KR20190076313A - Arp 스푸핑 탐지 시스템 및 방법 - Google Patents

Arp 스푸핑 탐지 시스템 및 방법 Download PDF

Info

Publication number
KR20190076313A
KR20190076313A KR1020170178010A KR20170178010A KR20190076313A KR 20190076313 A KR20190076313 A KR 20190076313A KR 1020170178010 A KR1020170178010 A KR 1020170178010A KR 20170178010 A KR20170178010 A KR 20170178010A KR 20190076313 A KR20190076313 A KR 20190076313A
Authority
KR
South Korea
Prior art keywords
arp
response
connection
attacker
connection confirmation
Prior art date
Application number
KR1020170178010A
Other languages
English (en)
Inventor
정현철
송창녕
안효진
Original Assignee
(주)노르마
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)노르마 filed Critical (주)노르마
Priority to KR1020170178010A priority Critical patent/KR20190076313A/ko
Priority to CN201811497383.2A priority patent/CN109962906A/zh
Publication of KR20190076313A publication Critical patent/KR20190076313A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

일 실시예에 따르면, 피공격자가 AP에 연결된 모든 디바이스에게 접속확인 신호를 송신하고 상기 접속확인 신호에 대한 응답을 수신하는 송수신 단계; 및
상기 접속확인 신호에 대한 응답을 분석하여, 동일한 MAC 주소를 가지는 디바이스들이 발견되는 경우, ARP 스푸핑이 발생한 것으로 판단하는 단계;를 포함하는 것인, ARP 스푸핑 탐지 방법이 개시된다. 이로써, ARP 스푸핑 공격자를 판별할 수 있는 장점이 있다.

Description

ARP 스푸핑 탐지 시스템 및 방법{SYSTEM AND METHOD FOR DETECTING ARP SPOOFING}
본 발명은 ARP 스푸핑 탐지 시스템 및 방법에 관한 것으로, 보다 상세하게는 접속확인 신호를 송수신한 결과 피공격 디바이스의 ARP 테이블에 변조된 엑세스포인트(AP)의 MAC 주소와 동일한 MAC 주소를 가지는 디바이스가 발견되는 경우 ARP 스푸핑이 발생한 것으로 판단하는 것이 가능한 ARP 스푸핑 탐지 시스템 및 방법에 관한 것이다.
주소 결정 프로토콜(Address Resolution Protocol, ARP ):
주소 결정 프로토콜(Address Resolution Protocol: ARP)은 네트워크 상에서 IP 주소를 물리적 네트워크 주소(MAC Address)로 대응(bind)시키기 위해 사용되는 프로토콜이다. 여기서 물리적 네트워크 주소는 이더넷 또는 토큰링의 48 비트 네트워크 카드 주소를 뜻한다.
이를테면, IP 호스트 A가 IP 호스트 B에게 IP 패킷을 전송하려고 할 때 IP 호스트 B의 물리적 네트워크 주소(MAC Address)를 모른다면, ARP 프로토콜을 사용하여 목적지 IP 주소 B와 브로드캐스팅 물리적 네트워크 주소 FFFFFFFFFFFF를 가지는 ARP 패킷을 네트워크 상에 전송한다. IP 호스트 B는 자신의 IP 주소가 목적지에 있는 ARP 패킷을 수신하면 자신의 물리적 네트워크 주소를 A에게 응답한다.
이와 같은 방식으로 수집된 IP 주소와 이에 해당하는 물리적 네트워크 주소(MAC) 정보는 각 IP 호스트의 ARP 캐시라 불리는 메모리에 테이블 형태로 저장된 다음, 패킷을 전송할 때에 다시 사용된다
ARP Spoofing:
ARP 스푸핑(ARP spoofing)은 근거리 통신망(LAN) 하에서 주소 결정 프로토콜(ARP) 메시지를 이용하여 상대방의 데이터 패킷을 중간에서 가로채는 중간자 공격 기법이다. 이 공격은 데이터 링크 상의 프로토콜인 ARP 프로토콜을 이용하기 때문에 근거리상의 통신에서만 사용할 수 있는 공격이다.
이 기법을 사용한 공격의 경우 특별한 이상 증상이 쉽게 나타나지 않기 때문에 사용자는 특별한 도구를 사용하지 않는 이상 쉽게 자신이 공격당하고 있다는 사실을 확인하기 힘들다.
로컬 영역 네트워크에서 각 장비의 IP 주소와 MAC 주소간의 대응은 ARP 프로토콜을 통해 이루어진다. 이때 공격자가 의도적으로 특정 IP 주소와 자신의 MAC 주소로 대응하는 ARP 메시지를 발송하면, 그 메시지를 받은 장비는 IP 주소를 공격자 MAC 주소로 인식하게 되고, 해당 IP 주소로 보낼 패킷을 공격자로 전송하게 된다. 이 때 공격자는 그 패킷을 원하는 대로 변조한 다음 원래 목적지 MAC 주소로 발송하는 공격을 할 수도 있다.
흔히 사용되는 공격 방식은 게이트웨이 IP를 스푸핑하는 것으로, 이 경우 외부로 전송되는 모든 패킷이 공격자에 의해 가로채거나 변조될 수 있다. 또는, 두 노드에 각각 ARP 스푸핑을 하여 두 장비의 통신을 중간에서 조작하는 기법도 자주 사용된다.
본 발명의 실시예에 따르면 ARP 스푸핑 공격의 용이한 탐지 및 탐지의 정확성을 향상시키는 ARP 스푸핑 탐지 시스템 및 방법이 제공된다.
본 발명의 일 실시예에 따르면,
피공격자가 AP에 연결된 모든 디바이스에게 접속확인 신호를 송신하고 상기 접속확인 신호에 대한 응답을 수신하는 송수신 단계; 및
상기 접속확인 신호에 대한 응답을 분석하여, 동일한 MAC 주소를 가지는 디바이스들이 발견되는 경우, ARP 스푸핑이 발생한 것으로 판단하는 단계;를 포함하는 것인, ARP 스푸핑 탐지 방법이 제공될 수 있다.
본 발명의 다른 실시예에 따르면,
AP에 접속되어 있는 하나 이상의 디바이스를 확인하는 접속확인 모듈과;
상기 AP에 연결된 모든 디바이스에게 접속확인 신호를 송신하고 상기 접속확인 신호에 대한 응답을 수신하는 패킷송수신 모듈과;
송신 패킷을 생성하고, 수신된 패킷에서 필요 정보를 분석하는 패킷처리 모듈과;
상기 접속확인 신호에 대한 응답이 반영된 ARP 테이블을 점검하여 ARP 스푸핑의 발생 여부를 확인하는 공격탐지 모듈을 포함하여 구성되는 ARP 스푸핑 탐지 시스템에 있어서,
상기 공격탐지 모듈은,
상기 ARP 테이블에 AP의 MAC 주소와 동일한 MAC 주소를 가지는 디바이스가 발견되는 경우, ARP 스푸핑이 발생한 것으로 판단하는 것인, ARP 스푸핑 탐지 시스템이 제공될 수 있다.
본 발명의 하나 이상의 실시예에 의하면, ARP 스푸핑의 탐지를 위하여 별도의 ARP 패킷의 분석과 같은 추가 작업을 진행하지 않고, 디바이스에서 ARP 캐쉬 테이블 확인만을 통해 쉽고 정확하게 ARP 스푸핑 공격 여부를 판단할 수 있는 기술적인 효과가 발휘된다.
도 1은, ARP 스푸핑 공격이 이루어지기 전의 정상 상태를 보여주는 도면이다.
도 2 및 도 3은, ARP 스푸핑 공격이 발생한 이후의 상태를 보여주는 도면이다.
도 4는, 접속 확인 요청(Ping) 패킷 요청 이후의 상태를 보여주는 도면이다.
도 5는, 본 발명의 일실시예에 따른 ARP 스푸핑 탐지 시스템의 블록도이다.
도 6은, 본 발명의 일실시예에 따른 ARP 스푸핑 탐지 방법을 도시한 순서도이다.
이하, 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시 할 수 있도록 상세히 설명한다.
본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 동일 또는 유사한 구성요소에 대해서는 동일한 참조부호를 붙였다. 또한, 도면에서 나타난 각 구성의 크기 및 두께는 설명의 편의를 위해 임의로 나타내었으므로, 본 발명이 반드시 도시된 바에 한정되지 않는다.
본 발명에 있어서 "~상에"라 함은 대상부재의 위 또는 아래에 위치함을 의미하는 것이며, 반드시 중력방향을 기준으로 상부에 위치하는 것을 의미하는 것은 아니다. 또한, 명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예들을 상세히 설명하기로 하며, 도면을 참조하여 설명할 때 동일하거나 대응하는 구성 요소는 동일한 도면부호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.
용어의 정의
본원 명세서에서 ‘AP’(access point)는 컴퓨터 네트워크에서 유선 또는 무선 장치들을 유선장치들에 연결할 수 있게 하는 장치를 의미한다. AP의 예를 들면, WAP(wireless access point)가 있고, WAP는 무선 장치들을 유선장치들에 연결할 수 있게 하는 장치이다.
또한, 본원 명세서에서 ‘피공격자’는 AP에 연결되어 있는 장치로서 ARP Spoofing 의 대상이 되는 장치를 의미하고 ‘공격자’는 ARP Spoofing을 하고 있거나 시도할 예정인 장치를 의미하며, 여기서 ‘장치’는 예를 들면 PC(Personal Computer), 스마트폰, 스마트 워치, 태블릿 PC, PDA 폰, 또는 노트북 등과 같은 것일 수 있고, 스마트폰은 PC와 같은 기능과 더불어 고급 기능을 제공하는 휴대 전화를 의미하고, 스마트워치는 일반 시계보다 향상된 기능들을 장착하고 있는 임베디드 시스템 손목 시계를 의미하며, 태블릿 PC는 터치 스크린을 주 입력 장치로 장착한 휴대용 PC(퍼스널 컴퓨터)이고, PDA폰은 이동통신모듈이 구비된 PDA(PDA, Personal Digital Assistant)(개인정보단말기)를 의미한다.
또한, 본원 명세서에서, ‘하드웨어’는, 프로그램 및 데이터를 기록하고 읽을 수 있는 컴퓨터로 읽을 수 있는 기록 매체(예를 들면, 메모리, 하드디스크(HDD), SDD), 컴퓨터 프로세서, 입출력 장치들(키보드, 마우스, 모니터 등)을 포함할 수 있다.
[제1 실시예 ] - MAC 주소 정보 대응
일반적인 상황에서 피공격자가 AP에 연결되었다면 피공격자의 ARP 캐쉬 테이블에는 접속된 AP의 IP(Internet protocol: IP) 주소와 MAC(Media Access Control: MAC) 주소가 저장된다.
하지만 공격자가 ARP spoofing을 위해 AP의 MAC 주소를 가장하고 ARP 패킷을 피공격자에게 보낸다면 피공격자의 ARP 테이블에 AP의 IP 주소와 공격자의 MAC 주소가 대응(bind)되어 저장된다.
본 실시예에 따르면, 피공격자는 AP에 연결된 모든 디바이스들에게 접속 확인 요청(ping)패킷을 보내며, 이러한 접속 확인 요청 패킷에 대하여 공격자도 응답을 하게 되고 피공격자의 ARP 캐쉬 테이블에는 공격자의 IP 주소와 MAC 주소가 저장된다.
피공격자는 피공격자의 ARP 캐쉬 테이블에서 AP의 MAC 주소와 같은 MAC 주소를 가진 디바이스가 있다면 그 디바이스를 ARP 공격자로 판단할 수 있다.
[제2 실시예 ] - AP 주소 정보 대응
일반적인 상황에서 피공격자가 AP에 연결되었다면 피공격자의 ARP 테이블에는 접속된 AP 정보가 저장된다.
하지만 공격자가 ARP spoofing을 위해 AP의 주소 정보를 가장하고 ARP 패킷을 피공격자에게 보낸다면 피공격자의 ARP 테이블에는 AP의 주소 정보가 공격자의 주소정보로 변조되어 저장된다.
본 실시예에 따르면, 피공격자는 AP에 연결된 모든 디바이스들에게 접속 확인 요청(ping)패킷을 보내며, 이러한 접속 확인 요청 패킷에 대하여 공격자도 응답을 하게 되고 피공격자의 ARP 캐쉬 테이블에는 공격자의 실제 정보가 저장된다.
피공격자는 피공격자의 ARP 테이블에서 변조된 AP 주소 정보와 같은 주소 정보를 가진 타 디바이스가 정보 발견된다면 ARP 공격으로 판단할 수 있다.
이하에서 본 발명의 실시예들의 예시적인 구성을 도면을 참조하여 설명한다.
도 1은, ARP 스푸핑 공격이 이루어지기 전의 정상 상태를 보여주는 도면이다.
도면 1에 도시된 바와 같이 피공격자가 AP(IP 주소: 192.168.12.1, MAC 주소: AAAAAAAAAAAA )에 접속하게 되면 피공격자의 ARP table에는 AP의 정보가 저장된다.
도 2 및 도 3은, ARP 스푸핑 공격이 발생한 이후의 상태를 보여주는 도면이다.
도 2에 도시된 바와 같이 공격자가 AP로 가장하고 MAC 정보만 변경하여(IP 주소: 192.168.12.1, MAC 주소: BBBBBBBBBBBB) ARP Spoofing 공격을 상기 피공격 디바이스에게 가하게 되면 피공격자의 ARP table에서는 AP의 MAC 정보가 변조되어 저장된다.
이 후 도면 3에 도시된 바와 같이 피공격자는 공격자를 AP로 인지하게 되고 공격자를 통해 AP와 통신하게 된다.
도 4는, 접속 확인 요청(Ping) 패킷 요청 이후의 상태를 보여주는 도면이다.
도 4를 참조하면, 본 실시예에에 따른 피공격자는 ARP Spoofing 공격을 당한 상황에서 피공격자와 같은 AP에 연결되어 있는 기기들에게 접속 확인 요청 패킷을 보낸다. 접속 확인 요청 패킷을 수신한 기기들은 기기의 정보들이 담긴 응답 패킷을 피공격자에게 보낸다. 이 때 공격자도 피공격자게 ARP Spoofing 공격 패킷이 아닌 실제 자기의 정보가 담긴 패킷 (IP 주소: 192.168.12.13, MAC 주소: BBBBBBBBBBBB )을 송신한다.
이후 피공격자는 ARP table에서 변조된 AP MAC 정보와 같은 주소 MAC 정보를 가진 타 디바이스가 발견된다면 ARP 공격이 있는 것으로 판단하고 공격자를 선별할 수 있다. 예를 들면, 피공격자는 AP MAC 정보와 같은 주소 MAC 정보를 가진 타 디바이스를 공격자로 판단한다.
도 5는, 본 발명의 일실시예에 따른 ARP 스푸핑 탐지 시스템의 블록도이다. 도 5를 참조하면, 본 발명의 일실시예에 따른 ARP 스푸핑 탐지 시스템(100)은 접속 확인 모듈(110), 패킷 송수신 모듈(120), 패킷 처리 모듈(130), 및 공격 탐지 모듈(140)을 포함할 수 있다.
접속 확인 모듈(110)은 AP에 접속되어 있는 하나 이상의 디바이스를 확인한다. 피공격자가 AP에 접속되어 있는 경우, 접속 확인 모듈(110)은 AP에 접속되어 있는 하나 이상의 디바이스를 확인한다.
패킷송수신 모듈(120)은 AP에 접속되어 있는 하나 이상의 디바이스에 패킷을 송수신한다. 피공격 디바이스가 AP에 접속되어 있는 경우, 패킷송수신 모듈(120)은 AP에 접속되어 있는 하나 이상의 디바이스에 패킷을 송수신한다.
패킷처리 모듈(130)은 송신 패킷을 생성하고, 수신된 패킷에서 필요 정보를 분석한다. 피공격 디바이스가 AP에 접속되어 있는 경우에도 마찬가지이다.
패킷처리 모듈(130)은, 또한, 수신된 패킷(접속확인 신호에 대한 응답)을 피공격자의 ARP 테이블에 반영하여 저장한다.
공격탐지 모듈(140)은 ARP 테이블을 점검하여 ARP 스푸핑의 발생 여부를 확인한다. 예를 들면, 공격탐지 모듈(140)은 AP와 AP에 연결된 모든 디바이스들에게 접속확인 신호를 송수신한 결과가 반영된 피공격 디바이스의 ARP 테이블에서 AP의 MAC 주소와 동일한 MAC 주소를 가지는 디바이스가 발견되는 경우, ARP 스푸핑이 발생한 것으로 판단하고 공격자를 선별한다. 여기서, 공격자를 선별하는 동작은 AP와 동일한 MAC 주소를 가진 디바이스를 공격자로 선별하는 동작일 수 있다.
본 실시예와 후술할 실시예들에서 접속확인 신호는, 현재 접속 중인 디바이스의 연결상태를 확인하기 위한 네트워크 스캐닝 신호로서, ICMP echo request와 ICMP echo request에 대한 응답메시지인 ICMP echo reply를 포함할 수 있다.
또한, 본 실시예와 후술할 실시예들에서 접속확인 신호는, 사용자 선택에 따라 일정한 주기 또는 랜덤한 주기에 따라 송수신될 수 있다. 또한, 접속확인 신호는, 패킷 통신량이 미리 설정한 임계값을 초과하거나 또는 시스템의 속도가 미리 설정한 임계값에 미달하는 경우, 송수신될 수 있다.
한편, 본 실시예와 후술할 실시예들에서, 피공격자는, 접속확인 신호를, 피공격 디바이스가 새로운 네트워크(즉, 새로운 AP)에 접속할 경우 새로운 AP에 접속된 다른 모든 디바이스들에게 송신하고, 접속확인 신호에 대한 응답을 수신한다.
접속 확인 요청 (ping) 패킷의 원래 목적은 해당 주소와의 연결 상태를 확인하기 위하여 종단과 종단까지의 신호 패킷을 보내 목적지에 도착해서 다시 돌아오는 것을 확인하는 것이다. 따라서 접속 확인 요청 (ping) 패킷의 경우, 상대방의 연결 상태 및 주소를 모르더라도 AP에 접속된 기기의 정보 확인이 가능하다.
본 발명의 일실시예에 따르면, 피공격자가 자신이 접속한 AP에 접속되어 있는 모든 디바이스들에게 접속 확인 요청(ICMP)을 보내고, 모든 디바이스들은 그에 해당하는 ICMP응답패킷을 보내오게 된다. 한편, ICMP에는 IP 주소와 MAC 주소가 저장되어 있으므로, 이를 이용해 피공격자는 AP에 접속된 모든 디바이스들의 IP 주소와 MAC 주소를 알 수 있게 된다. 따라서 공격자가 위조 또는 변조를 하여 자신의 IP 주소와 MAC 주소를 변경하였다면, 하나의 MAC 주소에 대응되는 IP 주소가 두 개 존재하게 되며 이를 통해 스푸핑 공격을 판별할 수 있는 장점이 있다.
도 6은, 본 발명의 일실시예에 따른 ARP 스푸핑 탐지 방법을 도시한 순서도이다.
도 6을 참조하면, 본 발명의 일실시예에 따른 ARP 스푸핑 탐지 방법은 피공격자가 접속된 AP의 정보를 피공격자의 ARP 테이블에 저장하는 단계(S100), 피공격자가 AP와 AP에 연결된 모든 디바이스들에게 접속확인 신호를 송신하고 접속확인 신호에 대한 응답을 수신하는 단계(S200), 접속확인 신호에 응답을 분석하여 동일한 MAC 주소를 가진 디바이스가 있는지 확인하는 단계(S300), 및 단계 S300의 수행결과 동일한 MAC 주소를 가진 디바이스가 존재할 경우에는 ARP 스푸핑이 발생한 것으로 판단하는 단계(S400)을 포함할 수 있다. 한편 단계 S300의 수행 결과, 동일한 MAC 주소가 발견되지 않은 경우, S200 단계를 다시 수행할 수 있다.
단계 S200에서, 접속확인 신호는, 현재 접속 중인 디바이스의 연결상태를 확인하기 위한 네트워크 스캐닝 신호로서, ICMP echo request와 ICMP echo request에 대한 응답메시지인 ICMP echo reply를 포함할 수 있다.
또한, 본 실시예에서, 접속확인 신호는, 사용자 선택에 따라 일정한 주기 또는 랜덤한 주기에 따라 송수신될 수 있다. 또한, 접속확인 신호는, 패킷 통신량이 미리 설정한 임계값을 초과하거나 또는 시스템의 속도가 미리 설정한 임계값에 미달하는 경우, 송수신될 수 있다.
또한, 본 실시예에서, 피공격 디바이스가 새로운 네트워크(즉, 새로운 AP)에 접속할 경우 새로운 AP에 접속된 다른 모든 디바이스들과 AP에게 접속확인 신호를 송신하고, 접속확인 신호에 대한 응답을 수신한다.
단계 S400는, 단계 S300의 수행결과 동일한 MAC 주소를 가진 디바이스가 존재할 경우에 ARP 스푸핑이 발생한 것으로 판단하는 동작과, 동일한 MAC 주소를 가진 디바이스 중 공격자를 선별하는 동작을 포함할 수 있다. 여기서, 공격자를 선별하는 동작은 AP와 동일한 MAC 주소를 가진 디바이스를 공격자로 선별하는 동작일 수 있다.
도 6의 대안적 실시예에 따르면, 본 발명의 일실시예에 따른 ARP 스푸핑 탐지 방법은 피공격자가 접속된 AP의 정보를 피공격자의 ARP 테이블에 저장하는 단계, 피공격자가 AP와 AP에 연결된 모든 디바이스들에게 접속확인 신호를 송신하고 접속확인 신호에 대한 응답을 수신하는 단계, 접속확인 신호에 대한 응답을 피공격자의 ARP에 반영하여 저장하는 단계; 접속확인신호에 응답이 반영된 ARP를 분석하여 동일한 MAC 주소를 가진 디바이스가 있는지 확인하는 단계, 및 확인하는 단계의 수행결과 동일한 MAC 주소를 가진 디바이스가 존재할 경우에는 ARP 스푸핑이 발생한 것으로 판단하는 단계를 포함할 수 있다.
도 6을 참조하여 설명한 실시예 및 대안적 실시예를 구성하는 각 단계에 대한 상세한 설명은 도 1 내지 도 4의 설명을 참조하기 바란다.
본 발명에 따른 방법을 구성하는 단계들에 대하여 명백하게 순서를 기재하거나 반하는 기재가 없다면, 상기 단계들은 적당한 순서로 행해질 수 있다. 반드시 상기 단계들의 기재 순서에 따라 본 발명이 한정되는 것은 아니다. 본 발명에서 모든 예들 또는 예시적인 용어(예들 들어, 등등)의 사용은 단순히 본 발명을 상세히 설명하기 위한 것으로서 특허청구범위에 의해 한정되지 않는 이상 상기 예들 또는 예시적인 용어로 인해 본 발명의 범위가 한정되는 것은 아니다. 또한, 당업자는 다양한 수정, 조합 및 변경이 부가된 특허청구범위 또는 그 균등물의 범주 내에서 설계 조건 및 펙터(factor)에 따라 구성될 수 있음을 알 수 있다.
본 명세서에서는 본 발명을 한정된 실시예를 중심으로 설명하였으나, 본 발명의 범위 내에서 다양한 실시예가 가능하다. 또한 설명되지는 않았으나, 균등한 수단도 또한 본 발명에 그대로 결합되는 것이라 할 것이다. 따라서 본 발명의 진정한 보호범위는 아래의 특허청구범위에 의하여 정해져야 할 것이다.
100 : ARP 스푸핑 탐지 시스템 110 : 접속확인 모듈
120 : 패킷 송수신 모듈 130 : 패킷처리 모듈
140 : 공격탐지 모듈

Claims (12)

  1. 피공격자가 AP에 연결된 모든 디바이스들에게 접속확인 신호를 송신하고 상기 접속확인 신호에 대한 응답을 수신하는 송수신 단계; 및
    상기 접속확인 신호에 대한 응답을 분석하여, 동일한 MAC 주소를 가지는 디바이스들이 발견되는 경우, ARP 스푸핑이 발생한 것으로 판단하는 단계;를 포함하는 것인, ARP 스푸핑 탐지 방법.
  2. 제1항에 있어서,
    상기 송수신 단계는, 피공격자가 AP 및 AP에 연결된 모든 디바이스에게 접속확인 신호를 송신하고 상기 접속확인 신호에 대한 응답을 수신하는 단계인 것인, ARP 스푸핑 탐지 방법.
  3. 제 1 항 또는 제 2 항에 있어서,
    상기 접속확인 신호는,
    AP 접속 중인 디바이스의 연결상태를 확인하기 위한 네트워크 스캐닝 신호로서, ICMP echo request와 상기 ICMP echo request에 대한 응답메시지인 ICMP echo reply를 포함하는 것인, ARP 스푸핑 탐지 방법.
  4. 제 1 항 또는 제 2 항에 있어서,
    상기 접속확인 신호는,
    사용자 선택에 따라 일정한 주기 또는 랜덤한 주기에 따라 송신되는 것인, ARP 스푸핑 탐지 방법.
  5. 제 1 항 또는 제 2 항에 있어서,
    상기 접속확인 신호는,
    패킷 통신량이 미리 설정한 임계값을 초과하거나 또는 시스템의 속도가 미리 설정한 임계값에 미달하는 경우 송신되는 것인, ARP 스푸핑 탐지 방법.
  6. 제 1 항 또는 제 2 항에 있어서,
    상기 송수신단계는
    상기 피공격 디바이스가 새로운 AP에 접속하는 경우 상기 새로운 AP에 접속된 모든 디바이스들에게 접속확인 신호를 송신하는 단계인 것인, ARP 스푸핑 탐지 방법.
  7. 제 1 항 또는 제 2 항에 있어서,
    상기 접속확인 신호에 대한 응답을 상기 피공격자의 ARP 테이블에 반영하여 저장하는 단계;를 더 포함하며,
    상기 판단하는 단계는 상기 접속확인 신호에 대한 응답이 반영된 상기 ARP 테이블을 분석하여 동일한 MAC 주소를 가지는 디바이스들이 발견되는 경우, ARP 스푸핑이 발생한 것으로 판단하는 단계인 것인, ARP 스푸핑 탐지 방법.
  8. 제7항에 있어서,
    상기 판단하는 단계는
    상기 접속확인 신호에 대한 응답이 반영된 상기 ARP 테이블에서, AP와 동일한 MAC 주소를 가진 디바이스를 공격자로 선별하는 동작을 포함하는 것인, ARP 스푸핑 탐지 방법.
  9. AP에 접속되어 있는 하나 이상의 디바이스를 확인하는 접속확인 모듈과;
    상기 AP에 연결된 모든 디바이스에게 접속확인 신호를 송신하고 상기 접속확인 신호에 대한 응답을 수신하는 패킷송수신 모듈과;
    송신 패킷을 생성하고, 수신된 패킷에서 필요 정보를 분석하는 패킷처리 모듈과;
    상기 접속확인 신호에 대한 응답이 반영된 ARP 테이블을 점검하여 ARP 스푸핑의 발생 여부를 확인하는 공격탐지 모듈을 포함하여 구성되는 ARP 스푸핑 탐지 시스템에 있어서,
    상기 공격탐지 모듈은,
    상기 ARP 테이블에 AP의 MAC 주소와 동일한 MAC 주소를 가지는 디바이스가 발견되는 경우, ARP 스푸핑이 발생한 것으로 판단하는 것인, ARP 스푸핑 탐지 시스템.
  10. 제 9 항에 있어서
    상기 패킷송수신 모듈은, AP 및 AP에 연결된 모든 디바이스에게 접속확인 신호를 송신하고 상기 접속확인 신호에 대한 응답을 수신하는 것인, ARP 스푸핑 탐지 시스템.
  11. 제 9 항 또는 제 10 항에 있어서,
    상기 접속확인 신호는,
    현재 접속 중인 디바이스의 연결상태를 확인하기 위한 네트워크 스캐닝 신호로서, ICMP echo request와 상기 ICMP echo request에 대한 응답메시지인 ICMP echo reply를 포함하는 것인, ARP 스푸핑 탐지 시스템.
  12. 제 9 항 또는 제 10 항에 있어서,
    상기 패킷송수신 모듈은,
    새로운 AP에 접속하는 경우, 상기 새로운 AP에 접속된 모든 디바이스들에게 상기 접속확인 신호를 송신하고 송신된 상기 접속확인 신호에 대한 응답을 수신하는 것인, ARP 스푸핑 탐지 시스템.
KR1020170178010A 2017-12-22 2017-12-22 Arp 스푸핑 탐지 시스템 및 방법 KR20190076313A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020170178010A KR20190076313A (ko) 2017-12-22 2017-12-22 Arp 스푸핑 탐지 시스템 및 방법
CN201811497383.2A CN109962906A (zh) 2017-12-22 2018-12-07 Arp欺骗探测系统及其方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170178010A KR20190076313A (ko) 2017-12-22 2017-12-22 Arp 스푸핑 탐지 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR20190076313A true KR20190076313A (ko) 2019-07-02

Family

ID=67023318

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170178010A KR20190076313A (ko) 2017-12-22 2017-12-22 Arp 스푸핑 탐지 시스템 및 방법

Country Status (2)

Country Link
KR (1) KR20190076313A (ko)
CN (1) CN109962906A (ko)

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010041788A1 (en) * 2008-10-10 2010-04-15 Plustech Inc. A method for neutralizing the arp spoofing attack by using counterfeit mac addresses
JP4672780B2 (ja) * 2009-03-18 2011-04-20 株式会社東芝 ネットワーク監視装置及びネットワーク監視方法
CN104363243A (zh) * 2014-11-27 2015-02-18 福建星网锐捷网络有限公司 一种防网关欺骗的方法及装置
CN104883360B (zh) * 2015-05-05 2018-05-18 中国科学院信息工程研究所 一种arp欺骗的细粒度检测方法及系统
CN111093198B (zh) * 2015-07-23 2023-04-28 中移(杭州)信息技术有限公司 无线局域网数据发送方法及其装置
CN106506531A (zh) * 2016-12-06 2017-03-15 杭州迪普科技股份有限公司 Arp攻击报文的防御方法及装置
CN107438068B (zh) * 2017-07-04 2019-12-06 杭州迪普科技股份有限公司 一种防arp攻击的方法及装置

Also Published As

Publication number Publication date
CN109962906A (zh) 2019-07-02

Similar Documents

Publication Publication Date Title
US8434141B2 (en) System for preventing normal user being blocked in network address translation (NAT) based web service and method for controlling the same
KR101010465B1 (ko) 엔드포인트 리소스를 사용하는 네트워크 보안 요소
US7912048B2 (en) Apparatus and method for detecting network address translation device
CN114145004B (zh) 用于使用dns消息以选择性地收集计算机取证数据的系统及方法
EP3340568A2 (en) Anycast-based spoofed traffic detection and mitigation
US20110173318A1 (en) Method, Device and Gateway Server for Detecting Proxy at the Gateway
KR101518472B1 (ko) 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 ip를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말 중에서 추가 비지정 도메인 네임을 구비한 웹서버에 의해 선별된 디바이스의 대수를 검출하는 방법 및 공인 ip 공유 상태의 디바이스의 선별적인 검출 시스템
US20180227763A1 (en) Internet connection device, central management server, and internet connection method
US10594584B2 (en) Network analysis and monitoring tool
CN105338187A (zh) 一种信息处理方法及电子设备
KR102640946B1 (ko) Arp 스푸핑 탐지 시스템 및 방법
KR20190076313A (ko) Arp 스푸핑 탐지 시스템 및 방법
KR101446280B1 (ko) 인터미디어트 드라이버를 이용한 변종 악성코드 탐지 및 차단 시스템 및 그 방법
JP4753264B2 (ja) ネットワーク攻撃を検出するための方法、装置、およびコンピュータ・プログラム(ネットワーク攻撃の検出)
KR20220131600A (ko) 파밍 dns 분석 방법 및 컴퓨팅 디바이스
KR101517328B1 (ko) Arp 스푸핑 탐지 장치 및 탐지 방법
KR102387010B1 (ko) 감시 장치 및 감시 방법
KR20200091700A (ko) 공인 ip 주소를 공유하는 단말을 식별하는 방법 및 그 장치
KR20150017875A (ko) 네트워크 스캔 탐지 방법 및 장치
US20230269236A1 (en) Automatic proxy system, automatic proxy method and non-transitory computer readable medium
KR102425707B1 (ko) 부정 검출 장치 및 부정 검출 방법
JP5994459B2 (ja) 情報処理装置、通信制御方法及び通信制御プログラム
JP2019033320A (ja) 攻撃対処システム及び攻撃対処方法
KR101290036B1 (ko) 동적 공격에 대한 네트워크 보안 장치 및 방법
KR101538493B1 (ko) 공유기 검출 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application