WO2017018651A1 - Device and method for preventing pharming attack by using dns modulation - Google Patents

Device and method for preventing pharming attack by using dns modulation Download PDF

Info

Publication number
WO2017018651A1
WO2017018651A1 PCT/KR2016/005680 KR2016005680W WO2017018651A1 WO 2017018651 A1 WO2017018651 A1 WO 2017018651A1 KR 2016005680 W KR2016005680 W KR 2016005680W WO 2017018651 A1 WO2017018651 A1 WO 2017018651A1
Authority
WO
WIPO (PCT)
Prior art keywords
dns
packet
server
vpn
destination address
Prior art date
Application number
PCT/KR2016/005680
Other languages
French (fr)
Korean (ko)
Inventor
박형배
Original Assignee
주식회사 수산아이앤티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 수산아이앤티 filed Critical 주식회사 수산아이앤티
Publication of WO2017018651A1 publication Critical patent/WO2017018651A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming

Abstract

The present invention relates to a pharming attack prevention device and method for installing both a VPN client and a VPN server in a terminal, monitoring a packet transmitted between the VPN client and the VPN server, changing an address of a destination of a DNS request packet to a preset safe address of a DNS server when the packet is the DNS request packet, and transmitting the changed DNS request packet.

Description

DNS 변조를 통한 파밍 공격 방지 장치 및 방법Apparatus and method for preventing pharming attack through DNS tampering
아래의 설명은 파밍 공격을 방지하기 위한 기술에 관한 것으로, DNS 요청 패킷의 목적지 주소를 변경하여 파밍 공격을 방지하는 방법 및 시스템에 관한 것이다.The following description relates to a technique for preventing a pharming attack, and relates to a method and system for preventing a pharming attack by changing a destination address of a DNS request packet.
파밍 공격이란, 해커가 공유기(AP) 등을 해킹하여 DNS((Domain Name System) 서버의 주소를 자기들의 가짜 DNS 서버의 주소로 바꿈으로써 사용자가 가짜 DNS 서버에 접속하면 사용자의 정보를 탈취하는 공격 등을 말한다. 예를 들어, 해커는 커피숍의 공유기를 해킹하여 그 공유기에서 지정하는 DNS 서버의 주소를 자기들 주소로 바꾼다. A pharming attack is one in which a hacker hacks a router (AP) and changes the address of a DNS (Domain Name System) server to the address of their fake DNS server, thereby stealing the user's information when the user connects to the fake DNS server. For example, a hacker hacks a coffee shop's router and changes the address of the DNS server specified by the router to its address.
사용자의 휴대용 단말기(스마트폰)는 주로 DHCP(dynamic host configuration protocol)를 이용하여 IP주소를 AP로부터 받아 설정한다. 이때, 휴대용 단말기는 DNS 서버 주소도 AP로부터 받아서 설정한다. 하지만, AP가 해킹되었으면 잘못된 DNS 서버 주소가 설정되게 된다.A user's portable terminal (smartphone) receives and sets an IP address from an AP mainly using a dynamic host configuration protocol (DHCP). At this time, the portable terminal also receives and sets the DNS server address from the AP. However, if the AP is hacked, the wrong DNS server address is set.
해커는 설정한 특정 사이트를 제외한 다른 사이트에 대한 DNS 동작은 정상적으로 수행되도록 하고, 특정 사이트에 대해서는 자기들의 가짜 사이트의 주소를 휴대용 단말기로 제공하고, 사용자가 가짜 사이트의 주소로 접속하면, 이를 이용하여 사용자의 정보를 탈취할 수 있다. The hacker makes sure that the DNS operation for other sites except the one set by the user is performed normally. For the specific site, the hacker provides the address of the fake site to the mobile terminal. When the user accesses the address of the fake site, It can take over user's information.
예를 들어, www.kbstar.com에 대해서 실제의 ip 주소가 아닌 가짜 ip 주소를 휴대용 단말기로 돌려주고, 사용자가 가짜 ip 주소에 접속하면, 사용자의 주요 금융정보를 획득하여 실제 국민은행 사이트에서 사용자의 예금 등을 탈취하는 공격이 가능하다. For example, www.kbstar.com returns the fake IP address to the portable terminal instead of the actual IP address. When the user accesses the fake IP address, the user obtains the user's main financial information and then uses the user at the actual Kookmin Bank site. Attacks can be used to steal deposits.
다시 말하면, 파밍 공격은 합법적으로 소유하고 있던 사용자의 도메인을 탈취하거나 DNS 이름을 속여서 사람들이 진짜 사이트로 오해하도록 유도하는 인터넷 사기 기법을 의미하는 것으로, 아예 해당 사이트가 공식적으로 운영하고 있던 도메인 자체를 중간에서 탈취하고 사용자들은 늘 이용하는 사이트로 알고 의심하지 않고 개인 아이디, 비밀번호, 계좌번호 등을 노출시키게 된다. In other words, a pharming attack is an Internet fraud technique that attempts to steal a user's domain from a legally owned user or trick a DNS name to mislead people into a real site. In the middle of the hijacking and users know that the site is always used without any doubt revealing personal ID, password, account number.
이러한 파밍 공격은 DHCP를 통해서 공유기(AP)를 통해 DNS 서버의 주소를 수신하여 설정하는 휴대용 단말기(스마트폰)에서 더욱 취약하다. 따라서, 이러한 휴대용 단말기에 적합한 파밍 공격 방지 방법이 요구된다.Such a pharming attack is more vulnerable in a portable terminal (smartphone) that receives and sets the address of a DNS server through a router (AP) through DHCP. Therefore, there is a need for a pharming attack prevention method suitable for such a portable terminal.
본 발명은 상기와 같은 종래 기술의 문제점을 해결하고자 도출된 것으로서, DNS 변조를 통한 파밍 공격 방지 장치 및 방법을 제공하는 것을 목적으로 한다.The present invention was derived to solve the problems of the prior art as described above, and an object thereof is to provide an apparatus and method for preventing pharming attacks through DNS modulation.
구체적으로, 본 발명은 단말기에 VPN 클라이언트와 VPN 서버를 모두 설치하고, VPN 클라이언트와 VPN 서버 사이에 전송되는 패킷을 모니터링 하고, DNS 요청 패킷인 경우 DNS 요청 패킷의 목적지 주소를 기설정된 안전한 DNS 서버의 주소로 변경하고, 변경된 DNS 요청 패킷을 송신하여서 파밍 공격 방지 장치 및 방법을 제공하는 것을 목적으로 한다.Specifically, the present invention installs both a VPN client and a VPN server in the terminal, monitors the packets transmitted between the VPN client and the VPN server, and in the case of the DNS request packet, the destination address of the DNS request packet of the secure DNS server. An object of the present invention is to provide an apparatus and method for preventing pharming attack by changing to an address and transmitting a changed DNS request packet.
상기와 같은 목적을 달성하기 위하여, 본 발명의 일 실시 예에 따른 파밍 공격 방지 방법은, 단말기 내에 VPN(virtual private network) 클라이언트와 VPN 서버를 모두 설치하는 단계; 상기 단말기에서 송신하는 모든 패킷이 상기 VPN 클라이언트와 상기 VPN 서버를 통해 송신되도록 설정하는 단계; 상기 VPN 클라이언트와 상기 VPN 서버 사이에서 송수신되는 패킷을 모니터링하는 단계; 상기 VPN 클라이언트에서 상기 VPN 서버로 전달되는 패킷이 DNS 요청 패킷(Domain Name System query packet)이면, 상기 DNS 요청 패킷의 목적지 주소를 기설정된 안전한 DNS 서버의 주소로 변경하는 단계; 및 상기 변경된 DNS 요청 패킷을 상기 VPN 서버로 전달하는 단계를 포함한다.In order to achieve the above object, a pharming attack prevention method according to an embodiment of the present invention, installing both a VPN (virtual private network) client and VPN server in the terminal; Setting all packets transmitted from the terminal to be transmitted through the VPN client and the VPN server; Monitoring packets transmitted and received between the VPN client and the VPN server; If the packet transmitted from the VPN client to the VPN server is a Domain Name System query packet, changing a destination address of the DNS request packet to a predetermined secure DNS server address; And forwarding the modified DNS request packet to the VPN server.
이때, 상기 DNS 요청 패킷의 목적지 주소를 기설정된 안전한 DNS 서버의 주소로 변경하는 단계는, 상기 DNS 요청 패킷의 목적지 주소를 기존 목적지 주소로 저장하여 관리할 수 있다.In this case, the step of changing the destination address of the DNS request packet to the address of a predetermined secure DNS server may be managed by storing the destination address of the DNS request packet as an existing destination address.
한편, 파밍 공격 방지 방법은, 상기 VPN 서버에서 상기 VPN 클라이언트로 전달되는 패킷이 DNS 응답 패킷(Domain Name System response packet)이면, 상기 DNS 응답 패킷의 소스 주소를 대응하는 상기 기존 목적지 주소로 변경하는 단계; 및 상기 변경된 DNS 응답 패킷을 상기 VPN 클라이언트로 전달하는 단계를 더 포함할 수 있다.On the other hand, the pharming attack prevention method, if the packet transmitted from the VPN server to the VPN client is a DNS Name Packet (Domain Name System response packet), changing the source address of the DNS response packet to the corresponding existing destination address; ; And forwarding the modified DNS response packet to the VPN client.
이때, 상기 단말기에서 송신하는 모든 패킷이 상기 VPN 클라이언트와 상기 VPN 서버를 통해 송신되도록 설정하는 단계는, 사용자에게 보호모드의 실행여부를 문의하는 화면을 출력하고, 상기 사용자로부터 상기 보호모드의 실행을 선택 받으면, 상기 단말기에서 송신하는 모든 패킷이 상기 VPN 클라이언트와 상기 VPN 서버를 통해 송신되도록 설정할 수 있다.In this case, the setting of all packets transmitted from the terminal to be transmitted through the VPN client and the VPN server may include outputting a screen for asking a user whether to execute the protected mode and executing the protected mode from the user. If it is selected, all packets transmitted from the terminal can be set to be transmitted through the VPN client and the VPN server.
이때, 상기 DNS 요청 패킷의 목적지 주소를 기설정된 안전한 DNS 서버의 주소로 변경하는 단계는, 상기 VPN 클라이언트에서 상기 VPN 서버로 전달되는 패킷이 DNS 요청 패킷이면, 상기 DNS 요청 패킷의 목적지 주소를 확인하는 단계; 상기 DNS 요청 패킷의 목적지 주소가 안전한 DNS 서버 목록에 포함되어 있는 안전한 주소인지 확인하는 단계; 및 확인 결과 상기 DNS 요청 패킷의 목적지 주소가 상기 안전한 DNS 서버 목록에 포함되어 있지 않으면, 상기 DNS 요청 패킷의 목적지 주소를 상기 안전한 DNS 서버 목록에 포함된 주소 중에 하나로 변경하는 단계를 포함할 수 있다.In this case, the step of changing the destination address of the DNS request packet to the address of a predetermined secure DNS server, if the packet transmitted from the VPN client to the VPN server is a DNS request packet, to determine the destination address of the DNS request packet step; Checking whether the destination address of the DNS request packet is a secure address included in a secure DNS server list; And if the destination address of the DNS request packet is not included in the secure DNS server list, changing the destination address of the DNS request packet to one of the addresses included in the secure DNS server list.
본 발명의 다른 일 실시 예에 따른 DNS 변조를 통한 파밍 공격 방지 방법은, 스마트폰에 설치되는 앱의 동작방법에 있어서, 상기 스마트폰으로부터 외부로 송신되는 모든 패킷을 외부로 송신 되기 전에 인터셉트하는 단계; 상기 패킷이 DNS 요청 패킷(Domain Name System query packet)인지 판단하는 단계; 및 상기 패킷이 DNS 요청 패킷인 경우, 상기 DNS 요청 패킷의 목적지 주소를 기설정된 안전한 DNS 서버의 주소로 변경하여 송신하는 단계를 포함한다.In the method for preventing pharming attack through DNS modulation according to another embodiment of the present invention, in the method of operating an app installed on a smartphone, intercepting all packets transmitted from the smartphone to the outside before being transmitted to the outside ; Determining whether the packet is a Domain Name System query packet; And if the packet is a DNS request packet, changing the destination address of the DNS request packet to an address of a predetermined secure DNS server and transmitting the changed address.
이때, 상기 DNS 요청 패킷의 목적지 주소를 기설정된 안전한 DNS 서버의 주소로 변경하여 송신하는 단계는, 상기 DNS 요청 패킷의 목적지 주소를 기존 목적지 주소로 저장하여 관리할 수 있다.In this case, in the step of transmitting the destination address of the DNS request packet to a preset secure DNS server address, the destination address of the DNS request packet may be stored and managed as an existing destination address.
한편, 파밍 공격 방지 방법은, DNS 응답 패킷(Domain Name System response packet)을 수신하면, 상기 DNS 응답 패킷의 소스 주소를 대응하는 상기 기존 목적지 주소로 변경하는 단계를 더 포함할 수 있다.Meanwhile, the pharming attack prevention method may further include changing a source address of the DNS response packet to a corresponding existing destination address when receiving a DNS name response packet.
본 발명은 단말기에 VPN 클라이언트와 VPN 서버를 모두 설치하고, VPN 클라이언트와 VPN 서버 사이에 전송되는 패킷을 모니터링 하고, DNS 요청 패킷인 경우 DNS 요청 패킷의 목적지 주소를 기설정된 안전한 DNS 서버의 주소로 변경하고, 변경된 DNS 요청 패킷을 송신하는 파밍 공격 방지 장치 및 방법에 관한 것으로, 안전하다고 사전에 확인된 DNS 서버를 이용하도록 강제하여서 파밍 공격을 방지할 수 있다.The present invention installs both a VPN client and a VPN server in the terminal, monitors the packets transmitted between the VPN client and the VPN server, and in the case of the DNS request packet, changes the destination address of the DNS request packet to the address of a predetermined secure DNS server. The present invention relates to a pharming attack prevention device and a method for transmitting a changed DNS request packet. The pharming attack can be prevented by forcing the use of a DNS server that has been confirmed as safe.
도 1은 일 실시예에 따라 DNS 변조를 통한 파밍 공격 방지 장치의 구성을 도시한 도면이다.1 is a diagram illustrating a configuration of a pharming attack prevention apparatus through DNS modulation according to an embodiment.
도 2는 일 실시예에 따라 파밍 공격 방지하는 어플을 설치하는 과정을 도시한 흐름도이다.2 is a flowchart illustrating a process of installing an application for preventing a pharming attack, according to an exemplary embodiment.
도 3은 일 실시예에 따라 파밍 공격을 방지하는 과정을 도시한 흐름도이다.3 is a flowchart illustrating a process of preventing a pharming attack according to an embodiment.
도 4는 다른 실시예에 따라 파밍 공격을 방지하는 과정을 도시한 흐름도이다.4 is a flowchart illustrating a process of preventing a pharming attack according to another exemplary embodiment.
도 5는 또 다른 실시예에 따라 파밍 공격을 방지하는 과정을 도시한 흐름도이다.5 is a flowchart illustrating a process of preventing a pharming attack according to another embodiment.
상기 목적 외에 본 발명의 다른 목적 및 특징들은 첨부 도면을 참조한 실시 예에 대한 설명을 통하여 명백히 드러나게 될 것이다.Other objects and features of the present invention in addition to the above object will be apparent from the description of the embodiments with reference to the accompanying drawings.
본 발명의 바람직한 실시예를 첨부된 도면들을 참조하여 상세히 설명한다. 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.Preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. In describing the present invention, when it is determined that the detailed description of the related well-known configuration or function may obscure the gist of the present invention, the detailed description thereof will be omitted.
그러나, 본 발명이 실시예들에 의해 제한되거나 한정되는 것은 아니다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.However, the present invention is not limited or limited by the embodiments. Like reference numerals in the drawings denote like elements.
이하에서는, 본 발명의 일 실시 예에 따른 DNS 변조를 통한 파밍 공격 방지 장치 및 방법을 첨부된 도 1 내지 도 5를 참조하여 상세히 설명한다.Hereinafter, an apparatus and method for preventing pharming attack through DNS modulation according to an embodiment of the present invention will be described in detail with reference to FIGS. 1 to 5.
도 1은 일 실시예에 따라 DNS 변조를 통한 파밍 공격 방지 장치의 구성을 도시한 도면이다.1 is a diagram illustrating a configuration of a pharming attack prevention apparatus through DNS modulation according to an embodiment.
도 1을 참조하면, 파밍 공격을 방지하는 휴대용 단말기(100)는 제어부(110)와 통신부(120)를 포함하고, 제어부(110)는 VPN(virtual private network) 클라이언트(112), VPN 서버(116) 및 파밍 방지부(114)를 포함하여 구성될 수 있다.Referring to FIG. 1, a portable terminal 100 for preventing a pharming attack includes a control unit 110 and a communication unit 120, and the control unit 110 includes a VPN (virtual private network) client 112 and a VPN server 116. ) And a pharming prevention part 114 may be configured.
통신부(120)는 수신기(Receiver)와 송신기(transmitter)를 포함하는 통신 인터페이스 장치로서 유선 또는 무선으로 데이터를 송수신한다.The communication unit 120 is a communication interface device including a receiver and a transmitter, and transmits and receives data by wire or wirelessly.
통신부(120)는 DNS(Domain Name System) 서버와 통신하여 DNS 요청 패킷(Domain Name System query packet)을 송신하고, DNS 응답 패킷(Domain Name System response packet)을 수신할 수 있다.The communication unit 120 may communicate with a Domain Name System (DNS) server to transmit a Domain Name System query packet and receive a Domain Name System response packet.
통신부(120)는 무선 통신을 하는 경우, 안테나(미도시)를 통해 입출력되는 데이터의 무선신호를 송수신 처리하는 기능을 수행할 수 있다. 예를 들어, 송신인 경우, 송신할 데이터를 채널 코딩(Channel coding) 및 확산(Spreading)한 후, RF처리하여 송신하는 기능을 수행하고, 수신인 경우, 수신된 RF신호를 기저대역신호로 변환하고 상기 기저대역신호를 역 확산(De-spreading) 및 채널 복호(Channel decoding)하여 데이터를 복원하는 기능을 수행한다.When performing wireless communication, the communicator 120 may perform a function of transmitting and receiving a radio signal of data input / output through an antenna (not shown). For example, in the case of transmission, after performing channel coding and spreading on the data to be transmitted, RF processing is performed to transmit the data. In the case of reception, the received RF signal is converted into a baseband signal. The baseband signal is de-spreaded and channel decoded to restore data.
VPN(virtual private network) 클라이언트(112)는 VPN 서버(116)와 일종의 네트워크 터널을 형성하고, 외부로 송신하는 모든 패킷을 VPN 서버(116)로 송신한다. The virtual private network (VPN) client 112 forms a kind of network tunnel with the VPN server 116, and transmits all packets to the VPN server 116 to the outside.
VPN 서버(116)는 VPN 클라이언트(112)와 형성된 네트워크 터널을 통해 수신하는 패킷을 통신부(120)를 통해 송신하고, 통신부(120)를 통해 수신하는 패킷을 VPN 클라이언트(112)로 제공한다.The VPN server 116 transmits the packet received through the network tunnel formed with the VPN client 112 through the communication unit 120, and provides the packet received through the communication unit 120 to the VPN client 112.
파밍 방지부(114)는 VPN 클라이언트(112)와 VPN 서버(116) 사이에서 송수신되는 패킷을 모니터링하고, VPN 클라이언트(112)에서 VPN 서버(116)로 전달되는 패킷이 DNS 요청 패킷(Domain Name System query packet)이면, DNS 요청 패킷의 목적지 주소를 기설정된 안전한 DNS 서버의 주소로 변경하고, 변경된 DNS 요청 패킷을 VPN 서버(116)로 전달한다.The anti-pharming unit 114 monitors packets transmitted and received between the VPN client 112 and the VPN server 116, and the packets transmitted from the VPN client 112 to the VPN server 116 are DNS request packets (Domain Name System). query packet), the destination address of the DNS request packet is changed to the address of a predetermined secure DNS server, and the changed DNS request packet is forwarded to the VPN server 116.
파밍 방지부(114)는 DNS 요청 패킷의 목적지 주소를 기설정된 안전한 DNS 서버의 주소로 변경할 때, DNS 요청 패킷의 목적지 주소를 기존 목적지 주소로 저장하여 관리하고, 이후, VPN 서버(116)에서 VPN 클라이언트(112)로 전달되는 패킷이 DNS 응답 패킷(Domain Name System response packet)이면, DNS 응답 패킷의 소스 주소를 대응하는 기존 목적지 주소로 변경하고, 변경된 DNS 응답 패킷을 VPN 클라이언트(112)로 전달할 수 있다.When the pharming protection unit 114 changes the destination address of the DNS request packet to a preset secure DNS server address, the pharming prevention unit 114 stores and manages the destination address of the DNS request packet as an existing destination address, and then, the VPN server 116 stores the VPN address. If the packet transmitted to the client 112 is a Domain Name System response packet, the source address of the DNS response packet may be changed to a corresponding existing destination address, and the changed DNS response packet may be forwarded to the VPN client 112. have.
한편, 파밍 방지부(114)는 DNS 요청 패킷의 목적지 주소를 무조건 하나의 기설정된 안전한 DNS 서버의 주소로 변경할 수도 있지만, DNS 요청 패킷의 목적지 주소가 안전한 DNS 서버 목록에 포함되어 있는 안전한 주소인지 확인하고, 확인 결과 DNS 요청 패킷의 목적지 주소가 안전한 DNS 서버 목록에 포함되어 있지 않으면, DNS 요청 패킷의 목적지 주소를 안전한 DNS 서버 목록에 포함된 주소 중에 하나로 변경하는 변경할 수도 있다.Meanwhile, the pharming prevention unit 114 may change the destination address of the DNS request packet to an address of one predetermined safe DNS server, but checks whether the destination address of the DNS request packet is a safe address included in the secure DNS server list. If the verification result does not include the destination address of the DNS request packet in the secure DNS server list, the destination address of the DNS request packet may be changed to one of the addresses included in the secure DNS server list.
제어부(110)는 휴대용 단말기(100)의 전반적인 동작을 제어할 수 있다. 그리고, 제어부(110)는 VPN 클라이언트(112), VPN 서버(116) 및 파밍 방지부(114)의 기능을 수행할 수 있다. 제어부(110), VPN 클라이언트(112), VPN 서버(116) 및 파밍 방지부(114)를 구분하여 도시한 것은 각 기능들을 구별하여 설명하기 위함이다. 따라서 제어부(110)는 VPN 클라이언트(112), VPN 서버(116) 및 파밍 방지부(114) 각각의 기능을 수행하도록 구성된(configured) 적어도 하나의 프로세서를 포함할 수 있다. 또한, 제어부(110)는 VPN 클라이언트(112), VPN 서버(116) 및 파밍 방지부(114) 각각의 기능 중 일부를 수행하도록 구성된(configured) 적어도 하나의 프로세서를 포함하도록 구성될 수도 있다.The controller 110 may control the overall operation of the portable terminal 100. The controller 110 may perform the functions of the VPN client 112, the VPN server 116, and the pharming prevention unit 114. The controller 110, the VPN client 112, the VPN server 116, and the pharming prevention unit 114 are illustrated separately to describe the respective functions. Accordingly, the controller 110 may include at least one processor configured to perform functions of the VPN client 112, the VPN server 116, and the anti-pharming unit 114. In addition, the controller 110 may be configured to include at least one processor configured to perform some of the functions of the VPN client 112, the VPN server 116, and the anti-pharming unit 114.
한편, 본 발명에서 VPN 클라이언트(112), VPN 서버(116) 및 파밍 방지부(114)를 포함하는 파밍 방지를 위한 구성은 휴대용 단말기에 한정되는 것이 아니며, 개인용 컴퓨터(PC)에도 적용할 수 있다.On the other hand, in the present invention, the configuration for the anti-pharming including the VPN client 112, VPN server 116 and the anti-pharming unit 114 is not limited to a portable terminal, it can be applied to a personal computer (PC). .
이하, 상기와 같이 구성된 본 발명에 따른 DNS 변조를 통한 파밍 공격 방지 방법을 아래에서 도면을 참조하여 설명한다.Hereinafter, a method for preventing pharming attack through DNS modulation according to the present invention configured as described above will be described with reference to the accompanying drawings.
도 2는 일 실시예에 따라 파밍 공격 방지하는 어플을 설치하는 과정을 도시한 흐름도이다.2 is a flowchart illustrating a process of installing an application for preventing a pharming attack, according to an exemplary embodiment.
도 2를 참조하면, 휴대용 단말기(100)는 사용자로부터 파밍 공격 방지 어플의 설치가 요청됨을 감지하면(210), 휴대용 단말기(100) 내에 VPN 클라이언트(112)와 VPN 서버(116)를 모두 설치한다(220).Referring to FIG. 2, when the portable terminal 100 detects that a user is requested to install a pharming attack prevention application (210), the portable terminal 100 installs both the VPN client 112 and the VPN server 116 in the portable terminal 100. (220).
그리고, 휴대용 단말기(100)는 보호모드 실행을 문의하는 화면을 출력한다(230).In operation 230, the portable terminal 100 outputs a screen for inquiring to execute the protection mode.
그리고, 휴대용 단말기(100)는 사용자로부터 보호모드를 실행을 선택함을 감지하면(240), 휴대용 단말기(100)는 휴대용 단말기(100)에서 송신하는 모든 패킷이 VPN 클라이언트와 VPN 서버를 통해 송신되도록 설정한다(250).When the portable terminal 100 detects that the user selects to execute the protection mode (240), the portable terminal 100 transmits all packets transmitted from the portable terminal 100 through the VPN client and the VPN server. Set 250.
그리고, 휴대용 단말기(100)는 VPN 클라이언트와 VPN 서버 사이에서 송수신되는 패킷을 모니터링하는 보호모드를 실행한다(260).In operation 260, the portable terminal 100 monitors a packet transmitted and received between the VPN client and the VPN server.
그러면, 파밍 방지를 위해 보호모드를 실행하는 예를 도 3과 도 4를 통해서 설명한다.Next, an example of executing the protection mode to prevent pharming will be described with reference to FIGS. 3 and 4.
도 3은 일 실시예에 따라 파밍 공격을 방지하는 과정을 도시한 흐름도이다.3 is a flowchart illustrating a process of preventing a pharming attack according to an embodiment.
도 3을 참조하면, 파밍 방지부(114)(또는 파밍 방지 장치)는 VPN 클라이언트(112)에서 VPN 서버(116)로 전달되는 패킷이 DNS 요청 패킷(Domain Name System query packet)인지 확인하고, DNS 요청 패킷이면(310), DNS 요청 패킷의 목적지 주소를 확인한다(320).Referring to FIG. 3, the pharming prevention unit 114 (or pharming prevention device) checks whether a packet transferred from the VPN client 112 to the VPN server 116 is a DNS name packet (DNS). If the request packet (310), the destination address of the DNS request packet is confirmed (320).
그리고, 파밍 방지부(114)는 목적지 주소를 기존 목적지 주소로 저장한다(330).In operation 330, the pharming prevention unit 114 stores the destination address as an existing destination address.
그리고, 파밍 방지부(114)는 목적지 주소를 기설정된 안전한 DNS 서버의 주소로 변경한다(340).The anti-pharming unit 114 changes the destination address to an address of a predetermined secure DNS server (340).
그리고, 파밍 방지부(114)는 변경된 DNS 요청 패킷을 VPN 서버로 송신한다(350).The pharming prevention unit 114 transmits the changed DNS request packet to the VPN server (350).
이후 파밍 방지부(114)는 VPN 서버(116)에서 VPN 클라이언트(112)로 전달되는 패킷이 DNS 응답 패킷(Domain Name System response packet)이면(360), DNS 응답 패킷의 소스 주소를 대응하는 기존 목적지 주소로 변경하여 변경된 DNS 응답 패킷을 VPN 클라이언트(112)로 전달한다(370).If the packet transmitted from the VPN server 116 to the VPN client 112 is a domain name system response packet (360), then the anti-pharming unit 114 matches an existing destination corresponding to the source address of the DNS response packet. The changed DNS response packet is transferred to the VPN client 112 by changing to an address (370).
도 4는 다른 실시예에 따라 파밍 공격을 방지하는 과정을 도시한 흐름도이다.4 is a flowchart illustrating a process of preventing a pharming attack according to another exemplary embodiment.
도 4를 참조하면, 파밍 방지부(114)(또는 파밍 방지 장치)는 VPN 클라이언트(112)에서 VPN 서버(116)로 전달되는 패킷이 DNS 요청 패킷(Domain Name System query packet)인지 확인하고, DNS 요청 패킷이면(410), DNS 요청 패킷의 목적지 주소를 확인한다(420).Referring to FIG. 4, the pharming prevention unit 114 (or pharming prevention device) checks whether a packet transmitted from the VPN client 112 to the VPN server 116 is a DNS name packet, and then performs a DNS If the request packet (410), the destination address of the DNS request packet is confirmed (420).
그리고, 파밍 방지부(114)는 목적지 주소가 안전한 DNS 서버 목록에 포함되어 있는 안전한 주소인지 확인한다(422).The anti-pharming unit 114 checks whether the destination address is a safe address included in the safe DNS server list (422).
422단계의 확인결과 목적지 주소가 안전한 DNS 서버 목록에 포함되어 있지 않으면, 파밍 방지부(114)는 목적지 주소를 기존 목적지 주소로 저장한다(430).In operation 422, if the destination address is not included in the secure DNS server list, the pharming prevention unit 114 stores the destination address as an existing destination address (430).
그리고, 파밍 방지부(114)는 목적지 주소를 기설정된 안전한 DNS 서버의 주소로 변경한다(440).The pharming prevention unit 114 changes the destination address to an address of a preset secure DNS server (440).
그리고, 파밍 방지부(114)는 변경된 DNS 요청 패킷을 VPN 서버로 송신한다(450).The pharming prevention unit 114 transmits the changed DNS request packet to the VPN server (450).
이후 파밍 방지부(114)는 VPN 서버(116)에서 VPN 클라이언트(112)로 전달되는 패킷이 DNS 응답 패킷(Domain Name System response packet)이면(460), DNS 응답 패킷의 소스 주소를 대응하는 기존 목적지 주소로 변경하여 변경된 DNS 응답 패킷을 VPN 클라이언트(112)로 전달한다(470).If the packet transmitted from the VPN server 116 to the VPN client 112 is a domain name system response packet (460), then the anti-pharming unit 114 matches an existing destination corresponding to the source address of the DNS response packet. The changed DNS response packet is transferred to the VPN client 112 by changing to an address (470).
도 5는 또 다른 실시예에 따라 파밍 공격을 방지하는 과정을 도시한 흐름도이다.5 is a flowchart illustrating a process of preventing a pharming attack according to another embodiment.
도 5를 참조하면, 스마트폰(휴대용 단말기)는 외부로 송신되는 모든 패킷을 외부로 송신 되기 전에 인터셉트한다(510).Referring to FIG. 5, a smartphone (portable terminal) intercepts all packets transmitted to the outside before being transmitted to the outside (510).
그리고, 스마트폰은 인터셉트한 패킷이 DNS 요청 패킷(Domain Name System query packet)인지 확인한다(520).In operation 520, the smartphone checks whether the intercepted packet is a Domain Name System query packet.
520단계의 확인결과 인터셉트한 패킷이 DNS 요청 패킷이면, 스마트폰은 DNS 요청 패킷의 목적지 주소를 기설정된 안전한 DNS 서버의 주소로 변경하여 기설정된 안전한 DNS 서버로 송신한다(530).If the intercepted packet is the DNS request packet in step 520, the smartphone changes the destination address of the DNS request packet to the address of the preset secure DNS server and transmits the address to the preset secure DNS server (530).
이때, 스마트폰은 DNS 요청 패킷의 목적지 주소를 기존 목적지 주소로 저장하여 관리할 수 있다.In this case, the smart phone may store and manage the destination address of the DNS request packet as an existing destination address.
이후, 스마트폰은 DNS 응답 패킷(Domain Name System response packet)을 수신하면(550), DNS 응답 패킷의 소스 주소를 대응하는 기존 목적지 주소로 변경한다(560).Thereafter, when the smartphone receives the Domain Name System response packet (550), the smartphone changes the source address of the DNS response packet to the corresponding existing destination address (560).
본 발명의 일 실시 예에 따른 DNS 변조를 통한 파밍 공격 방지 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The method for preventing pharming attack through DNS modulation according to an embodiment of the present invention may be implemented in the form of program instructions that can be executed by various computer means and recorded in a computer readable medium. The computer readable medium may include program instructions, data files, data structures, etc. alone or in combination. Program instructions recorded on the media may be those specially designed and constructed for the purposes of the present invention, or they may be of the kind well-known and available to those having skill in the computer software arts. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tape, optical media such as CD-ROMs, DVDs, and magnetic disks, such as floppy disks. Magneto-optical media, and hardware devices specifically configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine code generated by a compiler, but also high-level language code that can be executed by a computer using an interpreter or the like. The hardware device described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.
이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. In the present invention as described above has been described by the specific embodiments, such as specific components and limited embodiments and drawings, but this is provided to help a more general understanding of the present invention, the present invention is not limited to the above embodiments. For those skilled in the art, various modifications and variations are possible from these descriptions.
따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.Therefore, the spirit of the present invention should not be limited to the described embodiments, and all of the equivalents and equivalents of the claims, as well as the following claims, will fall within the scope of the present invention. .

Claims (9)

  1. 단말기 내에 VPN(virtual private network) 클라이언트와 VPN 서버를 모두 설치하는 단계;Installing both a virtual private network (VPN) client and a VPN server in the terminal;
    상기 단말기에서 송신하는 모든 패킷이 상기 VPN 클라이언트와 상기 VPN 서버를 통해 송신되도록 설정하는 단계;Setting all packets transmitted from the terminal to be transmitted through the VPN client and the VPN server;
    상기 VPN 클라이언트와 상기 VPN 서버 사이에서 송수신되는 패킷을 모니터링하는 단계;Monitoring packets transmitted and received between the VPN client and the VPN server;
    상기 VPN 클라이언트에서 상기 VPN 서버로 전달되는 패킷이 DNS 요청 패킷(Domain Name System query packet)이면, 상기 DNS 요청 패킷의 목적지 주소를 기설정된 안전한 DNS 서버의 주소로 변경하는 단계; 및If the packet transmitted from the VPN client to the VPN server is a Domain Name System query packet, changing a destination address of the DNS request packet to a predetermined secure DNS server address; And
    상기 변경된 DNS 요청 패킷을 상기 VPN 서버로 전달하는 단계Forwarding the changed DNS request packet to the VPN server
    를 포함하는 DNS 변조를 통한 파밍 공격 방지 방법.How to prevent pharming attack by using DNS tampering.
  2. 제1항에 있어서,The method of claim 1,
    상기 DNS 요청 패킷의 목적지 주소를 기설정된 안전한 DNS 서버의 주소로 변경하는 단계는,Changing the destination address of the DNS request packet to the address of a preset secure DNS server,
    상기 DNS 요청 패킷의 목적지 주소를 기존 목적지 주소로 저장하여 관리하는Storing and managing a destination address of the DNS request packet as an existing destination address
    DNS 변조를 통한 파밍 공격 방지 방법.How to prevent pharming attacks through DNS tampering.
  3. 제2항에 있어서,The method of claim 2,
    상기 VPN 서버에서 상기 VPN 클라이언트로 전달되는 패킷이 DNS 응답 패킷(Domain Name System response packet)이면, 상기 DNS 응답 패킷의 소스 주소를 대응하는 상기 기존 목적지 주소로 변경하는 단계; 및If the packet transmitted from the VPN server to the VPN client is a Domain Name System response packet, changing the source address of the DNS response packet to the corresponding destination address; And
    상기 변경된 DNS 응답 패킷을 상기 VPN 클라이언트로 전달하는 단계Forwarding the modified DNS response packet to the VPN client
    를 더 포함하는 DNS 변조를 통한 파밍 공격 방지 방법.How to prevent pharming attack through DNS tampering further comprising.
  4. 제1항에 있어서,The method of claim 1,
    상기 단말기에서 송신하는 모든 패킷이 상기 VPN 클라이언트와 상기 VPN 서버를 통해 송신되도록 설정하는 단계는,Setting all the packets transmitted from the terminal to be transmitted through the VPN client and the VPN server,
    사용자에게 보호모드의 실행여부를 문의하는 화면을 출력하고, 상기 사용자로부터 상기 보호모드의 실행을 선택 받으면, 상기 단말기에서 송신하는 모든 패킷이 상기 VPN 클라이언트와 상기 VPN 서버를 통해 송신되도록 설정하는Outputting a screen for inquiring whether the user executes the protected mode, and if the user is selected to execute the protected mode, all packets transmitted from the terminal are set to be transmitted through the VPN client and the VPN server;
    DNS 변조를 통한 파밍 공격 방지 방법.How to prevent pharming attacks through DNS tampering.
  5. 제1항에 있어서,The method of claim 1,
    상기 DNS 요청 패킷의 목적지 주소를 기설정된 안전한 DNS 서버의 주소로 변경하는 단계는,Changing the destination address of the DNS request packet to the address of a preset secure DNS server,
    상기 VPN 클라이언트에서 상기 VPN 서버로 전달되는 패킷이 DNS 요청 패킷이면, 상기 DNS 요청 패킷의 목적지 주소를 확인하는 단계;If the packet transmitted from the VPN client to the VPN server is a DNS request packet, checking a destination address of the DNS request packet;
    상기 DNS 요청 패킷의 목적지 주소가 안전한 DNS 서버 목록에 포함되어 있는 안전한 주소인지 확인하는 단계; 및Checking whether the destination address of the DNS request packet is a secure address included in a secure DNS server list; And
    확인 결과 상기 DNS 요청 패킷의 목적지 주소가 상기 안전한 DNS 서버 목록에 포함되어 있지 않으면, 상기 DNS 요청 패킷의 목적지 주소를 상기 안전한 DNS 서버 목록에 포함된 주소 중에 하나로 변경하는 단계If the destination address of the DNS request packet is not included in the secure DNS server list, changing the destination address of the DNS request packet to one of the addresses included in the secure DNS server list.
    를 포함하는 DNS 변조를 통한 파밍 공격 방지 방법.How to prevent pharming attack by using DNS tampering.
  6. 스마트폰에 설치되는 앱의 동작방법에 있어서,In the operation method of the app installed on the smartphone,
    상기 스마트폰으로부터 외부로 송신되는 모든 패킷을 외부로 송신 되기 전에 인터셉트하는 단계;Intercepting all packets transmitted from the smartphone to the outside before being sent out;
    상기 패킷이 DNS 요청 패킷(Domain Name System query packet)인지 판단하는 단계; 및Determining whether the packet is a Domain Name System query packet; And
    상기 패킷이 DNS 요청 패킷인 경우, 상기 DNS 요청 패킷의 목적지 주소를 기설정된 안전한 DNS 서버의 주소로 변경하여 송신하는 단계 If the packet is a DNS request packet, changing the destination address of the DNS request packet to an address of a predetermined secure DNS server and transmitting the same;
    를 포함하는 DNS 변조를 통한 파밍 공격 방지 방법.How to prevent pharming attack by using DNS tampering.
  7. 제6항에 있어서,The method of claim 6,
    상기 DNS 요청 패킷의 목적지 주소를 기설정된 안전한 DNS 서버의 주소로 변경하여 송신하는 단계는,Transmitting the destination address of the DNS request packet to the address of a predetermined secure DNS server, and transmitting,
    상기 DNS 요청 패킷의 목적지 주소를 기존 목적지 주소로 저장하여 관리하는Storing and managing a destination address of the DNS request packet as an existing destination address
    DNS 변조를 통한 파밍 공격 방지 방법.How to prevent pharming attacks through DNS tampering.
  8. 제7항에 있어서,The method of claim 7, wherein
    DNS 응답 패킷(Domain Name System response packet)을 수신하면, 상기 DNS 응답 패킷의 소스 주소를 대응하는 상기 기존 목적지 주소로 변경하는 단계Upon receiving a Domain Name System response packet, changing a source address of the DNS response packet to a corresponding existing destination address;
    를 더 포함하는 DNS 변조를 통한 파밍 공격 방지 방법.How to prevent pharming attack through DNS tampering further comprising.
  9. 제1항의 방법을 실행하기 위한 프로그램이 기록되어 있는 것을 특징으로 하는 컴퓨터에서 판독 가능한 기록 매체.A computer-readable recording medium in which a program for executing the method of claim 1 is recorded.
PCT/KR2016/005680 2015-07-29 2016-05-30 Device and method for preventing pharming attack by using dns modulation WO2017018651A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR10-2015-0107320 2015-07-29
KR1020150107320A KR101728760B1 (en) 2015-07-29 2015-07-29 Apparatus and method for pharming attack prevention through dns modulation

Publications (1)

Publication Number Publication Date
WO2017018651A1 true WO2017018651A1 (en) 2017-02-02

Family

ID=57884546

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2016/005680 WO2017018651A1 (en) 2015-07-29 2016-05-30 Device and method for preventing pharming attack by using dns modulation

Country Status (2)

Country Link
KR (1) KR101728760B1 (en)
WO (1) WO2017018651A1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010081109A (en) * 2008-09-24 2010-04-08 Fuji Xerox Co Ltd Communication system, management apparatus, relay equipment, and program
JP2010233169A (en) * 2009-03-30 2010-10-14 Secom Co Ltd Monitoring system
KR20120006222A (en) * 2010-07-12 2012-01-18 (주)옴니텔 System and method for blocking harmfulness equipped blocking application against harmful website and application
US20140344917A1 (en) * 2013-05-16 2014-11-20 Cisco Technology, Inc. Application services based on dynamic split tunneling
US20150199430A1 (en) * 2007-10-31 2015-07-16 Microsoft Technology Licensing, Llc Secure dns query

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150199430A1 (en) * 2007-10-31 2015-07-16 Microsoft Technology Licensing, Llc Secure dns query
JP2010081109A (en) * 2008-09-24 2010-04-08 Fuji Xerox Co Ltd Communication system, management apparatus, relay equipment, and program
JP2010233169A (en) * 2009-03-30 2010-10-14 Secom Co Ltd Monitoring system
KR20120006222A (en) * 2010-07-12 2012-01-18 (주)옴니텔 System and method for blocking harmfulness equipped blocking application against harmful website and application
US20140344917A1 (en) * 2013-05-16 2014-11-20 Cisco Technology, Inc. Application services based on dynamic split tunneling

Also Published As

Publication number Publication date
KR101728760B1 (en) 2017-04-21
KR20170014271A (en) 2017-02-08

Similar Documents

Publication Publication Date Title
US7474655B2 (en) Restricting communication service
US20100122338A1 (en) Network system, dhcp server device, and dhcp client device
WO2011065708A2 (en) System and method for managing ipv6 address and access policy
WO2013055091A1 (en) Method and system for storing information by using tcp communication
WO2013002538A2 (en) Method and apparatus for preventing distributed denial of service attack
JP2010263310A (en) Wireless communication device, wireless communication monitoring system, wireless communication method, and program
US20110154469A1 (en) Methods, systems, and computer program products for access control services using source port filtering
WO2015182873A1 (en) Dns server selective block and dns address modification method using proxy
KR101420650B1 (en) Network separation system and method for network-based using virtual private network
KR200427501Y1 (en) Network security system based on each terminal connected to network
WO2017018651A1 (en) Device and method for preventing pharming attack by using dns modulation
CN105681352A (en) Wi-Fi access security control method and system
WO2018088680A1 (en) Security system and method for processing request for access to blocked site
KR101821794B1 (en) Apparatus, method and system for providing of secure IP communication service
KR100539760B1 (en) System and method for inducing installing agent using internet access control
KR20180116878A (en) DYNAMIC ACCESS CONTROL SYSTEM AND METHOD FOR IoT SECURITY USING THE DETECTION OF FABRICATION AND MODIFICATION
KR102123549B1 (en) Server and method for controlling of internet page access
WO2016195344A1 (en) Network security system and method for blocking drive-by download
CN106027493A (en) Network information protection method, router, server and system
JP2017085273A (en) Control system, control device, control method and program
US9992164B2 (en) User based stateless IPv6 RA-guard
KR20210085425A (en) Apparatus and method for concealing network, computer-readable storage medium and computer program for controlling the holder device
US10602355B2 (en) Device for accessing a wide area network via a mobile communication network
TWI732708B (en) Network security system and network security method based on multi-access edge computing
KR102651735B1 (en) Honeypot system using virtual session and honeypot operation method

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 16830684

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 16830684

Country of ref document: EP

Kind code of ref document: A1