KR101081433B1 - An ip traceback method with enhanced integrity for ipv6-based network and the recording medium thereof - Google Patents

An ip traceback method with enhanced integrity for ipv6-based network and the recording medium thereof Download PDF

Info

Publication number
KR101081433B1
KR101081433B1 KR1020100060451A KR20100060451A KR101081433B1 KR 101081433 B1 KR101081433 B1 KR 101081433B1 KR 1020100060451 A KR1020100060451 A KR 1020100060451A KR 20100060451 A KR20100060451 A KR 20100060451A KR 101081433 B1 KR101081433 B1 KR 101081433B1
Authority
KR
South Korea
Prior art keywords
router
information
traceback
packet
ipv6
Prior art date
Application number
KR1020100060451A
Other languages
Korean (ko)
Inventor
염흥열
류재철
장재훈
최현우
여돈구
이동희
이상래
정영곤
Original Assignee
충남대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 충남대학교산학협력단 filed Critical 충남대학교산학협력단
Priority to KR1020100060451A priority Critical patent/KR101081433B1/en
Application granted granted Critical
Publication of KR101081433B1 publication Critical patent/KR101081433B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/659Internet protocol version 6 [IPv6] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Abstract

PURPOSE: An IP trace back method of an IPv6 based network attack packet and recording medium thereof are provided to trace a transmission path by extracting trace back information of a received packet. CONSTITUTION: A terminal(12) collects a sample packet. The terminal extracts trace back information. The terminal transmits trace back information to a router(30) in order to request trace back information. The router inspects the integrity of trace back information.

Description

IPv6 기반 네트워크의 공격 패킷의 역추적 방법 및 그 기록매체 { An IP traceback method with enhanced integrity for IPv6-based network and the recording medium thereof }An IP traceback method with enhanced integrity for IPv6-based network and the recording medium

본 발명은 IPv6 기반 네트워크에서 라우터가 공격 패킷을 샘플링하여 역추적 정보를 삽입하면 피해 단말은 수신한 패킷에 포함된 역추적 정보를 추출하여 전송 경로를 추적하는 IPv6 기반 네트워크의 공격 패킷의 역추적 방법 및 그 기록매체에 관한 것이다.According to the present invention, when a router samples an attack packet and inserts traceback information in an IPv6-based network, the victim terminal extracts the traceback information included in the received packet and traces the transmission path of the attack packet in the IPv6-based network. And a recording medium thereof.

특히, 본 발명은 역추적 정보에 라우터의 키로 해쉬한 값을 무결성 정보로 추가 삽입하여, 삽입된 무결성 정보를 통해 역추적 정보의 무결성을 검증하는 IPv6 기반 네트워크의 공격 패킷의 역추적 방법 및 그 기록매체에 관한 것이다.
In particular, the present invention further inserts a hashed value of a router key into the traceback information as integrity information, and traces back the attack packet of an IPv6-based network that verifies the integrity of the traceback information through the inserted integrity information, and its recording. It is about the medium.

인터넷의 지속적인 발전과 더불어, 인터넷상에서의 공격들을 방어하기 위해 네트워크 보안 기술들 또한 발전되어왔다. 대표적인 보안 기술로는 방화벽, IDS(Intrusion Detection System), IPS(Intrusion Prevention System) 등이 있으나, 이러한 보안 시스템은 정해진 룰에 의해서만 동작하는 매우 수동적인 보안 시스템이다.In addition to the continuous development of the Internet, network security technologies have also been developed to defend against attacks on the Internet. Representative security technologies include a firewall, an intrusion detection system (IDS), an intrusion prevention system (IPS), and the like, but such a security system is a very passive security system that operates only according to predetermined rules.

DoS(서비스 거부 공격, Denial of Service attack) 나 DDoS(분산 서비스 거부 공격, Distributed Denial of Service attack) 공격의 경우에 IDS(침입탐지시스템)나 방화벽과 같이 수동적인 보안 시스템만으로는 방어하기가 쉽지 않다. 즉, 최근 이슈가 되고 있는 DDoS 공격의 경우 공격자는 인터넷을 통해 확보한 좀비(zombie) 호스트들을 통해 공격대상에게 원하는 방법으로 공격을 수행할 수 있다. 지금까지의 수동적인 보안시스템만으로는 더욱 다양화되고 지능화되는 이러한 공격을 방어하기는 더욱더 어려워 질 것이다.In the case of Denial of Service (DoS) attacks or Distributed Denial of Service attacks (DDoS) attacks, passive security systems such as IDS (Intrusion Detection Systems) and firewalls are not easy to defend against. In other words, in the case of DDoS attack, which has recently become an issue, an attacker can execute an attack on a target through a zombie host obtained through the Internet. Until now, passive security systems alone will be more difficult to defend against such diversified and intelligent attacks.

또한, 인터넷상에서의 공격 및 취약점은 IPv4 뿐만 아니라 IPv6 환경에서도 많은 부분이 동일하게 해당되며 IPv6 환경의 취약점 또한 발견될지 모른다. 지금은 IPv4에서 IPv6로 넘어가는 과도기이기 때문에 IPv6에서의 취약점 등에 대응할 수 있는 방안을 마련해야 한다. 또, ITU-T에서는 NGN(Next Generation Network)의 표준화가 진행 중인데 NGN이 적용되면 PC 뿐 아니라 많은 장치들이 네트워크로 연결될 것이므로 더 많은 취약점과 그를 이용한 공격들이 발생될 것으로 예상된다.In addition, many of the attacks and vulnerabilities on the Internet are the same in the IPv6 environment as well as IPv4, and vulnerabilities in the IPv6 environment may be found. Now is the transition from IPv4 to IPv6, so we need to come up with measures to deal with vulnerabilities in IPv6. In addition, ITU-T is in the process of standardizing the Next Generation Network (NGN). When NGN is applied, many devices as well as PCs will be connected to the network, so more vulnerabilities and attacks using them are expected.

한편, 스푸핑과 같은 공격은 현재 사용되는 네트워크의 구조적 취약점을 이용하고 있다. 즉, 현재 사용되는 IP 기반 네트워크에서는 IP의 구조적 특성상 송신지 주소가 변경될 경우 그 근원지를 식별할 수 없다는 매우 중요한 취약점을 가지고 있다.Attacks such as spoofing, on the other hand, take advantage of the structural weaknesses of existing networks. In other words, the current IP-based network has a very important weakness that the source cannot be identified when the source address is changed due to the structural characteristics of the IP.

이러한 공격들에 대해 능동적으로 대응하기 위한 역추적 기술들이 연구되고 있다. IP 역추적 기술은 이론적인 기법들과 실제 네트워크에서 적용하여 사용될 수 있도록 하는 기법들이 연구되었지만 대부분이 IPv4 네트워크 환경만을 위한 기법들이었고, PPM(Probabilistic Packet Marking)을 포함한 기존 역추적 기법들을 개선하여 IPv6 네트워크 환경에서 이용할 수 있는 IP 역추적 기법들이 연구되고 있지만 아직 많은 연구가 필요하다.Traceback techniques are being researched to actively respond to these attacks. The IP traceback technique has been studied for theoretical techniques and techniques that can be applied to a real network, but most of these techniques are only for IPv4 network environments, and have improved IPv6 by improving existing trace trace techniques including probabilistic packet marking (PPM). IP traceback techniques that can be used in network environments are being studied, but much research is still needed.

대표적인 IP 역추적 기술로는 패킷에 역추적 정보를 마킹하는 패킷 마킹 기법, 단일 패킷 역추적을 위한 Hash-based 역추적 기법, ICMP메시지를 이용한 iTrace 기법 등이 있다.Typical IP traceback techniques include packet marking techniques for marking traceback information on packets, hash-based traceback techniques for single packet traceback, and iTrace technique using ICMP messages.

특히, 패킷 마킹 기법은 네트워크상의 라우터가 자신을 지나는 패킷에 라우터 정보를 삽입하여 역추적 정보를 구성함으로써 패킷이 실제로 지나온 경로를 알 수 있게 하는 기법이다. 라우터는 어떠한 패킷이 지나갈 때 패킷의 IP 헤더에 자신을 통과 했다는 표시로 IP 주소를 마킹하여 다음 라우터로 전송한다. 패킷이 지나는 라우터들이 해당 패킷에 역추적 정보를 마킹하게 되면 패킷이 스푸핑되어 있더라도 실제로 어떤 경로를 지나왔는지 알 수 있게 된다.In particular, the packet marking technique is a technique that allows the router on the network to insert the router information into the packet passing by itself to form the traceback information so as to know the path that the packet actually went through. When a router passes, it sends an IP address to the next router by marking it with the IP header of the packet. When a router passes a packet, it traces back to the packet so that even if the packet is spoofed, it actually knows what path it has taken.

패킷 마킹 기법은 일반적으로 PPM(Probabilistic Packet Marking)과 DPM(Deterministic Packet Marking)으로 나눌 수 있다. PPM의 경우 설정된 확률에 따라 패킷을 샘플링하여 마킹하고, DPM의 경우 모든 패킷에 마킹한다는 차이가 있다. 그러나 라우터는 엄청난 양의 패킷들을 전달한다. 역추적 정보를 모든 패킷에 대해 마킹하게 되면 라우터에는 많은 오버헤드가 발생하게 되므로 통신에 지연 및 장애가 발생할 수 있다. 이를 해결하기 위해, 확률적 패킷 마킹 기법(PPM)은 라우터가 자신을 지나가는 패킷들 중에서 역추적 정보를 마킹하기 위한 패킷을 확률적으로 샘플링하여 라우터 본래의 역할을 수행하는 데에 걸리는 오버헤드를 줄이도록 하는 것이다.Packet marking schemes are generally divided into Probabilistic Packet Marking (PPM) and Deterministic Packet Marking (DPM). In the case of PPM, packets are sampled and marked according to a set probability, and in the case of DPM, all packets are marked. But routers deliver huge amounts of packets. Marking backtracking information for every packet incurs a lot of overhead on the router, which can cause delays and failures in communication. In order to solve this problem, the probabilistic packet marking technique (PPM) reduces the overhead required for the router to perform the router's original role by probably sampling a packet for marking backtrace information among the packets passing by itself. To be.

PPM 기법에서 라우터들은 확률 p로 패킷을 샘플링하여 역추적 정보를 마킹한다. 이 때 마킹하는 역추적 정보는 마킹하는 라우터의 주소 정보이며 IP 헤더의 변경 가능한 부분 즉, 변경되더라도 네트워크상에서의 통신에 지장을 주지 않는 필드에 기록하게 된다.In the PPM scheme, routers sample the traceback information by sampling packets with probability p. At this time, the traceback information to be marked is the address information of the marking router and is recorded in a changeable part of the IP header, that is, a field which does not interfere with communication on the network even if it is changed.

PPM 기법은 세부적으로 노드 추가(node append), 노드 샘플링(node sampling), 에지 샘플링(edge sampling) 기법으로 연구되어왔다. 노드 추가(node append)는 패킷의 끝에 각 노드(node)의 주소를 덧붙이는 방법이다. 가장 단순하고 정확하지만 높은 라우터 오버헤드와 충분한 저장 공간을 마련하기 어렵다는 큰 문제가 있다. 노드 샘플링(node sampling)은 라우터 오버헤드와 저장 공간을 감소시키기 위해 연구된 기법이며, 이 후에 에지 샘플링(edge sampling) 기법이 연구되었다. 에지 샘플링(edge sampling) 기법은 각 네트워크 별로 에지(edge)가 되는 라우터들에서 확률적으로 패킷을 샘플링하여 마킹하는 방법이다.PPM has been studied in detail as node append, node sampling, and edge sampling. Node append is a way to append the address of each node to the end of a packet. The simplest and most accurate, but the big problem is the high router overhead and the difficulty of providing enough storage space. Node sampling has been studied to reduce router overhead and storage space, and then edge sampling has been studied. The edge sampling technique is a method of probabilistically sampling and marking packets at routers that become edges for each network.

에지 샘플링(edge sampling)을 이용하게 될 경우 각 네트워크의 에지(edge)가 되는 라우터들이 확률 p로 패킷을 샘플링한 후 역추적 정보를 마킹하여 목적지로 전달한다. 역추적 정보가 마킹된 패킷들을 수신한 피해자는 수집된 역추적 정보들을 근거로 패킷이 지나온 경로를 재구성할 수 있게 된다.When edge sampling is used, routers that become edges of each network sample packets with a probability p, and then mark back trace information and deliver them to the destination. Receiving packets marked with traceback information enables the victim to reconstruct the path through which the packet passed based on the collected traceback information.

상기와 같은 패킷 마킹 기법에 대한 기술의 일례가 [한국등록특허 제10-0770354호(2007.10.26.공개), "IPv6 네트워크에서 공격자 호스트의 IP를 역추적하는 방법"](이하 선행기술 1)에 제시되고 있다. 상기 선행기술 1은 IPv6 네트워크의 정책 기반 서버로부터 송신된 기록 메시지에 응답하여 패킷이 통과하는 에지 라우터의 IP 주소를 상기 패킷에 기록하고 기록한 에지 라우터의 IP 주소에 기초하여 공격자 호스트의 IP를 역추적하는 기술을 제공하고 있다.An example of a technique for such a packet marking technique is [Korean Patent Registration No. 10-0770354 (published on October 26, 2007), "A method for backtracking the IP of an attacker host in an IPv6 network"] (hereinafter, referred to as Prior Art 1). Is being presented. The prior art 1 records the IP address of the edge router through which the packet passes in response to a recording message sent from a policy-based server of an IPv6 network, and traces the IP of the attacker host based on the IP address of the edge router that recorded the packet. To provide technology.

그러나 상기와 같은 패킷 마킹 기법에 의해, 스푸핑이나 DDoS와 같은 서비스 거부공격 등의 네트워크를 통한 공격이 발생 했을 경우 근원지를 추적해 낼 수 있으나, 네트워크상에서의 통신은 제3자에게 노출, 수정되어질 수 있기 때문에 위조 및 변조에 노출되어 있다는 문제점이 있다. 즉, 제3자에게 노출된 IPv6 기반 네트워크에서는 패킷 마킹 자체도 위조 또는 변조에 노출되어 있다. 역추적 정보가 위조되거나 전송 도중 변조된다면 그 역추적 정보는 신뢰할 수 없는 정보이다. 위조 또는 변조된 역추적 정보는 피해자에게 잘못된 경로를 재구성하도록 할 것이다. 특별히 안전한 채널이나 통신 참여자 간의 키를 이용한 암호통신 등을 이용하지 않는 한 정보에 대한 정당성은 보장될 수 없다.
However, by using the packet marking technique as described above, the origin can be traced when an attack through the network such as spoofing or denial of service attack such as DDoS occurs, but the communication on the network can be exposed and modified to a third party. There is a problem that they are exposed to forgery and modulation. That is, in an IPv6-based network exposed to third parties, the packet marking itself is also exposed to forgery or modulation. If the traceback information is forged or tampered with during transmission, the traceback information is unreliable. Counterfeit or falsified traceback information will cause the victim to reconstruct the wrong path. The justification of information cannot be guaranteed unless specially secure channels or cryptographic communication using keys between participants are used.

따라서 PPM에 기반하는 역추적 기술을 이용하여 라우터로부터 전송받은 역추적 정보에 대해 위조 및 변조 여부를 판별하여 정확한 역추적 경로를 재구성할 수 있어야 한다. 즉, NGN 환경에서 사용될 IPv6 네트워크에 기반하여 신뢰성을 확보할 수 있는 역추적 기법의 개발이 절실하다. 또한, 역추적 기술은 라우터 오버헤드, 구현의 용이성, 확장성 등 여러 가지를 고려해야 한다.
Therefore, it is necessary to reconstruct the accurate traceback path by determining whether the countertrace information received from the router is forged and modulated using the traceback technology based on PPM. In other words, it is urgent to develop a backtracking technique that can secure reliability based on IPv6 network to be used in NGN environment. In addition, backtracking techniques must take into account a number of factors, including router overhead, ease of implementation, and scalability.

본 발명의 목적은 상술한 바와 같은 문제점을 해결하기 위한 것으로, IPv6 기반 네트워크에서 라우터가 공격 패킷을 샘플링하여 역추적 정보를 삽입하면 피해 단말은 수신한 패킷에 포함된 역추적 정보를 추출하여 전송 경로를 추적하는 IPv6 기반 네트워크의 공격 패킷의 역추적 방법 및 그 기록매체를 제공하는 것이다.SUMMARY OF THE INVENTION An object of the present invention is to solve the above-described problems. In an IPv6-based network, when a router samples an attack packet and inserts traceback information, the victim terminal extracts traceback information included in the received packet and transmits the traceback path. To provide a traceback method and a recording medium of the attack packet of the IPv6-based network to track the.

또한, 본 발명의 목적은 역추적 정보에 라우터의 키로 해쉬한 값을 무결성 정보로 추가 삽입하고 이를 통해 무결성을 검증하여, 역추적 정보의 위변조를 방지할 수 있는 IPv6 기반 네트워크의 공격 패킷의 역추적 방법 및 그 기록매체를 제공하는 것이다.In addition, an object of the present invention is to insert the hashed value of the router key into the traceback information as integrity information and verify the integrity through the traceback of the attack packet of the IPv6-based network, which can prevent the forgery of the traceback information. A method and a recording medium thereof are provided.

또한, 본 발명의 목적은 IPv6 헤더의 확장 헤더인 홉간 옵션 헤더(hop-by-hop options header)에 역추적 정보를 삽입하여 확장성이 좋고 오버헤드를 크게 유발하지 않는 IPv6 기반 네트워크의 공격 패킷의 역추적 방법 및 그 기록매체를 제공하는 것이다.
In addition, an object of the present invention is to insert a traceback information into a hop-by-hop options header, which is an extension header of an IPv6 header, to provide an attack packet of an IPv6-based network that is scalable and does not cause much overhead. It is to provide a traceback method and a recording medium thereof.

상기 목적을 달성하기 위해 본 발명은 IPv6 기반 네트워크에서 피해 단말이 적어도 2개 이상의 라우터를 통해 전송되는 공격 패킷을 수신하여 상기 공격 패킷의 전송 경로를 추적하는 IPv6 기반 네트워크의 공격 패킷의 역추적 방법에 관한 것으로서, (a) 상기 라우터가 전달하려는 공격 패킷을 샘플링하여 샘플링한 공격 패킷(이하 샘플 패킷)에 역추적 정보를 삽입하여 전달하는 단계; (b) 상기 피해 단말이 상기 샘플 패킷을 수집하여 상기 역추적 정보를 추출하는 단계; (c) 상기 피해 단말이 상기 역추적 정보를 상기 라우터에 전송하여 상기 역추적 정보의 무결성 검증을 요청하는 단계; (d) 상기 라우터가 상기 역추적 정보의 무결성을 검증하는 단계; 및 (e) 상기 라우터로부터 무결성 검증이 확인된 역추적 정보를 이용하여, 공격 패킷의 전송 경로를 추정하는 단계를 포함하는 것을 특징으로 한다.In order to achieve the above object, the present invention provides a method for backtracking an attack packet of an IPv6-based network in which an attacking terminal receives an attack packet transmitted through at least two routers and traces a transmission path of the attack packet in an IPv6-based network. In the related art, (a) sampling the attack packet to be delivered by the router, and inserting and transmitting backtrace information into a sampled attack packet (hereinafter, referred to as a sample packet); (b) the victim terminal collecting the sample packet to extract the traceback information; (c) the victim terminal requesting integrity verification of the traceback information by transmitting the traceback information to the router; (d) the router verifying the integrity of the traceback information; And (e) estimating a transmission path of the attack packet by using the backtracking information whose integrity verification is confirmed from the router.

또, 본 발명은 IPv6 기반 네트워크의 공격 패킷의 역추적 방법에 있어서, 상기 (a)단계에서, 상기 라우터는 상기 역추적 정보에 상기 라우터의 주소 및 홉수(hop), 상기 라우터 주소 및 홉수를 키로 해쉬한 값(이하 무결성 정보)을 포함시키고, 상기 (d)단계에서, 상기 라우터는 상기 역추적 정보의 라우터 주소 및 홉수를 키로 해쉬하여, 상기 역추적 정보의 무결성 정보와 비교하여 무결성을 검증하는 것을 특징으로 한다.In another aspect, the present invention provides a method for backtracking attack packets of an IPv6-based network, wherein in step (a), the router uses the address and hop number of the router, the router address, and the number of hops as the key. A hash value (hereinafter, referred to as integrity information), and in the step (d), the router hashes the router address and the hop number of the traceback information with a key and compares the integrity information of the traceback information to verify integrity. It is characterized by.

또, 본 발명은 IPv6 기반 네트워크의 공격 패킷의 역추적 방법에 있어서, 상기 역추적 정보는 타임스탬프를 더 포함하고, 상기 무결성 정보는 상기 스탬프 정보를 더 포함하여 키로 해쉬되는 값인 것을 특징으로 한다.In another aspect, the present invention provides a traceback method for attack packets of an IPv6-based network, wherein the traceback information further includes a timestamp, and the integrity information further includes the stamp information and is hashed with a key.

또, 본 발명은 IPv6 기반 네트워크의 공격 패킷의 역추적 방법에 있어서, 상기 라우터 주소는 라우터의 네트워크 주소 및 인터페이스 아이디(ID)를 포함하는 것을 특징으로 한다.In addition, the present invention is a method for traceback attack packet of the IPv6-based network, the router address is characterized in that it includes the network address and interface ID (ID) of the router.

또, 본 발명은 IPv6 기반 네트워크의 공격 패킷의 역추적 방법에 있어서, 상기 홉수는 공격 패킷의 홉 한계(hop limit) 값으로 정하고, 상기 인터페이스 아이디는 상기 공격 패킷이 들어온 인터페이스의 아이디(ID)로 정하고, 상기 라우터의 네트워크 주소는 라우터의 하위 48비트로 정하는 것을 특징으로 한다.In addition, the present invention is a method of backtracking attack packets in an IPv6-based network, wherein the hop number is determined by the hop limit value of the attack packet, the interface ID is the ID (ID) of the interface that the attack packet entered And the network address of the router is set to the lower 48 bits of the router.

또, 본 발명은 IPv6 기반 네트워크의 공격 패킷의 역추적 방법에 있어서, 상기 (a)단계에서, 상기 라우터는 상기 공격 패킷에 확장 헤더를 추가하고 상기 확장 헤더에 상기 역추적 정보를 삽입하는 것을 특징으로 한다.In another aspect, the present invention provides a method for backtracking an attack packet of an IPv6-based network, wherein in the step (a), the router adds an extension header to the attack packet and inserts the traceback information into the extension header. It is done.

또, 본 발명은 IPv6 기반 네트워크의 공격 패킷의 역추적 방법에 있어서, 상기 확장 헤더는 홉간 옵션 헤더(hop-by-hop options header)인 것을 특징으로 한다.In addition, the present invention is a method for traceback attack packet of the IPv6 network, characterized in that the extension header is a hop-by-hop options header (hop-by-hop options header).

또, 본 발명은 IPv6 기반 네트워크의 공격 패킷의 역추적 방법에 있어서, 상기 역추적 정보는 홉간 옵션 헤더의 옵션 데이터(Option data) 필드에 기록하되, 홉수, 네트워크 주소, 인터페이스 아이디, 타임스탬프, 무결성 정보에 각 8비트, 48비트, 8비트, 32비트, 32비트를 할당하는 것을 특징으로 한다.In addition, the present invention, in the trace back method of attack packet of the IPv6-based network, the trace back information is recorded in the option data field of the option header between hops, hop number, network address, interface ID, time stamp, integrity Each 8-bit, 48-bit, 8-bit, 32-bit, 32-bit is assigned to the information.

또, 본 발명은 IPv6 기반 네트워크의 공격 패킷의 역추적 방법에 있어서, 상기 (e)단계에서, 상기 역추적 정보의 홉수를 이용하여 전송 경로를 추정하는 것을 특징으로 한다.
In addition, the present invention is characterized in that in the trace back method of attack packet of the IPv6-based network, in step (e), the transmission path is estimated by using the hop number of the trace back information.

또한, 본 발명은 상기 IPv6 기반 네트워크의 공격 패킷의 역추적 방법을 수행하는 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것이다.
The present invention also relates to a computer-readable recording medium having recorded thereon a program for performing a method of backtracking an attack packet of an IPv6-based network.

상술한 바와 같이, 본 발명에 따른 IPv6 기반 네트워크의 공격 패킷의 역추적 방법 및 그 기록매체에 의하면, 역추적 정보에 위변조가 불가능한 정보를 삽입하여 무결성을 검증함으로써, 역추적 정보 공격에 의한 위조 또는 변조를 방지하고 재구성된 추적 경로의 신뢰성을 제고할 수 있는 효과가 얻어진다.As described above, according to the traceback method and the recording medium of the attack packet of the IPv6-based network according to the present invention, by inserting information that can not be forged into the traceback information to verify the integrity, forgery by the traceback information attack The effect of preventing the modulation and improving the reliability of the reconstructed tracking path is obtained.

또한, 본 발명에 따른 IPv6 기반 네트워크의 공격 패킷의 역추적 방법 및 그 기록매체에 의하면, IPv6 헤더의 확장 헤더인 홉간 옵션 헤더를 이용함으로써, IPv6의 프로토콜을 그대로 이용하여 확장성이 보장되고 표준화가 가능할 수 있는 효과가 얻어진다.In addition, according to the present invention, a traceback method for attack packets of an IPv6-based network and a recording medium thereof use the hop-to-hop option header, which is an extension header of an IPv6 header, to ensure scalability and standardization using an IPv6 protocol. Possible effects are obtained.

또한, 본 발명에 따른 IPv6 기반 네트워크의 공격 패킷의 역추적 방법 및 그 기록매체에 의하면, 역추적 정보를 라우터의 키로 해쉬하여 무결정 정보를 생성함으로써, 계산량을 최소화하여 네트워크 오버헤드를 크게 유발하지 않는 효과가 얻어진다.
In addition, according to the traceback method of the attack packet and the recording medium of the IPv6-based network according to the present invention, by generating the non-deterministic information by hashing the traceback information to the router key, it does not cause a large network overhead by minimizing the calculation amount Effect is obtained.

도 1은 본 발명을 실시하기 위한 전체 시스템 구성의 일례를 도시한 도면이다.
도 2는 본 발명의 일실시예에 따른 IPv6 기반 네트워크의 공격 패킷의 역추적 방법을 설명하는 흐름도이다.
도 3은 본 발명의 일실시예에 따른 역추적 정보의 구성을 도시한 것이다.
도 4는 본 발명의 일실시예에 따른 패킷의 샘플링의 일례를 도시한 도면이다.
도 5는 본 발명의 일실시예에 따라 패킷의 전송경로를 추정하는 과정의 일례를 도시한 도면이다.
도 6은 본 발명의 일실시예에 따라 패킷 마킹 알고리즘과 경로 재구성 알고리즘을 도시한 도면이다.
도 7은 본 발명의 일실시예에 따른 마킹 확률에 따른 전체 전송 경로 재구성시의 평균 요구 패킷 수를 나타낸 표이다.
도 8은 본 발명의 일실시예에 따른 역추적 방법과 종래의 역추적 기법을 비교한 표이다.

* 도면의 주요 부분에 대한 부호의 설명 *
11 : 공격 단말 12 : 피해 단말
20 : 네트워크 30 : 라우터
50 : 홉간 옵션 헤더 51 : 옵션(Options) 필드
52 : 옵션타입 필드
53 : 옵션(Options) 데이터 필드 또는 가변 데이터 필드
54 : 네트워크 주소 필드1 is a diagram showing an example of the overall system configuration for implementing the present invention.
2 is a flowchart illustrating a method for traceback of attack packets in an IPv6-based network according to an embodiment of the present invention.
3 illustrates a configuration of traceback information according to an embodiment of the present invention.
4 is a diagram illustrating an example of sampling a packet according to an embodiment of the present invention.
5 is a diagram illustrating an example of a process of estimating a transmission path of a packet according to an embodiment of the present invention.
6 is a diagram illustrating a packet marking algorithm and a path reconstruction algorithm according to an embodiment of the present invention.
7 is a table showing an average number of required packets in total transmission path reconfiguration according to marking probabilities according to an embodiment of the present invention.
8 is a table comparing a backtracking method and a conventional backtracking method according to an embodiment of the present invention.

Explanation of symbols on the main parts of the drawings
11: attack terminal 12: damage terminal
20: network 30: router
50: Option header between hops 51: Options field
52: Option type field
53: Options data field or variable data field
54: network address field

이하, 본 발명의 실시를 위한 구체적인 내용을 도면에 따라서 설명한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, the present invention will be described in detail with reference to the drawings.

또한, 본 발명을 설명하는데 있어서 동일 부분은 동일 부호를 붙이고, 그 반복 설명은 생략한다.
In addition, in describing this invention, the same code | symbol is attached | subjected and the repeated description is abbreviate | omitted.

먼저, 본 발명을 실시하기 위한 전체 시스템 구성의 일례를 도 1을 참조하여 설명한다.First, an example of the whole system structure for implementing this invention is demonstrated with reference to FIG.

도 1에서 도시한 바와 같이, 본 발명을 실시하기 위한 전체 시스템은 공격 단말(11), 피해 단말(12), 네트워크(20), 및 라우터(30)로 구성된다.As shown in FIG. 1, the entire system for implementing the present invention is composed of an attack terminal 11, a damage terminal 12, a network 20, and a router 30.

네트워크(20)는 IPv6 기반의 네트워크(또는 인터넷)이다. 즉, IPv6 방식의 인터넷 프로토콜에 의해 데이터는 패킷 형태로 송수신된다. 송수신되는 패킷은 IPv6의 헤더 및 페이로드(payload)로 구성되고, 패킷은 IPv6의 헤더에 기재된 IP주소에 의해 소스 주소에서 목적지 주소로 전송된다.The network 20 is an IPv6-based network (or the internet). That is, data is transmitted and received in the form of a packet by the IPv6 Internet protocol. Packets to be transmitted and received are composed of IPv6 headers and payloads, and packets are transmitted from the source address to the destination address by the IP address described in the IPv6 header.

라우터(30)는 네트워크(20)의 중계 장치로서, 패킷을 전달하는 역할을 수행한다. 라우터(30)는 종래의 인터넷에서의 라우터와 동일하나, IPv6 기반 패킷을 처리할 수 있다는 점에 차이가 있다.The router 30 is a relay device of the network 20 and serves to deliver a packet. Router 30 is the same as the router in the conventional Internet, except that it can process IPv6-based packets.

공격 단말(11) 및 피해 단말(12)은 컴퓨팅 기능을 가진 단말기로서, 개인용 컴퓨터(PC), 노트북, 넷북, PDA 등을 의미한다. 공격 단말(11) 및 피해 단말(12)은 네트워크 장치(네트워크 인터페이스)를 구비하여 네트워크(20)에 접속하여 데이터를 송수신할 수 있다.The attack terminal 11 and the damage terminal 12 are terminals having a computing function, and mean a personal computer (PC), a notebook computer, a netbook, a PDA, and the like. The attack terminal 11 and the damage terminal 12 may be provided with a network device (network interface) to connect to the network 20 to transmit and receive data.

즉, 공격 단말(11)이 패킷에 자신의 주소와 목적지 주소(또는 피해 단말의 IP주소)를 IPv6 헤더에 기록한 패킷을 생성하여 네트워크(20)로 전송한다. 네트워크(20)를 구성하는 라우터(20)들은 상기 패킷을 수신하여 목적지 주소를 향해 패킷을 전송한다. 도 1과 같이, 공격 단말(11)에서 보낸 패킷을 라우터 R1에 보내면, 라우터 R2, R4, R7, 및 R10을 거쳐 최종 목적지인 피해 단말(12)로 전송된다.That is, the attacking terminal 11 generates a packet in which the own address and the destination address (or the victim terminal's IP address) are recorded in the IPv6 header and transmits the packet to the network 20. The routers 20 constituting the network 20 receive the packet and transmit the packet toward the destination address. As shown in FIG. 1, when the packet sent from the attack terminal 11 is sent to the router R1, the packet is transmitted to the victim terminal 12 as the final destination via the routers R2, R4, R7, and R10.

이때, 악의적인 공격 단말(11)은 전송하려는 패킷의 소스주소를 자신의 IP주소가 아닌 다른 IP주소를 기재하여 전송할 수 있다. 이와 같이 패킷의 소스 주소를 변경하는 것을 스푸핑(spoofing)이라고 한다.At this time, the malicious attack terminal 11 may transmit the source address of the packet to be transmitted by describing an IP address other than its own IP address. Changing the source address of a packet in this way is called spoofing.

상기와 같이 전송되는 패킷이 스푸핑 되더라도 패킷의 전송 경로를 추적하기 위하여, 라우터(20)는 전송되는 패킷을 확률적으로 샘플링하여 샘플된 패킷에 역추적 정보를 삽입하여 전달한다.Even if the transmitted packet is spoofed as described above, in order to track the transmission path of the packet, the router 20 probably samples the transmitted packet and inserts and traces back trace information into the sampled packet.

피해 단말(12)은 자신에게 전송되는 패킷을 수신하여 패킷을 처리한다. 이때, 수신되는 패킷 중에서 라우터(30)에 의해 샘플링된 패킷, 즉, 역추적 정보가 포함된 패킷을 선별한다. 그리고 수신한 패킷이 샘플링된 패킷으로 확인되면, 피해 단말(12)은 상기 샘플링된 패킷에서 역추적 정보를 추출하여 수집한다. 피해 단말(12)은 역추적 정보를 충분히 수집하여, 역추적 정보를 통해 패킷의 전송 경로를 찾는다.
The victim terminal 12 receives the packet transmitted to itself and processes the packet. At this time, a packet sampled by the router 30, that is, a packet including back trace information, is selected from the received packets. If the received packet is identified as a sampled packet, the victim terminal 12 extracts and collects backtracking information from the sampled packet. The victim terminal 12 collects enough traceback information and finds a transmission path of the packet through the traceback information.

다음으로, 본 발명의 일실시예에 따른 IPv6 기반 네트워크의 공격 패킷의 역추적 방법을 도 2를 참조하여 설명한다.Next, a method of backtracking attack packets of an IPv6-based network according to an embodiment of the present invention will be described with reference to FIG. 2.

도 2에서 보는 바와 같이, 본 발명의 일실시예에 따른 역추적 방법은 (a) 라우터가 전달하려는 공격 패킷을 샘플링하여 샘플링한 공격 패킷(이하 샘플 패킷)에 역추적 정보를 삽입하여 전달하는 단계(S10); (b) 피해 단말이 샘플 패킷을 수집하여 역추적 정보를 추출하는 단계(S20); (c) 피해 단말이 역추적 정보를 라우터에 전송하여 역추적 정보의 무결성 검증을 요청하는 단계(S30); (d) 라우터가 역추적 정보의 무결성을 검증하는 단계(S40); 및 (e) 라우터로부터 무결성 검증이 확인된 역추적 정보를 이용하여, 공격 패킷의 전송 경로를 추정하는 단계(S50)로 나뉜다.As shown in FIG. 2, the backtracking method according to an embodiment of the present invention includes the steps of: (a) inserting and transmitting backtrace information into a sampled attack packet (hereinafter, a sample packet) by sampling an attack packet to be delivered by a router; (S10); (b) step S20 of the victim terminal collecting sample packets to extract backtrace information; (c) requesting the terminal to verify the integrity of the traceback information by transmitting the traceback information to the router (S30); (d) the router verifying the integrity of the traceback information (S40); And (e) estimating the transmission path of the attack packet by using the backtracking information whose integrity verification is confirmed from the router (S50).

먼저, 라우터(30)는 전달하려는 공격 패킷을 샘플링하여 샘플링한 공격 패킷(이하 샘플 패킷)에 역추적 정보를 삽입하여 전달한다(S10).First, the router 30 samples the attack packet to be delivered and inserts backtrace information into the sampled attack packet (hereinafter, referred to as a sample packet) (S10).

도 3a에서 보는 바와 같이, 본 발명의 일실시예에 따른 역추적 정보는 IPv6 네트워크 환경에서 홉간 옵션 헤더(hop-by-hop options header)(50)를 사용한다. 홉간 옵션 헤더(50)는 IPv6의 확장 헤더 중 하나로서, 목적지로 전달되는 경로상의 모든 라우터(30)에서 인식가능하며 모든 호스트에서 처리될 수 있다. 또한, 크기가 유동적이기 때문에 정보의 저장 및 전달이 용이하다.As shown in FIG. 3A, the traceback information according to an embodiment of the present invention uses a hop-by-hop options header 50 in an IPv6 network environment. The inter-hop option header 50 is one of the extension headers of IPv6 and is recognizable to all routers 30 on the route to the destination and can be processed by all hosts. In addition, the flexible size facilitates the storage and transfer of information.

홉간 옵션 헤더(hop-by-hop options header)(50)에 역추적 정보 식별코드를 삽입하여 역추적 정보 여부를 구별한다. 예를 들어, 도 3a의 타입(Type)필드의 하위 5비트에 역추적 정보 식별코드(10111(2))로 기록하여 역추적 정보를 식별한다. 즉, Type필드의 값이 10111(2)이면 역추적 정보가 삽입된 홉간 옵션 헤더(hop-by-hop options header)(50)로 인식한다. Type필드는 홉간 옵션 헤더(50)의 옵션(Options) 필드(51)내의 옵션 타입(Option Type)(52)에 마지막 5 비트에 해당하는 필드이다.The traceback information identification code is inserted into the hop-by-hop options header 50 to distinguish whether the traceback information is present. For example, the back trace information is identified in the lower 5 bits of the Type field of FIG. 3A with the back trace information identification code 10111 (2) . That is, if the value of the Type field is 10111 (2), it is recognized as a hop-by-hop options header 50 into which traceback information is inserted. The Type field is a field corresponding to the last 5 bits of the Option Type 52 in the Options field 51 of the inter-hop option header 50.

도 3b에서 보는 바와 같이, 본 발명의 일실시예에 따른 홉간 옵션 헤더(hop-by-hop options header)의 가변 데이터(data) 필드(또는 옵션 데이터 필드)(53)에 역추적에 필요한 정보를 기록한다. 가변 데이터 필드(53)는 홉수(Hop), 네트워크 주소(NetID), 인터페이스 아이디(IFID), 타임스탬프(TS), 및 무결성 정보(Hk)의 필드들로 구성된다.As shown in FIG. 3B, information necessary for backtracking is inputted into a variable data field (or an option data field) 53 of a hop-by-hop options header according to an embodiment of the present invention. Record it. The variable data field 53 is composed of fields of hop number, network address (NetID), interface ID (IFID), time stamp (TS), and integrity information (H k ).

홉수(Hop)는 IPv6 헤더(IPv6의 기본헤더)에 있는 홉 한계(Hop Limit)필드의 값을 그대로 쓴다. 공격 단말(11)이 패킷을 생성할 때 홉 한계(Hop Limit)필드의 값을 임의의 초기치로 설정한다. 패킷이 네트워크 내에서 라우터(30)를 통해 여행할 때, 각각의 라우터(30)는 홉 한계(Hop Limit)필드의 값을 1 씩 감소시킨다.Hop uses the value of the Hop Limit field in the IPv6 header (the default header of IPv6). When the attacking terminal 11 generates a packet, the hop limit field is set to an initial value. As packets travel through router 30 within the network, each router 30 decrements the value of the Hop Limit field by one.

따라서 홉수(Hop)는 해당 패킷이 라우터로 전달될 때, 해당 라우터(30)가 공격 단말(11)로부터 몇 번째로 상기 패킷을 전달하는지를 확인할 수 있다. 즉, 초기치에서 홉수(Hop)를 뺀 값이 공격 단말(11)로부터의 거리(전달 순서)를 의미한다.Therefore, the hop number (Hop) can determine the number of times that the router 30, the forwarding of the packet from the attack terminal 11 when the packet is delivered to the router. In other words, the value obtained by subtracting the hop number from the initial value means the distance (delivery order) from the attack terminal 11.

한편, 바람직하게는, 홉수(Hop)의 길이는 8비트이다. 실제로 네트워크에서 전송될 때의 홉수(Hop)가 대부분 8비트로 나타낼 만큼 크지 않으나, 홉수(Hop) 필드를 8비트로 할당하는 것은 일반 확장 헤더 정보와의 호환성을 갖기 위한 것이다.On the other hand, preferably, the hop length is 8 bits. In fact, the hop number when transmitted over the network is not large enough to be represented by 8 bits, but the allocation of the hop field to 8 bits is for compatibility with general extension header information.

네트워크 주소(NetID)는 라우터(30)가 가지는 IPv6 주소의 상위 16비트 이후의 48비트 네트워크 주소를 기록한다. 따라서 네트워크 주소(NetID) 필드의 크기는 48비트이다.The network address NetID records the 48-bit network address after the upper 16 bits of the IPv6 address of the router 30. Therefore, the size of the network address (NetID) field is 48 bits.

인터페이스 아이디(IFID)는 라우터(30)가 패킷을 수신하였을 때 패킷이 들어온 인터페이스의 아이디(ID)를 기록한다.The interface ID (IFID) records the ID (ID) of the interface that the packet came in when the router 30 receives the packet.

8비트의 인터페이스 아이디(IFID) 필드는 라우터(30)가 가지는 각 인터페이스에 고유 값을 할당하여 기록한다. 이는 라우터의 인터페이스가 가지는 64비트의 인터페이스 ID를 8비트로 축소시켜 데이터 크기를 줄이기 위함이다.The 8-bit interface ID (IFID) field allocates and records a unique value for each interface of the router 30. This is to reduce the data size by reducing the 64-bit interface ID of the router interface to 8 bits.

패킷이 입력된 인터페이스 ID를 기록하면, 바로 전 단계의 라우터(30)를 추적할 수 있다. 따라서 중간 경우 라우터로부터 역추적 정보를 수신하지 못하더라도 이전에 어떤 네트워크를 거쳐 왔는지를 알 수 있다. 이러한 라우터의 역추적은 확률적으로 패킷을 샘플링함으로써 발생되는 문제점을 해결할 수 있다.By recording the interface ID into which the packet is input, the router 30 of the previous stage can be tracked. Thus, in the middle case, even if it does not receive the backtracking information from the router, it can know what network it was previously through. This traceback of the router can solve the problem caused by the probability sampling the packet.

즉, 샘플링된 일정량 패킷을 수집하여 역추적 경로를 재구성하므로, 특성상 중간 경유 라우터로부터 역추적 정보를 수신하지 못하는 경우가 발생될 수 있다. 이러한 경우에도, 이전 인터페이스 아이디를 통해 직전 라우터(30)를 추적할 수 있다. 또한 공격 단말(11)과 가장 근접한 라우터(30)에서 역추적 정보가 삽입되었을 경우, 공격 단말(11)이 속한 하위 네트워크 까지 알아 낼 수 있다.That is, since the traceback path is reconfigured by collecting a predetermined amount of packets, it may occur that the traceback information cannot be received from the intermediate route router due to the characteristics. Even in this case, the previous router 30 may be tracked through the previous interface ID. In addition, when the traceback information is inserted in the router 30 closest to the attack terminal 11, the lower network to which the attack terminal 11 belongs may be found.

타임스탬프(TS)는 라우터(30)가 패킷을 수신하였을 때의 타임스탬프(time-stamp) 값을 기록한다.The time stamp TS records a time stamp value when the router 30 receives the packet.

일반적으로 역추적 정보를 기록할 때에는 시간정보를 고려하지 않지만, 본원발명의 역추적 정보에서는 타임스탬프(time-stamp)를 다음과 같은 목적으로 이용하고 있다. 키 해쉬(keyed-hash)값에 의한 무결성 검증 시에 타임스탬프(time-stamp)를 가변정보로서 이용하여 재전송 공격을 막는데 이용된다. 또한, 경우에 따라 피해자 시스템에서의 수신시간과 비교하여 별도의 검사과정 없이 현재 네트워크의 대략적인 상태나 공격의 종류를 판별하는데 도움을 줄 수 있다.Generally, time information is not taken into account when recording the traceback information, but time-stamp is used for the following purposes in the traceback information of the present invention. It is used to prevent retransmission attacks by using a time-stamp as variable information in verifying integrity by a keyed-hash value. In addition, in some cases, it may be helpful to determine the approximate state of the current network or the type of attack without a separate inspection process compared to the reception time in the victim system.

무결성 정보(Hk)는 무결성을 제공하기 위한 역추적 정보들을 라우터 자신의 키로 해쉬(keyed-hash)한 값이다. 즉, 무결성 정보(Hk)는 다음 수식에 의해 구해진다.Integrity information (H k ) is a value of the keyed-hash hashed back trace information to provide the integrity of the router itself. In other words, the integrity information H k is obtained by the following equation.

무결성 정보(Hk) = Hk(NetID??Hop|IFID|TS).Integrity Information (H k ) = H k (NetID ?? Hop | IFID | TS).

무결성 정보(Hk)(또는 Keyed-hash값)는 앞에서 언급된 모든 역추적 정보를 이용해 라우터가 가지는 고유의 키로 계산된다. 따라서 공격 단말(11)이 역추적 정보를 위조 또는 변조했을 경우, 라우터(30)가 생성한 무결성 정보(Hk) 값이 아니기 때문에 올바른 검증 과정을 거칠 수 없다.Integrity information (H k ) (or Keyed-hash value) is computed as a unique key of the router using all the traceback information mentioned above. Therefore, when the attack terminal 11 forges or modulates the traceback information, since it is not a value of the integrity information H k generated by the router 30, the attack terminal 11 may not go through a valid verification process.

요약하면, 본 발명에 따른 역추적 방법은 PPM방식을 기반으로 하므로 라우터는 전송되는 패킷을 확률적으로 샘플링하여 역추적 정보를 패킷에 삽입(또는 마킹)한다. 홉수(Hop) 필드에는 IPv6 헤더의 홉 한계(Hop Limit) 필드 값을 그대로 복사한다. 또한, 네트워크 주소(NetID)에는 라우터의 48비트 네트워크 주소가 기록되고, IFID에는 라우터가 패킷을 수신한 인터페이스의 ID를 8비트로 표현하여 기록한다. 타임스탬프(times-tamp)는 라우터(30)가 패킷을 수신한 시간정보를 32비트로 기록한다.In summary, since the traceback method according to the present invention is based on the PPM scheme, the router probably samples the transmitted packet and inserts (or marks) the traceback information into the packet. In the Hop field, the Hop Limit field value of the IPv6 header is copied as it is. In addition, the 48-bit network address of the router is recorded in the network address NetID, and the ID of the interface on which the router receives the packet is expressed in 8 bits in the IFID. The timestamps record the time information when the router 30 receives the packet in 32 bits.

마지막 필드에는 홉수(Hop), 인터페이스 아이디(IFID), 타임스탬프(time-stamp)를 연결하여 48비트로 만든 후, 48비트의 네트워크 주소(NetID)와 XOR연산한다. 그리고 연산한 결과를 라우터(30)의 고유키로 해쉬하여 기록한다. 일반적인 해쉬 알고리즘은 128 비트 이상의 출력을 가지기 때문에 해쉬 결과의 일부를 32비트로 취해야 한다.The last field connects hop, interface ID, and time stamp to make 48 bits, and then performs XOR operation with 48 bits of network address (NetID). The result of the operation is hashed and recorded using the unique key of the router 30. A typical hash algorithm has more than 128 bits of output, so part of the hash result must be taken as 32 bits.

다음으로, 나머지 단계는 피해 단말(11)이 샘플 패킷을 수집하여 역추적 정보를 통해 공격 패킷의 전송 경로를 추정하는 단계들이다.Next, the remaining steps are the steps of the victim terminal 11 to collect the sample packet to estimate the transmission path of the attack packet through the back trace information.

먼저, 피해 단말이 샘플 패킷을 수집하여 역추적 정보를 추출한다(S20).First, the victim terminal collects a sample packet to extract the backtracking information (S20).

본 발명에 따른 역추적 방법은 확률적으로 패킷에 역추적 정보를 삽입(또는 마킹)하는 PPM을 기반으로 하기 때문에 충분한 양의 패킷을 요구한다. DDoS와 같은 서비스 거부 공격의 경우 많은 양의 패킷을 전달하여 네트워크 및 대상 시스템의 자원을 소모시키기 때문에 PPM 기반의 역추적 기법을 이용하면 라우터나 네트워크에 큰 오버헤드 없이 역추적이 가능하다.The backtracking method according to the present invention requires a sufficient amount of packets because it is based on PPM probabilistically inserting (or marking) backtracking information into the packet. In the case of denial-of-service attacks such as DDoS, a large amount of packets are consumed to consume resources of the network and target systems. Therefore, the PPM-based backtracking technique enables backtrace without significant overhead on routers or networks.

공격 패킷이 라우터(30)를 통과할 때 경로 상에 있는 경유 라우터(30)들은 패킷들을 확률적으로 샘플링하여 역추적 정보를 삽입(또는 마킹)하고 목적지로 전달한다. 다수의 공격 패킷들을 수신한 피해 단말(12)은 그 중에서 마킹된 패킷을 추출해야 한다. 홉간 옵션 헤더(hop-by-hop options header)의 타입(Type) 필드가 역추적 정보 식별코드(10111(2))를 가질 경우 역추적 정보가 마킹된 것(또는 샘플링된 패킷)으로 판단하고 이를 수집한다.As the attack packet passes through the router 30, the passthru routers 30 on the path sample the packets probabilistically to insert (or mark) the backtrace information and deliver it to the destination. The victim terminal 12 having received a plurality of attack packets should extract the marked packet therefrom. If the Type field of the hop-by-hop options header has the traceback information identification code 10111 (2) , the traceback information is determined to be marked (or sampled packet) and is determined. Collect.

또한, 역추적 정보는 앞서 설명한 역추적 정보의 구성에 따라 추출된다.In addition, the traceback information is extracted according to the configuration of the traceback information described above.

예를 들어, 도 4와 같이, 공격 단말(11)이 공격 패킷 A ~ K를 전송했을 때 라우터 R1에서 패킷 A, D, H를, 라우터 R2에서 공격 패킷 C, G를, 라우터 R4에서 공격 패킷 E, I를 마킹한다. 그리고 공격 패킷 B, F, K는 마킹이 되지 않은 일반 패킷으로 전달된다. 결과적으로 패킷 A, C, D, E, G, H, I가 경유 라우터(30)에서 역추적 정보가 마킹되어 확장헤더의 타입(option type) 필드 하위5비트에 역추적 정보 식별코드(10111(2))를 가지는 패킷이다.For example, as shown in FIG. 4, when the attack terminal 11 transmits attack packets A to K, the packets A, D, and H are transmitted from the router R1, the attack packets C and G are transmitted from the router R2, and the attack packets are the router R4. Mark E and I. Attack packets B, F, and K are delivered as unmarked normal packets. As a result, packets A, C, D, E, G, H, and I are marked with back trace information in the pass-through router 30, and the back trace information identification code 10111 ( 2) ) packet.

그리고 샘플 패킷에서 추출한 역추적 정보는 도 5a에서 보는 바와 같다.
The traceback information extracted from the sample packet is as shown in FIG. 5A.

다음으로, 피해 단말(12)이 역추적 정보를 라우터(30)에 전송하여 역추적 정보의 무결성 검증을 요청한다(S30).Next, the victim terminal 12 transmits the traceback information to the router 30 to request the integrity verification of the traceback information (S30).

도 5a의 역추적 정보를 분석하여, 네트워크 주소(NetID)를 참조하여 라우터(30)를 식별하고, 해당 라우터에 역추적 정보를 전송한다. 그리고 라우터(30)에 역추적 정보의 전송과 더불어 무결성 검증을 요청한다.
The traceback information of FIG. 5A is analyzed to identify the router 30 with reference to the network address NetID and transmit the traceback information to the router. The router 30 transmits backtrace information and requests integrity verification.

다음으로, 라우터(30)는 피해 단말(12)로부터 역추적 정보를 수신하여, 역추적 정보의 무결성을 검증한다(S40). 특히, 라우터(30)는 상기 역추적 정보의 라우터 주소 및 홉수를 키로 해쉬하여, 상기 역추적 정보의 무결성 정보와 비교하여 무결성을 검증한다.Next, the router 30 receives the backtracking information from the victim terminal 12, and verifies the integrity of the backtracking information (S40). In particular, the router 30 hashes the router address and hop number of the traceback information with a key, and verifies the integrity by comparing the traceback information with the integrity information of the traceback information.

즉, 역추적 정보를 수신한 라우터(30)는 자신이 가진 고유키를 이용해 역추적 정보의 필드들을 해쉬하여 무결성 검증을 시도한다. 도 5b에서 보는 바와 같이, 라우터 R1은 패킷 A, D, H에 속하는 역추적 정보를 각각 자신의 키로 해쉬하고, 해쉬된 값과 역추적 정보의 무결성 정보(Hk)와 비교한다. 비교한 값이 동일하면 무결성이 검증된 것이고, 동일하지 않으면 무결성이 검증되지 않는 것이다.That is, the router 30 receiving the backtracking information attempts to verify the integrity by hashing the fields of the backtracking information using its own unique key. As shown in FIG. 5B, the router R1 hashes the backtracking information belonging to the packets A, D, and H with its own key, and compares the hashed value with the integrity information Hk of the backtracking information. If the comparisons are the same, the integrity is verified. Otherwise, the integrity is not verified.

그리고 라우터(30)는 그에 대한 결과를 피해자에게 응답한다. 이때 라우터가 피해자에게 보내는 응답은 무결성 검증에 대한 성공 또는 실패 메시지이다. 라우터로부터의 성공 또는 실패 메시지는 별도의 보안연계를 통해 안전하게 전달된다고 가정한다.The router 30 then responds to the victim with the result. The response sent by the router to the victim is a success or failure message for integrity verification. It is assumed that success or failure messages from the router are safely delivered through a separate security association.

만약 역추적 정보가 위조 또는 변조되었다면 임의로 생성된 값이 라우터 주소(또는 네트워크 주소)로 인식되기 때문에, 그 네트워크 주소에 해당하는 라우터가 존재하지 않을 수 있다. 따라서 요청자체가 불가능하다. 만약 그 주소에 해당하는 라우터가 존재할지라도 라우터가 가지는 고유키를 이용해 역추적 정보를 해쉬했을 때, 역추적 정보의 무결성 정보(Hk)와 같을 수 없다. 따라서 위조 또는 변조된 역추적 정보가 사용되어 공격자로의 경로 재구성이 방해되는 것을 막을 수 있다.
If the traceback information is forged or tampered with, the randomly generated value is recognized as the router address (or network address), so there may not be a router corresponding to the network address. Therefore, the request itself is impossible. Even if there is a router corresponding to the address, when the backtracking information is hashed using the unique key of the router, it cannot be the same as the integrity information (H k ) of the backtracking information. Thus, forged or tampered backtracking information can be used to prevent the reconstruction of paths to attackers.

다음으로, 피해 단말(12)은 라우터(30)로부터 무결성 검증이 확인된 역추적 정보를 이용하여, 공격 패킷의 전송 경로를 추정한다(S50).Next, the victim terminal 12 estimates the transmission path of the attack packet by using the back trace information confirmed the integrity verification from the router 30 (S50).

라우터로부터 응답을 받은 피해 단말(12)은 해당 역추적 정보가 해당 라우터에서 생성되어 신뢰할 수 있는 역추적 정보인지를 확인하고 정당한 것으로 검증된 역추적 정보들을 이용해 패킷이 전송되어온 경로를 재구성한다.The victim terminal 12 receiving the response from the router checks whether the corresponding traceback information is generated by the router and is reliable backtracking information, and reconstructs the path from which the packet was transmitted using the traceback information verified as legitimate.

피해 단말(12)은 마킹된 패킷(또는 샘플 패킷)이 충분히 수집되면, 라우터(30)에게 마킹된 역추적 정보를 전송하여 역추적 정보에 대한 무결성 검증을 요청하고, 마킹했던 홉수(Hop)와 라우터 정보를 이용해 분류 및 정렬을 한다.When the marked terminal (or sample packet) is sufficiently collected, the victim terminal 12 transmits the marked traceback information to the router 30 to request integrity verification of the traceback information, and marks the hop number Hop. Sort and sort using router information.

즉, 도 5a에서 홉수(Hop)가 클수록 공격 단말(11)에 더 가까운 라우터(30)로 인식한다. 홉수(Hop)가 가장 큰 4의 패킷은 A, D, H이고 이 패킷의 역추적 정보에서 네트워크 주소(NetID)를 참조하면 라우터는 R1임을 알 수 있다. 따라서 공격 단말(11)에 가장 가까운 라우터는 R1임을 알 수 있다.That is, in FIG. 5A, the larger the hop number, the closer to the attack terminal 11, the router 30 is recognized. The 4 packets with the largest hops are A, D, and H. If we refer to the network address (NetID) in the traceback information of this packet, we can see that the router is R1. Therefore, it can be seen that the router closest to the attack terminal 11 is R1.

또한, 다음으로 작은 홉수(Hop)는 3이고, 이때의 패킷은 C, G이다. 그리고 이들 패킷의 역추적 정보에 따르면 라우터는 R2임을 알 수 있다. 또한, 가장 작은 홉수(Hop)는 2이고, 이에 해당하는 패킷은 E와 I이고, 라우터는 R4임을 알 수 있다. 그 결과, 도 5c에서 보는 바와 같이, 공격 단말(11)로부터 가까운 라우터(30)를 정렬하면, 라우터 R1, R2, R4로 정렬된다.
The next smaller hop number is 3, and the packets at this time are C and G. The traceback information of these packets indicates that the router is R2. In addition, it can be seen that the smallest hop number is 2, corresponding packets are E and I, and the router is R4. As a result, as shown in Fig. 5C, when the router 30 close to the attack terminal 11 is aligned, the routers R1, R2, and R4 are aligned.

본 발명의 실시예들은 다양한 컴퓨터로 구현되는 동작을 수행하기 위한 프로그램 명령을 포함하는 컴퓨터 판독 가능 매체를 포함한다. 컴퓨터 판독 가능 매체는 프로그램 명령, 로컬 데이터 파일, 로컬 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 매체는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크와 같은 자기-광 매체, 및 롬, 램, 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.
Embodiments of the present invention include computer readable media including program instructions for performing various computer implemented operations. The computer readable medium may include program instructions, local data files, local data structures, etc. alone or in combination. The media may be those specially designed and constructed for the present invention, or they may be of the kind well-known and available to those having skill in the computer software arts. Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tape, optical recording media such as CD-ROMs and DVDs, magneto-optical media such as floppy disks, and ROMs, And hardware devices specifically configured to store and execute the same program instructions. Examples of program instructions include not only machine code generated by a compiler, but also high-level language code that can be executed by a computer using an interpreter or the like.

다음으로, 본 발명의 일실시예에 따른 발명의 효과를 도 6을 참조하여 보다 구체적으로 설명한다.Next, the effect of the invention according to an embodiment of the present invention will be described in more detail with reference to FIG. 6.

먼저 발명의 효과를 실험하기 위한 시뮬레이션 시스템의 구성에 대하여 설명한다.First, the configuration of a simulation system for experimenting the effects of the invention will be described.

본원발명은 IPv6를 기반으로 하는 NGN 환경에서 이용될 수 있도록 고안되었다. 그러나 IPv6를 지원하고 제안하는 본원발명에서 이용되는 키 해쉬(keyed-hash)등의 기능 구현이 용이한 실험환경을 구성하기 쉽지 않기 때문에 소규모의 IPv6 네트워크 환경을 가상환경으로 구성하였다.The present invention is designed to be used in an NGN environment based on IPv6. However, since it is not easy to construct an experimental environment that can easily implement functions such as keyed-hash, which is used in the present invention, which supports and proposes IPv6, a small IPv6 network environment is configured as a virtual environment.

가상으로 구성된 시뮬레이션 환경에서의 네트워크 구성(또는 라우터 구성)은 도 4와 같이 구성되었으며, 경유 라우터를 통과하는 패킷을 다양화시키기 위해 패킷 송신지 머신이 2대 추가되었다. 각 라우터 모듈 및 피해 단말의 역추적 데이터 수집 프로그램은 리눅스 운영체제에서 도 6의 알고리즘을 기반으로 C 언어를 이용해 구현하였다.The network configuration (or router configuration) in the virtually simulated simulation environment was configured as shown in FIG. 4, and two packet source machines were added to diversify packets passing through the router. The traceback data collection program of each router module and the victim terminal was implemented using the C language based on the algorithm of FIG. 6 in the Linux operating system.

샘플링된 패킷에 대한 keyed-hash 값을 구할 때에는 OpenSSL 라이브러리에서 제공하는 HMAC with md5를 이용하였다. 이때 해쉬 값의 기본 출력은 128 비트이며 이중 상위 32 비트를 취해 역추적 데이터의 keyed-hash에 이용했을 때, 데이터구성 및 파싱 과정과 HMAC with md5의 계산에 소요되는 500회 평균 실행시간은 약 46.13us였다.HMAC with md5 provided by OpenSSL library was used to obtain keyed-hash value for sampled packet. In this case, the basic output of the hash value is 128 bits, and when the upper 32 bits are taken and used for the keyed-hash of the traceback data, the average execution time of 500 times for the data composition and parsing process and the calculation of HMAC with md5 is about 46.13. it was us.

도 7은 구성된 시뮬레이션 환경에서 3대의 머신에서 송신된 패킷이 3대의 라우터를 경유 할 때 각 공격지에 대해 전체 경로 재구성시 필요한 평균 패킷 수를 계산한 것이다. 이 시뮬레이션은 각 확률별로 5회 실행되었으며, 송신된 IPv6 패킷 수는 각각 10 만개이다.
FIG. 7 calculates the average number of packets required for the full path reconstruction for each attack point when packets transmitted from three machines pass through three routers in the configured simulation environment. This simulation was run five times for each probability, with 100,000 IPv6 packets sent each.

도 8a는 본원발명의 역추적 방법과 종래의 역추적 기법들에 대한 특징을 비교한 것이며, 도 8b는 네트워크 및 라우터에 발생하는 오버헤드의 비교를 나타내고 있다.FIG. 8A compares features of the backtracking method of the present invention with conventional backtracking techniques, and FIG. 8B shows a comparison of overhead incurred in networks and routers.

해쉬 기반 역추적 기법은 라우터에 탑재되는 DGA를 중심으로 전체적인 시스템을 구성하는 요소들이 요구되고 구현이 어렵다. 또한, 각 패킷에 대한 해쉬 데이터를 보관해야 하는 등 별도의 구성요소들이 각각의 역할을 수행하더라도 높은 별도로 요구되는 시스템과 그에 대한 관리 오버헤드가 예상된다.Hash-based traceback technique requires elements that make up the whole system around the DGA mounted on the router and is difficult to implement. In addition, even if separate components play a role, such as storing hash data for each packet, a highly required system and management overhead thereof are expected.

확장성에 대해서는 PPM의 경우 IP header에서 변경되어도 통신에 지장을 주지 않는 필드에 역추적 정보를 저장하기 때문에 매우 낮다. 해쉬 기반 역추적 기법의 경우 역추적 정보의 생성, 관리, 경로 재구성까지의 모든 과정 및 구조가 정해져있기 때문에 확장성을 기대하기 어렵다.In terms of scalability, PPM is very low because it stores backtrace information in a field that does not interfere with communication even if it is changed in the IP header. In the case of hash-based traceback, scalability cannot be expected because all processes and structures from generation, management, and path reconstruction are determined.

IPv6 프로토콜을 지원하기 위해서는 PPM의 경우 IPv4의 특정 필드를 이용하므로 프로토콜이 변경될 경우 새로 고안되어야 한다. iTrace의 경우 ICMPv6를 이용할 수 있으며 이미 이에 대한 연구가 있다. SPIE 시스템의 구성이 요구되는 해쉬 기반 역추적 기법의 경우 또한 IPv6에서 이용될 수 있도록 연구된 바가 있으나, 기술의 적용이 매우 어렵다는 점은 변하지 않는다.In order to support the IPv6 protocol, PPM uses a specific field of IPv4, so it must be newly designed when the protocol is changed. For iTrace, you can use ICMPv6 and there is already research on it. Hash-based traceback schemes, which require configuration of SPIE systems, have also been studied to be used in IPv6, but the application of the technology is very difficult.

종래의 역추적 기법들은 무결성에 대해 크게 중요하게 다루지 않았기 때문에 기본적으로는 무결성을 제공하지 않는다. iTrace에서 역추적 정보에 대한 위조 방지를 위해 전자서명에 대해 언급하였으나 모든 라우터에서 전자서명을 지원할 수 없다는 문제 때문에 정의하지 않고 있다.Conventional traceback techniques do not provide integrity by default, because they do not have much importance to integrity. Although iTrace mentioned digital signature to prevent counterfeit information, it is not defined due to the problem that all routers cannot support digital signature.

본원발명의 역추적 방법은 PPM 기법의 장점을 IPv6 네트워크에서 이용하면서 무결성을 제공할 수 있도록 하였다.The backtracking method of the present invention allows to provide integrity while using the advantages of the PPM scheme in an IPv6 network.

네트워크 오버헤드에서는 대부분 각 패킷에 대한 역추적 정보를 생성하는 방식을 사용하기 때문에 네트워크상에서는 크게 영향이 없지만 iTrace의 경우 라우터에서 확률적으로 샘플링된 패킷에 대해 ICMP 메시지를 생성해서 발생시켜야 하기 때문에 네트워크상에 오버헤드가 발생하여 다른 역추적 기법들에 비해 비교적 높은 편이다. ICMP 메시지의 가변길이 message body 필드에 역추적 정보를 구성하는데, 역추적 정보의 크기 또한 가변이기 때문에 네트워크상에서 증가하는 데이터 량이 커 질 수도 있다.The network overhead is mostly used to generate the traceback information for each packet, so it does not have much effect on the network. However, iTrace requires the router to generate and generate ICMP messages for the packets sampled probabilistically. This overhead is relatively high compared to other backtracking techniques. The traceback information is configured in the variable length message body field of the ICMP message. Since the size of the traceback information is also variable, the amount of data increasing on the network may increase.

본원발명의 역추적 방법의 경우 Hop-by-Hop options header의 가변길이 data 필드에 역추적 정보를 128 bits 크기로 구성하여 네트워크상에서 전송되는 트래픽을 크게 증가시키지 않는다.In the case of the traceback method of the present invention, the traceback information is configured in the variable length data field of the Hop-by-Hop options header to 128 bits in size so that the traffic transmitted on the network is not greatly increased.

라우터 오버헤드는 역추적 정보 처리 시에 라우터가 받는 오버헤드를 나타낸다. 해쉬 기반 역추적 기법은 라우터의 DGA 모듈 등이 요구되고 그 역할이 많기 때문에 라우터의 오버헤드가 굉장히 높다.Router overhead represents the overhead that a router receives in processing backtrace information. Hash-based backtracking requires a router's DGA module and the like, and the router's overhead is very high.

SPIE-IPv6에서는 IPv6 헤더의 40 byte와 페이로드 부분의 20 byte를 처리하고 추가적으로 확장 헤더가 있을 경우 더 처리하기 때문에 최소 60 byte, 비트로는 최소 480 bits 이상을 처리해야 한다.In SPIE-IPv6, 40 bytes of the IPv6 header and 20 bytes of the payload part are processed, and if there is an additional extension header, it is processed further, so at least 60 bytes and at least 480 bits should be processed.

iTrace는 ICMP 메시지를 생성하는 과정에서 라우터가 상당히 큰 량의 데이터를 처리해야 할 수도 있다.iTrace may require the router to handle a significant amount of data while generating ICMP messages.

본원발명의 역추적 방법에서는 Hop-by-Hop options header에 구성하는 역추적 정보인 128 bits를 처리하여 라우터가 처리하는 양이 크지 않다.
In the traceback method of the present invention, the amount of processing by the router by processing 128 bits, which is traceback information configured in the Hop-by-Hop options header, is not large.

이상, 본 발명자에 의해서 이루어진 발명을 실시 예에 따라 구체적으로 설명하였지만, 본 발명은 실시 예에 한정되는 것은 아니고, 그 요지를 이탈하지 않는 범위에서 여러 가지로 변경 가능한 것은 물론이다.As mentioned above, although the invention made by this inventor was demonstrated concretely according to the Example, this invention is not limited to an Example and can be variously changed in the range which does not deviate from the summary.

본 발명은 IPv6 기반 네트워크에서 라우터가 공격 패킷을 샘플링하여 역추적 정보를 삽입하면 피해 단말은 수신한 패킷에 포함된 역추적 정보를 추출하여 전송 경로를 추적하는 역추적 시스템을 개발하는 데 적용이 가능하다. 또한, 본 발명은 역추적 정보에 라우터의 키로 해쉬한 값을 무결성 정보로 추가 삽입하여, 삽입된 무결성 정보를 통해 역추적 정보의 무결성을 검증하는 역추적 시스템을 개발하는 데 유용하다.
According to the present invention, when a router samples an attack packet and inserts traceback information in an IPv6-based network, the victim terminal can be applied to develop a traceback system that extracts traceback information included in a received packet and tracks a transmission path. Do. In addition, the present invention is useful for developing a backtracking system that additionally inserts a hashed value of a router key into the backtracking information as integrity information and verifies the integrity of the backtracking information through the inserted integrity information.

Claims (10)

삭제delete 삭제delete IPv6 기반 네트워크에서 피해 단말이 적어도 2개 이상의 라우터를 통해 전송되는 공격 패킷을 수신하여 상기 공격 패킷의 전송 경로를 추적하는 IPv6 기반 네트워크의 공격 패킷의 역추적 방법에 있어서,
(a) 상기 라우터가 전달하려는 공격 패킷을 샘플링하여 샘플링한 공격 패킷(이하 샘플 패킷)에 역추적 정보를 삽입하여 전달하는 단계;
(b) 상기 피해 단말이 상기 샘플 패킷을 수집하여 상기 역추적 정보를 추출하는 단계;
(c) 상기 피해 단말이 상기 역추적 정보를 상기 라우터에 전송하여 상기 역추적 정보의 무결성 검증을 요청하는 단계;
(d) 상기 라우터가 상기 역추적 정보의 무결성을 검증하는 단계; 및
(e) 상기 라우터로부터 무결성 검증이 확인된 역추적 정보를 이용하여, 공격 패킷의 전송 경로를 추정하는 단계를 포함하고,
상기 (a)단계에서, 상기 라우터는 상기 역추적 정보에 상기 라우터의 주소 및 홉수(hop), 상기 라우터 주소 및 홉수를 키로 해쉬한 값(이하 무결성 정보)을 포함시키고,
상기 (d)단계에서, 상기 라우터는 상기 역추적 정보의 라우터 주소 및 홉수를 키로 해쉬하여, 상기 역추적 정보의 무결성 정보와 비교하여 무결성을 검증하고,
상기 역추적 정보는 타임스탬프를 더 포함하고, 상기 무결성 정보는 상기 스탬프 정보를 더 포함하여 키로 해쉬되는 값인 것을 특징으로 하는 IPv6 기반 네트워크의 공격 패킷의 역추적 방법.
In the IPv6 based network, the victim terminal receives an attack packet transmitted through at least two routers and traces the transmission path of the attack packet, and thus, the method of traceback of the attack packet of the IPv6-based network,
(a) sampling the attack packet to be delivered by the router, and inserting the traceback information into the sampled attack packet (hereinafter, referred to as a sample packet);
(b) the victim terminal collecting the sample packet to extract the traceback information;
(c) the victim terminal requesting integrity verification of the traceback information by transmitting the traceback information to the router;
(d) the router verifying the integrity of the traceback information; And
(e) estimating the transmission path of the attack packet by using the backtracking information whose integrity verification has been confirmed from the router,
In the step (a), the router includes the address and hop number of the router, the router address and the hop number as a key (hereinafter referred to as integrity information) in the traceback information.
In the step (d), the router hashes the router address and the hop number of the traceback information with a key, and verifies the integrity by comparing with the trace information of the traceback information.
The traceback information further includes a timestamp, and the integrity information further includes the stamp information and is hashed with a key.
제3항에 있어서,
상기 라우터 주소는 라우터의 네트워크 주소 및 인터페이스 아이디(ID)를 포함하는 것을 특징으로 하는 IPv6 기반 네트워크의 공격 패킷의 역추적 방법.
The method of claim 3,
And the router address includes a network address and an interface ID of the router.
제4항에 있어서,
상기 홉수는 공격 패킷의 홉 한계(hop limit) 값으로 정하고,
상기 인터페이스 아이디는 상기 공격 패킷이 들어온 인터페이스의 아이디(ID)로 정하고,
상기 라우터의 네트워크 주소는 라우터의 하위 48비트로 정하는 것을 특징으로 하는 IPv6 기반 네트워크의 공격 패킷의 역추적 방법.
The method of claim 4, wherein
The hop count is set to the hop limit value of the attack packet,
The interface ID is determined by the ID (ID) of the interface that the attack packet came in,
The network address of the router is set to the lower 48 bits of the router, characterized in that the trace back attack packet of the IPv6-based network.
제5항에 있어서,
상기 (a)단계에서, 상기 라우터는 상기 공격 패킷에 확장 헤더를 추가하고 상기 확장 헤더에 상기 역추적 정보를 삽입하는 것을 특징으로 하는 IPv6 기반 네트워크의 공격 패킷의 역추적 방법.
The method of claim 5,
In step (a), the router adds an extension header to the attack packet and inserts the traceback information into the extension header.
제6항에 있어서,
상기 확장 헤더는 홉간 옵션 헤더(hop-by-hop options header)인 것을 특징으로 하는 IPv6 기반 네트워크의 공격 패킷의 역추적 방법.
The method of claim 6,
And the extended header is a hop-by-hop options header.
제7항에 있어서,
상기 역추적 정보는 홉간 옵션 헤더의 옵션 데이터(Option data) 필드에 기록하되, 홉수, 네트워크 주소, 인터페이스 아이디, 타임스탬프, 무결성 정보에 각 8비트, 48비트, 8비트, 32비트, 32비트를 할당하는 것을 특징으로 하는 IPv6 기반 네트워크의 공격 패킷의 역추적 방법.
The method of claim 7, wherein
The traceback information is recorded in an option data field of an option hop between hops, and each of 8 bits, 48 bits, 8 bits, 32 bits, and 32 bits is included in the hop number, network address, interface ID, time stamp, and integrity information. A method for traceback attack packets of an IPv6-based network, characterized in that the allocation.
제8항에 있어서,
상기 (e)단계에서, 상기 역추적 정보의 홉수를 이용하여 전송 경로를 추정하는 것을 특징으로 하는 IPv6 기반 네트워크의 공격 패킷의 역추적 방법.
The method of claim 8,
In step (e), the method for backtracking attack packets of an IPv6-based network, characterized in that the transmission path is estimated using the number of hops of the backtracking information.
제3항 내지 제9항 중 어느 한 항의 방법을 수행하는 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
A computer-readable recording medium having recorded thereon a program for performing the method of any one of claims 3 to 9.
KR1020100060451A 2010-06-25 2010-06-25 An ip traceback method with enhanced integrity for ipv6-based network and the recording medium thereof KR101081433B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100060451A KR101081433B1 (en) 2010-06-25 2010-06-25 An ip traceback method with enhanced integrity for ipv6-based network and the recording medium thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100060451A KR101081433B1 (en) 2010-06-25 2010-06-25 An ip traceback method with enhanced integrity for ipv6-based network and the recording medium thereof

Publications (1)

Publication Number Publication Date
KR101081433B1 true KR101081433B1 (en) 2011-11-09

Family

ID=45397387

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100060451A KR101081433B1 (en) 2010-06-25 2010-06-25 An ip traceback method with enhanced integrity for ipv6-based network and the recording medium thereof

Country Status (1)

Country Link
KR (1) KR101081433B1 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103229488A (en) * 2012-12-27 2013-07-31 华为技术有限公司 IPV6 address tracing method, device and system
KR101948214B1 (en) 2018-02-09 2019-02-14 경희대학교 산학협력단 Method for estimating integrity of packet in sensor network
CN109981587A (en) * 2019-02-27 2019-07-05 南京众智维信息科技有限公司 A kind of network security monitoring traceability system based on APT attack
CN114338527A (en) * 2021-12-30 2022-04-12 中国电信股份有限公司 IPv6 active identifier processing method and system

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103229488A (en) * 2012-12-27 2013-07-31 华为技术有限公司 IPV6 address tracing method, device and system
US9973399B2 (en) 2012-12-27 2018-05-15 Huawei Technologies Co., Ltd. IPV6 address tracing method, apparatus, and system
KR101948214B1 (en) 2018-02-09 2019-02-14 경희대학교 산학협력단 Method for estimating integrity of packet in sensor network
WO2019156278A1 (en) * 2018-02-09 2019-08-15 경희대학교 산학협력단 Method for determining integrity of packet
CN109981587A (en) * 2019-02-27 2019-07-05 南京众智维信息科技有限公司 A kind of network security monitoring traceability system based on APT attack
CN114338527A (en) * 2021-12-30 2022-04-12 中国电信股份有限公司 IPv6 active identifier processing method and system
CN114338527B (en) * 2021-12-30 2023-09-08 中国电信股份有限公司 IPv6 active identifier processing method and system

Similar Documents

Publication Publication Date Title
Belenky et al. On IP traceback
US7827609B2 (en) Method for tracing-back IP on IPv6 network
US8245298B2 (en) Port scanning method and device, port scanning detection method and device, port scanning system, computer program and computer program product
JP4683383B2 (en) Method and system for resilient packet reverse detection in wireless mesh and sensor networks
US11277442B2 (en) Verifying the trust-worthiness of ARP senders and receivers using attestation-based methods
Foroushani et al. Deterministic and authenticated flow marking for IP traceback
US20110026529A1 (en) Method And Apparatus For Option-based Marking Of A DHCP Packet
US11924043B2 (en) Establishing trust relationships of IPv6 neighbors using attestation-based methods in IPv6 neighbor discovery
Llamas et al. Covert channels in internet protocols: A survey
CN114389835B (en) IPv6 option explicit source address encryption security verification gateway and verification method
Patil et al. Unmasking of source identity, a step beyond in cyber forensic
Aghaei-Foroushani et al. IP traceback through (authenticated) deterministic flow marking: an empirical evaluation
KR101081433B1 (en) An ip traceback method with enhanced integrity for ipv6-based network and the recording medium thereof
Kim et al. Network forensic evidence acquisition (NFEA) with packet marking
Aghaei-Foroushani et al. On evaluating ip traceback schemes: a practical perspective
Pilli et al. Data reduction by identification and correlation of TCP/IP attack attributes for network forensics
Su et al. Privacy preserving IP traceback
Pilli et al. An IP traceback model for network forensics
Chen et al. Extracting attack sessions from real traffic with intrusion prevention systems
Alenezi et al. Selective record route DoS traceback
Singh et al. Ipv6 packet traceback: A survey
Tian et al. The Systematic Survey for IP Traceback Methods
Joshi et al. Network Forensic Attribution
Djemaiel et al. Adaptive and selective packet marking in communication networks
Eastman et al. Multiple mainbeam sidelobe cancellation architectures for constrained and/or excess degrees of freedom processing

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20161025

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20171025

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20181030

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20191031

Year of fee payment: 9