WO2010110530A1

WO2010110530A1 - Ipv6 네트워크 내 호스트 차단 및 탐색방법

Info

Publication number: WO2010110530A1
Application number: PCT/KR2010/000263
Authority: WO
Inventors: 서승호; 문해은; 이동호
Original assignee: Netman Co Ltd
Current assignee: Netman Co Ltd
Priority date: 2009-03-20
Filing date: 2010-01-15
Publication date: 2010-09-30
Anticipated expiration: 2011-09-20
Also published as: US20110182293A1; US20120207167A1; CN102165741A; JP4975190B2; US8189580B2; KR100908320B1; JP2012502544A; JP5798598B2; JP2013258739A; JP2012085335A; CN102165741B

Abstract

본 발명은 IPv6를 사용하는 네트워크에서 호스트의 탐지와 인가되지 않은 네트워크 접근에 대한 차단을 수행하는 IPv6네트워크 내 호스트 차단 및 탐색방법이 개시된다. 본 발명은 탐색하고자 하는 IP를 ICMPv6 목표 어드레스(target address)에 설정한 NS(Neighbor Solicitation) 패킷을 네트워크에 전송하여 탐색 IP에 대한 호스트 정보를 요청하는 단계, 패킷 전송 후 호스트의 처리속도와 네트워크환경 및 상태에 따른 전송속도를 고려하여 일정시간 대기하는 단계, 일정시간 대기 후 탐색하고자 하는 IP의 NA(Neighbor Advertisement) 패킷이 수신되었는지를 판정하는 단계, 및 요청패킷에 대한 NA 패킷이 수신되었으면 해당 패킷에서 호스트 정보를 획득하는 단계를 포함하는 IPv6 네트워크 내 호스트 탐색방법을 제공한다.

Description

IPV6 네트워크 내 호스트 차단 및 탐색방법

본 발명은 IPv6 네트워크 내 호스트 차단 및 탐색방법에 관한 것으로, 특히 IPv6 네트워크 환경에서 NDP(Neighbor Discovery Protocol)을 이용한 IPv6 네트워크 내 호스트 차단 및 탐색방법에 관한 것이다.

32비트 주소체계인 IPv4의 고갈이 점차 현실화 되어가고 있다. 한국인터넷 진흥원 IPv6포탈(http://IPv6.vsix.net)의 정보를 인용하면 2009년 1월 20일 현재 약 791일 후에 IPv4 주소가 고갈될 것이라고 예측하고 있으며, 주소고갈을 인지한 많은 기업 및 관공서에서는 이미 IPv4 네트워크 망에서 IPv6 네트워크 망으로의 전환사업이 진행되고 있어 IPv6를 사용하는 수요가 점점 늘고 있는 추세이다.

그리고 IPv6에서는 IP주소의 자동설정을 지원하는데, 이렇게 자동으로 할당이 될 경우 네트워크의 자원을 관리하는 측면에서는 모든 장비의 IP를 확인하고 해당 정보를 유지해야 할 필요가 발생하게 된다.

또한, IP주소의 자동설정이 되기 때문에 악의적 사용자가 아무런 제약 없이 네트워크 주요장비에 접근할 수 있는 문제가 발생하기 때문에, 이런 사용자들에 대한 관리 및 차단이 필요하다.

본 발명의 목적은, IPv6 환경에서 네트워크 주요자원의 효율적인 관리를 할 수 있는 호스트 탐색방법과 인가되지 않은 호스트의 네트워크 접근을 차단하여 한 단계 높은 보안환경을 구축할 수가 있는 IPv6 네트워크 내 호스트 차단 및 탐색방법을 제공하는데에 있다.

이러한 목적을 달성하기 위하여 본 발명은 탐색하고자 하는 IP를 ICMPv6 목표 어드레스(target address)에 설정한 NS(Neighbor Solicitation) 패킷을 네트워크에 전송하여 탐색 IP에 대한 호스트 정보를 요청하는 단계, 패킷 전송 후 호스트의 처리속도와 네트워크환경 및 상태에 따른 전송속도를 고려하여 일정시간 대기하는 단계, 일정시간 대기 후 탐색하고자 하는 IP의 NA(Neighbor Advertisement) 패킷이 수신되었는지를 판정하는 단계, 및 요청패킷에 대한 NA 패킷이 수신되었으면 해당 패킷에서 호스트 정보를 획득하는 단계를 포함한다.

본 발명의 다른 특징에 따르면, RS(Router Solicitation) 패킷을 네트워크에 전송하여 라우터 정보를 요청하는 단계, 패킷 전송 후 라우터의 처리속도와 네트워크환경 및 상태에 따른 전송속도를 고려하여 일정시간 대기하는 단계, 일정시간 대기 후 RA(Router Advertisement) 패킷이 수신되었는지를 판정하는 단계, 및 요청패킷에 대한 RA 패킷이 수신되었으면 해당 패킷에서 라우터 정보를 획득하는 단계를 포함한다.

본 발명의 또 다른 특징에 따르면, NDP 패킷을 캡처하는 단계와, 캡처한 패킷이 RS, NS, NA중 하나인지를 판정하는 단계, 및 판정결과 RS, NS, NA 중 하나라면 캡처된 패킷에서 호스트 정보를 획득하거나, 판정결과 RA라면 캡처된 패킷에서 라우터 정보를 획득하는 단계를 포함한다.

본 발명의 또 다른 특징에 따르면, 호스트 정보는 NA(Neighbor Advertisement) 패킷의 필드정보를 선택적으로 더 포함할 수가 있다.

본 발명의 또 다른 특징에 따르면, 라우터 정보는 링크층 어드레스(link-layer address) 정보와 IP 어드레스 정보를 포함한다.

본 발명의 또 다른 특징에 따르면, 라우터 정보는 RA(Router Advertisement) 패킷의 필드정보를 선택적으로 더 포함할 수가 있다.

본 발명의 또 다른 특징에 따르면, 호스트 정보 또는 라우터 정보 중 IP 어드레스와 링크층 어드레스(link-layer address)를 리스트로 관리하는 것을 특징으로 한다.

본 발명의 또 다른 특징에 따르면, 호스트의 네트워크 차단을 위한 정책이 설정되면, 네트워크 내에서 NDP(Neighbor Discovery Protocol) 패킷을 캡처하는 단계, 캡처한 패킷의 종류에 따라 차단정책 포함 여부를 판정하는 단계, 및 판정 결과 차단정책에 포함될 경우, 호스트 IP에 대해서 변조된 NA 패킷을 생성하여 멀티캐스트(multicast) 또는 유니캐스트(unicast) IP로 전송함으로써 호스트의 차단을 실시하는 단계를 포함한다.

본 발명의 또 다른 특징에 따르면, 호스트의 네트워크 차단을 위한 정책이 설정되면, 네트워크 내에서 차단호스트의 NDP(Neighbor Discovery Protocol) 패킷이 캡쳐되지 않은 상황에서, 차단호스트 IP에 대해서 변조된 NA 패킷을 생성하여 멀티캐스트(multicast) 또는 유니캐스트(unicast) IP로 전송함으로써 호스트의 차단을 실시하는 단계를 포함하는 것을 특징으로 한다.

본 발명의 또 다른 특징에 따르면, NA(Neighbor Advertisement) 패킷의 링크층 어드레스(link-layer address)를 해당 네트워크에 존재하지 않는 가상의 링크층 어드레스 또는 특정 링크층 어드레스로 설정한 변조된 NA 패킷을 멀티캐스트(multicast) 하거나 유니캐스트(unicast) 함으로써 호스트의 차단을 수행하는 것을 특징으로 한다.

본 발명의 또 다른 특징에 따르면, 호스트의 네트워크 차단을 위한 정책이 리스트로 관리되는 것을 특징으로 한다.

본 발명의 또 다른 특징에 따르면, 호스트의 네트워크 차단을 위한 정책은 IP 어드레스 또는 링크층 어드레스(link-layer address)를 포함한다.

본 발명의 또 다른 특징에 따르면, 호스트의 네트워크 차단을 위한 정책에서 정책 시작시간과 만료시간을 더 포함한다.

본 발명의 또 다른 특징에 따르면, 호스트의 차단을 실시하는 단계는 차단 호스트에 변조된 NA 패킷을 전송하여 차단 호스트의 네트워크 인터페이스에 IP할당을 실패하게 함으로써 호스트의 차단을 수행하는 것을 특징으로 한다.

본 발명의 또 다른 특징에 따르면, 호스트의 차단을 실시하는 단계는 차단 호스트가 속한 네트워크 내 호스트들에게 차단 호스트의 변조된 NA 패킷을 전송하여 차단 호스트에 대한 변조된 NA 패킷 정보로 이웃 캐시(neighbor cache)를 갱신하게 함으로써 차단 호스트와 통신이 되지 않게 하는 방법을 이용하여 호스트의 차단을 수행하는 것을 특징으로 한다.

본 발명의 또 다른 특징에 따르면, 네트워크 내에서 캡처된 NDP(Neighbor Discovery Protocol) 패킷이 RS(Router Solicitation) 또는 RA(Router Advertisement) 패킷이라면, 근원지 정보를 이용하여 차단호스트 여부를 판정하는 것을 특징으로 한다.

본 발명의 또 다른 특징에 따르면, 네트워크 내에서 캡처된 NDP(Neighbor Discovery Protocol) 패킷이 NS(Neighbor Solicitation)라면, 근원지 정보를 이용하여 차단호스트인지 판정하는 단계, 판정결과 근원지 정보가 차단호스트일 경우 DAD(Duplicate Address Detection) 확인 패킷인지 판정하는 단계, 및 근원지 정보가 차단호스트가 아닐 경우 목적지 정보를 이용하여 차단호스트를 판정하는 단계를 포함한다.

본 발명의 또 다른 특징에 따르면, 네트워크 내에서 캡처된 NDP(Neighbor Discovery Protocol) 패킷이 NA(Neighbor Advertisement)라면, 근원지 정보가 차단호스트인지 판정하는 단계, 및 판정결과 근원지 정보가 차단호스트가 아니라면 목적지 정보가 차단호스트인지 판정하는 단계를 포함한다.

본 발명의 또 다른 특징에 따르면, 근원지 정보는 소스 링크층 어드레스(source link-layer address), 소스 IP 어드레스(source IP address), ICMPv6 헤더의 목표 어드레스(target address)중 어느 하나 이상을 포함한다.

본 발명의 또 다른 특징에 따르면, 목적지 정보는 목적지 링크층 어드레스(destination link-layer address), 목적지 IP 어드레스(destination IP address), ICMPv6 헤더의 목표 어드레스(target address)중 어느 하나 이상을 포함한다.

상기의 구성에 의하면, IPv6 환경에서 네트워크 주요자원의 효율적인 관리와 보호를 할 수 있으며, 특히 인가되지 않은 호스트의 네트워크 접근을 차단하여 한 단계 높은 보안환경을 구축할 수 있다.

도 1은 본 발명에 따른 NS 패킷과 NA 패킷을 이용한 호스트 탐색방법을 나타내는 흐름도이다.

도 2는 본 발명에 따른 RS 패킷과 RA 패킷을 이용한 호스트 탐색방법을 나타내는 흐름도이다.

도 3은 본 발명에 따른 네트워크에서 캡처되는 NDP 패킷 분석을 통한 호스트 및 라우터 탐색방법을 나타내는 흐름도이다.

도 4는 본 발명에 따른 호스트의 차단방법을 나타내는 흐름도이다.

이하, 첨부한 도면을 참조하여 본 발명의 실시 예를 상세하게 설명한다.

본 발명에 따르면, IPv6에서 호스트의 탐색 및 차단을 위해서 NDP(Neighbor Discovery Protocol)을 이용한다.

구체적으로 호스트의 탐색은 세 가지로 나누어지는데, 첫 번째는 NS(Neighbor Solicitation; 이웃 요청) 패킷을 이용하여 탐색 IP의 호스트정보를 요청하고, 해당 호스트가 NA(Neighbor Advertisement; 이웃 광고) 패킷으로 응답을 하면 수신된 패킷에서 호스트정보를 획득한다.

두 번째는, RS(Router Solicitation; 라우터 요청) 패킷을 이용하여 라우터 정보를 요청하고, RS 패킷을 수신 받은 라우터가 RA(Router Advertisement; 이웃 광고) 패킷으로 응답하면 수신된 패킷에서 라우터정보를 획득한다.

세 번째는, 네트워크에서 NDP 패킷을 캡처한 후 종류에 따라 호스트 및 라우터 정보를 획득할 수 있다.

본 발명은 IPv6 네트워크 환경에서의 호스트 차단 및 탐색에 관한 것으로 IP라고 명시했을 경우 IPv4와 혼동이 될 수 있다. 그러므로 특별히 IPv4라고 명시하지 않은 항목에 대해서 IPv6 및 IPv6 네트워크를 의미하는 것으로 한다.

먼저, 본 발명을 설명하기에 앞서 IPv6에서의 기반기술에 대해 설명한다.

1) ICMP

ICMP는 Internet Control Message Protocol의 약자로서 네트워크 상태에 대한 메시지를 주고받을 수 있도록 하는 것으로, IP와 동일한 Layer3의 네트워크층(Network Layer)에서 동작한다. ICMP는 기본적으로 IPv4에서 동작하는 프로토콜이며 주요기능은 표 1과 같다.

표 1

구분	기능	설명
Error Messages	Destination Unreachable	패킷이 목적지에 도달하지 못할 경우 송신지에 보내는 메시지로, 네트워크 상황에 따라 다양한 세부 에러 메시지가 포함됨
	Time Exceeded	TTL(Time-to-Live)값이 0으로 설정됨으로 인해 발생하는 메시지
	Redirect	여러 개의 라우터가 존재하는 네트워크에서 기본 라우터 외에 다른 라우터를 통해 데이터를 전송할 때 사용되는 메시지
	Source Quench	목적지에서 처리하기에 너무 많은 양의 데이터를 수신할 때 송신지에 보내는 메시지
	Parameter Problem	IP 데이터그램 자체에 문제가 있을 경우 발생하는 메시지
Informational Messages	Echo Request /Echo Reply	원격시스템 동작상태 확인 메시지
	Timestamp Request /Timestamp Reply	송신 시스템에서 특정 네트워크의 대기시간을 파악하는데 사용되는 메시지
	Address Mask Request /Address Mask Reply	호스트가 로컬 네트워크의 서브넷 마스크를 파악하는데 사용되는 메시지
	Router Solicitation /Router Advertisement	호스트가 사용자의 설정 없이 동적으로 라우터 정보를 갱신할 때 사용되는 메시지

2) ICMPv6

아이피브이 식스에서 사용되는 ICMP로, 기본적인 기능은 ICMP와 동일하며 IPv4에서 사용되던 일부 프로토콜(ARP, RARP, IGMP)이 추가로 표 2와 같이 포함되었다.

표 2

구분	기능	설명
Error Messages	Destination Unreachable	IPv4와 동일
	Packet Too Big	송신지와 수신지 사이 경로에 MTU를 초과하는 경우 발생하는 메시지아이피브이 식스는 송신지와 수신지만이 패킷을 분할/결합을 할 수 있다.
	Time Exceeded	IPv4와 동일
	Parameter Problems	IPv4와 동일
Informational Messages	Echo Request / Echo Reply	IPv4와 동일
	Group Membership	Multicast group에 포함/제외/질의 등이 필요할 때 사용되는 메시지
	Router Solicitation	호스트가 라우터를 찾기 위해 발생시키는 메시지
	Router Advertisement	라우터가 호스트들에게 통신을 위해 필요한 정보(prefix, MTU...)를 전송할 때 사용되는 메시지
	Neighbor Solicitation	호스트가 인접 호스트의 링크층 어드레스를 확인하기 위해 발생시키는 메시지
	Neighbor Advertisement	NS 요청이 있을 때 해당 호스트가 자신의 링크층 어드레스를 알리기 위해 상대편 호스트에게 보내는 메시지
	Redirect	IPv4와 동일

3) NDP(Neighbor Discovery Protocol)

NDP는 아이피브이 식스 환경에서 인접 호스트와 통신을 하기 위해 사용되는 프로토콜로 ICMPv6에 포함되어 IPv4 환경에서 ARP(Address Resolution Protocol)가 수행하는 기능을 대신한다. NDP의 주요기능은 표 3과 같다.

표 3

기능	설명
Router and Prefix Discovery	호스트는 라우터 요청(Router Solicitation)과 라우터 광고(Router Advertisement) 메시지를 이용하여 네트워크에 존재하는 라우터를 발견하고 해당 네트워크의 prefix 정보를 수신받는다.
Address Resolution	아이피브이 식스의 NDP에서 IPv4의 ARP(Address Resolution Protocol)의 기능을 대신한다. 호스트는 이웃 요청(Neighbor Solicitation)과 이웃 광고(Neighbor Advertisement) 메시지를 이용해서 인접 노드의 링크층 어드레스를 확인한다.
Redirect	IPv4의 redirect메시지와 기능이 동일하다.여러 개의 라우터가 존재하는 네트워크에서 기본 라우터 외에 다른 라우터를 통해 데이터를 전송할 때 사용되는 메시지

4) NDP 패킷 종류 및 용도

ND의 주요기능을 구현하기 위해 표 4의 패킷을 사용한다.

표 4

구분	설명
RS(Router Solicitation)	호스트가 빠른 네트워크 정보 획득을 위해 RA 정보를 요청하는 패킷
RA(Router Advertisement)	라우터가 자신의 정보를 호스트에게 알려주는 패킷으로, 자신의 링크층 어드레스, IP를 비롯하여 prefix, MTU정보를 호스트에게 제공한다. RA패킷은 주기적으로 multicast IP로 제공되며, RS패킷의 요청에 의해서 수시로 제공된다.
NS(Neighbor Solicitation)	호스트가 주변 호스트와 통신하기 위해 링크층 어드레스 정보를 요청하는 패킷. IP를 구성한 후 해당 IP가 네트워크에 이미 사용 중인지 아닌지 확인하기 위해(DAD) 사용되기도 함
NA(Neighbor Advertisement)	NS의 요청에 의해서 보내지거나, 호스트가 자신의 정보(링크층 어드레스, 라우터 동작 유무)를 빠르게 전파하기 위해 multicast IP로 제공되는 패킷
Redirect	네트워크에 하나 이상의 라우터가 존재할 경우 더 나은 경로로 보내기 위해 호스트에게 패킷의 경로를 바꾸게 하는 패킷

5) DAD(Duplicate Address Detection)

IPv6에서 IP를 구성하는 방법은 수동설정과 자동설정(stateless, stateful)이 있는데, 어느 방법으로 IP를 구성하더라도 DAD 과정을 거쳐서 IP가 이미 사용 중인지 아닌지 확인하도록 되어 있다. DAD란 사용하려는 IP가 현재 네트워크에서 사용 중인지 아닌지 확인하는 방법으로, 사용하려는 IP가 포함된 NS 패킷을 네트워크에 전송하여 응답이 오지 않기를 기대하는 것이다. DAD 확인을 위한 NS 패킷을 수신 받은 네트워크 내의 호스트들은 자신의 IP와 비교하여 동일하다면 NS 패킷을 보낸 호스트에게 NA 패킷을 보내고, 동일하지 않으면 이웃 캐시(neighbor cache)를 업데이트 한다. 한편, DAD를 수행하는 호스트는 NA 패킷을 수신 받았다면 사용하려는 IP가 이미 사용 중인 것으로 판단한다.

DAD를 수행하는 과정을 간단하게 설명하면, 먼저 사용하고자 하는 호스트 A가 설정된 DupAddrDetectTransmits 값만큼 RetransTimer 시간 간격으로 NS 패킷을 전송한 후 RetransTimer 시간만큼 대기한다. RetransTimer 시간이 지나도록 NA 패킷 응답이 없을 경우 인터페이스에 새로 구성한 IP를 할당하고 통신을 시작한다. 반면, 다른 호스트 B가 해당 IP를 사용 중일 때, 호스트 A가 동일한 IP를 사용하고자 시도할 경우 호스트 B는 NA 패킷을 호스트 A로 보내어 이미 사용 중인 IP임을 알린다. 이와 같이, 호스트 A가 해당 IP에 대한 NA 패킷을 확인함으로써 IP 할당에 실패하게 된다.

이하, 본 발명에 따른 호스트의 탐색과 차단방법에 대해 구체적으로 설명한다.

<호스트의 탐색>

NDP의 NS(Neighbor Solicitation) 패킷과 NA(Neighbor Advertisement) 패킷, RS(Router Solicitation) 패킷과 RA(Router Advertisement) 패킷을 이용하여 네트워크에 연결된 호스트를 탐색할 수 있다. 또한 네트워크에서 캡처되는 NDP 패킷 분석을 통하여 호스트 및 라우터를 탐색할 수 있다.

여기에서 언급되는 호스트정보는 기본적으로 링크층 어드레스(link-layer address) 정보와 IP 어드레스 정보를 뜻하며 상황에 따라 NA 패킷의 필드정보를 선택적으로 더 포함할 수 있다.

그리고 라우터정보는 기본적으로 링크층 어드레스(link-layer address) 정보와 IP 어드레스 정보를 뜻하며 상황에 따라 RA 패킷의 필드정보를 선택적으로 더 포함할 수 있다.

먼저, 탐색하고자 하는 IP를 ICMPv6 목표 어드레스(target address)에 설정한 NS 패킷을 네트워크에 전송하여 탐색 IP에 대한 호스트정보를 요청한다(단계 S11).

패킷 전송 후 호스트의 처리속도와 네트워크 환경 및 상태에 따른 전송속도를 고려하여 일정시간 대기한다(단계 S12)

이어, 일정시간 대기 후 탐색하고자 하는 IP의 NA 패킷이 수신되었는지를 판정하고(단계 S13), 요청패킷에 대한 NA 패킷이 수신되었으면 해당 패킷에서 호스트정보를 획득한다(단계 S14). 반면, 단계 S13에서 수신된 NA 패킷이 없으면 처리를 종료한다.

먼저, RS 패킷을 네트워크에 전송하여 라우터 정보를 요청한다(단계 S21).

패킷 전송 후 라우터의 처리속도와 네트워크 환경 및 상태에 따른 전송속도를 고려하여 일정시간 대기한다(단계 S22).

이어, 일정시간 대기 후 RA 패킷이 수신되었는지를 판정하고(단계 S23), RA 패킷이 수신되었으면 해당 패킷에서 라우터정보를 획득한다(단계 S24). 반면, 단계 S23에서 수신된 RA 패킷이 없으면 처리를 종료한다.

도 3은 본 발명에 따른 네트워크에서 캡처되는 NDP분석을 통한 호스트 및 라우터 탐색방법을 나타내는 흐름도이다.

먼저, NDP패킷이 캡처되면(단계 S31), 패킷이 RS, NS, NA 중 하나인지 판정한다(단계 S33).

판정결과 RS, NS, NA 중 하나라면 캡처된 패킷에서 호스트 정보를 획득하고(단계 S32), 패킷이 RS, NS, NA 중 하나가 아니라면, RA패킷인지 판정한다(단계 S34).

판정결과 RA라면 캡처된 패킷에서 라우터정보를 획득한다(단계 S35).

단계 S34에서 RA패킷이 아니라면 처리를 종료한다.

<호스트의 차단>

본 발명의 호스트 차단은 DAD(Duplicate Address Detection) 동작을 이용하며, 아래에서 언급되는 차단호스트의 변조된 NA(Neighbor Advertisement) 패킷이란, 차단호스트의 링크층 어드레스(link-layer address)를 해당 네트워크에 존재하지 않는 가상의 링크층 어드레스 또는 특정 링크층 어드레스를 설정한 NA 패킷을 뜻한다.

구체적으로, 네트워크에서 호스트가 IP를 사용하기 위한 DAD확인 패킷이 캡처되면, 해당 패킷을 분석한 후 접근을 차단해야 할 필요가 있을 경우 차단호스트의 변조된 NA 패킷으로 응답한다. NA 패킷을 수신 받은 차단호스트는 DAD동작으로 해당 IP가 이미 사용 중이라고 판단하게 되고, 네트워크 인터페이스에 IP할당이 실패하게 된다.

추가적으로, 이미 DAD동작을 마치고 IP를 할당한 상태의 호스트를 차단해야 할 경우 해당 호스트의 NDP패킷이 캡처되면 차단호스트의 변조된 NA 패킷을 전 노드 멀티캐스트(all-node multicast) IP로 설정하여 전송한다. 내트워크 내의 호스트들은 차단호스트의 변조된 NA 패킷을 수신 받고 이웃 캐시(neighbor cache)를 갱신하여 차단호스트와 통신에 실패하게 된다.

본 발명의 호스트 차단방법에 있어서, 호스트의 차단을 위한 정책 설정시 설정정보로 차단 IP 어드레스 또는 차단 링크층 어드레스가 설정되며 두 항목 모두 다 설정될 수도 있다. 또한 선택적으로 정책의 시작시간과 종료시간을 더 포함할 수 있다.

본 발명에 따르면, NDP패킷을 캡처하면 패킷의 종류(RS, RA, NS, NA)를 확인하고 패킷의 종류에 따라 차단정책에 포함되는지 여부를 판정한다. 판정결과 차단정책에 포함된다면 DAD확인 패킷인지 아닌지 확인하고, DAD확인 패킷이라면, 차단호스트로 변조된 NA 패킷으로 응답하고, DAD확인 패킷이 아니라면, 전 노드 멀티캐스트(all-node multicast) IP로 차단호스트의 변조된 NA 패킷을 전송하여 차단을 수행한다. 한편, 정책에 포함되지 않는다면 해당 패킷을 무시하여 통신을 허용한다.

추가적으로, DAD확인 패킷으로 판정되면 차단 호스트로 변조된 NA 패킷으로 응답하는 방법 외에, 전 노드 멀티캐스트(all-node multi) IP로 차단 호스트의 변조된 NA 패킷을 전송하는 방법을 이용하여 차단을 수행할 수도 있다.

이하, 본 발명에 따른 호스트 차단방법을 구체적으로 설명한다.

여기서, 근원지 정보는 소스 링크층 어드레스(source link-layer address) 또는 소스 IP 어드레스가 되며, 목적지 정보는 목적지 링크층 어드레스(destination link-layer address) 또는 목적지 IP 어드레스이다. 그리고 차단 호스트를 구분하는 방법은 IP 어드레스와 링크층 어드레스 정보를 기초로 한다. 추가적으로, 근원지와 목적지 정보 구분할 때 패킷의 종류에 따라 소스 IP 어드레스 또는 목적지 IP 어드레스가 유효하지 않을 경우가 발생할 수 있다. 이 경우에는 ICMP6헤더의 목표 어드레스(target address)를 근원지 IP 또는 목적지 IP 어드레스 정보로 대체하여 처리한다.

도 4를 참조하면, NDP 패킷이 캡처되면(단계 S41), 캡처된 패킷이 RS(Router Solicitation) 또는 RA(Router Advertisement)인지 판정한다(단계 S42).

판정결과 RS 또는 RA라면, 근원지 정보가 차단호스트인지 판정한다(단계 S43). 판정결과 근원지 정보가 차단 호스트이면, 전 노드 멀티캐스트 IP로 차단호스트의 변조된 NA 패킷을 전송하고(단계 S51), 존재하지 않는다면 처리를 종료한다.

단계 S42에서 RS 패킷 또는 RA패킷이 아니라면, NS(Neighbor Solicitation) 패킷인지 판정한다(단계 S44). 판정결과 NS패킷이라면, 근원지 정보가 차단호스트인지 판정한다(단계 S45). 판정결과 근원지 정보가 차단호스트라면 DAD확인 패킷인지 판정하고(단계 S47), DAD확인 패킷이라면 차단호스트로 변조된 NA 패킷을 전송한 후(단계 S52) 처리를 종료한다. 단계 S47에서 DAD확인 패킷이 아니라고 판정되면 단계 S51을 수행한 후 처리를 종료한다.

단계 S45에서 근원지 정보가 차단호스트가 아니라면 목적지 정보가 차단호스트인지 판정한다(단계 S46).

목적지 정보가 차단호스트로 판정되면, 단계 S51를 수행한 후 처리를 종료한다. 단계 S46에서 차단호스트가 아닌 것으로 판정되면 처리를 종료한다.

한편, 상기의 단계 S44에서 NS 패킷이 아니라면, NA(Neighbor Advertisement) 패킷인지 판정한다(단계 S48). 판정결과 NA 패킷이라면, 근원지 정보가 차단호스트인지 판정하고(단계 S49), 차단 호스트라고 판정되면, 단계 S51를 수행한 후 처리를 종료한다. 반면, 차단호스트가 아닌 것으로 판정되면 목적지 정보가 차단호스트인지 판정한다(단계 S50). 목적지 정보가 차단호스트로 판정되면 마찬가지로 단계 S51를 수행한 후 처리를 종료하고, 목적지 정보가 차단호스트가 아닌 것으로 판정되면 처리를 종료한다. 한편, 단계 S48에서의 판정결과 NA 패킷이 아니면 처리를 종료한다.

이상에서는 본 발명의 실시 예를 중심으로 설명하였지만, 당업자의 수준에서 다양한 변경을 가할 수 있음은 물론이다. 따라서, 본 발명의 권리범위는 상기한 실시 예에 한정되어 해석될 수 없으며, 이하에 기재되는 특허청구범위에 의해 해석되어야 한다.

Claims

탐색하고자 하는 IP를 ICMPv6 목표 어드레스(target address)에 설정한 NS(Neighbor Solicitation) 패킷을 네트워크에 전송하여 탐색 IP에 대한 링크층 어드레스(link-layer address) 정보와 IP 어드레스 정보를 포함하는 호스트 정보를 요청하는 단계;

패킷 전송 후 호스트의 처리속도와 네트워크 환경 및 상태에 따른 전송속도를 고려하여 일정시간 대기하는 단계;

상기 일정시간 대기 후 상기 탐색하고자 하는 IP의 NA(Neighbor Advertisement) 패킷이 수신되었는지를 판정하는 단계; 및

요청패킷에 대한 NA 패킷이 수신되었으면 해당 패킷에서 호스트 정보를 획득하는 단계를 포함하는 것을 특징으로 하는 IPv6 네트워크 내 호스트 탐색방법.
RS(Router Solicitation) 패킷을 네트워크에 전송하여 링크층 어드레스(link-layer address) 정보와 IP 어드레스 정보를 포함하는 라우터 정보를 요청하는 단계;

패킷 전송 후 라우터의 처리속도와 네트워크 환경 및 상태에 따른 전송속도를 고려하여 일정시간 대기하는 단계;

상기 일정시간 대기 후 RA(Router Advertisement) 패킷이 수신되었는지를 판정하는 단계; 및

요청패킷에 대한 RA 패킷이 수신되었으면 해당 패킷에서 라우터 정보를 획득하는 단계를 포함하는 것을 특징으로 하는 IPv6 네트워크 내 호스트 탐색방법.
NDP 패킷을 캡처하는 단계와;

캡처한 패킷이 RS, NS, NA중 하나인지를 판정하는 단계; 및

판정결과 RS, NS, NA 중 하나라면 캡처된 패킷에서 링크층 어드레스(link-layer address) 정보와 IP 어드레스 정보를 포함하는 호스트 정보를 획득하거나, 판정결과 RA라면 캡처된 패킷에서 라우터 정보를 획득하는 단계를 포함하는 것을 특징으로 하는 IPv6 네트워크 내 호스트 탐색방법.
제 1항 또는 제 3항에 있어서,

상기 호스트 정보는 NA(Neighbor Advertisement) 패킷의 필드정보를 선택적으로 더 포함하는 것을 특징으로 하는 IPv6 네트워크 내 호스트 탐색방법.
제 3항에 있어서,

상기 라우터 정보는 링크층 어드레스(link-layer address) 정보와 IP 어드레스 정보를 포함하는 것을 특징으로 하는 IPv6 네트워크 내 호스트 탐색방법.
제 2항 또는 제 3항에 있어서,

상기 라우터 정보는 RA(Router Advertisement) 패킷의 필드정보를 선택적으로 더 포함하는 것을 특징으로 하는 IPv6 네트워크 내 호스트 탐색방법.
제 1항 내지 제 3항중 어느 한 항에 있어서,

상기 호스트 정보 또는 상기 라우터 정보 중 적어도 하나는 IP 어드레스와 링크층 어드레스(link-layer address)를 리스트로 관리하는 것을 특징으로 하는 IPv6 네트워크 내 호스트 탐색방법.
호스트의 네트워크 차단을 위한 정책이 설정되면, 네트워크 내에서 NDP(Neighbor Discovery Protocol) 패킷을 캡처하는 단계;

캡처한 패킷의 종류에 따라 차단정책 포함 여부를 판정하는 단계; 및

판정 결과 차단정책에 포함될 경우, 상기 호스트 IP에 대해서 변조된 NA 패킷을 생성하여 멀티캐스트(multicast) 또는 유니캐스트(unicast) IP로 전송함으로써 호스트의 차단을 실시하는 단계를 포함하는 것을 특징으로 하는 IPv6 네트워크 내 호스트 차단방법.
호스트의 네트워크 차단을 위한 정책이 설정되면, 네트워크 내에서 차단호스트의 NDP(Neighbor Discovery Protocol) 패킷이 캡쳐되지 않은 상황에서, 차단호스트 IP에 대해서 변조된 NA 패킷을 생성하여 멀티캐스트(multicast) 또는 유니캐스트(unicast) IP로 전송함으로써 호스트의 차단을 실시하는 단계를 포함하는 것을 특징으로 하는 IPv6 네트워크 내 호스트 차단방법.
제 8항 또는 제 9항에 있어서,

상기 NA(Neighbor Advertisement) 패킷의 링크층 어드레스(link-layer address)를 해당 네트워크에 존재하지 않는 가상의 링크층 어드레스 또는 특정 링크층 어드레스로 설정한 변조된 NA 패킷을 멀티캐스트(multicast) 하거나 유니캐스트(unicast) 함으로써 호스트의 차단을 수행하는 것을 특징으로 하는 IPv6 네트워크 내 호스트 차단방법.
제 8항 또는 제 9항에 있어서,

상기 호스트의 네트워크 차단을 위한 정책이 리스트로 관리되는 것을 특징으로 하는 IPv6 네트워크 내 호스트 차단방법.
제 8항 또는 제 9항에 있어서,

상기 호스트의 네트워크 차단을 위한 정책은 IP 어드레스 또는 링크층 어드레스(link-layer address)를 포함하는 것을 특징으로 하는 IPv6 네트워크 내 호스트 차단방법.
제 8항 또는 제 9항에 있어서,

상기 호스트의 네트워크 차단을 위한 정책에서 정책 시작시간과 만료시간을 더 포함하는 것을 특징으로 하는 IPv6 네트워크 내 호스트 차단방법.
제 8항 또는 제 9항에 있어서,

상기 호스트의 차단을 실시하는 단계는,

상기 차단 호스트에 변조된 NA 패킷을 전송하여 상기 차단 호스트의 네트워크 인터페이스에 IP할당을 실패하게 함으로써 호스트의 차단을 수행하는 것을 특징으로 하는 IPv6 네트워크 내 호스트 차단방법.
제 8항 또는 제 9항에 있어서,

상기 호스트의 차단을 실시하는 단계는,

상기 차단 호스트가 속한 네트워크 내 호스트들에게 상기 차단 호스트의 변조된 NA 패킷을 전송하여 상기 차단 호스트에 대한 변조된 NA 패킷 정보로 이웃 캐시(neighbor cache)를 갱신하게 함으로써 상기 차단 호스트와 통신이 되지 않게 하는 방법을 이용하여 호스트의 차단을 수행하는 것을 특징으로 하는 IPv6 네트워크 내 호스트 차단방법.
제 9항에 있어서,

상기 네트워크 내에서 캡처된 NDP(Neighbor Discovery Protocol) 패킷이 RS(Router Solicitation) 또는 RA(Router Advertisement) 패킷이라면, 근원지 정보를 이용하여 차단호스트 여부를 판정하는 것을 특징으로 하는 IPv6 네트워크 내 호스트 차단방법.
제 9항에 있어서,

상기 네트워크 내에서 캡처된 NDP(Neighbor Discovery Protocol) 패킷이 NS(Neighbor Solicitation)라면, 근원지 정보를 이용하여 차단호스트인지 판정하는 단계;

판정결과 근원지 정보가 차단호스트일 경우 DAD(Duplicate Address Detection) 확인 패킷인지 판정하는 단계; 및

근원지 정보가 차단호스트가 아닐 경우 목적지 정보를 이용하여 차단호스트를 판정하는 단계를 포함하는 것을 특징으로 하는 IPv6 네트워크 내 호스트 차단방법.
제 9항에 있어서,

상기 네트워크 내에서 캡처된 NDP(Neighbor Discovery Protocol) 패킷이 NA(Neighbor Advertisement)라면, 근원지 정보가 차단호스트인지 판정하는 단계; 및

판정결과 근원지 정보가 차단호스트가 아니라면 목적지 정보가 차단호스트인지 판정하는 단계를 포함하는 것을 특징으로 하는 IPv6 네트워크 내 호스트 차단방법.
제 16항 내지 제 18항중 어느 한 항에 있어서,

상기 근원지 정보는 소스 링크층 어드레스(source link-layer address), 소스 IP 어드레스(source IP address), ICMPv6 헤더의 목표 어드레스(target address)중 어느 하나 이상을 포함하는 것을 특징으로 하는 IPv6 네트워크 내 호스트 차단방법.
제 17항 또는 제 18항에 있어서,

상기 목적지 정보는 목적지 링크층 어드레스(destination link-layer address), 목적지 IP 어드레스(destination IP address), ICMPv6 헤더의 목표 어드레스(target address)중 어느 하나 이상을 포함하는 것을 특징으로 하는 IPv6 네트워크 내 호스트 차단방법.