KR100818302B1 - 세션 개시 프로토콜(SIP) 프락시 서버에서의 서비스거부(DoS) 공격 대응 방법 및 장치 - Google Patents

세션 개시 프로토콜(SIP) 프락시 서버에서의 서비스거부(DoS) 공격 대응 방법 및 장치 Download PDF

Info

Publication number
KR100818302B1
KR100818302B1 KR1020060096407A KR20060096407A KR100818302B1 KR 100818302 B1 KR100818302 B1 KR 100818302B1 KR 1020060096407 A KR1020060096407 A KR 1020060096407A KR 20060096407 A KR20060096407 A KR 20060096407A KR 100818302 B1 KR100818302 B1 KR 100818302B1
Authority
KR
South Korea
Prior art keywords
address
message
initiation protocol
session initiation
sip
Prior art date
Application number
KR1020060096407A
Other languages
English (en)
Inventor
현욱
허미영
이일진
강신각
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020060096407A priority Critical patent/KR100818302B1/ko
Application granted granted Critical
Publication of KR100818302B1 publication Critical patent/KR100818302B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은, 세션 개시 프로토콜(SIP) 프락시 서버에 대한 서비스 거부 공격 대응하기 위한 방법 및 장치로서, 세션 개시 프로토콜(SIP) 프락시 서버에서 세션 개시 프로토콜(SIP) 메시지를 수신하면, 이를 전송한 발신측의 주소(IP)를 분석하여 미리 설정된 필터링 조건에 따라 정상 메시지와 대량 트래픽을 발생하는 서비스 거부 공격 메시지를 구분함으로써 상기 서비스 거부 공격 메시지를 필터링하여 차단하고, 상기 구분된 정상 메시지에 대해서만 세션 개시 프로토콜 프락싱 서비스를 제공하고, 차단된 IP에 대해서는 SIP 프락싱 서비스를 제공하지 않음으로써 SIP 프락시 서버에 가중되는 부하를 줄일 수 있는 효과가 있다.
Figure R1020060096407
세션 개시 프로토콜(SIP), SIP 프락시 서버, 서비스 거부(DoS) 공격, 인터넷 프로토콜(IP), SIP 서비스부, 주소(IP) 관리부, 필터링 조건.

Description

세션 개시 프로토콜(SIP) 프락시 서버에서의 서비스 거부(DoS) 공격 대응 방법 및 장치{CORRESPONDENCE METHOD AND APPARATUS OF DENIAL OF SERVICE(DoS) ATTACK IN SESSION INITIATION PROTOCOL}
도 1은 본 발명의 실시예에 따른 DoS 공격에 대응하기 위한 SIP 프락시 서버의 구조를 도시한 구성도,
도 2는 본 발명의 실시예에 따라 SIP 프락시 서버로 SIP 요청(REQUEST) 메시지를 수신한 경우의 DoS 공격에 대응하기 위한 IP 필터링 절차를 도시한 상태도,
도 3은 본 발명의 실시예에 따라 SIP 프락시 서버로 SIP 응답(RESPONSE) 메시지를 수신한 경우의 DoS 공격에 대응하기 위한 IP 필터링 절차를 도시한 상태도,
도 4는 본 발명의 실시예에 따라 SIP 프락시 서버에서 DoS 패킷을 발생시키는 IP를 필터링하여 DoS 공격에 대응하기 위한 과정을 도시한 흐름도.
본 발명은 세션 개시 프로토콜(SIP : Session Initiation Protocol) 프락시 서버에서의 서비스 거부(DoS) 공격 대응 방법 및 장치에 관한 것으로서, 특히 SIP 프락시 서버로 입력되는 패킷을 분석하여 DoS 패킷을 발생시키는 해당 IP를 차단(접근 금지)시키는 방법 및 장치에 관한 것이다.
일반적으로 서비스 거부 공격(Denial of Service(DoS) attack)은 시스템의 정상적인 동작을 방해하는 공격 수법으로서 대량의 데이터 패킷을 통신망으로 보내거나 전자 우편으로 보내는 식의 공격을 의미한다. 이는 주로 시스템에 과도한 부하를 일으켜 정보 시스템의 사용을 방해하는 공격 방식이다. 이러한 DoS 공격은 컴퓨터 보안에서 불필요한 트래픽을 넘쳐날 정도로 네트워크에 뿌리도록 디자인 된 네트워크 공격의 한 타입이다. 일반적으로 타겟은 상위의 웹 서버 및 기타 서버들(예들 들어 DNS 서버 및 메일 서버 등)이고 인터넷에 불필요한 호스트 웹 페이지를 만드는 것이 목적이다.
이와 같은 Dos 공격은 IBA(Internet Architecture Board)가 지정한 인터넷을 적절히 사용하는 것을 막는 인터넷 범죄이다. 공격의 타입 주로 두 가지로 생각할 수 있다. 첫 번째는 컴퓨터를 지연시키는 등 사용자에게 직접 피해를 주는 경우이고, 두 번째는 사용자와 다른 관련 있는 사용자 사이에 적절한 커뮤니케이션 미디어를 막아 방해하는 경우이다.
따라서 이러한 Dos 공격을 막기 위해서는 핑(Ping) 공격이나 티어드랍 (Teardrop 눈물방울) 공격 등의 경우 TCP/IP 프로토콜에서 한정할 수 있고, 공격의 피해를 줄이기 위해 시스템 관리자에 소프트웨어를 장치해야 한다. 하지만, 바이러스처럼 해커들에 의해 계속 새롭게 변화하는 Dos 공격도 있으므로 새로운 차단하는 방법이 필요하다.
한편, 일반적으로 SIP 프락시 서버는 임의의 주소(IP 및 Port)를 가지는 복수의 단말 또는 서버로부터 호 요청을 수신하여 처리한다. 이러한 처리 과정에서 해당 SIP 프락시 서버의 IP 및 Port 정보는 외부에 공개되게 되는데, 이러한 주소로 DoS 공격과 같은 대량의 트래픽이 유입되어 서버의 성능에 치명적인 영향을 주거나 정상적인 시그널에 대해서 대처를 하지 못하는 상황이 발생한다. 이에 따라 일반적으로 종래에는 L2 스위치나 라우터 등의 설정이나 방화벽 등을 통해 공격에 대처하고 있으나, SIP 시그널 패킷이 응용 계층(application layer)에서 동작하므로 공격에 대처하기에는 한계가 있다.
따라서 본 발명의 목적은 SIP 프락시 서버에서의 서비스 거부(DoS) 공격에 대응하기 위한 방법 및 장치를 제공함에 있다.
본 발명의 다른 목적은 SIP 프락시 서버에 도달한 DoS 메시지를 정상 시그널링 메시지와 구분하여 특정 IP에 대한 필터링을 통해 DoS 공격에 대응하기 위한 방법 및 장치를 제공함에 있다.
본 발명의 또 다른 목적은 응용 계층에서 동작함으로써 SIP 프로토콜의 특성에 적합한 형태로 DoS 패킷을 필터링하여 IP 계층에서 동작하는 네트워크 장비와의 혼용을 통해 DoS 공격에 대한 내성을 강화시키기 위한 DoS 공격 대응 방법 및 장치를 제공함에 있다.
상기 이러한 본 발명의 목적들을 달성하기 위한 세션 개시 프로토콜(SIP) 프락시 서버에서의 서비스 거부 공격 대응 방법은, 세션 개시 프로토콜(SIP) 프락시 서버의 오픈 포트로 세션 개시 프로토콜(SIP) 메시지를 수신하는 과정과, 상기 세션 개시 프로토콜 메시지를 전송한 발신측의 주소(IP)를 분석하는 과정과, 상기 발신측의 주소가 미리 설정된 필터링 조건에 따라 정상 메시지와 대량 트래픽을 발생하는 서비스 거부 공격 메시지를 구분함으로써 상기 서비스 거부 공격 메시지를 필터링하여 차단하는 과정과, 상기 구분된 정상 메시지에 대한 세션 개시 프로토콜 프락싱 서비스를 제공하는 과정을 포함하는 것을 특징으로 한다.
상기 본 발명의 목적들을 달성하기 위한 세션 개시 프로토콜(SIP) 프락시 서버에서의 서비스 거부 공격 대응 장치는, 세션 개시 프로토콜 메시지를 전송한 발신측의 주소(IP)를 분석하고, 미리 설정된 필터링 조건에 따라 정상 메시지와 대량 트래픽을 발생하는 서비스 거부 공격 메시지를 구분함으로써 서비스 거부 공격 메시지를 필터링하여 차단하고, 상기 구분된 정상 메시지에 대한 세션 개시 프로토콜 프락싱 서비스를 제공하는 세션 개시 프로토콜 서비스부와, 상기 발신측의 주소(IP)에 대한 정보를 관리하는 주소 관리 테이블을 갖는 주소 관리부를 포함하는 것을 특징으로 한다.
이하, 본 발명의 바람직한 실시 예를 첨부한 도면을 참조하여 상세히 설명한다. 우선 각 도면의 구성 요소들에 참조 부호를 부가함에 있어서, 동일한 구성 요 소들에 한해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 그리고 본 발명을 설명함에 있어, 관련된 공지 기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
본 발명의 실시예에서는 세션 개시 프로토콜(Session Initiation Protocol 이하, SIP라 칭함) 프락시 서버에 대한 서비스 거부(Denial of Service 이하, DoS 라 칭함) 공격에 대응하기 위해 응용계층에서 특정 IP에 대한 필터링을 수행하며, IP 계층에서 동작하는 네트워크 장비와 혼용할 수 있다. 그러면 DoS 공격에 대해 대응하기 위한 장치로서의 SIP 프락시 서버에 대한 구조를 첨부된 도면을 참조하여 설명하기로 한다.
도 1은 본 발명의 실시예에 따른 DoS 공격에 대응하기 위한 SIP 프락시 서버의 구조를 도시한 구성도이다.
상기 도 1을 참조하면, SIP 프락시 서버는 DoS 공격 대응 장치로서, SIP 서비스부(SIP Service Logic)(110)와, 주소(IP) 관리부(IP Manager Logic)(120)로 구성할 수 있으며, 상기 주소 관리부(120)는 주소(IP) 관리 테이블(121)을 포함한다. 여기서 상기 서비스 주소 관리 테이블(121)은 IP 주소(Address), 가중치(weight) 값, 만기(expires)값 및 금지 여부(banned) 필드로 구성된다.
상기 SIP 서비스부(110)는 일반 사용자 주소(Normal User IP0)(101)와, 대량 DoS 트래픽(Traffic)을 발생하는 DoS 공격 주소(IP1, IP2, IP3)(102 내지 104)로부터 SIP 메시지를 통해 패킷을 입력받고, 입력되는 패킷들을 필터링하여 일반 사용 자 주소(IP4)(105)에 정상 메시지의 패킷을 내부 로직으로 전송한다. 이에 따라 상기 SIP 서비스부(110)는 내부에 필터링을 수행하는 DoS 공격 차단부(111)를 구비하여 미리 설정된 필터링 조건들에 맞지 않는 해당 주소(IP)에 대한 차단(접근 금지) 신호를 발생한다. 이러한 DoS 공격 차단부(111)는 SIP 요청(REQUEST) 메시지와 SIP 응답(RESPONSE) 메시지가 수신되었을 경우로 구분하여 필터링한다.
또한, 상기 SIP 서비스부는 제어부(도시되지 않음)를 구비하고, 상기 제어부를 통해 상기 차단 신호를 수신하면, 필터링 결과를 상기 IP 관리부(120)로 전달하여 주소 관리 테이블(121)을 갱신하도록 한다. 즉, 상기 제어부는 감시 대상 패턴을 지니는 패킷이 유입될 때 마다 해당 IP에 대한 가중치(weight) 값을 증가시키고, 상기 가중치 값과 미리 설정된 임계값(threshold)을 비교한다. 만약, 가중치 값이 임계값 이상인 경우, 상기 제어부는 일정 시간 동안 해당 IP로부터의 패킷을 내부 로직 접근하지 못하도록 차단한다.
또한, 상기 SIP 서비스부(110)는 내부에 타이머(도시되지 않음)를 구비하며, 상기 DoS 공격 차단부(111)로부터 해당 IP 차단 신호를 수신하면 즉, 해당 IP로부터 패킷의 송신이 중단된 시점에 상기 타이머를 구동시켜서 금지 시간을 나타내는 상기 주소 관리 테이블 내의 만기값을 차감한 후 타이머 시간이 만기되면 상기 IP 로부터의 시그널링 메시지에 대한 서비스를 재개한다.
그러면 이와 같은 구조를 갖는 SIP 프락시 서버에 대한 DoS 공격에 대응하기 위한 방법에 대해 첨부된 도면을 참조하여 구체적으로 설명하기로 한다.
도 2는 본 발명의 실시예에 따라 SIP 프락시 서버에서 DoS 패킷을 발생시키는 IP를 필터링하여 DoS 공격에 대응하기 위한 과정을 도시한 흐름도이다.
상기 도 2를 참조하면, 201단계에서 SIP 서비스부(110)는 임의의 발신측으로부터 오픈 포트(open port)를 통해 SIP 메시지를 수신하면, 202단계에서 상기 임의의 발신측의 주소(IP)가 금지된 IP인지를 확인한다. 확인 결과, 금지된 IP가 아닌 경우, 203단계에서 수신된 SIP 메시지를 파싱(Parsing)하여 저장한 후, 204단계에서 미리 설정된 다른 필터링 조건들도 확인하여 다른 문제가 있는지를 확인한다. 만약, 상기 다른 필터링 조건들 중 하나의 조건이라도 만족하지 못하여 문제가 발생된 경우 206단계로 진행하고, 그렇지 않은 경우 205단계에서 트래픽을 발생 즉, 상기 SIP 메시지 내의 패킷을 전송하고 동작을 종료한다.
반면, 상기 202단계에서 확인한 결과, 금지된 IP인 경우이거나, 다른 만족하지 못하는 필터링 조건이 발생한 경우, 206단계에서 SIP 서비스부(110)는 해당하는 가중치 값 및 만기 값으로 상기 주소 관리 테이블(121)을 갱신한다. 즉, 상기 도 1에 도시된 a 내지 f와 같이, 상기 주소 관리 테이블(121)에 상기 SIP 메시지를 보낸 해당 IP 주소에 대한 가중치 값을 더하고, 만기 값을 증가시킨다. 이러한 필터링 조건에 따른 필터링 방법에 대해서는 이하, 첨부된 도 3 및 도 4를 참조하여 구체적으로 설명하기로 한다.
이후, 207단계에서 SIP 서비스부(110)는 상기 SIP 메시지를 보낸 발신측의 해당 IP 주소를 차단(접근 금지)시키고, 동시에 내부의 타이머(도시되지 않음)를 구동시켜 금지 시간(만기 값)을 일정 주기로 차감한다. 이때, 208단계에서 만기 시 간인지를 확인하여 만기 시간이 아닌 경우에는 207단계에서 계속해서 금지 시간을 차감하고, 그렇지 않은 경우 209단계에서 가중치 값(wdight)과 미리 설정된 임계 값(threshold)을 비교한다. 만약, 상기 가중치값이 상기 임계값보다 작은 경우 210단계에서 상기 SIP 서비스부(110)는 상기 해당 IP 주소의 금지(ban)를 해제하고, 상기 SIP 메시지에 대한 프락싱 서비스를 재개한 후 동작을 종료한다. 이에 따라 발신측이 정상 상태로 복귀한 후 일정 시간 이후에는 해당 IP에 대한 서비스 금지를 해제해 줌과 동시에 정상 트래픽임에도 불구하고 가중치값(weight)이 증가된 경우를 보완할 수 있다.
반면, 가중치 값이 임계값보다 작지 않은 경우 207단계로 진행하여 다시 207단계 이후 과정을 반복 수행한다.
그러면 다음으로 상술한 과정들에서 상기 필터링 조건들에 따른 필터링 절차에 대해 구체적으로 설명하기로 한다. 우선, SIP 프락시 서버가 SIP 요청(REQUEST) 메시지를 수신한 경우에 대해 설명하기로 한다.
도 3은 본 발명의 실시예에 따라 SIP 프락시 서버로 SIP 요청(REQUEST) 메시지를 수신한 경우의 DoS 공격에 대응하기 위한 IP 필터링 절차를 도시한 상태도이다.
상기 도 3을 참조하면, 301단계에서 SIP 프락시 서버의 오픈 포트(open port)로 SIP 요청 메시지를 수신하면, 302단계에서 상기 DoS 공격 차단부(111)는 상기 SIP 요청 메시지를 보낸 발신측(sender)의 주소(IP)가 금지된 주소인지를 점검한다. 이때, SIP 요청 메시지는 해쉬 테이블(이하, 주소 관리 테이블이라 칭함) 등을 이용하여 검색 시간을 최소화시킨다. 이에 따라 SIP 프락시 서버의 전반적으로 퍼포먼스(performance)가 떨어지는 것을 방지할 수 있으며, 부하를 줄일 수 있게 된다.
상기 302단계에서 점검한 결과, 상기 발신측의 IP가 금지되지 않은 경우 303단계에서 상기 DoS 공격 차단부(111)는 상기 IP로부터 수신된 SIP 요청 메시지를 파싱(parsing)하여 텍스트(text) 기반으로 이루어진 메시지를 구조체에 저장해둔다.
그런데 상기 SIP 요청 메시지의 파싱이 실패하게 되면(Parse), 304단계에서 상기 DoS 공격 차단부(111)는 IP 관리부(120) 내의 주소 관리 테이블(121)에 상기 발신측의 IP에 대한 가중치 값 필드에 w(a)를 더하며, 만기 값 필드에 해당 e(a)만큼 증가시킨다. 이에 따라 문법에 문제가 있는 대량의 패킷을 송신하는 발신측의 IP를 차단함으로써 SIP 요청 메시지의 파싱에 소모되는 자원 낭비를 줄일 수 있다.
반면, 302단계에서 점검한 결과, 파싱에는 문제가 없다면, 305단계에서 상기 DoS 공격 차단부(111)는 파싱된 메시지가 라우터 헤더나 요청(Request)-URI 헤더가 타 서버 및 단말의 주소를 지칭하고 있는 경우(Route/Request-URI preprocessing)인지를 확인한다. 이러한 확인한 결과, 조건에 부합하지 못하면, 상기 DoS 공격 차단부(111)는 주소 관리 테이블(121)에 상기 발신측의 IP에 대한 가중치 값 필드에 w(b)를 더하며, 만기 값 필드에 해당 e(b)만큼 증가시킨다. 이를 통해 상기 DoS 공격 차단부(111)는 상기 SIP 프락시 서버를 경유하여 타 서버를 공격할 수 있는 가능성을 예방할 수 있다. 그러나 이러한 패턴을 지니는 정상 트래픽도 존재할 수 있 으므로 가중치 값(w(b))을 조절함으로써 능동적으로 대처해야 한다. 여기서 정상적인 SIP 단말의 경우에는 상기 패턴을 대량으로 발생시키지 않으므로 상기 패턴이 대량으로 발생된 경우에는 상기 SIP 프락시 서버를 경유한 DoS 공격으로 간주할 수 있다.
상기 305단계를 통과한 경우, 다음으로 306단계에서 상기 DoS 공격 차단부(111)는 존재하지 않는 사용자에 대한 SIP 호 요청이 이루어지는 경우인지를 확인한다. 이때, 조건에 부합하지 못하면, 상기 DoS 공격 차단부(111)는 상기 발신측의 IP에 대한 가중치 값 필드에 w(c)를 더하며, 만기 값 필드에 해당 e(c)만큼 증가시킨다. 이를 통해 상기 DoS 공격 차단부(111)는 존재하지 않는 사용자를 목적지로 하는 대량의 패킷이 도달될 경우 해당 발신측을 DoS 공격으로 간주할 수 있다. 이에 따라 상기 DoS 공격 차단부(111)는 존재하지 않는 사용자에 대한 호 요청을 대량으로 발생시키는 발신측의 IP를 차단함으로써 SIP 프락시 서버에 대한 부하 증가를 막을 수 있다.
다음으로, 307단계에서 상기 DoS 공격 차단부(111)는 유효하지 않은 인증정보를 가지는 SIP 메시지가 도달된 경우인지를 확인하여 조건에 부합하지 못하면, 상기 발신측의 IP에 대한 가중치 값 필드에 w(d)를 더하며, 만기 값 필드에 해당 e(d)만큼 증가시킨다.
그런 다음 308단계에서 상기 DoS 공격 차단부(111)는 사용자에 의해 이미 등록되어 있는 목적지 주소가 올바른 형태로 이루어지지 않은 경우인지를 확인한다. 이러한 경우에는 메시지를 전달할 주소를 찾기 위해 DNS 룩업(lookup) 등에 시간 및 자원이 소모된다. 때문에 이러한 패킷이 대량 발생되면 부하를 집중시킬 수 있다. 따라서 상기 DoS 공격 차단부(111)는 등록된 목적지 주소가 올바르게 되어 있지 않은 경우 상기 발신측의 IP에 대한 가중치 값 필드에 w(e)를 더하며, 만기 값 필드에 해당 e(e)만큼 증가시킨다.
상기 모든 조건들을 만족하는 경우(Forking), 상기 DoS 공격 차단부(111)는 309단계에서 상기 발신측의 IP로부터 입력되는 SIP 요청 메시지의 패킷을 전송한다.
한편, SIP 프락시 서버가 SIP 응답(RESPONSE) 메시지를 수신한 경우에 대해 설명하기로 한다.
도 4는 본 발명의 실시예에 따라 SIP 프락시 서버로 SIP 응답(RESPONSE) 메시지를 수신한 경우의 DoS 공격에 대응하기 위한 IP 필터링 절차를 도시한 상태도이다.
상기 도 4를 참조하면, 401단계에서 SIP 프락시 서버의 오픈 포트(open port)로 SIP 요청 메시지를 수신하면, 402단계에서 상기 DoS 공격 차단부(111)는 상기 SIP 응답 메시지를 보낸 발신측(sender)의 주소(IP)가 금지된 주소인지를 점검한다.
상기 402단계에서 점검한 결과, 상기 발신측의 IP가 금지되지 않은 경우 403단계에서 상기 DoS 공격 차단부(111)는 상기 IP로부터 수신된 SIP 응답 메시지를 파싱(parsing)하여 텍스트(text) 기반으로 이루어진 메시지를 구조체에 저장해둔다.
상기 403단계에서 상기 SIP 응답 메시지의 파싱이 실패한 경우, 404단계에서 상기 DoS 공격 차단부(111)는 IP 관리부(120) 내의 주소 관리 테이블(121)에 상기 발신측의 IP에 대한 가중치 값 필드에 w(a)를 더하며, 만기 값 필드에 해당 e(a)만큼 증가시킨다. 이에 따라 문법에 문제가 있는 대량의 패킷을 송신하는 발신측의 IP를 차단함으로써 SIP 응답 메시지의 파싱에 소모되는 자원 낭비를 줄일 수 있다.
반면, 402단계에서 점검한 결과, 파싱에는 문제가 없다면, 405단계에서 상기 DoS 공격 차단부(111)는 SIP 응답 메시지의 최상위 'Via 헤더'에 지정된 주소가 상기 SIP 프락시 서버의 주소인지를 확인하여 조건에 부합되면, 해당 Via 헤더에 기재된 주소로 전달함과 동시에 상기 발신측의 IP에 대한 가중치 값 필드에 w(f)를 더하며, 만기 값 필드에 해당 e(f)만큼 증가시킨다. 이를 통해 이 서버를 경유해 타 서버나 단말을 공격하는 것을 방지할 수 있다.
상기 Via 헤더에 기재된 주소는 일치하나, 해당 응답과 일치하는 컨텍스트(Context)를 찾을 수 없는 경우 406단계에서 상기 DoS 공격 차단부(111)는 상기 405단계와 마찬가지로 상기 SIP 프락시 서버를 경유한 공격을 방지하기 위하여 상기 발신측의 IP에 대한 가중치 값 필드에 w(g)를 더하며, 만기 값 필드에 해당 e(g)만큼 증가시킨다.
상기 모든 조건들을 만족하는 경우(Forking), 상기 DoS 공격 차단부(111)는 407단계에서 상기 발신측의 IP로부터 입력되는 SIP 응답 메시지의 패킷을 전송한다.
한편, 본 발명의 상세한 설명에서는 구체적인 실시 예에 관하여 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시 예에 국한되어 정해져서는 안되며 후술하는 발명청구의 범위뿐만 아니라 이 발명청구의 범위와 균등한 것들에 의해 정해져야 한다.
상술한 바와 같이 본 발명은 응용 계층에서 특정 IP에 대한 필터링 기법을 통해 SIP 프락시 서버에 입력되는 DoS 메시지와 정상 시그널링 메시지를 구분함으로써 보다 SIP 프로토콜의 특성에 적합한 형태로 DoS 메시지의 패킷을 걸러낼 수 있으며, IP 계층에서 동작하는 네트워크 장비와 혼용하여 DoS 공격에 대한 내성을 강화시킬 수 있는 효과가 있다.
또한, 본 발명은 SIP 프락시 서버로 DoS 공격을 발생시키는 해당 발신측 IP 주소를 차단하여 SIP 프락싱 서비스를 제공하지 않음으로써 SIP 프락시 서버에 가중되는 부하를 줄일 수 있는 효과가 있다.

Claims (18)

  1. 세션 개시 프로토콜(SIP) 프락시 서버의 오픈 포트로 세션 개시 프로토콜(SIP) 메시지를 수신하는 과정과,
    상기 세션 개시 프로토콜 메시지를 전송한 발신측의 주소(IP)를 분석하는 과정과,
    상기 발신측의 주소가 미리 설정된 필터링 조건에 따라 정상 메시지와 대량 트래픽을 발생하는 서비스 거부 공격 메시지를 구분함으로써 상기 서비스 거부 공격 메시지를 필터링하여 차단하는 과정과,
    상기 구분된 정상 메시지에 대한 세션 개시 프로토콜 프락싱 서비스를 제공하는 과정을 포함하는 것을 특징으로 하는 세션 개시 프로토콜(SIP) 프락시 서버에서의 서비스 거부 공격 대응 방법.
  2. 제1항에 있어서,
    상기 서비스 거부 공격 메시지에 대한 차단 후 일정 시간이 지나서 상기 발신측 주소(IP)가 정상 상태가 되면, 상기 발신측 주소(IP)에 대한 차단을 해제하는 과정을 더 포함하는 것을 특징으로 하는 세션 개시 프로토콜(SIP) 프락시 서버에서의 서비스 거부 공격 대응 방법.
  3. 제1항에 있어서, 상기 서비스 거부 공격 메시지를 필터링하여 차단하는 과정은,
    상기 세션 개시 프로토콜 메시지를 전송한 발신측의 주소(IP)가 금지된 주소인지를 확인하는 단계와,
    상기 발신측의 주소(IP)가 금지된 주소인 경우 상기 서비스 개시 프로토콜 메시지의 패킷의 접근을 차단하는 단계와,
    상기 접근을 차단함에 따라 주소 관리 테이블에서 상기 발신측의 주소(IP)에 대한 정보를 갱신하는 단계와,
    상기 발신측의 주소가 금지된 주소가 아닌 경우 상기 서비스 개시 프로토콜 메시지를 파싱(parsing)하여 저장하는 단계를 포함하는 것을 특징으로 하는 세션 개시 프로토콜(SIP) 프락시 서버에서의 서비스 거부 공격 대응 방법.
  4. 제3항에 있어서,
    상기 발신측의 주소가 금지된 주소가 아니고, 미리 설정된 다른 필터링 조건들을 만족하는지 확인하는 단계와,
    상기 적어도 하나의 필터링 조건을 만족하지 못하는 경우 상기 서비스 개시 프로토콜 메시지의 패킷의 접근을 차단하고 주소 관리 테이블에서 상기 발신측의 주소(IP)에 대한 정보를 갱신하는 단계와,
    상기 다른 필터링 조건들을 모두 만족하는 경우 상기 세션 개시 프로토콜 메시지의 패킷을 내부 로직으로 전송하는 단계를 더 포함하는 것을 특징으로 하는 세션 개시 프로토콜(SIP) 프락시 서버에서의 서비스 거부 공격 대응 방법.
  5. 제4항에 있어서,
    상기 다른 필터링 조건들은 상기 세션 개시 프로토콜 메시지가 요청 메시지인 경우, 상기 요청 메시지 내 헤더의 정보가 다른 장치의 주소를 지시하는지에 대한 조건, 사용자 존재 여부 조건, 유효한 사용자 인증 정보를 가지고 있는지에 대한 조건 및 목적지 주소가 정확한지에 대한 조건을 포함함을 특징으로 하는 세션 개시 프로토콜(SIP) 프락시 서버에서의 서비스 거부 공격 대응 방법.
  6. 제4항에 있어서,
    상기 다른 필터링 조건들은 상기 세션 개시 프로토콜 메시지가 응답 메시지인 경우, 상기 응답 메시지의 최상위 헤더(Via 헤더)에 지정된 주소 일치 여부 및 일치하는 콘텍스트(Context) 존재 여부에 대한 조건을 포함하는 것을 특징으로 하는 세션 개시 프로토콜(SIP) 프락시 서버에서의 서비스 거부 공격 대응 방법.
  7. 제3항 또는 제4항에 있어서,
    상기 발신측의 주소(IP)에 대한 정보를 갱신하는 단계는, 상기 주소 관리 테이블 내의 가중치 값 필드에 상기 발신측의 주소에 대한 가중치 값을 더하고, 만기 값 필드에 상기 발신측의 주소에 대한 만기값을 증가시킴을 특징으로 하는 세션 개시 프로토콜(SIP) 프락시 서버에서의 서비스 거부 공격 대응 방법.
  8. 제7항에 있어서,
    상기 발신측의 주소(IP)에 대한 정보를 갱신하는 단계는, 상기 가중치 값이 미리 설정된 임계값을 넘는 경우 속성을 금지(ban)로 설정함을 특징으로 하는 세션 개시 프로토콜(SIP) 프락시 서버에서의 서비스 거부 공격 대응 방법.
  9. 제2항에 있어서, 상기 발신측 주소(IP)에 대한 차단을 해제하는 과정은,
    상기 발신측 주소가 차단되면, 설정된 금지 시간에 대한 만기 값을 차감하는 단계와,
    일정시간 후 주소 관리 테이블에 설정된 상기 발신측의 주소(IP)에 대한 가중치 값과 미리 설정된 임계값을 비교하는 단계와,
    상기 가중치 값이 상기 임계값보다 작은 경우 상기 발신측의 주소(IP)의 접근 금지를 해제하는 단계를 포함하는 것을 특징으로 하는 세션 개시 프로토콜(SIP) 프락시 서버에서의 서비스 거부 공격 대응 방법.
  10. 세션 개시 프로토콜 메시지를 전송한 발신측의 주소(IP)를 분석하고, 미리 설정된 필터링 조건에 따라 정상 메시지와 대량 트래픽을 발생하는 서비스 거부 공격 메시지를 구분함으로써 서비스 거부 공격 메시지를 필터링하여 차단하고, 상기 구분된 정상 메시지에 대한 세션 개시 프로토콜 프락싱 서비스를 제공하는 세션 개시 프로토콜 서비스부와,
    상기 발신측의 주소(IP)에 대한 정보를 관리하는 주소 관리 테이블을 갖는 주소 관리부를 포함하는 것을 특징으로 하는 세션 개시 프로토콜(SIP) 프락시 서버에서의 서비스 거부 공격 대응 장치.
  11. 제10항에 있어서,
    상기 세션 개시 프로토콜 서비스는, 상기 주소 관리 테이블을 이용하여 상기 발신측 주소가 접근 금지된 주소인지를 확인하고, 미리 설정된 필터링 조건들에 따라 상기 서비스 거부 공격 메시지를 필터링한 후 차단 신호를 발생하는 서비스 거부 공격 차단부와,
    상기 차단 신호를 수신하여 상기 발신측 주소를 차단하고, 상기 주소 관리부로 필터링 결과를 전송하여 상기 주소 관리 테이블을 갱신하도록 제어하는 제 어부를 포함하는 것을 특징으로 하는 세션 개시 프로토콜(SIP) 프락시 서버에서의 서비스 거부 공격 대응 장치.
  12. 제11항에 있어서,
    상기 제어부는, 상기 서비스 거부 공격 메시지에 대한 차단 후 일정 시간이 지나서 상기 발신측 주소(IP)가 정상 상태가 되면, 상기 발신측 주소(IP)에 대한 차단을 해제함을 특징으로 하는 세션 개시 프로토콜(SIP) 프락시 서버에서의 서비스 거부 공격 대응 장치.
  13. 제12항에 있어서,
    상기 제어부는, 상기 발신측 주소가 차단되면, 상기 주소 관리 테이블에 설정된 금지 시간에 대한 만기 값을 차감하고, 일정시간 후 상기 주소 관리 테이블에 설정된 상기 발신측의 주소(IP)에 대한 가중치 값과 미리 설정된 임계값을 비교하여 정상 상태 여부를 판단함을 특징으로 하는 세션 개시 프로토콜(SIP) 프락시 서버에서의 서비스 거부 공격 대응 장치.
  14. 제11항에 있어서,
    상기 서비스 거부 차단부는 상기 주소 관리 테이블을 이용하여 상기 발신측의 주소(IP)가 금지된 주소인지를 확인하여 상기 발신측의 주소(IP)가 금지된 주소인 경우 상기 서비스 개시 프로토콜 메시지의 패킷의 접근을 금지하는 차단 신호를 발생함을 특징으로 하는 세션 개시 프로토콜(SIP) 프락시 서버에서의 서비스 거부 공격 대응 장치.
  15. 제14항에 있어서,
    상기 서비스 거부 차단부는 상기 발신측의 주소가 금지된 주소가 아닌 경우 상기 세션 개시 프로토콜 메시지를 파싱(parsing)하여 저장하고, 미리 설정된 다른 필터링 조건들에 따라 상기 세션 개시 프로토콜 메시지를 필터링하고, 적어도 하나의 필터링 조건을 만족하지 못하는 경우 차단 신호를 발생하며, 상기 다른 필터링 조건들을 모두 만족하는 경우 상기 세션 개시 프로토콜 메시지의 패킷을 내부 로직으로 전송함을 특징으로 하는 세션 개시 프로토콜(SIP) 프락시 서버에서의 서비스 거부 공격 대응 장치.
  16. 제15항에 있어서,
    상기 다른 필터링 조건들은 상기 세션 개시 프로토콜 메시지가 요청 메시지인 경우, 상기 요청 메시지 내 헤더의 정보가 다른 장치의 주소를 지시하는지에 대 한 조건, 사용자 존재 여부 조건, 유효한 사용자 인증 정보를 가지고 있는지에 대한 조건 및 목적지 주소가 정확한지에 대한 조건을 포함함을 특징으로 하는 세션 개시 프로토콜(SIP) 프락시 서버에서의 서비스 거부 공격 대응 장치.
  17. 제14항에 있어서,
    상기 다른 필터링 조건들은 상기 세션 개시 프로토콜 메시지가 응답 메시지인 경우, 상기 응답 메시지의 최상위 헤더(Via 헤더)에 지정된 주소 일치 여부 및 일치하는 콘텍스트(Context) 존재 여부에 대한 조건을 포함하는 것을 특징으로 하는 세션 개시 프로토콜(SIP) 프락시 서버에서의 서비스 거부 공격 대응 장치.
  18. 제11항에 있어서,
    상기 주소 관리부는 상기 서비스 거부 공격 메시지의 패킷이 수신될 때 마다 상기 주소 관리 테이블 내의 가중치 값 및 만기값을 증가시키고, 상기 세션 개시 프로토콜 서비스부의 제어에 따라 금지 여부를 설정함을 특징으로 하는 세션 개시 프로토콜(SIP) 프락시 서버에서의 서비스 거부 공격 대응 장치.
KR1020060096407A 2006-09-29 2006-09-29 세션 개시 프로토콜(SIP) 프락시 서버에서의 서비스거부(DoS) 공격 대응 방법 및 장치 KR100818302B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060096407A KR100818302B1 (ko) 2006-09-29 2006-09-29 세션 개시 프로토콜(SIP) 프락시 서버에서의 서비스거부(DoS) 공격 대응 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060096407A KR100818302B1 (ko) 2006-09-29 2006-09-29 세션 개시 프로토콜(SIP) 프락시 서버에서의 서비스거부(DoS) 공격 대응 방법 및 장치

Publications (1)

Publication Number Publication Date
KR100818302B1 true KR100818302B1 (ko) 2008-04-01

Family

ID=39533392

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060096407A KR100818302B1 (ko) 2006-09-29 2006-09-29 세션 개시 프로토콜(SIP) 프락시 서버에서의 서비스거부(DoS) 공격 대응 방법 및 장치

Country Status (1)

Country Link
KR (1) KR100818302B1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101037575B1 (ko) 2009-12-18 2011-05-30 한국인터넷진흥원 VoIP 환경에서, 디도스 공격 탐지 및 탐지 효율성 측정 방법
KR101069462B1 (ko) 2009-12-30 2011-09-30 아주대학교산학협력단 십 바이 플러딩 공격탐지방법 및 그 장치
WO2013065886A1 (ko) * 2011-10-31 2013-05-10 한국인터넷진흥원 이동통신망의 시그널링 도스 트래픽 탐지방법
KR101511030B1 (ko) 2010-11-25 2015-04-10 네이버비즈니스플랫폼 주식회사 컨텐츠 필터링 시스템 및 패킷 레벨 차단 시스템을 이용한 dos 공격 차단 방법, 시스템 및 컴퓨터 판독 가능한 기록 매체
KR20210123572A (ko) * 2020-04-03 2021-10-14 (주)쏠그리드 망 분리 udp 서비스 연동장치

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040042397A (ko) * 2002-11-14 2004-05-20 한국전자통신연구원 분산 서비스 거부 공격 대응 시스템 및 방법
JP2006100873A (ja) 2004-09-28 2006-04-13 Nippon Telegr & Teleph Corp <Ntt> Sipパケットフィルタリング装置およびネットワーク間接続装置およびsipサーバ

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040042397A (ko) * 2002-11-14 2004-05-20 한국전자통신연구원 분산 서비스 거부 공격 대응 시스템 및 방법
JP2006100873A (ja) 2004-09-28 2006-04-13 Nippon Telegr & Teleph Corp <Ntt> Sipパケットフィルタリング装置およびネットワーク間接続装置およびsipサーバ

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101037575B1 (ko) 2009-12-18 2011-05-30 한국인터넷진흥원 VoIP 환경에서, 디도스 공격 탐지 및 탐지 효율성 측정 방법
KR101069462B1 (ko) 2009-12-30 2011-09-30 아주대학교산학협력단 십 바이 플러딩 공격탐지방법 및 그 장치
KR101511030B1 (ko) 2010-11-25 2015-04-10 네이버비즈니스플랫폼 주식회사 컨텐츠 필터링 시스템 및 패킷 레벨 차단 시스템을 이용한 dos 공격 차단 방법, 시스템 및 컴퓨터 판독 가능한 기록 매체
WO2013065886A1 (ko) * 2011-10-31 2013-05-10 한국인터넷진흥원 이동통신망의 시그널링 도스 트래픽 탐지방법
KR20210123572A (ko) * 2020-04-03 2021-10-14 (주)쏠그리드 망 분리 udp 서비스 연동장치
KR102348630B1 (ko) * 2020-04-03 2022-01-07 (주)쏠그리드 망 분리 udp 서비스 연동장치

Similar Documents

Publication Publication Date Title
US7379423B1 (en) Filtering subscriber traffic to prevent denial-of-service attacks
US8091132B2 (en) Behavior-based traffic differentiation (BTD) for defending against distributed denial of service (DDoS) attacks
US7870611B2 (en) System method and apparatus for service attack detection on a network
US7764612B2 (en) Controlling access to a host processor in a session border controller
Kumar Smurf-based distributed denial of service (ddos) attack amplification in internet
US7478429B2 (en) Network overload detection and mitigation system and method
US8510834B2 (en) Automatic signature propagation network
US6973040B1 (en) Method of maintaining lists of network characteristics
CN101202742B (zh) 一种防止拒绝服务攻击的方法和系统
US20180091547A1 (en) Ddos mitigation black/white listing based on target feedback
KR101217647B1 (ko) 특정 소스/목적지 ip 어드레스 쌍들에 기초한 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치
Reynolds et al. Secure IP Telephony using Multi-layered Protection.
US7818795B1 (en) Per-port protection against denial-of-service and distributed denial-of-service attacks
US7680062B2 (en) Apparatus and method for controlling abnormal traffic
US20090007266A1 (en) Adaptive Defense System Against Network Attacks
Gurbani et al. Session initiation protocol (SIP) overload control
KR100858271B1 (ko) 분산서비스거부공격 차단장치 및 그 방법
KR100818302B1 (ko) 세션 개시 프로토콜(SIP) 프락시 서버에서의 서비스거부(DoS) 공격 대응 방법 및 장치
KR20120060655A (ko) 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크
CN100420197C (zh) 一种实现网络设备防攻击的方法
JP3928866B2 (ja) DoS攻撃元検出方法、DoS攻撃阻止方法、セッション制御装置、ルータ制御装置、プログラムおよびその記録媒体
KR20060076325A (ko) 서비스 불능 공격 방어 시스템, 서비스 불능 공격 방어방법 및 서비스 불능 공격 방어 프로그램
JP4602158B2 (ja) サーバ装置保護システム
WO2019096104A1 (zh) 攻击防范
JP2007259223A (ja) ネットワークにおける不正アクセスに対する防御システム、方法およびそのためのプログラム

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130304

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20130730

Year of fee payment: 19