[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

KR20050029800A - Network connection control method - Google Patents

Network connection control method Download PDF

Info

Publication number
KR20050029800A
KR20050029800A KR1020030066010A KR20030066010A KR20050029800A KR 20050029800 A KR20050029800 A KR 20050029800A KR 1020030066010 A KR1020030066010 A KR 1020030066010A KR 20030066010 A KR20030066010 A KR 20030066010A KR 20050029800 A KR20050029800 A KR 20050029800A
Authority
KR
South Korea
Prior art keywords
network
network terminal
arp
address
request message
Prior art date
Application number
KR1020030066010A
Other languages
Korean (ko)
Inventor
김종윤
임훈섭
함준식
김은수
이흥재
Original Assignee
주식회사 신텔정보통신
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 신텔정보통신 filed Critical 주식회사 신텔정보통신
Priority to KR1020030066010A priority Critical patent/KR20050029800A/en
Publication of KR20050029800A publication Critical patent/KR20050029800A/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

A network connection control method is provided to operate an ARP(Address Resolution Protocol) table of a connection control target network terminal, and to continuously maintain a false ARP table, thereby continuously controlling a network connection of the connection control target network terminal. A system receives an ARP request message(S10). The system detects an IP address and an MAC address of a network terminal from the message, and stores association information between IP addresses and MAC addresses of all online network terminals(S20). The system verifies whether the network terminal is a connection target terminal(S30). If not, the system stores an IP address and an MAC address of the uncertified control target network terminal at a mapping table(S40), and transmits a false ARP response message(S50). The system checks states of online network terminals(S70). If the network terminals are in offline state(S80), the system removes IP address and MAC address information of the corresponding network terminals from the mapping table(S90).

Description

네트워크 접속 제어 방법{NETWORK CONNECTION CONTROL METHOD} Network connection control method {NETWORK CONNECTION CONTROL METHOD}

본 발명은 네트워크 접속 제어 방법에 관한 것으로서, 보다 상세하게는 근거리 통신망 환경에서 사용자가 네트워크 단말기를 통해 네트워크에 접속하고자 할 경우 ARP(Address Resolution Protocol) 기술을 이용하여 네트워크 단말기에 장착된 네트워크 인터페이스 카드(Network Interface Card)의 MAC(Media Access Control) 주소에 의한 접속 제어 판별 과정을 거친 후 접속 제어 대상 네트워크 단말기의 ARP 테이블을 허위로 조작하여 네트워크 접속을 지속적으로 제어하는 네트워크 접속 제어 방법에 관한 것이다. The present invention relates to a network access control method, and more particularly, in a local area network environment, when a user wants to access a network through a network terminal, a network interface card mounted on the network terminal using ARP (Address Resolution Protocol) technology ( The present invention relates to a network access control method for continuously controlling network access by falsely manipulating the ARP table of an access control target network terminal after a process of determining access control by a MAC (Media Access Control) address of a network interface card.

ARP(Address Resolution Protocol)기술은 TCP/IP 프로토콜이 통신하기 위하여 IP 주소를 데이터 링크 계층의 부 계층인 MAC에서는 하드웨어 주소로 변환하기 위한 통신 프로토콜이다. 즉, IP를 이용하여 데이터 통신을 하기 위해서는 IP 주소가 설정되어 있는 네트워크 인터페이스 카드의 MAC(Media Access Control)주소 정보를 알아내야 하는데 이때 사용되는 프로토콜이다. ARP (Address Resolution Protocol) technology is a communication protocol for translating an IP address into a hardware address in MAC, which is a sublayer of the data link layer, for the TCP / IP protocol to communicate. In other words, in order to perform data communication using IP, it is necessary to find out the MAC (Media Access Control) address information of the network interface card where the IP address is set.

이러한 ARP를 이용한 네트워크 단말기 제어 기술로는 네트워크 접속제어 시스템에서 비인증 네트워크 단말기의 네트워크 접속을 차단하는 기술들이 있다. As a network terminal control technology using the ARP, there are techniques for blocking network access of unauthorized network terminals in a network access control system.

이러한 기술들을 위하여 비인증 네트워크 단말기가 네트워크에 접속하기 위해 특정 시스템을 목적지로 하여 ARP 요구 메시지를 전송했을 때 이를 수신한 네트워크 접속 차단 시스템이 비인증 네트워크 단말기로 목적지 시스템(destination system)에 대한 허위 ARP 응답 메시지를 전송하여 비인증 네트워크 단말기가 목적지 시스템에 대한 허위 ARP 테이블을 가지도록 하는 방법이 있다. For these technologies, when an unauthorized network terminal sends an ARP request message to a specific system to access a network, the network access blocking system that receives it sends a false ARP response message to the destination system to the unauthorized network terminal. There is a method for transmitting an unauthenticated network terminal to have a false ARP table for a destination system.

이러한 허위 ARP 응답 메시지 전송이란 상기 검출된 접속 제어 대상 네트워크 단말기가 네트워크에 접속하고자 할 경우 접속 제어 대상 네트워크 단말기에서 특정 시스템을 목적지로 하여 전송한 ARP 요구 메시지에 대하여 목적지 시스템의 MAC주소를 허위 MAC주소로 변경한 허위 ARP 응답 메시지를 접속 제어 대상 네트워크 단말기로 전송하여 접속 제어 대상 네트워크 단말기가 목적지 시스템에 대한 허위 ARP테이블을 가지도록 하는 것이다. Such false ARP response message transmission means that when the detected access control target network terminal wants to access the network, the MAC address of the destination system is set as the false MAC address for the ARP request message transmitted from the access control target network terminal to the specific system as a destination. The false ARP response message is changed to the access control target network terminal so that the access control target network terminal has a false ARP table for the destination system.

즉, 접속 제어 대상 네트워크 단말기에서 전송한 패킷이 목적지 시스템에 도달할 수 없도록 하거나 다른 목적지 시스템으로 전달되도록 하여 네트워크 접속을 제어하는 방법이다.That is, it is a method of controlling a network connection by preventing a packet transmitted from a network terminal subject to access control to reach a destination system or to be delivered to another destination system.

도 1에 도시된 네트워크 접속 제어 시스템의 네트워크 단말기 공격부에서 구현된 허위 ARP 응답 메시지 전송 방법을 설명하면 다음과 같다. Referring to the method of transmitting a false ARP response message implemented in the network terminal attack unit of the network access control system shown in FIG.

네트워크 접속 제어 시스템은 네트워크 접속 제어의 대상이 될 수 있는 네트워크 단말기들이 존재하는 근거리 통신망에 설치된다. The network access control system is installed in a local area network in which network terminals that can be subject to network access control exist.

접속 제어 대상 네트워크 단말기(10)인 비인증 네트워크 단말기가 외부 인터넷과 통신을 하기위하여 네트워크에 접속하고자 할 때 접속 제어 대상 네트워크 단말기(10)는 라우터(20)의 MAC 주소를 얻기 위해 라우터(20)를 목적지로 하여 ARP 요구 메시지를 전송하는데, ARP 요구 메시지는 동일한 근거리 통신망에 존재하는 모든 네트워크 단말기 및 네트워크 장비에 전달되므로 네트워크 접속 제어 시스템(30)에도 전달된다. When the non-authenticated network terminal, which is the access control target network terminal 10, wants to access the network for communication with the external Internet, the access control target network terminal 10 uses the router 20 to obtain the MAC address of the router 20. The ARP request message is transmitted to the destination. The ARP request message is transmitted to the network access control system 30 because it is transmitted to all network terminals and network equipment existing in the same local area network.

이러한 ARP 요구 메시지를 수신한 네트워크 접속 제어 시스템(30)은 라우터(20)의 MAC주소를 허위 MAC주소로 변경한 허위 ARP 응답 메시지를 접속 제어 대상 네트워크 단말기(10)로 전송하여 접속 제어 대상 네트워크 단말기(10)가 라우터(20)에 대한 허위 ARP 테이블을 가지도록 한다. The network access control system 30 having received the ARP request message transmits a false ARP response message in which the MAC address of the router 20 is changed to a false MAC address to the access control target network terminal 10 to access the network control target network terminal. Let 10 have a false ARP table for router 20.

따라서, 허위 ARP 응답 메시지를 수신한 접속 제어 대상 네트워크 단말기(10)에서 전송한 패킷은 라우터(20)에 도달할 수 없게 되어 접속 제어 대상 네트워크 단말기(10)의 네트워크 접속을 차단할 수 있게 된다. Therefore, the packet transmitted from the access control target network terminal 10 receiving the false ARP response message cannot reach the router 20, thereby blocking the network connection of the access control target network terminal 10.

그러나, 네트워크 단말기는 자신이 전송한 ARP 요구 메시지에 대한 ARP 응답 메시지를 수신했을 때 뿐만 아니라 목적지가 자신이 아닌 임의의 ARP 요구 메시지를 수신했을 경우에도 자신의 ARP 테이블에서 ARP 요구 메시지를 전송한 출발지 시스템에 대한 IP 주소 정보와 MAC 주소 정보를 변경시키게 된다. However, the network terminal transmits the ARP request message in its ARP table not only when it receives an ARP response message for the ARP request message sent by the network terminal but also when the destination receives an ARP request message other than itself. It will change the IP address information and MAC address information of the system.

도 2는 라우터가 제 1 네트워크 단말기와 통신하기 위해 제 1 네트워크 단말기를 목적지로 ARP 요구 메시지를 전송했을 경우 접속 제어 대상 네트워크 단말기의 ARP 테이블이 변경되는 과정을 나타낸다. 2 illustrates a process of changing an ARP table of an access control target network terminal when the router transmits an ARP request message to a destination to communicate with the first network terminal.

즉, 라우터(20)가 제 1 네트워크 단말기(40)를 목적지로 ARP 요구 메시지를 전송하면 ARP 요구 메시지를 수신한 접속 제어 대상 네트워크 단말기(10)는 ARP 요구 메시지의 목적지가 자신이 아니라 하더라도 자신의 ARP 테이블에서 라우터에 대한 허위 MAC주소 정보를 정상적인 MAC주소 정보로 변경하게 된다. That is, when the router 20 transmits the ARP request message to the destination of the first network terminal 40, the access control target network terminal 10 that receives the ARP request message may receive its own message even if the destination of the ARP request message is not itself. In the ARP table, the false MAC address information of the router is changed to the normal MAC address information.

따라서, 접속 제어 대상 네트워크 단말기인 비인증 네트워크 단말기는 출발지 시스템이 자신이 아닌 다른 시스템을 목적지로 하여 전송한 임의의 정상적인 ARP 요구 메시지에 의해 이전에 네트워크 접속제어 시스템에 의해 네트워크 접속의 차단을 위해 전송한 출발지 시스템에 대한 허위 ARP 응답 메시지를 수신하여 구성했던 허위 ARP 테이블을 정상적인 상태로 복구하여 정상적인 패킷 전송이 가능하게 되므로 비인증 네트워크 단말기의 네트워크 접속을 지속적으로 차단할 수 없는 문제점이 있다. Therefore, the non-authenticated network terminal, which is the access control target network terminal, is previously transmitted by the network access control system to block the network connection by any normal ARP request message sent by the source system to a destination other than itself. Since a false ARP table configured to receive a false ARP response message for the originating system is restored to a normal state, normal packet transmission is possible, and thus there is a problem in that the network connection of the unauthorized network terminal cannot be continuously blocked.

또한, ARP를 이용하여 비인증 네트워크 단말기의 네트워크 접속을 차단하기 위한 방법으로 특정 시스템이 비인증 네트워크 단말기를 목적지로 하여 ARP 요구 메시지를 전송했을 때 이를 수신한 네트워크 접속 차단 시스템이 ARP 요구 메시지를 전송한 출발지 시스템(source system)으로 비인증 네트워크 단말기에 대한 허위 ARP 응답 메시지를 전송하여 상기 출발지 시스템이 비인증 네트워크 단말기에 대한 허위 ARP 테이블을 가지도록 하는 방법이 있다. In addition, as a method for blocking network access of an unauthorized network terminal using ARP, when a specific system sends an ARP request message to a non-authenticated network terminal, the network access blocking system receiving the ARP request message transmits the ARP request message. There is a method of transmitting a false ARP response message for an unauthorized network terminal to a source system so that the source system has a false ARP table for the unauthorized network terminal.

이는 특정 시스템이 비인증 네트워크 단말기를 목적지로 하여 전송한 패킷이 비인증 네트워크 단말기로 도달하지 못하도록 하는 방법이지만 비인증 사용자가 임의로 IP를 할당해서 사용할 경우 정상적으로 네트워크에 접속 중이던 네트워크 단말기의 네트워크 접속까지도 차단될 수 있다는 문제점이 있다.This method prevents packets sent to a non-authenticated network terminal from reaching a non-authenticated network terminal.However, if an unauthorized user randomly assigns an IP, the network connection of the network terminal that is normally connected to the network may be blocked. There is a problem.

본 발명은 상기와 같은 문제점을 해결하기 위해 창작된 것으로서, 본 발명의 목적은 근거리 통신망 환경에서 사용자가 네트워크 단말기를 통해 네트워크에 접속하고자 할 경우 ARP 기술을 이용하여 접속 제어 대상 네트워크 단말기의 ARP 테이블을 조작하고 허위 ARP 테이블을 지속적으로 유지하도록 하여 접속 제어 대상 네트워크 단말기의 네트워크 접속을 지속적으로 제어할 수 있도록 한 네트워크 단말기의 네트워크 접속제어 방법을 제공함에 있다. The present invention was made to solve the above problems, and an object of the present invention is to provide an ARP table of an access control target network terminal using ARP technology when a user wants to access a network through a network terminal in a local area network environment. The present invention provides a method for controlling network access of a network terminal to continuously control network access of a network terminal to be controlled for access by operating and maintaining a false ARP table continuously.

또한, 본 발명은 접속 제어 대상 네트워크 단말기의 ARP 테이블만을 조작하도록 하고 다른 네트워크 단말기에는 영향을 주지 않도록 하여 특정 네트워크 단말기에 대한 제어 작업이 효과적으로 이루어지고 다른 네트워크 단말기에 대한 파급 효과가 발생하지 않는 네트워크 접속 제어 방법을 제공함에 있다. In addition, the present invention is to operate only the ARP table of the network terminal subject to the access control, so as not to affect the other network terminal is effective to control the specific network terminal and the network connection does not occur the ripple effect to other network terminal The present invention provides a control method.

상기와 같은 목적을 실현하기 위한 본 발명은 네트워크 단말기에서 네트워크에 접속하기 위해 목적지 시스템의 MAC 주소를 얻기 위한 ARP 요구 메시지를 전송하면 상기 목적지 시스템이 상기 네트워크 단말기에게 상기 목적지 시스템의 MAC 주소가 포함된 ARP 응답 메시지를 전송하는 네트워크 접속 제어 방법에 있어서, 상기 ARP 요구 메시지를 수신하여 출발지 주소에서 네트워크 단말기의 MAC주소와 IP주소를 검출하는 제 1 단계와, 상기 네트워크 단말기의 ARP 테이블에서 검출된 상기 네트워크 단말기의 IP주소와 MAC주소를 네트워크 접속제어 시스템의 IP-MAC 주소 연관 정보 관리 테이블에 저장하는 제 2 단계와, 상기 네트워크 단말기의 MAC 주소를 이용하여 제어 대상 네트워크 단말기인지를 검증하는 제 3 단계와, 상기에서 네트워크 단말기의 검증결과에 따라 제어 대상 네트워크 단말기의 경우 상기 네트워크 단말기에게 허위 ARP 응답 메시지와 허위 ARP 요구 메시지를 전송하여 네트워크 접속을 제어하는 제 4 단계와, 상기 제 1단계 내지 제 4단계에 의해 제어 대상 네트워크 단말기의 접속을 제어하면서 상기 네트워크 단말기가 네트워크를 사용하지 않게 되면 ARP 테이블에서 상기 네트워크 단말기의 IP주소와 MAC주소를 제거하는 제 5 단계를 더 포함하여 이루어진 것을 특징으로 한다. According to the present invention for realizing the above object, when a network terminal transmits an ARP request message for obtaining a MAC address of a destination system to access a network, the destination system includes the MAC address of the destination system. A network access control method for transmitting an ARP response message, comprising: a first step of receiving the ARP request message and detecting a MAC address and an IP address of a network terminal from a source address; and detecting the network in the ARP table of the network terminal A second step of storing the IP address and the MAC address of the terminal in the IP-MAC address association information management table of the network access control system; and a third step of verifying whether the network terminal is a controlled network terminal using the MAC address of the network terminal; According to the verification result of the network terminal, In the case of the controlled network terminal, a fourth step of controlling a network connection by transmitting a false ARP response message and a false ARP request message to the network terminal, and controlling the connection of the controlled network terminal by the first to fourth steps. While the network terminal does not use the network, and further comprising the fifth step of removing the IP address and MAC address of the network terminal in the ARP table.

위에서 상기 허위 ARP 요구 메시지는 상기의 제어 대상 네트워크 단말기인지를 검증하는 단계에서 상기 제어 대상 네트워크 단말기를 목적지로 전송된 ARP 요구 메시지를 수신한 직후 전송하는 것을 특징으로 한다. In the above step, the false ARP request message is transmitted immediately after receiving the ARP request message sent to the destination in the step of verifying whether the control target network terminal.

이때 상기 허위 ARP 요구 메시지는 제어 대상 네트워크 단말기만 제어할 수 있도록 유니캐스팅하는 것이 바람직하다. In this case, it is preferable to unicast the false ARP request message so that only the control target network terminal can control it.

또한, 상기 허위 ARP 응답 메시지와 상기 허위 ARP 요구 메시지의 MAC주소는 임의로 생성된 주소이거나 다른 특정 네트워크 단말기의 MAC주소인 것을 특징으로 한다. The MAC address of the fake ARP response message and the fake ARP request message may be a randomly generated address or a MAC address of another specific network terminal.

위와 같이 이루어진 본 발명은 제어 대상 네트워크 단말기가 네트워크에 접속하기 위해 ARP 요구 메시지를 전송할 경우 네트워크 접속제어 시스템에서 제어 대상 네트워크 단말기 여부를 판단한 후 제어 대상 네트워크 단말기인 경우 허위 ARP 응답 메시지를 전송하여 제어 대상 네트워크 단말기가 네트워크에 접속할 수 없도록 할 뿐만 아니라 제어 대상 네트워크 단말기를 목적지로 하는 ARP 요구 메시지를 수신할 경우에도 제어 대상 네트워크 단말기로 허위 ARP 요구 메시지를 전송하여 허위 ARP 테이블이 지속적으로 유지되어 제어 대상 네트워크 단말기가 네트워크에 접속할 수 없도록 제어된다. According to the present invention made as described above, when the control target network terminal transmits an ARP request message to access the network, the network access control system determines whether the control target network terminal is used, and in the case of the control target network terminal, transmits a false ARP response message to control the target network terminal. Not only does it prevent the network terminal from accessing the network, but even when it receives an ARP request message destined for the controlled network terminal, it transmits a false ARP request message to the controlled network terminal and maintains the false ARP table continuously. The terminal is controlled to prevent access to the network.

이하, 본 발명의 바람직한 실시예를 첨부된 도면을 참조하여 설명한다. 또한 본 실시예는 본 발명의 권리범위를 한정하는 것은 아니고, 단지 예시로 제시된 것이다. Hereinafter, exemplary embodiments of the present invention will be described with reference to the accompanying drawings. In addition, this embodiment is not intended to limit the scope of the present invention, but is presented by way of example only.

도 4은 본 발명에 의한 네트워크 접속 제어 방법을 설명하기 위해 순차적으로 도시한 흐름도이다. 4 is a flowchart sequentially illustrating a network access control method according to the present invention.

여기에 도시된 바와 같이 먼저, 근거리 통신망에 접속된 네트워크 단말기로부터 네트워크에 접속하기 위해 전송된 ARP 요구 메시지를 수신한다(S10). As shown here, first, an ARP request message transmitted to access a network is received from a network terminal connected to a local area network (S10).

그런 다음 수신된 ARP 요구 메시지로부터 네트워크 단말기의 IP주소와 MAC주소를 검출하고 근거리 통신망에 접속된 모든 온라인 네트워크 단말기의 IP주소와 MAC주소간의 연관 정보를 관리하는 테이블에 저장한다(S20). Then, the IP address and MAC address of the network terminal are detected from the received ARP request message and stored in a table that manages the association information between the IP address and the MAC address of all online network terminals connected to the local area network (S20).

이후 검출된 MAC 주소를 통해 네트워크 단말기가 접속 제어 대상 네트워크 단말기인지를 검증하게 된다(S30). Thereafter, the network terminal verifies whether the network terminal is the access control target network terminal through the detected MAC address (S30).

그래서 검증된 결과 비인증된 접속 제어 대상 네트워크 단말기일 경우 비인증된 제어 대상 네트워크 단말기의 IP주소와 MAC주소를 맵핑 테이블에 저장하고(S40) 제어 대상 네트워크 단말기에 대해 MAC주소를 허위로 변경한 허위 ARP 응답 메시지를 전송한다(S50). Therefore, if the verified result is a non-authenticated access control target network terminal, the IP address and MAC address of the non-authenticated control target network terminal are stored in a mapping table (S40), and a false ARP response is obtained by changing the MAC address to a false target for the controlled network terminal. Send a message (S50).

이때 허위로 변경한 MAC주소는 임의로 제작할 수도 있고 제어 대상 네트워크 단말기에서 요구하지 않는 특정한 시스템의 네트워크 단말기의 MAC주소로 설정할 수도 있다. In this case, the falsely changed MAC address may be arbitrarily produced or may be set to the MAC address of the network terminal of a specific system that is not required by the network terminal to be controlled.

그리고, 위에서 제어 대상 네트워크 단말기인가 검증한 결과 정상 네트워크 단말기일 경우 제어 대상 네트워크 단말기를 목적지로 하는 ARP 요구 메시지에 대해 허위 ARP 응답 메시지에 의해 허위로 설정된 제어 대상 네트워크 단말기의 허위 ARP 테이블이 변경되지 않고 지속될 수 있도록 허위 ARP 요구 메시지를 전송하게 된다(S60). When the control target network terminal is verified as described above, the false ARP table of the control target network terminal set to false by the false ARP response message is not changed for the ARP request message destined for the control target network terminal. The false ARP request message is transmitted to continue (S60).

이를 도 3에 도시된 본 발명에 의한 네트워크 접속 제어 시스템에서 허위 ARP 요구 메시지 전송 방법을 설명하기 위한 도면을 참조하여 설명하면 다음과 같다. This will be described with reference to the drawings for explaining a method of transmitting a false ARP request message in the network access control system according to the present invention shown in FIG.

네트워크 접속 제어 시스템(30)이 라우터(20)에서 제 1 네트워크 단말기(40)를 목적지로 전송한 ARP 요구 메시지를 수신한 직후 라우터(20)의 MAC주소를 허위 MAC주소로 변경한 허위 ARP 요구 메시지를 접속 제어 대상 네트워크 단말기(10)로 전송(unicasting)하여 접속 제어 대상 네트워크 단말기(10)가 허위 ARP 요구 메시지를 수신한 후 자신의 ARP 테이블에서 라우터(20)에 대한 정상적인 MAC주소를 허위 MAC 주소로 변경하도록 하여 이후부터는 접속 제어 대상 네트워크 단말기(10)에서 라우터(20)로 전송한 패킷은 라우터(20)에 도달하지 못하게 함으로써 접속 제어 대상 네트워크 단말기(10)의 네트워크 접속을 차단하게 된다. A fake ARP request message in which the MAC address of the router 20 is changed to a false MAC address immediately after the network access control system 30 receives the ARP request message from the router 20 to the destination. (Unicasting) to the access control target network terminal 10 so that the access control target network terminal 10 receives a false ARP request message and then displays a normal MAC address for the router 20 in its ARP table. Since the packet transmitted from the access control target network terminal 10 to the router 20 does not reach the router 20, the network control of the access control target network terminal 10 is blocked.

이때 일반적인 ARP 요구 메시지는 동일한 근거리 통신망에 존재하는 모든 네트워크 단말기에 일괄 전송(broadcasting)되기 때문에 동일한 근거리 통신망에 존재하는 다른 네트워크 장비나 정상적인 네트워크 단말기에 영향을 미쳐 접속중인 네트워크가 차단되는 문제점이 있었으나 본 발명에서는 상기 허위 ARP 요구 메시지를 1:1로 전송하는 유니캐스팅(unicasting)함으로서 네크워크 접속 대상 네트워크 단말기만 제어하여 기타 다른 네트워크 단말기에 대한 파급 효과를 차단하는 것을 특징으로 한다. In this case, since the general ARP request message is broadcasted to all network terminals existing in the same local area network, there is a problem that the connected network is blocked because it affects other network equipment or normal network terminals existing in the same local area network. The present invention is characterized in that by controlling unicasting (unicasting) of transmitting the false ARP request message in a 1: 1 manner, only a network connection target network terminal is controlled to block the ripple effect on other network terminals.

그런 다음 근거리 통신망에 접속된 온라인 네트워크 단말기들의 상태를 검사한다(S70). Then, the state of the online network terminals connected to the local area network is checked (S70).

그래서 네트워크 단말기가 오프라인(OFF-LINE) 상태이면(S80) 온라인 네트워크 단말기의 IP주소와 MAC주소를 ARP 테이블과 매핑 테이블에서 해당 네트워크 단말기의 IP주소 및 MAC주소 정보를 제거한다(S90). Thus, when the network terminal is in an OFF-LINE state (S80), the IP address and MAC address of the online network terminal are removed from the ARP table and the mapping table (S90).

그러나 온라인(ON-LINE)에 상태를 유지할 경우에는 위와 같은 접속제어 과정으로 다시 ARP 요구 메시지 수신상태로 돌아가 위의 과정을 반복하면서 접속 제어 대상 네트워크 단말기의 네트워크 접속을 제어하게 된다(S80). However, in the case of maintaining the ON-LINE state, the ARP request message is returned to the ARP request message reception state as described above, and the above process is repeated to control the network connection of the access control target network terminal (S80).

상기한 바와 같이 본 발명은 근거리 통신망(LAN) 환경에서 네트워크 단말기를 통해 네트워크에 접속하려고 할 경우 ARP 기술을 이용하여 네트워크 단말기에 장착된 네트워크 인터페이스 카드(Network Interface Card)의 MAC(Media Access Control) 주소에 의한 검증 과정을 거친 후 접속 제어 대상 네트워크 단말기의 ARP 테이블을 조작하여 허위 ARP 테이블을 유지시킴으로써 제어 대상 네트워크 단말기와 통신하는 패킷을 차단하거나 특정 시스템으로 강제 리다이렉트(redirect)하여, 특정 네트워크 단말기의 네트워크 접속을 지속적으로 제어할 수 있는 이점이 있다.As described above, the present invention provides a MAC (Media Access Control) address of a network interface card mounted on a network terminal using ARP technology when attempting to access a network through a network terminal in a local area network (LAN) environment. After the verification process is performed, the ARP table of the access control target network terminal is operated to maintain a false ARP table, thereby blocking the packet communicating with the controlling network terminal or forcing a redirect to a specific system. The advantage is that you can control the connection continuously.

또한, 본 발명은 접속 제어 대상 네트워크 단말기의 네트워크 접속을 제어하면서 정상적으로 네트워크에 접속하고 있는 네트워크 단말기에 영향을 주지 않도록 함으로써 접속 제어 대상 네트워크 단말기의 네트워크 접속 시도로 인하여 정상 네트워크 단말기의 네트워크 접속에 대한 영향을 차단할 수 있는 이점이 있다. In addition, the present invention is to affect the network connection of the normal network terminal due to the network connection attempt of the access control target network terminal by controlling the network connection of the access control target network terminal while not affecting the network terminal that is normally connected to the network. There is an advantage that can block.

또한, 본 발명은 보안성이 특히 취약한 무선 근거리 통신망 환경에서 접속이 허가된 네트워크 단말기를 제외한 다른 네트워크 단말기의 네트워크 접속을 원천적으로 제어함으로써 보안을 강화할 수 있는 이점이 있다. In addition, the present invention has an advantage that the security can be strengthened by controlling the network connection of the other network terminal except the network terminal is permitted to access in a wireless local area network environment particularly weak security.

도 1은 일반적으로 네트워크 접속제어 시스템에서 구현되는 허위 ARP 응답 메시지 전송 방법을 설명하기 위한 도면이다.1 is a diagram for describing a method of transmitting a false ARP response message generally implemented in a network access control system.

도 2는 일반적으로 네트워크에 접속된 단말기에서 관리하는 ARP 테이블 변경 과정을 설명하기 위한 도면이다.2 is a diagram for describing a process of changing an ARP table, which is generally managed by a terminal connected to a network.

도 3은 본 발명에 의한 네트워크 접속 제어 방법을 설명하기 위해 순차적으로 도시한 흐름도이다. 3 is a flowchart sequentially illustrating a network access control method according to the present invention.

도 4는 본 발명에 의한 네트워크 접속 제어 시스템에서 허위 ARP 요구 메시지 전송 방법을 설명하기 위한 도면이다.4 is a diagram illustrating a method of transmitting a false ARP request message in a network access control system according to the present invention.

- 도면의 주요부분에 대한 부호의 설명 -   -Explanation of symbols for the main parts of the drawings-

10 : 접속 제어 대상 네트워크 단말기10: network terminal subject to access control

20 ; 라우터20; router

30 : 네트워크 접속 제어 시스템30: network access control system

40 : 제 1 네트워크 단말기40: first network terminal

Claims (4)

네트워크 단말기에서 네트워크에 접속하기 위해 목적지 시스템의 MAC 주소를 얻기 위한 ARP 요구 메시지를 전송하면 상기 목적지 시스템이 상기 네트워크 단말기에게 상기 목적지 시스템의 MAC 주소가 포함된 ARP 응답 메시지를 전송하는 네트워크 접속 제어 방법에 있어서, When the network terminal transmits an ARP request message for obtaining the MAC address of the destination system to access the network, the destination system transmits an ARP response message including the MAC address of the destination system to the network terminal. In 상기 ARP 요구 메시지를 수신하여 출발지 주소에서 네트워크 단말기의 MAC주소와 IP주소를 검출하는 제 1 단계와, Receiving the ARP request message and detecting a MAC address and an IP address of a network terminal from a source address; 상기 네트워크 단말기의 ARP 테이블에서 검출된 상기 네트워크 단말기의 IP주소와 MAC주소를 네트워크 접속제어 시스템의 IP-MAC 주소 연관 정보 관리 테이블에 저장하는 제 2 단계와, A second step of storing the IP address and MAC address of the network terminal detected in the ARP table of the network terminal in an IP-MAC address association information management table of a network access control system; 상기 네트워크 단말기의 MAC 주소를 이용하여 제어 대상 네트워크 단말기인지를 검증하는 제 3 단계와, A third step of verifying whether the network terminal is a controlled target terminal using the MAC address of the network terminal; 상기에서 네트워크 단말기의 검증결과에 따라 제어 대상 네트워크 단말기의 경우 상기 네트워크 단말기에게 허위 ARP 응답 메시지와 허위 ARP 요구 메시지를 전송하여 네트워크 접속을 제어하는 제 4 단계와, A fourth step of controlling a network connection by transmitting a false ARP response message and a false ARP request message to the network terminal according to the verification result of the network terminal; 상기 제 1단계 내지 제 4단계에 의해 제어 대상 네트워크 단말기의 접속을 제어하면서 상기 네트워크 단말기가 네트워크를 사용하지 않게 되면 ARP 테이블에서 상기 네트워크 단말기의 IP주소와 MAC주소를 제거하는 제 5 단계A fifth step of removing the IP address and the MAC address of the network terminal from the ARP table when the network terminal does not use the network while controlling the access of the controlled network terminal according to the first to fourth steps; 를 더 포함하여 이루어진 것을 특징으로 네트워크 접속 제어 방법.Network access control method, characterized in that further comprises. 제 1항에 있어서, 상기 허위 ARP 요구 메시지는 상기의 제어 대상 네트워크 단말기인지를 검증하는 단계에서 상기 제어 대상 네트워크 단말기를 목적지로 전송된 ARP 요구 메시지를 수신한 직후 전송하는 것을 특징으로 하는 네트워크 접속 제어 방법.The network access control as claimed in claim 1, wherein the false ARP request message is transmitted immediately after receiving the ARP request message sent to a destination in the step of verifying whether the false ARP request message is the controlled network terminal. Way. 제 1항 또는 제 2항에 있어서, 상기 허위 ARP 요구 메시지는 제어 대상 네트워크 단말기만 제어할 수 있도록 유니캐스팅하는 것을 특징으로 하는 네트워크 접속 제어 방법.The method according to claim 1 or 2, wherein the false ARP request message is unicasted so that only a controlling network terminal can be controlled. 제 1항에 있어서, 상기 허위 ARP 응답 메시지와 상기 허위 ARP 요구 메시지의 MAC주소는 임의로 생성된 주소이거나 다른 특정 네트워크 단말기의 MAC주소인 것을 특징으로 하는 네트워크 접속 제어 방법.The method of claim 1, wherein the MAC address of the fake ARP response message and the fake ARP request message is a randomly generated address or a MAC address of another specific network terminal.
KR1020030066010A 2003-09-23 2003-09-23 Network connection control method KR20050029800A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020030066010A KR20050029800A (en) 2003-09-23 2003-09-23 Network connection control method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030066010A KR20050029800A (en) 2003-09-23 2003-09-23 Network connection control method

Publications (1)

Publication Number Publication Date
KR20050029800A true KR20050029800A (en) 2005-03-29

Family

ID=37386308

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030066010A KR20050029800A (en) 2003-09-23 2003-09-23 Network connection control method

Country Status (1)

Country Link
KR (1) KR20050029800A (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006107133A1 (en) * 2005-04-06 2006-10-12 Scope Inc. Ip management method and apparatus for protecting/blocking specific ip address or specific device on network
WO2012074279A2 (en) * 2010-11-29 2012-06-07 주식회사 케이티 Method for opening wireless internet service online and system thereof
CN104348662A (en) * 2013-08-09 2015-02-11 中兴通讯股份有限公司 Updating method and device of equipment state
KR102510093B1 (en) * 2022-08-03 2023-03-14 스콥정보통신 주식회사 Acess control system and method in network system of apartment complex

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006107133A1 (en) * 2005-04-06 2006-10-12 Scope Inc. Ip management method and apparatus for protecting/blocking specific ip address or specific device on network
WO2012074279A2 (en) * 2010-11-29 2012-06-07 주식회사 케이티 Method for opening wireless internet service online and system thereof
WO2012074279A3 (en) * 2010-11-29 2012-10-04 주식회사 케이티 Method for opening wireless internet service online and system thereof
US9253642B2 (en) 2010-11-29 2016-02-02 Kt Corporation System and method for online activation of wireless internet service
CN104348662A (en) * 2013-08-09 2015-02-11 中兴通讯股份有限公司 Updating method and device of equipment state
CN104348662B (en) * 2013-08-09 2019-01-29 中兴通讯股份有限公司 A kind of update method and device of equipment state
KR102510093B1 (en) * 2022-08-03 2023-03-14 스콥정보통신 주식회사 Acess control system and method in network system of apartment complex
WO2024029658A1 (en) * 2022-08-03 2024-02-08 스콥정보통신 주식회사 Access control system in network and method therefor

Similar Documents

Publication Publication Date Title
US8107396B1 (en) Host tracking in a layer 2 IP ethernet network
Nam et al. Enhanced ARP: preventing ARP poisoning-based man-in-the-middle attacks
US7124197B2 (en) Security apparatus and method for local area networks
US7448076B2 (en) Peer connected device for protecting access to local area networks
CN101415012B (en) Method and system for defending address analysis protocol message aggression
Binkley et al. Authenticated ad hoc routing at the link layer for mobile systems
US20080186932A1 (en) Approach For Mitigating The Effects Of Rogue Wireless Access Points
US20070192500A1 (en) Network access control including dynamic policy enforcement point
US7567573B2 (en) Method for automatic traffic interception
KR100628493B1 (en) Communication device
EP3720100A1 (en) Service request processing method and device
US8209529B2 (en) Authentication system, network line concentrator, authentication method and authentication program
CN107241313B (en) Method and device for preventing MAC flooding attack
CN1938982B (en) Method and apparatus for preventing network attacks by authenticating internet control message protocol packets
KR101064382B1 (en) Arp attack blocking system in communication network and method thereof
US7840698B2 (en) Detection of hidden wireless routers
US20150326590A1 (en) Interdicting undesired service
TWI624163B (en) System for controlling IPv6 networking of IoT devices
KR20050029800A (en) Network connection control method
US8239930B2 (en) Method for controlling access to a network in a communication system
KR100470422B1 (en) Illegal dhcp server control method
US20060185009A1 (en) Communication apparatus and communication method
JP2019041176A (en) Unauthorized connection blocking device and unauthorized connection blocking method
CN107579955B (en) Dynamic host configuration protocol monitoring and protecting method and system
KR20180130802A (en) Method, system and computer program for host secretion in software defined networking environment

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application