KR20050114917A - System for detecting terminal sharing with ip address - Google Patents

System for detecting terminal sharing with ip address Download PDF

Info

Publication number
KR20050114917A
KR20050114917A KR1020040040024A KR20040040024A KR20050114917A KR 20050114917 A KR20050114917 A KR 20050114917A KR 1020040040024 A KR1020040040024 A KR 1020040040024A KR 20040040024 A KR20040040024 A KR 20040040024A KR 20050114917 A KR20050114917 A KR 20050114917A
Authority
KR
South Korea
Prior art keywords
isn
value
list
linearity
tcp
Prior art date
Application number
KR1020040040024A
Other languages
Korean (ko)
Other versions
KR100643215B1 (en
Inventor
박형배
최규민
김정아
권영성
이상록
박병민
최영수
배병숙
Original Assignee
플러스기술주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 플러스기술주식회사 filed Critical 플러스기술주식회사
Priority to KR1020040040024A priority Critical patent/KR100643215B1/en
Publication of KR20050114917A publication Critical patent/KR20050114917A/en
Application granted granted Critical
Publication of KR100643215B1 publication Critical patent/KR100643215B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 IP공유기 검출시스템에 관한 것으로서, 복수의 사용자 단말들의 외부에 존재하며, 복수의 사용자 단말들이 외부망과 송수신하는 TCP/IP 트래픽을 모니터링하는 트래픽 미러닝 수단, 모니터링된 TCP/IP 트래픽에서 ISN(시퀀스 넘버 초기값)을 해당 IP별로 독출하는 ISN 독출수단, 독출된 ISN값들을 리스트화하여, 해당 IP별로 시간에 따른 선형성을 갖는지 조사하고, 하나의 IP에서 적어도 하나이상의 복수개의 선형성을 갖는 ISN 리스트가 존재하면, 존재하는 ISN리스트의 수 만큼 해당 IP를 공유하는 공유 사용자 단말이 있는 것으로 판별하는 선형성 판별수단 및 IP공유 사용자 단말 검출 결과를 주기적으로 로깅 및 저장하는 저장매체를 구비한다. 본 발명에 의하면, IP 공유기 사용 여부를 외부의 망에서 원격으로 파악하고 IP 공유기에 연결된 사용자 단말수를 파악할 수 있다.The present invention relates to a system for detecting an IP router, which is located outside of a plurality of user terminals, and includes traffic mirroring means for monitoring TCP / IP traffic transmitted and received by a plurality of user terminals to and from an external network. ISN reading means for reading an ISN (sequence number initial value) for each IP, and listing the read ISN values to investigate whether the IP has linearity over time according to the corresponding IPs, and at least one or more plurality of linearities in one IP. If there is a list of ISNs, linearity determination means for determining that there is a shared user terminal sharing the corresponding IP as many as the number of ISN list and a storage medium for periodically logging and storing the IP sharing user terminal detection results. According to the present invention, it is possible to remotely determine whether to use an IP router from an external network and to determine the number of user terminals connected to the IP router.

Description

아이피 공유기 검출시스템{System for detecting terminal sharing with IP address}System for detecting terminal sharing with IP address

본 발명은 IP공유기 검출시스템에 관한 것으로, 더욱 상세하게는 TCP의 시퀀스 넘버가 시간에 따라 한 IP에서 발생하는 커넥션 마다 선형적으로 초기화되는 특성의 값을 모니터링하여 이를 이용하여 공유기 검출과 IP 공유 사용자 단말 수를 판별하는 IP공유기 검출시스템에 관한 것이다.The present invention relates to a system for detecting an IP router, and more particularly, a method for detecting a router and using an IP sharing user by monitoring a value of a property in which a sequence number of TCP is linearly initialized for each connection occurring in one IP according to time. An IP router detection system for determining the number of terminals.

최근에는 가입자가 저렴한 비용으로 네트워크를 사용하기 위해서 IP 공유기를 사용하는 경우가 매우 빈번하게 발생하고 있으며. 이들에 의해 네트워크 트래픽 증가가 심각한 문제를 들어내고 있다.Recently, subscribers use IP routers very often to use the network at low cost. These are causing serious network traffic increase.

이러한 IP 공유기 사용자에 대한 검출 및 차단이 이루어져야 하나 종래의 공유 IP를 찾아내는 방법은 구체적으로 제시되어 실용화되지 못했다.The detection and blocking of the user of the IP router should be performed, but the conventional method of finding a shared IP has not been specifically proposed and put into practical use.

따라서 이러한 어려움으로 인해 관리자가 직접 가입자를 찾아다니면서 공유기 사용 유, 무를 확인하는 방법으로 검출 및 차단을 하고 있다.Therefore, due to these difficulties, administrators are searching for subscribers and detecting and blocking by checking whether the router is used or not.

본 발명은 상기한 종래의 문제점을 해결하기 위한 것으로, 본 발명이 이루고자 하는 기술적 과제는, IP 공유기 사용 여부를 외부의 망에서 원격으로 파악하고 IP 공유기에 연결된 사용자 단말수를 파악할 수 있는 IP공유기 검출시스템을 제공하는데 있다.The present invention is to solve the above-described problems, the technical problem to be achieved by the present invention, to detect whether to use the IP router remotely from the external network to detect the IP router that can determine the number of user terminals connected to the IP router To provide a system.

상기 과제를 달성하기 위해, 자신의 IP를 가지고 통신하는 정상 사용자단말과 IP공유수단을 통해 네트워크에 연결된 공유 사용자 단말을 검출하는 IP공유기 검출시스템에 있어서,In order to achieve the above object, in the IP router detection system for detecting a normal user terminal communicating with its own IP and a shared user terminal connected to the network through the IP sharing means,

복수의 사용자 단말들의 외부에 존재하며, 상기 복수의 사용자 단말들이 외부망과 송수신하는 TCP/IP 트래픽을 모니터링하는 트래픽 미러닝 수단;Traffic mirroring means existing outside the plurality of user terminals and monitoring TCP / IP traffic transmitted and received by the plurality of user terminals with an external network;

상기 모니터링된 TCP/IP 트래픽에서 ISN(시퀀스 넘버 초기값)을 해당 IP별로 독출하는 ISN 독출수단;ISN reading means for reading an ISN (sequence number initial value) for each IP in the monitored TCP / IP traffic;

상기 독출된 ISN값들을 리스트화하여, 해당 IP별로 시간에 따른 선형성을 갖는지 조사하고, 하나의 IP에서 적어도 하나이상의 복수개의 선형성을 갖는 ISN 리스트가 존재하면, 존재하는 ISN리스트의 수 만큼 해당 IP를 공유하는 공유 사용자 단말이 있는 것으로 판별하는 선형성 판별수단; 및 Lists the read ISN values and checks linearity with time for each IP, and if there is an ISN list having at least one linearity in one IP, the corresponding IPs are provided as many as the number of ISN lists present. Linearity determination means for determining that there is a shared user terminal to share; And

상기 IP공유 사용자 단말 검출 결과를 주기적으로 로깅 및 저장하는 저장매체;를 구비하는 것을 특징으로 하는 IP공유기 검출시스템이 제공된다.Provided is an IP router detection system comprising a; a storage medium for periodically logging and storing the IP sharing user terminal detection results.

이하, 본 발명의 바람직한 실시예를 도면을 참고하여 상세하게 설명한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the drawings.

도 1은 본 발명의 실시 예에 따른 IP 공유기 검출시스템(50)이 네트워크에 적용된 네트워크 시스템 구성도이다.1 is a diagram illustrating a network system in which an IP router detecting system 50 according to an embodiment of the present invention is applied to a network.

도 1을 참조하면, 본 발명에 따른 IP 공유기 검출시스템(50)은 복수의 사설 네트워크(10)의 외부에 존재하고 있다. 여기서, 사설 네트워크(10)는 복수의 사용자 단말이 예를 들면 IP 어드레스를 라우팅하는 라우터와 연결되어 구성되어 있다.Referring to FIG. 1, the IP router detection system 50 according to the present invention exists outside the plurality of private networks 10. Here, the private network 10 is configured by connecting a plurality of user terminals with a router for routing an IP address, for example.

그런데, 사설 네트워크(10)를 구성하고 있는 사용자단말들중에는 IP 공유 기능을 수행하는 라우터나 소프트웨어로 구현된 IP 공유 솔루션을 이용한 IP공유기(11)를 이용하여 IP 어드레스를 공유하는 단말들도 존재한다.However, among the user terminals constituting the private network 10, there are terminals that share an IP address by using an IP sharer 11 using an IP sharing solution implemented by a router or software that performs an IP sharing function. .

IP 공유기 검출시스템(50)은 복수의 IP공유 사설 네트워크(10)에 소속된 사용자 단말과 IP 공유를 하지 않는 정상 사용자(20)의 사용자 단말이 TCP/IP 프로토콜에 기반하여 광역 네트워크 망(WAN: Wide Area Network, 30)에 연결되어 인터넷과 통신을 할 수 있도록 네트워크 연결관리를 수행하며 상기 사용자 단말들로부터 TCP/IP 패킷을 수집하는 패킷 미러닝장치(40)와 연결되어 있다.The IP router detection system 50 is a user terminal of a normal user 20 who does not share IP with user terminals belonging to a plurality of IP sharing private networks 10 based on the TCP / IP protocol. It is connected to a wide area network (30) and performs a network connection management so as to communicate with the Internet and is connected to a packet mirroring device (40) for collecting TCP / IP packets from the user terminals.

IP 공유기 검출시스템(50)은 패킷 미러닝 장치(40)로부터 수집된 TCP/IP 패킷의 각각의 IP별 ISN값을 독출하고, IP 어드레스 별로 시간에 따라 연속적으로 증가하는 ISN값의 증가세트의 수를 찾아내어 IP 어드레스를 사용하고 있는 사용자 단말의 수를 검출한다.The IP router detection system 50 reads the ISN value for each IP of the TCP / IP packets collected from the packet mirroring device 40, and the number of incremental sets of ISN values continuously increasing with time for each IP address. To find the number of user terminals using the IP address.

본 실시예에서 IP공유 클라언트 검출을 위해 독출되는 ISN(Initialize Sequence Number)값은 TCP를 기반으로 하는 초기 연결을 수행할 때, 즉 CODEBIT가 SYN인 경우 사용되는 시퀀스넘버의 초기 값 또는 초기 연결을 수행한 후 수신측의 응답 및 연결 설정을 수행하는 패킷(CODEBIT가 SYN과 ACK인 경우)의 애크날리지먼트넘버(acknowledgement number)의 값 또는 그 값에 일정한 값을 증감한 값이 된다.In this embodiment, an Initialize Sequence Number (ISN) value read for IP-sharing client detection indicates an initial value or initial connection of a sequence number used when performing an initial connection based on TCP, that is, when CODEBIT is SYN. After execution, the packet is a value of an acknowledgment number or a constant value is increased or decreased in the packet (when CODEBIT is SYN and ACK) that performs response and connection establishment at the receiving end.

도2는 TCP/IP 패킷의 구조를 나타내는 구성도이다.2 is a block diagram showing the structure of a TCP / IP packet.

도 2의 TCP헤더 포맷에서 (11)은 시퀀스 넘버로써 처음에 초기화 되는 ISN값을 기본 설정값으로 하고, 전송되는 데이터량의 크기에 따라서 수신측에서는 에크날리지먼트넘버에 값을 증가시켜 분할되어 전송되는 데이터의 재조합, 흐름제어와 에러 검출을 위해 사용되는 필드이다.In the TCP header format of FIG. 2, reference numeral 11 denotes a basic setting value of the ISN value initially initialized as a sequence number, and the receiver side increases the value in the acquisition number according to the amount of data to be transmitted and is divided and transmitted. This field is used for data recombination, flow control and error detection.

또한, (12)는 SYN이며 TCP 플래그로서 TCP 세그먼트의 속성을 나타내는 필드이다.In addition, (12) is SYN and is a field which shows the attribute of a TCP segment as a TCP flag.

도 3은 IP공유기 검출 시스템의 내부 블록도이다.3 is an internal block diagram of the IP router detection system.

본 발명에 따르는 IP공유기 검출 시스템(50)은 네트워크 인터페이스(53), 패킷필터 및 헤더검출수단(54), IP별 ISN 독출수단(55), 정상 IP 사용자 단말인가 IP공유 사용자 단말인가 판단하는 판단수단(56) 및 외부 저장 매체(57)를 구비한다.The IP router detecting system 50 according to the present invention determines whether the network interface 53, the packet filter and the header detecting means 54, the IP-specific ISN reading means 55, the normal IP user terminal or the IP sharing user terminal. Means 56 and an external storage medium 57.

네트워크 인터페이스(53)는 네트워크를 통해 송수신되는 TCP/IP 트래픽을 모니터링한다.The network interface 53 monitors TCP / IP traffic transmitted and received through the network.

패킷필터(54)는 모니터링 된 트래픽에서 TCP의 SYN패킷과 ACK|SYN 패킷의 헤더를 검출한다.The packet filter 54 detects TCP SYN packets and headers of ACK | SYN packets in the monitored traffic.

ISN 독출 엔진(55)은 필터링된 패킷을 IP별로 ISN을 리스팅한다.The ISN read engine 55 lists the ISN by the filtered packets by IP.

ISN 독출 엔진(55)은 TCP/IP 프로토콜에서 TCP의 연결 설정을 위해 수행되는 3-Way Handshaking 패킷 중 TCP 플래그의 SYN bit가 1로 설정 된 패킷의 시퀀스 넘버를 ISN 값으로 독출하는 방식, TCP의 연결 설정(3-Way Handshaking) 패킷 중 SYN 패킷 전송 후 수신측에서 응답하는 패킷으로 TCP플래그가 ACK|SYN 비트가 모두 1로 설정 된 패킷의 응답번호 (Acknowledgement Number)나 응답번호에 일정한 값을 증감한 값을 ISN값으로 독출하는 방식을 모두 사용한다.The ISN reading engine 55 reads the sequence number of the packet in which the SYN bit of the TCP flag is set to 1 among 3-Way Handshaking packets performed for TCP connection establishment in the TCP / IP protocol, as an ISN value. This is a packet that responds to the receiver after transmitting SYN packet among 3-Way Handshaking packets.The TCP flag sets a certain value to the Acknowledgment Number or Response Number of the packet where the ACK | SYN bit is set to 1. Both read and decrease values are read as ISN values.

판단수단(56)은 독출된 ISN 결과에 의거하여 IP공유 사용자 단말인지 정상 IP 사용자 단말인지를 판단한다.The judging means 56 judges whether it is an IP sharing user terminal or a normal IP user terminal based on the read ISN result.

특히, 판단수단(56)은 TCP/IP 트래픽에서 IP별 ISN값을 독출해서, IP별로 증가되는 상호 인접 ISN값을 서로 비교하다가 시간의 흐름과 ISN값의 증가치가 서로 기존의 증가치 보다 비정상적으로 증가하는 이벤트 또는 연속된 ISN값에서 현재 ISN값보다 신규 ISN값이 더 작은 감소 이벤트가 발생하게 되면, 해당 IP 어드레스에 ISN증가 셋트수에 반영하여 공유 IP 사용자로서 판단한다.In particular, the determination unit 56 reads the ISN value for each IP from the TCP / IP traffic, compares the neighboring ISN values that are increased for each IP, and then the time flow and the increase of the ISN value abnormally increase from each other. If a decrease event of which the new ISN value is smaller than the current ISN value occurs in the event of successive ISN values or consecutive ISN values, it is determined as a shared IP user by reflecting the number of ISN increase sets in the corresponding IP address.

또한, 정상 사용자의 경우 IP별 증가 셋트수는 하나로써, 다수개의 IP별 ISN 증가 셋트 수를 가지고 있는 단말을 공유IP 사용자 단말로 구분한다.In addition, in the case of a normal user, the number of increase sets for each IP is one, and a terminal having a plurality of ISN increase sets for each IP is divided into shared IP user terminals.

또한, IP공유기 검출 시스템(50)은 외부 저장 매체(57)에 검출된 IP공유 사용자 단말의 리스트에 대한 주기적인 로깅과 저장을 행한다.In addition, the IP router detection system 50 performs periodic logging and storage of the list of IP sharing user terminals detected in the external storage medium 57.

도 4는 도 3에 도시된 IP공유기 검출 시스템(50)의 동작원리를 설명하는 도면이다.4 is a view for explaining the principle of operation of the IP router detection system 50 shown in FIG.

도 4에 도시된 것같이, IP공유 사용자 단말(15)과 정상 IP 사용자 단말(22)이 인터넷이나 통신을 하기위해 WAN을 통하여 데이터를 전송한다.As shown in FIG. 4, the IP sharing user terminal 15 and the normal IP user terminal 22 transmit data through the WAN for communication with the Internet.

정상 IP 사용자 단말(20)의 경우 TCP를 이용하여 데이터 전송 시 ISN값은 TCP의 각 커넥션간의 중복으로 ISN값이 형성되는 것을 방지하기 위해 t1,t2,... 의 시간의 경과에 동일하게 최초 형성되는 ISN값을 기준으로 90001000, 90002000, 90003000,...과 같이 증가 시켜 하나의 ISN 증가셋트 만을 가지고 TCP 통신을 행한다.In case of the normal IP user terminal 20, when transmitting data using TCP, the ISN value is initially equal to the elapsed time of t1, t2, ... in order to prevent the ISN value from being duplicated between TCP connections. Based on the formed ISN value, it increases as 90001000, 90002000, 90003000, ..., and performs TCP communication with only one ISN increase set.

반면, IP 공유사용자단말(10)의 경우는 (13a),(13b),(13c)와 같이 각 사설 IP 사용자 단말별로 최초 초기화된 ISN값을 기준으로 일정한 증가치를 가지게 된다. 이와 같이 서로 다른 최초 초기값과 증가치는 IP 공유 수단(11)을 거치게 될 경우 하나의 IP 사용자단말에서는 시간의 흐름에 따라 복수개의 ISN 증가 셋트(51a)가 검출된다.On the other hand, in the case of the IP sharing user terminal 10, as shown in (13a), (13b), (13c) has a constant increase value based on the ISN value initially initialized for each private IP user terminal. As described above, when different initial initial values and increments pass through the IP sharing means 11, a plurality of ISN increase sets 51a are detected in time by one IP user terminal.

이렇게, 복수개의 증가 셋트(51a)가 검출된 IP 어드레스는 IP별로 증가되는 상호 인접 ISN값을 서로 비교하다가 시간의 흐름과 ISN값의 증가치가 서로 기존의 증가치 보다 비정상적으로 증가하는 이벤트가 있거나, 연속된 ISN값에서 현재 ISN값보다 신규 ISN값이 더 작은 감소 이벤트가 발생하게 되면, 해당 IP 어드레스에 ISN증가 셋트수에 반영하여 공유 IP 사용자로서 검출 할 수 있다.As described above, an IP address in which a plurality of increment sets 51a is detected compares mutually adjacent ISN values that are increased for each IP, and then there is an event in which an increase in time and an increase in ISN value abnormally increase from each other, or continuously. If a decrease event occurs in which the new ISN value is smaller than the current ISN value in the received ISN value, it can be detected as a shared IP user by reflecting the number of ISN increase sets in the corresponding IP address.

내부적으로 리스팅 된 IP공유 사용자 단말의 검출 결과는 IP공유기 검출 시스템(50)의 외부 저장 매체(57)를 통해 주기적으로 로깅하고 저장된다.The detection result of the internally-listed IP sharing user terminal is periodically logged and stored through the external storage medium 57 of the IP sharing apparatus detection system 50.

도 5는 본 발명에 따른 IP공유기 검출시스템의 검출과정을 설명하기 위한 흐름도이다.5 is a flowchart illustrating a detection process of the IP router detection system according to the present invention.

먼저, TCP/IP방식으로 패킷이 전송될 때, 본 발명에 따른 IP공유기 검출장치에 네트워크 인터페이스(53)를 통하여 연결된 패킷미러닝 장치(40)로부터 모니터링(58)된 패킷들 중 필요 패킷만을 필터링한다(단계 S51). First, when a packet is transmitted in a TCP / IP method, filtering only necessary packets among the packets monitored 58 from the packet mirroring device 40 connected through the network interface 53 to the IP router detecting apparatus according to the present invention. (Step S51).

IP별 ISN값 독출수단(55)은 TCP/IP 트래픽에서 TCP의 연결 설정을 위해 수행되는 3-Way Handshaking 패킷 중 TCP 플래그의 SYN bit가 1로 설정 된 패킷의 시퀀스 넘버를 ISN 값으로 독출할 수 있다.The ISN value reading means 55 for each IP may read the sequence number of the packet in which the SYN bit of the TCP flag is set to 1 in the 3-Way Handshaking packet performed for TCP connection establishment in the TCP / IP traffic as the ISN value. have.

또한, TCP의 연결 설정(3-Way Handshaking) 패킷 중 SYN 패킷 전송 후 수신측에서 응답하는 패킷으로 TCP플래그가 ACK | SYN 비트가 모두 1로 설정 된 패킷의 응답번호(Acknowledgement Number)나 응답번호에 일정한 값을 증감한 값을 ISN값으로 독출할 수도 있다.Also, among the 3-Way Handshaking packets of TCP, the TCP flag shows ACK | ACK | An ISN value may be read as an acknowledgment number of a packet in which all of the SYN bits are set to 1, or a value obtained by incrementing or decreasing a constant value in the response number.

이와 같이, IP별로 ISN값을 수집한 후(단계 S52), ISN값을 판별 할 수 있는 IP어드레스 리스트가 있는지 판단한다(단계 S53).In this way, after collecting the ISN value for each IP (step S52), it is determined whether there is an IP address list for determining the ISN value (step S53).

만약, ISN값을 판별 할 수 있는 IP어드레스 리스트가 없으면 새로운 IP리스트와 ISN리스트를 생성한다(단계 S54).If there is no IP address list capable of determining the ISN value, a new IP list and ISN list are generated (step S54).

그러나, 기존의 IP어드레스 리스트가 존재한다면, 해당 IP리스트의 처음 ISN리스트에 ISN값을 삽입한다(단계 S55).However, if there is an existing IP address list, an ISN value is inserted into the first ISN list of the IP list (step S55).

그 다음, 삽입된 ISN값이 기존 ISN 값과 시간별 선형성이 있는지 여부를 판단한다(단계 S56). 기존의 ISN값과 선형성이 유지되면 기존 ISN 리스트에 정보를 삽입하여 정보를 갱신한다(단계 S57).Then, it is determined whether the inserted ISN value is linear with the existing ISN value over time (step S56). If the existing ISN value and linearity are maintained, the information is updated by inserting the information into the existing ISN list (step S57).

그러나, 삽입된 ISN값이 기존 ISN 값과 시간별 선형성이 유지 되지 않으면, 해당 IP에 처음 ISN 리스트 이외에 새롭게 삽입된 ISN값과 선형성을 갖는 다른 ISN 리스트들이 있는지 검색한다(단계 S58).However, if the inserted ISN value does not maintain linearity with the existing ISN value over time, it is searched for other ISN lists having linearity with the newly inserted ISN value in addition to the first ISN list in the corresponding IP (step S58).

만약, 새롭게 삽입된 ISN값과 선형성을 갖는 다른 ISN리스트가 있으면, 해당 ISN 리스트에 ISN값을 삽입한다(단계 S59). 그러나, 새롭게 삽입된 ISN값과 선형성을 갖는 ISN 리스트가 존재하지 않으면, 해당 IP 리스트에 새로운 ISN 리스트를 생성한다(단계 S60).If there is another ISN list having linearity with the newly inserted ISN value, the ISN value is inserted into the corresponding ISN list (step S59). However, if there is no ISN list having linearity with the newly inserted ISN value, a new ISN list is generated in the corresponding IP list (step S60).

이렇게 하여 생성 및 갱신된 IP별 ISN 리스트 정보들을 기반으로 하나의 IP 어드레스에 선형성이 다른 다수개의 ISN리스트들이 존재하게 된다면, 존재하는 ISN리스트의 수 만큼 IP 공유기 사용자단말이 있는 것으로 판단하고(단계 S61), 저장매체에 IP공유 사용자 단말 검출 결과를 주기적으로 로깅 및 저장한다(단계 S62).If a plurality of ISN lists having different linearities exist in one IP address based on the IP-specific ISN list information generated and updated in this way, it is determined that there are as many IP router user terminals as there are ISN lists (step S61). In step S62, the IP sharing user terminal detection result is periodically logged and stored in the storage medium.

이하, 선형성의 판단에 대하여 상세히 설명한다.Hereinafter, the determination of linearity will be described in detail.

새롭게 삽입된 ISN값을 ISNnew, 기존에 유지되고 있는 ISN리스트의 마지막값을 ISNold, ISNold가 수신된 시간부터 ISNnew가 수신된 시간까지의 경과시간을 Eisn, 그리고 ISN리스트간의 일정한 증가계수를 T라고 지정한다.The newly inserted ISN value is ISN new , the last value of the previously maintained ISN list is the elapsed time from when ISN old , ISN old is received to the time that ISN new is received, E isn , and the ISN list is a constant increase. Specify the coefficient as T.

여기서, ISN리스트에 3개 이상의 ISN리스트가 수집되었을 때 ISN값들 1초당 평균증가치, 일반적으로 Fast Ethernet 네트워크 인터페이스를 사용하는 사용자 단말은 약 250,000의 1초당 증가치를 갖는다.Here, when three or more ISN lists are collected in the ISN list, the average increase value per second of ISN values, generally, a user terminal using a Fast Ethernet network interface has an increase value of about 250,000 per second.

이 때, 이 두 ISN수치간의 선형성판단은 아래의 수식이 참이면, 선형성을 가지고 있다고 판단하고, 거짓일 경우, 선형성이 없는 ISN값으로 판단한다.At this time, the linearity determination between the two ISN values is determined to have linearity if the following expression is true, and to be determined as ISN value without linearity if false.

-(Eisn x T) < (ISNnew - ISNold) < (Eisn x T)-(E isn x T) <(ISN new -ISN old ) <(E isn x T)

본 발명에 따른 효과는 다음과 같다.Effects according to the present invention are as follows.

첫째, IP 어드레스를 공유하고 있는 사설 네트워크 내부에 인입하지 않더라도 IP 어드레스를 공유하는 사용자 단말의 수를 모니터링 할 수가 있다.First, it is possible to monitor the number of user terminals sharing an IP address without having to enter the private network sharing the IP address.

둘째, 본 발명의 특성상 인터넷이나 통신 시 시작 지점에서 공유기의 사용 여부가 판단되기 때문에 패킷 블록킹과 같은 TCP세션 차단 기술을 접목하기 용이하다.Second, it is easy to incorporate TCP session blocking techniques such as packet blocking because it is determined whether the router is used at the start point when the Internet or communication is used.

셋째, IP 어드레스를 공유하는 사설 네트워크 내의 사용자 단말 수를 모니터링 함으로써, IP 어드레스 사용에 대해 허가되지 않은 불법 사용자들의 숫자 및 공유하고 있는 가입자의 공인 IP 어드레스를 정확하게 산출함으로써, 이를 기초로 IP 어드레스가 불법으로 공유되는 것을 차단시킬 수 있게 된다.Third, by accurately counting the number of illegal users who are not allowed to use the IP address and the public IP address of the sharing subscriber by monitoring the number of user terminals in the private network sharing the IP address, on the basis of which the IP address is illegal Can be shared with others.

넷째, 정당하게 사용 허가를 받은 사용자만이 IP 어드레스를 사용한다는 문화가 정착되게 함으로써 인터넷 산업의 발전에 기여할 수 있게 됨은 물론, 초고속 인터넷 사업의 해외진출 시 사업의 안정화를 이루는데 기여할 수 있게 된다.Fourth, by establishing a culture in which only users who are duly authorized to use IP addresses are established, they can contribute to the development of the Internet industry, and also contribute to stabilization of business when entering the high-speed Internet business overseas.

이상에서는 본 발명의 특정의 바람직한 실시예에 대하여 도시하고 또한 설명하였다. 그러나, 본 발명은 상술한 실시예에 한정되지 아니하며, 특허청구의 범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형실시가 가능할 것이다.In the above, certain preferred embodiments of the present invention have been illustrated and described. However, the present invention is not limited to the above-described embodiments, and various modifications can be made by those skilled in the art without departing from the gist of the present invention as claimed in the claims. will be.

도 1은 본 발명의 실시 예에 따른 IP 공유기 검출시스템(50)이 네트워크에 적용된 네트워크 시스템 구성도이다.1 is a diagram illustrating a network system in which an IP router detecting system 50 according to an embodiment of the present invention is applied to a network.

도2는 TCP/IP 패킷의 구조를 나타내는 구성도이다.2 is a block diagram showing the structure of a TCP / IP packet.

도 3은 IP공유기 검출 시스템의 내부 블록도이다.3 is an internal block diagram of the IP router detection system.

도 4는 도 3에 도시된 IP공유기 검출 시스템의 동작원리를 설명하는 도면이다.4 is a view for explaining the operation principle of the IP router detection system shown in FIG.

도 5는 본 발명에 따른 IP공유기 검출 시스템의 검출과정을 설명하기 위한 흐름도이다.5 is a flowchart illustrating a detection process of the IP router detection system according to the present invention.

Claims (5)

자신의 IP를 가지고 통신하는 정상 사용자단말과 IP공유수단을 통해 네트워크에 연결된 공유 사용자 단말을 검출하는 IP공유기 검출시스템에 있어서,In the IP router detection system for detecting a shared user terminal connected to the network through the IP sharing means and a normal user terminal communicating with its own IP, 복수의 사용자 단말들의 외부에 존재하며, 상기 복수의 사용자 단말들이 외부망과 송수신하는 TCP/IP 트래픽을 모니터링하는 트래픽 미러닝 수단;Traffic mirroring means existing outside the plurality of user terminals and monitoring TCP / IP traffic transmitted and received by the plurality of user terminals with an external network; 상기 모니터링된 TCP/IP 트래픽에서 ISN(시퀀스 넘버 초기값)을 해당 IP별로 독출하는 ISN 독출수단;ISN reading means for reading an ISN (sequence number initial value) for each IP in the monitored TCP / IP traffic; 상기 독출된 ISN값들을 리스트화하여, 해당 IP별로 시간에 따른 선형성을 갖는지 조사하고, 하나의 IP에서 적어도 하나이상의 복수개의 선형성을 갖는 ISN 리스트가 존재하면, 존재하는 ISN리스트의 수 만큼 해당 IP를 공유하는 공유 사용자 단말이 있는 것으로 판별하는 선형성 판별수단;Lists the read ISN values and checks linearity with time for each IP, and if there is an ISN list having at least one linearity in one IP, the corresponding IPs are provided as many as the number of ISN lists present. Linearity determination means for determining that there is a shared user terminal to share; 상기 IP공유 사용자 단말 검출 결과를 주기적으로 로깅 및 저장하는 저장매체;를 구비하는 것을 특징으로 하는 IP공유기 검출시스템.And a storage medium for periodically logging and storing the IP sharing user terminal detection result. 제 1항에 있어서,The method of claim 1, 상기 ISN 독출수단은 TCP/IP 프로토콜에서 TCP의 연결 설정을 위해 수행되는 3-Way Handshaking 패킷 중 TCP 플래그의 SYN bit가 1로 설정 된 패킷의 시퀀스 넘버를 ISN 값으로 독출하는 것을 특징으로 하는 IP공유기 검출시스템.The ISN reading means reads the sequence number of the packet in which the SYN bit of the TCP flag is set to 1 in the 3-Way Handshaking packet performed for establishing a TCP connection in the TCP / IP protocol as an ISN value. Router Detection System. 제 1항에 있어서,The method of claim 1, 상기 ISN 독출수단은 TCP/IP 프로토콜에서 TCP의 연결 설정을 위해 수행되는 3-Way Handshaking 패킷 중 SYN 패킷 전송 후 수신측에서 응답하는 패킷으로 TCP플래그가 ACK|SYN 비트가 모두 1로 설정 된 패킷의 응답번호(Acknowledgement Number)나 응답번호에 일정한 값을 증감한 값을 ISN값으로 독출하는 것을 특징으로 하는 IP공유기 검출시스템.The ISN reading means is a packet that responds at the receiving side after transmitting a SYN packet among 3-Way Handshaking packets performed for establishing a TCP connection in the TCP / IP protocol. An IP router detection system characterized by reading an acknowledgment number or a value obtained by incrementing or decrementing a response value as an ISN value. 제 1항에 있어서,The method of claim 1, 상기 선형성 판별수단은The linearity determining means 상기 독출된 ISN값을 기존의 ISN리스트에 삽입하고, ISN 리스트의 기존 ISN 값과 시간별 선형성이 있는지 여부를 판단하여, 상기 삽입된 ISN값이 기존 ISN값과 시간별 선형성이 유지되지 않으면, 해당 IP에 처음 ISN 리스트 이외에 새롭게 독출된 ISN값과 선형성을 갖는 다른 ISN 리스트들이 있는지 검색하고,The read ISN value is inserted into an existing ISN list, and it is determined whether or not linearity with an existing ISN value of the ISN list exists over time. In addition to the first ISN list, search for other ISN lists having linearity with newly read ISN values. 상기 삽입된 ISN값과 선형성을 갖는 다른 ISN리스트가 있으면, 상기 다른 ISN 리스트에 ISN값을 삽입하고,If there is another ISN list having linearity with the inserted ISN value, an ISN value is inserted into the other ISN list, 상기 삽입된 ISN값과 선형성을 갖는 ISN 리스트가 존재하지 않으면, 해당 IP 리스트에 새로운 ISN 리스트를 생성하는 것을 특징으로 하는 IP공유기 검출시스템.And if there is no ISN list having linearity with the inserted ISN value, generating a new ISN list in the corresponding IP list. 제 3항에 있어서,The method of claim 3, wherein 상기 선형성 판별수단은The linearity determining means 새롭게 삽입된 ISN값을 ISNnew, 기존에 유지되고 있는 ISN리스트의 마지막값을 ISNold, ISNold가 수신된 시간부터 ISNnew가 수신된 시간까지의 경과시간을 Eisn, 그리고 ISN리스트간의 일정한 증가계수를 T라고 지정한 경우,The newly inserted ISN value is ISN new , the last value of the previously maintained ISN list is the elapsed time from when ISN old , ISN old is received to the time that ISN new is received, E isn , and the ISN list is a constant increase. If you specify the coefficient as T, -(Eisn x T) < (ISNnew - ISNold) < (Eisn x T)-(E isn x T) <(ISN new -ISN old ) <(E isn x T) 상기 ISNnew와 ISNold 사이의 선형성판단은 상기의 수식이 참이면, 선형성을 가지고 있다고 판단하고, 거짓일 경우, 선형성이 없는 것으로 판단하는 ISN값으로 판단하는 것을 특징으로 하는 IP공유기 검출시스템.The linearity determination between the ISN new and the ISN old is determined to have linearity if the above formula is true, and to determine the ISN value if false, if it is false, to determine the linearity.
KR1020040040024A 2004-06-02 2004-06-02 Analyzing system for network device KR100643215B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040040024A KR100643215B1 (en) 2004-06-02 2004-06-02 Analyzing system for network device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040040024A KR100643215B1 (en) 2004-06-02 2004-06-02 Analyzing system for network device

Publications (2)

Publication Number Publication Date
KR20050114917A true KR20050114917A (en) 2005-12-07
KR100643215B1 KR100643215B1 (en) 2006-11-10

Family

ID=37289022

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040040024A KR100643215B1 (en) 2004-06-02 2004-06-02 Analyzing system for network device

Country Status (1)

Country Link
KR (1) KR100643215B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101299727B (en) * 2008-06-30 2010-09-29 中兴通讯股份有限公司 Traffic mirroring method and system based on user

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101047997B1 (en) * 2010-12-07 2011-07-13 플러스기술주식회사 A detecting system and a management method for terminals sharing by analyzing network packets and a method of service
KR101049924B1 (en) 2011-02-08 2011-07-15 플러스기술주식회사 A method for detecting sharing terminals by analyzing unconstructed data patterns

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5708654A (en) 1996-11-27 1998-01-13 Arndt; Manfred R. Method for detecting proxy ARP replies from devices in a local area network
JP3561129B2 (en) 1997-11-10 2004-09-02 三菱電機株式会社 Network monitoring device and method for recognizing connected terminal of repeater hub
KR20020085301A (en) * 2001-05-07 2002-11-16 (주)아이티테크 Method of Intercepting IP Sharer
KR100504389B1 (en) * 2001-12-27 2005-07-27 스콥정보통신 주식회사 IP Public ownership flag detection system and the method

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101299727B (en) * 2008-06-30 2010-09-29 中兴通讯股份有限公司 Traffic mirroring method and system based on user

Also Published As

Publication number Publication date
KR100643215B1 (en) 2006-11-10

Similar Documents

Publication Publication Date Title
US7706296B2 (en) Lightweight packet-drop detection for ad hoc networks
US8397284B2 (en) Detection of distributed denial of service attacks in autonomous system domains
JP4501280B2 (en) Method and apparatus for providing network and computer system security
US7162740B2 (en) Denial of service defense by proxy
US7331060B1 (en) Dynamic DoS flooding protection
US8270309B1 (en) Systems for monitoring delivery performance of a packet flow between reference nodes
US20080126531A1 (en) Blacklisting based on a traffic rule violation
JP2019134484A (en) System and method for regulating access request
CN1514625A (en) Detecting of network attack
CN101009607A (en) Systems and methods for detecting and preventing flooding attacks in a network environment
CN109040140B (en) Slow attack detection method and device
Zseby et al. IP flow information export (IPFIX) applicability
CN108810008B (en) Transmission control protocol flow filtering method, device, server and storage medium
Lu et al. A novel path‐based approach for single‐packet IP traceback
KR100643215B1 (en) Analyzing system for network device
GB2414907A (en) Deleting Security Associations according to traffic levels
Bellaïche et al. SYN flooding attack detection by TCP handshake anomalies
US11509565B2 (en) Network link verification
Thing et al. Locating network domain entry and exit point/path for DDoS attack traffic
JP2009284433A (en) System and method for detecting and controlling p2p terminal
CN113595769B (en) Multi-node network delay time window calculation method for hopping network
Bhandari et al. Intrusion detection system for identification of throughput degradation attack on TCP
JP4489714B2 (en) Packet aggregation method, apparatus, and program
Arikan Attack profiling for ddos benchmarks
Stefanidis et al. Packet-marking scheme for DDoS attack prevention

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120821

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20130814

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20140813

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20150727

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20160722

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20170928

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20181024

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20191018

Year of fee payment: 14