The Journal of the Institute of Internet, Broadcasting and Communication (한국인터넷방송통신학회논문지)

The Institute of Internet, Broadcasting and Communication (한국인터넷방송통신학회)
권호 표지
DOI QR코드

DOI QR Code

An Internet Stopper Using ARP Spoofing with Automatic Node Identification

자동 노드 인식 기능을 갖는 ARP 스푸핑을 이용한 인터넷 차단기

  • 정인환 (한성대학교 컴퓨터공학과)
  • Received : 2011.11.17
  • Accepted : 2011.12.16
  • Published : 2011.12.31
Download PDF
⟨ Previous Next ⟩

Abstract

In this paper we describe an efficient and easy to use internet stopper, which is called AINS (Automatic Internet Stopper), which uses ARP spoofing scheme. Instead of forwarding packets to router for the case of hacking, in ARP spoofing, the AINS ignores all the packets so that internet stopping operates. The AINS program needs to be installed only in manager computer that does not require additional agent program. In addition to setting manually the stopping computer list, it is able to indentify network nodes automatically by analyzing broadcasting packets. The experimental results show that less than 4 secs for spoofing interval is enough for blocking internet usage regardless the number of computers and therefore network overhead is negligible. The AINS can indentify and control network nodes not only on same subnet but also on different subnet only if they are connected onto same ethernet switch physically. It is being used for an efficient tool for controling internet usage of university computer laboratory and also for an efficient network management.

본 논문에서는 이더넷 환경에서 ARP 스푸핑(spoofing) 기능을 이용하여 특정 컴퓨터들의 인터넷 사용을 소프트웨어적으로 차단할 수 있는 인터넷 차단기를 설계하고 구현하였다. 구현된 차단기에서는 ARP 스푸핑을 작동시키고 모든 패킷들이 관리자 컴퓨터로 보내지는 상황에서 그 패킷들을 본래 라우터로 전달하지 않고 폐기하는 방식으로 인터넷 차단기를 구현하였다. 본 논문에서 구현한 차단기는 차단 대상 컴퓨터들에 에이젼트(Agent)와 같은 별도의 프로그램 설치 없이 관리자 컴퓨터 단독으로 차단 기능이 가능하다. 또한 차단 대상 컴퓨터들을 수동으로 정해주는 것 뿐만 아니라 네트워크에 접속되어있는 컴퓨터들을 자동으로 인식하는 기능을 갖는다. 다수의 컴퓨터를 대상으로 한 실험 결과 컴퓨터 수에 관계 없이 ARP 스푸핑 메시지 발송 주기를 4초 미만으로 유지하면 인터넷 차단이 가능하였으며 ARP 스푸핑을 위한 추가적인 네트워크 부담은 무시할 정도인 것으로 파악되었다. 구현된 인터넷 차단기는 물리적으로 같은 스위치에 연결되어 있다면 모든 서브넷의 노드들을 인식할 수 있으며 서로 다른 서브넷의 컴퓨터들에 대해서도 인터넷 차단이 가능하다. 구현된 인터넷 차단기는 대학교 실습실에서 강의 중 인터넷 차단을 위한 도구로 및 망 관리를 위한 효율적인 도구로도 활용되고 있다.

Keywords

References

  1. Sean Whalen, An Introducation to Arp Spoofing, April 2001
  2. CERTCC-KR, IP spoofing 공격과 대책, CERTCC-KR 기술문서(http://www.certcc.or .kr/a dvisory/tr/IPspoof.html)
  3. Metcalfe, Robert M. and Boggs, David R. (July 1976). "Ethernet: Distributed Packet Switching for Local Computer Networks". Communications of the ACM 19 (5): pp. 395-405 https://doi.org/10.1145/360248.360253
  4. David C. Plummer (1982-11). "RFC 826, An Ethernet Address Resolution Protocol ". Internet Engineering Task Force, Network Working Group. http://tools.ietf.org/html/rfc826.
  5. Cain & Abel, http://www.oxid.it/cain.html
  6. Brad Sanford, IP fragmentation and Fragrouter, http://www.sans.org/InforSecFAQ/encryption/IP_Frag.html, 2000
  7. F. Risso and L. Degioanni, "An Architecture for High Performance Network Analysis", Proceedings of the Sixth IEEE Symposium on Computers and Communications, pp. 686 - 693, 2001. http://www.winpcap.org/
  8. V. Jacobson, C. Leres and S. McCanne, libpcap, Lawrence Berkeley Laboratory, Berkeley, CA. Initial public release June, 1994. Available now at http://www.tcpdump.org/
  9. IETF, Protocol standard for a NetBIOS service on a TCP/UDP transport: Concept and methods, RFC 1001
  10. IETF, Internet Standard Subnetting Procedure, RFC 950
  11. IpHlpApi Library, Microsoft Platform SDK
  12. McPherson, D. and B. Dykes, "VLAN Aggregation for Efficient IP Address Allocation," RFC 3069, February 2001.