WO2011087285A2

WO2011087285A2 - 스푸핑 방지 방법 및 장치

Info

Publication number: WO2011087285A2
Application number: PCT/KR2011/000231
Authority: WO
Inventors: 이광우
Original assignee: 주식회사 안철수연구소
Priority date: 2010-01-14
Filing date: 2011-01-13
Publication date: 2011-07-21
Also published as: KR20110083300A; WO2011087285A3; KR101080734B1

Abstract

스푸핑 방지 방법은 하나 이상의 호스트의 IP 주소 및 MAC 주소가 포함된 정보 패킷을 수신하여 IP-MAC 데이터베이스를 구축하는 단계와; 상기 호스트로부터 전송되는 아웃바운드(Out-Bound) 패킷에 포함된 IP 주소 및 MAC 주소를 상기 IP-MAC 데이터베이스의 IP-MAC 주소쌍과 비교하는 단계와; 상기 아웃바운드 패킷의 IP 주소 및 MAC 주소가 상기 IP-MAC 데이터베이스의 IP-MAC 주소쌍과 일치하지 않는 경우 상기 아웃바운드 패킷을 스푸핑 패킷으로 판단하는 단계와; 상기 스푸핑 패킷을 필터링하는 단계를 포함한다.

Description

스푸핑 방지 방법 및 장치

본 발명은 스푸핑(Spoofing) 방지 방법 및 장치에 관한 것으로, 더욱 상세하게는, 하나 이상의 호스트 각각에 설치된 에이전트로부터 호스트의 IP 주소 및 MAC 주소가 포함된 정보 패킷을 수집하고, 수집한 정보 패킷에 기반하여 스푸핑 패킷을 검출하는 스푸핑 방지 방법 및 장치에 관한 것이다.

인터넷의 사용이 날로 증가함에 따라 해킹의 기술 또한 증가하고 있다. DoS(Denial-of-Service), DDoS(Distributed Denial-of-Service), 스니핑(Sniffing) 또는 하이젝킹(Hijacking)과 같은 해킹을 위해 사용되는 근본적인 수단에는 ARP(Address Resolution Protocol) 스푸핑(Spoofing)과 IP 스푸핑이 있다. ARP 스푸핑은 센더(Sender) 하드웨어 주소와 센더 IP 주소를 조작한다. ARP 스푸핑은 로컬 네트워크 내의 다른 라우터나 스위치, 호스트들의 ARP 테이블을 변경함으로써, 공격 대상 시스템(피해자)의 MAC주소로 전달되는 패킷을 공격자 시스템으로 전달되도록 가로채는 공격기법이다. IP 스푸핑은 자신의 소스 IP를 변경하여 다른 시스템으로 하여금 자신이 누군지 모르게 또는 다른 시스템으로 오인하도록 만들기 위해 사용된다.

인터넷에서 돌아다니는 이러한 ARP 스푸핑이나 IP 스푸핑 툴을 이용하여 특정 호스트를 공격하거나 망 내에서 돌아다니는 정보를 훔쳐 봄으로써 보안이 유지되어야 할 개인 정보들이 쉽게 도용되는 일이 빈번한 실정이다. 예를 들면, ARP 스푸핑을 통하여 동일한 내부 네트워크에 연결된 다른 호스트에서 행하여지는 여러 가지 IP 패킷들을 훔쳐 봄으로써 개인 정보가 유출될 수 있고, 특정 서버의 관리자 레벨의 ID와 패스워드를 훔쳐 봄으로써 서버 정보를 마음대로 조작하는 것이 가능하게 되었다. 또한, IP 스푸핑을 통하여 외부 네트워크 상에서 행해지는 온라인 작업을 훔쳐 볼 경우 더 많은 시스템이 공격에 쉽게 노출되게 된다.

도 1 은 예시적인 ARP 스푸핑 공격 기법을 도시한 것이다. ARP 스푸핑 공격을 받지 않는 정상시에는 클라이언트(110)가 게이트웨이(130)를 통하여 서버(140)와 데이터를 주고 받는다. 즉, 정상적인 트래픽 흐름(150)은 클라이언트(110), 게이트웨이(130) 및 서버(140)을 통과한다. 그러나, ARP 스푸핑 공격(160) 하에서는, ARP 스푸핑 공격자(120)가 ARP 스푸핑 피해자(클라이언트)(110)와 게이트웨이(130) 사이의 세션을 가로채기 위하여 ARP 스푸핑 피해자(110)에게는 게이트웨이(130)의 MAC 대신 ARP 스푸핑 공격자(120)의 MAC으로 ARP Reply 패킷을 전송하고, 게이트웨이(130)에게도 ARP 스푸핑 피해자(110)의 MAC 대신 ARP 스푸핑 공격자(120)의 MAC 으로 ARP Reply 패킷을 전송한다. 즉, ARP 스푸핑 공격자(120)는 ARP 스푸핑 피해자(110)와 게이트웨이(130) 사이의 모든 패킷을 가로챈다. 이러한 ARP 스푸핑 공격 기법은 사전 공격으로 이용되며 이후 IP 스푸핑을 통하여 패킷을 릴레이함으로써 중간자 공격을 시도하게 된다.

도 2 는 예시적인 IP 스푸핑 공격 기법을 도시한 것이다. 도 2를 참조하면, 타겟(230)의 TCP(Transmission Control Protocol) 서비스의 서비스 거부 공격을 유발하기 위해 IP 스푸핑 공격자(200)가 자신의 IP를 임의의 IP로 속여 SYN(Synchronize sequence Number) 패킷을 대량으로 전송하여 타겟(230)의 서비스 가능 세션을 고갈시키는 공격을 시도한다.

일반적으로 중요 정보를 탈취하거나 악성 코드를 유포하기 위해서 ARP 스푸핑을 통한 IP 스푸핑 공격이 사용되고 있으며, DoS, DRDoS, 또는 DDoS 공격에 이용되는 좀비 PC들은 대부분 IP 스푸핑 공격을 근간으로 하고 있다.

일반적으로 알려진 대부분의 ARP 스푸핑 탐지 방법이 보안장비에 적용되기는 하지만, 이러한 종래의 ARP 스푸핑 탐지 기법은 ARP Reply 패킷 수집을 기반으로 하기 때문에 최근처럼 더미 허브는 사라지고 L2 스위치가 사용되는 내부 네트워크 환경을 고려할 때 스푸핑 탐지가 거의 불가능한 것으로 보여진다. 관련 선행기술이 미국 공개 특허 제 2010/0107250(공개일 : 2010년 04월 29일)에 개시되어 있다. 뿐만 아니라, DDoS 좀비들이 많이 사용하는 IP 스푸핑에 의한 플러딩 공격을 보안장비에서 탐지하고 해당 패킷을 차단하더라도 종래의 보안 방법은 스푸퍼에서 보안장비가 위치한 내부 네트워크 구간의 대역폭이 좀비 PC의 공격 패킷으로 대역폭이 낭비되는 것을 막을 수 없으며 또한 스푸퍼의 실제 IP 추적에 많은 어려움이 있었다.

본 발명은 상기 점에 감안하여 이루어진 것으로써, 호스트에서 전송한 패킷의 MAC이 변경되지 않는 라우터 하단의 내부 네트워크에 설치된 제어기가 하나 이상의 호스트에 각각 설치된 에이전트로부터 호스트의 IP 주소 및 MAC 주소를 수신 받아 IP-MAC 데이터베이스를 구축하여, 아웃바운드(Out-Bound) 패킷의 IP 주소 또는 MAC 주소가 IP-MAC 데이터베이스의 IP-MAC 주소쌍과 일치하지 않는 경우 아웃바운드 패킷을 필터링하고, IP-MAC 데이터베이스에서 아웃바운드 패킷의 MAC 주소에 대응하는 IP 주소를 조회하여 스푸퍼의 실제 IP 주소를 추적하는 스푸핑 방지 방법 및 장치를 제공한다.

본 발명의 제 1 측면에 따르면, 하나 이상의 호스트의 IP 주소 및 MAC 주소가 포함된 정보 패킷을 수신하여 IP-MAC 데이터베이스를 구축하는 단계와, 상기 호스트로부터 전송되는 아웃바운드(Out-Bound) 패킷에 포함된 IP 주소 및 MAC 주소를 상기 IP-MAC 데이터베이스의 IP-MAC 주소쌍과 비교하는 단계와, 상기 아웃바운드 패킷의 IP 주소 및 MAC 주소가 상기 IP-MAC 데이터베이스의 IP-MAC 주소쌍과 일치하지 않는 경우 상기 아웃바운드 패킷을 스푸핑 패킷으로 판단하는 단계와, 상기 스푸핑 패킷을 필터링하는 단계를 포함하는 스푸핑 방지 방법이 제공된다.

본 발명의 제 2 측면에 따르면, 스푸핑을 방지하기 위한 장치로서, 하나 이상의 호스트 각각에 설치되어 대응하는 호스트의 IP 주소 및 MAC 주소가 포함된 정보 패킷을 송신하는 에이전트와, 상기 에이전트로부터 상기 정보 패킷을 수집하여, 상기 수집한 정보 패킷에 기반하여 스푸핑 패킷을 검출하는 제어기를 포함하며, 상기 제어기는, 상기 에이전트로부터 수신한 정보 패킷을 분석하여 상기 하나 이상의 호스트의 IP 주소 및 MAC 주소를 포함하는 IP-MAC 데이터베이스를 구축하는 구축부와; 호스트로부터 전송되는 아웃바운드 패킷에 포함된 IP 주소 및 MAC 주소를 상기 IP-MAC 데이터베이스의 IP-MAC 주소쌍과 비교하는 비교부와; 상기 아웃바운드 패킷의 IP 주소 및 MAC 주소가 상기 IP-MAC 데이터베이스의 IP-MAC 주소쌍과 일치하지 않는 경우 상기 아웃바운드 패킷을 스푸핑 패킷으로 판단하는 판단부와; 상기 스푸핑 패킷을 필터링하는 필터링부를 포함하는 스푸핑 방지 장치가 제공된다.

본 발명의 제 3 측면에 따르면, 스푸핑을 방지하기 위한 제어기로서, 하나 이상의 호스트 각각에 설치된 에이전트로부터 상기 호스트의 IP주소 및 MAC 주소가 포함된 정보 패킷을 수신하여 상기 하나 이상의 호스트의 IP 주소 및 MAC 주소를 포함하는 IP-MAC 데이터베이스를 구축하는 구축부와; 호스트로부터 전송되는 아웃바운드 패킷에 포함된 IP 정보 및 MAC 정보를 상기 IP-MAC 데이터베이스와 비교하는 비교부와; 상기 아웃바운드 패킷의 IP 정보 및 MAC 정보가 상기 IP-MAC 데이터베이스와 일치하지 않는 경우 상기 아웃바운드 패킷을 스푸핑 패킷으로 판단하는 판단부와; 상기 스푸핑 패킷을 필터링하는 필터링부를 포함하는 스푸핑 방지 제어기가 제공된다.

본 발명에 따르면, 호스트 각각에 에이전트가 설치되어 IP 주소 또는 MAC 주소가 변경되었는지 여부를 주기적으로 검사하고 변경된 IP 주소 또는 MAC 주소를 제어기에 제공함으로써 IP-MAC 데이터베이스를 업데이트할 수 있다.

또한, 스푸핑 패킷이라도 스푸핑 패킷의 MAC 정보가 화이트리스트에 포함되는 경우에는 스푸핑 패킷을 차단하지 않고 허용함으로써 예외 처리를 수행할 수 있다.

또한, IP-MAC 데이터베이스에서 스푸핑 패킷의 MAC 정보에 대응하는 IP 주소를 조회하여 스푸퍼의 실제 IP 주소를 추적할 수 있으며, ARP 스푸핑의 하이젝킹(Hijacking) 공격을 차단하고 DDoS에 이용되는 내부 네트워크의 좀비 호스트를 탐지 및 제거할 수 있고, IP 스푸핑에 의한 플러딩 공격의 경우 내부 네트워크의 대역폭 고갈을 막아 네트워크의 가용성을 보장할 수 있는 효과가 있다.

도 1 은 예시적인 ARP 스푸핑 공격 기법을 도시한 것이다.

도 2 는 예시적인 IP 스푸핑 공격 기법을 도시한 것이다.

도 3 은 본 발명의 실시 예에 따른 에이전트 및 제어기를 포함하는 네트워크 구성도를 나타낸 것이다.

도 4 는 본 발명의 실시 예에 따른 스푸핑 방지 방법의 흐름도를 나타낸 것이다.

도 5 는 본 발명의 실시 예에 따른 스푸핑 패킷 예외 처리의 흐름도를 나타낸 것이다.

도 6 은 본 발명의 실시 예에 따른 정보 패킷의 데이터 구조를 나타낸 것이다.

도 7 은 본 발명의 실시 예에 따른 IP 스푸핑을 차단하는 신호 처리 흐름을 나타낸 것이다.

도 8 은 본 발명의 실시 예에 따른 스푸핑 방지 장치의 블록도를 도시한 것이다.

이하 첨부된 도면을 참조하여 본 발명의 실시 예를 상세히 설명한다. 하기에서 본 발명을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.

도 3 은 본 발명의 실시 예에 따른 에이전트 및 제어기를 포함하는 네트워크 구성도를 나타낸 것이다. 호스트(300, 310 및 320) 각각에는 에이전트가 설치되어 있으며, 호스트(300, 310 및 320) 및 L2 스위치(Layer 2 switch)(330)를 포함하는 내부 네트워크와 게이트웨이(350) 및 인터넷(360)을 포함하는 외부 네트워크 사이의 트래픽을 중계하는 제어기(340)가 설치되어 있다. 제어기(340)와 호스트 각각의 사이에는 L3 라우팅이 없어 호스트 각각으로부터 전송되는 패킷의 MAC 주소가 호스트의 실제 네트워크 인터페이스의 MAC 주소와 동일하다.

도 3 에서는 제어기(340)가 L2 스위치(330)와 게이트웨이(350) 사이에 독자적으로 존재하는 것으로 도시하였으나, 제어기(340)는 게이트웨이(350)에 포함될 수도 있고, IPS(Intrusion Prevention System)나 방화벽 등의 네트워크 보안장비에 포함될 수도 있다. 또한, 도 3 에서는 예시적으로 3 개의 호스트가 도시되었으나, 호스트의 개수는 3 개 이하가 될 수도 있으며 3 개 초과가 될 수도 있다.

호스트(300, 310 및 320)에 설치된 에이전트는 호스트의 로컬 IP 주소 및 MAC 주소를 수집하고 수집된 IP 주소 및 MAC 주소가 포함된 정보 패킷을 생성하여, 생성된 정보 패킷을 제어기(340)로 송신한다. 에이전트는 주기적으로 호스트(300, 310 및 320)의 IP 주소 및 MAC 주소가 변경되는지 여부를 검사하고, IP 주소 또는 MAC 주소가 변경되는 경우에는 변경된 IP 주소 또는 변경된 MAC 주소를 포함한 정보 패킷을 제어기(340)로 송신한다. 정보 패킷에는 호스트(300, 310 및 320)에 설정된 물리적 또는 논리적인 네트워크 인터페이스(NIF)의 총 개수와 그에 할당된 로컬 IP 주소 및 MAC 주소가 함께 포함된다.

제어기(340)는 에이전트로부터 호스트(300, 310 및 320)의 로컬 IP 주소 및 MAC 주소가 포함되어 있는 정보 패킷을 수집하여 IP-MAC 데이터베이스(370)를 구축한다. 도 3 을 참조하면, IP-MAC 데이터베이스(370)에는 호스트(300)의 IP 210.1.1.1 및 MAC 00:0E:A6:81:50:F3, 호스트(310)의 IP 210.1.1.2 및 MAC 00:0E:A6:81:50:F4, 호스트(320)의 IP 210.1.1.3 및 MAC 00:0E:A6:81:50:F5가 저장되어 있다. 도 3 에서는 예시적으로 3 개의 IP-MAC 주소쌍을 가지는 IP-MAC 데이터베이스를 도시하였으나, IP-MAC 데이터베이스는 3개 이하 또는 3 개 이상의 IP-MAC 주소쌍을 포함할 수 있다.

IP-MAC 데이터베이스(370)는 호스트(300, 310 및 320) 각각의 실제 IP 주소 및 IP 주소에 대응되는 MAC 주소를 기록한 데이터베이스로서, 이후에 아웃바운드(Out-Bound) 패킷이 제어기(340)를 통과하는 경우 IP 스푸핑되었는지 여부의 판단에 이용된다. 아웃바운드 패킷이 IP 스푸핑된 경우, IP-MAC 데이터베이스(370)에서 검색된 아웃바운드 패킷에 포함된 MAC 주소에 대응하는 IP 주소는 아웃바운드 패킷에 포함된 IP 주소와 상이하게 된다.

내부 네트워크에서 외부 네트워크로 나가는 아웃바운드 패킷에 대해서 샘플링을 하여 패킷의 IP 주소 및 MAC 주소를 IP-MAC 데이터베이스(370)의 IP-MAC 주소쌍과 비교하여 같은 경우에는 패킷을 허용하고, 다른 경우에는 해당 패킷을 차단한다. 아웃바운드 IP 패킷의 IP 주소 및 MAC 주소가 IP-MAC 데이터베이스(370)의 IP-MAC 주소쌍과 상이한 경우 IP-MAC 데이터베이스(370)에서 아웃바운드 IP 패킷의 MAC 주소에 대응되는 IP 주소를 조회함으로써, 스푸퍼의 실제 IP 주소를 추적할 수도 있다.

이 경우 예외 처리를 위해서 IP-MAC 데이터베이스에 저장되지 않은 MAC 주소를 갖고 있는 아웃바운드 IP 패킷은 차단되지 않고 외부 네트워크로 전송될 수 있으며, 화이트리스트 목록에 있는 MAC 주소를 갖고 있는 아웃바운드 IP 패킷 또한 차단되지 않고 외부 네트워크로 전송될 수 있다.

도 4 는 본 발명의 실시 예에 따른 스푸핑 방지 방법의 흐름도를 나타낸 것이다. 단계 S410에서 제어기(340)는 호스트(300, 310 및 320) 각각에 설치된 에이전트로부터 정보 패킷을 수신한다. 단계 S420에서 제어기(340)는 수신한 정보 패킷으로부터 IP-MAC 데이터베이스(370)를 구축한다. 단계 S430에서는 아웃바운드 패킷으로부터 IP 주소와 MAC 주소를 추출한다. 단계 S440에서는 추출된 IP 주소와 MAC 주소가 IP-MAC 데이터베이스의 IP-MAC 주소쌍과 일치하는지 여부를 판단한다. 추출된 IP 주소와 MAC 주소가 IP-MAC 데이터베이스의 IP-MAC 주소쌍과 일치하는 경우에는, 단계 S450에서 제어기(340)는 아웃바운드 패킷이 외부 네트워크로 전송되는 것을 허용한다. 한편, 추출된 IP 주소와 MAC 주소가 IP-MAC 데이터베이스의 IP-MAC 주소쌍과 일치하지 않는 경우, 단계 S460에서 아웃바운드 패킷을 스푸핑 패킷으로 판단하게 된다. 단계 S470에서는 아웃바운드 패킷의 MAC 주소에 대응되는 IP 주소를 IP-MAC 데이터베이스에서 조회하여 스푸퍼의 실제 IP 주소를 추적한다. 단계 S480에서는 스푸핑 패킷을 차단한다.

그러나, 예외적으로 아웃바운드 패킷이 스푸핑 패킷으로 판단된 경우에도 패킷이 차단되지 않는 경우가 있을 수 있다. 예를 들어, 아웃바운드 패킷의 MAC 주소가 IP-MAC 데이터베이스에 존재하지 않는 경우, 해당 아웃바운드 패킷은 차단되지 않고 외부 네트워크로 전송될 수 있으며, 화이트리스트 목록에 있는 MAC 주소를 갖고 있는 아웃바운드 패킷 또한 차단되지 않고 외부 네트워크로 전송될 수 있다. 이하에서는 화이트리스트 목록에 있는 MAC 주소를 갖고 있는 아웃바운드 패킷의 처리 과정에 대해서 설명하도록 한다.

도 5 는 본 발명의 실시 예에 따른 스푸핑 패킷 예외 처리의 흐름도를 나타낸 것이다. 아웃바운드 패킷이 스푸핑 패킷으로 판단된 경우, 단계 S510에서는 아웃바운드 패킷의 MAC 주소가 화이트리스트에 존재하는가 여부를 판단한다. 아웃바운드 패킷의 MAC 주소가 화이트리스트에 존재하는 경우 단계 S520에서는 예외적으로 해당 패킷이 외부 네트워크로 전송되는 것을 허용한다. 한편, 스푸핑 패킷의 MAC 주소가 화이트리스트에 존재하지 않는 경우 단계 S530에서는 해당 패킷이 외부 네트워크로 전송되는 것을 차단하게 된다.

도 6 은 본 발명의 실시 예에 따른 정보 패킷의 데이터 구조를 나타낸 것이다. 에이전트로부터 제어기로 송신되는 정보 패킷은 호스트에 설정된 IP 주소 및 MAC 주소를 포함한다. 정보 패킷은 정보 패킷의 버전(610), 물리적 또는 논리적 네트워크 인터페이스(NIF)의 개수(620) 및 각 인터페이스에 설정된 IP 주소 및 MAC 주소(630, 640 및 650)를 포함한다. IP 주소 및 MAC 주소는 네트워크 인터페이스(NIF)의 개수만큼 저장되게 된다. 이러한 정보 패킷을 수신한 제어기는 정보 패킷으로부터 추출한 IP 주소 및 MAC 주소에 따라 IP-MAC 데이터베이스를 구축하게 된다.

도 7 은 본 발명의 실시 예에 따른 IP 스푸핑을 차단하는 신호 처리 흐름을 나타낸 것이다. 도 7을 참조하면, 네트워크에는 2개의 호스트(700a 및 700c)가 존재하며 호스트(700a)는 IP 스푸퍼로 동작하고, 호스트(700c)는 정상적인 호스트로 동작한다. IP 스푸퍼(700a) 및 정상 호스트(700c)에는 각각 에이전트(700b) 및 에이전트(700d)가 설치되어 있다. 네트워크는 내부 네트워크와 외부 네트워크의 트래픽을 중계하는 제어기(700e) 및 게이트웨이(700f)를 더 포함한다.

에이전트(700b)는 IP 스푸퍼(700a)의 IP(210.1.1.1) 및 MAC(00:0E:A6:81:50:F3) 을 포함하는 정보 패킷(720a)를 제어기(700e)로 전송한다. 또한, 에이전트(700d)는 정상 호스트(700c)의 IP(210.1.1.2) 및 MAC(00:0E:A6:81:50:F4)을 포함하는 정보 패킷(730a)를 제어기(700e)로 전송한다. 에이전트(700b 및 700d)는 주기적으로 IP스푸퍼(700a) 및 정상 호스트(700c)의 IP 주소 및 MAC 주소를 조사하여, IP 주소 또는 MAC 주소에 변경이 있는 경우 변경된 주소를 반영한 정보 패킷을 제어기(700e)에 송신할 수 있다.

제어기(700e)는 정보 패킷(720a) 및 정보 패킷(730a)에 기초하여 IP-MAC 데이터베이스(710)를 구축한다. IP-MAC 데이터베이스(710)는 아웃바운드 패킷이 스푸핑된 패킷인지 여부를 판단하는데 사용된다.

정상 호스트(700c)로부터 전송되는 패킷(730b)에 포함되어 있는 IP 주소는 210.1.1.2이며, MAC 주소는 00:0E:A6:81:50:F4 이다. 210.1.1.2의 IP 주소 및 00:0E:A6:81:50:F4의 MAC 주소는 IP-MAC 데이터베이스(710)에 일치하므로 패킷(730b)은 제어기(700e)를 통과하여 게이트웨이(700f)로 전송되게 된다(730d). 마찬가지로 정상호스트(700c)로부터 전송되는 패킷(730c)은 제어기(700e)를 통과하여 게이트웨이(700f)로 전송되게 된다(730e).

한편, IP 스푸퍼(700a)로부터 전송되는 패킷(720b)은 IP 스푸핑된 패킷으로서 218.1.1.1의 IP 주소 및 00:0E:A6:81:50:F3의 MAC 주소를 포함한다. 제어기(700e)에서는 패킷(720b)의 IP 주소 및 MAC 주소를 추출하여 IP-MAC 데이터베이스(710)와 비교한다. 이 경우 패킷(720b)의 IP 주소 및 MAC 주소에 일치하는 IP-MAC 주소쌍이 IP-MAC 데이터베이스(710)에 존재하지 않으므로 패킷(720b)는 외부 네트워크로 전달되지 않고 차단된다.

마찬가지로, 패킷(720c)는 ARP 스푸핑된 패킷으로서 210.1.1.2 의 IP 주소 및 00:0E:A6:81:50:F3의 MAC 주소를 포함한다. IP 스푸퍼의 실제 IP 는 210.1.1.1 로서, 210.1.1.2는 정상 호스트(700c)의 IP 주소이다. 즉, ARP 스푸핑된 패킷인 패킷(720c)의 IP 주소 및 MAC 주소에 일치하는 IP 주소 및 MAC 주소가 IP-MAC 데이터베이스(710)에 존재하지 않으므로 패킷(720c)는 외부 네트워크로 전달되지 않고 차단된다. 이 경우 차단된 패킷(720b 및 720c)에 포함된 MAC 주소는 00:0E:A6:81:50:F3 이므로 IP-MAC 데이터베이스(710)에서 00:0E:A6:81:50:F3의 MAC 주소에 대응되는 IP 주소를 조회하면 210.1.1.1 이 조회된다. 즉, 차단된 패킷에 포함된 MAC 주소로부터 스푸퍼(700a)의 실제 IP인 210.1.1.1을 추적할 수 있다.

도 8 은 본 발명의 실시 예에 따른 스푸핑 방지 장치의 블록도를 도시한 것이다. 에이전트(800a, 800b, 800c 및 800d)는 각각 호스트에 설치되어 호스트의 IP 주소 및 MAC 주소가 포함된 정보 패킷(810a, 810b, 810c 및 810d)을 제어기(820)로 송신하는 역할을 수행한다. 에이전트(800d)는 에이전트(800d)가 설치된 호스트의 IP 주소 또는 MAC 주소가 변경되는지 여부를 주기적으로 검사하는 검사부(800e)를 더 포함할 수 있으며, IP 주소 또는 MAC 주소가 변경된 경우에는 변경된 IP 주소 또는 MAC 주소가 포함된 정보 패킷을 제어기(820)로 송신하게 된다. 본 실시예에서는 검사부(800e)가 에이전트(800d)에만 포함된 것으로 도시하였으나, 모든 에이전트(800a, 800b, 800c 및 800d)에 포함되도록 하여도 좋다.

제어기(820)는 내부 네트워크와 외부 네트워크의 트래픽을 중계하는 역할을 한다. 제어기(820)와 호스트 각각의 사이에는 L3 라우팅이 없어 호스트 각각으로부터 전송되는 패킷의 MAC 주소는 호스트의 실제 네트워크 인터페이스의 MAC 주소와 동일하다.

제어기(820)는 하나 이상의 정보 패킷(810a, 810b, 810c 및 810d)을 수집하여 하나 이상의 호스트의 IP 주소 및 MAC 주소를 포함하는 IP-MAC 데이터베이스를 구축하는 구축부(820a)를 포함한다. 또한, 제어기(820)는 호스트로부터 전송되는 아웃바운드 패킷에 포함되어 있는 IP 주소 및 MAC 주소를 IP-MAC 데이터베이스의 IP-MAC 주소쌍과 비교하는 비교부(820b)를 포함한다.

제어기(820)는 아웃바운드 패킷의 IP 주소 및 MAC 주소가 IP-MAC 데이터베이스와 일치하지 않는 경우 데이터 패킷을 스푸핑 패킷으로 판단하는 판단부(820c)를 포함한다. 또한, 제어기(820)는 스푸핑 패킷을 필터링하는 필터링부(820d)를 포함한다. 필터링부(820d)는 허용부(820e)와 차단부(820f), 화이트리스트(820h)를 포함하는데, 허용부(820e)는 스푸핑 패킷의 MAC 주소가 화이트리스트(820h)에 존재하는 경우 스푸핑 패킷이 외부 네트워크로 전송되는 것을 허용하고, 차단부(820f)는 스푸핑 패킷의 MAC 주소가 화이트리스트(820h)에 존재하지 않는 경우 스푸핑 패킷이 외부 네트워크로 전송되는 것을 차단한다. 또한, 제어기(820)는 IP-데이터 베이스에서 스푸핑 패킷의 MAC 주소에 대응하는 IP 주소를 조회하여 스푸퍼의 실제 IP 주소를 추적하는 추적부(820g) 를 더 포함할 수 있다.

본 실시형태의 모듈, 기능 블록들 또는 수단들은 전자 회로, 집적 회로, ASIC (Application Specific Integrated Circuit) 등 공지된 다양한 소자들로 구현될 수 있으며, 각각 별개로 구현되거나 2 이상이 하나로 통합되어 구현될 수 있다.

이상, 본 발명의 바람직한 실시형태가 설명되었지만, 본 발명은 이들 특정의 실시형태에 한정되지 않고, 후속하는 청구범위의 범주로부터 벗어나지 않고 다양한 변경 및 변형이 이루어질 수 있으며, 그것도 본 발명의 범주내에 속한다 할 것이다.

Claims

하나 이상의 호스트의 IP 주소 및 MAC 주소가 포함된 정보 패킷을 수신하여 IP-MAC 데이터베이스를 구축하는 단계와;

상기 호스트로부터 전송되는 아웃바운드(Out-Bound) 패킷에 포함된 IP 주소 및 MAC 주소를 상기 IP-MAC 데이터베이스 내의 IP-MAC 주소쌍과 비교하는 단계와;

상기 아웃바운드 패킷의 IP 주소 및 MAC 주소가 상기 IP-MAC 데이터베이스 내의 IP-MAC 주소쌍과 일치하지 않는 경우 상기 아웃바운드 패킷을 스푸핑 패킷으로 판단하는 단계와;

상기 스푸핑 패킷을 필터링하는 단계를 포함하는,

스푸핑 방지 방법.
제 1 항에 있어서,

상기 IP-MAC 데이터베이스에서 상기 스푸핑 패킷의 MAC 주소에 대응하는 IP 주소를 조회하여, 스푸퍼의 실제 IP 주소를 추적하는 단계를 더 포함하는

스푸핑 방지 방법.
제 1 항에 있어서,

상기 스푸핑 패킷을 필터링하는 단계는,

상기 스푸핑 패킷의 MAC 정보가 화이트리스트에 존재하는 경우 상기 스푸핑 패킷의 전송을 허용하는 단계; 및

상기 스푸핑 패킷의 MAC 정보가 화이트리스트에 존재하지 않는 경우 상기 스푸핑 패킷의 전송을 차단하는 단계를 포함하는

스푸핑 방지 방법.
제 1 항에 있어서,

상기 IP-MAC 데이터베이스를 구축하는 단계는,

상기 하나 이상의 호스트 각각에 에이전트를 설치하는 단계와;

상기 에이전트로부터 상기 정보 패킷을 수집하는 단계를 포함하는

스푸핑 방지 방법.
제 4 항에 있어서,

상기 정보 패킷을 수집하는 단계는,

상기 하나 이상의 호스트 각각의 IP 주소 또는 MAC 주소가 변경되는지 여부를 상기 에이전트로 주기적으로 검사하는 단계; 및

IP 주소 또는 MAC 주소가 변경된 경우 변경된 IP 주소 또는 변경된 MAC 주소가 포함된 정보 패킷을 수집하는 단계를 포함하는

스푸핑 방지 방법.
스푸핑을 방지하기 위한 장치로서,

하나 이상의 호스트 각각에 설치되어 대응하는 호스트의 IP 주소 및 MAC 주소가 포함된 정보 패킷을 송신하는 에이전트와,

상기 에이전트로부터 상기 정보 패킷을 수집하여, 상기 수집한 정보 패킷에 기반하여 스푸핑 패킷을 검출하는 제어기를 포함하며,

상기 제어기는,

상기 에이전트로부터 수신한 정보 패킷을 분석하여 상기 하나 이상의 호스트의 IP 주소 및 MAC 주소를 포함하는 IP-MAC 데이터베이스를 구축하는 구축부와;

호스트로부터 전송되는 아웃바운드 패킷에 포함된 IP 주소 및 MAC 주소를 상기 IP-MAC 데이터베이스 내의 IP-MAC 주소쌍과 비교하는 비교부와;

상기 아웃바운드 패킷의 IP 주소 및 MAC 주소가 상기 IP-MAC 데이터베이스 내의 IP-MAC 주소쌍과 일치하지 않는 경우 상기 아웃바운드 패킷을 스푸핑 패킷으로 판단하는 판단부와;

상기 스푸핑 패킷을 필터링하는 필터링부를 포함하는

스푸핑 방지 장치.
제 6 항에 있어서,

상기 제어기는,

상기 IP-MAC 데이터베이스에서 상기 스푸핑 패킷의 MAC 주소에 대응하는 IP 주소를 조회하여, 스푸퍼의 실제 IP 주소를 추적하는 추적부를 더 포함하는

스푸핑 방지 장치.
제 6 항에 있어서,

상기 필터링부는,

상기 스푸핑 패킷의 MAC 주소가 화이트리스트에 존재하는 경우 상기 스푸핑 패킷을 허용하는 허용부와;

상기 스푸핑 패킷의 MAC 주소가 화이트리스트에 존재하지 않는 경우 상기 스푸핑 패킷을 차단하는 차단부를 포함하는

스푸핑 방지 장치.
제 6 항에 있어서,

상기 각 에이전트는,

대응하는 호스트의 IP 주소 또는 MAC 주소가 변경되는지 여부를 주기적으로 검사하는 검사부를 포함하고,

상기 각 에이전트는 IP 주소 또는 MAC 주소가 변경된 경우 변경된 IP 주소 또는 변경된 MAC 주소가 포함된 정보 패킷을 상기 제어기로 송신하는

스푸핑 방지 장치.
스푸핑을 방지하기 위한 제어기로서,

하나 이상의 호스트 각각에 설치된 에이전트로부터 상기 호스트의 IP주소 및 MAC 주소가 포함된 정보 패킷을 수신하여 상기 하나 이상의 호스트의 IP 주소 및 MAC 주소를 포함하는 IP-MAC 데이터베이스를 구축하는 구축부와;

호스트로부터 전송되는 아웃바운드 패킷에 포함된 IP 정보 및 MAC 정보를 상기 IP-MAC 데이터베이스와 비교하는 비교부와;

상기 아웃바운드 패킷의 IP 정보 및 MAC 정보가 상기 IP-MAC 데이터베이스와 일치하지 않는 경우 상기 아웃바운드 패킷을 스푸핑 패킷으로 판단하는 판단부와;

상기 스푸핑 패킷을 필터링하는 필터링부를 포함하는

스푸핑 방지 제어기.