KR100564750B1 - Tcp 연결 가로채기를 이용한 연결 기반 역추적 장치 및그 방법 - Google Patents

Tcp 연결 가로채기를 이용한 연결 기반 역추적 장치 및그 방법 Download PDF

Info

Publication number
KR100564750B1
KR100564750B1 KR1020030080541A KR20030080541A KR100564750B1 KR 100564750 B1 KR100564750 B1 KR 100564750B1 KR 1020030080541 A KR1020030080541 A KR 1020030080541A KR 20030080541 A KR20030080541 A KR 20030080541A KR 100564750 B1 KR100564750 B1 KR 100564750B1
Authority
KR
South Korea
Prior art keywords
packet
response
attack
response packet
sequence information
Prior art date
Application number
KR1020030080541A
Other languages
English (en)
Other versions
KR20050046924A (ko
Inventor
한승완
김환국
서동일
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020030080541A priority Critical patent/KR100564750B1/ko
Publication of KR20050046924A publication Critical patent/KR20050046924A/ko
Application granted granted Critical
Publication of KR100564750B1 publication Critical patent/KR100564750B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Abstract

연결 기반 역추적 장치 및 방법이 개시된다. 패킷 식별부는 공격패킷에 대한 응신으로 출력되는 응답패킷을 식별한다. 표식 삽입부는 응답패킷에 공격자 시스템의 위치를 역추적하기 위한 소정의 표식을 삽입하여 전송한다. 시퀀스 관리부는 표식의 삽입으로 변경된 응답 패킷의 시퀀스 정보를 변경전의 시퀀스 정보와 함께 저장하고 응답패킷에 대한 응신으로 소정의 패킷을 수신하면 수신한 패킷의 시퀀스 정보를 저장된 시퀀스 정보를 기초로 변경하여 전송한다. 이로써, 공격자 시스템과 피해 시스템사이의 TCP 연결을 유지하고 공격자 시스템의 위치를 역추적할 수 있다.
공격 패킷, 응답 패킷, 시퀀스 정보, 역추적

Description

TCP 연결 가로채기를 이용한 연결 기반 역추적 장치 및 그 방법{Apparatus and method for providing a connecition traceback using TCP connection hijacking}
도 1a 및 도 1b는 본 발명에 사용되는 IP 패킷의 구조를 도시한 도면,
도 2a는 본 발명에 따른 연결 기반 역추적 시스템의 일 실시예를 도시한 도면,
도 2b는 본 발명에 따른 연결 기반 역추적 시스템의 다른 실시예를 도시한 도면,
도 3은 본 발명에 따른 연결 기반 역추적 시스템의 다른 실시예를 도시한 도면,
도 4는 본 발명에 따른 연결 기반 역추적 시스템의 TCP 연결 유지 방법을 도시한 도면, 그리고,
도 5는 본 발명에 따른 연결 기반 역추적 방법의 흐름을 도시한 도면이다.
본 발명은 역추적 장치 및 그 방법에 관한 것으로서, 보다 상세하게는 TCP 연결 가로채기를 이용한 연결 기반 역추적 장치 및 방법에 관한 것이다.
종래의 침입자 역추적 기술은 분산 서비스 거부 공격(DDoS)형태의 스푸핑(spoofing)된 IP를 추적하기 위한 IP Traceback 기술과 stepping stone 형태의 여러 시스템을 경유하는 공격 형태의 실제 TCP Connection을 추적하기 위한 TCP 연결 역추적 기술로 분류가 된다.
TCP 연결 역추적(TCP Connection Traceback)기술은 TCP 연결을 기반으로 우회 공격을 시도하는 해커의 실제 위치를 실시간으로 추적하는 기법이다. 또한, 흔히 연결 체인(Connection Chain) 역추적 기술이라고 불리기도 한다.
여기서, 연결 체인이란 컴퓨터 H0 의 한 사용자가 네트워크를 통해 다른 시스템 H1 으로 로그인하면, 두 시스템 H0 와 H1 간에는 TCP 연결 C 1이 생성된다. 이때 같은 사용자가 시스템 H1 에서 H2 로, 또 H3 ...,HN 으로 로그인하게 되면 각각의 해당 시스템들 간에는 TCP 연결 C2, C3,...,CN이 같은 방식으로 생성된다. 이때 이 일련의 연결들의 집합 C=(C1, C2,...,CN)를 연결 체인이라 한다. 즉, 해커가 실제로 위치한 시스템으로부터 여러 시스템을 경유하여 실제 공격을 당하고 있는 시스템까지의 연결들의 집합을 말한다.
TCP 연결 역추적 기술은 다시 크게 2가지로 분류된다. 이는 호스트 기반 연결 역추적(Host-based connection traceback) 기술과 네트워크 기반 연결 역추적(Network-based connection traceback) 기술로 분류된다.
IP 패킷 역추적(packet traceback)기술은 IP 주소가 변경된 패킷의 실제 송신지를 추적하기 위한 기술을 말한다. 일반적으로 IP 주소가 변경된 패킷은 악의적으로 사용되는 경우가 대부분이다. 특히 서비스 거부(Denial of Service:DoS), 혹은 분산 서비스 거부(Distributed Denial of Service:DDoS)공격에 주로 사용된다.
IP 주소가 변경되는 경우에는 TCP 연결을 유지할 수 없기 때문에, 일방적인 패킷 송신으로 공격이 가능한 DoS 혹은 DDoS에서 주로 사용되는 것이다. 물론 과거 IP Spoofing 이라 알려져 있는 해킹 기법을 이용하는 경우 IP 주소가 변경된 패킷을 이용하여 공격하고자 하는 대상 시스템에 백도어를 설치하도록 하는 기법이 사용되기도 하였으나, 이를 위해서는 TCP Sequence Number Guessing 과정이 필요하기 때문에 최근에는 거의 사용되지 않고 있다.
또한 IP 패킷 역추적은 현재 특정 시스템으로 IP 주소가 변경된 패킷을 송신하는 시스템을 찾는 기술로서, 여러 중간 경유지를 추적하여 실제 해커의 위치를 찾는 TCP 연결 역추적 기술과는 해결하고자 하는 문제의 대상에 차이가 있다.
종래의 응답패킷 변형을 이용한 역추적 기술은 피해 시스템의 응답 패킷에 특정 표식을 삽입함으로써 응답 패킷을 식별 가능하게 하여 패킷의 경로 추적을 용이하게 한다. 패킷에 특정 표식의 삽입은 패킷의 헤더 또는 패킷의 내용(payload)에 삽입될 수 있다.
그러나, 연결 공격을 수행하는 공격자는 여러 중간 시스템을 경유하는 우회 공격을 시도하기 때문에 그러한 상황에서 특정 표식이 삽입된 응답 패킷이 공격자까지 도달하기 위해서는 특정 표식을 패킷의 내용에 삽입해야 한다.
이러한 경우에 응답 패킷에 특정 표식의 추가는 패킷의 길이를 변화시키게 되고, 그 결과로서 인터넷의 연결 지향 프로토콜인 TCP 프로토콜이 사용하는 시퀀스 번호(Sequence Number)의 변경을 초래하여 TCP 프로토콜이 제대로 동작하지 못한다. 이것은 공격자와 피해 시스템 사이의 TCP 연결을 손상시키고, 공격자로 하여금 역추적이 진행되는 것을 인지하도록 한다.
이런 현상을 방지하기 위해 응답 패킷 변형을 이용한 역추적 기술에서는 패킷의 내용에 특정 표식을 삽입하는 대신 기존의 패킷 내용을 덮어쓰게 하는데 이러한 경우에도 공격자는 실제 자신이 수신해야 할 데이터의 손상으로 인하여 역추적의 진행 여부를 인식할 수 있게 된다.
본 발명이 이루고자 하는 기술적 과제는, 피해 시스템의 응답 패킷에 역추적을 위한 소정의 표식을 삽입하더라도 공격자와 피해 시스템 사이의 TCP 연결이 손상되지 않도록 하는 연결 기반 역추적 장치 및 방법을 제공하는 데 있다.
본 발명이 이루고자 하는 다른 기술적 과제는, 피해 시스템의 응답 패킷에 역추적을 위한 소정의 표식을 삽입하더라도 공격자와 피해 시스템 사이의 TCP 연결이 손상되지 않도록 하는 연결 기반 역추적 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는 데 있다.
상기의 기술적 과제를 달성하기 위한, 본 발명에 따른 연결 기반 역추적 장치의 일 실시예는, 공격패킷에 대한 응신으로 출력되는 응답패킷을 식별하는 패킷 식별부; 상기 응답패킷에 공격자 시스템의 위치를 역추적하기 위한 소정의 표식을 삽입하여 전송하는 표식 삽입부; 및 상기 표식의 삽입으로 변경된 응답 패킷의 시퀀스 정보를 변경전의 시퀀스 정보와 함께 저장하고 상기 응답패킷에 대한 응신으로 소정의 패킷을 수신하면 상기 수신한 패킷의 시퀀스 정보를 상기 저장된 시퀀스 정보를 기초로 변경하여 전송하는 시퀀스 관리부;를 포함한다.
상기의 기술적 과제를 달성하기 위한, 본 발명에 따른 연결 기반 역추적 방법의 일 실시예는, (a) 공격패킷에 대한 응신으로 출력되는 응답패킷을 식별하는 단계; (b) 상기 응답패킷에 공격자 시스템의 위치를 역추적하기 위한 소정의 표식을 삽입하여 전송하는 단계; 및 (c) 상기 표식의 삽입으로 변경된 응답 패킷의 시퀀스 정보를 변경전의 시퀀스 정보와 함께 저장하고 상기 응답패킷에 대한 응신으로 소정의 패킷을 수신하면 상기 수신한 패킷의 시퀀스 정보를 상기 저장된 시퀀스 정보를 기초로 변경하여 전송하는 단계;를 포함한다.
본 발명에 따르면, 피해 시스템의 응답 패킷에 역추적을 위한 소정의 표식을 삽입하더라도 공격자 시스템과 피해 시스템사이의 TCP 연결을 유지하면서 공격자 시스템의 위치를 역추적할 수 있다.
이하에서, 첨부된 도면들을 참조하여 본 발명에 따른 연결 기반 역추적 장치 및 방법에 대하여 상세히 설명한다.
도 1a 및 도 1b는 본 발명에 사용되는 IP 패킷의 구조를 도시한 도면이다.
도 1a를 참조하면, IP 패킷(100)은 IP 헤더(102), TCP 헤더(104) 및 TCP 데이터(106)로 구성된다. IP 헤더(102)는 패킷의 목적지 및 근원지 주소를 포함한다. 목적지 및 근원지 주소는 일반적으로 IP address이다. TCP(104) 헤더 및 TCP 데이터(106)를 포함하는 TCP 데이터그램은 도 1b를 참조하여 상세히 설명한다.
도 1b를 참조하면, TCP 데이터그램(150)은 TCP 헤더(152 내지 174) 및 TCP 데이터(176) 부분으로 구성되고, TCP 헤더는 TCP 소스 포트(152), TCP 목적지 포트(154), 시퀀스 번호(156), ACK 번호(158), 헤더길이(160), WINDOW(166) 및 TCP checksum(168) 등을 포함한다.
TCP 소스 포트(152) 및 TCP 목적지 포트(154)는 패킷을 송신 및 수신하는 포트번호를 가리킨다. 시퀀스 번호(156)는 송신할 첫 번째 데이터의 순번을 가리키며, ACK 번호(158)는 다음에 수신할 데이터의 순번을 나타낸다. 헤더 길이(160)는 패킷에서 데이터가 시작하는 위치를 파악하기 위하여 헤더의 길이를 나타낸다. TCP에 대한 상세한 정보는 IETF의 RFC 739에 정의되어 있다.
도 2a는 본 발명에 따른 연결 기반 역추적 시스템의 일 실시예를 도시한 도면이다.
도 2a를 참조하면, 본 발명에 따른 연결 기반 역추적 시스템은 패킷 식별부(200), 표식 삽입부(205), 시퀀스 관리부(210) 및 시퀀스 관리정보(215)로 구성된다.
공격자 시스템이 직접 또는 우회 시스템을 통하여 피해 시스템을 공격하면 피해 시스템은 공격에 대한 응답패킷을 생성하여 출력한다. 여기서 공격자 시스템이란 정당하지 않는 방법으로 시스템의 특정권한 또는 정보를 획득하기 위하여 피해시스템을 공격하는 시스템을 말한다.
패킷 식별부(200)는 공격자 시스템의 공격 패킷에 대한 응신으로 피해 시스템으로부터 출력되는 응답패킷을 식별한다. 공격패킷 및 응답패킷은 IP 주소 및 포트 번호를 포함하고 있으며 공격자 시스템(또는 우회 시스템)과 피해 시스템의 공격 경로는 이러한 IP 주소와 포트번호를 이용하여 구분된다. 따라서 패킷 식별부(200)는 공격 패킷 및 응답 패킷을 IP 주소 및 포트번호를 이용하여 식별할 수 있다.
표식 삽입부(205)는 패킷 식별부(200)에 의해 식별된 응답패킷에 공격자 시스템의 위치를 역추적하기 위한 소정의 표식을 삽입한다. 소정의 표식이 삽입된 패킷은 공격자시스템(또는 우회 시스템을 경유하여 공격자시스템)으로 전송된다.
표식이 삽입된 응답패킷은 피해 시스템에서 생성한 응답패킷과 시퀀스 번호가 다르므로 공격자 시스템과 피해시스템 사이에 설정되는 TCP 연결은 비동기화된다. 즉 표식 삽입부(205)에 의해 표식이 삽입되면 삽입된 표식의 길이만큼 패킷의 시퀀스 번호는 변경된다. 아래의 수학식 1과 같이 변경된다.
표식 삽입 전 : Sequence(Host A)=Sequence(Host A) + Data_Len
표식 삽입 후 : Sequence(Watermark)=Sequence(Host A) + Data_Len + WM_Len
여기서, Sequence(Host A)는 피해 시스템에서 생성한 응답 패킷의 시퀀스 번호를 가리키며, Sequence(Watermark)는 표식이 삽인된 후의 시퀀스 번호이다. Data_Len은 패킷의 데이터의 길이를 가리키며, WM_Len은 표식의 길이를 가리킨다.
시퀀스 관리부(210)는 공격자 시스템과 피해 시스템사이의 TCP 연결 정보 및 표식 삽입 전과 후의 패킷의 시퀀스 정보(156,158), 삽입된 표식의 길이 정보 등을 시퀀스 관리정보(215)에 저장하고 관리한다.
본 발명에 따른 역추적 시스템은 표식이 삽입된 응답패킷을 공격자 시스템(또는 우회 시스템을 경유하여 공격자 시스템)으로 전송하고 이에 대한 응신으로 소정의 패킷을 수신한다. 수신되는 소정의 패킷은 일반적으로 SYN 패킷에 대한 ACK 패킷이다.
시퀀스 관리부(210)는 표식을 삽입한 응답패킷에 대한 응신으로 패킷을 수신하면 그 패킷의 시퀀스 정보(시퀀스 번호, ACK 번호)를 시퀀스 관리정보(215)에 저장된 시퀀스 정보를 기초로 변경한다. 즉 수신한 패킷의 시퀀스 번호를 표식이 삽입되기 전의 응답패킷의 시퀀스 정보와 동기되도록 변경하여 피해 시스템으로 전송함으로써, 공격자 시스템 및 피해 시스템 사이의 TCP 연결을 유지된다.
본 발명에 따른 연결 기반 역추적 시스템은 공격자 시스템과 피해 시스템사이에 비동기화를 만들고 양 시스템에서 송수신되는 패킷을 중간에서 가로채어 시퀀스 번호를 관리함으로써 양 시스템의 TCP 연결을 유지함을 특징으로 한다.
이와 같이 양 시스템간의 비동기화를 만드는 절차를 TCP Session Hijacking을 이용하여 설명하면 다음과 같다.
첫째, 클라이언트는 서버와의 접속을 생성하기 위해 SYN 패킷을 전송한다.
둘째, 공격자는 서버에서 클라이언트로 가는 SYN/ACK 패킷을 Listen 한다.
셋째, 패킷을 탐지 했을때 공격자는 서버에 rst(리셋)패킷을 보내 클라이언트와의 접속을 종료한다.
넷째, 공격자는 클라이언트가 보낸 패킷과 동일한 파라메터들을 가지지만 시퀀스 번호가 다른 SYN 패킷을 서버에 보낸다. 서버는 자신의 다른 일련번호를 가지고 같은 포트에 새로운 접속을 개방한다.
다섯째, 서버는 SYN/ACK 패킷을 클라이언트에 방송(broadcast)한다.
여섯째, 이 패킷을 탐지한 공격자는 서버에 ACK 패킷을 발송한다. 서버는 ESTABLISHED 상태로 전환된다. 클라이언트는 서버로부터 최초 SYN/ACK 패킷을 수신 했을 때 이미 ESTABLISHED 상태로 전환되어 있다.
즉, TCP 접속 양단은 비동기화상태로 만들어 접속 쌍방이 더 이상 데이터 전송이 불가능하도록 하며 공격자(제3의 호스트)는 실제 패킷을 흉내내어 양 쪽에서 수신될 수 있는 패킷을 생성한다.
도 2b는 본 발명에 따른 연결 기반 역추적 시스템의 다른 실시예의 구성을 도시한 도면이다.
도 2b를 참조하면, 본 발명에 따른 연결 기반 역추적 시스템은 공격 탐지부(250), 패킷 차단부(260), 연결 유지부(270) 및 역추적부(280)로 구성된다.
공격탐지부(250)는 피해 시스템의 로그파일, 피해시스템과 연결된 네트워크의 로그 파일, 피해 시스템의 특정 시스템 파일의 변경여부 등을 조사하여 상기 외부공격자에 의한 시스템 공격을 감지하고, 상기 시스템의 로그 파일을 기초로 공격패킷의 근원지 IP 주소 및 포트번호를 파악할 수 있다.
패킷 차단부(260)는 공격 탐지부(250)에 의해 피해시스템의 공격감지신호를 수신하면, 공격패킷 및 응답패킷을 차단한다. 공격패킷은 외부공격자가 피해시스템 공격을 위하여 피해 시스템으로 전송하는 패킷이고, 응답패킷은 공격을 받는 피해 시스템에서 외부공격자로 전송되는 공격패킷에 대한 응신이다.
연결 유지부(270)는 피해 시스템으로부터 공격패킷에 대한 응신으로 출력된 응답패킷을 식별하고, 식별된 응답패킷에 공격자 시스템의 역추적을 위한 표식을 삽입한 후 전송하고, 표식의 삽입으로 변경된 시퀀스 정보를 저장 관리하여 공격자 시스템 및 피해 시스템사이의 TCP 연결을 유지한다. 응답 패킷에 표식의 삽입으로 시퀀스 번호가 변경되므로 공격자 시스템 및 피해 시스템은 비동기상태가 된다. 이때 공격 패킷 및 응답 패킷을 중간에서 가로채어 시퀀스 정보를 동기상태의 정보로 변경함으로써 TCP 연결을 유지한다.
연결 유지부(270)는 패킷 식별부(272), 표식 삽입부(274) 및 시퀀스 관리부(276)로 구성되며 각각의 구성과 기능은 도 2a에서 상술한 바와 같으므로 상세한 설명은 생략한다.
역추적부(280)는 수신한 패킷 중에 응답패킷에 포함된 표식을 감지하였다는 정보를 포함하는 패킷이 있는지 조사한다. 그리고 역추적부(280)는 그러한 패킷이 존재하면 그 패킷에 포함된 연결 정보를 기초로 응답패킷의 전송경로를 구성하고 공격자 시스템의 위치를 역추적한다.
응답패킷은 공격자 시스템 또는 하나 이상의 우회 시스템을 경유하여 공격자 시스템으로 전송된다. 응답패킷이 우회 시스템을 경유하여 전송되는 경우에는 공격자 시스템의 위치를 직접 확인할 수 없다. 따라서, 본 발명에 따른 연결 기반 역추적 시스템은 역추적을 위한 표식을 삽입한 응답 패킷을 전송하고, 여러 우회 시스 템으로부터 응답 패킷 탐지 신호를 수신하고 수신한 탐지신호에 포함된 IP 주소 등을 기초로 응답 패킷의 전송경로를 추적한다. 그리고 공격자 시스템의 위치를 파악한다.
역추적부(280)는 그 기능에 따라 표식 탐지부(282) 및 역추적경로 구성부(284)로 구성된다. 표식 탐지부(282)는 외부로부터 수신한 패킷에 역추적을 위한 소정의 표식이 삽입되어 있음을 탐지하면 그 탐지사실을 패킷에 처음으로 표식을 삽입한 시스템으로 전송한다. 이 경우에 탐지사실 뿐만 아니라 그 패킷을 수신한 경로에 관한 IP 정보 및 포트정보를 함께 전송한다.
역추적경로 구성부(284)는 응답패킷의 전송경로상에 존재하는 시스템으로부터 응답패킷의 소정 표식을 탐지하였다는 신호를 수신하면 역추적 경로를 구성한다. 탐지 신호에는 패킷경로에 관한 IP 주소 및 포트번호를 포함한다. 역추적경로 구성부(284)는 전송경로상에 존재하는 하나 이상의 시스템으로부터 전송된 탐지 신호를 종합하여 경로를 구성하고 그에 따라 공격자 시스템의 위치를 추적한다.
도 3은 본 발명에 따른 연결 기반 역추적 시스템의 다른 실시예를 도시한 도면이다.
도 3을 참조하면, 본 발명에 따른 연결 기반 역추적 시스템은 네트워크 인터페이스 카드(300,380), 패킷 식별부(310), 표식 삽입부(330), 시퀀스 관리부(350) 및 패킷 전송부(370)로 구성된다.
네트워크 인터페이스 카드(300,380)는 이더넷 환경에서 호스트 또는 서브 네트워크와 관련된 모든 패킷을 송수신한다. 네트워크 인터페이스 카드를 통해 수신 된 패킷응 패킷 식별부로 전달된다. 네트워크 인터페이스 카드(300,380)는 송수신별로 구별하여 구비되거나 하나로 통합하여 구비될 수 있다.
패킷 식별부(310)는 수신한 패킷을 조사하여 공격패킷에 대한 응답 패킷인지 식별한다. 공격자 시스템에 의한 공격 패킷이 감지되면, 공격 패킷의 IP주소 및 포트 번호를 파악하고 이를 기초로 응답 패킷을 식별한다. 예를 들어, 공격 패킷의 포트와 동일한 포트를 가지고 공격 패킷의 근원지 IP 주소를 목적지 IP 주소로 하는 패킷을 응답패킷으로 파악한다.
패킷 식별부(310)에 의해 공격자 시스템으로부터 공격받은 피해 시스템의 응답 패킷(320)은 IP 헤더, TCP 헤더 및 TCP 데이터로 구성된다. 패킷(320)은 도 1a 및 도 1b를 참조하여 상세히 설명하였다.
표식 삽입부(330)는 패킷 식별부(310)에 의해 식별된 응답패킷(320)에 공격자 시스템의 위치를 추적하기 위한 표식을 삽입한다. 일반적으로 표식 삽입부는 워터마크를 생성하여 응답패킷에 삽입한다.
표식이 삽입된 응답 패킷(360)은 TCP 연결에서 시퀀스 번호가 변경된다. 따라서, 공격자 시스템과 피해 시스템사이의 TCP 연결이 비동기화된다. 시퀀스 관리부(350)는 이러한 비동기화가 발생하는 경우에 TCP 연결을 유지하기 위하여 시퀀스 번호를 관리한다.
시퀀스 관리부(350)는 현재 공격자 시스템과 피해 시스템간의 TCP 연결과 관련된 정보와 전송패킷 시퀀스(Ssequence Number) 및 수신패킷 시퀀스(Ack Number)를 시퀀스 관리정보(340)에 저장하고 관리한다. 즉 시퀀스 번호의 변경으로 인해 공격자 시스템과 피해 시스템사이는 비동기화되므로 본 발명에 따른 역추적 시스템은 양 시스템에서 송수신되는 패킷을 중간에서 가로채어 시퀀스 번호를 동기화되도록 변경함으로써 양 시스템의 TCP 연결을 유지한다. 표식이 삽이된 후의 응답 패킷(360)은 IP 헤더, TCP 헤더, 표시 및 TCP data로 구성된다.
패킷 전송부(370)는 이와 같이 표식이 삽입되고 시퀀스 번호가 변경된 응답 패킷을 공격자 시스템으로 직접 또는 적어도 하나 이상의 우회 시스템을 경유하여 공격자 시스템으로 전송된다. 응답 패킷의 전송경로에 존재하는 우회 시스템은 응답 패킷의 표식을 감지하면 표식을 탐지하였다는 신호를 본 발명에 따른 역추적 시스템으로 전송한다. 역추적 시스템은 표식 탐지신호를 기초로 공격자 시스템의 위치를 역추적한다.
도 4는 본 발명에 따른 연결 기반 역추적 시스템의 TCP 연결 유지 방법을 도시한 도면이다.
공격자 시스템(또는 우회 시스템)(420)이 피해 시스템(410)을 공격하면(S450), 공격탐지부(250)는 이러한 공격을 탐지한다. 공격 탐지부(250)는 종래에 존재하는 탐지 시스템을 이용할 수 있다.
공격자 시스템(420)에 의한 공격이 감지되면, 패킷 차단부(260)는 공격 패킷에 대한 응신인 응답패킷을 차단한다(S455). 그리고 차단된 응답 패킷은 본 발명에 따른 역추적시스템(400)으로 우회된다(S460). 패킷 식별부(402)는 우회된 패킷이 공격 패킷에 대한 응답 패킷인지 식별한다. 본 발명에 따른 역추적 시스템(400)은 하나 이상의 피해 시스템을 관리할 수 있으며 이 경우에 어느 피해 시스템의 응답 패킷인지 구별할 필요가 있다. 따라서 패킷 식별부(402)는 응답 패킷이 어는 피해 시스템으로부터 출력된 응답패킷인지 식별한다.
표식삽입부(404)는 공격자 시스템의 위치를 파악하기 위한 표식을 응답 패킷에 삽입하고, 시퀀스 관리부(406)는 표식 삽입으로 변경된 시퀀스 정보를 변경전의 시퀀스 정보와 함께 저장하고 관리한다. 패킷전송부(408)는 표식이 삽입된 응답패킷을 공격자 시스템(또는 우회 시스템)(420)으로 전송한다(S465).
응답 패킷에 대한 응신으로 공격자 시스템(또는 우회 시스템)(420)으로부터 ACK 패킷이 출력되면 패킷 차단부(260)는 ACK 패킷이 직접 피해 시스템(410)으로 전달되지 못하게 차단하다(S470). 그리고 ACK 패킷을 본 발명에 따른 역추적 시스템(400)으로 우회시킨다(S475).
시퀀스 관리부(406)는 우회되어 수신한 ACK 패킷의 시퀀스 정보를 이전에 응답 패킷의 전송 때 저장한 시퀀스 정보를 기초로 변경한다. 즉 시퀀스 정보를 공격자 시스템(420) 및 피해 시스템(410)사이에 동기화가 되도록 변경한다. 시퀀스 정보가 동기화가 되도록 변경된 ACK 패킷은 피해 시스템(410)으로 전송된다. 이로써, 공격자 시스템(또는 우회 시스템)(420) 및 피해시스템(410)사이에 TCP 연결이 유지된다.
도 5는 본 발명에 따른 연결 기반 역추적 방법의 흐름을 도시한 도면이다.
도 5를 참조하면, 공격 탐지부(250)는 공격자 시스템(또는 우회 시스템)에 의한 피해시스템의 공격을 감지한다(S500). 공격탐지부(250)는 공격을 감지하면 공격패킷의 IP 주소 및 포트번호를 파악한다.
패킷 차단부(260)는 공격 탐지부(250)에 의해 공격이 감지되면 공격 패킷에 대한 응신으로 피해 시스템으로부터 출력되는 응답 패킷을 차단한다(S510). 패킷 차단부(260)는 공격패킷의 IP 주소 및 포트 번호를 기초로 이에 대응되는 응답 패킷을 식별하여 차단한다.
표식 삽입부(274)는 응답 패킷에 공격자 시스템의 위치를 추적하기 위한 표식을 삽입한다(S520). 표식의 삽입에 따라 응답 패킷의 시퀀스 번호는 변경된다.
시퀀스 관리부(276)는 표식의 삽입에 따라 변경된 응답 패킷의 시퀀스 정보 및 변경 전의 시퀀스 정보를 저장하고 관리한다(S530). 시퀀스 관리부(276)는 시퀀스 번호 변경으로 인해 공격자 시스템과 피해 시스템사이의 TCP 연결이 비동기화된 경우에 중간에서 양 시스템간의 패킷을 가로채어 시퀀스 관리정보에 저장된 시퀀스 정보를 기초로 패킷의 시퀀스 정보를 동기화가 되도록 변경한다.
패킷 전송부는 표식이 삽입된 응답 패킷을 공격자 시스템으로 전송한다(S540). 패킷 차단부는 응답 패킷에 대한 응신으로 공격자 시스템으로부터 출력된 ACK 패킷을 차단하고 본 발명에 따른 역추적 시스템으로 우회시킨다(S550).
시퀀스 관리부(276)는 수신한 ACK 패킷의 시퀀스 정보를 피해 시스템과 동기화 되도록 변경한다(S560). 그리고 시퀀스 변경된 ACK 패킷을 피해시스템으로 전송한다(S570).
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
본 발명에 따르면, 연결 기반 역추적 시스템은 공격자 시스템과 피해 시스템사이를 비동기화시키고 양 시스템에서 송수신되는 패킷을 중간에서 가로채어 시퀀스 번호를 관리함으로써 양 시스템의 TCP 연결을 유지한다.
TCP 연결이 유지됨으로 인해 공격자는 자신이 역추적 당하고 있다는 사실을 인지하지 못한다. 또한 응답 패킷에 어떠한 식별 표식도 넣을 수 있어 응답 패킷을 이용한 역추적이 용이하다.
특히 응답 패킷의 소정 표식을 이용함으로써, 공격자 시스템과 피해 시스템 이 하나 이상의 우회 시스템을 경유하여 연결되는 경우에, 실시간으로 공격자 시스템의 위치를 추적할 수 있으며, 우회 시스템 중 어느 하나에 본 발명에 따른 역추적 시스템이 없더라도 공격자 공격자 시스템의 위치를 추적할 수 있다.

Claims (12)

  1. 공격패킷에 대한 응신으로 출력되는 응답패킷을 식별하는 패킷 식별부;
    상기 응답패킷에 공격자 시스템의 위치를 역추적하기 위한 소정의 표식을 삽입하여 전송하는 표식 삽입부;
    상기 표식의 삽입으로 변경된 응답 패킷의 시퀀스 정보를 변경전의 시퀀스 정보와 함께 저장하고 상기 응답패킷에 대한 응신으로 소정의 패킷을 수신하면 상기 수신한 패킷의 시퀀스 정보를 상기 저장된 시퀀스 정보를 기초로 변경하여 전송하는 시퀀스 관리부; 및
    상기 응답패킷의 전송경로상에 존재하는 중간 경유 시스템으로부터 상기 응답패킷의 표식 탐지 신호를 수신하고 상기 수신한 표식 탐지 신호를 기초로 상기 전송경로를 역추적하는 역추적부;를 포함하는 것을 특징으로 하는 연결 기반 역추적 시스템.
  2. 삭제
  3. 제 1항에 있어서,
    상기 시퀀스 관리부는 상기 응답패킷에 대한 응신으로 수신한 패킷의 시퀀스 정보를 표식 삽입전의 응답패킷의 시퀀스 정보와 동기되도록 변경하는 것을 특징으로 하는 연결 기반 역추적 시스템.
  4. 제 1항에 있어서,
    상기 공격패킷을 전송한 공격자 시스템 및 상기 공격패킷에 대한 응답패킷을 출력하는 피해시스템과의 직접적인 패킷 송수신을 차단하는 패킷 차단부;를 더 포함하는 것을 특징으로 하는 연결 기반 역추적 시스템.
  5. 제 4항에 있어서,
    상기 공격자 시스템에 의한 공격을 감지하면 공격패킷의 IP 주소 및 포트번호를 포함하는 공격경로정보를 포함하는 공격감지신호를 출력하는 공격 탐지부를 더 포함하고,
    상기 패킷 차단부는 상기 공격감지신호의 IP 주소 및 포트번호를 기초로 파악된 상기 피해 시스템으로의 공격 패킷 및 상기 공격 패킷에 대한 응답 패킷을 차단하는 것을 특징으로 하는 연결 기반 역추적 시스템.
  6. 제 1항에 있어서,
    상기 패킷 식별부는 상기 응답 패킷을 패킷의 IP 주소 및 포트번호를 기초로 식별하는 것을 특징으로 하는 연결 기반 역추적 시스템.
  7. (a) 공격패킷에 대한 응신으로 출력되는 응답패킷을 식별하는 단계;
    (b) 상기 응답패킷에 공격자 시스템의 위치를 역추적하기 위한 소정의 표식을 삽입하여 전송하는 단계;
    (c) 상기 표식의 삽입으로 변경된 응답 패킷의 시퀀스 정보를 변경전의 시퀀스 정보와 함께 저장하고 상기 응답패킷에 대한 응신으로 소정의 패킷을 수신하면 상기 수신한 패킷의 시퀀스 정보를 상기 저장된 시퀀스 정보를 기초로 변경하여 전송하는 단계; 및
    (d) 상기 응답패킷의 전송경로상에 존재하는 중간 경유 시스템으로부터 상기 응답패킷의 표식 탐지 신호를 수신하고 상기 수신한 표식 탐지 신호를 기초로 상기 전송경로를 역추적하는 단계;를 포함하는 것을 특징으로 하는 연결 기반 역추적 방법.
  8. 삭제
  9. 제 7항에 있어서,
    상기 (c) 단계는 상기 응답패킷에 대한 응신으로 수신한 패킷의 시퀀스 정보를 표식 삽입전의 응답패킷의 시퀀스 정보와 동기되도록 변경하는 단계를 포함하는 것을 특징으로 하는 연결 기반 역추적 방법.
  10. 제 7항에 있어서, 상기 (a)단계 전에,
    (e) 상기 공격패킷을 전송한 공격자 시스템 및 상기 공격패킷에 대한 응답패킷을 출력하는 피해시스템과의 직접적인 패킷 송수신을 차단하는 단계;를 더 포함하는 것을 특징으로 하는 연결 기반 역추적 방법.
  11. 제 10항에 있어서,
    (f) 공격자 시스템에 의한 공격을 감지하면 공격패킷의 IP 주소 및 포트번호를 포함하는 공격감지신호를 출력하는 단계를 더 포함하고,
    상기 (e) 단계는 상기 공격감지신호의 IP 주소 및 포트번호를 기초로 파악된 상기 피해 시스템으로의 공격 패킷 및 상기 공격 패킷에 대한 응답 패킷을 차단하는 단계를 포함하는 것을 특징으로 하는 연결 기반 역추적 방법.
  12. (a) 공격패킷에 대한 응신으로 출력되는 응답패킷을 식별하는 단계;
    (b) 상기 응답패킷에 공격자 시스템의 위치를 역추적하기 위한 소정의 표식을 삽입하여 전송하는 단계;
    (c) 상기 표식의 삽입으로 변경된 응답 패킷의 시퀀스 정보를 변경전의 시퀀스 정보와 함께 저장하고 상기 응답패킷에 대한 응신으로 소정의 패킷을 수신하면 상기 수신한 패킷의 시퀀스 정보를 상기 저장된 정보를 기초로 변경하여 전송하는 단계; 및
    (d) 상기 응답패킷의 전송경로상에 존재하는 중간 경유 시스템으로부터 상기 응답패킷의 표식 탐지 신호를 수신하고 상기 수신한 표식 탐지 신호를 기초로 상기 전송경로를 역추적하는 단계;를 포함하는 것을 특징으로 하는 연결 기반 역추적 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
KR1020030080541A 2003-11-14 2003-11-14 Tcp 연결 가로채기를 이용한 연결 기반 역추적 장치 및그 방법 KR100564750B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020030080541A KR100564750B1 (ko) 2003-11-14 2003-11-14 Tcp 연결 가로채기를 이용한 연결 기반 역추적 장치 및그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030080541A KR100564750B1 (ko) 2003-11-14 2003-11-14 Tcp 연결 가로채기를 이용한 연결 기반 역추적 장치 및그 방법

Publications (2)

Publication Number Publication Date
KR20050046924A KR20050046924A (ko) 2005-05-19
KR100564750B1 true KR100564750B1 (ko) 2006-03-27

Family

ID=37246064

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030080541A KR100564750B1 (ko) 2003-11-14 2003-11-14 Tcp 연결 가로채기를 이용한 연결 기반 역추적 장치 및그 방법

Country Status (1)

Country Link
KR (1) KR100564750B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8341721B2 (en) 2008-07-30 2012-12-25 Electronics And Telecommunications Research Institute Web-based traceback system and method using reverse caching proxy
US10805319B2 (en) 2017-02-14 2020-10-13 Electronics And Telecommunications Research Institute Stepping-stone detection apparatus and method

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8341721B2 (en) 2008-07-30 2012-12-25 Electronics And Telecommunications Research Institute Web-based traceback system and method using reverse caching proxy
US10805319B2 (en) 2017-02-14 2020-10-13 Electronics And Telecommunications Research Institute Stepping-stone detection apparatus and method

Also Published As

Publication number Publication date
KR20050046924A (ko) 2005-05-19

Similar Documents

Publication Publication Date Title
Baba et al. Tracing network attacks to their sources
US7827609B2 (en) Method for tracing-back IP on IPv6 network
US7734776B2 (en) Automatically detecting malicious computer network reconnaissance by updating state codes in a histogram
KR100426317B1 (ko) 패킷 워터마크 삽입 기법을 이용한 실시간 공격 연결역추적 시스템 및 그 구현 방법
Yaar et al. Pi: A path identification mechanism to defend against DDoS attacks
US7100201B2 (en) Undetectable firewall
Peng et al. Adjusted probabilistic packet marking for IP traceback
Handley et al. Network Intrusion Detection: Evasion, Traffic Normalization, and {End-to-End} Protocol Semantics
US7127510B2 (en) Access chain tracing system, network system, and storage medium
Gadge et al. Port scan detection
US20070201474A1 (en) Device for protection against illegal communications and network system thereof
US20050289647A1 (en) Method of remotely managing a firewall
Daniels et al. Identification of host audit data to detect attacks on low-level IP vulnerabilities
US7854003B1 (en) Method and system for aggregating algorithms for detecting linked interactive network connections
Tsunoda et al. Detecting DRDoS attacks by a simple response packet confirmation mechanism
Clayton Anonymity and traceability in cyberspace
KR102149531B1 (ko) 넷플로우 기반 연결 핑거프린트 생성 및 경유지 역추적 방법
RU2307392C1 (ru) Способ (варианты) защиты вычислительных сетей
US7840698B2 (en) Detection of hidden wireless routers
US20040233849A1 (en) Methodologies, systems and computer readable media for identifying candidate relay nodes on a network architecture
KR100564750B1 (ko) Tcp 연결 가로채기를 이용한 연결 기반 역추적 장치 및그 방법
KR101081433B1 (ko) IPv6 기반 네트워크의 공격 패킷의 역추적 방법 및 그 기록매체
Chen et al. An inline detection and prevention framework for distributed denial of service attacks
Pilli et al. Data reduction by identification and correlation of TCP/IP attack attributes for network forensics
Mitropoulos et al. Network forensics: towards a classification of traceback mechanisms

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20090303

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee