KR100883388B1 - 결정론적 푸시백 기법을 이용한 분산 서비스 거부 공격대응 방법 - Google Patents
결정론적 푸시백 기법을 이용한 분산 서비스 거부 공격대응 방법 Download PDFInfo
- Publication number
- KR100883388B1 KR100883388B1 KR1020070071865A KR20070071865A KR100883388B1 KR 100883388 B1 KR100883388 B1 KR 100883388B1 KR 1020070071865 A KR1020070071865 A KR 1020070071865A KR 20070071865 A KR20070071865 A KR 20070071865A KR 100883388 B1 KR100883388 B1 KR 100883388B1
- Authority
- KR
- South Korea
- Prior art keywords
- attack
- address
- edge router
- deterministic
- ddos
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 결정론적 푸시백(Deterministic Pushback) 기법을 이용한 DDoS 공격 대응 방법에 관한 것으로, IP 스푸핑 기법을 사용하는 DDoS 공격에 대응하기 위하여 모든 백본 라우터 등에 별도의 모듈을 삽입하거나, 네트워크 내에 별도의 관리시스템을 도입하지 않고, 공격 패킷의 근원지가 되는 에지 라우터에서 발생하는 모든 패킷에 대하여 에지 라우터의 IP 어드레스를 패킷 마킹하고, 공격 발생 시 피해자 시스템 측에서는 IP 재조합을 통하여 공격 근원지 에지 라우터의 IP 어드레스를 확인하고, 결정론적 푸시백 메시지를 공격 근원지 에지 라우터로 전송하여, 공격 발생 근원지 에지 라우터에서 공격 패킷에 대하여 필터링을 수행하게 한다. 본 발명에 의하면, 모든 백본 라우터 등에 별도의 모듈을 삽입하거나, 네트워크 내에 별도의 관리시스템을 도입하지 않고, DDoS 공격 발생 시 공격 근원지 에지 라우터의 IP 어드레스를 확인하여, 공격 발생 근원지 에지 라우터에서 DDoS 공격 패킷들을 필터링함으로써 네트워크로 유입되는 공격 패킷들을 근원지에서 필터링이 가능하며, 중간 라우터들의 개입 없이도 DDoS 공격에 효과적으로 대응할 수 있다.
네트워크 보안, 분산 서비스 거부(DDoS) 공격, IP Spoofing, 푸시백 메시지, 패킷 마킹
Description
본 발명은 네트워크 보안(Network Security) 기술에 관한 것이며, 더욱 상세히는 IP 스푸핑 기법을 사용하여 네트워크 시스템이 정상적인 서비스를 수행하지 못하도록 다량의 패킷을 동시에 전송함으로써 네트워크 시스템을 무기력화 시키는 분산 서비스 거부(DDoS; Distributed Denial of Service) 공격에 대하여 효과적으로 자동대응 할 수 있는 결정론적 푸시백(Deterministic Pushback) 기법을 이용한 DDoS 공격 대응 방법에 관한 것이다.
기존의 DDoS 공격 역추적을 이용한 대응기술 중 전향적(Proacitve) 역추적 기술로는 패킷 전송 과정에서 역추적 정보를 생성하여 삽입하거나 전달하는 방식으로 패킷이 이동하는 중간 라우터들에서 확률적으로 패킷에 자신의 IP를 마킹하는 패킷 마킹 기법 혹은 인터넷 제어 메시지 프로토콜(ICMP; Internet Control Message Protocol) 역추적 메시지 기반으로 마킹하는 기법 등이 있다. 이러한 전향적 역추적 기술들은 피해자 시스템에서 역추적 경로를 재구성하기 위해 모든 라우터에 특정 모듈을 추가해야 하는 어려움이 있을 뿐만 아니라 많은 부하가 발생하 며, 특히 공격 근원지 수가 많은 DDoS 공격에는 빠른 대응이 어려운 취약점이 있다.
또한, 기존의 DDoS 공격 역추적을 이용한 대응기술 중 대응적(Reacitve) 역추적 기술에서는 해킹 공격의 발생이 확인되면 공격에 대한 연결이 형성되어 있는 상태에서 공격 근원지를 역추적하는 방식으로 홉-바이-홉(Hop-by-Hop) 역추적 및 해쉬 기반 IP 역추적 기술이 있다. 이러한 대응적 역추적 기술들은 라우터에 대한 별도의 관리시스템을 두거나 라우터에 특정 모듈을 부가하여야 하므로 관리시스템 및 라우터에 많은 부하가 발생하게 되는 취약점이 있다.
본 발명은 상기한 종래의 문제점을 해결하기 위한 것으로서, 본 발명의 목적은 IP 스푸핑 기법을 사용하는 DDoS 공격에 대응하기 위하여 모든 백본 라우터 등에 별도의 모듈을 삽입하거나, 네트워크 내에 별도의 관리시스템을 도입하지 않고, 공격 패킷의 근원지(Source)가 되는 에지(Edge) 라우터에서 발생하는 모든 패킷에 대하여 에지 라우터의 IP 어드레스(address)를 패킷 마킹(Packet Marking)하고, 공격 발생 시 피해자 시스템 측에서는 간단한 IP 재조합을 통하여 공격 근원지 에지 라우터의 IP 어드레스(address)를 확인하고, 결정론적 푸시백 메시지를 공격 근원지 에지 라우터로 전송하여, 공격 발생 근원지 에지 라우터에서 공격 패킷에 대하여 필터링을 수행하게 하는 결정론적 푸시백 기법을 이용한 DDoS 공격 대응 방법을 제공하는 것이다.
상기와 같은 본 발명의 목적을 달성하기 위하여 본 발명에 따른 결정론적 푸시백 기법을 이용한 분산 서비스 거부 공격 대응 방법은, 피해자 시스템 측에서 DDoS 공격 패킷에 대한 근원지 에지 라우터의 IP 어드레스(address)를 확인하도록 하기 위해 특정 네트워크 시스템의 에지 라우터에서 다른 네트워크 시스템으로 아웃바운드(outbound) 되는 모든 패킷에 자신의 IP 어드레스(address)를 마킹하는 제1과정과; DDoS 공격을 탐지한 피해자 시스템 측에서, 탐지되는 DDoS 공격 패킷들을 이용하여 IP 어드레스(address)를 재조합하여 공격 근원지 에지 라우터의 IP 어드 레스(address) 정보를 획득하는 제2과정; 및 피해자 시스템 측에서 공격 근원지 에지 라우터에 결정론적 푸시백(Deterministic Pushback) 메시지를 전송하면, 결정론적 푸시백(Deterministic Pushback) 메시지를 전송받은 공격 근원지 에지 라우터에서 정보를 확인하고 해당되는 공격 패킷들에 대하여 필터링을 실시하는 제3과정으로 이루어지는 것을 특징으로 한다.
상술한 바와 같은 본 발명에 따른 결정론적 푸시백 기법을 이용한 분산 서비스 거부 공격 대응 방법에 의하면, 모든 백본 라우터 등에 별도의 모듈을 삽입하거나, 네트워크 내에 별도의 관리시스템을 도입하지 않고, DDoS 공격 발생 시 공격 근원지 에지 라우터의 IP 어드레스(address)를 확인하여, 공격 발생 근원지 에지 라우터에서 DDoS 공격 패킷들을 필터링함으로써 네트워크로 유입되는 공격 패킷들을 근원지에서 필터링이 가능하며, 중간 라우터들의 개입 없이도 DDoS 공격에 효과적으로 대응할 수 있는 장점을 발휘하게 된다.
실제로, DDoS 공격 발생 시 공격 근원지 에지 라우터의 IP 어드레스(address)를 확인 가능하므로 네트워크 내의 모든 라우터들이 참여하여 공격 근원지에 대한 역추적을 수행하기 위한 오버헤드, 예컨대 중간 라우터들의 마킹 정보를 확인하는 등의 오버헤드 발생을 최소화할 수 있으며, 특히 대부분의 DDoS 공격이 IP 스푸핑 공격을 사용함으로써 근원지 파악에 더욱 어려움이 있는데, 근원지 에지 라우터의 IP 어드레스(address) 정보를 이용하여 역추적을 실시하여 공격 근원지에서 발생되는 패킷들을 필터링 하므로 네트워크로의 유입을 근원지에서 막을 수 있을 뿐만 아니라, IP 스푸핑 기법을 사용하는 DDoS 공격에 빠르게 대응할 수 있다.
이하, 본 발명의 실시예를 첨부한 도면을 참조하여 더욱 상세하게 설명한다.
도 1을 참조하면, 본 발명에 따른 결정론적 푸시백(Deterministic Pushback) 기법을 이용한 DDoS 공격 대응 방법이 적용되는 네트워크 시스템은 공격자(a1,a2)와 피해자 시스템(Victim)으로 구분되며, 각 시스템은 다수의 에지 라우터(r1,r2,r3)와 각 시스템의 네트워크에 포함되는 다수의 또 다른 라우터(r4,r5,r6)를 포함한다.
참고로, 도 1에 나타낸 실시예에서는 에지 라우터 r1, r2가 공격 근원지 에지 라우터 역할을 한다.
상기와 같은 특정 네트워크 시스템에서 본 발명에 따른 결정론적 푸시백 기법을 이용한 분산 서비스 거부 공격 대응 방법이 수행되는 과정을 도 2 내지 도 5를 참조하여 설명하면 다음과 같다.
도 2를 참조하면, 먼저 피해자 시스템 측에서 DDoS 공격 패킷에 대한 근원지 에지 라우터의 IP 어드레스(address)를 확인하도록 하기 위해 특정 네트워크 시스템의 에지 라우터(r1,r2,r3)에서 다른 네트워크 시스템으로 아웃바운드(outbound) 되는 모든 패킷에 자신의 IP 어드레스(address)를 마킹한다(S100).
통상의 인터넷 구조상에서는 상기 에지 라우터(r1,r2,r3)의 IP 어드레 스(address) 정보를 표시하기 위한 필드가 마련되어있지 않기 때문에, 본 발명에 따른 각 에지 라우터(r1,r2,r3)에서는 IP 또는 TCP 프로토콜 상에 비어있는 옵션 필드(option field)로 식별 필드(Identification field)와 서비스 타입(Type of Service) 필드에 에지 라우터(r1,r2,r3)의 IP 어드레스(address) 정보를 삽입하는 방법을 사용하며, 이는 패킷의 사이즈 증가를 피하기 위함이다.
도 3은 본 발명에 따른 특정 네트워크 시스템의 에지 라우터(r1,r2,r3)에서 패킷에 자신의 IP를 마킹하는 과정을 나타낸 실시예로서, 상기 두 개 필드의 총 사이즈가 24 bits로 32 bits의 IP 어드레스(address) 정보를 담기 위해서는 용량이 부족하므로, 본 발명에서는 IP 어드레스(address) 정보를 4개의 파트(part)로 나누어진 하나의 비트 패턴으로 각각을 지나가는 패킷 하나하나에 저장한다.
상기 하나의 비트 패턴은 시퀀스(sequence) 파트와, IP 어드레스 해쉬 값(hash value of the IP address) 파트, 32 bits의 IP 어드레스(address) 정보 중 8 bits(8-bits of 32-bits IP address) 파트로 구성된다.
상기 시퀀스(sequence) 파트에서 2 bits를 이용하는데‘01'은 32 bits IP 어드레스(address)에서 두 번째 부분으로 9부터 16번째 비트 정보를 나타낸다.
상기 IP 어드레스 해쉬 값(hash value of the IP address) 파트에서는 14 bits를 이용하여 에지 라우터의 IP 어드레스(address)에 대한 해쉬 값(hash value)을 저장한다.
상기 32 bits의 IP 어드레스(address) 정보 중 8 bits(8-bits of 32-bits IP address) 파트에서는 IP 어드레스(address) 정보 중에 해당 시퀀스(sequence)에 대 한 8 bits 정보를 저장한다.
상기와 같이 특정 네트워크 시스템의 에지 라우터(r1,r2,r3)에서 다른 네트워크 시스템으로 아웃바운드(outbound) 되는 모든 패킷에 자신의 IP 어드레스(address)를 마킹할 때(S100), 만약 특정 피해자 시스템(Victim)에서 DDoS 공격을 탐지하면, 이 DDoS 공격을 탐지한 피해자 시스템(Victim) 측에서는, 탐지되는 DDoS 공격 패킷들을 이용하여 IP 어드레스(address)를 재조합하여 공격 근원지 에지 라우터(r1,r2)의 IP 어드레스(address) 정보를 획득한다(S200).
도 4는 피해자 시스템(Victim) 측에서 DDoS 공격을 탐지한 후 공격 근원지 에지 라우터(r1,r2)의 IP 어드레스(address) 정보를 확인하기 위하여 체인(Chain) 구조를 이용하여 IP 어드레스(address)를 재조합하는 과정을 나타낸 실시예이다.
도 4에 나타낸 바와 같이, 본 발명에서는 공격 패킷들의 식별 필드(Identification field)와 서비스 타입(Type of Service) 필드에서 추출한 IP 어드레스(address)에 대한 해쉬 값(hash value)을 체크하여 각각을 구분하는 링크-리스트(linked-list) 구조를 이용하며, 각각의 리스트(list)들을 6개의 요소들로 구성된다.
처음 4 bits는 구분필드이며, 그 다음 14 bits는 IP 어드레스(address)에 대한 해쉬 값(Hash value)이고, 그 다음은 32 bits IP 어드레스(address)를 4개로 나눈 8 bits 정보들이 저장된다.
이와 같은 재조합 과정을 거쳐 공격 패킷이 발생하고 있는 에지 라우터의 IP 어드레스(address) 정보를 획득하면, 피해자 시스템 측에서는 해쉬 값(Hash value)를 가지고 각각 공격에 대한 에지 라우터(r1,r2)들의 구분이 가능하다.
상기와 같이 DDoS 공격을 탐지한 피해자 시스템(Victim) 측에서 탐지되는 DDoS 공격 패킷들을 이용하여 IP 어드레스(address)를 재조합하여 공격 근원지 에지 라우터(r1,r2)의 IP 어드레스(address) 정보를 획득하고 난 후(S200), 상기 피해자 시스템(Victim) 측에서 공격 근원지 에지 라우터에 결정론적 푸시백(Deterministic Pushback) 메시지를 전송하면, 결정론적 푸시백(Deterministic Pushback) 메시지를 전송받은 공격 근원지 에지 라우터(r1,r2)에서 정보를 확인하고 해당되는 공격 패킷들에 대하여 필터링을 실시한다(S300).
도 5는 피해자 시스템(Victim) 측에서 공격이 발생하고 있는 에지 라우터(r1,r2)의 IP 어드레스(address) 정보를 획득한 후 대상 에지 라우터, 즉 공격 근원지 에지 라우터(r1,r2)에 결정론적 푸시백(Deterministic Pushback) 메시지를 보내어 공격 근원지 에지 라우터(r1,r2)에서 정보를 확인하고 해당되는 공격 패킷들에 대하여 필터링을 실시하게 하기 위해 사용하는 결정론적 푸시백(Deterministic Pushback) 메시지의 포맷을 나타낸다.
도 5에 있어서, IP 헤더(Header)에는 근원지 IP 어드레스(Source IP address; src-IP)로 피해자 시스템(Victim)의 IP 어드레스(address) 정보와 목적지 IP 어드레스(Destination IP address; dst-IP)로 대상 에지 라우터의 IP 어드레스(address) 정보가 들어가고, TCP 헤더(Header)에는 다양한 필드가 정의될 수 있 다.
데이터그램(Datagram)에는 대역 폭 제한값(Bandwidth Limitation Rate Value), 만료 시간(Expiration Time) 및 에러 코드(Error Code)가 데이터(data)로 들어가게 된다.
상기 대역 제한값(Bandwidth Limitation Rate Value)은 피해자 시스템으로 전송되는 패킷에 대한 대역폭 제한 정보가 들어가며, 상기 만료 시간(Expiration Time)에는 에지 라우터가 필터링 상태를 유지해야 하는 기간을 나타낸다. 공격 패킷이 발생하고 있는 에지 라우터에서는 피해자 시스템 측으로부터 받은 메시지 정보를 이용하여 해당 패킷들에 대하여 필터링을 실시한다.
상기한 과정을 요약하면, 본 발명에서는 패킷이 발생해서 외부로 나가는 에지 라우터(r1,r2)에서만 자신의 IP 어드레스(address)를 특정 필드에 마킹하게 되고, 공격 발생 시 피해자 시스템(Victim) 측에서 간단한 패킷정보 재조합을 통하여 근원지 에지 라우터(r1,r2)의 IP 어드레스(address)를 확인하고, 패킷 필터링에 대한 간단한 결정론적 푸시백(Pushback) 메시지를 공격이 발생하고 있는 근원지 에지 라우터(r1,r2)로 전송하고, 메시지를 받은 에지 라우터(r1,r2)에서는 해당 공격 패킷들에 대하여 필터링을 실시한다.
이상에서 설명한 본 발명에 따른 결정론적 푸시백 기법을 이용한 분산 서비스 거부 공격 대응 방법은 상기한 실시예에 따른 서비스에 한정되지 않고, 이하의 특허청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 누구든지 다양하게 변경하여 실시할 수 있는 범위까지 본 발명의 기술적 정신이 있다고 할 것이다.
도 1은 본 발명에 따른 결정론적 푸시백(Deterministic Pushback) 기법을 이용한 DDoS 공격 대응 방법이 적용되는 네트워크 시스템을 나타낸 실시예.
도 2는 본 발명에 따른 결정론적 푸시백(Deterministic Pushback) 기법을 이용한 분산 서비스 거부(DDoS; Distributed Denial of Service) 공격 대응 방법을 나타낸 플로차트.
도 3은 본 발명에 따른 특정 네트워크 시스템의 에지 라우터에서 패킷에 자신의 IP를 마킹하는 과정을 나타낸 실시예.
도 4는 본 발명에 따른 피해자 시스템 측에서 체인(Chain) 구조를 이용하여 IP 어드레스(address)를 재조합하는 과정을 나타낸 실시예.
도 5는 본 발명에 따른 피해자 시스템 측에서 공격 근원지 에지 라우터로 전송하는 결정론적 푸시백(Deterministic Pushback) 메시지 포맷을 나타낸 실시예.
Claims (6)
- 피해자 시스템 측에서 DDoS 공격 패킷에 대한 근원지 에지 라우터의 IP 어드레스(address)를 확인하도록 하기 위해 특정 네트워크 시스템의 에지 라우터에서 다른 네트워크 시스템으로 아웃바운드(outbound) 되는 모든 패킷에 자신의 IP 어드레스(address)를 마킹하는 제1과정과;DDoS 공격을 탐지한 피해자 시스템 측에서, 탐지되는 DDoS 공격 패킷들을 이용하여 IP 어드레스(address)를 재조합하여 공격 근원지 에지 라우터의 IP 어드레스(address) 정보를 획득하는 제2과정; 및피해자 시스템 측에서 공격 근원지 에지 라우터에 결정론적 푸시백(Deterministic Pushback) 메시지를 전송하면, 결정론적 푸시백(Deterministic Pushback) 메시지를 전송받은 공격 근원지 에지 라우터에서 정보를 확인하고 해당되는 공격 패킷들에 대하여 필터링을 실시하는 제3과정을 포함하며:상기 제1과정의 특정 네트워크 시스템의 에지 라우터에서 IP 또는 TCP 프로토콜 상에 비어있는 옵션 필드(option field)로 식별 필드(Identification field)와 서비스 타입(Type of Service) 필드에 에지 라우터의 IP 어드레스(address) 정보를 4개의 파트(part)로 나누어진 하나의 비트 패턴으로 각각을 지나가는 패킷 하나하나에 저장하는 것을 특징으로 하는 결정론적 푸시백 기법을 이용한 분산 서비스 거부 공격 대응 방법.
- 삭제
- 제 1 항에 있어서, 상기 특정 네트워크 시스템의 에지 라우터에서 IP 어드레스(address) 정보를 4개의 파트(part)로 나누어진 하나의 비트 패턴으로 각각을 지나가는 패킷 하나하나에 저장할 때, 하나의 비트 패턴은 시퀀스(sequence) 파트와, IP 어드레스 해쉬 값(hash value of the IP address) 파트, 32 bits의 IP 어드레스(address) 정보 중 8 bits(8-bits of 32-bits IP address) 파트로 구성하는 것을 특징으로 하는 결정론적 푸시백 기법을 이용한 분산 서비스 거부 공격 대응 방법.
- 제 1 항에 있어서, 상기 제2과정의 DDoS 공격을 탐지한 피해자 시스템 측에서 공격 패킷들의 식별 필드(Identification field)와 서비스 타입(Type of Service) 필드에서 추출한 IP 어드레스(address)에 대한 해쉬 값(hash value)을 체크하여 각각을 구분하는 링크-리스트(linked-list) 구조를 이용하여 IP 어드레스(address)를 재조합함으로써 공격 근원지 에지 라우터의 IP 어드레스(address) 정보를 획득하는 것을 특징으로 하는 결정론적 푸시백 기법을 이용한 분산 서비스 거부 공격 대응 방법.
- 제 4 항에 있어서, 상기 DDoS 공격을 탐지한 피해자 시스템 측에서 공격 패킷들의 식별 필드(Identification field)와 서비스 타입(Type of Service) 필드에 서 추출한 IP 어드레스(address)에 대한 해쉬 값(hash value)을 체크하여 각각을 구분하는 링크-리스트(linked-list) 구조를 이용하여 IP 어드레스(address)를 재조합할 때, 상기 링크-리스트(linked-list) 구조를 처음 4 bits의 구분필드와 그 다음 14 bits의 IP 어드레스(address)에 대한 해쉬 값(Hash value), 그 다음은 32 bits IP 어드레스(address)를 4개로 나눈 8 bits 정보들로 구성하여 저장하는 것을 특징으로 하는 결정론적 푸시백 기법을 이용한 분산 서비스 거부 공격 대응 방법.
- 제 1 항에 있어서, 상기 제3과정의 피해자 시스템 측에서 근원지 IP 어드레스(Source IP address; src-IP)로 피해자 시스템(Victim)의 IP 어드레스(address) 정보와 목적지 IP 어드레스(Destination IP address; dst-IP)로 대상 에지 라우터의 IP 어드레스(address) 정보가 들어가는 IP 헤더(Header)와, 대역 폭 제한값(Bandwidth Limitation Rate Value), 만료 시간(Expiration Time) 및 에러 코드(Error Code)가 데이터(data)로 들어가는 데이터그램(Datagram)을 포함하는 결정론적 푸시백(Deterministic Pushback) 메시지를 공격 근원지 에지 라우터에 전송하는 것을 특징으로 하는 결정론적 푸시백 기법을 이용한 분산 서비스 거부 공격 대응 방법.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/860,625 US20080127324A1 (en) | 2006-11-24 | 2007-09-25 | DDoS FLOODING ATTACK RESPONSE APPROACH USING DETERMINISTIC PUSH BACK METHOD |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR20060116654 | 2006-11-24 | ||
KR1020060116654 | 2006-11-24 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20080047250A KR20080047250A (ko) | 2008-05-28 |
KR100883388B1 true KR100883388B1 (ko) | 2009-02-11 |
Family
ID=39663905
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020070071865A KR100883388B1 (ko) | 2006-11-24 | 2007-07-18 | 결정론적 푸시백 기법을 이용한 분산 서비스 거부 공격대응 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100883388B1 (ko) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030014665A1 (en) * | 2001-07-03 | 2003-01-16 | Anderson Todd A. | Apparatus and method for secure, automated response to distributed denial of service attacks |
JP2003298628A (ja) | 2002-03-29 | 2003-10-17 | Toshiba Corp | サーバ保護ネットワークシステム、サーバおよびルータ |
KR100770354B1 (ko) | 2006-08-03 | 2007-10-26 | 경희대학교 산학협력단 | IPv6 네트워크에서 공격자 호스트의 IP를 역추적하는방법 |
-
2007
- 2007-07-18 KR KR1020070071865A patent/KR100883388B1/ko not_active IP Right Cessation
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030014665A1 (en) * | 2001-07-03 | 2003-01-16 | Anderson Todd A. | Apparatus and method for secure, automated response to distributed denial of service attacks |
JP2003298628A (ja) | 2002-03-29 | 2003-10-17 | Toshiba Corp | サーバ保護ネットワークシステム、サーバおよびルータ |
KR100770354B1 (ko) | 2006-08-03 | 2007-10-26 | 경희대학교 산학협력단 | IPv6 네트워크에서 공격자 호스트의 IP를 역추적하는방법 |
Non-Patent Citations (1)
Title |
---|
논문:ACSC* |
Also Published As
Publication number | Publication date |
---|---|
KR20080047250A (ko) | 2008-05-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4683383B2 (ja) | 無線メッシュ及びセンサ・ネットワークにおける回復力のあるパケット逆探知のための方法及びシステム | |
Belenky et al. | On IP traceback | |
US20080127324A1 (en) | DDoS FLOODING ATTACK RESPONSE APPROACH USING DETERMINISTIC PUSH BACK METHOD | |
Mankin et al. | On design and evaluation of" intention-driven" ICMP traceback | |
Cheng et al. | Opportunistic piggyback marking for IP traceback | |
Yao et al. | VASE: Filtering IP spoofing traffic with agility | |
Korkmaz et al. | Single packet IP traceback in AS-level partial deployment scenario | |
CN1906905B (zh) | 拒绝服务攻击防御系统、拒绝服务攻击防御方法 | |
Lu et al. | A novel path‐based approach for single‐packet IP traceback | |
Gambhir et al. | PPN: Prime product number based malicious node detection scheme for MANETs | |
CN112154635A (zh) | Sfc覆盖网络中的攻击源追踪 | |
Nur et al. | Single packet AS traceback against DoS attacks | |
Patil et al. | A rate limiting mechanism for defending against flooding based distributed denial of service attack | |
Chen et al. | Attack Diagnosis: Throttling distributed denial-of-service attacks close to the attack sources | |
JP5178573B2 (ja) | 通信システムおよび通信方法 | |
Muthuprasanna et al. | Coloring the Internet: IP traceback | |
Liu et al. | DISCS: a distributed collaboration system for inter-AS spoofing defense | |
Lu et al. | A novel approach for single-packet IP traceback based on routing path | |
Sun et al. | Modified deterministic packet marking for DDoS attack traceback in IPv6 network | |
Gong et al. | Single packet IP traceback in AS-level partial deployment scenario | |
KR101081433B1 (ko) | IPv6 기반 네트워크의 공격 패킷의 역추적 방법 및 그 기록매체 | |
KR100883388B1 (ko) | 결정론적 푸시백 기법을 이용한 분산 서비스 거부 공격대응 방법 | |
CN113395247A (zh) | 一种防止对SRv6 HMAC校验进行重放攻击的方法和设备 | |
US20060225141A1 (en) | Unauthorized access searching method and device | |
Chen et al. | TRACK: A novel approach for defending against distributed denial-of-service attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130111 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20140103 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20141224 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20151224 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20161227 Year of fee payment: 9 |
|
LAPS | Lapse due to unpaid annual fee |