주소 결정 프로토콜, ARP(Address Resolution Protocol)는 네트워크의 논리 주소(IP)로부터 물리 주소(MAC)를 찾아내는 프로토콜로 많은 네트워크에 사용되고 있다. 그러나 ARP는 메시지 내용의 진위를 검증할 수 있는 수단이 없기 때문에, 이를 이용한 공격이 많이 이루어지고 있다. 많은 연구자들이 ARP의 안전성을 보완하는 많은 기술들을 제안하였지만, 대부분은 ARP의 안전성을 향상하는 대신에 네트워크의 성능을 희생하거나 많은 구현 비용을 요구한다. 이 논문에서는 ARP 기반의 공격을 무력화하는 AAR(Address Auto-Resolution, 주소 자동 결정) 네트워크를 제안한다. AAR에서는 기존의 ARP 테이블을 사용하지 않는 것이 아니라 요청(request), 응답(reply) 등 기본적인 ARP 메시지를 사용하지 않으며, MAC 주소를 IP 주소로부터 유도할 수 있도록 설계하여 ARP 테이블을 사전지식(IP, MAC 주소의 쌍) 없이 정적으로 관리할 수 있게 한다. 이 시스템은 기본적인 ARP 메시지 기능을 차단하므로 ARP 기반의 공격을 무력화할 수 있는 동시에 네트워크 트래픽을 절약하는 효과도 있다.
주소 결정 프로토콜, ARP(Address Resolution Protocol)는 네트워크의 논리 주소(IP)로부터 물리 주소(MAC)를 찾아내는 프로토콜로 많은 네트워크에 사용되고 있다. 그러나 ARP는 메시지 내용의 진위를 검증할 수 있는 수단이 없기 때문에, 이를 이용한 공격이 많이 이루어지고 있다. 많은 연구자들이 ARP의 안전성을 보완하는 많은 기술들을 제안하였지만, 대부분은 ARP의 안전성을 향상하는 대신에 네트워크의 성능을 희생하거나 많은 구현 비용을 요구한다. 이 논문에서는 ARP 기반의 공격을 무력화하는 AAR(Address Auto-Resolution, 주소 자동 결정) 네트워크를 제안한다. AAR에서는 기존의 ARP 테이블을 사용하지 않는 것이 아니라 요청(request), 응답(reply) 등 기본적인 ARP 메시지를 사용하지 않으며, MAC 주소를 IP 주소로부터 유도할 수 있도록 설계하여 ARP 테이블을 사전지식(IP, MAC 주소의 쌍) 없이 정적으로 관리할 수 있게 한다. 이 시스템은 기본적인 ARP 메시지 기능을 차단하므로 ARP 기반의 공격을 무력화할 수 있는 동시에 네트워크 트래픽을 절약하는 효과도 있다.
Address resolution protocol (ARP) is used for binding a logical address to a physical address in many network technologies. However, since ARP is an stateless protocol, it always abused for performing ARP-based attacks. Researchers presented many technologies to improve ARP protocol, but most of the...
Address resolution protocol (ARP) is used for binding a logical address to a physical address in many network technologies. However, since ARP is an stateless protocol, it always abused for performing ARP-based attacks. Researchers presented many technologies to improve ARP protocol, but most of them require a high implementation cost or scarify the network performance for improving security of ARP protocol. In this paper, we present an address auto-resoultion (AAR) network system to neutralize the ARP-based attacks. The AAR turns off the communication function of ARP messages(e.g. request and reply), but does not disable the ARP table. In our system, the MAC address of destination was designed to be derived from destination IP address so that the ARP table can be managed statically without prior knowledge (e.g., IP and MAC address pairs). In general, the AAR is safe from the ARP-based attacks since it disables the ARP messages and saves network traffics due to so.
Address resolution protocol (ARP) is used for binding a logical address to a physical address in many network technologies. However, since ARP is an stateless protocol, it always abused for performing ARP-based attacks. Researchers presented many technologies to improve ARP protocol, but most of them require a high implementation cost or scarify the network performance for improving security of ARP protocol. In this paper, we present an address auto-resoultion (AAR) network system to neutralize the ARP-based attacks. The AAR turns off the communication function of ARP messages(e.g. request and reply), but does not disable the ARP table. In our system, the MAC address of destination was designed to be derived from destination IP address so that the ARP table can be managed statically without prior knowledge (e.g., IP and MAC address pairs). In general, the AAR is safe from the ARP-based attacks since it disables the ARP messages and saves network traffics due to so.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
논문에서는 ARP 기반의 공격을 무력화하는 AAR 네트워크 시스템을 제안하였다. 이 시스템에서는 ARP의 통신 기능을 차단하므로, ARP 기반의 공격을 무력화할 수 있지만 정적 ARP 테이블을 사용하여 기존과 같이 정상적인 통신이 이루어진다.
앞으로 AAR 시스템에 브로드캐스트 암호화를 기반으로 시드 값을 동적으로 관리하도록 하여 L2 접근 제어 기능을 구현하는 것을 목표로 한다.
이 논문에서는 AAR 네트워크 시스템의 보안성과 기본적인 성능을 검증하기 위해서 다양한 실험을 수행하였다.
이 논문에서는 AAR 네트워크의 ARP 공격에 대한 보안성을 검증하기 위하여, AAR 네트워크와 표준 ARP 네트워크에 ARP 스푸핑 공격을 각각 20번 반복하여 수행하였다. 이 실험에서는 Fig.
이 논문에서는 ARP 기반의 공격을 무력화하기 위한 주소 자동 결정(AAR, Address Auto-Resolution) 네트워크를 제안한다. 이 시스템에서는 동적 ARP 테이블 대신 정적 ARP 테이블을 사용하고, ARP 메시지를 사용하지 않기 때문에 ARP 메시지 기반의 공격을 무력화한다.
가설 설정
내부 공격자는 제안한 AAR 시스템에서 공개된 K, 함수 H() 또는 유휴 IP 주소를 안다고 가정한다.
제안 방법
arp[17] 등 리눅스 커맨드로 구성하였다. ARP의 통신 기능 차단하기 위해서 ip 커맨드를 사용하였고, NIC의 MAC 주소는 ifconfig 커맨드를 이용하여 변경하였으며, ARP 테이블의 추가 및 삭제는 arp 커맨드로 이루어졌다. MAC 주소를 계산하기 위해 호출하는 프로그램은 C로 작성하였으며, 내부의 해시 함수는 SHA-256을 사용하였다.
또한 AAR 네트워크의 트래픽 절약 효과를 측정하기 위하여 AAR 네트워크와 표준 ARP 네트워크를 사용할 때, 4개의 사용자 호스트가 존재하는 네트워크에서 게이트웨이를 통과한 모든 패킷을 오전 9시부터 오후 6시까지 분석하였다.
Alharbi 등은 SDN을 이용하여 ARP 공격에 대한 방어 기법을 제시했다[10]. 이 기법은 SDN 스위치에 설치된 SARP NAT를 이용하여 ARP 요청 이력을 기록하고 이에 대한 ARP 응답의 유효성을 검증한 뒤, 중앙 컨트롤러에서 ARP 응답 메시지의 정확성을 보장하는 방식으로 ARP 기반의 공격을 방어한다. Moon 등은 각 사용자 장치에 설치된 에이전트에서 ARP 캐시 테이블에 변화를 모니터링하고 이를 이용하여 ARP 공격을 탐지하는 방법을 제안하였다[11].
이 논문에서 제안하는 AAR 네트워크 시스템은 ARP 테이블의 정보를 업데이트하기 위한 메시지를 사용하지 않으면서도 동시에 추가적인 장비를 이용하지 않아 경제성 및 효율성 측면에서 우수하다. 이 논문에서는 기존 연구결과 [13]의 바탕으로 AAR 시스템의 설계를 향상하였으며, 추가 실험 및 분석을 통해 AAR의 성능을 입증하였다.
이 논문에서는 AAR 네트워크 시스템의 보안성과 기본적인 성능을 검증하기 위해서 다양한 실험을 수행하였다. 이 논문에서는 이러한 실험을 위하여 OpenWRT[14] 시스템을 TP-Link AC1750에 탑재하여 유선 기능만을 사용하여 게이트웨이를 구성하였다(Table 2). OpenWRT는 리눅스 기반의 운영체제이며 다양한 리눅스 라이브러리 및 쉘 프로그래밍을 지원한다.
ARP 스푸핑 공격이 가능한 이유는 ARP 응답 메시지 내용의 진위를 검증할 수 없기 때문이다. 이 시스템에서는 ARP 기반의 공격을 원천적으로 방어하기 위해서 ARP의 통신 기능을 차단한다. 여기서 ARP 통신 기능 차단은 ARP 요청, 응답 등 ARP 메시지의 송신 및 수신 기능을 차단한다는 것을 뜻하며, ARP 캐시 테이블은 기존과 동일하게 유지한다.
ARP 요청, 응답 등 메시지의 통신 기능을 차단하면, ARP 테이블을 업데이트 할 수 없고, 통신하고자 하는 호스트의 물리 주소(MAC 주소)를 알 수 없어, 데이터 링크 계층(즉, MAC 레이어)을 통하여 통신이 불가능하다. 이 시스템에서는 표준 ARP에서 ARP 메시지를 이용하여 동적으로 ARP 테이블을 사용하는 대신, 정적 ARP 테이블을 사용한다.
이 실험에서는 Fig. 2와 같이 네트워크를 구성하고 공격자가 운영체제 Kali Linux(kernel ver.4.3.0)에서 ARPspoof[18]와 sslstrip[19]를 이용하여 게이트웨이의 ARP 캐시를 업데이트하는 공격 수행하였다.
이 시스템에서는 ARP의 통신 기능을 차단하므로, ARP 기반의 공격을 무력화할 수 있지만 정적 ARP 테이블을 사용하여 기존과 같이 정상적인 통신이 이루어진다. 정적 ARP 캐시를 사용하려면 네트워크상에 모든 디바이스의 IP, MAC 주소의 쌍에 대한 정보를 수집해야 되는데, 이 시스템에서는 디바이스의 MAC 주소를 IP주소로부터 유도할 수 있게 설계하여 정보 수집에 의한 인력 낭비 문제를 해결했다. 또한 네트워크의 통신 구간에 ARP 패킷이 존재 하지 않기 때문에 네트워크 트래픽을 절약하는 효과도 얻을 수 있었다.
추가적으로 AAR 네트워크를 셋팅하기 위한 시간을 측정하기 위해서 클래스 C 네트워크의 모든 호스트들(254개의 IP 주소)에 해당하는 MAC 주소를 생성하는 수행 시간을 100번 반복하여 측정하였다.
성능/효과
4에서 보다시피, AAR 시스템에서 같은 실험을 진행한 경우 모든 네트워크 상황에서 ARP 패킷이 존재하지 않는다. 따라서 제안한 시스템에서는 정상 네트워크 시스템에서 ARP 패킷이 차지한 트래픽만큼의 절약효과를 얻을 수 있었다.
정적 ARP 캐시를 사용하려면 네트워크상에 모든 디바이스의 IP, MAC 주소의 쌍에 대한 정보를 수집해야 되는데, 이 시스템에서는 디바이스의 MAC 주소를 IP주소로부터 유도할 수 있게 설계하여 정보 수집에 의한 인력 낭비 문제를 해결했다. 또한 네트워크의 통신 구간에 ARP 패킷이 존재 하지 않기 때문에 네트워크 트래픽을 절약하는 효과도 얻을 수 있었다. 제안한 AAR 시스템은 추가적인 장비치를 사용하지 않고 기존 네트워크 커널 구조의 변경도 요구되지 않기 때문에 쉽게 구현할 수 있었다.
기존의 제안되었던 많은 방법들은 호스트의 동적 구성에 대비하여 메시지 기반의 ARP 테이블을 관리하는 방법론을 채용하고 있거나, 추가적인 장비를 이용하여 메시지를 배제하고 ARP 테이블을 관리하도록 하고 있다. 이 논문에서 제안하는 AAR 네트워크 시스템은 ARP 테이블의 정보를 업데이트하기 위한 메시지를 사용하지 않으면서도 동시에 추가적인 장비를 이용하지 않아 경제성 및 효율성 측면에서 우수하다. 이 논문에서는 기존 연구결과 [13]의 바탕으로 AAR 시스템의 설계를 향상하였으며, 추가 실험 및 분석을 통해 AAR의 성능을 입증하였다.
또한 네트워크의 통신 구간에 ARP 패킷이 존재 하지 않기 때문에 네트워크 트래픽을 절약하는 효과도 얻을 수 있었다. 제안한 AAR 시스템은 추가적인 장비치를 사용하지 않고 기존 네트워크 커널 구조의 변경도 요구되지 않기 때문에 쉽게 구현할 수 있었다.
내부 공격자는 제안한 AAR 시스템에서 공개된 K, 함수 H() 또는 유휴 IP 주소를 안다고 가정한다. 제안한 시스템의 게이트웨이에 대해 ARP 스푸핑 공격한 결과 20번의 공격이 모두 실패하였으며 AAR 시스템은 내부 공격자로부터 안전하다는 것을 증명하였다. 반면, 표준 ARP 네트워크에서는 20번의 ARP 스푸핑 공격이 모두 성공하였다.
질의응답
핵심어
질문
논문에서 추출한 답변
ARP란 무엇인가?
ARP(Address Resolution Protocol)은 데이터 링크 계층에서 네트워크의 논리 주소(IP 주소)를 물리 주소(MAC 주소)로 바인딩 하는 프로토콜이다. 정상적으로 네트워크 통신이 이루어지기 위해서는 호스트들의 IP들과 MAC 주소를 바인딩 하여 저장하는 ARP 테이블(캐시)이 필요하며 ARP 요청(request) 및 응답(reply) 메시지에 통해 관리된다.
정상적으로 네트워크 통신이 이루어지기 위해 무엇이 필요한가?
ARP(Address Resolution Protocol)은 데이터 링크 계층에서 네트워크의 논리 주소(IP 주소)를 물리 주소(MAC 주소)로 바인딩 하는 프로토콜이다. 정상적으로 네트워크 통신이 이루어지기 위해서는 호스트들의 IP들과 MAC 주소를 바인딩 하여 저장하는 ARP 테이블(캐시)이 필요하며 ARP 요청(request) 및 응답(reply) 메시지에 통해 관리된다. 그러나 ARP 메시지는 누가 보냈는지를 검증할 수 있는 수단이 없기 때문에, 만약 같은 네트워크에 있는 호스트가 변조된 ARP 메시지를 보낼 경우 그 메시지를 받은 사용자는 잘못된 MAC 주소로 데이터를 보내게 된다.
ARP 스푸핑(spoofing) 공격은 무엇을 이용해 수행이 가능한가?
정상적으로 네트워크 통신이 이루어지기 위해서는 호스트들의 IP들과 MAC 주소를 바인딩 하여 저장하는 ARP 테이블(캐시)이 필요하며 ARP 요청(request) 및 응답(reply) 메시지에 통해 관리된다. 그러나 ARP 메시지는 누가 보냈는지를 검증할 수 있는 수단이 없기 때문에, 만약 같은 네트워크에 있는 호스트가 변조된 ARP 메시지를 보낼 경우 그 메시지를 받은 사용자는 잘못된 MAC 주소로 데이터를 보내게 된다. 이를 이용하여 ARP 스푸핑(spoofing) 공격을 수행할 수 있으며, 성공했을 경우 피해자는 중간자(Man-in-the-Middle) 공격 등 다양한 보안 위협에 노출되게 된다.
D. Bruschi, A. Ornaghi, and E. Rosti, "S-ARP: a Secure Address Resolution Protocol," 19th Annual Computer security Application Conference (ACSAC), Las Vegas, pp. 66-74, 2003.
M. Oh, Y. Kim, S. Hong, and S.D. Cha, "ASA: Agent-based Secure ARP Cache Management," IET Communications, Vol.6, No.7, pp.685-693, 2012.
S. Y. Nam, D. W. Kim, and J. G. Kim, "Enhanced ARP: Preventing ARP Poisoning-Based Man-in-the-Middle Attacks," IEEE Communications Letters (ICL), Vol.14, No.2, pp.187-189, 2010.
P. Pandey, "Prevention of ARP spoofing: A Probe Packet based Technique," Advance Computing Conference (IACC), Ghaziabad, pp.147-153, 2013.
A. M. Abdelsalam, W. S. Elkilani, and K. M. Amin, "An Automated Approach for Preventing ARP spoofing Attack using Static ARP Entries," International Journal of Advanced Computer Science and Applocations (IJACSA), Vol.5, No.1, 2014.
D. Srinath, S. Panimalar, A. J. Simla, and J. Deepa, "Detection and Prevention of ARP spoofing using Centralized Server," International Journal of Computer Applications, Vol.113, No.19, Mar., 2015.
T. Alharbi, D. Durando, F. Pakzad, and M. Portmann, "Securing ARP in Software Defined Networks," 41st IEEE Conference on Local Computer Networks, Dubai, pp. 523-526, 2016.
D. Moon, J. Lee, Y. Jeong, and J. Park, "RTNSS: a Routing Trace-Based Network Security System for Preventing ARP Spoofing Attacks," The Journal of Supercomputing, Vol.72, No.5, pp.1740-1756, 2016.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.