WO2010036054A2

WO2010036054A2 - Ａｒｐ 공격 감지 방법 및 이를 이용한 시스템

Info

Publication number: WO2010036054A2
Application number: PCT/KR2009/005491
Authority: WO
Inventors: 김지훈; 김주생
Original assignee: 주식회사 안철수연구소
Priority date: 2008-09-25
Filing date: 2009-09-25
Publication date: 2010-04-01
Also published as: WO2010036054A3; KR20100034855A; KR101001900B1

Abstract

본 발명은 개별 단말기상의 패킷 감시 방안에 관한 것으로, 더욱 상세하게는 개별 단말기로 악성코드의 공격 패턴인 인바운드(Inbound)되는 ARP(Address Resolution Protocol) 스캐닝(Scanning), 인바운드(Inbound)되는 ARP 패킷 위조 공격 및 인/아운바운드(In/Outbound)되는 IP 패킷 위조 공격을 검출 및 차단하는 ARP 공격 감지 시스템 및 그 방법에 관한 것이다. 본 ARP 공격 감지 방법은, 네트워크로 연결된 다수의 단말기에 있어서 상기 개별 단말기로 인바운드(Inbound)되는 ARP Request 패킷의 횟수를 감지하며, 소정 시간 동안 상기 개별 단말기로 인바운드(Inbound)되는 출발지 IP주소별 ARP 패킷의 수신 횟수가 소정의 설정치 이상일 경우, 상기 출발지 단말기를 위험단말기로 인식하고, 상기 위험단말기의 IP 주소 및 MAC 주소를 저장하는 위험단말기 감지단계를 포함하는 것을 특징으로 한다.

Description

ＡＲＰ 공격 감지 방법 및 이를 이용한 시스템

본 발명은 개별 단말기상의 패킷 감시 방안에 관한 것으로, 더욱 상세하게는 개별 단말기로 악성코드의 공격 패턴인 인바운드(Inbound)되는 ARP(Address Resolution Protocol) 스캐닝(Scanning), 인바운드(Inbound)되는 ARP 패킷 위조 공격 및 인/아운바운드(In/Outbound)되는 IP 패킷 위조 공격을 검출 및 차단하는 ARP 공격 감지 시스템 및 그 방법에 관한 것이다.

ARP(Address Resolution Protocol; 어드레스 해결 프로토콜)는 IP 네트워크 상에서의 이더넷(Ethernet) 주소와 IP주소를 서로 연결시켜주는 DNS 역할을 하는 프로토콜을 지칭한다. 예컨대, 로컬 랜(LAN)상의 단말기(A)가 단말기(B)와 통신을 하고자 할 때, 단말기(A)는 단말기(B)의 이더넷 주소를 얻어내기 위해 단말기(B)의 IP주소를 이용하여 ARP 요청(Request) 패킷을 로컬 랜(LAN) 상에 브로드캐스트(Broadcast) 하게 된다. 이때, 단말기(A)의 ARP 요청을 수신한 단말기(B)는 자신의 IP와 일치함을 확인하고, 단말기(A)에게 자신의 이더넷 주소를 포함한 ARP 응답(Reply) 패킷을 전송함으로써 상호 통신이 이루어지게 된다.

그러나, ARP는 본래 이더넷 네트워크상에서 특정 IP 주소를 갖는 상대 사용자의 MAC 주소를 찾는데 사용되는 프로토콜로서, 일반적으로 패킷을 발생시키는 사용자에 대한 인증 방안이 마련되어 있지 않다. 즉, APR 프로토콜의 취약점은 ARP 패킷의 출발지에 대한 인증과정이 없기 때문에 쉽게 스푸핑(Spoofing) 공격이 가능하다.

이와 관련하여, 최근에는 ARP 스푸핑을 이용한 MITM(Man-In-the-Middle) 공격 기술이 악성코드 유포를 위한 IFRAME 삽입 기술에 활용되면서 사용자의 심각한 수준에 도달한 것으로 보고되고 있다. 즉, 악의적인 공격자는 ARP 스푸핑 공격을 통해 로컬 랜 상의 단말기 및 네트워크 장비들의 ARP 캐쉬(Cache) 테이블을 변경할 수 있고, 이러한 변경으로 인하여 로컬 랜 상의 단말기 및 네트워크 장비로의 패킷이 악의적인 공격자에게 유입되어, 유입된 패킷에 대한 각종 해킹이 시도되고 있는 실정이다.

본 발명은 상기와 같은 문제점을 해결하기 위하여 안출된 것으로서, 본 발명의 목적은, 공격이 진행되고 있는 감염 단말기가 위치한 로컬 랜 상에서 상기 개별단말기로 인바운드(Inbound)되는 ARP(Address Resolution Protocol) 스캐닝(Scanning), 인바운드(Inbound)되는 ARP 패킷 위조 공격 및 인/아웃바운드(In/Outbound) 되는 IP 패킷 위조 공격을 검출 및 차단하기 위한 패킷 감시 시스템 및 그 방법을 제공함에 있다.

상기 목적을 달성하기 위한 본 발명에 따른 ARP 공격 감지 방법은 네트워크로 연결된 다수의 단말기에 있어서, 상기 개별 단말기로 인바운드(Inbound)되는 ARP Request 패킷의 횟수를 감지하며, 소정 시간 동안 상기 개별 단말기로 인바운드(Inbound)되는 출발지 IP주소별 ARP 패킷의 수신 횟수가 소정의 설정치 이상일 경우, 상기 출발지 단말기를 위험단말기로 인식하고, 상기 위험단말기의 IP 주소 및 MAC 주소를 저장하는 위험단말기 감지단계를 포함한다.

그리고 상기 ARP Request 패킷이 브로트캐스트인지를 판단하는 단계를 더 포함하고, 상기 위험단말기 감지단계는 상기 ARP Requst 패킷이 브로드캐스트인 경우에만 수행하는 것이 바람직하다.

또한 상기 ARP Request 패킷을 발송한 단말기의 IP가 게이트웨이의 IP인지를 판단하는 단계를 더 포함하고, 상기 위험단말기 감지단계는 발송한 단말기의 IP가 게이트웨이가 아닌 경우에만 수행하는 것이 바람직하다.

그리고 상기 소정 시간은 1초이고, 상기 소정의 설정치는 50회인 것이 바람직하다.

또한 상기 개별 단말기로 인바운드(Inbound)되는 ARP Reply 패킷을 감지하고, 상기 ARP 패킷의 출발지 단말기를 위험단말기인지를 판단하고, 출발지 단말기가 위험단말기인 경우에는 IP 주소의 위조여부를 판단하는 위조ARP패킷 공격감지단계를 더 포함하는 것이 바람직하다.

그리고 상기 ARP Reply 패킷이 유니캐스트인지를 판단하는 단계를 더 포함하고, 상기 ARP공격 감지단계는 상기 ARP Reply 패킷이 유니캐스트인 경우에만 수행하는 것이 바람직하다.

또한 위조ARP패킷 공격감지단계는 상기 ARP 패킷의 출발지 MAC주소가 위험단말기의 MAC 주소에 포함되는 경우에 출발지 단말기를 위험단말기로 판단하고, 상기 ARP 패킷의 출발지 IP주소가 상기 MAC주소와 대응되는 IP주소와 일치하는지 여부를 판단하고, 일치하지 않으면 IP 주소가 위조된 것으로 판단하는 것이 바람직하다.

그리고 상기 개별 단말기로 인바운드(Inbound)되는 IP 패킷을 수신하고, 상기 IP 패킷의 출발지 단말기가 위험단말기인지를 판단하고, 출발지 단말기가 위험단말기인 경우에는 IP 주소의 위조여부를 판단하는 위조IP패킷 수신감지단계를 더 포함하는 것이 바람직하다.

또한 상기 위조IP패킷 수신감지단계는 상기 IP 패킷의 출발지 MAC주소가 위험단말기의 MAC 주소에 포함되는 경우에 출발지를 위험단말기로 판단하고, 상기 IP 패킷의 출발지 IP주소가 로컬 랜상의 주소에 해당하지 않는 경우에IP 주소가 위조된 것으로 판단하는 것이 바람직하다.

그리고 상기 개별 단말기에서 아웃바운드(Outbound)되는 IP 패킷을 수신하고, 상기 IP 패킷의 도착지가 위험단말기인지를 판단하고, 도착지가 위험단말기인 경우에는 IP 주소의 위조여부를 판단하는 위조IP패킷 송신감지단계를 더 포함하는 것이 바람직하다.

또한 상기 위조IP패킷 송신감지단계는 상기 IP 패킷의 도착지 MAC주소가 위험단말기의 MAC 주소에 포함되는 경우에 도착지가 위험단말기로 판단하고, 상기 IP 패킷의 도착지 IP주소가 로컬 랜상의 주소에 해당하지 않는 경우에 IP 주소가 위조된 것으로 판단하는 것이 바람직하다.

한편, 본 발명에 따른 ARP 공격 감지 단말기는 네트워크로 연결된 다수의 단말기에 있어서, 상기 개별 단말기로 인바운드(Inbound)되는 ARP Request 패킷의 횟수를 감지하며, 소정 시간 동안 상기 개별 단말기로 인바운드(Inbound)되는 출발지 IP주소별 ARP 패킷의 수신 횟수가 소정의 설정치 이상일 경우, 상기 출발지 단말기를 위험단말기로 인식하고, 상기 위험단말기의 IP 주소 및 MAC 주소를 저장하는 위험단말기 감지모듈을 포함한다.

그리고 상기 개별 단말기로 인바운드(Inbound)되는 ARP Reply 패킷을 감지하고, 상기 ARP 패킷의 출발지가 위험단말기인지를 판단하고, 출발지가 위험단말기인 경우에는 IP 주소의 위조여부를 판단하는 위조ARP패킷 공격감지모듈을 더 포함한다.

상기 개별 단말기로 인바운드(Inbound)되는 IP 패킷을 수신하고, 상기 IP 패킷의 출발지가 위험단말기인지를 판단하고, 출발지가 위험단말기인 경우에는 IP 주소의 위조여부를 판단하는 위조IP패킷 수신감지모듈을 더 포함한다.

그리고 상기 개별 단말기에서 아웃바운드(Outbound)되는 IP 패킷을 수신하고, 상기 IP 패킷의 도착지가 위험단말기인지를 판단하고, 도착지가 위험단말기인 경우에는 IP 주소의 위조여부를 판단하는 위조IP패킷 송신감지모듈을 더 포함한다.

한편, 본 발명에 따른 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체에는 네트워크로 연결된 다수의 단말기에 있어서, 상기 개별 단말기로 인바운드(Inbound)되는 ARP Request 패킷의 횟수를 감지하며, 소정 시간 동안 상기 개별 단말기로 인바운드(Inbound)되는 출발지 IP주소별 ARP 패킷의 수신 횟수가 소정의 설정치 이상일 경우, 상기 출발지 단말기를 위험단말기로 인식하고, 상기 위험단말기의 IP 주소 및 MAC 주소를 저장하는 위험단말기 감지단계를 수행할 수 있는 프로그램이 기록된다.

이상 설명한 바와 같이, 본 발명에 따르면, 감염 단말기가 위치한 로컬 랜 상에서 상기 개별단말기로 인바운드(Inbound)되는 ARP(Address Resolution Protocol) 스캐닝(Scanning), 인바운드(Inbound)되는 ARP 패킷 위조 공격 및 인/아웃바운드(In/Outbound) 되는 IP 패킷 위조 공격을 감지할 수 있게 된다.

도 1은 로컬 랜 상의 일반적인 시스템의 모습을 도시한 도면,

도 2는 본 발명의 일 실시예에 따라서 ARP SCAN 탐지 방법을 수행하는 방법을 도시한 흐름도,

도 3은 위험단말기가 공격을 시도하는 경우에 이를 감지하는 방법을 도시한 흐름도,

도 4는 위조된 IP패킷이 인바운드 되는 경우의 차단 방법을 도시한 흐름도 및

도 5는 위조된 IP패킷이 아웃바운드 되는 경우의 차단 방법을 도시한 흐름도이다.

이하에서는 도면을 참조하여 본 발명을 보다 상세하게 설명한다.

도 1은 다수의 단말기와 네트워크 장치로 구성된 일반적인 로컬 랜 상의 시스템의 모습을 도시한 도면이다.

도 1에서 도시된 바와 같이 하나의 게이트웨이(140)와 세 3개의 PC(110,120,130)으로 구성된 로컬 랜이 있고, 여기서 110번 PC가 악성코드에 감염된 경우를 가정한다. 110번 PC는 IP 주소가 192.168.0.1이고 MAC 주소는 XX-10(편의상 간략하게 표현)인 경우이고, 120번 PC는 IP 주소가 192.168.0.11이고 MAC 주소는 XX-20, 그리고 마찬가지로 130번 PC는 IP 주소가 192.168.0.12이고 MAC 주소는 XX-25인 경우로 가정한다.

이 경우 110번 PC에 감염된 악성코드는 ARP 패킷 위조 공격을 하기 전에 자신의 로컬 랜상에 있는 모든 단말기들에 브로드캐스트를 보내는 과정을 먼저 수행한다. 즉 110번 PC는 자신의 모든 네트워크에서 192.168.0.2 부터 192.168.0.255까지 ARP 리퀘스트 패킷을 브로드캐스트한다. 이렇게 브로드캐스트하는 중에 192.168.0.11번으로 브로드캐스트하면 120번 PC가 응답을 하고, 192.168.0.12번으로 브로드캐스트하면 130번 PC가 응답을 하게 되어 결과적으로 110번 PC에서는 현재 로컬 랜상에 120번과 130번 PC의 존재를 알게 되고, 이들을 공격대상으로 삼게 된다.

도 2는 상기 악성코드의 감지방법을 역이용해서, 본 발명의 일 실시예에 따라서 위험단말기 탐지 방법을 수행하는 방법을 도시한 흐름도이다.

즉 악성코드의 상기 특징을 이용해서, 특정 단말기에서 기정해진 시간(도 2의 예에서는 1초)이내에 기정해진 횟수이상(도 2의 예에서는 Threshold라는 변수를 사용했음. 일반적으로 50회정도) 브로드캐스트를 하면 이 단말기는 상기 악성코드에 감염된 것으로 판단할 수 있다.

이하에서 탐지 방법을 보다 자세히 설명한다.

본 발명의 ARP SCAN 탐지 방법은 120번 또는 130번과 같이 악성코드에 감염되지 않은 PC에 설치된 모듈에 의해서 실행된다.

우선 인바운드되는 패킷을 수신한다(S210).

이렇게 수신된 패킷이 브로드캐스트인지를 판단한다(S220).

브로드캐스트이고(S220-Y), 그리고 ARP Request 패킷이면(S230) 다시 이러한 패킷을 발송한 단말기의 IP가 게이트웨이의 IP인지를 판단한다(S240).

게이트웨이의 경우에는 실제로 로컬 랜에 구성된 PC들에게 ARP request 패킷을 브로드캐스드하는 바, 이러한 게이트웨이의 정상적인 활동인 경우에는 본 시스템에서 감지하지 않도록 하기 위함이다.

상기 패킷을 발송한 단말기의 IP가 게이트웨이의 IP가 아니라면(S240), 해쉬테이블에서 상기 발송자IP(SenderIP)가 최초로 저장된 시간에서 현재시간을 뺀 후, 이러한 시간이 1초 이내인지를 판단하고, 1초가 지났으면 상기 해쉬테이블을 초기화한다(S250,S254,S258).

패킷 발송한 시간으로부터 1초 이내인 경우라면(S254-Y), 해쉬테이블에 상기 발송자IP에 해당하는 회수 카운트를 1만큼 늘인다(S260). 이후 특정 IP에서 1초 이내에 Threshold 회수 이상 브로드캐스트했다면(S270-Y), 상기 발송한 단말기의 IP주소와 Mac 주소를 저장한다(S280).

상기 저장된 IP주소와 Mac 주소는 ARP 스푸핑(Spoofing) 공격을 시도할 위험성이 있는 위험단말기로 관리한다. 이렇게 저장된 단말기를 이하에서는 위험단말기라고 호칭한다.

물론 이외에 단말기에 상기 IP주소에 대한 정보와 함께 경고창을 뛰어주는 등의 기능 역시도 가능하다.

상기 실시예에서는 1초 이내에 특정회수 이상 브로드캐스트 하는 경우에 위험단말기로 저장하였는데, 여기서 1초는 설명의 편의상 사용된 일 실시예에 불과하다. 따라서 1초 이외에도 여러가지 상황에 따라서 변경하는 것도 무방하며, 이러한 제한시간은 악성코드의 패턴에 따라서 가감하는 것이 적절하다.

도 3은 상기 도 2에서 저장한 위험단말기의 IP주소와 MAC주소를 활용해서, 상기 위험단말기가 공격을 시도하는 경우에 이를 감지하는 방법을 도시한 도면이다. 도 2의 과정을 통해서 저장된 단말기(또는 단말기들)은 위험단말기로 호칭하고, 도 3에서 감지된 단말기는 공격단말기로 호칭한다.

악성코드들은 상술한 바와 같이 브로드캐스트를 보내는 과정을 먼저 수행해서 로컬랜상에 어떠한 단말기들이 있는지를 먼저 스캔한 후에, 자신의 IP주소를 위조해서 다른 단말기(즉 로컬 랜상에 연결되어 있는 다수의 PC들 및 네트워크 장치)에 ARP 응답을 보내는 방식으로 공격을 한다.

예를 들어 도 1에서 감염된 PC인 110번 PC는 ARP 스캔을 통해서 192.168.0.11번과 192.168.0.12번 PC가 로컬 랜상에 존재하는 것을 알고 있다.

이 때 만약에 130번 PC가 120번 PC와 통신하기 위해서 ARP Requst를 발송하면, 120번 PC는 자신이 응답을 하고 이렇게 되서 130번과 120번간에 통신이 이루어진다. 이때 110번이 마치 자신이 120번 PC인 것처럼 응답(즉 자신의 IP주소를 192.168.0.11으로 속인 후에)을 해서 130번과 110번간에 통신을 한다. 물론 이 경우에도 130번 PC는 110번이 아니고 120번과 통신하고 있는 것으로 인지한다.

이러한 ARP 스푸핑(이하 ARP 공격으로 호칭을 통일한다)을 하는 악성코드의 특징을 이용해서 ARP 공격단말기를 감지할 수 있다.

우선 도 2의 과정을 통해서 110번 PC의 MAC주소와 IP주소를 위험단말기로 저장하고 있다. 이후에 ARP 응답 패킷이 수신되면 응답 패킷을 보낸 단말기의 MAC 주소가 상기 위험단말기의 MAC주소와 일치하는지 판단하고, 만약 일치한다면 응답 패킷을 보낸 단말기는 위험단말기임을 알 수 있다. 이후에 응답 패킷을 보낸 단말기의 IP주소가 상기 MAC주소에 대응되는 IP주소인지를 검사하고 만약 다르다면 이는 위험단말기가 IP주소를 위장해서 발송한 것이므로, 공격으로 판단하면 된다.

도 3에서는 이러한 과정을 보다 상세히 설명하고 있다.

우선 인바운드 패킷을 수신한다(S310).

이렇게 수신된 패킷이 유니캐스트이고(S320-Y), ARP Reply라면(S330-Y) 상기 패킷을 발송한 단말기의 MAC주소와 IP주소를 추출한다.

상기 발송 단말기의 MAC주소가 위험단말기의 MAC주소에 포함되는지를 판단한다(S340).

상기 ARP Reply를 발송한 단말기의 MAC 주소가 위험단말기의 MAC주소 중 하나이면(S340-Y), 이번에는 발송 단말기의 IP주소가 상기 MAC주소와 대응되는 IP주소와 일치하는지를 검사한다(S360). 도 2에서 위험단말기를 저장할 때 MAC주소와 IP주소 쌍으로 저장하므로, 상기 저장된 MAC주소와 대응되는 IP주소와 비교하면 된다.

이렇게 IP주소를 비교한 결과 불일치하다면(S350-Y), 이는 위험단말기가 IP주소를 위장해서 ARP Reply 패킷을 보내온 것이다.

이러면 위조라고 판단(S360)하고, 상기 패킷을 차단한다(S370).

한편 이러한 ARP 공격은 로컬 랜내에서의 통신에서만 한정되는 것은 아니며, 로컬 랜 상에서 특정 PC가 외부의 웹서버와 통신할 경우에도 이용된다.

다시 도 1을 예로 들어, 120번 PC가 게이트웨이(140)를 통해서 외부의 웹사이트에 접속한 경우를 가정하자. 이 경우 공격자 PC인 110번 PC가 자신이 120번 PC인 것으로 ARP Reply를 하였고 이에 따라 게이트웨이(또는 스위치)의 ARP Cache는 오염되어 있다.

이에 따라서 웹서버-->게이트웨이(140)--> PC(120)간에 패킷의 이동이 정상적이나, 게이트웨이(140)는 120번 PC로 패킷을 보내지 못하고 110번으로 패킷을 보내는 사태가 발생한다.

즉 이 경우 웹서버-->게이트웨이(140)--> PC(110)-->PC(120)간에 패킷의 이동이 이루어지고, 110번 PC는 웹패킷에 Iframe 등을 이용해서 악성코드를 심어서 120번 PC에 전달하는 등의 공격이 가능하게 된다.

도 4는 상기와 같은 공격에 대응하기 위한 위조된 IP패킷이 인바운드 되는 경우의 차단 방법을 도시한 흐름도이다.

우선 인바운드되는 IP 패킷을 수신한다(S510).

이렇게 수신된 IP 패킷에서 Ethernet.SMAC 즉 출발지의 MAC 주소를 추출하고 이러한 MAC주소가 위험단말기의 MAC주소에 해당하는지를 판단한다(S520).

만약 출발지의 MAC주소가 위험단말기의 MAC주소에 해당한다면(S520-Y), 이번에는 IP.SrclP 즉 출발지의 IP 주소가 로컬 랜상의 주소에 해당하는지를 판단한다(S530). 로컬 랜상의 주소인지는 IP/Subnet 정보로 계산할 수 있다. 예를 들어 로컬단말기의 IP/MAC 정보가 192.168.0.1/255.255.255.0 인 경우 로컬 랜상의 주소는 192.168.0.1내지 192.168.0.254 범위에 속하게 된다. 이 범위에 해당하면 로컬 랜상의 주소이고, 포함되지 않으면 외부의 IP주소인 것으로 판단하면 된다.

만약 상기 출발지의 IP주소가 로컬 랜상의 주소가 아니라면(S530-Y), 이는 외부 네트워크에서 들어온 IP 패킷인데, 중간에 위험단말기가 가로채서 보내준 것이므로 위조된 패킷으로 판단한다(S540). 따라서 상기 패킷은 차단하고(S550), 또는 사용자에 공격이 시도되고 있음을 알리는 경고창을 띄운다.

이러한 방법은 아웃바운드 되는 IP패킷에서도 응용이 가능하다.

우선 아웃바운드되는 IP 패킷을 수신한다(S610).

상기 IP 패킷에서 Ethernet.DMAC 즉 목적지의 MAC 주소를 추출하고 이러한 MAC주소가 위험단말기의 MAC주소에 해당하는지를 판단한다(S620).

만약 출발지의 MAC주소가 위험단말기의 MAC주소에 해당한다면(S620-Y), 이번에는 IP.DstlP 즉 도착지의 IP 주소가 로컬 랜상의 주소에 해당하는지를 판단한다(S630). 만약 상기 도착지의 IP주소가 로컬 랜상의 주소가 아니라면(S630-Y), 이는 외부 네트워크로 발송하는 IP 패킷인데, 중간에 위험단말기가 가로채려는 것이므로 위조된 패킷으로 판단한다(S640). 따라서 상기 패킷은 차단하고(S650), 또는 사용자에 공격이 시도되고 있음을 알리는 경고창을 띄운다.

지금까지, ARP 패킷 응답을 위조하는 방법으로 공격하는 악성코드를 감지하는 방법에 대해, 바람직한 실시예를 들어 상세히 설명하였다.

본 실시예에서는 단말기의 일 예로서 PC를 들어 설명하였으나, 이러한 PC는 설명의 편의를 위한 일 실시예에 불과하다. 따라서 MAC주소 및 IP 주소를 가지고 네트워크로 접속하는 단말기라면 그 어느 것이라도 본 발명이 적용될 수 있음은 물론이다.

한편 본 실시예에서는 일단 악성코드가 스캐닝하는 과정을 이용해서, 위험단말기 리스트를 저장한 후, 이 리스트에 저장된 정보를 이용해서 위조된 ARP패킷 및 위조된 IP패킷으로 위험단말기가 공격을 시도하는 경우를 감지하는 시스템에 대한 내용이다. 이 경우, 비록 위험단말기로 선정되어 리스트에 저장되어 있는 단말기라고 하더라도, 계속 리스트에 남기지 않고 일정시간 동안 위험단말기가 상기 공격을 시도한 적이 없다면 상기 위험단말기 리스트에서 삭제하는 것 역시도 가능하다.

또한 본 실시예에서는 로컬 랜 네트워크와 외부 네트워크를 연결하는 장치로서 게이트웨이를 들어 설명하였으나, 설명의 편의를 위한 일 실시예에 불과하며, 동일한 기능을 수행하는 네트워크 기기라면 그 어느 것이라도 본 발명이 적용될 수 있음은 물론이다.

이상에서는 본 발명의 바람직한 실시예에 대하여 도시하고 설명하였지만, 본 발명은 상술한 특정의 실시예에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진자에 의해 다양한 변형실시가 가능한 것은 물론이고, 이러한 변형실시들은 본 발명의 기술적 사상이나 전망으로부터 개별적으로 이해되어져서는 안될 것이다.

Claims

네트워크로 연결된 다수의 단말기에 있어서,

상기 개별 단말기로 인바운드(Inbound)되는 ARP Request 패킷의 횟수를 감지하며, 소정 시간 동안 상기 개별 단말기로 인바운드(Inbound)되는 출발지 IP주소별 ARP 패킷의 수신 횟수가 소정의 설정치 이상일 경우, 상기 출발지 단말기를 위험단말기로 인식하고, 상기 위험단말기의 IP 주소 및 MAC 주소를 저장하는 위험단말기 감지단계를 포함하는 것을 특징으로 하는 ARP 공격 감지 방법.
제 1항에 있어서,

상기 ARP Request 패킷이 브로트캐스트인지를 판단하는 단계를 더 포함하고, 상기 위험단말기 감지단계는 상기 ARP Requst 패킷이 브로드캐스트인 경우에만 수행하는 것을 특징으로 하는 ARP 공격 감지 방법.
제 2항에 있어서,

상기 ARP Request 패킷을 발송한 단말기의 IP가 게이트웨이의 IP인지를 판단하는 단계를 더 포함하고, 상기 위험단말기 감지단계는 발송한 단말기의 IP가 게이트웨이가 아닌 경우에만 수행하는 것을 특징으로 하는 ARP 공격 감지 방법.
제 1항에 있어서,

상기 개별 단말기로 인바운드(Inbound)되는 ARP Reply 패킷을 감지하고, 상기 ARP 패킷의 출발지 단말기가 위험단말기인지를 판단하고, 출발지 단말기가 위험단말기인 경우에는 IP 주소의 위조여부를 판단하는 위조ARP패킷 공격감지단계를 더 포함하는 것을 특징으로 하는 ARP 공격 감지 방법.
제 4항에 있어서,

상기 ARP Reply 패킷이 유니캐스트인지를 판단하는 단계를 더 포함하고, 상기 ARP공격 감지단계는 상기 ARP Reply 패킷이 유니캐스트인 경우에만 수행하는 것을 특징으로 하는 ARP 공격 감지 방법.
제 4항에 있어서,

위조ARP패킷 공격감지단계는

상기 ARP 패킷의 출발지 MAC주소가 위험단말기의 MAC 주소에 포함되는 경우에 출발지 단말기를 위험단말기로 판단하고,

상기 ARP 패킷의 출발지 IP주소가 상기 MAC주소와 대응되는 IP주소와 일치하는지 여부를 판단하고, 일치하지 않으면 IP 주소가 위조된 것으로 판단하는 것을 특징으로 하는 ARP 공격 감지 방법.
제 1항에 있어서,

상기 개별 단말기로 인바운드(Inbound)되는 IP 패킷을 수신하고, 상기 IP 패킷의 출발지 단말기가 위험단말기인지를 판단하고, 출발지 단말기가 위험단말기인 경우에는 IP 주소의 위조여부를 판단하는 위조IP패킷 수신감지단계를 더 포함하는 것을 특징으로 하는 ARP 공격 감지 방법.
제 7항에 있어서,

상기 위조IP패킷 수신감지단계는

상기 IP 패킷의 출발지 MAC주소가 위험단말기의 MAC 주소에 포함되는 경우에 출발지를 위험단말기로 판단하고,

상기 IP 패킷의 출발지 IP주소가 로컬 랜상의 주소에 해당하지 않는 경우에IP 주소가 위조된 것으로 판단하는 것을 특징으로 하는 ARP 공격 감지 방법.
제 1항에 있어서,

상기 개별 단말기에서 아웃바운드(Outbound)되는 IP 패킷을 수신하고, 상기 IP 패킷의 도착지가 위험단말기인지를 판단하고, 도착지가 위험단말기인 경우에는 IP 주소의 위조여부를 판단하는 위조IP패킷 송신감지단계를 더 포함하는 것을 특징으로 하는 ARP 공격 감지 방법.
제 9항에 있어서,

상기 위조IP패킷 송신감지단계는

상기 IP 패킷의 도착지 MAC주소가 위험단말기의 MAC 주소에 포함되는 경우에 도착지가 위험단말기로 판단하고,

상기 IP 패킷의 도착지 IP주소가 로컬 랜상의 주소에 해당하지 않는 경우에 IP 주소가 위조된 것으로 판단하는 것을 특징으로 하는 ARP 공격 감지 방법.
네트워크로 연결된 다수의 단말기에 있어서,

상기 개별 단말기로 인바운드(Inbound)되는 ARP Request 패킷의 횟수를 감지하며, 소정 시간 동안 상기 개별 단말기로 인바운드(Inbound)되는 출발지 IP주소별 ARP 패킷의 수신 횟수가 소정의 설정치 이상일 경우, 상기 출발지 단말기를 위험단말기로 인식하고, 상기 위험단말기의 IP 주소 및 MAC 주소를 저장하는 위험단말기 감지모듈을 포함하는 것을 특징으로 하는 ARP 공격 감지 시스템.
제 11항에 있어서,

상기 개별 단말기로 인바운드(Inbound)되는 ARP Reply 패킷을 감지하고, 상기 ARP 패킷의 출발지가 위험단말기인지를 판단하고, 출발지가 위험단말기인 경우에는 IP 주소의 위조여부를 판단하는 위조ARP패킷 공격감지모듈을 더 포함하는 것을 특징으로 하는 ARP 공격 감지 시스템.
제 11항에 있어서,

상기 개별 단말기로 인바운드(Inbound)되는 IP 패킷을 수신하고, 상기 IP 패킷의 출발지가 위험단말기인지를 판단하고, 출발지가 위험단말기인 경우에는 IP 주소의 위조여부를 판단하는 위조IP패킷 수신감지모듈을 더 포함하는 것을 특징으로 하는 ARP 공격 감지 시스템.
제 11항에 있어서,

상기 개별 단말기에서 아웃바운드(Outbound)되는 IP 패킷을 수신하고, 상기 IP 패킷의 도착지가 위험단말기인지를 판단하고, 도착지가 위험단말기인 경우에는 IP 주소의 위조여부를 판단하는 위조IP패킷 송신감지모듈을 더 포함하는 것을 특징으로 하는 ARP 공격 감지 시스템.
네트워크로 연결된 다수의 단말기에 있어서,

상기 개별 단말기로 인바운드(Inbound)되는 ARP Request 패킷의 횟수를 감지하며, 소정 시간 동안 상기 개별 단말기로 인바운드(Inbound)되는 출발지 IP주소별 ARP 패킷의 수신 횟수가 소정의 설정치 이상일 경우, 상기 출발지 단말기를 위험단말기로 인식하고, 상기 위험단말기의 IP 주소 및 MAC 주소를 저장하는 위험단말기 감지단계를 수행할 수 있는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체.