KR101144368B1 - Method of performing traceback of an attack terminal in a router system - Google Patents
Method of performing traceback of an attack terminal in a router system Download PDFInfo
- Publication number
- KR101144368B1 KR101144368B1 KR1020100043028A KR20100043028A KR101144368B1 KR 101144368 B1 KR101144368 B1 KR 101144368B1 KR 1020100043028 A KR1020100043028 A KR 1020100043028A KR 20100043028 A KR20100043028 A KR 20100043028A KR 101144368 B1 KR101144368 B1 KR 101144368B1
- Authority
- KR
- South Korea
- Prior art keywords
- router
- packet
- terminal
- attacker
- traceback
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Abstract
본 발명은 라우터 시스템에서 공격자 단말기를 IP 역추적하는 방법에 관한 것이다. 희생자 단말기, 공격자 단말기 및 라우터들을 포함하는 라우터 시스템에서 상기 공격자 단말기를 역추적하는 방법은 상기 라우터들 중 제 1 라우터가 그의 역추적 테이블을 통하여 공격 경로로 예상되는 제 2 라우터를 결정하는 단계 및 상기 제 1 라우터가 상기 희생자 단말기로부터 출력된 에이전트 패킷을 상기 결정된 제 2 라우터로 전송하는 단계를 포함한다. 여기서, 상기 역추적 테이블은 패킷 전달 확률을 기록하고 있고, 상기 패킷 전달 확률은 특정 입력 포트를 통하여 입력된 총패킷량과 특정 출력 포트를 통하여 출력되는 패킷량의 비율이며, 상기 제 2 라우터는 상기 제 1 라우터에 해당하는 포트와 관련된 패킷 전달 확률들 중 최대 확률을 가지는 포트에 대응하는 라우터이다.The present invention relates to a method for IP traceback of an attacker terminal in a router system. The method of backtracking an attacker terminal in a router system comprising a victim terminal, an attacker terminal and routers comprises the steps of: determining, by the first of the routers, a second router expected to be an attack path through its backtracking table; Sending, by the first router, an agent packet output from the victim terminal to the determined second router. Here, the traceback table records the packet forwarding probability, wherein the packet forwarding probability is a ratio of the total packet amount input through a specific input port and the packet amount output through a specific output port, and the second router provides the A router corresponding to a port having a maximum probability among packet forwarding probabilities associated with a port corresponding to the first router.
Description
본 발명은 라우터 시스템에서 공격자 단말기를 IP 역추적하는 방법에 관한 것이다. The present invention relates to a method for IP traceback of an attacker terminal in a router system.
오늘날 전세계적으로 네트워크가 연결되어 있으며, 인터넷이 네트워크 연결을 위한 주 통신 매체로서 역할을 수행하고 있다. Today, networks are connected worldwide, and the Internet serves as the main communication medium for network connectivity.
그러나, 인터넷 프로토콜이 단순하기 때문에 보안에 취약점을 가지고 있으며, 그 결과 DoS(Denial of Service) 공격/DDoS(Distributed Denial of Service) 공격 등과 같은 외부 공격이 자주 발생하고 있다. However, because of the simplicity of the Internet protocol, it is vulnerable to security, and as a result, external attacks such as Denial of Service (DoS) attacks and Distributed Denial of Service (DDoS) attacks frequently occur.
이러한 DoS/DDoS 공격이 발생하면 특정 서버나 임의의 노드의 기능이 마비되어 서비스가 방해될 수 있다. 또한, 일반적으로 특정 희생자에게 대량의 패킷을 전송하기 때문에, 상기 희생자의 시스템이 다운되거나 네트워크 자원이 고갈될 수 있었다. 결과적으로, 상기 희생자의 시스템이 정상적으로 동작하지 못하게 되었다. When such a DoS / DDoS attack occurs, the function of a specific server or an arbitrary node may be paralyzed and the service may be interrupted. In addition, since a large number of packets are generally sent to a particular victim, the victim's system may be down or network resources may be exhausted. As a result, the victim's system was unable to operate normally.
특히, DoS/DDoS 공격시 공격자가 자신의 IP 주소를 속여서 사용하기 때문에 실제 공격자의 IP 주소를 추적하는 것이 매우 어려운 문제점이 있다. In particular, since DoS / DDoS attacks use the attacker to trick their IP address, it is very difficult to track the actual attacker's IP address.
물론, 현재 공격자의 IP를 추적하는 다양한 방법들이 존재하긴 하지만, IP 주소를 추적하는 과정이 복잡하거나 소요되는 시간이 오래 걸리는 등 많은 문제점이 있어서 비효율적이다. Of course, there are various methods of tracking an attacker's IP at present, but it is inefficient because there are many problems such as the process of tracking an IP address is complicated or takes a long time.
따라서, 공격자의 IP를 효율적으로 추적할 수 있는 시스템이 요구된다. Therefore, there is a need for a system that can efficiently track an attacker's IP.
본 발명의 목적은 라우터 시스템에서 DoS/DDoS 공격 등과 같은 외부 공격시 공격자의 실제 위치를 효율적으로 역추적하는 방법을 제공하는 것이다.SUMMARY OF THE INVENTION An object of the present invention is to provide a method for efficiently backtracking the actual location of an attacker in an external attack such as a DoS / DDoS attack in a router system.
상기한 바와 같은 목적을 달성하기 위하여, 본 발명의 일 태양에 따른 희생자 단말기, 공격자 단말기 및 라우터들을 포함하는 라우터 시스템에서 상기 공격자 단말기를 역추적하는 방법은 상기 라우터들 중 제 1 라우터가 그의 역추적 테이블을 통하여 공격 경로로 예상되는 제 2 라우터를 결정하는 단계; 및 상기 제 1 라우터가 상기 희생자 단말기로부터 출력된 에이전트 패킷을 상기 결정된 제 2 라우터로 전송하는 단계를 포함한다. 여기서, 상기 역추적 테이블은 패킷 전달 확률을 기록하고 있고, 상기 패킷 전달 확률은 특정 입력 포트를 통하여 입력된 총패킷량과 특정 출력 포트를 통하여 출력되는 패킷량의 비율이며, 상기 제 2 라우터는 상기 제 1 라우터에 해당하는 포트와 관련된 패킷 전달 확률들 중 최대 확률을 가지는 포트에 대응하는 라우터이다. In order to achieve the object as described above, a method for backtracking the attacker terminal in a router system comprising a victim terminal, an attacker terminal and routers in accordance with an aspect of the present invention, the first of the routers trace back Determining a second router expected to be an attack path through the table; And sending, by the first router, an agent packet output from the victim terminal to the determined second router. Here, the traceback table records the packet forwarding probability, wherein the packet forwarding probability is a ratio of the total packet amount input through a specific input port and the packet amount output through a specific output port, and the second router provides the A router corresponding to a port having a maximum probability among packet forwarding probabilities associated with a port corresponding to the first router.
본 발명의 다른 태양에 따른 라우터 시스템에서 공격자 단말기를 추적하기 위해 사용되는 라우터는 패킷 전달 확률을 기록하고 있는 역추적 테이블을 관리하는 역추적 테이블 관리부; 희생자 단말기로부터 출력된 에이전트 패킷을 공격 경로로 예상되는 다음 라우터로 전송하는 에이전트 패킷 관리부; 및 상기 역추적 테이블 및 상기 에이전트 패킷 관리부의 동작을 제어하는 제어부를 포함한다. 여기서, 상기 패킷 전달 확률은 상기 라우터의 특정 입력 포트를 통하여 입력된 총패킷량과 특정 출력 포트를 통하여 출력되는 패킷량의 비율이며, 상기 에이전트 패킷이 전송될 다음 라우터는 상기 라우터의 포트들에 해당하는 패킷 전달 확률들 중 최대 확률을 가지는 포트에 대응하는 라우터이다.A router used to track an attacker terminal in a router system according to another aspect of the present invention includes a traceback table manager for managing a traceback table that records packet forwarding probabilities; An agent packet manager for transmitting the agent packet output from the victim terminal to the next router expected to attack; And a controller for controlling the operation of the traceback table and the agent packet manager. Here, the packet forwarding probability is a ratio of the total packet amount input through the specific input port of the router and the packet amount output through the specific output port, and the next router to which the agent packet is transmitted corresponds to the ports of the router. A router corresponding to a port having a maximum probability among packet forwarding probabilities.
삭제delete
본 발명의 라우터 시스템에서 공격자를 역추적하는 방법은 DoS/DDoS 공격 등과 같은 외부 공격 발생시 에이전트 패킷을 통하여 공격자를 역추적하며, 따라서 공격자가 그의 IP 주소를 속여서 공격할 지라도 상기 공격자를 정확하면서도 신속하게 추적할 수 있는 장점이 있다. In the router system of the present invention, the attacker traces back an attacker through an agent packet when an external attack such as a DoS / DDoS attack occurs, so that the attacker can be accurately and quickly even if the attacker cheats his IP address. It has the advantage of being tracked.
또한, 본 실시예의 역추적 기법을 확장하여 적용하면 공격자가 아니더라도 트래픽이 많이 발생하는 위치를 추적할 수 있으므로, 네트워크 트래픽이 정확하게 모니터링될 수 있다. In addition, if the backtracking technique of this embodiment is extended and applied, network traffic can be accurately monitored since a location where a lot of traffic is generated can be tracked even if not an attacker.
게다가, 상기 라우터가 역추적 테이블 및 에이전트 패킷을 구별하는 로직을 소프트웨어적으로 구현할 수 있으므로, 역추적 시스템을 구축하기 위하여 기존에 설치된 라우터를 새로운 라우터로 교체할 필요가 없었다. 즉, 상기 라우터들에 역추적용 소프트웨어만을 설치하여 역추적 시스템을 구현할 수 있으며, 따라서 상기 역추적 시스템의 구축이 용이하고 구축에 소요되는 비용이 상당히 절감될 수 있다.
In addition, since the router can implement software logic for distinguishing the traceback table and the agent packet, there is no need to replace the existing router with a new router to build the traceback system. That is, the backtracking system can be implemented by installing only the backtracking software in the routers, so that the backtracking system can be easily constructed and the cost required for the construction can be significantly reduced.
도 1은 본 발명의 일 실시예에 따른 역추적 기능을 가지는 라우터 시스템을 도시한 도면이다.
도 2는 본 발명의 일 실시예에 따른 역추적 테이블을 생성하는 과정을 도시한 순서도이다.
도 3은 본 발명의 일 실시예에 따른 라우터 시스템에서 IP 역추적 과정을 도시한 순서도이다.
도 4는 본 발명의 일 실시예에 따른 에이전트 패킷의 헤더를 도시한 블록도이다.
도 5는 본 발명의 일 실시예에 따른 응답 패킷의 헤더를 도시한 블록도이다.
도 6은 본 발명의 일 실시예에 따른 역추적 테이블을 도시한 도면이다.
도 7은 본 발명의 일 실시예에 따른 희생자 단말기의 구성을 도시한 블록도이다.
도 8은 본 발명의 일 실시예에 따른 라우터의 구성을 도시한 블록도이다. 1 is a diagram illustrating a router system having a backtracking function according to an embodiment of the present invention.
2 is a flowchart illustrating a process of generating a backtracking table according to an embodiment of the present invention.
3 is a flowchart illustrating an IP traceback process in a router system according to an embodiment of the present invention.
4 is a block diagram illustrating a header of an agent packet according to an embodiment of the present invention.
5 is a block diagram illustrating a header of a response packet according to an embodiment of the present invention.
6 is a diagram illustrating a backtracking table according to an embodiment of the present invention.
7 is a block diagram showing the configuration of a victim terminal according to an embodiment of the present invention.
8 is a block diagram showing the configuration of a router according to an embodiment of the present invention.
이하에서는 첨부된 도면들을 참조하여 본 발명의 실시예들을 자세히 설명하도록 한다. Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.
도 1은 본 발명의 일 실시예에 따른 역추적 기능을 가지는 라우터 시스템을 도시한 도면이다. 1 is a diagram illustrating a router system having a backtracking function according to an embodiment of the present invention.
도 1을 참조하면, 본 실시예의 라우터 시스템은 DOS/DDOS 공격 등과 같은 외부 공격 발생시 공격자를 역추적하는 기능을 구현하고 있으며, 희생자 단말기(100), 공격자 단말기(102), 일반 사용자 단말기(104) 및 복수의 라우터들(Routers, 110)을 포함한다. 여기서, 희생자 단말기(100)는 상기 외부 공격을 받은 단말기를 의미하며, 공격자 단말기(102)는 희생자 단말기(100)로 공격을 시도한 단말기를 의미한다. 물론, DOS/DDOS 공격시 상기 라우터 시스템에는 복수의 공격자 단말기들(102)이 존재할 수 있다. 다만, 설명의 편의를 위하여 이하 하나의 공격자 단말기(102)만이 상기 라우터 시스템에 존재하는 것으로 가정한다. Referring to FIG. 1, the router system of the present embodiment implements a function of tracing an attacker when an external attack such as a DOS / DDOS attack occurs, and the
공격자 단말기(102)가 희생자 단말기(100)를 공격할 경우, 공격자 단말기(102)는 복잡한 경로로 희생자 단말기(100)를 공격하며, 즉 공격자 단말기(102)로부터 출력된 패킷들이 복잡한 경로의 라우터들(110)을 통하여 희생자 단말기(100)로 전송된다. When the
따라서, 이러한 경로를 역추적하는 것이 중요하며, 본 발명의 라우터 시스템은 상기 경로를 효율적으로 역추적하는 방법을 제시한다. Therefore, it is important to trace back these paths, and the router system of the present invention proposes a method for efficiently backtracking the paths.
본 발명의 일 실시예에 따르면, 공격자 단말기(102)를 역추적하기 위하여, 각 라우터들(110)이 역추적 테이블을 가지도록 구현하고, 희생자 단말기(100)가 에이전트 패킷(Agent Packet)을 생성하여 출력하도록 구현한다. According to an embodiment of the present invention, in order to trace back the
이하, 공격자 단말기(102)를 역추적하는 과정을 첨부된 도면들을 참조하여 상술하겠다. Hereinafter, a process of backtracking the
우선, 라우터(110)가 그의 역추적 테이블을 생성하는 과정을 살펴보겠다.First, we will look at the process of the
도 2는 본 발명의 일 실시예에 따른 역추적 테이블을 생성하는 과정을 도시한 순서도이다.2 is a flowchart illustrating a process of generating a backtracking table according to an embodiment of the present invention.
도 2를 참조하면, 각 라우터들(110)은 입출력 포트들로 입출력되는 패킷들을 모니터링하여 입력 포트들로 입력되는 패킷량과 출력 포트들로 출력되는 패킷량을 검출한다(S200). 여기서, 상기 패킷량 검출은 특정 기간 단위로 수행될 수 있다. Referring to FIG. 2, each of the
이어서, 각 라우터들(110)은 그의 입출력 포트(인터페이스)별로 확률을 계산한다(S202). 구체적으로는, 각 라우터들(110)은 제 N (1이상의 정수) 입력 포트로 입력된 패킷들이 제 M (1이상의 정수) 출력 포트로 출력되는 확률(패킷 전달 확률)을 계산한다. Subsequently, each
예를 들어, 라우터(110d)가 4개의 포트들을 가지고 있다고 가정하면, 제 1 포트로 입력된 패킷은 제 2 포트 내지 제 4 포트 중 적어도 하나의 포트로 출력된다. 따라서, 라우터(110d)는 상기 제 1 포트로 입력된 패킷이 제 2 포트로 출력되는 확률(P12), 상기 제 1 포트로 입력된 패킷이 제 3 포트로 출력되는 확률(P13) 및 상기 제 1 포트로 입력된 패킷이 제 4 포트로 출력되는 확률(P14)을 계산한다. 결과적으로, 확률(P12), 확률(P13) 및 확률(P14)의 합은 1이 된다. For example, assuming that the
각 라우터들(110)은 위와 같은 방식으로 각 포트들에 대한 입출력량을 모니터링하여 입출력 포트별로 확률을 계산한다. Each
계속하여, 각 라우터들(110)은 위와 같은 확률을 역추적 테이블에 기록하여 도 6에 도시된 바와 같은 역추적 테이블을 생성한다(S204). Subsequently, each of the
요컨대, 본 실시예의 각 라우터들(110)은 입출력 포트별로 패킷 전달 확률을 기록한 역추적 테이블을 생성하고 저장하며 이후의 역추적 과정에 활용한다. In other words, each of the
다음으로, IP 역추적 과정을 첨부된 도면들을 참조하여 상술하겠다. Next, the IP traceback process will be described in detail with reference to the accompanying drawings.
도 3은 본 발명의 일 실시예에 따른 라우터 시스템에서 IP 역추적 과정을 도시한 순서도이고, 도 4는 본 발명의 일 실시예에 따른 에이전트 패킷의 헤더를 도시한 블록도이다. 도 5는 본 발명의 일 실시예에 따른 응답 패킷의 헤더를 도시한 블록도이며, 도 6은 본 발명의 일 실시예에 따른 역추적 테이블을 도시한 도면이다.3 is a flowchart illustrating an IP traceback process in a router system according to an embodiment of the present invention, and FIG. 4 is a block diagram illustrating a header of an agent packet according to an embodiment of the present invention. 5 is a block diagram illustrating a header of a response packet according to an embodiment of the present invention, and FIG. 6 is a diagram illustrating a backtracking table according to an embodiment of the present invention.
희생자 단말기(100)는 DOS/DDOS 공격 등 외부 공격을 탐지한다(S300). 물론, 희생자 단말기(100)가 외부 공격 탐지시 입력 패킷들을 차단하는 등의 동작을 수행할 수 있다. The
이어서, 희생자 단말기(100)는 외부 공격 탐지시 자신의 IP 주소를 근원지 주소로 하는 에이전트 패킷을 생성하고 상기 생성된 에이전트 패킷을 그와 연결된 엣지 라우터(110a)로 출력한다(S302). Subsequently, when detecting an external attack, the
본 발명의 일 실시예에 따르면, 상기 에이전트 패킷의 IP 헤더는 도 4에 도시된 구조를 가질 수 있다. 구체적으로는, 상기 IP 헤더는 Vers 필드, IHL 필드, TOS 필드 등을 가질 수 있으며, 상기 에이전트 패킷이 역추적을 위한 패킷임을 알리는 정보는 TOS 필드의 하위 2비트(400 및 402) 중 하나에 포함될 수 있다. 예를 들어, 1이 TOS 필드 중 하위 비트(400)에 기록될 수 있다. 따라서, 라우터들(110)은 상기 에이전트 패킷의 IP 헤더의 TOS 필드를 통하여 역추적 패킷임을 인지하고, 후술하는 바와 같은 역추적 동작을 수행할 수 있다. According to an embodiment of the present invention, the IP header of the agent packet may have a structure shown in FIG. Specifically, the IP header may have a Vers field, an IHL field, a TOS field, and the like, and information indicating that the agent packet is a packet for traceback is included in one of the lower two
물론, 상기 에이전트 패킷이 역추적 패킷임을 알리는 방법에는 특별한 제한이 없다. 예를 들어, TOS 필드의 하위 2비트들(400 및 402) 모두에 1을 기록할 수도 있고, TOS 필드가 아닌 다른 필드 또는 헤더가 아닌 데이터 영역에 역추적 패킷임을 알리는 정보를 포함하여 구현할 수도 있다. Of course, there is no particular limitation on the method of notifying that the agent packet is a traceback packet. For example, 1 may be written in both the lower 2
계속하여, 엣지 라우터(110a)는 그의 역추적 테이블을 통하여 상기 에이전트 패킷을 전달할 라우터를 결정한다(S304). Subsequently, the
본 발명의 일 실시예에 따르면, 엣지 라우터(110a)는 상기 에이전트 패킷이 전달된 포트로 패킷들을 가장 많이 전달한 입력 포트(확률이 가장 큰 포트)에 해당하는 라우터(110)를 상기 에이전트 패킷이 전달될 다음 라우터(110)로 결정한다. According to an embodiment of the present invention, the
예를 들어, 엣지 라우터(110a)가 N (1이상의 정수)개의 포트들을 가진 경우, 엣지 라우터(110a)의 역추적 테이블은 도 6에 도시된 바와 같은 구조를 가진다. 이 경우, 상기 에이전트 패킷이 4번 포트를 통하여 희생자 단말기(110)로부터 엣지 라우터(110a)로 전달되었다고 가정하면, 엣지 라우터(110a)는 P14, P24, P34, P54, ..., PN4 중 가장 큰 확률을 선택하고, 상기 가장 큰 확률에 해당하는 포트를 검출한다. 그런 후, 엣지 라우터(110a)는 상기 검출된 포트와 연결된 라우터(110)를 다음 라우터로 결정한다. 예를 들어, P34가 가장 큰 확률을 가지는 경우 3번 포트와 연결된 라우터, 예를 들어 110c를 다음 라우터로 결정한다. 물론, 확률값이 동일하면 복수의 포트들이 검출될 수도 있으며, 이 경우 검출된 복수의 포트들에 해당하는 라우터들을 다음 라우터들로 결정한다. For example, if the
다음 라우터(110c)가 결정되면, 엣지 라우터(110a)는 희생자 단말기(100)로부터 전송된 에이전트 패킷을 다음 라우터(110c)로 전송한다. 물론, 복수의 라우터들(110)이 결정되면 에이전트 패킷을 복수의 라우터들(110)로 전송한다. When the
위와 같이 역추적 테이블을 이용한 방법을 통하여 계속적으로 라우터들(110)을 추적하며, 즉 계속적으로 역추적 동작을 수행한다. As described above, the
상기 역추적시, 현재 라우터(110)가 공격자 단말기(102)와 연결된 엣지 라우터(110g)인지의 여부가 판단된다(S308). 구체적으로는, 라우터(110)가 그의 역추적 테이블을 통하여 역추적 경로를 추적한 결과 상기 에이전트 패킷이 전달될 장치가 라우터(110)가 아닌 사용자 단말기로 결정되면, 라우터(110)는 상기 결정된 단말기를 공격자 단말기라 판단하고 자신이 상기 공격자 단말기의 엣지 라우터임을 인식한다. At the time of the backtracking, it is determined whether the
즉, 공격자 단말기(102)의 엣지 라우터(110g)가 검출될 때까지 역추적 과정이 계속적으로 수행된다. 구체적으로는, S308에서 엣지 라우터(110g)가 아니라고 판단되면, 단계 S304가 다시 수행되어 엣지 라우터(110g)를 계속적으로 추적한다. That is, the backtracking process is continuously performed until the
반면에, 자신이 공격자 단말기(102)의 엣지 라우터(110g)라고 판단되면, 엣지 라우터(110g)는 응답 패킷을 생성하고 상기 생성된 응답 패킷을 상기 에이전트 패킷이 입력된 포트를 통하여 다음 라우터(110)로 출력한다(S310). On the other hand, if it is determined that the edge router (110g) of the
본 발명의 일 실시예에 따르면, 상기 응답 패킷은 도 5에 도시된 바와 같은 구조를 가질 수 있다. 특히, 상기 응답 패킷이 상기 에이전트 패킷에 대한 응답임을 알리는 정보가 IP 헤더의 TOS 필드 중 하위 2비트(500 및 502) 중 하나에 포함될 수 있다. 예를 들어, 1이 TOS 필드 중 하위 비트(502)에 기록될 수 있다. 따라서, 라우터들(110)은 상기 응답 패킷의 IP 헤더의 TOS 필드를 통하여 상기 응답 패킷이 상기 역추적 패킷에 대한 응답임을 인지할 수 있다. According to an embodiment of the present invention, the response packet may have a structure as shown in FIG. 5. In particular, information indicating that the response packet is a response to the agent packet may be included in one of the lower two
이어서, 라우터들(110)은 상기 응답 패킷을 확인한 후 상기 응답 패킷을 상기 에이전트 패킷이 전달된 포트를 통하여 상기 응답 패킷을 전송하며, 그 결과 상기 응답 패킷이 상기 에이전트 패킷을 현재 라우터(110)로 전송하였던 직전 라우터(110)로 전달된다. Subsequently, the
이와 같은 방법을 계속적으로 수행하면 최종적으로는 상기 응답 패킷이 희생자 단말기(100)로 전달되게 된다. If the method is continuously performed, the response packet is finally delivered to the
다만, 희생자 단말기(100)는 상기 에이전트 패킷을 출력한 후 기설정 시간이 경과할 때까지 상기 응답 패킷이 수신되는 지의 여부를 판단한다(S312). However, the
상기 기설정된 시간 동안 상기 응답 패킷이 수신되지 않으면, 희생자 단말기(100)는 상기 에이전트 패킷을 엣지 라우터(110a)로 다시 전송하여 역추적을 다시 수행한다.If the response packet is not received during the preset time, the
반면에, 상기 기설정된 시간 동안 상기 응답 패킷이 수신되면 공격자 단말기(102)가 검출된 것이므로, 상기 역추적 과정을 종료한다. On the other hand, if the response packet is received during the predetermined time, the
즉, 희생자 단말기(100)는 공격자 단말기(102)가 추적될때까지 상기 에이전트 패킷을 주기적으로 출력시킨다. That is, the
요컨대, 본 실시예의 라우터 시스템은 상기 역추적 패킷을 전달하는 방식을 통하여 공격자 단말기(102)를 추적한다. In short, the router system of the present embodiment tracks the
위와 같이 상기 역추적 테이블 및 상기 역추적 패킷을 이용하여 공격자 단말기(102)를 추적하면, 공격자 단말기(102)가 그의 IP 주소를 속여서 공격한 경우에도 공격자 단말기(102)를 정확하고 신속하게 추적할 수 있다. By tracking the
또한, 본 실시예의 역추적 기법을 확장하여 적용하면, 공격자는 아니더라도 트래픽을 많이 발생시키는 단말기의 위치를 추적할 수 있다. 즉, 상기 역추적 기법을 네트워크 트래픽 모니터링에도 활용할 수 있다. In addition, if the backtracking technique of the present embodiment is extended and applied, it is possible to track the location of the terminal generating a lot of traffic even if it is not an attacker. That is, the backtracking technique can also be used for network traffic monitoring.
본 발명의 일 실시예에 따르면, 라우터(110)는 그의 역추적 테이블 및/또는 상기 에이전트 패킷을 구별하는 로직을 소프트웨어적으로 구현할 수 있다. 따라서, 본 발명의 역추적 방법을 적용하기 위하여 기존에 설치된 라우터들(110)을 교체할 필요없이 라우터들(110)에 역추적용 소프트웨어를 설치하여 역추적 시스템을 구축할 수 있다. 결과적으로, 상기 라우터 시스템을 구축하고 업데이트하기 위한 시간 및 비용이 감소할 수 있다. According to one embodiment of the invention, the
본 발명의 다른 실시예에 따르면, 외부 공격시 복수의 공격자들이 존재하면, 하나의 공격자 단말기가 추적된 후 다른 공격자 단말기가 추적되어야 한다. 따라서, 상기 에이전트 패킷 전송시 계속적으로 동일한 공격자 단말기를 추적하면 안되기 때문에, 검색된 공격자 단말기에 해당하는 엣지 라우터는 그의 라우팅 테이블에서 상기 공격자 단말기에 해당하는 확률을 삭제할 수도 있다. According to another embodiment of the present invention, if there are a plurality of attackers in an external attack, one attacker terminal should be tracked and then another attacker terminal should be tracked. Therefore, since the same attacker terminal should not be tracked continuously during the transmission of the agent packet, the edge router corresponding to the searched attacker terminal may delete the probability corresponding to the attacker terminal from its routing table.
본 발명의 또 다른 실시예에 따르면, 복수의 공격자들이 존재하면, 발견된 공격자 단말기에 해당하는 엣지 라우터는 에이전트 패킷 수신시 두번째로 큰 확률값에 해당하는 포트로 에이전트 패킷을 전달할 수도 있다. 결과적으로, 동일한 공격자 단말기가 연속적으로 검출되지 않게 된다. According to another embodiment of the present invention, if there are a plurality of attackers, the edge router corresponding to the found attacker terminal may forward the agent packet to the port corresponding to the second largest probability value upon receiving the agent packet. As a result, the same attacker terminal is not detected continuously.
도 7은 본 발명의 일 실시예에 따른 희생자 단말기의 구성을 도시한 블록도이다.7 is a block diagram showing the configuration of a victim terminal according to an embodiment of the present invention.
도 7을 참조하면, 본 실시예의 희생자 단말기(100)는 제어부(700), 송수신부(702), 공격 탐지부(704), 에이전트 패킷부(706), 응답 패킷부(708), 역추적부(710) 및 저장부(712)를 포함한다. Referring to FIG. 7, the
송수신부(702)는 입출력 패킷들의 전달 통로이다.The
공격 탐지부(704)는 DOS/DDOS 공격 등과 같은 외부 공격을 탐지하며, 탐지 방법에는 특별한 제한이 없다. The
에이전트 패킷부(706)는 공격 탐지부(704)에 의해 외부 공격 탐지시 에이전트 패킷을 생성하고, 상기 생성된 에이전트 패킷을 송수신부(702)를 통하여 엣지 라운터(110a)로 출력시킨다. The
또한, 에이전트 패킷부(706)는 타이머를 포함하여 기설정된 시간이 경과하는 지의 여부를 판단하며, 상기 기설정된 시간 동안 응답 패킷이 수신되지 않으면 상기 에이전트 패킷을 재전송한다. In addition, the
응답 패킷부(708)는 송수신부(702)를 통하여 수신된 패킷들의 헤더를 분석하여 응답 패킷을 검출하고 관리한다.The
역추적부(710)는 상기 응답 패킷을 분석하여 공격자 단말기(102)를 추적하며, 추적된 공격자 단말기(102)로부터 수신되는 패킷을 차단하는 기능 등을 수행할 수 있다. The
저장부(712)는 각종 데이터를 저장하며, 특히 에이전트 패킷, 응답 패킷 및 공격자 단말기(102)에 대한 정보를 저장할 수 있다. The
제어부(712)는 희생자 단말기(100)의 구성요소들의 동작을 전반적으로 제어한다.The
도 8은 본 발명의 일 실시예에 따른 라우터의 구성을 도시한 블록도이다. 8 is a block diagram showing the configuration of a router according to an embodiment of the present invention.
도 8을 참조하면, 본 실시예의 라우터(110)는 제어부(800), 송수신부(802), 역추적 테이블 관리부(804), 패킷 분석부(806), 에이전트 패킷 관리부(808), 응답 패킷 관리부(810) 및 저장부(812)를 포함한다. Referring to FIG. 8, the
송수신부(802)은 패킷의 전달 통로이다.The
역추적 테이블 관리부(804)는 상기 역추적 테이블을 생성하고 관리한다. 예를 들어, 역추적 테이블 관리부(804)는 상기 역추적 테이블을 주기적으로 업데이트할 수 있다. The
패킷 분석부(806)는 송수신부(802)를 통하여 입력되는 패킷들을 분석하여 에이전트 패킷 및 응답 패킷을 검출한다. 예를 들어, 패킷 분석부(806)는 상기 입력되는 패킷들의 헤더의 TOS 필드를 통하여 상기 에이전트 패킷 및 상기 응답 패킷을 검출한다. The
에이전트 패킷 관리부(808)는 패킷 분석부(806)의 분석을 통하여 에이전트 패킷이 검출되면, 상기 에이전트 패킷을 다음 라우터(110)로 전달한다.When the agent packet is detected through the analysis of the
응답 패킷 관리부(810)는 패킷 분석부(806)의 분석을 통하여 응답 패킷이 검출되면, 상기 응답 패킷을 다음 라우터(110) 또는 희생자 단말기(100)로 전달한다. When the response packet is detected through the analysis of the
저장부(812)는 각종 데이터를 저장하며, 특히 상기 역추적 테이블을 저장한다. The
제어부(800)는 라우터(110)의 구성요소들의 동작을 전반적으로 제어한다. The
상기한 본 발명의 실시예는 예시의 목적을 위해 개시된 것이고, 본 발명에 대한 통상의 지식을 가지는 당업자라면 본 발명의 사상과 범위 안에서 다양한 수정, 변경, 부가가 가능할 것이며, 이러한 수정, 변경 및 부가는 하기의 특허청구범위에 속하는 것으로 보아야 할 것이다. The embodiments of the present invention described above are disclosed for purposes of illustration, and those skilled in the art having ordinary knowledge of the present invention may make various modifications, changes, and additions within the spirit and scope of the present invention. Should be considered to be within the scope of the following claims.
100 : 희생자 단말기 102 : 공격자 단말기
104 : 사용자 단말기 110 : 라우터100: victim terminal 102: attacker terminal
104: user terminal 110: router
Claims (12)
상기 라우터들 중 제 1 라우터가 그의 역추적 테이블을 통하여 공격 경로로 예상되는 적어도 하나의 제 2 라우터를 결정하는 단계; 및
상기 제 1 라우터가 상기 희생자 단말기로부터 출력된 에이전트 패킷을 상기 결정된 제 2 라우터로 전송하는 단계를 포함하되,
상기 역추적 테이블은 패킷 전달 확률을 기록하고 있고, 상기 패킷 전달 확률은 특정 입력 포트를 통하여 입력된 총패킷량과 특정 출력 포트를 통하여 출력되는 패킷량의 비율이며, 상기 제 2 라우터는 상기 제 1 라우터에 해당하는 포트와 관련된 패킷 전달 확률들 중 최대 확률을 가지는 포트에 대응하는 라우터인 것을 특징으로 하는 라우터 시스템에서 공격자 단말기 역추적 방법. In the method for backtracking the attacker terminal in a router system comprising a victim terminal, an attacker terminal and routers,
Determining, by a first of the routers, at least one second router expected to be an attack path through its backtracking table; And
Sending, by the first router, an agent packet output from the victim terminal to the determined second router;
The traceback table records the packet forwarding probability, wherein the packet forwarding probability is a ratio of the total packet amount input through a specific input port and the packet amount output through a specific output port, and the second router transmits the first packet. An attacker terminal traceback method in a router system, characterized in that the router corresponding to the port having the maximum probability among the packet forwarding probabilities associated with the port corresponding to the router.
상기 제 2 라우터는 상기 에이전트 패킷의 수신에 따라 응답 패킷을 생성하는 것을 특징으로 하는 라우터 시스템에서 공격자 단말기 역추적 방법. The method of claim 1, wherein the second router is an edge router of the attacker terminal,
And the second router generates a response packet according to the reception of the agent packet.
희생자 단말기로부터 출력된 에이전트 패킷을 공격 경로로 예상되는 다음 라우터로 전송하는 에이전트 패킷 관리부; 및
상기 역추적 테이블 및 상기 에이전트 패킷 관리부의 동작을 제어하는 제어부를 포함하되,
상기 패킷 전달 확률은 상기 라우터의 특정 입력 포트를 통하여 입력된 총패킷량과 특정 출력 포트를 통하여 출력되는 패킷량의 비율이며, 상기 에이전트 패킷이 전송될 다음 라우터는 상기 라우터의 포트들에 해당하는 패킷 전달 확률들 중 최대 확률을 가지는 포트에 대응하는 라우터인 것을 특징으로 하는 라우터 시스템에서 공격자 단말기를 추적하기 위해 사용되는 라우터.
A backtracking table manager for managing a backtracking table that records packet forwarding probabilities;
An agent packet manager for transmitting the agent packet output from the victim terminal to the next router expected to attack; And
A control unit for controlling the operation of the traceback table and the agent packet manager,
The packet forwarding probability is a ratio of the total packet amount input through a specific input port of the router and the packet amount output through a specific output port, and the next router to which the agent packet is transmitted is a packet corresponding to the ports of the router. A router used to track an attacker's terminal in a router system, characterized in that the router corresponds to a port having the highest probability among the forwarding probabilities.
The router of claim 11, wherein the router is an edge router connected to a first attacker terminal, and when the first attacker terminal tracks a second attacker terminal after the first attacker terminal is tracked, the router is connected to the first attacker terminal in the traceback table. A router used to track an attacker's terminal in a router system, characterized by deleting the corresponding packet forwarding probability.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020100043028A KR101144368B1 (en) | 2010-05-07 | 2010-05-07 | Method of performing traceback of an attack terminal in a router system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020100043028A KR101144368B1 (en) | 2010-05-07 | 2010-05-07 | Method of performing traceback of an attack terminal in a router system |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020110142223A Division KR20120004391A (en) | 2011-12-26 | 2011-12-26 | Method of performing traceback of an attack terminal in a router system |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20110123508A KR20110123508A (en) | 2011-11-15 |
KR101144368B1 true KR101144368B1 (en) | 2012-05-10 |
Family
ID=45393659
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020100043028A KR101144368B1 (en) | 2010-05-07 | 2010-05-07 | Method of performing traceback of an attack terminal in a router system |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101144368B1 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101889500B1 (en) | 2014-03-07 | 2018-09-20 | 한국전자통신연구원 | Method and System for Network Connection-Chain Traceback using Network Flow Data |
KR20160118816A (en) | 2015-04-03 | 2016-10-12 | 한국전자통신연구원 | Method and apparatus for finding abnormal location on network |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20030052843A (en) * | 2001-12-21 | 2003-06-27 | 주식회사 케이티 | System and method for inverse tracing a intruder |
KR20040027705A (en) * | 2004-02-25 | 2004-04-01 | 이형우 | SVM Based Advanced Packet Marking Mechanism for Traceback AND Router |
KR100770354B1 (en) | 2006-08-03 | 2007-10-26 | 경희대학교 산학협력단 | Method for ip tracing-back of attacker in ipv6 network |
US7302705B1 (en) * | 2000-08-30 | 2007-11-27 | International Business Machines Corporation | Method and apparatus for tracing a denial-of-service attack back to its source |
-
2010
- 2010-05-07 KR KR1020100043028A patent/KR101144368B1/en not_active IP Right Cessation
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7302705B1 (en) * | 2000-08-30 | 2007-11-27 | International Business Machines Corporation | Method and apparatus for tracing a denial-of-service attack back to its source |
KR20030052843A (en) * | 2001-12-21 | 2003-06-27 | 주식회사 케이티 | System and method for inverse tracing a intruder |
KR20040027705A (en) * | 2004-02-25 | 2004-04-01 | 이형우 | SVM Based Advanced Packet Marking Mechanism for Traceback AND Router |
KR100770354B1 (en) | 2006-08-03 | 2007-10-26 | 경희대학교 산학협력단 | Method for ip tracing-back of attacker in ipv6 network |
Also Published As
Publication number | Publication date |
---|---|
KR20110123508A (en) | 2011-11-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Meier et al. | {NetHide}: Secure and practical network topology obfuscation | |
US9363277B2 (en) | Systems and methods for detecting and preventing flooding attacks in a network environment | |
Yi et al. | A case for stateful forwarding plane | |
US7805757B2 (en) | Control of communication session attributes in network employing firewall protection | |
US9065753B2 (en) | Lightweight packet-drop detection for ad hoc networks | |
US7596097B1 (en) | Methods and apparatus to prevent network mapping | |
US10931711B2 (en) | System of defending against HTTP DDoS attack based on SDN and method thereof | |
US8817792B2 (en) | Data forwarding method, data processing method, system and relevant devices | |
CN101699786A (en) | Method, device and system for detecting packet loss | |
US7506372B2 (en) | Method and apparatus for controlling connection rate of network hosts | |
CN101425942A (en) | Method, apparatus and system for bidirectional forwarding detection implementation | |
US10142210B2 (en) | In-line tool performance monitoring and adaptive packet routing | |
CN102546587B (en) | Prevent gateway system Session Resources by the method that maliciously exhausts and device | |
KR101144368B1 (en) | Method of performing traceback of an attack terminal in a router system | |
Alston et al. | Neutralizing interest flooding attacks in named data networks using cryptographic route tokens | |
Mizrak et al. | Detecting compromised routers via packet forwarding behavior | |
Baidya et al. | Link discovery attacks in software-defined networks: Topology poisoning and impact analysis | |
KR20170109949A (en) | Method and apparatus for enhancing network security in dynamic network environment | |
CN113676408B (en) | Routing method, system, device and storage medium for virtual private network | |
CN108769055A (en) | A kind of falseness source IP detection method and device | |
KR20120004391A (en) | Method of performing traceback of an attack terminal in a router system | |
Thing et al. | Locating network domain entry and exit point/path for DDoS attack traffic | |
KR101914831B1 (en) | SDN to prevent an attack on the host tracking service and controller including the same | |
KR20210066432A (en) | Method for detecting and mitigating interest flooding attack through collaboration between edge routers in Named Data Networking(NDN) | |
JP3141852B2 (en) | Round-trip path detecting method, apparatus using the same, and recording medium storing the program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E90F | Notification of reason for final refusal | ||
A107 | Divisional application of patent | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20160418 Year of fee payment: 5 |
|
LAPS | Lapse due to unpaid annual fee |