KR101253390B1 - 라우터 검출 - Google Patents

Abstract

네트워크에서 승인받지 않은 라우터를 발견하기 위해 컴퓨터에서 구현되는 방법, 데이터 처리 시스템, 및 컴퓨터 프로그램 제품. 본 발명의 실시 예에서 프로세스는 먼저, 의심되는(suspected) 라우터 또는 목적지 장치에 대한 물리적 어드레스를 획득한다. 적어도 목적지 매체 접근 컨트롤 필드, 목적지 인터넷 프로토콜 필드, 및 존속시간(time-to-live) 필드를 포함하는 데이터 패킷이 생성되는데, 여기서 목적지 매체 접근 컨트롤 필드는 목적지 장치에 대한 물리적 어드레스를 포함하고, 목적지 인터넷 프로토콜 필드는 보거스 인터넷 프로토콜 어드레스를 포함하며, 존속시간 필드는 데이터 패킷이 시간 제한이 초과되었음을 표시하는 값을 포함한다. 데이터 패킷은 목적지 매체 접근 컨트롤 필드의 물리적 어드레스를 사용하여 목적지 장치에 전송된다. 만일 시간 초과 메시지(time exceeded message)가 목적지 장치로부터 수신되면, 목적지 장치는 라우팅(routing)을 위해 인에이블되는 것으로 결정된다.

Description

라우터 검출{ROUTER DETECTION}

본 발명은, 일반적으로 개선된 데이터 처리 시스템에 관한 것으로, 특히, 네트워크에서 승인받지 않은 라우터를 발견하기 위해서 컴퓨터에서 구현되는 방법, 데이터 처리 시스템, 및 컴퓨터 프로그램 제품에 관한 것이다.

분산 네트워크 데이터 처리 시스템들이 비즈니스분야와 가정에 점점 더 널리 보급되고 있다. 통상, 네트워크 데이터 처리 시스템은 매체(medium)를 갖는 네트워크를 포함하는데, 이 매체는 그 네트워크 내의 여러 장치들 및 컴퓨터들 간에 통신 링크들(communications links)을 제공하기 위해 사용된다. 이러한 매체는 다른 장치들과의 통신 링크들을 제공하는 와이어들(wires)을 포함하며, 상기 다른 장치들로는, 예를 들어 네트워크 상의 서로 다른 장치들 간에 데이터 라우팅(routing)을 제공하는 라우터(router)를 포함한다. 네트워크 내에서 데이터를 전송하는데 사용되는 하나의(one) 프로토콜에는, 전송 제어 프로토콜/인터넷 프로토콜(TCP/IP)이 있다. 이러한 프로토콜은 인터넷에서 사용되며, 또한 다른 네트워크들, 예를 들어 인트라넷(intranet), 근거리 통신망(LAN), 또는 원거리 통신망(WAN), 에서도 구현될 수도 있다. TCP는 전송 기능들을 제공하는데, 이는 전송된 바이트들(bytes)의 총 량이 다른 목적지(at the other end)에 정확하게 수신되도록 한다. IP는 TCP로부터 패킷들을 받기 위해서 사용되고, 데이터 링크 층 프로토콜에 상기 패킷을 전달하기(deliver) 위해서 헤더(header)를 추가한다. IP 어드레스는 서로 다른 시스템들 사이에 데이터를 전송하기 위해서 네트워크에 있는 모든 클라이언트 및 서버에 의해서 사용된다.

라우터(router)는 서로 다른 네트워크들(즉, 개별 논리 서브넷들(separate logical subnets)) 사이에서 전송되는(travel) 데이터를 위해 적당한 경로를 결정하는 장치이다. 상기 라우터는 이 경로를 따라 다음(next) 장치에 데이터 패킷들을 전송한다. 라우터는 이용가능한 경로들 및 그 조건들(conditions)에 대한 테이블을 생성하거나 유지할 수 있으며, 이 테이블 정보를 사용하여 주어진 패킷에 대한 최적의 경로를 결정할 수 있다.

보안 분야에서(in the world of security), 어떤 기관(an organization)의 네트워크 내에서 승인받지 않은 라우터는 로그 라우터(a rogue router)로 알려져 있다. 이와 같이 승인받지 않은 라우터들은 모니터되지도 않고, 라우터의 서브넷 상의 머신들(machines)도 아니다. 기관들(organizations)은 그들의 네트워크들에서 승인받지 않은 라우터가 동작하는(running) 것을 원하지 않는데, 왜냐하면 이러한 라우터들과 연관된(associated) 보안상의 우려들(concerns)이 많이 존재하기 때문이다. 심지어 사용자에게 악의가(malicious intent) 없는 경우라도 네트워크 내의 클라이언트 장치 또한 로그 라우터가 될 수도 있다. 예를 들어, 사용자가 인터넷을 통해 e-메일에 접근하기 위해서 랩탑 컴퓨터를 클라이언트 장치에 접속하고 모뎀을 사용한 경우, 상기 모뎀이 승인받지 않은 라우터가 될 수도 있다. 만일, 랩탑의 운영 시스템(operating system)이 라우터 기능을 포함하고, 그러한 기능이 인에이블되는(enabled) 경우, 심지어 사용자의 랩탑 컴퓨터까지도 라우터로서 동작할 수 있다. 이러한 시나리오(scenario)는, 사용자의 랩탑이 승인받은 라우터만 포함할 때보다 보안이 더 취약해지기 때문에 여러 보안문제들을 야기한다. 따라서, 네트워크 보안 관리자(a network security administrator)가 승인받지 않은 라우터들을 검출하여 그들의 동작을 중지시킬 수 있도록 하는 것이 바람직하다.

패킷이 어떤(one) 컴퓨터에서 다른 곳으로 보내질 때, 그 패킷은 0개 이상의 라우터들을 통과한다. 패킷이 통과하는 상기 라우터들의 시퀀스를 패킷의 경로(route), 또는 진로(path)라고 부른다. 하나의 라우터(one router)의 이동여정(traversal)은 홉(hop)이라고 불리운다. 종래 기술분야에서, 트레이스라우트(traceroute) 유틸리티는 네트워크에서 라우터들을 검출하는데 사용될 수 있는데, 이는 송신지 머신(source machine)과 명시된 목적지(destination) 머신 사이의 분산 네트워크를 통해 경로(route)를 기록함으로써 이루어질 수 있다. 만일 목적지 머신이 활동중(active)이고 송신지 머신의 모니터링 툴이 상기 목적지 머신의 IP 어드레스를 핑(ping)할 수 있는 경우이면, 송신지 머신과 목적지 머신 사이의 라우터(들)을 검출할 수 있다. 트레이스라우트(traceroute) 명령은 패킷들 시리즈(series)를 (인터넷 제어 메시지 프로토콜 또는 ICMP를 사용하여) 타겟 목적지 머신에 전송함으로써 동작한다. 제 1의 패킷은 제한된 존속시간 값(a limited Time-To-Live(TTL))을 포함하는데, 이 값은 제 1의 홉(hop)을 위해 상기 패킷을 수신하는 제 1의 라우터에 의해서 시간이 초과될 수 있도록 설계된다. 예를 들어, 제 1의 패킷의 TTL 값은 1의 값을 갖는다. 제 1의 라우터가 TTL 값이 1인 상기 패킷을 만나면, 상기 제 1의 라우터는 패킷을 전송한(sending) 송신지 머신에 ICMP 시간 초과 메시지(Time Exceeded message) (타입 11)을 반송하게 된다. 그리고, 패킷을 전송한 송신지 머신은 또한, 존속시간(TTL) 값이 2인 다른 패킷들을 제 2의 홉을 위해 전송하고, 그 다음 계속해서 존속시간(TTL) 값이 3인 패킷들을 제 3의 홉을 위해 전송한다. 따라서, 경로(path)에 존재하는 각각의 라우터는 패킷을 전송한 송신지 머신과 목적지 머신 사이의 타입 11 패킷에 응답하게 된다. 최종 목적지 머신에 패킷이 도달하면, 프로세스를 마친다.

상기 트레이스라우트 유틸리티는 네트워크 내의 라우터들을 검출하는데 사용될 수 있지만, 반면 문제점이 있는데, 즉, 라우트된 서브넷이 알려져 있지 않거나 또는 라우터 서브넷 상의 머신들이 응답하지 않거나 혹은 다운된 경우에는 네트워크 관리자가 머신이 라우팅을 하고 있는지를 알 수 없다는 것이다. 따라서, 종래 기술분야의 유틸리티(utilities), 즉 트레이스라우트는 오직 송신지 머신이 서브넷의 IP 어드레스들 알고 있는 경우 혹은 서브넷 상의 머신들의 IP 어드레스들을 알고 있는 경우에만 그 머신이 라우터인지를 알 수 있다.

개시된 구체적인 실시예들은 네트워크에서 승인받지 않은 라우터를 발견하기 위해 컴퓨터에서 구현되는 방법, 데이터 처리 시스템, 및 컴퓨터 프로그램 제품을 제공한다. 개시된 실시 예들에서 본 발명의 프로세스는 먼저, 의심되는(suspected) 라우터 혹은 목적지 장치의 물리적 어드레스를 획득한다(obtain). 그리고 적어도 목적지 매체 접근 제어 필드(field), 목적지 인터넷 프로토콜 필드, 및 존속시간(time-to-live) 필드를 포함하는 데이터 패킷이 생성된다. 여기서 상기 목적지 매체 접근 제어 필드는 목적지 장치의 물리적 어드레스를 포함하고, 상기 목적지 인터넷 프로토콜 필드는 보거스(bogus) 인터넷 프로토콜 어드레스를 포함하고, 상기 존속 시간(time-to-live) 필드는 데이터 패킷이 시간 제한을 초과한(exceeded) 것을 표시하는 값(value)을 포함한다. 상기 데이터 패킷은 상기 목적지 매체 접근 제어 필드의 물리적 어드레스를 사용하여 목적지 장치로 전송된다. 만일 상기 목적지 장치로부터 시간 초과 메시지(time exceeded message)가 수신되면, 상기 목적지 장치는 라우팅을 위해서 인에이블되어 있다고(enabled) 결정된다.

본 발명의 바람직한 실시예는, 오직 예시의 목적으로만, 이하의 도면을 참조하여 이제부터 설명될 것이다.
도 1은, 본 발명의 실시 예들이 구현될 수 있는 분산 데이터 처리 시스템을 도시한다;
도 2는, 본 발명의 실시 예들이 구현될 수 있는 데이터 처리 시스템의 블록도이다;
도 3은, 본 발명의 바람직한 실시예에 따라 도시된 데이터 처리 시스템을 위한 통상의 소프트웨어 아키텍처(architecture)이다;
도 4는, 본 발명의 바람직한 실시예에 따라 도시된 전송 제어 프로토콜/인터넷 프로토콜(TCP/IP) 및 이와 유사한 프로토콜의 블록도이다;
도 5는, 본 발명의 실시 예들에 따라 승인받지 않은 라우터들을 발견하기 위한 로그 라우터 헌터 시스템(rogue router hunter system)의 블록도이다;
도 6은, 본 발명의 실시 예들에 따라 로그 라우터 헌터에 의해서 생성된 패킷을 도시한다; 그리고
도 7은, 본 발명의 실시 예들에 따라 승인받지 않은 라우터들을 발견하기 위한 프로세스의 흐름도이다.

지금부터 도면들을 참조, 특히 도 1 및 도 2를 참조하여, 데이터 처리 환경들을 보여주는 다이어그램을 설명할 것이며, 본 발명의 실시 예들은 이러한 환경에서 구현될 수 있다. 도 1 및 도 2는 오직 예시의 목적이며, 다른 실시 예들이 구현될 수 있는 환경들에 대하여 어떤 제한을 내포하거나 주장하려는 의도가 없음을 알아야한다. 또한 도시된 환경들로부터 많은 변형예들이 이루어질 수 있다.

도 1은, 본 발명의 실시 예들이 구현될 수 있는 데이터 처리 시스템들의 네트웍을 도시한다. 네트워크 데이터 처리 시스템(100)은 본 발명의 실시 예들이 구현될 수 있는 컴퓨터들간의 네트워크를 나타낸다. 네트워크 데이터 처리 시스템(100)은 네트워크(102)를 포함하는데, 이는 네트워크 데이터 처리 시스템(100) 내에 함께 접속된 여러 장치들 및 컴퓨터들 간에 통신 링크들을 제공하기 위해서 사용되는 매체(medium)이다. 네트워크(102)는 접속 수단들(connections), 예를 들어 유선, 무선 통신 링크들, 또는 광섬유 케이블들을 포함한다.

도시된 실시 예에서, 서버(104) 및 서버(106)은 저장 유닛(108)과 함께 네트워크(102)에 접속된다. 또한 클라이언트들(110), (112), 및 (114)도 네트워크(102)에 접속된다. 클라이언트들(110), (112), 및 (114)는, 예를 들어, 개인용 컴퓨터들 혹은 네트워크 컴퓨터들이 될 수 있다. 도시된 실시 예에서, 서버(104)는 데이터, 예를 들어 부트 파일들(boot files), 운영 시스템 이미지들, 및 어플리케이션들, 을 클라이언트들(110), (112), 및 (114)에 제공한다. 이 예에서 클라이언트들(110), (112), 및 (114)는 서버(104)에 대한 클라이언트들이다. 네트워크 데이터 처리 시스템(100)은 도시되지 않은 추가적인 서버들, 클라이언트들, 및 다른 장치들을 포함할 수 있다.

도시된 실시예에서, 네트워크 데이터 처리 시스템(100)은 네트워크(102)를 갖는 인터넷이 될 수 있으며, 여기서 인터넷은 서로 통신하기 위한 프로토콜로서 전송 제어 프로토콜/인터넷 프로토콜(TCP/IP)을 사용하는 네트워크들 및 게이트웨이들(gateways)의 세계적 집합(a worldwide collection)을 나타낸다. 인터넷의 중심에는(at the heart) 주요 노드들(major nodes) 혹은 호스트 컴퓨터들 간에 고속 데이터 통신 회선들(lines)을 제공하는 백본(backbone)에 있으며, 여기서 주요 노드들 혹은 호스트 컴퓨터들은 데이터 혹은 메시지를 라우트하는 수 천의(thousands of) 상업, 정부, 교육 및 다른 컴퓨터 시스템들을 포함한다. 물론, 네트워크 데이터 처리 시스템(100)은 다수의 다른 종류의 네트워크들, 예를 들어, 인트라넷(intranet), 근거리 통신망(LAN), 또는 원거리 통신망(WAN)으로도 구현될 수 있다. 도 1은 예시의 목적이며, 다른 실시 예들에 대하여 구조적 제한을 의도하는 것은 아니다.

도 2를 참조하면, 도 2는 본 발명의 실시 예들이 구현될 수 있는 데이터 처리 시스템의 블록도를 도시한다. 데이터 처리 시스템(200)은 도 1의 서버(104) 혹은 클라이언트(110)와 같은 컴퓨터의 일 예에 해당하는데, 이 컴퓨터에는 본 발명의 프로세스(processes)들을 구현하는 컴퓨터 사용가능 프로그램 코드 혹은 명령들(instructions)이 본 발명의 실시 예를 위해서 포함될 수 있다. 이 예에서, 데이터 처리 시스템(200)은 통신 패브릭(communications fabric)(202)를 포함하는데, 이는 프로세서 유닛(204), 메모리(206), 영구 기억장치(persistent storage)(208), 통신 유닛(210), 입력/출력(I/O) 유닛(212), 및 디스플레이(214) 간에 통신(communications)을 제공한다.

프로세서 유닛(204)는 메모리(206)에 로드될(be loaded) 소프트웨어를 위해 명령들을 실행한다. 프로세서 유닛(204)는 구현방식에 따라, 하나 또는 그 이상의 프로세서들 세트나 혹은 멀티 프로세서 코어(core)가 될 수 있다. 또한, 프로세서 유닛(204)는 단일의 칩(a single chip) 상에 주 프로세서와 보조 프로세서들이 함께 존재하는 하나 또는 그 이상의 이질적인(heterogeneous) 프로세서 시스템들을 사용하여 구현될 수도 있다. 또 다른 실시예에서, 프로세서 유닛(204)는 동일한 종류의 복수의(multiple) 프로세서들을 포함하는 대칭(symmetric) 멀티-프로세서 시스템을 사용하여 구현될 수도 있다.

이 예들에서, 메모리(206)은, 예를 들어, 랜덤 엑세스 메모리(RAM)가 될 수 있다. 영구 기억장치(208)은 구현방식에 따라, 여러 형태를 취할 수 있다. 예를 들어, 영구 기억장치(208)은 하나 또는 그 이상의 컴포넌트들 혹은 장치들을 포함할 수 있다. 또 예를 들어, 영구 기억장치(208)은 하드 드라이브, 플래시 메모리, 재기록가능한(rewritable) 광 디스크, 재기록가능한 자기 테이프, 또는 전술한 몇몇의 조합이 될 수도 있다. 또한 영구 기억장치(208)로 사용되는 매체는 착탈가능한(removable) 것이 될 수 있다. 예를 들어, 영구 기억장치(208)로 착탈가능한 하드 드라이브가 사용될 수 있다.

이 예들에서, 통신 유닛(210)은, 다른 데이터 처리 시스템들 혹은 다른 장치들과 통신하기 위해서 제공된다. 이 예들에서, 통신 유닛(210)은 네트워크 인터페이스 카드가 될 수 있다. 통신 유닛(210)은 물리적(physical) 혹은 무선 통신 링크들(links) 중 하나를 사용하여 또는 그들 모두를 사용하여 통신들을 제공할 수 있다.

입력/출력 유닛(212)는 데이터 처리 시스템(200)에 접속될 수 있는 다른 장치들에 대하여(with) 데이터의 입력 및 출력을 수행한다. 예를 들어, 입력/출력 유닛(212)는 키보드 혹은 마우스를 통한 사용자 입력(input)을 위해 접속수단을 제공할 수 있다. 또한, 입력/출력 유닛(212)는 프린터에 출력(output)을 보낼 수 있다. 디스플레이(214)는 사용자에게 정보를 보여주기(display) 위한 메커니즘을 제공한다.

운영 시스템을 위한 명령들 및 어플리케이션들 혹은 프로그램들은 영구 기억장치(208)에 위치하게 된다. 이러한 명령들은 프로세서 유닛(204)에 의한 실행을 위해 메모리(206)에 로드될 수 있다. 다른 실시 예들에서도 프로세스들은 컴퓨터에서 실행되는 명령들을 사용하여 프로세서 유닛(204)에 의해 수행될 수 있는데, 이 경우도 상기 명령들은, 메모리, 즉 메모리(206)에 위치될 수 있다. 이러한 명령들은 프로세서 유닛(204)의 프로세서에 의해 판독되어 실행될 수 있는 컴퓨터 판독가능 프로그램 코드, 컴퓨터 사용가능 프로그램 코드, 또는 프로그램 코드로 나타내진다. 다른 실시 예들에서, 프로그램 코드는, 예를 들어 메모리(206) 혹은 영구 기억장치(208)과 같은 상이한 물리적 혹은 유형적 컴퓨터 판독가능 매체 상에 저장될 수 있다.

프로그램 코드(216)은 컴퓨터 판독가능 매체(218) 상에 적절한 형태로(in functional form) 저장되어, 프로세서 유닛(204)에 의한 실행을 위해 데이터 처리 시스템(200)에 로드되거나 혹은 그곳으로 전송될 수 있다. 이 예들에서, 프로그램 코드(216) 및 컴퓨터 판독가능 매체(218)은 컴퓨터 프로그램 제품 형태가 될 수 있다. 일 실시예에서, 컴퓨터 판독가능 매체(218)은 유형적(tangible) 형태, 예를 들어 광디스크 혹은 자기 디스크로 될 수 있으며, 이러한 매체는 영구 기억장치(208)의 일부(part of)가 될 수 있는 드라이브 또는 기타 장치에 삽입되거나 또는 장착될 수 있다. 여기서 이러한 장치는 저장 장치, 예를 들어 영구 기억장치(208)의 일부(part of)인 하드 드라이브 상에 코드를 전송하기 위한 장치들이다. 또한, 컴퓨터 판독가능 매체(218)은 역시 유형적 형태로서 영구 기억장치의 형태를 취할 수 있는데, 예를 들어, 데이터 처리 시스템(200)에 접속되는 플래시 메모리 또는 하드 드라이브의 형태가 될 수 있다.

다른 실시 예에서, 프로그램 코드(216)은 통신 유닛(210)에 대한 통신 링크 및/또는 입력/출력 유닛(212)에 대한 접속수단(connection)을 통해서 컴퓨터 판독가능 매체(218)로부터 데이터 처리 시스템(200)으로 전송될 수 있다. 본 발명의 실시 예들에서, 상기 통신 링크 및/또는 접속수단은 물리적(physical) 형태 또는 무선이 될 수 있다. 또한 상기 컴퓨터 판독가능 매체는 비유형적(non- tangible) 매체를 취할 수 있는데, 예를 들어, 프로그램 코드를 포함하는 통신 링크들 혹은 무선 전송들(wireless transmissions)의 비유형적 매체를 취할 수 있다.

데이터 처리 시스템(200)을 위해 도시된 여러(different) 컴포넌트들이 다른 실시 예들에서 구현될 수 있는 방식에 대하여 구조적인 제한을 제공하려는 의도를 가진 것은 아니다. 다른 실시 예들은 데이터 처리 시스템(200)에서 도시된 컴포넌트들에 추가하거나 대체된 컴포넌트들을 포함하는 데이터 처리 시스템에서 구현될 수 있다. 또한 도 2에 도시된 다른 컴포넌트들도 본 발명의 실시 예들에서 다양하게 변형될 수 있다.

예를 들어, 통신 패브릭(202)을 구현하기 위해서 버스 시스템(bus system)이 사용될 수 있는데, 상기 버스 시스템은, 예를 들어, 시스템 버스 혹은 입력/출력 버스와 같은 하나 또는 그 이상의 버스들을 포함할 수 있다. 물론, 상기 버스 시스템은 버스 시스템에 연결된 여러 컴포넌트들(components or devices) 간에 데이터 전송을 제공하는 어떤(any) 적절한 아키텍처(architecture) 종류를 사용하여 구현될 수도 있다.

추가적으로, 통신 유닛은 데이터를 전송하거나 수신하는데 사용되는 하나 또는 그 이상의 장치들, 예를 들어, 모뎀(modem) 혹은 네트워크 어댑터를 포함할 수 있다. 또한, 메모리는 예를 들어, 메모리(206) 혹은 캐시(cache)가 될 수 있는데, 상기 캐시는 예를 들어 통신 패브릭(202)에 존재할 수 있는 메모리 컨트롤러 허브 및 인터페이스에서 발견될 수 있다.

도 3으로 돌아가면, 도 3은 본 발명의 실시 예들에 따라 데이터 처리 시스템을 위한 통상의 소프트웨어 아키텍처를 도시한다. 이러한 아키텍처는 데이터 처리 시스템, 예를 들어 도 2의 데이터 처리 시스템(200)에서 구현될 수 있다. 소프트웨어 아키텍처(300)의 최하위 레벨에 위치한 운영 시스템(302)는 사용자 및 다른 소프트웨어에 대해 상위 레벨 기능(functionality)을 제공하기 위해서 사용된다. 그러한 운영 시스템은, 통상, 기본 입출력 시스템(BIOS)을 포함한다. 통신 소프트웨어(304)는 물리적 통신 링크를 경유하여 인터넷과 같은 네트웍에 외부 포트(port)를 통해서 통신을 제공하는데, 상기 네트워크에 대한 통신을 위해 하드웨어에 접근하기 위해서 운영 시스템 기능(functionality)을 직접 호출하거나(invoking) 또는 운영 시스템을 간접적으로 바이패싱(bypassing) 함으로써 한다.

어플리케이션 프로그래밍 인터페이스(API)(306)은 시스템의 사용자, 즉 개개인 혹은 소프트웨어 루틴(routine)이 표준 컨시스턴트(consistent) 인터페이스를 사용하여, 특정 기능이 어떻게 구현되는지와는 상관없이 시스템 기능들(capabilities)을 호출할(invoke) 수 있게 허용한다. 네트워크 접근 소프트웨어(308)은 시스템을 네트워크에 접근할 수 있도록 하기 위해서 이용가능한 모든(any) 소프트웨어를 나타낸다. 여기서 접근은 예를 들어 근거리 통신망(LAN), 원거리 통신망(WAN), 혹은 인터넷을 포함하는 네트웍에 대한 접근을 말한다. 인터넷에서(with the Internet), 이러한 소프트웨어는 예를 들어 웹 브라우저들과 같은 프로그램들을 포함할 수 있다. 어플리케이션 소프트웨어(310)은 사용자가 찾는(seek) 원하는 기능(functionality)을 제공하기 위해서 통신 포트를 지나는(through) 데이터에 반응하도록 설계된 많은 소프트웨어 어플리케이션들을 의미한다. 본 발명의 실시 예들의 메커니즘은 이 예들에서의 통신 소프트웨어(304)내에서 구현될 수 있다.

도 4는, 본 발명의 실시 예들에 따라 도시된 전송 제어 프로토콜/인터넷 프로토콜(TCP/IP) 및 이와 유사한 프로토콜의 블록도이다. TCP/IP 및 이와 유사한 프로토콜은 통신 아키텍처(400)에 의해서 사용된다. 이 예에서, 통신 아키텍처(400)은 4개층(4-layer)의 시스템으로 이루어진다. 이 아키텍처는 어플리케이션 층(402), 전송 층(404), 네트워크 층(406), 및 링크 층(408)을 포함한다. 각각의 층은 다양한(various) 통신 태스크를 처리하기(handling) 위해서 존재한다. 링크 층(408)은 데이터-링크 층 혹은 네트워크 인터페이스 층으로도 불리우며, 통상, 운영 시스템의 장치 드라이버 및 대응 컴퓨터의 네트워크 인터페이스 카드를 포함한다. 이 링크 층은, 광 케이블 또는 이더넷 케이블과 같은, 사용되는 네트워크 매체를 물리적으로 인터페이싱(interfacing)하는 모든 하드웨어들(hardware details)을 관리한다(hadle).

네트워크 층(406)은 인터넷 층으로도 불리우며, 네트워크에서(around) 데이터 패킷들의 이동(movement)을 처리한다. 예를 들어, 네트워크 층(406)은 네트워크를 통해서 전송되는 다양한 데이터 패킷들의 라우팅(routing)을 처리한다. TCP/IP 스윗(suite)에서 네트워크 층(406)은 몇몇 프로토콜들을 포함하는데, 즉 인터넷 프로토콜(IP), 인터넷 컨트롤 메시지 프로토콜(ICMP), 및 인터넷 그룹 매니지먼트 프로토콜(IGMP)을 포함한다.

다음으로, 전송 층(404)는 네트워크 층(406) 및 어플리케이션 층(402) 사이에 인터페이스를 제공하는데, 이는 두 호스트 컴퓨터들 간의 데이터 전송을 용이하게 한다. 전송 층(404)는, 예를 들어, 어플리케이션 층으로부터 자신에게 보내진 데이터를 아래에 위치한 네트워크 층을 위해서 적절한 크기의 조각으로 나누는 일, 수신된 패킷들의 수신을 확인하는(acknowledging) 일, 그리고 전송된 패킷들의 다른 쪽 끝(the other end)을 확실하게 확인하도록 타임아웃들(timeouts)을 세팅하는 일을 수행한다. TCP/IP 프로토콜 스윗에는, 분명하게 다른 두 개의 전송 프로토콜이 존재하는데, 그것은 TCP 및 사용자 데이터그램 프로토콜(UDP)이다. TCP는 두 호스트들 간에 데이터가 올바르게(properly) 전송되는 것을 확실히 하기 위한 신뢰 서비스들(reliability services)을 제공하는데, 이에는 드롭아웃 검출(dropout detection) 및 재전송 서비스가 포함된다.

반대로, UDP는 단지 데이터그램들(datagrams)로 불리우는 데이터 패킷들을 어떤(one) 호스트에서 다른 호스트로 보냄으로써 어플리케이션 층에 대한 더 간단한 서비스를 제공하는데, 이때 상기 데이터가 올바르게 전송되는 것을 보장하는 어떠한 메커니즘도 제공하지 않는다. UDP를 사용하면 상기 어플리케이션 층은 반드시 신뢰(reliability) 기능을 수행해야만 한다.

어플리케이션 층(402)는 특정 어플리케이션의 세부 사항들을 처리한다. 거의 모든 제품(every implementation)에서 많은 TCP/IP 어플리케이션들이 공통적으로 존재하는데(present), 이들은 리모트 로그인용 텔넷(Telnet), 파일 전송 프로토콜(FTP), 전자 메일을 위한 간단한 메일 전송 프로토콜(SMTP), 및 간단한 네트워크 관리 프로토콜(SNMP)을 포함한다. 본 발명의 실시 예들의 메커니즘은 네트워크 층(406) 내에서 프로세스로 구현될 수 있다.

본 발명의 실시 예들은 네트워크에서 승인받지 않은 라우터들을 발견함으로써 잠재적인 보안 문제들을 검출하는 로그 라우터 헌터 시스템(rogue router hunter system)을 제공한다. 승인받지 않은 라우터라 함은 네트워크 보안 관리자에 의한 승인이 없는 상태에서 의도적으로 혹은 비의도적으로 라우팅 기능이 인에이블된(enabled) 머신(machine)을 말한다. 기존의(existing) 라우터 검출 방법들(예를 들어 트레이스라우트 유틸리티)과는 대조적으로, 로그 라우터 헌터 시스템은 머신이 라우팅하는 서브넷의 IP 어드레스들이 알려져 있지 않고 또한 서브넷 상의 머신들의 IP 어드레스들도 알려져 있지 않은 경우에도 네트워크 보안 관리자가 그 머신이 승인받지 않은 라우터인지를 결정할 수 있도록 한다. 이와 같은 결정은, 심지어 결정 시(at the time of the determination)에 서브넷 상의 머신들에 대한 전원이 공급되지 않거나 혹은 머신들이 오프라인 상태인 경우에도 이루어질 수 있다.

도 5는 본 발명의 실시 예에 따라 승인받지 않은 라우터들을 발견하기 위한 로그 라우터 헌터 시스템의 블록도이다. 이 예에서, 승인받지 않은 라우팅 장치는 의심되는(suspected) 서브넷 라우터(502)로 표시되어있다. 의심되는 서브넷 라우터(502)는 의도적으로 혹은 비의도적으로 인에이블되는 라우팅 기능을 포함한 머신이 될 수 있다. 의심되는 서브넷 라우터(SR)(502)는 이더넷(Ethernet)에 접근하기 위한 네트워크 인터페이스 카드(NIC)를 포함한다. 의심되는 서브넷 라우터(502)의 네트워크 인터페이스는 매체 접근 제어(MAC) 어드레스를 사용하여 이더넷에 접근한다. 맥(MAC) 어드레스는 네트워크 노드 각각을 고유 식별하는 하드웨어 어드레스이다. 예를 들어, 네트워크 인터페이스 카드 각각은 서로 다른 맥(MAX) 어드레스를 갖는다. 의심되는 서브넷 라우터(502)에 대한 맥(MAC) 어드레스는 제조 단계에서 네트워크 인터페이스 카드에 할당된다.

네트워크(504)는 여러 장치들과 컴퓨터들 간에 통신 링크들을 제공하는 분산 네트워크의 일 예로서, 예를 들어, 도 1의 네트워크(102)와 같은 네트워크이다. 의심되는 서브넷 라우터(502)는 네트워크(504)에서의 트래픽(traffic)을 라우트(route)하는 것으로 실행된다. 이 예에서, 서브넷(506)은 복수의 머신들, 예를 들어 S1(508) 내지 SN(510), 을 포함한다.

종래의 시스템들은 라우터가 다운(down)되었는지 또는 라우터로의 패킷 전송이 실패하였는지를 결정하는데 있어서 알려진 라우터 IP 어드레스들에 기초하는 트레이스라우트(tracetoute) 유틸리티를 사용하는데 반하여, 로그 라우터 헌터(RRH)는 예를 들어 의심되는 서브넷 라우터(502)가 라우터로서 구성에 포함되었는지를 결정하기 위해서 트레이스라우트 유틸리티를 특별한 방법으로(in unique way) 사용하는 프로그램을 포함한다. 이 결정은, 상기 로그 라우터 헌터 프로그램이 심지어 의심되는 라우터의 서브넷 IP 어드레스들이나 혹은 서브넷 상의 머신들의 IP 어드레스들을 알지 못하는 경우에도 가능하다. 로그 라우터 헌터 호스트(512)는 네트워크 인터페이스 카드를 포함하는데, 이는 네트워크(504)에 접근하기 위해서 맥(MAC) 어드레스를 포함한다. 로그 라우터 헌터 호스트(512)는 네트워크(504)를 통해서 의심되는 서브넷 라우터(502)와 통신할 수 있는데, 이는 로그 라우터 헌터 호스트(512)가 의심되는 서브넷 라우터(502)의 이더넷 어드레스(맥 어드레스)를 알고 있기 때문이다. 로그 라우터 헌터(512)는 그 네트워크 상에 타겟 장치(device)가 존재하는지를 식별하는 핑(ping) 유틸리티를 사용하여서, 혹은 타겟의 IP 어드레스만 알려진 경우에 타겟의 하드웨어 어드레스를 결정하는 주소 결정 프로토콜(Address Resolution Protocol)을 사용하여서, 의심되는 서브넷 라우터(502)의 맥(MAC) 어드레스를 획득할 수 있다. 로그 라우터 헌터(512)는 의심되는 서브넷 라우터(502)의 맥(MAC) 어드레스를 획득할 필요가 있는데, 왜냐하면 만일 패킷이 그 패킷의 목적지 어드레스에 서브넷 라우터의 맥(MAC) 어드레스를 포함하고 있지 않다면 서브넷 라우터가 패킷에 응답하지 않거나(not listen to) 패킷을 처리하지 않을 것이기 때문이다. 상기 핑 유틸리티는 ICMP 요청 패킷을 타겟 장치로 전송하는 것으로 동작을 시작하고 전송에 대한 응답을 수신한다. 상기 응답 패킷은 송신지 맥(MAC) 어드레스, 목적지 혹은 타겟 맥 어드레스, 송신지 IP 어드레스, 및 목적지 IP 어드레스를 포함할 수 있다. 따라서 로그 라우터 헌터 호스트(512)의 프로그램은 송신지 맥(MAX) 어드레스 및 목적지 맥 어드레스를 포함하는 데이터 패킷을 생성하며, 이때, 상기 송신지 맥 어드레스는 로그 라우터 헌터 호스트(512)에 대한 맥 어드레스를 포함하고, 상기 목적지 맥 어드레스는 의심되는 서브넷 라우터(502)에 대한 맥 어드레스를 포함한다. 이 데이터 패킷은 또한 그 패킷의 목적지 IP 어드레스 필드에서 의심되는 서브넷 라우터(502)에 대한 보거스(bogus) IP 어드레스를 포함한다. 또한 상기 로그 라우터 헌터는 상기 패킷의 존속시간(TTL) 값을 1로 설정(set)할 것이다. 그 다음, 상기 패킷의 목적지 맥 어드레스와 의심되는 서브넷 라우터(502)에 있는 네트워크 인터페이스 카드의 맥 어드레스가 일치하면(match), 로그 라우터 헌터 호스트(512)는 의심되는 서브넷 라우터(502)로 데이터 패킷을 전송하고, 의심되는 서브넷 라우터(502)는 상기 패킷을 수신하게 된다.

의심되는 서브넷 라우터(502)는 패킷의 헤더를 조사하여(examines) 목적지 IP 패킷이 의심되는 서브넷 라우터(502)에 어드레스된 것인지를 결정한다. 상기 목적지 IP 패킷의 어드레스가 의심되는 서브넷 라우터(502)의 IP 어드레스와 일치(match)하지 않는 경우에는, 의심되는 서브넷 라우터(502)는 상기 패킷을 폐기할 것이다(will discard). 따라서, 상기 서브넷 라우터가 라우트(route) 하기 위한 구성에 포함되지 않은 경우에는, 상기 서브넷 라우터가 목적지 IP 어드레스를 체크하여, 목적지 IP 어드레스가 서브넷 라우터의 IP 어드레스가 아닌 것으로 결정하고, 상기 패킷을 드롭(drop)한다. 그러나, 의심되는 서브넷 라우터(502)가 라우터 기능을 인에이블되게하면, 의심되는 서브넷 라우터(502)는 상기 패킷을 폐기하지 않는다. 이와 같이 라우터가 인에이블된 상황에서, 의심되는 서브넷 라우터(502)는 패킷에 대한 최적의 경로를 결정하기 위해 결국 상기 패킷의 목적지 IP 어드레스를 라우팅 테이블의 IP 어드레스들과 비교할 것이다. 상기 서브넷 라우터는 비록 상기 목적지 IP 어드레스가 상기 서브넷 라우터의 IP 어드레스가 아니라고 결정한 경우에도, 라우트 하기 위한 구성에 포함되었기 때문에, 그 패킷을 다음 목적지로(onward) 전송해야만 한다. 그러나, 의심되는 서브넷 라우터(502)는 상기 비교를 수행하기 전에, 존속시간(TTL) 필드를 조사한다. 상기 TTL 필드는 상기 패킷이 폐기되기 전에 패킷이 경험할 수 있는 반복들(iterations) 횟수에 관한 제한(limit)을 표시하기 위해서 사용되는 홉 제한(hop limit)을 나타낸다. 만일 TTL 필드가 1보다 작거나 혹은 그와 동일한 경우라면, 의심되는 서브넷 라우터(502)는 ICMP 프로토콜에 따라 시간 초과 (타입 11) 패킷을 상기 패킷의 송신지 IP 어드레스로, 즉 로그 라우터 헌터 호스트(512)로 반환한다. 따라서, 상기 서브넷 라우터는 TTL 값이 너무 낮기 때문에 상기 패킷을 라우트할 수 없다고 결정하고, 이러한 문제를 패킷 발송자(sender)에게 알린다. 만일 로그 라우터 헌터 호스트(512)가 그와 같은 ICMP 시간 초과 메시지를 수신하면, 상기 로그 라우터 헌터는 의심되는 서브넷 라우터(502)의 라우팅 기능이 인에블된 것을 알게 된다. 그리고 로그 라우터 헌터 호스트(512)는 네트워크 보안 관리자에게 승인받지 않은 라우터에 대해 알려줄 수 있다(alert).

일 실시 예에서, Advanced Interactive eXecutive(AIXTM) 운영 시스템을 사용하는 의심되는 서브넷 라우터(502)는 로그 라우터 헌터 호스트(512)로부터 패킷을 수신하여 조사한다. 만일, 패킷의 목적지 IP 어드레스가 의심되는 서브넷 라우터(502)의 IP 어드레스와 일치하지 않음에도, 라우팅이 의심되는 서브넷 라우터(502)에서 인에이블되어 있는 경우에는, 상기 패킷은 라우팅 테이블에 보내지기 전에 ip_mforward() 함수로 보내진다. 이 ip_mforward() 함수는 상기 패킷의 TTL이 만료되면(즉, TTL<=1인 경우) 0 값을 반환할 것이고, 이는 의심되는 서브넷 라우터(502)가 ICMP 시간 초과 (타입 11) 메시지로 응답하게 한다. 로그 라우터 헌터 호스트(512)가 의심되는 서브넷 라우터(502)로부터 그와 같은 ICMP 시간초과 메시지를 받으면, 로그 라우터 헌터 호스트(512)는 의심되는 서브넷 라우터(502)가 라우팅을 위해 인에이블되어 있음을 알게 된다.

도 6은, 본 발명의 실시 예들에 따라 로그 라우터 헌터에 의해서 생성된 패킷을 도시한다. 예를 들어, 도 5의 의심되는 서브넷 라우터(502)와 같은 머신(machine)이 라우팅 하는지를 결정하기 위해 패킷(600)이 로그 라우터 헌터(512)로부터 전송될 수 있다. 패킷(600)은 여러 가지 필드들, 즉 송신지 맥(MAC) 어드레스(602), 목적지 맥 어드레스(604), 송신지 IP 어드레스(606), 목적지 IP 어드레스(608), 및 TTL 필드(610)를 포함한다.

송신지 맥(MAC) 어드레스(602)는 패킷을 전송하는 장치, 즉 도 5의 로그 라우터 헌터 호스트(512), 의 맥 어드레스이다.

목적지 맥(MAC) 어드레스(604)는 패킷을 수신하는 장치, 즉 도 5의 의심되는 서브넷 라우터(502), 의 맥 어드레스이다. 전술한 바와 같이, 의심되는 라우팅 머신의 IP 어드레스 또는 서브넷 상의 머신들의 IP 어드레스들이 알려지지 않은 상황에서는 송신지 IP 어드레스 및 목적지 IP 어드레스를 포함하는 종래의 패킷(conventional packet)은 의심되는 머신이 라우팅하는지를 결정하는데 사용될 수 없다. 상기 로그 라우터 헌터 어드레스들은 패킷(600)을 생성함으로써 이 문제(this issue)를 해결하는데, 즉 패킷(600)은 로그 라우터 헌터로 하여금 특정의 의심되는 라우터에 패킷을 전송하도록 하는데, 이때 의심되는 라우터의 맥(MAX) 어드레스를 사용하며, 이 어드레스는 로그 라우터 헌터에 알려져 있다. 따라서, 로그 라우터 헌터가 의심되는 라우터에 패킷(600)을 전송할 때 상기 의심되는 라우터는 그 패킷을 수신하는데, 이는 상기 패킷의 목적지 맥 어드레스와 의심되는 라우터의 네트워크 인터페이스 카드에 대한 맥 어드레스가 일치(match)하기 때문이다..

송신지 IP 어드레스(606)은 패킷을 전송하는 장치, 즉 로그 라우터 헌터, 의 IP 어드레스이다. 송신지 IP 어드레스(606)은, 의심되는 라우터가 라우팅하는 경우 로그 라우터 헌터에 ICMP 시간 초과 메시지를 반환하기 위해 의심되는 라우터에 의해 사용된다.

목적지 IP 어드레스(608)은 보거스(bogus) IP 어드레스이다. 로그 라우터 헌터가 의심되는 라우터 혹은 서브넷 머신들의 IP 어드레스들을 모두(any) 알 수는 없기 때문에 정확한(correct) 목적지 IP 어드레스가 패킷(600)에서 사용되지는 않는다. 보거스 IP 어드레스는 의심되는 라우터가 통상의 방식으로 패킷(600)을 처리 하도록 하기 위해서, 그리고 의심되는 라우터가 라우팅하는 경우에 로그 라우터 헌터가 이를 발견하도록 하기 위해서 목적지 IP 어드레스(608)에 배치되는데(placed), 그렇게 하면 목적지 IP 어드레스(608)의 보거스 IP 어드레스는 의심되는 라우터의 IP 어드레스와 일치하기 않을 것이고, 따라서, 라우팅이 인에이블되어 있다면, 의심되는 라우터는 패킷을 라우트(route)하기 위해 계속 노력할 것이기 때문이다.

TTL 필드(610)은 패킷(600)에 할당된 존속시간 값(time-to-live value)을 명시한다. 로그 라우터 헌터가 패킷(600)을 생성할 때, 상기 로그 라우터 헌터는 TTL 필드(610)에 값 "1"을 할당하는데, 이는 상기 로그 라우터 헌터와 의심되는 라우터 사이에 오로지 하나의 홉(hop)만이 필요하기 때문이다. TTL 필드(610)의 값 "1"은 의심되는 라우터로 하여금 패킷(600)을 수신할 때, ICMP 시간 초과 메시지를 로그 라우터 헌터에 반송(send bact to)하도록 한다.

도 7은, 본 발명의 실시 예들에 따라 승인받지 않은 라우터들을 발견하기 위한 프로세스의 흐름도이다. 상기 프로세스는 로그 라우터 헌터 프로그램이 도 6의 패킷(600)에 따라 데이터 패킷을 생성할 때 시작되며, 상기 데이터 패킷은 로그 라우터 헌터의 송신지 맥(MAC) 어드레스, 의심되는 라우터의 목적지 맥 어드레스, 로그(rogue) 라우터 헌터의 송신지 IP 어드레스, 보거스 목적지 IP 어드레스 및 값으로 "1"을 갖는 TTL 필드를 포함한다(스텝 702). 그 다음, 상기 로그 라우터 헌터는 상기 패킷을 의심되는 라우터로 전송한다(스텝 704). 상기 패킷의 목적지 맥 어드레스가 의심되는 라우터의 네트워크 인터페이스 카드에 대한 맥 어드레스와 일치하면, 상기 의심되는 라우터는 그 패킷을 수신한다(스텝 706).

그 다음, 상기 의심되는 라우터는 상기 패킷이 상기 의심되는 라우터를 목적으로 한 것인지를 결정하기 위해서 상기 패킷의 목적지 IP 어드레스(보거스 IP 어드레스)를 조사한다(스텝 708). 상기 패킷의 목적지 IP 어드레스가 곧 보거스(bogus) 어드레스이기 때문에 상기 패킷의 목적지 IP 어드레스는 상기 의심되는 라우터의 IP 어드레스와 일치하지 않을 것이다. 따라서, 상기 의심되는 라우터는 상기 패킷이 상기 의심되는 라우터를 목적으로 한 것이 아닌 것으로 결정할 것이다(스텝 710).

이 시점에서, 상기 의심되는 라우터의 라우팅 기능이 인에이블되지 않은 경우에는, 상기 의심되는 라우터는 그 패킷을 폐기하고(스텝 712), 그 후 상기 프로세스는 종료된다. 상기 로그 라우터 헌터는 상기 의심되는 라우터로부터 ICPM 시간 초과 메시지를 전혀 수신한 바 없기 때문에, 상기 로그 라우터 헌터는 의심되는 라우터가 라우팅하고 있지 않다고 결정한다.

그러나, 상기 의심되는 라우터의 라우팅 기능이 인에이블되어있는 경우, 상기 의심되는 라우터는 패킷의 TTL 필드를 조사한다(스텝 714). 상기 로그 라우터 헌터에 의해 생성된 패킷의 TTL 필드의 값이 "1"이기 때문에, 상기 의심되는 라우터는 패킷의 송신지 IP 어드레스에 기초하여, ICMP 시간 초과 메시지를 로그 라우터 헌터(패킷 발송자)에게 반송한다(스텝 716). 상기 패킷의 송신지 IP 어드레스는 상기 로그 라우터 헌터의 IP 어드레스이므로, 로그 라우터 헌터는 ICMP 시간 초과 메시지를 수신한다(스텝 718).

시간 초과 메시지가 상기 의심되는 라우터로부터 상기 로그 라우터 헌터에 수신되면, 상기 로그 라우터 헌터는 상기 의심되는 라우터가 라우팅하고 있음을 알게 된다(스텝 720). 그 다음, 상기 로그 라우터 헌터는 상기 의심되는 라우터가 네트워크 상에서 승인받지 않은 라우터임을 네트워크 보안 관리자에게 알리고(스텝 722), 그 후 상기 프로세스는 종료된다.

본 발명의 실시 예들은 온전한 하드웨어 예시, 온전한 소프트웨어 예시, 또는 하드웨어 및 소프트웨어의 요소들(elements)을 모두 포함하는 예시의 형태를 취할 수 있다. 바람직한 실시 예에서, 본 발명은 소프트웨어로 구현되는데, 예를 들어 펌웨어, 상주(resident) 소프트웨어, 마이크로코드, 등등을 포함하지만 이에 한정되는 것은 아니다.

또한, 본 발명의 실시예들은 컴퓨터-사용가능 매체 혹은 컴퓨터-판독가능 매체에 접근가능한 컴퓨터 프로그램 제품의 형태를 취할 수 있는데, 상기 컴퓨터 프로그램 제품은 컴퓨터 또는 어떤 명령 실행 시스템에 의한 사용을 위해 혹은 그와 결합하여 사용할 목적으로 프로그램 코드를 제공한다. 이를 설명하기 위한 목적으로, 컴퓨터-사용가능 매체 혹은 컴퓨터-판독가능 매체는 컴퓨터 또는 어떤 명령 실행 시스템에 의한 사용을 위해 혹은 그와 결합하여 사용할 목적으로 상기 프로그램을 포함, 저장, 통신, 보급, 또는 전송할 수 있는 어떠한 유형적 장치가 될 수 있다.

상기 매체는 전기, 자기, 광학, 전자기, 적외선, 또는 반도체 시스템(혹은 장치)이나 보급 매체가 될 수 있다. 컴퓨터 판독가능 매체의 예시들로 반도체 혹은 솔리드 상태의 메모리, 자기 테이프, 착탈 가능한 컴퓨터 디스켓, 랜덤 엑세스 메모리(RAM), 읽기 전용 메모리(ROM), 리지드(rigid) 자기 디스크 및 광학 디스크가 있다. 현재 광학 디스크의 예시들로는 컴팩트 디스크-읽기 전용 메모리(CD-ROM), 컴팩트 디스크-읽기/쓰기(CD-R/W), 및 DVD가 있다.

또한, 컴퓨터 저장 매체는 컴퓨터 판독가능 프로그램 코드를 포함 또는 저장할 수 있으며, 상기 컴퓨터 판독가능 프로그램 코드는 컴퓨터에서 실행되어, 컴퓨터가 통신 링크를 통해 다른 컴퓨터에게 컴퓨터 판독가능 프로그램 코드를 전송하게끔 한다. 이러한 통신 링크(communications link)로 사용되는 매체는, 예를 들어, 물리적(physical) 형태 혹은 무선이 있는데 이에 제한되지 않는다.

데이터 처리 시스템은 프로그램 코드를 저장하고 그리고/또는 실행하기에 적합하며 적어도 하나의 프로세서를 포함할 것이다. 상기 프로세서는 시스템 버스를 통해 메모리 엘리멘트들(elements)과 직접 혹은 간접적으로 연결된다. 상기 메모리 엘리멘트들은 상기 프로그램 코드의 실제 실행동안 사용되는 로컬 메모리로서, 벌크(bulk) 저장소, 및 캐시메모리들을 포함할 수 있는데, 이는 실행되는 동안 벌크 저장소로부터 읽혀져야만하는 코드의 타임 수를 줄이기 위해 적어도 몇몇 프로그램 코드에 대한 임시 저장소를 제공한다.

입력/출력 혹은 I/O 장치들(키보드, 디스플레이, 포인팅 장치들, 등등을 포함하지만 이에 한정되는 것은 아님)은 상기 시스템에 직접 연결되거나 또는 I/O 컨트롤러의 중재(intervening)를 통해 시스템에 연결될 수 있다.

네트워크 어댑터 또한 상기 시스템에 연결될 수 있는데, 이로써 데이터 처리 시스템은 사설 또는 공공 네트워크들의 중재를 통해 다른 데이터 처리 시스템들이나 또는 리모트 프린터들이나 리모트 저장 장치들과 연결될 수 있게끔 한다. 일반적으로 이용 가능한 네트워크 어댑터들 종류의 몇몇 예로써 모뎀, 케이블 모뎀 및 이더넷 카드들이 있다.

본 발명에 관한 설명은 예시와 설명의 목적으로 나타낸 것이며, 개시된 형태로 본 발명을 제한하거나 혹은 본 발명이 개시된 형태에 철처히 따라야 함을 의도한 것은 아니다. 많은 변형들과 변경들이 당해 기술 분야에서 통상의 지식을 가진 자들에게 가능할 것이다. 본 발명의 개념(principles)들, 실질적인 어플리케이션들을 가장 쉽게 설명하기 위해서 구체적인 실시예들이 선택되고 설명되었다. 그리고 고려된 특정 사용에 적합한 여러 변형들로 발명의 다양한 실시예들을 이해하는 것이 당해 기술분야에서 통상의 지식을 가진 자들이 아니라도 가능하도록 구체적인 실시예들이 선택되고 설명되었다.

Claims (20)

1. 분산 네트워크에서 승인받지 않은 라우터들을 검출하기 위해 컴퓨터에서 구현되는 방법(computer implemented method)에 있어서,
   상기 방법은:
   목적지 장치의 물리적 어드레스를 획득하는 단계;
   적어도 목적지 매체 접근 제어 필드, 목적지 인터넷 프로토콜 필드, 및 존속시간(time-to-live) 필드를 포함하는 데이터 패킷을, 소스 장치에 의해, 생성하는 단계로서, 상기 목적지 매체 접근 제어 필드는 상기 목적지 장치의 물리적 어드레스를 포함하고, 상기 목적지 인터넷 프로토콜 필드는 상기 목적지 장치가 라우팅하도록 설정된 경우 상기 데이터 패킷을 수신하는 상기 목적지 장치가 상기 데이터 패킷을 라우팅하도록 하기 위한 보거스(bogus) 인터넷 프로토콜 어드레스를 포함하며, 그리고 상기 존속시간 필드는 상기 데이터 패킷을 수신하는 상기 목적지 장치가 상기 소스 장치로 시간 초과 메시지를 반송하도록 하기 위해 상기 데이터 패킷이 이미(already) 시간 제한을 초과하였음을 표시하는 값을 포함하고;
   상기 목적지 매체 접근 제어 필드의 물리적 어드레스를 사용하여 상기 목적지 장치로 상기 데이터 패킷을 전송하는 단계; 및
   상기 목적지 장치로부터 시간 초과 메시지를 수신하는 것에 응답하여, 상기 목적지 장치가 라우팅을 위해 인에이블되어 있는지를 결정하는 단계를 포함하는
   라우터 검출 방법.
2. 제 1항에 있어서,
   상기 목적지 장치로부터 시간 초과 메시지를 수신하지 못한 것에 응답하여, 상기 목적지 장치가 라우팅을 위해 인에이블되어 있지 않은 것으로 결정하는 단계를 더 포함하는
   라우터 검출 방법.
3. 제 1항에 있어서,
   상기 목적지 장치에 대한 물리적 어드레스는 상기 목적지 장치의 네트워크 인터페이스 카드의 매체 접근 제어 어드레스인
   라우터 검출 방법.
4. 제 1항에 있어서,
   상기 데이터 패킷은,
   소스 장치의 물리적 어드레스를 포함하는 소스 매체 접근 제어 필드 및 상기 소스 장치의 인터넷 프로토콜 어드레스를 포함하는 소스 인터넷 프로토콜 필드를 더 포함하는
   라우터 검출 방법.
5. 제 1항에 있어서,
   상기 목적지 장치가 상기 데이터 패킷의 목적지 인터넷 프로토콜 어드레스를 조사하여, 상기 데이터 패킷의 목적지 인터넷 프로토콜 어드레스가 상기 목적지 장치의 인터넷 프로토콜 어드레스와 일치하는지(match)를 결정하고, 상기 목적지 장치에서 라우팅이 인에이블되어 있는 경우 상기 데이터 패킷의 존속시간 필드에 있는 값을 조사하여, 상기 값이 상기 데이터 패킷이 시간 제한을 초과하였음을 표시하는 경우 상기 시간 초과 메시지를 상기 소스 장치로 반송하는
   라우터 검출 방법.
6. 제 5항에 있어서,
   상기 목적지 장치에서 라우팅이 인에이블되어 있지 않은 경우 상기 목적지 장치가 상기 데이터 패킷을 폐기하는(discard)
   라우터 검출 방법.
7. 제 1항에 있어서,
   상기 목적지 장치가 라우팅을 위해 인에이블되어 있다는 상기 결정은,
   상기 목적지 장치에 대한 인터넷 프로토콜 어드레스가 알려지지 않은 경우에 수행되는
   라우터 검출 방법.
8. 삭제
9. 삭제
10. 제 1항에 있어서,
    상기 목적지 장치에 대한 물리적 어드레스는
    핑(ping) 유틸리티 또는 주소 결정 프로토콜(ARP) 중 하나를 사용하여 획득되는
    라우터 검출 방법.
11. 분산 네트워크에서 승인받지 않은 라우터들을 검출하기 위한 데이터 처리 시스템에 있어서,
    상기 데이터 처리 시스템은:
    버스;
    상기 버스에 접속된 저장 장치로서, 여기서 상기 저장 장치는 컴퓨터 사용가능 코드를 포함하는 저장 장치;
    상기 버스에 접속된 적어도 하나의 관리되는(managed) 장치;
    상기 버스에 접속된 통신 유닛; 및
    상기 버스에 접속된 프로세싱 유닛을 포함하되,
    상기 프로세싱 유닛은 목적지 장치의 물리적 어드레스를 획득하기 위해서 컴퓨터 사용가능 코드를 실행하고; 적어도 목적지 매체 접근 제어 필드, 목적지 인터넷 프로토콜 필드, 및 존속시간(time-to-live) 필드를 포함하는 데이터 패킷을 생성하되, 여기서 상기 목적지 매체 접근 제어 필드는 상기 목적지 장치의 물리적 어드레스를 포함하고, 상기 목적지 인터넷 프로토콜 필드는 상기 목적지 장치가 라우팅하도록 설정된 경우 상기 데이터 패킷을 수신하는 상기 목적지 장치가 상기 데이터 패킷을 라우팅하도록 하기 위한 보거스(bogus) 인터넷 프로토콜 어드레스를 포함하며, 그리고 상기 존속시간 필드는 상기 데이터 패킷을 수신하는 상기 목적지 장치가 소스 장치로 시간 초과 메시지를 반송하도록 하기 위해 상기 데이터 패킷이 이미(already) 시간 제한을 초과하였음을 표시하는 값을 포함하고; 상기 목적지 매체 접근 제어 필드의 물리적 어드레스를 사용하여 상기 목적지 장치로 상기 데이터 패킷을 전송하고; 그리고
    상기 목적지 장치로부터 시간 초과 메시지를 수신하는 것에 응답하여, 상기 목적지 장치가 라우팅을 위해 인에이블되어 있는 것으로 결정하는
    데이터 처리 시스템.
12. 분산 네트워크에서 승인받지 않은 라우터들을 검출하기 위한 컴퓨터 판독가능 기록매체에 있어서, 상기 컴퓨터 판독가능 기록매체는 컴퓨터 사용가능 프로그램 코드를 보유하고, 상기 컴퓨터 사용가능 프로그램 코드는 제1항 내지 제7항 중 어느 한 항에 기재된 방법의 각 단계를 수행하기 위한 각각의 컴퓨터 사용가능 프로그램 코드를 포함하는
    컴퓨터 판독가능 기록매체.
    
13. 삭제
14. 삭제
15. 삭제
16. 삭제
17. 삭제
18. 삭제
19. 삭제
20. 삭제

Images