KR101144368B1 - Method of performing traceback of an attack terminal in a router system - Google Patents

Method of performing traceback of an attack terminal in a router system Download PDF

Info

Publication number
KR101144368B1
KR101144368B1 KR1020100043028A KR20100043028A KR101144368B1 KR 101144368 B1 KR101144368 B1 KR 101144368B1 KR 1020100043028 A KR1020100043028 A KR 1020100043028A KR 20100043028 A KR20100043028 A KR 20100043028A KR 101144368 B1 KR101144368 B1 KR 101144368B1
Authority
KR
South Korea
Prior art keywords
router
packet
terminal
attacker
traceback
Prior art date
Application number
KR1020100043028A
Other languages
Korean (ko)
Other versions
KR20110123508A (en
Inventor
정재일
임홍빈
Original Assignee
한양대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한양대학교 산학협력단 filed Critical 한양대학교 산학협력단
Priority to KR1020100043028A priority Critical patent/KR101144368B1/en
Publication of KR20110123508A publication Critical patent/KR20110123508A/en
Application granted granted Critical
Publication of KR101144368B1 publication Critical patent/KR101144368B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Abstract

본 발명은 라우터 시스템에서 공격자 단말기를 IP 역추적하는 방법에 관한 것이다. 희생자 단말기, 공격자 단말기 및 라우터들을 포함하는 라우터 시스템에서 상기 공격자 단말기를 역추적하는 방법은 상기 라우터들 중 제 1 라우터가 그의 역추적 테이블을 통하여 공격 경로로 예상되는 제 2 라우터를 결정하는 단계 및 상기 제 1 라우터가 상기 희생자 단말기로부터 출력된 에이전트 패킷을 상기 결정된 제 2 라우터로 전송하는 단계를 포함한다. 여기서, 상기 역추적 테이블은 패킷 전달 확률을 기록하고 있고, 상기 패킷 전달 확률은 특정 입력 포트를 통하여 입력된 총패킷량과 특정 출력 포트를 통하여 출력되는 패킷량의 비율이며, 상기 제 2 라우터는 상기 제 1 라우터에 해당하는 포트와 관련된 패킷 전달 확률들 중 최대 확률을 가지는 포트에 대응하는 라우터이다.The present invention relates to a method for IP traceback of an attacker terminal in a router system. The method of backtracking an attacker terminal in a router system comprising a victim terminal, an attacker terminal and routers comprises the steps of: determining, by the first of the routers, a second router expected to be an attack path through its backtracking table; Sending, by the first router, an agent packet output from the victim terminal to the determined second router. Here, the traceback table records the packet forwarding probability, wherein the packet forwarding probability is a ratio of the total packet amount input through a specific input port and the packet amount output through a specific output port, and the second router provides the A router corresponding to a port having a maximum probability among packet forwarding probabilities associated with a port corresponding to the first router.

Description

라우터 시스템에서 공격자 단말기 역추적 방법{METHOD OF PERFORMING TRACEBACK OF AN ATTACK TERMINAL IN A ROUTER SYSTEM}How to trace back attacker's terminal in router system {METHOD OF PERFORMING TRACEBACK OF AN ATTACK TERMINAL IN A ROUTER SYSTEM}

본 발명은 라우터 시스템에서 공격자 단말기를 IP 역추적하는 방법에 관한 것이다. The present invention relates to a method for IP traceback of an attacker terminal in a router system.

오늘날 전세계적으로 네트워크가 연결되어 있으며, 인터넷이 네트워크 연결을 위한 주 통신 매체로서 역할을 수행하고 있다. Today, networks are connected worldwide, and the Internet serves as the main communication medium for network connectivity.

그러나, 인터넷 프로토콜이 단순하기 때문에 보안에 취약점을 가지고 있으며, 그 결과 DoS(Denial of Service) 공격/DDoS(Distributed Denial of Service) 공격 등과 같은 외부 공격이 자주 발생하고 있다. However, because of the simplicity of the Internet protocol, it is vulnerable to security, and as a result, external attacks such as Denial of Service (DoS) attacks and Distributed Denial of Service (DDoS) attacks frequently occur.

이러한 DoS/DDoS 공격이 발생하면 특정 서버나 임의의 노드의 기능이 마비되어 서비스가 방해될 수 있다. 또한, 일반적으로 특정 희생자에게 대량의 패킷을 전송하기 때문에, 상기 희생자의 시스템이 다운되거나 네트워크 자원이 고갈될 수 있었다. 결과적으로, 상기 희생자의 시스템이 정상적으로 동작하지 못하게 되었다. When such a DoS / DDoS attack occurs, the function of a specific server or an arbitrary node may be paralyzed and the service may be interrupted. In addition, since a large number of packets are generally sent to a particular victim, the victim's system may be down or network resources may be exhausted. As a result, the victim's system was unable to operate normally.

특히, DoS/DDoS 공격시 공격자가 자신의 IP 주소를 속여서 사용하기 때문에 실제 공격자의 IP 주소를 추적하는 것이 매우 어려운 문제점이 있다. In particular, since DoS / DDoS attacks use the attacker to trick their IP address, it is very difficult to track the actual attacker's IP address.

물론, 현재 공격자의 IP를 추적하는 다양한 방법들이 존재하긴 하지만, IP 주소를 추적하는 과정이 복잡하거나 소요되는 시간이 오래 걸리는 등 많은 문제점이 있어서 비효율적이다. Of course, there are various methods of tracking an attacker's IP at present, but it is inefficient because there are many problems such as the process of tracking an IP address is complicated or takes a long time.

따라서, 공격자의 IP를 효율적으로 추적할 수 있는 시스템이 요구된다. Therefore, there is a need for a system that can efficiently track an attacker's IP.

본 발명의 목적은 라우터 시스템에서 DoS/DDoS 공격 등과 같은 외부 공격시 공격자의 실제 위치를 효율적으로 역추적하는 방법을 제공하는 것이다.SUMMARY OF THE INVENTION An object of the present invention is to provide a method for efficiently backtracking the actual location of an attacker in an external attack such as a DoS / DDoS attack in a router system.

상기한 바와 같은 목적을 달성하기 위하여, 본 발명의 일 태양에 따른 희생자 단말기, 공격자 단말기 및 라우터들을 포함하는 라우터 시스템에서 상기 공격자 단말기를 역추적하는 방법은 상기 라우터들 중 제 1 라우터가 그의 역추적 테이블을 통하여 공격 경로로 예상되는 제 2 라우터를 결정하는 단계; 및 상기 제 1 라우터가 상기 희생자 단말기로부터 출력된 에이전트 패킷을 상기 결정된 제 2 라우터로 전송하는 단계를 포함한다. 여기서, 상기 역추적 테이블은 패킷 전달 확률을 기록하고 있고, 상기 패킷 전달 확률은 특정 입력 포트를 통하여 입력된 총패킷량과 특정 출력 포트를 통하여 출력되는 패킷량의 비율이며, 상기 제 2 라우터는 상기 제 1 라우터에 해당하는 포트와 관련된 패킷 전달 확률들 중 최대 확률을 가지는 포트에 대응하는 라우터이다. In order to achieve the object as described above, a method for backtracking the attacker terminal in a router system comprising a victim terminal, an attacker terminal and routers in accordance with an aspect of the present invention, the first of the routers trace back Determining a second router expected to be an attack path through the table; And sending, by the first router, an agent packet output from the victim terminal to the determined second router. Here, the traceback table records the packet forwarding probability, wherein the packet forwarding probability is a ratio of the total packet amount input through a specific input port and the packet amount output through a specific output port, and the second router provides the A router corresponding to a port having a maximum probability among packet forwarding probabilities associated with a port corresponding to the first router.

본 발명의 다른 태양에 따른 라우터 시스템에서 공격자 단말기를 추적하기 위해 사용되는 라우터는 패킷 전달 확률을 기록하고 있는 역추적 테이블을 관리하는 역추적 테이블 관리부; 희생자 단말기로부터 출력된 에이전트 패킷을 공격 경로로 예상되는 다음 라우터로 전송하는 에이전트 패킷 관리부; 및 상기 역추적 테이블 및 상기 에이전트 패킷 관리부의 동작을 제어하는 제어부를 포함한다. 여기서, 상기 패킷 전달 확률은 상기 라우터의 특정 입력 포트를 통하여 입력된 총패킷량과 특정 출력 포트를 통하여 출력되는 패킷량의 비율이며, 상기 에이전트 패킷이 전송될 다음 라우터는 상기 라우터의 포트들에 해당하는 패킷 전달 확률들 중 최대 확률을 가지는 포트에 대응하는 라우터이다.A router used to track an attacker terminal in a router system according to another aspect of the present invention includes a traceback table manager for managing a traceback table that records packet forwarding probabilities; An agent packet manager for transmitting the agent packet output from the victim terminal to the next router expected to attack; And a controller for controlling the operation of the traceback table and the agent packet manager. Here, the packet forwarding probability is a ratio of the total packet amount input through the specific input port of the router and the packet amount output through the specific output port, and the next router to which the agent packet is transmitted corresponds to the ports of the router. A router corresponding to a port having a maximum probability among packet forwarding probabilities.

삭제delete

본 발명의 라우터 시스템에서 공격자를 역추적하는 방법은 DoS/DDoS 공격 등과 같은 외부 공격 발생시 에이전트 패킷을 통하여 공격자를 역추적하며, 따라서 공격자가 그의 IP 주소를 속여서 공격할 지라도 상기 공격자를 정확하면서도 신속하게 추적할 수 있는 장점이 있다. In the router system of the present invention, the attacker traces back an attacker through an agent packet when an external attack such as a DoS / DDoS attack occurs, so that the attacker can be accurately and quickly even if the attacker cheats his IP address. It has the advantage of being tracked.

또한, 본 실시예의 역추적 기법을 확장하여 적용하면 공격자가 아니더라도 트래픽이 많이 발생하는 위치를 추적할 수 있으므로, 네트워크 트래픽이 정확하게 모니터링될 수 있다. In addition, if the backtracking technique of this embodiment is extended and applied, network traffic can be accurately monitored since a location where a lot of traffic is generated can be tracked even if not an attacker.

게다가, 상기 라우터가 역추적 테이블 및 에이전트 패킷을 구별하는 로직을 소프트웨어적으로 구현할 수 있으므로, 역추적 시스템을 구축하기 위하여 기존에 설치된 라우터를 새로운 라우터로 교체할 필요가 없었다. 즉, 상기 라우터들에 역추적용 소프트웨어만을 설치하여 역추적 시스템을 구현할 수 있으며, 따라서 상기 역추적 시스템의 구축이 용이하고 구축에 소요되는 비용이 상당히 절감될 수 있다.
In addition, since the router can implement software logic for distinguishing the traceback table and the agent packet, there is no need to replace the existing router with a new router to build the traceback system. That is, the backtracking system can be implemented by installing only the backtracking software in the routers, so that the backtracking system can be easily constructed and the cost required for the construction can be significantly reduced.

도 1은 본 발명의 일 실시예에 따른 역추적 기능을 가지는 라우터 시스템을 도시한 도면이다.
도 2는 본 발명의 일 실시예에 따른 역추적 테이블을 생성하는 과정을 도시한 순서도이다.
도 3은 본 발명의 일 실시예에 따른 라우터 시스템에서 IP 역추적 과정을 도시한 순서도이다.
도 4는 본 발명의 일 실시예에 따른 에이전트 패킷의 헤더를 도시한 블록도이다.
도 5는 본 발명의 일 실시예에 따른 응답 패킷의 헤더를 도시한 블록도이다.
도 6은 본 발명의 일 실시예에 따른 역추적 테이블을 도시한 도면이다.
도 7은 본 발명의 일 실시예에 따른 희생자 단말기의 구성을 도시한 블록도이다.
도 8은 본 발명의 일 실시예에 따른 라우터의 구성을 도시한 블록도이다. 1 is a diagram illustrating a router system having a backtracking function according to an embodiment of the present invention.
2 is a flowchart illustrating a process of generating a backtracking table according to an embodiment of the present invention.
3 is a flowchart illustrating an IP traceback process in a router system according to an embodiment of the present invention.
4 is a block diagram illustrating a header of an agent packet according to an embodiment of the present invention.
5 is a block diagram illustrating a header of a response packet according to an embodiment of the present invention.
6 is a diagram illustrating a backtracking table according to an embodiment of the present invention.
7 is a block diagram showing the configuration of a victim terminal according to an embodiment of the present invention.
8 is a block diagram showing the configuration of a router according to an embodiment of the present invention.

이하에서는 첨부된 도면들을 참조하여 본 발명의 실시예들을 자세히 설명하도록 한다. Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일 실시예에 따른 역추적 기능을 가지는 라우터 시스템을 도시한 도면이다. 1 is a diagram illustrating a router system having a backtracking function according to an embodiment of the present invention.

도 1을 참조하면, 본 실시예의 라우터 시스템은 DOS/DDOS 공격 등과 같은 외부 공격 발생시 공격자를 역추적하는 기능을 구현하고 있으며, 희생자 단말기(100), 공격자 단말기(102), 일반 사용자 단말기(104) 및 복수의 라우터들(Routers, 110)을 포함한다. 여기서, 희생자 단말기(100)는 상기 외부 공격을 받은 단말기를 의미하며, 공격자 단말기(102)는 희생자 단말기(100)로 공격을 시도한 단말기를 의미한다. 물론, DOS/DDOS 공격시 상기 라우터 시스템에는 복수의 공격자 단말기들(102)이 존재할 수 있다. 다만, 설명의 편의를 위하여 이하 하나의 공격자 단말기(102)만이 상기 라우터 시스템에 존재하는 것으로 가정한다. Referring to FIG. 1, the router system of the present embodiment implements a function of tracing an attacker when an external attack such as a DOS / DDOS attack occurs, and the victim terminal 100, the attacker terminal 102, and the general user terminal 104. And a plurality of routers 110. Here, the victim terminal 100 refers to a terminal which has been subjected to the external attack, and the attacker terminal 102 refers to a terminal that attempts to attack the victim terminal 100. Of course, a plurality of attacker terminals 102 may exist in the router system during a DOS / DDOS attack. However, for convenience of explanation, it is assumed that only one attacker terminal 102 exists in the router system.

공격자 단말기(102)가 희생자 단말기(100)를 공격할 경우, 공격자 단말기(102)는 복잡한 경로로 희생자 단말기(100)를 공격하며, 즉 공격자 단말기(102)로부터 출력된 패킷들이 복잡한 경로의 라우터들(110)을 통하여 희생자 단말기(100)로 전송된다. When the attacker terminal 102 attacks the victim terminal 100, the attacker terminal 102 attacks the victim terminal 100 in a complicated path, that is, the packets output from the attacker terminal 102 are routers of the complicated path. It is transmitted to the victim terminal 100 through 110.

따라서, 이러한 경로를 역추적하는 것이 중요하며, 본 발명의 라우터 시스템은 상기 경로를 효율적으로 역추적하는 방법을 제시한다. Therefore, it is important to trace back these paths, and the router system of the present invention proposes a method for efficiently backtracking the paths.

본 발명의 일 실시예에 따르면, 공격자 단말기(102)를 역추적하기 위하여, 각 라우터들(110)이 역추적 테이블을 가지도록 구현하고, 희생자 단말기(100)가 에이전트 패킷(Agent Packet)을 생성하여 출력하도록 구현한다. According to an embodiment of the present invention, in order to trace back the attacker terminal 102, each router 110 is implemented to have a traceback table, and the victim terminal 100 generates an Agent Packet. Implement to output

이하, 공격자 단말기(102)를 역추적하는 과정을 첨부된 도면들을 참조하여 상술하겠다. Hereinafter, a process of backtracking the attacker terminal 102 will be described with reference to the accompanying drawings.

우선, 라우터(110)가 그의 역추적 테이블을 생성하는 과정을 살펴보겠다.First, we will look at the process of the router 110 generates its backtracking table.

도 2는 본 발명의 일 실시예에 따른 역추적 테이블을 생성하는 과정을 도시한 순서도이다.2 is a flowchart illustrating a process of generating a backtracking table according to an embodiment of the present invention.

도 2를 참조하면, 각 라우터들(110)은 입출력 포트들로 입출력되는 패킷들을 모니터링하여 입력 포트들로 입력되는 패킷량과 출력 포트들로 출력되는 패킷량을 검출한다(S200). 여기서, 상기 패킷량 검출은 특정 기간 단위로 수행될 수 있다. Referring to FIG. 2, each of the routers 110 monitors packets input / output to input / output ports to detect a packet amount input to input ports and a packet amount output to output ports (S200). Here, the packet amount detection may be performed in a specific period unit.

이어서, 각 라우터들(110)은 그의 입출력 포트(인터페이스)별로 확률을 계산한다(S202). 구체적으로는, 각 라우터들(110)은 제 N (1이상의 정수) 입력 포트로 입력된 패킷들이 제 M (1이상의 정수) 출력 포트로 출력되는 확률(패킷 전달 확률)을 계산한다. Subsequently, each router 110 calculates a probability for each input / output port (interface) thereof (S202). Specifically, each of the routers 110 calculates a probability (packet forwarding probability) at which packets inputted to an Nth (integer of 1) input port are outputted to an Mth (integer of 1 or more) output port.

예를 들어, 라우터(110d)가 4개의 포트들을 가지고 있다고 가정하면, 제 1 포트로 입력된 패킷은 제 2 포트 내지 제 4 포트 중 적어도 하나의 포트로 출력된다. 따라서, 라우터(110d)는 상기 제 1 포트로 입력된 패킷이 제 2 포트로 출력되는 확률(P12), 상기 제 1 포트로 입력된 패킷이 제 3 포트로 출력되는 확률(P13) 및 상기 제 1 포트로 입력된 패킷이 제 4 포트로 출력되는 확률(P14)을 계산한다. 결과적으로, 확률(P12), 확률(P13) 및 확률(P14)의 합은 1이 된다. For example, assuming that the router 110d has four ports, a packet input to the first port is output to at least one of the second to fourth ports. Accordingly, the router 110d may include a probability P 12 of outputting a packet input to the first port to a second port, a probability P 13 of outputting a packet input to the first port to a third port, and the The probability P 14 that the packet inputted to the first port is outputted to the fourth port is calculated. As a result, the sum of the probability P 12 , the probability P 13 , and the probability P 14 is one.

각 라우터들(110)은 위와 같은 방식으로 각 포트들에 대한 입출력량을 모니터링하여 입출력 포트별로 확률을 계산한다. Each router 110 calculates the probability for each input / output port by monitoring the input / output amount for each port in the above manner.

계속하여, 각 라우터들(110)은 위와 같은 확률을 역추적 테이블에 기록하여 도 6에 도시된 바와 같은 역추적 테이블을 생성한다(S204). Subsequently, each of the routers 110 records the above probability in the traceback table to generate a traceback table as shown in FIG. 6 (S204).

요컨대, 본 실시예의 각 라우터들(110)은 입출력 포트별로 패킷 전달 확률을 기록한 역추적 테이블을 생성하고 저장하며 이후의 역추적 과정에 활용한다. In other words, each of the routers 110 of the present embodiment generates and stores a backtracking table that records packet forwarding probabilities for each input / output port and utilizes the following backtracking process.

다음으로, IP 역추적 과정을 첨부된 도면들을 참조하여 상술하겠다. Next, the IP traceback process will be described in detail with reference to the accompanying drawings.

도 3은 본 발명의 일 실시예에 따른 라우터 시스템에서 IP 역추적 과정을 도시한 순서도이고, 도 4는 본 발명의 일 실시예에 따른 에이전트 패킷의 헤더를 도시한 블록도이다. 도 5는 본 발명의 일 실시예에 따른 응답 패킷의 헤더를 도시한 블록도이며, 도 6은 본 발명의 일 실시예에 따른 역추적 테이블을 도시한 도면이다.3 is a flowchart illustrating an IP traceback process in a router system according to an embodiment of the present invention, and FIG. 4 is a block diagram illustrating a header of an agent packet according to an embodiment of the present invention. 5 is a block diagram illustrating a header of a response packet according to an embodiment of the present invention, and FIG. 6 is a diagram illustrating a backtracking table according to an embodiment of the present invention.

희생자 단말기(100)는 DOS/DDOS 공격 등 외부 공격을 탐지한다(S300). 물론, 희생자 단말기(100)가 외부 공격 탐지시 입력 패킷들을 차단하는 등의 동작을 수행할 수 있다. The victim terminal 100 detects an external attack such as a DOS / DDOS attack (S300). Of course, the victim terminal 100 may perform an operation such as blocking input packets when the external attack is detected.

이어서, 희생자 단말기(100)는 외부 공격 탐지시 자신의 IP 주소를 근원지 주소로 하는 에이전트 패킷을 생성하고 상기 생성된 에이전트 패킷을 그와 연결된 엣지 라우터(110a)로 출력한다(S302). Subsequently, when detecting an external attack, the victim terminal 100 generates an agent packet having its IP address as a source address and outputs the generated agent packet to the edge router 110a connected thereto (S302).

본 발명의 일 실시예에 따르면, 상기 에이전트 패킷의 IP 헤더는 도 4에 도시된 구조를 가질 수 있다. 구체적으로는, 상기 IP 헤더는 Vers 필드, IHL 필드, TOS 필드 등을 가질 수 있으며, 상기 에이전트 패킷이 역추적을 위한 패킷임을 알리는 정보는 TOS 필드의 하위 2비트(400 및 402) 중 하나에 포함될 수 있다. 예를 들어, 1이 TOS 필드 중 하위 비트(400)에 기록될 수 있다. 따라서, 라우터들(110)은 상기 에이전트 패킷의 IP 헤더의 TOS 필드를 통하여 역추적 패킷임을 인지하고, 후술하는 바와 같은 역추적 동작을 수행할 수 있다. According to an embodiment of the present invention, the IP header of the agent packet may have a structure shown in FIG. Specifically, the IP header may have a Vers field, an IHL field, a TOS field, and the like, and information indicating that the agent packet is a packet for traceback is included in one of the lower two bits 400 and 402 of the TOS field. Can be. For example, 1 may be recorded in the lower bit 400 of the TOS field. Accordingly, the routers 110 may recognize that the packet is a backtracking packet through the TOS field of the IP header of the agent packet and perform a backtracking operation as described below.

물론, 상기 에이전트 패킷이 역추적 패킷임을 알리는 방법에는 특별한 제한이 없다. 예를 들어, TOS 필드의 하위 2비트들(400 및 402) 모두에 1을 기록할 수도 있고, TOS 필드가 아닌 다른 필드 또는 헤더가 아닌 데이터 영역에 역추적 패킷임을 알리는 정보를 포함하여 구현할 수도 있다. Of course, there is no particular limitation on the method of notifying that the agent packet is a traceback packet. For example, 1 may be written in both the lower 2 bits 400 and 402 of the TOS field, or may be implemented by including information indicating that the packet is a traceback packet in a data area other than a header or a field other than the TOS field. .

계속하여, 엣지 라우터(110a)는 그의 역추적 테이블을 통하여 상기 에이전트 패킷을 전달할 라우터를 결정한다(S304). Subsequently, the edge router 110a determines a router to forward the agent packet through its backtracking table (S304).

본 발명의 일 실시예에 따르면, 엣지 라우터(110a)는 상기 에이전트 패킷이 전달된 포트로 패킷들을 가장 많이 전달한 입력 포트(확률이 가장 큰 포트)에 해당하는 라우터(110)를 상기 에이전트 패킷이 전달될 다음 라우터(110)로 결정한다. According to an embodiment of the present invention, the edge router 110a forwards the agent packet to the router 110 corresponding to the input port (the most probable port) that has delivered the most packets to the port to which the agent packet is forwarded. Decide on the next router 110 to be.

예를 들어, 엣지 라우터(110a)가 N (1이상의 정수)개의 포트들을 가진 경우, 엣지 라우터(110a)의 역추적 테이블은 도 6에 도시된 바와 같은 구조를 가진다. 이 경우, 상기 에이전트 패킷이 4번 포트를 통하여 희생자 단말기(110)로부터 엣지 라우터(110a)로 전달되었다고 가정하면, 엣지 라우터(110a)는 P14, P24, P34, P54, ..., PN4 중 가장 큰 확률을 선택하고, 상기 가장 큰 확률에 해당하는 포트를 검출한다. 그런 후, 엣지 라우터(110a)는 상기 검출된 포트와 연결된 라우터(110)를 다음 라우터로 결정한다. 예를 들어, P34가 가장 큰 확률을 가지는 경우 3번 포트와 연결된 라우터, 예를 들어 110c를 다음 라우터로 결정한다. 물론, 확률값이 동일하면 복수의 포트들이 검출될 수도 있으며, 이 경우 검출된 복수의 포트들에 해당하는 라우터들을 다음 라우터들로 결정한다. For example, if the edge router 110a has N (an integer of 1 or more) ports, the backtracking table of the edge router 110a has a structure as shown in FIG. In this case, assuming that the agent packet is delivered from the victim terminal 110 to the edge router 110a through the port 4, the edge router 110a is P 14 , P 24 , P 34 , P 54 , ... , P N4 selects the largest probability, and detects a port corresponding to the largest probability. Then, the edge router 110a determines the router 110 connected to the detected port as the next router. For example, if P 34 has the greatest probability, the router connected to port 3, for example, 110c, is determined as the next router. Of course, if the probability values are the same, a plurality of ports may be detected. In this case, routers corresponding to the detected plurality of ports are determined as next routers.

다음 라우터(110c)가 결정되면, 엣지 라우터(110a)는 희생자 단말기(100)로부터 전송된 에이전트 패킷을 다음 라우터(110c)로 전송한다. 물론, 복수의 라우터들(110)이 결정되면 에이전트 패킷을 복수의 라우터들(110)로 전송한다. When the next router 110c is determined, the edge router 110a transmits the agent packet transmitted from the victim terminal 100 to the next router 110c. Of course, when the plurality of routers 110 are determined, the agent packet is transmitted to the plurality of routers 110.

위와 같이 역추적 테이블을 이용한 방법을 통하여 계속적으로 라우터들(110)을 추적하며, 즉 계속적으로 역추적 동작을 수행한다. As described above, the routers 110 are continuously tracked through the method using the backtracking table, that is, the backtracking operation is continuously performed.

상기 역추적시, 현재 라우터(110)가 공격자 단말기(102)와 연결된 엣지 라우터(110g)인지의 여부가 판단된다(S308). 구체적으로는, 라우터(110)가 그의 역추적 테이블을 통하여 역추적 경로를 추적한 결과 상기 에이전트 패킷이 전달될 장치가 라우터(110)가 아닌 사용자 단말기로 결정되면, 라우터(110)는 상기 결정된 단말기를 공격자 단말기라 판단하고 자신이 상기 공격자 단말기의 엣지 라우터임을 인식한다. At the time of the backtracking, it is determined whether the current router 110 is the edge router 110g connected to the attacker terminal 102 (S308). Specifically, when the router 110 tracks the traceback path through its traceback table and determines that the device to which the agent packet is to be transmitted is a user terminal other than the router 110, the router 110 determines the determined terminal. It is determined that the attacker terminal and recognizes that it is the edge router of the attacker terminal.

즉, 공격자 단말기(102)의 엣지 라우터(110g)가 검출될 때까지 역추적 과정이 계속적으로 수행된다. 구체적으로는, S308에서 엣지 라우터(110g)가 아니라고 판단되면, 단계 S304가 다시 수행되어 엣지 라우터(110g)를 계속적으로 추적한다. That is, the backtracking process is continuously performed until the edge router 110g of the attacker terminal 102 is detected. Specifically, if it is determined in S308 that it is not the edge router 110g, step S304 is performed again to continuously track the edge router 110g.

반면에, 자신이 공격자 단말기(102)의 엣지 라우터(110g)라고 판단되면, 엣지 라우터(110g)는 응답 패킷을 생성하고 상기 생성된 응답 패킷을 상기 에이전트 패킷이 입력된 포트를 통하여 다음 라우터(110)로 출력한다(S310). On the other hand, if it is determined that the edge router (110g) of the attacker terminal 102, the edge router (110g) generates a response packet and the generated response packet to the next router 110 through the port in which the agent packet is input. Output in step S310.

본 발명의 일 실시예에 따르면, 상기 응답 패킷은 도 5에 도시된 바와 같은 구조를 가질 수 있다. 특히, 상기 응답 패킷이 상기 에이전트 패킷에 대한 응답임을 알리는 정보가 IP 헤더의 TOS 필드 중 하위 2비트(500 및 502) 중 하나에 포함될 수 있다. 예를 들어, 1이 TOS 필드 중 하위 비트(502)에 기록될 수 있다. 따라서, 라우터들(110)은 상기 응답 패킷의 IP 헤더의 TOS 필드를 통하여 상기 응답 패킷이 상기 역추적 패킷에 대한 응답임을 인지할 수 있다. According to an embodiment of the present invention, the response packet may have a structure as shown in FIG. 5. In particular, information indicating that the response packet is a response to the agent packet may be included in one of the lower two bits 500 and 502 of the TOS field of the IP header. For example, 1 may be written to the lower bit 502 of the TOS field. Accordingly, the routers 110 may recognize that the response packet is a response to the traceback packet through the TOS field of the IP header of the response packet.

이어서, 라우터들(110)은 상기 응답 패킷을 확인한 후 상기 응답 패킷을 상기 에이전트 패킷이 전달된 포트를 통하여 상기 응답 패킷을 전송하며, 그 결과 상기 응답 패킷이 상기 에이전트 패킷을 현재 라우터(110)로 전송하였던 직전 라우터(110)로 전달된다. Subsequently, the routers 110 confirm the response packet and then transmit the response packet through the port through which the agent packet is delivered, so that the response packet forwards the agent packet to the current router 110. It is delivered to the router 110 just before the transmission.

이와 같은 방법을 계속적으로 수행하면 최종적으로는 상기 응답 패킷이 희생자 단말기(100)로 전달되게 된다. If the method is continuously performed, the response packet is finally delivered to the victim terminal 100.

다만, 희생자 단말기(100)는 상기 에이전트 패킷을 출력한 후 기설정 시간이 경과할 때까지 상기 응답 패킷이 수신되는 지의 여부를 판단한다(S312). However, the victim terminal 100 determines whether the response packet is received until a preset time elapses after outputting the agent packet (S312).

상기 기설정된 시간 동안 상기 응답 패킷이 수신되지 않으면, 희생자 단말기(100)는 상기 에이전트 패킷을 엣지 라우터(110a)로 다시 전송하여 역추적을 다시 수행한다.If the response packet is not received during the preset time, the victim terminal 100 transmits the agent packet back to the edge router 110a to perform backtracking again.

반면에, 상기 기설정된 시간 동안 상기 응답 패킷이 수신되면 공격자 단말기(102)가 검출된 것이므로, 상기 역추적 과정을 종료한다. On the other hand, if the response packet is received during the predetermined time, the attacker terminal 102 is detected, so that the backtracking process is terminated.

즉, 희생자 단말기(100)는 공격자 단말기(102)가 추적될때까지 상기 에이전트 패킷을 주기적으로 출력시킨다. That is, the victim terminal 100 periodically outputs the agent packet until the attacker terminal 102 is tracked.

요컨대, 본 실시예의 라우터 시스템은 상기 역추적 패킷을 전달하는 방식을 통하여 공격자 단말기(102)를 추적한다. In short, the router system of the present embodiment tracks the attacker terminal 102 through the method of forwarding the traceback packet.

위와 같이 상기 역추적 테이블 및 상기 역추적 패킷을 이용하여 공격자 단말기(102)를 추적하면, 공격자 단말기(102)가 그의 IP 주소를 속여서 공격한 경우에도 공격자 단말기(102)를 정확하고 신속하게 추적할 수 있다. By tracking the attacker terminal 102 using the traceback table and the traceback packet as described above, even if the attacker terminal 102 cheated his IP address, the attacker terminal 102 can be accurately and quickly tracked. Can be.

또한, 본 실시예의 역추적 기법을 확장하여 적용하면, 공격자는 아니더라도 트래픽을 많이 발생시키는 단말기의 위치를 추적할 수 있다. 즉, 상기 역추적 기법을 네트워크 트래픽 모니터링에도 활용할 수 있다. In addition, if the backtracking technique of the present embodiment is extended and applied, it is possible to track the location of the terminal generating a lot of traffic even if it is not an attacker. That is, the backtracking technique can also be used for network traffic monitoring.

본 발명의 일 실시예에 따르면, 라우터(110)는 그의 역추적 테이블 및/또는 상기 에이전트 패킷을 구별하는 로직을 소프트웨어적으로 구현할 수 있다. 따라서, 본 발명의 역추적 방법을 적용하기 위하여 기존에 설치된 라우터들(110)을 교체할 필요없이 라우터들(110)에 역추적용 소프트웨어를 설치하여 역추적 시스템을 구축할 수 있다. 결과적으로, 상기 라우터 시스템을 구축하고 업데이트하기 위한 시간 및 비용이 감소할 수 있다. According to one embodiment of the invention, the router 110 may implement software in logic to distinguish its traceback table and / or the agent packet. Therefore, in order to apply the backtracking method of the present invention, the backtracking system can be constructed by installing the backtracking software on the routers 110 without replacing the existing routers 110. As a result, time and cost for building and updating the router system can be reduced.

본 발명의 다른 실시예에 따르면, 외부 공격시 복수의 공격자들이 존재하면, 하나의 공격자 단말기가 추적된 후 다른 공격자 단말기가 추적되어야 한다. 따라서, 상기 에이전트 패킷 전송시 계속적으로 동일한 공격자 단말기를 추적하면 안되기 때문에, 검색된 공격자 단말기에 해당하는 엣지 라우터는 그의 라우팅 테이블에서 상기 공격자 단말기에 해당하는 확률을 삭제할 수도 있다. According to another embodiment of the present invention, if there are a plurality of attackers in an external attack, one attacker terminal should be tracked and then another attacker terminal should be tracked. Therefore, since the same attacker terminal should not be tracked continuously during the transmission of the agent packet, the edge router corresponding to the searched attacker terminal may delete the probability corresponding to the attacker terminal from its routing table.

본 발명의 또 다른 실시예에 따르면, 복수의 공격자들이 존재하면, 발견된 공격자 단말기에 해당하는 엣지 라우터는 에이전트 패킷 수신시 두번째로 큰 확률값에 해당하는 포트로 에이전트 패킷을 전달할 수도 있다. 결과적으로, 동일한 공격자 단말기가 연속적으로 검출되지 않게 된다. According to another embodiment of the present invention, if there are a plurality of attackers, the edge router corresponding to the found attacker terminal may forward the agent packet to the port corresponding to the second largest probability value upon receiving the agent packet. As a result, the same attacker terminal is not detected continuously.

도 7은 본 발명의 일 실시예에 따른 희생자 단말기의 구성을 도시한 블록도이다.7 is a block diagram showing the configuration of a victim terminal according to an embodiment of the present invention.

도 7을 참조하면, 본 실시예의 희생자 단말기(100)는 제어부(700), 송수신부(702), 공격 탐지부(704), 에이전트 패킷부(706), 응답 패킷부(708), 역추적부(710) 및 저장부(712)를 포함한다. Referring to FIG. 7, the victim terminal 100 of the present embodiment includes a control unit 700, a transceiver 702, an attack detection unit 704, an agent packet unit 706, a response packet unit 708, and a traceback unit. 710 and storage 712.

송수신부(702)는 입출력 패킷들의 전달 통로이다.The transceiver 702 is a transmission path for input and output packets.

공격 탐지부(704)는 DOS/DDOS 공격 등과 같은 외부 공격을 탐지하며, 탐지 방법에는 특별한 제한이 없다. The attack detection unit 704 detects an external attack such as a DOS / DDOS attack and the like, and the detection method is not particularly limited.

에이전트 패킷부(706)는 공격 탐지부(704)에 의해 외부 공격 탐지시 에이전트 패킷을 생성하고, 상기 생성된 에이전트 패킷을 송수신부(702)를 통하여 엣지 라운터(110a)로 출력시킨다. The agent packet unit 706 generates an agent packet when the attack detection unit 704 detects an external attack, and outputs the generated agent packet to the edge counter 110a through the transceiver unit 702.

또한, 에이전트 패킷부(706)는 타이머를 포함하여 기설정된 시간이 경과하는 지의 여부를 판단하며, 상기 기설정된 시간 동안 응답 패킷이 수신되지 않으면 상기 에이전트 패킷을 재전송한다. In addition, the agent packet unit 706 includes a timer to determine whether a predetermined time has elapsed, and if the response packet is not received during the predetermined time, retransmits the agent packet.

응답 패킷부(708)는 송수신부(702)를 통하여 수신된 패킷들의 헤더를 분석하여 응답 패킷을 검출하고 관리한다.The response packet unit 708 analyzes the headers of the packets received through the transmission / reception unit 702 to detect and manage the response packets.

역추적부(710)는 상기 응답 패킷을 분석하여 공격자 단말기(102)를 추적하며, 추적된 공격자 단말기(102)로부터 수신되는 패킷을 차단하는 기능 등을 수행할 수 있다. The tracer 710 may track the attacker terminal 102 by analyzing the response packet, and perform a function of blocking a packet received from the tracked attacker terminal 102.

저장부(712)는 각종 데이터를 저장하며, 특히 에이전트 패킷, 응답 패킷 및 공격자 단말기(102)에 대한 정보를 저장할 수 있다. The storage unit 712 may store various data, and in particular, may store information about an agent packet, a response packet, and an attacker terminal 102.

제어부(712)는 희생자 단말기(100)의 구성요소들의 동작을 전반적으로 제어한다.The controller 712 generally controls the operation of the components of the victim terminal 100.

도 8은 본 발명의 일 실시예에 따른 라우터의 구성을 도시한 블록도이다. 8 is a block diagram showing the configuration of a router according to an embodiment of the present invention.

도 8을 참조하면, 본 실시예의 라우터(110)는 제어부(800), 송수신부(802), 역추적 테이블 관리부(804), 패킷 분석부(806), 에이전트 패킷 관리부(808), 응답 패킷 관리부(810) 및 저장부(812)를 포함한다. Referring to FIG. 8, the router 110 of the present embodiment includes a controller 800, a transceiver 802, a traceback table manager 804, a packet analyzer 806, an agent packet manager 808, and a response packet manager. 810 and storage 812.

송수신부(802)은 패킷의 전달 통로이다.The transceiver 802 is a packet transmission path.

역추적 테이블 관리부(804)는 상기 역추적 테이블을 생성하고 관리한다. 예를 들어, 역추적 테이블 관리부(804)는 상기 역추적 테이블을 주기적으로 업데이트할 수 있다. The traceback table manager 804 generates and manages the traceback table. For example, the backtracking table manager 804 may periodically update the backtracking table.

패킷 분석부(806)는 송수신부(802)를 통하여 입력되는 패킷들을 분석하여 에이전트 패킷 및 응답 패킷을 검출한다. 예를 들어, 패킷 분석부(806)는 상기 입력되는 패킷들의 헤더의 TOS 필드를 통하여 상기 에이전트 패킷 및 상기 응답 패킷을 검출한다. The packet analyzer 806 analyzes packets input through the transceiver 802 to detect an agent packet and a response packet. For example, the packet analyzer 806 detects the agent packet and the response packet through the TOS field of the header of the input packets.

에이전트 패킷 관리부(808)는 패킷 분석부(806)의 분석을 통하여 에이전트 패킷이 검출되면, 상기 에이전트 패킷을 다음 라우터(110)로 전달한다.When the agent packet is detected through the analysis of the packet analyzer 806, the agent packet manager 808 transmits the agent packet to the next router 110.

응답 패킷 관리부(810)는 패킷 분석부(806)의 분석을 통하여 응답 패킷이 검출되면, 상기 응답 패킷을 다음 라우터(110) 또는 희생자 단말기(100)로 전달한다. When the response packet is detected through the analysis of the packet analyzer 806, the response packet manager 810 transmits the response packet to the next router 110 or the victim terminal 100.

저장부(812)는 각종 데이터를 저장하며, 특히 상기 역추적 테이블을 저장한다. The storage unit 812 stores various types of data, and in particular, the backtracking table.

제어부(800)는 라우터(110)의 구성요소들의 동작을 전반적으로 제어한다. The controller 800 controls overall operations of the components of the router 110.

상기한 본 발명의 실시예는 예시의 목적을 위해 개시된 것이고, 본 발명에 대한 통상의 지식을 가지는 당업자라면 본 발명의 사상과 범위 안에서 다양한 수정, 변경, 부가가 가능할 것이며, 이러한 수정, 변경 및 부가는 하기의 특허청구범위에 속하는 것으로 보아야 할 것이다. The embodiments of the present invention described above are disclosed for purposes of illustration, and those skilled in the art having ordinary knowledge of the present invention may make various modifications, changes, and additions within the spirit and scope of the present invention. Should be considered to be within the scope of the following claims.

100 : 희생자 단말기 102 : 공격자 단말기
104 : 사용자 단말기 110 : 라우터100: victim terminal 102: attacker terminal
104: user terminal 110: router

Claims (12)

희생자 단말기, 공격자 단말기 및 라우터들을 포함하는 라우터 시스템에서 상기 공격자 단말기를 역추적하는 방법에 있어서,
상기 라우터들 중 제 1 라우터가 그의 역추적 테이블을 통하여 공격 경로로 예상되는 적어도 하나의 제 2 라우터를 결정하는 단계; 및
상기 제 1 라우터가 상기 희생자 단말기로부터 출력된 에이전트 패킷을 상기 결정된 제 2 라우터로 전송하는 단계를 포함하되,
상기 역추적 테이블은 패킷 전달 확률을 기록하고 있고, 상기 패킷 전달 확률은 특정 입력 포트를 통하여 입력된 총패킷량과 특정 출력 포트를 통하여 출력되는 패킷량의 비율이며, 상기 제 2 라우터는 상기 제 1 라우터에 해당하는 포트와 관련된 패킷 전달 확률들 중 최대 확률을 가지는 포트에 대응하는 라우터인 것을 특징으로 하는 라우터 시스템에서 공격자 단말기 역추적 방법. In the method for backtracking the attacker terminal in a router system comprising a victim terminal, an attacker terminal and routers,
Determining, by a first of the routers, at least one second router expected to be an attack path through its backtracking table; And
Sending, by the first router, an agent packet output from the victim terminal to the determined second router;
The traceback table records the packet forwarding probability, wherein the packet forwarding probability is a ratio of the total packet amount input through a specific input port and the packet amount output through a specific output port, and the second router transmits the first packet. An attacker terminal traceback method in a router system, characterized in that the router corresponding to the port having the maximum probability among the packet forwarding probabilities associated with the port corresponding to the router. 삭제delete 제 1 항에 있어서, 제 1 공격자 단말기가 추적된 후 제 2 공격자 단말기가 추적될 경우, 상기 제 1 공격자 단말기에 연결된 엣지 라우터는 그의 역추적 테이블에서 상기 제 1 공격자 단말기에 해당하는 패킷 전달 확률을 삭제하는 것을 특징으로 하는 라우터 시스템에서 공격자 단말기 역추적 방법. 2. The method of claim 1, wherein if the second attacker terminal is tracked after the first attacker terminal is tracked, the edge router connected to the first attacker terminal determines the packet forwarding probability corresponding to the first attacker terminal in its traceback table. The attacker terminal traceback method in the router system, characterized in that the deletion. 제 1 항에 있어서, 상기 에이전트 패킷이 상기 역추적에 사용되는 패킷임을 알리는 정보는 상기 에이전트 패킷의 헤더 중 ToS 필드에 포함되어 있는 것을 특징으로 하는 라우터 시스템에서 공격자 단말기 역추적 방법. The method of claim 1, wherein the information indicating that the agent packet is a packet used for the backtracking is included in a ToS field of a header of the agent packet. 삭제delete 제 1 항에 있어서, 상기 제 2 라우터는 상기 공격자 단말기의 엣지 라우터이되,
상기 제 2 라우터는 상기 에이전트 패킷의 수신에 따라 응답 패킷을 생성하는 것을 특징으로 하는 라우터 시스템에서 공격자 단말기 역추적 방법. The method of claim 1, wherein the second router is an edge router of the attacker terminal,
And the second router generates a response packet according to the reception of the agent packet. 제 1 항에 있어서, 상기 제 1 라우터는 상기 역추적 테이블을 소프트웨어적으로 구현하고 있으며, 상기 에이전트 패킷이 역추적 패킷임을 확인하는 로직이 소프트웨어적으로 구현되는 것을 특징으로 하는 라우터 시스템에서 공격자 단말기 역추적 방법. The router of claim 1, wherein the first router implements the traceback table in software, and logic for verifying that the agent packet is a traceback packet is implemented in software. Tracking method. 삭제delete 삭제delete 삭제delete 패킷 전달 확률을 기록하고 있는 역추적 테이블을 관리하는 역추적 테이블 관리부;
희생자 단말기로부터 출력된 에이전트 패킷을 공격 경로로 예상되는 다음 라우터로 전송하는 에이전트 패킷 관리부; 및
상기 역추적 테이블 및 상기 에이전트 패킷 관리부의 동작을 제어하는 제어부를 포함하되,
상기 패킷 전달 확률은 상기 라우터의 특정 입력 포트를 통하여 입력된 총패킷량과 특정 출력 포트를 통하여 출력되는 패킷량의 비율이며, 상기 에이전트 패킷이 전송될 다음 라우터는 상기 라우터의 포트들에 해당하는 패킷 전달 확률들 중 최대 확률을 가지는 포트에 대응하는 라우터인 것을 특징으로 하는 라우터 시스템에서 공격자 단말기를 추적하기 위해 사용되는 라우터.
A backtracking table manager for managing a backtracking table that records packet forwarding probabilities;
An agent packet manager for transmitting the agent packet output from the victim terminal to the next router expected to attack; And
A control unit for controlling the operation of the traceback table and the agent packet manager,
The packet forwarding probability is a ratio of the total packet amount input through a specific input port of the router and the packet amount output through a specific output port, and the next router to which the agent packet is transmitted is a packet corresponding to the ports of the router. A router used to track an attacker's terminal in a router system, characterized in that the router corresponds to a port having the highest probability among the forwarding probabilities.
제 11 항에 있어서, 상기 라우터는 제 1 공격자 단말기와 연결된 엣지 라우터이고, 상기 제 1 공격자 단말기가 추적된 후 제 2 공격자 단말기를 추적할 경우 상기 라우터는 상기 역추적 테이블에서 상기 제 1 공격자 단말기에 해당하는 패킷 전달 확률을 삭제하는 것을 특징으로 하는 라우터 시스템에서 공격자 단말기를 추적하기 위해 사용되는 라우터.
The router of claim 11, wherein the router is an edge router connected to a first attacker terminal, and when the first attacker terminal tracks a second attacker terminal after the first attacker terminal is tracked, the router is connected to the first attacker terminal in the traceback table. A router used to track an attacker's terminal in a router system, characterized by deleting the corresponding packet forwarding probability.
KR1020100043028A 2010-05-07 2010-05-07 Method of performing traceback of an attack terminal in a router system KR101144368B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100043028A KR101144368B1 (en) 2010-05-07 2010-05-07 Method of performing traceback of an attack terminal in a router system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100043028A KR101144368B1 (en) 2010-05-07 2010-05-07 Method of performing traceback of an attack terminal in a router system

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020110142223A Division KR20120004391A (en) 2011-12-26 2011-12-26 Method of performing traceback of an attack terminal in a router system

Publications (2)

Publication Number Publication Date
KR20110123508A KR20110123508A (en) 2011-11-15
KR101144368B1 true KR101144368B1 (en) 2012-05-10

Family

ID=45393659

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100043028A KR101144368B1 (en) 2010-05-07 2010-05-07 Method of performing traceback of an attack terminal in a router system

Country Status (1)

Country Link
KR (1) KR101144368B1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101889500B1 (en) 2014-03-07 2018-09-20 한국전자통신연구원 Method and System for Network Connection-Chain Traceback using Network Flow Data
KR20160118816A (en) 2015-04-03 2016-10-12 한국전자통신연구원 Method and apparatus for finding abnormal location on network

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030052843A (en) * 2001-12-21 2003-06-27 주식회사 케이티 System and method for inverse tracing a intruder
KR20040027705A (en) * 2004-02-25 2004-04-01 이형우 SVM Based Advanced Packet Marking Mechanism for Traceback AND Router
KR100770354B1 (en) 2006-08-03 2007-10-26 경희대학교 산학협력단 Method for ip tracing-back of attacker in ipv6 network
US7302705B1 (en) * 2000-08-30 2007-11-27 International Business Machines Corporation Method and apparatus for tracing a denial-of-service attack back to its source

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7302705B1 (en) * 2000-08-30 2007-11-27 International Business Machines Corporation Method and apparatus for tracing a denial-of-service attack back to its source
KR20030052843A (en) * 2001-12-21 2003-06-27 주식회사 케이티 System and method for inverse tracing a intruder
KR20040027705A (en) * 2004-02-25 2004-04-01 이형우 SVM Based Advanced Packet Marking Mechanism for Traceback AND Router
KR100770354B1 (en) 2006-08-03 2007-10-26 경희대학교 산학협력단 Method for ip tracing-back of attacker in ipv6 network

Also Published As

Publication number Publication date
KR20110123508A (en) 2011-11-15

Similar Documents

Publication Publication Date Title
Meier et al. {NetHide}: Secure and practical network topology obfuscation
US9363277B2 (en) Systems and methods for detecting and preventing flooding attacks in a network environment
Yi et al. A case for stateful forwarding plane
US7805757B2 (en) Control of communication session attributes in network employing firewall protection
US9065753B2 (en) Lightweight packet-drop detection for ad hoc networks
US7596097B1 (en) Methods and apparatus to prevent network mapping
US10931711B2 (en) System of defending against HTTP DDoS attack based on SDN and method thereof
US8817792B2 (en) Data forwarding method, data processing method, system and relevant devices
CN101699786A (en) Method, device and system for detecting packet loss
US7506372B2 (en) Method and apparatus for controlling connection rate of network hosts
CN101425942A (en) Method, apparatus and system for bidirectional forwarding detection implementation
US10142210B2 (en) In-line tool performance monitoring and adaptive packet routing
CN102546587B (en) Prevent gateway system Session Resources by the method that maliciously exhausts and device
KR101144368B1 (en) Method of performing traceback of an attack terminal in a router system
Alston et al. Neutralizing interest flooding attacks in named data networks using cryptographic route tokens
Mizrak et al. Detecting compromised routers via packet forwarding behavior
Baidya et al. Link discovery attacks in software-defined networks: Topology poisoning and impact analysis
KR20170109949A (en) Method and apparatus for enhancing network security in dynamic network environment
CN113676408B (en) Routing method, system, device and storage medium for virtual private network
CN108769055A (en) A kind of falseness source IP detection method and device
KR20120004391A (en) Method of performing traceback of an attack terminal in a router system
Thing et al. Locating network domain entry and exit point/path for DDoS attack traffic
KR101914831B1 (en) SDN to prevent an attack on the host tracking service and controller including the same
KR20210066432A (en) Method for detecting and mitigating interest flooding attack through collaboration between edge routers in Named Data Networking(NDN)
JP3141852B2 (en) Round-trip path detecting method, apparatus using the same, and recording medium storing the program

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
A107 Divisional application of patent
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160418

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee