KR100883388B1 - 결정론적 푸시백 기법을 이용한 분산 서비스 거부 공격대응 방법 - Google Patents

결정론적 푸시백 기법을 이용한 분산 서비스 거부 공격대응 방법 Download PDF

Info

Publication number
KR100883388B1
KR100883388B1 KR1020070071865A KR20070071865A KR100883388B1 KR 100883388 B1 KR100883388 B1 KR 100883388B1 KR 1020070071865 A KR1020070071865 A KR 1020070071865A KR 20070071865 A KR20070071865 A KR 20070071865A KR 100883388 B1 KR100883388 B1 KR 100883388B1
Authority
KR
South Korea
Prior art keywords
attack
address
edge router
deterministic
ddos
Prior art date
Application number
KR1020070071865A
Other languages
English (en)
Other versions
KR20080047250A (ko
Inventor
서정택
손기욱
박응기
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to US11/860,625 priority Critical patent/US20080127324A1/en
Publication of KR20080047250A publication Critical patent/KR20080047250A/ko
Application granted granted Critical
Publication of KR100883388B1 publication Critical patent/KR100883388B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 결정론적 푸시백(Deterministic Pushback) 기법을 이용한 DDoS 공격 대응 방법에 관한 것으로, IP 스푸핑 기법을 사용하는 DDoS 공격에 대응하기 위하여 모든 백본 라우터 등에 별도의 모듈을 삽입하거나, 네트워크 내에 별도의 관리시스템을 도입하지 않고, 공격 패킷의 근원지가 되는 에지 라우터에서 발생하는 모든 패킷에 대하여 에지 라우터의 IP 어드레스를 패킷 마킹하고, 공격 발생 시 피해자 시스템 측에서는 IP 재조합을 통하여 공격 근원지 에지 라우터의 IP 어드레스를 확인하고, 결정론적 푸시백 메시지를 공격 근원지 에지 라우터로 전송하여, 공격 발생 근원지 에지 라우터에서 공격 패킷에 대하여 필터링을 수행하게 한다. 본 발명에 의하면, 모든 백본 라우터 등에 별도의 모듈을 삽입하거나, 네트워크 내에 별도의 관리시스템을 도입하지 않고, DDoS 공격 발생 시 공격 근원지 에지 라우터의 IP 어드레스를 확인하여, 공격 발생 근원지 에지 라우터에서 DDoS 공격 패킷들을 필터링함으로써 네트워크로 유입되는 공격 패킷들을 근원지에서 필터링이 가능하며, 중간 라우터들의 개입 없이도 DDoS 공격에 효과적으로 대응할 수 있다.
네트워크 보안, 분산 서비스 거부(DDoS) 공격, IP Spoofing, 푸시백 메시지, 패킷 마킹

Description

결정론적 푸시백 기법을 이용한 분산 서비스 거부 공격 대응 방법{DDoS FLOODINGG ATTACK RESPONSE APPROACH USING DETERMINISTIC PUSHBACK METHOD}
본 발명은 네트워크 보안(Network Security) 기술에 관한 것이며, 더욱 상세히는 IP 스푸핑 기법을 사용하여 네트워크 시스템이 정상적인 서비스를 수행하지 못하도록 다량의 패킷을 동시에 전송함으로써 네트워크 시스템을 무기력화 시키는 분산 서비스 거부(DDoS; Distributed Denial of Service) 공격에 대하여 효과적으로 자동대응 할 수 있는 결정론적 푸시백(Deterministic Pushback) 기법을 이용한 DDoS 공격 대응 방법에 관한 것이다.
기존의 DDoS 공격 역추적을 이용한 대응기술 중 전향적(Proacitve) 역추적 기술로는 패킷 전송 과정에서 역추적 정보를 생성하여 삽입하거나 전달하는 방식으로 패킷이 이동하는 중간 라우터들에서 확률적으로 패킷에 자신의 IP를 마킹하는 패킷 마킹 기법 혹은 인터넷 제어 메시지 프로토콜(ICMP; Internet Control Message Protocol) 역추적 메시지 기반으로 마킹하는 기법 등이 있다. 이러한 전향적 역추적 기술들은 피해자 시스템에서 역추적 경로를 재구성하기 위해 모든 라우터에 특정 모듈을 추가해야 하는 어려움이 있을 뿐만 아니라 많은 부하가 발생하 며, 특히 공격 근원지 수가 많은 DDoS 공격에는 빠른 대응이 어려운 취약점이 있다.
또한, 기존의 DDoS 공격 역추적을 이용한 대응기술 중 대응적(Reacitve) 역추적 기술에서는 해킹 공격의 발생이 확인되면 공격에 대한 연결이 형성되어 있는 상태에서 공격 근원지를 역추적하는 방식으로 홉-바이-홉(Hop-by-Hop) 역추적 및 해쉬 기반 IP 역추적 기술이 있다. 이러한 대응적 역추적 기술들은 라우터에 대한 별도의 관리시스템을 두거나 라우터에 특정 모듈을 부가하여야 하므로 관리시스템 및 라우터에 많은 부하가 발생하게 되는 취약점이 있다.
본 발명은 상기한 종래의 문제점을 해결하기 위한 것으로서, 본 발명의 목적은 IP 스푸핑 기법을 사용하는 DDoS 공격에 대응하기 위하여 모든 백본 라우터 등에 별도의 모듈을 삽입하거나, 네트워크 내에 별도의 관리시스템을 도입하지 않고, 공격 패킷의 근원지(Source)가 되는 에지(Edge) 라우터에서 발생하는 모든 패킷에 대하여 에지 라우터의 IP 어드레스(address)를 패킷 마킹(Packet Marking)하고, 공격 발생 시 피해자 시스템 측에서는 간단한 IP 재조합을 통하여 공격 근원지 에지 라우터의 IP 어드레스(address)를 확인하고, 결정론적 푸시백 메시지를 공격 근원지 에지 라우터로 전송하여, 공격 발생 근원지 에지 라우터에서 공격 패킷에 대하여 필터링을 수행하게 하는 결정론적 푸시백 기법을 이용한 DDoS 공격 대응 방법을 제공하는 것이다.
상기와 같은 본 발명의 목적을 달성하기 위하여 본 발명에 따른 결정론적 푸시백 기법을 이용한 분산 서비스 거부 공격 대응 방법은, 피해자 시스템 측에서 DDoS 공격 패킷에 대한 근원지 에지 라우터의 IP 어드레스(address)를 확인하도록 하기 위해 특정 네트워크 시스템의 에지 라우터에서 다른 네트워크 시스템으로 아웃바운드(outbound) 되는 모든 패킷에 자신의 IP 어드레스(address)를 마킹하는 제1과정과; DDoS 공격을 탐지한 피해자 시스템 측에서, 탐지되는 DDoS 공격 패킷들을 이용하여 IP 어드레스(address)를 재조합하여 공격 근원지 에지 라우터의 IP 어드 레스(address) 정보를 획득하는 제2과정; 및 피해자 시스템 측에서 공격 근원지 에지 라우터에 결정론적 푸시백(Deterministic Pushback) 메시지를 전송하면, 결정론적 푸시백(Deterministic Pushback) 메시지를 전송받은 공격 근원지 에지 라우터에서 정보를 확인하고 해당되는 공격 패킷들에 대하여 필터링을 실시하는 제3과정으로 이루어지는 것을 특징으로 한다.
상술한 바와 같은 본 발명에 따른 결정론적 푸시백 기법을 이용한 분산 서비스 거부 공격 대응 방법에 의하면, 모든 백본 라우터 등에 별도의 모듈을 삽입하거나, 네트워크 내에 별도의 관리시스템을 도입하지 않고, DDoS 공격 발생 시 공격 근원지 에지 라우터의 IP 어드레스(address)를 확인하여, 공격 발생 근원지 에지 라우터에서 DDoS 공격 패킷들을 필터링함으로써 네트워크로 유입되는 공격 패킷들을 근원지에서 필터링이 가능하며, 중간 라우터들의 개입 없이도 DDoS 공격에 효과적으로 대응할 수 있는 장점을 발휘하게 된다.
실제로, DDoS 공격 발생 시 공격 근원지 에지 라우터의 IP 어드레스(address)를 확인 가능하므로 네트워크 내의 모든 라우터들이 참여하여 공격 근원지에 대한 역추적을 수행하기 위한 오버헤드, 예컨대 중간 라우터들의 마킹 정보를 확인하는 등의 오버헤드 발생을 최소화할 수 있으며, 특히 대부분의 DDoS 공격이 IP 스푸핑 공격을 사용함으로써 근원지 파악에 더욱 어려움이 있는데, 근원지 에지 라우터의 IP 어드레스(address) 정보를 이용하여 역추적을 실시하여 공격 근원지에서 발생되는 패킷들을 필터링 하므로 네트워크로의 유입을 근원지에서 막을 수 있을 뿐만 아니라, IP 스푸핑 기법을 사용하는 DDoS 공격에 빠르게 대응할 수 있다.
이하, 본 발명의 실시예를 첨부한 도면을 참조하여 더욱 상세하게 설명한다.
도 1을 참조하면, 본 발명에 따른 결정론적 푸시백(Deterministic Pushback) 기법을 이용한 DDoS 공격 대응 방법이 적용되는 네트워크 시스템은 공격자(a1,a2)와 피해자 시스템(Victim)으로 구분되며, 각 시스템은 다수의 에지 라우터(r1,r2,r3)와 각 시스템의 네트워크에 포함되는 다수의 또 다른 라우터(r4,r5,r6)를 포함한다.
참고로, 도 1에 나타낸 실시예에서는 에지 라우터 r1, r2가 공격 근원지 에지 라우터 역할을 한다.
상기와 같은 특정 네트워크 시스템에서 본 발명에 따른 결정론적 푸시백 기법을 이용한 분산 서비스 거부 공격 대응 방법이 수행되는 과정을 도 2 내지 도 5를 참조하여 설명하면 다음과 같다.
도 2를 참조하면, 먼저 피해자 시스템 측에서 DDoS 공격 패킷에 대한 근원지 에지 라우터의 IP 어드레스(address)를 확인하도록 하기 위해 특정 네트워크 시스템의 에지 라우터(r1,r2,r3)에서 다른 네트워크 시스템으로 아웃바운드(outbound) 되는 모든 패킷에 자신의 IP 어드레스(address)를 마킹한다(S100).
통상의 인터넷 구조상에서는 상기 에지 라우터(r1,r2,r3)의 IP 어드레 스(address) 정보를 표시하기 위한 필드가 마련되어있지 않기 때문에, 본 발명에 따른 각 에지 라우터(r1,r2,r3)에서는 IP 또는 TCP 프로토콜 상에 비어있는 옵션 필드(option field)로 식별 필드(Identification field)와 서비스 타입(Type of Service) 필드에 에지 라우터(r1,r2,r3)의 IP 어드레스(address) 정보를 삽입하는 방법을 사용하며, 이는 패킷의 사이즈 증가를 피하기 위함이다.
도 3은 본 발명에 따른 특정 네트워크 시스템의 에지 라우터(r1,r2,r3)에서 패킷에 자신의 IP를 마킹하는 과정을 나타낸 실시예로서, 상기 두 개 필드의 총 사이즈가 24 bits로 32 bits의 IP 어드레스(address) 정보를 담기 위해서는 용량이 부족하므로, 본 발명에서는 IP 어드레스(address) 정보를 4개의 파트(part)로 나누어진 하나의 비트 패턴으로 각각을 지나가는 패킷 하나하나에 저장한다.
상기 하나의 비트 패턴은 시퀀스(sequence) 파트와, IP 어드레스 해쉬 값(hash value of the IP address) 파트, 32 bits의 IP 어드레스(address) 정보 중 8 bits(8-bits of 32-bits IP address) 파트로 구성된다.
상기 시퀀스(sequence) 파트에서 2 bits를 이용하는데‘01'은 32 bits IP 어드레스(address)에서 두 번째 부분으로 9부터 16번째 비트 정보를 나타낸다.
상기 IP 어드레스 해쉬 값(hash value of the IP address) 파트에서는 14 bits를 이용하여 에지 라우터의 IP 어드레스(address)에 대한 해쉬 값(hash value)을 저장한다.
상기 32 bits의 IP 어드레스(address) 정보 중 8 bits(8-bits of 32-bits IP address) 파트에서는 IP 어드레스(address) 정보 중에 해당 시퀀스(sequence)에 대 한 8 bits 정보를 저장한다.
상기와 같이 특정 네트워크 시스템의 에지 라우터(r1,r2,r3)에서 다른 네트워크 시스템으로 아웃바운드(outbound) 되는 모든 패킷에 자신의 IP 어드레스(address)를 마킹할 때(S100), 만약 특정 피해자 시스템(Victim)에서 DDoS 공격을 탐지하면, 이 DDoS 공격을 탐지한 피해자 시스템(Victim) 측에서는, 탐지되는 DDoS 공격 패킷들을 이용하여 IP 어드레스(address)를 재조합하여 공격 근원지 에지 라우터(r1,r2)의 IP 어드레스(address) 정보를 획득한다(S200).
도 4는 피해자 시스템(Victim) 측에서 DDoS 공격을 탐지한 후 공격 근원지 에지 라우터(r1,r2)의 IP 어드레스(address) 정보를 확인하기 위하여 체인(Chain) 구조를 이용하여 IP 어드레스(address)를 재조합하는 과정을 나타낸 실시예이다.
도 4에 나타낸 바와 같이, 본 발명에서는 공격 패킷들의 식별 필드(Identification field)와 서비스 타입(Type of Service) 필드에서 추출한 IP 어드레스(address)에 대한 해쉬 값(hash value)을 체크하여 각각을 구분하는 링크-리스트(linked-list) 구조를 이용하며, 각각의 리스트(list)들을 6개의 요소들로 구성된다.
처음 4 bits는 구분필드이며, 그 다음 14 bits는 IP 어드레스(address)에 대한 해쉬 값(Hash value)이고, 그 다음은 32 bits IP 어드레스(address)를 4개로 나눈 8 bits 정보들이 저장된다.
이와 같은 재조합 과정을 거쳐 공격 패킷이 발생하고 있는 에지 라우터의 IP 어드레스(address) 정보를 획득하면, 피해자 시스템 측에서는 해쉬 값(Hash value)를 가지고 각각 공격에 대한 에지 라우터(r1,r2)들의 구분이 가능하다.
상기와 같이 DDoS 공격을 탐지한 피해자 시스템(Victim) 측에서 탐지되는 DDoS 공격 패킷들을 이용하여 IP 어드레스(address)를 재조합하여 공격 근원지 에지 라우터(r1,r2)의 IP 어드레스(address) 정보를 획득하고 난 후(S200), 상기 피해자 시스템(Victim) 측에서 공격 근원지 에지 라우터에 결정론적 푸시백(Deterministic Pushback) 메시지를 전송하면, 결정론적 푸시백(Deterministic Pushback) 메시지를 전송받은 공격 근원지 에지 라우터(r1,r2)에서 정보를 확인하고 해당되는 공격 패킷들에 대하여 필터링을 실시한다(S300).
도 5는 피해자 시스템(Victim) 측에서 공격이 발생하고 있는 에지 라우터(r1,r2)의 IP 어드레스(address) 정보를 획득한 후 대상 에지 라우터, 즉 공격 근원지 에지 라우터(r1,r2)에 결정론적 푸시백(Deterministic Pushback) 메시지를 보내어 공격 근원지 에지 라우터(r1,r2)에서 정보를 확인하고 해당되는 공격 패킷들에 대하여 필터링을 실시하게 하기 위해 사용하는 결정론적 푸시백(Deterministic Pushback) 메시지의 포맷을 나타낸다.
도 5에 있어서, IP 헤더(Header)에는 근원지 IP 어드레스(Source IP address; src-IP)로 피해자 시스템(Victim)의 IP 어드레스(address) 정보와 목적지 IP 어드레스(Destination IP address; dst-IP)로 대상 에지 라우터의 IP 어드레스(address) 정보가 들어가고, TCP 헤더(Header)에는 다양한 필드가 정의될 수 있 다.
데이터그램(Datagram)에는 대역 폭 제한값(Bandwidth Limitation Rate Value), 만료 시간(Expiration Time) 및 에러 코드(Error Code)가 데이터(data)로 들어가게 된다.
상기 대역 제한값(Bandwidth Limitation Rate Value)은 피해자 시스템으로 전송되는 패킷에 대한 대역폭 제한 정보가 들어가며, 상기 만료 시간(Expiration Time)에는 에지 라우터가 필터링 상태를 유지해야 하는 기간을 나타낸다. 공격 패킷이 발생하고 있는 에지 라우터에서는 피해자 시스템 측으로부터 받은 메시지 정보를 이용하여 해당 패킷들에 대하여 필터링을 실시한다.
상기한 과정을 요약하면, 본 발명에서는 패킷이 발생해서 외부로 나가는 에지 라우터(r1,r2)에서만 자신의 IP 어드레스(address)를 특정 필드에 마킹하게 되고, 공격 발생 시 피해자 시스템(Victim) 측에서 간단한 패킷정보 재조합을 통하여 근원지 에지 라우터(r1,r2)의 IP 어드레스(address)를 확인하고, 패킷 필터링에 대한 간단한 결정론적 푸시백(Pushback) 메시지를 공격이 발생하고 있는 근원지 에지 라우터(r1,r2)로 전송하고, 메시지를 받은 에지 라우터(r1,r2)에서는 해당 공격 패킷들에 대하여 필터링을 실시한다.
이상에서 설명한 본 발명에 따른 결정론적 푸시백 기법을 이용한 분산 서비스 거부 공격 대응 방법은 상기한 실시예에 따른 서비스에 한정되지 않고, 이하의 특허청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 누구든지 다양하게 변경하여 실시할 수 있는 범위까지 본 발명의 기술적 정신이 있다고 할 것이다.
도 1은 본 발명에 따른 결정론적 푸시백(Deterministic Pushback) 기법을 이용한 DDoS 공격 대응 방법이 적용되는 네트워크 시스템을 나타낸 실시예.
도 2는 본 발명에 따른 결정론적 푸시백(Deterministic Pushback) 기법을 이용한 분산 서비스 거부(DDoS; Distributed Denial of Service) 공격 대응 방법을 나타낸 플로차트.
도 3은 본 발명에 따른 특정 네트워크 시스템의 에지 라우터에서 패킷에 자신의 IP를 마킹하는 과정을 나타낸 실시예.
도 4는 본 발명에 따른 피해자 시스템 측에서 체인(Chain) 구조를 이용하여 IP 어드레스(address)를 재조합하는 과정을 나타낸 실시예.
도 5는 본 발명에 따른 피해자 시스템 측에서 공격 근원지 에지 라우터로 전송하는 결정론적 푸시백(Deterministic Pushback) 메시지 포맷을 나타낸 실시예.

Claims (6)

  1. 피해자 시스템 측에서 DDoS 공격 패킷에 대한 근원지 에지 라우터의 IP 어드레스(address)를 확인하도록 하기 위해 특정 네트워크 시스템의 에지 라우터에서 다른 네트워크 시스템으로 아웃바운드(outbound) 되는 모든 패킷에 자신의 IP 어드레스(address)를 마킹하는 제1과정과;
    DDoS 공격을 탐지한 피해자 시스템 측에서, 탐지되는 DDoS 공격 패킷들을 이용하여 IP 어드레스(address)를 재조합하여 공격 근원지 에지 라우터의 IP 어드레스(address) 정보를 획득하는 제2과정; 및
    피해자 시스템 측에서 공격 근원지 에지 라우터에 결정론적 푸시백(Deterministic Pushback) 메시지를 전송하면, 결정론적 푸시백(Deterministic Pushback) 메시지를 전송받은 공격 근원지 에지 라우터에서 정보를 확인하고 해당되는 공격 패킷들에 대하여 필터링을 실시하는 제3과정을 포함하며:
    상기 제1과정의 특정 네트워크 시스템의 에지 라우터에서 IP 또는 TCP 프로토콜 상에 비어있는 옵션 필드(option field)로 식별 필드(Identification field)와 서비스 타입(Type of Service) 필드에 에지 라우터의 IP 어드레스(address) 정보를 4개의 파트(part)로 나누어진 하나의 비트 패턴으로 각각을 지나가는 패킷 하나하나에 저장하는 것을 특징으로 하는 결정론적 푸시백 기법을 이용한 분산 서비스 거부 공격 대응 방법.
  2. 삭제
  3. 제 1 항에 있어서, 상기 특정 네트워크 시스템의 에지 라우터에서 IP 어드레스(address) 정보를 4개의 파트(part)로 나누어진 하나의 비트 패턴으로 각각을 지나가는 패킷 하나하나에 저장할 때, 하나의 비트 패턴은 시퀀스(sequence) 파트와, IP 어드레스 해쉬 값(hash value of the IP address) 파트, 32 bits의 IP 어드레스(address) 정보 중 8 bits(8-bits of 32-bits IP address) 파트로 구성하는 것을 특징으로 하는 결정론적 푸시백 기법을 이용한 분산 서비스 거부 공격 대응 방법.
  4. 제 1 항에 있어서, 상기 제2과정의 DDoS 공격을 탐지한 피해자 시스템 측에서 공격 패킷들의 식별 필드(Identification field)와 서비스 타입(Type of Service) 필드에서 추출한 IP 어드레스(address)에 대한 해쉬 값(hash value)을 체크하여 각각을 구분하는 링크-리스트(linked-list) 구조를 이용하여 IP 어드레스(address)를 재조합함으로써 공격 근원지 에지 라우터의 IP 어드레스(address) 정보를 획득하는 것을 특징으로 하는 결정론적 푸시백 기법을 이용한 분산 서비스 거부 공격 대응 방법.
  5. 제 4 항에 있어서, 상기 DDoS 공격을 탐지한 피해자 시스템 측에서 공격 패킷들의 식별 필드(Identification field)와 서비스 타입(Type of Service) 필드에 서 추출한 IP 어드레스(address)에 대한 해쉬 값(hash value)을 체크하여 각각을 구분하는 링크-리스트(linked-list) 구조를 이용하여 IP 어드레스(address)를 재조합할 때, 상기 링크-리스트(linked-list) 구조를 처음 4 bits의 구분필드와 그 다음 14 bits의 IP 어드레스(address)에 대한 해쉬 값(Hash value), 그 다음은 32 bits IP 어드레스(address)를 4개로 나눈 8 bits 정보들로 구성하여 저장하는 것을 특징으로 하는 결정론적 푸시백 기법을 이용한 분산 서비스 거부 공격 대응 방법.
  6. 제 1 항에 있어서, 상기 제3과정의 피해자 시스템 측에서 근원지 IP 어드레스(Source IP address; src-IP)로 피해자 시스템(Victim)의 IP 어드레스(address) 정보와 목적지 IP 어드레스(Destination IP address; dst-IP)로 대상 에지 라우터의 IP 어드레스(address) 정보가 들어가는 IP 헤더(Header)와, 대역 폭 제한값(Bandwidth Limitation Rate Value), 만료 시간(Expiration Time) 및 에러 코드(Error Code)가 데이터(data)로 들어가는 데이터그램(Datagram)을 포함하는 결정론적 푸시백(Deterministic Pushback) 메시지를 공격 근원지 에지 라우터에 전송하는 것을 특징으로 하는 결정론적 푸시백 기법을 이용한 분산 서비스 거부 공격 대응 방법.
KR1020070071865A 2006-11-24 2007-07-18 결정론적 푸시백 기법을 이용한 분산 서비스 거부 공격대응 방법 KR100883388B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US11/860,625 US20080127324A1 (en) 2006-11-24 2007-09-25 DDoS FLOODING ATTACK RESPONSE APPROACH USING DETERMINISTIC PUSH BACK METHOD

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20060116654 2006-11-24
KR1020060116654 2006-11-24

Publications (2)

Publication Number Publication Date
KR20080047250A KR20080047250A (ko) 2008-05-28
KR100883388B1 true KR100883388B1 (ko) 2009-02-11

Family

ID=39663905

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070071865A KR100883388B1 (ko) 2006-11-24 2007-07-18 결정론적 푸시백 기법을 이용한 분산 서비스 거부 공격대응 방법

Country Status (1)

Country Link
KR (1) KR100883388B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030014665A1 (en) * 2001-07-03 2003-01-16 Anderson Todd A. Apparatus and method for secure, automated response to distributed denial of service attacks
JP2003298628A (ja) 2002-03-29 2003-10-17 Toshiba Corp サーバ保護ネットワークシステム、サーバおよびルータ
KR100770354B1 (ko) 2006-08-03 2007-10-26 경희대학교 산학협력단 IPv6 네트워크에서 공격자 호스트의 IP를 역추적하는방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030014665A1 (en) * 2001-07-03 2003-01-16 Anderson Todd A. Apparatus and method for secure, automated response to distributed denial of service attacks
JP2003298628A (ja) 2002-03-29 2003-10-17 Toshiba Corp サーバ保護ネットワークシステム、サーバおよびルータ
KR100770354B1 (ko) 2006-08-03 2007-10-26 경희대학교 산학협력단 IPv6 네트워크에서 공격자 호스트의 IP를 역추적하는방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
논문:ACSC*

Also Published As

Publication number Publication date
KR20080047250A (ko) 2008-05-28

Similar Documents

Publication Publication Date Title
JP4683383B2 (ja) 無線メッシュ及びセンサ・ネットワークにおける回復力のあるパケット逆探知のための方法及びシステム
Belenky et al. On IP traceback
US20080127324A1 (en) DDoS FLOODING ATTACK RESPONSE APPROACH USING DETERMINISTIC PUSH BACK METHOD
Mankin et al. On design and evaluation of" intention-driven" ICMP traceback
Cheng et al. Opportunistic piggyback marking for IP traceback
Yao et al. VASE: Filtering IP spoofing traffic with agility
Korkmaz et al. Single packet IP traceback in AS-level partial deployment scenario
CN1906905B (zh) 拒绝服务攻击防御系统、拒绝服务攻击防御方法
Lu et al. A novel path‐based approach for single‐packet IP traceback
Gambhir et al. PPN: Prime product number based malicious node detection scheme for MANETs
CN112154635A (zh) Sfc覆盖网络中的攻击源追踪
Nur et al. Single packet AS traceback against DoS attacks
Patil et al. A rate limiting mechanism for defending against flooding based distributed denial of service attack
Chen et al. Attack Diagnosis: Throttling distributed denial-of-service attacks close to the attack sources
JP5178573B2 (ja) 通信システムおよび通信方法
Muthuprasanna et al. Coloring the Internet: IP traceback
Liu et al. DISCS: a distributed collaboration system for inter-AS spoofing defense
Lu et al. A novel approach for single-packet IP traceback based on routing path
Sun et al. Modified deterministic packet marking for DDoS attack traceback in IPv6 network
Gong et al. Single packet IP traceback in AS-level partial deployment scenario
KR101081433B1 (ko) IPv6 기반 네트워크의 공격 패킷의 역추적 방법 및 그 기록매체
KR100883388B1 (ko) 결정론적 푸시백 기법을 이용한 분산 서비스 거부 공격대응 방법
CN113395247A (zh) 一种防止对SRv6 HMAC校验进行重放攻击的方法和设备
US20060225141A1 (en) Unauthorized access searching method and device
Chen et al. TRACK: A novel approach for defending against distributed denial-of-service attacks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130111

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20140103

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20141224

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20151224

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20161227

Year of fee payment: 9

LAPS Lapse due to unpaid annual fee