KR20190083498A - packet filtering system for preventing DDoS attack - Google Patents
packet filtering system for preventing DDoS attack Download PDFInfo
- Publication number
- KR20190083498A KR20190083498A KR1020180001214A KR20180001214A KR20190083498A KR 20190083498 A KR20190083498 A KR 20190083498A KR 1020180001214 A KR1020180001214 A KR 1020180001214A KR 20180001214 A KR20180001214 A KR 20180001214A KR 20190083498 A KR20190083498 A KR 20190083498A
- Authority
- KR
- South Korea
- Prior art keywords
- packet
- network
- analysis module
- filtering system
- module
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
본 발명은 디도스 공격 차단을 위한 패킷 필터링 시스템에 관한 것으로서, 상세하게는 통신망과 클라이언트 단말기 사이에 설치되어 디도스 유형의 패킷을 차단되게 처리하는 패킷 필터링 시스템에 관한 것이다. BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a packet filtering system for blocking a DoDoS attack, and more particularly, to a packet filtering system installed between a communication network and a client terminal to process a packet of a dense type.
일반적으로 디도스(DDoS : Destributed Denial of Service)란 해킹 방식의 하나로서 다수의 공격자를 분산 배치한 후 동시에 서비스 거부 공격을 함으로써 목표 대상인 특정 사이트 또는 시스템이 정상 서비스를 제공할 수 없도록 하는 것을 의미한다.In general, DDoS (Distributed Denial of Service) is one of the hacking schemes, which means that a specific target site or system can not provide normal service by performing a denial of service attack after distributing a large number of attackers .
최근 발생 빈도가 증가하고 있는 디도스 공격은 다양한 방법으로 이루어지는데, 일반적으로 명령을 수신할 수 있는 프로그램들을 다수의 컴퓨터, 다시 말해서 좀비 피시(Zombie PC)에 심어 놓은 후 목표 사이트의 시스템이 처리할 수 없는 엄청난 량의 패킷을 다수의 컴퓨터에서 동시에 전송하여 목표 사이트의 시스템 과부하로 인한 네트워크 성능 저하 또는 시스템 자체의 마비를 유발하는 방식이 주로 사용된다.DIDOS attacks, which are increasing in frequency, are implemented in a variety of ways. In general, programs that can receive commands are placed on a large number of computers, that is, Zombie PCs. A large amount of packets that can not be transmitted at the same time from a plurality of computers is often used to cause degradation of network performance due to system overload of the target site or paralysis of the system itself.
디도스 공격 명령을 전달하는 C&C(Command & Control) 서버는 명령을 수신할 수 있는 프로그램이 포함된 악성코드를 유포하기 위해 보안이 취약한 특정 사이트의 웹서버를 해킹하게 되며, 해킹된 후 악성코드 유포에 악용되는 특정 사이트를 방문한 피씨 사용자 중 보안이 취약한 피시(PC)를 사용하는 사용자의 경우 특정 사이트를 방문하는 것만으로도 봇(Bot)에 감염되게 된다.The Command & Control (C & C) server, which transmits the DDoS attack command, hackes the web server of a specific security site in order to distribute malicious code containing a program capable of receiving commands. (PC) users who visited a specific site that is exploited for exploiting the vulnerable PCs would be infected with a bot simply by visiting a specific site.
그리고, 봇에 감염된 피씨는 좀비 피시(Zombie PC)가 되어 C&C 서버를 통해 전달되는 공격 명령에 따라 디도스 공격에 악용되게 되며, 이에 더하여 다른 피씨를 감염시키거나, 피씨 사용자의 개인 정보를 유출하거나, 또는 피씨의 하드 디스크를 파괴시키는 등의 치명적인 악성 행위를 수행하게 된다.In addition, the PC infected with the bot becomes Zombie PC, which is exploited by the attack command transmitted through the C & C server. In addition, it infects another PC or leaks personal information of the PC user , Or destroys the PC's hard disk.
이에 따라, 디도스에 대응하기 위한 장비들이 다수 개발되었으며 대부분의 디도스 대응 장비들의 경우 비정상적으로 많이 들어오는 네트워크 트래픽을 차단하거나 또는 상기 비정상적으로 많이 들어오는 네트워크 트래픽이 우회하도록 함으로써 기존의 서비스 서버들이 안정적인 서비스를 제공할 수 있도록 한다.Accordingly, a large number of devices have been developed to support the DODOS, and in most DODOS-capable devices, it is possible to block an abnormally large amount of network traffic or bypass the abnormally large amount of network traffic, .
이러한 디도스 방어 시스템은 국내 등록특허 제10-1078407호 등 다양하게 게시되어 있다.Such a Didos defense system is variously disclosed in Korean Patent No. 10-1078407.
그런데, 종래의 시스템은 들어가는 트래픽과 나가는 트래픽의 비대칭 차이로부터 디도스를 판단하는 방식을 적용하고 있어 디도스 판단유형이 제한적이다.However, in the conventional system, the method of judging the distance from the asymmetric difference between the incoming traffic and the outgoing traffic is applied, and the type of the judgment is limited.
따라서, 보다 확장된 디도스 유형 판단방식을 적용하여 패킷을 필터링하는 방식이 요구되고 있다. Accordingly, there is a demand for a method of filtering packets by applying a more extended DoDOS type determination method.
본 발명은 상기와 같은 요구사항을 해결하기 위하여 창안된 것으로서, 패킷을 분석하여 디도스 공격을 차단할 수 있는 패킷 필터링 시스템을 제공하는데 그 목적이 있다.It is an object of the present invention to provide a packet filtering system capable of blocking a DoDoS attack by analyzing a packet.
상기의 목적을 달성하기 위하여 본 발명에 따른 디도스 공격 차단을 위한 패킷 필터링 시스템은 네트워크 통신망과 클라이언트 단말기 사이에 접속되어 디도스에 대응되는 패킷을 차단하는 패킷 필터링 시스템에 있어서, 상기 네트워크 통신망과 상기 클라이언트 단말기 사이에서 송수신되는 패킷을 분석하고, 분석된 패킷이 디도스 유형에 해당하는 것으로 판단되면 패킷 송수신을 차단하는 네트워크 패킷 분석모듈과; 패킷의 전송 허용에 대응하는 화이트 인터넷주소를 저장하고, 상기 네트워크 패킷 분석모듈에 저장된 화이트 인터넷주소 정보를 제공하는 화이트리스트 관리모듈과; 상기 네트워크 통신망과 접속된 관리서버와의 통신시 전송데이터를 암호화하는 인증 및 보안모듈;을 구비한다.According to another aspect of the present invention, there is provided a packet filtering system for blocking a DoS attack, the system comprising: a packet filtering system for blocking a packet corresponding to a DODOS connected between a network communication network and a client terminal, A network packet analysis module for analyzing packets transmitted and received between client terminals and for blocking transmission and reception of packets when it is determined that the analyzed packets correspond to a data type; A white list management module for storing a white internet address corresponding to a packet transmission permission and providing white internet address information stored in the network packet analysis module; And an authentication and security module for encrypting transmission data when communicating with a management server connected to the network communication network.
바람직하게는 키보드 또는 마우스와 인터페이싱하며 입력된 정보를 처리하여 상기 네트워크 패킷 분석모듈에 제공하는 외부 인터페이스 모듈을 더 구비하고, 상기 네트워크 패킷 분석모듈은 수신된 패킷의 소스 IP주소가 클라이언트 단말기의 IP주소와 다르면 디도스유형으로 판단하여 패킷 전송을 차단되게 처리한다.Preferably, the network packet analyzing module further comprises an external interface module for interfacing with a keyboard or a mouse and processing input information to the network packet analyzing module. The network packet analyzing module analyzes the source IP address of the received packet, It is judged to be a data type and the packet transmission is interrupted.
본 발명에 따른 디도스 공격 차단을 위한 패킷 필터링 시스템에 의하면, 패킷을 분석하여 디도스 유형에 해당하는 것을 차단함으로써, 디도스 차단 효율을 향상시킬 수 있다.According to the packet filtering system for blocking the DoDoS attack according to the present invention, it is possible to improve the deduplication efficiency by analyzing the packet and blocking the packet type.
도 1은 본 발명에 따른 디도스 공격 차단을 위한 패킷 필터링 시스템을 나타내 보인 블록도이다.FIG. 1 is a block diagram illustrating a packet filtering system for blocking a DoDoS attack according to the present invention.
이하, 첨부된 도면을 참조하면서 본 발명의 바람직한 실시예에 따른 디도스 공격 차단을 위한 패킷 필터링 시스템을 더욱 상세하게 설명한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, a packet filtering system for blocking DoDoS attacks according to a preferred embodiment of the present invention will be described in detail with reference to the accompanying drawings.
도 1은 본 발명에 따른 디도스 공격 차단을 위한 패킷 필터링 시스템을 나타내 보인 블록도이다.FIG. 1 is a block diagram illustrating a packet filtering system for blocking a DoDoS attack according to the present invention.
도 1을 참조하면, 본 발명에 따른 디도스 공격 차단을 위한 패킷 필터링 시스템(100)은 네트워크 통신망(10)과 사용자 컴퓨터(PC) 사이에 접속되어 디도스에 대응되는 패킷을 차단한다.Referring to FIG. 1, a
사용자 컴퓨터(30)는 클라이언트 단말기의 일 예로서 적용된 것이다.The
사용자 컴퓨터는 노트북컴퓨터, 데스크탑 컴퓨터 등 가정 및 사무실에서 인터넷 통신을 지원하며 사용되는 단말기 들이 적용될 수 있다. The user computer may be a terminal that supports internet communication in a home or office such as a notebook computer and a desktop computer.
패킷 필터링 시스템(100)은 네트워크 패킷 분석모듈(110), 화이트리스트 관리모듈(120), 인증 및 보안모듈(130), 스마트 카드(135), 외부인터페이스 모듈(140)를 구비한다.The
네트워크 패킷 분석모듈(110)은 네트워크 통신망(10)과 사용자 PC(30) 사이에서 송수신되는 패킷을 분석하고, 분석된 패킷이 디도스 유형에 해당하는 것으로 판단되면 패킷 송수신을 차단한다.The network
네트워크 패킷 분석모듈(110)은 네트워크 억세스 계층과, 인터넷 계층, 트랜스 포트 계층을 분석대상으로 한다.The network
네트워크 패킷 분석모듈(110)은 물리적으로 최하위 층인 이더넷 프레임의 DA(Destination Address)와 SA(Source Address), IP주소를 분석하여 디도스 유형에 해당하는 판단하고, 디도스 유형에 해당하면 디도스 공격으로 결정하여 패킷 송수신을 차단한다.The network
네트워크 패킷 분석모듈(110)은 화이트리스트 관리모듈(120)의 리스트에 등록된 화이트 인터넷 주소와 수신된 패킷의 인터넷 계층의 IP패킷 주소를 비교하여 디도스 유형에 해당하는지를 판단한다.The network
바람직하게는 네트워크 패킷 분석모듈(110)은 수신된 패킷의 소스 IP주소가 사용자 PC(30)의 IP주소와 다르면 디도스유형으로 판단하여 패킷 전송을 차단되게 처리한다.If the source IP address of the received packet is different from the IP address of the
화이트리스트 관리모듈(120)은 패킷의 전송 및 수신 허용에 대응하는 화이트 인터넷주소를 저장하고, 네트워크 패킷 분석모듈(110)에 저장된 화이트 인터넷주소 정보를 제공한다.The white
화이트리스트 관리모듈(120)은 통신망(10)를 통해 관리서버(200)로부터 화이트 인터넷주소에 대한 업데이트 정보를 수신하여 갱신되게 처리한다.The white
화이트리스트 관리모듈(120)은 후술되는 인증 및 보안모듈(130)의 지원하에 관리서버(200)와 상호 인증과정을 거친 후 암호화환 업데이트 데이터를 복호화한 후 갱신되게 처리한다.The
인증 및 보안모듈(130)은 네트워크 통신망(10)과 접속된 관리서버(200)와의 통신시 전송데이터를 암호화하고, 관리서버(200)로부터 암호화되어 전송된 정보를복호화한다.The authentication and
인증 및 보안모듈(130)은 인증 및 보안모듈(130)은 스마트카드(135)를 통한 키 관리 및 필터링 시스템(100) 인증용 전자서명을 처리할 수 있도록 되어 있다.The authentication and
인증 및 보안모듈(130)은 ECC(Elliptic Curve Cryptography)를 이용한 ECDSA 구정을 따르는 전자서명을 지원하도록 구축된다.The authentication and
인증 및 보안모듈(130)은 데이터 보호를 위한 암호 키는 AES(Advanced Encryption Standard)와, CBC(Cipher Block Chaining)모드를 적용할 수 있다.The authentication and
외부 인터페이스 모듈(140)은 키보드(142) 또는 마우스(144)와 인터페이싱하며 입력된 정보를 처리하여 네트워크 패킷 분석모듈(110)에 제공한다.The
외부 인터페이스 모듈(140)은 와이파이(WIFI) 또는 블루투스 방식의 인터페이스도 지원하도록 구축될 수 있음은 물론이다.It goes without saying that the
바람직하게는 사용자 PC(30)에는 자체 키보드에 대한 정보 입력여부에 대한 정보를 외부 인터페이스모듈(140)에 제공하는 키입력상태정보 전단모듈(미도시)이 설치되고, 외부 인터페이스 모듈(140)은 사용자 PC(30)의 키보드(미도시)의 입력 유무에 대한 정보를 사용자 PC(30)로부터 제공받아 네트워크 패킷 분석모듈(110)로 제공한다.Preferably, the user PC 30 is provided with a key input status information pre-module (not shown) for providing the
이 경우 네트워크 패킷 분석모듈(110)은 사용자 PC(30)로부터 통신망(10)을 통해 전송하고자 생성되어 수신된 패킷상에 사용자PC(30)의 키보드 입력이 없는 상태에서 화이트리스트에 등록된 IP주소가 있으면서 일정한 간격으로 억세스 요구 패킷을 보내는 것으로 파악되면 디도스 유형으로 판단하여 패킷 전송을 차단되게 처리한다.In this case, the network
한편, 관리서버(200)는 필터링 시스템(100)의 화이트 리스트의 업데이트와 필터링 시스템(100)의 펌웨어의 업그레이드를 지원하며, 각 필터링 시스템(100)을 관리하기 위한 고유번호가 등록되어 있다. Meanwhile, the
이러한 디도스 공격 차단을 위한 패킷 필터링 시스템에 의하면, 패킷을 분석하여 디도스 유형에 해당하는 것을 차단함으로써, 디도스 차단 효율을 향상시킬 수 있다.According to the packet filtering system for blocking the DoDoS attack, packets can be analyzed to block the corresponding data type, thereby improving the data blocking efficiency.
110: 네트워크 패킷 분석모듈 120: 화이트리스트 관리모듈
130: 인증 및 보안모듈 135: 스마트 카드
140: 외부인터페이스 모듈110: network packet analysis module 120: whitelist management module
130: authentication and security module 135: smart card
140: External interface module
Claims (2)
상기 네트워크 통신망과 상기 클라이언트 단말기 사이에서 송수신되는 패킷을 분석하고, 분석된 패킷이 디도스 유형에 해당하는 것으로 판단되면 패킷 송수신을 차단하는 네트워크 패킷 분석모듈과;
패킷의 전송 허용에 대응하는 화이트 인터넷주소를 저장하고, 상기 네트워크 패킷 분석모듈에 저장된 화이트 인터넷주소 정보를 제공하는 화이트리스트 관리모듈과;
상기 네트워크 통신망과 접속된 관리서버와의 통신시 전송데이터를 암호화하는 인증 및 보안모듈;을 구비하는 것을 특징으로 하는 디도스 공격 차단을 위한 패킷 필터링 시스템.A packet filtering system connected between a network communication network and a client terminal for blocking a packet corresponding to a data service,
A network packet analysis module for analyzing packets transmitted and received between the network communication network and the client terminal and for blocking transmission and reception of packets when it is determined that the analyzed packets correspond to a data type;
A white list management module for storing a white internet address corresponding to a packet transmission permission and providing white internet address information stored in the network packet analysis module;
And an authentication and security module for encrypting transmission data when communicating with a management server connected to the network communication network.
상기 네트워크 패킷 분석모듈은 수신된 패킷의 소스 IP주소가 클라이언트 단말기의 IP주소와 다르면 디도스유형으로 판단하여 패킷 전송을 차단되게 처리하는 것을 특징으로 하는 디도스 공격 차단을 위한 패킷 필터링 시스템.The network packet analysis module of claim 1, further comprising an external interface module for interfacing with a keyboard or a mouse, processing the input information and providing the processed information to the network packet analysis module,
Wherein the network packet analysis module determines that the source IP address of the received packet is different from the IP address of the client terminal, and determines that the packet is transmitted in the packet filtering mode.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180001214A KR20190083498A (en) | 2018-01-04 | 2018-01-04 | packet filtering system for preventing DDoS attack |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180001214A KR20190083498A (en) | 2018-01-04 | 2018-01-04 | packet filtering system for preventing DDoS attack |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20190083498A true KR20190083498A (en) | 2019-07-12 |
Family
ID=67254050
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020180001214A KR20190083498A (en) | 2018-01-04 | 2018-01-04 | packet filtering system for preventing DDoS attack |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20190083498A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2021150851A (en) * | 2020-03-19 | 2021-09-27 | 株式会社東芝 | Communication device, information processing system and program |
KR102401661B1 (en) * | 2021-06-23 | 2022-05-24 | 김응노 | SYSTEM OF DETECTION AND DEFENSING AGAINST DDoS ATTACK AND METHOD THEREOF |
-
2018
- 2018-01-04 KR KR1020180001214A patent/KR20190083498A/en not_active Application Discontinuation
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2021150851A (en) * | 2020-03-19 | 2021-09-27 | 株式会社東芝 | Communication device, information processing system and program |
KR102401661B1 (en) * | 2021-06-23 | 2022-05-24 | 김응노 | SYSTEM OF DETECTION AND DEFENSING AGAINST DDoS ATTACK AND METHOD THEREOF |
KR20220170738A (en) * | 2021-06-23 | 2022-12-30 | (주) 뉴엔네트웍스 | SYSTEM OF DETECTION AND DEFENSING AGAINST DDoS ATTACK AND METHOD THEREOF |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10824736B2 (en) | Industrial security agent platform | |
US8661252B2 (en) | Secure network address provisioning | |
US9374339B2 (en) | Authentication of remote host via closed ports | |
US8543808B2 (en) | Trusted intermediary for network data processing | |
US9210128B2 (en) | Filtering of applications for access to an enterprise network | |
US10440038B2 (en) | Configuration management for network activity detectors | |
US10841840B2 (en) | Processing packets in a computer system | |
WO2020122977A1 (en) | Timestamp-based authentication with redirection | |
KR101091780B1 (en) | Apparatus and method for blocking arp spoofing using arp table | |
US20110154469A1 (en) | Methods, systems, and computer program products for access control services using source port filtering | |
KR20190083498A (en) | packet filtering system for preventing DDoS attack | |
US20230403258A1 (en) | Secure configuration of a virtual private network server | |
US20170295142A1 (en) | Three-Tiered Security and Computational Architecture | |
EP3001639B1 (en) | Industrial security agent platform | |
US11848945B1 (en) | Stateless system to enable data breach | |
US20230308433A1 (en) | Early termination of secure handshakes | |
US20230269234A1 (en) | Adjusting Data Communication in a Virtual Private Network Environment | |
Bilski | New challenges in network security | |
KR100663757B1 (en) | Security network system | |
Ngo et al. | Secure Shell (SSH) |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E601 | Decision to refuse application |