW 스위치(3000), 게이트웨이, 기타 통신 장비 등 SDN 환경을 구성하는 모든 장치를 의미한다
그러나 상기 실시 예와 같은 방법으로 ARP 스푸핑을 유발할 우려가 있는 통신장비를 탐색하는 경우 탐색 대상이 되는 통신장비들의 수가 늘어날수록 다수의 통신장비에 대해 IP 및 MAC 주소의 중복여부 탐색하여야 하므로 탐색에 소요되는 연산능력 및 시간이 증가하게 된다.
그러므로 또 다른 실시 예에 따르면 바로 통신장비에서 요청하는 ARP 요청 및 그에 대한 ARP 응답을 대응하여 ARP 요청이 없으나 ARP 응답이 존재하는 통신장비 또는 ARP 응답의 목적지 주소가 일정치 않고 계속 바뀌는 통신장비를 ARP 스푸핑을 유발할 우려가 있는 통신장비로 판단하고 탐색하는 방법을 사용할 수 있다.
ARP 스푸핑의 탐지의 대상이 될 ARP 스푸핑을 유발할 우려가 있는 통신장비를 판단하고 탐색하는 방법은 상술한 방법에 한정되지 아니하고 제한 없이 사용될 수 있다.
스푸핑 탐지부(220)는 장비 탐색부(210)에서 탐색된 ARP 스푸핑을 유발할 우려가 있는 통신장비가 요청하는 ARP 요청 및 이에 대한 ARP 응답을 대응하여 ARP 스푸핑의 발생여부를 판단할 수 있다.
여기서 ARP 스푸핑의 발생여부를 판단하는 것은 탐색된 통신장비가 요청한 ARP 요청과 이에 대해 수신할 ARP 응답을 대응하는 방법을 사용하여 만약 대응되는 경우에는 정상으로 판단할 수 있다.
반면에 ARP 요청도 없이 ARP 응답이 수신되는 경우 등과 같이 ARP 요청과 응답이 대응되지 않는 경우에는 비정상으로 판단하여 ARP 응답이 수신될 때 마다 그 횟수를 카운트 할 수 있다.
여기서 ARP 요청도 없이 ARP 응답이 수신되는 경우 이외에 ARP 요청과 응답이 대응되지 않아 비정상으로 판단되는 또 다른 예를 들면 ARP 응답이 유니캐스트가 아닌 브로드캐스트인 경우, ARP 요청이 브로드캐스트가 아닌 유니캐스트인 경우를 포함할 수 있다.
또한 본 발명의 실시 예에 따르면 ARP 스푸핑의 발생여부를 ARP 스푸핑을 유발할 우려가 있는 통신장비가 요청한 ARP 요청과 이에 대해 수신한 ARP 응답을 대응하는 방법을 사용하여 만약 대응되는 경우에는 정상으로 판단하고, ARP 요청과 응답이 대응되지 않는 경우에는 비정상으로 판단하며 비정상상태의 ARP 응답이 수신될 때 마다 그 횟수를 카운트하여 사용자 또는 관리자가 미리 설정된 횟수를 초과하게 되면 ARP 스푸핑이 발생한 것으로 판단할 수 있다.
도 5는 도 2에 도시된 스푸핑 대응부(300)의 세부 구성도이다.
도 5를 참조하면 스푸핑 대응부(300)는 경고 생성부(310), 규칙 변경부(320)를 포함할 수 있다.
경고 생성부(310)는 스푸핑 판단부(200)에서 스푸핑이 발생하는 것으로 판단되는 경우 사용자 또는 관리자에게 상기 ARP 스푸핑을 유발할 우려가 있는 통신장비로 인해 스푸핑이 발생하였다는 경고 메시지를 생성하여 전송할 수 있다.
경고 메시지는 텍스트, 음성, 소리, 이미지 등의 형식을 가지고 있으며, 경고에 대한 정보를 전달할 수 있다면 다양한 형식으로 제한 없이 사용될 수 있다.
규칙 변경부(320)는 스푸핑 판단부(200)에서 스푸핑이 발생하는 것으로 판단되는 경우 상기 ARP 스푸핑을 유발할 우려가 있는 통신장비를 APR 스푸핑 장치로 판단하고, 상기 APR 스푸핑 장치와 송수신하는 패킷들의 흐름을 통제하기 위하여 패킷처리규칙을 변경할 수 있다.
여기서 패킷 규칙은 APR 스푸핑 장치로 판단된 통신장비로부터 ARP 패킷을 송수신하지 않는 규칙으로 생성 및 적용되어 기존의 패킷처리규칙을 변경할 수 있다.
도 6는 본 발명의 실시 예에 SDN 기반의 ARP 스푸핑 탐지 복구방법을 나타낸 흐름도이다.
도 6을 참조하면 SDN 환경에 포함되는 ARP 패킷을 전송 또는 수신 하는 통신장비의 정보를 수집한다(610).
네트워크 연결을 위해 ARP 패킷이 전송되면 ARP 스푸핑 탐지장치(1000)는 ARP 패킷을 전송하는 디바이스의 정보를 수집할 수 있고, 본 발명의 실시 예에 따르면 수집하는 통신장비에 대한 정보 중 디바이스의 MAC 주소 및 IP 주소가 포함될 수 있다.
각 통신장비로부터 전달된 ARP 규칙에 대한 정보를 포함한 ARP 패킷을 수신하여 ARP 패킷의 처리에 대한 패킷처리규칙을 생성한다(620).
본 발명의 실시 예에 따르면 생성된 패킷처리규칙은 ARP 패킷을 드롭하는 방법을 사용해 모든 ARP 패킷을 차단하여 ARP 스푸핑이 발생하지 못하게 하는 규칙, 모르는 ARP 패킷을 모두 흐르게 하는 규칙, 모든 ARP 패킷을 흐르게 하는 규칙 중 적어도 하나를 포함할 수 있다.
일 실시 예에 따르면 각 통신장비로부터 전달된 ARP 패킷은 네트워크 관리자 또는 사용자가 설정한 ARP 패킷의 규칙에 대한 정보를 가지고 전달되므로 이를 통해 ARP 패킷이 플루딩, 즉 모든 통신장비에 흐르게 하여 ARP를 전송(broadcast)하는 규칙 또는 드롭, 즉 모든 ARP 패킷을 버려 모든 통신장비에 흐르지 못하게 하는 규칙 등을 생성할 수 있다.
생성된 패킷처리규칙에 ARP 패킷이 흐르는 내용이 포함되어 있다면 수집된 SDN 환경에 포함된 통신장비에 대한 정보와 생성된 패킷처리규칙의 정보를 대응시켜 통신장비 중에서 ARP 스푸핑을 유발할 우려가 있는 통신장비를 탐색한다(630).
여기서 ARP 스푸핑을 유발할 우려가 있는 통신장비를 탐색하는 것은 일 실시 예에 따르면 생성된 패킷 규칙에 포함된 MAC 주소, IP 주소 및 수집한 통신장비에 포함된 MAC 주소, IP 주소 정보를 대응시켜 중복되는 주소가 존재하는 통신장비를 ARP 스푸핑을 유발할 우려가 있는 장치로 탐색하는 방법을 사용할 수 있다.
그러나 상기 실시 예와 같은 방법으로 ARP 스푸핑을 유발할 우려가 있는 통신장비를 탐색하는 경우 탐색 대상이 되는 통신장비들의 수가 늘어날수록 다수의 통신장비에 대해 IP 및 MAC 주소의 중복여부 탐색하여야 하므로 탐색에 소요되는 연산능력 및 시간이 증가하게 된다.
그러므로 또 다른 실시 예에 따르면 바로 통신장비에서 요청하는 ARP 요청 및 그에 대한 ARP 응답을 대응하여 ARP 요청이 없는 ARP 응답이 존재하는 통신장비 또는 ARP 응답의 목적지 주소가 일정치 않고 계속 바뀌는 통신장비를 탐색하여 ARP 스푸핑을 유발할 우려가 있는 통신장비를 탐색하는 방법을 사용할 수 있다.
그러나 ARP 스푸핑의 탐지의 대상이 될 ARP 스푸핑을 유발할 우려가 있는 통신장비를 탐색하는 방법은 상술한 방법에 한정되지 아니하고 제한 없이 사용될 수 있다.
만약 여기서 ARP 스푸핑을 유발할 우려가 있는 통신장비가 탐색되지 않으면 ARP 스푸핑 탐지를 종료하고, 탐색이 된다면 다음단계로 넘어간다.
ARP 스푸핑을 유발할 우려가 있는 통신장비가 탐색된다면 탐색됨 ARP 스푸핑을 유발할 우려가 있는 통신장비가 요청하는 ARP 요청 및 이에 대한 ARP 응답 정보를 수신하고 이응 대응하여 ARP 스푸핑의 발생여부를 판단한다(640).
여기서 ARP 스푸핑의 발생여부를 판단하는 것은 탐색된 통신장비가 요청한 ARP 요청과 이에 대해 수신할 ARP 응답을 대응하여 만약 대응되는 경우에는 정상으로 판단하고, ARP 요청도 없이 ARP 응답이 수신되는 경우 등과 같이 ARP 요정과 응답이 대응되지 않는 경우에는 비정상으로 판단하여 ARP 응답이 수신될 때 마다 그 횟수를 카운트 할 수 있다.
여기서 ARP 요청과 응답이 대응되지 않아 비정상으로 판단되는 또 다른 예를 들면 ARP 응답이 유니캐스트가 아닌 브로드캐스트인 경우, ARP 요청이 브로트캐스트가 아닌 유니캐스트인 경우를 포함할 수 있다.
상술한 것과 같이 비정상으로 수신된 ARP 응답을 카운트하여, 그 카운트가 사용자 및 관리자가 미리 설정한 일정한 횟수를 초과하게 되면 해당 통신장비를 통해 ARP 스푸핑이 발생한 것으로 판단할 수 있다.
만약 여기서 ARP 스푸핑이 발생한 것으로 판단되지 않은 경우 ARP 스푸핑 탐지를 종료하고, 발생한 것으로 판단 된다면 다음단계로 넘어간다.
스푸핑 판단부(200)에서 해당 통신장비로 인해 스푸핑이 발생하는 것으로 판단되는 경우 사용자 또는 관리자에게 해당 통신장비로 인해 스푸핑이 발생하였다는 경고 메시지를 생성하여 전송한다(650).
경고 메시지는 텍스트, 음성, 소리, 이미지 등의 형식을 가지고 있으며, 경고에 대한 정보를 전달할 수 있다면 다양한 형식으로 제한 없이 사용될 수 있다.
해당 통신장비로 인해 스푸핑이 발생하는 것으로 판단되는 경우 해당 통신장비를 APR 스푸핑 장치로 판단하고, APR 스푸핑 장치로부터 송수신하는 패킷들의 흐름을 통제하기 위하여 새로운 패킷처리규칙을 생성함으로써 기존의 패킷처리규칙을 변경한다(660).
여기서 패킷 규칙은 APR 스푸핑 장치로 판단된 통신장비로부터 ARP 패킷을 송수신하지 않는 규칙으로 생성 및 적용되어 기존의 패킷처리규칙을 변경할 수 있다.
본 발명의 실시 예는 이상에서 설명한 장치 및/또는 방법을 통해서만 구현이 되는 것은 아니며, 이상에서 본 발명의 실시 예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.
100 : 패킷처리규칙 생성부 110 : 장비정보 수집부
120 : 패킷 수집부 200 : 스푸핑 판단부
210 : 장비 탐색부 220 : 스푸핑 탐지부
300 : 스푸핑 대응부 310 : 경고 생성부
320 : 규칙 변경부 1000 : ARP 스푸핑 탐지장치
2000 : SDN 컨트롤러 3000 : OPEN FLOW 스위치

Claims (18)

  1. 네트워크에 포함된 통신 장비들에 대한 장비 정보를 수집하고, ARP 패킷을 수집하여 패킷처리규칙을 생성하는 패킷처리규칙 생성부;
    상기 생성한 패킷처리규칙에 대응하는 통신 장비에 대한 정보와 상기 패킷처리규칙의 정보를 이용하여 상기 통신장비 중 스푸핑을 유발할 우려가 있는 통신장비를 탐색하고, 상기 탐색된 통신장비의 ARP 요청과 ARP 응답을 대응함으로써 ARP 스푸핑 공격의 존재여부를 판단하는 스푸핑 판단부; 및
    상기 스푸핑 판단부에서 ARP 스푸핑 공격이 존재한다고 판단되고 미리 설정한 시간 동안 연속적으로 통신장비가 ARP 응답 신호를 보내고 있는 경우 상기 ARP 스푸핑을 유발할 우려가 있는 탐색된 통신장비를 ARP 스푸핑 장비로 판단하여 패킷처리규칙을 변경하는 스푸핑 대응부를 포함하는 것을 특징으로 하는 SDN 기반의 ARP 스푸핑 탐지장치.
  2. 제 1 항에 있어서 상기 패킷처리규칙 생성부는,
    네트워크에 포함되는 ARP 패킷을 송신 또는 수신 하는 통신장비의 정보를 수집하는 장비정보 수집부; 및
    상기 통신장비로부터 전달된 ARP 규칙에 대한 정보를 포함한 ARP 패킷을 수신하여 ARP 패킷을 플루딩 하거나 드롭하는 패킷처리규칙을 생성하는 패킷 수집부를 더 포함하는 것을 특징으로 하는 SDN 기반의 ARP 스푸핑 탐지장치.
  3. 제 2 항에 있어서 상기 패킷 수집부는,
    상기 생성하는 패킷처리규칙은 ARP 패킷을 드롭하는 방법을 사용해 모든 ARP 패킷을 차단하여 ARP 스푸핑이 발생하지 못하게 하는 규칙, 모르는 ARP 패킷을 모두 플루딩하게 하는 규칙, 모든 ARP 패킷을 플루딩하게 하는 규칙 중 적어도 하나를 포함하는 것을 특징으로 하는 SDN 기반의 ARP 스푸핑 탐지장치.
  4. 제 1 항에 있어서 상기 스푸핑 판단부는,
    만약 상기 패킷 수집부에서 생성된 패킷처리규칙에 ARP 패킷이 플루딩하는 내용이 포함되어 있다면, 상기 생성된 패킷처리규칙 및 상기 수집한 통신장비의 정보를 이용하여 상기 통신장비 중에서 ARP 스푸핑을 유발할 우려가 있는 통신장비를 탐색하는 장비 탐색부; 및
    상기 장비 탐색부에서 탐색된 ARP 스푸핑을 유발할 우려가 있는 통신장비가 요청하는 ARP 요청 및 이에 대한 ARP 응답을 대응하여 ARP 스푸핑의 발생여부를 판단하는 스푸핑 탐지부를 더 포함하는 것을 특징으로 하는 SDN 기반의 ARP 스푸핑 탐지장치.
  5. 제 4 항에 있어서 상기 장비 탐색부는,
    상기 스푸핑을 유발할 우려가 있는 통신장비의 탐색은 상기 생성된 패킷 규칙에 포함된 MAC 주소, IP 주소 및 수집한 통신장비에 포함된 MAC 주소, IP 주소 정보를 대응시켜 중복되는 주소가 존재하는 통신장비를 ARP 스푸핑을 유발할 우려가 있는 장치로 판단하여 탐색하거나, 상기 통신장비에서 요청하는 ARP 요청 및 그에 대한 ARP 응답을 대응하여 ARP 요청이 없이 ARP 응답만이 존재하는 통신장비 또는 ARP 응답의 목적지 주소가 일정치 않고 계속 바뀌는 통신장비를 ARP 스푸핑을 유발할 우려가 있는 통신장비로 판단하여 탐색하는 것을 특징으로 하는 SDN 기반의 ARP 스푸핑 탐지장치.
  6. 제 4 항에 있어서 상기 스푸핑 탐지부는,
    상기 ARP 스푸핑의 발생여부를 상기 ARP 스푸핑을 유발할 우려가 있는 통신장비가 요청한 ARP 요청과 이에 대해 수신한 ARP 응답을 대응하는 방법을 사용하여, 만약 대응되는 경우에는 정상으로 판단하고, 상기 ARP 요청과 응답이 대응되지 않는 경우에는 비정상으로 판단하여 상기 비정상상태의 ARP 응답이 수신될 때 마다 그 횟수를 카운트하고 상기 횟수가 미리 설정된 횟수를 초과하게 되면 ARP 스푸핑이 발생한 것으로 판단하는 것을 특징으로 하는 SDN 기반의 ARP 스푸핑 탐지장치.
  7. 제 6 항에 있어서 상기 스푸핑 탐지부는,
    상기 ARP 요청과 응답이 대응되지 않는 경우는 ARP 요청도 없이 ARP 응답이 수신되는 경우, ARP 응답이 유니캐스트가 아닌 브로드캐스트인 경우, ARP 요청이 브로드캐스트가 아닌 유니캐스트인 경우를 포함하는 것을 특징으로 하는 SDN 기반의 ARP 스푸핑 탐지장치.
  8. 제 1 항에 있어서 상기 스푸핑 대응부는,
    상기 스푸핑 판단부에서 스푸핑이 발생하는 것으로 판단되는 경우 사용자 또는 관리자에게 상기 ARP 스푸핑을 유발할 우려가 있는 통신장비로 인해 스푸핑이 발생하였다는 경고 메시지를 생성하여 전송하는 경고 생성부; 및
    상기 스푸핑 판단부에서 스푸핑이 발생하는 것으로 판단되는 경우 상기 ARP 스푸핑을 유발할 우려가 있는 통신장비를 APR 스푸핑 장치로 판단하고, 상기 APR 스푸핑 장치와 송수신하는 패킷들의 흐름을 통제하기 위하여 패킷처리규칙을 변경하는 규칙 변경부를 더 포함하는 것을 특징으로 하는 SDN 기반의 ARP 스푸핑 탐지장치.
  9. 제 8 항에 있어서 상기 규칙 변경부는,
    상기 변경되는 패킷처리규칙은 규칙은 상기 APR 스푸핑 장치로 판단된 통신장비로부터 ARP 패킷을 송수신하지 않는 것을 특징으로 하는 SDN 기반의 ARP 스푸핑 탐지장치.
  10. 네트워크에 포함된 통신 장비들에 대한 장비 정보의 수집하고, ARP 패킷을 수집하여 패킷처리규칙을 생성하는 단계;
    상기 생성한 패킷처리규칙에 대응하는 통신 장비에 대한 정보와 상기 패킷처리규칙의 정보를 이용하여 상기 통신장비 중 스푸핑을 유발할 우려가 있는 통신장비를 탐색하고, 상기 탐색된 통신장비의 ARP 요청과 ARP 응답을 대응함으로써 ARP 스푸핑 공격의 존재여부를 판단하는 단계; 및
    상기 ARP 스푸핑 공격이 존재한다고 판단되고 지속적으로 통신장비가 ARP 응답 신호를 보내고 있는 경우 상기 ARP 스푸핑을 유발할 우려가 있는 통신장비를 ARP 스푸핑 장비로 판단하여 패킷처리규칙을 변경하는 단계를 포함하는 것을 특징으로 하는 SDN 기반의 ARP 스푸핑 탐지방법.
  11. 제 10 항에 있어서 상기 패킷처리규칙을 생성하는 단계는,
    네트워크에 포함되는 ARP 패킷을 송신 또는 수신 하는 통신장비의 정보를 수집하는 단계; 및
    상기 통신장비로부터 전달된 ARP 규칙에 대한 정보를 포함한 ARP 패킷을 수신하여 ARP 패킷을 플루딩하거나 드롭하는 패킷처리규칙을 생성하는 단계를 더 포함하는 것을 특징으로 하는 SDN 기반의 ARP 스푸핑 탐지방법.
  12. 제 11 항에 있어서 상기 패킷처리규칙을 생성하는 단계는,
    상기 생성하는 패킷처리규칙은 ARP 패킷을 드롭하는 방법을 사용해 모든 ARP 패킷을 차단하여 ARP 스푸핑이 발생하지 못하게 하는 규칙, 모르는 ARP 패킷을 모두 플루딩하게 하는 규칙, 모든 ARP 패킷을 플루딩하게 하는 규칙을 중 적어도 하나를 포함하는 것을 특징으로 하는 SDN 기반의 ARP 스푸핑 탐지방법.
  13. 제 10 항에 있어서 상기 ARP 스푸핑 공격의 존재여부를 판단하는 단계는,
    만약 상기 생성된 패킷처리규칙에 ARP 패킷이 플루딩하는 내용이 포함되어 있다면, 상기 패킷처리규칙 및 상기 통신장비의 정보를 이용하여 상기 통신장비 중에서 ARP 스푸핑을 유발할 우려가 있는 통신장비를 탐색하는 단계; 및
    상기 탐색된 통신장비가 요청하는 ARP 요청 및 이에 대한 ARP 응답을 대응하여 ARP 스푸핑의 발생여부를 판단하는 단계를 더 포함하는 것을 특징으로 하는 SDN 기반의 ARP 스푸핑 탐지방법.
  14. 제 13 항에 있어서 상기 통신장비를 탐색하는 단계는,
    상기 스푸핑을 유발할 우려가 있는 통신장비의 탐색은 상기 생성된 패킷처리규칙에 포함된 MAC 주소, IP 주소 및 수집한 통신장비에 포함된 MAC 주소, IP 주소 정보를 대응시켜 중복되는 주소가 존재하는 통신장비를 ARP 스푸핑을 유발할 우려가 있는 장치로 판단하여 탐색하거나, 상기 통신장비에서 요청하는 ARP 요청 및 그에 대한 ARP 응답을 대응하여 ARP 요청이 없는 ARP 응답이 존재하는 통신장비 또는 ARP 응답의 목적지 주소가 일정치 않고 계속 바뀌는 통신장비를 ARP 스푸핑을 유발할 우려가 있는 통신장비로 판단하여 탐색하는 것을 특징으로 하는 SDN 기반의 ARP 스푸핑 탐지방법.
  15. 제 13 항에 있어서 상기 ARP 스푸핑의 발생여부를 판단하는 단계는,
    상기 ARP 스푸핑의 발생여부를 상기 ARP 스푸핑을 유발할 우려가 있는 통신장비가 요청한 ARP 요청과 이에 대해 수신한 ARP 응답을 대응하는 방법을 사용하여 만약 대응되는 경우에는 정상으로 판단하고, 상기 ARP 요청과 응답이 대응되지 않는 경우에는 비정상으로 판단하며 상기 비정상상태의 ARP 응답이 수신될 때 마다 그 횟수를 카운트하여 미리 설정된 횟수를 초과하게 되면 ARP 스푸핑이 발생한 것으로 판단하는 것을 특징으로 하는 SDN 기반의 ARP 스푸핑 탐지방법.
  16. 제 15 항에 있어서 상기 ARP 스푸핑의 발생여부를 판단하는 단계는,
    상기 ARP 요청과 응답이 대응되지 않는 경우는 ARP 요청도 없이 ARP 응답이 수신되는 경우, ARP 응답이 유니캐스트가 아닌 브로드캐스트인 경우, ARP 요청이 브로드캐스트가 아닌 유니캐스트인 경우를 포함하는 것을 특징으로 하는 SDN 기반의 ARP 스푸핑 탐지방법.
  17. 제 10 항에 있어서 상기 패킷처리규칙을 변경하는 단계는,
    상기 스푸핑이 발생하는 것으로 판단되는 경우 사용자 또는 관리자에게 상기 ARP 스푸핑을 유발할 우려가 있는 통신장비로 인해 스푸핑이 발생하였다는 경고 메시지를 생성하여 전송하는 단계; 및
    상기 스푸핑이 발생하는 것으로 판단되는 경우 상기 ARP 스푸핑을 유발할 우려가 있는 통신장비를 APR 스푸핑 장치로 판단하고, 상기 APR 스푸핑 장치와 송수신하는 패킷들의 흐름을 통제하기 위하여 패킷처리규칙을 변경하는 단계를 더 포함하는 것을 특징으로 하는 SDN 기반의 ARP 스푸핑 탐지방법.
  18. 제 17 항에 있어서 상기 패킷처리규칙을 변경하는 단계는,
    상기 변경되는 패킷처리규칙은 규칙은 상기 APR 스푸핑 장치로 판단된 통신장비로부터 ARP 패킷을 송수신하지 않는 것을 특징으로 하는 SDN 기반의 ARP 스푸핑 탐지방법.
KR1020140081379A 2014-06-30 2014-06-30 Sdn 기반의 arp 스푸핑 탐지장치 및 그 방법 KR20160002269A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140081379A KR20160002269A (ko) 2014-06-30 2014-06-30 Sdn 기반의 arp 스푸핑 탐지장치 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140081379A KR20160002269A (ko) 2014-06-30 2014-06-30 Sdn 기반의 arp 스푸핑 탐지장치 및 그 방법

Publications (1)

Publication Number Publication Date
KR20160002269A true KR20160002269A (ko) 2016-01-07

Family

ID=55168950

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140081379A KR20160002269A (ko) 2014-06-30 2014-06-30 Sdn 기반의 arp 스푸핑 탐지장치 및 그 방법

Country Status (1)

Country Link
KR (1) KR20160002269A (ko)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180000100A (ko) * 2016-06-22 2018-01-02 (주)유미테크 Sdn 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템
CN107786499A (zh) * 2016-08-25 2018-03-09 大连楼兰科技股份有限公司 针对arp网关欺骗攻击的预警方法及装置
KR20180045214A (ko) * 2016-10-25 2018-05-04 숭실대학교산학협력단 호스트 추적 서비스에 대한 공격을 방지할 수 있는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러
KR102114484B1 (ko) * 2019-02-28 2020-05-22 아토리서치(주) 소프트웨어 정의 네트워크에서 네트워크 접근을 제어하는 방법, 장치 및 컴퓨터 프로그램
EP3944582A4 (en) * 2019-03-20 2022-04-27 New H3C Technologies Co., Ltd. MONITORING AN ABNORMAL HOST
US11570208B2 (en) 2019-02-01 2023-01-31 Samsung Electronics Co., Ltd. Electronic device and control method thereof
KR20230045815A (ko) * 2021-09-29 2023-04-05 숭실대학교산학협력단 네트워크 공격탐지시스템

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180000100A (ko) * 2016-06-22 2018-01-02 (주)유미테크 Sdn 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템
CN107786499A (zh) * 2016-08-25 2018-03-09 大连楼兰科技股份有限公司 针对arp网关欺骗攻击的预警方法及装置
KR20180045214A (ko) * 2016-10-25 2018-05-04 숭실대학교산학협력단 호스트 추적 서비스에 대한 공격을 방지할 수 있는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러
US11570208B2 (en) 2019-02-01 2023-01-31 Samsung Electronics Co., Ltd. Electronic device and control method thereof
KR102114484B1 (ko) * 2019-02-28 2020-05-22 아토리서치(주) 소프트웨어 정의 네트워크에서 네트워크 접근을 제어하는 방법, 장치 및 컴퓨터 프로그램
EP3944582A4 (en) * 2019-03-20 2022-04-27 New H3C Technologies Co., Ltd. MONITORING AN ABNORMAL HOST
JP2022525205A (ja) * 2019-03-20 2022-05-11 新華三技術有限公司 異常ホストのモニタニング
KR20230045815A (ko) * 2021-09-29 2023-04-05 숭실대학교산학협력단 네트워크 공격탐지시스템

Similar Documents

Publication Publication Date Title
US10560280B2 (en) Network security analysis for smart appliances
US11153336B2 (en) Network security analysis for smart appliances
KR20160002269A (ko) Sdn 기반의 arp 스푸핑 탐지장치 및 그 방법
CN110249603B (zh) 用于检测无线网络中的分布式攻击的方法和装置
CN108063765B (zh) 适于解决网络安全的sdn系统
US20060256729A1 (en) Method and apparatus for identifying and disabling worms in communication networks
KR20180041952A (ko) DDoS 공격이 탐지가 가능한 소프트웨어 정의 네트워크 및 이에 포함되는 스위치
KR20170020309A (ko) 센서 네트워크 게이트웨이
KR100807933B1 (ko) 에이알피 스푸핑 감지 시스템 및 감지 방법과 그 방법이저장된 컴퓨터 판독가능 저장매체
JP2006352669A (ja) 攻撃検知・防御システム
KR20060097036A (ko) 서비스 불능 공격 검지 시스템 및 서비스 불능 공격 검지방법
US20170208083A1 (en) Network management device at network edge
CA2983429C (en) Network security analysis for smart appliances
KR20170017867A (ko) 라우팅 정보의 유지
Wang et al. Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks
WO2006004556A1 (en) Traffic redirection attack protection method and system
JP6834768B2 (ja) 攻撃検知方法、攻撃検知プログラムおよび中継装置
KR101887544B1 (ko) Sdn 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템
CN106453367B (zh) 一种基于sdn的防地址扫描攻击的方法及系统
US20140211614A1 (en) Methods and systems for providing redundancy in data network communications
US20180212982A1 (en) Network system, network controller, and network control method
US20110141899A1 (en) Network access apparatus and method for monitoring and controlling traffic using operation, administration, and maintenance (oam) packet in internet protocol (ip) network
KR20170109949A (ko) 동적 네트워크 환경에서의 네트워크 보안 강화 방법 및 장치
CN107835188A (zh) 一种基于sdn的设备安全接入方法及系统
CN108769055A (zh) 一种虚假源ip检测方法及装置

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination