ARP SDN for detecting ARP spoofing attack and controller including the same

• Main Authors: YOO, MYUNG SIK, NGUYEN TRI HAI, CHOI, JIN SEOK
• Format: Patent
• Language: English; Korean
• Published: 04.05.2018
• Subjects: ELECTRIC COMMUNICATION TECHNIQUE; ELECTRICITY; TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHICCOMMUNICATION

Disclosed are a software definition network capable of detecting an ARP spoofing attack and a controller included therein. The disclosed software definition network comprises: a plurality of switches positioned on a data plane of the software definition network, and to which at least one host is connected; and a controller which is positioned on a control plane of the software definition network, and controls the switches. In this regard, the controller receives an ARP message transmitted from any one switch among the switches, extracts an IP address of a transmitter who transmits the ARP message from the ARP message, and detects whether an ARP spoofing attack is performed by determining whether first address information included in the ARP message is identical to second address information stored in the controller if a host having the extracted IP address is connected to the software definition network. ARP 스푸핑 공격을 감지할 수 있는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러가 개시된다. 개시된 소프트웨어 정의 네트워크는 상기 소프트웨어 정의 네트워크의 데이터 평면에 위치하며, 적어도 하나의 호스트가 연결되는 복수의 스위치; 및 상기 소프트웨어 정의 네트워크의 컨트롤 평면에 위치하며, 상기 복수의 스위치를 제어하는 컨트롤러;를 포함하되, 상기 컨트롤러는, 상기 복수의 스위치 중 어느 하나의 스위치에서 전송된 ARP 메시지를 수신하고, 상기 ARP 메시지로부터 상기 ARP 메시지를 전송한 송신자의 IP 주소를 추출하고, 상기 추출된 IP 주소를 가지는 호스트가 상기 소프트웨어 정의 네트워크에 접속되어 있는 경우, 상기 ARP 메시지 내에 포함된 제1 주소 정보와 상기 컨트롤러에 저장되어 있는 제2 주소 정보가 동일한지 여부를 판단하여 ARP 스푸핑 공격이 수행되었는지 여부를 감지한다.